本节主要介绍云存储网关的一些术语与缩略语。 术语与缩略语 描述 ALUA Asymmetric Logical Unit Access，非对称逻辑单元访问。 CHAP Challenge Handshake Authentication Protocol，质询握手认证协议。 DSM Device Specific Module，设备特定模块。 EndPoint OOS的域名地址。 IQN iSCSI Qualified Name，iSCSI限定名。 iSCSI Internet Small Computer System Interface，互联网小型计算机系统接口。 I/O Input/Output，输入/输出。 LUN Logical Unit Number，逻辑单元号。 MPIO MultiPath I/O，多路径IO管理。 NFS Network File System，网络文件系统。 NTP Network Time Protocol，网络时间协议。 OOS ObjectOriented Storage，天翼云对象存储（经典版）I型。是天翼云为客户提供的一种海量、弹性、廉价、高可用的存储服务。 OOS Bucket OOS提供的存储Object的容器。OOS系统的每个Object都必须包含在一个Bucket中。 RAID Redundant Arrays of Independent Disks，独立磁盘冗余阵列。 SAN Storage Area Network，存储区域网络。 SPC SCSI（Small Computer System Interface，小型计算机系统接口） Primary Commands，SCSI基础命令。 SSD Solid State Disk，固态硬盘。 SSL Secure Sockets Layer，安全套接字协议。

本章介绍天翼云关系型数据库的如何进行弹性规格变更。 选择需要变更的实例，点击“更多”，选择“规格变更”进行变更操作

新增检测项 配置项 说明 检测项 支持快捷选择系统内置的检测项（包括暴力破解、批量注册、批量导出），或选择自定义接口滥用。 若选择系统内置的检测项，则防护对象会自动填充。 检测项名称 当“检测项”选择“自定义接口滥用”，需要设置检测项名称。 检测项名称不允许重复。 防护开关 拦截：当客户端请求行为匹配检测规则，则拦截客户端请求。 关闭：该检测项不生效。 告警：当客户端请求行为匹配检测规则，不会拦截客户端请求，但会产生攻击日志。 拦截时间 客户端触发检测规则的处置时长。 防护对象 设置需要防护的API资产对象。支持从三个维度设置API防护对象： API：从API资产中选择防护对象。 标签：关联标签的API资产。如：敏感信息包含银行卡号和手机号的API资产。 URI：API资产中，满足正则规则的API资产。 统计周期 设置统计周期。 统计阈值 设置统计阈值。 检测粒度 设置检测粒度，支持设置IP、IP+UA。 举例： 配置自定义接口滥用规则，防护开关为拦截，拦截时间为30分钟，防护对象为GET /aaa，统计周期为10分钟，统计阈值为100，检测粒度的IP。 当在10分钟内统计到某个IP对于GET /aaa的请求次数达到100次，则对该IP后续针对GET /aaa的请求继续拦截，拦截时间为30分钟。

本小节介绍云解析添加A记录操作方法。 使用场景 A记录是用来指定域名的IPv4地址，如果需要将域名指向一个IP地址，就需要添加A记录。 操作方法 1. 登录控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 2. 在域名维护页面，点击要修改的域名进入记录管理页。 3. 单击页面上方的“添加记录”按钮，系统将自动生成一条空白记录。 4. 填写以下信息。 主机记录：一般是指子域名的前缀。 如需实现www.ctyun.cn，主机记录输入“ www”。 如需实现ctyun.cn，主机记录输入“@”。 记录类型：选A记录 线路类型：通常选择默认（默认为必填项，否则会导致部分用户无法解析）。 记录值：输入指定IPv4地址。 TTL：缓存时间，默认为3600秒。 5. 单击“√”完成记录添加。

参数名称 参数描述 告警级别 发现的告警事件的等级。 服务器名称 目标告警对应的服务器。 告警名称 目标告警的名称。 告警时间 发现告警的时间。 攻击源IP 目标告警的IP地址。 攻击源URL 目标告警的URL地址。

