概述 本章节介绍MSE ZooKeeper引擎的黑白名单功能，在实例开通完毕后，可以通过设置ZooKeeper实例黑白名单来限制一定范围内的IP地址（可以单个或者多个，可以是IP或者是IP段）访问实例。当白名单和黑名单配置存在冲突时，以黑名单规则优先。 前提条件 1. 已开通微服务引擎MSE ZooKeeper引擎实例，参考章节：创建ZooKeeper实例； 2. 已开通ZooKeeper实例并且状态正常。 操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4. 点击右侧权限控制 > 黑白名单管理，点击页面“黑白名单配置”标题后面的编辑按钮，进入编辑模式； 5. 打开“白名单配置 ”后面的开关按钮，开启白名单，在白名单配置输入框中，输入允许访问的IP地址段，并点击确定； 1. 如果白名单配置内容为空，表示所有地址均不可访问ZooKeeper实例； 2. 如果填写了IP地址加掩码，表示允许所设置的IP地址段访问实例； 3. 如果开关状态为关闭，则配置内容不生效 6. 打开“黑名单配置 ”后面的开关按钮，在黑名单配置输入框中，输入禁止访问的IP地址段，并点击确定； 1. 如果黑名单配置内容为空，表示所有地址均可访问ZooKeeper实例； 2. 如果填写的IP地址加掩码，表示禁止所设置的IP地址段访问实例； 3. 如果开关状态为关闭，则配置内容不生效； 注意 如果您绑定了ELB，并使用ELB访问，则这部分流量不受黑白名单控制；可以去ELB控制台设置相关规则； 黑白名单认证时通过访问的请求头部中获取客户端IP，可能与公网地址不同，请确保配置的IP与请求携带的IP相同； 即使配置了白名单,仍然需要通过其他类型的认证才能访问，如ACL、SASL认证； IP地址格式支持IPv4及IPv6：X.X.X.X/X或X:X:X:X:X:X:X:X/X，斜杠后为掩码。若白名单设置为空，表示禁止所有地址的访问，请谨慎设置。多个公网IP地址或地址段，每个地址或地址段之间用英文半角逗号（,）分隔。

参数 类型 说明 Body IOStream 对象数据内容 Metadata Map 自定义元数据

本节介绍WAF的使用说明等问题。 接入WAF后为什么漏洞扫描工具扫描出未开通的非标准端口？ 问题现象：域名接入WAF通过第三方漏洞扫描工具扫描后，扫描结果显示了域名的标准端口（例如443）和非标准端口（例如8000、8443等）。 可能原因：由于WAF的非标准端口引擎是所有用户间共享的，即通过第三方漏洞扫描工具可以检测到所有已在WAF中使用的非标准端口。域名的端口检测，应以源站IP开通的端口为准，即引擎的端口检测并不影响源站的使用安全，且WAF保证客户解析CNAME返回的引擎IP的安全性。 处理建议：无需处理。 使用Web应用防火墙对邮件收发和邮件端口有影响吗？ WAF是对Web应用网页进行防护，当您的网站接入WAF后，对邮件收发和邮件端口不会产生影响。 Web应用防火墙如何拦截请求内容？ WAF对请求的首部和body体都会进行检测。例如body的表单、xml、json等数据都会被WAF检测，WAF通过检测对不符合防护规则的请求内容进行拦截。 什么是并发数？ 并发数指系统能够同时处理请求的数目。对于网站而言，并发数即网站并发用户数，指同时提交请求的用户数目。 如果证书挂载在ELB上，WAF可以根据请求内容进行拦截吗？ 如果证书挂载在ELB上，通过WAF的请求都是加密的。对于HTTPS的业务，您必须将证书上传到WAF上，WAF才能根据解密之后的请求判断是否进行拦截。

安全分析中的索引是一种存储结构，用于对日志数据中的一列或多列进行排序。不同的索引配置，将会产生不同的查询和分析结果，请根据您的需求合理配置索引。 如果您需要使用分析功能，必须配置字段索引。配置字段索引后，您可以指定字段名称和字段值（Key:Value）进行查询，缩小查询范围。例如查询语句level:error，表示查询level字段值包含error的日志。 前提条件 已完成数据接入，详细操作请参见数据集成。 配置字段索引 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 在数据管道检索页面，单击右上角“索引配置”，页面右侧展示索引配置页面。 7. 在索引配置页面中，配置索引参数。 1. 开启索引状态。 索引状态默认开启，索引状态关闭时，将无法索引和查询采集到的日志。 2. 配置索引参数，参数配置说明如下表所示。 参数名称 参数说明 字段名称 日志字段名称（key）。 字段类型 日志字段值（value）的数据类型，可选值为text、keyword、long、integer、double、float、date和json。 包含中文 查询时是否区分中英文。当字段类型选择“text”时，需要设置该参数。 开启开关后，如果日志中包含中文，则按照中文语法拆分中文内容，按照分词符配置拆分英文内容。 关闭开关后，按照分词符配置拆分所有内容。 示例：日志内容为：user:WAF日志用户张三。 关闭“包含中文”开关后，按照分词符半角冒号（:）进行拆分，日志会被拆分为user、WAF日志用户张三，您可以通过user或WAF日志用户张先生查找该日志。 开启“包含中文”开关后，日志服务后台分词器将日志拆分为user、WAF、日志、用户和张三，您通过日志或张先生等词都可以查找到该日志。 8. 单击“确定”。

名称 类型 描述 ContentDisposition String 响应内容的显示形式。 TransferEncoding String 实体传输给用户的编码形式。

