配置项 说明 域名 填写需要接入边缘安全加速平台安全与加速服务的域名，包括精确域名（例如www.ctyun.cn）或者泛域名（例如.ctyun.cn）。 若服务区域选择“中国内地”或者“全球”，域名需要完成ICP备案并且域名需要进行 服务区域 若所订购套餐的服务区域为“全球”，则可指定域名的服务区域： 仅需加速中国内地用户请选择“中国内地”。 仅需加速全球（不含中国内地）用户请选择“全球（不含中国内地）”。 同时加速中国内地和全球（不含中国内地）用户请选择“全球”。 若所订购套餐的服务区域不是“全球”，则服务区域不可配置。 IPv6开关 新增域名时，IPv6开关默认开启，如您不需要IPv6可选择关闭。开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云边缘云节点，如果要解决IPv6天窗问题（提升二、三级链接IPv6支持度）需要订购高级版以上版本，通过 源站 支持IP或域名，支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 注意：源站域名不能与加速域名相同，否则会造成循环解析，导致无法回源。 回源协议 指边缘云节点回源站请求资源时使用的协议。配置该功能后，边缘云节点将根据指定的协议回源。 HTTP：边缘云节点以HTTP协议回源。 HTTPS：边缘云节点以HTTPS协议回源。 跟随协议：客户端以HTTP或HTTPS协议请求边缘云节点，边缘云节点跟随客户端的协议请求源站（源站需要同时支持HTTP协议和HTTPS协议，否则可能会造成回源失败）。 回源端口 源站端口，是指源站接收用户请求时所用的端口，一般http协议和https协议使用不同的源站端口。 如果跟随请求端口回源开关置为开启，则会使用请求服务端口回源。 回源HOST 回源HOST决定了回源请求访问到源站的哪个站点，默认值为加速域名。 当您的源站有多个站点，且需要回源的站点不是加速域名对应的站点时，您需要配置回源HOST，在回源过程中会根据HOST信息去对应站点获取资源。 Https开关 支持开启和关闭HTTPS，如果开启HTTPS协议，需要上传HTTPS证书。 缓存设置 您可以设置缓存过期时间，指源站资源在边缘节点缓存的时长，达到预设时间，资源将会被边缘云节点标记为缓存过期。 默认配置如下： 静态加速：默认开启，关闭后将全部文件不缓存，无法享受缓存加速能力。

本文主要介绍专属存储三副本技术 什么是三副本技术 专属云（存储独享型）的存储系统采用三副本机制来保证数据的可靠性，即针对某份数据，默认将数据分为1 MB大小的数据块，每一个数据块被复制为3个副本，然后按照一定的分布式存储算法将这些副本保存在集群中的不同节点上。 专属云（存储独享型）三副本技术的主要特点如下： 存储系统自动确保3个数据副本分布在不同服务器的不同物理磁盘上，单个硬件设备的故障不会影响业务。 存储系统确保3个数据副本之间的数据强一致性。 例如，对于服务器A的物理磁盘A上的数据块P1，系统将它的数据备份为服务器B的物理磁盘B上的P1''和服务器C的物理磁盘C上的P1'，P1、P1'和P1''共同构成了同一个数据块的三个副本。若P1所在的物理磁盘发生故障，则P1'和P1''可以继续提供存储服务，确保业务不受影响。 图 数据块存储示意图 三副本技术怎样确保数据一致性 数据一致性表示当应用成功写入一份数据到存储系统时，存储系统中的3个数据副本必须一致。当应用无论通过哪个副本再次读取这些数据时，该副本上的数据和之前写入的数据都是一致的。 专属存储三副本技术主要通过以下机制确保数据一致性： 写入数据时，同时在3个副本执行写入操作 当应用写入数据时，存储系统会同步对3个副本执行写入数据的操作，并且只有当多个副本的数据都写入完成时，才会向应用返回数据写入成功的响应。 读取数据失败时，自动修复损坏的副本 当应用读数据失败时，存储系统会判断错误类型。如果是物理磁盘扇区读取错误，则存储系统会自动从其他节点保存的副本中读取数据，然后在物理磁盘扇区错误的节点上重新写入数据，从而保证数据副本总数不减少以及副本数据一致性。

