操作说明 本方案基于天翼云 ROS（资源编排服务）控制台，采用 Terraform Module 模块化设计，实现赛事用云主机全流程自动化批量部署。用户仅需导入模板、配置核心参数，即可一键完成 VPC、子网、安全组规则、云主机、弹性 IP 等全套网络与计算资源的自动化创建，全程无需手动操作。 通过模块化封装，方案支持灵活自定义可用区、网络网段、实例规格及部署数量，同时内置安全密码自动生成能力，可满足网络安全赛事、攻防演练、CTF 竞赛等场景下的多组别隔离、环境统一与快速交付需求，实现资源部署高效化、运行环境标准化、运维管理轻量化，为各类赛事靶机环境提供稳定、便捷的规模化交付能力。 适用场景 网络安全赛事靶机批量快速开通与统一部署 多组别、多题型竞赛环境的标准化网络搭建 攻防演练、CTF 赛事多镜像靶场环境一致性交付 临时赛事训练、演示环境快速创建与赛后一键回收 需自定义网段、靶机规格与资源隔离的规模化赛事场景 核心能力 在 ROS 控制台中： 导入模板（基于 Terraform 语法适配） 核心参数配置：配置实例数量（instancecount）、可用区选择、镜像、云主机规格等等 一键创建资源栈 即可自动完成： 多VPC和子网自动创建与分配 N 台云主机批量创建 弹性公网 IP 自动绑定 符合安全规范的随机密码自动生成 同时支持一键删除资源栈，实现全量资源自动回收

本文主要介绍包年包月的收费模式。 收费方式 预付费方式：用户需先登录天翼云用户中心进行充值，系统会根据用户选购的实际资源对用户云账户中的金额进行扣除。 计费周期：按月计费，以自然月为计费单位，包年享受官网对应的折扣。 升级规则 升级时间不满整月的，升级后配置按当月实际发生天数计费。 续订规则 续订数据库，续费可选择续订的时长，并完成订单支付。 退订规则 退订数据库，不满整月的按当月实际发生天数收费。 退订数据库后，实例会进入冻结状态，冻结周期为15天，冻结期过后如不续费会彻底删除实例。 提醒/通知规则 到期通知：服务到期前7天、前3天进行邮件通知，到期前1天、当天进行邮件通知和短信提醒。 超期通知：服务超期1天进行邮件通知，超期3天、7天进行邮件通知和短信提醒。

天翼云云日志服务等级协议

使用场景 快照功能可以帮助您实现以下需求： 日常备份数据 通过对云硬盘定期创建快照，实现数据的日常备份，可以应对由于误操作、病毒以及黑客攻击等导致数据丢失或不一致的情况。 快速恢复数据 应用软件升级或业务数据迁移等重大操作前，您可以创建一份或多份快照，一旦升级或迁移过程中出现问题，可以通过快照及时将业务恢复到快照创建点的数据状态。 例如，当由于云服务器A的系统盘A发生故障而无法正常开机时，由于系统盘A已经故障，因此也无法将快照数据回滚至系统盘A。此时您可以使用系统盘A已有的快照新创建一块云硬盘B并挂载至正常运行的云服务器B上，从而云服务器B能够通过云硬盘B读取原系统盘A的数据。 说明 当前通过快照回滚数据，只支持回滚快照数据至源云硬盘，不支持快照回滚到其它云硬盘。 快速部署多个业务 通过同一个快照可以快速创建出多个具有相同数据的云硬盘，从而可以同时为多种业务提供数据资源。例如数据挖掘、报表查询和开发测试等业务。这种方式既保护了原始数据，又能通过快照创建的新云硬盘快速部署其他业务，满足企业对业务数据的多元化需求。 快照原理 标准快照存储原理 标准快照是以数据块作为快照数据备份的最小粒度，快照分为全量快照和增量快照。为云硬盘创建的第一个快照为全量快照，全量快照包含创建快照时间点前云硬盘上的所有数据（数据块）；后续创建的快照均为增量快照，增量快照仅存储较上一个快照有变化的数据块。 全量快照和增量快照的元数据文件中会记录快照创建时间点前的所有数据块信息，因此通过任何一个快照回滚数据至云硬盘时，均可以恢复创建快照时间点前的所有云硬盘数据。 根据数据块的来源区分，快照元数据文件中包含三类数据块：继承数据块（继承于上一个快照的数据块）、修改数据块（较上一个快照有修改的数据块）、新增数据块（较上一个快照新增的数据块）。 快照的数据文件中只会存储较上一个快照有变化的数据块（修改数据块、新增数据块）。 如图所示，假设云硬盘在9:30和10:30均有数据写入，为了备份数据，在9:00创建快照1，在10:00创建快照2，在11:00创建快照3，创建快照原理如下： 9:00首次创建快照，快照1中包含云硬盘的所有数据，其中的数据块有A、B、C，快照1为全量快照。快照1的元数据文件中会记录云硬盘全量的数据块A、B、C。 随后写入数据，修改数据块A为A1，修改数据块B为B1，新增数据块D，10:00创建快照2，仅存储较快照1有变化的数据块A1、B1、D，快照2为增量快照。快照2的元数据文件中会记录云硬盘全量的数据块A1、B1、C、D，其中数据块C继承于快照1。 随后写入数据，修改数据块A1为A2，修改数据块C为C1，新增数据块E，11:00创建快照3，仅存储较快照2有变化的数据块A2、C1、E，快照3为增量快照。快照3的元数据文件中会记录云硬盘全量的数据块A2、B1、C1、D、E，其中数据块B1、D继承于快照2。

如果您需要添加云搜索服务（CSS）、数据湖探索（DLI）和Hive的资产，可参考本章节进行操作。 前提要求 已完成大数据资产委托授权，参考云资源委托授权/停止授权进行操作。 已开通CSS和DLI服务，且CSS和DLI中已有资产，且对应子网下含有可用的IP配额。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 单击左侧导航树的，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“大数据”页签，进入大数据资产列表页面。 5. 在大数据资产列表左上角，单击“添加大数据源”。 6. 在弹出的“添加大数据源”对话框中，参考下表配置大数据源参数。 参数名称 参数说明 取值样例 资产名称 自定义参数。 区域 默认为当前帐号登录的区域。 大数据类型 选择大数据类型。 “Elasticsearch”，选择此类型时，其他参数说明请参见“Elasticsearch”参数说明。 “DLI”，选择此类型时，其他参数说明请参见“DLI”参数说明。 “Hive”，选择此类型时，其他参数说明请参见“Hive”参数说明。 Elasticsearch “Elasticsearch”参数说明： 参数名称 参数说明 取值样例 ES实例 在下拉框中选择ES实例。 版本 选择大数据类型对应的版本。 5.x 主机 大数据源服务器IP地址。 192.168.0.233 端口 大数据源服务器的端口号。 3306 索引 输入大数据源对应的index。 用户名 输入访问大数据服务器的用户名。 密码 输入访问大数据服务器的密码。 “DLI”参数说明： 参数名称 参数说明 取值样例 队列 在下拉框中选择DLI中数据源的队列名称。 default DLI数据库 选择DLI中目标队列下的数据库名称。 5.x “Hive”参数说明： 参数名称 参数说明 取值样例 虚拟私有云 在下拉框中选择虚拟私有云。 子网 选择虚拟私有云对应的子网名称。 安全组 在下拉框中选择可用的安全组。 主机 大数据源服务器IP地址。 192.168.0.233 端口 大数据源服务器的端口号。 3306 数据库名称 输入数据库名称。 7. 单击“确定”，大数据源资产添加完成。 大数据资产添加完成后，该大数据源的状态“连通性”为“检查中”，DSC会测试数据源的连通性，即测试DSC是否能够通过您配置的用户名和密码正常访问添加的大数据源。 数据安全中心DSC能正常访问已添加的大数据源，该大数据源的状态“连通性”状态为“成功”。 若数据安全中心DSC不能正常访问已添加的大数据源，该大数据源的“连通性”状态为“失败”。单击“原因”查看失败的原因并重新正确填写访问目标大数据源的用户名和密码。

