云工作流支持创建标准和快速两种模式的工作流。 本文主要介绍快速工作流和标准工作流的特点和差异， 用户可根据这些内容的介绍针对业务流程选择不同模式的工作流。 基本概念 标准（Standard）工作流具备执行步骤状态的持久化存储，支持运行长时间的工作流执行状态流转，适用于传统意义上的离线业务流程编排执行场景 快速（Express）工作流适用于流程结构简单、需要低延迟执行的工作流场景， 适用于常见的在线业务流程编排和准实时业务流程编排场景，例如微服务API编排、流式数据处理等低延迟和大负载业务场景。 工作流模式对比 执行指标 标准工作流 快速工作流 最长执行时长 365天 5分钟 执行语义 异步执行，遵循至少执行一次（At least once）语义，支持持久化，但是在特殊条件下可能会导致数据被重复处理。 同步执行 执行历史 可通过API查询指定工作流执行历史、工作流执行详情。 可通过API查询指定工作流执行历史、工作流执行详情。 服务集成 云服务集成调用模式支持如下三种集成模式。更多信息，请参见服务集成模式。 请求响应模式（RequestComplete） 等待系统回调（WaitForSystemCallback） 等待任务令牌（WaitForTaskToken） 仅支持请求响应模式（RequestComplete）

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

约束与限制 文件存储与主机须归属相同的VPC及子网。文件存储绑定VPC及子网操作参考上一步的“绑定、解绑VPC子网”。 并行文件存储需要安装专用客户端。 操作步骤 1. 登录主机。以物理机为例，具体参考"裸金属"的登录操作。 2. 安装专用客户端。 客户端存储在机器的内网中，需要下载安装。不同内核版本（可通过uname r命令查看内核版本）的操作系统，对应客户端及下载地址不一样，具体如下： 类型 操作系统 内核版本 架构 安装包 裸金属 Ctyunos 23.1.2 5.10.0136.12.0.88.ct13.x86 64 amd yrfsclient7.2.0.4.d2b88de2kernel.5.10.0136.12.0.88.ctl3.x8664.oe22.noarch.rpm 裸金属 Ctyunos 23.1.2 5.10.0136.12.0.88.ctl3.aarch64 arm yrfsclient7.2.0.4.d2b88de2kernel.5.10.0136.12.0.88.ctl3.aarch64.oe22.noarch.rpm 裸金属 Ubuntu 20.04.6 5.4.0144generic amd yrfsclient7.2.0.4.d2b88dedebiankernel5.4.0144genericamd64.deb 裸金属 Ubuntu 20.04.5 5.4.0125generic arm yrfsclient7.2.0.4.d2b88dedebiankernel5.4.0125genericarm64.deb 裸金属 Ubuntu 22.04.5 5.15.0119generic amd yrfsclient7.2.0.4.d2b88dedebiankernel5.15.0119genericamd64.deb 裸金属 Ubuntu 22.04.5 5.15.0119generic arm yrfsclient7.2.0.4.d2b88dedebiankernel5.15.0119genericarm64.deb 云主机 Ubuntu 22.04.3 5.15.082generic amd yrfsclient7.2.0.4.d2b88dedebiankernel5.15.082genericamd64.deb 说明 客户端下载地址是内网地址，需要在资源池内云主机或裸金属机器上下载。 确认客户端版本后，下载客户端到机器上，以操作系统Ctyunos 23.1.2、内核版本5.10.0136.12.0.88.ct13.x86 64、架构amd，并通过wget下载为例，执行以下命令： plaintext wget 下载完成后，即可安装客户端，安装时注意不同操作系统执行命令不同。 CTyunOS系统下，执行以下命令： plaintext rpm ivh yrfsclient7.2.0.4.d2b88de2kernel.5.10.0136.12.0.88.ctl3.x8664.oe22.noarch.rpm Ubuntu系统下，执行以下命令： plaintext dpkg i yrfsclient7.2.0.4.d2b88dedebiankernel5.15.082genericamd64.deb 安装完成可以通过以下命令查询安装情况： plaintext ls /etc/yrfs/ systemctl status yrfsclient.service 3. 挂载前网络验证。 进入并行文件存储详情页面，通过“挂载信息”查看挂载命令中的存储节点信息，可通过ping命令验证机器与存储的网络是否已通，如： plaintext ping 10.230.2.2 4. 修改客户端配置 plaintext vim /etc/yrfs/yrfsclient.conf 在clusteraddr及connsubnetfilter中分别填入挂载信息中的存储节点及存储网关地址： plaintext vim /etc/yrfs/yrfsmounts.conf 在/etc/yrfs/yrfsmounts.conf后面填入挂载信息中的挂载目录： 4. 挂载并行文件存储。执行以下命令进行挂载： plaintext systemctl start yrfsclient systemctl status yrfsclient.service 4. 挂载之后执行 df h命令查看物理机空间使用情况，列表尾部应有已挂载的文件存储。 5. 解除挂载。可通以下命令解除挂载： plaintext systemctl stop yrfsclient

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 场景描述 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，您可以很方便地实现安全审计、问题跟踪、资源定位，帮助您更好地规划和利用已有资源、甄别违规或高危操作。 什么是事件 事件即云审计服务追踪并保存的云服务资源的操作日志，操作包括用户对云服务资源新增、修改、删除等操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 约束与限制 用户通过云审计控制台只能查询最近7天的操作记录，过期自动删除，不支持人工删除。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 用户对云服务资源做出创建、修改、删除等操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 在CTS查看审计事件 1. 登录控制台，单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 2. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 3. 在页面右上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 4. 事件列表支持通过筛选来查询对应的操作事件。 参数名称 说明 事件类型 事件类型分为“管理事件”和“数据事件”。 管理类事件，即用户对云服务资源新建、修改、删除等操作事件。 数据类事件，即OBS服务上报的OBS桶中的数据的操作事件，例如上传数据、下载数据等。 云服务 在下拉选项中，选择触发操作事件的云服务名称。 资源类型 在下拉选项中，选择操作事件涉及的资源类型。 支持的资源类型请参见云审计服务支持的态势感知（专业版）操作列表。 筛选类型 筛选类型分为“资源ID”、“事件名称”和“资源名称”。 资源ID：操作事件涉及的云资源ID。 当该资源类型无资源ID，或资源创建失败时，该字段为空。 事件名称：操作事件的名称。 支持审计的操作事件的名称请参见云审计服务支持的态势感知（专业版）操作列表。 资源名称：操作事件涉及的云资源名称。 当事件所涉及的云资源无资源名称，或对应的API接口操作不涉及资源名称参数时，该字段为空。 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的tracetype的值为“SystemAction”时，表示本次操作由服务内部触发，该条事件对应的操作用户可能为空。 事件级别 可选项包含“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 Normal代表操作成功。 Warning代表操作失败。 Incident代表比操作失败更严重的情况，如引起其他故障等。 5. 选择完查询条件后，单击“查询”。 6. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。 7. 在需要查看的事件左侧，单击展开该记录的详细信息。 8. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。

本文介绍了认证与访问控制相关说明。 RDSPostgreSQL支持CTIAM身份认证与多种访问控制，多维度保障您云数据库的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM），是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。 您可以创建IAM用户，并为其设置RDSPostgreSQL实例权限，该用户就可以通过用户名和密码访问授权的实例资源。 访问控制 权限控制 购买RDSPostgreSQL实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为RDSPostgreSQL构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 通过子网与其他网络隔离，独享网络资源，提高网络安全性。 具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网。 白名单管理 白名单管理中，用户可对实例设置可访问的IP地址或IP段，控制数据库的安全访问，来保证保障其访问来源的安全性。 具体请参见关系数据库PostgreSQL版用户安全数据安全白名单管理。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的数据库实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问数据库的IP地址和端口，来保证保障其运行环境的安全性和稳定性。 具体请参见关系数据库PostgreSQL版快速入门步骤二：设置安全组规则。

