参数 是否必填 参数类型 说明 示例 下级对象 concurrency 否 Integer IstioProxy线程数 2 enableCoreDump 否 Boolean 核心转存 false enableDnsCapture 否 Boolean 是否开启istio内置dns false enableElegantTermination 否 Boolean 是否开启优雅终止 false excludeIPRanges 否 String 不拦截对外访问的地址范围 127.0.0.1 excludeInboundPorts 否 String 设置端口使入口流量免于经过Sidecar代理 80,8080 excludeOutboundPorts 否 String 设置端口使出口流量免于经过Sidecar代理 80,8080 holdApplicationUntilProxyStarts 否 Boolean 生命周期管理 true includeIPRanges 否 String 拦截对外访问的地址范围 192.168.0.0/16 includeInboundPorts 否 String 设置端口使入口流量经过Sidecar代理 443 includeOutboundPorts 否 String 设置端口使出口流量经过Sidecar代理 443 interceptionMode 否 String Sidecar对入向流量的拦截策略，REDIRECT：默认的拦截策略，Sidecar将使用重定向方式拦截入向流量。TPROXY：透明代理拦截策略，Sidecar将以透明代理的方式拦截入向流量。NONE:不拦截流量 REDIRECT lifecycleStr 否 String Sidecar代理生命周期JSON字符串 logLevel 否 String 日志等级，如果不设置则为warning info outboundTrafficPolicy 否 String 出向流量策略。取值：ALLOWANY：允许访问所有外部服务。REGISTRYONLY：只能访问注册到网格内的服务。 ALLOWANY proxyMetadata 否 Map of String 环境变量 proxyStatsMatcher 否 Object 统计相关指标 CustomProxyConfigProxyStatsMatcher selector 否 Map of String workload的标签选择器 sidecarProxyInitResourceLimit 否 Object Sidecar代理初始化容器资源限制 ResourcesLimitReq sidecarProxyInitResourceRequest 否 Object Sidecar代理初始化容器资源最低申请额度 ResourcesRequestReq sidecarProxyResourceLimit 否 Object Sidecar代理容器资源限制 ResourcesLimitReq sidecarProxyResourceRequest 否 Object Sidecar代理容器资源最低申请额度 ResourcesRequestReq terminationDrainDuration 否 String Istio Proxy终止等待时长 5s

容器可写层存储空间限制 容器产生的数据大小限制为512 MB或10 GB（同函数高级配置项中的磁盘大小一致） 解释 容器可写层数据会随着容器被销毁而删除。如果需要持久化存储，可以考虑使用函数计算挂载NAS或者ZOS。可以在函数配置 >存储中配置。 镜像架构限制 目前函数计算仅支持AMD64镜像架构，因此，针对ARM架构的机器(比如搭载M系列芯片的Mac电脑），构建镜像时需要指定镜像的编译平台为Linux/Amd64。参考命令如 docker build platform linux/amd64 t $IMAGENAME .。 解释 构建完成后，可执行 docker inspect进行检查。如果返回内容包含 "Architecture" : "amd64"，则表示构建的镜像正确。 HTTP Server配置要求 容器镜像启动的服务必须要监听函数配置的监听端口。 函数配置的监听端口默认是9000。如果容器镜像使用默认的监听端口，那么实现的 HTTP Server监听的端口也必须是9000。 同理，如果监听端口是8080，那么实现的HTTP Server监听的端口也必须是8080。 公共请求头 容器镜像函数的公共请求头和自定义运行时函数的公共请求头一致。更多信息，请参见自定义运行时上下文。 日志格式 容器镜像函数中所有打印到标准输出（Stdout）的日志会自动收集到您指定的日志服务中。关于配置日志功能的具体操作，请参见配置日志。 容器镜像函数的日志格式与自定义运行时函数的日志格式一致。更多信息，请参见函数日志格式。

本章节介绍数据库安全应用场景。 安全等保合规 数据库安全服务要满足政企、能源、金融、医疗、教育、网络货运等行业的等保二级、三级监管要求，需要对云上数据库进行安全审计，符合国家法律、行业监管的要求。 《等级保护2.0》中明确提到需要数据库审计提供集中审计功能。 《信息安全等级保护测评》第八章测评单元指出，企业测评单元应该包括以下要求：综合安全审计系统、数据库审计系统等提供集中审计的系统。 数据库审计 无论是自建数据库还是云数据库，都有可能面临来自内外网络的恶意攻击，以及内部人员各类误操作导致的数据损失。当出现数据被删除、信息被篡改、敏感信息泄漏等重大安全事件时，必须要进行全面的事件还原和严肃的追责处理。 天翼云数据库安全服务通过部署数据库安全审计Agent或者云原生RDS免Agent模式，获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，实现对ECS/BMS自建数据库以及RDS数据库的安全审计，对数据库内部违规和不正当操作的定位追责。 数据库安全检测 数据库日常运行的风险除了内部违规和不正当操作外，还有来自于SQL注入、拖库、洗库、撞库、日志异常等导致的性能问题。 天翼云数据库安全检测提供SQL注入、风险操作、日志异常行为检测等安全检测功能，用于检测数据库使用过程中的数据安全风险。用户可根据自身业务需求，选择启用适当的数据安全检测规则，完成数据库安全检测。

