参数 参数类型 说明 示例 下级对象 alarmRuleID String 告警规则ID 2c2472dff6335b4bbe459609fc9f8154 regionID String ctyun资源池ID 81f7728662dd11ec810800155d307d5b name String 规则名 ctyunrule desc String 描述 demo service String 本参数表示服务。取值范围： ecs：云主机。 evs：云硬盘。 pms：物理机。 ... 云监控服务，具体服务参见 ecs dimension String 本参数表示告警维度。取值范围： ecs：云主机。 disk：磁盘。 pms：物理机。 ... 云监控服务，具体服务参见 ecs repeatTimes Integer 重复告警通知次数 0 silenceTime Integer 告警接收策略静默时间，多久重复通知一次，单位为秒 300 recoverNotify Integer 本参数表示恢复是否通知。取值范围： 0：否。 1：是。 根据以上范围取值。 0 notifyType Array of Strings 本参数表示告警接收策略。取值范围： email：邮件告警。 sms：短信告警。 根据以上范围取值。 ['email','sms'] contactGroupList Array of Objects 告警联系人组 contactGroup notifyWeekdays Array of Integers 本参数表示通知周期。取值范围： 0：周日。 1：周一。 2：周二。 3：周三。 4：周四。 5：周五。 6：周六。 根据以上范围取值。 [0,1,2,3,4,5,6] notifyStart String 通知起始时段，默认为00:00:00 00:00:00 notifyEnd String 通知结束时段，默认为23:59:59 23:59:59 webhookUrl Array of Strings webhook消息推送url地址 [' status Integer 本参数表示告警规则启用状态。取值范围： 0：启用。 1：停用。 根据以上范围取值。 0 alarmStatus Integer 本参数表示告警规则告警状态。取值范围： 0：正常。 1：正在告警。 根据以上范围取值。 0 createTime Integer 创建时间，毫秒级时间戳。 1689580180000 updateTime Integer 更新时间，毫秒级时间戳。 1689580180000 projectID String 项目ID 0 conditions Array of Objects 具体匹配策略 condition resources Array of Objects 资源信息列表 resources resourceScope Integer 规则的资源范围，取值范围： 0：实例资源类型。 1：资源分组类型。 2：全部资源类型 。 根据以上范围取值。 0 defaultContact Integer 是否使用天翼云默认联系人接收通知，取值范围： 0：否。 1：是。 根据以上范围取值。 0

操作场景 您可以使用对象分享功能，通过对象的临时URL将存放在OBS中的对象分享给所有用户。 背景知识 文件分享强调临时性，所有分享的URL都是临时URL，存在有效期。 临时URL是由文件的访问域名和临时鉴权信息组成。 临时鉴权信息主要包含 AccessKeyId 、 Expires 、xobssecuritytoken 和Signature 四个参数。其中 AccessKeyId 、xobssecuritytoken 和Signature 用于鉴权，Expires定义鉴权的有效期。 当在OBS控制台上单击了对象后的“分享”之后，OBS就会以默认5分钟的有效期获取临时鉴权信息，并生成分享链接，此时链接就已经生效并且开始计算时间了。每调整一次URL有效期，OBS就会重新获取一次鉴权信息以生成新的分享链接，新链接的有效期从调整的时候开始计算。 约束与限制 通过OBS控制台分享的文件，有效期的范围为1分钟到18小时。如果想要设置更长的有效期，建议使用客户端工具OBS Browser+，OBS Browser+支持1分钟到30天的有效期。如果想要设置永久的权限，请通过桶策略或对象策略实现。 仅桶版本号为3.0的桶支持文件分享功能。桶版本号可以在桶概览页的“基本信息”中查看。 加密对象不能分享。 归档存储对象需恢复后才能分享。 操作步骤 步骤 1 在桶列表单击待操作的桶，进入“对象”页面。 步骤 2 选中待分享的文件，并单击右侧的“分享”。 此时，链接信息中的链接就已经生效并开始计时，有效期为默认的5分钟。修改URL有效期，链接会相应变化，新链接的有效期从修改时开始计算。 步骤 3 URL相关操作。 单击“打开URL”，将在新页面打开文件进行预览或者直接下载文件到本地。 单击“复制链接”，您可以将该链接分享给所有用户，用户可以在浏览器中通过此链接直接访问文件。 单击“复制路径”，您可将该路径分享给所有拥有对象所在桶权限的用户，用户可以在对应桶中的文件搜索框中输入该路径搜索并访问文件。 说明 在“URL有效期”内，任何用户都可以访问该文件。

如果您希望基于自定义容器镜像来编写程序,部署已有的容器镜像的应用或者需要使用 GPU 函数,可以选择创建自定义容器镜像函数。 创建函数 前提条件 具备已通过实名认证的天翼云账号 已开通函数计算服务 操作步骤 1. 登录函数计算控制台，在左侧导航栏，单击函数，进入函数列表页面。 2. 在函数列表页中，点击创建函数按钮，进入函数创建页面。 3. 在函数创建页面，选择创建函数的方式，并配置以下配置项，然后单击确定。以下操作以容器镜像创建函数为例。 基本设置 配置项 说明 函数名称 设置函数名称 企业项目 支持将本次创建的函数上报到用户的企业项目中。若不配置该项，则默认上报到"default"企业项目。 镜像配置 配置项 说明 示例 镜像选择方式 可以选择使用示例镜像或者使用 CRS 镜像。 使用示例镜像 示例镜像 通过一个简单的示例镜像创建函数。 Gin Web 应用示例镜像 启动命令 容器的启动命令。 ./main 监听端口 您的代码中的HTTP Server所监听的端口。 9000 注意 请确保启动程序及相关程序包具有可执行权限，可以通过chmod +x添加可执行权限。 高级配置 配置项 说明 示例 vCPU规格 为函数配置运行vCPU规格。 0.5 核 内存规格 为函数配置运行的内存规格。 512 MB 临时硬盘大小 根据您的业务情况，选择临时存储文件的硬盘大小。 512 MB 实例并发度 支持一个实例同时并发执行多个请求，这个值用来配置单个函数实例可以同时处理多少个请求。 1 执行超时时间 设置函数执行的超时时间。 64 请求处理程序 设置请求处理程序，函数计算的运行时会加载并调用您的请求处理程序处理请求。 index.handler 时区 选择函数的时区。 UTC 函数角色 选择根据函数所在服务配置的角色。 CTyunDefaultRole 允许访问VPC 是否允许函数访问VPC内资源。 否 允许函数默认网卡访问公网 是否允许函数可以通过默认网卡访问公网。关闭后，当前服务中的函数将无法通过函数计算的默认网卡访问公网。 否 说明 vCPU大小（单位为核）与内存大小（单位为GB）的比例必须设置在1∶1到1∶4之间。 环境变量：设置函数运行环境中的环境变量。可以使用 json 或表单的形式编辑。

当前天翼云CDN加速可订购的资源包包括流量包和静态HTTPS请求包，所述的流量包指的是下行流量包。本文介绍资源包的抵扣时间、抵扣顺序及相关抵扣规则。 抵扣时间 资源包购买成功后立即生效。 资源包生效以后的实际抵扣时间会有1小时左右的延迟。假设您购买了有效期为1年的100GB的中国内地下行流量包，从2023年12月1日00:00开始产生流量，系统中00:0000:05产生的流量，大概会在01:00左右开始实时抵扣流量包中的流量，以此类推。 抵扣顺序 支持叠加购买多个资源包。在同个类型资源包中，抵扣顺序依据资源包的到期时间先后排序，优先抵扣先到期的资源包，有效期不会叠加计算。 资源包计费的抵扣优先级高于按量计费。资源包的所有额度全部抵扣完后，会自动转相同加速类型的按量计费，即超出部分自动转为后付费的按量扣费。 抵扣规则 CDN加速不同类型资源包之间不支持互相抵扣。例如，CDN加速流量包不能抵扣CDN加速的所有费用，即CDN加速流量包只能用于抵扣下行流量，不能用来抵扣CDN加速增值服务等其他计费项。 订购CDN加速流量包前需先开通CDN加速按量计费，详情请见：产品开通，且CDN加速按量计费的计费方式必须为“流量”；"日带宽峰值"计费客户，如需使用CDN加速流量包，需将计费方式变更为"流量"，否则订购的CDN加速流量包会在成功订购后立刻被冻结，且冻结期间的流量包有效期不会延长。 订购CDN加速静态HTTPS请求包前需先开通CDN加速任一计费方式的按量计费，详情请见：产品开通。其中，"日带宽峰值"计费客户，如需使用CDN加速流量包作为基础服务计费，需将计费方式变更为"流量"，否则订购的CDN加速流量包会在成功订购后立刻被冻结，且冻结期间的流量包有效期不会延长。 不同加速区域的资源包不可互相抵扣，即CDN加速（中国内地）资源包和CDN加速【全球（不含中国内地）】资源包不支持互相抵扣。