响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码（800为成功，900为失败） 800 errorCode String 错误码，为product.module.code三段式码 Openapi.PatternCheck.NotValid error String 错误码，为product.module.code三段式码 Openapi.PatternCheck.NotValid message String 英文描述信息 SUCCESS description String 中文描述信息 成功 returnObj Object 成功时返回的数据 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 masterOrderID String 主订单ID。调用方在拿到masterOrderID之后，可以使用masterOrderID进一步确认订单状态及资源状态 查询订单状态及资源UUID： 查 根据masterOrderID查询云主机ID 235145e4489811eda8330242ac110002 masterOrderNO String 订单号 20221010142913884246 masterResourceID String 主资源ID 3cda4bf48cac42b8b7db3b279d2fc6fb regionID String 资源池ID 81f7728662dd11ec810800155d307d5b 枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body 示例1：创建一台云主机，配置各项内容，不使用弹性公网IP 在专属云内，系统盘选普通IO类型、大小40GB，并增加20GB普通IO类型数据盘。 规格为s7.small.1，镜像为CentOS8.0 64位，并附带副网卡指定其名称和内网IP地址，并配置使用指定安全组，不使用弹性公网IP。 创建到指定专属宿主机上，并加入安全组，绑定密钥对 { "clientToken": "pleasecreateyourownclientTokennotusedeccreateexample01", "instanceName": "apitest01", "displayName": "create01", "imageType": 1, "bootDiskType": "SATA", "bootDiskSize": 40, "onDemand": true, "extIP": "0", "regionID": "a39b0db2989140c79e6de8c21d50f132", "azName": "cnhuadong1jsnj3Apublicctcloud", "flavorID": "0457fe146ffee73987ad93e43fc6dbfa", "imageID": "d39aba0424704eeaacdc10cb4f962588", "vpcID": "vpcgg2ov4ryo5", "decHostID": "53cbad26c4bc34ff2e8980fc0940437f", "networkCardList": [{ "subnetID": "subnet5zt2og2t3h", "isMaster": true }, { "subnetID": "subnet975wansb47", "isMaster": false, "nicName": "apitest1031", "fixedIP": "192.168.1.8" }], "dataDiskList": [{ "diskMode": "VBD", "diskName": "disk01", "diskSize": 20, "diskType": "SATA" }], "secGroupList": ["sg1nni47y963"], "affinityGroupID": "daccb1e1e2fda3801b37d9d6f581395e", "keyPairID": "d0d9d3733ffa17fc38c993283a1eb800", "userPassword": "zxTest1031" } 示例2：指定已有公网IP，创建云主机 在专属云内，系统盘选普通IO类型、大小40GB，指定ipv4类型弹性公网， 规格为s7.small.1，镜像为Ubuntu 18.04 64位。 { "clientToken": "pleasecreateyourownclientTokennotusedeccreateexample02", "instanceName": "api02", "displayName": "create02", "imageType": 1, "bootDiskType": "SATA", "bootDiskSize": 40, "onDemand": true, "extIP": "2", "ipVersion": "ipv4", "eipID": "eiptrwi2vk023", "regionID": "a39b0db2989140c79e6de8c21d50f132", "azName": "cnhuadong1jsnj3Apublicctcloud", "flavorID": "0457fe146ffee73987ad93e43fc6dbfa", "imageID": "26ec204cebe547b9bff932da77026228", "vpcID": "vpcgg2ov4ryo5", "decHostID": "53cbad26c4bc34ff2e8980fc0940437f", "networkCardList": [{ "subnetID": "subnet5zt2og2t3h", "isMaster": true }] } 示例3：自动分配公网IP，创建云主机 在专属云内，系统盘选普通IO类型、大小40GB，自动分配带宽大小为2Mbit/s的弹性公网， 规格为s7.small.1，镜像为Ubuntu 18.04 64位。 { "clientToken": "pleasecreateyourownclientTokennotusedeccreateexample03", "instanceName": "api03", "displayName": "create03", "imageType": 1, "bootDiskType": "SATA", "bootDiskSize": 40, "onDemand": true, "extIP": "1", "ipVersion": "ipv4", "bandwidth": 2, "regionID": "a39b0db2989140c79e6de8c21d50f132", "azName": "cnhuadong1jsnj3Apublicctcloud", "flavorID": "0457fe146ffee73987ad93e43fc6dbfa", "imageID": "d39aba0424704eeaacdc10cb4f962588", "vpcID": "vpcgg2ov4ryo5", "decHostID": "53cbad26c4bc34ff2e8980fc0940437f", "networkCardList": [{ "subnetID": "subnet5zt2og2t3h", "isMaster": true }] }

接口功能介绍 更新监控面板（更新监控面板名称或为监控面板增加一个监控视图） 本接口有两个功能： 1. 更新监控面板的名称； 2. 在指定的监控面板中，添加一个监控视图。 一个监控面板可以包含多个监控视图，一个监控视图可以包含多个监控项。 如果name（监控面板名称），templateTitle（监控视图名称），templateContent（监控项内容）都被传入，则默认更新监控面板名称。 接口约束 regionID和templateID存在。 当更新监控面板名称时，参数name必传； 当在指定监控面板添加一个监控视图时，参数name必不传，而参数templateTitle和templateContent必传。 URI POST /v4/monitor/putmonitor 请求参数 请求体body参数 参数 参数类型 是否必填 示例 说明 下级对象 regionID String 是 81f7728662dd11ec810800155d307d5b 资源池ID templateID String 是 2ad61e2e504611ed8fb7005056897257 监控面板ID name String 否 newName 新的监控面板名称 templateTitle String 否 testNewTitle 监控视图名称 templateContent Object 否 监控项具体内容，为keyvalue格式 templateContent 表templateContent 参数 参数类型 是否必填 示例 说明 下级对象 {itemName} String 否 tcKey11 监控项名称 {value} Object 否 tcVal11 监控项值，与监控项名称组成keyvalue格式，可以为任意内容

本文档为制作Windows系统私有镜像指导手册的步骤2,安装VirtIO驱动、QEMU Guest Agent。 操作场景 VirtIO驱动，用于弹性云主机识别云硬盘等存储设备，是Windows镜像必备驱动。 QEMU Guest Agent（简称qga），是天翼云平台弹性云主机执行关键功能的依赖工具。包括： 云主机重置密码 创建云主机快照 操作步骤 安装VirtIO和QEMU Guest Agent 说明 Windows虚拟机安装完成后，请检查VirtIO对应的CD驱动器下的文件。 如果CD驱动器主目录下存在virtiowinguesttools.exe文件，请直接执行此文件，按默认操作步骤执行，即可完成VirtIO驱动和QEMU Guest Agent的安装； 如果CD驱动器主目录下不存在virtiowinguesttools.exe文件，请执行主目录下的virtiowingtx64.msi文件安装VirtIO驱动，并运行/guestagent/qemugax8664.exe文件安装QEMU Guest Agent。安装过程中，请按默认操作步骤执行。 注意 如果您未按照 配置VirtIO和QEMU Guest Agent 打开PowerShell，将以下内容直接复制粘贴并执行。 StartService Name 'QEMU Guest Agent VSS Provider' StartService Name 'QEMUGA' SetService Name 'QEMU Guest Agent VSS Provider' StartupType Automatic SetService Name 'QEMUGA' StartupType Automatic

参数 参数类型 说明 示例 下级对象 certId String 证书id 123 certName String 证书名称 testCert rawContent String 证书内容 xxx

