本小节介绍云下一代防火墙设置接口IP地址和安全域配置以及开启防护操作方法。 设置接口IP地址和安全域配置 登录云下一代防火墙web界面，打开【网络→安全域】，查看安全域下接口数量和开启的防护模块。 开启安全域的功能策略模板 网络接口附属在安全域，同步调用安全域防护策略，需启用安全域中的威胁防护和对应的防护侧。 开启全局网络参数为入侵防御 全局网络参数的防护模式是基于系统的，可影响整体的安全防护引擎运行机制，开启防护后可依据策略动作对攻击进行拦截。 关闭防护功能 关闭防护功能仅需要针对全局网络参数做修改，关闭【防护】后会从系统层面进入仅监测模式，威胁日志全部显示为仅检测，无法做拦截。 注意 该功能请谨慎操作。

参数 参数类型 说明 示例 下级对象 ip String IP地址 hostnames Array of Strings 主机名

3、创建页面性能类型拨测任务参数配置 “任务类型”模块参数配置如下： 参数 模块 参数说明 是否必填 取值样例 任务名称 该站点监控的自定义名称 是 类型 公网拨测 是 场景 选择站点监控任务使用场景，支持端口性能、页面性能 是 页面性能 监控频率 执行一次站点监控探测任务的时间间隔。 是 1分钟 站点地址 请输入待探测的目标公网地址。注意：选择类型为“http”时，请填写协议头 是 拨测点选择 选择公网拨测源，支持多选 是 北京、成都 “拨测参数定义”模块参数配置如下(可选)： 参数 模块 参数说明 是否必填 取值样例 拨测参数定义 拨测元素 1、设备类型 模拟不同类型终端设备访问站点监控任务，默认PC 2、浏览器设备 模拟不同浏览器访问站点监控任务，默认Chrome 是 1、PC 2、Chrome 断言配置 定义拨测任务执行期间要检查的规则或条件。如果拨测节点拨测的响应结果满足了断言配置中定义的所有条件，则任务被视为成功；否则，任务被视为失败，最多支持配置5个 1、首屏用时 首屏用时是否符合预期条件 2、总耗时 总耗时是否符合预期 否 首屏用时:大于100ms 总耗时:大于200ms 高级配置 1、超时时间 定义等待服务器返回响应数据的最长时间，单位ms 2、拨测周期 站点拨测任务执行的每日时段 3、拨测时段 站点拨测任务执行的每日时段 是 1、1000ms 2、星期天、星期一、星期二、星期三、星期四、星期五 星期六 3、00:00:0023:59:59 说明 页面性能拨测任务通过模拟用户在不同环境下访问 Web 页面的场景，获取全面的 Web 页面体验数据，包括页面整体加载耗时、页面加载平均速率、首屏用时等。适合于需要监控网站性能和用户体验的情况，如电子商务网站、新闻门户或任何需要确保快速加载和高可用性的 Web 服务。 注意 云监控站点拨测功能拨测源为公网地址，如果您的网络限制只允许特定的IP地址或IP地址范围通过访问控制。为保证拨测任务正常运行，需要将拨测源IP添加到白名单内。以下为拨测源IP信息： 北京：49.7.181.220 成都：203.25.214.97 广州：14.18.126.255 南京：117.88.94.181 贵阳：10.50.63.188 辽阳：123.245.187.56 拉萨：113.62.168.11 武汉：119.96.23.216

防护配置管理为用户提供域名防护的配置操作功能。 新增防护配置 1. 在Web应用防火墙配置菜单下，点击“新增”，弹出新增WAF防护配置对话框。 2. 配置防护参数。 参数名称 参数说明 实例ID 选择实例 ID；实例即为默认开通资源，直接进行勾选即可。 数据中心 选择数据中心；目前默认数据中心为内蒙，上海，广州，其中主选一个，备选一个，建议用户选择靠近自身资源部署地区的节点。 防护域名 输入防护域名。 输入格式示例： 防护网站域名：如ctyun.cn 防护网站域名：如www.ctyun.cn IP代理 选择IP代理。 IP代理分为NAT44，NAT66，NAT64。 网站如仅支持IPv4访问：则单选NAT44，并且填写域名对应的公网IPv4地址至源站IP一栏。 网站如同时支持IPv4以及IPv6访问：则需要同时勾选NAT44与NAT66。 在网站不支持IPv6的场景下，WAF可以协助网站支持IPv6访问，WAF接收到IPv6请求后将流量转换成IPv4的形式发送给客户源站，需要同时勾选NAT44与NAT64，源站IP侧应填写IPv4地址。 协议类型 支持HTTP和HTTPS协议。选择HTTPS协议，还需要上传证书。 协议端口 根据选择的协议，添加对应的端口。 Https证书 协议类型选择“https”时，需要进行证书上传。 上传证书步骤如下： 点击“Https证书”右侧的“新增证书”，在弹出的“新增证书”对话框中配置如下参数，然后点击“确定”，完成证书上传。 证书名称：证书名称可自定义添加。 证书公钥：一般情况下HTTPS证书需要从网站本身服务器上进行导出或联系域名服务商获取，公钥一般以pem或crt结尾，用文本形式打开后全量粘贴即可。 证书私钥：私钥一般以key结尾，用文本形式打开后粘贴即可。 开启防护 默认开启防护，如果开启防护按钮为“关闭”，该防护配置不会生效，业务不会下发至Web应用防火墙设备进行防护。 3. 点击“确定”，正式下发防护配置。 4. 添加完成后，显示应为下图。 参数名称 参数说明 防护域名 当前防护的域名。 CNAME CNAME地址为WAF配置成功后生成的代理地址（需要用户侧联系域名服务商将域名原本指向的记录值修改为WAF的地址）。 源站IP 源IP即配置WAF的目标地址，WAF接收请求后会将请求转发至当前配置的地址。 源端口 WAF所配置的端口。 状态 当配置处于防护中时为正常，配置状态为防护中时CNAME地址才可以被解析到。 业务带宽 与当前资源相关，对应当前的资源规格。 DNS牵引检测 当用户将域名解析至WAF后，此状态会在当天凌晨自动更新为已牵引。 HTTPS强制跳转 当域名同时开通80与443端口时，勾选强制跳转会让所有访问80端口的流量自动跳转到443（暂时只支持80跳转443）。

