服务名称 与其他服务的关系 主要交互功能 云审计服务 开通云审计服务后，云审计服务会记录AntiDDoS相关的操作事件，方便用户日后的查询、审计和回溯。 消息通知服务 消息通知服务（Simple Message Notification，简称SMN）提供消息通知功能。AntiDDoS开启告警通知后，如果IP地址受到DDoS攻击时用户会收到短信或邮件的提醒信息。 云日志服务 将攻击日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录AntiDDoS日志，可以高效地进行实时决策分析、设备运维管理以及业务趋势分析。 云监控服务 云监控服务可以监控AntiDDoS相关的指标，用户可以通过指标及时了解防护状况，并通过这些指标设置防护策略。 统一身份认证服务 统一身份认证服务（Identity and Access Management，简称IAM）为AntiDDoS提供权限管理的功能，拥有对应权限的用户才能使用AntiDDoS服务。

全面管理用户从开发、训练到评估完成的模型生命周期，该模块不仅提供模型文件的安全存储功能，还具备精细化的版本管理，确保每一阶段的模型变更都有迹可循。 新建模型及版本 1. 在我的模型菜单页面中，点击【新建模型】，输入模型名称、模型描述以及来源。支持2种来源： 1. 导入至平台存储：上传模式，您可以将本地文件上传至平台提供的共享ZOS空间内，该模式对模型文件有2GB的大小限制； 2. 自有存储挂载（推荐使用）：挂载模式，需要您在天翼云官网同资源池下开通自有存储并完成委托授权等前置操作。选择自有存储挂载模式后，可创建的模型大小不再受平台限制，您只需填写已有存储的路径，平台将在任务中自动挂载该路径。目前已支持自有ZOS、自有HPFS、自有其他存储类型，您可在创建版本时切换顶部集群查看该集群下支持的存储类型。其中， 1. 自有ZOS：是指您租户在天翼云官网同资源池下开通的对象存储，用于数据长期存储和备份，完成委托授权后您可在本平台直接使用； 2. 自有HPFS：指租户在天翼云官网同资源池下开通的HPFS存储，常用于大模型的开发和训练等数据密集性的高性能计算场景，完成委托授权后您可在本平台直接使用。训练时需要与文件存储频繁交互，请确保存储状态可用且充足； 3. 自有其他存储：天翼云的集群分为两类：天翼云自建集群、与合作伙伴共营的其他集群，自建集群对应自有存储，其他集群对应其他存储。其他存储便是指其他集群中对应配置的存储。该存储与集群强相关，您在开通相应的集群后平台会自动打通与存储的关联，不需要进行委托授权步骤。 2. 新建模型后，点击模型卡片，进入模型详情页，您可在此处创建版本，版本是具体可操作的对象。 1. 模型来源为导入至平台存储： 当前平台导入：支持从平台上运行完成的模型调优和训练任务中导入(分别参见模型精调和训练任务)、也可以从JupyterLab和VSCode的目录中导入(参见模型开发)。 本地上传：支持从本地电脑导入不超过2G的模型文件。 口令导入：支持输入训推智算服务平台其他账户分享的口令完成导入，参见[模型分享与导出章节](

前置条件 1. 使用前，您的租户账号需在天翼云存储控制台开通并创建相应的存储 ，详见++对象存储快速入门++、++并行文件服务快速入门++。 2. 已在本平台完成相关产品的委托授权。 操作说明 基础数据集统一走挂载模式，需要您提前在存储的管理面完成数据导入、记录路径等前置操作，您在本平台只需填写已有存储的路径，平台将在任务中自动挂载该路径。基础数据集的存储方式包括普通存储、智算存储与其他存储： 普通存储（ZOS）： 账号自有存储：指租户在天翼云官网同资源池下开通的对象存储，用于数据长期存储和备份，完成委托授权后您可在本平台直接使用。 平台共享存储：本平台赠予您体验的存储，默认集群额度为 300G，是所有用户共享的存储，您的用量受限且不支持扩容，超出用量后需自行前往对象存储购买自有存储。平台后续将逐渐废弃此类存储，建议您直接使用自有存储。 智算存储（HPFS）： 账号自有存储：指租户在天翼云官网同资源池下开通的HPFS存储，常用于大模型的开发和训练等数据密集性的高性能计算场景，完成委托授权后您可在本平台直接使用。如需使用开发机和训练任务功能，请提前将数据、模型、代码导入智算存储中。训练时需要与文件存储频繁交互，请确保存储状态可用且充足。 平台共享存储：您在本平台开通的共享存储，默认集群额度为 512 G，是所有用户共享的存储，您的用量受限且不支持扩容，超出用量后需自行前往HPFS购买自有存储。平台后续将逐渐废弃此类存储，建议您直接使用自有存储。 其他存储：天翼云的集群分为两类：天翼云自建集群、与合作伙伴共营的其他集群，其中，自建集群对应自有存储，其他集群对应其他存储。其他存储便是指其他集群中对应配置的存储。该存储与集群强相关，您在开通相应的集群后平台会自动打通与存储的关联，不需要进行委托授权步骤。 上述可使用的存储类型都与集群强相关，例如集群A支持自有ZOS、自有HPFS，集群B支持自有其他存储，您不能在集群B下使用自有ZOS。您可切换顶部集群查看该集群支持的存储类型，也可事先联系您的客户经理了解集群的存储类型支持情况。

本节介绍如何查看集群审计日志。 查看事件统计 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看事件统计信息：统计信息分为审计事件总数、操作用户总数、添加事件总数、删除事件总数、更新事件总数、查看事件总数、操作类型分布、资源操作分布、返回状态码、操作用户分布，帮助客户更直观的查看集群内的异常事件分布。 查看日志列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看页面下方的审计日志列表，方便用户溯源事件。 日志列表内，支持按照“安全状态”、“日志级别”、“日志所属阶段”、“操作对象”、“操作类型”、“对应客户端”、“客户端节点IP”、“API响应状态”进行筛选查询。 日志信息参数说明： 参数 说明 日志级别 审计日志根据日志策略可以选择事件保存的等级，根据等级不同，APIServer记录日志的详细程度也不同。 目前支持的日志等级有： None：不记录日志。 Metadata：只记录Request的一些metadata（例如user, timestamp, resource, verb等），但不记录Request或Response的body。 Request：记录Request的metadata和body。 RequestResponse：最全记录方式，会记录所有的metadata、Request和Response的Body。 日志所属阶段 审计日志根据日志策略可以选择在事件执行的某个阶段记录。 目前支持的事件阶段有： RequestReceived：接收到事件且在分配给对应handler前记录。 ResponseStarted：开始响应数据的Header但在响应数据Body发送前记录，这种一般应用在持续很长的操作事件，例如watch操作。 ResponseComplete：事件响应完毕后记录。 Panic：内部出现panic时记录。 操作对象 操作的资源类型。 所在集群 操作对象所属集群。 操作类型 操作类型分为get获取、watch监控、list获取、update更新、create创建、patch修改、delete删除这些类型。 update和patch的区别：update请求需要将整个修改后的对象提交给 k8s；而patch请求只需要将对象中某些字段的修改提交给k8s。 对应客户端 事件服务的客户端名称（在userAgent中定义）。 访问源IPv6/IPv4 事件服务的客户端所在节点的IP地址。 API响应状态 API响应状态码分为以下几类： “1XX”为信息性状态码（informational）。 “2XX”为成功状态码（Success）。 “3XX”为重定向状态码（Redirection）。 “4XX”为客户端错误状态码（Client Error）。 “5XX”为服务端错误状态码。 常用的状态码解释说明如下： 200：OK，请求成功，具体意义根据请求所使用的方法不同而不同。 201：Created，请求成功并创建了资源； 403：Forbidden，表示身份认证通过了，但是对服务器请求资源的访问被拒绝了； 404：Not Found，表示服务器找不到你请求的资源； 409：Conflict，表示请求与服务器当前状态冲突。通常发生在更新资源时，主要是处理并发问题的状态码。 500：Internal Server Error，表示服务器执行请求的时候出错了。 API请求URL API请求URL的地址。 安全状态 安全状态分为正常和异常这两种，异常是指触发了内置策略的事件。 请求时间 事件的请求时间。 4. 单击日志列表内的下拉按钮，可展开查看事件的json格式详情。

