本章节主要介绍翼MapReduce的查看集群静态资源操作。 操作场景 大数据管理平台支持通过静态服务资源池对没有运行在Yarn上的服务资源进行管理和隔离。系统支持基于时间的静态服务资源池自动调整策略，使集群在不同的时间段自动调整参数值，从而更有效地利用资源。 系统管理员可以在FusionInsight Manager查看静态服务池各个服务使用资源的监控指标结果，包含监控指标如下： 服务总体CPU使用率 服务总体磁盘IO读速率 服务总体磁盘IO写速率 服务总体内存使用大小 说明 启用多实例功能后，支持管理HBase所有服务实例使用的CPU、I/O和内存总量。 操作步骤 1. 在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 静态服务池”。 2. 在“配置组列表”，单击一个配置组，例如“default”。 3. 查看系统资源调整基数。 “系统资源调整基数”表示集群中每个节点可以被集群服务使用的最大资源。如果节点只有一个服务，则表示此服务独占节点可用资源。如果节点有多个服务，则表示所有服务共同使用节点可用资源。 “CPU”表示节点中服务可使用的最大CPU。 “Memory”表示节点中服务可使用的最大内存。 4. 在图表区域，查看集群服务资源使用状态指标数据图表。 说明 可通过“为图表添加服务”，将特定服务的静态服务资源数据添至图表，最多可选择12个服务。 管理单个图表的操作，可参见

本章介绍如何通过IAM创建用户并授权的方法。 创建用户并授权使用SMS 本章节为您介绍对IAM用户授权的方法。 管理员帐号拥有SMS迁移所需要的所有权限，使用管理员帐号进行迁移时，不需要进行授权。如果您需要对您所拥有的SMS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的天翼云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用SMS。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将SMS委托给更专业、高效的其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 前提条件 给用户组授权之前，请您了解用户组可以添加的SMS权限，并结合实际需求进行选择，SMS支持的系统权限，请参见：SMS系统权限。若您需要对除SMS之外的其它服务授权，IAM支持服务的所有权限请参见权限策略。 示例流程 操作步骤 1. 创建用户组并授权： 1. 系统策略：如果IAM用户需要主机迁移服务(SMS)的所有操作权限，则为IAM用户授予系统策略。在IAM控制台创建用户组，并授予“SMS FullAccess”、"OBS OperateAccess"、“ECS FullAccess”、“VPC FullAccess”。 2. 自定义策略：如果IAM用户只需要拥有主机迁移服务(SMS)的部分操作权限，则使用自定义策略。自定义策略相比于系统策略，粒度更细，更安全。 2. 创建用户并加入用户组，在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 3. 用户登录并验证权限，新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“迁移>主机迁移服务”，进入主机迁移服务界面，在迁移服务器列表页面找到待迁移的服务器，在“目的端”列下单击“设置目的端”，设置目的端服务器。若可以设置目的端服务器，表示授予的权限已生效。 在“服务列表”中选择除主机迁移服务和依赖服务外的任一服务，若提示权限不足，表示授予的权限已生效。

参数 是否必填 参数类型 说明 示例 下级对象 instanceId 是 String 实例ID f04e47d9b48747958c9f4516cf1a8d82 namespaceName 是 String 命名空间名称 myns createRepoAuto 否 Boolean 是否允许直接通过推送镜像创建仓库 false defaultRepoPublic 否 Boolean 通过推送镜像创建的仓库的类型是否为公开。只有在设置createRepoAuto为true时该参数才生效 false accelerate 否 Boolean 是否开启镜像加速。用户需要开通云容器引擎集群后才能设置为true，并且仅对企业版实例生效 false

端口配置 说明 不建议暴露安全产品管理端口到公网，存在一定安全风险，请使用安全组进行防护。 案例：安全组防护态势感知管理端口18443。 1. 登录控制台的云主机实例详情页面，选择【安全组】功能。这里您可以创建和管理安全组规则。 2. 点击【配置规则】下的【入方向规则】。在规则配置中，选择【添加入方向规则】，限制源地址为您日常登录使用的IP或IP段，例如限制为您公司办公网络。

