本文简述回源SNI功能。 功能介绍 如果一个源站IP地址绑定多个域名，且天翼云边缘安全加速平台安全与加速服务使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源SNI原理 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题，而对SSL/TLS协议所作的一个扩展。它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。开启回源SNI后，边缘节点向源站发起TLS握手时，源站会根据TLS握手中携带的回源SNI信息来确认边缘节点请求的具体域名，然后返回该域名对应的SSL证书给边缘节点。 设置回源SNI后的工作流程如下： 1. 当边缘节点以HTTPS协议回源时，需要在回源SNI中设置访问的域名。 2. 源站收到请求后，返回SNI中设置的域名对应的SSL证书。 3. 边缘节点收到SSL证书后，与源站建立连接。 配置说明 1. 登录边缘安全加速控制台。 2. 单击左侧导航栏【域名管理】。 3. 在【域名管理】页面，找到目标域名，单击【操作】列的【基础配置】。 4. 单击右下方【回源配置】。 5. 在【回源SNI】模块，开启功能。 6. 配置SNI。 7. 单击【保存】，完成配置。 参数名 说明 SNI 回源SNI域名，只能配置精确域名，不支持泛域名。

本节为您介绍物理机服务常见的网络与安全类问题。 不同帐号下物理机内网是否可以互通？ 不可以。 物理机的内网通信限制于同一账号或租户下的资源，不同账号的物理机之间默认无法直接进行内网通信。如果需要不同账号的物理机进行内网通信，可以考虑使用安全组、VPC对等连接或其他网络连接方式来实现跨账号的内网通信。这些方式可以提供安全且可控的内网互通解决方案。 同一区域、不同可用区的两台物理机如何通信？ 同一区域但不同可用区的两台物理机可以通过以下方式进行通信： 1. 确保两台物理机都位于同一虚拟私有云（VPC）中。 2. 在同一VPC中创建子网，并将两台物理机分别分配到不同的子网中。 3. 为每台物理机分配一个弹性IP，通过将弹性IP绑定到物理机的主网卡上，可以使其具备公网访问能力。 4. 在安全组中配置适当的网络访问规则，以允许两台物理机之间的通信。 5. 如果两台物理机位于同一子网中，则可以进行二层通信。如果位于不同子网中，则需要进行三层通信，即通过路由器进行数据包转发。 我创建的物理机是否在同一子网？ 您可以自定义网络，物理机是否在一个子网，完全由您来控制。 如果您在创建物理机时选择了相同的子网，那么这些物理机将位于同一子网中。 如果您在创建物理机时选择了不同的子网，那么这些物理机将位于不同的子网中。

天翼云为您提供对象存储服务等级协议,请您点击查看。 自2021年11月11日起，新版对象存储服务等级协议生效，详情请参见这里。 中国电信天翼对象存储系统服务等级协议 历史版本（2012年11月10日）

本章节主要介绍开源组件Web站点。 场景介绍 翼MR集群默认在集群的Master节点和Core节点创建并托管了不同组件的Web站点，用户可以通过这些Web站点查看组件相关信息。 访问开源组件Web站点步骤： 1. 登录翼MR控制台管理页面。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“访问链接与端口”tab即可。 Web站点一览 详见下表：开源组件Web站点地址 站点类型 WebURL 例子 URL说明 HDFS NameNode Web UI YARN ResourceManger Web UI YARN NodeManager Web UI YARN JobHistory Web UI HBase HMaster Web UI HBase RegionServer Web UI Spark SparkHistory Web UI Doris FE Web UI Elasticsearch ESNode Web UI Ranger RangerAdmin Web UI Knox Knox Web UI KafkaUI Kafka Web UI FlinkUI Flink Web UI TezUI Tez Web UI Amoro Amoro Web UI Hue Hue Web UI DolphinScheduler DolphinScheduler Web UI

此小节介绍企业主机安全查看安全报告。 主机安全支持订阅日报、周报、月报和自定义，展现不同周期主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 注意 勾选订阅报告后，第二天即可查看、下载。 约束限制 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持安全报告相关操作。 安全报告概览 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。。 4、左侧选择“安全报告”进入安全报告概览页面。服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击目标报告的“获取报告”，跳转至报告预览页，可查看报告信息、下载、发送报告。 查看报告发送记录 发送记录存储了邮件发送报告的发送详情。 1、单击安全报告概览页右上角的“报告发送记录”查看报告发送记录。 2、在弹窗中查看报告发送记录，参数说明如表所示。 报告发送详情 报告发送记录参数 参数名称 参数说明 报告名称 已发送报告的名称。 统计周期 目标发送报告内容的统计周期。 报告类型 目标发送报告的统计周期类型。 安全周报 安全月报 安全日报 自定义报告 邮件发送时间 目标报告发送的时间。 3、单击“操作”列的“获取报告”可查看历史发送的报告信息，同时可预览和下载报告。

