本文介绍如何采集指定虚拟节点的Metrics。 本文介绍如何通过修改Prometheus监控配置来采集虚拟节点的Metrics。 背景信息 在天翼云Serverless集群虚拟节点的架构设计下，同一Serverless集群内的多个虚拟节点会共享同一个Node IP。由于Prometheus常通过Kubelet Service采集所有节点的Metrics，采集单个虚拟节点的数据会返回所有虚拟节点的全量数据，因此会出现Metrics重复的现象。为了解决这个问题，Serverless集群提供了采集指定虚拟节点的Metrics数据的能力，不但保留了原有的采集端点 :10250/metrics/cadvisor，并且会过滤指定nodeName的数据，避免重复采集数据。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 修改Prometheus监控配置 您可以通过修改监控配置来采集指定虚拟节点的Metrics。Serverless集群支持ccsemonitor插件以及开源Prometheus场景下的配置方式。 Serverless集群安装ccsemonitor插件后配置默认支持采集虚拟节点的Metrics，无需额外操作。开源Promethues配置参考如下： shell scrapeconfigs: ... jobname: cadvisor honortimestamps: true scrapeinterval: 40s scrapetimeout: 10s metricspath: /metrics scheme: https kubernetessdconfigs: role: node bearertokenfile: /var/run/secrets/kubernetes.io/serviceaccount/token tlsconfig: cafile: /var/run/secrets/kubernetes.io/serviceaccount/ca.crt insecureskipverify: false relabelconfigs: sourcelabels: [ metakubernetesnodelabelkubernetesposeidonctyuncncollectorscrape ] regex: true action: keep

本文介绍如何安装与升级cstorcsi插件。 Serverless集群提供cstorcsi插件，基于Kubernetes容器存储接口（CSI），深度融合天翼云存储服务云硬盘、弹性文件存储、对象存储等。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 部分资源池不支持委托，插件安装需要配置用户AK、SK。安装前请首先到天翼云门户“用户”>“安全设置”>“用户AccessKey”中获取AK；SK可以在首次“创建AccessKey”时获取，也可提通过工单获取存量SK。若资源池支持委托，则不需要配置用户AK、SK。 插件安装 1. 登录云容器引擎管理控制台。 2. 在集群列表页点击进入指定集群。 3. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，点击“安装”。 4. 在弹出的安装界面，点击“安装”。 5. 安装成功后将跳转到插件实例列表页，可以看到插件安装状态。如果插件安装失败，可以查看失败日志，通过工单反馈问题。 插件升级/更新 您可以在控制台看插件实例，并根据需要对插件进行升级或者更新。 1. 登录云容器引擎管理控制台。 2. 在集群列表页点击进入指定集群。 3. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，点击进入查看详情。在插件详情页可以看到版本列表，在说明中可以获取各版本发布变更内容，根据需要确定升级版本。 4. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，可以选择版本进行升级，也可以更新插件配置。 说明 如果当前插件版本已是最新版，插件实例列表页将不可见“升级”按钮。

介绍挂载点管理相关操作。 功能说明 产品控制台提供挂载点管理功能，用户可以便捷地管理文件空间的挂载点信息。 前提条件 已注册天翼云账号。 已登录媒体存储控制台。 已完成文件空间新建操作。 使用说明 目前天津资源池2区、天津资源池3区支持挂载点管理操作。其他资源池挂载点信息可以参考文件空间管理。 NFS协议 添加挂载点 1. 登录控制台，选择文件系统菜单，进入【文件系统列表】，选择对应文件系统协议类型为【 NFS 】，在文件系统列表操作栏点击【 管理 】进入页面。 2. 进入文件空间管理页面后，点击【 添加挂载点 】。 3. 填写挂载点信息和权限管理，目前一个文件空间仅支持添加一个挂载点。填写完成后点击【确定】，完成添加操作。 用户映射说明 nosquash：使用root用户访问文件系统映射为root用户。 rootsquash：以root用户身份访问时，映射nfsnobody用户，其他用户映射为对应用户。 allsquash：无论以何种用户身份访问，均映射为nfsnobody用户。 nfsnobody用户是Linux系统的默认用户，只能访问服务器上的公共内容，具有低权限，高安全性的特点，选择rootsquash与allsquash可减少root用户或其他用户误操作带来的问题。若安全需求较低，为减少出现无读写权限的问题，建议配置 nosquash。 管理挂载点 1. 在管理页面可查看挂载点名称、挂载点信息、状态、创建时间等信息，包括对挂载点【管理权限组】、【禁用】操作。 2. 点击【禁用】，确认对该挂载点禁用后，用户将无法使用该NFS文件资源。 SMB协议

介绍创建存储桶快速入门步骤。 功能说明 媒体存储控制台提供创建存储桶操作，用户可通过控制台便捷地完成操作。 在上传文件（Object）之前，需要创建一个用于存储文件的存储空间（Bucket）。存储空间具有各种配置属性，包括访问权限、生命周期等。 前提条件 已注册天翼云账号。 已开通媒体存储并创建存储区域。具体可参考：订购指引。 Bucket命名规范 长度范围为3~63个字符。 支持小写字母、数字和短划线（）。 必须以小写字母或数字作为开头和结尾。 操作步骤 1. 登录进入媒体存储控制台，进入【对象存储Bucket列表】菜单，点击【新建Bucket】。 2. 单击【新建Bucket】后，在弹窗填写名称、区域并选择权限，点击【保存】完成Bucket的新建。 配置参数 参数 参数说明 Bucket名称 长度范围为3~63个字符。 支持小写字母、数字和短划线（）。 必须以小写字母或数字作为开头和结尾。 存储区域 根据已开通的存储区域，选择存储桶所属存储区域。创建存储桶成功后，存储区域无法变更。 权限 私有：只有该Bucket的拥有者或被授权者可以对该存储桶内的对象进行读写操作。 公共读：可以通过匿名身份直接读取您Bucket中的数据，存在较高的安全风险，不推荐此配置，建议您选择私有。 公共读写：可以通过匿名身份直接读取/写/删除您Bucket中的数据，存在较高的安全风险，不推荐此配置，建议您选择私有。 服务端加密方式 选择服务端加密方式，表示上传Object时进行加密的方式，可选【无】或【XOS完全托管】。目前仅部分资源池支持此能力，具体可参考服务端加密。

