操作步骤 1. 登录管理控制台，选择目标区域。 2. 选择“网络 > 内网DNS服务”。进入内网DNS服务页面。 3. 在“总览”页签，选择“我的资源”下的“内网域名”。进入域名列表页。 4. 在域名列表页面，单击内网域名名称。系统进入该域名的记录集页面。 5. 在记录集页面，查看记录集详情。

本节主要介绍对象名映射 实时同步功能可以支持源数据库和目标数据库中的同步对象（包括数据库、schema、表）的名称不同。如果同步的数据库对象在源数据库和目标数据库中的命名不同，那么可以使用数据复制服务提供的对象名映射功能进行映射。其中包括：库映射、schema映射、表映射。 对象名映射功能支持在如下场景使用： 首次创建实时同步任务时，在选择同步对象阶段可设置映射，后续不可编辑映射。 通过编辑同步对象功能来增加或者减少同步对象时，首次编辑的对象可以设置映射关系，已经在同步关系中的对象不可设置映射。 说明 若目标库是PG类（如GaussDB(DWS)、GaussDB(for openGauss)和PostgreSQL），目的库的schema名称不能设置为以pg开头，否则会迁移失败。 本小节主要介绍如何在实时同步任务配置过程中，使用对象名映射功能，该功能的映射关系详情可参见 查看同步映射章节。 库映射 实时同步过程中，如果待同步的库在源数据库和目标数据库中存储名称不同，可以使用实时同步提供的库映射功能进行库名映射。例如：将源数据库中的A库同步到目标数据库，变成目标数据库中的B库，此时就可以使用库映射功能来实现。 步骤 1 在“设定同步”页面，同步对象右侧已选对象框中，选择需要进行映射的数据库，单击“编辑”按钮。 步骤 2 修改库名。 在“编辑库名”的弹出框中，填写新的数据库名，修改后的名称即为保存在目标数据库中的库名。 步骤 3 查看修改结果。 库名修改成功后，您会看到修改前的库名和修改后的新数据库名，至此，表示完成库映射的配置。

本节为您介绍云迁移服务CMS异构评估， 组件评估报表整合搜索。 云迁移服务CMS提供异构评估组件评估报表整合搜索功能，您可以在异构评估 [ 组件评估报表整合 ] 界面根据时间或任务名称搜索目标任务，如图所示。

