本文为您介绍如何激活智能网关APP业务。 操作场景 智能网关APP是智能网关的客户端软件版本，创建完智能网关APP实例后，需要进行激活操作。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已创建智能网关APP实例。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关APP”。 5. 在目标智能网关APP实例的“操作”列，单击“激活”，根据激活页面提示进行参数配置，具体参数可参考如下： 参数 说明 区域 选择需要接入的区域。 绑定SDWAN 选择要绑定的SDWAN实例。 6. 单击“确认”按钮。

您可以通过添加实例功能完成访问控制关联智能网关设备。 操作场景 用户为访问控制规则关联智能网关实例，实现对智能网关设备转发流量的访问控制。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成智能网关实例、访问控制的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“访问控制”，单击目标访问控制“操作”列的“添加实例”。 5. 选择需要关联的智能网关实例，支持多选。 6. 单击“确定”，完成访问控制关联智能网关。 说明 用户也可以进入“目标访问控制详情”页面。单击“关联实例 >添加实例”，可添加智能网关实例。

本节为您介绍如何完成智能网关App实例的升配操作。 操作场景 您的智能网关APP实例的带宽峰值已不能满足当前业务时，可以在控制台进行升配操作。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成智能网关APP实例的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关APP”。 5. 进入智能网关APP列表页，在目标实例名称所在行，单击“升配”，进入升配页面。 6. 在升配页面，根据需求选择适当的带宽峰值。 7. 确认信息无误后，勾选“服务协议”，单击“确认下单”。

本节为您介绍如何完成智能网关App实例的续订操作。 操作场景 为确保智能网关APP实例能够持续提供服务，请在实例欠费之前及时完成续费操作，以避免停机对您的服务造成影响。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成智能网关APP实例的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关APP”。 5. 进入智能网关APP列表页，在目标实例名称所在行，单击“续订”，进入续订页面。 6. 续订页面会展示已购买的设备信息，所有的业务默认全部续订。 7. 选择续订时长，单击“确认下单”。

本节为您介绍专线链路备份的操作场景、前提条件和操作步骤。 操作场景 智能网关硬件版设备支持链路级的专线备份，当主用链路发生故障时，自动切换至备用链路。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成智能网关硬件版的创建，且未进行链路设置。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 单击“智能网关”，在智能网关实例列表页面，单击目标智能网关实例“操作”列的“链路设置”。 5. 在链路设置界面，根据页面提示进行专线链路备份设置。 6. 单击“确认”按钮。

参数 描述 虚拟私有云 关系型数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 内网安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，关系型数据库服务默认为您分配内网安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤，请参见《虚拟私有云操作指导》中的“

使用流程 序号 操作项 说明 0 （可选）接入“企业主机安全HSS”的“主机安全基线”日志到态势感知（专业版） 仅态势感知（专业版）专业版且启用了“操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包场景需要执行该操作。 在目标工作空间左侧导航栏选择“日志审计> 云服务接入”，进入云服务日志接入页面，打开“企业主机安全HSS”服务的“主机安全基线”前的按钮以及“自动转告警”列对应的按钮，单击“保存”，并在弹出的配置保存框中，单击“确定”。 1 定时执行基线检查 态势感知（专业版）将使用默认检查计划对所有资产进行检查。 默认检查计划：默认每隔3天检查一次，每次在00:00~06:00对您账号下当前区域的“安全上云合规检查1.0”遵从包所涉及的资产进行检查。 自定义基线检查计划：根据您的需求自定义遵从包和检查时间。 2 立即执行基线检查 基线检查功能支持定期自动检查和立即检查。 定期自动检查：根据系统默认基线检查计划或您自定义的基线检查计划，定时自动执行基线检查。 立即检查：如果您新增或修改了自定义的基线检查计划，您可以在基线检查页面选择该基线检查计划，立即执行基线检查，实时查看服务器中是否存在对应的基线风险。 3 查看基线检查结果 自动/手动基线检查完成后，可以查看基线检查结果，了解基线检查项影响的资产、基线项目详情等信息。 4 处理基线检查结果 基线检查完后，可以根据修复建议对风险项目进行处理。 查看风险项的改进建议：根据检测结果修复风险检查项。 反馈检查结果：检查项中的手动检查项，您在线下执行检查后，需要在控制台上反馈检查结果，以便计算检查项合格率。 导入检查结果：将线下检查结果数据信息导入至态势感知（专业版）基线检查中。 导出检查结果：将线上检查结果导出至本地。