计费项 计费说明 实例费用 对您选择的实例规格计费，具体请参见表2。 RocketMQ实例提供包年包月、按需两种计费方式。 存储空间费用 对您选择的实例存储空间计费（每个实例规格您都可以选择高IO和超高IO两种不同的云硬盘类型以满足您的业务需求）。 存储空间范围见表2，步长100GB。 ·实例存储提供包年包月、按需两种计费方式。

本文主要介绍删除中转子网 操作场景 当您不需要某个中转子网时，可以进行删除操作。 删除中转子网后，对应VPC下云服务器将无法通过私网NAT网关进行访问或对外提供服务。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入NAT网关页面。 3. 在NAT网关页面，单击“NAT网关> 私网NAT网关”。 4. 在“中转子网”页签中，单击目标中转子网操作列的“删除”。 5. 单击“是”。

参数 参数类型 说明 示例 下级对象 volumeType String 磁盘类型： SATA/SAS/SSD/SATAKUNPENG/SATAHAIGUANG/SASKUNPENG/SASHAIGUANG/SSDgenric。不同资源池可配置的volumeType有差异，详细请参考云硬盘 SATA volumeSize Integer 磁盘大小 40 flag Integer 磁盘类型。取值范围：1：系统盘。2：数据盘。系统盘限制为1块。 1

可能原因 处理措施 备份状态为“正在创建”或者“正在恢复”， 导致无法删除。 等待备份完成操作后，再执行删除操作。 云主机备份已用于创建过镜像， 备份的删除按钮为灰色，无法删除备份。 需要先将对应的镜像删除，再进行删除备份。 系统异常，导致备份删除失败。 提交工单寻求技术支持

本章节向您主要介绍VPN与VPC peering配合使用快速实现云上不同区域VPC互通的前提条件。 前提条件 云主机绑定的安全组需要将业务通信需要的端口进行放开，以便网络验证成功、业务正常运行。 子网的网络ACL需要将业务通信需要的端口进行放开，以便网络验证成功、业务正常运行。

本章介绍函数工作流的产品优势。 无服务器管理 自动运行用户代码，用户无需配置或管理服务器，专注于业务创新。 高弹性 根据请求的并发数量自动调度资源运行函数，实现透明、准确和实时的伸缩，应付业务峰值的访问。 用户无需关心峰值和空闲时段的资源需要申请多少资源，系统根据请求的数量自动扩容/缩容。自动负载均衡将请求分发到函数运行实例。 事件触发 通过事件触发机制，集成多种云服务，满足不同场景需求，获得高效的开发体验。 与云日志服务、云监控服务对接，无需任何配置，即可查询函数日志和监控告警信息，快速排查故障。 高可用 函数运行实例出现异常，系统会启动新的实例处理后续的请求，故障函数实例占用资源将会回收使用。 动态资源指定 函数执行时可根据业务需要动态指定资源规格，最小化资源占用，灵活调度节省成本。

视频点播的播放地址过期如何解决。 视频点播的播放地址过期。 云点播底层依赖于对象存储的相关签名机制对文件访问权限进行保护。 如果将相关存储桶的权限默认设置为私有，任何访问请求需要经过签名校验才能通过。出于安全性考虑，该签名的有效期最长不超过7天（控制台生成的签名地址有效期为24小时），因此当携带签名的地址对外暴露超过7天后需要重新签名才可正常访问。用户可使用SDK或通过API接口对视频文件进行签名获取新的签名。

添加弹性IP到共享带宽实例后,您可以将弹性IP绑定到云资源上,复用共享带宽中的带宽,节省公网带宽使用成本。 前提条件 您已经申请了弹性IP，且弹性IP已经添加到共享带宽实例中。 操作步骤 1. 登录网络控制台。 2. 在顶部菜单栏，选择地域。 3. 在左侧导航栏共享带宽，在共享带宽实例列表，单击目标共享带宽，进入共享带宽实例详情页。 4. 在下方列表中找到目标弹性IP实例的操作列，单击“绑定”。 5. 在绑定弹性IP对话框，选择要绑定的资源类型，然后单击“确定”。

