云原生 API 网关是一款面向现代应用架构设计的高性能网关解决方案,集成流量治理、安全防护、服务集成与可观测能力于一体。

获取客户端真实IP 网站若使用了流量代理服务（如CDN、DDoS高防、WAF），达到源站的IP均将显示为相关服务的代理回源IP地址，WAF在HTTP请求头部中默认插入了XForwardedFor字段，用于记录客户端真实IP，源站服务器可以通过解析回源请求中的XForwardedFor记录，获取客户端的真实IP，各类型的Web应用服务器针对该字段的提取配置可联系安全防护工程师提供技术支持。 与CDN结合使用 WAF与CDN完全兼容，可以通过与CDN的结合使用，为开启CDN内容加速的业务同时提供Web攻击防护。 若已经接入CDN服务，将云WAF为防护域名分配的CNAME地址作为CDN的源站即可。 客户端 > CDN > WAF > 源站，流量将按照用户 > CDN > WAF >源站的架构回源。同时，需要您联系CDN服务商，将客户端的真实IP通过clientIP字段插入至HTTP请求头部中，并告知安全防护工程师进行提取配置，保证WAF正常防护。 防护策略说明 WAF防护服务目前默认策略分为低、中、高与 AI 学习模式。各防护策略均包含上述攻击类型在内的安全防护，策略等级越高越严格，攻击漏拦截概率越小，对业务 访问影响程度可能更高（业务代码不规范也会触发阻断策略）。 低级防护策略主要针对攻击特征比较明显的违规请求，适用于站点存在较多不可控用户输入（如含有富文本编辑器的网站业务）的业务场景。 一般情况下，中级防护策略适用于绝大部分业务场景的Web防护需求。 高级防护策略采用了最精细的防护颗粒度，适用于对业务安全性要求较高，同时需要网站开发人员高度参与策略定制与防护过程的业务场景。 如对站点业务流量特征还不完全清楚，可以启用AI学习模式，该模式下AI学习引擎会自动学习网站的访问模式与流量特征，经过7到14天的分类训练和流量学习后会对所有策略根据机器算法进行评分，保留学习后符合标准的策略规则，大幅减少误报，提高对已知与未知Web安全威胁的防护效果，同时，可联系天翼云安全工程师基于学习期间的攻防日志，进一步优化安全防护策略和配置。 接入WAF防护服务后，当启用防护策略时，即便是低级防护策略 ，可能也会因为网站代码实现不够规范或用户通过非常规方式访问等情况，造成用户的上传搜索等正常操作可能被误认为是攻击而拦截掉。当业务访问出现误报较多的情况，建议将防护模式调整为观察模式，通过自服务平台查看告警日志，并及时观察业务的正常使用情况，发现误报请求后第一时间联系天翼云安全工程师优化安全防护策略。

本文介绍了云防火墙（原生版）产品的最佳实践，从EIP防护带宽选择、开启资产保护、配置访问控制策略等方面提供指导。 如何选择合适的EIP防护带宽？ 云防火墙（原生版）C100型实例提供高级版和企业版供用户选择，不同版本支持的EIP防护带宽不一样，建议EIP防护带宽不小于VPC内EIP总带宽。 EIP防护带宽支持范围如下： 高级版：10Mbps~2000Mbps 企业版：50Mbps~2000Mbps 开启公网资产保护 互联网边界防火墙帮助您检测和防护云上公网IP资产间的通信流量。只有为资产开启互联网边界防火墙后，您才可以使用云防火墙分析和控制云上主机的互联网访问流量。 您可以在“防火墙开关 > 互联网边界防火墙开关”页面，对指定的公网IP资产开启互联网边界防火墙，如下图所示。 配置外到内的访问策略 在“访问控制 > 互联网边界规则 > 入向规则”页面可进行配置，如下图所示。 在入向规则的访问策略中，不要对公网IP全部端口开放访问，对外仅开放必要的互联网IP和端口，其他端口请全部设置为拒绝。 放行需要对外开放的应用或端口 在访问控制页面入向规则列表中，依据业务需求，将源IP地址配置为0.0.0.0/0或特定源，目的选择要放开的IP，协议选择ANY或者依据业务需要选择对应协议，动作选择放行。 例如，80端口为Web服务，对全网开放，因此访问源为0.0.0.0/0；1433、3389端口分别为SqlServer、RDP服务，对特定源开放，因此访问源为特定源。 将除放行策略之外的流量设置为拒绝放行 在访问控制页面入向规则列表中，将源IP地址配置为0.0.0.0/0或地址簿中系统默认配置的地址簿ANY（0.0.0.0/0），目的设置为ANY，协议设置为ANY，动作选择拒绝。

