本章节介绍注册配置中心常见配置问题 注册配置中心监控支持Prometheus动态读取Nacos的服务列表而获取metrics吗？ 支持，但在MSE里面不支持展示。 部署了Spring Cloud应用，但是使用的是Consul注册中心，如何实现注册中心的托管呢？ MSE目前已上线了Consul引擎，诚邀您开通试用。 如何退订服务？退订后资源会立刻释放吗？ 1. 在实例列表页面选择目标实例退订。 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心> 实例列表。 3. 在实例列表页面，选择目标实例所在行，点击操作列“更多”下面的“退订”按钮，跳转至确认页面。 4. 在退订确认页面请确认需要退订的实例信息，无误后点击确认即可退订。 5. 退订后实例无法再提供服务。 2. 退订后实例会被停止，无法访问，但资源不会立即释放，一般情况下数据会保留15天，准确保留时间以系统为准。 可以续订服务吗？服务能自动续期吗？ 包周期的实例可随时进行续订，续订后，到期时间将后延您所续订的时间。服务在购买时可以设置自动续期，您只需要选中“自动续费”按钮即可。 购买的实例性能无法满足实际需求怎么办？ 1. 购买实例前建议您先评估实际需求，然后参考产品规格章节 ，预留30%左右的容量，然后订购对应能力规格的产品。 2. 如果购买的实例随着业务发展无法满足实际需求可以使用扩容操作，对订购的实例进行扩容，扩容操作包括三种类型节点扩容（最高支持扩至9节点）、规格扩容（增加实例节点内存容量和CPU数量）、磁盘扩容（增加实例节点数据盘容量）。具体的操作可以参考如下步骤： 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心> 实例列表。 3. 在实例列表页面，选择目标实例所在行，点击操作列扩容按钮，跳转至扩容页面。 4. 在扩容页面选择扩容的类型以及目标规格，点击确认后提交订单，支付完毕后可在控制台实例列表页面查看扩容状态。 说明 1. 节点扩容限制只能3>5>7>9逐步扩容，不能一次增加超过半数的节点。 2. 规格扩容只能选择相同架构和类型下的2C4G、4C8G、8C16G等既定规格扩容，不能自定义规格。 3. 磁盘扩容必须是步长(50G)的整数倍，不能随意指定数字。

本章节介绍备份相关的操作指导。 查看备份详情 在备份任务下发或完成后，可以通过各种筛选条件在备份列表查看备份详情。 1. 登录天翼云控制中心。 2. 在产品列表中选择“存储 >云硬盘备份”。 3. 点击左侧“ ”查看云硬盘备份详情。 使用备份恢复云硬盘 当云主机中的云硬盘发生故障，或者由于人为误操作导致云主机数据丢失时，可以使用已经创建成功的备份恢复数据。 在恢复数据前，需要先停止服务器，并解除服务器和云硬盘的挂载关系后再做恢复操作。恢复后，再挂载云硬盘并启动服务器。 说明 云硬盘备份的数据盘的数据，不能恢复到系统盘中。 硬盘处于已挂载或未挂载时可进行云硬盘备份。 前提条件： 需要恢复的云硬盘运行状态正常。 操作步骤： 1. 登录天翼云控制中心。 2. 在产品列表中选择“计算 >云硬盘备份”。 3. 找到云硬盘所对应的备份。 4. 单击备份所在行的“恢复数据”。 注意 恢复数据之后将导致备份时间点的数据覆盖云硬盘数据，一旦执行，无法回退。 5. 点击确定 6. 单击“确定”。 删除备份 用户可以根据实际情况删除无用的备份以节省空间和成本。 说明 云硬盘备份支持两种方式删除备份：手动删除和过期自动删除。过期自动删除备份可以通过设置备份策略中的保留规则来实现，详情请参见

删除手动备份 如果不再需要已经生成的手动备份，可在“备份管理”页面或“备份恢复”页签进行删除。 手动备份被删除后，将不再显示在备份列表中。 说明 备份删除后，不可恢复，请谨慎操作。 备份删除后，不可恢复，请谨慎操作。 方式一 登录管理控制台。 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 在“实例管理”页面，单击目标实例，进入实例的“基本信息”页签。 在左侧导航栏中选择“备份恢复”页签，单击目标备份对应操作列中的“删除”。 在删除备份弹出框中，确认目标备份的信息，单击“是”。 方式二 登录管理控制台。 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 在“备份管理”页面，单击目标备份对应操作列中的“删除”。 在删除备份弹出框中，确认目标备份的信息，单击“是”。

本文介绍控制台管理REST API的关键步骤,包括发布、导入导出、下线API等操作。 发布API 前提条件 在发布API之前，确保API中已经定义并创建了接口。 操作步骤 1. 登录云原生API网关控制台。顶部菜单栏选择 "地域"，然后再左侧导航栏选择 "API"。 2. 单击目标API。单击右上方的 "发布API" 。 3. 在发布API弹出框中配置相关参数，然后单击 "发布" 。 配置项 说明 域名 选择域名进行发布，发布后，可以通过域名访问API。 所属实例 选择所创建的云原生API网关实例。不同的业务环境可用不同的实例区分，实现API在多环境上的发布。 使用场景 使用场景包括基础场景和灰度场景两类。 基础场景 Mock：接口响应将返回接口定义中的Mock配置，若接口未定义Mock配置，则将无法访问该接口。 说明 发布Mock场景时，要求当前API中至少有一个接口开启了Mock配置，否则将发布失败。 单服务：所有流量请求将转发到某一具体的后端服务，这个场景为最常使用的场景。 灰度场景 按比例（多服务）：流量将按比例分发到对应的后端服务中，常用于切流及灰度发布场景。 说明 要求服务权重之和等于100。 后端服务 关联该网关实例下的后端服务。 发布描述 填写API的发布描述。 添加API版本

步骤二：创建节点池 1. 用户登录分布式容器云平台，在左侧导航栏，选择集群资源> 集群管理； 2. 在集群列表，单击目标集群，进入集群页面； 3. 在左侧导航栏，选择节点管理 > 节点池，选择创建节点池； 4. 在创建节点池时，选择对应云上规格机器和相关配置，并添加上述的节点部署脚本，管理节点的标签、污点等，完成节点池创建。 自定义OS镜像构建 为缩短云上节点从创建到就绪状态的时间，可以通过预先安装所需软件包自定义OS镜像的方式，减少软件下载时间，提升效率。 本参考以Centos7.9操作系统为例，接入1.31.6版本的Kubernetes集群，制作自定义OS镜像，完成节点池创建。 步骤一：配置基础环境 1. 创建ECS云主机 1. 登录计算弹性云主机控制台。 2. 选择对应资源池，然后 点击创建云主机，配置相关内容。 3. 等待云主机实例创建完成之后，登录节点。 2. 安装工具包，配置基础环境 shell yum y install yumutils,conntrack 安装helm wget tar xzvf helmv3.18.6linuxamd64.tar.gz mv linuxamd64/helm /usr/bin/helm 关闭防火墙 systemctl disbale now firewalld systemctl status firewalld 禁用SELinux setenforce 0

