本文主要介绍SQL统计语法。 SQL是用于访问和处理数据库的标准计算机语言，云日志服务SQL提供了查询日志单元中结构化数据的语句。 在自定义语句模式下，您可以编写SQL语句进行统计分析，云日志服务将根据SQL语句返回统计分析结果。具体操作步骤请参考SQL统计分析概述。 语法格式 plaintext SELECT [ ALL DISTINCT ] { exprs } FROM { } [ WHERE wherecondition ] [ GROUP BY [ collistname ] [ HAVING expr ] [ ORDER BY expr [ ASC DESC ], expr [ ASC DESC ], ... ] [ LIMIT limit ] 语句说明 语句 说明 示例 SELECT 从表中选取数据，默认从当前日志单元中获取符合检索条件的数据内容。可省略后续的FROM log。 SELECT visitCount FROM log DISTINCT 返回去重后的结果。 SELECT DISTINCT visitCount AS 为列名称指定别名。 SELECT visitCount AS pv FROM 表示当前查询数据的源数据集， 可以是当前日志单元的结构化数据，该情况下FROM后只能接log，也可以是当前日志单元结构化数据的一个子集。不加FROM的时候默认从当前日志单元结构化数据查询，如果查询的数据源是一个子集，您需要编写子查询语句。 SELECT visitCount SELECT visitCount FROM log WHERE 指定查询的过滤条件，支持算术运算符、关系运算符和逻辑运算符。具体过滤条件可填在wherecondition处。 SELECT visitCount WHERE visitCount > 0 GROUP BY 指定作为分组依据的结构化字段，支持根据单字段或多字段分组。具体的结构化字段列表可填入collistname处。 SELECT host, count() AS pv WHERE visitCount > 0 GROUP BY host HAVING 只能与GROUP BY配合使用。指定用于过滤GROUP BY结果的结构化字段。 SELECT host, count() AS pv GROUP BY host HAVING pv > 10 ORDER BY 后面的字段必须是用于GROUP BY分组的字段，对GROUP BY的查询结果进行排序，用于排序的可以是任意一个结构化字段。 SELECT host, count() AS pv GROUP BY host ORDER BY pv ASC/DESC ASC为升序，DESC为降序，默认为ASC。 SELECT host, count() AS pv GROUP BY host ORDER BY pv DESC LIMIT 对查询结果进行限制，用于限制返回的结构化日志条数。一次查询最多返回20000条结构化日志。说明：如果不使用LIMIT语句，默认返回查询结果中最新的100条数据。 SELECT host LIMIT 100 注意 1. SQL 语句对大小写不敏感，如SELECT 等效于 select。 2. 使用SELECT从日志单元中获取数据时，默认最大获取100行数据，如需获取更多数据请使用LIMIT语法指定需要获取的行数，最多可获取2万行。 3. 字符串必须使用单引号''包裹，无符号包裹或被双引号""包裹的字符表示字段或列名。例如'status'表示字符串 status，status或"status"表示日志字段 status。字符串内本身包含单引号'时，需使用''（两个单引号）代表单引号本身。 4. SELECT中字段名称需符合列名规范，不符合该规范时，需使用双引号""包裹。 5. 每次只能执行一个sql语句。 6. 统计分析语句中默认不需要填写FROM子句和WHERE子句，默认统计当前日志单元中的数据。 7. 不需要在统计分析语句末尾加分号表示结束。

本节主要介绍如何在智能视图服务控制台使用巡航守望功能。 在云台控制页面，还支持预置位、巡航和守望的配置。 说明 预置位、巡航和守望配置需设备端支持。 预置位 支持配置多个预置位，点击【设置】按钮，该预置位会记录当前云台位置；点击预置位的【调用】按钮，设备会自动调整到该点位保存的云台位置。 巡航 平台默认支持配置8个巡航路径，点击【设置】按钮后，在创建巡航路径的窗口中，用户可下拉选择巡航路径，自定义路径名称，配置巡航速度和单个预置点的停留间隔时间，在巡航列表中通过添加多个预置位完成巡航路径的设置。已配置的巡航路径，用户通过点击【启用】设备即按照配置的预置位路径开始巡航。 守望 平台支持守望配置，用户可以下拉选择守望位置（即预置位）和等待时间并开启，当用户对设备停止云台控制一段时间（即等待时间）后，设备将自动读取并调整至守望位置。

创建主机组（自定义标识类型） 选择自定义标识主机组类型时，建议您先提前规划好需要添加标识的云主机，且主机已安装lmtAgent采集器。 1. 登录云日志服务控制台。 2. 点击左侧菜单栏主机管理主机组。进入主机组管理页面。 3. 右上角点击【新建主机组】。 4. 在弹出的新建主机组页面中，输入主机组名称，主机组类型选择“自定义标识”，主机类型选择“Linux”或“Windows”。 5. 输入自定义标识信息，点击“添加标识”，可添加多个自定义标识。 6. 单击“确定”，完成主机组创建。 7. 登录至需要添加至该主机组的云主机中，执行以下操作创建ext文件，用来保存主机标签。 1. 登录主机后，进入 /app/cams/lmtagent/user目录下。 2. 在该目录下，存在一个用户编码命名的子目录，再次进入该子目录。 3. 执行vi ext命令。 4. 按i进入insert模式，键入自定义标识(格式：{"labels":["自定义标识"]} )后，按ESC键，“:wq!”保存退出即可。 修改主机组 您可以对已创建的主机组修改名称、添加云主机、移除云主机、增加关联采集配置等。 删除主机组 1. 登录云日志服务控制台。 2. 点击左侧菜单栏主机管理主机组。进入主机组管理页面。 3. 点击待删除的主机组所在行的操作列的“删除”按钮。二次确认后即可完成删除。 注意 删除主机组后，相关日志数据将全部停止采集，请谨慎操作。

