本文介绍在使用Web应用防火墙（边缘云版）可能出现的问题和排查方法。 上传文件的正常请求被Web应用防火墙（边缘云版）拦截了怎么办？ 正常的上传请求被Web应用防火墙（边缘云版）拦截一般分为以下两种情况 Web应用防火墙（边缘云版）防护节点最大支持300MB的文件上传，当上传大于300MB的文件时就可能会上传失败。建议使用未接入Web应用防火墙（边缘云版）防护的域名上传或者通过FTP攻击上传。 通过浏览器POST请求上传文件时，文件内容会被转码后放在POST请求的body中上传，当转码后的文件出现匹配Web应用防火墙（边缘云版）规则的关键字内容时就有可能被Web应用防火墙（边缘云版）认为有恶意代码触发拦截。遇到这种情况建议将该URL加入到访问控制白名单的放行规则中。 出现登录状态丢失的情况如何解决？ 当接入Web应用防火墙（边缘云版）的域名存在多个源站时，多个源站之间要做登录session同步，不然有可能出现同一个会话请求转发到不同的源站导致登录状态丢失的情况。另外，如果源站有基于访问IP做会话验证时要通过从请求头的xforwardedfor中获取到客户端请求的真实IP进行校验。 出现长连接请求超时如何处理？ 如果源站由于某种原因响应慢，超过边缘安全防护节点回源超时时间设置仍未向边缘节点返回内容，则会出现504报错。出现这种情况时，可先排查源站服务器是否有出现CPU或者带宽瓶颈，其次源站处理请求的逻辑入手看是否可以优化提升源站的处理速度，如果确认源站已经无法优化响应速度，可通过修改防护节点默认回源超时时长来缓解该问题，具体可提交工单联系天翼云客服进行配置。

本文主要介绍健康检查UDP协议安全组规则说明。 操作场景 当负载均衡协议为UDP时，健康检查也采用的UDP协议，您需要打开其后端服务器的ICMP协议安全组规则。 操作步骤 步骤 1 登录弹性云主机控制台，找到集群中的节点对应的节点，单击云主机名称，进入详情页面，记录安全组名称。 步骤 2 登录虚拟私有云控制台，在左侧导航栏单击“访问控制 > 安全组”，在界面右侧的安全组列表中单击步骤1获取的安全组名称。 步骤 3 在打开的页面中单击“入方向规则”页签，单击“添加规则”，为云主机添加入方向规则，详细配置请参见下图，单击“确定”。 说明 您只需为工作负载所在集群下的任意一个节点更改安全组规则，请添加规则即可，不要修改原有的安全组规则。 安全组需放通网段100.125.0.0/16流量。 图 添加安全组规则

操作步骤 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击页面左侧的监控面板。 4. 选择需要删除监控视图所在的监控面板。 5. 在待删除的“监控视图”区域，鼠标滑过视图时单击区域右上角的删除图标。 在弹出的删除监控视图页面，选择“是”即可删除该监控视图。

本节介绍了一键式重置密码插件漏洞说明 漏洞说明 弹性云主机提供了重置密码功能，当弹性云主机的密码丢失或过期时，可使用该功能进行一键式重置密码。 2022年1月14日以前的旧版本一键式重置密码插件“CloudResetPwdUpdateAgent ”使用了Apache Log4j2组件，会被安全工具扫描出漏洞。 表 漏洞信息 漏洞类型 CVEID 漏洞级别 披露/发现时间 修复时间 Apache Log4j2 远程代码执行 CVE202144228 严重 20211209 2022114 Apache Log4j2 远程代码执行 CVE202145046 严重 20211215 2022114 Apache Log4j2 拒绝服务 CVE202145105 中 20211218 2022114 Apache Log4j2 远程代码执行 CVE202144832 中 20211229 2022114 Apache Log4j2 信息泄露 CVE20209488 低 20200427 2022114 漏洞影响 一键式重置密码插件是弹性云主机内部运行的客户端进程，不对外提供任何网络服务。经分析验证，一键式重置密码插件无可利用条件，无安全风险。

