操作场景 HPA或CustomedHPA策略创建完成后，可对创建的策略进行更新、克隆、编辑YAML以及删除等操作。 操作场景 您可以查看HPA策略的规则、状态和事件，参照界面中的报错提示有针对性的解决异常事件。 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“工作负载伸缩”页签下，单击要查看的HPA策略前方的。 步骤 2 在展开的区域中，可以看到规则、状态和事件页签，若策略异常，请参照界面中的报错提示进行定位处理。 说明：您还可以在工作负载详情页中查看已创建的HPA策略，登录CCE控制台，在左侧导航栏中单击“工作负载 > 无状态负载 Deployment”，单击工作负载后方“操作”中的“更多 > 伸缩”，在该工作负载详情页的“伸缩”页签下可以看到“弹性伸缩 HPA / CustomedHPA”，您在“弹性伸缩”页面配置的HPA策略也会在这里显示。 表事件类型及名称 事件类型 事件名称 描述 正常 SuccessfulRescale 扩缩容成功 异常 InvalidTargetRange 无效的TargetRange 异常 InvalidSelector 无效选择器 异常 FailedGetObjectMetric 获取对象失败数 异常 FailedGetPodsMetric 获取Pod列表失败指标 异常 FailedGetResourceMetric 获取资源失败数 异常 FailedGetExternalMetric 获取外部指标失败 异常 InvalidMetricSourceType 无效的指标来源类型 异常 FailedConvertHPA 转换HPA失败 异常 FailedGetScale 获取比例尺失败 异常 FailedComputeMetricsReplicas 计算指标副本数失败 异常 FailedGetScaleWindow 获取ScaleWindow失败 异常 FailedRescale 扩缩容失败 查看CustomedHPA策略 您可以查看CustomedHPA策略的规则和最新状态，参照界面中的报错提示有针对性的解决异常事件。 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“工作负载伸缩”页签下，单击要查看的CustomedHPA策略前方的。 步骤 2 在展开的区域中，可以看到规则页签，若策略异常，请单击“最新状态”栏中的“详情”，参照展开的详细信息进行定位处理。 说明：您还可以在工作负载详情页中查看已创建的CustomedHPA策略，登录CCE控制台，在左侧导航栏中单击“工作负载 > 无状态负载 Deployment”，单击工作负载后方“操作”中的“更多 > 伸缩”，在该工作负载详情页的“伸缩”页签下可以看到“弹性伸缩 HPA / CustomedHPA”，您在“弹性伸缩”页面配置的CustomedHPA策略也会在这里显示。 更新HPA或CustomedHPA策略 以HPA策略为例。 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“工作负载伸缩”页签下，单击策略后方“操作”栏中的“更新”。 步骤 2 在打开的“更新工作负载HPA策略”页面中，更新策略参数。 步骤 3 单击“更新”完成策略更新。 克隆HPA或CustomedHPA策略 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“工作负载伸缩”页签下，单击策略后方“操作”栏中的“克隆”。 步骤 2 在打开的“创建工作负载HPA策略”页面中，可以看到部分参数（如实例范围、冷却时间和策略规则）已经克隆过来，请按照业务需求补充或修改其他策略参数。 步骤 3 单击“创建”完成策略克隆，在“工作负载伸缩”页签下的策略列表中可以看到新克隆的策略。 编辑YAML（HPA策略） 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“工作负载伸缩”页签下，单击HPA策略后方“操作”栏中的“更多 > 编辑YAML”。 步骤 2 在弹出的“编辑YAML”窗口中，可以对YAML进行修改和下载。 步骤 3 在右上角关闭窗口完成操作。 查看YAML（CustomedHPA策略） 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“工作负载伸缩”页签下，单击CustomedHPA策略后方“操作”栏中的“更多 > 查看YAML”。 步骤 2 在弹出的“查看YAML”窗口中，可以对YAML进行复制和下载，不能对其修改。 步骤 3 在右上角关闭窗口完成操作。 删除HPA或CustomedHPA策略 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“工作负载伸缩”页签下，单击策略后方“操作”栏中的“更多 > 删除”。 步骤 2 在弹出的“删除HPA策略”窗口中，确认是否删除。 步骤 3 单击“是”完成删除操作。

天翼云Prometheus监控服务提供了Remote Read的标准接口，您可以通过这个接口远程访问天翼云上Prometheus的监控数据。本文以开源Prometheus访问天翼云Prometheus监控为例介绍如何使用Remote Read地址。 使用限制 Remote Read接口暂不支持HTTP/2。 前提条件 已创建Prometheus 版实例 远程读取的客户端网络已经与暴露接口打通。 操作指南 步骤一：获取用户的AccessKey和AccessKey Secret 如果您已创建Prometheus实例，且您需要使用AccessKey和AccessKey Secret进行远程读写，则需要先为获取用户的AccessKey ID和AccessKey Secret。 1. 通过实名认证的账号登录天翼云。 2. 进入天翼云账号中心。 3. 点击【安全设置】进入安全设置中心 4. 在用户AccessKey模块，可创建AKSK，或直接查看已生成的AKSK。 步骤二：获取Remote Read地址 1. 登录应用性能监控控制台，左侧菜单选择Prometheus监控，进入实例列表页面。 2. 单击目标实例名称。 3. 在设置页签上，复制Remote Read地址。 步骤三：配置开源版Prometheus 1. 安装开源Prometheus。 2. 编辑Prometheus.yml配置文件，并在文件末尾增加以下内容，将remoteread链接替换为上文步骤二中获取的地址，然后保存文件。 plaintext global: scrapeinterval: 15s evaluationinterval: 15sscrapeconfigs: jobname: 'prometheus' staticconfigs: targets: ['localhost:9090'] remoteread: 替换为您的Remote Read地址。 url: " readrecent: true 3. 重启开源版Prometheus服务。