本章节介绍云容器集群Pod网络丢包故障演练。 背景介绍 网络故障可能导致数据包丢失，TCP 重传增加延迟，UDP 数据永久丢失。本演练模拟丢包，评估应用容错、重传策略和监控告警。 基本原理 通过增加TC和Netem规则模拟Pod内网络丢包 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 风险告知 此演练具有高度破坏性，请务必在充分了解其风险后，谨慎操作，强烈建议通过动作参数，控制网络故障注入的影响范围。 通信中断 ：网络包乱序影响探针程序与控制面的通信，此时该演练任务的状态极有可能显示为执行失败或恢复，但这恰恰是故障注入成功的表现。 无法自愈 ：超时机制可能失效，因为执行恢复动作同样需要通过网络通讯。 恢复方式 ：最可靠的恢复方法是通过云容器引擎 控制台，对目标实例节点执行强制重启操作。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群Pod网络丢包故障演练。 背景介绍 网络故障可能导致数据包丢失，TCP 重传增加延迟，UDP 数据永久丢失。本演练模拟丢包，评估应用容错、重传策略和监控告警。 基本原理 通过增加TC和Netem规则模拟Pod内网络丢包 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 风险告知 此演练具有高度破坏性，请务必在充分了解其风险后，谨慎操作，强烈建议通过动作参数，控制网络故障注入的影响范围。 通信中断 ：网络包乱序影响探针程序与控制面的通信，此时该演练任务的状态极有可能显示为执行失败或恢复，但这恰恰是故障注入成功的表现。 无法自愈 ：超时机制可能失效，因为执行恢复动作同样需要通过网络通讯。 恢复方式 ：最可靠的恢复方法是通过云容器引擎 控制台，对目标实例节点执行强制重启操作。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

应用托管 OpenClaw 安全风险通告,请用户务必关注! 近日，CERT 披露 OpenClaw 存在多类高危安全漏洞，涵盖命令注入、代码执行、权限提升、路径遍历、认证绕过等，攻击者可利用漏洞在目标机器上执行任意命令、越权提权、窃取 / 篡改系统数据，可能导致业务系统被入侵、核心数据泄露、云托管环境横向渗透等严重风险。 在应用托管中使用OpenClaw 历史版本（26.3.13版本之前）的客户，请尽快升级至应用托管最新版本，该版本已修复当前披露的OpenClaw 相关安全漏洞。如继续使用存在漏洞的历史版本，业务系统将面临被攻击者控制、勒索、数据窃取等安全威胁，为了您的数据安全请及时完成版本升级，可联系您的客户经理，或者提交客服工单，亦或直接拨打热线电话：4008109889转1。

步骤三：创建持久卷声明（PVC） 1. 创建示例yaml文件pvcstaticzos.yaml： plaintext apiVersion: v1 kind: PersistentVolumeClaim metadata: annotations: volume.beta.kubernetes.io/storageprovisioner: zos.csi.cstor.com name: pvcstaticzos namespace: default spec: accessModes: ReadWriteOnce resources: requests: storage: 5Gi volumeMode: Filesystem volumeName: {YOURPVNAME} 替换PV名称 2. 执行以下命令，创建pvc： plaintext kubectl apply f pvcstaticzos.yaml 步骤四：创建工作负载 1. 创建示例yaml文件podpvcstaticzos.yaml： shell apiVersion: apps/v1 kind: StatefulSet metadata: name: nginxpvcstaticzos labels: app: nginxpvcstaticzos spec: replicas: 1 serviceName: "" selector: matchLabels: app: nginxpvcstaticzos template: metadata: labels: app: nginxpvcstaticzos spec: containers: image: "registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim" imagePullPolicy: "IfNotPresent" name: "nginx" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" volumeMounts: mountPath: "/mnt/data" name: "volume1" subPath: "scetest" volumes: name: "volume1" persistentVolumeClaim: claimName: {YOURPVCNAME} 替换为步骤3中的PVC名称 2. 执行以下命令，创建StatefulSet： plaintext kubectl apply f podpvcstaticzos.yaml 步骤五：验证数据持久化 1. 登录弹性容器服务管理控制台。 2. 在容器组列表页点击刚才创建的实例。 3. 点击“远程连接”页签，进入到容器内。 4. 向/mnt/data 目录下写一个文件，执行: plaintext echo "Hello World" > /mnt/data/test.log 5. 查看/mnt/data 目录下文件，执行： plaintext cat /mnt/data/test.log 预期结果如下： 6. 退出“远程连接”，使用kubectl删除pod，会触发pod自动重建，等待Pod重新运行正常。 plaintext kubectl delete po nginxpvcstaticzos0 7. 对新建Pod，登录“弹性容器服务”管理控制台，继续执行“远程连接”，进入到容器内查看数据。执行： plaintext cat /mnt/data/test.log 预期结果如下： 8. 登录天翼云对象存储管理控制台，根据PV名称查看bucket，进入bucket中的文件管理，可以看到在容器内创建的文件： 下载文件并查看内容，预期结果与容器内写入数据一致。 9. 以上步骤说明，pod删除重建后，重新挂载对象存储卷，数据仍然存在；从对象存储下载数据并与写入数据一致， 说明对象存储中的数据可持久化保存。

