本文主要介绍集群升级前须知 升级前，您可以在CCE控制台确认您的集群是否可以进行升级操作。确认方法请参见集群升级概述。 注意事项 升级集群前，您需要知晓以下事项： 请务必慎重并选择合适的时间段进行升级，以减少升级对您的业务带来的影响。 集群升级前，请参考Kubernetes版本发布说明了解每个集群版本发布的特性以及差异，否则可能因为应用不兼容新集群版本而导致升级后异常。例如，您需要检查集群中是否使用了目标版本废弃的API，否则可能导致升级后调用接口失败。 在配置中心修改集群配置后的10分钟内请勿进行集群升级操作，否则可能由于操作冲突导致集群升级失败。 集群升级时，以下几点注意事项可能会对您的业务存在影响，请您关注： 集群升级过程中，不建议对集群进行任何操作。尤其是关机、重启或删除节点等操作，都会导致升级失败。 集群升级前，请确认集群中未执行高危操作，否则可能导致集群升级失败或升级后配置丢失。例如，常见的高危操作有本地修改集群节点的配置、通过ELB控制台修改CCE管理的监听器配置等。建议您通过CCE控制台修改相关配置，以便在升级时自动继承。 集群升级过程中，已运行工作负载业务不会中断，但API Server访问会短暂中断，如果业务需要访问API Server可能会受到影响。 集群升级过程中默认不限制应用调度。但下列旧版本集群升级过程中，仍然会给节点打上“node.kubernetes.io/upgrade”（效果为“NoSchedule”）的污点，并在集群升级完成后移除该污点。 所有v1.15集群 所有v1.17集群 补丁版本小于等于v1.19.16r4的1.19集群 补丁版本小于等于v1.21.7r0的1.21集群 补丁版本小于等于v1.23.5r0的1.23集群 集群升级过程中，如果同时升级插件，在集群资源使用率较高的情况下可能会导致插件Pod抢占业务Pod资源，业务Pod被驱逐重建，插件升级完成后将自动恢复。 在将集群升级至v1.28及以上版本时，系统会创建同等数量的新控制节点逐步替换旧节点，升级完成后控制节点的IP地址将发生变更。若您原先直接通过控制节点IP访问集群，请改用集群统一的公网或内网地址进行访问，详见集群连接信息。 集群升级过程中，系统将自动编辑/etc/rc.local文件。此操作可能会触发某些安全程序的相应告警，请您知悉并忽略由此产生的安全告警。

本文介绍用户如何自定义数据源。 数据源是获取需要展示的日志/告警字段条件数据，配置后可在报表中选择并通过图表的形式展示。 数据源来源： 用户自定义 内置数据源 包括防火墙事件数据源、Windows审计数据源、Linux审计数据源、天翼云堡垒机审计数据源、网络设备数据源、应用服务器数据源、恶意程序数据源、审计事件数据源、攻击事件数据源。 新增数据源 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“审计报表 > 数据源”，进入“数据源”页面。 3. 单击“新增”，并填写新增数据源的相关参数。 参数 参数说明 取值样例 数据源名称 自定义需要创建的数据源名称。 Test 是否抽样统计 确认是否使用抽样统计，默认否。 统计时间间隔 选择该数据源的统计的时间间隔，可选择“分钟”、“小时”或“天”为基础单位。 12小时 数据存放时间 选择数据生成后，在服务中存放的时间，以“天”为基础单位。 7天 数据源描述 自定义数据源的描述内容。 字段类型 选择数据源采集的字段类型，可选“告警类型”或“事件类型”。 告警类型 过滤条件 选择字段条件，多个字段条件通过逻辑关系符关联。 统计字段 选择需要进行统计的字段，可新增多个统计字段，至少新增一个。 分组字段 选择合适的分组字段，已选统计字段不可再次选择，可新增多个分组字段。 4. 填写完成后，单击“确定”，完成数据源新建。 注意 数据源添加完成，每天凌晨3点定时跑任务，获取前一天符合条件的数据。

本小节介绍域名无忧应用场景。 长久以来，域名劫持事件频繁发生，受影响的企业遭受到经济和名誉的双重损失，无数网民也深受其害。大多数域名劫持事件的影响持续数个小时或更久，但是真正的故障时间并没有那么长。不过，由于各层服务器缓存受到根服务器影响，在电信运营商没有对递归DNS手动刷新的情况下，影响可持续数个小时。 域名实施监控场景 DNS污染的数据包并不是在网络数据包经过的路由器上，而是在其旁路产生的。所以DNS污染并无法阻止正确的DNS解析结果返回，但由于旁路产生的数据包发回速度较国外DNS服务器发回速度快，操作系统认为第一个收到的数据包就是返回结果，从而忽略其后收到的数据包，从而使得DNS污染得逞。天翼云域名无忧会实时监控域名的解析结果与预设置的解析结果进行比对，如果检测到域名异常，则生成域名告警信息。 域名一键刷新场景 网域的局域域名服务器的缓存受到污染，就会把网域内的域名引往错误的服务器或服务器的网址，导致正确域名无法访问，给企业或个人带来不可估量的损失。天翼云域名无忧可以有效解决此问题，天翼云域名无忧实时监控电信所有省份DNS服务的解析结果，用户发现DNS解析异常，可以手动执行域名刷新操作，使域名快速恢复至可用状态。