本文介绍状态码过期时间（源站优先）功能及其配置说明。 功能介绍 全站加速节点从源站获取资源时，源站会返回响应状态码。针对4xx、5xx特殊状态码，您可以在天翼云全站加速平台上配置状态码过期时间，当客户端再次请求相同资源时，未过期时间内将由全站加速直接响应状态码，不会触发回源，减轻源站压力。当状态码在全站加速平台上的缓存时长超过设置的过期时间，缓存的状态码会失效，此时针对同一资源的请求需要回源，详情请见：状态码过期时间。如您希望在源站响应特殊状态码并携带相关缓存头的情况下，源站相关缓存头优先级更高，无相关缓存头时才按全站加速设置的过期时间生效，则可以配置状态码过期时间（源站优先）功能。 配置状态码过期时间（源站优先）功能后，针对源站返回的4xx或5xx状态码，源站响应不同缓存头时的情况分别如下： 1. 源站响应Pragma:nocache、CacheControl：nocache/nostore/private等不缓存头时，配置状态码过期时间（源站优先）功能后，对应特殊状态码不缓存。 2. 源站响应CacheControl：maxagen时：若n大于0，则全站加速以源站响应的缓存过期时间为准，未过期时间内不再回源；若n等于0，则全站加速认为缓存过期，进行回源校验。 3. 源站响应Expires时：若Expires时间大于当前，则全站加速以源站响应的缓存过期时间为准，未过期时间内不再回源；若Expires小于或等于当前，则全站加速认为缓存过期，进行回源校验。 4. 如源站未返回以上任何缓存相关响应头，则以全站加速配置的缓存过期时间为准；例如配置5s，则在全站加速获取源站特殊状态码后的5s时间内，相同资源请求将不再回源，直接返回特殊状态码。 注意 如源站同时响应上述1、2、3头部，则优先级遵循如下：Pragma:nocache、CacheControl：nocache/nostore/private等不缓存头>CacheControl：maxagen > Expires。

本章节会介绍如何查看或者下载数据库慢日志。 操作场景 慢日志用来记录执行时间超过当前慢日志阈值“longquerytime”（默认是1秒）的语句，您可以通过慢日志的日志明细、统计分析情况，查找出执行效率低的语句，进行优化。您也可以下载慢日志进行业务分析。 目前支持查看近1个月的慢日志。 关系型数据库服务支持以下执行语句类型： 全部 SELECT INSERT UPDATE DELETE CREATE 参数解析 表 MySQL慢日志相关的参数解析 参数名称 说明 longquerytime 大于等于此时间记录慢日志，精度可达微秒级别，默认为1s，当SQL语句执行时间超过此数值时，就会被记录到慢日志中。 建议设置为1s。注意：锁等待时间并不计算在执行时间内。 修改“longquerytime”参数是全局级别生效，修改完成后，新建连接会使用最新设置的参数值。旧连接的“longquerytime”属性值不会被改变，仍然保持旧的值。 logqueriesnotusingindexes 是否记录未使用索引的查询，默认OFF。 logthrottlequeriesnotusingindexes 每分钟允许写入到慢日志的未使用索引的语句，默认为0。 开启慢日志明文显示 说明 如您需要使用此功能，请提交工单或联系客户经理申请对应权限。 明文显示的日志30天后会自动删除。如果实例删除，相关日志也同步删除。 开启慢日志明文显示后，只对开启后生成的慢日志生效，开启之前的历史慢日志不会明文显示。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏单击“日志管理”，在“慢日志”页签下选择“日志明细”页签，在“日志明细”页签下，单击“开启慢日志明文显示”右侧开关 。 步骤 6 在“开启慢日志明文显示”弹出框中，单击“是”，开启慢日志明文显示功能。 结束

介绍分布式消息服务MQTT实例详情。 实例详情包含基本的实例基本信息、当前性能指标信息以及各MQTT Broker节点信息。 基本信息 实例基本信息包括实例ID、实例名称、实例类型、专有网络、子网、安全组、创建时间、服务端连接地址、内网终端连接地址等，各字段释义如下： 实例ID：MQTT实例ID通常用于标识和管理不同的MQTT实例。每个MQTT实例都有一个唯一的实例ID，以确保在MQTT Broker上进行识别和区分。实例ID通常是一个字符串，由系统自动生成。 实例名称：MQTT实例名称通常用于标识和描述特定的MQTT实例。它是一个可读性高的字符串，用于方便用户在管理和监控中识别不同的MQTT实例。实例名称可以由用户自定义，也可以由MQTT服务根据用户指定的规则自动生成。通常情况下，实例名称是唯一的，以确保在一个MQTT服务中区分不同的实例。 实例类型：包含MQTT主机规格和节点数信息。 专有网络：即VPC，为分布式消息服务MQTT提供一个逻辑隔离的区域，构建一个安全可靠、可配置和管理的虚拟网络环境。 子网：构建在云基础设施上的网络分段，用于划分和管理云资源的网络连接。 安全组：网络安全控制机制，用于在云计算环境中管理虚拟机实例、容器实例或其他云资源的网络访问规则。 创建时间：购买并成功创建MQTT实例时间。 服务器连接地址：MQTT服务器的主机名或IP地址。 内网终端连接地址：在局域网或内部网络中使用的地址，用于设备之间在相同网络环境下进行通信。 内网终端SSL连接地址：内网终端之间建立SSL连接，使用MQTT over TLS/SSL（通常称为MQTTS）来保护通信。 公网IP：可以独立申请的公网 IP 地址，包括公网IP地址与公网出口带宽服务。

本章节介绍对等身份认证 概述 对等身份认证（PeerAuthentication）策略定义了sidecar之间通信的TLS模式，当前支持三种模式： PERMISSIVE：宽松模式，该模式下，sidecar将接受明文和双向TLS加密通信。 STRICT：严格模式，该模式下，sidecar只接受双向TLS加密通信。 DISABLE：禁用双向TLS；一般情况下不应该使用该模式。 如下PeerAuthentication策略定义了访问foo命名空间下的服务都必须采用双向TLS认证模式： apiVersion: security.istio.io/v1beta1 kind: PeerAuthentication metadata: name: default namespace: foo spec: mtls: mode: STRICT 创建对等身份认证 1. 从控制台选择菜单 网格安全中心 > 对等身份认证。 2. 选择命名空间，默认展示当前命名空间下的对等身份认证策略，选择左上角 创建对等身份认证。 3. 根据模板编辑，保存即可。 修改对等身份认证 1. 从控制台选择菜单 网格安全中心 > 对等身份认证。 2. 选择命名空间，默认展示当前命名空间下的对等身份认证策略，选择操作栏的编辑功能。 3. 编辑保存即可。 删除对等身份认证 1. 从服务网格控制台选择菜单 网格安全中心 > 对等身份认证。 2. 选择命名空间，默认展示当前命名空间下的对等身份认证策略，选择操作栏的删除功能删除指定的策略配置。 PeerAuthentication配置说明： 字段 类型 必选 说明 selector WorkloadSelector No 工作负载选择器，根据标签选择策略生效的工作负载。 mtls MutualTLS No Mtsl配置，MutualTLS.mode可选值： 1，UNSET：未定义，默认继承父层级配置（命名空间级或者全局），如果父层级不存在则默认为PERMISSIVE。 2，DISABLE：禁用mTLS认证，采用明文传输。 3，PERMISSIVE：同时支持mTLS和明文。 4，STRICT：只支持mTLS模式。 portLevelMtls map No 端口级对等身份认证策略。

本文主要介绍弹性文件服务的基本概念。 什么是NFS？ NFS（Network File System），即网络文件系统。一种使用于分散式文件系统的协议，通过网络让不同的机器、不同的操作系统能够彼此分享数据。 Linux系统建议使用NFS协议类型的文件系统。 什么是CIFS？ CIFS（Common Internet File System），通用Internet文件系统，是一种网络文件系统访问协议。CIFS是公共的或开放的SMB协议版本，由微软公司使用，它使程序可以访问远程Internet计算机上的文件并要求此计算机提供服务。通过CIFS协议，可实现Windows系统主机之间的网络文件共享。 CIFS类型的文件系统不支持使用Linux操作系统的云主机进行挂载。 Windows系统建议使用CIFS协议类型的文件系统。 文件系统 文件系统通过标准的NFS协议和CIFS协议为客户提供文件存储服务，用于网络文件远程访问，用户通过管理控制台创建挂载地址后，即可在多个云主机上进行挂载，并通过标准的POSIX接口对文件系统进行访问。 POSIX 可移植操作系统接口（Portable Operating System Interface，POSIX），是IEEE为要在各种UNIX操作系统上运行软件而定义API的一系列互相关联的标准的总称。POSIX标准意在期望获得源代码级别的软件可移植性。也就是为一个POSIX兼容的操作系统编写的程序，可以在任何其它的POSIX操作系统上编译执行。 DHCP 动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）是一个局域网的网络协议。指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。默认情况下，DHCP作为Windows Server的一个服务组件不会被系统自动安装，还需要管理员手动安装并进行必要的配置。

