参数 类型 说明 ETag string 本次上传对象后对应的Entity Tag Bucket String 执行分片上传的桶的名称 Key String 上传文件到对象存储服务后对应的key Location String 合并生成对象的URL信息

概述 JWT全称为 JSON Web Token，是一种开放标准（RFC 7519），它定义了一种在通信各方之间以JSON对象形式安全传输信息的方式。JWT可以使用HMAC、RSA、ECDSA等算法签名；在应用中，JWT可以用于用户身份认证和访问鉴权。云原生网关作为微服务的访问入口，是实现认证鉴权的理想节点，当前云原生网关支持JWT认证方式，交互流程如下： 1. JWT签发阶段，云原生网关对这类接口访问不做认证，将请求透传到业务授权服务。 2. 业务授权服务认证成功后签发JWT并返回给客户端，在后续的请求中客户端会带上JWT。 3. 云原生网关收到正常的业务请求时提取JWT并校验签名信息，校验通过则放过请求，否则返回401状态码。 JWT策略配置 云原生网关支持全局的JWT策略配置，在 安全认证 > 认证鉴权 菜单下，选择创建鉴权，鉴权类型选择JWT，填写相关参数即可创建JWT认证策略，JWT配置参数说明如下： 配置 说明 鉴权名称 唯一标识一个JWT鉴权配置，只能包含大小写字母、数字和‘’，且不能以‘’开头或者结尾。 加密算法 支持HS256、HS512、RS256。 密钥 选择HS256/ HS512算法时填写，需要指定是否base64编码，并提供密钥。 RSA密钥 选择RS256算法时填写，需要提供RSA算法公钥和私钥。 JWT Token配置 网关从请求获取JWT Token的位置，支持指定header、query和Cookie的key。 过期时间 JWT Token过期时间，默认86400秒。

防盗链设置 在【实例管理】的页面选择特定的点播实例，点击设置权限可进入该点播实例的【防盗链设置界面】，默认防盗链状态为：关闭。 防盗链设置说明 类型：白名单（只允许Referer列表域名进行访问）、黑名单（不允许Referer列表域名进行访问）。当需要设置防盗链配置时，此选项需要选择其一。 是否允许空Referer：允许、拒绝。当需要设置防盗链配置时，此选项需要选择其一。 Referer列表：填写域名或IP地址，以 。 注意 1. 拒绝空Referer会导致点播部分功能无法正常使用，请谨慎使用！ 2. 当设置了Referer防盗链后，访问存储桶的文件时，相应HTTP请求需要在header头部的Referer字段添加相应的防盗链信息，否则访问请求会被拒绝。 3. 以上Referer配置，仅针对云点播的三个存储桶有效。 4. 如用户在使用云点播服务时同时叠加了CDN加速服务，请务必确认CDN的回源请求符合云点播侧的防盗链要求，否则相应的回源请求可能被拒绝。 跨域访问CORS配置 云点播默认全部自带存储桶的跨域访问CORS设置为： 配置 可用值 AllowedMethod GET PUT HEAD AllowedOrigin AllowedHeader 如有其他跨域配置需求，可发送工单联系产品后台处理。 注意 1. 如您在集成播放平台时，遇到跨域问题，请先确认CDN服务商（如有）是否将HTTP头部的Origin字段携带透传回云点播存储桶。 2. 部分场景下，浏览器可能会将其他错误报为跨域问题，请开发者认真甄别。

版本规格 在“一类节点”区域，数据库审计提供了标准版、专业版、高级版和旗舰版四种服务版本，您可以根据业务需求选择相应的服务版本。 说明 在“一类节点”区域，购买数据库审计无需再配套开通云服务器。 分类 标准版 高级版 企业版 旗舰版 支持的数据库实例个数 3个 6个 12个 30个 吞吐量峰值 3,000条/秒 6,000条/秒 12,000条/秒 35,000条/秒 入库速率 360万条/小时 720万条/小时 1440万条/小时 1440万条/小时 支持的SQL语句存储量 4亿条在线SQL语句存储。 50亿条归档SQL语句存储。 6亿条在线SQL语句存储。 100亿条归档SQL语句存储。 10亿条在线SQL语句存储。 200亿条归档SQL语句存储。 16亿条在线SQL语句存储。 200亿条归档SQL语句存储。 资源需求 CPU：4U 内存：16GB 硬盘：512GB CPU：8U 内存：32GB 硬盘：1TB CPU：16U 内存：64GB 硬盘：2TB CPU：16U 内存：64GB 硬盘：5TB 在“二类节点”区域，数据库审计提供以下实例规格，请您参照下表选择需要的实例规格。 支持的数据库实例个数 推荐云主机的资源需求 3个 CPU：4U 内存：16GB 硬盘：500GB 6个 CPU：8U 内存：16GB 硬盘：1TB 9个 CPU：8U 内存：16GB 硬盘：1TB 12个 CPU：16U 内存：32GB 硬盘：2TB 15个 CPU：16U 内存：32GB 硬盘：2TB 18个 CPU：16U 内存：32GB 硬盘：3TB 21个 CPU：16U 内存：32GB 硬盘：3TB 24个 CPU：16U 内存：32GB 硬盘：3TB 27个 CPU：16U 内存：64GB 硬盘：4TB 30个 CPU：16U 内存：64GB 硬盘：4TB

