策略名称 描述 限流 通过配置限流策略，您可以在指定时间窗口内的配置请求数量，那么在时间窗口内超出阈值的请求将被阻止，以此来确保后端服务始终可用。 重写 通过配置重写策略，网关可以在请求被网关转发至目标服务之前修改请求路径和主机域，确保请求被正确路由到合适的服务或端点。 Header设置 通过配置Header设置，网关可以在请求转发至目标后端服务之前修改原始请求的头信息，或者在后端服务的响应返回给客户端之前修改响应的头信息。 跨域 通过配置跨域策略，可以在服务端启用跨域资源共享（CORS，CrossOrigin Resource Sharing），允许Web应用服务器进行跨域访问控制，实现安全的数据传输。 ProxyCookie设置 该配置支持对上游响应SetCookie头部重写，当前支持对SetCookie头部里的Domain和Path进行重写。 Query参数设置 您可以设置请求Query参数的新增、修改和删除三种修改方式，并配置具体的参数名和参数值。网关将对原始请求的Query参数进行新增或修改或删除后，转发到后端目标服务中。 外部认证授权 该配置支持通过第三方外部服务进行身份认证与授权。当身份认证失败时，可以实现自定义错误或者重定向到认证页面的场景。 熔断设置 该配置支持在触发上游服务不健康状态时进行熔断，从而保护上游业务服务。 黑白名单 云原生网关支持通过配置IP黑名单和白名单的方式限制客户端访问网关；黑白名单不能同时开启，同时只有一种能生效。 防重放 通过验证请求的唯一性（如时间戳、序列号等）防止攻击者重复发送已截获的合法请求，避免重复操作或数据异常。

问题现象 您已经试图将服务消费者和服务提供者注册到Eureka，但服务消费者获取不到提供者地址，报错Load balancer does not have available server for client: {yourservicename}，如下图所示。 问题原因 服务名为{yourservicename}的服务在Eureka中不存在或健康状态不为健康。 解决方案 检查您服务名为{yourservicename}的服务注册情况。确保客户端成功注册，注册成功后，客户端将打印如下日志。 注册完成后，到Eureka控制台再次确认服务的注册情况，在服务管理服务列表可以看到注册的服务，点击服务详情，可以查看对应的ip端口信息。 当服务消费者和服务提供者均在Eureka注册成功，在控制台服务列表中显示时，服务调用才有可能成功。 如何解决消费者无法获取最新提供者信息的问题？ 问题现象 您已经试图将服务消费者和服务提供者注册到Eureka，且在Eureka控制台已确保服务被成功注册，但仍报错Load balancer does not have available server for client: {yourservicename}，如下图所示。 或是您的服务提供者信息（如：地址）发生了变化，但消费者从服务端获取到的仍为旧信息，导致服务调用失败。 问题原因 正常配置下，Eureka客户端会以一定的时间间隔定期向服务端获取服务的增量更新信息。当服务消费者端的数据获取间隔（eureka.client.registryfetchintervalseconds）设置过长时，消费者将无法及时感知到服务端最新数据的更新。

本节主要介绍如何使用API删除Pushgateway监控配置。 此操作用来删除Pushgateway监控配置。 注意 如果删除了“指标必须具备的label”，可能会造成相关监控数据无法识别的风险。 请求语法 plaintext DELETE /rest/v1/system/config/monitor?serverIdserverid1,serverid2,serveridN HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "pushgateway":address:port, "pushgatewayLabels": [ "key1", "key2", "key3", ... ] "collectMetric": name, "collectMetricItems": [ "item1", "item2", "item3", ... ], } 请求参数 参数 类型 描述 是否必须 serverId String 指定要删除Pushgateway监控配置的HBlock服务器ID。一次可以指定多个HBlock服务器的ID，以英文逗号（,）分开。如果不填写，默认为所有HBlock服务器删除指定的Pushgateway监控配置。 否 pushgateway String 指定Pushgateway的地址和接口。 取值：格式为IPv4 :port 、[IPv6 ]:port 或者domainname :port。 是 pushgatewayLabels Array of pushgatewayLabel 指定Pushgateway对应的标签值。 取值：label项。 否 collectMetric String 指定采集的监控指标。 取值为：server、fileSystem、interface、load、disk、tcp、os。 默认删除的上述所有监控指标。 否 collectMetricItems Array of collectMetricItem 指定监控指标下的配置项。 否 请求示例1 为服务器hblock1、hblock2删除相关的Pushgateway监控配置：标签为agent、idc，监控指标为disk，监控指标配置项为pstore、devpts。 plaintext DELETE /rest/v1/system/config/monitor?serverIdhblock1,hblock2 HTTP/1.1 Date: Fri, Fri, 24 May 2024 07:01:39 GMT ContentType: application/json; charsetutf8 Authorization: HBlock userName:signature ContentLength: 216 Host: 192.168.0.110:1443 { "pushgateway": "192.168.0.1:9091", "pushgatewayLabels": [ "agent", "idc" ], "collectMetric": "disk", "collectMetricItems": [ "pstore", "devpts" ] }

视频通道 IPC或NVR设备上视频信号输入的物理位置。一般IPC具备单个/多个视频通道，NVR具备多个视频通道。 RTMP RTMP（Real Time Messaging Protocol）实时消息传输协议的首字母缩写。该协议基于TCP，是一个协议族，包括RTMP基本协议及RTMPT/RTMPS/RTMPE 等多种变种。RTMP是一种设计用来进行实时数据通信的网络协议，主要用来在Flash/AIR平台和支持RTMP协议的流媒体/交互服务器之间进行音视频和数据通信。 RTSP RTSP（Real Time Streaming Protocol），RFC2326，实时流传输协议，是TCP/IP协议体系中的一个应用层协议，由哥伦比亚大学、网景和RealNetworks公司提交的IETF RFC标准。该协议定义了一对多应用程序如何有效地通过IP网络传送多媒体数据。 GA/T 1400 GA/T 1400与GB/T 28181有共性的地方，比如设备编码规范、信令交互规范等， GB/T 28181定义的是视频联网，GA/T 1400定义的是图片传输，应用最多的是IPC传输图片及相关信息到后端设备/平台，以及视图库平台与平台对接等，比如人脸抓拍机传输人脸图片、人脸特征等到人脸应用平台，车辆抓拍机传输车辆图片、车牌信息到车辆卡口平台。 EHOME EHOME协议是海康威视基于移动监控场景下开发的设备主动注册协议，支持实时预览、录像回放、对讲、报警、定位等功能。EHOME协议不仅实现了GB28181里所有的功能，并且在海康的不同类型设备上支持了其自定义的场合下的功能特性。包括智能报警、在低功耗场景下的设备控制及公网环境下的语音对讲指挥等场景都比GB28181协议更完善。

