本文介绍CC安全报表所展示的数据。 使用场景 业务接入DDoS高防（边缘云版）后，您可以通过CC攻击报表查询CC攻击防护的相关统计数据。 前提条件 已开通DDoS高防（边缘云版）。 开启CC防护配置，并触发产生CC攻击事件。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【安全报表】【CC安全报表】页面。 查询功能 您可以在CC安全报表头部指定您要查询的域名、时间范围。默认将展示最近7天，用户名下所有域名的统计数据。 报表内容： 说明 卡片栏 展示CC攻击事件数、CC攻击峰值、峰值取值时间、遭受CC攻击的网站数量。 攻击区域分布 国内攻击来源城市分布，按照攻击次数的范围展示为不同的颜色。 威胁事件排序情况：按照攻击次数的从多到少，将攻击来源区域进行TOP10排序，并计算不同攻击来源区域的占比。 攻击趋势 展示被攻击域名的QPS趋势图。 TOP攻击域名 按照请求数从多到少，展示被攻击域名的TOP10排序，并计算请求数的占比。 TOP URL排名 按照请求数从多到少，展示被攻击URL的TOP10排序，并计算请求数的占比。 TOP攻击IP 按照请求数从多到少，展示TOP攻击源IP，并展示其请求次数、区域及运营商。

步骤2：准备工作 注意 在将业务接入DDoS高防（边缘云版）时，强烈建议您先使用测试业务环境进行测试，测试通过后再正式接入生产业务环境。 接入DDoS高防（边缘云版）前，您需要完成以下准备工作。 准备需要接入的网站域名信息，包括源站服务器公网IP、端口、请求协议等信息。 网站域名必须已完成ICP备案。 需要具备域名解析服务商添加TXT记录值权限或源站管理权限，以便完成域名归属校验。更多信息，请参见域名归属权校验指南。 需要具备DNS域名解析管理权限，用于切换DNS解析记录，以便接入后将网站流量引流到DDoS高防（边缘云版）。 若网站支持HTTPS协议访问，需要准备相应的证书和私钥信息，用于证书上传。更多信息,请参见证书管理。 检查网站业务是否有客户端黑白名单限制。业务接入后需要配置防护策略放行或拉黑相应的客户端IP。 推荐网站业务接入前，完成压力测试。 步骤3：接入DDoS高防（边缘云版） 1. 业务接入配置。 说明 如果在接入DDoS高防（边缘云版）前业务已遭受攻击，建议您更换源站服务器IP。更换IP前，请务必确认业务端是否存在直接指向源站IP的相关代码，若存在需要调整代码或配置，避免影响业务正常访问。 根据您的业务信息及流量请求购买相应的DDoS高防（边缘云版）套餐，并根据以上准备信息配合以下接入配置指导，将您的网站域名业务接入DDoS高防（边缘云版）： 添加域名。或参见视频接入指导： 视频专区。 2. 配置源站保护。 为避免恶意攻击者绕过DDoS高防（边缘云版）直接攻击源站服务器，建议您针对源站服务器采取相应安全配置。 3. 配置防护策略。 根据您的业务特征及攻击情况配置对应的防护策略。 CC攻击防护：若您的业务有遭受CC攻击的情况，可配置CC攻击防护策略。更多信息，请参见CC防护最佳实践。 访问配置访问限制：若您的业务受众群体物理位置区域相对集中或仅面向中国区域，可在访问控制防护模块配置相应的防护规则进行限制。更多信息，请参见访问控制。 访问配置频率控制：若您的业务存在单url请求或单ip等需要限制访问频率，可在频率控制模块配置相应的防护规则进行限制。更多信息，请参见访问控制。 4. 本地测试。 完成上述DDoS高防（边缘云版）配置后，建议您进行配置准确性检查和验证测试。 说明 您可以通过修改本地系统hosts文件的方式进行本地测试。 编号 检查项 网站域名配置准确性检查项 1 接入配置域名是否填写正确。 2 接入配置协议及服务端口是否与实际一致。 3 源站填写的IP是否是真实服务器IP。 4 若使用HTTPS检查证书是否上传成功。 5 是否开启频率控制、访问控制的防护规则严格模式。 6 查看计费详情，检查是否了解DDoS高防（边缘云版）的计费方式。 业务可用性验证项 1 测试业务是否能够正常访问。 2 观察业务返回4XX和5XX响应码的次数，确保回源IP未被拦截。 3 测试HTTPS链路访问是否正常。 4 （建议项）是否配置源站保护，防止攻击者绕过DDoS高防（边缘云版）直接攻击源站。 5 测试TCP业务的端口是否可以正常访问。 5. 切换DNS解析，引流业务流量。 说明 调整DNS解析记录需要几分钟后生效，可使用dig命令等确认是否已生效。 以上检查均测试通过后，可开始按域名逐个切换调整DNS解析记录，将网站流量引流到DDoS高防（边缘云版），并实时观察监测。若切换流量后出现异常，请快速恢复DNS解析记录。 6. 告警监控。 建议您根据业务情况在告警模块配置相应的告警策略，以便及时了解业务运行情况和发现异常现象。

接口描述：调用本接口查询UV数据 请求方式：post 请求路径：/statistics/queryuvdata 使用说明： 单个用户一分钟限制调用10000次，并发不超过100； 单次查询输入域名的个数不能超过100个； 按时间粒度1h返回数据，数据延迟时间15分钟，可查询历史数据时间范围为最近183天，支持最大时间跨度93天 若查询结束时间不包含在该批次的最后一秒，默认endtime为该批次最后一秒，例如：时间粒度为1h，endtime设置为17:30对应的时间戳，此时endtime默认成17:59:59； 时间片统计数据均为前打点，假如时间粒度为5m，timestamp "20211013 00:00"对应的时间戳，表示统计的数据为时间区间[20211013 00:00, 20211013 00:05) 请求参数说明（json） 参数 类型 是否必传 名称 描述 domain list 否 域名 域名列表 starttime int 是 开始时间戳 开始时间戳,单位秒 endtime int 是 结束时间戳 结束时间戳,单位秒 返回参数说明 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result list 是 每个时间间隔的结果 result[].timestamp int 是 时间片开始时间戳 result[].uvcount int 是 uv

