使用对等连接，两端VPC的网段可以相同吗？ 使用对等连接时，两端VPC的网段可以相同。计划通过对等连接互通的VPC网段相同时，需要注意规划两个VPC之间需要互通的子网的网段不同。具体场景请参考 指向VPC子网的对等连接配置。 用对等连接进行VPC内网互通，两侧可以互相访问哪些资源？ 对等连接可以将同资源池的两个VPC内网打通，添加所需的路由后，可以访问对端VPC中的资源，云主机、物理机、网卡、虚拟IP、负载均衡、终端节点、数据库 等通过VPC内网地址提供服务的资源，不支持访问跨VPC的专线、NAT网关、VPN网关。 对等连接能否支持跨租户的VPC内网互通？ 对等连接支持同一租户或两个不同租户在同一地域的VPC之间进行内网互通。建立不同租户VPC互通的对等连接时，需要先了解对端账号的邮箱以及VPCID。跨租户VPC之间创建对等连接请参考 申请对等连接（跨账号）。 对等连接能否支持跨资源池的VPC内网互通？ 不支持，对等连接仅支持同资源池VPC之间的内网互通。如果有跨地域互通的场景，可以考虑使用云间高速产品。天翼云云间高速(标准版)（CTEC, Express Connect standard）产品是基于中国电信骨干网络，为用户提供一种高速、安全、稳定的混合组网能力，助力企业云上云下、跨区域，多网络、灵活组网，帮助用户构建一张具有企业级规模和通信能力的云上网络。请参考 云间高速产品介绍 。

天翼云云搜索服务提供的中文分词器 IK分词器 天翼云云搜索服务中的IK分词器是开源分词器，包括最大化分词模式（ikmaxword）、最小化分词模式（iksmart）。允许自定义词典，支持定制化的分词处理，适应特定场景和行业的需求。 IK插件包含2种分词器：iksmart和 ikmaxword。 iksmart模式：智能分词模式，采用较为灵活的中文分词算法，能够对中文文本进行智能的切分，以保留尽可能多的语义信息。适用于一般的全文搜索、文本分析和检索需求。 ikmaxword模式：最大化分词模式，会尽可能多地将文本切分成单个词语，从而获取尽可能多的候选词。适用于对文本进行细粒度的分析和处理。 HanLP分词器 HanLP分词器是源于一个开源且功能强大的HanLP自然语言处理工具包，它由一系列模型和算法组成。目前天翼云云搜索服务中的HanLP分词器是基于开源HanLP分词器对hanlp、hanlpcrf等分词器进行了一定程度的优化，以适应不同的场景。 目前HanLP插件提供hanlp、hanlpcrf、hanlpnlp、hanlpspeed等分词器，针对不同的应用场景，可以选择使用不同的分词器。 hanlp分词器，基于词典的分词。当需要快速处理大量文本，且对分词精度要求不是特别高时，词典分词是一个很好的选择。它侧重于分词速度，能够每秒处理数千万字符，非常适合对实时性要求较高的场景；在内存资源有限的环境下，词典分词由于其较低的内存占用，也是一个理想的选择。另外hanlp分词器经过优化分词效果也比较不错，适合通用的场景，平衡了分词精度和分词速度。 hanlpcrf和hanlpnlp分词器，基于模型的分词器。hanlpcrf和hanlpnlp分词器在处理复杂文本结构时表现出色，能够准确识别并处理句子中的长距离依赖关系。由于其较强的泛化能力，在处理特定领域的文本时（如新闻、法律、医疗等），能够提供更全面、准确的文本分析结果。适用于对分词准确程度要求很高，不追求分词速度的场景下，且比较消耗内存资源。 hanlpspeed，极速词典分词。在需要极快速度处理文本的场景下，极速词典分词是最佳选择，它通过优化词典结构和算法实现了超高的分词速度。在内存资源非常有限的环境下，极速词典分词由于其低内存占用特性而更具优势。适合追求分词速度，而对精度要求不是很高的情况下。 hanlpnshort和hanlpdijkstra：构建词图并寻找最短路径的方式来实现分词，能够较好地识别并处理新词和未登录词。对于包含大量新词、缩写、专业术语等复杂文本，能够提供更准确的分词结果，效率不如词典分词，优于算法分词。 hanlpindex和 ikmaxword类似：会尽可能多地将文本切分成单个词语，从而获取尽可能多的候选词。适用于对文本进行细粒度的分析和处理。

本章节介绍为Dubbo应用构建服务注册中心的方案 事前准备 本文的目的是关于Dubbo 应用接入MSE注册配置中心。首先是工程准备，一般情况下是两个Spring Boot 应用和一个公共的接口模块。 模块说明： 1. commonapi ，公共接口模块（接口），供服务消费者和服务提供者调用。 2. dubboprovider服务提供者模块（接口实现类），依赖commonapi模块。 3. dubboconsumer服务消费者模块（controller），依赖commonapii模块。 消费者和提供者通过公共接口模块进行rpc远程调用。 Dubbo主要相关的依赖项和版本如下所示： org.apache.dubbo dubbospringbootstarter 2.7.15 org.apache.dubbo dubboregistrynacos 2.7.15 在接入之前需要有一个MSE Nacos实例，并获得期访问信息。 公共模块 公共接口模块里面只有一个接口，没有配置文件，打jar包。 public interface InfoService{ String getInfo(); } Provider模块 application.yml配置文件： server: port: 22020 spring: application: name: dubboprovider dubbo: registry: address: nacos://访问地址?usernamenacos&password密码 application: name: dubboprovider protocol: name: dubbo port: PORT scan: basepackages: com.ctg.mse.dubbo.pro.service provider: timeout: 30000 接口实现类，该类实现了公共接口模块创建的接口.注意包路径必须包含在配置文件的sacn.basepackage路径中。 package com.ctg.mse.dubbo.pro.service; import com.ctg.mse.common.InfoService; import org.apache.dubbo.config.annotation.DubboService; import org.springframework.stereotype.Component; @Component @DubboService public class InfoServiceImpl implements InfoService { @Override public String getInfo() { return "Hello , dubbo provider method!"; } } Provider启动类： @EnableDubbo @SpringBootApplication public class DubboProviderApplication { public static void main(String[] args) { SpringApplication.run(DubboProviderApplication.class, args); } }

