本小节介绍DDoS基础防护的应用场景。 DDoS 基础防护产品依托天翼云资源池网络，为公网 IP 分配免费的基础 DDoS 防护阈值，在阈值内提供监测和防护。当 IP 入向流量峰值超出防护阈值时，会影响该 IP 关联服务器与网络的稳定性，波及其他租户的业务，为维护多租户公平安全的使用环境，依据用户服务协议，系统将对该 IP 触发 DDoS 封堵。 应用场景如图所示，假设 IP1 和 IP2 带宽均为 100Mbps，基础 DDoS 防护阈值为 5Gbps。此时 IP1 遭受 4Gbps 的 DDoS 流量攻击，流量未超出防护阈值，因此 IP1 不会触发封禁；IP2 遭受 20Gbps 的超阈值 DDoS 攻击，系统会将 IP2 置为封堵状态。随后 DDoS 基础防护产品会向客户通知 IP2 的封堵信息，客户可在产品文档中清晰了解封堵的背景逻辑与防护初衷，同时参考文档建议及时部署对应的 DDoS 防护手段。

本节介绍公共算力服务操作中的常见问题。 为什么无法购买算力？ 不能购买的常见原因如下： 您的账号未通过实名认证，如需购买公共算力服务的产品，必须完成实名认证。如果是企业或组织，请联系您的客户经理完成认证。 您选购的实例规格占用的CPU、内存、加速卡或其他指标已超出了账号的配额，请通过 天翼云官网我的 工单管理新建工单 ，或联系您的客户经理提高配额。 购买算力时，资源已经售罄怎么办？ 如果在购买算力资源时遇到资源售罄，建议您根据需要调整需求： 更换资源池 更换算力规格 平台会视情况补充资源，如没有合适的算力可联系您的客户经理，或者提交客服工单，亦或直接拨打客服热线。 为什么我能查询到的算力比较少？ 算力规格和资源池未针对用户全网开放，如没有合适的算力请联系您的客户经理，或者提交客服工单，亦或直接拨打客服热线。

对本地上传的代码包进行统一管理。 1. 创建代码包：支持2种来源： 1. 导入至平台存储：上传模式，您可以将本地文件、压缩包上传至平台提供的共享ZOS空间内，该模式对模型文件有大小限制，单次上传文件最多支持5个，每个文件不超过400M，如果文件数量较多，建议使用压缩包上传； 2. 自有存储挂载（推荐使用）：挂载模式，需要您在天翼云官网同资源池下开通自有存储并完成委托授权等前置操作。选择自有存储挂载模式后，可创建的代码包大小不再受平台限制，您只需填写已有存储的路径，平台将在任务中自动挂载该路径。目前已支持自有ZOS、自有HPFS、自有其他存储类型，您可在创建版本时切换顶部集群查看该集群下支持的存储类型。 2. 上传完成后操作列点【在线编码】即可进入JupyterLab或VSCode进行编码。

如果您的日志节点性能不能满足您的业务需求,您可以手动修改已有日志节点的规格以满足业务需求。 注意 仅V5.1.9.6020.2541及以后版本的实例，支持该功能。 注意事项 变更规格后，将会重启日志节点。请选择业务低峰期，避免业务异常中断。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例并查看对应的日志节点（日志节点名称为xxxbinlog）。然后在日志节点的操作 列，选择更多 > 规格变更。 4. 在日志节点规格变更 页面的变更后配置区域，配置日志节点规格。 注意 暂不支持降低日志节点规格。 5. 在页面右下角阅读并勾选协议，然后单击提交。

本文介绍如何申请或者释放SQL Server实例的外网地址。 SQL Server实例创建成功后，默认未绑定弹性IP，不能使用使用公网访问功能。SQL Server支持用户绑定弹性IP，通过公共网络访问数据库实例。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，然后在【操作】列选择【更多 > 绑定/解绑弹性IP】。 4. 在绑定/解绑弹性IP页面，单击右上角【查看弹性公网IP】按钮，进入到弹性IP页面。 5. 如果未申请外网地址，可以单击右上角【申请弹性IP】按钮开通外网地址。 6. 如果已申请外网地址，可以选择释放外网地址。 注意 如果释放了外网地址，将无法通过原外网连接地址连接SQL Server实例。

SQL Server请求分析支持统计并分析数据库中的SQL语句，帮助您快速定位TOP SQL。 前提条件 仅限来源为天翼云RDS的SQL Server数据库。 已录入DMS中，且实例状态正常的数据库实例。 操作步骤 1. 登录数据管理服务。 2. 在左侧导航栏中，单击 SQL治理 > SQL审计，在上方切换到审计日志统计分析界面。 3. 在左上方选择SQL Server数据库，进入SQL Server审计日志统计分析界面。 注意事项 SQL记录为业务实例节点内存中的累计数据，节点重启后数据会清空，并重新计数。 功能介绍 请求分析支持SQL模板执行趋势和SQL模板列表查看。 SQL模板执行趋势查看 选择需要查看的节点，查看自节点启动以来，不同维度的TOP 10 SQL模板趋势。 SQL模板列表查看 选择需要查看的节点，查看自节点启动以来，SQL模板的累计性能数据，支持按不同维度进行SQL模板排序、SQL模板关键字搜索、及SQL模板列表下载。