问题描述 已配置公网NAT网关，存量Pod能访问公网，但部分新创建的Pod（Pod IP属于新子网）无法访问公网。 问题原因 新增的Pod子网未加入到NAT网关的SNAT规则。 解决办法 请配置NAT网关SNAT规则，加入新配置的子网。 双栈环境下部分Pod解析集群外域名失败，如何处理？ 问题描述 云主机所在子网开启了IPv6，部分Pod解析外部域名正常，部分Pod持续解析外部域名异常。 问题原因 该域名有A记录，没有AAAA记录，异常容器使用musllibc解析域名。当域名解析收到A NoError和AAAA NxDomain组合时，会认为解析失败。 解决办法 1. 容器镜像使用glibc替代musllibc； 2. 或业务不使用libc解析域名，例如Golang服务使用PureGo Resolver解析名称。

本章节内容主要提供文档下载 天翼云 数据库复制 用户指南.pdf

本节主要介绍迁出企业项目资源 操作场景 当资源需要按照企业业务进行分组管理或当资源分组发生变化时，可以对资源进行迁入或迁出操作，实现资源的重新分配。 企业项目管理支持跨区域将资源迁出到同一企业项目授权管理。 迁出企业项目资源包括以下两种场景： 将资源从该企业项目迁出到目标企业项目。 将资源迁出该企业项目，不再按照已规划的企业项目进行管理（将迁入到系统默认的企业项目“default”中）。 操作步骤 步骤 1 企业管理员使用已注册的天翼云帐号登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”，在企业管理控制台左侧导航菜单中，单击“项目管理”。 步骤 3 在企业项目管理页中的项目列表，单击待迁出资源企业项目右侧的“查看资源”。 系统进入企业项目详情页面，在“资源”页签下可查看该企业项目内资源信息。 步骤 4 勾选待迁出资源，单击“迁出”。 系统显示“迁出资源”页面。 步骤 5 选择迁出方式。 单资源迁出：将每个资源作为独立资源迁出，并且可以同时迁出多个资源。 如果是除ECS外的其他资源时，那么必须选择此项。 如果资源是ECS，可以选择此项，表示只迁出ECS，不迁出ECS的关联资源，例如ECS绑定的弹性IP和云硬盘。 ECS关联迁出：只需选择ECS资源，其关联的资源将自动同时迁出。 仅当资源是ECS，才可以选择此项，目前仅支持ECS及其关联资源弹性IP、云硬盘同时迁出。 步骤 6 选择要迁入的企业项目，单击“确定”。 若该资源需按照其他企业项目管理时，在下拉框中选择要迁入的企业项目即可。 若该资源不需按照已规划的企业项目管理时，选择系统默认的企业项目“default”即可。 资源迁出完成，在迁入的企业项目资源列表中即可查看已迁出的资源。

本文简述强制跳转的场景及配置方法。 功能介绍 强制跳转功能，可以将用户到边缘节点的请求方式重定向为HTTP或HTTPS请求。天翼云边缘安全加速平台安全与加速服务支持配置HTTP和HTTPS强制跳转，适用场景： 已经配置了HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTPS请求强制跳转为HTTP请求。 注意事项 当HTTPS开关未启用时，强制跳转只支持从HTTPS301或302重定向为HTTP。只有当HTTPS开启且完成证书配置的情况下，才支持从HTTP301或302重定向为HTTPS。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入请求协议页面，单击“编辑配置”。 4.变更“强制跳转”，从停用改为启用。 5.选择目标跳转场景，如“HTTP>HTTPS”、“HTTPS>HTTP”。 6.选择合适的跳转方式，如302跳转或301跳转。 配置界面 新增域名，配置强制跳转： 域名添加完成后，编辑强制跳转：

接口描述：调用本接口查询请求数数据 请求方式：post 请求路径：/statistics/queryrequestnumdata 使用说明： 单个用户一分钟限制调用10000次，并发不超过100； 单次查询输入域名的个数不能超过100个； 时间粒度为24h时，查询开始时间与结束时间需要跨天，否则查询的数据为空； 最大返回记录50000条记录； 若查询结束时间不包含在该批次的最后一秒，默认endtime为该批次最后一秒，例如：时间粒度为1h，endtime设置为17:30对应的时间戳，此时endtime默认成17:59:59； 时间片统计数据均为前打点，假如请求5分钟粒度数据，timestamp "20211013 00:00"对应的时间戳，表示统计的数据为时间区间20211013 00:00, 20211013 00:05)； 根据请求参数时间粒度（Interval）和聚合维度（groupby）个数的不同，单次请求可查询历史数据范围，数据延迟，对应如下，若开始时间超过可查询历史数据时间范围，超过部分的数据为0： 时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 7天 5m 最近365天 20分钟 31天 1h 最近365天 20分钟 31天 24h 最近365天 20分钟 31天 请求参数说明： 参数 类型 是否必传 名称 描述 ::::: starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype List 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时) domain list 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项，[点击查看省份及对应的省编码 isp list 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项，点击查看运营商及对应的运营商编码 networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，quic，other。 groupby list 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。 返回参数说明： 参数 类型 是否必传 名称 说明 ::::: code int 是 状态码 message string 是 描述信息 starttime int 否 开始时间戳，时间戳(秒) endtime int 否 结束时间戳，时间戳(秒) interval string 否 时间粒度 和输入保持一致，1m，5m，1h，24h。 reqrequestnumdatainterval list 否 每个时间间隔的请求数数据 reqrequestnumdatainterval[].timestamp int 否 时间片开始时间戳 reqrequestnumdatainterval[].producttype string 否 产品类型 reqrequestnumdatainterval[].domain string 否 域名 reqrequestnumdatainterval[].province int 否 省编码 reqrequestnumdatainterval[].isp string 否 运营商编码 reqrequestnumdatainterval[].networklayerprotocol string 否 网络层协议 reqrequestnumdatainterval[].applicationlayerprotocol string 否 应用层协议 reqrequestnumdatainterval[].requestnum int 否 请求数 reqrequestnumdatainterval[].missrequestnum int 否 回源请求数 reqrequestnumdatainterval[].hitrequestrate float 否 请求命中率