本文将介绍如何在远程零信任办公场景中配置用户组。 用户组可用于便捷授权。您可以基于角色，岗位，员工办公地理位置，项目类型等进行用户组创建，通过将多个用户关联到组中，以组为单位进行权限管理。 前提条件 已经完成身份源配置，将用户信息导入到用户与组织列表进行管理。 操作步骤 创建用户组 1. 登录边缘安全加速控制台。 2. 支持在AOne零信任、AOne终端管理，AOne终端管理三个工作台进行操作。 3. 在左侧导航栏，选择身份用户组管理。 4. 在用户组管理页面，单击创建用户组。 5. 按照以下字段说明，填写对应的用户组信息。 字段 字段说明 组名称 必填项，用户组名称，建议使用便于记忆的描述，例如项目组，岗位组，角色组 ，地理划分组等 用户组ID 系统自动生成 描述 用户组描述，便于对不同用户组进行备注 添加用户到用户组 1. 在用户组管理页面，选择对应要添加用户的用户组名称，单击添加用户按钮。 2. 在弹出的界面框，进行用户勾选，支持通过姓名、账号、手机号、邮箱等信息进行用户搜索，将需要添加的用户点击勾选。 3. 若需要按照组织架构进行用户组添加，请在弹框界面的左侧组织架构栏目，选择要筛选的组织范围，在右侧进行对应要添加的用户勾选。 4. 完成用户筛选后，点击确定，完成该部分用户添加到对应的用户组内。 后续步骤 完成用户组创建和用户组内用户添加后，您可以针对用户组配置差异化的应用权限，以及基于用户组下发不同的零信任策略。

请您根据以下处置建议，对系统展开检查，减少脆弱性暴漏。 体检完成后，您可以根据体检报告及漏洞详单查看互联网业务的漏洞开放、弱口令、高危端口开放等安全问题。体检报告包含推荐的处置建议，产线可根据这些建议，完成漏洞修复并及时更新线上系统，防止被攻击人员利用，造成损失。 通用处置建议 安全体检建议对存在漏洞的主机参考附件中提出的解决方案进行漏洞修补、安全增强。 建议所有Windows系统使用"Windows Update"进行更新。 对于大量终端用户而言，可以采用WSUS进行自动补丁更新，也可以采用补丁分发系统及时对终端用户进行补丁更新。 对于存在弱口令的系统，需在加强使用者安全意识的前提下，督促其修改密码，或者使用策略来强制限制密码长度和复杂性。 对于存在弱口令或是空口令的服务，在一些关键服务上，应加强口令强度，同时需使用加密传输方式，对于一些可关闭的服务来说，建议关闭该服务以达到安全目的。 对于UNIX系统订阅厂商的安全公告，与厂商技术人员确认后进行漏洞修补、补丁安装、停止服务等。 由于其他原因不能及时安装补丁的系统，考虑在网络边界、路由器、防火墙上设置严格的访问控制策略，以保证网络的动态安全。 建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞，攻与防的循环，伴随每个主流操作系统、应用服务的生命周期。 建议采用安全体检系统定期对网络进行评估，真正做到未雨绸缪。 远程安全评估系统建议对存在不合规检查项的主机参考对应的检查点详情中提出的调整方案和标准值进行修正。

本章节介绍数据库安全如何安装Agent。 安装Agent后，您才能开启数据库安全审计功能，对待审计的数据库进行审计。 本节介绍如何在Linux系统上安装Agent。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 已获取Linux操作系统Agent安装包。 安装Agent节点的运行系统满足Linux系统版本要求。 安装Agent 在您安装新版Agent的时候，需要您为当前安装的Agent自定义一个密码。 请您根据数据库类型以及数据库的部署环境，在相应节点上安装Agent。 1. 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点（例如使用WinSCP工具）。 2. 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该节点。 3. 执行以下命令，进入Agent安装包“xxx.tar.gz”所在目录。cd Agent安装包所在目录 4. 执行以下命令，解压缩“xxx.tar.gz”安装包。tar xvf xxx.tar.gz 5. 执行以下命令，进入解压后的目录。cd解压后的目录 6. 执行以下命令，查看是否有安装脚本“install.sh”的执行权限。 7. 执行以下命令，安装Agent。sh install.sh。用户系统是Ubantu时，执行以下命令安装Agent。bash install.sh。界面回显以下信息，说明安装成功。否则，说明Agent安装失败。 start agent starting audit agent audit agent started start success install dbss audit agent done! 如果Agent安装失败，请您确认安装节点的运行系统是否满足Linux操作系统要求，并重新安装Agent。 8. 执行以下命令，查看Agent程序的运行状态。service auditagent status如果界面回显以下信息，说明Agent程序运行正常。audit agent is running.

场景 描述 相关说明文档 指定CDN回源请求访问到源站上的具体站点 1.源站是域名时，例如，源站为ctyun.cn，回源HOST为host.ctyun.cn，那么实际回源访问的是ctyun.cn通过域名解析得到的IP（如1.1.1.1）对应主机上的站点host.ctyun.cn。 2.源站是IP时，例如，源站为1.1.1.1，回源HOST为host.ctyun.cn，那么实际回源访问的是1.1.1.1对应主机上的站点host.ctyun.cn。 提高缓存命中率 主要方法包括： 1.配置合理的缓存过期时间，可以有效提高缓存命中率。 2.根据业务需要判断是否启用“去问号缓存”配置，去掉用户请求URL中“?”之后的参数，让相同内容的请求直接命中缓存，提高缓存命中率。CDN控制台上默认开启去问号缓存。 3.通过文件预取功能，提前把源站的内容拉取到边缘节点进行缓存，有效提升首次访问的命中率，同时又能缓解因新内容发布而导致的回源压力问题。 4.开启分片回源功能：CDN节点可以以分片的形式缓存文件，对于Range请求而言，可以有效提高文件分发效率，降低首包时延，同时提高缓存利用率，减少不必要的回源。功能介绍请详见： 提高数据传输安全 开启HTTPS功能前，需要先购买和申请SSL证书。证书相关操作，详情详见： 避免网站资源被恶意盗链，产生额外的流量成本 1.基础防盗链：可通过配置Referer防盗链、IP黑/白名单，用于识别和封禁非法来源的请求，以及非法IP的恶意访问。可通过CDN控制台自助配置新增。 2.高级防盗链：时间戳防盗链、远程鉴权防盗链，通过有时效性的URL来提高盗链难度，以及通过源站来鉴定合法性，安全等级更高。该类防盗链需要客户提前约定鉴权规则，并通过提交工单给天翼云客服，由其人工操作开启。 具体防盗链功能的对接方式，详见右列相关功能说明文档。

本节主要介绍OBS服务协议。 自2021年11月11日起，新版对象存储服务协议生效，详情请参见这里。 中国电信天翼对象存储系统服务协议 历史版本（2012年11月10日）