本文将为您介绍天翼云短信服务的模板规范。 模板规范 添加短信模板并提交审核时，需要保证模板内容符合以下公共规范和模板规范。 公共规范 类别 规范 :: 模板格式规范 500字符以内（含变量）。 注意： 不支持【】，会与签名混淆。不支持繁体字和特殊符号，例如：①★※→等。 支持中文，英文，数字，符号，例如：~!@ $%&（），。？,。+{}￥……^。 内容规范 短信模板需明确表述短信发送的实际内容，且所有模板均禁止发送金融相关的所有内容。 不支持发送未经许可的信息，主要指邀请注册、邀请成为会员的商业性信息。 禁止发送涉及：色情、赌博、毒品、党政、法律维权、众筹、慈善募捐、宗教、迷信、股票、留学移民、面试招聘、博彩、贷款、催款还款、信用卡提额、投资理财、中奖、抽奖、一元夺宝、一元秒杀、一元云购、二类电商、A货、烟酒、交友、暴力、恐吓、皮草、返现返利、代开发票、运营商禁止发送的信息、代理注册、代办证件、加群、加QQ或者加微信、贩卖个人信息、运营商业务、流量营销、违反广告法用语、殡葬、刷单、做任务、空包网、邀请好评、转店类、拉新、众包业务、POS机、积分兑换等内容的短信。 禁止在关键字或关键信息中出现错别字、变体字、异体字、各类干扰符号等；禁止出现各类非正常混合字以及非常用的表达法。 不支持内容中含有直接或间接访问应用内测分发平台的行为。 备注： 地产、留学、招聘、交友、游戏等行业仅支持发送验证码短信。 注意：如出现违法违规或者损害到相关他人权益的，平台将保留最终追究的权利！请各会员严格遵守规范要求，加强自身业务安全，发送合规短信。

您可以创建IAM子用户，为IAM用户授予不同的权限，提供给企业各部门来管理短信服务资源，避免用户共用云账号密钥，降低企业信息安全风险。 背景信息 云通信支持通过IAM创建IAM子账号，并为其授予云通信的操作或查看权限，便于多用户协同操作。 IAM支持为用户绑定自定义权限策略，需要主用户创建对应的策略机制。 权限策略 权限策略包含系统策略 和 自定义策略 ，您可以根据需求选择系统策略或自定义策略，为IAM子账号进行授权。 系统策略 系统策略权限定义如下表所示： 策略名称 作用 适用范围 SMS admin 用于管理云通信服务的权限，包含读写。 能够进入短信服务控制台，使用控制台的所有操作。 SMS viewer 用于只读云通信服务的权限，仅可查看。 仅查看控制台，不做任何操作。 自定义策略 如果系统策略无法满足您的需求，您可以自定义符合您要求的权限策略。 1.使用天翼云账号登录这里进入IAM系统。 2.在左侧导航栏点击策略管理。 3.在右上角点击创建自定义策略按钮。 为IAM子账号授权

本文汇总了密钥管理操作类常见问题。 如何使用密钥实现数据加解密？ KMS提供了REST（Representational State Transfer）风格API，支持通过HTTPS请求调用。用户可使用提供的API实现加解密运算等操作。下面以使用用户主密钥进行数据加解密为例介绍实现过程： 加密流程（以加密证书为例）： 1.通过KMS控制台或者调用CreateKey接口，创建一个用户主密钥（CMK）； 2.调用KMS服务的Encrypt接口，将明文证书加密为密文证书； 3.将密文证书部署在服务器上； 4.当服务器启动需要使用证书时，调用KMS服务的Decrypt接口将密文证书解密为明文证书。 如何导入外部自带密钥？ 创建密钥后，首先进入密钥详情页获取导入主密钥材料的参数，参数包括加密公钥及导入令牌，用户使用获取到的公钥加密自带密钥材料，然后在控制台密钥详情页，根据页面提示上传自带密钥材料即可。 从KMS获取到的导入令牌与加密密钥材料的公钥具有绑定关系，一个令牌只能为其生成时指定的主密钥导入密钥材料。导入令牌的有效期为24小时，在有效期内可以重复使用，失效以后需要获取新的导入令牌和加密公钥。 如何删除密钥？ KMS不支持立即删除，仅支持计划删除，即用户需设置预删除周期（自定义7~30天），系统会在到期时自动删除密钥，预删除期间密钥仍托管至系统中，但无法被调用实现加解密等相关功能。 设置密钥计划删除后，密钥将不再产生费用。若您在预删除期间发现密钥仍需继续使用，则可以选择取消计划删除，使密钥重新变为可用。