尊敬的天翼云客户： 您好！ 因业务调整，自2024年9月13日起，密钥管理按需版不再支持新购。 调整影响范围： 新增客户：2024年9月13日起，无法订购按需版本，可选择开通包周期版本，规格说明： 存量客户：2024年9月13日前已开通过按需版的用户，可继续使用按需版本，并按照按需版资费计费。 给您带来不便，敬请谅解！感谢您对天翼云的信赖与支持，如您有任何问题，可随时通过工单或者服务热线（4008109889）与我们联系。 感谢您对天翼云一如既往的支持与理解！ 天翼云服务团队

共享云硬盘的优点 多挂载点：单个共享云硬盘最多可同时挂载给16台云主机，既可以挂载至天翼云云主机，也可以挂载至天翼云物理机，灵活部署不同类型的工作负载。 高性能：高IOPS (Input/Output Operations Per Second)，低时延，满足现代应用的需求。 共享云硬盘的规格性能 共享云硬盘的规格性能与普通云硬盘规格性能一致，详情请参见产品规格。 共享云硬盘的数据共享原理 共享云硬盘本质上就是将同一块云硬盘挂载到多台云主机上。由于每一台云主机均可以在任意时刻对该云硬盘任意区域的数据进行读写，如果这些云主机之间没有相互约定读写数据的规则，将会导致这些云主机读写数据时相互干扰，以致出现不可预知的错误。 想要确保云主机在访问过程中不互相干扰，确保读写次序和读写意义，必须通过一个集群来对读写进行集中管理与调度，因此用户在实际使用过程中务必确保自行部署集群系统，如企业应用中常见的Windows MSCS集群、Linux RHCS集群和CFS集群应用等。 如果使用共享云硬盘的过程中并没有通过集群进行管理，有可能导致以下问题： 读写冲突导致数据不一致 当两台弹性云主机同时挂载了同一块共享云硬盘却没有在一个集群系统中进行管理时，这两台云主机无法感知对方的具体存储空间是否已被使用，可能导致存储空间的重复分配，最终导致空间分配冲突使得数据出错的情况。 比如，将一块共享云硬盘格式化为ext3文件系统后挂载给云主机A和云主机B，云主机A在某一时刻向云硬盘上的区域C和区域D写了文件系统的元数据，下一时刻云主机B又向区域E和区域D写了自己的元数据，则云主机A写入的数据将会被替换，随后读取区域D的元数据时即会出现错误。 数据缓存导致数据不一致 当两台弹性云主机同时挂载了同一块共享云硬盘却没有在一个集群系统中进行管理时，其中一台假定为云主机A，另一台为云主机B，云主机A将读取来的数据记录在缓存区域中，云主机A上的其他进程读取数据时，可直接去读缓存区域的数据提高效率，而云主机B若修改了缓存区域的数据，云主机A是无法感知数据变化的，此时若继续读取缓存，则会导致读取的数据不一致情况。比如，将一块共享云硬盘格式化为ext3文件系统后挂载给云主机A和云主机B，两台云主机均将文件系统的元数据进行了缓存，此后用户在云主机A中创建了一个新的文件File，但云主机B并无法感知该修改，依旧从缓存中读取数据，导致用户在云主机B中无法看到文件File。 除此之外，还可能会导致存储性能下降，读写速度变慢，响应时间延长等问题。

本章节介绍了如何讲其他厂商或自建的业务迁移到分布式消息服务RocketMQ的实践方案。 操作场景 RocketMQ业务迁移是指将其他厂商或者自建的RocketMQ迁移到天翼云分布式消息服务RocketMQ。 前提条件 1. 配置网络环境 分布式消息服务RocketMQ实例分VPC内以及公网地址两种网络连接方式。如果使用公网地址，则消息生产与消费客户端需要有公网访问权限，并配置如下安全组。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8200 0.0.0.0/0 公网访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口 2. 购买分布式消息服务RocketMQ实例 具体请参考购买RocketMQ实例。 操作步骤 1. 迁移元数据至分布式消息服务RocketMQ实例。 1. 获取其他厂商或自建RocketMQ实例的元数据。 2. 登录主机，下载RocketMQ软件包。 wget i < 1. 解压软件包。 unzip rocketmqall4.9.4binrelease.zip 1. （可选）如果RocketMQ实例开启了ACL访问控制，执行mqadmin命令时，需要鉴权。切换到解压后的软件包目录下，在“conf/tools.yml”文件中，增加如下内容。 accessKey: secretKey: accessKey和secretKey表示在控制台“用户管理”页面，创建的用户名和密钥。 1. 进入解压后的软件包目录下，执行以下命令，查询集群名称。sh ./bin/mqadmin clusterList n {nameserver地址及端口号}例如：“nameserver地址及端口号”为“192.168.0.65:8100”。 2. sh ./bin/mqadmin clusterList n 192.168.0.65:8100执行以下命令，导出元数据。未开启SSL的实例，执行以下命令。sh ./bin/mqadmin exportMetadata n {nameserver地址及端口号} c {RocketMQ集群名称} f {导出的元数据文件的存放路径}例如：“nameserver地址及端口号”为“192.168.0.65:8100”，“RocketMQ集群名称”为“DmsCluster”，“导出的元数据文件的存放路径”为“/tmp/rocketmq/export”。 1. sh ./bin/mqadmin exportMetadata n 192.168.0.65:8100 c DmsCluster f /tmp/rocketmq/export已开启SSL的实例，执行以下命令。JAVAOPTDtls.enabletrue sh ./bin/mqadmin exportMetadata n {nameserver地址及端口号} c {RocketMQ集群名称} f {导出的元数据文件的存放路径}例如：“nameserver地址及端口号”为“192.168.0.65:8100”，“RocketMQ集群名称”为“DmsCluster”，“导出的元数据文件的存放路径”为“/tmp/rocketmq/export”。 3. JAVAOPTDtls.enabletrue sh ./bin/mqadmin exportMetadata n 192.168.0.65:8100 c DmsCluster f /tmp/rocketmq/export在控制台迁移元数据。登录控制台。 4. 单击RocketMQ实例的名称，进入实例详情页面。 5. 在左侧导航栏，选择“元数据迁移”，进入迁移任务列表页面。 6. 单击“创建迁移任务”，弹出“创建迁移任务”对话框。 参考，设置迁移任务的参数。 参数 说明 任务名称 您可以自定义迁移任务的名称，用于区分不同的迁移任务。 是否同名覆盖 如果开启同名覆盖，会对已有的同名元数据的配置进行修改。例如：原实例Topic01的读队列个数为3，云上实例Topic01的读队列个数为2，开启同名覆盖后，云上实例Topic01的读队列个数变为3。如果不开启同名覆盖，同名元数据的迁移将失败。例如：原实例的Topic包含Topic01和Topic02，云上实例的Topic包含Topic01和Topic03，不开启同名覆盖，原实例Topic01的迁移将失败。 元数据 上传。 1. 单击“确定”。迁移完成后，在迁移任务列表页面查看“任务状态”。 1. 当“任务状态”为“迁移完成”，表示所有元数据都已成功迁移。 2. 当“任务状态”为“迁移失败”，表示元数据中部分或全部元数据迁移失败。单击迁移任务名称，进入迁移任务详情页，在“迁移结果”中查看迁移失败的Topic/消费组名称，以及失败原因。 2. 迁移生产消息至分布式消息服务RocketMQ版实例。将生产客户端的元数据连接地址改为分布式消息服务RocketMQ版实例的元数据连接地址，重启生产业务，使得生产者将新的消息发送到分布式消息服务RocketMQ版实例中。 3. 迁移消费消息至分布式消息服务RocketMQ版实例。待消费组中的消息消费完之后，将消费客户端的元数据连接地址改为分布式消息服务RocketMQ版实例的元数据连接地址，重启消费业务，使得消费者从分布式消息服务RocketMQ版实例中消费消息。 4. 如果有多个RocketMQ实例需要迁移到同一个分布式消息服务RocketMQ版实例中，请依次进行迁移

