本章节介绍基于IngressAPISIX网关实现全链路灰度 概述 APISIX是动态、实时、高性能的API网关，可以提供丰富的流量管理能力，可以作为K8s Ingress控制器。本文介绍安装IngressAPISIX后，通过灵活的路由能力，在无需修改业务代码的情况下，实现全链路灰度能力。 背景信息 在微服务架构下，一次需求可能会同时修改多个微服务应用。在发布应用时，通常将这些应用划分为同一个分组，使灰度流量始终在灰度应用中流转。当上游有灰度流量时，会通过引流的方式将灰度流量引导至灰度分组，在此次链路调用过程中，如果存在一些微服务没有灰度环境，那这些请求在下游时依然能回到灰度环境中，以此实现全链路灰度。 本文将APISIX提供的灵活的路由能力和微服务治理中心的全链路灰度能力相结合，在无需修改业务代码的情况下，轻松实现全链路灰度能力。 本文的演示应用由IngressAPISIX和Spring Cloud应用组成，Spring Cloud应用有3个，分别是appa、appb和appc，服务之间通过Nacos注册中心实现服务注册与发现，部署完成后，通过IngressAPISIX配置路由规则，来访问后端服务。 前提条件 1. 用户已开通微服务治理中心企业版。 2. 用户已开通云容器引擎。 3. 用户已开通注册配置中心Nacos。

操作场景 客户根据自身业务服务需求，将客户支持计划调整到较低级别。 操作步骤 1、登录天翼云管理中心，点击支持支持计划，进入“支持计划详情”页面。 2、点击“更多 > 变配”，进入变更客户支持计划页面。 3、在变更客户支持计划页面，选择要变更的支持计划级别，查看退费金额，勾选我已阅读并接受《天翼云客户支持计划服务协议》，点击“支持计划变更”。 4、进入支付页面，提交完成后，在控制台可查看降配后客户支持计划等级和专属服务权益。

本章节主要介绍Spark作业相关问题中有关使用咨询的问题。 DLI Spark作业是否支持定时周期任务作业 DLI Spark不支持作业调度，用户可以通过其他服务，例如数据湖管理治理中心DataArts Studio服务进行调度，或者通过API/SDK等方式对作业进行自定义调度 。 Spark SQL语法创建表时是否支持定义主键 Spark SQL语法不支持定义主键。 DLI Spark jar作业是否能访问DWS跨源表？ 可以访问。 如何查看Spark内置依赖包的版本？ DLI内置依赖包是平台默认提供的依赖包，用户打包Spark或Flink jar作业jar包时，不需要额外上传这些依赖包，以免与平台内置依赖包冲突。 资源包管理中的包是否能够下载? 资源包仅提供托管服务，不提供下载功能。

本节主要介绍如何手动备份实例数据 Redis管理控制台支持手动备份缓存实例的数据，当您需要及时备份分布式缓存Redis实例中的数据，可以通过手动备份功能完成实例数据备份。注意手动备份的实例数据默认永久保存，如需清理，请自行删除。 前提条件 只有当缓存实例处于“运行中”状态，才能执行此操作。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台右上角选择实例所在的区域。 3. 在实例列表页，单击目标实例名称进入实例详情页面。 4. 左侧菜单点击备份与恢复，进入备份管理操作页面。 5. 点击【手工备份】按钮，弹出备份操作确认窗口，再次点击确定后开始执行手工备份任务。 6. 备份后，备份管理页面即展示备份信息（包含：备份点、备份状态、类型、还原状态），其中备份状态为success即为备份成功。 说明 Redis实例使用RDB快照存储实现持久化，它会将某一时刻的内存数据保存到硬盘的文件当中，备份期间不会影响数据的读写性能。 备份期间不要对实例进行修改密码、扩容等操作。 备份时间点的选择：建议选择业务量少的时间段进行备份。

自2021年11月11日起，新版天翼云微服务云应用平台服务协议生效。详情请参见这里。

操作步骤 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航树中，选择“主动防御>网页防篡改”，进入“网页防篡改”界面，选择“防护配置”页签，进入“防护配置”页面。 进入防护配置 5、单击“添加防护服务器”，在弹窗勾选需要开启防护的服务器，配额选择“随机选择配额”即可。 注意 选择的服务器数量应等于或少于可用配额数量，若配额不足，您需购买主机安全防护配额后才可开启防护。 添加防护服务器 6、单击“添加并开启防护”，在“主动防御>网页防篡改 > 防护配置”查看目标服务器的“防护状态”为“防护中”表示已开启防护。 开启功能后需要有防护目录才能起到防护作用，请根据需要设置相应的防护目录。 仅Linux服务器支持动态网页防篡改，且开启后，还需重启Tomcat才能使其生效。 开启“网页防篡改”防护服务后，请在控制台上查看主机安全服务的开启状态。 “网页防篡改版”开启后，旗舰版防护会同步开启。 选择“主动防御>网页防篡改”，目标服务器所在行的“防护状态”为“防护中”，则表示网页防篡改版已开启。 选择“资产管理>主机管理 > 云服务器”，目标主机所在行的“防护状态”为“防护中”，且“版本/到期时间”为“网页防篡改版”，则表示网页防篡改赠送的旗舰版已开启。

