参数名称 说明 Agent ID Agent的ID，由系统自动生成。 安装节点类型 安装节点的类型，包括“数据库端”或“应用端”。 安装节点IP 安装Agent的节点的IP地址。 操作系统 安装Agent运行的操作系统。 审计网卡名称 安装节点的网卡名称。 CPU阈值(%) 安装节点的CPU阈值，缺省值为“80”。 说明 当安装节点的CPU超过设定的阈值时，Agent将停止工作。您可以直接升级服务器的CPU。 内存阈值(%) 安装节点的内存阈值，缺省值为“80”。 说明 当安装节点的内存超过设定的阈值时，Agent将停止工作。您可以直接升级服务器的内存。 通用 Agent是否为通用Agent。 运行状态 安装节点的运行状态。

本文介绍如何免密拉取CRS镜像。 对于天翼云容器镜像服务CRS的镜像，弹性容器实例ECI支持免密拉取，以提升效率和安全性。 前提条件 1. 账号已经在容器镜像服务创建个人版或者企业版镜像仓库，并完成配置且上传所需的容器镜像。容器镜像仓库服务文档参考：容器镜像服务文档。 2. 集群已安装插件cubecredentialhelper。 配置说明 创建工作负载时“选择镜像”，弹出的镜像选择页面选择所需镜像，即可实现自动免密拉取。

参数名称 参数说明 取值样例 区域 必选参数。 不同区域的云服务产品之间内网互不相通，请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 可用区 必选参数。 可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。一个区域内有多个可用区，一个可用区发生故障后不会影响同一区域内下的其它可用区。 此处建议您同时选择两个可用区，表示企业路由器将同时部署在这两个可用区内，属于双活模式，为业务容灾提供可靠保障。 两个可用区均部署企业路由器时，可用区内流量遵循本地优先原则，即优先访问同一个可用区内的企业路由器，减少时延，提升访问速率。 可用区1 可用区2 名称 必选参数。 输入企业路由器的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 ertest01 ASN 必选参数。 自治系统（AS）是一个实体管辖下拥有相同选路策略的IP网络。在边界网关协议（BGP）网络中，每个AS都被分配一个唯一的自治系统编号 (ASN)，用于区分不同的AS。 您可以使用默认ASN，也可以在6451265534或42000000004294967294范围内指定专用ASN。 对于同一个区域内的组网，您可以将其视为一个自治系统，企业路由器的ASN使用默认或者在指定范围内选择任意一个即可。 64512 默认路由表关联 可选参数。 默认开启。 为了简化您后续的网络配置，此处建议您开启“默认路由表关联”功能，开启之后： 创建企业路由器时，系统会自动创建名称为“defaultRouteTable”的路由表，将其作为默认关联路由表。 默认关联路由表支持修改，企业路由器创建完成后，您可以创建新的路由表，并将新的路由表设置为默认关联路由表。 设置完默认关联路由表后，在企业路由器中新创建连接时（比如连接A），会自动为连接A在默认关联路由表中创建关联。 开启 默认路由表传播 可选参数。 默认开启。 为了简化您后续的网络配置流程，此处建议您开启“默认路由表传播”功能，开启之后： 创建企业路由器时，系统会自动创建名称为“defaultRouteTable”的路由表，将其作为默认传播路由表。 同时开启“默认路由表关联”和“默认路由表传播”功能，则默认关联路由表和默认传播路由表为同一个路由表，均为系统创建的名称为“defaultRouteTable”的路由表。 默认传播路由表支持修改，企业路由器创建完成后，您可以创建新的路由表，并将新的路由表设置为默认传播路由表。 设置完默认传播路由表后，在企业路由器中新创建连接时（比如连接A），会自动为连接A在默认传播路由表中创建传播。 开启 自动接受共享连接 可选参数。 作为企业路由器的所有者，您可以将企业路由器共享给其他帐号的接受者，接受者可以在共享企业路由器中创建连接。 关闭该选项，接受者创建的连接需要所有者审批，所有者接受后才会创建。 开启该选项，接受者创建的连接会被自动接受，无需所有者审批。 关闭 企业项目 必选参数。 创建企业路由器时，需要将企业路由器加入已有的企业项目内。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 default 标签 可选参数。 您可以在创建企业路由器的时候为企业路由器绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 “标签键”：test “标签值”：01 描述 可选参数。 您可以根据需要在文本框中输入对该企业路由器的描述信息。

操作场景 如果您已创建七层HTTP或者HTTPS监听器并且创建了转发策略，您可以根据实际业务需求，更换转发策略绑定的后端主机组。 使用限制 只能更换成和负载均衡实例相同VPC下的主机组。 监听器协议和后端主机组的协议要满足对应关系。 操作步骤 1. 登录天翼云控制中心。 2. 进入网络控制台，选择“网络>弹性负载均衡”，进入负载均衡详情页。 3. 在监听器列表找到对应的监听器，点击右侧操作>更多>转发策略，进入转发策略列表。、 4. 在转发策略列表选择某个转发策略，点击操作>更换后端主机组。 5. 根据业务需要选择合适的后端主机组，点击“确定”按钮即可完成。

本文帮助您快速熟悉创建IPv4/IPv6双栈子网的操作方法。 1. 登录控制中心； 2. 在系统首页，单击【网络 > 虚拟私有云】； 3. 选择需要创建子网的VPC，并单击【子网】，在【子网】页签，单击【创建子网】； 4. 在【创建子网】下拉区域，根据界面提示配置参数； 5. 勾选“开启IPv6”，将自动为子网分配IPv6网段。该功能一旦开启，将不能关闭。暂不支持自定义设置IPv6网段。如下图： 6. 在子网列表中单击子网名称，在“已用IP地址”页签可以查看已经使用的IPv4地址和IPv6地址。

本文介绍天翼云CDN加速媒体存储资源的实例。 CDN加速 天翼云CDN加速，是基于天翼云遍布全球的网络节点提供的内容分发加速服务。通过将网站、视频和应用等文件内容分发至用户附近的节点，解决因跨运营商访问、跨地域访问、服务器带宽及性能瓶颈带来的访问延迟问题，使用户可以快速和安全地获取所需内容。 媒体存储 天翼云媒体存储是天翼云为客户提供的云存储产品，采用分布式存储技术构建，满足海量视频、图片及其它非结构化数据存取、处理及弹性扩展要求；支持块、文件及对象等标准协议接口，对于门户网站、视频网站等，通过对象存储提供的网站托管功能，将整个网站托管在对象存储中，可直接向用户提供网站访问服务，帮助用户节省资本投入及人工维护成本。同时，通过对象存储的高并发支持能力，帮助用户更好地解决网站频繁访问时的页面崩溃问题。 加速分发实践 天翼云CDN可为媒体存储上存储的静态资源（包括静态脚本、图片、音频、视频等文件）进行全国加速分发。利用天翼云CDN全国加速节点和全国负载均衡调度的能力，可以将热点资源提前下发至边缘节点，当终端用户发出资源访问/下载请求的时候，可就近获取所需要的资源。降低了源站压力，减少了传输延迟，显著提升用户体验。

