本节介绍了创建有状态工作负载(StatefulSet)的用户指南。 基本概念 有状态工作负载：即kubernetes中的“StatefulSet”，有状态工作负载支持实例有序部署和删除，支持持久化存储，适用于实例间存在互访的场景，如ETCD、mysqlHA等。 操作场景 在运行过程中会保存数据或状态的工作负载称为“有状态工作负载（statefulset）”。例如Mysql，它需要存储产生的新数据。因为容器可以在不同主机间迁移，所以在宿主机上并不会保存数据，这依赖于云容器引擎提供的高可用存储卷，将存储卷挂载在容器上，从而实现有状态工作负载的数据持久化。 约束与限制 当您删除或扩缩有状态负载时，为保证数据安全，系统并不会删除它所关联的存储卷。 当您删除一个有状态负载时，为实现有状态负载中的Pod可以有序停止，请在删除之前将副本数缩容到0。 您需要在创建有状态负载的同时，创建一个Headless Service，用于解决有状态负载Pod互相访问的问题，详情请参见Headless Service。 节点不可用时，Pod状态变为“未就绪”，此时需要手工删除有状态工作负载的Pod，Pod实例才会迁移到正常节点上。 前提条件 在创建容器工作负载前，您需要存在一个可用集群。若没有请参照集群开通中内容创建。 若工作负载需要被外网访问，请确保集群中至少有一个节点已绑定弹性IP，或已购买负载均衡实例。 创建多个工作负载时，请确保容器使用的端口不冲突 ，否则部署会失败。

添加VPC对等连接路由（路由表未解耦） 1. 在对等连接列表中，查找需要添加路由信息的对等连接。 2. 单击对等连接名称，进入对等连接详情页面。 3. 在VPC对等连接详情页面，单击“本端路由”。 4. 在“本端路由”页签区域，单击“添加本端路由”添加本端路由信息，参数说明参考下表。 表路由参数说明 参数 说明 取值样例 目的地址 目的地址，对端VPC或子网的网段。 192.168.2.0/24 下一跳地址 下一跳地址，即对等连接ID，默认不用配置。 d1a7863b9d5e4d278eafab14d2a9148b 5. 单击“确定”，回到对等连接详情界面。 6. 在对等连接详情界面，单击“对端路由”。 7. 在“对端路由”页签区域，单击“添加对端路由”添加对端路由信息。 8. 单击“确定”，完成添加VPC对等连接路由信息。 步骤三：验证网络互通情况 对等连接建立后，您可以使用私有IP地址在两个VPC之间进行通信。您可以使用“ping”命令检查网络两端是否连通。 对等连接路由添加完成后，执行以下操作，验证本端VPC和对端VPC的通信情况。 1. 登录本端VPC内的弹性云主机，本示例中为ECSA01。 2. 执行以下命令，验证ECSA01和RDSB01是否可以通信。 ping 对端服务器的IP地址 命令示例： ping 172.17.0.21 回显类似如下信息，表示ECSA01与RDSB01可以通过通信，VPCA和VPCB之间的对等连接创建成功。 shell [root@ecsA01 ~]

本章节为您介绍堡垒机应用资产相关内容。 用户获取应用资产访问权限后，通过应用发布服务器访问Web应用，并以视频方式全程记录用户运维操作，实现对远程应用账户的安全管理和用户远程访问应用的操作审计。 约束限制 仅企业版支持使用应用运维功能。 添加的主机和应用资源数量总和不能超过资产数。 前提条件 添加应用资产前，需已添加应用服务器，具体操作请参见应用服务器。 新增资产组 您可以通过应用资产组来管理多个应用资产，方便您在授权的时候可以一键选择。 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“资产管理 > 应用资产”，进入应用资产页面。 3. 在应用资产列表左侧资产树中，单击资产组右侧的更多图标，选择“新增子节点”或“复制”。 支持创建多级资产组，最多支持创建10级。 4. 在弹出的“新增资产组”或“资产组复制”对话框中，填写资产组信息。 参数 参数名称 资产组名称 自定义资产组的名称。 资产 在下拉框中选择需要添加至该资产组中的资产。 描述 自定义资产组的描述。 5. 填写完成后，单击“提交”完成资产组的创建。 创建完成后，您也可以根据需要对资产组进行修改或删除： 编辑资产组：选择需要修改的资产组，单击资产组右侧的更多图标，选择“编辑”，按照需求对资产组进行修改，单击“确定”完成修改操作。 删除资产组：选择需要删除的资产组，单击资产组右侧的更多图标，选择“删除”，在弹出的对话框中单击“确定”完成删除操作。

本章节主要介绍ALM12017 磁盘容量不足。 告警解释 系统每30秒周期性检测磁盘使用率，并把磁盘使用率和阈值相比较。磁盘使用率有一个默认阈值，当检测到磁盘使用率超过阈值时产生该告警。 平滑次数为1，主机磁盘某一分区使用率小于或等于阈值时，告警恢复；平滑次数大于1，主机磁盘某一分区使用率小于或等于阈值的90%时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12017 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 设备分区名 产生告警的磁盘分区。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 业务进程不可用。 可能原因 告警阈值配置不合理。 磁盘配置无法满足业务需求，磁盘使用率达到上限。 处理步骤 检查阈值设置是否合理 1.在FusionInsight Manager选择“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 磁盘 > 磁盘使用率”中查看该告警阈值是否不合理（默认90%为合理值，用户可以根据自己的实际需求调节）。 是，执行步骤2。 否，执行步骤4。 2.根据实际服务的使用情况在“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 磁盘 > 磁盘使用率”中单击“操作”列的“修改”更改告警阈值。如下图所示。 3.等待2分钟，查看告警是否消失。 是，处理完毕。 否，执行步骤4。

