本文向您介绍使用企业交换机构建IDC和云上的大二层网络的最佳实践概述。 应用场景 某公司希望将云下IDC的部分业务迁移上云，在IDC内，业务主机采用集群部署，组网示意图如下所示。 迁移上云过程中，该公司有以下诉求： 按主机粒度迁移上云，迁移中不能中断业务。 由于IDC内主机访问配置文件中记录的不是域名地址，而是真实的IP地址，迁移上云不改变原有主机IP地址。 图IDC内业务集群架构 方案架构 天翼云支持通过企业交换机（Enterprise Switch，ESW） 构建客户IDC和云上二层网络互通，在二层网络内，实现主机粒度迁移，助力客户IDC迁移上云期间业务不中断，不修改IP地址的诉求。 通过企业交换机迁移IDC的组网示例如下图所示，本示例中将IDC内的VMB在不修改IP的前提下，迁移到云上。迁移过程说明如下： 1. 使用云专线或VPN建立云上与云下IDC隧道子网之间的三层网络通信。因为企业交换机建立二层通信网络时，依赖隧道子网之间的三层网络。 2. 创建企业交换机、建立二层连接、配置VXLAN交换机，建立云上与云下IDC的二层网络通信。 3. 将主机VMB（10.0.1.8）迁移到云上ECSB（10.0.1.21），检查好VMB和ECSB的网络通信后，待业务低谷时期关闭IDC内的VMB。 短暂关闭VMB时，业务主要由IDC内的VMA（10.0.1.131）承载，因此不会中断业务。 注意 此处为了验证VMB和ECSB之前的正常通信，刚迁移上云的ECSB和VMB的IP地址不能一样，否则无法正常通信。 4. 关闭IDC内的VMB后，将云上的ECSB地址由10.0.1.21改为10.0.1.8，此时业务流量会通过企业交换机转发到云上的ECSB处理，确保迁移后不改变主机IP地址。 同时，云上的ECSB和IDC内的VMA也可以自由互访，就像还位于同一个子网中。

本文主要介绍算力网关侧的裸金属访问天翼云4.0侧的对象存储。 操作步骤 一、 前提 通过公共算力服务提前完成跨域互联的创建。 二、 创建VPCE实例 在天翼云4.0侧的VPCE管理控制台，点击“创建终端节点”按钮，打开创建终端节点的页面。 说明： 服务类型：选择云服务。 选择服务：搜索并选择zos终端节点。 虚拟私有云：选择先前创建的VPC以及子网（此VPC和子网是跨域互联里使用的VPC和子网，已和算力网关侧的VPC完成互联打通）。 其它选项按需填写后点击创建。 在VPCE终端节点里记录ZOS终端节点的IP（此处举例：172.25.0.6）。后续使用终端节点IP来访问对象桶以及其中的对象数据。 如前期操作一切无误，可在算力网关侧的裸金属实例中ping通ZOS终端节点IP（此处为172.25.0.6）。 三、 创建对象桶以及上传对象数据 在对象存储界面按需创建出对象桶。 点击访问刚创建桶的详情页面，选择“文件管理”标签页，按需上传文件数据。 打开上传文件的详情页面，URL即为此文件的下载URL（如上图所示）。 说明： 使用先前VPCE实例的节点IP替换上图URL中的域名，示例替换后如下。 桶的链接： 文件的链接： 在算力网关侧的裸金属实例，可以使用wget下载到桶中的文件，如上图所示。

本文主要介绍了包年包月计费模式适用场景、计费说明、资源到期处理及包年包月计费模式优缺点，便于用户快速了解包年包月计费模式。 包年包月计费，一种预付费模式，即先付费再使用，一般为包年包月的购买形式，支付成功后，云资源将被系统分配给用户使用，直到超过保留期后被系统回收。 适用场景 适用于较稳定的业务场景。 需要长期使用，追求低成本。 计费说明 一般以包年/包月的形式购买。用户根据需要，一次性支付一个月/多个月/一年/多年的费用，支付成功后，云资源将被系统分配给用户使用，直到超过保留期后被系统回收。 到期前续费 用户在资源到期前进行续费操作，可以延长原有资源到期时间，避免资源到期后冻结或超过保留期后被系统回收。 到期处理 到期后，资源进入保留期，您将不能正常访问及使用云服务（资源冻结），但对于您存储在云服务中的数据予以保留。 若您在保留期内续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用； 若保留期到期您仍未续费，存储在云服务中的数据将被删除、云服务资源将被释放。 表：包年包月资源到期处理机制 产品类型 保留期 超过保留期 计算、存储、网络、数据库、终端类产品 15天 存储数据将被删除、云服务资源将被释放

云应用引擎 CAE（Cloud App Engine）是一款面向容器应用的 Serverless 全托管平台，提供完整的微服务应用托管和治理能力。CAE 可帮助您将微服务应用便捷地容器化并托管，实现秒级部署与全自动弹性伸缩，按使用量计费，大幅提高业务交付效率和系统可用性。作为 Serverless 架构中承载复杂应用的核心组件，CAE 让您聚焦业务逻辑，免运维底层基础设施，开箱即用监控、日志、服务治理等企业级能力，全面提升应用的可管理性与弹性。 产品架构 CAE产品架构如下所示。更多信息，请参见基本概念。 底层基于Kubernetes，实现了Serverless架构与微服务架构的完美结合。 支持Spring Cloud多种微服务框架、多种部署方式（ZIP包、镜像）和多种技术栈语言（Java、PHP、Python等）。 产品功能 功能 说明 应用全生命周期管理 提供从创建到运行的应用全生命周期管理服务，支持分批、灰度等多种发布策略，支持按流量秒级灰度。 无侵入应用监控 提供无侵入的应用监控和告警能力，支持任意语言和任意框架。 无侵入微服务治理 支持Spring Cloud零代码改造迁移至云应用引擎。提供服务注册与发现、环境隔离、配置管理、限流降级、应用无损上下线、服务鉴权、全链路灰度等能力。 一键启停开发测试环境 中大型企业包含多套环境，测试环境如果长期保有应用实例，会导致闲置浪费高。CAE提供逻辑隔离运行环境，通过一键启停开发测试环境能力，有效节省硬件成本。