本小节介绍日志审计(原生版)产品优势。 一站式审计 具备日志采集范围广、检索速度快、审计分析维度深、数据展示视图全、风险报表模板多、响应处置效率高等一站式日志审计功能。 强大的关联分析能力，可以让安全运维人员从几十分钟甚至小时级别的日志审计溯源耗时缩小到分钟级别，甚至秒级，大大提升安全审计效率。 搜索引擎是针对日志所设计的架构，比通用的ES搜索引擎更安全，效率更高，稳定性更好，还可节省一半硬件资源。 满足等保合规 符合国家等级保护制度中对于安全审计的技术要求，具备完整的日志审计分析报告，满足用户多样化报表和监管要求。 通过统一数据采集，统一数据备份，满足企业合规要求，如中国电信《中国电信云运〔2021〕58号》。 满足《网络安全法》对日志审计要求，满足等级保护二级，三级对日志的相关要求。 便捷部署 为用户提供开箱即用的自动化配置、更新和管理功能，减少了人工干预和操作的需要，降低了用户在部署和配置方面的难度。 通过自动化配置、更新和管理功能，用户可以快速设置和调整系统，无需手动进行繁琐的配置过程。这大大简化了系统的部署和配置过程，并减少了人为错误的可能性。 确保部署流程简单高效，减少人工干预，提高管理工作效率，降低运维工作负担，让安全运维部署工作效益上升一个台阶。

本文介绍 IAM功能的基本用途、应用场景，以及本产品的权限定义。 功能介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他账号管理资源等。 使用前您需了解常用的基本概念，包括：帐号、IAM用户、用户组、身份凭证、授权、权限、项目、委托、身份凭证等，详细请查看：术语解释。 IAM应用场景 IAM策略主要面向对同租户帐号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如文件系统的查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的用户名和密码登录云服务平台，实现多用户协同操作时无需分享帐号的密码的安全要求。 使用流程 请查看：入门说明。 权限策略 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素"Action""Effect"等信息。通过给子用户赋予预置的系统权限策略或者自定义的权限策略进行子用户权限管理。 系统策略 ：预置的系统策略，您只能使用不能修改，具体说明请查看系统策略。海量文件服务预置的系统策略包含如下： 策略名称 策略描述 作用范围 海量文件服务OceanFS管理者权限（admin） 管理者权限，包含海量文件服务所有控制权限（不包含订单类权限）。 资源池 海量文件服务OceanFS观察者权限（viewer） 观察者权限，包含海量文件服务的列表页、详情页等查看权限，无操作管理权限。 资源池 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见创建自定义策略。

本文为您介绍云硬盘的磁盘模式以及不同磁盘模式的主要应用场景以及使用注意事项。 磁盘模式的定义与分类 云硬盘的磁盘模式分为三种，分别是： VBD（Virtual Block Device）：虚拟块存储设备。 SCSI （Small Computer System Interface）：小型计算机系统接口。 FCSAN（Fibre Channel SAN）：光纤通道协议的SAN网络。 根据其是否支持高级的SCSI命令来判断划分磁盘模式。其中，VBD为默认模式，相较于SCSI，只支持较简单的读写命令。而SCSI类型的磁盘则可以提供一些高级特性，如命令队列、多点访问、热插拔等，支持更高级的SCSI指令。 磁盘模式在订购完成后不能修改，在购买时请谨慎选择。 说明 FCSAN协议仅支持物理机使用，当前仅支持在上海7开通。 VBD模式是所有资源池默认的磁盘模式。 选择的资源池和磁盘类型同时决定了创建的云硬盘是否支持SCSI模式，逻辑如下： HDD磁盘选择SCSI模式的资源池为：拉萨3/西南2贵州/西宁2/庆阳2/呼和浩特3。 SSD磁盘选择SCSI模式的资源池为：西南2贵州/庆阳2/呼和浩特3/华北2/郑州5/上海36/西南1/西宁2。 不同磁盘模式的主要应用场景 VBD模式：作为云硬盘的默认磁盘模式，VBD可以应用于绝大多数业务场景，作为云主机的驱动器，提供持久化存储，用于操作系统、应用程序和数据的安装和存储，也可以作为数据库服务器的存储设备等等。 SCSI模式：天翼云共享盘需要在集群环境下使用，多数集群在配置使用过程中是需要使用SCSI锁的，例如Windows MSCS集群等，因此在集群应用场景中推荐使用SCSI模式共享盘。 FCSAN模式：目前仅支持物理机使用。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包重复动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包重复百分比：数据包被复制的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被复制并重复发送一次。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包损坏动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包损坏百分比：数据包被损坏的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被损坏。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包损坏动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包损坏百分比：数据包被损坏的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被损坏。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包重复动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包重复百分比：数据包被复制的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被复制并重复发送一次。