本节主要介绍添加服务类问题 添加的对外访问方式不能生效，如何排查？ 出现上述问题可能是访问相关的资源配置有缺失或错误，请按照如下方法进行排查： 通过弹性负载均衡服务界面查看使用的ELB是否成功监听使用的外部端口和弹性云服务器。 登录集群，使用kubectl get gateway n istiosystem命令查看使用的gateway是否配置好使用的IP/域名和端口。使用kubectl get svc n istiosystem命令查看使用的ingressgateway是否有对应的IP和端口，且未处于pending状态。 核实加入服务网格的内部访问协议和添加网络配置的外部访问协议一致。 如果通过浏览器访问出现“ERRUNSAFEPORT”错误，是因为该端口被浏览器识别为危险端口，此时应更换为其他外部端口。 一键创建体验应用为什么启动很慢？ 体验应用包含productpage、details、ratings和reviews 4个服务，需要创建所有相关的工作负载和Istio相关的资源（DestinationRule、VirtualService、Gateway）等，因此创建时间较长。 一键创建体验应用部署成功以后，为何不能访问页面？ 问题描述 一键创建体验应用部署成功后不能访问页面。 原因分析 弹性负载均衡ELB未成功监听端口。 解决方法 请在弹性负载均衡ELB中查看该端口监听器是否创建，后端服务器健康状态是否正常。 添加路由时，为什么选不到对应的服务？ 添加路由时，目标服务会根据对应的网关协议进行过滤。过滤规则如下： HTTP协议的网关可以选择HTTP协议的服务 TCP协议的网关可以选择TCP协议的服务 GRPC协议的网关可以选择GRPC协议的服务 HTTPS协议的网关可以选择HTTP、GRPC协议的服务 TLS协议的网关如果打开了TLS终止，只能选择TCP协议的服务；关闭了TLS终止，只能选择TLS协议的服务

步骤一：创建虚拟私有云和子网 在创建VPC之前，您需要根据具体的业务需求规划VPC的数量、子网的数量和IP网段划分等。 说明 IPv4/IPv6双栈网络的基本操作与之前的IPv4网络相同。只有部分页面的配置参数会略有差异，具体请以管理控制台显示为准。 如需了解IPv6收费策略、支持的ECS类型及支持的区域等信息，请参见IPv4/IPv6双栈网络。 请按如下操作，创建一个VPC“vpcipv6”和一个IPv6默认子网“subnetipv6”。 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 选择“网络>虚拟私有云 VPC”。 4. 单击“创建虚拟私有云”。 5. 根据界面提示配置虚拟私有云和子网参数。 子网配置时，请务必勾选“开启IPv6”，将自动为子网分配IPv6网段。该功能一旦开启，将不能关闭。暂不支持自定义设置IPv6网段。 6. 单击“立即创建”。 步骤二：创建集群 1. 登录CCE控制台，创建一个CCE集群。 网络配置请按如下设置，其余配置可参考购买CCE集群： 网络模型：选择“容器隧道网络”。 虚拟私有云：选择已创建的“vpcipv6”。 控制节点子网：请务必选择已开启了IPv6的子网。 IPv6双栈：选择开启，开启后将支持通过IPv6地址段访问集群资源，包括节点，工作负载等。 容器网段：容器网段要设置合理的掩码，掩码决定集群内可用节点数量。集群中容器网段掩码设置不合适，会导致集群实际可用的节点较少。 2. 创建节点。 CCE控制台会过滤出支持IPv6的机型，可直接选择。 创建完成后，您可以进入集群，单击节点名称进入ECS详情页查看自动分配的IPv6地址。

本页介绍天翼云TeleDB数据库设置相关参数。 wallevel (enum) wallevel决定多少信息写入到 WAL 中。默认值是logical， 它写入足够的数据以支持WAL归档和复制，包括在备用服务器上运行只读查询。 minimal删除除了从崩溃或立即关闭中恢复所需的信息之外的所有日志记录。 最后，logical会增加支持逻辑解码所需的信息。每个层次包括所有更低层次 记录的信息。这个参数只能在服务器启动时设置。在minimal级别中，某些批量操作的 WAL 日志可以被安全地跳过，这可以使那些操作更快。这种优化可以应用的操作包括：CREATE TABLE ASCREATE INDEXCLUSTERCOPY到在同一个事务中被创建或截断的表中但最少的 WAL 不会包括足够的信息来从基础备份和 WAL 日志中重建数据，因此，要启用 WAL 归档（archivemode）和流复制，必须使用replica或更高级别。在logical层，与replica相同的信息会被记录，外加上 允许从 WAL 抽取逻辑修改集所需的信息。使用级别 logical将增加 WAL 容量，特别是如果为了REPLICA IDENTITY FULL配置了很多表并且执行了很多UPDATE和DELETE 语句时。 fsync (boolean) 如果打开这个参数，数据库服务器将尝试确保更新被物理地写入到磁盘，做法是发出fsync()系统调用或者使用多种等价的方法（见walsyncmethod）。这保证了数据库集簇在一次操作系统或者硬件崩溃后能恢复到一个一致的状态。虽然关闭fsync常常可以得到性能上的收益，但当发生断电或系统崩溃时可能造成不可恢复的数据损坏。因此，只有在能很容易地从外部数据中重建整个数据库时才建议关闭fsync。能安全关闭fsync的环境的例子包括从一个备份文件中初始加载一个新数据库集簇、使用一个数据库集簇来在数据库被删掉并重建之后处理一批数据，或者一个被经常重建并却不用于失效备援的只读数据库克隆。单独的高质量硬件不足以成为关闭fsync的理由。当把fsync从关闭改成打开时，为了可靠的恢复，需要强制在内核中的所有被修改的缓冲区进入持久化存储。这可以在多个时机来完成：在集簇被关闭时或在fsync因为运行initdb synconly而打开时、运行sync时、卸载文件系统时或者重启服务器时。在很多情况下，为不重要的事务关闭synchronouscommit可以提供很多关闭fsync的潜在性能收益，并不会有的同时，关闭fsync可以提供很多潜在的性能优势，而不会有伴随着的数据损坏风险。fsync只能在postgresql.conf文件中或在服务器命令行上设置。如果你关闭这个参数，请也考虑关闭fullpagewrites。

本文介绍知识库问答内容。 接口描述 依据知识库与大模型进行对话问答 请求方法 POST 接口要求 无 URI /openapi/v1/rag/talk 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String json格式 application/json Accept 否 String 设置开启接收ServerSent Events (SSE) 格式的流式响应 text/eventstream tenantId 是 String 租户ID 562b89493b1a40e1b97ea05e50dd8170 ctyuneoprequestid 是 String 用户请求 id，由用户构造，用户可以通过 uuid 等方法自行生成唯一字符串，用于日志请求追踪 33dfa732b27b464fb15a21ed6845afd5 eopdate 是 String 请求时间，由用户构造，形如 yyyymmddTHHMMSSZ。 20211221T163014Z host 是 String 终端节点域名，固定字段 kqaglobal.ctapi.ctyun.cn EopAuthorization 是 String 由天翼云官网 accessKey 和 securityKey 经签名后生成，参与签名生成的字段包括天翼云官网 accessKey 、securityKey、平台应用的appkey（非必须），用户请求id（非必须），请求时间，终端节点域名（非必须）以及请求体内容。 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 text 是 String 问题的文本内容 infobaseIds 否 Array[String] 通用知识库ID列表 customBaseIds 否 Array[String] 自定义知识库ID列表 modelId 是 String 模型ID contextId 否 String 上一轮会话的ID，需要多轮对话时使用 searchEnable 否 Boolean 是否开启联网搜索 index 否 Boolean 是否输出文档索引引用标签 prompt 否 String 用户自定义输入的prompt thinkSchema 否 String 思考模式，枚举范围：{"THINK":思考,"NOTHINK"：不思考，快速问答}，默认开启思考 "THINK" 请求代码示例 plaintext Curl X POST " H "ContentType: application/json" H "Accept: text/eventstream" H "ctyuneoprequestid:33dfa732b27b464fb15a21ed6845afd5" H "tenantId:XXX" H "EopAuthorization:XXX" H "eopdate:20211109T104641Z" H "host:kqaglobal.ctapi.ctyun.cn" data '{ "text": "总结下文档内容", "infobaseIds": [123456789, 987654321], "modelId": "d5f09a41d4584715a5d94a4892411c0f", "searchEnable": false, "index": true, "prompt": "请依据文档内容进行回答，不得使用超出文档内容的知识；n 确保您的回答既精确又实用且忠实于原文，同时覆盖所有相关的要点，以满足用户的查询需求；n 要求语句通顺，条理清晰，易于阅读；n 请不要随意发散，尽量以原文档内容输出；n 对于包含多个子问题的问题，请回答每一个子问题，不要遗漏问题； n下面是文档信息：n{chunks}n问题为：{question}n开始回答：n" }' 返回值说明 1.请求成功返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 返回状态，返回200表示成功 200 message String 返回Success Success returnObj Object 接口返回结果 returnObj表 returnObj表 参数 参数类型 说明 示例 下级对象 code Int 0表示成功 0 message String 返回success success result Object 对话结果 result表 result表 参数 参数类型 说明 示例 下级对象 input String 对话输入文本 介绍下定积分 output String 对话输出文本 定积分是一种.... contextId String 此轮对话的ID finishState String 会话状态 状态取值：start（开始）/continued（生成中）/stop（正常结束）/interrupt（中断） stop inferSource Array[Object] 拼入模型prompt的参考文档信息。请求体参数index为false时生效 inferSource对象 indexInfo Array[Object] 模型回复的参考引用片段。请求体参数index为true时生效 indexInfo对象 indexInfo表 参数 参数类型 说明 示例 下级对象 indexId int 引用下标 1 subTitle String 子标题 docTitlec String 文档标题 文档.doc docTitle String 来源 Knowledge content String 引用片段内容 fileName String 引用文档名称 文档.doc fileId String 引用文档id 133 inferSource表 参数 参数类型 说明 示例 下级对象 fileName String 检索到的参考文档名称 文档.doc fileId String 检索到的参考文档id 133 fileType String 文档类型 doc contentText String 参考文档的内容 score Float 参考文档和用户输入的相关性分数，取值[01] 0.33 2.请求失败返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 错误码，放置API对应的错误码 40001 message String 失败信息 缺少鉴权信息 error String 返回对应的错误码 KQA40001 返回值示例 该接口为SSE接口，返回值为流式返回，返回时ContentType为text/eventstream。 1.请求成功返回值示例（关闭引用开关indexfalse） plaintext data:{ 'statusCode': 200, "error": null, "message": "Success", "returnObj": { "code": 0, "message": "success", "result": { "input": "水泥的国标", "output": " n好的，我现在需要处理用户的问题：“水泥的国标”。首先。。。", "finishState": "stop", "contextId": "2f963a77e58b467ead9223ddf2e4015b", "inferSource": [ { "fileName": "筑府办函xx号附件.wps", "fileId": 32432, "fileType": "doc", "contentText": "xxx", "score": 0.37754068 } ], "indexInfo": [] }, "details": null } } 2.请求成功返回值示例（开启引用开关indextrue） plaintext data:{ "statusCode": 200, "error": null, "message": "Success", "returnObj": { "code": 0, "message": "success", "result": { "input": "水泥的国标", "output": "根据提供的文档内容，水泥的参考标准为GB 16780[[1]]。。。", "finishState": "stop", "contextId": "bcca2bb95b454d41b9b878a24659b3d5", "inferSource": [], "indexInfo": [ { "indexId": 1, "subTitle": "", "docTitle": "筑府办函xx号附件.wps", "from": "Knowledge", "content": "xxx", "fileName": "筑府办函xx号附件.wps", "fileId": 32432 } ] }, "details": null } } 3.请求失败返回值示例 plaintext data:{ "statusCode": "40004", "error": "KQA40004", "message": "接口执行异常" } 状态码 http状态码 描述 200 表示请求成功 错误码说明 错误码 错误信息 错误描述 40013 对话出现异常 无法进行正常交互