本章节主要介绍管理组件和主机监控的操作。 用户在日常使用中，可以在翼MR Manager管理所有组件（含角色实例）和主机的状态及指标信息： 状态信息，包含运行、健康及角色实例状态统计。 指标信息，各组件的主要监控指标项。 管理组件监控 1. 在翼MR Manager页面，点击左侧菜单栏“集群服务”。 2. 在集群服务列表点击任一集群进入。 3. 选择“集群状态”页，展示实例分组健康状态。 状态 描述 告警 集群实例服务曾出现过异常。 故障 集群实例服务产生故障。 正常 集群实例服务已启动。 未监控 集群实例未安装prometheus，服务未监控。 4. 点击任一实例的健康状态后，跳转到角色实例页面，按实例分组显示每个实例组件角色、主机IP、主机名称、部署状态、主机状态、启动状态和健康状态。 管理主机监控 1. 在翼MR Manager页面，点击左侧菜单栏“主机”。 2. 主机页展示主机IP、主机名称、初始化状态、主机状态、健康状态、内存、CPU型号、主机配置、操作系统、描述等字段。 3. 健康状态栏，展示主机健康状态。 状态 描述 告警 集群实例服务曾出现过异常。 故障 集群实例服务产生故障。 正常 集群实例服务已启动。 未监控 集群实例未安装prometheus，服务未监控。 4. 点击主机IP，跳转到主机详情页，展示主机状态、实例列表和告警历史。 5. 点击告警历史，可追溯该主机IP下的历史告警。

本文主要介绍 手动配置Agent（Windows，可选） 操作场景 用户成功安装Agent插件后，推荐您采用“修复插件配置”方式配置Agent。如果“修复插件配置”不成功或其他原因导致无法配置Agent，你可以采用本章节提供的手工方式配置Agent。 约束与限制 Windows类型BMS暂不支持安装Agent。 前提条件 已成功安装Agent插件。 操作步骤 1. 登录ECS。 2. 打开telescopewindowsamd64bin文件夹下的conf.json文件。 3. 配置如下参数，参数说明请参见下表。 plaintext { "InstanceId":"", "ProjectId": "", "AccessKey": "", "SecretKey": "", "RegionId": "cnhz1", "ClientPort": 0, "PortNum": 200 } 表 公共配置参数 参数 说明 InstanceId ECS ID，可通过登录管理控制台，在弹性云主机ECS列表中查看。 说明 InstanceId可不用配置，保持"InstanceId":"",即可，若需要配置，需要遵循如下两条原则： l 该资源ID需保证全局唯一性，即同一个RegionID下Agent使用的InstanceId不能相同，否则系统可能会出现异常。 l InstanceId必须与实际的ECS或BMS资源ID一致，否则云监控服务界面将看不到对应ECS或BMS资源操作系统监控的数据。 ProjectId ProjectId可不用配置，保持"ProjectId": "",即可。若需要配置，请参考已下获取方式。 项目ID，获取方式如下： 登录管理控制台，单击右上角“用户名”，选择“我的凭证”； 在项目列表中，查看ECS或BMS资源对应的所属区域的项目ID。 AccessKey/SecretKey 访问密钥，获取方式如下： 登录管理控制台，单击右上角“用户名”，选择“我的凭证 > 管理访问密钥”； l 如已有访问密钥，查看创建时下载保存的credentials.csv文件中，获取文件中记录的Key值即可； l 如未创建，则通过“新增访问密钥”可创建新的访问密钥，妥善保存credentials.csv文件，并获取文件中记录的Key值。 须知 l 为了安全考虑，建议该用户为IAM用户，并且权限仅为CES Administrator和LTS Administrator 。 l 配置的AccessKey必须在“我的凭证 > 管理访问密钥”列表中，否则将鉴权失败，云监控服务界面看不到操作系统监控数据。 RegionId 区域ID，例如：ECS或BMS资源所属区域为“杭州”，则RegionID为“cnhz1”。 ClientPort Agent占用的起始端口号。 说明 默认为0，表示随机占用。11023为系统保留端口，建议不要配置。 PortNum Agent占用的范围的个数。 说明 默认为200，若ClientPort配置5000，则表示在50005199端口中随机占用。 4. 等待几分钟后，当插件状态为“运行中”并且监控状态开启时，说明Agent已安装成功并开始采集细粒度监控指标。

