CC攻击防护规则支持通过限制单个IP/Cookie/Referer访问者对防护网站上特定路径（URL）的访问频率，精准识别CC攻击以及有效缓解CC攻击。当您配置完CC攻击防护规则并开启CC攻击防护后，WAF才能根据您配置的CC攻击防护规则进行CC攻击防护。 CC攻击防护规则可以添加引用表，引用表防护规则对所有防护域名都生效，即所有防护域名都可以使用CC攻击防护规则的引用表。 前提条件 已添加防护网站。 约束条件 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“CC攻击防护”配置框中，用户可根据自己的需要更改“状态”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤7 在“CC防护”规则配置页面左上角，单击“添加规则”。 步骤8 在弹出的对话框中，根据表配置CC防护规则。 CC防护规则参数说明 参数 参数说明 取值样例 规则描述 可选参数，设置该规则的备注信息。 限速模式 “IP限速”：根据IP区分单个Web访问者。 “用户限速”：根据Cookie键值或者Header区分单个Web访问者。 “其他”：根据Referer（自定义请求访问的来源）字段区分单个Web访问者。 说明 选择“其他”时，“Referer”对应的“内容”填写为包含域名的完整URL链接，仅支持前缀匹配和精准匹配的逻辑，“内容”里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。 例如：若用户不希望访问者从“www.test.com”访问网站，则“Referer”对应的“内容”设置为“ 用户标识 “限速模式”选择“用户限速”时，需要配置此参数： 选择Cookie时，设置Cookie字段名，即用户需要根据网站实际情况配置唯一可识别Web访问者的Cookie中的某属性变量名。用户标识的Cookie，不支持正则，必须完全匹配。 例如：如果网站使用Cookie中的某个字段name唯一标识用户，那么可以用name字段来区分Web访问者。 选择Header时，设置需要防护的自定义HTTP首部，即用户需要根据网站实际情况配置可识别Web访问者的HTTP首部。 name 限速条件 单击“添加”增加新的条件，至少配置一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 字段 子字段：当“字段”选择IPv4、IPv6、Cookie、Header、Params时，请根据实际需求配置子字段。子字段的长度不能超过2048字节。 内容：输入或者选择条件匹配的内容。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 说明 当“逻辑”关系选择“包含任意一个”、“不包含所有”、“等于任意一个”、“不等于所有”、“前缀为任意一个”、“前缀不为所有”、“后缀为任意一个”或者“后缀不为所有”时，需要选择引用表，创建引用表的详细操作请参见创建引用表。 “路径”包含“/admin/” 限速频率 单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将根据配置的“防护动作”来处理。 10次/60秒 防护动作 当访问的请求频率超过“限速频率”时，可设置以下防护动作： 人机验证：表示超过“限速频率”后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。人机验证目前支持英文。 阻断：表示超过“限速频率”将直接阻断。 动态阻断：上一个限速周期内，请求频率超过“限速频率”将被阻断，那么在下一个限速周期内，请求频率超过“放行频率”将被阻断。 仅记录：表示超过“限速频率”将只记录不阻断。可下载防护事件数据数据查看域名的防护日志。 阻断 放行频率 当“防护动作”选择“动态阻断”时，可配置放行频率。 如果在一个限速周期内，访问超过“限速频率”触发了拦截，那么，在下一个限速周期内，拦截阈值动态调整为“放行频率”。 “放行频率”小于等于“限速频率”。 说明 当“放行频率”设置为0时，表示如果上一个限速周期发生过拦截后，下一个限速周期所有的请求都不放行。 8次/60秒 阻断时长 当“防护动作”选择“阻断”时，可设置阻断后恢复正常访问页面的时间。 600秒 阻断页面 当“防护动作”选择“阻断”时，需要设置该参数，即当访问超过限速频率时，返回的错误页面。 当选择“默认设置”时，返回的错误页面为系统默认的阻断页面。 当选择“自定义”，返回错误信息由用户自定义。 自定义 页面类型 当“阻断页面”选择“自定义”时，可选择阻断页面的类型“application/json”、“text/html”或者“text/xml”。 text/html 页面内容 当“阻断页面”选择“自定义”时，可设置自定义返回的内容。 不同页面类型对应的页面内容样式： text/html：Forbidden application/json：{"msg": "Forbidden"} text/xml： Forbidden 步骤9 单击“确认”，添加的CC攻击防护规则展示在CC规则列表中。 规则添加成功后，默认的“规则状态”为“已开启”，若您暂时不想使该规则生效，可在目标规则所在行的“操作”列，单击“关闭”。 若需要修改添加的CC攻击防护规则时，可单击待修改的CC攻击防护规则所在行的“修改”，修改CC攻击防护规则。 若需要删除用户自行添加的CC攻击防护规则时，可单击待删除的CC攻击防护规则所在行的“删除”，删除CC攻击防护规则。