告警通知是什么，分为几类？ 告警通知是告警状态触发时所采取的行为，用户可以在创建、修改告警的时候设置通知，也可以关闭通知。 通知目前支持两种： 触发告警时给用户发送邮件或短信通知。 触发弹性伸缩自动扩容和缩容。 告警状态有哪些？ 目前云监控服务支持五种告警状态： 告警中、已解决、数据不足、已失效、已触发。 告警中：监控指标数值达到告警配置阈值，资源正在告警中； 已解决：监控指标数值恢复至正常区间，资源的告警已解决； 数据不足：连续三个小时未有监控数据上报，通常是由于相应服务实例被删除或状态异常导致； 已触发：监控的资源触发了告警策略中配置的事件； 已失效：告警规则中监控的资源或告警策略有调整，原有的告警记录状态失效。 告警级别有哪些？ 告警级别分为紧急，重要，次要，提示四种级别，其中告警规则的告警级别由用户设置，用户可根据自己业务及告警规则设置合理告警级别，四种级别简单说明如下： 紧急告警：告警规则对应资源发生紧急故障，影响业务视为紧急告警。 重要告警：告警规则对应资源存在影响业务的问题，此问题相对较严重，有可能会阻碍资源的正常使用。 次要告警：告警规则对应资源存在相对不太严重点问题，此问题不会阻碍资源的正常使用。 提示告警：告警规则对应资源存在潜在的错误可能影响到业务。

本文以思科防火墙为例介绍如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 背景信息 VPC和本地IDC的网络配置如下： 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 前提条件 您已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 配置IKEv1 VPN 协议 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group2 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK aa123bb IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group2 IPsec 生命周期 3600 IPsec 传输协议 ESP 操作步骤 1. 登录防火墙设备的命令行配置界面。 2. 配置isakmp策略。 crypto isakmp policy 1 authentication preshare encryption aes hash sha group 2 lifetime 86400 3. 配置预共享密钥。 crypto isakmp key aa123bb address 121.XX.XX.113 4. 配置IPsec安全协议。 crypto ipsec transformset ipsecpro64 espaes espshahmac mode tunnel 5. 配置ACL（访问控制列表），定义需要保护的数据流。 accesslist 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255 accesslist 100 permit ip 10.10.10.0 0.0.0.255 192.168.11.0 0.0.0.255 如果本地网关设备配置了多网段，则需要分别针对多个网段添加ACL策略。 6. 配置IPsec策略。 crypto map ipsecpro64 10 ipsecisakmp set peer 121.XX.XX.113 set transformset ipsecpro64 set pfs group2 match address 100 7. 应用IPsec策略。 interface g0/0 crypto map ipsecpro64 8. 配置静态路由。 ip route 192.168.10.0 255.255.255.0 121.XX.XX.113 ip route 192.168.11.0 255.255.255.0 121.XX.XX.113 9. 测试连通性。 您可以利用您在云中的主机和您数据中心的主机进行连通性测试。

本节主要介绍如何使用API删除iSCSI target连接。 此操作用来删除iSCSI target连接。 请求语法 plaintext DELETE /rest/v1/block/connection/targetName?initiatorNameinitiatorName&targetIPtargetIP HTTP/1.1 Date: date Host: ip:port Authorization: authorization 请求参数 参数 描述 是否必须 targetName String 删除的连接所属的iSCSI target名称。 取值：长度范围是1~16，可以由小写字母、数字、句点（.）和短横线（）组成，且仅支持以字母或数字开头。 是 initiatorName String 删除的连接所属的intiator名称。 取值： 若使用Windows iSCSI 发起程序，initiatorName为“发起程序名称”。 若使用Linux iSCSI 发起程序，initiatorName为使用cat /etc/iscsi/initiatorname.iscsi指令取得“InitiatorName”。 否 targetIP String 要删除连接所对应的iSCSI target IP。 否 请求示例 删除iSCSI target名称为target02、发起程序名称为iqn.199105.microsoft:ecs28f3、targetIP为192.168.0.72的连接。 plaintext DELETE /rest/v1/block/connection/target02?initiatorNameiqn.199105.microsoft:ecs28f3&targetIP192.168.0.72 HTTP/1.1 Date: Wed, 16 Mar 2022 03:24:59 GMT Host: 192.168.0.121:1443 Authorization: HBlock userName:signature 响应示例 plaintext HTTP/1.1 204 No Content Date: Wed, 16 Mar 2022 03:24:59 GMT Connection: keepalive ContentType: application/json; charsetutf8 xhblockrequestid: acec0eaf2909485992e90032ce587604 Server: HBlock

参数 参数说明 计费模式 公网NAT网关支持按需计费。 区域 公网NAT网关所在的区域。 名称 公网NAT网关名称。 最大支持64个字符，仅支持数字、字母、（下划线）、（中划线）。 虚拟私有云 公网NAT网关所属的VPC。VPC仅在购买公网NAT网关时可以选择，后续不支持修改。 子网 公网NAT网关所属VPC中的子网。子网至少有一个可用的IP地址。子网仅在创建公网NAT网关时可以选择，后续不支持修改。 规格 公网NAT网关的规格。公网NAT网关共有小型、中型、大型和超大型四种规格类型，可通过“了解更多”查看各规格详情。 描述 公网NAT网关信息描述。最大支持255个字符。

本章节主要介绍如何变更集群规格。 相比于扩容节点而言，变更规格功能更适合阶段性峰值或只对计算能力变化有诉求的业务场景，在业务峰值来临之前您可以通过变更规格快速提升集群计算能力，在业务峰值过后再快速的将集群配置降低，做到最大程度的节约成本。 说明 变更规格功能仅8.1.3.110及以上版本支持，历史版本需要联系技术支持人员升级Agent为8.1.3.110版本后支持。 当前仅支持离线变更规格，变更时间大约需要10分钟左右。 变更规格目前仅支持ECS+EVS形态的云数仓集群。 操作步骤 1.登录DWS 管理控制台。 2.单击“集群管理”。默认显示用户所有的集群列表。 3.集群列表中，在需要变更的集群所在行的 “操作” 列，选择“更多>规格变更”，系统将显示“规格变更”页面。 4.在“规格变更”页面，选择需要变更的项目。 a.弹性变更规格 选择目标规格，您可根据需求选择是否打开自动备份开关。 注意 降配变更即选择比集群当前规格低的目标规格，进行此操作可能会影响集群性能，请谨慎评估业务后进行操作。 b.弹性磁盘扩容 选择目标存储量。 5.单击"下一步：确认"按钮，提交集群变更规格任务。 6.返回集群列表，集群将显示“规格变更中”，请耐心等待10分钟左右。