本文介绍了如何使用天翼云弹性云主机的Windows实例搭建FTP站点。该指导具体操作以Windows 2012 Standard R2 64位中文版为例。 Windows实例搭建FTP站点具体操作步骤 1. 添加IIS的角色和功能。 2. 创建FTP服务用户名及密码。 3. 设置共享文件权限。 4. 配置FTP站点。 5. 配置FTP防火墙。 6. 配置安全组规则及防火墙策略。 7. 客户端进行连接测试。 示例环境 实例类型：s3.large.2 2核 4G 通用型云主机 所在区域：山西 系统盘：40GB 操作系统：Windows 2012 Standard R2 64位中文版 公网弹性IP带宽：1Mbps 操作步骤 1. 添加IIS的角色和功能。 1. 登录弹性云主机。 2. 选择“开始 > 服务器管理器”。 3. 单击“添加角色和功能”。 4. 在弹出的“开始之前”对话框中，单击“下一步”。 5. 选择“基于角色或基于功能的安装”，单击“下一步”。 6. 选择需要部署FTP的服务器，单击“下一步”。 7. 选择“Web服务器（IIS）”，并在弹出的对话框中单击“添加功能”，然后单击“下一步”。 8. 连续单击“下一步”，到“角色服务”页面。 9. 选择“FTP服务器”以及“IIS管理控制台”，单击“下一步”。 10. 单击“安装”，开始部署服务角色。 11. 安装完成后，单击“关闭”。 1. 添加IIS的角色和功能 2. 添加IIS的角色和功能 3. 添加IIS的角色和功能 4. 添加IIS的角色和功能 2. 创建FTP服务用户名及密码。 1. 在“服务器管理器”中，选择“仪表板 > 工具 > 计算机管理”。 2. 选择“系统工具 > 本地用户和组 >用户”，在右侧空白处右击，并选择“新用户”。 3. 设置“用户名”和“密码”，此处用户名以“ftp”为例。 3. 设置共享文件权限。 需要在FTP站点为共享给用户的文件夹设置访问及修改等权限。 1. 在服务器上创建一个供FTP使用的文件夹，选择文件夹，并单击右键选择“属性”。此处以“share”文件夹为例。 2. 在“安全”页签，选择 “Everyone”，单击“编辑”。如果没有“Everyone”用户可以直接选择，需要先进行添加。 3. 选择“Everyone”，然后根据需要，选择“Everyone”的权限，并单击“确定”。此处以允许所有权限为例。 4. 配置FTP站点。 1. 在“服务器管理器”中，选择“仪表板 > 工具 >Internet Information Services (IIS)管理器 ”。 2. 选择“网站”并单击右键，然后选择“添加FTP站点”。 3. 在弹出的窗口中，填写FTP站点名称及共享文件夹的物理路径，然后单击“下一步”。此处站点名称以“ftp”为例。 4. 输入该弹性云主机的公网IP地址以及端口号，并设置SSL，单击“下一步”。 端口号默认为21，也可自行设置。 SSL根据需要进行设置。 无： 不需要SSL加密。 允许：允许FTP服务器与客户端的非SSL和SSL连接。 需要：需要对FTP服务器和客户端之间的通信进行SSL加密。 5. 设置身份认证和授权信息，并单击“完成”。 身份认证 匿名：允许任何仅提供用户名 “anonymous” 或 “ftp” 的用户访问内容。 基本：需要用户提供有效用户名和密码才能访问内容。但是基本身份验证通过网络传输密码时不加密，因此建议在确认客户端和FTP服务器之间的网络连接安全时使用此身份验证方法。 授权 允许访问 所有用户：所有用户均可访问相应内容。 匿名用户：匿名用户可访问相应内容。 指定角色或用户组：仅指定的角色或用户组的成员才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的角色或用户组。 指定用户：仅指定的用户才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的用户。 权限：选择经过授权的用户的“读取”和“写入”权限。 6. 绑定弹性云主机的公网IP。 选择“网站”，选中创建的FTP站点，单击“绑定”；在弹出的“网站绑定”窗口单击“添加”，然后在弹出的窗口中添加弹性云主机的私网IP地址，并单击“确定。 5. 配置FTP防火墙支持。 如果需要使用FTP服务器的被动模式，则需要配置FTP防火墙支持。 如果天翼云上的服务器需要通过公网IP地址访问天翼云上的实例搭建的FTP服务器时，需要配置FTP服务器的被动模式。 双击“FTP防火墙支持”，打开FTP防火墙支持的配置界面。 配置相关参数，数据通道端口范围：指定用于被动连接的端口范围。可指定的有效端口范围为102565535，请根据实际需求进行设置，此处配置50006000，防火墙的外部IP地址：输入该弹性云主机的公网IP地址，并单击“应用”。 重启云主机使防火墙配置生效。 6. 配置安全组规则及防火墙策略。 搭建好FTP站点后，需要在弹性云主机安全组的入方向添加一条放行FTP端口的规则，如果配置了“FTP防火墙支持”，需要在安全组中同时放行FTP站点使用的端口和FTP防火墙使用的数据通道端口。 服务器防火墙默认放行TCP的21端口用于FTP服务。如果选用其他端口，需要在防火墙中添加一条放行此端口的入站规则。 FTP模式 方向 协议 端口 源地址 主动模式 入方向 TCP 20端口和21端口 0.0.0.0/0 被动模式 入方向 TCP 21端口和1024~65535间的端口（根据上文配置，此处50006000） 0.0.0.0/0 7. 客户端进行连接测试。 打开客户端的计算机，在路径栏输入“ftp://FTP服务器IP 地址 :FTP 端口 ”（如果不填端口则默认访问21端口）。弹出输入用户名和密码的对话框表示配置成功，正确的输入用户名和密码后，即可对FTP文件进行相应权限的操作，share文件夹下创建工作事项.txt文件，在本地访问共享文件夹可以查看并下载。

安装远程桌面服务和RD授权 远程桌面服务安装和配置 1 选择“服务器管理器 > 角色 > 添加角色”。 2 勾选“远程桌面服务”，单击“下一步”。 3 单击“下一步”。 4 单击“下一步”。 5 选择“始终安装远程桌面会话主机”，单击“下一步”。 6 选择“角色服务”，勾选“远程桌面会话主机”和“远程桌面授权”，单击“下一步”。 7 单击“下一步”。 8 选择“不需要使用网络级别身份认证”，单击“下一步”。 9 选择“以后配置”，单击“下一步”。 10 界面默认显示的“Administrators”能够连接到RD会话主机服务器（如果有特别需要，请添加需要的用户或组），单击“下一步”。 11 单击“下一步”。 12 单击“下一步”。 13 选择“稍后为SSL加密选择证书”，单击“下一步”。 14 选择“以后”，单击“下一步”。 15 默认，单击“下一步”。 16 选择“角色服务”，勾选“网络策略服务器”，单击“下一步”。 17 安装IIS，单击“下一步”。 18 默认，单击“下一步”。 19 默认，单击“安装”。 20 界面显示安装过程，请等待。 21 安装完成后，单击“关闭”，弹出重启服务器提示框，选择“是”自动重启服务器，单击“下一步”。 22 服务器重启后，登录会自动弹出角色服务配置窗口，自动配置完成后单击“关闭”。 23 选择“开始 > 管理工具 > 远程桌面服务 > 远程桌面会话主机配置”，在右侧窗口中双击“限制每个用户只能进行一个会话”，在“属性”中取消勾选“限制每个用户只能进行一个会话”，单击“确定”。

相关服务 交互功能 弹性云主机（ECS） 弹性云主机为文档数据库服务提供可弹性申请的计算资源，为数据库实例提供运行环境。 虚拟私有云（VPC） 虚拟私有云为文档数据库服务提供可弹性申请的网络资源，对数据库实例进行网络隔离和访问控制，提供数据库实例运行环境。 对象存储服务（OBS） 对象存储服务为文档数据库实例的备份文件提供存储空间。 云监控服务（CES） 云监控服务（CES）是一个开放性的监控平台，帮助用户实时监测文档数据库服务资源动态。云监控服务提供多种告警方式以保证及时预警，为您的服务正常运行保驾护航。 统一身份认证服务（IAM） 统一身份认证服务（Identity and Access Management，简称IAM）为文档数据库服务提供了权限管理功能。 云审计服务（CTS） 云审计服务（Cloud Trace Service，简称CTS），记录文档数据库服务相关的操作事件，方便用户日后的查询、审计和回溯。 数据复制服务（DRS） 使用数据复制服务，在多种场景下，实现数据库平滑迁移上云。最大限度允许迁移过程中业务继续对外提供使用，有效地将业务系统中断时间和业务影响最小化，完成数据库平滑迁移工作。

本文介绍云搜索服务和天翼云官网其他产品之间的关联关系。 相关服务 交互功能 虚拟私有云（CTVPC，Virtual Private Cloud） 云搜索服务在购买前需要提前开通虚拟私有云，实例将建立在同资源池下指定的子网内，VPC之间网络隔离，可为用户提供安全的网络环境。详细请参考虚拟私有云产品文档。 弹性云主机（CTECS，Elastic Cloud Server） 云搜索服务的每个实例节点即为一台弹性云主机，创建实例时会根据购买需求自动下单对应数量，主要提供计算分析服务。 云硬盘（CTEVS，Elastic Volume Service） 云搜索服务使用云硬盘存储用户的索引数据，创建实例时会根据购买需求将云硬盘自动挂载在对应节点。 弹性IP（EIP，Elastic IP） 云搜索服务如需要开放公网访问，需要购买弹性IP或IPv6带宽并绑定到实例对应组件上。详细请参考弹性IP产品文档。 对象存储服务（CTZOS，Zettabyte Object Storage） 云搜索服务的实例快照及所需要安装的自定义插件均需要开通对象存储服务，进行存储和读取。详细请参考对象存储服务产品文档。 弹性负载均衡（CTELB ，Elastic Load Balancing） 云搜索服务的实例需要分流访问流量时，可以通过购买负载均衡类产品，对接到云搜索实例上，实现后端主机分流访问。详细请参考弹性负载均衡服务产品文档。 云监控服务 云搜索服务集成公有云云监控服务能力，实时监测集群健康状态和磁盘使用率等核心指标，保障服务稳定运行。用户可通过监控数据及时掌握集群资源状况。详细请参考云监控服务产品文档。 云日志服务 云搜索服务将组件运行期间的日志写入云日志服务中，用户可通过查看日志排查实例运行问题。详细请参考云日志服务产品文档。 云审计 云审计全面记录云搜索服务的核心操作事件，支持操作历史查询与审计回溯。详细请参考云审计产品文档。 统一身份认证服务（Identity and Access Management，简称IAM） 云搜索服务使用天翼云官网统一身份认证服务进行身份鉴权。详细请参考统一身份认证服务产品文档。

公网连接Redis 在进行公网访问时，请仔细阅读公网连接Redis实例的相关章节，并确保实例满足公网访问的要求。 Connection reset by peer错误或远程主机强迫关闭连接： 原因： 安全组未正确配置。 解决方法：需要允许Redis实例被访问，具体配置请按照公网连接Redis实例章节中的操作进行。 Redis实例绑定的弹性公网IP被解绑，导致公网访问关闭。 解决方法：在控制台重新开启实例的公网访问，绑定弹性公网IP，并重新连接。 密码问题 密码输入错误时，端口可以连接上，但鉴权认证会失败。如果忘记了密码，可以重置缓存实例密码。 实例配置问题 连接Redis时存在拒绝连接，可登录分布式缓存服务控制台，进入实例详情页面，调整实例参数maxclients的配置，具体操作可参考修改实例配置参数。 客户端连接问题 在使用Rediscli连接Cluster集群时，连接失败。 解决方法：请检查连接命令是否加上 c ，在连接Cluster集群节点时务必使用正确连接命令。 Cluster集群连接命令： ./rediscli h {dcsinstanceaddress} p {port} a {password} c 单机、主备、Proxy集群连接命令： ./rediscli h {dcsinstanceaddress} p {port} a {password} 具体连接操作，请参考rediscli连接方式。 出现Read timed out或Could not get a resource from the pool。 解决方法： 排查是否使用了keys命令，keys命令会消耗大量资源，造成Redis阻塞。建议使用scan命令替代，且避免频繁执行。 连接断开。 解决方法： 调整应用超时时间。 优化业务，避免出现慢查询。 建议使用scan命令替代keys命令。 性能问题导致连接超时 执行资源密集型的命令如 keys 可能导致 CPU 使用率急剧上升。另一方面，若实例没有设置适当的过期时间或未清理已过期的键，可能导致存储的数据不断增加，一直保存在内存中，从而导致内存使用率升高。这些情况都有可能引发访问缓慢和连接不上等问题。 避免使用资源密集型命令： 使用一些耗费资源的命令，如 keys，可能导致CPU使用率升高，从而影响性能。建议改用更轻量级的命令，如 scan，以减轻服务器负载。 设置合适的过期时间： 如果实例中的数据没有设置过期时间，可能导致存储的数据过多一直在内存中，增加内存使用率。请确保对于不再需要的数据设置适当的过期时间，并定期清理过期数据。 监控和告警设置： 配置监控指标并设置相应的告警，以及时发现和应对性能问题。关注内存利用率、已用内存以及活跃的客户端数量等监控项，通过这些指标评估实例的健康状态。 检查大Key和热Key： 大Key和热Key可能会影响性能。使用 DCS 控制台提供的分析功能，检查是否存在大Key和热Key，并根据需要采取相应的优化措施。详细操作请参考分析Redis实例的大Key和热Key文档。 合理使用缓存策略： 考虑使用适当的缓存策略，根据业务需求选择合适的数据存储和过期策略。这可以帮助提高缓存效率和减轻性能压力。