灵活及时 队列处理能力支持按需自动扩展，及时且方便地完成系统扩展，消息投递时间可至毫秒级，从而保证消息及时性。分布式消息服务RocketMQ具有很高的灵活性，可以满足各种不同的业务需求。主要体现： 支持多种消息模型：RocketMQ支持多种消息模型，包括消息队列模型和发布/订阅模型。在消息队列模型中，消息发送方将消息发送到一个队列，消息接收方从队列中读取消息。这种模型适用于顺序消息和事务性消息等场景。而在发布/订阅模型中，消息发送方将消息发布到一个主题，所有订阅该主题的消费者都会收到消息。这种模型适用于实时通知、数据分发等场景。 支持灵活的消息过滤机制：RocketMQ可以通过对消息的属性进行过滤，只有满足条件的消息才会被消费者接收。这样可以实现消息的动态路由和选择性消费，提升系统的灵活性和效率。 支持消息延迟发送和定时消费：RocketMQ可以设置消息的延迟时间，使消息在指定的时间后才能被消费者接收。这对于实现定时任务和延迟处理非常有用。 良好的可扩展性：RocketMQ采用了分布式架构，并且支持主从复制和消息分区机制。可以根据业务需求，动态扩展消息生产者、消息消费者和消息存储节点的数量，以满足大规模消息处理和高并发访问的要求。 高可靠 集群节点采用主备模式，具有主备故障自动切换功能；并且提供对消息的持久化能力，多副本冗余；提供消息数据自动删除功能。分布式消息服务RocketMQ具有高可靠性的特点，以下是RocketMQ实现高可靠性的关键特性： 主从复制：RocketMQ采用了主从复制的架构，在生产者发送消息时，消息会首先写入主节点，并异步复制到多个从节点。这样即使主节点发生故障，从节点也能够接管并继续提供服务。 可靠消息存储：RocketMQ使用Write Ahead Log (WAL)技术来保证消息的可靠存储。在消息写入之前，会先将消息写入磁盘的顺序文件中，然后再写入内存。当RocketMQ重启时，可以通过检查磁盘上的文件来恢复之前未被消费的消息。 消息可重复存储：RocketMQ使用消息的唯一ID来确保消息的幂等性。如果一条消息因为网络问题或其他原因发送失败，RocketMQ可以根据消息的ID判断是否已经成功发送过，并避免消息的重复发送。 容灾备份：RocketMQ支持Broker集群模式和多数据中心的部署方式，可以将消息数据进行容灾备份。当某个Broker节点发生故障时，其他节点可以继续提供服务，确保系统的可用性。 高可用性设计：RocketMQ采用了多个Broker节点组成的集群，并通过主从复制和故障切换来实现高可用性。当某个Broker节点发生故障时，其他节点会自动接管其工作，保证消息的正常处理。

分布式消息服务RabbitMQ的产品优势主要包括以下几个方面： 高可用性 分布式消息服务RabbitMQ主要通过以下三种方式保证服务的连续性和可靠性： 支持生产消费自动负载均衡 多个消费者：在RabbitMQ中，可以创建多个消费者来同时消费同一个队列中的消息。RabbitMQ会将消息平均地分配给这些消费者，从而实现负载均衡。 发布/订阅模式：使用RabbitMQ的发布/订阅模式可以实现自动负载均衡。在这种模式下，生产者将消息发送到交换机，然后交换机将消息广播给绑定到它的所有队列。每个队列上都可以有多个消费者，它们会共享接收到的消息负载。 优先级队列：RabbitMQ支持创建优先级队列，可以根据消息的优先级进行排序和传递。通过使用优先级队列，可以确保高优先级的消息能够更快地被处理，从而实现负载均衡。 lvs节点故障时的自动主备切换 配置镜像队列：首先，你需要在RabbitMQ集群的各个节点之间配置镜像队列。镜像队列会将消息复制到备用节点上，在主节点发生故障时，备用节点会接管主节点的工作。 心跳检测：RabbitMQ会通过心跳机制监测节点之间的连接状态。如果主节点无法进行正常通信（比如网络故障或节点崩溃），备用节点会被选举为新的主节点。 节点选举：当主节点无法通信时，RabbitMQ集群中的其他节点会开始进行选举，选择一个备用节点来替代主节点。选举过程中，节点会相互通信并比较彼此的状态和能力。最终，一个节点会被选举为新的主节点。 自动切换：一旦新的主节点被选举出来，RabbitMQ集群就会自动切换到新的主节点，并开始处理消息。客户端可以通过相同的连接重新连接到新的主节点，并继续发送和接收消息。 镜像队列安全备份 数据复制: RabbitMQ的镜像队列通过在多个节点之间复制队列的消息来提供冗余备份。每个节点都维护自己的完整队列副本，这样当一个节点发生故障时，其他节点将能够接管并继续处理消息。 同步复制: 镜像队列支持同步复制和异步复制两种模式。在同步复制模式下，所有的写入操作都会等待所有镜像节点都完成相同的操作，这样可以确保数据的一致性。但是这会增加写入操作的延迟。 容错机制: 当一个节点失效时，RabbitMQ会自动将该节点上的队列重新分配给其他正常工作的节点。这个过程是自动的，无需人工干预。因此，即使整个节点失效，消息也不会丢失。 高可用性: 镜像队列提供了高可用性的保证。如果一个节点故障，其他节点将自动接管该节点上的队列并继续处理消息，从而确保系统的可靠性和可用性。 故障恢复: 当一个节点失效后重新启动时，RabbitMQ会自动将该节点上的队列重新同步到新的镜像节点上，以确保数据的完整性和一致性。

