本节介绍如何将云防火墙从标准版升级到专业版。 购买了云防火墙后，如果当前版本功能无法满足您的需求，您可以升级CFW的版本。 从标准版升级到专业版 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在页面左上角，单击“升级到专业版”，进入“购买云防火墙”页面。 5. 确认版本规格后，单击“立即购买”。 相关操作 如何为云防火墙续费？ 如何退订云防火墙？

场景描述 分布式消息服务RocketMQ为用户提供全面周到的服务，支持用户续订和退订的需求。 ● 续订：针对包周期消息实例服务，用户可在到期前进行服务周期延长操作，即续订操作。 ● 退订：用户如不需要继续使用该分布式消息服务RocketMQ实例，可进行删除实例操作，即退订操作。 续订 1、登录RocketMQ消息控制台，可以看到当前租户下面的实例列表。 2、点击需要变更实例栏 > 更多 > 续订。 3、 进入到续订页面，在弹出来的确认窗口选择续订时长，点击确认即可。 退订 1、登录RocketMQ消息控制台，可以看到当前租户下面的实例列表。 2、点击需要变更实例栏 > 更多 > 退订。 3、进入到退订页面，在弹出来的确认窗口点击确认即可。 注意： 退订的实例处于冻结状态，请务必在实例退订前停止全部的应用。 在申请退订前，请做好数据备份工作，退订后数据将保留15个自然日，15天后相关数据将不予保留，且不会进行备份，务必谨慎操作。

本文将介绍cookie防护的前提条件、操作步骤，帮助您更好地了解cookie防护功能。 功能介绍 采用Cookie加密、Cookie签名等方式对Cookie字段的字进行加密或签名，防止敏感信息泄露以及防护一些使用Cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于Cookie修改的爬虫。 注意 通过浏览器本地设置的Cookie，不适用该防护方式。边缘云WAF防护的Cookie经过代理服务器设置修改，无法对浏览器通过js设置修改的Cookie操作。 背景信息 一些利用Cookie的攻击行为 Cookie盗用攻击 黑客等待合法用户登录系统之后，从合法用户浏览器中拿到名字为JSESSIONID的Cookie，将其放入黑客自己的浏览器的Cookie中，当黑客带着盗窃来的JSESSIONID访问系统时，后端系统会根据JSESSIONID找到对应的session，将该次请求当成是认证通过的用户发送的请求，如此黑客便可以客户的身份完成一系列敏感操作。 Cookie篡改攻击 当Cookie内容明文存储时，Cookie信息存在泄露风险。例如：Cookie内明文存储用户权限，当黑客篡改权限值，且服务端未重新校验Cookie当中的用户权限是否合法时，黑客将获得一系列提权操作。 Cookie信息泄露 Cookies内容存储含有用户密码，手机号，地址等信息时，Cookie一旦泄露，黑客将获取到客户敏感身份信息。 Cookie防护工作原理 Cookie加密 Cookie加密：针对Cookie信息当中存在明文数据或可修改内容进行加密，通过反向代理服务器将Cookie值进行替换，客户端获取到的将为加密数据信息，无法进行修改。客户请求经过代理服务器时，对应Cookie值会进行解密，明文传输给源站，保证源站无切换感知。 注意：Cookie内容通过浏览器解析后需要展示在客户端时，请勿使用Cookie加密和HTTPonly选项，会导致浏览器无法识别原始Cookie内容、js服务读取Cookie值

修改Linux系统实例默认远程端口 本章以CentOS 8.0 64位为例介绍如何修改Linux系统实例默认远程端口。 1. 登录控制中心。 2. 选择区域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 单击待修改的弹性云主机行的“操作>远程登录”按钮，远程连接弹性云主机实例。 5. 输入用户名root，密码为购买弹性云主机时用户自定义的密码，登录成功之后如图： 6. 因sshdconfig是Linux中重要的配置文件，为了避免误操作所带来的故障，在运行前首先对sshdconfig进行备份，请运行以下命令： plaintext cp /etc/ssh/sshdconfig /etc/ssh/sshdconfigbak 进入到/etc/ssh路径下输入ll命令查看，具体信息如下图： 7. 修改sshd服务的端口号，因为已经在/etc/ssh路径下，因此直接运行vim sshdconfig编辑sshdconfig配置文件，在键盘上按i键，进入编辑状态，添加新的远程服务端口，本节以2222端口为例。在Port 22下输入Port 2222。 8. 在键盘上按Esc键，输入:wq后保存并退出编辑模式。 9. 运行以下命令重启sshd服务。 plaintext systemctl restart sshd 至此，此弹性云主机的远程登录默认端口已经从22改为了2222。