如何处理作业的OBS Bucket没有授权？ 用户在执行一个作业，提示OBS Bucket没有授权时，用户需要进行如下操作： 1.在“全局配置 ”>“服务授权”页面配置“Tenant Administrator（全局服务）”权限。 2.单击“作业管理”，找到操作的作业名称。 3.单击“操作”列表中的“编辑”，进入“作业编辑”页面。 4.用户需要在该作业的“作业编辑”页面进行“运行参数配置”。 a.选择“开启Checkpoint”或“保存作业日志”。 b.选择“OBS桶”。 c.单击“OBS授权”。 DLI Flink作业提交运行后（已选择保存作业日志到OBS桶），提交运行失败的情形（例如：jar包冲突），有时日志不会写到OBS桶中 DLI Flink作业提交或运行失败时，对应生成的作业日志保存方式，包含以下三种情况： 提交失败，只会在submitclient下生成提交日志。 运行失败且在1分钟内的日志，可以直接在管理控制台页面查看，具体如下： 在“作业管理”>“Flink作业”页面，单击对应的作业名称，进入作业详情页面，单击“运行日志”可以查看实时日志。 运行失败且超过1分钟(日志转储周期1分钟)，会在applicationxx下生成运行日志。 另外，由于DLI服务端已经内置了Flink的依赖包，并且基于开源社区版本做了安全加固。为了避免依赖包兼容性问题或日志输出及转储问题，打包时请注意排除以下文件： 系统内置的依赖包，或者在Maven或者Sbt构建工具中将scope设为provided 日志配置文件（例如l：“log4j.properties”或者“logback.xml”等） 日志输出实现类JAR包（例如：log4j等） 在此基础上，taskmanager.log会随日志文件大小和时间滚动。

本文解释当出现解析记录冲突时的处理方法。 背景说明 使用视频直播加速时，客户需要将域名CNAME至天翼云权威DNS。DNS解析过程中，各记录类型之间是有优先级的，所以在主机记录相同、解析线路相同的情况下，有几种记录类型是不能共存使用的，否则会给用户造成配置风险，导致业务不可用的情况发生。 问题一：添加记录时，提示A和CNAME记录冲突 相同主机记录，相同线路下，A记录和CNAME记录不支持同时添加，此时，您可以删除A记录的同时配置CDN厂商的CNAME记录。（A记录删除不影响网站的访问，因为在您成功添加加速域名后，系统已经为您分配一个CNAME域名，您在域名解析服务商处将服务域名的DNS解析记录指向该CNAME域名，客户端的访问请求会被转发到直播的加速节点上，实现加速的效果。） 问题二：添加记录时，提示MX和CNAME记录冲突 相同主机记录，相同线路下，MX记录和CNAME记录也不支持同时添加。MX记录为邮件交换记录，一般主机记录为形如ctyun.cn的域名。此类域名如同时添加CNAME记录，因CNAME记录优先级最高，会将邮件交换请求引导至CNAME地址，而CNAME地址如不支持此类服务，将会影响邮件业务。建议网站的加速域名与邮箱域名规划时要区分开来，避免造成此类风险。如发生MX记录和CNAME记录冲突，您可以通过使用URL转发记录来解决，例如可添加如下URL记录来取代CNAME记录： 记录类型 主机记录 记录值 URL @ example.ctyun.cn MX @ example.chinatelecom.cn

本文主要介绍云日志服务中如何创建通知组。 告警支持通过邮箱、翼连、WebHook集成等方式将告警信息通知给对应接收人，您可以在通知组管理中设置通知渠道与通知人信息。本文将介绍如何新增通知组。 功能入口 1. 登录云日志服务控制台。 2. 左侧导航栏点击通知组模块，进入通知组管理页面。 操作步骤 新增联系人 1. 点击【新建联系人】。 2. 输入姓名、手机号码、邮箱等相关信息。点击确定，完成新建联系人。 3. 您可将多个联系人添加到一个联系人组中。点击【新建联系人组】，输入联系人组名并在下方选择对应的联系人，点击确定按钮即可完成联系人组创建。 WebHook集成 1. 支持以WebHook的方式对第三方通知对象（企微、飞书、钉钉）发送告警信息。 2. 点击【新建Webhook】。 3. 输入通知组名称与webhook调用地址。您需要在各个Webhook通知渠道侧完成相关配置，并获取Webhook URL地址。 4. 渲染方式选择模板渲染，点击【选择模板自动填入】，选择对应的通知渠道。 5. 点击确定，完成创建。

本节主要介绍设置可维护时间段 可维护时间段是指允许天翼云进行维护操作的时间段。建议您将可维护时间段设置在业务低峰期，以避免维护过程中异常中断。 默认可维护时间段为02:00~06:00，您可以根据业务需求，设置可维护时间段。 使用须知 在进行正式维护前，DDS会给天翼云帐号中设置的联系人发送通知，请注意查收。 在可维护时间段内，实例会发生1到2次连接闪断， 请确保应用程序具备重连机制。 修改可维护时间段，不影响原有可维护时间段内定时任务的执行时间。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，单击目标实例名称，进入“基本信息”页面，在“数据库信息”模块的“可维护时间段”处，单击“修改”。 设置可维护时间段 步骤 5 在“修改可维护时间段”弹框中，选择一个时间间隔，下拉框中选择可维护时间段，单击“确定”。 修改可维护时间