本小节介绍安全专区资产管理服务器主机扫描方法。 操作方法 1.进行单个服务器配置扫描，可选择【操作】→【扫描】，点击【确定】即可进行扫描。 2.点击操作下的【扫描日志】，可查看扫描出来的日志，查看扫描的时间记录。 3.也可以选定多个服务器记录，点击【批量扫描】进行批量的主机漏扫。

本页介绍分布式融合数据库HTAP的用户管理功能。 用户管理简介 用户管理功能模块能够帮助用户可视化的去创建数据库用户、克隆用户、修改密码、修改权限以及删除用户。 前提条件 分布式融合数据库HTAP实例正常运行。故障、删除状态的实例，无法使用用户管理功能模块。当分布式融合数据库HTAP实例再次启动或恢复后，即可正常使用。 注意事项 密码长度必须在 8 到 20 个字符，且密码必须包含大写字母、小写字母、数字和特殊字符 ~!@%^+ 。 操作场景 用户管理是控制台提供的一组功能模块，可以对分布式融合数据库HTAP的数据库用户进行可视化管理。 创建用户 进入控制台，找到对应实例，点击操作 > 更多 > 用户管理，进入用户管理页面。点击创建用户，打开创建用户页面，输入用户名，主机，密码，备注，权限，点击确定，即可创建用户。创建用户的参数说明： 用户名：用户名长度必须在 1 到 16 个字符，由字母、数字和特殊字符组成，并且以字母开头， 字母或数字结尾。 主机：主机为该用户允许登录的客户端所在的主机IP，支持通配符 % 与 ， % 代表任意个字符， 代表单个字符。 密码：密码长度必须在 8 到 20 个字符，且密码必须包含大写字母、小写字母、数字和特殊字符 ~!@%^+ 。 权限：权限包括了全局权限和数据库级别权限。 克隆用户 进入控制台，找到对应实例，点击操作 > 更多 > 用户管理，进入用户管理页面。选择需要克隆的用户，点击操作栏的更多 > 克隆，即可克隆该用户，克隆用户页面与创建用户页面相同，在克隆用户页面可修改新用户的用户名，主机，密码，权限后再提交。

本实践将为您介绍如何使用未分配容量扩展逻辑卷的容量。 操作场景 当逻辑卷容量不能满足用户需求时，可以扩展逻辑卷的容量。 本指导假设您前期挂载了两个大小为10GB的数据盘，创建了一个卷组，并使用15GB创建了一个逻辑卷，还有5GB未分配的空间。此时逻辑卷容量已不能满足您的使用需求，需要从卷组未分配的容量为逻辑卷扩容4GB。 注意 在进行扩容时，请确保需要扩容的逻辑卷所在的卷组有足够的空闲空间。 操作步骤 1. 以root用户登录弹性云主机。 2. 执行 lvextend L +增加容量 逻辑卷路径，扩展逻辑卷的容量。其中，增加容量的值应小于组卷剩余可用空间大小，单位可以选择“MB”或“GB”；逻辑卷路径处填写待扩容的逻辑卷的路径。 此处执行命令lvextend L +4GB /dev/vgdata/lvdata，回显信息如图所示： 此时只是扩展的逻辑卷的容量，在其之上的文件系统也要随之进行扩展才能使用。 3. 执行 resize2fs 逻辑卷路径，扩展文件系统的容量。此处执行命令resize2fs /dev/vgdata/lvdata，回显信息如图所示： 4. 执行 df h 命令，查看文件系统容量是否增加。具体回显如图所示： 可以看到，文件系统“/dev/mapper/vgdatalvdata”的容量相比之前增加了4GB。

本章节会介绍如何升级内核小版本。 操作场景 云数据库MySQL支持自动或手动升级内核小版本，内核小版本的升级涉及性能提升、新功能或问题修复等。 有新的内核小版本发布时，您可以在“实例管理”页面“数据库引擎版本”列看到内核小版本升级提示，单击“补丁升级”跳转到小版本升级页面。 内核小版本功能详情请参见MySQL内核版本说明。根据升级时间不同，升级内核小版本可以分为以下两种方式。 立即升级：您可以根据实际业务情况，在目标实例的“基本信息”页面手动升级内核小版本。 可维护时间段内升级：您可以在您设置的可维护时间段内进行升级，详情参见设置可维护时间段。 注意事项 当有对应的小版本更新时（定期同步开源社区问题、漏洞修复），请及时升级小版本。 升级数据库内核小版本会重启MySQL实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，或确保您的应用有自动重连机制。 升级内核小版本期间，除了主备切换时的网络闪断外，由于主备之间默认是半同步复制，升级过程中会有两次单条SQL持续最长十秒的更新及写入等待，用户可通过修改主备间的复制模式为异步来规避此场景。 如果主备实例在同一个AZ，升级内核小版本会触发一次主备倒换；如果主备实例在不同AZ，则会触发两次主备倒换。 升级主实例小版本时，如有只读实例，也会同步升级只读实例的小版本，升级完成会重启实例，请您选择合适的时间升级（不支持单独升级只读实例的小版本）。 升级内核小版本时，如果RDS实例为DRS任务的源端，DRS可能会拉取不到RDS实例的日志；如果RDS实例为DRS任务的目标端，DRS可能会写不进目标库。 建议您在升级内核小版本前先确认RDS实例Binlog的保留时间： − 如果Binlog在保留时间内，待内核小版本升级完成后，DRS任务会自动重启。 − 如果Binlog不在保留时间内，您需要重新配置或创建DRS任务。 升级内核小版本后，实例会升级到新的内核小版本，无法降级。如果升级失败，将会自动回退到原版本。 升级小版本前建议先做一次全量备份。 升级内核小版本一般是分钟级完成。 小版本升级过程中禁止event的ddl操作，如create event、drop event和alter event。 如果小版本升级时，界面提示主节点存在DDL操作，可通过如下方式处理： − 将实例STATUS为SLAVESIDEDISABLED状态的event，更改为ENABLED或者DISABLED状态后再进行升级。 − 删除SLAVESIDEDISABLED状态的event后再进行升级。

