本节提供了天翼云电脑(公众版)相关使用指南文档下载 天翼AI云电脑（公众版）终端用户使用指南.pdf 天翼AI云电脑Windows桌面设置系统语言指导手册.pdf 天翼AI云电脑外设使用指南.pdf

您可以通过快捷链接实现快速访问已开通服务。 如果用户需要访问虚拟私有云（VPC）、云间高速（标准版），或者用户已经开通了“日志审计”、“防火墙”业务，可通过快捷链接实现快速访问“虚拟私有云”、“云间高速(标准版)”、“日志审计”、“防火墙”等服务。 如果您想了解如何开通“日志审计”、“防火墙”业务，可联系您的客户经理进行咨询。

本文以“Windows Server 2008 R2 标准版 64位中文版”操作系统为例,分别介绍如何将系统盘和数据盘的扩容部分容量划分至原有分区内与新增分区中。 操作场景 在控制台上扩容成功后，用户需要将扩容部分的容量划分至原有分区内，或者对扩容部分的容量分配新的分区，具体说明如下。 云硬盘 扩容场景 操作示例 系统盘 系统盘扩容至原有分区 已有C盘的情况下，将扩容部分的容量划分至原有分区中，即增加到C盘中。 系统盘 系统盘扩容至新增分区 已有C盘的情况下，为扩容部分的容量分配新的分区，即新创建一块F盘，用作数据盘。 数据盘 数据盘扩容至原有分区 已有E盘的情况下，将扩容部分的容量划分至原有分区中，即增加到E盘中。 数据盘 数据盘扩容至新增分区 已有E盘的情况下，为扩容部分的容量分配新的分区，即新创建一块G盘，用作数据盘。 本文以“Windows Server 2008 R2 标准版64位中文版”操作系统为例，分别介绍如何将系统盘和数据盘的扩容部分容量划分至原有分区与新增分区内。不同操作系统的操作可能不同，本文仅供参考。 注意 扩容时请谨慎操作，误操作可能会导致数据丢失或者异常，建议扩容前对数据进行备份，推荐使用云硬盘备份。

本节主要介绍弹性文件服务的规格类常见问题 在文件系统中存放的单个文件最大支持多少？ SFS支持存放最大为240TB的单个文件。 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB等类型的SFS Turbo文件系统支持存放最大为320TB的单个文件；标准型、标准型增强版、性能型、性能型增强版等类型的SFS Turbo文件系统支持存放最大为16TB的单个文件。 弹性文件服务支持哪些访问协议？ SFS容量型支持标准的NFSv3协议和CIFS协议；SFS Turbo支持标准的NFSv3协议。 每个帐户最多可以创建多少个文件系统？ SFS容量型文件系统支持同时创建多个。当需要创建多于20个SFS容量型文件系统时，可“提交工单”申请扩大配额。 SFS Turbo文件系统单次只能创建一个。当需要创建多于20个SFS Turbo文件系统时，可“提交工单”申请扩大配额。 一个文件系统最多支持同时挂载到多少台云服务器上？ 一个SFS容量型文件系统最多支持同时挂载到10000台云服务器上。 一个SFS Turbo文件系统标准型、标准型增强版、性能型、性能型增强版最多支持同时挂载到500台云服务器上。 一个SFS Turbo文件系统20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB最多支持同时挂载到3000台云服务器上。

本页介绍天翼云TeleDB数据库生命周期政策。 各版本生命周期策略 为了适配不同用户需求和使用场景，该产品共发行如下几个版本。 正式发布版本 （Release）：指经过一系列测试和验证之后最终交付用户使用的版本。 客户定制版本 （Customized）：指根据客户需求的特定功能或场景进行定制的版本。 其它版本 ：包括 内部测试版本 (Alpha)、 公开测试版本 (Beta)、客户验证 版本 （Proof of Concept，POC）和 发行候选版本 （Release Candidate，RC）等。 内部测试版本 (Alpha)：指主要以实现软件功能为主的内部测试版本。 公开测试版本 (Beta)：指比Alpha版本更稳定，但仍需继续完善的公开测试版本。 客户验证版本 （Proof of Concept，POC）：指用户对具体应用的验证性测试的版本。 发行候选版本 （Release Candidate，RC）：指正式发布版本的前一个版本。 本政策仅适用于 正式发布版本（Release） 。客户定制版本生命周期由与客户签订的服务协议来决定。其它版本如内部测试版本、公开测试版本、POC版本和发行候选版本等随版本发布决定。 本政策仅适用于以软件形态销售的天翼云数据库软件，具体请参照 天翼云数据库软件产品协议的许可范围 。 不包括在软件许可范围内的组件。我们根据实际情况提供支持服务，具体内容和费用根据与客户签订的服务协议来决定。

