本章主要介绍翼MapReduce的配置Kafka数据传输加密功能。 操作场景 Kafka客户端和Broker之间的数据传输默认采用明文传输，客户端可能部署在不受信任的网络中，传输的数据可能遭到泄漏和篡改。 操作步骤 默认情况下，组件间的通道是不加密的。用户可以配置如下参数，设置安全通道为加密的。 参数修改入口：在FusionInsight Manager系统中，选择“集群 > 待操作集群的名称 > 服务 > Kafka > 配置”，展开“全部配置”页签。在搜索框中输入参数名称。 说明 配置后应重启对应服务使参数生效。 Kafka服务端的传输加密相关配置参数详见下表。 配置项 描述 默认值 ssl.mode.enable 是否开启SSL对应服务。如果设置为“true”，那么Broker启动过程中会启动SSL的相关服务。 false security.inter.broker.protocol Broker间通信协议。支持PLAINTEXT、SSL、SASLPLAINTEXT、SASLSSL这四种协议类型。 SASLPLAINTEXT “ssl.mode.enable”配置为“true”后，Broker会开启SSL、SASLSSL两种协议的服务，然后服务端或者客户端才能配置相关的SSL协议，进行传输加密通信。

本章节主要介绍翼MapReduce的下载日志操作。 操作场景 FusionInsight Manager支持批量导出各个服务角色所有实例生成的日志，无需手工登录单个节点获取。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“运维 > 日志 ＞ 下载”。 3. 选择日志下载范围。 “服务”：单击勾选所需服务。 “主机”：填写服务所部署主机的IP，也可单击勾选所需主机。 单击右上角的设置日志的起始收集时间“开始时间”和“结束时间”。 4. 单击“下载”完成日志下载。 下载的日志压缩包中会包括对应开始时间和结束时间的拓扑信息，方便查看与定位。 拓扑文件以“topo .txt”命名。文件内容包括节点IP、节点主机名以及节点所安装的服务实例（OMS节点以“Manager:Manager”标识）。 例如： 192.168.204.124suse124DBService:DBServer;KrbClient:KerberosClient;LdapClient:SlapdClient;LdapServer:SlapdServer;Manager:Manager;meta:meta

操作场景 节点是指纳管到容器集群的计算资源，包括虚拟机、物理机等。用户需确保所在集群的节点资源充足，若节点资源不足，会导致创建工作负载等操作失败。 前提条件 已创建至少一个集群，请参见集群管理>购买混合集群。 您需要新建一个密钥对，用于远程登录节点时的身份认证。 说明： 若使用密码登录节点，请跳过此操作。 约束与限制 仅支持创建KVM虚拟化类型的节点，非KVM虚拟化类型的节点创建后无法正常使用。 集群中的节点一旦购买后不可变更可用区。 集群中通过“按需计费”模式购买的节点，在CCE“节点管理”中进行删除操作后将会直接被删除；通过“包年/包月”模式购买的节点不能直接删除，请通过页面右上角用户名称下的“我的订单”执行资源退订操作。 操作步骤 步骤 1 登录CCE控制台，可通过如下两种方式进入“购买节点”页面： 在左侧导航栏中选择“资源管理 > 节点管理”，选择节点所在的集群后，在节点列表页面单击上方的“购买节点”。 在左侧导航栏中选择“资源管理 > 集群管理”，在集群卡片上，单击“购买节点”。 步骤 2 计费模式：支持“按需计费”和“包年/包月”类型。本章以“按需计费”类型为例进行讲解。 步骤 3 选择区域和可用区。 当前区域：节点实例所在的物理位置。 可用区：请根据业务需要进行选择。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 如果您需要提高工作负载的高可靠性，建议您在创建集群后将云服务器部署在不同的可用区，购买集群时节点只能部署在一个可用区。 步骤 4 节点类型：选择“虚拟机节点”。配置以下参数。 节点名称：自定义节点名称。长度范围为156个字符，以小写字母开头，支持小写字母、数字、中划线()，不能以中划线()结尾。 节点规格：请根据业务需求选择相应的节点规格。 −通用型：该类型实例提供均衡的计算、存储以及网络配置，适用于大多数的使用场景。通用型实例可用于Web服务器、开发测试环境以及小型数据库工作负载等场景。 −GPU加速型：提供优秀的浮点计算能力，从容应对高实时、高并发的海量计算场景。P系列适合于深度学习，科学计算，CAE等；G系列适合于3D动画渲染，CAD等。 −高性能计算型：实例提供具有更稳定、超高性能计算性能的实例，可以用于超高性能计算能力、高吞吐量的工作负载场景，例如科学计算。 −通用计算增强型：该类型实例具有性能稳定且资源独享的特点，满足计算性能高且稳定的企业级工作负载诉求。 为确保节点稳定性，系统会自动预留部分资源，用于运行必须的系统组件。详细请参见节点预留资源计算公式。 操作系统：请直接选择节点对应的操作系统。 系统盘：设置工作节点的系统盘空间。您可以设置系统盘的规格为40GB1024GB之间的数值，缺省值为40GB。 在默认情况下，系统盘可提供高IO、超高IO两种基本的云硬盘类型。 数据盘：设置工作节点的数据盘空间。您可以设置数据盘的规格为100GB32678GB之间的数值，缺省值为100GB。数据盘可提供的云硬盘类型与上方系统盘一致。 说明：若数据盘卸载或损坏，会导致docker服务异常，最终导致节点不可用。建议不要删除该数据盘。 −数据盘空间分配：单击后方的“更改配置”，可以对数据盘中的“k8s空间”和“用户空间”占比进行自定义设置，开启LVM管理的数据盘将按照设置的比例进行统一分配。部分集群版本不支持此功能，具体以界面为准。 k8s空间：您可以自定义数据盘中Docker和Kubelet的资源占比。Docker资源包含Docker工作目录、Docker镜像数据以及镜像元数据；Kubelet资源包含Pod配置文件、密钥以及临时存储EmptyDir等挂载数据。 用户空间：定义本地盘中不分配给kubernetes使用的空间大小和用户空间挂载路径。 说明：请注意“挂载路径”不能设置为根目录“/”，否则将导致挂载失败。挂载路径一般设置为： /opt/xxxx（但不能为/opt/cloud） /mnt/xxxx（但不能为/mnt/paas） /tmp/xxx /var/xxx （但不能为/var/lib、/var/script、/var/paas等关键目录） /xxxx（但不能和系统目录冲突，例如bin、lib、home、root、boot、dev、etc、lost+found、mnt、proc、sbin、srv、tmp、var、media、opt、selinux、sys、usr等） 注意不能设置为/home/paas、/var/paas、/var/lib、/var/script、/mnt/paas、/opt/cloud，否则会导致系统或节点安装失败。 虚拟私有云：不可修改，仅用于展示当前集群所在的虚拟私有云。 所在子网：通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。可选择该集群虚拟私有云下的任意子网，集群节点支持跨子网。 该参数仅在v1.13.10r0及以上版本的集群中显示，请务必确保子网下的 DNS 服务器可以解析对象存储服务域名，否则无法创建节点。 已有集群添加节点时，如果子网对应的VPC新增了扩展网段且子网是扩展网段，要在控制节点安全组（即集群名称ccecontrol随机数）中添加如下三条安全组规则，以保证集群添加的节点功能可用（新建集群时如果VPC已经新增了扩展网段则不涉及此场景）： 弹性IP ： 独立申请的公网IP地址，若节点有互联网访问的需求，请选择“暂不使用”或“使用已有”。集群开启 IPv6 时，不显示该参数。 弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 暂不使用：若新增节点未绑定弹性IP，则在该节点上运行的工作负载将不能被外网访问，仅可作为私有网络中部署业务或者集群所需云服务器进行使用。 使用已有：请选择已有的弹性IP，将为当前节点分配已有弹性IP。 说明： CCE默认不启用VPC的SNAT。若VPC启用了SNAT，可以不使用EIP去访问外网。 共享带宽： 请选择“暂不使用”或“使用已有”。仅在集群开启 IPv6 时，显示该参数。 弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 登录方式：支持密码和密钥对。 −选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 −选择“密钥对”：选择用于登录本节点的密钥对，支持选择共享密钥。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 说明： 如果子用户创建节点选择密钥对创建，这个密钥只对创建这个密钥的子用户有效，即使其他子用户在同一个组也无法选择，也无法使用。例如：A用户创建的密钥，B用户无法使用这个密钥对创建节点，并且Console也选不到。 云服务器高级设置： （可选），单击展开后可对节点进行如下高级功能配置： −安装前执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装前执行，可能导致Kubernetes软件无法正常安装，需谨慎使用。常用于格式化数据盘等场景。 −安装后执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装后执行，不影响Kubernetes软件安装。常用于修改Docker配置参数等场景。 −新增数据盘：单击“新增数据盘”，选择云硬盘类型并输入数据盘规格。 −子网IP ：可选择“自动分配IP地址”和“手动分配IP地址”，推荐使用“自动分配IP地址”。 Kubernetes 高级设置： （可选），单击展开后可对集群进行如下高级功能配置： −最大实例数：节点最大允许创建的实例数(Pod)，该数量包含系统默认实例，取值范围为16~128。 该设置的目的为防止节点因管理过多实例而负载过重，请根据您的业务需要进行设置。 节点购买数量： 此处设置的节点数不能超过集群管理的最大节点规模，请根据业务需求和界面提示进行选择，单击后方的可查看影响能添加节点数的因素（取决于最小值）。 步骤 5 购买时长：若选择“包年包月”的计费模式购买节点时，请设置购买时长。 步骤 6 单击“下一步：配置确认”，确认订单无误后，单击“提交”。 若计费模式为“包年包月”，在确认订单无误后，请单击“去支付”，请根据界面提示进行付款。 系统将自动跳转到节点列表页面，待节点状态为“可用”，表示节点添加成功。添加节点预计需要810分钟左右，请耐心等待。 说明： 集群创建时自动创建的安全组以及安全组规则禁止删除，否则会导致集群异常。 步骤 7 单击“返回节点列表”，待状态为可用，表示节点创建成功。 说明： 可分配资源：可分配量按照实例请求值(request)计算，表示实例在该节点上可请求的资源上限，不代表节点实际可用资源。 计算公式为： 可分配CPU CPU总量 所有实例的CPU请求值 其他资源CPU预留值 可分配内存 内存总量 所有实例的内存请求值 其他资源内存预留值

