本节主要介绍Backoff。 当OOS系统服务繁忙，暂时不可使用时，OOS会向客户端返回503响应码和RetryAfter响应头。示例如下： HTTP/1.1 503 Service Unavailable xctyunrequestid: abdcf4945d14406a30383a4b4e4948542d6b6e696854 RetryAfter: 90 Date: Tue, 6 May 2014 08:02:58 GMT ContentLength: 133 ContentType: text/xml Server: CTYUN SlowDown Please reduce your request rate.

本文主要介绍手工搭建LAMP环境(CentOS 7.8 PHP7.0)。 简介 LAMP是由Linux、Apache、MySQL和PHP建立的web应用平台。 本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LAMP平台的web环境。该指导具体操作以CentOS 7.8 64位操作系统为例。 前提条件 1、弹性云主机已绑定弹性公网IP。 2、弹性云主机所在安全组添加了如下表所示的安全组规则 方向 协议/应用 端口/范围 源地址 入方向 HTTP(80) 80 0.0.0.0/0 资源规划 本次实践所用的资源配置及软件版本如下表中所示。当您使用不同的硬件规格或软件版本时，本指导中的命令及参数可能会发生改变，需要您根据实际情况进行调整。 资源 资源说明 成本说明 弹性云主机 计费模式：按需计费 规格：c7n.large.2 镜像：CentOS 7.8 64bit 系统盘：40G 弹性公网IP：自动分配 公网带宽：按流量计费 带宽大小：5 Mbit/s ECS涉及以下几项费用： · 云主机 · 云硬盘 · 弹性公网IP Apache 是一个开放源码的Web服务器。 免费 MySQL 是一款开源的关系数据库软件。获取方式：< 免费 PHP 是一款开源软件，用于Web开发。获取方式：< 免费

副本集模式启动数据库 DDS实例的物理备份默认带有原实例的副本集配置。启动时需以单节点模式启动，否则可能无法访问。 如需以副本集模式启动，请先执行步骤5，再执行以下步骤： 步骤 1 通过服务器的mongo shell登录恢复后的数据库。 步骤 2 移除原有副本集配置。 use local db.system.replset.remove({}) 步骤 3 关闭数据库进程服务。 use admin db.shutdownServer() 步骤 4 修改“/path/to/mongo/”目录下的配置文件“mongod.conf”，添加replication相关配置。详细命令用法请参考MongoDB官方文档部署副本集。 步骤 5 指定新建的配置文件“mongod.conf”来启动数据库。 /usr/bin/ mongod f /path/to/mongo/mongod.conf 说明 /usr/bin/为已安装MongoDB客户端中mongod文件所在路径。 /usr/bin/为已安装MongoDB客户端中mongod文件所在路径。 步骤 6 将成员加入副本集并初始化副本集。 说明 此步骤使用 rs.initiate()命令进行操作，详细命令用法请参考MongoDB官方文档

本文将介绍针对平台操作审计日志进行介绍。 您通过控制台或API进行相关平台操作时，会实时记录操作内容，用于后续追溯、审计。 操作步骤 1. 登录边缘安全加速控制台。 2. 可针对需求进行查询相关日志情况。 3. 在左侧导航栏，选择运营管理>日志服务>操作日志。 注意 进行平台相关操作时，如新增域名、修改配置等，均会进行记录到操作日志以供查询，目前该服务能力仅支持【零信任服务】【安全与加速】模块的操作相关记录。 提供并展示30天内全部的平台操作审计日志，若有长时间存储日志需求，可 字段说明 字段 字段说明 操作时间 用户操作时间 产品服务 按照购买产品服务区分，目前仅支持【零信任服务】【安全与加速服务】 操作对象 针对哪些服务、功能进行操作 操作内容 具体操作内容信息 动作 修改、新增、导出等相关操作动作 状态 成功、失败。其中成功仅意味当下操作成功下发到后端，并不代表配置实际生成成功。 操作人 操作帐号 安全与加速支持操作日志的模块 目前安全与加速服务只有部分模块支持记录操作日志。 一级菜单 二级菜单 功能模块 域名管理 支持记录新增、启用、停用、删除、导出域名等操作 安全能力 Web应用防火墙 支持记录以下内容的操作日志 防护总开关 无需检测的静态文件 规则防护引擎防护模式、规则模板 敏感词防护基础信息 攻击挑战防护开关 cookie挑战防护开关 合规性检测防护开关 复制操作复制全局策略、防护规则引擎、规则ID、规则白名单等 访问控制/限流 支持记录以下内容的操作日志 防护总开关 CC防护 访问控制防护开关 频率控制防护开关 复制操作复制防护开关、复制规则 Bot防护 支持记录以下内容的操作日志 防护总开关 客户端标识过期事件 无需检测的静态文件 爬虫陷阱处理动作、基础信息 工具管理 IPv6检测 支持记录新增检测任务、数据导出部分的操作日志 日志与数据分析 告警管理 支持记录新增、删除、修改、开启、关闭告警任务 报告订阅 支持记录新增、删除、修改、开启、关闭报告订阅任务

