本节介绍网络的用户指南:ELB Ingress Controller。 ELB Ingress Controller基于天翼云弹性负载均衡ELB实现，用于将Kubernetes集群中的Service服务通过七层弹性负载均衡暴露给外部访问，用户可以通过不同域名、不同路径访问到对应的服务。 用户通过控制台或API创建elb类型的Ingress资源（注解kubernetes.io/ingress.class，值为elb），在Ingress资源中指定要使用的ELB实例、访问域名、访问路径、SSL证书及后端服务等。用户也可指定ELB规格，由ELB Ingress Controller新建ELB，新建的ELB为按需计费模式。 ELB Ingress Controller监听到Ingress资源变化时，会根据Ingress定义的转发规则，对指定的ELB配置对应的HTTP/HTTPS转发策略及其后端主机组。如果Service服务的外部流量策略为Local，则Controller只会将Service后端Pod所在节点作为该转发策略的后端主机组。 通过ELB实例访问服务时，流量根据ELB中配置的转发策略转发到对应的后端Service，然后再经由Service网络转发到对应的后端Pod。 注意 ELB Ingress Controller目前仅支持为NodePort/LoadBalancer类型的Service暴露到ELB，因ClusterIP类型的Service只限于集群内访问，暂不支持通过ELB直接暴露服务。

本文将向您介绍在购买终端节点后,如何开启并设置访问控制白名单功能,以便您根据实际需求进行操作。 操作场景 终端节点的访问控制白名单功能允许根据IP地址或网段设置白名单，控制终端节点的访问权限。您可以在购买终端节点时或购买完成后随时开启、关闭此功能，也可以添加或删除白名单。 使用须知 关闭访问控制白名单，即允许任何IP访问终端节点。开启访问白名单，只允许白名单列表中的IP访问终端节点。开启后，需填写允许访问节点网卡的网段，多个网段换行分隔，最多允许20个网段。购买终端节点时，设置访问控制白名单的操作请参考购买终端节点。 开启访问控制白名单并添加白名单网段 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“网络>VPC终端节点”。 4. 在终端节点列表点击终端节点的名称/ID, 进入终端节点详情页面。 5. 在终端节点详情页面，点击开启“访问白名单”，并点击添加白名单。 6. 在弹出的页面中，输入允许访问终端节点的IP地址或网段。 7. 点击“确定”，完成白名单网段的添加。

CCE权限管理是在统一身份认证服务（IAM）与Kubernetes的角色访问控制（RBAC）的能力基础上，打造的细粒度权限管理功能，支持基于统一身份认证（IAM）的细粒度权限控制和IAM Token认证，支持集群级别、命名空间级别的权限控制，帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 如果您需要对已购买的CCE集群及相关资源进行精细的权限管理，例如限制不同部门的员工拥有部门内资源的细粒度权限，您可以使用CCE权限管理提供的增强能力进行多维度的权限管理。 本章节将介绍CCE权限管理机制及其涉及到的基本概念。如果当前帐号已经能满足您的要求，您可以跳过本章节，不影响您使用CCE服务的其它功能。 CCE支持的权限管理能力 CCE的权限管理包括“集群权限”和“命名空间权限”两种能力，能够从集群和命名空间层面对用户组或用户进行细粒度授权，具体解释如下： 集群权限：是基于IAM系统策略的授权，可以通过用户组功能实现IAM用户的授权。用户组是用户的集合，通过集群权限设置可以让某些用户组操作集群（如创建/删除集群、节点、节点池、模板、插件等），而让某些用户组仅能查看集群。 集群权限涉及CCE非Kubernetes API，支持IAM细粒度策略、企业项目管理相关能力。 命名空间权限：是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。同时CCE基于开源能力进行了增强，可以支持基于IAM用户或用户组粒度进行RBAC授权、IAM token直接访问API进行RBAC认证鉴权。 命名空间权限涉及CCE Kubernetes API，基于Kubernetes RBAC能力进行增强，支持对接IAM用户/用户组进行授权和认证鉴权，但与IAM细粒度策略独立。 注意：“集群权限”仅针对与集群相关的资源（如创建/删除集群、节点、节点池、模板、插件等）有效，您必须确保同时配置了“命名空间权限”，才能有操作Kubernetes资源（如工作负载、Service等）的权限。 统一身份认证服务（IAM） 统一身份认证（Identity and Access Management，简称IAM）是提供权限管理的基础服务，可以帮助您安全地控制服务和资源的访问权限。 IAM的优势：对资源可进行精细访问控制 您注册后，系统自动创建帐号，帐号是资源的归属以及使用计费的主体，对其所拥有的资源具有完全控制权限，可以访问所有的云服务。 如果您在购买了多种资源，例如弹性云主机、云硬盘、裸金属服务器等，您的团队或应用程序需要使用您在中的资源，您可以使用IAM的用户管理功能，给员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 Kubernetes的角色访问控制（RBAC） Kubernetes基于角色的访问控制（RoleBased Access Control，即”RBAC”）使用”rbac.authorization.k8s.io” API Group实现授权决策，允许管理员通过Kubernetes API动态配置策略。详情请参见命名空间权限。