本文为您介绍分布式消息服务MQTT的快速入门连接实例。 创建用户名和密码 终端设备连接MQTT队列需要先创建用户密码。 1、 天翼云官网点击控制中心，选择产品分布式消息服务MQTT。 2、 登录分布式消息服务MQTT控制台，点击右上角地域选择对应资源池。 3、 进入实例列表，点击【管理】按钮进入管理菜单。 4、 进入认证授权菜单，点击【新增】按钮，在弹出框输入认证用户名、用户密码、确认密码等信息。 主题授权 对用户名进行主题授权，客户端方可正常收发。 1、 选择需要授权的用户，点击【授权】按钮。 2、 在弹出框填写已创建的主题名称，主题权限包含3种：pub、sub、pubsub，支持通配符， 代表所有主题。 绑定公网IP 公网接入若未绑定弹性公网ip需先进行购买弹性ip并进行绑定。 弹性IP是可以独立申请的公网 IP 地址，包括公网IP地址与公网出口带宽服务。可以与分布式消息服务MQTT动态绑定和解绑，实现云资源的互联网访问。针对需要公网访问分布式消息服务MQTT实例的需求，用户可开通弹性IP后，在MQTT实例页面进行绑定。 1、 进入实例列表，点击【管理】按钮进入管理菜单。 2、 在实例详情查看公网IP，点击【绑定】按钮，选择已购买的弹性IP。 弹性ip带宽大小计算规则可参照：带宽 报文大小TPS 120%，建议按120%购买，应对突发流程。如规格，报文大小1KB，TPS 2W/s，则带宽2000010008160Mb/s,建议200Mb/s。

更新授权及申请测试 申请测试 1. 登录之后，点击下图中的“申请试用”选项，会显示申请免费测试VPN序列号的申请页面。 2. 在申请页面填写有效手机号码等必填的相关信息，填写后点击“提交申请”。 3. 大约20分钟左右手机短信会收到一个月的免费测试VPN序列号，然后点击“在线授权”选项，复制填写授权 ID 和序列号即可。 更新授权 如果当前的免费测试VPN序列号测试完了，要购买正式SSL序列号。 更换SSL序列号时，点击“更换序列号”填写正式的授权ID和序列号即可。 说明 更新VPN序列号会自动重启SSL VPN服务，也就是当前已连接的SSL客户端会中断一下，如果当前SSL业务不能中断，可选择其他空闲时间再更新。 修改客户端接入端口 客户端拨入SSL VPN隧道的默认端口是TCP443，打开方式是电脑打开浏览器，地址栏输入 VPN后请在SSL VPN的Web控制台管理页面对端口进行修改。 具体操作步骤如下： 1. 登录SSL VPN的Web控制台管理页面 2. 选择“系统设置 > SSL VPN选项 > 系统选项 > 接入选项”，在“用户访问入口”修改SSL VPN客户端接入端口。将443改成4433或其他端口，保存并立即生效。 3. 然后在天翼云的SSL VPN云主机安全组中放通相应的SSL VPN客户端端口（比如改成了TCP4433端口，那客户端接入SSL VPN隧道是打开

怎么保证检测的漏洞的准确性？ 漏洞的检测方式为版本比对和POC验证两种方式。 版本比对：通过获取应用的安装包版本和进程版本，将其与应用的漏洞版本进行比对。 POC验证：对漏洞逐个进行分析，根据漏洞原理编写对应的漏洞验证脚本，逐个漏洞进行检测。 是否可以对内网主机进行监测防护？ 安装服务器安全卫士Agent需要能通过公网连通服务器安全卫士服务端，如果是内网环境的话，可以选择一台CentOS 7的主机做代理机进行安装，代理机需要能同时连通服务端和内网主机。 Agent与Server之间的通信使用哪些端口？ 需放开80/8001/8002/8443/6677/7788端口。 Agent如何增强自身安全性？ Agent自身安全性，采用加壳技术反调试、抗逆向，共享库防篡改，采用签名进行升级保护。 Agent多锚点入侵检测，及时发现和处理黑客攻击，一般不会被黑客获取到kill掉Agent的权限。 服务端对于Agent离线、卸载、频繁掉线有监控和告警。 Agent与服务端通信加密、数据加密，黑客即使拿下Agent也不会获取主机数据。 服务端是否有登录失败处理功能？ 服务端具有登录失败处理功能，默认登录失败5次，则会封停15分钟。 服务器端产生的日志存储机制？ 服务端java应用产生日志默认会保留180天 日志路径：/data/titanlogs/java/ 日志限制： 每个服务每类日志（request.log/info.log/warn.log/error.log/lib.log）每个日志文件最大为100MB，超过100MB会滚动下一个日志文件记录。 单类日志总的日志大小限制为10GB，超过限制的会删除最早产生的日志。 服务端每类日志理论上占用10GB，一个服务理论最大占用50GB，总共大约占用为200G。

本页面主要介绍云主机备份对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表中，选择事件来源为“计算”，资源类型选择“云主机”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

