参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b service 是 String 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“ ecs alarmStatus 否 Integer 本参数表示告警规则是否告警。取值范围：0：未触发告警。1：触发告警。2：无数据。根据以上范围取值。 1 status 否 Integer 本参数表示告警规则状态。取值范围：0：启用。1：停用。根据以上范围取值。 1 name 否 String 规则名称（模糊查询） 告警规则名称 contactGroupName 否 String 告警联系组名（模糊查询） 联系组 instanceName 否 String 监控对象名称（模糊查询） vpcvpc2913 sortKey 否 String 排序字段 updateTime sortType 否 String 排序类型。取值范围：ASC：升序。DESC：降序。根据以上范围取值。 ASC pageNo 否 Integer 页码，默认值：1 1 pageSize 否 Integer 页大小，默认值：20 10 resGroupID 否 String 资源分组ID eec4a76a35ba57b891c6c4fd923351d6

本文主要介绍远程连接Linux云主机报错:Access denied如何处理。 问题现象 远程连接Linux云主机报错：Access denied 可能原因 账号或密码输入错误。 SSH服务端配置了禁止root用户登录的策略。 处理方法 账号或密码输入错误。 检查输入的用户名或密码。 Linux云主机默认用户名root，如果密码错误，请在控制台重置密码。 重置密码：选中待重置密码的云主机，并选择“操作”列下的“更多 > 重置密码”。 SSH服务端配置了禁止root用户登录的策略。 a.编辑 /etc/ssh/sshdconfig 文件，检查如下设置，确保root用户能通过SSH登录： PermitRootLogin yes b.重启SSH 服务。 CentOS 6 service sshd restart CentOS 7 systemctl restart sshd

本小节介绍证书管理服务产品简介。 证书管理服务（Certificate Management Service‌，CCMS）是一款集证书购买、申请及安全应用于一体的云上证书管家，提供SSL证书管理、私有（内网）证书管理和个人证书管理功能，并支持一键部署证书、证书托管等服务。该服务支持国密和国际算法，帮助用户实现数据传输加密和身份认证，保障数据安全。 SSL证书管理 SSL证书是一种遵守SSL协议的数字证书，用于在互联网上建立安全通信连接，常用于网站安全加密，是保护网站数据的必备证书。 提供企业型（OV）、增强型（EV）、域名型（DV）多种SSL证书，便于企业根据自身业务场景灵活选择。 可以在证书管理服务控制台上购买SSL证书，并向CA机构提交证书申请，待CA机构审核通过并签发证书后，你可以下载证书并将其安装到您的应用服务器中。 支持将第三方证书上传到证书管理服务控制台进行统一管理。 支持一键部署SSL证书至天翼云其他云产品中，还提供了证书托管功能，可以自动替换天翼云上云产品证书。 私有（内网）证书管理 私有（内网）证书是CA颁发的内部专用数字凭证，用于内网身份认证、系统间加密通信和设备安全管理。 提供私有（内网）证书的全生命周期管理能力，包括购买、申请、下载、吊销等。 个人证书管理 个人证书是由CA机构核验身份后颁发的数字凭证，用于强身份认证、电子签名和加密通信等场景。 提供个人证书的全生命周期管理能力，包括购买、申请、下载、吊销等。

本文介绍视频直播相关的基本概念。 边缘节点 边缘节点是离终端用户最近的一个节点，经过视频直播加速的客户，其用户访问无论推流还是拉流均经过边缘节点接入。 源站 源站指客户的直播源，通常由客户运营维护，为视频直播加速提供原始内容。 DNS DNS，即Domain Name System，指域名解析服务。它的作用是把域名转换成网络可以识别的IP地址。人们习惯记忆域名，但机器间互相只认IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.baidu.com会自动转换成220.181.112.143。常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 CNAME域名 客户接入直播时，在天翼云直播控制台完成加速域名添加后，系统会为您分配一个天翼云的CNAME域名，例如 .ctadns.cn，您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向 .ctadns.cn的CNAME域名，这样该域名所有的请求才会转向天翼云直播的节点，实现加速的目的。 CNAME记录 CNAME记录是指域名解析中的别名记录（Canonical Name），用来把一个域名解析到另一个域名（CNAME域名），再由CNAME域名来解析到需要访问的服务器IP地址。 DNS解析时间 DNS解析时间是指通过域名解析服务（DNS），将指定的域名解析成IP地址的消耗时间。

标签路由是将每个服务打上一个标签，通过标签将标签相同的服务分为同一个分组，然后约束流量在同一个分组内流转，以此实现灰度发布、金丝雀发布、蓝绿发布等功能。 功能入口 1. 完成灰度应用部署后，即可查看应用当前存在的标签。 2. 登录云应用引擎控制台。 3. 在左侧导航栏选择 应用管理 > 应用列表，单击目标应用名称。 4. 应用基础信息页面，选择 微服务治理 > 流量治理，单击 标签路由 使用标签路由 1. 在标签路由页单击流量分配，为标签按比例分配流量。 2. 在标签路由页的流量规则栏新增流量规则。 流量规则参数说明： 参数 说明 路由名称 路由规则的名称。 应用 所选的应用。 标签 设置的标签名。 应用实例 设置了该标签的实例ip。 是否链路传递 代表开启全链路流控。 框架类型 Spring Cloud Dubbo。 Path SpringCloud为path路径，Dubbo为接口。 条件模式 满足一个条件，或者满足所有条件。 条件列表 可以设置Header、Cookie、Parameter和Body Content四种参数类型。 是否开启流量规则 流量规则开关。