微隔离防火墙以镜像方式承载,订购前需要开通一台云主机承载业务,然后再购买授权。本小节介绍微隔离防火墙的订购模式。 目前下单的两种模式： 1. bcp下单模式，客户经理可通过此模式下单； 2. 官网下单模式，客户经理以外的人员可通过此方式下单。 官网下单模式 1、进入天翼云官网，点击右上角【控制中心】，然后登录。 2、点击【弹性云主机】。 3、点击【创建弹性云主机】。 4、按需选择相应的云主机规格，需注意：在选择公共镜像时，选择安全产品中的微隔离防火墙。 5、云主机需开放端口：10443、6443、8000、60001、60011、60021、60031端口。6443为WEB控制台访问端口，10443端口为后台管理使用的端口，8000安装agent的访问端口，60001、600011、60021、60031为agent接入自适应微隔离管理中心的使用端口。 开放端口操作： 1）点击上图的【下一步：网络配置】进行配置。 2）进入【配置安全规则】。 3）点击【创建安全组】 6、在创建完成云主机后，在【控制中心】中选择安全项中的【微隔离防火墙】。点击小购物车“”进入订购页面。 7、设置实例名称，选择需要微隔离防护的云主机数量，上传识别文件，选择订购时长，勾选服务协议，即可提交订购。本产品的授权过程需要12个工作日的时间完成，完成授权后会生成对应的实例项，授权文件可以在console页面的实例信息中下载，我们也会邮件通知授权文件。

本节介绍了安装并配置CloudbaseInit工具的操作场景、前提条件、安装CloudbaseInit工具、配置CloudbaseInit工具。 操作场景 为了保证使用私有镜像创建的新云主机可以通过“用户数据注入”功能注入初始化自定义信息（例如为云主机设置登录密码），建议您在创建私有镜像前安装CloudbaseInit工具。 不安装CloudbaseInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 使用公共镜像创建的云主机，默认已经安装CloudbaseInit，不需要执行安装及配置操作。 使用外部镜像文件创建的云主机，请按照指导安装及配置CloudbaseInit。 前提条件 已为云主机绑定弹性公网IP。 已登录到云主机。 云主机的网卡属性为DHCP方式。 已安装一键式重置密码插件。 因为安装CloudbaseInit工具的操作步骤中如果有重启云主机的操作，可能导致密码被修改为一个随机密码，所以需要安装一键式重置密码插件重置密码。操作步骤请参考安装一键式重置密码插件。 安装CloudbaseInit工具 1. 在Windows操作系统中，单击“开始”，选择“控制面板 > 程序 > 程序和功能”查看是否安装CloudbaseInit。 − 是，无需重复安装，直接执行下文“配置CloudbaseInit工具”。 − 否，执行以下安装操作步骤。 2. 操作系统是否为Windows桌面版。 − 是，执行3。 − 否，若操作系统为Windows Server版本，请执行4。 3. 如果操作系统是Windows桌面版，如Windows 7或者Windows 10，那么需要在安装CloudbaseInit前确保Adminstrator账号未禁用。以Windows 7为例，具体操作请以实际为准。 a. 在操作系统中单击“开始”，选择的“控制面板 > 系统和安全 > 管理工具”。 b. 双击“计算机管理”。 c. 选择“系统工具 > 本地用户和组 > 用户”。 d. 右键单击“Administrator”，选择“属性”。 e. 确认已取消勾选“账户已禁用”选项。 4. 下载CloudbaseInit工具安装包。 根据Windows操作系统的不同位数，您需要下载不同版本的CloudbaseInit工具安装包。Cloudbase官网： CloudbaseInit分为稳定版本和Beta版本两种。 稳定版本获取路径： − 64位： − 32位： Beta版本获取路径： − 64位： − 32位： 5. 双击打开CloudbaseInit工具安装包开始安装。 6. 单击“Next”。 7. 勾选“I accept the terms in the License Agreement”，单击“Next”。 8. 使用CloudbaseInit默认安装路径进行安装，单击“Next”。 9. 在“Configuration options”窗口中，设置用户名为“Administrator”，日志输出串口选择“COM1”，且不勾选“Run CloudbaseInit service as LocalSystem”。如下图所示。 说明： 图片中的版本号仅供参考，请以实际情况为准。 设置参数 10. 单击“Next”。 11. 单击“Install”。 12. 在“Files in Use”窗口保留默认勾选“Close the application and attempt to restart them”，单击“OK”。 13. 操作系统是否为Windows桌面版。 − 是，执行15。 − 否，执行14。 14. 在“Completed the CloudbaseInit Setup Wizard ”窗口，请勿勾选“Run Sysprep to create a generalized Image. This is necessary if you plan to duplicate this instance, for example by creating a Glance image”及“Shutdown when Sysprep terminate”。如下图所示。 完成安装 说明： 图片中的版本号仅供参考，请以实际情况为准。 15. 单击“Finish”。