本章节介绍云数据库ClickHouse数据备份和数据恢复功能。 备份恢复方案 云数据库ClickHouse支持自动备份和手动备份，您可以定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。实例恢复可根据备份任务做相应的数据恢复。可选择恢复到本实例，也可以选择恢复到同region下同租户的其他ClickHouse实例。恢复的实例必须要求和备份实例节点top结构一致。 说明 在备份过程中会进行数据文件的读取与复制，这可能会影响集群的读写效率。建议在业务低峰期启动备份任务。 备份内容 云数据库ClickHouse备份分为元数据备份和数据备份。数据备份时，选择相应库表备份，选中后会把集群内所有节点当前表都选中。 元数据备份：云数据库ClickHouse只针对实例库表数据结构进行备份。 数据备份：云数据库ClickHouse会把库表和数据文件一起备份。 备份位置 云数据库ClickHouse目前备份都存放在对象存储中，不会占用实例的存储空间。 根据保留时间，备份的数据到期后会自动删除。 注意 由于对象存储是按需计费的，余额欠费后，不会影响自动备份和手动备份功能，实例备份占用的备份空间会持续扣费。 备份操作步骤 1. 登入++天翼云ClickHouse 控制台++，在实例列表选择对应的实例，进入实例详情页面单击备份恢复。 2. 如果备份任务页出现未开启备份服务页面，可先去点击开启下备份设置（开启过程会涉及几分钟，请耐心等待）。 3. 点击创建备份，可以手动开启一次备份，手动备份任务是实时启动。也可以在备份策略页面，设置两种备份的备份策略，系统会根据设置的策略周期性进行备份任务，同时根据设置的保留时间，对定时备份进行到期清理。 4. 在备份任务页面，可查看所有的备份任务。备份过程中，正在备份的任务也可以进行取消，后台会把备份进行暂停，同时删除备份过程的数据。

本文汇总了使用并行文件服务HPFS产品时常见的管理类问题。 并行文件服务支持挂载物理机还是云主机? HPFS 在不同资源池支持的协议类型不同，支持通过协议服务NFS挂载云主机，HPFSPOSIX协议直接挂载物理机。 详细的资源池支持的协议类型可以通过产品能力地图查看。 如何访问文件系统？云外可以访问吗？ 文件系统可以通过以下几种方式进行访问： 用户使用云管Console访问文件存储（NFS、HPFSPOSIX） 云内通过内网访问文件存储（NFS、HPFSPOSIX） 文件系统可以跨VPC访问吗？ 可以。单文件系统可添加20个VPC，文件系统可创建多个协议服务，绑定不同主机所属的VPC，即可进行跨VPC访问。 您可以通过准备工作开始，完成使用并行文件系统的环境准备工作，也可以通过创建虚拟私有云VPC和创建协议服务直接了解VPC的相关操作。 文件系统的删除/退订按钮为什么无法点击？ 如果您创建的并行文件系统出现删除或退订的时候，无法点击的情况，您可以尝试先删除文件系统数据流动、协议服务等相关资源，再进行删除或退订操作。 如有其他疑问，可以通过点击右上角【我的>工单管理>新建工单】进行咨询。 单个用户可开通的文件存储配额默认是100T，如何申请增加容量配额？ 1. 登录天翼云官网，点击右上角【我的>工单管理>新建工单】。 2. 在“配额类”点击【提问】，进入配额相关页面，点击【配额申请】按页面要求填写工单信息即可。

本文介绍弹性IP适用的应用场景。 公网出口 场景说明 个人或企业的云上业务需要面向公网提供服务，例如门户网站、视频直播、游戏等，需要保证业务稳定可靠提供公网能力。 产品优势 天翼云弹性IP即开即用，分钟级交付，快速帮助业务实现公网访问； 提供按需计费和包周期计费等多种计费模式，既兼顾成本，又能提供可靠性能； 通过绑定负载均衡方式将公网业务分摊到多台云主机，提升业务处理能力； 搭配使用 NAT网关、弹性负载均衡、弹性云主机 公网出口带宽高效管理 场景说明 个人或企业的云上业务进行公网访问时，需要具备公网带宽管控能力以及较高的公网带宽使用效率。 产品优势 多个弹性IP可以加入共享带宽，降低带宽使用成本，提高运营效率。结合可视化运维，提升公网带宽管控能力。 搭配使用 共享带宽、弹性云主机、弹性负载均衡 公网出口高可用 场景说明 同城双中心或两地三中心，业务和网络需要具备主备或多活的能力。 产品优势 弹性IP支持跨可用区容灾部署，绑定云上资源后，可实现公网出口的主备或多活，帮助客户快速构建高可用网络架构。