本章节主要介绍Logstash集群如何变更规格。 当集群数据面业务变化，需要动态调整集群节点的规格时，可以执行“变更规格”任务。 前提条件 集群处于“可用”状态，且无正在进行的任务。 有足够的配额支持集群变更规格。 变更规格时，为了不中断业务，请确认业务数据都有副本。 在Kibana中执行命令 GET cat/indices?v ，若回显的“rep”值大于“0”，则表示有副本；若“rep”值等于“0”，则表示没有副本，请先为集群手动创建快照再变更规格。 如果数据量比较大的情况下，更改节点规格耗时会比较长，因此，建议在业务低峰期更改节点规格，利于更快完成规格更改。 约束限制 变更规格操作不支持修改“节点数量”和“节点存储容量”。增加“节点数量”和“节点存储容量”请执行扩容操作。减少“节点数量”请执行缩容操作。 若将大规格更改为小规格，集群的处理性能将会降低，将会影响业务能力，请谨慎操作。 当集群包含多种节点类型时，一次只支持变更一种类型的节点规格，且变更完成后只生效所选类型的节点规格。 变更规格过程中，Kibana不可用。 变更规格过程中，会依次对节点进行关机，完成更改后依次开机。是一个滚动的变更过程。 操作步骤 1.登录云搜索服务管理控制台。 2.在左侧菜单栏，选择对应的集群类型，进入集群管理页面。 3.选择目标集群，单击操作列的“更多>形态变更”进入更改集群规格页面。 4.在更改集群规格页面，设置变更规格的参数。 −“变更类型”：“变更规格”。 −“变更的资源”：显示资源的变化量。 −“变更的角色”：此处修改的是默认数据节点类型的节点规格，在对应节点规格下拉框中选择所需的规格，然后勾选需要变更的节点。 −如果集群启用了Master节点、Client节点或冷数据节点，还可以更改Master节点、Client节点与冷数据节点的“节点规格”。 集群变更规格 5.单击“下一步”。 6.确认变更信息后，单击“提交申请”。 7.在弹出的“索引副本校验”窗口确认是否勾选“进行索引副本校验”，单击“确认”启动集群规格变更。 −没有Master节点的集群更改节点规格时，若选择进行索引副本校验，则要求所有索引至少有1个副本，且“节点数量”总和不小于3。 −有Master节点的集群更改节点规格时，若选择进行索引副本校验，则要求所有索引至少有1个副本。 8.单击“返回集群列表”跳转到集群管理页面。集群的“任务状态”列中显示为“规格修改”，表示集群正在更改规格。当集群状态变为“可用”，则表示规格变更成功。

内网出访流量 紫色路径：业务ECS→GWLBE→云防火墙→NAT 网关→互联网。 策略配置原则：“按需放行，禁止无关出访”； 允许策略：仅开放业务必要的出访地址/ 端口（如允许 ECS 访问 OSS 的域名、访问第三方 API 的固定IP）； 拒绝策略：禁止访问高危IP 网段（如已知恶意 IP 库）、禁止 P2P 下载、视频网站等非业务流量。 带宽管控：通过NAT 网关配置带宽上限（如 100Mbps），避免单业务占用过多带宽影响其他服务。 VPC 间互访流量 黄色路径：vpc1/vpc2→云企业路由器→GWLBE→云防火墙→云企业路由器→目标 VPC。 策略配置原则：“按业务关联度放行”； 允许策略：仅开放跨VPC 业务依赖的端口； 拒绝策略：禁止无业务关联的VPC 互访。 VPC 与云专线互访流量 绿色路径：业务 VPC→云企业路由器→GWLBE→云防火墙→云企业路由器→云专线网关→线下网络。 策略配置原则：“双向管控，匹配线下安全策略”； 入访（线下→VPC）：仅允许线下办公网段访问 VPC 的业务端口（如线下财务网段访问 VPC 的 ERP系统端口）； 出访（VPC→线下）：仅允许VPC的业务子网访问线下数据库、文件服务器的必要端口。 加密传输：若传输敏感数据（如用户信息），可在云专线基础上开启IPsec VPN加密，避免数据泄露。

项目 容量 时间选择 容量查询的时间段，可以选择查看下列时间段的容量： 今日。 昨日。 近7日。 近30日。 根据日历按钮，选择查询任意90天内容量。 时间粒度 容量查询的时间粒度，可以选择： 按五分钟查询：统计信息按每5分钟展示，可以选择查询今日、昨日或按日历选择任意1天的数据。 按小时查询：统计信息按每小时展示，可以查询今日、昨日、近7日或按日历选择任意7天内的数据。 按天查询：统计信息按天展示，可以查询今日、昨日、近7日、近30天或按日历按钮选择任意90天内的数据。 数据位置 容量查询的数据位置，可以选择： 全部数据位置：展示所有数据位置的容量和值。 具体数据位置：根据显示的数据位置进行选择，查看对应数据位置的容量。 存储桶 容量查询的存储桶，可以选择： 全部存储桶：展示所有存储桶的容量之和。 具体存储桶：根据显示的存储桶，选择查看对应存储桶的容量。 取值类型 选择容量查询的数值类型： 平均值：选择时间段的容量平均值，只能按小时查询或按天查询。 实时值：选择时间段的容量实时值，可以选择按五分钟查询、按小时查询或按天查询。 峰值：选择时间段的容量峰值，只能按小时查询或按天查询。 存储类型 选择容量查询的存储类型： 全部存储类型：分别展示标准存储和低频访问存储的容量。 标准类型：标准存储的容量。 低频访问存储：低频访问存储的容量。