QoS支持 提供三种级别 QoS支持 QoS0：AtMostOnce 允许消息少量丢失，最多传输一次 QoS1：AtLeastOnce 确保消息一定到达，可少量重复 QoS2：ExactlyOnce 有且仅有一次 QoS在发布和订阅时都可以设置，以控制消息的传递可靠性。需要注意的是，消息从发布者到订阅者之间是分两步的，所以要同时设置发布者和订阅者的QoS，以确保消息可靠地传递。 离线消息 MQTT协议支持离线消息传递，这允许终端在重新连接到MQTT服务器时获取未传递的消息。这对于许多业务场景都非常有用，特别是在物联网和实时通信中，当设备可能会断线并需要在重新连接后获取之前丢失的消息时。 以下是如何在MQTT中实现离线消息获取的一般步骤： 保留消息（Retained Messages）： 在MQTT中，发布者可以标记消息为保留消息。保留消息会在Broker上保存，而不仅仅是传递给当前在线的订阅者。当一个新的订阅者订阅与保留消息相关的主题时，它会立即接收到该消息，即使该消息是在其离线期间发布的。 持久性会话（Persistent Session）： MQTT客户端可以选择创建持久性会话，以便在断线后能够重新连接并获取未传递的消息。持久性会话会在服务器上保留客户端的订阅状态和未传递的消息。当客户端重新连接时，服务器将恢复其之前的订阅状态，并将任何未传递的消息发送给它。 QoS级别（Quality of Service）： 使用QoS级别1或2可以确保消息在传递时至少被传递一次，这有助于确保断线重连后能够获取未传递的消息。QoS级别2提供最高级别的消息传递保证。 持久订阅（Durable Subscription）： 在MQTT中，客户端可以创建持久订阅，这允许它在断线后继续接收消息。持久订阅通常与持久性会话结合使用，以确保消息在离线期间不会丢失。 设置Clean Session标志： 当客户端连接到MQTT服务器时，可以设置"Clean Session"标志。如果设置为true，服务器将不会保留客户端的订阅状态和未传递的消息，这意味着客户端将从头开始，不会获取离线期间的消息。如果设置为false，则客户端可以获取离线期间的消息。

基于业务日志的运维分析 背景 Nginx日志是运维网站的重要信息，用于记录服务器活动和请求信息，Nginx服务器通常将Nginx日志输出到本地的文件中。传统模式下，运维人员查询日志时，需要登录服务器，通过操作系统的文件查看工具进行日志查询，由于日志分布在各个服务器上，且存在命令行操作易出错、服务器权限等限制因素，存在日志查询效率低下的问题。本实践将以Nginx日志为例，介绍日志采集、查询、分析与告警的过程。 优势 使用云日志服务，对比传统的日志模式，可以获得以下优势： 数据集中存储，无需登录多台服务器查询，在微服务架构下尤为重要 快速检索日志，告别繁琐的命令行操作，提升故障处理效率 实时检测异常日志，设置告警，提升故障响应时效 实践步骤 步骤一：创建日志项目与日志单元 开通云日志服务后，登录日志服务控制台，创建日志项目与日志单元。详细操作步骤请查看创建日志项目与日志单元。 1. 创建日志项目：日志项目是用于管理日志服务的资源单元，通常可将某个独立项目/业务的日志对应至一个日志项目中。 2. 创建日志单元：日志单元是进行日志数据的采集、存储、检索和分析的基本单元，日志数据以日志单元的方式进行管理，通常可将一个应用/服务下的日志采集至一个日志单元中。此处可为Nginx日志单独创建一个日志单元。

清理违规内容 您可根据管控通知、或联系客服了解管控原因、获取存在违规信息的具体链接，然后参考《++安全违规信息类型说明++》进一步排查定位违规内容，并自行完成清理。 若您的对象存储OSS文件由于违规信息被冻结或限制访问，可直接删除违规文件。 清理挖矿程序 1. 挖矿程序一般很难清理，强烈建议您在++备份重要数据++后，重新初始化云盘 ，可确保完全清理挖矿程序。 2. 您也可以按以下步骤对您的服务进行排查： 排查是否有异常的CPU占用（注：挖矿木马可能不会占满您的CPU，但CPU占用会长时间持续稳定在一定水平，如20%、50%）； 排查是否有异常的网络连接，如连接非常见端口、连接未知IP/海外IP等； 排查系统定时任务中是否存在未知/恶意命令。 3. 您可以免费试用服务器安全（原生版）、云防火墙（原生版），以辅助您排查挖矿活动。 服务器安全卫士（原生版）清理挖矿程序：登录服务器安全卫士（原生版）控制台→绑定防护配额→ 全盘病毒扫描→ 告警处理； 云防火墙（原生版）防止挖矿程序再植入：登录云防火墙（原生版）控制台→ 登入云防火墙（原生版）实例配置页面 → 网络 → 安全域 → 编辑安全域 → 威胁防护配置 → 打开病毒过滤，攻击防护开关。 说明 申请产品免费试用请联系客户经理，试用扫描结果仅作紧急排查辅助，不能作为唯一参考。