查看及下载报表 报表保留周期如下表所示，建议您定期下载报表，以满足等保测评以及审计的需要。 报表类型 保留周期 日报 报表保存180天，约半年 周报 报表保存52周，约一年 月报 报表保存24个月，约两年 请参考如下步骤查看及下载报表： 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“报表管理”，进入报表管理页面。 5. 在目标报表所在行的“操作”列，单击“预览”即可查看报表内容，单击“下载”即可将报表下载到本地。 报表中主要包含如下信息： 防护基本信息：包括使用的WAF版本、配额信息、用户账号、报表生成时间、防护范围、报表统计范围等。 数据统计信息：包括防护域名、请求次数和已发现的攻击次数。 攻击防护统计：按防护类型统计各防护事件的次数以及防护事件的详细信息。 防护Top统计：包括攻击类型、受攻击域名TOP10、攻击源IP TOP10、受攻击URL TOP10、攻击来源区域 TOP10等。

本文介绍使用CDN和媒体存储后访问文件被强制下载的可能原因及解决方案。 问题描述 使用天翼云CDN加速产品加速媒体存储资源，在通过CDN访问媒体存储资源时，对应文件被强制下载。 问题原因 由于媒体存储在访问Bucket域名时，如果未设置对象属性，媒体存储会根据文件后缀自动添加合适的对象属性，如果文件无后缀则会给文件添加ContentType：application/octetstream和ContentDisposition：attachment响应头，导致文件被强制下载。 解决方案 需要修改媒体存储中资源的对象属性，操作步骤如下： 1. 登录媒体存储控制台。 2. 单击左侧导航栏【对象存储】【Bucket列表】。 3. 在【Bucket列表】页面，单击目标Bucket。 4. 单击【文件列表】标签页，并单击【上传文件】按钮，针对上传文件进行设置对象属性。 5. 单击【点击上传】，选择需要上传的文件，单击【开始上传】。

本章主要介绍翼MapReduce的备份HBase业务数据功能。 操作场景 为了确保HBase日常数据安全，或者系统管理员需要对HBase进行重大操作（如升级或迁移等），需要对HBase业务数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份HBase任务并备份数据。支持创建任务自动或手动备份数据。 HBase备份业务数据时，可能存在以下场景： 用户创建HBase表时，“KEEPDELETEDCELLS”属性默认值为“false”，备份该HBase表时会将已经删除的数据备份，可能导致恢复后出现垃圾数据。请根据业务需要，在创建HBase表时手动修改参数值为“true”。 用户在HBase表写入数据时手动指定了时间戳，且时间早于上一次该HBase表的备份时间，则在增量备份任务中可能无法备份新数据。 HBase备份功能不支持对HBase的global或者命名空间的读取、写入、执行、创建和管理权限的访问控制列表（ACL）进行备份，恢复HBase数据后需要管理员在FusionInsight Manager上重新设置角色的权限。 已创建的HBase备份任务，如果本次备份任务在备集群的备份数据丢失，当下次执行增量备份时备份任务将失败，需要重新创建HBase的备份任务。若下次执行全量则备份正常。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份任务的类型、周期、备份对象、备份目录和备份任务需要使用的Yarn队列等策略规格。 检查备集群HDFS是否有充足的空间，备份文件保存的目录建议使用用户自定义的目录。 使用HDFS客户端，以hdfs用户执行hdfs lsSnapshottableDir检查当前集群中已创建HDFS快照的目录清单，确保待备份的数据文件所在HDFS路径的父目录或子目录不存在HDFS快照，否则无法创建备份任务。 如果数据要备份至NAS中，需要提前部署好NAS服务端。 HBase的“fs.defaultFS”配置参数需要与Yarn，HDFS的配置保持一致。

本章节主要介绍翼MapReduce服务的作业管理功能。 作业管理为用户提供向集群提交作业的入口，支持包括MapReduce、Spark、HiveQL和SparkSQL等类型的作业。结合数据湖治理中心（DataArts Studio），提供一站式的大数据协同开发环境、全托管的大数据调度能力，帮助用户快速构建大数据处理中心。 通过数据湖治理中心（DataArts Studio），用户可以先在线开发调试MRS HiveQL/SparkSQL脚本、拖拽式地开发MRS作业，完成MRS与其他20多种异构数据源之间的数据迁移和数据集成；通过强大的作业调度与灵活的监控告警，轻松管理数据作业运维。

