介绍创建用户并授权使用Kafka 对资源进行精细访问控制 您可以使用统一身份认证（Identity and Access Management，简称IAM）服务对所拥有的Kafka服务进行精细的权限管理。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 您注册后，系统自动创建帐号，帐号是对其所拥有的资源具有完全控制权限，可以访问系统中所有的云服务。若您的团队或应用程序需要使用您的Kafka资源，您可以为员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录云服务平台。 前提条件 基于IAM服务进行权限管理控制时，您需先了解Kafka的策略管理，包含Kafka所支持的系统策略管理，以及各策略间资源粒度的授权情况。 授权流程 左侧导航栏分别包含“用户组”、“子用户”、“策略管理”、“企业项目”，用户根据个人需要进行操作资源的权限控制。 授权具体流程为：创建IAM用户 > 创建用户组并授权Kafka资源权限 > 为IAM用户授权，具体操作步骤如下： 创建IAM用户 使用天翼云网门户的用户管理功能，给员工或应用程序创建IAM子用户。 步骤 1 企业的天翼云管理员使用已注册的天翼云帐号登录天翼云网门户。 步骤 2 鼠标移动至天翼云首页右上角用户头像，在下拉列表中单击“个人中心”。 步骤 3 个人中心左侧菜单中，单击“主子账号及授权管理”。 步骤 4 在主子账号及授权管理页，单击左侧导航菜单中的“子用户”。 步骤 5 在“子用户”管理界面中，单击“创建子用户”。 步骤 6 在弹出的创建用户对话框中，输入子用户信息。 步骤 7 单击“确定”，完成IAM用户创建，返回子用户列表，将显示新创建的IAM用户。

如果系统预置的CBR权限，不满足您的授权要求，可以创建自定义策略。 目前云平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见《统一身份认证服务用户指南》的“创建自定义策略”章节。 本章为您介绍常用的CBR自定义策略样例。 CBR自定义策略样例 示例1：授权用户创建、修改和删除存储库 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cbr::get", "cbr::list", "cbr:vaults:update", "cbr:vaults:delete", "cbr:vaults:create" ] } ] } 示例2：拒绝用户删除存储库和备份 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予CBR FullAccess的系统策略，但不希望用户拥有CBR FullAccess中定义的删除存储库权限，您可以创建一条拒绝删除存储库和备份的自定义策略，然后同时将CBR FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对CBR执行除了删除存储库和备份外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cbr:backups:delete", "cbr:vaults:delete" ] } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cbr:vaults:create", "cbr:vaults:update", "cbr:vaults:delete" ] }, { "Effect": "Allow", "Action": [ "sfs:shares:createShare" ] } ] }

Kafka Manager和云监控显示的信息不一致 问题现象： 在后台删除某个消费组后，在云监控已经不显示此消费组，但是Kafka Manager中依然存在。 问题原因： Kafka Manager存在缓存。 处理方法： 登录Kafka控制台，在实例所在行，单击“更多 > 重启Manager”。 Kafka Manager如何修改Topic的分区Leader？ 在Kafka Manager中修改Topic的分区Leader的步骤如下： 1. 登录Kafka Manager。 2. 选择“Topic > List”，进入Topic列表页面。 3. 单击待修改分区Leader的Topic名称（以topictest为例介绍），进入Topic详情页面。 4. 单击“Manual Partition Assignments”，进入修改分区Leader页面。 图 Topic详情页面 图 修改分区Leader页面 以修改分区2的Leader为例介绍（Replica 0即为分区Leader），如上图所示，分区2的Leader为2。 5. 修改分区Leader，单击“Save Partition Assignment”。 修改成功后，返回如下图所示信息。 6. 单击“Go to topic view”，进入Topic详情页面。 7. 单击“Reassign Partitions”，保存对Topic分区Leader的修改。 保存成功后，返回如下图所示信息。 8. 在导航栏单击Topic名称，进入Topic详情页面，查看分区详情。 如上图所示，分区2的Leader已经从2改为1。