本文为您介绍启动反向复制的操作流程。 操作场景 完成反向注册，受保护的的云服务状态变为“已反向初始化”后，可启动反向复制，从容灾中心将数据反向复制回生产中心。 注意 在此过程中，关闭云主机将导致出错，造成数据丢失，请勿执行关机操作。 本示例中ecmtest为生产中心的云主机，ecmrecovery为容灾中心的云主机。 前提条件 受保护的服务器状态为“已反向初始化”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞故障恢复＞启动反向复制”。 7. 在启动反向复制页面，根据提示配置参数，单击“启动”，开始反向复制。 参数 说明 :: 容灾云主机名称 自动获取并展示当前容灾中心服务器名称，不可修改。 原机恢复 勾选后，会将生产中心的云主机作为复影云主机。 不勾选，系统将自动在生产中心新建一台云主机作为复影云主机。 注意：若使用原机恢复，所使用的生产中心ECS主机的数据将被清除。本示例中，ecmtest中的数据将被清除。 生产磁盘类型 云主机下磁盘类型。 生产中心VPC 自动获取并展示生产中心vpc信息，不可修改。 反向复制会先后进入启动反向复制中、反向全量复制中、反向实时复制中三个阶段。 启动反向复制中：正在扫描系统数据，评估总体数据量，这一阶段通常会持续几分钟。 反向全量复制中：正在把容灾中心服务器的有效数据传输到生产中心复影云主机，这一阶段所用时间取决于服务器数据量、网络带宽等因素，并通过进度条显示进度和完成百分比。 反向实时复制中：全量复制完成后，系统已经复制了全量数据，然后将会在服务器上监视所有对磁盘的写操作，并持续地实时复制到复影云主机。 注意 如遇反向复制出错，可以单击

本节主要介绍如何在智能视图服务控制台创建、下载GB35114凭证。 设备控制台创建证书并下载 登录当前设备的管理控制台，地址通常为设备IP。平台接入方式下拉选择【28181】并勾选【启用国密模式】后，在证书管理点击【创建】。 在弹出的窗口中填入相应的信息完成证书创建并下载到本地。 平台侧创建GB35114凭证并下载 在平台侧的凭证管理页面，点击【新建GB35114凭证】，选择刚刚下载到本地的证书并上传，平台可自动解析出证书中包含的信息并显示设备名称和国标ID，配置好证书截止的有效时间后点击【确定】完成GB35114凭证的创建。 创建完成后，可在凭证列表查看该凭证并下载使用。

本章节为您介绍了天翼云ECX的功能特性。 提供多重保障和手段，实现业务高可用 高可用多副本存储，云硬盘、整机的快照备份，快照回滚、备份恢复。 虚拟机冷热迁移及反亲和，故障自愈。 多样化监控指标和告警，图形化展示，帮助快速发现和处理问题。 支持专属网络和经典网络，可选择其一或两者兼具 专属网络即VPC，支持NAT、SLB、VPN等多种扩展能力。 经典网络独立于VPC，支持大带宽业务。 支持在开通时或开通后按需增删网络类型和数量。 提供多种VPC互通能力，可根据需求按需选择 对等连接可实现同集群同用户或不同用户VPC之间的内网互通。 VPN可实现不同集群之间或与第三方云、本地数据中心互联互通。 边边网络可实现不同VPC之间内网互联，不限集群和用户。 提供裸金属，兼具虚拟机弹性能力和物理机高性能 裸金属支持EIP和NAT网关等VPC能力，可与同集群云主机内网互通。 支持使用公有镜像和自定义镜像自定义装机。 提供多种监控指标告警。 提供丰富的计算、存储、网络能力 提供与中心云相同的能力，一致的使用体验。 提供包括虚拟机、裸金属等计算能力，云硬盘、本地盘、本地裸盘等存储能力。 提供VPC、公网IP、共享带宽、NAT网关、负载均衡、路由表、内网VIP、NAT64服务等网络能力。

方案介绍 当您购买了一台物理机后，了解其运行状态一定是您的迫切需求，天翼云物理机和云监控服务结合使用，自动收集物理机的CPU、内存、磁盘以及网络使用情况等监控指标，以便您及时了解物理机实例运行状况和性能。 本手册基于天翼云物理机和云监控服务实践所编写，指导您完成物理机的主机监控配置。 应用场景 新创建物理机场景 当您新建一台物理机时，可以利用CloudInit自动安装Agent，实现主机监控。 已有物理机场景 对于已有的物理机，您需要手动安装并配置Agent以实现主机监控。 约束和限制 Agent插件目前仅支持64位Linux操作系统的物理机实例。 用户私有镜像不在支持范围内。

本章介绍函数工作流如何管理函数日志。 云日志服务（LTS）管理函数日志 FunctionGraph支持开通云日志服务(LTS)，使用更丰富的函数日志管理功能。开通云日志服务后，FunctionGraph会自动创建1个日志组，在这个日志组下会创建20个日志流，函数的日志会随机出现在某个日志流中，比如函数A第一次执行将日志存放在了日志流A中，那么以后都会固定在日志流A中，但是1个日志流中可能包含多个函数的日志。 说明 默认创建的20个日志流，您无法自定义。您可以在函数的“日志”页签下，单击“F12”，找到query接口里的日志流ID，再到lts里找到对应的日志流ID。 若在LTS控制台误删函数日志组，之前的日志数据不可找回，FunctionGraph服务不感知该操作。此时您可以通过修改函数常规设置中的描述信息，保存后触发重建函数日志组。 设置查询条件。 请求列表：支持设置请求ID、调用结果（执行成功、执行失败）、原因分析（初始化失败、加载失败、系统错误、调用超时、内存超限、磁盘超限、代码异常） 请求日志：支持关键字、请求ID、实例ID 调用结果 调用结果 说明 执行成功 函数执行成功打印的日志。 执行失败 函数执行失败打印的日志，包函调用超时、内存超限、磁盘超限、代码异常四种情况。 若想查看调用超时的日志信息，请将“日志类型”切换为调用超时，另外3种执行失败下的日志类型查看方法相同。

