总览页面分为云服务全景图（资产地图）、数据采集安全、数据传输/存储安全、数据使用安全和数据交换/删除安全共五大板块，实时呈现了用户资产的具体情况。 前提要求 已完成资产访问的授权，参考云资产委托授权/停止授权进行操作。 已完成添加数据库资产，参考数据库资产清单进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全> 数据安全中心”，进入数据安全中心总览界面。 4. 查看数据安全中心服务的总览—云服务全景图。 提供数据资产地图，帮助客户建立数据资产的全景视图，可视化呈现数据资产分布、数据敏感程度、当前的风险级别。 梳理云上数据资产：自动扫描并梳理云上数据资产，地图化展示资产分布，帮助用户解决数据在哪里的问题。 敏感数据展示：基于DSC的三层数据识别引擎、预置合规规则、自然语义识别技术、文件相似度检测技术，对数据资产进行分类分级。 对数据资产按照“风险VPC数”、“风险安全组数”、“风险主机数”、“风险RDS数”、“风险OBS数”进行分类展示。 每类资产按照“高危”、“中危”、“低危”、“未识别风险”对敏感数据进行分级定位。 风险监控和预警：基于风险识别引擎，对数据资产进行风险监控，展示每类资产的风险分布，并预警。 说明 将鼠标移动到数据资产图标处，可查看资产相关信息。 单击数据资产图标，在界面的右侧弹框中可详细查看该资产的“基本信息”、“风险信息”或者“风险安全组规则”等信息。 5. 查看数据安全中心服务的总览—数据采集安全。 DSC根据敏感数据规则对敏感数据进行识别和敏感等级分类，您可以在总览页面查看您资产中不同风险等级的数据的分布情况。 基于敏感字段在文件中出现的累计次数和敏感字段关联组来判断文件的敏感性，并根据文件的敏感程度将其划分为四个等级：“未识别风险”、“低风险”、“中风险”和“高风险”。风险等级依次递增。具体风险等级情况说明： 未识别风险：0级 低风险：1~3级 中风险：4~7级 高风险：8~10级 在柱状图中，不同高度代表该风险等级的资产数量。将鼠标箭头放置在柱状图上，可查看该风险等级的资产数量。 6. 查看数据安全中心服务的总览—数据传输/存储安全。 数据传输安全：DSC统计了以下可能存在传输安全的项，您可以直接单击具体项的名称，查看详细情况。 VPN连接数：您的资产中存在已创建的虚拟专用网络，具体的请参考《VPN服务用户指南》。 云专线连接数：您的资产中存在已创建的云专线物理连接，具体的请参考《云专线用户指南》。 ELB未采用加密通信的监听器：添加监听器时，未使用加密通信HTTPS协议的监听器数量的统计，建议您采用HTTS协议进行加密通信，具体的操作请参见修改监听器。 SSL证书订阅：您的资产中存在已购买或者已上传的证书数量，了解SSL证书请参考《SSL证书管理用户指南》。 WAF未采用加密通信的域名：WAF中添加域名时，未使用加密传输HTTPS协议的域名数量的统计，建议您采用HTTPS协议进行加密通信，具体的操作请参见修改服务器信息。 数据存储安全：该模块为您罗列了存在未加密的对象桶，为了防止您的资产存在不必要的存储安全，建议您单击对象桶名称，前往OBS界面，对未加密的对象桶进行加密。 7. 查看数据安全中心服务的总览—数据使用安全。 该模块统计了“近30分钟”、“近3小时”、“近24小时”、“近7天”、“近30天”内的数据使用安全信息。 未处理异常事件：按“数据访问异常”、“数据操作异常”、“数据管理异常”所占比例进行展示。同时，展示了异常事件总数、违例确认总数和违例排除总数。 单击“未处理异常事件”中的其中一个颜色区域，可查看指定数据异常占比。 当不需要展示某种类型的异常事件时，单击事件分布图右侧攻击类型对应的颜色方块，取消在事件分布圆环中的展示。 Top5访问源IP：前5的访问源IP的统计。 Top5被访问高风险对象：被访问的对象中，排在前5的高风险对象。 Top5访问帐号：前5的访问帐号的统计。 8. 查看数据安全中心服务的总览—数据交换/删除安全。 数据交换安全：展示了已创建的“静态脱敏任务数”以及“水印API调用次数”，如何创建数据脱敏任务请参考创建数据脱敏任务。 数据删除安全：DSC为您统计了数据库、ECS、OBS资产的当日删除数和总删除数。