实例概览功能支持实例健康度评分、新增异常趋势与相关性能监控，方便用户快速定位数据库实例存在的缺陷。 前提条件 仅限来源为天翼云RDS的MySQL数据库。 已录入DMS中，且实例状态正常的数据库实例。 注意事项 实例的健康评分根据异常信息计算得出，具体详见评分规则。 已退订实例若仍在DMS实例列表中，将予以保留，删除操作详见删除实例。 单用户仅支持最多500个实例的健康排行。 单次创建健康报告仅支持最多100个实例。 操作步骤 1. 登录数据管理服务。 2. 在左侧导航栏中，单击 智能运维 > 实例概览，进入实例概览界面，查看异常趋势与健康排行。 功能介绍 实例排行功能支持用户查看指定时间区间的实例健康评分与新增异常趋势，快速定位数据库实例存在的缺陷。 异常趋势 1. 单击右上角时间筛选框，选定查询开始时间与结束时间，单击查询。 2. 支持统计查询时间范围内未解决和已解决的异常数量，并统计近24小时的新增异常趋势。 3. 支持展示查询时间范围内未解决的异常通知项。 健康排行 1. 单击右上角时间筛选框，选定查询开始时间与结束时间，单击查询。 2. 查看实例在指定时间区间的状态、健康评分与性能监控，并根据健康评分从小到大排序。 3. 支持根据资源池地址、数据库类型、实例名称与节点IP筛选实例。 4. 支持选中多个实例创建健康报告，生成的报告支持在线预览与下载导出。 说明 健康度评级规则 健康：分数 > 90 危险：60 < 分数 ≤ 90 高危：分数 ≤ 60

本文介绍了云防火墙（原生版）产品的使用限制。 C100使用限制 扩展包上限 防护互联网边界的流量峰值： 高级版：10Mbps~2000Mbps。 企业版：50Mbps~2000Mbps 防护互联网边界公网IP数： 高级版：20个~1000个。 企业版：50个~1000个。 访问控制规则上限 互联网边界防火墙和VPC边界防火墙分别支持10000条访问控制规则。 规避架构风险 使用限制条款 合规落地措施 违规风险 公网ELB 和后端云主机在不同子网 部署时通过控制台校验：公网ELB 选择 “公共子网”，后端 ECS 选择 “业务子网” 流量可能绕开云防火墙，导致防护失效；单点故障时影响范围扩大 绑定EIP 的 ECS 与 NAT 访问的 ECS 在不同子网 1. 绑定 EIP 的 ECS 仅部署在 “公共子网”，NAT 访问的 ECS 仅部署在 “业务子网”； 2. 通过 VPC 路由表隔离：公共子网无指向 NAT 网关的路由，业务子网无直接指向互联网的路由 出访流量路径混乱，无法通过NAT 网关或云防火墙统一管控与审计 子网专项需求（NAT 子网 28 位、公共子网按需、2 个引流子网 28 位） 1. 子网创建时严格按规格配置，禁止随意扩大 / 缩小网段； 2. 通过子网名称规范化标识（如 “NATGWSubnet10.0.1.0/28”“GWLBEInboundSubnet10.10.0.0/28”） 子网地址耗尽；引流子网规格不匹配导致GWLBE 无法正常接收流量 安全产品单独在一个子网 1. 安全产品（如等保专区）仅部署在 “安全产品子网”； 2. 安全产品子网的安全组仅开放与云防火墙的通信端口，禁止其他子网直接访问 安全产品被业务流量干扰；安全产品自身被攻击风险升高

产品能力 简要说明 用户身份管理和访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 通过STS（Security Token Service）给第三方应用或用户授予一个自定义时效的临时访问凭证，无需透露用户自身的AK/SK。 通过Bucket访问权限控制，可以对Bucket设置访问权限，包括公共读写、公共读、私有。 通过Bucket Policy功能授权IAM用户或其他用户访问您的OOS资源，例如向特定用户授予访问权限，以及向匿名用户授予带特定IP条件限制的访问权限。 为了防止用户在OOS的数据被其他人盗链，OOS支持基于HTTP Header中表头字段Referer的防盗链方法，同时支持访问白名单和访问黑名单的设置。 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。OOS支持CORS规范，允许跨域请求访问OOS中的资源。

此小节介绍数据库审计的产品术语。 Agent 本文中所述的Agent指的是审计代理插件，是安装在数据库系统或者业务系统上的插件，其功能是捕获访问数据库系统的数据包，并将数据包发送至数据库审计。 Kafka Kafka是一种高吞吐量的分布式发布订阅消息系统，可以处理消费者规模的网站中所有动作流数据。这些数据通常由于吞吐量要求而通过处理日志和日志聚合来解决。 SNMP SNMP是简单网络管理协议（Simple Network Management Protocol）的简称，是标准IP网络管理协议，支持目前主流的网络管理系统。 SQL SQL是结构化查询语言（Structured Query Language）的简称，是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统；同时也是数据库脚本文件的扩展名。 Syslog Syslog是一种行业标准的协议，可用来记录设备的日志。Syslog日志消息既可以记录在本地文件中，也可以通过网络发送到接收Syslog的服务器。服务器可以对多个设备的Syslog消息进行统一的存储，或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。 数据库 数据库（Database）是用于存放数据的仓库，按照一定的数据结构（即数据的组织形式或数据之间的联系）来组织、存储，用户可以通过数据库提供的多种方法来管理数据库中的数据。 规则 本文中所述的规则是指根据一些特征（如客户端、服务端、SQL语句）定义的危险行为（安全规则）及可以信任的行为（过滤规则）。当系统审计到对数据库的操作匹配安全规则时会触发告警，对于匹配过滤规则的行为则不进行审计。

本文介绍如何采集指定虚拟节点的Metrics。 本文介绍如何通过修改Prometheus监控配置来采集虚拟节点的Metrics。 背景信息 在天翼云Serverless集群虚拟节点的架构设计下，同一Serverless集群内的多个虚拟节点会共享同一个Node IP。由于Prometheus常通过Kubelet Service采集所有节点的Metrics，采集单个虚拟节点的数据会返回所有虚拟节点的全量数据，因此会出现Metrics重复的现象。为了解决这个问题，Serverless集群提供了采集指定虚拟节点的Metrics数据的能力，不但保留了原有的采集端点 :10250/metrics/cadvisor，并且会过滤指定nodeName的数据，避免重复采集数据。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 修改Prometheus监控配置 您可以通过修改监控配置来采集指定虚拟节点的Metrics。Serverless集群支持ccsemonitor插件以及开源Prometheus场景下的配置方式。 Serverless集群安装ccsemonitor插件后配置默认支持采集虚拟节点的Metrics，无需额外操作。开源Promethues配置参考如下： shell scrapeconfigs: ... jobname: cadvisor honortimestamps: true scrapeinterval: 40s scrapetimeout: 10s metricspath: /metrics scheme: https kubernetessdconfigs: role: node bearertokenfile: /var/run/secrets/kubernetes.io/serviceaccount/token tlsconfig: cafile: /var/run/secrets/kubernetes.io/serviceaccount/ca.crt insecureskipverify: false relabelconfigs: sourcelabels: [ metakubernetesnodelabelkubernetesposeidonctyuncncollectorscrape ] regex: true action: keep

本文介绍如何查看集群信息。 Serverless集群提供了细致全面的集群概览展示页，其中包括组件状态、集群资源使用情况等功能板块，可以快速准确地了解集群的健康状态，并提供了集群的基本信息、连接信息、集群资源等相关信息。 查看集群概览 您可以在集群概览页面内查看组件状态、集群资源使用情况等信息。具体操作步骤如下： 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群列表页面中，单击目标集群的名称进入集群详情界面。 4. 单击概览页签，进去集群概览页面，查看集群信息、已安装插件、当前告警、事件等信息。 1. 集群信息 ：显示当前集群包括集群名称、Kubernetes版本、创建时间、API Server端口以及API Server IP等基础信息。 2. 已安装插件 ：展示集群当前已经安装的插件和插件状态。 3. 当前告警 ：自动扫描集群，提供集群告警、节点告警以及组件告警等信息， 及时提示您存在的潜在风险以便避免业务受损。 4. 事件 ：显示当前集群的日志信息。 查看基本信息 单击基本信息页签，可以查看集群名称、状态、时区、区域以及是否开启集群删除保护等基本信息。同时可以查看API Server 公网连接端点、API Server 内网连接端点以及Service CIDR等集群信息。