目标库要求 与源库要求保持一致。 约束限制 双向同步是在全量同步完成后才开始进行，全量同步完成之前，目标库只能读不能写，否则会导致源库与目标库数据不一致。待全量同步完成后，目标库可读可写。 为保障同步数据的一致性，您需要确保同一个主键或唯一键的记录只在双向同步的一个节点进行更新。如果同时更新则会按照您在数据同步作业中配置的主方向进行响应。 说明 详细信息请参考 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的位置图标，然后在下拉列表中选择目标区域和项目。 3. 选择“数据库 > 数据传输服务DTS”，进入数据传输服务DTS控制台。 4. 单击左侧菜单栏“数据同步”。 5. 点击“创建实例”按钮创建数据传输服务DTS同步实例。 6. 在“信息配置”栏，网络接入类型选择“公网EIP”，公网IP任意选择一个可用的公网IP即可。 说明 如果在天翼云已有可用的公网IP，则可以直接使用，否则需要先购买一个公网IP用于实现数据传输服务DTS实例的公网访问。 7. 在“信息配置”栏的“目标库实例”中，选择您需要同步的第一个数据库类型与实例。 8. 填写完信息后点击“下一步 > 立即创建”，开始创建数据传输服务DTS实例。 9. 回到数据传输服务DTS控制台，等待数据传输服务DTS实例创建成功后，找到对应实例，点击“实例配置”。 10. 填写源库的IP地址、端口号、数据库账号和密码，填写目标库的数据库账号和密码，点击“检测连通性并下一步”。 11. 在“同步拓扑”处选择“双向同步”。 12. 在“源库对象”处选择需要同步的第二个数据库，点击箭头移动到“已选择对象”。 13. 单击“下一步预检查”，等待预检查完成。 说明 如果预检查没有通过，可根据提示进行修改，然后重新执行预检查。 14. 预检查通过后，单击“启动同步”开始进行数据同步。 15. 回到数据传输服务DTS控制台，点击实例可以查看同步状态。

本文介绍访问URL重定向功能及其配置说明。 功能介绍 当客户源站的内容存放路径发生了变更，全站加速节点上的内容存放路径也发生了变更，但是用户请求URL里面包含的内容路径没有变更时，需要全站加速节点改写用户请求里面的内容路径。技术实现方式是通过响应302状态码重定向的方式，让客户端取302响应里面的Location的新URL，重新向全站加速节点发起访问，确保用户能获得正确的内容。例如：文件a.mp4原先存放在目录“/stream/”下，现在变更为“/vod/”，此时可通过天翼云全站加速的访问URL重定向功能，实现用户访问 注意事项 该功能依赖客户端支持访问跳转后的内容。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【高级配置】。 5. 在【访问URL重定向】模块，单击【增加规则】，根据需求填写配置。 6. 单击【保存】，完成配置。 参数名 配置值 说明 类型 后缀名/目录/首页/全部文件/全路径文件 需要配置的文件类型。 内容 指定类型的具体内容 类型选择后缀名、目录、全路径文件时，需配置具体内容；例如类型为后缀名时，需在内容处指明具体的文件后缀；如类型为目录时，需在内容处指明具体的目录内容。 待改写PATH 以/开头的PATH，不含 例如：^/qpdxv/(.) 目标PATH 以协议://域名开头的PATH，其中协议可为http/https（scheme），支持PCRE正则表达式 比如常用$1,$2来捕获待改写PATH中圆括号内的字符串，目标PATH值可设置为例如：$scheme://ctyun.cn/videos/$1 跳转状态码 301/302 响应301或者302状态码 优先级 数字 配置的优先级，存在多条设置时，相同文件类型及内容，执行优先级高的规则。

本文介绍可以支持客户自定义的回源场景和配置方法。 功能介绍 源站配置模块支持客户自定义源站。支持IP或域名，支持配置天翼云媒体存储和天翼云对象存储作为源站；支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源场景 功能简介 配置入口 多层级主备及权重回源 客户有多个源站时，支持多主多备，及按不同权重回源。 客户控制台域名管理域名列表回源配置源站配置。 动态回源策略 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式。 详见：动态回源策略 区分地区、运营商回源 支持分地区、运营商回源。 通过提交工单，由天翼云客服人工配置。 区分IPv4/IPv6协议回源 支持分IPv4/IPv6协议回源。 通过提交工单，由天翼云客服人工配置。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【回源配置】。 5. 在【源站】模块，单击【添加源站】。 6. 根据需求填写配置。 7. 单击【保存】，完成配置。 参数名 说明 源站类型 可选择IP或域名/媒体存储源站/对象存储源站。媒体存储源站和对象存储源站不可同时配置，且只能配置一个媒体存储源站/对象存储源站。 源站 即源站地址，支持IP或域名。 层级 支持主或备。 权重 即回该源站的权重值。 指定源站回源HOST 回源HOST决定了回源请求访问到源站的哪个站点。当不同源站使用不同回源HOST时，需通过“指定源站回源HOST”进行设定。 操作 可删除源站配置。