本文介绍天翼云云工作流的流程定义语言。 通过基础知识和相关使用示例， 可达到基本了解构建和管理业务流程的过程。 基本概述 流程（workflow）基本架构 状态（state）通用结构 transtion字段 stateDataFilter字段 相关文档 基本概述 天翼云云工作流流程定义基于CNCF ServerlessWorkflow Specification 0.8版本进行适配优化的。其主要特征是一种基于YAML的声明式工作流规范，用于定义由事件驱动的无服务器应用编排逻辑。它通过状态（State）组织任务流，支持顺序/并行执行（Parallel状态）、条件分支（Switch状态）、暂停（Sleep状态）等控制逻辑，并能通过错误捕获（Catch策略）和重试机制（Retry策略）实现容错处理。其核心特点包括与云服务事件源的无缝集成、状态间数据传递（Data Input/Output）等。所有状态（State）共享基础属性：名称(name)、类型(type)、输入输出(Data Input/output)。通过组合这些状态类型，可以构建出复杂的业务流程。 流程通常包含若干状态（State），这些状态可以是简单的执行类状态，例如任务（Operation）、暂停（Sleep）、传递（Noop）和失败（Fail）等；也可以是复杂的流程控制类状态，例如选择（Switch）、并行（Parallel）和迭代（Foreach）。其作用列举如下： 操作（Operation） ：主要是用于调用集成服务API来完成特定任务， 利用任务类型状态可以执行一个函数调用，调用天翼云云服务API，也可以通过HTTP/HTTPS等通用协议发起第三方服务调用。 传递（Noop） ：是一种特殊的Operation类型状态， 它主要利用场景是用于在流程编排过程中的一种占位符作用的存在。可当作空白节点或者作为数据预处理节点将输入数据结构转换成期望的输出。 失败（Fail）：是一种特殊的Operation类型状态。Fail状态会返回失败结果，可用于提前结束工作流执行并将执行结果置为失败。 暂停（Sleep）：用于暂停工作流执行， 可将工作流按照指定时长等待或者暂停至特定时间点后继续执行。 条件分支（Switch）：根据条件表达式选择执行路径，类似编程中的switchcase，灵活控制流程方向。 并行（Parallel）：并行执行多个分支，合并各分支结果，适用于需要同时处理多项任务的场景。 迭代（Foreach）：并行遍历输入数组，对每个元素执行处理器逻辑，类似foreach循环，高效处理批量数据。 状态（State）是工作流的基本执行单元，每个状态代表流程中的一个步骤，包含输入处理、业务逻辑执行和输出传递功能。状态之间通过转换（transition）形成有向关系，共同构成完整的工作流。

本小节介绍服务器安全卫士的购买开通步骤。 开通步骤 1.登录云平台，进入产品安全服务器安全卫士产品介绍页面，点击“立即开通”，进入订单开通页面。 2.选择规格、授权数量和订购时长，提交订单，购买成功后即可进入控制中心“服务器安全卫士”界面进行后续操作。 产品介绍 订单开通页面基础版 订单开通页面企业版 订单开通页面旗舰版

本文介绍客户端TLS版本与MySQL不一致导致SSL连接失败的处理方法。 场景描述 客户端连接到云上MySQL失败，但是连接到自建环境或其他环境可以成功，均使用了SSL连接。 原因分析 查看MySQL的错误日志，从报错信息可以看出，很可能和TLS版本相关，使用如下命令，分别查看MySQL和自建MySQL的TLS版本。 show variables like '%tlsversion%'; 发现MySQL为TLS v1.2版本，自建MySQL为TLS v1.1版本，存在差异。进一步确认客户端TLS版本，与自建MySQL一致，因此出现连接自建MySQL成功，连接云上MySQL失败。 解决方案 客户端升级TLS版本到TLS v1.2。

建议搭配服务 CDN加速、云存储网关。 跨地域读写数据 场景描述 对于跨地域读取和写入数据的应用，如拥有多个子公司、跨地域门店的公司、企事业单位，通过使用对象存储（经典版）Ⅰ型，可以实现数据就近写入距离用户较近的资源池，以及就近读取较近资源池中的数据，以实现较低的访问延迟。同时对于重点保护数据，可通过对象存储（经典版）Ⅰ型的多副本冗余功能，实现异地数据容灾。 建议搭配服务 CDN加速。

本文介绍视频直播包含的计费项。 天翼云视频直播计费构成由基础服务计费及增值服务计费组成。 基础服务计费 视频直播基础服务计费是指使用服务产生的流量或带宽费用，可任选其中一种计费方式。 详细说明请参见：按需计费（必选）及资源包计费（预付费）。 增值服务计费 除按需计费外，可根据业务需求选择是否叠加增值服务，当前增值服务支持直播转码、直播录制、直播截图和直播审核。 详细说明请参见：增值服务计费（可选）。

优化方式三：减少对直播流的处理 如果对直播流进行转码操作，用户请求的是转码流，通常会在原来延时的基础上在增加1s~3s的延时。如果对延时有要求，建议是不进行对应的转码。 优化方式四：使用极速直播 极速直播（LIVE RTC）是天翼云视频直播产品的全新升级，是一款超低延时、超高流畅度的直播产品。其基于天翼云优质CDN与边缘节点，兼容标准直播功能的同时，提供更强的抗丢包能力，适用于对网络延时要求高、互动性强的直播场景。如果客户对延时要求极高，可以选择极速直播产品。