Part2：CDN控制台源站配置 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【回源配置】。 5. 在【源站】模块，选择源站类型。 6. 按需选择： 【媒体存储源站】：在【源站】行输入媒体存储Bucket域名（回源域名），在【层级】行选择“主”，在【权重】行输入权重值。 【IP或域名】：在【源站】行输入源站地址（客户源站），在【层级】行选择“备”，在【权重】行输入权重值。 说明 CDN控制台配置客户源站为备源，可以防止当媒体存储异常时，通过CDN回源主备重试机制，确保回源成功，实现回源高可用性。 注意事项 镜像源回客户源的触发条件默认为HTTP 404状态码。 媒体存储回源规则是存储桶级别的，目前单个桶的回源地址只能设置一个。 媒体存储暂不支持源站文件是使用TransferEncoding: chunked方式进行数据传输的，即从源站下载对象的响应中必须包含ContentLength这个头部来表明源对象大小，否则无法判定源站文件是否完整下载。 CDN控制台配置时，如客户在媒体存储新建Bucket时，【权限】选择的是私有，则只有该Bucket的拥有者或被授权者可以对该存储空间内的文件进行读写操作。可通过CDN控制台，在【域名列表】>【回源配置】>【私有Bucket回源】添加AK(Access Key），SK(Secret Access Key)等信息，并提交保存。

参数 描述 虚拟私有云 文档数据库实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。您需要创建或选择所需的虚拟私有云。 说明 实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 实例创建成功后，可以修改子网分配的内网地址。 说明 目前支持选择IPV4和IPV6网段的子网。 内网安全组 内网安全组限制安全访问规则，加强文档数据库服务与其它服务间的安全访问。 说明 请确保所选取的安全组允许客户端访问数据库实例（如协议选择为TCP，方向选择为入方向，端口设置为8635，源地址设置为实例所属子网或所属安全组）。 数据库端口 数据库端口默认8635，实例创建成功后可修改。文档数据库服务访问的数据库端口与数据库缺省值有区别，且需在安全组中添加相应规则，以免影响使用。 跨网段访问配置 现在设置 通过内网连接副本集实例时，当客户端和副本集实例部署在不同网段时，且客户端所在的网段不在“192.168.0.0/16”，“172.16.0.0/24”和“10.0.0.0/8”时，需要进行跨网段访问配置，以实现网络互通。 说明 源端ECS连接实例的前提是与实例节点网络通信正常，如果网络不通，可以配置“对等连接”。 跨网段访问配置当前最多可支持配置9个源端网段， 源端网段之间允许重叠但不能重复。即设置的源端网段之间可以有交集但不能完全一样，禁止使用127开头的网段，允许的IP掩码范围为832。 创建后设置 暂不配置源端对应网段。 IPV6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 企业项目 该参数针对企业用户使用，如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 请在下拉框中选择所在的企业项目，其中，default为默认项目。

本节介绍了初始化Windows数据盘（Windows 2016）的相关内容。 操作场景 本文以云主机的操作系统为“Windows Server 2016 Standard 64bit”为例，提供磁盘的初始化操作指导。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。具体操作请参见“初始化容量大于2TB的Windows数据盘（Windows 2008）”。关于磁盘分区形式的更多介绍，请参见“初始化数据盘场景及磁盘分区形式介绍”。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 注意 首次使用磁盘时，如果您未参考本章节对磁盘执行初始化操作，主要包括创建分区和文件系统等操作，那么当后续扩容磁盘时，新增容量部分的磁盘可能无法正常使用。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 弹性云主机请参见《弹性云主机用户指南》。 物理机服务器请参见《物理机用户指南》。 操作指导 1.在云主机桌面，单击左下方开始图标。弹出Windows Server窗口。 2.单击“服务器管理器”。弹出“服务器管理器”窗口，如下图所示。 图 服务器管理器 3.“服务器管理器”页面右上方选择“工具 > 计算机管理”。弹出“计算机管理”窗口，下图所示。 图 计算机管理 4.选择“存储 > 磁盘管理”。 进入磁盘列表页面，存在未初始化的磁盘时，系统会自动弹出“初始化磁盘”对话框，如下图所示。 图 磁盘列表 5.在“初始化磁盘”对话框中显示需要初始化的磁盘，此处以选择“GPT（GUID分区表）”为例，单击“确定”。返回“计算机管理”窗口，如下图所示。 图 计算机管理(Windows 2016) 注意 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，当前数据盘支持的最大容量为32 TB，如果您需要使用大于2 TB的磁盘容量，分区形式请采用GPT。 当磁盘已经投入使用后，此时切换磁盘分区形式时，磁盘上的原有数据将会清除，因此请在磁盘初始化时谨慎选择磁盘分区形式。 6.在磁盘1右侧的未分配的区域，右键单击选择“新建简单卷”。弹出“新建简单卷向导”窗口，如下图所示。 图 新建简单卷向导(Windows 2016) 7.根据界面提示，单击“下一步”。进入“指定卷大小”页面，如下图所示。 图 指定卷大小(Windows 2016) 8.指定卷大小，系统默认卷大小为最大值，您还可以根据实际需求指定卷大小，此处以保持系统默认配置为例，单击“下一步”。进入“分配驱动器号和路径”页面，如下图所示。 图 分配驱动器号和路径(Windows 2016) 9.分配到驱动器号和路径，系统默认为磁盘分配驱动器号，驱动器号默认为“D”，此处以保持系统默认配置为例，单击“下一步”。进入“格式化分区”页面，如下图所示。 图 格式化分区(Windows 2016) 10.格式化分区，系统默认的文件系统为NTFS，并根据实际情况设置其他参数，此处以保持系统默认设置为例，单击“下一步”。进入“完成新建卷”页面，如下图所示。 图 完成新建卷(Windows 2016) 注意 不同文件系统支持的分区大小不同，请根据您的业务需求选择合适的文件系统。 11.单击“完成”。需要等待片刻让系统完成初始化操作，当卷状态为“状态良好”时，表示初始化磁盘成功，如下图所示。 图 初始化磁盘成功(Windows 2016) 12.新建卷完成后，单击下方任务栏中，在文件资源管理器中查看是否有新建卷，此处以“新建卷（D:）”为例。单击“此电脑”，若下图所示，可以看到“新建卷（D:）”，表示磁盘初始化成功，任务结束。 图 文件资源管理器(Windows 2016)

本节为您介绍天翼云CTRDS PostgreSQL为源的迁移任务源端配置。 前提条件 （1）天翼云CTRDS PostgreSQL数据库的源端版本为12.x、13.x、14.x版本。 （2）天翼云CTRDS PostgreSQL数据库WAL日志设置wallevellogical，且maxreplicationslots大于10。 （3）目标端数据库的存储空间必须大于源端数据库所占用的存储空间。 （4）增量数据迁移期间，CMS会在源库中创建后缀为cloudlogslot的replication slot用于复制数据。 （5）任务完成后会主动删除该replication slot，如果您在迁移期间修改了数据库密码，或者删除了访问IP白名单，则会导致该replication slot无法自动删除，此时需要您在源库手动删除，避免其持续累积占用磁盘空间导致RDS PostgreSQL实例不可用。 （6）如果天翼云CTRDS PostgreSQL发生了主备切换，则需要您登录备库来手动清理。 使用限制 无主键表仅支持全量迁移，但不支持增量迁移和稽核修复； 迁移过程中，可迁移源端数据库的表结构、全量数据和增量数据； 目标库非自建PostgreSQL的情况下，结构迁移仅支持迁移表结构。 源端权限要求 迁移模式 所需权限 基础权限 模式层级：USAGE 表层级： SELECT 全量迁移 需具备基础权限 结构迁移 需具备基础权限 增量迁移 需具备基础权限，且用户为超级用户或者复制角色 复制角色赋予方法：alter user 用户名 with replication 稽核修复 需具备基础权限 源端配置请参照自建PostgreSQL为源的迁移任务源端配置。