天翼云支持哪些类型的物理专线？ 天翼云依托中国电信丰富的网络资源，云专线兼容底层IPRAN、MSTP、MPLS VPN、OTN等多种线路类型，可适配用户不同接入场景的地理位置和环境条件，满足用户多种组网需求。 物理专线支持的最大带宽是多少？ 支持1G/10G/100G等多种端口带宽规格；同时提供端口聚合和链路能力，实现专线带宽弹性扩容，帮助企业轻松应对大流量业务传输场景。如需帮助请联系客户经理咨询详细业务。 物理专线是否支持高可用部署？ 您可以通过负载冗余专线或主备冗余专线方式，实现物理专线的高可用。具体操作，请参见： 双专线负载方式实现客户站点与VPC互通 双专线主备方式实现客户站点与VPC互通 是否支持通过物理专线将本地的VLAN 延伸到VPC中？ 不支持。 天翼云云专线服务目前仅支持与用户本地网络进行三层互连。 物理专线的互联IP地址是什么含义？ 为了客户本地数据中心与天翼云资源池之间的通信，您需要为物理专线两端同时规划IP地址，且两个IP地址处于同一网段，可以直接通信，这两个IP地址被称为互联IP。 用户的互联IP通常有两个：本端互联IP、远端互联IP。 本端互联IP：天翼云资源池到本地数据中心的路由网关。 远端互联IP：本地数据中心到天翼云资源池的路由网关。

对象存储服务等级协议生效，详情请参见这里。 中国电信天翼对象存储系统服务等级协议 历史版本（2012年11月10日）。

版本功能列表 下表描述了主要功能模块在不同套餐中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能模块 描述 免费版 基础版 高级版 企业版 旗舰版 业务接入 泛域名防护 支持接入泛域名。 √ √ √ √ √ 业务接入 静态加速 支持将静态资源缓存到边缘节点，达到加速效果。 √ √ √ √ √ 业务接入 动态加速 支持动态资源采用最优链路回源。 × √ √ √ √ 业务接入 WebSockets 支持WebSockets协议 × 持久连接时长最大：300s 持久连接时长最大：300s 持久连接时长最大：300s 持久连接时长最大：300s 业务接入 quic协议 支持quic协议 × × √ √ √ 业务接入 HTTPS防护 支持HTTPS防护。 √ √ √ √ √ 业务接入 免费证书 支持申请免费证书。 × √ √ √ √ 业务接入 IPv6 访问 支持对IPv6访问流量安全检测与防护。 √ √ √ √ √ 业务接入 IPv6 外链改造 提高网站链接的IPv6支持度，解决IPv6天窗问题。 × √ √ √ √ 业务接入 IPv6支持度检测 支持检测网站IPv6链接支持度，并输出分析结果与检测报告。 1 10 20 30 40 业务接入 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × √ √ √ 业务接入 HTTP2防护 支持防护使用HTTP/2协议的网站。 √ √ √ √ √ 业务接入 回源IP管理 为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 × √ √ √ √ 基础安全防护 DDoS防护 主动防御网络层DDoS攻击。 防护峰值：10Gbps 防护次数：1次 防护峰值：20Gbps 防护次数：2次 防护峰值：40Gbps 防护次数：2次 防护峰值：平台级尽力防 防护次数：2 防护峰值：平台级尽力防 防护次数：不限次数 基础安全防护 自定义防护界面 支持用户自定义响应给客户端的拦截界面。 × × √ √ √ 基础安全防护 规则防护引擎 支持防护常见的Web攻击。 √，（仅支持监测） √ √ √ √ 基础安全防护 自定义规则 支持自定义web防护规则。 × 10条规则/域名 20条规则/域名 50条规则/域名 200条规则/域名 基础安全防护 AI防护引擎 智能AI识别攻击和误拦截。 × × × × √ 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 频率控制 支持基于基础字段和高级字段进行组合，设置访问频率。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 合规性检测 支持对HTTP请求信息中的方法以及参数长度等信息进行检测。 √ √ √ √ √ 基础安全防护 CC防护 支持防护常见的CC攻击，支持阈值和永久模式。 √，（默认策略） √，（默认策略 √ √ √ 基础安全防护 0Day 漏洞虚拟补丁 自定更新0day漏洞攻击防护规则。 × √ √ √ √ 基础安全防护 扫描防护 支持常见扫描工具封禁。 × √ √ √ √ 高级安全防护 网页防篡改 支持锁定网站页面，防止源站页面内容被恶意篡改带来的影响。 × √ √ √ √ 高级安全防护 防敏感信息泄露 支持防止网站敏感信息泄露（银行卡、身份证、手机号、邮箱）。 × √ √ √ √ 高级安全防护 Cookie防护 支持Cookie加密和Cookie签名。 × × √ √ √ 高级安全防护 广告防护 实现广告防护和监测功能。 × × √ √ √ 高级安全防护 账户安全 支持防护暴力破解、批量注册。 × × √ √ √ 高级安全防护 攻击挑战 支持识别反复攻击客户端IP，并且封禁 × √ √ √ √ 高级安全防护 智能防护 基于网站访问流量深度学习，自动生成防护策略。 × × × × √ 高级安全防护 验证码 为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。 × × √ √ √ 高级安全防护 Bot管理 缓解大量针对网站的爬取和异常注册登录行为。 × 付费支持 付费支持 付费支持 付费支持 高级安全防护 API安全 支持对已接入WAF的API资产进行全面安全防护。 × 付费支持 付费支持 付费支持 付费支持 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 1/域名/次/月 1/域名/次/月 2/域名/次/月 3/域名/次/月 4/域名/次/月 网站风险监测 安全事件监测 支持监测网页中挂马及黑链的恶意代码，网页是否被非法篡改 × 任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 内容安全监测 支持监测网站文字和图片是否包含涉黄、涉毒、涉政、赌博、暴恐、邪教等敏感内容。 × 文本敏感词检测任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 DNS监测 多线路远程实时监测目标站点在多种网络协议下的响应速度、可访问性等反映网站性能状况的内容 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 网站风险监测 可用性监测 支持实时监测各地主流ISP的DNS缓存服务器和用户DNS授权服务器的解析过程及结果。 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 产品服务 日志服务 提供攻击日志、业务日志的报表查询 √ √ √ √ √ 产品服务 安全报表 提供Web攻击、CC攻击报表。 15天 31天 92天 180天 180天 产品服务 监控告警 支持自定义监控告警。 √ √ √ √ √ 产品服务 安全VIP服务 提供专业安全专家主动运营服务，持续深入定制整体防护方案。 × 付费支持 付费支持 付费支持 付费支持 产品服务 态势感知大屏 提供数据大屏服务，让安全攻防状态一目了然。 × 付费支持 付费支持 付费支持 付费支持