功能 功能描述 HTTP触发器 给函数配置HTTP触发器，函数响应HTTP请求事件，执行指定的逻辑。 定时触发器 给函数配置定时器触发器，函数可以根据定时器配置周期性执行业务逻辑。 Kafka触发器 给函数配置Kafka触发器，函数可以监听Kafka消息来执行业务逻辑。 RocketMQ触发器 给函数配置RocketMQ触发器，函数可以监听RocketMQ消息来执行业务逻辑。 日志触发器 给函数配置日志触发器，函数可以根据日志的写入来执行业务逻辑。 对象存储触发器 给函数配置对象存储触发器，函数可以监听对象存储的创建、删除、更新等事件来执行业务逻辑。 云原生网关触发器 给函数配置云原生网关触发器，函数可以监听网关的事件来执行业务逻辑。

参数 说明 取值样例 规格 选择容灾演练弹性云服务器的规格。 容灾演练名称 设置容灾演练的名称。名称只能由中文字符、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 DrillECS02 网络 选择容灾演练的VPC。容灾演练VPC和容灾站点服务器所在的VPC不能是同一个。 子网 选择容灾演练的子网。 IP 选择容灾演练弹性云服务器获取IP地址的方式： 保留当前IP：当选择的子网和待容灾演练的生产站点服务器IP地址在同一网段时，此选项可以保持容灾演练服务器和生产站点服务器IP地址一致。 DHCP：自动获取IP地址。手动指定：手动指定时需填写指定的IP地址。

本节介绍了初始化容量大于2TB的Windows数据盘（Windows 2008）的相关内容。 操作场景 本文以云主机的操作系统为“Windows Server 2008 R2 Standard 64bit”、磁盘容量为3 TB举例，提供容量大于2 TB的Windows数据盘的初始化操作指导。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。具体操作请参见“初始化容量大于2TB的Windows数据盘（Windows 2008）”。关于磁盘分区形式的更多介绍，请参见“初始化数据盘场景及磁盘分区形式介绍”。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 注意 首次使用磁盘时，如果您未参考本章节对磁盘执行初始化操作，主要包括创建分区和文件系统等操作，那么当后续扩容磁盘时，新增容量部分的磁盘可能无法正常使用。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 弹性云主机请参见《弹性云主机用户指南》。 物理机服务器请参见《物理机用户指南》。 操作指导 1.在云主机桌面，单击“开始”。 弹出开始窗口。 2.在“计算机”栏目，右键单击菜单列表中的“管理”。 弹出“服务器管理器”窗口，如下图所示。 图 服务器管理器(Windows 2008) 3.在页面右侧可以查看磁盘列表，若新增磁盘处于脱机状态，需要先进行联机，再进行初始化。 在磁盘1区域，右键单击菜单列表中的“联机”。 如下图所示，当磁盘1由“脱机”状态变为“没有初始化”，表示联机成功。 图 联机成功(Windows 2008) 4.在磁盘1区域，右键单击菜单列表中的“初始化磁盘”。 弹出“初始化磁盘”窗口，如下图所示。 图 初始化磁盘(Windows 2008) 5.在“初始化磁盘”对话框中显示需要初始化的磁盘，对于大于2 TB的磁盘，此处请选择“GPT（GUID分区表）”，单击“确定”。 返回“服务器管理器”窗口，如下图所示。 图 服务器管理器窗口(Windows 2008) 注意 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，当前数据盘支持的最大容量为32 TB，如果您需要使用大于2 TB的磁盘容量，分区形式请采用GPT。 当磁盘已经投入使用后，此时切换磁盘分区形式时，磁盘上的原有数据将会清除，因此请在磁盘初始化时谨慎选择磁盘分区形式。 6.在磁盘1右侧的未分配的区域，右键单击选择“新建简单卷”。 弹出“新建简单卷向导”窗口，如下图所示。 图 新建简单卷向导(Windows 2008) 7.根据界面提示，单击“下一步”。 进入“指定卷大小”页面，如下图所示。 图 指定卷大小(Windows 2008) 8.指定卷大小，系统默认卷大小为最大值，您还可以根据实际需求指定卷大小，此处以保持系统默认配置为例，单击“下一步”。 进入“分配驱动器号和路径”页面，如下图所示。 图 分配驱动器号和路径(Windows 2008) 9.分配到驱动器号和路径，系统默认为磁盘分配驱动器号，驱动器号默认为“D”，此处以保持系统默认配置为例，单击“下一步”。 进入“格式化分区”页面，如下图所示。 图 格式化分区(Windows 2008) 10.格式化分区，系统默认的文件系统为NTFS，并根据实际情况设置其他参数，此处以保持系统默认设置为例，单击“下一步”。 进入“完成新建卷”页面，如下图所示。 图 完成新建卷 注意 不同文件系统支持的分区大小不同，请根据您的业务需求选择合适的文件系统。 11.单击“完成”。 需要等待片刻让系统完成初始化操作，当卷状态为“状态良好”时，表示初始化磁盘成功，如下图所示。 图 初始化磁盘成功(Windows 2008) 12.新建卷完成后，单击，在文件资源管理器中查看是否有新建卷，此处以“新建卷（D:）”为例。 若如下图所示，可以看到“新建卷（D:）”，表示磁盘初始化成功，任务结束。 图 文件资源管理器(Windows 2008)

