参数 描述 虚拟私有云 TaurusDB数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如果没有可选的虚拟私有云，TaurusDB数据库服务默认为您分配资源。 内网安全组 内网安全组限制实例的安全访问规则，加强TaurusDB数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。如果不创建内网安全组或没有可选的内网安全组，TaurusDB数据库服务默认为您分配内网安全组资源。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建TaurusDB实例的子网默认开启DHCP功能，不可关闭。 创建实例时TaurusDB会自动配置内网地址。创建实例时支持选择IPv6子网。选择IPv6子网后，实例的数据浮动IP地址将绑定IPv6地址，连接数据库时也可使用IPv6地址进行连接。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 IPv6实例的约束限制：创建实例所选规格需要支持IPv6；创建实例所选的可用区支持IPv6。

本文介绍视频试看的适应场景及使用说明。 功能介绍 视频点播网站或应用，除免费视频外，通常还会有一些精品付费视频。为吸引用户观看，网站往往会允许用户免费试看一定时间的内容，例如60s或是更短时间。使用CDN加速后，视频网站仍可通过CDN节点来实现视频试看功能。 天翼云CDN加速产品支持MP4、FLV以及TS文件的试看功能，用户可通过在客户端发起形如： 适用场景 需支持视频试看功能的视频点播网站或应用。 注意事项 1. MP4、FLV文件的试看功能，可通过在请求URL中携带视频拖拉参数中的结尾参数来实现，详情请见：视频拖拉。 2. 支持TS文件的试看功能，试看参数支持自定义。例如，可自定义试看参数为“shikan”，则当用户发起如下请求时： 使用说明 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请您提供如下信息： 参数 说明 示例 试看参数 URL请求中用于指示试看时间的参数。 shikan。例如： 试看冗余时间 因TS试看时间所在字节位置为估算值，故为确保用户能得到预期的试看效果，CDN节点可在预期试看时间基础上增加n秒的冗余。 2，单位为秒。表示预期试看冗余为2秒，即用户携带试看请求参数为30时，例如：

操作场景 用户将健康检查规则与静态路由取消关联。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成SDWAN实例、智能网关实例的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关的实例名称，进入详情页。 5. 在详情页，单击“静态路由”，单击目标静态路由操作列的“取消关联健康检查规则”。 6. 根据页面提示，选择要取消关联的健康检查规则。 7. 单击“确定”，完成健康检查规则与静态路由取消关联。 设置健康检查规则周期 操作场景 用户修改健康检查探测周期配置。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成SDWAN实例、智能网关实例的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关的实例名称，进入详情页。 5. 在详情页，单击“健康检查> 设置健康检查规则周期” 6. 根据页面提示，填写健康检查规则探测周期参数。 7. 单击“确定”，完成健康检查规则周期配置。 参数 说明 :: 探测间隔 数据包的发送时间间隔。 探测IP 数据包的发送个数。

本页介绍了如何查看关系数据库MySQL版的错误日志。 操作场景 关系数据库MySQL版服务的错误日志功能支持查看数据库级别的日志，包括数据库运行时产生的错误和告警信息（Error和Warning级别），您可以通过错误日志分析系统中存在的问题。 约束限制 目前支持查询并保存七天内的错误日志明细。 下载错误日志仅支持备份类型为对象存储的情况。使用公网链接下载时会产生流量费用，具体资费参考备份。使用内网链接下载需到云主机使用，只需将链接复制，然后在云主机上使用wget ' 注意事项 错误日志采集频率为每小时，如果执行迁移可用区会导致该时间段的日志丢失。 如果有短时间内有太多重复日志，将进行抽样采集，比如Too many connections。 如果每次采集间隔内（1小时）有超过1w条记录，将只采集前1w条记录。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击日志管理 ，进入错误日志页签。 5. 在错误日志列表中，查看错误日志的详细信息。 您可以根据实际需要选择时间区域，查看不同时间段内的错误日志。 对于无法完全显示的描述信息，鼠标悬停即可查看完整信息。 6. 单击下载，获取错误日志下载链接。 获取到下载链接后，您可以直接单击下载或复制链接到浏览器进行下载。 注意 临时下载地址链接有效时间为1小时。

参数 参数说明 插件规格 根据业务需求，选择插件的规格，包含如下选项： 演示规格（100容器以内）：适用于体验和功能演示环境，该规模下prometheus占用资源较少，但处理能力有限。建议在集群内容器数目不超过100时使用。 小规格（2000容器以内）：建议在集群中的容器数目不超过2000时使用。 中规格（5000容器以内）：建议在集群中的容器数目不超过5000时使用。 大规格（超过5000容器）：建议集群中容器数目超过5000时使用此规格。 实例数 选择上方插件规格后，显示插件中的实例数，此处仅作显示。 容器 选择插件规格后，显示插件容器的CPU和内存配额，此处仅作显示。 监控数据保留期 自定义监控数据需要保留的天数，默认为15天。 存储 按照界面提示配置如下参数： 类型：支持云硬盘。 可用区：请根据业务需要进行选择。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 子类型：支持普通IO、高IO和超高IO三种类型。 容量：请根据业务需要输入存储容量，默认10G。 说明： 若命名空间monitoring下已存在pvc，将使用此存储作为存储源。

接口功能介绍 该接口供用户查询其所属专属云的统计信息的功能 准备工作：   构造请求：在调用前需要了解如何构造请求，详情查看构造请求   认证鉴权：openapi请求需要进行加密调用，详细查看认证鉴权 接口约束 无 URI GET /v4/dec/statisticsdec 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID，您可以调用regionID查看最新的天翼云资源池列表 ef901a5734964ce29eedac918c4716a3 azName 否 String 可用区名称，您可以调用获取资源池信息，查询结果中zoneList内返回存在可用区名称(即多可用区，本字段填写实际可用区名称)，若查询结果中zoneList为空(即为单可用区，本字段填写default) az2 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码(800为成功，900为失败) 800 errorCode String 业务细分码，为product.module.code三段式码，详见错误码说明 Openapi.PatternCheck.NotValid message String 英文描述信息 SUCCESS description String 中文描述信息 成功 returnObj Object 成功时返回的数据 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 totalmemorymb Float 总内存大小 1542613.9296875 vcpusused Integer 已用vcpu数量 203 totalvms Integer 总云主机数量 25 host Integer 宿主机数量 3 memorymbfree Float 可用内存 1035733.9296875 memorymbused Float 已用内存 506880.0 vcpusfree Integer 可用vcpu数量 53 totalvcpus Integer 总vcpu数量 256