config center config: username: ${NAOCSUSERNAME} password: ${NAOCSPASSWORD} serveraddr: ${NACOSSERVERADDRESS} namespace: ${NACOSCONFIGNAMESPACE} group: ${NACOSCONFIGGROUP} prefix: 其中 namespace 默认值为空，也就是public命名空间，group 默认值为DEFAULTGROUP， prefix属性为非必要属性，可以按照需要决定是否配置。配置文件中的值既可以配置真实值，也可以配置为从环境变量中获取。 为了方便获取和使用配置，可以自定义配置类。在自定义属性类上需要增加注解，否则远程配置更新是客户端的配置不会自动更新。如下所示，定义了一个前缀为user的属性类，自动绑定user前缀的属性。 @RefreshScope @ConfigurationProperties(prefix "user") public class User implements InitializingBean, DisposableBean { private String name; private int age; public String getName() { return name; } public void setName(String name) { this.name name; } public int getAge() { return age; } public void setAge(int age) { this.age age; } @Override public String toString() { return "User{" + "name'" + name + ''' + ", age" + age + '}'; } } 配置完成后，启动应用。在启动应用后查看启动日志，会发现在一般情况下，应用监听三个配置文件而不论这三个远程配置文件是否存在。 [fixedprodIP47588] [subscribe] +paasdefault+prod [fixedprodIP47588] [addlistener] ok, tenantprod, dataId, grouppaasdefault, cnt1 [Nacos Config] Listening config: dataId, grouppaasdefault [fixedprodIP47588] [subscribe] prod.properties+paasdefault+prod [fixedprodIP47588] [addlistener] ok, tenantprod, dataIdprod.properties, grouppaasdefault, cnt1 [Nacos Config] Listening config: dataIdprod.properties, grouppaasdefault [fixedprodIP47588] [subscribe] .properties+paasdefault+prod [fixedprodIP47588] [addlistener] ok, tenantprod, dataId.properties, grouppaasdefault, cnt1 [Nacos Config] Listening config: dataId.properties, grouppaasdefault 默认情况下，监听的配置文件的dataId{prefix}prefix−{spring.profile.active}.${fileextension}。 其中profix默认为${spring.application.name}。 fileextension表示配置的类型，默认为properties。 如果没有指定spring.profile.active，那么dataId就变成了profix.{profix}.profix.{fileextension}。 启动时会发现启动日志中会打出多个： ${prefix} ${prefix}−{spring.profile.active} ${prefix}−{spring.profile.active}.${fileextension} 说明其实是可以匹配配置中心中配置的多条配置名称。匹配优先级是：3>2>1，精确匹配。 通过 控制台更新配置，在应用端可以接收到更新的推送。如果服务端同时存在多个监听的配置，则当更新高优先级的配置时，客户端才会接收到更新。 客户端接收到更新推送，变更为最新的值。至此，说明接入配置中心成功，配置可以动态更新了。

本节主要介绍Web应用生命周期管理 典型业务应用场景 应用场景 Web程序的应用范围非常广泛，日常使用的企业业务系统、网上商城系统、论坛、博客、Wiki知识系统、网络游戏等都可能是Web应用。针对不同技术架构的Web应用进行生命周期的管理，是企业IT部门主要工作内容之一。 价值 使用统一的平台管理各种Web应用，能够大大简化工作量，提高效率，快速响应复杂多变的业务需求。 优势 ServiceStage一站式运维平台，提升了企业级Web应用开发和运维的效率，使企业专注业务创新。具有以下优势： 一键部署，支持War、Jar、Zip软件包一键部署。 一站式运维，提供升级、回滚、日志、监控、弹性等丰富的运维能力。 无缝集成，支持与ELB、DCS等云服务与应用无缝集成。

参数 参数类型 说明 示例 下级对象 createTime String 开始时间 20220610 10:10:10 finishTime String 结束时间 20220610 10:10:10 agentGuid String agentGuid testagentguid publicIp String 公网IP 192.168.1.1 agentIp String 私网IP 192.168.1.1 custName String 主机名 testcustname displayName String 实例名称 testdisplayname osType String 操作系统 Linux/Windows Windows status Integer 任务状态 1扫描成功 0扫描失败 0 count Integer 风险数量 0