修改xfs文件系统的UUID 说明 本示例以/dev/vde1为例，您需要根据自己的设备名修改相关命令。 1. 远程登录云主机实例，具体操作可参考登录Linux弹性云主机。 2. 运行以下命令，查询云硬盘的UUID。 plaintext blkid 查询结果如下所示，此时通过快照新创建云硬盘的UUID和源云硬盘一样： 3. 运行以下命令为云硬盘生成新的UUID。 plaintext xfsadmin U generate /dev/vde1 4. 运行以下命令，查看是否已经修改UUID。 plaintext blkid 5. 运行以下命令挂载（mount）云硬盘。 plaintext mount /dev/vde1 /mnt 6. 配置/etc/fstab文件，开机自动挂载新云硬盘。具体操作请参考在fstab文件中配置UUID方式自动挂载数据盘。

轻量型云主机提供以下相关API接口。 产品/功能 类型 描述 API（公测中） 创建轻量型云主机 该接口提供用户创建一台包年包月的轻量型云主机。 API（公测中） 开启一台轻量型云主机 该接口提供用户开启一台轻量型云主机功能。 API（公测中） 续订一台包周期的轻量型云主机 该接口提供用户续订一台包年或者包月的轻量型云主机功能。 API（公测中） 查询轻量型云主机列表 该接口提供用户多台轻量型云主机信息查询功能，用户可以根据此接口的返回值得到多轻量型台云主机信息。 API（公测中） 关闭一台轻量型云主机 该接口提供用户关闭一台轻量型云主机功能。 API（公测中） 查询轻量型主机详细信息 该接口提供用户轻量型云主机信息查询功能，用户可以根据此接口的返回值了解自己轻量型云主机的详细信息。 API（公测中） 查询一台轻量型云主机的Web管理终端地址 该接口提供用户查询一台轻量型云主机的Web管理终端地址。 API（公测中） 查询轻量型云主机的规格套餐资源 该接口提供用户可用规格列表查询功能，可返回轻量型云主机规格的详细信息，用户可以根据此接口的返回值了解自己可使用的云主机规格有哪些。 API（公测中） 更新一台轻量型云主机密码 该接口提供用户更新轻量型云主机的密码功能，此接口为同步接口。 API（公测中） 轻量型云主机规格套餐升级 该接口提供用户升级一台轻量型云主机规格套餐。 API（公测中） 释放轻量型云主机 该接口提供用户退订一台轻量型云主机功能。 API（公测中） 重启一台轻量型云主机 该接口提供用户重启一台轻量型云主机功能。 API（公测中） 重装一台轻量型云主机 该接口提供用户重装一台轻量型云主机功能，通过填写相应云主机ID、镜像ID对轻量云主机进行重装。 API（公测中） 轻量型云主机新建云硬盘 该接口提供用户轻量型云主机新建云硬盘的能力。 API（公测中） 轻量型云主机退订数据盘 该接口提供用户退订一台轻量型云主机数据盘功能。

防盗链设置 在【实例管理】的页面选择特定的点播实例，点击设置权限可进入该点播实例的【防盗链设置界面】，默认防盗链状态为：关闭。 防盗链设置说明 类型：白名单（只允许Referer列表域名进行访问）、黑名单（不允许Referer列表域名进行访问）。当需要设置防盗链配置时，此选项需要选择其一。 是否允许空Referer：允许、拒绝。当需要设置防盗链配置时，此选项需要选择其一。 Referer列表：填写域名或IP地址，以 。 注意 1. 拒绝空Referer会导致点播部分功能无法正常使用，请谨慎使用！ 2. 当设置了Referer防盗链后，访问存储桶的文件时，相应HTTP请求需要在header头部的Referer字段添加相应的防盗链信息，否则访问请求会被拒绝。 3. 以上Referer配置，仅针对云点播的三个存储桶有效。 4. 如用户在使用云点播服务时同时叠加了CDN加速服务，请务必确认CDN的回源请求符合云点播侧的防盗链要求，否则相应的回源请求可能被拒绝。 跨域访问CORS配置 云点播默认全部自带存储桶的跨域访问CORS设置为： 配置 可用值 AllowedMethod GET PUT HEAD AllowedOrigin AllowedHeader 如有其他跨域配置需求，可发送工单联系产品后台处理。 注意 1. 如您在集成播放平台时，遇到跨域问题，请先确认CDN服务商（如有）是否将HTTP头部的Origin字段携带透传回云点播存储桶。 2. 部分场景下，浏览器可能会将其他错误报为跨域问题，请开发者认真甄别。