概述 默认情况下，ZooKeeper集群不会对客户端进行强制身份认证，任何客户端都可以访问ZooKeeper数据，存在安全隐患。目前，MSE ZooKeeper支持SASL身份认证，通过用户名和密码对客户端进行身份认证，提升Zookeeper数据的安全性。 前提条件 创建微服务引擎MSE，参考章节：创建ZooKeeper引擎； 开通引擎版本为3.8.1.9及以上的ZooKeeper实例，并且实例状态正常； 操作步骤 1.登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2.在左侧导航栏，选择注册配置中心 > 实例列表； 3.在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4.在左侧导航栏，选择权限管理> SASL认证； 5.在用户管理页面，单击创建用户。在创建用户面板中输入用户名、密码和确认密码，然后单击确定即可增加新的用户身份信息配置； 6.单击对应用户操作列中的复制配置，以下内容会被复制到粘贴板，密码需要手动补充，然后将其保存在客户端的任意文件中（如jaas.conf）； java Client { org.apache.zookeeper.server.auth.DigestLoginModule required usernametest password""; }; 7.对于Java使用Zookeeper原生SDK或者Apache Curator框架的应用时，需要进行以下操作： 假设之前已经保存的配置文件路径为/path/to/jaas.conf，在Java应用启动的时候，指定以下系统属性。 Djava.security.auth.login.config/path/to/jaas.conf // 填写配置保存的文件的路径 重启客户端应用后，客户端会自动读取认证信息配置并向Zookeeper服务端进行身份认证。 8.客户端配置完成之后，在左侧导航栏，选择参数管理。在参数管理页面，将requireClientSASLAuth的值设置为true，即可强制要求客户端连接服务端时进行SASL身份认证； 9.用户创建成功后，可以在用户列表的操作列，按需执行如下操作； 重置密码：点击重置密码，在密码重置面板中输入用户名、新密码和确认密码。当用户密码发生变更后，以该用户身份连接服务端的客户端将会断开连接； 删除用户：单击删除，弹出框提示确认需要删除的用户名称，点击确认即可删除用户。当用户被删除后，以该用户身份连接服务端的客户端将会断开连接；

本章节将为您详细介绍创建告警规则的操作场景及步骤。 操作场景 云监控支持灵活的创建告警规则。您既可以根据实际需要对某个备份存储库的监控指标设置自定义告警规则，同时也能够使用告警模板为多个资源或者云服务批量创建告警规则。 云监控不仅可以对存储库的指标进行监控，还提供了事件监控供您使用。 云硬盘备份支持的事件监控如下表所示： 维度 监控事件 测量对象 云硬盘备份事件 备份副本创建为失败 备份副本 云硬盘备份策略事件 云硬盘备份策略调度失败 备份策略 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，此处我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控服务”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则列表页面。 5. 在“告警规则”列表界面，单击“创建告警规则”按钮。 6. 在“创建告警规则”页面，根据界面提示配置参数。 配置指标监控的参数及相关含义说明如下： 模块 参数 参数说明 配置示例 约束与限制 选择监控对象 规则类型 选择规则的类型，主要包括指标监控、事件监控、站点监控、自定义监控、自定义事件五种。 指标监控 自定义监控、自定义事件目前仅支持部分资源池。 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云硬盘备份 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 备份存储库 选择监控对象 监控对象类型 具体实例/资源分组 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 存储库名称 定义告警策略 选择类型 自定义创建/从模板导入。 自定义创建 定义告警策略 策略 满足全部/任意策略 策略信息包括：指标、数据类型（原始值、最大值、最小值、平均值）、判断条件（>、≥、 50GB，连续发生2次，普通 同一告警规则下，告警条件最多支持添加20条。 定义告警策略 无数据处理 不做处理/视为告警/视为恢复 不做处理 配置告警通知 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 是 配置告警通知 通知方式 配置告警通知的通知方式。 通知联系人组 配置告警通知 告警联系组 配置发生告警通知的用户组。 配置告警通知 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 出现告警 配置告警通知 通知渠道 配置告警通知的通知渠道，支持邮箱、短信、语音。 邮箱 配置告警通知 重复告警 指告警发生后如果未恢复正常，将重复发送告警通知次数。 不重复 配置告警通知 通知频率 配置告警通知的通知频率。 每24小时通知一次 配置告警通知 通知周期 配置告警通知的周期时间。 星期天、星期一、星期二、星期三、星期四、星期五、星期六 配置告警通知 通知时段 配置告警通知的时间段。 00:00:0023:59:59 配置告警通知 告警回调 配置告警通知webhook地址。 配置告警通知 通知模板 选择通知模板,告警信息将按系统默认模板。 系统模板 规则信息 名称 该告警规则的自定义名称。 vbsalarmnote 规则信息 企业项目 选择告警规则适用的企业项目。 default 规则信息 描述 添加对该告警规则描述（此参数非必填项）。 配置事件监控的参数及相关含义说明如下： 模块 参数 参数说明 配置示例 选择监控对象 规则类型 选择规则的类型，主要包括指标监控、事件监控、站点监控、自定义监控、自定义事件五种。 事件监控 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云硬盘备份 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 云硬盘备份事件 选择监控对象 监控对象类型 具体实例/全部资源 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 备份副本 定义告警策略 监控事件 选择已有的监控事件。 备份副本创建为失败 定义告警策略 策略 （5分钟、20分钟、1小时、4小时、24小时）内，累计的次数，级别（普通、警示、紧急）。 5分钟内累计10次，普通 配置告警通知 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 是 配置告警通知 通知方式 配置告警通知的通知方式。 通知联系人组 配置告警通知 告警联系组 配置发生告警通知的用户组。 配置告警通知 触发场景 配置告警通知的触发场景。 出现告警 配置告警通知 通知渠道 配置告警通知的通知渠道，支持邮箱、短信、语音。 邮箱 配置告警通知 重复告警 指告警发生后如果未恢复正常，将重复发送告警通知次数。 不重复 配置告警通知 通知频率 配置告警通知的通知频率。 每24小时通知一次 配置告警通知 通知周期 配置告警通知的周期时间。 星期天、星期一、星期二、星期三、星期四、星期五、星期六 配置告警通知 通知时段 配置告警通知的时间段。 00:00:0023:59:59 配置告警通知 告警回调 配置告警通知webhook地址。 规则信息 名称 该告警规则的自定义名称。 vbsitemnote 规则信息 企业项目 选择告警规则适用的企业项目。 default 规则信息 描述 添加对该告警规则描述（此参数非必填项）。 7. 告警规则添加完成后，当监控指标触发设定的阈值时，云监控会在第一时间通过邮件实时告知您云上资源异常，以免因此造成业务损失。关于云监控的其他操作和更多信息，请参考《云监控服务》。