项目 描述 No. 编号。 Server Name 服务器名称。 Server ID 服务器ID。 Node Name 节点名称。 Parent Node 父节点名称。 Public Address 业务网的IP和端口号。 Cluster Address 集群网的IP和端口号。 Port Range 端口范围。 iSCSI Port iSCSI端口。 API Port API端口。 Web Port Web端口。 Data Port 数据端口（仅集群版支持）。 Storage Port 数据存储端口（仅集群版支持）。 Management Port 管理端口。 Metadata Port 元数据端口（仅集群版支持）。

安全体检产品定义，一款面向互联网IP的全面体检产品。 安全体检是一款面向具备互联网业务的用户，提供周期性、精准、全面的互联网IP安全检查的产品，帮助用户监测、发现业务风险，生成体检报告，实时掌握业务安全状况。安全体检产品支持弱口令检测、漏洞开放检测、高危端口开放检测等，帮助用户全面掌握互联网业务安全状况，并结合体检报告提供处置建议，帮助用户快速完成加固。

EXTXKEY标签，增加加密算法、秘钥URI地址以及鉴权参数信息。客户端播放器收到被改写的M3U8文件后，基于 EXTXKEY标签识别到对应TS文件为加密文件，此时会携带鉴权参数向秘钥URI地址发起请求，获取到秘钥内容后，基于加密算法和获取的秘钥解密TS数据内容并实现视频播放，最终通过HLS加密实现内容版权保护。 HLS标准加密改写 上传加速 天翼云全站加速提供的上传加速服务，提供了一种针对用户上行传输全程加速的整体加速方案。使用本方案后，用户上传的内容将自动适配到最近的节点，节点接收到终端数据后，天翼云全站加速通过自研技术将用户上传的内容快速上传到源站。 上传加速 websocket加速 天翼云全站加速产品支持对websocket协议和http/https协议同时加速，即同一个域名可以既有http/https协议，又有websocket加速，您无需拆分域名，使用全站加速产品就可以实现对域名下http/https协议的应用和websocket协议的应用同时加速。全站加速节点会自动识别客户端与全站加速边缘节点通信使用的协议，自动切换协议。通常情况下，websocket协议的应用多为动态业务，对实时性要求很高，全站加速的动态探测选路能力可以为websocket应用选择最快的回源路径，提升websocket业务的访问效果。 websocket加速 QUIC协议 天翼云全站加速产品开放使用的是七层协议的QUIC，主要应用在客户端与全站加速平台边缘节点的交互，主要适用于弱网环境下的传输优化。 QUIC协议 云备源 云备源服务可帮助客户实现定期将网站内容从主源自动同步至备源，如主源发生宕机，则全站加速可无缝切换至云备源，实现网站业务高可用。 云备源 高性能网络 高性能网络是全站加速产品的一项跨境能力进阶型增值服务，当普通国际网无法满足客户跨境传输需求时，通过开通高性能网络，利用其单独直连性、轻负载、高稳定性的特性，能帮助客户实现全链路低延时，低丢包率，高稳定性的跨境加速效果。 高性能网络 业务告警 天翼云全站加速平台支持自动化业务指标监控和告警功能，客户可以依据实际业务监控/告警需要，设置相关的监控与告警规则。 业务告警 防攻击处理预案说明 天翼云全站加速默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，全站系统有权将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 防攻击处理预案说明 数据分析 用量分析 全站加速控制台的【数据分析】【用量分析】模块可以展示客户的带宽流量、回源统计、请求数、命中率、状态码、PV/UV、地区运营商等指标。 用量分析 数据分析 热门分析 全站加速控制台的【数据分析】【热门分析】支持三个月内、最长时间跨度为一个月的热门数据统计，包括TOP 100 URL、TOP 100 回源URL、热门Referer、热门域名、TOP客户端IP统计，可根据访问次数优先和流量优先两种维度的排列。并支持数据下载导出，表格内容与页面一致。 热门分析 数据分析 用户分析 全站加速控制台的【数据分析】【用户分析】可展示用户的区域分布、运营商分布情况。并展示每个区域/运营商的带宽、流量、访问次数。 用户分析 刷新预取 创建任务 客户控制台支持自助创建不同类型（URL刷新、目录刷新、正则刷新）的刷新任务和预取任务。 创建任务 刷新预取 查看任务 支持客户自定义查询刷新或预取任务的执行状态，并支持快捷跳转到创建任务页面。 查看任务 日志下载 全站加速控制台的日志下载模块提供六个月内的日志下载。 日志下载 诊断工具 通过诊断工具可查询指定IP是否为天翼云CDN节点IP以及对应归属地。 诊断工具 计费详情 客户已完成订购的全站加速服务包括按量计费和资源包两种方式，资源使用情况、有效期及状态等信息均可在客户控制台的【计费详情】页面进行统一汇总与展示。同时，该页面支持完成服务订购、退订、计费方式变更、加速区域变更、资源增配或减配等一站式操作。 计费详情 用户自定义脚本UDFScript 客户不仅可通过自助控制台实现域名标准化配置，还可结合用户自定义脚本实现更为灵活的CDN可编程化，快速实现标准化配置无法满足的个性化需求。 UDFScript用户自定义脚本 BosonFaaS边缘函数 边缘函数可以让企业研发人员将自定义的JavaScript代码秒级一键部署到天翼云边缘节点上，就近生成千人千面的个性化响应结果。研发人员只需要关注业务逻辑，剩下机器资源的扩容、运维、调度，都由边缘函数自动完成。 BosonFaaS边缘函数 权限管理 介绍天翼云全站加速的权限管理配置平台及具体操作方法。 权限管理 API文档 全站加速控制台的API文档可供用户查看API的功能及详细的入参、回参。 API