网站及应用加速 业务挑战：特殊时间节点，比如选课、成绩查询、招生报名、填报志愿时，易导致访问流量激增，访问卡顿，甚至掉线。 方案优势：天翼云全站加速凭借全球2300+三网节点覆盖，通过智能调度，传输优化等自研技术，可实时计算优质回源路径，时刻保障访问体验。 动态指令互动 业务挑战：老师在线教学过程中，涉及白板、笔记、解题信息等实时指令交互，这类指令一般采用非标准的HTTP、HTTPS进行传输，访问延迟高，易导致教学体验差。 方案优势：天翼云可以实现动态指令跨地区跨运营商高效传输，显著降低访问延迟。 高可用性 业务挑战：全国师生同时在线，用户爆发式增长，并发极大，源站承压及扩容能力低，需要保障在线教育的持续高可用性。 方案优势：天翼云全站加速提供源站监控、多源负载均衡、节点热备，实时弹性扩容等，可实现多源异地灾备，保障业务连续性和高可用性。 方案价值 极致用户体验 纯自研缓存、流量调度、动态选路等关键技术，打造坚实的CDN基础能力，保障客户获得全球优质的访问体验。 数据安全传输 支持全链路HTTPS安全传输，HTTPS双向认证，防劫持防篡改，保护数据安全。 高可用保障 分布式三网节点弹性扩容、丰富负载均衡策略、源站监控，助力构建高可用的网络架构。 优质资源及链路 国内拥有1800+个节点覆盖，150T+的业务承载能力，覆盖多运营商、主要省份和城市无盲点。海外覆盖遍布亚洲、美洲、欧洲、非洲等主要国家和城市。 精细化属地支持 31省本地化的销售网络体系，724小时技术支持，VIP客户一对一专属项目经理。

名称 二级节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Array resId Integer 数据库资源唯一标识 databaseName String 数据库名称 querySql String 查询的语句 userName String 用户名 clientAddress String 客户端ip clientPort Integer 客户端端口 queryStart String 查询开始时间 queryEnd String 查询结束时间 queryPlan String 查询计划 queryCost Integer 耗时，单位:ms

项目 描述 卷名称 包括卷名称和卷编号，括号内容是卷编号。 卷编号：LUN在target下的编号，由存储系统分配，对应客户端挂载存储设备时设备地址中的LUN ID。如果target下只有一个LUN，LUN的编号一般为0。 状态 卷目前处于的状态： 正常。 删除中。 删除失败。 还原中。 还原失败。 回滚中。 断开链接中。 导入数据中。 清空数据中。 清空数据失败。 挂起中，同时显示待上传数据。 挂起。 挂起失败。 容量 卷的容量 存储模式 卷的存储模式： 本地模式：数据全部保留在本地。 缓存模式：本地保留部分热数据，全部数据异步存储到对象存储中。 存储模式：本地保留全部数据，并异步存储到对象存储中。 冗余模式 卷冗余模式（仅集群版支持）： 单副本。 两副本。 三副本。 EC N+M。 最小副本数 最小副本数（仅集群版支持）。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。 对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 折叠副本数 卷的折叠副本数（仅集群版支持）。 缓存存储池 卷的缓存存储池（仅集群版支持），如果指定了缓存存储池，卷数据首先写入缓存存储池，然后再存入存储池。 存储池 卷的最终存储池（仅集群版支持），卷数据最终落在该存储池内。 快照数量 卷的快照个数。 快照大小 卷关联的快照大小的总和，即快照记录的数据量。 注意 卷异常或上游快照删除等因素可能导致快照大小波动。 克隆卷 卷是否为克隆卷。 唯一标识 卷的唯一标识符。 如果客户端连接卷的时候，HBlock端有多个卷，可以通过卷的唯一标识符来确认所要连接的卷。 iSCSI目标 IQN名称 卷关联iSCSI目标对应的IQN名称。 iSCSI目标 服务器ID IQN所在的服务器ID。 iSCSI目标 状态 iSCSI目标状态： 主：主target。 热备：热备target。 冷备：冷备target。 离线：离线target。 iSCSI目标 IP:Port iSCSI目标对应的IP地址和端口。 iSCSI目标 门户IP iSCSI目标门户IP和端口。 若服务器与客户端不在同一网段（如服务器位于内网，客户端位于外网），通过NAT设备（如路由器）进行连接，则需要将NAT设备的外网地址和端口添加到服务器，从而使得外网的客户端可以正常与该服务器的target建立iSCSI连接。

3、创建快照（VolumeSnapshot） 进入主菜单“存储”——“快照与备份”，选择快照，单击左上角“创建快照”； 在创建对话框，配置快照的相关参数。配置项说明如下： 参数配置完成后，点击“确定”。创建成功后，可以在快照列表查看。 配置项 说明 名称 VolumeSnapshot 名称。 存储类型 这里选择云盘。 具体创建页中展示的存储类型由当前资源池支持情况决定。 快照类 选择上一步创建的VolumeSnapshotClass 。 存储卷声明 选择要创建快照的PVC，仅能选择云硬盘类型PVC。 注意 只有当快照状态变为“就绪”时，才表示快照真正创建完成。 通过控制台使用云盘快照 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 “存储”——“快照与备份”，进入快照列表页，选择指定快照，点击操作“创建存储卷快照PVC”。 在创建对话框，配置PVC的相关参数。配置项说明如下： 配置项 说明 名称 PVC的名称。 存储声明类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择云盘。 具体创建页中展示的存储类型由当前资源池支持情况决定。 StorageClass名称 选择上一步创建的StorageClass。 容量 最小容量为快照大小。 卷模式 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 这类卷以块设备的方式交给 Pod 使用，其上没有任何文件系统。 这种模式对于为 Pod 提供一种使用最快可能方式来访问卷而言很有帮助， Pod 和卷之间不存在文件系统层。 说明：如果使用共享盘存储，卷模式仅支持块设备（Block）。 访问模式 单机读写（ReadWriteOnce）：卷可以被一个节点以读写方式挂载 多级只读（ReadOnlyMany）：卷可以被多个节点以只读方式挂载 多机读写（ReadWriteMany）：卷可以被多个节点以读写方式挂载 说明：如果使用非共享盘存储，访问模式不能为ReadWriteMany或者ReadOnlyMany。仅卷模式为块设备（Block）时，才可以使用共享盘，访问模式才可以为ReadWriteMany或者ReadOnlyMany。 参数配置完成后，点击“确定”。创建成功后，可以在持久卷声明列表查看。 进入持久卷声明列表页，等待PVC状态为“已绑定” 。此时，进入主菜单“存储”——“持久卷“，可以看到对应的PV创建 。 如果PVC一直未绑定，可以查看进入对应PVC详情页查看事件，或者查看cstorcsi日志进行定位。 注意 当源盘PVC的卷模式与基于该源盘快照创建的新PVC的卷模式不一致时，可能导致数据层面的异常。 例如：当源盘PVC是Block的卷模式，而源盘快照创建的新PVC的卷模式为Filesystem，则新的PVC在pod使用时会格式化成用户想要的文件系统，由于源盘中的数据为非文件系统格式，外部组件无法识别其内容，可能将其视为无效数据并进行覆盖，从而导致原有数据丢失。 因此，用户需确保源盘PVC的卷模式与基于其快照创建的新PVC的卷模式保持一致。 此外，若源盘PVC使用的文件系统为非常规类型，或文件系统本身存在兼容性损耗，可能导致CSI调用Linux命令时无法正确识别该文件系统，进而触发文件系统重建，造成数据丢失风险。