本章介绍天翼云关系型数据库的备份原理和方案 RDS实例支持自动备份和手动备份，您可以定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。 关系型数据库通过Sysbench导入数据模型和一定量的数据，备份后压缩比约为80%。其中，重复数据越多，压缩比越高。 压缩比备份文件占用的空间/数据文件占用的空间100%。 备份类型 全量备份：对所有目标数据进行备份。全量备份总是备份所有选择的目标，即使从上次备份后数据没有变化。 全量备份触发方式分为：自动备份、手动备份。 增量备份：即事务日志备份。RDS系统自动每5分钟对上一次全量备份，或增量备份后更新的数据进行备份。 备份原理 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。备份触发后，从主库备份数据并以压缩包的形式存储在对象存储服务上，不会占用实例的磁盘空间。 主备实例 采用一主一备的经典高可用架构，主备实例的每个节点的规格保持一致。备份触发后，从主库备份数据并以压缩包的形式存储在对象存储服务上，不会占用实例的磁盘空间。 当数据库或表被恶意或误删除，虽然RDS支持HA高可用，但备机数据库会被同步删除且无法还原。因此，数据被删除后只能依赖于实例的备份保障数据安全。 备份原理图

新增访问密钥时忘记下载，如何重新下载找到密钥文件？ 删除密钥重新生成即可。并且为了安全，最好每3个月重置密钥。 accesskey能否删除？ 支持删除。 是否可以设置密码有效期？ 支持。登录官网后，在账号中心安全设置密码策略密码有效期策略中设置。IAM用户与主账号保持一致。 天翼云官网账号如何修改绑定手机号？ 登录官网以后点击头像下方的“个人中心”进入“安全设置”页面更换手机号，验证原手机号的验证码以后即可更换新的手机号。详情可参考：更换手机号 无法收到短信验证码怎么办？ 1. 网络通讯异常可能会造成短信丢失，请重新获取或稍后再试。 2. 请核实手机是否已停机，或者屏蔽了系统短信。 售前、售后问题可以通过哪些方式解决？ 用户遇到售前、售后问题时，可以通过以下几种方式解决： 咨询热线 用户可拨打客服热线咨询售前、售后问题。咨询热线：4008109889 帮助文档 用户在官网首页点击顶部导航“文档“进入帮助中心页面，然后点击上方的产品导航快速查找产品，点击相应产品即可进入产品文档，自助解决问题。 智能客服 用户可点击官网首页右侧“服务与建议“，选择“ 智能客服” 进入在线客服界面，选择人工服务 提交工单 1、登录天翼云官网，点击顶部导航“管理中心“进入总览页面。 2、在总览页面点击右上侧“更多工单新建工单”进入工单页面，选择“提交工单”。 3、创建工单。根据遇到的问题，选择问题所属产品、选择问题分类，创建工单。 4、填写工单 。根据实际情况和工单页面提示，填写工单内容，如果有报错截图，可以将图片上传。 5、确认信息后点击“确定提交”即可。提交工单后，天翼云工程师会即时进行处理。

本文主要介绍如何修改IP地址组基本信息。 操作场景 本章节指导用户修改IP地址组。 说明 修改IP地址组，相应安全组规则和网络ACL规则的源地址范围也会随之改变。 修改IP地址组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“访问控制 > IP地址组”。 4. 在IP地址组列表页面，单击操作列的“修改”，可以对IP地址组信息进行修改，包括名称、IP地址、描述。

本章介绍主机迁移服务迁移或同步失败常见问题。 迁移中源端有新增的数据如何处理？ 启动目的端后，若源端有新增的数据，单击此服务器所在行的操作列的“同步”，开始下一次复制（增量数据），当迁移状态为“持续同步”时，单击“启动目的端”，迁移实时状态为“已完成”时，说明新增数据已同步到目的端。 “迁移模块异常中止，无法同步”怎么处理？ 问题描述 持续同步过程中出现“SMS.1414 迁移模块异常中止，无法同步”。 问题原因 迁移模块异常终止可能是因为用户手动重启过Agent或者源端服务器被重启过。 源端有一个监控磁盘变化的进程，用于将源端变化的部分同步到目的端。重启之后该进程被终止，会导致无法正确的将源端服务器的变化同步到目的端。 解决方案 该场景下无法继续完成迁移任务，请删除该任务后，重新迁移。请注意迁移过程中不要重启源端服务器或Agent。 Windows迁移过程中，源端SMSAgent突然退出，导致与主机迁移控制台断开连接 问题描述 Windows服务器迁移过程中，源端突然与SMS控制台断开连接，查看源端发现是迁移用的SMSAgent程序退出。 问题分析 出现该问题，可能是因为源端服务器“客户体验改善计划”导致SMSAgent程序退出。 1. 查看SMSAgent迁移日志中断时间。（C:SMSAgentPy3SmsAgentInfo.log） 2. 在源端服务器，打开计算机管理。选择“事件查看器>Windows 日志>系统”。 3. 在系统日志中，查看与SMSAgent迁移日志中断时间对应的系统日志。发现是因为一条客户体验改善计划的用户登录通知，导致源端服务器自动重启。 解决方案 关闭“客户体验改善计划”。 1. 在源端服务器，打开运行窗口，输入：gpedit.msc，单击“确定”，打开“组编辑策略器”。 2. 在导航栏，选择“计算机配置>管理模板>系统>Internet通信管理>Internet 通信设置”，找到“关闭Windows 客户体验改善计划”。 3. 双击“关闭Windows 客户体验改善计划”，打开编辑窗口，选择“已启用”，单击“确定”。 4. 打开计算机管理，选择“系统工具>任务计划程序库>Microsoft>Windows>Customer Experience Improvement Program”，禁用所有任务。 5. 选择“系统工具>任务计划程序库>Microsoft>Windows>Application Experience”，禁用所有任务。 6. 禁用客户体验改善计划相关任务后，需要在SMS控制台删除迁移任务，重新创建并启动迁移任务。