修改自定义密码策略 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击账号管理，进入账号管理页面。 5. 单击自定义密码策略。 6. 根据需要修改弹出的参数列表中的参数，然后单击提交。 参数名 说明 loosevalidatepasswordpolicy 密码强度检测等级。 loosevalidatepasswordlength 密码最小长度。 loosevalidatepasswordmixedcasecount 密码中需包含的大小写字母的个数。 loosevalidatepasswordnumbercount 密码中需包含的数字的个数。 loosevalidatepasswordspecialcharcount 密码中需包含的特殊字符的个数。

本文介绍使用CDN和媒体存储后访问文件被强制下载的可能原因及解决方案。 问题描述 使用天翼云CDN加速产品加速媒体存储资源，在通过CDN访问媒体存储资源时，对应文件被强制下载。 问题原因 由于媒体存储在访问Bucket域名时，如果未设置对象属性，媒体存储会根据文件后缀自动添加合适的对象属性，如果文件无后缀则会给文件添加ContentType：application/octetstream和ContentDisposition：attachment响应头，导致文件被强制下载。 解决方案 需要修改媒体存储中资源的对象属性，操作步骤如下： 1. 登录媒体存储控制台。 2. 单击左侧导航栏【对象存储】【Bucket列表】。 3. 在【Bucket列表】页面，单击目标Bucket。 4. 单击【文件列表】标签页，并单击【上传文件】按钮，针对上传文件进行设置对象属性。 5. 单击【点击上传】，选择需要上传的文件，单击【开始上传】。

本文介绍如何设置静态资源在服务器端的缓存时间。 背景说明 使用天翼云CDN加速以后，网站内容资源将缓存在CDN边缘节点上。本文主要介绍如何设置静态资源在服务器端的缓存时间。 详细信息 域名使用CDN加速以后，其在CDN节点上的缓存时间主要取决于CDN和源站两个维度的设置。 其中，CDN部分的缓存时间设置规则，详情请见：缓存过期时间设置。 源站部分的缓存时间设置规则，详情详见： 如何设置Nginx缓存策略。 如何设置Apache缓存策略。 CDN控制台上如果未做任何缓存时间设置，则遵循源站缓存头进行缓存，包括Pragama:nocache、CacheControl、Expires响应头；其优先级从高到底分别如下：Pragama:nocache、CacheControl:nocache/private/nostore > CacheContro:maxagen （n>0）>Expires。如源站无任何上述缓存头设置，则在CDN节点上不缓存。

支持的功能 说明 数据管理 支持管理DWS、DLI、MRS Hive等多种数据仓库。 支持可视化和DDL方式管理数据库表。 脚本开发 提供在线脚本编辑器，支持多人协作进行SQL、Shell、Python脚本在线代码开发和调测。 支持使用变量和函数。 作业开发 提供图形化设计器，支持拖拉拽方式快速构建数据处理工作流。 预设数据集成、SQL、Shell等多种任务类型，通过任务间依赖完成复杂数据分析处理。 支持导入和导出作业。 资源管理 支持统一管理在脚本开发和作业开发使用到的file、jar、archive类型的资源。 作业调度 支持单次调度、周期调度和事件驱动调度，周期调度支持分钟、小时、天、周、月多种调度周期。 运维监控 支持对作业进行运行、暂停、恢复、终止等多种操作。 支持查看作业和其内各任务节点的运行详情。 支持配置多种方式报警，作业和任务发生错误时可及时通知相关人，保证业务正常运行。

本章节主要介绍数据湖探索（DLI）的购买流程。 1.注册天翼云官网账号，登录后进入官网首页； 2.在官网首页，单击左上角“产品”，【大数据>数据湖探索】； 3.在【数据湖探索】界面，单击【立即开通】； 4.在数据湖探索队列购买页面选择CPU架构、队列规格并填写相关配置信息，勾选服务协议，单击【立即购买】； 5.按页面提示，单击【提交】即完成队列创建。队列创建完成后，您可在产品控制台“队列管理”页面看到您创建的队列。

此小节介绍数据库安全查看数据库的会话分布情况。 添加的数据库连接到数据库安全审计实例后，您可以查看该数据库的会话分布情况。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入会话界面，操作步骤如下图所示。 4. 查看会话分布表，在“选择数据库”下拉列表框中，选择“全部数据库”或指定的数据库，可以查看实例中所有的数据库或指定的某个数据库的会话信息。选择审计的时间（“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”）；或者单击按钮，选择开始时间和结束时间，查看指定的时间段的会话信息。