本文主要介绍查看实时测试报告 压测过程中，可以通过实时测试报告查看压测过程中各项指标的监控数据和SLA报告。 前提条件 测试任务已启动。 操作步骤 1、登录性能测试控制台，在左侧导航栏中选择“测试工程”，单击待操作工程后的。 2、在“性能报告”页签下选择需要查看测试报告的任务，此任务需正在执行中。 3、 单击“任务名称”，或单击操作栏的，查看实时测试报告。单击页面右上方“停止任务”，可以停止压测任务。详细参数说明请参考测试报告说明。 说明 您可以在“各项测试指标”下用例名称前展开该任务下用例的一个或多个报文，查看报文的性能指标。 4、在“报告总览”页签下，您可以查看该测试任务的日志。单击“各项测试指标”操作栏的，可查看请求日志与事件日志信息。 5、在“SLA报告”页签下，您可以查看该测试任务的SLA规则是否触发。

本节主要介绍操作跟踪相关问题。 什么是OOS 操作跟踪 (CloudTrail)？ 操作跟踪用于记录OOS账户的管理事件，并将产生的跟踪日志保存到指定的OOS存储桶中。记录的信息包括用户的身份，请求时间，源IP地址，请求参数以及服务返回的响应元素等，便于您实时了解账户的操作情况及合规性审查。 为什么要使用 CloudTrail？ CloudTrail 可记录每个管理类操作的信息，包括请求的发出方、请求的时间、使用的服务、执行的操作等，这些信息能够帮助您实时跟踪 OOS 资源的变更情况，帮助您确认操作性问题。具体记录内容，详见管理事件记录。 CloudTrail支持查询多久的操作事件？ 通过CloudTrail可以查看近6个月内的管理事件记录，同时您可以对账户内的敏感操作设置跟踪日志，CloudTrail会将账户活动以日志的方式发送到您指定的OOS存储桶进行持久化存储。详见管理事件记录。 单个账户最多支持创建几个跟踪？ 单个账户最多支持创建10个跟踪，创建操作跟踪可以参考跟踪列表或CreateTrail。

本文介绍多台云主机实例批量挂载同一文件系统的操作方法。 操作场景 海量文件服务适用于共享访问的场景，当业务中需要使用多台云主机访问同一文件系统时，您可以通过我们提供的脚本，填写配置文件、执行脚本命令，实现多台云主机批量挂载同一文件系统，减少操作时间，提高工作效率。 注意 执行批量挂载的云主机实例需要与文件系统归属于同一资源池的同一VPC下。 目前仅支持Linux操作系统的云主机，请参考使用限制。 仅支持root账户进行批量挂载操作。 务必按照本文中要求的固定格式填写需要执行批量挂载的云主机的相关信息。 请保证本文中创建的inventory、autobatchmount.sh文件与mountnfs.yml文件在同一目录下，否则会导致挂载失败。 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行批量挂载操作的任何一台云主机。 3. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机。 4. 创建并填写配置文件inventory。 1）在Linux vi命令行工具中依次执行以下命令创建配置文件inventory并打开。 plaintext touch inventory plaintext vi inventory 2）将按照下述格式填写的内容复制到配置文件inventory中，保存并退出。需要将各参数替换成相应的实际值，各参数说明见下方表格。配置文件内容可在Windows记事本中或者Linux vi命令实现编辑，供后续使用。复制完成后输入 :wq保存并退出。 plaintext [all:vars] sharepath挂载地址 [targethost] 弹性IP passwdroot用户密码 localpath本地挂载路径 弹性IP passwdroot用户密码 localpath本地挂载路径 弹性IP passwdroot用户密码 localpath本地挂载路径 …… 参数 说明 云主机弹性IP 在云主机详情页中“弹性IP”页签获取该云主机公网IP的IP地址。 root用户密码 root用户密码。 本地挂载路径 本地挂载路径为云主机上用于挂载文件系统的本地路径，本操作中将通过脚本自动创建，无须额外创建。 挂载地址 可在文件系统详情页获取。 5. 创建批量挂载脚本autobatchmount.sh。 1）创建脚本文件，并打开： plaintext touch autobatchmount.sh plaintext vi autobatchmount.sh 2）将下列内容复制到挂载脚本中，保存退出 （:wq）： plaintext

选择入侵防御页签，可对终端设置暴力破解行为、扫描行为检测。 防暴力破解是指对系统登录行为进行一定的限制，防止账号被爆破。 配置防暴力破解 功能 ：通过AI哨兵引擎提供的多种异常检测算法，根据真实的业务数据对暴力破解行为进行AI大模型上下文分析、跨终端关联分析。支持SSHFTPRDPSMBMSSQLWINRM多种类型。 使用场景：适用于需要自定义修改配置策略模板防暴力破解场景。 1. 选择防暴力破解页签。 2. 点击防暴力破解图标，置于开启状态（开启AI哨兵模式、开启普通模式），即可开启防暴力破解。 配置效果验证 1. 在防暴力破解策略中自定义配置并下发策略至客户端。 2. 对终端的系统账户进行登录操作，并且多次使用错误的口令尝试。 3. 在管理平台日志查看日志。 1. 当登录失败次达到设置阀值后锁定该IP地址。 2. 用户可以查看并解除已临时锁定的IP清单。 3. 生成防爆力破解日志。