约束与限制 请确保云主机所在的子网已开启IPv6功能。 请确保云主机规格支持IPv6功能。 请确保创建云主机时已选择“自动分配IPv6地址”。 同一个网卡上，只能绑定一个IPv6地址。 Windows 操作系统操作步骤 1. 右键单击网络连接图标（通常位于任务栏右下角），选择“打开网络和共享中心”。 2. 在左侧面板中，选择“更改适配器设置”。 3. 找到您要配置IPv6地址的网络适配器，右键单击并选择“属性”。 4. 在属性窗口中，找到“Internet 协议版本 6 (TCP/IPv6)”并选中它，然后点击“属性”。 5. 在弹出的窗口中，选择“使用以下 IPv6 地址”，并在“IPv6 地址”字段中输入您希望配置的IPv6地址。 6. 输入子网前缀长度（通常为64位），并可以选择是否使用默认网关等选项。 7. 确认设置后，点击“确定”来应用更改使您的IPv6地址配置生效。 Linux 操作系统操作步骤 1. 打开终端。 2. 输入以下命令来配置IPv6地址，其中INTERFACENAME是您要配置的网络接口名称，IPv6ADDRESS是您希望配置的IPv6地址，PREFIXLENGTH是子网前缀长度。 plaintext sudo ip addr add IPv6ADDRESS/PREFIXLENGTH dev INTERFACENAME 例如： plaintext sudo ip addr add 2001:db8::1/64 dev eth0 3. 输入以下命令以激活网络接口： plaintext sudo ip link set INTERFACENAME up 4. 您可以使用以下命令来验证IPv6地址是否配置成功： plaintext ip addr show INTERFACENAME 或者 plaintext ifconfig INTERFACENAME 创建私有镜像前云主机、物理机或镜像文件需要完成哪些初始化配置？

激活远程桌面服务 1.使用管理员账号登录服务器。 2.选择“开始 > 管理工具 > 远程桌面服务 >RD授权管理器”，打开RD授权管理器界面。 3.选择未激活的目标服务器，鼠标右键选择“激活服务器”。 4.打开服务器激活向导界面，连接方法选择“Web浏览器”。 5.在激活向导页面选择复制产品ID，并且进入微软官网进行激活操作。 6.在网页中选择Chinese(Simplified)简体中文，进入下一步。 6.输入第五步中的产品ID和公司信息，进入下一步。 7.获取许可证ID，妥善保存此ID后，进入下一步。 8.在授权信息处的许可证程序，选择“企业协议”，填写公司信息后，进入下一步。 9.在产品类型处选择“ Windows Server 2016 远程桌面服务每用户客户端访问许可证”，数量选择“9999”，填入企业协议号（需购买后获取），点击下一步。 说明 企业协议号码需提前向第三方平台申购获取官方远程桌面授权许可。 10.获取许可证密钥包ID，回到第5步的页面，填入密钥包ID，单击下一步。 12.完成服务器激活。 服务器策略配置 选择指定的远程桌面许可证服务器 1.打开组策略编辑器：使用Win+R快捷键打开“运行”程序，输入“gpedit.msc”。 2.在本地策略组选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 授权”，进入服务器授权许可设置页面。 3.选择”使用指定的远程桌面许可证服务器“，进入设置窗口。 4.在设置窗口勾选“已启用”，并且在“要使用的许可服务器”下填写本地服务器IP。 5.单击“确定”完成配置。

自写训练一个step对应的代码 endtime profiler.gettime() profiler.updatestep(starttime, endtime, iteration) iteration + 1 ... ... · 安装ctcclprofilernet 下载合适版本的ctcclprofiler whl安装包，使用以下命令安装： pip install ctcclprofilernetxxx.whl 通过pip show可以查看安装包的位置，并配置环境变量： pip show ctcclprofilernet export PATH"/usr/local/python3/bin:$PATH" 启动命令： ctcclprofilernet loglevelinfo 下载地址 组件 下载地址 ctccm ctcclprofilercomm ctcclprofilernet 使用流程 1. ctccm启动 在和所有训练任务节点网络互通的节点上，部署1个ctccm服务，并配置好环境变量。使用以下启动命令拉起ctccm服务，根据训练任务节点数实际和需要配置nodes和port。 ctccm nodes “nnodes” port “ctccmslowdetectport” 2. 提前配置ctcclprofiler所需环境变量 配置以下环境变量： export CTCCLQPTIMEREPORT1， export CTCCLSLOWDETECTSERVERADDR“ export CTCCLPROFILERNETADDR“ 3. 启动训练任务和ctcclprofiler 在同一目录下启动ctcclprofilernet服务和执行训练任务。 ctcclprofilernet loglevelinfo bash runllama27bmorenode.sh

项目 约束 计费模式 当前只支持“按需计费”模式。 联邦名称 实例名称不可重复；实例名称长度4~40个字符，大小写字母开头，只能包含大小写字母、数字及分隔符()，大小写字母或数字结尾。 容器舰队 容器舰队可提供多集群的统一管理，包括统一的权限管理、统一的安全策略、统一的配置管理以及统一的多联邦管理、网格等能力。 舰队成员集群与联邦之间若存在跨资源池互通需求，后台默认尝试公网互联方式；若需调整，请在订购后至联邦控制台进行设置。 企业项目 可选择已有企业项目，或者在IAM创建新的企业项目。 虚拟私有云 建议联邦实例与成员集群间网络尽可能同资源池同 VPC，可最大化降低管理流量跨网跨资源池互通的成本。 所在子网 请选择虚拟私有云子网，集群的节点将部署在此子网中，并申请子网的 IP。当子网开启IPv6时，云资源（云主机、物理机）将开启 IPv4/IPv6 双栈。 ApiServer访问 请您根据需求选择合适的ELB规格，系统将据此创建一个私网ELB实例作为 APIServer 的负载均衡器，若删除该ELB实例会导致 APIServer 无法访问。 安全组 可自动生成或者选择已有安全组，需要确保联邦访问端口在虚拟私有云的子网里为放通状态。 是否使用EIP暴露ApiServer 获得您的授权，以委托方式新建 EIP 并按 EIP 实际使用量收费，未开启，无法通过公网访问 APIServer。 删除保护 防止通过控制台或API误删除联邦控制面，删除联邦控制面实例不会对用户容器集群造成任何影响，理论上也不影响已调度完成的应用。

