本文帮助您快速熟悉如何删除对等连接。 操作场景 对等连接在任何状态下，两端账户均有权限删除对等连接。删除对等连接后，之前连接的VPC之间将无法直接通信。 注意 删除对等连接会同时删除其相关的路由配置，删除后不可恢复。 操作步骤 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在对等连接列表中选择要修改的对等连接，点击“操作”列下的“删除”按钮。 5. 在弹出的窗口中，点击“确定”，完成删除操作。

删除手动备份 如果不再需要已经生成的手动备份，可在“备份管理”页面或“备份恢复”页签进行删除。 手动备份被删除后，将不再显示在备份列表中。 说明 备份删除后，不可恢复，请谨慎操作。 备份删除后，不可恢复，请谨慎操作。 方式一 登录管理控制台。 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 在“实例管理”页面，单击目标实例，进入实例的“基本信息”页签。 在左侧导航栏中选择“备份恢复”页签，单击目标备份对应操作列中的“删除”。 在删除备份弹出框中，确认目标备份的信息，单击“是”。 方式二 登录管理控制台。 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 在“备份管理”页面，单击目标备份对应操作列中的“删除”。 在删除备份弹出框中，确认目标备份的信息，单击“是”。

本节为您介绍云迁移服务CMS迁移组详情页查看。 1. 云迁移服务CMS提供迁移组详情页查看功能，您可以点击左侧导航栏选择资源规划，点击【迁移组】按钮，进入 [ 迁移组 ] 界面，选择对应迁移组，点击【详情】按钮，跳转 [ 迁移组 ] 详情界面，如图所示。 2. 迁移组展示迁移组基本信息，如图所示。 3. 迁移组展示迁移组迁移资源统计列表信息，如图所示。 4. 迁移组展示迁移组资源清单列表信息，如图所示。 5. 迁移组展示迁移组迁移计划列表信息，如图所示。

本节为您介绍云迁移服务CMS资源规划之资源任务查看。 云迁移服务CMS 提供资源管理功能，您可以通过左侧菜单栏选择资源规划点击【资源管理】进入[资源管理]界面。[资源管理]界面展示资源基本信息，如资源名称、资源状态、资源类型、采集方式、资源发现任务、迁移组、迁移计划名称、计划创建时间、备注、操作等信息。 资源名称 用于用户创建资源所取得名称，可修改。 资源状态 用于现实资源迁移状态分为未计划、待迁移、迁移中、迁移完成、迁移失败。 资源类型 用于评估源机资源类型可分为主机、数据库、对象存储。 采集方式 区分源端资源创建通过的采集信息方式分为离线采集和在线采集。 资源发现任务 创建资源发现任务的任务名称，用于更好识别任务的对象、用途等。

本页面总结并介绍了多种解决方案来迁移和同步数据。 云数据库ClickHouse提供了多种解决方案来迁移和同步数据，以满足不同业务场景下对数据库数据迁移和同步的需求。这些方案可以帮助用户高效、可靠地将数据从一个环境迁移到另一个环境，并确保数据的一致性和完整性。无论是从本地数据库迁移到云数据库ClickHouse，还是从其他数据源进行数据同步，都可以利用这些方案来简化数据迁移和同步的过程。 从MySQL迁移数据 从本地存储迁移数据 从Flink迁移数据 从ClickHouse 自建集群迁移数据 从Kafka迁移数据

本章节主要介绍ALM12080 omm密码即将过期。 告警解释 系统每天零点开始，每8小时检测当前系统中omm密码是否即将过期，如果当前时间与密码过期时间剩余不足15天，则发送告警。 当系统中omm密码过期的期限重置，当前状态为正常，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12080 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 omm密码过期，Manager各节点互信不可用，无法对服务提供管理功能。 可能原因 该主机omm密码即将过期。 处理步骤 检查系统中omm密码是否即将过期 1.以root用户登录集群故障节点。 执行chage l omm命令来查看当前omm用户密码设置信息。 2.查找“Password expires”对应值，查看密码设置是否即将过期。 说明 如果参数值为“never”，则代表永不过期；如果为日期值，则查看是否在15天内过期。 是，执行步骤3。 否，执行步骤4。 3.执行chage M '天数' omm命令设置 omm 密码的有效天数，等待8小时，观察告警是否自动清除。 是，操作结束。 否，执行步骤4。