功能类别 功能说明 业务配置 域名（泛域名、一级域名、二级域名等各级域名）/IP防护 WAF支持的防护对象：域名或IP，云上或云下的Web业务。 业务配置 HTTP/HTTPS业务防护 WAF可以防护HTTP/HTTPS业务，通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 业务配置 支持WebSocket/WebSockets协议 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 业务配置 非标端口防护 Web应用防火墙除了可以防护标准的80，443端口外，还支持非标准端口的防护。 Web应用安全防护 Web基础防护 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 全面的攻击防护：支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、目录（路径）遍历、敏感文件访问、命令/代码注入、网页木马上传、后门隔离保护、非法HTTP协议请求、第三方漏洞攻击等威胁检测和拦截。 Webshell检测防护：通过上传接口植入网页木马。 识别精准： 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。默认支持的编码还原类型：urlencode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测：深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测：支持对请求里header中所有字段进行攻击检测。 Web应用安全防护 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 Web应用安全防护 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 Web应用安全防护 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 Web应用安全防护 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 Web应用安全防护 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 Web应用安全防护 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 Web应用安全防护 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 Web应用安全防护 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 Web应用安全防护 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 高级设置 PCI DSS/PCI 3DS合规认证和TLS TLS支持TLS v1.0、TLS v1.1和TLS v1.2三个版本和七种加密套件，可以满足各种行业客户的安全需求。 WAF支持PCI DSS和PCI 3DS合规认证功能。 高级设置 连接保护 当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。 高级设置 手动设置网站连接超时时间 浏览器到WAF引擎的连接超时时长默认是120秒，该值取决于浏览器的配置，该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为30秒，该值可以在WAF界面手动设置。 高级设置 配置攻击惩罚的流量标识 WAF根据配置的流量标识识别客户端IP、Session或User标记，以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 高阶功能 内容安全检测服务 基于丰富的违规样例库和内容审核专家经验，通过机器审核加人工审核结合的方式，帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、违禁等敏感违规内容，并提供文本内容纠错审校，助您降低内容违规风险。 防护事件管理 当Web应用防火墙拦截或者仅记录的攻击事件为误报时，用户可通过Web应用防火墙处理误报事件、查看事件详情。 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据 告警通知 用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后，Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。 安全可视化 提供简洁友好的控制界面，实时查看攻击信息和事件日志。 策略事件集中配置：在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略，快速下发，快速生效。 流量及事件统计信息：实时查看访问次数、安全事件的数量与类型、详细的日志信息 灵活性、可靠性 多区域多集群部署，支持负载均衡，可在线平滑扩容，没有单点故障，最大限度保护业务运行稳定。

本章节主要介绍翼MapReduce的配置SNMP北向参数。 操作场景 该任务指导用户采用SNMP协议把MRS Manager的告警、监控数据集成到网管平台。 前提条件 对接服务器对应的弹性云服务器需要和MRS集群的Master节点在相同的VPC，且Master节点可以访问对接服务器的IP地址和指定端口。 操作步骤 在MRS Manager，单击“系统设置”。 1. 在“配置”区域“监控和告警配置”下，单击“SNMP配置”。 “SNMP服务”的开关默认为关闭，单击启用SNMP服务。 2. 设置如下表所示的对接参数。 详见下表：对接参数 参数名称 参数说明 版本 SNMP协议版本号，取值范围： l v2c：低版本，安全性较低 l v3：高版本，安全性比v2c高 推荐使用v3版本。 本地端口 本地端口，默认值“20000”，取值范围“1025”到“65535”。 读团体名 该参数仅在设置“版本”为v2c时存在，用于设置只读团体名。 写团体名 该参数仅在设置“版本”为v2c时存在，用于设置可写团体名。 安全用户名 该参数仅在设置“版本”为v3时存在，用于设置协议安全用户名。 认证协议 该参数仅在设置“版本”为v3时存在，用于设置认证协议，推荐选择SHA。 认证密码 该参数仅在设置“版本”为v3时存在，用于设置认证密钥。 确认认证密码 该参数仅在设置“版本”为v3时存在，用于确认认证密钥。 加密协议 该参数仅在设置“版本”为v3时存在，用于设置加密协议，推荐选择AES256。 加密密码 该参数仅在设置“版本”为v3时存在，用于设置加密密钥。 确认加密密码 该参数仅在设置“版本”为v3时存在，用于确认加密密钥。 “认证密码”和“加密密码”密码长度为8到16位，至少需要包含大写字母、小写字母、数字、特殊字符中的3种类型字符。两个密码不能相同。两个密码不可和安全用户名或安全用户名的逆序字符相同。 使用SNMP协议从安全方面考虑，需要定期修改“认证密码”和“加密密码”密码。 使用SNMP v3版本时，安全用户在5分钟之内连续鉴权失败5次将被锁定，5分钟后自动解锁。 3. 单击“Trap目标”下的“添加Trap目标”，在弹出的“添加Trap目标”对话框中填写以下参数： 目标标识：Trap目标标识，一般指接收Trap的网管或主机标识。长度限制1～255字节，一般由字母或数字组成。 目标IP：目标IP。可使用A、B、C类IP地址，要求可与管理节点的管理平面IP地址互通。 目标端口：接收Trap的端口，要求与对端保持一致，取值范围“0”～“65535”。 Trap团体名：该参数仅在设置Version为v2c时存在，用于设置主动上报团体名。 单击“确定”，设置完成，退出“添加Trap目标”对话框。 4. 单击“确定”，设置完成。