清理违规内容 您可根据管控通知、或联系客服了解管控原因、获取存在违规信息的具体链接，然后参考《++安全违规信息类型说明++》进一步排查定位违规内容，并自行完成清理。 若您的对象存储OSS文件由于违规信息被冻结或限制访问，可直接删除违规文件。 清理挖矿程序 1. 挖矿程序一般很难清理，强烈建议您在++备份重要数据++后，重新初始化云盘 ，可确保完全清理挖矿程序。 2. 您也可以按以下步骤对您的服务进行排查： 排查是否有异常的CPU占用（注：挖矿木马可能不会占满您的CPU，但CPU占用会长时间持续稳定在一定水平，如20%、50%）； 排查是否有异常的网络连接，如连接非常见端口、连接未知IP/海外IP等； 排查系统定时任务中是否存在未知/恶意命令。 3. 您可以免费试用服务器安全（原生版）、云防火墙（原生版），以辅助您排查挖矿活动。 服务器安全卫士（原生版）清理挖矿程序：登录服务器安全卫士（原生版）控制台→绑定防护配额→ 全盘病毒扫描→ 告警处理； 云防火墙（原生版）防止挖矿程序再植入：登录云防火墙（原生版）控制台→ 登入云防火墙（原生版）实例配置页面 → 网络 → 安全域 → 编辑安全域 → 威胁防护配置 → 打开病毒过滤，攻击防护开关。 说明 申请产品免费试用请联系客户经理，试用扫描结果仅作紧急排查辅助，不能作为唯一参考。

本文介绍如何通过日志分析分析域名访问日志和Web攻击日志。 功能简介 日志分析模块主要是介绍和指导客户如何分析域名访问日志和Web攻击日志。为您提供一个月内的访问日志和Web攻击日志。 创建日志任务 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【数据分析】，进入【日志分析】菜单。 3. 单击页面左上角【新建日志任务】按钮。 4. 配置完成后，单击【确定】，保存日志任务。 注意 本产品相关数据从您成功配置任务后才开始生成和记录。若您尚未进行任务配置，将无法获取到任何数据。 请您在使用相关功能前，先完成任务配置，以确保正常使用。 配置项说明 配置项 说明 任务名称 配置任务的名称，支持中英文、数字、最长30个字符。 日志类型 配置需要创建的日志类型，支持配置业务访问日志和Web应用攻击日志。一个任务只能配置一种日志类型。 关联域名 配置日志任务的域名，默认为全部域名。 实时分析日志 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【运营管理】—【数据分析】，进入【日志分析】菜单。 3. 单击【日志任务列表】—【操作】中的【实时分析日志】按钮，进入实时分析日志页面。

SSL连接 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的，下载根证书或捆绑包。 步骤 3 将根证书上传至需连接云数据库GaussDB 实例的弹性云主机，或保存到可访问数据库实例的设备。 将根证书导入弹性云主机Linux操作系统，您可以使用任何终端连接工具（如WinSCP、PuTTY等工具）将证书上传至Linux系统任一目录下以实现该目标。 步骤 4 连接云数据库GaussDB 实例。 以Linux系统为例，在弹性云主机设置环境变量，执行如下命令。 export PGSSLMODE export PGSSLROOTCERT gsql h p d U 参数说明 参数 说明 主机IP，在“实例管理”页面单击实例名称，进入“基本信息”页面。“连接信息”模块的“内网地址”（通过弹性云主机访问）。 端口，默认8000，当前端口，即在“实例管理”页面单击实例名称，进入“基本信息”页面，“连接信息”模块的“数据库端口”。 需要连接的数据库名，默认管理数据库是postgres。 用户名，即云数据库GaussDB 数据库帐号，默认管理员帐号为root。 ssl连接CA证书路径。 ssl连接模式，设置为“verifyca”，通过检查证书链（Certificate Chain，以下简称CA）来验证服务是否可信任。 在弹性云主机设置环境变量，使用root用户SSL连接postgres数据库实例，具体示例如下： export PGSSLMODE"verifyca" export PGSSLROOTCERT"/home/Ruby/ca.pem" gsql d postgres h 10.0.0.0 U root p 8000 Password for user root: 步骤 5 登录数据库后，出现如下信息，表示通过SSL连接成功。 SSL connection (cipher: DHERSAAES256GCMSHA384, bits: 256)

本文将介绍广告防护的背景信息、使用前提、操作步骤、配置说明，帮助您更好地理解广告防护功能。 功能介绍 边缘云WAF能解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能。 背景信息 恶意广告 网站中出现未将网站所有者允许的广告内容，并通过非法形式进行传播，对网站所有者造成负面影响。 攻击方式：流量劫持 代理流量劫持是指在正常网站流量当中嵌入广告，达到强制推广目的，造成用户体验差，客户网站访问量降低。劫持的手段为在代理服务器上，针对网站页面进行恶意广告代码嵌入。 常见劫持方式： 源站：源站被攻破，网站页面遭到修改，或者正常网页被替换成攻击者的网页，造成用户访问的页面含有违法信息广告或盈利广告推广。 客户端：浏览器网页劫持，浏览器在获取到正常网页数据后，通过在客户网页中加入广告来达到强制推广，增加盈利目的。 广告防护工作原理 通过在反向代理服务器上，解析响应页面代码，在html的body当中插入广告检测js代码，实现广告防护和监测功能。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通旗舰版支持使用广告防护功能