操作场景 用户在不删除现有节点的情况下，将工作负载迁移到新的节点上。迁移流程如下图所示。 约束与限制 现有节点和工作负载待迁移的节点必须在同一集群。 当前仅支持在Kubernetes v1.13.10及以后集群版本执行此操作。 默认节点池DefaultPool不支持修改配置。 原有节点在默认节点池 步骤 1 创建新的节点。 1. 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点池管理”。 2. 在集群选择框中，选择现有节点所属的集群。 3. 单击“创建节点池”，设置节点池如下参数，其他参数根据需要进行修改，参数说明请参见节点池管理>创建节点池。 a. 节点池名称：新建节点池的名称，例如nodepooldemo。 b. 节点购买数量：本例添加一个节点。 c. 节点规格：请根据业务需求选择相应的节点规格。 d. 操作系统：选择节点对应的操作系统。 e. 登录方式：支持密码和密钥对。 选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 选择“密钥对”：在选项框中选择用于登录本节点的密钥对，并单击勾选确认信息。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 4. 单击“下一步：配置确认”。确认节点池配置后，单击“提交”。 单击“返回节点池管理”返回节点池列表。在节点列表中可查看到新建节点池已创建，且状态为“正常”。 步骤 2 单击节点池名称，在节点列表中可查看到新建节点的IP地址。 步骤 3 安装配置kubectl。 1. 在左侧导航栏中选择“资源管理 > 集群管理”，单击现有节点所在集群下的“命令行工具 > kubectl”。 2. 在集群详情页中的“kubectl”页签下，请参照界面中的提示信息完成集群连接。 步骤 4 迁移工作负载。 1. 给需要迁移工作负载的节点打上Taint（污点）。 kubectl taint node [node] keyvalue:[effect] 其中，[node]为待迁移工作负载所在节点的IP；[effect]取值为NoSchedule、PreferNoSchedule或NoExecute，此处必须设置为NoSchedule。 − NoSchedule：一定不能被调度。 − PreferNoSchedule：尽量不要调度。 − NoExecute：不仅不会调度，还会驱逐Node上已有的Pod。 说明： 若需要重新设置污点时，可执行kubectl taint node [node] key:[effect]命令去除污点。 2. 安全驱逐节点上的工作负载。 kubectl drain [node] 其中，[node]为待转移工作负载所在节点的IP。 3. 在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。在工作负载列表中，待迁移工作负载的状态由“运行中”变为“未就绪”。工作负载状态再次变为“运行中”，表示迁移成功。 说明： 迁移工作负载时，若工作负载配置了节点亲和性，则工作负载会一直提示“未就绪”等异常情况。请单击工作负载名称进入到负载详情页，在选择“调度策略”页签，删除原节点的亲和性配置，并单击“简易调度策略”配置新的节点亲和性和反亲和性策略，详情请参见“亲和反亲和调度>简易调度策略”。 工作负载迁移成功后，在工作负载详情页的“实例列表”页签，可查看到工作负载状已迁移到步骤1中所创建的节点上。 步骤 5 删除原有节点。 工作负载迁移成功且运行正常后，即可在“资源管理 > 节点管理”中删除原有节点。 原有节点不在默认节点池 步骤 1 拷贝节点池并添加节点。 1. 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点池管理”。 2. 在集群选择框中，选择现有节点所属的集群。 在节点池列表中，查找到原有节点所在的节点池。 3. 单击该节点池名称后的“更多 > 拷贝”，在“创建节点池”页面下设置如下参数，其他参数根据需要进行修改，参数说明请参见“节点管理>创建节点池”。 − 节点池名称：新建节点池的名称，例如nodepooldemo。 − 节点购买数量：本例添加一个节点。 − 节点规格：请根据业务需求选择相应的节点规格。 − 操作系统：选择节点对应的操作系统。 − 登录方式：支持密码和密钥对。 选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 选择“密钥对”：在选项框中选择用于登录本节点的密钥对，并单击勾选确认信息。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 4. 单击“下一步：配置确认”。确认节点池配置后，单击“提交”。 单击“返回节点池管理”返回节点池列表。在节点列表中可查看到新建节点池已创建，且状态为“正常”。 步骤 2 单击节点池名称，在节点列表中可查看到新建节点的IP地址。 步骤 3 迁移工作负载。 1. 单击节点池nodepooldemo后的“编辑”配置Taints参数。 2. 单击“Add Taint”，输入Key和Value值，Effect选项有NoSchedule、PreferNoSchedule或NoExecute，此处必须选择“NoExecute”。 − NoSchedule：一定不能被调度。 − PreferNoSchedule：尽量不要调度。 − NoExecute：不仅不会调度，还会驱逐Node上已有的Pod。 说明： 若需要重新设置污点时，可执行kubectl taint node [node] key:[effect]命令去除污点。 3. 单击“保存”。 4. 在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”。在工作负载列表中，待迁移工作负载的状态由“运行中”变为“未就绪”。工作负载状态再次变为“运行中”，表示迁移成功。 说明： 迁移工作负载时，若工作负载配置了节点亲和性，则工作负载会一直提示“未就绪”等异常情况。请单击工作负载名称进入到负载详情页，在选择“调度策略”页签，删除原节点的亲和性配置，并单击“简易调度策略”配置新的节点亲和性和反亲和性策略，详情请参见“亲和反亲和调度>简易调度策略”。 工作负载迁移成功后，在工作负载详情页的“Pods”页签，可查看到工作负载状已迁移到步骤1中所创建的节点上。 步骤 4 删除原有节点。 工作负载迁移成功且运行正常后，即可在“资源管理 > 节点池管理”中删除原有节点。

漏洞描述 Apache HTTP Server是阿帕奇（Apache）基金会的一款开源网页服务器。 Apache HTTP Server存在缓冲区溢出漏洞，由于 modlua 解析 multipart 内容时可能出现缓冲区溢出，攻击者利用该漏洞可通过精心设计的HTTP请求进行缓冲区溢出攻击。 基本信息 · CVE编号：CVE202144790 · 漏洞类型：命令执行 · 危险等级：高危 · 受影响应用版本：Apache HTTP Server < 2.4.51 · 检测方式：版本对比 · 是否加入全局：是 · 公布时间： 20211220 · 风险特征：远程利用 · CVSS评分： 8 · CVSS详情： AV:N/AC:L/Au:N/C:P/I:P/A:P 修复建议 1.将 httpd 升级到 2.4.52 及以上版本，下载地址： 2.若漏洞的检测结果中存在漏洞修复版本，则将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上。 参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级： CentOS/RHEL/Oracle Linux : sudo yum update y 需要升级的软件包名(参考检测结果) SUSE : sudo zypper update y 需要升级的软件包名(参考检测结果) Ubuntu/Debian : sudo aptget update && sudo aptget install onlyupgrade y 需要升级的软件包名(参考检测结果) 例：若漏洞的检测结果中主机系统为RedHat 7，软件包名称为 httpd，当前安装版本为 2.4.680.el7，对应漏洞修复版本为 2.4.697.el79.4，则漏洞修复命令为 sudo yum update y httpd

技术亮点 CodeLlama 是基于 Llama 2 定制开发的代码专用版本，通过在特定的代码数据集上进一步训练 Llama 2 模型创建而成。这一训练过程涉及从数据集中更深入地采样和更长时间的训练，以专注于代码相关的任务。从本质上讲，Code Llama 强化了其编码功能，使其能够更精准地响应代码生成和自然语言提示相关的需求。它不仅能够根据自然语言提示生成代码，还能对代码进行描述（例如，“生成一个输出斐波那契数列的函数”），甚至可以辅助代码完成和调试工作。 CodeLlama 支持当今广泛使用的多种编程语言，包括但不限于Python、C++、Java、PHP、TypeScript（作为JavaScript的超集）、C 以及Bash等。这种广泛的语言支持使得Code Llama在多种编程环境中都能发挥重要作用。 在人工智能领域，尤其是针对编码任务的LLM（大型语言模型），开放式的开发方法对于促进创新和提升安全性至关重要。公开可用的特定代码模型，如Code Llama，能够激发新技术的开发和应用，从而推动社会进步和改善人们的生活质量。通过发布这样的模型，整个社区可以共同评估其能力、识别潜在问题并协同修复漏洞，进一步推动技术的健康发展。 免责声明 CodeLlama34BInstruct模型来源于第三方，本平台不保证其合规性，请您在使用前慎重考虑，确保合法合规使用并遵守第三方的要求。

验证与调整 当您完成选型并开始使用弹性云主机实例后，建议您根据一段时间的性能监控信息，验证所选实例规格是否合适。 假设您选择了s7.2xlarge.2，通过监控发现实例CPU使用率一直较高，建议您登录实例检查CPU的具体情况，还可以根据具体情况调整处理器与内存的大小，以满足业务需求。具体操作请参见云监控服务快速入门。 相关搭配产品推荐 弹性伸缩服务 弹性伸缩服务（CTAS，Auto Scaling）是根据您的业务需求，通过策略自动调整计算资源的管理服务。该服务能够根据预设规则自动调整伸缩组内的弹性云主机数量，在业务需求上升时自动增加弹性云主机实例，业务需求下降时自动减少弹性云主机实例。 弹性文件服务 弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可为云上多个弹性云主机、容器、物理机提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。 云硬盘备份 云硬盘备份（CTVBS，Volume Backup Service）是针对弹性云主机的系统盘、数据盘提供的备份服务。您可对存储重要数据的磁盘进行备份，并在弹性云主机磁盘故障、误删数据、遭到黑客攻击等情况下，将备份的数据快速恢复到源盘，最大限度保证数据的安全性。

