本文主要介绍采集器安装失败的处理方式。 问题现象 在云主机上根据安装命令安装采集器时失败。 可能原因 没有以root权限执行命令。 默认安装位置（/app/cams/lmtagent）已经有其他文件。 没有开通云日志服务的VPC终端节点。 解决办法 1. 检查是否是以root权限执行：如果不是，请切换到root账户再执行安装命令。 2. 默认安装位置（/app/cams/lmtagent）是否已经有其他文件：如果有，可以删除该文件再重试一次。 3. 检查是否开通VPC终端节点。 4. 如尝试上述解决办法后仍然无法安装采集器，请提交工单进行报障处理。

参数 参数类型 示例 说明 totalPrice Float 总价格 336.0 discountPrice Float 折后价格，云主机相关产品有 225.3 finalPrice Float 最终价格 225.3 subOrderPrices Array of Objects 子订单价格信息 见下表

参数 参数类型 示例 说明 totalPrice Float 总价格 336.0 discountPrice Float 折后价格，云主机相关产品有 225.3 finalPrice Float 最终价格 225.3 subOrderPrices Array of Objects 子订单价格信息 见下表

天翼云售后团队向客户提供的关于第三方软件的建议只适用于有经验的系统管理员或其他相关IT人员，并由客户评估决策是否采纳和实施；天翼云将基于已有经验，尽最大努力为客户提供以下第三方软件在云主机/操作系统环境中安装、配置和疑难排解的建议，确保其在天翼云云主机/操作系统环境中正常运行；天翼云不负责以下第三方软件的安装、调试、更新以及对建议的实施。 第三方软件目录及问题服务范围举例： 第三方软件目录 服务范围：示例 非服务范围：示例 SSH 通过SSH无法连接云主机、远程连接端口号修改 SSH的文件传输、隧道代理、远程执行命令、端口转发和SSH代理、安全加固功能 Windows mstsc远程连接 通过mstsc无法远程连接、远程连接端口号修改 资源共享和多人远程连接 SFTP SFTP无法启动，使用系统账号登录的配置方法 SFTP的用户配置以及用户访问权配置等，传输速度优化 FTP FTP无法启动，使用系统账号登录的配置方法 FTP服务安全加固，传输速度优化 Apache 端口无法监听以及网站无法访问 Apache的优化配置 IIS IIS启动后访问报错，网站无法访问，如403错误、404错误 托管和管理各种类型的 Web 应用程序和服务、脚本语言语法支持、配置优化 Nginx Nginx端口无法监听、网站无法访问 Nginx调优、代理转发 MySQL与Microsoft SQL Server MySQL以及SQL Server监听内网端口修改 MySQL以及SQL Server的SQL语句优化以及配置 Linux IPtables与Windows Firewall IPtables基本策略语法指导，如filter表的accept以及drop指导、nat以及端口转发以及windows firewall的关闭开启，入方向以及出方向基础规则 基于IPtables的负载均衡、链接追踪、限速、代理以及高级安全设置 Network以及NetworkManager 公共镜像的网卡获取IP异常、静态IP/动态IP配置 虚拟IP、bond、网卡策略的配置

第三步：IAM用户登录并验证权限情况 完成IAM用户创建后，A公司主账号需要将IAM用户邮箱及初始密码告知对应的员工，这些员工就可以使用自己的邮箱和密码访问天翼云。如果登录失败，IAM用户可以联系管理员重置密码。 1. 在天翼云登录页面，用户输入邮箱及密码。 2. 单击“登录”，登录天翼云。 3. 登录成功后，进入天翼云控制中心，请先切换至授权区域“华东1”，验证权限情况。 1. 在“服务列表”中选择虚拟私有云、弹性负载均衡，可以进入这些服务的主页面并进行管理操作，表示权限配置成功。 2. 在“服务列表”中选择除以上服务外的任一服务，系统提示权限不足，表示权限配置成功。 3. 切换区域至除“华东1”外的任一资源池，无法进入虚拟私有云的服务主页面，表示权限配置成功。

本文主要介绍云日志服务中数据存储常见问题。 云日志服务中的数据可以保存多久？ 云日志服务的数据支持1365天的保存自定义设置，超过保存时间设定数据将会被丢弃。 日志项目或日志单元数据在删除后是否可找回? 日志项目和日志单元的数据在执行删除操作后，会进行任务调度删除，不可找回。请您谨慎操作，并注意保管平台的账号密码防止恶意破坏。 日志数据是否安全存储？ 云日志服务底层采用存算分离架构，底层的对象存储采用多重冗余架构设计，为数据持久存储提供可靠保障，数据持久性不低于99.9999999999% (十二个9)。 日志数据是否支持防篡改？ 云日志服务使用Append Only的模式存储数据，以防止数据被篡改。 具体原理流程如下： 1. 用户通过采集器或API/SDK将数据发送至日志网关。 2. 网关收到数据，进行签名校验、权限认证通过后，将数据发送至后端。 3. 云日志服务后端将数据以AppendOnly的方式进行持久化存储，有如下特征： a. 每个日志单元的数据文件相互独立。 b. 原始数据写入后不再修改，直到TTL过期后被删除。 c. Append Only类型文件， 不支持修改。 d. 数据写入是多副本，并有CRC校验，无法绕过文件系统对数据进行直接操作 。 4. 数据持久化成功后，后端返回给网关，再返回给用户。 如果数据量突然激增，云日志服务如何保证服务不受影响？ 云日志服务提供弹性伸缩、灵活适配的数据基础框架，实时监测数据流量，削峰填谷，智能数据写入与查询控制，保障服务的稳定运行。

本节介绍了ICAgent安装完成后，如何接入日志的相关操作。 ICAgent安装完成后，需要将主机待采集日志的路径配置到日志流中，ICAgent将多条日志进行打包，以日志流为单位发往云日志服务。 前提条件 已创建日志组和日志流。 已完成ICAgent安装。 操作步骤 1. 在云日志服务管理控制台，单击“日志接入”，进入日志接入页面。 2. 单击右上角“接入日志”，进入选择接入日志类型页面 3. 在选择接入日志类型页面中，您可以选择“主机接入”。 4. 选择日志流 （1）单击“所属日志组”后的目标框，在下拉列表中选择具体的日志组。 （2）单击“所属日志流”后的目标框，在下拉列表中选择具体的日志流。 （3）单击“下一步：选择主机组”。 5. 选择主机组 （1）在主机组列表中选择一个或多个需要采集日志的主机组，若没有所需的主机组，单击列表左上方“新建”，在弹出的新建主机组页面创建新的主机组，具体可参考创建主机组。 （2）单击“下一步：采集配置”。 6、采集配置 （1）对主机日志采集设置具体的采集规则，具体可参考采集配置。 （2）设置完成后单击“提交”。 7. 完成 接入成功，可以单击“返回接入配置列表”查看日志接入，也可单击“查看日志流”查看该日志流下的采集日志。