本文主要介绍云日志服务如何为日志不存在的字段填充默认值。 在日志加工中，部分 DSL表达式函数对输入的参数有一定要求，如果不满足，数据加工窗口会报错或返回默认值。当日志中存在必要而残缺字段时，您可以在oplen函数中填充默认值。注意传递默认值给后续的函数时可能会进一步报错，因而需要及时处理函数返回的异常。 示例： 原始日志 datalen: 1024 加工规则 eset("datalen", oplen(v("data", default""))) 加工结果 data: 0 datalen: 0

本节为您介绍云迁移服务CMS数据迁移工具添加目标节点操作。 1. 进入“数据迁移工具”，点击“数据源管理”界面。 2. 点击 “添加数据源”按钮，进入“添加数据源”界面，选择“目标节点”。 3. 输入数据源名称，选择数据源类型，输入数据源对应的连接方式 。 4. 填写信息完成后，点击“添加数据源”按钮，完成添加，平台显示“添加成功”。

本文将介绍如何在控制台如何查看Serverless集群的容器组。 操作步骤 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群管理页面的左侧导航栏中，选择“工作负载”。 4. 点击“容器组” ，在容器组页面下可以查看所有创建的容器。 5. 点击想要查看的实例名称 ，即可进入查看该容器组的详细信息。包括查看容器组的事件、日志以及监控等。

本章节主要介绍云搜索服务的权限管理。 在使用云搜索服务的过程中，如果需要给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全控制云服务资源的访问。 如果当前帐号已经能满足您的需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ES服务的其它功能。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制IAM用户对资源的访问范围，而且无需付费即可使用，您只需要为使用中的资源进行付费。关于IAM的详细介绍，请参见，请参见《IAM产品介绍》。 ES权限 默认情况下，ES服务管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为“授权”。授权后，用户就可以基于被授予的权限对云服务进行操作。 ES是项目级服务，部署时通过物理区域划分，需要在各区域对应的项目中设置策略，并且该策略仅对此项目生效，如果需要所有区域都生效，则需要在所有项目都设置策略。访问ES时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：ES服务管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，ES服务支持的API授权项请参见权限策略和授权。 如下表所示，包括了ES的所有系统权限。 对于Elasticsearch Administrator，由于各服务之间存在业务交互关系，ES的角色依赖其他服务的角色实现功能。因此给用户授予ES的角色时，需要同时授予依赖的角色，ES的权限才能生效。 对于ES FullAccess和ES ReadOnlyAccess，可使用这些策略来控制对云服务资源的访问范围。例如，您的员工中有负责软件开发的人员，您希望软件开发人员拥有ES的使用权限，但是不希望软件开发人员拥有删除ES等高危操作的权限，那么您可以使用IAM为开发人员创建IAM用户，通过授予仅能使用ES但不允许删除ES的权限，控制对ES资源的使用范围。 ES系统权限 系统角色/策略名称 类别 权限描述 依赖关系 Elasticsearch Administrator 系统角色 ES服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的Tenant Guest和Server Administrator角色。 Tenant Guest：全局级角色，在全局项目中勾选。 Server Administrator：项目级角色，在同项目中勾选。 ES FullAccess 系统策略 基于策略授权的ES服务的所有权限，拥有该权限的用户可以完成基于策略授权的ES服务的所有执行权限。 无 ES ReadOnlyAccess 系统策略 ES服务的只读权限，拥有该权限的用户仅能查看ES服务数据。 无 如下表所示列出了ES常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 ES FullAccess ES ReadOnlyAccess Elasticsearch Administrator 备注 创建集群 √ x √ 查询集群列表 √ √ √ 查询集群详情 √ √ √ 删除集群 √ x √ 重启集群 √ x √ 扩容集群 √ x √ 扩容实例的数量和存储容量 √ x √ 查询指定集群的标签 √ √ √ 查询所有标签 √ √ √ 加载自定义词库 √ x √ 依赖OBS和IAM权限 查询自定义词库状态 √ √ √ 删除自定义词库 √ x √ 自动设置集群快照的基础配置 √ x √ 依赖OBS和IAM权限 修改集群快照的基础配置 √ x √ 依赖OBS和IAM权限 设置自动创建快照策略 √ x √ 查询集群的自动创建快照策略 √ √ √ 手动创建快照 √ x √ 查询快照列表 √ √ √ 恢复快照 √ x √ 删除快照 √ x √ 停用快照功能 √ x √ 更改规格 √ x √ 缩容集群 √ x √