本文主要介绍使用VNC Viewer连接linux轻量型云主机。 实践场景 用户可通过控制面板登录轻量型云主机，也可以在本地电脑通过SSH的连接方式连接到虚机。一般来说，SSH的登录环境都是命令行界面，这对于一部分不熟悉使用命令行界面或者需要进行一些较为复杂操作的用户不是很方便，需要使用图形化界面。通过安装VNC Viewer可以实现这个目的，本文将通过Ubuntu 18.04操作系统的轻量型云主机，为您介绍如何安装VNC Server，并通过VNC Viewer连接轻量型云主机。 准备工作 需要先在天翼云官网创建一台轻量型云主机，创建时的操作系统选择为Ubuntu 18.04。 本地电脑已安装了VNC Viewer客户端，您可通过对应官网下载获取VNC Viewer的客户端。 操作步骤 安装VNC Server 默认情况下，Ubuntu 18.04操作系统没有安装图形环境或VNC Server。本示例中，桌面环境使用Xfce，它是一个精简的轻量化桌面，与Gnome和KDE相比更小巧，并且界面美观、对用户友好，适合轻量型云主机远程连接场景下使用。 1. 登录轻量型云主机控制台，点击“远程登录”操作功能，登录VNC界面。依次在命令行中敲入： 用户名：root（默认）。 密码：用户创建时设置的密码。 2. 安装图形化界面及VNC Server。天翼云平台提供的系统镜像内一般未预装图像化界面及图形化桌面，所以需要用户自行进行安装。本文将采用Xfce桌面环境，及TightVNC，TightVNC时一款远程桌面应用程序。 更新可安装列表，输入命令： sudo apt update 安装软件，依次输入以下命令： sudo apt install xfce4 xfce4goodies sudo apt install tightvncserver

本页面主要介绍弹性云主机对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云++云审计服务++，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考++使用限制云审计++。 操作步骤 1. 开通云审计服务。 参见++开通云审计服务云审计++。 2. 查看云审计事件。 参见++查看审计事件云审计++。 3. 在事件列表中，选择事件来源为“计算”，资源类型选择“云主机”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考++用户指南、++++常见问题++。

云硬盘支持对用户操作进行审计,本文介绍相关操作说明。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 字段 创建云硬盘 createvolume 挂载云硬盘 attachvolume 卸载云硬盘 detachvolume 删除云硬盘 deletevolume 退订云硬盘 refundvolume 续订云硬盘 renewvolume 扩容云硬盘 resizevolume

本文带您快速熟悉修改后端云主机端口和权重的操作。 操作场景 负载均衡后端主机组支持对后端主机的端口和权重进行修改，权重越高的后端主机将被分配到越多的访问请求。 修改后端主机端口和权重功能目前仅在集群模式资源池上线。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 使用须知 在将后端云主机添加到弹性负载均衡器后，您可以为每个后端云主机指定不同的端口号。每台后端主机的权重取值范围为[1, 256]。 操作步骤 1. 登录天翼云控制中心。 2. 选择网络>弹性负载均衡>负载均衡器”。 3. 单击已创建的负载均衡器实例名称。 4. 在该负载均衡详情界面，选择“后端主机组”标签。 5. 选定特定的后端主机组，点击左侧箭头展开主机组，显示“云主机”和“跨VPC后端IP”两个选项卡，选择“云主机”选项卡。 6. 从云主机列表中选择要修改的云主机，点击“修改”。 7. 依据后端主机端口和权重配置说明，在弹出的修改后端主机窗口内修改后端主机的端口和权重配置。 8. 点击“确定”，即可完成修改后端主机端口和权重的操作。 后端主机端口和权重配置说明 参数 说明 端口 后端云主机的服务监听端口，取值范围[165535]。 权重 后端虚拟机权重。权重值决定了后端云主机处理的请求的比例。例如，一个权重为2的云主机处理的请求数是权重为1的两倍。默认情况下，权重为1。

本文汇总了使用弹性负载均衡产品时常见的操作类问题。 经典型和性能保障型负载均衡有什么区别？ 经典型负载均衡适用于访问量较小，应用模型简单的web业务，可满足大部分应用程序的负载均衡需求，具备基本的流量分发和健康检查功能。经典型负载均衡同VPC内多实例性能共享。 性能保障型负载均衡适用于对性能有较高要求的应用场景，能够提供更强大的性能和扩展能力。性能保障型负载均衡为收费产品，为集群模式部署，支持经典型升级为性能保障型，支持规格升级、降级。 经典型负载均衡是否支持升级为性能保障型？ 支持。部分地域同时支持经典型负载均衡和性能保障型负载均衡，支持将经典型负载均衡实例升级为性能保障型，用户可以登录天翼云控制中心相关操作，请以控制台实际功能为准。升级过程涉及底层迁移，有秒级流量中断，建议在业务低谷时段维护窗口操作，详见 经典型升级性能保障型。 弹性负载均衡器是否可以单独使用？ 弹性负载均衡（CTELB ，Elastic Load Balancing）是一种分发控制网络流量的服务，通过预先设定的算法将访问流量自动分发到多台云主机，扩展应用系统对外的服务能力，实现更高水平的应用系统容错性能。负载均衡器的主要能力是对访问流量进行分发，并不能替代服务本身，至少需要配置云主机的云资源作为后端主机才能搭建一个基本服务。如果需要通过负载均衡对外网提供服务，还需要与弹性IP、IPv6带宽等产品搭配使用。

本页面主要介绍云专线对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云++云审计服务++，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考++使用限制云审计++。 操作步骤 1、开通云审计服务。 参见++开通云审计服务云审计++。 2、查看云审计事件。 参见++查看审计事件云审计++。 3、在事件列表中，选择事件来源为“广域云网”，资源类型选择“云专线”，上方时间选择需要筛选的时间段。点击查询即可。 4、在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考++用户指南、++++常见问题++。