本章节内容主要介绍产品服务协议 数据库复制产品服务协议，详情请参见这里。

本节主要介绍智能视图服务产品的服务条款内容。 智能视图服务条款请参见这里。

本节主要介绍OBS服务协议。 自2021年11月11日起，新版对象存储服务协议生效，详情请参见这里。 中国电信天翼对象存储系统服务协议 历史版本（2012年11月10日）

本文帮助您快速熟悉虚拟私有云创建安全组的操作流程。 操作场景 安全组实际是网络流量访问策略，通过访问策略可以控制流量入方向规则和出方向规则，通过这些规则可以为加入安全组内的云服务器、云容器、云数据库等实例提供安全保护。安全组的访问策略由入方向规则和出方向规则共同组成。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏，选择“访问控制 > 安全组”。进入安全组列表页面。 4. 在安全组列表右上方，单击“创建安全组”。进入“创建安全组”页面。 5. 根据界面提示，设置安全组参数。 6. 安全组参数设置完成后，可以在创建页面下方查看模板的入方向和出方向规则，确认无误后，单击“确定”。 表 参数说明 参数 参数说明 取值样例 名称 必选参数。安全组的名称。安全组的名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格， 长度不能大于64个字符。 说明： 安全组名称创建后可以修改，建议不要重名。 sg318b 描述 可选参数。安全组的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“ ”。

本文档提供了服务器安全卫士（原生版）和网页防篡改（原生版）API的描述、语法、参数说明及示例等内容。

本文为您提供迁移服务的常见异常问题及问题的处理,请您阅读。 迁移完成后，没有失败对象的情况下，为什么目的端桶对象个数/大小与源端桶对象个数/大小不一致？ 若源端桶内对象个数>目的端桶内对象个数： 可能为源端存在新增数据，您可以再次创建评估任务，查看评估后的结果源端已扫描对象数是否与上次迁移的数据一致。若比对已扫描对象数不一致，则为存在新增数据。 若源端桶内对象总大小>目的端桶内对象总大小： 源端存在碎片文件：迁移服务无法迁移碎片文件。 源端开启多版本对象：迁移服务不支持迁移多版本数据，仅迁移最新版的对象。 对象大小统计规则差异：部分源端云服务商在对象不足64 KB时，统一按照64 KB统计，导致容量不一致。 若源端桶内对象个数<目的端桶内对象个数： 对象存储控制台，统计可能存在部分时延，迁移后需要等待少许时间。 迁移时业务系统已经切换到天翼云，并自动写入的新数据导致。 若源端桶内对象总大小<目的端桶内对象总大小： 目的端桶存在残留的碎片文件（任务暂停后未重新恢复，迁移服务会在目的端存在碎片文件）。您可清除目的端桶的残留碎片文件。 输入对象前缀时，实际并未迁移指定前缀的对象，是什么原因？ 可能是前缀的输入有误。迁移服务支持源端指定对象前缀，该前缀为包含着对象所在目录路径的内容，而非仅对象名称的部分，格式为：文件夹/对象前缀。 例如：桶内的根目录有目录A，目录A下有待迁移对象的名为oldfiletest.jpg 和 oldimage.png，则实际待迁移对象的名称应为：A/oldfiletest.jpg 和 A/oldimage.png。指定前缀时，不能仅输入“old”，而应该输入“A/old”。

本文为您介绍分布式消息服务MQTT退订内容。 针对天翼云分布式消息服务MQTT退订操作，具体请参考退订流程。 退订规则说明 客户（天翼云用户）可根据需要，在符合天翼云退订规则的前提下，灵活退订资源。目前退订包含七天无理由全额退订和非七天无理由退订以及其他退订。 七天无理由全额退订。新购资源实例（不包含进行了续订、规格升级、扩容、操作系统变更、按需计费转包周期等操作的资源）在满足以下全部条件的前提下，享受七天无理由全额退订： 在资源开通的7天内发起退订； 发起退订操作的账号（“退订账号”）七天无理由全额退订次数不超过3次（每账号享有3次七天无理由全额退订次数）； 同一用户累计使用的七天无理由全额退订次数不超过15次。其中，同一用户是指：根据不同天翼云账号在注册、登录、使用中的关联信息，关联信息相同天翼云判断其实际为同一用户。关联信息举例：同一名称、同一邮箱、同一负责人证件、同一手机号、同一设备、同一IP地址等（包括已注销的账号）。 客户同意天翼云使用上述信息核查同一用户情况 。 成套资源退订属于退订一个资源实例，记为1次退订。 注意 七天无理由退订仅限于新购资源的情形，若新购资源在7天内进行了续订或变更（包含但不限于规格升级、扩容、操作系统变更、按需计费转包周期），退订时按非七天无理由退订处理，需要收取相应的使用费用和退订手续费，且不退还代金券及优惠券。 参与活动购买的云产品，如若本退订规则与活动规则冲突，以活动规则为准；活动中说明“不支持退订”的云服务资源不支持退订。 执行退订操作前，请确保退订的资源数据已完成备份或迁移，退订完成后的资源将被完全删除，且不可恢复，请谨慎操作。

本文列举了多活容灾服务常用的术语及解释。 命名空间 命名空间是一个逻辑租户的概念，实现对MDR管控配置和数据的逻辑隔离，承载整个多活项目的资源集合，包括了流量入口，多活分区，数据同步，数据监控等内容。用户可以创建多个命名空间，用于逻辑隔离不同的资源。一般推荐按照企业的系统划分，比如OA系统，支付系统等可以各建一个命名空间。 容灾管理中心 容灾管理中心是一个独立的资源管理空间，以虚拟实例的形式独立运行，所有的操作都是在实例内进行，不同实例间的资源相互隔离。用户可以根据业务需要使用一个或若干个容灾管理中心。 容灾演练 为构建高效灾难应对机制，需定期开展基于预案演练体系的全真模拟演练。通过实战化场景复现关键业务系统的灾备恢复流程，重点验证应急响应时效性与数据保全能力，确保在突发灾难时实现业务连续性管理目标，最大限度降低运营中断风险和数据资产损失。 应急切换 当生产中心可用区内的云主机、数据库、存储等生产资源发生重大故障时，为快速恢复业务而进行的一系列的切换或恢复任务，涉及的任务来源于相应的预案流程。 同城主备 同城主备容灾是一种在同城或相近区域内（通常距离小于或等于200KM）建立的容灾策略。包括一个主数据中心，负责日常生产运行和实时数据存储，以及一个备用的数据中心，作为灾难备份中心。当主数据中心因各种原因（如火灾、建筑物破坏、供电故障、计算机系统及人为破坏等）发生故障时，备份数据中心能够快速接管业务，继续提供服务。