本文介绍边缘接入服务IP应用加速域名基本信息。 功能介绍 域名基本信息，主要包括添加加速域名、实例名称、验证域名归属权、选定正确的加速区域，是否开启IPv6开关，是您使用天翼云边缘接入服务IP应用加速最基础且关键的一步。 基本信息涉及的相关功能如下： 加速域名： 即您需要加速的域名，如果加速区域选择中国内地时，该域名必须完成备案，除此之外，所有域名都需要先完成域名归属权验证，参照：验证域名归属权。 实例名称：选择无域名接入方式后，您可以自定义实例名称来标识您的应用。 加速区域： 您可以按需配置仅对中国内地用户加速，或者仅加速中国内地以外的用户，即全球（不含中国内地），或者加速全球用户。 启用IPv6：按需开启IPv6，不开启的情况下仅支持IPv4用户访问，开启后IPv4和IPv6用户访问均支持。 配置说明 新增接入，配置域名/实例的基本信息步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击左上角【新增接入】。 4. 填写基本信息，包括填写加速域名/实例名称、加速区域的选择、是否启用IPv6等。 编辑域名/实例，修改域名/实例基本信息步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击IPv6解析开关，修改IPv6配置。 4. 在首页列表页面，点击实例名称后的铅笔，可修改实例名称。 注意 域名/实例新增时，默认启用IPv6，如无需IPv6请自行关闭。

天翼云Prometheus监控服务提供了Remote Read的标准接口，您可以通过这个接口远程访问天翼云上Prometheus的监控数据。本文以开源Prometheus访问天翼云Prometheus监控为例介绍如何使用Remote Read地址。 使用限制 Remote Read接口暂不支持HTTP/2。 前提条件 已创建Prometheus 版实例 远程读取的客户端网络已经与暴露接口打通。 操作指南 步骤一：获取用户的AccessKey和AccessKey Secret 如果您已创建Prometheus实例，且您需要使用AccessKey和AccessKey Secret进行远程读写，则需要先为获取用户的AccessKey ID和AccessKey Secret。 1. 通过实名认证的账号登录天翼云。 2. 进入天翼云账号中心。 3. 点击【安全设置】进入安全设置中心 4. 在用户AccessKey模块，可创建AKSK，或直接查看已生成的AKSK。 步骤二：获取Remote Read地址 1. 登录应用性能监控控制台，左侧菜单选择Prometheus监控，进入实例列表页面。 2. 单击目标实例名称。 3. 在设置页签上，复制Remote Read地址。 步骤三：配置开源版Prometheus 1. 安装开源Prometheus。 2. 编辑Prometheus.yml配置文件，并在文件末尾增加以下内容，将remoteread链接替换为上文步骤二中获取的地址，然后保存文件。 plaintext global: scrapeinterval: 15s evaluationinterval: 15sscrapeconfigs: jobname: 'prometheus' staticconfigs: targets: ['localhost:9090'] remoteread: 替换为您的Remote Read地址。 url: " readrecent: true 3. 重启开源版Prometheus服务。

使用ollama运行模型 plaintext ollama run deepseekr1:14b 4. 通过web界面进行交互 a.安装openwebui plaintext docker pull ghcr.io/openwebui/openwebui:main b.启动容器 plaintext docker run d nethost e PORT3000 e OLLAMABASEURL e ENABLESIGNUPtrue e ENABLEOPENAIAPIFalse v openwebui:/app/backend/data name openwebui restart always ghcr.io/openwebui/openwebui:main 后续请参考上文“快速体验DeepSeek——步骤二：使用deepseek模型” 。 FAQ 盘不够了，我应该怎么办？ 如果您在模型部署过程中发现云盘的容量不够，可以采取如下措施: 1. 根据云硬盘扩容概述云硬盘用户指南扩容云硬盘 天翼云对已有云盘进行扩容。 2. 新建一块数据盘并挂载，相关操作见挂载云硬盘云硬盘快速入门 天翼云、初始化数据盘弹性云主机快速入门 天翼云。 如何修改ollama模型的存储位置？ 在linux环境下，ollama默认模型存储目录是 /usr/share/ollama/.ollama/models/，我们建议您使用云硬盘独立挂载数据盘，将模型存储到数据盘中。模型存储位置是由环境变量控制的，我们需要修改ollama的环境变量重启服务才能修改存储目录，我们以 /data/ollama/models 目录为例： 1. 打开 ollama.service 文件 plaintext vi /etc/systemd/system/ollama.service 注意 请确保 ollama 用户组中的 ollama 用户具备访问该目录的读写权限 2. 新增相关环境变量 3. 重启服务 plaintext systemctl daemonreload systemctl restart ollama

操作步骤 说明 相关文档 （必选）步骤一：购买并登录日志审计实例 需订购日志审计（原生版）后，进入控制台查看实例的状态为“运行中”，点击“登录”进入日志审计（原生版）实例中使用。 购买实例 （必选）步骤二：新增资产 在使用日志审计（原生版）之前，需要先纳管资产，以便日志审计（原生版）服务可以对您的资产进行日志管理。 （必选）步骤三：配置资产采集 新增资产后，需要配置资产采集方法。 步骤四：配置事件策略、告警策略 新增资产后，需要配置事件策略，日志审计（原生版）服务才可以获取业务所需的日志信息。 采集日志后，通过配置告警策略对采集到的日志进行告警判断，对符合告警策略的日志进行告警。 步骤五：查看日志、告警结果 通过列表和统计图的方式，更直观的展示采集到的日志情况。 通过告警等级统计数量模块、告警趋势图、告警出现次数、告警类型分布以及告警列表展示告警情况。 步骤六：配置数据报表 通过生成报表，可以将海量的日志数据转化为直观、易懂的图表和统计信息，帮助管理员快速了解系统的整体运行状况。