接口功能介绍 终端节点创建询价 接口约束 URI POST /v4/vpce/querycreateendpointprice 请求参数 请求体Body参数 参数 参数类型 是否必填 说明 示例 clientToken String 是 客户端存根，用于保证订单幂等性, 长度 1 64 79fa97e3c48bxxxx9f466a13d8163678 regionID String 是 资源池ID 81f7728662dd11ec810800155d307d5b cycleType String 是 收费类型：只能填写 ondemand endpointServiceID String 是 终端节点关联的终端节点服务 endpointName String 是 终端节点名称，只能由数字，字母，组成不能以数字和开头，最大长度28 subnetID String 是 子网id subnetxxxx vpcID String 是 vpcxxxx IP String 否 vpc address 192.168.1.1 whitelistFlag int 是 白名单开关 1.开启 0.关闭，默认1 1 whitelist String of Array 否 白名单 ['1.1.1.1/24'] description String 否 描述,内容限制：1、长度限制100 2、支持汉字，大小写字母，数字 3、支持英文特殊字符：~!@ $%^&()+<>?:"{} this is a test 响应参数 参数 参数类型 说明 示例 statusCode Integer 返回状态码（800为成功，900为失败） 800 message String statusCode为900时的错误信息; statusCode为800时为success, 英文 success description String statusCode为900时的错误信息; statusCode为800时为成功, 中文 成功 errorCode String statusCode为900时为业务细分错误码，三段式：product.module.code; statusCode为800时为SUCCESS SUCCESS returnObj Object 业务数据 见下表 表 returnObj 参数名 类型 示例值 说明 totalPrice Float 总价格 336.0 discountPrice Float 折后价格，云主机相关产品有 225.3 finalPrice Float 最终价格 225.3 subOrderPrices Array of Objects 子订单价格信息 见下表 表 subOrderPrices 参数名 类型 示例值 说明 serviceTag String 服务类型 OVMS totalPrice Float 子订单总价格 336.0 finalPrice Float 最终价格 225.3 orderItemPrices Array of Object item价格信息 见下表 表 orderItemPrices 参数名 类型 示例值 说明 resourceType String 资源类型 NETWORK totalPrice String 总价格 246.0 finalPrice String 最终价格 135.3

本文描述弹性容器实例支持的所有系统权限策略及其对应的权限描述，供您授权 IAM 身份时参考。 什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合，可以精确地描述被授权的资源集、操作集以及授权条件。天翼云访问控制（IAM）产品提供了两种类型的权限策略：系统策略和自定义策略。系统策略统一由天翼云创建，策略的版本更新由天翼云维护，用户只能使用不能修改。自定义策略由用户管理，策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。在产品迭代过程中，弹性容器实例会向系统策略中添加新的权限，用来支持新的功能和能力。系统策略的更新将会影响所有授予了该策略的 IAM 身份，包括 IAM 用户、IAM 用户组。 产品系统策略 CtyunECIFullPolicy 您可以将 CtyunECIFullPolicy 策略授权给IAM身份。本策略定义了管理弹性容器实例（ECI）的权限。 shell { "Version": "1.1", "Statement": [ { "Action": [ "eci:containers:createContainerGroup", "eci:containers:deleteContainerGroup", "eci:containers:updateContainerGroup", "eci:containers:describeContainerGroup", "eci:containers:restartContainerGroup", "eci:containers:resizeContainerGroupVolume", "eci:containers:describeContainerGroups", "eci:containers:describeContainerGroupEvent", "eci:containers:describeContainerGroupStatus", "eci:containers:createCommitContainerTask", "eci:containers:deleteCommitContainerTask", "eci:containers:describeCommitContainerTask", "eci:containers:execContainerCommand", "eci:logs:describeContainerLog", "eci:dataCache:createDataCache", "eci:dataCache:deleteDataCache", "eci:dataCache:copyDataCache", "eci:dataCache:updateDataCache", "eci:dataCache:describeDataCaches", "eci:imageCache:createImageCache", "eci:imageCache:deleteImageCache", "eci:imageCache:updateImageCache", "eci:imageCache:describeImageCache", "eci:imageCache:describeImageCaches", "eci:monitors:describeConsoleContainerGroupMetric", "eci:monitors:describeMultiConsoleContainerGroupMetric", "eci:containers:createOpsTask", "eci:containers:describeOpsTask", "eci:virtualNode:createVirtualNode", "eci:virtualNode:deleteVirtualNode", "eci:virtualNode:updateVirtualNode", "eci:virtualNode:describeVirtualNodes", "eci:region:describeRegion", "eci:tag:bindTag", "eci:tag:unbindTag", "eci:tag:listTag", "eci:containers:describeAvailableResource", "eci:containers:describeContainerGroupPrice", "eci:resources:listUsage" ], "Resource": [ "" ], "Effect": "Allow" } ] }