本文介绍云备份的产品定义及架构。 云备份CTCBR（Cloud Backup&Recovery）是一个简单易用、经济高效、安全可靠的一键式备份产品。通过集中管理界面，为用户的云主机、本地主机相关的数据库、硬盘、虚拟机、文件数据等资源提供统一数据保护。 面向需要数据备份的企业，云备份提供简单易用的备份能力。当软件错误、病毒入侵、人为删除等事件发生时，可将数据恢复到任意备份点，减轻经济损失。 支持备份的数据类型 数据类型 数据源 对应的备份存储库类型 文件目录 本地数据中心、天翼云ECS、天翼云物理机 文件备份存储库 数据库 本地数据中心、天翼云ECS、天翼云物理机 混合备份存储库 磁盘 本地数据中心 混合备份存储库 VMware 本地数据中心 混合备份存储库 产品架构 云备份主要由存储库、备份计划和备份副本等组成。 存储库 存储库用于存储您备份在云上的数据。创建备份前，需要先创建至少一个存储库，产生的备份副本将存放至对应的存储库中，云备份目前提供2种备份存储库类型，请根据具体需要选择购买相应的备份存储库。 文件备份存储库：适用于ECS文件备份、物理机文件备份、本地文件备份功能，进行文件/目录的备份。 混合备份存储库：适用于混合备份（存储版）功能，进行数据库、磁盘、VMware的备份。

云硬盘备份产品为您提供优质的服务体验,本文带您了解云硬盘备份的产品优势。 灵活 可任意选择不同类型、不同云主机下的云硬盘进行备份，您可以恢复数据至源云硬盘，也可以使用备份创建新盘，实现数据总体的迁移与重建。支持手动创建备份和自动创建备份两种备份方式。自动备份策略可按需配置，提供全天24小时备份时段选择，支持按天、周等的周期策略设置，一次定义，全托管备份流程。 经济 可按需选择单个云硬盘数据进行备份，在满足用户自定义备份数据的需求下，降低备份大小。备份采用首次全量，后续增量的方式进行备份，任一增量备份都可以快速、方便地将云硬盘的数据恢复至备份所在时刻的状态。为用户节省存储库空间，减少备份的空间占用。 简单 友好的可视化界面，健全的操作功能，用户仅需三步即可完成备份创建，相比本地自行备份方式，流程操作更加简单。 可靠 创建存储库时，支持配置数据冗余策略为单AZ存储或多AZ存储，多AZ存储可以将备份副本存储在同一地域的多个可用区（AZ）中，实现多级可靠性保障。 备份数据存储在对象存储（ZOS）中，基于ZOS的高持久性存储数据，数据持久性与ZOS持平，高达99.9999999999%（12个9） ，支持系统盘和数据盘在线备份和恢复的能力，保障备份数据安全。

本文介绍数据管理服务中的核心概念，以便用户更好的理解和使用数据管理服务。 概念大图 组织 组织对应于企业或租户，多个天翼云账号可加入一个组织。每个账号在DMS上的所有操作均限定在所属组织下，跨组织的资源对用户不可见。天翼云主账号首次进入DMS时，系统会自动为该主账号创建一个组织。 用户 一个组织下有多个用户，对应于一个企业下有多名员工。天翼云主账号或子账号均可成为DMS用户使用DMS功能。 团队 一个组织可划分为多个团队，团队对应于企业组织架构中的部门或者DevOps中的研发项目。DMS中的用户和资源可关联到具体的团队，实现管理域的划分。团队的具体作用包括： 企业可按组织架构进行团队划分，团队内闭环完成成员管理和工单审批，实现研发自助、高效协同； 大型组织可将数据库分团队管理，实现运维和管理职责的划分，不同DBA负责不同团队数据库的运维工作； 实现元数据的隔离，普通用户无法看见未加入团队的数据库元数据信息（如：库、表），提升元数据访问的安全性。 此外，每个组织默认都有一个公共团队，公共团队包含组织内所有成员。对于小规模企业，数据库用户和实例数较少，可以直接使用默认的公共团队进行协作，无需创建新团队。

本节介绍如何修复扫描出来的主机漏洞。 不同的主机系统修复漏洞的方法有所不同，软件漏洞的修复需要具有一定专业知识的人员进行操作，根据服务器的情况进行漏洞修复，可参考漏洞扫描服务给出的修复建议，修复漏洞时应按照如下的操作步骤进行修复。 1. 对需要修复的服务器实例进行备份，防止出现不可预料的后果。 2. 对需要修复的资产和漏洞进行多次确认。根据业务情况以及服务器的使用情况等综合因素，确认自己的资产是否需要做漏洞修复，并形成漏洞修复列表。 3. 在模拟测试环境中部署待修复漏洞的相关补丁，从兼容性和安全性方面进行测试，并输出补丁漏洞修复测试报告，报告内容应包含补丁漏洞修复情况、漏洞修复的时长、补丁本身的兼容性、以及漏洞修复可能造成的影响。 4. 进行漏洞修复时，最好多人在场，边操作边记录，防止出现误操作。 5. 漏洞修复完成后，在测试环境对目标服务器系统上的漏洞进行修复验证，确保服务器没有异常，输出详细的修复记录进行归档，方便日后遇见相关问题可快速反应。 总之，为了防止在漏洞修复过程中出现问题，在漏洞修复前要及时备份、制定方案、在测试环境进行模拟测试验证可行性，在修复过程中要小心并及时记录，在修复后及时生成完备的修复报告进行归档。

配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择对象存储。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。 如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，默认为Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 WaitForFirstConsumer模式： 该模式将延迟 PV的绑定和制备，直到使用该 PVC的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 支持扩容 默认该开关是打开的，一般也建议打开。 如果关闭该开关，则使用该存储类的pvc，无法被扩容。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。

本节主要介绍产品咨询类问题。 使用GeminiDB Influx时要注意什么 a) 实例的操作系统，对用户都不可见，这意味着，只允许用户应用程序访问数据库对应的IP地址和端口。 b) 对象存储服务（Object Storage Service，简称OBS）上的备份文件以及GeminiDB Influx使用的系统容器，都对用户不可见，它们只对GeminiDB Influx后台管理系统可见。 c) 申请数据库实例后，您还需要做什么。 申请实例后，您不需要进行数据库的基础运维（比如高可用、安全补丁等），但是您还需要重点关注以下事情： 数据库实例的CPU、IOPS、空间是否足够。 数据库实例是否存在性能问题，是否需要优化等。 什么是GeminiDB Influx实例可用性 实例可用性的计算公式： 实例可用性（1–故障时间/服务总时间）×100% 其中，故障时间是指数据库实例购买完成后，运行期间累计发生故障的总时长。服务总时间指数据库实例购买完成后运行的总时长。 GeminiDB Influx中有没有支持多列转多行的函数 GeminiDB Influx中暂无多列转多行的函数。 GeminiDB Influx最大能支持到多少PB的数据 GeminiDB Influx支持的最大数据容量请参见数据库实例规格中实例的最大存储空间。 GeminiDB Influx是否支持Grafana访问 GeminiDB Influx支持Grafana直接访问，具体操作请参见如何通过Grafana连接GeminiDB Influx。