本文介绍多台云主机实例批量挂载同一文件系统的操作方法。 操作场景 海量文件服务适用于共享访问的场景，当业务中需要使用多台云主机访问同一文件系统时，您可以通过我们提供的脚本，填写配置文件、执行脚本命令，实现多台云主机批量挂载同一文件系统，减少操作时间，提高工作效率。 注意 执行批量挂载的云主机实例需要与文件系统归属于同一资源池的同一VPC下。 目前仅支持Linux操作系统的云主机，请参考使用限制。 仅支持root账户进行批量挂载操作。 务必按照本文中要求的固定格式填写需要执行批量挂载的云主机的相关信息。 请保证本文中创建的inventory、autobatchmount.sh文件与mountnfs.yml文件在同一目录下，否则会导致挂载失败。 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行批量挂载操作的任何一台云主机。 3. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机。 4. 创建并填写配置文件inventory。 1）在Linux vi命令行工具中依次执行以下命令创建配置文件inventory并打开。 plaintext touch inventory plaintext vi inventory 2）将按照下述格式填写的内容复制到配置文件inventory中，保存并退出。需要将各参数替换成相应的实际值，各参数说明见下方表格。配置文件内容可在Windows记事本中或者Linux vi命令实现编辑，供后续使用。复制完成后输入 :wq保存并退出。 plaintext [all:vars] sharepath挂载地址 [targethost] 弹性IP passwdroot用户密码 localpath本地挂载路径 弹性IP passwdroot用户密码 localpath本地挂载路径 弹性IP passwdroot用户密码 localpath本地挂载路径 …… 参数 说明 云主机弹性IP 在云主机详情页中“弹性IP”页签获取该云主机公网IP的IP地址。 root用户密码 root用户密码。 本地挂载路径 本地挂载路径为云主机上用于挂载文件系统的本地路径，本操作中将通过脚本自动创建，无须额外创建。 挂载地址 可在文件系统详情页获取。 5. 创建批量挂载脚本autobatchmount.sh。 1）创建脚本文件，并打开： plaintext touch autobatchmount.sh plaintext vi autobatchmount.sh 2）将下列内容复制到挂载脚本中，保存退出 （:wq）： plaintext

本节主要介绍修改参数模板描述。 操作场景 对于创建成功后的自定义参数模板，用户可以根据需要修改参数模板描述。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在左侧的导航栏，单击“参数模板管理”。 4. 在参数模板管理的“自定义”页面，选择指定的参数模板，单击“描述”列的。 5. 输入新的描述信息，单击，提交修改，单击，取消修改。 修改成功后，新的描述信息，可在参数模板列表的“描述”列查看。 参数模板的描述长度不能超过256个字符，且不能包含>!<"&'特殊字符。

此小节介绍重启实例。 出于维护目的，当云堡垒机（CBH）系统的运行异常，用户可以尝试重启实例，使其恢复到可用状态。 当CBH实例的“运行状态”为“运行”时，可执行重启操作； 重启云堡垒机实例将导致系统业务中断约5min，在此期间实例“运行状态”将显示为“正在重启”； 重启过程中，CBH系统将不可用。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，选择“安全 > 运维安全中心（云堡垒机）”，进入云堡垒机实例界面。 5. 在需要重启的实例所在行，单击“操作”列中的“更多 > 重启”。 6. 在弹出的重启实例对话框中，单击“确定”。 7. 重启过程一般需要5分钟左右，且实例的运行状态将会变为“正在重启”。若是升级版本和变更规格后，重启所需时间可能会更久。 说明 若重启过程中出现堡垒机实例异常，请联系工程师解决。 8. 实例状态变为“运行”，即可正常使用云堡垒机。 说明 在重启实例对话框，可选择“强制重启”，强制重启实例可能会造成数据丢失，请确保数据文件已全部保存，且云堡垒机系统无操作。

背景信息 分布式消息服务RabbitMQ为用户提供全面周到的服务，支持用户退订需求。用户如不需要继续使用该分布式消息服务RocketMQ实例，可进行删除实例操作，即退订操作。 操作步骤 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）当前页面会列出所购买的RabbitMQ实例。选择需要退订的实例，点击更多退订。 注意： 退订的实例处于冻结状态，请务必在实例退订前停止全部的应用。 在申请退订前，请做好数据备份工作，退订后数据将保留15个自然日，15天后相关数据将不予保留，且不会进行备份，务必谨慎操作。

本文主要介绍云日志服务中的静默策略。 您设置的告警规则，如果满足静默策略则不会触发告警通知，您可以通过静默策略对告警进行收敛，避免同一时间出现大量重复告警或关联告警。 功能入口 1. 选择目标资源池，并登录云日志服务控制台。 2. 在左侧导航栏中选择「告警管理」「静默策略」。 功能说明 支持增删改查静默策略。 事件匹配规则：支持通过且或关系组合创建事件规则，使得在满足当前事件规则时，触发静默策略。支持添加多个匹配规则。 静默时段：若打开限制时间开关，可设置静默规则的生效时间段。

