华为云用户手册

  • 硬件安装云化设备 根据部署规划时的网络设备安装点位设计、设备间互联等信息,完成网络设备的硬件安装、连线、上电等操作,参见表1。 表1 硬件安装与布线任务一览表 任务 任务说明 参考链接 安装硬件设备 硬件设备安装需要遵循施工规范,常见的硬件施工规范有: 物理设备必须可靠接地。 物理设备谨慎搬运,要连带外纸箱或泡沫垫,不要裸机搬运。 所有光纤、网线、高速电缆和电源线分开布线,规范折弯有序捆扎。 所有光纤、网线和电源线需要考虑长度和传输距离是否能够满足环境的需求。 请单击以下设备名称,进入“硬件安装与维护指南”手册,查看对应设备款型的安装指导。 若无法找到,请在搜索框中输入设备款型查找安装指导。 防火墙 随板AC 接入交换机 AP 连接线缆 根据布线规划完成线缆连接,连接时注意按照规范在线缆两端打上标签。 设备配电、上电 请按照规划的配电参数和各个产品的产品文档来执行设备上电操作。
  • 应用场景 不同区域AP按照接入应用的不同,设置不同的无线策略(射频、限速、认证方式等等)。例如用户隔离功能在办公区的AP关闭,在会议室的AP打开,此时可以按照表1进行配置。 表1 不同区域AP设置不同的标签 区域 SSID AP设备名称 AP标签 策略不同点 办公区 Work_ssid AP_WorkA、AP_WorkB、AP_WorkC Work 用户隔离功能关闭 会议室 Meeting_ssid AP_MeetingA、AP_MeetingB、AP_MeetingC Meeting 用户隔离功能打开
  • 联系技术支持 方式1:联系华为技术有限公司客户服务中心。 客户服务电话:400-822-9999(中国区服务热线)、全球售后服务热线(企业用户)、全球TAC覆盖信息(运营商用户) 客户服务邮箱:support_e@huawei.com(企业用户)、support@huawei.com(运营商用户) 方式2:创建工单。登录华为乾坤控制台,在个人帐号悬浮框处,单击“我的工单”,创建工单。 方式3:求助智能助手小坤。 方式4:访问华为企业业务技术支持网站或华为运营商技术支持网站,搜索故障案例或在技术论坛中发帖寻求帮助。
  • 阅读指南 本文档各章节内容简介和使用场景如下表所示: 表1 维护宝典文档说明 使用场景 章节标题 内容简介 知识储备 维护工程师必读 了解故障处理的一般原则、故障处理的求助方式和高危操作。 日常运维 例行维护 介绍维护过程中的日常检查项,预防故障。 常见配置 介绍维护过程中常用的一些操作指导。 故障处理 常见故障 介绍典型的故障处理案例。故障处理中如果用到各产品的告警处理内容,请参考各产品手册。 参考信息 附录:故障信息收集 介绍维护过程中常用的一些操作指导。
  • 文档简介 本文档提供了华为乾坤云管理网络解决方案的例行维护指导和故障处理指导。发生故障时请先评估故障是否为紧急故障。如果是紧急故障,请使用预先制定的紧急故障处理方法,尽快修复故障模块,进而恢复业务。所有的重大操作,如重启设备、擦除数据库等均应作记录,并在操作前仔细确认操作的可行性,在做好相应的备份、应急和安全措施后,方可由有资格的操作人员执行。如您需要查询安装、配置部署、命令、MIB、日志和告警相关内容,请查询对应设备软件版本的产品文档。
  • 符号约定 在本文中可能出现下列标志,它们所代表的含义如下。 符号 说明 表示如不避免则将会导致死亡或严重伤害的具有高等级风险的危害。 表示如不避免则可能导致死亡或严重伤害的具有中等级风险的危害。 表示如不避免则可能导致轻微或中度伤害的具有低等级风险的危害。 用于传递设备或环境安全警示信息。如不避免则可能会导致设备损坏、数据丢失、设备性能降低或其它不可预知的结果。 “须知”不涉及人身伤害。 对正文中重点信息的补充说明。 “说明”不是安全警示信息,不涉及人身、设备及环境伤害信息。
  • 操作步骤 以租户帐号登录华为乾坤控制台。 将鼠标放在右上角帐号处,在出现的悬浮框中,单击“委托”。 单击“创建”,根据表1设置参数。 图1 创建委托申请 表1 委托参数说明 参数 说明 受托方标识 若当前租户帐号由MSP创建,界面默认填充对应MSP的标识。 若当前租户帐号是自注册,请向被委托的MSP获取唯一标识码(MSP帐号界面右侧唯一ID)。 委托列表 可以委托给MSP代维的服务列表及对应的执行权限。 对于云管理网络服务来说,请选择“公共服务”和“网络服务”。 委托到期时间 委托的期限。 单击“确定”,租户成功委托MSP管理。 租户提交委托申请后,需要委托方MSP登录华为乾坤控制台,审批委托申请。委托申请审批后,MSP可以执行代维操作。
  • 处理步骤 参考交换机上线失败(V200版本),先排除以下原因导致上线失败。 交换机为非空配置或者Console口插了串口线。 交换机通过注册查询中心或DHCP方式上线时,需要确保交换机为空配置,并且Console口不能连线。 华为乾坤云平台录入的交换机ESN和设备款型与交换机的不一致。 交换机与注册查询中心或者华为乾坤云平台网络不通。 检查SSH连接授权类型是否为root。 登录交换机。 通过命令行对交换机侧进行检查时,需要先使用STelnet、Telnet或者Console口登录交换机。 执行display current-configuration | include ssh,查看SSH连接授权类型是否为root。 如果不是,请在系统视图,执行ssh authorization-type default root,修改为root。
  • 硬件类危险操作 操作大类 操作小类 可能引发的后果 单板操作 严禁在线拔出主用主控板 当备用主控板工作正常时,由于主备主控板之间的数据同步需要一定的周期,在线拔出主用主控板后,系统虽然会自动进行倒换,但主用主控板上的最新数据不能完全自动备份到备用主控板上,导致系统统计出错或数据丢失。 当备用主控板工作不正常时,在线拔出主用主控板后,将导致相应模块的业务处理全部中断,使系统出现局部或全局业务阻塞 严禁随意按下主控板面板上的Reset按钮 当按下单板面板上的Reset按钮时,单板将被强行执行硬件复位,该操作仅能由有资质的维护人员在系统出现严重故障的情况下执行。 如果由于误操作按下主控板面板上的Reset按钮,将导致主控板复位,其后果与“在线拔出主用主控板”一样。 严禁随意按下OFL单板离线按钮 将使单板下电,业务中断。 严禁在不戴防静电腕带的情况下拔插单板 人体静电对单板上的电子器件具有很大的危害,维护人员在不戴防静电腕带的情况下拔插单板,很容易使单板遭受静电危害,从而损坏单板或使单板运行不稳定。 严禁使用串口线连接单板的调试串口进行调试 单板的调试串口仅能由集成商或华为公司的专业工程师使用。普通维护人员使用调试串口可能会导致单板程序运行异常、单板复位等后果。 CF卡操作 严禁对CF卡进行热插拔操作 在对CF卡进行读写操作的过程中(尤其是写操作),将CF卡拔出再插入,可能使操作系统异常,出现死循环复位,或使CF卡所在的主控板复位。 线缆类操作 严禁随意拔插机柜内部的网线 机柜内部的网线连接主要用于实现主机与维护终端之间的通信等功能,随意拔插网线将可能导致维护终端无法登录设备等。 电源类操作 严禁随意操作机柜配电框内的电源开关 只有在升级、扩容、更换部件或系统发生重大故障的情况下,维护人员才能按照操作规程操作各类电源开关,随意操作电源开关将导致设备停止运行、业务中断等重大事故。