接口描述：调用本接口查询流量，命中流量，流量命中率，回源流量数据 请求方式：post 请求路径：/statistics/queryflowdata 使用说明： 单个用户一分钟限制调用10000次，并发不超过100； 单次查询输入域名的个数不能超过100个； 时间粒度为24h时，查询开始时间与结束时间需要跨天，否则查询的数据为空； 最大返回50000条记录； 若查询结束时间不包含在该批次的最后一秒，默认endtime为该批次最后一秒，例如：时间粒度为1h，endtime设置为17:30对应的时间戳，此时endtime默认成17:59:59； 时间片统计数据均为前打点，假如请求5分钟粒度数据，timestamp "20211013 00:00"对应的时间戳，表示统计的数据为时间区间20211013 00:00, 20211013 00:05)； 根据请求参数时间粒度（Interval）和聚合维度（groupby）个数的不同，单次请求可查询历史数据范围，数据延迟，对应如下表，若开始时间超过可查询历史数据时间范围，超过部分的数据为0。 时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近186天 20分钟 31天 1h 最近186天 20分钟 31天 24h 最近186天 20分钟 31天 请求参数说明（json）： 参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype list 否 产品类型 传“006”代表全站加速，不传代表全部产品。 domain list 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项，点击查看[地区及省份列表。 isp list 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项，点击查看运营商列表。 networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6、other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有应用层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 groupby list 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为productcode，domain，province，isp，networklayerprotocol，applicationlayerprotocol。 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 starttime int 否 开始时间戳，时间戳(秒) endtime int 否 结束时间戳，时间戳(秒) interval string 否 时间粒度 reqhitflowratedatainterval list 否 每个时间间隔的请求数数据 reqhitflowratedatainterval[].timestamp int 否 时间片开始时间戳 reqhitflowratedatainterval[].producttype string 否 产品类型 reqhitflowratedatainterval[].domain string 否 域名 reqhitflowratedatainterval[].province int 否 省编码 reqhitflowratedatainterval[].isp string 否 运营商编码 reqhitflowratedatainterval[].networklayerprotocol string 否 网络层协议 reqhitflowratedatainterval[].applicationlayerprotocol string 否 应用层协议 reqhitflowratedatainterval[].hitflowrate float 否 流量命中率 reqhitflowratedatainterval[].flow long 否 流量，单位Byte reqhitflowratedatainterval[].hitflow long 否 命中流量，单位Byte reqhitflowratedatainterval[].missflow long 否 回源流量，单位Byte

操作步骤 1、安装Nginx。 a.登录弹性云主机。 b.执行以下命令安装Nginx。 sudo aptget update sudo aptget install nginx c.调整防火墙（可选）。 UFW（Uncomplicated Firewall）是一个iptables的接口，可以简化配置防火墙的过程。Ubuntu默认安装了UFW，执行以下命令查看防火墙的状态。 sudo ufw status 如果你没有也不想开启防火墙，则可以直接跳过此步骤，如果你想要开启防火墙可以通过以下命令实现。 sudo ufw enable 之后再次检查防火墙状态验证是否成功开启防火墙。 在测试Nginx之前，需要重新配置我们的防火墙软件以允许访问Nginx。执行以下命令，将Nginx自动注册在UFW。 sudo ufw app list 回显信息： Available applications: Nginx Full Nginx HTTP Nginx HTTPS ... Nginx Full：此配置文件打开端口 80（正常，未加密的Web流量）和端口443（TLS / SSL加密流量） Nginx HTTP：此配置文件仅打开端口 80（正常，未加密的Web流量） Nginx HTTPS：此配置文件仅打开端口 443（TLS / SSL加密流量） 执行以下命令确保防火墙允许HTTP和HTTPS连接。 sudo ufw allow 'Nginx Full' d.验证Nginx是否正常工作。 在浏览器中通过域名或者IP地址进行访问Nginx，如果Nginx正常启动则会打开Welcome to nginx的欢迎页面。 使用浏览器访问 “ 2、安装MySQL。 a.执行以下命令安装MySQL。 sudo apt y install mysqlserver b.查看MySQL运行状态。 sudo systemctl status mysql mysql.service MySQL Community Server Loaded: loaded (/lib/systemd/system/mysql.service; enabled; vendor preset: enabled) Active: active (running) since Wed 20230726 15:57:29 CST; 22min ago Main PID: 10770 (mysqld) Status: "Server is operational" Tasks: 37 (limit: 4217) Memory: 364.9M CGroup: /system.slice/mysqld.service └─10770 /usr/sbin/mysqld Jul 26 15:57:29 ecsubuntu systemd[1]: Starting MySQL Community Server... Jul 26 15:57:29 ecsubuntu systemd[1]: Started MySQL Community Server. c.执行以下命令，进入MySQL。 sudo mysql d.执行以下命令，设置root用户密码。 ALTER USER 'root'@'localhost' IDENTIFIED WITH mysqlnativepassword by 'newpassword'; 其中'newpassword'为待设置的密码。 e.执行以下命令，退出MySQL数据库。 exit; f.执行以下命令，并按照回显提示信息进行操作，加固MySQL。 mysqlsecureinstallation Securing the MySQL server deployment. Enter password for user root:

