镜像服务的功能 镜像服务主要有以下功能： 提供常见的主流操作系统公共镜像。 由现有运行的云主机，或由外部导入的方式来创建私有镜像。 管理公共镜像，例如：按操作系统类型/名称/ID搜索，查看镜像ID、系统盘大小等详情，查看镜像支持的特性（一键式重置密码等）。 管理私有镜像，例如：修改镜像属性，共享镜像，复制镜像等。 通过镜像创建云主机。 访问方式 公有云提供了Web化的服务管理平台（即管理控制台）和基于HTTPS请求的API（Application programming interface）管理方式。 API方式 如果用户需要将镜像服务集成到第三方系统，用于二次开发，请使用API方式访问镜像服务，如有需求，请联系天翼云客户经理。 管理控制台方式 其他相关操作，请使用管理控制台方式访问镜像服务。

云日志服务支持采集分布式缓存服务Redis日志，您可在Redis实例控制台中进行开启日志收集，由云日志服务提供存储与采集能力。采集后，您可以在云日志服务控制台对redis日志进行查询、分析或告警配置。 前提条件 已订购分布式缓存服务Redis实例。 已开通云日志服务。 配置步骤 1. 登录分布式缓存服务Redis控制台。 2. 在实例管理列表中，点击目标实例名称，进入实例详情页面。 3. 点击左侧菜单栏“日志管理”“审计日志” 4. 根据页面提示，点击“马上开启”按钮。 5. 稍等片刻后，系统将会自动生成审计日志大盘，展示访问用户数、QPS、响应时间等关键指标信息。 6. 您也可以登录云日志服务控制台，进入“redisaudit”日志项目中，即可查看所有已接入云日志服务的redis实例的日志单元，并进行日志查询、分析或告警配置。

本文介绍全站加速设置跨域资源共享CORS的方法。 跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。 网站接入全站加速后，文件的首次请求会因为全站加速节点上没有缓存而回源。如果源站响应了一个未包含CORS头的文件，全站加速会将此文件缓存下来直至缓存失效。在此期间如果客户端发起跨域请求，全站加速将响应不包含CORS头的文件给客户端，客户端将出现“缺少AccessControlAllowOrigin”之类的异常报错。为解决此类问题，全站加速需要配置添加CORS响应头来进行适配，具体配置过程，详情请见：跨域资源共享。

本文介绍启用CDN加速后HTTPS访问失败可能的原因及解决方案。 背景说明 在天翼云CDN控制台新增域名并切换到CDN节点后，HTTP请求访问正常，HTTPS请求访问失败。本文介绍可能的原因及解决方案。 可能原因 1. 未在CDN控制台开启HTTPS功能。 2. 在CDN控制台配置的证书过期，或证书不匹配、证书错误。 解决方案 1. 登录CDN控制台，单击左侧导航栏【域名管理】【域名列表】选择对应域名，查看【HTTPS配置】是否启用。如未启用，请开启HTTPS功能，相关操作说明，详情请见：HTTPS配置。 2. 如有启用HTTPS，则检查配置证书是否过期，或证书不匹配、证书错误。如为上述情况，则替换为新证书、正确证书即可。详情请见：修改证书。

命名空间配置项用于存储应用运行所需的各种配置信息。通过配置项，用户可以灵活管理应用在容器中的运行环境，支持多种注入方式： 环境变量：配置项可在容器中作为环境变量使用，方便在应用部署后随时调整配置。 命令行参数：可通过启动命令将配置项传入应用，实现即时配置。 挂载配置文件 ：配置项可写入文件并挂载到容器中，便于集中管理和动态更新配置。 本章节将详细说明如何在云应用引擎控制台中创建命名空间的配置项，并展示如何在应用中使用这些配置，实现高效的配置管理与灵活部署。 功能入口 创建配置项 1. 登录云应用引擎控制台。 2. 在左侧导航栏单击“配置管理”>“配置项”，进入配置管理页面。 3. 单击“创建”，在右侧弹出的创建配置项面板，根据下表说明完成参数配置，然后单击“确认”。 使用表单创建 配置项 说明 示例 所属命名空间 ConfigMap所属的命名空间，仅在该命名空间内有效 默认 配置项名称 自定义的配置项名称 test 配置项描述 对配置项的文字说明，便于识别和管理 这是一个测试 ConfigMap 配置映射 单击“使用表单添加变量”，在对话框中输入变量名和变量值 变量名：env 变量值：test