  • 命令类危险操作 功能分类 命令 命令功能 可能引发的后果 重启操作 reboot 重启系统 该命令仅在开局或升级时由专业工程师使用,否则将导致整个设备业务中断。 reset slot 重启单板 执行该命令,将重启指定的单板,相关业务中断。 关闭操作 power off slot 单板下电 执行该命令,将使指定单板下电,相关业务中断。 shutdown 关闭端口 执行该命令,对应的端口将不可用,相关的链路和业务中断。 删除操作 format 格式化存储设备 执行该命令进行格式化操作,将导致指定的存储设备上所有目录和文件丢失,并且不可恢复。 delete 删除设备存储设备中的指定文件 该命令用来删除存储设备中的指定文件,如果使用了参数unreserved,会彻底删除指定文件,删除的文件将不可恢复。 复位操作 reset 复位各类协议 请勿随意使用reset命令复位各类协议,否则会造成业务中断。 不要通过命令行在设备上修改华为乾坤云平台下发的配置,例如删除广播域BD、解除VNI与BD的绑定关系、修改VTEP的IP地址、修改VBDIF接口的IP地址等,否则可能会导致VXLAN业务不能正常运行。
  • AP7060DN支持哪几种PoE供电方式? AP7060DN支持PoE+(802.3at)、PoE++(802.3bt)受电输入和DC输入。软件支持自动检测并根据检测到的供电方式自动配置相应功能: PoE++/DC输入时,全功能可用(包括USB,所有射频最高速率运行) PoE+输入时,部分功能受影响,如USB无法工作,射频会降速 PoE(802.af)供电时,AP不能正常工作。 父主题: 常见FAQ
  • 由MSP(代理商)开通租户管理员帐号 MSP登录华为乾坤控制台。 选择“自建租户”,单击租户列表右上角“创建”。 填写租户信息后单击“下一步”。 图4 自建租户信息 创建租户时,授权MSP开关默认为“否”不开启,开启后需要选择委托时间以及勾选风险告知协议。 创建租户时,屏蔽本MSP信息开关默认为“否”不开启,开启后租户不感知当前MSP信息。 默认自动委托当前新建租户的公共角色。租户创建完成后,租户因新购买的服务而产生的服务类角色都不会自动委托给MSP。 设置租户管理员信息,单击“完成”。 为提高安全性,密码设置要求如下,如果设置的密码不符合要求,请按照界面提示修改: 字符串形式,长度不小于8个字符,不超过32个字符。 至少包含1个字母和1个数字。 不能含用户名、用户手机号码和电子邮箱等敏感信息。 不建议使用密码强度低或常见的密码。 图5 自建租户管理员信息
  • 故障处理原则 在遇到网络或业务异常时,请遵循以下原则对故障进行定界和恢复: 网络发生重大事故时,需依照快速定界故障、隔离故障的原则来尽快恢复业务。 定界故障:根据不同的故障现象匹配不同的故障定界思路流程,快速确定故障点。 快速恢复:通过隔离端口、隔离设备等手段,将故障目标暂时隔离,隔离的前提是网络有可靠性冗余备份,业务由其他正常节点承载,从而快速恢复业务。 在定位故障时,应及时获取并保存故障数据信息,不能随意删除数据。这些数据信息包括但不局限于网络拓扑、故障业务涉及的IP地址范围、故障接入点位置等。 在确定故障处理方案时,应先评估故障影响大小。 第三方硬件出现故障,可查看第三方相关资料或拨打第三方公司的服务电话求助。 维护人员在上岗前必须接受必要的应急维护培训,应熟练使用数据中心各个产品的运维功能,学习判断紧急事故的基本方法、掌握处理紧急事故的基本技能。 父主题: 维护工程师必读
  • MSP代建租户 操作步骤 以MSP帐号登录华为乾坤控制台。 单击控制台页面右上方“租户”,进入租户管理页面。 创建租户帐号。 选择“自建租户”,单击租户列表右上角“创建”。 填写租户信息后单击“下一步”。 图1 自建租户信息 创建租户时,授权MSP开关默认为“否”不开启,开启后需要选择委托时间以及勾选风险告知协议。 创建租户时,屏蔽本MSP信息开关默认为“否”不开启,开启后租户不感知当前MSP信息。 默认自动委托当前新建租户的所有角色。租户创建完成后,租户因新购买的服务而产生的服务类角色会自动委托给MSP。 设置租户管理员信息,单击“完成”。 图2 自建租户管理员信息 父主题: MSP身份开通
  • 数据规划 项目 数据 说明 FW1 HRP接口 GE0/0/7 :10.1.0.1 用于建立HRP心跳链路。 FW2 HRP接口 GE0/0/7 :10.1.0.2 用于建立HRP心跳链路。 FW1上下行接口 GE0/0/5 : 10.2.0.1 GE0/0/4 : 10.3.0.1 - FW2上下行接口 GE0/0/5 : 10.2.1.1 GE0/0/4 : 10.3.0.2 - 父主题: 企业边界防火墙双机组网(三层)--上行路由器(ospf)下行交换机
  • 数据规划 项目 数据 说明 FW1 HRP接口 GE0/0/7 :10.1.0.1/24 用于建立HRP心跳链路。 FW2 HRP接口 GE0/0/7 :10.1.0.2/24 用于建立HRP心跳链路。 FW1上下行接口 GE0/0/5 : 10.2.0.1/24 GE0/0/4 : 10.3.0.1/24 - FW2上下行接口 GE0/0/5: 10.2.0.2/24 GE0/0/4 : 10.3.0.2/24 - 父主题: 企业边界防火墙双机组网(三层)--vrrp
  • 安全设备 前提条件 成功登录华为乾坤,并拥有设备管理相关权限。 背景信息 安全设备管理是华为乾坤为MSP提供的远程查看和日常管理安全设备的系统。 MSP可以快速感知代维安全设备的运行状态、套餐部署等信息,实现远程实时查看和突发事件快速处置。 操作步骤 单击 图1 安全设备页面 页面上方是安全设备概览: 安全设备概览:显示当前MSP代维租户下所有的安全设备数量,以及不同状态的设备数量分布,设备状态如表1所示。 表1 设备状态说明 设备状态 状态说明 可能原因 正常 设备成功上线 不涉及。 离线 设备离线 可能是网络连通性异常、设备配置丢失等。 未注册 设备上线失败 可能是证书到期、设备与华为乾坤平台网络、设备版本不适配、设备款型不配套、注册服务未启动、网络IP地址冲突不通等。 设备已失效 当前设备没有版本信息。 告警 在正常上线后的使用过程中出现告警 可能是设备配置下发失败、CPU占用高、内存高、光模块非标、有风暴等。 若当前设备已失效,需删除设备后重新再添加设备。 安全套餐部署状态:显示当前所有安全设备的套餐部署分布情况,状态介绍如表2所示。 表2 安全套餐状态说明 套餐状态 状态说明 已部署 指设备上线后,套餐成功激活,且相关配置下发成功。 部署失败 指设备上线后,套餐激活失败或者配置下发失败。 部署中 指设备上线后,套餐正在激活中,且配置正在下发中。 未部署 指设备没有上线,套餐没有激活,配置没有下发。 页面下方是安全设备列表,包含设备名称、设备SN、归属站点、状态等信息。 添加安全设备。 单击安全设备列表右上角“添加”,根据表3填写相关信息,单击“确定”即可。 图2 添加安全设备 表3 安全设备参数 参数 参数说明 设备名称 设备名称仅包含字母、数字、中文和特殊符号(不含空格)。 SN 设备序列号,是设备的唯一识别码。 设备款型 目前支持USG6603F-C、USG6000E等系列款型。 租户 安全设备所归属的代维租户。 防护网段 可配置防护网段及范围,用回车分隔。示例: 10.0.0.0/11 10.0.0.0-10.31.255.255。 工作模式 传统模式:设备的默认运行模式,需要您自己登录设备进行网络配置。 云管模式:可以在本平台进行基础网络配置。 导出安全设备清单。 单击设备列表右上角“导出”,可以导出当前安全设备清单。 最多导出10000条设备数据,如果导出的 CS V中有以@-+=开头的字段,可能有CSV注入风险。 查看安全设备详情。 单击安全设备列表“设备名称”栏中任意一项,右侧弹出“设备详情”页面,包含设备名称、版本、License信息等设备信息。 图3 安全设备详情页 当前仅如下款型设备支持查看License资源信息。 