操作步骤 本章节将以DDS副本集为示例，介绍在VPC网络场景下，通过数据复制服务配置DDS副本集同步任务的流程。 步骤 1 在“实时同步管理”页面，单击“创建同步任务”。 步骤 2 在“同步实例”页面，填选任务名称、描述、同步实例信息，单击“开始创建”。 任务信息 表 任务和描述 参数 描述 任务名称 任务名称在4到50位之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 同步实例信息 表 同步实例信息 参数 描述 数据流动方向 选择入云。入云指目标端数据库为本云数据库。 源数据库引擎 选择“MongoDB”。 目标数据库引擎 选择“DDS”。 网络类型 此处以“公网网络”为示例，默认为公网网络类型，可按照需求选择VPC网络、VPN网络、专线网络、公网网络。 目标数据库实例 用户所创建的目标数据库实例。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 同步模式 全量+增量：该模式为数据库持续性同步，适用于对业务中断敏感的场景，通过全量同步过程完成目标端数据库的初始化后，增量同步阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”同步模式，增量同步可以在全量同步完成的基础上实现数据的持续同步，无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 源数据库实例类型 同步模式为“全量+增量”时，需要根据源数据库的具体来源进行设置，目前源库仅支持副本集，该项为非集群。 说明 对于创建失败的任务，DRS默认保留3天，超过3天将会自动结束任务。 步骤 3 在“源库及目标库”页面，同步实例创建成功后，填选源库信息和目标库信息，单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 源库信息 表 源库信息 参数 描述 数据库类型 源数据库类型可以为“ECS自建库”或“DDS实例”，本示例选择“DDS实例”。 VPC 源数据库类型选择“ECS自建库”可见，指源数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。 子网 源数据库类型选择“ECS自建库”可见，通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 源数据库类型选择“ECS自建库”可见，源数据库的IP地址或域名。 数据库实例名称 源数据库类型选择“DDS实例”可见，选择作为源数据库的DDS实例。 帐号认证数据库 填写的数据库帐号所属的数据库名称。例如：DDS实例默认的帐号认证数据库为admin。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。 说明 源数据库的IP地址或域名、数据库用户名和密码，会被系统加密暂存，直至删除该同步任务后自动清除。 目标库信息配置 表 目标库信息 参数 描述 数据库实例名称 默认为创建同步任务时选择的数据库实例，不可进行修改。 帐号认证数据库 填写的数据库帐号所属的数据库名称。例如：DDS实例默认的帐号认证数据库为admin。 数据库用户名 目标数据库对应的数据库用户名。 数据库密码 目标数据库的登录密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。 说明 目标数据库的用户名和密码将在同步过程中被加密暂存到数据库和同步实例主机上，待该任务删除后会永久清除。 步骤 4 在“同步设置”页面，设置同步对象，单击“下一步”。 表同步对象 参数 描述 流速模式 流速模式支持限速和不限速，默认为不限速。 l 限速 自定义的最大同步速度，全量同步过程中的同步速度将不会超过该速度。 当流速模式选择了“限速”时，你需要通过流速设置来定时控制同步速度。流速设置通常包括限速时间段和流速大小的设置。默认的限速时间段为“全天限流”，您也可以根据业务需求选择“时段限流”。自定义的时段限流支持最多设置3个定时任务，每个定时任务之间不能存在交叉的时间段，未设定在限速时间段的时间默认为不限速。 流速的大小需要根据业务场景来设置，不能超过9999MB/s。 l 不限速 对同步速度不进行限制，通常会最大化使用源数据库的出口带宽。该流速模式同时会对源数据库造成读消耗，消耗取决于源数据库的出口带宽。比如源数据库的出口带宽为100MB/s，假设高速模式使用了80%带宽，则同步对源数据库将造成80MB/s的读操作IO消耗。 说明 l 限速模式只对全量阶段生效，增量阶段不生效。 l 您也可以在创建任务后修改流速模式。具体方法请参见修改流速模式。 同步对象 左侧框是源数据库对象，右侧框是已经选择的对象，同步对象支持表级同步、库级同步，您可以根据业务场景选择对应的数据进行同步。 在同步对象右侧已选对象框中，可以使用对象名映射功能进行源数据库和目标数据库中的同步对象映射，具体操作可参考4.6.5.2 对象名映射。映射后名称长度在1到63个字符之间，不支持以下字符：/ . " $<>。 如果有切换源数据库的操作或源库同步对象变化的情况，请务必在选择同步对象前单击右上角的，以确保待选择的对象为最新源数据库对象。 说明 l 选择对象的时候支持对展开的库 进行搜索，以便您快速选择需要的数据库对象。 l 如果有切换源数据库的操作或源库同步对象变化的情况，请在选择同步对象前单击右上角的，以确保待选择的对象为最新源数据库对象。 l 当对象名称包含空格时，名称前后的空格不显示，中间如有多个空格只显示一个空格。 l 选择的同步对象名称中不能包含空格。 步骤 5 在“预检查”页面，进行同步任务预校验，校验是否可进行同步。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行任务预校验。 预检查完成后，且预检查通过率为100%时，单击“下一步”。 说明 所有检查项结果均通过时，若存在请确认项，需要阅读并确认详情后才可以继续执行下一步操作。 步骤 6 在“任务确认”页面，设置同步任务的启动时间，并确认同步任务信息无误后，单击“启动任务”，提交同步任务。 表任务启动设置 参数 描述 启动时间 同步任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”。 说明 预计同步任务启动后，会对源数据库和目标数据库的性能产生影响，建议选择业务低峰期，合理设置同步任务的启动时间。 步骤 7 同步任务提交后，您可在“管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见任务状态说明。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。 对于未启动、状态为配置中的任务，DRS默认保留3天，超过3天DRS会自动删除后台资源，当前任务状态不变。当用户再次配置时，DRS会重新申请资源。