功能 说明 通过配置IP黑/白名单，全站加速边缘节点可以识别客户端IP，拒绝黑名单中IP的访问，或者放行白名单中IP的访问，可以解决恶意IP攻击等问题。 Referer防盗链功能，是通过设置HTTP请求头中Referer字段的黑白名单来实现访问控制策略的，从而能可以对用户的身份进行识别和筛选，防止网站资源被盗用。配置Referer防盗链功能后，全站加速边缘节点会根据Referer黑/白名单中的内容，允许合法访问、拒绝非法请求。拒绝访问时，全站加速节点会返回403状态码。 UserAgent（简称UA）是HTTP请求头的组成部分之一，包含访客使用的浏览器类型及版本、操作系统及版本等信息。因此UserAgent是访客身份的象征，标志访客访问时所使用的工具。通过识别HTTP请求中的UserAgent字段中包含的部分信息，可以规范访客的行为，拦截或允许某一类访客的访问，实现防盗链、防盗刷、防攻击的目的。 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，可以配置URL鉴权功能。配置URL鉴权后，全站加速产品会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 可以通过配置远程同步鉴权功能，在全站加速节点收到用户请求后，将请求转发回提前设定的鉴权源站，在源站鉴权许可后，全站加速节点才给用户返回对应内容，从而实现用户鉴权规则由源站全权定义。 天翼云全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 全站加速的有序回源功能是一种流量求并发回源时控制方法，用于大量请的排队管理。 单请求限速功能可以限制全站加速节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。 IP访问限频功能可以限制单个用户IP在天翼云全站加速单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。

批量数据迁移集群 批量数据迁移给用户提供的最小资源单位，一个批量数据迁移集群运行在一个弹性云主机之上，用户可以在集群中创建数据迁移作业，在云上和云下的同构/异构数据源之间批量迁移数据。 数据连接 定义访问数据实体存储（计算）空间所需的信息的集合，包括连接类型、名称和登录信息等。 作业（数据开发） 在数据开发中，作业由一个或多个节点组成，共同执行以完成对数据的一系列操作。 节点 节点用于定义对数据执行的操作。例如，使用“MRS Spark”节点可以实现在MRS中执行预先定义的Spark作业。 资源 用户可以上传自定义的代码或文本文件作为资源，并在节点运行时调用。 函数 函数可以作为脚本/作业参数的值，所有函数都以“$”符号开头，后面接函数名和参数序列。 表达式 数据开发作业中的节点参数可以使用表达式语言（Expression Language，简称EL），根据运行环境动态生成参数值。数据开发 EL表达式使用简单的算术和逻辑计算，引用内嵌对象，包括作业对象和一些工具类对象。 环境变量 环境变量是在操作系统中一个具有特定名字的对象，它包含了一个或者多个应用程序所将使用到的信息。 补数据 手工触发周期方式调度的作业任务，生成过去某时间段内的实例。

天翼云支持哪些类型的物理专线？ 天翼云依托中国电信丰富的网络资源，云专线兼容底层IPRAN、MSTP、MPLS VPN、OTN等多种线路类型，可适配用户不同接入场景的地理位置和环境条件，满足用户多种组网需求。 物理专线支持的最大带宽是多少？ 支持1G/10G/100G等多种端口带宽规格；同时提供端口聚合和链路能力，实现专线带宽弹性扩容，帮助企业轻松应对大流量业务传输场景。如需帮助请联系客户经理咨询详细业务。 物理专线是否支持高可用部署？ 您可以通过负载冗余专线或主备冗余专线方式，实现物理专线的高可用。具体操作，请参见： 双专线负载方式实现客户站点与VPC互通 双专线主备方式实现客户站点与VPC互通 是否支持通过物理专线将本地的VLAN 延伸到VPC中？ 不支持。 天翼云云专线服务目前仅支持与用户本地网络进行三层互连。 物理专线的互联IP地址是什么含义？ 为了客户本地数据中心与天翼云资源池之间的通信，您需要为物理专线两端同时规划IP地址，且两个IP地址处于同一网段，可以直接通信，这两个IP地址被称为互联IP。 用户的互联IP通常有两个：本端互联IP、远端互联IP。 本端互联IP：天翼云资源池到本地数据中心的路由网关。 远端互联IP：本地数据中心到天翼云资源池的路由网关。

监控通知将为您提供云监控平台相关通知消息，为避免您日常使用受到影响，建议你及时关注监控通知消息。 操作场景 监控通知功能便于您及时了解监控平台推送您的重要通知消息。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击右上角“监控通知”按钮，即可查看云监控平台推送的通知消息。 说明 在监控通知抽屉页，您可点击消息右上角“标为已读”按钮，确认您已知晓消息内容。 “监控概览”/“监控面板”页面，监控通知按钮右上角数值，表示用户未读消息数目。 在4.0资源池，监控通知功能在“监控概览”、“监控面板”页面均显示；在3.0资源池，监控通知功能在“监控面板”页面显示。 注意 “监控通知”功能仅在云监控平台根据业务需求，向您推送相关通知信息后，控制台才显示相关功能。

媒体存储满足海量视频、图片及其它非结构化数据存取、处理及弹性扩展要求等场景。 应用场景 场景优势 场景示例 搭配产品/功能指引 视频监控存储 不限制存储空间大小，可根据所需存储量弹性扩展存储空间。 属地化建设与服务，支持专网接入，保障客户数据安全。 提供标准化存储协议，应用无缝接入。 智能视图服务 线上教育培训 支持防盗链，黑白名单等多重安全保护措施。 推荐搭配云点播服务，提供媒资管理一站式服务，支持海量媒资记录检索。 转码等媒体处理能力与存储服务共址建设。 推荐搭配CDN加速服务，快速对接加速分发，保证热点内容观看体验。 云点播 CDN加速 企业视图存储应用 支持海量数据存储，能够处理高并发的数据读写操作。 支持弹性扩展，根据容量和性能付费，无需预先投入大量硬件资源。 自动化的数据生命周期管理实现冷热数据分离，节省成本。 高可用性和异地容灾备份，满足业务连续性的要求。 提供多重安全措施和数据冗余措施，包括加密传输、权限控制和数据跨区备份等。 提供多种存储接入协议，兼容多类上层应用的接入和使用需求。 数据迁移 支持主流厂商的数据迁移。 可灵活配置迁移规则，支持多种迁移策略以及数据覆盖规则。 采用HTTPS数据加密通道，保证迁移传输安全。 数据迁移 数据云上备份 因业务运行需要，希望所有写入媒体存储的数据能够在另一存储区域进行备份，以防止在数据发生不可逆损毁时，有安全、可用的备份数据，可实时切换业务访问路径，保证业务不中断。 存储桶复制 图片文件处理 媒体存储提供一体化图片处理能力以及视频截帧能力，用户上传文件后，可对图片或视频文件进行数据处理，如：图片裁剪、图片缩放、水印、视频截帧等。 数据处理