参数 是否必填 参数类型 说明 示例 下级对象 concurrency 否 Integer IstioProxy线程数 2 enableCoreDump 否 Boolean 核心转存 false enableDnsCapture 否 Boolean 是否开启istio内置dns false enableElegantTermination 否 Boolean 是否开启优雅终止 false excludeIPRanges 否 String 不拦截对外访问的地址范围 127.0.0.1 excludeInboundPorts 否 String 设置端口使入口流量免于经过Sidecar代理 80,8080 excludeOutboundPorts 否 String 设置端口使出口流量免于经过Sidecar代理 80,8080 holdApplicationUntilProxyStarts 否 Boolean 生命周期管理 true includeIPRanges 否 String 拦截对外访问的地址范围 192.168.0.0/16 includeInboundPorts 否 String 设置端口使入口流量经过Sidecar代理 443 includeOutboundPorts 否 String 设置端口使出口流量经过Sidecar代理 443 interceptionMode 否 String Sidecar对入向流量的拦截策略，REDIRECT：默认的拦截策略，Sidecar将使用重定向方式拦截入向流量。TPROXY：透明代理拦截策略，Sidecar将以透明代理的方式拦截入向流量。NONE:不拦截流量 REDIRECT lifecycleStr 否 String Sidecar代理生命周期JSON字符串 logLevel 否 String 日志等级，如果不设置则为warning info outboundTrafficPolicy 否 String 出向流量策略。取值：ALLOWANY：允许访问所有外部服务。REGISTRYONLY：只能访问注册到网格内的服务。 ALLOWANY proxyMetadata 否 Map of String 环境变量 proxyStatsMatcher 否 Object 统计相关指标 CustomProxyConfigProxyStatsMatcher selector 否 Map of String workload的标签选择器 sidecarProxyInitResourceLimit 否 Object Sidecar代理初始化容器资源限制 ResourcesLimitReq sidecarProxyInitResourceRequest 否 Object Sidecar代理初始化容器资源最低申请额度 ResourcesRequestReq sidecarProxyResourceLimit 否 Object Sidecar代理容器资源限制 ResourcesLimitReq sidecarProxyResourceRequest 否 Object Sidecar代理容器资源最低申请额度 ResourcesRequestReq terminationDrainDuration 否 String Istio Proxy终止等待时长 5s

本章节介绍人脸识别 关于使用限制、产品功能、产品性能、系统逻辑等常见问题的解答。 人脸识别对于上传的图片是否有要求？ 不同的API对图片的大小限制不同，具体以API文档为准。 图片格式支持jpg、jpeg、png、bmp。 人脸识别是HTTP GET请求还是HTTP POST请求？ 人脸识别产品以API的方式提供服务，支持HTTP POST请求。 HTTP POST提供了加密传输、身份验证和授权以及请求参数验证和过滤等机制，从而可以更好的保障用户的数据安全。 人脸比对的API怎么用？上传几张图片？ 人脸对比的API主要是对比两张图片中的人脸是否为同一人，因此需上传2张人脸图片。 人脸识别的请求图像放置在HTTP请求的哪部分？ 请求图片应当放置于HTTP的body中，不能放置于query或者header中。 HTTP请求的详细信息可以查看构造请求。 请求地址：产品文档—API参考—如何调用API—构造请求。 人脸检测的API接口是否支持单次请求多张图片？ 接口只允许单张图片请求，不允许图片list，且按请求中的图片数量来进行计费。 API接口的详细信息可以查看产品API文档。 请求地址：产品文档—API参考—API—对应产品（如人脸检测）。 人脸识别能否提供100%识别准确率？ 人脸识别准确率与上传的图片质量相关，同时也存在一定概率的误差，无法做到100%识别准确率。 如您对当前使用的人脸识别产品服务有识别准确率相关问题，您可通过天翼云官网工单或者拨打客服电话【4008109889】联系我们。

关系数据库SQL Server版服务支持自动扩容实例存储空间，即当实例存储空间达到一定阈值时，由后台自动发起扩容，无需用户进行人工操作确认。本文介绍如何开启和关闭关系数据库SQL Server版服务的存储空间自动扩容功能。 前提条件 实例状态为 运行中 。 您的账户余额充足。 约束限制 实例最大可自动扩容至32TB。 注意 如果实例存储空间本身已达上限，则不支持自动扩容。 扩容后不支持缩容。 实例的任意节点达到阈值都会触发自动扩容。 存储空间自动扩容连续触发间隔为一小时（即存储空间自动扩容成功后仍满足扩容阈值，在一小时后会再次触发自动扩容）；每次默认扩容当前磁盘大小的20%（向上取整），直到达到扩容上限为止。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择 产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版 ，进入关系数据库SQL Server产品页面。然后单击 管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择 SQL Server > 实例管理 ，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击主实例名称，进入实例基本信息页面。 4. 在配置信息 区域，单击存储自动扩容 参数右侧的 设置 。 5. 在设置存储空间自动扩容 对话框中，打开或关闭自动扩容开关。开启自动扩容功能时，您需要配置存储扩容触发阈值 和 存储自动扩容上限 。 6. 单击 确定 。 注意 扩容会产生相应的费用，从余额进行扣除，请保证余额充足。 对于大业务量，可能很快到达存储自动扩容上限值，因此建议存储自动扩容上限选择较大值，以备不时之需。 存储自动扩容上限不能小于200GB。