请参见：天翼云DDoS高防IP服务协议

对比： 方案 四层或七层转发 支持高可用 支持HTTPS 优缺点 适用场景 NodePort 四层 是 否 优点：使用简单，无须额外配置 TCP或HTTP服务、访问量不大 NodePort+Nginx 七层 是 是 缺点：需要额外手动部署与配置Nginx HTTPS服务，访问量不大 NodePort+LVS 四层 是 否 缺点：需要额外手动部署与配置LVS TCP或HTTP服务，访问量大 NodePort+Nginx+LVS 七层 是 是 缺点：需要额外手动部署与配置Nginx和LVS HTTPS服务，访问量大 Ingress 七层 是 当前不支持，后续会支持 优点：使用简单；缺点：只支持域名访问，不支持IP访问，需要自行配置DNS服务器 HTTP服务(后续支持HTTPS服务)，访问量不大 Ingress+LVS 七层 是 当前不支持，后续会支持 缺点：需要额外部署LVS，只支持域名访问，不支持IP访问，需自行配置DNS服务器 HTTP服务(后续支持HTTPS服务)，访问量大

理解责任共担模型 在您设计和部署企业应用系统之前，请您充分理解企业自身和天翼云的安全责任边界。 CCE 托管版架构下集群安全的责任共担模型如下所示。 责任对象 责任范畴 责任项 客户 负责业务应用安全防护，云上资源的安全配置和更新 业务应用数据 客户 负责业务应用安全防护，云上资源的安全配置和更新 应用容器进行，应用源码，IAM 客户 负责业务应用安全防护，云上资源的安全配置和更新 RBAC授权、配置管理、安全策略、KubeConfig凭证管理、QoS & Pod Priority、NetworkPolicy 客户 负责业务应用安全防护，云上资源的安全配置和更新 CCE 集群配置 客户 负责业务应用安全防护，云上资源的安全配置和更新 节点池/节点配置 客户 负责业务应用安全防护，云上资源的安全配置和更新 节点OS，kubelet，CRI配置 客户 负责业务应用安全防护，云上资源的安全配置和更新 云网络配置，包括VPC、ELB、安全组、云服务白名单等 天翼云 负责集群托管面组件和基础设施安全 APIServer 天翼云 负责集群托管面组件和基础设施安全 Controller Manager 天翼云 负责集群托管面组件和基础设施安全 Scheduler 天翼云 负责集群托管面组件和基础设施安全 etcd 天翼云 负责集群托管面组件和基础设施安全 CCE 托管面基础设置 CCE 专有版架构下集群安全的责任共担模型如下所示。 责任对象 责任范畴 责任项 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 业务应用数据 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 应用容器进行，应用源码，IAM 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 RBAC授权、配置管理、安全策略、KubeConfig凭证管理、QoS & Pod Priority、NetworkPolicy 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 CCE 集群配置 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 节点池/节点配置 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 节点OS，kubelet，CRI配置 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 云网络配置，包括VPC、ELB、安全组、云服务白名单等 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 APIServer 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 Controller Manager 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 Scheduler 客户 负责业务应用安全防护，云上资源的安全配置和更新，负责控制面组件安全。 etcd 天翼云 负责计算、存储、网络等云产品的基础安全 当您选择 CCE 托管集群中部署虚拟节点时，除集群托管面与基础设施的安全保障外，天翼云还将负责 Pod 底层弹性容器实例（ECI）的运行时安全；而应用 Pod 的重建工作则由客户负责，以确保修复措施生效。 下图展示的是 CCE 集群中调度虚拟节点时的安全责任共担模型。 责任对象 责任范畴 责任项 客户 负责业务应用安全防护，云上资源的安全配置和更新 业务应用数据 客户 负责业务应用安全防护，云上资源的安全配置和更新 应用容器进行，应用源码，IAM 客户 负责业务应用安全防护，云上资源的安全配置和更新 RBAC授权、配置管理、安全策略、KubeConfig凭证管理、QoS & Pod Priority、NetworkPolicy 客户 负责业务应用安全防护，云上资源的安全配置和更新 CCE 集群配置 客户 负责业务应用安全防护，云上资源的安全配置和更新 节点池/节点配置 客户 负责业务应用安全防护，云上资源的安全配置和更新 节点OS，kubelet，CRI配置 客户 负责业务应用安全防护，云上资源的安全配置和更新 云网络配置，包括VPC、ELB、安全组、云服务白名单等 客户 负责业务应用安全防护，云上资源的安全配置和更新 虚拟节点 客户 负责业务应用安全防护，云上资源的安全配置和更新 ECI 容器OS，CRI配置 天翼云 负责集群托管面组件和基础设施安全 APIServer 天翼云 负责集群托管面组件和基础设施安全 Controller Manager 天翼云 负责集群托管面组件和基础设施安全 Scheduler 天翼云 负责集群托管面组件和基础设施安全 etcd 天翼云 负责集群托管面组件和基础设施安全 CCE 托管面基础设置