前提条件 已登录数据复制服务控制台。 满足实时同步支持的数据库类型和版本，详情请参见 实时同步。 操作步骤 本小节以Oracle到RDS for PostgreSQL的实时同步为示例，介绍如何使用数据复制服务配置实时同步任务。 步骤 1 在“实时同步管理”页面，单击“创建同步任务”。 步骤 2 在“同步实例”页面，填选任务名称、描述、同步实例信息，单击“开始创建”。 任务信息 表 任务和描述 参数 描述 任务名称 任务名称在4到50位之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 同步实例信息 表同步实例信息 参数 描述 数据流动方向 选择“入云”。 源数据库引擎 选择“Oracle”。 目标数据库引擎 选择“PostgreSQL”。 网络类型 此处以“公网网络”为示例。目前支持可选“公网网络”、“VPC网络”和“VPN、专线网络”。 目标数据库实例 创建好的RDS for PostgreSQL实例。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 同步模式 全量+增量 该模式为数据持续性实时同步，通过全量过程完成目标端数据库的初始化后，增量同步阶段通过解析日志等技术，将源端和目标端数据保持数据持续一致。 说明 选择“全量+增量”同步模式，增量同步可以在全量同步完成的基础上实现数据的持续同步，无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 全量该模式为数据库一次性同步，适用于可中断业务的数据库同步场景，全量同步将用户选择的数据库对象和数据一次性同步至目标端数据库。 标签 表标签 参数 描述 标签 可选配置，对同步任务的标识。使用标签可方便管理您的任务。每个任务最多支持10个标签配额。 任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见标签管理。 说明 对于创建失败的任务，DRS默认保留3天，超过3天将会自动结束任务。 步骤 3 在“源库及目标库”页面，同步实例创建成功后，填选源库信息和目标库信息，单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 表 源库信息 参数 描述 IP地址或域名 源数据库的IP地址或域名。说明对于RAC集群，建议使用SCAN IP接入，提高访问性能。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库服务名 数据库服务名（Service Name/SID），客户端可以通过其连接到Oracle，具体查询方法请参照界面提示。 PDB名称 PDB同步仅在Oracle12c及以后的版本支持，该功能为选填项，当需要迁移PDB中的表时开启。PDB功能开启后，只能迁移该PDB中的表，并且需要提供CDB的service name/sid及用户名和密码，不需要PDB的用户名和密码。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。 源数据库的IP地址或域名、数据库用户名和密码，会被系统加密暂存，直至删除该迁移任务后自动清除。 表目标库信息 参数 描述 数据库实例名称 默认为创建任务时选择的RDS for PostgreSQL实例，不可进行修改。 数据库用户名 目标数据库对应的数据库用户名。 数据库密码 数据库用户名和密码将被系统加密暂存，直至该任务删除后清除。支持在任务创建后修改密码。 步骤 4 在“设置同步”页面，选择同步对象类型和同步对象，单击“下一步”。 表 同步模式和对象 参数 描述 流速模式 流速模式支持限速和不限速，默认为不限速。 l 限速 自定义的最大同步速度，全量同步过程中的同步速度将不会超过该速度。 当流速模式选择了“限速”时，你需要通过流速设置来定时控制同步速度。流速设置通常包括限速时间段和流速大小的设置。默认的限速时间段为“全天限流”，您也可以根据业务需求选择“时段限流”。自定义的时段限流支持最多设置3个定时任务，每个定时任务之间不能存在交叉的时间段，未设定在限速时间段的时间默认为不限速。 流速的大小需要根据业务场景来设置，不能超过9999MB/s。 l 不限速 对同步速度不进行限制，通常会最大化使用源数据库的出口带宽。该流速模式同时会对源数据库造成读消耗，消耗取决于源数据库的出口带宽。比如源数据库的出口带宽为100MB/s，假设高速模式使用了80%带宽，则同步对源数据库将造成80MB/s的读操作IO消耗。 说明 l 限速模式只对全量阶段生效，增量阶段不生效。 l 您也可以在创建任务后修改流速模式。具体方法请参见修改流速模式。 同步对象类型 可选同步表结构、同步数据、同步索引，根据实际需求进行选择要同步内容。 l 同步数据为必选项。 l 选则同步表结构的时候目标库不能有同名的表。 l 不选同步表结构的时候目标库必须有相应的表，且要保证表结构与所选表结构相同。 同步对象 左侧框是源数据库对象，右侧框是已经选择的对象，可选表级同步，您可以根据业务场景选择对应的数据进行同步。选择数据的时候支持搜索，以便您快速选择需要的数据库对象。 l 在同步对象右侧已选对象框中，可以使用对象名映射功能进行源数据库和目标数据库中的同步对象映射，具体操作可参考对象名映射。 说明 l 选择对象的时候支持对展开的库 进行搜索，以便您快速选择需要的数据库对象。 l 如果有切换源数据库的操作或源库同步对象变化的情况，请在选择同步对象前单击右上角的，以确保待选择的对象为最新源数据库对象。 l 当对象名称包含空格时，名称前后的空格不显示，中间如有多个空格只显示一个空格。 l 选择的同步对象名称中不能包含空格。 步骤 5 在“预检查”页面，进行同步任务预校验，校验是否可进行。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行任务预校验。 预检查完成后，且所有检查项结果均通过时，单击“下一步”。 说明 所有检查项结果均通过时，若存在请确认项，需要阅读并确认详情后才可以继续执行下一步操作。 步骤 6 在“任务确认”页面，设置同步任务的启动时间，并确认同步任务信息无误后，单击“启动任务”，提交同步任务。 表 任务启动设置 参数 描述 启动时间 同步任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”。 说明 预计同步任务启动后，会对源数据库和目标数据库的性能产生影响，建议选择业务低峰期，合理设置同步任务的启动时间。 步骤 7 同步任务提交后，您可在“管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见 任务状态说明。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。 对于未启动、状态为配置中的任务，DRS默认保留3天，超过3天DRS会自动删除后台资源，当前任务状态不变。当用户再次配置时，DRS会重新申请资源。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云客户控制台开启HTTPS协议，可实现客户端和天翼云边缘安全加速节点之间数据包的安全加密传输。如果想要实现全链路HTTPS传输，则需要在边缘安全加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端向边缘安全加速节点发起HTTPS请求。 2. 边缘安全加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则随机生成一个密钥A，并使用公钥加密后发送给边缘安全加速节点。 4. 边缘安全加速节点使用SSL证书对应私钥进行解密，得到密钥A。 5. 客户端与边缘安全加速节点在后续通信过程中使用密钥A对传输的数据加密。 6. 客户端与边缘安全加速节点使用密钥A对收到的数据进行解密，获取对应数据。 配置说明 1. 登录边缘安全加速平台控制台。 2. 在域名基础配置页面，点击目标域名。 3. 进入HTTPS配置页面，单击“编辑配置”。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的【证书】。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。 6. 单击【保存】，完成配置。 参数 说明 证书 配置证书前，需先在【请求协议】开启【HTTPS】后进行HTTPS相关配置。 证书，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。 如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。

本节介绍云容器引擎的最佳实践:使用等保加固版本CTyunOS镜像。 云容器引擎提供了CTyunOS的等保2.0标准三级版操作系统镜像，该版本操作系统镜像实现了国家信息安全部发布的《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分三级安全要求，其中主要安全加固模块有：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范。用户可以为节点池的工作节点选择实现了等保加固的CTyunOS操作系统。 使用方式 开通新集群在节点池订购页面选择CTyunOS加固版操作系统镜像。 新建节点池选择CTyunOS加固版操作系统镜像并扩容。 升级节点池功能中勾选更换操作系统并选择加固版操作系统镜像。 使用须知 CTyunOS等保加固版本镜像实现了《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分第三级安全要求，但这并不代表该加固版操作系统一定能通过第三方的操作系统等保加固标准测试，相关通过标准和风险需要用户自行评估。 如需禁用root通过ssh登录并创建管理员账号进行系统管理请用户运行/root/extraenhance.py文件按指引执行。 部分未执行的加固项需要用户根据实际需求自行完成，详细见/root/extraenhance.py文件输出。 虽然等保加固版本的操作系统在性能上与普通版本的操作系统没有显著差距，但是加固项的引入会增加后期用户的维护成本（如密码管理、文件权限管理、日志审计等），因此，如无特殊需要仍建议用户使用普通版本CTyunOS镜像。 CTyunOS等保加固版本镜像对账户密码做了一定的限制，用户在使用过程中需要根据这些限制留意密码的管理和维护，其中包括： 1、密码有效期为90天，密码到期后需要进行密码重置以更新密码的有效期。 2、密码长度至少为8位，并且至少包含一个大写字母、一个小写字母、一个特殊字符以及一个数字字符，在云主机控制台进行密码重置时务必确认输入的密码符合该要求，否则密码重置会失败，如密码test@2025会重置失败，而Test@2025可以重置成功。 3、密码重用次数最大为五次，重用次数超过五次将导致密码重置失败。 4、输入密码错误次数超过五次时将锁定账户禁止登录，锁定时长为900秒。

本节提供本地为Windows操作系统和Linux操作系统的转换镜像格式的操作方法。 应用场景 天翼云目前支持导入RAW、qcow2、vmdk、vhd格式镜像文件。其他镜像文件，需要转换格式后再导入。下面将为您介绍如何使用开源qemuimg工具转换镜像格式。 方案构架 资源和成本规划 资源 资源说明 成本说明 qemuimg 是一款开源的转换镜像格式的工具。 免费 约束与限制 qemuimg镜像格式转换工具支持vhd、vmdk、qcow2、raw、vhdx、qcow、vdi或qed社区格式的镜像的相互转换。 vhd格式镜像在执行命令转换格式时请使用vpc代替，否则可能造成qemuimg工具无法识别镜像格式。 例如，将CentOS 8.4镜像的vhd格式转换为qcow2格式，请执行如下命令： plaintext qemuimg convert p f vpc O qcow2 centos8.4.vhd centos8.4.qcow2 转换Windows操作系统镜像格式 1. 安装qemuimg。 1. 下载qemuimg安装包至本地： 计算机”，右键单击“属性”。 2. 单击“高级系统设置”。 3. 在“系统属性”对话框里，单击“高级>环境变量"。 4. 在环境变量对话框里，在系统变量部分找到Path，并单击“编辑”。在“变量值”里，添加“D:Program Filesqemu”，不同的变量值之间以“;”分隔。 说明 如果没有Path变量请新建，并补充Path的变量值为“D:Program Filesqemu”。 5. 单击“确定”，保存修改。 3. 验证安装成功。 单击“开始>运行”，输入“cmd”后按回车键，在“cmd”窗口输入qemuimg help，如回显信息中出现qemuimg工具的版本信息，即表示安装成功。 4. 转换镜像格式。 1. 在“cmd”窗口输入如下命令切换文件目录，以安装目录为“D:Program Filesqemu”为例。 plaintext d： cd D:Program Filesqemu 2. 执行如下命令转换镜像文件格式，以转换vmdk格式为qcow2格式的镜像为例。 plaintext qemuimg convert p f vmdk O qcow2 centos8.4.vmdk centos8.4.qcow2 上述命令中各参数对应的说明如下： p：表示镜像转换的进度。 f：后面为源镜像格式。 O：必须是大写，后面的参数由如下3个部分组成：转换出来的镜像格式 + 源镜像文件名称 + 目标文件名称。 转换完成后，目标文件会出现在源镜像文件所在的目录下。 回显信息如下所示： plaintext