本文介绍同时刻同一个推流URL是否可以支持推不同的直播内容。 同一时间同一个推流URL不支持同时推不同的直播内容。 同一时间一个推流URL只支持推一个视频内容。如果配置了推流优先级，则会根据推流优先级做相应的顶替。 注意 根据推流优先级做相应的顶替，是指高优先级的流生效。例如约定相同流名后推上来的流优先级高，则后推上来的流生效。 推流优先级暂不支持自助配置，需通过

本文介绍创建用户并授权使用Redis 对资源进行精细访问控制 您可以使用统一身份认证（Identity and Access Management，简称IAM）服务对所拥有的Redis服务进行精细的权限管理。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 您注册后，系统自动创建帐号，帐号是对其所拥有的资源具有完全控制权限，可以访问系统中所有的云服务。若您的团队或应用程序需要使用您的Redis资源，您可以为员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录云服务平台。 前提条件 基于IAM服务进行权限管理控制时，您需先了解Redis的策略管理，包含Redis所支持的系统策略管理，以及各策略间资源粒度的授权情况。 授权流程 左侧导航栏分别包含“用户组”、“用户”、“策略管理”、“企业项目”，用户根据个人需要进行操作资源的权限控制。 授权具体流程为：创建IAM用户 > 创建用户组并授权Redis资源权限 > 为IAM用户授权，具体操作步骤如下： 创建IAM用户 使用天翼云网门户的用户管理功能，给员工或应用程序创建IAM用户。 步骤 1 企业的天翼云管理员使用已注册的天翼云帐号登录天翼云网门户。 步骤 2 鼠标移动至天翼云首页右上角用户头像，进入账号中心。 步骤 3 账号中心左侧菜单中，单击“统一身份认证”。 步骤 4 在统一身份认证管理页，单击左侧导航菜单中的“用户”。 步骤 5 在“用户”管理界面中，单击“创建用户”。 步骤 6 在创建用户对话框中，输入用户信息。 步骤 7 单击“确定”，完成IAM用户创建，返回用户列表，将显示新创建的IAM用户。

使用建议 如果您对您的域名并不是熟悉，不熟悉域名的带宽、流量信息、遭受攻击数量等情况时，建议您在域名接入配置时选择监控模式（推荐模式），或者在网站防护模式中选择告警模式，先观察一段时间（推荐两周）的流量、攻击特征，收集到一定的域名信息特征和攻击日志后结合业务场景选择是否切换到拦截模式。 您可以分析根据以下情况进行调整： 如果攻击日志中未发现正常的业务请求被误拦截，攻击日志内容中记录的都是非法请求的情况下，建议您将域名规则开关切换到拦截模式，开始对您的网站进行域名规则防护。 如果发现攻击日志中存在正常业务流量日志内容，如果您有一定的网站安全基础，您可以手动配置访问控制、关闭误拦截的域名规则等方式减少误报，再切换至拦截模式。 如果发现攻击日志中存在正常业务流量日志内容，您也可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。 域名的业务请求中应当注意内容： 在常规的业务请求中，尽量不要直接以原始SQL语句、代码作为参数进行传递，可能会遭受到攻击篡改和域名规则的误拦截，比如/ap1/v1/update?contentselect from t where。 在常规的业务请求中，要注意不要泄露服务器敏感信息(比如直接将含有数据库连接的错误堆栈内容返回浏览器)。服务器敏感信息泄露可能会被攻击者获取用于入侵，同时有服务器敏感信息泄露风险的请求也很可能被安全引擎拦截。 您可以查看您的网站是否会受到此漏洞的影响。如果受到漏洞的影响，可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。

本文带您了解如何使用事件监控。 操作场景 事件监控提供了事件类型数据的展示功能，方便您关注业务中的各类重要事件。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成了规则类型为事件监控的告警规则。 说明 系统事件监控功能当前为受限开放阶段，仅支持部分资源池，如有需要可以联系客户经理提单开通。 查看系统事件监控 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“事件监控”>"系统事件"，进入系统事件监控页面。 5. 在系统事件监控页面，可查看各时间段内发生事件的列表。 6. 单击待查看事件”查看监控图表“，可以查看该事件统计信息。 说明 当前系统事件监控仅支持部分产品，已支持产品及事件参见 设置告警规则 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“事件监控”>"系统事件"，进入系统事件监控页面。 5. 在系统事件监控页面，单击待选择系统事件操作下“创建告警规则”（或在"告警服务">"告警规则"，点击“创建告警规则按钮”）。即可进入“创建告警规则”页面。 6. 在创建告警规则页面，按相关指引填写告警信息。单击确定，即可完成告警规则创建。 说明 配置告警规则参数，请参见