解决方案和价值优势 CDN加速（CDN，Content Delivery Network）,即内容分发网络，是基于天翼云遍布全球的网络节点提供的内容分发加速服务。它将应用内容分发至最接近用户的节点，使用户可就近获取应用更新包，解决因跨运营商、跨地域、服务器带宽及性能瓶颈带来的访问延迟问题，提高用户访问的响应速度和成功率，卸载源服务器的带宽和性能压力，适用于企业发布、更新应用后大量用户高并发更新应用的业务场景。 CDN加速产品能为企业带来以下价值： 智能高效缓存技术结合EDNS精准调度，确保客户端就近下载提前分发的应用更新包，解决应用下载速度慢引起的体验差、用户投诉、用户流失问题。 全球2300+个服务节点，分布在多个运营商和国内外主要城市，保障客户端就近接入，解决终端与源站因跨地区、跨运营商访问造成的应用更新体验不佳。 服务节点可按需弹性扩容，解决因业务不确定性大，当业务突发超预期时源站带宽和服务器并发能力储备不足而导致源站崩溃的问题。 带宽可按需使用和计费，费用透明，计费方式灵活，解决因源站过度建设，而业务闲时造成的资源浪费问题。

表对等连接关系说明一个中心VPC与两个VPC的重叠子网对等(IPv4) VPC对等关系 对等连接名称 本端VPC 对端VPC VPCA和VPCB的子网SubnetB02对等 PeeringAB VPCA VPCB VPCA和VPCC的子网SubnetC02对等 PeeringAC VPCA VPCC 对等连接创建完成后，您在本端和对端VPC路由表中，如果按照下表添加路由，那么会导致响应流量无法正确返回，具体说明如下： 1. VPCB子网SubnetB02中的云服务器ECSB02向VPCA发送请求流量，通过rtbVPCB路由表中PeeringAB对应的路由将流量转发到VPCA。 2. VPCA收到来自云服务器ECSB02的请求流量，期望的结果是将响应流量返回到ECSB02。但是在rtbVPCA路由表中，目的地址为10.0.1.167/32时，只能匹配到PeeringAC的路由，因此响应流量被错误的返回到VPCC。 3. 此时VPCC的子网SubnetC02中存在云服务器ECSC02，与ECSB02私有IP地址相同，均为10.0.1.167/32，则响应流量最终错误的返回到ECSC02，ECSB02无法收到响应流量。 表VPC路由表配置说明一个中心VPC与两个VPC的重叠子网对等(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtbVPCA 172.16.0.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 rtbVPCA 10.0.1.0/24 (SubnetC02) PeeringAC 自定义 在VPCA的路由表中，添加目的地址为SubnetC02的网段，下一跳指向PeeringAC的路由。 rtbVPCB 10.0.0.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 rtbVPCB 10.0.1.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 rtbVPCB 172.16.0.0/16 (VPCA) PeeringAB 自定义 在VPCB的路由表中，添加目的地址为VPCA的网段，下一跳指向PeeringAB的路由。 rtbVPCC 10.0.0.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 rtbVPCC 10.0.1.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 rtbVPCC 172.16.0.0/16 (VPCA) PeeringAC 自定义 在VPCC的路由表中，添加目的地址为VPCA的网段，下一跳指向PeeringAC的路由。 对于存在重叠子网的情况，为了避免流量被错误转发，路由配置建议如下： 建议1：在rtbVPCA路由表中，添加下一跳为PeeringAB的路由，目的地址为ECSB02的私有IP地址。这样遵循路由的最长匹配原则，会优先匹配10.0.1.167/32这条路由，确保VPCA会将响应流量送达ECSB02。关于更多指向ECS的对等连接配置，请参见“连通VPC内ECS网络的对等连接配置示例”。