此小节介绍企业主机安全策略管理。 企业主机安全旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 操作须知 开启企业版主机防护时，默认绑定“租户侧企业版策略组”（包含“弱口令检测”和“网站后门检测”策略），应用于全部的云服务器，不需要单独部署策略。 购买“旗舰版”或者“网页防篡改赠送旗舰版”后，开启旗舰版/网页防篡改版防护时，默认绑定了“租户侧旗舰版策略组”。 用户也可以通过复制“租户侧旗舰版策略组”的方式，创建自定义策略组，将“租户侧旗舰版策略组”替换为用户的自定义策略组，更加灵活的应用于不同的云服务器或者云服务器组。 策略列表 策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √ 查看策略组列表 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、单击策略组名称，进入查看策略组详情界面，可以查看该策略组的策略列表，包括策略名称、状态、功能类别和支持的操作系统。 “租户侧企业版策略组”和“租户侧旗舰版策略组”中的所有策略默均为“已启用”状态。 若您不需要执行其中一项策略的检测，您可以在策略所在行的“操作”列单击“关闭”，关闭该策略项的检测。请根据您的需要“开启”或者“关闭”策略的检测。 Linux策略组详情 6、单击策略名称，可以查看策略的详情。 若需要修改或配置策略，请参见编辑策略内容。 示例弱口令策略详情

本文 主要介绍CCE发布Kubernetes 1.9及之前版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.9及之前版本所做的变更说明。 表 v1.9及之前版本集群说明 Kubernetes版本（CCE增强版） 版本说明 v1.9.10r2 主要特性： ELB负载均衡支持源IP跟后端服务会话保持 v1.9.10r1 主要特性： 支持对接SFS存储 支持Service自动创建二代ELB 支持公网二代ELB透传源IP 支持设置节点最大实例数maxPods v1.9.10r0 主要特性： kubernetes对接ELB/Ingress，新增流控机制 Kubernetes同步社区1.9.10版本 支持Kubernetes RBAC能力授权 问题修复： 修复操作系统cgroup内核BUG导致概率出现的节点内存泄漏问题 v1.9.7r1 主要特性： 增强PVC和PV事件的上报机制，PVC详情页支持查看事件 支持对接第三方认证系统l 集群支持纳管EulerOS2.3的物理机 数据盘支持用户自定义分配比例 物理机场景支持对接EVS云硬盘存储 物理机场景下支持IB网卡 物理机场景支持通过CMv3接口创建节点 v1.9.7r0 主要特性： 新建集群的Docker版本升级到1706 支持DNS级联 支持插件化管理 Kubernetes同步社区1.9.7版本 支持7层ingress的https功能 有状态工作负载支持迁移调度更新升级 v1.9.2r3 主要特性： 集群支持创建/纳管CentOS7.4操作系统的节点 kubernetes的Service支持对接DNAT网关服务 NetworkPolicy能力开放 增强型ELB支持Service配置多个端口 问题修复： 修复kubernetes资源回收过程中连不上kubeapiserver导致pod残留的问题 修复节点弹性扩容数据不准确的问题 v1.9.2r2 主要特性： 经典型ELB支持自定义健康检查端口 经典型ELB性能优化 ELB四层负载均衡支持修改Service的端口 问题修复： 修复网络插件防止健康检查概率死锁问题 修复高可用集群haproxy连接数限制问题 v1.9.2r1 主要特性： Kubernetes同步社区1.9.2版本 集群节点支持CentOS 7.1操作系统 支持GPU节点，支持GPU资源限制 支持webterminal插件 v1.7.3r13 主要特性： 新建集群的Docker版本升级到1706 支持DNS级联 支持插件化管理 增强PVC和PV事件的上报机制 物理机场景支持对接OBS对象存储 v1.7.3r12 主要特性： 集群支持创建/纳管CentOS7.4操作系统的节点 kubernetes的Service支持对接DNAT网关服务 NetworkPolicy能力开放 增强型ELB支持Service配置多个端口 问题修复： 修复kubernetes资源回收过程中连不上kubeapiserver导致pod残留的问题 修复节点弹性扩容数据不准确的问题 事件老化周期提示修正：集群老化周期为1小时 v1.7.3r11 主要特性： 经典型ELB支持自定义健康检查端口 经典型ELB性能优化 ELB四层负载均衡支持修改Service的端口 支持删除命名空间 支持EVS云硬盘存储解绑 支持配置迁移策略 问题修复： 修复网络插件防止健康检查概率死锁问题 修复高可用集群haproxy连接数限制问题 v1.7.3r10 主要特性： 容器网络支持Overlay L2模式 集群节点支持GPU类型虚机 集群节点支持CentOS 7.1操作系统，支持操作系统选择 Windows集群支持对接二代ELBl 支持弹性文件服务SFS导入 物理机场景支持对接SFS文件存储、OBS对象存储 v1.7.3r9 主要特性： 工作负载支持跨AZ部署 容器存储支持OBS对象存储服务 支持ELB L7负载均衡 Windows集群支持EVS存储 物理机场景支持devicemapper directlvm模式 v1.7.3r8 主要特性： 集群支持节点弹性扩容 v1.7.3r7 主要特性： 容器隧道网络集群支持纳管SUSE 12sp2节点 docker支持directlvm模式挂载devicemapper 集群支持安装dashboard 支持创建Windows集群 v1.7.3r6 主要特性： 集群存储对接原生EVS接口 v1.7.3r5 主要特性： 支持创建HA高可靠集群 问题修复： 节点重启后容器网络不通 v1.7.3r4 主要特性： 集群性能优化 物理机场景支持对接ELB v1.7.3r3 主要特性： 容器存储支持KVM虚拟机挂载 v1.7.3r2 主要特性： 容器存储支持SFS文件存储 工作负载支持自定义应用日志 开放工作负载优雅缩容 问题修复： 修复容器存储AK/SK会过期的问题 v1.7.3r1 主要特性： kubedns支持外部域名解析 v1.7.3r0 主要特性： Kubernetes同步社区1.7.3版本 支持ELB负载均衡 容器存储支持XEN虚拟机挂载 容器存储支持EVS云硬盘存储

本文为您介绍云专线服务的功能特性。 功能名称 功能描述 支持专享通道 天翼云云专线服务为用户提供独享/共享物理端口，用户可配置静态路由协议，可支持TRACK/BFD协议。 支持多种线路接入 客户侧支持IPRAN、MSTP、MPLS VPN、OTN等多种线路类型，可按需灵活选择；每种接入方式均与互联网流量隔离。 支持安全承载 用户在通过云专线接入时，独享网络链路，无惧数据泄露风险；对上层应用透明承载，可承载数据、语音、视频等综合应用。 支持超大带宽传输 支持1G/10G/100G等多种端口带宽规格；同时提供端口聚合和链路能力，实现专线带宽弹性扩容。 支持多条物理专线进行ECMP链路聚合，可达到Tbps级别带宽。 支持稳定传输 提供中国电信高质量链路，多种冗余方案，运营商级网络保障；专用网络传数据，传输速率更有保障，传输更稳定。 支持便捷管理 天翼云提供统一的网络管理控制台页面，用户可登陆天翼云官网云专线产品控制台，对已经开通的云专线业务进行便捷管理。天翼云控制台支持变更客户侧和云侧子网信息，业务发生变化后可实时变更。