本文介绍域名请求出现“504 Gateway Timeout”错误可能的原因及解决方案。 问题现象 使用天翼云CDN加速之后，用户请求加速域名出现“504 Gateway Timeout”报错，导致无法正常访问。报错如下： 可能原因及解决方案 如源站因某种原因响应慢，超过CDN加速回源超时时间设置仍未向CDN节点返回内容，则会出现504报错。此时具体排查步骤如下： 1. 确认源站服务器的各个指标如CPU及带宽资源等是否正常，如是否有跑高等异常现象。软件服务是否有异常，如发现异常，请联系提供源站服务的相应技术人员进一步进行修复。 2. 可通过直接将域名指向源站IP的方式（修改本机HOSTS文件），不经过CDN请求对应的域名资源，确认源站能否正常响应，查看响应的具体情况。请求时可通过在浏览器打开开发者选项或通过Wireshark等抓包工具进一步查看，如下图示： 如上图，查看对应请求的元素，发现源站请求的响应时间time参数长达1min，确认为源站响应慢，需要进一步检查源站情况，确认源站能否降低响应时长（降低至CDN厂商回源超时时间范围内）。 当确认源站响应慢而且源站没有办法减少响应时间时，可以通过修改CDN域名的默认回源超时时长来缓解该问题，具体可提交工单联系天翼云客服进行配置。 3. 若按上述步骤验证后非源站问题，可参考：接入CDN后域名无法访问，进一步排查。 4. 如果问题还是无法解决，请提交工单联系天翼云客服进行人工确认。

本文介绍CDN内容审核增值服务的计费规则、开通方式、违规内容的评定规则。 重要说明 当前天翼云支持CDN内容审核，该功能是CDN加速产品的一项增值服务，基于天翼云计算AI平台，能对加速内容进行快速智能检测。开通CDN内容审核功能后，系统会自动智能检测经过CDN加速的内容是否涉黄、涉暴恐，鉴定为违规内容的URL将会被记录下来供客户导出，同时支持对违规内容做封禁，实现“净网分发”。 计费规则 CDN内容审核的标准资费为1.3元/千张。 注意事项 目前内容审核主要针对图片是否涉黄、涉暴恐进行鉴定。 CDN内容审核为打分制，每一张审核图片均有一个01的分值。分值越大则越可能是违规内容，分值越低则证明内容越安全。内容审核结果按照分值大小，分为确定部分和不确定部分。确定部分是指确定为违规部分和确定为正常部分的内容，一般分值在0.6以下或0.9以上，这部分一般无需人工干预，可直接基于审核结果对内容进行封禁或相关删除操作；不确定部分是指疑似违规图片，系统无法区分是否实际违规，建议用户进行人工二次确认。目前对于不确定部分，CDN内容审核不收取费用。 目前天翼云CDN加速产品的增值服务支持CDN内容审核，使用CDN内容审核增值服务需完成如下两个步骤： 1. 开通CDN内容审核服务。目前开通天翼云CDN加速业务时，CDN内容审核增值服务默认开通，详情请见：CDN内容审核开通。 2. 线下配置开启。如需使用，请提交工单给天翼云客服，由其人工操作开启。详情请见：CDN内容审核。 该功能目前仅支持中国内地开通使用，全球（不含中国内地）暂不支持。

本文主要介绍 DMS for Kafka自定义策略。 如果系统预置的DMS for Kafka权限，不满足您的授权要求，可以创建自定义策略。 目前云服务平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：《统一身份认证服务用户指南》的“创建自定义策略”章节。本章为您介绍常用的DMS for Kafka自定义策略样例。 说明 DMS for Kafka的权限与策略基于分布式消息服务DMS，因此在IAM服务中为DMS for Kafka分配用户与权限时，请选择并使用“DMS”的权限与策略。 由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的细粒度策略后，大概需要等待5分钟细粒度策略才能生效。 DMS自定义策略样例 示例1：授权用户删除实例和重启实例 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dms:instance:modifyStatus", "dms:instance:delete" ] } ] } 示例2：拒绝用户删除实例 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予DMS FullAccess的系统策略，但不希望用户拥有DMS FullAccess中定义的删除实例权限，您可以创建一条拒绝删除实例的自定义策略，然后同时将DMS FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对DMS for Kafka执行除了删除实例外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "dms:instance:delete" ] } ] }