本节介绍主机扫描是否可以关闭基线检查。 主机扫描不能关闭基线检查。如果您确认基线检查扫描出的检查项不会对主机造成危害，您可以在目标检查项所在行的“操作”列，单击“忽略”，忽略该检查项，相应的检查项统计结果将发生变化，扫描报告中也不会出现该检查项。

操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 字段 创建数据密钥 generateDataKey 创建数据密钥（无明文） generateDataKeyWithoutPlaintext 导出数据密钥 exportDataKey 创建并导出数据密钥 generateAndExportDataKey 数据加密 encrypt 数据解密 decrypt 禁用主密钥 disableKey 启用主密钥 enableKey 创建主密钥 createKey 计划删除密钥 scheduleKeyDeletion 取消计划删除密钥 cancelKeyDeletion 密钥删除保护 deleteProtect 取消密钥删除保护 cancelDeleteProtect 转加密 reEncrypt 创建默认密钥 createDefaultKey 非对称签名 asymmetricSign 非对称验签 asymmetricVerify 非对称加密 asymmetricEncrypt 非对称解密 asymmetricDecrypt 获取公钥 getPublicKey 获取密钥列表 listAliasKeys 获取密钥详情 describeKey 更新密钥描述 updateKeyDescription 获取对称密钥详情 listSymmetricKeys 查询数据密钥详情 getDataKey 创建非对称密钥版本 createKeyVersion 查询密钥版本列表 listKeyVersions 获取密钥版本详情 describeKeyVersion 更新密钥轮转策略 updateRotationPolicy 创建密钥别名 createAlias 更新密钥别名 updateAlias 删除密钥别名 deleteAlias 获取别名列表 listAlias 获取密钥别名 listAliasByUuid 计算hmac hmaccompute 计算SM3摘要 messageDigest 获得导入密钥材料 getParametersForImport 导入密钥 importKeyMaterial 删除导入密钥材料 deleteKeyMaterial 证书公钥加密 certificatePublicKeyEncrypt 证书私钥解密 certificatePrivateKeyDecrypt 证书私钥签名 certificatePrivateKeySign 证书公钥验签 certificatePublicKeyVerify 获取随机数 getRandom Ukey证书公钥验签 certificatePublicKeyVerifyForUsbKey 创建证书csr createCertificate 更新证书状态 updateCertificateStatus 删除证书 deleteCertificate 获取证书详情 describeCertificate 获取证书链详情 describeCertificateChain 查询证书 getCertificate 导入证书 importCertificate 导入PKCS12证书 importCertificateByPKCS12 导出证书私钥 exportCertificatePrivatkey 查询证书列表 listCertificate 导入Ukey证书 importCertificateForUK 查询Ukey证书列表 listCertificateForUk 获取Ukey证书详情 describeCertificateForUk 查询Ukey证书信息 getCertificateForUk 更新Ukey证书状态 updateCertificateStatusForUk 删除Ukey证书 deleteCertificateForUk 获取vpc列表 listVpc 获取子网列表 listSubnet 创建应用接入点 createApplicationAccessPoint 查询接入点的接口权限列表 listAllUri 获取接入点的接口权限详情 listPointUriPolicy 接入点的接口权限变更 changePointUriPolicy 删除应用接入点 deleteApplicationAccessPoint 查询应用接入点列表 listApplicationAccessPoint 接入点的资源权限变更 changePointResourcePolicy 查询接入点的资源权限列表 listPointResourcePolicy 获取接入点的资源权限详情 describeResourcePolicy 关闭接入点权限控制 closePolicyCheck 检查接入点是否开启权限控制 policyCheckIsOpen 添加终端节点白名单 addEndpointWhitelist 查询终端节点白名单列表 showEndpointWhitelist 云产品关联检测 detectAssociation 创建租户ak createUserAk 启用租户ak enableUserAk 禁用租户ak disableUserAk 删除租户ak deleteUserAk 查询租户ak列表 listUserAk 查询资源信息 resourceInfo

本文主要介绍如何更换伸缩组的伸缩配置。 操作场景： 当伸缩组中所需的弹性云主机规格变更，需要为伸缩组更换伸缩配置时，可以参考此章节进行更换伸缩配置。 更换伸缩配置后的生效时间： 若伸缩组正在进行伸缩活动，则当前伸缩活动中的实例配置以更换之前的伸缩配置为准；待下一次伸缩活动开始后，伸缩活动中的实例配置就会更改为更换后的伸缩配置。 例如：伸缩组当前的伸缩配置为asconfigA，更换后的伸缩配置为asconfigB，当伸缩组正在进行伸缩活动时，则当前伸缩活动中的实例配置仍然为asconfigA；待下一次伸缩活动开始后，伸缩活动中的实例配置就会更改为asconfigB。 操作步骤： 1. 登录管理控制台。 2. 选择“计算 > 弹性伸缩服务”。 3. 单击需要更换伸缩配置的伸缩组名称，在“伸缩配置”页面的“配置名称”右方，单击“更换配置”。或在需要更换伸缩配置的伸缩组所在行的“操作”列下，选择“更多 > 更换伸缩配置”。 4. 在弹出的“更换伸缩配置”对话框中，重新为伸缩组选择伸缩配置。 5. 单击“确定”。

部署在云应用引擎 CAE（Cloud App Engine）上的应用运行时，可能会出现 Pod 问题。本文介绍常见的 Pod 问题和解决方法。 ImagePullBackOff 当 CAE 无法获取到 Pod 中某个容器的镜像时，将出现此错误。 可能原因： 镜像名称无效，例如镜像名称拼写错误、镜像不存在。 镜像标签无效，例如标签拼写错误、标签不存在。 镜像属于私有仓库。 解决方案： 更正镜像名称与标签。 将镜像上传至天翼云镜像仓库。 CrashLoopBackOff 如果容器无法启动，出现此错误。 可能原因： 应用程序中存在错误，导致无法启动。 未正确配置容器。 Liveness探针失败太多次。 解决方案： 您可以通过查看实时日志和事件分析失败原因，并修改相关配置。 处于未就绪状态的Pod 如果Pod正在运行但未就绪（not ready），则表示 Readiness 就绪探针失败。 可能原因： 当“就绪”探针失败时，Pod未连接到服务，并且没有流量转发到该实例。 解决方案： 登录Webshell，执行您自定义的就绪探针命令，查看 Pod 是否正常运行。如果不正常，您可以通过实时日志或事件对其进行分析。

本文介绍不同套餐版本适用的业务规模、支持的防护功能。 套餐和版本概述 天翼云Web应用防火墙（边缘云版）（下文简称WAF）支持包年包月计费模式。本文介绍不同套餐版本适用的业务规模、支持的防护功能。 WAF套餐版本分为：体验版、基础版、标准版、专业版、旗舰版。 适用的业务规模 下表描述了不同WAF版本适用的业务规模。一般情况下，对于中型规模的企业网站，推荐您选择专业版或者旗舰版。 业务规格 体验版 基础版 标准版 专业版 旗舰版 价格（元/月） 399 1660 3560 8560 19660 适用场景 用于小微型网站的标准化防护。 用于小型网站的标准化防护。 用于中小型客户网站的标准化防护。 用于中小型客户网站业务安全防护及中大型客户网站有高标准安全需求。 用于大型及超大型客户网站业务安全防护，及复杂业务站点的定制化防护服务。 业务带宽（Mbps） 10 50 100 150 300 支持主域名个数 1 1 1 2 3 支持总域名个数（包括主域名和其下的子域名） 10 10 10 20 30