本文带您熟悉备份策略如何绑定存储库。 操作场景 将备份策略绑定存储库可以确保按照特定策略要求对整个存储库中的资源进行周期性备份和复制，以便在数据丢失或损坏时快速恢复数据，减少业务中断时间，保障业务的持续性。 前提条件 已创建至少一个存储库，且存储库的状态为“可用”。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 选择“备份策略”页签，在需要修改的备份策略所在行点击“绑定存储库”。 5. 在弹出的页面选择要绑定的存储库，并点击“确定”则可完成绑定。

云日志服务支持将日志一次性转储至对象存储服务（OBS）中长期保存。 前提条件 日志已接入LTS。 已创建OBS桶。 创建一次性日志转储 在云日志服务管理控制台，左侧导航栏中，单击“日志转储”。 在“日志转储”页面右上角，单击“配置转储”。 在“配置转储”页面，设置转储日志相关参数。 表 1 配置转储参数说明 参数名称 说明 样例 转储方式 周期性转储：日志将周期性的转储至对象存储服务（OBS）中长期保存。一次性转储：日志将一次性的转储至对象存储服务（OBS）中长期保存。 一次性转储 转储对象 选择转储的云服务。 OBS 日志组名称 选择已创建的日志组。 企业项目 选择已创建的企业项目。如果当前账号未开通企业项目则不显示该参数。 如果当前账号已开通企业项目，则存在以下情况：当转储当前账号日志时，下拉框显示当前账号的全部企业项目。 当转储其他账号日志时，若委托账号未开通企业项目，则默认显示“default”。 当转储其他账号日志时，若委托账号已开通企业项目，则显示委托账号的全部企业项目。 日志流名称 选择已创建的日志流。已配置过OBS转储的日志流不能重复配置。 过滤条件 默认关键词过滤，在输入框填写需要过滤的关键词。 转储时间范围 时间范围有三种方式，分别是相对时间、整点时间和自定义。您可以根据自己的实际需求，选择时间范围。 相对时间：表示查询距离当前时间1分钟、5分钟、15分钟等时间区间的日志数据。 例如当前时间为19:20:31，设置相对时间1小时，表示查询18:20:3119:20:31的日志数据。 整点时间：表示查询最近整点1分钟、15分钟等时间区间的日志数据。 例如当前时间为19:20:31，设置整点时间1小时，表示查询18:00:0019:00:00的日志数据。 自定义：表示查询指定时间范围的日志数据 日志总条数 日志总条数。 转储文件个数 单次一次性转储日志条数上限100万条，转储文件个数上限10个。 OBS桶 选择已创建的OBS桶。如果没有可选择的OBS桶，单击“查看OBS”，进入对象存储服务管理控制台，创建OBS桶。LTS目前仅支持存储类别为“标准存储”的OBS桶。 所属桶目录 所属OBS桶目录。 转储文件名称 自定义转储文件名称，只能由英文字母、数字、中划线、下划线、小数点组成。 转储格式 用于配置日志的转储格式，可选择原始日志格式、Json格式、CSV格式。 原始日志格式示例：云日志服务控制台展示的日志内容的格式为原始日志格式。 Sep 30 07:30:01 ecsbd70 CRON[3459]: (root) CMD (/opt/oss/servicemgr/ICAgent/bin/manual/mstart.sh > /dev/null 2>&1) JSON格式示例： { "hostname": "ecsbd70", "ip": "192.168.0.54", "lineno": 249,"message": "Sep 30 14:40:01 ecsbd70 CRON[4363]: (root) CMD (/opt/oss/servicemgr/ICAgent/bin/manual/mstart.sh > /dev/null 2>&1)n", "path": "/var/log/syslog", "time": 1569825602303 } CSV格式：以表格的形式展示日志内容。 Json 单击“确定”，完成配置。当转储任务状态为“正常”时，表示转储任务创建成功。 单击“转储对象”列的OBS桶名称，可以跳转至OBS控制台，查看转储的日志文件。 转储到OBS后的日志，支持从OBS下载到本地进行查看。