本页介绍天翼云TeleDB数据库安全认证相关参数。 authenticationtimeout (integer) 完成客户端认证的最长时间，以秒计。如果一个客户端没有在这段时间里完成认证协议，服务器将关闭连接。这样就避免了出问题的客户端无限制地占有一个连接。默认值是1分钟（1m）。这个参数只能在服务器命令行上或者在postgresql.conf文件中设置。 ssl (boolean) 启用SSL连接。这个选项只能在postgresql.conf文件或服务器命令行上设置。默认是off。 sslcafile (string) 指定包含SSL 服务器证书颁发机构（CA）的文件名。 相对路径是相对于数据目录。该参数只能在postgresql.conf 文件或服务器命令行上设置。默认值为空，表示不载入 CA 文件， 并且不执行客户端证书验证。 sslcertfile (string) 指定包含SSL 服务器证书的文件名。相对路径是相对于数据目录的。 这个参数只能在postgresql.conf文件或服务器命令行上设置。 默认值是server.crt。 sslcrlfile (string) 指定包含SSL 服务器证书撤销列表（CRL）的文件名。 相对路径是相对于数据目录。这个参数只能在postgresql.conf 文件中或服务器命令行上设置。默认值为空，意味着不载入 CRL 文件。相对路径是相对于数据目录。这个参数只能在服务器启动时设置。 sslkeyfile (string) 指定包含SSL 服务器私钥的文件名。 相对路径是相对于数据目录。这个参数只能在postgresql.conf 文件中或服务器命令行上设置。默认值为server.key。 sslciphers (string) 指定一个SSL密码列表，用于安全连接。 这个设置的语法和所支持的值列表可以 参见OpenSSL包中的 ciphers手册页。 这个参数只能在postgresql.conf 文件中或服务器命令行上设置。默认值是 HIGH:MEDIUM:+3DES:!aNULL。默认值通常是合理的选择， 除非你有特别的安全性需求。默认值的解释：HIGH使用来自HIGH组的密码的密码组（例如 AES, Camellia, 3DES）MEDIUM使用来自MEDIUM组的密码的密码组（例如 RC4, SEED）+3DESOpenSSL 对HIGH的默认排序是有问题的，因为它认为 3DES 比 AES128 更高。这是错误的，因为 3DES 提供的安全性比 AES128 低，并且它也更加慢。 +3DES把它重新排序在所有其他HIGH和 MEDIUM密码之后。!aNULL禁用不做认证的匿名密码组。这类密码组容易收到中间人攻击，因此不应被使用。可用的密码组细节可能会随着 OpenSSL 版本变化。可使用命令 openssl ciphers v 'HIGH:MEDIUM:+3DES:!aNULL'来查看 当前安装的OpenSSL版本的实际细节。注意这个列表是根据服务器密钥类型 在运行时过滤过的。

步骤 3 购买和加入共享带宽 默认IPv6地址只具备私网通信能力，如果您需要通过该IPv6地址访问Internet或被Internet上的IPv6客户端访问，您需要购买和绑定共享带宽。如您已有共享带宽，可以不用重新购买，直接将IPv6地址加入共享带宽即可。 在虚拟私有云 VPC中左侧导航栏，选择“弹性IP > 共享带宽”。 在共享带宽列表页，单击操作列的“添加公网IP”。 将IPv6地址加入共享带宽，单击“确定”。 结果验证，登录到ECS实例，ping一个公网上的IPv6服务，验证连通性。例如：ping6 ipv6.ctyun.cn。