本文主要介绍应用服务网格日志采集。 应用服务网格支持采集控制面（control plane）、数据面（sidecar）日志以及应用服务网格网关日志，您可以在控制台日志中心查看日志。 前提条件 1. 天翼云账号已经开通了云日志服务，如果没有开通可以通过服务网格控制台>网格实例>自定义配置>创建云日志服务。 2. 网格控制面和数据面集群已经安装了日志采集插件logoperator。可以通过ccse控制台>插件>插件市场安装。 启用服务网格日志采集 1. 登录服务网格控制台，在左侧的导航栏中选择网格实例>自定义配置。 2. 选择启用日志服务，可以选择已有的日志项目或者新建日志项目，支持为数据面、控制面和网关分别创建日志单元，您可以参考云日志服务管理日志项目查看已有的项目。如果需要新建项目，应用服务网格控制台会自动为您创建对应名称的项目。 日志中心日志查询 您可以在日志服务控制台查询服务网格控制面和数据面的日志，更多详情可参考云日志服务日志查询。 数据面日志输出格式 目前服务网格的数据面日志访问格式采用Envoy默认格式： plaintext [%STARTTIME%] "%REQ(:METHOD)% %REQ(XENVOYORIGINALPATH?:PATH)% %PROTOCOL%" %RESPONSECODE% %RESPONSEFLAGS% %BYTESRECEIVED% %BYTESSENT% %DURATION% %RESP(XENVOYUPSTREAMSERVICETIME)% "%REQ(XFORWARDEDFOR)%" "%REQ(USERAGENT)%" "%REQ(XREQUESTID)%" "%REQ(:AUTHORITY)%" "%UPSTREAMHOST%"n 以下是一个日志格式的例子： plaintext [20160415T20:17:00.310Z] "POST /api/v1/locations HTTP/2" 204 154 0 226 100 "10.0.35.28" "nsq2http" "cc21d9b0cf5c432b8c7e98aeb7988cd2" "locations" "tcp://10.0.2.1:80" 以下是日志样式字段的说明： 参数 描述 STARTTIME 请求开始时间。 REQ(:METHOD) 请求方法。 REQ(XENVOYORIGINALPATH?:PATH) 请求的原始路径，若无则使用标准路径。 PROTOCOL 请求所使用的协议。 RESPONSECODE 服务器对请求的响应状态码。 RESPONSEFLAGS 响应的标志，提供关于响应的特性信息。 BYTESRECEIVED 接收到的字节数，指示请求消息的大小。 BYTESSENT 发送出去的字节数，指示响应消息的大小。 DURATION 请求处理的持续时间，包括接收到请求到发送响应的时间。 RESP(XENVOYUPSTREAMSERVICETIME) 上游服务的响应时间，表示上游服务处理请求所花费的时间。 REQ(XFORWARDEDFOR) 请求的xff头部。 REQ(USERAGENT) 请求的用户代理，标识发起请求的软件。 REQ(XREQUESTID) 请求的唯一标识符，用于跟踪请求的生命周期。 REQ(:AUTHORITY) 请求的主机名，在HTTP/2中对应请求的authority字段。 RESPONSEFLAGS说明： 完整名称 短名 说明 NoHealthyUpstream UH 没有健康的上游服务，返回503状态码。 UpstreamConnectionFailure UF 连接上游失败，返回503状态码。 UpstreamOverflow UO 上游服务被熔断，返回503状态码。 NoRouteFound NR 找不到路由或者找不到过滤器链，返回404状态码。 UpstreamRetryLimitExceeded URX 超过上游重试次数。 NoClusterFound NC 找不到上游集群。 DurationTimeout DT 请求超时。 DownstreamConnectionTermination DC 下游连接中断。 FailedLocalHealthCheck LH 集群健康检查失败，返回503状态码。 UpstreamRequestTimeout UT 上游服务超时，返回504状态码。 LocalReset LS 连接被本地重置，返回503状态码。 UpstreamRemoteReset UR 连接被上游重置，返回503状态码。 UpstreamConnectionTermination UC 上游连接中断，返回503状态码。 DelayInjected DI 请求被注入了延迟。 FaultInjected FI 请求被注入了错误。 RateLimited RL 请求被限流，返回429错误码。 UnauthorizedExternalService UAEX 请求被外部授权服务拒绝。 RateLimitServiceError RLSE 由于限流服务报错导致请求被拒绝。 InvalidEnvoyRequestHeaders IH 请求头部异常，返回400错误码。 StreamIdleTimeout SI 请求空闲超时，返回408或者504错误。 DownstreamProtocolError DPE 下游请求HTTP协议错误。 UpstreamProtocolError UPE 上游返回的HTTP协议错误。 UpstreamMaxStreamDurationReached UMSDR 请求上游超时。 ResponseFromCacheFilter RFCF 请求通过envoy缓存插件支撑。 NoFilterConfigFound NFCF 由于没有在时间期限内收到filter配置导致请求被中断。 OverloadManagerTerminated OM 请求被过载管理器中断。 DnsResolutionFailed DF DNS解析失败。 DropOverload DO 请求被上游过载保护机制中断，返回503状态码。

本章节通过简单的命名空间授权方法，将CCE服务的用户和用户组授予操作不同命名空间资源的权限，从而使用户和用户组在拥有对应的CCE集群标准权限的同时，又可以拥有对集群中命名空间的操作权限。设置流程如示例流程所示。 配置说明 您需要拥有一个帐号，有一个或若干个用户组和IAM用户。 本例将对用户和用户组授予操作不同命名空间资源的权限，在您的实际业务中，您可根据业务需求仅对用户或用户组授予不同的权限。 本例仅用于给用户或用户组在未授权过的命名空间下新增权限，已授权的用户或用户组的权限可以在“权限管理 > 命名空间权限”的列表“操作”栏中单击“编辑权限”进行修改。 当给用户或用户组添加多个权限时，多个权限会同时生效（取并集）；为用户组设置的权限将作用于用户组下的全部用户。 约束与限制 kubernetes RBAC的授权能力支持1.13及以上版本集群。 在v1.11.7r2版本的集群中默认开启RBAC功能，若需使用RBAC功能请将集群升级至v1.11.7r2或以上版本。升级方法请参见升级集群。 示例流程 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离，使得它们既可以共享同一个集群的服务，也能够互不干扰。命名空间的一个重要的作用是充当一个虚拟的集群，用于多种工作用途，满足多用户的使用需求。 本章节将沿用创建用户并授权使用CCE中创建的IAM用户“James”和用户组“开发人员组”进行示例，为IAM用户“James”和用户组“开发人员组”添加命名空间权限，可以参考如下操作： 步骤一：为IAM用户/用户组添加命名空间权限 本步骤将在CCE控制台中为IAM用户“James”以及用户组“开发人员组”授予某个集群命名空间下资源的操作权限，设置如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“权限管理”，进入权限管理页面。 步骤 2 单击“命名空间权限”页签，在命名空间权限列表右上方选择要添加授权的集群，单击“添加授权”按钮，进入添加授权页面。 步骤 3 在添加授权页面，确认集群名称，选择该集群下要授权使用的命名空间，此处选择“default”。 步骤 4 单击“添加用户权限”，为“开发人员组”增加“admin”权限，在展开的选项中进行如下配置： 用户/用户组：选择“用户组”，并在二级选项中选择“开发人员组”。 权限：选择“admin”。 单击“添加用户权限”可继续增加其他用户或用户组，并赋予相应的权限。 步骤 5 单击下方的“添加命名空间权限”，为用户“James”增加在另一个命名空间“monitoring”的权限，在展开的选项中进行如下配置： 命名空间：选择“monitoring”。 用户/用户组：选择“用户”，并在二级选项中选择“James”增加。 权限：选择“view”。 步骤 6 单击“创建”，完成以上用户和用户组在命名空间中的相应权限设置。 说明： 经过以上操作，授权结果如下： 由于“开发人员组”包含IAM用户“James”，因此IAM用户“James”也同时获得了在命名空间“default”的“admin”权限。 为IAM用户“James”增加了在命名空间“monitoring”的“view”权限。 步骤二：用户登录并验证权限 使用IAM用户“James”登录云容器引擎控制台，验证授予的命名空间权限，验证步骤如下： 步骤 1 在登录页面，单击右下角的“IAM用户登录”。 步骤 2 在“IAM用户登录”页面，输入帐号名、用户名及用户密码，使用新创建的IAM用户登录。 帐号名为该IAM用户所属帐号的名称。 用户名和密码为创建IAM用户James时输入的用户名和密码，首次登录时需要重置密码。 如果登录失败，您可以联系您的帐号主体，确认用户名及密码是否正确，或是重置用户名及密码。 步骤 3 登录成功后，进入控制台，请先切换至授权区域。 步骤 4 在“服务列表”中选择“云容器引擎 CCE”，进入CCE控制台，对IAM用户James的命名空间权限进行验证。