核心功能 我们提供易上手的开发者工具，丰富的编程语言生态，符合W3C标准的Service Worker API、Streams API、Web Crypto。 从而帮助企业网站在边缘节点上完成自定义鉴权、访问控制、内容改写、内容生成以及AB测试。 对比传统CDN处理流程，开发者平台在边缘节点直接处理客户的动态请求，大大减少回源次数，分担中心源站的计算压力。 相关术语 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型。开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与BaaS不同，FaaS可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到CDN加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用FaaS时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持HTTP触发器。 HTTP 路由 用户绑定HTTP触发器和对应函数后，访问CDN加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

团队经验丰富 天翼云模型适配专家团队在平台建设过程中沉淀了丰富的经验和解决方案，可交付模型的镜像、权重、最佳实践等。 低门槛开通 无购买高规格算力的硬性要求，基于对应的国产化算力即可为客户提供模型适配服务。 模型可选范围广 适配模型范围涵盖市面广大开源大模型，针对客户的私有模型一般也具备提供模型适配服务的能力。 服务质量高效 响应速度快，通常无须长时间的排期等待，避免错过业务黄金时期。

响应头 描述 Server 服务名。 Connection 表示是否需要持久连接： keepalive：持续连接。 close：关闭连接。 Date 响应时间。 ContentType 响应体的MIME类型。 ContentLength 响应体的长度。 xhblockrequestid 唯一标示请求的一个32位字符串，用于排查定位问题。 RetryAfter 当服务端backoff时，返回此响应头，值为90。建议客户端90秒后重试。 backoff说明 当系统服务繁忙，暂不可用时，会返回客户端503响应状态码和RetryAfter响应头。

本页介绍了国产万维信SSL证书产品的优势。 万维信SSL证书由上海CA自主研发，符合国际、国内标准，客户信息和审核数据不出境，全网信任，确保用户信息数据安全。 一次提交资料，即可支持国际RSA / ECC、国密SM2双算法证书颁发。 万维信SSL证书支持国内OCSP、CRL查询，后台服务均通过国内网络优化，确保网络系统运行稳定。 拥有集销售、客服、技术、研发为一体的原厂服务团队，提供7×24小时全年无休的服务，及时响应用户需求。

操作场景 在管理控制台，根据创建流程，依次通过创建站点复制对、部署云容灾网关、下载并安装代理客户端和创建保护实例部署容灾。完成容灾部署后，系统自动开始进行数据同步。 操作步骤 创建站点复制对。 1、登录管理控制台。 2、单击服务列表，选择“存储 > 存储容灾服务”。 进入“存储容灾服务”页面。 3、选择“异步复制”，单击“创建站点复制对”。 4、在“创建站点复制对”页面，根据界面提示配置站点复制对的信息。 参数说明 参数 说明 取值样例 :::: 类型 选择需要创建的站点复制对类型。 跨可用区 复制场景 选择需要创建的复制场景。当前支持类型：H2C（IDC容灾到云平台）。仅当创建“IDC”类型的复制对时，需要设置复制场景。 H2C 名称 站点复制对名称。 名称只能由中文字符、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 Sitereplication001 生产站点 说明 仅当创建“跨区域”和“跨可用区”类型的复制对时，需要设置生产站点。 区域 生产站点所在的区域。 说明 仅当创建“跨区域”类型的复制对时，需要设置区域。 可用区 生产站点服务器所在的可用区。 说明 当创建“跨区域”和“跨可用区”类型的复制对时，需要设置可用区。 AZ1 网络 生产站点服务器所在的VPC。 VPC01 容灾站点 区域 容灾站点所在的区域。 选择步骤一：搭建云上专有网络时选择的区域。 说明 仅当创建“IDC上云”和“跨区域”类型的复制对时，需要设置区域。 可用区 容灾站点服务器所在的可用区。 AZ2 网络 容灾站点服务器所在的VPC。 选择步骤一：搭建云上专有网络时创建的VPC。 VPC02 5、单击“创建” 。 完成站点复制对的创建，并进入“部署云容灾网关”界面。

本章节主要介绍标签概念。 为了方便管理您的实例、磁盘、镜像以及其他云资源，您可以通过标签的形式为每个资源分配您自己的元数据。标签管理服务（Tag Management Service，TMS）是一种快速便捷将标签集中管理的可视化服务，提供跨区域、跨服务的集中标签管理和资源分类功能。 标签的基本知识 标签用于标识资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 标签示例图； 上图说明了标签的工作方式。在此示例中，您为每个云资源分配了两个标签，每个标签都包含您定义的一个“键”和一个“值”，一个标签使用键为“所有者”，另一个使用键为“用途”，每个标签都拥有相关的值。 您可以根据为云资源添加的标签快速搜索和筛选特定的云资源。例如，您可以为帐户中的资源定义一组标签，以跟踪每个云资源的所有者和用途，使资源管理变得更加轻松。 标签使用说明： 支持添加标签的物理机相关服务有：物理机、弹性云主机、镜像服务、云硬盘等。 每个标签由一对键值对（KeyValue）组成。 每个物理机最多可以添加9个标签。 对于每个资源，每个标签键（Key）都必须是唯一的，每个标签键（Key）只能有一个值（Value）。 标签命名规则 如下表所示

