本文向您介绍如何创建企业版VPN网关。 场景描述 如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，创建VPN连接之前，需要创建VPN网关。 背景信息 根据对端网关IP地址个数不同，推荐的组网方式如下表所示。 表组网方式 对端网关IP个数 推荐组网 说明 1 VPN网关推荐使用双活模式，该场景占用1个VPN连接组配额。 2 VPN网关推荐使用主备模式，该场景占用2个VPN连接组配额。 如果用户数据中心仅有一个对端网关，且对端网关只能配置一个IP地址，VPN网关推荐使用双活模式，主EIP、主EIP2各创建一条VPN连接，对接同一个对端网关的同一个IP地址。该场景下仅占用一个VPN连接组配额。 如果用户数据中心存在两个对端网关，或一个对端网关可以配置两个IP地址，VPN网关推荐使用主备模式，主EIP、备EIP各创建一条VPN连接，对接到对端网关的不同IP地址。该场景下占用两个VPN连接组配额。 约束与限制 非国密型网关不支持变更为国密型网关。 关联企业路由器场景下，需要关注企业路由器的路由表条数规格限制。 前提条件 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见《虚拟私有云用户指南》。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见《虚拟私有云用户指南》。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见《企业路由器ER用户指南》。

本文介绍RDSPostgreSQL安全白皮书内容。 关系数据库PostgreSQL版（以下简称RDSPostgreSQL）是天翼云为用户打造的一款安全可信赖的数据库产品。 为了保障用户数据安全，高效支撑客户业务运行，天翼云禁止非客户授权人员操作用户实例与数据，禁止运维人员未经授权接入用户实例，禁止任何人非法处理客户数据。 另外，RDSPostgreSQL支持包括VPC、安全组、自动备份和跨可用区部署在内的多种特性，帮助用户更好管理数据，保障用户数据安全。 网络隔离 VPC（Virtual Private Cloud，即虚拟私有云）是一种运行在公有云上，专为某个用户私有使用的资源集合。在天翼云上，用户开通的RDSPostgreSQL实例运行在独立的VPC内，可以通过配置VPC控制连接数据库的IP地址段，量身定制网络访问策略。在网络层面，VPC配合安全组，用户即可便捷实现RDSPostgreSQL实例的网络隔离，从而保障RDSPostgreSQL实例的高安全性。 数据隔离 RDSPostgreSQL实例存储的所有数据都是以用户维度来分配和管理的，不同用户之间的数据相互独立、资源隔离，不会受到彼此的干扰与影响。另外，多可用区部署更提升了用户数据安全性。 访问控制 用户创建RDSPostgreSQL实例时，系统会默认会为用户分配一个独享的数据库主账户，该账户允许用户操作其所创建的数据库，且账户密码只能由用户保存，保障用户数据仅供用户本身访问。另外，用户还可以根据自身业务需要，创建其他权限的账户，从而实现权限分离。用户还可以通过安全组设置RDSPostgreSQL实例的出入访问策略，控制实例的网络访问范围。

本文介绍了关系数据库MySQL版的关键配置参数信息，合理的参数可以发挥数据库MySQL最大的性能，不合适的参数值可能会影响业务运行。 本文只列举了一些重要参数说明，如需要查看更多参数详细说明，请参见 MySQL官网 。通过控制台界面修改MySQL参数值，请参见 修改参数组。 修改敏感参数 若干参数相关说明如下： lowercasetablenames 云数据库默认值："1" 作用 ：mysql设置大小写是否敏感的一个参数。默认值"1"，表示创建数据库及表时，存储在磁盘是小写的，比较的时候是不区分大小写。 目前关系数据库MySQL版仅支持lowercasetablenames1，不区分大小写，后续将推出支持区分大小写功能，请关注产品动态。 innodbflushlogattrxcommit 云数据库默认值： " 1" 作用 ：该参数控制提交操作安全和高性能之间的平衡。设置为默认值"1"，每次事务提交时，将log buffer的数据写入到log file中，并且同时将log file向磁盘中写入 ；当设为"0"时，每秒将写入log buffer到log file中，且同时将log file向磁盘中写入 （该模式下在事务提交的时候，不会主动触发写入磁盘的操作）；如果设为"2"，则每次事务提交时 将log buffer的数据 写入到log file中，大约每秒将log file向磁盘中写入，与log buffer写入不同步 。 影响 ：参数设置为非默认值"1"时，降低了数据安全性，在系统崩溃的情况下，可能导致数据丢失。设置为"0"时，写入速度快，但是不安全，如果mysqld进程崩溃，导致上一秒的所有事务中的操作数据丢失。设置为"1"时，写入速度最慢，但是安全，即使mysqld进程崩溃或者服务主机宕机，log可能最多只丢失一个语句或者一个事务的操作数据。设置为"2" 时，写入速度快，比 "0" 安全，只有服务主机宕机时，会导致上一秒的所有事务中的操作数据丢失。 POC建议值："2" syncbinlog 云数据库默认值："1" 作用 ：该参数控制MySQL 的二进制日志（binary log）同步到磁盘的频率，取值：0N。设置为默认值"1"，表示每进行1次事务提交之后，MySQL将进行一次fsync之类的磁盘同步指令来将binlogcache中的数据强制写入磁盘，是最安全的设置；设置为"0"时，表示当事务提交之后，MySQL不做fsync之类的磁盘同步指令刷新binlogcache中的信息到磁盘，而让Filesystem自行决定什么时候来做同步，或者cache满了之后才同步到磁盘。此时的性能最好，但风险也是最大，因为断电或操作系统崩溃情况下，在binlogcache中的所有binlog信息都会被丢失。 影响 ：参数设置为非默认值"1"时，降低了数据安全性，在系统崩溃的情况下，可能导致binlog丢失。 POC 建议值 ："1000" innodbbufferpoolsize 云数据库默认值 ： "规格参数，开通的不同实例规格默认值不同"。 作用 ：该参数定义了 InnoDB 存储引擎的表数据和索引数据的最大内存缓冲区大小，数据在内存中的读写速度是磁盘读写速度的很多倍，增加该值可减少磁盘I/O。 影响：过大的buffer pool可能导致系统OOM崩溃，请谨慎修改。 POC建议值：32G及以上规格可将其调整至内存的70%~75%。