本文介绍直播卡顿的可能原因及解决方案。 问题描述 使用视频直播加速服务时，出现直播卡顿。 可能原因及解决方案 当使用视频直播加速服务时，如果出现直播卡顿，您可以参考以下思路进行排查。 推流端 推流码率或者帧率等参数设置过高，而硬件条件又存在限制，有可能会导致卡顿。建议降低码率或帧率等，并查看卡顿现象是否好转。 帧率等参数设置过低。如果帧率设置过低，画面会容易出现比较明显卡顿。建议设置帧率不低于每秒15帧。 如果推流设备使用配置较低的手机，推流过程中由于CPU损耗，有可能会导致画面卡顿。建议使用配置相对较好的硬件配置。 推流端网络抖动或者推流带宽不足，会导致数据发送速率下降，从而导致画面播放卡顿。建议使用网络测速工具测试网络速度，确保下载和上传速度达到直播所需的最低要求。 客户端 大部分客户端都是有缓存区，缓存区的大小对播放卡顿有影响。您可以调整缓存区大小，减少播放卡顿。 网络原因 检查是否有其他程序占用网络下行带宽。 查看后台是否运行了大量程序。请合理删除或停止相关程序，空出资源。 若以上排查结果均正常，请提交工单联系天翼云客服进行排查。提交工单时，您需要附上推流域名和拉流域名。

本节介绍什么是云安全中心。 云安全中心（CTCSC，Cloud Security Center，简称云CSC）作为用户侧的安全中心，通过对各个主机资产、安全设备告警日志等数据的采集对数据进行应用，通过安全数据的统一汇聚进行安全数据的统一融合化处理，通过平台整体整合形成数据汇聚、威胁检测、告警响应的业务能力，对业务进行应急处置和统计分析，满足态势感知、响应处置拦截、威胁预警和攻击行为溯源等目标，最终实现统一的前台展示，帮助用户实现威胁检测、溯源、响应的自动化安全运营闭环。 云安全中心系统主要包含应用中心、安全分析中心、安全数据汇聚以及安全响应中心四大模块。 应用中心：提供各类安全数据的展示、资产以及风险管理，对各类安全指标进行统计分析，出具安全运营报告，实现安全系统数据的统一管理、统一运营。 安全分析中心：实现安全分析和数据分析，构建各类威胁模型，深度检测安全威胁，智能分析辅助安全决策，感知整体安全态势。 安全数据汇聚：实现各类数据源的数据收集，实现数据服务、数据存储、数据处理以及数据采集等。 安全响应中心：实现工单、剧本以及插件工具的管理，安全编排与自动化响应处置，提升安全威胁检测能力和处置效率。

本节介绍如何配置全局精准访问控制规则。 防护对象接入Web应用防火墙后，您可以选择开启全局精准访问控制功能，并配置精准访问控制规则。 全局精准访问控制支持对全局域名或单个域名生效。 全局精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“精准访问控制”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入全局精准访问控制页面。 7. 单击“新建防护规则”，配置全局精准访问控制规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置全局精准访问控制规则对象所在的企业项目。 接入对象 设置精准访问控制规则的作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局精准访问控制不支持独享版和监听器防护对象。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 8. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文为您介绍Web基础防护模块的规则白名单功能及配置方式。 网站接入云WAF后，您可以通过设置全局白名单规则，让满足指定特征的请求不经过Web基础防护引擎的检测，一般用于放行因触发Web基础防护相关规则被误拦截的特殊业务请求。 前提条件 已开通了Web应用防火墙，且实例版本为标准版及以上版本。 已完成网站接入。具体操作，请参见添加域名。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防护白名单”模块，点击防护规则右侧的“前去配置”。 7. 进入“白名单”页面，可以查看当前已创建的白名单规则列表。 8. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：规则防护引擎包含的全部规则。选择该项，表示触发匹配条件的请求不受任何防护模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持BOT防护和Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，在模块右侧的下拉框，选择不检测的规则ID。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则，并根据需要禁用、编辑或删除规则。