本节介绍云等保专区服务协议，请您点击链接进行查看。 天翼云云等保专区服务协议

参数 参数类型 是否必填 示例 说明 下级对象 regionID String 是 81f7728662dd11ec810800155d307d5b ctyun资源池ID service String 是 ecs 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“ alarmStatus Integer 否 1 本参数表示告警规则状态。取值范围：0：启用中，未触发告警。1：启用中，当前告警状态。2：停用。根据以上范围取值。 name String 否 test 规则名称 page String 否 1 页码，默认1,建议使用pageNo，该参数后续会下线 pageNo String 否 1 页码，默认为1 pageSize Integer 否 10 页大小，默认为20

本文档提供了专属云（计算独享型）服务API的描述、语法、参数说明及示例等内容。 现已支持的资源池 华东 1 南宁 23

通过模板导出/导入，可以快捷创建告警模板，且参数可以灵活配置。但配置人员需具备一定研发知识。 操作场景 您可以根据业务需求，通过“导出告警模板”功能将模板代码复制到剪贴板。然后再通过“导入告警模板”功能，生成新的告警模板，且导入的模板代码的支持灵活修改。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 导出告警模板 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警模板”，进入告警模板详情页面。 5. 单击“导出告警模板”按钮，出现导出模板弹窗。 6. 在导出模板弹窗，点击代码右上角复制按钮，将代码信息复制到剪切板。 导入告警模板 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警模板”，进入告警模板详情页面。 5. 单击“告警模板导入”按钮，出现模板导入弹窗。 6. 在模板导入弹窗，点击代码右上角粘贴按钮，将代码信息由剪切板粘贴到模板内容输入框。 7. 根据提示信息，修改代码name字段，其他字段根据实际需要调整。 8. 单击“确定”，完成告警规则的导入。

本节介绍了GeminiDB Redis的重置管理员密码操作场景及操作方式。 操作场景 GeminiDB Redis支持重置数据库管理员密码，建议您定期修改密码，以提高系统安全性，防止出现密码被破解等安全风险。 使用须知 实例状态为“正常”、“备份中”、“存储扩容中”时，支持重置密码。 方法一 1、登录云数据库GeminiDB控制台。 2、在“实例管理”页面，选择目标实例，单击操作列“更多 > 重置密码”。 3、输入新管理员密码及确认密码，单击“确定”。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@%^+?的组合。 方法二 1、登录云数据库GeminiDB控制台。 2、在“实例管理”页面，选择目标实例，单击实例名称，进入“基本信息”页面。 3、 在“数据库信息”区域，单击“管理员账户名”处的“重置密码”。 4、输入新管理员密码及确认密码，单击“确定”。 所设置的密码长度为8～32位，必须是大写字母、小写字母、数字、特殊字符~!@%^+?的组合。

Agent管理列表用于管理您安装的所有探针 概述 Agent管理列表用于管理您安装的所有探针，包括“正常上报“和“未上报”的探针，显示各个探针的关键指标信息，提供查看应用详情的快捷入口和升级探针的功能入口。 1. 登录微服务云应用控制台，左侧菜单栏选择“应用监控 > agent管理”，进入列表查看数据。 具体使用说明可参考天翼云官网的应用性能监控>用户指南>Agent管理的文档。