参数名称 说明 计费模式 WAF独享引擎实例支持按需和包年包月计费，实例从创建成功开始计费到删除实例时结束计费，按实际使用时长（精确到秒）计费。 区域 原则上，在任何一个区域申请的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在申请WAF时，根据防护业务的所在区域就近选择申请的WAF区域。 可用区 选择区域中的可用区。 WAF实例名称前缀 设置WAF实例名称前缀，申请多个实例时，实例前缀名称相同。 WAF实例数量 设置申请的WAF实例个数。 WAF实例规格 选择实例的规格。WAF支持500Mbit/s和100Mbit/s两种规格。 CPU架构 选择实例的CPU架构。 CPU规格 选择实例的CPU规格。 预计最终规格 吞吐量的性能参考值。 虚拟私有云 Web应用防火墙（独享版）需要配合VPC使用，购买时选择被防护源站所在的VPC即可。 业务网卡 选择VPC中已配置的子网。 安全组 选择区域中已有的安全组，或者单击“管理安全组”，跳转到VPC管理控制台创建新的安全组。选择安全组后，该实例将受到该安全组访问规则的保护。 安全组建议配置以下访问规则： 入方向规则：根据业务需求添加指定端口入方向规则，放通指定端口入方向网络流量。例如，需要放通“80”端口时，您可以添加“策略”为“允许”的“TCP”、“80”协议端口规则。 出方向规则：默认。放通全部出方向网络流量。 如果WAF独享引擎实例与源站不在同一个VPC中，需要在安全组中设置实例与源站的子网互通。

镜像服务广泛应用于多种场景,本文带您更快了解镜像服务经典应用场景。 部署特定软件环境 适用场景 使用共享镜像、私有镜像都能帮助快速搭建特定的软件环境，免去了自行配置环境、安装软件等繁琐且耗时的工作，并能满足建站、应用开发、可视化管理等多种个性化需求，让弹性云主机“即开即用”，省时方便。 场景痛点 通常情况下，用户安装操作系统后，系统内没有安装一些常用的软件或配置，手动安装配置相当繁琐。当需要批量部署软件环境时，更是需要一个个去配置，相当费时费力。 推荐配置及架构 弹性云主机、物理机、镜像服务 产品优势 操作便捷：根据用户需求，用户可选取需要的镜像即可运行需要的环境，不再需要人工安装操作系统后再一个个部署需要的环境，对用户的时间和专业能力均没有要求。 安全稳定：天翼云提供的公共镜像皆已经过严格测试，能够保证镜像安全、稳定，保障用户业务的稳定不间断运行。 选择灵活：用户除了可以选择官方提供的公共镜像外，如果用户有特殊的需求，也可以根据自己的需求自己制作私有镜像上传，或者通过其他用户分享给自己使用。 云主机重装系统

支持将大模型客户端识别检测到的恶意进程进行实时阻断，防止恶意软件继续执行其恶意行为，如窃取数据或损坏系统。

主要功能 云容器引擎支持对容器应用的全生命周期管理，具有以下功能： 集群管理 通过控制台一键创建Kubernetes集群，支持跨可用区高可用。 一站式容器管理 容器应用全生命周期管理。 高性能容器隧道网络、VPC网络等容器网络。 云硬盘EBS、弹性文件存储SFS、对象存储OBS等持久化存储支持。 资源、应用、容器多维度监控。 基于角色的权限管理和容器运行时安全。 应用市场内容 对接容器镜像服务SWR，支持自定义镜像和共享镜像。