本节主要介绍RocksDB到GeminiDB Redis的迁移方案。 RocksDB是FaceBook基于LevelDB开发的一个持久化KV单机数据库引擎，具有强大的顺序读写及随机写性能。相对于LevelDB，RocksDB做了许多优化，性能有了很大提升， 而且解决了LevelDB主动限制写的问题。作为一个数据库引擎，RocksDB没有设计成C/S网络结构，直接使用需要和服务部署在同一台服务器，对于服务的部署、使用有较大的限制。 GeminiDB Redis采用RocksDB作为存储引擎，兼容Redis协议具有丰富的数据类型，可以满足RocksDB的使用需求。同时GeminiDB Redis对RocksDB进行深度定制，实现秒级分裂弹性扩容，扩缩容无需搬迁数据，快速而平滑，为RocksDB业务转到Redis生态提供了便利。 迁移原理 使用自研迁移工具rocksdbport，和RocksDB部署在相同机器上，准备好配置文件，启动迁移即可自动完成全量与增量的迁移。 全量迁移对RocksDB数据进行快照，然后扫描整个数据库，将数据打包成GeminiDB Redis识别的格式，发送到GeminiDB Redis，具有很高的迁移效率。 增量迁移解析RocksDB的wal文件，将RocksDB的操作解析出来，然后对其中的key进行分片，多线程进行发送。 使用须知 迁移工具需要部署在源端，对性能有一定消耗，可通过修改配置文件进行一定的控制。 迁移过程读取RocksDB的源数据文件，只读操作，理论上不会有数据受损风险。 迁移过程不需要停服。 若迁移过程出现故障，需要清理GeminiDB Redis实例，重新启动迁移。

本节介绍如何查看预定义地址组。 云防火墙为您提供预定义地址组，包括“NAT64转换地址组”和“WAF回源IP地址组”，两个地址组均建议您放行。 NAT64转换地址组：开启弹性公网IP（EIP）服务的IPv6转换功能后，云防火墙接收到对应IPv6流量的源IP地址会被转换为当前地址组中的IP。 说明 如果您开启了弹性公网IP（EIP）服务的IPv6转换功能，建议放行“NAT64转换地址组”。 WAF回源IP地址组：提供Web应用防火墙（WAF）服务云模式的回源IP地址。 注意 引用至防护规则，如果回源IP改变，无需手动修改，防火墙每天自动更新地址组中的IP地址。 添加至黑/白名单，如果回源IP改变，您需手动修改对应黑/白名单中的IP地址。 预定义地址组仅支持查看，不支持添加、修改、删除操作。 查看预定义地址组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 在“IP地址组”页签，选择“预定义地址组”页签，单击目标地址组的名称，进入详细信息页面，查看地址组信息。

天翼云云解析平台提供网站可用性监测和自动切换服务。监测服务依托平台在各大运营商部署的探测节点，通过采集、分析探测数据帮助用户及时了解网站可用性情况。当网站不可用时，平台提供“暂停解析”、“切换IP”等处置策略。启用“切换IP”策略时，平台将根据策略信息自动将域名解析切换至可用IP，确保用户网站安全、稳定运行。 监控原理 监控任务下所有探测节点向用户监控任务中的IP发送http请求，当且仅当所有探测节点连续两次无法接收到应答时，平台判定服务器宕机，从而执行监控任务中的处置策略。 监控规则 目前仅支持对A记录的监测。 新增或变更监控任务生效时间为一小时。 基础版与高级版域名可支持配置10条监控任务，旗舰版域名可支持配置20条监控任务。 故障处置策略 平台提供三种处理策略，分别是不响应、暂停解析、切换记录。 不响应：平台不做任何处理。 暂停解析 故障IP是分线路智能解析记录，若同主机名下仍有默认线路解析记录，暂停故障记录。 故障IP是默认线路解析记录，若同主机名下有其它可用的默认线路解析记录，暂停故障记录。 故障IP是默认线路解析记录，若同主机名下无可用默认线路解析记录，平台不做任何处理。 切换记录：用户配置监控任务时对监控记录设置一个备用IP，故障时切换到可用的备用IP。若切换时备用IP不可用，平台不做任何处理。

域名解析修改常见问题 CNAME解析变更提示冲突怎么办？ 对于同一个主机记录，CNAME解析记录值建议只填写一个。不同DNS解析记录类型间存在冲突。例如，对于同一个主机记录，CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下，您可以先删除存在冲突的其他记录，再添加WAF指定的CNAME记录。 如何在万网中修改域名DNS? 1. 登录万网< 2. 将您原来的域名CNAME修改为云WAF提供的域名。 3. 修改完成后点击“提交”，完成修改。 如何在DNSPOD修改CNAME？ 1. 在您域名的DNS服务商处，修改域名的DNS配置记录。 2. 找到要使用云WAF服务的主机记录，将记录类型修改为CNAME。 3. 将记录值修改为WAF为您提供的对应的服务域名。 4. 点击“保存”，并耐心等待生效，CNAME修改生效更新时间预计1020分钟。

本文为您介绍密钥管理服务的定义及产品架构。 密钥管理服务（Key Management Service，KMS）是一站式密钥管理和数据加密服务平台，提供安全合规、可靠易用的资源托管及密码运算服务。同时与天翼云云硬盘、对象存储、弹性文件、关系型数据库MYSQL等云产品无缝集成，实现云上原生数据的加密保护。 产品架构 业务组件 业务组件 说明 参考文档 密钥管理 密钥管理组件提供密钥安全托管存储、生命周期管理以及密码运算能力。您可以在自建应用程序中，通过KMS提供的云原生接口实现数据加解密、签名验签等运算，同时KMS已对接天翼云云硬盘、对象存储、弹性文件、关系数据库MySQL版，为云服务提供服务端加密能力。 密钥管理概述 证书管理 证书管理组件提供高可用、高安全的密钥和证书托管能力，您可以通过KMS提供的云原生接口实现签名验签运算。 证书管理概述