本章节内容主要介绍通过ECS内网连接DDS实例 场景描述 文档数据库实例创建成功后，可通过内网访问数据库实例。本章节以Linux系统为例，介绍从购买到内网连接集群实例的操作步骤。 步骤1：创建ECS 步骤2：创建集群实例 步骤3：连接集群实例 方案正文 本章节以Linux系统为例，介绍从购买到内网连接集群实例的操作步骤。具体操作步骤如下： 步骤1：创建ECS 1.登录管理控制台。 2.选择“计算 > 弹性云主机”，单击“购买弹性云主机”。 3.配置基础信息后，单击“下一步：网络配置”。ECS与待连接的集群实例的区域及可用区一致。 图1 基础配置 图2 选择镜像 4.配置网络信息后，单击“下一步：高级配置”。ECS与待连接的集群实例的VPC和安全组一致。 图3 网络配置 5.配置密码等信息后，单击“下一步：确认配置”。 图4 高级配置 6.确认配置信息后，单击“立即购买”。 图5 确认配置 7.查看购买成功的ECS。 图6 购买成功 步骤2 创建集群实例 1.登录管理控制台。 2.选择“数据库 > 文档数据库服务 DDS”，单击“购买数据库实例”。 3.填选实例信息后，单击“立即购买”。ECS与待连接的集群实例的区域、可用区、VPC和安全组一致。 图7 基础配置 图8 设置密码 图9 网络设置 查看购买成功的DDS实例。 图10 购买成功 步骤3 连接DDS实例 1.本地使用Linux远程连接工具登录ECS。“Remote host”为ECS绑定的弹性公网IP。 图11 新建会话 2.输入创建ECS时设置的密码。 图12 输入密码 图13 登录成功 3.打开 图14 下载客户端 4.上传客户端安装包到ECS。 图15 上传客户端 图16 上传成功 5.在弹性云服务器上，解压安装包。 tar zxvf mongodblinuxx8664rhel704.0.27.tgz 6.进入安装包的“bin”文件夹下，获取客户端工具。 cd mongodblinuxx8664rhel704.0.27/bin 其中，常用工具包含如下： MongoDB客户端mongo。 数据导出工具mongoexport。 数据导入工具mongoimport。 7.使用客户端工具前，需要对工具赋予执行权限。 执行chmod +x mongo，赋予连接实例的权限。 执行chmod +x mongoexport，赋予导出数据的权限。 执行chmod +x mongoimport，赋予导入数据的权限。 8.连接DDS实例。 ./mongo mongodb://rwuser:@ : , : /test?authSourceadmin，实例地址可在控制台直接复制。 图17 连接成功 常用创建数据库和集合的操作。 图18 创建数据库 图19 创建集合

本文主要介绍了在线充值的操作流程。 当账户余额不足时，用户可以通过在线充值的方式进行账户余额充值。 注意事项 请先完成实名认证再进行账号充值。实名认证操作详见文档实名认证。 若有未还清账单，充值后优先抵扣未还清账单。 充值金额只有消费后才可开具发票。 操作流程 1、登录天翼云官网，点击首页右上角的“管理中心”，在“总览”页面选择“充值”，即可进入充值页面。 2、选择“在线充值”，然后输入需要充值的金额，阅读并勾选充值注意事项，点击“充值”按钮，即可前往支付方式选择页面。 3、天翼云提供多种充值渠道，您可根据自身情况进行选择平台支付、个人网银、企业网银等方式。选择后，点击“下一步”，进入相应支付页面，根据提示操作。 说明 通过企业网银付款时，您在银行看到的收款账号如果不是“天翼云科技有限公司”，请不用担心，企业网银使用银联作为收单机构，最终银联会结算给到天翼云。 4、付款完成后，会提示您充值成功，随后返回余额明细页面，您可查看余额、充值记录。 注意 如果您充值中出现任何问题，请您停止操作，并马上联系天翼云客服处理。服务热线：4008109889

支持配置撞库防护策略防范攻击者通过撞库盗取用户的信息。 功能介绍 支持配置撞库防护策略，防范攻击者通过撞库盗取用户的信息。 撞库是什么？ 撞库是恶意攻击者通过收集互联网已泄露或者暗网黑客交易的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户密码从而尝试登录B网址，这就可以理解为撞库攻击。撞库还可以从弱密码的角度出发，通过碰撞用户名得到账号密码信息。 撞库的防护原理 边缘云WAF针对撞库的防护方式主要是以下三种： 频率限速：由于猜解需要不断访问登录接口，因此可以通过异常速率来限制撞库； 用户登录信息与泄露信息库比对：将用户信息与实时更新的泄露信息库做相关数据对比，查看用户是否正在使用已暴露的密码，根据结果采取对应措施； 用户敏感信息脆弱性分析：通过脆弱性算法分析当前密码的暴露风险层级与易猜解程度，对暴露较多区块的密码以及极易猜解的密码引导到客户配置的处理方式上。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为基础版及以上版本，支持撞库防护相关功能。