本章节主要介绍约束与限制。 CDM系统级限制和约束 1. 集群创建好以后不支持修改规格，如果需要使用更高规格的，需要重新创建一个集群。 2. ARM版本的CDM集群不支持Agent功能。CDM集群为ARM或X86版本，依赖于底层资源的架构。 3. CDM暂不支持控制迁移数据的速度，请避免在业务高峰期执行迁移数据的任务。 4. 当前CDM集群cdm.large实例规格网卡的基准/最大带宽为0.8/3 Gbps，单个实例一天传输数据量的理论极限值在8TB左右。同理，cdm.xlarge实例规格网卡的基准/最大带宽为4/10 Gbps，理论极限值在40TB左右；cdm.4xlarge实例规格网卡的基准/最大带宽为36/40 Gbps，理论极限值在360TB左右。对传输速度有要求的情况下可以使用多个数据集成实例实现。上述数据量为理论极限值，实际传输数据量受数据源类型、源和目的数据源读写性能、带宽等多方面因素制约，实测cdm.large规格最大可达到约8TB每天（大文件迁移到OBS场景）。推荐用户在正式迁移前先用小数据量实测进行速度摸底。 5. 迁移文件或对象时支持文件级增量迁移（通过配置跳过重复文件实现），但不支持断点续传。例如要迁移3个文件，第2个文件迁移到一半时由于网络原因失败，再次启动迁移任务时，会跳过第1个文件，从第2个文件开始重新传，但不能从第2个文件失败的位置重新传。 6. 文件迁移时，单个任务支持千万数量的文件，如果待迁移目录下文件过多，建议拆分到不同目录并创建多个任务。 7. 用户在CDM上配置的连接和作业支持导出到本地保存，考虑到密码的安全性，CDM不会将对应数据源的连接密码导出。因此在将作业配置重新导入到CDM前，需要手工编辑导出的JSON文件补充密码或在导入窗口配置密码。 8. 不支持集群自动升级到新版本，需要用户通过作业的导出和导入功能，实现升级到新版本。 9. 在无OBS的场景下，CDM系统不会自动备份用户的作业配置，需要用户通过作业的导出功能进行备份。 10. 如果配置了VPC对等连接，可能会出现对端VPC子网与CDM管理网重叠，从而无法访问对端VPC中数据源的情况。推荐使用公网做跨VPC数据迁移，或联系管理员在CDM后台为VPC对等连接添加特定路由。 11. CDM迁移，当目的端为DWS和NewSQL的时候，不支持将源端的主键和唯一索引等约束一起迁移过去。 12. CDM迁移作业时，需确保两个集群版本的JSON文件格式保持一致，才可以从将源集群的作业导入到目标集群。

参数 参数类型 说明 示例 下级对象 regionID String 资源池ID 81f7728662dd11ec810800155d307d5b customEventID String 自定义事件ID EVENTacd8b6b4610b97d202306301808 name String 事件名称 主机异常事件 info String 事件详情信息 主机A因断电异常关闭 clock Integer 事件发生时间戳，精确到毫秒 1688119722000

本小节介 云解析其它平台解析域名无缝迁移至云解析（平滑迁移）最佳实践。 提供域名解析的服务商都要求修改DNS，但修改DNS是存在解析中断的风险的。为了避免风险，凡计划使用云解析的用户，我们建议用户做如下操作。 准备工作 1. 联系原DNS服务商导出解析记录。 2. 从云解析平台下载《导入解析记录模板》，按模板填写要求，将整理后的解析记录类型为A、AAAA、CNAME的记录填写在模板中。 1. 登录云解析平台，在“记录管理”界面，点击页面右上方“域名设置”进入域名设置界面。界面最下方为“解析记录批量操作”功能模块。 2. 点击“下载模板”下载《导入解析记录模板》。 3. 根据模板格式填写主机名、记录类型、线路类型、记录值、TTL等信息。 操作步骤 1. 通过天翼云购买解析服务。 2. 在天翼云控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 1. 在“记录管理”界面，点击页面右上方“域名设置”进入域名设置界面。 2. 将《导入解析记录模板》数据批量导入云解析平台。点击“上传文件”将填写好的模板文件上传至平台，平台将根据操作情况反馈上传结果。 3. 手动添加无法批量导入的解析记录。 3. 检查解析记录是否同原数据一致，避免遗漏。 4. 修改DNS。解析记录设置完成后，需要到域名所在注册商处，将DNS修改为云解析指定的DNS服务器。 5. 等待解析生效。预计4872小时完成缓存刷新，这是由于各地Localdns服务器的域名缓存失效时间长短不一，需要等各地Localdns服务器主动来更新该域名最新DNS服务器地址，才可逐步实现全网生效。 6. 在缓存刷新的4872小时内，DNS解析仍有可能向原DNS发起DNS查询，所以原DNS服务商中的解析记录数据建议保留一周后删除。

参数 参数类型 说明 示例 下级对象 specId String 废弃 prodPerformanceSpec String 规格名称 1C4G azList Array of Strings 该规格支持的AZ列表 specName String 主机世代完整名称 cpuType String cpu类型 generation String 主机世代缩写 minRate String 带宽下限 maxRate String 带宽上限