本文为您介绍如何管理防护事件，以及防护事件日志中包含的字段含义。 云WAF将攻击防护的事件详情记录在事件报表中，用户可在事件列表中查看攻击时间、攻击IP、攻击类型、攻击URL、地理位置、处置动作、命中规则ID、攻击详情等。具体功能如下： 支持查看所选时间范围内的防护事件，查询时间支持选择昨天、今天、近3天、近7天、近30天或自定义时间。 提供防护事件多级查询，筛选条件包括域名、攻击类型、攻击IP、防护模块、处置动作、规则ID、请求UUID等。 支持将列表数据下载到本地。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入并正常防护。 查询防护事件 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 查询防护事件”，进入防护事件页面。 5. 在防护事件列表上方，可以设置筛选条件，支持设置多项匹配条件。 查询条件字段参数说明： 参数名称 参数说明 防护对象 选择想要查看的防护对象，支持选择各防护模式下的所有防护对象或某个防护对象。 时间选择 可查看“昨天”、“今天”、“近3天”、“近7天”、“近30天”或者自定义时间范围内的防护日志。 攻击类型 发生的攻击类型。默认为全部攻击类型，也可以根据需要，选择攻击类型查看攻击日志信息。 攻击IP Web访问者的公网IP地址，默认为全部，也可以根据需要输入攻击者IP地址查看攻击日志信息。 防护模块 按防护模块进行筛选。 处置动作 防护配置中设置的防护动作，包含：观察、拦截、放行、验证码、JS验证、重定向、重置连接、全部脱敏、动态拦截、限速。 规则ID 攻击触发的防护规则ID。 UUID关键字 请求对应的唯一标识。 6. 筛选条件设置完成后，点击“查询”，筛选后的结果将在列表中展示，可通过右侧的“事件列表显示设置”按钮对攻击事件的字段进行自定义展示。 说明 CC攻击事件页签分别展示CC攻击事件数 和CC攻击次数，例如：页签显示CC攻击事件（1/3），实际含义为出现总计1次CC攻击事件数，一共有3次CC攻击。 事件显示字段支持自定义设置和重新排序，同时可以控制是否在新标签页中查看攻击事件详情。

本文主要介绍了在天翼云上如何使用Linux轻量型云主机手工搭建LNMP平台的web环境。 实践场景 LNMP是指一组通常一起使用来运行web网站的软件，是目前按网站的主流架构之一，LNMP包含了Linxu系统下Nginx+MySQL+PHP的服务架构架构，为了帮助用户能够快速搭建起web端服务，本文将介绍如何搭建LNMP平台。 准备工作 需要您在天翼云官网创建一台轻量型云主机，创建时的操作系统选择Linux操作系统。 操作步骤 安装nginx 1. 登录天翼云轻量型云主机控制台，点击“远程登录”， 登录到VNC界面。 2. 下载nginx软件包，执行命令。 wget 说明 用户请根据实际情况补充nginx版本。 3. 安装nginx 软件，依次执行命令。 rpm ivh nginxreleasexxxxx.xx.ngx.noarch.rpm yum y install nginx 4. 设置ngnix开机自行启动，依次执行以下命令。 systemctl start nginx systemctl enable nginx 用户可通过以下命令查看nginx运行状态是否正常。 systemctl status nginx.service 5. 验证ngixn是否安装成功。 通过本地浏览器访问ngixn服务地址（主机弹性IP地址），若显示如下图界面则说明安装成功。 安装MySQL 1. 下载MySQL软件包，于主机命令行依次执行以下命令。 wget i c 说明 用户请根据实际情况补充mysql版本。 2. 安装软件，依次执行以下命令。 yum y install mysql57communityreleasexxxx.noarch.rpm yum y install mysqlcommunityserver nogpgcheck 3. 设置mysql开机自行启动，依次执行以下命令。 systemctl start mysqld systemctl enable mysqld 用户可通过以下命令查看mysql运行状态是否正常。 systemctl status mysqld.service 4. 启动服务后，输入以下命令查询mysql的root初始随机密码。 grep 'temporary password' /var/log/mysqld.log 根据命令行回显信息，可获取到随机密码。如下示例。 [Note] A temporary password is generated for root@localhost: 2YY?3uHUA?Ys 5. 设置新密码，执行以下命令。 mysqlsecureinstallation 根据命令行返回信息，设置新的密码。 Securing the MySQL server deployment. Enter password for user root: 输入初始随机密码 The existing password for the user account root has expired. Please set a new password. New password: 设置新的root用户密码 Reenter new password: 再次输入密码 6. 登录mysql，输入以下命令。 mysql uroot p 7. 根据提示输入密码，完成登录。

本节介绍了管理弹性云主机组的操作场景、约束与限制、创建云主机组、添加云主机到云主机组、从云主机组移出云主机、删除云主机组。 操作场景 云主机组是对云主机的一种逻辑划分，云主机组中的弹性云主机遵从同一策略。 当前云主机组支持以下策略： 反亲和性策略：同一云主机组中的弹性云主机分散地创建在不同的主机上，提高业务的可靠性。 使用反亲和性策略可以将业务涉及到的云主机分散部署在不同的物理服务器上，以此保证业务的高可用性和底层容灾能力。 云主机组支持以下操作： 创建云主机组 添加云主机到云主机组 − 在创建弹性云主机时，将弹性云主机加入云主机组。 − 在弹性云主机创建成功后，添加到云主机组。 仅支持添加到反亲和性策略组，不支持添加到故障域策略组。 从云主机组移出云主机 删除云主机组 约束与限制 当前云主机组支持反亲和性策略。 反亲和性策略云主机组中，云主机置放层级为物理机层级。 创建的云主机组个数上限可调整，请联系客服扩大配额。 同一个云主机仅支持一种策略。 不同区域每个云主机组最多支持添加的云主机个数各不相同，请在云主机组列表页查看可添加的云主机个数。

开启/关闭灵动核（创建时） 1. 登录控制台，单击“创建弹性云主机”。 根据业务需要，完成基础配置、网络配置以及高级配置。 2. 勾选“现在配置”，展开“高级选项”。 3. 设置“CPU选项”。 勾选“开启灵动核”：为鲲鹏架构弹性云主机开启灵动核。 不勾选“开启灵动核”，关闭灵动核，默认关闭。 4. 单击“下一步：确认配置”，确认参数并完成弹性云主机的创建。 开启/关闭灵动核（变更规格时） 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表，单击待变更的弹性云主机“操作”列下的“更多 > 变更>变更规格”（针对包周期云主机）或“更多>变更规格”（针对按需云主机）。 系统进入“云主机变更规格”页面。 4. 根据界面提示，选择变更后的弹性云主机类型、vCPU和内存。 变更规格前请先将云服务器关机。 5. （可选）设置“CPU选项”。 勾选“开启灵动核”：为鲲鹏架构弹性云主机开启灵动核。 不勾选“开启灵动核”，关闭灵动核，默认关闭。 6. 单击“下一步”。 7. 确认变更后的配置无误后，阅读并勾选同意服务协议，单击“提交申请”开始变更。