本文为您介绍如何将网站域名接入Web应用防火墙（原生版）实例。 使用CNAME接入方式接入云WAF前，先要添加需要防护的域名。本文介绍如何将要防护的域名添加到云WAF。 前提条件 已购买WAF云SaaS型实例，且当前实例支持接入的域名数量未超过限制。 您必须先为域名完成ICP备案，才可以将网站接入WAF进行防护。如何备案请参见新增备案。 说明 根据《非经营性互联网信息服务备案管理办法》第五条规定：在中华人民共和国境内提供非经营性互联网信息服务，应当依法履行备案手续。未经备案，不得在中华人民共和国境内从事非经营性互联网信息服务。本办法所称在中华人民共和国境内提供非经营性互联网信息服务，是指在中华人民共和国境内的组织或个人利用通过互联网域名访问的网站或者利用仅能通过互联网IP地址访问的网站，提供非经营性互联网信息服务。第十九条规定：互联网接入服务提供者应当记录其接入的非经营性互联网信息服务提供者的备案信息。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到云WAF控制台，在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 点击“添加防护对象”进入防护对象信息配置页，依次配置“防护对象”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。 配置项说明如下： 配置项 说明 防护对象 填写网站域名，可添加精确域名和泛域名： 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 添加的域名必须通过工信部ICP备案，若未备案则无法添加。 防护对象名称 自定义防护网站的显示名称。 服务器配置 单击“添加一个服务器端口组”，弹出新增服务器端口组窗口。 选择网站使用的协议类型以及对应的转发服务端口： 协议类型：HTTP/HTTPS。 端口：选中协议后，系统会对应设置默认端口，HTTP协议默认为80端口，HTTPS协议默认为443端口。 用户也可自定义选择其他端口，可选类型： 标准端口：80、8080；443、8443。 非标端口：除以上标准端口以外的端口。 说明 如果防护域名使用非标准端口，请查看WAF支持的端口。 WAF通过此处添加的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口，WAF不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。 源站地址：设置网站的源站服务器地址，支持IP地址格式和域名（如CNAME）格式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下： IP地址格式：填写源站的公网IP地址。需要为公网可达的IP地址。 最多支持添加40个源站IP或服务器域名。 支持同时配置IPv4和IPv6地址。 域名格式：一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时， WAF会将客户端请求转发到回源域名解析出来的IP地址。 权重：当负载均衡算法为“加权轮询”时生效，所有请求将此处配置的权重轮流分配给源站服务器，权重越大，回源到该源站的几率越高。 不输入则视同为最低权重1。 当输入值为0时，业务不会回源到该站点。 取值范围：0~100的正整数。 说明 当健康检查发现站点出现问题时，剩余站点将按照剩余配置权重进行动态比例变化后的结果进行回源转发，节点回源请求比例节点权重/所有权重之和。 若设置多个权重为0的节点，仅会回源至列表上第一个权重为0的节点。 所有站点全部健康检查失败，会强制回配置列表第一个节点。 合规认证 选择是否开启PCI DSS和PCI 3DS合规认证。 PCI DSS合规认证说明如下：开启PCI DSS合规认证后，您将不能修改 TLS 最低版本和加密套件，最低 TLS 版本将设置为“TLS v1.2及以上”，加密套件设置为指定范围。如果您需要修改 TLS 最低版本和加密套件，请关闭该认证。 PCI 3DS合规认证说明如下：开启 PCI 3DS 合规认证后，您将不能修改 TLS 最低版本，且最低 TLS 版本将设置为“TLS v1.2及以上”，并且您将不能关闭该认证，请根据业务实际需求进行操作。开启该认证后，该域名将不支持添加 HTTP 协议的协议端口接入。 说明 当“服务器配置协议端口”配置仅为“HTTPS”时，才支持配置 PCI DSS/3DS 合规。 证书配置 若选择HTTPS协议，还需要上传证书，且证书必须正确、有效，才能保证WAF正常防护网站的HTTPS协议访问请求。 1. 点击“上传证书”，进入服务器端证书配置页面。 2. 选择证书类型，支持“通用证书”和“国密证书”。 3. 配置证书。支持证书选择、手动填写、文件上传方式： 证书选择：如您使用了证书管理服务，可通过下拉框选择已有证书。 手动填写：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。 文件上传：填写证书名称，点击“上传”，将与域名关联的证书文件和私钥文件上传至平台中。 说明 手动填写需要将证书和私钥的PEM编码内容填入。 上传证书时，如果证书是.PEM/.CER/.CRT的后缀，可以直接上传；私钥文件若为.KEY/.PEM的后缀，请确保内容格式为PME编码，即可上传。 高级设置 > HTTP强制跳转 选择HTTPS后，还支持启用HTTP强制跳转功能。 HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求，默认跳转到443端口。 如果您需要强制客户端使用HTTPS请求访问网站以提高安全性，则开启该设置。 说明 只有在未选中HTTP协议时，支持开启该设置。 请确保网站支持HTTPS业务再开启该设置。开启该设置后，部分浏览器将被强制设置为使用HTTPS请求访问网站。 高级设置 > TLS协议版本和加密套件 选择证书后，需要配置TLS协议版本和加密套件。WAF默认配置的TLS协议版本为“TLS1.0及以上版本”，加密套件为“全部加密套件”。 TLS协议版本 配置说明如下，为了确保网站安全，请根据业务实际需求进行配置： 支持TLS1.0及以上版本：所有的TLS协议都可以访问网站，兼容性最高，适用于网站无安全性要求的场景。 支持TLS1.1及以上版本：WAF将自动拦截TLS1.0协议的访问请求，适用于网站安全性能要求一般的场景。 支持TLS1.2及以上版本：WAF将自动拦截TLS1.0和TLS1.1协议的访问请求，适用于网站安全性能要求很高的场景。 自定义加密协议：WAF只允许所选TLS协议访问网站。 加密套件 配置说明： 全部加密套件：兼容性较高，安全性较低。 协议版本的自定义加密套件：请谨慎选择，避免影响业务。 WAF支持的加密套件及TLS协议版本详细信息请参见WAF支持的加密套件。 高级设置 > SSL解析方式 选择HTTPS后，支持配置SSL解析方式。支持“单向认证”和“双向认证”。 说明 国密证书暂不支持双向认证。 健康检查 开启健康检查将自动移除对失效源站的转发策略，当失效源站恢复健康后将重新加入转发列表。 开启后，还需配置健康检查策略。 说明 当针对源站健康检查失败时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，直至该源站恢复健康。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。 IPv6 WAF默认只处理IPv4请求流量。如果需要支持IPv6请求，请开启该功能。 ：开启IPv6功能，支持将IPv6请求流量接入WAF进行防护。 注意 功能开启并完成域名接入后无法修改，如需关闭IPv6请求防护，需要重新接入域名。 ：不开启IPv6功能，仅防护IPv4请求流量。 代理情况 选择网站业务在接入WAF前是否开启了其他代理服务（例如DDoS高防、CDN等），按实际情况选择： 否：表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。 是：表示WAF收到的业务请求来自其他代理服务转发，而非直接来自发起请求的客户端。 为了保证WAF可以获取真实的客户端IP进行安全分析，需要进一步设置源IP获取方式。 源IP获取方式：系统默认设置为“从Socket连接中获取”，您也可按实际情况，创建一个有序的判定列表，系统将从列表的第一项开始查找，若不存在或者是非法的IP格式，则尝试下一条。 其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则，可选项如下： 从Socket连接中获取 从XFowardedFor连接中获取倒数第x层代理 从HTTP头“XClientIP”中获取 负载均衡策略 当设置了多个源站服务器地址时，需设置多源站服务器间的负载均衡算法。可选项如下： 轮询：将所有请求轮流分配给不同的源站服务器。 IP Hash：将来自同一个IP的请求定向分配给同一个源站服务器。 加权轮询：根据同一组回源地址内配置的权重进行加权回源，权重越大，回源到该源站的几率越高。 设置生效后，WAF将根据设置的负载均衡算法向多个源站地址分发回源请求，实现负载均衡。 流量标记 开启流量标记功能，WAF在转发客户端请求到源站服务器时，通过在回源请求头部添加标记字段，标记该请求经过WAF转发，可以帮助源站判断请求来源。 如果请求中存在指定标记字段，则为WAF检测后的正常请求，放行该请求；如果请求中不存在指定标记字段，则为攻击者请求，拦截该请求。 单击“添加一个标记”，添加流量标记。最多支持添加5个标记字段。 支持如下标记类型： 自定义请求Header，配置自定义Header名、Header值。 自定义响应Header，配置自定义Header名、Header值。 客户端真实IP，配置客户端真实IP所在的HTTP Header名。 客户端真实源端口，配置客户端真实源端口所在的HTTP Header名。 注意 请勿填写标准的HTTP头部字段，否则会导致标准头部字段内容被自定义的字段值覆盖。 回源长连接 功能开启后，支持回源长连接功能。 开启“回源长连接”后，还需配置“空闲连接超时时间”，默认值为10秒，最多支持60秒。 说明 标准版最多支持1000个回源长连接，企业版、旗舰版最多支持6000个回源长连接。 功能关闭后，将不支持WebSocket。 超时配置 开启超时配置，可以配置如下超时时间： 连接超时时间：WAF转发客户端请求时，与源站建立连接的超时时间。 读连接超时时间：WAF等待源站响应的超时时间。 写连接超时时间：WAF向源站发送请求的超时时间。 以上默认值均为60秒，最短支持10秒，最长支持1200秒。 6. 本地验证。 根据页面提示，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常。更多信息，请参见本地验证。 7. 修改DNS解析。 根据页面提示修改域名的DNS解析，将网站域名解析到WAF进行防护，完成后单击“下一步”。更多信息，请参见修改域名DNS。 8. 添加完成。 根据页面提示设置放行WAF回源IP段，完成后单击“完成，返回防护对象列表”，返回域名接入页面。更多信息，请参见放行WAF回源IP段。 9. 域名添加完成后，该域名WAF防护开关默认开启。