本章节介绍云容器集群Pod磁盘填充故障演练。 背景介绍 在云原生环境中，Pod 依赖持久卷（如云盘、PVC、emptyDir）存储日志、缓存和业务数据。磁盘空间耗尽常由日志无限增长、缓存未清理或异常写入引起，一旦发生，可能导致文件写入失败、配置无法更新、数据库无法落盘、服务崩溃或系统重启。通过模拟磁盘耗尽演练，可提升对资源耗尽问题的预警、防护和恢复能力，增强业务系统弹性。 基本原理 通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群Pod磁盘填充故障演练。 背景介绍 在云原生环境中，Pod 依赖持久卷（如云盘、PVC、emptyDir）存储日志、缓存和业务数据。磁盘空间耗尽常由日志无限增长、缓存未清理或异常写入引起，一旦发生，可能导致文件写入失败、配置无法更新、数据库无法落盘、服务崩溃或系统重启。通过模拟磁盘耗尽演练，可提升对资源耗尽问题的预警、防护和恢复能力，增强业务系统弹性。 基本原理 通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本文介绍零信任安全策略。 配置安全策略前提条件 已经订购边缘安全加速平台零信任服务，若未订购，请参见服务开通。 先接入远程办公服务，请参见零信任服务快速入门。 不同能力版本提供能力不同，请参见零信任服务版本差异对比。 安全策略概览 下表将为您描述目前边缘安全加速平台零信任服务具备的安全策略以及应用场景。 模块 功能说明 说明 应用场景 访问控制 企业使用远程零信任办公服务，部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源、访问IP、用户粒度、访问时间等进行访问控制，实现更灵活和安全的企业远程办公访问体验。 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 横向扫描防护 针对横向扫描的行为进行设定不同策略模版，如IP类横向渗透防护、域名类横向渗透防护，支持针对单用户账号，设备，相同公网IP进行不同协议、端口、地址的组合判断其频次，若高于异常则进行阻断或挑战认证。该功能是实时统计，达到阈值立即处置。 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 准入管控 针对企业管理要求，通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功，进入内网访问，保障其企业安全性。 希望网站防止被恶意篡改页面内容时配置 动态授权 基于零信任多维度综合分析引擎，根据采集和上报的不同指标数据，对用户访问行为进行可信评估并实时联动处置。 希望网站避免泄露身份证、手机号等敏感信息时配置 内外网隔离 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 RBI云端浏览器 RBI云端浏览器是基于零信任网络+远程浏览器隔离技术，以“不让数据流出去、不让坏数据流进来”为宗旨，通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯。

本文主要介绍入门必读 性能测试是一项为基于HTTP/HTTPS/TCP/UDP/HLS/RTMP/WEBSOCKET/HTTPFLV等协议构建的云应用提供性能测试的服务。服务支持快速模拟大规模并发用户的业务高峰场景，可以很好的支持报文内容和时序自定义、多事务组合的复杂场景测试，测试完成后会为您提供专业的测试报告呈现您的服务质量。 通过简单的四步操作，您就可以完成一次性能测试。 性能测试步骤 性能测试提供体验馆功能，通过体验向导，帮助您快速熟悉性能测试的使用流程。 基本概念 测试工程： 性能测试为用户的测试工程提供管理能力，事务、压测任务、测试报告的内容在同一个测试工程内共享复用，您可以为不同的测试项目创建不同的测试工程。 事务： 事务是指用户自定义的操作模型，包括HTTP/HTTPS/TCP/UDP/WEBSOCKET报文、思考时间、响应提取和检查点和HLS/RTMP/HTTPFLV报文部分。 报文： 报文是HTTP应用程序之间发送的数据块。这些数据块以一些文本形式的元信息开头，这些信息描述了报文的内容及含义，后面跟着可选的数据部分。这些报文都是在客户端、服务器和代理之间流动。 思考时间： 为了更好的模拟用户的行为，需要模拟用户在不同操作之间等待的时间，例如，当用户收到来自服务器的数据时，可能要等待几秒查看数据，然后再做出响应，这种延迟，就称为思考时间。 响应提取： 如果同一事务中存在多个报文，通过正则表达式或JSON提取把前一个报文的输出提取出来，作后一个报文的输入。 检查点： 检查点主要是通过自定义校验信息来验证服务端的返回内容是否正确。 并发用户数： 在性能测试工具中，并发用户数一般被称为虚拟用户数。注意“并发用户数”和“在线用户数”的区别：“并发用户数”会对服务器产生压力，“在线用户数”只是挂在系统上，对服务器不产生压力。 响应时间： 用户从客户端发起一个请求开始，到客户端接收到从服务器端返回的响应结束，整个过程所耗费的时间。在性能检测中一般以测试环境中压力发起端至服务器返回处理结果的时间为计量，单位一般为秒或毫秒，该时间不同于模拟真实环境的用户体验时间。 不同行业不同业务可接受的响应时间是不同的。一般情况下，互联网企业在500毫秒以下；金融企业1秒以下为佳；保险企业3秒以下为佳。

如您选择使用云点播原生接口接入（推荐）： 1.天翼云注册账号。能力使用者于天翼云门户( 2.获取AK/SK信息。能力使用者登录云点播控制台，进入【开发配置】>【密钥管理】>【原生密钥】，即可获取AK/SK，作为调用云点播原生接口的凭证使用。

本文将介绍如何为轻量型云主机添加防火墙规则，并介绍防火墙功能预设的端口信息。 操作场景 防火墙可以对轻量型云主机的网络访问进行控制，每台轻量型云主机的防火墙默认放行了22端口（SSH服务）、3389端口（windows远程登录）、80端口（http端口）、443（https端口）端口的入方向端口。用户可在此基础上添加其它的防火墙规则，来完善防火墙的安全设置。 操作步骤 1.登录天翼云，进入控制中心。 2.单击控制中心顶部的，选择资源所在地，此例我们选择上海36。 3.单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4.进入轻量型云主机列表界面，单击目标主机“实例名称”进入目标主机详情页。 5.单击“防火墙”页签，可以看到当前轻量型云主机的防火墙信息。 6. 单击“添加规则”弹出添加弹窗，用户需要按照要求进行填写，字段说明如下。 字段名 说明 IP版本 取值：IPV4、IPV6，单选，必填。 方向 取值：入方向、出方向，单选必填。 授权策略 取值：允许、拒绝，单选，必填。 协议 取值：ANY、TCP、UDP、ICMP，单选，必填。 端口范围 取值为介于1到65535之间的数字。如输入错误则输入款变红，下置文字提示：端口范围在 1到 65535之间，必填。 源地址 取值为数字，子网IP地址与子网掩码是否匹配的校验逻辑同云主机，必填。 描述 取值：100个以内字符，选填。如超出字数限制，下置文字提示：请输入100个以内字符。 添加规则： 7. 完成配置后，单击“确定”，即可完成防火墙规则的添加。