使用事件总线EventBridge前，您需在产品页开通该服务。本文介绍如何开通事件总线EventBridge。如果您的账号为子用户，必须让天翼云账号为子用户进行授权，才能通过控制台或API访问相应的事件总线EventBridge资源。 前提条件 注册天翼云账号。 步骤一：开通事件总线EventBridge并委托授权 1. 登录天翼云官网，选择产品 > 容器与中间件 > 应用集成 > 事件总线 EventBridge。 2. 在事件总线EventBridge产品页，单击开通。 3. 请仔细阅读事件总线 EventBridge（按量付费）服务协议，选中事件总线 EventBridge（按量付费）服务协议，然后单击立即开通。 4. 开通服务后，账号未委托相关必要权限给事件总线时，需要先进行委托权限，详见服务内联委托管理。 5. 委托成功后，进入事件总线EventBridge管理控制台进行操作。 步骤二：（子账号必选）为子账号授权 1. 使用天翼云账号登录IAM控制台。 2. 在左侧导航栏，选择用户组。 在用户组页面，单击目标子账号用户组授权列的添加权限，详见主子账号和IAM权限管理。 3. 选择权限策略。 权限策略包括系统策略和自定义策略两种，您可以根据需要选择对应的权限策略。 事件总线EventBridge提供以下系统策略，您可以根据权限范围为RAM用户授予相应权限。 权限策略名称 说明 EventBridge admin 管理员权限策略，拥有事件总线EventBridge所有资源的读写权限 EventBridge user 普通用户策略，拥有事件总线EventBridge除订单相关操作之外对其他资源拥有读写权限 EventBridge publisher 拥有事件总线EventBridge事件的发送权限。 EventBridge viewer 只读权限策略，拥有事件总线EventBridge所有资源的只读权限

本文介绍如何校验域名归属权。 客户可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 示例为ctcdn.cn的解析配置 1、客户需在自己的域名解析服务商，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt 2、域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 解析命令：dig dnsverify.ctcdn.cn txt 3、如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。 方法二：文件验证 示例为ctcdn.cn的解析配置 1、在您的源站根目录下，创建文件名为：dnsverify.txt的文件，文件内容为天翼云控制台返回的TXT记录值（如下记录值仅为示例） 2、文件在源站根目录下创建完成后，即可进行访问验证（示例为访问 windows验证： linux验证： 3、如访问展示的文件内容和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

开机时间策略 用于设定云电脑在指定时间自动开机。 操作说明： 在“时间策略”中创建一个定时开机策略，设置开始时间和结束时间。 在“电源策略”中，将开机时间策略设置为“定时开机”。 关机时间策略 用于设定云电脑在指定时间自动关机。 关机离线时长：云电脑在客户端断开连接后，在指定时间后自动关机。 说明 在“时间策略”中创建一个定时关机策略，设置开始时间和结束时间。 在“电源策略”中，将关机时间策略设置为“定时关机”。 时间段应大于10分钟，确保系统时间有足够完成重启操作。 重启时间策略 用于设定云电脑在指定时间自动重启。 重启离线时长：云电脑在客户端断开连接后，在指定时间后自动重启。 说明 在“时间策略”中创建一个定时重启策略，设置开始时间和结束时间。 在“电源策略”中，将重启时间策略设置为“定时重启”。 时间段应大于10分钟，确保系统时间有足够完成重启操作。 断连休眠时间策略 用于设定云电脑在断开连接一段时间后自动进入休眠状态。 断连休眠时长：云电脑在离线状态下，经过指定时间后自动还原至模板或系统状态。 说明 在“基础时间策略”中创建一个休眠时间策略，设置开始时间和结束时间。 在“基础电源策略”中，将休眠时间策略设置为“定时休眠”。 时间段应大于10分钟，确保系统有足够时间完成休眠操作。

索引策略管理 配置日志索引在Elasticsearch中保存天数，每天凌晨1点删除超过该天数的索引。默认索引保存天数180天。 1.登录日志审计（原生版）控制台。 2.在左侧导航栏选择“系统配置 > 数据模型”，在上方选择“索引策略管理”页签。 3.配置索引保存天数和是否打开储存警戒值。 参数 说明 索引分层 是否开启日志分层存储。 默认值为关闭，即不开启日志分层存储。 取值范围： 关闭：与已有存储方案保持一致，所有数据为热存储。 开启：可配置热冷存储，注意只对新数据有效。 索引保存天数 配置日志索引在ElasticSearch中的保存天数，每天凌晨1点删除超过该天数的索引。 取值范围： “索引分层”关闭时，默认值为180天。 “索引分层”开启时，默认值为热存储0~90天，冷存储90~180天。 热存储：用于存储经常被访问的数据，支持数据实时访问，提供高性能的日志查询和分析功能，适用于数据高频查询分析等业务场景。 冷存储：在现有热存储的基础上，为您提供更低成本且可查询、分析的长期数据存储方案。适用于数据审计长期保存的业务场景。 是否打开储存警戒值 储存警戒值打开后，每天凌晨1点删除ElasticSearch中的旧数据，直到ElasticSearch磁盘利用率低于该储存警戒值。 默认关闭。 注意 删除的数据无法恢复，请谨慎开启储存警戒值。

本文主要介绍创建节点。 前提条件 已创建至少一个集群。 您需要新建一个密钥对，用于远程登录节点时的身份认证。 若使用密码登录节点，请跳过此操作。 约束与限制 为了保证节点的稳定性，CCE集群节点上会根据节点的规格预留一部分资源给Kubernetes的相关组件（kubelet、kubeproxy以及docker等）和Kubernetes系统资源，使该节点可作为您的集群的一部分。 因此，您的节点资源总量与节点在Kubernetes中的可分配资源之间会存在差异。节点的规格越大，在节点上部署的容器可能会越多，所以Kubernetes自身需预留更多的资源，详情请参见节点预留资源计算公式。 节点的网络（如虚机网络、容器网络等）均被CCE接管，不允许用户自行添加删除网卡或改变路由，若自行修改，CCE不保证服务可用。例如，节点上名为的gw11cbf51a@eth0网卡为容器网络网关，不可修改。 节点购买后如需对其进行升级或降低规格等操作，请将节点关机后进行变更，也可以重新购买节点后，将老节点删除。 创建节点过程中会使用域名方式从OBS下载软件包，需要能够使用云上内网DNS解析OBS域名，否则会导致创建不成功。为此，节点所在子网需要配置为内网DNS地址，从而使得节点使用内网DNS。在创建子网时DNS默认配置为内网DNS，如果您修改过子网的DNS，请务必 确保子网下的DNS服务器可以解析OBS服务域名 ，否则需要将DNS改成内网DNS。 集群中的节点一旦创建后不可变更可用区。 集群开启IPv4/IPv6双栈时，所选节点子网不允许开启DHCP无限租约。

云安全中心支持AI智能分析，通过接入天翼云息壤智算平台deepseek满血版，对日志告警AI分析，生成处置建议并还原攻击事件。 该功能为公测功能，新购用户可限时免费体验。 注意事项 智能分析内容为AI生成，可对单条告警刷新多次查询，每次返回的回答会略有差异，处置建议仅供参考，请您仔细甄别。 向AI输入的信息已进行敏感信息过滤。 约束限制 每日查询（含重新生成）上限为100次。 操作步骤 1. 进入告警列表，点击操作进入告警详情。 2. 点击右上角“智能分析”。 3. 等待AI生成回答，该过程耗时约为30秒至60秒，您可收起弹框稍后查看。