本节介绍了云容器引擎节点类常见问题。 容器集群新增节点时的问题与排查方法？ 若是通过集群节点扩容，可在集群节点列表中查看新增的节点概况； 若是通过节点池新增节点，可在节点池详情的伸缩活动中看操作记录。 如何重置容器集群中节点的密码？ 可在集群节点详情页面有重置密码按钮，需两次输入密码校验正确后才生效。 注意 节点重置密码等同于云主机重置密码，请务必保存好密码。 节点重置密码后如何登陆云主机？ 需购买并绑定同一VPC内的弹性IP后，可SSH登陆云主机操作。 容器集群节点中安装kubelet的端口主要有哪些？ 容器集群节点中安装kubelet的端口主要有如下几个： 10250 –port：kubelet服务监听的端口，api会检测他是否存活。 10248 –healthzport：健康检查服务的端口。 10255 –readonlyport：只读端口，可以不用验证和授权机制，直接访问。 4194 –cadvisorport：当前节点cadvisor运行的端口。 容器集群的节点可以更改IP吗？ 不支持修改私网IP：当前容器的集群中把节点私网IP作为kubernetes node名称，kubernetes node名称不支持修改，修改后会导致节点不可用及容器网络异常等故障，所以不支持更换节点私网IP。 支持修改公网IP：节点上的公网IP可以在云主机控制台更换。 如何更改节点Pod数量？ 不同集群单节点支持的最大Pod数是有限制的，默认为110。 登陆到节点上，修改/var/lib/kubelet/config.yaml中配置。 修改参数maxPods为指定的值。 执行systemctl restart kubelet，重启kubelet。

介绍HBlock Container Storage Interface(CSI)插件。 Kubernetes和CSI插件 Kubernetes是一个开源的容器集群管理系统，可以实现容器集群的自动化部署、自动扩缩容、维护等功能。通过Kubernetes可以快速部署应用，快速扩展应用，无缝对接新的应用功能，节省资源，优化硬件资源的使用。 在Kubernetes集群中运行工作负载时，有应用数据持久化存储、配置数据存储、存储资源动态供应等存储需求。Kubernetes集群基于CSI插件实现了容器存储功能，借助存储资源盘活系统提供并管理静态或动态存储卷资源。容器存储接口（CSI）插件是当前Kubernetes社区推荐的插件实现方案。 企业在使用Kubernetes部署容器时，通常需要使用持久化存储。持久卷（Persistent Volume）是独立于Pod的存储资源，它的生命周期与Pod无关，在存储节点中创建持久卷后，即可将其提供给计算节点中的Pod使用，实现了计算资源和存储资源的解耦。Kubernetes CSI 插件可以为有状态应用提供持久化存储能力。Kubernetes集群中的计算节点挂载持久卷作为磁盘，供节点上运行在Pod内的数据库等应用使用。容器中使用的数据库或有状态应用程序，需要依赖于高稳定性、高性能的存储系统，数据需要在硬件或软件重启后仍能继续保留。Kubernetes通过PV、PVC、Storageclass提供了一种强大的基于插件的存储管理机制，并且引入了容器存储接口Container Storage Interface（CSI）机制，用于在Kubernetes和外部存储系统之间建立一套标准的存储管理接口，通过该接口可以为容器提供存储服务。存储提供方只需要基于标准接口进行存储插件的实现，就能使用Kubernetes的原生存储机制为容器提供存储服务。

本文介绍如何创建集群。 集群是运行应用的逻辑分组，包含一组云主机资源，每个节点对应一台云主机。首次使用时，您需要创建一个初始集群，最低限度添加一个节点。本章节将演示如何快速创建一个容器集群。 操作前提 需要预先注册天翼云平台账号。 能够确保账户中有充足的余额，否则将导致您的业务开通失败。 在【创建集群】之前，请确保已完成VPC、子网的创建及安全组的配置，也可在创建集群过程中进行VPC和子网的创建。 操作步骤 1.登录天翼云控制台； 2.选择【控制台】>点击切换到具体资源池，如杭州2节点； 3.在控制台中找到【容器服务】>点击【容器引擎】，进入容器服务界面； 4.进入【总览】页面>单击【创建集群】按钮，进入集群创建界面； 5.输入集群名称 cluster1，其余参数保持默认。若未创建虚拟私有云和子网，请优先创建虚拟私有云%20%20%E8%A1%A5%E5%85%85%E6%9C%80%E4%BD%B3%E5%AE%9E%E8%B7%B5.docx

本节介绍云安全中心的应用场景。 场景一：安全运营场景 为中小企业提供专业的安全运营团队，为用户提供专业的安全运营支撑。为用户提高各类威胁检测率，降低误报率。在一定程度上降低用户在安全运营上的成本，提升了安全运营的灵活性。 方案优势 减少无效告警：通过不同安全产品之间的数据关联，减少孤立的数据点，降低无效告警信息的产生。 提升告警精准度：提高告警信息的精准度，使得安全团队能够专注于真正重要的安全告警，从而提升整体运维效率。 高效统一的安全运营工具：用户云上的安全工具互相独立，每种工具只能有限防范几种常见攻击。云安全中心提供统一的安全运营平台，帮助用户高效统一地进行安全运营。 场景示意图 场景二：安全合规场景 满足国家行业监管要求，帮助企业业务安全合规。帮助企业明确安全目标，系统化构建信息系统安全，降低安全隐患和攻击风险，向客户及利益相关方展示安全承诺，增强客户、合作伙伴及利益相关方的信心。 方案优势 全局数据整合：将不同安全能力产生的数据进行整合和分析，使企业能够全面掌握安全态势。 全局统一视角：整合各安全措施后，企业能够从全局视角监控和管理安全状况，提高对整体安全态势的把握。 全局协同效应：各安全能力之间实现有效协同，形成统一的防护体系，增强整体防御能力。 云安全中心依托安全服务订阅模式，为企业提供个性化服务套餐订阅，事前预防，事发检测分析，事中快速响应，事后溯源。遵从合规性要求，监控预防，实时知悉系统健康情况，“御敌于城门之外”。