操作场景 本章节指导用户查看事件监控的监控数据。 操作步骤 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击业务左侧导航栏的“事件监控”。 进入“事件监控”页面。在“事件监控”页面，默认展示近24小时的所有系统事件。 您也可以根据需要选择“近1小时”“近3小时”“近12小时”“近24小时”“近7天”“近30天”，分别查看不同时段的事件。 4. 展开对应的事件类型，单击具体事件右侧的操作列的“查看事件”，可查看具体事件的内容。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Kafka实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通Kafka实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Kafka实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Kafka实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Kafka实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

本节介绍态势感知相关概念。 安全风险 安全风险是对资产安全状况的综合评估，反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值，便于用户理解目前资产的安全状况，数值大小并不代表资产的绝对安全或危险，仅作为资产遭受攻击严重程度的参考。 威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因，对信息系统造成危害的事件，或对社会造成负面影响的威胁。对于态势感知来讲，威胁告警泛指根据大数据分析检测出的，对用户资产产生威胁的安全事件。 云服务基线 云服务基线是应用在云场景下，帮助用户检测云产品上存在的风险配置项，并提供修复建议。 攻击类型 暴力破解 暴力破解法是一种密码分析方法，基本原理是在一定条件范围内对所有可能结果进行逐一验证，直到找出符合条件的结果为止。攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制。 Web攻击 Web攻击是针对用户上网行为或网站服务器等设备进行攻击的行为。常见的Web攻击方式包括SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击等。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建RabbitMQ实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通RabbitMQ实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问RabbitMQ实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：RabbitMQ实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问RabbitMQ实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Redis实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通redis实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Redis服务端口（6379）。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的Redis实例将无法被同VPC内的云主机访问。 应对措施 如需VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Redis的服务端口(如：6379）。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Redis服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建MQTT实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通MQTT实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问MQTT实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：MQTT实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问MQTT实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

本文为您介绍创建容灾保护组的操作流程。 操作场景 规划好生产中心和容灾中心的位置后，可以通过云容灾管理控制台指定两个可用区，创建空的保护组，从而可以在该保护组下添加受保护的服务器。 前提条件 已经创建VPC并部署业务。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，如选择华东1。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“创建容灾保护组”，进入创建容灾保护组页面。 5. 在创建容灾保护组页面，根据界面提示，配置保护组基本信息。 参数 说明 :: 类型 可用区容灾到可用区。 生产中心信息 名称 请输入生产中心站点名称。 长度为260字，只能由英文、数字和特殊字符“”组成，且只能以英文开头，以英文或数字结尾。 生产中心信息 区域 选择所需保护的服务器所在区域。 建议就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 生产中心信息 可用区 选择需要保护的服务器所在的可用区，需与容灾中心处于不同的可用区。 生产中心信息 VPC 选择所需保护的VPC，VPC需要提前创建并部署业务。 生产中心信息 子网 选择已选中的生产中心VPC下的子网，VPC中的所有资源都必须部署在子网上。 注意 生产中心和容灾中心在不同VPC时，生产中心和容灾中心子网的网段不能重叠。 容灾中心信息 名称 请输入容灾中心站点名称。 长度为260字，只能由英文、数字和特殊字符“”组成，且只能以英文开头，以英文或数字结尾。 容灾中心信息 可用区 选择要容灾到的可用区，需与生产中心处于不同的可用区。 容灾中心信息 VPC 选择所需容灾到的VPC，VPC需要提前创建。 注意 生产中心和容灾中心在不同VPC时，两端的VPC会建立对等连接。 建立对等连接有如下限制： 对等连接两端的VPC网段可以重叠，但是两端VPC下的所有子网网段都不可以重叠。详情请参见VPC对等连接的使用限制。 容灾中心信息 子网 选择已选中的容灾中心VPC下的子网，VPC中的所有资源都必须部署在子网上。 6. 单击“创建”，完成保护组的创建。

本文是通过程序代码连接集群实例的Python示例。 本章节主要介绍通过Python语言的MongoDB客户端连接集群实例的方法。 前提条件 1. 连接数据库的弹性云主机必须和DDS实例之间网络互通，可以使用curl命令连接DDS实例服务端的IP和端口号，测试网络连通性。 curl ip:port 返回“It looks like you are trying to access MongoDB over HTTP on the native driver port.”，说明网络互通。 2. 在弹性云服务器上安装Python以及第三方安装包pymongo。推荐使用pymongo2.8版本。 3. 如果开启SSL，需要在界面上下载根证书，并上传到弹性云主机。 连接代码 SSL开启 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin" connection MongoClient(connurls,connectTimeoutMS5000,sslTrue, sslcertreqsssl.CERTREQUIRED,sslmatchhostnameFalse,sslcacerts${path to certificate authority file}) dbs connection.databasenames() print "connect database success! database names is %s" % dbs SSL关闭 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin" connection MongoClient(connurls,connectTimeoutMS5000) dbs connection.databasenames() print "connect database success! database names is %s" % dbs 说明 URL中的认证数据库必须为“admin”，即“authSourceadmin”。 SSL方式连接，需要手动生成trustStore文件。 认证数据库必须为“admin”，之后再切换至业务数据库。