常用登录管理 说明 常用登录账号、常用登录地区、常用登录时间仅企业版、旗舰版支持配置。 常用登录管理模块支持配置：常用登录IP、常用登录账号、常用登录地区、常用登录时间。 常用登录IP：支持配置IPv4、IPv6地址，且支持配置多个IP地址。 常用登录账号：支持配置多个登录账号。 常用登录地址：支持在全球范围内选择。 常用登录时间：选择支持登录的时间范围，最小时间间隔为一小时且仅支持选择整点。 设置自动同步资产周期 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，选择“其他配置”页签，选择同步资产设置模块。 3. 选择自动同步资产周期。 12小时：每天01:00、13:00自动同步服务器资产信息。 24小时：每天01:00自动同步服务器资产信息。 云日志服务配置 服务器安全卫士已对接云日志服务，可以将服务器安全卫告警日志转储至日志服务，您可以在云日志服务控制台实时查询、分析告警日志。 转存至云日志服务的日志信息包含：账户ID、AgentID、告警ID、告警名称、告警类型、告警摘要等关键信息。 说明 目前仅支持转存至云日志服务华东1资源池。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，选择“其他配置”页签，选择日志数据外发模块。 3. 选择“云日志服务”，单击“配置”按钮，在弹出的对话框中可开启日志存入云日志服务。 4. 后续操作配置请详见：云日志服务用户指南。

参数 说明 fetch.min.bytes 消费者从服务端获取数据的最小字节数。设置该参数时请尽量评估消息发送端的消息量，若设置过大可能会导致消费端延迟增大，过小可能会导致消费端频繁拉取消息。单位：字节。 fetch.max.wait.ms 服务端等待的最大时间。单位：毫秒。如果使用Local存储引擎，配置了fetch.min.bytes参数，服务器会等待足够的数据才会返回。超过此时间即使没有足够数据也会返回。如果是云存储引擎，一旦有新数据发送进来， 服务器就会结束等待，不需要等待fetch.min.bytes的值。 max.partion.fetch.bytes 每个分区返回的最大字节数。单位：字节。 session.timeout.ms 消费端发送心跳的时间间隔，如果在心跳时间间隔内没有发送心跳，则服务端会认为消费者死亡，从而触发Rebalance，Rebalance期间客户端将会停止消费数据等待Rebalance完成。建议将此参数设置为3000060000。单位：毫秒。默认有效值：6000300000。 max.poll.records 每次Poll获取的最大消息数量，若此值设置过大则需要尽快处理业务逻辑，避免处理过慢影响下一次Poll数据，从而导致在session.timeout.ms时间内没有发送心跳引起Rebalance。建议该值小于<单个线程每秒消费的条数> <消费线程的个数> 的值。重要 在Java Client 0.10.1及其以上版本有单独的线程发送心跳，小于此版本或者其他语言的客户端都需考虑处理数据时间和发送心跳的间隔，防止频繁Rebalance影响正常消费。 max.poll.interval.ms 最大的Poll间隔时间，仅在Java Client 0.10.1及其以上版本需配置该参数。如果在间隔时间内消费者没有发送Poll请求，即使在session.timeout.ms参数设置的时间内发送了心跳。服务端也会认为消费者死亡，从而触发Rebalance。因此需注意此值需要合理设置，建议该值大于<消费一条消息花费的时间> 的值。通常使用默认值即可。单位：毫秒。默认值：300000。 enable.auto.commit 是否采用自动提交位点机制。true：默认采用自动提交机制。false：不采用自动提交机制。默认值：true。 auto.commit.interval.ms 自动提交位点时间间隔。默认值为1000，单位：毫秒。 auto.offset.reset 消费位点重置策略。latest：从最大位点开始消费。earliest：从最小位点开始消费。none：不做任何操作，即不重置。说明建议设置成latest，而不要设置成earliest，避免因位点非法时从头开始消费，从而造成大量重复。如果是您自己管理位点，可以设置为none。