本文介绍如何通过混合备份恢复数据。 操作场景 当出现不可控因素导致数据损坏或丢失时，您可以选择指定的备份数据创进行恢复配置。 约束限制 存储库需要和安装了客户端的恢复主机在同一地域（网络可达）。 有可用的备份集才能进行恢复，若备份数据被删除则无法进行恢复。 机器处于运行状态，且客户端状态为“已激活”。 单个客户端同一时刻最多同时执行2个任务（含1个备份任务和1个恢复任务，超出该数量的任务将按时间先后排队执行）。 前提条件 已产生备份数据。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台，单击左侧“混合备份（存储版）”按钮，进入混合备份界面。 4. 单击“备份集”，选择对应的备份任务名称，点击任务名称的展开符号，点击还原按钮，进入恢复任务设置。 5. 展开备份集，选择需要恢复的具体备份版本，再点击“加载版本索引”，选择需要恢复的具体数据，点击“下一步”。 6. 选择目的主机 和 对应的还原路径，并配置恢复策略，点击“下一步”。 7. 自定义恢复任务名称，确认恢复信息无误后，点击“提交”，完成任务创建。

前提条件 当前资源池具备对象存储能力。 使用限制 1. 目前支持squashfs、qcow2格式的镜像文件的上传。 2. 将已准备好的镜像文件、镜像分区文件和对应MD5文件上传至对象存储桶。具体可参考“制作私有镜像”。 3. 为确保过程顺利，镜像名称、对象存储桶名、路径名称中请不要使用中文、空格以及特殊字符。 4. 导入相关镜像文件时，请确认文件对云平台可读： 如果您的资源池支持自动授权，请直接授权云平台访问文件。 否则，请手动将文件权限设置为公共读。 流程概览 通过镜像文件创建系统盘镜像是指用户可以从本地或其他云平台将准备好的镜像文件导入天翼云，导入后可以用此镜像创建物理机或者对物理机进行重装。 通过镜像文件创建系统盘镜像包括3个步骤： 1. 准备符合要求的镜像文件，请参考“制作私有镜像”。 2. 上传镜像文件至对象存储桶，请参考下文“上传镜像文件”。 3. 将上传的镜像文件注册为私有镜像，请参考下文“注册镜像”。 上传镜像文件 镜像文件准备好后，需要将镜像文件上传至对象存储桶中。上传镜像文件的操作请参考上传文件。 注册镜像 镜像文件上传至对象存储桶后，需要将其注册为云平台可用的私有镜像，以下为详细操作步骤。 操作步骤 1. 登录天翼云控制中心。 2. 单击控制中心顶部的选择区域。 3. 在左侧导航栏选择“计算 > 镜像服务”。 4. 在“镜像”列表页面，单击右上角“创建私有镜像”，进入创建私有镜像页面。 5. 在创建私有镜像页面，镜像类型选择“系统盘镜像”，镜像源选择“物理机镜像文件”。 6. 选择镜像文件。 7. 选择镜像分区文件。 8. 选择MD5文件。 注意 确保镜像文件、镜像分区文件和MD5文件的匹配关系一致。 9. 选择操作系统以及对应的版本，此处的系统和版本用于匹配使用私有镜像去创建物理机或者重装系统。 注意 制作Windows私有镜像需要选择Windows操作系统以及版本，制作Linux私有镜像需要选择Linux操作系统以及版本，否则将会导致镜像制作失败。 10. 选择分区设置。 11. 选择企业项目，企业项目为必填项，一个私有镜像必须属于一个企业项目。 12. 填写镜像名称（长度232位，只能由数字、字母、、和.组成，不能以数字、、和.开头、且不能以结尾）。 13. 在高级配置中，设置标签和描述（可选）。 14. 单击“下一步”。 15. 确认镜像参数，勾选“我已阅读并同意相关协议”，并单击“确认下单”按钮。 根据镜像大小的不同，创建时间不同，等待一段时间后即可在私有镜像列表看到创建出的私有镜像。

安全运维提供查看和管理云服务安全基本数据，您可以通过界面总览信息快速查看和管理您的资源的安全情况。 未开通服务器安全卫士（原生版）的用户，需要确认服务协议开通后使用。 已开通服务器安全卫士（原生版）的用户，免费版和付费版数据展示存在差异，如有需要请开通付费版本查看。 主要数据包括： 1. 安全总览：包括资产信息（全部服务器、风险服务器、未防护服务器、免费防护服务器对应的个数）和告警处置信息（未处置威胁告警、拦截恶意IP、隔离病毒文件对应的个数）。 2. 威胁告警：实时监控最新威胁告警事件 Top5。 3. 风险漏洞：实时监控最新风险漏洞事件 Top5。 4. 基线核查：实时监控最新威胁入侵事件 Top5。 5. Agent状态：包括在线和离线Agent个数。 6. 风险趋势：可选择切换时间维度：近7天、近14天。