此小节介绍创建堡垒机用户。 背景介绍 在使用云堡垒机进行系统管理和运维前，管理人员需要在CBH系统中创建系统用户，为用户分配不同系统角色。 根据角色系统权限的不同，用户拥有不同的系统操作和访问权限，新创建的用户登录系统，即可访问角色权限内模块。 仅admin拥有管理系统角色的权限。 操作步骤 创建方式 说明 :: 新建单个用户 单个用户仅能逐一创建，适用于创建单个管理员用户。 Excel文件批量导入用户 按照Excel模板要求配置用户信息，再导入系统。批量添加用户，适用于批量创建运维用户。 同步AD域用户 同步AD域服务器的用户。同步成功后，使用AD域用户帐号和密码登录CBH系统，AD域服务器同时提供认证服务。 配置说明 参数 说明 :: 登录名 自定义登录系统的用户名。创建后不可修改，且系统内“登录名”唯一不能重复。 认证类型 选择登录系统的认证方式。 AD域：通过Windows AD域服务器对用户进行身份认证。 LDAP：通过LDAP协议，由第三方认证服务器对用户进行身份认证。 RADIUS：通过RADIUS协议，由第三方认证服务器对用户进行身份认证。 Azure AD：基于SAML配置，由Azure平台对登录用户进行身份认证。 密码/确认密码 用户登录系统的密码。 姓名 自定义用户姓名，便于区分不同的用户。 手机 用户系统预留手机号码。可通过手机短信验证登录身份或找回密码。 邮箱 用户系统预留邮箱地址。可通过邮箱收取系统消息通知。 角色 选择用户的角色，一个用户仅能选择一个角色。仅admin是可自定义角色或编辑默认角色的权限范围。 所属部门 选择用户所属部门组织。 用户描述 （可选）对用户情况的简要描述。

本页介绍天翼云TeleDB数据库节点启动或停止失败类问题。 节点启动失败问题总体分析思路 问题描述 控制台页面上显示节点为停止/异常状态，手动启动失败。 可能影响 DN主节点启动失败，会导致访问到该DN的节点SQL报错，实例部分不可用； CN主节点启动失败，会导致流入该节点的SQL语句报错，流入其它CN主节点的DDL语句报错； GTM主节点启动失败，会导致整个实例不可用； GTM/CN/DN备节点失败失败，如果开启同步复制，同步复制节点数量不足且未启用退化策略时，会导致DDL、DML语句卡住； GTM/CN/DN备节点失败失败，可能会导致无可用备节点，主节点再次异常会导致实例不可用，有数据丢失风险。 解决步骤 1. 控制台页面启动节点会下发任务到节点所在的Agent服务，检查Agent服务运行是否正常，如果Agent未启动或启动失败，优先解决Agent服务问题，再尝试启动节点； > Agent服务运行情况检查： > > ps fu teledbxgrep teledbxossgrep ossservergrep v grep > 返回有一个进程存在，输出结果如： > > teledbx 16371 1 1 2023 ? 203:21:22 > /home/teledbx/install/teledbxoss/bin/ossserver conf > /home/teledbx/install/teledbxoss/config//teledbxossconf.ini log > /home/teledbx/install/teledbxoss/logs/ level 1 > Agent服务端口监听情况检查： > > netstat lntpgrep ossserver > 返回应包含至少两行记录，端口包含8118、8119，输出结果如： tcp 0 0 172.16.16.15:8118 0.0.0.0: LISTEN 16371/ossserver tcp 0 0 127.0.0.1:8119 0.0.0.0: LISTEN 16371/ossserver > Agent服务日志检查： > teledbx用户家目录下install/teledbxoss/logs/osslogxxx(pid)，通常为/home/teledbx/install/teledbxoss/logs/osslogxxx(pid) > 查看最新的日志文件内容是否有FATAL错误。 > 如果进程不存在，则需要检查原因，因为Agent服务有crontab任务守护，会每分钟检测，异常时自动拉起。 > 如果进程在持续不断的重启，则需要根据日志检查具体原因。 > 如果进程运行正常，则继续分析节点启动日志和运行日志。 2. 节点启动日志有几个地方可以查看 > 1）Agent日志中节点启动日志 > 在Agent的osslogxxx(pid)中会打印节点启动日志和报错信息，可通过以下egrep命令搜索日志中启动信息和返回结果： egrep pgctl.start osslogxxx > 2）节点启动日志 > Agent日志目录log下有个节点启动停止目录clslog，该目录下记录了该服务器上部署所有实例、所有节点的启动停止日志，目录如： > /home/teledbx/install/teledbxoss/logs/clslog/实例id/节点名称节点id节点ip节点端口/pgctl.startyyyymmddhh24miss.log 或pgctl.stopyyyymmddhh24miss.log > 对于启动加载配置文件、控制文件、监听端口、分配内存等在节点启动前的异常报错，会在该日志中记录；这里没有报错，通常节点可以顺利启动成功； > 如果这里没有启动日志，或没有更新，则需要检查Agent服务。 > 如果这里有启动日志，但是在不断的启动、停止、启动...，则需要检查节点运行日志。 > 3）节点运行日志 > 在节点数据目录下的pglog目录，记录了节点启动后运行时的一些信息，默认为postgres星期(英文)小时.csv; > 如果这里没有日志更新，则需要检查节点启动日志和Agent服务。 > 如果这里日志有更新，则查看日志，根据日志提示进行处理。 3. 根据上述日志具体报错，做相应处理，如：磁盘空间%、操作系统内存不足导致启动节点时不能分配内存，节点数据目录部分文件权限不足、文件损坏、配置文件参数错误等。