操作场景 命名空间（Namespace）是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离。使得它们既可以共享同一个集群的服务，也能够互不干扰。 例如可以将开发环境、测试环境的业务分别放在不同的命名空间。 前提条件 至少已创建一个集群，请参见购买混合集群。 约束与限制 每个命名空间下，创建的服务数量不能超过6000个。此处的服务对应kubernetes的service资源，即工作负载所添加的服务。 命名空间类别 命名空间按创建类型分为两大类：集群默认创建的、用户创建的。 集群默认创建的：集群在启动时会默认创建default、kubepublic、kubesystem、kubenodelease命名空间。 − default：所有未指定Namespace的对象都会被分配在default命名空间。 − kubepublic：此命名空间下的资源可以被所有人访问（包括未认证用户），用来部署公共插件、容器模板等。 − kubesystem：所有由Kubernetes系统创建的资源都处于这个命名空间。 − kubenodelease：每个节点在该命名空间中都有一个关联的“Lease”对象，该对象由节点定期更新。NodeStatus和NodeLease都被视为来自节点的心跳，在v1.13之前的版本中，节点的心跳只有NodeStatus，NodeLease特性从v1.13开始引入。NodeLease比NodeStatus更轻量级，该特性在集群规模扩展性和性能上有明显提升。 用户创建的：用户可以按照需要创建命名空间，例如开发环境、联调环境和测试环境分别创建对应的命名空间。或者按照不同的业务创建对应的命名空间，例如系统若分为登录和游戏服务，可以分别创建对应命名空间。 创建命名空间 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 命名空间”。单击“创建命名空间”。 步骤 2 参照下表设置命名空间参数，其中带“”标志的参数为必填参数。 表命名空间基本信息 参数 参数说明 命名空间 新建命名空间的名称，命名必须唯一。 集群 新建命名空间属于哪个集群。 节点亲和 开启后，当前命名空间下所创建的工作负载只能调度到拥有特定标签的节点上。您可以在节点管理中通过标签管理为节点添加标签。 该参数仅在v1.13.10r0及以上版本的集群中显示。 命名空间描述 输入对命名空间的描述信息。 资源配额设置 资源配额可以限制命名空间下的资源使用，进而支持以命名空间为粒度的资源划分。 须知：建议根据需要在命名空间中设置资源配额，避免因资源过载导致集群或节点异常。 例如：在集群中每个节点可以创建的实例（Pod）数默认为110个，如果您创建的是50节点规格的集群，则最多可以创建5500个实例。因此，您可以在命名空间中自行设置资源配额以确保所有命名空间内的实例总数不超过5500个，以避免资源过载。 可设置配额的资源类型如下： CPU（Core） 内存（MiB） 有状态工作负载（StatefulSet） 无状态工作负载（Deployment） 普通任务（Job） 定时任务（CronJob） 实例（Pod） 服务（Service） 请输入整型数值，"0"表示不限制该资源的使用。 若您需要限制CPU或内存的配额，则创建工作负载时必须指定CPU或内存请求值。 步骤 3 配置完成后，单击“确定”。

本章节主要介绍翼MapReduce服务如何导入导出数据。 用户通过“文件管理”页面可以在分析集群进行文件夹创建、删除，文件导入、导出、删除操作，暂不支持文件创建功能。流式集群暂不支持在界面使用“文件管理”功能。开启Kerberos认证的集群中，根目录下的文件夹有权限限制，如需对其进行读写，请参考创建角色内容添加拥有对应文件夹权限的角色，再请参考相关任务修改提交作业用户所属的用户组，将新增的组件角色加入到该用户组中。 背景信息 MRS集群处理的数据源来源于OBS或HDFS，HDFS是Hadoop分布式文件系统（Hadoop Distributed File System），OBS即对象存储服务，是一个基于对象的海量存储服务，为客户提供海量、安全、高可靠、低成本的数据存储能力。MRS可以直接处理OBS中的数据，客户可以基于管理控制台Web界面和OBS客户端对数据进行浏览、管理和使用，同时可以通过REST API接口方式单独或集成到业务程序进行管理和访问数据。 用户创建作业前需要将本地数据上传至OBS系统，MRS使用OBS中的数据进行计算分析。当然MRS也支持将OBS中的数据导入至HDFS中，使用HDFS中的数据进行计算分析。数据完成处理和分析后，您可以将数据存储在HDFS中，也可以将集群中的数据导出至OBS系统。需要注意，HDFS和OBS也支持存储压缩格式的数据，目前支持存储bz2、gz压缩格式的数据。 导入数据 MRS目前只支持将OBS上的数据导入至HDFS中。上传文件速率会随着文件大小的增大而变慢，适合数据量小的场景下使用。 支持导入文件和目录，操作方法如下： 1. 登录MRS管理控制台。 2. 选择“集群列表 > 现有集群”，选中一集群并单击集群名进入集群信息页面。 3. 单击“文件管理”，进入“文件管理”页面。 4. 选择“HDFS文件列表”。 5. 进入数据存储目录，如“bdapp1”。 “bdapp1”目录仅为示例，可以是界面上的任何目录，也可以通过“新建”创建新的文件夹。 新建文件夹时需要满足以下要求： 文件夹名称小于等于255字符。 不允许为空。 不能包含 : /:?"<>;&,'!{}[]$%+特殊字符。 不能以“.”开头或结尾。 开头和末尾的空格会被忽略。 6. 单击“导入数据”，正确配置HDFS和OBS路径。配置OBS或者HDFS路径时，单击“浏览”并选择文件目录，然后单击“是”。 OBS路径 必须以“obs://”开头。 不支持导入KMS加密的文件或程序。 不支持导入空的文件夹。 目录和文件名称可以包含中文、字母、数字、中划线和下划线，但不能包含;&>, ,<'$?:特殊字符。 目录和文件名称不能以空格开头或结尾，中间可以包含空格。 HDFS全路径长度小于等于255字符。 7. 单击“确定”。 文件上传进度可在“文件操作记录”中查看。MRS将数据导入操作当做Distcp作业处理，也可在“作业管理”中查看Distcp作业是否执行成功。

本文介绍云防火墙与其他云服务的关系，例如与统一身份认证服务的关系、与Web应用防火墙的关系等。 与统一身份认证服务的关系 统一身份认证服务（Identity and Access Management，简称IAM）为云防火墙服务提供了权限管理的功能。需要拥有Tenant Administrator权限的用户才能拥有CFW服务的操作权限（包括云资源授权，资产管理以及执行资产检测任务等）。如需开通该权限，请联系拥有Security Administrator权限的用户。 与Web应用防火墙的主要区别 云防火墙和Web应用防火墙是两款不同的产品，为您的互联网边界和VPC边界、Web服务提供防护。 WAF和CFW的主要区别说明详见下表。 类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，云上或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

本章节主要介绍翼MapReduce与其他产品的关系。 与其他产品的关系 服务名称 翼MR与其他产品的关系 主要交互功能 虚拟私有云（VPC） 翼MR集群创建在虚拟私有云（VPC）的子网内，VPC通过逻辑方式进行网络隔离，为用户的翼MR集群提供安全、隔离的网络环境。 创建虚拟私有云和子网。 弹性云主机（ECS） 翼MR服务使用弹性云主机作为集群的节点，每个弹性云主机是集群中的一个节点。 准备运行环境创建集群。 关系数据库MySQL版 关系数据库MySQL版（RDS）用于存储翼MR集群元数据。 配置数据连接。 统一身份认证服务（IAM） 统一身份认证服务（IAM）为翼MR提供了鉴权功能。 创建IAM子用户并同步用户信息至控制台和LDAP用户。 云监控服务 云监控服务支持对V2.16.0及以上版本的翼MR集群进行主机与组件状态的监控和告警。 创建翼MR集群后，可前往云监控服务控制台查看监控与配置告警规则。 [云日志服务](

本文帮助您快速熟悉添加安全组规则的操作场景和操作流程。 操作场景 安全组创建成功后，当您的云服务器需要与外部网络通讯时，您可根据业务需求自定义添加新的出方向、入方向安全组规则，这可以帮助保护服务器免受未经授权的访问。 入方向：指从外部访问安全组规则下的弹性云主机。 出方向：指安全组规则下的弹性云主机访问安全组外的实例。 安全组规则有数量限制，您应尽量保持规则的精简。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，找到您需要添加规则的安全组名称，点击安全组名称，进入安全组详情页。 6. 点击“添加规则”，根据界面提示配置安全组规则，确定授权策略、优先级、协议类型、端口范围、源/目的地址等信息。 具体参数配置信息如下表： 参数 说明 取值样例 IP版本 IPv4、IPv6 IPv4 授权策略 允许、拒绝 允许 优先级 安全组规则优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，级别越高。优先级相同的情况下，拒绝策略优先于允许策略。 1 协议 网络协议，取值范围为：TCP，UDP，ICMP，Any。 TCP 端口范围 安全组规则的端口范围，取值范围为：1～65535。支持同时输入多个端口，以英文逗号分隔。多个端口值按照多条规则分别下发，占用多个配额。 22或2230 授权对象 授权对象支持类型：IP地址、安全组、前缀列表。支持同时输入多个IP地址/安全组/前缀列表，按照多条规则分别下发，占用多个配额。 1、IP地址：支持IP地址，地址格式：0.0.0.0/0（任意IPv4地址）、::/0（任意IPv6地址）。 2、安全组：表示源地址/目的地址选择当前帐号下同一个区域内的安全组。部分资源池支持选择安全组，实际情况以控制台展现为准。 当安全组A内有实例a，安全组B内有实例b，在安全组A设置入方向规则时，“策略”为允许，源地址选择安全组B，则表示来自实例b的内网访问请求被允许进入实例a。 同一安全组内云服务器实例内网互访默认是隔离状态，如您有同一安全组内的云服务器之间互通的需求，您可以在添加安全组规则时配置一条引用本安全组的规则，实现组内互通。 3、前缀列表：表示源地址/目的地址选择当前帐号下同一区域内的前缀列表。部分可用区资源池支持选择前缀列表，实际情况以控制台展现为准。 当源地址/目的地址为前缀列表时，前缀列表所占用的安全组规则数等于前缀列表的最大条目数 。 如果跨地域克隆安全组时，引用前缀列表的安全组规则不支持克隆到目标区域新的安全组中 。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。支持拉丁字母、中文、数字,特殊字符 : ~^@

本章节主要介绍云搜索服务与其他服务的关系。 虚拟私有云（Virtual Private Cloud，简称VPC） 云搜索服务的集群创建在虚拟私有云（VPC）的子网内，VPC通过逻辑方式进行网络隔离，为用户的集群提供安全、隔离的网络环境。 弹性云主机（Elastic Cloud Server，简称ECS） 云搜索服务的集群中每个节点为一台弹性云主机（ECS）。创建集群时将自动创建弹性云主机作为节点。 云硬盘（Elastic Volume Service，简称EVS） 云搜索服务使用云硬盘（EVS）存储索引数据。创建集群时，将自动创建云硬盘用于集群存储。 对象存储服务（Object Storage Service，简称OBS） 云搜索服务的集群快照存储在对象存储服务（OBS）的桶中。 统一身份认证服务（Identity and Access Management，简称IAM） 云搜索服务使用统一身份认证服务（IAM）进行鉴权。 云监控服务（Cloud Eye） 云搜索服务使用云监控服务实时监测集群的指标信息，保障服务正常运行。云搜索服务当前支持的监控指标为磁盘使用率和集群健康状态。用户通过磁盘使用率指标可以及时了解集群的磁盘使用情况。通过集群健康状态指标，用户可以了解集群的健康状态。 云审计服务（Cloud Trace Service，简称CTS） 云审计服务（CTS）可以记录与云搜索服务相关的操作事件，便于日后的查询、审计和回溯。