本文带您熟悉如何筛选和搜索存储库,方便您查找已有的存储库。 操作场景 您可以通过各种筛选条件在存储库列表查看存储库，也可以搜索创建的存储库。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 在“云主机备份”页签，通过“状态”列筛选存储库。 存储库各种状态的说明： 状态 状态属性 说明 全部 显示所有状态的存储库。 可用 稳定状态 存储库创建完成之后的稳定状态。该状态下可以执行各种操作。 已到期 稳定状态 存储库过期，需要续订。 主订单未完成 稳定状态 存储库已创建成功，但订单还未完成。 已冻结 稳定状态 存储库资源已冻结，不可执行操作。 6. 您可以通过“总容量”、“已用容量”、“付费方式/创建时间”或“到期时间”列对存储库进行排序。 7. 您也可以在存储列表右上角的搜索框中输入要查找的存储库名称进行搜索，搜索到的存储库会显示在存储库列表中。

参数名 类型 示例值 说明 totalPrice Float 总价格 336.0 discountPrice Float 折后价格，云主机相关产品有 225.3 finalPrice Float 最终价格 225.3 subOrderPrices Array of Objects 子订单价格信息 见下表

构造请求 本节介绍REST API请求的组成，以调用云主机产品的"根据regionID查询用户资源"举例说明如何调用该API。 请求示例 plaintext POST ContentType:application/json ctyuneoprequestid:0ffb9b07d5a84e19b3ce12dfb9705a1d EopAuthorization:4a4bdc57e06542199b5f98d4cd107be2 Headersctyuneoprequestid;eopdate Signatureb2WEo4nh9ewn6SWOP0ii5g8L0z9CT5gprpDWntlCX9I Eopdate:20221107T093029Z 请求URI {URIscheme}://{Endpoint}/{resourcepath}?{querystring} 参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn”。 resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources”。 querystring 查询参数，是可选部分，并不是每个API都有查询参数。 查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据。 示例： 云主机根据regionID查询用户资源，则需使用云主机产品在对应区域的Endpoint（ctecsxxx.ctapi.ctyun.cn），并在"根据regionID查询用户资源"的URI部分找到resourcepath（/v4/region/customerResources），拼接起来如下所示。 < 说明： 为方便查看，在每个具体API的URI部分，只给出resourcepath部分，并将请求方法写在一起。这是因为URIscheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 {resourcepath}资源路径，使用编码的规范URI示例： plaintext 前： /v4/region/customerResources api/code 后： /v4/region/customerResources%20api/code 说明： 资源路径{resourcepath}是从HTTP Host结束到查询字符串参数（如果有）的问号字符（“?”）中间的部分。 需要根据RFC 3986标准化URI路径规范移除冗余和相对路径部分。路径中每个部分都必须进行URI编码。 {querystring}查询参数，使用规范查询字符串示例： plaintext 前： prodInstId11&startTime20210404T06:01:46Z 后： prodInstId11&startTime20210404T06%3A01%3A46Z 说明： {querystring}为键值对，使用等号字符()拼接。值需进行URI编码，同样需要满足RFC 3986关于URL编码规范的定义要求。键则不需要。对没有值的参数使用空字符串。 在每个参数值后追加与字符(&)，列表中最后一个值除外。 使用 %XY 对所有其他字符进行百分比编码，其中“X”和“Y”为十六进制字符（09和大写字母AF）。例如，空格字符必须编码为 %20（不像某些编码方案那样使用“+”)，扩展UTF8字符必须采用格式 %XY%ZA%BC。 RFC 3986规范的具体要求： 字符AZ、az、09 以及字符、、.、不编码。 对其它ASCII码字符进行编码。编码格式为%加上16进制的ASCII码。例如半角双引号（"）将被编码为%22。空格编码成%20，而不是加号（+）。 非ASCII码通过UTF8编码。

构造请求 本节介绍REST API请求的组成，以调用云主机产品的"根据regionID查询用户资源"举例说明如何调用该API。 请求示例 POST ContentType:application/json ctyuneoprequestid:0ffb9b07d5a84e19b3ce12dfb9705a1d EopAuthorization:4a4bdc57e06542199b5f98d4cd107be2 Headersctyuneoprequestid;eopdate Signatureb2WEo4nh9ewn6SWOP0ii5g8L0z9CT5gprpDWntlCX9I Eopdate:20221107T093029Z 请求URI {URIscheme}://{Endpoint}/{resourcepath}?{querystring} 参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn” resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources” querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据 示例： 云主机根据regionID查询用户资源，则需使用云主机产品在对应区域的Endpoint（ctecsxxx.ctapi.ctyun.cn），并在"根据regionID查询用户资源"的URI部分找到resourcepath（/v4/region/customerResources），拼接起来如下所示。 < 说明： 为方便查看，在每个具体API的URI部分，只给出resourcepath部分，并将请求方法写在一起。这是因为URIscheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 {resourcepath}资源路径，使用编码的规范URI示例： 前： /v4/region/customerResources api/code 后： /v4/region/customerResources%20api/code 说明： 资源路径{resourcepath}是从HTTP Host结束到查询字符串参数（如果有）的问号字符（“?”）中间的部分。 需要根据RFC 3986标准化URI路径规范移除冗余和相对路径部分。路径中每个部分都必须进行URI编码。 {querystring}查询参数，使用规范查询字符串示例： 前： prodInstId11&startTime20210404T06:01:46Z 后： prodInstId11&startTime20210404T06%3A01%3A46Z 说明： {querystring}为键值对，使用等号字符()拼接。值需进行URI编码，同样需要满足RFC 3986关于URL编码规范的定义要求。键则不需要。对没有值的参数使用空字符串。 在每个参数值后追加与字符(&)，列表中最后一个值除外。 使用 %XY 对所有其他字符进行百分比编码，其中“X”和“Y”为十六进制字符（09和大写字母AF）。例如，空格字符必须编码为 %20（不像某些编码方案那样使用“+”)，扩展UTF8字符必须采用格式 %XY%ZA%BC。 RFC 3986规范的具体要求： 字符AZ、az、09 以及字符、、.、不编码。 对其它ASCII码字符进行编码。编码格式为%加上16进制的ASCII码。例如半角双引号（"）将被编码为%22。空格编码成%20，而不是加号（+）。 非ASCII码通过UTF8编码。