本文介绍网站性能测试的最佳实践。 天翼云通用型S6、计算增强型C6 等新一代云主机上提供超高网络性能，您可通过本实践提供的 netperf 和 DPDK 两种网络性能测试方法，进行云主机高吞吐网络性能测试。 推荐选择 netperf 方法进行测试，netperf 为通常使用的测试方法，可满足大多数测试场景。但当云主机配置较高（pps 超过1000万且带宽大于50Gbps）时，netperf包含云主机机内核协议栈的完整处理路径对网络性能损耗较大，而 DPDK 可屏蔽虚拟机内核协议栈的差异，获取虚拟机网卡的网络性能，此时可选择 DPDK 方法进行测试。 netperf测试 工具介绍 Netperf HP 开发的网络性能测量工具，主要测试 TCP 及 UDP 吞吐量性能。测试结果主要反应系统向其他系统发送数据的速度，以及其他系统接收数据的速度。 SAR 用于监控网络流量，运行示例如下： plaintext sar n DEV 1 02:41:03 PM IFACE rxpck/s txpck/s rxkB/s txkB/s rxcmp/s txcmp/s rxmcst/s 02:41:04 PM eth0 1626689.00 8.00 68308.62 1.65 0.00 0.00 0.0002:41:04 PM lo 0.00 0.00 0.00 0.00 0.00 0.00 0.0002:41:04 PM IFACE rxpck/s txpck/s rxkB/s txkB/s rxcmp/s txcmp/s rxmcst/s 02:41:05 PM eth0 1599900.00 1.00 67183.30 0.10 0.00 0.00 0.0002:41:05 PM lo 0.00 0.00 0.00 0.00 0.00 0.00 0.00 sar n DEV 1：该命令每秒钟报告一次网络设备的性能统计信息

本文主要介绍云日志服务如何创建日志项目与日志单元。 在采集日志前，您需要先创建日志项目与日志单元。 日志项目是云日志服务的资源管理单位，您可使用日志项目管理不同的应用、产品或项目中的数据。每个日志项目下可创建多个日志单元，是您访问云日志服务资源的入口。 日志单元是云日志服务中日志数据的采集、存储、查询、分析的基本单元。每个日志单元隶属于一个日志项目，每个日志项目中可创建多个日志单元。 本文主要介绍云日志服务如何创建日志项目与日志单元。 前提条件 已开通云日志服务。详情请参考开通云日志服务 操作步骤 1. 登录云日志服务控制台。 2. 创建日志项目。 1. 在日志项目列表中，点击【创建项目】。 2. 在创建项目界面中，输入项目的名称，项目名称全局唯一，且创建后不可修改。 3. 点击确定，日志项目创建成功，即可在日志项目列表下方生成一条日志项目信息。 3. 创建日志单元。 1. 点击日志项目名称对应的下拉按钮，点击【创建单元】。 2. 在创建日志单元界面，输入以下参数： 1. 日志单元名称：输入单元名称，注意单元名称在当前项目内不可重复，且创建后不可修改。 2. 日志存储时间：指日志采集后在云日志服务中的存储时长，超出存储时长后，日志数据将被老化删除。目前最长保存时间为365天。 3. 点击保存，日志单元创建成功，即可在目标日志项目下方生成一条日志单元信息。

本文介绍创建告警规则的步骤。 云监控支持灵活的创建告警规则。您既可以根据实际需要对某个监控指标设置自定义告警规则，同时也能够使用告警模板为多个资源或者云服务批量创建告警规则。 说明 目前仅支持监控“一类节点”区域的实例。 云堡垒机（原生版）支持的区域请参见支持的区域。 操作步骤 1. 登录天翼云控制中心。 2. 在产品服务列表中“管理与部署 > 云监控服务”，进入云监控服务主页面。 3. 在左侧导航栏，选择“云服务监控”，单击“云堡垒机”产品。 4. 在云堡垒机监控列表中选择目标的实例，单击操作列的“创建告警规则”。 5. 在“创建告警规则”页面，根据界面提示配置参数。 配置参数及相关含义说明如下： 模块 参数 参数说明 配置示例 选择监控对象 规则类型 选择规则的类型，主要包括指标监控、事件监控、站点监控、自定义监控、自定义事件五种。 指标监控 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云堡垒机（原生版） 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 云堡垒机实例 选择监控对象 监控对象类型 具体实例/资源分组/全部资源 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 实例名称 定义告警策略 选择类型 支持自定义创建 、从模板导入。 自定义创建 定义告警策略 策略 支持选择满足全部 或任意策略。 策略信息包括： 监控指标，支持的监控指标请参见[实例支持的监控指标](/document/10261769/11086138

本文将介绍如何使用安全与加速服务运维服务能力。 使用场景 边缘安全加速平台的安全与加速服务，除了有丰富的安全加速能力，也提供了丰富的运维服务能力帮助您更好地维护网站域名，如业务报表、安全报表、态势感知大屏和监控告警。当您的域名接入安全与加速服务后，能够使用这些运维服务能力快速构建自己的运维体系，本文将介绍如何使用这些运维服务能力。 业务报表 业务报表功能包含了用量分析、热门分析、用户分析三大块内容，帮您实时地了解自己的网站业务运行情况。 用量分析 用量分析模块统计并展示了带宽流量、回源统计、请求数、命中率、状态码、PV/UV、地区运营商七个报表的内容。 带宽流量统计：展示了带宽、流量的峰值趋势，以及每日的流量总值和总带宽峰值信息。 回源统计：展示了回源带宽、流量的峰值趋势，以及每日的回源流量值和回源带宽峰值信息。 请求数统计：展示了请求次数、QPS的访问趋势图，以及每日的总请求数、静态http请求数、动态http请求数、静态https请求数、动态https请求数信息。 命中率统计：展示了流量命中率、请求命中率趋势信息。 状态码统计：展示了请求状态码的趋势，以及统计时间段内的状态码出现次数及占比信息。 PV/UV统计：展示了PV/UV的趋势，以及按天的粒度统计当天的浏览量和访问量信息。 地区运营商统计：展示了各个地区的峰值带宽、流量、流量占比、请求数、请求数占比信息。