本节是通过程序代码连接副本集实例的Python示例。 本章节主要介绍使用Python语言连接副本集实例的方法。 前提条件 1. 连接数据库的弹性云主机必须和DDS实例之间网络互通，可以使用curl命令连接DDS实例服务端的IP和端口号，测试网络连通性。 curl ip:port 返回“It looks like you are trying to access MongoDB over HTTP on the native driver port.”，说明网络互通。 2. 在弹性云服务器上安装Python以及第三方安装包pymongo。推荐使用pymongo2.8版本。 3. 如果开启SSL，需要在界面上下载根证书，并上传到弹性云主机。 连接代码 SSL开启 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin&replicaSetreplica" connection MongoClient(connurls,connectTimeoutMS5000,sslTrue, sslcertreqsssl.CERTREQUIRED,sslmatchhostnameFalse,sslcacerts${path to certificate authority file}) dbs connection.databasenames() print "connect database success! database names is %s" % dbs SSL关闭 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin&replicaSetreplica" connection MongoClient(connurls,connectTimeoutMS5000) dbs connection.databasenames() print "connect database success! database names is %s" % dbs 说明 URL中的认证数据库必须为“admin”，即“authSourceadmin”。 SSL方式连接，需要手动生成trustStore文件。 认证数据库必须为“admin”，之后再切换至业务数据库。

本节介绍云等保专区服务等级协议，请您点击链接进行查看。 天翼云云等保专区服务等级协议

本页介绍关系数据库MySQL版按需计费方式详情。 按需计费模式是一种更加灵活的关系数据库MySQL版购买方法。 收费 预存后付费方式：提前充值现金到天翼云账户中，现金账户余额不低于100元，之后系统按照用户实际使用量进行结算。 计费周期：按小时计费，以自然小时为计费单位（均以北京时间为准），不满一小时按照一小时计费。费用从用户账户现金余额中扣费。开通时间建议整点开通，开通不足一个自然小时，按一小时收费。提前删除也按照自然小时收费。具体开始计费时间以控制台页面创建时间为准。 例如：如果您在1点01分开通，那么时间到2点就算做一个自然小时；如果您在1点58分开通，那么时间到2点也算做一个自然小时，都是按照1个小时收费。所以为了避免您的时间损失，建议您整点后几分钟内开通，在整点前几分钟删除。 删除规则 删除数据库实例时，数据库的CPU、内存的费用停止计费，其他关联资源继续计费。 数据库实例删除后，数据不会保留会立即释放资源。 账户欠费 如用户账户出现欠费，账户一旦充值，系统将会自动优先扣除欠费金额。 提醒/通知规则 账户费用提醒：当用户余额不足所有按需资源1天费用或余额不足100元时，天翼云将通过邮件通知和短信提醒您及时充值。 账户欠费通知：当用户欠费时，天翼云将通过邮件通知和短信提醒您及时充值。