本小节介绍开启容器安全防护。 您可以为已购买的服务器开启容器版安全防护，开启后按照容器版所提供的能力对服务器进行安全防护。 开启容器节点防护时，您需为指定的节点（主机）分配一个配额，关闭容器安全防护或删除节点（主机）后，该配额可分配给其他的节点（主机）使用。 检测周期 企业主机安全每日凌晨进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能看到检测结果。 前提条件 “资产管理 > 容器管理”页面“容器节点管理”中目标服务器“Agent状态”为“在线”。 已在云容器引擎成功创建节点。 节点的“容器防护状态”为“未防护”。 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、 根据需求可选择批量开启防护和单服务器开启防护。 单服务器开启防护 a.在“节点列表”中目标服务器的“操作”列单击“开启防护”，为需要开启防护的节点开启防护。 b.在弹窗中确认信息。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 确认开启集群防护 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。 批量开启防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“开启防护”。 b.在弹窗中确认信息及选择计费模式。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。

本章节主要介绍ALM24012 Flume证书文件已过期的告警。 告警解释 Flume每隔一个小时，检查当前系统中的证书文件是否已过期。如果服务端证书已过期，产生该告警。服务的证书文件恢复到有效期内，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 24012 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Flume证书文件已过期，功能受限，Flume客户端将无法访问Flume服务端。 可能原因 Flume证书文件已过期。 处理步骤 查看告警信息 1.登录FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM24012 Flume证书文件已过期 > 定位信息”。查看告警上报的实例的IP地址。 检查系统中合法证书文件的有效期，重新生成证书文件 2.以root用户登录告警所在节点主机，并执行su omm切换用户。 3.执行以下命令进入Flume服务证书目录。 cd ${BIGDATAHOME}/FusionInsightPorter/install/FusionInsightFlume/flume/conf 4.执行以下命令查看HA用户证书的生效时间与失效时间，查看目前时间是否在有效期内。 openssl x509 noout text in flumesChat.crt 是，执行步骤9。 否，执行步骤5。 5.执行以下命令进入Flume脚本目录。 cd ${BIGDATAHOME}/FusionInsightPorter/install/FusionInsightFlume/flume/bin 6.执行以下命令重新生成证书，等待1小时，观察此告警是否被清除。 sh geneJKS.sh f sNetty12@ g cNetty12@ 是，执行步骤8。 否，执行步骤7。 7.使用omm用户在Flume实例产生告警的节点，重复执行步骤5~步骤6，等待1小时，观察此告警是否被清除。 是，执行步骤8。 否，执行步骤9。 8.查看系统在定时检查时是否会再次产生此告警。 是，执行步骤9。 否，处理完毕。

本章节介绍Redis主从切换故障演练。 背景介绍 Redis 高可用性依赖自动主备切换机制。当主节点故障时，备节点会被提升为新主节点，以保障服务连续性，但切换期间可能出现短暂中断或只读窗口。本演练通过主动触发可控主备切换，帮助您验证客户端故障转移与自动重连能力以及评估切换对业务的瞬时影响。 基本原理 通过调用Redis主从切换OpenAPI，触发Redis集群实例进行主从切换。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式缓存服务Redis版 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标Redis 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式缓存服务Redis版。 添加实例 ：单击添加实例 ，勾选上一步中添加的Redis实例。 添加故障动作 ：单击立即添加 ，在列表中选择主从切换动作。 4. 单击确定完成动作添加，此故障动作无需配置额外参数。

自定义新建告警模型 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“建模分析 > 智能建模”，进入智能建模的可用模型页面。 5. 在可用模型列表左上角单击“新建模型”，进入新建告警模型页面。 6. 在新增告警模型页面中，配置告警模型基础信息，参数说明如下表所示。 参数名称 参数说明 管道名称 选择该告警模型的执行管道。 模型名称 自定义该条告警模型的名称。 严重程度 设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。 致命：致命级别的告警表示系统已经受到严重的攻击，可能导致数据丢失、系统崩溃或者长时间的服务中断。例如，发现勒索加密行为或恶意程序感染。建议您立即处理，避免对系统造成更严重的损害。 高危：高危级别的告警表示系统可能正在受到攻击，但尚未造成严重的损害。例如，检测到未授权的登录尝试或执行了危险命令（如删除关键系统文件或修改系统设置的命令）。建议您及时调查并采取措施，以防止攻击蔓延。 中危：中危级别的告警表示系统存在潜在的安全威胁，但目前没有明显遭受攻击的迹象。例如，检测到文件或目录的异常修改，表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施，以确保系统的安全。 低危：低危级别的告警表示系统存在轻微的安全威胁，不会对系统的正常运行产生显著影响。例如，检测到一些端口扫描行为，这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理，不需要立即采取紧急措施。如果您的资产安全等级要求较高，可以关注该等级的安全告警。 提示：对应资源存在潜在的错误可能影响到业务。如果您对您的资产的安全等级要求较高，可以关注该等级的安全告警。 告警类型 选择该条告警模型触发后，提示的告警类型。 模型类型 默认为规则模型。 描述 该告警模型的描述信息。 启用状态 设置该告警模型的启用状态。 此处设置的状态，可在整个告警模型设置成功后进行更改。 7. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。 8. 设置模型逻辑，参数说明如下表所示。 参数名称 参数说明 查询规则 设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。 语法参考请参见查询与分析语法。 查询计划 设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为559分钟；当运行查询为小时时，可设置为123小时；当运行查询为天时，可设置为114天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为559分钟；当时间窗口为小时时，可设置为123小时；当时间窗口为天时，可设置为114天。 延迟执行时间：xx分钟，可以设置为05分钟。 告警扩充 自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。 触发条件 设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 如有多条触发条件，可以单击“添加”按钮进行添加，最多可添加5个触发条件。 当设置了多个触发条件时，在日志数据扫描检测中，如果有满足此处设置的不同的触发条件被检测到时，系统都将展示不同类型的告警。 告警分组 配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警 调试模式 设置是否生成调试类告警。 抑制 设置生产告警后是否停止运行查询。 如果开启，则表示抑制，即生成告警后停止运行查询。 如果关闭，表示不抑制，即生成告警后不停止运行查询。 9. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。 10. 预览确认无误后，单击页面右下角“确定”。