本章节介绍OPA策略 概述 OPA（Open Policy Agent）是一个通用的策略引擎，通过声明式的Rego语言实现丰富的授权策略。应用服务网格提供一键集成OPA引擎功能，整体架构如下： 其中OPA控制面包括： 1，OPA webhook服务，用于实现OPA sidecar的注入； 2，OpaPolicy controller监听OPA策略CRD，用于实现OPA策略分发； 业务pod内除了业务容器和istioproxy之外还会注入OPA sidecar，外部请求pod时流量被istioproxy拦截，根据定义的授权策略请求OPA sidecar，实现对请求的授权。 注意 注意：OPA sidecar当前使用8181端口管理OPA策略，使用9191端口提供外部鉴权服务，业务pod注意避开这两个端口。 开启OPA功能 使用OPA功能时首先要在打开开关，进入服务网格控制台，选择网格管理 > 自定义配置，勾选启用OPA 即可。 关闭OPA功能 进入服务网格控制台，选择网格管理> 自定义配置，取消勾选 启用OPA即可。 进入服务网格控制台，选择网格管理> OPA开关，关闭即可。 OPA策略管理 CSM服务网格采用自定义CRD（OpaPolicy）方式管理OPA策略，主要包括OPA策略生效的工作负载选择以及OPA策略（Rego），下面的配置对default命名空间下标签包含version: v1的工作负载生效，策略中定义了guest和admin两个角色，分别给两个角色定义了访问权限，同时还定义了两个用户bob和alice，分别赋予了特定角色；策略执行时会从请求中解析出用户，结合用户的权限和请求信息对访问进行鉴权。 apiVersion: istio.ctyun.cn/v1beta1 kind: OpaPolicy metadata: name: objectpolicy namespace: default spec: policy: package istio.authz import input.attributes.request.http as httprequest import input.parsedpath allow { rolesforuser[r] requiredroles[r] } rolesforuser[r] { r : userroles[username][] } requiredroles[r] { perm : roleperms[r][] perm.method httprequest.method perm.path httprequest.path } username parsed { [, encoded] : split(httprequest.headers.authorization, " ") [parsed, ] : split(base64url.decode(encoded), ":") } userroles { "alice": ["guest"], "bob": ["admin"] } roleperms { "guest": [ {"method": "GET", "path": "/productpage"}, ], "admin": [ {"method": "GET", "path": "/productpage"}, {"method": "GET", "path": "/api/v1/products"}, ], } workloadSelector: labels: version: v1

本节介绍集群定时备份用户指南。 前提条件 1. 已完成集群注册，具体操作请参见 本地注册集群 / 三方云注册集群。 2. 集群已安装ccsebackup插件，具体操作请参考 插件。 操作步骤 下发备份任务 1. 登陆分布式容器云平台，在左侧导航栏中选择集群资源 > 集群管理，进入注册集群列表页。 2. 在注册集群列表中点击需要备份的集群，进入单集群管理页面。 3. 在单集群管理页面导航栏中选择运维管理 > 集群定时备份 > 创建备份 ，进入集群定时备份配置页面。 4. 填写配置项后，点击“确定”下发备份任务。 备份配置项说明： 配置项名称 说明 名称 必填，备份任务的名称，名称限制为由小写字母开头，只允许小写字母，数字和‘’组成，且备份任务是当前集群中唯一。 命名空间 非必填，选择备份资源的命名空间，可多选。 资源 非必填，选择所备份资源的类型，可多选，也可以手动输入。 持久卷 选择是否备份pod所使用的持久卷，备份内容中有pod资源，此项才生效。不能备份临时卷及hostPath。 保留天数 必填，定时备份后产生的备份包所保留的天数，超过保留天数的备份包则会被自动清理。 时间点 必填，定时备份时执行的时间点，为整点。 重复周期 必填，定时备份任务重复在一周内哪几天触发执行。 说明 1. 此处建议保留天数要大于两个定时备份任务执行的间隔天数，否则会导致任务执行完毕后，还没等到下个任务开始，就被清理。 2. 备份任务下发后，在备份列表中可查看定时备份任务的各项配置。 备份列表的操作列还包含以下三个操作： 编辑：弹出定时任务编辑框修改定时任务信息。 立即执行：马上触发备份任务执行。 删除：删除当前定时备份任务。

本页介绍天翼云TeleDB数据库实例运行快照。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树单击实例监控 ，进入实例监控页面。 2. 在实例监控页面，在当前实例下拉框选择目标实例，选择实例运行快照 页签。 3. 快照设置 1. 单击快照设置 ，弹出实例运行快照策略设置 对话框。 2. 在实例运行快照策略设置 对话框中，打开运行快照开启状态，输入快照开启时间和快照间隔时间，单击确定 完成设置。 4. 手动快照 单击手动快照可立即执行快照。 5. 查询快照列表 可通过设置起始时间和结束时间，单击查询 筛选已产生的快照列表。 6. 查看快照详情 单击对应快照记录的详情，可查看该快照的详细信息。 具体内容包括： 数据库状态：节点名称、IP、端口、角色、日志同步状态、运行状态。 数据库核心配置：synchronouscommit、maxpoolsize、autovaccum、maxconnection、workmem、walkeepsegments、vacuumdelta、sharedbuffers的参数值。 数据库连接分析：包括CN和DN的连接情况，如avgconn、avgconnactive、avgconnidle、avgconnlock等。 DataNode节点请求量统计：统计DN节点的增删改查请求量。 数据库检查点：节点的检查点情况，如checkpointstimed、checkpointsreq等。 存储情况分节点统计：节点的存储情况，如totalsize、totaltups。 慢查询TOP 50：慢查询的TOP 50情况。 错误日志情况：包括错误信息、级别。 buffer命中率分析：包括平均、最大和最小情况。 锁分析：最多展示等待时间最长50条。 节点CPU/内存利用率概况：节点CPU/内存利用率情况。 死锁详情：最多展示最近的50条。 回滚详情：最多展示最近的50条。 二阶段残留事务详情：二阶段残留事务详细信息。 7. 快照对比 1. 单击对应快照记录的快照对比，弹出快照对比对话框。 2. 在快照对比对话框，选择要对比的快照，单击确定可查看快照对比信息。