前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 登录控制中心，并且已经完成虚拟私有云、子网和路由表的创建。 操作步骤 1. 进入“网络控制台”页面，点击“路由表”选项。 2. 找到对应的路由表，点击路由表名称，进入路由表详情页。 3.在路由表详情页，找到“路由规则”页签，找到对应的路由规则，点击"删除"。 4.可以对不需要的路由规则进行删除。 5.点击“确定”按钮，即可完成路由规则的删除。

本节为您介绍云迁移服务CMS数据迁移工具添加源节点操作。 1. 进入“数据迁移工具”，点击左侧导航栏 【数据源管理】进入 [数据源管理] 界面 。 2. 点击 【添加数据源】按钮，进入[添加数据源]界面，选择【源节点】按钮。 3. 输入数据源名称，选择数据源类型，输入数据源对应的连接方式。 4. 填写信息完成后，点击【添加数据源】按钮，完成添加，平台显示“添加成功”。 5. 可以在 [数据源管理] 界面，看到刚刚添加的源节点。

请求URI {URIscheme}://{Endpoint}/{resourcepath}?{querystring} 参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn”。 resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources”。 querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据。 示例： 云主机根据regionID查询用户资源，则需使用这个区域的Endpoint（ctecsxxx.ctapi.ctyun.cn），并在"根据regionID查询用户资源"的URI部分找到resourcepath（/v4/region/customerResources），拼接起来如下所示。 < 说明： 为方便查看，在每个具体API的URI部分，只给出resourcepath部分，并将请求方法写在一起。这是因为URIscheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 请求方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST <

本小节介绍如何使用AntiDDoS流量清洗。 AntiDDoS流量清洗服务（以下简称AntiDDoS）为弹性公网IP提供四到七层的DDoS攻击防护和攻击实时告警通知。同时，AntiDDoS可以提升用户带宽利用率，确保用户业务稳定运行。 AntiDDoS通过对互联网访问弹性公网IP的业务流量进行实时监测，及时发现异常DDoS攻击流量。在不影响正常业务的前提下，根据用户配置的防护策略，清洗掉攻击流量。同时，AntiDDoS为用户生成监控报表，清晰展示网络流量的安全状况。 本指南通过查看公网IP、开启AntiDDoS告警通知、配置AntiDDoS防护策略，以及查看监控和拦截报告的方式，指导您快速上手AntiDDoS流量清洗服务。 准备环境 1. 登录天翼云控制中心。 2. 在控制中心选择“计算 > 弹性云主机”，创建一台弹性云主机（ECS），用于AntiDDoS流量清洗提供DDoS攻击保护的弹性公网IP。 说明 ECS需要绑定一个弹性IP，具备外网访问权限。 如果用户已有VPC和ECS，可重复使用，无需多次创建。 查看公网IP 1. 选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS流量清洗页面。 2. 选择“公网IP”页签，查看已开启AntiDDoS防护的公网IP。 说明 购买了公网IP后，自动开启AntiDDoS“默认防护”。开启AntiDDoS防护后，即可对开启防护的IP地址提供DDoS攻击保护。 开启AntiDDoS防护后，当检测到报文总流量达到120Mbps时，触发流量清洗功能。如果需要配置AntiDDoS的防护策略，可以修改防护参数。 AntiDDoS为普通用户提供2Gbps的DDoS攻击防护，最高可达5Gbps，系统会对超过黑洞阈值的受攻击公网IP进行黑洞处理，正常访问流量会丢弃；对于可能会遭受超过5Gbps流量攻击的应用，建议您购买DDoS高防服务，提升防护能力。