本文介绍如何进行IAM权限及用户管理。 在系统使用中，需要对不同的用户赋予不同的权限，本文以一个场景为例，介绍如何进行资源编排ROS的IAM权限管理。本文主要做场景介绍，更详细的功能使用方式请参见统一身份认证。 操作步骤 1. 登录天翼云。 2. 在页面右上角账户处点击“账号中心”，再点击“统一身份认证”，进入统一身份认证服务（IAM控制台）。即可进行用户及权限管理。 场景示例 某A公司使用了资源编排ROS，该公司有两个小组，一个小组人员负责申请云资源及资源的变更，另一个小组负责审核并执行资源的管理。为了方便A公司统一购买、分配资源并管理用户，A公司的人员不需要每人都注册天翼云帐号，而是由公司的管理员注册一个帐号，在这个帐号下创建IAM用户并分配权限，然后将创建的IAM用户分发给公司的人员使用。 组别 职能 权限 管理人员组 负责人员及资源的管理，进行权限分配、资源调配等。 内置的“ros admin”权限，审批并执行资源变更 开发人员组 需要使用弹性云主机、云硬盘、虚拟私有云等资源，会进行资源的申请及管理。 内置的“ros no execute”即申请权限，资源的新建、变更等的申请 资源编排ROS已内置3个系统策略： “ros admin”：管理者权限，拥有ros所有权限 “ros viewer”：观察者权限，拥有ros所有读权限 “ros no execute”：使用及申请权限，即排除资源栈/执行计划部署+资源栈删除+取消部署权限 并支持自定义策略，管理员可根据实际需求自定义。 以下以“管理人员组”及“开发人员组”为例详细说明如何进行用户管理，并以“ros apply”策略为例介绍如何自定义策略。“ros apply”例子中的权限实际与“ros no execute”内置策略一致，此场景用户可直接使用内置的。

本文为您介绍查看路由表下的路由条目的操作流程。 用户配置完后，可以在云企业路由器中查看路由表的路由条目信息。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理 ”页签，单击目标云企业路由器实例名称（或者单击操作列的“配置”），进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“路由管理”页签，在左侧单击目标的路由表。 6. 在右侧，选择“路由条目”页签下，查看当前路由表的路由条目信息。

本章节为您介绍如何创建数据报表相关内容。 日志审计能够记录系统、应用程序或网络的所有活动，通过生成报表，可以将海量的日志数据转化为直观、易懂的图表和统计信息，帮助管理员快速了解系统的整体运行状况。 通过分析日志数据，可以识别系统瓶颈、性能问题以及潜在的错误，从而进行针对性的优化和改进。因此，日志审计生成报表对于保障信息安全、合规性审查、故障排除和性能优化都具有重要意义。 快速创建报表 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“审计报表 > 报表”，进入“报表”页面。 3. 选择需要新增报表的组，单击“新增报表”，进入“配置报表”页面。 说明 在配置报表前需要预先创建数据源，否则无法新建报表。 数据源创建请参考：数据源章节。 4. 按照下图示例，首先配置报表名称、标题，选择报表生成所属的“数据源”，填写报表保存在服务器端的时间。 5. 编辑报表内容，根据您业务自身需求按顺序拖拽组件至右侧空白处。 表格配置请参考下图，表格配置的字段来源于您数据源配置的相关内容。 图表配置请参考下图，根据您自身需求选择统计图类型。 6. 配置完成后单击“提交”即可完成新建报表。