云原生 API 网关是一款面向现代应用架构设计的高性能网关解决方案,集成流量治理、安全防护、服务集成与可观测能力于一体。

本文介绍CCE如何接入云日志服务 云日志服务支持云容器引擎（Cloud Container Engine）日志接入。 前提条件 CCE集群已安装ICAgent并且已创建相关节点自定义标识的主机组，若没有安装ICAgent，请到主机管理页面进行升级，详细操作请参考升级ICAgent。 已关闭采集容器标准输出到AOM的开关。 使用限制 支持容器引擎为Docker的CCE集群节点。 支持使用Container作为容器引擎的CCE集群节点（ICAgent 5.12.130及以上版本）。 容器内的日志目录如果已挂载到主机目录上，将无法通过配置容器文件路径方式采集到LTS，只能通过配置节点文件路径方式采集到LTS。 Docker存储驱动限制：容器文件日志采集目前仅支持overlay2存储驱动，不支持devicemapper作为存储驱动的节点。查看存储驱动类型，请使用如下命令： docker info grep "Storage Driver" 如果选择日志流时，采集方式为采集到集中日志流时，则必须已创建CCE集群。 操作步骤 云日志服务接入方式选择CCE接入时，按照如下操作完成接入配置。 1. 登录云日志服务控制台。 2. 在左侧导航栏中，选择“日志接入”，单击“云容器引擎 CCE应用日志”进行CCE接入配置。 3. 或者在左侧导航栏中，选择“日志管理”，单击目标日志流的名称进入日志详情页面，单击右上角，在弹出页面中，选择“采集配置”页面，单击“新建采集配置”，在新打开的页面，选择“云容器引擎 CCE应用日志”进行CCE接入配置。 4. 选择日志流。 有两种采集方式：采集到自定义日志流和采集到集中日志流，您可以根据实际情况选择采集方式。 采集到自定义日志流 1. 单击“CCE集群”后的目标框，在下拉列表中选择具体的集群。 2. 单击“所属日志组”后的目标框，在下拉列表中选择具体的日志组，若没有所需的日志组，单击“所属日志组”目标框后的“新建”，在弹出的创建日志组页面创建新的日志组。 3. 单击“所属日志流”后的目标框，在下拉列表中选择具体的日志流，若没有所需的日志流，单击“所属日志流”目标框后的“新建”，在弹出的创建日志流页面创建新的日志流。 4. 单击“下一步：检查依赖项”。 采集到集中日志流 集中采集日志到一个固定的日志流。CCE集群默认的采集日志流分别为标准输出/错误stdout{ClusterID}、节点文件hostfile{ClusterID}、K8S事件: event{ClusterID}和容器文件containerfile{ClusterID}。日志流名称会根据ClusterID自动命名，例如：集群ID为Cluster01，则标准输出/错误日志流为stdoutCluster01。 在一个CCE集群下可以创建的采集日志流为标准输出/错误stdout{ClusterID}、节点文件hostfile{ClusterID}、容器文件containerfile{ClusterID}）和K8s事件event{ClusterID}，如果某个日志组下，已创建某种采集日志流，则不会在其他日志组或当前日志组下再创建该日志流。 1. 单击“CCE集群”后的目标框，在下拉列表中选择具体的集群。 2. 默认所属日志组为k8slog集群ID，例如集群ID为c7f3f4a5bcb811eda4ec0255ac100b07，默认所属日志组为k8slogc7f3f4a5bcb811eda4ec0255ac100b07。 说明 1. 当无该日志组时，系统会提示：暂无该日志组，后续操作中，系统将会为您自动创建，创建完成后日志会集中采集到该日志组中。 3. 单击“下一步：检查依赖项”。 5. 检查依赖项。 系统自动检查以下内容检查项是否符合要求： 1. 已安装ICAgent，且版本 > 5.12.130。 2. 存在名称和自定义标识都是k8slog集群ID的主机组。 3. 存在名为k8slog集群ID的日志组。 4. 存在系统推荐的集中采集的日志流。当选择日志流为采集到集中日志流时，会进行该项内容检查。 如果以上内容检查项中，有任意一项不符合要求，需单击“自动修复”按钮进行修复，否则将无法进行下一步操作。 说明 自动修复：一键帮您完成以上内容检查项配置。 重新检查：重新检查依赖项。 当选择日志流为采集到自定义日志流时，“存在名为k8slog集群ID的日志组”的检查项为可选项。您可以通过开启或关闭开关进行控制，确定是否进行该项检查。 6. 选择主机组（可选）。 1. 在主机组列表中选择一个或多个需要采集日志的主机组，若没有所需的主机组，单击列表左上方“新建”，在弹出的新建主机组页面创建新的主机组，具体可参考[创建主机组（自定义标识）](