规格项 规格要求 备注 操作系统 Windows 7 Pro SP1 64bit Windows 10 Pro 64bit Windows Server 2008 R2 Enterprise 64bit Windows Server 2016 standard 64bit Mac OS 暂时不支持Linux平台，Windows用户建议使用Windows7及以上版本。

默认情况下云搜索服务安装了简繁体转换插件，用户无需自行安装。简繁体转换插件是一款可以使中文简体和中文繁体相互转换的插件。通过该插件的转换，用户可以使用中文繁体关键字搜索出包含对应中文简体的索引数据，也可以使用中文简体关键字搜索出包含对应中文繁体的索引数据。 简繁体转换插件通常可以当做analyzer、tokenizer、tokenfilter或charfilter来使用。 简繁体转换插件的转换类型包含如下两种： s2t：将中文简体转换为中文繁体。 t2s：将中文繁体转换为中文简体。 示例指导 1. 登录云搜索服务管理控制台。 2. 在左侧导航栏中，选择“集群管理”，进入集群列表页面。 3. 在集群列表中，单击需要使用的集群对应“操作”列的“Kibana”。 如果开启了安全模式，需要输入创建集群时设置的用户名和密码。 4. 在Kibana的左侧导航中选择“Dev Tools”，单击“Get to work”，进入Console界面。 5. 在Console界面，执行如下命令，创建索引“stconvert”，并指定自定义映射来定义数据类型。 7.x之前版本 PUT /stconvert { "settings": { "numberofshards": 1, "numberofreplicas": 0, "analysis": { "analyzer": { "tsik": { "tokenizer": "iksmart", "charfilter": [ "tsconvert", "stconvert" ] } }, "charfilter": { "tsconvert": { "type": "stconvert", "converttype": "t2s" }, "stconvert": { "type": "stconvert", "converttype": "s2t" } } } }, "mappings": { "type": { "properties": { "desc": { "type": "text", "analyzer": "tsik" } } } } } 7.x之后版本 PUT /stconvert { "settings": { "numberofshards": 1, "numberofreplicas": 0, "analysis": { "analyzer": { "tsik": { "tokenizer": "iksmart", "charfilter": [ "tsconvert", "stconvert" ] } }, "charfilter": { "tsconvert": { "type": "stconvert", "converttype": "t2s" }, "stconvert": { "type": "stconvert", "converttype": "s2t" } } } }, "mappings": { "properties": { "desc": { "type": "text", "analyzer": "tsik" } } } } 返回结果如下所示。 { "acknowledged" : true, "shardsacknowledged" : true, "index" : "stconvert" } 6. 在Console界面，执行如下命令，导入数据到“stconvert”索引中。 7.x之前版本 POST /stconvert/type/1 { "desc": "國際電視臺" } 7.x之后版本 POST /stconvert/doc/1 { "desc": "國際電視臺" } 当返回结果信息中“failed”字段的值为“0”时，表示数据导入成功。 7. 在Console界面，执行如下命令，搜索关键字“国际”，并查看搜索结果。 GET /stconvert/search { "query": { "match": { "desc": "国际" } } } 搜索结果如下所示。 { "took" : 15, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : 1, "maxscore" : 0.5753642, "hits" : [ { "index" : "stconvert", "type" : "type", "id" : "1", "score" : 0.5753642, "source" : { "desc" : "國際電視臺" } } ] } }

更多功能 功能 功能描述 : 资源用量明细 用户可以在这里查看vCPU、内存、GPU、磁盘、网络等资源的使用量及计费信息。 配额中心 用户可以在这里查看各类资源如函数数量、触发器数量、vCPU、内存等配额限额，必要时可以申请扩大配额。 消息通知 用户可以在这里查看平台发送的消息。

本章节介绍云容器集群节点DNS篡改故障演练。 背景介绍 DNS 篡改是一种常见的攻击手段或配置错误，它会导致域名被错误地解析到非预期的IP地址，从而在云容器引擎（CCE）环境中引发节点间流量劫持、服务访问异常或数据泄露等风险。本演练通过模拟 DNS 篡改场景，帮助您检验集群的安全防护机制、验证监控告警的有效性，并评估业务在域名解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群节点DNS篡改故障演练。 背景介绍 DNS 篡改是一种常见的攻击手段或配置错误，它会导致域名被错误地解析到非预期的IP地址，从而在云容器引擎（CCE）环境中引发节点间流量劫持、服务访问异常或数据泄露等风险。本演练通过模拟 DNS 篡改场景，帮助您检验集群的安全防护机制、验证监控告警的有效性，并评估业务在域名解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本页简要介绍分布式数据库V5.0.0版本更新说明。 V5.0.0版本说明 组件名称 版本号 发布时间 TeleDBXCore 5.0 2022年 12 月 新增和优化功能： 1. 支持重置实例密码，包括查看实例详情和重置实例root用户密码。 2. 支持备份数据加密。 3. 支持表空间管理，包括创建表空间、查看实例所有用户、检测挂载目录可用性、查看表空间列表、删除表空间和修改表空间。 4. 支持创建同规格实例，包括查看实例信息、创建同规格实例、软件包增加blocksize特性解析、升级时增加blocksize筛选、实例开通时提供多个不同的blocksize编译包、。创建实例时增加数据损坏检测和链接实例提供SSL加密功能。 5. 优化Oracle兼容性，包括支持NULLIF函数、支持TRIM函数、支持 physicalattributesclause函数、支持dual虚表、支持查询ORDER BY、允许插入字符串类型的数据（text/varchar.）转换为数字类型的列（int/nuemric）和支持运算符“”等。 6. 支持跨数据库数据访问、跨平台与Oracle数据库数据交换和多模式访问。 修改功能 无。 修复缺陷 无。