本文为您介绍Web基础防护模块中，自定义防护规则组的配置方式。 云WAF的防护规则引擎支持用户自定义搭建防护规则组，为具体的防护场景创建有针对性的防护策略。在设置网站防护功能时，如果默认的防护规则组不能满足您的需求，建议您自定义防护规则组。 前提条件 已开通了Web应用防火墙，且实例版本为标准版及以上版本。 已完成网站接入。具体操作，请参见添加域名。 使用限制 基础版不支持自定义防护规则组，请升级到更高版本使用。 使用流程 防护规则组应用流程如下： 1. 新建规则组：为具体防护功能创建自定义防护规则组，形成有针对性的防护策略。 2. 应用规则组：添加自定义防护规则组后，您可以为网站域名应用自定义防护规则组。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“Web基础防护”模块，在防护规则组后方点击“前去配置”。 7. 进入“规则组配置”页面，可以看到当前的规则组列表。规则组列表展示了系统默认防护规则组及自定义防护规则组。 8. 在规则组列表上方，点击“新建规则组”，进入新建规则组页面，完成以下信息配置。 配置项 说明 规则组名称 设置规则组的名称。规则组名称用于标识当前规则组，建议您使用有明确含义的名称。 规则组模板 选择要应用的规则组模板。可选项： 严格规则组 中等规则组 宽松规则组 其他自定义规则组 规则组模板可以多选，系统会将所选的规则组最大集作为模板，下一步基于该集合进行规则配置。 规则组描述 输入规则组的描述信息。 规则配置 选择当前规则组要应用的防护规则。当前规则列表默认展示您所选的规则组模板集合中的所有规则，您需要从中勾选适用的规则，将不适用或者可能造成误拦截的规则取消勾选。 您可以使用筛选和搜索功能查询规则，例如通过危险等级、防护类型筛选规则，或者输入规则名称、CVE编号、规则ID搜索规则。 危险等级：表示规则防御的Web攻击的危险等级，包括高危、中危、低危。 防护类型：表示规则防御的Web攻击类型，包括SQL注入、XSS、目录穿越、Java代码执行、PHP代码执行、ASP代码执行、通用代码执行、Java反序列化、PHP反序列化、本地文件包含、远程文件包含、文件上传、CSRF、SSRF、命令注入、信息泄露、模板注入、XML实体注入、Xpath注入、LDAP注入、自定义精准攻击、未知攻击。 9. 如您暂时无需应用新建的规则组，可以在完成以上配置后，点击“保存”，完成配置向导。后续需要应用该规则组的时候再配置即可。 10. （可选）点击“下一步，应用到防护对象”将规则组应用到域名。从“待接入防护对象”列表中选择要应用当前规则组的域名，添加到“已接入防护对象”列表，单击“保存”。 注意 每个防护对象只能应用一个防护规则组。 11. 完成操作后，您可以在规则组列表中查看新建的规则组，包括规则组的更新时间以及应用域名的情况。 12. 您可以根据需要调整应用防护规则组的域名，通过点击“应用到防护对象”进行操作即可。 13. 创建规则组后，您可以在防护规则组列表中查看规则组内置规则情况，点击“内置规则数”列的数字进入规则列表。

本节为您介绍使用海量文件服务时四种常见的数据迁移场景。 文件系统需要挂载到计算服务后可被共享访问，可通过将文件系统挂载至一台可访问公网的弹性云主机后借助迁移工具实现数据迁移。常见的数据迁移场景有以下四种： 非天翼云数据迁移至海量文件服务 对象存数据迁移至海量文件服务 同账号不同资源池间的数据迁移 文件系统之间的数据迁移

指标名称 单位 是否为常用指标 指标说明 应用依赖服务调用次数 无 不是 该应用依赖的下游接口的调用次数，用于判断下游依赖服务调用是否增多。 应用依赖服务调用错误次数 无 不是 该应用依赖的下游接口的错误次数除以总请求数，用于判断下游依赖服务报错是否增多，影响当前应用。 应用依赖服务调用错误率（%） 无 不是 该应用依赖的下游接口的错误次数除以总请求数，用于判断下游依赖服务报错是否增多，影响当前应用。 应用依赖服务调用响应时间 毫秒 是 该应用依赖的下游接口的平均响应时间，用于判断下游依赖服务耗时是否增多，影响当前应用。 应用提供服务调用次数 无 是 应用入口调用（包括调用HTTP入口、调用Dubbo入口等）的次数。可以根据该指标分析当前应用调用量的大小，从而判断业务量的大小，以及通过调用量是否偏大或偏小判断应用是否存在异常。 应用提供服务调用错误次数 无 是 应用入口调用（包括调用HTTP入口和调用Dubbo入口等）的错误次数，调用错误是指整个对外（HTTP、Dubbo）调用行为的返回状态码>400的情况， 或者Dubbo有异常被最上层拦截的情况，都视为错误。可以根据该指标判断应用是否存在调用错误。 应用提供服务调用错误率（%） 无 是 应用入口调用的调用错误次数的总和/入口的调用次数的总和100%。 应用提供服务调用响应时间 毫秒 是 应用入口调用（包括调用HTTP入口、调用Dubbo入口等）的响应时间。可以根据该指标判断是否有慢请求出现，从而判断应用是否存在异常。

本节介绍如何开启NAT网关流量防护。 云防火墙通过防护NAT网关所在的VPC，实现对NAT网关流量的防护，并支持对私网IP进行细粒度访问控制，防止内网主机非法外联。 支持防护SNAT和DNAT两种场景。 SNAT组网图 DNAT组网图 约束条件 仅“专业版”支持NAT网关流量防护。 依赖企业路由器（Enterprise Router, ER）服务引流。 云防火墙当前默认支持标准私网网段。 如要实现DNAT网关向CFW集群东西向引流并配置DNAT规则，需提工单联系服务运维人员支撑防火墙升级，避免因旧版本不支持DNAT可能引起的流量受损风险。 开启NAT网关流量防护 需完成创建防火墙，具体配置请参见“创建VPC边界防火墙”。 步骤一：将VPC1和VPCNAT接入企业路由器中 1. 添加VPC连接。 操作步骤请参见《企业路由器用户指南> 在企业路由器中添加VPC连接》。 说明 连接需要添加两条，“连接资源”分别选择VPC1和VPCNAT。 2. 创建两个路由表。 1. 在左侧导航栏中，单击左上方的，选择“网络> 企业路由器”，单击“管理路由表”，进入“路由表”页面。 2. 创建两个路由表，作为关联路由表 和传播路由表分别用于连接需防护的VPC和连接防火墙。 单击“路由表”页签，进入路由表设置页面，单击“创建路由表”，参数详情见下表。 参数名称 参数说明 名称 输入路由表的名称。 命名规则如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 描述 您可以根据需要在文本框中输入对该路由表的描述信息。 标签 您可以在创建路由表的时候为路由表绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 3. 设置关联路由表。 1. 设置关联功能，添加VPC1和VPCNAT的连接：在路由表设置页面，选择关联路由表，单击“关联”页签，单击“创建关联”，参数详情见下表。 参数名称 参数说明 连接类型 选择连接类型“虚拟私有云（VPC）”。 连接 在连接下拉列表中，选择VPC连接。 说明 关联需要增加两条，“连接”分别选择VPC1和VPCNAT的连接。 2. 添加静态路由，指向防火墙：单击“路由”页签，单击“创建路由”，参数详情见下表。 参数名称 参数说明 目的地址 设置目的地址。 0.0.0.0/0：VPC的所有流量都会经过云防火墙防护 网段：该网段的流量会经过云防火墙防护 黑洞路由 建议您保持关闭状态；开启后如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。 连接类型 选择连接类型“虚拟私有云（VPC）”。 下一跳 在下拉列表中，选择自动生成的防火墙连接（cfwerautoattach）。 描述 （可选）路由的描述信息。 4. 设置传播路由表。 1. 设置传播功能，添加VPC1的传播：在路由表设置页面，选择传播路由表，单击“传播”页签，单击“创建传播”，参数详情见下表。 参数名称 参数说明 连接类型 选择连接类型“虚拟私有云（VPC）”。 连接 在传播下拉列表中，选择VPC1的连接。 2. 添加静态路由，指向VPCNAT：单击“路由”页签，单击“创建路由”，参数详情见下表。 参数名称 参数说明 目的地址 设置目的地址，设置为：0.0.0.0/0。 黑洞路由 建议保持关闭状态；开启后如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。 连接类型 选择连接类型“虚拟私有云（VPC）”。 下一跳 在下拉列表中，选择VPCNAT的连接。