其他事项准备 DRS支持部分与业务和性能强相关的参数迁移，具体参数列表请参见参数列表。若涉及其他参数需要根据用户具体的业务进行手动设置。 迁移步骤 1.创建迁移任务 登录管理控制台，在服务列表中选择“数据库 > 数据库复制服务”，进入数据库复制服务信息页面。 在“实时迁移管理”页面，单击右上角“创建迁移任务”，进入迁移任务信息页面。 在“迁移实例”页面，填选任务信息和迁移实例信息。 图 迁移实例信息 表 任务信息 参数 描述 任务名称 任务名称在4位到64位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 任务异常通知设置 该项为可选参数，开启之后，需要填写手机号码或者邮箱作为指定收件人。当迁移任务状态异常时，系统将发送通知给指定收件人。 说明 收到确认短信或邮件之后，需要在48小时内处理，否则该功能订阅无效。 时延阈值 增量迁移中，源数据库和目标数据库之间的同步有时会存在一个时间差，称为时延，单位为秒。 时延阈值设置是指时延超过一定的值后（时间阈值范围为1—3600s），DRS可以发送通知给指定收件人。 说明 首次进入增量迁移阶段，会有较多数据等待同步，存在较大的时延，属于正常情况，不在此功能的监控范围之内。 描述 描述不能超过256位，且不能包含!<>&'"特殊字符。 表 迁移实例信息 参数 描述 数据流动方向 选择入云。 源数据库引擎 选择MySQL数据库引擎。 目标数据库引擎 选择MySQL数据库引擎。 网络类型 选择公网网络。建议您开启SSL安全连接，SSL约降低2030%的迁移性能，但保证了数据的安全性。 目标数据库实例 选择您所创建的目标MySQL实例。 目标库读写设置 此处以只读设置为示例。 § 只读 迁移中，目标数据库将转化为只读、不可写入的状态，迁移任务结束后恢复可读写状态，此选项可有效的确保数据迁移的完整性和成功率，推荐此选项。 § 读写 迁移中，目标数据库可以读写，但需要避免操作或接入应用后会更改迁移中的数据（注意：无业务的程序常常也有微量的数据操作），进而形成数据冲突、任务故障、且无法修复续传，充分了解要点后可选择此选项。 迁移模式 此处以全量+增量模式为示例。 § 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 § 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程中完成的目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 在“源库及目标库”信息页面，迁移实例创建成功后，填选源库信息和目标库信息，建议您单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 图 源和目标库信息 表 源库信息 参数 描述 IP地址或域名 配置源数据库MySQL实例的访问地址或域名。 端口 配置源数据库MySQL实例的服务端口，可输入范围为1~65535间的整数。 数据库用户名 访问源数据库MySQL的用户名。 数据库密码 访问源数据库MySQL的用户名所对应的密码。 SSL安全连接 在选择公网网络进行迁移任务时，为了提升数据在网络传输过程中的安全性，建议您开启SSL安全连接，对迁移链路进行加密，如果开启，需要您上传CA证书。 表 目标库信息 参数 描述 数据库实例名称 默认为创建迁移任务时选择的已创建的MySQL实例，不可进行修改。 数据库用户名 访问目标端MySQL实例的用户名。 数据库密码 访问目标端MySQL实例的用户名所对应的密码。 所有Definer迁移到该用户下 l 是迁移后，所有源数据库对象的Definer都会迁移至该用户下，其他用户需要授权后才具有数据库对象权限。l 否迁移后，将保持源数据库对象Definer定义不变，选择此选项，需要配合下一步用户权限迁移功能，将源数据库的用户全部迁移，这样才能保持源数据库的权限体系完全不变。 在“迁移设置”页面，设置流速模式、迁移用户和迁移对象。 图 迁移对象 表 迁移模式和迁移对象公网 参数 描述 迁移用户 数据库的迁移过程中，迁移用户需要进行单独处理。 常见的迁移用户一般分为三类：可完整迁移的用户、需要降权的用户和不可迁移的用户。您可以根据业务需求选择“迁移”或者“不迁移”，选择“迁移”后，可根据需要选择迁移用户。 § 迁移 当您选择迁移用户时，请参见《数据库复制服务用户指南》中“迁移用户”章节进行数据库用户、权限及密码的处理。 § 不迁移 迁移过程中，将不进行用户和权限的迁移。 迁移对象 迁移对象选择的粒度可以为数据库的全对象，对象迁移到目标数据库实例后，对象名将会保持与源数据库实例对象名一致且无法修改。 您可以根据业务需求，选择全部对象迁移或者自定义迁移对象。 § 全部迁移：将源数据库中的所有对象全部迁移至目标数据库。 § 自定义对象：将自定义选择的对象迁移至目标数据库。 说明 若选择部分数据库进行迁移时，由于存储过程、视图等对象可能与其他数据库的表存在依赖关系，若所依赖的表未迁移，则会导致迁移失败。建议您在迁移之前进行确认，或选择全部数据库进行迁移。 在“预检查”页面，进行迁移任务预校验，校验是否可进行任务迁移。查看检查结果，如有失败的检查项，需要修复失败项后，单击“重新校验”按钮重新进行迁移任务预校验。 预检查失败项处理建议请参见《数据库复制服务用户指南》中的“预检查失败项修复方法”。 预检查完成后，且所有检查项结果均成功时，单击“下一步”。 图 预检查 说明 所有检查项结果均成功时，若存在告警，需要阅读并确认告警详情后才可以继续执行下一步操作。 1.进入“参数对比”页面，进行参数对比。 参数对比功能从常规参数和性能参数两个维度，展示了源数据库和目标数据库的参数值是否一致。您可以根据业务需求，决定是否选用该功能。该操作不影响数据的迁移，主要目的是为了确保迁移成功后业务应用的使用不受影响。若您选择不进行参数对比，可跳过该步骤，单击页面右下角“下一步”按钮，继续执行后续操作。 若您选择进行参数对比，请参照如下的步骤操作。 一般情况下，对于常规参数，如果源库和目标库存在不一致的情况，建议将目标数据库的参数值通过“一键修改”按钮修改为和源库对应参数相同的值。 图 修改常规参数 对于性能参数，您可以根据业务场景，自定义源数据库和目标库的参数值，二者结果可以一致也可以不一致。 若您需要将对比结果一致的性能参数修改为不一致，需要在“目标库值调整为”一列手动输入结果，单击左上角“一键修改”按钮，即可将源数据库和目标数据库对应的性能参数值改为不一致。 若您想将对比结果不一致的参数改为一致结果，请参考如下流程进行修改：1.对齐源库和目标库的参数值。 当源库和目标库对应的参数值出现不一致时，选择需要修改的参数，单击“一键对齐”按钮，系统将帮您自动填充目标数据库的参数值，使其和源库对应的参数值保持一致。 图 一键对齐参数 说明 对齐参数值的操作，您也可以通过手动输入结果。 2.修改参数值。 源库和目标库的不一致参数值对齐后，单击“一键修改”按钮，系统将按照您当前设置的目标库参数值进行修改。修改完成后，目标库的参数值和对比结果会自动进行更新。 图 修改性能参数 部分参数修改后无法在目标数据库立即生效，需要重启才能生效，此时的对比结果显示为“待重启，不一致”。建议您在迁移任务启动之前重启目标数据库，或者迁移结束后选择一个计划时间重启。如果您选择迁移结束后重启目标数据库，请合理设置重启计划时间，避免参数生效太晚影响业务的正常使用。 在进行参数对比功能时，您可以参见《数据库复制服务用户指南》中“参数对比列表”进行参数设置。 3.参数对比操作完成后，单击“下一步”。 在“任务确认”页面，选择迁移任务的启动时间，单击“启动任务”，提交迁移任务。 建议您结合定时启动功能，选择业务低峰期开始运行迁移任务，相对静态的数据，迁移时复杂度将会降低。如果迁移不可避免业务高峰期，推荐使用迁移限速功能，即“流速模式”选择“限速”。 迁移任务提交后，您可以返回“实时迁移管理”页面，查看迁移任务状态。 2.任务管理 迁移任务启动后，会经历全量迁移和增量迁移两个阶段，对于不同阶段的迁移任务，您可以进行任务管理。全量迁移查看迁移进度：全量迁移中的任务，您可单击任务名称，在“迁移进度”页签下，查看全量迁移进度，您可以查看结构、数据、索引迁移的进度，也查看具体迁移对象的迁移进度。当全量迁移进度显示为100%，表示全量迁移已经完成。 查看迁移明细：迁移明细中，您可以查看具体迁移对象的迁移进度，当“对象数目”和“已迁移对象”相等时，表示该对象已经迁移完成，可通过“查看详情”查看每个对象的迁移进度。仅白名单用户该支持功能，您可以通过提交工单的方式进行申请使用。 增量迁移查看时延监控：全量迁移完成后，开始进行增量迁移。对于增量迁移中的任务，您可单击任务名称，在“迁移进度”页签下，查看增量迁移同步时延，当时延为0s时，说明源数据库和目标数据库的数据是实时同步的。您也可以使用“迁移对比”页签查看一致性。 图 查看时延监控 查看迁移对比：为了尽可能减少业务的影响和业务中断时间，增量迁移中的任务，您可单击任务名称，在“迁移对比”页签下，建议按照如下流程进行迁移对比，以便确定合适的业务割接时机。 图 迁移对比流程 具体的迁移对比操作及注意事项请参考《数据库复制服务用户指南》中“对比迁移项”章节。 3.割接建议 建议您选择一个业务低峰期，开始正式系统割接流程。割接前，请您确认至少在业务低峰期有过一次完整的数据对比。可以结合数据对比的“稍后启动”功能，选择业务低峰期进行数据对比，以便得到更为具有参考性的对比结果。由于同步具有轻微的时差，在数据持续操作过程中进行对比任务，可能会出现少量数据不一致对比结果，从而失去参考意义。 先中断业务（如果业务负载非常轻，也可以尝试不中断业务）。 在源数据库端执行如下语句，并观察在15分钟内若无任何新会话执行SQL ，则可认为业务已经完全停止。 show processlist 说明 上述语句查询到的进程列表中，包括DRS迁移实例的连接，您需要确认除DRS迁移实例的连接外无任何新会话执行SQL，即可认为业务已经完全停止。 通过DRS迁移任务监控页面进行观察同步时延，保持实时同步时延为0，并稳定保持一段时间；同时，您可以使用数据级对比功能，进行割接前的最后一次数据级对比，耗时可参考之前的对比记录。如果时间允许，则选择全部对比。 如果时间不允许，则推荐对比活跃表，关键业务表，第二步对比多次存在差异的表等。 确定系统割接时机，业务系统指向本云数据库，业务对外恢复使用，迁移完成。 4.迁移结束 结束迁移任务：业务系统和数据库切换至本云后，为了防止源数据库的操作继续同步到目标数据库，造成数据覆盖问题，此时您可选择结束迁移任务，该操作仅删除了迁移实例，迁移任务仍显示在任务列表中，您可以进行查看或删除。结束迁移任务后，DRS将不再计费。 删除迁移任务：对于已结束的迁移任务，您可选择删除任务。该操作将一并删除迁移任务，删除迁移任务后，该任务将不会出现在任务列表中。