漏洞扫描是否支持IPv6？ 自身支持IPv4和IPv6两种网络协议的部署，也支持对IPv4和IPv6协议的目标进行扫描，包括域名类型。 漏扫扫描时是否会影响业务？ 主机扫描：通过发送数据包来探测目标是否存活、开放的端口、运行的服务和版本信息等，理论上不会出现任何的影响，但是不排除由于防火墙的设置导致的服务宕机、由于目标服务对发送的报文处理导致的宕机等，一般情况下基本不会产生，实际漏扫引擎已经做了很多规避策略，但不能保证100%无影响，市面上的漏扫原理基本一样。 网站扫描：原理是模拟用户的正常HTTP请求和模拟黑客的无害攻击，一般来说是不会影响被扫描对象的业务正常运行，但是如果对方服务器的并发连接数本身就较低，那么可能会导致服务中断，需要重启中间件，漏扫引擎具备动态流控的功能，该影响的概率极低基本不会发生。 基线配置核查：原理与数据库扫描类似，主要是查询相关配置，可能会产生临时文件和删除临时文件操作，但不会影响业务。 授权扫描和非授权扫描有什么区别？ 漏扫的扫描方式包括授权扫描和非授权扫描两种，也有称登录扫描和非登录扫描，实际是一个含义。 授权扫描：在对目标进行漏洞扫描的过程中，要输入帐号、密码等信息，属于“登录授权”进行的扫描。因为通过输入帐号信息登录后进行的扫描，因此扫描获得的信息更多，漏洞也将发现的更多，且误报率更低。（适用于主机扫描、数据库扫描、网站扫描、基线核查四大扫描模块） 非授权扫描：不需要目标的账户密码等授权信息即直接扫描，通过远程探测目标的信息来判断漏洞，可能会产生误报和漏洞（适用于主机扫描、网站扫描量大扫描模块）。

背景介绍 istio服务网格默认通过iptables的方式劫持流量，一次请求会多次经过iptables和TCP/IP协议栈，增加请求的耗时。通过ebpf技术，可以绕过iptables和协议栈，加速同pod内业务容器和sidecar容器之间以及同节点的sidecar之间的通信，降低网络开销。 使用限制 开启条件： 操作系统发行版启用 cgroup v2。 Linux 内核为 5.8 或更高版本。公共镜像建议使用ctyunos 23.01以上版本，该版本内核为5.10。 cpu架构暂时只支持x86。 关于启用cgroup v2 需要进入对应节点，登录入口在ccse控制台>集群>节点>操作>更多>远程登录 登录后执行以下步骤： 1. 修改/etc/default/grub的GRUBCMDLINELINUX，增加一个参数systemd.unifiedcgrouphierarchy1 2. 重新生成grub.cfg文件，grub2mkconfig o /boot/grub2/grub.cfg（若使用了efi引导分区，则执行grub2mkconfig o /boot/efi/EFI/ctyunos/grub.cfg） 3. 重启操作系统 注意 开启cgroup v2有以下风险，请细致评估后再进行操作： 1. cgroup v2布局方式与v1完全不同，如果您已经有挂载v1的业务节点（非系统自带的节点），建议完全清空切换到v2。 2. 有部分节点为cgroup v1部分节点为cgroup v2的情况下，可能会产生不可知的风险，建议整个集群都统一切换到一个版本。 3. cgroup v2依赖systemd进行配置分发，在一些极端场景下可能需要额外对system进行性能调优。 4. 集群中已经存在pod使用 cgroup 特性时，重启节点后，存量pod未必会生效。 综上，建议在新开通的集群中进行cgroup切换，并保证后续扩容节点也要及时对齐cgroup版本。已有业务的存量集群不建议进行切换。

本文为您介绍如何查看Web核心防护中包含的内置规则详情。 您可以在全局Web核心防护的防护规则页面，查询规则防护引擎中目前包含的所有防护规则。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“Web核心防护”模块，在防护规则组后方点击“前去配置”。 7. 进入“规则组”页面，在页面上方选择“规则库”可以看到当前的规则引擎包含的规则列表。 规则列表中包含的参数如下： 配置项 说明 危险等级 防护规则防护漏洞的危险等级，包括： 高危 中危 低危 灰度状态 规则的状态说明。 规则ID WAF防护引擎中可唯一标识该规则的ID。 规则引擎类型 描述WAF防护规则的引擎类型 规则名称 防护规则的描述信息。 防护类型 表示规则防御的Web攻击类型。 包括SQL注入、XSS、目录穿越、Java代码执行、PHP代码执行、ASP代码执行、通用代码执行、Java反序列化、PHP反序列化、本地文件包含、远程文件包含、文件上传、CSRF、SSRF、命令注入、信息泄露、模板注入、XML实体注入、Xpath注入、LDAP注入、自定义精准攻击、未知攻击。 CVE编号 防护规则对应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。对于非CVE漏洞，显示为空。 关联规则组数 显示对应规则所绑定的规则组数量。

性能调优 rocksdb状态调优 topN排序、窗口聚合计算以及流流join等都涉及大量的状态操作，因而如果发现这类算子存在性能瓶颈，可以尝试优化状态操作的性能。主要可以尝试通过如下方式优化： 1.增加状态操作内存，降低磁盘IO 增加单slot cu资源数 配置优化参数： taskmanager.memory.managed.fractionxx state.backend.rocksdb.block.cachesizexx state.backend.rocksdb.writebuffer.sizexx 2.开启微批模式，避免状态频繁操作 配置参数： table.exec.minibatch.enabledtrue table.exec.minibatch.allowlatencyxx table.exec.minibatch.sizexx 3.使用超高IO本地盘规格机型，加速磁盘操作 group agg单点及数据倾斜调优 按天聚合计算或者group by key不均衡场景下，group聚合计算存在单点或者数据倾斜问题，此时，可以通过将聚合计算拆分成LocalGlobal进行优化。配置方式为设置调优参数: table.optimizer.aggphasestrategyTWOPHASE count distinct优化 在count distinct关联key比较稀疏场景下，即使使用LocalGlobal，单点问题依然非常严重，此时可以通过配置以下调优参数进行分桶拆分优化: table.optimizer.distinctagg.split.enabledtrue table.optimizer.distinctagg.split.bucketnumxx 使用filter替换case when: 例如： COUNT(DISTINCT CASE WHEN flag IN ('android', 'iphone')THEN userid ELSE NULL END) AS appuv 可调整为 COUNT(DISTINCT userid) FILTER(WHERE flag IN ('android', 'iphone')) AS appuv 维表join优化 维表join根据左表进入的每条记录join关联键，先在缓存中匹配，如果匹配不到，则从远程拉取。因而，可以通过如下方式优化: 增加JVM内存并增加缓存记录条数 维表设置索引，加快查询速度