本文介绍应用加速产品功能。 天翼云应用加速产品功能列表如下： 功能类型 功能项 功能描述 相关文档 加速范围 TCP/UDP加速 支持基于TCP/UDP协议的所有应用，甚至私有协议的应用加速。 加速范围 HTTPS无证书加速 HTTPS协议，无需部署证书，即可实现加速，保证数据安全不被篡改。 访问控制 IP黑白名单 通过配置访问的IP黑白名单来对访问者身份进行识别和过滤，屏蔽非法访问。 IP黑白名单 回源相关 域名/IP回源方式 支持域名方式回源，或者IP方式回源。 回源配置 回源相关 源站负载均衡 支持主备、择优、按权重轮询、基于客户端IP哈希等多种源站负载均衡策略。 回源配置 日志管理 日志下载 默认提供15天内的日志下载，若需加长可定制。 日志下载 日志管理 日志格式定制 默认提供通用日志格式，同时支持日志格式定制化服务。 日志下载 性能优化 内容优化 通过智能压缩技术，优化传输内容，提升传输效率。 Gzip压缩 性能优化 多路传输 支持多路传输功能，开启多路传输功能后，有利于提升数据传输效率，在单条路径质量波动较大时有显著的效果。 多路传输 智能选路 实时探测 节点间实时探测获取当前网络状况，并上报智能选路中心，作为选路依据。 智能选路 快速选路 利用加速节点间实时探测的RTT值，结合天翼云自研的最优链路算法，获取最优传输路径，保障回源效果。 智能选路 稳健选路 利用加速节点间实时探测的RTT和丢包率数据，结合天翼云自研的最优链路算法，获取最优传输路径，保障回源效果。 可靠传输 多点覆盖 边缘节点采用多点覆盖，避免单节点故障造成访问故障，提高可靠性。 可靠传输 零时延切换 当边缘节点与下一跳节点建连时，若发现下一跳节点故障时，零时延切换到其他回源链路去。 客户控制台 带宽统计 展示查询范围内的带宽趋势图，可分别统计上行带宽、下行带宽、上行+下行总带宽。 控制台说明 客户控制台 流量统计 展示查询范围内的流量趋势图，可分别统计上行流量、下行流量、上行+下行总流量。 控制台说明 客户控制台 连接数统计 展示查询范围内的连接数和并发连接数趋势图。 控制台说明 客户控制台 地区运营商 统计查询时间范围内的，不同运营商、不同地区的流量、流量占比、带宽峰值、连接数、连接数占比、并发连接数峰值等数据。 控制台说明 客户控制台 域名排行 统计查询时间范围内的TOP域名，并展示对应的流量值、流量占比、带宽峰值、峰值时刻、连接数、连接数占比、并发连接数峰值、并发连接数峰值时刻等数据。 控制台说明 客户控制台 TOP客户端IP排行 统计查询时间范围内的TOP客户端IP，并展示对应的流量值和连接数。 控制台说明 客户控制台 访问用户区域分布 统计查询时间范围内的访问用户区域分布，并展示对应的带宽、流量、连接数。 控制台说明 客户控制台 独立IP访问数 统计查询时间范围内的独立IP访问峰值次数（1小时统计）和日活跃IP总量。 控制台说明 客户控制台 访问运营商分布 统计查询时间范围内的用户访问运营商分布，并展示对应的带宽、流量、连接数。 控制台说明

本文为您介绍容器安全卫士的产品优势。 容器安全卫士对云原生应用进行多维度检测和防护，产品优势如下： 一键管理便捷 贴合云原生特点，全组件采用容器化部署，实现客户端一键部署、一键卸载。安全能力随业务集群变动自动跟随防御，无需人工干预。 全面完整专业 集成国际、国内、官方等多种漏洞源，基于ClamAV、自研等多种病毒引擎，为您提供专业的安全风险检测。 动静结合智能 采用静态动态双结合的检测方式，自动形成业务行为基线，基于学习引擎，实时发现未知安全风险，实现智能化防护。 全链加密安全 容器安全卫士各个组件交互过程中，全链采用加密传输，敏感数据加密存储，客户端不暴漏任何端口，保护您的同时也注重自身安全。

空对象，表示匹配所有Namespace effect: annotations: k8s.ctyun.cn/eciusespecs: s7.small.1 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 优先级 在创建Selector后，所有新创建的Pod都会调度到虚拟节点，并自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod的规格为s7.small.1(1C1G)。 说明 如果配置了大于规格的资源请求，则 Pod 创建会失败。如果不需要修改ECI Pod的配置，则可以不配置annotations。 此外，还可以为不同的命名空间创建不同的Selector，可批量对不同命名空间下的Pod配置不同的ECI功能特性。 例如，可以创建如下Selector启用镜像缓存： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: enableimagecache spec: namespaceLabels: matchLabels: namespace: imagecache 指定命名空间 effect: annotations: k8s.ctyun.cn/eciimagecache: "true" 设置Pod启用镜像缓存 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 上述Selector创建后，只有命名空间为imagecache的Pod才会自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod启用镜像缓存。 2、Pod标签匹配 假设想让带有指定标签的Pod使用1C1G的规格，则可以创建如下Selector： shell apiVersion: eci.ctyun.cn/v1 kind: Selector metadata: name: 1c1gmatchlabels spec: objectLabels: matchLabels: app: nginx 指定标签 effect: annotations: k8s.ctyun.cn/eciusespecs: s7.small.1 labels: ecischedulable: "true" policy: virtualNodeOnly: {} priority: 1 上述Selector创建后，带有app: nginx标签的Pod都会调度到虚拟节点，并自动追加effect字段中配置的Annotation和Label，在这里annotations的效果是设置Pod的规格为1C1G。 优先级 Selector 支持通过priority字段指定优先级，优先级数值越大，优先级越高。如果某个 Pod 同时匹配多个 Selector，则优先级最高的 Selector 生效。 说明 若不配置priority字段，则默认优先级为0。