本文为您介绍如何将您的网站通过域名接入WAF实例进行防护。 开通云WAF SaaS版实例后，需要将您需要防护的网站域名接入WAF，使网站的访问流量全部流转到WAF进行检测并转发，实现恶意流量的拦截。 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。 WAF SaaS版提供CNAME接入方式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 CNAME接入流程 在WAF控制台添加需要防护的网站域名后，通过修改域名的DNS解析设置，将网站流量解析到WAF，使访问网站的流量经过WAF并受到WAF的防护。WAF将过滤和处理后的请求转发回该域名的源站服务器。接入流程如下： 1. 添加域名 ：配置域名、协议、源站等相关信息，详情请参见添加域名。 2. 放行WAF回源IP段 ：WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时，您需要设置源站服务器的安全软件或访问控制策略，放行WAF回源IP段的入方向流量，详情请参见放行WAF回源IP段。 3. 本地验证 ：添加域名后，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常，详情请参见本地验证。 4. 修改域名DNS ：若域名在接入WAF前未使用代理，则需要到该域名的DNS服务商处，修改域名的DNS解析配置，将网站的流量解析到WAF；若域名在接入WAF前使用了代理（DDoS高防、CDN等），则需要将使用的代理类服务（DDoS高防、CDN等）的回源地址修改为的目标域名的“CNAME”值，详情请参见修改域名DNS。 说明 完成接入流程后，网站访问流量将经过WAF转发检测。WAF包含多种防护检测模块，帮助网站应对不同类型的安全威胁，其中Web基础防护模块默认开启，用于防御常见的Web应用攻击（例如SQL注入、XSS跨站、Webshell上传等），其他防护模块需要您手动开启并配置具体防护规则。

本文主要介绍搭建可自动伸缩的web服务操作步骤。 请根据您的业务架构评估业务模块，并执行以下操作实现指定业务模块的自动扩缩容： 步骤一：使用私有镜像创建ECS实例 步骤二：创建并启用伸缩组 步骤三：设置自动伸缩策略 步骤一：使用私有镜像创建ECS实例 创建指定数量的ECS实例，用于添加到伸缩组，满足业务模块的日常业务要求。 1.登录ECS管理控制台。 2.在左侧导航栏，选择 “计算” > 弹性云主机。 3.单击 “创建弹性云主机”。 4.选择“计费模式”：“包年/包月”或“按需付费”。 5.配选择区域、可用区、规格。 6.镜像选择已创建好的“私有镜像”。 7.下一步网络配置：选择规划的VPC 及子网、安全组，设置密码等。 请根据需要配置其它信息，详细信息请参见创建弹性云主机。 步骤二：创建并启用伸缩组 为需要弹性扩缩容的业务模块创建伸缩组，并为伸缩配置选择Web应用实例的自定义镜像，确保自动创建出的ECS实例符合Web应用的要求。 1.登录弹性伸缩控制台。 2.选择控制中心，选择区域。 3.创建一个弹性伸缩组。 可用区依据业务诉求选择可用区。 最小实例数设置为2。 期望实例数设置为3。 最大实例数设置为5。 网络选择规划的VPC网段。 负载均衡选择不使用。 实例移除策略设置为释放模式。 弹性IP选择释放。 请根据需要配置其它信息，详细信息请参见创建伸缩组。 4.点击下一步，创建伸缩配置。 5.创建一个伸缩配置。 名称可以自定义。 配置模板选择为使用已有主机规格为模板。 登录方式设置为密码。 密码设置为xxx。 请根据需要配置其它信息，详细信息请参见创建伸缩配置。 6.点击立即创建