本页面主要介绍了MySQL只读实例和读写分离功能相关的问题。 MySQL实例同步延迟原因与处理 主库执行了大事务，需要等待大事务执行完成，主备复制延迟才能恢复,可以将大事务拆分为小事务，分批执行。 对无主键表更新，需要给无主键表增加主键，给缺少二级索引的表增加索引。 DDL操作，该场景为正常现象，等DDL执行完成后，主备复制延迟才能恢复。建议在业务低峰期执行DDL操作。 只读实例等待MDL锁，kill只读节点上阻塞DDL操作的长事务，或者在业务侧提交该长事务。 只读实例规格小于主实例，只读实例扩大规格，与主实例规格匹配。 MySQL实例支持读写分离吗 开通数据库代理服务后，如果没有订购只读实例或主实例是单实例，通过配置读写分离规则，读写请求实际路由到主实例。 开通数据库代理服务后，如果存在只读实例或主实例非单实例，通过配置读写分离规则，读写请求会按照权重请求到各个实例。 MySQL实例支持分库分表及读写分离的业务功能吗 关系数据库MySQL版支持分库分表及读写分离功能，具体如下： 分库分表功能依赖于分布式关系型数据库（Distributed Relational Database Service，简称 DRDS），解决使用上的性能扩展问题。 关系数据库MySQL版可以最多创建5个只读实例，主实例和只读实例都有独立IP的连接地址。 MySQL实例支持申请多个读写分离地址吗 目前关系数据库MySQL版暂时只支持1个读写分离连接地址。 开通数据库代理服务后，通过配置读写分离规则，读写请求会按照权重请求到各个实例。

威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因，对信息系统造成危害的事件，或对社会造成负面影响的威胁。对于态势感知（专业版）来讲，威胁告警泛指根据大数据分析检测出的，对用户资产产生威胁的安全事件。 事件 事件是一个广泛的概念，可以包括告警，但不限于此，它可以是系统正常操作的一部分，也可以是异常或错误。在运维和安全领域，事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发，也可能由其他因素（如用户操作、系统日志等）引发。 事件的目的是为了记录、分析、报告或审计，通常用于记录和报告系统的历史行为，以便于分析和审计。 告警 告警是运维中的一种异常信号的通知，通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如，当服务器的CPU使用率超过90%时，系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性，能够明确指出异常发生的位置、类型和影响。同时，告警可以按照严重程度来进行分类，如紧急、重要、一般等，以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员，以便能够迅速响应并采取措施解决问题。 当态势感知（专业版）检测到的云资源中存在的异常情况（例如，某个恶意IP对资产攻击、资产已被入侵等）时，将以告警的形式将威胁信息展示在态势感知（专业版）告警管理界面中。

步骤二：链路设置 购买完智能网关实例后，控制台会生成一条智能网关实例资源。首先需要对智能网关硬件进行链路设置，从而保证智能网关实例激活成功。 1. 登录天翼云SDWAN控制台，选择“智能网关”，单击目标智能网关实例“操作”列的“链路设置”； 2. 用户根据实际网络拓扑更改默认链路设置或单击“新建链路”，设置其他端口的传输网络； 3. 单击“确定”，保存链路设置。 步骤三：激活智能网关 1. 登录天翼云SDWAN控制台； 2. 选择“智能网关”，单击目标智能网关实例“操作”列的“更多激活”。激活前，请确保设备状态为“在线”； 3. 根据页面提示，选择设备接入方式，并配置网络； 4. 单击“确定”，开始激活操作； 5. 激活成功后，业务状态变为“已激活”。 步骤四：角色配置 在激活智能网关实例后，需要为智能网关实例设置角色，以便后续配置直连组网。 1. 登录天翼云SDWAN控制台，选择“智能网关”，单击目标智能网关实例“操作”列的“更多角色配置”，进入角色配置页面； 2. 根据页面提示，选择当前设备的角色，并根据实际网络连接情况为端口绑定公网IP； 3. 单击“确定”，完成对当前智能网关实例的角色配置。 步骤五：BGP路由配置 1. 登录天翼云SDWAN控制台，选择“智能网关”，单击目标智能网关实例名称，进入智能网关详情页； 2. 在详情页，单击“BGP路由 >添加”，进入配置BGP路由协议规则界面； 3. 在配置BGP协议页面，根据页面提示配置参数，包括本端AS、Router ID等； 4. 单击“确定”，完成对当前智能网关实例的BGP路由规则配置。

本页介绍天翼云TeleDB数据库状态运行快照。 操作步骤 1. 切换至TeleDB控制台，在左侧导航树单击实例监控 ，选择状态运行快照页签。 2. 快照设置 1. 单击快照设置 ，弹出状态运行快照策略设置对话框。 2. 在状态运行快照策略设置 对话框中，打开运行快照开启状态，输入快照开启时间和快照间隔时间，单击确定完成设置。 3. 手动快照 单击手动快照可立即执行快照。 4. 查询快照列表 可通过设置起始时间和结束时间，单击查询筛选已产生的快照列表。 5. 查看快照详情 单击对应快照记录的详情，可查看该快照的详细信息。 具体内容包括： 数据库状态：节点名称、IP、端口、角色、日志同步状态、运行状态。 数据库核心配置：synchronouscommit、maxpoolsize、autovaccum、maxconnection、workmem、walkeepsegments、vacuumdelta、sharedbuffers的参数值。 数据库连接分析：包括CN和DN的连接情况，如avgconn、avgconnactive、avgconnidle、avgconnlock等。 DataNode节点请求量统计：统计DN节点的增删改查请求量。 数据库检查点：节点的检查点情况，如checkpointstimed、checkpointsreq、数据库vaccum统计和实例vaccum情况等。 存储情况分节点统计：节点的存储情况，如totalsize、totaltups。 慢查询TOP 50：慢查询的TOP 50情况。 错误日志情况：包括错误信息、级别。 buffer命中率分析：包括平均、最大和最小情况。 锁分析（最多展示等待时间最长50条）。 节点CPU/内存利用率概况。 死锁与二事务残留详情。

本文档为制作Linux系统私有镜像指导手册的步骤4,安装QEMUGuestAgent。 操作场景 QEMUGuestAgent（简称qga），是天翼云平台弹性云主机执行关键功能的依赖工具。包括： 云主机重置密码 创建云主机快照 安装QEMUGuestAgent 如果您已经参考步骤2完整安装了全量软件，则可以直接配置cloudinit。 如果您未安装cloudinit，请执行以下命令完成安装。 说明 以下命令均可直接全量复制到命令行执行。 Red Hat系列Linux操作系统使用如下命令 plaintext yum install y qemuguestagent Debian系列Linux操作系统使用如下命令 plaintext apt install y qemuguestagent 配置QEMUGuestAgent 1. 通过执行以下shell命令，完成对qemuga和qemuguestagent.service配置文件的修改。 plaintext 若 /etc/sysconfig/qemuga 文件存在，则确认 BLACKLISTRPC、FILTERRPCARGS 所在行已被注释。 qemugaconfig'/etc/sysconfig/qemuga' if [ f "$qemugaconfig" ]; then [ ! f "${qemugaconfig}.bak" ] && cp "$qemugaconfig" "${qemugaconfig}.bak" sed i '/^[[:space:]]BLACKLISTRPC/ s/^/ /' "$qemugaconfig" sed i '/^[[:space:]]FILTERRPCARGS/ s/^/ /' "$qemugaconfig" fi 自定义 qemuguestagent 服务配置。 if [ f '/lib/systemd/system/qemuguestagent.service' ] [ f '/usr/lib/systemd/system/qemuguestagent.service' ]; then qemugaservicedropindir'/etc/systemd/system/qemuguestagent.service.d/' mkdir p "$qemugaservicedropindir" cat <<'EOT' >"${qemugaservicedropindir}zzctims.conf" [Install] WantedBydevvirtiox2dportsorg.qemu.guestagent.0.device EOT systemctl daemonreload fi 2. 配置服务。 plaintext systemctl enable qemuguestagent 3. 检查服务状态。 plaintext systemctl status qemuguestagent