本文介绍了企业交换机服务等级协议。 天翼云企业交换机服务等级协议详情请参见这里。

集群扩容和缩容 不支持自动扩缩容集群中的 Master 节点，仅对集群的node工作节点进行自动扩容缩容。 用户在扩容集群规模时必须满足用户配额（ECS节点、弹性IP等）的前提，如果用户配额不满足，需要提交工单，申请扩大配额。 存储卷 云硬盘存储卷使用约束： 云硬盘不支持跨可用区挂载，且不支持被多个工作负载、同一个工作负载的多个实例或多个任务使用。由于CCE集群各节点之间暂不支持共享盘的数据共享功能，多个节点挂载使用同一个云硬盘可能会出现读写冲突、数据缓存冲突等问题，所以创建无状态工作负载时，若使用了EVS云硬盘，建议工作负载只选择一个实例。 1.19.10以下版本的集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，当新Pod被调度到另一个节点时，会导致之前Pod不能正常读写。 1.19.10及以上版本集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，新Pod会因为无法挂载云硬盘导致无法成功启动。 文件存储卷使用约束： 支持多个PV挂载同一个SFS或SFS Turbo，但有如下限制： 1. 多个不同的PVC/PV使用同一个底层SFS或SFS Turbo卷时，如果挂载至同一Pod使用，会因为PV的volumeHandle参数值相同导致无法为Pod挂载所有PVC，出现Pod无法启动的问题，请避免在同一个Pod中挂载相同的SFS或SFS Turbo。 2. PV中persistentVolumeReclaimPolicy参数建议设置为Retain，否则可能存在一个PV删除时级联删除底层卷，其他关联这个底层卷的PV会由于底层存储被删除导致使用出现异常。 3. 重复用底层存储时，建议在应用层做好多读多写的隔离保护，防止产生的数据覆盖和丢失。 对象存储卷使用约束如下： 使用对象存储时，挂载点不支持修改属组和权限。 使用PVC挂载对象存储时，负载每挂载一个对象存储卷，后端会产生一个常驻进程。当负载使用对象存储数过多或大量读写对象存储文件时，常驻进程会占用大量内存，为保证负载稳定运行，建议负载使用的对象存储卷数量不超过其申请的内存GiB数量，如负载的申请的内存规格为4GiB，则建议其使用的对象存储数不超过4。 安全容器不支持使用对象存储。 挂载普通桶时不支持硬链接（Hard Link）。 在工作负载中挂载OBS存储卷声明时，不支持只读模式（readonly）。 本地持久卷使用约束： 本地持久卷仅在集群版本> v1.21.2r0 时支持，且需要everest插件版本>2.1.23，推荐使用>2.1.23版本。 移除节点、删除节点、重置节点和缩容节点会导致与节点关联的本地持久存储卷类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用。移除节点、删除节点、重置节点和缩容节点时使用了本地持久存储卷的Pod会从待删除、重置的节点上驱逐，并重新创建Pod，Pod会一直处于pending状态，因为Pod使用的PVC带有节点标签，由于冲突无法调度成功。节点重置完成后，Pod可能调度到重置好的节点上，此时Pod会一直处于creating状态，因为该PVC对应的底层逻辑卷已不存在。 请勿在节点上手动删除对应的存储池或卸载数据盘，否则会导致数据丢失等异常情况。 本地持久卷不支持被多个工作负载或多个任务同时挂载。 本地临时卷使用约束： 本地临时卷仅在集群版本> v1.21.2r0 时支持，且需要everest插件版本>1.2.29。 请勿在节点上手动删除对应的存储池或卸载数据盘，否则会导致数据丢失等异常情况。 请确保节点上Pod不要挂载/var/lib/kubelet/pods/目录，否则可能会导致使用了临时存储卷的Pod无法正常删除。 快照与备份使用约束： 快照功能仅支持v1.15及以上版本的集群，且需要安装基于CSI的everest插件才可以使用。 基于快照创建的云硬盘，其子类型（普通IO/高IO/超高IO）、是否加密、磁盘模式（VBD/SCSI）、共享性(非共享/共享)、容量等都要与快照关联磁盘保持一致，这些属性查询和设置出来后不能够修改。 只有可用或正在使用状态的磁盘能创建快照，且单个磁盘最大支持创建7个快照。 创建快照功能仅支持使用everest插件提供的存储类（StorageClass名称以csi开头）创建的PVC。使用Flexvolume存储类（StorageClass名为ssd、sas、sata）创建的PVC，无法创建快照。 加密磁盘的快照数据以加密方式存放，非加密磁盘的快照数据以非加密方式存放。 LVM 配置约束： 节点中LVM的backup功能已修改默认配置（位于/etc/lvm/lvm.conf路径）：安装存储插件Everest（> 2.4.98）后，Archive保留时间会被约束为1天，以防止大量LVM操作的历史元数据侵占磁盘空间。

本文介绍单区域访问CDN节点异常时，可能的场景及对应排查思路。 场景一：在特定网络下才访问异常（切换WiFi/移动网络、关闭代理软件可恢复正常访问） 可能的原因及排查思路： 本地网络异常。 确认客户端本地网络环境是否正常。例如，可通过浏览器访问百度页面，或者使用在线诊断工具，确认客户端自身网络环境是否正常。如访问百度或其他网站均正常，说明本地网络正常。 对应网络环境的出口IP被源站或CDN节点封禁。 绑定源站访问测试。通过修改HOSTS文件的方式绑定源站访问看是否可以正常请求，如果无法请求则表明源站对该出口IP做了封禁处理。 如测试源站未封禁该出口IP，请提交工单给天翼云客服进行排查，确认CDN节点是否有对应封禁策略，在此之前请通过ipip或者站长之家等工具获取本地的出口IP。 场景二：单区域多用户反馈访问异常，或使用ping命令ping CDN节点存在节点不通、丢包严重的情况 可能的原因及排查思路： 本地或区域性网络异常。确认客户端本地网络环境是否正常。例如，可通过浏览器访问百度页面，或者使用在线诊断工具，确认客户端自身网络环境是否正常。如访问百度或其他网站均正常，说明本地网络正常。 CDN节点网络异常或被攻击。 测试节点的网络情况。在本地使用ping命令，测试该节点IP，以及使用站长之家工具在全国探测该节点IP是否存在问题，若各个地区访问该节点延迟均较大或者不通，本地也ping不通该节点，则该节点存在问题的可能性较大。 测试节点的端口情况。使用telnet客户端工具，测试节点对应端口是否有效，如若出现端口不通的情况，请提交工单给天翼云客服进行排查。 本地或本区域到CDN节点的中间链路某路由节点故障。 在本地的Windows主机使用tracert，或者在Linux主机使用traceroute，探测该CDN节点IP并提供完整探测截图，提交工单给天翼云客服进行排查。在此期间可更改本地DNS为其他DNS（例如223.5.5.5、114.114.114.114或119.29.29.29），并刷新本地的DNS缓存，使其调度到其他正常的节点。