构造请求 本节介绍REST API请求的组成，以调用云主机产品的"根据regionID查询用户资源"举例说明如何调用该API。 请求示例 POST ContentType:application/json ctyuneoprequestid:0ffb9b07d5a84e19b3ce12dfb9705a1d EopAuthorization:4a4bdc57e06542199b5f98d4cd107be2 Headersctyuneoprequestid;eopdate Signatureb2WEo4nh9ewn6SWOP0ii5g8L0z9CT5gprpDWntlCX9I Eopdate:20221107T093029Z 请求URI {URIscheme}://{Endpoint}/{resourcepath}?{querystring} 参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn” resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources” querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据 示例： 云主机根据regionID查询用户资源，则需使用云主机产品在对应区域的Endpoint（ctecsxxx.ctapi.ctyun.cn），并在"根据regionID查询用户资源"的URI部分找到resourcepath（/v4/region/customerResources），拼接起来如下所示。 < 说明： 为方便查看，在每个具体API的URI部分，只给出resourcepath部分，并将请求方法写在一起。这是因为URIscheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 {resourcepath}资源路径，使用编码的规范URI示例： 前： /v4/region/customerResources api/code 后： /v4/region/customerResources%20api/code 说明： 资源路径{resourcepath}是从HTTP Host结束到查询字符串参数（如果有）的问号字符（“?”）中间的部分。 需要根据RFC 3986标准化URI路径规范移除冗余和相对路径部分。路径中每个部分都必须进行URI编码。 {querystring}查询参数，使用规范查询字符串示例： 前： prodInstId11&startTime20210404T06:01:46Z 后： prodInstId11&startTime20210404T06%3A01%3A46Z 说明： {querystring}为键值对，使用等号字符()拼接。值需进行URI编码，同样需要满足RFC 3986关于URL编码规范的定义要求。键则不需要。对没有值的参数使用空字符串。 在每个参数值后追加与字符(&)，列表中最后一个值除外。 使用 %XY 对所有其他字符进行百分比编码，其中“X”和“Y”为十六进制字符（09和大写字母AF）。例如，空格字符必须编码为 %20（不像某些编码方案那样使用“+”)，扩展UTF8字符必须采用格式 %XY%ZA%BC。 RFC 3986规范的具体要求： 字符AZ、az、09 以及字符、、.、不编码。 对其它ASCII码字符进行编码。编码格式为%加上16进制的ASCII码。例如半角双引号（"）将被编码为%22。空格编码成%20，而不是加号（+）。 非ASCII码通过UTF8编码。

本章节列举了使用云硬盘备份过程中的计费类问题,以及相对应的解答。 如何让云硬盘备份服务不再扣费？ 1）删除所有备份。已经创建过镜像的备份不允许手动或自动删除，如果想要删除备份，需要先删除该备份创建的镜像。 2）将磁盘从备份策略中解绑，并且停用所有备份策略。 如何停用云硬盘备份？ 如您希望停用云硬盘备份可前往云硬盘备份界面进行如下操作： 1. 删除所有备份。已经创建过镜像的备份不允许手动或自动删除，如果想要删除备份，需要先删除该备份创建的镜像。 2. 将磁盘从备份策略中解绑，并且停用所有备份/复制策略。 云硬盘备份无法直接关闭，可以通过上面的方法停用云硬盘备份。 显示在云硬盘备份界面的云服务器备份是否会重复计费吗？ 不会重复计费。云主机创建的云服务器备份也会出现在云硬盘备份界面，可以在备份详情的“来源”中识别云服务器备份。 云服务器备份实际上是对其中的每一个磁盘进行备份，这些磁盘的备份会同时在VBS备份列表展示，您可以直接在VBS使用这些备份恢复磁盘。 “来源”为“云服务器备份”的备份不可以在VBS界面删除，需进入CSBS界面进行删除。

主机组 用户可以在主机组界面对标签进行增删改查，操作主机组标签仅对当前主机组有效。 1. 在云日志服务管理控制台，选择左侧的“主机管理”。 2. 在主机管理页面，单击主机组所在行“操作”列的。 3. 在弹出的编辑标签页面，单击添加标签，填写标签键和标签值。 a:如需添加多个标签可重复该步骤。 b:如需删除标签可单击标签操作列的。 c:标签键长度不能超过128个字符；标签值长度不能超过255个字符。 d:标签键名称不可重复。 4. 单击“确定”，完成对该主机组的标签管理。 在主机管理页面，主机组列表的“标签”列可以查看主机组已添加的普通标签。 日志接入 用户可以在日志接入界面对标签进行增删改查，操作日志接入标签仅对当前日志接入有效。 1. 在云日志服务管理控制台，选择左侧的“日志接入”。 2. 在日志接入页面，单击接入配置名称所在行“操作”列的标签管理。 3. 在弹出的编辑标签页面，单击添加标签，填写标签键和标签值。 a:如需添加多个标签可重复该步骤。 b:如需删除标签可单击标签管理界面显示框中待删除标签后的。 c:标签键长度不能超过128个字符；标签值长度不能超过255个字符。 d:标签键名称不可重复。 4. 单击“确定”，完成对该日志接入的标签管理。 在日志接入页面，日志接入列表的“标签”列可以查看日志接入已添加的普通标签。

本文向您介绍云主机windows 2019操作系统对应普通电脑哪个操作系统 基于Microsoft官方文档给出的说明中，Windows Server 2019对应的大概是Windows 10 版本1809。 如果您需要了解关于具体的版本特性，建议您联系微软进行咨询。 相关说明请参考微软官方文档：Windows 10 版本 1809 和 Windows Server 2019 Microsoft

本文主要介绍快速体验微服务引擎 概述 微服务引擎(CSE)是一个应用托管和微服务管理平台，依托微服务云应用平台(ServiceStage)服务，可以帮助企业简化部署、监控、运维和治理等应用生命周期管理工作。面向企业提供微服务、移动和Web类应用开发的全栈解决方案。 应用是一个功能相对完备的业务系统，由一个或多个特性相关的组件组成。应用组件是组成应用的某个业务特性的实现，以代码或者软件包为载体，可独立部署运行。 针对应用的组件提供启停、升级、回退、伸缩、查看日志、查看事件、设置访问方式、设置阈值告警等运维操作。 本例将基于ServiceComb(SpringMVC)框架，快速创建微服务应用，供您体验微服务引擎CSE的各项基础功能。 前提条件 注册天翼云帐号，并登录成功。 获取AK/SK，请参考AK/SK获取方法。 说明 如果使用微服务引擎专业版，需要配置AK/SK。 如果使用微服务引擎专享版，不需要配置AK/SK。 创建一个虚拟私有网络VPC，请参考创建虚拟私有云和子网。 创建一个CCE集群，集群中至少包含一个ECS节点(为方便后续步骤的操作，节点 规格最好选择4vCPUs、8GB内存)并且绑定弹性IP。集群绑定弹性IP，请参考云容器引擎 > 购买容器集群。 本例将绑定GitHub源码仓库，实现源码构建、归档、应用创建， 需要先到GitHub官网注册帐号。 在ServiceStage创建仓库授权，授权访问GitHub仓库，请参考微服务云应用平台 > 仓库授权。