本文介绍公网VIP的绑定、解绑等操作指导。 公网VIP暂不支持自助购买，如需使用，请联系您的客户经理或线上咨询或拨打客服热线电话，热线电话：4008109889转1。 使用说明 因公网VIP免费提供，未绑定实例的公网VIP仅允许保留7天，超过时限后系统将自动释放，释放前后会有邮件提醒。 绑定了公网VIP的虚拟机网卡产生的流量统一计入同网卡绑定的公网IP关联的带宽实例中。 公网VIP仅允许绑定至虚拟机直通网卡。 查看公网VIP实例 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>虚拟IP>公网VIP】。 3. 选择列表上方的地域即可查看指定地域的公网VIP列表，列表展示有公网VIP地址、VIP适用可用区、绑定实例数等信息。 绑定公网VIP 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>虚拟IP>公网VIP】。 3. 选择列表上方的地域切换至指定地域，选择需要操作的公网VIP，单击操作栏下的【绑定】，在弹窗页，选择需要绑定的虚拟机实例，只有虚拟机实例所在可用区和VIP适用可用区相同时才能绑定，单击【提交】完成公网VIP绑定；亦可以选中后，单击列表上方的【绑定】进行绑定。 4. 绑定成功后还需手动在虚拟机直通网卡上配置对应的公网VIP地址，只有将公网VIP先绑定到虚拟机实例，网卡配置公网VIP后才生效。

本章节主要介绍翼MapReduce的隔离主机操作。 操作场景 某个主机出现异常或故障，无法提供服务或影响集群整体性能时，可以临时将主机从集群可用节点排除，使客户端访问其他可用的正常节点。 说明 隔离主机仅支持隔离非管理节点。 对系统的影响 主机隔离后该主机上的所有角色实例将被停止，且不能对主机及主机上的所有实例进行启动、停止和配置等操作。 主机隔离后部分服务的实例不再工作，服务的配置状态可能过期。 主机隔离后无法统计并显示该主机硬件和主机上实例的监控状态及指标数据。 待操作节点的SSH端口需保持默认（22），否则将导致本章节任务操作失败。 操作步骤 1. 登录FusionInsight Manager。 2. 单击“主机”。 3. 勾选待隔离主机前的复选框。 4. 在“更多”选择“隔离”。 在弹出窗口中，输入当前登录的用户密码确认管理员身份，单击“确定”。 5. 在确认隔离的对话框中勾选“我确定隔离所选主机，接受可能出现的服务故障等后果。”单击“确定”。 界面提示“操作成功。”，单击“完成”，主机成功隔离，“运行状态”显示为“已隔离”。 6. 以root用户登录到被隔离主机上，执行pkill 9 u omm命令终止节点上的omm用户的进程，然后执行ps ef grep 'container' grep '${BIGDATAHOME}' awk '{print $2}' xargs I '{}' kill 9 '{}'命令查找并终止container的进程。 7. 管理员已排除主机的异常或故障后，需要将主机隔离状态取消才能继续使用该主机。 在“主机”界面勾选已隔离的主机，选择“更多 > 取消隔离”。 说明 取消隔离后，主机上所有角色实例默认不启动。若需要启动主机上角色实例，可以在“主机”页面勾选目标主机，然后选择“更多 > 启动所有实例”。

本章节主要介绍翼MapReduce的配置资源池的队列容量策略操作。 操作场景 添加资源池后，需要为Yarn任务队列配置在此资源池中可使用资源的容量策略，队列中的任务才可以正常在这个资源池中执行。 该任务指导系统管理员通过FusionInsight Manager配置队列策略。使用Superior调度器的租户队列，可以配置使用不同资源池的资源。 前提条件 已登录FusionInsight Manager。 已添加资源池。 任务队列不与其他队列相关联资源池，除了默认资源池。 操作步骤 1. 在FusionInsight Manager，单击“租户资源”。 2. 单击“动态资源计划”页签。 3. 单击“资源分布策略”页签。 4. “集群”参数选择待操作的集群名称，然后在“资源池”选择指定的资源池。 5. 在“资源分配”列表指定队列的“操作”列，单击“修改”。 6. 在“修改资源分配”窗口的“资源配置策略”页签设置任务队列在此资源池中的资源配置策略。 “权重”：表示租户能获得的资源。其初始值与最小资源百分比值一致。 “最小资源”：表示租户能获得的最少资源。 “最大资源”：表示租户能获得的最多资源。 “预留资源”：表示保留给租户自身队列，且不能借用给其他租户队列的资源。 7. 在“修改资源分配”窗口的“用户策略”页签设置用户策略。 说明 defaultUser(builtin)表示如果一个用户未配置策略，则默认使用defaultUser所指定的策略。该策略不可删除。 单击“添加用户策略”添加用户策略。 − “用户名”：表示用户的名称。 − “权重”：表示用户能获得的资源。 − “最多核数”：表示用户最多可以使用的虚拟核数。 − “最大内存”：表示用户最大可以使用的内存。 单击“操作”列的“修改”修改现有用户策略。 单击“操作”列的“清除”删除现有用户策略。 8. 单击“确定”保存配置。