本章节主要介绍创建程序包。 DLI支持用户通过批处理方式将程序包提交至通用队列中运行。 说明 :如果用户需要更新程序包，可以使用相同的程序包或文件上传至DLI的同一个位置（同一个分组），直接覆盖原有的程序包或文件。 前提条件 所使用的程序包需提前上传至OBS服务中保存。 创建程序包步骤 1.在管理控制台左侧，单击“数据管理”>“程序包管理”。 2.在“程序包管理”页面，单击右上角“创建程序包”可进行程序包创建。 3.在“创建程序包”对话框，参见下表设置相关参数。 参数名称 描述 包类型 支持的包类型如下： JAR：用户jar文件 PyFile：用户Python文件 File：用户文件 OBS路径 选择对应程序包的OBS路径。 说明 程序包需提前上传至OBS服务中保存。 只支持选择文件。 分组设置 可选择“已有分组”，“创建新分组”或“不分组”。 分组名称 选择“已有分组”：可选择已有的分组。 选择“创建新分组”：可输入自定义的组名称。 选择“不分组”：不需要选择或输入组名称。 说明 如果选择分组，则对应的权限管理为对应程序包组的权限管理。 如果选择不分组，则对应的权限管理为对应程序包的权限管理。 程序包组和程序包权限管理请参考程序包组和程序包权限管理。 4.单击“确定”，完成创建程序包。 程序包创建成功后，您可以在“程序包管理”页面查看和选择使用对应的包。

如何对所有数据库设置数据库安全审计规则？ 数据库安全审计默认提供一条“全审计规则”的审计范围，可以审计连接数据库安全审计实例的所有数据库。该审计规则默认开启，您只能禁用或启用该审计规则。 在添加风险操作时，您也可以将添加的风险操作应用到连接数据库审计实例的所有数据库，如下图所示。 如何查看数据库安全审计的版本信息？ 请参照以下操作步骤查看数据库安全审计的版本信息。 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“实例列表”，进入“实例列表”界面。 5. 单击需要查看信息的实例名称，进入实例概览页面。 6. 查看实例版本信息，如下图所示。 如何查看数据库安全审计所有的告警信息？ 请参照以下操作步骤查看数据库安全审计的告警信息。 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“实例列表”，进入“实例列表”界面。 5. 单击需要查看告警信息的实例名称，选择“监控 > 告警监控”，进入告警监控页面。 6. 查看告警信息。您可以按照以下方法，查询指定的告警信息。 选择“时间”（“全部”、“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”），或单击 ，选择开始时间和结束时间，单击“确认”，列表显示该时间段的告警信息。 选择“风险等级”（“全部”、“高”、“中”或“低”），列表显示该级别的告警信息。 选择“告警类型”，列表显示该类型的告警信息。

本节指导用户通过密钥管理界面对外部导入的密钥材料进行删除操作。 当用户导入密钥材料时，可以指定密钥材料的失效时间。当密钥材料失效后，KMS将删除密钥材料，自定义密钥的状态变为“等待导入”。用户也可以根据需要手动删除密钥材料。等待密钥材料到期失效与手动删除密钥材料所达到的效果是一样的。 说明 删除密钥材料后，若需要重新导入密钥材料，导入的密钥材料必须与删除的密钥材料完全相同，才能导入成功。 用户重新导入相同的密钥材料后，该自定义密钥可以解密删除密钥材料前加密的所有数据。 前提条件 用户已导入密钥材料。 “密钥材料来源”为“外部”。 密钥“状态”为“启用”或“禁用”。 约束条件 删除密钥材料后，若需要重新导入密钥材料，导入的密钥材料必须与删除的密钥材料完全相同，才能导入成功。 用户重新导入相同的密钥材料后，该自定义密钥可以解密删除密钥材料前加密的所有数据。 密钥材料删除后，密钥将无法使用，且当前密钥的状态切换为“等待导入”。 非对称密钥不支持删除密钥材料功能，如需删除，请使用删除密钥功能。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 在需要删除的密钥材料所在行，单击“删除密钥材料”。 步骤 5 在弹出的对话框中单击“确定”，页面右上角弹出“密钥材料删除成功”，则说明删除密钥材料的成功。 密钥材料删除后，密钥将无法使用，且当前密钥的状态切换为“等待导入”。

本章主要介绍翼MapReduce的恢复DBService数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对DBService进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对DBService进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复DBService任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的DBService数据。 MRS集群中默认使用DBService保存Hive、Hue、Loader、Spark、Oozie的元数据。恢复DBService的数据将恢复全部相关组件的元数据。 对系统的影响 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 数据恢复后，依赖DBService的组件可能配置过期，需要重启配置过期的服务。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 检查DBService主备实例状态是否正常。如果不正常，不能执行恢复操作。

本章节介绍详细的操作步骤关于如何通过常用工具Navicat连接PostgreSQL。 创建PostgreSQL 操作场景 本文将介绍在云数据库RDS服务的管理控制台上创建实例的过程。 目前，RDS for PostgreSQL支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的RDS实例。 操作步骤 1、登录管理控制台。 2、单击管理控制台右上角区域选项，选择区域和项目。 3、在页面左上角单击 ，选择“数据库 > 关系型数据库PostgreSQL”。进入云数据库 RDS信息页面。 4、在“实例管理”页面，单击“购买数据库实例”。 5、在“服务选型”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 图 购买PostgreSQL数据库 登录主机下载Navicat 操作步骤 1、通过windows远程登录页面登录ECS 2、登录Navicat官网下载对应的数据库客户端 通过Navicat连接PostgreSQL 操作步骤 1、打开Navicat点击新建连接 2、编辑PostgreSQL登录信息 3、创建数据库 4、右击”表“，选择新建 5、编辑数据表的字段信息 6、编写测试数据 7、查询测试数据