分布式缓存服务Redis的分组如何理解？ Db的别名，与redis的db一一对应，类似于关系型数据库的表。 group.实例名称.xxx, xxx可以对应相关的业务表。 客户端监控指标有哪些？ 监控维度包括监控点（集群），标识（客户端IP），请求接入机地址，分组id， 操作类型(Read/Write），返回码，请求报文大小（大于32K，大于1K，小于等于1K），返回报文大小（大于32K，大于1K，小于等于1K）等。 统计值包括：请求数量、最大耗时、平均耗时。 接入机监控指标有哪些？ 接入机监控维度包括监控点（集群），标识（客户端IP+端口+名称），请求来源IP，分组id， 操作类型(Read/Write），Redis实例id，返回码，请求报文大小（大于32K，大于1K，小于等于1K），返回报文大小（大于32K，大于1K，小于等于1K）等。 统计值包括：请求数量、最大耗时、平均耗时。 管道类批量事务是否支持？ 单机主备支持，集群版不支持。 原生的redis事务将多条命令封装为批处理串行执行，不具备acid的事务完整性、一致性和隔离性，使用起来有些应用需要做很多额外的操作，较为繁琐；若需要解决并发修改冲突，建议采用乐观锁机制处理。 什么是Redis分片？ Redis分片是一种数据分布策略，用于将数据分散存储在多个Redis实例中，从而实现水平扩展和负载均衡。 在Redis分片中，数据被划分成多个分片（或称为分区），每个分片存储部分数据，并由独立的Redis实例来处理。 Redis分片的主要目的是解决单个Redis实例的存储容量和性能限制。通过将数据分散到多个实例上，可以将负载分摊到多个节点上，提高整体系统的处理能力和吞吐量。此外，Redis分片还可以扩展存储容量，因为每个实例都可以存储一部分数据，总容量可以通过添加更多实例来增加。

准备工作 获取源Redis的实例名称与实例ID、连接地址（IP:PORT)。 获取目标Redis的实例名称与实例ID、连接地址（IP:PORT)。 发起在线迁移操作 注意 如果源Redis和目标Redis处在同一Region同一VPC下时，则源Redis和目标Redis均选择对应实例名称即可，无需填写“Cluster集群”、“实例连接地址”信息 如果源Redis和目标Redis处在不同Region或者不同VPC下时，请根据场景使用 1.填写迁移信息 页面参数介绍： 参数 说明 实例名称 DCS中的实例名称，下拉列表选择（源Redis、目标Redis必须有一个是DCS实例)。 Cluster集群 当前集群是否是Cluster原生集群（不填写实例名称时填写）。 实例连接地址 IP:PORT（不填写实例名称时填写）。 实例账号/密码 Redis连接账号/密码，需有DBA管理权限。 key冲突模式 跳过目标key，继续执行/覆盖目标key，继续执行/中断迁移。 同步模式 全量同步+增量同步/全量同步（源Redis未放通PSYNC命令时，不支持增量同步）。 2. 连接检查 如果源Redis和目标Redis不在同一Region，建议使用云间高速打通网络。 如果源Redis和目标Redis在同一Reigon，但是不在同一VPC，建议使用对等网络打通网络。 3. 创建迁移任务，同时启动数据迁移 迁移进度 数据迁移页面，可查询迁移进度 说明 如果是增量迁移，会一直保持迁移中状态，需要手动停止迁移。 如需停止迁中的任务，点击记录右侧的”结束“，即可停止迁移。 如需重试中断的任务，点击记录右侧的”重试“，即可重试迁移操作。

本节为您介绍自建Oracle迁移至自建达梦数据库任务配置。 前提条件 自建达梦数据库目标端版本为DM7、DM8版本 目标端权限要求 迁移模式 所需权限 基础权限 SELECT ANY TABLE, INSERT ANY TABLE 全量迁移 需具备基础权限 结构迁移 COMMENT ANY TABLE, CREATE ANY TABLE, ALTER ANY TABLE, CREATE ANY SEQUENCE, CREATE ANY INDEX, SELECT ANY TABLE, DROP ANY TABLE, DROP ANY INDEX 增量迁移 需具备基础权限，且具备DELETE ANY TABLE、UPDATE ANY TABLE权限 稽核修复 需具备基础权限，且具备SELECT ANY DICTIONARY, UPDATE ANY TABLE权限 目标端配置 数据源类型 选定为DMENG，可将源端迁移至版本范围内的DMENG数据库 服务器IP 目标端数据库的连接IP 端口号 目标端数据库的端口 用户名 用于连接待目标端数据库的用户名称 密码 用于连接待目标端数据库的用户的密码 模式 目标端用于接收源端数据的模式（schema）名称

本节为您介绍自建SQL Server迁移至自建SQL Server任务配置。 前提条件 自建SQL Server目标端版本为2008 R2、2012、2014、2016、2017、2019版本，且版本高于或等于源端。 目标端权限要求 迁移模式 所需权限 基础权限 SELECT,DELETE,INSERT 全量迁移 需具备基础权限 结构迁移 需具备基础权限，且具备CREATE TABLE, ALTER, REFERENCES，CREATE FUNCTION, EXECUTE, CREATE VIEW, CREATE PROCEDURE 增量迁移 需具备基础权限 稽核修复 需具备基础权限 目标端配置 数据源类型 选定为SQL Server，可将源端迁移至版本范围内的SQL Server数据库 服务器IP 目标端数据库的连接IP 端口号 目标端数据库的端口 用户名 用于连接待目标端数据库的用户名称 密码 用于连接待目标端数据库的用户的密码 数据库 目标端用于接收源端数据的数据库名称 模式 目标端用于接收源端数据的模式（schema）名称

参数 参数类型 说明 示例 下级对象 OutId String 设备视图编码。 34082400011188226858 ViidIp String 视图库ip。 192.168.0.1 ViidPort Integer 视图库端口。 8000

参数 参数类型 说明 示例 下级对象 OutId String 设备视图编码。 11000000541327000032 ViidIp String 视图库ip。 192.168.0.1 ViidPort Integer 视图库端口。 8000