事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 健康检查异常 healthCheckUnhealthy 重要 一般是由于后端服务器服务离线导致。事件上报一定次数后，不再上报。 检查后端服务器的服务运行状态。 ELB不会往异常的后端转发流量，如果云主机组下只有一个后端，则业务会中断。 健康检查恢复正常 healthCheckRecovery 次要 后端服务器健康检查恢复正常。 无需处理。 负载均衡器到后端服务器流量恢复正常。

本章节主要介绍翼MapReduce服务HDFS健康检查指标项说明。 发送包的平均时间统计 指标项名称 ：发送包的平均时间统计 指标项含义 ：HDFS文件系统中DataNode每次执行SendPacket的平均时间统计，如果大于2000000纳秒，则认为不健康。 恢复指导： 如果该指标项异常，则需要检查集群的网络速度是否正常、内存或CPU使用率是否过高。同时检查集群中HDFS负载是否过高。 服务健康状态 指标项名称： 服务状态 指标项含义 ：检查HDFS服务状态是否正常。如果节点有故障，则认为不健康。 恢复指导： 如果该指标项异常，建议检查KrbServer、LdapServer、ZooKeeper三个服务的状态是否为异常并处理。然后再检查是否是HDFS SafeMode ON导致的写文件失败，并使用客户端，确认是否无法在HDFS中写入数据，排查HDFS写数据失败的原因。最后参见告警进行处理。 检查告警 指标项名称： 告警信息 指标项含义 ：检查HDFS服务是否存在未清除的告警。如果存在，则认为不健康。 恢复指导： 如果该指标项异常，请参见告警进行修复。

本文介绍了云防火墙等保合规能力说明 检查项分类安全控制点风险等级 等保合规检查项 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络网络架构中 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 云防火墙提供访问控制机制和入侵防护能力，开启防护后能够自动阻断互联网与VPC之间的威胁访问，为用户提供自动的边界防护能力。 入侵防护 访问控制 安全区域边界边界防护高 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应能够对非授权设备私自连到内部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 入侵防护 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 入侵防护 安全区域边界入侵防范中 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 入侵防护 安全区域边界访问控制高 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 云防火墙提供默认拒绝所有通信的访问控制策略，只允许通行策略相关会话通信。 访问控制 安全区域边界访问控制中 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 云防火墙提供流量记录功能，能够记录所有防火墙的通信会话行为，可通过对防火墙网络通信判断访问规则的有效性，从而实现访问控制规则最小化。 访问控制 安全区域边界访问控制高 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 访问控制 安全区域边界访问控制中 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 支持根据FTP等会话的状态信息设置对会话的允许/拒绝访问能力，控制粒度为端口级。 访问控制 安全区域边界访问控制中 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 支持DNS等应用协议和下载等应用内容进行访问控制。 访问控制 安全区域边界安全审计高 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 云防火墙提供日志审计功能，可以记录所有流量日志、访问控制日志、入侵防护日志和操作日志。 日志审计 安全区域边界安全审计中 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 云防火墙提供日志记录事件功能，包括：时间、告警名称、攻击类型、源/目IP字段、等级等。 日志审计 安全区域边界安全审计中 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 云防火墙提供日志分析功能，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计 安全区域边界安全审计中 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 云防火墙提供日志分析功能，记录所有流量访问日志，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计

云助手功能免费 ，但是执行命令依赖于一台在线的服务器，需要您账号下有可用的弹性云主机或物理机实例。如您账号下没有可用实例，需要您新购一个实例。实例费用请参见 弹性云主机计费项及其计费方式 及 物理机计费说明 。

集群退订 步骤 1：登录云容器引擎控制台，在左侧导航栏中选择“集群管理”。 步骤 2：找到要退订的智算集群记录，单击“退订”。 步骤 3：在弹出的“退订”页面中，勾选要释放的资源，输入“DELETE”确认要删除集群。 步骤 4：单击“确定”，开始退订集群。退订集群需要花费10~15分钟，请耐心等候。退订后集群状态显示为已退订。 退订后裸金属保留15天。

本文为您介绍如何使用Nginx镜像创建ECI实例。 前提条件 请确保您已完成以下准备工作： 已开通弹性容器实例服务。 已在开通地域创建虚拟私有云、创建子网、创建安全组等。 操作步骤 下文开始介绍创建ECI实例的主要步骤： 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页。 3. 设置容器实例信息。 1. 配置实例名称，当打开订购页面时系统会随机生成一个以“eci”开头的名称，您也可按需自定义实例名称。名称由数字、小写字母、和''组成。 2. 计费模式仅支持“按需计费”。 3. 选择虚拟私有云、实例所在子网、安全组。如果当前地域未创建相关资源，支持跳转到对应产品控制台完成创建。 4. 配置容器组。 1. 支持基础模式和指定规格两种创建方式。选择具体创建模式后，首先您需要选择部署模式，并选择对应的可用区。接下来需要为容器组设置CPU和内存大小，重启策略，以及购买数量。最后，容器组支持多项高级设置，包括存储(配置项、临时目录、云硬盘、弹性文件、对象存储)，临时存储，镜像缓存，及日志服务等。 5. 配置容器。 1. 容器组支持配置多个容器，点击“+添加容器”可以新增配置。 2. 配置容器名称。 3. 配置容器镜像。如果没有镜像，支持跳转到容器镜像实例CRS创建镜像仓库，用于私有镜像管理。 4. 配置容器镜像版本。 5. 配置镜像拉取策略。支持“总是拉取”和“按需拉取”两种方式。 6. 配置启动命令。 7. 配置容器工作目录。 8. 支持开启高级设置。您可按需配置容器CPU、内存，环境变量，端口和协议，存储，健康检查，生命周期等信息。 说明 容器组内所有容器的CPU总和不得超过为容器组设置的CPU，容器组内所有容器组的内存总和不得超过为容器组设置的内存。 6. 点击“下一步”进入其他设置(选填)。 1. 配置EIP，按需选择自动创建还是使用已有。 2. 配置镜像访问凭证，若您容器里选的镜像是私有的（非天翼云容器镜像服务的镜像），请输入所选镜像的仓库地址、用户名、密码，以便ECI用来拉取镜像，支持添加多个凭证。 3. 标签，标签由区分大小写的键值对组成。例如，用户可以添加一个键为“Group”且值为“Web”的标签，最多可添加20个标签。 7. 点击“确认订单”，进入订单确认页面。勾选“我已阅读、理解并接受《天翼云弹性容器实例服务协议》《天翼云弹性容器实例服务等级协议》”，点击“提交订单”完成订购。 8. 进入弹性容器实例控制台容器组列表页，即可查看创建的ECI实例。