服务名重复校验范围是什么？ 服务名重复校验范围是微服务名称、微服务应用、微服务版本和微服务环境。是一个微服务的主键，标识一个唯一的微服务。请确保主键不重复。 为什么一定要定义服务契约？ 企业级系统规模普遍较大，微服务组件众多，所以对服务间接口进行统一管理是企业的关键需求。微服务引擎通过契约管理满足这一需求。 管理角度：通过契约管理，企业中的接口管理者可以统一定义微服务的契约文件（符合接口描述标准的接口定义文件），从而做到规范并协调多个开发团队的接口开发，降低沟通成本且避免后期的混乱。 开发角度：在微服务开发的时候，不同团队甚至不同ISV间，可以基于统一的契约文件开发同一应用或系统，从而方便整体系统一致性的维护。具体表现在，单体应用中模间是代码级调用，在编译期就可以解决API不兼容问题，修复成本也极低。微服务解耦后，服务间变为了远程调用，接口不一致通常发现时间较晚，会造成更大的修复成本。有了契约可以保证架构师设计契约，严格审查变更，并反向生成代码，保证兼容性。 另外，对于规模较小、统一管理要求不高的系统，产品支持从接口代码自动生成契约文件。 创建委托失败怎么解决？ 原因是用户无权限创建委托或用户委托配额不足。解决方法如下： 若用户进入IAM控制台时，系统提示权限不足，说明用户无权限创建委托，请参考进行处理。 若用户有权限创建委托，则登录统一身份认证服务控制台，在统一身份认证服务的左侧导航窗中，选择“委托”，查看当前是否还可以创建委托，当可创建委托数量为0时，可删除委托或调整委托配额后进行创建。

本页介绍天翼云TeleDB数据库内核资源相关参数。 maxfilesperprocess (integer) 设置每个服务器子进程允许同时打开的最大文件数目。默认是1000 个文件。如果内核强制一个安全的针对每个进程的限制，那么你不用操心这个设置。但是在 一些平台上（特别是大多数 BSD 系统），如果很多进程都尝试打开很多文件，内核将允许独立进程打开比个系统真正可以支持的数目大得多得文件数。如果你发现自己看到了“Too many open files”这样的失败，可尝试减小这个设置。这个参数只能在服务器启动时设置。 enableglobalplancache 是否开启global plancache，设置成on的时候，打开global plancache功能。设置成off的时候，关闭该功能。打开开关，表示打开全局执行计划缓存（global plancache）功能，能够让不同的连接共享同一份Plan Cache。这个参数改了之后需要重启生效。 enableglobalsyscache 是否开启global syscache，设置成on的时候，打开global syscache功能。设置成off的时候，关闭该功能。打开开关，表示打开全局元数据缓存功能，可以让所有进程共享同一个缓存条目，提高内存利用效率，降低因此发生OOM的风险。这个参数改了之后需要重启生效。 globalplancachesize 该参数表示可使用的global plancache的共享内存大小,单位MB，重启集群生效，不配置的话有默认参数。 globalcachesize 该参数表示可使用的元数据缓存的共享内存大小,单位MB，重启集群生效，不配置的话有默认参数。 enableremotedataaccessplan 是否开启RDA，默认off。设置成on的时候，打开RDA功能。设置成off的时候，关闭该功能。打开开关，表示打开远程数据访问（RDA）功能。参数类型：布尔。是否动态生效：是。

本文将为您介绍公共传输通道的术语概念。 中国电信下一代承载网 中国电信下一代承载网（CN2DCI）是指中国电信融合原CN2和DCI两张网络之后构建的面向2B业务的差异化、智能化、服务化专用承载网，目标建成技术领先、行业最有竞争力的2B网络。 CN2DCI网络新平面 中国电信基于SDN架构，在CN2DCI网络基础上通过引入SRv6+EVPN等技术重构的高质量、高可靠、差异化精品网络。 SRv6 SRv6（Segment Routing IPv6）是一种网络转发技术，SR指Segment Routing技术，v6指原生IPv6，SRv6就是IPv6+Segment Routing，是SR技术的IPv6演进版本。 多协议标签交换 多协议标签交换（MultiProtocol Label Switch），简称为MPLS，结合二层交换和三层路由的集成数据传输技术。 虚拟专网 虚拟专网（VPN），全称为虚拟专用网络（Virtual Private Network），利用开放的公共网络建立专用数据传输通道，将不同站点连接起来并提供安全的端到端数据通信的广域网组网方式。 EVPN EVPN（Ethernet Virtual Private Network）是一种用于二层网络互联的VPN技术，采用类似于BGP/MPLS IP VPN 的机制，通过扩展BGP协议，使用扩展后的可达性信息，使不同站点的二层网络间的MAC地址学习和发布过程从数据平面转移到控制平面。 运营商边界设备 运营商边界设备（Provider Edge），简称为PE，位于运营商网络边缘，用于连接CE设备，一般为路由器。

HTTP 2.0业务接入WAF防护是否会对源站有影响？ HTTP 2.0业务接入WAF防护对源站有影响。HTTP 2.0业务接入WAF防护表示WAF可以处理客户端的HTTP 2.0请求，而WAF目前仅支持以HTTP 1.0/1.1协议转发回源请求，即WAF与源站间暂不支持HTTP 2.0。因此，如果您将HTTP 2.0业务接入WAF防护，则源站的HTTP 2.0特性将会受到影响，例如，源站HTTP 2.0的多路复用特性可能失效，造成源站业务带宽上升。 Web应用防火墙支持哪些Web服务框架/协议？ Web应用防火墙部署在云端，与Web服务框架没有关系。 WAF通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持防护的协议类型说明如下： WebSocket/WebSockets协议，且默认为开启状态 “对外协议”选择“HTTP”时，默认支持WebSocket “对外协议”选择“HTTPS”时，默认支持WebSockets HTTP/HTTPS协议 WAF可以防护使用HSTS策略/NTLM代理认证访问的网站吗？ 可以。WAF支持防护HTTP/HTTPS协议业务。 网站选择使用HSTS（HTTP Strict Transport Security，HTTP严格传输安全协议）策略后，会强制要求客户端（如浏览器）使用HTTPS协议与网站进行通信，以减少会话劫持风险。配置HSTS策略的网站使用的是HTTPS协议，WAF可以防护。 NTLM（New Technology LAN Manager，Windows NT LAN管理器）代理是Windows平台下HTTP代理的一种认证方式，其认证方式与Windows远程登录的认证方式是一样的，客户端（如浏览器）和代理之前需要三次握手才开始传递信息。 对于客户端（如浏览器）和代理之前使用NTLM认证的业务，WAF可以防护。