本文将为您介绍如何在专有宿主机上创建云主机 操作步骤 进入创建云主机页面 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 >弹性云主机 > 弹性云主机”，进入弹性云主机列表页。选中页面右上角“创建云主机”；或选择“计算 >弹性云主机 > 专有宿主机”，进入专有宿主机列表页，点击宿主机操作栏中“创建实例”按钮。 4. 选择专有宿主机，支持系统随机指定或手工指定，也可以不使用专有宿主机，在共享宿主机上对云主机进行创建。 5. 云主机相关配置项可查看++创建弹性云主机++，在专有宿主机上的云主机仅支持按量付费的计费模式。 6. 对云主机相关参数进行确认，如果您确认配置无误，单击“立即购买”。

本文将为您介绍如何在专有宿主机上创建云主机 操作步骤 进入创建云主机页面 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 >弹性云主机 > 弹性云主机”，进入弹性云主机列表页。选中页面右上角“创建云主机”；或选择“计算 >弹性云主机 > 专有宿主机”，进入专有宿主机列表页，点击宿主机操作栏中“创建实例”按钮。 4. 选择专有宿主机，支持系统随机指定或手工指定，也可以不使用专有宿主机，在共享宿主机上对云主机进行创建。 5. 云主机相关配置项可查看++创建弹性云主机++，在专有宿主机上的云主机仅支持按量付费的计费模式。 6. 对云主机相关参数进行确认，如果您确认配置无误，单击“立即购买”。

操作步骤 云主机通过绑定弹性IP访问公网 配置方法 在创建子网路由表时已经默认生成了指向IPv4网关的缺省路由规则，所有的子网默认具备访问公网的能力。不需要再配置其他路由规则即可通过弹性IP访问公网。 子网1中的ECS可以通过弹性IP访问公网。 云主机通过SNAT访问公网 前提条件 在VPC内创建NAT网关实例。 配置方法 如果子网2、子网3需要通过SNAT主动访问公网，需要在子网2、子网3关联的路由表中增加一条目的地址为0.0.0.0/0指向NAT网关的路由规则。由于user类型的路由规则优先级高于系统类型的路由规则，这样可以保证可以通过NAT网关访问互联网。 从以上的例子可以看出，同一个子网内的云主机绑定弹性IP和NAT网关后，默认通过NAT网关访问公网，弹性IP无法访问公网。因此，不建议同一个子网内的云主机同时绑定弹性IP和NAT网关。

本页面主要介绍云硬盘备份对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表中，选择事件来源为“计算”，资源类型选择“云主机”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

创建云数据库ClickHouse实例后，可以通过登录数据库管理服务DMS对数据库进行数据管理、用户授权、SQL审计、数据可视化等管理操作。本文为您介绍如何通过数据库管理服务DMS登录云数据库ClickHouse。 数据管理服务（Data Management Service，DMS）是异构数据库的一站式、全生命周期管理平台，为企业提供统一数据资产视图、统一数据库开发规范、统一数据安全策略、统一变更管控标准，让数据库的使用更高效、更安全、更规范。更多DMS信息，请参见DMS产品定义。 前提条件 已创建云数据库ClickHouse实例 已创建数据库用户 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 分析型数据库> 云数据库ClickHouse ，进入云数据库ClickHouse产品页面。然后单击管理控制台，进入数据库实例列表。 2. 选择如下一种方式，进入数据库管理服务DMS。 方法一：在实例列表上方，单击进入数据管理服务，进入到DMS管理控制台，然后填写登录数据库的数据库账号和密码，即可登录DMS。 方法二：在实例列表中，找到目标实例，选择操作 列的更多 > 登录数据库，即可进入该实例的DMS登录页面。

