本节主要介绍创建IAM用户 如果您是管理员，在云服务平台创建了多种资源，例如弹性云主机、云硬盘、物理机等，您需要将资源分配给企业中不同的员工或者应用程序使用，为了避免分享自己的帐号密码，您可以使用天翼云官网的用户管理功能，给员工或应用程序创建IAM用户。 默认情况下， 新创建的IAM用户没有任何权限 ，管理员需要为其授予权限，或将其加入用户组，并给用户组授权，用户组中的用户将获得用户组的权限。IAM用户拥有权限后，IAM用户就可以基于权限对云服务进行操作。 注意 “admin”为缺省用户组，具有所有云服务资源的操作权限。将用户加入该用户组后，用户可以操作并使用所有云服务资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 如果删除并重新创建同名用户，则需要重新授权。 操作步骤 步骤 1 管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户”。 步骤 5 在“用户”管理界面中，单击“创建用户”。 步骤 6 在创建用户界面中，输入用户名、手机号、用户组等用户信息。 用户组：在下拉菜单中选择已创建好的用户组，新用户将具备此用户组的全部权限，这一过程即给用户授权。 用户基本信息：依次输入新用户的“邮箱”、“用户名”等基本信息，并为用户设置初始登录密码。 步骤 7 单击“确定”，完成IAM用户创建，返回子用户列表，将显示新创建的IAM用户。

天翼AI云电脑可以修改IP或禁用网卡吗? 修改IP和禁用网卡是高危操作，可能会导致天翼AI云电脑无法正常登录使用，请勿随意修改。 天翼AI云电脑黑屏如何处理？ 按“Ctrl+Shift+Delete”组合键调出任务管理器，在进程内查看是否有“Windows 资源管理器”进程，如果没有看到该进程，则点击左上角的文件运行新任务，然后输入explorer.exe按回车，即可重新启动资源管理器，启动后再重启桌面，查看黑屏是否会恢复。 天翼AI云电脑崩溃或蓝屏如何恢复？ 请在天翼AI云电脑中工具栏中的“设置”，选择“系统重装”，将天翼AI云电脑恢复至之前的状态。提示：请在“系统恢复”前备份保存好个人数据。 天翼AI云电脑是否同时支持使用蓝牙键盘与虚拟键盘？ 天翼AI云电脑支持同时使用蓝牙键盘和虚拟键盘进行输入。若蓝牙键盘快捷键失效，请使用虚拟键盘组合键代替。 用户能否自行更换天翼AI云电脑的显卡驱动吗？ 目前暂不支持自行更换显卡，后续将推出性能优化版本，敬请留意。 天翼AI云电脑的虚拟键盘支不支持五笔打字或者语音输入法，或者手写输入，如支持如何操作？ 客户可以下载相关输入法软件进行更改。

模板变更 展示部署执行计划前后的模板变更情况，您可在页面上看到文件数量变化和模板内容变化。 部署执行计划 执行计划在 创建成功，待部署 状态下，支持部署。此时单击部署 ，确认以下信息后，如确认部署，您可单击部署执行，参考部署资源栈。 当前资源栈：可检查当前资源栈的模板内容、所含资源（例如3个弹性云主机、2个虚拟私有云）、输出参数 待部署的执行计划：可检查即将部署的资源栈的模板内容、资源变更信息 前置校验结果： 余额校验：校验不通过时，说明您当前的余额不足以完成本次部署，您需在页面右上角点击 费用 完成充值后再继续部署。余额校验报错，请查看 常见问题 自行排查，或发起工单解决。 配额校验：校验不通过时，说明您在当前资源池下的配额已不足以完成本次部署，您可在页面右上角 资源配额管理 查看当前配额。配额校验报错，请查看 常见问题 自行排查，或发起工单解决。

模板变更 展示部署执行计划前后的模板变更情况，您可在页面上看到文件数量变化和模板内容变化。 部署执行计划 执行计划在 创建成功，待部署 状态下，支持部署。此时单击部署 ，确认以下信息后，如确认部署，您可单击部署执行，参考部署资源栈。 当前资源栈：可检查当前资源栈的模板内容、所含资源（例如3个弹性云主机、2个虚拟私有云）、输出参数 待部署的执行计划：可检查即将部署的资源栈的模板内容、资源变更信息 前置校验结果： 余额校验：校验不通过时，说明您当前的余额不足以完成本次部署，您需在页面右上角点击 费用 完成充值后再继续部署。余额校验报错，请查看 常见问题 自行排查，或发起工单解决。 配额校验：校验不通过时，说明您在当前资源池下的配额已不足以完成本次部署，您可在页面右上角 资源配额管理 查看当前配额。配额校验报错，请查看 常见问题 自行排查，或发起工单解决。