本节介绍了 使用cubevolcano的用户指南。 插件简介 Volcano调度器是一个基于Kubernetes的批处理平台，提供了机器学习、深度学习、生物信息学、基因组学及其他大数据应用所需要而Kubernetes当前缺失的一系列特性。 Volcano提供了高性能任务调度引擎、高性能异构芯片管理、高性能任务运行管理等通用计算能力，通过接入AI、大数据、基因、渲染等诸多行业计算框架服务终端用户。(目前Volcano项目已经在Github开源) Volcano针对计算型应用提供了作业调度、作业管理、队列管理等多项功能，主要特性包括： 丰富的计算框架支持：通过CRD提供了批量计算任务的通用API，通过提供丰富的插件及作业生命周期高级管理，支持TensorFlow，MPI，Spark等计算框架容器化运行在Kubernetes上。 高级调度：面向批量计算、高性能计算场景提供丰富的高级调度能力，包括成组调度，优先级抢占、装箱、资源预留、任务拓扑关系等。 队列管理：支持分队列调度，提供队列优先级、多级队列等复杂任务调度能力。 项目开源地址： 前置条件 安装cubevolcano插件 使用示例 修改调度器配置 查看调度配置，默认开启binpack插件 修改volcano调度器配置，增加binpack得分权重，减少其他调度插件的影响 调整日志级别，查看更详细的日志 创建验证负载任务并且指定使用volcano调度器 可查看负载的YAML，确认scheduleName已设置为volcano 从控制台查看调度器日志，得知各节点的得分 从日志中知道得分最高的节点，查看pod绑定节点，预期绑定的是最高得分的节点

因规模企业内部可能自建运维监控系统，本文将为您介绍如何通过云监控API接口查询各类云产品监控数据，便于企业集成管理云监控资源数据。 指标类监控数据查询的接口 云监控提供以下2类接口用于指标类监控数据的查询： ● 实时监控数据查询：查询对应产品实时监控数据，详情请参见实时监控数据。 ● 历史监控数据查询：查询对应产品历史监控数据，详情请参见历史监控数据。 注意事项： ● 实时监控数据查询与历史监控数据查询接口支持的最大QPS是30。 ● 历史监控数据，查询起始时间最大支持当前时间之前180天。 实战案例 通过Demo演示，为您介绍如何使用“实时监控数据：云主机“接口查询云主机设备的实时监控数据，使用“历史监控数据：云主机“接口查询指定时间段内的历史监控数据。 !/usr/bin/env python coding: utf8 import requests import json import hashlib import base64 import hmac import datetime import uuid METHODGET 'GET' METHODPOST 'POST' AK "登录云网门户，在“控制台”>“个人中心”>“第三方账号绑定”，通过创建或者查看获取ak，sk。" SK "登录云网门户，在“控制台”>“个人中心”>“第三方账号绑定”，通过创建或者查看获取ak，sk。" DOMAIN ' def hmacsha256(secret, data): if isinstance(secret, str): secret bytearray(secret.encode(encoding"utf8")) elif isinstance(secret, bytes): secret bytearray(secret) if isinstance(data, str): data bytearray(data.encode(encoding"utf8")) elif isinstance(data, bytes): data bytearray(data) return hmac.new(secret, data, digestmodhashlib.sha256).digest() def base64ofhmac(data): return base64.b64encode(data) def getrequestuuid(): return str(uuid.uuid1()) def getsortedstr(data): """ 鉴权用的参数整理 :param data: dict 需要整理的参数 :return: str """

首次使用初始管理员登录数字证书认证系统后，需要初始化人员，对运维账号、审计账号、管理员账号进行初始化。 操作步骤 1. 使用初始管理员登录数字证书认证系统。 2. 在租户列表页面，单击default租户操作列的“初始化人员”。 3. 在弹出的初始化人员窗口中，设置初始化账号的口令。 通过左上角切换认证方式，支持用户名口令认证 和USBKEY认证两种方式： USBKEY认证：输入USBKEY口令，单击操作列的“认证”。 注意 请妥善保存各个账号的口令，否则将无法登录实例。 单击列表底部的“新增人员”，可以新增用户。 用户名口令认证：输入用户名、口令。 注意 请妥善保存各个账号的口令，否则将无法登录实例。 单击列表底部的“新增人员”，可以新增用户。 4. 设置完成后，单击“提交”，完成人员初始化。流程状态变为“已初始化人员”。 单击操作列的“人员信息”可以查看账号信息，包括用户名称、角色和登录时间。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到JVM延迟动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务平均响应时间指标。 2、业务应用验证： 业务应用日志：检查您的应用日志，确认是否有因处理超时而打印的警告或错误信息。 终端用户体验：直接访问触发了延迟注入功能的前端页面或接口，直观地感受响应时间的变长。 压力测试工具：使用 JMeter 等工具对目标接口进行测试，观察其平均响应时间（Avg Response Time）和吞吐量（TPS）是否出现符合预期的劣化。