本章节举例介绍函数计算的典型应用场景,包括:Web应用、数据分析和处理、AI推理、视频转码等。 Web应用 Web应用是一种典型的事件驱动应用。函数计算搭配数据库、缓存、消息中间件等云产品，开发者只需要编写业务代码即可快速构建可靠的、可弹性伸缩的Web应用。这些程序可同时部署在多个数据中心实现高可用运行。 1. 简化开发流程：开发者只需专注于编写业务代码，而无需担心底层基础设施的管理和维护，从而大幅简化了开发流程。 2. 高可用性：Web应用可以轻松部署在多个数据中心，实现高可用运行。 3. 弹性扩展：基于请求量的实时变化，快速调度计算资源，实现毫秒级的自动弹性伸缩，高效应对业务洪峰。 4. 平滑迁移：支持多种开发语言和自定义运行时，兼容传统应用框架，传统Web应用到函数计算易迁移。 数据分析和处理 函数计算支持丰富的事件源。通过简单地配置事件触发条件，只需要很少的配置和代码，函数计算就可以对数据进行实时分析和处理。比如对日志数据进行清洗和处理、对上传对象存储的文件进行解压、校验和转换等。 1. 高灵活度：事件的处理逻辑可以根据实际业务场景的不同灵活定义。 2. 配置简单：支持各类事件源，只需要简单的配置就可以进行实时数据分析和处理。

本章节介绍故障演练服务中应用资源管理功能。 概述 应用资源 是构成应用 的组件节点，例如云主机 、云容器引擎 、分布式缓存服务Redis版 、分布式消息服务Kafka等实例。应用需要先纳管资源，才能对其进行故障演练。 添加应用资源 1. 登录应用高可用服务控制台。 2. 在左侧导航栏中，定位到故障演练 菜单，选择要操作的目标应用 ，然后单击其下的应用资源 选项，进入应用资源管理页面。 3. 在页面上方的资源类型 页签中，选择希望添加的资源类型（如云主机），然后单击添加资源按钮。 4. 在弹出的对话框中，选择资源池等筛选条件 ，单击搜索，系统将列出符合条件的、当前用户有权访问的资源清单。 5. 从列表中勾选 一个或多个资源，然后单击确认完成添加。 6. 返回应用资源列表，可以看到新添加的资源对象。 注意 列表中显示的资源状态可能存在一定延迟，如需获取最实时的信息，以该资源对应的云产品控制台为准。 删除应用资源 1. 进入目标应用的应用资源管理页面。 2. 在应用资源 列表中，找到希望删除的资源对象，单击其对应的删除按钮。 3. 在弹出的确认对话框中完成删除操作。 4. 返回应用资源列表，确认该资源对象已被成功移除。 注意 若目标资源被演练任务引用，则无法直接删除；必须先解除所有关联任务对该资源的引用，才能进行删除操作。

本文带您熟悉存储库绑定备份策略的操作步骤。 操作场景 若在创建存储库时未绑定备份策略，则可以后续在需要时绑定备份策略，但请确保选择的备份策略没有被其他存储库使用。 前提条件 已创建备份策略，创建备份策略具体操作可参考创建备份策略。 需要绑定的备份策略处于“启用”状态，且与存储库属同一企业项目。 若要绑定的存储策略已与其他存储库绑定，您需要先解绑该备份策略与其他存储库的关联，然后才能将其绑定到新的存储库上。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 在“云主机备份”页签，选中要绑定备份策略的存储库，点击名称进入存储库详情页。 6. 在备份策略标签页，点击“绑定备份策略”。 6. 在弹窗中备份策略列表中选择要绑定的备份策略，并加到右侧“已选备份策略”中，点击“确定”，完成绑定。

本节主要介绍应用发现最佳实践 概述 应用发现是指AOM通过配置的规则发现和收集云主机上部署的应用和关联的指标。可在“应用监控”界面和“监控概览”界面查看发现的应用和应用对应的指标数据。 应用和组件的对应关系如下： 组件: 完成某项业务的最小工作单元（可以是微服务、容器进程或者普通进程）。 应用: 一个完整的业务模块，由多个组件组成。 在配置完应用发现之后，可以使用AOM监控应用的各项指标，关联应用对应的资源告警等，主要特性与场景如下： 提供应用与组件、组件与组件实例、应用与主机的关联关系。 提供组件与日志的关联搜索能力。 提供组件级别的指标汇聚查询能力（获取所有组件实例汇聚后的结果）。 配置步骤 1.配置应用发现规则 点击左侧导航栏>配置管理>应用发现>右上角点击添加自定义应用发现规则。 2.查看应用状态 a)在左侧导航栏中选择“监控 > 应用监控”。 b)单击应用名称查看应用下面相关资源与组件信息。 c)在“组件列表”页签查看应用下面组件列表。 d)单击“主机列表”可以查看当前应用所关联的主机信息。 e)单击“告警分析”查看当前应用相关告警内容。