若源站是域名源，且回源HOST与域名源不同；以加速域名为：www.ctyun.cn，源站域名为：www.ctyun.cn1，回源HOST为：ctyun.cn1，访问异常的URL为： dig www.ctyun.cn1，获取源站ip。 在C:WindowsSystem32driversetchosts文件中添加回源HOST：ctyun.cn1和上一步获取的IP地址的绑定关系。 用回源HOST替换URL中的加速域名，即替换为 每次测试前清除浏览器缓存，在浏览器中打开替换后的URL。 如果访问异常，则代表源站异常，请检查您的源站。 如果访问正常，则代表源站正常。 查看是否边缘节点问题 在客户端浏览器Chrome上输入访问的URL，按F12，选择“Network”>“headers”>“Remote Address”，获得边缘节点IP。 在C:WindowsSystem32driversetchosts文件中添加加速域名和边缘节点IP地址的绑定关系。 本地ping加速域名，如果能ping通，说明边缘节点正常。 本地ping加速域名，如果ping不通，说明边缘节点异常，请提交工单联系天翼云客服协助处理。 解决方案 1.客户端网络问题，可以联系您的网络供应商咨询解决。 2.源站问题: 场景1：因业务原因，带宽、请求数突增，导致源站压力过大，从而引发源站响应超时，返回5xx状态码。 解决方案：常见的业务场景有：活动突发、新版本发布、大规模上新资源，遇到此类业务可能突增的场景，建议提前将您的大文件预取到CDN节点，以防止集中回源，导致源站响应异常。 场景2：源站服务器网络波动，导致波动时间内，所有回源的请求超时异常。 解决方案：源站网络ping外网ip，以及外网ip ping源站，测试源站网络是否有问题。如果问题持续时间长，建议联系服务器网络的供应商解决。 场景3：源站对某条URL的处理程序出错。 解决方案：检查是否加速域名的其他URL访问都正常。如果只有一条URL响应5XX，则检查网站访问日志、程序是否对特定的URL处理异常。 3.边缘节点问题: 若基本排除客户端网络问题、源站问题，则可以提交工单联系天翼云客服协助处理，方便快速定位、解决问题。 提交工单时，请附带如下信息： 加速域名。 访问异常的URL。 访问异常的边缘节点IP。 异常访问的时间范围。

天翼云为您提供弹性文件服务使用手册,请您点击下载查看。 天翼云弹性文件服务用户使用指南251126.pdf

本文为您介绍华为路由器如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK cthuawei IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 以命令行方式登录华为路由器命令行。 2. 配置IKE安全提议。 ike proposal 10 sa duration 86400 authenticationalgorithm sha1 encryptionalgorithm aes128 dh group5 authenticationmethod preshare 3. 配置IKE对等体、预共享密钥和对端ID等信息。 ike peer ctyun presharedkey simple cthuawei ikeproposal 10 localaddress 123...23 remoteaddress 121...152 exchangemode main 4. 配置ACL，定义要保护的数据流。 acl 3402 rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 rule 5 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 5. 配置IPsec安全提议。 ipsec proposal ctyun esp authenticationalgorithm sha1 esp encryptionalgorithm aes128 6. 配置IPsec安全策略。 ipsec policy ctyun 10 isakmp security acl 3402 ikepeer ctyun proposal ctyun 7. 在GigabitEthernet1/0/1接口上应用IPsec安全策略ctyun。 interface GigabitEthernet1/0/1 ipsec policy ctyun 8. 配置静态路由。 ip routestatic 192.168.3.0 255.255.255.0 123...1 9. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

本文介绍如何查看海量文件服务的监控数据。 目录 操作场景 操作步骤 方式一：通过文件系统详情页查看 方式二：通过云监控服务控制台查看 方式三：通过OpenAPI获取 操作场景 文件系统创建后自动接入云监控内，无需手动开通。通过云监控查看文件系统的监控数据，您可以了解到文件系统的使用情况。 操作步骤 方式一：通过文件系统详情页查看 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>海量文件服务OceanFS”，进入OceanFS文件系统列表页面。 3. 点击文件系统名称进入详情页，页面下方点击“监控图表”即可查看监控指标。 方式二：通过云监控服务控制台查看 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 单击“管理与部署>云监控服务”，进入云监控控制台页面。 3. 单击“云服务监控”下拉菜单，选择"弹性文件监控”。 4. 在弹性文件监控页面选定“OceanFS"页签，需要查看的文件系统名称，单击操作栏下面的“查看监控图标”，即可进入监控数据页面。 5. 您可以选择监控时间段，查看对应的文件系统监控数据。也可以点击具体监控项图标右上角的“查看”按钮设定所需查看的监控时间段、周期等，获取想要的监控数据。

本最佳实践文档旨在为用户提供一个全面、高效的基于升腾通用推理镜像的自定义部署样例。 一、引言 本文围绕昇腾通用推理镜像的自定义部署展开最佳实践梳理，旨在从模型准备、环境配置、部署流程等关键维度，提供一套可复用的最佳实践。通过标准化的操作指南，帮助开发者快速掌握昇腾推理镜像的自定义部署方法。 二、模型准备 1.开发机完成推理代码开发和调试 1.1创建vscode开发机 1.2启动vscode开发机 1.3打开vscode开发机 1.4在vscode开发机/work/cache目录下,创建code和model目录 1.5准备代码包,把app.tar.gz文件复制到/work/cache/code 1.6右击鼠标,打开Terminal 1.7 解压代码包到/work/cache/code目录下 plaintext cd /work/cache/code tar xzvf app.tar.gz 1.8.下载权重文件 plaintext cd/work/cache/model wget tar xvf bgem3.tar stripcomponents1 rmbgem3.tar 启动bge服务 plaintext cd /work/cache/code/app pip install r requirements.txt i exportMODELPATH/work/cache/model mkdir/logger python teleservice.py 1.9 耐心等几分钟,看到下面日志即代表启动完成 1.10 点加号,进入新的Terminal界面 验证服务是否正常 plaintext curl X POST H "ContentType: application/json" d '{ "input": ["近日天翼云科技有限公司总经理胡志强在世界电信日期间接受新华网记者采访。"], "model": "bgem3", "encodingformat": "float" }' 发现有向量数据返回及代表成功