本节介绍如何使用 SASLSSL 接入点接入Kafka,文档以Java代码为例。 前提条件 已配置正确的安全组。 已获取连接Kafka实例的地址。 如果Kafka实例未开启自动创建Topic功能，在连接实例前，请先创建Topic。 已创建弹性云服务器，如果使用内网同一个VPC访问实例，请设置弹性云服务器的VPC、子网、安全组与Kafka实例的VPC、子网、安全组一致。 需要用户先在用户管理页面创建用户，然后给对应的topic授予生产消费权限。 接口地址及证书下载，需使用内网同一个VPC访问，实例端口为8098。具体信息从控制台实例详情菜单处获取，如下图所示，点击中间下载箭头即可下载证书。 Maven中引入Kafka客户端 java Kafka实例基于社区版本2.8.2/3.6.2，推荐客户端保持一致。 org.apache.kafka kafkaclients 2.8.2/3.6.2 客户端关键参数 java Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLSSL"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"Kafka@Test";"); props.put("ssl.truststore.location","/kafka/client.truststore.jks"); props.put("ssl.truststore.password","sJses2tin1@23"); props.put("ssl.endpoint.identification.algorithm","");

本节介绍了在迁移完成后如何进行数据校验。 当任务状态变为“增量同步”，说明全量同步已经完成，全量同步完成后，登录云数据库GaussDB 查看数据迁移结果。 1. 等待迁移任务状态变为“增量同步”。 2. 单击任务名称，进入任务详情页。 3. 在“同步进度”页签查看全量同步结果。 如图所示，本次实践将TESTINFO库中DATATYPELIST表迁移至shard0，共迁移了两条数据。 4. 验证数据一致性。 a) 在“同步对比 > 对象级对比”页面，查看库和表的迁移结果。 b) 在“同步对比 > 数据级对比”页面，创建对比任务，查看表中行的迁移结果。 5. 通过DAS连接云数据库GaussDB openGauss版的目标库“ testdatabaseinfo ”。 DAS连接实例的方法请参考《新增数据库登录》。 6. 执行如下语句，查询全量同步结果。 SELECT FROM testinfo.datatypelistafter; Oracle数据库中的模式迁移完成后，会在云数据库GaussDB 数据库中作为Schema，所以查询语句中添加Schema精确查询。 如图所示，查询表中的各个数据类型都迁移成功，并且数据正确无误。 7. 验证增量同步。 由于本次实践为“全量+增量”同步模式，全量同步完成后，如果在创建任务后有数据写入，这些写入的数据会一直同步至目标库中，直到任务结束。下面我们模拟写入另外的数据。 a) 根据本地的Oracle数据库的IP和地址，通过数据库连接工具连接数据库。 b) 执行如下语句，在源库插入一条数据。 我们插入一条“id”为1的数据。 insert into testinfo.DATATYPELIST values(1,'Migratetest','test1','test2','test3','test4', 666,12.321,1.123,2.123,sysdate,sysdate,sysdate,sysdate,'hw','cb','df','FF','FF','AAAYEVAAJAAAACrAAA');commit; c) 在目标库执行如下语句查询结果。 SELECT FROM testinfo.datatypelistafter; 如图所示，在源库新增的数据，可以实时同步至目标库。 8. 结束迁移任务。 根据业务情况，待业务完全迁移至目标库，可以结束当前任务。 a) 单击“操作”列的“结束”。 b) 仔细阅读提示后，单击“是”，结束任务。 9. 迁移完成后，进行性能测试。

容器访问内网不通的定位方法 如前所述，从容器中访问内部网络不通的情况可以按如下路径排查： 1. 查看要访问的对端服务器安全组规则，确认是否允许容器访问。 1. 容器隧道网络模型需要放通容器所在节点的IP地址 2. VPC网络模型需要放通容器网段 2. 查看要访问的对端服务器是否设置了白名单，如DCS的Redis实例，需要添加白名单才允许访问。添加容器和节点网段到白名单后可解决问题。 3. 查看要访问的对端服务器上是否安装了容器引擎，是否存在与CCE中容器网段冲突的情况。如果有网络冲突，会导致无法访问。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的攻击挑战功能。 功能介绍 攻击挑战，即反复攻击惩罚，指自动阻断在短时间内发起多次 Web 攻击（规则引擎触发）的客户端 IP，一段时间内阻止所有请求，阻断日志可以在攻击日志中查看，可以快速拦截恶意攻击 Web 的 IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为基础版及以上版本，支持攻击挑战（反复攻击惩罚）相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【攻击挑战】详细设置页。 配置说明 防护开关 攻击挑战功能的总开关，关闭时攻击挑战的配置策略将不生效。 配置项说明 配置项 说明 开关 防护策略开关，可选择开启或者关闭策略 命中防护规则 仅勾选的攻击类型会做统计，勾选范围为目前边缘安全加速平台支持防护的Web攻击类型 封禁对象 即统计粒度，支持一种粒度或两种粒度组合, 支持粒度缺失统计 粒度缺失统计 当客户端IP、客户端端口、服务端口其中两种粒度组合时，不展示,这两个粒度不可能缺失 触发条件 在【统计周期】之内，【统计粒度】触发防护规则次数达到【阈值】次，则执行【处理动作】 统计频率：防护策略的统计周期，支持配置秒、分、时单位 触发阈值：即触发已选攻击类型的攻击阈值。有两种触发条件：命中防护规则达N次、命中防护规则ID达M个，当两者同时配置时，攻击满足两个条件才会触发拦截 封禁时长：即拦截持续时间 处理动作 请求触发攻击挑战策略后的处理动作，可选择拦截或者告警 处理动作持续时长 满足触发条件后，处理动作会持续的时间 例外的规则ID 例外的规则ID，规则ID可在域名规则中查询 例外客户端IP 不需要经过攻击挑战策略的客户端IP 描述 多行文本，能够输入此条防护规则的相关描述，最多支持输入200个字符