本章节会介绍函数工作流的购买时常见问题。 在创建函数时创建失败，并提示“您当前的权限不足，请联系您的管理员为您开通相关权限”时该如何处理？ 使用FunctionGraph是否需要开通计算、存储、网络等服务？ 使用FunctionGraph开发程序之后是否需要部署？ FunctionGraph函数支持哪些编程语言？ FunctionGraph函数分配磁盘空间有多少？ FunctionGraph函数是否支持版本控制？ 在创建函数时创建失败，并提示“您当前的权限不足，请联系您的管理员为您开通相关权限”时该如何处理？ 用户在未进行实名认证或者账号余额不足100元时，会弹出“您当前的权限不足，请联系您的管理员为您开通相关权限”的提示，且无法开通按需资源。请用户进行实名认证并保障账号余额大于100元。 使用FunctionGraph是否需要开通计算、存储、网络等服务？ 用户使用FunctionGraph时，不需要开通或者预配置计算、存储、网络等服务，由FunctionGraph提供和管理底层计算资源，包括服务器CPU、内存、网络和其他配置/资源维护、代码部署、弹性伸缩、负载均衡、安全升级、资源运行情况监控等，用户只需要按照FunctionGraph支持的编程语言提供程序包，上传即可运行。 使用FunctionGraph开发程序之后是否需要部署？ 用户在本地开发程序之后打包，必须是ZIP包（Java、Node.js、Python、Go）或者JAR包（Java），上传至FunctionGraph即可运行，无需其它的部署操作。 制作ZIP包的时候，单函数入口文件必须在根目录，保证解压后，直接出现函数执行入口文件，才能正常运行。 对于Go runtime，必须在编译之后打zip包，编译后的动态库文件名称必须与函数执行入口的插件名称保持一致，例如：动态库名称为testplugin.so，则“函数执行入口”命名为testplugin.Handler。

本页介绍了文档数据库服务产品咨询类相关常见问题。 文档数据库服务和社区版MongoDB有什么关系 文档数据库服务是天翼云基于社区版MongoDB提供的高性能NoSQL数据库服务，完全兼容MongoDB协议。文档数据库服务在容灾、备份、恢复、监控、报警等方面提供全套数据库解决方案。可降低管理维护成本，方便您专注于应用开发和业务发展。 使用文档数据库服务要注意什么 使用文档数据库服务需要综合考虑安全性、性能、可用性和数据一致性等方面，合理配置和管理数据库，确保应用程序能够高效稳定地使用文档数据库服务。 当您评估业务对服务可用性有较高的要求时，建议优先选择副本集与分片集群的架构，副本集与分片集群提供了更高的数据可靠性与服务可用性，当发生主节点宕机时，其他的节点可以接替主节点继续提供服务，不影响业务侧的读写。 实例侧的弹性云主机，对用户是不可见的，您只需参考实例基本信息页的连接串配置数据库连接进行数据库服务的访问即可。 在对数据库进行不熟悉的操作时，建议先对数据进行备份，方便数据回档。 您不需要进行数据库的基础运维，但是可以留意一下性能监控，比如机器的磁盘、内存使用率等情况，规格不足时可以进行扩容更好满足业务需求。 什么是文档数据库服务的可用性 文档数据库服务的可用性通常是指数据库系统在正常运行时可以对外提供服务的能力，以及系统在遇到故障或意外情况时能够保持部分或全部功能的可用性。文档数据库服务提供多节点副本集与分片集群的高可用架构。集群节点之间数据自动同步，提升了数据的高可靠性与服务的高可用性。

本文介绍了RDSPostgreSQL的实例存储类型详细说明。 数据库是应用系统最为重要基础组件，需频繁进行磁盘读写操作，对存储IO性能要求较高，天翼云提供多种类型的存储IO以满足不同性能要求，您可根据需要选择所需的存储类型。RDSPostgreSQL暂时不支持创建实例后变更存储类型。 存储类型说明 RDSPostgreSQL普通IO、高IO、通用型SSD、超高IO、极速型SSD、XSSD系列（XSSD0、XSSD1、XSSD2）六种存储类型，均为云盘存储，支持弹性扩容，可以满足不同的业务场景，具体如下： 普通IO：适用于数据量不大、查询和更新频率不高的个人测试、学习等场景。 高IO：适用于主流的高性能、高可靠应用场景，例如大型开发测试、Web服务器日志以及企业应用。典型的企业应用有SAP、Microsoft Exchange和Microsoft SharePoint等。 通用型SSD：适用于高吞吐量，低时延的企业级办公场景。 超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景，例如要求高性能计算的关系型数据库。 极速型SSD：适用于需要极低的延迟和高的I/O性能的应用场景，大型OLTP（Online Transaction Processing）数据库等。 XSSD系列（XSSD0、XSSD1、XSSD2）：天翼云X系列云硬盘基于NVMe和RDMA技术，为您提供超高IOPS、超高吞吐量和超低时延的极致云硬盘。关于XSSD系列的性能介绍可参考X系列云硬盘。 注意 XSSD系列仅8代机支持选择该磁盘类型，同时仅部分资源池支持XSSD系列磁盘，后续会逐步加载其他资源池，请以实际订购界面展示为准。 云硬盘规格详情，请您参考云硬盘产品介绍产品规格磁盘类型及性能介绍。

对比项 自建Kubernetes集群 云容器引擎 易用性 自建Kubernetes集群管理基础设施通常涉及安装、操作、扩展自己的集群管理软件、配置管理系统和监控解决方案，管理复杂。每次升级集群的过程都是巨大的调整，带来繁重的运维负担。 简化集群管理，简单易用 借助云容器引擎，您可以一键创建和升级Kubernetes容器集群，无需自行搭建Docker和Kubernetes集群。您可以通过云容器引擎自动化部署和一站式运维容器应用，使得应用的整个生命周期都在容器服务内高效完成。 您可以通过云容器引擎轻松使用深度集成的Helm标准模板，真正实现开箱即用。 您只需启动容器集群，并指定想要运行的任务，云容器引擎帮您完成所有的集群管理工作，让您可以集中精力开发容器化的应用程序。 可扩展性 自建Kubernetes集群需要根据业务流量情况和健康情况人工确定容器服务的部署，可扩展性差。 灵活集群托管，轻松实现扩缩容 云容器引擎可以根据资源使用情况轻松实现集群节点和工作负载的自动扩容和缩容，并可以自由组合多种弹性策略，以应对业务高峰期的突发流量浪涌。 可靠性 自建Kubernetes集群操作系统可能存在安全漏洞和配置错误，这可能导致未经授权的访问、数据泄露等安全问题。 企业级的安全可靠 云容器引擎提供容器优化的各类型操作系统镜像，在原生Kubernetes集群和运行时版本基础上提供额外的稳定测试和安全加固，减少管理成本和风险，并提高应用程序的可靠性和安全性。 高效性 自建Kubernetes集群需要自行搭建镜像仓库或使用第三方镜像仓库，镜像拉取方式多采用串行传输，效率低。 镜像快速部署 云容器引擎配合容器镜像服务，镜像拉取方式采用并行传输，确保高并发场景下能获得更快的下载速度，大幅提升容器交付效率。