sectione9cfb7332a2e1435)。若不配置，则默认在“未分组”列表。 认证方式 选择认证方式，可选“跟随系统”和“自定义”： 跟随系统：沿用系统认证方式的设置，并且动态更新同步。 自定义：自定义选择认证源、双因子认证。 生效时间失效时间 （选填）选择该账户可登录的时间段。若不配置，默认永久生效。 准入IP （选填）选择可登录的IP地址。 准入MAC （选填）填写该用户允许登录的MAC地址。 4. 填写完成后，单击“确定”完成单个用户新增。 您可以根据需要对用户信息和密码进行修改： 修改用户信息：选择需要修改信息的用户，单击“操作”列中“编辑”，按照需求进行用户数据的修改，单击“确定”完成用户信息修改。 注意 不支持修改用户登录名。 修改用户密码：管理员可以修改对应账户的密码，选择需要修改的用户密码，单击“操作”列的“更多 > 改密”，在弹出的对话框中根据密码规则修改密码。 说明 您可以根据自身需求自定义密码规则，具体修改密码规则请参考安全设置章节。 使用本地文件批量导入用户 云堡垒机（原生版）支持批量导入用户信息。 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3. 单击“导入”按钮，弹出“用户导入”对话框。 4. 单击“下载导入文件模板”，下载导入模版。 5. 在下载的导入模板中填写用户信息。 参数 参数说明 姓名 填写该账户的用户名称（登录账号）。 只能为数字、大小写字母、“.”和“”组成，首位只能数字或者字母，且不超过25个字符； 登录名 （必填）填写该账户的使用者的登录名。 手机号 （必填）填写手机号，请确保手机号真实有效，否则会影响短信的接收。 邮箱 填写邮箱地址，请确保邮箱地址真实有效，否则会影响告警信息的接收。 密码 （必填）输入该账户的密码，密码请根据管理员设置的密码规则填写，具体可参见安全设置章节。 状态 （必填）选择该账户的状态，“正常”或者“锁定”。 角色 （必填）选择该账户所属的角色，可填写“管理角色”、“审计角色”和“访问角色”，需要选择多个角色请使用英文“,”分隔。 用户组 填写该账户所属的用户组，用户组相关操作请参见用户组章节。 多级用户组格式为: 用户组/用户组1/用户组11 。 若填写多个用户组请使用英文“,”分隔。 认证方式 （必填）填写认证方式，可选“跟随系统”和“自定义”： 跟随系统：沿用系统认证方式的设置，并且动态更新同步。 自定义：自定义选择认证源、双因子认证。 授权生效日期 填写该用户生效的日期，日期格式支持：YYYYMMDD或YYYY/MM/DD。 授权失效日期 填写该用户失效的日期，日期格式支持：YYYYMMDD或YYYY/MM/DD。 授权生效时间 填写生效日期的具体时间点，填写范围：023，例如需要早上10点生效，就填写：10。 授权失效时间 填写失效日期的具体时间点，填写范围：023，例如需要晚上10点失效，就填写：22。 准入IP 填写可登录的IP地址。 准入MAC 填写该用户允许登录的MAC地址。 说明 若不填写生失效日期，则新建的账号默认永久生效。 6. 填写完成后，上传模板文件；选择重复用户导入策略。 注意 导入后，用户登录名不可修改。 7. 完成后单击“提交”即可完成用户导入。

本文主要介绍如何查看中转IP 操作场景 中转IP创建完成后，您可以查看已创建的中转IP。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入NAT网关页面。 3. 在NAT网关页面，单击“NAT网关> 私网NAT网关”。 4. 在“中转子网”页签中，单击目标中转子网名称。进入中转子网详情页。 5. 在“中转IP”页签即可查看已创建的中转IP的详细信息。 您可以查看到该中转IP所属的中转VPC、中转子网和关联的私网NAT网关等信息。

步骤 3：选择或新建独享 IP 若已购买独享 IP：在「独享网络」下拉列表中选择目标 IP； 若未购买独享 IP：点击「新建独享IP」，跳转至「创建独享 IP」页面，完成购买后返回更新应用页面刷新选择； 或可以在「独享 IP」下方文案区域点击「去创建」，跳转至独立「创建独享 IP」页面。 步骤 4：确认订购 点击【确认订购】，完成应用与独享 IP 的绑定。 计费类型：仅支持包年包月； 可用区：选择可用区； 带宽：【按带宽计费】，带宽最小配置为10Mbps； 可见范围：【仅自己可见】【空间内公开可见】； 勾选用户协议； 选择购买时长； 注意：更新后应用对外访问地址将替换为「独享 IP: 端口」（协议为 HTTP）。 步骤 5：完成购买并返回更新应用页面 提交订单并支付后，返回更新应用页面，刷新后选择新购独享 IP 完成绑定。

本节介绍了DDoS高防（边缘云版）的主要产品功能。 DDoS高防（边缘云版）的功能说明如下，适用于所有套餐。 功能分类 功能项 功能描述 防护功能 DDoS网络层防护 支持TCP、UDP、ICMP网络协议防护，如SYN Flood ，ACK Flood，空连接等。 防护功能 畸形报文防护 支持对Ping of Death、Tear Drop、LAND、Fraggle等畸形报文进行过滤，判断报文合法性，丢弃异常请求。 防护功能 CC防护 CC防护根据访问者的URL，频率，行为等访问特征，智能识别CC攻击，避免源站资源耗尽，保证企业网站的正常访问。 防护功能 访问控制 可针对IP，IP段，IP端口，URI，METHOD，请求地区，请求参数，请求头部，请求协议等维度进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 防护功能 频率控制 支持针对特定报文（十余种粒度组合），选择URL、ARGS、Header、Cookie、UA、IP其中一个或两个粒度进行频率统计，并设置对应的处理动作，以对高频请求进行控制。 告警策略 应用层CC告警 支持自定义CC攻击告警策略，对持续时长、QPS峰值、攻击次数进行监控和告警。 告警策略 网络层告警 支持自定义网络层攻击告警策略，对持续时长、pps峰值、bps峰值进行监控和告警。 告警策略 告警勿扰时间 支持设置勿扰时间，在特定时间内不进行告警。 业务接入 域名接入 支持HTTP、HTTPS、HTTP2协议的域名进行自助接入配置。 支持自定义回源HTTP请求头。 支持多个源站或域名回源，并对源站设置层级和权重。 支持指定回源协议或配置跟随协议。 支持请求强制跳转，即将请求的HTTP强制302跳转至HTTPS进行请求。 业务接入 端口接入 支持UDP、TCP协议协议的域名进行自助接入配置。 支持配置转发端口或转发端口段。 支持多个源站或域名回源。 安全分析 安全报表 支持查看CC安全报表、网络层安全报表，通过攻击趋势、攻击源TOP分析、攻击目标TOP分析等，掌握攻击态势。 安全分析 攻击事件 支持查看、导出CC攻击事件、网络层攻击事件。 业务分析 日志下载 支持下载业务请求全量日志，以对业务情况进行深入分析，为攻击排查，业务决策提供输入信息。 业务分析 业务用量 支持查看流量、带宽、请求次数、QPS、连接数、并发连接数、响应状态码的趋势，以掌握业务运行情况。