对比项 GeminiDB Redis 开源Redis 成本 成本降低75%~90% GeminiDB Redis支持全量数据落盘，采用GaussDB基础组件服务，拥有极大价格优势。 硬件成本极高 开源Redis的全部数据保存在纯内存介质中，且自身Fork机制导致内存使用率低。 最大容量 PB级数据量 GeminiDB Redis采用存算分离架构，使得存储资源自由扩容的同时计算层资源也可以同步弹性伸缩，性能有保障。 百GB级数据量 如果开源Redis集群持续增加数据量，一方面会导致硬件成本突增，另一方面其内部Gossip集群管理效率也将变得极低。 容量利用率 100% GeminiDB Redis采用纯自研架构，不受Fork问题影响，用户购买的持久化存储空间几乎全部可用。 <50% 开源Redis受独Fork机制影响，在快照、主从复制、AOF重写期间，如遇业务高峰，理论上内存可增长一倍。因此，内存使用率控制在50%以内，才能确保安全。 规格选型 1GB细粒度，随时按需调整。 档位不连续（...32GB、48GB、64GB) 假设业务数据量约30GB。如果选用云缓存Redis，考虑到安全有效容量<50%，只能选64GB的规格，造成“买多”浪费。 数据压缩 逻辑压缩和物理压缩结合，比开源Redis更省空间 逻辑压缩：对value进行初步压缩。 物理压缩：对存储介质中的数据块整体进行二次压缩。 根据实际业务测试，String、Hash等常用结构在GeminiDB Redis实例中，存储空间占用仅为开源Redis的70%~85%。 只使用逻辑压缩 时延 平均时延差距不大，p9999表现有一定差距。 平均时延较低，p9999时延较低。 扛写能力 强 GeminiDB Redis支持多节点同时写入，且采用多线程架构，吞吐轻松翻倍。 弱 开源Redis集群中仅主节点可写，且属于单线程架构，业务高峰有OOM宕机风险。 数据可靠性 高 逐条命令实时落盘，底层三副本冗余存储，无数据丢失风险。 低 内存数据秒级落盘，且主从异步复制不及时，存在数据丢失风险。 数据一致性 强一致性 GeminiDB Redis实现了三副本强一致，多点访问无脏读风险。 弱一致性 开源Redis采用主从异步复制，多点访问存在数据不一致问题。 可用性 强 即使N1个节点同时故障，GeminiDB Redis实例依然可用。 中等 如果有一半的主节点发生故障，开源Redis集群将不可用。任意一对主从节点故障，开源Redis集群将不可用。 故障恢复 分钟级恢复，数据恢复时长与数据量无关 在全量数据下沉存储的Shared Everthting架构下，数据只需被可用节点接管即可，几乎不需耗时加载。 数据量越大，恢复耗时越久 数据物理分散在多个独立节点上，故障恢复需要将RDB快照从磁盘加载进内存，耗时久。 负载均衡 支持 细粒度数据分片，节点间实现动态负载均衡。 不支持 开源Redis需要依赖第三方组件。 扩容 平滑扩容 节点扩容：分钟级完成，业务秒级感知。 容量扩容：秒级完成，业务0感知。 Shared Everthting架构下，底层数据可被任一节点访问，扩容过程不发生数据拷贝搬迁，速度极快。 耗时长，对业务影响大 各节点本地内存装载数据分片，迁移意味着新节点的加入以及数据的拷贝搬迁，耗时长。 安全 高 GeminiDB Redis采用纯自研架构，不存在开源Redis安全漏洞问题。提供虚拟私有云、子网、安全组、DDoS防护以及SSL安全访问等多层安全防护体系，实现租户隔离和访问控制。 低 开源Redis内核不定期会爆出安全漏洞问题，如CVE202132761等。如版本升级不及时，随时有被恶意利用风险。网络环境安全级别取决于所使用的云服务质量。 运维 一站式服务 GeminiDB Redis提供成熟的迁移方案、实时监控、故障预警和数据库专家团队724小时支撑。 取决于所使用的云服务质量

资产是指系统需要审计管理的数据库系统、网站等信息系统。 添加资产后，系统可对资产进行安全审计。 添加资产 添加资产包括单个添加和批量导入两种方式。 1. 在左侧菜单栏选择“资产 > 资产管理”进入“资产管理”页面，选择“资产管理”页签，单击“添加”。 2. 在弹出的“添加资产”窗口编辑相关信息。参数填写规则可参见下表。 参数 参数说明 保存时启用推荐的规则 勾选此选项，则保存时添加的资产会使用系统推荐的规则。 不勾选此选项，保存时添加的资产不会使用系统推荐的规则。 类型 设置资产类型，包括关系型、非关系型、大数据、图形、全文、文档、键值、其他、天翼云RDS等。 说明 若添加天翼云RDS资产，还需要在“系统管理 > 日志采集方式”中开启接收天翼云RDS日志。 资产组 设置资产所属的资产组。 名称 填写资产的名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 操作系统 设置资产所在主机的操作系统。 IP端口 设置资产所在主机的IP及端口号。 说明 本地运维行为审计是指通过安装本地Agent捕获本地数据库客户端程序中实际响应的SQL指令，实现对本地运维人员数据库操作行为的审计，支持Oracle、PostgreSQL、MySQL、SQL Server等主流数据库。 当使用本地运维行为审计方式时，需要添加回环IP地址127.0.0.1和端口号，端口号需根据数据库类型进行填写。 如果使用的IP类型为IPv6，IP地址需填写为“::1”。 3. 如需配置其他更多信息，可点击“更多配置”，选择单向审计或双向审计，设置加密协议审计。参数填写规则可参见下表。 参数 参数说明 流量方向 单向审计：审计内容包括请求信息、客户端信息、服务端信息，不包括返回结果集。 双向审计：审计内容包括请求信息、客户端信息、服务端信息、返回结果集。 保持行数 取值范围：0~999，0表示不保存返回结果。最大保存内容为64KB。 最大保存长度 取值范围：1~64KB，确保整行显示。 解密私钥 加密协议导入解密私钥，目前支持MySQL、SQL Server、HTTPS加密解析，证书支持导入和编辑两种方式。 证书密码 安全证书的密码。 4. 配置完成后，单击“保存”即可完成资产添加。 说明 资产添加之后，需要确认部署模式。若选择流量代理模式，需要部署Agent程序才能完成数据库审计。