参数名 类型 名称 是否必填 说明 domain str 域名 是 域名 appname str 频道名 是 发布点(频道名),以字母或者数字开头/结尾，中间可包含 streamname str 流名 是 流名，以字母或者数字开头/结尾，中间可包含 StartTime str 开始时间 是 开始时间。 格式为：yyyyMMddHHmm 示例：202202022020 EndTime str 结束时间 是 结束时间。 格式为：yyyyMMddHHmm 示例：202202022220 EndTime和StartTime之间的间隔不能超过4天

本小节介绍云解析添加SRV记录操作方法。 使用场景 服务器资源记录。 操作方法 1. 登录控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 2. 在域名维护页面，点击要修改的域名进入记录管理页。 3. 单击页面上方的“添加记录”按钮，系统将自动生成一条空白记录。 4. 填写以下信息。 主机记录：格式为“服务的名字.协议的类型”。 记录类型：选SRV记录。 线路类型：通常选择默认（默认为必填项，否则会导致部分用户无法解析）。 记录值：格式为 “优先级 权重 端口 主机名”。 TTL：缓存时间，默认为3600秒。 5. 单击“√”完成记录添加。

为了保证翼加密的正常使用，在使用之前，请您务必认真阅读以下注意事项。 客户端兼容性 (1)翼加密支持的Windows镜像版本是server 2016，暂不支持server 2008及win7操作系统版本。 (2)如果您的AI云电脑需要安装杀毒软件，建议使用“火绒”杀毒软件。 注意：翼加密目前不兼容腾讯电脑管家、非最新版本的360卫士以及其他第三方杀毒软件。使用这类杀毒软件可能会造成加密文件无法正常读写等问题。 加密规则和使用说明 透明加密&落盘加密 加密AI云电脑内传输、下载、编辑保存的符合加密策略的文件会被自动加密。加密全程无感知，不影响员工正常办公。 在AI云电脑内可正常打开已加密文件，在AI云电脑外打开是乱码。 同租户内加密文件互通 加密文件只要满足密级权限要求，在同租户下的加密AI云电脑可以互通，明文读写。外发到非加密的外部电脑打开为密文数据。如需外发请通过翼加密客户端提交脱密申请。 部分预览功能可能会被影响 浏览器、邮箱、OA办公或IM软件等的预览功能可能存在无法正常预览加密文件的情况。因为这些软件的预览功能一般是下载到本地后打开预览。文件下载后会被自动落盘加密，故无法正常打开。加密文件仅可以被加密策略中配置的相关应用程序明文打开。

接口描述：调用本接口获取指定时间内将要证书过期的域名数和已过期的域名数 请求方式：get 请求路径：/cert/queryexpirecount 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明： 参数 是否必填 参数类型 说明 示例 下级对象 days 否 int 多少天内证书即将过期的域名个数,不传默认30 10 producttype 否 string 产品类型列表,多个用英文逗号隔开，不传默认所有产品类型，产品类型支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）),“018”(爬虫管理) 006 返回参数说明： 参数 是否必填 参数类型 说明 示例 下级对象 code 是 int 状态码 成功100000 message 是 string 信息描述 成功返回success，其他返回异常信息描述 expirewithindayscount 否 int XX天内即将过期证书和已过期证书的域名数之和 35 expiredcount 否 int 证书已过期的域名个数 10

本节介绍了如何在控制台变更域名的服务区域。 使用场景 根据域名所提供服务的区域，用户可选择与之相匹配的边缘安全加速平台服务区域。例如：某站点的主要客户群体在中国内地，则域名接入边缘安全加速平台后，选择“中国内地”服务区域。客户端访问域名站点的流量，就会就近接入进入中国内地区域的边缘节点。 当服务区域为中国内地，站点请求会被调度到中国内的节点。 当服务区域为全球（不含中国内地），站点请求会被调度到全球（不含中国内地）的节点。 当服务区域为全球，站点请求会被调度到中国内地或全球（不含中国内地）的节点。 前提条件 订购边缘安全加速服务，加速区域为“全球”的套餐。加速区域为“中国内地”或者“全球（不含中国内地）”的套餐，不可变更域名的服务区域。 域名状态为“已启用”。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.在域名操作栏点击“区域变更”，选择服务区域后点击确定即可。 注意 1、不同服务区域对应不同资费标准，服务区域包含中国内地时，域名请先完成在中国大陆的ICP备案，同时完成公安网的备案。 2、修改服务区域，由于服务节点变更，短期内回源的流量会增加，命中率会下降，请您留意源站运行情况。 3、 修改服务区域可能会引起回源IP变更，如果您的源站有回源IP白名单限制，请通过 4.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“已启用”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

延迟注册 应用在启动时，会存在内部资源还未初始化完成，服务就被暴露到注册中心，被外部的消费者调用，这种情况可能会导致调用报错。通过设置延迟注册，可以在应用的内部资源初始化完成之后再将服务注册到注册中心，供外部消费者调用。 参数 说明 延迟注册时间（秒） 延迟注册时间， 时长设置范围为0~86400秒（即24小时）。