本章节将为您详细介绍创建告警规则的操作场景及步骤。 操作场景 云监控支持创建灵活的告警规则。您既可以根据实际需要对某个备份存储库的监控指标设置自定义告警规则，同时也能够使用告警模板为多个资源或者云服务批量创建告警规则。 云监控不仅可以对存储库的指标进行监控，还提供了事件监控供您使用。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，此处我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则列表页面。 5. 在“告警规则”列表界面，单击“创建告警规则”按钮。 6. 在“创建告警规则”页面，根据界面提示配置参数。 配置指标监控的参数及相关含义说明如下： 模块 参数 参数说明 配置示例 约束与限制 选择监控对象 规则类型 选择规则的类型，主要包括指标监控、事件监控、站点监控、自定义监控、自定义事件五种。 指标监控 自定义监控、自定义事件目前仅支持部分资源池。 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云备份 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 存储库 选择监控对象 监控对象类型 具体实例/资源分组 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 存储库名称 定义告警策略 选择类型 自定义创建/从模板导入。 自定义创建 定义告警策略 策略 满足全部/任意策略 策略信息包括：指标、数据类型（原始值、最大值、最小值、平均值）、判断条件（>、≥、 50GB,连续发生2次 同一告警规则下，告警条件最多支持添加20条。 配置告警通知 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 是 配置告警通知 告警联系组 配置发生告警通知的用户组。 配置告警通知 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 出现告警 配置告警通知 通知方式 配置告警通知的通知方式，支持邮箱及短信。 邮箱 配置告警通知 重复告警 指告警发生后如果未恢复正常，将重复发送告警通知次数。 不重复 配置告警通知 通知周期 配置告警通知的周期时间。 星期天、星期一、星期二、星期三、星期四、星期五、星期六 配置告警通知 通知时段 配置告警通知的时间段。 00:00:0023:59:59 配置告警通知 告警回调 配置告警通知webhook地址。 配置告警通知 通知模板 选择通知模板,告警信息将按系统默认模板。 系统模板 规则信息 名称 该告警规则的自定义名称。 cbralarmnote 规则信息 企业项目 选择告警规则适用的企业项目。 default 规则信息 描述 添加对该告警规则描述（此参数非必填项）。 配置事件监控的参数及相关含义说明如下： 模块 参数 参数说明 配置示例 选择监控对象 规则类型 选择规则的类型，主要包括指标监控、事件监控、站点监控、自定义监控、自定义事件五种。 事件监控 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云备份 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 本地客户端事件 选择监控对象 监控对象类型 具体实例 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 本地客户端名称 定义告警策略 监控事件 选择已有的监控事件。 本地备份任务失败 定义告警策略 策略 （5分钟、20分钟、1小时、4小时、24小时）内，累计的次数。 5分钟内累计2次 配置告警通知 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 是 配置告警通知 告警联系组 配置发生告警通知的用户组。 test1 配置告警通知 通知渠道 配置告警通知的通知方式，支持邮箱及短信。 邮箱 配置告警通知 重复告警 指告警发生后如果未恢复正常，将重复发送告警通知次数。 不重复 配置告警通知 通知周期 配置告警通知的周期时间。 星期天、星期一、星期二、星期三、星期四、星期五、星期六 配置告警通知 通知时段 配置告警通知的时间段。 00:00:0023:59:59 配置告警通知 告警回调 配置告警通知webhook地址。 规则信息 名称 该告警规则的自定义名称。 cbritemnote 规则信息 企业项目 选择告警规则适用的企业项目。 default 规则信息 描述 添加对该告警规则描述（此参数非必填项）。 7. 告警规则添加完成后，当监控指标触发设定的阈值时，云监控会在第一时间通过配置的通知渠道告知您云上资源异常，以免因此造成业务损失。关于云监控的其他操作和更多信息，请参考《云监控服务》。

本文从订购边缘接入、进入客户控制台、添加加速域名/实例、模拟访问验收、配置CNAME介绍如何启用边缘接入服务。 前提条件 已注册天翼云官网账号。如未注册，请参见：注册天翼云账号进行注册。 未实名认证的用户完成实名认证后才能开通全站加速服务。确认账号是否已实名认证，详情请参见：实名认证。 订购边缘接入服务 首先完成天翼云官网注册和实名制认证后，即可开通IP应用加速服务。步骤如下： 1. 进入边缘安全加速平台产品详情页，单击【立即开通】，进入订购页面。 2. 选择边缘接入服务页面。选择加速区域、计费方式、套餐版本、扩展服务、购买时长。点击【立即购买】后，进入订单确认页面 。阅读并同意服务协议后，点击【提交订单】。 3. 完成支付，即可开通成功。边缘接入服务开通后，就可以通过客户控制台来进行创建域名。

参数 是否必填 参数类型 说明 示例 下级对象 status 是 Integer 状态 0关闭 1开启 1 day 是 Integer 扫描频率 1每天 3每3天 7每7天 1 date 是 String 扫描时间，08:00表示每day天的点开始执行 08:00 agentGuidList 否 Array of Strings 作用guid列表 ["testguid"] scopeType 是 String 作用范围 ALL全部主机 OPTIONAL自选主机 ALL vulType 是 Array of Strings 漏洞类型 LINUXlinux漏洞，WINDOWSwindows漏洞, EMERGENCYVUL应急漏洞,APPLICATION应用漏洞,WEBCMSwebcms漏扫 ["LINUX", "WINDOWS"]

原因分析 原因分析 说明 初始化失败 函数初始化失败打印的日志。 加载失败 runtime加载用户函数文件失败打印的日志 系统错误 内部错误。 调用超时 函数调用时间超过配置的“执行超时时间”打印的日志。 内存超限 函数内存大小超过配置的“内存”大小打印的日志。 磁盘超限 磁盘超出限制大小打印的日志。 代码异常 代码出现异常情况打印的日志。 说明 支持的时间条件：最近1小时、最近1天、最近3天及自定义。 您可以单击“到LTS进行日志分析等更多操作”，前往LTS控制台管理函数日志。

AOne会议的本地录制功能支持将会议内容(包括音视频、屏幕共享等内容)录制后存储至本地,方便会后回放与分享。 开启本地录制 1. 入会后，主持人或联席主持人在底部工具栏点击“录制”按钮。 2. 在弹出的菜单中选择“本地录制”。 3. 本地录制开启后，会弹窗通知所有参会者。同时所有参会者的人员列表中的录制人员一行会显示本地录制小图标。 结束本地录制 1. 录制开始后，底部工具栏的“录制”按钮会切换为“结束录制”。 2. 会议进行中，可通过底部工具栏点击“结束录制”按钮停止录制，或将鼠标悬浮在窗口左上角的本地录制小图标上，再点击下拉窗口的“结束录制”按钮停止录制。 本地录制文件查看和管理 1. 会议录制者可在会议客户端首页的“设置”>“录制”>“本地录制”找到本地录制存储路径，查看和管理本地录制视频。 注意事项 支持主持人/联席主持人停止某个用户的本地录制。 本地录制的权限由主持人（含联席主持人）通过"安全模块"进行控制。 同一个人，无法同时开启本地录制、云录制。

操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”，且天翼云CDN会立即将加速域名的CNAME解析至不可用地址。 删除域名 对域名进行删除操作后，天翼云CDN会直接删除加速域名在CDN节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至CDN节点，则会响应403。