本文为您介绍在AD域环境搭建好之后,将文件系统加入AD域的操作步骤。 前提条件 已有至少1个可用状态的CIFS文件系统。 已准备AD域环境，已创建AD域控制器，至少有一台客户端已加入域。请参考搭建AD域。 操作步骤 步骤一：生成keytab文件 说明 生成keytab文件的操作在AD域控制器上进行。 1. 登录AD域控制器上为文件系统设置本地域名。 文件系统服务主体依赖域名，因此需要先创建文件系统挂载点对应的域名。需要分别为普通AD域客户端和AD域控制器进行设置。hosts文件路径：C:WindowsSystem32driversetchosts。本地域名配置如下： . 参数说明： 参数 说明 server IP 文件系统挂载地址前的IP。 文件系统本地域名 自定义的文件系统的域名名称。 注：每个文件系统的域名名称应保持唯一。 realm AD域名，如“sfs.com”。 示例： 100.xx.xx.xx testfs01.sfs.com 2. 设置服务账户。按照如下格式使用dsadd命令创建一个服务账号。 注意 您需要记住设置的账户名和密码等信息，后续步骤会用到。 dsadd user CN[AD域服务账户名],DC[AD域域名],DC[com] samid [AD域服务账户名] display [账户描述] pwd [账户密码] pwdneverexpires yes 示例： dsadd user CNNASuser01,DCsfs,DCcom samid fsuser01 display "ctyunnas service account" pwd zmqw@md3 pwdneverexpires yes 3. 执行以下命令为CIFS文件系统域名注册SPN服务主体。 setspn S cifs/[文件系统本地域名]@ [realm] [AD域服务账户名] 参数说明： 参数 说明 文件系统本地域名 在步骤1中为文件系统挂载点设置的域名。 realm AD域名。在搭建AD域环境时设置的域名，本文中为“sfs.com”。 AD域服务账户名 步骤2中的samid。 示例： setspn S cifs/testfs01.sfs.com@sfs.com fsuser01 4. 在AD域控制器上执行以下命令为CIFS文件系统服务主体生成Keytab文件，用于用户的身份认证。 Ktpass princ cifs/[文件系统本地域名]@[realm（必须大写）] ptype KRB5NTPRINCIPAL mapuser [AD域服务账户名]@[realm] crypto All out [密钥表文件生成路径] pass [账户密码] 参数说明： 参数 说明 princ 设置服务主体名称（SPN）。填写步骤1中为文件系统设置的本地域名。 ptype 指定密钥表文件的类型。设置为：KRB5NTPRINCIPAL（用于普通服务账户）。 mapuser AD域服务账户名，填写步骤2中的samid。将SPN映射到一个AD域用户账户，这个用户账户将与SPN相关联，用于身份验证和授权。 crypto 选择用于加密密钥的加密算法：ALL。即所有的加密算法，包括DESCBCCRC、DESCBCMD5、RC4HMACNT等。 out 指定生成的密钥表文件的输出路径和文件名。 /out c:tempservice.keytab将创建一个名为service.keytab的密钥表文件，并将其保存到c:temp目录下。 pass 指定与映射用户账户对应的密码。即在步骤2为创建文件系统服务账户时设置的密码。 示例： Ktpass princ cifs/testfs01.sfs.com@SFS.com ptype KRB5NTPRINCIPAL mapuser fsuser01@sfs.com crypto All out C:nasservice.keytab pass zmqw@md3 5. 将keytab文件传至登录天翼云控制台所用的客户端。 若使用本地电脑登录天翼云控制台，需要将AD域控制器上生成的keytab文件传至本地电脑，具体方法参考：怎样在本地主机和Windows云主机之间互传数据？。此方法需要使用弹性IP，弹性IP是计费服务，计费说明参考计费概述弹性IP。 若为云主机绑定弹性IP，可以直接使用云主机登录天翼云控制台进行接下来的步骤，且不必进行本地电脑与云电脑的keytab文件传输。 说明 远程桌面连接时需要输入云主机的用户名密码，是指在创建云主机时的用户名（默认为Administrator）和密码。

病毒查杀设置 支持配置本地检测引擎开关、实时检测配置、定时扫描配置。 配置步骤如下： 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“文件安全 > 病毒查杀”，进入病毒查杀页面。 3. 单击设置按钮或设置图标，页面右侧弹出病毒查杀设置窗口。 4. 根据需要进行病毒查杀设置。 配置项 说明 默认状态 本地检测引擎 本地检测引擎内置AI智能识别检测引擎，打开本地检测引擎开关后，实现本地 + 云端双引擎检测模式，检测更精准。 默认关闭 启用实时检测 实时检测系统关键目录下文件与系统进程，及时发现恶意文件及异常进程。 开启实时检测后，还需要设置生效范围，自定义选择需要执行病毒扫描任务的服务器。 默认开启 定时扫描 定时查杀是用来配置服务器定时启动病毒查杀的功能，开启定时扫描后，系统会按照用户设置的检测周期定时执行扫描任务。 检测模式： 快速检测：扫描耗时短，有效扫描随系统自启动运行的风险文件。主要扫描系统常被利用的位置。 全盘检测：扫描服务器所有磁盘文件，清理磁盘中的木马病毒更彻底，相对比较耗时。 自定义检测：根据用户设置的指定目录有选择性的进行扫描。 检查周期：可选择每天、每3天或每7天检查周期。 设置生效范围：自定义选择需要执行病毒扫描任务的服务器。 默认开启 默认每天07:00执行快速扫描任务 5. 配置完成后，单击“确认”。

本节主要介绍创建委托（委托方操作） 通过创建委托，可以将资源共享给其他帐号，或委托更专业的人或团队来代为管理资源。被委托方使用自己的帐号登录后，切换到委托方帐号，即可管理委托方委托的资源，避免委托方共享自己的安全凭证（密码/密钥）给他人，确保帐号安全。 操作步骤 步骤 1 委托方使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击首页顶部控制台，在控制中心页面“管理与部署”分类中，单击“统一身份认证服务”。 步骤 3 在统一身份认证服务管理页面，单击左侧功能菜单“委托”。 步骤 4 在“委托”页面，单击“＋创建委托”。 步骤 5 在“创建委托”页面，输入“委托名称”，“委托类型”选择“普通帐号”，在“委托的帐号”中输入需要建立委托关系的其他帐号的帐号名。 说明 普通帐号：将资源共享给其他帐号或委托更专业的人或团队来代为管理帐号中的资源。委托的帐号只能是帐号，不能是IAM用户名。 云服务：授权指定云服务使用其他云服务。详情请参见“委托其他云服务管理资源” 步骤 6 设置“持续时间”及“描述”信息。 步骤 7 单击“下一步”，进入给委托授权页面。 步骤 8 勾选需要授予委托的权限，单击“下一步”，选择权限的作用范围。 说明 给委托授权即给其他帐号授权，给用户组授权即给帐号中的IAM用户授权，两者操作方法相同，仅可选择的权限个数不同，授权操作请参见“给用户组授权”。 为了保障您的帐号安全，委托将不能添加Security Administrator权限，建议您按照业务场景为委托授予最小权限。 步骤 9 单击“确定”，委托创建完成。 说明 委托方操作完成，将自己的帐号名称、创建的委托名称、委托ID以及委托的资源权限告知被委托方后，被委托方可以通过切换角色至委托方帐号中管理委托资源。

本文介绍同地域跨VPC挂载文件系统。 操作场景 当海量文件服务支持在同地域（资源池）不同的VPC中挂载同一个文件系统。通过为文件系统添加不同的VPC，即可将文件系统挂载至已绑定的VPC中的云主机上，实现跨VPC访问。 说明 单文件系统可添加20个VPC，即文件系统可挂载至来自20个不同VPC的云主机上。 前提条件 至少已有一个海量文件系统。 在同一个地域已创建2个不同的VPC。 在同一个地域已有两台云主机，分别归属于以上2个VPC。 操作步骤 1. 登录天翼云控制中心，在管理控制台左上角选择地域。 2. 选择“存储>海量文件服务OceanFS”，进入OceanFS文件系统列表页。 3. 在列表“操作”处或者点击目标文件系统名称进入详情页，点击“添加VPC”，添加第一台云主机的VPC。 4. 在弹出的添加VPC对话框中可以在下拉列表中选中待绑定VPC及权限组，这里选择第一台云主机的VPC，选择默认权限组。点击“确定”，完成添加。 5. 然后再点击“添加VPC”，相同操作添加第二台虚拟机的VPC。弹出的添加VPC对话框中可以在下拉列表中选中待绑定VPC及权限组，这里选择第二台云主机的VPC，选择默认权限组。点击“确定”，完成添加。 6. 添加完成后，可以在详情页下方VPC页签可看到绑定的VPC，可以点击操作栏下方的“更换权限组”，以更改VPC绑定的权限组。 7. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行挂载操作的云主机。 8. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机弹性云主机快速入门。 注意 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 9. 将文件系统分别挂载至两台云主机，具体操作方法请参考挂载NFS文件系统到弹性云主机(Linux)。 10. 挂载成功后，可以在第一台Linux 云主机上访问文件系统，执行写入操作。您可以把文件系统当作一个普通的目录来访问和使用。依次执行如下命令在两个文件系统中创建文件、文件夹。 plaintext mkdir /mnt/localpath/test1 touch /mnt/localpath/file1 echo ‘1234’ > /mnt/localpath/file2 11. 在第二台云主机执行如下命令读取文件内容。 plaintext cat /mnt/localpath/file2