本节为您详细介绍包周期计费模式编码套餐 编码套餐（Coding Plan）是专为AI编码场景打造的套餐订阅服务，仅需按固定周期付费，即可在主流AI开发工具中畅享热门模型，获得便捷、稳定、流畅的编码体验。 GLM Lite GLM Pro GLM Max 适用场景 适合处理轻量的开发任务 适合处理复杂项目的开发任务 适合处理海量负载的开发任务 包月价格 49元/月 147元/月 588元/月 支持模型 GLM5.1 GLM4.7 GLM4.6 GLM4.5 GLM4.5Air GLM5.1 GLM5 GLM5Turbo GLM4.7 GLM4.6 GLM4.5 GLM4.5Air GLM5.1 GLM5 GLM5Turbo GLM4.7 GLM4.6 GLM4.5 GLM4.5Air 用量限制 每 5 小时最多约80 次prompts 每周最多约400次prompts 每月最多约1,600次prompts Lite编码套餐的5倍 每 5 小时最多约400 次prompts 每周最多约2,000 次prompts 每月最多约8,000次prompts Pro编码套餐的4倍 每 5 小时最多约1,600 次prompts 每周最多约8,000 次prompts 每月最多约32,000次prompts 账号购买限制：每个天翼云用户同时只能购买一个编码套餐(不区分包月/包年的Lite、Pro、Max)，目前仅支持主账号发起购买。 套餐生效策略：购买成功后立即生效。 套餐升级/续费：即将支持，敬请期待。套餐过期后支持手动再次购买。 套餐退款规则：编码套餐一经购买成功即视为确认，不支持退订/退款。即使末使用套餐，费用也无法退回。建议根据使用需求选择合适的编码套餐和时间周期。

创建伸缩带宽定时/周期策略 1. 登录管理控制台。 2. 选择“计算 > 弹性伸缩服务 > 伸缩带宽”。 3. 单击“创建伸缩带宽策略”。 4. 配置策略名称、策略类型、触发条件等参数，请参考下表进行配置。 5. 参数配置完成后，单击“立即创建”。 表 “定时策略”或“周期策略”参数说明 参数名称 参数说明 取值样例 区域 创建的伸缩带宽策略所在的区域。 策略名称 创建伸缩带宽策略的名称。策略名称只能由英文字母、数字、下划线、和中划线组成。 aspolicyp6g5 弹性IP 需要进行伸缩管理的公网IP。 策略类型 可选择定时策略和周期策略，在指定的时间段进行调整带宽。 若选择周期策略除了配置表格中的参数还需配置以下两个参数： 1. 生效时间：选择伸缩策略触发的时间段； 2. 重复周期：按天、按周、按月 触发时间 设定伸缩策略触发时间。 执行动作 设置伸缩活动的执行动作。执行动作包括： 1. 增加：当执行伸缩活动时，增加带宽大小； 2. 减少：当执行伸缩活动时，减少带宽大小； 3. 设置为：将带宽大小设置为固定值。 说明： 由于带宽在不同的取值范围内步长（即可调整的最小单位）不同，最终调整后的带宽会根据实际步长自动调整为就近值。 小于等于300Mbit/s：默认步长为1Mbit/s。 冷却时间 冷却时间是指冷却伸缩活动的时间，单位为秒。在每次伸缩活动完成之后，系统开始计算冷却时间。伸缩组在冷却时间内，会拒绝告警策略的触发，其他类型的伸缩策略（如定时策略和周期策略）及手动触发不受限制。 300秒