天翼云云搜索团队RAGFlow社区贡献 RAGFlow默认使用Elasticsearch 8.x作为向量库数据库。天翼云云搜索团队成员贡献了OpenSearch作为向量数据库的全流程支持，已合入社区，并在正式发版中作为NewFeatures单独致谢。在RAGFlow的v0.19.0以后的版本中均支持OpenSearch作为底层向量数据库。 前置需求 开通天翼云云搜索服务OpenSearch实例，获取内网地址和实例密码。 准备好云主机环境用来部署RAGFlow，需要和OpenSearch实例网络互通。 准备好Deepseek模型、Embedding向量模型、Rerank重排序模型。 安装好Docker环境。 RAG运行流程 1. 用户通过RAGFlow对话框进行提问。 2. 调用Embedding模型将查询向量化。 3. 使用OpenSearch的Hybridsearch混合检索进行召回，调用Rerank模型进行重排序，返回和提问相关的文档。 4. 将检索到的文档及对话的上下文通过Deepseek大模型总结归纳生成详细准确的回复。 步骤一：部署RAGFlow 1. 拉取RAGFlow最新源码到云主机上，以下以v0.19.1为例。 2. 进入ragflow源码的docker目录 plaintext cd ragflow/docker 3. 修改向量数据库为OpenSearch plaintext vim .env DOCENGINE${DOCENGINE:opensearch} 修改如下配置项 plaintext OSPORT9200 OSHOSTnode1 OPENSEARCHPASSWORDxxxxxx 4. 确认使用镜像 plaintext vim .env RAGFLOWIMAGEinfiniflow/ragflow:v0.19.1 5. 修改dockercomposebase.yml文件 为了性能，不适用docker自带的Elasticsearch和OpenSearch，注释掉如下代码： plaintext es01: containername: ragflowes01 profiles: elasticsearch image: elasticsearch:${STACKVERSION} volumes: esdata01:/usr/share/elasticsearch/data ports: ${ESPORT}:9200 envfile: .env environment: node.namees01 ELASTICPASSWORD${ELASTICPASSWORD} bootstrap.memorylockfalse discovery.typesinglenode xpack.security.enabledtrue xpack.security.http.ssl.enabledfalse xpack.security.transport.ssl.enabledfalse cluster.routing.allocation.disk.watermark.low5gb cluster.routing.allocation.disk.watermark.high3gb cluster.routing.allocation.disk.watermark.floodstage2gb TZ${TIMEZONE} memlimit: ${MEMLIMIT} ulimits: memlock: soft: 1 hard: 1 healthcheck: test: ["CMDSHELL", "curl interval: 10s timeout: 10s retries: 120 networks: ragflow restart: onfailure opensearch01: containername: ragflowopensearch01 profiles: opensearch image: hub.icert.top/opensearchproject/opensearch:2.19.1 volumes: osdata01:/usr/share/opensearch/data ports: ${OSPORT}:9201 envfile: .env environment: node.nameopensearch01 OPENSEARCHPASSWORD${OPENSEARCHPASSWORD} OPENSEARCHINITIALADMINPASSWORD${OPENSEARCHPASSWORD} bootstrap.memorylockfalse discovery.typesinglenode plugins.security.disabledfalse plugins.security.ssl.http.enabledfalse plugins.security.ssl.transport.enabledtrue cluster.routing.allocation.disk.watermark.low5gb cluster.routing.allocation.disk.watermark.high3gb cluster.routing.allocation.disk.watermark.floodstage2gb TZ${TIMEZONE} http.port9201 memlimit: ${MEMLIMIT} ulimits: memlock: soft: 1 hard: 1 healthcheck: test: ["CMDSHELL", "curl interval: 10s timeout: 10s retries: 120 networks: ragflow restart: onfailure 6. 修改部分conf配置 plaintext vim serviceconf.yaml.template hosts: ' 7. 启动服务 plaintext docker compose f dockercompose.yml up d 8. 查看启动log plaintext docker logs f ragflowserver 9. 浏览器页面打开，默认服务在80端口

本文介绍如何为桶配置自定义域名。 使用场景 文件预览：如果您不想强制下载文件，可以通过将自定义域名绑定至桶实现在线预览文件。 访问.apk或.ipa文件：出于安全考虑，ZOS禁止通过桶的外网域名访问后缀为.apk或者.ipa的文件。您可使用自定义域名访问此类文件。 提升品牌形象和专业度：提供固定的个性化的企业域名，可以增强品牌形象和专业度，增加用户信任。 约束与限制 不支持绑定中文域名。 每个桶最多可以绑定100个域名。 一个自定义域名只能配置到一个桶上。 操作步骤 步骤一：配置自定义域名 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，单击Bucket名称进入“概览”页面。 5. 选择“基础设置”页面，找到“自定义域名”，点击“设置”按钮。 6. 点击“添加域名”按钮，输入您的域名。 7. 添加域名成功后，您添加的域名信息将会展示在自定义域名列表中。 8. （可选）您可以在自定义域名列表中点击“绑定证书”， 以绑定您的HTTPS证书。 注意 1. 请确保您添加的域名已经完成工信部备案。添加域名时会验证您的备案情况。如域名尚未备案，请完成备案后再执行添加域名操作。 2. 如您的域名是新备案的域名，域名的备案情况由于同步时间较长，可能会出现较长时间无法通过验证，请您耐心等待。 步骤二：添加CNAME记录 1. 您可以在“配置CNAME”页面复制您添加的自定义域名对应的CNAME值。请注意，“配置CNAME”页面是为了提示您需要为自定义域名添加CNAME记录。无论您是否在此时配置CNAME，自定义域名都已经添加成功了。 2. 您也可以在自定义域名列表页面，复制您添加的自定义域名对应的CNAME值。 3. 前往您的域名解析（DNS）服务商（如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等），添加该CNAME记录。 4. 验证自定义域名是否生效。配置CNAME后，不同的服务商CNAME生效的时间不同，一般新增的CNAME记录会立即生效，修改的CNAME记录需要较长时间生效。您可以ping或dig您所添加的自定义域名，如果被指向ZOS系统域名，即表示CNAME配置已经生效，自定义域名也已生效。

本文主要介绍HTTP健康检查。 对于四层（TCP）和七层（HTTP/HTTPS）监听器，您可以配置HTTP健康检查，通过HTTP GET请求来获取状态信息。对于HTTPS监听器，由于负载均衡器对TLS协议进行了卸载，负载均衡器与后端云主机之间使用HTTP传输，健康检查也采用HTTP方式，以提高系统的性能。 具体机制如下： 1. 七层ELB节点根据健康检查配置，向后端云主机（IP+端口+检查路径）发出HTTP GET请求（可以选择设置域名）。 2. 后端云主机收到请求后，根据服务的情况返回相应的HTTP状态码。 如果七层ELB节点在响应超时时间内收到了后端云主机的响应，将HTTP状态码与预置的状态码进行对比，如果匹配则认为健康检查成功，后端云主机运行正常。 如果七层ELB节点在响应超时时间内没有收到后端云主机的响应，则判定健康检查失败。