本节介绍如何查看互联网边界防护情况。 在互联网边界防火墙开关页面上方，用户可以查看互联网边界流量监控信息、防护状态和配额状态。 互联网边界流量监控：展示最近7天内所有已开启防护资产产生的流量峰值，包括入向峰值带宽和出向峰值带宽；以及当前已购买的带宽规格和带宽占用情况。 防护状态：统计了您已开启和未开启防护的弹性IP、公网NAT网关、弹性负载均衡。鼠标悬浮在弹性IP、弹性负载均衡对应数字上，会展示对应的IPv4和IPv6资产数量。 配额状态：展示已经购买的互联网边界防火墙未使用和已使用的配额数，以及公网IP防护配额扩展包的数量。1个弹性IP消耗1个防护配额，1个NAT网关消耗4个防护配额，1个弹性负载均衡消耗1个防护配额，您可以为VPC中的所有弹性IP、NAT网关、弹性负载均衡开启防护。 流量拓扑可视：在“流量拓扑可视”模块下方切换不同的资产页签，可分别查看各VPC内弹性IP、公网NAT、弹性负载均衡的防护情况，便于掌握整体网络安全防护态势。 操作步骤 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > 互联网边界防火墙开关”。 3. 查看当前账号下弹性IP、公网NAT网关、弹性负载均衡的防护情况。

本节介绍如何创建通知规则。 创建通知规则 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“威胁运营 > 通知管理 > 通知规则”，进入通知规则页面。 3. 点击“新建”按钮，弹出创建通知规则窗口。 4. 配置通知规则信息。 说明 只有在生效周期和通知时段产生的告警会进行通知。 参数 说明 通知类型 选择需要通知的告警类型，数据来源于威胁建模中的类型（可多选）。 通知对象 选择通知联系人，数据来源于在通知联系人页面创建的通知联系组（可多选）。 通知方式 选择告警通知的方式，支持短信、邮箱、钉钉机器人、微信机器人（可多选）。 说明 如果需要向钉钉或微信发送告警的消息，需要先在通知联系组中配置钉钉机器人或微信机器人，详细操作请参见通知联系组。 若通知联系组中配置了钉钉机器人与微信机器人，则会显示相应图标，如下所示： 生效周期 选择需要通知的星期（可多选）。 通知时段 选择需要通知的时间段。 重复通知 配置对于已通知但未及时处置的告警是否采用重复策略进行通知。 规则信息 用于标识特定规则的信息。 5. 配置完成后，单击“确定”，回到通知规则页面，可以看到已创建的通知规则，状态默认为“启用”。

应用场景 场景概述 业务痛点 数据库去O 适用于客户去Oracle尝试其他类型的数据库，节省成本，保障数据安全。 ·使用商业数据库成本高。 数据库需要上云。 数据库重构或优化 适用于已有业务因架构设计不合理导致业务问题，或新业务遇到架构设计问题，天翼云数据库专家服务团队可以利用丰富的架构设计经验帮助您解决架构问题。 已有业务因架构不合理导致业务问题。 随着业务不断增长，原有数据库设计不能满足发展。 数据库系统不可用 适用于客户遇到数据丢失、并发、读写等各类性能瓶颈问题，数据库不可用，希望尽快解决问题。 数据丢失导致业务受到影响或中断。 并发、读写等各类性能问题导致业务受到影响或中断。 需保障数据库性能和稳定性的重要业务场景 适用于当客户有重要、大规模业务活动时，天翼云数据库专家服务团队可利用大型业务护航经验保障业务高并发情况下数据库的稳定性。 数据库现有性能无法满足重要的大规模业务活动开展的需要。 快速安装部署或使用天翼云数据库专家服务 适用于客户希望项目能快速落地，不等待长时间的私有云合同签署流程，而能快速享用天翼云数据库专家服务，解决安装部署、性能优化或数据库上云、迁云和用云过程中过程中各类问题。 私有云合同签署流程漫长。 客户需求紧急。

本小节介绍微隔离防火墙 工作负载及标签管理。 工作负载 1.点击工作负载即可进入工作负载列表。工作负载列表可以对所有的工作负载进行查看，并可以借助排序、搜索等方式对工作负载进行过滤。同时此页面还支持对工作负载进行批量的修改及删除。 2.点击工作负载的主机名称，可进入该工作负载的详细信息页面，包括其基本信息、服务信息、策略信息、阻断日志及相似计算。 服务信息：可查看此工作负载所有有网络监听的服务，以及对应的端口、进程； 策略：可查看此工作负载目前所生效的安全策略； 阻断信息：如果开启阻断日志、且工作负载处于测试或防护状态，即可查看阻断日志的； 相似计算：根据工作负载的基本信息、所开放的服务端口以及连接等信息，计算其他工作负载与此工作负载的相似程度。便于对业务进行分析。 标签管理 标签用于描述工作组的相关属性以及工作负载的具体角色。 组标签分为三类：位置，应用，环境； 可以根据需要创建、删除或修改不同类型的标签； 标签分为名称及显示名称，名称必须为英文及数字的组合，且唯一。显示名称可以为中文，不唯一。 注意 当要删除角色标签时，此角色标签需未被赋予任何工作负载。工作组标签删除时同理。