本节介绍云容器引擎的最佳实践:容器升级业务不中断。 应用场景 在 Kubernetes 集群中，常见的应用部署模式是使用 Deployment 与 LoadBalancer 类型的Service 对外提供访问。在进行应用更新或升级时，Deployment 会创建新的 Pod 并逐步替换旧的 Pod，但在这个过程中可能会出现服务中断的情况。 解决方案 为了最大程度的减少服务中断，我们可以采取一系列措施： 设置滚动更新策略：通过设置Deployment的滚动更新策略来控制更新的速度，可以指定更新期间的最大不可用副本数（maxUnavailable）和同时可用的最大副本数（maxSurge），通过合理设置这些参数，可以确保在更新过程中保持足够的可用性。 健康检查和就绪探针：在容器中配置健康检查和就绪探针，确保新Pod在完全就绪之前不会接收流量，从而减少中断。 外部负载均衡器配置：如果使用LoadBalancer类型的Service对外提供访问，可以配置服务对外部请求的负载均衡行为，主要包括以下两种： 1. Cluster：默认模式，外部流量可以转发到其它节点上的Pod，转发时会替换掉报文的源IP为上一个转发节点的地址。 2. Local：外部流量只会发给本机的Pod，转发时会保留源IP。 实践 登录云容器引擎控制台，单击集群名称进入集群 左侧菜单栏选择工作负载，在工作负载列表中，单击无状态进入Deployment列表页，单击创建新Deployment，进入Deployment配置页面。 单击显示 高级设置，升级策略处可以自定义MaxSurge与MaxUnavailable。本示例中配置最大不可用副本数为25%，同时可用的最大副本数为25%，用于控制工作负载的滚动步长。 在实例内容器选框位置，单击显示 高级设置，容器健康检查选区可以设置存活检查与就绪检查。本示例为TCP端口检查，请根据应用实际情况进行设置，配置就绪检查的启动延时探测时间为20s，用于控制工作负载滚动更新的时间间隔。 在实例内容器选框位置，单击显示 高级设置，对容器进行停止前处理，可以设置为工作负载收到删除请求后休眠30s，使其具备充足的时间来处理剩余请求，保证服务正常运行。 左侧菜单栏选择网络，在网络列表中，单击服务进入Service列表，单击创建服务，进入Service配置页面。 服务类型选择负载均衡，下方访问设置处会出现外部流量策略选框，用户可以自行选择Cluster类型流量策略或Local类型流量策略。 单击显示 高级设置，可以选择Session Affinty方式。 1. None：Kubernetes不会保持与特定客户端的会话状态，每个请求都根据负载均衡算法独立地路由到后端Pod，意味着即使是来自同一客户端的连续请求，也可能被发送到不同的后端Pod上，从而不会保持会话状态。 2. 客户端IP：Kubernetes将使用客户端的IP地址来决定将请求路由到哪个后端Pod，同一个客户端的请求始终转发至同一个后端的Pod对象。 设置完成后，进入Deployment列表页，选择某个工作负载，单击右侧重新部署，重启方式选择滚动重启，可以看到新实例被首先创建出来，然后停止旧的实例，确保始终有实例正在运行。

errorCode 描述 Scaling.Rule.RuleNumberMoreThanLimit 伸缩组中的伸缩策略数量超过限制 Scaling.Rule.RuleNameConflict 弹性伸缩策略名称冲突 Scaling.Rule.ParamsError 弹性伸缩策略参数错误

本章为您介绍弹性文件服务两种计费模式的标准价格,供您选购时参考。 弹性文件服务包月计费和按量付费标准价格如下： 存储类型 包月标准价格 按量付费标准价格 ::: 标准型 0.4 元/GB/月 0.000625 元/GB/小时（0.45 元/GB/月） 性能型 1.6 元/GB/月 0.002569 元/GB/小时（1.85 元/GB/月） 弹性文件服务还享受包年一次性付费折扣，折扣如下： 一次性付费1年 一次性付费2年 一次性付费3年 包月标准价格 12 85% 包月标准价格 24 70% 包月标准价格 36 50%