CCE支持HPA策略和CustomedHPA策略两种工作负载伸缩方式。两种策略的对比如下： HPA和CustomedHPA策略对比 伸缩策略 HPA策略 CustomedHPA策略 实现方式 Kubernetes中实现POD水平自动伸缩的功能，即Horizontal Pod Autoscaling 弹性伸缩增强能力 策略规则 基于指标（CPU利用率、内存利用率），对无状态工作负载进行弹性扩缩容。 基于指标（CPU利用率、内存利用率）或周期（每天、每周、每月或每年的具体时间点），对无状态工作负载进行弹性扩缩容。 主要功能 在kubernetes社区HPA功能的基础上，增加了应用级别的冷却时间窗和扩缩容阈值等功能。 指标触发 支持按照当前实例数的百分比进行扩缩容。 支持设置一次扩缩容的最小步长。 支持按照实际指标值执行不同的扩缩容动作。 周期触发 支持选择天、周、月或年的具体时间点或周期作为触发时间 说明： 伸缩策略优先级：手动伸缩和自动伸缩同时配置的情况下，在不执行手动伸缩时，资源调度以自动伸缩为准，伸缩按照监控信息自动触发，如果使用手动伸缩，自动伸缩会暂时失效。 HPA工作原理 HPA（Horizontal Pod Autoscaler）是用来控制Pod水平伸缩的控制器，HPA周期性检查Pod的度量数据，计算满足HPA资源所配置的目标数值所需的副本数量，进而调整目标资源（如Deployment）的replicas字段。 想要做到自动弹性伸缩，先决条件就是能感知到各种运行数据，例如集群节点、Pod、容器的CPU、内存使用率等等。而这些数据的监控能力Kubernetes也没有自己实现，而是通过其他项目来扩展Kubernetes的能力，CCE提供如下两个插件来实现该能力： []( " ")Prometheus是一套开源的系统监控报警框架，能够采集丰富的Metrics（度量数据），目前已经基本是Kubernetes的标准监控方案。 []( " ")Metrics Server是Kubernetes集群范围资源使用数据的聚合器。Metrics Server从kubelet公开的Summary API中采集度量数据，能够收集包括了Pod、Node、容器、Service等主要Kubernetes核心资源的度量数据，且对外提供一套标准的API。 使用HPA（Horizontal Pod Autoscaler）配合Metrics Server可以实现基于CPU和内存的自动弹性伸缩，再配合Prometheus还可以实现自定义监控指标的自动弹性伸缩。 HPA主要流程如下图所示。 HPA 的核心有如下2 个部分： 监控数据来源 最早社区只提供基于CPU和Mem的HPA，随着应用越来越多搬迁到k8s上以及Prometheus的发展，开发者已经不满足于CPU和Memory，开发者需要应用自身的业务指标，或者是一些接入层的监控信息，例如：Load Balancer的QPS、网站的实时在线人数等。社区经过思考之后，定义了一套标准的Metrics API，通过聚合API对外提供服务。 − metrics.k8s.io： 主要提供Pod和Node的CPU和Memory相关的监控指标。 − custom.metrics.k8s.io： 主要提供Kubernetes Object相关的自定义监控指标。 − external.metrics.k8s.io：指标来源外部，与任何的Kubernetes资源的指标无关。 扩缩容决策算法 HPA controller跟据当前指标和期望指标来计算缩放比例，计算公式如下： desiredReplicas ceil[currentReplicas ( currentMetricValue / desiredMetricValue )] 例如当前的指标值是200m，目标值是100m，那么按照公式计算期望的实例数就会翻倍。那么在实际过程中，可能会遇到实例数值反复伸缩，导致集群震荡。为了保证稳定性，HPA controller从以下几个方面进行优化： − 冷却时间：在1.11版本以及之前的版本，社区引入了horizontalpodautoscalerdownscalestabilizationwindow和horizontalpodautoScalerupscalestabilizationwindow这两个启动参数代表扩容冷却时间和缩容冷却时间，这样保证在冷却时间内，跳过扩缩容。1.14版本之后引入延迟队列，保存一段时间内每一次检测的决策建议，然后根据当前所有有效的决策建议来进行决策，从而保证期望的副本数尽量小的发生变更，保证稳定性。 − 忍受度：可以看成一个缓冲区，当实例变化范围在忍受范围之内的话，保持原有的实例数不变。 首先定义ratio currentMetricValue / desiredMetricValue 当ratio – 1.0 tolerance时， 就会根据之前的公式计算期望值。 当前社区版本中默认值为0.1 由于当前冷却时间窗，忍受度都是全局的参数，对于用户来说，可能应用所需的忍受度和冷却时间窗都不一致，所以当前CCE在社区的基础上，提供应用级别的忍受度和冷却时间窗。 HPA是基于指标阈值进行伸缩的，常见的指标主要是 CPU、内存，当然也可以通过自定义指标，例如QPS、连接数等进行伸缩。但是存在一个问题：基于指标的伸缩存在一定的时延，这个时延主要包含：采集时延(分钟级) + 判断时延(分钟级) + 伸缩时延(分钟级)。这个分钟级的时延，可能会导致应用CPU飚高，相应时间变慢。为了解决这个问题，CCE提供了定时策略，对于一些有周期性变化的应用，提前扩容资源，而业务低谷时，定时回收资源。

本节介绍创建池化云电脑的操作说明。 操作场景 AI云电脑支持共享使用，对无专属数据要求的使用场景，如学校电教室、呼叫中心等用户，可使用池化桌面满足共享资源需求。 可以使用资源包中的资源开通池化桌面，您可以创建一定数量的AI云电脑，与桌面池关联的用户通过先到先得的排队方式使用桌面池中的电脑资源。 池化桌面数量和用户数量最高支持 1:3 配比，若池化桌面已使用完，用户需排队等待。 池化桌面需通过资源包方式开通，请先订购资源包，详见订购资源包。 操作步骤 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“AI云电脑管理”菜单栏，选择“桌面管理”，点击“创建桌面”，进入“创建桌面”页面； 3.在池化桌面管理页面，点击“创建桌面池”； 4.填写池化桌面名称； 5.选择可用的资源包； 6.根据需求选择需要池化桌面的规格类型“普通AI云电脑”或GPUAI云电脑“； 普通AI云电脑：性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求。 GPUAI云电脑：满足学校教学， 普通图像办公，高清视频播放等需求。搭配高性能显卡及固态硬盘，具备更全面的图像加速能力，满足企业图形设计、图形渲染、3D制作等需求。 注：仅部分资源池支持开通GPUAI云电脑，实际规格类型以页面显示内容为准。 7.选择桌面开通数量； 注意：池化桌面与用户数量比例为1:3。 8.选择AI云电脑的“镜像类型”； 9.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 注意 资源包开通的桌面系统盘最高可扩容至200GB，单实例开通的桌面系统盘最高可扩容至500GB。 10.根据需求选择池化桌面的断连设置、关机还原策略； 11.选择AI云电脑的“vpc”和“业务子网”； 注：AI云电脑所选的业务子网需要绑定带宽，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 12.选择账号类型，并填写分配电脑的账号信息； 管理员激活：管理员直接创建的账号，无需激活即可使用。 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 13.确认相关的配置信息，点击“开通桌面”，即完成池化桌面开通。

本页主要介绍天翼云云间高速(标准版)服务的API使用说明。 OpenAPI门户提供了产品的API 文档、API调试等。 关于用户如何使用云间高速（标准版）服务API的详细介绍，请参见使用API。您可以在OpenAPI门户可以了解到具体的调用前必知、API概览、如何调用API以及具体的API的接口详细说明。

序号 类型 天翼云计费方式 1 SFS容量型 按需、资源包 2 SFS Turbo标准型 按需、包周期 3 SFS Turbo标准型增强版 按需 4 SFS Turbo性能型 按需、包周期 5 SFS Turbo性能型增强版 按需 6 SFS Turbo标准型专属 按需 7 SFS Turbo性能型专属 按需

本文向您介绍如何删除企业版VPN连接。 场景描述 当无需使用VPN网络、需要释放网络资源时，可删除VPN连接。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 在“VPN连接”界面所需删除的VPN连接所在行的操作列，选择“更多 > 删除”。 4. 单击“是”，完成VPN连接删除。

本文主要介绍常见问题 如何检查用户机器与PODLB的网络连通性？ 1. 执行ping安装命令中的masteraddress的IP地址，如果有如下返回，则表明网络是连通的。 2. 再执行curl kv安装命令中的masteraddress的IP地址和端口号，如果返回400错误码，表明防火墙也是开通的。 如果存在网络不通，请联系技术支持。 为什么CCE开启java探针后，APM无监控数据？ CCE开启java探针后，APM无监控数据，可能是由于用户使用的java探针版本过低、用户使用Tomcat服务启动的或者用户使用的免费版的APM。 用户在APM界面点击免费开通APM（免费版可以使用10个探针），或者升级到企业版，请用户使用最新版本的java探针，重启容器后APM界面显示正常。

本节介绍应用市场的产品简介以及下载方式，以便您了解应用市场。 应用市场客户端 应用市场，是一项对云电脑内的应用进行统一下载和管理的服务，为了向天翼云电脑（公众版）用户提供安全、方便的应用获取渠道，我们提供天翼云电脑应用市场（公众版）客户端 用户可通过应用市场客户端安装、升级、卸载平台提供的各类应用。目前云电脑中已预装此客户端，如未预装，可通过云电脑工具栏的快捷入口触发安装，或前往客户端下载页面进行下载。 天翼云电脑应用市场用户协议生效，详情请参见这里。 天翼云电脑应用市场隐私政策生效，详情请参见这里。