本小节介绍微隔离防火墙地址对象。 1.地址对象是指某些我们已知的IP地址，这些IP地址配置成地址对象后，便于策略的建立，并且在业务拓扑图中来自地址对象的IP连接会转移到地址表中进行显示，如下图所示： 2.地址对象页面可以对地址对象进行新建、删除、修改操作。 3.点击标识，可新建一条地址对象。地址对象名称唯一，需注意地址的书写格式，IP段用IP地址加掩码表示，如果为单个IP地址也需标注32位掩码，多个地址中间用逗号隔开。 4.点击每条地址对象最右侧的标识，可对地址对象进行修改。 5.勾选对应的地址对象，点击按钮，可进行删除操作。

运营商 运营商编码 :: 中国电信 001 中国联通 002 中国移动 003 中国铁通 004 教育网 005 鹏博士 006

示例2 查询最近发生的5条用户事件。 plaintext [root@hblockserver CTYUNHBlockPlus3.10.0x64] ./stor event ls type user num 5 +++++++ Event Time Event ID Requester IP Module Event Name Status Error Code +++++++ 20240123 14:07:06 f0ffa38c7a8e42539352b19eb4af906c 192.168.0.110 Server RemoveServer 202 20240123 13:55:09 1f312b1949e5440fa132e1fe2cf99385 1.202.233.200 System Login 200 20240123 11:10:46 26f47555b9e64a76bdfecbd4a459b4aa 192.168.0.110 Server SetPath 204 20240123 11:07:09 a97ae9e89d92429fa947c36ccf43fac8 192.168.0.110 Server AddPath 200 20240123 11:01:08 69f5f9f057a7487db4950391d4da8856 192.168.0.110 Server SetServer 204 +++++++ 用户事件描述 项目 描述 Event Time HBlock接收到用户事件请求的时间。 Event ID 用户事件ID。 Requester IP 发起请求的源IP地址。 Moudle 用户事件所属模块。 Event Name 用户事件名称。 说明 用户事件名称描述详见用户事件列表。 Status 响应状态码。 Error Code 错误码。

参数名称 参数说明 域名 防护的域名或IP。 部署模式 防护网站的部署模式，仅支持“独享模式”。 源站IP/端口 客户端访问的网站服务器的公网IP地址和WAF转发客户端请求到服务器的业务端口。 证书 绑定该域名的证书，单击证书名称，可跳转到“证书管理”页面。 近3天威胁 该域名3天内的防护情况。 工作模式 防护模式。点击切换，可选择以下两种防护模式： “开启防护”：开启状态。 “暂停防护”：关闭状态。如果大量的正常业务被拦截，比如大量返回418返回码，可以将“工作模式”切换为“暂停防护”。该模式下，WAF对所有的流量请求只转发不检测。该模式存在风险，建议您优先选择全局白名单（原误报屏蔽）规则处理正常业务拦截问题。 防护策略 显示通过WAF配置的防护策略总数。单击数字可跳转到规则配置页面。 域名接入进度 网站接入WAF未完成的步骤或者接入状态。 创建时间 该域名添加到WAF的时间。

本节介绍了该产品的服务等级协议。 弹性容器实例产品服务等级协议，详情请参见这里。

本文介绍如何修改云堡垒机（原生版）实例的默认路由。 云堡垒机（原生版）实例的默认路由指向用户VPC的默认网关，若用户需要临时修改默认路由，可参考本文进行操作。 注意 本操作仅用于临时修改实例的默认路由，重启实例后修改的默认路由会失效，恢复原有路由。 约束限制 仅v2.12及以上版本支持修改默认路由。若实例版本较低，请参见升级实例版本进行升级。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 4. 选择需要修改默认路由的堡垒机实例，单击“更多 > 修改默认路由”。 5. 进入修改默认路由页面，单击“下一跳网关（仅内网）”列的按钮，在弹出的窗口中配置内网IP地址后，单击“确定”。 6. 单击“是否生效”列的开关，开关开启，修改的默认路由才生效。 7. 配置完成后，单击“确定”。