功能 相关服务 通过IAM服务实现以下功能： 用户身份鉴权 IAM用户权限设置 IAM委托设置 统一身份认证服务（Identity and Access Management，IAM） 标签用于标识OBS中的桶，以实现对OBS中的桶进行分类。 标签管理服务（Tag Management Service，TMS） 通过密钥管理KMS功能对上传到OBS中的文件进行加密。 数据加密服务（Data Encryption Workshop，DEW）

本文主要介绍如何设置OBS用户权限。 若云服务帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用OBS的其它功能。 若您使用IAM用户，则需要先配置IAM用户的OBS资源权限。OBS与其他云资源是分开部署的。 示例流程 操作步骤 步骤 1 使用云服务帐号登录管理控制台。 步骤 2 在顶部导航栏选择“服务列表>管理与部署>统一身份认证服务”，进入“统一身份认证服务”管理控制台。 步骤 3 创建用户组并授予OBS资源权限。 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您在IAM中创建的用户，需要加入特定用户组后，用户才具备用户组所拥有的权限。 1. 在左侧导航栏单击“用户组”，进入“用户组”界面。 2. 单击“创建用户组”。 3. 在“创建用户组”界面，输入“用户组名称”和“描述”，单击“创建”。 用户组创建完成，界面自动返回用户组列表，列表中显示新建的用户组。 4. 单击所创建的用户组右侧操作列的“权限配置”。 5. 在用户组详情页，选择“权限管理”页签，单击“配置权限”。 6. 作用范围选择“全局服务”，根据需求选中权限，单击“确定”。 步骤 4 创建用户。 步骤 5 使用IAM用户登录OBS管理控制台，验证用户权限。

如果您需要对您所拥有的LTS（Log Tank Service）进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用LTS资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将LTS资源委托给更专业、高效的其他或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用LTS服务的其它功能。 本章节为您介绍对用户授权的方法。 前提条件 给用户组授权之前，请您了解用户组可以添加的LTS权限，并结合实际需求进行选择LTS支持的系统权限。 示例流程 1. 登录统一身份认证服务IAM控制台。在IAM控制台创建用户组，并授予云日志服务操作权限“LTS FullAccess”。 说明 选择“LTS FullAccess”，由于该策略有依赖，除了勾选LTS FullAccess外，还需要在同项目中勾选依赖的策略：Tenant Guest、以及“全局区域 对象存储服务项目”中勾选依赖的策略：Tenant Administrator。 2. 在IAM控制台创建用户，并将其加入[步骤1]中创建的用户组。 3. 使用新创建的用户登录控制台，切换至授权区域，验证权限。

关系数据库MySQL版已对接天翼云统一身份认证服务（IAM），可实现账号委托功能。账号委托的操作步骤如下： 操作步骤 1. 进入IAM的控制中心页面 2. 在左侧导航栏点击“委托”，进入账号委托管理页面。 3. 点击右上角的“创建委托”，进入创建委托页面。 4. 选择“可信实体类型”，点击“下一步”。 5. 填写“委托名称”、“备注”、“委托账号”，点击“完成”。即可完成账号委托。

适用场景 用户Web业务服务器部署在天翼云上、非天翼云或线下，防护对象为域名或IP。 各服务版本推荐适用的场景说明如下： 服务版本 适用场景说明 单机版 适用于资源在天翼云上的01Gbps的IP防护场景。 集群版 适用于资源在天翼云上的110Gbps，需要集群高可用的防护场景。 约束条件 WAF独享版实例生效期间，支持扩增资源扩展包数量。 开通WAF独享版实例，必须购买主套餐，可以在主套餐基础上叠加购买资源扩展包，扩展包与主套餐绑定，到期时间与主套餐一致，不支持单独续订、退订。 前提条件 已经注册天翼云账号并完成实名认证。 购买步骤（一类节点区域） 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 管理独享引擎”；或选择“系统管理 > 查看产品信息”，选择“独享型”页签。在实例列表上方，单击“立即购买”。 首次使用WAF时，进入如下欢迎页面，单击“立即购买”。 5. 在产品订购页面，版本选择“WAF独享模式”，配置区域 、可用区 、企业项目、虚拟私有云 、子网、CPU架构。 说明 若需要开启IPv6，请确保所选子网已开启IPv6功能。详细操作请参见创建子网。 企业项目相关内容请参考：企业项目管理。 6. 选择规格和购买数量。 参数说明如下： 参数 说明 规格选择 支持“单机版”和“集群版”。 购买数量 一个单机版实例只需购买1个节点。 一个集群版实例至少购买4个节点（2个反向代理节点，2个检测引擎节点），最多购买12个节点。 云主机配置 “集群版”支持多AZ部署，选择“集群版”时，可以为各个节点选择不同的可用区。 7. 购买“带宽扩展包”、“域名扩展包”，可以设置购买数量。 扩展包 规格 数量限制 带宽扩展包 1个带宽扩展包包含1000QPS业务请求峰值、50Mbps业务带宽。 单机版：最多支持16个带宽扩展包。 集群版：带宽扩展包的数量上限与节点数量相关联，每增加一个节点，带宽扩展包的上限数量可增加20个。 例如，当集群包含4个节点时，最多支持配置20个带宽扩展包；而当节点数量增至12个时，最多支持配置180个带宽扩展包。 域名扩展包 1个域名扩展包支持10个域名或IP。 最多支持1000个域名扩展包。 8. （可选）填写交付联系方式。 说明 为保障产品顺利交付，天翼云提供免费交付服务，请提供交付联系方式，订购完成后，天翼云安全专家会与您取得联系。 9. 选择“购买时长”，拖动时间轴设置购买时长。 说明 支持开启“自动续订”，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 10. 确认参数配置无误后，阅读《天翼云Web应用防火墙（原生版）服务协议》，并勾选“我已阅读，理解并接受《天翼云Web应用防火墙（原生版）服务协议》“，单击“立即购买”。 11. 进入“付款”页面，完成付款。

检查HDFS服务状态 5.在告警列表中，查看是否有“ALM14000 HDFS服务不可用”告警产生。 是，执行步骤6。 否，执行步骤8。 6.参考“ALM14000 HDFS服务不可用”的处理步骤处理该故障。 7.等待几分钟后检查本告警是否恢复。 是，处理完毕。 否，执行步骤8。 8.在FusionInsight Manager，选择“集群 > 待操作集群的名称 > 服务 > HDFS”，查看HDFS“安全模式”是否为“ON”。 是，执行步骤9。 否，执行步骤12。 9.以root用户登录HDFS客户端。执行cd命令进入客户端安装目录，然后执行 source bigdataenv 。 如果集群采用安全版本，要进行安全认证。预先向管理员获取hdfs用户的密码，执行kinit hdfs命令，按提示输入密码。 10.执行以下命令手动退出安全模式。 hdfs dfsadmin safemode leave 11.等待几分钟后检查本告警是否恢复。 是，处理完毕。 否，执行步骤12。 检查HBase服务状态 12.在FusionInsight Manager，选择“集群 > 待操作集群的名称 > 服务 > HBase”。 13.查看2个HMaster的状态是否为一“主”一“备”。 是，执行步骤15。 否，执行步骤14。 14.单击“实例”，选择非主状态的HMaster实例，单击“更多 > 重启实例”重启HMaster，再次查看2个HMaster的状态是否为一“主”一“备”。 是，执行步骤15。 否，执行步骤21。 15.选择“集群 > 待操作集群的名称 > 服务 > HBase > HMaster(主)”，进入HMaster的WebUI页面。 说明 admin用户默认不具备其他组件的管理权限，如果访问组件原生界面时出现因权限不足而打不开页面或内容显示不全时，可手动创建具备对应组件管理权限的用户进行登录。 16.查看Region Servers下是否存在至少一个RegionServer。 是，执行步骤17。 否，执行步骤21。 17.查看“Tables > System Tables”，如下图，查看该标签的“Table Name”列下是否存在“hbase:meta”、“hbase:namespace”和“hbase:acl”。 是，执行步骤18。 否，执行步骤19。 HBase系统表 18.如上图，分别单击“hbase:meta”、“hbase:namespace”和“hbase:acl”超链接，查看所有页面是否能正常打开。如果页面能正常打开，说明表都正常。 是，执行步骤19。 否，执行步骤23。 说明 由于普通模式下的HBase默认未开启ACL权限控制，只有在手动开启ACL权限控制后才会存在“hbase:acl”表，需要检查该表，否则不需要检查该表。 19.查看HMaster的启动状态。 如下图在“Tasks” 下有“RUNNING”的状态表示HMaster正在启动，“State”列有HMaster处于“RUNNING”状态的时间。如下图中的“COMPLETE”状态表示HMaster启动完成。 查看HMaster是否持续了很长一段时间处于“RUNNING”状态。 HMaster正在启动的状态 HMaster启动完成的状态 是，执行步骤20。 否，执行步骤21。 20.查看HMaster页面是否有hbase:meta长时间处于“Region in Transition”的状态。 详见下图：Region处于Region in Transition的状态 是，执行步骤21。 否，执行步骤22。 21.确认在不影响业务的情况下，登录FusionInsight Manager，选择“集群 > 待操作集群的名称 > 服务 > HBase > 更多 > 重启服务”，输入密码，单击“确定”。 是，执行步骤22。 否，执行步骤23。 22.等待几分钟后检查本告警是否恢复。 是，处理完毕。 否，执行步骤23。