设置跨域备份策略 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【备份恢复】，进入本地数据备份列表页面。 5. 单击【备份策略】，查看当前实例的备份策略。 6. 点击【跨地域备份策略】旁边的修改图标，打开跨域备份策略编辑框。 7. 您可以根据需要，选择是否开启跨域备份、目标地域、是否开启历史备份（同步）、跨域备份保留天数，点击确定，完成跨域备份策略的设置。 查看跨域备份列表 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【备份恢复】，进入本地数据备份列表页面。 5. 单击【跨域数据备份】或【跨域日志备份】，查看当前实例的跨域备份列表。 6. 也可以在天翼云SQL Server管理控制台，点击【备份管理】，点击【跨域数据备份】或【跨域日志备份】，查看所有实例的跨域备份列表。

请求示例 GET /v1/bucket/http?regionCode0001&bucketsbt1,bt2&startTime1683684845051&endTime1683684845051 请求头 无 请求体body 无 响应示例 { "statusCode": "0", "message": "", "returnObj": { "code": "0", "message": "", "data": { "get": 123, "post": 908, "delete": 34256, "put": 78965, "other": 43 } } } 业务状态码 状态码 描述 0 表示业务成功 400 入参有误 403 用户无权操作 404 请求资源不存在 500 系统错误

本章节主要介绍操作类问题中的数据导入导出问题。 外表与GDS外表支持的数据格式有什么区别? OBS与GDS外表支持格式文件区别如下： OBS支持的文件格式：CSV、TEXT、ORC、CARBONDATA，缺省值为TEXT GDS支持的文件格式：CSV、TEXT，缺省值为TEXT 数据如何存储到数据仓库服务？ DWS支持多数据源高效入库，典型的入库方式如下所示。详细指导请参见《数据仓库服务数据库开发指南》中的“导入数据”章节。 从OBS导入数据 数据上传到OBS对象存储服务中，再从OBS中导入，支持CSV，TEXT格式数据。 通过INSERT语句直接插入数据 用户可以通过DWS提供的客户端工具（gsql）或者JDBC/ODBC驱动从上层应用向DWS写入数据。DWS支持完整的数据库事务级别的增删改(CRUD)操作。这是最简单的一种方式，这种方式适合数据写入量不太大， 并发度不太高的场景。 从MRS导入数据，将MRS作为ETL 通过COPY FROM STDIN方式导入数据。 通过COPY FROM STDIN命令写数据到一个表。 使用GDS从远端服务器导入数据到DWS 当用户需要将普通文件系统（例如，弹性云主机）中的数据文件导入到DWS时，可以使用DWS提供的GDS导入数据的功能。 数据仓库可以存储多少业务数据？ 数据仓库集群每个节点默认能够支持1.49TB、2.98TB、4.47TB、160GB、1.68TB、13.41TB六种规格的存储容量，一个集群支持的节点数范围为3～256，集群总的存储容量随集群规模等比例扩充。 为增强可靠性，每个节点都有一个副本，副本会占用一半的存储空间，选择容量时副本容量会自动翻倍存储。 数据仓库系统会备份数据，生成索引、临时缓存文件、运行日志等内容，并占用存储容量。每个节点实际存储的数据，大致为总存储容量的一半。

本文简要介绍了删除组播域的方法。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已确保组播域中不存在组播组，若存在组播组，则禁止删除该组播域。 若组播域内存在组播组，您可通过修改组播域方式删除组播组。 操作步骤 1. 登录管理控制台。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 在左侧导航栏选择“组播"。 4. 选择待删除组播域，单击其所在行操作列表>删除。 5. 确保待删除组播域中不存在组播组，在弹出的对话框中单击”确定“。

本文将为您介绍事件回调。 通过HTTP批量推送方式可以拉取签名，模板审核状态消息（EventReport）。 协议说明 参数 说明 :: 协议 HTTP+JSON 编码 UTF8 请求说明 请求内容为JSON格式，单次请求仅包含一条审核状态报告。 请求样例 { "type":"sign", "status":1, "source":"天翼云", "reason":"通过", "createTime":"20190530 19:58:25" } 字段说明 名称 类型 是否必选 示例 描述 ::::: type String 必选 sign sign：签名。 template：模板。 reason String 必选 文件不能证明信息真实性，请重新上传 审核未通过原因。 status String 必选 审核状态 1：审核通过。 2：审核不通过。 source String 必选 天翼云 签名名称或者模板编号 createTime String 可选 20230913T09:39:02.828Z 创建时间 响应说明 响应样例 { "code" : 0, "msg" : "接收成功" } 字段说明 名称 类型 是否必选 说明 示例值 ::::: code Number 必选 应答编码 0 msg String 可选 描述信息 接收成功 说明： httpStatus必须是200。