本文为您介绍查看跨域连接的操作流程。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，单击“跨域连接管理”页签。 5. 在跨域连接管理页签，可以查看已创建的跨域连接信息。

本文指导您如何使用云间高速及标准版云企业路由器实现跨地域网络互通。 使用场景 为了实现三个VPC（虚拟私有云）之间的通信和资源互访，某企业采取了云间高速组网。首先，企业使用账号A在天翼云华东1创建了VPC1，并在其中部署了应用服务。接着，使用账号B在同样的地域创建了VPC2。另外，还在华北1创建了VPC3，并在其中部署了应用服务。 然而，由于三个VPC之间互不相通，企业需要使用云间高速产品来解决这个问题。具体来说，企业可以将华东1的VPC1和VPC2连接至账号A下华东1的云企业路由器实例（标准版），同时将华北1的VPC3连接至账号A下华北1的云企业路由器实例（标准版）。然后，通过带宽包和跨地域连接实现华东1和华北1的云企业路由器实例互通。 三个VPC即可互相通信，资源也可以互访。不仅简化了网络配置，还提高了系统的可靠性和安全性。同时，也降低了企业的成本和风险。 前提条件 账号A在华东1、华北1各创建了1个VPC，并且使用云主机在两个VPC中部署了应用服务。 步骤一：创建云间高速实例 云间高速的创建，具体操作请参见：创建云间高速（标准版）实例云间高速

本节介绍翼加密的免费试用流程。 所有租户均有一次免费开通试用的机会，试用期60天。试用版提供与旗舰版一致的功能，并且不限制加密桌面数。试用期间免费提供20GB的脱密文件审计存储空间。 1.登录AI云电脑控制台，点击“协同套件”菜单栏，找到”翼加密“点击开通； 2.在翼加密开通页点击开通试用； 3.填写信息开通免费试用。

5.2 禁用SELinux 开启SELinux会导致天翼云物理机装机异常，需要关闭SELinux。 查看selinux是否disabled plaintext apt install y selinuxutils 查看selinux状态，返回Disabled则表示SElinux已关闭 getenforce 可使用下面命令禁用SELinux。 plaintext sed i.bak 's/SELINUX./SELINUXdisabled/g' /etc/selinux/config 重启后，可用‘sestatus v’或‘getenforce’或查看‘/etc/selinux/config’文件检查SELinux是否已禁用。 6 清理系统 6.1 删除网络配置（重要） 物理机装机时会根据实际情况生成网络配置，保留镜像中的网络配置可能会造成干扰。需要删除不必要的网络配置。具体网络配置和系统使用的网络管理方式有关，下面列举一些常见的情况。 Redhat系发行版：删除/etc/sysconfig/networkscripts/目录下除了ifcfglo外的ifcfg文件 Debian：删除/etc/network/interfaces.d/下的网络配置文件 Ubuntu：删除/etc/netplan/目录下的网络配置文件 6.2 删除machine ID（重要） machine ID标识了唯一的一台机器，在首次启动系统时一般会自动生成。需要删除镜像中的machine ID。 plaintext rm vf /var/lib/dbus/machineid truncate s 0 /etc/machineid 下面的清理项可有可无。但为了生成的镜像更小，请删除这些无用的文件。 6.3 清空软件包缓存 plaintext dnf clean all 使用dnf的发行版 yum clean all 使用yum的发行版 使用apt的发行版 aptget y autoclean aptget y clean rm rf /var/lib/apt/lists/ rm rf /var/cache/apt/archives/.deb 6.4 清理临时文件 plaintext find /tmp type f exec rm f {} ;

5.2 禁用SELinux 开启SELinux会导致天翼云物理机装机异常，需要关闭SELinux。使用下面命令禁用SELinux。 plaintext sed i.bak 's/SELINUX./SELINUXdisabled/g' /etc/selinux/config 重启后，可用sestatus v检查SELinux是否已禁用。 6. 清理系统 6.1 删除网络配置（重要） 物理机装机时会根据实际情况生成网络配置，保留镜像中的网络配置可能会造成干扰。需要删除不必要的网络配置。具体网络配置和系统使用的网络管理方式有关，下面列举一些常见的情况。 Redhat系发行版：删除/etc/sysconfig/networkscripts/目录下除了ifcfglo外的ifcfg文件 Debian：删除/etc/network/interfaces.d/下的网络配置文件 Ubuntu：删除/etc/netplan/目录下的网络配置文件 6.2 删除machine ID（重要） machine ID标识了唯一的一台机器，在首次启动系统时一般会自动生成。需要删除镜像中的machine ID。 plaintext rm f /var/lib/dbus/machineid truncate s 0 /etc/machineid 下面的清理项可有可无。但为了生成的镜像更小，请删除这些无用的文件。 6.3 清空软件包缓存 plaintext dnf clean all 使用dnf的发行版 yum clean all 使用yum的发行版 使用apt的发行版 aptget y autoclean aptget y clean rm rf /var/lib/apt/lists/ rm rf /var/cache/apt/archives/.deb 6.4 清理临时文件 plaintext find /tmp type f exec rm f {} ; 6.5 清理日志 plaintext find /var/log type f exec rm f {} ; 7. 镜像制作完成 完成上述配置后，关闭虚拟机，qcow2格式的镜像文件默认位于/var/lib/libvirt/images/目录下，镜像制作完成。

本节给出Linux客户端挂载HBlock单机版的卷示例。 应用场景 Linux客户端需要连接HBlock单机版的卷。 需要连接的HBlock单机版的卷为lund1和lunf1，lund1有CHAP认证。 前置条件 对于需要连接HBlock单机版的客户端，已经按照客户端配置的前置条件成准备工作。 对于HBlock服务器端，已经成功创建卷lund1和lunf1。 操作步骤 HBlock服务器端 查询要连接的LUN及LUN对应iSCSI Target的详细信息。 plaintext [root@hblockserver CTYUNHBlockPlus4.0.0x64] ./stor lun ls n lund1 LUN Name: lund1 (LUN 0) Storage Mode: Local Capacity: 500 GiB Status: Normal iSCSI Target: iqn.201208.cn.ctyunapi.oos:targetd.4(192.168.0.32:3260,Active) Create Time: 20260121 10:00:34 Local Sector Size: 4096 Bytes Data Health: 100% normal, 0% low redundancy, 0% error Write Policy: WriteBack WWID: 33000000068f2f320 UUID: lunuuid3ddcc779bf3442b9ac5e0339dae28821 Path: /mnt/storage01 Snapshot Count: 0 Snapshot Size: 0 B (Note: Snapshot size may vary due to LUN issues or parent snapshot deletion.) [root@hblockserver CTYUNHBlockPlus4.0.0x64] ./stor target ls n targetd Target Name: targetd Max Sessions: 2 Create Time: 20260121 09:59:12 iSCSI Target: iqn.201208.cn.ctyunapi.oos:targetd.4(192.168.0.32:3260) LUN: lund1(LUN 0) Reclaim Policy: Retain CHAP: testd,T12345678912,Enabled [root@hblockserver CTYUNHBlockPlus4.0.0x64]