USG6307F-D,USG6311F-D,USG6331F-D,USG6306F,USG6303F,USG6308F,USG6315F,USG6325F,USG6355F,USG6000F-E01,USG6000F-E03,USG6000F-E05,USG6000F-E07,USG6000F-E09,USG6000F-E12,USG6000F-E15,USG6000F-E20,USG6510F-D,USG6530F-D,USG6530F-DL,USG6530F-DPL,USG6510F-DK,USG6510F-DL,USG6510F-DPL,USG6525F,USG6555F,USG6565F,USG6585F,USG6585F-B,USG6520F-K,USG6560F-K,USG6590F-K,USG6525F,USG6565F,USG6615F,USG6625F,USG6635F,USG6655F,USG6685F,USG6620F-K,USG6650F-K,USG6710F,USG6715F,USG6725F,USG6710F-K,USG12004F,USG12008F,USG12008,USG12004,USG12004-K,USG6502F-C,USG6505F-C,USG6603F-C/600M,USG6603F-C/1G,USG6603F-C/2G,USG6603F-C/3G,USG6606F-C,Eudemon1000E-C1A,Eudemon1000E-C5A,Eudemon1000E-C8A,Eudemon1000E-C10A,Eudemon1000E-C10,Eudemon1000E-S1A,Eudemon1000E-S5A,Eudemon1000E-S8A,Eudemon1000E-S10A,Eudemon1000E-S10,Eudemon1000E-M1A,Eudemon1000E-M2A,Eudemon1000E-M3A,Eudemon1000E-M5A,Eudemon1000E-M10A,Eudemon1000E-M10,Eudemon1000E-T1A,Eudemon1000E-T3A,Eudemon1000E-T5A,Eudemon1000E-T10A。 安全设备操作。已添加的安全设备支持搜索、编辑、删除和远程登录操作,具体参见表4。 表4 安全设备操作表 操作 说明 搜索 关键字搜索:在安全设备列表左上方输入SN号或设备名称,单击图标或回车键进行搜索。 条件搜索:单击“高级搜索”,根据租户名称、设备状态、设备类型搜索。 编辑 选择目标安全设备,单击列表中,修改设备名称等。 删除 选择目标安全设备,单击列表中或列表右上角“删除”。一旦删除,将无法处置设备上的事件,请谨慎操作。 远程登录 选择目标安全设备,单击列表中,支持进入租户代维,远程登录租户设备。 说明: 仅处于正常状态或告警状态的设备支持远程登录功能。
  • DDS权限 默认情况下,管理员创建的 IAM 用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 DDS部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如华北-北京4)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问DDS时,需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对DDS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,DDS支持的API授权项请参见文档数据库服务授权项说明 。 如表1所示,包括了DDS的所有系统权限。 表1 DDS系统权限 策略名称/系统角色 描述 类别 依赖关系 DDS FullAccess 文档数据库服务所有权限。 系统策略 创建包周期实例需要配置CBC权限。 bss:balance:view bss:balance:update bss:order:view bss:order:pay bss:order:update bss:renewal:view bss:renewal:update 退订包周期实例需要配置CBC权限。 bss:unsubscribe:update DDS ReadOnlyAccess 文档数据库服务资源只读权限,拥有该权限的用户仅能查看文档数据库服务数据。 系统策略 无。 表2列出了DDS常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 DDS FullAccess DDS ReadOnlyAccess 创建实例 √ x 查询实例列表 √ √ 删除实例 √ x 重启实例 √ x 主备倒换 √ x 修改端口 √ x 重置密码 √ x 修改SSL √ x 修改安全组 √ x 绑定/解绑公网IP √ x 磁盘扩容 √ x 规格变更 √ x 节点扩容 √ x 删除扩容失败节点 √ x 修改备份策略 √ x 重命名实例 √ x 修改内网IP地址 √ x 变更实例下节点绑定的参数模板 √ x 切换慢日志明文显示开关 √ x 切换审计日志开关 √ x 下载审计日志 √ x 删除审计日志 √ x 下载备份文件 √ x 创建手动备份 √ x 查询备份列表 √ √ 恢复到新实例 √ x 恢复到已有实例 √ x 删除备份 √ x 创建参数模板 √ x 查询参数模板列表 √ √ 修改参数模板 √ x 删除参数模板 √ x 任务中心列表 √ x 停止备份 √ x 表3列出了DDS常用操作以及对应的授权项,您可以参照该表自定义配置权限策略。 表3 常用操作与对应的授权项 操作 授权项 授权范围 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 支持: IAM项目(Project) 企业项目(Enterprise Project) 创建页需要查询对应的VPC、子网、安全组。 创建实例 dds:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持: IAM项目(Project) 企业项目(Enterprise Project) 界面使用默认VPC、子网、安全组需对应配置vpc:*:create权限, 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 dds:instance:list 支持: IAM项目(Project) 企业项目(Enterprise Project) - 查询实例详情 dds:instance:list 支持: IAM项目(Project) 企业项目(Enterprise Project) 如果实例详情界面需要展示VPC、子网、安全组,请增加vpc:*:get和vpc:*:list授权项。 导出实例列表 dds:instance:list 支持: IAM项目(Project) 企业项目(Enterprise Project) 如果需要导出VPC、子网、安全组,请增加vpc:*:get和vpc:*:list授权项。 删除实例 dds:instance:deleteInstance 支持: IAM项目(Project) 企业项目(Enterprise Project) 删除实例需要同时删除数据侧IP地址。 重启实例 dds:instance:reboot 支持: IAM项目(Project) 企业项目(Enterprise Project) - 主备倒换 dds:instance:switchover 支持: IAM项目(Project) 企业项目(Enterprise Project) - 修改端口 dds:instance:modifyPort 支持: IAM项目(Project) 企业项目(Enterprise Project) - 重置密码 dds:instance:resetPasswd 支持: IAM项目(Project) 企业项目(Enterprise Project) - 修改SSL dds:instance:modifySSL 支持: IAM项目(Project) 企业项目(Enterprise Project) - 修改安全组 dds:instance:modifySecurityGroup 支持: IAM项目(Project) 企业项目(Enterprise Project) - 绑定公网IP dds:instance:bindPublicIp 支持: IAM项目(Project) 绑定公网IP时,需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 具体请参见浮动IP。 