本文主要介绍如何配置健康检查。 您可以在添加监听器时配置健康检查。通常，使用默认的健康检查配置即可。 健康检查与ELB的后端协议是两个相互独立的能力，所以健康检查协议可以与ELB的后端协议相同，也可以不同。 为了减少后端云主机的CPU占用，建议您使用TCP协议做健康检查。如果您希望使用HTTP健康检查协议，建议使用HTTP+静态文件的方式。 通过增加“检查间隔”，可以降低健康检查的检测频率。 开启健康检查后不会影响已建立连接的流量转发，负载均衡会立即对后端云主机执行健康检查。如果健康检查正常，则新建连接的流量会根据分配策略和权重向该云主机转发流量；如果健康异常，则系统会设置该云主机状态为异常，不转发新的流量到该云主机。建议挑选无业务时间段执行此操作。 请求不会转发到权重为0的后端云主机上，此时健康检查状态没有参考意义。 配置独享型负载均衡健康检查 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要开启健康检查的负载均衡名称。 5. 在“后端主机组”页签下，选择需要开启健康检查的后端主机组名称。 6. 在基本信息页面，单击“健康检查”右侧的“配置”。 7. 在“配置健康检查”界面，可根据需要开启健康检查。 独享型负载均衡配置健康检查参数说明表 参数 说明 示例 ::: 是否开启 开启或者关闭健康检查。 协议 健康检查支持TCP、HTTP、HTTPS方式，设置后不可修改。 当前端协议选择UDP，健康检查协议默认为UDP。 HTTP 域名 健康检查的请求域名。 默认值为空，由数字、字母、‘’、‘.’组成的字符串，只能以数字或字符开头。 只有健康检查协议为HTTP时，需要设置。 www.elb.com 高级配置 检查间隔（秒） 每次健康检查响应的最大间隔时间。 取值范围[150]。 5 超时时间（秒） 每次健康检查响应的最大超时时间。取值范围[150]。 3 检查路径 指定健康检查的URL地址。当“协议”为HTTP时生效。检查路径只能以/开头，长度范围[180]。 支持使用英文字母、数字和‘’、‘/’、‘.’、‘%’、‘&’以及特殊字符~';@$+,!:()。 /index.html 最大重试次数 健康检查最大的重试次数，取值范围[110]。 3 8. 单击“完成“。

参数 说明 企业项目 选择微服务引擎所在的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 开通企业项目，创建并启用新的企业项目后可以使用，默认选择default。 规格 选择微服务引擎规格。须知引擎创建成功后，不支持规格变更。 引擎类型 选择微服务引擎的类型。 集群集群模式部署，主机级容灾。 单机单节点部署，不支持容灾。须知“引擎类型”为“单机”的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境；不支持变更引擎类型。 如选择使用，请先阅读约束说明并勾选“我已知晓如下约束”。 引擎名称 输入微服务引擎的名称，引擎创建后不能修改名称。 可用区 选择可用区。 “引擎类型”选择“集群”时，根据环境可用区数量，为引擎选择1个或者3个可用区。 − 选择1个可用区，可提供主机级别容灾能力。− 选择3个可用区，可提供可用区级别容灾能力。 “引擎类型”选择“单机”时，为引擎选择1个可用区。 网络 为引擎选择已创建的虚拟私有云及其子网，可以为您的引擎构建隔离的、自主配置和管理的虚拟网络环境。 描述 输入引擎描述信息。 单击 ，输入引擎描述信息。 单击 ，保存描述。 安全认证 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。 选择“开启安全认证”： 1. 根据业务需要确认需开启安全认证后，勾选“我已知晓：开启安全认证后，需要在微服务的配置文件中添加对应用户的帐号密码，否则服务无法注册到引擎。” 2. 输入root帐号的“密码”，并在“再次输入密码”输入框输入密码进行确认。密码请妥善保管，以免遗失。 选择“关闭安全认证”：无需配置帐户名、密码即可将服务注册到引擎，效率性能更高，建议用于VPC内访问时使用。