参数 是否必填 参数类型 说明 示例 下级对象 aws:SourceIp 否 Array of Strings 填写IP条件值 1.2.3.4

参数 是否必填 参数类型 说明 示例 下级对象 aws:SourceIp 否 Array of Strings 填写IP条件值 1.2.3.4

本节介绍SMB协议的文件存储如何挂载到Windows系统的边缘虚拟机上。 操作场景 当创建文件存储后，您需要使用边缘虚拟机来挂载该文件存储，以实现多个边缘虚拟机共享使用文件存储的目的。 本章节以Windows Server 2019操作系统为例进行SMB协议的文件存储的挂载。 同一文件存储不能同时支持NFS协议和SMB协议。 前提条件 在需要操作的地域创建虚拟私有云VPC。 已创建该VPC下的边缘虚拟机，以下将以操作系统为 Windows Server 2019 的边缘虚拟机为例。 已创建该VPC下的文件存储，协议类型为SMB，并获取到文件存储的挂载点名称。 如果需要跨VPC访问文件存储，需要配置对等连接以确保VPC网络互通。 操作步骤 1. 登录ECX控制台。 2. 点击【边缘虚拟机>实例】，进入边缘虚拟机界面，找到即将执行挂载操作的边缘虚拟机所在行。 3. 点击“登录”，使用VNC方式登录已创建好的Windows Server 2019的边缘虚拟机。 4. 对于Windows Server 2016以上的系统，需要配置允许客户端匿名访问，在命令行工具中执行以下命令。 REG ADD HKEYLOCALMACHINESYSTEMCurrentControlSetservicesLanmanWorkstationParameters /f /v AllowInsecureGuestAuth /t REGDWORD /d 1 5. 鼠标移到桌面左下角，右键点击“Windows徽标”按钮，点击打开“文件资源管理器”。 6. 在文件资源管理器的左侧栏找到“此电脑”，右键单击“此电脑”，选择“映射网络驱动器”。 7. 在弹出的对话框中输入文件存储的挂载点名称，即文件存储服务ip路径。 8. 单击“完成”。 9. 挂载成功后，已挂载的文件存储将显示在“此电脑”的网络位置中，您可以像使用普通文件存储一样进行创建、修改或删除文件。

本文主要介绍探针监控 本章节介绍APM采集的探针监控指标的类别、名称、含义等信息。 表探针监控指标说明 指标类别 指标 指标名称 指标说明 单位 数据类型 默认聚合方式 ::::::: 探针数据（detail，探针数据指标集。） type 数据类型 探针上报的数据类型 ENUM LAST 探针数据（detail，探针数据指标集。） discardBytes 丢弃字节数 该数据类型的丢弃字节数 Byte INT SUM 探针数据（detail，探针数据指标集。） discardCount 丢弃次数 该数据类型的丢弃次数 INT SUM 探针数据（detail，探针数据指标集。） errorBytes 发送失败字节数 该数据类型的发送失败字节数 Byte INT SUM 探针数据（detail，探针数据指标集。） errorCount 发送失败次数 该数据类型的发送失败次数 INT SUM 探针数据（detail，探针数据指标集。） maxBytes 最大字节数 该数据类型的最大发送字节数 Byte INT MAX 探针数据（detail，探针数据指标集。） maxQueueSize 队列最大长度 该数据类型发送队列最大长度 INT MAX 探针数据（detail，探针数据指标集。） sendBytes 发送成功字节数 该数据类型发送成功字节数 Byte INT SUM 探针数据（detail，探针数据指标集。） sendCount 发送成功次数 该数据类型发送成功次数 INT SUM 探针数据（detail，探针数据指标集。） sendTotalTime 总发送时间 该数据类型的总发送时间 ms INT SUM 探针数据（detail，探针数据指标集。） slowTime 最慢发送时间 该数据类型最慢发送时间 ms INT MAX 异常（exception，异常指标集。） causeType 异常类 异常发生类 ENUM LAST 异常（exception，异常指标集。） type 类型 异常类型 ENUM LAST 异常（exception，异常指标集。） count 次数 异常次数 INT SUM 异常（exception，异常指标集。） message 消息 异常消息 STRING LAST 异常（exception，异常指标集。） stackTrace 堆栈 异常堆栈 CLOB LAST 服务端连接监控（transfer，服务端连接监控指标集。） host 主机 主机信息 ENUM LAST 服务端连接监控（transfer，服务端连接监控指标集。） connectIp 连接ip 连接ip STRING LAST 服务端连接监控（transfer，服务端连接监控指标集。） ipList ip列表 所有ip列表 STRING LAST 服务端连接监控（transfer，服务端连接监控指标集。） isConnected 是否连接 是否连接 INT LAST 服务端连接监控（transfer，服务端连接监控指标集。） rt 响应时间 响应时间 INT AVG 队列监控（repository，队列监控指标集。） monitorQueueSize 监控数据队列大小 监控数据队列大小 INT SUM 队列监控（repository，队列监控指标集。） monitorObjectSize 监控数据内存大小 监控数据内存大小 INT SUM 队列监控（repository，队列监控指标集。） traceQueueSize 调用链数据队列大小 调用链数据队列大小 INT SUM 队列监控（repository，队列监控指标集。） traceObjectSize 调用链数据内存大小 调用链数据内存大小 INT SUM