Hash 索引 如果只涉及到对单个字段的等值查询，可以考虑创建 hash 索引，使用 mongo shell 创建 hash 索引的方式如下： db.coll.createIndex({score: "hashed"}) Hash 索引底层也是使用 btree 存储，但是区别在于 btree 的 key 是 hash 之后的值。 对于分片版本的文档数据库实例，如果按照 hash 方式创建分片表，则每个 shard server 上会自动创建基于分片键的 hash 索引。 Hash 索引有一些限制： 不能指定唯一属性。 不能进行范围扫描。 如果要创建索引的字段很长，由于 hash 索引是按照的 64bit 的hash 值创建索引，可以在一定程度上节省索引的存储空间。 索引属性 在创建索引时可以指定属性完成更高级的功能，常用的配置属性有： TTL 。实现数据自动过期删除。比如有 coll 表中存放了系统运行日志，其中包含了 createTime 指定了日志生成时间，则可以按照这个字段创建 TTL 索引自动删除 1 个小时以前的数据：db.coll.createIndex( { "createTime": 1 }, { expireAfterSeconds: 3600 } )。 Unique。指定字段的唯一性。如果重复插入该字段值相同的数据会报错失败，指定方式为 db.coll.createIndex( { "name": 1 }, { unique: true } )。 Partial。只对满足条件的文档创建索引。比如只对分数大于 80 的文档创建索引：db.coll2.createIndex({score:1, name:1}, {partialFilterExpression: {score: {$gt: 80}} })。 慢查询定位和处理 用户可以在控制台上单机实例名称进入慢日志展示页面，查看实例最近的慢请求。慢日志中一般会包含 docsExamined 等信息记录了本次请求扫描的文档数，可以结合日志信息和查询语句来判断是否缺少合适的索引。 用户也可以使用 mongo shell 连接到文档数据库服务实例，然后执行 explain() 观察查询计划是否复合预期。例如： db.coll.find({xxx:xxx}).explain() 如果缺少索引，可以执行前文所述的命令进行索引创建，然后重新执行查询命令观察执行计划是否正常。

本章节主要介绍 ALM12081 ommdba用户过期。 告警解释 系统每天零点开始，每8小时检测当前系统中ommdba用户是否过期，如果用户过期，则发送告警。 当系统中ommdba用户过期的期限重置，当前状态为正常，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12081 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 ommdba用户过期，OMS数据库无法管理，数据不能访问。 可能原因 该主机ommdba用户过期。 处理步骤 检查系统中ommdba用户是否过期 1.以root用户登录集群故障节点。 执行chage l ommdba命令查看当前ommdba用户密码设置信息。 2.查找“Account expires”对应值，查看用户设置是否过期。 说明 如果参数值为“never”，则代表永不过期；如果为日期值，则查看是否过期。 是，执行步骤3。 否，执行步骤4。 3.执行 chage E 'yyyyMMdd' ommdba命令设置ommdba 用户过期的期限，等待8小时，观察告警是否自动清除。 是，操作结束。 否，执行步骤4。 收集故障信息 4.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 5.在“服务”中勾选“NodeAgent”，单击“确定”。 6.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分，单击“下载”。 7.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本章节主要介绍ALM16047 HiveServer已从Zookeeper注销的告警。 告警解释 系统每60秒周期性检测Hive服务，若Hive在Zookeeper上的注册信息丢失，或者Hive无法连接上Zookeeper，将会发出告警。 告警属性 告警ID 告警级别 是否自动清除 16047 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 当无法在Zookeeper上读取到Hive的配置，将会导致HiveServer不可用。 可能原因 网络故障。 ZooKeeper实例状态异常。 处理步骤 重启相关实例 1.登录FusionInsight Manager，在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，单击告警“Hive解注Zookeeper”所在行的下拉菜单，在“定位信息”中查看告警上报的角色名并确定实例IP地址。 2.选择“集群 > 待操作集群的名称 > 服务 > Hive > 实例”，勾选上报告警IP对应的实例，选择“更多 > 重启实例”。 3.重启完成后，等待5分钟，查看告警是否消除。 是，处理完毕。 否，执行步骤4。 收集故障信息 4.在FusionInsight Manager首页，选择“运维 > 日志 > 下载”。 5.在“服务”中勾选待操作集群的“Hive”。 6.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 7.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

检查Zookeeper服务状态 5.在FusionInsight Manager的告警列表中，查看是否有“ALM13000 ZooKeeper服务不可用”告警产生。 是，执行步骤6。 否，执行步骤7。 6.参考“ALM13000 ZooKeeper服务不可用”的处理步骤处理故障后，检查本告警是否恢复。 是，处理完毕。 否，执行步骤7。 检查HDFS服务状态 7.在FusionInsight Manager的告警列表中，查看是否有“ALM14000 HDFS服务不可用”告警产生。 是，执行步骤8。 否，执行步骤9。 8.参考“ALM14000 HDFS服务不可用”的处理步骤处理故障后，检查本告警是否恢复。 是，处理完毕。 否，执行步骤9。 检查Yarn服务状态 9.在FusionInsight Manager的告警列表中，查看是否有“ALM18000 Yarn服务不可用”告警产生。 是，执行步骤10。 否，执行步骤11。 10.参考“ALM18000 Yarn服务不可用”的处理步骤处理故障后，检查本告警是否恢复。 是，处理完毕。 否，执行步骤11。 收集故障信息 11.在主集群的FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 12.在“服务”中勾选待操作集群的“Mapreduce”。 13.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 14.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