本节主要介绍步骤一（2）：创建出云迁移任务 数据库复制服务提供出云的功能，可以将本云上的数据库迁移至用户端数据库，方便进行数据回流处理。 本章节将以RDS for MySQL到ECS自建MySQL的迁移为示例，介绍在同一VPC网络场景下，通过数据库复制服务管理控制台配置数据迁移任务的流程，其他存储引擎的配置流程类似。 VPC网络适合本云内数据库之间的迁移。在数据库复制服务中，数据库迁移是通过任务的形式完成的，通过创建任务向导，可以完成任务信息配置、任务创建。迁移任务创建成功后，您也可以通过数据库复制服务管理控制台，对任务进行管理。 目前数据库复制服务支持每个用户最多可创建5个实时迁移任务。 前提条件 已登录数据库复制服务控制台。 账户余额大于等于100元。 满足实时迁移支持的数据库类型。 满足出云迁移的限制条件。 操作步骤 1、在“实时迁移管理”页面，单击“创建迁移任务”，进入创建迁移任务页面。 2、在“迁移实例”页面，填任务名称、任务异常通知设置、时延阈值、描述、迁移实例信息。 图 迁移任务信息 表 任务和描述 参数 描述 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 任务异常通知设置 该项为可选参数，开启之后，需要填写手机号码或者邮箱作为指定收件人。当迁移任务状态异常时，系统将发送通知给指定收件人。 说明 收到确认短信或邮件之后，需要在48小时内处理，否则该订阅无效，将无法收到异常通知。 时延阈值 在增量迁移阶段，源数据库和目标数据库之间的实时同步有时会存在一个时间差，称为时延，单位为秒。 时延阈值设置是指时延超过一定的值后（时延阈值范围为1—3600s），DRS可以发送告警通知给指定收件人。告警通知将在时延稳定超过设定的阈值6min后发送，避免出现由于时延波动反复发送告警通知的情况。 说明 首次进入增量迁移阶段，会有较多数据等待同步，存在较大的时延，属于正常情况，不在此功能的监控范围之内。 设置时延阈值之前，需要设置任务异常通知。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 图 迁移实例信息 表 迁移实例信息 参数 描述 数据流动方向 选择出云。 出云指源端数据库为本云数据库的场景。 源数据库引擎 选择MySQL。 目标数据库引擎 选择MySQL。 网络类型 目前支持公网网络、VPC网络和VPN、专线网络类型，您可以根据具体的业务场景进行设置，此处场景以VPC网络为示例。 VPC网络：适合云上数据库之间的迁移。 VPN、专线网络：适合通过VPN、专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 公网网络：适合将其他云下或其他平台的数据库迁移到目标数据库。 源数据库实例 用户需要迁移的数据库实例。 迁移模式 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程中完成的目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 3、在“源库及目标库”页面，迁移实例创建成功后，填选源库信息和目标库信息，并单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 图 源库信息 表 源库信息 参数 描述 数据库实例名称 默认为创建迁移任务时选择的关系型数据库实例，不可进行修改。 数据库用户名 源数据库对应的数据库用户名。 数据库密码 源数据库对应的数据库密码。任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码。 说明 源数据库的用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 图 目标库信息 表 目标库信息 参数 描述 VPC 目标数据库所在的虚拟专用网络，可以对不同业务进行网络隔离。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库的用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量迁移、增量迁移、增量迁移失败状态时，可在“基本信息”页面的“迁移信息”区域，单击“目标库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 所有Definer迁移到该用户下 是 迁移后，所有源数据库对象的Definer都会迁移至该用户下，其他用户需要授权后才具有数据库对象权限。 否 迁移后，将保持源数据库对象Definer定义不变，选择此选项，需要配合下一步用户权限迁移功能，将源数据库的用户全部迁移，这样才能保持源数据库的权限体系完全不变。 说明： 目标数据库的IP地址、端口、用户名和密码将在迁移过程中被加密暂存到数据库和迁移实例主机上，待该任务删除后会永久清除。 4、在“迁移设置”页面，设置迁移用户和迁移对象等信息，单击“下一步”。 图 迁移模式 表 迁移模式 参数 描述 快照模式 如果您选择的是全量迁移模式的任务，数据库复制服务支持设置快照模式。 非快照式 适用于停止业务数据写入的导出，如果全量迁移中仍然有业务数据的修改，则导出数据为时间点非水平一致。稳定性和性能要优于快照式全量迁移。 快照式 可以在业务运行时产生一份时间水平一致的快照数据，具有业务数据分析价值，过程中的数据变化不会体现在导出数据中。 说明 快照读会使用MySQL备份锁进行全局锁表，在开启一致性读后自动解锁（加锁时间在3s以内），备份锁会对此期间的DML或者DDL操作造成阻塞，建议用户选择源库空闲的时间段使用快照备份功能。 目前仅MySQL全量模式的迁移任务支持快照模式设置。 是否过滤DROP DATABASE 增量迁移过程中，源数据库端执行的DDL操作在一定程度上会影响数据的迁移能力，为了降低迁移数据的风险，数据库复制服务提供了过滤DDL操作的功能。 目前支持默认过滤删除数据库的操作。 是，表示数据迁移过程中不会同步用户在源数据库端执行的删除数据库的操作。 否，则表示数据迁移过程中将相关操作同步到目标库。 说明 目前仅支持RDS for MySQL实例>MySQL数据库数据库的全量+增量的迁移场景。 迁移用户 数据库的迁移过程中，迁移用户需要进行单独处理。 常见的迁移用户一般分为三类：可完整迁移的用户、需要降权的用户和不可迁移的用户。您可以根据业务需求选择“迁移”或者“不迁移”，选择“迁移”后，可根据需要选择迁移用户。 迁移 当您选择迁移用户时，请参见《数据库复制服务用户指南》中“迁移用户”章节进行数据库用户、权限及密码的处理。 不迁移 迁移过程中，将不进行用户、权限和密码的迁移。 迁移对象 您可以根据业务需求，选择全部对象迁移、表级迁移或者库级迁移。 全部迁移：将源数据库中的所有对象全部迁移至目标数据库，对象迁移到目标数据库实例后，对象名将会保持与源数据库实例对象名一致且无法修改。 表级迁移：将选择的表级对象迁移至目标数据库。 库级迁移：将选择的库级对象迁移至目标数据库。 如果有切换源数据库的操作或源库迁移对象变化的情况，请务必在选择迁移对象前单击右上角的按钮，以确保待选择的对象为最新源数据库对象。 说明 若选择部分数据库进行迁移时，由于存储过程、视图等对象可能与其他数据库的表存在依赖关系，若所依赖的表未迁移，则会导致迁移失败。建议您在迁移之前进行确认，或选择全部数据库进行迁移。 选择对象的时候，对象名称的前后空格不显示，中间如有多个空格只显示一个空格。 选择对象的时候支持搜索，以便您快速选择需要的数据库对象。 5、在“预检查”页面，进行迁移任务预校验，校验是否可进行迁移。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行迁移任务预校验。 预检查不通过项处理建议请参见《数据库复制服务用户指南》中的“预检查不通过项修复方法”。 图 预检查 预检查完成后，且预检查通过率为100%时，单击“下一步”。 说明 所有检查项结果均通过时，若存在待确认项，需要阅读并确认详情后才可以继续执行下一步操作 6、在“任务确认”页面，选择迁移任务的启动时间，并确认迁移任务信息无误后，单击“启动任务”，提交迁移任务。 说明 迁移任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”，优选“稍后启动”。 预计迁移任务启动后，会对源数据库和目标数据库的性能产生影响，强烈建议您将任务启动时间设定在业务低峰期，同时预留23天校对数据。 7、迁移任务提交后，您可在“实时迁移管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见参考：任务状态含义。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。

本小节介绍服务器安全卫士通用功能中的主机管理功能。 主要用来管理安装 Agent 的主机，可以进行： 主机所属业务组的管理 主机标签管理 主机移动所属业务组 规则设置：自动同步规则 业务组管理 新建业务组 通过单击加号按钮，可添加业务组。 编辑业务组 鼠标移动到要编辑的业务组那一行，右侧出现，点击，选择“编辑业务组”即可。 删除业务组 鼠标移动到要删除的业务组那一行，右侧出现，点击，选择“删除业务组”即可。 添加子分组 鼠标移动到要添加子分组的业务组那一行，右侧出现 ，点击，选择“添加子分组”即可。 导入业务组 点击按钮，可以通过导入文件的方式，批量创建业务组。先下载“业务组导入模板” 文件，输入要导入的业务组，保存文件后，点击“开始导入”。

本章节是关于开发者以OpenAIAPIcompatible接口方式集成调用模型的实践。 说明 目前天翼云息壤的新老用户均可免费体验2500万Tokens，限时两周。模型广场支持DeepSeekR1、DeepSeekV3等多个版本模型的调用。 支持开发者以OpenAIAPIcompatible接口方式集成调用。 天翼云官网获取模型调用APP key等信息 模型API终端请求地址 请求地址 API终端请求地址： 通信协议 接口通过 HTTPS 进行通信，保护用户数据的机密性和完整性，确保网络通信的安全性。 请求方法 支持的 HTTP 请求方法：POST。 POST 请求支持的 ContentType 类型：application/json。 获取模型调用APP key 访问模型推理服务地址：< 在API快捷接入页面： 选择服务组：从下拉菜单中选择第一步创建的服务组。如果尚未创建，可点击“确认创建并选择”快速创建默认服务组。 选择模型：从模型下拉菜单中选择需要接入的模型。 选择完成后，页面下方将自动展示该模型支持的所有编程语言的示例代码。 可进入左侧菜单栏的“服务接入”页，查看所创建的服务组及对应APP Key。