本文简述如何通过诊断工具查询指定IP是否为天翼云CDN节点IP以及对应归属地。 功能介绍 天翼云全站加速服务提供IP归属查询工具，您可以使用该工具检测某IP地址是否为天翼云CDN节点IP，同时获取IP归属地。 应用场景 场景一：配置全站加速服务后，可通过该工具验证客户端的请求是否成功到达天翼云CDN节点IP。如果不是天翼云CDN节点IP，则代表配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的网站访问异常时，可通过该工具查询用户访问的IP是否为天翼云CDN节点IP，来排查网站访问异常的原因。如果IP地址是天翼云CDN节点IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云CDN节点IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 诊断工具说明 1. 登录客户控制台。 2. 单击左侧导航栏【诊断工具】，进入【IP归属查询】页面，输入查询的地址。 3. 输入查询后将显示该地址是否为天翼云CDN节点以及对应归属地。 说明 查询IP为天翼云CDN节点IP，验证结果显示为CDN节点，显示IP归属地。 查询IP不为天翼云CDN节点IP，验证结果显示为不是CDN节点，IP归属地未知。

本节为您介绍Web应用防火墙（独享版）攻击防护类问题。 什么是防护IP？ 防护IP是指需要保护的网站的IP地址。 Web应用防火墙支持漏洞检测吗？ WAF的Web基础防护功能可以对第三方漏洞攻击等威胁进行检测和拦截。在配置Web基础防护规则时，如果您开启了扫描器，WAF将对扫描器爬虫，如OpenVAS、Nmap等进行检测。 Web应用防火墙是否支持Exchange里的相关协议？ WAF支持exchange里登录网页webmail时的http和https协议；WAF不支持exchange里的SMTP 、POP3 、IMAP 等邮件相关的协议。 Web应用防火墙是否支持防御XOR注入攻击？ Web应用防火墙支持防御XOR注入。 如何理解WAF日志里的bindip参数？ 网站接入WAF后，WAF作为反向代理存在客户端与源站服务器之间，检测过滤恶意攻击流量，用bindip（WAF的回源IP）将正常的流量转发传输到源站。 通过IP接入WAF后，WAF可以防护映射到这个IP的所有域名吗？ 不支持。WAF的独享模式支持源站IP接入WAF防护，且该IP支持私网IP或者内网IP，但WAF仅防护通过IP访问的流量，不能防护映射到这个IP的域名，如需防护域名，需要单独将域名接入WAF进行防护。 Web应用防火墙是否支持SSL双向认证？ 不支持。您可以在WAF上配置单向的SSL证书。

防护粒度说明 粒度 说明 示例 IPPORT 即客户端IP端口。支持填写多个IP:端口格式，多个用;隔开 192.168.1.0:443;192.168.2.0:8080 PATH 即目录路径。支持填写多个，多个PATH用;隔开。 /qr/;/app/verifyCode/ IP 即客户端IP。支持填写多个IP，多个IP间以;隔开。 170.101.1.1;192.178.1.1 IPS 即客户端IP段。支持填写多个IP段，多个IP段间以;隔开。 192.168.1.0/24;192.168.2.0/24 IPR 即客户端IP范围。支持填写多个IP范围，多个IP范围间以;隔开。 192.168.1.1192.168.1.10;192.168.1.12192.168.1.20 IP文件 1.支持上传TXT格式的文件。 2.文件内容支持以下格式的IP地址：1.1.1.1、2.2.2.0/24、3.3.3.33.3.3.5。 3.多个IP地址以分号;或换行符进行分割。（因操作系统差异，如有报错请切换分割符。） 4.IP地址最多支持3000条。 5.添加IP文件匹配字段后，不支持添加其他匹配字段。 URI URI不包括问号后参数。支持填写多个URI，支持正则和字符串匹配，字符串匹配多个URI间以;隔开，正则匹配多个URI间按回车确认隔开。当选择字符串时，支持下拉框选择对应域名的API资产。 /login.php REQUESTURI URI包括问号后参数。不支持填写多个REQUESTURI。支持正则和字符串匹配。 /login.php?id1 METHOD 即请求方式。支持填写多个请求方法，多个请求方法间以;隔开。 GET;POST ARGS 即URI问号后的参数名。支持正则和字符串匹配。 proid GEO 地理位置，即客户端IP区域。支持选择多个区域。 欧洲/德国 HEADER 即请求头部。支持正则和字符串匹配。 PROTOCOL 即请求协议。支持填写多个协议，多个协议用;隔开。支持正则和字符串匹配。 HTTP/1.0;HTTP/2.0;HTTP/0.9 SRCPORT 即客户端源端口。支持填写多个端口，多个端口以;隔开。 54375;8080 DESTIP 即请求的目的IP。支持填写IPv4/IPv6，多个IP以;隔开。 170.101.1.1;192.178.1.1 DESTPORT 即请求的目的端口。支持填写多个端口，多个端口以;隔开。 54375;8080 响应头 响应头，支持正则和字符串匹配。 支持”告警“、”攻击标记“动作。 当防护动作选择”攻击标记“时，对响应报文进行攻击检测。 状态码 响应报文状态码。支持选择2xx~5xx所有状态码，支持选择多个。 支持”告警“、”攻击标记“动作 当防护动作选择”攻击标记“时，对响应报文进行攻击检测。 200;404;500 REQUESTBODY 即请求体内容。支持填写多个，多个以英文分隔符;隔开。 JA3指纹 计算请求唯一的JA3指纹。注意：非 SSL 的 HTTP 请求对应 JA3 指纹为空值。 66918128f1b9b03303d77c6f2eefd128