类型 说明 主机记录 主机记录指域名前缀,例如 example.com 常用的解析如下: 网站解析:主机记录写www,解析的域名是www.example.com。 网站解析:主机记录为空,解析的域名是example.com。 子域名:主机记录写cdn,解析的域名是cdn.example.com。 邮箱解析:主机记录写mail,解析的域名是mail.example.com。 泛解析:主机记录写,解析的域名是.example.com,匹配example.com的所有子域名。 SRV主机记录格式:服务的名字.协议的类型,协议通常为TCP或UDP,服务为应用层服务名,如FTP/SIP等PTR反向解析记录格式:IPv4的格式,与地址192.168.1.2,相对应的反向解析域名为:2.1.168.192.inaddr.arpa,地址反转,后缀系统添加;IPv6的格式,与地址4321:0:1:2:3:4:567:89ab相对应的反向查找域名将为b.a.9.8.7.6.5.0.4.0.0.0.3.0.0.0.2.0.0.0.1.0.0.0.0.0.0.0.1.2.3.4.IP6.ARPA,地址反转,每一位16进制数间用"."分隔,后缀系统添加。 类型 指定域名对应的IPv4地址，用于将域名解析到IPv4地址。 TTL(秒) TTL指解析记录在本地DNS服务器的缓存时间。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 值 填写IPv4地址，最多可以输入8个不重复地址，每行一个。 例:192.168.10.10 描述 可选参数，解析记录描述。

本文介绍使用标准裸金属挂载访问海量文件服务的操作方法。 操作场景 在高性能计算、高性能存储、容器场景、大数据分析、关键核心业务数据库和有高安全性、监管要求等需要使用物理机的业务场景，可搭配海量文件系统和VPC终端节点提供安全、可靠、高性能的共享访问存储服务。 适用产品 物理机，包括弹性裸金属、标准裸金属两种规格。 使用限制 当前仅支持IPv4通过VPC终端节点访问文件系统。 操作步骤 注意 标准裸金属不能修改VPC/子网，请提前做好网络规划。 标准裸金属/弹性裸金属与文件系统须归属相同VPC。 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 请务必在文件系统挂载时使用noresvport参数，防止文件系统卡住。 步骤一：创建VPC及普通子网 说明 若已有VPC及普通子网，可忽略此步骤，直接进行步骤二。 1. 依次进入“控制中心>网络>虚拟私有云”，点击右上方“创建虚拟私有云”。 2. 在“VPC基本信息”部分，VPC名称、网段等根据实际需求填写。 3. 在“子网配置”部分，子网类型选择“普通子网”，名称、网段等根据实际需求填写即可。 4. 创建完成之后返回控制台查看。

本文介绍了如何使用统一身份认证(Identity and Access Management,简称IAM)服务对访问云硬盘资源进行精细的权限管理。 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“步骤二：创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。云硬盘EVS相关的系统策略包含如下： Evs Admin：云硬盘服务的管理者权限，包含云硬盘所有控制权限（不含订单类权限）； Evs Viewer：云硬盘服务的观察者权限，包含云硬盘的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“步骤二：创建自定义策略”。

本文为您介绍云专线服务的使用限制,请您务必仔细阅读后使用。 云专线服务的使用限制如下表所示： 资源 配额值（默认） 说明 单账户下创建专线网关配额 20 提交工单提升配额 单个专线网关支持绑定物理专线配额 20 提交工单提升配额 专线网关添加客户侧路由配额 50 提交工单提升配额

本节介绍如何提升DDoS防护能力。 天翼云AntiDDoS流量清洗服务为普通用户免费提供2Gbps的DDoS攻击防护，最高可达5Gbps，系统会对超过黑洞阈值的受攻击公网IP进行黑洞处理，正常访问流量会丢弃。 如果急需恢复业务，建议您购买DDoS高防IP服务，提升DDoS防护能力。

说明：本章节会介绍关系型数据库的定义以及包含哪些数据库引擎 关系型数据库（Relational Database Service，简称RDS）是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。专属云关系型数据库目前支持以下引擎： MySQL PostgreSQL 关系型数据库服务具有完善的性能监控体系和多重安全防护措施，并提供了专业的数据库管理平台， 让用户能够在云中轻松的进行设置和扩展关系型数据库。通过关系型数据库服务的管理控制台，用户几乎可以执行所有必需任务而无需编程，简化运营流程，减少日常运维工作量，从而专注于开发应用和业务发展。 专属云数据库MySQL 专属云（RDSMySQL）是在物理上隔离的专属虚拟化资源池上搭建的RDS服务，专属云内，用户独享专用的服务器/集群，可选择独享存储/网络资源，并可在管理控制台统一管理。 MySQL是目前最受欢迎的开源数据库之一，其性能卓越，搭配LAMP（Linux + Apache + MySQL + Perl/PHP/Python），成为WEB开发的高效解决方案。 云数据库拥有即开即用、稳定可靠、安全运行、弹性伸缩、轻松管理、经济实用等特点。 架构成熟稳定，支持流行应用程序，适用于多领域多行业支持各种WEB应用，成本低，中小企业首选。 管理控制台提供全面的监控信息，简单易用，灵活管理，可视又可控。 随时根据业务情况弹性伸缩所需资源，按需开支，量身订做。