本文指导您如何使用云间高速及标准版云企业路由器实现跨地域网络互通。 使用场景 为了实现三个VPC（虚拟私有云）之间的通信和资源互访，某企业采取了云间高速组网。首先，企业使用账号A在天翼云华东1创建了VPC1，并在其中部署了应用服务。接着，使用账号B在同样的地域创建了VPC2。另外，还在华北1创建了VPC3，并在其中部署了应用服务。 然而，由于三个VPC之间互不相通，企业需要使用云间高速产品来解决这个问题。具体来说，企业可以将华东1的VPC1和VPC2连接至账号A下华东1的云企业路由器实例（标准版），同时将华北1的VPC3连接至账号A下华北1的云企业路由器实例（标准版）。然后，通过带宽包和跨地域连接实现华东1和华北1的云企业路由器实例互通。 三个VPC即可互相通信，资源也可以互访。不仅简化了网络配置，还提高了系统的可靠性和安全性。同时，也降低了企业的成本和风险。 前提条件 账号A在华东1、华北1各创建了1个VPC，并且使用云主机在两个VPC中部署了应用服务。 步骤一：创建云间高速实例 云间高速的创建，具体操作请参见：创建云间高速（标准版）实例云间高速

本文帮助您了解对象存储数据回源功能及其分类。 当用户访问的数据在对象存储（简称ZOS）存储桶中不存在时，会直接返回404错误。如果您配置了数据回源功能，则可以通过数据回源规则从源站访问到对应的数据。 数据回源分为镜像回源和重定向两类，区别如下： 镜像回源 当用户访问ZOS中不存在的资源时，ZOS会根据预先配置的回源规则，向指定的源站抓取对应的资源，并将其转发给客户端。同时在后台会生成回源任务，将源站数据保存至ZOS中。这样的机制使得用户在无感知的情况下可以将业务从源站无缝迁移到ZOS上，实现平稳过渡和高效迁移。回源规则的灵活配置为业务迁移和资源访问提供了便利，同时保证了数据的安全性和一致性。 重定向回源 当用户访问桶并发生指定错误时，ZOS会根据预先设定的回源规则生成新的URL，并将用户的请求重定向到该新的URL。客户端会根据重定向的URL重新发起访问请求，而ZOS本身并不存储源站数据。 这种机制允许ZOS在符合特定条件时将用户请求转发到指定的源站，实现资源重定向，以优化用户体验，并确保数据的完整性和一致性。

应用场景 场景一：通过弹性IP访问虚拟IP。 您的应用需要具备高可用性并通过Internet对外提供服务，推荐使用弹性IP绑定虚拟IP功能。 场景二：通过VPN/云专线/对等连接访问虚拟IP。 您的应用需要具备高可用性并且需要通过Internet访问，同时需要具备安全性（VPN），保证稳定的网络性能（云专线），或者需要通过其他VPC访问（对等连接）。 约束与限制 虚拟IP与弹性IP绑定将受弹性IP相关配额限制，具体可参看弹性IP服务约束与限制内容。 不推荐在弹性云主机配置多个同子网网卡的场景下，使用虚拟IP功能。若在该场景下使用虚拟IP功能，弹性云主机内部会存在路由冲突，导致虚拟IP通信异常。 备弹性云主机需要关闭IP转发功能。确认方式如下： a. 登录弹性云主机执行如下命令，查看IP转发功能是否已开启。 cat /proc/sys/net/ipv4/ipforward 回显结果：1为开启，0为关闭，默认为0。 n 回显为1，执行b和c关闭IP转发功能。 n 回显为0，操作完成。 b. 使用vi打开“/etc/sysctl.conf”文件，修改net.ipv4.ipforward 0，按“:wq”保存退出。或使用sed命令修改，参考命令如下： sed i '/net.ipv4.ipforward/s/1/0/g' /etc/sysctl.conf c. 执行如下命令，使修改生效。 sysctl p /etc/sysctl.conf

本节主要介绍分布式缓存服务Redis的登录方式 您可以通过密码登录或账号+密码登录的方式访问分布式缓存服务Redis版实例。 密码登录 登录方式：仅输入密码即可登录，无需输入账号。集群版为：实例名称 实例密码；标准版为：实例密码。 使用限制：此方式仅会以实例默认账号进行登录，默认账号通常为以实例名称命名的账号（例如分布式缓存Redis2mxkvix）。无法通过此方式登录其他普通账号 。 特点：与原生Redis登录方式一致，符合多数用户的使用习惯。但由于一个实例只有一个默认账号，可能会导致该实例使用同一账号连接多个应用的情况。 标准版rediscli连接示例： rediscli h {host} p {port} a {password} Cluster集群rediscli连接示例： rediscli h {host} p {port} a {password} c 读写分离rediscli连接示例： rediscli h {host} p {port} a {password} 账号+密码登录 登录方式：输入账号和密码，账号与密码以英文井号（ ）分隔，格式为user password。 使用限制：目前仅集群版本支持该登录方式，需在实例详情页面维护账号信息。默认账号与普通账号均可使用此方式登录。 特点：您可以为Redis实例创建多个账号，在不同应用中以不同的账号登录，提高数据安全性。关于如何创建数据库账号，请参考创建与管理账号。 集群版rediscli连接示例： rediscli h {host} p {port} a {user}

本章节为您介绍如何创建数据报表相关内容。 日志审计能够记录系统、应用程序或网络的所有活动，通过生成报表，可以将海量的日志数据转化为直观、易懂的图表和统计信息，帮助管理员快速了解系统的整体运行状况。 通过分析日志数据，可以识别系统瓶颈、性能问题以及潜在的错误，从而进行针对性的优化和改进。因此，日志审计生成报表对于保障信息安全、合规性审查、故障排除和性能优化都具有重要意义。 快速创建报表 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“审计报表 > 报表”，进入“报表”页面。 3. 选择需要新增报表的组，单击“新增报表”，进入“配置报表”页面。 说明 在配置报表前需要预先创建数据源，否则无法新建报表。 数据源创建请参考：数据源章节。 4. 按照下图示例，首先配置报表名称、标题，选择报表生成所属的“数据源”，填写报表保存在服务器端的时间。 5. 编辑报表内容，根据您业务自身需求按顺序拖拽组件至右侧空白处。 表格配置请参考下图，表格配置的字段来源于您数据源配置的相关内容。 图表配置请参考下图，根据您自身需求选择统计图类型。 6. 配置完成后单击“提交”即可完成新建报表。

本节介绍了云数据库TaurusDB实例支持的备份类型。 TaurusDB支持数据库实例的备份和恢复，以保证数据可靠性。 TaurusDB支持多种备份类型，默认开启自动备份。详细内容请参考设置自动备份策略。 TaurusDB会定期进行全量备份和增量备份，用户可恢复数据到任意时间节点。详细内容请参考将数据库实例恢复到指定时间点。 备份操作是实例级的，备份范围包含数据库实例中所有数据。 备份的作用 当数据库或表被恶意或误删除，只能依赖于实例的备份保障数据安全。 全量备份 全量备份表示对当前状态下的数据库实例中的所有数据进行一次完整的备份，用户可在任意时刻使用全量备份恢复创建备份时的完整数据。 增量备份 TaurusDB数据库系统自动每5分钟对上一次自动备份或增量备份后更新的数据进行备份。 自动备份 TaurusDB会在数据库实例的备份时段中创建数据库实例的自动备份。系统根据您指定的备份保留期保存数据库实例的自动备份。如果需要，您可以将数据恢复到备份保留期中的任意时间点。 手动备份 您还可以创建手动备份对数据库进行备份，手动备份是由用户启动的数据库实例的全量备份，会一直保存，直到用户手动删除。