本节为您介绍数据库迁移工具中 SQL Server源库配置。 数据库账号的权限要求 “用户名”对应的账号需具备sa用户权限。 数据源类型 选定为SQL Server，可评估版本范围内的SQL Server数据库 服务器IP 待评估源端数据库的连接IP 端口号 待评估源端数据库的端口 用户名 用于连接待评估源端数据库的用户名称 密码 用于连接待评估源端数据库的用户的密码 数据库 实际要评估的SQL Server数据库名 模式 实际要评估的SQL Server模式（schema）名称

本节为您介绍数据库迁移工具中 MySQL源库配置。 数据库账号的权限要求 “用户名”对应的账号需具备root权限或者具备以下全部权限：SELECT, SHOW VIEW, TRIGGER, PROCESS 数据源类型 选定为MySQL，可评估版本范围内的MySQL数据库 服务器IP 待评估源端数据库的连接IP 端口号 待评估源端数据库的端口 用户名 用于连接待评估源端数据库的用户名称 密码 用于连接待评估源端数据库的用户的密码 数据库 实际要评估的MySQL数据库名

本节主要介绍NAT64服务组成、产品特性、应用场景和使用限制。 NAT64服务可实现公网IPv6和公网IPv4的网络地址和协议转换，为部署在IPv4网络环境下的业务提供IPv6访问能力，支持通过 IPv6 网络侧用户发起连接访问 IPv4 网络侧的资源。 NAT64实例创建成功后，可以自主添加多个公网IP，快速进行NAT64转换，为原有的服务提供对应的IPv6访问能力。可以在一个NAT64实例中按需配置多个NAT64转换关系，同时还提供了细粒度的IP黑白名单能力，保证网络安全。 产品特性 NAT服务转换，每个公网IPv4地址在做NAT64后会有一个唯一的公网IPv6地址。 快速部署，只需要把已有的公网IPv4做NAT64映射，即可实现业务的IPv6访问能力。 支持添加白名单或者黑名单实现访问控制。 应用场景 部署在云上的服务，其通过对公网IPv4地址做NAT64后，原有的服务可以同时为IPv4和IPv6网络提供服务访问能力。 使用限制 限制 说明 IPv4公网地址 当前支持的IPv4公网地址为云上的公网IP。 单向访问 在做NAT64后，只支持从公网单向访问转换后的IPv6地址。

分类 名称 通用概念 函数、运行时、版本、别名、层、触发器、自定义域名 实例相关 弹性实例、按量模式、预留模式、冷启动 函数调用 同步调用、异步调用 计费相关 按量付费、资源包

本文介绍了iptables配置和使用。 CentOS7系统默认的防火墙是Firewalld。但是，仍有大量用户习惯于在CentOS7系统中使用iptables。本文以CentOS7.9为例，说明在CentOS7系统中如何安装并使用iptables。 禁止firewalld开机启动 为了防止与iptables产生冲突，您需要先禁用Firewalld开机自启 1.连接Centos7.9实例，关于如何连接实例可参考登录Linux弹性云主机 2.执行如下命令查看服务状态 bash systemctl status firewalld 3.当服务处于active状态，运行以下命令关闭Firewalld服务。 bash systemctl disable firewalld now 安装iptables 执行如下命令，安装iptables： bash yum install y iptablesservices 启动iptables并开启开机自启： bash systemctl enable iptables.service now 验证iptables是否启动成功 bash systemctl status iptables.service 查看并修改iptables默认规则 执行 iptables L命令，查看iptables默认规则，发现在默认规则下，INTPUT链允许来自任何主机的访问，可以参考如下步骤修改默认规则。 1.如果之前已经设置过规则，建议执行如下命令，备份原有的iptables文件，避免之前设置的规则丢失。 bash cp a /etc/sysconfig/iptables /etc/sysconfig/iptables.bak 2.执行如下命令，清空所有规则。 bash iptables F 3.根据业务需求添加规则，放行或者禁用端口。示例：依次执行如下命令，放行80端口和22端口。 bash iptables I INPUT p tcp dport 80 m state state NEW j ACCEPT iptables I INPUT p tcp dport 22 m state state NEW j ACCEPT 示例：依次执行如下命令，添加规则，使INPUT链拒绝所有请求，即ECS实例会拒绝所有请求。如果是线上业务请勿直接操作，会直接中断业务。 bash iptables P INPUT DROP 4.执行如下命令，确认新规则生效。 bash iptables L 5.执行如下命令，保存添加的规则。 bash iptablessave > /etc/sysconfig/iptables 6.批量导入规则 bash iptablesrestore < 文件名称