本页介绍天翼云TeleDB数据库如何新增、修改和删除告警。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树上，单击告警管理 > 告警规则管理 ，进入告警规则页面。 2. 在当前实例下拉框选择目标实例，进入目标实例告警管理页面。 3. 搜索事件告警或指标告警。 单击事件告警 或指标告警 ，您可在查询条件下拉框，选择开启 或关闭 ，输入告警名称，单击查询 ，搜索出事件告警或指标告警。 4. 新增、修改或删除事件告警。 1. 单击新增事件告警 ，出现新增事件告警对话框。 2. 在告警事件下拉框，选择告警事件，告警开启状态，单击确定完成新增告警。 3. 单击编辑 ，可在编辑事件告警对话框中，修改告警开启状态。 4. 单击删除 ，在提示框中，单击确定 可删除事件告警。 5. 新增、修改或删除指标告警 1. 单击新增指标告警，出现新增指标告警对话框。 2. 进入指标告警对话框，根据下表输入参数信息，单击确定 完成新增指标告警。 参数 说明 告警名称 自定义，可根据业务需求填写。 告警指标 您可根据业务需求选择节点告警或机器告警。 当选择节点告警 ，包含如下告警指标。 数据库磁盘占用量 Xlog文件数量 sql执行最长时间 sql执行平均时间 每分钟请求数 每分钟查询请求数 每分钟插入请求数 每分钟更新请求数 每分钟删除请求数 每分钟其他请求数 缓存命中率 当前连接数 剩余xid 当选择机器告警 ，包含如下告警指标。 CPU使用率 CPU负载 内存使用率 磁盘使用率 网络入流量 网络出流量 tcp连接数 指标维度 指标维度包含如下： 全部 GTM节点 CN 数据主节点 数据备节点 告警条件 可选择一个区间范围，大于0或小于0。 检测频率 1分钟 5分钟 10分钟 20分钟 告警开启状态 开启 关闭 3. 单击编辑，在编辑指标告警对话框，可修改参数信息。 4. 单击删除 ，在出现的提示框，单击确定可删除指标告警。

本页介绍天翼云TeleDB数据库SQL语句执行卡住类问题。 SQL语句执行卡住问题部分排查思路 平时正常执行的SQL，某个时刻执行了很长时间仍未返回结果。通常有以下几种情况： 1）SQL语句执行可能涉及到不同粒度级别的锁申请和对象锁定，也就是说不同的SQL语句执行时，如果访问相同对象可能会冲突，需要先排查锁冲突情况，SQL被哪些会话阻塞了，，表现为有阻塞会话（pid大于0）； 2）SQL语句可能被2pc两阶段事务阻塞，表现为阻塞会话pid0； 3）SQL语句可能被同步事务阻塞，在配置了同步备机，但同步备机有异常或延迟的情况，表现为会话等待事件类型为SyncRep； 4）SQL语句没有被阻塞，可能因统计信息不准确而生成了差的执行计划，执行时间太长。 TeleDB分布式架构，在CN节点上显示为运行中的SQL，可能会在某个DN节点上执行被阻塞，所以需要检查每个DN节点该SQL的执行情况。 SQL语句被其它SQL语句阻塞问题 问题描述 平时正常执行的SQL，执行了很长时间仍未返回结果，通过pgblockingpids(pid)得到有阻塞的会话pid，且pid大于0。 每个CN、DN主节点上执行以下SQL，检查是否有会话阻塞： select pid,pgblockingpids(pid),EXTRACT(EPOCH FROM (now()querystart)), waiteventtype,waitevent,query from pgstatactivity where waiteventtype 'Lock' and pid!pgbackendpid(); 返回如下示例内容，pgblockingpids 返回非0，则表示该进程阻塞了当前SQL； pid pgblockingpids datepart waiteventtype waitevent query +++++ 1302 {11582} 102.134252 Lock transactionid INSERT INTO test (id, c1) VALUES (1, 1) (1 row)

云间高速(标准版)EC,是基于中国电信骨干网络打造的混合组网服务,为客户提供多元接入、高速传输、安全可靠的网络互联能力,助力企业实现云上云下、多地域、多网络的灵活弹性组网,构建具备企业级规模与通信品质的全球化云网络。