本节主要介绍计费模式。 云容器引擎（CCE）支持“按需计费”、“包年/包月”两种计费方式，供您灵活选择。

本文介绍了云防火墙（原生版）产品的最佳实践，从EIP防护带宽选择、开启资产保护、配置访问控制策略等方面提供指导。 如何选择合适的EIP防护带宽？ 云防火墙（原生版）C100型实例提供高级版和企业版供用户选择，不同版本支持的EIP防护带宽不一样，建议EIP防护带宽不小于VPC内EIP总带宽。 EIP防护带宽支持范围如下： 高级版：10Mbps~2000Mbps 企业版：50Mbps~2000Mbps 开启公网资产保护 互联网边界防火墙帮助您检测和防护云上公网IP资产间的通信流量。只有为资产开启互联网边界防火墙后，您才可以使用云防火墙分析和控制云上主机的互联网访问流量。 您可以在“防火墙开关 > 互联网边界防火墙开关”页面，对指定的公网IP资产开启互联网边界防火墙，如下图所示。 配置外到内的访问策略 在“访问控制 > 互联网边界规则 > 入向规则”页面可进行配置，如下图所示。 在入向规则的访问策略中，不要对公网IP全部端口开放访问，对外仅开放必要的互联网IP和端口，其他端口请全部设置为拒绝。 放行需要对外开放的应用或端口 在访问控制页面入向规则列表中，依据业务需求，将源IP地址配置为0.0.0.0/0或特定源，目的选择要放开的IP，协议选择ANY或者依据业务需要选择对应协议，动作选择放行。 例如，80端口为Web服务，对全网开放，因此访问源为0.0.0.0/0；1433、3389端口分别为SqlServer、RDP服务，对特定源开放，因此访问源为特定源。 将除放行策略之外的流量设置为拒绝放行 在访问控制页面入向规则列表中，将源IP地址配置为0.0.0.0/0或地址簿中系统默认配置的地址簿ANY（0.0.0.0/0），目的设置为ANY，协议设置为ANY，动作选择拒绝。

本文主要介绍云应用引擎的基础监控功能的相关监控指标。 监控项 单位 统计值 应用 cpu % 平均值 最大值 最小值 应用平均负载 无 平均值 最大值 最小值 应用内存使用率 % 平均值 最大值 最小值 应用内存使用量 字节数 平均值 最大值 最小值 应用磁盘使用率 % 平均值 最大值 最小值 应用磁盘使用量 字节数 平均值 最大值 最小值 网络流入流出速率 字节数/秒 平均值 最大值 最小值 网络数据包 包数量/秒 平均值 最大值 最小值 磁盘 IOPS 次数/秒 平均值 最大值 最小值 磁盘吞吐率 字节数/秒 平均值 最大值 最小值 功能入口 1. 登录云应用引擎控制台。 2. 在左侧导航栏选择 应用管理 > 应用列表，单击目标应用名称。 3. 应用基础信息页面的左侧导航来，选择 基础监控。 4. 在基础监控页面，您可以按需选择统计的时间长度区间，并查看相关的监控数据。

本节介绍了GeminiDB Redis的重置管理员密码操作场景及操作方式。 操作场景 GeminiDB Redis支持重置数据库管理员密码，建议您定期修改密码，以提高系统安全性，防止出现密码被破解等安全风险。 使用须知 实例状态为“正常”、“备份中”、“存储扩容中”时，支持重置密码。 方法一 1、登录云数据库GeminiDB控制台。 2、在“实例管理”页面，选择目标实例，单击操作列“更多 > 重置密码”。 3、输入新管理员密码及确认密码，单击“确定”。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@%^+?的组合。 方法二 1、登录云数据库GeminiDB控制台。 2、在“实例管理”页面，选择目标实例，单击实例名称，进入“基本信息”页面。 3、 在“数据库信息”区域，单击“管理员账户名”处的“重置密码”。 4、输入新管理员密码及确认密码，单击“确定”。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@%^+?的组合。

本节主要介绍弹性文件服务的计费类常见问题。 如何购买SFS容量型？ SFS容量型默认为按需计费，即按使用的存储容量和时长收费。您也可以购买包年包月套餐，提前规划资源的使用额度和时长。 按需计费购买 登录控制中心 选择“存储 > 弹性文件服务”，进入弹性文件服务管理控制。 单击“创建文件系统”，完成创建后开始使用资源。 说明 按需计费时，SFS容量型文件系统按实际使用的存储容量和时长收费。 在欠费时，您需要及时（15天之内）续费以避免您的文件系统资源被清空。 资源包购买 SFS容量型文件系统的资源包可以通过产品详情页的“订购资源包”来购买。资源包不支持跨区域使用，购买前请仔细核对区域。 登录天翼云官网 选择“产品>存储>弹性文件服务”进入弹性文件服务详情页 点击“订购资源包”按钮进入资源包订购页面，依据您的需求完成购买。 完成支付后，返回弹性文件服务管理控制台开始使用弹性文件服务 说明 资源包的大小与文件系统的计算吞吐能力无关。 SFS容量型资源包是抵扣包，存储数据使用的容量会自动抵扣资源包中的额度。 SFS容量型资源包购买成功后，立即生效，若资源包大于文件系统使用量，则按需计费即刻停止。使用文件系统时会自动使用购买的资源包的容量。 SFS容量型资源包无法扩容，但可以叠加购买。例如：某用户购买了1年1TB的SFS容量型资源包，在SFS容量型控制台创建并使用了500GB的SFS容量型文件系统A，此时资源包已使用500GB，过了一个月，该用户又创建并使用了600GB的SFS容量型文件系统B，此时资源包已使用1TB，并有100GB转为按需计费。如果不希望存在按需计费，可以按照叠加购买资源包。 不需要将资源包绑定至文件系统，同区域内多个文件系统可以共用同一个资源包。 在弹性文件服务管理控制台无法看到购买的资源包，只能通过订单查看购买的资源包信息。