本节介绍 如何解决网站扫描失败，报连接超时的问题。 网站扫描任务失败，报错为连接超时，可能原因与解决办法如下。 1. 您的被测网站不稳定或无法通过互联网访问，请使用Chrome等浏览器访问网站，确认是否正常访问。 2. 您的网站设置了防火墙或其他安全策略，导致漏洞扫描的引擎IP被当成恶意攻击而拦截。

枚举参数 无 请求示例 请求url 请求头header 无 请求体body { "clusterid": "22cbc1c6c69e5abe863e43a091cd02b7", "nodegroupname": "core1", "count": 1, "scalewithoutstart": true } 响应示例 请求成功示例： { "statusCode": 200, "message": "success", "returnObj": { "orderNo": "20221018153152727265" } } 请求失败示例1： { "statusCode": 500, "error": "EMR400000", "message": "请求失败", "returnObj": {} } 请求失败示例2： { "statusCode": 500, "error": "EMR400000", "message": "请求失败", "returnObj": "当前资源存在在途单 不允许重复提交，产品规格实例ID：0cfc7bb1e6ae48649a1749d0b5b3ad11，在途单的订单号：20241206151843080993" } 验签失败示例： { "statusCode": 500, "error": "EMR401000", "message": "OpenAPI认证失败", "returnObj": {} } 实名认证失败示例： { "statusCode": 500, "error": "EMR401009", "message": "账号未进行实名认证", "returnObj": {} } 非法操作示例： { "statusCode": 500, "error": "EMR401004", "message": "非法操作", "returnObj": {} } 请求参数类型错误示例： { "statusCode": 500, "error": "EMR401001", "message": "请求参数类型错误", "returnObj": "{"count": "应为int范围内整数"}" } 请求参数值无效示例： { "statusCode": 500, "error": "EMR401002", "message": "请求参数值无效", "returnObj": "{"count": "不能为空"}" } 运维约束示例： { "statusCode": 500, "error": "EMR401010", "message": "存在与之约束的运维操作", "returnObj": {} } 服务异常示例： { "statusCode": 500, "error": "EMR401011", "message": "存在服务异常，正在为您加速处理中", "returnObj": {} } 规格不足示例： { "statusCode": 500, "error": "EMR401012", "message": "规格已售罄", "returnObj": {} } IP不足示例： { "statusCode": 500, "error": "EMR401013", "message": "子网下IP余量不足", "returnObj": {} }

本文介绍如何选择合适的动态回源策略。 功能介绍 在介绍动态回源策略之前，我们先介绍如何区分动态请求和静态请求？天翼云边缘安全加速平台安全与加速服务根据您配置的缓存规则来区分动静态请求，有配置缓存规则的被当作静态请求处理，其他请求将被当作动态请求处理。 如果您的域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式；静态回源策略默认轮询回源，无需配置。 择优回源：顾名思义，即根据边缘节点探测源站的结果，选择最快的源站回源。 按权重回源：根据每个源站配置的不同权重，轮询回源。默认所有源站权重相同，支持对不同源站配置不同的权重。 保持登录：基于客户端IP进行哈希计算，保证相同客户端IP的多次请求始终访问到相同的源站。 注意事项 基础版、高级版、企业版、旗舰版支持动态加速能力。 动态回源策略仅对动态请求生效，默认为择优回源。 静态请求默认轮询回源。 配置说明 1.登录客户控制 2.在域名列表页面，点击目标域名“详情”。 3.进入站点加速网络优化页面，点击“编辑配置”。 4.选择合适的动态回源策略。