本节主要介绍概述 微服务云应用平台（ServiceStage）是面向企业的微服务云应用平台，提供应用发布、部署、监控与运维等一站式解决方案。支持Java、Go、Node.js、Docker、Tomcat等运行环境。支持Apache ServiceComb Java Chassis（Java Chassis）、Spring Cloud、Dubbo、Mesher服务网格等微服务应用，让企业应用上云更简单。 本文档指导您快速了解如何通过ServiceStage创建、部署应用以及如何进行应用运维、服务治理。 控制台说明 ServiceStage控制台说明如下表所示。 表 ServiceStage控制台说明 类别 说明 总览 提供ServiceStage产品总体看板，包含使用教程、应用、环境、组件等信息。 应用管理 应用列表提供应用生命周期管理的功能，如应用创建、新增组件、组件列表、环境视图、组件部署、组件详情页及运维入口等。 应用配置提供配置项管理和密钥管理功能。 环境管理 环境是用于应用部署和运行的计算、网络、中间件等基础资源的集合。提供环境创建、编辑、删除、资源配置（纳管资源、移除资源）等功能，以列表形式展示已创建的环境。 微服务引擎CSE 在微服务引擎CSE界面，进入微服务引擎控制台，可以进行微服务治理相关的操作。 持续交付 提供工程构建、发布等功能。 构建通过构建任务可以一键式生成软件包或者镜像包，实现“源码拉取>编译>打包>归档”的全流程自动化。 发布通过流水线工程可以完成一键部署，实现“源码拉取>编译>打包>归档>部署”的全流程自动化。利于集成环境统一、交付流程标准化。 仓库授权用户可以新建仓库授权，使构建工程、应用组件可以使用授权信息访问软件仓库。 软件中心 提供组织管理、镜像仓库等功能。 镜像仓库提供用于存储、管理Docker容器镜像的场所，可以让您轻松存储、管理Docker容器镜像。 组织管理用于隔离镜像，并为租户下用户指定不同的权限（读取、编辑、管理）。

本章节主要介绍查看数据库审计日志。 前提条件 审计功能总开关auditenabled已开启。（auditenabled默认值为ON，若关闭请参考修改数据库参数设置为ON）。 已配置需要审计的审计项。各审计项及其开启办法，请参考设置数据库审计日志。 数据库正常运行，并且对数据库执行了一系列增、删、改、查操作，保证在查询时段内有审计结果产生。 数据库各个节点审计日志单独记录。 只有拥有AUDITADMIN属性的用户才可以查看审计记录。 查看数据库审计日志方式 方式一：由于审计日志会占用一定磁盘空间，为了防止本地磁盘文件过大，DWS支持审计日志转储，用户可以开启“开启审计日志转储”功能，将审计日志转储到OBS（用户需创建用于存储审计日志的OBS桶）中进行查看或下载，详细内容请参考转储数据库审计日志章节的 查看审计日志转储记录。 方式二：通过依赖于云日志服务LTS的“集群日志管理”功能查看采集的审计数据库日志或进行日志下载，详细内容请参考集群日志管理查看集群日志。 方式三：数据库的审计日志默认存储于数据库中，连接集群后，使用pgqueryaudit函数进行查看。详细内容请参考下方 使用pgqueryaudit函数查看数据库审计日志。 使用pgqueryaudit函数查看数据库审计日志 1. 使用SQL客户端工具成功连接集群，连接方式请参考连接集群。 2. 使用函数pgqueryaudit查询当前CN节点的审计日志，其语法为： pgqueryaudit(timestamptzstartime ,timestamptz endtime , auditlog ) 参数startime和endtime分别表示审计记录的开始时间和结束时间，auditlog表示所查看的审计日志信息所在的物理文件路径，当不指定auditlog时，默认查看连接当前实例的审计日志信息。 例如，查看指定时间段当前CN节点审计记录。 SELECT FRO Mpgqueryaudit(' 20210223 21:49:00 ',' 2021022321:50:00'); 查询结果如下： begintime endtime operationtype audittype result username database clientconninfo objectname commandtext detailinfo transactionxid queryid nodename threadid localport remoteport +++ ++++++ ++ +++++ q 20210223 21:49:57.76+08 20210223 21:49:57.82+08 loginlogout userlogin ok dbadmin gaussdb gsql@[local] gaussdb login db login db(gaussdb) successfully, the current user is: dbadmin 0 0 coordinator1 140324035360512@667403397820909 27777 该条记录表明，用户dbadmin在20210223 21:49:57.82+08登录数据库gaussdb。其中clientconninfo字段在loghostname启动且IP连接时，字符@后显示反向DNS查找得到的主机名。 3. 使用函数pgxcqueryaudit可以查询所有CN节点的审计日志，其语法为： pgxcqueryaudit(timestamptz startime,timestamptzendtime ) 例如，查看指定时间段所有CN节点审计记录。 ELECT FROM pgxcqueryaudit('20210223 22:05:00','20210223 22:07:00') where audittype 'userlogin' and username 'user1'; 查询结果如下： begintime endtime operationtype audittype result username database clientconninfo objectname commandtext detailinfo transactionxid queryid nodename threadid localport remoteport +++ ++++++ ++ ++++ 20210223 22:06:22.219+08 20210223 22:06:22.271+08 loginlgout userlogin ok user1 gaussdb gsql@[local] gaussdb login db 20221125 233 login db(gaussdb) successfully, the current user is: user1 0 0 coordinator2 140689577342720@667404382271356 27782 20210223 22:05:51.697+08 20210223 22:05:51.749+08 loginlgout userlogin ok user1 gaussdb gsql@[local] gaussdb login db login db(gaussdb successfully, the current user is: user1 0 0 coordinator1 140525048424192@667404351749143 27777 查询结果显示，用户user1在CN1和CN2的成功登录记录。