本节主要介绍SNAT规则的常见问题。 为什么使用SNAT？ 对公网NAT网关来说，一些弹性云主机不仅需要使用系统提供的服务，还需要访问外网以获取信息或下载软件。但是，给弹性云主机分配公网IP需要消耗稀缺资源（如IPv4地址），增加额外的成本，并有可能增加虚拟环境遭受攻击的几率。因此，多个弹性云主机共享同一公网IP是一种可行的方法，具体实施方法为源地址转换（SNAT）。 什么是SNAT连接数？ 由源IP地址、源端口、目的IP地址、目的端口、传输层协议这五个元素组成的集合视为一条连接。连接能够区分不同会话，并且对应的会话是唯一的。其中源IP地址和源端口指SNAT转换之后的IP和它的端口。 由于SNAT支持TCP、UDP和ICMP三种协议，每一个目的IP和目的端口，NAT网关最多可支持55000个并发连接。如果目的IP、端口或者协议（TCP/UDP/ICMP）发生变化，则可以再创建55000个连接。弹性云主机中通过netstat命令看到ESTABLISHED状态的连接数和实际SNAT连接数有时会不一致。假设一个弹性云主机平均每秒钟创建100个与固定目的的连接，不考虑连接老化的话，大约10分钟会将55000个连接耗尽导致连接无法新建。 NAT网关中SNAT连接如果长时间没有数据报文，会超时断开。因此为防止连接中断您需要发起更多的数据包或使用TCP保持连接。同时，为避免出现因连接数规格用满而出现的影响业务的情况，建议经常关注CES监控中的NAT网关SNAT连接数并合理设置告警。

本节介绍了密码过期问题与处理方法。 TaurusDB 8.0版本支持通过设置全局变量“defaultpasswordlifetime”来控制用户密码的默认过期时间。 参数“defaultpasswordlifetime”的值为N，表示密码N天后过期，单位为天。默认值为0，表示创建的用户密码永不过期。 修改全局自动密码过期策略 您可以在云数据库TaurusDB界面，通过设置参数“defaultpasswordlifetime”的值，修改密码过期策略。 参数修改具体请参见编辑参数模板。 通过命令修改全局变量“defaultpasswordlifetime”的值。 mysql> set global defaultpasswordlifetime0; 查看当前所有用户的密码过期时间 执行以下命令： mysql> select user,host,passwordexpired,passwordlastchanged,passwordlifetime from user; 查看指定用户的密码过期策略 执行以下命令： mysql> show create user jeffrey @'localhost'; “EXPIRE DEFAULT”表示遵从全局到期策略。 设置指定用户的密码过期策略 创建用户的同时设置密码过期策略 create user ' script '@'localhost' identified by ' ' password expire interval 90 day; 创建用户后设置密码过期策略 ALTER USER ' script '@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY; 设置密码永不过期 mysql> CREATE USER ' mike '@'%' PASSWORD EXPIRE NEVER; mysql> ALTER USER ' mike '@'%' PASSWORD EXPIRE NEVER; 设置密码遵从全局到期策略 mysql> CREATE USER ' mike '@'%' PASSWORD EXPIRE DEFAULT; mysql> ALTER USER ' mike '@'%' PASSWORD EXPIRE DEFAULT;

本文介绍DDoS高防（边缘云版）相关的概念解释。 什么是DDoS高防经常提到的源站IP？ 源站IP指客户的业务系统对外提供服务时所使用的公网IP地址。 用户在接入域名时，需要配置源站地址。当攻击流量经过天翼云节点清洗后，干净的业务流量将会转发回客户源站IP。 什么是SYN Flood攻击？ SYN Flood攻击是一种典型的DDoS攻击，主要攻击方式表现为服务端接收到 SYN包 后，会回复SYN ACK包，并进入半连接状态。Attacker一直发送 SYN包，但不回复 ACK包，直到被攻击方的服务器资源耗尽。 什么是ACK/UDP/ICMP Flood攻击？ ACK/UDP/ICMP Flood攻击是指攻击者发起大量ACK/UDP/ICMP数据包，造成服务器过载，目的是通过大量的报文，导致被攻击方的服务器资源耗尽，无法响应正常的请求。 什么是空连接攻击？ 空连接攻击是攻击者与服务端完成TCP握手，并建立TCP连接，但不发起任何请求，导致连接被占用甚至耗尽，从而影响正常用户发起连接。 什么是UDP反射放大攻击？ 正常情况下客户端发送请求包到服务端，服务端返回响应包到客户端，但是 UDP 协议是面向无连接的，所以攻击者将源IP伪造成被攻击方IP，响应包则全部反射到被攻击方，导致被攻击方的服务器资源耗尽。 什么是CC攻击？ 黑客利用代理服务器或者控制的肉鸡，向目标服务器发送大量的请求（尤其是需要频繁查询数据库的请求），致使CPU处理不过来这么多的请求，长期处于100%的状态，从而无法处理正常请求。