本节介绍风险阻断的用户指南。 概述 通过风险阻断功能，配置阻断规则以及可放通的规则和漏洞白名单，能够在拉取镜像时检查容器镜像是否符合阻断策略，并采取阻断措施，返回相关阻断说明。提高容器运行环境的安全系数。 添加风险阻断策略 本功能只能在企业版实例使用，对于个人版实例不支持使用此功能。 1. 进入容器镜像服务控制台。 2. 在顶部菜单栏，选择所需资源池。 3. 在实例页面中选择已开通的企业版实例。 4. 在企业版实例管理页面的左侧菜单上选择 "安全可信" "风险阻断"，在界面左上角点击“配置阻断策略”按钮。 5. 在弹出界面中设置策略所属命名空间、阻断规则、放通未扫描和漏洞白名单等信息，点击“确定”，各参数说明如下： 参数 是否必填 说明 命名空间 必填 本策略关联的命名空间，凡是此命名空间下的所有镜像拉取都会使用当前策略进行检查。 阻断规则 必填 可选项包括：严重、高危、中危和低危。凡是所拉取的镜像包含规则指定漏洞等级及以上的，则会被阻断拦截。 放通未扫描 非必填 当所拉取的镜像因正在扫描或者扫描失败而无法获取扫描结果的，需要勾选此选项方可正常拉取，否则仍然会被阻断拦截。 漏洞白名单 非必填 可录入一条或多条漏洞的CVE ID（多条用英文逗号“,”分隔），如果镜像安全扫描结果中包含该漏洞ID，将被阻断规则忽略。

本文带您了解如何使用告警规则。 操作场景 您可以根据需要灵活创建告警规则，既可以使用我们提供的默认告警模板为云服务创建告警规则，也可以对具体监控指标进行自定义告警规则的设置。 当资源的监控指标达到告警条件，云监控将向您发送告警消息，报告异常监控数据，帮助您及时掌握异常状态并处理，保证业务顺畅进行。 注意 系统事件不支持告警规则配置，仅支持事件通知，入口：云监控服务>系统事件>事件订阅。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击!，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则详情页面。 5. 在“告警规则”界面，单击“创建告警规则”按钮。 6. 在“创建告警规则”页面，根据界面提示配置参数，配置参数如下： 模块 参数 参数说明 配置示例 备注 选择监控对象 规则类型 选择规则的类型，指标监控（包括站点监控）。 指标监控 自定义监控、自定义事件目前仅支持部分资源池 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云主机 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 云主机 选择监控对象 监控对象类型 具体实例/资源分组 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 定义告警策略 选择类型 自定义创建/从模板导入。 自定义创建 定义告警策略 策略 满足全部/任一策略，策略信息包括：指标、数据类型（原始值、最大值、最小值、平均值）、判断条件（>、≥、 0%,连续发生一次 同一告警规则下，告警条件最多支持添加20条 配置告警通知 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 是 配置告警通知 告警联系组 配置发生告警通知的用户组。 配置告警通知 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 出现告警 配置告警通知 通知方式 配置告警通知的通知方式，支持邮箱及短信。 邮箱 配置告警通知 重复告警 指告警发生后如果未恢复正常，将重复发送告警通知次数。 不重复 配置告警通知 通知周期 配置告警通知的周期时间。 星期天、星期一、星期二、星期三、星期四、星期五、星期六 配置告警通知 通知时段 配置告警通知的时间段。 00:00:0023:59:59 配置告警通知 告警回调 配置告警通知webhook地址。 规则信息 名称 该告警规则的自定义名称。 规则信息 企业项目 选择告警规则适用的企业项目。 规则信息 描述 添加对该告警规则描述（此参数非必填项）。 说明 创建/启用/修改/删除告警规则等操作，参见告警规则。 7. 配置的告警规则状态变化及操作逻辑说明如下： 逻辑/状态变化 告警规则（已启用） 告警规则（已停用） 正在告警（告警中） 正在告警（无数据） 历史告警（已恢复） 历史告警（已过期） 历史告警（已失效） （指标类）判断监控无数据 × × 正在告警（无数据） × × × × 停用告警规则 告警规则（已停用） / 历史告警（已失效） 历史告警（已失效） × × × 启用告警规则 / 告警规则（已启用） / × × × × 修改已启用告警规则 × × 历史告警（已失效） × × × × 修改已停用告警规则 × × × × × × × 删除已启用告警规则 / / 历史告警（已失效） 历史告警（已失效） × × × 删除已停用告警规则 / / / / × × × （指标类）监控无数据再次上报且触发告警 × × × 正在告警（告警中） × × × （指标类）监控无数据再次上报且未触发告警（恢复） × × × 历史告警（已恢复） × × × （事件类）超过7天无新数据 × × 历史告警（已过期） / / × / 说明 /为不存在该场景，x为状态无变化。 未标记指标类/事件类，则为通用场景。

本节介绍天翼云电脑（公众版）可广泛应用于线上网课、个人办公等场景。 线上网课场景 场景特点： 学生临时上网课需要购买硬件，采购PC成本高，采购平板无法顺畅使用Windows软件。 推荐方案： 开通天翼云电脑（公众版） 方案优势： 1、云端授权按需订购，本地通过电视、机顶盒登录，极大节约成本。 2、在电视、机顶盒上流畅使用Windows教学应用，体验优于手机等小屏设备。 用户场景图： 个人办公场景 场景特点： PC有易故障、老化、存储不足等问题，电脑出现问题时用户无法快速解决故障。 推荐方案： 开通天翼云电脑（公众版）+还原策略 方案优势 ： 1、授权按需采购，配置弹性伸缩，节约办公PC采购、更新、折旧成本。 2、降低本地PC故障影响，确保办公体验。 3、办公桌面云端维持，提供极佳的远程办公体验。 用户场景图：