本小节介绍服务器安全卫士新建检查以及查看检查结果方法。 新建检查 1.单击“新建检查”按钮，进入新建检查页面。 添加主机规则 新建检查功能说明 功能 说明 检查名称 输入基线的检查名称 执行范围 全部主机：主账号可选全部主机，子账号不可选全部主机。（子账号不显示“全部主机”选项） 选择业务组：可选择该账号管辖范围内的业务组。 选择主机：选择该账号管辖范围内的主机 IP，也可手动输入主机IP。 【说明】需要先选择检查范围后，才能选择基线规则。选择了检查范围后，将根据所选主机匹配出适用的应用基线，有多少主机缺少账号授权，并提供设置入口。 【提示】例如：您选择的主机中包含20台主机缺少账号授权，点击设置。 基线规则 系统将根据所选主机匹配出适用的基线规则。分为系统基线和应用基线两大类，每类下又细分为CIS 和等保基线，基线可多选。 【说明】基线选择后，若为数据库类型应用基线，则提示该规则中是否有需要添加账号授权的基线，若有，则提示，例如：该规则中的60个检查项需要账号授权 目前支持的系统基线有：centos6/7 rhel6/7 ubuntu12/14/16 支持的应用基线有：Apache Apache2 MySQL MongoDB Nginx 定时检查 打开定时检查开关，则可以输入定时表达式，且定时表达式为必填。定时表达式为 crontab 格式，点击“创建并执行”时，需要校验该格式是否正确，校验规则请参考“任务系统》新建作业中 crontab 格式”。 鼠标移动到定时表达式后的 i，则显示定时表达式的输入说明。 关闭定时检查开关，则不可以输入定时表达式。 描述 输入对该基线的描述。

本节介绍如何查看检测日志。 “检测日志” 主要用于查看和分析大模型安全卫士的安全检测日志记录。该页面提供日志统计概览和详细的日志记录查询功能。 功能介绍 日志统计概览：显示总请求量、拦截量、拦截率等统计指标。 拦截趋势分析：通过图表展示系统近期的拦截趋势变化。 敏感内容类别分析：通过气泡图展示各类敏感内容的分布情况。 详细日志查询：支持多维度筛选和搜索日志记录。 查看日志详情：提供完整的日志信息展示。 查看日志统计概览 时间范围选择：支持“今日”和“近7天”两种时间范围。 访问统计卡片： 总请求量：显示选定时间范围内的总请求数量。 拦截量：显示被系统拦截的请求数量。 拦截率：显示拦截量占总请求量的百分比。 拦截趋势图表：使用折线图展示拦截趋势变化。 敏感内容类别气泡图：展示各类敏感内容的分布和占比。 查看日志列表 搜索和筛选功能： 搜索项 说明 时间范围选择器 支持精确的时间范围设置。 关键词搜索 支持搜索日志内容、终端信息、大模型名称等。 结果筛选 支持按“全部”、“敏感”、“正常”筛选。 处理方式筛选 支持按“全部”、“放行”、“代答”、“终止回答”、“撤回”筛选。 日志数据列表：显示详细的日志记录信息，支持分页浏览和页面跳转。 日志列表字段说明如下： 字段 说明 时间 日志记录的时间戳。 输入内容 用户输入的内容。 输入结果 输入内容的检测结果（正常/非正常）。 输出内容 大模型返回的内容。 输出结果 输出内容的检测结果（正常/非正常）。 敏感类别 检测到的敏感内容类别。 原因 检测结果的原因说明。 处理方式 系统对请求的处理方式。 检测方式 标识该记录是同步检测还是异步检测。