本文主要介绍如何开启/关闭超线程。 操作场景 购买弹性云主机时，您可以通过设置“CPU选项”，开启或关闭超线程。若不设置，则默认开启超线程。 超线程HT（HyperThreading）技术，允许在CPU的每个物理内核上公开两个执行上下文，即一个物理内核包含两个虚拟的“逻辑内核”，可以处理不同的软件线程。vCPU（virtual CPU）即为虚拟的“逻辑内核”。 x86架构的弹性云主机实例支持超线程技术： 开启超线程：适用于需要CPU内核在同一时间并行处理更多的信息和后台任务的场景，开启多线程可以大幅提升计算体验。 关闭超线程：适用于计算密集型，且关闭超线程时性能优于开启超线程的场景，例如风机荷载、材料计算等HPC场景。 约束与限制 弹性云主机购买完成后无法修改超线程状态，需要通过变更规格的方式修改ECS实例的超线程状态。 该操作不涉及收费。 支持开启或关闭超线程的规格，请参见实例规格（X86）、实例规格（鲲鹏）中各类云主机的概述介绍。 目前除海口资源池外，均已支持此功能。 开启/关闭超线程（购买时） 1、登录控制台，进入购买弹性云主机页面。 根据业务需要，完成基础配置、网络配置以及高级配置。详细内容，请参见创建弹性云主机。 2、勾选“现在配置”，展开“高级选项”。 3、勾选“指定CPU选项”。 4、设置“每核心线程数”。 当勾选“指定CPU选项”时，显示该参数。在“每核心线程数”下拉框进行设置。 关闭超线程 开启超线程，默认开启 5、单击“下一步：确认配置”，确认参数并完成弹性云主机的购买。

创建事件跟踪并投递至对象存储服务 说明 云审计日志转存至对象存储服务仅支持在“合肥2”、“华北2”、“杭州7”区域支持配置，转存日志涵盖所有一类资源池的数据。 1. 进入云审计服务控制台。 2. 在左侧导航栏选择“事件跟踪”，进入“事件跟踪”页面。 3. 单击左上角的“创建跟踪任务”，进入“新建事件跟踪”页面并填写相关参数。 参数 填写说明 跟踪任务名称 填写跟踪任务的相关名称。 长度为263字符，以大小写字母或中文开头，可包含数字、"."、""、""。 启用状态 选择跟踪任务的启用状态。 事件范围 跟踪任务记录的事件范围，可选“全部”、“只读”和“可选”。 投递类型 选择投“对象存储”。 ZOS存储桶 选择需要投放的ZOS桶。 目录前缀 投递ZOS桶的目录下，目录前缀已非“/”开头 4. 配置完成后单击“确定”，完成事件跟踪配置。 编辑事件跟踪 1. 进入云审计服务控制台。 2. 在左侧导航栏选择“事件跟踪”，进入“事件跟踪”页面。 3. 找到待编辑的事件，选择“操作”列的“编辑”。 4. 在编辑页面修改相关内容后，单击“确定”完成修改。

天翼云为您提供客户资源优化服务协议说明，请您点击查看。 客户资源优化服务协议

本文主要介绍如何接入对象存储访问日志。 云日志服务支持导入对象存储访问日志。出于分析或审计等目的，您可以在对象存储中开启日志管理功能，并导入云日志服务中。通过访问日志记录，桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。 前置条件 已开通对象存储服务。 注意 1. 接入对象存储访问日志，云日志服务侧将产生相关存储费用与流量费用，详情请查看云日志服务计费说明。 2. 开启访问日志转储，会产生对象存储服务费用，相关费用信息请参考对象存储服务文档。 配置流程 1. 登录对象存储ZOS控制台。 2. 选择指定的Bucket名称桶，进入"概览"页面。 3. 点击"日志管理"标签，在日志管理界面下点击"设置"按钮。 4. 选择"开启日志存储"，按照日志管理配置规则，选择日志存储位置与日志前缀，单击"保存"开启日志存储功能。 5. 进入云日志服务控制台，在左侧菜单栏点击“日志接入”，选择“对象存储访问日志”。 6. 选择需要存储日志数据的日志项目与日志单元。点击下一步进入日志配置页面。 7. 在日志配置页面中，选择上述第四步已配置的ZOS存储桶以及目录前缀，点击“下一步”，即可完成配置