本文介绍如何通过独享型接入方式将网站接入WAF进行防护。 使用独享型接入方式接入WAF前，需要先添加防护对象。 前提条件 已购买WAF独享型实例，且当前实例支持接入的防护对象数量未超过限制。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到云WAF控制台，在左侧导航栏选择“接入管理”，选择“独享型接入”页签。 5. 点击“添加防护对象”进入信息配置页，依次配置“防护对象”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。 配置项说明如下： 配置项 说明 选择实例 单击“选择实例”，在弹出的选择实例对话框中，找到目标实例，单击操作列的“选择”。 防护对象 填写防护网站的域名或IP。 域名：支持添加精确域名和泛域名。 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 IP：支持防护公网IP、私网IP。 当填写公网IP时，指客户端访问业务系统直接指向的弹性IP（该弹性IP可能绑定在防火墙或WAF上）。 当填写私网IP时（用于内网访问防护场景），填写内网客户端访问的内网IP（因内网访问情况下，WAF代理业务系统，此处需填写WAF代理业务系统的IP而非业务系统本身的IP，即WAF业务网卡的VIP，业务系统内网IP填写在回源IP处）。 说明 采用内部IP代理场景下，因直接通过IP访问，WAF监听对象为WAF本身的IP，为了区分不同的业务，后端多业务不能采用相同端口，例如后端两个不同的业务不能同时采用80端口，否则WAF无法判断业务需要回源到哪个端口，会导致防护无法生效；若内部WAF采用域名进行区分则可配置相同端口。 防护对象名称 自定义防护网站的显示名称。 服务器配置 单击“添加一个服务器端口组”，弹出新增服务器端口组窗口。 选择网站使用的协议类型以及对应的转发服务端口： 协议类型：HTTP/HTTPS。 端口：选中协议后，系统会对应设置默认端口，HTTP协议默认为80端口，HTTPS协议默认为443端口。 用户也可自定义选择其他端口，可选类型： 标准端口：80、8080；443、8443。 非标端口：除以上标准端口以外的端口。 说明 如果防护域名使用非标准端口，请查看WAF支持的端口。 WAF通过此处添加的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口，WAF不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。 源站地址：设置网站的源站服务器地址，支持IP地址格式和域名格式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下： IP地址格式：填写源站的私网IP地址。 最多支持添加40个源站IP或服务器域名。 支持同时配置IPv4和IPv6地址。 说明 如果此处配置私网IP，请确保WAF到源站的网络路径是可访问的，以便于WAF能够对流量进行监控。 域名格式：一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时， WAF会将客户端请求转发到回源域名解析出来的IP地址。 权重：当负载均衡算法为“加权轮询”时生效，所有请求将此处配置的权重轮流分配给源站服务器，权重越大，回源到该源站的几率越高。 不输入则视同为最低权重1。 当输入值为0时，业务不会回源到该站点。 取值范围：0~100的正整数。 说明 当健康检查发现站点出现问题时，剩余站点将按照剩余配置权重进行动态比例变化后的结果进行回源转发，节点回源请求比例节点权重/所有权重之和。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 若设置多个权重为0的节点，仅会回源至列表上第一个权重为0的节点。 所有站点全部健康检查失败，会强制回配置列表第一个节点。 证书配置 若选择HTTPS协议，还需要上传证书，且证书必须正确、有效，才能保证WAF正常防护网站的HTTPS协议访问请求。 1. 点击“上传证书”，进入服务器端证书配置页面。 2. 选择证书类型，支持“通用证书”和“国密证书”。 3. 配置证书。支持证书选择、手动填写、文件上传方式： 证书选择：如您使用了证书管理服务，可通过下拉框选择已有证书。 手动填写：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。 文件上传：填写证书名称，点击“上传”，将与域名关联的证书文件和私钥文件上传至平台中。 说明 手动填写需要将证书和私钥的PEM编码内容填入。 上传证书时，如果证书是.PEM/.CER/.CRT的后缀，可以直接上传；私钥文件若为.KEY/.PEM的后缀，请确保内容格式为PME编码，即可上传。 高级设置 > HTTP强制跳转 选择HTTPS后，还支持启用HTTP强制跳转功能。 HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求，默认跳转到443端口。 如果您需要强制客户端使用HTTPS请求访问网站以提高安全性，则开启该设置。 说明 只有在未选中HTTP协议时，支持开启该设置。 请确保网站支持HTTPS业务再开启该设置。开启该设置后，部分浏览器将被强制设置为使用HTTPS请求访问网站。 高级设置 > TLS协议版本和加密套件 选择证书后，需要配置TLS协议版本和加密套件。WAF默认配置的TLS协议版本为“TLS1.0及以上版本”，加密套件为“全部加密套件”。 TLS协议版本 配置说明如下，为了确保网站安全，请根据业务实际需求进行配置： 支持TLS1.0及以上版本：所有的TLS协议都可以访问网站，兼容性最高，适用于网站无安全性要求的场景。 支持TLS1.1及以上版本：WAF将自动拦截TLS1.0协议的访问请求，适用于网站安全性能要求一般的场景。 支持TLS1.2及以上版本：WAF将自动拦截TLS1.0和TLS1.1协议的访问请求，适用于网站安全性能要求很高的场景。 自定义加密协议：WAF只允许所选TLS协议访问网站。 加密套件 配置说明： 全部加密套件：兼容性较高，安全性较低。 协议版本的自定义加密套件：请谨慎选择，避免影响业务。 WAF支持的加密套件及TLS协议版本详细信息请参见WAF支持的加密套件。 高级设置 > SSL解析方式 选择HTTPS后，支持配置SSL解析方式。支持“单向认证”和“双向认证”。 说明 国密证书暂不支持双向认证。 健康检查 开启健康检查将自动移除对失效源站的转发策略，当失效源站恢复健康后将重新加入转发列表。 开启后，还需配置健康检查策略。 代理情况 选择网站业务在接入WAF前是否开启了其他代理服务（例如DDoS高防、CDN等），按实际情况选择： 否：表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。 是：表示WAF收到的业务请求来自其他代理服务转发，而非直接来自发起请求的客户端。 为了保证WAF可以获取真实的客户端IP进行安全分析，需要进一步设置“源IP获取方式”。 源IP获取方式：系统默认设置为“从Socket连接中获取”，您也可按实际情况，创建一个有序的判定列表，系统将从列表的第一项开始查找，若不存在或者是非法的IP格式，则尝试下一条。 其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则，可选项如下： 从Socket连接中获取 从XFowardedFor连接中获取倒数第x层代理 从HTTP头“XClientIP”中获取 负载均衡策略 当设置了多个源站服务器地址时，需设置多源站服务器间的负载均衡算法。可选项如下： 轮询：将所有请求轮流分配给不同的源站服务器。 IP Hash：将来自同一个IP的请求定向分配给同一个源站服务器。 加权轮询：根据同一组回源地址内配置的权重进行加权回源，权重越大，回源到该源站的几率越高。 设置生效后，WAF将根据设置的负载均衡算法向多个源站地址分发回源请求，实现负载均衡。 流量标记 开启流量标记功能，WAF在转发客户端请求到源站服务器时，通过在回源请求头部添加标记字段，标记该请求经过WAF转发，可以帮助源站判断请求来源。 如果请求中存在指定标记字段，则为WAF检测后的正常请求，放行该请求；如果请求中不存在指定标记字段，则为攻击者请求，拦截该请求。 单击“添加一个标记”，添加流量标记。最多支持添加5个标记字段。 支持如下标记类型： 自定义请求Header，配置自定义Header名、Header值。 客户端真实IP，配置客户端真实IP所在的HTTP Header名。 客户端真实源端口，配置客户端真实源端口所在的HTTP Header名。 注意 请勿填写标准的HTTP头部字段，否则会导致标准头部字段内容被自定义的字段值覆盖。 回源长连接 功能开启后，支持回源长连接功能，WAF独享版最大支持50000个回源长连接。 开启“回源长连接”后，还需配置“空闲连接超时时间”，默认值为10秒，最多支持60秒。 功能关闭后，将不支持WebSocket。 说明 当针对源站健康检查失败时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，直至该源站恢复健康。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。 超时配置 开启超时配置，可以配置如下超时时间： 连接超时时间：WAF转发客户端请求时，与源站建立连接的超时时间。 读连接超时时间：WAF等待源站响应的超时时间。 写连接超时时间：WAF向源站发送请求的超时时间。 以上默认值均为60秒，最短支持10秒，最长支持1200秒。 备注 防护对象的描述信息，可以自定义。 6. 配置完成后单击“保存”，返回独享型接入页面。该网站的WAF防护开关默认开启。

本章节主要介绍数据湖探索（DLI）其他服务的关系。 与对象存储服务（OBS）的关系 对象存储服务（Object Storage Service）作为数据湖探索的数据来源及数据存储，与数据湖探索配合一起使用，关系有如下四种。 • 数据来源：数据湖探索服务提供API，支持将OBS对应路径的数据导入到数据湖探索。 • 存储数据：数据湖探索中支持创建OBS表，该类型表在数据湖探索服务中只有元数据，实际数据在该表对应的OBS路径中。 • 备份数据：数据湖探索提供导出API，支持将数据湖探索的数据导出到OBS中备份。 • 存储查询结果：数据湖探索提供API供用户将日常作业的查询结果数据保存到OBS。 与统一身份认证服务（IAM）的关系 统一身份认证服务（Identity and Access Management）为数据湖探索提供了天翼云统一入口鉴权功能。 与云审计服务（CTS）的关系 云审计服务（Cloud Trace Service）为数据湖探索提供对应用户的操作审计。 与云监控服务的关系 云监控（Cloud Eye）为数据湖探索提供监控数据，监控作业中的多项指标，从而集中高效地呈现状态信息。 与消息通知服务（SMN）的关系 消息通知服务（Simple Message Notification）可以在数据湖探索发生作业运行异常时给用户发送通知。 与云数据迁移服务（CDM）的关系 云数据迁移服务（Cloud Data Migration）可以将OBS的数据迁移到数据湖探索中。 与数据接入服务（DIS）的关系 数据接入服务（Data Ingestion Service）通过通道将数据导入到数据湖探索。

可用性。支持高吞吐量的事件发布和消费；支持服务Serverless化和自动弹性伸缩，轻松应对突发流量；支持无状态实例，节点异常对服务无影响，服务可用性高。 易用性。支持无缝迁移上云，完全兼容CloudEvents 1.0；支持多种访问方式，包括控制台与CloudEvents SDK。支持接入多种应用程序，包括天翼云服务和自定义应用。 安全性。对接统一身份认证服务，支持通过天翼云账号向RAM用户授权。支持HTTP/HTTPS协议。

1、集群信息准备（Cluster.yaml） 参考上图所示确定相关集群规划信息，并基于此生成部署所需Cluster.yaml文件。核心需要明确两个信息： 1. 基于IDC机器环境是否可以主动访问公网，明确是采用在线部署方式，还是选择离线部署？若选择离线部署，需要提供本地可用的OCI及S3存储，并基于cceanywhere工具将云上物料导入到您IDC本地OCI和S3存储中去；另外，也需要在最终生成的Cluster.yaml文件中新增imageMirror等相关配置，以使最终从您本地存储中获取集群部署所需物料。 2. 基于是否使用您本地LB来高可用部署，确定是否需要部署CCE Anywhere控制面LB组件？若您有本地可用LB且期望使用本地LB，可配置SkipLoadBalanceDeploymenttrue；若您本地为裸金属、裸机环境，无可用LB，且环境支持ARP或BGP协议，可设置SkipLoadBalanceDeploymentfalse。 除此之外，还需您确定部署的K8S集群版本（从Anywhere支持范围中选择，建议最新），集群的Pod CIDR、Service CIDR，Master、Worker节点数量，以及是否需要自定义Kubelet、Master组件等运行配置等。 通过执行以下命令，可生成cluster.yaml的参考模板文件。 shell ./cceanywhere generate clusterconfig ${clusterName} p tinkerbell > cluster.yaml 基于该文件，您可参考您实际集群规划进行相关配置参数的调整。 2、设备信息准备（hardware.csv） 准备部署天翼云CCE Anywhere集群所需的集群节点相关信息，并参考generate模板中提供的hardware.csv文件格式，整理相关机器信息记录到hardware.csv文件中。 您需要清晰了解不同集群节点类型或管理方式，对您机器网络的要求，以便正确地被CCE Anywhere管理： 若您选择的节点类型是【物理机（托管）】，也即将由天翼云自动给您节点安装操作系统并部署集群相关基础组件和服务；该节点类型情况下，要求所有集群组件需要处于相同二层网络下，否则自动安装操作系统会因DHCP失败而安装失败； 该节点模式下，需要您提供相关机器的MAC、BMC访问及认证信息、节点网络信息（IP段、网关、DNS等）以及节点IP信息等，并按格式整理成headware.csv文件； 格式参考 shell hostname,bmcip,bmcusername,bmcpassword,mac,ipaddress,netmask,gateway,nameservers,labels,disk eksacp01,10.10.44.1,root,PrZ8W93i,CC:48:3A:00:00:01,10.10.50.2,255.255.254.0,10.10.50.1,8.8.8.88.8.4.4,typecp,/dev/sda eksacp02,10.10.44.2,root,Me9xQf93,CC:48:3A:00:00:02,10.10.50.3,255.255.254.0,10.10.50.1,8.8.8.88.8.4.4,typecp,/dev/sda 若您选择的节点类型是【物理机（纳管）或虚拟机】，此时节点操作系统需要您自行提前安装好，需要确保已安装操作系统为天翼云CCE Anywhere支持的操作系统类型（默认支持CtyunOS）；在此基础上，CCE Anywhere将进行操作系统优化配置，并按规划部署集群相关基础服务及组件； 此节点类型情况下，您只需提供节点的SSH登录信息，按格式整理汇总到hardware.csv文件即可。 格式参考 shell type,ipaddress,port,username,password,labels host,192.168.200.4,22,root,testpwd,typecp host,192.168.200.5,22,root,testpwd,typeworker 节点部署时，相关物料将直接由节点进程从相关仓库中下载；若您选择的为在线部署模式，则需要节点能正常访问公网，以便从天翼云提供的公网仓库中下载相关物料资源。