本文为您介绍分布式消息服务MQTT的产品优势。 分布式消息服务MQTT（Message Queuing Telemetry Transport）是一种轻量级的、发布/订阅模式的消息传递协议，通常用于分布式消息服务和物联网（IoT）应用。以下是MQTT的一些优势： 轻量级协议： MQTT是一种非常轻量级的协议，适用于各种网络环境，包括低带宽、高延迟或不稳定的网络。这使得它非常适合在IoT设备之间传递消息，因为这些设备通常有限的资源和能源。 发布/订阅模式： MQTT采用发布/订阅模式，允许客户端订阅感兴趣的主题，以接收与这些主题相关的消息。这种模式具有灵活性，能够支持多对多的通信，而不需要直接点对点的连接。 异步通信： MQTT允许异步通信，客户端可以发布消息而不必等待接收方的响应。这有助于提高系统的响应速度和吞吐量。 保留消息： MQTT支持保留消息，这意味着最新的消息可以保留在主题中，以便新订阅者可以立即获取到最新数据，而不必等待下一个消息发布。 服务质量（QoS）： MQTT允许设置不同级别的服务质量，从不保证消息送达（QoS 0）到确保消息送达且不重复传递（QoS 2）。这使得可以根据应用的需求选择适当的传递质量。 可伸缩性： MQTT协议可以在大规模分布式系统中轻松扩展，支持成千上万的客户端同时连接到Broker，使其适用于大型IoT解决方案。 消息过滤： MQTT支持使用通配符来订阅主题，这允许客户端根据特定模式匹配多个主题，以接收相关消息。 支持遗愿消息： MQTT支持遗愿消息（Will Messages），允许客户端指定在异常断开连接时发送一条预定义消息。这对于检测设备在线状态非常有用。 跨平台和多语言支持： MQTT具有广泛的跨平台和多语言支持，因此可以在各种设备和编程语言上使用，使得它非常灵活。 安全性： MQTT可以与安全机制（如TLS/SSL）结合使用，确保消息在传输过程中的安全性和隐私。 总的来说，MQTT是一种高效、灵活和可靠的协议，特别适用于分布式消息传递和IoT应用，因此在物联网、远程监控、实时通信等领域得到广泛应用。它的轻量级特性和异步通信使得它成为连接数众多的设备的理想选择。

设置应用控制策略后，业务云主机访问互联网需要对防火墙分配弹性IP地址。本小节介绍安全专区源地址转换方法。 配置方法： 点击【策略】→【地址转换】→【IPV4地址转换】→【新增】→【源地址转换】，进行相关策略配置。 原始数据包 源区域：选择“L3untrustA”； 网络对象：勾选区域，填写需要访问互联网的业务云主机对象； 目的区域/接口：选择“L3untrustA”； 网络对象：全部互联网对象。 转换后数据包 源地址转换为：指定IP； IP地址：eth0地址（与绑定弹性公网IP对应的私有地址）。

本文介绍OCSP装订（OCSP Stapling）功能的使用方法。 功能介绍 OCSP（Online Certificate Status Protocol，在线证书状态协议），是由数字证书颁发机构CA（Certificate Authority）提供的一个在线证书查询接口，它建立一个可实时响应的机制，客户端发送查询证书请求到CA服务器，然后CA服务器实时响应验证证书是否合法有效。 客户端会在TLS握手时去实时查询OCSP接口，并在获得查询结果前会阻塞后续流程，在网络不佳时会造成较长时间的页面空白，降低了HTTPS性能，严重影响用户体验。 开启OCSP装订（OCSP Stapling）功能后，由全站加速进行OCSP信息查询并将查询结果缓存到服务器中。当客户端向服务器发起TLS握手请求时，全站加速服务器将证书的OCSP信息和证书一起发送到客户端，供用户验证，无需用户再向数字证书认证机构（CA）发送查询请求。极大地提高了TLS握手效率，提升了HTTPS性能。 由于OCSP响应是无法伪造的，因此这一过程也不会产生额外的安全问题。 适用场景 开启HTTPS功能后希望提升TLS握手效率，提升HTTPS性能，使网站访问速度更快，用户体验更好。 注意事项 1. 使用OCSP Stapling功能前需先勾选【请求协议】中的【HTTPS】。 2. OCSP Stapling功能默认关闭。 3. OCSP Stapling功能默认缓存1个小时，缓存过期后第一个访问请求OCSP Stapling不生效。 4. 客户端需支持OCSP扩展字段，如果客户端不支持OCSP扩展字段，则该功能无法生效。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的国际标准证书、国密证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加对应证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。 6. 打开【OCSP Stapling】功能，配置完毕单击【保存】。

本章节介绍云原生网关的审计日志功能 概述 您可以在云原生网关控制台上查看审计日志。如果当前帐号为主帐号，则可以查询当前帐号及其所有子账号在控制台上的操作日志；如果当前帐号为某个主账号下的子账号，则可以查询该子账号在控制台的操作日志。审计日志用于收集云原生网关实例的相关操作日志，记录资源的变动情况。其中资源主要包括实例、安全认证、路由、服务、服务来源、插件、应用管理、域名、ELB和观测分析。变动情况包括增加、删除和修改。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表。 3. 在左侧导航栏，选择审计日志。 4. 可选择开始结束时间，资源类型，操作类型，操作人，操作详情进行过滤。