此小节介绍添加系统资源。 背景说明 云堡垒机系统集中管理云资源，主要包括管理资源账户和运维权限管理。为实现统一管理资源，需添加资源到系统。 一个主机或应用资源可能有多个登录主机或应用的账户。CBH系统纳管主机或应用的账户（资源账户）后，无需反复输入账户和密码，通过登录资源账户，自动登录资源进行运维管控。 系统默认资源账户 Empty ，登录Empty资源账户时需手动输入主机账户和对应密码。 前提条件 主机与CBH网络通畅，才能从云平台导入和自动发现主机资源。 添加应用资源前，需先添加应用发布服务器到CBH系统。 操作步骤 资源的不同添加方式 资源类型 添加方式 主机资源 添加单个主机资源 Excel文件批量导入 按照Excel模板要求配置主机基本信息，可选择配置主机账户信息。 录入主机资源账户后，不再生成Empty资源账户。 从云平台批量导入 选择与CBH网络通畅的云平台，导入云平台主机信息和主机账户信息。 导入主机全部资源账户，且不再生成Empty资源账户。 自动发现 通过IP地址或地址段，自动发现与CBH网络通畅的主机。 自动发现主机只能添加主机信息，需另添加主机资源账户。 应用资源 添加单个应用资源 配置说明 系统内协议类型 @ 主机地址: 端口需唯一，不能重复，即系统纳管的主机资源唯一。 主机资源基本信息说明 参数 说明 主机名称 自定义的主机资源名称，系统内“主机名称”不能重复。 协议类型 选择主机的协议类型。 专业版支持协议类型有SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin。 标准版支持协议类型有SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin。 主机地址 输入主机与云堡垒机网络通畅的IP地址 ，选择主机的EIP地址或私有IP地址，建议优先选择可用私有IP地址。 主机的EIP为独立的公网IP，对外访问的端口受网络安全限制，可能导致从云堡垒机无法跳转登录到主机。 端口 输入主机的端口号。 系统类型 （可选）选择主机的操作系统类型或者设备系统类型。 默认支持14种系统类型，包括Linux、Windows、Cisco、Huawei、H3C、DPtech、Ruijie、Sugon、Sugon、Digital China smsg 10600、Digital China smdd 10600、ZTE、ZTE595052tm、Surfilter、ChangAn。 终端速度 Rlogin协议类型主机可选择不同终端速率。 编码 SSH、TELNET协议类型主机可选择运维界面中文编码。 可选择UTF8、Big5、GB18030。 终端类型 SSH、TELNET协议类型主机可选择运维终端类型。 可选择Linux、Xterm。 更多选项 （可选）选择配置“文件管理”、“剪切板”、“X11转发”。 文件管理：仅SSH、RDP、VNC协议类型主机可配置。 剪切板：仅RDP协议类型主机可配置。 X11转发：仅SSH协议类型主机可配置。 部门 选择主机所属部门。 标签 （可选）自定义标签或选择已有标签。 主机描述 （可选）对主机的简要描述。 应用资源基本信息说明 参数 说明 应用名称 自定义的应用发布名称，系统内“应用名称”不能重复。 应用服务器 选择已创建的应用发布服务器。 所属部门 选择应用所属部门。 应用地址 （可选）输入有效IP或域名。 若地址有对应的端口，则地址为URL：端口号。 应用发布为数据库或客户端时，输入数据库服务器的地址。 应用端口 （可选）输入应用访问端口。应用发布为数据库时，输入对应数据库访问的端口。应用发布为除数据库外其他应用时，无需填写。 应用参数 （可选）输入应用相关参数。应用发布为数据库时，输入实例名。 应用发布为除数据库外其他应用时，无需填写。 更多选项 （可选）选择“文件管理”和“剪切板”。 标签 （可选）自定义标签或选择已有标签。 应用描述 （可选）对应用发布的简要描述。

本文简述天翼云边缘安全加速平台安全与加速服务支持的国密算法套件、适用场景、注意事项及配置方法。 背景介绍 随着近年来外部的国际贸易冲突和技术封锁，内部互联网的快速发展，IOT领域的崛起，以及金融领域的变革愈演愈烈，安全高度不断上升。摆脱对国外技术和产品的过度依赖，建设行业网络安全环境，增强我国行业信息系统的安全可信显得尤为必要和迫切。密码算法是保障信息安全的核心技术，尤其是最关键的银行业核心领域长期以来都是沿用3DES、SHA1、RSA等国际通用的密码算法体系及相关标准，存在安全隐患，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 天翼云边缘安全加速平台安全与加速服务，支持自主部署域名证书，证书算法支持国际和国密标准，并允许同个域名双证书并行。即网关支持双算法证书应用，智能识别和匹配适用算法。在客户端环境支持国密算法时，自动选择国密算法证书，在客户端环境仅支持国际算法时，自动选择国际算法证书，自动建立匹配算法加密通道。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举了常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 分组加密/块加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 / RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出了数字签名与验证算法及其相应的流程。并提供了相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》规范了国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》，将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3，并且新增了GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3以及基于RSA证书的算法套件：RSASM4CBCSM3、RSASM4GCMSM3、RSASM4CBCSHA256、RSASM4GCMSHA256。 2021年：IETF工作组正式发布国际标准《rfc8998》，该标准在TLS1.3上定义了使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3，使用ECDHESM2密钥协商算法，取消了 Client 证书的要求和server 双证书要求。

本文介绍签名工具的使用方法。 Header签名工具 对象存储ZOS提供Header V2签名工具。您可以在可视化界面中填入指定参数，为GET、POST、PUT、DELETE和HEAD类的请求生成签名。 使用方法 通过Header V2签名工具生成签名的步骤如下： 1. 点击进入Header V2签名工具。 2. 填写对象存储的Access Key和Secret Key。如何获取请参见获取访问密钥（AK/SK）获取对象存储AK/SK。 3. 参考下表填写各项参数。 参数 是否必选 说明 请求方法 是 请求方法包括GET、POST、PUT、DELETE和HEAD，您根据调用的API选择。 GET：获取目标资源，如查询桶策略、下载对象等。 POST：新增资源或执行特殊操作，如生成预签名URL等。 PUT：更新目标资源，如设置桶策略、上传对象等。 DELETE：删除目标资源，如删除桶、删除对象等。 HEAD：返回资源的头部信息，如获取对象的元数据等。 ContentMD5 否 请求数据的MD5值，可以为空。ContentMD5是通过MD5算法计算数据的128位摘要，并将base64编码放入头部的字符串。设置此值可用于检查信息的一致性。 ContentType 否 请求内容的类型，例如image/png，可以为空。 Date 是 请求生成的时间。点击后出现弹窗，选择日期和时间，时间为北京时间。 bucket 否 希望访问的对象存储桶的名称，可以为空。 object 否 希望访问的对象存储对象的名称，可以为空。 4. 点击“生成Header签名”。右侧会生成结果，您可以复制签名字段、签名调用函数和请求头。