本节主要介绍 Linux客户端怎么和云存储网关服务端断开连接。 应用场景 Linux客户端需要断开云存储网关服务端。 前提条件 Linux客户端已经挂载了云存储网关的卷。 具体操作 在Linux 系统中，由于写入磁盘的操作通常会被缓存进行优化，因此数据在写入磁盘之前可能会留存在内存中一段时间，这样可以提高系统的性能。但是，在某些情况下，例如系统崩溃或断电，这些缓存的数据可能会丢失。为了避免这种情况发生，可以使用sync命令将缓存中的数据强制写入硬盘，以确保数据的持久化存储。 1. 执行sync命令。 说明 对于云存储网关Linux客户端，需要先执行sync命令才能断开连接，否则可能丢失数据。Linux系统的sync命令可以将内存中的缓存数据强制写入硬盘，以确保数据的持久化存储。 执行sync命令后，会将所有缓存数据写入硬盘。请注意，sync命令可能需要一些时间才能完成，具体时间取决于系统中缓存数据的大小和硬盘的速度。 sync 2. 应用停止写入后，执行umount进行卸载，使用iscsiadm断开连接。 umount DIRECTORYNAMEORPATH iscsiadm m node T iSCSITARGETIQN p SERVERIP u

备份原理 GeminiDB Influx有专门负责备份管理的节点（三个Meta节点中ID最小的Meta节点，后续称为M1节点）。如图1所示，GeminiDB Influx的备份在M1节点上进行，通过对数据进行秒级快照，并将生成的备份文件以压缩包的形式存储在对象存储服务（OBS）中，不会额外占据GeminiDB Influx实例的存储空间。备份上传过程中会消耗一定的CPU，因此会存在CPU上涨的现象，一般涨幅范围在5%~15%，该现象属于正常现象。 图1 备份原理 备份存储 GeminiDB Influx的备份数据存储至对象存储服务（Object Storage Service，简称OBS），在提高数据容灾能力的同时有效降低磁盘空间占用。 购买实例存储空间后，GeminiDB Influx将同比例赠送备份存储空间，用于存储备份数据。例如，您购买的实例存储空间为100GB时，会得到赠送的100GB备份存储空间。当备份数据没有超出100GB，将免费存储在OBS上；当备份数据超出100GB，超出部分将根据OBS的计费规则收费。

本节为您介绍云迁移服务CMS中数据库迁移工具节点管理配置工作，包括注意事项，操作步骤。 注意事项 本文仅简单介绍节点管理的快速配置流程，更加详细的配置步骤请阅读节点管理。 操作步骤 1. 下载子节点安装包，进行后续步骤，具体下载安装包位置参考：数据库迁移服务左侧导航栏节点安装模块。 示例： sudo wget 2. 安装节点。 （1）解压 解压下载完成的安装包，进行后续步骤。 示例： sudo tar xzvf cmpcomposex.x.xx8664.tar.gz （2）授权 授权解压完成的文件，进行后续步骤。 示例： sudo chmod a+x .sh （3）安装 执行安装命令，进行后续步骤。 示例： sudo ./install.sh 根据提示输入AKSK，具体AKSK获取位置参考：数据库迁移服务左侧导航栏节点安装模块。 3. 安装成功后出现如下提示。 4. 安装成功后，点击导航栏的“节点管理”，跳转到节点管理界面，点击“添加节点按钮”按钮。 5. 填写节点信息后，点击“保存”按钮。 6. 保存成功后，界面如下图。

本章主要介绍翼MapReduce的恢复DBService数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对DBService进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对DBService进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复DBService任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的DBService数据。 MRS集群中默认使用DBService保存Hive、Hue、Loader、Spark、Oozie的元数据。恢复DBService的数据将恢复全部相关组件的元数据。 对系统的影响 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 数据恢复后，依赖DBService的组件可能配置过期，需要重启配置过期的服务。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 检查DBService主备实例状态是否正常。如果不正常，不能执行恢复操作。

本页介绍了文档数据库服务DDS如何开启存储空间自动扩容。 操作场景 文档数据库服务DDS支持实例存储空间的自动扩容，方便用户在实例存储空间达到一定阈值时由后台自动发起扩容，无需人工操作确认。 约束限制 实例状态非运行中时，自动扩容不会进行。 备份类型为云硬盘的集群版实例最大可自动扩容至2TB，备份类型为对象存储的所有实例最大可自动扩容至32TB。 操作步骤 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击需要开启扩容存储空间实例的实例名称，进入到该实例详情页。 4. 在“配置信息”区域，单击“存储自动扩容”参数右侧的 “设置” 。 5. 在“设置存储空间自动扩容”对话框中，开启自动扩容，配置“存储扩容触发阈值”和 “存储自动扩容上限” 。 6. 点击“确定”完成存储空间自动扩容设置。 说明 当存储空间大于备份空间，备份空间也会进行自动扩容。 自动扩容变更将产生额外计费，如实例有只读从节点，会跟随主节点一起扩容。 当已用存储空间到达触发阈值时，存储空间按照当前存储空间的20%进行扩容。 当超过触发阈值不会马上触发扩容操作，需等几分钟后台才会进行扩容，如有急用，请手动进行存储空间扩容。