本节介绍了云数据库TaurusDB的到期与欠费。 服务到期 若您购买的实例已到期，请参见费用中心的到期处理说明章节进行处理。 “按需计费”实例，没有到期的概念。 “包年/包月”实例到期后无法在TaurusDB管理控制台进行该实例的操作，相关接口也无法调用，自动化监控或告警等运维也会停止。如果在保留期结束时您没有续费，实例将终止服务，系统中的数据也将被永久删除。 欠费 若您购买的实例已欠费，请参见费用中心的按需欠费资源冻结规则章节进行处理。 “包年/包月”实例，没有欠费的概念。 “按需计费”实例是按每小时扣费，当余额不足，无法对上一个小时的费用进行扣费，就会导致实例欠费。您续费后解冻实例，可继续正常使用，请注意在保留期进行的续费，是以原到期时间作为生效时间，您应当支付从进入保留期开始到续费时的服务费用。

本节介绍如何更改日志存储时长。 默认存储日志的时间为7天，存储时间可以在1～365天之间进行设置，超出存储时间的日志数据将会被自动删除，对于需要长期存储的日志数据（日志持久化），LTS提供转储功能，可以将日志转储至对象存储服务（OBS）中长期保存。 更改日志存储时长 1. 将日志转储至LTS，操作步骤请参见“配置日志”。 2. 登录管理控制台。 3. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 4. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 5. 在左侧导航树中，选择“日志审计> 日志管理”，进入“日志管理”页面，单击“修改存储时长”。 说明 支持1365天存储，超出设置时长的日志会被自动删除。 存储时长越长，占用存储容量越大，如需转储至其它云服务中长期保存，请参见“云日志服务用户指南> 日志转储”。

参数 描述 IP地址或域名 源数据库的IP地址或域名。说明对于RAC集群，建议使用SCAN IP接入，提高访问性能。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库服务名 数据库服务名（Service Name/SID），客户端可以通过其连接到Oracle，具体查询方法请参照界面提示。 PDB名称 PDB同步仅在Oracle12c及以后的版本支持，该功能为选填项，当需要迁移PDB中的表时开启。PDB功能开启后，只能迁移该PDB中的表，并且需要提供CDB的service name/sid及用户名和密码，不需要PDB的用户名和密码。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。

云专线接入地址如何规划？ 云专线两端的IP地址不能冲突，而且必须是私有地址，如果用户端网络全部是公有地址，则需要客户端自己做NAT映射。 什么是云专线服务？ 云专线服务是一个建立连接本地数据中心和公有云的专线网络服务。您可以利用云专线建立公有云与数据中心、办公室或主机托管区域的专线连接，降低网络时延，获得比Internet线路更好的网络体验。 云专线使用方式有几种？ 云专线目前仅支持包周期。 云专线如何退订？ 请联系客户经理完成云专线的退订。 故障申告？ 广州4资源池：客户通过96686112或10000+9进行云网融合业务（云专线）咨询或故障申告。 云专线两端子网是否可以相同？ 不可以，需要客户提前规划好云上云下的子网网段，避免重复。 云专线是否可以连接跨账号的VPC？ 不可以，云专线目前仅支持访问本账号下的VPC。 云专线是否可以连接多个资源池的VPC？ 当前云专线只能与访问接入资源池内的VPC。

前提条件 成功登录分布式关系型数据库服务控制台。 应用场景 在数据节点相关信息变化时（如增删只读实例，变更连接地址、端口号、安全组、实例规格，删除数据库实例，以及将数据库从一个企业项目迁移到另一个企业项目等变更），需要用户主动下发“同步DN信息”，将数据节点变化的信息同步到DRDS，才能正常使用。 操作步骤 1、在分布式关系型数据库服务，实例管理列表页面，选择目标实例。 2、在左侧导航栏，选择“DN管理”页签，单击“同步DN信息”。 同步DN信息 3、系统自动弹出同步DN信息命令下发成功。 同步DN信息下发成功提示