本章节主要介绍操作类问题中的数据导入导出问题。 外表与GDS外表支持的数据格式有什么区别? OBS与GDS外表支持格式文件区别如下： OBS支持的文件格式：CSV、TEXT、ORC、CARBONDATA，缺省值为TEXT GDS支持的文件格式：CSV、TEXT，缺省值为TEXT 数据如何存储到数据仓库服务？ DWS支持多数据源高效入库，典型的入库方式如下所示。详细指导请参见《数据仓库服务数据库开发指南》中的“导入数据”章节。 从OBS导入数据 数据上传到OBS对象存储服务中，再从OBS中导入，支持CSV，TEXT格式数据。 通过INSERT语句直接插入数据 用户可以通过DWS提供的客户端工具（gsql）或者JDBC/ODBC驱动从上层应用向DWS写入数据。DWS支持完整的数据库事务级别的增删改(CRUD)操作。这是最简单的一种方式，这种方式适合数据写入量不太大， 并发度不太高的场景。 从MRS导入数据，将MRS作为ETL 通过COPY FROM STDIN方式导入数据。 通过COPY FROM STDIN命令写数据到一个表。 使用GDS从远端服务器导入数据到DWS 当用户需要将普通文件系统（例如，弹性云主机）中的数据文件导入到DWS时，可以使用DWS提供的GDS导入数据的功能。 数据仓库可以存储多少业务数据？ 数据仓库集群每个节点默认能够支持1.49TB、2.98TB、4.47TB、160GB、1.68TB、13.41TB六种规格的存储容量，一个集群支持的节点数范围为3～256，集群总的存储容量随集群规模等比例扩充。 为增强可靠性，每个节点都有一个副本，副本会占用一半的存储空间，选择容量时副本容量会自动翻倍存储。 数据仓库系统会备份数据，生成索引、临时缓存文件、运行日志等内容，并占用存储容量。每个节点实际存储的数据，大致为总存储容量的一半。

本文为您介绍密钥管理服务与其他云服务的关系，以及对应密钥的区分。 KMS与其他云服务的加密关系 KMS集成天翼云产品提供服务端加密能力，实现云上原生数据提供加密保护，有效提升默认安全能力。在创建云产品资源时开启加密功能，您可以自定义加密密钥，支持选择默认密钥和您在KMS中自行创建的用户主密钥。 服务端加密优势 提升云产品内生安全性 加密过程中使用的密钥由用户自定义选择，集中托管在KMS服务中，KMS已通过国家密码管理局审查，获得商用密码产品认证，合规性得到有效保障。 降低研发成本 使用云产品服务端加密能力，您无需自行构建和维护密钥管理基础设施，无需考虑自研数据加密能力所涉及的密钥管理安全及合理性、加密算法的研发等一系列复杂的工程，大幅度降低开发成本。 加密过程透明无感知 服务端加密为您提供内嵌至云服务中的加密方案，您无需关注底层数据加密的细节，只需一键开启加密功能，即可实现数据加密。 支持服务端加密的云产品 云硬盘 对象存储 弹性文件 关系型数据库MySQL版 关系型数据库PostgreSQL版 文档数据库服务 功能详情详见云产品服务端加密。 KMS与云审计服务的关系 已对接天翼云云审计服务，可通过云审计服务查看资源操作的记录，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至日志审计等产品实现永久保存。 KMS与云监控服务的关系 已对接天翼云云监控服务，可通过云监控服务查看实例节点的相关监控指标，并可以设置相关指标的告警规则及通知策略。

通过后台提交作业 MRS 3.x及之后版本客户端默认安装路径为“/opt/Bigdata/client”，MRS 3.x之前版本为“/opt/client”。具体以实际为准。 1.登录MRS管理控制台。 2.选择“集群列表 > 现有集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.在“节点管理”页签中单击某一Master节点名称，进入弹性云主机管理控制台。 4.单击页面右上角的“远程登录”。 5.根据界面提示，输入Master节点的用户名和密码，用户名、密码分别为root和创建集群时设置的密码。 6.执行如下命令初始化环境变量。 source /opt/Bigdata/client/bigdataenv 7.如果当前集群已开启Kerberos认证，执行以下命令认证当前用户。如果当前集群未开启Kerberos认证，则无需执行该步骤。 kinit MRS集群用户 例如, kinit admin 8.执行如下命令拷贝OBS文件系统中的程序到集群的Master节点。 hadoop fs Dfs.obs.access.keyAK Dfs.obs.secret.keySK copyToLocal sourcepath.jar targetpath.jar 例如：hadoop fs Dfs.obs.access.keyXXXXDfs.obs.secret.keyXXXX copyToLocal "obs://mrsword/program/hadoopmapreduceexamplesXXX.jar" "/home/omm/hadoopmapreduceexamplesXXX.jar" AK/SK可登录OBS控制台，请在集群控制台页面右上角的用户名下拉框中选择“我的凭证 > 访问密钥”页面获取。 9.执行如下命令提交wordcount作业，如需从OBS读取或向OBS输出数据，需要增加AK/SK参数。 source /opt/Bigdata/client/bigdataenv;hadoop jar executejar wordcount inputpath outputpath 例如：source /opt/Bigdata/client/bigdataenv;hadoop jar/home/omm/hadoopmapreduceexamplesXXX.jar wordcount Dfs.obs.access.keyXXXXDfs.obs.secret.keyXXXX "obs://mrsword/input/""obs://mrsword/output/" inputpath为OBS上存放作业输入文件的路径。outputpath为OBS上存放作业输出文件地址，请设置为一个不存在的目录。