本节为您介绍迁移完成后MySQL业务启动与数据核验的相关步骤。 源机绑定目标机 1. 进入云主机控制台，选择目标端云主机，点击远程登陆。 2. 输入账号密码，检查账号密码等软件配置均和源机一致。 3. 检查目标机磁盘空间使用率是否与源机基本一致。 注意：迁移工具会自动将磁盘中的碎文件进行重新写入和重组，因此磁盘的占用大小将略低于源机，而迁移后的文件大小总量是同源机一致的。 执行命令：df TH 4. 查看数据库服务状态，如果数据库为关闭状态则开启数据库。 启动数据库：systemctl start mysqld 5. 检查增量数据是否同步。 登录并查看源端数据库中的数据情况，table1表中的记录数为6769000条。 登录并查看目标机启动的数据库，查看数据库中的数据情况，table1表中的记录数为6769000条，与源机相同。 6. 检查数据库版本是否一致。 检查源机数据库系统版本： 检查目标机数据库系统版本，同源机一致： 7. 检查操作系统版本是否一致。 检查源机操作系统版本： 检查目标机操作系统版本，同源机一致： 8. 检查数据库文件总数是否一致。 检查源机Mysql数据库所在挂载点的文件总数: 检查目标机Mysql数据库所在挂载点的文件总数,同源机一致:

本章节介绍微服务引擎MSE的订购与退订操作 订购 1. 进入天翼云控制中心，搜索微服务引擎MSE，点击购买图标，即可进入到订购配置页面。 退订 退订规则 产品退订相关规则详细参见：退订规则说明。 退订操作 以云原生网关子产品为例，进入微服务引擎控制台，在左侧导航栏中单击云原生网关网关列表，在列表中针对某个实例点击退订按钮，在您确认退订后，单击确定按钮。 退订后，可在个人中心查看退订订单状态及金额情况。 注意 退订成功后，不可登录到控制台或者通过OpenAPI进行应用变更等操作。

如果您需要在弹性云主机的Linux实例上手工搭建LNMP平台的web环境,可以参考本文内容。 本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LNMP平台的web环境。该指导具体操作以CentOS 7.2 64位操作系统为例。 操作流程 安装nginx。 安装MySQL。 安装PHP。 浏览器访问测试。 前提条件 弹性云主机已绑定弹性IP。 弹性云主机所在安全组添加了如下表所示的安全组规则，具体步骤参见为安全组添加安全组规则。 方向 协议/应用 端口/范围 源地址 入方向 HTTP(80) 80 0.0.0.0/0 操作步骤 安装nginx。 1. 登录弹性云主机。 2. 执行以下命令，下载对应当前系统版本的nginx包。 plaintext wget 3. 执行以下命令，建立nginx的yum仓库。 plaintext rpm ivh nginxreleasecentos70.el7.ngx.noarch.rpm 4. 执行以下命令，安装nginx。 plaintext yum y install nginx 5. 执行以下命令，启动nginx并设置开机启动。 plaintext systemctl start nginx systemctl enable nginx 6. 使用浏览器访问 “

参数名 参数描述 名称 弹性资源池添加的队列名称。 类型 SQL队列：用于运行SQL作业。 通用队列：用于运行Spark作业 、Flink作业。 执行引擎 如果队列类型选择为“SQL队列”，则可以选择队列引擎是：spark或者trino 企业项目 选择队列的企业项目。弹性资源池支持添加不同企业项目的队列资源。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 说明 只有开通了企业管理服务的用户才显示该参数。 描述 弹性资源池添加队列的描述信息。