本文介绍高性能网络增值服务的适用场景和配置说明。 功能介绍 高性能网络是天翼云边缘安全加速平台—安全与加速服务的一项跨境能力进阶型增值服务，当普通国际网无法满足客户跨境传输需求时，通过开通高性能网络，利用其单独直连性、轻负载、高稳定性的特性，能帮助客户实现全链路低延时，低丢包率，高稳定性的跨境加速效果。 适用场景 高性能网络适用于如下三类业务场景： 场景一：海外跨国企业，有海外用户和中国大陆用户，由于在中国没有实体无法备案域名等原因（关于域名合规接入的条件说明，详情请见：使用限制的加速域名准入条件），需要用临近中国大陆的海外边缘安全加速平台节点（如香港节点）服务中国大陆用户。 常规节点跨境是走公共互联网，在没有高性能网络直连的情况下，链路一般会绕欧美地区，导致时延大，丢包率高，访问体验差甚至访问失败。 场景二：海外跨国企业，有海外用户和中国大陆用户，有中国实体并备案域名，但是由于源站在海外，国内节点跨境回海外中间节点或海外源站是走公共互联网，在没有高性能网络直连的情况下，链路一般会绕欧美地区，导致时延大，丢包率高，访问体验差甚至访问失败。 场景三：中国企业出海，源站在中国，用户在海外，海外节点回中国源站时涉及跨境，常规节点跨境是走公共互联网，链路不稳定，丢包率高、时延大、访问慢等问题比较突出，影响访问体验。

本节介绍态势感知的威胁告警功能简介。 背景信息 态势感知威胁告警功能汇集了多个安全服务的告警能力，按照告警类型和等级统一维度呈现，可以准确实时监控云上威胁攻击、检测您资产中的安全告警事件。 同时，通过威胁分析，从攻击源和受攻击资产两个维度，帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。 态势感知威胁告警支持以下功能项： 告警列表：通过“实时监控”云上威胁告警事件，并接入HSS、WAF等服务上报的告警事件，提供告警通知和监控，记录近180天告警事件详情。 威胁分析：从“攻击源”或“被攻击资产”查询威胁攻击，统计威胁攻击次数或资产被攻击次数。 告警类型 目前SA支持检测8类威胁告警事件，共包括200+种子告警类型。 DDoS事件 “实时检测”互联网主机的DDoS攻击。 共支持检测100+种子类型的DDoS威胁。 网络层攻击：NTP Flood攻击、CC攻击等。 传输层攻击：SYN Flood攻击、ACK Flood攻击等。 会话层攻击：SSL连接攻击等。 应用层攻击：HTTP Get Flood攻击、HTTP Post Flood攻击等。 暴力破解事件 “实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。

N100可以防护多个VPC之间的流量吗？ 防火墙可以实现多个VPC流量防护。 前提条件如下： VPC的虚拟路由器需要支持写全0默认路由，配置下一跳为对等连接，且写了默认路由不影响直接绑定EIP的业务主机转发。 该方式会打通原本隔离的2个VPC网络，能接受2个VPC网络打通带来的安全风险。 N100是否支持上网行为审计？ 支持，例如QQ用户、微信用户、微博用户的使用情况。N100在上网行为审计方面的功能相对有限，可能不如专门的审计工具或高级审计解决方案强大。如果您有特定的审计需求，可能需要考虑额外的审计工具以满足您的要求。然而，N100通常专注于网络安全和流量管理，提供基本的审计功能以辅助安全监控和合规性要求。 N100默认账号密码？ 强烈建议在N100安装交付后立即更改默认账号和密码以提高安全性。默认账号和密码是保密信息，为了确保您的网络的安全，无法在此提供默认凭据。 请在天翼云官网上提交N100的技术支持工单联系支持团队以获取有关如何更改及默认凭据的详细信息。保护默认凭据的机密性对于网络安全至关重要。 是否支持流量统计分析？ 支持流量统计分析功能。它可以提供外部访问和主机外联流量的统计数据，帮助您了解网络流量的模式、趋势、来源和目标。然而请注意，N100的主要焦点是在流量统计方面，而不是深入的流量分析。对于更深入的分析需求，您可能需要考虑使用专门的流量分析工具或安全解决方案。

加密脱敏 通过加密算法和加密主密钥生成一种加密配置，达到数据脱敏的效果。加密脱敏的结果中，初始向量IV为加密字符串的前16个字节，剩余部分是加密的密文。 1. 参照操作步骤进入“脱敏规则”页面。 2. 选择“加密脱敏”页签，进入“加密脱敏”页面。 “加密算法”：在下拉框中选择加密算法，DSC提供了AES128、AES192和AES256三种加密算法供您选择。 “加密主密钥”：如果您已在天翼云其他云服务里创建了主密钥，可在下拉框里直接选择已创建的主密钥。如果您还未创建主密钥，可单击“创建KMS主密钥”，跳转到数据加密服务里创建主密钥，具体的操作可参见创建密钥。 3. 配置完成后，单击“生成加密配置”。 如果您需要删除已配置的加密脱敏规则，可在目标规则所在列的“操作”列，单击“删除”。 字符掩盖 使用指定字符“”或随机字符，按照指定方式遮盖部分内容。 支持“保留前n后m”、“保留自x至y”、“遮盖前n后m”、“遮盖自x至y”、“特殊字符前遮盖”和“特殊字符后遮盖”六种字符掩盖的方式。 1. 参照操作步骤进入“脱敏规则”页面。 2. 选择“字符掩盖”页签，进入“字符掩盖”页面。 3. 单击“添加”，配置字符脱敏规则。 4. 输入“原始数据”，单击“测试”，在“脱敏结果”文本框中展示已完成脱敏的数据。 5. 测试确认无误后，单击“保存”。 说明 数据安全中心服务中已预置多种字符脱敏规则。内置的脱敏规则不支持删除，自定义的规则可以在规则列表的“操作”列，单击“删除”，删除规则。 所有的规则都支持编辑，在规则列表的“操作”列，单击“编辑测试”，修改规则。