本章节主要介绍云服务备份产品的优势。 可靠 支持云主机多盘一致性备份，数据库服务器应用一致性备份，使您的数据更加安全可靠。 高效 永久增量备份，缩短95%备份时长。即时恢复，RPO最小为1小时，RTO可达分钟级。 说明 RPO（Recovery Point Objective）：最多可能丢失数据的时长。 RTO（Recovery Time Objective）：从灾难发生到整个系统恢复正常所需要的最大时长。 简单 操作简单，3步完成备份配置，无需具备专业的备份软件技能。相比传统备份系统，使用更简单。 安全 加密盘的备份数据自动加密，保证数据安全。

天翼云提供的公共镜像能否直接下载到本地，怎么操作？ 暂不支持直接下载公共镜像，您可以先通过公共镜像创建云主机，再将云主机制作为私有镜像，然后导出私有镜像至个人对象存储桶，再下载至本地。 参考链接如下： 跨账号同区域迁移云主机（迁移系统盘）或跨账号同区域迁移云硬盘（迁移数据盘） 导出镜像。 镜像为什么没有“导出”按钮 ？ 在镜像列表页面，有些镜像不支持导出功能，因此在“操作”列没有提供“导出”按钮。以下镜像不支持导出功能： 公共镜像 整机镜像 ISO镜像 安全产品镜像

本文介绍容器集群网络规划最佳实践。 在创建云容器引擎集群时，您需要指定虚拟私有云VPC、子网、Pod CIDR和Service CIDR。因此建议您提前规划Worker节点地址、Pod地址和Service地址。本文将介绍云容器引擎下的网络规划的规则与策略。 各网段说明 虚拟私有云VPC：提供一个逻辑隔离的区域，构建一个安全可靠、可配置和管理的虚拟网络环境。可创建子网、设置安全组。VPC和子网需要提前在VPC的创建界面创建好，之后创建云容器引擎集群时，为集群指定VPC和子网。Worker节点的内网IP，最终为子网下的一个IP地址。 Pod CIDR：Pod是Kubernetes层的容器资源，每个Pod都具有一个容器网络IP地址。创建云容器引擎集群时可以指定Pod CIDR。 Service CIDR：Service是Kubernetes的网络资源，每个Service具有一个IP地址。创建云容器引擎集群时可以指定Service CIDR。 约束与限制 当前云容器引擎采用Calico和Flannel两种网络插件，所涉及的三个网段：虚拟私有云VPC的网段、Pod CIDR所在网段，以及Service CIDR所在网段，不可重复。 网络规划 场景 1 ： 单 VPC+ 单集群 这是最简单的场景，VPC和子网网段在创建时已明确，需要确认Pod CIDR、Service CIDR互不重叠，且和VPC不冲突即可。 场景 2 ： 单 VPC+ 多集群 VPC和子网网段在创建时已确定，不同集群可根据用户自己的网络规划，放置在同一个子网或者多个子网里。 多个集群之间Pod CIDR不可以重叠，但是Service CIDR可以重叠。

弹性负载均衡产品支持查看后端云主机,本文帮助您快速熟悉查看后端云主机的方法。 操作场景 天翼云弹性负载均衡支持已添加的后端云主机详情及其状态。还支持查看特定云主机相关的弹性网卡、云硬盘、安全组、弹性IP等信息。 前提条件 您已经创建了云主机，并添加云主机到特定的负载均衡监听器上，且后端云主机处于“运行中”状态。 操作步骤 1. 登录天翼云控制中心。 2. 选择“网络>弹性负载均衡>负载均衡器”。 3. 单击已创建的负载均衡器实例名称。 4. 在该负载均衡详情界面，选择“后端主机组”标签。 5. 选定特定的后端主机组，在云主机列表中可查看已添加的后端云主机。 6. 点击特定的云主机的名称，即可查看改云主机详情。

以旗舰版为例,风险发现模块主要包含安全补丁、漏洞检测、弱密码、应用风险、系统风险和账号风险六大功能。 通用功能介绍 下面以安全补丁界面为例，进行通用功能介绍，各功能详情，请登录服务器安全卫士控制台进行查看。 1.视图转按钮：包括资产视图、主机视图。点击 按钮，可切换至“主机视图”； 2.条件筛选框 3.状态统计图按钮：点击 按钮，收起/展开统计图区域； 4.检查/导出按钮 立即检查：对单独项目进行扫描；导出：导出单项检查结果； 5.更多设置按钮：点击 按钮，显示全部； 6.排序按钮：鼠标移入列名，点击按钮对数据进行排序，点击 按升序排列， 按降序排列； 设置显示列按钮：点击 ，可设置显示列，控制列表中的数据显示/隐藏。