通过本接口向云点播查询点播实例列表。 接口功能介绍 用户可通过本接口向云点播查询已经创建的点播实例列表。 注意：自2025年5月7日零时起，云点播对资源分配方式进行了升级，原【点播区域】更名为【点播实例】。新开通客户将以实例化方式提供媒资存储、媒体处理等服务，不再以资源池方式进行命名和资源划分。接口中regionCode参数会继续沿用一段时间。 接口约束 本接口的单用户QPS限制为20次/秒。超过限制，API调用会被限流，这可能会影响您的业务，请合理调用。 URI POST /management/region/list 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionCode 否 String 可选参数，点播实例编码，传入了该参数之后，仅返回在此指定的点播实例信息。 xscnguangzhou1 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 code 是 Integer 本次请求的结果码 0 message 是 String 错误文本信息，创建成功时，为空字符串。 "" data 是 Array of Objects 返回数据 data 表 data 参数 是否必填 参数类型 说明 示例 下级对象 region 是 Object 区域 gz000001 region isDefault 是 Boolean 是否为默认实例 true buckets 是 Object 相关的存储桶信息 buckets acl 是 String 读写权限，包含 PRIVATE/PUBLICREAD/PUBLICREADWRITE。 PUBLICREAD referer 是 Object Referer防盗链信息 referer 表 region 参数 是否必填 参数类型 说明 示例 下级对象 name 是 String 区域名 华南1 code 是 String 区域编码 xscnguangzhou1 表 buckets 参数 是否必填 参数类型 说明 示例 下级对象 origin 是 String 原视频桶名 vodoriginc7a5 transcode 是 String 转码桶名称 vodtranscodec7a5 表 referer 参数 是否必填 参数类型 说明 示例 下级对象 enable 是 Boolean 是否启用：true启用;false禁用（为false时表示一条policy都没有，所以下面的字段都将为空）。 true type 否 String 类型，包含 WHITELIST/BLACKLIST。 WHITELIST allowEmpty 否 Boolean 是否允许为空 false referers 否 Array of Strings 设置的名单 ["

设置 说明 重启方式 重启：正常重启流程。 强制重启：等同于断电重启，可能丢失云主机操作系统中未写入磁盘的数据。

本文为您介绍分布式消息服务MQTT的相关术语解释。 实例（Instance） 创建购买消息队列 MQTT 服务的实体单元，包含MQTT Broke和kafka集群节点。 MQTT Broker 消息队列 MQTT 提供的 MQTT 协议交互的服务端节点，用于完成与 MQTT 客户端消息收发和数据存储至消息队列。 MQTT 客户端 用于和 MQTT 服务器交互的移动端节点。 父级 Topic（Parent Topic） MQTT 协议基于 Pub/Sub 模型，因此任何消息都属于一个 Topic。根据 MQTT 协议，Topic 存在多级，定义第一级 Topic 为父级 Topic，需先在控制台创建该父级 Topic。 子级 Topic（Subtopic） MQTT 的二级 Topic，甚至三级 Topic 都是父级 Topic 下的子类。使用时，直接在代码里设置，无需创建。需要注意的是微消息队列 MQTT 限制父级 Topic 和子级 Topic 的总长度为 64 个字符，如果超出长度限制将会导致客户端异常。 Client ID 微消息队列 MQTT 的 Client ID 是每个客户端的唯一标识，要求全局唯一，使用相同的 Client ID 连接消息队列 MQTT服务会被拒绝。 消息队列Kafka MQTT Broker主要承担移动端连接接入、连接管理、数据转发等工作。后端数据持久化和消息存储至kafka消息队列；租户后端应用系统可通过kafka分析、处理数据并下发指令。 终端连接地址 即MQTT Broker端接入地址，设备端使用。 服务端连接地址 即kakfa集群连接地址，云端应用服务使用。 订阅关系 终端设备每订阅一个主题即一个订阅关系。

本文主要介绍等保合规能力说明。 查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 将重要网络区域隔离，使用云防火墙CFW实现业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 安全通信网络 网络架构 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 应用场景 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 功能特性 安全区域边界 入侵防范 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 功能特性 安全区域边界 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 管理访问控制策略 安全区域边界 访问控制 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 管理访问控制策略 安全区域边界 访问控制 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 管理访问控制策略 安全区域边界 访问控制 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 管理访问控制策略 安全区域边界 访问控制 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨流量的应用协议、内容的访问控制。 管理访问控制策略 安全区域边界 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计 安全区域边界 安全审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 日志审计 安全区域边界 安全审计 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计 安全区域边界 安全审计 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计