本章节将介绍mongodump和mongorestore工具的使用方法 mongodump和mongorestore是MongoDB客户端自带的备份恢复工具。您可以在本地设备或ECS中安装MongoDB客户端，通过mongodump和mongorestore工具将自建MongoDB数据库或其他云数据库MongoDB迁移至天翼云DDS实例。 使用须知 mongodump和mongorestore工具仅支持全量数据迁移。为保障数据一致性，迁移操作开始前请停止源数据库的相关业务，并停止数据写入。 建议您尽量选择在业务低峰期迁移数据，避免在迁移过程中对业务造成影响。 不支持迁移系统库admin和local。 确保源库中系统库admin和local没有创建业务集合，如果已经有业务集合，必须在迁移前将这些业务集合从admin和local库中迁移出来。 导入数据之前，确保源端有必要的索引，即在迁移前删除不需要的索引，创建好必要的索引。 如果选择迁移分片集群，必须在目标库创建好要分片的集合，并配置数据分片。同时，迁移前必须要创建好索引。 如果使用mongodump工具备份失败（示例：备份进度至97%时报错），建议您尝试增大虚拟机磁盘空间，预留部分冗余空间，再重新执行备份。 客户侧使用的是rwuser帐号，仅支持操作客户业务库表。所以，在使用时建议指定库和表，仅对业务数据执行导入导出。不指定库表，全量进行导入导出，可能会遇到权限不足的问题。 前提条件 准备弹性云服务器或可访问DDS的设备。 − 通过内网连接文档数据库实例，需要创建并登录弹性云服务器，请参见创建弹性云服务器和登录弹性云服务器。 − 通过公网地址连接文档数据库实例，需具备以下条件。 为实例中的节点绑定公网地址，保证本地设备可以访问文档数据库绑定的公网地址。 在已准备的弹性云服务器或可访问DDS的设备上，安装数据迁移工具。 安装数据迁移工具，请参见如何安装MongoDB客户端。 说明 MongoDB客户端会自带mongodump和mongorestore工具。 MongoDB客户端版本须和实例相匹配，若版本不匹配则会有兼容性问题出现。

实例画像支持查看实例多维度评分详情、节点监控与告警信息，并提供告警触发源分析，引导用户快速排查实例存在的问题。 前提条件 仅限来源为天翼云RDS的MySQL数据库。 已录入DMS中，且实例状态正常的数据库实例。 操作步骤 1. 登录数据管理服务。 2. 在左侧导航栏中，单击 智能运维 > 实例画像，进入实例画像界面。 3. 在左上方区域，选择目标实例，查看实例画像。 功能介绍 实例画像主要从数据库可用性、数据库可靠性、数据库性能、数据库可维护性、数据库安全性5个维度评估实例的健康评级，并结合告警信息给出触发源分析与建议。 实例画像 实例画像从五个维度进行评分，实例总得分取五个维度中的最低评分，健康评级依据实例总得分计算得出，具体详见评分规则，支持选择时间段进行查询。 数据库可用性：数据库服务的连续性，主要检查数据库是否发生过服务中断（如重启、无法响应等）。 数据库性能：数据库的关键性能指标平稳，主要检查相关指标均值是否存在波峰，以及资源使用率是否正常。 数据库可维护性：数据库的表设计、应用程序逻辑设计的合理性表现，主要检查是否存在非分区大对象、死锁、元数据锁、空间不足等问题。 数据库可靠性：数据的可恢复能力达到RPO为0，主要检查数据库的备份策略、主从复制的健康度等。 数据库安全性：数据库的安全管理关键指标，主要检查密码复杂度配置、访问白名单配置、连接安全协议、密码加密算法等。

本章节主要介绍翼MapReduce服务取消隔离主机。 操作场景 用户已排除主机的异常或故障后，需要将主机隔离状态取消才能正常使用。 该任务指导用户在MRS Manager上取消隔离主机。 前提条件 主机状态为“已隔离”。 主机的异常或故障已确认修复。 操作步骤 在MRS Manager单击“主机管理”。 1.勾选待取消隔离主机前的复选框。 2.选择“更多 > 取消隔离主机”。 3.在“取消隔离主机”，单击“确定”。 界面提示“操作成功。”，单击“完成”，主机成功取消隔离，“操作状态”显示为“正常”。 4.单击已取消隔离主机的名称，显示主机“状态”，单击“启动所有角色”。

本章节主要介绍 翼MapReduce的查看集群运行任务。 操作场景 用户在MRS Manager进行操作触发运行任务时，会显示任务运行的过程与进度。关闭任务窗口后，需要通过任务管理功能，打开任务窗口。 MRS Manager默认保留10个最近运行的任务。例如重启服务、同步服务配置和执行健康检查。 操作步骤 在MRS Manager，单击，打开“任务列表”。 “任务列表”可查看的信息包含：“任务名”、“状态”、“进度”、“开始时间”和“结束时间”。 1. 单击指定的任务名称，可查看任务执行过程中的详细信息。

本节介绍天翼云AI云电脑快速使用OpenClaw指南。 产品优势 开通指引 新用户极简开通，三步搞定 已有云电脑用户，切换OpenClaw镜像体验 使用指引 典型场景演示 场景一、在桌面创建openclaw.txt文件 场景二：统计桌面有多少个txt文件 进阶用户使用 本文介绍如何通过天翼AI云电脑快速部署OpenClaw（曾用名：Clawdbot/Moltbot），并体验OpenClaw典型应用场景。 说明 为方便用户零门槛快速体验，天翼云默认提供少量 Tokens试用，数量有限；如需获得更优使用体验与效果，请自行购买原生匹配的大模型和Tokens，参照“进阶用户使用”步骤配置。 产品优势 智能与安全兼得 把OpenClaw部署在云端隔离环境，搭配“零信任接入+风险文件隔离+应用管控+数据加密+防火墙”五重防护，真正实现“进不来、拿不走、看不懂、改不了、跑不掉”。数据全程留存在云端，办公再智能，使用也安心。 多系统支持，Windows用户也能轻松上车 额外支持Windows系统，云电脑老用户也能切换体验，让AI智能体真正走进日常办公。 免设置，零门槛体验 云电脑已内置大模型，点击桌面OpenClaw图标可零门槛体验，技术小白也会用。