随着越来越多的数据源持续、快速地产生数据，此类流式数据急需被系统分析和处理。事件流适用于端到端的流式数据处理场景，对源端产生的事件实时抽取、转换和分析并加载至目标端，帮助您轻松处理流式数据。 事件流总体架构 事件流作为更轻量、实时端到端的流式事件通道，提供轻量流式数据的过滤和转换的能力，在不同的数据仓库之间、数据处理程序之间、数据分析和处理系统之间进行数据同步，连接不同的系统与服务。 如下图所示，事件源与事件目标之间无需定义事件总线，事件通过事件流这个通道在源端和目标端之间进行流转。 事件源：事件的来源，可将天翼云服务如分布式消息Kafka的业务数据作为事件流中的事件提供方。 事件过滤：事件流通过事件模式过滤事件并将事件路由到事件目标，事件模式必须和匹配的事件具有相同的结构。 事件转换：可选择天翼云函数计算作为事件转换器，您可以通过编写函数代码对事件进行更复杂、更加定制化的处理。 事件目标：消费事件消息。 功能优势 实时高效 事件流支持实时从事件源获取、过滤与转换事件，并加载至事件目标。无需定义事件总线，您可以更快地访问事件。 轻量集成 只需在控制台简单创建任务或者一次调用，即可建立实时端到端的流式事件通道，避免了复杂繁琐的操作，便于快速集成。 指标监控 事件流提供多个指标，您可以使用这些指标监控数据流的运行状况，出现异常时及时运维，确保数据流正常运行。 节约成本 按量计费，按照数据量进行计费，不使用则不收费。

本节主要介绍ECS自建MongoDB迁移DDS 概述 数据复制服务（Data Replication Service，简称DRS）支持将ECS自建数据库的数据迁移到本云文档数据库服务（Document Database Service，以下简称DDS）实例。通过DRS提供的实时迁移任务，实现在数据库迁移过程中业务和数据库不停机，业务中断时间最小化。 本章节主要介绍了通过DRS将ECS自建数据库实时迁移至本云DDS的任务配置流程。支持以下网络场景： 源数据库和目标数据库属于同一个VPC网络内 源数据库和目标数据库属于不同VPC网络内 网络示意图 图 同一VPC网路 图2 同区域不同VPC网络 迁移流程 图 迁移流程图

本文介绍如何查看路由,变更、发布、下线和删除网关路由规则。 查看路由详情 1. 登录云原生API网关控制台。顶部菜单栏选择 "地域"，然后再左侧导航栏选择 "API"。 2. 单击 "目标API"，进入API详情，可以查看已添加的路由列表。 3. 单击 "目标路由名称"，可查看路由的 "基本信息" 、"匹配规则" 和 "后端服务" 。 变更路由 1. 登录云原生API网关控制台。顶部菜单栏选择 "地域"，然后再左侧导航栏选择 "API"。 2. 单击 "目标API"，进入API详情，可以查看已添加的路由列表。 3. 单击路由列表的右侧操作栏下的 "编辑" 按钮，可以编辑目标路由。 4. 在编辑路由的弹出框中，您可以修改路由配置，然后点击 "保存" 或 "保存并发布"。 发布路由 1. 登录云原生API网关控制台。顶部菜单栏选择 "地域"，然后再左侧导航栏选择 "API"。 2. 单击 "目标API"，进入API详情，可以查看已添加的路由列表。 3. 单击路由列表的右侧操作栏下的 "发布" 按钮，可以发布目标路由。 4. 在发布操作的确认框单击 "确认"，路由列表的状态栏显示 "已发布" ，表示发布成功。 下线路由 注意 下线后，该路由在实例中将无法访问。请谨慎执行。 1. 登录云原生API网关控制台。顶部菜单栏选择 "地域"，然后再左侧导航栏选择 "API"。 2. 单击 "目标API"，进入API详情，可以查看已添加的路由列表。 3. 单击路由列表的右侧操作栏下的 "下线" 按钮。 4. 在下线操作的确认框单击 "确认"，路由列表的状态栏显示 "未发布" ，表示下线成功。

用户可前往控制台，通过一键重装的操作，自行升级操作系统。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择华北2。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机列表界面，在目标轻量型云主机“操作”列单击“一键重装”。 您也可以单击目标主机“实例名称”进入目标主机详情页，单击右侧顶部“更多”，下拉选择“一键重装” 重装操作系统。 5. 进入“一键重装”界面，下拉“重装选择”确定要重装的系统及版本。 6. 在“设置密码”对密码进行配置后，单击“确定”进行系统重装。 说明 密码规则：设置密码限制8～30 个字符，必须同时包含三项（大写字母、小写字母、数字、 ()~!@ $%^&+{}[]:;'<>,.?/ 中的特殊符号）,且不能以斜线号（/）开头。 7. 目标轻量型云主机状态更改为“重建中“，待状态变为“关机”即完成轻量型云主机系统重装。