避免安装不必要的包 避免安装额外的或不必要的包，可以降低镜像的复杂度，减少镜像大小以及构建时间。当需要更新包时，推荐使用aptget install y xxx来升级指定的包，避免安装不必要的依赖。aptget upgrade会自动更新所有的依赖包，导致构建过程不确定，可能产生不一致的镜像，因此应该尽量避免使用。 减少镜像层并利用缓存 Docker镜像是分层的，Dockerfile中的每个指令都会创建一个新的镜像层，镜像层将被缓存和复用。当Dockerfile的指令修改了，复制的文件变化了，或者构建镜像时指定的变量不同了，对应的镜像层缓存就会失效，且之后的镜像层缓存都会失效。 对于以下Dockerfile: plaintext FROM ubuntu ADD . /app RUN aptget update RUN aptget install y nodejs RUN cd /app && npm install CMD npm start 可以将两条aptget相关的RUN指令合并，来减少镜像层，并且防止aptget update命中缓存从而导致aptget install安装过期的依赖。同时，将aptget指令前移，防止因为每次源代码变动生成新的镜像层，从而导致aptget指令缓存失效。所以最终调整的结果为: plaintext FROM ubuntu RUN aptget update && aptget install y nodejs ADD ./app RUN cd /app && npm install CMD npm start 删除指令生成的多余文件 假设我们更新了aptget源，下载解压并安装了一些软件包，它们都保存在/var/lib/apt/lists/目录中。但是，运行应用时Docker镜像中并不需要这些文件。所以最好将它们删除，防止Docker镜像变大。示例: plaintext RUN aptget update && aptget install y nodejs && rm rf /var/lib/apt/lists/

顺序消息是分布式消息服务RocketMQ版提供的一种严格按照顺序来发布和消费的消息类型。 顺序消息分为全局顺序消息和分区顺序消息： 全局顺序消息：对于指定的一个Topic，将队列数量设置为1，这个队列内所有消息按照严格的先入先出FIFO（First In First Out）的顺序进行发布和订阅。 分区顺序消息：对于指定的一个Topic，同一个队列内的消息按照严格的FIFO顺序进行发布和订阅。生产者指定分区选择算法，保证需要按顺序消费的消息被分配到同一个队列。 全局顺序消息和分区顺序消息的区别仅为队列数量不同，代码没有区别。 收发消息前，请参考收集连接信息收集RocketMQ所需的连接信息。 准备环境 1. 在命令行输入python，检查是否已安装Python。得到如下回显，说明Python已安装。 PS C:> python Python 3.9.9 (tags/v3.9.9:ccb0e6a, Nov 15 2021, 18:08:50) [MSC v.1929 64 bit (AMD64)] on win32 Type "help", "copyright", "credits" or "license" for more information. 如果未安装Python，请使用以下命令安装： pip install rocketmqclientpython 2. 安装librocketmq库和rocketmqclientpython。 说明 建议下载rocketmqclientcpp2.2.0，获取librocketmq库。 3. 将librocketmq.so添加到系统动态库搜索路径。 1. 查找librocketmq.so的路径。 find / name librocketmq.so 2. 将librocketmq.so添加到系统动态库搜索路径。 ln s /查找到的librocketmq.so路径/librocketmq.so /usr/lib sudo ldconfig 以下示例代码中的参数说明如下，请参考收集连接信息获取参数值。 GROUP：表示消费组名称。 ENDPOINT：表示实例连接地址和端口。 TOPIC：表示Topic名称。

本节介绍如何吊销SSL证书。 吊销证书指将已签发的证书从CA签发机构处注销。证书吊销后将失去加密效果，浏览器不再信任该证书。 如果您不再需要某张已签发的SSL证书或某张SSL证书密钥丢失或出于其他安全因素考虑，可以在证书管理控制台申请吊销证书。 注意 已签发的证书成功吊销后，若吊销时间距签发时间未超过28个自然日，支持重新申请证书，有且仅有一次重新申请的机会。 前提条件 仅支持状态为“已签发”状态的证书吊销。 吊销域名型（DV）证书 1. 选待吊销的DV证书，在“操作”列中选择“更多 > 吊销”。 2. 弹出证书吊销弹窗，确认待吊销的证书信息。 3. 确认证书仅有一次吊销机会后，勾选确认框。 4. 确认无误后，单击“确认吊销”，完成证书吊销操作。 吊销企业型（OV）证书/增强型（EV）证书 1. 选择待吊销的OV/EV证书，选择“操作”列的“更多 > 吊销”。 2. 在弹出的窗口中确认吊销信息，确认完毕后单击“下载吊销函”。 3. 确认吊销函的内容后，填写相关信息并且上传。 注意 吊销函须确认信息无误并签字保存。 吊销函需要盖公司公章回传。 4. 确认证书仅有一次吊销机会后，勾选确认框。 5. 单击“确认吊销”，完成证书吊销操作。

本章节介绍管理对象的具体步骤。 功能说明 您可在媒体存储控制台完成对象相关的管理操作。 前提条件 登录媒体存储控制台。 已完成新建Bucket操作，具体可参考 新建Bucket 。 已完成上传对象操作，具体可参考 上传对象 。 查看对象基础信息 1. 选择对应的存储区域和当前bucket，可查看已上传的文件列表，文件列表包含文件名、文件大小、媒体类型、存储类型、更新时间和操作等内容。 2. 点击【详情】，可进入对象详情页。 3. 在对象详情页可进行下载、复制文件URL、查看自定义元数据等操作。 修改对象元数据 您可通过修改对象元数据，修改标准HTTP头或自定义元数据。更多关于元数据的介绍，可参考：对象元数据。 注意 本功能目前仅部分资源池支持，具体资源池可参考： 如您所开通的资源池暂不支持修改元数据，则会展示【查看自定义元数据】。 1. 点击对象【详情】，进入页面后，选择【修改元数据】。 2. 用户可修改对象元数据以及自定义元数据，可直接在输入框修改或点击【添加参数】新增自定义元数据。完成元数据修改后，点击【确定】完成操作。 更改对象访问权限 1. 在文件列表找到需要操作的对象，右侧操作栏，点击【设置权限】。 2. 在弹窗修改对象的访问权限，或修改其他用户对此对象的访问权限。更多关于对象权限的说明，可参考：[ACL对象ACL权限](