本小节介绍渗透测试计费类常见问题。 渗透测试支持哪些计费模式？ 渗透测试资费标准价格如下： 描述 规格 单价 小型 小型系统渗透测试：测试对象功能点1~10个; 10,000元/次 中型 中型系统渗透测试：测试对象功能点1160个； 40,000元/次 大型 大型系统渗透测试：测试对象功能点61120个； 70,000元/次 如何购买渗透测试服务？ 客户在天翼云官网注册账户后，点击“产品”，搜索“渗透测试”，点击“立即订购”，按自己需求购买即可。 或者您可以直接点击渗透测试订购连接，进行购买，购买前请评估您所需规格，详细信息请查阅渗透测试价格说明。 渗透测试规格可以变更吗？ 渗透测试下单后不允许变更规格。如当前订购规格不符合您的预期，请您联系客户经理，沟通详细方案。 更多渗透测试规格说明：产品规格。

本小节介绍漏洞扫描产品优势。 扫描全面 天翼云漏洞扫描服务是一个具有高效、报告详尽、漏洞准确性强等特性的漏洞扫描服务产品，拥有超过 50,000 个漏洞的漏洞库和插件，每天自动更新漏洞库插件，可以更加全面的覆盖最新漏洞，准确发现扫描目标系统漏洞风险。 专业报告 结合资深安全专家、最新业界安全形势、大数据分析、威胁情报分析等输出有深度、有广度的专业漏洞扫描评估报告，并提出切实可行的安全整改建议，有利于用户全面掌握漏洞风险态势，合理高效安排加固工作。 快速发现 能够准确、快速的发现主机存在的漏洞风险，对发现的漏洞进行分析，及时提供专业含切实可行整改建议的扫描报告。 准确性强 详尽描述系统存在的漏洞种类、安全漏洞数量，危害级别等。描述漏洞时提供可行解决方案。 插件扩展性强、功能强大，可以对多种安全漏洞进行漏洞发现，使用多个扫描工具交叉扫描，降低误报，提高漏洞准确性。

本章介绍天翼云关系型数据库如何修改实例备注 操作场景 关系型数据库服务实例名称支持添加备注，以方便用户备注分类。 操作步骤 步骤1：登录管理控制台。 步骤2：单击管理控制台左上角的，选择区域和项目。 步骤3：选择“数据库> 关系型数据库”。进入关系型数据库信息页面。 步骤4：在“实例管理”页面，单击目标实例的“实例备注”后的，编辑实例备注，单击“确认”，即可修改实例备注。您也可以单击目标实例名称，进入实例的“基本信息”页面，在“数据库信息”模块“实例备注”处，单击，修改实例备注。 说明 实例备注长度最大64个字符，由中文、字母、数字、中划线、下划线或英文句点组成。 单击，提交修改。 单击，取消修改。 在实例的“基本信息”页面，查看修改结果。