本节主要介绍网络及安全问题 数据复制服务有哪些安全保障措施 网络 使用安全组确保访问源为可信的。 使用SSL通道，确保数据传输加密。 如何处理迁移过程中出现的网络中断 迁移过程中如果出现网络中断，可先观察任务状态，当如下状态的迁移任务出现失败时，可在任务列表上单击“续传”，进行任务续传。 全量迁移 增量迁移 如何通过设置VPC安全组，允许本云VPC访问外部弹性IP 默认情况下，基于安全的考虑，本云VPC与外部网络是隔离的，VPC内是无法访问外部的弹性IP，如其他云数据库的弹性IP、云下数据库的弹性IP等。但数据库迁移场景需要确保本云VPC内的迁移实例或者目标数据库可连通外部的弹性IP，从而实现数据库迁移。 为此，您需要在安全组里设置一个出口规则，出口规则控制的是本云VPC可以访问哪些外部的弹性IP和端口范围，安全组的出入口规则一般需要满足“严进宽出”的要求。 如何处理迁移实例和数据库网络连接异常 数据迁移前请确保完成网络准备和安全规则设置。如果连接异常，请按照本节方法排查网络配置是否正确。 本节将以MySQL到RDS for MySQL的迁移为示例，从三种迁移场景（跨云数据库实时迁移、本地数据库实时迁移、ECS自建数据库实时迁移）进行说明。 跨云数据库实时迁移 1. 网络准备。 源数据库需要开放公网访问。 源数据库的网络设置： 源数据库MySQL实例需要开放外网域名的访问。 具体的操作及注意事项可以参考源数据库所在云提供的相关指导。 目标数据库的网络设置： 目标数据库默认与DRS迁移实例处在同一个VPC内，网络是互通的，不需要进行任何设置。 2. 安全规则准备。 源数据库的安全规则设置： 源数据库MySQL实例需要将目标端DRS迁移实例的弹性公网IP添加到其网络白名单中，确保源数据库MySQL实例可以与上述弹性公网IP连通。 在设置网络白名单之前，需要先获取目标端DRS迁移实例的弹性公网IP，具体方法如下：DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性公网IP。 以上讲述的是精细配置白名单的方法，还有一种简单设置白名单的方法， 在安全允许的情况下 ，可以将源数据库MySQL实例的网络白名单设置为0.0.0.0/0，代表允许任何IP地址访问该实例。 上述的网络白名单是为了进行数据迁移设置的，迁移结束后可以删除。 目标数据库安全规则设置： 目标数据库默认与DRS迁移实例处在同一个VPC，网络是互通的，DRS可以直接写入数据到目标数据库，不需要进行任何设置。 本地数据库实时迁移 3. 网络准备： 源数据库的网络设置： 本地MySQL数据库实时迁移至本云云数据库 RDS for MySQL的场景，一般可以使用VPN网络和公网网络两种方式进行迁移，您可以根据实际情况为本地MySQL数据库开放公网访问或建立VPN访问。一般推荐使用公网网络进行迁移，该方式下的数据迁移过程较为方便和经济。 目标数据库的网络设置 ： 若通过VPN访问，请先开通VPN服务，确保源数据库MySQL和目标端本云云数据库 RDS for MySQL的网络互通。 若通过公网网络访问，本云云数据库 RDS for MySQL实例不需要进行任何设置。 4. 安全规则准备： a. 源数据库的安全规则设置： 若通过公网网络进行迁移，源数据库MySQL需要将DRS迁移实例的弹性公网IP添加到其网络白名单内，使源数据库与本云的网络互通。在设置网络白名单之前，需要获取DRS迁移实例的弹性公网IP，具体方法如下： DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性公网IP。 若通过VPN网络进行迁移，源数据库MySQL需要将DRS迁移实例的私有IP添加到其网络白名单内，使源数据库与本云的网络互通。DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的私有IP。 以上白名单是为了进行迁移针对性设置的，迁移结束后可以删除。 b. 目标数据库安全规则设置： 目标数据库默认与DRS迁移实例处在同一个VPC，网络是互通的，DRS可以直接写入数据到目标数据库，不需要进行任何设置。 ECS自建数据库实时迁移 5. 网络准备： 源数据库所在的region要和目标端本云云数据库 RDS for MySQL实例所在的region保持一致。 源数据库可以与目标端本云云数据库 RDS for MySQL实例在同一个VPC，也可以不在同一个VPC。 当源库和目标库处于同一个VPC时，网络默认是互通的。 当不在同一个VPC的时候，要求源数据库实例和目标端本云云数据库 RDS for MySQL实例所处的子网处于不同网段，此时需要通过建立对等连接实现网络互通。 6. 安全规则准备： 同一VPC场景下，默认网络是连通的，不需要单独设置安全组。 不同VPC场景下，通过建立对等连接就可以实现网络互通，不需要单独设置安全组。 排查iptables设置 以源数据库为本云ECS自建数据库为例，如果在上述的操作后，仍无法连通，此时需要额外排查iptables设置，因为HOSTGUARD服务在DRS发起频繁连接请求失败时，会将请求IP加入黑名单中。 7. 登录弹性云主机。 8. 执行以下命令，排查是否有DENY相关的项目包含DRS实例的IP，一般项目名称为INHIDSMYSQLDDENYDROP 。 iptables list 9. 如果存在，执行以下命令，查询iptables入方向规则列表，获取具体规则编号（linenumbers）。 iptables L INPUT linenumbers 10. 执行以下命令，删除DRS实例的IP相关的入方向规则（注意：必须从后往前删，不然linenumbers会更新，需要重新查询）。 iptables D 规则项目名 具体规则编号 11. 删除相关iptables规则后重新进行测试连接即可。

参数 参数类型 说明 示例 下级对象 evaluationCount Integer 持续次数，当规则执行结果持续多久符合条件时报警（防抖） 2 metric String 监控指标 cpuutil metricCnName String 监控指标中文描述 cpu使用率 fun String 本参数表示告警采用算法。取值范围： last：原始值算法。 avg：平均值算法。 max：最大值算法。 min：最小值算法。 sum：求和算法。 根据以上范围取值。 min operator String 本参数表示比较符。取值范围： eq：等于。 gt：大于。 ge：大于等于。 lt：小于。 le：小于等于。 rg：环比上升。 cf：环比下降。 rc：环比变化。 根据以上范围取值。 le value String 告警阈值 80 period String 本参数表示算法统计周期。 参数fun为last时无效。 本参数格式为“数字+单位”。单位取值范围： m：分钟。 h：小时。 d：天。 根据以上范围取值。 5m unit String 单位 KB/s level Integer 本参数表示告警等级。取值范围： 1：紧急。 2：警示。 3：普通。 根据以上范围取值。 3

参数 参数类型 说明 示例 下级对象 evaluationCount Integer 持续次数，当规则执行结果持续多久符合条件时报警（防抖） 2 metric String 监控指标 cpuutil metricCnName String 监控指标中文描述 cpu使用率 fun String 本参数表示告警采用算法。取值范围： last：原始值算法。 avg：平均值算法。 max：最大值算法。 min：最小值算法。 sum：求和算法。 根据以上范围取值。 min operator String 本参数表示比较符。取值范围： eq：等于。 gt：大于。 ge：大于等于。 lt：小于。 le：小于等于。 rg：环比上升。 cf：环比下降。 rc：环比变化。 根据以上范围取值。 le value String 告警阈值 80 period String 本参数表示算法统计周期。 参数fun为last时无效。 本参数格式为“数字+单位”。单位取值范围： m：分钟。 h：小时。 d：天。 根据以上范围取值。 5m unit String 单位 KB/s level Integer 本参数表示告警等级。取值范围： 1：紧急。 2：警示。 3：普通。 根据以上范围取值。 3