本文介绍如何使用Nginx镜像创建实例。 前提条件 请确保您已完成以下准备工作： 已开通弹性容器实例服务。 已在开通地域创建虚拟私有云、创建子网、创建安全组等。 操作步骤 下文开始介绍创建ECI实例的主要步骤： 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页。 3. 设置容器实例信息。 1. 配置实例名称，当打开订购页面时系统会随机生成一个以“eci”开头的名称，您也可按需自定义实例名称。名称由数字、小写字母、和''组成。 2. 计费模式仅支持“按需计费”。 3. 选择虚拟私有云、实例所在子网、安全组。如果当前地域未创建相关资源，支持跳转到对应产品控制台完成创建。 4. 配置容器组。 1. 支持基础模式和指定规格两种创建方式。选择具体创建模式后，首先您需要选择部署模式，并选择对应的可用区。接下来需要为容器组设置CPU和内存大小，重启策略，以及购买数量。最后，容器组支持多项高级设置，包括存储(配置项、临时目录、云硬盘、弹性文件、对象存储)，临时存储，镜像缓存，及日志服务等。 5. 配置容器。 1. 容器组支持配置多个容器，点击“+添加容器”可以新增配置。 2. 配置容器名称。 3. 配置容器镜像。如果没有镜像，支持跳转到容器镜像实例CRS创建镜像仓库，用于私有镜像管理。 4. 配置容器镜像版本。 5. 配置镜像拉取策略。支持“总是拉取”和“按需拉取”两种方式。 6. 配置启动命令。 7. 配置容器工作目录。 8. 支持开启高级设置。您可按需配置容器CPU、内存，环境变量，端口和协议，存储，健康检查，生命周期等信息。 说明 容器组内所有容器的CPU总和不得超过为容器组设置的CPU，容器组内所有容器组的内存总和不得超过为容器组设置的内存。 6. 点击“下一步”进入其他设置(选填)。 1. 配置EIP，按需选择自动创建还是使用已有。 2. 配置镜像访问凭证，若您容器里选的镜像是私有的（非天翼云容器镜像服务的镜像），请输入所选镜像的仓库地址、用户名、密码，以便ECI用来拉取镜像，支持添加多个凭证。 3. 标签，标签由区分大小写的键值对组成。例如，用户可以添加一个键为“Group”且值为“Web”的标签，最多可添加20个标签。 7. 点击“确认订单”，进入订单确认页面。勾选“我已阅读、理解并接受《天翼云弹性容器实例服务协议》《天翼云弹性容器实例服务等级协议》”，点击“提交订单”完成订购。 8. 进入弹性容器实例控制台容器组列表页，即可查看创建的ECI实例。

Web防护版本说明 版本 免费版 基础版 高级版 企业版 旗舰版 适用场景 适用于小型网站、个人网站，有流量安全检测需求。 适用于小型网站流量安全防护需求。 适用于中小型网站的标准防护。 适用于中型企业级网站或服务对互联网公众开放，有较高标准的安全需求。 适用于中大型企业网站，具备较大的业务规模，或是具有特殊定制的安全需求。 流量/带宽 订购流量或者带宽 订购流量或者带宽 订购流量或者带宽 订购流量或者带宽 订购流量或者带宽 动态请求数 订购动态请求数 订购动态请求数 订购动态请求数 订购动态请求数 订购动态请求数 支持主域名个数 1 1 1 1 1 支持总域名个数（包括主域名和其下的子域名） 1 10 10 10 10 下表描述了主要功能模块在不同套餐中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能模块 描述 免费版 基础版 高级版 企业版 旗舰版 业务接入 泛域名防护 支持接入泛域名。 √ √ √ √ √ 业务接入 静态加速 支持将静态资源缓存到边缘节点，达到加速效果。 √ √ √ √ √ 业务接入 动态加速 支持动态资源采用最优链路回源。 × √ √ √ √ 业务接入 WebSockets 支持WebSockets协议 付费支持 付费支持 付费支持 付费支持 付费支持 业务接入 quic协议 支持quic协议 × × √ √ √ 业务接入 HTTPS防护 支持HTTPS防护。 √ √ √ √ √ 业务接入 IPv6 访问 支持对IPv6访问流量安全检测与防护。 √ √ √ √ √ 业务接入 IPv6 外链改造 提高网站链接的IPv6支持度，解决IPv6天窗问题。 × √ √ √ √ 业务接入 IPv6支持度检测 支持检测网站IPv6链接支持度，并输出分析结果与检测报告。 1 10 20 30 40 业务接入 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × √ √ √ 业务接入 HTTP2防护 支持防护使用HTTP/2协议的网站。 √ √ √ √ √ 业务接入 回源IP管理 为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 × √ √ √ √ 基础安全防护 DDoS防护 主动防御网络层DDoS攻击。 付费支持 付费支持 付费支持 付费支持 付费支持 基础安全防护 自定义防护界面 支持用户自定义响应给客户端的拦截界面。 × × √ √ √ 基础安全防护 规则防护引擎 支持防护常见的Web攻击。 √，（仅支持监测） √ √ √ √ 基础安全防护 自定义规则 支持自定义web防护规则。 × 10条规则/域名 20条规则/域名 50条规则/域名 200条规则/域名 基础安全防护 AI防护引擎 智能AI识别攻击和误拦截。 × × × × √ 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 频率控制 支持基于基础字段和高级字段进行组合，设置访问频率。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 合规性检测 支持对HTTP请求信息中的方法以及参数长度等信息进行检测。 √ √ √ √ √ 基础安全防护 CC防护 支持防护常见的CC攻击，支持阈值和永久模式。 √，（默认策略） √，（默认策略 √ √ √ 基础安全防护 0Day 漏洞虚拟补丁 自定更新0day漏洞攻击防护规则。 × √ √ √ √ 基础安全防护 扫描防护 支持常见扫描工具封禁。 × √ √ √ √ 高级安全防护 网页防篡改 支持锁定网站页面，防止源站页面内容被恶意篡改带来的影响。 × √ √ √ √ 高级安全防护 防敏感信息泄露 支持防止网站敏感信息泄露（银行卡、身份证、手机号、邮箱）。 × √ √ √ √ 高级安全防护 Cookie防护 支持Cookie加密和Cookie签名。 × × √ √ √ 高级安全防护 广告防护 实现广告防护和监测功能。 × × √ √ √ 高级安全防护 账户安全 支持防护暴力破解、批量注册。 × × √ √ √ 高级安全防护 攻击挑战 支持识别反复攻击客户端IP，并且封禁 × √ √ √ √ 高级安全防护 大数据深度学习引擎 基于网站访问流量深度学习，自动生成防护策略。 × × × × √ 高级安全防护 验证码 为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。 × × √ √ √ 高级安全防护 Bot管理 缓解大量针对网站的爬取和异常注册登录行为。 付费支持 付费支持 付费支持 付费支持 付费支持 高级安全防护 API安全 支持对已接入WAF的API资产进行全面安全防护。 付费支持 付费支持 付费支持 付费支持 付费支持 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 1/域名/次/月 1/域名/次/月 2/域名/次/月 3/域名/次/月 4/域名/次/月 网站风险监测 安全事件监测 支持监测网页中挂马及黑链的恶意代码，网页是否被非法篡改 × 任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 内容安全监测 支持监测网站文字和图片是否包含涉黄、涉毒、涉政、赌博、暴恐、邪教等敏感内容。 × 文本敏感词检测任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 DNS监测 多线路远程实时监测目标站点在多种网络协议下的响应速度、可访问性等反映网站性能状况的内容 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 网站风险监测 可用性监测 支持实时监测各地主流ISP的DNS缓存服务器和用户DNS授权服务器的解析过程及结果。 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 产品服务 日志服务 提供攻击日志、业务日志。 √ √ √ √ √ 产品服务 安全报表 提供Web攻击、CC攻击报表。 15天 31天 92天 180天 180天 产品服务 监控告警 支持自定义监控告警。 √ √ √ √ √ 产品服务 安全VIP服务 提供专业安全专家主动运营服务，持续深入定制整体防护方案。 付费支持 付费支持 付费支持 付费支持 付费支持 产品服务 态势感知大屏 提供数据大屏服务，让安全攻防状态一目了然。 付费支持 付费支持 付费支持 付费支持 付费支持