本节介绍NFS协议的文件存储如何挂载到Linux系统的边缘虚拟机上。 操作场景 当创建文件存储后，您需要使用边缘虚拟机来挂载该文件存储，以实现多个边缘虚拟机共享使用文件存储的目的。 同一文件存储不能同时支持 NFS 协议和 SMB 协议。 边缘裸金属服务器操作与边缘虚拟机一致，但裸金属服务器使用的是 underlay 的 VPC 网络挂载文件存储。 前提条件 在需要操作的地域创建虚拟私有云 VPC。 已创建该 VPC 下的边缘虚拟机，并根据操作系统类型，安装相应的 NFS 客户端。 已创建该 VPC 下的文件存储，协议类型为 NFS，并获取到文件存储的挂载点名称。 如果需要跨 VPC 访问文件存储，需要配置对等连接以确保 VPC 网络互通。 操作步骤 1. 以 root 用户登录弹性边缘虚拟机。 2. 安装 NFS 客户端。 查看系统是否安装 NFS 软件包。 说明 CentOS、Red Hat、Oracle Enterprise Linux、SUSE、Euler OS、Fedora或OpenSUSE系统下，执行如下命令： rpm qagrep nfs Debian或Ubuntu系统下，执行如下命令： dpkg l nfscommon 不同操作系统回显会有所不同，如果回显如下类似信息，说明已经成功安装 NFS 软件包。 说明 CentOS、Red Hat、Euler OS、Fedora 或 Oracle Enterprise Linux 系统下，回显如下类似信息： libnfsidmap nfsutils SUSE 或 OpenSUSE 系统下，回显如下类似信息： nfsidmap nfsclient Debian 或 Ubuntu 系统下，回显如下类似信息： nfscommon 如果查看到未安装，根据不同的操作系统，执行不同命令。 注意 执行以下命令前要求边缘虚拟机已连接到互联网，否则安装 NFS 客户端失败。 说明 CentOS、Red Hat、Euler OS、Fedora 或 Oracle Enterprise Linux 系统下，执行如下命令： sudo yum y install nfsutils Debian 或 Ubuntu 系统下，执行如下命令： sudo aptget install nfscommon SUSE 或 OpenSUSE 系统下，执行如下命令： zypper install nfsclient 3. 执行如下命令，创建用于挂载文件存储的本地路径。 mkdir 本地路径 说明 如果本地路径已挂载其他磁盘等资源，为被占用状态时，需要新建其它目录进行挂载（nfs 客户端不会对重复挂载进行拦截，当重复挂载时会表现为最后一次成功挂载的信息）。 4. 执行如下命令，将文件存储挂载到与文件存储所属 VPC 相同的边缘虚拟机上。 mount t nfs o vers3,timeo600,noresvport,nolock 挂载地址 本地路径 参数说明 参数 说明 :: vers 文件存储版本，支持 NFSv3 和 NFSv4。如果您的业务场景不包含多台实例同时编辑同一个文件，建议您选择 NFSv3，达到最优性能。 timeo NFS 客户端重传请求前的等待时间（单位为 0.1 秒）。建议值：600。 noresvport 指定 NFS 客户端向 NFS 服务端重新发起建立连接时使用新的 TCP 端口。强烈建议使用 noresvport 参数，这可以保障网络发生故障恢复事件后文件存储服务不会中断。 lock/nolock 选择是否使用 NLM 协议在服务器上锁文件。当选择 nolock 选项时，锁对于同一主机的应用有效，对不同主机不受锁的影响。建议值：nolock。如不加此参数，则默认为 lock，就会发生其他服务器无法对此文件存储写入的情况。ECX文件存储暂不支持非本地锁操作，需要显式添加 nolock 参数防止客户端调用非本地锁而导致抢锁失败的写入慢问题。 proto NFS 客户端向服务器发起传输请求使用的协议，可以为 UDP 或者 TCP。 挂载地址 文件存储的格式为：文件存储 ip:/ 路径，例如：192.168.0.10:/var/ecx/filenvmecv4lq0bkrj0lnj8u23n0。 本地路径 边缘虚拟机上用于挂载文件存储的本地路径，例如 “/localpath”。 注意 请将上述命令中的 “挂载地址” 替换为实际的文件存储 IP 地址及路径，将 “本地路径” 替换为在边缘虚拟机上创建的具体本地路径。 挂载文件存储时，更多性能调优的挂载参数，可参考更多参数配置，各参数之间以逗号进行分隔。例如： mount t nfs o vers3,timeo600,nolock,rsize1048576,wsize1048576,hard,retrans3,tcp,noresvport,ro,async,noatime,nodiratime 挂载地址 本地路径 更多参数 参数 说明 :: rsize 每次向服务器读取文件的最大字节数。实际数据小于或等于此值。rsize 必须是 1024 倍数的正整数，小于 1024 时自动设为 4096，大于 1048576 时自动设为 1048576。默认时，服务器和客户端进行协商后设置。建议设置为最大值 1048576。 wsize 每次向服务器写入文件的最大字节数。实际数据小于或等于此值。wsize 必须是 1024 倍数的正整数，小于 1024 时自动设为 4096，大于 1048576 时自动设为 1048576。默认时，服务器和客户端进行协商后设置。建议设置为最大值 1048576。 soft/hard 取值为 soft，即软挂载方式挂载系统，如果 NFS 请求超时，则客户端向调用程序返回错误；取值为 hard，即使用硬连接方式，如果 NFS 请求超时，则客户端一直重新请求直至成功。默认为 hard。 retrans 客户端返回错误前的重传次数。建议值：1。 tcp/udp 不指定 mountproto 时，客户端默认先尝试使用 udp 协议挂载，如果 udp 网络不通则会在卡顿几秒后再尝试 tcp 协议挂载。当前默认没有放通安全组入方向 mount 协议的 udp 端口号，需要将 mount 挂载协议设置为 TCP 传输协议，即 mountprototcp。 ro/rw ro：表示采用只读的方式挂载。rw：表示采用读写的方式挂载。默认为 rw。未写明 ro/rw 时，则默认为采用 rw 读写的方式挂载。 noresvport 指定 NFS 客户端向 NFS 服务端重新发起建立连接时使用新的 TCP 端口。强烈建议使用 noresvport 参数，这可以保障网络发生故障恢复事件后文件存储服务不会中断。 sync/async sync 为同步写入，表示将写入文件的数据立即写入服务端；async 为异步写入，表示将数据先写入缓存，再写入服务端。同步写入要求 NFS 服务器必须将每个数据都刷入服务端后，才可以返回成功，时延较高。建议设置为 async。 noatime 如果不需要记录文件的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。 nodiratime 如果不需要记录目录的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。 说明 没有 “使用建议” 的参数推荐使用默认参数。 5. 挂载完成后，执行如下命令，查看已挂载的文件存储。 mount l 如果回显包含如下类似信息，说明挂载成功。 挂载地址 on /localpath type nfs (rw,vers3,timeo600,nolock,addr) 6. 挂载成功后，用户可以在边缘虚拟机上访问文件存储，执行读取或写入操作。

本节介绍如何确认入侵账号是否登录成功。 若已开启入侵检测告警通知，当有帐号被破解，或有帐号破解风险时，您会立即收到告警通知。 也可以在“入侵检测”页面在线查看攻击IP的拦截情况。 若想进一步确定，可以在Linux主机上的“/var/log/secure”和“/var/log/message”查看日志，或使用last命令查看是否有异常登录记录。