本文简述其他章节不包含的功能函数的语法、作用、入参、返回值、示例。 ctyun.getiplocation 函数信息详见下表： 项目 描述 语法 vender, province, city ctyun.getiplocation(remoteip) 作用 返回ip的归属运营商，归属省，归属地市。 入参 ip地址，可以是ipv4，也可以是ipv6。 返回值 依次为ip归属运营商，归属省，归属地市。如果没有找到则返回nil。 示例： reasonml local vender, province, city ctyun.getiplocation("183.38.147.155") if vender ~ nil then ctyun.resp.setoutput(vender..":"..province..":"..city.."n") else ctyun.resp.setoutput("unknown ipn") end 输出结果： CNdianxin:CNguangdong:CNguangdongfoshan ctyun.splitstring 函数信息详见下表： 项目 描述 语法 array ctyun.splitstring(str, splittoken) 作用 根据分隔符，分割字符串。将结果保存到数组中。 入参 str为被分割的字符串，splittoken为分割符。 返回值 返回分割后的结果放到数组中，可以通过ipairs遍历。 示例： applescript local result ctyun.splitstring("aaa,bbb,ccc,ddd", ",") for k,v in ipairs(result) do ctyun.resp.setoutput(v.."n") end 输出结果： aaa bbb ccc ddd ctyun.refreshmode 函数信息详见下表： 项目 描述 语法 isrefreshmode ctyun.refreshmode() 作用 查询该请求是否处于刷新模式。 入参 无。 返回值 返回是否处于刷新模式，bool类型。 示例： awk 设置缓存 local cachekey ctyun.var('uri') ctyun.req.setcache(cachekey, "follow", 3600) 刷新模式下跳过远程鉴权 local isrefreshmode ctyun.refreshmode() if not isrefreshmode then local res, err ctyun.queryremote(" + ctyun.var('uri')) if err then ctyun.exit(403) end if res.status ~ 200 then ctyun.exit(res.status) end end

本文简述其他章节不包含的功能函数的语法、作用、入参、返回值、示例。 ctyun.getiplocation 函数信息详见下表： 项目 描述 语法 vender, province, city ctyun.getiplocation(remoteip) 作用 返回ip的归属运营商，归属省，归属地市。 入参 ip地址，可以是ipv4，也可以是ipv6。 返回值 依次为ip归属运营商，归属省，归属地市。如果没有找到则返回nil。 示例： reasonml local vender, province, city ctyun.getiplocation("183.38.147.155") if vender ~ nil then ctyun.resp.setoutput(vender..":"..province..":"..city.."n") else ctyun.resp.setoutput("unknown ipn") end 输出结果： CNdianxin:CNguangdong:CNguangdongfoshan ctyun.splitstring 函数信息详见下表： 项目 描述 语法 array ctyun.splitstring(str, splittoken) 作用 根据分隔符，分割字符串。将结果保存到数组中。 入参 str为被分割的字符串，splittoken为分割符。 返回值 返回分割后的结果放到数组中，可以通过ipairs遍历。 示例： applescript local result ctyun.splitstring("aaa,bbb,ccc,ddd", ",") for k,v in ipairs(result) do ctyun.resp.setoutput(v.."n") end 输出结果： aaa bbb ccc ddd ctyun.refreshmode 函数信息详见下表： 项目 描述 语法 isrefreshmode ctyun.refreshmode() 作用 查询该请求是否处于刷新模式。 入参 无。 返回值 返回是否处于刷新模式，bool类型。 示例： awk 设置缓存 local cachekey ctyun.var('uri') ctyun.req.setcache(cachekey, "follow", 3600) 刷新模式下跳过远程鉴权 local isrefreshmode ctyun.refreshmode() if not isrefreshmode then local res, err ctyun.queryremote(" + ctyun.var('uri')) if err then ctyun.exit(403) end if res.status ~ 200 then ctyun.exit(res.status) end end

本节主要介绍OBS服务等级协议。 自2021年11月11日起，新版对象存储服务协议生效，详情请参见这里。 中国电信天翼对象存储系统服务协议 历史版本（2012年11月10日）

三、节点创建与许可绑定 操作条件 开启数据保护前，需完成++同步天翼云云主机++或者++新增非天翼云云主机++操作。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源同步管理”“数据源”“客户端管理”模块，进入客户端管理页面页面。 5. 点击操作列“开启数据保护”，进入开启数据保护页面。 6. 开启数据保护页面分为基础配置、节点角色配置、确认配置三部分。 7. 在基础配置模块，填写连接端口、用户名、密码和认证码后，点击认证码旁的“认证按钮”，完成节点认证。 8. 认证后，会自动回显节点数据地址，选择控制台和调度服务器地址为nodeproxymdr，选择当前节点需绑定的许可。 各配置项信息如下： 参数 是否必选 配置说明 连接端口 √ 填写远程连接端口，用于对资源进行连通性测试。 用户名 √ 填写主机用户名。 MDR程序所在的主机OS的登录账号，可以选择使用管理员账户或非管理员账户；也可以支持Windows平台域控用户的验证，Windows域用户名格式为： ；也可以填写安装时生成的文件认证用户名。 密码 √ 填写主机可完成正常登录的密码。 认证码 √ 填写安装部署[网络配置](

本章节主要介绍在天翼云大数据平台翼MapReduce的大数据集群中如何添加、运行作业。 用户可将自己开发的大数据应用程序提交到翼MapReduce中，执行程序并获取结果。 本章节以MapReduce作业为例，MapReduce作业用于提交jar程序快速并行处理大量数据，是一种分布式数据处理模式和执行环境。通过此次的指导，希望用户能够对如何在翼MapReduce服务中提交、运行MapReduce作业有清晰的认知。 当前翼MR服务尚不支持通过前台界面化进行作业提交、运行的功能。本次的介绍仅说明如何通过后台功能来提交作业。 通过后台提交作业 天翼云大数据平台 翼MapReduce服务中的大数据集群客户端默认安装路径为“/usr/local/”。 1. 登录翼MR管理控制台。 2. 选择“集群列表 > 我的集群”，选中一个运行中的集群并单击集群名，进入集群基本信息页面。 3. 选择“节点管理”，单击展开节点组，显示节点列表。 4. 在目标节点的右侧“操作”列中，单击“远程连接”。 5. 在VNC方式新标签页Web页面中，可以看到服务器的命令行界面，类似于Linux服务器登录模式，输入root账号，并输入密码。 6. 当前翼MR集群默认都是开启Kerberos认证，大数据集群服务及用户使用到的keytab文件默认放置在“/etc/security/keytabs/”目录下，执行以下命令做Kerberos认证。 kinit 翼MapReduce集群用户 进入“/etc/security/keytabs/”目录下，选择你要使用的keytab文件，本文以hdfs.keytab为例，执行如下命令，获取到正确的Principal名称。 klist kt hdfs.Keytab 使用上一步骤获取到的Principal名称，执行如下认证命令。 kinit kt hdfs.Keytab Principal 名称 7. 执行如下命令提交pi计算作业。 cd /usr/local/hadoop3/share/hadoop/mapreduce hadoop jar hadoopmapreduceexamples3.3.3.jar pi 10 10