购买边缘虚拟机实例时可以添加多少块数据盘？ 可以添加3块数据盘，每块容量范围：100～6144GB，实际可购买的数据盘容量还受资源池资源限制。 可以单独购买公网IP不买带宽实例吗？ 不支持。购买公网IP时会默认生成一个独享带宽实例，公网IP产生的流量会统计到独享带宽实例内。当公网IP加入到共享带宽后，公网IP绑定的带宽实例会变成共享带宽实例，公网IP产生的流量会自动统计到共享带宽实例内。 购买公网IP时，可以加入共享带宽吗？ 不支持，可以先购买按需付费独享带宽，然后再加入共享带宽，加入成功后，公网IP产生的流量会自动统计到共享带宽实例内。 如果线上没有想部署的区域，能申请其他集群吗？ 您可以联系您的客户经理、线上咨询或拨打客服热线电话寻求帮助，热线电话：4008109889转1；亦或在ECX实例列表页，点击集群展示页右下角的【提交新集群需求】，跳转到天翼云工单系统中提交工单。您可尽量详细描述您对节点的位置、规模、设备配置、网络等需求，我们会与您取得联系。 购买虚拟机实例时，可以先选择不购买公网IP，后面再按需购买吗？ 可以，后续可以在边缘网络控制台，购买公网IP，将对应的公网IP绑定到虚拟机实例即可。

DDoS攻击 分布式拒绝服务（DDoS）攻击是一种常见的网络攻击形式。攻击者从互联网的多个不同位置同时向一个或多个目标IP发起攻击，企图通过大规模互联网公网流量耗尽攻击目标的网络资源，使目标IP无法提供正常服务。例如IP带宽100Mbps，存在远超100Mbps以上的入向访问流量，IP服务质量会严重下降，此时IP可被视为遭受到了DDoS攻击。 DDoS防护阈值（DDoS封堵阈值） IP的DDoS防护阈值指资源池分配给该IP的最大允许流量速率，当IP遭受到较大规模的DDoS攻击或IP本身的业务流量出现异常峰值情况，IP的流量峰值可能会超过IP的DDoS防护阈值，此时IP关联的服务器及网络稳定性会受到影响。为避免单个IP遭受DDoS攻击波及网络内其他IP正常运行，依据用户协议及平台整体安全防护要求，系统会对该 IP 触发 DDoS 封堵，屏蔽其全部流量，从而释放IP占用的大量额外网络带宽，确保资源池网络稳定。DDoS防护阈值也可称作DDoS封堵阈值。 DDoS防护策略 IP的DDoS防护策略指在DDoS防护阈值内，DDoS基础防护产品对IP流量中可能的DDoS攻击流量进行判定和过滤的算法集合。在DDoS防护阈值内，用户可从DDoS基础防护产品开放的DDoS防护策略中选择IP的防护策略，DDoS基础防护产品会根据用户选择的防护策略会对IP流量进行判断（是否为DDoS攻击流量）和清洗过滤，将清洗过滤后的流量回注IP，尽可能保障IP可用。DDoS防护策略可能会将部分异常或突增的业务流量判断为DDoS攻击流量并产生误清洗（如频繁发送syn报文的业务），建议用户根据业务情况选择合适的防护策略，若不需要清洗，可不选择IP的防护策略。

本章节内容主要介绍购买类常见问题 购买迁移任务的数量限制？ 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制，如：一个数据库复制服务帐号，您最多可以创建5个任务。 如果受当前资源配额限制，无法满足业务使用需求，您可以申请扩大配额，通过提工单方式。 购买数据库复制是否支持包周期？ 当前还仅具备按配置费、数量传输费两个收费项的按需订购，不迁移时不收费； 后续将根据技术发展，考虑增加包周期的收费方式，敬请期待。 扩大带宽是否会对DRS正在进行的任务产生影响？ 扩大云连接带宽时需要重建带宽链路，则会导致网络断开，此时是否会对DRS任务产生影响取决于网络断开的时间以及源库IP有没有发生变化。 例如针对MySQL引擎而言，如果网络断开1天，而在这1天时间内源库binlog被清理了（MySQL都有binlog清理策略，用户侧自己配置的），就无法进行任务续传，需要重置任务。 如果网络中断的时间很短，并且带宽链路更换完成后源库的VPN内的IP地址没有变，则是可以继续续传任务，不会对DRS任务产生影响。

本小节介绍云堡垒机使用限制。 网络访问限制 系统资源所属安全组必须允许实例私有IP访问，需要在实例的安全组添加“入方向”的访问规则。 注意 云堡垒机Docker0的网卡地址为：172.17.0.1，请勿占用此网桥网卡地址，否则会导致云堡垒机无法正常使用。 支持纳管的服务器限制 支持SSH、TELNET、RDP、VNC、FTP、SFTP协议类型的Windows或Linux主机。 Windows服务器版本：Windows Server 2012、2016。 支持的数据库类型及版本限制 数据库引擎 引擎版本 Mysql 5.5、5.6、5.7、8.0 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 SQL Server 2016企业版 天翼云分布式关系型数据库（DRDS） 1.0 说明 建议关联MySQL5.7和8.0版本 支持的运维终端操作系统限制 终端类型 系统版本 芯片 Windows windows7及以上版本 Intel芯片 Mac MacOS 10.15及以上版本 Apple silicon或Intel芯片 支持的运维客户端软件限制 登录方式 支持的客户端 版本 Web浏览器登录 Edge 95及以上版本 Web浏览器登录 Chrome 91.0及以上版本 Web浏览器登录 Safari 13及以上版本 Web浏览器登录 Firefox 50.0及以上版本 ssh/telnet协议运维登录 SecureCRT 8.0及以上版本 ssh/telnet协议运维登录 Xshell 6及以上版本 ssh/telnet协议运维登录 putty 堡垒机客户端自带 ssh/telnet协议运维登录 Mac Terminal 2.0及以上版本 Sftp/Ftp协议运维登录 Winscp 5及以上版本 Sftp/Ftp协议运维登录 Filezila 3及以上版本 数据库运维 Navicat 11、12、15、16、17 数据库运维 DBeaver 22、23、24 数据库运维 HeidiSQL 说明 需要自行下载客户端并使用。 10.0及以上版本 数据库运维 PL/SQL Developer 说明 需要自行下载客户端并使用。 14.0.2 图形运维 Vncviewer 堡垒机客户端自带 图形运维 MSTSC 6.0及以上版本