配置项 说明 客户端来源 访问业务类型的客户端IP或IP组。可填写多个，以逗号“,”分隔。 客户端端口 可配置多个值或区间，多个值间以逗号“,”分隔，例如：1015,20,25,3040。 客户端工具名 支持字符串匹配、正则表达式匹配、分组选择方式匹配。选择字符串，可配多个客户端工具名，使用逗号“,”分隔。 例：db2bp.exe,javaw.exe,plsqldev.exe。 操作系统用户 支持字符串匹配、正则表达式匹配、分组选择方式匹配。 选择字符串，可填多值，多个值间以逗号“,”分隔。 客户端主机名 支持字符串匹配、正则表达式匹配、分组选择方式匹配。 选择字符串，可填多值，多个值间以逗号“,”分隔。

本节介绍Web应用防火墙（独享版）其他业务中断排查问题。 如何解决重定向次数过多？ 在WAF中完成了域名接入后，请求访问目标域名时，如果提示“重定向次数过多”，一般是由于您在服务器后端配置了HTTP强制跳转HTTPS，在WAF上只配置了一条HTTPS（对外协议）到HTTP（源站协议）的转发，强制WAF将用户的请求进行跳转，所以造成死循环。配置两条HTTP（对外协议）到HTTP（源站协议）和HTTPS（对外协议）到HTTPS（源站协议）的服务器信息。 如何处理域名接入WAF后，登录首页不停地刷新？ 域名接入WAF后，所有网站访问请求将先流转到WAF进行监控，经WAF过滤后再返回到源站服务器。对于客户端的每一个请求，WAF会根据请求访问的IP地址和用户代理（User Agent）生成一个识别码，而WAF有多个回源IP（随机分配），当回源IP发生变化时请求的识别码也会不同，将导致会话被WAF直接删除，登录首页不停地刷新，为了避免出现该问题，建议您使用会话Cookie进行会话保持。 如何解决HTTP配置转发策略后程序访问页面卡顿？ 如果HTTP配置转发策略后程序访问页面卡顿，请添加HTTP到HTTP和HTTPS到HTTPS这2条转发协议规则。 使用WAF后如何处理网站的文件不能上传？ 将网站接入WAF后，网站的文件上传请求限制为10G 。如果需要上传超过10G的文件，视频，建议不使用WAF防护的域名上传，可采用以下三种方式上传： 直接通过IP上传。 使用没有被WAF防护的域名上传。 采用ftp协议上传。

主机磁盘使用率 指标项名称： 主机磁盘使用率 指标项含义 ：检查主机磁盘使用率是否超过当前设定的阈值。如果超过阈值，则认为不健康。 恢复指导： 如果该指标项异常，系统中会产生对应的告警，建议参见告警ALM12017进行处理。 主机磁盘写速率 指标项名称： 主机磁盘写速率 指标项含义 ：检查主机磁盘写速率。根据业务场景不同，主机磁盘写速率大小可能存在差异，所以该指标项只反映具体的数值大小，用户需根据业务场景具体判断该指标是否健康。 恢复指导： 用户根据具体的业务场景，判断当前磁盘写速率是否正常。 主机磁盘读速率 指标项名称： 主机磁盘读速率 指标项含义 ：检查主机磁盘读速率。根据业务场景不同，主机磁盘读速率大小可能存在差异，所以该指标项只反映具体的数值大小，用户需根据业务场景具体判断该指标是否健康。 恢复指导： 用户根据具体的业务场景，判断当前磁盘读速率是否正常。 主机业务平面网络状态 指标项名称： 主机业务平面网络状态 指标项含义 ：检查集群主机业务平面网络连通性。如果出现无法连通的情况，则认为不健康。 恢复指导： 如果是单平面组网，对应需检查单平面的IP。双平面组网排查恢复步骤如下： 1.检查主备管理节点业务平面IP的网络连通性。 如果网络异常，执行3。 如果网络正常，执行2。 2.检查主管理节点IP到集群内异常节点IP的网络连通性。 3.如果网络不通，请联系运维人员排查网络问题，以保证满足业务使用。