对于有些网站，源IP无法精准获取。例如：存在未在header中插入“XForwardedFor”字段的Proxy或其他原因，建议使用配置Cookie字段实现用户标识并开启“全局计数”。 攻击案例 竞争对手控制数台主机，与大多普通访客一样，共用同一IP，或通过代理频繁更换源IP，持续向网站“www.example.com”发起HTTP Post请求，网站并无较大的负载能力，网站连接数、带宽等资源均被该攻击者大量占用，正常用户无法访问网站，最终竞争力急剧下降。 防护措施 步骤1 根据服务访问请求统计，判断网站是否有大量同一IP请求发生，如果有则说明网站很有可能遭受了CC攻击。 步骤2 登录管理控制台，将您的网站成功接入Web应用防火墙。关于域名接入的具体操作请参见网站接入WAF。 步骤3 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面，确认“CC攻击防护”的“状态”为“开启”。 步骤4 开启WAF的“CC攻击防护”后，添加CC防护规则，配置“用户限速”模式，输入用户标识，即Cookie字段中的变量名。为了更加有效的标识用户，建议使用“sessionid”或“token”这类标识网站后台颁发给用户的唯一标识字段。 说明 “防护模式”选择“阻断”模式，设置“阻断时长”，能够在攻击被拦截后，攻击者需额外等待一段时间， 该设置能进一步对攻击者行为进行限制，建议对安全要求非常高的用户设置。 添加CC防护规则 限速模式：选择“源限速”、“用户限速”，根据Cookie键值区分单个Web访问者。 用户标识：为了更加有效的标识用户，建议使用“sessionid”或“token”这类标识网站后台颁发给用户的唯一标识字段。 限速频率：单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将暂停该Web访问者的访问。 防护动作：选择“阻断”模式。该模式可设置“阻断时长”，在攻击被拦截后，攻击者需额外等待一段时间才能访问正常的网页， 该设置能进一步对攻击者行为进行限制，建议对安全要求非常高的用户设置。 人机验证：表示在指定时间内访问超过次数限制后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。 阻断：表示在指定时间内访问超过次数限制将直接阻断。 仅记录：表示在指定时间内访问超过次数限制将只记录不阻断。 阻断页面：可选择“默认设置”或者“自定义”。

一键告警功能可以针对指定关键监控项快捷开启告警服务,省去告警规则配置繁琐步骤,及时掌握关键监控项的异常并进行处理。 操作场景 本产品预设了容量使用率为80%、90%、95%、98%共四个告警规则，开启后只需要设置告警通知策略即可及时进行容量告警，防止容量不足影响业务读写，适用于写入容量稳步增长或增长迅速的业务。 约束与限制 一键告警开启/关闭后，针对当前资源池下、当前账号的所有文件系统实例生效。 一键告警的告警规则只在一键告警规则控制台展示，与自定义告警规则均为告警规则，两者不冲突。达到触发条件均告警均会生效。 为避免重复通知对您造成打扰，默认在告警恢复前仅通知用户一次，务必关注告警通知。 若一键告警预设的容量使用率阈值无法满足需求可按需自定义告警规则，参考示例一：配置容量使用率告警。 仅支持云监控服务的资源池才支持本功能，具体可参考云监控概述。 注意 务必激活联系人的电话和邮箱，否则通知将无法触达。 操作步骤 开启一键告警 1. 进入一键告警控制台。有以下两种途径： 1）从弹性文件服务控制台跳转进入 。在文件系统控制台列表上方，点击跳转链接进入。 2）从云监控服务控制台进入 。在“控制中心>管理和部署>云监控”进入云监控控制台，在左侧依次点击“告警服务>一键告警”。 2. 按需选择开启本产品预设的一键告警规则。

本节为您介绍自建PostgreSQL迁移至自建MySQL任务配置。 前提条件 （1）自建MySQL目标端版本为5.6、5.7、8.0版本。 （2）若您将列名仅大小写不同的字段写入到目标MySQL数据库的同一个表中，可能会因为MySQL数据库列名大小写不敏感，导致迁移失败。 （3）MySQL需关闭大小写敏感。 目标端权限要求 迁移模式 所需权限 基础权限 SELECT, DELETE, INSERT 全量迁移 需具备基础权限，且具备ALTER权限 增量迁移 需基本基础权限 结构迁移 CREATE, REFERENCES, INDEX, TRIGGER, CREATE VIEW, DROP, CREATE ROUTINE, EXECUTE 稽核修复 需基本基础权限 目标端配置 数据源类型 选定为MySQL，可将源端迁移至版本范围内的MySQL数据库 服务器IP 目标端数据库的连接IP 端口号 目标端数据库的端口 用户名 用于连接待目标端数据库的用户名称 密码 用于连接待目标端数据库的用户的密码 数据库 目标端用于接收源端数据的数据库名称

本文为您介绍如何通过Go客户端接入天翼云云搜索Elasticsearch实例。 概述 Go客户端（elasticsearchgo）是Elasticsearch官方提供的Golang库，适用于构建高性能的应用程序。它提供了与Elasticsearch实例进行交互的完整 API，支持索引创建、数据查询等操作。 前提条件 已开通天翼云云搜索服务Elasticsearch实例。 实例已绑定公网IP，具体可参考“实例公网访问”章节。 已安装Go语言开发环境。 已安装Elasticsearch官方Go客户端库。 操作步骤 安装 Go 客户端库： go get github.com/elastic/goelasticsearch/v7 使用以下代码连接到 Elasticsearch实例： package main import ( "context" "fmt" "log" "github.com/elastic/goelasticsearch/v7" ) func main() { // 创建Elasticsearch客户端 es, err : elasticsearch.NewClient(elasticsearch.Config{ Addresses: []string{" Username: " ", Password: " ", }) if err ! nil { log.Fatalf("Error creating the client: %s", err) } // 创建索引 res, err : es.Indices.Create("myindex") if err ! nil { log.Fatalf("Error creating index: %s", err) } fmt.Println(res) } host：集群绑定的公网 IP。 user：Elasticsearch 集群用户名，例如 admin。 password：用户密码，例如 admin 用户的密码。

海量文件服务 OceanFS 是天翼云推出的全托管、可扩展海量文件系统,满足海量数据、高带宽型应用场景的需求。OceanFS 能够弹性扩展至PB规模,具备高可用性和持久性,适用于多种应用场景,包括HPC、媒体处理、文件共享、内容管理和Web服务等。