如果您的云资源无需进行公网通信,您可以解除其与弹性IP的绑定关系。 操作步骤 1. 登录网络控制台。 2. 在顶部菜单栏处，选择共享带宽实例的地域。 3. 在左侧导航栏共享带宽，在共享带宽实例列表，单击目标共享带宽，进入共享带宽实例详情页。 4. 在下方列表中找到目标弹性IP实例的操作列，单击“解绑”。 5. 在解绑弹性IP对话框中，单击“确定”。

本章节指导如何审批工单 前提条件 相关账号拥有工单审批的权限，若需要配置相关权限请参考规则配置章节。 工单审批 1. 登录云堡垒机系统。 2. 在左侧导航栏单击“工单管理”>“工单审批”，进入工单审批页面。 3. 查找需要待审批的工单，单击“操作”列的“审批”按钮。 4. 在弹出的“工单审批”对话框中，查看待审批的工单内容，选择是否批准。

本章节主要描述私有镜像。 私有镜像为用户自己创建的镜像，包含操作系统或业务数据、预装的公共应用以及用户的私有应用，仅用户个人可见。您可以通过以下方式创建私有镜像： 通过物理机服务器创建私有镜像 说明 当前仅支持快速发放型物理机服务器（操作系统安装在云硬盘中）来创建私有镜像。 通过外部镜像文件创建私有镜像 用户可以上传外部镜像文件并将镜像注册到云平台上，成为自己的私有镜像。目前支持的外部镜像文件格式包括：VMDK、VHD、QCOW2、RAW、VHDX、QED、VDI、QCOW、ZVHD2和ZVHD。 说明 其他格式的镜像文件需要预先使用工具转换镜像格式后，才能运行在物理机服务器。当您成功创建私有镜像后，镜像的状态为“正常”。此时，您可以使用该镜像新建物理机服务器实例，也可以将其共享给其他用户，还可以复制到您帐号下的其他区域。

资源类型 配置项 配置明细 说明 ECS ECS名称 ecsbendi 自定义，易理解可识别 ECS 规格 通用计算增强型 c3.large.2 2vCPUs 4GiB 本示例中选择的规格。实际选择的规格需要结合业务场景选择，请参考弹性云服务器的实例规格。 ECS 操作系统 Windows 2016 ECS 系统盘 通用型SSD 40GiB

本文介绍IPv6的相关介绍和带宽绑定使用方法。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 操作场景 适用于子网开启了IPv6的网段的用户，可用IPv6地址访问数据库实例。且可以绑定带宽和解绑，具体条件限制和操作步骤见下方。 前提条件 要开通具备IPv6 连接地址的实例，请在订购关系数据库MySQL版实例时，选择已经开启IPv6的VPC（虚拟私有云），系统将自动分配IPv6连接地址。 VPC开启IPv6，具体操作，请参见开启/关闭虚拟私有云IPv6。 开启了IPv6后，需要在白名单和安全组中放通用户IP，否则无法连接。 内核版本需要升级至最新版，可参考升级数据库内核小版本。 连接数据库 内网连接 通过IPv6的连接地址及数据库端口访问数据库，请确保客户端所在机器本身具备IPv6。 外网连接 通过公网访问IPv6地址连接数据库，请确保MySQL实例IPv6地址已经绑定IPv6带宽，IPv6带宽需要购买，具体操作，请参见购买IPv6带宽。 绑定IPv6带宽前，请创建IPv6网关，否则IPv6无法公网访问且无法绑定带宽，具体操作，请参见创建IPv6网关。 请确保客户端所在机器本身具备IPv6且能够访问公网IPv6。 操作步骤

本节主要介绍云间NAT网关高速访问互联网的方案。 用户本地数据中心的服务器需要访问公网或为公网提供服务时，公网NAT网关可为您提供高效、优质的网络服务。可以通过开通云专线或VPN实现本地数据中心上云，然后购买公网NAT网关，通过配置SNAT规则实现访问公网或配置DNAT规则为互联网提供服务。