本章节介绍应用扩缩容的相关功能 概述 应用扩缩容包括手动扩缩容和弹性扩缩容，手动扩缩容根据设置的pod数量来进行扩缩，弹性扩缩容可以根据实例的CPU使用率、内存使用率、响应时间、请求量等信息来进行动态扩缩，达到设置的指标时进行扩容，低于设置的指标时进行缩容。 手动扩缩 在左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。点击应用实例进入到应用详情界面。在上方点击扩缩 > 手动扩缩 ,在应用扩缩容对话框中设置要扩容或缩容的应用Pod数，单击 确定 。如果将Pod数量设置为0，系统将物理删除该应用下所有的Pod，仅保留应用的基本创建信息。 开始扩缩容后，在应用总览页面出现应用正在变更...字样，您可以单击 查看详情 ，查看应用变更的详细过程。应用变更需要几分钟，请您耐心等待。变更完成后在应用总览页面的基本信息区域查看实例的运行状态，如果显示为Pod运行中，说明应用部署成功。 弹性扩缩 在左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。点击应用实例进入到应用详情界面。在上方点击扩缩 > 弹性扩缩，在弹性扩缩容对话框中设置弹性策略。在策略名称的文本框，输入自定义的弹性策略名称。在触发条件区域，单击 +新增触发器 ，然后在右侧弹出的创建触发器面板配置触发器规则，配置完成后，单击 确定 。弹性伸缩能够感知应用内各个实例的状态，并根据实例状态动态实现应用扩容和缩容。在保证服务质量的同时，提升应用的可用率。执行应用变更（如部署应用、应用扩缩、变更规格等）时，无法配置弹性策略。应用处于变更中时，弹性策略将会自动关闭，待变更完成后，自动恢复弹性策略。 触发器名称 ：必须必须以字母开头，允许数字、字母、下划线以及中划线组合。最大长度30个字符。 触发器类型 ：您支持定时触发和指标触发。 定时触发 ：适用于负载强周期型应用。 配置项 描述 周期 在下拉列表选择每天、每周或每月。 说明：选择每周后，根据需求可选择具体日期配置触发规则。如果一周内不同日期的单天内触发规则不同，可通过创建多条定时触发器来实现。 单天内触发时间 单击添加创建每天的触发时间和实例数。 1，如果错过设定的触发时刻，定时策略需要等到下一周期才会被触发。 2，两个邻近触发时间间隔要大于10分钟。 3，两个邻近触发时刻设定的实例数变化需要大于10%。 之后保持实例数 根据实际情况设置弹性策略执行后保持的实例数。 开启实例数保持 勾选后，若同时设置指标触发弹性策略，在设定时间段内，以两者中较大值为准。 若不勾选，只会在设定的时刻执行一次伸缩动作，之后可能会受其他指标触发策略影响，实例数发生变化。 指标触发： 支持应用平均CPU使用率、应用平均内存使用率、应用提供服务平均每秒请求量、应用提供服务平均响应时间（毫秒）等系统来源指标。 配置项 描述 推荐使用创景 应用平均CPU使用率 基于实时数据统计，该应用每个实例平均CPU使用率，数据源来自K8s自身监控。 适用于绝大多数应用。 应用平均内存使用率 基于实时数据统计，该应用每个实例平均内存使用率，数据源来自K8s自身监控。 适用于可以归还内存给操作系统的应用（Java应用不适用）。 应用提供服务平均每秒请求量 基于过去1分钟数据统计，该应用每个实例平均每秒接收到的服务请求量，数据源来自微服务云应用平台产品应用监控。 适用于微服务流量的应用。 应用提供服务平均响应时间（毫秒） 基于过去1分钟数据统计，该应用处理请求的平均响应时间（毫秒），数据源来自微服务云应用平台产品应用监控。 适用于微服务响应延迟有要求的应用。 配置最大应用实例个数和最小应用实例个数： 最大实例个数：可设置的范围为（2,1000）。触发弹性伸缩条件后，应用扩容，其实例数可达到最大值。 最小实例个数：可设置的范围为（0,1000）。触发弹性伸缩条件后，应用缩容，其实例数可达到最小值。 自定义弹性策略：启用弹性伸缩策略并配置扩容和缩容行为。 冷却时间：根据需要设置冷却时间。单位为秒，范围为（0,3600）。扩容行为冷却时间默认为0秒，缩容行为冷却时间默认为300秒。 扩容行为：在扩容行为区域，单击添加扩容策略 ，在添加扩容策略对话框，配置扩容策略，然后单击确定。 配置项 描述 策略类型 根据需要选择副本个数或百分比作为策略类型。支持Pods和Percent类型： Pods：表示副本个数类型。 Percent：表示百分比类型。 最大步长/百分比 根据选择的策略类型设置该参数值。 时间周期 策略执行周期。例如，策略类型选择Percent，步长/百分比设置为10，时间周期为60秒，则允许在一分钟内最多扩容或缩容当前副本个数的百分之十。 缩容行为：请参见扩容行为。 选择策略：支持Min、Max和Disabled三种策略。默认为Max。 配置好弹性策略后，在弹性伸缩对话框右上角单击启用 。弹性策略触发后，如果微服务云应用平台根据所设置的策略对应用实例进行扩容或缩容，表示自动弹性伸缩策略设置成功。同时您可以前往事件中心查看应用扩缩容相关事件。

本章节主要介绍跨源连接相关问题中有关跨源连接运维报错的问题。 新建跨源连接，显示已激活，但使用时报communication link failure错误 原因 网络连通性问题，建议用户检查安全组选择是否正确，检查安全组网络（vpc）配置。 解决方法： 示列：创建RDS跨源，使用时报“communication link failure”错误。 a. 将原有跨源连接删除重新创建。再次创建时，必须确保所选“安全组”、“虚拟私有云”、“子网””和“目的地址”与RDS中的设置完全一致。 说明 请选择正确的“服务类型”，本示例中为“RDS”。 b.检查安全组网络（vpc）配置。 若按照步骤1重建跨源连接后还是报错“communication link failure”，则检查vpc配置。 跨源访问MRS HBase，连接超时，日志未打印错误 用户在跨源连接中没有添加集群主机信息，导致KRB认证失败，故连接超时，日志也未打印错误。建议配置主机信息后重试。 在“增强型跨源”页面，单击该连接“操作”列中的“修改主机信息”，在弹出的对话框中，填写主机信息。格式为：“IP 主机名/域名”，多条信息之间以换行分隔。 详细操作请参考《数据湖探索用户指南》中的“修改主机信息”章节。 DLI跨源连接报错找不到子网 跨源连接创建对等连接失败，报错信息如下： Failed to get subnet 2c2bd2ed72964c649b60ca25b5eee8fe. Response code : 404, message : {"code":"VPC.0202","message":"Query resource by id 2c2bd2ed72964c649b60ca25b5eee8fe fail.the subnet could not be found."} 创建跨源连接之前，需要确认是否勾选了“VPC Administrator”，如果只是勾选了全局的tenant administrator，会提示找不到子网。