本文章介绍了提高关系数据库MySQL版的查询性能的一些方法和建议。 可以参考如下建议： 如果产生了慢日志，可以通过查看慢日志来确定是否存在运行缓慢的SQL查询，查看对应的执行计划，从而定位查询运行缓慢的原因。查询MySQL日志，请参见 查看慢日志 。 查看关系数据库MySQL实例的CPU使用率指标，协助定位问题。 可以创建只读实例专门负责查询，减轻主实例负载，分担数据库压力。 如果是实例规格较小但负载过高，您可以提高CPU/内存规格，具体请参见 规格扩容。 如果是多表关联查询时，关联字段要加上索引。 索引并非越多越好，索引虽然能够提高对应的 select 的效率。但同时候也减少了 insert 及 update 的效率，由于 insert 或 update 会更新索引，所以如何建索引须要谨慎考虑，一个表的索引数最好不要超过6个。 尽量避免大事务操作，提高系统并发能力。 尽量避免向client客户端返回大数据量，若数据量过大，应该考虑对应需求是否合理。

本章节主要介绍ALM16009 Map数超过阈值的告警。 告警解释 系统每30秒周期性检测执行的HQL的Map数是否超过阈值，超过阈值发出告警。系统默认的平滑次数为3次，默认阈值为5000。 告警属性 告警ID 告警级别 是否自动清除 16009 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 Hive执行的HQL的Map数过高，一方面会导致HQL执行较慢，另一方面会大量占用资源。 可能原因 执行的HQL语句存在可以优化的可能。 处理步骤 检查HQL的Map个数 1.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Hive > 资源”，查看“HQL的Map数”图表，找出Map数过大的HQL语句（Map数>5000）。 2.找到对应的HQL语句，优化在监控上显示map数过大的HQL语句，再尝试执行。 3.查看本告警是否恢复。 是，操作结束。 否，执行步骤4。 收集故障信息 4.在FusionInsight Manager首页，选择“运维 > 日志 > 下载”。 5.在“服务”中勾选待操作集群的“Hive”。 6.单击右上角的设置日志收集的“开始时间”和“结束时间”，分别为告警产生时间的前后10分钟，单击“下载”。 7.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

简单易用 容器镜像服务的管理控制台简单易用，支持镜像的全生命周期管理 安全可靠 容器镜像服务遵循HTTPS协议保障镜像安全传输，提供账号间、账号内多种安全隔离机制，确保用户数据访问的安全 无缝对接CCE 容器镜像服务提供镜像部署入口，与云容器引擎CCE无缝对接，一键式部署容器应用 开放兼容 全面支持社区Registry V2协议，支持通过控制台或社区CLI管理镜像

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近365天 20分钟 31天 1h 最近365天 20分钟 31天 24h 最近365天 20分钟 31天

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近365天 20分钟 31天 1h 最近365天 20分钟 31天 24h 最近365天 20分钟 31天

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近365天 20分钟 31天 1h 最近365天 20分钟 31天 24h 最近365天 20分钟 31天

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近365天 20分钟 31天 1h 最近365天 20分钟 31天 24h 最近365天 20分钟 31天

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近186天 20分钟 31天 1h 最近186天 20分钟 31天 24h 最近186天 20分钟 31天

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近186天 20分钟 31天 1h 最近186天 20分钟 31天 24h 最近186天 20分钟 31天

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近186天 20分钟 31天 1h 最近186天 20分钟 31天 24h 最近186天 20分钟 31天

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近186天 20分钟 31天 1h 最近186天 20分钟 31天 24h 最近186天 20分钟 31天

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近186天 20分钟 31天 1h 最近186天 20分钟 31天 24h 最近186天 20分钟 31天

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近186天 20分钟 31天 1h 最近186天 20分钟 31天 24h 最近186天 20分钟 31天

接口描述：调用本接口查询状态码请求数，请求状态码占比 请求方式：post 请求路径：/statistics/queryhttpstatuscodedata 使用说明： 单个用户一分钟限制调用10000次，并发不超过100； 单次查询输入域名的个数不能超过100个； 单次查询输入结果聚合维度（groupby）的个数不能超过4个； 时间粒度为24h时，查询开始时间与结束时间需要跨天； 若查询结束时间不包含在该批次的最后一秒，默认endtime为该批次最后一秒，例如：时间粒度为1h，endtime设置为17:30对应的时间戳，此时endtime默认成17:59:59； 时间片统计数据均为前打点，假如请求5分钟粒度数据，timestamp "20211013 00:00"对应的时间戳，表示统计的数据为时间区间[20211013 00:00, 20211013 00:05)； 根据请求参数时间粒度（Interval）和聚合维度（groupby）个数的不同，单次请求可查询历史数据范围，数据延迟， 支持最大的时间跨度均不同，对应如下： 时间粒度 可查询历史数据时间范围 数据延迟 2 ≥ 聚合维度个数 ≥ 0 ，支持最大时间跨度 4 ≥ 聚合维度个数 ＞2 支持最大的时间跨度 1m 最近31天 5分钟 7天 3小时 5m 最近183天 20分钟 31天 1天 1h 最近183天 20分钟 93天 3天 24h 最近183天 20分钟 93天 3天