本小节介绍云堡垒机(原生版)产品优势。 运维高效快捷 云堡垒机（原生版）支持多种运维访问协议，满足用户统一对数据库、服务器、web应用等系统或设备的日常运维需求。 字符协议：SSH、TELNET 图形协议：RDP、VNC 文件传输协议：FTP、SFTP 数据库协议：MySQL、Oracle、DB2、PostgreSQL等 WEB访问协议：HTTP/HTTPS 灵活的授权模型 以4A为核心实现对用户进行功能授权、资产授权、操作授权，最小化用户运维授权管理，降低越权操作风险。 管控方式严格 对于高危命令实现实时告警或阻断，对于特别重要的命令实现多人审核，避免用户进行不安全的运维操作。 支持运维账号登录IP地址绑定，限制登录地址，避免非授权用户登录进行重要运维操作。 快速开通使用 用户根据自身业务需求，选择对应规格一键开通堡垒机实例，方便快捷。 安全合规 对所有运维操作集中记录，支持审计、录像及回放，满足等保测评要求，助力企业安全合规建设。

本小节介绍云堡垒机产品优势。 运维高效快捷 云堡垒机（原生版）支持多种运维访问协议，满足用户统一对数据库、服务器、web应用等系统或设备的日常运维需求。 字符协议：SSH、TELNET 图形协议：RDP、VNC 文件传输协议：FTP、SFTP 数据库协议：MySQL、Oracle、DB2、PostgreSQL等 WEB访问协议：HTTP/HTTPS 灵活的授权模型 以4A为核心实现对用户进行功能授权、资产授权、操作授权，最小化用户运维授权管理，降低越权操作风险。 管控方式严格 对于高危命令实现实时告警或阻断，对于特别重要的命令实现多人审核，避免用户进行不安全的运维操作。 支持运维账号登录IP地址绑定，限制登录地址，避免非授权用户登录进行重要运维操作。 快速开通使用 用户根据自身业务需求，选择对应规格一键开通堡垒机实例，方便快捷。 安全合规 对所有运维操作集中记录，支持审计、录像及回放，满足等保测评要求，助力企业安全合规建设。

方式3：在Kafka客户端上修改 Kafka客户端版本为2.2以上 时，支持通过kafkatopics.sh修改Topic分区数。 未开启SASL的Kafka实例，在“/{命令行工具所在目录}/kafka{version}/bin/”目录下，通过以下命令修改Topic分区数。 ./kafkatopics.sh bootstrapserver {brokerip}:{port} topic {topicname} alter partitions {partitionnum} 已开启SASL的Kafka实例，通过以下步骤修改Topic分区数。 （可选）如果已经设置了SSL证书配置，请跳过此步骤。否则请执行以下操作。在Kafka客户端的“/config”目录中创建“ssluserconfig.properties”文件，参考步骤3增加SSL证书配置。 在“/{命令行工具所在目录}/kafka{version}/bin/”目录下，通过以下命令修改Topic分区数。 ./kafkatopics.sh bootstrapserver {brokerip}:{port} topic {topicname} alter partitions {partitionnum} commandconfig ./config/ssluserconfig.properties

参数 说明 recordid 审计日志单条记录的记录ID，记录审计日志的每条SQL的唯一global id。 connectionid 该条记录执行的会话ID，与show processlist中的ID一致。 connectionstatus 会话状态，常见为执行语句的错误返回码，普通执行成功返回0。 name 记录类型名称，通常情况下dml，ddl操作均为QUERY， 连接断开为CONNECT和QUIT。 timestamp 记录的UTC时间。 commandclass 执行的SQL命令类型，内部为解析得到的SQL类型，例如select，update（连接断开不存在该项）。 sqltext 执行的SQL具体内容（连接断开审计不存在该项）。 user 登录的账户。 host 登录的host，当本地登录时为localhost，远程登录为空。 externaluser 代理用户名称。 ip 通过远程连接的客户端IP，本地连接为空。 defaultdb 执行SQL时默认的数据库。

API流控规则 为网关应用配置网关流控规则后，微服务治理将从流量入口处拦截激增的流量，防止下游服务被压垮。这样做可以保证网络的稳定性和可靠性。 新建网关流控规则 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择网关治理。 3. 在网关治理页面的应用卡片页签单击目标网关卡片。 4. 在左侧导航栏选择网关防护 规则管理 API流控规则，在新增流控规则对话框中，配置流控规则。 5. 单击新增。新增的规则将出现在API流控规则页面。 参数说明： 参数 说明 请求分组 适用该规则的请求分组。 参数属性 针对所选接口的属性进行流量控制： Client IP：请求端的IP地址。 Remote Host：请求端的Host。 Header：HTTP请求携带的Header。 URL参数：HTTP请求携带的URL参数。 条件模式 针对参数属性的匹配模式： 单条件：针对单个参数属性进行热点流控或属性值匹配流控。当参数属性为Client IP时，针对Client IP的值进行热点限流；当参数属性为Remote Host时，针对Remote Host的值进行热点限流；当参数属性为Header时，输入Header名称，若不打开属性值匹配，则对Header的值进行热点限流，若打开属性值匹配，则根据Header值是否满足匹配串进行限流；当参数属性为URL参数时，输入URL参数名称，若不打开属性值匹配，则对URL参数的值进行热点限流，若打开属性值匹配，则根据URL参数值是否满足匹配串进行限流。 多条件：针对多个参数属性进行属性值匹配限流。 阈值 QPS值，支持秒、分、小时和天四种维度。如阈值填写10，统计时间选择秒，则表示每秒请求数大于10时会触发限流。 流控方式 快速失败：多余的请求会被立即拒绝。允许设置额外的burstsize，即针对突发请求额外允许的请求数目。 排队等待：请求匀速通过，允许排队等待，可设置超时时间，即最长的排队等待时间，单位为ms，超出此时间将直接被拒绝。