查看JVM的当前配置 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Hive > 配置”，选择“全部配置”， 选择“HiveServer/MetaStore > JVM”，将“HIVEGCOPTS/METASTOREGCOPTS”参数中“Xmx”的值根据如下建议进行调整，并单击“保存”。 说明 HiveServer的GC参数配置建议 当Hive GC时间超出阈值时，将“Xmx”值调整为默认值的2倍，比如：“Xmx”默认设置为2G时，调整“Xmx”的值为4G。 建议同时调节“Xms”的值，使“Xms”和“Xmx”比值为1:2，这样可以避免JVM动态调整堆内存大小时影响性能。 MetaServer的GC参数配置建议 当Meta GC时间超出阈值时，将“Xmx”值调整为默认值的2倍，比如：“Xmx”默认设置为2G时，调整“Xmx”的值为4G。 建议同时调节“Xms”的值，使“Xms”和“Xmx”比值为1:2，这样可以避免JVM动态调整堆内存大小时影响性能。 5.选择“更多 > 重启服务”重启服务。 6.观察界面告警是否清除。 是，处理完毕。 否，执行步骤7。 收集故障信息 7.在主备集群的FusionInsight Manager首页，选择“运维 > 日志 > 下载”。 8.在“服务”中勾选待操作集群的“Hive”。 9.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 10.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本文介绍如何在控制台查看文件系统基本信息。 操作场景 查看文件系统的基本信息，支持按文件系统名称关键字过滤条件查看指定的文件系统。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>弹性文件服务SFS Turbo”，进入SFS Turbo文件系统列表页面。 3. 在文件系统列表中查看所有文件系统的基本信息，参数说明如表所示： 参数 说明 名称 支持用户自定义修改，不可重复。文件系统名称只能由数字、“”、字母组成，不能以数字和“”开头、且不能以“”结尾，2~255字符。 状态 文件系统的状态，包含正在创建、可用、已冻结、已过期和创建失败。 存储类型 文件系统的类型，包括SFS Turbo标准型，SFS Turbo性能型。 企业项目 文件系统归属的企业项目。 可用区 文件系统所在的可用区。 协议类型 文件系统的协议类型为NFS或CIFS。 加密状态 已经创建的文件系统的加密状态，包括已加密和未加密。 付费方式 文件系统的付费方式，包括包年包月和按需付费。 到期时间 包年包月模式下的文件系统到期时间，按需付费不涉及。 挂载地址 文件系统的挂载地址，包括云主机访问（IPv4）和云主机访问（IPv6）的挂载地址。 操作 对文件系统的具体操作，包括添加VPC、续订（仅包年包月支持）和更多（扩容、删除/退订）。 4. 点击文件系统名称，可以跳转至文件系统详情页，查看更多文件系统基本信息更多参数及操作如表所示： 参数 说明 名称 文件系统名称，此处可进行文件系统名称修改。 ID 文件系统ID。 Linux云主机访问（IPv4） Linux云主机访问（IPv4）挂载地址。 Linux云主机访问（IPv6） Linux云主机访问（IPv6）挂载地址。 Windows云主机访问（IPv4） Windows云主机访问（IPv4）挂载地址。 Windows云主机访问（IPv6） Windows云主机访问（IPv6）挂载地址。 创建时间 文件系统创建时间。 已用容量 文件系统已用容量。 总容量 文件系统总容量。 5. 在详情页VPC页签下，可以查看文件系统绑定的VPC及权限组信息（部分资源池支持权限组），包含VPC名称、VPC的ID、权限组名称等。支持按VPC名称在VPC列表中进行搜索。可以进行添加VPC、解绑VPC、更换权限组（部分资源池）等操作。

本文为您介绍密钥管理服务的产品优势。 密钥管理服务（KMS）与传统的密钥管理设施相比具有安全合规、弹性高效、广泛集成以及稳定可用等优势。 安全合规 通过国家密码管理局安全性审查，符合国家密码行业标准（GM/T）相关技术规范要求，获得由国家密码管理局商用密码检测中心颁发的《商用密码产品认证证书》。 采用由国家密码管理局批准的硬件密码设备，通过更高安全的保护机制确保密钥的保密性、完整性和可用性。 集中托管 支持自动化开通，按需扩容，弹性灵活。 提供密码基础设施的完全托管，可轻松创建密钥等资源，并通过极简API/SDK实现应用的快速集成。 广泛集成 与云硬盘、对象存储、弹性文件、数据库等天翼云产品无缝集成，实现云上资源原生数据的加密保护。 云产品服务端加密功能可一键开启，加密过程透明无感知，用户体验极好。 稳定可靠 采用分布式部署，在每个资源池构建了冗余的密码计算能力，有效保证服务可靠性。 支持VPC内应用通过私密的连接通道访问KMS服务，保证数据安全性的同时，大幅度提高了访问效率，减少延时。

设置安全策略 说明 本专题按DDoS防护、Web防护、Bot防护、访问控制/限流等模块化主题，非常详尽地介绍安全与加速已支持的功能和服务，帮助客户深入理解安全与加速功能，指导客户与自己的业务相结合，配置合适的防护策略。 本专题按攻击事件、攻击报表等主题，详尽的介绍如何查看攻击事件、攻击日志等。

编号 操作 相关文档 1 在线测试，了解产品能力 2 配置防护策略（可选） 3 创建应用，获取调用凭证 4 API 接入 5 日志监控

尊敬的天翼云客户： 您好！ 因业务调整，自2024年9月13日起，密钥管理按需版不再支持新购。 调整影响范围： 新增客户：2024年9月13日起，无法订购按需版本，可选择开通包周期版本，规格说明： 存量客户：2024年9月13日前已开通过按需版的用户，可继续使用按需版本，并按照按需版资费计费。 给您带来不便，敬请谅解！感谢您对天翼云的信赖与支持，如您有任何问题，可随时通过工单或者服务热线（4008109889）与我们联系。 感谢您对天翼云一如既往的支持与理解！ 天翼云服务团队