本章节介绍MSAP管理类常见问题 MSAP系统中可以自定义创建成员？ 添加子账号请访问 控制台。所有操作云容器引擎命名空间（创建环境绑定云容器引擎命名空间或部署应用）的子账号需要先被主账号授予云容器引擎集群命名空间权限，才可以将已授权的集群命名空间权限授予给其他子账号。账号同步需要子账号用户先登录天翼云官网并访问MSAP控制台才可同步成功。 MSAP系统是否支持无限量的创建项目？ 不允许无限量创建项目，因为此数据受租户配额管理，最多允许租户创建100个项目，如确实需要增加项目数，可以联系客服人员进行合理增加。 跳转到日志服务后，检索不到日志内容？ 出现此问题先按照如下方式进行检查。 1. 检查日志插件是否正常安装，可以在日志收集配置处，点击如何收集日志按钮，按照指引跳到对应的插件界面进行检查和安装。 2. 检查日志路径是否配置正确，配置的路径需要是有日志输出的路径才能正确收集到日志，修改了日志路径，需要再次部署应用才能生效。 应用发布成功后，没有注册到环境中添加的注册配置中心？ 程序中能识别的配置要与官方配置内容格式一致。 Springcloud配置： spring.cloud.nacos.discovery.serveraddr: 127.0.0.1:8859 spring.cloud.nacos.discovery.namespace: default spring.cloud.nacos.discovery.username: xxxxx spring.cloud.nacos.discovery.password: xxxxx Dubbo配置:： dubbo.registry.address: 127.0.0.1:8859 dubbo.registry.username: xxxxx dubbo.registry.password: xxxxx dubbo.registry.parameters.namespace: default

消费群组 在kafka中，某些Topic的主题拥有数百万甚至数千万的消息量，如果仅仅靠个消费者进程消费，那么消费速度会非常慢。Kafka提供的消费组功能，一个分区只可以被消费组中的一个消费者所消费, 一个消费组中的一个消费者可以消费多个分区。消费组三大优势消费效率更高、消费模式灵活、便于故障容灾。 消息回溯 Kakfa消息写入Broker后，会保存一段时间。在这段时间内，如果消费者导致消息丢失(比如消费者过早的提交了偏移量，发送故障，进行rebalance)，可以通过发送seek指令到消费者，告诉其从具体的偏移量开始重新消费。 消息清理 Kafka每一个分区副本都对应的一个 log 日志文件。而 Log 又分为多个 LogSegement 日志分段，每个片段可以设置大小，当达到上限，就关闭当前文件，打开一个新的文件。这些片段是不能永久保存的，达到一定的条件，就需要清理。Kafka包括基于时间，基于日志大小，基于日志偏移量三种模式。 基于时间模式，检查日志文件中是否有保留时间超过设定的的阀值(log.retention.hours, log.retention.minutes ,log.retention ms三个值配合)，符合条件则删除。比如log.retention.hours设置为24，则保留仅1天的片段数据，其他的都删除。注意，活跃的片段(正在写入的片段)是无法删的，以下几种模式也一样。 基于日志大小模式，检查片段文件的大小是否超过设定的阀值（通过log.segment.bytes设置单个片段的大小），符合条件则删除。 基于日志起始偏移量模式，检查片段文件的偏移量(结束位置)是否小于设置的偏移量阀值，符合条件则删除。

本文介绍如何创建集群。 集群是运行应用的逻辑分组，包含一组云主机资源，每个节点对应一台云主机。首次使用时，您需要创建一个初始集群，最低限度添加一个节点。本章节将演示如何快速创建一个容器集群。 操作前提 需要预先注册天翼云平台账号。 能够确保账户中有充足的余额，否则将导致您的业务开通失败。 在【创建集群】之前，请确保已完成VPC、子网的创建及安全组的配置，也可在创建集群过程中进行VPC和子网的创建。 操作步骤 1.登录天翼云控制台； 2.选择【控制台】>点击切换到具体资源池，如杭州2节点； 3.在控制台中找到【容器服务】>点击【容器引擎】，进入容器服务界面； 4.进入【总览】页面>单击【创建集群】按钮，进入集群创建界面； 5.输入集群名称 cluster1，其余参数保持默认。若未创建虚拟私有云和子网，请优先创建虚拟私有云%20%20%E8%A1%A5%E5%85%85%E6%9C%80%E4%BD%B3%E5%AE%9E%E8%B7%B5.docx