修改密钥文件 须知 修改密钥文件的操作对系统影响较大，一旦操作失误会导致数据丢失。不推荐使用此功能。 在加密HFile和WAL内容操作中需要生成对应的密钥文件并设置密码，为确保系统安全，在运行一段时间后，用户可修改密钥，使用新的密钥文件对HFile和WAL内容进行加密。 1.使用omm用户执行如下命令生成新的密钥文件。 sh ${BIGDATAHOME}/FusionInsightHD8.1.0.1/install/FusionInsightHBase2.2.3/hbase/bin/hbaseencrypt.sh /hbase.jks /hbase.jks :表示生成的hbase.jks文件的存储路径。该路径和文件名称需与加密HFile和WAL内容章节生成的密钥文件相同。 ：表示密钥文件的别名，请使用与旧密钥文件不同的名字。 表示加密的类型，支持SMS4或AES。 表示密钥的长度，SMS4支持16位长度，AES支持128位长度。 例如，生成SMS4加密的密钥执行： sh ${BIGDATAHOME}/FusionInsightHD8.1.0.1/install/FusionInsightHBase2.2.3/hbase/bin/hbaseencrypt.sh /home/hbase/conf/hbase.jks SMS4 16 ommnew 生成AES加密的密钥执行： sh ${BIGDATAHOME}/FusionInsightHD8.1.0.1/install/FusionInsightHBase2.2.3/hbase/bin/hbaseencrypt.sh /home/hbase/conf/hbase.jks AES 128 ommnew 说明 集群的操作用户需要有/hbase.jks目录的“rw”权限，且要求目录已存在。 运行命令后需要再输入3遍相同的 ，该密码表示密钥文件的密码，请直接使用旧文件的密码，不会产生安全风险。 2.将生成的密钥文件分发到集群中所有节点的相同目录下，并为omm用户配置该文件的读写权限。 说明 请管理员根据企业安全要求，选择安全的操作步骤分发密钥。 3.在FusionInsight Manager的HBase服务配置界面中增加自定义配置项，设置“hbase.crypto.master.key.name”为“ommnew”，设置“hbase.crypto.master.alternate.key.name”为“omm”，然后保存配置。 4.重启HBase服务，使配置生效。 5.在HBase shell中执行major compact命令，生成基于新的加密算法的HFile文件。 majorcompact ' ' 6.从HMaster的网页中可以查看到major compact进度。 7.所有的“Compaction Progress”都为100%且“Remaining KVs”都为0时，使用omm用户执行如下命令销毁旧的密钥文件： sh ${BIGDATAHOME}/FusionInsightHD8.1.0.1/install/FusionInsightHBase2.2.3/hbase/bin/hbaseencrypt.sh /hbase.jks /hbase.jks :表示生成的“hbase.jks”文件的存储路径。该路径和文件名称需与加密HFile和WAL内容章节生成的密钥文件相同。 ：表示要删除的旧密钥文件的别名。 例如： sh ${BIGDATAHOME}/FusionInsightHD8.1.0.1/install/FusionInsightHBase2.2.3/hbase/bin/hbaseencrypt.sh /home/hbase/conf/hbase.jks omm 说明 集群的操作用户需要有/hbase.jks目录的“rw”权限，且要求目录已存在。 8.再执行2，重新分发更新后的密钥文件。 9.从FusionInsight Manager中删除3中新增HBase自定义配置项“hbase.crypto.master.alternate.key.name”。 10.再执行4使配置生效。

本节主要介绍创建灰度任务 基本概念 灰度版本 一个服务仅支持发布一个灰度版本，可以对灰度版本配置相应的灰度策略。 灰度策略 当您需要在生产环境发布一个新的待上线版本时，您可以选择添加一个灰度版本，并配置相应的灰度策略，将原有的生产环境的默认版本的流量引流一部分至待上线版本。经过评估稳定后，可以将此灰度版本接管所有流量，下线原来的版本，从而接管原有的生产环境的版本上的流量。 创建灰度发布 步骤 1 登录应用服务网格控制台，使用以下任意一种方式进入创建灰度任务页面。 （快捷方式）在网格右上方，单击图标。 （快捷方式）在网格中心位置，单击“创建灰度任务”。 在网格详情页创建。 a.单击网格名称，进入网格详情页，单击左侧导航栏的“灰度发布”。 b.如果当前不存在发布中的灰度任务，请在金丝雀发布或蓝绿发布中单击“立即发布”；如果当前存在发布中的灰度任务，请单击右上角“灰度发布”。 步骤 2 配置灰度发布基本信息。 灰度类型 选择创建灰度发布的类型，可根据实际需求选择金丝雀发布和蓝绿发布。 灰度任务名称 自定义灰度任务的名称。输入长度范围为4到63个字符，包含小写英文字母、数字和中划线（），并以小写英文字母开头，小写英文字母或数字结尾。 命名空间 服务所在的命名空间。 灰度发布服务 在下拉列表中选择待发布的服务。正在进行灰度任务的服务不可再进行选择，列表中已自动过滤。 工作负载 选择服务所属的工作负载。 版本号 当前服务版本号，版本号不支持修改。 图 灰度发布基本信息 步骤 3 部署灰度版本信息。 部署集群 灰度发布服务所属的集群。 版本号 输入服务的灰度版本号。 实例数量 灰度版本的实例数量。灰度版本可以有一个或多个实例，用户可根据实际需求进行修改。每个灰度版本的实例都由相同的容器部署而成。 镜像名称 默认为该服务的镜像。 镜像版本 请选择灰度版本的镜像版本。 图 灰度版本信息 步骤 4 单击“发布”，灰度版本开始创建。 请确保灰度版本的实例状态正常，且启动进度为100%时，再开始下一步进行流量策略的配置。发布之后进入观察灰度状态页面，可查看Pod监控，包括启动日志和性能监控信息。 步骤 5（仅金丝雀发布涉及）单击“配置灰度策略”，进行灰度策略配置。 策略类型：分为“基于流量比例”和“基于请求内容”两种类型，通过页签选择确定。 基于流量比例 根据流量比例配置规则，从默认版本中切分指定比例的流量到灰度版本。例如75%的流量走默认版本，25%的流量走灰度版本。实际应用时，可根据需求将灰度版本的流量配比逐步增大并进行策略下发，来观测灰度版本的表现情况。 图 基于流量比例 流量配比：可以为默认版本与灰度版本设置流量配比，系统将根据输入的流量配比来确定流量在两个版本间分发的比重。 基于请求内容 目前支持基于Cookie内容、自定义Header、Query、操作系统和浏览器的规则约束，只有满足规则约束的流量才可访问到灰度版本。例如，仅Cookie满足“UserInternal”的HTTP请求才能转发到灰度版本，其余请求仍然由默认版本接收。 图 基于请求内容 −Cookie内容 正则匹配：此处需要您使用正则表达式来匹配相应的规则。 −自定义Header 完全匹配：只有完全匹配上才能生效。例如：设置Header的KeyUser，VauleInternal，那么仅当Header中包含User且值为Internal的请求才由灰度版本响应。 正则匹配：此处需要您使用正则表达式来匹配相应的规则。 可以自定义请求头的key和value，value支持完全匹配和正则匹配。 −Query 完全匹配：只有完全匹配上才能生效。例如：设置Query的KeyUser，VauleInternal，那么仅当Query中包含User且值为Internal的请求才由灰度版本响应。 正则匹配：此处需要您使用正则表达式来匹配相应的规则。 可以自定义Query的key和value，value支持完全匹配和正则匹配。 −允许访问的操作系统：请选择允许访问的操作系统，包括iOS、Android、Windows、macOS。 −允许访问的浏览器：请选择允许访问的浏览器，包括Chrome、IE。 −流量管理Yaml信息：根据所设置的参数自动生成规则YAML。 说明 基于请求内容流量策略只对直接访问的入口服务有效。如果希望对所有服务有效，需要业务代码对HTTP请求的Header信息进行传播。 例如：如果您基于reviews服务，配置了基于请求内容的灰度发布策略，通过访问productpage服务的界面，是无法看到效果的。 原因是，您的客户端访问productpage服务携带了HTTP请求的Header信息，而productpage服务请求reviews服务时，将这些Header信息丢失了（详情可参考如何使用Istio调用链埋点），从而失去了基于请求内容的灰度发布效果。 步骤 6 设置完成后，单击“策略下发”。 灰度策略的生效需要几秒时间，您可以查看服务的流量监控，以及对原始版本及灰度版本的健康监控。