本文主要介绍如何查询伸缩活动。 伸缩活动是指在伸缩组内由于伸缩条件满足而触发的云主机实例数量变更的活动，可能是增加或减少几台云主机实例。 以下场景会触发伸缩活动： 系统检测到伸缩策略中配置的条件满足要求。 手工修改伸缩组的最大/最小实例数，导致当前组内实例数超过该最大/最小的限制。 手动添加或移除实例。 下面介绍如何查看伸缩组的伸缩活动： 1. 登录天翼云控制中心，切换到需要查询伸缩活动的节点，选择【弹性伸缩服务】； 2. 在伸缩组所在行，单击伸缩组名称，进入【伸缩组详情页】； 3. 在【伸缩组详情页】，单击在【监控】页签中，展示伸缩活动详情。可以查看实例数量、CPU使用率等监控指标的变化情况。 4. 【活动历史】标签，进入【伸缩活动标签页】，查看伸缩活动详情，该页签展示进行伸缩活动的历史记录，支持查看实例伸缩和ELB迁移这两种伸缩活动的记录。

本文主要介绍了在“我的订单”页面进行查看订单详情的操作步骤。订单详情包含订单号、订单类型、创建时间、支付状态、订单资源和订单金额等信息。 操作步骤 1. 登录天翼云官网，点击“管理中心”进入“费用中心”页面后，点击“订单管理＞我的订单”，进入“我的订单”页面。 2. 可通过选择项目名称、输入订单号或设置订单创建时间筛选搜索查看订单，也可通过订单类型、订单状态过滤筛选查看订单。若查看云订单，选中“云订单”页签；若查看网订单，选中“网订单”页签。 3. 在订单页面找到待查看的订单，点击“详情”查看订单详情情况。 当订单状态为“待支付”时，客户可在订单详情页面进行支付或取消订单。 当订单状态为“已完成”时，客户可在订单详情页面查看原订单。

本文介绍了扩容存储库的操作步骤,您可在存储库容量不够时,及时进行扩容。 操作场景 创建存储库后，当业务增大或备份量增多，存储库容量无法满足需求，可以考虑扩容存储库，获得更高的灵活性和可扩展性，同时确保数据的安全性。 使用须知 扩容容量为在原有基础上增加的容量。 金额计算公式为：剩余天数扩容后的单日金额差价本次收取金额。 单个存储库的容量为100GB – 1024000GB，扩容最小取值为1GB。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 在“云主机备份”页签，选择要扩容的存储库，点击操作列下的“扩容”。 6. 在弹出的弹窗中，设置需要扩容的容量，点击“确定”并完成支付，即可完成扩容。

本文帮助您快速熟悉复制安全组规则的操作场景和操作流程。 操作场景 复制功能支持利用已有的安全组规则，快速生成一个新的安全组规则。复制时，您可以根据业务需求自定义修改目标规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组、安全组规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要复制规则的安全组，单击安全组名称进入详情页，进入安全组详情页。 6. 在“安全组”详情界面，选择安全组规则所属方向，找到需要复制的安全组规则所在行。 7. 点击操作列的“复制”，进入复制安全组规则页面。 8. 根据业务需求修改目标安全组规则的相应参数。 9. 单击“确定”按钮，即可快速创建出安全组规则。关于安全组规则中参数的设置方法，请参考添加安全组规则。

添加DNAT规则 公网NAT网关创建后，通过添加DNAT规则，则可以通过映射方式将您VPC内的云主机对互联网提供服务。 注意 云主机/物理机使用公网NAT网关配置DNAT规则时，不建议云主机/物理机同时绑定公网IP，以免造成流量出入方向走到不同的路径。 一个云主机的一个端口对应一条DNAT规则，一个端口只能映射到一个EIP。如果您有多个云主机或一个主机的多个端口需要为互联网提供服务，则需要创建多条DNAT规则。 1. 登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>公网NAT网关”，进入公网NAT网关页面。 2. 点击需要添加规则的公网NAT网关名称，进入公网NAT网关详情页，点击DNAT标签页，在标签页中点击添加DNAT规则。 3. 根据弹出界面提示，配置DNAT规则的基本信息，配置参数如表所示： 参数 参数说明 弹性IP 用于外部公网用户进行服务访问的目的IP。 类型 选择VPC内主机或网卡：选择现有子网内云主机，选择云主机的网卡，使外部用户能够通过DNAT方式访问云主机中的应用。手动输入自定义地址：填写某个主机地址（部分资源池支持）。 云主机（仅在选择VPC内主机或网卡时） 选择DNAT规则对应的内部云主机。 网卡（仅在选择VPC内主机或网卡时） 选择DNAT规则对应的内网IP。 内网地址（仅在选择手动输入自定义地址时） 自定义主机地址（部分资源池支持）。 端口设置 具体端口：支持设置单个端口和端口段，设置端口段时公网端口段和内网端口段的数量必须一致；任意端口：任意端口属于IP映射，任何访问该弹性公网IP的请求都将转发到目标主机实例上，目标主机实例也可以使用该弹性公网IP主动访问公网。 公网端口 外部公网用户访问服务的端口，端口范围1~65535。部分资源池端口范围在1到1024之间，具体以控制台为准。 内网端口 应用在内部提供服务使用的端口，端口范围1~65535。 支持协议 TCP、UDP协议。 描述 DNAT规则信息描述。 4. 设置好对应参数后，点击“确定”，等待DNAT规则变为运行中，即完成DNAT规则的创建。

本节向您介绍数据安全中心的使用约束。 数据安全中心DSC仅支持管理天翼云上的数据资产，暂不支持管理其他云厂商的数据资产。 支持的数据源 关系型数据库（Relational Database Service，RDS） 对象存储服务（Object Storage Service，OBS） 数据仓库服务（Data Warehouse Service，DWS） 文档数据库服务（Document Database Service，DDS） MapReduce服务（MapReduce Service，MRS） 云搜索服务（Cloud Search Service，CSS） 数据湖探索服务（Data Lake Insight，DLI） 弹性云服务器（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 支持的数据库类型及版本 DSC支持的数据库类型及版本如下表所示。 数据库类型 版本 MySQL 5.6、5.7、5.8、8.0 SQL Server 2017SE、2017EE、2017WEB 2016SE、2016EE、2016WEB 2014SE、2014EE 2012SE、2012EE、2012WEB 2008R2EE、2008R2WEB PostgreSQL 11、10、9.6、9.5、9.4、9.1 Oracle 10、12

操作场景 切换完成后，数据不会自动反向同步（容灾站点到生产站点），保护实例处于停止保护状态，如需开始反向数据同步，需要进行反向重保护操作。 说明 执行反向重保护后，在初始同步过程中，如果容灾站点服务器重启，数据会重新进行同步，直到同步完成。 执行反向重保护后，初始同步完成，如果容灾站点服务器重启，数据不会重新进行同步。之后如果容灾站点服务器写入数据，数据增量同步。 反向重保护会将容灾站点服务器的数据覆盖原生产站点服务器数据，在执行切换操作后，如果生产端服务有写入数据将会被覆盖。 前提条件 需要待反向重保护的容灾站点服务器已完成预配置；如果还未进行预配置，保护实例将如下图所示无法进行操作，请参考配置容灾站点服务器进行配置。 保护实例状态为“切换完成”或者“反向重保护失败”。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务 SDRS”。进入“存储容灾服务”页面。 3. 在“异步复制”页面，单击待反向重保护的保护实例所在站点复制对的保护实例数。进入对应站点复制对的保护组页面。 4. 在左侧导航选择相应的保护组。进入保护组详情页面。 5. 在保护实例列表中，单击待反向重保护的保护实例所在行操作列的“更多 > 反向重保护”。 6. 进入反向重保护页面。 7. 单击“提交”开始反向重保护，实例状态变为“反向重保护中”。 8. 当实例状态变为“保护中”时，说明反向重保护执行成功，此时进入全量数据一致性比对增量传输。 9. 等待12分钟，保护实例状态更改为“同步中”，并显示剩余待同步数据量以及预估剩余时间。