本文为您介绍手工搭建Ghost博客(Ubuntu 20.04)的最佳实践。 Ghost是基于Node.js开发的一款免费的非常出色的开源博客平台，具有即时预览、极致简约、支持多用户等特性，本文将指导用户在Ubuntu20.04操作系统上的云主机实例上部署Ghost博客。 前置条件 使用本文的操作步骤，弹性云主机实例必须满足以下前置： 实例需要分配公网IP或绑定弹性公网IP。 操作系统：Ubuntu 16.04、Ubuntu 18.04、Ubuntu 20.04、Ubuntu 22.04。 实例所在的安全组入方向安全规则放行22、80、4423、2368端口。 创建新用户 由于Ghost官方不推荐使用root用户直接进行操作。因此需要重新创建新的用户，并且为其配置权限。 1. 执行以下命令，创建新用户。 以创建test用户为例子。 plaintext adduser test 具体配置如下： plaintext root@ecm2d20Ghost:~ adduser test Adding user test' ... Adding new group test' (1000) ... Adding new user test' (1000) with group test' ... Creating home directory /home/test' ... Copying files from /etc/skel' ... New password: Retype new password: passwd: password updated successfully Changing the user information for test Enter the new value, or press ENTER for the default Full Name []: Room Number []: Work Phone []: Home Phone []: Other []: Is the information correct? [Y/n] y 2. 执行以下命令，将新创建的用户添加到组。 plaintext usermod a G sudo test 3. 执行以下命令，切换到test用户。 plaintext su test

本节介绍了在移动设备上登录Windows云主机的操作场景、前提条件、操作步骤。 操作场景 本节操作以“Windows Server 2012 R2 数据中心版 64位”操作系统为例，介绍如何通过Microsoft Remote Desktop客户端登录Windows实例。 前提条件 云主机状态为“运行中”。 已获取Windows云主机用户名和密码。 云主机已经绑定弹性IP，绑定方式请参见绑定弹性公网IP。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 移动设备已安装Microsoft Remote Desktop。 操作步骤 1. 启动RD Client。 2. 在“Remote Desktop”页面右上角，单击图标，选择“Desktop”。 图 Remote Desktop 3. 在“Add desktop”页面，设置登录信息后，单击“SAVE”。 − PC name：输入需要登录的Windows实例的弹性公网IP地址。 − 按以下步骤设置“User name”： i. 单击“User name”，在下拉列表中选择“Add user account”。 弹出“Add user account”对话框。 ii. 输入Windows实例帐号“administrator”，并输入实例的登录密码，单击“SAVE”。 图 输入登录信息 图 保存填写的登录信息 4. 在“Remote Desktop”页面，单击需要登录的Windows实例图标。 图 登录Windows实例 5. 确认信息后，单击“CONNECT”。 图 CONNECT 至此，您已经登录Windows实例。 图 登录成功

添加域名组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全 > 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制 > 对象组管理”，进入“对象组管理”界面。 5. （可选）如果添加网络域名组，则选择“网络域名组”页签。 6. 切换至“域名组”页签，单击“添加域名组”，弹出“添加域名组”，填写参数如下所示。 参数名称 参数说明 域名组类型 应用型/网络型 域名组名称 自定义域名组名称。 描述 （可选）设置该域名组的备注信息。 域名 输入域名，规则如下： 支持多级别单域名（例如，一级域名example.com，二级域名www.example.com等）和泛域名（例如，.example.com）。 多个域名以英文逗号、英文分号、换行符、空格分隔。 说明 输入的域名请勿重复。 添加域名组中域名 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 切换至“域名组”页签，单击添加的域名组名称。弹出“域名组”弹窗。 6. 单击“添加域名”，弹出“添加域名”对话框，填写域名信息。 单击添加可添加多个域名。 7. 确认无误后，单击“确认”，完成添加。