Cookie签名 针对Cookie进行签名，会新增一个Cookie签名字段，原始Cookie内容正常发送给用户，当客户端Cookie内容进行了修改，请求在WAF端签名校验不通过，该请求将被拦截。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持Cookie防护相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【Cookie防护】详细设置页。 配置说明 防护开关 控制策略生效的总开关，可以选择关闭、告警或拦截，关闭后Cookie防护将不生效。 防护条件 配置项 说明 Cookie key 值 设置需要防护的Cookie名称，Cookie必须有参数值，例如：setcookie: SFcookie11ENCRYPTCOOKIE1988262423afZ5ZEIzbEL%3D; Secure; SameSiteStrict, 只有SFcookie11、SameSite可配置为key 防护方式 支持选择加密与签名两种防护方式，需要配置防护动作与防护过渡期 加密：对Cookie值进行加密，客户端查看到的值为加密后的内容 签名：给Cookie值加签名字段，签名方式可选 UA：使用该方式签名，客户UA变换后，Cookie签名验证将不通过 IP+HOST+UA：泛域名模式下，加签HOST字段 IP+UA：使用该方式签名，客户IP或使用浏览器改变后，使用之前Cookie防护验证不通过 IP：使用该方式签名，客户ip变换后，Cookie签名验证将不通过 防护动作 拦截/清除 拦截：Cookie值检测不通过将拦截请求，并清除Cookie 清除：Cookie检测不通过清除该Cookie回源，总开关为拦截，防护动作为清除，最终效果仍为清除 防护过渡期 在过渡期内（即在配置的时间之前），检测失败不会进行拦截，只会清除Cookie值，重新登录后将下发新的Cookie值 Cookie属性 支持选择HTTP Only和secure 设置后Cookie不允许js读取，有效防止xss盗取客户Cookie，配置后，Cookie响应头部增加值Http Only，若源站响应已存在Http Only，会同时存在 secure：Cookie设置为secure的时候，客户端只能通过https协议发送Cookie，无法通过http发送

本文为您介绍查看监控视图的操作场景、前提条件和操作步骤。 操作场景 监控视图添加完成后，您可以在监控面板页面查看该监控项近3小时内的监控走势图。系统提供固定时长和自定义时长两种方式查看监控数据统计图。 大屏模式：大屏主要用于关键运维场景下的全局可视化监控和集中管理，以及需要实时掌握系统运行状态并进行快速决策的业务场合。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成监控视图的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“监控面板”，即可查看该监控面板下的所有监控视图。 5. 在监控视图右上角，单击“监控面板”，即可查看该监控面板下的所有监控视图。 6. 在监控视图右上角，单击，进入监控项详情页面。您可以选择系统提供的固定时长或自定义时间段来查看云服务的监控周期内的走势图。

本节将为您介绍如何修改访问控制规则。 操作场景 用户修改访问控制。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“访问控制”，单击目标访问控制名称，进入详情页面。 5. 单击目标访问控制规则“操作”列的“编辑”选项，进入编辑规则状态。 6. 在编辑规则页面，根据页面提示进行参数设置。 7. 单击“确认”，保存修改。

权威情报数据 借助国内顶尖厂家共同分析的结果，快速构建威胁信誉库，将诸如僵尸木马活动、恶意代码传播、恶意攻击行为、恶意站点数据等网络安全事件及信誉数据同步至本系统，形成联动能力。 权威安全预警 定时同步国家应急响应中心（CNCERT）的漏洞预警、威胁情报、安全资讯数据，及时明晰最新安全信息。 攻击源警告 当系统检测到远端IP地址存在恶意入侵或者探测行为时，可以配置对应的IP进行告警，告警页面的内容可以自定义，当此IP再次连接Web服务时，对其推送告警界面，以做警示。 恶意网站警告 通过国家应急响应中心信誉库自动同步恶意网站数据，在用户访问恶意网站时，给予及时告警，协助用户识别Web威胁，同时运维管理员可自定义添加恶意网站。 安全态势大屏 支持4种态势大屏，包括全局态势大屏、资产态势大屏、脆弱性态势大屏、威胁态势大屏。

本小节主要介绍RDSPostgreSQL的dblink插件使用方法。 操作场景 RDSPostgreSQL支持 dblink插件，可用于跨库操作。 前提条件 请确保您的实例内核大版本满足，本插件所支持的内核版本，请参考支持的版本插件列表。 注意事项 请确保目标数据库的网络与您的数据库实例互通。 插件使用 安装插件 sql CREATE EXTENSION IF NOT EXISTS dblink; 卸载插件 sql DROP EXTENSION IF EXISTS dblink; 使用示例 sql SELECT dblinkconnect('hostaddr port dbname user password '); 注意能够访问的到实例数据库，网络要通。 IP：目标数据库的IP地址。 DBPORT：目标数据库实例的端口。 DBNAME：目标数据库名称。 USERNAME：目标数据库用户名称。 USERPWD：目标数据库用户密码。 常见问题 更多详情请参见dblink官网文档。