本文为您介绍如何给应用服务挂载弹性公网IP。 背景信息 Serverless集群支持应用服务挂载弹性公网IP功能，无需创建VPC NAT网关即可让应用访问公网，此功能使得Serverless容器应用的部署和服务访问变得更加简单和便利。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保目标集群的安全组已经开放相关端口号。 确保kubectl工具已经连接目标集群。 操作步骤 1. 登录VPC管理控制台，购买弹性公网IP。 2. 进入弹性负载均衡控制台，创建弹性负载均衡ELB，并且使用ELB绑定弹性公网IP。 3. 登录容器服务管理控制台，在左侧菜单栏选择“集群”。 4. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏选择“工作负载”下的“无状态”，选择创建Deployment。 您也可以使用如下YAML示例模板创建Pod： apiVersion: v1 kind: Pod metadata: name: nginx spec: containers: image: nginx:alpine imagePullPolicy: Always name: nginx ports: containerPort: 80 name: http protocol: TCP restartPolicy: OnFailure 5. 创建loadbalance类型的service，绑定公网ELB。 apiVersion: v1 kind: Service metadata: name: nginxingresselb namespace: kubesystem annotations: service.beta.kubernetes.io/ctyunloadbalancerid: lb5jkwoaxf66 elb id service.beta.kubernetes.io/ctyunloadbalanceraddresstype: internet

本章节为媒体存储存储桶复制概述。 适用场景 存储桶复制是跨不同存储区域或同一存储区域的存储桶之间自动、异步（近实时）复制对象，可根据配置，将源桶对象的创建、更新和删除等操作复制到目标存储桶。 通过存储桶复制功能，可满足用户以下场景需求： 合规性要求：因合规性要求，数据需要在不同存储区域或存储桶保存一份副本。通过存储桶复制，可在媒体存储的存储区域之间复制数据，以满足业务要求。 数据迁移：因业务发展需要，将业务数据从一个存储桶复制到另一个存储桶，实现数据的迁移。 数据备份与容灾：因业务运行需要，希望所有写入媒体存储对象存储服务的数据能够在另一存储区域进行备份，以预防在数据发生不可逆损毁时，有安全、可用的备份数据，可实时切换业务访问路径，保证业务不中断。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 使用说明 存储桶复制为近实时的操作，可能会存在对象不会立刻复制到目标桶中的情况，请耐心等待。 服务进行复制的过程中，会产生上传对象的请求，在按需计费模式下，这部分请求会按照次数计算费用，具体参考计费项 。 数据复制后，会在目的桶产生存储空间，因此会产生存储空间费用。存储空间计费可参考计费项 。 支持对源端分片上传的文件复制，源端分片上传完成后，服务开始进行复制。 目前存储桶复制暂不支持对追加写的文件进行复制。 当开启多版本控制时，源桶和目标桶的状态必须保持一致。 如修改目标桶中副本对象的ACL，可能会导致目标桶中的副本对象与源桶的对象访问控制权限不一致。 如配置同步历史数据，规则创建后将开始同步历史数据。历史数据仅同步规则创建前的数据。 如已配置同步历史数据且启用复制规则后，修改规则配置可能会使历史对象不被复制，因此建议在历史对象复制未完成前不要修改该桶的复制配置。 关闭同步将同时删除规则。

本章主要介绍修改实例备注 文档数据库服务实例名称支持添加备注，以方便用户备注分类。 说明 目前此功能仅支持白名单用户使用，需要提交工单申请才能使用。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，单击目标实例备注后的，编辑实例备注，单击“确定”，即可修改实例备注。 您也可以单击目标实例名称，进入实例的“基本信息”页面，在“数据库信息”模块“实例备注”处，单击，修改实例备注。单击，提交修改。 说明 实例备注长度不能超过64位，不能包含回车和>!<"&'特殊字符。 步骤 5 在“实例管理”页面，查看修改结果。

本节主要介绍查询同步进度 时同步进度展示了同步过程中，任务的表同步进度，DRS通过流式进度展示，可以帮助您实时了解同步完成的情况。 在全量同步过程中，DRS展示进度总览，您可以查看结构、数据、索引迁移的进度，当显示为100%时，表示该项同步完成。过程中，数据和索引的同步相对较慢。 在增量同步过程中，DRS展示增量时延，可通过时延大小判断源和目标同步情况，时延为0代表源和目标瞬时一致，无新的事务需要同步。 前提条件 已登录数据复制服务控制台。 操作步骤 步骤 1 在“实时同步管理”界面，选中指定同步任务，单击任务名称，进入“基本信息”页面。 步骤 2 单击“同步进度”页签，查看表同步进度。 当全量同步完成时，显示全量已完成100%。 当全量同步完成后，开始进行增量同步，可在“同步进度”页签下，查看增量同步时延。 增量时延也可在“实时同步管理”界面查看，当增量时延超过用户设置或系统默认的时延阈值时，任务管理界面增量时延显示为红色。 当时延为0s时，说明源数据库和目标数据库的数据是实时同步的。 说明 时延 源库当前系统时间 成功同步到目标库的最新一个事务在源库的提交成功时间。 一个事务同步的完整过程如下： 1. 源端数据库的抽取； 2. 经过网络的传输； 3. 由DRS进行日志解析； 4. 最终在目标数据库上的执行完成。 这样完成了事务从源到目标的同步，时延为该事务最后在目标数据库上执行完成时的源库当前系统时间（currenttime）与该事务在源库的提交成功时间（committedtime）的时间差，时延为0代表源和目标瞬时一致，无新的事务需要同步。 注意 长时间未提交事务和频繁DDL操作均可以造成高时延。

本文介绍了文档数据库服务的轻松易用。 快速创建 快速部署，仅需分钟级的等待时间，便可完成文档数据库服务目标实例的创建。 全面监控 文档数据库服务提供了多达十几项的监控指标数据，包括CPU利用率、内存利用率、磁盘使用率、IOPS、连接数、网络流量、TPS、QPS等。让您对文档数据库服务的运行状态了如指掌。 便捷运维 通过web控制台，对实例重启、数据库备份、数据恢复等高频需求实现一键式便捷操作。

本节主要介绍查看参数模板应用记录。 操作场景 GeminiDB Influx支持查看参数模板所应用到实例的记录。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在左侧导航栏，单击“参数模板管理”。 4. 在“参数模板管理”页面，根据参数模板类型不同进行如下操作。 在“系统默认”页签的目标参数模板单击“应用记录”。 在“自定义”页签的目标参数模板单击“更多 > 应用记录”。 您可以查看到当前参数模板应用到的实例名称或ID、应用状态、应用时间和失败原因。