本文介绍NAT网关—SNAT规则类相关问题。 为什么使用SNAT？ 在网络通信中，当内部网络的主机向外部网络发送数据包时，数据包的源IP地址会经过SNAT被转换为一个公共IP地址，这样外部网络就无法直接访问内部网络的真实IP地址。SNAT的主要作用是隐藏内部网络的真实IP地址，从而增强网络的安全性。 同时SNAT可以使多个内网主机通过同一个外网IP接入Internet，从而达到节省成本的目的。 什么是 SNAT连接数 ？ 由源IP地址、源端口、目的IP地址、目的端口、传输层协议这五个元素组成的集合视为一条连接。连接能够区分不同会话，并且对应的会话是唯一的。其中源IP地址和源端口指SNAT转换之后的EIP和它的端口。 当多个内部主机通过同一个外部IP地址访问外部网络时，网络设备会使用SNAT来转换源IP地址和端口号，以便外部网络可以正确识别和回复数据包。 SNAT连接数表示当前正在进行的通过SNAT技术建立的连接数量。这些连接可能是在同一时间内与外部网络建立的活动连接，也可以是已建立但尚未关闭的连接。通过跟踪SNAT连接数，可以对网络流量和负载进行监控和管理，并确保网络资源的适当分配和性能优化。 NAT网关规格为并发连接数，并发连接数为每分钟内并发连接的数量。并发连接数＝SNAT连接数＋DNAT连接数。 主机通过NAT网关访问外网，请问NAT网关的带宽是多少？在哪里设置？ 主机通过NAT网关访问外网，NAT网关的带宽即SNAT规则绑定的弹性IP带宽，可以在弹性IP页面调整带宽大小，具体操作参见弹性IP修改带宽。

安装Agent（Windows操作系统） 安装Agent后，您才能开启数据库安全审计。通过本节介绍，您将了解如何在Windows操作系统的节点上安装Agent。Linux操作系统的Agent安装请参见安装Agent（Linux操作系统）。 安装Agent 1. 在Windows主机安装“Npcap”软件。 如果该Windows主机已安装“Npcap”，请执行步骤2。 如果该Windows主机未安装“Npcap”，请执行以下步骤： a. 请前往 下载npcap b.将下载好的npcap xxxx .exe软件安装包上传至需要安装agent的虚拟机。 c.双击npcap软件安装包。 d.在弹出的对话框中，单击“I Agree”，如图所示。 同意安装“Npcap” e.在弹出的对话框中，单击“Install”，不勾选安装选项，如图所示。 安装“Npcap” f.在弹出的对话框中，单击“Next”。 g.单击“Finish”，完成安装。 2. 以“Administrator”用户登录到Windows主机。 3. 将下载的Agent安装包“xxx.zip”复制到该主机任意一个目录下。 4. 进入Agent安装包所在目录，并解压缩安装包。 5. 进入解压后的文件夹，双击“install.bat”执行文件。 6. 安装成功，界面如图所示，按任意键结束安装。 7. 安装完成后，在Windows任务管理器中查看“dbssauditagent”进程。如果进程不存在，说明Agent安装失败，请尝试重新安装Agent。

设置root变量为/boot分区，后面可避免重复输入/boot分区的位置 grub> linux /vmlinuz3.10.0957.el7.x8664 rootUUIDc74bd658cd12414f80c60200fe5a6685 指定linux启动用的内核，UUID用来指定根分区。可以ls查看分区内容确定根分区，用ls l获取分区（或分区上文件系统）的UUID。 grub> initrd /initramfs3.10.0957.el7.x8664.img 指定linux启动的内存文件系统，需要和内核版本匹配。 grub> boot 启动系统 需注意，linux/initrd命令最为常用，但有些系统使用linux16/initrd16或linuxefi/initrdefi命令来指定linux内核和内存镜像。如果linux/initrd命令没有用，可以在grub shell中用命令 cat $root/grub2/grub.cfg查看原grub.cfg，以确定使用何种命令。 2. 更新grub.cfg linux系统启动后，登录进入系统。执行下面命令重新生成grub.cfg。 bash 备份旧grub.cfg文件，以防万一 GRUBCFG$(find /boot name "grub.cfg") cp v $GRUBCFG /root 更新grub.cfg 对centos/redhat/rocky/openEuler等发行版 grub2mkconfig $GRUBCFG debian/ubuntu等发行版 updategrub 更新grub.cfg后，请重启测试是否修复了问题。

参数 描述 实例名称 智能网关实例名称，长度为164字符，以大小写字母或中文开头，可包含数字、“.”、 “”、“”。 组网方案 可选“高性能核心网”或者“互联网直连”。 “高性能核心网”表示各个设备均需连接到SDWAN POP上，设备上的流量通过POP之间的网络进行传输； 互联网直连表示各个设备之间直接打通，流量不经过POP绕转。 这里需选择“互联网直连”。 区域 所属位置信息。 基础带宽 互联网直连组网方案暂不支持带宽限速，无需配置带宽。 网关形态 可选择硬件版、软件版，这里选择“硬件版”。 是否购买设备 表示是否需要从天翼云购买设备。 选择“是”，则天翼云会为您准备一台设备； 选择“否”，则需要用户自备设备。 这里选择“是”。 设备类型 购买设备时，需要选择设备的型号。 可以选择经济版、标准版、企业版、企业增强版。 增值业务 可选的增值业务，包括5G服务、WIFI服务、LTE服务。 使用方式 表示设备的使用方式。可选择单机或者双机备份。 地址信息 表示设备的装机地址。请准确填写地址信息，提交订单后不支持更改。