本章节介绍如何配置追踪器。 操作场景 云审计服务管理控制台支持对已创建的数据类追踪器增加OBS转储、LTS转储等相关配置。 用户可以选择是否将已记录的事件发送到OBS桶永久保存。 配置追踪器完成后，系统立即以新的规则开始记录操作。 本节介绍如何配置数据类事件追踪器。 前提条件 已开通云审计服务，且已创建一个数据类事件追踪器。 配置数据类事件追踪器 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 在数据类追踪器信息右侧，单击操作下的“配置”。 6. 在选择追踪对象页面，设置相关参数，参数详情见表 选择转储事件参数表，单击“下一步”。 7. 在配置转储页面可以修改该追踪器的转储信息。用户通过云审计控制台只能查询最近7天的操作记录，如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或配置转储到云日志服务（LTS）。具体参数说明参见表 配置转储到OBS参数列表和表 配置转储到LTS参数列表。 8. 单击“下一步 > 配置”，完成配置数据类事件追踪器。 追踪器配置成功后，您可以在追踪器信息页面查看配置的追踪器的详细信息。 说明 因为CTS所存储的事件是周期性转储到OBS桶的，因此当您配置了追踪器所对应的OBS桶后，当前转储周期内（通常为数分钟）已收到事件会转储到配置后的OBS桶中。例如当前转储周期为12:00~12:05，用户在12:02分修改了当前追踪器对应的OBS桶，那么12:00~12:02分之间收到的事件会在12:05分时转储到新配置的OBS桶中。 9. （可选）在追踪器页面，单击标签列下的，可以为该追踪器添加标签。 标签以键值对的形式表示，用于标识追踪器，便于对追踪器进行分类和搜索。此处的标签仅用于追踪器的过滤和管理。一个追踪器最多添加20个标签。 如果您的组织已经设定云审计服务的相关标签策略，则需按照标签策略规则为追踪器添加标签。详情参考表 标签说明。 表 选择转储事件参数表 参数名称 参数说明 数据事件来源 数据事件的存储容器，默认为OBS桶。 OBS桶名称 默认为您创建数据类追踪器时设置的OBS桶名称，不可以修改。 事件操作类型 数据操作类型分为“读操作”和“写操作”，读操作指的是从OBS桶中获取或下载对象数据，写操作指的是向OBS桶中上传或写入对象数据。 勾选“读操作”后，CTS只会记录读操作类型的数据事件。 勾选“写操作”后，CTS只会记录写操作类型的数据事件。 您可以在OBS服务的页面的“表2 云审计服务支持的OBS数据事件操作列表”中，查看当前支持云审计的全部OBS操作数据事件，以及查看具体有哪些读操作类型事件和写操作类型事件。 表 配置转储到OBS参数列表 参数名称 参数说明 转储到OBS 当“转储到OBS”开关打开时，您可以选择已存在的OBS桶，并配置事件文件前缀。 如果“转储到OBS”开关关闭时，则无需配置相应参数。 选择OBS 选择已有OBS桶：选择当前区域已创建的OBS桶。 OBS桶名称 当“选择OBS”选择“新建OBS桶”时，直接新建OBS桶名称。OBS桶名称不能为空，仅支持小写字母、数字、“”和“.”，且长度范围为363个字符。禁止两个“.”相邻（如“my..bucket”），禁止“.”和“”相邻（如“my.bucket”和“my.bucket”），禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时，可以选择已存在的OBS桶。 保存周期 转储至OBS桶中日志的保存周期。该配置会修改被选择桶的桶策略，影响范围为桶内的所有文件。不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求，建议设置保存周期不低于180天。 数据类事件追踪器：保存周期支持设置为30天、60天、90天、180天、三年和沿用OBS配置。 事件文件名前缀 用于标识被转储的事件文件，该字段支持用户自定义，会自动添加在转储事件文件的文件名前端，方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线（）、中划线（）和小数点（.）组成，且长度范围为064个字符。 表 配置转储到LTS参数列表 参数名称 参数说明 转储到LTS 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。 日志组名称 当“转储到LTS”开关打开时，日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时，则无需配置该参数。 表 标签说明 参数 说明 举例 标签键 输入标签的键，同一个追踪器标签的键不能重复。键可以自定义，也可以选择预先在标签服务（TMS）创建好的标签的键。 键命名规则如下： 长度范围为1到128个字符。 可以包含任意语种字母、数字、空格和.:+@，但首尾不能含有空格，不能以sys开头。 Key0001 标签值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 长度范围为0到255个字符。 可以包含任意语种字母、数字、空格和.:/+@。 Value0001

告警名称 威胁告警说明 DDoS “实时检测”互联网主机的DDoS攻击。 共支持检测100+种子类型DDoS威胁。 网络层攻击 NTP Flood攻击、CC攻击等。 传输层攻击 SYN Flood攻击、ACK Flood攻击等。 会话层攻击 SSL连接攻击等。 应用层攻击 HTTP Get Flood攻击、HTTP Post Flood攻击等。 暴力破解 “实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。 Web攻击 “实时检测”Web恶意扫描器、IP、网马等威胁。 共支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 后门木马 “实时检测”资产系统是否存在后门木马风险，以及被后门木马程序入侵后的恶意请求行为。 共支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。 僵尸主机 “实时检测”资产被入侵后对外发起攻击的威胁。 共支持检测7种子类型的僵尸主机威胁。 对外发起SSH暴力破解 对外发起RDP暴力破解 对外发起Web暴力破解 对外发起MySQL暴力破解 对外发起SQLServer暴力破解 对外发起DDoS攻击 被入侵后安装挖矿程序 异常行为 “实时检测”资产系统异常变更和操作行为。 共支持检测21种子类型的异常行为威胁。 支持检测的异常行为威胁 包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。 接入的HSS服务上报的告警事件 包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常自启动、文件提权、进程提权、Rootkit程序。 接入的WAF服务上报的告警事件 包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。 漏洞攻击 “实时检测”资产被尝试使用漏洞进行攻击。 共支持检测2种子类型的漏洞攻击威胁。 WebCMS漏洞攻击 命令控制 “实时检测”资产可能被命令与控制服务器（C&C，Command and Control Server）远程控制，访问与恶意软件或建立与恶意软件之间的链接。 共支持检测3种子类型的命令控制威胁。 监控主机存在访问DGA域名行为 监控主机存在访问恶意C&C域名行为 监控主机存在恶意C&C通道行为