步骤二：添加后端主机组 添加处理前端请求的后端主机组。 1. 设置后端主机组名称。 2. 选择后端主机类型，仅可选云主机。 3. 从主机列表中选择可添加的云主机，然后点击“下一步”，即完成后端云主机的添加。 步骤三：参考HTTP监听器负载方式&健康检查配置说明, 完成负载方式和健康检查配置。 完成步骤三后，点击“立即创建”，完成HTTP监听器创建。 HTTP监听器负载方式&健康检查配置说明 负载方式&健康检查配置 说明 负载方式 从下拉列表框选择负载方式轮询算法：请求以轮询的方式依次分发给各后端主机，加权轮询对权重高的主机会获得更多的轮询次数；最小连接算法：动态调度算法，通过主机当前活跃的连接数来评估主机的负载情况，负载均衡将请求分发给活跃连接数最小的后端主机。加权最小连接数会结合权重分配后端主机； 会话保持 选择是否开启会话保持。开启会话保持后，负载均衡监听器会把来自同一客户端的访问请求分发到同一台后端主机上。 会话保持方式 集群模式资源池HTTP协议的会话保持方式支持如下重写Cookie/植入Cookie。植入Cookie：客户端首次访问时，负载均衡在返回请求中植入Cookie（即在HTTP或HTTPS响应报文中插入ServerID），下次客户端携带此Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机上。植入Cookie需要指定会话保持时间。重写Cookie：负载均衡对用户自定义的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机；选择植入Cookie时，可设置会话保持超时时间。缺省3600s。选择重写Cookie，负载均衡发现用户自定义的Cookie，对原来的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡服务将请求定向转发给之前记录到的后端主机。重写Cookie方式该Cookie的会话保持时间由后端主机维护。 健康检查 开启健康检查，负载均衡对后端主机的服务状态进行探测。负载均衡将不会分发流量给服务异常的主机。 健康检查类型 可选HTTP或TCP。 间隔时间 健康检查的检查间隔，缺省5s 超时时间 健康检查超时时间，缺省2s 最大重试次数 健康检查的重试次数，缺省2，连续检查失败达到重试次数，则判断健康检查失败。 检查路径 可设置HTTP健康检查的路径，长度范围1~80 以‘/’开头，可包含数字、大小写字母或‘/’,路径中可包含‘’ ‘’ ‘.’ ‘’。 HTTP方法 可选GET或HEAD。 WebSocket支持 选用HTTP监听时，默认支持无加密版本WebSocket协议（WS协议）。仅集群资源池支持，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 HTTP状态码 选择HTTP健康检查范围的状态码，可选http2xx，http3xx，http4xx，http5xx。

本节主要介绍使用Windows客户端怎么挂载云存储网关的卷。 准备客户端操作系统 注意 一个iSCSI Target只能被一个iSCSI initiator连接。一个客户端可以挂载多个卷，但是一个卷只能被挂载在一个客户端。 单机版 推荐使用Win10、Windows server 2012R2、Windows server 2016R2等高版本的Windows操作系统，这些系统中自带了“iSCSI发起程序”，无需单独安装组件。 不同版本的客户端支持存储卷容量不同，请参考下表： Windows 版本 Block Size 单卷最大容量 ::: Windows Server 2008R2 512 bytes / 4KiB 256 TiB Windows Server 2012R2 512 bytes / 4KiB 256 TiB Windows Server 2016 512 bytes / 4KiB 256 TiB Windows 10 512 bytes / 4KiB 1 PiB 集群版 Microsoft在Server 2008、2012、2016中提供了通用的DSM（Device Specific Module)，支持ALUA（Asymmetric Logical Unit Access），可与符合SPC（SCSI Primary Commands）规范的存储设备配置MPIO（MultiPath I/O）环境。MPIO保障了Active Target、Standby Target在进行切换时不会影响业务正常运行。因此，建议使用Microsoft Server 2008、2012、2016作为云存储网关的客户端使用，并且配置MPIO。Windows 7、8、10不支持MPIO，不建议使用此系统作为云存储网关客户端。 安装Native MPIO软件 Windows Server 2008 R2下如何操作： 1. 打开“服务器管理”。 2. 选择“功能”，打开添加功能。 3. 点击“下一步”选择“多路径I/O安装”。 4. 重启Windows。 Windows Server 2012或2016下如何操作： 1. 打开“服务器管理器”，选择“添加角色和功能”。 2. 点击“下一步”，在功能步骤中勾选“多路径I/O”。 3. 点击“下一步”，勾选如果需要，自动重新启动目标服务器。 4. 安装，点击“关闭”。

本节主要介绍如何使用API挂起卷。 此操作用来挂起HBlock上云卷。 挂起卷适用于“多集群轮流写入同一上云卷”的场景，例如：A集群把卷挂起后，B集群立即原地还原并写入新数据；待B集群再次挂起，A集群恢复卷即可直接看到B集群的最新写入，实现“一写一挂、交替接管”。 注意 挂起后将立即冻结该卷的所有读写请求。请确保卷的所有数据已持久化，即如果卷已经被客户端挂载，需确保客户端的数据都已经同步到卷上。恢复前，依赖此卷的业务将不可用。 卷在挂起状态下，仅允许挂起、修改卷配置、修改上云配置、恢复、删除、查询。 卷处于Suspended、Suspending、SuspendFailed状态时，不支持读写。 挂起卷前须先logout断开客户端连接，否则在卷状态恢复Normal前将无法断开客户端连接。 仅卷处于Normal、Suspended、Suspending、SuspendFailed状态时，才可以执行此操作。 请求语法 plaintext PUT /rest/v1/block/lun/lunName/suspend HTTP/1.1 Date: date ContentLength: length Host: ip:port Authorization:authorization { "force": force } 请求参数 参数 类型 描述 是否必须 lunName String 指定需要挂起卷的名称。 取值：长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 是 force Boolean 是否强制挂起卷。 注意 强制挂起卷，会产生本地数据未被上传到云端的风险，请谨慎操作。 取值： true：强制挂起卷。 false：不强制挂起卷。 默认值为false。 否

本文介绍弹性文件服务安全监控告警方面的内容。 云监控服务是天翼云针对云网资源的一项监控服务，弹性文件通过云监控服务提供监控和告警能力。通过查看文件系统的监控数据，您可以了解到文件系统的使用情况。通过设置告警规则可以监控文件系统实例异常情况，保障业务正常进行。 关于弹性文件服务支持的监控指标，以及如何创建监控告警规则等内容，请参见监控。

本文为您介绍天翼云SDWAN设备互联相关信息。 通常情况下，绑定天翼云SDWAN的智能网关需要配置设备互联后方可互通。如果设备是在同一个POP激活的，则默认互通。 支持中国内地设备之间、中国内地设备和非中国内地设备之间建立互联关系。 添加设备互联 操作场景 用户添加设备互联。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“天翼云SDWAN”，单击目标SDWAN名称； 3. 单击“设备互联 >添加设备互联”; 4. 根据页面提示，选择要建立互联关系的两个智能网关； 5. 单击“确定”，完成在两个智能网关设备之间建联。 删除设备互联 操作场景 用户删除两台设备之间的互联关系。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“天翼云SDWAN”，单击目标SDWAN名称； 3. 单击“设备互联”，然后单击目标互联关系“操作”列的“删除”； 4. 单击“确定”，完成设备互联关系删除。 说明： 支持批量删除，勾选待删除的设备互联关系，单击列表上方的“删除”，然后单击弹出框的“确定”，即可删除选中的所有设备互联关系。