本节为您介绍自建Oracle迁移至自建Oracle配置。 前提条件 自建Oracle数据库的目标端版本为10g、11g、12c、18c或19c版本。且版本高于或等于源端。 目标端权限要求 迁移模式 所需权限 基础权限 SELECT ANY TABLE, SELECT ANY DICTIONARY，CONNECT, SELECTCATALOGROLE, CREATE SESSION，DELETE ANY TABLE, INSERT ANY TABLE，UPDATE ANY TABLE 全量迁移 需具备基础权限 结构迁移 COMMENT ANY TABLE, ALTER ANY TABLE, CREATE ANY VIEW, CREATE ANY PROCEDURE, CREATE ANY TRIGGER, CREATE ANY SEQUENCE, CREATE ANY INDEX, CREATE ANY SYNONYM, CREATE ANY TYPE, CREATE ANY TABLE, CREATE ANY MATERIALIZED VIEW, DROP ANY TABLE, DROP ANY VIEW, DROP ANY PROCEDURE, DROP ANY TRIGGER, DROP ANY SEQUENCE, DROP ANY INDEX, DROP ANY SYNONYM, DROP ANY TYPE 增量迁移 需具备基础权限 稽核修复 需具备基础权限 目标端配置 数据源类型 选定为Oracle，可将源端迁移至版本范围内的Oracle数据库 服务器IP 目标端数据库的连接IP 端口号 目标端数据库的端口 用户名 用于连接待目标端数据库的用户名称 密码 用于连接待目标端数据库的用户的密码 服务名 Oracle数据库的service name CDB服务名 Oracle CDB的service name，当oracle为12C以上版本时需填写该字段，以便采集系统信息 迁移用户名 实际传输至的目标库的Oracle模式（schema），一般与用户名一致。

本节为您介绍自建Oracle迁移至自建MySQL任务配置。 前提条件 （1）自建MySQL目标端版本为5.6、5.7、8.0版本。 （2）MySQL实例对表名的英文大小写不敏感，如果使用大写英文建表，MySQL会先把表名转为小写再执行建表操作。 （3）如果您的自建Oracle版本为12c及以上，待迁移表的名称长度需不超过30个字节。 （4）如果源Oracle数据库中存在表名相同仅大小写不同的表，可能会导致迁移对象重名并在结构迁移中提示“对象已经存在”。如果出现这种情况，请在配置迁移对象的时候，使用对象名重命名功能对重名的对象进行重命名。 （5）MySQL需要关闭大小写敏感。 目标端权限要求 迁移模式 所需权限 基础权限 SELECT, DELETE, INSERT 全量迁移 需具备基础权限，且具备ALTER权限 增量迁移 需基本基础权限 结构迁移 CREATE, REFERENCES, INDEX, TRIGGER, CREATE VIEW, DROP, CREATE ROUTINE, EXECUTE 稽核修复 需基本基础权限 目标端配置 数据源类型 选定为MySQL，可将源端迁移至版本范围内的MySQL数据库 服务器IP 目标端数据库的连接IP 端口号 目标端数据库的端口 用户名 用于连接待目标端数据库的用户名称 密码 用于连接待目标端数据库的用户的密码 数据库 目标端用于接收源端数据的数据库名称

本文介绍弹性容器实例ECI的临时存储空间计费规则。 计费说明 每个ECI实例提供40GiB免费的临时存储空间，如果该存储空间大小无法满足您的业务需求，您可以自定义增加临时存储空间大小。 临时存储空间费用临时存储空间单价 （临时存储空间容量40） 使用时长。 临时存储空间单价：0.00000047元/GiB/秒（0.0017元/时）。 使用时长：按秒计算。临时存储空间随ECI实例一起创建和释放，使用时长与实例运行时长一致。 计费示例 在华东1通过指定vCPU和内存的方式创建一台2 vCPU、4 GiB内存的ECI实例，使用60 GiB的临时存储空间，则除实例费用外，每小时临时存储空间的费用为：0.00000047 3600 (6040)0.03384元。

HPA策略即Horizontal Pod Autoscaling，是Kubernetes中实现POD水平自动伸缩的功能。该策略在kubernetes社区HPA功能的基础上，增加了应用级别的冷却时间窗和扩缩容阈值等功能。 前提条件 若使用系统指标，则需要安装metricsserver和prometheus插件： metricsserver：负责采集kubernetes集群中kubelet的公开指标项，包含CPU利用率、内存利用率。HPA弹性策略如基于CPU/MEM利用率，必须安装此插件。 prometheus：负责采集kubernetes集群中kubelet的公开指标项（CPU利用率、内存利用率）。 约束与限制 HPA策略：仅支持1.13及以上版本的集群创建。 每个工作负载只能创建一个策略，即如果您创建了一个HPA策略，则不能再对其创建工作负载弹性伸缩（CustomedHPA）或其他HPA策略，您可以删除该HPA策略后再创建。 操作步骤 步骤 1 在CCE控制台中，单击左侧导航栏的“弹性伸缩”，在“工作负载伸缩”页签下，单击“创建HPA策略”。 步骤 2 进入创建工作负载HPA策略页面，在“插件检测”步骤中： 若插件名称后方显示，请单击插件后方的“现在安装”，根据业务需求配置插件参数后单击“立即安装”，等待插件安装完成。 若插件名称后方显示，则说明插件已安装成功。 步骤 3 确认插件已安装成功后，单击“下一步：策略配置”。 说明： 如果插件已提前安装成功，单击“创建HPA策略”后，在“插件检测”步骤中经过短暂检测后将直接进入“策略配置”步骤。 步骤 4 在“策略配置”步骤中，参照下表设置策略参数。 表HPA策略参数配置 参数 参数说明 策略名称 新建策略的名称，请自定义。 集群名称 请选择工作负载所在的集群。 命名空间 请选择工作负载所在的命名空间。 关联工作负载 请选择要设置HPA策略的工作负载。 实例范围 请输入最小实例数和最大实例数。 策略触发时，工作负载实例将在此范围内伸缩。 冷却时间 请输入缩容和扩容的冷却时间，单位为分钟，缩容扩容冷却时间不能小于 1 分钟。 该设置仅在1.15 及以上版本的集群中显示，1.13 版本的集群不支持该设置。 策略成功触发后，在此缩容/扩容冷却时间内，不会再次触发缩容/扩容，目的是等待伸缩动作完成后在系统稳定且集群正常的情况下进行下一次策略匹配。 策略规则 策略规则可基于系统指标。 系统指标 指标：可选择“CPU利用率”或“内存利用率”。 说明 利用率 工作负载容器组（Pod）的实际使用量 / 申请量。 期望值：请输入期望资源平均利用率。 期望值表示所选指标的期望值，通过向上取整(当前指标值 / 期望值 × 当前实例数)来计算需要伸缩的实例数。 阈值：请输入缩容和扩容阈值。 当指标值大于缩容阈值且小于扩容阈值时，不会触发扩容或缩容。阈值仅在 1.15 及以上版本的集群中支持。 您可以单击“添加策略规则”，设置多条伸缩策略。 说明 HPA在计算扩容、缩容实例数时，会选择最近5分钟内的最大值。 步骤 5 设置完成后，单击“创建”，在“完成”步骤中若显示“创建工作负载策略提交成功”，可单击“返回工作负载伸缩策略”。 步骤 6 在“工作负载伸缩”页签下，可以看到刚刚创建的HPA策略。