本章节主要介绍发布API。 本文将为您介绍如何将数据服务中的API发布到服务目录。 操作场景 数据服务是数据对外开放的最后一道防线，为了安全起见，在数据服务中生成的API以及注册的API，都需要发布到服务目录中才能对外提供服务。 操作步骤 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据服务”模块，进入数据服务页面。 详见下图： 选择数据服务 2.在左侧导航栏选择服务版本（例如：专享版），进入总览页。 3.进入“数据服务 > 总览 > 开发API > API管理”页面，在API服务列表操作列中，选择“更多 > 发布”。 4.在确认发布界面，您可以点击“更多”，选择发布详情。 详见下图： 发布详情 −专享版默认发布到数据服务专享版集群上，发布成功后API调用者可以通过内网调用该API。您也可以选择“更多”，将API发布到APIG专享版或ROMA Connect实例上。 APIG专享版：如果您需要将API发布到APIG专享版上，则您需要提前在API网关服务上创建一个APIG实例。实例创建后，有一个默认API分组，系统为分组自动分配一个内部测试用的调试域名，此调试域名唯一且不可更改，每天最多可以访问1000次。如果您不希望与其他API共享此规格，可以在APIG控制台新建一个API分组（详情请参考“API网关APIG用户指南> API分组管理> 创建API分组”章节），然后在数据服务发布时选择对应API分组，独享每天最多访问1000次的规格。另外，您还可以为API分组绑定一个或多个独立域名（详情请参考“API网关APIG用户指南>API分组管理> 绑定域名”章节），API调用者通过访问独立域名来调用您开放的API，这样即可不受每天最多访问1000次的规格限制。 ROMA Connect实例：如果您需要将API发布到ROMA Connect实例上，则您需要提前在ROMA Connect服务上创建一个ROMA实例，并创建API分组（详情请参考“应用与数据集成平台 ROMA Connect用户指南> 服务集成指导> 开放API> 创建API分组”章节）。API分组创建后，系统为分组自动分配一个内部测试用的子域名，此子域名每天最多可以访问1000次。为了不受此规格限制，您可以为API分组绑定独立域名（详情请参考“应用与数据集成平台 ROMA Connect用户指南> 服务集成指导> 开放API> 绑定域名”章节），API调用者通过访问独立域名来调用您开放的API。 5.在发布API时，会触发审核，审核机制如下： 当发布人不具备审核人权限时，发布API时需要提交给审核人审核。 当发布人具备审核人权限时，可无需审批直接发布API。工作空间管理员角色的用户默认具备审核人权限。 如果非审核人权限的用户发布API时，待审核人审核通过后，即可发布完成。

本章节主要介绍操作类问题中有关元数据管理的问题。 如何查看MRS Hive元数据？ Hive的元数据存放在MRS服务集群的GaussDB中，可执行如下步骤查看： 1.以root用户登录到DBServer主节点。 2.执行以下命令登录Hive元数据库： su omm source $DBSERVERHOME/.dbserviceprofile gsql p 20051 U USER W PASSWD d hivemeta 3.执行以下命令可以查看Hive元数据库中的所有元数据表： d+ 4.执行q退出查看元数据表页面。 5.执行以下命令可以查看元数据表中的数据： select from 表名; 说明 DBServer主节点的IP地址可登录Manager界面，选择“集群 > 服务 > DBService > 实例 ”查看。 Hive元数据存放在外部的关系型数据库存储时，请通过如下步骤获取信息： 1.集群详情页的“数据连接”右侧单击“单击管理”。 2.在弹出页面中查看“数据连接ID”。 3.在MRS控制台，单击“数据连接”。 4.在数据连接列表中根据集群所关联的数据连接ID查找对应数据连接。 5.在对应数据连接的“操作”列单击“编辑”，查看该数据连接所连接的RDS实例及数据库。

本章节介绍Web应用防火墙与其他云服务的关系。 与弹性云主机的关系 Web应用防火墙为弹性云主机提供Web安全防护服务。 与云审计的关系 云审计（CloudTrace Service，CTS）记录了Web应用防火墙相关的操作事件，方便用户日后的查询、审计和回溯。 云审计服务支持的WAF操作列表： 操作名称 资源类型 事件名称 创建Web应用防火墙防护实例 instance createInstance 删除Web应用防火墙防护实例 instance deleteInstance 更新Web应用防火墙防护实例 instance alterInstanceName 修改Web应用防火墙防护实例的防护状态 instance modifyProtectStatus 修改Web应用防火墙防护实例的接入状态 instance modifyAccessStatus 创建Web应用防火墙防护策略 policy createPolicy 应用Web应用防火墙防护策略 policy applyToHost 更新Web应用防火墙防护策略 policy modifyPolicy 删除Web应用防火墙防护策略 policy deletePolicy 添加证书 certificate createCertificate 修改证书名称 certificate modifyCertificate 删除证书 certificate deleteCertificate 创建CC规则 policy createCc 修改CC规则 policy modifyCc 删除CC规则 policy deleteCc 创建精准防护规则 policy createCustom 修改精准防护规则 policy modifyCustom 删除精准防护规则 policy deleteCustom 创建IP黑白名单规则 policy createWhiteblackip 修改IP黑白名单规则 policy modifyWhiteblackip 删除IP黑白名单规则 policy deleteWhiteblackip 创建/刷新网页防篡改规则 policy createAntitamper 删除网页防篡改规则 policy deleteAntitamper 创建误报屏蔽规则 policy createIgnore 删除误报屏蔽规则 policy deleteIgnore 创建隐私屏蔽规则 policy createPrivacy 修改隐私屏蔽规则 policy modifyPrivacy 删除隐私屏蔽规则 policy deletePrivacy