commonname)CommonName，CCE的v1.19版本的kubeapiserver编译的版本为v1.15。CommonName字段作为hostname处理，最终导致认证失败。 升级前检查您自建webhook server的证书是否配置了SAN字段。 若无自建webhook server则不涉及。 若未配置，建议您配置使用SAN字段指定证书支持的IP及域名。 注意 为减弱此版本差异对集群升级的影响，v1.15升级至v1.19时，CCE会进行特殊处理，仍然会兼容支持证书不带SAN。但后续升级不再特殊处理，请尽快整改证书，以避免影响后续升级。 v1.15升级至v1.19 v1.17.17版本及以后的集群CCE自动给用户创建了PSP规则，限制了不安全配置的Pod的创建，如securityContext配置了sysctl的net.core.somaxconn的Pod。 升级后请按需开放非安全系统配置。 v1.13升级至v1.15 vpc集群升级后，由于网络组件的升级，master节点会额外占一个网段。在Master占用了网段后，无可用容器网段时，新建节点无法分配到网段，调度在该节点的pod会无法运行。 一般集群内节点数量快占满容器网段场景下会出现该问题。例如，容器网段为10.0.0.0/16，可用IP数量为65536，VPC网络IP分配是分配固定大小的网段（使用掩码实现，确定每个节点最多分配多少容器IP），例如上限为128，则此时集群最多支撑65536/128512个节点，然后去掉Master节点数量为509，此时是1.13集群支持的节点数。集群升级后，在此基础上3台Master节点会各占用1个网段，最终结果就是506台节点。

名称 类型 填写要求 默认值 有效值 描述 rate integer 必填 rate>0 指定的请求速率（以秒为单位），请求速率超过 rate 但没有超过（rate + burst）的请求会被延时处理。 burst integer 必填 burst>0 请求速率超过（rate + burst）的请求会被直接拒绝。 keytype string 可选 "var" ["var", "varcombination"] 要使用的用户指定 key 的类型。 key string 必填 ["remoteaddr", "serveraddr", "httpxrealip", "httpxforwardedfor", "consumername"] 用来做请求计数的依据，当前接受的 key 有：remoteaddr（客户端 IP 地址），serveraddr（服务端 IP 地址）, 请求头中的 XForwardedFor 或 XRealIP，consumername（Consumer 的 username）。 rejectedcode integer 可选 503 [200,599] 当超过阈值的请求被拒绝时，返回的 HTTP 状态码。 rejectedmsg string 可选 非空 当超过阈值的请求被拒绝时，返回的响应体。 nodelay boolean 可选 false 当设置为 true 时，请求速率超过 rate 但没有超过（rate + burst）的请求不会加上延迟；当设置为 false，则会加上延迟。 allowdegradation boolean 可选 false 当设置为 true 时，如果限速插件功能临时不可用，将会自动允许请求继续。

本文介绍边缘接入服务计费常见问题。 开通IP应用加速前，要先订购边缘接入服务吗 边缘接入服务里的应用加速与安全与加速服务里的加速是否叠加计费 IP应用加速支持海外加速吗 购买边缘接入套餐后，已购买的流量/带宽、域名数、端口数、DDoS防护不够怎么办

本小节介绍DDoS高防IP联系人管理。 在左侧菜单选择“个人中心”，可查看现有联系人。点击“新增”，可新增联系人。

参数 参数类型 说明 示例 下级对象 ipProtectCount Integer 已防护公网IP数 1 ipUnProtectCount Integer 可防护公网IP数 1 firewallState String 防火墙状态 normal正常 overdue已到期 unsubscribe已退订 vpcFirewallName String 东西向实例id vpcFirewallType String 实例类型NorthSouth：VPC边界防火墙 canUnsubscribe Boolean 能否退订 VpcQuotaUsedCount Integer vpc已防护 ewFirewallId String 东西向防火墙id firewallEdition String 防火墙版本 firewallId String 防火墙id firewallName String 防火墙名称 uid String 账户id userId String 用户id regionId String 资源池id azId String 可用区id masterOrderId String 主订单ID masterResourceId String 主资源ID orderId String 订单ID state Boolean 防火墙状态 true正常 false退订 flowProcessingCapacity Integer 公网流量处理能力(单位Mbps) 100 protectionIpNum Integer 可防护公网IP数 1 orderTime Long 订购时间 expireTime Long 到期时间 isDelete Boolean 是否软删除 email String email firewallType String 防火墙类型 NorthSouth 南北向 EastWest东西向 vpcFlowProcessingCapacity Integer vpc流量处理能力(单位Mbps) 100 vpcQuota Integer 可防护VPC配额 1 hostIds String 主机ids gwlbId String gwlbId targetGroupId String 主机组id ipListenerId String gwlb和主机对应 100 endpointServiceId String 网关负载均衡终端节点服务id 1

本文为您介绍如何使用Logstash组件将数据导入至天翼云云搜索服务OpenSearch实例。 Logstash是一个开源的服务器端实时数据处理工具，支持从多个数据源中提取数据，经过处理后将数据导入到OpenSearch中。它非常适合处理流数据，如日志、监控数据和指标数据。 适用场景 日志数据、监控数据、流数据等。 前提条件 已经开通天翼云云搜索OpenSearch实例。 已经部署Logstash且打通和OpenSearch实例之间的网络。 Logstash配置 Logstash可以接收很多数据源，可以根据实际的需求配置。 这里使用Filebeat作为Logstash的输入。 配置 yourlogstash.conf 管道文件。 Logstash需要接收Filebeat的输出并进行处理，示例配置如下： input { beats { port > 5044 } } 对数据进行处理。 filter { mutate { removefield > ["@version"] } } 输出到OpenSearch实例。 output { OpenSearch { OpenSearch实例的访问地址。 hosts > [" " " 访问OpenSearch实例的用户名和密码，如无安全机制可不配置。 user > "" password > "" 配置写入的索引名,示例如下。 index > "filebeatlogstashos%{+YYYY.MM.dd}" } } 启动Logstash导入数据 可以使用下面的命令在命令行来启动Logstash导入数据。 ./bin/logstash f yourlogstash.conf