本章节主要介绍如何快速创建一个自定义集群。 自定义集群提供丰富灵活的服务搭配，支持自行选择业务所需服务。建议不要将多个存储类服务部署在一个节点组上，避免资源争抢。 操作步骤 1、进入集群创建页面 方法一：登录翼MapReduce产品详情页，直接点击“立即开通”。 方法二：进入翼MapReduce产品一类节点资源池的产品控制台，点击“+创建集群”。 2、软件配置 进入“创建集群”页面进行配置与订购，软件配置页面如下图所示，参数说明如下： 区域集群与可用区：集群节点所在的物理位置，根据需要选择区域及可用区，也可以使用默认值。 业务场景：选择“自定义”场景。 产品版本：选择使用的产品版本，默认值即可。 服务高可用：翼MapReduce默认启用服务高可用且不可关闭高可用模式。 可选服务：您可基于业务诉求选择所需组件，部分组件存在依赖关系，请您按提示勾选。 元数据：使用Hive、Ranger、Amoro、Hue与DolphinScheduler组件服务时，需要配置元数据库。请先确认是否已有CTRDS MySQL实例，若尚未创建，可点击提示链接，前往“关系数据库MySQL版”进行开通。若已创建实例，请勾选该选项并进行元数据配置。 元数据配置：勾选“使用已有CTRDS for MySQL”后，请在展开信息中填写所需的5项配置信息 注意 1、当前仅支持通过内网地址进行数据库连接。请选择关联与当前集群同一虚拟私有云（VPC）下的MySQL数据库。 2、配置Hive、Ranger、Amoro、Hue与DolphinScheduler的元数据库信息前，请先创建数据库，若需要部署多个服务，请创建多个数据库，创建方式可参考创建数据库。 3、元数据配置所需信息可前往数据库控制台查看。 4、请确保配置的数据库用户具有该数据库的读写权限。 5、创建集群时，若元数据库配置错误，将导致Hive/Ranger/Amoro/Hue/DolphinScheduler异常，但不影响集群的创建与部署，集群创建后，您可前往Manager的集群服务，进入集群服务详情，通过运维操作中的“元数据库配置”操作，替换原有元数据库的配置信息。 Kerberos身份认证：将依据所选组件，开启Kerberos安全模式。 自定义服务配置：支持指定JSON文件对集群中的组件服务，如HDFS、Spark、Hive等进行参数配置，详细使用方法请参见++自定义服务配置++。默认不开启。

本章节主要介绍如何快速创建一个数据服务集群。 数据服务集群提供更灵活、可靠、高效的数据服务。在创建数据服务集群前，需要先创建虚拟私有云。 操作步骤 1、进入集群创建页面 方法一：登录翼MapReduce产品详情页，直接点击“立即开通”。 方法二：进入翼MapReduce产品一类节点资源池的产品控制台，点击“+创建集群”。 2、软件配置 进入“创建集群”页面进行配置与订购，软件配置页面如下图所示，参数说明如下： 区域集群与可用区：集群节点所在的物理位置，根据需要选择区域及可用区，也可以使用默认值。 业务场景：选择“数据服务”场景。 产品版本：选择使用的产品版本，默认值即可。 服务高可用：翼MapReduce默认启用服务高可用且不可关闭高可用模式。 可选服务：由可选组件和必选组件组成，根据业务场景而定。您可根据自身业务场景对可选组件进行选择。 元数据：如果您选择添加Ranger等需要配置元数据库的组件服务，请先确认是否已有CTRDS MySQL实例，若尚未创建，可点击提示链接，前往“关系数据库MySQL版”进行开通。若已创建实例，请勾选该选项并进行元数据配置。 元数据配置：勾选“使用已有CTRDS for MySQL”后，请在展开信息中填写所需的5项配置信息。 注意 1、当前仅支持通过内网地址进行数据库连接。请选择关联与当前集群同一虚拟私有云（VPC）下的MySQL数据库。 2、配置元数据库信息前，请先创建数据库，创建方式可参考创建数据库。 3、元数据配置所需信息可前往数据库控制台查看。 4、请确保配置的数据库用户具有该数据库的读写权限。 5、创建集群时，若元数据库配置错误，将导致服务异常，但不影响集群的创建与部署，集群创建后，您可前往Manager的集群服务，进入集群服务详情，通过运维操作中的“元数据库配置”操作，替换原有元数据库的配置信息。 Kerberos身份认证：集群中的软件以Kerberos安全模式启动，此选项不可关闭。 自定义服务配置：支持指定JSON文件对集群中的组件服务，如HDFS、Spark、Hive等进行参数配置，详细使用方法请参见++自定义服务配置++。默认不开启。

本节介绍了在迁移完成后如何进行数据校验。 当任务状态变为“增量同步”，说明全量同步已经完成，全量同步完成后，登录云数据库GaussDB 查看数据迁移结果。 1. 等待迁移任务状态变为“增量同步”。 2. 单击任务名称，进入任务详情页。 3. 在“同步进度”页签查看全量同步结果。 如图所示，本次实践将TESTINFO库中DATATYPELIST表迁移至shard0，共迁移了两条数据。 4. 验证数据一致性。 a) 在“同步对比 > 对象级对比”页面，查看库和表的迁移结果。 b) 在“同步对比 > 数据级对比”页面，创建对比任务，查看表中行的迁移结果。 5. 通过DAS连接云数据库GaussDB openGauss版的目标库“ testdatabaseinfo ”。 DAS连接实例的方法请参考《新增数据库登录》。 6. 执行如下语句，查询全量同步结果。 SELECT FROM testinfo.datatypelistafter; Oracle数据库中的模式迁移完成后，会在云数据库GaussDB 数据库中作为Schema，所以查询语句中添加Schema精确查询。 如图所示，查询表中的各个数据类型都迁移成功，并且数据正确无误。 7. 验证增量同步。 由于本次实践为“全量+增量”同步模式，全量同步完成后，如果在创建任务后有数据写入，这些写入的数据会一直同步至目标库中，直到任务结束。下面我们模拟写入另外的数据。 a) 根据本地的Oracle数据库的IP和地址，通过数据库连接工具连接数据库。 b) 执行如下语句，在源库插入一条数据。 我们插入一条“id”为1的数据。 insert into testinfo.DATATYPELIST values(1,'Migratetest','test1','test2','test3','test4', 666,12.321,1.123,2.123,sysdate,sysdate,sysdate,sysdate,'hw','cb','df','FF','FF','AAAYEVAAJAAAACrAAA');commit; c) 在目标库执行如下语句查询结果。 SELECT FROM testinfo.datatypelistafter; 如图所示，在源库新增的数据，可以实时同步至目标库。 8. 结束迁移任务。 根据业务情况，待业务完全迁移至目标库，可以结束当前任务。 a) 单击“操作”列的“结束”。 b) 仔细阅读提示后，单击“是”，结束任务。 9. 迁移完成后，进行性能测试。