本节介绍天翼云电脑投屏功能。 产品说明 天翼AI云电脑投屏功能支持全平台，实现任意设备间的轻松投屏。无需繁琐的数据线连接，也无需耗时的匹配投屏器，您只需简单操作，就能像呼吸一样自然地将AI云电脑内容无缝分享到大屏幕上。这一功能极大地提升了工作效率，让工作流程变得更加简洁高效。 投屏功能突破了平台和设备的限制，实现了AI云电脑内容在手机、电脑、电视和平板等多设备间的多屏互动。支持Windows、Android、MacOS、iOS、Linux系统，覆盖了大屏电视、会议大屏、个人电脑、移动设备以及瘦终端等多种设备类型。 使用条件 投屏发起端和接收端，安装天翼AI云电脑客户端2.5及以上版本。 投屏接收端 投屏接收端续开启投屏功能，生成投屏码。 操作步骤： 1.打开投屏接收端设备的天翼AI云电脑客户端，在登录页面点击“设置”入口； 2.选择“设置”“投屏设置”，开启投屏模式功能； 3.可对投屏设备的名称进行设定，且可设置需本机同意后才开始投屏； 4.开启投屏模式后，在登录页面，切换至“投屏模式”，即可查看投屏接收端的投屏码和投屏二维码。

可信计算 可信计算是实现云租户计算环境高级安全的重要功能之一。通过在虚拟化层面上使用可信虚拟化技术（vTPM）作为可信根，构建从系统启动到用户指定应用的信任链，并实现远程证明机制，从而为用户提供从启动阶段到运行阶段的全方位可信保障。在系统和应用中加入可信验证，可以显著降低因使用未知或被篡改的系统/软件而遭受攻击的风险。 虚拟化安全 租户隔离 天翼云确保不同租户之间的计算、网络、存储资源隔离，防止资源被非法访问。租户隔离通过虚拟化技术实现，确保每个租户的资源独立运行，互不干扰。天翼云提供多种隔离机制，包括计算隔离、网络隔离和存储隔离，确保租户之间的安全隔离。 租户隔离：基于硬件虚拟化技术将多个计算节点的虚拟机在系统层面进行隔离，租户不能访问相互之间未授权的系统资源。 计算隔离：管理系统与客户虚拟机，以及客户虚拟机之间互相隔离。 网络隔离：每个虚拟网络与其他网络之间互相隔离。 存储隔离：计算与存储分离，虚拟机只能访问分配好的物理磁盘空间。

本文介绍仪表盘的导出与导入功能。通过该功能，您可以将其他天翼云账号的仪表盘导入至当前账号中。 前提条件 已创建好目标仪表盘。 操作步骤 1. 使用目标仪表盘所在的账号，登录云日志服务控制台。 2. 进入目标仪表盘页面，点击右上角导出按钮。系统将自动以JSON文件格式导出当前仪表盘至本地。 3. 使用待导入仪表盘所在的账号，登录云日志服务控制台。 4. 在仪表盘菜单中，点击【创建仪表盘】。 5. 填写仪表盘名称，并选择“从文件导入”方式。 6. 根据界面引导，选择日志项目与日志单元，用于替换源仪表盘中的日志项目与日志单元。 7. 在选择文件中，从本地选择步骤2中生成的JSON文件。 8. 完成配置后，点击【开始导入】，即可完成仪表盘导入。

本节为您介绍如何查看源端云主机详情。 操作场景 安装并启动Agent后，迁移Agent会自动收集源端云主机信息并发送给服务器迁移服务。默认迁移任务下。收集的所有信息仅用于数据迁移，不会用做其他用途。 您可以随时登录管理控制中心查看迁移源端云主机信息，包括源端云主机详情、目的端配置信息、迁移状态以及错误信息提示等。 操作步骤 1. 使用您的天翼云账号完成登录。 2. 在云迁移产品主页，单击“立即开通”按钮进入控制中心。 3. 单击控制中心上方的 选择您目标机资源所在区域。此处示例我们选择的是福州3。 4. 在“服务器迁移服务”工具下，点击“主机管理”界面，可以看到迁移源机。 5. 点击操作栏中的“详情”按钮，即可跳转至“主机详情”页面，该页面提供了迁移源机的全面信息，包括上线时间、主机ID、系统版本、处理器名称、系统内部版本号、处理器架构类型、系统系列、处理器核心总数、Agent版本、处理器频率、总内存量（MB）、剩余内存量（MB）、网卡配置以及磁盘详情等。 6.单击“任务追踪”，如果暂未绑定目标机，会进入推荐配置界面。 7.已绑定目标机但未配置迁移任务，则会出现“配置任务”按钮。 8.完成配置后，您可以单击“开始迁移”按钮开始迁移任务。 9.迁移任务开始后，您可以在“任务追踪”查看迁移任务进度。 10.对于迁移任务，您可以执行“操作”和“任务管理”相关的功能。 11.在“主机管理”的“性能监控”模块，您可查看“CPU使用率”、“内存使用率”等指标。 12.在“主机管理”的“迁移日志”模块，您可查看具体迁移日志。 13.在“主机管理”的“推荐目标机配置”模块，您可以参考推荐配置进行目标机创建。

本节介绍了如何创建云数据库TaurusDB实例的参数模板。 您可以使用数据库参数模板中的参数来管理数据库引擎配置。数据库参数模板就像是引擎配置值的容器，这些值可应用于一个或多个数据库实例。 注意 并非所有数据库引擎参数都可在用户创建的数据库参数模板中进行更改。 如果您想使用您自己的数据库参数模板，只需创建一个新的数据库参数模板，创建实例的时候选择该参数模板，如果是在创建实例后有这个需求，可以重新应用该参数模板，请参见应用参数模板。 若您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该组中的大部分自定义参数和值时，可通过复制参数模板来实现，请参见复制参数模板。 以下是您在使用数据库参数模板中的参数时应了解的几个要点： 当您在实例的“参数修改”页面，修改参数并保存后，动态参数将立即生效，静态参数需要手动重启实例后生效。此操作仅应用于当前实例，不会对其他实例造成影响。 当您在“参数模板管理”页面，更改参数并保存数据库参数模板时，需执行应用后，才对数据库实例生效。动态参数将立即生效，静态参数需要手动重启实例后生效。 在数据库参数模板内设置参数不恰当可能会造成性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。 说明 每个用户最多可以创建100个参数模板。 TaurusDB引擎共享参数模板配额。