查看消费进度（Kafka客户端） 未开启SASL的Kafka实例，在“/{命令行工具所在目录}/kafka{version}/bin/”目录下，通过以下命令查询消费进度。 ./kafkaconsumergroups.sh bootstrapserver {brokerip}:{port} offsets describe allgroups 已开启SASL的Kafka实例，通过以下步骤查询消费进度。 （可选）如果已经设置了SSL证书配置，请跳过此步骤。否则请执行以下操作。在Kafka客户端的“/config”目录中创建“ssluserconfig.properties”文件，参考步骤3增加SSL证书配置。 在“/{命令行工具所在目录}/kafka{version}/bin/”目录下，通过以下命令查询消费进度。 ./kafkaconsumergroups.sh bootstrapserver {brokerip}:{port} offsets describe allgroups commandconfig ./config/ssluserconfig.properties

天翼云为您提供对象存储服务等级协议,请您点击查看。 自2021年11月11日起，新版对象存储服务等级协议生效，详情请参见这里。 中国电信天翼对象存储系统服务等级协议 历史版本（2012年11月10日）

域名解析不生效如何处理？ 解析不生效主要是指DNS查询请求的结果与您在云解析DNS中的设置不一致，或者指DNS查询请求未能查询到域名指向的服务器IP地址。建议参考“影响域名解析生效的原因？”排查。

VPC终端节点产品API说明： 类型 描述 :: 终端节点 包含了对终端节点的创建、更新、删除、查询等API 终端节点服务 包含了对终端节点服务的创建、更新、删除、查询等API 终端节点服务规则 包含了对终端节点服务规则的创建、删除、查询等API 终端节点服务中转IP 包含了对终端节点服务中转IP的创建、删除、查询等API

本节介绍如何配置VPC边界防护的黑白名单规则。 添加黑白名单规则 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“访问控制 > VPC边界规则”，进入VPC边界规则页面。 3. 选择“黑名单规则”或“白名单规则”页签，单击“添加黑名单”或“添加白名单”，在弹出的添加黑白名单页面中，填写规则信息。 参数说明如下： 参数名称 参数说明 地址方向 可选择“源地址”或“目的地址”。 源地址：访问流量中的发送数据包的IP地址。 目的地址：访问流量中的接收数据包的IP地址。 名称 自定义规则名称。名称长度不能超过100个字符。 IP地址 支持输入IPv4地址或使用已添加的地址簿： 输入IPv4：使用“/”隔开掩码，如192.168.2.0/24，0.0.0.0/0表示任意地址。 地址簿选择：通过下拉框选择已添加的IP地址簿，添加IP地址簿请参见添加IP地址簿。 描述 （可选）自定义规则描述。 4. 以上所有的字段填写完毕后，点击“确认”时，需要校验这条规则加入后，是否超过客户剩余的规格，若未超过则生成相应的防护规则。 删除黑白名单 单击黑白名单列表操作中的“删除”，弹出删除确认框，确定后删除该黑白名单规则，若是“取消”则关闭对话框。

本章节介绍如何AI网关接入点相关操作。 概述 目前AI网关的接入点为弹性负载均衡ELB，实现网关多节点入站负载均衡和公网访问暴露，支持绑定一个或多个ELB作为网关入口，从而将访问流量自动分发到多台网关节点，实现更高水平的应用程序容错性能。 标准版及以上规格的AI 网关均采用高可用部署，具备多节点架构。通过接入天翼云弹性负载均衡产品 ELB，可实现对多个网关节点的流量分发、故障自动剔除等能力，并同时支持 HTTP 和 HTTPS 协议。 对于有公网访问需求的业务场景，可通过为弹性负载均衡绑定 EIP，实现网关服务的公网访问能力。 绑定ELB 1. 登录AI网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择AI网关实例，进入实例列表页。 3. 在网关列表页单击需要查看的网关实例ID或者实例名称 。 4. 在左侧导航栏，单击概览，然后单击接入点。 5. 单击绑定ELB，在绑定ELB面板中配置ELB参数，单击左下角确认按钮。 6. 弹窗展示绑定任务执行情况，刚绑定时关联状态为进行中，系统会自动刷新，直至关联状态更新为绑定成功。 7. 在网关入口区域可以查看新绑定的ELB 。 ELB配置参数说明 参数 描述 类型 支持公网和私网 ELB 选择同VPC下的ELB实例，若您还没有ELB实例，请先创建ELB实例。 HTTP端口 配置HTTP端口 HTTPS端口 配置HTTPS端口 注意 80、443、8080、8443常见敏感端口需进行备案后才可配置。