本页为使用数据传输服务DTS将PostgreSQL数据迁移到PostgreSQL的详细介绍,包括数据迁移支持的源库、目标库,支持的迁移对象及SQL,数据库账号权限说明,操作须知,操作步骤等。 支持的源和目标数据库 支持的源和目标数据库如下表： 源数据库 目标数据库 RDS for PostgreSQL 自建PostgreSQL 9.6/10/11/12/13/14/15/16/17 RDS for PostgreSQL 9.6/10/11/12/13/14/15/16/17 说明 源库为本地自建PostgreSQL数据库时，支持9.6/10/11/12/13/14/15/16/17版本。 源数据库版本不得高于目标数据库版本。 支持的迁移对象及SQL 迁移对象 结构迁移支持的对象： 模式、表、索引、约束（外键、唯一、排他）、视图、物化视图、序列、存储过程、函数、规则、触发器、用户自定义类型、域、账号和权限。 支持的字段类型： 数字类型、货币类型、字符类型、二进制数据类型、日期/时间类型、布尔类型、枚举类型、几何类型、网络地址类型、位串类型、文本搜索类型、UUID类型、XML类型、JSON类型、复合类型、范围类型。 注意事项 每次至多同步一个库（database），同步多个库需要创建多个DTS任务。 模式：不支持pgtoast，pgtemp1，pgtoasttemp1，pgcatalog，informationschema等系统模式的迁移。 表：不支持临时表的迁移，表的索引、约束会一起迁移，表的触发器、规则在全量完成之后迁移。 序列：待迁移的表中有引用序列时，必须同时迁移相应的序列。 映射规则： 可以对库、表、列名进行映射，若对表的列进行映射，则表中涉及到该列的约束将不会迁移。 视图、存储过程、函数、域、自定义类型等对象依赖的表不支持做表名映射，否则视图、存储过程、函数将会失效。 同步对象中如果存在包含longtext、longblob类型大字段的表，建议创建大规格及以上规格的DTS实例进行同步，否则可能会导致 OOM。 若勾选了增量迁移，任务启动后若源库发生主从切换会导致任务失败，不可恢复。 当进行账号权限迁移时： 在目标端创建账号后，会将当前数据库（如postgres）的所有权限授权给该账号。 将迁移到目标端的schema下的所有可用权限授予给该schema的所属账号。 将原表的所属账号迁移到目标表。 暂不支持源库账号对应密码的迁移。

本页为使用数据传输服务DTS将PostgreSQL数据同步到PostgreSQL的详细介绍,包括数据同步支持的源库、目标库,支持的同步对象及SQL,数据库账号权限说明,操作须知,操作步骤等。 支持的源和目标数据库 支持的源和目标数据库如下表： 源数据库 目标数据库 RDS for PostgreSQL 自建PostgreSQL 9.6/10/11/12/13/14/15/16/17 RDS for PostgreSQL 说明 源库为本地自建PostgreSQL数据库时，支持9.6/10/11/12/13/14/15/16/17版本。 源数据库版本不得高于目标数据库版本。 支持的同步对象及SQL 同步对象 结构同步支持的对象： 模式、表、索引、约束（外键、唯一、排他）、视图、物化视图、序列、存储过程、函数、规则、触发器、用户自定义类型、域、账号和权限。 支持的字段类型： 数字类型、货币类型、字符类型、二进制数据类型、日期/时间类型、布尔类型、枚举类型、几何类型、网络地址类型、位串类型、文本搜索类型、UUID类型、XML类型、JSON类型、复合类型、范围类型。 注意事项 每次至多同步一个库（database），同步多个库需要创建多个DTS任务。 模式：不支持pgtoast，pgtemp1，pgtoasttemp1，pgcatalog，informationschema等系统模式的同步。 表：不支持临时表的同步，表的索引、约束会一起同步，表的触发器、规则在全量完成之后同步。 序列：待同步的表中有引用序列时，必须同时同步相应的序列。 映射规则： 不包含增量时，可以对库、表、列名进行映射，若对表的列进行映射，则表中涉及到该列的约束将不会同步。 包含增量时，不支持对库、表、列名映射。 视图、存储过程、函数、域、自定义类型等对象依赖的表不支持做表名映射，否则视图、存储过程、函数将会失效。 同步对象中如果存在包含longtext、longblob类型大字段的表，建议创建大规格及以上规格的DTS实例进行同步，否则可能会导致 OOM。 当进行账号权限迁移时： 在目标端创建账号后，会将当前数据库（如postgres）的所有权限授权给该账号。 将迁移到目标端的schema下的所有可用权限授予给该schema的所属账号。 将原表的所属账号迁移到目标表。 暂不支持源库账号对应密码的迁移。