本节介绍云容器引擎的最佳实践:使用等保加固版本CTyunOS镜像。 云容器引擎提供了CTyunOS的等保2.0标准三级版操作系统镜像，该版本操作系统镜像实现了国家信息安全部发布的《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分三级安全要求，其中主要安全加固模块有：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范。用户可以为节点池的工作节点选择实现了等保加固的CTyunOS操作系统。 使用方式 开通新集群在节点池订购页面选择CTyunOS加固版操作系统镜像。 新建节点池选择CTyunOS加固版操作系统镜像并扩容。 升级节点池功能中勾选更换操作系统并选择加固版操作系统镜像。 使用须知 CTyunOS等保加固版本镜像实现了《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分第三级安全要求，但这并不代表该加固版操作系统一定能通过第三方的操作系统等保加固标准测试，相关通过标准和风险需要用户自行评估。 如需禁用root通过ssh登录并创建管理员账号进行系统管理请用户运行/root/extraenhance.py文件按指引执行。 部分未执行的加固项需要用户根据实际需求自行完成，详细见/root/extraenhance.py文件输出。 虽然等保加固版本的操作系统在性能上与普通版本的操作系统没有显著差距，但是加固项的引入会增加后期用户的维护成本（如密码管理、文件权限管理、日志审计等），因此，如无特殊需要仍建议用户使用普通版本CTyunOS镜像。 CTyunOS等保加固版本镜像对账户密码做了一定的限制，用户在使用过程中需要根据这些限制留意密码的管理和维护，其中包括： 1、密码有效期为90天，密码到期后需要进行密码重置以更新密码的有效期。 2、密码长度至少为8位，并且至少包含一个大写字母、一个小写字母、一个特殊字符以及一个数字字符，在云主机控制台进行密码重置时务必确认输入的密码符合该要求，否则密码重置会失败，如密码test@2025会重置失败，而Test@2025可以重置成功。 3、密码重用次数最大为五次，重用次数超过五次将导致密码重置失败。 4、输入密码错误次数超过五次时将锁定账户禁止登录，锁定时长为900秒。

本节主要介绍怎么通过控制台分享文件。 操作场景 您可以使用对象分享功能，通过对象的临时URL将存放在OBS中的对象分享给所有用户。 背景知识 文件分享强调临时性，所有分享的URL都是临时URL，存在有效期。 临时URL是由文件的访问域名和临时鉴权信息组成。 临时鉴权信息主要包含 AccessKeyId 、 Expires 、xobssecuritytoken 和Signature 四个参数。其中 AccessKeyId 、xobssecuritytoken 和Signature 用于鉴权，Expires定义鉴权的有效期。 当在OBS控制台上单击了对象后的“分享”之后，OBS就会以默认5分钟的有效期获取临时鉴权信息，并生成分享链接，此时链接就已经生效并且开始计算时间了。每调整一次URL有效期，OBS就会重新获取一次鉴权信息以生成新的分享链接，新链接的有效期从调整的时候开始计算。 约束与限制 通过OBS控制台分享的文件，有效期的范围为1分钟到18小时。如果想要设置更长的有效期，建议使用客户端工具OBS Browser+，OBS Browser+支持1分钟到30天的有效期。如果想要设置永久的权限，请通过桶策略或对象策略实现。 仅桶版本号为3.0的桶支持文件分享功能。桶版本号可以在桶概览页的“基本信息”中查看。 加密对象不能分享。 归档存储对象需恢复后才能分享。 操作步骤 步骤 1 在桶列表单击待操作的桶，进入“对象”页面。 步骤 2 选中待分享的文件，并单击右侧的“分享”。 此时，链接信息中的链接就已经生效并开始计时，有效期为默认的5分钟。修改URL有效期，链接会相应变化，新链接的有效期从修改时开始计算。 步骤 3 URL相关操作。 单击“打开URL”，将在新页面打开文件进行预览或者直接下载文件到本地。 单击“复制链接”，您可以将该链接分享给所有用户，用户可以在浏览器中通过此链接直接访问文件。 单击“复制路径”，您可将该路径分享给所有拥有对象所在桶权限的用户，用户可以在对应桶中的文件搜索框中输入该路径搜索并访问文件。 说明 在“URL有效期”内，任何用户都可以访问该文件。

本文带您熟悉备份恢复的操作步骤,您可根据该步骤恢复主机数据。 操作场景 当云主机中的云硬盘发生故障或由于人为误操作导致云主机数据丢失时，您可以使用已经成功创建的备份来恢复云主机。 注意 执行云主机数据恢复操作后，备份时间点的数据将会覆盖云主机上的现有数据。一旦执行云主机数据恢复操作并覆盖了现有数据，则无法撤消或回退。 约束与限制 云主机备份通常支持将整个云主机（包括系统盘和所有数据盘）作为一个整体进行备份和恢复，因此备份会包含所有挂载在云主机上的云硬盘数据。目前备份系统不支持对云主机中的部分云硬盘进行备份和恢复操作。 云主机备份不支持将数据盘数据恢复到系统盘中。 仅“可用”状态的备份允许恢复。 前提条件 需要恢复的云主机至少存在一个备份，且状态为“可用”。 在恢复前，备份绑定的云主机需处于关机状态。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 选择“备份副本”页签，找到云主机所对应的备份，点击备份所在行的“恢复数据”。 注意 恢复云主机数据之后，原云主机数据将被覆盖，恢复操作无法终止，为数据安全考虑，您可以事先做好备份。 如果备份后用户添加了云硬盘，再使用备份进行恢复，则添加的云硬盘数据不会改变。 如果备份后用户删除了云硬盘，再使用备份进行恢复，则删除的云硬盘不会被恢复。 云主机切换操作系统后不支持恢复数据至原云主机。 如果使用备份恢复云主机后，云主机密码被随机修改，用户不知道新密码，可以使用密码重置功能 5. 在弹出的页面，确认恢复数据信息，并点击“确定”。 6. 您可以在备份副本列表中，查看备份恢复的执行状态。 7. 直到备份的备份状态恢复为“可用”，表示恢复成功。

本文介绍会话管理的相关操作，会话管理功能帮助数据库运维和管理人员，快速查看与管理实例的会话信息，并支持高效定位难以排查的异常会话与阻塞问题。 前提条件 数据库版本：5.7或8.0。 数据库来源：天翼云RDS。 操作步骤 1. 登录数据管理服务。 2. 在左侧导航栏中，单击 智能运维 > 会话管理 ，进入会话管理页面。 注意事项 针对云数据库，会话管理不支持由root用户、系统用户和天翼云内置用户创建的会话。 针对活跃会话与异常会话，单次查询最大支持5000条会话数据。 性能监控功能仅支持来源为云数据库的实例。 功能介绍 MySQL会话管理包含会话统计、性能监控、活跃会话、会话分析、异常会话、Kill会话等功能。 功能 说明 会话统计 查看会 话统计区域，支持按用户、数据库、访问来源和SQL等条件统计会话总数、活跃会话数、SQL执行次数和SQL最长执行时间。 性能监控 查看性能监控区域，支持展示5分钟内的性能监控趋势，性能监控指标包括数据库实例的CPU使用率、连接数及连接使用率等信息。 活跃会话 选择活跃会话页签，查看活跃会话信息，支持通过会话ID、用户、数据库和活跃状态等条件筛选会话。 会话分析 在10秒内，每隔一秒运行一次show processlist，汇总所有会话SQL进行统计分析；其中，阻塞统计为每隔3秒采集一次元数据锁阻塞信息，统计分析最大锁等待数。 异常会话 选择异常会话页签，查看包含锁等待事务、未提交事务与长事务的异常会话信息，支持通过会话ID、用户、数据库和活跃状态等条件筛选会话。 Kill会话 Kill会话包含以下四个功能： Kill选中会话：在会话列表中勾选待Kill的会话，点击Kill选中会话 ，在弹出的对话框中预览并点击执行。 Kill全部会话：点击Kill全部 ，在弹出对话框中点击执行，Kill全部会话。 持续Kill：详情查看持续Kill 查看Kill历史纪录：点击Kill历史记录，按时间筛选查看Kill历史记录（不包含持续Kill相关的历史记录）。 注意 系统将使用高权限账号对会话进行Kill，请谨慎操作。 权限说明请参考MySQL官方文档。