本节介绍了人脸识别产品的功能特性。 人脸检测 通过用户输入人脸照片，高效快速地检测图像中的人脸，给出人脸的位置和可信度阈值，方便用户后续应用。 具备出色的多人脸检测能力，系统在处理不同角度和光照条件下仍然表现出色。对于一定程度的遮挡，也能有效应对。 提供易于集成的API，使开发人员能够轻松地将人脸检测功能整合到其应用程序中。 人脸属性识别 在人脸检测基础上，分析检测后的人脸数量、人脸性别、年龄等属性，扩展用户使用人脸检测服务的应用场景。 产品设计考虑了多样的场景，包括不同角度、光照条件以及一定程度的遮挡，保证人脸属性识别的准确性。 产品支持多人脸检测，具备角度和光照鲁棒性，并可处理一定程度的遮挡。 人脸活体检测 基于深度学习方法，分析人脸图像的摩尔纹、成像畸形等信息，实现静默活体判断，有效防止静态图像等非活体攻击。 适用于多种应用场景，包括安防和身份验证领域，具备高实时性和可靠性，有助于提升安全性和防范欺诈。 人脸比对 通过对用户输入的两张人脸图像进行比对，分析是否为同一个人，同时可返回两张图像人脸的相似度以及比对结果。 支持多种场景下的人脸比对，包括不同角度、光照条件和表情变化。 可和人脸活体检测结合使用应用于人员打卡、身份核验等场景。

本章节介绍应用服务网格出口网关 概述 应用服务网格出口网关可以为您的应用程序提供一个统一的访问出口。作为服务网格的出口，它充当了流量离开集群的出口点，负责将从集群内部发出的流量路由到外部目的地，并执行一系列功能以确保流量的安全性、可靠性和高效性。 创建出口网关 1. 登录应用网格控制台，单击应用网格实例列表中的网格名称。 2. 在左侧导航栏中，选择网关>出口网关。 3. 选择对应的集群和命名空间后，点击创建出口网关按钮，配置出口网关信息。 配置项 说明 网关名称 自定义网关名称。 命名空间 网关创建的命名空间。 网关类型 表示网关为出口网关还是入口网关。 label标签设置 设置出口网关的标签，可用于网关规则筛选器的匹配。 端口设置 配置网关的端口以及端口对应的协议。 资源规格设置 网关pod的CPU和内存规格。 网关副本数 网关pod的数量。 滚动升级策略设置 配置滚动升级，用于无缝地将应用程序的新版本逐步引入到集群中，同时逐步淘汰旧版本，以确保应用程序持续可用性的升级过程，可进行如下配置： 1，不可用最大副本数：设置滚动升级时不可用最大的副本数量。 2，超过期望的副本数：设置滚动升级时最多不能超过的副本数量。例如设置为25%，表示滚动升级时副本数量不能超过原来副本的125%。

本节介绍网络的用户指南： 网络策略。 背景信息 Kubernetes网络策略（NetworkPolicy）是一种用于控制容器网络访问的资源对象。它基于标签（Label）选择器定义允许的网络流量白名单，控制Pod 之间的通信、Pod与外部服务的连接行为。通过网络策略可以实现细粒度的网络隔离，提升集群的安全性。Cubecni容器网络插件的策略路由模式和IPVLAN模式支持网络策略，独占ENI模式不支持网络策略。 开启网络策略 Cubecni网络插件，若开启网络策略，会额外消耗一部分系统资源，默认不开启网络策略。可在订购集群时开启网络策略，或集群创建后再开启网络策略。 订购集群 订购集群，若使用Cubecni插件，可选择开启网络策略。 已有集群 Cubecni若不低于v1.1.1版本，可参考如下操作步骤开启网络策略： a. 登录云容器引擎控制台，左侧导航栏选择集群； b. 在集群列表页面，单击目标集群名称，进入集群管理页面； c. 左侧导航栏，选择工作负载 > 守护进程； d. 命名空间 选择kubesystem ，找到cubecni 服务，点击右侧的更多>查看YAML； e. 点击编辑，将环境变量CHAININGRUNMODE的值改为on，点击保存； f. 等待Cubecni服务重启，待运行/期望Pod数量相等，说明重启完成。 备注：如下所示，cubecnidaemon镜像版本不低于v1.1.1，则支持手动开启网络策略。

本节主要介绍Pika到GeminiDB Redis的迁移方案。 Pika是一个可持久化的大容量Redis存储服务，解决了Redis由于存储数据量巨大而导致内存不够用的容量瓶颈。但其集群管理功能较为薄弱，需要使用twemproxy或者codis实现静态数据分片。同时由于数据全部存储在磁盘中，相比于社区版Redis，性能明显下降。 GeminiDB Redis是一款兼容Redis生态的云原生NoSQL数据库，基于共享存储池的多副本强一致机制，保证数据的安全可靠。GeminiDB Redis实现了冷热分离，解决了缓存（cache）与数据库（Data Base，DB）之间交互访问的问题，提高了程序可读性与程序运行效率。同时对RocksDB进行深度定制，实现秒级分裂弹性扩容，扩缩容无需搬迁数据，快速而平滑。通过proxy代理，使上层业务可以不感知内核处理扩缩容过程中的数据迁移。 迁移原理 pikaport伪装成Pika的从节点运行，通过主从复制的方式进行数据迁移。Pika主节点通过比较pikaport和自己的binlog偏移量判断做全量迁移还是增量迁移。如果需要做全量迁移，Pika主节点会将全量数据快照发送给pikaport，pikaport将解析后的快照数据发送给GeminiDB Redis。全量迁移结束后进入增量迁移，pikaport将增量数据解析后以redis命令的形式发送给GeminiDB Redis。 图 迁移原理

了解存储资源盘活系统的远程协作操作。 点击导航栏中的“设置” ，进入“设置”页面，点击“远程协助”，可以查看远程协助信息及禁用远程协助功能。 如果需要开启远程协助，请按如下步骤开启： 1. 请将HBlock ID和问题告知工作人员，申请远程协助服务。工作人员会反馈远程协助服务端的Host和端口号，以及预计登录服务器的时间。 2. 在服务器页面（ 查看/ 修改服务器 ），选择要开启远程协助的服务器，输入远程协助服务端的Host和端口号，开启远程协助功能。 3. 工作人员登录服务器，远程诊断问题。 若已知晓远程协助服务端的Host和端口号，可以直接开启远程协助，将远程协助码和问题告知工作人员，以便工作人员登录服务器进行协助。 注意 默认情况下，远程协助功能处于禁用状态，可随时启用。启用后，工作人员有权登录Linux系统诊断问题。远程登录过程中，工作人员会具有安装HBlock的用户和开启远程协助操作的用户的权限。远程协助时的所有操作记录可通过服务器的日志文件logs/remoteaccess/remoteaccess.log查看。 如果启用了远程协助功能，则意味着您相信工作人员，并授权访问系统中的所有数据。工作人员将尽力诊断问题并确保数据安全。但是由于系统环境的复杂性，工作人员对远程协助引起的任何后果不承担任何责任。