本文介绍了云防火墙（原生版）产品的续订规则。 续订简介 购买的包年/包月云防火墙（原生版）服务到期后，将会影响服务的正常运行，若配额到期后未及时续订，或进行退订，则将被到期冻结或超期释放。 配额冻结后，进入保留期，在保留期内展示全部历史告警数据和防护配置策略，但该防护配额自动降级为2Mbps的公网流量处理能力，除非客户重新订购该VPC的防火墙；保留期后，进行该配额的资源销毁。 配额销毁后，只保留历史的配置规则。若配额到期后续费，续费周期自配额续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户配额2020年9月30号到期，10月11号续订1个月，那么新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 注意 未完成订单中的配额不允许续订，如开通中的资源、退订中的资源。 已退订或销毁的配额不可续订。 只有通过实名认证的客户，才可以执行续订操作。 续订方式 包年/包月云防火墙（原生版）支持的续订方式如下表所示。 续订方式 说明 手动续订 包年/包月云防火墙在购买之后支持手动续订的方式，您可以随时在云防火墙（原生版）管理控制台中的配额管理页面进行续订，续订后防火墙到期时间将自动延期到续订后的到期时间。 自动续订 包年/包月云防火墙在购买之后支持自动续订的方式，您可以随时在“费用中心 > 订单管理 > 续订管理”页面开启自动续订，自动续订开启后云防火墙将会进行自动续订，更多说明见自动续订。

思路三：实际的业务用量超出已购资源包的规格？ 原因说明：已购的全站加速流量包用尽或有效期到期后，如未及时续订，会自动转全站加速按量计费。例如：已购的全站加速下行流量包规格为500G，实际业务加速已使用550G流量，则超出的50G将采用全站加速按流量计费。 解决方案：在已购的全站加速资源包剩余一定用量或即将到期前，天翼云会通过邮件的形式提醒账号联系人，如果希望一直沿用流量包的计费模式，收到提醒后应及时重新订购匹配业务额度规格的流量包。 注意 重新购买的流量包不能抵扣已经产生的按流量用量。 思路四: 是否存在使用其他服务导致的计费项？ 原因说明：全站加速的计费构成主要包括：“流量/带宽”、“动态请求数”、“静态https请求数”，全站加速流量包只能抵扣全站加速过程中产生的下行流量，无法抵扣如上传加速产生的上行流量的费用，也无法抵扣如websocket加速产生的下行流量的费用。如在使用全站加速流量包的同时，已开通上传加速服务或websocket加速服务，此时建议优先核对额外产生的扣款或欠款是否来自于上传加速或者websocket加速服务。 解决方案：请自行检查是否额外开通上传加速/websocket加速服务。如有开通，系统会自动从账户余额里进行扣款。 相关文档 您可以通过：如何查看新购买的全站加速资源包概况及使用情况查看新购买的全站加速资源包概况及使用情况。 您可以通过：如何查看账单明细查看天翼云全站加速的账单明细。

本节主要介绍NAT的应用场景。 公网NAT网关 使用SNAT访问公网 当VPC内的云主机需要访问公网，请求量大时，为了节省弹性IP资源并且避免云主机IP直接暴露在公网上，您可以使用公网NAT网关的SNAT功能。VPC中一个子网对应一条SNAT规则，一条SNAT规则可以配置多个弹性IP。公网NAT网关为您提供不同规格的连接数，根据业务规划，您可以通过创建多条SNAT规则，来实现共享弹性IP资源。 使用SNAT访问公网场景组网图如图所示。 图 使用SNAT访问公网 使用DNAT为云主机面向公网提供服务 当VPC内的云主机需要面向公网提供服务时，可以使用公网NAT网关的DNAT功能。 DNAT功能绑定弹性IP，有两种映射方式（IP映射、端口映射）。可通过端口映射方式，当用户以指定的协议和端口访问该弹性IP时，公网NAT网关会将该请求转发到目标云主机实例的指定端口上。也可通过IP映射方式，为云主机配置了一个弹性IP，任何访问该弹性IP的请求都将转发到目标云主机实例上。使多个云主机共享弹性IP和带宽，精确的控制带宽资源。 一个云主机配置一条DNAT规则，如果有多个云主机需要为公网提供服务，可以通过配置多条DNAT规则来共享一个或多个弹性IP资源。 使用DNAT为公网提供服务场景组网图如下图所示。图中示例的云主机类型均可以替换为弹性云主机中的任何一个。 图 使用DNAT为云主机面向公网提供服务

本节介绍了如何获取服务返回的CNAME，并将域名或者业务的DNS解析指向天翼云提供的CNAME，这样访问的请求才能转发到边缘云节点上，达到安全防护效果。 要启用Web应用防火墙（边缘云）服务，需要您将接入域名的DNS解析指向我们提供的CNAME，这样域名的请求才能转发到天翼云边缘节点上。 操作步骤 1. 在控制台【域名管理】—【域名列表】复制域名对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。以DNSPod操作界面为例，配置如下： 3. 验证服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效；您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctdns.cn，即表示CNAME配置已经生效，功能也已生效。