本节介绍了什么是数据库备份、备份类型、备份机制等内容。 什么是数据库备份 RDS for MySQL会在数据库实例的备份时段中创建数据库实例的自动备份。系统根据您指定的备份保留期（1~732天）保存数据库实例的自动备份。 每次备份完成后都会生成一个备份文件，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。 备份类型 RDS for MySQL包含多种备份类型，不同备份类型的概念介绍以及功能差异，请参见备份类型。 全量备份：对所有目标数据进行备份。全量备份总是备份所有选择的目标，即使从上次备份后数据没有变化。 全量备份触发方式分为：自动备份、手动备份。 增量备份：即Binlog备份，RDS系统自动每5分钟或一定数据量时对上一次全量备份或增量备份后更新的数据进行备份。 备份触发过程 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。备份触发后，从主库备份数据并以压缩包的形式存储在对象存储服务上，不会占用实例的磁盘空间。 主备实例 采用一主一备的经典高可用架构，主备实例的每个节点的规格保持一致。备份触发后，从备库备份数据并以压缩包的形式存储在对象存储服务上（当主备复制延迟较高时会切换到主机备份），不会占用实例的磁盘空间。 当数据库或表被恶意或误删除，虽然RDS支持主备高可用，但备机数据库会被同步删除且无法还原。因此，数据被删除后只能依赖于实例的备份保障数据安全。

本节介绍了什么是数据库备份、备份类型、备份机制等内容。 什么是数据库备份 RDS for PostgreSQL会在数据库实例的备份时段中创建数据库实例的自动备份。系统根据您指定的备份保留期（1~732天）保存数据库实例的自动备份。 每次备份完成后都会生成一个备份文件，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。 备份类型 RDS for MySQL包含多种备份类型，不同备份类型的概念介绍以及功能差异，请参见备份类型。 全量备份：对所有目标数据进行备份。全量备份总是备份所有选择的目标，即使从上次备份后数据没有变化。 全量备份触发方式分为：自动备份、手动备份。 增量备份：即Binlog备份，RDS系统自动每5分钟或一定数据量时对上一次全量备份或增量备份后更新的数据进行备份。 备份触发过程 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。备份触发后，从主库备份数据并以压缩包的形式存储在对象存储服务上，不会占用实例的磁盘空间。 主备实例 采用一主一备的经典高可用架构，主备实例的每个节点的规格保持一致。备份触发后，从备库备份数据并以压缩包的形式存储在对象存储服务上（当主备复制延迟较高时会切换到主机备份），不会占用实例的磁盘空间。 当数据库或表被恶意或误删除，虽然RDS支持主备高可用，但备机数据库会被同步删除且无法还原。因此，数据被删除后只能依赖于实例的备份保障数据安全。

本页介绍了如何修改数据库账号的权限。 文档数据库服务产品支持在管理控制台直接修改数据库账号的权限。 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”菜单，进入到实例列表页。 3. 选择需要创建数据库账号的实例，点击该实例的实例ID，进入实例详情页。 4. 再点击“账号管理”进入到账号管理页。 5. 对需要修改权限的账号，点击右侧操作列的“修改权限”按钮，弹出“修改权限”弹窗页。 6. 在“修改权限”弹窗页中，用户可以根据实际业务，对该账号的“数据库”和“权限”作出调整。 7. 调整完成后，点击弹窗页的“确定”按钮，即可完成数据库账号权限的修改。

本文为您介绍添加受保护服务器的操作流程。 操作场景 保护组创建完成后，将需要容灾的服务器添加到指定的保护组中。 约束与限制 单次添加时，至少选择1个服务器进行保护，最多可以选择10个服务器。 目前仅支持64位操作系统，且服务器的规格不能小于2CPU+4GB内存。详情请参见支持的操作系统版本。 暂不支持将挂载了X系列云硬盘（如XSSD1等）的云主机添加为受保护的服务器。 注意事项 由于云容灾服务需要连通服务端VPC，如果受保护的服务器使用非默认安全组，请确认所使用的安全组配置了出方向规则，示例如下： 具体请参见安全组规则。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入云上容灾。 板块展示：默认进入板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 列表展示：默认是板块展示，可单击右上角图标切换为列表展示。找到目标保护组，单击目标保护组名称，进入保护组页面。 5. 在保护组页面，在“受保护的服务器”页签，单击“添加受保护服务器”，进入云主机列表页面。 6. 在云主机列表页面，选择需要受保护的服务器，单击“确认”。 7. 待云主机状态变为“已初始化”，说明添加完成。