本文为您介绍注册的操作流程。 操作场景 在完成故障恢复后，可以对生产中心恢复出来的云主机进行注册操作，将恢复出的生产云主机加入当前保护组，为正向复制操作做准备。 前提条件 受保护的服务器状态为“故障恢复完成”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞故障切换＞注册”。 7. 在弹窗中，确认信息无误后单击“确定”，服务器状态变为“注册中”。 8. 待云主机状态变为“已初始化”，说明注册完成。 此时，受保护的服务器变为生产中心的云主机。

前提条件 保护实例已初始同步完成，并且保护实例的状态为“同步中”、“同步完成”或者“容灾演练失败”。 保护实例的生产业务位于生产站点时，才能进行容灾演练。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务”。进入“存储容灾服务”页面。 3. 在“异步复制”页面，单击待进行容灾演练的保护实例所在站点复制对的保护组数。进入对应站点复制对的保护组页面。 4. 在左侧导航选择相应的保护组。进入保护组详情页面。 5. 在保护实例列表中，单击待进行容灾演练的保护实例所在行操作列的“容灾演练”。 6. 进入容灾演练页面。根据界面提示配置容灾演练弹性云服务器的信息。 7. 单击“下一步”。进入信息确认界面，确认容灾演练的信息后，单击“提交”开始创建容灾演练。 8. 保护实例状态显示为“创建容灾演练中”，创建完成后，保护实例状态恢复为“同步完成”。 9. 容灾演练创建成功后，可从容灾演练页面进行查看，您可以登录容灾演练服务器，检查业务是否正常运行。 表 参数说明 参数 说明 取值样例 规格 选择容灾演练弹性云服务器的规格。 容灾演练名称 设置容灾演练的名称。名称只能由中文字符、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 DrillECS02 网络 选择容灾演练的VPC。容灾演练VPC和容灾站点服务器所在的VPC不能是同一个。 子网 选择容灾演练的子网。 IP 选择容灾演练弹性云服务器获取IP地址的方式： 保留当前IP：当选择的子网和待容灾演练的生产站点服务器IP地址在同一网段时，此选项可以保持容灾演练服务器和生产站点服务器IP地址一致。 DHCP：自动获取IP地址。手动指定：手动指定时需填写指定的IP地址。

本文主要介绍云日志服务如何添加过滤器。 云日志服务仪表盘支持添加过滤器，即可对整个仪表盘进行查询过滤、变量替换操作。 前提条件 已完成日志采集接入，可成功采集到日志数据 日志内容已完成结构化配置 已完成仪表盘创建，并已添加图表 过滤器类型说明 目前支持以下两种类型的过滤器，可在创建过滤器时选择类型： 类型 说明 生效范围 下拉选项过滤 通过指定字段的字段值对仪表盘内所有图表的数据进行过滤。在执行过滤器操作时，将其作为过滤条件增加到查询和分析语句前，使用AND或NOT连接，例如Key Value and [search query]，表示在原查询和分析语句的结果中，查找包含KeyValue的日志。 仪表盘内所有日志主题的图表 变量替换过滤 变量替换支持用户自己设置变量值，替换到检索分析语句中，如果仪表盘中已有设置了该变量占位符的统计图表，则添加变量类型的过滤器后，自动将统计图表的查询和分析语句中的变量替换为您选择的变量值。 仪表盘内使用该变量的图表 操作步骤 1. 登录云日志服务控制台，在左侧导航栏中选择仪表盘仪表盘列表，选择指定仪表盘，点击仪表盘名称，进入仪表盘页面。 2. 在仪表盘页面，点击右上角【编辑】按钮，进入编辑状态。 3. 点击右上角【添加过滤器】。 4. 在过滤器添加页面中，配置过滤器的相关参数。支持两种类型的过滤器，具体参数配置可参考下表。添加完成后，再点击仪表盘右上角保存，完成过滤器添加操作。 参数 说明 过滤器名称 自定义过滤器名称，最大支持32字符。 类型 选择过滤器类型或变量替换类型。具体可见[过滤器类型说明](

本文为您介绍通知策略的操作场景，以及如何创建、修改、删除、绑定、解绑通知策略。 操作场景 通知策略包括通知策略模板及收敛策略定义，您可以根据业务需求灵活定义通知策略。主要适用于以下场景： 1、同一时间段内产生大量同类或相关告警。 2、同类单条告警规则每次配置通知策略较为繁琐，可提前配置通用策略后关联告警规则。 注意 通知策略功能当前为公测开放阶段，如有需要可以联系客户经理提单开通。 使用定义通知策略下“通知收敛”策略，可能会照成告警通知延迟发送，您可以按照实际业务需要进行配置。 通知收敛策略、告警规则及通知信息关联策略参考如下： 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 创建通知策略 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“迁移与管理”，单击“云监控服务”，进入监控概览页面。 4. 单击“告警服务”>“告警规则”，进入告警规则界面。 5. 切换至“通知策略”页签，点击“创建通知策略”按钮，进入创建通知策略界面。 6. 单击“确定”，完成通知策略的创建。 7. 配置参数如下： 模块 参数 参数说明 配置示例 备注 创建通知策略 规则类型 选择规则类型 目前仅支持指标类型 服务 选择配置通知策略的服务 云主机 维度 选择配置通知策略的维度 云主机 告警联系组 选择告警通知联系组 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 出现告警 通知渠道 配置告警通知的通知方式，支持邮箱及短信。 邮箱 重复告警 指告警发生后如果未恢复正常，将重复发送告警通知次数。 不重复 通知周期 配置告警通知的周期时间。 星期天、星期一、星期二、星期三、星期四、星期五、星期六 通知时段 配置告警通知的时间段。 00:00:0023:59:59 告警回调 配置告警通知webhook地址。 通知模版 选择通知内容模版 系统模板 定义通知收敛 配置通知收敛开关 打开 收敛字段 选择收敛字段，支持多选，资源对象、告警等级、指标 资源对象 通知收敛频率 填写收敛频率时间（s） 60（s） 规则信息 名称 填写规则名称 描述 填写规则描述，非必填 说明 常见收敛字段类型及示例： 1. 如果设置“指标名称“为收敛字段，当云主机 A 和云主机 B 的 CPU 使用率都超过阈值触发告警时，云监控会将这两个告警视为同类告警进行收敛处理。 2. 如果设置“监控对象“为收敛字段，当告警对象是某台云主机 A，当该云主机的磁盘 I/O 使用率、网络带宽等多个指标同时触发告警时，这些告警会被收敛为一条告警信息。 3. 如果设置 “告警等级” 设为收敛字段，当告警对象云主机 A ，产生诸如磁盘 I/O 使用率、网络带宽占等多个告警，只要这些告警隶属于同一告警等级，系统就会把它们整合为一条告警信息。 说明 如果选择多个收敛字段，如：收敛字段选择“指标名称”+“监控对象”，收敛通知逻辑如下： 相同字段组合的告警合并 指标和实例均相同的告警会被合并为一条通知。例如： 指标A + 实例1 → 合并为一条告警；指标B + 实例2 → 合并为另一条告警。 不同字段组合的告警独立触发 若指标或实例不同，例如：指标A+实例1 和指标A+实例2，则视为不同的收敛字段组合，会触发多条独立的告警通知。