解绑公网IP dds:instance:unbindPublicIp 支持: IAM项目(Project) 不支持企业项目 不支持细粒度 具体请参见浮动IP。 磁盘扩容 dds:instance:extendVolume 支持: IAM项目(Project) 企业项目(Enterprise Project) - 规格变更 dds:instance:modifySpec 支持: IAM项目(Project) 企业项目(Enterprise Project) - 节点扩容 dds:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持: IAM项目(Project) 企业项目(Enterprise Project) - 删除扩容失败节点 dds:instance:extendNode 支持: IAM项目(Project) 企业项目(Enterprise Project) 如果IP地址已经创建完成,但后续流程失败,需要同时删除数据侧IP地址。 修改备份策略 dds:instance:modifyBackupPolicy 支持: IAM项目(Project) 企业项目(Enterprise Project) - 重命名实例 dds:instance:modify 支持: IAM项目(Project) 企业项目(Enterprise Project) - 修改内网IP地址 dds:instance:modifyVIP vpc:subnets:get vpc:ports:get 支持: IAM项目(Project) 企业项目(Enterprise Project) 修改内网IP地址,需要预先查询出可用的IP地址,再进行修改。 变更实例下节点绑定的参数模板 dds:instance:modifyParameter 支持: IAM项目(Project) 企业项目(Enterprise Project) - 切换慢日志明文显示开关 dds:instance:modifySlowLogPlaintextSwitch 支持: IAM项目(Project) 企业项目(Enterprise Project) - 切换审计日志开关 dds:instances:modifyAuditLogSwitch 支持: IAM项目(Project) 企业项目(Enterprise Project) - 下载审计日志 dds:instances:downloadAuditLog 支持: IAM项目(Project) 企业项目(Enterprise Project) - 删除审计日志 dds:instance:deleteAuditLog 支持: IAM项目(Project) 企业项目(Enterprise Project) - 下载备份文件 dds:backup:download 支持: IAM项目(Project) 企业项目(Enterprise Project) - 按需转包周期 dds:instances:renew 支持: IAM项目(Project) 企业项目(Enterprise Project) - 创建手动备份 dds:instance:createManualBackup 支持: IAM项目(Project) 企业项目(Enterprise Project) - 查询备份列表 dds:backup:list 支持: IAM项目(Project) 企业项目(Enterprise Project) - 恢复到新实例 dds:backup:createInstanceFromBackup vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持: IAM项目(Project) 企业项目(Enterprise Project) 加密实例需要在项目上配置KMS Administrator权限。 恢复到已有实例 dds:backup:refreshInstanceFromBackup 支持: IAM项目(Project) 企业项目(Enterprise Project) - 删除备份 dds:backup:delete 支持: IAM项目(Project) 企业项目(Enterprise Project) - 创建参数模板 dds:param:create 支持: IAM项目(Project) 企业项目(Enterprise Project) - 查询参数模板列表 dds:param:list 支持: IAM项目(Project) 企业项目(Enterprise Project) - 修改参数模板 dds:param:modify 支持: IAM项目(Project) 企业项目(Enterprise Project) - 删除参数模板 dds:param:delete 支持: IAM项目(Project) 企业项目(Enterprise Project) - 任务中心列表 dds:task:list 支持: IAM项目(Project) 企业项目(Enterprise Project) - 停止备份 dds:backup:stop 支持: IAM项目(Project) 企业项目(Enterprise Project) - 查询日志配置组 lts:groups:get 支持: IAM项目(Project) 企业项目(Enterprise Project) - 查询日志配置流 lts:topics:get 支持: IAM项目(Project) 企业项目(Enterprise Project) -
  • 开通 云消息 服务( KooMessage ) 云消息服务(KooMessage)需要先开通才能订购和使用,当前仅支持华为云主账号开通。 您可以自助开通免审核。 登录KooMessage控制台。 KooMessage服务只向通过认证的企业提供开通,如还未完成企业用户认证,请单击“去认证企业用户”进行认证。 勾选“我已阅读并同意《KooMessage服务使用声明》《短信服务使用声明》”,单击“立即开通”。 图1 开通KooMessage服务 开通成功后进入控制台首页,且后续直接登录使用无需再开通。
  • 购买套餐包 开通KooMessage服务后,默认自动开通按需计费。 购买套餐包后,优先扣除套餐包额度,超出部分按需计费。 请谨慎选择所需购买的套餐包,购买成功后无法申请退款。 单击“总览”界面右上角的“购买套餐包”,进入“购买KooMessage套餐包”页面。 参考表1填写各参数。 表1 套餐包基本信息 参数类型 参数项 说明 示例 智能信息基础版 套餐类型 三网通道发送短信,移动、联通、电信号码均可发送,要求移动号码发送量占比不低于75%。 智能信息基础版(三网通道) 套餐 选择需要的套餐。 100万条套餐 购买数量 选择需要的数量。 1 填写完成后,页面下方会出现“配置费用”,确认无误后,单击“去支付”进入到“购买KooMessage套餐包”页面。 在“购买KooMessage套餐包”页面查看“云服务订单”,选择支付方式。 单击“确认付款”。 若开启操作保护,则会弹出“身份验证”对话框,进行身份验证。根据界面提示进行验证,并单击“确定”。 界面提示订单支付成功,购买完成。
  • 开通云消息服务(KooMessage) 云消息服务(KooMessage)需要先开通才能订购和使用,当前仅支持华为云主账号开通。 您可以自助开通免审核。 登录KooMessage控制台。 KooMessage服务只向通过认证的企业提供开通,如还未完成企业用户认证,请单击“去认证企业用户”进行认证。 勾选“我已阅读并同意《KooMessage服务使用声明》《短信服务使用声明》”,单击“立即开通”。 图1 开通KooMessage服务 开通成功后进入控制台首页,且后续直接登录使用无需再开通。