操作步骤 1.在FusionInsight Manager，选择 “运维 > 备份恢复 > 备份管理”。 2.在任务列表指定任务的“操作”列，选择“更多 > 查询历史”，打开备份任务执行历史记录。 在弹出的窗口中，在指定一次执行成功记录的“备份路径”列，单击“查看”，打开此次任务执行的备份路径信息，查找以下信息： “备份对象”表示备份的数据源。 “备份路径”表示备份文件保存的完整路径。 选择正确的项目，在“备份路径”手工选中备份文件的完整路径并复制。 3.在FusionInsight Manager，选择“运维 > 备份恢复 > 恢复管理”。 4.单击“创建”。 5.在“任务名称”填写恢复任务的名称。 6.在“恢复对象”选择待操作的集群。 7.在“恢复配置”，勾选“元数据和其他数据”下的“HBase”。 说明 若安装了多个HBase服务，请勾选需要恢复的HBase服务名称。 8。在“HBase”的“路径类型”，选择一个备份目录的类型。 选择不同的备份目录时，对应设置如下： “LocalDir”：表示备份文件保存在主管理节点的本地磁盘上。 选择此参数值，还需要配置“源端路径”，表示要恢复的备份文件。例如，“ 版本号数据源任务执行时间.tar.gz ”。 “RemoteHDFS”：表示备份文件保存在备集群的HDFS目录。 选择此参数值，还需要配置以下参数： “源端NameService名称”：填写备份数据集群的NameService名称。可以输入集群内置的远端集群的NameService名称：haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4；也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “源端NameNode IP地址”：填写备集群NameNode业务平面IP地址，支持主节点或备节点。 “源端路径”：填写备集群保存备份数据的完整HDFS路径。例如，“ 备份路径/备份任务名数据源任务创建时间/版本号数据源任务执行时间.tar.gz ”。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。需和集群中已存在且状态正常的队列名称相同。 “NFS”：表示将备份文件通过NFS协议保存在NAS中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “源端路径”：填写备份文件在NAS服务器中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间/版本号数据源任务执行时间.tar.gz ”。 “CIFS”：表示备份文件通过CIFS协议保存在NAS中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “源端路径”：填写备份文件在NAS服务器中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间/版本号数据源任务执行时间.tar.gz ”。 “SFTP”：表示备份文件通过SFTP协议保存在服务器中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写备份数据的服务器IP地址。 “端口号”：填写SFTP协议连接备份服务器使用的端口号，默认值为“22”。 “用户名”：填写使用SFTP协议连接服务器时的用户名。 “密码”：填写使用SFTP协议连接服务器时的密码。 “源端路径”：填写备份文件在备份服务器中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间/版本号数据源任务执行时间.tar.gz ”。 “OBS”：表示将备份文件保存在OBS中。 选择此参数值，还需要配置以下参数： “源端路径”：填写备份文件在OBS中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间/版本号数据源任务执行时间.tar.gz ”。 说明 MRS 3.1.0及之后版本才支持将备份文件保存到OBS。 9.单击“确定”保存。 10.在恢复任务列表已创建任务的“操作”列，单击“执行”，开始执行恢复任务。 恢复成功后进度显示为绿色。 恢复成功后此恢复任务不支持再次执行。 如果恢复任务在第一次执行时由于某些原因未执行成功，在排除错误原因后单击“重试”，重试恢复任务。

Web防护版本说明 版本 免费版 基础版 高级版 企业版 旗舰版 适用场景 适用于小型网站、个人网站，有流量安全检测需求。 适用于小型网站流量安全防护需求。 适用于中小型网站的标准防护。 适用于中型企业级网站或服务对互联网公众开放，有较高标准的安全需求。 适用于中大型企业网站，具备较大的业务规模，或是具有特殊定制的安全需求。 流量/带宽 订购流量或者带宽 订购流量或者带宽 订购流量或者带宽 订购流量或者带宽 订购流量或者带宽 动态请求数 订购动态请求数 订购动态请求数 订购动态请求数 订购动态请求数 订购动态请求数 支持主域名个数 1 1 1 1 1 支持总域名个数（包括主域名和其下的子域名） 1 10 10 10 10 下表描述了主要功能模块在不同套餐中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能模块 描述 免费版 基础版 高级版 企业版 旗舰版 业务接入 泛域名防护 支持接入泛域名。 √ √ √ √ √ 业务接入 静态加速 支持将静态资源缓存到边缘节点，达到加速效果。 √ √ √ √ √ 业务接入 动态加速 支持动态资源采用最优链路回源。 × √ √ √ √ 业务接入 WebSockets 支持WebSockets协议 付费支持 付费支持 付费支持 付费支持 付费支持 业务接入 quic协议 支持quic协议 × × √ √ √ 业务接入 HTTPS防护 支持HTTPS防护。 √ √ √ √ √ 业务接入 IPv6 访问 支持对IPv6访问流量安全检测与防护。 √ √ √ √ √ 业务接入 IPv6 外链改造 提高网站链接的IPv6支持度，解决IPv6天窗问题。 × √ √ √ √ 业务接入 IPv6支持度检测 支持检测网站IPv6链接支持度，并输出分析结果与检测报告。 1 10 20 30 40 业务接入 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × √ √ √ 业务接入 HTTP2防护 支持防护使用HTTP/2协议的网站。 √ √ √ √ √ 业务接入 回源IP管理 为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 × √ √ √ √ 基础安全防护 DDoS防护 主动防御网络层DDoS攻击。 付费支持 付费支持 付费支持 付费支持 付费支持 基础安全防护 自定义防护界面 支持用户自定义响应给客户端的拦截界面。 × × √ √ √ 基础安全防护 规则防护引擎 支持防护常见的Web攻击。 √，（仅支持监测） √ √ √ √ 基础安全防护 自定义规则 支持自定义web防护规则。 × 10条规则/域名 20条规则/域名 50条规则/域名 200条规则/域名 基础安全防护 AI防护引擎 智能AI识别攻击和误拦截。 × × × × √ 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 频率控制 支持基于基础字段和高级字段进行组合，设置访问频率。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 合规性检测 支持对HTTP请求信息中的方法以及参数长度等信息进行检测。 √ √ √ √ √ 基础安全防护 CC防护 支持防护常见的CC攻击，支持阈值和永久模式。 √，（默认策略） √，（默认策略 √ √ √ 基础安全防护 0Day 漏洞虚拟补丁 自定更新0day漏洞攻击防护规则。 × √ √ √ √ 基础安全防护 扫描防护 支持常见扫描工具封禁。 × √ √ √ √ 高级安全防护 网页防篡改 支持锁定网站页面，防止源站页面内容被恶意篡改带来的影响。 × √ √ √ √ 高级安全防护 防敏感信息泄露 支持防止网站敏感信息泄露（银行卡、身份证、手机号、邮箱）。 × √ √ √ √ 高级安全防护 Cookie防护 支持Cookie加密和Cookie签名。 × × √ √ √ 高级安全防护 广告防护 实现广告防护和监测功能。 × × √ √ √ 高级安全防护 账户安全 支持防护暴力破解、批量注册。 × × √ √ √ 高级安全防护 攻击挑战 支持识别反复攻击客户端IP，并且封禁 × √ √ √ √ 高级安全防护 大数据深度学习引擎 基于网站访问流量深度学习，自动生成防护策略。 × × × × √ 高级安全防护 验证码 为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。 × × √ √ √ 高级安全防护 Bot管理 缓解大量针对网站的爬取和异常注册登录行为。 付费支持 付费支持 付费支持 付费支持 付费支持 高级安全防护 API安全 支持对已接入WAF的API资产进行全面安全防护。 付费支持 付费支持 付费支持 付费支持 付费支持 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 1/域名/次/月 1/域名/次/月 2/域名/次/月 3/域名/次/月 4/域名/次/月 网站风险监测 安全事件监测 支持监测网页中挂马及黑链的恶意代码，网页是否被非法篡改 × 任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 内容安全监测 支持监测网站文字和图片是否包含涉黄、涉毒、涉政、赌博、暴恐、邪教等敏感内容。 × 文本敏感词检测任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 DNS监测 多线路远程实时监测目标站点在多种网络协议下的响应速度、可访问性等反映网站性能状况的内容 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 网站风险监测 可用性监测 支持实时监测各地主流ISP的DNS缓存服务器和用户DNS授权服务器的解析过程及结果。 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 产品服务 日志服务 提供攻击日志、业务日志。 √ √ √ √ √ 产品服务 安全报表 提供Web攻击、CC攻击报表。 15天 31天 92天 180天 180天 产品服务 监控告警 支持自定义监控告警。 √ √ √ √ √ 产品服务 安全VIP服务 提供专业安全专家主动运营服务，持续深入定制整体防护方案。 付费支持 付费支持 付费支持 付费支持 付费支持 产品服务 态势感知大屏 提供数据大屏服务，让安全攻防状态一目了然。 付费支持 付费支持 付费支持 付费支持 付费支持