当发生病毒入侵、人为误删除、数据丢失等事件时，可以使用SFS Turbo备份数据创建新的文件系统，创建后的文件系统原始数据将会和SFS Turbo备份状态的数据内容相同。 当发生病毒入侵、人为误删除、数据丢失等事件时，可以使用SFS Turbo备份数据创建新的文件系统，创建后的文件系统原始数据将会和SFS Turbo备份状态的数据内容相同。 操作步骤 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份”。选择对应的备份目录。 2. 选择“备份副本”页签，找到存储库和文件系统所对应的备份。 3. 目标SFS Turbo备份所在行的“状态”栏为“可用”时，单击“操作”列下单击。 说明 创建备份请参考 4. 配置文件系统相关数据。如下图所示。 图 创建文件系统 说明 要了解这些参数的详细说明，请参见《弹性文件服务用户指南》里章节“创建文件系统”中“创建SFS Turbo文件系统”相关参数解释。 可以修改文件系统的类型，但只能进行同类型文件系统之间的修改。例如：标准型文件系统可以修改为性能型文件系统，但不能修改为标准型增强版文件系统。 创建的SFS Turbo文件系统只能为按需计费模式。 5. 单击“立即购买”。 6. 核对文件系统信息，单击“去支付”。 7. 根据界面提示付款，单击“确认付款”。 8. 返回弹性文件服务界面，确认创建新文件系统是否成功。 文件系统状态要经过“正在创建”、“可用”、“正在恢复”和“可用”四个状态。支持即时恢复特性的情况下由于速度很快，可能无法看到“正在恢复”状态。当状态从“正在创建”变更为“可用”时表示文件系统创建成功。当状态从“正在恢复”变更为“可用”时表示备份数据已成功恢复到创建的文件系统中。

本节主要介绍实时同步 DRS支持直接同步不同schema的表到同一个schema吗 DRS支持直接同步不同schema的表到同一个schema，表不可以冲突。 DRS实时同步支持使用Online DDL工具吗 DRS MySQL到MySQL的表级增量同步支持使用Online DDL工具进行加减列的操作，需注意以下几点： 因为DRS同步机制和工具的冲突，在同步任务的“设置同步”页面，选择对象同步范围时，不能勾选“增量DDL”项。 使用Online DDL工具进行加列操作时，需先在目标库执行，然后在源库执行。 使用Online DDL工具进行减列操作时，需先在源库执行，再在目标库执行。 常见Online DDL工具： ptonlineschemachange ghost 源库Oracle为RAC集群时，为什么建议使用SCAN IP连接 源库Oracle为RAC集群时，建议使用SCAN IP+ SERVICENAMES方式创建任务，因为SCAN IP具有更强的容错性，更好的负载能力，更快的同步体验。 如果需要使用SCAN IP，需要保证SCAN IP与源库的所有VIP互通，否则无法通过测试连接检查。 若不使用SCAN IP，可以使用某一节点的VIP，其他节点异常不影响同步。 关于SCAN IP的说明，可参考Oracle官网文档。 源库Oracle补全日志检查方法 Oracle数据库在Physical Standby模式下，日志会从主库直接复制，而自身不产生任何日志。针对Oracle为源的增量同步链路，DRS需要用户提前手动在主库检查补全日志是否符合要求，以保证任务的正常运行。以下检查和设置方法中， 表级：针对指定表的设置。 库级：指整个数据库级别的设置。 PK/UI：每一行日志中除了记录变更的列以外，还额外记录了该行中主键和唯一键的值。 ALL：每一行日志中记录了该行所有列的值。 以下三项检查，满足其中一项即可符合DRS增量同步的基本要求。 表级补全日志PK/UI检查（最低要求） 针对用户选择的待同步的表级对象，检查补全日志是否满足要求。 步骤 1 在源库中执行以下sql语句。 select from ALLLOGGROUPS where (LOGGROUPTYPE'UNIQUE KEY LOGGING' or LOGGROUPTYPE'PRIMARY KEY LOGGING') and OWNER'大写SCHEMA名' and TABLENAME'大写表名'; 该表名在查询结果中能同时对应到LOGGROUPTYPE值为UNIQUE KEY LOGGING和PRIMARY KEY LOGGING的两条记录，即可满足DRS增量同步要求。 步骤 1 如果不满足要求，可执行以下sql语句开启表级PK/UI级别补全日志。 alter database add supplemental log data; alter table SCHEMA名.表名add supplemental log data(primary key,unique) columns; 表级补全日志ALL检查 针对用户选择的待同步的表级对象，检查补全日志是否满足要求。 步骤 2 在源库中执行以下sql语句。 select from ALLLOGGROUPS where LOGGROUPTYPE'ALL COLUMN LOGGING' and OWNER'大写SCHEMA名' and TABLENAME'大写表名'; 该表名在查询结果中有记录，即可满足DRS增量同步要求。 步骤 2 如果不满足要求，可执行以下sql语句开启表级ALL级别补全日志。 alter database add supplemental log data; alter table SCHEMA名.表名add supplemental log data(all) columns; 库级补全日志检查 针对待同步的库级对象，检查补全日志是否满足要求。 步骤 3 在源库执行以下sql语句。 select SUPPLEMENTALLOGDATAMIN MIN, SUPPLEMENTALLOGDATAPK PK, SUPPLEMENTALLOGDATAUI UI, SUPPLEMENTALLOGDATAALL ALLLOG from v$database; 步骤 3 满足以下其中一项要求即可。 PK和UI同时为YES，即可满足DRS增量同步要求。 如果不满足要求，可执行以下sql语句开启库级PK/UI级别补全日志。 alter database add supplemental log data(primary key, unique) columns; ALLLOG为YES，即可满足DRS增量同步要求。 如果不满足要求，可执行以下sql语句开启库级ALL级别补全日志。 alter database add supplemental log data(all) columns;