本节为您介绍管理应用识别DPI的操作场景、前提条件、操作步骤。 操作场景 用户可以在监控平台查看自定义应用的流量访问情况。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云SDWAN实例、智能网关的创建与配置，且智能网关已绑定SDWAN。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关名称。 5. 单击“自定义应用”页签，然后开启“DPI功能”。 6. 单击“查看监控项”。 7. 可跳转至管理与部署控制台，查看应用监控。

产品类型 GeminiDB Influx 产品 GeminiDB Influx存储 计费模式 按需 消费时间 2023/04/08 10:09:06 ~ 2023/04/08 12:09:06时段计费系统将生成6笔流水账单，对应每一个计费周期，分别如下： 2023/04/08 10:09:06 ~ 2023/04/08 11:00:00 2023/04/08 11:00:00 ~ 2023/04/08 12:00:00 2023/04/08 12:00:00 ~ 2023/04/08 12:09:06 官网价 官网价使用量 单价 容量本例中，在第一个计费周期内GeminiDB Influx的使用量为3054秒，单价可在云数据库 GeminiDB价格详情中查询，以0.00378元/GB/小时为例，容量为40GB，那么官网价(3054 ÷ 3600) 0.00378 40 0.128262 元。同理，您可以计算剩余计费周期内资源的官网价。 优惠金额 用户使用云服务享受折扣优惠如商务折扣、伙伴授予折扣以及促销优惠等减免的金额。基于官网价的优惠金额。 抹零金额 天翼云产品定价精度为小数点后8位（单位：元），因此在计费过程中会产生小数点后8位的资源使用费用。而在实际扣费时，仅扣除到小数点后2位，小数点后第3位到第8位部分金额会被舍弃，这种舍弃部分的金额称作抹零金额。以第一个计费周期为例，抹零金额为：0.008268 元 应付金额 应付金额官网价优惠金额抹零金额以第一个计费周期为例，假设优惠金额为0，那么应付金额0.128262 0 0.008262 0.12 元。

本节介绍云容器引擎的最佳实践:使用等保加固版本CTyunOS镜像。 云容器引擎提供了CTyunOS的等保2.0标准三级版操作系统镜像，该版本操作系统镜像实现了国家信息安全部发布的《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分三级安全要求，其中主要安全加固模块有：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范。用户可以为节点池的工作节点选择实现了等保加固的CTyunOS操作系统。 使用方式 开通新集群在节点池订购页面选择CTyunOS加固版操作系统镜像。 新建节点池选择CTyunOS加固版操作系统镜像并扩容。 升级节点池功能中勾选更换操作系统并选择加固版操作系统镜像。 使用须知 CTyunOS等保加固版本镜像实现了《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分第三级安全要求，但这并不代表该加固版操作系统一定能通过第三方的操作系统等保加固标准测试，相关通过标准和风险需要用户自行评估。 如需禁用root通过ssh登录并创建管理员账号进行系统管理请用户运行/root/extraenhance.py文件按指引执行。 部分未执行的加固项需要用户根据实际需求自行完成，详细见/root/extraenhance.py文件输出。 虽然等保加固版本的操作系统在性能上与普通版本的操作系统没有显著差距，但是加固项的引入会增加后期用户的维护成本（如密码管理、文件权限管理、日志审计等），因此，如无特殊需要仍建议用户使用普通版本CTyunOS镜像。 CTyunOS等保加固版本镜像对账户密码做了一定的限制，用户在使用过程中需要根据这些限制留意密码的管理和维护，其中包括： 1、密码有效期为90天，密码到期后需要进行密码重置以更新密码的有效期。 2、密码长度至少为8位，并且至少包含一个大写字母、一个小写字母、一个特殊字符以及一个数字字符，在云主机控制台进行密码重置时务必确认输入的密码符合该要求，否则密码重置会失败，如密码test@2025会重置失败，而Test@2025可以重置成功。 3、密码重用次数最大为五次，重用次数超过五次将导致密码重置失败。 4、输入密码错误次数超过五次时将锁定账户禁止登录，锁定时长为900秒。

本节介绍网络的用户指南:Service概述 Pod地址可变性 Pod销毁重建后，其IP地址也会变化，例如deployment工作负载升级时，新建的pod地址会改变。Kubernetes的Service可提供一个固定的IP地址（来自订购集群时配置的服务网段）和Service域名，结合标签选择器，对一组pod做负载均衡。客户端可通过该地址或域名访问IP地址可变的pod。如下图所示，nginx部署的前端服务，通过service地址访问后端服务. Service类型 Service支持如下类型： 1. ClusterIP：Service默认类型，用于集群内应用间访问，客户端可通过ClusterIP或内部Service域名访问后端Pod； 2. NodePort：用于集群外部访问集群内服务，将Service通过集群节点固定端口暴露，集群外部可通过任一集群节点IP和该固定端口来访问Serivce； 3. LoadBalancer：用于集群外部访问集群内服务，通过LoadBalancer实例访问NodePort或直通Pod，相对于NodePort方式，有更高的可用性和性能； 4. Headless：该类Service没有IP地址，可用于DNS负载均衡场景，客户端访问Service域名时会通过DNS返回该Service所有后端Pod的IP地址； 5. ExternalName：将集群外部域名映射到集群内部Service上，使得集群内可通过Service名访问外部域名。 Service创建 登录云容器引擎控制台，进入指定集群，选择服务（Service）>创建，按需配置信息即可。

本节介绍了备份恢复相关问题与处理方法。 mysqldump导数据报错权限不足 场景描述 mysqldump使用指定用户导出数据库数据时，报错：'Access denied; you need (at least one of) the PROCESS privilege(s) 原因分析 mysqldump使用指定用户导出数据时，需要赋予PROCESS权限。 解决方案 使用管理员帐户给相应用户授予PROCESS权限。 GRANT SELECT，PROCESS ON . TO ‘dumpuser’@’%’; FLUSH PRIVILEGES; 使用mysqlbinlog工具获取binlog 本节介绍了获取binlog方法。 本文以从弹性云主机ECS上拉取为例，其他环境下方法类似。 1. 在ECS上安装MySQL客户端，详情请参考安装MySQL客户端。 说明 TaurusDB兼容社区MySQL 8.0及以上版本，请勿安装8.0以下版本的版本的客户端。 2. 执行命令，下载binlog文件。 mysqlbinlog hxxx uxxx Pxxx pxxx binlog.xxxx readfromremoteserver mysqlbinlog的常用参数： h：数据库host。 u：用户名。 P：端口号。 p：密码。 startposition：表示从指定的起始位置开始解析。 startdatetime：表示从指定的时间开始解析。 stopposition：表示解析到指定的位置。 stopdatetime：表示解析到指定的时间。 skipgtids：跳过打印gtidlogevent。 shortform：表示只显示statements。 resultfile：将binlog解析生成sql文件。 readfromremoteserver：远程下载binlog(用于mysqlbinlog与数据库服务端不再同一台机器的情况)。 canal解析binlog报错