本章节介绍应用实例监控相关功能 概述 应用监控是已部署实例下的监控，包含应用监控、告警规则与策略以及通知组和策略等信息。 分页查看调用链列表 1. 在容器应用详情左边导航栏中选择“应用监控“。 在顶部菜单栏中选择“调用链查询”，在右侧输入框中选择查询时间即可分页查询调用链。 具体使用说明可参考天翼云官网的应用性能监控​>用户指南​>调用链查询的文档。 查询调用链列表 1. 在容器应用详情左边导航栏中选择“应用监控。 2. 在顶部菜单栏中选择“调用链查询>常用查询”。 客户端应用名：调用链中第一段的发起调用的应用名称。 接口名称：显示发起API调用时的接口名称。 TraceId：调用链的唯一标识。 客户端IP：调用链中第一段的发起调用的应用的IP地址。 服务端IP：调用链中第一段的被调用的应用的IP地址。 耗时大于等于(ms)：调用耗时时间大于指定值。 其他查询：其他查询主要包括调用类型，状态，响应码。 自定义查询：调用链查询支持自定义查询，您可以输入常用的标签，或是上报数据时自定义的标签进行查询。标签样例请参见“APM常用标签”。

本节主要介绍如何使用API查询iSCSI target的连接信息。 此操作用来查询iSCSI target的连接信息。 请求语法 plaintext GET /rest/v1/block/connection/?filterfilter&rangeij HTTP/1.1 Date: date Host: ip:port Authorization: authorization 请求参数 参数 类型 描述 是否必须 filter String 查询的过滤条件。 过滤条件由查询属性和属性值组成，其中属性和属性值之间用单个冒号分隔（key:value）表示模糊匹配，用两个冒号分隔（key::value）表示精确匹配。可以选择多个查询，如果是或的关系，使用“or”将查询条件分隔开；如果是与的关系，使用“and”将查询条件分隔开。 支持的过滤条件类型包括： targetName：iSCSI target名称。 否 range String 查询iSCSI target连接的范围，格式为ij，i和j为正整数，0 < ji < 1000。按照iSCSI target名称进行排序，返回第i到第j的iSCSI target连接信息。 如果输入的查询范围超过iSCSI target连接的总个数，返回的结果为空，如果未指定range，则返回所有符合条件的iSCSI target连接。 否 响应结果 名称 类型 描述 connections Array of connection 连接信息集合，详见“表1 响应参数connection说明”。 表1 响应参数connection说明 名称 类型 描述 targetName String iSCSI target名称。 targetConnections Array of targetConnection iSCSI target连接信息集合，详见“表2 响应参数targetConnection说明”。 表2 响应参数targetConnection说明 名称 类型 描述 iqn String IQN。 targetIP String 服务器端IP。 establishedSessions Integer 会话数。 sessionDetails Array of sessionDetail 会话详细信息集合，详见“表3 响应参数sessionDetail说明”。 表3 响应参数sessionDetail说明 名称 类型 描述 sessionId String 会话ID。 clientIP String 客户端的IP。 clientPort Integer 客户端的端口号。 initiatorName String 连接所属的initiator名称。

参数 参数类型 说明 示例 下级对象 host String 数据库ip 192.168.1.11 port Integer 数据库端口 5432 sqlCollectorStatus String SQL审计状态，取值：enable disabled disabled

项目 参数 参数说明 基本信息 名称 设置规则名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 基本信息 描述 规则描述。 基本信息 等级 必选项，系统默认等级为中风险。等级可选高风险、中风险和低风险。 基本信息 所属规则组 必选项，可选择自定义的规则组，也可以选择系统默认规则组。可通过以下步骤对自定义规则组进行管理： 单击所属规则组右边的“规则组管理”，可新增、修改和删除自定义规则组。 基本信息 规则类型 当前支持普通规则和统计规则两类。 普通规则：单条审计记录匹配配置的普通规则，会触发普通告警（例如一条select语句，可能会触发一条普通告警）。 统计规则：指定时间内多次匹配配置的统计规则，会触发一条统计告警（例如5分钟内10次select失败，可能会触发一条统计告警）。 基本信息 行为 当前支持告警和告警并阻断。 告警：操作命中规则后，仍正常执行，无特殊控制。 告警并阻断：操作命中规则后，该操作对应的数据库连接断开。 客户端 客户端来源 访问业务类型的客户端IP或IP组。可填写多个，以逗号“,”分隔。 客户端 客户端工具 可配多个客户端工具，使用逗号“,”分隔，例如：db2bp.exe,java.exe。 客户端 客户端端口 可配置多个值或区间，多个值间以逗号“,”分隔，例如：1015,20,25,3040。 客户端 客户端MAC地址 可填多个值，多个值间以逗号“,”分隔。 客户端 操作系统用户 可以选择字符串或者正则表达式，字符串可填多值，多个值间以逗号“,”分隔。 客户端 主机名 可以选择字符串或者正则表达式，字符串可填多值，多个值间以逗号“,”分隔。 客户端 应用IP 指定规则所匹配的应用IP或IP组，对应审计日志中的关联IP，可填多值，多个值间以逗号“,”分隔。 客户端 应用用户名 指定规则所匹配的应用用户或用户组，对应审计日志中的关联账号，可填多值，多个值间以逗号“,”分隔。 服务端 服务端IP 可填多个值，多个值间以逗号“,”分隔。 服务端 服务端端口 可配置多个值或区间，多个值间以逗号“,”分隔，例如：1015,20,25,3040。 服务端 数据库账号 指定规则所匹配的数据库登录用户账号或账号组或者使用正则表达式，可填多值，多个值之间以“,”分隔。 服务端 服务端MAC地址 可填多个值，多个值间以逗号“,”分隔。 服务端 数据库名(SID) 可以选择字符串或者正则表达式，Oracle数据库请输入SID，其他数据库输入数据库名，字符串可填多值，多个值间以逗号“,”分隔。 行为 对象 指定规则匹配的对象组。 行为 操作类型 指定SQL语句的操作类型，例如：select、update、delete等。 行为 SQL模板ID 可填项，可填多值，多个值间以逗号“,”分隔。 行为 SQL关键字 SQL关键字：支持以正则表达式匹配报文。 单击“正则验证”输入报文内容，单击“校验”，验证输入内容与执行结果关键字中的正则表达式是否匹配；单击“增加条件”可添加多个条件。 条件运算逻辑表达式：SQL关键字填写后，此项为必填项。条件间的关系，支持与、或、非、括号运算(&：与；：或；~：非)，条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2个SQL关键字条件且两个关键字都要满足才能告警。 行为 SQL长度 指定SQL语句的长度，取值范围：1B~64KB。 行为 关联表数 SQL操作涉及表的个数大于等于此值时触发本规则，允许输入最大值为255。 行为 WHERE字句 是否包含WHERE，支持三个选项： 不判断 有WHERE子句 没有WHERE子句 默认为不判断。WHERE子句用于提取满足指定条件的SQL记录，语法如下： SELECT columnname,columnname FROM tablename WHERE columnname operator value; 结果 执行时长 （选填）单位：秒、毫秒、微秒，取值范围：0到半个小时，SQL执行时长属于此范围，则触发规则。 结果 影响行数 取值范围：0~999,999,999。SQL操作返回的记录数或受影响的行数属于此范围，则触发规则。 结果 返回结果集 支持以正则表达式匹配结果集。 单击“正则验证”输入报文内容，单击“校验”，验证输入内容与执行结果关键字中的正则表达式是否匹配；单击“增加条件”可添加多个条件。 条件运算逻辑表达式：SQL关键字填写后，此项为必填项。条件间的关系，支持与、或、非、括号运算(&：与；：或；~：非)，条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2个SQL关键字条件且两个关键字都要满足才能告警。 结果 执行状态 可选三类执行状态： 全部 成功 失败 默认为全部。 结果 执行结果描述 支持以正则表达式方式匹配。 其他 生效时间 可自定义或者选择时间组。 其他 每日最大告警数 取值范围：0~99,999，输入0表示没有限制。 其他 结果集存储策略 设置触发该规则的告警日志的返回结果集存储策略，包含使用资产设置、保存和不保存。