接口描述：调用本接口查询域名在指定时间段被，被攻击域名的WAF攻击IP、被攻击URL、攻击来源、攻击类型分布情况 请求方式：post 请求路径：/ddos/attackinfo/queryattackinfo 使用说明： 修改域名之前，您需要先开通对应产品类型的服务，且服务有效； 支持查询最近30天数据 单个用户一分钟限制调用10000次，并发不超过100 支持查询CC攻击类型的数据 请求参数说明： 参数名 类型 是否必填 名称 说明 domain string 是 域名 单次调用仅支持一个域名查询 protectionModule string 是 查询的类型 值为CC type string 是 查询维度 取值为： 1、IP：攻击IP 2、AREA：攻击来源 3、URL：被攻击的URL startTime string 是 开始时间 格式为：YYYYMMDDThh: mm:ssZ 支持最近30天的数据 endTime string 是 结束时间 格式为：YYYYMMDDThh: mm:ssZ 支持最近30天的数据 pageSize string 否 查询每页的数量 不传默认30，pageSize以及pageNumber的乘积不得超过2000 pageNumber string 否 查询的页数 不传默认30，pageSize以及pageNumber的乘积不得超过2000 返回参数说明： 参数 类型 是否必传 名称及描述 code string 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 data attackInfoData 否 查询结果以及域名对应状态 1）attackInfoData参数 参数 类型 是否必返回 名称及描述 total int 是 攻击对应的类型的总数 attackDataList List 否 具体攻击类型

本节主要介绍查看/修改/删除用户组 企业管理员可以查看用户组详情及包含的IAM子用户、修改用户组的基本信息、删除不再需要的用户组。 操作步骤 步骤 1 管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户组”。 步骤 5 在“用户组”列表页面： 单击用户组右侧的“查看”，可查看用户组详情信息。 单击用户组右边的“编辑”，弹出“编辑用户组”对话框，完成修改用户组名称及描述。 单击用户组右边的“删除”， 弹出“删除用户组”确认框，再次输入待删除的用户组名称并单击“确认”，完成用户组删除。

本节介绍云容器引擎的最佳实践: 应用高可用部署推荐。 基本原则 可参考如下几点，实现容器应用高可用部署： 1. 集群控制节点高可用，控制节点数大于等于3； 2. 集群需有多个属于不同可用区的节点，业务根据自身需求合理配置调度策略，以实现多可用区部署及资源均匀分配； 3. 创建多个在不同可用区的节点池，通过节点池做节点伸缩； 4. 工作负载实例数需大于等于2； 5. 配置工作负载的亲和性规则，让Pod尽量分布在不同可用区、不同节点上。 操作步骤 假设集群3个控制节点和3个工作节点，工作节点可用区分布如下所示： $ kubectl get node L topology.kubernetes.io/zone grep v master NAME STATUS ROLES AGE VERSION ZONE ccseagent1b54ffbc17 Ready 40m v1.25.6 cnxinan11A ccseagent59ab9e7689 Ready 38m v1.25.6 cnxinan12A ccseagenta7527e3e80 Ready 36m v1.25.6 cnxinan13A 创建工作负载，如下所示，定义两条podAntiAffinity反亲和性规则： 工作负载多实例配置可用区反亲和，参数设置如下： 权重weight：权重值越高会被优先调度，本示例设置为50； 拓扑域topologyKey：为节点标签，用于指定调度时的作用域，下述示例为topology.kubernetes.io/zone，该标签用于识别节点在哪个可用区。 标签选择labelSelector：选择Pod的标签，与工作负载本身反亲和。 工作负载多实例配置节点反亲和，参数设置如下： 权重weight：设置为50； 拓扑域topologyKey：为标签kubernetes.io/hostname，该标签值为节点名； 标签选择labelSelector：即工作负载多个实例Pod的标签，实例间反亲和。 kind: Deployment apiVersion: apps/v1 metadata: name: demo namespace: default spec: replicas: 2 selector: matchLabels: app: demo template: metadata: labels: app: demo spec: containers: name: container0 image: nginx:latest resources: limits: cpu: 300m memory: 512Mi requests: cpu: 400m memory: 512Mi affinity: podAntiAffinity: preferredDuringSchedulingIgnoredDuringExecution: weight: 50 podAffinityTerm: labelSelector:

避免使用ServcieAccount Secret Token访问集群 Kubernetes 1.21以前版本的集群中，Pod中获取token的形式是通过挂载ServiceAccount的Secret来获取的，这种方式获得的token是永久的，Pod被删除后token仍然存在Secret中，一旦泄露可能导致安全风险。该方式在1.21及以上的版本中不再推荐使用，并且根据社区版本迭代策略，在1.25及以上版本的集群中，ServiceAccount将不会自动创建对应的Secret。 Kubernetes 1.21及以上版本的集群中，直接使用TokenRequest API获得token，并使用投射卷（Projected Volume）挂载到Pod中。使用这种方法获得的token具有固定的生命周期（默认有效期为1小时），在到达有效期之前，Kubelet会刷新该token，保证Pod始终拥有有效的token，并且当挂载的Pod被删除时这些token将自动失效。该方式通过Bound ServiceAccount TokenVolume特性实现，能够提升服务账号（ServiceAccount）token的安全性，Kubernetes 1.21及以上版本的集群中会默认开启。 为了帮助用户平滑过渡，社区默认将Token有效时间延长为1年，1年后token失效，不具备证书reload能力的client将无法访问APIServer，建议使用低版本client的用户尽快升级至高版本，否则业务将存在故障风险。 基于Secret的ServiceAccount Token由于token由于具有上述的安全风险。1.23版本以及以上版本云容器引擎集群推荐使用Bound Servcie Account Token，该方式支持设置过期时间，并且和Pod生命周期一致，可减少凭据泄露风险。例如： apiVersion: apps/v1 kind: Deployment metadata: name: tokenexample namespace: tokenexample spec: replicas: 1 selector: matchLabels: app: tokenexample label: tokenexample template: metadata: labels: app: tokenexample label: tokenexample spec: serviceAccountName: boundsatoken containers: image: nginx imagePullPolicy: Always name: tokenexample volumes: name: testsecurity projected: defaultMode: 420 sources: serviceAccountToken: expirationSeconds: 3600 path: token configMap: items: key: ca.crt path: ca.crt name: kuberootca.crt downwardAPI: items: fieldRef: apiVersion: v1 fieldPath: metadata.namespace path: namespace