本节介绍了如何配置策略以应对CC攻击。 使用场景 CC攻击（Challenge Collapsar）是DDoS（分布式拒绝服务）的一种。CC攻击是目前应用层攻击的主要手段之一，借助代理服务器生成指向目标系统的合法请求，实现伪装和DDoS。 CC攻击就是模拟多个正常用户不停地访问需要大量数据操作的动态页面，造成服务器资源的浪费，CPU长时间处于满载，永远都有处理不完的请求，网络拥塞，正常访问被中止。 这种攻击技术性含量较高，通常不会出现特别大的异常流量，但服务器就是无法进行正常连接。 配置前提 套餐生效且域名为“已启用”状态，否则无法进行防护配置。 配置思路 梳理项 配置建议 域名每天的请求峰值情况 根据域名每天的请求峰值情况，配置防护模式。防护模式包括阈值模式和永久模式两种。 阈值模式（推荐）：当请求触发检测条件后，对请求进行CC防护验证；若未达到阈值，则不进行验证，业务影响风险小。 永久模式：对每个请求进行CC防护验证，适用于不清楚域名请求峰值的场景或需要严格校验的场景。 业务影响风险评估 若您的业务中存在APP客户端、H5客户端等非PC端网站访问的场景，这类请求可能无法通过CC防护验证从未被丢弃，导致正常的请求受影响。 建议您可以提交工单获得技术支持对这类业务进行非生产环境的验证，若有影响则可以通过技术支持对这类业务添加例外。

前提条件 已创建工作负载，确认容器内服务端口 已创建负载均衡器，可参考：创建负载均衡器 集群组件ccsecloudcontrollermanager（命名空间kubesystem下）版本需大于等于v1.0.4，版本可通过查看组件使用的镜像确认 HTTP/HTTPS请求获取客户端真实源IP地址 负载均衡SVC SVC创建 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“网络”“服务”，点击”创建服务“，进入创建页，进行以下配置： 配置项 说明 类型 选择"负载均衡" 负载均衡 选择已建负载均衡器名称 注解 1、点击“添加注解” 2、注解类型选择“天翼云注解”，注解名称选择“service.beta.kubernetes.io/ctyunloadbalancerxforwardedfor”，值为“true”，点击“添加” 3、注解类型选择“天翼云注解”，注解名称选择“service.beta.kubernetes.io/ctyunloadbalancerprotocolport”，值为“{PORTOCOL}:{PORT}”，点击“添加” 4、如果是https监听，需要添加指定https证书的注解，注解类型选择“天翼云注解”，注册名称选择“service.beta.kubernetes.io/ctyunloadbalancersslcert”,值为https证书的id，点击添加 端口映射 1、填入正确的工作负载容器内端口 2、服务端口填入上一步注解中定义的监听器端口，比如这里配置为88 工作负载绑定 选择需要获取客户端真实ip的工作负载类型、名称 说明 {PROTOCOL}:{PORT}中，PROTOCOL为监听协议，值为http或https；PORT为负载均衡监听器端口，填入一个当前负载均衡器可用端口，比如http:88；https证书的id可从天翼云负载均衡控制台证书列表中获取 配置完成后，点击“提交” 负载均衡SVC创建完成后，到负载均衡控制台，选择指定负载均衡器，查看详情如下： 说明 监听器 监听器会新增一条HTTP88的记录，并已开启“通过XForwardedFor获取客户端IP” 后端主机组 后端主机组新增关联监听器HTTP88的记录

接口介绍 通过接口获取对应保护组复制网络的流量情况 接口约束 1、云容灾保护组存在 2、网络监控查看小时时间只提供1小时、6小时、1天(24小时)、7天(168小时)、30天(720小时) URI GET /v4/disaster/queryflowdisaster 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 参考请求示例 pairID 是 String 保护组ID 参考请求示例 flowHour 是 Integer 网络监控查看小时时间(1、6、24、168、720) 参考请求示例 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 :: statusCode 是 Integer 返回状态码(800为成功，900为失败) 参考响应示例 message 是 String 成功或失败时的描述，一般为英文描述 参考响应示例 description 是 String 成功或失败时的描述，一般为中文描述 参考响应示例 returnObj 否 Object 成功时返回对象 returnObj 表 errorCode 否 String 业务细分码，为product.module.code三段式码 参考状态码 error 否 String 业务细分码，为product.module.code三段式大驼峰码 参考状态码 表 returnObj 参数 是否必填 参数类型 说明 示例 下级对象 flowValue 是 Integer 数据 参考响应示例 timesTamp 是 Integer 时间戳 参考响应示例 unit 是 String 单位 参考响应示例

本节介绍等级保护测评合规最佳实践。 等级保护测评背景 网络安全等级保护测评是按照GB/T 222392019网络安全等级保护要求对各行业单位网络信息系统进行等级测评，以满足相关等级安全要求。云服务器需满足等级保护测评中安全计算环境要求，服务器安全卫士（原生版）提供相关安全能力，满足客户合规需求。 安全计算环境要求 服务器安全卫士（原生版）在等级保护测评（三级）“安全计算环境”中可满足项： 等保测评项 满足情况 对应能力说明 身份鉴别 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 满足 服务器安全卫士（原生版）通过基线检测功能帮助用户检测密码策略相关满足情况，协助用户完成策略配置；通过弱口令检测功能保障口令复杂度满足管理情况。 身份鉴别 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 满足 服务器安全卫士（原生版）通过基线检测功能帮助检测实现账户锁定策略相关满足情况，协助用户完成策略配置。 入侵防范 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。 满足 服务器安全卫士（原生版）通过扫描功能能够发现可能存在的已知漏洞，且能够出具修补建议帮助用户修补漏洞。 入侵防范 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。 满足 服务器安全卫士（原生版）通过异常登录、暴力破解、后门检测、可疑操作、反弹Shell等功能对主机进行实时监控，发现入侵行为进行告警。 恶意代码防范 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。 满足 服务器安全卫士（原生版）通过病毒查杀功能可对恶意代码进行查杀，满足该项要求。 说明 其余测评项需用户通过云主机操作系统本身的策略设置满足，服务器安全卫士（原生版）可通过基线检测功能协助客户进行策略检测。