本文主要介绍压测报告管理类问题 性能测试分析报告中的TPS和其他工具测试的系统处理能力是否相同？ 性能测试中TPS的统计规则为每个统计周期（10s内），平均每秒获取到响应的请求报文数量。比如10s内共有1000个请求获取到了响应，那么TPS即为100TPS。有些测试工具统计的是每秒发出的请求数量，这样无法精确地体现系统的能力，因此云性能测试服务中的TPS为系统实际处理并返回的请求数量。 启动压测任务后在实时报告中没有看到数据的原因？ 该问题可能是由于压测调试机和执行机之前通信的问题导致的。压测调试机通过62000端口让执行机进行数据上报，因此若您使用自定义的安全组规则，请保证调试机的62000端口在安全组被开启。 安全组规则可以到弹性云主机中进行设定。 性能测试报告界面的RPS和TPS有什么区别？ RPS是Requests Per Second的简称，用例的RPS用例总请求数/用例的运行时长；TPS是Transactions Per Second的简称，用例的TPS用例的事务数/用例的运行时长，其中事务定义为：性能测试压测过程中，会循环执行用例中的所有测试步骤，每完成一次循环，算做一次事务（transaction）。 任务日志中“无压测数据的AW将被判定为失败”是什么意思？ 性能测试测试报告中，所有的用例和AW都要有数据，没有数据的AW会导致对应的用例结果判定为Failed。 性能测试报告，为什么日志中的请求日志出现timeout？ 请求读写超时，需要检查服务端。

此小节介绍数据库安全服务的产品定义。 产品介绍 数据库安全服务，即DBSS（Database Security Service），提供旁路模式数据库安全审计服务功能，通过实时记录用户访问数据库行为，形成细粒度的审计报告，对风险行为和攻击行为进行实时告警。同时，数据库安全审计可以生成满足数据安全标准（例如SarbanesOxley）的合规报告，对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 数据库类型 数据库安全审计可以为管理控制台上的以下数据库提供旁路模式的数据库审计功能： 关系型数据库（Relational Database Service，RDS） 弹性云主机（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 云主机（Elastic Cloud Server ，ECS）的自建数据库 物理机（Bare Metal Server，BMS）的自建数据库 数据库安全审计支持的数据库类型和版本 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0（8.0.11及以前的子版本） 8.0.23 Oracel (因Orace为闭源协议，适配版本复杂，如您需审计Orace数据库，请先联系客服人员) 11g 11.1.0.6.0、11.2.0.1.0、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0、12.2.0.1.0 19c PostgreSQL 7.4 8.0 8.0、8.1、8.2、8.3、8.4 9.0 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0 10.0、10.1、10.2、10.3、10.4、10.5 11.0 12.0 13.0 SQL Server 2008、2008R2 2012 2014 2016 2017 DWS 1.5 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Custer V8.0 Greenplum V6.0 HighGo V6.0 TAURUS MySQ 8.0 DAMENG DM8 KINGBASE V8 MongoDB V5.0

本文主要介绍如何删除IP地址组。 操作场景 本章节指导用户删除IP地址组。 说明 删除IP地址组，也将删除IP地址组使用的安全组规则和网络ACL规则。 删除IP地址组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“访问控制 > IP地址组”。 4. 在IP地址组列表页面，单击操作列的“删除”，删除IP地址组。删除IP地址组会同时删除该地址组关联的安全组规则。

黑白名单 AI网关支持通过配置IP黑名单和白名单的方式限制客户端访问网关；黑白名单不能同时开启，同时只有一种能生效。 AI网关默认读取请求中的Remoteaddr字段值作为客户端IP（即网络层IP）；如果您的客户端访问出口存在七层代理，此时Remoteaddr字段值为出口代理地址，可通过开启从xff头部获取IP配置选项，从XForwardedFor字段中获取客户端真实IP。 配置 说明 是否从xff头部获取IP 是否从XForwardedFor字段中获取客户端真实IP 黑名单 黑名单IP配置 白名单 白名单IP配置 插件配置 1. 单击"添加插件"页签。 2. 在快捷导航处，选择要安装的插件类型或者搜索插件名称，单击插件卡片： 如果插件未安装，在安装插件的弹出框中单击安装，在启用插件的弹框中配置插件规则，并选择启用状态。 如果插件已安装，在启用插件的弹框中，配置插件规则，并选择启用状态。 3. 单击确定，返回"策略与插件"页面，可以查看API的插件启用状态。

本文主要介绍节点限制检查 检查项内容 当前检查项包括以下内容： 检查节点是否可用 检查节点操作系统是否支持升级 检查节点是否含有非预期的节点池标签 检查K8S节点名称是否与云主机保持一致 解决方案 问题场景一：节点不可用 若检查发现节点不可用，请登录CCE控制台，前往“集群信息>节点管理”处查看节点状态，请确保节点处于“运行中”状态。节点处于“安装中”、“删除中”状态时，均不支持升级。 若节点状态异常，请修复节点后，重试检查任务。 问题场景二：节点操作系统升级支持受限 当前集群升级支持的节点操作系统范围如下表所示，若您的节点OS不在支持列表之内，暂时无法升级。您可将节点重置为列表中可用的操作系统。 节点OS支持列表 操作系统 限制 CentOS 无限制 Ubuntu 部分局点受限，若检查结果不支持升级，请联系技术支持人员 问题场景三：节点含有非预期的节点池标签 由节点池迁移至默认节点池的节点，仍然会保留节点池标签"cce.cloud.com/ccenodepool"，影响集群升级。请确认该节点上的负载调度是否依赖改标签： 若无依赖，请删除该标签。 若存在依赖，请修改负载调度策略，解除依赖后再删除该标签。 问题场景四：K8S节点名称与云主机一致 CCEK8S节点名称默认“与节点私有IP保持一致”，若创建节点时选择“与云主机名称保持一致”，当前暂不支持升级。 请登录CCE控制台，前往“集群信息>节点管理”处查看节点标签，对比节点标签kubernetes.io/hostname的值是否与云主机名称是否一致。如果一致，则需在集群升级前移除该节点。