  • 购买套餐包 开通KooMessage服务后,默认自动开通按需计费。 购买套餐包后,优先扣除套餐包额度,超出部分按需计费。 请谨慎选择所需购买的套餐包,购买成功后无法申请退款。 单击“总览”界面右上角的“购买套餐包”,进入“购买KooMessage套餐包”页面。 参考表1填写各参数。 表1 套餐包基本信息 参数类型 参数项 说明 示例 智能信息基础版 套餐类型 按点击量(点击次数PV)收费。其中,用户点击智能信息服务号的菜单一次,为一次点击。 智能信息服务号 套餐 选择需要的套餐。 30万次套餐 购买数量 选择需要的数量。 1 填写完成后,页面下方会出现“配置费用”,确认无误后,单击“去支付”进入到“购买KooMessage套餐包”页面。 在“购买KooMessage套餐包”页面查看“云服务订单”,选择支付方式。 单击“确认付款”。 若开启操作保护,则会弹出“身份验证”对话框,进行身份验证。根据界面提示进行验证,并单击“确定”。 界面提示订单支付成功,购买完成。
  • 开通云消息服务(KooMessage) 云消息服务(KooMessage)需要先开通才能订购和使用,当前仅支持华为云主账号开通。 您可以自助开通免审核。 登录KooMessage控制台。 KooMessage服务只向通过认证的企业提供开通,如还未完成企业用户认证,请单击“去认证企业用户”进行认证。 勾选“我已阅读并同意《KooMessage服务使用声明》《短信服务使用声明》”,单击“立即开通”。 图1 开通KooMessage服务 开通成功后进入控制台首页,且后续直接登录使用无需再开通。
  • 购买套餐包 该解决方案需进行如下资源规划。 开通KooMessage服务后,默认自动开通按需计费。购买按需套餐包后,优先扣除按需套餐包额度,超出部分按需计费。 请谨慎选择所需购买的套餐包,购买成功后无法申请退款。 单击“总览”界面右上角的“购买套餐包”,进入“购买KooMessage套餐包”页面。 参考表1填写各参数。 表1 套餐包基本信息 参数类型 参数项 说明 示例 智能信息 信息类型 选择需要的信息类型。 智能信息发送和解析-营销类 套餐 选择需要的套餐。 10万条套餐 购买数量 选择需要的数量。 1 填写完成后,页面下方会出现“配置费用”,确认无误后,单击“去支付”进入到“购买KooMessage套餐包”页面。 在“购买KooMessage套餐包”页面查看“云服务订单”,选择支付方式。 单击“确认付款”。 若开启操作保护,则会弹出“身份验证”对话框,进行身份验证。根据界面提示进行验证,并单击“确定”。 界面提示订单支付成功,购买完成。
  • 一体化智能营销发送 表4 KooMessage 一体化智能营销发送操作与系统策略关系 操作 KooMessage FullAccess KooMessage ReadOnlyAccess KooMessage CommonOperations KooMessage触发精准发送任务 √ × √ KooMessage查询精准发送任务管理 √ √ √ KooMessage查询精准解析明细管理 √ √ √ KooMessage查询一体化发送额度 √ √ √ KooMessage查询精准发送明细管理 √ √ √ 查询已创建的人群包列表 √ √ √ 删除单个人群包 √ × × 查询商家人群包个数上限 √ √ √ 商家上传号码服务 √ × √ 查询客户号码包上传列表 √ √ √
  • 内置保留字段说明 表1 内置保留字段说明 内置保留字段 数据格式 索引与统计设置 说明 collectTime 整型,Unix时间戳(毫秒) 索引设置:开启索引后,日志服务默认为collectTime创建字段索引,索引数据类型为long类型。 查询时输入collectTime : xxx。 采集时间,指日志被采集器ICAgent采集时的时间。 示例中的"collectTime":"1681896081334",转换成标准时间是2023-04-19 17:21:21 __time__ 整型,Unix时间戳(毫秒) 索引设置:开启索引后,日志服务默认为time创建字段索引,索引数据类型为long类型。该字段不支持查询。 日志时间,指的是日志在控制台页面展示的日志时间。 例如示例中的"__time__":"1681896081334",转换成标准时间是2023-04-19 17:21:21 日志时间默认使用采集时间,也支持自定义日志时间。 lineNum 整型 索引设置:开启索引后,日志服务默认为lineNum创建字段索引,索引数据类型为long类型。 行号(偏移量),用来排序日志。 非高精度日志会根据collectTime生成,默认是collectTime * 1000000 + 1,高精度日志就是用户上报的纳秒值。 例如示例中的"lineNum":"1681896081333991900"。 category 字符串 索引设置:开启索引后,日志服务默认为category创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入category: xxx。 日志类型,表示该日志的来源。 例如ICAgent采集的日志该字段为LTS,某云服务例如DCS上报的日志该字段为DCS。 clusterName 字符串 索引设置:开启索引后,日志服务默认为clusterName创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入clusterName: xxx。 集群名称,k8s场景下集群名称。 例如示例中的"clusterName":"epstest"。 clusterId 字符串 索引设置:开启索引后,日志服务默认为clusterId创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入clusterId: xxx。 集群ID,k8s场景下集群ID。 例如示例中的"clusterId":"c7f3f4a5-xxxx-11ed-a4ec-0255ac100b07"。 nameSpace 字符串 索引设置:开启索引后,日志服务默认为nameSpace创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入nameSpace: xxx。 命名空间,k8s场景下命名空间。 例如示例中的"nameSpace":"monitoring"。 appName 字符串 索引设置:开启索引后,日志服务默认为appName创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入appName: xxx。 组件名称,k8s场景下工作负载的名称。 例如示例中的"appName":"alertmanager-alertmanager"。 serviceID 字符串 索引设置:开启索引后,日志服务默认为serviceID创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入serviceID: xxx。 工作负载ID,k8s场景下工作负载ID。 例如示例中的"serviceID":"cf5b453xxxad61d4c483b50da3fad5ad"。 podName 字符串 索引设置:开启索引后,日志服务默认为podName创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入podName: xxx。 POD名称,k8s场景下POD名称。 例如示例中的"podName":"alertmanager-alertmanager-0"。 