文件完整性管理 支持检查并记录关键文件的更改。 表112 文件完整性管理功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 支持的操作系统 检测周期 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 × × × √ √ √ Linux 实时检测 容器防火墙 为容器环境提供的防火墙服务。 表113 容器防火墙功能介绍 服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 支持的操作系统 检测周期 容器防火墙 对容器集群内部和外部的网络流量进行控制和拦截，防止恶意访问和攻击。 × × × × × √ Linux 实时检测 主机入侵检测 支持识别并阻止入侵主机的行为，实时检测主机的风险异变，检测并查杀主机中的恶意程序，识别主机中的网站后门等。 表114 主机入侵检测功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 支持的操作系统 检测周期 未分类恶意软件 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 × √ √ √ √ √ Linux、Windows 实时检测 病毒 对服务器进行实时检测，对在服务器资产发现的各种病毒进行告警上报。 × √ √ √ √ √ Linux、Windows 实时检测 蠕虫 对服务器中入侵的蠕虫或已存在的蠕虫进行检测、查杀，并进行告警上报。 × √ √ √ √ √ Linux、Windows 实时检测 木马 对隐藏在正常程序中具备破坏和删除文件、发送密码、记录键盘等特殊功能的程序进行检测，发现时立即进行告警上报。 × √ √ √ √ √ Linux、Windows 实时检测 僵尸网络 检测主机资产中是否存在已被传播的僵尸程序，一旦发现立即进行告警上报。 × √ √ √ √ √ Linux、Windows 实时检测 后门 实时检测服务器系统是否存在后门漏洞，对发现的后门病毒进行告警上报。 × √ √ √ √ √ Linux、Windows 实时检测 Rootkits 检测服务器资产，对可疑的内核模块和可疑的文件或文件夹进行告警上报。 × √ √ √ √ √ Linux 实时检测 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × × × √ √ √ Linux、Windows 实时检测 黑客工具 检测服务器是否存在用来控制服务器的非标工具，一旦发现立即上报告警。 × × √ √ √ √ Linux、Windows 实时检测 Webshell 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 × √ √ √ √ √ Linux、Windows 实时检测 挖矿软件 实时检测服务器中是否存在挖矿软件，并对发现的软件进行告警上报。 × √ √ √ √ √ Linux、Windows 实时检测 远程代码执行 实时检测服务器是否存在被远程调用的情况，一旦发现立即进行告警上报。 × × √ √ √ √ Linux、Windows 实时检测 反弹Shell 实时监控用户的进程行为，可及时发现并阻断进程的非法Shell连接操作产生的反弹Shell行为。支持对TCP、UDP、ICMP等协议的检测。 × √ √ √ √ √ Linux 实时检测 文件提权 检测当前系统对文件的提权。 × √ √ √ √ √ Linux 实时检测 进程提权 检测以下进程提权操作：利用SUID程序漏洞进行root提权。利用内核漏洞进行root提权。 × √ √ √ √ √ Linux 实时检测 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 × √ √ √ √ √ Linux 实时检测 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 × √ √ √ √ √ Linux、Windows 实时检测 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。对于进程的非法行为、黑客入侵过程进行告警。进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 × × √ √ √ √ Linux、Windows 实时检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 × √ √ √ √ √ Linux、Windows 实时检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 × √ √ √ √ √ Linux 实时检测 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × × √ √ √ Linux、Windows 实时检测 系统安全防护被禁用 检测勒索软件加密前准备动作：通过注册表关闭Windows Defender 实时保护功能，一旦发现立即上报告警。 × × √ √ √ × Windows 实时检测 备份删除 检测勒索软件加密前准备动作：删除备份格式文件或Backup文件夹下的文件，一旦发现立即上报告警。 × × √ √ √ √ Windows 实时检测 异常注册表操作 检测通过注册表关闭系统防火墙、勒索病毒Stop修改注册表并写入特定字符串等操作，一旦发现立即上报告警。 × × √ √ √ √ Windows 实时检测 暴力破解 检测“尝试暴力破解”和“暴力破解成功”等暴力破解。 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ √ √ Linux、Windows 实时检测 异常登录 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。若在非常用登录地登录，则触发安全事件告警。 √ √ √ √ √ √ Linux、Windows 实时检测 非法系统账号 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 × √ √ √ √ √ Linux、Windows 实时检测 用户账号添加 检测使用命令创建隐藏账户，一旦创建成功后用户交互界面和命令查询均不可见。 × × √ √ √ √ Windows 实时检测 用户密码窃取 检测主机中的系统账号和密码Hash值被异常获取的行为，一旦发现进行告警上报。 × × √ √ √ √ Linux、Windows 实时检测 端口扫描 检测用户指定的端口存在被扫描或者嗅探的行为，一旦发现进行告警上报。 × × × √ √ √ Linux 实时检测 主机扫描 检测网络对主机规则覆盖（包含对ICMP、ARP、nbtscan是覆盖）的扫描活动，一旦发现立即上报告警。 × × × √ √ √ Linux 实时检测

本节将为您介绍磁盘基本情况及如何对已购物理机进行数据盘的挂载/卸载/扩容操作。 磁盘类型概述 物理机可以提供基于分布式存储架构的块存储、以及基于物理机的本地硬盘。 块存储：即云硬盘，数据块级别的块存储产品，三副本的分布式机制，具有高可靠、高性能、可弹性扩展的特点，可随时创建或释放。 本地盘：物理机的本地硬盘设备，包括NVMe SSD、SATA等磁盘类型，适用于数据量大、对存储I/O性能、实时性等要求很高的业务场景，具有低时延、高吞吐量、高性价比等产品能力。 由于本地盘来自单台物理服务器，存在单点故障风险，建议您在应用层做数据冗余，以保证数据的可用性。 挂载云盘数据盘 操作场景 物理机创建成功后，如果发现磁盘容量不够用或当前磁盘不满足要求，可以将已有云硬盘挂载给物理机；或创建新的云硬盘，然后再挂载至物理机。 前提条件 已创建可用的云硬盘。 待挂载的云硬盘与物理机属于同一可用区。 物理机的状态为“运行中”或“关机”。 如果是非共享盘，待挂载的云硬盘为“可用”状态。 由于某些机型的服务器没有配备智能网卡，或者其他服务器本身的原因，不支持挂载云硬盘。

本文主要介绍利用ISO为镜像配置本地源 背景 在Linux云主机上安装软件的时候经常会遇到网络不通或者网络源失效的情况，如果这时候有系统对应的ISO文件，就可以比较方便地使用ISO入源。 包管理器 配置本地源需要先确认使用的是哪种包管理器，一般常用的包管理器有三种：yum、apt、zypper。 使用yum一般是RHELbased系统：rhel、centos、euler、fedora 使用apt一般是debian、ubuntu 使用zypper一般是suse、opensuse 配置本地源 请根据操作系统类型分别参考yum的配置流程、apt的配置流程或者zypper的配置流程。 yum的配置流程 1.将ISO文件上传到云主机内部，并挂载至“/mnt”路径。 mount XXX.iso /mnt 2.进入yum配置文件所在路径“/etc/yum.repo.d”，将其他后缀名为“.repo”的文件进行备份，并且新建一个配置文件，例如“local.repo”。在“local.repo”中添加如下内容： [rhellocal] namelocal baseurlfile:///mnt enabled1 gpgcheck0 说明 配置文件中指定的“/mnt”要和ISO挂载路径一致。 3.清理yum。 yum clean all 4.重新生成缓存。 yum makecache apt的配置流程 1.将ISO文件上传至云主机内部，并挂载至“/mnt”路径。 mount XXX.iso /mnt 2.添加apt cdrom源。 aptcdrom m d /mnt/ add 3.在配置文件中查看添加的源。 cat /etc/apt/sources.list 4.更新源。 aptget update zypper的配置流程 1.将ISO文件上传至云主机内部。 2.ISO入源。 sudo zypper addrepo iso:/?iso/media/SOFTWARE/openSUSE11.4DVDi586.iso DVDISO 其中， “/media/SOFTWARE/openSUSE11.4DVDi586.iso”为ISO文件所在位置。 “DVDISO”是这个源的别名。 3.查看源是否添加成功。 zypper repos 4.刷新源。 zypper refresh