本节介绍了清理网络规则文件的操作场景、前提条件、操作步骤。 操作场景 为了避免使用私有镜像创建的新云主机发生网卡名称漂移，在创建私有镜像时，需要清理云主机或镜像文件所在虚拟机的网络规则文件。 说明 使用外部镜像文件制作私有镜像时，清理网络规则文件操作需要在虚拟机内部完成，建议您在原平台的虚拟机实施修改后，再导出镜像。 前提条件 云主机已安装操作系统和virtio驱动。 操作步骤 1. 执行以下命令，查看网络规则目录下的文件。 ls l /etc/udev/rules.d 2. 执行以下命令，删除网络规则目录下，文件名同时包含persistent和net的规则文件。 例如： rm /etc/udev/rules.d/30netpersistentnames.rules rm /etc/udev/rules.d/70persistentnet.rules 以上命令中斜体部分会根据用户的实际环境有区别。 说明 对于CentOS 6系列的镜像，为避免网卡名发生漂移，您需要创建一个空的rules配置文件。 示例：touch /etc/udev/rules.d/75persistentnetgenerator.rules //命令中斜体部分会根据用户的实际环境有区别 3. 清理网络规则。 − 若操作系统使用initrd系统映像，请执行以下操作： i. 执行以下命令，查看initrd开头且default结尾的initrd映像文件，是否存在同时包含persistent和net的网络设备规则文件（以下命令中斜体内容请以实际操作系统版本为准）。 lsinitrd /boot/initrd2.6.32.120.7default grep persistentgrep net 否，结束。 是，执行3.ii。 ii. 执行以下命令，备份initrd映像文件（以下命令中斜体内容请以实际操作系统版本为准）。 cp /boot/initrd2.6.32.120.7default /boot/initrd2.6.32.120.7defaultbak iii. 执行以下命令，重新生成initrd映像文件。 mkinitrd − 若操作系统使用initramfs系统映像（如Ubuntu），请执行以下操作： i. 执行以下命令，查看initrd开头且generic结尾的initramfs映像文件，是否存在同时包含persistent和net的网络设备规则文件。 lsinitramfs /boot/initrd.img3.19.025genericgrep persistentgrep net 否，无需清理网络规则。 是，执行3.ii。 ii. 执行以下命令，备份initrd映像文件。 cp /boot/initrd.img3.19.025generic /boot/initrd.img3.19.025genericbak iii. 执行以下命令，重新生成initramfs映像文件。 updateinitramfs u

本文介绍如何部署AD域控制器。 前提条件 在AD域控制器的云主机上已经安装AD域服务器。 操作步骤 1. 将域服务器升级升为域控制器。打开“服务器管理器”，点右上角点小旗子图标，点击“服务器提升为域控制器”。 2. 添加新林。由于是第一个AD控制器，点击“添加新林”，根域名处填域名sfs.com，点击“下一步”等待部署配置。 说明： 将域控制器添加到现有域：在现有的域控制器中添加新的域控制器。 将新域添加到现有林：在现有的林中新建域，与林中现有的域不同。 3. 设置目录服务还原密码。 说明： 林功能级别(包含Windows Server 2008到WindowsServer 2016级别)：Windows Server 2012 R2。 域功能级别(只包含Windows Server 2012 R2域功能)：Windows Server 2012 R2。 指定域控制器功能：默认即可。 键入目录服务还原模式(DSRM)密码：需设置复杂密码，否则无法通过规则校验。 4. 跳过DNS选项，点击“下一步”。用AD域服务器当DNS服务器，不需要单独指定。 5. NetBios域名保持默认，点击“下一步”。 6. 日志及数据配置保持默认，点击“下一步”。 说明： AD DS数据库是AD域服务器用来存放用户信息的地方。 AD DS数据库、日志文件夹和sysvol文件夹，出于安全考虑建议放在其他盘。 7. 检查配置信息，点击“下一步”。 8. 安装前自动进行先决条件检查，检查通过后点击“安装”，系统自动安装并重启。安装需要一段时间请耐心等待。 9. 查看是否安装成功。理论上重启后AD域即部署成功，打开“服务器管理器”，点击“工具>Active Directory用户和计算机”，在弹窗中依次点击“sfs.com>Domain Controllers”，若展示云主机名称即代表AD域部署成功。