场景说明 配置示例 VPC网段重叠，且全部子网重叠 此种场景下，不支持使用VPC对等连接。 VPC网段重叠，且部分子网重叠 此时无法创建指向整个VPC网段的对等连接，可以创建指向子网的对等连接，对等连接两端的子网网段不能包含重叠子网。 VPC网段重叠可能导致对等连接不生效 VPC网段重叠，且全部子网重叠 VPC网段重叠，且部分子网重叠 基于VPC对等连接，无法实现多个ECS共用EIP访问公网。 比如，在VPCA和VPCB之间创建对等连接，VPCA内的云服务器ECSA01绑定了EIP用来访问公网，此时VPCB内的云服务器ECSB01无法通过ECSA01的EIP访问公网。 VPC对等连接不支持共用EIP

本章节主要介绍Elasticsearch整库迁移到云搜索服务。 操作场景 云搜索服务（Cloud Search Service）为用户提供结构化、非结构化文本的多条件检索、统计、报表，本章节介绍如何通过CDM将本地Elasticsearch整库迁移到云搜索服务中，流程如下： 1.创建CDM集群并绑定EIP 2.创建云搜索服务连接 3.创建Elasticsearch连接 4.创建整库迁移作业 前提条件 拥有EIP配额。 已经开通了云搜索服务，且获取云搜索服务集群的IP地址和端口。 已获取本地Elasticsearch数据库的服务器IP、端口、用户名和密码。 如果Elasticsearch服务器是在本地数据中心或第三方云上，需要确保Elasticsearch可通过公网IP访问，或者是已经建立好了企业内部数据中心到的VPN通道或专线。 创建CDM集群并绑定EIP 1.参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群的VPC必须和云搜索服务集群所在VPC一致，且推荐子网、安全组也与云搜索服务一致。 如果安全控制原因不能使用相同子网和安全组，那么需要确保安全组规则能允许CDM访问云搜索服务集群。 2. CDM集群创建完成后，在集群管理界面选择“绑定弹性IP”，CDM通过EIP访问本地Elasticsearch。 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。

本章节主要介绍翼MapReduce的删除租户操作。 操作场景 根据业务需求，对于当前不再使用的租户，管理员可以通过FusionInsight Manager删除租户，释放租户占用的资源。 前提条件 已添加租户。 检查待删除的租户是否存在子租户，如果存在，需要先删除全部子租户，否则无法删除当前租户。 待删除租户的角色，不能与任何一个用户或者用户组存在关联关系。 操作步骤 1. 登录FusionInsight Manager，单击“租户资源”。 2. 在左侧租户列表，选择待删除的租户，单击。 说明 根据业务需求，需要保留租户已有的数据时请同时勾选“保留该租户的数据。”，否则将自动删除租户对应的存储空间。 如果使用不属于supergroup组的用户执行删除租户操作，并且不保留租户数据，需要使用属于supergroup组的用户登录HDFS客户端，手动清理租户对应的存储空间，以免数据残留。 3. 单击“确定”，删除租户。 保存配置需要等待一段时间，租户成功删除。租户对应的角色、存储空间将删除。 说明 租户删除后，Yarn中对应的租户任务队列不会被删除。同时Yarn角色管理中，此租户任务队列不再显示。

本文为您介绍弹性云主机启动缓慢的处理方法。 问题现象 弹性云服务器启动时间较长。 处理方法 可以通过修改默认等待时间，提高启动速度。 配置调整方式 1. 首先登录弹性云服务器。 2. 执行以下命令，切换至root用户。 sudo su 3. 执行以下命令，查询grub文件的版本。 rpm qa grep grub 可以看到查询到的grub版本如图。 4. 将grub文件中timeout时间修改为0s。 （1）对于grub版本小于2的： 打开文件“/boot/grub/grub.cfg”或“/boot/grub/menu.lst”，并修改等待时间“timeout0”（打开方式可通过vi或者vim）。 （2）对于grub版本为2的： 打开文件/boot/grub2/grub.cfg，并修改等待时间“timeout0”（打开方式可通过vi或者vim）。 修改timeou的值为0，添加内容如图中。

本文将为您介绍什么是磁盘扩容以及如何在控制台上实现扩容。 操作场景 当磁盘空间不足时，用户可以扩大磁盘的容量。磁盘扩容可以有如下两种操作方式： 申请一块新的磁盘，并挂载给云主机。 扩容原有磁盘空间。系统盘和数据盘均支持扩容。 本文主要对方式二进行介绍。在该方式中，您可以对状态为“已挂载”或者“未挂载”的磁盘进行扩容。状态为“已挂载”的磁盘，表示当前需要扩容的磁盘已经挂载给云主机。状态为“未挂载”的磁盘，表示当前需要扩容的磁盘未挂载至任何云主机。系统盘支持的最大容量为2TB，数据盘支持的最大容量为32TB，最小扩容容量为1GB，扩容步长为1GB。 约束与限制 如扩容的是状态为“已挂载”的磁盘，且云主机状态必须为“运行中”或者“关机”才支持扩容。 磁盘扩容功能支持扩大磁盘容量，不支持缩小磁盘容量。 当磁盘已经投入使用后，请在扩容前务必检查磁盘的分区形式，具体说明如下： 分区形式 注意事项 MBR分区 容量最大支持2TB（2048GB），超过2TB的部分无法使用。 GPT分区 容量最大支持18EB（19327352832GB）。天翼云支持的最大数据盘容量为32TB（32768GB），即您最大可将数据盘扩容至32TB。 MBR分区需扩容至2TB以上 必须将磁盘分区形式由MBR切换成GPT，期间会中断业务，并且更换磁盘分区形式时会清除磁盘的原有数据，请在扩容前先对数据进行备份。