本文为您介绍容器安全卫士的基本概念。 容器 容器（Container）是一个视图隔离、资源可限制、独立文件系统的进程集合。它类似于虚拟机，但更轻量，可以在应用程序之间共享操作系统。 “视图隔离”是指能够看到部分进程以及具有独立的主机名等；控制资源使用率则是可以对内存大小以及CPU 使用个数等进行限制。常见的容器引擎包括Docker、Containerd等。 镜像 镜像（Image）是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源等文件外，还包含了一些为运行准备的配置参数（如环境变量）。 镜像是容器的模板，而容器是镜像的实例。镜像是静态的，而容器是动态的。 仓库镜像是指存储在镜像仓库内的镜像，节点镜像是指存储在集群节点上的镜像。 仓库 仓库（Repository）是集中存储和分发容器镜像文件的场所，分为公共仓库和私有仓库。 集群 集群特指容器集群，即Kubernetes（简称k8s）集群或基于Kubernetes衍生的企业定制版（例如Openshift集群），由一套Kubernetes系统管理的多台服务器形成一个集群。 Kubernetes是一个容器的编排和管理系统，提供服务发现、弹性伸缩、负载均衡、故障自愈等功能。 Kubernetes将集群中的服务器划分为Master（控制节点）和Node（计算节点）： Master节点上运行着集群管理相关的一组进程，例如etcd、kubeapiserver、kubecontrollermanager和kubescheduler，这些进程实现了整个集群的资源管理、Pod调度、弹性伸缩、安全控制、系统监控和纠错等管理能力，并且都是全自动完成的。 Node作为集群中的计算节点，运行上层业务应用程序，在Node上Kubernetes管理的最小运行单元是Pod。Node上运行着Kubernetes的kubelet、kubeproxy服务进程，这些服务进程负责Pod的创建、启动、监控、重启、销毁以及实现软件模式的负载均衡器。

防护对象 WAF支持的防护对象：域名或IP，云上或云下的Web业务。

云容器引擎通过将Kubernetes网络和VPC深度集成，提供了稳定高性能的容器网络，能够满足多种复杂场景下工作负载间的互相访问。 约束与限制 每个命名空间下，创建的服务数量不能超过6000个。此处的服务对应kubernetes的service资源，即工作负载所添加的服务。 容器开启hostPort或hostNetwork网络模式后，若需对外提供服务，则需要给容器所在节点开启对应端口的安全组(containerPort)。 Service基本概念 Kubernetes中每一个工作负载会有一个或多个实例（Pod），每个实例（Pod）的IP地址由网络插件动态随机分配（Pod重启后IP地址会改变）。为屏蔽这些后端实例的动态变化和对多实例的负载均衡，引入了Service这个资源对象。 Service是一种资源，提供了我们访问单个或多个容器应用的能力。每个服务在其生命周期内，都拥有一个固定的IP地址和端口。每个服务对应了后台的一个或多个Pod，通过这种方式，客户端就不需要关心Pod所在的位置，方便后端进行方便的Pod扩容、缩容等操作。 用户在Kubernetes中可以部署各种容器，其中一部分是通过HTTP、HTTPS协议对外提供七层网络服务，另一部分是通过TCP、UDP协议提供四层网络服务。而Kubernetes定义的Service资源就是用来管理集群中四层网络的服务访问。 根据创建Service的type类型不同，可分成如下模式： ClusterIP ：默认类型，为服务分配集群虚拟IP，此时集群内部的pod可以通过服务名称寻址到服务的集群虚拟IP地址，集群外无效。 NodePort ：在每个节点上为服务分配静态端口号，此时如果在集群外部访问任何一个节点的IP地址加指定的端口号，kubeproxy会将流量转发到服务的集群虚拟IP，再由虚拟IP寻址到Pod。 LoadBalancer ：通过云服务供应商提供的load balancer向外部暴露服务，由指定的load balancer负责对NodePort与ClusterIP服务的路由。 ClusterIP和NodePort类型的Service，在不同云服务商或是自建集群中的行为表现通常情况下相同。而LoadBalancer类型的Service，由于使用了云服务商的负载均衡进行服务暴露，云服务商会围绕其负载均衡的能力提供不同的额外功能。例如，控制负载均衡的网络类型，后端绑定的权重调节等，详情请参见本章相关文档。 服务访问方式 在CCE中，支持以下类型的互联互通： 集群内访问（ClusterIP ） 工作负载暴露给同一集群内其他工作负载访问的方式，可以通过“集群内部域名”访问。集群内部域名格式为“ . .svc.cluster.local”，例如“nginx.default.svc.cluster.local”。详细请参见集群内访问(ClusterIP)。 节点访问（NodePort ） 节点访问 ( NodePort）是指在每个节点的IP上开放一个静态端口，通过静态端口对外暴露服务。节点访问 ( NodePort )会路由到ClusterIP服务，这个ClusterIP服务会自动创建。通过请求 : ，可以从集群的外部访问一个NodePort服务。详细请参见节点访问(NodePort)。 负载均衡 ( LoadBalancer ) 通过弹性负载均衡从公网访问工作负载，与弹性IP方式相比提供了高可靠的保障，一般用于系统中需要暴露到公网的服务。访问方式由公网弹性负载均衡ELB服务地址以及设置的访问端口组成，例如“10.117.117.117:80”。详细请参见负载均衡(LoadBalancer)。 七层负载均衡（Ingress） 通常情况下，service和pod的IP仅可在集群内部访问。集群外部的请求需要通过负载均衡转发到service在Node上暴露的NodePort上，然后再由kubeproxy通过边缘路由器 (edge router) 将其转发给相关的Pod或者丢弃，而Ingress就是为进入集群的请求提供路由规则的集合。 Ingress可以给service提供集群外部访问的URL、负载均衡、SSL终止、HTTP路由等。为了配置这些Ingress规则，集群管理员需要部署一个Ingress controller，它监听Ingress和service的变化，并根据规则配置负载均衡并提供访问入口。 Ingress的组成部分： Nginx：实现负载均衡到pod的集合。 Ingress Controller：从集群api获取services对应pod的ip到nginx配置文件中。 Ingress：为nginx创建虚拟主机。 Ingress的创建与管理请参见Ingress概述。 网络策略（NetworkPolicy） 网络策略（NetworkPolicy）是一种关于pod间及pod与其他网络端点间所允许的通信规则的规范。 NetworkPolicy资源使用标签选择pod，并定义选定pod所允许的通信规则，详细请参见NetworkPolicy。 网络底层基础设施 VPC 虚拟私有云（Virtual Private Cloud，以下简称VPC），是基于创建的自定义私有网络，不同的专有网络之间彻底逻辑隔离。可以为云服务器、云数据库和负载均衡等构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 ELB 弹性负载均衡（Elastic Load Balance，简称ELB）是将访问流量根据转发策略分发到后端多台服务器的流量分发控制服务。弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。 弹性负载均衡支持经典型、共享型两种负载均衡： − 经典型负载均衡：适用于访问量较小，应用模型简单的web业务。 − 共享型负载均衡：适用于访问量较大的web业务，提供基于域名和URL的路由均衡能力，实现更加灵活的业务转发。