本章节主要介绍翼MapReduce如何获取Spark Jar包。 1、获取非Spark依赖 从maven中央仓库/华为云仓库等 获取Spark运行所需要的依赖 ，可以从Spark Apache官网获取Spark相关的客户端。 Spark客户端中jars目录包含Spark运行依赖。 Spark 客户端下载地址参考Spark Apache官网。 2、获取Sparkcore等Spark依赖 除了通过Spark Apache官网下载客户端获取和maven中央仓库获取有时也可以通过源码打包以获取。 可根据如下命令进行Spark源码打包： 整体打包命令： ./build/mvn Pyarn Phive Phivethriftserver DskipTests clean package 单模块打包命令： ./build/mvn pl :sparkstreaming2.12 clean install

设置告警规则 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“网络分析与监控”>"站点监控”，进入站点监控任务列表页。 5. 在站点监控任务列表，单击待选择站点监控操作下“创建告警规则”（或在"告警服务">"告警规则"，点击“创建告警规则按钮”）。即可进入“创建告警规则”页面。 6. 在创建告警规则页面，按相关指引填写告警信息。单击确定，即可完成告警规则创建。 说明 配置告警规则参数，请参见

参数 是否必填 参数类型 说明 示例 下级对象 name 是 String 快照名称，只能包含汉字、数字、英文字母、中划线和下划线，长度限制116个字符 APIKZ desktopOid 是 String 云电脑ID D0023092701181644 resourcePackOid 是 String 资源包ID rsp8qvf6t33j2yh97s3t8drc type 是 String 快照类型，枚举值范围：[sys,data,all]（sys系统盘;data数据盘;all系统盘和数据盘），其中data和all是数据盘相关的快照类型，请联系客户经理开通 sys dataDiskOidList 否 Array of Strings 数据盘ID列表，长度上限是5，type为data或all时必传 null description 是 String 描述，字符数限制[0,250] API测试

天翼云某短视频客户使用QUIC效果 随着短视频业务的飞速发展，视频平台更加注重视频的播放效果，QUIC协议可以有效解决跨网、视频卡顿问题，提升视频用户播放体验。 天翼云平台某短视频客户使用QUIC后，整体效果优化较为明显，首屏优化20%，卡顿率降低5%。 注意 不同客户业务情况有所差异，使用QUIC后的提升情况各不相同，本文数据仅供参考。

本文介绍直播录制功能的前置条件。 直播录制过程中，需要对录制下来的文件进行保存，即存储到媒体存储中。所以使用直播录制功能时，需要先开通媒体存储。 天翼云视频直播录制默认对接天翼云媒体存储，如何开通请参见开通媒体存储并创建存储桶。 直播录制功能为计费项，按照录制峰值计费，具体价格请参见增值服务中的直播录制收费标准。此外，由于直播录制生成的视频文件最终存储在媒体存储中，因此，产生的存储费用由媒体存储单独收取。

本文向您介绍如何为企业版VPN连接创建健康检查。 场景描述 VPN连接创建完成后，添加健康检查可以配置VPN网关向对端网关发送监测报文，统计链路往返时延和丢包率，用于检测连接的质量。云监控服务提供对VPN连接链路往返时延和丢包率的监控指标，详情请参见本指南“监控”。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN连接”。 3. 在“VPN连接”界面，单击目标VPN连接名称，在“基本信息 > 健康检查”区域单击“添加”。 4. 在“添加健康检查”界面，单击“确定”。