操作步骤 步骤 1 在“实时同步管理”页面，单击“创建同步任务”。 步骤 2 在“同步实例”页面，填选任务名称、描述、同步实例信息，单击“开始创建”。 任务信息 表任务和描述 参数 描述 任务名称 任务名称在4到50位之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 同步实例信息 表 同步实例信息 参数 描述 数据流动方向 选择“入云”。 源数据库引擎 选择“Oracle”。 目标数据库引擎 选择“DWS”。 网络类型 此处以“公网网络”为示例。目前支持可选公网网络、VPC网络和VPN、专线网络。 目标数据库实例 可用的DWS实例。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 同步模式 全量+增量该模式为数据持续性实时同步，通过全量过程完成目标端数据库的初始化后，增量同步阶段通过解析日志等技术，将源端和目标端数据保持数据持续一致。 说明 选择“全量+增量”同步模式，增量同步可以在全量同步完成的基础上实现数据的持续同步，无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 全量该模式为数据库一次性同步，适用于可中断业务的数据库同步场景，全量同步将用户选择的数据库对象和数据一次性同步至目标端数据库。 标签 表标签 参数 描述 标签 可选配置，对同步任务的标识。使用标签可方便管理您的任务。每个任务最多支持10个标签配额。 任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见标签管理。 说明 对于创建失败的任务，DRS默认保留3天，超过3天将会自动结束任务。 步骤 3 在“源库及目标库”页面，同步实例创建成功后，填选源库信息和目标库信息，单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 表源库信息 参数 描述 IP地址或域名 源数据库的IP地址或域名。说明对于RAC集群，建议使用SCAN IP接入，提高访问性能。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库服务名 数据库服务名（Service Name/SID），客户端可以通过其连接到Oracle，具体查询方法请参照界面提示。 PDB名称 PDB同步仅在Oracle12c及以后的版本支持，该功能为选填项，当需要迁移PDB中的表时开启。PDB功能开启后，只能迁移该PDB中的表，并且需要提供CDB的service name/sid及用户名和密码，不需要PDB的用户名和密码。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。 说明 源数据库的数据库用户名和密码，会被系统加密暂存，直至删除该任务后自动清除。 表目标库信息 参数 描述 数据库实例名称 默认为创建同步任务时选择的DWS实例，不可进行修改。 数据库用户名 目标数据库对应的数据库用户名。 数据库密码 数据库用户名和密码将被系统加密暂存，直至该任务删除后清除。 步骤 4 在“设置同步”页面，选择同步对象类型和同步对象。单击“下一步”。、 表同步模式和对象 参数 描述 流速模式 流速模式支持限速和不限速，默认为不限速。 l 限速 自定义的最大同步速度，全量同步过程中的同步速度将不会超过该速度。 当流速模式选择了“限速”时，你需要通过流速设置来定时控制同步速度。流速设置通常包括限速时间段和流速大小的设置。默认的限速时间段为“全天限流”，您也可以根据业务需求选择“时段限流”。自定义的时段限流支持最多设置3个定时任务，每个定时任务之间不能存在交叉的时间段，未设定在限速时间段的时间默认为不限速。 流速的大小需要根据业务场景来设置，不能超过9999MB/s。 l 不限速 对同步速度不进行限制，通常会最大化使用源数据库的出口带宽。该流速模式同时会对源数据库造成读消耗，消耗取决于源数据库的出口带宽。比如源数据库的出口带宽为100MB/s，假设高速模式使用了80%带宽，则同步对源数据库将造成80MB/s的读操作IO消耗。 说明 l 限速模式只对全量阶段生效，增量阶段不生效。 l 您也可以在创建任务后修改流速模式。具体方法请参见修改流速模式。 同步对象类型 可选同步表结构、同步数据、同步索引，根据实际需求进行选择要同步内容。 l 同步数据为必选项。 l 选择同步表结构的时候目标库不能有同名的表。 l 不选同步表结构的时候目标库必须有相应的表，且要保证表结构与所选表结构相同。 增量阶段冲突策略 该冲突策略特指增量同步中的冲突处理策略，全量阶段的冲突默认忽略。冲突策略目前支持如下形式： l 忽略 当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），将跳过冲突数据，继续进行后续同步。 l 报错 当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），同步任务将失败并立即中止。 l 覆盖 当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），将覆盖原来的冲突数据。 同步对象 左侧框是源数据库对象，右侧框是已经选择的对象，可选表级同步，您可以根据业务场景选择对应的数据进行同步。 l 在同步对象右侧已选对象框中，可以使用对象名映射功能进行源数据库和目标数据库中的同步对象映射，具体操作可参考对象名映射。 说明 l 选择对象的时候支持对展开的库 进行搜索，以便您快速选择需要的数据库对象。 l 如果有切换源数据库的操作或源库同步对象变化的情况，请在选择同步对象前单击右上角的，以确保待选择的对象为最新源数据库对象。 l 当对象名称包含空格时，名称前后的空格不显示，中间如有多个空格只显示一个空格。 l 选择的同步对象名称中不能包含空格。 步骤 5 在“数据加工”页面，可对需要加工的表对象进行数据过滤或添加附加列，检查无误后，单击“下一步”。 如果需要设置数据过滤，选择“数据过滤”，设置相关过滤规则。 如果需要设置添加附加列，选择“附加列”，单击“操作”列的“添加”，选填需要添加的列名和操作类型信息。 相关操作可参考数据加工。 步骤 6 在“预检查”页面，进行同步任务预校验，校验是否可进行。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行任务预校验。 预检查完成后，且所有检查项结果均通过时，单击“下一步”。 说明 所有检查项结果均通过时，若存在请确认项，需要阅读并确认详情后才可以继续执行下一步操作。 步骤 7 在“任务确认”页面，设置同步任务的启动时间，并确认同步任务信息无误后，单击“启动任务”，提交同步任务。 表 任务启动设置 参数 描述 启动时间 同步任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”。 说明 预计同步任务启动后，会对源数据库和目标数据库的性能产生影响，建议选择业务低峰期，合理设置同步任务的启动时间。 步骤 8 同步任务提交后，您可在“管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见任务状态说明。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。 对于未启动、状态为配置中的任务，DRS默认保留3天，超过3天DRS会自动删除后台资源，当前任务状态不变。当用户再次配置时，DRS会重新申请资源。