本节介绍云等保专区产品的退订情况。 退订说明 购买云等保专区后，您可以随时退订，成功退订后将进行退款。 注意 云等保专区支持七天无理由退订，七天无理由退订仅限于新购资源的情形，若新购资源在7天内进行了续订或变更（包含但不限于规格升级、扩容、操作系统变更、按需计费转包周期），退订时按非七天无理由退订处理，需要收取相应的使用费用和退订手续费，且不退还代金券及优惠券，更多详情请阅读天翼云退订规则说明。 退订云等保专区 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在页面左侧导航栏单击“产品服务列表”图标，选择“安全 > 云等保专区”。 4. 在“资源概览”中找到需要退订的资源，单击操作列的“退订”。 5. 在退订页面，确认需要退订的资源。 说明 在“二类节点”区域（云等保专区支持的区域请参见支持的区域）购买的v1.0版本资源，退订时需同时退订相应的云主机。 6. 单击“立即退订”，即可进行退订。

使用建议 如果您对自己的业务流量特征还不完全清楚，建议先切换到“仅记录”模式进行观察。一般情况下，建议您观察一至两周，然后分析仅记录模式下的攻击日志。 如果没有发现任何正常业务流量被拦截的记录，则可以切换到“拦截”模式启用拦截防护。 如果发现攻击日志中存在正常业务流量，建议调整防护等级或者设置全局白名单（原误报屏蔽）来避免正常业务的误拦截。 业务操作方面应注意以下问题： 正常业务的HTTP请求中尽量不要直接传递原始的SQL语句、JAVA SCRIPT代码。 正常业务的URL尽量不要使用一些特殊的关键字（UPDATE、SET等）作为路径，例如：“ 如果业务中需要上传文件，不建议直接通过Web方式上传超过50M的文件，建议使用对象存储服务或者其他方式上传。 防护效果 开启Web基础防护功能后，在浏览器中输入模拟SQL注入攻击的测试域名，WAF将拦截了此条攻击。您可以在“安全总览”页面，查看攻击的拦截日志。 在“防护事件”页面，您可查看“昨天”、“今天”、“3天”、7天、“30天”或者自定义时间范围内的防护日志。同时，单击“详情”，可以查看具体的攻击信息。

本文主要介绍存量节点与容器网络检查。 检查项内容 检查存量节点是否运行正常 检查存量节点的网络是否运行正常 检查存量容器的网络是否运行正常 检查步骤 节点组件异常或节点网络异常，均会反映在节点状态上。 请登录CCE控制台，前往“资源>节点管理”处查看节点状态，检查是否有处于异常状态的节点，可通过状态栏过滤。 容器网络异常会反映在业务上，请检查您的业务是否运行正常。 解决方案 若节点状态异常，请联系技术支持人员。 若容器网络异常，并影响了您的业务，请联系技术支持人员，并同步确认当前异常的网络访问路径。 源端 目的端 目的端类型 可能故障 :::: 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service ELB 公网IP 集群流量负载均衡入口 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service ELB 私网IP 集群流量负载均衡入口 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Ingress ELB 公网IP 集群流量负载均衡入口 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Ingress ELB 私网IP 集群流量负载均衡入口 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service Node Port 公网IP 集群流量入口 kube proxy配置覆盖，该故障已在升级流程适配 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service Node Port 私网IP 集群流量入口 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service Cluster IP Service网络平面 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 非Service NodePort 节点单口 节点容器网络 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 跨节点Pod 容器网络平面 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 同节点Pod 容器网络平面 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service域名、Pod域名等，基于CoreDNS解析 域名解析 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 外部网站域名，基于CoreDNS hosts配置解析 域名解析 coredns插件升级后配置被覆盖，该故障已在插件升级流程适配 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 外部网站域名，基于CoreDNS 上游服务器解析 域名解析 coredns插件升级后配置被覆盖，该故障已在插件升级流程适配 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 外部网站域名，不通过CoreDNS解析 域名解析 未有记录

本主题介绍天翼云服务等级目标（SLO），包括天翼云服务在计算、存储、网络和CDN方面的可用性。本主题中的SLO是指基于工程设计测量的预期值。因此，我们不保证满足SLO。如果未满足SLO，我们不提供服务补偿或其他财务补偿。有关天翼云服务SLA的更多信息，请参阅产品服务等级协议。 可用性SLO 产品名称 可用性SLO :: 弹性云主机 99.995% 物理机 99% 弹性伸缩服务 99.95% 云硬盘 99.999% 弹性文件服务 99.9% 对象存储（经典I型） 99.99% 对象存储（原生版）I型 99.95% 媒体存储 99.99% 弹性IP 99% 弹性负载均衡 99.95% VPN连接 99.95% 分布式缓存Redis 99.95% 分布式消息RocketMQ 99.95% 分布式消息RabbitMQ 99.95% 分布式消息Kafka 99.95% CDN加速 99.90%