本章节介绍注册配置中心Nacos引擎的高可用最佳实践 概述 对于注册配置中心而言，高可用是非常关键的。注册配置中心是微服务体系中的核心依赖，当注册配置中心不可用时，整个微服务体系都将无法对外提供服务。 本文将介绍注册配置中心Nacos引擎的高可用最佳实践。遵照下述设置，将发挥注册配置中心最大的高可用能力。 版本推荐 springcloud：推荐使用2.2.6.RELEASE及以上版本。 dubbo：推荐使用2.7.12及以上版本。 springboot：推荐使用2.3.x及以下版本，2.4.x版本存在兼容问题，不推荐使用。 集群高可用 实例在开通时将提供以下选项，遵照这些选项进行设置，将提升集群的高可用能力。 1. 多节点：提供多节点集群的选项。对于Nacos引擎而言，节点数为奇数（3，5，7，9）。集群节点数越多，可用性越高。 2. 跨可用区：对于多节点的Nacos集群，可提供跨可用区部署。使用跨可用区部署时，节点的故障发生事件将相互独立，集群可用性将进一步提高。 注意 您需要在开通实例时指定可用区模式为“多可用区部署”，才能触发跨可用区高可用能力。 此外，注册配置中心实例将提供额外的手段以提高集群的可用性，这些手段是实例自动附带的，默认为开启状态。这些手段包括： 1. 服务进程保活。Nacos引擎提供了进程保活机制对机器中的Nacos进程进行探测和自动拉起。 2. 典型异常故障自愈。 3. 服务可用性实时探活，极端情况下，不可用时自动告警，人工将介入恢复，保障可用性。

新增访问密钥时忘记下载，如何重新下载找到密钥文件？ 删除密钥重新生成即可。并且为了安全，最好每3个月重置密钥。 accesskey能否删除？ 支持删除。 是否可以设置密码有效期？ 支持。登录官网后，在账号中心安全设置密码策略密码有效期策略中设置。IAM用户与主账号保持一致。 天翼云官网账号如何修改绑定手机号？ 登录官网以后点击头像下方的“个人中心”进入“安全设置”页面更换手机号，验证原手机号的验证码以后即可更换新的手机号。详情可参考：更换手机号 无法收到短信验证码怎么办？ 1. 网络通讯异常可能会造成短信丢失，请重新获取或稍后再试。 2. 请核实手机是否已停机，或者屏蔽了系统短信。 售前、售后问题可以通过哪些方式解决？ 用户遇到售前、售后问题时，可以通过以下几种方式解决： 咨询热线 用户可拨打客服热线咨询售前、售后问题。咨询热线：4008109889 帮助文档 用户在官网首页点击顶部导航“文档“进入帮助中心页面，然后点击上方的产品导航快速查找产品，点击相应产品即可进入产品文档，自助解决问题。 智能客服 用户可点击官网首页右侧“服务与建议“，选择“ 智能客服” 进入在线客服界面，选择人工服务 提交工单 1、登录天翼云官网，点击顶部导航“管理中心“进入总览页面。 2、在总览页面点击右上侧“更多工单新建工单”进入工单页面，选择“提交工单”。 3、创建工单。根据遇到的问题，选择问题所属产品、选择问题分类，创建工单。 4、填写工单 。根据实际情况和工单页面提示，填写工单内容，如果有报错截图，可以将图片上传。 5、确认信息后点击“确定提交”即可。提交工单后，天翼云工程师会即时进行处理。

产品功能区别 功能 可用区资源池 地域资源池 域名递归转发（全局域名） 支持 不支持 PTR(将IPV4地址反向映射到域名) 支持 不支持 云产品内网域名权威解析 支持 不支持 创建入站终端节点 支持 不支持 删除入站终端节点 支持 不支持 查询入站终端节点 支持 不支持 修改入站终端节点 支持 不支持 IDC通过专线接入访问入站终端节点 支持 不支持

本节介绍翼加密客户端调整文件密级的使用介绍 右键快捷调整 1.用户在加密AI云电脑内批量选择加密文件； 2.点击鼠标右键； 3.在右键菜单中点击“调整文件密级”。 翼加密客户端 1.打开翼加密客户端； 2.点击文件密级调整。 高密级的用户，可将文件密级降低后，发给低密级的用户，让低密级用户有权限正常读写加密文件。

本章节主要介绍翼MR Manager的操作。 概述 翼MR Manager由天翼云自主研发，主要为运维工程师提供日常的大数据组件运维管理操作能力。通过可视化、流程化的方式对系统中的各个系统资源和数据资产进行管理，并支持自动化的运维调度、统一的配置文件管理、统一运维监控，支持组件集群服务管理、多租户管理、资源管理等功能。在提高运维人员工作效率的同时，为大数据运维工作者提供专业全面的运维能力，从而大幅降低大数据平台的运维门槛。 ● 提供集群服务管理，为用户快速掌握环境、集群、主机、组件服务等数据信息。 ● 提供运维自动化管理，提高大数据运维效率，降低人力成本。 浏览器支持 建议使用Google Chrome浏览器 。 系统界面简介 翼MR Manager提供统一的集群管理平台，帮助您快捷、直观的完成集群的运行维护。 详见下图：翼MR Manager系统界面。 界面左侧为菜单导航区域，右侧为显示区域和操作区域。 菜单导航区域的详细功能如下表所示： 菜单导航 功能描述 首页 展示平台主机健康状态、初始化状态汇总； 故障和告警集群信息； 平台告警信息。 资源概览 展示所有主机的CPU、内存、网络等信息。 集群服务 展示所有集群，集群列表按组件类型，列表视图列出，在集群列表处一键启动所有集群、一键停止所有集群，支持健康检查； 支持单集群的启动、停止、滚动重启等操作； 支持角色实例的启动、停止、重启、滚动停止、滚动重启等操作； 支持查看集群的告警历史和监控看板等。 主机 展示当前平台的所有主机； 支持对主机进行置维护、取消维护操作； 支持查看单个主机基础信息、主机资源使用信息、主机上的文件系统信息； 支持查看单个主机上安装的角色实例、告警历史。 租户与资源 支持对LDAP租户与Kerberos安全凭证进行管理；提供YARN队列管理与HBase数据库管理功能。 监控与告警 支持查询角色实例级、主机级的监控指标；支持按需创建和导入告警规则； 支持指标结果的绘图操作，让用户更直观获取监控项变化； 支持按照集群级、角色实例级、主机级查询告警内容。 运维与配置 支持对各集群服务的配置文件进行修改、同步、回滚等操作；支持查看所有流水线的运行历史记录，以及操作人。