本文主要介绍容器网络模型对比。 容器网络为集群内Pod分配IP地址并提供网络服务，CCE支持如下几种网络模型，您可在创建集群时进行选择。 容器隧道网络 VPC网络 云原生网络2.0 网络模型对比 主要介绍CCE所支持的网络模型，您可根据实际业务需求进行选择。 注意： 集群创建成功后，网络模型不可更改，请谨慎选择。 表 网络模型对比 对比维度 容器隧道网络 VPC网络 云原生网络2.0 适用场景 一般容器业务场景。 对网络时延、带宽要求不是特别高的场景。 对网络时延、带宽要求高。 容器与虚机IP互通，使用了微服务注册框架，如Dubbo、CSE等。 对网络时延、带宽要求高，高性能场景。 容器与虚机IP互通，使用了微服务注册框架的，如Dubbo、CSE等。 核心技术 OVS IPVlan，VPC路由 VPC弹性网卡/弹性辅助网卡 适用集群 CCE集群 CCE集群 CCE Turbo集群 网络隔离 Pod支持Kubernetes原生NetworkPolicy 否 Pod支持使用安全组隔离 ELB直通容器 否 否 是 IP地址管理 容器网段单独分配l 节点维度划分地址段，动态分配（地址段分配后可动态增加） 容器网段单独分配 节点维度划分地址段，静态分配（节点创建完成后，地址段分配即固定，不可更改） 容器网段从VPC子网划分，无需单独分配 网络性能 基于vxlan隧道封装，有一定性能损耗。 无隧道封装，跨节点通过VPC 路由器转发，性能好，媲美主机网络。 容器网络与VPC网络融合，性能无损耗 组网规模 最大可支持2000节点 默认支持200节点，受限于VPC路由表能力。VPC网络模式下，集群每添加一个节点，会在VPC的路由表中添加一条路由（包括默认路由表和自定义路由表），因此集群本身规模受VPC路由表上限限制。 最大可支持2000节点 注意 VPC路由网络集群实际支持规模受限于VPC的路由表路由条目配额，创建前请提前评估集群规模。 云原生网络2.0集群实际支持规模受限于网络平面选择的VPC子网网段大小，创建前请提前评估集群规模。 VPC路由网络默认支持容器与同一VPC的虚拟机直接互访，与其他VPC的主机在配置对等连接策略后可以支持直接互访。此外，云专线/VPN等混合组网场景在合理规划后可以支持对端直接与容器互访。 请勿在创建集群后修改VPC侧的主网段掩码大小，若强行修改会导致VPC集群新建节点的部分网络功能异常。