podIp 字符串 索引设置:开启索引后,日志服务默认为podIp创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入podIp: xxx。 pod的ip,k8s场景下pod的IP地址。 例如示例中的"podIp":"10.0.0.145"。 containerName 字符串 索引设置:开启索引后,日志服务默认为containerName创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入containerName: xxx。 容器名称,k8s场景下容器名称。 例如示例中的"containerName":"config-reloader"。 hostName 字符串 索引设置:开启索引后,日志服务默认为hostName创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入hostName: xxx。 主机名称,ICAgent所在主机的名称。 例如示例中的"hostName":"epstest-xx518"。 hostId 字符串 索引设置:开启索引后,日志服务默认为hostId创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入hostId: xxx。 主机ID,ICAgent所在主机的id,该id由ICAgent生成。 例如示例中的"hostId":"318c02fe-xxxx-4c91-b5bb-6923513b6c34"。 hostIP 字符串 索引设置:开启索引后,日志服务默认为hostIP创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入hostIP: xxx。 主机IP,日志采集器所在主机的ip(适用于ipv4场景) 例如示例中的"hostIP":"192.168.0.31"。 hostIPv6 字符串 索引设置:开启索引后,日志服务默认为hostIPv6创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入hostIPv6: xxx。 主机IP,日志采集器所在主机的ip(适用于ipv6场景) 例如示例中的"hostIPv6":""。 pathFile 字符串 索引设置:开启索引后,日志服务默认为pathFile创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入pathFile: xxx。 文件路径,采集的日志文件的路径。 例如示例中的"pathFile":"stdout.log"。 content 字符串 索引设置:开启全文索引后,会使用全文索引定义的分词符对content字段的value进行分词;不支持将content字段配置到字段索引中。 日志原文 例如示例中的"content":"level=error ts=2023-04-19T09:21:21.333895559Z" logContent 字符串 不支持将logContent字段配置到字段索引中。 不涉及。 logContentSize 整型 不支持将logContentSize字段配置到字段索引中。 不涉及。 logIndexSize 整型 不支持将logIndexSize字段配置到字段索引中。 不涉及。 groupName 字符串 不支持将groupName字段配置到字段索引中。 不涉及。 logStream 字符串 不支持将logStream字段配置到字段索引中。 不涉及。 __receive_time__ 整型,Unix时间戳(毫秒) 索引设置:开启索引后,日志服务默认为__receive_time__创建字段索引,索引数据类型为long类型。 上报日志的服务端时间,相当于LTS采集端接收到日志的时间。 __client_time__ 整型,Unix时间戳(毫秒) 索引设置:开启索引后,日志服务默认为__client_time__创建字段索引,索引数据类型为long类型。 端侧日志的客户端上报时间。 _content_parse_fail_ 字符串 索引设置:开启索引后,日志服务默认为_content_parse_fail_创建字段索引,索引数据类型为string类型,分词字符为默认分词符。查询时输入_content_parse_fail_: xxx。 上报日志解析失败的日志内容。 __save_time__ 整型,Unix时间戳(毫秒) 索引设置:开启索引后,日志服务默认为__save_time__创建字段索引,索引数据类型为long类型。 日志流引擎的时间字段,根据此时间拉取对应时间段内的日志数据。 __time 整型,Unix时间戳(毫秒) 索引设置:开启索引后,日志服务默认为__time创建字段索引,索引数据类型为date类型。 采集时间,用于兼容可视化查询。
  • 内置保留字段说明 表1 内置保留字段说明 内置保留字段 数据格式 索引与统计设置 说明 collectTime 整型,Unix时间戳(毫秒) 索引设置:开启索引后,日志服务默认为collectTime创建字段索引,索引数据类型为long类型。 查询时输入collectTime : xxx。 采集时间,指日志被采集器ICAgent采集时的时间。 示例中的"collectTime":"1681896081334",转换成标准时间是2023-04-19 17:21:21 __time__ 整型,Unix时间戳(毫秒) 索引设置:开启索引后,日志服务默认为time创建字段索引,索引数据类型为long类型。该字段不支持查询。 日志时间,指的是日志在控制台页面展示的日志时间。 例如示例中的"__time__":"1681896081334",转换成标准时间是2023-04-19 17:21:21 日志时间默认使用采集时间,也支持自定义日志时间。 lineNum 整型 索引设置:开启索引后,日志服务默认为lineNum创建字段索引,索引数据类型为long类型。 行号(偏移量),用来排序日志。 非高精度日志会根据collectTime生成,默认是collectTime * 1000000 + 1,高精度日志就是用户上报的纳秒值。 例如示例中的"lineNum":"1681896081333991900"。 category 字符串 索引设置:开启索引后,日志服务默认为category创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入category: xxx。 日志类型,表示该日志的来源。 例如ICAgent采集的日志该字段为LTS,某云服务例如DCS上报的日志该字段为DCS。 clusterName 字符串 索引设置:开启索引后,日志服务默认为clusterName创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入clusterName: xxx。 集群名称,k8s场景下集群名称。 例如示例中的"clusterName":"epstest"。 clusterId 字符串 索引设置:开启索引后,日志服务默认为clusterId创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入clusterId: xxx。 集群ID,k8s场景下集群ID。 例如示例中的"clusterId":"c7f3f4a5-xxxx-11ed-a4ec-0255ac100b07"。 nameSpace 字符串 索引设置:开启索引后,日志服务默认为nameSpace创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入nameSpace: xxx。 命名空间,k8s场景下命名空间。 例如示例中的"nameSpace":"monitoring"。 