日志查询与实时分析 对采集的日志数据，可以通过关键字查询、模糊查询等方式简单快速地进行查询，适用于日志实时数据分析、安全诊断与分析、运营与客服系统等，例如云服务的访问量、点击量等，通过日志数据分析，可以输出详细的运营数据。 日志转储 主机和云服务的日志数据上报至云日志服务后，默认存储时间为30天。超出存储时间的日志数据将会被自动删除，对于需要长期存储的日志数据（日志持久化），云日志服务提供转储功能，可以将日志转储至对象存储服务（OBS）中长期保存。日志转储基于复制的转储机制，在LTS设置的存储时间内转储至OBS的日志，不会在LTS被删除。 云日志服务的基本概念 日志组 日志组是一组日志流的集合，日志组中可以创建日志流；日志组的作用类似于文件夹，其目的是方便对日志流进行分类管理。 日志流 日志流（LogStream）是日志读写的基本单位，日志组中可以创建日志流，方便对日志进一步分类管理。 日志读写以日志流为单位，您可以在写入时指定日志流，将不同类型的日志分类存储，ICAgent采集日志后，将多条日志数据进行打包，以日志流为单位发往云日志服务，日志流的读写方式可以最大限度地减少读取与写入次数，提高业务效率。 例如，您可以将不同的日志（操作日志、访问日志等）写入不同的日志流，查询日志时可以进入对应的日志流快速查看日志。

云服务备份可为多种资源提供备份保护服务，有效保障用户数据的安全性和正确性，确保业务安全。云服务备份适用于数据备份和恢复以及业务快速迁移和部署的场景。 云服务备份可为多种资源提供备份保护服务，最大限度保障用户数据的安全性和正确性，确保业务安全。云服务备份适用于数据备份和恢复以及业务快速迁移和部署的场景。 云数据备份和恢复 云服务备份在以下场景中，均可快速恢复数据，保障业务安全可靠。 受黑客攻击或病毒入侵 通过云服务备份，可立即恢复到最近一次没有受黑客攻击或病毒入侵的备份时间点。 数据被误删 通过云服务备份，可立即恢复到删除前的备份时间点，找回被删除的数据。 应用程序更新出错 通过云服务备份，可立即恢复到应用程序更新前的备份时间点，使系统正常运行。 云主机宕机 通过云服务备份，可立即恢复到宕机之前的备份时间点，使服务器能再次正常启动。 业务快速迁移&部署 为云主机创建备份，使用备份创建镜像，可快速创建与现有云主机相同配置的新云服务器，实现业务的快速部署。 详情请参考最佳实践整机镜像跨可用区迁移

访问控制日志 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航树中，选择“日志审计”。 4.选择“访问控制日志”页签，可查看近一周的访问控制情况。若需要修改指定IP访问控制的响应动作，请参照添加防护规则或添加黑/白名单。 “访问控制日志”的参数说明： 参数 说明 命中时间 访问发生的时间。 源IP 访问的源IP地址。 源国家/地区 访问源IP所属的地理位置。 源端口 访问控制的源端口。包括单个端口，或者连续端口组，中间使用“”隔开，如：80443 目的IP 访问的目的IP。 目的网址 访问的域名地址。 目的国家/地区 访问目的IP所属的地理位置。 目的端口 访问控制的目的端口。包括单个端口，或者连续端口组，中间使用“”隔开，如：80443 协议 访问控制的协议类型。 响应动作 包括观察者模式（“观察”）和拦截模式（“阻断”或“放行”）。 规则 访问控制的规则类型，包括黑名单、白名单。

本文介绍ECI实例概述。 本文主要介绍弹性容器实例ECI Pod的主要功能以及使用限制。 前提条件 已开通并授权云容器引擎。 已登录弹性容器实例控制台开通ECI服务。 Kubernetes应用限制 借助Kubernetes社区的Virtual Kubelet技术，天翼云ECI可以完美连接到Kubernetes，实现真正意义上的无缝连接。ECI实例并不会在一个集中式的真实节点上运行，而是分布在整个天翼云的资源池中。由于公共云的安全性和虚拟节点本身的限制，ECI目前还不支持Kubernetes中的一些功能，如DaemonSet。具体功能限制请参见下表： 不支持的功能 说明 HostPath 允许将宿主机（Node）上的文件或目录挂载到Pod中 HostNetWork 允许Pod使用宿主机的网络命名空间，而不是使用Kubernetes的网络隔离 DaemonSet 用于确保每个集群节点上自动运行一个指定的Pod副本 Privileged权限 允许容器几乎拥有宿主机级别的权限 typeNodePort的Service 通过在集群的节点上暴露一个静态端口，使得外部可以通过指定IP地址和该端口访问服务 核心功能 功能项 说明 安全隔离 提供虚拟机级别的安全和资源隔离能力，每个容器实例都运行在独占内核中，不与其它负载和Pod共享基础设施资源。同时针对容器运行环境进行了深度优化，具备比虚拟机更快的启动速度和运行效率 CPU/Memory资源或规格配置 ECI Pod默认使用按需计费模式进行费用收取。支持指定CPU和Memory资源或者指定ECS规格创建实例 镜像拉取与缓存 镜像拉取：ECI Pod在每次启动时，会自动从远程仓库获取容器镜像。对于公共镜像的获取，建议配置VPC的NAT网关或为ECI Pod配置弹性公网IP (EIP)。为优化镜像拉取效率，我们推荐您使用天翼云容器镜像服务，加速镜像的下载 镜像缓存：ECI提供镜像缓存功能，镜像缓存是为了加速拉取镜像以减少ECI启动时间而设计的。镜像拉取是容器实例启动的主要耗时，而制作镜像缓存可以通过预先获取、存储和管理已经拉取的镜像，实现对容器实例启动时间的显著减少。考虑到网络和镜像大小等因素的影响，构建镜像缓存可以通过连续使用相同的镜像实现快速部署，从而加速容器实例的启动并提高系统的可用性 存储 支持使用多种存储方式： CSI：CSI插件是目前Kubernetes社区推荐的插件实现方案，Serverless集群所提供的 CSI 存储插件与社区 CSI 特性兼容。该插件由以下两个组件组成：CSIPlugin：提供挂载和卸载数据卷的能力，Serverless集群默认支持云硬盘和弹性文件服务两种存储服务；CSIProvisioner：提供自动挂载数据卷的能力 PV/PVC：PV提供长期存储资源，而PVC允许用户以抽象的方式请求这些存储资源，实现存储的分配和管理 EmptyDir：该数据卷是一种用于容器实例中临时存放数据的目录，以便于容器之间共享数据。但是需要注意的是，当容器实例被删除时，EmptyDir数据卷中的数据也会被清空 网络 ECI Pod默认采用Host网络模式，并会占用交换机vSwitch的一个弹性网卡ENI资源。在Kubernetes集群环境中，ECI Pod与云主机节点上的Pod可以相互访问。具体方法如下： 创建类型为LoadBalancer的Service对象，并与ECI Pod进行关联；也支持Service同时关联ECI Pod和云主机上的Pod 创建类型为ClusterIP的Service对象，ECI Pod可以直接访问集群中的clusterIP地址 配置相应的 NAT 网关或弹性公网 EIP，并为 ECI Pod绑定指定EIP，或者将 NAT 网关绑定到 ECI 实例所属的 VPC 网络中 日志采集 通过安装日志采集服务插件，一般情况无需再额外部署sidecar容器