基线检查风险项修复及验证 当基线检查功能检测到并提示您服务器上存在的风险项时，请参考如下风险项修复建议为您的服务器进行安全加固。 约束限制 未开启防护不支持基线相关操作。 弱口令修复 为保障您的主机安全，请您及时修改登录主机系统时使用弱口令的帐号，如SSH帐号。 为保障您主机内部数据信息的安全，请您及时修改使用弱口令的软件帐号，如MySQL帐号和FTP帐号等。 验证：完成弱口令修复后，建议您立即执行手动检测，查看弱口令修复结果。如果您未进行手动验证，HSS会在次日凌晨执行自动验证。 单服务器风险修复及验证 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 HSS可以检测系统中关键软件的配置风险并给出详细的加固方法。 1、在HSS控制台选择“资产管理 > 主机管理 > 云服务器”，进入服务器页面。 2、搜索目标服务器，单击目标服务器名称进入服务器详情页面。 定位目标服务器 3、选择“基线检查 > 配置检查”页签，单击风险项前的展开按钮，查看所有检查项。 4、处理风险项。 忽略风险 在目标检查项“操作”列单击“忽略”，忽略单条风险检查项。 勾选多个目标检查项前的选框，单击上方出现的“忽略”按钮，进行批量忽略处理。 修复风险 单击目标风险项“操作”列的“检查详情”，查看检查项详情。 查看“审计描述”、“修改建议”等信息，根据“修改建议”修复主机中的异常信息。 说明 目前部分EulerOS基线和CentOS 8已支持一键修复，单击目标EulerOS或CentOS的“检查项”“操作”列的“修复”，可直接修复检查项，部分检查项修复时需填写参数值，保持默认值即可。 建议您及时优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。 单服务器查看修复建议 全量服务器风险修复及验证 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 HSS可以检测系统中关键软件的配置风险并给出详细的加固方法。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“配置检查”页签，查看所有服务器的配置检查风险项，参数说明如表511所示。 配置检查参数说明 参数名称 参数说明 风险等级 按照基线标准匹配检测结果划分的等级。 高危 、低危、 中危 、无风险 基线名称 检测执行的基线的名称。 标准类型 检测执行的基线所属策略的标准类型。云安全实践、等保合规 检查项 累计检查的配置项总数。 风险项 检查项中存在风险的配置项总数。 影响服务器数 目标风险基线所影响的服务器总数。 最新检测时间 最近一次检测的时间。 描述 目标风险基线的描述说明。 6、单击列表中目标基线名称，查看基线描述、受影响服务器以及所有检查项详情。 7、处理风险项。 忽略风险 在目标检查项“操作”列单击“忽略”，忽略单条风险检查项。 勾选多个目标检查项前的选框，单击上方出现的“忽略”按钮，进行批量忽略处理。 修复风险 单击目标风险项“操作”列的“检查详情”，查看检查项详情。 查看“审计描述”、“修改建议”等信息，根据“修改建议”或“检测用例信息”的“期望结果”修复主机中的异常信息。 说明 目前部分EulerOS基线和CentOS 8已支持一键修复，单击目标EulerOS或CentOS的“检查项”“操作”列的“修复”，可直接修复检查项，部分检查项修复时需填写参数值，保持默认值即可。 建议您及时优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。 查看修复建议

基线检查风险项修复及验证 当基线检查功能检测到并提示您服务器上存在的风险项时，请参考如下风险项修复建议为您的服务器进行安全加固。 约束限制 未开启防护不支持基线相关操作。 弱口令修复 为保障您的主机安全，请您及时修改登录主机系统时使用弱口令的帐号，如SSH帐号。 为保障您主机内部数据信息的安全，请您及时修改使用弱口令的软件帐号，如MySQL帐号和FTP帐号等。 验证：完成弱口令修复后，建议您立即执行手动检测，查看弱口令修复结果。如果您未进行手动验证，HSS会在次日凌晨执行自动验证。 单服务器风险修复及验证 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 HSS可以检测系统中关键软件的配置风险并给出详细的加固方法。 1、在HSS控制台选择“资产管理 > 主机管理 > 云服务器”，进入服务器页面。 2、搜索目标服务器，单击目标服务器名称进入服务器详情页面。 定位目标服务器 3、选择“基线检查 > 配置检查”页签，单击风险项前的展开按钮，查看所有检查项。 4、处理风险项。 忽略风险 在目标检查项“操作”列单击“忽略”，忽略单条风险检查项。 勾选多个目标检查项前的选框，单击上方出现的“忽略”按钮，进行批量忽略处理。 修复风险 单击目标风险项“操作”列的“检查详情”，查看检查项详情。 查看“审计描述”、“修改建议”等信息，根据“修改建议”修复主机中的异常信息。 说明 目前部分EulerOS基线和CentOS 8已支持一键修复，单击目标EulerOS或CentOS的“检查项”“操作”列的“修复”，可直接修复检查项，部分检查项修复时需填写参数值，保持默认值即可。 建议您及时优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。 单服务器查看修复建议 全量服务器风险修复及验证 系统中的关键应用如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。例如：SSH采用了不安全的加密算法；Tomcat服务采用root权限启动。 HSS可以检测系统中关键软件的配置风险并给出详细的加固方法。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“配置检查”页签，查看所有服务器的配置检查风险项，参数说明如表511所示。 配置检查参数说明 参数名称 参数说明 风险等级 按照基线标准匹配检测结果划分的等级。 高危 、低危、 中危 、无风险 基线名称 检测执行的基线的名称。 标准类型 检测执行的基线所属策略的标准类型。云安全实践、等保合规 检查项 累计检查的配置项总数。 风险项 检查项中存在风险的配置项总数。 影响服务器数 目标风险基线所影响的服务器总数。 最新检测时间 最近一次检测的时间。 描述 目标风险基线的描述说明。 6、单击列表中目标基线名称，查看基线描述、受影响服务器以及所有检查项详情。 7、处理风险项。 忽略风险 在目标检查项“操作”列单击“忽略”，忽略单条风险检查项。 勾选多个目标检查项前的选框，单击上方出现的“忽略”按钮，进行批量忽略处理。 修复风险 单击目标风险项“操作”列的“检查详情”，查看检查项详情。 查看“审计描述”、“修改建议”等信息，根据“修改建议”或“检测用例信息”的“期望结果”修复主机中的异常信息。 说明 目前部分EulerOS基线和CentOS 8已支持一键修复，单击目标EulerOS或CentOS的“检查项”“操作”列的“修复”，可直接修复检查项，部分检查项修复时需填写参数值，保持默认值即可。 建议您及时优先修复“威胁等级”为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。 查看修复建议