本章节介绍ZooKeeper数据管理功能 概述 ZooKeeper引擎的数据管理功能，提供了ZooKeeper节点树上数据节点的可视化管理能力，支持增删查改和ACL控制能力，同时对注册到ZooKeeper实例上的服务信息进行了提取和展示，使您更方便地查看注册服务相关的元数据信息。 前提条件 已开通微服务引擎MSE，参考章节：创建ZooKeeper引擎 开通ZooKeeper实例并且状态正常。 操作步骤 ZNode管理 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表。 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 4. 在左侧导航栏，选择数据管理>ZNode管理。 5. 引擎中默认包含ZooKeeper节点，ZooKeeper节点中默认包含两个子节点，分别是config和quota。ZooKeeper节点及其子节点纳入保留节点，不允许用户进行写操作。 6. 点击创建节点按钮，可以创建节点，输入节点路径和节点信息，单个ZNode最大支持64K数据量。 7. 创建完成后，可以返回节点管理页面查看节点和数据信息。在节点管理页面，通过右键鼠标可以删除、增加子节点和同级节点。 ACL权限 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池 ； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4. 在左侧导航栏，选择数据管理>ZNode管理； 5. 选择一个ZNode节点，在右下方会出现该节点的详细ACL权限信息； 6. 目前提供的权限修改有写权限（w），删除权限(d)，创建权限（c）,点击下拉框可以编辑权限； 7. 取消或新增对应权限后，页面对应ACL权限的显示会相应变化； 注意 ACL适用于使用ZooKeeper客户端或者API访问实例集群的场景，MSE注册配置中心控制台自带超管权限，因此您可以在控制台上操作所有数据，请您慎重操作，同时控制台也提供了审计日志查询功能以帮助您进行溯源；

如果您已经创建天翼云VPN网关，并且创建了SSL服务端和SSL客户端，可以对SSL客户端进行流量监控。 操作场景 查看某个SSL客户端的状态监控。 前提条件 您在该区域下有正常状态的启用了SSL功能的VPN网关，并且创建了SSL服务端和SSL客户端。 操作步骤 1. 登录控制中心。 2. 选择“管理与部署”下的“云监控”产品。 3. 选择“云监控服务 ”下的“VPN监控”，进入VPN监控页面。 4. 单击“SSL客户端”，进入SSL客户端监控列表，可以查看SSL客户端的名称、企业项目、绑定的SSL服务端和创建时间等信息。 5. 选择需要查看监控的目标SSL客户端，点击“操作”列中的“查看监控图表”按钮。 6. 在SSL客户端监控详情页面，上方可以查看SSL客户端的详情信息。 7. 在SSL客户端监控详情页面，下方可以查看目标SSL客户端的入方向流量速率、出方向流量速率、入方向数据包速率和出方向数据包速率等监控指标的数据。还可以选择查询的时间范围，设置自动刷新等。 8. 在SSL客户端监控详情页面，针对每一项监控指标，单击图表右上角的“查看”按钮，可以查看该监控指标的详情信息。在该页面，支持修改数据的展示方法（原始值、最大值、最小值、平均值等），支持修改数据的取样间隔（5分钟、20分钟），支持选择查询的时间范围，支持修改数据单位。 9. 选择需要查看监控的目标SSL客户端，点击“操作”列中的“创建告警规则”按钮，可以配置告警服务，具体配置请参考“创建告警规则”。

服务内容 服务描述 交付物 现状调研 业务现状、业务架构、客户目标调研 健康检查 检查业务网络架构、弹性计算架构、存储架构、数据库架构、中间件架构、安全架构的健康情况 优化建议 依据健康检查结果，给出优化建议 优化方案 技术支持 在交付期内，为优化方案落地提供技术支持

本文介绍如何升级客户端。 操作场景 云容灾服务需要搭配客户端使用，当受保护的服务器安装的客户端不是最新版本时，您可以选择一键升级客户端至最新版本。 前提条件 该受保护的服务器已安装客户端，且客户端不是最新版本。 受保护的服务器状态为“已初始化”、“实时复制中”或“实时复制停止”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞服务器操作＞升级”。进入“升级容灾客户端”确认页面。 7. 确认信息后单击“确认”，服务器状态变为“客户端升级中”。 8. 当客户端版本显示最新版本时，且受保护的服务器状态恢复至升级前状态，说明升级成功。 注意 若升级过程中因服务器出错或网络等原因导致升级失败，则服务器状态从“客户端升级中”变为“升级失败”，此时您仅能执行注销操作，注销操作请参见

本节为您介绍云迁移服务CMS 成本评估任务列表查看。 云迁移服务CMS平台可以查看当前用户发起的成本评估任务基本信息，如任务编号、任务名称、源端类型、目标端区域、任务状态、调研方式、创建时间、操作等信息。如图所示。

本节主要介绍设置存储池内卷的默认QoS策略。 可以通过下列方式设置存储池内的默认QoS策略： 在“服务”>“QoS策略管理”页面，点击具体的QoS策略名称，进入QoS策略详细信息页面。在“关联详情”>“存储池（池内卷的默认QoS策略）”下点击“增加关联对象”，选择需要关联QoS策略的存储池即可。 图1 增加关联对象（存储池内卷的默认QoS策略） 在“服务”>“QoS策略管理”页面，选择目标存储池，点击“操作”>“设置QoS策略”，弹出“设置QoS策略”页面。在“对象类型”中选择“存储池（针对池内的默认QoS策略）”，在“策略名称”中选择对应的QoS策略即可。 在“服务”>“存储池管理”页面，点击目标存储池，进入存储池详细信息页面。点击“QoS策略”下的“设置QoS策略”，弹出“设置QoS策略”页面。在“对象类型”中选择“存储池（针对池内的默认QoS策略）”，在“策略名称”中选择对应的QoS策略即可。 图2 设置存储池内卷的默认QoS策略

本文主要介绍如何使用Syslog协议上传日志 背景信息 Syslog（系统日志）是一种用于在网络中发送和接收日志信息的标准协议，它允许计算机系统将日志消息发送到指定的服务器或日志收集器。Syslog最初由ARPANET开发，后来被广泛用于各种操作系统和网络设备中，以帮助系统管理员监控和分析系统事件。 操作指南 1. 登录云日志服务控制台。 2. 左侧点击【日志接入】菜单，进入日志接入页面。选择Syslog协议。 3. 选择日志单元。 1. 点击“所属日志项目”后的目标框，在下拉列表中选择具体的日志项目，若没有所需的日志项目，点击“所属日志项目”目标框后的“新建”，在弹出的创建日志项目页面创建新的日志项目。 2. 点击“所属日志单元”后的目标框，在下拉列表中选择具体的日志单元，若没有所需的日志单元，点击“所属日志单元”目标框后的“新建”，在弹出的创建日志单元页面创建新的日志单元。 4. 选择主机组。在主机组列表中选择一个或多个需要采集日志的主机组。 若没有所需的主机组，单击列表上方“新建主机组”，可参考主机组管理中的创建主机组方法。 5. 配置采集规则。 对日志采集设置具体的采集规则。具体请参考[采集配置](