本节主要介绍开通云专线的操作步骤。 操作场景 用户本地数据中心的服务器需要通过公网NAT网关实现访问公网或为公网提供服务，需要先通过云专线接入虚拟私有云。 操作步骤 1. 登录控制台。 2. 在管理控制台左上角单击图标，选择区域和项目。 3. 在系统首页，单击“网络 > 云专线”。 4. 导航栏选择“云专线 > 物理专线 ”，在物理专线页面，创建物理专线。 5. 导航栏选择“云专线 > 虚拟网关 ”，在虚拟网关页面，创建虚拟网关，在“创建虚拟网关”对话框中，输入对应的参数，其中“VPC网段”建议设置为“0.0.0.0/0”。 6. 导航栏选择“云专线 > 虚拟接口 ”在控制台虚拟接口页面，创建虚拟接口，在“创建虚拟接口”对话框中，输入对应的参数。

本文介绍AOne会议服务到期与续订。 服务到期 AOne会议的基础套餐为包年包月的销售品，在资源到期前第7天、第3天、第1天会以邮件的方式向您发送资源到期提醒。在到期当天会以邮件、站内信和短信的方式再次进行通知。 服务到期后，平台将暂停向您提供服务，并冻结相关资源，冻结期15天。冻结期间，您的用户数据（包含用户组织信息、会议数据、云录制文件等）会保留15天，但无法正常访问和使用。15天后资源将被系统自动释放，所有数据将被永久清除且不可恢复。 如果您希望在服务期满后继续使用，请在到期前及时完成套餐续订。您也可以选择开通自动续订，避免服务终端。 续订规则 只有通过实名认证的客户，才可以执行续订操作。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 资源处于服务中且到期剩余时长大于7天可以设置自动续订。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2025年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 成套订购的套餐类组合产品，需整体续订，非成套订购单具有挂载关系的资源可以对单资源进行续订。 需要满足续订的规则，具体规则详见续订规则说明。

本节介绍了如何配置策略以应对CC攻击。 使用场景 CC攻击（Challenge Collapsar）是DDoS（分布式拒绝服务）的一种。CC攻击是目前应用层攻击的主要手段之一，借助代理服务器生成指向目标系统的合法请求，实现伪装和DDoS。 CC攻击就是模拟多个正常用户不停地访问需要大量数据操作的动态页面，造成服务器资源的浪费，CPU长时间处于满载，永远都有处理不完的请求，网络拥塞，正常访问被中止。 这种攻击技术性含量较高，通常不会出现特别大的异常流量，但服务器就是无法进行正常连接。 配置前提 套餐生效且域名为“已启用”状态，否则无法进行防护配置。 配置思路 梳理项 配置建议 域名每天的请求峰值情况 根据域名每天的请求峰值情况，配置防护模式。防护模式包括阈值模式和永久模式两种。 阈值模式（推荐）：当请求触发检测条件后，对请求进行CC防护验证；若未达到阈值，则不进行验证，业务影响风险小。 永久模式：对每个请求进行CC防护验证，适用于不清楚域名请求峰值的场景或需要严格校验的场景。 业务影响风险评估 若您的业务中存在APP客户端、H5客户端等非PC端网站访问的场景，这类请求可能无法通过CC防护验证从未被丢弃，导致正常的请求受影响。 建议您可以提交工单获得技术支持对这类业务进行非生产环境的验证，若有影响则可以通过技术支持对这类业务添加例外。

操作步骤 1.在FusionInsight Manager，选择 “运维 > 备份恢复 > 备份管理”。 2.在任务列表指定任务的“操作”列，选择“更多 > 查询历史”，打开备份任务执行历史记录。 在弹出的窗口中，在指定一次执行成功记录的“备份路径”列，单击“查看”，打开此次任务执行的备份路径信息，查找以下信息： “备份对象”表示备份的数据源。 “备份路径”表示备份文件保存的完整路径。 选择正确的项目，在“备份路径”手工选中备份文件的完整路径并复制。 3.在FusionInsight Manager，选择“运维 > 备份恢复 > 恢复管理”。 4.单击“创建”。 5.在“任务名称”填写恢复任务的名称。 6.在“恢复对象”选择待操作的集群。 7.在“恢复配置”，勾选“元数据和其他数据”下的“HBase”。 说明 若安装了多个HBase服务，请勾选需要恢复的HBase服务名称。 8。在“HBase”的“路径类型”，选择一个备份目录的类型。 选择不同的备份目录时，对应设置如下： “LocalDir”：表示备份文件保存在主管理节点的本地磁盘上。 选择此参数值，还需要配置“源端路径”，表示要恢复的备份文件。例如，“ 版本号数据源任务执行时间.tar.gz ”。 “RemoteHDFS”：表示备份文件保存在备集群的HDFS目录。 选择此参数值，还需要配置以下参数： “源端NameService名称”：填写备份数据集群的NameService名称。可以输入集群内置的远端集群的NameService名称：haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4；也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “源端NameNode IP地址”：填写备集群NameNode业务平面IP地址，支持主节点或备节点。 “源端路径”：填写备集群保存备份数据的完整HDFS路径。例如，“ 备份路径/备份任务名数据源任务创建时间/版本号数据源任务执行时间.tar.gz ”。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。需和集群中已存在且状态正常的队列名称相同。 “NFS”：表示将备份文件通过NFS协议保存在NAS中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “源端路径”：填写备份文件在NAS服务器中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间/版本号数据源任务执行时间.tar.gz ”。 “CIFS”：表示备份文件通过CIFS协议保存在NAS中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “源端路径”：填写备份文件在NAS服务器中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间/版本号数据源任务执行时间.tar.gz ”。 “SFTP”：表示备份文件通过SFTP协议保存在服务器中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写备份数据的服务器IP地址。 “端口号”：填写SFTP协议连接备份服务器使用的端口号，默认值为“22”。 “用户名”：填写使用SFTP协议连接服务器时的用户名。 “密码”：填写使用SFTP协议连接服务器时的密码。 “源端路径”：填写备份文件在备份服务器中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间/版本号数据源任务执行时间.tar.gz ”。 “OBS”：表示将备份文件保存在OBS中。 选择此参数值，还需要配置以下参数： “源端路径”：填写备份文件在OBS中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间/版本号数据源任务执行时间.tar.gz ”。 说明 MRS 3.1.0及之后版本才支持将备份文件保存到OBS。 9.单击“确定”保存。 10.在恢复任务列表已创建任务的“操作”列，单击“执行”，开始执行恢复任务。 恢复成功后进度显示为绿色。 恢复成功后此恢复任务不支持再次执行。 如果恢复任务在第一次执行时由于某些原因未执行成功，在排除错误原因后单击“重试”，重试恢复任务。