Q：如何选择适合我的域名？ A：您可以从以下4个方面构思： 单位名称的中英文缩写 企业的产品注册商标 与企业广告语一致的中英文关键词 比较有趣的名字，如： hello，cool，yes等等 域名命名原则 a) 容易记这是最重要的原则 b) 要同你的商业有直接关系 c) 长度要短 d) 正确拼写英文单词或拼音 e) 用你的商标或企业名称 f) 注册.com下的域名 g) 不要侵犯人家的商标 Q：域名注册可以实时完成吗？ A：应国家相关政策，域名注册前需要先完成实名制审核后才可以完成注册，域名注册前要现在后台完成实名制模板创建，创建模板后提交有关部门审核，审核时间大概需要13天。模板创建成功后，注册域名前先查询，若是未注册的域名，选择审核通过的模板后注册可以实时完成，先到先得，注册后其他人无法注册。域名注册成功后，还要通过实名制审核、命名审核，审核通过后才可使用。否则域名注册成功后是不可使用的状态，当然其他人也无法注册。 Q：域名的所有权是如何界定的？ A：在中国境内，域名注册成功后要进行实名制登记。可以是个人、企业、机构等等主体。实名制认证完成后，即认为是域名的所有人，拥有域名所有权。 Q：域名有什么用？ A：域名是互联网的基础寻址方式，打开任何互联网内容都需要用域名来进入引导，域名注册成功后要做相应的解析，才能在实现寻址功能。 Q：域名需要实名认证吗？ A：根据2017年颁布的《互联网域名管理办法》规定，域名注册后必须实名制才可以使用，实名制认证是中国地区本着网络安全和用户安全设立的规则。中国地区的注册局、注册商、代理商以及用户都要遵循实名制认证的规定。在中国以外的注册商注册域名，是不强制要求实名制的。 实名制认证需要用户提交跟持有人一致的证件，系统自动审核真实性和是否存在。核验成功后，域名的状态会置为OK，即可以正常解析使用。否则域名虽然能注册成功，但域名无法做解析。 Q：同一个域名可以注册多个扩展名吗？ A：可以，同一个域名注册多个扩展名，例如www.公司名.net和www.公司名.com，可用来确保公司品牌的唯一性，并保证其不被他人抢注。

桶ACL权限 权限 选项 描述 ::: 公共权限 私有 只有主账号或被授权者可以访问该桶，其他用户没有权限访问该桶 公共权限 公共读 其他用户（包括匿名访问者）都可以对桶进行访问 公共权限 公共读写 其他用户（包括匿名访问者）都可以对桶进行读取、对象写入和对象删除操作 用户权限 数据读取 授权用户可以读取该桶 用户权限 数据写入 授权用户可以对该桶进行对象写入和对象删除操作 用户权限 权限读取 授权用户可以读取该桶的ACL权限配置信息 用户权限 权限写入 授权用户可以修改该桶的ACL权限配置策略 用户权限 完全控制 授权用户拥有该桶的全部权限 对象ACL权限 权限 选项 描述 ::: 公共权限 私有 只有主账号或被授权者拥有该对象的读写权限，其他用户没有权限操作该对象 公共权限 公共读 其他用户（包括匿名访问者）都可以对对象进行访问 用户权限 数据读取 授权用户可以读取该对象 用户权限 数据写入 无作用 用户权限 权限读取 授权用户可以读取该对象的ACL权限配置信息 用户权限 权限写入 授权用户可以修改该对象的ACL权限配置信息 用户权限 完全控制 授权用户拥有该对象的全部权限 预设ACL 用户通过接口对天翼云媒体存储进行操作的时候，可以通过预设ACL来快捷地进行权限管理。 例如，在创建桶和上传对象的时候，在请求头部中的XAmzAcl字段中描述预设的ACL。预设ACL可参考下表。 预设ACL 作用资源 描述 ::: private 桶、对象 资源的默认权限，资源的所有者拥有FULLCONTROL权限，其他用户对该资源不具有任何权限。 publicread 桶、对象 资源的所有者拥有FULLCONTROL权限，AllUsers用户组的用户（匿名用户）具有READ权限。 publicreadwrite 桶、对象 资源的所有者拥有FULLCONTROL权限，AllUsers用户组的用户（匿名用户）具有READ和WRITE权限。 bucketownerfullcontrol 桶、对象 资源的所有者和存储桶的所有者拥有FULLCONTROL权限。 authenticatedread 桶、对象 资源的所有者拥有FULLCONTROL权限，同一资源池的用户具有READ权限。 bucketownerread 桶、对象 资源的所有者拥有FULLCONTROL权限，存储桶的所有者具有READ权限。

此小节介绍数据库安全查看数据库详细的SQL语句信息。 添加的数据库连接到数据库安全审计实例后，您可以查看该数据库详细的SQL语句信息。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入SQL语句页面，操作步骤如下图所示。 4. 查询SQL语句信息，如下图所示。 您可以按照以下方法，查询指定的SQL语句。 选择“时间”（“全部”、“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”），或者单击，选择开始时间和结束时间，单击“提交”，列表显示该时间段的SQL语句。 选择“风险等级”（“全部”、“高”、“中”、“低”或“信任”），单击“提交”，列表显示该级别的SQL语句。 单击“高级选项”后的，输入相关信息，如下图所示，单击“提交”，列表显示该选项的SQL语句。 高级选项信息 5. 在需要查看详情的SQL语句所在行的“操作”列，单击“详情”，如下图所示。 查看SQL语句详情 6. 在“详情”提示框中，查看SQL语句的详细信息，如下图所示，相关参数说明如下表所示。 参数名称 说明 会话ID SQL语句的ID，由系统自动生成。 数据库实例 SQL语句所在的数据库实例。 数据库类型 执行SQL语句所在的数据库的类型。 数据库用户 执行SQL语句的数据库用户。 数据库IP 执行SQL语句所在的数据库的IP地址。 数据库端口 执行SQL语句所在的数据库的端口。 客户端IP 执行SQL语句所在客户端的IP地址。 客户端名称 执行SQL语句所在客户端名称。 操作类型 SQL语句的操作类型。 操作对象类型 SQL语句的操作对象的类型。 响应结果 执行SQL语句的响应结果。 影响行数 执行SQL语句的影响行数。 开始时间 SQL语句开始执行的时间。 应结束时间 SQL语句结束的时间。 审计结果 SQL语句的审计结果。 SQL请求语句 SQL语句的名称。 请求结果 SQL语句请求执行的结果。

已创建的实例能否被添加至弹性伸缩组内？ 能。 弹性伸缩支持将已购买的云主机实例手动添加至伸缩组。但是在添加时需要满足以下条件： 待添加的弹性云主机实例尚未关联其他弹性伸缩组。 待添加的弹性云主机实例必须处于运行状态。 待添加的弹性云主机实例必须与伸缩组处于同一个VPC内。 已经创建的包年包月云主机实例可以被添加至弹性伸缩组吗？ 可以。 当包年包月的云主机满足上一问题中的条件时，可以通过手动移入伸缩组的操作，将付费方式为包年包月的云主机实例添加至指定伸缩组。具体操作可参考帮助文档将实例移入伸缩组。 弹性云主机实例是否可以加入到多个伸缩组中？ 不可以。 弹性云主机实例在同一时间只能被加入一个伸缩组中。针对此问题，有以下两种解决方案： 方案一：若您希望将云主机移入其他伸缩组，可先在原伸缩组中对云主机进行“移出伸缩组”操作后，再将该云主机移入新的伸缩组。 方案二：您可以再创建一台一样的云主机关联其他伸缩组，可通过云主机克隆功能创建一个新的云主机实例并移入新的伸缩组。 伸缩组如何自动移出实例？ 用户可设置实例移出策略，实例移出策略共有以下四种方式： 较早创建的配置且较早创建的实例：先筛选出较早创建的配置所创建出的实例，再筛选较早创建的实例移出。 较晚创建的配置且较晚创建的实例：先筛选出较晚创建的配置所创建出的实例，再筛选较晚创建的实例移出。 较早创建的实例（FIFO）：根据时间筛选较早创建的实例，与是否是伸缩配置创建的无关。 较晚创建的实例（LIFO）：根据时间筛选较晚创建的实例，与是否是伸缩配置创建的无关。

本章节介绍资源及磁盘管理类的常见问题有哪些及解决办法。 创建实例需要多长时间 对于RDS for MySQL和RDS for PostgreSQL实例： 正常情况下，无论是主备实例还是单机实例，创建时间都在57分钟之间。只读实例的创建时间与主实例的数据量有关，数据量越大，创建时间越长。如果是主实例是空实例，创建实例需78分钟。 对于RDS for SQL Server实例： 单机实例创建时间约1215分钟，主备实例创建时间约1518分钟。 如果超过这个时间，创建过程可能存在问题。 占用RDS磁盘空间的日志及文件有哪些 占用关系型数据库实例的磁盘空间的日志及文件如下表： MySQL数据库文件类型 数据库引擎 文件类型 :: MySQL 日志文件：数据库undolog、redolog和Binlog文件。 MySQL 数据文件：数据库内容文件和索引文件。 MySQL 其他文件：ibdata、iblogfile0和临时文件等。 PostgreSQL数据库文件类型 数据库引擎 文件类型 :: PostgreSQL 日志文件：数据库错误日志文件和事务日志文件。 PostgreSQL 数据文件：数据库内容文件、索引文件、复制槽数据文件、事务状态数据文件和数据库配置文件。 PostgreSQL 其他文件：临时文件。 Microsoft SQL Server数据库文件类型 数据库引擎 文件类型 :: Microsoft SQL Server 日志文件：数据库的错误日志、事务日志文件和跟踪文件。 Microsoft SQL Server 数据文件：数据库内容文件。 解决方案 1. 随着业务数据的增加，原来申请的数据库磁盘容量可能会不够用，您需要为关系型数据库实例进行扩容。 2. 针对数据空间过大，可以删除无用的历史表数据进行释放空间（DROP或TRUNCATE操作，如果是执行DELETE操作，需要使用OPTIMIZE TABLE来释放空间）；如果没有可删除的历史数据，需要进行磁盘扩容。 3. 针对大量排序查询导致的临时文件过大，建议进行优化SQL查询。 1. 应用中存在大量的排序查询，产生了大量的临时文件。 2. . 短期内大量增、删、改，产生大量binlog文件占用空间。 3. 由于大量的事务和写入操作产生了大量的binlog日志文件。 4. 云监控服务目前可以监控存储空间的大小、使用量、利用率等，并且设置告警策略。