CSE Nacos提供监听查询的能力，即修改配置后，需要查看修改后的配置信息是否已推送到监听该配置的机器上，以便帮助您更好的检查配置变更是否推送到客户端。 1、登录微服务引擎控制台。 2、在左侧导航栏选择“注册配置中心”。 3、单击待操作的Nacos引擎实例名称。 4、在左侧导航栏选择“配置管理 > 监听查询”。 5、在“命名空间”下拉框中选择命名空间，在下拉框中选择查询条件，单击查询监听信息。 下拉框中选择“配置”，则在输入框中输入配置集ID和分组名称，查询该配置推送到的机器及推送状态。 图 查询配置推送 下拉框中选择“IP”，则在输入框中输入监听配置的机器的IP，查询该机器监听的所有配置。 图 查询该机器监听配置

号“ ”时，监控数据无法展示。 未开启SASL的Kafka专享版实例，在“/{命令行工具所在目录}/kafka{version}/bin/”目录下，通过以下命令创建Topic。 ./kafkatopics.sh create topic {topicname} bootstrapserver {brokerip}:{port} partitions {partitionnum} replicationfactor {replicationnum} 已开启SASL的Kafka专享版实例，通过以下步骤创建Topic。 （可选）如果已经设置了SSL证书配置，请跳过此步骤。否则请执行以下操作。在Kafka客户端的“/config”目录中创建“ssluserconfig.properties”文件，参考使用SASL证书连接增加SSL证书配置。 在“/{命令行工具所在目录}/kafka{version}/bin/”目录下，通过以下命令创建Topic。 ./kafkatopics.sh create topic {topicname} bootstrapserver {brokerip}:{port} partitions {partitionnum} replicationfactor {replicationnum} commandconfig ./config/ssluserconfig.properties 后续步骤 步骤四：连接实例生产消费消息

本文介绍如何在科研助手中创建存储源。 1.概述 科研助手提供非持久化的存储，如果您需要持久化存储数据，需要接入存储源，创建数据集，并将数据集挂载到指定的路径，从而实现读写数据集数据。科研助手提供文件存储和对象存储两种存储源，具体创建说明如下： 2.创建存储源 1）登录科研助手管理控制台。 2）在控制台左侧导航栏中，选择【数据存储】。 3）在【数据存储】弹出的选项中，选择【存储源管理】。 4）在【存储源管理】页面，点击左上角的【创建存储源】按钮。 5）点击后会弹出【创建存储源 】抽屉，输入和选择相关信息后，点击【确认 】，完成存储源创建；点击【取消】，放弃存储源创建。 2.1文件存储 2.1.1通过平台提供的智能边缘云文件存储（SFS）创建存储源 弹性文件服务（Scalable File Service，SFS）是天翼云提供的一项存储服务，基于NFS协议，可支持大规模数据的存储和处理，具有高性能和低延迟的特点，以满足不同的业务场景。 在弹出的【创建存储源】页面中，选择存储类型为“文件存储 “，选择数据存储为"智能边缘文件存储”： 配置参数，具体如下表所示： 参数 说明 是否必选 名称 输入作业名称。要求如下：长度范围为4~53个字符。名称由小写字母、数字、中划线（）和点（.）组成。以小写字母开头。以小写字母或数字结尾。 是 资源池 在选择资源池类型后，再选择资源池。 是 可用区 选择存储源建立在具体可用区，如福州6。 是 存储类型 文件存储 是 选择数据存储 智能边缘文件存储 是 选择文件系统 默认，自动申请，不可修改 否 存储规格 默认，通用类型，不可修改 否 协议 默认，NFS，不可修改 否 选择IO类型 选择磁盘类型。 是 容量大小 填写，具体的容量大小；最小为10G。 是