本节介绍了专属云（存储独享型）的退订规则。 本产品不支持无理由退款、退订。

本章节介绍如何在服务网格中使用本地限流 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎集群实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 我们以bookinfo应用为例演示本地限流能力，首先在default命名空间部署bookinfo应用。 然后在default命名空间部署针对productpage服务的限流策略，token数量最大为5，每2秒重新填充5个token： apiVersion: istio.ctyun.cn/v1beta1 kind: LocalRateLimiter metadata: name: productpagelimit spec: workloadSelector: 匹配工作负载 labels: app: productpage context: SIDECARINBOUND statPrefix: httplocalratelimiter configs: name: productpage routeConfig: vhost: name: 'inboundhttp9080' rateLimitConfig: tokenBucket: maxTokens: 5 tokensPerFill: 5 fillInterval: 2s filterEnabled: runtimeKey: localratelimitenabled defaultValue: numerator: 100 denominator: HUNDRED filterEnforced: runtimeKey: localratelimitenforced defaultValue: numerator: 100 denominator: HUNDRED responseHeadersToAdd: appendAction: OVERWRITEIFEXISTSORADD header: key: xlocalratelimit value: 'true' 我们使用gostresstesting工具验证效果，如下图所示，结果状态码中有200和429（请求被限流）；200的个数每2秒增加5个，符合我们设定的2秒重新填充5个token的设定；429状态码在持续增加。 单独请求productpage服务可以看到请求被限流的情况：

本章介绍函数工作流如何配置网络。 访问公网 函数创建成功后，默认具有公网访问权限，即函数可直接访问公网上的服务。函数访问公网上的服务需要固定公网出口IP的场景（例如被访问服务需要白名单验证），可以通过开启VPC，在VPC内配置NAT网关绑定EIP的方式实现。 访问VPC 函数支持用户创建虚拟私有云（VPC）并访问自己VPC内的资源。VPC开启后，函数不再具有默认的公网访问权限，如果需要访问公网，可通过在VPC内配置NAT网关绑定EIP的方式实现。 相关权限 配置委托权限请参见配置委托权限。 操作步骤 1. 登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2. 选择待配置的函数，单击进入函数详情页。 3. 选择“设置 > VPC”，开启VPC，配置VPC和子网 配置VPC 4. 配置域名（可选）：如果函数需要通过内网域名访问VPC内的服务，可配置和VPC绑定的域名，域名可以配置多个。 5. 开启IPv6（可选）。 1. 创建虚拟私有云，确保默认子网配置中支持开启IPv6，具体详情请参见《虚拟私有云服务》的“开启/关闭虚拟私有云IPv6”章节。 2. 在步骤3的“VPC”和“子网”中选择已开启IPv6的VPC和子网。 6. 配置完成后单击“保存”。 配置固定公网IP 函数需要在VPC内访问公网或者需要固定公网IP的场景，可以选择给VPC添加NAT网关并绑定EIP的方式。

智算容器：云容器引擎与DeepSeek融合实践

云容灾用户使用指南（公测）.pdf

智算容器：云容器引擎与DeepSeek融合实践

本节介绍了配置项的用户指南。 操作场景 配置项（ConfigMap ）是一种 API 对象，用来将非机密性的数据保存到键值对中。使用时， Pods 可以将其用作环境变量、命令行参数或者存储卷中的配置文件。 配置项允许您将环境配置信息和容器镜像解耦，便于应用配置的修改。 前提条件 已创建云容器引擎集群，具体操作请详见：订购集群 若已有云容器引擎集群，无需重复操作。 操作步骤 创建配置项： 方式1：通过界面创建配置项。 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要创建配置项的集群，进入集群管理页面。 3、在集群管理页面导航栏中选择配置管理 > 配置项，进入配置项信息页面。 4、点击新建，进入新建配置项页面。 5、根据实际需求，设置参数。参数说明可参考下表 参数 参数说明 名称 新建的配置名称，同一个命名空间里命名必须唯一。 标签 标签（Labels）是附加到 Kubernetes 对象（比如 Pod、Service、ConfigMap等）上的键值对。标签定义了这些对象的可识别属性，用来对它们进行管理和选择。 1. 点击标签添加一个标签。 2. 输入标签名（key）和标签值（value）。 注解 注解（Annotation）是附加到Kubernetes 对象（比如 Pod、Service、ConfigMap等）上的键值对注解定义对象的非标识属性。 1. 点击注解添加一个注解。 2. 输入注解名（key）和注解值（value）。 内容 配置项定义的配置数据，可以挂在到容器中使用，或用来存储配置数据 。 1. 输入变量名和变量值。 2. 也可以导入文件作为配置项（文件名即变量名，文件内容即变量值）。 6、点击提交，完成创建。 方式2：使用Yaml创建配置项。 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要创建配置项的集群，进入集群管理页面。 3、在集群管理页面导航栏中选择配置管理 > 配置项，进入配置项信息页面。 4、点击新建YAML，进入配置项/新增Yaml页面。 5、Yaml编辑窗口提供一个默认的配置项Yaml模板，可参考模板创建需要的配置项。