本节主要介绍如何快速入门智能视图服务产品。 登录控制台 1. 注册并登录天翼云官网，需完成实名认证。 2. 通过【产品视频智能视图服务】进入智能视图服务产品页，点击【立即开通】。 3. 选择需要购买的服务，确认订单完成支付后，智能视图服务即自动开通。 4. 点击产品详情页的【管理控制台】即可开始使用您的智能视图服务。 设备接入 设备接入需要如下过程： 1. 在设备管理页面，点击【添加设备】选择接入协议并填写设备信息。 2. 在设备端自身的管理控制台填写相应配置，完成设备注册和流上线。 国标设备的详细接入流程可参考【设备管理国标设备接入】。 RTMP设备的详细接入流程可参考【设备管理RTMP设备接入】。 RTSP设备的详细接入流程可参考【设备管理RTSP设备接入】。 EHOME设备的详细接入流程可参考【设备管理EHOME设备接入】。 实时预览 预览视频流的实时画面，需要如下过程： 1. 点击左侧导航栏【视频服务实时预览】进入预览窗口。 2. 在左侧设备树中选择目标设备。 3. 点击设备或拖拽至播放窗口进行实时预览。 实时预览功能页面的操作说明可参考【实时预览播放控制】。

本节介绍云容器引擎的最佳实践: 容器中域名解析的最佳实践。 Pod的DNS解析行为 Kubernetes以Pod为最小可创建、管理、部署单元，Pod内部包含一个或一组共享namespace和cgroup的紧密关联的容器。容器内部的DNS解析行为与Pod的DNS解析行为概念上是对等的。 Pod中的DNS查询行为直接受Pod的/etc/resolv.conf配置文件的影响，Kubelet在拉起Pod时，会根据Pod规约中dnsPolicy的配置为Pod生成/etc/resolv.conf配置。 默认情况下，Pod的dnsPolicy设置为clusterFirst, Pod的/etc/resolv.conf值类似: nameserver 172.20.0.10 search .svc.cluster.local svc.cluster.local cluster.local options ndots:5 各字段解释如下: nameserver : 域名解析服务器 search : 域名查找后缀规则，会在 .svc.cluster.local svc.cluster.local cluster.local三个域中搜索匹配的记录 options : 域名解析选项，KV值格式，典型的有ndots，表示解析的域名字符串内的点字符数量超过ndots值，则认为是完整域名，直接解析，如不足，则追加.svc.cluster.local后缀 默认情况下, nameserver值为云容器引擎内置的CoreDNS service ClusterIP, Kubernetes在CoreDNS中为普通Service赋予一个形如 mysvc.mynamespace.svc.clusterdomain.example的DNS A记录,该名称会解析成Service对应的clusterIP。 Pod访问集群内部Service域名时，根据域名后缀规则依次查询Service名称，获得Service对应的ClusterIP。 Pod访问集群外部域名时，根据Pod规约的dnsPolicy值不同，使用Pod所在节点配置的DNS或者使用CoreDNS所在节点的配置DNS服务器进行解析。

本文介绍缓存过期时间设置方法。 功能介绍 缓存过期时间指源站资源在全站加速节点缓存的时长，在缓存未过期前，对应资源会直接从全站加速节点响应给用户；达到预设缓存过期时间后，资源将会被全站加速节点标记为缓存过期。此时如果客户端向全站加速节点请求该资源，全站加速会携带IfModifiedSince请求头或IfNoneMatch请求头回源站校验内容是否有更新，如有更新则获取最新资源并缓存到全站加速节点，如无更新则继续使用原有缓存文件。您可以根据业务需求，按指定路径或文件名后缀等方式配置静态资源的缓存过期时间。 注意事项 1. 您可基于天翼云默认推荐的缓存设置，按需进行调整后，直接使用，当前默认推荐配置如下： 2. 如您删除了上述默认推荐设置，且未添加其他任何设置情况下，全局默认不缓存走动态加速回源。 3. 如果加速域名下的文件访问热度过低（指同个文件在一段时间内被访问的频次过低），则很可能在过期时间到来之前被其他热度更高的文件覆盖。即：即使某个文件配置的缓存时间较长，如1个月，仍有可能在1个月内重复回源。 4. 天翼云全站加速节点的缓存时间，最长可以设置为3年，即1095天。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【缓存配置】。 5. 在【缓存过期时间】下方单击【增加规则】，弹出的对话框中，配置缓存时间规则，并单击【确定】。 （1）选择【类型】，如后缀名、目录、首页、全部文件、全路径文件，并配置相应的内容。 后缀名：指文件后缀名，可单击选择后缀名，如jpg，png。若后缀名不在选择清单内，可在【其他文件】框输入其他后缀名。 目录：指具体目录，例如值为：/a/，表示目录前缀为/a/的文件。 首页：指域名首页，值固定为/。 全部文件：指对应域名下的所有文件，值固定为/。 全路径文件：指对应URI的文件，例如值为：/a/b.js，则表示请求url中位于/a/目录下的b.js文件的缓存规则（无论是否携带问号后参数）。 （2）选择【缓存规则】，默认为强制缓存。 如选择强制缓存，则即使源站返回CacheControl：nocache/nostore/private等不缓存头或类似CacheControl：maxagen (n>0) 的缓存头时，全站加速节点仍将按照预设的规则及时间缓存文件。 注意 如选择强制缓存，且过期时间设置为0，则无论源站如何响应，全站加速节点均不缓存该文件。 如选择优先遵循源站，则源站如果返回CacheControl：nocache/nostore/private等不缓存头或CacheControl：maxagen (n>0)、Expires响应头时，优先按照源站响应头对应的缓存时间生效。 如选择不缓存，则无论源站返回任何缓存相关响应头，全站加速节点均不缓存。 （3）选择【过期时间】单位，如秒、分钟、小时、天，再填写对应的过期时间。 （4）【缓存参数】默认忽略参数，如需要带问号后参数缓存，请选择不忽略参数。 注意 对于可缓存的文件，全站加速节点通常会设置缓存key（缓存key为文件在全站加速节点上缓存的唯一ID）。默认情况下，全站加速节点会将问号后参数去掉的内容作为缓存key，以提升缓存命中率，降低回源量。如果原始URL中携带问号后参数，且参数不同时源站指向不同文件，则选择不忽略参数，避免缓存错误。 （5）填写【权重】。权重即优先级，支持自定义，数字越大则越优先生效。如果同个URL满足不同的缓存规则设置，例如该URL既属于某个文件后缀，又属于某个目录下，此时具体遵循哪条缓存规则，取决于二者的权重设置，最终按权重数字大的生效。 6. 单击【保存】，完成配置。