配置 说明 分类类型 即规则所属分类，支持内置（按模板添加）和自定义添加。 密级 对配置的数据进行等级划分。如果现有的分级不满足需求，请进入数据密级管理页面进行设置，详情请参见上篇 分类模板 分类类型选择“内置”，呈现此参数。如果选择“内置”，用户可以根据实际需要选择系统内置的敏感数据识别定义模板，例如：时间、手机号、车牌号。 分类名称 分类类型选择“内置”，分类名称自动关联分类模板生成。 分类类型选择“自定义”，用户可以自行填写分类名称。 说明 定义数据分类规则，名称必须唯一。 识别规则 分类类型选择“自定义”，呈现此参数，支持正则表达式。 正则表达式 内容识别：提供的数据识别方式之一，自定义正则表达式。 列名识别：提供字段名精确匹配和模糊匹配方式，支持多个字段匹配。 描述 对当前规则进行简单描述。

获取客户端真实IP 网站若使用了流量代理服务（如CDN、DDoS高防、WAF），达到源站的IP均将显示为相关服务的代理回源IP地址，WAF在HTTP请求头部中默认插入了XForwardedFor字段，用于记录客户端真实IP，源站服务器可以通过解析回源请求中的XForwardedFor记录，获取客户端的真实IP，各类型的Web应用服务器针对该字段的提取配置可联系安全防护工程师提供技术支持。 与CDN结合使用 WAF与CDN完全兼容，可以通过与CDN的结合使用，为开启CDN内容加速的业务同时提供Web攻击防护。 若已经接入CDN服务，将云WAF为防护域名分配的CNAME地址作为CDN的源站即可。 客户端 > CDN > WAF > 源站，流量将按照用户 > CDN > WAF >源站的架构回源。同时，需要您联系CDN服务商，将客户端的真实IP通过clientIP字段插入至HTTP请求头部中，并告知安全防护工程师进行提取配置，保证WAF正常防护。 防护策略说明 WAF防护服务目前默认策略分为低、中、高与 AI 学习模式。各防护策略均包含上述攻击类型在内的安全防护，策略等级越高越严格，攻击漏拦截概率越小，对业务 访问影响程度可能更高（业务代码不规范也会触发阻断策略）。 低级防护策略主要针对攻击特征比较明显的违规请求，适用于站点存在较多不可控用户输入（如含有富文本编辑器的网站业务）的业务场景。 一般情况下，中级防护策略适用于绝大部分业务场景的Web防护需求。 高级防护策略采用了最精细的防护颗粒度，适用于对业务安全性要求较高，同时需要网站开发人员高度参与策略定制与防护过程的业务场景。 如对站点业务流量特征还不完全清楚，可以启用AI学习模式，该模式下AI学习引擎会自动学习网站的访问模式与流量特征，经过7到14天的分类训练和流量学习后会对所有策略根据机器算法进行评分，保留学习后符合标准的策略规则，大幅减少误报，提高对已知与未知Web安全威胁的防护效果，同时，可联系天翼云安全工程师基于学习期间的攻防日志，进一步优化安全防护策略和配置。 接入WAF防护服务后，当启用防护策略时，即便是低级防护策略 ，可能也会因为网站代码实现不够规范或用户通过非常规方式访问等情况，造成用户的上传搜索等正常操作可能被误认为是攻击而拦截掉。当业务访问出现误报较多的情况，建议将防护模式调整为观察模式，通过自服务平台查看告警日志，并及时观察业务的正常使用情况，发现误报请求后第一时间联系天翼云安全工程师优化安全防护策略。

配置项 描述 环境 用户创建的环境 K8s集群 从下拉列表中选择目标K8s集群 K8s命名空间 K8s命名空间通过将系统内部的对象分配到不同的命名空间中，形成逻辑上分组的不同项目、小组或用户组，便于不同的分组在共享使用整个集群的资源的同时还能被分别管理。default：没有其他命名空间的对象的默认命名空间。kubesystem：系统创建的对象的命名空间。kubepublic：此命名空间是自动创建的，并且可供所有用户（包括未经过身份验证的用户）读取。此处以选择default为例。 应用路由名称 自定义设置路由名称，在同一个命名空间下应用路由名称必须唯一 转发规则 说明在添加应用路由时，您需要了解以下几点：1.在同一个应用路由下，可以创建多个路由规则： 相同域名和路径的组合，只能对应一个Service。2. 同一个Service，可以对应多个域名和路径组合。 在不同应用路由下，可以创建完全相同的路由规则。 域名 指定访问域名 路径 指定访问路径，必须以正斜线（/）开头 应用实例 从下拉列表选择当前集群指定目标容器应用实例 服务名称 从下拉列表中选择当前应用的目标服务Service 服务端口 服务Service的服务端口 开启TLS 选中开启TLS，即代表允许外部HTTPS请求路由到内部Service的路由规则集合。如果允许外部HTTPS请求，还需要设置TLS证书。在Secret列表中选择TLS证书类型的保密字典，如果您还没有将HTTPS证书保存到保密字典，请单击新建密钥。创建保密字典的具体操作，可以到“应用运维>容器应用实例>Kubernetes配置>保密字典”创建 注解 为Ingress添加注解键值对。 IngressNginx注解：选择社区版本Nginx Ingress支持的Annotations配置Ingress 标签 为Ingress添加标签键值对。使用标签便于对已配置特定标签的Ingress进行分组管理