本文为您介绍Web基础防护模块中，自定义防护规则组的配置方式。 云WAF的防护规则引擎支持用户自定义搭建防护规则组，为具体的防护场景创建有针对性的防护策略。在设置网站防护功能时，如果默认的防护规则组不能满足您的需求，建议您自定义防护规则组。 前提条件 已开通了Web应用防火墙，且实例版本为标准版及以上版本。 已完成网站接入。具体操作，请参见添加域名。 使用限制 基础版不支持自定义防护规则组，请升级到更高版本使用。 使用流程 防护规则组应用流程如下： 1. 新建规则组：为具体防护功能创建自定义防护规则组，形成有针对性的防护策略。 2. 应用规则组：添加自定义防护规则组后，您可以为网站域名应用自定义防护规则组。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“Web基础防护”模块，在防护规则组后方点击“前去配置”。 7. 进入“规则组配置”页面，可以看到当前的规则组列表。规则组列表展示了系统默认防护规则组及自定义防护规则组。 8. 在规则组列表上方，点击“新建规则组”，进入新建规则组页面，完成以下信息配置。 配置项 说明 规则组名称 设置规则组的名称。规则组名称用于标识当前规则组，建议您使用有明确含义的名称。 规则组模板 选择要应用的规则组模板。可选项： 严格规则组 中等规则组 宽松规则组 其他自定义规则组 规则组模板可以多选，系统会将所选的规则组最大集作为模板，下一步基于该集合进行规则配置。 规则组描述 输入规则组的描述信息。 规则配置 选择当前规则组要应用的防护规则。当前规则列表默认展示您所选的规则组模板集合中的所有规则，您需要从中勾选适用的规则，将不适用或者可能造成误拦截的规则取消勾选。 您可以使用筛选和搜索功能查询规则，例如通过危险等级、防护类型筛选规则，或者输入规则名称、CVE编号、规则ID搜索规则。 危险等级：表示规则防御的Web攻击的危险等级，包括高危、中危、低危。 防护类型：表示规则防御的Web攻击类型，包括SQL注入、XSS、目录穿越、Java代码执行、PHP代码执行、ASP代码执行、通用代码执行、Java反序列化、PHP反序列化、本地文件包含、远程文件包含、文件上传、CSRF、SSRF、命令注入、信息泄露、模板注入、XML实体注入、Xpath注入、LDAP注入、自定义精准攻击、未知攻击。 9. 如您暂时无需应用新建的规则组，可以在完成以上配置后，点击“保存”，完成配置向导。后续需要应用该规则组的时候再配置即可。 10. （可选）点击“下一步，应用到防护对象”将规则组应用到域名。从“待接入防护对象”列表中选择要应用当前规则组的域名，添加到“已接入防护对象”列表，单击“保存”。 注意 每个防护对象只能应用一个防护规则组。 11. 完成操作后，您可以在规则组列表中查看新建的规则组，包括规则组的更新时间以及应用域名的情况。 12. 您可以根据需要调整应用防护规则组的域名，通过点击“应用到防护对象”进行操作即可。 13. 创建规则组后，您可以在防护规则组列表中查看规则组内置规则情况，点击“内置规则数”列的数字进入规则列表。

本文向您介绍标签管理服务的数据保护技术。 静态数据保护 标签管理服务不提供更改、添加或删除天翼云资源的方法。标签管理服务收集以下特定的信息： 预定义标签键 预定义标签值 传输中的数据保护 数据传输到标签管理服务内部数据库的过程中使用加密协议。此部分用户不可配置。 调用标签管理服务接口时，标签管理服务支持HTTP和HTTPS两种传输协议，为保证数据传输的安全性，推荐您使用更加安全的HTTPS协议。 数据销毁机制 客户删除数据后，为避免误删除，数据会在数据库历史表中保存。客户注销天翼云账号后，数据彻底删除。

并行文件服务支持对用户操作进行审计,本文介绍相关操作说明。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或 API 接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对 7 天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的 ZOS 桶。 使用限制 云审计服务本身免费，包括时间记录以及 7 天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7 天。 用户操作后多久可以通过云审计查询到数据：5 分钟。 其它限制请参考使用限制云审计。