检查项 描述 级别 PrivilegeEscalationAllowed 允许特权升级 紧急 CanImpersonateUser role/clusterrole 有伪装成其他用户权限 警告 CanDeleteResources role/clusterrole 有删除 kubernetes 资源权限 警告 CanModifyWorkloads role/clusterrole 有修改 kubernetes 资源权限 警告 NoCPULimits 资源没有设置 CPU 使用限制 警告 NoCPURequests 资源没有设置预留 CPU 警告 HighRiskCapabilities 开启了高危功能，例如 ALL/SYSADMIN/NETADMIN 紧急 HostIPCAllowed 开启了主机 IPC 紧急 HostNetworkAllowed 开启了主机网络 紧急 HostPIDAllowed 开启了主机PID 紧急 HostPortAllowed 开启了主机端口 紧急 ImagePullPolicyNotAlways 镜像拉取策略不是 always 警告 ImageTagIsLatest 镜像标签是 latest 警告 ImageTagMiss 镜像没有标签 紧急 InsecureCapabilities 开启了不安全的功能，例如 KILL/SYSCHROOT/CHOWN 警告 NoLivenessProbe 没有设置存活状态检查 警告 NoMemoryLimits 资源没有设置内存使用限制 警告 NoMemoryRequests 资源没有设置预留内存 警告 NoPriorityClassName 没有设置资源调度优先级 通知 PrivilegedAllowed 以特权模式运行资源 紧急 NoReadinessProbe 没有设置就绪状态检查 警告 NotReadOnlyRootFilesystem 没有设置根文件系统为只读 警告 NotRunAsNonRoot 没有设置禁止以 root 用户启动进程 警告 CertificateExpiredPeriod 将检查 ApiServer 证书的到期日期少于30天 紧急 EventAudit 事件检查 警告 NodeStatus 节点状态检查 警告 DockerStatus docker 状态检查 警告 KubeletStatus kubelet 状态检查 警告

分布式消息服务MQTT实例在被删除后，会被临时存入回收站中，此时实例中的数据尚未被彻底删除，在保留天数内支持从回收站中恢复此实例。超过保留天数的实例会被彻底删除，无法恢复。 约束与限制 回收站中的实例不会收取实例的费用，但是会收取存储空间的费用。 包年/包月的实例退订后会存入回收站中，此时不会收取实例的费用，但是收取存储空间的费用。 回收站中的按需实例，不支持实例恢复。 回收站管理 1. 登录分布式消息服务MQTT管理控制台。 2. 在左侧导航栏选择“回收站”，进入“回收站”页面。 恢复MQTT实例 1. 登录分布式消息服务MQTT管理控制台。 2. 在左侧导航栏选择“回收站”，进入“回收站”页面。 3. 在待恢复MQTT实例所在行，单击“恢复”。 删除回收站中的实例 1. 登录分布式消息服务MQTT管理控制台。 2. 在左侧导航栏选择“回收站”，进入“回收站”页面。 3. 在待删除MQTT实例所在行，单击“销毁”。 注意 回收站中的MQTT实例删除后，实例中原有的数据将被删除，且没有备份，请谨慎操作。

本节主要介绍Redis实例如何通过rediscli连接 rediscli是原生Redis自带的命令行工具，您可以在ECS实例或本地设备上通过rediscli连接分布式缓存Redis版，进行数据管理。 前提条件 1. 设置Redis账号密码。可选择以下任意方式： 设置Redis默认账号的密码，具体操作请参考重置缓存实例密码。 创建新的账号密码，具体操作请参考创建与管理账号。 2. 获取Redis连接信息。 使用专有网络连接：在Redis控制台，获取该实例的专有网络连接地址，具体操作请参考查看连接地址。 使用公网连接时：在Redis控制台，绑定并获取该实例的公网IP，具体操作请参考绑定公网IP。 说明 说明：Redis实例默认仅提供专有网络连接地址，通过公网连接时您需要手动申请公网连接地址，具体操作请查看 操作步骤 1. 登录安装rediscli的设备，例如天翼云弹性云主机实例或本地设备。 2. 进入rediscli安装目录下。 Windows：打开命令行窗口，进入rediscli所属的目录。 Linux：进入..redissrc所属的目录，例如cd /home/redis5.0.5/src。 3. 获取连接信息并执行下述命令连接Redis实例： rediscli h ip p port 各参数说明如下： 参数 说明 获取方式 ip Redis实例的连接地址 参见查看连接地址 port Redis实例的端口号 端口号。 4. 执行下述命令完成密码验证： AUTH password

本小节介绍等保咨询服务常见问题。 本产品是否支持试用？ 等保咨询服务不支持试用。如果您需要使用等保咨询服务，可以联系客服进一步了解该服务的内容和优势。感谢您的理解和支持。 本产品下订单后是否支持退订？ 等保咨询服务一旦服务开始后便不支持退订，感谢您的理解和支持。 等保咨询服务的报价依据包含哪些方面？ 主要依据系统等级（涉及测评项不同）、服务版本（标准版或精简版）、云主机数量（涉及工作量不同）、地区（不同省份人工成本有差距）、是否首次测评（首次涉及工作量较多，如：加固建议，管理建议等）、系统行业（不同行业有不同等保标准）。 什么是等级保护？ 等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 等保咨询的服务范围包含哪些方面？ 等保咨询简化服务：按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务，并输出《差距分析评估》。 等保咨询标准服务：包含所有简化版服务内容，提供针对性的等保合规要求的整改安全方案。

监控状态报表 主页界面的右侧为图表区，包含关键监控状态的报表，例如集群中所有主机的状态、主机CPU使用率、主机内存使用率等。用户可以自定义在图表区展示的监控报表，管理监控指标请参考管理监控指标数据报表。 监控图表的数据来源可在图表的左下方查看，每个监控报表可以放大查看具体数值，也可以关闭不再显示。 告警分析 “告警分析”页面展示“Top20告警统计”表和“Top3告警分析”图。单击“Top20告警统计”中的告警名称，可以在告警分析中只展示该告警信息。该功能支持告警统计，可以展示TOP告警以及发生的时间规律，可以有针对性地解决告警，提升系统稳定性。