本章节主要介绍如何查看Kafka实例的Topic日志。 Topic日志记录Topic分区选举Leader的详情，包括选举Leader时间、选举Leader的Topic分区和Leader的选举次数等。本章节介绍如何在控制台查看Topic日志。 Topic日志存储在云日志服务中，由LTS提供查询功能。 约束与限制 老实例不支持Topic日志功能，具体以控制台为准。 Topic日志默认存储时间为七天，如果需要延长保留天数，可以在LTS控制台修改日志组的存储时间。 Topic日志开启后会在LTS控制台创建对应的日志组、日志流和仪表盘。使用期间按照日志量收费，收费标准请参照LTS价格详情。 频繁产生Topic日志，可能会影响实例性能。 不同Kafka实例使用相同的日志组和日志流保存Topic日志时，在每个Kafka实例中都能看到使用同一个日志组和日志流的所有Kafka实例的Topic日志。 前提条件 开启Topic日志需要您的账号拥有LTS服务的创建日志组和日志流的权限。 Kafka实例处于“运行中”时，才能开启/关闭Topic日志。 开启Topic日志 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择Kafka实例所在的区域。 3. 在管理控制台左上角单击，选择“应用服务 > 分布式消息服务Kafka”，进入Kafka总览页面。 4. 在左侧导航栏单击“Kafka实例”，进入Kafka实例列表页面。 5. 单击Kafka实例的名称，进入实例详情页面。 6. 在左侧导航栏选择“日志管理 > Topic日志”，进入“Topic日志”页面。 7. 单击“开启日志”，弹出“开启日志”对话框。 8. 单击“确定”，弹出“日志配置”对话框。 9. 根据实际情况决定是否开启日志配置，单击“确定”。自动跳转到“后台任务管理”页面，开启日志的任务状态为“成功”时，表示开启Topic日志成功 不开启：LTS后台会自动创建一个日志组以及对应的日志流。 开启：选择存储日志文件“topic.log”的日志组和日志流。您还可以单击右侧的“查看日志组”，跳转到LTS控制台，查看或创建日志组和日志流。

级别 最小磁盘 容错能力 可用容量 适用场景 RAID0 2 无 100% 临时数据/高速缓存 RAID1 2 单磁盘故障 50% 系统盘/关键服务 RAID5 3 单磁盘故障 (N1)/N 文件服务器 RAID6 4 双磁盘故障 (N2)/N 大容量存储 RAID10 4 镜像组内故障 50% 高负载数据库

本文介绍实验室测试环境下的多活容灾服务的容灾演练时间、备份和恢复速率,仅供您参考。 一、重要说明 1. 本文的数据复制、备份与恢复速率是在VPC内网、备份服务器规格为8C16G、未开启加密的实验室测试环境下获得的，旨在提供参考基准。请注意，实际应用中的速率可能会因具体环境的差异而有所不同。 2. 本地数据库的备份与恢复速率可能因硬件配置、磁盘性能以及网络条件等因素而有所不同。 3. 在网络带宽充足的情况下，本地文件的备份和恢复速率与ECS文件的备份和恢复速率一致，本地数据库的备份和恢复速率与云上数据库的备份和恢复速率一致。 4. 表格中数据是在首次全量备份下的备份速率。永久增量备份情况下，备份速率会更高。 说明 性能指标与硬件配置（CPU、内存、硬盘类型）和网络相关；也与灾备规则和策略相关，例如：是否开启加密、压缩、重删等。因此，用户在自己环境内的性能以实测为准，也可联系多活容灾服务平台帮助调优或排查等。 二、性能指标 1）预案编排内置能力 多活容灾服务提供同城多活或同城主备（云上）场景下的应用切换、数据库切换能力，可通过预案编排及容灾演练对指定资源或应用进行一键切换。下述时间为容灾演练仅做应用切换或数据库切换，不包含环境检查、业务验证等步骤。 场景 类型 切换时间（s） 同城多活/同城主备（云上容灾） 应用切换/数据库切换 510

本章节主要介绍配置定时备份告警与审计信息。 操作场景 管理员可通过修改配置文件，实现定时备份FusionInsight Manager的告警信息、Manager审计信息以及所有服务的审计信息到指定的存储位置。 备份支持使用SFTP协议或FTP协议，FTP协议未加密数据可能存在安全风险，建议使用SFTP。 操作步骤 1.以omm用户登录主管理节点。 说明 用户只需在主管理节点执行此操作，不支持在备管理节点上配置定时备份。 2.执行以下命令，切换目录。 cd ${BIGDATAHOME}/omserver/om/sbin 3.执行以下命令，配置定时备份Manager告警、审计或者服务审计信息。 ./setNorthBound.sh t 信息类型 i 远程服务器IP p 服务器使用的SFTP或FTP 端口 u 用户名 d 保存信息的路径 c 时间间隔（分钟） m 每个保存文件的信息记录数 s 备份启停开关 e 指定的协议 例如： ./setNorthBound.sh t alarm i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改告警信息备份配置文件“alarmcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 ./setNorthBound.sh t audit i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改审计信息备份配置文件“auditcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 ./setNorthBound.sh t serviceaudit i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改服务审计信息备份配置文件“serviceauditcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 4.根据界面提示输入用户的密码。密码将加密保存在配置文件中。 Please input sftp/ftp server password: 5.显示如下结果，说明修改成功。备管理节点将自动同步配置文件。 execute command syncfile successfully. Config Succeed.