分布式缓存服务（Distributed Cache Service，简称DCS）是一款内存数据库服务，兼容Redis内存数据库引擎，为您提供即开即用、安全可靠、弹性扩容、便捷管理的在线分布式缓存能力，满足用户高并发及数据快速访问的业务诉求。 即开即用 DCS提供单机、主备和集群三种类型的缓存实例，拥有从128MB到1024GB的丰富内存规格。您可以通过控制台直接创建，无需单独准备服务器资源。 其中Redis4.0/5.0/6.0版本采用容器化部署，秒级完成创建。 安全可靠 借助统一身份认证、虚拟私有云、云监控与云审计等安全管理服务，全方位保护实例数据的存储与访问。 灵活的容灾策略，主备/集群实例从单AZ（可用区）内部署，到支持跨AZ部署。 弹性伸缩 DCS提供对实例内存规格的在线扩容与缩容服务，帮助您实现基于实际业务量的成本控制，达到按需使用的目标。 便捷管理 可视化Web管理界面，在线完成实例重启、参数修改、数据备份恢复等操作。DCS还提供基于RESTful的管理API，方便您进一步实现实例自动化管理。 在线迁移 提供可视化Web界面迁移功能，支持备份文件导入和在线迁移两种方式，您可以通过控制台直接创建迁移任务，提高迁移效率。 DCS Redis Redis是一种支持KeyValue等多种数据结构的存储系统。可用于缓存、事件发布或订阅、高速队列等典型应用场景。Redis使用ANSI C语言编写，提供字符串（String）、哈希（Hash）、列表（List）、集合结构（Set、Sorted Set）、流（Stream）等数据类型的直接存取。数据读写基于内存，同时可持久化到磁盘。 DCS Redis拥有灵活的实例配置供您选择： DCS Redis灵活的实例配置 实例类型 提供单机、主备、Proxy集群、Cluster集群、读写分离类型，分别适配不同的业务场景。 单机：适用于应用对可靠性要求不高、仅需要缓存临时数据的业务场景。单机实例支持读写高并发，但不做持久化，实例重启后原有缓存数据不会加载。 主备：包含一个主节点，一个备节点，主备节点的数据通过实时复制保持一致，当主节点故障后，备节点自动升级为主节点。 Proxy集群：在Cluster集群的基础上，增加挂载Proxy节点和ELB节点，通过ELB节点实现负载均衡，将不同请求分发到Proxy节点，实现客户端高并发请求。每个Cluster集群分片是一个双副本的主备实例，当主节点故障后，同一分片中的备节点会升级为主节点来继续提供服务。 Cluster集群：通过分片化分区来增加缓存的容量和并发连接数，每个分片是一个主节点和0到多个备节点，分片本身对外不可见。分片中主节点故障后，同一分片中备节点会升级为主节点来继续提供服务。用户可通过读写分离技术，在主节点上写，从备节点读，从而提升缓存的整体读写能力。 读写分离：在主备实例的基础上，增加挂载Proxy节点和ELB节点，通过ELB节点实现负载均衡，将不同请求分发到Proxy节点，Proxy节点识别用户读写请求，将请求发送到主节点或备节点，从而实现读写分离。 :: 规格 Redis提供128MB~1024GB的多种规格。 兼容开源Redis版本 DCS提供不同的实例版本，分别兼容开源Redis的3.0、4.0、5.0、6.0。 底层架构 基于虚拟机的标准版 ，单节点QPS达10万/秒。 高可用与容灾 主备与集群实例提供Region内的跨可用区部署，实现实例内部节点间的电力、网络层面物理隔离。 有关开源Redis技术细节，您可以访问Redis官方网站