微隔离防火墙以镜像方式承载，订购前需要开通一台云主机承载业务，然后再购买授权。本小节介绍微隔离防火墙的订购模式。 目前下单的两种模式： 1. bcp下单模式，客户经理可通过此模式下单； 2. 官网下单模式，客户经理以外的人员可通过此方式下单。 官网下单模式 1、进入天翼云官网，点击右上角【控制中心】，然后登录。 2、点击【弹性云主机】。 3、点击【创建弹性云主机】。 4、按需选择相应的云主机规格，需注意：在选择公共镜像时，选择安全产品中的微隔离防火墙。 5、云主机需开放端口：10443、6443、8000、60001、60011、60021、60031端口。6443为WEB控制台访问端口，10443端口为后台管理使用的端口，8000安装agent的访问端口，60001、600011、60021、60031为agent接入自适应微隔离管理中心的使用端口。 开放端口操作： 1）点击上图的【下一步：网络配置】进行配置。 2）进入【配置安全规则】。 3）点击【创建安全组】 6、在创建完成云主机后，在【控制中心】中选择安全项中的【微隔离防火墙】。点击小购物车“”进入订购页面。 7、设置实例名称，选择需要微隔离防护的云主机数量，上传识别文件，选择订购时长，勾选服务协议，即可提交订购。本产品的授权过程需要12个工作日的时间完成，完成授权后会生成对应的实例项，授权文件可以在console页面的实例信息中下载，我们也会邮件通知授权文件。

应用场景 适用于用户的迁移服务器（物理机、弹性云主机）可以访问待迁移数据，且和HPFS网络互通，同时保证可挂载并行文件系统的场景下的迁移操作。 准备工作 1. 创建迁移服务器，如果目标HPFS文件系统是NFS协议，迁移服务器可选择弹性云主机。如果目标HPFS文件系统是HPFSPOSIX协议，迁移服务器需要选择物理机（GPU裸金属）。具体限制请参考操作系统限制。 2. 将HPFS文件系统挂载至物理机或弹性云主机，具体操作请参考挂载文件系统。 操作步骤 迁移命令说明 HPFS数据拷贝是文件系统间数据的迁移，推荐使用数据同步工具rsync（remote synchronize）。 centos环境下rsync安装命令： plaintext yum install y rsync rsync支持本地（类似cp，我们一般选择本地方式）或者远端（类似scp）数据拷贝，可以镜像保存整个目录树和文件系统，支持断点续传，快速安全。 rsync使用说明： plaintext 本地拷贝 rsync [OPTION...] SRC... [DEST] 常用选项： partial 保留那些因故没有完全传输的文件，以是加快随后的再次传输 inplace 将更新的数据直接写入目标文件，避免文件复制 delete 删除那些DST中SRC没有的文件 a, archive 归档模式，表示以递归方式传输文件，并保持所有文件属性，等于rlptgoD v, verbose 详细模式输出 c, checksum 打开校验开关，强制对文件传输进行校验 数据拷贝时间可能很长（用户数据量除以数据拷贝带宽），为防止下线执行命令退出，可以采用后台执行的方式执行rsync命令： plaintext nohup rsync a partial inplace v $srcdir $destdir &;

此小节介绍如何查看监控报表和拦截报告。 查看监控报表 用户可以查看单个公网IP的监控详情，包括当前防护状态、当前防护配置参数、24小时的流量情况、24小时的异常事件等。 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“公网IP”页签，在需要查看监控报表的公网IP所在行的“操作”列，单击“查看监控报表”。 5. 在“监控报表”界面，可以查看公网IP报表的详细指标。 可查看包括当前防护状态、当前防护配置参数、24小时流量情况、24小时异常事件等信息。 24小时防护流量数据图，以五分钟一个数据点描绘的流量图，主要包括以下方面： 流量图展示所选云服务器的流量情况，包括服务器的正常入流量以及攻击流量。 报文速率图展示所选云服务器的报文速率情况，包括正常入报文速率以及攻击报文速率。 近1天内攻击事件记录表：近1天内云服务器的DDoS事件记录，包括清洗事件和黑洞事件。 说明 支持将监控报表下载到本地，查看公网IP报表的详细指标信息。 在流量监控报表页面，单击图例，报表中将只显示“攻击流量”或“正常入流量”信息。 在报文速率监控报表页面，单击图例，报表中将只显示“攻击报文速率”或“正常入报文速率”信息。

本章节介绍云数据库ClickHouse数据备份和数据恢复功能。 备份恢复方案 云数据库ClickHouse支持自动备份和手动备份，您可以定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。实例恢复可根据备份任务做相应的数据恢复。可选择恢复到本实例，也可以选择恢复到同region下同租户的其他ClickHouse实例。恢复的实例必须要求和备份实例节点top结构一致。 说明 在备份过程中会进行数据文件的读取与复制，这可能会影响集群的读写效率。建议在业务低峰期启动备份任务。 备份内容 云数据库ClickHouse备份分为元数据备份和数据备份。数据备份时，选择相应库表备份，选中后会把集群内所有节点当前表都选中。 元数据备份：云数据库ClickHouse只针对实例库表数据结构进行备份。 数据备份：云数据库ClickHouse会把库表和数据文件一起备份。 备份位置 云数据库ClickHouse目前备份都存放在对象存储中，不会占用实例的存储空间。 根据保留时间，备份的数据到期后会自动删除。 注意 由于对象存储是按需计费的，余额欠费后，不会影响自动备份和手动备份功能，实例备份占用的备份空间会持续扣费。 备份操作步骤 1. 登入++天翼云ClickHouse 控制台++，在实例列表选择对应的实例，进入实例详情页面单击备份恢复。 2. 如果备份任务页出现未开启备份服务页面，可先去点击开启下备份设置（开启过程会涉及几分钟，请耐心等待）。 3. 点击创建备份，可以手动开启一次备份，手动备份任务是实时启动。也可以在备份策略页面，设置两种备份的备份策略，系统会根据设置的策略周期性进行备份任务，同时根据设置的保留时间，对定时备份进行到期清理。 4. 在备份任务页面，可查看所有的备份任务。备份过程中，正在备份的任务也可以进行取消，后台会把备份进行暂停，同时删除备份过程的数据。

本文向您介绍使用企业交换机构建IDC和云上的大二层网络的最佳实践概述。 应用场景 某公司希望将云下IDC的部分业务迁移上云，在IDC内，业务主机采用集群部署，组网示意图如下所示。 迁移上云过程中，该公司有以下诉求： 按主机粒度迁移上云，迁移中不能中断业务。 由于IDC内主机访问配置文件中记录的不是域名地址，而是真实的IP地址，迁移上云不改变原有主机IP地址。 图IDC内业务集群架构 方案架构 天翼云支持通过企业交换机（Enterprise Switch，ESW） 构建客户IDC和云上二层网络互通，在二层网络内，实现主机粒度迁移，助力客户IDC迁移上云期间业务不中断，不修改IP地址的诉求。 通过企业交换机迁移IDC的组网示例如下图所示，本示例中将IDC内的VMB在不修改IP的前提下，迁移到云上。迁移过程说明如下： 1. 使用云专线或VPN建立云上与云下IDC隧道子网之间的三层网络通信。因为企业交换机建立二层通信网络时，依赖隧道子网之间的三层网络。 2. 创建企业交换机、建立二层连接、配置VXLAN交换机，建立云上与云下IDC的二层网络通信。 3. 将主机VMB（10.0.1.8）迁移到云上ECSB（10.0.1.21），检查好VMB和ECSB的网络通信后，待业务低谷时期关闭IDC内的VMB。 短暂关闭VMB时，业务主要由IDC内的VMA（10.0.1.131）承载，因此不会中断业务。 注意 此处为了验证VMB和ECSB之前的正常通信，刚迁移上云的ECSB和VMB的IP地址不能一样，否则无法正常通信。 4. 关闭IDC内的VMB后，将云上的ECSB地址由10.0.1.21改为10.0.1.8，此时业务流量会通过企业交换机转发到云上的ECSB处理，确保迁移后不改变主机IP地址。 同时，云上的ECSB和IDC内的VMA也可以自由互访，就像还位于同一个子网中。