本章节介绍云容器集群Pod磁盘填充故障演练。 背景介绍 在云原生环境中，Pod 依赖持久卷（如云盘、PVC、emptyDir）存储日志、缓存和业务数据。磁盘空间耗尽常由日志无限增长、缓存未清理或异常写入引起，一旦发生，可能导致文件写入失败、配置无法更新、数据库无法落盘、服务崩溃或系统重启。通过模拟磁盘耗尽演练，可提升对资源耗尽问题的预警、防护和恢复能力，增强业务系统弹性。 基本原理 通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本小节介绍漏洞扫描服务流程。 网络要求 非电信客户的应用系统网络与扫描器网络可达，即可提供扫描服务（内网需提供用于部署扫描器的内网主机，内外网需保证路由可达）。 服务流程 业务受理单 客户应如实填写以下信息（必须填满）： 1. 被检测的IP主机信息。 2. 被检测主机的操作系统类型及版本。 3. 业务接口人联系方式，客户需指定一个具有对漏洞扫描方案及漏洞扫描过程中出现的问题有决定权的业务接口联系人。 4. 客户提供扫描资产时需对所提交资产所有权负责，保证资产归提交人合法所有。 5. 客户需签订漏洞扫描授权书。 审核阶段 对委托单位提交的受理单信息进行核查，核查内容： 1. 判断资产所在环境是公网还是内网。 若是公网需要保证被扫描资产路由可达。 若是内网环境，需确认委托单位提供可访问到内网主机的跳板机。 2. 受理单审核通过后进入漏洞扫描实施阶段。 业务受理单无问题进入下一阶段；如有问题返回客服，由客服继续与客户沟通，直到业务受理单填满无问题。 说明 确认过程需1个工作日。 实施阶段 1.漏洞扫描实施方案 业务受理单确认无误后进入实施阶段，漏洞扫描操作人员接到客服的业务受理单后确认受理单信息：IP、版本、授权等并就扫描计划和受理单内容与客户确认。扫描任务实施前，分析客户主机情况，制定扫描方案，明确漏洞扫描任务具体实施时间、目标范围、合理的扫描方式以及最佳扫描策略，并就扫描方案与客户进行沟通确认，由于在漏洞扫描期间客户方未关闭安全防护设备所造成的漏扫结果不准确，乙方不承担责任。 注意 确认过程0.5个工作日。 2.实施漏洞扫描 扫描实施前若客户网络环境公网不能直达，需部署扫描器，也可配合客户自己部署，策略模板由我们提供，部署时间预计1个工作日。 关于扫描进度，目前扫描器扫描一个C段地址大约需要6个小时左右时间，扫描期间实时就扫描过程中发生的问题与客户沟通，最后扫描的结果将存放到扫描结果专用堡垒机上。 漏洞扫描的风险规避，由于漏洞扫描属于黑盒测试，因此可能对被测试目标造成不可预知的风险；此外对于性能比较敏感的测试目标，如一些实时性要求比较高的系统，由于扫描可能引起网络流量的增加，因此可能会引起被扫描目标的服务质量降低。因此需进行如下的风险规避措施： 扫描时段选择：一般会选择在夜间或安排在业务量不大的时段进行漏洞扫描。 扫描策略选择：根据系统的具体情况配置合理的扫描策略。 3.编写扫描报告 漏洞扫描完成后输出漏洞扫描服务报告，报告编写时间2个工作日。 4.报告审核修订 由专人对输出的漏洞扫描服务报告进行审核修订，审核修订时间1个工作日。 5.报告提交 报告提交方式采取邮件回复的方式提交：客户通过邮件向天翼云漏洞扫描平台发起报告接收申请，漏洞扫描服务报告以回复邮件方式给客户。 6.质保服务 在客户收到漏洞扫描服务报告后，乙方参与漏扫项目的专家为客户持续提供3天时间用于咨询报告中的不明事项。 7.结束服务 在完成以上各阶段工作后，漏洞扫描项目经理告知客服此次漏扫服务结束。

前提条件 创建工作流 创建日志单元 【创建事件总线委托】创建事件总线类触发器前，需要先确认开通事件总线对工作流的服务委托，赋予事件总线调用工作流的权限。 操作步骤 1. 登录工作流控制台，点击目标工作流，进入工作流详情详情。 2. 在配置选项卡中，选择左边的 工作流调度 选项卡。 3. 点击 创建工作流调度 ，在弹出的右抽屉中选择 日志触发器，配置参数解释如下表。 配置项 操作 示例 触发器类型 选择日志触发器。 日志触发器 名称 填写自定义的触发器名称。 alstrigger 日志项目 选择目标日志项目。 日志单元 选择目标日志单元。

漏洞描述 Apache HTTP Server是阿帕奇（Apache）基金会的一款开源网页服务器。 Apache HTTP Server 存在环境问题漏洞，该漏洞源于 Apache HTTP Server 在丢弃请求正文时无法关闭入站连接，从而导致请求夹带（request smuggling）。 基本信息 · CVE编号：CVE202222720 · 漏洞类型：敏感信息泄露 · 危险等级：高危 · 受影响应用版本：Apache HTTP Server < 2.4.52 · 检测方式：版本对比 · 公布时间： 20220314 · CVSS评分： 8 · CVSS详情： AV:N/AC:L/Au:N/C:P/I:P/A:P 修复建议 1.将 httpd 升级到 2.4.53 及以上版本，下载地址： 2.若漏洞的检测结果中存在漏洞修复版本，则将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上。 参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级： CentOS/RHEL/Oracle Linux : sudo yum update y 需要升级的软件包名(参考检测结果) SUSE : sudo zypper update y 需要升级的软件包名(参考检测结果) Ubuntu/Debian : sudo aptget update && sudo aptget install onlyupgrade y 需要升级的软件包名(参考检测结果) 例：若漏洞的检测结果中主机系统为 RedHat 7，软件包名称为 httpd，当前安装版本为 2.4.680.el7，对应漏洞修复版本为 2.4.697.el79.5，则漏洞修复命令为 sudo yum update y httpd

示例三：转换时变量为JSON形式 转换前的事件 转换类型 转换后的事件 plaintext { "id": "f36b49b668914b59b11cbf689xxxx712", "source": "ctyun:kafka", "type": "ctyun:kafka:Topic:Message", "specversion": "1.0", "datacontentype": "application/json;charsetutf8", "subject": "ctyun:kafka:75dcxx1eb5:topic:source1", "time": "20241203T09:48:00.696Z", "data": { "key": "test2", "value": "test1" } } 模板 变量： plaintext { "data": "$.data" } 模板： plaintext { "value": ${data} } plaintext { "value": { "key": "test2", "value": "test1" } } 示例四：转换时变量进行JSON转义 若希望转换的字符串保持JSON字符串格式，不破坏原有JSON的格式，可使用jsonEscape函数，如下所示： 转换前的事件 转换类型 转换后的事件 plaintext { "id": "f36b49b668914b59b11cbf689xxxx712", "source": "ctyun:kafka", "type": "ctyun:kafka:Topic:Message", "specversion": "1.0", "datacontentype": "application/json;charsetutf8", "subject": "ctyun:kafka:75dcxx1eb5:topic:source1", "time": "20241203T09:48:00.696Z", "data": { "key": "test2", "value": "test1" } } 模板 变量： plaintext { "data": "$.data" } 模板： plaintext { "value": "${jsonEscape(data)}" } plaintext { "value": "{"key": "test2","value": "test1"}" } 空 当转换类型为空时，事件总线EventBridge将事件路由到事件目标时，对应的属性为空。如希望分布式消息服务Kafka事件目标的Key、分布式消息服务RocketMQ事件目标的Tags为空时，可以将对应属性设置为空。