MRS数据源使用概述 MRS集群简介 翼MapReduce（MRS）是一个基于开源Hadoop生态环境而运行的大数据集群，对外提供大容量数据的存储和分析能力，可解决用户的数据存储和处理需求。有关MRS服务的详细信息，请参考《翼MapReduce服务用户操作指南》。 用户可以将海量业务数据，存储在MRS的分析集群，即使用Hive/Spark组件保存。Hive/Spark的数据文件则保存在HDFS中。DWS支持在相同网络中，配置一个DWS集群连接到MRS集群，然后将数据从HDFS中的文件读取到DWS。 使用流程 从MRS导入数据到集群流程如下： 1. 前提条件 a. 创建一个MRS集群，具体操作步骤请参见《MapReduce服务用户操作指南》中“购买自定义集群”章节。 b. 创建一个HDFS外表，外表通过外部服务器的接口，从MRS集群查询数据。 具体操作步骤请参见《数据仓库服务数据库开发指南》中“导入数据 > 从MRS导入数据到集群”章节。 说明 同一个网络下可以有多个MRS数据源， 但是DWS集群每次只能和一个MRS集群建立连接。 2. 在DWS集群创建一个MRS数据源连接，具体操作步骤请参见下文 创建MRS数据源连接。 3. 使用MRS数据源导入数据到集群，具体操作步骤请参见《数据仓库服务数据库开发指南》中的“导入数据 > 从MRS导入数据到集群”章节。 4. （可选）当MRS集群的HDFS配置发生变更时，在DWS服务中，需要执行MRS数据源配置的更新操作，详情请参见下文 更新MRS数据源配置。

本文介绍如何选择合适的动态回源策略。 功能介绍 在介绍动态回源策略之前，我们先介绍如何区分动态请求和静态请求？天翼云边缘安全加速平台安全与加速服务根据您配置的缓存规则来区分动静态请求，有配置缓存规则的被当作静态请求处理，其他请求将被当作动态请求处理。 如果您的域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式；静态回源策略默认轮询回源，无需配置。 择优回源：顾名思义，即根据边缘节点探测源站的结果，选择最快的源站回源。 按权重回源：根据每个源站配置的不同权重，轮询回源。默认所有源站权重相同，支持对不同源站配置不同的权重。 保持登录：基于客户端IP进行哈希计算，保证相同客户端IP的多次请求始终访问到相同的源站。 注意事项 基础版、高级版、企业版、旗舰版支持动态加速能力。 动态回源策略仅对动态请求生效，默认为择优回源。 静态请求默认轮询回源。 配置说明 1.登录客户控制 2.在域名列表页面，点击目标域名“详情”。 3.进入站点加速网络优化页面，点击“编辑配置”。 4.选择合适的动态回源策略。

云搜索服务已接入云审计服务。通过云审计服务，您可以查询云搜索服务相关的操作事件，便于日后的查询、审计和回溯。 云搜索服务默认接入云审计服务，云审计服务是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 前提条件 开通云搜索服务实例对应资源池的云审计服务。 开通云审计服务建议您从官网对应资源池“控制中心”>“管理与部署”>“云审计”进入开通。 操作步骤 您可通过云审计控制台查看云搜索服务近7天的相关操作。具体查看方法参见查看审计事件。 当前已纳入云审计的关键操作列表 操作名称 资源类型 创建实例 instance 查询实例详情 instance 修改实例密码 instance 扩容实例 instance 扩容存储容量 instance 扩容专属节点 instance 实例规格升配 instance 安全模式修改 instance 下载安全证书 instance 重启实例 instance 开启日志服务 instance 关闭日志服务 instance 开启审计日志 instance 关闭审计日志 instance 开启实例公网访问 instance 修改实例公网访问 instance 关闭实例公网访问 instance 开启Kibana&Cerebro公网访问 instance 修改Kibana&Cerebro公网访问 instance 关闭Kibana&Cerebro公网访问 instance 开启快照能力 snapshot 关闭快照能力 snapshot 开启自动快照 snapshot 关闭自动快照 snapshot 手动创建快照 snapshot 恢复快照 snapshot 删除指定快照 snapshot 修改参数配置 instance 安装插件 instance 卸载插件 instance 获取参数配置列表 instance 修改参数配置 instance 绑定ELB instance 解绑ELB instance