本节介绍态势感知的产品优势。 见微知著的指标脉络与态势呈现 您可以通过态势感知即时查看大屏、定期订阅安全运营报告，了解安全运营核心关注指标。 云原生的资产盘点与风险预防 云上资产自动盘点，云安全配置自动检查，支持定位到资产，指导并辅助自动加固，帮助您告别黑资产、错配置的焦虑。同时避免传统的外挂式安全方案引入的隐式通道或安全设备漏洞。 智能高效的威胁检测与响应处置 专注于快速找到真正的威胁。通过每天对数十亿安全日志进行分析，利用多年沉淀经验，内置模型和研判剧本来降低合法事件的干扰。通过威胁及资产画像，与威胁告警环环关联，还原整个攻击链，配置自动化处置剧本进行响应，简化操作、提升安全性，提升了处理告警和事件的效率。 灵活的环境集成与作战协同 可通过配置连接到所有安全服务，进行数据对接或者联动操作；也可以定义您自己的模型、研判/处置剧本，以最佳适配您的安全需求。通过工作空间，还可以实现大型组织协同作战、MSSP（Managed Security Service Provider）托管等。

参数 参数类型 说明 示例 下级对象 id Integer 基线策略id 1 name String 基线策略名称 策略1 checkfrequency Integer 检测频率 1 checktime String 扫描时间,01:0002:00代表再每checkfrequency天01:0002:00之间进行扫描 01:0002:00 ruleStatus Boolean 状态 true开启 false关闭 true description String 描述 描述 createtime String 创建时间 20200101 00:00:00 isDefault Boolean 是否默认策略 true是 false否 true scope String 生效范围 OPTIONAL自选机器 ALL所有机器 OPTIONAL checkCount Integer 检测项数量 1 serverCount Integer 检测服务器数量 1

验证 1. 登录已创建好的Linux系统云服务器。 2. 在目的端服务器执行以下命令，验证文件同步情况。 cd /mnt/dst ls wc l 3. 数据量与源端服务器中的一致时，表示数据迁移成功。

本章节介绍了如何在管理控制台创建实例、连接实例的具体操作流程。 使用流程 初次使用天翼云关系数据库SQL Server版，请先了解【约束与限制】。 使用天翼云关系数据库SQL Server版，通常需要以下几个步骤： 1. 创建SQL Server实例。 2. 创建数据库和账号。 3. 申请或释放外网地址。 4. 连接SQL Server实例。

本小节介绍态势感知规格，分为基础版和高级版，在功能和承载云主机上有差别。 态势感知产品根据提供的功能不同分为两个版本：基础版、高级版。 基础版和高级版功能 功能 基础版 高级版 安全可视化 ✓ ✓ 资产发现 ✓ ✓ 资产管理 ✓ ✓ 脆弱性检测 ✓ ✓ 网络威胁检测 ✓ ✓ 国家情报数据 × ✓ 国家安全预警 × ✓ 攻击源警告 × ✓ 恶意网站告警 × ✓ 安全态势大屏 × ✓ 云主机规格 弹性云主机（Linux） 服务器配置 弹性IP数量 带宽 设备性能 扩展性 作用 备注 一台双网卡弹性云主机 8核CPU/64G内存/100G系统盘/1T数据盘 1 5M 此配置可处理800M以下流量 提高硬件配置，可提高处理性能 态势感知控制器，通过资产、脆弱性、威胁多维度动态评估风险可视化 用于安装态势感知控制器 一台双网卡弹性云主机 4核CPU/8G内存/50G系统盘 1 5M 此配置可处理1000M以下流量 不涉及 虚拟网关系统，将访问业务系统的所有流量镜像给态势感知控制器分析 用于安装态势感知虚拟网关

微服务引擎 MSE 面向业界主流开源微服务项目,提供注册配置中心、云原生网关、微服务治理能力,助力企业搭建大规模分布式应用。

本章节介绍当使用数据库服务器备份， 应用一致性Agent脚本无法下载或安装失败， 可能造成的原因和解决方案。 现象描述 系统提示无法下载脚本或使用Linux系统方式二安装Agent时失败。 可能原因 原因1：DNS无法正常解析OBS的域名。 原因2：目标云服务器openssl版本过低。 原因1解决方法 原因1：DNS无法正常解析安装域名。 需要手动修改DNS服务器IP地址，IP地址请从技术工程师处获取。若修改DNS后仍无法正常解析，请稍候重试或使用Linux系统方式一进行安装。 Linux 系统操作步骤 步骤1、以root用户登录云服务器。 步骤2、执行vi /etc/resolv.conf命令编辑“/etc/resolv.conf”文件。在已有的nameserver配置前写入DNS服务器的IP地址，如下图所示。 配置DNS 格式如下： nameserver DNS服务器IP地址 步骤3、单击“Esc”，并输入 :wq ，保存退出。 步骤4、执行以下命令，查看IP地址是否写入成功。完成修改DNS。 cat /etc/resolv.conf Windows 系统操作步骤 步骤1、进入弹性云服务器界面，登录已创建好的Windows 2012版本的弹性云服务器。 步骤2、单击左下角“这台电脑”，弹出“这台电脑”界面。 步骤3、右键单击“网络”，选择“属性”。弹出“网络和共享中心”，如下图所示。选择“本地连接”。 网络和共享中心 步骤4、在“活动”区域，选择“属性”。如下图所示。 本地连接活动 步骤5、弹出“本地连接属性”对话框，选择“Internet 协议版本 4 (TCP/IPv4)”，单击“属性”。如下图所示。 本地连接属性 步骤6、在弹出的“Internet 协议版本 4(TCP/IPv4)属性”对话框中，选择“使用下面的DNS服务器地址”，如图138所示，根据需要配置DNS。需要手动修改DNS服务器IP地址，IP地址请从技术工程师处获取。配置完成后，单击“确定”，完成配置。 配置DNS