您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 部署规划 在部署环境之前，硬件、网络及基础环境必须满足如下要求： 服务器芯片：支持国产鲲鹏、海光、龙芯 服务器规格：4C8G及以上 磁盘：推荐1T及以上，实例节点服务器建议使用SSD 网络:千兆网络，实例节点服务器建议万兆网卡 操作系统版本：麒麟V10 SP3、统信V20 部署机器SSH 版本要求 7.4以上 最小化部署主机数量：dcp控制台和TeleDB控制台一台主机，实例主机至少两台， 最小化资源部署需要三台主机 主机规格要求：控制台主机系统为centos7.6+intelx86 ，8c16g以上，建议为8c32g，实例主机系统可选择centos7.6+intelx86或者ctyunos201+鲲鹏920 准备一个数据盘，控制台主机建议500G，实例主机根据数据量判断 主机名 规格 目录及大小 系统及CPU类型 说明 A机器 8C32G 系统盘500G/app1T centos7.6+intelx86 用于安装dcp控制台和TeledbDBX控制台 B机器 8C32G 系统盘500G/app1T centos7.6+intelx86 用于安装实例主机 C机器 8C32G 系统盘500G/app1T centos7.6+intelx86 用于安装实例主机

您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 部署规划 在部署环境之前，硬件、网络及基础环境必须满足如下要求： 服务器芯片：支持国产鲲鹏、海光、龙芯 服务器规格：4C8G及以上 磁盘：推荐1T及以上，实例节点服务器建议使用SSD 网络:千兆网络，实例节点服务器建议万兆网卡 操作系统版本：麒麟V10 SP3、统信V20 部署机器SSH 版本要求 7.4以上 最小化部署主机数量：dcp控制台和TeleDB控制台一台主机，实例主机至少两台， 最小化资源部署需要三台主机 主机规格要求：控制台主机系统为centos7.6+intelx86 ，8c16g以上，建议为8c32g，实例主机系统可选择centos7.6+intelx86或者ctyunos201+鲲鹏920 准备一个数据盘，控制台主机建议500G，实例主机根据数据量判断 主机名 规格 目录及大小 系统及CPU类型 说明 A机器 8C32G 系统盘500G/app1T centos7.6+intelx86 用于安装dcp控制台和TeledbDBX控制台 B机器 8C32G 系统盘500G/app1T centos7.6+intelx86 用于安装实例主机 C机器 8C32G 系统盘500G/app1T centos7.6+intelx86 用于安装实例主机

您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 在部署环境之前，硬件、网络及基础环境必须满足如下要求： 服务器芯片：支持鲲鹏、海光、龙芯 服务器规格：4C8G及以上 磁盘：推荐1T及以上，实例节点服务器建议使用SSD 网络:千兆网络，实例节点服务器建议万兆网卡 操作系统版本：麒麟V10 SP3、统信V20 部署机器SSH 版本要求 7.4以上 最小化部署主机数量：dcp控制台和TeleDB控制台一台主机，实例主机至少两台， 最小化资源部署需要三台主机 主机规格要求：控制台主机系统为centos7.6+intelx86 ，8c16g以上，建议为8c32g，实例主机系统可选择centos7.6+intelx86或者ctyunos201+鲲鹏920 准备一个数据盘，控制台主机建议500G，实例主机根据数据量判断 主机名 规格 目录及大小 系统及CPU类型 说明 A机器 8C32G 系统盘500G/app1T centos7.6+intelx86 用于安装dcp控制台和TeledbDBX控制台 B机器 8C32G 系统盘500G/app1T centos7.6+intelx86 用于安装实例主机 C机器 8C32G 系统盘500G/app1T centos7.6+intelx86 用于安装实例主机

本章节向您介绍此最佳实践的使用场景。 场景描述 概述：不同区域的公有云内资源，通过VPN连接打造IPSec加密隧道，实现云间高速互联通道，为不同区域的不同业务系统提供数据交互方案。 典型行业：所有公有云行业应用 适配场景：云间业务、数据互联 技术架构图 本实践方案基于如下图所示的技术架构和主要流程。 VPN连接提供云间高速互联通道示意图 方案优势 提供IPSec加密通道，传输安全性高 网关带宽有保障，业务、数据互通效率高 通过互联网环境传输，链路成本低

如果您需要对天翼云上购买的存储容灾服务（Storage Disaster Recovery Service）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用SDRS的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见IAM产品帮助中心。 SDRS系统策略 策略是以JSON格式描述权限集的语言。默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。IAM系统预置了各服务的常用权限，例如管理员权限、只读权限，您可以直接使用这些系统策略。 SDRS部署时通过物理区域划分，为项目级服务，需要在各区域（如江苏苏州）对应的项目（cnjssz1）中设置策略，并且该策略仅对此项目生效，如果需要所有区域都生效，则需要在所有项目都设置策略。访问SDRS时，需要先切换至授权区域。

本节介绍专属加密服务的功能特性。 专属加密（Dedicated Hardware Security Module，Dedicated HSM）是一种云上数据加密的服务，可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。 Dedicated HSM为您提供的加密硬件，帮助您保护弹性云服务器上数据的安全性与完整性，满足FIPS 1402安全要求。同时，您能够对专属加密实例生成的密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。 功能介绍 Dedicated HSM提供以下功能： 生成、存储、导入、导出和管理加密密钥（包括对称密钥和非对称密钥） 使用对称和非对称算法加密和解密数据 使用加密哈希函数计算消息摘要和基于哈希的消息身份验证代码 对数据进行加密签名（包括代码签名）并验证签名 以加密方式生成安全随机数据 Dedicated HSM支持的密码算法 支持国际通用密码算法，满足用户各种加密算法需求。 Dedicated HSM支持的密码算法 加密算法分类 通用密码算法 国密算法 对称密码算法 AES SM1、SM4、SM7 非对称密码算法 RSA（10244096） SM2 摘要算法 SHA1、SHA256、SHA384 SM3 Dedicated HSM支持的密码机类型 密码机类型 功能 适用场景 服务器加密机 数据加密/解密、数据签名/验签、数据摘要、支持MAC的生成和验证 满足各种行业应用中的基础密码运算需求，比如身份认证、数据保护、SSL密钥和运算卸载等。 金融加密机 支持PIN码的生成/加密/转换/验证 支持MAC生成及验证 支持CVV生成及验证 支持TAC生成及验证 支持常用Racal指令集 支持PBOC3.0常用指令集 满足金融领域密码运算需求，比如发卡系统、POS系统等。 签名服务器 签名/验签、编码/解码数字信封、编码/解码带签名的数字信封、证书验证 满足签名业务相关需求，比如CA系统、证书验证、大量数据的加密传输和身份认证。