145 [管理平台]支持为MySQL实例添加标记，用于标识该实例是否被DRDS关联，防止MySQL被误操作退订导致DRDS数据丢失的风险。详见：关联MySQL设置。 395 [DBProxy]单表的DDL语句执行采用按照ZooKeeper存储顺序串行执行的方式，可以避免同一表的多个任务乱序执行问题。 239 [前端]新增实例监控管理页面，从多个维度、多个指标展示实例计算节点和存储节点信息。详见：监控告警。 303 [前端]支持修改DRDS实例名称，以方便识别和管理。 223 调整DRDS实例的版本号，与软著《天翼云TeleDB数据库软件V5.1》版本号保持一致。 223 DRDS管理命令新增SELECT TELEDBVERSION语句，用于查看实例版本号信息。详见：其他。 体验改进 331 优化部分实例OpenAPI扩容接口的调用逻辑，提高扩容效率。 360 优化停止和重启实例节点期间节点的exporter监控采集逻辑。 359 优化审计日志获取逻辑，提高审计日志获取效率。 288 优化实例的节点版本展示逻辑，为用户提供节点的详细小版本信息，便于维护和管理。 286 DRDS新增部分接口上报到云审计。 233 [Giserver]优化全局索引批量重建任务进度展示逻辑，提升任务透明度与可控性。

参数 参数说明 参数范围 默认值 min.insync.replicas 当producer将acks设置为“all”(或“1”)时，此配置指定必须确认写入才能被认为成功的副本的最小数量。 1 ~ 3 1 message.max.bytes 单条消息的最大长度（单位：字节）。 0 ~ 10485760 10485760 auto.create.groups.enable 是否开启自动创建消费组功能。 true/false true max.connections.per.ip 每个IP允许的最大连接数。超过此连接数的连接请求将被丢弃。 100 ~ 20000 1000 unclean.leader.election.enable 指示是否启用不在ISR集合中的副本选为领导者作为最后的手段，即使这样做可能导致数据丢失。 true/false true

阻断关系 点击功能菜单>查询搜索>阻断关系，进入此功能界面。 1.此功能用于查看本段和远端之间的阻断或者预阻断的详细信息，详细的阻断信息可以支持导出查看。 2.在阻断搜索界面中，本端和远端都是可以多项选择的。本端只能选择已安装客户端的工作负载，远端可选择工作负载或者IP，可以时非安装客户端的IP，下面可选择单向或者双向进行搜索。

新增网站流程 系统会自动区分非天翼云主体与天翼云主体。非天翼云主体是指此次备案的主办单位之前没有在天翼云做过任何备案，我们统称之为非天翼云主体。反之，天翼云主体就是指此次备案的主办单位之前已经在天翼云处做过备案并获得了备案号。 非天翼云主体的新增网站是指本次要备案的域名未获得工信部下发的网站备案号，但是报备该域名的主体（主办单位）已经获得工信部下发的主体备案号（主体备案号是经由其他接入服务商获得的）。用户可以通过工信部网站提供的公共查询功能（https:// beian.miit.gov.cn），根据单位名称、域名进行分别查询是否已经备案，并核实您的主体备案号。 针对三证合一或五证合一的企业单位，在进行新增网站或新增接入操作时，如果之前是使用三证合一前的证件即旧证件备案并获得备案号的（但在证件三证合一后未及时进行备案变更的），那么在进行备案订单创建时，需要使用旧证件号码进行录入。因为备案订单的创建是调用管局的已备案信息库。 部分企业三证合一前的证号可通过全国企业信用信息查询网站www.gsxt.gov.cn查询获得（即工商注册号），或全国组织机构代码管理中心网站www.cods.org.cn查询。 在同一个接入商内，同一个主办单位的新增网站订单只能且仅能创建一条，在一条订单内可以同时增加多条网站信息。严禁对统一主办单位创建多条新增网站订单。 流程如下 新增网站备案的完整流程及流程简图如下图所示： 流程简图 1 创建新增网站订单 通过备案类型的自动匹配（主办单位证件号码已经获得备案号，域名未获得备案号），在系统无其他冲突数据的前提下创建订单任务，点击“查看”进入新增网站流程。 2 填写主办单位信息 填写主办单位信息，请按照页面提示，完善您本次备案的主办单位信息和单位负责人信息。主体信息除所在“省份”无法修改外，其他信息均可修改，新增网站通过后，备案主体信息将以本次备案提交的主体信息为准。 3 填写网站信息 填写网站信息按照页面提示内容进行内容填写。如您本次备案的网站涉及新闻、医药、论坛、广播电视等请准备好相关部门的审批文件并上传至“前置审批文件”处。网站负责人可以与单位主体负责人相同，您也可以使用新的负责人信息。域名录入请录入一级域名或单个专线IP地址，不支持二级域名的录入（.gov.cn后缀的域名允许二级域名备案）。每条网站仅支持填报一个域名，如果有多个域名，请通过“继续新增网站”按钮逐个添加。 如果本次备案欲备案多个网站，请通过点击“继续新增网站”来继续新增网站信息。新增网站数量暂无限制。 4 资料上传 系统支持通过小程序采集上传和本地图片上传两种方式。 材料上传只支持jpg、png格式的图片，请勿上传其他格式的图片。系统限定每个图片类型最多上传3张图片，如位置不够可以传至其他空白位置。 5 本地上传图片 用户需要按照页面指引，上传各类证件彩色图片。 6 APP电子化方式上传图片 通过微信小程序扫描二维码后，在小程序端按照系统所提示采集需要图片，完成图片采集完成后会自动生成18位验证码，需将验证码填报至上图指定位置后，点击“确定”按钮，系统会自动将图片对应到合适位置。 预览填写的信息，并准确核对所填写的信息，并对有需更正的地方返回上一步修改。 信息预览无误后，点击“提交审核”，备案信息将提交至管理员进行审核。 7 天翼云/管局审核 提交预审核，天翼云备案专员将会尽快审核您的信息是否符合备案要求。审核符合要求的，天翼云会尽快代您将备案信息提交至管局进行备案终审，提交管局后，请主体和网站负责人收到验证短信后，在24小时内按照短信指引完成，否则会被管局退单。 管理员将根据真实性验信息和图片信息情况填写审核意见，如所备案信息和证件等信息无误，审核通过并提交管局；反之，审核拒绝，退回备案信息给备案发起人进行修改，或退回至待核验环节或待预审核环节由相关人员处理。 信息提交管局后，请耐心等待管局的审核，管局审核拒绝或接口自动退回后，会在订单中获得退回的意见，管理员或用户需根据退回意见进行修改后重新进行备案流程。 备案通过后，管局会给主办单位负责人发送备案通过通知，同时，经过管局审核的备案信息会同步给天翼云侧备案系统，您所已经备案通过的信息可以通过“已备案信息管理”进行查看管理。 去备案