介绍分布式消息服务Kafka的数据保护技术 天翼云分布式消息服务Kafka通过多种数据保护手段和措施，保障您在Kafka实例上的数据的安全性。 容灾 根据数据和服务的不同可靠性需求，您有多种选择。您可以选择在一个可用区（即单个机房）内部署Kafka实例，或者选择跨多个可用区（即同城灾备）进行部署。目前跨可用区在华东1、华南2支持跨可用区部署。具体请参考容灾策略。 副本冗余 通过配置适当数量的副本和分布在不同的节点上，Kafka可以提供高可用性和数据冗余，以保护数据免受节点故障的影响。同时，副本机制还可以提高读取性能，因为客户端可以从就近的副本中读取数据，而不必从远程节点获取数据。 数据持久化 Kafka中数据的持久化是通过将消息写入磁盘上的日志文件来实现的。这种设计使得Kafka能够提供高吞吐量和持久性，即使在发生故障或重启时也能够保留数据。此外，Kafka还提供了数据复制和故障转移机制，以确保数据的可用性和可靠性。

设置共享文件的权限 需要在FTP站点为共享给用户的文件夹设置访问及修改等权限。 a.在服务器上创建一个供FTP使用的文件夹，选择文件夹，并单击右键选择“属性”。 此处以“work01”文件夹为例。 b.在“安全”页签，选择 “Everyone”，单击“编辑”。 如果没有“Everyone”用户可以直接选择，需要先进行添加，添加方法请参见FAQ 2 如果设置文件夹的属性时，没有“Everyone”用户可直接选择，可按照如下步骤添加“Everyone”用户。 c.选择“Everyone”，然后根据需要，选择“Everyone”的权限，并单击“确定”。 此处以允许所有权限为例。 添加及设置FTP站点 a.在“服务器管理器”中，选择“仪表板 > 工具 > Internet Information Services (IIS)管理器”。 b.选择“网站”并单击右键，然后选择“添加FTP站点”。 c.在弹出的窗口中，填写FTP站点名称及共享文件夹的物理路径，然后单击“下一步”。 此处站点名称以“FTPSERVER”为例。 d.输入该弹性云主机的私有IP地址以及端口号，并设置SSL，单击“下一步”。 端口号默认为21，也可自行设置 。 SSL根据需要进行设置。 无：不需要SSL加密。 允许：允许FTP服务器与客户端的非SSL和SSL连接。 需要：需要对FTP服务器和客户端之间的通信进行SSL加密。 说明 当SSL选择“允许”和“需要”时，需要选择SSL证书。可以选择已有的SSL证书，也可以制作一个SSL证书，具体制作证书的方法请参见FAQ3 制作服务器证书。 e.设置身份认证和授权信息，并单击“完成”。 身份认证 匿名： 允许任何仅提供用户名“anonymous”或“ftp”的用户访问内容。 基本： 需要用户提供有效用户名和密码才能访问内容。但是基本身份验证通过网络传输密码时不加密，因此建议在确认客户端和FTP服务器之间的网络连接安全时使用此身份验证方法。 授权 允许访问 所有用户：所有用户均可访问相应内容。 匿名用户：匿名用户可访问相应内容。 指定角色或用户组：仅指定的角色或用户组的成员才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的角色或用户组。 指定用户：仅指定的用户才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的用户。 权限：选择经过授权的用户的“读取”和“写入”权限。 f.绑定弹性云主机的私网IP。 选择“网站”，选中创建的FTP站点，单击“绑定”；在弹出的“网站绑定”窗口单击“添加”，然后在弹出的窗口中添加弹性云主机的私网IP地址，并单击“确定”。

本文解释从天翼云CDN访问到的文件和直接回源结果不一样的原因和解决方案。 背景说明 使用天翼云CDN加速后，如用户请求的文件在节点已有缓存，则直接响应给用户；如用户请求的文件为首次访问，或文件过期，则CDN节点会回源站获取文件，缓存在节点并响应给用户。 正常情况下，用户请求CDN节点和直接访问源站，访问到的内容相同。本文主要介绍CDN节点和源站文件内容如果不一致时，可能的原因及解决方案。 详细内容 从天翼云CDN访问到的文件和直接回源结果如不一样，可从以下几方面着手进行分析： 1.CDN节点回源，会在用户请求基础上增加部分请求头，源站如对相应请求头有处理策略上的差异，可能会导致响应不同内容 用户请求至CDN节点后，CDN节点会在原始请求头基础上增加类似如下的请求头： Via: http/1.1 fjningde5xxx[aff7324a97b346daaf21ba85e1876868] (ApacheTrafficServer/xxx)；该请求头值为请求进入CDN节点后经过的节点信息。 RequestId：9011f7a06787a0fd560cd724dd9989fb；该请求头值为对应请求的唯一ID。 如果源站针对上述请求头有做特殊处理，例如，有Via时可能响应不同的值，则会导致CDN和源站响应不同内容。 解决方案：可尝试通过直接回源请求，并逐个新增携带上述请求头，对比是否与源站获取的内容一致，直到找到造成响应差异的对应请求头。此后，可通过调整源站设置，或在CDN节点配置去掉对应请求头来规避问题。目前，删除CDN内部请求头尚不支持自助，需要提交工单给天翼云客服人工处理。