配置加密 MSE注册配置中心的配置数据一般都是以明文的格式存储，但是对于部分敏感数据可能需要加密存储和传输，通过SPI插件机制实现配置加密和解密，从而减少数据泄露风险。 创建加密配置 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表，单击实例ID 或者"管理"按钮跳转至基础信息页面； 3. 在基础信息页面，左侧菜单点击配置管理> 配置列表，选择命名空间，点击创建配置； 4. 在创建配置面板，开启数据加密开关，选择加密算法，默认为AES256加密算法； 5. 选择配置格式，填写配置内容，然后点击发布； 6. 加密配置默认dataId增加cipheraes前缀，在MSE管理控制台查看加密配置时看到的是解密后的明文； 存储加密配置 加密配置一旦被创建，将在Nacos数据库中被加密存储。加密算法与在控制台创建该配置时所选用的加密算法相吻合。 传输加密配置 若要实现加密配置的加密传输，客户端需要同时满足如下几个条件： 1，选用Java客户端，且客户端Javasdk版本大于等于2.1.0； 2，下载天翼云MSE客户端配置加密插件（点击下载); 3，业务侧配置maven依赖，用户可将插件依赖包先安装到本地maven仓库，在业务工程maven依赖中引入nacosaesencryptionplugin和nacosencryptionplugin依赖； xml com.ctg.mse nacosencryptionplugin 1.0.0 com.ctg.mse nacosaesencryptionplugin 1.0.0 4，在nacosclient下排除依赖开源nacosencryptionplugin包 xml com.alibaba.nacos nacosclient 2.1.0 com.alibaba.nacos nacosencryptionplugin 注意 当您使用Javasdk1.x版本客户端时，加密配置将被以明文形式传输，无法实现传输加密；当您使用Javasdk2.x版本客户端，但未同时满足上述两个条件时，加密配置将被以密文形式传输，但客户端在得到密文时，将无法对加密内容进行解密。

天翼云为您提供弹性文件服务产品服务协议,请您点击查看。 天翼云弹性文件服务协议

天翼云网页防篡改（原生版）产品（CTWT，WebpageTampering）具有广泛的应用场景，以下是三种常见的应用场景。 场景一：网站实时监管 政府、金融、交通等行业需要对网站进行实时监测，防止网站被植入涉恐、涉政、暗链、后门等，否则一旦网站出现被篡改问题，会严重影响政府、交通等单位形象，造成企业巨大损失。 场景二：重大活动保障 在重大活动保障期间，各行业的官网、业务系统等网站出现非法关键词，导致被监管单位通报，其声誉将受到影响，评分会受到严重影响。 场景三：等保合规 信息安全等级保护是我国信息安全保障的一项基本制度，要求网络经营者应符合网络安全等级保护制度的要求。天翼云网页防篡改（原生版）帮助有等保需求的用户，进行安全测评，满足等保合规的要求。

本章节介绍注册中心迁移方案 MSE Nacos Sync迁移方案 本文介绍基于Nacos Sync 注册中心的迁移方案。 迁移方案简介 Nacos sync 是一个支持多种注册中心的同步组件，目前支持Nacos 和Zookeeper 注册中心 的双向同步，另外还支持Eureka 和Consul数据同步到Nacos。 迁移工具介绍 在迁移过程中，Nacos sync能够将源集群上的服务信息同步到目标集群实例上，从而实现配置中心之间的平滑迁移。 Nacos Sync 本身是无状态的，将任务等状态数据保存在数据库中，所以水平扩展非常方便。Nacos Sync 通过定时任务补偿机制处理宕机节点未处理完毕的任务数据。注册配置中心实例已经内置同步工具，无需用户额外安装，迁移方法可以参考章节：迁移上云。 Nacos Sync适配Zookeeper、Nacos和Eureka 的服务注册逻辑，能够实现从Zookeeper、Nacos和Eureka 自动获取服务，一键同步，操作非常简单。 支持的注册中心类型 源注册中心 目标注册中心 说明 Nacos Nacos Nacos原生服务类型。 Zookeeper Nacos 基于Curator实现的服务发现功能和Dubbo服务。 Zookeeper Zookeeper 服务和配置。 Eureka Nacos Eureka原生服务类型。Eureka原生服务名为大写，但Nacos Sync会将服务名名转换成小写。 从Dubbo Nacos迁移到MSE 本文介绍如何从Dubbo+Nacos 迁移服务到MSE。

参数 说明 awsaccesskeyid 用户账号 access key awssecretaccesskey 用户账号 secret key endpointurl 天翼云资源池的地址，必须指定http或https前缀 config 客户端配置，可以配置连接超时时间