本节介绍了如何通过备份文件恢复云数据库GaussDB 实例。 操作场景 云数据库GaussDB 支持使用已有的自动备份和手动备份，将实例数据恢复到备份被创建时的状态。该操作恢复的为整个实例的数据。 限制条件 恢复时目标实例异常、实例磁盘满将会导致恢复失败。 不支持跨大版本恢复。例如：1.4.x的实例仅可以恢复到1.4.y版本的实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在左侧导航栏单击“备份恢复管理”，选择需要恢复的备份，单击操作列的“恢复”。 您也可在“实例管理”页面，单击指定的实例名称，在左侧导航栏单击“备份恢复”，在“全量备份”页签下单击目标备份对应的操作列中的“恢复”。 步骤 3 单击“确定”，恢复实例。 说明 如果打开并行恢复功能，那么恢复过程中，所有主、备副本会同时从OBS服务器下载备份数据，与默认的串行恢复相比，OBS带宽消耗量增加到N倍（N等于每个分片的副本个数）。因此，为了防止OBS带宽达到上限导致恢复速度反而下降的情况，当待恢复集群的分片个数大于5个时，建议先咨询运维当前OBS服务器空闲带宽，然后再决定是否开启并行恢复功能。 主备版实例只支持并行恢复。 数据库内核版本小于1.4时，不支持开启并行恢复。 全量备份和增量备份除了备份数据文件之外，也会备份这个过程中的增量日志文件，用于保证该备份集恢复以后数据的一致性。由于增量日志文件的备份和上传需要一定时间（受网络、OBS存储介质流控等影响），因此，需要注意的是，备份结束时间并不代表该备份集恢复后的数据一致性时间点（该恢复一致性点一般在备份结束时刻之前的几分钟以内）。如果用户对于恢复后数据的一致性时刻点有严格要求，请使用指定时间点恢复。 恢复到新实例： − 数据库大版本与原实例相同。例如：1.4.x的实例仅可以恢复到1.4.y版本的实例。 − 存储空间大小默认和备份时实例磁盘空间相同，且必须大于或等于备份时实例存储空间大小。 − 数据库密码需重新设置。 − 新实例的规格默认和原实例相同，如果需要修改规格，新实例的规格必须大于或等于原实例的规格。 − 新实例的节点配置需要与备份时保持一致。 步骤 4 查看恢复结果。 恢复到新实例 为用户重新创建一个和该备份数据相同的实例。可看到实例由“创建中”变为“正常”，说明恢复成功。 恢复成功的新实例是一个独立的实例，与原有实例没有关联。

本节介绍如何配置敏感信息泄露规则。 您可以添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 前提条件 已添加防护网站。 约束条件 添加或修改防护规则后，规则生效需要几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“防敏感信息泄露”的配置框中，用户可根据自己的需要更改“状态”，单击“自定义防敏感信息泄露规则”，进入“防敏感信息泄露”规则配置页面。 步骤7 在“防敏感信息泄露”规则配置页面左上角，单击“添加规则”。 步骤8 在弹出的对话框，添加防敏感信息泄露规则。 “防敏感信息泄露”规则既能防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露，也能够拦截指定的HTTP响应码页面。 敏感信息过滤：针对网站页面中可能存在的电话号码和身份证等敏感信息，配置相应的规则对其进行屏蔽处理。例如，您可以通过设置以下防护规则，屏蔽身份证号、电话号码和电子邮箱敏感信息。 响应码拦截：针对特定的HTTP请求状态码，可配置规则将其拦截，避免服务器敏感信息泄露。例如，您可以通过设置以下防护规则，拦截HTTP 404、502、503状态码。 参数说明： 参数名称 参数说明 取值样例 ::: 路径 需要过滤敏感信息（例如：身份证号、电话号码、电子邮箱等）或者拦截响应码的URL不包含域名的路径。 前缀匹配：填写的路径前缀与需要防护的路径相同即可。 如果防护路径为“/admin”，该规则填写为“/admin”，该规则生效。 精准匹配：需要防护的路径需要与此处填写的路径完全相等。 如果防护路径为“/admin”，该规则必须填写为“/admin”。 说明 该路径不支持正则，仅支持前缀匹配和精准匹配的逻辑。 路径里不能含有多条斜线的配置，如“///admin”，访问时，引擎会将“///”转为“/”。 /admin 类型 敏感信息过滤：防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截：拦截指定的HTTP响应码页面。 敏感信息过滤 内容 防护“类型”对应的防护内容，支持多选。 身份证号码 规则描述 可选参数，设置该规则的备注信息。 步骤9 单击“确认”，添加的防敏感信息泄露规则展示在防敏感信息泄露规则列表中。

本节介绍如何查看WAF基本信息。 前提条件 已成功添加防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 查看防护网站信息，参数说明如表所示。 工作模式切换：在“工作模式”列，单击“切换”，选择想要切换的工作模式。 检查网站接入状态：在“接入状态”列，可单击，刷新域名接入状态。 最近三天防护监控：在“最近三天防护监控”列，单击“查看”，查看具体的防护日志。 删除防护域名：在“操作”列，单击“删除”，可删除目标防护域名。 参数名称 参数说明 域名 防护的域名或IP。 部署模式 防护网站的部署模式，仅支持“独享模式”。 源站IP/端口 客户端访问的网站服务器的公网IP地址和WAF转发客户端请求到服务器的业务端口。 证书 绑定该域名的证书，单击证书名称，可跳转到“证书管理”页面。 近3天威胁 该域名3天内的防护情况。 工作模式 防护模式。点击切换，可选择以下两种防护模式： “开启防护”：开启状态。 “暂停防护”：关闭状态。如果大量的正常业务被拦截，比如大量返回418返回码，可以将“工作模式”切换为“暂停防护”。该模式下，WAF对所有的流量请求只转发不检测。该模式存在风险，建议您优先选择全局白名单（原误报屏蔽）规则处理正常业务拦截问题。 防护策略 显示通过WAF配置的防护策略总数。单击数字可跳转到规则配置页面。 域名接入进度 网站接入WAF未完成的步骤或者接入状态。 创建时间 该域名添加到WAF的时间。 步骤6 在目标网站所在行的“防护网站”列中，单击目标网站，进入网站基本信息页面。 步骤7 查看防护域名的信息，如图所示。 当客户端协议选择HTTPS时，若需要更新证书，单击编辑按钮，在弹出的对话框中，上传新证书或者选择已有证书。关于证书更新的详细内容请参见：更新证书。 当客户端协议选择HTTPS时，若需要更新访问源站的TLS版本和TLS的加密套件，单击编辑按钮，在弹出的对话框中，重新选择TLS版本和TLS的加密套件。关于配置TLS的详细内容请参见：配置TLS最低版本和加密套件。 若需要修改“是否已使用代理”，可以单击编辑按钮，在弹出的对话框中，重新配置是否需要使用代理，如果需要使用代理，设置成“是”。 “告警页面”默认为“系统默认”的页面，您也可以单击编辑按钮，在弹出的对话框中，配置“自定义”或者“重定向”页面。 如果您需要针对域名的每个请求设置超时时间，开启“超时配置”并单击编辑按钮，设置“连接超时”、“读超时”、“写超时”的时间。开启后不支持关闭。