本小节介绍安全专区云堡垒机映射端口策略配置。 如需要从互联网访问云堡垒机，需在云防火墙设置服务器映射策略，操作请参考服务器映射。 策略配置如下： 1.使用“系统管理员”的账户登录安全专区，访问云防火墙组件管理。 2.进入【策略】→【地址转换】→【新增】→【服务器映射】，为云堡垒机添加端口服务映射，需要添加两个云堡垒机的映射策略，包括“堡垒机管理端口服务映射”和“堡垒机运维单点登录映射端口”： 3.添加“堡垒机管理端口服务映射”。 原始数据包 源区域：选择“L3untrustA”； 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）； 协议&端口：互联网访问的协议及端口。 转换后数据包 内网地址：指定IP； 指定IP：云堡垒机IP地址； 端口转换为：443端口。 4. 添加“堡垒机运维单点登录映射端口”： 原始数据包 源区域：选择“L3untrustA”； 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）； 协议&端口：9443，12024，12025端口。 转换后数据包 网络对象：指定IP地址； 指定IP：云堡垒机IP地址。

漏洞名称 Spring Framework远程代码执行漏洞。 影响范围 JDK 9及以上的。 使用了Spring框架或衍生框架。 防护建议 登录CFW控制中心，在CFW页面建议操作如下： 1. 需要购买云防火墙CFW服务的标准版，详细操作请参考购买云防火墙。 2. 启用入侵防御的基础防御功能，并开启拦截模式，详细操作请参考配置入侵检测策略。 为什么访问控制日志页面数据为空？ 访问控制日志展示的是ACL防护策略匹配到的流量，您需要配置ACL策略才能查看访问控制日志。 添加防护规则请参见通过添加防护规则拦截/放行流量。 通过云防火墙的所有流量记录请查看流量日志。 攻击事件记录请查看攻击事件日志。 配置LTS日志时提示权限不足怎么办？ 在“日志管理”页面，完成日志配置后，提示“您的权限不足”，此时需要添加“LTS FullAccess”权限。 问题描述 “日志管理”页面，提示“您的权限不足”。 问题原因 “日志管理”页面，是将日志转储到云日志服务（Log Tank Service，简称LTS）中，此页面的所有操作，需要调用LTS服务的接口，依赖LTS服务权限。

本节主要介绍创建微服务 操作步骤 1、选择“服务目录”进入微服务列表页。 2、单击“创建微服务”，打开“创建微服务”页签，设置以下配置项。 配置项 说明 微服务名称 新建微服务的名称。 所属应用 新建微服务所属应用。 版本 新建微服务的版本号。 描述 对新建微服务的说明。 3、单击“创建”完成新建微服务。

备案时您需要提交备案主体及相关负责人的资料，管局会审核您提交的资料是否满足备案要求。备案前建议您参考本文准备好所需要的资料，提高信息提交效率和审核通过率。 备案时您需根据要求准备好基础资料和辅助资料，备案主体是个人和企业时，基础资料和辅助资料有差别。 备案主体为个人 备案主体为个人时，您需根据情况准备以下基本资料和辅助资料。基本资料必须提供，辅助资料需根据管局要求提供。 1.基本资料：需准备备案主体的身份证件原件，通过天翼云官网或天翼云APP上传备案资料。 身份 可用证件 中国居民 身份证/港澳居民来往内地通行证/台湾居民来往大陆通行证 其他国家和地区居民 护照 2.辅助资料：根据各地管局要求，因备案数目较多或其他ICP备案场景等，需准备部分辅助资料用于备案申请。 域名证书 部分省份管局要求提供，域名证书请到域名注册商处获取。 手持个人证件照片 个人进行ICP备案时，部分省市管局要求上传互联网信息服务负责人手持个人证件照片，如手持身份证、手持户口本等。 暂住证或居住证 部分省份，例如福建，当ICP备案申请人的身份证户籍地与申请ICP备案的省份不一致时，需要提供暂住证或居住证的电子材料，如原件彩色拍照照片。 网站建设方案说明书 部分省份管局要求，如果ICP备案主体下域名过多，需提供网站建设方案说明书，需包含以下内容： 1.网站服务内容介绍：包含网站内容截图或设计图、网站栏目及内容介绍、多网站（或域名）用途和域名扩展使用情况。 2.组网方案：包含设备配置、组网结构、使用技术及部署情况。 3.网络安全与信息安全管理制度：包含网络安全防御措施、信息安全管控制度和应急处理方案。 4.承诺：如备案成功后被发现主体信息有误、网站实际开办内容与备案信息不一致、域名有交易行为、网站内容涉及九不准等违法违规问题，自愿接受接入服务商关闭网站、主管部门注销备案并列入黑名单的处罚。需网站负责人签字、按手印。 备案主体为企业或组织 备案主体为企业或组织时，您需根据情况准备以下基本资料和辅助资料。基本资料必须提供，辅助资料需根据管局要求提供。 1.基本资料：需准备主办单位证件、主办单位负责人证件和互联网信息服务负责人证件等原件，通过天翼云官网或天翼云APP上传备案资料。 l 主办单位证件 营业执照等主办单位的资质证件材料。 注： 1、当主办单位为律师事务所时，上传的主办单位证件需为律师事务所执业许可证副本原件（包含副本首页、登记事项页、变更登记页、年检页）的电子材料，如原件彩色拍照照片。 2、当您提交备案变更（或变更主体）时，需同步在主体证件旁上传单位变更证明（工商变更证明、上级单位发文等） l 主办单位负责人（主体负责人）证件 部分省份管局要求主体负责人必须为法定代表人，并根据法定代表人身份提供对应的证件材料。 主体负责人身份 可用证件 中国居民 身份证/港澳居民来往内地通行证/台湾居民来往大陆通行证 其他国际和地区居民 护照 l 互联网信息服务负责人证件 互联网信息服务负责人可以是主体负责人，如果单位的互联网信息服务负责人与主体负责人不是同一人，则需要另外准备互联网信息服务负责人的证件材料。 互联网信息服务负责人身份 可用证件 中国居民 身份证/港澳居民来往内地通行证/台湾居民来往大陆通行证 其他国家和地区居民 护照 2.辅助资料：根据各管局要求，不同备案场景可能需要准备部分辅助资料用于备案申请。 辅助资料类型 适用场景 授权书 部分省市管局要求，当主体负责人或互联网信息服务负责人不是公司的法定代表人时，需提供主体负责人或互联网信息服务负责人授权书。 域名证书 部分省份管局要求提供，域名证书请到域名注册商处获取。 手持单位证件照片 单位进行备案时，部分省市管局要求上传互联网信息服务负责人手持单位证件照片，如手持营业执照等。 编办证明 部分省份管局要求事业单位和政府机关申请ICP备案时，需提供上级部门颁发的编办证明。 变更证明 备案主体为企业时，如果企业名称发生变更，此种场景下ICP备案时需要提供对应省份工商行政管理部门颁发的变更证明。 暂住证或居住证 部分省份，例如福建，当ICP备案申请人的身份证户籍地与申请ICP备案的省份不一致时，需要提供暂住证或居住证的电子材料，如原件彩色拍照照片。 网站建设方案说明书 部分省份管局要求，如果ICP备案主体下域名过多，需提供网站建设方案说明书，需包含以下内容： 1.网站服务内容介绍：包含网站内容截图或设计图、网站栏目及内容介绍、多网站（或域名）用途和域名扩展使用情况。 2.组网方案：包含设备配置、组网结构、使用技术及部署情况。 3.网络安全与信息安全管理制度：包含网络安全防御措施、信息安全管控制度和应急处理方案。 4.承诺：如备案成功后被发现主体信息有误、网站实际开办内容与备案信息不一致、域名有交易行为、网站内容涉及九不准等违法违规问题，自愿接受接入服务商关闭网站、主管部门注销备案并列入黑名单的处罚。需网站负责人签字、按手印。 资料下载