本文介绍如何设置容器组。 容器组是Kubernetes部署应用或服务的最小的基本单位。一个容器组可以封装多个应用容器(也可以只有一个容器）、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。 用户创建完应用，查看【容器组列表】。 容器组列表页中内容包括：实例名称、状态、实例IP、所在节点、就绪容器（已就绪/全部）、创建时间、操作（编辑YAML、监控、删除）。编辑YAML界面： 点击具体容器组，可进入容器组详情页，在此可查看到容器组详情，且可根据需求，对容器、监控、容器终端、日志、事件进行查看和监控。

接口功能介绍 IPv6 带宽添加 IPv6 地址。 接口约束 无。 URI POST /v4/ipv6bandwidth/addipv6 请求参数 请求体Body参数 参数 参数类型 是否必填 说明 示例 ::::: regionID String 是 资源池 ID 81f7728662dd11ec810800155d307d5b bandwidthID String 是 IPv6 带宽 ID bandwidthsjwu65pf9t ip String 是 IPv6 地址 ff06::c3 响应参数 参数 参数类型 说明 示例 statusCode Integer 返回状态码（800为成功，900为失败） 800 message String statusCode为900时的错误信息; statusCode为800时为success, 英文 success description String statusCode为900时的错误信息; statusCode为800时为成功, 中文 成功 errorCode String statusCode为900时为业务细分错误码，三段式：product.module.code; statusCode为800时为SUCCESS SUCCESS 请求示例 POST /v4/ipv6bandwidth/addipv6 请求体body json { "regionID": "81f7728662dd11ec810800155d307d5b", "bandwidthID": "v6bwbin003", "ip": "ff06::c3" } 响应示例 json { "statusCode": 800, "errorCode": "SUCCESS", "message": "success", "description": "" } 状态码 状态码 描述 :: 200 表示请求成功。 错误码 请参考 错误码说明。

本文介绍横向扫描防护的适用场景和配置方法。 基本概念介绍 横向扫描主要指的是黑客在利用某个漏洞获取网络访问权后，进行收集系统其他信息来实施精确的攻击行为。例如员工点击钓鱼邮件导致办公电脑被安装了远控木马，黑客利用员工电脑上VPN内网环境，进而对企业的内网进行横向扫描，扫描如果没有合适的预防措施，则可能导致黑客获取某个点的访问权后，扩大攻破其他点，造成影响面扩大。 功能说明 针对横向扫描的行为进行设定不同策略模版，如IP类横向渗透防护、域名类横向渗透防护，支持针对单用户账号，设备，相同公网IP进行不同协议、端口、地址的组合判断其频次，若高于异常则进行阻断或挑战认证。同时，网关支持接收处置动作的取消处置，并把取消处置动作下发给对应客户端。该功能是实时统计，达到阈值立即处置。 配置说明 参数 说明 处置粒度 支持根据设备，账号，公网IP三种类型作为处置粒度，会对所选粒度的访问行为进行统计和处置，其中设备是关联到账号的最小处置粒度 ，处置粒度选择为设备时只会对触发规则的账号当前登录设备进行处置，当处置粒度为账号时，在处置动作生效时期，该账号登录其他设备同样会被处置。 统计粒度 统计上方所选处置粒度在周期内对该统计粒度不同地址的请求次数，支持按照域名+端口或协议+IP+端口两种粒度。 统计周期 单位秒。 访问次数 单位次数。 处置时间 单位秒。 处置动作 监控：仅监控观察，不对网络连接、访问权限进行任何干预。 挑战认证：需通过配置的认证方式完成身份认证，才能继续访问内网。 禁止访问内网：关闭对内网环境资源的访问权限，即无法连接公司 / 单位内部系统、共享文件等内网资源。 注销登录：退出当前客户端登录状态，若账号不符合安全要求，将持续触发注销。 提示语 针对不同处置动作均默认设置有对应提示语，可进行自定义修改。