本章介绍云监控的权限管理。 如果您需要对云服务平台上的云监控服务资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云服务资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制他们对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有云监控服务的使用权限，但是不希望他们拥有删除其他云服务资源等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云监控服务，但是不允许删除其他云服务资源的权限策略，控制他们对其他云服务资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云监控服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见《统一身份认证服务》。 云监控服务权限 默认情况下，新建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云监控服务部署时通过物理区域划分，为项目级服务，需要在各区域对应的项目中设置策略，并且该策略仅对此项目生效，如果需要所有区域都生效，则需要在所有项目都设置策略。访问云监控服务时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对云监控服务，管理员能够控制IAM用户仅能对某一类云监控资源进行指定的管理操作。 如下表所示，包括了云监控服务的所有系统权限。 表 云监控服务系统权限 系统角色/策略名称 描述 类别 依赖关系 CES FullAccessPolicy 云监控服务的全部权限，拥有该权限可以操作云监控服务的全部权限。 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用，支持细粒度授权的云服务列表请参考:统一身份认证帮助中心中“使用IAM授权的云服务”章节。 告警通知：依赖SMN服务的SMN FullAccess。 配置数据转储：依赖OBS服务的OBS OperateAccess。 CES ReadOnlyAccessPolicy 云监控服务的只读权限，拥有该权限仅能查看云监控服务的数据。 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用 CES AgentAccess CES Agent正常运行所需的必要权限。 系统策略 无。 CES Administrator 云监控服务的管理员权限。 系统角色 依赖Tenant Guest策略。 Tenant Guest：全局级策略，在全局项目中勾选。 CES FullAccess 云监控服务的全部权限，拥有该权限可以操作云监控服务的全部权限。 说明 CES FullAccess不满足权限最小化原则，后续不推荐使用，建议使用CES FullAccessPolicy 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用统一身份认证帮助中心中“使用IAM授权的云服务”章节。 告警通知：依赖SMN服务的SMN FullAccess。 配置数据转储：依赖OBS服务的OBS OperateAccess。 CES ReadOnlyAccess 云监控服务的只读权限，拥有该权限仅能查看云监控服务的数据。 说明 CES ReadOnlyAccess不满足权限最小化原则，后续不推荐使用，建议使用CES ReadOnlyAccessPolicy 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用统一身份认证帮助中心中“使用IAM授权的云服务”章节。 下表列出了云监控服务常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 功能 操作 CES FullAccessPolicy CES ReadOnlyAccessPolicy CES Administrator （需同时添加Tenant Guest策略） Tenant Guest 监控概览 查看监控概览 √ √ √ √ 监控概览 查看监控大屏 √ √ √ √ 监控大盘 创建监控大盘 √ × √ × 监控大盘 查看监控大盘 √ √ √ √ 监控大盘 查看监控大屏 √ √ √ √ 监控大盘 添加监控视图 √ × √ × 监控大盘 查看监控视图 √ √ √ √ 监控大盘 修改监控视图 √ × √ × 监控大盘 删除监控视图 √ × √ × 监控大盘 调整监控视图位置 √ × √ × 监控大盘 删除监控大盘 √ × √ × 我的看板 创建我的看板 √ × √ × 我的看板 查看监控大屏 √ √ √ √ 我的看板 查看我的看板 √ √ √ √ 我的看板 删除我的看板 √ × √ × 我的看板 添加监控视图 √ × √ × 我的看板 查看监控视图 √ √ √ √ 我的看板 修改监控视图 √ × √ × 我的看板 删除监控视图 √ × √ × 我的看板 调整监控视图位置 √ × √ × 资源分组 创建资源分组 √ × √ × 资源分组 查看资源分组列表 √ √ √ √ 资源分组 查看资源分组（资源概览） √ √ √ √ 资源分组 查看资源分组（告警规则） √ √ √ √ 资源分组 修改资源分组 √ × √ × 资源分组 删除资源分组 √ × √ × 告警规则 创建告警规则 √ × √ × 告警规则 修改告警规则 √ × √ × 告警规则 启用告警规则 √ × √ × 告警规则 停用告警规则 √ × √ × 告警规则 删除告警规则 √ × √ × 告警规则 导出告警规则 √ √ √ × 告警规则 查看告警规则列表 √ √ √ √ 告警规则 查看告警规则详情 √ √ √ √ 告警规则 查看监控图表 √ √ √ √ 告警记录 查看告警记录 √ √ √ √ 告警记录 查看监控详情 √ √ √ √ 告警记录 屏蔽告警 √ × √ × 告警记录 手动恢复告警记录 √ × √ × 告警模板 查看默认告警模板 √ √ √ √ 告警模板 查看自定义告警模板 √ √ √ √ 告警模板 创建自定义告警模板 √ × √ × 告警模板 修改自定义告警模板 √ × √ × 告警模板 删除自定义告警模板 √ × √ × 主机监控 查看主机列表 √ √ √ √ 主机监控 查看主机监控指标 √ √ √ √ 主机监控 安装Agent √（需同时拥有ECS FullAccess权限） × √（需同时拥有ECS FullAccess权限） × 主机监控 修复插件配置 √（需同时拥有Security Administrator、ECS FullAccess权限） × √（需同时拥有Security Administrator、ECS FullAccess权限） × 主机监控 卸载Agent √（需同时拥有ECS FullAccess权限） × √（需同时拥有ECS FullAccess权限） × 主机监控 配置进程监控 √ × √ × 主机监控 配置自定义进程监控 √ × √ × 云服务监控 查看云服务列表 √（涉及云服务需要支持细粒度授权特性，参考：《统一身份认证用户指南》中“使用IAM授权的云服务”章节） √（涉及云服务需要支持细粒度授权特性，参考：《统一身份认证用户指南》中“使用IAM授权的云服务”章节） √ √ 云服务监控 查看云服务监控指标 √ √ √ √ 自定义监控 添加自定义监控数据 √ × √ × 自定义监控 查看自定义监控列表 √ √ √ √ 自定义监控 查看自定义监控数据 √ √ √ √ 事件监控 添加自定义事件 √ × √ × 事件监控 查看事件列表 √ √ √ √ 事件监控 查看事件详情 √ √ √ √ 数据转储到DMS Kafka 创建数据转储任务 √ × √ × 数据转储到DMS Kafka 查询数据转储任务列表 √ √ √ √ 数据转储到DMS Kafka 查询指定数据转储任务 √ √ √ √ 数据转储到DMS Kafka 修改数据转储任务 √ × √ × 数据转储到DMS Kafka 启动数据转储任务 √ × √ × 数据转储到DMS Kafka 停止数据转储任务 √ × √ × 数据转储到DMS Kafka 删除数据转储任务 √ × √ × 其他 配置数据转储 √（需同时拥有OBS Bucket Viewer权限） × √（需同时拥有Tenant Administrator权限） × 其他 导出监控数据 √ √ √ × 其他 发送告警通知 √ × √ ×