云应用引擎 CAE（Cloud App Engine）是一款面向容器应用的 Serverless 全托管平台，提供完整的微服务应用托管和治理能力。CAE 可帮助您将微服务应用便捷地容器化并托管，实现秒级部署与全自动弹性伸缩，按使用量计费，大幅提高业务交付效率和系统可用性。作为 Serverless 架构中承载复杂应用的核心组件，CAE 让您聚焦业务逻辑，免运维底层基础设施，开箱即用监控、日志、服务治理等企业级能力，全面提升应用的可管理性与弹性。 产品架构 CAE产品架构如下所示。更多信息，请参见基本概念。 底层基于Kubernetes，实现了Serverless架构与微服务架构的完美结合。 支持Spring Cloud多种微服务框架、多种部署方式（ZIP包、镜像）和多种技术栈语言（Java、PHP、Python等）。 产品功能 功能 说明 应用全生命周期管理 提供从创建到运行的应用全生命周期管理服务，支持分批、灰度等多种发布策略，支持按流量秒级灰度。 无侵入应用监控 提供无侵入的应用监控和告警能力，支持任意语言和任意框架。 无侵入微服务治理 支持Spring Cloud零代码改造迁移至云应用引擎。提供服务注册与发现、环境隔离、配置管理、限流降级、应用无损上下线、服务鉴权、全链路灰度等能力。 一键启停开发测试环境 中大型企业包含多套环境，测试环境如果长期保有应用实例，会导致闲置浪费高。CAE提供逻辑隔离运行环境，通过一键启停开发测试环境能力，有效节省硬件成本。

云应用引擎 CAE（Cloud App Engine）是一款面向容器应用的 Serverless 全托管平台，提供完整的微服务应用托管和治理能力。CAE 可帮助您将微服务应用便捷地容器化并托管，实现秒级部署与全自动弹性伸缩，按使用量计费，大幅提高业务交付效率和系统可用性。作为 Serverless 架构中承载复杂应用的核心组件，CAE 让您聚焦业务逻辑，免运维底层基础设施，开箱即用监控、日志、服务治理等企业级能力，全面提升应用的可管理性与弹性。 产品架构 CAE产品架构如下所示。更多信息，请参见基本概念。 底层基于Kubernetes，实现了Serverless架构与微服务架构的完美结合。 支持Spring Cloud多种微服务框架、多种部署方式（ZIP包、镜像）和多种技术栈语言（Java、PHP、Python等）。 产品功能 功能 说明 应用全生命周期管理 提供从创建到运行的应用全生命周期管理服务，支持分批、灰度等多种发布策略，支持按流量秒级灰度。 无侵入应用监控 提供无侵入的应用监控和告警能力，支持任意语言和任意框架。 无侵入微服务治理 支持Spring Cloud零代码改造迁移至云应用引擎。提供服务注册与发现、环境隔离、配置管理、限流降级、应用无损上下线、服务鉴权、全链路灰度等能力。 一键启停开发测试环境 中大型企业包含多套环境，测试环境如果长期保有应用实例，会导致闲置浪费高。CAE提供逻辑隔离运行环境，通过一键启停开发测试环境能力，有效节省硬件成本。