本文介绍全站加速产品的功能概览。 天翼云全站加速功能如下表所示： 功能分类 功能名称 功能描述 相关文档 域名管理 批量配置域名 客户往往会存在多个域名需要配置，而配置又是相同的情况，这时我们提供批量配置域名的方式可以使客户快速、便捷的接入域名。 []( 域名管理 域名操作工单 域名操作工单，指的是全站加速域名管理中的工单，是用于跟踪和记录由客户操作发起的域名新增及域名配置变更任务的状态和执行结果，方便跟进变更的进度以及追溯变更历史，辅助管理客户业务。 []( 标签管理 创建/删除标签和标签组 客户控制台上提供了一种域名分类管理工具——标签和标签组，使用标签可以对具有相同属性的域名进行分类管理，使用标签组可以对具有相同归类属性的标签进行分类管理。客户可自助在控制台上创建/删除标签和标签组。 []( 标签管理 域名绑定标签 标签为域名分类管理工具，通过给域名绑定标签功能，用户可以对具有相同属性的域名进行分类管理。 []( 标签管理 域名解绑标签 标签为域名分类管理工具，通过标签功能对具有相同属性的域名进行分类管理。如果标签已不再适用于您当前某个或多个域名的用途，您可以解绑域名标签。 []( 标签管理 使用标签管理域名 在完成域名绑定标签后，您在日常运营时，就可以使用标签快速筛选对应的域名，进行分组管理。 []( 标签管理 使用标签筛选数据 在完成域名绑定标签后，在日常运营时，如果您需要查询某一属性的域名的数据，就可以基于标签筛选相关域名，查询对应的数据。 []( 基础配置 加速类型 天翼云客户控制台，提供CDN加速、全站加速等多款产品的加速类型配置，您可以根据域名的业务类型选择合适的加速类型。 []( 基础配置 域名类型 天翼云全站加速产品提供三种业务类型的加速：全站加速、上传加速、websocket加速，您可以在添加域名时选择不同的域名类型来对不同的业务进行加速。 1.当您的域名以下行分发为主，且无websocket协议时，请选择“全站加速”域名类型。 2.当您的域名有上传业务时，请选择“全站加速上传加速”域名类型。 3.当您的域名有websocket协议时，请选择“全站加速websocket加速”域名类型。 []( 基础配置 加速区域 天翼云全站加速支持“中国内地”、“全球加速（不含中国内地）”、“全球加速”三种加速区域的选择。 []( 基础配置 IPv6配置 天翼云全站加速产品已经支持接收IPv6协议的请求，开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云全站加速节点。 []( 回源配置 源站配置 回源配置模块支持客户自定义源站。支持IP或域名，支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 []( 回源配置 动态回源策略 在介绍动态回源策略之前，我们先介绍如何区分动态请求和静态请求。天翼云全站加速产品根据您配置的缓存规则来区分动静态请求，有配置缓存规则的被当作静态请求处理，其他请求将被当作动态请求处理。 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式；静态回源策略默认轮询回源，无需配置。 1.择优回源：顾名思义，即根据全站加速节点探测源站的结果，选择最快的源站回源。 2.按权重回源：根据每个源站配置的不同权重，轮询回源。 3.保持登录：基于客户端IP进行哈希，保证相同客户端IP的多次请求始终访问到相同的源站。 []( 回源配置 回源协议 回源协议指全站加速节点回源站请求资源时使用的协议。配置该功能后，全站加速节点将根据指定的协议回源。全站加速支持HTTP回源协议，HTTPS回源协议、跟随客户端请求使用的协议回源三种回源协议。 []( 回源配置 回源加密算法 回源协议为HTTPS协议时，全站加速默认使用国际标准加密算法回源，也可以选择使用国密加密算法回源或者跟随客户端加密算法回源；未选择默认使用国际加密算法回源。 回源加密算法 回源配置 回源端口 回源端口，是指源站接收用户请求时所用的端口，一般http协议和https协议使用不同的源站端口。 []( 回源配置 默认回源HOST 当您的源站的同一个IP地址上绑定多个域名或站点时配置回源HOST，全站加速在回源时根据HOST信息去对应站点获取资源。 []( 回源配置 回源HOST带端口 当源站绑定了多个域名，且源站服务运行在非80/443端口（比如8080）时，开启回源HOST带端口功能，全站加速回源时可以在回源HOST中带上具体的端口（如test.ctyun.cn:8080），精准找到源站服务。 回源HOST带端口 回源配置 回源SNI 如果您的源站IP绑定了多个域名，且全站加速回源协议为HTTPS时，需配置回源SNI，在回源SNI内指明所请求的具体域名，并使服务器根据该域名正确地返回对应的SSL证书。 []( 回源配置 回源URI改写 回源URI改写可以实现在用户请求需要回源时进行URI改写， 全站加速节点向源站发送回源请求的时候使用改写后的URI。 []( 回源配置 回源参数改写 回源参数改写，改写的是回源请求URL的查询参数，即问号后的参数值。可支持参数的新增、删除、修改，以及保留或忽略所有参数。 []( 回源配置 Common Name白名单 开启Common Name白名单功能后，全站加速节点以HTTPS协议与源站建连时，将会对请求的SNI和源站返回证书的Common Name进行校验。 []( Name白名单 回源配置 回源302/301跟随 配置302/301跟随回源功能后，全站加速节点会代替用户去处理源站响应的302/301状态码内容，即全站加速节点会直接跳转到源站302/301响应中的Location地址去请求对应资源，不会把源站响应的302/301跳转地址直接返回给用户，让用户自己去请求跳转地址的资源。 []( 回源配置 Range回源 Range回源，是指节点收到用户请求后，会在回源时携带Range请求头，源站在收到Range请求后，会返回对应范围的内容数据给全站加速。Range回源功能开启后，全站加速节点可以以分片的形式缓存文件，对于Range请求而言，可以有效提高文件分发效率，降低首包时延，同时提高缓存利用率，减少不必要的回源。 []( 回源配置 回源超时时间设置（新） 回源超时时间包括回源连接超时时间跟回源请求超时时间： 回源连接超时时间指回源节点与源站服务器建立连接的超时时间。回源请求超时时间指回源节点与源站服务器建连成功后，向源站服务器发送请求的超时时间。 回源超时时间设置（新） 回源配置 分区域分运营商回源 如果您的域名有多个源站，且希望通过全站加速实现多个源站之间负载均衡，您可以按照区域或者运营商划分源站，让不同区域或者运营商的客户端IP回不同的源，从而实现同运营商回源，或者就近回源。 []( 回源配置 区分ipv4/ipv6协议回源 如果您的域名既有ipv4源站，又有ipv6源站，可以配置区分ipv4/ipv6协议回源，可实现ipv4协议的客户端回ipv4的源站，ipv6协议的客户端回ipv6的源站。同时也可基于客户实际需求，设置V4和V6用户按指定权重回对应V4和V6源站。 []( 回源配置 指定源站回源HOST 当您的加速域名配置了多个回源站点，且回源站点与加速域名不同时，您可以使用指定源站回源HOST功能，为不同的源站配置不同的回源HOST，天翼云全站加速产品在回源时会根据配置的回源HOST信息去访问不同站点的资源。 []( 回源配置 高级回源 当客户希望全站基于某些特殊场景回不同源站时，例如需要根据请求的不同文件后缀名、不同目录回不同的源站时，可以使用天翼云高级回源功能。 []( 回源配置 私有Bucket回源 回源地址使用天翼云媒体存储【即对象存储（融合版）】并且Bucket为私有模式的场景。 私有Bucket回源 证书管理 在全站加速控制台上可以新增/查看/删除https证书，也可以替换已过期的证书。 []( HTTPS相关配置 HTTPS配置 在全站加速控制台上可以启用/停用域名的https开关，上传https证书。 []( HTTPS相关配置 国密HTTPS 天翼云全站加速产品支持SM2（椭圆曲线公钥密码算法）和SM3（杂凑算法）标准，提供更加安全的HTTPS传输协议（即国密HTTPS加密能力）。 []( HTTPS相关配置 HTTP2.0配置 HTTP/2也被称为HTTP 2.0，相对于HTTP 1.1新增了多路复用、压缩HTTP头、划分请求优先级和服务端推送等特性，解决了在HTTP 1.1中一直存在的问题，优化了请求性能，同时兼容了HTTP 1.1的语义。 []( HTTPS相关配置 强制跳转 通过配置强制跳转功能，将客户端到边缘节点的原请求方式强制重定向为HTTP或者HTTPS请求。天翼云全站加速产品支持配置HTTP和HTTPS强制跳转，适用场景： 1、已经配置了HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到全站加速节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 2、对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到全站加速节点的HTTPS请求强制跳转为HTTP请求。 []( HTTPS相关配置 OCSP Stapling 启用OCSP Stapling功能后，OCSP信息查询的工作将由全站加速的服务器完成。全站加速服务器通过低频次查询，将查询结果缓存到服务器中（默认缓存时间60分钟）。当客户端向服务器发起TLS握手请求时，全站加速服务器将证书的OCSP信息和证书一起发送到客户端，供用户验证，无需用户向数字证书认证机构（CA）发送查询请求。极大地提高了TLS握手效率，节省了用户验证时间。 []( Stapling HTTPS相关配置 HSTS配置 开启了HSTS后，当您的域名在全站加速产品开启HTTPS安全加速时，在浏览器输入HTTP协议开头的URL链接，用户请求访问到全站加速节点上的时候，在配置了HTTP协议跳转HTTPS协议的情况，全站加速节点会将该HTTP请求301或302重定向到HTTPS，此时全站加速节点会响应一个强制HSTS的头给客户端，告诉客户端只能使用HTTPS协议访问全站加速节点，此后浏览器将直接使用HTTPS协议访问全站加速节点，不再需要HTTP协议强制跳转HTTPS协议了。 []( HTTPS相关配置 TLS协议版本 天翼云全站加速产品提供TLS协议版本控制功能，您可以按需对不同加速域名配置不同的TLS协议版本，低版本的TLS协议将提供对老版本浏览器的支持，但是协议的安全性相对更差一些，高版本的TLS协议将提供更高的安全性，但是对老版本浏览器的兼容性相对差一些。天翼云全站加速产品支持的TLS协议版本包括TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3。 []( HTTPS相关配置 HTTPS无私钥驻留加速 通常情况下，HTTPS协议的域名，如果需要在全站加速平台配置加速服务，需要将HTTPS公钥和私钥部署到全站加速平台。使用HTTPS无私钥驻留加速方案后，您只需要将公钥部署到全站加速平台，私钥可以由源站唯一保有，即可实现HTTPS业务的加速。 []( HTTPS相关配置 批量HTTPS证书配置 天翼云全站加速产品支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 []( HTTPS相关配置 加密套件 介绍天翼云全站加速支持的加密套件及对应套件支持的最低版本的SSL/TLS协议。 加密套件 HTTPS相关配置 双向认证 双向认证，顾名思义，即客户端与服务器双方均需认证对方的身份，在确认对方身份后才可以建立HTTPS连接。在标准的HTTPS中，通常采用单向认证的方式，即服务器向客户端证明自己的身份以建立一个安全加密的通信连接；双向认证在服务器向客户端证明身份的基础上，还需要客户端也提供客户端证书，供服务器验证客户端的身份，客户端与服务器双方都验证通过对方的身份后，才建立HTTPS连接。 双向认证 缓存配置 缓存过期时间 缓存过期时间指源站资源在全站加速节点缓存的时长，达到预设时间，资源将会被全站加速节点标记为失效资源。如果客户端向全站加速节点请求的资源已经失效，全站加速节点会回源站获取最新资源并缓存到全站加速节点上，供其他请求使用。 全站加速产品支持按后缀名、目录、首页、全部文件、全路径文件类型进行缓存。您可以根据业务需求，按指定路径或文件名后缀配置静态资源的缓存过期时间。 []( 缓存配置 状态码过期时间 全站加速节点从源站获取资源时，源站会返回响应状态码，您可以在客户控制台上配置状态码过期时间，当客户端再次请求相同资源时，由全站加速节点直接响应状态码，不会触发回源，减轻源站压力。当状态码在全站加速节点上的存储时长超过设置的过期时间，缓存的状态码会失效，此时针对同一资源的请求需要回源。配置状态码过期时间主要适用于源站响应了异常状态码的情况下，例如4xx、5xx。正常情况下全站加速节点成功从源站获取到所请求的资源，即源站响应了2xx状态码时，会按照天翼云全站加速缓存规则及优先级进行缓存。如果源站无法迅速响应所有状态码（例如非2xx状态码），且不希望所有请求全部由源站响应，那么可以配置状态码过期时间，由全站加速节点直接响应状态码，减轻源站压力。 []( 缓存配置 状态码过期时间（源站优先） 如您希望在源站响应特殊状态码并携带相关缓存头的情况下，源站相关缓存头优先级更高，无相关缓存头时才按全站加速设置的过期时间生效，则可以配置状态码过期时间（源站优先）功能。 []( 缓存配置 缓存key设置 通过自定义缓存key，可以将原始URL形式不同但实际指向同一个文件的请求，缓存为同一份，从而提升缓存命中率，降低回源量。 []( 缓存配置 跨域资源共享 跨域资源共享，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。 []( 头部修改 HTTP响应头 HTTP响应头是HTTP响应消息头的组成部分之一，可携带特定响应参数并传递给客户端。通过配置自定义HTTP响应头，当用户请求加速域名下的资源时，全站加速节点返回的响应消息会携带您配置的响应头，从而实现特定功能。常用场景包括：告知客户端全站加速节点响应文件的资源类型，例如添加响应头ContentType: text/html，告知客户端全站加速节点响应文件的格式是HTML格式。当用户请求全站加速节点上某个域名的资源时，可以在全站加速节点返回的响应消息中配置自定义响应头，以实现跨域访问。 []( 头部修改 回源HTTP请求头 当全站加速节点请求回源站拉取资源时，源站可获取到回源请求头中携带的信息。您可以通过该功能，改写用户回源请求中的HTTP Header信息，携带特定的参数信息给源站，实现特定业务需求。例如，通过XForwardFor头部携带真实客户端IP至源站。 []( 头部修改 回源HTTP响应头 如果您需要改写用户源站响应报文中的HTTP Header，可以通过配置回源HTTP响应头实现。可根据您的实际业务需求，选择添加、修改、删除回源HTTP响应头。 []( 文件处理 文件压缩 介绍Gzip和Brotli压缩算法及配置方式。 文件压缩 文件处理 图片处理 开通图片处理功能后，全站加速可以在回源节点上对客户原始图片做自适应WEBP、自动瘦身，或通过客户端携带的URL参数进行缩放、旋转、裁剪、格式转换等处理后进行分发，并缓存在全站加速节点，使得源站保留原图即可；免去源站对图片的各种处理，降低源站压力，节省源站存储空间，同时提升图片处理响应速度。 图片处理 高级配置 错误页面自定义 当页面访问出错时，客户端会显示默认错误页面，例如404 Not Found。默认的报错页面通常不美观，会带给用户不好的体验。为了帮助客户优化用户体验，全站加速节点支持当出现指定错误码的时候，能够让用户跳转到客户自定义页面的功能。 []( 高级配置 访问URL重定向 当客户源站的内容存放路径发生了变更，全站加速节点上的内容存放路径也发生了变更，但是用户请求URL里面包含的内容路径没有变更时，需要全站加速节点改写用户请求里面的内容路径。技术实现方式是通过响应302状态码重定向的方式，让客户端取302响应里面的Location的新URL，重新向全站加速节点发起访问，确保用户能获得正确的内容。 []( 访问控制 IP黑白名单 IP黑/白名单功能通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 []( 访问控制 Referer防盗链 Referer防盗链，是基于HTTP请求头中Referer字段（例如，Referer黑白名单）来设置访问控制规则，实现对访客的身份识别和过滤，防止网站资源被非法盗用。配置Referer黑白名单后，全站加速会根据名单识别请求身份，允许或拒绝访问请求。允许访问请求，全站加速会返回资源链接；拒绝访问请求，全站加速会返回403响应码。 []( 访问控制 UA黑白名单 可以通过配置访问的UserAgent头部来对访客身份进行识别和过滤，拒绝非法访问。全站加速通过对用户 HTTP 请求头中的 UserAgent 进行规则判断，按需放行或拒绝用户访问。允许访问时，全站加速会返回资源链接；拒绝访问时，全站加速会返回403响应码。 []( 访问控制 URL黑白名单 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 []( 访问控制 URL鉴权 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，您可以在天翼云全站加速平台上配置URL鉴权功能。配置URL鉴权后，全站加速产品会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 []( 访问控制 远程同步鉴权 可以通过配置远程同步鉴权功能，在全站加速节点收到用户请求后，将请求转发回提前设定的鉴权源站，在源站鉴权许可后，全站加速节点才给用户返回对应内容，从而实现用户鉴权规则由源站全权定义。 远程同步鉴权 访问控制 全网带宽控制 天翼云全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。带宽控制功能支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速、拒绝或者重定向操作。 []( 访问控制 有序回源 全站加速的有序回源功能是一种流量控制方法，用于大量请求并发回源时的排队管理。 []( 访问控制 单请求限速 单请求限速功能可以限制全站加速节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。 []( 访问控制 IP访问限频 IP访问限频功能可以限制单个用户IP在天翼云全站加速单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。 []( 页面优化 html页面优化 置了页面优化功能后，全站加速产品会自动删除页面中的冗余内容，例如HTML页面、JavaScript和CSS中的注释内容和重复的空白符，从而达到缩小文件体积、提升文件分发效率。 []( 页面优化 html禁止操作 html禁止操作，支持在客户控制台自助进行html页面的禁止右键操作和禁止复制操作，以防止源站的源码泄露。 []( 视频相关 视频拖拉 视频点播网站或应用，通常都会提供视频拖拉能力，用户可以随意拖动播放器进度条到想要的位置。使用全站加速后，您可以通过配置视频拖拉功能，支持用户的视频拖拉请求。 视频拖拉 视频相关 视频试看 视频点播网站或应用，除免费视频外，通常还会有一些精品付费视频。为吸引用户观看，网站往往会允许用户免费试看一定时间的内容，例如60s或是更短时间。使用全站加速后，视频网站仍可通过全站加速节点来实现视频试看功能。 视频试看 视频相关 HLS标准加密改写 LS标准加密改写功能，是指全站加速节点回源获取到M3U8文件内容后，改写其中的