appName 字符串 索引设置:开启索引后,日志服务默认为appName创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入appName: xxx。 组件名称,k8s场景下工作负载的名称。 例如示例中的"appName":"alertmanager-alertmanager"。 serviceID 字符串 索引设置:开启索引后,日志服务默认为serviceID创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入serviceID: xxx。 工作负载ID,k8s场景下工作负载ID。 例如示例中的"serviceID":"cf5b453xxxad61d4c483b50da3fad5ad"。 podName 字符串 索引设置:开启索引后,日志服务默认为podName创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入podName: xxx。 POD名称,k8s场景下POD名称。 例如示例中的"podName":"alertmanager-alertmanager-0"。 podIp 字符串 索引设置:开启索引后,日志服务默认为podIp创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入podIp: xxx。 pod的ip,k8s场景下pod的IP地址。 例如示例中的"podIp":"10.0.0.145"。 containerName 字符串 索引设置:开启索引后,日志服务默认为containerName创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入containerName: xxx。 容器名称,k8s场景下容器名称。 例如示例中的"containerName":"config-reloader"。 hostName 字符串 索引设置:开启索引后,日志服务默认为hostName创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入hostName: xxx。 主机名称,ICAgent所在主机的名称。 例如示例中的"hostName":"epstest-xx518"。 hostId 字符串 索引设置:开启索引后,日志服务默认为hostId创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入hostId: xxx。 主机ID,ICAgent所在主机的id,该id由ICAgent生成。 例如示例中的"hostId":"318c02fe-xxxx-4c91-b5bb-6923513b6c34"。 hostIP 字符串 索引设置:开启索引后,日志服务默认为hostIP创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入hostIP: xxx。 主机IP,日志采集器所在主机的ip(适用于ipv4场景) 例如示例中的"hostIP":"192.168.0.31"。 hostIPv6 字符串 索引设置:开启索引后,日志服务默认为hostIPv6创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入hostIPv6: xxx。 主机IP,日志采集器所在主机的ip(适用于ipv6场景) 例如示例中的"hostIPv6":""。 pathFile 字符串 索引设置:开启索引后,日志服务默认为pathFile创建字段索引,索引数据类型为string类型,分词字符为空。查询时输入pathFile: xxx。 文件路径,采集的日志文件的路径。 例如示例中的"pathFile":"stdout.log"。 content 字符串 索引设置:开启全文索引后,会使用全文索引定义的分词符对content字段的value进行分词;不支持将content字段配置到字段索引中。 日志原文 例如示例中的"content":"level=error ts=2023-04-19T09:21:21.333895559Z" logContent 字符串 不支持将logContent字段配置到字段索引中。 不涉及。 logContentSize 整型 不支持将logContentSize字段配置到字段索引中。 不涉及。 logIndexSize 整型 不支持将logIndexSize字段配置到字段索引中。 不涉及。 groupName 字符串 不支持将groupName字段配置到字段索引中。 不涉及。 logStream 字符串 不支持将logStream字段配置到字段索引中。 不涉及。 __receive_time__ 整型,Unix时间戳(毫秒) 索引设置:开启索引后,日志服务默认为__receive_time__创建字段索引,索引数据类型为long类型。 上报日志的服务端时间,相当于LTS采集端接收到日志的时间。 __client_time__ 整型,Unix时间戳(毫秒) 索引设置:开启索引后,日志服务默认为__client_time__创建字段索引,索引数据类型为long类型。 端侧日志的客户端上报时间。 _content_parse_fail_ 字符串 索引设置:开启索引后,日志服务默认为_content_parse_fail_创建字段索引,索引数据类型为string类型,分词字符为默认分词符。查询时输入_content_parse_fail_: xxx。 上报日志解析失败的日志内容。 __save_time__ 整型,Unix时间戳(毫秒) 索引设置:开启索引后,日志服务默认为__save_time__创建字段索引,索引数据类型为long类型。 日志流引擎的时间字段,根据此时间拉取对应时间段内的日志数据。 __time 整型,Unix时间戳(毫秒) 索引设置:开启索引后,日志服务默认为__time创建字段索引,索引数据类型为date类型。 采集时间,用于兼容可视化查询。
  • 504 Gateway Timeout错误排查思路和处理建议 完成WAF 域名 接入配置之后,业务正常,但当业务量增加时,发生504错误的概率增加,直接访问源站IP也有一定概率出现504错误,请参考图8进行排查处理。 图8 504错误排查思路 表2 504错误问题处理 可能原因 排查方法 处理建议 原因一:后端服务器性能问题(连接数,CPU内存占用过大等) 源站性能问题,可以排查源站访问日志以及访问流量情况,定性分析。 优化服务器的相关配置,包括TCP网络参数的优化配置,ulimit相关参数设置等。 如果是云模式部署方式,建议在ELB上增加后端服务器组或创建新的ELB,支撑大量增长的业务量。 增加后端服务器组的详细操作,请参见添加后端云服务器(共享型)。 配置新ELB的操作,请参考步骤 1~步骤 7。 如果“对外协议”是HTTPS,建议在WAF设置HTTPS转发,回源走HTTP协议即“源站协议”设置为HTTP,降低后端服务器的计算压力。 修改服务器信息的详细操作,请参见修改服务器信息。 使用CC防护规则,拦截恶意流量。 原因二: 安全组未将WAF回源IP设置为白名单或未放开端口 源站有防火墙设备,且该防火墙设备拦截了WAF的回源IP 建议采用以下方法进行排查: 排查客户源站是否有安全组,防火墙,服务器安全软件等。 在客户端与WAF上同时进行抓包分析,排查源站防火墙等设备对WAF的长连接是否有主动丢包的现象。 源站服务器配置放行WAF回源IP的访问控制策略。 云模式:请参见如何放行云模式WAF的回源IP段?。 独享模式:请参见放行独享引擎回源IP。 建议您关闭防火墙和服务器安全防护软件。 原因三:连接超时、read超时 说明: 源站响应时间过长导致504(数据库查询时间过长,大文件上传时间过长,源站故障等)。 