本节主要介绍CCM私有证书配置。 操作场景 GeminiDB Influx支持使用云证书管理服务（CCM）创建的证书进行数据库实例连接，既支持创建实例的时候选择证书，也支持实例创建成功后重置证书。 本章节主要介绍如下两种方式将CCM私有证书应用到数据库实例中： a.创建实例时选择证书功能。 b.实例创建成功后使用重置证书功能。 使用须知 实例状态为“正常”。 前提条件 已创建CCM私有证书。若未创建CCM私有证书，请参见《云证书管理服务用户指南》中“申请私有证书”章节先创建证书。 注意 创建证书时需要将待连接的数据库IP信息添加到证书中，即“配置证书的AltName信息”。若不配置该信息，则会导致数据库连接失败。 若您在创建实例时选择证书功能，此处“证书的AltName信息”只能添加弹性公网IP，因为此时待连接的数据库实例尚未创建成功，无对应的内网IP地址生成，故无法将内网IP地址添加到证书的AltName信息处。 若您是在创建实例成功后，使用重置证书的功能来切换证书信息，此处“证书的AltName信息”可以添加数据库实例所有节点的内网IP地址或者弹性公网IP地址。 图 创建CCM私有证书 场景一：创建实例时配置私有证书 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在“实例管理”页面，单击“购买数据库实例”，进入“服务选型”页面。 4. 在“服务选型”页面，填写并选择实例相关信息后，单击“立即购买”。 SSL安全连接选择“启用”，证书信息选择已创建好的CCM私有证书。若无可用证书，请先参见上文前提条件中的方法创建证书。 图 选择证书 其余参数配置请参见3.2.1 购买集群实例章节进行设置即可。 5. 待实例创建成功后，单击实例名称，进入“基本信息”页面，在“数据库信息”区域的“证书”处，可以查看到证书状态为“正常”。 图 查看证书状态 6. 下载证书。 单击“证书”处的“下载”按钮，跳转至“云证书管理服务”页面，选择“Nginx”页签，单击“下载证书”。 图 下载证书

本章节介绍云主机网络延迟故障演练。 背景介绍 网络延迟是分布式系统中最常见的微故障之一。跨数据中心的调用、网络拥塞、路由路径过长或中间设备处理耗时，都可能导致服务间的通信延迟增加。这会直接影响应用的响应时间，降低用户体验，甚至在级联调用中引发雪崩效应。本演练模拟可控的网络延迟，帮助您检验系统的超时设置、熔断机制的有效性，并发现潜在的性能瓶颈。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过增加TC和Netem规则模拟主机内网络延迟。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络延迟动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 延迟时间(毫秒)：为每个数据包增加的固定延迟时长。 延迟浮动值(毫秒)：在固定延迟时长上的随机浮动范围。最终延迟为延迟时间 ± 延迟浮动值，用于模拟更真实的网络抖动。

本章节介绍云主机网络丢包故障演练。 背景介绍 网络拥塞、物理链路故障、设备缓冲区溢出或配置错误，都可能导致数据包在传输过程中被丢弃。对于 TCP 连接，丢包会触发超时重传机制，导致通信延迟增加和有效吞吐量下降；对于 UDP 连接，丢包则意味着数据的永久丢失。本演练模拟网络丢包场景，帮助您评估应用的容错能力、检验超时和重传策略的有效性，并验证监控告警的灵敏度。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过增加TC和Netem规则模拟主机内网络丢包。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络丢包动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 丢包百分比：数据包被丢弃的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被丢弃。