接口功能介绍 查询云专线列表 接口约束 传参规范 URI GET /vfw/v2assertcdaquery 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj Object 接口返回结果 PageInfo 表 PageInfo 参数 参数类型 说明 示例 下级对象 endRow Long 当前页面最后一个元素在数据库中的行号 hasNextPage Boolean 是否有下一页 hasPreviousPage Boolean 是否有前一页 isFirstPage Boolean 是否为首页 isLastPage Boolean 是否为末页 list Array of Objects 资产列表 CdaView navigateFirstPage Integer 导航条上的第一页 1 navigateLastPage Integer 导航条上的最后一页 1 navigatePages Integer 导航页码数 1 navigatepageNums Array of Integers 所有导航页号 1 nextPage Integer 下一页 1 pageNum Integer 当前页的页码 1 pageSize Integer 每页的数量 1 pages Integer 总页数 1 prePage Integer 前一页 1 size Integer 当前页的数量 1 startRow Long 当前页面第一个元素在数据库中的行号 total Long 总记录数 表 CdaView 参数 参数类型 说明 示例 下级对象 id Long id vrfName String 专线网关ID vrfId String 专线网关名字 vpcId String vpc id vpcName String vpc名称 vpcCidr String vpc的网段 subnets String 子网信息 remoteConnectIp String 远端互联IP remoteConnectIpv6 String 远端互联IPv6 protectStatus Boolean 防护状态false;true syncStatus String 同步状态 add, delete, unchanged firewallId String 防火墙id firewallEdition String 防火墙版本号 cdaId String 物理专线id cdaName String 物理专线名称 endpoint Object 终端节点 GwlbeInfoVo 表 GwlbeInfoVo 参数 参数类型 说明 示例 下级对象 endpointName String 终端节点名称 endpointId String 终端节点id vpcName String Vpc名称 subnetName String 子网名称 description String 描述

本节主要介绍数据库使用类问题。 scan指定match参数，数据中确实存在匹配的key，为什么返回的是空 问题描述 如下图所示，数据库中存在key为test的数据，用scan match的方式却没有返回这个数据。 问题分析 MATCH选项让命令只返回和给定模式相匹配的元素， 对元素的模式匹配工作是在命令从数据集中取出元素之后， 向客户端返回元素之前的这段时间内进行的， 如果取出的元素都和模式不匹配，则不会返回任何元素。 解决方案 多次scan，以返回的游标值是否为0作为全遍历结束的标记，每次scan时使用上次scan返回的游标值。 创建GeminiDB Redis时，如何选择规格和节点 GeminiDB Redis提供了多种实例规格，不同的实例规格和节点数量拥有着不同的性能。本章节总结了一些实践经验，帮助您决策如何选择GeminiDB Redis实例的规格和节点数量。 1. GeminiDB Redis实例的规格越高，性能越好。GeminiDB Redis支持的实例规格请参见 数据库实例规格。 2. 在相同的GeminiDB Redis实例规格下，节点数越多，性能越好。 3. 建议根据业务实际的测试数据选择GeminiDB Redis规格，并考虑可靠性冗余，和未来业务增长，适当预留一些资源。 4. 根据经验，单核CPU支持16GB数据时性能较好。例如，业务数据128GB，暂不考虑业务数据增加的情况下，可考虑购买两个4U16GB的计算节点（即CPU总核数为8）。

在业务场景允许的情况下，优先选择无序消息，或者在业务能变通的情况下，将有序消息转化为无序消息。 无序消息的优点： 生产者可以使用多进程、多线程往同一个Topic发送消息，性能更好。 消费者可以使用多进程、多线程同时消费，性能较好。 可以充分使用集群的Failover特点，无须依赖自动主备切换（切换过程服务会中断），包括： 当集群中某一Broker节点故障时，不影响业务消息生产，消息将failover发送到其它节点； 当集群中某一Broker节点故障时，不影响其它节点数据消费，故障恢复后即可消费。 能动态地扩容。 有序消息的缺点： 对于有序消息，当节点故障时，Queue数不会变化，生产与消费都会出现异常，直到故障节点恢复。 对于有序消息，需要将所有消息消费完，并且停止客户端，才能扩容。