本章节介绍应用容灾多活的配置总览，帮助您理解多活管理的配置结构。 概述 在容灾配置总览页面，您可以直观地了解当前应用系统的部署架构、应用节点、服务分组、服务状态以及生效配置。 应用容灾多活采用基线 管理生效配置，控制台操作的配置变更只作为分支 暂存。您可以到容灾配置总览页面概览配置，对比变更详情，以及发起配置推送。 前提条件 已按规划开通所需模块。 已完成系统架构配置以及路由规则配置。 配置总览 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 在应用系统列表中找到需要配置的应用系统，单击应用系统名称 ，进入应用系统概览页面。 4. 单击左侧导航栏容灾配置 ，在容灾配置菜单下单击总览 ，进入容灾配置总览页面。 表 配置总览 服务信息 说明 示例 单元组 服务所属的单元组，即路由规则分组。 订单业务 站点 服务所属的站点。 北京站点 服务类型 组件类型，或者应用所属的单元。 组件类型：应用网关/数据库/消息。 应用所属的单元：业务单元名称及路由范围。 应用网关 北京业务单元[0,499] 服务名称 组件或者应用服务名称，例如数据源名称。 广州订单数据库 服务地址 组件或者应用服务地址，例如数据库服务地址。 192.168.0.:3306 服务状态 组件或者应用的状态。 在线：探测组件实例状态为在线。 离线：探测组件实例状态为离线。 已配置：组件已配置。 未配置：组件未配置。 在线 操作 查看组件服务的详细信息。

与NAS相比，OSS提供了便捷的工具以及控制台，支持可视化管理Bucket，并在解决应用实例数据持久化和实例间数据分发问题的基础上，进一步降低成本。OSS适用于读多写少的场景，例如挂载配置文件或者前端静态文件等。 功能入口 场景不同，操作入口也有所不同 创建应用 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后选择单击创建应用 2. 在应用基本信息向导页面进行配置后，单击下一步：高级设置。 对正在运行的应用进行变更 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后单击目标应用名称 2. 在目标应用的基础信息页面，单击部署应用 注意 重新部署应用后，该应用将会被重启。为避免业务中断等不可预知的错误，请在业务低峰期执行部署操作 对已停止的应用进行变更 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后单击目标应用名称 2. 在目标应用的基础信息页面，单击部署应用 挂载OSS指引 挂载OSS 展开持久化存储设置区域，启用OSS对象存储。配置Bucket、挂载目录、容器路径以及读写权限等相关信息。如需添加多条信息，请点击添加 。 取消挂载OSS 挂载OSS后，如果您不再使用OSS存储，可以取消挂载OSS。在云应用引擎控制台取消挂载OSS后，您在OSS中所存储的数据仍然存在，不会被删除。具体操作为找到需要取消挂载的OSS配置条目，单击操作列的删除按钮。 配置项 说明 示例值 Bucket 已创建的OSS Bucket。 bucketname 挂载目录 已创建的OSS目录或OSS对象。如果OSS挂载目录不存在，会触发异常。 示例如下： / tmp/osstest/ tmp/ossdemo.log 容器路径 SAE的容器路径。如果路径已存在，会覆盖原有路径；如果路径不存在，会新建路径。 /home/admin/app/php/ 权限 容器路径对挂载目录资源的权限，取值如下： 只读 读写 只读

本章节介绍云容器集群节点网络包损坏故障演练。 背景介绍 由于物理链路噪声、网络设备故障或恶意攻击，数据包在云容器引擎（CCE）集群的节点间传输过程中可能被篡改。接收端的 TCP/IP 协议栈会通过校验和检查发现这种损坏，丢弃该数据包并请求重传。虽然这确保了数据的完整性，但频繁的重传会显著增加网络延迟、降低有效吞吐量，并可能导致应用层超时。本演练模拟此场景，帮助您评估应用在恶劣网络条件下的鲁棒性。 基本原理 通过增加TC和Netem规则模拟Node内网络包损坏。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群节点网络包损坏故障演练。 背景介绍 由于物理链路噪声、网络设备故障或恶意攻击，数据包在云容器引擎（CCE）集群的节点间传输过程中可能被篡改。接收端的 TCP/IP 协议栈会通过校验和检查发现这种损坏，丢弃该数据包并请求重传。虽然这确保了数据的完整性，但频繁的重传会显著增加网络延迟、降低有效吞吐量，并可能导致应用层超时。本演练模拟此场景，帮助您评估应用在恶劣网络条件下的鲁棒性。 基本原理 通过增加TC和Netem规则模拟Node内网络包损坏。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本文为您介绍创建相同配置实例的使用场景和操作流程。 操作场景 对于已购买成功的弹性云主机，如需再次购买相同配置的，建议您基于已创建的云主机，使用“创建相同配置”功能，快速购买同一配置的弹性云主机，即主机规格、磁盘个数和大小、镜像等配置都相同的云主机。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 选择目标弹性云主机，并单击“操作”列下的“更多 > 创建相同配置”。 5. 在打开的主机订购页面中，会自动按照已选的云主机的参数配置好相同的参数（除公网弹性IP外），您可以直接订购，也可以修改参数。 说明 弹性IP信息需要单独配置。