本文介绍如何应用事件总线EventBridge的事件流功能实现消息路由至函数计算。 前提条件 开通事件总线EventBridge并授权。 开通函数计算并创建对应函数。 开通分布式消息服务Kafka并创建最少两个主题。 背景信息 事件流作为更轻量、实时端到端的流式事件通道，提供轻量级的流式数据的过滤和转换的能力，在不同的数据仓库之间、数据处理程序之间、数据分析和处理系统之间进行数据同步。源端分布式消息服务Kafka生产的消息可以通过事件流这个通道被路由到目标端的函数计算，并触发函数。 步骤一：创建事件流 1. 登录事件总线EventBridge控制台。 2. 在左侧导航栏，单击事件流。 3. 在事件流页面，单击创建事件流。 4. 在创建事件流面板，设置任务名称和描述，配置以下参数，然后单击保存。 a.在Source（源）配置向导，选择数据提供方为分布式消息服务Kafka ，设置以下参数，然后单击下一步。 参数 说明 示例 Kafka实例 选择Kafka实例。 instancexxx Kafka Topic 选择Kafka topic。 topicxxx Group 选择消费组。 快速创建 消费位点 选择消费位点。 最新位点 b.在Filtering（过滤）配置向导，设置事件过滤规则，单击下一步。 c.在Sink（目标）配置向导，选择服务类型为函数计算，配置以下参数，单击保存。 参数 说明 示例 函数 选择函数。 funxxx 函数版本或别名 选择函数版本或别名。 版本/LATEST 执行方式 选择执行函数的方式：同步或异步。 同步 事件 选择调用到函数的事件内容，更多内容请参考事件内容转换。 完整事件 5. 创建事件流后，会有30秒~60秒的延迟时间，您可以在事件流页面的状态栏查看启动进度。

本文介绍基础配置所涉及的配置，包括：验证域名归属权、选定加速类型、选定加速区域、IPv6开关。 概述 添加加速域名、验证域名归属权、选定合适的加速类型、选定正确的加速区域，是您使用天翼云CDN服务最基础且关键的一步。 功能简介 功能 说明 对应说明文档 域名名称 1.即加速域名，为需要使用加速服务的域名，支持泛域名。 2.在添加加速域名环节，需您先通过域名归属权验证，证明您拥有该域名的使用权，才能完成域名添加。 1.添加加速域名 2.验证域名归属权 CNAME 完成加速域名添加后，系统会为您分配一个天翼云CDN的CNAME域名， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向CNAME域名，这样该域名所有的请求才会转向天翼云CDN的节点，实现加速的目的。 配置CNAME 域名状态 状态分类：已启用、配置中、已停用。 1.当域名状态为【已启用】时，可以在【域名管理>域名列表】对域名配置进行【查看】、【编辑】、【停用】操作。 2.当域名状态为【配置中】时，可以在【域名管理>域名列表】对域名配置进行【查看】操作。 3.当域名状态为【已停用】时，可以在【域名管理>域名列表】对域名配置进行【查看】、【启用】操作。 —— 加速类型 依据业务特性，选取合适的加速类型。 加速类型 加速区域 切换加速区域，变更CDN的服务范围。 加速区域 创建时间 显示该域名在平台首次创建成功的时间。 —— IPv6开关 开启IPv6功能后，您可以在客户端通过IPv6协议访问CDN节点。 IPv6配置

如何在MRS集群中手动添加组件？ 已经创建的MRS 3.1.0及之前版本集群不支持安装新的组件。如果需要使用当前集群未安装的组件，则需要重新创建一个集群，并且选择所需要的组件。 MRS 3.1.2LTS.3及之后版本的自定义类型集群支持手动添加组件。 MRS集群中安装的组件能否删除？ 不可以删除。 已经创建的MRS 3.1.0及之前版本集群中的组件不可以删除，如果不使用的话可以登录Manager页面在服务管理中找到对应的组件将其停止。 MRS是否支持变更MRS集群节点？ MRS管理控制台不支持变更集群节点，也不建议用户在ECS管理控制台直接修改MRS集群节点。如果手动在ECS管理控制台对集群节点执行停止ECS、删除ECS、修改或重装ECS操作系统，以及修改ECS规格的操作，可能影响集群稳定运行。 如果您对MRS集群节点进行了上述操作，MRS会自动识别并直接删除发生变更的集群节点。您可以登录MRS管理控制台，通过扩容恢复已经删除的节点。请勿在扩容过程中对正在扩容的节点进行操作。 如何取消集群风险告警的消息通知？ 1.登录MRS服务控制台。 2.单击集群名称进入集群详情页面。 3.选择“告警管理 > 消息订阅规则”。 4.在待修改的规则所在行的“操作”列单击“编辑”，在“订阅规则”中取消对应风险告警。 5.单击“确定”完成修改。 为什么MRS集群显示的资源池内存小于实际集群内存？ 在MRS集群中，MRS默认为Yarn服务分配集群内存的50%，用户从逻辑上对Yarn服务的节点按照资源池进行分区管理，所以集群中显示的资源池总内存仅有集群总内存的50%。

什么情况下会扣资源包次数，识别报错会扣费吗？ 资源包扣费规则按照：成功调用算入计费次数，若因网络错误未成功调用则不计算次数，其他错误则计算调用次数。 计算规则：单张图片算作一次调用。 若您的图片上存在多张图片，可能会导致对应接口识别报错，建议将所需图片自行拆解成单张图片进行调用识别。 人脸识别服务剩余次数如何查询？ 如您已购买人脸识别资源包，资源包剩余次数可至控制台内查看，进入控制台选择对应能力的条目，点击【使用详情】按钮查询。 如您的资源包已消耗完毕，会显示“已用完”；如资源包已超过使用日期，会显示“已过期”；如资源包已退订，会显示“已退订”。 人脸识别资源包可以转移给到别人的账号么？ 该产品目前不支持转移，建议购买前评估真实调用量，资源包可以叠加购买。 若后期支持转移功能，我们会发公告通知，请您留心注意。 人脸识别服务开通后能否关闭？不使用是否会产生费用？ 人脸识别服务开通后无法关闭，如您后续无使用需求，不调用已开通的接口即无相关费用产生。 同时，请您保管好AppKey和AppSecret信息，保证后期无人调用。 资源到期后是否有提醒？ 资源到期后会给调用API能力的账号发送短信和邮件，建议使用正确的手机号和邮箱便于接收通知。