本小节介绍Web应用防火墙CC攻击防护最佳实践。 CC（ChallengeCollapsar，挑战黑洞）攻击是DDoS攻击的一种类型，使用代理服务器向受害服务器发送大量貌似合法的请求。攻击者使用代理机制，利用众多广泛可用的免费代理服务器发动DDoS攻击。许多免费代理服务器支持匿名模式，这使追踪变得非常困难。 基础CC防护 CC攻击防护支持根据用户访问特定路径的行为进行人机识别、访问频率与封禁时间的自定义配置。CC攻击防护在遭受应用层DDoS攻击时对缓解服务器压力有着显著的效果，但是自定义CC攻击防护配置需要用户对自身业务情况有一定的了解。CC攻击防护会限制单一客户端访问频率，严格的CC攻击防护策略在部分情况下会导致正常访问失败，如大量客户通过同一Wifi下的单一出口IP同时访问。 前提条件 已添加了防护域名并已完成了域名接入。 WAFCC防护已开启。 操作步骤 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”。 3. 在WAF防护配置列表的操作列，单击“自定义防护配置”。 4. 在自定义防护配置界面，选择“CC攻击防护”页签。 统计对象：依据判定的对象，默认是根据用户IP访问行为进行判定。 增长频率：单一IP每秒HTTP访问次数上限与增长率上限。增长频率与访问频率满足其一触发防护。 访问频率：单一IP每秒HTTP访问次数上限。增长频率与访问频率满足其一触发防护。 时间配置：默认每120秒检测一次，将达到以上拦截阈值的用户IP封禁7200秒。 以上配置您可以全部自定义，如有疑问，您可以联系联系云WAF工程师咨询（ 服务热线：4009259120 语音提示后，请按“ 2”转接人工服务，在线客服 QQ：2448296676 ）。

本节介绍专属加密服务的功能特性。 专属加密（Dedicated Hardware Security Module，Dedicated HSM）是一种云上数据加密的服务，可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。 Dedicated HSM为您提供的加密硬件，帮助您保护弹性云服务器上数据的安全性与完整性，满足FIPS 1402安全要求。同时，您能够对专属加密实例生成的密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。 功能介绍 Dedicated HSM提供以下功能： 生成、存储、导入、导出和管理加密密钥（包括对称密钥和非对称密钥） 使用对称和非对称算法加密和解密数据 使用加密哈希函数计算消息摘要和基于哈希的消息身份验证代码 对数据进行加密签名（包括代码签名）并验证签名 以加密方式生成安全随机数据 Dedicated HSM支持的密码算法 支持国际通用密码算法，满足用户各种加密算法需求。 Dedicated HSM支持的密码算法 加密算法分类 通用密码算法 国密算法 对称密码算法 AES SM1、SM4、SM7 非对称密码算法 RSA（10244096） SM2 摘要算法 SHA1、SHA256、SHA384 SM3 Dedicated HSM支持的密码机类型 密码机类型 功能 适用场景 服务器加密机 数据加密/解密、数据签名/验签、数据摘要、支持MAC的生成和验证 满足各种行业应用中的基础密码运算需求，比如身份认证、数据保护、SSL密钥和运算卸载等。 金融加密机 支持PIN码的生成/加密/转换/验证 支持MAC生成及验证 支持CVV生成及验证 支持TAC生成及验证 支持常用Racal指令集 支持PBOC3.0常用指令集 满足金融领域密码运算需求，比如发卡系统、POS系统等。 签名服务器 签名/验签、编码/解码数字信封、编码/解码带签名的数字信封、证书验证 满足签名业务相关需求，比如CA系统、证书验证、大量数据的加密传输和身份认证。

本节介绍了下载实例级备份文件的相关内容。 操作场景 用户可以下载手动和自动备份文件，用于本地存储备份或者恢复数据库。 云数据库 RDS for PostgreSQL支持用户下载全量备份文件。 约束限制 若备份文件大于400MB，建议您使用OBS Browser+下载。 方式1：使用OBS Browser+下载 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“备份管理”页面，选择需要下载的可用备份，单击操作列中的“下载”。 您也可进入目标实例的“基本信息”页面，在左侧导航栏选择“备份恢复”，在“全量备份”页签下，单击操作列中的“下载”。 步骤 5 在弹出框中，单击“OBS Browser+下载”，根据界面提示，通过OBS Browser+客户端下载RDS备份文件。 1. 下载客户端工具OBS Browser+。 2. 解压并安装OBS Browser+。 3. 登录客户端工具OBS Browser+。 登录对象存储客户端相关操作，请参见界面提示。 4. 配置OBS Browser+不启用证书校验。 说明 由于关系型数据库“下载备份文件”页面提供的桶名称不支持证书校验，需要在挂载外部桶之前关闭OBS Browser+证书校验，待备份文件下载完成后再启用。 5. 挂载外部桶。 挂载外部桶相关操作，请参见界面提示。 6. 下载备份文件。 在OBS Browser+界面，单击添加成功的外部桶的桶名，进入对象列表页面，在右侧搜索栏，输入关系型数据库“下载备份文件”页面中提示的下载备份存储文件名称并检索，选中待下载的文件后，单击“下载”。 7. 备份文件下载完成后，配置OBS Browser+启用证书校验。 步骤 6 您可根据业务需要，参考通过全量备份文件恢复到自建PostgreSQL数据库，在本地进行数据恢复。 结束

参数名 类型 是否必填 名称 说明 domain string 是 域名 单次调用仅支持一个域名查询 startTime string 是 开始时间 格式为：YYYYMMDDThh: mm:ssZ 支持最近30天的数据 endTime string 是 结束时间 格式为：YYYYMMDDThh: mm:ssZ 支持最近30天的数据 type string 是 查询类型 取值： 1、IP：攻击IP 2、URL：被攻击的URL 3、AREA：攻击来源 4、ATTACKTYPE：攻击类型 pageSize string 否 查询每页的数量 不传默认30，pageSize以及pageNumber的乘积不得超过2000 pageNumber string 否 查询的页数 不传默认30，pageSize以及pageNumber的乘积不得超过2000