本文介绍天翼云分布式缓存服务Redis版的产品版本差异 分布式缓存服务Redis版在创建实例的时候，可选择“实例类型”、“版本号”。 说明 选型说明： 1. 版本类型选型：优先选择基础版主备或基础版Cluster主备，选型优先级 基础版 > 增强版 > 经典版 2. 版本号选型：版本号共有2.8，4.0，5.0，6.0，7.0版本可以选择，其中版本号5.0只支持基础版，6.0及以上才支持增强版，若业务对性能与吞吐有较高需求，建议选择增强版。 3. 集群选型：经典版集群(代理集群)承担着路由转发、负载均衡和故障转移等职责，能够实现架构转换，帮助您如同在使用标准版一样地使用集群版，但在命令的使用上有部分限制(详细请参考开源命令兼容性章节)。如果想更贴近开源使用方式且对业务性能与吞吐要求较高，可选择基础版或增强版Cluster集群(直连集群)，该模式下业务请求直接绕过代理服务器直接请求后端Redis分片，从而降低了网络IO开销提升了整体性能。 分布式缓存服务Redis版各个版本号区别如下表所示。 比较项 Redis 5.0 （基础版） Redis 6.0 Redis 7.0 Redis 2.8 / 4.0 /5.0 (经典版) 兼容开源版本 Redis 5.0 兼容开源5.0.5版本 Redis 6.0兼容开源6.2.12版本 Redis 7.0兼容开源7.0.14版本 Redis 5.0 兼容开源5.0.5版本 实例类型 单机、主备 Cluster单机、Cluster主备 单机、主备 Cluster单机、Cluster主备读写分离 单机、主备 Cluster单机、Cluster主备 读写分离 单机、主备 集群单机、集群主备 版本类型 基础版 基础版、增强版 基础版、增强版 经典版 实例部署模式 云主机 云主机 云主机 云主机 QPS 单节点约10万QPS 基础版单节点约10万QPS 增强版单节点约22万~30万QPS 基础版单节点约10万QPS 增强版单节点约22万~30万QPS 单节点约10万QPS 公网访问 支持 支持 支持 支持 域名连接 支持 支持 支持 支持 可视化数据管理 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 离线全量key分析 支持 支持 不支持 支持 账号管理 不支持 支持 支持 仅集群支持 SSL管理 不支持 仅基础版支持 仅基础版支持 不支持 扩容/缩容 支持 支持 支持 支持 实例数据迁移 支持 支持 支持 支持 支持多数据库（DB） Cluster集群仅支持1 其他256 Cluster集群仅支持1 其他256 Cluster集群仅支持1 其他256 支持256 备份恢复 支持 支持 支持 支持

本文主要介绍消息队列 Kafka 通过SSL接入的最佳实践，从而帮助您更好的使用该产品。 文中的最佳实践基于消息队列 Kafka 的 Java 客户端；对于其它语言的客户端，其基本概念与思想是通用的，但实现细节可能有差异，仅供参考。 背景 云消息队列 Kafka 版实例如果选择SASLSSL接入时，可能会出现性能较差的情况。可以通过在客户端指定密码套件的方式，手动选择性能和安全性都较高的套件进行TLS通讯。 SSL握手时客户端发送Hello Client 并带上客户端支持的密码套件，服务端收到握手请求后，获取客户端带来的密码套件和服务端支持的密码套件取交集。密码套件加载顺序受客户端jdk版本影响，不同jdk版本，密码套件顺序不一样，可能会导致性能和安全性等无法保证。因此为了保证性能，SSL连接时客户端可以指定密码套件。 推荐的性能和安全性较高的密码套件 TLSECDHERSAWITHAES256GCMSHA384 TLSECDHERSAWITHAES128GCMSHA256 步骤 1.先按照SASLSSL协议接入Kafka，SASLSSL接入可参考文档 SASLSSL接入点接入 2.在此基础上增加 ssl.cipher.suites 配置 客户端关键参数 java Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLSSL"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"f6eca4dbc78df78d63fba980e448185f";");//注：上面的密码f6eca4dbc78df78d63fba980e448185f，为用户管理里面创建用户时填入的密码进行md5的结果，md5取32位小写 props.put("ssl.truststore.location","/kafka/client.truststore.jks"); props.put("ssl.truststore.password","sJses2tin1@23"); props.put("ssl.endpoint.identification.algorithm",""); props.put("ssl.cipher.suites","TLSECDHERSAWITHAES256GCMSHA384,TLSECDHERSAWITHAES128GCMSHA256");//密码套件支持多个，用半角逗号分开

本节主要介绍 Linux客户端怎么和云存储网关服务端断开连接。 应用场景 Linux客户端需要断开云存储网关服务端。 前提条件 Linux客户端已经挂载了云存储网关的卷。 具体操作 在Linux 系统中，由于写入磁盘的操作通常会被缓存进行优化，因此数据在写入磁盘之前可能会留存在内存中一段时间，这样可以提高系统的性能。但是，在某些情况下，例如系统崩溃或断电，这些缓存的数据可能会丢失。为了避免这种情况发生，可以使用sync命令将缓存中的数据强制写入硬盘，以确保数据的持久化存储。 1. 执行sync命令。 说明 对于云存储网关Linux客户端，需要先执行sync命令才能断开连接，否则可能丢失数据。Linux系统的sync命令可以将内存中的缓存数据强制写入硬盘，以确保数据的持久化存储。 执行sync命令后，会将所有缓存数据写入硬盘。请注意，sync命令可能需要一些时间才能完成，具体时间取决于系统中缓存数据的大小和硬盘的速度。 sync 2. 应用停止写入后，执行umount进行卸载，使用iscsiadm断开连接。 umount DIRECTORYNAMEORPATH iscsiadm m node T iSCSITARGETIQN p SERVERIP u

本文为您介绍如何设置SSL数据加密，提升实例连接的安全性。 注意 仅V5.1.9.6020.2531及以后版本的实例，支持该功能。 前提条件 实例状态为运行中。 背景信息 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 认证用户和服务器，确保数据发送到正确的客户端和服务器。 加密数据以防止数据中途被窃取。 维护数据的完整性，确保数据在传输过程中不被改变。 开启SSL加密 在使用SSL加密功能前，您需要开启SSL加密，操作步骤如下： 注意 开启SSL后，您需要手动重启全部节点，才能生效。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 在左侧目录单击数据库安全 ，然后单击连接加密页签，进入SSL加密管理页面。 5. 单击SSL设置。 6. 在SSL设置 对话框中，打开SSL链路加密 开关，并配置验证模式。 标准模式：仅开启SSL加密但不使用SSL自带的二次验证，主要兼容历史应用系统配置。 CA模式：需要下载CA证书并上传客户端进行验证，CA证书存在有效期（默认为10年）需定期更换。 7. 单击提交。 如果您不再需要使用SSL加密，只需在SSL设置 对话框中，关闭SSL链路加密开关即可。 8. 如果您的SSL加密验证模式 为CA模式，则您还需要在控制台下载自动生成的SSL自签名证书包。 在SSL加密管理页面，单击CA证书 参数右侧的下载证书，系统自动下载证书包（包含ca、server和client证书），请妥善保存。 注意 证书默认有效期为10年，您可以根据实际情况，单击证书到期时间 参数右侧的重新生成证书，重新生成证书并下载到本地。

本文概括介绍天翼云HTTPS相关的功能及使用场景。 功能简介 HTTPS相关功能主要包括：HTTPS配置、HTTP2.0配置、强制跳转、OCSP装订、国密HTTPS、TLS版本配置、批量HTTPS证书配置、配置HSTS、配置加密套件等，可满足客户不同场景的使用需求。 功能 说明 配置HTTPS 开启HTTPS功能，实现客户端和CDN节点之间使用HTTPS加密传输。 HTTP2.0配置 相对于HTTP1.1，HTTP2.0新增了多路复用、压缩HTTP头、划分请求优先级和服务端推送等特性，解决HTTP1.1中存在的一些问题，优化请求性能。 强制跳转 用户到CDN节点的请求需要强制跳转为HTTP或者HTTPS时，可以配置强制跳转功能。 OCSP装订 开启OCSP装订功能后，由CDN进行OCSP信息查询并将查询结果缓存到服务器中，提升HTTPS响应性能。 国密HTTPS 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。 TLS版本配置 TLS即安全传输层协议，目的是为互联网通信提供安全及数据完整性保障，您可以按需对不同加速域名配置不同的TLS协议版本。 批量HTTPS证书配置 CDN支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 配置HSTS HSTS是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。 网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。 配置加密套件 加密套件是用于在SSL/TLS握手期间协商安全设置的算法的组合。在Client Hello和Server Hello消息交换之后，客户端发送密码支持套件列表，服务器从列表中选择密码套件进行响应。