本章节介绍ECS应用实例批量运维功能 概述 ECS应用实例批量运维功能主要提供按集群、按应用实例、按ECS实例运维三种方式，以满足用户不同场景下对ECS云主机运维需求。 前提条件 1. 当前环境已导入ECS云主机或已部署ECS应用实例 批量运维 微服务云应用平台提供按集群、按应用实例、按ECS实例三种方式运维，具体操作如下 1. 按集群，添加目标ECS集群，然后输入命令 2. 按应用实例，添加目标应用实例，然后输入命令 3. 按ECS实例，添加目标ECS云主机实例，然后输入命令 用户执行运维命令可以在执行记录中查看，以及详情。

本文介绍设置监控告警规则的操作场景和操作步骤。 操作场景 您可以在云监控中为弹性伸缩服务的弹性伸缩组设置告警规则，通过设置告警规则来实时监控伸缩组内的实例运行状况。通过告警可以及时进行人工介入以防止出现主机崩溃等严重故障，确保业务稳定运行。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“管理与部署>云监控”，进入云监控管理控制台。 4. 在左侧的导航栏中单击“告警服务>告警规则”，进入到“告警规则”页面。单击右上角的“创建告警规则”按钮，进入到“创建告警规则”页面。 5. 在“选择监控对象”部分中，“规则类型”选择“指标监控”，“云服务”选项中下拉选择“弹性伸缩”，“维度”选项中下拉选择“弹性伸缩”，“监控对象类型”选择“具体实例”，“监控对象”下拉选择已存在的弹性伸缩组。 6. 在“选择监控指标”部分中，根据业务实际需求来进行配置，具体配置可参照云监控​>告警规则。 7. 在“规则信息”中，为此规则设置名称、企业项目、描述，设置完成点击“确定”，即可成功创建告警规则。 更多关于设置告警规则的信息，请参见云监控服务帮助中心。

操作步骤 1.检查待纳管的云主机是否具备独立数据盘，且首块数据盘未被分区或格式化。独立数据盘非强制要求，但若缺失，容器数据将默认存储于系统盘。 2.若首块数据盘已被分区或格式化，可先备份数据，再使用以下命令擦除磁盘： plaintext wipefs a 3.登录云容器引擎控制台，进入要纳管节点的集。 4.在集群控制台左侧导航栏中选择“节点 ”，切换至“节点”页签并点击“纳管节点”。 5.点击选择“已有的服务器 ”，选择待纳管的云服务器，点击"确定"。 6. 选择“操作系统 ”，填写“登录密码 ”以及“确认密码 ”，再根据需要填写高级配置：节点标签 、节点污点 、部署前/后执行脚本. 7. 单击“下一步 ”，并单击“提交”。 重复纳管 出于数据安全考虑，节点纳管时会跳过已格式化或分区的磁盘。当对主机执行"纳管移除再次纳管"操作时，容器数据将直接存储于系统盘，而非数据盘。 可通过以下步骤使容器数据落于数据盘。 1.登录云主机控制台访问云主机。 2.定位云容器引擎使用的数据盘： 若主机仅有一块数据盘，直接执行步骤3。 若有多块磁盘，容器引擎一般会选择位于系统盘之上（即倒数第二块）的磁盘作为容器数据盘，或通过磁盘类型、容量信息定位磁盘的盘符。 云盘列表中显示的是云盘的名称和id，云盘挂载到os时会自动分配磁盘设备名称，可以使用云盘id前缀查找到云盘的设备名称。 登录到操作系统，可通过如下指令查到云盘在os中的设备名称。 3.检查云盘是否已经被格式化。 可以使用步骤2找到的磁盘设备名称，使用blkid指令检查结果。 plaintext blkid grep nvme1n1 若发现磁盘已经被格式化，则执行wipefs a指令擦除。 4.在云容器引擎控制台执行节点纳管操作。