本章节介绍云主机磁盘填充故障演练。 背景介绍 由失控的日志文件、未经清理的临时数据或异常进程持续写入，都可能导致云主机磁盘空间被耗尽（例如使用率超过95%）。这种情况会直接导致应用无法写入新数据、服务功能异常甚至进程崩溃。本演练模拟磁盘空间被占满的场景，帮助您检验系统的磁盘空间监控告警、日志轮转机制以及应用在无可用存储空间时的处理逻辑。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘填充动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 目录：填充文件的写入目标，默认为系统根目录 /。强烈建议指定一个非系统盘的数据目录。 文件大小(MB)：填充的文件大小，取值是整数，例如1024。 磁盘使用率：填充至指定的空间占用率（取值 1100），例如50代表50%的使用率。 保留大小(MB)：保留的磁盘大小，如果文件大小、磁盘使用率、保留大小参数都存在，优先级是磁盘使用率>保留大小>文件大小。

本章节介绍云主机磁盘IO高负载故障演练。 背景介绍 高并发的日志落盘、数据库批量写入、大数据文件读写或存储介质性能瓶颈，都可能导致云主机的磁盘 IO（输入/输出）饱和，进而造成请求处理延迟、应用假死甚至数据丢失。本演练模拟磁盘 IO 资源被持续占用的高负载场景，帮助您评估应用的容错能力、检验数据写入的可靠性，并验证相关监控告警的有效性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘IO高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 读负载：勾选将开启读压力模式。探针会创建一个临时文件并对其进行持续的读取操作。 写负载：勾选将开启写压力模式。探针会持续向一个临时文件写入数据。 块大小(MB)：控制单次读写操作的数据块大小，单位为MB。增大此值可以提升单次操作的 IO 压力。通常保持默认值即可。

本节为您介绍物理机服务常见的磁盘类问题。 物理机是否支持挂载云硬盘？可以挂载多少块数据盘？ 弹性裸金属的部分规格支持挂载云硬盘，可以支持挂载9块云硬盘 (1块系统盘+8块数据盘)。 普通裸金属不支持挂载云硬盘。 物理机挂载磁盘时有什么限制？ 待挂载的磁盘与物理机属于同一可用区。 物理机的状态为“运行中”或“关机”。 如果是非共享盘，待挂载的云硬盘为“可用”状态。 如果是共享盘，待挂载的云硬盘为“正在使用”或“可用”状态。 由于某些机型的服务器没有配备智能网卡，或者其他服务器本身的原因，有些规格或镜像的物理机不支持挂载云硬盘。 怎么确定物理机规格是否支持挂载云硬盘？ 由于某些机型的服务器没有配备智能网卡，或者其他服务器本身的原因，有些规格的物理机不支持挂载云硬盘。您可以此方法判断：在选择规格之后，页面会提示此规格是否支持挂载云硬盘。 如何修改“fstab”文件中的磁盘标识方式为UUID？ 问题背景 对于Linux物理机，挂载磁盘后需要将“fstab”文件中的磁盘标识方式修改为UUID，否则，物理机关机再开机，或者重启后会因为挂载点乱序而无法进入操作系统或者业务不可用。 说明 UUID：Universally Unique Identifier，通用唯一识别码，是用于计算机体系中以识别信息数目的一个128位标识符。

RR（Resource Record） 资源记录，用来存放与域名相关的数据。每条资源记录都包括域名、生存时间、信息类型、资源记录类型和值五项。 TTL 生存时间（time to live），名称服务器允许数据在缓存中存放的时间。生存时间一到期，名称服务器就丢弃原有的缓存数据并从权威名称服务器获取新的数据。 递归查询 客户机向本地域名服务器进行的查询属于递归查询，即当客户机向DNS服务器发出请求后，若DNS服务器本身不能解析，则会向其它的DNS服务器发出查询请求，得到结果后转交给客户机。 迭代查询 本地域名服务器向授权服务器逐级进行查询的行为属于迭代查询。当根域名服务器收到本地域名服务器的迭代查询请求报文时，通常会给出域名的权威记录，或是告知下一级授权的查询地址。 DNS缓存 域名服务器在解析名称的过程中，会得知域名空间中许多区域授权信息，同时将这些数据记录下来供将来参考，称为缓存。通过缓存，本地名称服务器可以很快地提供先前取得的已知信息，因而缩短名称解析的时间。 拒绝服务攻击 黑客常用的攻击手段之一，目的为让目标机器停止提供服务。对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。