本章节介绍如何在服务网格中使用本地限流 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎集群实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 我们以bookinfo应用为例演示本地限流能力，首先在default命名空间部署bookinfo应用。 然后在default命名空间部署针对productpage服务的限流策略，token数量最大为5，每2秒重新填充5个token： apiVersion: istio.ctyun.cn/v1beta1 kind: LocalRateLimiter metadata: name: productpagelimit spec: workloadSelector: 匹配工作负载 labels: app: productpage context: SIDECARINBOUND statPrefix: httplocalratelimiter configs: name: productpage routeConfig: vhost: name: 'inboundhttp9080' rateLimitConfig: tokenBucket: maxTokens: 5 tokensPerFill: 5 fillInterval: 2s filterEnabled: runtimeKey: localratelimitenabled defaultValue: numerator: 100 denominator: HUNDRED filterEnforced: runtimeKey: localratelimitenforced defaultValue: numerator: 100 denominator: HUNDRED responseHeadersToAdd: appendAction: OVERWRITEIFEXISTSORADD header: key: xlocalratelimit value: 'true' 我们使用gostresstesting工具验证效果，如下图所示，结果状态码中有200和429（请求被限流）；200的个数每2秒增加5个，符合我们设定的2秒重新填充5个token的设定；429状态码在持续增加。 单独请求productpage服务可以看到请求被限流的情况：

本章介绍函数工作流如何配置网络。 访问公网 函数创建成功后，默认具有公网访问权限，即函数可直接访问公网上的服务。函数访问公网上的服务需要固定公网出口IP的场景（例如被访问服务需要白名单验证），可以通过开启VPC，在VPC内配置NAT网关绑定EIP的方式实现。 访问VPC 函数支持用户创建虚拟私有云（VPC）并访问自己VPC内的资源。VPC开启后，函数不再具有默认的公网访问权限，如果需要访问公网，可通过在VPC内配置NAT网关绑定EIP的方式实现。 相关权限 配置委托权限请参见配置委托权限。 操作步骤 1. 登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2. 选择待配置的函数，单击进入函数详情页。 3. 选择“设置 > VPC”，开启VPC，配置VPC和子网 配置VPC 4. 配置域名（可选）：如果函数需要通过内网域名访问VPC内的服务，可配置和VPC绑定的域名，域名可以配置多个。 5. 开启IPv6（可选）。 1. 创建虚拟私有云，确保默认子网配置中支持开启IPv6，具体详情请参见《虚拟私有云服务》的“开启/关闭虚拟私有云IPv6”章节。 2. 在步骤3的“VPC”和“子网”中选择已开启IPv6的VPC和子网。 6. 配置完成后单击“保存”。 配置固定公网IP 函数需要在VPC内访问公网或者需要固定公网IP的场景，可以选择给VPC添加NAT网关并绑定EIP的方式。