一级特性 二级特性 serviccombjavachassis springcloudhuawei sermant agent 备注 微服务治理 优雅上下线 √ √ √ 无损升级 √ √ √ 服务端限流 √ √ √ 客户端容错 √ √ √ 客户熔断 √ √ √ 客户端降级 √ √ √ 服务端隔离仓 √ √ √ 客户端隔离仓 √ √ √ 负载均衡策略 √ √ √ 灰度发布 √ √ √ 全链路日志追踪 √ √ × 服务治理状态上传 √ √ × 快速失败 √ √ × 故障注入 √ × √ 黑白名单 √ √ × 注册发现 本地注册发现 √ √ × 单注册CSE √ √ √ 单注册ServiceCenter √ √ √ 双注册 × × √ 双注册指同时注册到两个注册中心，当前sermant支持同时注册到cse和宿主原生注册中心。 配置中心支持 servicecomb引擎 √ √ √ 可基于配置中心下发配置,例如服务治理规则、业务配置。 Nacos引擎 √ √ √ servicecombkie √ √ √ zookeeper × × √ 轻量化配置中心（zeroconfig） √ × × apollo × × × 安全特性 安全认证 √ √ × 服务实例与注册中心以及消费端与生产端之间的认证。 开发 多协议支持 √ × × JavaChassis针对消费与生产端支持多种通信协议，如下： l 生产端：JAXRS、SpringMVC、透明RPC。 l 消费端：透明RPC、RestTemplate、InvokerUtils。 拓展 l 支持用户自定义处理链处理流量。 l 支持用户扩展流量治理。 l 支持Spring Cloud原生扩展。 l 支持用户扩展流量治理。 基于插件开发模式新增能力。

登录平台之后会自动进入天翼云学堂首页，平台首页按功能模块分为11个区域，效果图如下： 网站名称 显示网站的名称或者网站LOGO:天翼云学堂。 导航栏 显示顶部导航内容：在线课程中心、认证考试中心、精品直播中心、学习班级。点击后直接跳转对应的二级页面。 搜索栏 全站课程搜索栏：支持模糊搜索，支持本地搜索。 信息栏 1) 我的学习： 显示我的课程，我的班级，我的直播、我的考试、我的认证等内容。 a) 我的课程：此处显示学员所有已加入的课程和加入的班级内的课程信息（包含学习中/已学完/收藏）； b) 我的班级：显示学员所加入的班级信息； c) 我的直播课表：显示学员所有已加入的直播课程信息； d) 我的问答：显示学员所有的课程问答信息； e) 我的话题：显示学员参与的所有话题信息； f) 我的笔记：显示学员所有的笔记信息，支持快速查看笔记内容； g) 我的考试：显示学员所有的考试情况以及收藏的题目； h) 我的认证：显示学员获得的所有认证，并提供下载功能。 2) 账户中心： 显示我的订单、邀请码、优惠券、会员记录、我的积分。 a) 我的订单：学员可以在此页面查看自己在平台的购买记录，并且进行退款操作，在退款列表中，可以对申请的退款进行查看。 3) 个人设置： 显示个人信息、安全设置（修改用户身份认证） a) 个人信息：此处可编辑填写用户账户基本信息。 注：建议初登录系统的用户完善账号信息 b) 安全设置：可设置/修改用户身份，用户身份分为个人学习用户、中国电信员工、天翼云代理商，如下图所示： 通知、私信 显示管理员发送给你的通知或平台其他用户发送给你的私信。 头像 1) 退出登入 为确保账户安全，在不使用本系统时，请退出本系统。退出系统的时候请点击用户头像选择点击【退出】按钮。 2) 点击头像进入个人主页 在个人主页平台用户可查看到你的个人介绍、正在学习课程/班级、收藏的课程、加入的小组、你关注的用户以及你的粉丝。 轮播图 显示首页轮播图内容，点击后跳转到相应的内容页。 课程推荐模块 学员可根据首页推荐的课程，点击进入课程信息详情页，快速加入学习。 中部导航栏 显示3个导航入口，引导客户进入各个专题页面。 职业职格认证模块 显示3个认证链接入口，引导客户进入各个认证页面。 底部导航 嵌入天翼云主站底部栏，和天翼云主站底部保持一致。

本章介绍迁移网络相关问题。 主机迁移的网络安全配置与条件有哪些？ 背景说明 在使用主机迁移服务时，需要在被迁服务器上安装SMSAgent。迁移过程中，源端要与SMS服务及目的端进行通信。 图 主机迁移服务网络示意图 源端能连接到天翼云API Gateway 主机迁移服务依赖部分服务：IAM、ECS、EVS、IMS、VPC、SMS、OBS、DNS，在迁移过程中要确保源端agent能调用目的端服务器所在region相关依赖服务的API。在 SMSAgen/config中的 cloudregion.json文件中，可以查看依赖服务的URL。 当源端服务器无法设置DNS服务器地址时，需要在本地DNS配置文件中 （Windows C:WindowsSystem32driversetchosts；Linux /etc/hosts)配置url对应的ip，保证url能被正常解析。各API的IP地址可以通过 ping url 获得。 源端能连接到目的端 若使用弹性公网IP连接，目的端需要提前购买和配置正确的EIP。使源端能连接到目的端IP。 若使用专线或者VPN，需提前购买和配置正确的专线或VPN。使源端能连接到目的端IP。 目的端服务器所属安全组开放端口要求 目的端服务器为windows系统时需要放开 8899、8900 、22端口。服务器为linux系统时，Linux系统开放8900、22端口。 当目的端设置了网络ACL时，并关联了目的端服务器所在的子网。需要在网络ACL中，放开相应的端口。 新建迁移任务需要对目的端服务器做哪些准备？ 迁移前，若选择迁移到已有服务器，请做以下准备工作： 1. 确保天翼云上有满足[如何选择目的端服务器？](