本文主要介绍如何查看和管理登录客户端的终端设备。 功能介绍 终端设备管理功能，支持记录和收集企业员工登录客户端的设备信息和登录状态等信息，帮助企业对员工的终端设备进行管理和查看。 操作步骤 1. 登录边缘安全加速控制台。 2. 支持在AOne零信任、AOne终端管理、AOne学术加速工作台进行操作。 3. 在左侧导航栏选择终端终端资产终端设备列表。 4. 点击可查看终端设备整体状态，可点击具体设备详情查看单设备信息。 设备列表 注意 零信任服务、终端管理、学术加速根据自身产品服务能力会进行相关功能裁剪，如终端管理无内网在线，下文主要介绍整体服务情况。 概览统计 合规检测：统计当前合规检测存在风险的设备数量，若合规检测能力未开启或设备未检测则为空。 待处理病毒数：病毒扫描检测出的尚未处理的病毒数。 设备平均在线时长：统计昨日设备在线的平均在线时长，在线设备主要是AOne客户端程序启动进行上报设备信息进行统计，设备卸载或退出AOne客户端则无法统计。 在线/设备总量：在线设备为当前AOne程序在线上报的设备情况，设备总量则为累积上报过的设备信息。 内网在线设备：统计当前内网在线的设备（存在10分钟数据延迟）。 终端信息采集：支持开启硬件信息采集，比如CPU、内存、磁盘空间等。

扩容后的云硬盘容量大于2TB该如何处理 EVS服务支持的最大系统盘容量为1 TB（1024 GB），即您最大可将系统盘扩容至1 TB。 EVS服务支持的最大数据盘容量为32 TB（32768 GB）。 当数据盘使用MBR分区形式时，容量最大支持2 TB（2048 GB），超过2 TB的部分无法使用。 如果因为业务需求要将该数据盘扩容至2 TB以上并投入使用。则必须将MBR切换成GPT，期间会中断业务，并且更换分区形式时会清除数据盘原有数据，请在扩容前先对数据进行备份。 当磁盘使用GPT分区形式时，容量最大支持18 EB（19327352832 GB）。由于EVS服务支持的最大数据盘容量为32 TB，因此使用GPT的数据盘最大可扩容至32 TB。 如果当前磁盘使用的是GPT分区形式，可以参考以下方法进行扩容。 Windows：扩展磁盘分区和文件系统（ Windows 2008 ） Linux：扩展数据盘的分区和文件系统（Linux） 为什么扩容后云主机内云硬盘容量没有变化 通过管理控制台扩容成功后，只是扩大了云硬盘的存储容量，还需要登录云主机自行扩展分区和文件系统，完成该操作后，您才可以看到新增容量并使用。 扩展磁盘分区和文件系统操作请参见： 扩展磁盘分区和文件系统（ Windows 2008 ） [分区和文件系统扩展前准备（ Linux ）](

天翼云Prometheus监控服务提供了Remote Write标准接口，可通过该接口远程接入开源Prometheus的监控数据，以实现在天翼云Prometheus监控平台上收集和展示其自定义数据。本文将具体介绍如何使用Remote Write地址完成数据接入。 使用限制 Remote Write接口暂不支持HTTP/2。 前提条件 已创建Prometheus实例。 远程写入的客户端网络已经与暴露接口打通。 步骤一：获取AKSK 1. 通过实名认证的账号登录天翼云。 2. 进入天翼云账号中心。 3. 点击【安全设置】进入安全设置中心。 4. 在用户AccessKey模块，可创建AKSK，或直接查看已生成的AKSK。 步骤二：获取Remote Write地址 1. 登录Prometheus监控服务控制台。 2. 在左侧导航栏点击实例列表。 3. 单击目标实例名称。 4. 在设置页签上，即可获取Remote Write地址。 步骤三：配置开源版Prometheus 1. 安装Prometheus。 2. 编辑Prometheus.yml配置文件，并在文件末尾增加以下内容，将remotewrite链接替换为上文步骤二中获取的地址，然后保存文件。 plaintext global: scrapeinterval: 15s evaluationinterval: 15sscrapeconfigs: jobname: 'prometheus' staticconfigs: targets: ['localhost:9090'] remotewrite: 替换为您的Remote Write地址。 url: " basicauth: username和password分别对应您天翼云账号的AK和SK。 username: accesskeyid password: accesskeysecret 3. 重启开源版Prometheus服务。

问题现象 pod中istio sidecar容器监控中发现内存消耗持续升高。 原因分析 istio采用envoy作为数据面代理，动态内存消耗主要有以下方面： 原因 说明 网格配置 默认情况下网格中的配置和服务发现信息会全量同步到所有sidecar，当网格中的配置增多或者pod数量增多时，将导致sidecar代理的内存升高。 动态请求消耗的内存 Envoy中会为请求申请buffer用于缓存请求及应答信息，当请求量和消息比较大的时候会增加内存消耗。 可观测指标发散 当指标的tag较多时将会在内存中产生较多副本，增加内存消耗。 HTTP2流量控制相关 sidecar实现HTTP2编解码中有流级别及连接级别的缓存字节数限制，默认为256MB，当sidecar处理能力不足将导致数据在内存中累积。 解决方法 对于网格配置导致的sidecar内存升高，可以通过限定资源的可见范围较少配置扩散，如VirtualService、DestinationRule的exportTo字段指定配置分发的命名空间；通过配置sidecar资源，限定当前服务可见的服务发现范围等。 对于动态请求导致的内存消耗，考虑减少sidecar代理的流量。默认情况下sidecar会拦截所有inbound和outbound的流量，可以根据业务需要对不需要代理的端口取消流量拦截；具体可以通过sidecar管理sidecar代理配置菜单下配置全局及命名空间级别的流量拦截策略。 对于指标发散和HTTP2缓冲配置导致的内存升高，我们将在后续的版本中提供优化方案。