本章节介绍云原生API网关的产品规格 云原生API网关规格 规格名称 主机类型：X86架构通用型 基础版 ✅ 标准版1 ✅ 标准版2 ✅ 标准版3 ✅ 企业版1 ✅ 企业版2 ✅ 企业版3 ✅ 铂金版1 ✅ 铂金版2 ✅ 铂金版3 ✅ 铂金版4 ✅ X86架构通用型性能数据 规格名称 QPS（30% CPU，应答包1K，HTTP请求） 最大客户端连接数 最大HTTPS每秒新建连接数 基础版 2500 28000 1000 标准版1 5000 56000 2000 标准版2 10000 112000 4000 标准版3 20000 224000 8000 企业版1 40000 448000 16000 企业版2 80000 896000 32000 企业版3 120000 1320000 48000 铂金版1 160000 1760000 64000 铂金版2 320000 3520000 128000 铂金版3 480000 5280000 192000 铂金版4 600000 6600000 240000 AI网关规格 规格名称 主机架构 规格名称 X86架构 规格名称 通用型 标准版1 ✅ 标准版2 ✅ 标准版3 ✅ 企业版1 ✅ 企业版2 ✅ 企业版3 ✅ 铂金版1 ✅ 铂金版2 ✅ 铂金版3 ✅ 铂金版4 ✅

操作场景 如果您已经在本地生成了密钥对（例如使用PuTTYgen工具），您可以将公钥导入到控制中心，让系统维护您的公钥文件。这样，您就可以轻松地在创建云主机时选择导入的密钥对进行身份认证。 操作步骤 1. 登录控制中心，单击顶部的，选择“地域”。 2. 单击左侧导航栏“产品服务列表”，选择"计算>弹性云主机"。 3. 在左侧导航栏，单击"SSH密钥对"，进入密钥对列表。 4. 单击右上角的"导入密钥对"按钮，在“文件”选框上传公钥文件。 说明 最多支持1024字符长度（包括1024字符）的公钥导入。 仅支持RSA类型的密钥。 5. 复制内容到“公钥内容”文本框，手动输入公钥名称。 6. 下拉选择“企业项目”。 7. 点击“确定”按钮，完成SSH密钥对导入。 8. 返回SSH密钥对列表页，查看导入的SSH密钥对。

问题描述 当主机使用Windows2012浏览器时，部分场景下需要将Windows2012自带的.net framework 4.5版本卸载，卸载之后可能会遇到黑屏、无法进入系统桌面的问题。 可能原因 如遇这种情况，可能是因为系统由完整模式Full变为了核心模式Core。 处理方法 1. 登录弹性云主机，点击Win键，在开始菜单中选择任务管理器。 2. 选择“文件 > 运行新任务”。打开“新建任务”窗口。 3. 输入“cmd”，然后按回车键。 4. 在弹出的命令行窗口执行以下命令，将系统由核心模式切换到完整模式。 Dism /online /enablefeature /all /featurename:ServerGuiMgmt /featurename:ServerGuiShell /featurename:ServerCoreFullServer 5. 根据提示重启云主机，再次登录系统后就可以正常显示桌面。

本文主要介绍云日志服务中的表格。 作为最常见的数据展示方式，表格是组织和整理数据的基本工具。它通过数据整理，实现了快速引用和分析的目标。使用查询分析语句获取的数据结果将默认以表格形式展示。 前提条件 已完成日志采集配置，并成功采集到日志。 操作步骤 1. 登录云日志服务控制台。 2. 在日志管理页面的日志项目列表中，点击已创建的日志单元名称，进入日志单元详情页面。 3. 在日志单元详情页面中，即可查看当前日志单元中的日志数据。 4. 在语句搜索模式下，输入查询语句与SQL分析语句，具体语法请参考SQL统计分析章节。 5. 点击【查询】按钮，结果将默认以表格形式呈现。 配置参数 图表配置参数如下： 参数 说明 图表名称 支持自定义图表名称