使用场景 针对使用多种云产品的用户，通过资源分组功能将同一业务相关的弹性云主机、物理机、云硬盘、弹性IP、带宽、数据库等资源添加到同一资源分组中。从分组角度查管理资源，管理告警规则，可以极大的降低运维复杂度，提高运维效率。 限制与约束 一个用户最多可创建10个资源分组。 一个资源分组可添加11000个云服务资源。 一个资源分组对不同类型资源有可选数量限制，具体请参见控制台提示。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 单击“服务列表 > 云监控”。 4. 单击页面左侧的“资源分组”，进入“资源分组”页面。 5. 单击页面右上角的“创建资源分组”按钮。 6. 按照界面提示，填写分组名称并选择企业项目。 选择了企业项目后，只有拥有该企业项目权限的用户才可以查看并管理资源分组，权限划分更合理更细致。 7. 选择需要添加的云服务资源。 8. 单击“立即创建”，完成资源分组的创建。

本节为您介绍云迁移服务CMS中数据迁移工具查看迁移任务详情。 操作场景 已经创建迁移任务，并且迁移任务已经开始执行。 操作步骤 1. 进入“任务管理”界面，点击“详情”按钮，可以跳转到任务详追踪页面 。 2. 成功进入“任务追踪”界面，可以看到迁移进度、迁移速率等信息。

服务网格支持JWT认证策略，一般在入口网关处配置认证策略，在请求后端时可以把认证后的信息带到过去，此插件支持从JWT认证信息中提取字段放到头部中转发给后端服务。 注意 1. 一般应用在Ingress网关场景 2. 需要您在入口网关处配置JWT认证策略 配置说明 字段 类型 是否必填 默认值 说明 issuer string 是 JWT的签发人，对应JWT请求认证策略中的issuer配置 fieldMapping map[string]string 是 将JWT Payload中的字段映射到头部中转发给上游，需要确保key在Payload中存在

本节介绍网页防篡改（原生版）计费模式。 网页防篡改（原生版）产品提供包年包月计费方式。 标准资费 网页防篡改（原生版）产品的标准资费如下： 计费项 计费单位 标准资费 网页防篡改（原生版） 元/个/月 980 优惠活动 针对一次性包年付费服务，网页防篡改（原生版）的优惠政策为：1年85折、2年7折、3年5折。 针对购买服务器安全卫士、终端杀毒、网页防篡改的存量用户，若订购网页防篡改（原生版）产品，可享受7折优惠。 说明 以上优惠活动不能同享，取低者计算。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建注册配置中心/云原生网关实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通注册配置中心/云原生网关实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问注册配置中心/云原生网关实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：注册配置中心/云原生网关的实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问注册配置中心/云原生网关实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

安装插件 说明 云原生监控插件当前根据数据存储配置自适应选择部署模式（3.7.1及以上版本插件支持），具体如下： 原agent模式：关闭本地数据存储，且监控数据上报至AOM服务和监控数据上报至第三方监控平台至少开启其中之一。 原server模式：开启本地数据存储，同时支持开启监控数据上报至AOM服务或监控数据上报至第三方监控平台。 步骤 1 登录CCE控制台，单击集群名称进入集群，在左侧导航栏中选择“插件中心”，在右侧找到 云原生监控插件 ，单击“安装”。。 步骤 2 在安装插件页面，根据需求选择“数据存储配置”，至少需要开启一项。 监控数据上报至AOM服务 ：将普罗数据上报至 AOM 服务。开启后，可选择对应的AOM实例。采集的基础指标免费，自定义指标将由AOM服务进行收费。对接AOM需要用户具备一定权限，目前仅在admin用户组下的用户支持此操作。 监控数据上报至第三方监控平台 ：将普罗数据上报至第三方监控系统，需填写第三方监控系统的地址和Token，并选择是否跳过证书认证。 本地数据存储 ：将普罗数据存储在集群中的PVC存储卷里，选择用于存储监控数据的磁盘类型和大小。 存储卷不随插件卸载而删除 。开启本地数据存储时，将部署全量组件。 说明 若monitoring命名空间下已存在可使用的PVC（名称为pvcprometheusserver0），将使用该存储作为存储源。 步骤 3 根据需求选择“规格配置”。 插件规格 ： 选择“系统预置规格”时，系统会根据不同的预置规格配置插件的实例数及资源配额，具体配置值请以控制台显示为准。 选择“自定义规格”时，您可根据需求调整插件实例数和资源配额。实例数为1时插件不具备高可用能力，当插件实例所在节点异常时可能导致插件功能无法正常使用，请谨慎选择。 普罗高可用 ：高可用会在集群中将Prometheusserver、Prometheusoperator、thanosquery、custommetricsapiserver、alertmanager、kubestatemetrics组件按多实例方式部署。 采集分片数 （选择非“本地数据存储”时支持设置）：当Prometheus的数据量很大时，您可以通过设置该参数，将数据分片到指定数量的Prometheus实例上存储和查询。增加分片数量可以使每个分片承担的数据量更少，从而增加指标的采集吞吐上限，但也会消耗更多的资源。默认采集分片数根据集群规模自动生成，建议每50个节点配置一个采集分片，如果您需要增加分片数量，提高采集性能，需要考虑资源占用的影响，根据具体的监控场景进行权衡和调优。为确保系统稳定性，建议将控制节点内存使用率控制在50%以下。 安装grafana ：通过 grafana 可视化浏览普罗监控数据。grafana 会默认创建大小为 5 GiB 的存储卷，卸载插件时 grafana 的 存储卷不随插件被删除 。首次登录默认用户名与密码均为 admin，登录后会立即让您修改密码。 步骤 4 设置插件支持的“参数配置”。 自定义指标采集 ：以服务发现的形式自动采集应用的指标。开启后需要在目标应用添加相关配置。 采集周期 ：设置采集时间间隔周期。 数据保留期 （选择“本地数据存储”时支持设置）：监控数据保留的时长。 nodeexporter监听端口 ：该端口使用主机网络，用于监听并暴露所在节点的指标供普罗采集；默认为9100，若与您已有应用的端口冲突，可按需修改。 调度策略 ：可单独配置插件各个组件的节点亲和性和污点容忍能力。可以配置多个调度策略，不配置亲和节点键和容忍节点污点键则默认不开启对应的调度策略。 作用范围：可选择调度策略生效的插件实例，默认对全部实例生效。当指定组件实例名称时，将覆盖全部实例所配置的调度策略。 亲和节点标签键：填写节点标签键，为插件实例设置节点亲和性。 亲和节点标签值：填写节点标签值，为插件实例设置节点亲和性。 容忍节点污点键：目前仅支持污点键级别的污点容忍策略，组件可以调度到拥有该污点键的节点。 步骤 5 完成以上配置后，单击“安装”。 插件安装完成后，根据您的使用需求，可能还需进行以下操作： 如需使用自定义指标创建弹性伸缩策略，请确认云原生监控插件的数据存储配置为开启本地数据存储的模式，然后参考以下步骤： 采集应用上报的自定义指标至Prometheus。 将Prometheus采集到的自定义指标聚合到API Server，可供HPA策略使用。 如果您需要使用该插件为工作负载弹性伸缩提供系统资源指标（如CPU、内存使用量），请确认云原生监控插件的数据存储配置为开启本地数据存储的模式，然后开启Metric API。配置完成后，可使用Prometheus采集系统资源指标。（该操作可能与Kubernetes Metric Server插件产生冲突，不推荐）