本章节介绍云服务备份CBR产品的相关协议。 天翼云云服务备份服务协议，详情请参见这里。

步骤二：购买弹性IP 步骤说明 弹性IP主要用来绑定NAT网关的SNAT或DNAT规则，以实现访问公网的功能。此处我们需要2个弹性公网IP，分别绑定SNAT规则和DNAT规则。 操作步骤 1. 登录天翼云控制台，选择“网络>弹性IP”。 2. 进入弹性IP控制台，点击右上角“申请弹性IP”。 3. 按需求选择带宽规格，购买数量选择2，单击“下一步”。 4. 确定规格，选择我已阅读并同意相关协议，单击“确认下单”，完成弹性IP创建。 步骤三：购买NAT网关 步骤说明 购买公网NAT网关必须指定公网NAT网关所在VPC。此处指定需要通过NAT网关访问公网的弹性云主机所在的VPC和子网。 操作步骤 1. 登录天翼云控制台，选择“网络>NAT网关”。 2. 进入NAT网关控制台，点击右上角“创建NAT网关”。 3. 选择付费方式，填写名称，选择可用区，VPC选择环境准备中的创建的VPC，选择规格，点击“下一步”。 4. 确认规格，选择我已阅读并同意相关协议，单击“确认下单”，完成NAT网关的创建。 步骤四：配置VPC路由（仅部分资源池需要） 步骤说明 部分资源池在购买NAT网关后，自动加载路由到VPC中，不需要此步操作。 部分资源池需要在默认路由中添加路由指向NAT网关，具体功能以控制台为准。

本章节内容主要介绍购买类常见问题 购买迁移任务的数量限制？ 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制，如：一个数据库复制服务帐号，您最多可以创建5个任务。 如果受当前资源配额限制，无法满足业务使用需求，您可以申请扩大配额，通过提工单方式。 购买数据库复制是否支持包周期？ 当前还仅具备按配置费、数量传输费两个收费项的按需订购，不迁移时不收费； 后续将根据技术发展，考虑增加包周期的收费方式，敬请期待。 扩大带宽是否会对DRS正在进行的任务产生影响？ 扩大云连接带宽时需要重建带宽链路，则会导致网络断开，此时是否会对DRS任务产生影响取决于网络断开的时间以及源库IP有没有发生变化。 例如针对MySQL引擎而言，如果网络断开1天，而在这1天时间内源库binlog被清理了（MySQL都有binlog清理策略，用户侧自己配置的），就无法进行任务续传，需要重置任务。 如果网络中断的时间很短，并且带宽链路更换完成后源库的VPN内的IP地址没有变，则是可以继续续传任务，不会对DRS任务产生影响。

本文介绍扩容海量文件服务的具体操作。 操作场景 当用户认为文件系统的容量不足时，可以通过执行扩容操作来增加文件系统的容量。 注意 目前文件系统仅支持扩容操作，暂不支持缩容，可购置小容量新文件系统后进行文件迁移。 单用户单地域的海量文件服务初始容量配额500TB，该账号下开通的所有文件系统共享该配额，因此扩容规则为：扩容后的文件系统的总容量 海量文件服务OceanFS”，进入OceanFS文件系统列表页面。 3. 在待扩容的文件系统操作栏，点击“更多>扩容”。 4. 在弹出的“扩容”对话框中，按实际需要进行容量规格选择。 5. 完成容量设置后，包年/包月模式下点击“确认”进行支付；按量付费模式下在弹出界面点击“确定”完成扩容。 6. 等待扩容完成，可在文件系统详情页看到扩容后的容量。

背景信息 本文介绍如何使用IPsec VPN在多站点之间、多站点与VPC之间建立连接。 场景示例 以本文图中场景为例。某企业在温州、杭州、宁波有办公点，在天翼云华东1地域拥有VPC1，VPC1中使用弹性云主机部署了业务。因业务发展需要，企业需要快速实现温州办公点、杭州办公点、宁波办公点和VPC1之间相互通信。 出于网络安全环境考虑，企业计划使用VPN网关。创建VPN网关实例后，系统自动开启VPN网关实例的Hub功能。您只需要配置各个站点的用户网关以及各个站点到云上的IPsec连接，即可实现多站点之间、多站点与VPC之间的相互通信。 本示例VPC1和各办公点的网段规划如下所示。 站点 VPC1 温州办公点 杭州办公点 宁波办公点 待互通的网段 192.168.0.0/16 10.10.10.0/24 10.10.20.0/24 10.10.30.0/24 弹性云主机实例IP地址 192.168.20.121 不涉及 不涉及 不涉及 本地网关设备公网IP地址 不涉及 11.XX.XX.11 22.XX.XX.22 33.XX.XX.33

操作步骤 为虚拟私有云设置安全组访问规则 1. 登录管理控制台。 2. 在系统首页，选择网络 > 虚拟私有云。 3. 在左侧导航栏，选择访问控制 > 安全组。 4. 在安全组界面，单击操作 列的配置规则，进入安全组详情界面。 5. 在安全组详情界面，单击添加规则 ，弹出添加规则窗口。 6. 根据界面提示配置安全组规则。 7. 单击确定。 为关系数据库MySQL版添加安全组 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击白名单与安全组 ，进入白名单设置页签。 5. 单击安全组 页签，点击左上角的添加安全组，即可在弹窗中选到以上步骤中创建的安全组。 6. 单击确定即可绑定。 7. 如果需要解绑，则点击对应安全组右侧的解绑即可。 说明 支持一个实例绑定多个安全组，每条安全组重复以上操作即可。