本章节主要介绍翼MapReduce服务的Web UI便捷访问特性。 大数据组件都有自己的WEB UI页面管理自身系统，但是由于网络隔离的原因，用户并不能很简便地访问到该页面。如访问HDFS的WEB UI页面，传统的操作方法是需要用户创建ECS，使用ECS远程登录组件的UI，这使得组件的页面UI访问很是繁琐，对于很多初次接触大数据的用户很不友好。 翼MR提供了基于内网IP地址来便捷访问开源组件UI。 操作步骤 1.登录翼MR控制台，点击正常运行的集群名称或“管理”按钮，进入集群详情页面。 2.点击“访问链接与端口”。 3.集群服务名称：具有WEB UI的集群服务有HDFS、YARN、HBase、Spark、Ranger、Doris、ElasticsearchKibana等，详情请参考开源组件Web站点。 4.原生UI地址：当集群部署了具备WEB UI的集群服务后，在“原生UI地址”列会默认显示相关集群服务的信息，原生UI地址展示的是“内网地址：端口号”的格式。 5.获取外网访问地址：外网地址展示的是“外网地址：端口号”的格式。要成功访问开源组件UI，需要在安全组页面开启该端口并放开出、入方向规则，同时需要开通部署了该集群服务的节点的外网IP，如何绑定外网IP请参考“绑定/解绑弹性IP”。 6.访问WEB UI地址：成功开启安全组和外网IP，在“外网地址”列会展示出可以访问的外网地址。通过访问外网地址就可以便捷访问开源组件UI。 7.WebUI登录：组件密码可前往Manager配置管理的vars.yaml高级配置中查询。LDAP用户名与密码可前往ManagerLDAP租户管理中查询。 注意 使用时需要先开通安全组端口才能访问；使用后需要及时关闭，避免安全泄漏风险。安全组访问规则配置方法可参加“ 说明 访问TezUI站点时，请参考下述步骤更新配置。 1. 前往Manager，在TezUI的配置管理中，将configs.js文件中的timeline地址更换为外网IP。即下图中划红线部分替换为控制台节点管理中TezUIServer所在节点的外网IP。修改后保存并同步配置，同步成功后重启TezUIServer实例。 2. 前往YARN的配置管理页面，在yarnsite.xml配置中开启yarn.timelineservice.enabled开关。保存更改并同步配置后，重启YARN与Hive服务。

为了极致的使用体验,本文为您介绍可以访问公网的产品。 公有云提供弹性公网IP（EIP）、NAT网关、弹性负载均衡（ELB）等方式连接公网。 EIP EIP提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。拥有多种灵活的计费方式，可以满足各种业务场景的需要。 ELB ELB将访问流量自动分发到多台弹性云服务器，扩展应用系统对外的服务能力，实现更高水平的应用容错。为负载均衡器配置需要监听的端口信息以及弹性云服务器，通过监听器来检查后端弹性云服务器的运行状态，确保将请求发送到正常的弹性云服务器上，提高系统可用性。 NAT网关 NAT网关能够为VPC内的弹性云服务器提供SNAT和DNAT功能，通过灵活简易的配置，即可轻松构建VPC的公网出入口。