本节介绍了DDoS高防（边缘云版）概览页功能。 使用场景 概览页集成了DDoS高防（边缘云版）服务的重要指标和核心功能的入口，帮助您快速了解业务数据以及遭受的DDoS攻击详情。 前提条件 已开通DDoS高防（边缘云版）。 使用说明 1. 登录DDoS高防（边缘云版）控制台。 2. 进入【概览】页面，您即可使用如下功能，您可以指定时间查询。 功能 功能子项 说明 查询时间 提供快捷时间选项（昨日，今日，7天，30天）及自定义时间选择功能。指定时间后，卡片栏，业务带宽，CC攻击区域分布会展示对应时间的数据。 卡片栏展示 业务带宽峰值 防护业务的正常业务流量，等于源站上行流量与下行流量之和。 卡片栏展示 攻击事件数 DDoS网络层攻击事件数及CC攻击事件数之和。 卡片栏展示 DDoS防护带宽峰值 清洗前入向攻击流量的带宽峰值。 卡片栏展示 CC攻击峰值 经过网络层攻击过滤之后，应用层攻击QPS峰值。 业务带宽 展示业务带宽的趋势图，单位Mbps。鼠标移入可展示具体时间点的具体流量大小。支持移动时间轴将业务带宽趋势图进行放大及缩小，便于查看。 CC攻击区域分布 展示CC攻击事件中，攻击源IP的地区分布。不同颜色代表不同地区请求次数的范围。 基础信息 展示了服务接入的基本信息，包括接入的网站数，端口数量，上传的证书数量，以及即将过期的证书数量。点击可跳转到具体的列表进行查看。 计费详情 展示了服务开通的基本信息，包括套餐支持的业务带宽峰值，防护带宽峰值及CC防护峰值。点击“更多详情”可跳转计费详情页面。 应用漏洞 展示最新披露的CVE漏洞信息。

本文介绍弹性容器实例ECI的使用限制。 使用ECI实例之前需要您注意配额限制，详情可登录弹性容器实例控制台，在左侧导航栏中选择“权益配额”即可查看。

本节介绍智算节点管理。 节点扩容 智算版集群支持工作节点扩容，满足业务的弹性伸缩需求，提高系统的可用性和性能。 前提条件 已创建至少一个云容器引擎（智算版）集群。 操作步骤 集群创建完成后，您可以在集群中进行节点扩容。 步骤 1：登录云容器引擎控制台，在左侧导航栏中选择“集群”，进入集群管理页面。 步骤 2：在需要扩容的集群下点击“更多”>“节点扩容”，进入节点扩容页面，在节点配置步骤中参照如下表格设置节点参数。 选择工作节点规格后点击提交订单。 步骤 3：单击“确定”，确认进行节点扩容操作后，进入支付页面。 步骤 4：确认规格和费用后，单击“立即支付”，节点开始创建。 系统将自动跳转到节点列表页面，待节点状态为“运行中”，表示节点添加成功。添加节点预计需要2030分钟左右，请耐心等待。 步骤 5：单击“返回节点列表”，待状态为正常，表示节点创建成功。

本章节主要介绍 初始化系统用户密码 。 操作场景 该任务指导管理员在用户遗忘密码或公共帐号密码需要定期修改时，通过Manager初始化密码。初始化密码后用户首次使用需要修改密码。开启Kerberos认证的集群或开启弹性公网IP功能的普通集群支持该操作。 说明 该章节操作仅适用于MRS 3.x之前版本集群。MRS3.x及之后版本集群请参考 对系统的影响 初始化MRS集群用户密码后，如果以前下载过用户认证文件，则需要重新下载并获取keytab文件。 初始化“人机”用户密码 访问MRS Manager，详细操作请参见访问MRSManager（MRS2.x及之前版本）。 1. 在MRS Manager，单击“系统设置”。 2. 在“权限配置”区域，单击“用户管理”。 3. 在要初始化密码用户所在行，单击“更多 > 初始化密码”，按界面提示信息修改用户密码。 在弹出窗口中输入当前登录的管理员密码确认管理员身份，单击“确定”，然后在“初始化密码”单击“确定”。 集群中，默认的密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符'~!@ $%^&()+[{}];:'", /?中的3种类型字符。 不能与用户名或倒序的用户名相同。 初始化“机机”用户密码 根据业务情况，准备好客户端，并登录安装客户端的节点。 1. 执行以下命令切换用户。 sudo su omm 2. 执行以下命令，切换到客户端目录，例如“/opt/Bigdata/client”。 cd /opt/Bigdata/client 3. 执行以下命令，配置环境变量。 source bigdataenv 4. 执行以下命令，使用kadmin/admin登录控制台。 说明 kadmin/admin的默认密码为“KAdmin@123”，首次登录后会提示该密码过期，请按照提示修改密码并妥善保存。 kadmin p kadmin/admin 5. 执行以下命令，重置组件运行用户密码。此操作对所有服务器生效。 cpw 组件运行用户名 例如：cpw oms/manager 集群中，默认的密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符'~!@