本节介绍如何配置网站反爬虫防护规则。 前提条件 已添加防护网站。 约束条件 JS脚本反爬虫依赖浏览器的Cookie机制、JavaScript解析能力，如果客户端浏览器不支持Cookie，此功能无法使用，开启后会造成永远无法访问源站。 如果您的业务接入了CDN服务，请谨慎使用JS脚本反爬虫。 由于CDN缓存机制的影响，JS脚本反爬虫特性将无法达到预期效果，并且有可能造成页面访问异常。 网站反爬虫“js挑战”和“js验证”的防护动作默认为“仅记录”，WAF不支持手动配置“js挑战”和“js验证”的防护动作。 WAF的JS脚本反爬虫功能只支持get请求，不支持post请求。 JS脚本反爬虫检测机制 开启JS脚本反爬虫后，当客户端发送请求时，WAF会返回一段JavaScript代码到客户端。 如果客户端是正常浏览器访问，就可以触发这段JavaScript代码再发送一次请求到WAF，即WAF完成js验证，并将该请求转发给源站。 如果客户端是爬虫访问，就无法触发这段JavaScript代码再发送一次请求到WAF，即WAF无法完成js验证。 如果客户端爬虫伪造了WAF的认证请求，发送到WAF时，WAF将拦截该请求，js验证失败。 通过统计“js挑战”和“js验证”，就可以汇总出JS脚本反爬虫防御的请求次数。 说明 “js挑战”和“js验证”的防护动作为仅记录，WAF不支持配置“js挑战”和“js验证”的防护动作。

本文为您介绍如何在控制台修改Elasticsearch.yml文件中的部分参数。 云搜索服务支持您在控制台修改Elasticsearch.yml文件中的部分参数。 操作步骤 1. 登录云搜索服务管理控制台，在左侧导航栏，选择对应的实例类型，进入管理列表页面。 2. 点击实例名称进入对应实例详情，并选择“配置管理”。 3. 点击“修改配置”进入编辑状态，对所需的参数进行修改，修改时请关注填写规则和样例。 4. 修改完成后，点击“提交”，并在弹出的窗口中核对修改信息，需要知晓并勾选重启过程中可能会导致服务短暂不可用，确认后等待对应参数修改记录变为成功，即为已生效。若为失败，则未成功修改，参数仍为改前值。 5. 您可在下方参数修改记录中查看近10次的修改记录和状态。 6. 如果有需要修改的参数不在列表内，请提报工单申请，由工程师为您修改。 指标分类 参数名称 填写说明 跨域访问 http.cors.enabled true表示启用跨域资源访问，false表示不启用 跨域访问 http.cors.alloworigin 支持 host/IP 和 port 组合、域名或号，例如node1:9200,127.0.0.1:9200，限制1100个，逗号隔开；号表示全部放开 跨域访问 http.cors.maxage 浏览器默认缓存时间。如果超过设置的时间后，缓存将自动清除。数值，取值范围[01728000]，单位秒 跨域访问 http.cors.allowcredentials 响应中是否允许返回allowcredentials取值true/false 跨域访问 http.cors.allowheaders 跨域访问允许的headers，XRequestedWith,ContentType,ContentLength中的任意一个或多个 跨域访问 http.cors.allowmethods 跨域访问允许的方法OPTIONS,HEAD,GET,POST,PUT,DELETE中的任意一个或多个 审计日志 opendistrosecurity.audit.type 审计日志，默认关闭，开启后，系统会记录Elasticsearch实例对应的操作产生的日志 Reindex索引迁移 reindex.remote.whitelist 添加远程集群的访问地址白名单，支持host/IP 和 port 组合，例如 node1:9200，127.0.0.1:9200，port必填。限制1100个，逗号隔开 索引自动创建、通配删除 action.destructiverequiresname 删除索引是否需要声明完整索引名 true：需要声明完整索引名 false：不需要声明完整索引名 自定义查询缓存 action.autocreateindex 是否允许自动根据文档创建索引 线程池 threadpool.forcemerge.size forcemerge场景下队列的大小 读写集群的线程池设置 threadpool.write.queuesize 写阈值线程池大小，整数类型，取值范围1100000 读写集群的线程池设置 threadpool.search.queuesize 读阈值线程池大小，整数类型，取值范围1100000 fielddata的堆内cache indices.fielddata.cache.size fielddata的cache size，百分比，取值范围1%39% 查询相关限制 indices.query.bool.maxclausecount 查询的bool语句允许的子语句大小，整数类型，取值范围11024

本节主要介绍应用场景 场景一：微服务应用解决方案 场景特点 微服务引擎双栈模式同时支持侵入式框架和非侵入式服务网格模式，做到统一接入和统一治理；可同时支持主流的Java微服务框架、多语言场景，实现企业传统应用的零成本迁移 场景优势 技术开放 双栈模式: 统一接入和管理微服务框架ServiceComb、Spring Cloud、Dubbo 高性能低时延 提供高性能Rest/RPC协议微服务框架 零成本迁移 Spring Cloud/Dubbo应用零修改接入 建议搭配使用： 弹性云主机、云容器引擎 场景二：微服务应用高可用运维 场景特点 适用于电商、游戏、教育、媒资、能源及金融等有明显波峰波谷场景的应用，通过微服务引擎可以实现分布式系统细粒度治理和高可用保障。