本章节主要介绍翼MapReduce的配置Syslog北向参数。 操作场景 该任务指导用户以Syslog方式将MRS Manager的告警事件上报到指定的监控运维系统中。 须知：Syslog协议未做加密，传输数据容易被窃取，存在安全风险。 前提条件 对接服务器对应的弹性云服务器需要和MRS集群的Master节点在相同的VPC，且Master节点可以访问对接服务器的IP地址和指定端口。 操作步骤 在MRS Manager，单击“系统设置”。 1. 在“配置”区域“监控和告警配置”下，单击“Syslog配置”。 “Syslog服务”的开关默认为关闭，单击启用Syslog服务。 2. 设置如下表所示的对接参数。 详见下表：对接参数 参数区域 参数名称 参数说明 Syslog协议 服务IP 设置对接服务器IP地址。 服务端口 设置对接端口。 协议 设置协议类型，取值范围： l “TCP” l “UDP” 安全级别 设置上报消息的严重程度，取值范围： l “Informational” l “Emergency” l “Alert” l “Critical” l “Error” l “Warning” l “Notice” l “Debug” Facility 设置产生日志的模块。 标识符 设置产品标识，默认为“MRS Manager”。 报告信息 报文格式 设置告警报告的消息格式，具体要求请参考界面帮助。 报告告警类型 设置需要上报的告警类型。 l “故障”表示Manager产生告警时会上报Syslog告警消息。 l “清除”表示清除Manager告警时会上报Syslog告警消息。 l “事件”表示Manager产生事件时会上报Syslog告警消息。 报告告警级别 设置需要上报的告警级别。支持“提示”、“一般”、“严重”和 “致命”。 未恢复告警上报设置 周期上报未恢复告警 设置是否按指定周期上报未清除的告警。“周期上报未恢复告警”的开关默认为关闭，单击启用此功能。 间隔时间（分钟） 设置周期上报未恢复告警到远程Syslog服务的时间间隔，当“周期上报未恢复告警”开关打开时启用。单位为分钟，默认值为“15”，取值范围为5分钟到一天（1440分钟）。 心跳设置 上报心跳 设置是否开启周期上报Syslog心跳消息。“周期上报未恢复告警”的开关默认为关闭，单击启用此功能。 心跳周期（分钟） 设置周期上报心跳的时间间隔，当“上报心跳”开关打开时启用。单位为分钟，默认值为“15”，取值范围为160。 心跳报文 设置心跳上报的内容，当“上报心跳”开关打开时启用，不能为空。支持数字、字母、下划线、竖线、冒号、空格、英文逗号和句号等字符，长度小于等于256。 说明：设置周期上报心跳报文后，在某些集群容错自动恢复的场景下（例如主备管理节点倒换）可能会出现报文上报中断的现象，此时等待自动恢复即可。 3. 单击“确定”，设置完成。

统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他账号管理资源等。 使用前您需了解常用的基本概念，包括：帐号、IAM用户、用户组、身份凭证、授权、权限、项目、委托、身份凭证等，详细请查看：术语解释。 IAM应用场景 IAM策略主要面向对同租户帐号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如文件系统的查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的用户名和密码登录云服务平台，实现多用户协同操作时无需分享帐号的密码的安全要求。 场景实例说明请查看：入门说明。 操作步骤 关于IAM功能的操作步骤请参见快速入门统一身份认证（一类节点）。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素"Action""Effect"等更多信息。 系统策略 ：预置的系统策略，您只能使用不能修改，具体说明请查看系统策略。 弹性文件服务预置的系统策略包含如下： sfs admin：弹性文件服务的管理者权限，包含弹性文件服务所有控制权限（不包含订单类权限）。 sfs viewer：弹性文件服务的观察者权限，包含弹性文件服务的列表页与详情页页面权限。 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见创建自定义策略。

本节介绍如何将相关云服务的操作权限委托给态势感知（专业版）。 操作场景 云服务委托可将相关云服务的操作权限委托给态势感知（专业版），让态势感知（专业版）以您的身份使用这些云服务，代替您进行一些任务调度、资源运维等工作。 当您首次使用态势感知（专业版）时，需要先进行委托授权，才能正常访问。 前提条件 已购买态势感知（专业版）。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，进入态势感知（专业版）工作空间页面。 4. 在空间管理页面上方单击“服务委托授权当前租户”，右侧弹出授权页面。 5. 在授权页面中，默认已勾选所需全部权限，请勾选权限下方的“同意授权”，并单击“确认”。