边缘安全加速平台—安全与加速服务提供一站式安全与加速服务，支持DDoS防护、WAF、Bot防护、访问控制/限流等。 防护能力概览 下表将为您描述目前边缘安全加速平台安全与加速服务具备的防护能力以及应用场景： 功能模块 功能说明 详情链接 DDoS防护 依托于边缘清洗节点，能够承载T级以上DDoS攻击，百G抗D节点地市级覆盖，全网总防护能力可达10Tbps。 DDoS防护 Web防护 实时检测恶意请求并及时处理，帮助用户提供应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。 Web防护 Bot防护 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫。 Bot防护 访问控制/限流 []( 访问控制/限流 API安全 支持管理和识别API资产、帮助用户实时查看API的业务运行情况，同时帮助用户发现和分析业务异常。 API安全 漏洞扫描 []( [](

本文介绍如何申请免费证书部署至边缘安全加速平台。 功能介绍 如果您的网站没有购买HTTPS证书，可以通过边缘安全加速平台提供的免费证书来支持HTTPS访问。 注意 目前控制台尚未开放自助申请，如有免费证书需求，请 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。您需要完成CNAME配置并且等待CNAME状态生效，才能为该域名申请免费证书。 开通套餐为基础版及以上版本，支持免费证书相关功能。 免费证书由Let's Encrypt机构颁发。 目前边缘安全加速平台只支持申请单域名证书，并且是精确域名；不支持泛域名、多域名证书。 证书有效期为3个月，到期边缘安全加速平台将会为您申请续期，无需手动更新。 免费证书不支持下载。 配置说明 该功能目前暂不支持控制台自助申请，如有需求，请提工单给天翼云客服，由其人工操作申请与部署。 提交工单时，请说明如下信息： 参数 说明 示例 域名 提供需要申请免费证书的域名。目前边缘安全加速平台只支持申请单域名证书，并且是精确域名；不支持泛域名、多域名证书。 example.ctyun.cn 注意 如果域名有以下配置，请在工单中提供： 1. 域名配置了网关直接响应文件。 2. 特定请求响应特定状态码。

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 java String accessKey " "; String secretKey " "; String endPoint " "; BasicAWSCredentials credentials new BasicAWSCredentials(accessKey, secretKey); AwsClientBuilder.EndpointConfiguration endpointConfiguration new AwsClientBuilder.EndpointConfiguration(endPoint, Regions.DEFAULTREGION.getName()); return AWSSecurityTokenServiceClientBuilder.standard() .withCredentials(new AWSStaticCredentialsProvider(credentials)) .withEndpointConfiguration(endpointConfiguration) .build(); 获取临时token java private static final String DEFAULTBUCKET " "; private static final String ROLESESSIONNAME " "; private static final String ARN "arn:aws:iam:::role/xxxxxx"; private static final String POLICY "{"Version":"20121017"," + ""Statement":" + "{"Effect":"Allow"," ""Action":["s3:"]," // 允许进行 S3 的所有操作。如果仅需要上传，这里可以设置为 PutObject ""Resource":["arn:aws:s3:::" + DEFAULTBUCKET + "","arn:aws:s3:::" + DEFAULTBUCKET + "/"]"// 允许操作默认桶中的所有文件，可以修改此处来保证操作的文件 "}}"; public static void assumeRole() { try { AWSSecurityTokenService stsClient buildSTSClient(); AssumeRoleRequest assumeRoleRequest new AssumeRoleRequest(); assumeRoleRequest.setRoleArn(ARN); assumeRoleRequest.setPolicy(POLICY); assumeRoleRequest.setRoleSessionName(ROLESESSIONNAME); assumeRoleRequest.setDurationSeconds(60602); // 单位秒，有效时间，默认1小时，最长12小时 ​ System.out.println("policy" + POLICY); AssumeRoleResult assumeRoleRes stsClient.assumeRole(assumeRoleRequest); Credentials stsCredentials assumeRoleRes.getCredentials(); System.out.println("ak" + stsCredentials.getAccessKeyId()); System.out.println("sk" + stsCredentials.getSecretAccessKey()); System.out.println("token" + stsCredentials.getSessionToken()); } catch (Exception e) { e.printStackTrace(); } }

本章节介绍印刷文字识别（OCR) 关于使用限制、产品功能、产品性能、系统逻辑等常见问题与解答。 印刷文字识别前端展示页面对于上传的图片是否有要求？ 每个API对图片大小的限制请参考API文档。 图片格式支持jpg、png、jpeg、bmp等。 印刷文字识别是HTTP GET请求还是HTTP POST请求？ 印刷文字识别以API的方式提供服务，支持HTTP POST请求。 HTTP POST提供了加密传输、身份验证和授权以及请求参数验证和过滤等机制，从而可以更好的保障用户的数据安全。 印刷文字识别的请求图像放置在Http请求的哪部分？ 请求图片应当放置于Http的body中，不能放置于query或者header中。 印刷文字识别的API接口是否支持单次请求多张图片？ 印刷文字识别的API接口对单次请求的图片限制不一致，具体可参考【API参考】【API】具体产品（如通用型OCR）“接口要求”中的详细说明。 车牌识别支持新能源车牌吗？ 支持新能源车牌。车牌识别适用于中国大陆的车牌识别服务，支持蓝牌、黄牌（单层）、新能源车牌的检测与识别，同时支持图片内有多张车牌，结构化返回车牌内容及车牌位置坐标。 OCR能否提供100%识别准确率？ OCR识别无法做到100%识别准确率。如您对当前使用的OCR产品服务有识别准确率相关问题，您可拨打通过天翼云官网工单或者客服电话【4008109889转1】联系我们。