安全体检体检报告内容简介，您可以根据报告内容开展安全检查及加固。 体检任务完成后，产品将根据本次体检结果，自动生成PDF格式体检报告以及Excel版本漏洞详单。您可以通过控制台预览或下载报告及漏洞详单，如果您已经配置通知信息，将自动向指定邮箱发送报告及详单内容。 报告名称：《安全体检服务报告.pdf》《安全体检漏洞详情.xls》 报告内容： 安全体检报告共包含体检概述、体检结果概述、急需处理的高危端口、急需处理的弱口令、急需处理的高中危漏洞、漏洞详单、报告说明等7大块内容。 主要体检内容：针对全量体检IP进行高危端口开放探测；针对全量体检IP互联网开放服务进行弱口令探测；针对全量体检IP的操作系统漏洞、中间件漏洞进行探测和发现，提供修复建议及加固参考。 安全体检报告内包含详细的处置建议，您可以根据报告内容快速开展修复工作。 安全体检漏洞详情包括任务信息、漏洞风险类别和资产综述3块内容。

本文介绍保护直播内容安全的多种策略。 背景信息 视频直播提供了完善的内容安全保护机制，用于保护用户直播源站的资源不被非法下载盗用。用户根据不同场景，可选择IP黑白名单、Referer防盗链、UA防盗链、URL鉴权、HTTPS、远程鉴权以及禁推等策略，保障直播内容安全。 实现原理 视频直播支持在主播推流、用户拉流播放阶段，提供完善的内容保护机制，保障直播内容不被非法下载和非法盗链，如下图所示。 主播推流 支持通过URL鉴权、IP黑白名单和推流禁推等机制确保直播流内容安全。 用户拉流播放 支持通过URL鉴权、IP黑白名单、UA防盗链、referer防盗链、远程鉴权、HTTPS等机制确保直播流内容安全。 详细信息，请参见HTTPS配置、访问控制和流管理。

更换证书会导致网络或者弹性负载均衡连接中断吗？ 不会。在更换证书时，已经建立的连接将继续使用旧证书，不会对已经建立的连接重新认证或断开，新建立的连接将使用新证书进行验证，保障更换证书动作时的服务连续。当前部分资源池支持更换证书，具体以控制台页面为准，控制台操作请参考 绑定/更换证书。 弹性负载均衡是否支持泛域名证书？ 支持。泛域名证书是一种特殊的数字证书，它可以为一个域名以及该域名下的所有二级或三级子域名提供HTTPS加密保护。这种证书也被称为通配符证书，因为它使用通配符符号()来匹配多个子域名。用户可以在控制台创建证书时使用泛域名证书。详情请参考 创建服务器证书。

本文介绍如何设置容器组。 容器组是Kubernetes部署应用或服务的最小的基本单位。一个容器组可以封装多个应用容器(也可以只有一个容器）、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。 用户创建完应用，查看【容器组列表】。 容器组列表页中内容包括：实例名称、状态、实例IP、所在节点、就绪容器（已就绪/全部）、创建时间、操作（编辑YAML、监控、删除）。编辑YAML界面： 点击具体容器组，可进入容器组详情页，在此可查看到容器组详情，且可根据需求，对容器、监控、容器终端、日志、事件进行查看和监控。