本文主要介绍如何查看VPC流日志。 操作场景 查看流日志记录详情。 捕获窗口大约为10分钟，即每10分钟输出一次流日志记录。所以流日志创建完成后，您需要等待大约10分钟，才能查看流日志记录详情。 说明 弹性云服务器关机状态下，不显示流日志记录。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏，选择“VPC流日志”。 4. 找到需要查看的流日志，单击操作列的“查看日志”，在云日志服务中查看流日志记录。 流日志格式： 示例1：在捕获窗口中正常记录数据的流日志记录 1 5f67944957444bd6bb4fe3b367de8f3d 1d515d181b3647dca983bd6512aed4bd 192.168.0.154 192.168.3.25 38929 53 17 1 96 1548752136 1548752736 ACCEPT OK VPC流日志版本为1，在2019年01月29日16:55:3617:05:36这10分钟内，网卡（1d515d181b3647dca983bd6512aed4bd）允许流过的流量信息，由源端IP地址和端口（192.168.0.154，38929）通过UDP协议向目的端IP地址和端口（192.168.3.25，53）传输了1个数据包，所有数据包的大小为96 byte。 示例2：在捕获窗口中未记录数据的流日志记录 1 5f67944957444bd6bb4fe3b367de8f3d 1d515d181b3647dca983bd6512aed4bd 1431280876 1431280934 NODATA 示例3：在捕获窗口中跳过了数据的流日志记录 1 5f67944957444bd6bb4fe3b367de8f3d 1d515d181b3647dca983bd6512aed4bd 1431280876 1431280934 SKIPDATA 字段含义如下表所示： 表 日志字段说明 字段 说明 示例 ::: version VPC流日志版本。 1 projectid 项目ID。 5f67944957444bd6bb4fe3b367de8f3d interfaceid 为其记录流量的网卡的ID。 1d515d181b3647dca983bd6512aed4bd srcaddr 源地址。 192.168.0.154 dstaddr 目的地址。 192.168.3.25 srcport 源端口。 38929 dstport 目标端口。 53 protocol IANA协议编号。 17 packets 数据包的数量。 1 bytes 数据包的大小。 96 start 捕获窗口启动的时间，采用Unix秒的格式。 1548752136 end 捕获窗口结束的时间，采用Unix秒的格式。 1548752736 action 与流量关联的操作： ACCEPT：安全组或网络ACL允许记录的流量。 REJECT：安全组或者网络ACL拒绝记录的流量。 ACCEPT logstatus 流日志的日志记录状态： OK：数据正常记录到选定目标。 NODATA：捕获窗口中没有传入或传出符合“采集类型”的网卡的网络流量。 SKIPDATA：捕获窗口中跳过了一些流日志记录。这可能是由于内部容量限制或内部错误。 示例： 如果您创建VPC流日志时设置“采集类型”为“接受”，当有接受流量时，“logstatus”将显示为“OK”。当没有接受的流量时，不管是否有拒绝的流量，“logstatus”都将显示为“NODATA”。当有一些接受流量异常跳过时，“logstatus”将显示为“SKIPDATA”。 OK 同时，您也可以在云日志服务的日志主题详情页面，在搜索框中通过关键字搜索日志。

本节主要介绍访问控制的功能特性、应用场景、涉及的基本概念（根用户、IAM用户、用户组、MFA、授权、策略）及服务限制。 用户身份管理和访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 您只需为您在天翼云账户中的资源付费，无需为IAM单独付费。 注意 OOS的IAM能力和天翼云官网的IAM能力不互通。 功能特性 只要您拥有一个天翼云账号，即可拥有IAM功能，天翼云账号管理员可以： 创建、管理子用户账号。 控制子用户账号内资源具有的操作权限。 按需为用户分配不同权限，从而避免与其他用户共享资源使用、访问密钥的使用等，降低账号的信息安全风险。 多重身份认证：通过多因子操作认证（MFA）,在进行IAM相关操作时，可以使用MFA，为操作增加一份安全保障。 应用场景 用户管理与分权 企业中有不同的员工，各自职责不同，权限不同。有的员工需要进行上传下载文件的操作，有的员工只需要查看统计信息，有的员工只需要查看日志信息。通过IAM，可以为不同的员工分配不同的操作权限。 基本概念 根用户 ：用户首次创建CTYUN账户时，最初使用的是一个对账户中所有服务和资源有完全访问权限的登录身份，此身份称为根用户。 IAM用户： IAM用户是OOS中的一个实体，该实体代表使用它与OOS进行交互的人员或应用程序，由CTYUN账户在OOS中创建的用户，也称为子用户。默认情况下，全新的IAM用户没有执行任何操作的权限，新用户无权执行任何OOS操作或访问任何OOS资源。 用户组 ：用户组是用户的集合，IAM可以将IAM用户添加到对应的用户组，通过对用户组进行授权管理IAM用户，用户组的权限会影响用户组内的IAM用户。建议具备相同权限的IAM用户添加到同一用户组，方便管理。同一个IAM用户可以同时加入多个用户组。 访问密钥（AK/SK） OOS通过访问密钥（AK/SK）认证方式进行认证鉴权，即使用AccessKeyID（AK）/SecretAccessKey（SK）加密的方法来验证某个请求发送者身份。 访问密钥包含两部分：访问密钥 ID（AccessKeyID）和秘密访问密钥（Secret Access Key）。必须同时使用访问密钥 ID 和秘密访问密钥对请求执行身份验证。 OOS支持使用永久AK/SK鉴权，也支持通过临时AK/SK和securitytoken进行认证鉴权，通过使用临时AK，SK和securitytoken，可以为第三方应用或IAM用户颁发一个自定义时效和权限的访问凭证，降低了帐号泄露带来的安全风险。 MFA ：多因子认证（MultiFactor Authentication，简称MFA）是一种简单安全的二次认证方式，为用户增加了一层安全保护。仅子用户支持MFA。 授权 ：通过给用户组和用户添加策略，用户就能获得策略中定义的权限，这一过程称为授权。 策略 ：策略是以JSON格式描述权限信息的集合，可以精确地描述被授权的资源集、操作集以及授权条件。支持系统策略和自定义策略： 系统策略：OOS预先创建好的策略，用户可以根据自身需求，直接引用。对于系统策略，用户只能使用，不能修改。 自定义策略：用户自己创建的策略，用户可以对该类型策略进行修改和删除。