本页介绍如何通过云监控服务查看翼MR集群的监控数据以及配置告警规则。 从翼MR v2.15.3版本起，用户可以通过云监控服务查看翼MR集群的主机与组件状态，并支持设置相关监控指标的告警规则，配置短信与邮件告警。如需了解产品详细情况，可参考云监控服务。 操作步骤 1. 登录天翼云官网，选择“云监控服务”。 2. 点击进入云监控服务的管理控制台。 3. 在左侧导航栏选择云服务监控中的“翼MapReduce监控”，即可查看该用户在当期资源池下的翼MR集群监控。 4. 操作栏中的查看监控图表，可以查看集群相关监控指标，支持自定义查看的时间段。 5. 点击操作栏内的创建告警规则，或点击左侧导航栏中告警服务中的“告警规则”，即可配置告警策略、通知与规则。 说明 当前仅华东1、西南1、华北2、上海36、华南2、武汉41、杭州7、西安7、西南2贵州资源池的集群支持使用该服务。 仅支持有翼MR集群节点查询权限的用户在云监控服务中查询目标集群的监控数据，管理员可通过翼MR的角色管理与用户权限功能为用户赋权。 监控指标列表 类别 指标名称 主机 cpu使用率 主机 系统15分钟负载 主机 内存空闲率 主机 磁盘存储空闲率 主机 磁盘inode空闲率 主机 磁盘IO使用率 主机 网卡每秒接收丢包数 主机 网卡每秒接收错误包 主机 网卡每秒发送丢包数 主机 网卡每秒发送错误包数 主机 节点指标采集器可用状态 主机 主机运行时间 主机 磁盘挂载状态 主机 磁盘是否只读异常 主机 网卡每秒接收的比特数 主机 网卡每秒发送的比特数 HDFS HDFS进程状态 HDFS HDFS NameNode主备状态 HDFS HDFS rpc端口处理平均耗时 HDFS HDFS rpc端口请求队列长度 HDFS HDFS存储使用率 HDFS PendingDeletionBlocks HDFS MissingBlocks HDFS HDFS每秒创建文件数 HDFS hdfs锁队列等待线程数 HDFS HDFS距离上次checkpoint时间 HDFS HDFS NameNode内存使用率 HDFS HDFS DataNode节点存活比例 HDFS 存储使用总量 HDFS 数据块总量 YARN YARN进程状态 YARN YARN ResourceManager主从状态 YARN pending作业数 YARN pending container数 YARN 心跳处理时延 YARN 每秒心跳次数 YARN YARN NodeManager存活节点比例 YARN YARN ResourceManager内存使用率 YARN YARN ResourceManager主备状态 Hive Hive进程状态 Hive hiveserver2 10000端口连接数 Hive hiveserver2 10000端口close wait数 Hive hiveserver2 端口监听状态 Hive hiveserver2堆内存使用率 Hive hiveserver2 10000端口连接数 Hive hiveserver2 10000端口close wait数 Hive Hive metastore 端口监听状态 Hive hiveserver2堆内存使用率 ZooKeeper ZooKeeper进程状态 ZooKeeper ZooKeeper watch数量 ZooKeeper ZooKeeper活跃连接数 ZooKeeper ZooKeeper数据节点存储总量 ZooKeeper Kafka进程状态 ZooKeeper 离线目录数量 ZooKeeper 离线副本数 ZooKeeper 低于 min.insync.replicas 的分区数量 ZooKeeper 未保持同步的分区数量 ZooKeeper 活跃controller数量 ZOOKEEPER ZooKeeper请求延迟 HBase HBase 进程状态 HBase HBase master主从状态 HBase HBase regionserver rit数 HBase HBase master堆内存使用率 HBase HBase regionserver节点存活比例 HBase HBase regionserver堆内存使用率 HBase get操作平均耗时 HBase 99%的get操作耗时 HBase 请求平均处理耗时 HBase 每秒读请求数 HBase 每秒写请求数 Doris Doris进程状态 Doris 每分钟GC时间 Doris 平均每分钟查询错误数 Doris be存储资源使用率 Doris Doris 前端主机cpu平均使用率 Doris Doris 前端主机内存平均使用率 Doris Doris 后端主机cpu平均使用率 Doris Doris 后端主机内存平均使用率 Doris Doris 前端每秒查询数量 Doris Doris 前端每秒请求数量 Elasticsearch es进程状态 Elasticsearch es集群状态 Elasticsearch es 未分配shard数 Elasticsearch pending任务数量 Elasticsearch 文件系统剩余容量百分比 Elasticsearch JVM堆使用率 Elasticsearch rejected线程数 Trino Trino进程状态 Trino 健康节点比例 Trino JVM堆使用率 OpenLDAP openldap进程状态 OpenLDAP 389端口连接数 Flink Flink进程状态 Flume Flume进程状态 Spark Spark进程状态 Kerberos Kerberos进程状态 Ranger Ranger进程状态 Kyuubi Kyuubi进程状态 Knox Knox进程状态 Kibana Kibana进程状态 Logstash Logstash进程状态 JeekeFS JeekeFS进程状态 KafkaUI KafkaUI进程状态 Amoro Amoro 进程状态 Tezui TezUI 进程状态 Tezui TezUI 端口监听状态 Hue Hue 进程状态 Hue Hue 端口监听状态 Hue Hue Python第0代不可回收对象的5分钟增量 Hue Hue Python第1代不可回收对象的5分钟增量 Hue Hue Python第2代不可回收对象的5分钟增量 Hue Hue Django 500错误响应的5分钟增量 DolphinScheduler DolphinScheduler 进程状态 DolphinScheduler DolphinScheduler 系统当前的CPU使用率 DolphinScheduler DolphinScheduler 系统的平均负荷（1分钟） DolphinScheduler DolphinScheduler 各JVM进程CPU使用率 DolphinScheduler DolphinScheduler 各服务GC后长期存活堆内存的使用率 DolphinScheduler DolphinScheduler 各服务垃圾回收时间占比 DolphinScheduler DSApiServer 未捕获异常个数 DolphinScheduler DSAlertServer 等待发送的告警数量 DolphinScheduler DSApiServer 响应状态码的接口个数 DolphinScheduler DSMasterServer 1小时过载次数 DolphinScheduler DolphinScheduler 正在运行的工作流实例数量 DolphinScheduler DSWorkerServer 1小时过载次数 DolphinScheduler DSWorkerServer 上等待提交的任务总数 DolphinScheduler DSWorkerServer 上正在执行的任务总数 DolphinScheduler DSWorkerServer 1小时提交队列全满次数 DolphinScheduler DSAlertServer 5分钟未捕获异常个数

本文提供安全加速用户使用指南的下载方式。 2024年12月1日起，天翼云安全加速产品将并入边缘安全加速平台，边缘安全加速平台安全与加速服务可提供动静态加速、DDoS防护、Web防护、Bot管理和API安全能力，相比于安全加速的应用场景更丰富。 新客户如有安全加速需求，请订购其升级产品边缘安全加速平台安全与加速服务，详见零基础如何使用安全与加速服务。 存量客户如果需要访问安全加速控制台，请登录安全加速控制台。 存量客户可参考安全加速帮助中心或者下载安全加速用户控制台使用指南