本文主要介绍概念类问题。 什么是容灾？ 容灾是一个范畴比较广泛的概念。广义上，容灾是一个系统工程，包括所有与业务连续性相关的内容。对于IT而言，容灾是提供一个能防止用户业务系统遭受各种灾难影响破坏的计算机系统。狭义的容灾是指建立两套或多套功能相同的IT系统，互相之间可以进行健康状态监视和功能切换，当主要站点因意外（如火灾、地震、城市供电中断等）停止工作时，整个应用系统可以利用辅助站点快速恢复，并继续工作。 容灾的主要目的是，当自然或人为的原因导致生产系统发生灾难时，能够尽可能地保证业务的连续性。 什么是RPO和RTO？ A：RPO（Recovery Point Objective）即数据恢复点目标，主要指的是业务系统所能容忍的数据丢失量。 RTO（Recovery Time Objective）即恢复时间目标，主要指的是所能容忍的业务停止服务的最长时间，也就是从灾难发生到业务系统恢复服务功能所需要的最短时间周期。 什么是SCSI？ SCSI（Small Computer System Interface）是云硬盘磁盘模式的一种。SCSI类型的云硬盘支持SCSI指令透传，允许云服务器操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的云硬盘还可以支持更高级的SCSI命令，例如持久锁预留，适用于通过锁机制保障数据安全的集群应用场景。

VPN支持将两个VPC互连吗？ 如果两个VPC位于同一区域内，不支持VPN互连，推荐使用VPC对等连接互连。 如果两个VPC位于不同区域，支持VPN互连，具体操作如下： 1. 为这两个VPC分别创建VPN网关，并为两个VPN网关创建VPN连接。 2. 将两个VPN连接的对端网关设置为对方VPN网关的网关EIP。 3. 将两个VPN连接的远端子网设置为对方VPC的网段。 使用VPN会对本地网络造成哪些影响，访问云端主机在路由上会有哪些变化？ 配置VPN时，用户需要在用户侧数据中心的网关上增加以下VPN配置信息： IKE/IPsec策略配置。 配置VPN连接模式为路由模式或策略模式。 用户需要审视用户侧数据中心网关的路由配置，确保发往VPC的流量被路由到正确的出接口（即绑定IPsec策略的接口）。 通过VPN来实现云下IDC与云端VPC的互通，两端分别需要做哪些配置？ VPN对接的工作分为两个部分：云上创建VPN和用户侧数据中心配置VPN设备。 云上创建VPN 购买VPN网关，配置计费模式、带宽大小和对接的VPC等信息。 配置对端网关，配置路由模式等信息。 配置VPN连接，配置两端网关IP，两端子网和协商策略等信息。 用户侧数据中心配置VPN设备 配置用户侧数据中心公网IP，在支持IPsec VPN的设备上完成IPsec协商的一、二阶段配置。 进行网络路由、NAT和安全策略配置。

弹性伸缩服务提供以下相关API接口。 类型 描述 伸缩服务开通验证 验证用户是否已开通弹性伸缩服务 伸缩资源配额查询 查询用户的弹性伸缩组、伸缩配置、伸缩策略配额 查询伸缩组 查询伸缩组列表 创建伸缩组 创建一个弹性伸缩组 删除伸缩组 删除一个弹性伸缩组 修改伸缩组 修改一个弹性伸缩组 停用伸缩组 停用一个弹性伸缩组 启用伸缩组 启用一个弹性伸缩组 修改伸缩组最大云主机数 修改伸缩组最大云主机数 修改伸缩组最小云主机数 修改伸缩组最小云主机数 查询负载均衡器 查询伸缩组的负载均衡列表 添加负载均衡器 添加一个或多个负载均衡 删除负载均衡器 删除一个或多个负载均衡实器 修改伸缩组云主机回收方式 修改弹性伸缩组的云主机回收方式 修改伸缩组健康检查方式 修改弹性伸缩组的健康检查方式 修改伸缩组健康检查间隔 修改一个弹性伸缩组的健康检查间隔 检查伸缩组云防火墙 用于检查该账户下，哪些安全组被伸缩配置所使用 检查伸缩组是否可以修改 检查弹性伸缩组是否可以修改 修改弹性伸缩组的一个伸缩配置 修改弹性伸缩组的伸缩配置 修改弹性伸缩组的伸缩配置列表 修改弹性伸缩组的伸缩配置列表 开启伸缩组保护 开启伸缩组保护，不可删除该伸缩组 关闭伸缩组保护 关闭伸缩组保护，可以删除该伸缩组 移入云主机 将一台或多台云主机移入伸缩组 移出云主机 将一台或多台云主机移出伸缩组 移出云主机并释放 将一台或多台云主机移出伸缩组并释放 设置云主机保护 开始保护或者停止保护伸缩组内的一台或者多台云主机 关闭云主机保护 关闭云主机保护 开启云主机保护 开启云主机保护 设置云主机移出规则 设置云主机移出规则 获取伸缩组主机数量监控数据 获取弹性伸缩云主机数量监控数据 查询伸缩组不健康主机 查询伸缩组内不健康云主机信息 查询伸缩组云主机信息 查询伸缩组内云主机的列表，并列出云主机的信息 查询伸缩组云主机可用区分布 查询伸缩组内的云主机的可用区分布 创建伸缩策略 创建一个弹性伸缩策略 删除伸缩策略 删除一条伸缩策略 修改伸缩策略 修改一条伸缩策略 执行伸缩策略 执行一条伸缩策略 创建告警策略 创建一个告警策略 删除告警策略 删除一个告警策略 修改告警策略 修改弹性伸缩告警策略 启用告警策略 启用一个告警策略 停用告警策略 停用一个告警策略 创建周期策略 在伸缩组中创建一个周期策略 创建定时策略 在伸缩组中创建一个定时策略 删除定时策略 删除一个定时策略 修改定时策略 修改一个定时策略 启用伸缩组中指定策略 启用伸缩组中的指定策略 停用伸缩组中指定策略 停用伸缩组中的指定策略 查询伸缩组策略表 查询弹性伸缩组内的策略列表 查询定时策略信息表 查询定时策略信息列表 查询周期策略信息表 查询周期策略信息列表 查询伸缩组告警策略 查询弹性伸缩的告警策略 修改一个周期策略 修改一个周期策略 启用一个周期策略 启用一个周期策略 删除一个周期策略 删除一个周期策略 停用一个周期策略 停用一个周期策略 查询伸缩配置 查询弹性伸缩配置 创建伸缩配置 创建一个弹性伸缩配置 删除伸缩配置 删除一个弹性伸缩配置 修改伸缩配置 修改一个弹性伸缩配置 查询伸缩活动ID 查询伸缩活动ID列表 查询伸缩活动详细信息 根据一个伸缩活动的ID查询一个伸缩活动的详细信息 查询伸缩活动列表 查询伸缩组的伸缩活动，并列出伸缩活动的全部信息