本文介绍为组织或成员分配权限的方式 创建自定义策略 目前组织策略管理支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。 可视化视图配置自定义策略 1. 进入“组织策略管理>全部策略”页面。 2. 点击“创建自定义策略”按键，进入创建自定义策略页面。 3. 输入策略名称、策略描述等基本信息后，点击“下一步”。 4. 选择“可视化视图”，按页面提示进行选择。 效果：选择“允许”或“拒绝”。 云服务：选择需要进行权限控制的云服务。 说明 1. 此处只能选择一个云服务，如需配置多个云服务的自定义策略，请在完成此条配置后，点击“添加权限”。 2. 暂不支持一个自定义策略同时包含全局级云服务和资源池级云服务。如果需要同时设置全局级服务和资源池级服务的自定义策略，请创建两条自定义策略，便于授权时设置最小授权范围。 3. 操作：根据需求勾选产品的操作权限。 4. 资源：默认配置所有资源。若选择“特定资源”，可以根据目前权限的关联资源路径模板，通过单击“添加资源”来指定需要授权的资源。 5. （可选）选择“JSON视图”，将可视化视图配置的策略内容转换为JSON语句进行检视和编辑，您可以在JSON视图中对策略内容进行修改。 如果您修改后的JSON语句有语法错误，将无法创建策略，可以根据提示信息自行检查并修改内容。 此外，如果将JSON语句重新转换到可视化视图时失败，一般是由于Statement下包含多个不同云服务的Action，和可视化的映射规则不符合，这种情况不会影响策略的正常创建。 6. 点击“保存”，完成自定义策略的创建。

多活数据面性能指标如何？ 应用容灾多活协同其他云产品，用户可以通过查阅天翼云官方文档，了解使用到的产品组件指定规格实例的性能指标。 对于引入多活探针的性能变化，同城场景RT基本没增长，异地场景RT约有1~10ms增长，取决于具体业务与物理距离。 业务如何尽可能平滑地过渡到双活架构？ 业务应用从原有架构向双活扩展时，应以标准化的多环境多步骤的流程进行渐进式迭代，尽可能避免产生大范围影响，从而实现平滑过渡。 多环境 ： 应用发布按标准的日常、预发、灰度、生产等流程进行上线。 多步骤 ： 1. 分析业务现状，明确流量、数据和代码改造点，包括服务拆分、数据拆分、流量染色等。 2. 规划物理架构，开通目标区域、可用区、网络和中间件等资源。 3. 完成架构升级，根据不同改造点兼容性，业务原集群多版本迭代更新。 4. 部署双活集群，对新集群进行复影流量、灰度流量等业务正确性验证。 5. 应用分层切换，微服务、消息、数据库等组件切换多活规则。

本文主要介绍云日志服务中的数据加工常见问题。 基本语法错误 问题：编写了不符合日志加工 DSL语法的加工规则，例如：多或者少写括号、逗号（,），漏打回车符等。 排查方法：通过加工预览检测语法错误，页面会提示SyntaxError等错误信息。 非法运算符 问题：日志加工DSL中所有的操作都需要通过 DSL提供的函数来完成。比如数值运算、比较等操作都需要通过op函数完成，而不能直接使用python运算符。 排查方法：通过加工预览检测运算符等错误；可将算术运算符和比较操作符等运算符替换为DSL提供的函数完成。 调用不存在的函数 问题：调用了不存在的函数，通过加工预览即可检测出来，并提示unknown function。 排查方法：通过加工预览即可检测出是否调用了不存在的函数；建议检查是否拼写错误。 函数参数传递错误 问题：参数类型错误或参数个数错误等，加工预览会有错误结果输出，比如TypeError、ValueError、"xx takes at least x arguments (xx given)"等。 排查方法：通过加工预览和构造测试日志发现参数传递问题。

本节为您介绍云迁移服务CMS中数据库迁移全量、增量及稽核修复相关内容。 能够在以下配置界面对迁移任务进行配置，在“迁移选择”选项，点击“全量”、“增量”或者”稽核修复”即为选择全量、增量迁移或者稽核修复。选择全量迁移时：仅迁移任务发起所处时间点的数据，不会对迁移过程中源库数据发生的变更进行同步；选择增量迁移时：在完成任务发起所处时间的数据后，会对迁移过程中源库发生的数据变更进行迁移；选择稽核修复时：在迁移完成后，会对数据进行一致性校验，并对不一致的数据进行修复。 说明 1. 为保障数据一致性，迁移期间请勿在源库中写入新的数据。如需实现不停机迁移，您需要在配置数据迁移任务时，同时选择全量数据迁移和增量数据迁移。 2. 增量数据迁移会保持同步的状态，所以迁移任务不会自动结束，您需要手动结束迁移任务。 3. 为保障数据一致性，稽核修复期间请勿在源库或目标库写入新数据。