配置项 说明 域名 填写需要接入边缘安全加速平台安全与加速服务的域名，包括精确域名（例如www.ctyun.cn）或者泛域名（例如.ctyun.cn）。 若服务区域选择“中国内地”或者“全球”，域名需要完成ICP备案并且域名需要进行 服务区域 若所订购套餐的服务区域为“全球”，则可指定域名的服务区域： 仅需加速中国内地用户请选择“中国内地”。 仅需加速全球（不含中国内地）用户请选择“全球（不含中国内地）”。 同时加速中国内地和全球（不含中国内地）用户请选择“全球”。 若所订购套餐的服务区域不是“全球”，则服务区域不可配置。 IPv6开关 新增域名时，IPv6开关默认开启，如您不需要IPv6可选择关闭。开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云边缘云节点，如果要解决IPv6天窗问题（提升二、三级链接IPv6支持度）需要订购高级版以上版本，通过 源站 支持IP或域名，支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 注意：源站域名不能与加速域名相同，否则会造成循环解析，导致无法回源。 回源协议 指边缘云节点回源站请求资源时使用的协议。配置该功能后，边缘云节点将根据指定的协议回源。 HTTP：边缘云节点以HTTP协议回源。 HTTPS：边缘云节点以HTTPS协议回源。 跟随协议：客户端以HTTP或HTTPS协议请求边缘云节点，边缘云节点跟随客户端的协议请求源站（源站需要同时支持HTTP协议和HTTPS协议，否则可能会造成回源失败）。 回源端口 源站端口，是指源站接收用户请求时所用的端口，一般http协议和https协议使用不同的源站端口。 如果跟随请求端口回源开关置为开启，则会使用请求服务端口回源。 回源HOST 回源HOST决定了回源请求访问到源站的哪个站点，默认值为加速域名。 当您的源站有多个站点，且需要回源的站点不是加速域名对应的站点时，您需要配置回源HOST，在回源过程中会根据HOST信息去对应站点获取资源。 Https开关 支持开启和关闭HTTPS，如果开启HTTPS协议，需要上传HTTPS证书。 缓存设置 您可以设置缓存过期时间，指源站资源在边缘节点缓存的时长，达到预设时间，资源将会被边缘云节点标记为缓存过期。 默认配置如下： 静态加速：默认开启，关闭后将全部文件不缓存，无法享受缓存加速能力。

抽帧工具ivtalDecoder转码参数说明 plaintext mode 0 fi 指定抽帧间隔 thread 指定线程数量 指定输入视频 指定输出抽帧后像素文件 运行示例1 plaintext 执行命令 ivtalDecoder mode 0 fi 400 thread 1 movie.mp4 movieivtal2.yuv 命令解释： ivtalDecoder 使用视频抽帧工具（英特尔版） mode 0 fi 400 指定每隔400帧抽一帧 thread 1 用一个线程 movie.mp4 输入1920x1080 24fps的电影场景视频 movieivtal2.yuv 指定输出像素文件的名字 执行结果如图 plaintext 日志解释： save yuv2 一共抽出来多少帧 real0.713 一共耗时多少 性能提升说明 下面是在规格c8.4xlarge.2云主机下的视频转码测试结果对比的数据。 优化前 plaintext ffmpeg i movie.mp4 c:v libx264 crf 22 psnr out.mp4 优化后 plaintext ffmpeg i movie.mp4 c:v libx264 mvreuse 2 crf 22 psnr out.mp4 过程中cpu利用率为11%。 指标 优化前 优化后 PSNR（dB） 48.3 48.3 Bitrate（kbps） 6399.5 6173.9 FPS（帧/秒） 55 85 CPU利用率（%） 18% 11% 优化后相比优化前，cpu利用率明显下降，视频转码fps提升55%。

本章节主要介绍如何快速创建实时分析集群。 本章节为您介绍如何快速创建一个实时分析集群，实时分析集群使用Hadoop、Kafka、Flink和ClickHouse组件提供一个海量的数据采集、数据的实时分析和查询的系统。 集群包含的组件信息实时分析： MRS 3.1.0版本：Hadoop 3.1.1、Kafka 2.112.4.0、Flink 1.12.0、ClickHouse 21.3.4.25、ZooKeeper 3.5.6、Ranger 2.0.0。 快速创建实时分析集群 1.登录MRS管理控制台。 2.单击“创建集群”，进入“创建集群”页面。 3在创建集群页面，选择“快速创建”页签。 4.参考下列参数说明配置集群基本信息，参数详细信息请参考创建自定义集群。 区域：默认即可。 集群名称：可以设置为系统默认名称，但为了区分和记忆，建议带上项目拼音缩写或者日期等。例如：“mrs20201130”。 版本类型：默认选择普通版（不同版本提供的组件有所不同，请根据需要选择版本类型）。 集群版本：默认选择最新版本即可（不同版本集群提供的组件有所不同，请根据需要选择集群版本）。 组件选择：选择“实时分析集群”。 可用区：默认即可。 虚拟私有云：默认即可。如果没有虚拟私有云，请单击“查看虚拟私有云”进入虚拟私有云，创建一个新的虚拟私有云。 子网：默认即可。 CPU架构：默认即可。 集群节点：请根据自身需要选择集群节点规格数量等。MRS 3.x及之后版本集群Master节点规格不能小于64GB。 用户名：默认为“root/admin”，root用于远程登录ECS机器，admin用于登录集群管理页面。 密码：设置root用户和admin用户密码。 确认密码：再次输入设置的root用户和admin用户密码。 5.勾选“确认授权”开通通信安全授权，通信安全授权详情请参考授权安全通信。 6.单击“立即申请”。 当集群开启Kerberos认证时，需要确认是否需要开启Kerberos认证，若确认开启请单击“继续”，若无需开启Kerberos认证请单击“返回”关闭Kerberos认证后再创建集群。 7.单击“返回集群列表”，可以查看到集群创建的状态。单击“访问集群”，可以查看集群详情。 集群创建的状态过程请参见 集群概览章节查看集群状态 部分 集群列表参数中的“状态”参数说明。 集群创建需要时间，所创集群的初始状态为“启动中”，创建成功后状态更新为“运行中”，请您耐心等待。 MRS系统界面支持同一时间并发创建10个集群，且最多支持管理100个集群。

本文介绍DDoS高防（边缘云版）弹性防护相关问题。 弹性防护该如何选购？ 最大防护能力套餐内防护能力+弹性防护能力。防护能力需要考虑防护带宽峰值（单位：Gbps）及CC防护能力（单位：QPS）。 需要根据您自身业务希望防护的最高防护带宽来评估。弹性防护是按天按需进行收费，数据统计标准为每天的0:0024:00期间遭受的最大弹性峰值，具体计费表可参考计费模式。 例如：比如您希望防护100Gbps带宽、100000QPS的CC攻击；选购的基础套餐版本为DDOSM4，包含20Gbps防护带宽和80000QPS的CC防护能力，则弹性防护可选择购买80Gbps弹性防护，同时还能弹性支持320000QPS的CC防护能力。 若您遭受的攻击频繁超出基础套餐的防护带宽，建议升级为更大的套餐，若您仅是偶尔被攻击且攻击量不确定，可以购买弹性防护作为保险。 弹性防护如何出账？ 购买时选定弹性防护最高防护峰值，若攻击超出套餐防护规格，则超出部分按照弹性防护阶梯按日收费。 每日计费值以当天（0:00~24:00）攻击的最大攻击峰值为计费标准。 弹性防护当日最大DDoS攻击峰值套餐保底防护带宽，超出CC防护攻击值当日最大CC攻击峰值套餐内CC防护能力，再找到超出防护带宽、超出CC防护值在弹性防护计费列表中对应的计费区间，二者取其高，即可算出弹性防护超出费用。 例如：基础套餐购买的版本为DDOSM3，包含10Gbps、50000QPS，弹性防护购买20Gbps 、80000QPS。以下仅以带宽部分超出的情况为例： 若当前遭受攻击为10Gbps以内（如8Gbps）不进行额外收费； 若当前遭受攻击为超过10Gbps（如15Gbps），超出的部分为5Gbps，参考弹性防护计费标准，落在第一阶梯[010Gbps]以内，按照860元/天收费。 若当前遭受攻击为25Gbps，则超出的部分为15Gbps，落在第二阶梯[1020Gbps]以内，按照1760元/天收费。 若当前遭受攻击为35Gbps，则超出的部分为25Gbps，但最高弹性防护仅购买20Gbps，则不进行防护，直接解析回源，2小时后再恢复服务，不产生任何弹性防护费用。 弹性防护计费具体计费表可参考计费模式。