本文档为您介绍跨资源池复制私有镜像的操作步骤。 操作场景 私有镜像跨资源池复制功能，支持您将同一个镜像从资源池A复制到资源池B，用于应用环境迁移或异地应用备份。 约束与限制 当前仅支持华东1西南1、华东1华北2之间互相进行的镜像复制。 复制时间与镜像文件大小正相关，镜像越大，复制时间越长。 操作步骤 1. 登录天翼云控制中心。 2. 单击控制中心顶部的选择区域。 3. 在左侧导航栏选择“计算 > 镜像服务”。 4. 点击“私有镜像”，进入私有镜像列表。 5. 选择指定私有镜像，点击“更多”，选择“复制镜像”。 6. 设置“目标地域”，如“西南 > 西南1”，其它地域均置灰不可选。 7. 选择“企业项目”。 8. 输入“镜像名称”。 9. 设置“是否编辑标签”，非必要项按需设置。 10. 输入“镜像描述”，非必要项按需设置。 11. 点击“确定”。 12. 复制过程，目的资源池的私有镜像列表中镜像处于“创建中”，创建完成后状态变成“可用”。

本文介绍了RDSPostgreSQL产品到期与欠费相关说明。 服务到期 “按需计费”实例，账户内余额充足下，无需担心服务到期。 “包年/包月”实例到期后，您将无法在数据库管理控制台进行该实例的相关操作，相关接口也无法调用，自动化监控或告警等运维服务也会停止。如在冻结期结束时您没有续费，实例将终止服务，系统中的数据也将被永久删除。为了避免数据丢失，我们强烈建议您在冻结期内及时续费，或者提前备份数据并另行妥善保存。 欠费 “包年/包月”实例，无需担心欠费问题。 “按需计费”实例是按每小时扣费，当余额不足，无法对上一个小时的费用进行扣费，就会导致实例欠费，暂停实例服务。您续费后恢复实例，可继续正常使用，请注意在保留期进行的续费，是以原到期时间作为生效时间，您应当支付从进入保留期开始到续费时的服务费用。 注意 如实例开通只读实例或数据库代理，资源冻结后，相关资源即进入销毁流程，请确保账户余额充足以避免服务不可用。

本节介绍云智手机的账户与安全。 如何注册云智手机账户？ 支持在云智手机APP内使用手机验证码方式自助注册，或前往线下电信营业厅订购云智手机并开通账户。 如何修改云智手机密码？ 操作步骤如下： 1. 登录云智手机后，可以在“我的”页面中点击个人信息，进入个人中心页面； 2. 选择“修改密码”，按照要求填写密码后，点击“确认”即可修改成功。 云智手机数据信息是否会长久保留？ 云智手机使用到期后，数据资料将保留2天。在这段时间内： 1. 如果您选择续订服务，您的数据将会继续被保存。 2. 若未进行续订，超过2天后数据将过期失效且不可恢复。 因此，云智手机的数据并不是长久保留的。在服务到期前若未选择续订，建议您做好重要数据的备份工作。 账户被锁定怎么办？ 如果用户在登录时连续输入错误的密码达到10次，云智手机账户将会被锁定10分钟。这是为了保障账户的安全性，防止暴力破解。 如果您遇到账户被锁定的情况，请耐心等待10分钟后再次尝试登录。

SaaS模式和混合部署模式套餐版本差异 混合部署模式下，不支持使用天翼云边缘节点安全能力，如：不具备waf，抗D、全局离线AI分析、就近接入加速等能力，接入点由企业自行暴露。 混合部署模式支持VPN版、基础版、企业版，各版本能力和SaaS能力一致。 但部分功能在使用上存在差异：日志投递不支持使用内网通道传输，不支持开启无端访问能力。 独享网关安装步骤 需准备安装的机器： 服务器选型说明，需满足以下规格的软硬件的服务器、虚拟机、弹性云主机： 操作系统：请在 Centos 7.x（7.9以下）版本安装。目前在部分Centos 8.x，Centos 9.x的系统存在不兼容情况。 CPU：至少 2 核。 内存：至少 4 G。 CPU架构：支持X86、ARM64架构。 说明 独享网关安装后，将在机器上部署Docker组件，独享网关实际运行在容器环境中，若客户的操作系统为其他类型操作系统（指基于linux内核的其他操作系统），可在实际安装时，根据CPU架构选择不同的安装命令进行尝试安装。独享网关不适配WIndows类型操作系统。 网络配置要求： 可访问公网，如果存在防火墙且出入方向流量存在限制，则部署机器至少需放行或通过NAT方式开放以下端口流量： 出方向需放行访问零信任中心的流量：TCP协议，端口号443；UDP协议，端口号：53。 部署机需分配公网IP，且入方向需向客户端接入区域开放独享网关的VPN接入点，UDP协议，端口号：该端口号按控制台页面提示的端口号。

本文介绍AD域功能的使用流程及使用限制。 使用流程 以下为CIFS文件系统加入AD域的使用流程： 1. 搭建AD域环境。包括创建AD域控制器、创建AD域用户、将客户端加入AD域等，参考AD域环境搭建。 2. 文件系统加入AD域。登录AD域控制器的云主机生成keytab文件，并通过弹性文件服务的控制台将keytab文件上传至文件服务器，参考文件系统加入AD域。 3. 登录普通AD域客户端，使用域用户身份挂载CIFS文件系统，参考使用域用户身份挂载访问CIFS文件系统。 4. 读写访问文件系统。 了解关于AD域的使用限制和常见问题。 使用限制 仅CIFS文件系统支持使用AD域功能。 本功能目前面向白名单用户开放，如需试用请提交工单进行申请。 CIFS版本：支持SMB2.0和SMB3.0使用AD域功能。 Windows客户端版本：与文件系统支持的Windows版本一致，参考支持的操作系统。 文件系统状态与AD域服务的关系：文件系统为“可用”时可正常使用AD域服务，文件系统为“已过期”或“已冻结”将无法正常访问，此时需要续订文件系统或给账户进行续费。 修改AD域配置或文件系统退域后建议重新挂载以保证服务正常生效。