本文介绍如何通过独享型接入方式将网站接入WAF进行防护。 使用独享型接入方式接入WAF前，需要先添加防护对象。 前提条件 已购买WAF独享型实例，且当前实例支持接入的防护对象数量未超过限制。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到云WAF控制台，在左侧导航栏选择“接入管理”，选择“独享型接入”页签。 5. 点击“添加防护对象”进入信息配置页，依次配置“防护对象”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。 配置项说明如下： 配置项 说明 选择实例 单击“选择实例”，在弹出的选择实例对话框中，找到目标实例，单击操作列的“选择”。 防护对象 填写防护网站的域名或IP。 域名：支持添加精确域名和泛域名。 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 IP：支持防护公网IP、私网IP。 当填写公网IP时，指客户端访问业务系统直接指向的弹性IP（该弹性IP可能绑定在防火墙或WAF上）。 当填写私网IP时（用于内网访问防护场景），填写内网客户端访问的内网IP（因内网访问情况下，WAF代理业务系统，此处需填写WAF代理业务系统的IP而非业务系统本身的IP，即WAF业务网卡的VIP，业务系统内网IP填写在回源IP处）。 说明 采用内部IP代理场景下，因直接通过IP访问，WAF监听对象为WAF本身的IP，为了区分不同的业务，后端多业务不能采用相同端口，例如后端两个不同的业务不能同时采用80端口，否则WAF无法判断业务需要回源到哪个端口，会导致防护无法生效；若内部WAF采用域名进行区分则可配置相同端口。 防护对象名称 自定义防护网站的显示名称。 服务器配置 单击“添加一个服务器端口组”，弹出新增服务器端口组窗口。 选择网站使用的协议类型以及对应的转发服务端口： 协议类型：HTTP/HTTPS。 端口：选中协议后，系统会对应设置默认端口，HTTP协议默认为80端口，HTTPS协议默认为443端口。 用户也可自定义选择其他端口，可选类型： 标准端口：80、8080；443、8443。 非标端口：除以上标准端口以外的端口。 说明 如果防护域名使用非标准端口，请查看WAF支持的端口。 WAF通过此处添加的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口，WAF不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。 源站地址：设置网站的源站服务器地址，支持IP地址格式和域名格式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下： IP地址格式：填写源站的私网IP地址。 最多支持添加40个源站IP或服务器域名。 支持同时配置IPv4和IPv6地址。 说明 如果此处配置私网IP，请确保WAF到源站的网络路径是可访问的，以便于WAF能够对流量进行监控。 域名格式：一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时， WAF会将客户端请求转发到回源域名解析出来的IP地址。 权重：当负载均衡算法为“加权轮询”时生效，所有请求将此处配置的权重轮流分配给源站服务器，权重越大，回源到该源站的几率越高。 不输入则视同为最低权重1。 当输入值为0时，业务不会回源到该站点。 取值范围：0~100的正整数。 说明 当健康检查发现站点出现问题时，剩余站点将按照剩余配置权重进行动态比例变化后的结果进行回源转发，节点回源请求比例节点权重/所有权重之和。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 若设置多个权重为0的节点，仅会回源至列表上第一个权重为0的节点。 所有站点全部健康检查失败，会强制回配置列表第一个节点。 证书配置 若选择HTTPS协议，还需要上传证书，且证书必须正确、有效，才能保证WAF正常防护网站的HTTPS协议访问请求。 1. 点击“上传证书”，进入服务器端证书配置页面。 2. 选择证书类型，支持“通用证书”和“国密证书”。 3. 配置证书。支持证书选择、手动填写、文件上传方式： 证书选择：如您使用了证书管理服务，可通过下拉框选择已有证书。 手动填写：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。 文件上传：填写证书名称，点击“上传”，将与域名关联的证书文件和私钥文件上传至平台中。 说明 手动填写需要将证书和私钥的PEM编码内容填入。 上传证书时，如果证书是.PEM/.CER/.CRT的后缀，可以直接上传；私钥文件若为.KEY/.PEM的后缀，请确保内容格式为PME编码，即可上传。 高级设置 > HTTP强制跳转 选择HTTPS后，还支持启用HTTP强制跳转功能。 HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求，默认跳转到443端口。 如果您需要强制客户端使用HTTPS请求访问网站以提高安全性，则开启该设置。 说明 只有在未选中HTTP协议时，支持开启该设置。 请确保网站支持HTTPS业务再开启该设置。开启该设置后，部分浏览器将被强制设置为使用HTTPS请求访问网站。 高级设置 > TLS协议版本和加密套件 选择证书后，需要配置TLS协议版本和加密套件。WAF默认配置的TLS协议版本为“TLS1.0及以上版本”，加密套件为“全部加密套件”。 TLS协议版本 配置说明如下，为了确保网站安全，请根据业务实际需求进行配置： 支持TLS1.0及以上版本：所有的TLS协议都可以访问网站，兼容性最高，适用于网站无安全性要求的场景。 支持TLS1.1及以上版本：WAF将自动拦截TLS1.0协议的访问请求，适用于网站安全性能要求一般的场景。 支持TLS1.2及以上版本：WAF将自动拦截TLS1.0和TLS1.1协议的访问请求，适用于网站安全性能要求很高的场景。 自定义加密协议：WAF只允许所选TLS协议访问网站。 加密套件 配置说明： 全部加密套件：兼容性较高，安全性较低。 协议版本的自定义加密套件：请谨慎选择，避免影响业务。 WAF支持的加密套件及TLS协议版本详细信息请参见WAF支持的加密套件。 高级设置 > SSL解析方式 选择HTTPS后，支持配置SSL解析方式。支持“单向认证”和“双向认证”。 说明 国密证书暂不支持双向认证。 健康检查 开启健康检查将自动移除对失效源站的转发策略，当失效源站恢复健康后将重新加入转发列表。 开启后，还需配置健康检查策略。 代理情况 选择网站业务在接入WAF前是否开启了其他代理服务（例如DDoS高防、CDN等），按实际情况选择： 否：表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。 是：表示WAF收到的业务请求来自其他代理服务转发，而非直接来自发起请求的客户端。 为了保证WAF可以获取真实的客户端IP进行安全分析，需要进一步设置“源IP获取方式”。 源IP获取方式：系统默认设置为“从Socket连接中获取”，您也可按实际情况，创建一个有序的判定列表，系统将从列表的第一项开始查找，若不存在或者是非法的IP格式，则尝试下一条。 其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则，可选项如下： 从Socket连接中获取 从XFowardedFor连接中获取倒数第x层代理 从HTTP头“XClientIP”中获取 负载均衡策略 当设置了多个源站服务器地址时，需设置多源站服务器间的负载均衡算法。可选项如下： 轮询：将所有请求轮流分配给不同的源站服务器。 IP Hash：将来自同一个IP的请求定向分配给同一个源站服务器。 加权轮询：根据同一组回源地址内配置的权重进行加权回源，权重越大，回源到该源站的几率越高。 设置生效后，WAF将根据设置的负载均衡算法向多个源站地址分发回源请求，实现负载均衡。 流量标记 开启流量标记功能，WAF在转发客户端请求到源站服务器时，通过在回源请求头部添加标记字段，标记该请求经过WAF转发，可以帮助源站判断请求来源。 如果请求中存在指定标记字段，则为WAF检测后的正常请求，放行该请求；如果请求中不存在指定标记字段，则为攻击者请求，拦截该请求。 单击“添加一个标记”，添加流量标记。最多支持添加5个标记字段。 支持如下标记类型： 自定义请求Header，配置自定义Header名、Header值。 客户端真实IP，配置客户端真实IP所在的HTTP Header名。 客户端真实源端口，配置客户端真实源端口所在的HTTP Header名。 注意 请勿填写标准的HTTP头部字段，否则会导致标准头部字段内容被自定义的字段值覆盖。 回源长连接 功能开启后，支持回源长连接功能，WAF独享版最大支持50000个回源长连接。 开启“回源长连接”后，还需配置“空闲连接超时时间”，默认值为10秒，最多支持60秒。 功能关闭后，将不支持WebSocket。 说明 当针对源站健康检查失败时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，直至该源站恢复健康。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。 超时配置 开启超时配置，可以配置如下超时时间： 连接超时时间：WAF转发客户端请求时，与源站建立连接的超时时间。 读连接超时时间：WAF等待源站响应的超时时间。 写连接超时时间：WAF向源站发送请求的超时时间。 以上默认值均为60秒，最短支持10秒，最长支持1200秒。 备注 防护对象的描述信息，可以自定义。 6. 配置完成后单击“保存”，返回独享型接入页面。该网站的WAF防护开关默认开启。