本节介绍如何进行业务设置。 系统内置了5个分级，用户可以通过内置分级对数据进行更加便捷的分级，同时系统也支自定义分级与敏感性和敏感度的标记，可以更加灵活的满足不同场景的需求。 内置分级数据无法编辑及删除。 配置分级 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“内容安全 > 语料安全 > 业务设置”，选择“分级”页签。 3. 点击“新增”。 4. 填写相关信息，点击“确定”完成新增操作。 部分参数如下表所示： 信息 说明 名称 分级规则名称。 备注 分级规则描述备注。 敏感度 分级自定义敏感度标识。 颜色 分级自定义颜色标识。 是否敏感数据 分级自定义敏感数据标识（启用/禁用）。 配置分级模板 系统内置了14个分类模板，用户可以通过内置数据分类模板对数据进行更加便捷的分类，同时系统也支自定义分类，可以更加灵活的满足不同场景的需求。 内置分类模板无法修改及删除。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“内容安全 > 语料安全 > 业务设置”，选择“分类模板”页签。 3. 新增分类模板：点击。 4. 新增子类：选择需要添加子类的父级的模板，将鼠标指针移至在提示框中点击“新增子类”。 5. 填写基本设置、分类设置、子类列表，点击“保存”。

步骤三：访问Nginx服务 当业务Pod（Pod Client）试图访问Nginx服务（Service Nginx）时，先会请求本地DNS配置文件（/etc/resolv.conf）中指向的DNS服务器（nameserver 10.96.0.10，即Service kubedns）获取服务IP地址，得到解析结果为10.96.84.23的IP地址。 业务Pod（Pod Client）再直接发起往该IP地址的请求，请求最终经过Nginx服务（Service Nginx）转发到达后端的Nginx容器（Pod Nginx1和Pod Nginx2）上。

本小节介绍SSL VPN的产品特性。 身份安全——多因素身份认证 在用户身份安全方面，SSL VPN提供用户名密码、USB KEY、动态令牌、第三方认证（HTTP/HTTPS）、硬件特征码、数字证书、短信认证、LDAP、Radius多种身份认证方式保障用户接入身份的合法性。 终端安全——PC端移动端，全面保障 针对普通PC终端，可进行登录前系统安全状态检查，针对注册表、杀毒软件、系统版本、文件和应用等进行全面检查，确保只有安全终端才可以登录VPN访问业务服务器。在用户结束访问以后会自动清除Cookies、临时文件等遗留在客户端计算机上的信息，实现“零痕迹”访问，避免安全隐患。 权限安全——更细粒度，基于URL和业务账号进行授权 在应用授权方面，可针对每个部门、每个用户进行细致到应用、URL级别的授权，并可针对用户终端安全环境、登录时间、网络地址不同情况下的差别授权及灵活控制。采用了业内独有的主从账号绑定技术，对用户登录SSL VPN后访问应用的账号进行强制指定，防止采用他人账号的越权访问行为。通过更细粒度的授权机制，有效降低了黑客入侵的影响，提升业务系统安全性。 传输安全——加密强度持续关注 SSL VPN支持国际商用加密算法，用户可根据业务系统重要程度按需选择加密算法和密钥长度。通过标准加密算法保障数据传输安全。

本节主要介绍应用场景 企业内部系统解耦 随着企业的高速发展、业务的快速变化，要求企业内部系统跟随业务需求一同变化，但是企业内部系统存在相互依赖关系，为保持系统的通用性与稳定性，很难应对业务的变化。而API网关使用RESTful API， 帮您简化服务架构，通过规范化、标准化的API接口，快速完成企业内部系统的解耦及前后端分离。同时，复用已有能力，避免重复开发造成的资源浪费。 企业能力开放 当今企业面临巨大的挑战，企业的发展需要依赖外部合作伙伴的能力，典型的例子如使用第三方平台支付、合作方帐户登录等。通过API网关将企业内部服务能力以标准API的形式开放给合作伙伴，与合作伙伴共享服务和数据，达成深度合作，构建企业共赢生态。 拥抱API经济 随着用户需求的不断增加，企业原有的销售模式随之改变，逐渐替换为能力变现。通过API网关将企业服务能力包装成标准API服务，上架API市场进行售卖。变现自身服务能力的同时，降低合作伙伴的研发投入，使合作伙伴更加专注于自身核心业务，提升运营效率。

本文主要介绍分布式消息服务RabbitMQ的计费模式概述。 分布式消息服务RabbitMQ提供包年/包月和按需计费两种计费模式，以满足不同场景下的用户需求。 包年/包月 ：一种预付费模式，即先付费再使用，按照订单的购买周期进行结算。购买周期越长，享受的折扣越大。一般适用于业务需求量长期稳定的成熟业务。 按需计费 ：一种后付费模式，即先使用再付费，按照RabbitMQ实例实际使用时长计费，秒级计费，按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用，无需提前预置资源，从而降低预置过多或不足的风险。一般适用于电商抢购等业务需求量瞬间大幅波动的场景。 表1 计费模式 计费模式 包年/包月 按需计费 付费方式 预付费 按照订单的购买周期结算 后付费 按照RabbitMQ实例实际使用时长计费 计费周期 按订单的购买周期计费 秒级计费，按小时结算 适用计费项 实例费用、存储空间费用 实例费用、存储空间费用 变更规格 支持变更实例规格 支持变更实例规格 使用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式 适用于资源需求波动的场景，可以随时开通，随时删除