参数名 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b securityGroupIDList 是 Array of Strings 安全组ID列表，非多可用区资源池不使用该参数，其安全组参数在弹性伸缩配置中填写 ['sgnd1h63d2j8'] recoveryMode 是 Integer 实例回收模式。取值范围：1：释放模式。 1 name 是 String 伸缩组名称 asgroup901f healthMode 是 Integer 健康检查方式。取值范围： 1：云主机健康检查。2：弹性负载均衡健康检查。 1 mazInfo 否 Array of Objects 【Deprecated】多可用区资源池的实例可用区及子网信息。mazInfo和subnetIDList参数互斥，如果资源池为多可用区时使用mazInfo则不传subnetIDList参数 mazInfo subnetIDList 否 Array of Strings 子网ID列表。支持一主多辅，最大支持输入5个网卡信息，顺序第一个网卡信息默认主网卡。mazInfo和subnetIDList参数互斥。 ['a8ffac57354b41afb85353b5cded4957'] moveOutStrategy 是 Integer 实例移出策略。取值范围：1：较早创建的配置较早创建的云主机。2：较晚创建的配置较晚创建的云主机。3：较早创建的云主机。4：较晚创建的云主机。 1 useLb 是 Integer 是否使用负载均衡。取值范围： 1：是 。 2：否。 2 vpcID 是 String 虚拟私有云ID vpc0wvmt7gh02 minCount 是 Integer 最小云主机数，取值范围：[0,50] 0 maxCount 是 Integer 最大云主机数，取值范围：[minCount,2147483647] 50 expectedCount 否 Integer 期望云主机数，取值范围：[minCount,maxCount]，非多可用区资源池不支持该参数 0 healthPeriod 是 Integer 健康检查时间间隔（周期），单位：秒，取值范围：[300,10080] 300 lbList 否 Array of Objects 负载均衡列表，useLb1时必填 lbList projectID 否 String 企业项目ID 0 configID 否 Integer 【Deprecated】伸缩配置ID 375 configList 否 Array of Integers 伸缩配置ID列表，最大支持传入10个伸缩配置。按输入伸缩配置的顺序，决定伸缩配置优先级。注意：该参数与configID不可同时传入，请尽量选择本参数。 [375] azStrategy 否 Integer 扩容策略类型，仅多可用区资源池支持，多可用区资源池必填。取值范围：1：均衡分布。 2：优先级分布。 1

本章介绍主机迁移服务与其他云服务的关系。 主机迁移服务SMS与其他服务的关系参见下表。 相关服务 交互功能 位置 弹性云主机（Elastic Cloud Server，ECS） 将源端服务器的系统、应用和文件等数据迁移到天翼云弹性云主机。 创建云主机 弹性IP（Elastic IP，EIP） 创建迁移任务过程中支持采用公网迁移，要求目的端服务器配置有“弹性IP”。 申请弹性IP 虚拟私有云（Virtual Private Cloud，VPC） 在创建迁移任务前，通过虚拟私有云设置您目的端弹性云服务器所在VPC的安全组。 创建虚拟私有云 云硬盘服务（Elastic Volume Service，EVS） 迁移任务创建并启动后，主机迁移服务会创建一块临时按需计费EVS卷，迁移完成删除该临时卷。 云硬盘规格和价格 云审计服务（Cloud Trace Service，CTS） 通过云审计服务收集主机迁移服务操作记录，便于日后的查询、审计和回溯。 开通云审计服务

配置方法： 1.登录云数据库审计系统平台部署方式（登录方式请参考访问安全组件）。 2.设置Agent引流操作，点击【部署方式】，勾选部署方式的“Agent引流”并保存。

本文向您介绍如何为企业版VPN连接创建健康检查。 场景描述 VPN连接创建完成后，添加健康检查可以配置VPN网关向对端网关发送监测报文，统计链路往返时延和丢包率，用于检测连接的质量。云监控服务提供对VPN连接链路往返时延和丢包率的监控指标，详情请参见本指南“监控”。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN连接”。 3. 在“VPN连接”界面，单击目标VPN连接名称，在“基本信息 > 健康检查”区域单击“添加”。 4. 在“添加健康检查”界面，单击“确定”。

本章节主要介绍数据治理中心的配置HBase连接功能。 目前CDM支持连接的HBase数据源有以下几种： MRS HBase FusionInsight HBase Apache HBase MRS HBase 连接MRS上的HBase数据源时，相关参数如下表所示。 说明 新建MRS连接前，需在MRS中添加一个kerberos认证用户并登录MRS管理页面更新其初始密码，然后使用该新建用户创建MRS连接。 如需连接MRS 2.x版本的集群，请先创建2.x版本的CDM集群。CDM 1.8.x版本的集群无法连接MRS 2.x版本的集群。 需确保MRS集群和DataArts Studio实例之间网络互通，网络互通需满足如下条件： DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，MRS集群可以访问公网且防火墙规则已开放连接端口。 DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见 Type Ⅰ）> 添加路由信息”章节，配置安全组规则请参见《虚拟 > 添加安全组规则”章节。 此外，还需确保该MRS集群与DataArts Studio工作空间所属的企业项目相同，如果不同，您需要修改工作空间的企业项目。 详见下表：MRS上的HBase连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrshbaselink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE HBase版本 HBase版本。 HBASE2X 运行模式 “HBASE2X”版本支持该参数。选择HBase连接的运行模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式。 说明 ：STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 STANDALONE 是否使用集群配置 您可以通过使用集群配置，简化Hadoop连接参数配置。 否 集群配置名 仅当“是否使用集群配置”为“是”时，此参数有效。此参数用于选择用户已经创建好的集群配置。 hbase01 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。