本页介绍天翼云TeleDB数据库智能诊断优化服务模块的安装部署内容。 智能诊断优化服务模块和数据管理服务为融合安装部署模式，对应其中的dasconsole服务。

类型 值 描述 通用（General） 通配符，表示该资源能进行的所有操作。 通用（General） Get 表示该资源能进行的所有的获取操作。 通用（General） Put 表示该资源能进行的所有的设置操作。 通用（General） List 表示该资源能进行的所有的列举操作。 对象（Object） GetObject 可用作于获取对象内容，获取对象元数据。 对象（Object） GetObjectVersion 可用作于获取指定版本对象内容，获取指定版本对象元数据。 对象（Object） PutObject 可用作于PUT上传，POST上传，上传段，初始化上传段任务，合并段。 对象（Object） GetObjectAcl 获取对象ACL的相关信息。 对象（Object） GetObjectVersionAcl 获取指定版本对象ACL。 对象（Object） PutObjectAcl 设置对象ACL。 对象（Object） PutObjectVersionAcl 设置指定版本对象ACL。 对象（Object） DeleteObject 删除对象。 对象（Object） DeleteObjectVersion 删除对象（针对特定版本的对象）。 对象（Object） ListMultipartUploadParts 列举已上传段。 对象（Object） AbortMultipartUpload 取消多段上传任务。

项目 描述 语法 res, err ctyun.queryremote(url, reqinfo, timeout?, direct2client?) 作用 利用cosocket访问第三方网站，得到响应内容。支持简单的单次请求得到响应并处理、响应内容直接发送至客户端两种模式。 入参 url：访问第三方服务的url。示例：" reqinfo：请求信息，包括requestmethod，request body（POST时候需要），request headers，是否打开ssl认证。示例： { method "POST", body "hello world", headers {}, sslverify true } timeout： 超时时间，单位为毫秒。示例：30000，表示超时时间为30s。 direct2client： 是否直接发送至客户端，布尔型。示例：true，标识直接发送至客户端。注：开启时请求第三方的requestmethod需要跟客户端请求一致。 返回值 res：响应结果，luatable类型，{ status, headers, body }。当开启direct2client时此项为字符串done。 err：错误信息。

参数 类型 是否必传 名称及描述 equal String 是 1、包含：TRUE 2、不包含：FALSE zone String 是 粒度（PATH、GEO、ARGS、CI、IP、REQUESTURI、METHOD、IPR、HEADER、IPS、URI） publicContent String 非必须 输入多个时用分号隔开； URI、PATH最多十个； IP最多三百个； 当ZONE不为GEO、ARGS、HEADER时，为必填项 operator String 非必须 当ZONEIPPORT、URI、REQUESTURI、PROTOCOL时生效 1、正则：REGEX 2、字符串：STR geoZone List 非必须 geo地区对象，当ZONEGEO生效 keyName string 非必须 key名称（当zone为args和header时必须）； 1、正则：REGEX 2、字符串：STR keyContent string 非必须 key内容（当zone为args和header时必须） valueName string 非必须 value名称（当zone为args和header时必须） 1、正则：REGEX 2、字符串：STR valueContent string 非必须 value内容（当zone为args和header时必须）

本节包含授予库级dbowner角色权限的相关内容。 操作场景 将目标数据库的dbowner角色权限授予指定用户。 注意事项 存储过程只允许rdsuser或者创建出的主账号执行，创建出的主账号具有和rdsuser相同的权限。创建主账号详细内容请参见创建主账号。 目标数据库不能为系统数据库，系统数据库包括msdb、master、model、tempdb、rdsadmin和resource。 支持将dbowner角色权限授予rdsuser账号。 前提条件 成功连接RDS for SQL Server实例。通过SQL Server客户端连接目标实例。 操作步骤 执行以下命令，授予dbowner角色权限 EXEC master.dbo.rdsadddbowner @dbname, @user; @dbname：目标数据库。 @user：指定用户。 示例 将目标数据库testdb的dbowner角色权限授予testuser，示例如下： EXEC master.dbo.rdsadddbowner @dbname'testdb',@user'testuser';