什么是UDP攻击和TCP攻击？ UDP攻击和TCP攻击的基本原理说明如下： 攻击者利用UDP和TCP协议的交互过程特点，通过僵尸网络，向服务器发送大量各种类型的TCP连接报文或UDP异常报文，造成服务器的网络带宽资源被耗尽，从而导致服务器处理能力降低、运行异常。 如何理解“百万级的IP黑名单库”？ 百万级的IP黑名单库是指AntiDDoS基于多年积累的DDoS防护经验，搜集的恶意IP数量已达到百万级别。当用户的业务受到这些恶意IP攻击时，AntiDDoS可以快速响应，及时为用户提供DDoS攻击防护服务。 AntiDDoS的触发条件是什么？ AntiDDoS检测到IP的入流量超过“防护设置”页面配置的“流量清洗阈值”时，触发流量清洗。 当实际业务流量触发该阈值时，AntiDDoS仅拦截攻击流量。 当实际业务流量未触发该阈值时，无论是否为攻击流量，都不会进行拦截。 AntiDDoS流量清洗进行防御时对正常业务有影响吗？ AntiDDoS流量清洗不影响正常流量。 AntiDDoS清洗机制是怎样的？ AntiDDoS检测到IP的入流量超过“防护设置”页面配置的“流量清洗阈值”时，触发流量清洗。 您可以通过拦截报告页面，查看所有公网IP的防护统计信息，包括清洗次数、清洗流量以及TOP10被攻击公网IP。

本节介绍 容器磁盘读写限速的用户指南。 通过容器磁盘读写限速，可以帮助用户为不同应用配置磁盘带宽与 IOPS 限制，实现资源隔离与性能保障。 适用场景 需要防止单一容器占用过多磁盘带宽或 IOPS，影响其他业务。 希望为关键业务或普通业务设置不同的磁盘性能等级。 功能说明 支持通过 Pod 注解，分别限制容器的磁盘读写带宽与 IOPS： 注解 含义 koordinator.sh/blkioQOS Pod 磁盘限速 JSON 注解 注意 通过 koordinator.sh/blkioQOS 注解，以 JSON 格式配置具体设备的读写带宽/IOPS，单位为字节/秒。需根据实际设备名和需求填写。 配置方法 在 Pod/Deployment YAML 的 metadata.annotations 字段中添加 koordinator.sh/blkioQOS 注解。例如： plaintext apiVersion: apps/v1kind: Deploymentmetadata: name: fiotest namespace: demospec: replicas: 1 template: metadata: labels: app: fiotest annotations: koordinator.sh/blkioQOS: { "blocks": [ { "name": "/dev/vda", "type": "device", "ioCfg": { "readBPS": 10485760, "writeBPS": 10485760 } } ] } spec: containers: name: fio image: fio:latest command: ["sleep", "9999999"] volumeMounts: name: testvolume mountPath: /test volumes: name: testvolume hostPath: path: /var/lib/fiotest type: DirectoryOrCreate

接口功能介绍 批量查询实例监控数据，目前仅支持查询近30天的监控数据 接口约束 每分钟最多请求200次 URI POST /teledbdcp/v2/openapi/monitor/instMetricData/batch 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 prodEngineName 是 String 实例类型, 目前仅支持Mysql, PostgreSQL Mysql instIds 是 Array of Strings 实例Id, 当前最多一次查询20个实例 metricsType 是 String 指标 period 是 Integer 周期,取值为: 15, 60, 900, 3600 15 startTime 是 Long 开始时间戳，精确到秒 endTime 是 Long 结束时间戳，精确到秒 1. period取值为15时，startTime和endTime质检相差不能超过3小时 2. period取值为60时，startTime和endTime之间相差不能超过1天 3. period取值为900时，startTime和endTime之间相差不能超过15天 4. period取值为3600时，startTime和endTime之间相差不能超过30天 aggFunc 是 String 聚合函数 取值为: 5. avg: 表示按照period指定的周期计算平均值 6. max: 表示按照period指定的周期计算最大值 7. min: 表示按照period指定的周期计算最小值 avg 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 接口状态码，参考下方状态码 200 error String 错误码。当接口失败时才返回具体错误编码，成功不返回或者为空 TELEDBDCP1000 message String 描述信息 returnObj Object 返回对象 ReturnObjDTO 表 ReturnObjDTO 参数 参数类型 说明 示例 下级对象 data Array of Objects 指标详情数据 MetricData 表 MetricData 参数 参数类型 说明 示例 下级对象 metricsType String 指标名 label Object 标签 Label dataPoints Array of Objects 监控数据 DataPoint 表 Label 参数 参数类型 说明 示例 下级对象 outProdInstId String 实例id vpcIp String 机器ip regionId String 资源池id device String 设备名,例如硬盘设备名 vda state String 设备名,例如硬盘设备名 v type String 设备名,例如硬盘设备名 v 表 DataPoint 参数 参数类型 说明 示例 下级对象 avg Double 平均值，当aggFun为avg时，返回此字段 max Double 最大值，当aggFun为max时，返回此字段 min Double 最小值，当aggFun为min时，返回此字段 timestamp Long 时间戳