参数 描述 例子 实例名称 长度为164字符，以大小写字母或中文开头，可包含数字、"."、""、""。 Test01 区域 所属位置信息。 中国内地 基础带宽 带宽大小。 5Mbps 网关形态 可选择硬件版、软件版。 硬件版 是否购买设备 是否需要购买天翼云设备。 是 设备类型 智能网关硬件版本分为四种型号：经济版、标准版、企业版、企业增强版。不同型号的规格详情请参考 经济版 地址信息 请准确填写地址信息，提交订单后不支持更改。 请准确填写您的地址信息 增值业务 包括5G服务、WIFI服务、LTE服务。 根据实际需求进行选择 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 default

云主机其它类问题 天翼云主机的默认grub密码是多少？ 默认grub没有密码。 服务器上安装Web服务，外网可以直接访问吗？ 如搭建的web服务使用的端口为80端口，需要在天翼云进行备案才可以访问。 any端口入方向是否需要开放？ 出方向any默认全部允许，这个必须要放通，不然主机无法上网，入方向只需要您放通您所需访问主机的端口即可，不建议放通any，放通any主机可能会有安全隐患。 香港节点主机能否访问外网，如谷歌，推特？ 可以访问外网。谷歌、推特可以访问。 使用云资源如何优化成本？ 相比自建数据中心，使用云资源时无须投入硬件、物理环境人力等成本，单位资源成本相对线性，所有资源按需取用，交付便利。除此之外，云资源支持多种付费模式，方便进一步优化成本。 针对使用云资源如何优化成本，我们给出以下建议： 追踪成本 从费用账单了解消费情况，追踪成本并确定如何优化；使用标签等功能分类资源，以便统计相应成本。 优化资源 首先，监控资源使用情况 ，监控资源利用率，评估当前配置是否过高。例如CPU、内存、云盘、带宽等资源的利用率。监控闲置的资源，避免浪费。例如升配但未挂载的云盘、未关联的弹性IP等。监控资源使用周期。如果长期使用按量付费实例、云盘等资源，考虑以更实惠的方式购买，例如包年包月、资源包等。监控资源生命周期，了解包年包月资源的到期日，及时续费。例如包年包月实例、存储容量单位包等。 其次，选择合适规格， 根据业务场景选择最佳性价比的实例规格，并调整合适的数量，在满足业务需求的同时追求高资源利用率，可参考选型最佳实践。 第三，组合付费模式 ，不同类型的业务对资源使用周期有不同要求。为每一类业务确定合适的付费模式，灵活组合达到最优效果。如业务负载稳定使用包年包月方式，业务负载动态变化使用按量付费方式。 树立节约意识 按需取用是云计算最大的一个特点，您可以将成本优化融入到日常工作中，如：定期盘点资源使用情况，明确闲置资源的通知和处置流程；定期和成本相关方（例如财务、研发等团队）评审预算执行情况，改进优化策略；按时续费，提前申请包周期预算，避免到期释放后重新购买部署增加额外成本。

OBS是否支持批量删除对象？ OBS管理工具批量删除功能的支持情况： 工具 批量删除 管理控制台 支持，一次批量删除的对象数最多为100个，若选择文件夹，只能单个删除文件夹。 OBS Browser+ 支持，可批量删除多个文件和文件夹，一次删除的数量没有限制。 API 支持，批量删除对象一次能接收最大对象数目为1000个。 批量删除的性能和单个请求内的对象数负相关，对于QPS的计算，删除N个对象，算N次操作。如果删除对象数量大并且对象前缀使用了字典序，可能导致大量对象的请求访问集中于某个特定分区，造成访问热点。热点分区上的请求速率受限，访问时延上升。 为解决以上问题，您可以考虑减少单个批量删除请求的对象数量，增加并发请求数，并将对象名的顺序前缀改为随机性前缀。 OBS上传下载速率的影响因素有哪些？ 影响OBS上传下载速率的因素有： 受单个帐号的读写带宽上限影响。 上传下载速率还受网卡、磁盘io及是否有其它进程抢占资源的影响。 为什么OBS存储的数据丢失了？ 请检查桶中是否设置了生命周期过期删除规则，符合规则的对象会被删除。 请检查桶是否授权了其他用户桶的写权限，被授权的用户都可以删除对象。若您开启了日志记录功能，可以通过日志记录查询到删除对象的用户。