本节介绍了初始化容量大于2TB的Windows数据盘（Windows 2008）的相关内容。 操作场景 本文以云主机的操作系统为“Windows Server 2008 R2 Standard 64bit”、磁盘容量为3 TB举例，提供容量大于2 TB的Windows数据盘的初始化操作指导。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。具体操作请参见“初始化容量大于2TB的Windows数据盘（Windows 2008）”。关于磁盘分区形式的更多介绍，请参见“初始化数据盘场景及磁盘分区形式介绍”。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 注意 首次使用磁盘时，如果您未参考本章节对磁盘执行初始化操作，主要包括创建分区和文件系统等操作，那么当后续扩容磁盘时，新增容量部分的磁盘可能无法正常使用。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 弹性云主机请参见《弹性云主机用户指南》。 物理机服务器请参见《物理机用户指南》。 操作指导 1.在云主机桌面，单击“开始”。 弹出开始窗口。 2.在“计算机”栏目，右键单击菜单列表中的“管理”。 弹出“服务器管理器”窗口，如下图所示。 图 服务器管理器(Windows 2008) 3.在页面右侧可以查看磁盘列表，若新增磁盘处于脱机状态，需要先进行联机，再进行初始化。 在磁盘1区域，右键单击菜单列表中的“联机”。 如下图所示，当磁盘1由“脱机”状态变为“没有初始化”，表示联机成功。 图 联机成功(Windows 2008) 4.在磁盘1区域，右键单击菜单列表中的“初始化磁盘”。 弹出“初始化磁盘”窗口，如下图所示。 图 初始化磁盘(Windows 2008) 5.在“初始化磁盘”对话框中显示需要初始化的磁盘，对于大于2 TB的磁盘，此处请选择“GPT（GUID分区表）”，单击“确定”。 返回“服务器管理器”窗口，如下图所示。 图 服务器管理器窗口(Windows 2008) 注意 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，当前数据盘支持的最大容量为32 TB，如果您需要使用大于2 TB的磁盘容量，分区形式请采用GPT。 当磁盘已经投入使用后，此时切换磁盘分区形式时，磁盘上的原有数据将会清除，因此请在磁盘初始化时谨慎选择磁盘分区形式。 6.在磁盘1右侧的未分配的区域，右键单击选择“新建简单卷”。 弹出“新建简单卷向导”窗口，如下图所示。 图 新建简单卷向导(Windows 2008) 7.根据界面提示，单击“下一步”。 进入“指定卷大小”页面，如下图所示。 图 指定卷大小(Windows 2008) 8.指定卷大小，系统默认卷大小为最大值，您还可以根据实际需求指定卷大小，此处以保持系统默认配置为例，单击“下一步”。 进入“分配驱动器号和路径”页面，如下图所示。 图 分配驱动器号和路径(Windows 2008) 9.分配到驱动器号和路径，系统默认为磁盘分配驱动器号，驱动器号默认为“D”，此处以保持系统默认配置为例，单击“下一步”。 进入“格式化分区”页面，如下图所示。 图 格式化分区(Windows 2008) 10.格式化分区，系统默认的文件系统为NTFS，并根据实际情况设置其他参数，此处以保持系统默认设置为例，单击“下一步”。 进入“完成新建卷”页面，如下图所示。 图 完成新建卷 注意 不同文件系统支持的分区大小不同，请根据您的业务需求选择合适的文件系统。 11.单击“完成”。 需要等待片刻让系统完成初始化操作，当卷状态为“状态良好”时，表示初始化磁盘成功，如下图所示。 图 初始化磁盘成功(Windows 2008) 12.新建卷完成后，单击，在文件资源管理器中查看是否有新建卷，此处以“新建卷（D:）”为例。 若如下图所示，可以看到“新建卷（D:）”，表示磁盘初始化成功，任务结束。 图 文件资源管理器(Windows 2008)

本节介绍态势感知相关概念。 安全风险 安全风险是对资产安全状况的综合评估，反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值，便于用户理解目前资产的安全状况，数值大小并不代表资产的绝对安全或危险，仅作为资产遭受攻击严重程度的参考。 威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因，对信息系统造成危害的事件，或对社会造成负面影响的威胁。对于态势感知来讲，威胁告警泛指根据大数据分析检测出的，对用户资产产生威胁的安全事件。 云服务基线 云服务基线是应用在云场景下，帮助用户检测云产品上存在的风险配置项，并提供修复建议。 攻击类型 暴力破解 暴力破解法是一种密码分析方法，基本原理是在一定条件范围内对所有可能结果进行逐一验证，直到找出符合条件的结果为止。攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制。 Web攻击 Web攻击是针对用户上网行为或网站服务器等设备进行攻击的行为。常见的Web攻击方式包括SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击等。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建RabbitMQ实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通RabbitMQ实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问RabbitMQ实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：RabbitMQ实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问RabbitMQ实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Kafka实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通Kafka实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Kafka实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Kafka实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Kafka实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Redis实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通redis实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Redis服务端口（6379）。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的Redis实例将无法被同VPC内的云主机访问。 应对措施 如需VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Redis的服务端口(如：6379）。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Redis服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建MQTT实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通MQTT实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问MQTT实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：MQTT实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问MQTT实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码（800为成功，900为失败） 800 message String statusCode为900时的错误信息; statusCode为800时为success, 英文 success description String statusCode为900时的错误信息; statusCode为800时为成功, 中文 成功 errorCode String statusCode为900时为业务细分错误码，三段式：product.module.code; statusCode为800时为SUCCESS SUCCESS 枚举参数 无 请求示例 请求url POST /v4/elb/updatehealthcheck 请求头header 无 请求体body { "regionID": "81f7728662dd11ec810800155d307d5b", "healthCheckID": "hcnnuz861jxg", "name": "t12345678901234567890123456789天", "clientToken": "123e4567b89b12d3a45662665544001" } 响应示例 成功响应示例 { "statusCode": 800, "errorCode": "SUCCESS", "message": "success", "description": "成功" } 失败响应示例 { "statusCode": 900, "message": "request param error", "description": "参数错误", "errorCode": "Openapi.Parameter.Error" } 状态码 请参考 状态码 错误码 请参考 错误码