参数 参数类型 说明 示例 下级对象 service String 服务 ecs dimension String 维度 ecs dimensions Array of Objects 监控项标签 dimension timestamp Integer 监控数据Unix时间戳 1667815639 itemName String 监控项名称 cpuutil itemDesc String 监控项中文介绍 CPU使用率 itemUnit String 监控项单位 % rawValue Double 监控项原始值 85 compareData Array of Objects 比较数据 compareDataObj resource Array of Objects 资源 obj

本节介绍漏洞扫描服务是否可以扫描域名下的项目。 VSS采用网页爬虫的方式全面深入的爬取网站url，然后针对爬取出来的页面模拟黑客进行试探攻击，帮助您发现网站潜在的安全隐患。如果域名下的项目没有被VSS爬取出来，则该项目不会被VSS扫描到。您可以通过网站扫描详情，查看域名下的项目是否被VSS扫描到。

firewallcmd listall 4. 执行以下命令，在防火墙中添加端口1234，并重启防火墙服务。 firewallcmd addport1234/tcp permanent zonepublic firewallcmd reload

本文帮助您了解如何创建云企业路由器实例。 操作场景 在云间高速（标准版）实例中，用户根据实际业务需求，在目标资源池区域创建云企业路由器实例。云企业路由器作为网络的核心组件，负责转发本地资源池区域内的所有网络实例的流量。 操作步骤 1. 登录云间高速（标准版）管理控制台，并在侧菜单列表中选择“云间高速（标准版）”。 2. 在控制台首页，单击目标云间高速（标准版）实例操作列的“管理 ”或单击目标云间高速（标准版）实例名称。 3. 进入目标云间高速实例详情页面，单击“云企业路由器管理 ”，然后单击“创建云企业路由器”。 4. 在创建云企业路由弹窗中，根据页面提示，填写参数。 参数 说明 取值样例 大区域 选择大区域类型，目前仅支持“境内”和“亚太” 境内 资源池 选择目标资源池，支持模糊检索 华东1 名称 云企业路由名称 CERhuadong1 描述 云企业路由器描述 6. 核对信息后，仔细阅读服务协议并勾选同意。 7. 单击“确定”，完成当前资源池区域云企业路由器创建。 说明 在云间高速网络实例中，只有在第一次创建云企业路由器的时候需要勾选服务协议。

本节主要介绍操作步骤 前提条件 待压测应用需提前准备好，本例没有实际的应用压测，主要讲解压测方法。 操作流程 使用性能测试，您需要按照如下流程操作： （可选）了解性能测试基本概念：在使用性能测试服务前，建议您先了解一些基本概念。 前提条件：使用性能测试服务进行压测，您需要预先准备好待压测的应用。 资源和套餐准备：购买合适的性能测试套餐，创建私有资源组。若是使用共享资源组，无需额外创建私有资源组。 任务创建、调试及执行：根据业务实际情况，创建需要压测的任务，可以多任务并行压测。 测试报告分析：查看实时报告，根据报告提前识别一网通办系统的性能瓶颈。 了解性能测试基本概念 并发用户数： 在性能测试工具中，并发用户数一般被称为虚拟用户数。 RPS（QPS）： 平均每秒发出请求的次数（R Request / Taken Time(s)）。 响应时间： 用户从客户端发起一个请求开始，到客户端接收到从服务器端返回的响应结束，整个过程所耗费的时间。在性能检测中一般以测试环境中压力发起端至服务器返回处理结果的时间为计量，单位一般为秒或毫秒，该时间不同于模拟真实环境的用户体验时间。