本章节主要介绍翼MapReduce的配置Syslog北向参数操作。 操作场景 如果用户需要在统一的告警平台查看集群的告警和事件，管理员可以在FusionInsight Manager使用Syslog协议将相关数据上报到告警平台。 须知 Syslog协议未做加密，传输数据容易被窃取，存在安全风险。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 对接 > Syslog”。 3. 单击“Syslog服务”右侧的开关。 “Syslog服务”默认为不启用，开关显示为表示启用。 4. 根据下表所示的说明填写北向参数。 Syslog对接参数 参数区域 参数名称 参数说明 Syslog协议 服务IP模式 设置对接服务器IP地址模式，可选择“IPV4”或者“IPV6”。 Syslog协议 服务IP 设置对接服务器IP地址。 Syslog协议 服务端口 设置对接端口。 Syslog协议 协议 设置协议类型，可选值： l TCP l UDP Syslog协议 安全级别 设置上报消息的严重程度，取值范围： l Emergency l Alert l Critical l Error l Warning l Notice l Informational（默认值） l Debug 说明 “安全级别”和“Facility”共同组成发出消息的优先级（Priority ）。 优先级（Priority ） “Facility” × 8 +“安全级别” “安全级别”和“Facility”各项对应的数值请参考下表：“安全级别”和“Facility”字段数值编码 。 Syslog协议 Facility 设置产生日志的模块。可选项参考下表：“安全级别”和“Facility”字段数值编码[](file:///D:/%E5%B7%A5%E4%BD%9C%E6%96%87%E4%BB%B6%E5%A4%B9/1%E3%80%81%E7%BF%BCMapReduce%EF%BC%88MRS%EF%BC%89/%E5%8D%8E%E4%B8%BA%E6%8F%90%E4%BE%9B%E6%96%87%E6%A1%A3MRS/%E5%A4%A9%E7%BF%BC%E5%9C%A8%E7%94%A8%E6%96%87%E6%A1%A323.6.26%EF%BC%88%E5%B7%B2%E4%BF%AE%E6%94%B9%EF%BC%89/%EF%BC%88%E5%B7%B2%E4%BF%AE%E6%94%B9%EF%BC%89%E7%BF%BCMapReduce%E6%9C%8D%E5%8A%A1%E7%94%A8%E6%88%B7%E6%93%8D%E4%BD%9C%E6%8C%87%E5%8D%97.docx

本节主要介绍存储资源盘活系统的术语与缩略语。 术语与缩略语 描述 ALUA Asymmetric Logical Unit Access，非对称逻辑单元访问。 CHAP Challenge Handshake Authentication Protocol，质询握手认证协议。 CIDR Classless InterDomain Routing，无类别域间路由，一个用于给用户分配IP地址以及在互联网上有效地路由IP数据包的对IP地址进行归类的方法。 DSM Device Specific Module，设备特定模块。 EC Erasure Coding，纠删码。 interface IP address 接口IP地址，可以通过命令行ifconfig查看。 IQN iSCSI Qualified Name，iSCSI限定名。 iSCSI Internet Small Computer System Interface，互联网小型计算机系统接口。 iSCSI initiator iSCSI发起程序。 IOPS Input/OutputOperations Per Second，每秒读写次数。 I/O Input/Output，输入/输出。 LUN Logical Unit Number，逻辑单元号。 MPIO Multipath I/O，多路径IO管理。 NFS Network File System，网络文件系统。 NTP Network Time Protocol，网络时间协议。 OOS ObjectOriented Storage，天翼云对象存储（经典版）I型。 RAID Redundant Arrays of Independent Disks，独立磁盘冗余阵列。 SAN Storage Area Network，存储区域网络。 SPC SCSI（Small Computer System Interface，小型计算机系统接口） Primary Commands，SCSI基础命令。 SSD Solid State Disk，固态硬盘。 SSL Secure Sockets Layer，安全套接字协议。 Target 存储目标。 数据目录 用于存储HBlock数据的目录。

参数名称 说明 取值样例 数据库名称 您可以自定义添加的数据库的名称。 test1 IP地址 添加的数据库的IP地址。IP必须为内网IP地址，支持IPv4和IPv6格式。 IPv4：192.168.1.1 IPv6：fe80:0000:0000:0000:0000:0000:0000:0000 数据库类型 支持的数据库类型，您可以选择以下类型： MYSQL ORACEL POSTGRESQL SQLSERVER DWS TAURUS GaussDB DAMENG KINGBASE MongoDB Hbase SHENTONG GBase 8a GBase XDM Custer Greenpum HighGo Mariadb说明当数据库类型选择ORACE时，待审计的应用程序需重启，重新登录数据库。 MySQL 端口 添加的数据库的端口。 3306 数据库版本 支持的数据库版本。 当“数据库类型”选择“MYSQL”时，您可以选择以下版本： 当“数据库类型”选择“ORACEL”时，您可以选择以下版本：− 11g − 12c − 19c 当“数据库类型”选择“POSTGRESQL”时，您可以选择以下版本：− 7.4 − 8.0 8.0、8.1、8.2、8.3、8.4 − 9.0 9.0、9.1、9.2、9.3、9.4、9.5、9.6 − 10.0 10.0、10.1、10.2、10.3、10.4、10.5 − 11.0 − 12.0 − 13.0 当“数据库类型”选择“SQLSERVER”时，您可以选择以下版本：− 2008 − 2012 − 2014 − 2016 − 2017