观测现象 通过天翼云搜索控制台的实例监控可以发现，当磁盘使用率过高时，可能会对于业务产生显著的影响。 解决方案 默认情况下，搜索实例会对磁盘使用率进行警戒水位线管理： 1. 低警戒水位线管理：当磁盘使用率达到85%时，无法在此节点分配新的分片。 2. 高警戒水位线管理：当磁盘使用率达到90%时，此时，实例尝试对节点的分片进行重新分配，此时将对实例内所有节点的分片进行影响。 3. 洪泛警戒水位线管理：当磁盘使用率达到95%，此时，将对实例的索引开启强制只读模式（index.blocks.readonlyallowdelete），会严重影响业务的写入，防止资源耗尽引发的实例服务宕机。 因此，当磁盘使用率过高时，应该重点注意实例的性能，及时扩容，避免对业务进行影响。此外，也可以及时删除无用的索引，释放磁盘空间。 此时，如果依旧是readonly，需要执行以下操作，恢复实例的写权限： plaintext PUT settings { "index.blocks.readonlyallowdelete": null }

编辑当前实例的参数 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在左侧导航栏选择“实例管理”，单击指定实例名称，进入基本信息页面。 4. 单击左侧导航栏中的“参数修改”，在“参数”页签下根据需要修改相关参数值。 图3 修改当前实例的参数 单击“保存”，在弹出框中单击“确认”，保存修改。 单击“取消”，放弃本次设置。 单击“预览”，可对比参数修改前和修改后的值。 5. 参数修改完成后，您可在“参数修改历史”页面，查看参数的修改详情。 查看参数修改详情的具体操作请参见查看参数修改历史。 注意 参数模板修改后，会立即应用到当前实例。 根据参数列表中“是否需要重启”提示，进行相应操作： 是：在实例列表中，查看“运行状态”，如果显示参数模板变更，等待重启，则需重启实例使之生效。 否：无需重启，立即生效。

说明：本章节会介绍如何对数据库实例绑定公网IP 操作场景 关系型数据库实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。关系型数据库服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 注意事项 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系型数据库在同一区域的弹性云服务器上。 绑定弹性公网IP 步骤 1 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 2 在左侧导航栏，单击“弹性公网IP”，单击“绑定弹性公网IP”。 步骤 3 在弹出框的弹性公网IP地址列表中，选择目标弹性公网IP，单击“确定”，提交绑定任务。 如果没有可用的弹性公网IP，您可单击“查看弹性公网IP”，获取弹性公网IP。 步骤 4 在“弹性公网IP”页面，查看绑定成功的弹性公网IP。 您也可以在“任务中心”页面，查看“实例绑定弹性公网IP”任务的执行进度及结果。

本文主要介绍云专线相关术语解释。 什么是物理专线？ 物理专线是对接入点和本地数据中心之间建立的网络线路的抽象，以方便对线路进行管理。您需要通过一条租用运营商的运营物理专线将本地数据中心连接到接入点，建立专线连接。 普通用户可以申请普通物理专线和托管物理专线。 普通物理专线即运营物理专线，是端口带宽资源被用户独占的物理专线，此种类型的只允许用户创建一个虚拟接口。 托管物理专线即租户物理专线，是多个用户共享端口资源的物理专线。此种类型的物理专线允许用户创建多个虚拟接口接入用户的多个VPC。 什么是MSTP专线？ 是指利用多业务传送节点（MSTP）技术，依托中国电信传送网，为客户提供具有灵活调整带宽和以太网接入功能，接入速率在2M到1000M之间的数据专线业务，带宽调整颗粒为2M（VC12）。 什么是MPLSVPN专线？ 是依托于中国电信CN2承载网，采用多协议标记交换（MPLS）方式，为客户在多个节点间实现IP虚拟专网功能，提供安全的IPv4和IPv6数据信息传输服务。 什么是VPC 地址？ VPC地址是用来管理虚拟机网络平面的一个网络，可以提供IP地址管理、DHCP访问、DNS服务，子网内的虚拟机IP地址都属于该子网，此网段不能与远端地址重复。

资源预览界面显示当前分组中包含的资源类型、每个类型下包含的资源总数、。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 单击“服务列表 > 云监控服务”。 4. 单击页面左侧的“资源分组”，进入“资源分组”页面。 5. 单击资源分组列表中的其中一个分组名，进入分组资源概览界面。