本节主要介绍对象存储（经典版）I型支持的计费模式：按需计费和按资源包计费。 对象存储（经典版）I型支持按需计费和按资源包计费两种计费方式，默认按需计费： 按需计费：按照各计费项的实际用量结算费用，先使用，后付费。 按资源包计费：针对不同的计费项，推出使用额度和时长不同的资源包，在费用结算时，优先从资源包抵扣用量，先购买，后抵扣，超出资源包的部分自动转按需计费。 两种计费模式的对比如下： 计费模式 按需计费 资源包 付费方式 后付费 预付费 计费周期 按天 按天 适用计费项 所有计费项均支持按需计费，详情参见按需计费。 除了数据取回计费项外，其他计费项都支持订购资源包。 变更计费模式 支持通过购买对应资源包的方式，变更计费模式为包年包月（资源包）。购买资源包后，扣费时会先检查有无与计费项匹配的资源包，如果有对应资源包会优先走资源包抵扣。 资源包购买后在有效期内支持退订，在资源包生效期内，在资源包抵扣范围内的扣费项默认走包年包月（资源包）计费模式。当资源包耗尽或资源包有效期结束后，且用户未进行资源包续订时，系统自动将相关计费项转为按需计费。 使用场景 适用于具有不能中断的短期、突增或不可预测的场景，例如请求、数据读取等。 适用于可预估使用周期的场景，价格比按需计费模式更优惠，对于长期使用者，推荐该方式。 说明 对象存储（经典版）I型提供中国大陆资源池和中国香港资源池，两者的资费价格不一样。 关于低频访问型说明如下： 对象存储（经典版）I型支持低频访问型。 文件最短存储期限为30天，早于30天删除、修改文件（Object）时，需要补足剩余天数的存储费用。 最小计量大小是64KiB，上传的文件小于64KiB时，按照64KiB计算存储空间进行收费，超过64KiB的文件按照实际大小进行收费。

CNNIC： 指的是(中国互联网信息中心) ICANN ： 指的是(国际域名注册组织) 域名注册： 指的是Internet中用于解决地址对应问题的一种方法。域名可分为不同级别，包括顶级域名、二级域名、三级域名、国家代码域名等。根据中国互联网络域名管理办法，域名注册服务机构及域名注册管理机构需对申请人提出的域名是否违反了第三方的权利和申请人的真实身份进行核验。每一个相同顶级域名中的二级域名注册都是独一无二的，不可重复的，但不同顶级域名中的二级域名可以是相同的，每个域名都起到同样的作用。因此，在网络上域名是一种相对有限的资源，它的价值随着注册企业和个人用户的增多而逐步为人们所重视。 域名转移： 指的是域名从一个域名注册服务商转移到另外一个域名注册服务商。 域名解析： 就是域名到IP地址的转换过程，它是把域名指向网站空间IP，让人们通过注册的域名可以方便地访问到网站的一种服务。域名解析工作由DNS服务器完成。互联网中的地址是数字的IP地址，域名解析的作用主要就是为了便于记忆。 域名续费： 每一个域名都有注册时间和到期时间，正常情况下，这个时间是年为单位。如果域名持有者想延长域名的到期时间，则需要每年缴纳一定的费用，以年为单位延长时间，称为域名续费。 域名赎回期： ICANN在2003年一季度提出了域名赎回期的概念，域名到期并且在服务商提供的保留期（续费期）内没有为域名续费，服务商就会向注册局提出将域名删除的请求，注册局接受服务商的请求并将域名转为赎回期状态。在域名赎回期用户缴纳一定费用即可赎回域名。根据域名后缀不同，赎回期时长不同： 1. 国际域名续费期30天，未在续费期内续费即进入赎回期，赎回期时长30天； 2. 国内域名(.cn类/.中国) 续费期35天，未在续费期内续费即进入赎回期，赎回期时长15天； 3. 其他国别域名(ccTLD)则以各国家或地区域名管理机构制定的规则为准。

对于DAYU User 账号权限的IAM用户而言，DataArts Studio工作空间角色决定了其在工作空间内的权限。如果您需要与DAYU User账号权限的IAM用户协同使用DataArts Studio实例，请参考 创建IAM用户并授予DataArts Studio权限的操作准备必要的IAM用户，然后参考本章节将该用户添加为工作空间成员并配置工作空间角色。 工作空间角色决定了该用户在工作空间内的权限，当前有管理员、开发者、部署者、运维者和访客这几种预置角色可被分配，您也可以参考（可选）自定义工作空间角色自定义角色。各角色权限的详细说明请参见产品介绍中的“DataArts Studio权限列表”章节。 管理员：工作空间管理员，拥有工作空间内所有的业务操作权限。建议将项目负责人、开发责任人、运维管理员设置为管理员角色。 开发者：开发者拥有工作空间内创建、管理工作项的业务操作权限。建议将任务开发、任务处理的用户设置为开发者。 运维者：运维者具备工作空间内运维调度等业务的操作权限，但无法更改工作项及配置。建议将运维管理、状态监控的用户设置为运维者。 访客：访客可以查看工作空间内的数据，但无法操作业务。建议将只查看空间内容、不进行操作的用户设置为访客。 部署者：企业模式独有，具备工作空间内任务包发布的相关操作权限。在企业模式中，开发者提交脚本或作业版本后，系统会对应产生发布任务。开发者确认发包后，需要部署者审批通过，才能将修改后的作业同步到生产环境。 自定义角色：如果预置角色不能满足您的需求，您也可以创建自定义角色。自定义角色的权限可自由配置，实现业务操作权限最小化。

天翼云容器镜像服务协议，详情请参见这里。

天翼云WEB应用防火墙(独享版)服务协议