本文为您介绍数据库审计的权限管理能力,支持通过IAM实现对数据库审计的访问控制、权限分配。 天翼云提供统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对数据库审计资源的访问控制、权限分配等。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 数据库审计支持企业项目管理，若您需要对数据库审计资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予数据库审计产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 说明 仅“一类节点”区域的实例支持企业项目管理。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 数据库审计IAM策略说明 天翼云为数据库审计提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 数据库审计admin策略 数据库审计admin策略，拥有产品所有操作权限。 系统策略 全局级 数据库审计系统管理员策略 数据库审计系统管理员策略。 系统策略 全局级 数据库审计审计员策略 数据库审计审计员策略，只具备查看权限。 系统策略 全局级 数据库审计安全员策略 数据库审计安全员策略。 系统策略 全局级 数据库审计业务管理员策略 数据库审计业务员管理员策略，仅支持使用数据库审计实例，不支持订购相关操作。 系统策略 全局级

类型 限制项 默认配额 备注 数据查询 最大查询时间范围 11000 暂不支持调整 数据查询 单次接口查询超时时间 30秒 暂不支持调整 数据查询 单次查询最多扫描时间线数量 2万 可提交工单申请扩容，扩容不会对之前上报数据生效。 数据查询 单次查询扫描最大数据量 1000万 暂不支持调整 数据查询 单次查询返回的最大数据量 100万 暂不支持调整 数据查询 最大查询QPS 50QPS 暂不支持调整 数据采集和上报 每个数据点最大支持大小 32kB，超过会解析失败 暂不支持调整 数据采集和上报 每个用户最大时间线数量 实际上系统会在到达限额之前为您自动做相关的扩容，因此您无需关注该限制。 数据采集和上报 每次上报请求总数据量大小 不超过1MB（最多一次上报1024个指标，因此理论上不会超过） 不支持调整，超过1 MB数据会被全部丢弃。 数据采集和上报 单指标Label长度限制 Label Key或者Label Value字符串长度不超过256个字符。 不支持调整，超限会被调换为MAXTAGVALUELIMITED 数据采集和上报 单个指标的标签数限制 64个 超出可能会造成数据丢失 数据采集和上报 默认数据保存时长 Prometheus实例 for 云服务默认保存30天，其他类型实例默认保存15天。 您可在控制台自行调整数据存储时长。 数据采集和上报 Agent单副本默认配置（3核4 G）一次最多能采集的数据点数 350万 建议您扩容副本 数据采集和上报 Agent单副本默认配置（3核4 G）最大采集Target数 1000个 建议您扩容副本 数据采集和上报 1个Target 30秒内可以最大可采集的数据点数 60万 建议您扩容副本 数据采集和上报 Agent HPA最大副本数 20 若超限，您可在控制台手动增加副本数。 数据采集和上报 Agent 支持的ACK集群版本 待测 建议您升级Kubernetes版本 告警 告警规则查询返回结果数 500 其他 单集群Recording Rules数量上限 100 超限不限制使用，但是计算可能会有延迟 其他 共享版Grafana每个租户最多能创建的Folder数量 10