本文介绍余额不足的提示规则及提醒方式。 如果用户的账户余额不足，天翼云会有提示机制。 提示规则 在以下两种情况下会有提示： 第一种是账户余额低于用户设置的阈值，会有通知。为了避免余额不足的情况产生，可以通过在天翼云官网账户的可用额度进行预警设置，当用户可用额度小于设定阈值时，会 每天给联系人发送短信和邮件提醒，最多连续提醒3天 。 第二种是账户余额小于0时，会有短信/邮件通知。 操作步骤如下： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。 提醒方式 天翼云将以邮件和短信方式告知用户，请及时关注短信及邮件。

Demo部署 云容器引擎部署demo 1. 新增部署应用，进入云容器引擎控制台，选择目标集群，点击工作负载>无状态>创建Deployment。 2. 镜像添加，在“镜像”中“选择镜像”然后选择上传的demo镜像imagetest/{镜像名}。 3. 配置CPU/内存限制。 4. 配置环境。在“环境变量下”，新增变量添加环境配置 。 spring.cloud.nacos.discovery.serveraddr：nacos服务地址 spring.cloud.nacos.discovery.username：nacos用户名 spring.cloud.nacos.discovery.password：nacos密码 spring.cloud.nacos.discovery.namespace：nacos命名空间 为应用开启微服务治理能力 1. 在Deployment编辑页，点击“显示高级设置”，新增“Pod标签”：mseCubeMsAutoEnable:on。 标签名 标签值 mseCubeMsAutoEnable on 2. 在发布应用时，配置指定环境变量，可指定注入微服务治理中心的应用名、命名空间和标签等信息。 环境变量配置如下： 标签名 标签值 MSEAPPNAME 接入到微服务治理中心的应用名。 MSENAMESPACE（选填） 接入到微服务治理中心的命名空间，默认为：default。 3. 完成编辑后点击“提交”，发布到容器即可。 验证应用已经接入MSE 查看应用治理或者网关治理，确认您的应用已经接入到微服务治理中心。

本文介绍如何为应用挂载数据卷。 Docker镜像是由多个文件系统叠加而成，当启动一个容器的时候，Docker会加载只读镜像层并在上面添加一个读写层。当删除Docker容器并通过该镜像重新启动时，之前的更改将会丢失。为了能够保存数据以及共享容器间的数据，Docker提出了数据卷的概念。简单来说，数据卷就是目录或者文件，它可以绕过默认的联合文件系统，以正常的文件或者目录的形式存在于主机上。 在Docker中，数据卷只是磁盘或另一容器中的目录。其生命周期不受管理，且Docker现在提供的卷驱动程序功能非常有限。容器引擎CCE采用的是Kubernetes的数据卷的概念，Kubernetes数据卷具有完善的生命周期管理，支持多种类型的数据卷，同时实例可以使用任意数量的数据卷。 云容器引擎支持四类本地磁盘挂载类型：支持hostPath、emptyDir、configMap、secret。各类型说明如下： hostPath：指定主机中的文件或目录挂载到容器的某一路径中； EmptyDir：用于临时存储，生命周期与容器实例相同。容器实例消亡时，EmptyDir会被删除， 数据会永久丢失； ConfigMap：将配置文件中的key映射到容器中，可以用于挂载配置文件到指定容器目录； Secret：将密钥中的数据挂载到指定的容器路径。 操作步骤 1.在创建应用或升级应用流程中，进去容器设置步骤，点击【数据存储】，点击【添加本地磁盘】，进入本地磁盘添加页面； 1）卷类型选择hostPath，表示在容器上挂载宿主机上的文件或目录。通常用于“容器应用程序生成的日志文件需要永久保存”或者“需要访问宿主机上Docker引擎内部数据结构的容器应用”，具体参数说明如下所示： 参数 参数说明 存储类型 选择主机路径 主机路径 输入主机路径，如/tmp 挂载路径 数据卷挂载到容器上的路径 注意： 请不要挂载在系统目录下，如“/”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，应用创建失败 子路径 相对路径 权限 只读：只能读容器路径中的数据卷； 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失； 2）卷类型选择emptyDir：容器分配到节点时系统将自动创建卷，初始内容为空。在同一个Pod中所有容器可以读写emptyDir中的相同文件。当Pod从节点上移除时，empryDir中的数据也会永久删除。通常用于临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择临时路径 磁盘介质 不勾选：存储在硬盘上，适用于数据量大，读写效率要求低的场景 勾选：存储在内存中，适用于数据量少，读写效率要求高的场景 挂载路径 数据卷挂载到容器上的路径。 注意： 请不要挂载在系统目录下，如“/”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，应用创建失败 权限 只读：只能读容器路径中的数据卷 可写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失 3）卷类型选择configMap：平台提供应用代码和配置文件的分离，configMap用于处理应用配置参数。用户需要提前创建应用配置，操作步骤请参见创建配置项，临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择配置项 配置项 选择已经建立好的配置项 说明： configMap需要提前创建 挂载路径 数据卷挂载到容器上的路径 权限 只读：只能读容器路径中的数据卷 4）卷类型选择secret：用户需要提前创建私密凭据，操作步骤请参见创建私密凭据,临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择私密凭据 卷类型 选择已经创建好的私密凭据 说明： secret需要提前创建，请参见 创建私密凭据 挂载路径 数据卷挂载到容器上的路径 权限 只读：只能读容器路径中的数据卷 2.点击【添加容器挂载】，可新增挂载项，点击【删除】可删除之前的容器挂载配置； 3.点击【确定】，完成本地磁盘的添加。

删除 1. 选择要删除的分组规则； 2. 点击规则管理→删除； 3. 在打开的“删除确认”对话框中点击确定即可。 调整优先级 分组规则按从上至下的顺序进行匹配，调整分组规则优先级可以改分组规则的匹配结果。 1. 选择要调整优先级的分组规则； 2. 点击 调整优先级置顶/上移/下移/置底； 3. 返回虚拟机/终端列表。 在分组规则页面，点击 “返回虚拟机/终端列表”按钮即可返回虚拟机/终端页面。 主机添加成功后，虚拟机页面会显示主机中所有虚拟机信息。包括虚拟机名称、虚拟机状态、虚拟机操作系统、安全配置、所属主机池或项目、所属主机、实时防护状态和安全检测状态。 主机添加成功后，虚拟机页面会显示主机中所有虚拟机信息。包括虚拟机名称、虚拟机状态、虚拟机操作系统、安全配置、所属主机池或项目、所属主机、实时防护状态和安全检测状态。 以下是虚拟机列表中虚拟机状态和和实时防护状态说明： 虚拟机处于挂起或停止状态时，管理中心是无法获取其实时防护状态的，所以会显示为空。

参数 是否必填 参数类型 说明 示例 下级对象 instanceID 是 String 后端服务主机 id xxxxxxxxxx protocolPort 是 Integer 后端服务监听端口，165535 80 instanceType 是 String 后端服务主机类型，仅支持vm类型 vm weight 是 Integer 后端服务主机权重: 1 256 1 address 是 String 后端服务主机主网卡所在的 IP 192.168.0.1