在gsql客户端配置SSL认证相关的数字证书参数 DWS 在集群部署完成后，默认已开启SSL认证模式。服务器端证书，私钥以及根证书已经默认配置完成。用户需要配置客户端的相关参数。 1. 登录DWS 管理控制台，在左侧导航栏中，进入“连接管理”页面。 2. 在“下载驱动程序”区域，单击“下载SSL证书”进行下载。 3. 使用文件传输工具（例如WinSCP工具）将SSL证书上传到客户端主机。 例如，将下载的证书“dwssslcert.zip”存放到“/home/dbadmin/dwsssl/”目录下。 4. 使用SSH远程连接工具（例如PuTTY）登录gsql客户端主机，然后执行以下命令进入SSL证书的存放目录，并解压SSL证书： cd /home/dbadmin/dwsssl/ unzip dwssslcert.zip 5. 在gsql客户端主机上，执行export命令，配置SSL认证相关的数字证书参数。 SSL认证有两种认证方式：双向认证和单向认证，认证方式不同用户所需配置的客户端环境变量也不同，详细介绍请参见下方“SSL认证方式及客户端参数介绍”章节。 双向认证需配置如下参数： export PGSSLCERT" /home/dbadmin/dwsssl/sslcert/client.crt " export PGSSLKEY" /home/dbadmin/dwsssl/sslcert/client.key " export PGSSLMODE" verifyca " export PGSSLROOTCERT" /home/dbadmin/dwsssl/sslcert/cacert.pem " 单向认证需要配置如下参数： export PGSSLMODE"verifyca" export PGSSLROOTCERT" /home/dbadmin/dwsssl/sslcert/cacert.pem " 须知： 从安全性考虑，建议使用双向认证方式。 配置客户端环境变量，必须包含文件的绝对路径。 6. 修改客户端密钥的权限。 客户端根证书，密钥，证书以及密钥密码加密文件的权限，需保证权限为600。如果权限不满足要求，则客户端无法以SSL连接到集群。 chmod 600 client.key chmod 600 client.crt chmod 600 client.key.cipher chmod 600 client.key.rand chmod 600 cacert.pem

本章节主要介绍发布订阅 创建发布 什么是发布订阅？ RDS for SQL Server提供的发布与订阅功能，利用复制技术来实现数据同步，实现数据的读写分离和云数据库之间以及线下线上数据库之间的数据同步。 操作场景 RDS for SQL Server提供的发布功能，将当前实例作为发布实例，需要先为发布实例设置分发服务器，再创建发布，然后为已创建的发布添加订阅服务器，实现发布实例的数据通过分发服务器同步到订阅服务器。 图 拓扑图 约束限制 1个实例只能设置1个分发服务器，当前实例的所有发布均使用这个分发服务器。删除分发服务器会同时删除发布。 RDS for SQL Server Web版不能作为分发服务器和创建发布，但可以作为订阅服务器。 创建发布时，数据库名和发布名不能和已有的发布一致。 RDS for SQL Server仅支持事务发布。 添加其他订阅服务器时，远程用户要有sysadmin权限。 添加RDS for SQL Server订阅服务器时，一次性最多选择10个数据同步的链路。 如果实例已开启发布订阅功能，不支持修改该实例的内网IP和端口。 设置分发服务器 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 5 在左侧导航栏选择“发布订阅”。 步骤 6 在“发布”页签下，单击“设置分发服务器”。 步骤 7 在弹框中，选择当前实例或者其他实例作为发布服务器，勾选“我已了解上述信息”，单击“确定”。 步骤 8 查看已设置的分发服务器。

为保障实例的稳定及安全，建议您在操作前仔细阅读本文为您介绍的天翼云关系型数据库MySQL实例级别的使用规范。 数据库实例类型选择 主备： 一主一备、一主多备的经典高可用架构。适用于政企、金融、医疗等大中型企业的生产数据库。 备机提高了实例的可靠性，主机与备机同步创建，备机具备数据备份、灾备等功能。 当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 单机： 具有较高性价比，与主流的主备实例相比，单机只包含一个节点。 适用于个人学习、测试，及微小型公司的生产环境。 单机无灾备功能，出现故障后无法进行切换。 只读： 单机版只读实例，推荐开启数据库代理功能，并购买冗余的单机版只读实例。当单个只读故障后，数据库代理可以将流量分担到其他只读节点。 天翼云官方推荐两种架构，以供参考： 1. 主实例下包含2个及以下只读实例时，高可用只读作用比较好。 2. 两个以上只读实例，建议开启数据库代理，获得更好的性价比。 说明 更多实例类型信息，请参见实例类型。 数据库实例规格选择 主机类型：目前提供四种主机类型（可能出现部分主机类型售罄，导致主机类型不存在）如下表： 主机类型 类型说明 2系列 提供基本水平的vCPU性能、平衡的计算、内存和网络资源，在主机负载较轻时，可以提供较高的计算能力，在主机负载较重时无法保证实例计算性能的稳定，但是性价比更高。 适用于对成本比较敏感、对性能抖动容忍度较高的场景。 3系列 采用第一代英特尔® 至强® 可扩展处理器 （Sky Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套10GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如小型网站、轻量级研发测试环境、中小型数据库等。 6系列 采用第二代英特尔® 至强® 可扩展处理器 （Cascade Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如通用数据库及缓存服务器、中重载企业应用等。 7系列 采用第三代英特尔® 至强® 可扩展处理器 （Ice Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有更高性能要求的Web应用、电商平台、短视频平台、在线游戏、保险金融等各类中重载企业应用。 规格： 目前提供的CPU内存规格有：1C4G、2C4G、2C8G、2C16G、4C8G、4C16G、4C32G、8C16G、8C32G、8C64G、16C32G、16C64G、16C128G、32C64G（可能出现部分规格售罄，导致部分规格不存在）。

sectione521bd470e159d44) 详细介绍通过控制台将边缘函数绑定您的域名 在线开发、调试、发布边缘函数 详细介绍在控制台WEBIDE进行函数在线开发与发布上线 查看函数运行情况 详细介绍在控制台查看函数运行情况 边缘函数产品能力 边缘函数产品能力 说明 产品规格限制 介绍边缘函数使用过程中的规格限制 运行时能力 介绍边缘函数运行时API： Web标准能力：Web Standards 事件监听器：addEventListener、FetchEvent 编解码能力：Encoding 网络访问能力：Fetch 请求改写能力：Request 响应改写能力：Response 加解密能力：Web Crypto 示例代码 详细介绍多种场景下的函数示例代码和执行效果： 基本用法：返回HTML页面、返回JSON内容、HTTP路由器、发起网络请求获取远程资源 访问控制：边缘身份验证、UA黑白名单 防盗链：Referer防盗链、时间戳防盗链、热链保护 请求改写：HTTP头控制、修改请求、修改响应、请求聚合 重定向：URL重定向 加解密：HMACSHA256签名摘要 错误码帮助 介绍边缘函数错误码，方便您进行快速定位问题