本文介绍了云防火墙（原生版）产品的功能特性。 天翼云云防火墙（原生版）产品是一款云平台SaaS化的防火墙，保护您的网络边界安全，主要包含以下功能： 概览 防火墙防御能力总览，包括安全防护、防护情况、安全策略和流量趋势。 安全防护展示了互联网边界防火墙的防护总体情况，包括已开启和未开启防护的IP。 防护情况展示了防护的总体情况，包括入侵防御拦截数和访问控制拦截数。 安全策略展示了客户配置的访问控制策略的情况，分别为外对内规则数、内对外规则数、黑名单规则数、白名单规则数。 流量趋势展示了流量最近一段时间的入方向流量趋势和出方向流量趋势。 互联网边界防火墙 互联网边界防火墙可为需要防护的IP资产进行开启或关闭防护。 公网IP统计了用户已开启和未开启防护的IP，可用授权展示已经购买的云防火墙配额数。 防护列表展示用户所有的EIP，列表包括公网IP（实例名称、ID）、虚拟私有云（VPC名称、VPC网段）、绑定资产类型、绑定资产（资产名称、ID）、防火墙状态、配额情况和操作。 说明 可以进行IPv4/IPv6的切换，并可根据资产类型、防火墙状态、公网IP和虚拟私有云进行筛选，对于已经购买配额的EIP，可进行开启防护和关闭防护。

前提条件 要修改带宽的弹性IP不能是已过期状态，只有未过期的弹性IP才可以修改带宽，已过期的弹性IP要想修改带宽可以先续费。 操作步骤 1. 进入网络控制台，在服务列表中点击【弹性公网IP】按钮。 2. 在弹性公网IP列表找到需要变配的弹性 IP，鼠标移入操作列中的【更多】，在出现的列表框点击【修改带宽】。 3. 在弹出的界面中按照您的需要修改带宽，修改完成后点击【确定】，根据提示完成订单即可。 特殊场景说明 若用户当前的弹性IP/共享带宽已经达到带宽配额的上限，可以按照以下规则提交工单进行带宽配额上限的提升。 场景一： 场景说明 若当前使用的公网产品为按需计费的弹性IP，且带宽值达到弹性IP带宽配额上限，当用户收到带宽使用率或丢包率的监控告警时，推荐使用共享带宽，可按实际业务需求，创建带宽规格更大的共享带宽实例，将弹性IP加入该共享带宽实例。 示例 某电商企业在天翼云上部署了其电商业务系统该企业目前使用按需按流量计费的弹性IP，带宽值为300Mbps。随着业务的快速发展，尤其是在促销活动期间，业务流量会出现显著的短期激增，在业务高峰时有时会产生网络质量不佳的现象。 该企业目前使用按需按流量计费的弹性IP，带宽值为300Mbps，已达到该付费方式的带宽上限，在业务高峰期可能无法满足突发流量的需求，导致网络性能下降，影响用户体验和服务质量。针对弹性IP场景，产品提供1300Mbps的带宽值可选范围，客户有大有较高带宽需求时，当前可选带宽值上限可能无法满足实际业务使用，当短时内有大量业务流量产生，短时内产生大量业务流量造成带宽超限，则会产生丢包，造成网络质量不佳。 在这种背景下，对于按流量计费的弹性IP用户，如果现有的带宽值上限不足以应对突发流量，建议使用共享带宽产品。通过创建一个具有足够大带宽的共享带宽实例（如1000Mbps），并将当前的弹性IP加入其中，当有突发的业务流量高峰时，共享带宽中的每个弹性IP根据流量大小分摊带宽，当某个业务流量短时间内大幅度波动（如促销等），业务可以从共享带宽中分摊到较大带宽，从而有效度过流量高峰。 如果用户已经在使用共享带宽，带宽值上限仍未达到业务需求，则可以提交工单，经评估式请求进一步提高带宽上限。

本章节主要介绍引擎备份与恢复 用户可自定义备份策略，对状态为“可用”的微服务引擎进行定期备份，也支持手动对微服务引擎进行备份。 使用前提 仅专享版微服务引擎支持备份恢复功能。 每个微服务引擎专享版最多有15个成功的备份数据，其中手动备份最多10个，自动备份最多5个。 备份数据会保留10天，超过之后会删除过期的备份数据。 自动备份 1、进入微服务引擎页面，单击左侧菜单栏的“引擎列表”。 2、单击专享版的引擎名称，进入微服务引擎的详细页面。 3、单击“备份与恢复”页签。 4、单击“备份策略”，配置备份参数。 表 备份参数说明 参数 说明 自动备份 关闭自动备份后将会删除之前设置的备份策略，需要重新设置。 备份周期 设置备份周期。 开始时间 设置备份任务开启的时间，仅支持整点。 5、单击“确定”，完成备份策略的配置。 设置备份策略后，将在预设时间之后，1小时内触发备份任务。 手动备份 1、进入微服务引擎控制台，单击左侧菜单栏“ 微服务引擎”。 2、单击专享版的引擎名称，进入微服务引擎详情页面。 3、单击“备份与恢复”页签。 4、单击“手动备份”，配置备份参数。 表 备份参数说明 参数 说明 名称 备份任务的名称，创建备份任务后不能修改名称。 名称不能为空。 只能以英文字母开头。 长度为3到24位的字符串。 仅包含英文字母、数字和中划线（）。 不能以中划线（）结尾。 备注 添加描述信息，长度不超过255。 5、单击“确定”，立即执行备份任务。