本文对创建镜像会话的操作步骤进行说明。 使用场景 通过创建镜像会话，可以将网络流量从一个网卡复制到另一个网卡，从而实现实时的网络监控和分析。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成筛选条件的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“流量镜像镜像会话”选项。 5. 在镜像会话页面，点击右上角的“创建镜像会话”按钮。 6. 根据界面提示，配置名称、描述、VNI参数，然后单击“下一步”，具体配置参数如下： 参数 说明 名称 输入镜像会话的名称输入范围232位，支持大小写英文字母和数字，以英文字母开头。 描述 输入镜像会话的描述信息 VNI 指定一个VNI来区分不同的镜像流量，取值范围为1~16777215。支持自定义VNI的值。 1、对于地域资源池来说，同一用户同一资源池内不允许重复。 2、对于可用区资源池来说，同一用户同一资源池内允许重复。 7. 在关联筛选条件页面，列表展示所有筛选规则，选择一个筛选条件，然后单击“下一步”。 8. 在关联镜像源页面，列表展示所有网卡，选择需要镜像流量的网卡，然后单击“下一步”。 9. 在关联镜像目的页面，选择目标网卡作为镜像目的，单击“下一步”。 10. 对创建的信息进行确认，确认无误后点击“创建”。 11. 配置完成后，单击“返回”或静待几秒后即可回到镜像会话展示界面。 说明 同一个网卡不能即作为镜像源又作为镜像目的。

本章节主要介绍翼MapReduce组件Spark使用的常见问题。 问题说明 使用Spark SQL 访问Hive 表的一个表分区，但是运行速度却很慢。 分析样例： select x,y from test where x1 （其中x是test表的 Partition 字段） 原因分析 按照spark 源码逻辑，在解析逻辑计划时候回去调用 getPartitionsByFilter方法 去hive中只提取 x1 分区信息。 但是由于一些原因，导致getPartitionsByFilter 的谓词下推失败，从而去全表扫描所有test的分区信息，并返回。 例如，我们x字段是String类型，但是我们的SQL中不是 where x’1’ ，而是where x1 ，这就导致了谓词下推失败。 出现hive分区表谓词下推失败的情况，我们可以做如下处理： 我们需要去检查sql中的写法是否正确。 可以关闭SQL逻辑计划解析过程中的谓词下推逻辑。 处理步骤 关闭SQL逻辑计划解析过程中的谓词下推逻辑，具体是Spark SQL默认开启基于分区统计信息的执行计划优化，相当于自动执行Analyze Table（默认开启的设置方法为spark.sql.statistics.fallBackToHdfstrue，可通过配置为false关闭）。 开启后，SQL执行过程中会扫描表的分区统计信息，并作为执行计划中的代价估算，例如对于代价评估中识别的小表，会广播小表放在内存中广播到各个节点上，进行join操作，大大节省shuffle时间。 此开关对于Join场景有较大的性能优化，但是会带来 获取分区表信息RPC请求 的增加。 在SparkSQL中设置以下参数后再运行： set spark.sql.statistics.fallBackToHdfsfalse; 或者在启动之前使用conf设置这个值为false： conf spark.sql.statistics.fallBackToHdfsfalse

本章节主要介绍翼MapReduce服务退服和入服务角色实例。 操作场景 某个Core或Task节点出现问题时，可能导致整个集群状态显示为“异常”。MRS集群支持将数据存储在不同Core节点，用户可以在MRS Manager指定角色实例退服，使退服的角色实例不再提供服务。在排除故障后，可以将已退服的角色实例入服。 支持退服、入服的角色实例包括： HDFS的DataNode角色实例 Yarn的NodeManager角色实例 HBase的RegionServer角色实例 Kafka的Broker角色实例 限制： 当DataNode数量少于或等于HDFS的副本数时，不能执行退服操作。例如HDFS副本数为3时，则系统中少于4个DataNode，将无法执行退服，Manager在执行退服操作时会等待30分钟后报错并退出执行。 Kafka Broker数量少于或等于副本数时，不能执行退服。例如Kafka副本数为2时，则系统中少于3个节点，将无法执行退服，Manager执行退服操作时会失败并退出执行。 已经退服的角色实例，必须执行入服操作启动该实例，才能重新使用。 操作步骤 在MRS Manager，单击“服务管理”。 1.单击服务列表中相应服务。 2.单击“实例”页签。 3.勾选指定角色实例名称前的复选框。 4.选择“更多 > 退服”或“入服”执行相应的操作。 说明 实例退服操作未完成时在其他浏览器窗口重启集群中相应服务，可能导致MRS Manager提示停止退服，实例的“操作状态”显示为“已启动”。实际上后台已将该实例退服，请重新执行退服操作同步状态。

本章主要介绍翼MapReduce的查看备份恢复任务功能。 操作场景 系统管理员可以通过FusionInsight Manager查看已创建的备份恢复任务，以及任务的运行情况。 前提条件 登录FusionInsight Manager，请参见登录管理系统。 操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复”。 2.单击“备份管理”或“恢复管理”。 3.在任务列表中，查看“任务状态”与“任务进度”列获取上一次任务运行的结果。绿色表示运行成功，红色表示运行失败。 4.在任务列表指定任务的“操作”列，选择“更多 > 查询历史”或单击“查询历史”，打开备份恢复任务运行记录。 在弹出的窗口中，在指定一次执行记录前单击，打开此次任务运行的日志信息。 相关任务 启动备份恢复任务 在任务列表指定任务的“操作”列，选择“更多 > 即时备份”或单击“执行”，启动处于准备或失败状态的备份恢复任务。已成功执行过的恢复任务不能重新运行。 停止备份恢复任务 在任务列表指定任务的“操作”列，选择“更多 > 停止”或单击“停止”，停止处于运行状态的备份恢复任务。停止成功后，该任务的“任务状态”变为“已停止”。 删除备份恢复任务 在任务列表指定任务的“操作”列，选择“更多 > 删除”或单击“删除”，删除备份恢复任务。删除任务后备份的数据默认会保留。 挂起备份任务 在任务列表指定任务的“操作”列，选择“更多 > 挂起”，挂起备份任务。仅支持周期备份的任务，挂起后周期备份任务不再自动执行。挂起正在执行的备份任务时，该任务会停止运行。需要解锁时，选择“更多 > 重新执行”。

本章节主要介绍翼MapReduce的静态服务资源操作。 简介 集群分配给各个服务的资源是静态服务资源，这些服务包括Flume、HBase、HDFS和Yarn。每个服务的计算资源总量固定，不与其他服务共享，是静态的。租户通过独占或共享一个服务来获取这个服务运行时需要的资源。 静态服务池 静态服务池用来指定服务资源的配置。 在服务级别上，静态服务池对各服务可使用的资源进行统一管理： 限制服务使用的资源总量，支持配置Flume、HBase、HDFS和Yarn在部署节点可使用的CPU、I/O和内存总量。 实现服务级别的资源隔离，可将集群中的服务与其他服务隔离，使一个服务上的负载对其他服务产生的影响有限。 调度机制 静态服务资源支持基于时间的动态调度机制，可以在不同时间段为服务配置不同的资源量，优化客户业务运行环境，提高集群的效率。 在一个复杂的集群环境中，多种服务共享使用集群资源，但是各服务的资源使用周期可能会有比较大的区别。 例如以下业务场景，对于一个银行客户： 在白天HBase查询服务的业务多。 在晚上查询服务的业务少而Hive分析服务业务多。 如果只给每个服务设置固定的资源可能会导致： 白天查询服务的资源不够用，分析服务的资源空闲。 晚上分析服务的资源不够用，查询服务的资源空闲。 集群资源利用率不高，而且服务能力也打了折扣。因此： 白天多配置HBase服务资源。 晚上多配置Hive服务资源。 这种基于时间的动态调度机制可以更高效的利用资源，运行任务。