本章节主要介绍ALM44005 Presto Coordinator进程垃圾收集时间超出阈值的告警。 告警解释 系统每30s周期性采集Presto Coordinator进程的垃圾收集（GC）时间，当检测到GC时间超出阈值（连续3次检测超过5s）时产生该告警。用户可在FusionInsight Manager中通过“运维 > 阈值配置 > 服务 > Presto > 集群状态 > Coordinator进程GC时间”修改阈值。当 Coordinator进程Gc时间小于或等于告警阈值时，告警清除。 告警属性 告警ID 告警级别 可自动清除 44005 严重 是 告警参数 参数名称 参数含义 ServiceName 产生告警的服务名称。 RoleName 产生告警的角色名称。 HostName 产生告警的主机名。 对系统的影响 Coordinator进程GC时间过长，会影响Coordinator进程运行的性能，甚至造成Coordinator进程不可用。 可能原因 该节点Coordinator进程堆内存使用率过大，或配置的堆内存不合理，导致进程GC频繁。 处理步骤 检查GC时间 1.登录MRS集群详情页面，选择“告警管理”。 2.选中“告警ID”为“44005”的告警，查看“定位信息”中的角色名并确定实例的IP地址。 3.单击“组件管理 > Presto > 实例 > Coordinator（对应上报告警实例IP地址） > 定制 > Presto进程GC时间”。单击“确定”，查看GC时间。 4.查看Coordinator进程的GC时间是否大于5秒。 是，执行步骤5。 否，执行步骤2。 5.单击“组件管理 > Presto > 服务配置 > 全部配置 >Presto > Coordinator”。将“JAVAOPTS”参数中的最大堆内存Xmx值根据实际情况调大。 6.观察界面告警是否清除。 是，处理完毕。 否，执行步骤2。

本文主要介绍如何通过对象存储导入日志 本文主要介绍如何将天翼云对象存储的数据导入到云日志服务，实现数据的查询分析、加工等操作。 注意 当前功能为白名单试用阶段，仅在华北2资源池开放。 创建数据导入任务 1. 登录云日志服务控制台。 2. 左侧菜单栏点击“日志接入”，进入接入管理页面 3. 在“数据导入”模块中，点击“对象存储ZOS数据导入” 4. 选择目标日志项目和日志单元，单击下一步。 5. 设置接入配置，配置如下参数，确认无误后，单击下一步。 参数 说明 接入配置名称 导入任务的唯一标识 ZOS存储桶 待导入的文件所在的存储桶 文件路径前缀过滤 可通过文件路径前缀过滤对象存储文件，用于准确定位待导入的文件。比如待导入的文件都在nginx/目录下，则可以指定前缀为nginx/。 如果不设置该参数，则遍历整个对象存储的存储桶。 文件路径正则过滤 通过文件路径的正则表达式过滤对象存储文件，用于准确定位待导入的文件。当对象存储的文件名（包含文件路径）匹配该正则表达式的文件才会导入到日志服务中。默认为空，表示不过滤。 文件修改时间过滤 通过文件修改时间过滤对象存储文件，用于准确定位待导入的文件。 所有：表示将导入所有符合条件的文件 某时间开始：只导入某个时间点后修改过的文件 特定时间范围：只导入某个时间范围内修改过的文件 压缩格式 待导入的对象存储文件的压缩格式，云日志服务根据对应格式进行解压，并读取数据。 检查新文件周期 若目标对象存储中的文件路径中有新文件持续不断产生，可以设置检查新文件周期。设置后，导入任务会一直在后台运行，自动周期性地发现并读取新文件。 若目标对象存储文件路径中不再产生新文件，可设置为永不检查，即导入任务读取完所有符合条件的文件后，将自动退出。 文件编码 选择待导入的对象存储文件的编码格式，仅支持UTF8和GBK。 数据格式 设置日志文件的解析格式： 单行文本：将对象存储文件中的每一行解析为一条日志。 跨行文本：多行模式，需要设置行首正则表达式解析日志。 单行JSON：将逐行读取对象存储文件，并将每一行作为一个JSON对象进行解析。解析后，JSON中的各个字段将映射为日志的各个字段。 6. 创建索引。默认开启全文索引，您也可以根据需要手动创建字段索引用于字段查询。 7. 点击完成，即可完成导入任务创建。等待1分钟左右，在查询日志界面能查询到日志，则说明导入成功。

用户手册 用户手册 天翼云数据加密服务用户指南.pdf

本章节介绍工作负载身份 概述 应用服务网格中的工作负载都有一个身份信息，这个信息主要用于网格内服务之间通信时实现身份认证和基于身份的访问授权。工作负载身份信息由服务网格自动生成和维护，基于Service Account实现；CSM服务网格中的工作负载身份信息符合SPIFFE标准，格式如下： spiffe://{trustdomain}/ns/{namespace}/sa/{serviceaccount} 在服务网格控制台 网格安全中心> 工作负载身份菜单下，选择namespace可以看到该命名空间下的工作负载身份信息，如下图：