本章节主要介绍物理机的管理类的问题。 物理机的使用限制是什么？ 禁止修改网络相关的配置，否则可能导致无法连接物理机。不支持操作系统内核升级。 不支持直接加载外接硬件设备（如USB设备、银行U key、外接硬盘、加密狗等）。 不支持带外管理，您的物理机资源统一由天翼云管理和维护。 不支持热迁移，服务器故障后会对业务造成影响，建议您通过业务集群部署、主备部署等方式实现业务的高可用。 不支持创建没有操作系统的裸设备，即物理机必须自带操作系统。 创建后不支持更换VPC。 公共镜像的Windows物理机系统是默认激活的，您在上面二次虚拟化出来的操作系统，需要您自行激活。 不支持自定义物理机CPU和内存配置，不支持规格变配，仅支持云硬盘在线扩容。 仅支持挂载SCSI类型的云硬盘。 由于某些机型的服务器没有配备SDI卡，或者其他服务器本身的原因，有些规格或镜像的物理机不支持挂载云硬盘。 请勿删除或者修改镜像中内置的插件服务（如CloudInit、bmsnetworkconfig等），否则会影响您的基本功能使用。 在创建物理机时，如果选择自动分配IP地址，请不要在物理机发放完成后修改私有IP地址，避免和其他物理机IP冲突。 物理机不支持配置桥接网卡，会导致网络不通。 禁止升级OS自带内核版本，否则服务器硬件驱动会存在兼容性风险，影响服务器可靠性。 物理机禁止修改和配置系统盘。

本章节主要介绍数据治理中心的配置常见关系数据库连接功能。 常见关系数据库包括数据仓库服务（DWS）、云数据库 MySQL、云数据库 PostgreSQL、云数据库 SQLServer、PostgreSQL、Microsoft SQL Server、IBM Db2、SAP HANA。 前提条件 已参考管理驱动上传对应的驱动。 常见关系数据库连接参数 连接参数详见下表：常见关系数据库连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mysqllink 数据库服务器 配置为要连接的数据库的IP地址或域名。 单击输入框后的“选择”，可获取用户的DWS、RDS等实例列表。 192.168.0.1 端口 配置为要连接的数据库的端口。 不同的数据库端口不同，请根据具体情况配置。例如： SQLServer默认端口：1433 PostgreSQL默认端口：5432 数据库名称 配置为要连接的数据库名称。 dbname 用户名 待连接数据库的用户。该数据库用户需要有数据表的读写权限，以及对元数据的读取权限。 cdm 密码 用户名密码。 使用Agent 是否选择通过Agent从源端提取数据。 是 Agent 单击“选择”，选择3.3.5.3管理Agent中已创建的Agent。 驱动版本 不同类型的关系数据库，需要适配不同的驱动。 一次请求行数 可选参数，单击“显示高级属性”后显示。 指定每次请求获取的行数，根据数据源端和作业数据规模的大小配置该参数。如果配置过大或过小，可能影响作业的时长。 1000 SSL加密 可选参数，支持通过SSL加密方式连接数据库，暂不支持自建的数据库。 RDS上的PostgreSQL数据库服务做了一些安全增强，在创建RDS上的PostgreSQL的连接时，该参数需要配置为“是”。 是 连接属性 可选参数，单击“添加”可增加多个指定数据源的JDBC连接器的属性，参考对应数据库的JDBC连接器说明文档进行配置。 说明 CDM作业默认打开了useCursorFetch开关，即JDBC连接器与关系型数据库的通信使用二进制协议。 sslmoderequire 引用符号 可选参数，连接引用表名或列名时的分隔符号，参考对应数据库的产品文档进行配置。 '

此小节介绍企业主机安全资产指纹。 主机资产管理 查看主机资产信息 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机自启动项。通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 约束限制 需开启企业版、旗舰版、网页防篡改版或容器版中任一版本。 检测周期 帐号、开放端口：实时检测。开放端口检测结果每6小时刷新一次统计数据。 进程、Web目录管理、软件信息管理、自启动：每日凌晨自动进行一次检测。 查看所有主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、选择“资产管理>资产指纹”，进入“资产指纹”页面，查看所有主机资产。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。 根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00） 查看单服务器的主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏，选择“资产管理>主机管理”，进入“主机管理”界面，选择“云服务器”页签，进入云服务器页面。 5、单击目标服务器名称，进入目标服务器的详情页面，选择“资产指纹”页签。 6、单击指纹列表的目标指纹类型，查看对应资产信息，资产指纹类型特性如表所示。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00）

本章节主要介绍翼MapReduce的区域和可用区的概念。 通常用区域和可用区来描述数据中心的位置，用户可以在特定的区域、可用区创建云服务资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 在同一地域内，可用区与可用区之间内网互通。各可用区之间可以实现故障隔离，即如果一个可用区出现故障，则不会影响其他可用区的正常运行。是否将实例放在同一可用区内，主要取决于您的应用对容灾能力和网络延时的要求。 如果您的应用需要较高的容灾能力，建议您将实例部署在同一地域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，建议您将实例创建在同一可用区内。

本章节介绍如何通过SFS Turbo备份对SFS Turbo弹性文件系统提供备份保护。 云服务备份（Cloud Backup and Recovery, CBR）为云内的弹性云服务器（Elastic Cloud Server, ECS）、物理机（Bare Metal Server, BMS）（下文统称为服务器）、云硬盘（Elastic Volume Service, EVS）、SFS Turbo文件系统，提供简单易用的备份服务，当发生病毒入侵、人为误删除、软硬件故障等事件时，可将数据恢复到任意备份点。提供对SFS Turbo文件系统的数据保护。 步骤1：注册天翼云，为账户充值等，请参见准备工作章节： 步骤2：针对不同的保护对象，在备份前需要创建不同类型的备份存储库，用于存放备份，请参考创建SFS Turbo备份存储库完成SFSTurbo备份存储库创建。 步骤3：如果购买存储库时未绑定资源，还需要将资源绑定至存储库，请参见绑定资源。 步骤4：完成绑定资源后，即可对资源进行备份，产生的备份将存放至对应的存储库中，请参见创建SFS Turbo备份： 步骤5：成功创建备份后，当资源数据因病毒、误删除导致数据丢失时，可以使用备份恢复资源的数据，请参见使用备份创建新文件系统。