在创建和使用轻量型云主机之前，您需要先注册天翼云门户的账号并完成实名认证。 操作步骤 使用或注册天翼云账号。 1. 打开天翼云门户网站，单击“免费注册”。 2. 进入注册页面，依次填写“邮箱地址”、“登录密码”、“手机号码”，在“获取验证码”并填写后，单击“同意协议并提交” 按钮。 注意 如1分钟内手机未收到验证码，请再次点击“免费获取短信验证码”按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 购买天翼云产品前需要为您的账号完成实名认证，具体步骤请参见会员服务实名认证。

本节为您介绍物理机服务常见的磁盘类问题。 物理机是否支持挂载云硬盘？可以挂载多少块数据盘？ 弹性裸金属的部分规格支持挂载云硬盘，可以支持挂载9块云硬盘 (1块系统盘+8块数据盘)。 普通裸金属不支持挂载云硬盘。 物理机挂载磁盘时有什么限制？ 待挂载的磁盘与物理机属于同一可用区。 物理机的状态为“运行中”或“关机”。 如果是非共享盘，待挂载的云硬盘为“可用”状态。 如果是共享盘，待挂载的云硬盘为“正在使用”或“可用”状态。 由于某些机型的服务器没有配备智能网卡，或者其他服务器本身的原因，有些规格或镜像的物理机不支持挂载云硬盘。 怎么确定物理机规格是否支持挂载云硬盘？ 由于某些机型的服务器没有配备智能网卡，或者其他服务器本身的原因，有些规格的物理机不支持挂载云硬盘。您可以此方法判断：在选择规格之后，页面会提示此规格是否支持挂载云硬盘。 如何修改“fstab”文件中的磁盘标识方式为UUID？ 问题背景 对于Linux物理机，挂载磁盘后需要将“fstab”文件中的磁盘标识方式修改为UUID，否则，物理机关机再开机，或者重启后会因为挂载点乱序而无法进入操作系统或者业务不可用。 说明 UUID：Universally Unique Identifier，通用唯一识别码，是用于计算机体系中以识别信息数目的一个128位标识符。

本文主要介绍会话保持。 会话保持指负载均衡器可以识别客户与主机之间交互过程的关联性，在实现负载均衡的同时，保持将其他相关联的访问请求分配到同一台主机上。 如果有一个用户在主机甲登录了，访问请求被分配到主机甲，在很短的时间，这个用户又发出了一个请求，如果没有会话保持功能的话，这个用户的请求很有可能会被分配到主机乙去，这个时候在主机乙上是没有登录的，所以需要重新登录。如果配置了会话保持功能，上述一系列的操作过程将由同一台主机完成，避免被负载均衡器分配到不同的主机上，所以也无需重复登录。 按照所使用的协议的不同，会话保持可以分为四层会话保持 和 七层会话保持 。 只有当分配策略类型选择“加权轮询算法”时，才可配置会话保持。 注意 如果您需要从云专线、VPN连接访问ELB，请您使用源IP负载均衡算法代替会话保持功能。 四层会话保持和七层会话保持的区别 类型 说明 支持的会话保持类型 会话保持时间 会话保持失效的场景 四层会话保持 当使用的协议为TCP或UDP时，即为四层会话保持。 源IP地址：基于源IP地址的简单会话保持，将请求的源IP地址作为散列键（HashKey）， 从静态分配的散列表中找出对应的主机。即来自同一IP地址的访问请求会被转发到同一台后端主机上进行处理。 默认时间：20分钟； 最长时间：1小时取值范围：160分钟 客户端的源IP地址发生变化。 客户端访问请求超过会话保持时间。 七层会话保持 当使用的协议为HTTP或HTTPS时，即为七层会话保持。 负载均衡器cookie：负载均衡器会根据客户端第一个请求生成一个cookie， 后续所有包含这个cookie值的请求都会由同一个后端主机处理。 应用程序cookie ：该选项依赖于后端应用。后端应用生成一个cookie值， 后续所有包含这个cookie值的请求都会由同一个后端主机处理。 默认时间：20分钟； 最长时间：24小时取值范围：11440分钟 如果客户端发送请求未附带cookie，则会话保持无法生效。 客户端访问请求超过会话保持时间。 独享型负载均衡器支持源IP地址、负载均衡器cookie两种会话保持类型。 共享型负载均衡器支持源IP地址、负载均衡器cookie、应用程序cookie三种会话保持类型。

CCE权限管理是在统一身份认证服务（IAM）与Kubernetes的角色访问控制（RBAC）的能力基础上，打造的细粒度权限管理功能，支持基于统一身份认证（IAM）的细粒度权限控制和IAM Token认证，支持集群级别、命名空间级别的权限控制，帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 如果您需要对已购买的CCE集群及相关资源进行精细的权限管理，例如限制不同部门的员工拥有部门内资源的细粒度权限，您可以使用CCE权限管理提供的增强能力进行多维度的权限管理。 本章节将介绍CCE权限管理机制及其涉及到的基本概念。如果当前帐号已经能满足您的要求，您可以跳过本章节，不影响您使用CCE服务的其它功能。 CCE支持的权限管理能力 CCE的权限管理包括“集群权限”和“命名空间权限”两种能力，能够从集群和命名空间层面对用户组或用户进行细粒度授权，具体解释如下： 集群权限：是基于IAM系统策略的授权，可以通过用户组功能实现IAM用户的授权。用户组是用户的集合，通过集群权限设置可以让某些用户组操作集群（如创建/删除集群、节点、节点池、模板、插件等），而让某些用户组仅能查看集群。 集群权限涉及CCE非Kubernetes API，支持IAM细粒度策略、企业项目管理相关能力。 命名空间权限：是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。同时CCE基于开源能力进行了增强，可以支持基于IAM用户或用户组粒度进行RBAC授权、IAM token直接访问API进行RBAC认证鉴权。 命名空间权限涉及CCE Kubernetes API，基于Kubernetes RBAC能力进行增强，支持对接IAM用户/用户组进行授权和认证鉴权，但与IAM细粒度策略独立。 注意：“集群权限”仅针对与集群相关的资源（如创建/删除集群、节点、节点池、模板、插件等）有效，您必须确保同时配置了“命名空间权限”，才能有操作Kubernetes资源（如工作负载、Service等）的权限。 统一身份认证服务（IAM） 统一身份认证（Identity and Access Management，简称IAM）是提供权限管理的基础服务，可以帮助您安全地控制服务和资源的访问权限。 IAM的优势：对资源可进行精细访问控制 您注册后，系统自动创建帐号，帐号是资源的归属以及使用计费的主体，对其所拥有的资源具有完全控制权限，可以访问所有的云服务。 如果您在购买了多种资源，例如弹性云主机、云硬盘、裸金属服务器等，您的团队或应用程序需要使用您在中的资源，您可以使用IAM的用户管理功能，给员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 Kubernetes的角色访问控制（RBAC） Kubernetes基于角色的访问控制（RoleBased Access Control，即”RBAC”）使用”rbac.authorization.k8s.io” API Group实现授权决策，允许管理员通过Kubernetes API动态配置策略。详情请参见命名空间权限。