本文介绍SSL证书管理。 SSL证书管理功能是：通过加密存储用户的证书，方便用户管理和使用SSL证书。用户能看到证书的过期时间、证书的通用域名和证书的其它域名等信息，方便用户及时了解证书使用的范围和证书是否将要过期。用户在购买负载均衡实例添加监听器的时候可以快速地使用创建好的证书，方便用户快速使用。 上传SSL证书 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性负载均衡>SSL证书】，点击右上角【+添加自有证书】。 3. 输入证书备注名，然后分别点击上传或输入证书内容和私钥文件；上传证书时，证书的格式要求是：证书包含证书的公钥和签名等信息，证书扩展名为”.crt”或” .cer”，证书内容格式以“BEGIN CERTIFICATE”作为开头，以“END CERTIFICATE”作为结尾；私钥的格式要求是：为对应证书的私钥，私钥扩展名为”.key”或”.pem”，私钥内容格式以“BEGIN RSA PRIVATE KEY”作为开头，以“END RSA PRIVATE KEY” 作为结尾。 4. 填写相关证书密钥后，单击【提交】，SSL证书创建完成，可以在SSL证书列表查看已创建的SSL证书。 查看SSL证书列表 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性负载均衡>SSL证书】。 3. 在SSL证书列表可以查看已创建的SSL证书。 查看SSL证书详情 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性负载均衡>SSL证书】。 3. 在SSL证书列表中单击证书备注名，可进入证书详细页查看基本信息。

本文主要介绍节点伸缩原理。 HPA是针对Pod级别的，但是如果集群的资源不够了，那就只能对节点进行扩容了。集群节点的弹性伸缩本来是一件非常麻烦的事情，但是好在现在的集群大多都是构建在云上，云上可以直接调用接口添加删除节点，这就使得集群节点弹性伸缩变得非常方便。 Autoscaler是Kubernetes提供的集群节点弹性伸缩组件，根据Pod调度状态及资源使用情况对集群的节点进行自动扩容缩容。 前提条件 使用节点伸缩功能前，需要安装autoscaler插件，插件版本要求1.13.8及以上。 Autoscaler工作原理 Autoscaler（简称CA）的主要流程包括两部分： ScaleUp流程： CA会每隔10s检查一次所有不可调度的Pod，根据用户设置的策略，选择出一个符合要求的节点组进行扩容。 ScaleDown流程：CA每隔10s会扫描一次所有的Node，如果该Node上所有的Pod Requests少于用户定义的缩容百分比时，CA会模拟将该节点上的Pod是否能迁移到其他节点，如果可以的话，当满足不被需要的时间窗以后，该节点就会被移除。 如上所述，当集群节点处于一段时间空闲状态时（默认10min），会触发集群缩容操作。 当节点存在以下几种状态的pod时，不可缩容： 1. 节点上的pod有设置PodDisruptionBudget，当移除pod不满足对应条件时，节点不会缩容。 2. 节点上的pod由于一些限制，如亲和、反亲和或者taints等，无法调度到其他节点，节点不会缩容。 3. 节点上的pod拥有"clusterautoscaler.kubernetes.io/safetoevict": "false"这个annotations时，节点不缩容。 4. 节点上存在kubesystem namespace下的Pod（除kubesystem daemonset创建的Pod），节点不缩容。 5. 节点上有非controller（deployment/replica set/job/stateful set）创建的Pod，节点不缩容。

本节为您介绍自建PostgreSQL迁移至自建人大金仓任务配置。 前提条件 自建人大金仓目标端版本为KingbaseESV7、V8版本 目标端权限要求 迁移模式 所需权限 全量迁移 数据库模式的owner角色 结构迁移 数据库模式的owner角色 增量迁移 用户为超级用户或者复制角色 稽核修复 数据库模式的owner角色 目标端配置 数据源类型 选定为KingbaseES，可将源端迁移至版本范围内的KingbaseES数据库 服务器IP 目标端数据库的连接IP 端口号 目标端数据库的端口 用户名 用于连接待目标端数据库的用户名称 密码 用于连接待目标端数据库的用户的密码 数据库 目标端用于接收源端数据的数据库名称 模式 目标端用于接收源端数据的模式（schema）名称