本章节介绍数据库安全如何安装Agent。 安装Agent后，您才能开启数据库安全审计功能，对待审计的数据库进行审计。 本节介绍如何在Linux系统上安装Agent。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 已获取Linux操作系统Agent安装包。 安装Agent节点的运行系统满足Linux系统版本要求。 安装Agent 在您安装新版Agent的时候，需要您为当前安装的Agent自定义一个密码。 请您根据数据库类型以及数据库的部署环境，在相应节点上安装Agent。 1. 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点（例如使用WinSCP工具）。 2. 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该节点。 3. 执行以下命令，进入Agent安装包“xxx.tar.gz”所在目录。cd Agent安装包所在目录 4. 执行以下命令，解压缩“xxx.tar.gz”安装包。tar xvf xxx.tar.gz 5. 执行以下命令，进入解压后的目录。cd解压后的目录 6. 执行以下命令，查看是否有安装脚本“install.sh”的执行权限。 7. 执行以下命令，安装Agent。sh install.sh。用户系统是Ubantu时，执行以下命令安装Agent。bash install.sh。界面回显以下信息，说明安装成功。否则，说明Agent安装失败。 start agent starting audit agent audit agent started start success install dbss audit agent done! 如果Agent安装失败，请您确认安装节点的运行系统是否满足Linux操作系统要求，并重新安装Agent。 8. 执行以下命令，查看Agent程序的运行状态。service auditagent status如果界面回显以下信息，说明Agent程序运行正常。audit agent is running.

本节主要介绍错误日志 文档数据库服务的日志管理功能支持查看数据库级别的错误日志，包括数据库运行的Warning和Error级别的信息，有助于您分析系统中存在的问题。 使用须知 对于社区版实例，支持通过界面查看和导出日志明细、以及下载日志文件的功能。 目前筛选日志级别和导出日志的功能需要具有相应的权限才可操作，如需使用，请联系客服申请相应权限。 查看和导出日志明细 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在左侧导航树，单击“错误日志”。 步骤 6 在“错误日志”页面，默认在“日志明细”页签下，查看详细信息。 对于集群实例，您可以查看mongos节点、shard节点和config节点的错误日志。 查看集群实例的错误日志 对于副本集实例，您可以查看Primary、Secondary、Hidden节点以及只读节点的错误日志信息。 查看副本集实例的错误日志 步骤 7 在“日志明细”页签下，您也可以单击日志列表右上方，导出日志明细。 导出完成后，您可以在本地查看生成的“.csv”文件。 支持单次最多导出2000条日志明细。

本节介绍了全量数据恢复：按备份文件恢复的操作场景、约束限制、操作步骤等内容。 操作场景 关系型数据库支持使用已有的自动备份和手动备份，将实例数据恢复到备份被创建时的状态。该操作恢复的为整个实例的数据。 通过备份文件恢复到实例上，会从OBS备份空间中将该备份文件下载到实例上进行全量恢复，恢复时长和实例的数据量有关，平均恢复速率为100MB/s。 功能说明 表 功能说明 类别 说明 恢复范围 恢复整个实例。 恢复后实例数据 恢复后实例数据与用于恢复的全备文件中的数据一致。 恢复到新实例会为用户重新创建一个和该备份数据相同的实例。 恢复类型 恢复到新实例 恢复到新实例各配置项 新实例的数据库引擎和数据库版本，自动与原实例相同。 存储空间大小默认和原实例相同，且必须大于或等于原实例存储空间大小。 其他参数需要重新配置。 恢复时长 恢复时长和实例的数据量有关，平均恢复速率为100MB/s。 约束限制 如果原实例创建表时的SQL语句指定了透明页压缩，恢复到实例时可能会出现磁盘空间不足导致的恢复失败。 如果实例启用了“SQL限流”功能，不同恢复场景的限制如下： − 恢复到新实例：5.7版本原有的SQL限流规则都会失效，5.6和8.0会保留原实例的限流规则。 − 恢复到当前实例：当前实例的SQL限流规则都会恢复到备份所在的时间点。 − 恢复到已有实例：5.7版本目标实例的SQL限流规则全部失效，5.6和8.0原实例的规则会覆盖目标实例规则。

本文介绍CDN加速按量计费的退订流程。 按量计费退订说明 当前CDN加速支持退订按量计费，天翼云用户可根据需要，灵活退订资源。 按量计费退订步骤 CDN加速产品同时支持在天翼云官网的费用中心和CDN控制台发起按量计费的退订。 退订方式1 1. 登录天翼云官网，单击右上角的用户名，进入【费用中心】。 2. 单击【订单管理】【退订管理】。勾选要退订的按量计费资源，单击【退订】，进入退订详情页面。 3. 退订前，建议查阅【退订须知】，再次确认要退订的资源信息，确认无误后，选择退订原因并勾选【我已确认本次退订金额和相关费用】，单击【退订】完成退订操作。 退订方式2 1. 通过天翼云官网购买CDN加速产品的客户，登录CDN控制台，单击左侧导航栏的【计费详情】【CDN加速】，支持参照如下页面在CDN加速计费详情页发起CDN加速按量计费的退订。 2. 退订前，建议查阅【退订须知】，再次确认要退订的资源信息，确认无误后，选择退订原因并勾选【我已确认本次退订金额和相关费用】，单击【退订】完成退订操作。

本文为您介绍IP黑白名单防护功能说明，以及如何配置IP黑白名单策略。 IP黑白名单支持对经过云WAF防护域名的访问源IP进行黑白名单设置，来自该IP地址/IP地址段的访问，云WAF将不会做任何检测，直接拦截/放行。 IP黑白名单设置，支持基于域名创建IP黑白名单规则。 支持添加IPv4、IPv6地址，支持添加IP地址段。 IP黑白名单模块的防护检测逻辑优先级高于其他防护模块；IP黑白名单内部检测逻辑，白名单高于黑名单。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 规格限制 基础版不支持IP黑白名单功能，请升级到更高版本使用。 不同实例版本支持添加的IP黑白名单规则数量不同，有关各版本规格的详细介绍，请参见产品规格。 若当前版本的IP黑白名单防护规则条数无法满足业务需求时，您可以通过购买规则扩展包或升级版本，以实现规则条数的扩容。一个规则扩展包包含50条IP黑白名单防护规则。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“IP黑白名单”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入IP黑白名单规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、IP地址、类别、过期时间、更新时间、规则描述等。 8. 点击列表上方“新建黑白名单”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 类别 定义该规则类型是“黑名单”或“白名单”。 IP地址 添加IP地址/地址段，支持IPv4和IPv6格式的IP地址/地址段。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 规则描述 可选参数，设置该规则的备注信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。