本小节介绍DDoS高防IP告警及防护管理功能。 在左侧菜单选择“告警及防护管理”，可查询告警及防护记录。

本文将为您简要介绍边缘安全加速平台安全与加速服务目前支持的安全防护能力。 接入防护前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 防护能力概览 下表将为您描述目前边缘安全加速平台安全与加速服务具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 DDoS防护 DDoS防护 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 Web防护 []( 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web防护 []( 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web防护 []( 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web防护 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web防护 []( 采用Cookie加密、Cookie签名等方式对Cookie字段的字进行加密或签名，防护一些使用Cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于Cookie修改的爬虫 可以防护Cookie盗用、Cookie篡改、Cookie信息泄露等攻击事件。需要客户端支持携带Cookie，通常小程序、APP、API可能不支持 Web防护 []( 支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web防护 []( 支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web防护 []( 支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未被网站所有者允许的广告内容）进行防护 Web防护 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot防护 设置高频爬虫限制 防止攻击者盗用合法Cookie进行大量请求，限制不同粒度的访问速率 当出现搜索引擎爬取粒度过大导致服务宕机时，可以通过此功能限制爬虫频率 Bot防护 设置爬虫陷阱 在页面里面嵌入不可见链接，当爬虫触碰链接时进行防护 防护网页爬虫 Bot防护 设置人机识别策略 通过cookie挑战、跳转挑战、人机挑战等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持； 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot防护 []( 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot防护 []( 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 []( 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 []( 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 访问控制/限流 设置频率控制 支持控制请求的访问频率 设置客户端IP访问域名首页的次数限制 防护白名单 []( 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 []( 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 设置Bot策略白名单 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 API安全 API自发现 API自发现功能能够帮助用户从访问日志中自动发现API接口的请求，并生成API资产，无需用户手动新增 梳理站点API资产 API安全 业务监测 API业务监测功能帮助用户实时查看API的业务运行数据包括QPS趋势图、源站状态码响应趋势图、天翼云节点状态码响应趋势图、响应时长趋势图、QPS峰值排行、响应时长排行，同时帮助用户发现和分析业务异常。 协助用户识别API业务是否运行正常 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险 协助用户识别站点漏洞情况

本文介绍了文档数据库服务与自建数据库服务的对比优势。 文档数据库服务与自建数据库对比，具有轻松易用、弹性扩容、丰富的运维监控等特征，同时在可用性、可靠性、安全性等方面也具有明显优势。 对比项 文档数据库服务 自建数据库 服务可用性 服务周期内服务可用率不低于99.95%。 需自行保障，需自行搭建主从复制，自行实现高可用能力。 数据可靠性 高可靠性。 底层多备份存储。 需自行保障数据的可靠性。 数据安全性 DDOS防护。 VPC私有网络访问。 VPC隔离数据库服务。 SSL安全链路访问。 需自行实现各类数据安全性功能，如购买安全防护软硬件。 一键开通 一键部署，分钟级开通文档数据库服务实例。 需购买主机等硬件，自行托管、搭建数据库服务，时间周期长，不可控。 弹性扩容 一键扩容，根据业务需求，分钟级完成规格、存储的弹性扩容。 需购买与原有实例同属性硬件等资源，自行维护数据库节点关系。 备份恢复 自动备份，支持自行配置自动备份策略。 手动备份，支持随时一键热备，不影响业务正常运行。 支持恢复到本实例及其它同属性实例。 需自行管理备份、自行维护备份数据集。 监控告警 支持数据库实例的主机、数据库服务、日志等多类监控指标。 支持自定义设置告警策略。 自行部署监控服务，自行实现告警服务。

本文为您介绍弹性文件服务的协议相关限制,请您务必仔细阅读后使用。 协议相关限制 弹性文件服务支持NFS、CIFS、多协议共享（NFS/CIFS）等3个协议类型，但不同资源池能力不同，以该资源池实时展示情况为准，请参考产品能力地图。 协议相关限制如表所示： 限制项 NFS协议 CIFS协议 多协议共享（NFS/CIFS） 协议版本限制 推荐使用v3进行挂载 CIFS协议支持SMB2.1、SMB3.0版本 推荐Linux挂载时使用NFS v3挂载 推荐挂载主机系统 Linux Windows 支持Linux和Windows同时挂载 地域限制 无 无 仅部分资源池支持，以控制台实际展示为准 注意 不推荐CIFS协议的文件系统挂载至Linux，因为Linux系统对CIFS协议的兼容程度较低，并且Linux上的CIFS客户端存在一些安全漏洞隐患。因此本产品仅提供Windows 挂载CIFS的方式，参考 如果仍然期望采用CIFS协议的文件系统挂载至Linux的方式，请

本节介绍天翼量子AI云电脑客户端支持的系统、浏览器版本,以及下载地址。 说明：新版本客户端目前处于灰度测试阶段，将逐步向更多用户开放，感谢您的耐心等待。 若您希望申请试用，可发送邮件至指定邮箱：clouddesktop@chinatelecom.cn 前言 欢迎广大用户下载安装天翼量子AI云电脑全新视觉客户端，当前文档适用于Windows客户端，Mac客户端，Ubuntu瘦终端，安卓瘦终端，国产化终端（银河麒麟/统信UOS），Web客户端的使用帮助文档。 产品定义 天翼量子AI云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的Clink数据安全传输协议，实现低延时、高画质、带宽占用少、多终端接入，打造从端到云全链路的安全防护体系，用户通过终端快速访问调取云端资源，实现统一管理、便捷维护，多重数据安全防护，随时随地共享数据、安全办公。 客户端支持的最低系统版本 天翼量子AI云电脑客户端支持Windows，MacOS12.0，Android7.0，iOS10、Ubuntu18.04，UOS V20，Kylin V10等以上系统版本。 Web客户端接入的最低浏览器版本 支持Chrome70+、Firefox72+、edge、UOS 5.2.1200+、奇安信1.0.1365+等浏览器接入。Web客户端访问地址：[

errorCode 描述 Scaling.Group.NotFound 未找到弹性伸缩组信息 Scaling.Parameter.InvalidError 请求参数错误

错误码 错误码 描述 Openapi.Workorder.AccessFailed 启用或停用伸缩组失败 Scaling.Group.NotFound 未找到弹性伸缩组信息