本章节主要介绍ALM43010 JDBCServer2x进程堆内存使用超出阈值的告警。 告警解释 系统每30秒周期性检测JDBCServer2x进程堆内存使用状态，当检测到JDBCServer2x进程堆内存使用率超出阈值（最大内存的95%）时产生该告警。 告警属性 告警ID 告警级别 是否自动清除 43010 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 JDBCServer2x进程堆内存使用率过高，会影响JDBCServer2x进程运行的性能，甚至造成内存溢出导致JDBCServer2x进程不可用。 可能原因 该节点JDBCServer2x进程堆内存使用率过大，或配置的堆内存不合理，导致使用率超过阈值。 处理步骤 检查堆内存使用率 在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，选中“ID”为“43010”的告警，查看“定位信息”中的角色名以及确认主机名所在的IP地址。 1. 在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Spark2x > 实例”，单击告警上报的JDBCServer2x，进入实例“概览”页面，单击图表区域右上角的下拉菜单，选择“定制 > JDBCServer2x内存使用率统计”，单击“确定”，查看JDBCServer2x进程使用的堆内存是否已达到JDBCServer2x进程设定的最大堆内存的阈值（默认95%）。 是，执行步骤3。 否，执行步骤7。 2. 在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Spark2x > 实例”，单击告警上报的JDBCServer2x，进入实例“概览”页面，单击图表区域右上角的下拉菜单，选择“定制 > JDBCServer2x进程的堆内存统计” ，单击“确定”，根据告警产生时间，查看对应时间段的“JDBCServer2x进程使用的堆内存”的值，获取最大值。 3. 在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Spark2x > 配置”，单击“全部配置”，选择“JDBCServer2x > 性能”，“SPARKDRIVERMEMORY”参数的值默认4G，可根据如下原则进行调整：告警时间段内JDBCServer2x使用堆内存的最大值和“JDBCServer2x堆内存使用率统计 (JDBCServer2x)”阈值的比值。若参数值调整后，仍偶现告警，可以按0.5倍速率调大。若频繁出现告警，可以按1倍速率调大。多业务量、高并发的情况可以考虑增加实例。 说明 在FusionInsight Manager首页，选择“运维 > 告警 > 阈值设置 >待操作集群名称 > Spark2x > 内存 > JDBCServer2x堆内存使用率统计 (JDBCServer2x)”，可查看“阈值”。 4. 重启所有的JDBCServer2x实例。 5. 等待10分钟，观察界面告警是否清除。 是，处理完毕。 否，执行步骤7。

本文通过图文介绍如何停用域名和删除域名。 背景说明 如果您的网站因业务变更需要停止全站加速服务，可以通过客户控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 通过客户控制台对域名进行停用操作后，域名状态将变更为“已停止”，全站加速节点上的域名配置会被立即删除，系统数据库中会保留配置以便再次启用域名，但域名的CNAME将被立即解析至不可用地址。为避免您的业务中断，请务必在操作域名停用前将域名DNS解析至非天翼云的CNAME或您的源站地址。 删除域名 对域名进行删除操作后，天翼云会直接删除域名在全站加速节点和系统数据库中的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至全站加速节点，则会响应403。 注意 停用全站加速域名前，为了避免停用导致业务中断，您需要确保已将域名DNS解析记录由原来的天翼云CNAME调整为其他非天翼云的CNAME或您的源站地址。该调整完成后，您可以通过客户控制台数据分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 对域名进行停用操作后，全站加速节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。

本文带您了解如何查看报警规则。 操作场景 告警规则是一种定义在监控系统中的规则，用于检测和触发特定事件或条件的警报。您可以在云监控控制中心查看创建的告警规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成告警规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下“告警规则”，进入“告警规则”界面。 5. 在“告警规则”页面，可以查看告警规则的监控对象、策略、状态等内容。

本节主要介绍为IAM用户授权 如果管理员在创建IAM用户时，没有将其加入任何用户组， 则新创建的IAM用户不具备任何权限，不能对云服务进行操作 ，管理员可以在IAM控制台或天翼云官网将其加入用户组，为其授予所属用户组的权限策略。授权后，用户即可根据用户组权限使用帐号中的云服务资源。 基于用户组授权 步骤 1 管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户组”。 步骤 5 找到计划加入的用户组，单击右侧的“用户组管理”。 步骤 6 选择IAM子用户，单击“确认”，将IAM用户加入用户组，加入用户组后，IAM用户将拥有所属用户组的所有权限。 说明 如果将IAM用户加入默认用户组“admin”，则IAM用户为管理员，可以对所有云服务执行任意操作。 当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即取多个用户组权限的全集。 所有使用IAM授权的云服务的系统策略，请参见：权限集。 如果您开通了企业管理，将不能创建IAM项目，请谨慎操作。 基于企业项目授权 步骤 1 管理员登录IAM控制台。 步骤 2 管理员在用户列表中，单击用户名称，进入IAM用户详情页面。 步骤 3 在IAM用户详情页面，单击“授权记录”页签，然后单击“授权”，可 直接给用户授权（适用于企业项目授权） ，直接给IAM用户授予云服务权限，勾选对应的云服务权限后，单击“下一步”。 说明 该授权方式仅在您开通企业项目后支持。 步骤 4 在“设置最小授权范围”页面，选择授权IAM用户使用的企业项目。 步骤 5 单击“确定”，完成IAM用户授权。 授权完成后，管理员可以在“权限管理>授权管理”页面查看、修改该IAM用户的权限。