本文带您了解云硬盘备份的功能特性。 云硬盘备份具有丰富的功能特性，例如备份、备份恢复以及备份安全，具体说明如下： 云硬盘备份 支持用户批量备份不同类型云硬盘，用户可按需选择需要备份的云硬盘进行数据备份，备份对在线业务运行无影响，无需预先关机或卸载云硬盘。 备份方式：支持手动备份（一次性备份）及自动策略备份（周期性备份），用户可根据业务实际情况选择合适的备份方式。 备份策略：支持全天24小时多备份时间点，支持按天、周、用户自定义天数的备份周期。支持按时间、按数量、永久保留三种备份保留方式。 备份管理：用户可通过备份列表查看备份信息，对已备份数据进行批量管理。 备份恢复 无论是全量还是增量备份都可以快速、方便地将云硬盘的数据恢复至备份副本所在时刻的状态。用户可采用恢复数据、创建新云硬盘两种方式进行备份恢复操作。 选择恢复数据，备份数据将恢复到原云硬盘，覆盖当前云硬盘数据。 选择创建新云硬盘，用户可实现云硬盘数据的迁移。 备份安全 云硬盘备份通过云硬盘与对象存储服务的结合，将云硬盘的数据备份到对象存储中，高度保障用户的备份数据安全。 针对加密云硬盘的备份，备份数据自动继承源云硬盘的加密属性，加密算法与源加密云硬盘保持一致。

本节主要介绍如何重置缓存实例密码 天翼云分布式缓存Redis实例必须使用密码控制访问，以确保缓存数据安全。密码可在创建实例时或者创建后设置；通过重置缓存密码，可设置实例连接密码。更改密码后，服务端无需重启，立即生效； 客户端需使用更新后的密码才能连接，可参考通过客户端连接缓存实例。 使用场景 基于信息安全的原则，建议默认使用密码访问。 对于生产环境的系统，建议开启密码访问控制。 对于开启了公网访问的实例，建议使用密码访问，增强实例数据的安全。 前提条件 只有当缓存实例处于“运行中”状态，才能执行此操作。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台右上角选择实例所在的区域。 3. 在实例列表页面选择实例所在操作列，点击”重置密码“按钮，进入实例密码重置弹窗。或在实例列表页，单击目标实例名称进入实例详情管理，在密码后点击“重置密码”按钮进入实例密码重置弹窗。 4. 在实例密码重置页面输入密码与确认密码，点击“保存”按钮完成实例密码重置。 说明 密码长度8～26个字符，必须同时包含大写字母、小写字母、数字和英文格式特殊符号(@%^+!$.)中的至少三种类型且不能包含空格。 请妥善管理密码，系统无法获取您设置的密码。

本节主要介绍安全类相关问题。 非活跃用户的定义是什么？被标记为非活跃用户后会有什么影响吗？ 非活跃用户是指在最近1年内PUTt+GET+DELETE请求次数统计为0，且实时容量为0的账号。防止长期闲置的AccessKeyId/SecretAccessKey因保存不当产生泄露风险，当账号被系统自动标记为非活跃用户后，会自动禁用该账号下的所有AccessKeyId/SecretAccessKey，用户无法再通过这些AccessKeyId/SecretAccessKey请求OOS的任何服务。 被标记为非活跃用户是否支持自助申诉解除？ 非活跃用户可以通过天翼云官网或者OOS的控制台地址（仅限早期通过OOS产线侧开通的账号）登录，登录成功后，页面会有提示框强制引导进行非活跃用户的解除。在“安全凭证”>“密钥”页面，建议用户先删除旧的密钥，然后创建新的密钥，系统会自动解除非活跃状态。如果用户（包括主账号/子用户）历史的密钥还想继续使用，需要单独启用。 AccessKeyId/SecretAccessKey建议多久轮换一次？ 当前系统会针对AccessKeyId/SecretAccessKey的创建时间做自动检测，当创建时间超过90天后，会在OOS的控制台页面弹出轮换提示框引导用户进行AccessKeyId/SecretAccessKey的轮换。在“安全凭证”>“密钥”页面，每个密钥后面会有超期标记字段来提醒。出现密钥轮换提醒弹窗时，也可以选择关闭，在“统计概览”页面顶部关闭，5天内不再弹出轮换提醒。

本文介绍访问请求响应403状态码如何排查和处理。 问题描述 网站接入Web应用防火墙（边缘云版）之后，当访问请求有可能对网站造成安全威胁时，WAF防护引擎会拦截这些请求，并响应403错误给浏览器，拦截信息如下图所示： 解决方案 当请求响应403拦截时，您可以通过Web应用防火墙（边缘云版）控制台查看具体的攻击拦截信息： 在Web应用防火墙（边缘云版）控制台，通过安全分析 > WAF攻击报表，查看WAF攻击数据的多维度统计分析。也可以通过日志管理 > WAF攻击日志查看每条拦截请求的攻击详细信息，其中事件ID跟拦截请求响应内容中的RequestID对应。 通过分析攻击日志详情后，如果您认为该拦截的请求是正常业务请求，可通过点击日志详情页面的"添加白名单"按钮，进入添加白名单页面添加对应的白名单规则。