本章节介绍了如何讲其他厂商或自建的业务迁移到分布式消息服务RocketMQ的实践方案。 操作场景 RocketMQ业务迁移是指将其他厂商或者自建的RocketMQ迁移到天翼云分布式消息服务RocketMQ。 前提条件 1. 配置网络环境 分布式消息服务RocketMQ实例分VPC内以及公网地址两种网络连接方式。如果使用公网地址，则消息生产与消费客户端需要有公网访问权限，并配置如下安全组。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8200 0.0.0.0/0 公网访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口 2. 购买分布式消息服务RocketMQ实例 具体请参考购买RocketMQ实例。 操作步骤 1. 迁移元数据至分布式消息服务RocketMQ实例。 1. 获取其他厂商或自建RocketMQ实例的元数据。 2. 登录主机，下载RocketMQ软件包。 wget i < 1. 解压软件包。 unzip rocketmqall4.9.4binrelease.zip 1. （可选）如果RocketMQ实例开启了ACL访问控制，执行mqadmin命令时，需要鉴权。切换到解压后的软件包目录下，在“conf/tools.yml”文件中，增加如下内容。 accessKey: secretKey: accessKey和secretKey表示在控制台“用户管理”页面，创建的用户名和密钥。 1. 进入解压后的软件包目录下，执行以下命令，查询集群名称。sh ./bin/mqadmin clusterList n {nameserver地址及端口号}例如：“nameserver地址及端口号”为“192.168.0.65:8100”。 2. sh ./bin/mqadmin clusterList n 192.168.0.65:8100执行以下命令，导出元数据。未开启SSL的实例，执行以下命令。sh ./bin/mqadmin exportMetadata n {nameserver地址及端口号} c {RocketMQ集群名称} f {导出的元数据文件的存放路径}例如：“nameserver地址及端口号”为“192.168.0.65:8100”，“RocketMQ集群名称”为“DmsCluster”，“导出的元数据文件的存放路径”为“/tmp/rocketmq/export”。 1. sh ./bin/mqadmin exportMetadata n 192.168.0.65:8100 c DmsCluster f /tmp/rocketmq/export已开启SSL的实例，执行以下命令。JAVAOPTDtls.enabletrue sh ./bin/mqadmin exportMetadata n {nameserver地址及端口号} c {RocketMQ集群名称} f {导出的元数据文件的存放路径}例如：“nameserver地址及端口号”为“192.168.0.65:8100”，“RocketMQ集群名称”为“DmsCluster”，“导出的元数据文件的存放路径”为“/tmp/rocketmq/export”。 3. JAVAOPTDtls.enabletrue sh ./bin/mqadmin exportMetadata n 192.168.0.65:8100 c DmsCluster f /tmp/rocketmq/export在控制台迁移元数据。登录控制台。 4. 单击RocketMQ实例的名称，进入实例详情页面。 5. 在左侧导航栏，选择“元数据迁移”，进入迁移任务列表页面。 6. 单击“创建迁移任务”，弹出“创建迁移任务”对话框。 参考，设置迁移任务的参数。 参数 说明 任务名称 您可以自定义迁移任务的名称，用于区分不同的迁移任务。 是否同名覆盖 如果开启同名覆盖，会对已有的同名元数据的配置进行修改。例如：原实例Topic01的读队列个数为3，云上实例Topic01的读队列个数为2，开启同名覆盖后，云上实例Topic01的读队列个数变为3。如果不开启同名覆盖，同名元数据的迁移将失败。例如：原实例的Topic包含Topic01和Topic02，云上实例的Topic包含Topic01和Topic03，不开启同名覆盖，原实例Topic01的迁移将失败。 元数据 上传。 1. 单击“确定”。迁移完成后，在迁移任务列表页面查看“任务状态”。 1. 当“任务状态”为“迁移完成”，表示所有元数据都已成功迁移。 2. 当“任务状态”为“迁移失败”，表示元数据中部分或全部元数据迁移失败。单击迁移任务名称，进入迁移任务详情页，在“迁移结果”中查看迁移失败的Topic/消费组名称，以及失败原因。 2. 迁移生产消息至分布式消息服务RocketMQ版实例。将生产客户端的元数据连接地址改为分布式消息服务RocketMQ版实例的元数据连接地址，重启生产业务，使得生产者将新的消息发送到分布式消息服务RocketMQ版实例中。 3. 迁移消费消息至分布式消息服务RocketMQ版实例。待消费组中的消息消费完之后，将消费客户端的元数据连接地址改为分布式消息服务RocketMQ版实例的元数据连接地址，重启消费业务，使得消费者从分布式消息服务RocketMQ版实例中消费消息。 4. 如果有多个RocketMQ实例需要迁移到同一个分布式消息服务RocketMQ版实例中，请依次进行迁移