本节主要介绍了STS临时授权功能的典型场景和具体使用方法。 应用场景 某企业X开发了一款移动应用（App），并使用OOS服务。App需要直连OOS上传或下载数据，但是App运行在用户自己的移动设备上，这些设备不受企业X的控制。企业X有如下要求： 直传数据：企业X不希望所有App都通过企业的服务端应用服务器（Application Server）来进行数据中转，而希望能够直连OOS上传或下载数据。 安全管控：企业X不希望将访问密钥（AccessKey）保存到移动设备中，因为移动设备是归属于用户控制，属于不可信的运行环境。 风险控制：企业X希望将风险控制到最小，每个App直连OOS时都必须拥有最小的访问权限且访问时效需要很短。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体操作 应用服务器在OOS上为每个APP创建一个IAM用户，并为每个IAM用户附加最小的访问权限（如调用STS接口、仅对自己目录下的资源有所有权，对于其他用户的目录无权限）。当移动应用（App）直连OOS上传或下载数据时，App需要向应用服务器申请访问凭证。应用服务器以该APP的IAM用户身份，调用STS API接口获取临时安全访问凭证，并将临时安全访问凭证传递给App，App使用临时安全访问凭证访问OOS。 具体步骤如下所示： 1. OOS为应用服务器创建IAM用户并附加权限策略。具体策略可参考下列示例： { "Version": "20121017", "Statement": [ { "Sid": "AllowListAllBuckets", "Effect": "Allow", "Action": [ "oos:ListAllMyBucket" ], "Resource": "" }, { "Sid": "AllowListYourselfFolder", "Effect": "Allow", "Action": [ "oos:ListBucket" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname" ], "Condition": { "StringLike": { "oos:prefix": [ "${ctyun:username}/" ] } } }, { "Sid": "AllowControleYourselfFolder", "Effect": "Allow", "Action": [ "oos:GetObject", "oos:ListMultipartUploadParts", "oos:DeleteObject", "oos:PutObject", "oos:DeleteMultipleObjects", "oos:AbortMultipartUpload" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname/${ctyun:username}/" ] }, { "Sid": "AllowCallSTS", "Effect": "Allow", "Action": [ "iam:GetSessionToken" ], "Resource": "" } ] } 2. APP向应用服务器申请临时访问凭证。 3. 应用服务器调用STS接口获取临时安全访问凭证。 请求示例 POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn xamzdate: Tue, 21 Aug 2012 17:54:50 GMT ContentMD5: 8dYiLewFWZyGgV2Q5FNI4W Authorization:AWS fad0e782cd5132563e38:xQE0diMbLRepdf3YB+FIEXAMPLE ContentLength: 445 ActionGetSessionToken&DurationSeconds129600 响应示例 HTTP/1.1 200 OK xamzrequestid: 996c76696e6727732072657175657374 Date: Mon, 1 Nov 2010 20:34:56 GMT ContentType:text/xml;charsetUTF8 ContentLength: 533 Server: CTYUN 8b2b75f5a04e458b0da3a01602e78b089528b915c2 sts.6b7fd 17b69c15f 20230427T13:52:08.282Z 62c80e3868a14804 4. 应用服务器将获取的临时安全访问凭证传递给APP。 5. APP使用临时安全访问凭证访问OOS资源，进行数据直传。 调用时输入步骤3返回的信息： AccessKeyId：sts.6b7fd SecretAccessKey：17b69c15f SessionToken：8b2b75f5a04e458b0da3a01602e78b089528b915c2 注意 由于生成的临时安全访问凭证是默认继承IAM用户的权限，所以我们在为IAM用户创建策略的时候，仅分配STS接口权限和所需操作的最小权限，不推荐分配CreateUser、CreateAccessKey、UpdateLoginProfile等权限，以防止临时安全访问凭证权限过大。

本章节为您介绍如何对接天翼云云日志管理服务 Web应用防火墙（原生版）已对接云日志服务，目前需手动配置开启，需提交工单申请。 约束限制 云日志服务中对应的存储容量若已满，WAF不会删除旧日志，需要您手动及时扩容，否则无法存入新的日志。 使用过程中，请不要删除对应，若删除会导致推送至云日志服务的日志丢失，且无法找回。 目前仅支持转存至华东1资源池的云日志服务。 开启步骤 1.在天翼云官网购买云日志服务。 2.在管理控制台提交工单，联系天翼云技术支持为您手动对接云日志服务，请参照下表中的内容提前准备相关信息。 参数 字段说明 用户id 用户唯一身份标识，可在统一身份认证控制台查看。 AK/SK 访问云资源时的身份凭证，如何获取请参考：如何获取AK/SK？ 日志项目（可选） 在云日志服务中创建的日志项目，可参考：管理日志项目。 不可选择默认项目：wafproject。 日志项目ID（可选） 提供日志项目对应的日志项目ID，可在云日志服务控制台查看。 日志单元（可选） 在云日志服务中创建的日志单元，可参考：管理日志单元。 不可选择默认单元：wafattackunit 日志单元ID（可选） 提供日志单元对应的日志单元ID，可在云日志服务控制台查看。 上传域名（可选） 提供需要上传日志至云日志服务的域名，若不提供则上传对应用户下的所有防护域名。 攻击类型（可选） 提供需要上传的防护事件类型，若不提供默认上传所有防护事件类型。 防护事件目前可选择：核心Web攻击事件、CC攻击事件、智能BOT事件、IP/地域黑名单、攻击惩罚。 3.待处理完成后，即可在云日志服务控制台查看日志信息，下表为日志字段说明。 规则类型 Code Name 对应产品模块 系统规则 sysrule Web 基础防护模块 CC 规则 ccrule CC 防护模块 BOT 规则 botrule BOT 防护模块 精准防护规则 userdefinedrule 精准防护模块 IP 规则 iprule IP 防护模块 地域规则 georule 地域防护模块 规则白名单 sysrulewhitelist Web 基础防护模块系统规则白名单 响应信息检测规则 responserule 响应信息检测与脱敏模块 QPS超限规则 qpsexceeded 访问控制模块 带宽超限规则 bandwidthexceeded 访问控制模块 Cookie 防篡改 cookietamperproof Cookie 防篡改模块 隐私屏蔽 privacymask 隐私屏蔽模块 防护白名单规则 protectionwhite 防护白名单 攻击惩罚规则 attackpenalty 攻击惩罚 增强BOT规则 enhancebotrule BOT防护模块 全局IP黑白名单规则 globaliprule 全局IP黑白名单模块 全局防护白名单规则 globalprotectionwhite 全局防护白名单模块 全局精准防护规则 globaluserdefinedrule 全局精准防护模块

本节介绍了升级RDS MySQL实例内核小版本的操作场景、升级方案、注意事项、操作步骤等内容。 操作场景 关系型数据库MySQL版支持自动或手动升级内核小版本，内核小版本的升级涉及性能提升、新功能或问题修复等。 升级方案 根据升级时间不同，升级内核小版本可以分为以下两种方式。 立即升级：您可以根据实际业务情况，在目标实例的“基本信息”页面手动升级内核小版本。 可维护时间段内升级：您可以在您设置的可维护时间段内进行升级，详情参见设置可维护时间段。 如果当前实例的内核版本存在已知潜在风险、重大缺陷，或者已过期、已下线，系统会通过短信、邮件等渠道进行提前通知，并在可维护时间段内下发升级任务。 注意事项 当有对应的小版本更新时（定期同步开源社区问题、漏洞修复），请及时手动立即升级或者设置可维护时间段升级小版本。 升级数据库内核小版本会重启RDS for MySQL实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，或确保您的应用有自动重连机制。 升级内核小版本期间，除了主备切换时的网络闪断外，由于主备之间默认是半同步复制，升级过程中会有两次单条SQL持续最长十秒的更新及写入等待，用户可通过修改主备间的复制模式为异步来规避此场景。 如果主备实例在同一个AZ，升级内核小版本会触发一次主备倒换；如果主备实例在不同AZ，则会触发两次主备倒换。 升级主实例小版本时，如有只读实例，也会同步升级只读实例的小版本，升级完成会重启实例，请您选择合适的时间升级（不支持单独升级只读实例的小版本）。 升级内核小版本时，如果RDS实例为DRS任务的源端，DRS可能会拉取不到RDS实例的日志；如果RDS实例为DRS任务的目标端，DRS可能会写不进目标库。 建议您在升级内核小版本前先确认RDS实例Binlog的保留时间： − 如果Binlog在保留时间内，待内核小版本升级完成后，DRS任务会自动重启。 − 如果Binlog不在保留时间内，您需要重新配置或创建DRS任务。 升级内核小版本后，实例会升级到新的内核小版本，无法降级。如果升级失败，将会自动回退到原版本。 升级小版本前建议先做一次全量备份。 升级内核小版本一般是分钟级完成。 小版本升级过程中禁止event的DDL操作，如create event、drop event和alter event。 如果小版本升级时，界面提示主节点存在DDL操作，可通过如下方式处理： − 将实例STATUS为SLAVESIDEDISABLED状态的event，更改为ENABLED或者DISABLED状态后再进行升级。 − 删除SLAVESIDEDISABLED状态的event后再进行升级。