操作说明 本方案基于 天翼云 ROS（资源编排服务）控制台，提供 OpenClaw 云主机的一键批量部署与删除能力。用户仅需在 ROS 控制台导入模板并配置参数，即可在分钟级完成环境搭建与资源回收。 方案通过模板化编排，将计算、网络与安全策略统一纳管，实现“自动化部署 + 安全策略一体化”，显著提升资源交付效率，降低运维复杂度。 适用场景 OpenClaw 云主机快速批量搭建 多环境标准化部署（开发、测试、生产） 临时资源快速创建与释放 对网络隔离与安全策略有定制化和合规管理要求的业务场景 方案架构 基于 ROS 模板编排，自动创建以下资源： VPC 私有网络 子网（Subnet） 安全组及访问规则 ECS 云主机（OpenClaw 镜像） 弹性公网 IP（自动分配与绑定） 架构关系如下： VPC ├── Subnet │ └── ECS(OpenClaw实例) × N │ ├── EIP │ └── Security Group 核心能力 在 ROS 控制台中： 导入模板（基于 Terraform 语法适配） 核心参数配置：配置实例数量（instancecount）、可用区选择、镜像、云主机规格等等 一键创建资源栈 即可自动完成： 多台 OpenClaw 云主机创建 自动命名（如 openclaw1、openclaw2） 公网 IP 自动绑定 同时支持一键删除资源栈，实现全量资源自动回收

操作说明 本方案基于 天翼云 ROS（资源编排服务）控制台，提供 OpenClaw 云主机的一键批量部署与删除能力。用户仅需在 ROS 控制台导入模板并配置参数，即可在分钟级完成环境搭建与资源回收。 方案通过模板化编排，将计算、网络与安全策略统一纳管，实现“自动化部署 + 安全策略一体化”，显著提升资源交付效率，降低运维复杂度。 适用场景 OpenClaw 云主机快速批量搭建 多环境标准化部署（开发、测试、生产） 临时资源快速创建与释放 对网络隔离与安全策略有定制化和合规管理要求的业务场景 方案架构 基于 ROS 模板编排，自动创建以下资源： VPC 私有网络 子网（Subnet） 安全组及访问规则 ECS 云主机（OpenClaw 镜像） 弹性公网 IP（自动分配与绑定） 架构关系如下： VPC ├── Subnet │ └── ECS(OpenClaw实例) × N │ ├── EIP │ └── Security Group 核心能力 在 ROS 控制台中： 导入模板（基于 Terraform 语法适配） 核心参数配置：配置实例数量（instancecount）、可用区选择、镜像、云主机规格等等 一键创建资源栈 即可自动完成： 多台 OpenClaw 云主机创建 自动命名（如 openclaw1、openclaw2） 公网 IP 自动绑定 同时支持一键删除资源栈，实现全量资源自动回收

性能增强，可靠性增强 控制面和数据面在社区版本基础上进行可靠性加固和性能优化。 多基础设施 提供免运维的托管控制面，提供全局统一的服务治理，灰度、安全和服务运行监控能力，并支持对支持容器和VM等多种基础设施的统一服务发现和管理。 协议扩展 社区通用的HTTP、gRPC、TCP、TLS外扩展对Dubbo协议的支持。 传统SDK集成 提供Spring Cloud、Dubbo等传统微服务SDK的集成解决方案，传统的微服务SDK开发的业务代码无需大的代码修改即可迁移到云原生的容器和网格运行环境上来。

本章节介绍了云服务备份产品CBR的用户权限管理。 如果您需要对创建的CBR资源，设置不同的访问权限，以达到不同用户之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 系统默认提供两种用户权限：用户管理权限和资源管理权限。 用户管理权限可以管理用户、用户组及用户组的权限。 资源管理权限可以控制用户对云服务资源执行的操作。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有CBR的使用权限，但是不希望他们拥有删除CBR等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CBR，但是不允许删除CBR的权限策略，控制他们对CBR资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CBR服务的其它功能。 IAM是天翼云提供权限管理的基础服务，关于IAM的详细介绍，请参见IAM产品帮助中心。 CBR权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CBR部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CBR时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下表所示，包括了CBR的所有系统权限。 表 CBR系统权限 策略名称 描述 策略类别 CBR FullAccess 云备份管理员权限，拥有该权限的用户可以操作并使用所有存储库、备份和策略。 系统策略 CBR BackupsAndVaultsFullAccess 云备份普通用户权限，拥有该权限的用户可以创建、查看和删除存储库和备份等，无法创建、更新和删除策略。 系统策略 CBR ReadOnlyAccess 云备份只读权限，拥有该权限的用户仅能查看云备份数据。 系统策略 下表列出了CBR常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统策略的关系 操作 CBR FullAccess CBR BackupsAndVaultsFullAccess CBR ReadOnlyAccess 查询存储库 √ √ √ 创建存储库 √ √ × 列举存储库 √ √ √ 更新存储库 √ √ × 删除存储库 √ √ × 绑定资源 √ √ × 解绑资源 √ √ × 创建策略 √ × × 更新策略 √ × × 绑定策略 √ √ × 解绑策略 √ √ × 删除策略 √ × × 执行备份 √ √ × 更新订单 √ √ × 查询agent状态 √ √ × 删除备份 √ √ × 使用备份恢复数据 √ √ × 挂载存储库 √ √ × 批量添加删除存储库标签 √ √ × 添加存储库标签 √ √ × 修改标签 √ √ ×