本小节介绍公网IP如何增强DDoS防护能力。 IP 如何提升DDoS防护能力？ 若您的公网 IP 频繁遭遇 DDoS 攻击，持续超出 DDoS 基础防护阈值并触发平台防护封堵，可通过以下两种方式强化 DDoS 安全防护能力，降低再次被封堵的风险： 一、购买并配置 DDoS 高防产品（推荐） 天翼云和第三方合规厂商均提供有DDoS高防产品，一般可提供高防IP隐藏业务IP、大流量攻击防护和攻击源分析能力，您可选择天翼云或其他第三方DDoS高防产品防护自身在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。 业务 IP 接入高防防护后，将由高防 IP 替代其暴露在公网，攻击者仅能针对高防 IP 发起攻击；攻击流量会在高防资源池完成清洗过滤，仅正常业务流量回注至您的业务 IP，该流量通常不会超出 IP 的DDoS防护阈值，可有效避免触发 DDoS封堵。 同时请注意：若业务IP历史存在攻击，可能已被攻击者获知，即使配置DDoS高防，攻击者有可能绕过高防IP对业务IP直接发起攻击，若攻击流量过大，仍会超过DDoS防护阈值，触发封禁，因此建议在配置高防的同时，同步更换业务IP并限制仅能被高防IP访问，实现业务IP隐藏。具体购买和配置请咨询DDoS高防产品对应产品厂商。 二、配置安全组（仅特定业务场景适用） 在绑定公网 IP 的云主机上配置安全组策略，仅允许指定 IP 和端口访问业务 IP，可在公网层面实现 IP 隐藏。该方式仅适用于无需对公网全面开放的业务（如组织内部跨公网访问场景），绝大多数面向公网的业务不适用此方案。 重要提示：若原业务 IP 已被攻击者获知，即便配置安全组使攻击者无法探活，仍可能遭受盲目攻击；攻击流量直达 IP 所在网络后，若流量超出基础防护阈值，依然会触发DDoS封堵。因此建议配置安全组的同时，同步更换业务 IP。

本文介绍如何安全加速操作类问题。 如何判断安全加速配置生效？如何判断安全加速配置生效？ 可ping、dig所添加的域名，若转向到.ctcdn.com，即说明配置成功，安全加速生效。 使用天翼云安全加速后，需要对部分恶意IP进行屏蔽，以保护站点数据和流量负载，可以通过控制台进行自助配置吗？ 天翼云安全加速可以通过配置黑名单的方式限制IP访问，以及各种方式的访问控制和限速功能都可以在控制台进行自助配置。 天翼云安全加速目前支持哪些防盗链实现方法，可以通过控制台进行自助配置吗？ 天翼云安全加速目前支持的防盗链有请求头信息（referer信息、用户IP信息、cookie信息、UserAgent信息等）防盗链，可以根据用户需求在控制台进行配置。

客户域名可能会因为恶意攻击、网站恶意盗刷等各种恶意访问行为产生突发流量或带宽，进而在CDN产生超出日常正常加速的服务费用。本文侧重介绍如何避免因恶意攻击带来的高额账单风险。 客户域名被恶意盗刷行为产生突发流量或带宽，这种恶意访问会带来高额账单的潜在风险。 注意 客户流量被恶意盗刷而产生突发带宽增高的时候，因为实际消耗了CDN的带宽资源，所以您需要自行承担攻击产生的流量带宽费用。 在攻击行为发生的时候，实际消耗了CDN的带宽资源，因此您需要自行承担攻击产生的流量带宽费用。 应对方法 方法一：设置可用额度预警 通过对客户在天翼云官网账户的可用额度预警进行设置，当用户的余额低于阈值，系统会发送短信提醒。 操作步骤： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。

日志采集 日志采集是指用户主动采集HBlock日志数据，生成日志文件后下载到本地查看日志详细内容，以便排查故障。可以通过指定时间段、日志类型和服务器，缩小日志采集范围加快采集进度。 告警 告警指系统检测到HBlock业务或系统异常时产生的信息。 告警分为三个级别： 警告（Warning）：指一般性的，系统检测到潜在的或即将发生的影响业务的故障，当前还没有影响业务的告警。维护人员需及时查找告警原因，消除故障隐患。 重要（Major）：指局部范围内的、对系统性能造成影响的告警。需要尽快处理，否则会影响重要功能运行。 严重（Critical）：指带有全局性的、已经造成业务中断，或者会导致瘫痪的告警。需立即处理，否则系统有崩溃危险。 告警列表详见告警列表。

操作场景 在本节中，我们将介绍如何通过Windows操作系统中的远程桌面连接（MSTSC方式）登录到Windows弹性云主机，您可以方便地访问和管理弹性云主机的操作系统界面，以进行远程操作和配置。 前提条件 Windows云主机处于“运行中”状态。 已获得Windows云主机的用户名和密码。如果忘记密码，须重置云主机密码，请参考在控制台重置弹性云主机密码。 Windows云主机所在安全组的入方向已开放3389端口。 Windows防火墙未开启或开启后放通3389端口。 登录工具与Windows云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Windows云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 Windows云主机已开启远程桌面协议RDP。 操作步骤 1. 在本地Windows主机的开始菜单中，点击"开始"按钮。 2. 在“搜索程序和文件”中，输入“mstsc”并点击打开远程桌面连接工具。 3. 在“远程桌面连接”的对话框中，点击“选项”。 4. 在选项中，输入待登录的云主机的弹性IP和用户名（默认为Administrator）。 5. （可选）如果需要在远程会话中使用本地主机的资源，点击“本地资源”选项卡，并根据需求进行配置。可以勾选“剪贴板”来实现从本地主机复制到云主机的操作。 6. （可选）如果需要调整远程桌面窗口的大小，可以选择“显示”选项卡并调整窗口大小。 7. 点击“确定”，根据提示输入密码，登录云主机。首次登录云主机时，需要更改密码以提高安全性。 8. （可选）注意，使用远程桌面连接（RDP）方式登录云主机后，如果需要通过RDP将本地的大文件（文件大小超过2GB）复制粘贴到远程的Windows云主机中，由于Windows系统的限制，可能导致操作失败。