本文主要介绍如何管理公共镜像。 公共镜像概述 公共镜像是由天翼云官方提供的镜像，适配了弹性云主机兼容性并安装了必要的初始化插件，所有用户均可使用，涵盖大部分主流操作系统。 公共镜像类型包含Windows、CentOS、Ubuntu、Debian等，您可以根据实际需要选择。在使用过程中，如果遇到操作系统类问题，您可以联系开源社区获得技术支持。同时，天翼云也会提供相应的技术协助。 公共镜像中集成了一些服务器的网络以及用户基本功能正常使用所依赖的相关插件，如CloudInit或CloudbaseInit、一键式重置密码插件、网卡多队列插件等。 说明 这些插件为弹性云主机功能保障的基本插件，请勿做删除或者修改操作，否则会影响您的基本功能使用。 已知问题 GPU云主机 VNC登录时候回显信息为Guest has not initialized the display (yet) GPU云主机在使用镜像时候可能会在远程登录时候显示Guest has not initialized the display (yet)，这时候按ctrl+alt+1组合键即可解决。

本文介绍弹性IP的产品优势。 灵活绑定 支持弹性IP灵活绑定云资源。您可以根据需要把弹性IP绑定到弹性云主机上，以实现随时访问公网的目的，还可以绑定NAT网关实例、弹性负载均衡实例，实现多云主机共享弹性IP访问公网。 如果您遇到实例出现故障的情况，弹性IP支持快速解绑故障实例。解绑故障实例后，此弹性IP支持您再次绑定到正常实例上继续使用， 如果您不再需要弹性IP服务，可以通过释放的方式停止计费。 支持IPv4、IPv6双栈访问公网能力 弹性IP提供IPv4访问公网能力，IPv6带宽提供IPv6访问公网能力，可以满足不同业务场景下的公网带宽需求。 网络适配 不同业务场景对弹性IP所需带宽规格要求不同，您可以根据需要灵活调整网络带宽，实现带宽变配。 独立管理 在天翼云控制台，支持对弹性IP生命周期的独立管理。您可以在控制台自行查看弹性IP的状态、绑定情况、带宽大小、到期时间等基本信息。您还可以对选中的弹性IP进行绑定、解绑。根据弹性公网IP的使用需要，您可以直接在控制台进行续订或释放。 计费多样 弹性公网IP支持多种计费方式，您可以根据需要选择包年包月计费，还可以选择按使用时间或实际产生的流量进行计费。 如果您选择包年包月和按需计费，此时IP地址不收费，只收取独享带宽费用。另外，按需计费的弹性IP可加入共享带宽，一个共享带宽允许多个弹性IP同时加入。弹性IP加入共享带宽后，只收取共享带宽的带宽费用。其他更多计费说明请参见计费模式。

通过查看数据库安全审计实例的概览信息，您可以查看实例的基本信息、网络配置信息和关联数据库信息。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 操作步骤 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 实例列表”，进入实例列表界面。 5. 单击需要查看信息的实例名称，进入实例概览页面。查看实例的“基本信息”、“网络配置信息”和“关联数据库”，相关参数说明如下所示。 实例概览信息参数说明 类别 参数名称 说明 基本信息 实例名称 实例的名称。单击名称后的可以修改实例名称。 基本信息 状态 实例当前的运行状态，包括： 运行中 创建中 故障 已关闭 已冻结 公安冻结 违规冻结 未实名认证冻结 合作伙伴冻结 创建失败 基本信息 实例ID 实例的ID，由系统自动生成。 基本信息 可用区 实例所在的可用区。 基本信息 版本 当前实例的版本。 基本信息 备注 实例的备注信息。单击备注后的可以修改备注信息。 基本信息 性能规格 实例的性能规格。 基本信息 计费模式 实例的计费模式。 基本信息 创建时间 实例创建的时间。 基本信息 企业项目 实例所属的企业项目。 基本信息 剩余天数 实例可以使用的剩余天数。 网络配置信息 虚拟私有云 实例所在的虚拟私有云。 网络配置信息 安全组 实例所在的安全组。 网络配置信息 子网 实例所在的子网。 网络配置信息 内网IP 实例的IP地址。 关联数据库 实例已关联的数据库信息。 单击“管理数据库”，跳转到数据库列表页面。