本文为您介绍创建应急切换的具体操作。 概述 应急切换用于灾难发生后为了快速恢复业务而进行的一系列切换或恢复任务，涉及的切换任务来源于相应的预案流程。故障切换场景下可根据预设的切换预案流程拉起依次数据库、存储、灾备云主机等相关服务；故障回切场景下可根据预设的回切预案流程执行数据库、存储、容灾云主机的回切操作，以确保业务正常运行。 使用条件 应急切换主要用于突发故障下切换工作，为单次执行，不可重复执行。若需定时多次演练，可在容灾演练模块进行相关操作。 进行应急切换前，需完成命名空间创建、容灾管理中心配置、应用接入（可选）、预案编排。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“容灾切换”“应急切换”，进入应急切换列表页。 5. 在列表上方下拉菜单中选择需要进行应急切换的命名空间。 6. 点击列表上方的“创建应急切换”按钮，弹出创建应急演练弹窗。 7. 填写创建应急切换信息，各配置项信息如下： 参数 是否必填 配置说明 切换名称 √ 填写切换名称，同命名空间下切换名称需唯一。 关联预案 √ 选择当前命名空间下已发布状态的预案名称。 涉及容灾管理中心 × 显示选择关联预案后容灾管理中心。 切换超时时间 √ 填写切换超时时间，单位为分钟。 系统将在执行“开始切换”操作后计时，超时系统将自动终止该切换，最新切换状态更新为“已终止”且无法恢复。 时间范围为10分钟6小时。 单个任务超时时间 √ 填写单个任务超时时间，单位为分钟。 单个任务超时时间指任务执行时间超出后系统自动将该任务状态置为“已超时”，需人工介入处理。 该超时时间仅对脚本任务及资源操作类的内置任务有效，人工任务及流程控制类的内置任务不受此超时时间影响。 时间范围为1分钟2小时。 描述 × 填写容灾切换描述。 长度为0100个字符。 8. 点击“确定”按钮，完成应急切换创建。成功创建后，列表新增一条相关记录，状态为“未开始”。

T6型弹性云主机的CPU积分 初始积分：1台t6云主机在创建成功后，会分到云平台分配的CPU积分，即初始CPU积分。初始CPU积分仅在创建时分配。 示例：以t6.large.1为例，云主机创建成功后，会分配60个CPU积分。 最大积分：当分配积分大于消耗积分时，CPU积分会越来越多。获得的积分在运行的云主机上不会过期，但每个云主机可累积获取的积分数存在上限，即CPU积分累积上限。不同的云主机规格，上限不同。 示例：以t6.large.1为例，最大CPU积分余额为576。当CPU积分达到576，CPU积分暂停累积，少于576时，重新开始累积。 CPU积分/小时：每小时云主机获取的CPU积分，与基准CPU计算性能对应。1个vCPU计算性能100%时，运行1分钟 ，消耗1个积分。 示例：以t6.large.1为例，CPU积分/小时为24，代表CPU积分分配速度为每小时24个CPU积分。 了解更多CPU计算方法请参考CPU积分计算方法。 表 T6型弹性云主机的CPU积分 规格名称 初始积分 最大积分 CPU积分/小时 t6.small.1 30 144 6 t6.large.1 60 576 24 t6.xlarge.1 120 1152 48 t6.2xlarge.1 120 1728 72 t6.4xlarge.1 160 3456 144 t6.medium.2 30 144 6 t6.large.2 60 576 24 t6.xlarge.2 120 1152 48 t6.2xlarge.2 120 1728 72 t6.4xlarge.2 160 3456 144 t6.large.4 60 576 24 t6.xlarge.4 120 1152 48 t6.2xlarge.4 120 1728 72

场景3：利用海外或公有云IP发起CC攻击 在CC攻击中，经常出现攻击来源于海外IP、公有云IP和IDC机房IP的情况。我们可以通过识别这些IP防止CC攻击。 您可以使用访问控制功能，限制指定地理位置的IP对网站访问，如：限制除中国地区外的其他地区不可访问，从而阻止来自海外IP的攻击。 此外，WAF提供的Bot防护功能，可针对常见IDC IP库的IP进行访问拦截，如您需要开通此功能，可提交工单申请。 场景4：针对关键接口的CC攻击 关键接口CC攻击是指通过大量恶意请求网页环境的关键接口，如登录、注册等从而使服务不可用的攻击手段。针对此类攻击您可以使用WAF的账户安全防护功能（撞库防护、暴力破解），对指定接口进行防护，具体配置操作请参考：安全防护配置账户安全防护。 场景5：大规模扫描和爬取行为 大规模的恶意扫描行为会给服务器带来很大压力，除了限制访问请求频率外，您还可以使用以下几种防护配置加强防护效果： 攻击挑战：攻击挑战功能可发现在短时间内发起多次请求的IP，并在一段时间内阻断该IP的所有请求，具体配置操作请参考：安全配置防护高级防护攻击挑战。 扫描器访问拦截：该功能可自动封禁来自常见扫描工具访问请求，如您需要开通此功能，可提交工单申请。 Bot防护：Bot防护可限制对网站的大规模爬取行为，如您需要开通此功能，可提交工单申请。