C3P0连接池 统计图 显示该应用在筛选时间段内的所有C3P0连接池各指标的变化趋势图，包括连接总数、活跃连接数、空闲连接数。 统计表 以连接池为维度，详细显示各自的连接信息，表头如下。 连接池ID：用于标识C3P0连接池的唯一标识符或ID。它可以用于区分不同的连接池实例。 连接总数：表示连接池中当前存在的总连接数，包括活跃连接和空闲连接。 活跃连接数：表示当前正在被使用的连接数，即已经被借出但未归还的连接数。 空闲连接数：表示当前可用的空闲连接数，即没有被使用的连接数。 空闲连接检测周期(ms)：连接池对空闲连接进行检测的时间间隔。在该周期内，连接池将检测空闲连接的可用性，以决定是否回收或重新创建连接。 获取连接重试次数：在无法获取到连接时，连接池进行重试的次数。当达到重试次数仍未获取到连接时，获取连接操作将失败。 获取连接重试间隔(ms)：在进行连接获取重试时，每次重试之间的时间间隔。该间隔用于控制连接获取的频率。 无连接可用时创建连接数：当连接池中没有空闲连接可用时，连接池将创建的新连接数。这样可以确保在高并发情况下始终有一定数量的连接可供使用。 DBCP连接池 统计图 显示该应用在筛选时间段内的所有DBCP连接池各指标的变化趋势图，包括初始化连接数、活跃连接数、空闲连接数、连接池最大空闲数、连接池最小空闲数。

接口描述 对图片中的汽车车牌（仅限中国大陆境内的蓝牌、黄牌（单层）、新能源绿牌），进行OCR检测，返回检测到的车牌内容及车牌位置坐标。不支持摩托车和自行车车牌的检测。 请求方法 POST 接口要求 图片格式限制：目前仅支持 jpg、jpeg、png、bmp 等常见格式 图片大小限制：图片单张大小不超过 10MB，批量请求单次不超过 50张 图片尺寸限制：图片像素尺寸应大于 32x32，小于 5000x5000 URI /v1/aiop/api/2gt54ed8660w/drivenplateocr/platelicense.json 请求参数 1.请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String json格式 application/json appkey 是 String 平台应用appkey 562b89493b1a40e1b97ea05e50dd8170 ctyuneoprequestid 是 String 用户请求 id，由用户构造，用户可以通过 uuid 等方法自行生成唯一字符串，用于日志请求追踪。 详见文档：Python3调用示例 33dfa732b27b464fb15a21ed6845afd5 eopdate 是 String 请求时间，由用户构造，形如 yyyymmddTHHMMSSZ。 详见文档：Python3调用示例 20211221T163014Z host 是 String 终端节点域名，固定字段 aiglobal.ctapi.ctyun.cn EopAuthorization 是 String 由天翼云官网 accessKey 和 securityKey 经签名后生成，参与签名生成的字段包括天翼云官网 accessKey 、securityKey、平台应用的appkey（非必须），用户请求id（非必须），请求时间，终端节点域名（非必须）以及请求体内容。 签名逻辑详见文档：认证鉴权和Python3调用示例

本章节主要介绍ALM12045 网络读包丢包率超过阈值。 告警解释 系统每30秒周期性检测网络读包丢包率，并把实际丢包率和阈值（系统默认阈值0.5%）进行比较，当检测到网络读包丢包率连续多次（默认值为5）超过阈值时产生该告警。 用户可通过“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 网络读信息 > 读包丢包率”修改阈值。 平滑次数为1，网络读包丢包率小于或等于阈值时，告警恢复；平滑次数大于1，网络读包丢包率小于或等于阈值的90%时，告警恢复。 该告警检测默认关闭。若需要开启，请根据“检查系统环境”步骤，确认该系统是否可以开启该告警发送。 告警属性 告警ID 告警级别 是否自动清除 12045 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 网口名 产生告警的网口名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 业务性能下降或者个别业务出现超时问题。 风险提示：在SUSE内核版本3.0以上或Red Hat 7.2版本，由于系统内核修改了网络读包丢包数的计数机制，在该系统下，即使网络正常运行，也可能会导致该告警出现，对业务无影响，建议优先按照“检查系统环境”进行排查。