本节介绍了本地Windows主机使用WinSCP上传文件到Linux云主机的操作场景、处理方法。 操作场景 WinSCP工具可以实现在本地与远程计算机之间安全地复制文件。与使用FTP上传代码相比，通过 WinSCP 可以直接使用服务器账户密码访问服务器，无需在服务器端做任何配置。 通常本地Windows计算机将文件上传至Linux服务器一般会采用WinSCP工具。本节为您介绍本地Windows计算机使用WinSCP工具，上传文件至Linux云主机的操作方法。本例中云主机操作系统为CentOS 7.2。 处理方法 1. 下载 WinSCP 客户端并安装。下载WinSCP。 2. 安装WinSCP。 3. 启动WinSCP，启动后界面如下： 填写说明： − 协议：选填 SFTP 或者 SCP 均可。 − 主机名：云主机的公网 IP。登录管理控制台即可查看对应云主机的公网 IP。 − 端口：默认 22。 − 用户名：云主机的用户名。 使用“SSH密钥方式”登录云主机时： 如果是“CoreOS”的公共镜像，用户名为“core”。 如果是“非CoreOS”的公共镜像，用户名为“root”。 使用“密码方式”登录云主机，公共镜像（包括CoreOS）的用户名为：root。 − 密码：创建云主机设置的密码或通过密钥方式转化后的密码。 4. 单击“登录”，进入 “WinSCP” 文件传输界面。 5. 登录成功之后，您可以选择左侧本地计算机的文件，拖拽到右侧的远程云主机，完成文件上传到云主机。

CCE权限管理是在统一身份认证服务（IAM）与Kubernetes的角色访问控制（RBAC）的能力基础上，打造的细粒度权限管理功能，支持基于统一身份认证（IAM）的细粒度权限控制和IAM Token认证，支持集群级别、命名空间级别的权限控制，帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 如果您需要对已购买的CCE集群及相关资源进行精细的权限管理，例如限制不同部门的员工拥有部门内资源的细粒度权限，您可以使用CCE权限管理提供的增强能力进行多维度的权限管理。 本章节将介绍CCE权限管理机制及其涉及到的基本概念。如果当前帐号已经能满足您的要求，您可以跳过本章节，不影响您使用CCE服务的其它功能。 CCE支持的权限管理能力 CCE的权限管理包括“集群权限”和“命名空间权限”两种能力，能够从集群和命名空间层面对用户组或用户进行细粒度授权，具体解释如下： 集群权限：是基于IAM系统策略的授权，可以通过用户组功能实现IAM用户的授权。用户组是用户的集合，通过集群权限设置可以让某些用户组操作集群（如创建/删除集群、节点、节点池、模板、插件等），而让某些用户组仅能查看集群。 集群权限涉及CCE非Kubernetes API，支持IAM细粒度策略、企业项目管理相关能力。 命名空间权限：是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。同时CCE基于开源能力进行了增强，可以支持基于IAM用户或用户组粒度进行RBAC授权、IAM token直接访问API进行RBAC认证鉴权。 命名空间权限涉及CCE Kubernetes API，基于Kubernetes RBAC能力进行增强，支持对接IAM用户/用户组进行授权和认证鉴权，但与IAM细粒度策略独立。 注意：“集群权限”仅针对与集群相关的资源（如创建/删除集群、节点、节点池、模板、插件等）有效，您必须确保同时配置了“命名空间权限”，才能有操作Kubernetes资源（如工作负载、Service等）的权限。 统一身份认证服务（IAM） 统一身份认证（Identity and Access Management，简称IAM）是提供权限管理的基础服务，可以帮助您安全地控制服务和资源的访问权限。 IAM的优势：对资源可进行精细访问控制 您注册后，系统自动创建帐号，帐号是资源的归属以及使用计费的主体，对其所拥有的资源具有完全控制权限，可以访问所有的云服务。 如果您在购买了多种资源，例如弹性云主机、云硬盘、裸金属服务器等，您的团队或应用程序需要使用您在中的资源，您可以使用IAM的用户管理功能，给员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 Kubernetes的角色访问控制（RBAC） Kubernetes基于角色的访问控制（RoleBased Access Control，即”RBAC”）使用”rbac.authorization.k8s.io” API Group实现授权决策，允许管理员通过Kubernetes API动态配置策略。详情请参见命名空间权限。

此小节介绍开启企业主机安全网页防篡改。 开启网页防篡改时，您需为指定的主机分配一个配额，关闭主机安全服务或删除主机后，该配额可分配给其他的主机使用。 开启网页防篡改防护时会同步开启主机安全的旗舰版防护。 网页防篡改原理 防护类型 原理说明 静态网页防护 1.锁定本地文件目录驱动级锁定Web文件目录下的文件，禁止攻击者修改，网站管理员可通过特权进程进行更新网站内容。 2.主动备份恢复若检测到防护目录下的文件被篡改时，将立即使用本地主机备份文件自动恢复被非法篡改的文件。 3.远端备份恢复若本地主机上的文件目录和备份目录失效，还可通过远端备份服务恢复被篡改的网页。 动态网页防护 1.基于RASP过滤恶意行为采用自研RASP检测应用程序行为，有效阻断攻击者通过应用程序篡改网页内容的行为。 2.网盘文件访问控 精细化定义网盘文件中的文件访问权限，包括新增，修改，查询等，确保防篡改同时不影响网站内容发布。 前提条件 在“主动防御 > 网页防篡改 > 防护配置”页面中“防护状态”为“未防护”。 在“资产管理 > 主机管理”页面“云服务器”列表中“Agent状态”为“在线”、“防护状态”为“未防护”。