本节基于天翼云分布式缓存服务实践所编写，用于指导您在以下场景使用DCS实现排行榜功能。 场景介绍 在网页和APP中常常需要用到榜单的功能，对某个keyvalue的列表进行降序显示。当操作和查询并发大的时候，使用传统数据库就会遇到性能瓶颈，造成较大的时延。 使用分布式缓存服务（DCS）的Redis版本，可以实现一个商品热销排行榜的功能。它的优势在于： 数据保存在缓存中，读写速度非常快。 提供字符串（String）、链表（List）、集合（Set）、哈希（Hash）等多种数据结构类型的存储。 实践指导 1. 准备一台弹性云主机（ECS），选择Windows系统类型。 2. 在ECS上安装JDK1.8以上版本和Eclipse，下载jedis客户端（点此处直接下载jar包）。 3. 在天翼云控制台购买DCS缓存实例。注意和ECS选择相同虚拟私有云、子网以及安全组。 4. 在ECS上运行Eclipse，创建一个java工程，为示例代码创建一个productSalesRankDemo.java文件，并将jedis客户端作为library引用到工程中。 5. 将DCS缓存实例的连接地址、端口以及连接密码配置到示例代码文件中。 6. 编译并运行得到结果。 代码示例 package dcsDemo02; import java.util.ArrayList; import java.util.List; import java.util.Set; import java.util.UUID; import redis.clients.jedis.Jedis; import redis.clients.jedis.Tuple; public class productSalesRankDemo { static final int PRODUCTKINDS 30; public static void main(String[] args) { //实例连接地址，从控制台获取 String host "192.168.0.246"; //Redis端口 int port 6379; Jedis jedisClient new Jedis(host, port); try { //实例密码 String authMsg jedisClient.auth(""); if (!authMsg.equals("OK")) { System.out.println("AUTH FAILED: " + authMsg); } //键 String key "商品热销排行榜"; jedisClient.del(key); //随机生成产品数据 List productList new ArrayList<>(); for(int i 0; i sortedProductList jedisClient.zrevrangeWithScores(key, 0, 1); for(Tuple product : sortedProductList) { System.out.println("产品ID： " + product.getElement() + ", 销量： " Double.valueOf(product.getScore()).intValue()); } System.out.println(); System.out.println(" "+key); System.out.println(" 前五大热销产品"); //获取销量前五列表并输出 Set sortedTopList jedisClient.zrevrangeWithScores(key, 0, 4); for(Tuple product : sortedTopList) { System.out.println("产品ID： " + product.getElement() + ", 销量： " Double.valueOf(product.getScore()).intValue()); } } catch (Exception e) { e.printStackTrace(); } finally { jedisClient.quit(); jedisClient.close(); } } }

本节主要介绍导入和导出安全组规则。 使用说明 在需要快速恢复或者创建安全组规则时，可以通过导入安全组规则的功能将导出的安全组规则文件导入到安全组中。 在需要对已有安全规则进行备份时，可以通过导出安全组规则的功能将对应安全组下的规则导出EXCEL或者JSON文件。 默认的安全组不支持导出安全组规则的操作。 在使用导入安全组规则时会创建一个新的安全组。 导出安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，查看当前用户已有安全组。 3. 选中所要导出安全组规则的安全组，在操作栏中单击【导出】，在弹出栏中选择导出的文件格式“EXCEL格式”或者“JSON格式”，单击对应的格式即可完成导出安全组规则，导出文件会自动下载到本地电脑。 导入安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，单击【导入安全组】，在弹出栏中选择导入的安全组规则的格式“EXCEL格式”或者“JSON格式”。 3. 在弹出框中填入对应的参数和上传对应的安全组规则文件，单击【点击上传】把对应的安全组规则文件进行上传。 导入安全组规则参数说明： 参数 说明 安全组名称 自定义导入的安全组规则所对应的安全组名称。 配置文件 安全组规则的配置文件，若选择EXCEL格式则上传EXCEL格式的文件，若选择JSON格式则上传JSON格式的文件。 描述 可选项，对当前导入安全组规则对应的安全组的描述信息。 4. 配置相关的参数后，单击【确认】执行导入。 注意 如选择EXCEL格式上传，请先下载EXCEL上传模板，严格按照模板填写要求填写出入方向安全规则，否则会导入失败，填写完后再点击上传导入。