本章节为您介绍系统统计报表相关功能。 数据资产分析 “数据资产分析”页面的功能是让用户知道自己有哪些资产，哪些资产更加敏感，哪些资产经常做数据脱敏等，刚进入本页面时，页面会展示系统自动更新过的数据。 数据安全专区会在每天凌晨自动更新数据。但是您也可以选择点击手动更新按钮来获得当前时间最新的数据。 1.使用系统管理员登录数据脱敏实例。 2.在左侧导航栏选择“系统统计报表 > 数据资产分析 ”，进入“数据资产分析”页面，即可查看数据资产情况。 本页信息一共展示了任务运行概述、数据源类型分布、数据源和schema粒度的敏感程度排名top10、敏感标签词云以及资产统计清单这些数据分析内容。 脱敏任务分析 “脱敏任务分析”页面的功能是让用户知道脱敏任务运行是否正常，整体任务运行质量如何（比如错误数的变化），任务调度分配是否合理等。 数据安全专区会实时更新本页面的大部分数据，其中任务属性是针对任务进行统计，任务运行是针对实例进行统计，而且脱敏任务分析只对结构化任务的数据进行分析。 1.使用系统管理员登录数据脱敏实例。 2.在左侧导航栏选择“系统统计报表 > 脱敏任务分析 ”，进入“脱敏任务分析”页面，即可查看脱敏任务分析情况。 说明 页面左侧可针对任务运行时间（即实例运行时间）进行搜索，包括最近7天（默认）、最近15天、最近30天和自定义。 页面都带“导出”功能，单击后可导出页面内容，支持PDF和HTML两种文件格式。

本文介绍使用函数计算作为Transform时的背景信息、注意事项及操作步骤。 背景信息 当Transform选择天翼云函数计算时，您可以通过编写函数代码对事件进行更复杂、更加定制化的处理。整体流程如图所示。 1. 源端（Source）拉取事件后，事件会进入Filter阶段。 2. Filter阶段会事件进行判断，决定是否过滤该事件。经过Filter过滤的事件会进入Transform阶段。 3. Transform会对Filter过滤的事件进一步处理，依次调用函数进行处理。 4. Transform调用完函数之后，会将函数返回的内容推送给目标端（Sink）。 前提条件 事件总线EventBridge 开通事件总线EventBridge并委托授权。 函数计算 开通函数计算。 已创建对应函数。 操作步骤 1. 登录事件总线EventBridge控制台。 2. 在左侧导航栏，单击事件流。 3. 在事件流页面，单击创建事件流。 4. 在创建事件流页面，完成以下操作。 1. 在Source（源）配置向导，选择数据提供方及其资源信息，然后单击下一步。更多事件源信息参考事件流事件源。 2. 在Filtering（过滤）配置向导，在事件模式内容代码框输入事件模式，然后单击下一步。 3. 在Transform（转换）配置向导 ，设置事件转换规则，设置选择天翼云服务 为函数计算。 4. 在Sink（目标）配置向导，设置事件目标。更多事件目标信息参考事件流事件目标。 配置方式 参数 说明 绑定现有函数 函数 选择的服务中的函数。 绑定现有函数 版本和别名 选择服务的版本或别名。 5. 创建事件流后，会有30秒~60秒的延迟时间，您可以在事件流页面的状态栏查看启动进度。

安全体检订购流程说明，请您按照流程指引完成订购。 购买须知 安全体检产品是针对您天翼云上弹性IP（EIP）提供服务，购买安全体检前，请确认您已有或计划购买天翼云弹性IP产品，并绑定业务使用，否则可能导致安全体检产品无法正常提供服务。 服务内容 高危端口、弱口令、漏洞开放检测。 提供安全体检报告，报告含处置加固建议。 自动发送邮件通知，您需要提前配置通知信息。 单个互联网安全体检规格包含5个IP授权，您可根据业务规模增减订购规格数量。 操作步骤 1. 登录产品控制台。 2. 点击“立即购买”按钮，跳转到安全体检订购页面。 3. 在订购页面根据实际情况配置购买数量、购买时长。 参数说明如下： 参数 说明 购买数量 根据实际需要体检的互联网IP数量，选择订购数量。 注意 请注意单个规格包含5个互联网IP授权，如果您有3个互联网IP，仅购买1个互联网安全体检即可。 购买时长 支持包月、包年订购，享受包年实付10个月折扣价。 自动续订 开启自动续订后，服务到期将为您自动续订，续订时长为订购时选择的购买时长（例如，订购时选择开通5个月，并勾选了自动续订，则开通5个月后到期时为您自动续期5个月）。 4. 阅读并勾选服务协议，单击右下角“立即购买”跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回安全体检产品控制台，查看订购状态。 7. 订购并开通完成后，即可开始录入体检IP及通知信息。

12格式：PKCS 12（PublicKey Cryptography Standards 12）是一种常见的证书格式，用于存储和传输X.509证书、相关私钥和其他关联的证书链和密码信息。PKCS 12格式的文件通常具有.pfx或.p12文件扩展名，可以包含公钥证书、私钥以及可选的密码保护。 JKS格式：JKS（Java KeyStore）是Java平台上常用的证书存储格式。它是一种二进制格式，用于存储X.509证书、私钥和可选的密码保护。JKS格式的文件通常具有.jks文件扩展名。 这些是常见的数字证书格式，用于存储和传输X.509证书及其相关信息。每种格式都具有不同的特点和适用性，取决于使用的平台、工具和应用程序。（以上格式后缀证书，天翼云均可以提供） SSL证书中包含哪些信息？ SSL证书中包含以下重要信息（以EV证书为例）： 证书颁发机构（CA）信息：证书中包含颁发该证书的CA的信息，包括CA的名称、数字签名和公钥等。这些信息用于验证证书的合法性和真实性。 证书序列号：每个证书都有一个唯一的序列号，用于标识和跟踪证书的唯一性。 证书使用者信息：证书中包含了证书所有者的信息，通常是域名所有者的信息。这些信息可能包括组织名称、组织单位、国家/地区、州/省、城市、电子邮件地址等。 证书有效期：证书中包含了证书的有效期限，即证书的开始日期和结束日期。证书在有效期内才被认为是有效的。 支持的加密算法和密钥长度：证书中包含加密算法和密钥长度等信息。