一、安装配置成功Agent后，为什么控制台没有监控数据或者显示数据滞后？ 安装配置Agent成功，需要等待2分钟，控制台上才会有主机监控数据。如果过了5min在总览页面还未看到“物理机”，则需要排查物理机时间和控制台所在客户端时间是否一致。 Agent上报数据取的是BMS实例中的本地时间，控制台下发的请求时间范围是依赖用户客户端浏览器的时间，两者如果不匹配则可能导致控制台查不到监控数据。 登录物理机，执行service telescoped status命令查看Agent运行状态，当系统返回以下内容，则表示Agent为正常运行状态。 Telescope process is running well. 如果还是看不到监控数据，请参考配置Agent章节检查配置是否正确。 二、如何创建用于物理机主机监控的委托？ 1.在管理控制台主页，选择“服务列表 > 管理与部署 > 统一身份认证服务”，进入“统一身份认证服务”页面。 2.在左侧导航树中选择“委托”，单击右上角“创建委托”。 “委托名称”：填写“bmsmonitoragency”。 “委托类型”：选择“云服务”。 “云服务”：（“委托类型”选择“云服务”时出现此参数项。）单击“选择”，在弹出的“选择云服务”页面选择“ECS BMS"，单击“确定”。 持续时间”：选择“永久”。 描述”：非必选，可以填写“支持BMS主机监控委托”。 权限选择”：选择物理机所属区域对应行，单击操作列的“修改”，在“可选择策略”中搜索“CES”，勾选“CES（CES Administrator）”策略，单击“确定”后自动返回创建委托页面。 3.单击“确定”。 至此用于物理机主机监控的委托创建完毕。

场景描述 在某些情况下，您可能需要将Kafka开启公网访问。以下是一些可能的场景描述： 跨地域数据传输：如果您有多个位于不同地理位置的数据中心或云服务提供商，您可能希望在它们之间传输数据。通过将Kafka开启公网访问，您可以轻松地在不同地区之间进行数据传输。 跨组织数据共享：如果您需要与其他组织或合作伙伴共享数据，而且这些组织不在同一个网络环境中，您可以将Kafka开启公网访问，以便安全地共享数据。 远程访问和监控：有时候，您可能需要从外部网络访问和监控Kafka集群。通过配置Kafka开启公网访问，您可以远程连接到Kafka集群，监控其运行状态，并执行必要的管理操作。 请注意，在设置Kafka开启公网访问时，确保采取适当的安全措施，比如使用安全组或者用户权限来限制访问权限，以保护Kafka集群的安全性。 约束与限制 开启公网访问功能只支持绑定IPv4弹性IP地址，不支持绑定IPv6弹性IP地址。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“实例详情”后找到如下接入点信息模块。 （5）点击右上角“添加路由策略”按钮，选择“公网接入”方式。 （6）需要为每个节点设置对应的弹性IP地址，点击其右侧的“绑定”按钮，在弹窗中选择某个弹性IP绑定。如果没有足够数量的弹性IP地址，可参考申请弹性IP购买弹性IP地址。 （7）点击刷新按钮查看弹性IP绑定状态，待所有节点都绑定弹性IP后点击“确定”按钮下发开启公网后台任务。 （8）当实例状态重新变为“运行中”后，表示开启公网访问成功。 （9）开启公网访问后，需要设置好对应的安全组规则 才能成功连接Kafka，设置规则参考如下: 安全组参考规则（先判断安全组的出/入方向是否放通了对弹性ip地址的访问，如果没有，可以参考如下规则配置）： 方向 协议 类型 端口 远端(源地址) 说明 入方向 TCP IPv4 Kafka公网接入端口(8094)，或更大范围 Kafka客户端所在的IP地址或地址组 通过公网访问Kafka （10）如果创建了 网络ACL规则 ，则ACL规则也需要正确配置才能成功连接Kafka，设置规则参考如下: 网络ACL参考规则（先判断网络ACL的出/入方向是否放通了客户端地址的访问，如果没有，可以参考如下规则配置）： 方向 协议 IP版本 策略 源地址 源端口范围 目的地址 目的端口范围 描述 入方向 TCP IPv4 允许 Kafka客户端所在的IP地址或地址组 165535 VPC IP地址组 Kafka公网接入端口(8094)，或更大范围 控制入方向ACL规则 出方向 TCP IPv4 允许 VPC IP地址组 Kafka公网接入端口(8094)，或更大范围 Kafka客户端所在的IP地址或地址组 165535 控制出方向ACL规则 （11）连接Kafka可以根据开启公网访问时选择的SASLPLAINTEXT或SASLSSL协议接入。

本章节为您介绍VPN服务的基本功能。 VPN服务管理：用于维护VPN服务，提供配置VPN服务；对内网控制新增和删除；对静态路由表的新增，修改，删除等功能。 VPN服务证书：SSL VPN服务使用VPN服务证书来进行安全认证工作，使用SSL VPN服务的前提是必须安装相关VPN服务证书，提供新增，查看详情，启用，停用，可信证书链管理，CSR请求，证书应答，导入证书等功能。

本文介绍事件总线EventBridge的产品优势。 可用性 支持高吞吐量的事件发布和消费。 支持服务Serverless化和自动弹性伸缩，轻松应对突发流量。 支持无状态实例，节点异常对服务无影响，服务可用性高。 易用性 支持无缝迁移上云，完全兼容CloudEvents 1.0。 支持多种访问方式，包括控制台与CloudEvents SDK。 支持接入多种应用程序，包括天翼云服务和自定义应用。 安全性 对接统一身份认证服务，支持通过天翼云账号向RAM用户授权。 支持HTTP/HTTPS协议。

功能 商业版 免费版 软件许可证 加载软件许可证、查看软件许可证 支持 支持 卷 创建卷、扩容卷、修改卷、设置卷主备优先级或自动切换、触发卷对应target的主备切换、删除卷、设置卷的扩展属性、删除卷的指定扩展属性、删除卷所有的扩展属性、查询卷的扩展属性、查询卷、查询卷关联的QoS策略 支持 支持 卷 克隆卷、断开克隆与快照的关系链、还原卷、挂起卷、恢复还原中断或挂起的卷、清空卷 支持 不支持 快照 创建快照、修改快照、回滚快照、删除快照、查询快照 支持 不支持 一致性快照 创建一致性快照、修改一致性快照、回滚一致性快照、删除一致性快照、查询一致性快照 支持 不支持 备份 导出备份、导入备份 支持 不支持 iSCSI target 创建iSCSI target、删除iSCSI target、设置iSCSI target的CHAP认证、删除CHAP、迁移iSCSI target、修改iSCSI target下每个IQN允许建立的最大会话数、修改iSCSI target的回收策略、设置iSCSI target的允许访问列表、删除iSCSI target的允许访问列表、查询iSCSI target、查询iSCSI target连接、删除iSCSI target连接 支持 支持 存储池 创建存储池、添加节点到存储池、修改存储池、移除存储池内的节点、删除非基础存储池、查询存储池、查询存储池关联的QoS策略 支持 支持 QoS策略 创建QoS策略、修改QoS策略、设置卷关联的QoS策略、解除卷关联的QoS策略、设置存储池关联的QoS策略、解除存储池关联的QoS策略、设置存储池内卷的默认QoS策略、解除存储池内卷的默认QoS策略、删除QoS策略、查询QoS策略、查询QoS策略关联/可关联的对象信息 支持 不支持 集群拓扑 创建拓扑节点、修改拓扑节点信息、删除拓扑节点、查询拓扑信息 支持 支持 服务器 添加服务器、修改服务器属性（包括：修改服务器端口范围、设置服务器目标门户IP、设置服务器中HBlock可使用的内存、设置服务器默认数据目录）、删除服务器属性（服务器的targetPorttalIP配置）、移除服务器、查询服务器、添加数据目录、修改数据目录的容量配额、移除数据目录 支持 支持 服务器 迁移服务器上的基础服务 支持 不支持 监控 查询实时性能数据、导出性能数据（命令行）、查看历史性能数据（WEB/API） 支持 支持 告警 查看告警信息、导出告警、手动解除告警、静默告警、解除告警静默 支持 支持 事件 查看HBlock事件、导出HBlock事件 支持 支持 日志 发起HBlock日志采集、查看HBlock采集的日志、下载采集的HBlock日志文件、删除HBlock采集的日志 支持 支持 管理员密码 修改管理员密码 支持 支持 邮件设置 设置邮件通知功能、发送测试邮件、删除邮件配置、查询邮件配置 支持 支持 远程协助 设置远程协助、删除远程协助配置、查询远程协助配置 支持 支持 Pushgateway监控配置 添加Pushgateway监控配置、修改Pushgateway监控配置、删除Pushgateway监控配置、查询Pushgateway监控配置 支持 不支持 智维推送告警配置 添加向智维推送告警的配置、修改向智维推送告警的配置、删除向智维推送告警的配置、查询向智维推送告警的配置 支持 不支持 鉴权方式 设置鉴权方式、查询鉴权方式 支持 支持 高级试用功能 开启高级试用功能 不支持 支持 调整HBlock性能参数 调整HBlock性能参数、查看性能调优配置 支持 支持 服务管理 停止服务器上的HBlock服务、启动服务器上的HBlock服务、重启服务器上的HBlock服务 支持 支持 卸载HBlock 卸载HBlock 支持 支持 系统查询 查看HBlock信息、查看HBlock服务状态、查看HBlock版本 支持 支持 升级HBlock 查看升级状态 支持 支持 升级HBlock 升级HBlock 支持 2年内支持