本文介绍如何通过控制台查询SQL Server实例的参数修改历史。 注意事项 历史记录仅包括通过控制台修改参数历史和应用参数模板到实例的修改历史。 用户通过客户端执行SQL命令修改的参数，不会记录到修改历史页面中。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【参数设置】，进入可修改参数列表页面。 5. 单击【历史修改记录】，进入参数修改历史记录页面。 您可以在该页面查询参数修改历史记录。提示进行中，说明参数还在修改；提示已生效，说明参数修改成功；提示未生效，说明参数修改失败。

本章节主要介绍了如何修改SQL Server实例账号的授权数据库及权限类型。 注意事项 高权限账号默认拥有所有数据库的权限，高权限账号不支持权限修改。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【账号管理】，可以看到实例已创建的账号列表。 5. 选择需要修改密码的账号，单击【操作】列的【修改权限】。 6. 在弹出的对话框中，单击【左移】或【右移】按钮可以添加或删除数据库权限。 7. 在【已授权数据库】框中可以分别修改各个库的权限类型。 8. 单击【确定】按钮完成权限的修改。

FILESET提供子目录配额管理能力，本文介绍删除FILESET的操作步骤。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>并行文件服务HPFS”，进入并行文件服务的控制台页面。 3. 点击目标文件系统，进入文件系统详情页，点击FILESET页签，即可进入FILESET页面。 4. 在FILESET列表，找到目标FILESET，单击目标所在行的"操作"列下的"删除"。 5. 在弹出的对话框中再次确认是否删除。 6. 等待一段时间后，在列表页可以看到该FILESET已经不存在，即表示删除成功。 注意 禁止直接删除非空FILESET。先清空FILESET下的所有数据，再删除FILESET目录。 如果用户在客户端强制使用rm rf命令删除非空FILESET，系统会阻止删除FILESET文件夹操作，但由于rm rf的递归机制仍可能导致FILESET下的数据被先行清空，需谨慎操作。

绑定IPv6带宽 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库PostgreSQL版】，进入关系数据库RDSPostgreSQL产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【PostgreSQL > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中选择目标实例，点击实例名称进入实例基本信息页。 4. 在【实例管理】找到IPv6连接地址，点击【绑定带宽】，打开【绑定IPv6带宽】页面。 5. 选择目标IPv6带宽，点击【确定】，完成IPv6带宽与IPv6连接地址的绑定，此时，您才可以通过IPv6连接地址公网访问RDSPostgreSQL实例。 解绑IPv6带宽 1. 在实例列表中选择目标实例，点击实例名称进入实例基本信息页。 2. 在【实例管理】找到IPv6连接地址，点击【解绑带宽】，点击【确认】，完成IPv6带宽与IPv6连接地址的解绑。

本节介绍了如何查看分布式消息服务RabbitMQ产品实例。 实例列表 1、进入分布式消息服务RabbitMQ管理控制台查看已购买的实例列表，若列表为空，可点击右上角【创建实例】进入购买页面，创建实例详情见具体操作步骤。 2、支持按照实例ID查询，输入查询内容，点击【查询】按钮即可展示需要的实例数据。 3、查看实例基本信息，包括实例ID、规格、VPC、计费模式、创建时间、到期时间、状态。其中状态说明见下文。 运行状态 （1）登录天翼云，进入分布式消息服务RabbitMQ管理控制台。 （2）当前页面会列出所购买的RabbitMQ实例，并查看状态，状态说明如下 状态 说明 运行中 RabbitMQ实例正常运行状态。 已关闭 RabbitMQ实例处于离线的状态。 变更中 RabbitMQ实例正在进行规格变更操作。 变更失败 RabbitMQ实例处于规格变更失败状态。 暂停 RabbitMQ专享版实例处于已冻结状态，用户可以在“更多”中续费开启冻结的RabbitMQ实例。 注销 RabbitMQ实例已经过期并关闭，需要重新购买实例。

限制项 限制说明 topic名字 限制2到64个字符，超过限制会导致创建主题失败，用户创建主题只能包含大小写字母数字以及和符号。 group名字 限制2到64个字符，超过限制会导致创建订阅组失败，用户创建订阅组只能包含大小写字母数字以及和符号。 AccessKey 高级版引擎在角色管理中创建AccessKey只能包含大小写字母数组以及符号，长度限制必须大于6个字符小于64个字符。 SecretKey 高级版引擎角色管理创建SecretKey必须包含大小写字母数字以及以下特殊符号：!@$%，长度限制必须大于8位小于64个字符。 延时消息的发送时间点 最大支持40天的延时时间点，超过40天将发送失败。 消息大小 普通消息和顺序消息大小限制4MB，延时消息消息大小限制16KB，超过限制会导致消息发送失败。 消息存储时长 消息存储时长限制默认为7天，超过最长存储时间的消息会被删除。