类型 操作限制 （需要人为配合） 注意事项 下表中的环境要求均不允许在灾备过程中修改，直至灾备结束。 业务数据库进行的参数修改不会记录在日志里，所以也不会同步至灾备数据库，请在灾备数据库升主后调整参数。 外部数据库创建的高权限用户若超出RDS MySQL支持范围，不会同步至灾备数据库，如super权限。 不支持外键级联操作。 不支持业务数据库恢复到之前时间点的操作(PITR)。 不支持强制清理binlog，否则会导致灾备任务失败。 网络中断在30秒内恢复的，不影响数据灾备，超过30秒，则可能会导致灾备任务失败。 若专属计算集群不支持4vCPU/8G或以上规格实例，则无法创建灾备任务。 支持断点续传功能，但对于无主键的表可能会出现重复插入数据的情况。 存在灾备任务时，不允许创迁移或者同步任务。 灾备不支持多写的多主模式，如果外部数据库没有提供superuser权限，则外部数据库为备时无法设置只读，请严格确保备节点的数据只来自主节点的同步，任何其他地方的写入将会导致备库数据被污染，使得灾备出现数据冲突而无法修复。 如果外部数据库为备且为只读，该只读只有superuser权限的账号可以写入数据，其他账号无法写入，但仍然需要确保备节点通过这个账号写入任何数据导致备库数据被污染，使得灾备出现数据冲突而无法修复。 业务数据库和灾备数据库为RDS for MySQL实例时，不支持带有TDE特性并建立具有加密功能表。 操作须知 数据灾备过程中，如果修改了业务库用于灾备的密码，会导致该灾备任务失败，需要在数据复制服务控制台将上述信息重新修改正确，然后重试任务可继续进行数据灾备。一般情况下不建议在灾备过程中修改上述信息。 数据灾备过程中，如果修改了业务库端口，会导致该灾备任务失败。一般情况下不建议在灾备过程中修改业务库端口。 数据灾备过程中，如果业务库为非本云关系型数据库实例，不支持修改IP地址。本云关系型数据库实例，对于因修改IP地址导致灾备任务失败的情况，系统自动更新为正确的IP地址，重试任务可继续进行同步。一般情况下，不建议修改IP地址。 数据灾备过程中，不建议做删除类型的DDL操作，可能会引起任务失败。 禁止源端在灾备任务执行主备倒换过程中进行写入操作，否则会出现数据污染或者表结构不一致，并最终导致业务端和灾备端数据不一致。

更新日期 更新内容 20221027 第一次正式发布 本次更新说明如下： 新增账单服务、域名管理、刷新预热、统计分析、日志下载接口 20221130 第二次正式发布 本次更新说明如下： 查询域名攻击的攻击IP/被攻击URL/攻击来源/攻击类型分布、查询域名攻击概况、 批量域名配置增加/编辑/删除/启用/停用、更新bot防护配置、查询bot防护配置

本文主要为您介绍如何开启Cookie防篡改功能，以及如何配置Cookie防篡改参数。 网站域名接入Web应用防火墙后，您可以选择开启Cookie防篡改功能，开启后，WAF可通过Cookie中的字段对网页进行完整性校验保护。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版和标准版不支持Cookie防篡改功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 选择“系统配置”页签，定位到“Cookie防篡改”模块，可以选择开启/关闭防护。 7. 单击配置详情右侧的“前去配置”，进入Cookie防篡改配置页面，配置相关参数。 参数说明如下： 配置项 说明 防护模式 默认为“Cookie签名”，且不支持修改。 新增Cookie字段，字段值为待防护Cookie字段的签名，请求会对签名值进行完整性校验，若发生篡改则进行处置。 Cookie密钥 用于生成防篡改签名值的密钥（AES256），您可以自定义或者“快速生成密钥”。 Cookie兼容时间 生成配置后为了兼容之前未带Cookie签名的请求，可以设置生效时间。默认为当前时间。 IP校验 默认为“是”，表示除了对于防护Cookie值校验，同时也会对访问IP进行校验，同一Cookie值更换IP后无法通过校验。 修改为“否”，将仅对Cookie值进行校验。 Cookie字段名称 单击“新增Cookie字段”，新增一个Cookie字段。 HttpOnly：Cookie属性字段，用于避免客户端脚本访问该Cookie，勾选后可防止客户端脚本读取Cookie，防范XSS攻击。 Secure：Cookie属性字段，勾选后仅支持通过Https发送Cooike，防范采用Http协议发起的政击。 处置动作 选择WAF检测到篡改行为后，系统执行的动作。 拦截：拦截请求。 观察（仅记录）：仅通过日志记录请求，不进行拦截。 8. 单击“确认”，完成配置。

本节主要介绍通过kubectl对接多个集群。 使用场景 客户想使用同一个kubectl客户端工具，通过切换当前用户的方式达到切换集群的效果。 图 kubectl对接多集群示意 配置前提 kubectl命令客户端工具所在的ECS云主机，能够curl通集群A和集群B的vip地址+5443端口。 以下配置仅供参考，为了方便，直接在A集群的一个节点作为客户端（节点绑定了EIP）。 为了方便访问，给B集群的VIP地址绑定了公网IP（假设为：1.2.3.4），理论上如果A、B在同一VPC，可以不这样操作。 客户端配置对A的访问 直接参考《CCE用户指南》中的“通过kubectl连接CCE集群”。 客户端上配置对B的访问 我们要用访问B的集群，要知道B的地址，还要带上认证去访问，那么必须要把相应的信息补齐。 步骤如下： 步骤 1 录入B集群的集群信息 kubectl config setcluster clusterk8s server insecureskiptlsverifytrue insecureskiptlsverifytrue这个参数一定要带上，这是忽略校验客户端证书 步骤 2 录入去B集群的认证信息 首先在B上操作： 方式一：将B集群的证书传入到客服端使用，在客户端上操作，用户详细信息添加到配置文件中： kubectl config setcredentials uiadmin clientcertificateclient.crt embedcertstrue 方式二：在集群B上获取认证token 1.创建一个sa用户 kubectl create sa mysa 2.给sa用户授权 kubectl create clusterrolebinding myrolebinding serviceaccountdefault:mysa clusterroleclusteradmin 3.获取用户的token kubectl describe secret mysatokenxxx awk '/token:/{print $2}' > token 将获取的token传入到客户端。 4.客户端上操作，用户详细信息添加到配置文件中： kubectl config setcredentials uiadmin token$token 步骤 3将集群B的上下文详细信息添加到配置文件中 kubectl config setcontext uiadmin@cyd clusterclusterk8s useruiadmin 此时在客户端上： Kubectl config usecontext internal 切换到集群A Kubectl config usecontext uiadmin@cyd 切换到集群B 步骤 4验证配置 其他情况： 如果配置完报X509错误，应该是忘记传入参数 insecureskiptlsverifytrue 可在使用时带上该参数即可，例如：kubectl get pod insecureskiptlsverifytrue

本章节主要介绍数据仓库服务的使用限制。 数据仓库服务只支持用户管理集群，不支持直接访问集群节点。用户或应用程序使用数据库对应的集群访问IP地址和端口，访问数据仓库。 若创建非ECS+EVS形态的集群，则创建好以后不支持修改规格，如果需要使用更高规格的节点，请重新创建一个新的集群。变更规格目前仅支持ECS+EVS形态的云数仓或实时数仓集群。 用户需要在与集群相同的虚拟私有云子网中使用客户端连接DWS集群。 从文档直接复制命令到执行环境中粘贴时可能自动换行，导致运行出错，请注意删除换行。