本节主要介绍商业版与免费版的功能支持差异。 初始化时，可以根据需要选择商业版或者免费版，商业版和免费版支持的功能如下： 功能 商业版 免费版 软件许可证 加载软件许可证、查看软件许可证 支持 支持 卷 创建卷、扩容卷、修改卷、设置卷主备优先级或自动切换、触发卷对应target的主备切换、删除卷、设置卷的扩展属性、删除卷的指定扩展属性、删除卷所有的扩展属性、查询卷的扩展属性、查询卷、查询卷关联的QoS策略 支持 支持 卷 克隆卷、断开克隆与快照的关系链、还原卷、挂起卷、恢复还原中断或挂起的卷、清空卷 支持 不支持 快照 创建快照、修改快照、回滚快照、删除快照、查询快照 支持 不支持 一致性快照 创建一致性快照、修改一致性快照、回滚一致性快照、删除一致性快照、查询一致性快照 支持 不支持 备份 导出备份、导入备份 支持 不支持 iSCSI target 创建iSCSI target、删除iSCSI target、设置iSCSI target的CHAP认证、删除CHAP、迁移iSCSI target、修改iSCSI target下每个IQN允许建立的最大会话数、修改iSCSI target的回收策略、设置iSCSI target的允许访问列表、删除iSCSI target的允许访问列表、查询iSCSI target、查询iSCSI target连接、删除iSCSI target连接 支持 支持 存储池 创建存储池、添加节点到存储池、修改存储池、移除存储池内的节点、删除非基础存储池、查询存储池、查询存储池关联的QoS策略 支持 支持 QoS策略 创建QoS策略、修改QoS策略、设置卷关联的QoS策略、解除卷关联的QoS策略、设置存储池关联的QoS策略、解除存储池关联的QoS策略、设置存储池内卷的默认QoS策略、解除存储池内卷的默认QoS策略、删除QoS策略、查询QoS策略、查询QoS策略关联/可关联的对象信息 支持 不支持 集群拓扑 创建拓扑节点、修改拓扑节点信息、删除拓扑节点、查询拓扑信息 支持 支持 服务器 添加服务器、修改服务器属性（包括：修改服务器端口范围、设置服务器目标门户IP、设置服务器中HBlock可使用的内存、设置服务器默认数据目录）、删除服务器属性（服务器的targetPorttalIP配置）、移除服务器、查询服务器、添加数据目录、修改数据目录的容量配额、移除数据目录 支持 支持 服务器 迁移服务器上的基础服务 支持 不支持 监控 查询实时性能数据、导出性能数据（命令行）、查看历史性能数据（WEB/API） 支持 支持 告警 查看告警信息、导出告警、手动解除告警、静默告警、解除告警静默 支持 支持 事件 查看HBlock事件、导出HBlock事件 支持 支持 日志 发起HBlock日志采集、查看HBlock采集的日志、下载采集的HBlock日志文件、删除HBlock采集的日志 支持 支持 管理员密码 修改管理员密码 支持 支持 邮件设置 设置邮件通知功能、发送测试邮件、删除邮件配置、查询邮件配置 支持 支持 远程协助 设置远程协助、删除远程协助配置、查询远程协助配置 支持 支持 Pushgateway监控配置 添加Pushgateway监控配置、修改Pushgateway监控配置、删除Pushgateway监控配置、查询Pushgateway监控配置 支持 不支持 智维推送告警配置 添加向智维推送告警的配置、修改向智维推送告警的配置、删除向智维推送告警的配置、查询向智维推送告警的配置 支持 不支持 鉴权方式 设置鉴权方式、查询鉴权方式 支持 支持 高级试用功能 开启高级试用功能 不支持 支持 调整HBlock性能参数 调整HBlock性能参数、查看性能调优配置 支持 支持 服务管理 停止服务器上的HBlock服务、启动服务器上的HBlock服务、重启服务器上的HBlock服务 支持 支持 卸载HBlock 卸载HBlock 支持 支持 系统查询 查看HBlock信息、查看HBlock服务状态、查看HBlock版本 支持 支持 升级HBlock 查看升级状态 支持 支持 升级HBlock 升级HBlock 支持 2年内支持

使用流程 序号 操作项 说明 0 （可选）接入“企业主机安全HSS”的“主机安全基线”日志到态势感知（专业版） 仅态势感知（专业版）专业版且启用了“操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包场景需要执行该操作。 在目标工作空间左侧导航栏选择“日志审计> 云服务接入”，进入云服务日志接入页面，打开“企业主机安全HSS”服务的“主机安全基线”前的按钮以及“自动转告警”列对应的按钮，单击“保存”，并在弹出的配置保存框中，单击“确定”。 1 定时执行基线检查 态势感知（专业版）将使用默认检查计划对所有资产进行检查。 默认检查计划：默认每隔3天检查一次，每次在00:00~06:00对您账号下当前区域的“安全上云合规检查1.0”遵从包所涉及的资产进行检查。 自定义基线检查计划：根据您的需求自定义遵从包和检查时间。 2 立即执行基线检查 基线检查功能支持定期自动检查和立即检查。 定期自动检查：根据系统默认基线检查计划或您自定义的基线检查计划，定时自动执行基线检查。 立即检查：如果您新增或修改了自定义的基线检查计划，您可以在基线检查页面选择该基线检查计划，立即执行基线检查，实时查看服务器中是否存在对应的基线风险。 3 查看基线检查结果 自动/手动基线检查完成后，可以查看基线检查结果，了解基线检查项影响的资产、基线项目详情等信息。 4 处理基线检查结果 基线检查完后，可以根据修复建议对风险项目进行处理。 查看风险项的改进建议：根据检测结果修复风险检查项。 反馈检查结果：检查项中的手动检查项，您在线下执行检查后，需要在控制台上反馈检查结果，以便计算检查项合格率。 导入检查结果：将线下检查结果数据信息导入至态势感知（专业版）基线检查中。 导出检查结果：将线上检查结果导出至本地。