修改xfs文件系统的UUID 说明 本示例以/dev/vde1为例，您需要根据自己的设备名修改相关命令。 1. 远程登录云主机实例，具体操作可参考登录Linux弹性云主机。 2. 运行以下命令，查询云硬盘的UUID。 plaintext blkid 查询结果如下所示，此时通过快照新创建云硬盘的UUID和源云硬盘一样： 3. 运行以下命令为云硬盘生成新的UUID。 plaintext xfsadmin U generate /dev/vde1 4. 运行以下命令，查看是否已经修改UUID。 plaintext blkid 5. 运行以下命令挂载（mount）云硬盘。 plaintext mount /dev/vde1 /mnt 6. 配置/etc/fstab文件，开机自动挂载新云硬盘。具体操作请参考在fstab文件中配置UUID方式自动挂载数据盘。

本章节介绍云容器集群Pod DNS篡改故障演练。 背景介绍 DNS 篡改会使域名解析到错误的 IP，从而在 CCE 环境中造成流量劫持、访问异常或数据泄露等风险。本演练模拟 DNS 篡改场景，用于检验 Pod 的安全防护与监控告警有效性，并评估业务在解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的目标域名。 映射IP：将目标域名解析到的IP地址。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

接口功能介绍 保存病毒查杀配置 接口约束 无 URI POST /v1/virus/virusAndRealTimeConf 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 day 是 Integer 检测频率 1：每天 3：每3天 7：每7天 1 date 是 String 检测时间 00:00的意思是每day天的00:0000:30随机时间开始病毒查杀扫描 00:00 checkModel 是 Integer 检测模式，1：快速检测，2：全盘扫描，3：自定义扫描， 1 realTimeStatus 是 Integer 实时检测开关 开启：1 关闭：0 1 periodicConfStatus 是 Integer 定时检测开关 开启：1 关闭：0 1 localCheckStatus 是 Integer 本地检测开关 开启：1 关闭：0 1 periodicAgentGuidList 否 Array of Strings 定时检测的guid列表 [] realTimeAgentGuidList 否 Array of Strings 实时检测的guid列表 [] periodicEnableScope 是 String 定时检测作用范围 OPTIONAL自选主机 ALL所有主机 ALL realTimeEnableScope 是 String 实时检测作用范围 OPTIONAL自选主机 ALL所有主机 ALL

本文介绍跨域资源共享功能及其配置说明。 功能介绍 HTTP响应头是HTTP响应消息头的组成部分之一，可携带特定响应参数并传递给客户端。配置自定义HTTP响应头后，当用户请求加速域名下的资源时，全站返回的响应消息会携带您配置的响应头，从而实现特定功能。跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。 注意事项 若源站与客户控制台同时配置CORS跨域头，则全站加速的配置将覆盖源站CORS跨域头。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【头部修改】。 5. 在【HTTP响应头】下单击【增加规则】，HTTP响应头部值配置：AccessControlAllowOrigin。 参数名 说明 示例 头部值 跨域头部固定填写：AccessControlAllowOrigin。 AccessControlAllowOrigin 跨域验证 跨域验证开关默认关闭。 关闭：固定响应“AccessControlAllowOrigin”头部及其配置的取值。 开启：按照以下规则对用户请求进行跨域校验。 1.任意匹配：取值配置为“ ”，固定响应“AccessControlAllowOrigin:”。 2.泛匹配：取值配置为泛域名，校验请求头Origin值与配置的泛域名是否匹配，匹配则“AccessControlAllowOrigin”头部值响应Origin请求头值，匹配不上则不响应跨域头。 3.精确匹配：取值配置为单个或者多个精确域名，校验请求头Origin值与配置的精确域名是否匹配，匹配则“AccessControlAllowOrigin”头部值响应Origin请求头值，匹配不上则不响应跨域头。 开启 取值 1、响应头取值配置为“ ”，可匹配所有来源。 2、响应头取值配置非“ ”，必须包含协议头“http:// ”或者“ 3、响应头取值配置非“ ”，支持配置多个域名，多个值之间用英文逗号分隔。 4、响应头取值支持携带端口。