防护规则 说明 参考文档 Web基础防护规则 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。

本章主要介绍购买私网NAT网关以及配置私网NAT网关。 私网NAT网关的使用流程如下： 图 私网NAT使用流程 操作场景 如果您的VPC中的资源要通过私网NAT网关访问用户本地数据中心（IDC）或其他虚拟私有云，或面向私网提供服务，则需要购买私网NAT网关。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入NAT网关页面。 3. 在NAT网关页面，单击“NAT网关> 私网NAT网关”。 4. 在私网NAT网关页面，单击“购买私网NAT网关”，进入私网NAT网关购买页面。 5. 根据界面提示，配置私网NAT网关的基本信息，配置参数请参见下表。 表 参数说明 参数 参数说明 计费模式 私网NAT网关支持按需计费。 区域 私网NAT网关所在的区域。 名称 私网NAT网关名称。最大支持64个字符，仅支持中文、数字、字母、（下划线）、（中划线）。 虚拟私有云 私网NAT网关所属的VPC。VPC仅在创建私网NAT网关时可以选择，后续不支持修改。 子网 私网NAT网关所属VPC中的子网。子网至少有一个可用的IP地址。 子网仅在创建私网NAT网关时可以选择，后续不支持修改。 规格 私网NAT网关的规格。私网NAT网关共有小型、中型、大型、超大型四种规格类型。 描述 私网NAT网关信息描述。最大支持255个字符。 6. 单击立即申请。

微服务引擎 MSE 面向业界主流开源微服务项目,提供注册配置中心、云原生网关、微服务治理能力,助力企业搭建大规模分布式应用。

前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 已创建路径分析实例。 操作步骤 1. 登录控制中心，进入网络控制台页面。 2. 在控制中心页面左上角选择对应区域，本文我们选择庆阳2。 3. 在左侧导航栏，选择“路径分析”选项，进入路径分析列表页。 4. 在路径分析列表页面，选定要删除的路径分析实例，点击“删除”按钮，即可删除对应路径分析实例。 注意 删除路径分析实例时，会同步删除路径分析实例下所有的路径分析报告，且无法恢复。

本节主要介绍创建自定义策略 如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。 目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 可视化视图配置自定义策略 步骤 1 登录IAM控制台。 步骤 2 在统一身份认证服务，左侧导航窗格中，选择“权限管理>权限”页签，单击右上方的“创建自定义策略”。 步骤 3 输入“策略名称”。 步骤 4 “策略配置方式”选择“可视化视图”。 步骤 5 在“策略内容”下配置策略。 1. 选择“允许”或“拒绝”。 2. 选择“云服务”。 说明 此处只能选择一个云服务，如需配置多个云服务的自定义策略，请在完成此条配置后，单击“添加权限”，创建多个服务的授权语句；或使用JSON视图配置自定义策略。 暂不支持一个自定义策略同时包含全局级云服务和项目级云服务。如果需要同时设置全局级服务和项目级服务的自定义策略，请创建两条自定义策略，便于授权时设置最小授权范围。 3. 选择“操作”，根据需求勾选产品权限。 4. （可选）选择资源类型，如选择“特定资源”可以单击“通过资源路径指定”来指定需要授权的资源。 说明 支持为特定资源授权的云服务目前仅包括对象存储服务（OBS）、分布式消息服务（DMS） 表 资源类型 类型 说明 特定资源 授予IAM用户特定资源的相应权限。如授予IAM用户以TestBucket命名开头的桶相应权限，需将bucket设置为通过资源路径指定，添加资源路径：OBS:: :bucket:TestBucket。 说明 指定桶资源：【格式】OBS:: :bucket:桶名称 对于桶资源，IAM自动生成资源路径前缀 “ obs:::bucket: ” 。通过桶名称 指定具体的资源路径，支持通配符。例如：obs:: :bucket:表示任意OBS桶。指定对象资源：【格式】OBS: ::object: 桶名称 / 对象名称 对于对象资源，IAM自动生成资源路径前缀 “obs: ::object:” 。 通过 桶名称 / 对象名称指定具体的资源路径，支持通配符 。 例如：obs:::object:mybucket/myobject/表示mybucket桶下myobject目录下的任意对象。 所有资源 授予IAM用户所有资源的相应权限。 5. （可选）添加条件，单击“添加条件”，选择“条件键”，选择“运算符”，根据运算符类型填写相应的值。 表 条件参数 参数名称 参数说明 条件键 条件键表示策略语句的Condition 元素中的键值。分为全局条件键和服务级条件键。全局级条件键（前缀为g:）适用于所有操作；服务级条件键（前缀为服务缩写，如obs:）仅适用于对应服务的操作，详情请参见对应云服务的用户指南。 运算符 与条件键、条件值一起使用，构成完整的条件判断语句。 值 与条件键、运算符一起使用，当运算符需要某个关键字时，需要输入关键字的值，构成完整的条件判断语句。 表 全局级请求条件 全局条件键 条件类型 说明 g:CurrentTime 时间 接收到鉴权请求的时间。以ISO 8601 格式表示，例如：20121111T23:59:59Z。 g:DomainName 字符串 帐号名称。 g:MFAPresent 布尔值 是否使用MFA多因素认证方式获取Token。 g:MFAAge 数值 通过MFA多因素认证方式获取的Token的生效时长。该条件需要和g:MFAPresent一起使用。 g:ProjectName 字符串 项目名称。 g:ServiceName 字符串 服务名称。 g:UserId 字符串 IAM用户ID。 g:UserName 字符串 IAM用户名。 步骤 6 （可选）在“策略配置方式”选择JSON视图，将可视化视图配置的策略内容转换为JSON语句，您可以在JSON视图中对策略内容进行修改。 说明 如果您修改后的JSON语句有语法错误，将无法创建策略，可以自行检查修改内容或单击界面弹窗中的“重置”，将JSON文件恢复到未修改状态。 步骤 7 （可选）如需创建多条自定义策略，请单击“添加权限”；也可在已创建的策略最右端单击“+”，复制此权限。 步骤 8 输入“策略描述”（可选）。 步骤 9 单击“确定”，自定义策略创建完成。 步骤 10 将新创建的自定义策略授予用户组，使得用户组中的用户具备自定义策略中的权限。 说明 给用户组授予自定义策略与系统策略操作一致，详情请参考“用户组及授权”