本文为您介绍查看设备信息的操作步骤。 操作场景 用户查看天翼云SDWAN中的智能网关列表。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“天翼云SDWAN”，单击目标SDWAN名称； 3. 单击“设备信息”，可查看该SDWAN实例下的所有设备简要信息。 4. 单击“设备名称”，可进入对应智能网关实例的详情页面。

本文介绍边缘接入服务IP应用加速的DDoS攻击防护能力及配置。 功能介绍 边缘接入服务的DDoS防护可有效防御SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL攻击。 前提条件 已经订购边缘安全加速平台边缘接入服务，若未订购，请参见服务开通。 在控制台新增域名/实例，请参见添加域名/实例。 注意事项 1. 需要开启对应区域的DDoS防护开关，才会进行对应区域的DDoS防护。 2. 超量处置仅对DDoS防护中国内地生效。 配置说明 新增接入时开启DDoS防护 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 点击左上角【新增接入】，完成加速配置后，点击右下角【下一步】进入【安全防护配置】页面。 4. 按需开启DDoS防护中国内地、DDoS防护全球（不含中国内地）开关。 修改DDoS防护 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 找到您要防护的域名/实例，点击操作列的安全防护，进入【安全防护配置】页面。 4. 按需开启DDoS防护中国内地、DDoS防护全球（不含中国内地）开关。 5. 【安全防护配置】页面还可修改DDoS攻击峰值超出订购规格后的超量处置规则，用户可选择将业务解析回源站或者解析至黑洞地址。默认解析至源站地址。 配置界面 1. 新增接入时，DDoS防护配置界面： 2. 修改安全防护时，DDoS防护配置和超量处置配置界面：

本小节介绍云解析添加A记录操作方法。 使用场景 A记录是用来指定域名的IPv4地址，如果需要将域名指向一个IP地址，就需要添加A记录。 操作方法 1. 登录控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 2. 在域名维护页面，点击要修改的域名进入记录管理页。 3. 单击页面上方的“添加记录”按钮，系统将自动生成一条空白记录。 4. 填写以下信息。 主机记录：一般是指子域名的前缀。 如需实现www.ctyun.cn，主机记录输入“ www”。 如需实现ctyun.cn，主机记录输入“@”。 记录类型：选A记录 线路类型：通常选择默认（默认为必填项，否则会导致部分用户无法解析）。 记录值：输入指定IPv4地址。 TTL：缓存时间，默认为3600秒。 5. 单击“√”完成记录添加。

本节介绍了云容器引擎的最佳实践：服务发布。 灰度发布和蓝绿发布 当对服务进行版本更新升级时，需要使用到滚动升级、分批暂停发布、蓝绿发布以及灰度发布等发布方式。本文将介绍在云容器引擎集群中如何通过Nginx Ingress Controller来实现应用服务的灰度发布。 背景信息 灰度及蓝绿发布是为新版本创建一个与老版本完全一致的生产环境，在不影响老版本的前提下，按照一定的规则把部分流量切换到新版本，当新版本试运行一段时间没有问题后，将用户的全量流量从老版本迁移至新版本。 其中AB测试就是一种灰度发布方式，一部分用户继续使用老版本的服务，将一部分用户的流量切换到新版本，如果新版本运行稳定，则逐步将所有用户迁移到新版本。 云容器引擎控制台灰度发布功能的用法如下。 canary注解方式：使用canary Annotation配置蓝绿发布与灰度发布，canary Annotation是社区官方实现的灰度发布方式。 应用场景 基于客户端请求的流量切分场景：假设当前线上环境，您已经有一套服务Service A对外提供7层服务，此时上线了一些新的特性，需要发布上线一个新的版本Service A'。但又不想直接替换Service A服务，而是希望将请求头中包含foobar或者Cookie中包含foobar的客户端请求转发到Service A'服务中。待运行一段时间稳定后，可将所有的流量从Service A切换到Service A'服务中，再平滑地将Service A服务下线。 基于服务权重的流量切分场景：假设当前线上环境，您已经有一套服务Service B对外提供7层服务，此时修复了一些问题，需要发布上线一个新的版本Service B'。但又不想将所有客户端流量切换到新版本Service B'中，而是希望将20%的流量切换到新版本Service B'中。待运行一段时间稳定后，再将所有的流量从Service B切换到Service B'服务中，再平滑地将Service B服务下线。 针对以上多种不同的应用发布需求，天翼云容器云服务引擎Ingress Controller支持了多种流量切分方式：基于Request Header的流量切分，适用于灰度发布以及AB测试场景。基于Cookie的流量切分，适用于灰度发布以及AB测试场景。基于Query Param的流量切分，适用于灰度发布以及AB测试场景。基于服务权重的流量切分，适用于蓝绿发布场景。