此小节介绍企业主机安全其他类问题。 如何使用Windows远程桌面连接工具连接主机？ 操作步骤 1、在本地主机上选择“开始 > 运行”，输入命令mstsc ，打开Windows“远程桌面连接”工具。 2、单击“选项”，选择“本地资源”页签，在“本地设备和资源”区域中，勾选“剪贴板”，如图所示： 3、选择“常规”页签，在“计算机”中输入云服务器的弹性IP，在“用户名”中输入“Administrator”，单击“连接”，如图所示： 4、在弹出的对话框中，输入主机的用户密码，单击“确定”，连接至主机。 如何查看HSS的日志文件？ 日志路径 您需要根据主机的操作系统，查看日志文件。 操作系统 日志所在路径 日志文件 Linux /usr/local/hostguard/log/ hostwatch.log hostguard.log upgrade.log hostguardservice.log configtool.log engine.log Windows C:Program Files (x86)HostGuardlog hostwatch.log hostguard.log upgrade.log 日志保留周期 日志文件 日志描述 文件大小限制 路径下保留的文件 保留周期 hostwatch.log 记录守护进程运行时相关日志。 10 MB 保留8个最新的日志文件。 不超过文件大小限制，只要不卸载HSS Agent，会一直保留日志信息。 hostguard.log 记录工作进程运行时相关日志。 10 MB 保留8个最新的日志文件。 不超过文件大小限制，只要不卸载HSS Agent，会一直保留日志信息。 upgrade.log 记录版本升级时相关日志。 10 MB 保留8个最新的日志文件。 不超过文件大小限制，只要不卸载HSS Agent，会一直保留日志信息。 hostguardservice.log 记录服务启动时相关日志（脚本）。 100 kB 保留2个最新的日志文件。 不超过文件大小限制，只要不卸载HSS Agent，会一直保留日志信息。 configtool.log 记录服务启动时相关日志（程序）。 10 kB 保留2个最新的日志文件。 不超过文件大小限制，只要不卸载HSS Agent，会一直保留日志信息。 engine.log 记录服务退出时相关日志。 10 kB 保留2个最新的日志文件。 不超过文件大小限制，只要不卸载HSS Agent，会一直保留日志信息。 如何开启登录失败日志开关？

本节为您介绍迁移完成后MySQL业务启动与数据核验的相关步骤。 源机绑定目标机 1. 进入云主机控制台，选择目标端云主机，点击远程登陆。 2. 输入账号密码，检查账号密码等软件配置均和源机一致。 3. 检查目标机磁盘空间使用率是否与源机基本一致。 注意：迁移工具会自动将磁盘中的碎文件进行重新写入和重组，因此磁盘的占用大小将略低于源机，而迁移后的文件大小总量是同源机一致的。 执行命令：df TH 4. 查看数据库服务状态，如果数据库为关闭状态则开启数据库。 启动数据库：systemctl start mysqld 5. 检查增量数据是否同步。 登录并查看源端数据库中的数据情况，table1表中的记录数为6769000条。 登录并查看目标机启动的数据库，查看数据库中的数据情况，table1表中的记录数为6769000条，与源机相同。 6. 检查数据库版本是否一致。 检查源机数据库系统版本： 检查目标机数据库系统版本，同源机一致： 7. 检查操作系统版本是否一致。 检查源机操作系统版本： 检查目标机操作系统版本，同源机一致： 8. 检查数据库文件总数是否一致。 检查源机Mysql数据库所在挂载点的文件总数: 检查目标机Mysql数据库所在挂载点的文件总数,同源机一致:

天翼云为您提供对象存储服务等级协议,请您点击查看。 自2021年11月11日起，新版对象存储服务等级协议生效，详情请参见这里。 中国电信天翼对象存储系统服务等级协议 历史版本（2012年11月10日）

Kafka作为一款热门的消息队列中间件，具备高效可靠的消息异步传递机制，主要用于不同系统间的数据交流和传递，在企业解决方案、金融支付、电信、电子商务、社交、即时通信、视频、物联网、车联网等众多领域都有广泛应用。 异步通信 将业务中属于非核心或不重要的流程部分，使用消息异步通知的方式发给目标系统，这样主业务流程无需同步等待其他系统的处理结果，从而达到系统快速响应的目的。 如网站的用户注册场景，在用户注册成功后，还需要发送注册邮件与注册短信，这两个流程使用Kafka消息服务通知邮件发送系统与短信发送系统，从而提升注册流程的响应速度。 图 串行发送注册邮件与短信流程 图 借助消息队列异步发送注册邮件与短信流程 错峰流控与流量削峰 在电子商务系统或大型网站中，上下游系统处理能力存在差异，处理能力高的上游系统的突发流量可能会对处理能力低的某些下游系统造成冲击，需要提高系统的可用性的同时降低系统实现的复杂性。电商大促销等流量洪流突然来袭时，可以通过队列服务堆积缓存订单等信息，在下游系统有能力处理消息的时候再处理，避免下游订阅系统因突发流量崩溃。消息队列提供亿级消息堆积能力，3天的默认保留时长，消息消费系统可以错峰进行消息处理。 另外，在商品秒杀、抢购等流量短时间内暴增场景中，为了防止后端应用被压垮，可在前后端系统间使用Kafka消息队列传递请求。 图 消息队列应对秒杀大流量场景 日志同步 在大型业务系统设计中，为了快速定位问题，全链路追踪日志，以及故障及时预警监控，通常需要将各系统应用的日志集中分析处理。 Kafka设计初衷就是为了应对大量日志传输场景，应用通过可靠异步方式将日志消息同步到消息服务，再通过其他组件对日志做实时或离线分析，也可用于关键日志信息收集进行应用监控。 日志同步主要有三个关键部分：日志采集客户端，Kafka消息队列以及后端的日志处理应用。 1. 日志采集客户端，负责用户各类应用服务的日志数据采集，以消息方式将日志“批量”“异步”发送Kafka客户端。 Kafka客户端批量提交和压缩消息，对应用服务的性能影响非常小。 2. Kafka将日志存储在消息文件中，提供持久化。 3. 日志处理应用，如Logstash，订阅并消费Kafka中的日志消息，最终供文件搜索服务检索日志，或者由Kafka将消息传递给Hadoop等其他大数据应用系统化存储与分析。 图 日志同步示意图 上图中Logstash、ElasticSearch分别为日志分析和检索的开源工具，Hadoop表示大数据分析系统。