查看漏洞详情 约束限制 未开启防护不支持漏洞相关操作。 目标服务器“Agent状态”为“在线”，“服务器状态”为“运行中”，“防护状态”为“防护中”。 HCE 2.0当前暂不支持漏洞检测和配置检测功能，将会根据后续版本迭代上线。 Linux漏洞/Windows漏洞/WebCMS漏洞/应用漏洞 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航树中，选择“风险预防 > 漏洞管理”，进入漏洞管理界面。 5、在漏洞管理界面，选择“Linux漏洞”、“Windows漏洞”、“WebCMS漏洞”、“应用漏洞”任意一个页签，进入对应漏洞管理页面。 查看漏洞检测结果 6、在漏洞页面，单击“漏洞名称”，查看漏洞信息，包括漏洞基本信息、解决方案、漏洞CVE描述。 漏洞信息 7、选择“受影响服务”页签，查看漏洞影响的服务器，在该页面，您可以对漏洞进行处理。 影响服务器 单击目标漏洞“操作”列的“修复”，您可修复目标漏洞。 单击“忽略”，您可忽略该漏洞，HSS将不再上报并告警此服务器上的这个漏洞。 修复漏洞后，您可以单击“验证”，一键验证该漏洞是否已修复成功。 若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复结果。 若提示修复失败，可以单击“查看原因”了解具体原因并处理。 漏洞批量操作，可勾选多个漏洞。 单击列表上方“忽略”，可以批量忽略漏洞。 单击列表上方“取消忽略”，可以批量取消已忽略的漏洞。 单击列表上方“一键修复”，可以批量修复漏洞。 单击列表上方“验证”，可以批量验证漏洞。

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 排查项一：安全组是否被修改 排查项二：手动检查LB是否有监听器和后端服务器组残留 排查思路 排查项一：安全组是否被修改 步骤 1 登录控制台，选择“服务列表 > 网络 > 虚拟私有云 VPC”，单击左侧导航栏的“访问控制 > 安全组”，找到集群控制节点的安全组。 控制节点安全组名称为：集群名称cce control 编号。 步骤 2 单击安全组名称，进入详情页面，请确保集群控制节点的安全组规则的正确性。 排查项二：手动检查LB是否有监听器和后端服务器组残留 模拟异常状态： 创删负载均衡（LoadBalancer，简称LB）类型service的任务执行时发生集群异常，恢复后会出现service删除成功，但是LB的监听器和后端服务器组残留。 步骤 1 预创建CCE集群，在集群内使用nginx官方镜像创建工作负载、预置lb、各类型service、ingress等资源。 步骤 2 保持集群正常运行，nginx负载处于稳态。 步骤 3 持续间隔每20s创建删除10个lb类型的service。 步骤 4 集群出现注入异常：如etcd实例不可用、集群休眠等问题。 问题原因： 异常注入时正在进行创建或删除过程中的lbservice被删除了，但是elb内有监听器和后端服务器组残留。 解决方案： 可以手动清理残留的监听器和后端服务器组。 步骤 5 登录控制台，单击服务列表中“网络 > 弹性负载均衡 ELB”。 步骤 6 在负载均衡器列表中，单击对应的ELB名称进入详情页，在“监听器”页签下找到残留的监听器，单击后方的删除图标进行删除操作。 步骤 7 在“后端服务器组”页签下找到残留的后端服务器组，单击后方的删除图标进行删除操作。

RabbitMQ专享实例是否支持公网访问？ RabbitMQ专享实例支持公网访问。 在创建RabbitMQ实例时开启“公网访问”，或创建完后，在实例详情页中将公网访问开关打开。 RabbitMQ实例 是否支持跨Region部署 ？ 当前支持跨AZ（可用区），不支持跨Region部署。 RabbitMQ实例 是否支持跨VPC访问 ？ RabbitMQ实例支持跨VPC和子网访问，可以通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问实例。 RabbitMQ专享实例是否支持不同的子网 ？ 支持。 客户端与实例在相同VPC内，可以跨子网段访问。同一个VPC内的子网默认可以进行通信。 客户端与实例在不同VPC时，可通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问实例。 此外，可以为实例绑定公网地址，客户端访问实例公网地址即可。 SSL方式连接RabbitMQ实例失败？ 首先排查安全组的入方向规则，是否放开了端口5671（SSL方式访问）或5672（非SSL访问）。 其次，参考如下内容配置SSL单向认证： ConnectionFactory factory new ConnectionFactory(); factory.setHost(host); factory.setPort(port); factory.setUsername(user); factory.setPassword(password); factory.useSslProtocol(); Connection connection factory.newConnection(); Channel channel connection.createChannel(); 客户端是否可以通过DNAT方式访问RabbitMQ实例？ 不可以。客户端可以使用代理、VPN、专线、FullNAT或者反向代理等方式访问RabbitMQ实例。 RabbitMQ实例的Web管理页面无法打开？ 可能原因：实例安全组配置不正确。 解决方案：重新配置安全组，具体步骤如下。 1. 在实例详情页面的“基本信息 > 网络”，单击安全组名称，跳转到安全组页面。 2. 选择“入方向规则”，查看安全组入方向规则。 实例未开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5672的访问。 如果是公网访问，需要允许端口15672的访问。 实例已开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5671的访问。 如果是公网访问，需要运行端口15671的访问。

本文主要介绍健康检查概述。 负载均衡器会定期向后端云主机发送请求以测试其运行状态，这些测试称为健康检查。通过健康检查来判断后端云主机是否可用。负载均衡器如果判断后端云主机健康检查异常，就不会将流量分发到异常后端云主机，而是分发到健康检查正常的后端云主机，从而提高了业务的可靠性。当异常的后端云主机恢复正常运行后，负载均衡器会将其自动恢复到负载均衡服务中，承载业务流量。 如果您的业务对负载比较敏感，过于频繁的健康检查报文可能会对您的正常业务产生影响。您可以根据实际的业务情况，通过增大健康检查间隔，或者将七层健康检查改为四层健康检查等方式来降低对业务的影响。如果您的业务系统自身有健康检查机制，也可以关闭负载均衡器的健康检查，但是为了保障业务的持续可用，不建议这样做。 对于四层监听器，健康检查适用的版本是HTTP 1.1；对于七层监听器，共享型负载均衡健康检查适用的版本是HTTP 1.1，独享型适用HTTP 1.0。 TCP健康检查的机制如下： 1. ELB节点根据健康检查配置，向后端云主机（IP+健康检查端口）发送TCP SYN报文。 2. 后端云主机收到请求报文后，如果相应的端口已经被正常监听，则会返回SYN+ACK报文。 如果在超时时间内没有收到后端云主机的SYN+ACK报文，则判定健康检查失败。然后发送RST报文给后端云主机中断TCP连接。 如果在超时时间内收到了SYN+ACK报文，则发送ACK给后端云主机，判定健康检查成功，并发送RST报文给后端云主机中断TCP连接。 注意 正常的TCP三次握手后，会进行数据传输，但是在健康检查时会发送RST中断建立的TCP连接。该实现方式可能会导致后端云主机中的应用认为TCP连接异常退出，并打印错误信息，如“Connection reset by peer”。解决方案如下： 采用HTTP方式进行健康检查。 后端云主机忽略健康检查的连接错误。

查看漏洞详情 约束限制 未开启防护不支持漏洞相关操作。 目标服务器“Agent状态”为“在线”，“服务器状态”为“运行中”，“防护状态”为“防护中”。 HCE 2.0当前暂不支持漏洞检测和配置检测功能，将会根据后续版本迭代上线。 Linux漏洞/Windows漏洞/WebCMS漏洞/应用漏洞 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航树中，选择“风险预防 > 漏洞管理”，进入漏洞管理界面。 5、在漏洞管理界面，选择“Linux漏洞”、“Windows漏洞”、“WebCMS漏洞”、“应用漏洞”任意一个页签，进入对应漏洞管理页面。 查看漏洞检测结果 6、在漏洞页面，单击“漏洞名称”，查看漏洞信息，包括漏洞基本信息、解决方案、漏洞CVE描述。 漏洞信息 7、选择“受影响服务”页签，查看漏洞影响的服务器，在该页面，您可以对漏洞进行处理。 影响服务器 单击目标漏洞“操作”列的“修复”，您可修复目标漏洞。 单击“忽略”，您可忽略该漏洞，HSS将不再上报并告警此服务器上的这个漏洞。 修复漏洞后，您可以单击“验证”，一键验证该漏洞是否已修复成功。 若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复结果。 若提示修复失败，可以单击“查看原因”了解具体原因并处理。 漏洞批量操作，可勾选多个漏洞。 单击列表上方“忽略”，可以批量忽略漏洞。 单击列表上方“取消忽略”，可以批量取消已忽略的漏洞。 单击列表上方“一键修复”，可以批量修复漏洞。 单击列表上方“验证”，可以批量验证漏洞。