当您需要快速创建相同配置的实例时，您可以参考本文进行操作。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 背景信息 您可以无次数限制的快速创建与已有实例相同配置的新实例。 说明 您还可以在创建过程中，对配置进行修改，即可快速灵活地创建新实例。 购买相同配置后的新实例与原实例无关联关系，数据也无关联，彼此之间独立管理。 操作步骤 注意 仅主实例可以购买相同配置实例，只读实例不支持此功能。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，在操作 列选择更多 > 购买相同配置。 4. 在购买相同配置实例页面，确认配置信息。 说明 新实例默认配置与原实例完全相同，您也可以根据业务需求修改相关配置。 5. 阅读并勾选服务协议，单击下一步。 6. 确认配置无误，单击立即创建。 您可以在实例列表中，查看新实例状态。当实例状态从创建中 变为运行中时，表示已成功创建新实例。

本节介绍如何配置API安全的策略，包括自定义业务用途规则、自定义API生命周期判定标准。 配置业务用途 业务用途用于标识API的用途，您可以根据业务需要，创建自定义业务用途，并对策略状态进行管理。 新增业务用途规则 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > 策略配置”，进入API策略配置页面。 5. 在“业务用途”模块，单击右下角的“配置”，进入业务用途配置页面。 6. 在业务用途配置页面，单击“新增策略配置”，进入新建业务用途规则页面。 7. 在新建业务用途规则页面，配置业务用途规则参数，配置完成后，单击“确定”。 业务用途规则参数说明如下： 参数 说明 业务用途 自定义业务用途的名称，长度为210字符。名称不允许重复，不允许以“默认”命名。 匹配条件 支持输入匹配条件对特征进行匹配： 匹配字段：支持请求路径、请求参数、请求HOST、请求方法、响应内容类型五个字段。 逻辑符：支持“正则匹配”。 最多支持5个条件，多个条件之间为或关系。 优先级 请输入1~100的整数，数字越大，代表这条规则的优先级越高。若配置的优先级数字相同，则创建时间越晚，优先级越高。

本文主要介绍如何申请虚拟IP地址 操作场景 当弹性云服务器需要设置虚拟IP地址或预留指定的虚拟IP地址时，可以通过给子网申请虚拟IP地址的方式分配虚拟IP地址。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。进入虚拟有云列表页面。 3. 在左侧导航栏，选择“虚拟私有云 > 子网”。 4. 在子网列表中，单击需要申请虚拟IP地址的子网名称。 5. 在“IP地址”页签中，单击“申请虚拟IP地址”。 6. 选择虚拟IP地址的分配方式。 − 自动分配：系统将自动分配IP地址。 − 手动分配：系统将分配您指定的IP地址。 7. 选择手动分配方式，请填写虚拟IP地址。 8. 单击“确定”。在IP列表中可以查看申请的虚拟IP地址。

本文主要介绍云日志服务中的流程控制函数 函数 说明 eif 条件与操作组合。 满足条件则进行对应操作，不满足条件则不进行对应操作，直接进行下一个条件判断。 对于某一条日志，如果其中某一操作删除了日志，则不会再执行后续操作。 eifelse 根据条件判断的结果进行对应操作。 eswitch 条件与操作的组合。 满足条件则进行对应操作并返回结果，不满足条件则不进行对应操作，直接进行下一个条件判断。 如果没有满足任何条件，但配置了默认参数，则执行默认配置的操作并返回结果。 对于某一条日志，如果其中某一操作删除了日志，则不会再执行后续操作。 ecompose 组合一系列操作。 常用于eif、eswitch、eifelse中组合操作。 依次调用操作，将日志传递转换并返回最后的日志。对于某一条日志，如果其中某一操作删除了日志，则不会再执行后续操作。支持和其他函数组合使用。