此小节介绍企业主机安全资产指纹。 主机资产管理 查看主机资产信息 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机自启动项。通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 约束限制 需开启企业版、旗舰版、网页防篡改版或容器版中任一版本。 检测周期 帐号、开放端口：实时检测。开放端口检测结果每6小时刷新一次统计数据。 进程、Web目录管理、软件信息管理、自启动：每日凌晨自动进行一次检测。 查看所有主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、选择“资产管理>资产指纹”，进入“资产指纹”页面，查看所有主机资产。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。 根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00） 查看单服务器的主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏，选择“资产管理>主机管理”，进入“主机管理”界面，选择“云服务器”页签，进入云服务器页面。 5、单击目标服务器名称，进入目标服务器的详情页面，选择“资产指纹”页签。 6、单击指纹列表的目标指纹类型，查看对应资产信息，资产指纹类型特性如表所示。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00）

安全运维提供查看和管理云服务安全基本数据，您可以通过界面总览信息快速查看和管理您的资源的安全情况。 未开通服务器安全卫士（原生版）的用户，需要确认服务协议开通后使用。 已开通服务器安全卫士（原生版）的用户，免费版和付费版数据展示存在差异，如有需要请开通付费版本查看。 主要数据包括： 1. 安全总览：包括资产信息（全部服务器、风险服务器、未防护服务器、免费防护服务器对应的个数）和告警处置信息（未处置威胁告警、拦截恶意IP、隔离病毒文件对应的个数）。 2. 威胁告警：实时监控最新威胁告警事件 Top5。 3. 风险漏洞：实时监控最新风险漏洞事件 Top5。 4. 基线核查：实时监控最新威胁入侵事件 Top5。 5. Agent状态：包括在线和离线Agent个数。 6. 风险趋势：可选择切换时间维度：近7天、近14天。

本文介绍公共算力服务的产品优势。 丰富的场景化能力 支持多种异构算力跨地域的大规模调度能力。 实现不同云服务商、裸算力等多方算力并网能力。 灵活的多维度调度 提供业务调度、编排调度、作业调度的能力，满足不同场景的调度需求。 具备统一编排和跨域调度能力，支持可扩展的调度能力。 精细的可视化运营 算力调度、算力资源的精细化运营管理，提供稳定可靠的算力。 拥有完善的平台和规模化的算力运营经验。 开放的合作生态圈 以算力招募的方式接入社会算力。 提供开放兼容的算力并网接入方式和技术标准，打造开放的合作伙伴生态。

本节介绍如何创建报表模板。 报表模板，维护和定义报表模板，用户可以自定义报表的模版，每个用户需要自行管理自己的报表模版。 支持自定义指标、自定义图表以及报表预览等功能。 新建模板 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“报表中心 > 报表模板”。 3. 单击“新建”，进入新建模板页面。 4. 配置模板名称、类型、时间范围和报表内容。 其中类型指定的时间为报表自定义指标的默认数据周期时间（当自定义指标中指定了绝对时间后，会覆盖默认数据周期时间）。 5. 单击“保存”，保存模板。

尊敬的天翼云客户： 您好！ 因业务调整，自2024年9月13日起，密钥管理按需版不再支持新购。 调整影响范围： 新增客户：2024年9月13日起，无法订购按需版本，可选择开通包周期版本，规格说明： 存量客户：2024年9月13日前已开通过按需版的用户，可继续使用按需版本，并按照按需版资费计费。 给您带来不便，敬请谅解！感谢您对天翼云的信赖与支持，如您有任何问题，可随时通过工单或者服务热线（4008109889）与我们联系。 感谢您对天翼云一如既往的支持与理解！ 天翼云服务团队

参数 说明 www.ctyun.cn 在天翼云加速的全站加速域名。 a.jpg 需要处理的图片名称。 action 图片处理的固定参数名。 key1:value1 图片处理的具体参数，例如：format:bmp，则表示对该图片进行格式转换动作，将a.jpg转换为bmp格式。 key2:value2 图片处理的具体参数2，支持对同个图片做多个处理动作。 1. 存在多个处理参数时，getinfo优先级最高，如有该参数，其他参数忽略无效。 2. 存在多个处理参数，且不包括getinfo时，format格式转换参数将作为最后动作来处理，其他处理参数将按参数携带的先后顺序依次进行处理。

本文介绍直播转码流的播放流程。 直播转码的播放流程如下： 1. 配置直播转码 要实现直播转码的播放，需要先在天翼云视频直播平台进行转码相关配置，如何配置请参见直播控制台中的直播转码或OpenAPI中的新增媒体处理模板、绑定/解绑媒体处理模板。 2. 请求直播转码流 完成配置后，客户端发起的直播流请求URL中带有转码标识。 3. 响应直播转码流 视频直播接收到请求后，根据转码标识匹配对应的转码配置，对源流进行转码并输出转码流响应给用户，从而实现转码流的播放。