本文介绍SSL VPN连接相关问题。 如何理解SSL VPN连接中的本端子网和客户端地址池？ SSL VPN是一种通过SSL协议实现远程访问内部网络的方式。 在建立SSL VPN服务端时，本端子网是指企业内部的网络，而客户端地址池则是用于分配给客户端虚拟网卡的IP地址集合。 从天翼云的角度来看，本端子网一般指VPC网络，VPC是Virtual Private Cloud的缩写，它指用户在云平台上虚拟化的私有网络。而客户端地址池是用于分配给客户端虚拟网卡的IP地址集合。当用户通过SSL VPN连接到企业内网时，客户端虚拟网卡会获得一个属于该地址池的IP地址，以便可以在企业内部网络中访问相应的资源。通过正确配置本端子网和客户端地址池，可以确保SSL VPN连接的稳定性和安全性。 客户端连接失败怎么办？ 产生当前问题的可能原因及解决方案如下表。 分类 原因 解决方案 配置错误 SSL客户端配置错误。 请排查客户端VPN软件的配置是否与服务端配置一致。 SSL客户端证书到期 SSL客户端证书过期或无效。 1. 请排查SSL客户端证书的有效性。SSL客户端证书默认有效期为10年。2. 请删除现有的SSL客户端证书及所有配置，然后重新创建、下载、安装SSL客户端证书。开启和关闭双因子认证功能、修改SSL服务端的配置，均需要重新下载、安装SSL客户端证书。 客户端连接数超限 当前SSL服务端下的客户端连接数超限。 在VPN网关实例下查看已连接的客户端数量，确认在线客户端数量是否超限。 IP地址问题 VPC下的IP地址与客户端的IP地址冲突。 请根据实际情况，修改SSL服务端的本端网段（VPC或云间高速的网段）或者客户端网段以确保两侧IP地址不冲突。 IP地址问题 SSL服务端的客户端网段配置的太小，导致客户端无法被分配IP地址。 请确保您指定的客户端网段所包含的IP地址数量大于SSL VPN客户端数量。 VPN软件问题 客户端VPN软件冲突。 1.如果您的客户端上安装了多个VPN客户端软件，建议仅使用一个VPN客户端软件建立SSL VPN连接。

本节为您介绍云迁移服务CMS异构评估，组件评估报表整合创建任务表组相关内容。 1. 云迁移服务CMS提供报表组的创建功能，您可以在异构评估 [ 组件评估报表整合 ] 界面,点击【创建报表组】按钮，跳转至 [ 基本信息填写 ] 界面。如图所示。 2. 进入 [ 基本信息填写 ] 界面,填写信息，点击【下一步】按钮。如图所示。 报表组名称 用于区分任务组对象、用途等。 源端类型 区分源端差异，分为阿里云、IDC。 目标区域 同一报表组任务下所有资源为同一目标区域。 3. 进人 [ 资源选取 ] 界面，选择需要的任务，点击【下一步】按钮，如图所示。 4. 进入 [ 资源确认 ] 界面，确认已选资源，点击【资源确认】按钮。如图所示。 5. 点击【完成】按钮，完成报告组创建。[组件评估报表整合] 界面列表会自动更新创建任务信息，如图所示。

本文介绍爬虫陷阱功能的相关配置。 功能介绍 即在页面里面嵌入不可见链接，正常浏览器不可见；当访问到达设定的拦截深度时，认为是爬虫行为并支持设置防护策略。 注意 目前控制台尚未开放爬虫陷阱功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见Bot管理计费。 配置介绍 支持最多配置5个条件，多个条件为或关系。 配置项 说明 防护开关 支持拦截、告警、关闭 处理动作持续时间 即触发规则后的惩罚时间 统计粒度 IP/IP+UA/静态cookie 防护范围 支持配置您要防护的请求范围，支持匹配字段为PATH、REQUESTURI、URI 相关操作 设置Bot策略白名单 设置爬虫情报规则 设置IP情报规则

支持针对已维护的IDC IP情报库，从IDC出口厂商的维度进行IP封禁。 功能介绍 支持针对已维护的IDC IP情报库，从IDC出口厂商的维度进行IP封禁。 注意 目前控制台尚未开放IDC IP防护功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明。 设置IDC IP防护规则 支持通过IDC出口厂商维度针对IDC IP进行监控或拦截的操作，支持配置多条防护规则 配置项 说明 IDC厂商 厂商类型 IDC网络描述 描述IDC IP的来源相关信息 处理动作 支持配置拦截或监控 拦截：对IP访问请求进行拦截处理 监控：不对请求拦截，但是会生成攻击日志 相关操作 设置爬虫情报规则 设置Bot防护策略