分类 功能模块 描述 零信任免费版 零信任VPN版 零信任基础版 零信任企业版 终端管理基础版 远程办公接入 零信任VPN 提供虚拟专有网络，通过加密协议对数据进行加密传输，建立安全可靠的VPN网络。 √ √ √ √ 不涉及 远程办公接入 内网应用接入 可实现域名、IP等精细化内网应用接入。 √ √ √ √ 不涉及 远程办公接入 精细化权限管控 支持应用按身份，角色，用户组，组织架构等进行授权和管控。 √ √ √ √ 不涉及 远程办公接入 信创连接器 连接器版本支持常用国产化系统，包括麒麟、统信、天翼云CTyunOS。 × √ √ √ 不涉及 远程办公接入 连接器管理 提供灵活连接器部署安装方式，用于打通企业内网。 √（仅支持部分安装命令，可支持至多5个连接器集群或实例） √（可支持至多10个连接器集群或实例） √（可支持至多10个连接器集群或实例） √（可支持至多20个连接器集群或实例） 不涉及 远程办公接入 域名解析 域名解析管理功能针对无公网解析的域名，实现无需绑定HOST即可进行内网访问。 √ √ √ √ 不涉及 远程办公接入 源地址网络地址转换 实现一对一内网访问溯源，针对用户+设备粒度、用户粒度进行分配唯一IP回源访问。 × √ √ √ 不涉及 远程办公接入 内网限速 可以基于总带宽、单客户端进行内网限速。 √ √ √ √ 不涉及 远程办公接入 网络健康探测 提供网络接入情况连通性探测，实时监控发现异常网络接入情况，确保内网访问高可用、稳定性。 × √ √ √ 不涉及 身份安全认证 身份源同步 支持第三方身份源集成（自建/企微/AD等)。 √（限时免费） √ √ √ 不涉及 身份安全认证 认证源集成 支持账密、短信、邮箱进行认证，以及第三方认证源集成（如企微/AD等）。 √（限时免费） √ √ √ 不涉及 身份安全认证 单点登录SSO 支持标准协议单点登录SSO对接 × × √ √ 不涉及 身份安全认证 双因素认证 支持短信、邮箱进行双因素认证。 √ √ √ √ 不涉及 设备管理 桌面终端 提供PC端的客户端程序，支持Windows，MacOS系统。 √ √ √ √ √ 设备管理 移动终端 提供移动端的APP程序，支持IOS、安卓系统手机。 × × √ √ 暂未发布 设备管理 移动端SDK 提供移动端SDK的标准接入能力，支持对接IOS、安卓系统手机。 × √ √ √ 暂未发布 设备管理 Linux终端 提供Linux相关操作系统类型的客户端程序。 × × √（支持ubuntu18.04、ubuntu20.04桌面版） √（支持ubuntu18.04、ubuntu20.04桌面版） 暂未发布 设备管理 信创终端 提供信创系统的客户端程序，信创系统（麒麟、统信）。 × × √ √ 暂未发布 设备管理 终端资产 终端资产进行盘点、展示，用于分析。 √ √ √ √ √ 设备管理 设备策略 支持设备共享、用户激活认证、授信等策略处理。 × √ √ √ √ 安全策略 访问控制 提供接入VPN访问控制，粒度包括按用户、IP、终端设备、接入时间、地区等。 √（仅支持部分规则粒度） √（仅支持部分规则粒度） √ √ 不涉及 安全策略 应用隐身 支持连接器部署和反向连接到天翼云边缘节点，实现企业内网应用隐身，并且基于SDP架构，对数据面和控制面进行分离，无需暴露企业应用于公网之中。 √ √ √ √ 不涉及 安全策略 准入管控 支持对接入零信任客户端的终端设备的多维度准入策略配置，实现对异常行为、设备、身份等不允许接入企业VPN网络。 × × √ √ 不涉及 安全策略 横向渗透防护 支持进行钓鱼防护，能够对企业内网发生恶意扫描行为，例如触发异常访问频率和维度的行为实时阻断等。有效抑制住钓鱼等C2攻击。 × × × √ 不涉及 安全策略 动态授权 支持对访问主体在远程访问的过程中的行为、身份、设备、终端环境等信息进行多维度策略评估，并实时对异常进行阻断等。 × × √ √ 不涉及 安全策略 RBI云端浏览器隔离 通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地。 额外付费购买 额外付费购买 额外付费购买 额外付费购买 不涉及 安全策略 内外网隔离 支持对终端访问的流量进行黑白名单管控，能够实现企业内网访问和互联网访问的安全隔离。 × × × √ 不涉及 终端安全管理 上网行为管控 员工互联网访问行为可视可审可追溯，一键拦截违规违法网站，轻松实现合规合法、网络稳定的上网环境，提高企业办公效率。 × × × √ √ 终端安全管理 软件管理 从软件的来源、安装、运行情况进行全方位展示，协助企业梳理员工安装、运行软件情况；通过配置软件管控策略，阻止软件运行。 × × √ √ √ 终端安全管理 病毒查杀 支持定期对终端进行病毒扫描，提供最新的病毒引擎版本，扫描完成后自动隔离和上报。 × × × √ √ 终端安全管理 实时防护 包含文件实时防护、U盘防护，对即将进入设备的病毒进行实时监控。 × × × √ √ 终端安全管理 局域网共享防护 局域网共享路径是病毒常见的横向扩散手段，对局域网共享路径进行操作时需要实时监控。比如文件上传、执行等。 × × × ×（限时免费） ×（限时免费） 终端安全管理 防钓鱼 面向办公网钓鱼防护场景，支持检测IM工具和邮件附件下载的文件是否带毒、是否为伪装文件。 × × × ×（限时免费） ×（限时免费） 终端安全管理 漏洞修复 对设备进行漏洞扫描和补丁修复，有效发现和修复设备存在的紧急漏洞，加固操作系统的安全性。 × × × √ √ 终端安全管理 外设管控 企业管理员对员工的U盘、SD卡、外接硬盘进行禁用、只读、审计管控，有效阻止风险入侵，有效防止文件外泄。 × × × √ √ 终端安全管理 办公净化 对于已安装软件，支持自动拦截广告、骚扰、恶意弹窗。为用户提供⽆⼲扰的纯净操作环境，赋能绿色上网诉求。 × × × √（限时免费） √（限时免费） 终端安全管理 AI安全检测 支持盘点设备上运行的大模型组件，高效构建AI应用资产全景；支持超过 30+种 AI 应用组件漏洞检测，实现漏洞高效管理。 × × × ×（限时免费） ×（限时免费） 终端安全管理 合规检测 支持设置终端基线标准，能够对接入零信任的终端进行基线采集并检测是否符合企业安全规范基准。 × × √ √ √ 终端安全管理 自保护 当员工退出账号、退出客户端、退出企业、卸载客户端时，需要进行防护码校验，实现客户端自保护。 × × √ √ √ 产品服务 态势大屏 提供零信任办公态势大屏，能够展示企业办公内网访问情况、终端安全分析、设备分布、用户分布等态势感知能力。 × × × √ × 产品服务 告警自助 提供零信任远程办公告警自助能力，企业可配置连接器异常告警、业务异常告警等，实现精准感知异常，减少业务影响。 × √ （SaaS版本支持 √ （SaaS版本支持） √ （SaaS版本支持） × 产品服务 客户端定制化 支持客户端定制化LOGO，强化企业感知力。 × × √ √ × 产品服务 日志投递 将零信任日志投递到客户指定目标服务器，实现AOne日志的全生命周期管理。可对接企业统一态势平台，赋能企业安全运维监控场景。 × × √ （SaaS版本支持） √ （SaaS版本支持） 不涉及 产品服务 日志审计 提供日志审计功能，针对行为进行审计。 × √ √ √ √

本节主要介绍云存储网关的功能特性。 接口适配 支持SAN网络存储类型，即通过标准iSCSI协议支持块存储。 访问加速 采用分布式双控架构，提升读写性能，延迟极低。同时也实现了本地缓存和云端存储的冷热数据分离，提高了数据访问速度。 统一管理 提供统一管理功能，支持单机和集群部署，并可以集中管理服务器和存储卷。 支持系统监控和报警，可以监控服务器CPU、内存、数据读写速度等信息，系统运行异常时立即发出告警。 自动部署 支持部署在通用硬件服务器上，支持一键自动化软件部署、滚动升级，运维简单、易用、高效。 通过在线增加服务器或者磁盘进行扩容，且在扩容过程中，不影响用户业务，数据平滑迁移。 数据保护 支持多副本和纠删码数据冗余保护机制，可以提高空间的利用效率并获得较好的数据保护效果，保证了海量数据的存储可靠性和持续可用性。 支持数据完整性校验、传输加密，确保数据安全可靠，同时利用了OOS独有的原子操作，能够真正确保云上数据的一致性。 上云能力 支持多种数据上云方式，本地既可只缓存热数据，又可以保留全量数据，数据自动同步到云端，实现存储空间弹性扩展。 云存储网关功能特性 功能模块 功能特性 安装部署 支持单机版、集群版部署具备安装、初始化、密码修改、升级、卸载功能。 基础服务 卷：创建、查询、删除、启用、禁用、扩容、修改。 基础服务 iSCSI Target：创建、查询、删除、修改。 基础服务 服务器：添加、查询、移除、修改、启动、停止、重启、还原。 基础服务 数据目录：添加、移除。 系统设置 邮件通知：启用、禁用、查询、删除。 系统设置 远程协助：启用、禁用、查询、删除。 系统设置 备份配置：启用、禁用、查询、删除、执行备份。 系统设置 系统信息：查询部署信息、状态信息、版本信息。 监控 CPU使用率、内存使用率、各数据目录的磁盘使用率和使用量、数据传输情况（当天写入量，当前读取量，当天写请求成功率，当天读请求成功率，累计写入量，累计读取量）。