WAF回源到客户源站超时时间大多为60秒或180秒,若超时则会报错504。 该问题有以下排查方法: 绕过WAF,直接访问客户源站,查看响应时长 查看全量日志里面访问日志源站响应时长 建议客户绕过WAF测试上传功能,并检查客户上传文件大小 数据库查询时间过长: 调整优化业务,尽量缩短查询时长,优化用户体验。 修改请求的交互方式,让这种长连接在 60s 内能有一些数据交互(如,ack报文、心跳包、keep-alive等任何可以维持会话的报文)。 大文件上传时间过长: 调整优化业务,尽量缩短文件上传时间。 建议使用FTP方式上传文件。 直接通过IP上传,或者使用没有被WAF防护的域名上传。 使用WAF的独享模式,独享WAF回源超时默认为180s。 源站故障类: 检查源站业务是否正常。 原因四:源站带宽不足,访问流量过大,带宽超限制 该问题有以下排查方法: 若客户配置的WAF后端为7层ELB,则可以在ELB上查504相关日志 若客户配置的WAF后端为4层ELB,则可以在ELB上查“Traffic exceeded the bandwidth threshold”相关字段日志 若客户配置的WAF后端为EIP,则在504高峰查看EIP流量监控。 扩展源站服务器带宽。 创建新的ELB,参照以下方法将ELB的EIP作为服务器的IP地址,接入WAF。 修改服务器信息,大约需要2分钟同步生效。 创建负载均衡器。 登录管理控制台。 进入网站设置页面入口,如图9所示。 图9 网站设置入口 在目标域名所在行的“防护网站”列中,单击目标域名,进入域名基本信息页面。 在“服务器信息”栏中,单击,进入“修改服务器信息”页面,单击“添加”,新增后端服务器。 图10 服务器配置 将“源站地址”设置为ELB的弹性公网IP地址。 单击“确定”,服务器信息修改成功。
  • Web应用防火墙 支持哪些防护规则? Web应用防火墙支持的防护规则如表1所示。 表1 可配置的防护规则 防护规则 说明 Web基础防护规则 覆盖OWASP(Open Web Application Security Project,简称OWASP)TOP 10中常见安全威胁,通过预置丰富的信誉库,对恶意扫描器、IP、网马等威胁进行检测和拦截。 CC攻击防护规则 可以自定义CC防护规则,限制单个IP/Cookie/Referer访问者对您的网站上特定路径(URL)的访问频率,WAF会根据您配置的规则,精准识别CC攻击以及有效缓解CC攻击。 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合,定制化防护策略,为您的网站带来更精准的防护。 黑白名单规则 配置黑白名单规则,阻断、仅记录或放行指定IP的访问请求,即设置IP黑/白名单。 攻击惩罚规则 当恶意请求被拦截时,可设置自动封禁访问者一段时间,该功能和其他规则结合使用。 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 网页防篡改规则 当用户需要防护静态页面被篡改时,可配置网页防篡改规则。 网站反爬虫规则 动态分析网站业务模型,结合人机识别技术和数据风控手段,精准识别爬虫行为。 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则: 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理,防止用户的敏感信息(例如:身份证号、电话号码、电子邮箱等)泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 全局白名单规则 针对特定请求忽略某些攻击检测规则,用于处理误报事件。 隐私屏蔽规则 隐私信息屏蔽,避免用户的密码等信息出现在事件日志中。 父主题: 其他类
  • Token校验 客户端在使用Token校验的流程如下。 已获取大屏分享链接和Token。 例如,分享链接https://console.ulanqab.huawei.com/sve/preview.html?region=cn-north-7#/screen/share/18cd21df7bc-WPgj_GqRc。其中“region”的值为“cn-north-7”,“pageId”的值为“18cd21df7bc-WPgj_GqRc”。 使用代码开发工具将大屏分享链接中的pageId和region拼接成如下格式的字符串。 pageId|region; 使用HmacSHA256算法对拼接的字符串进行签名,并将签名后的字符串使用Base64进行转换。签名时需要使用对应的Token。 HmacSHA256签名和Base64转换的示例如下: import java.security.*; import javax.crypto.*; import javax.crypto.spec.SecretKeySpec; import org.apache.commons.codec.binary.Base64; import java.net.URLEncoder; public class ShareWithTokenTest { public static void main(String[] args) throws Exception { System.out.println(getShareUrlWithToken("********722467a9477b5b*******", "cn-7", "*******r1tyy1C7Jenni3p*********")); } public static String getShareUrlWithToken(String pageId, String region, String token){ String data = pageId + "|" + region; String signature = HMACSHA256(data.getBytes(), token.getBytes()); String url = "https://console.huaweicloud.com/sve/share/page.html?id=" + pageId + "®ion=" + region + "&sve_signature=" + signature; return url; } //采用HmacSHA256进行签名并进行Base64转换 public static String HMACSHA256(byte[] data, byte[] key) { try { SecretKeySpec signingKey = new SecretKeySpec(key, "HmacSHA256"); Mac mac = Mac.getInstance("HmacSHA256"); mac.init(signingKey); return URLEncoder.encode(Base64.encodeBase64String(mac.doFinal(data))); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } catch (InvalidKeyException e) { e.printStackTrace(); } return null; } } 将转换后的字符串赋值给sveSignature,sveSignature参数拼接到大屏分享链接中获取新的访问链接。 例如,新的访问链接https://console.ulanqab.huawei.com/sve/preview.html?sveSignature=1OP99N6yxCDmEiH4aNMU1GAwtKspSg4fJ/zh0679k=®ion=cn-north-7#/screen/share/18cd21df7bc-WPgj_GqRc
共100000条