产品定义 智算一体机是天翼云推出的一款极具性价比、软硬一体的智算服务产品，可提供强大的AI算力和一站式智算服务，具备全国产化、快速交付、零管理节点、开箱即用等优势，能够为客户提供私有化全场景的智算解决方案。 智算一体机将硬件与面向大模型开发和部署的一站式智算服务平台做了深度融合，可以一站式解决数据处理、模型微调、模型部署、应用上线和系统运维等环节开发难题，预置丰富的基座大模型和数据集，支持国产化算力，提供算子加速与模型加速，极大提升大模型训练推理效率，为客户提供多元、简单易用、本地部署、安全可靠的大模型训推用平台。 智算一体机属于标准化交付产品，其服务器能够直接部署于客户现场，这种部署方式尤其契合本地业务处理的需求，能够实现本地安全数据的有效留存，并且在诸如本地低延迟交互这类对时效要求较高的场景中表现卓越，可充分保障数据交互的高效性与及时性。 其中，智算一体机（DeepSeek版）深度融合了DeepSeekR1/V3/蒸馏版系列大模型，以低廉的成本，优秀的训练推理性能等特性，在便捷性、安全性、性价比等方面凸显出极大的优势。 为什么选择一体机 对比项 一体机 公有云 自建IT设施/传统私有云 主要行业 教育、医疗、政府、金融、军工等 通用、互联网 政府、金融 主打场景 本地化、数据安全、企业边缘 弹性、稳定 本地化 核心价值 快速交付、安全可控、低时延 高弹性 安全可控 标准化交付 √ √ × 敏捷扩容 √ √ × 运维托管 √ √ × 低起建门槛 √ √ × 低时延 √ × √ 数据本地化 √ × √ 数据就近处理 √ × √ 物理强隔离 √ × √ 基于本地部署、免运维等优势，一体机适用于本地数据处理、低延时、数据安全等场景，更多信息请见应用场景。

本文介绍如何选择合适的动态回源策略及注意事项等。 功能介绍 在介绍动态回源策略之前，我们先介绍如何区分动态请求和静态请求。天翼云全站加速产品根据您配置的缓存规则来区分动静态请求，有配置缓存规则的被当作静态请求处理，其他请求将被当作动态请求处理。 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式；静态回源策略默认轮询回源，无需配置。 择优回源：顾名思义，即根据全站加速节点探测源站的结果，选择最快的源站回源。 按权重回源：根据每个源站配置的不同权重，轮询回源。 保持登录：基于客户端IP进行哈希，保证相同客户端IP的多次请求始终访问到相同的源站。 注意事项 动态回源策略仅对动态请求生效，静态请求默认轮询回源。 配置说明 新增域名，配置动态回源策略： 1. 登录客户控制台。 2. 进入【域名管理】【域名列表】页面，点击【添加域名】。 3. 选择【加速类型】为【全站加速】，这时弹出【源站设置】【动态回源策略】，根据需要选择合适的动态回源策略。 说明 当选择【加速类型】为【全站加速】后，页面才会弹出【源站设置】【动态回源策略】的选择框信息。 域名添加完成后，编辑源站信息： 1. 登录客户控制台。 2. 在【域名管理】【域名列表】页面，点击【编辑】目标域名。 3. 点击右侧【动态配置】，找到【动态回源策略】。 4. 重新选中您需要的动态回源策略后，点击【保存】。

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 1小时 5m 最近365天 20分钟 5小时 1h 最近365天 20分钟 1天 24h 最近365天 20分钟 31天

本章节主要介绍翼MapReduce 的配置监控与告警阈值功能。 操作场景 配置监控与告警阈值用于关注各指标的健康情况。勾选“发送告警”后，当监控数据达到告警阈值，系统将会触发一条告警信息，将在“告警管理”中出现此告警信息。 操作步骤 在MRS Manager，单击“系统设置”。 1. 在“配置”区域“监控和告警配置”下，单击“阈值配置”，依据规划选择监控指标并设置其基线。 2. 单击某一指标例如“CPU使用率”，单击“添加规则”。 3. 在“配置”对话框中填写监控指标规则参数。 详见下表：监控指标规则参数 参数名 参数解释 参数值 规则名称 规则名称 CPUMAX（举例） 参考日期 查看某指标的历史参考数据 2014/11/06（举例） 阈值类型 选择某指标的最大值或最小值，类型为“最大值”表示指标的实际值大于设置的阈值时系统将产生告警，类型为“最小值”表示指标的实际值小于设置的阈值时系统将产生告警。 l 最大值 l 最小值 告警级别 告警级别 l 致命 l 严重 l 一般 l 提示 时间范围 设置规则生效时监控指标的具体时间段 从00:00到23:59（举例） 阈值 设置规则监控指标的阈值 设置数值80（举例） 日期 设置规则生效的日期类型 l 工作日 l 周末 l 其它 添加日期 日期选择“其他”时该参数生效。可选择多个日期。 11/30（举例） 4. 单击“确定”。界面右上角弹出提示“模板保存成功。”。 “发送告警”默认已勾选。Manager会检查监控指标数值是否满足阈值条件，若连续检查且不满足的次数等于“平滑次数”设置的值则发送告警，支持自定义。“检查周期(秒)”表示Manager检查监控指标的时间间隔。 5. 在新添加规则所在的行，单击“操作”下的“应用”，界面右上角弹出提示规则xx应用成功，完成添加。单击“操作”下的“取消应用”，界面右上角弹出提示规则xx取消成功。

本章主要介绍翼MapReduce的恢复HDFS业务数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对HDFS进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对HDFS进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复HDFS任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的HDFS数据。 对于Yarn任务运行时使用的目录（例如“/tmp/logs”、“/tmp/archived”、“/tmp/hadoopyarn/staging”），不能进行HDFS恢复操作，否则进行恢复的Distcp任务会由于文件丢失而导致恢复失败。 对系统的影响 恢复过程中会停止用户认证，用户无法开始新的连接。 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 数据恢复后，需要重新启动HDFS的上层应用。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 检查HDFS备份文件保存路径。 停止HDFS的上层应用。 登录FusionInsight Manager，请参见登录管理系统。