本小节介绍SSL VPN的Windows安装客户端操作方法。 下载并安装Windows客户端 1. Windows电脑首次接入SSL VPN隧道时，在客户端电脑上打开浏览器，地址栏输入SSL VPN客户端接入地址 VPN云主机的公网IP，默认的端口是443，如果修改了默认端口，例如TCP443端口改为了4433端口，则接入地址是 2. 打开SSL VPN接入地址后会显示VPN客户端软件EasyConnect的下载，点击“下载”安装运行，如下图所示。 接入SSL VPN 1. 双击客户端图标。 2. 服务器地址输入vSSL的接入地址（以下截图中的IP为示例地址），然后点击右侧“连接”按钮。 3. 如下图中，输入SSL VPN客户端的用户名和密码信息，然后点击“登录”就可以接入SSL VPN隧道了。 4. 接入后，在电脑右下角就可以看到EasyConnect的图标，显示已连接的状态。右击图标点击“显示资源”可以看到自己的SSL用户可以访问到的资源权限。然后客户端电脑上输入天翼云业务服务器的内网私有IP地址访问即可。

本小节介绍SSL VPN的手机平板安装客户端操作方法。 安卓手机平板安装客户端 方法1 PC端访问SSL VPN客户端接入地址 （IP地址就是搭建SSL VPN 云主机的公网IP，默认的端口是443，如果TCP443端口改成了4433端口或其他端口，打开方式是 方法2 登录官网下载EasyConnect的App软件，官网下载地址见这里。 方法3 安卓手机平板上，打开浏览器输入SSL VPN客户端接入地址 VPN控制台管理页面，“系统设置 > SSL VPN选项 > 系统选项 > 接入选项”里面勾选启用http端口。 苹果iOS手机平板 下载客户端 苹果iOS手机平板上，打开苹果手机上的App Store应用市场，搜索EasyConnect，然后下载安装。 使用方法 1. 手机平板上安装EasyConnect客户端软件后，在手机平板桌面找到“EasyConnect”的图标。 2. 打开运行，输入SSL VPN客户端的接入地址 VPN的用户名和密码，点击“登录”，如下图所示。 3. 接入显示成功后，就可以在资源列表中看到自己所访问的资源权限，然后手机平板上输入天翼云业务服务器的内网私有IP地址访问即可。

无证书连接 说明 该方式不对服务端进行证书校验，用户无需下载SSL证书。 1. 通过JDBC连接MySQL数据库实例，代码中的JDBC链接格式如下： java jdbc:mysql:// : / ?useSSLfalse 变量 说明 请替换为实例的IP地址。 说明：如果通过弹性云主机连接，“instanceip”是实例的“内网地址”。您可以在该实例“基本信息”或“连接管理”页面的“连接信息”区域查看。如果通过公网连接，“instanceip”为该实例已绑定的“弹性公网IP”。您可以在该实例“连接管理”页面的“连接信息”区域查看。 请替换为实例的数据库端口，默认为13049。 说明：您可以在该实例“连接管理”页面的“连接信息”区域查看。 请替换为连接实例使用的数据库名，默认为mysql。 代码示例（连接MySQL数据库的java代码）： java import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; public class NoneCaConnTest { final public static void main(String[] args) { Connection conn null; String url "jdbc:mysql://instanceip:13049/dbtest?useSSLfalse"; try { Class.forName("com.mysql.jdbc.Driver"); String USER "xxx"; String PASSOWRD "xxx"; conn DriverManager.getConnection(url, USER , PASSOWRD ); System.out.println("Database is connected"); Statement stmt conn.createStatement(); ResultSet rs stmt.executeQuery("SELECT FROM table WHERE column 100"); while (rs.next()) { System.out.println(rs.getString(1)); } rs.close(); stmt.close(); conn.close(); } catch (Exception e) { e.printStackTrace(); System.out.println("Test no ca failed"); } finally { // 释放资源 } } }

本章节以Linux系统为例，介绍从购买到内网连接MySQL实例的操作步骤。 操作步骤一：创建MySQL实例 具体操作，请参见创建实例。 操作步骤二：创建ECS 具体操作，请参见创建弹性云主机。 操作步骤三：连接MySQL实例 1. 本地使用Linux远程连接工具登录ECS。 其中，Remote host为ECS绑定的弹性公网IP。 2. 输入创建ECS时设置的密码。 3. 下载客户端，选择客户端版本和操作系统，下载mysqlcommunityclient8.0.261.el6.x8664.rpm客户端安装包。 4. 上传客户端安装包到ECS。 5. 安装客户端。 plaintext rpm ivh nodeps mysqlcommunityclient8.0.261.el6.x8664.rpm 6. 连接MySQL实例。 plaintext mysql h 192.168.XX.XX P 3306 u root p 7. 创建数据库testdb。 plaintext create database testdb; 8. 创建表testtable。 plaintext create table testtable(id int(8), name char(32), age int(8)); 9. 向表中插入一条数据。 plaintext insert into testtable(id, name, age) values(1, 'zhujiasi', 30); 10. 查询表数据。 plaintext select from testtable; 11. 更新表中id为1的age字段值。 plaintext update testtable set age31 where id1; 12. 查询更新后的表数据。 plaintext select from testtable where id1; 13. 删除表中id为1的数据。 plaintext delete from testtable where id1; 14. 删除表结构。 plaintext drop table testtable; 15. 删除数据库。 plaintext drop database testdb;