本文将为您介绍如何为磁盘创建备份与管理备份。 创建云硬盘备份 操作场景 在控制台对已有的云硬盘进行备份。 立即备份（一次性备份） 约束与限制 已经存在至少一个存储库，且存储库状态为“可用”。 已经存在至少一个云硬盘，且云硬盘的状态为“已挂载”或“未挂载”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择专属云资源池。 3. 选择“专属存储 > 磁盘”，进入专属磁盘主页面。 4. 在云硬盘列表中，单击待创建备份的云硬盘所在行“操作>更多>创建云硬盘备份”, 进入“创建云硬盘备份”页面。 5. 选择合适的存储库，您所操作的云硬盘会默认被勾选并展示在右侧。 6. 如果有其他云硬盘需要备份，可以在云硬盘列表中勾选需要备份的云硬盘，勾选后点击右向箭头，将在已勾选云硬盘列表区域展示。对于已选磁盘区域中不需要备份的磁盘，可以勾选后点击左向箭头进行删除。 7. 确认需备份云硬盘和存储库信息无误后，在下方“备份配置”模块中，“立即备份”默认选中，用户可以选择是否启用全量备份，确认配置后点击“下一步”。 说明 若不启用全量备份，默认在选中的存储库的首次备份进行全量备份，非首次备份进行增量备份。若启用了全量备份，此次立即备份将会执行全量备份。 8. 在云硬盘备份资源详情页面，确认配置无误后，点击“我已阅读并同意相关协议《云硬盘备份服务协议》”，点击“确认下单”。 9. 您可以手动刷新页面，查看备份创建状态。当云硬盘备份副本的“状态”变为“可用”时，表示备份创建成功。

本文介绍天翼云云搜索服务内核增强能力及和开源组件对比能力。 天翼云在开源Elasticsearch和OpenSearch的基础上做了大量内核能力增强。具体支持对应表如下： 功能项 天翼云云搜索OpenSearch增强 天翼云云搜索Elasticsearch增强 开源Elasticsearch 开源OpenSearch 向量检索 支持 支持 不支持 支持 压缩算法 支持 支持 不支持 支持 跨集群复制 支持 支持 不支持 支持 SQL功能 支持 支持 不支持 支持 简繁体转换 支持 支持 不支持 不支持 细粒度权限 支持 支持 不支持 支持 异步搜索 支持 支持 不支持 支持 流量控制 支持 不支持 不支持 不支持 中文分词增强 支持 支持 不支持 不支持

步骤二 ：访问应用，触发自适应配置推送优化 1. 部署bookinfo相关应用。部署后可以在网格优化中心 > Sidecar资源中看到这些应用已经默认生成了Sidecar资源，并且仅下发istiosystem和meshoperator的配置。 2. 通过云原生网关发起请求到productpage。具体步骤可以参考通过云原生网关访问bookinfo应用，或者通过ingressgateway访问，或者在集群内执行curl 访问productpage。 3. 首次访问成功后，在网格优化中心 > Sidecar资源中查看productpage已经追加reviews，details等服务的配置。无需您手工配置。 相关操作 关闭自适应配置推送优化功能 1. 登录应用服务网格控制台，在首页网格列表中选中目标实例。 2. 在网格管理页面左侧导航栏，选择 网格优化中心 > 自适应配置下发。 3. 在自适应配置下发页面，点击关闭 自适应配置下发。 4. 切换到网格优化中心 > Sidecar资源页面查看Sidecar资源列表。 5. 您可以看到创建来源为“系统”的Sidecar资源已被删除。

本文帮助您快速熟悉查看安全组。 操作场景 当您需要了解已有的安全组信息，可以通过网络控制台进行查看。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。此时展示页面当前资源池下已有的安全组列表，可以查看安全组的名称、ID、描述等信息 5. 点击安全组名称，进入所选安全组的详情页。在详情页，可以查看安全组的基本信息、入方向规则、出方向规则、关联实例信息。