部署rook operator Rook是一个开源的云原生存储编排工具，提供平台、框架和对各种存储解决方案的支持，以和云原生环境进行本地集成。 Rook 利用扩展功能将其深度地集成到云原生环境中，并为调度、生命周期管理、资源管理、安全性、监控等提供了无缝的体验。Rook 目前支持 Ceph、NFS、Minio Object Store 和 CockroachDB。 plaintext 部署rook operator cd rook/deploy/charts/rookceph/ helm install createnamespace namespace rookceph rookceph . 创建rook ceph集群 plaintext 创建rook ceph集群 cd rook/deploy/examples kubectl apply f cluster.yaml 镜像列表 registry.k8s.io/sigstorage/csiattacher:v4.8.1 registry.k8s.io/sigstorage/csinodedriverregistrar:v2.13.0 registry.k8s.io/sigstorage/csiprovisioner:v5.2.0 registry.k8s.io/sigstorage/csiresizer:v1.13.2 registry.k8s.io/sigstorage/csisnapshotter:v8.2.1 quay.io/ceph/ceph:v19.2.2 quay.io/cephcsi/cephcsi:v3.14.0 rook/ceph:v1.17.2 kubectl get cephcluster A NAMESPACE NAME DATADIRHOSTPATH MONCOUNT AGE PHASE MESSAGE HEALTH EXTERNAL FSID rookceph rookceph /var/lib/rook 3 136m Ready Cluster created successfully HEALTHWARN 40a66dd669ed4401b97fef1edaae17b2 部署rook ceph工具 plaintext cd rook/deploy/examples kubectl apply f toolbox.yaml 通过cephtool工具查看ceph集群状态，正常需要3个OSD（准备三个节点，每个节点至少有一块盘） kubectl exec it kubectl get pods n rookcephgrep rookcephtoolsawk '{print $1}' n rookceph bash bash5.1$ ceph s cluster: id: e7abf175ad9c420a92051328f8097a75 health: HEALTHWARN mon b is low on available space services: mon: 3 daemons, quorum a,b,c (age 12h) mgr: a(active, since 12h), standbys: b mds: 1/1 daemons up, 1 hot standby osd: 3 osds: 3 up (since 12h), 3 in (since 13h) data: volumes: 1/1 healthy pools: 4 pools, 81 pgs objects: 34 objects, 639 KiB usage: 203 MiB used, 120 GiB / 120 GiB avail pgs: 81 active+clean io: client: 1.2 KiB/s rd, 2 op/s rd, 0 op/s wr OSD 可用存储设备满足条件： 设备必须没有分区。 设备不得具有任何 LVM 状态。 不得安装设备。 该设备不得包含文件系统。 该设备不得包含 Ceph BlueStore OSD。 设备必须大于 5 GB。 使用Ceph

本章节主要介绍翼MapReduce服务的元数据功能。 选择在翼MR集群部署Hive、Ranger、Amoro、Hue或DolphinScheduler组件时，翼MR提供关系数据库MySQL版（CTRDS MySQL）的元数据存储方式。请选择关联与当前集群同一虚拟私有云（VPC）下的MySQL数据库，元数据将存储于关联的数据库中，不会随当前集群的删除而删除，多个翼MR集群可共享同一份元数据。 配置信息说明 当您选择部署Hive、Ranger、Amoro、Hue或DolphinScheduler集群服务时，需要填写元数据库有关的五项配置，包括数据库主机、数据库端口、数据库名称、数据库用户名、数据库密码。 1. 数据库主机与端口：开通MySQL实例后，可从基本信息中获取主机与端口号信息。 2. 数据库名称：开通MySQL实例后，可在数据库管理页面创建数据库并设置数据库名称。建库时，字符集建议选择utf8mb4，校验规则推荐选择utf8mb4unicodeci。 3. 数据库用户名与密码：开通实例后，可前往账号管理创建账户，并为该账号授予目标数据库的权限。请确保填写的用户拥有该数据库的读写权限。 说明 1、当前仅支持通过内网地址进行数据库连接。请选择关联与当前集群同一虚拟私有云（VPC）下的MySQL数据库。 2、配置元数据库信息时，请提前创建数据库，若需要部署多个服务，请创建多个数据库，创建方式可参考 3、元数据配置所需信息可前往 4、请确保配置的数据库用户具有该数据库的读写权限。 5、创建集群时，若元数据库配置错误，将导致Hive、Ranger、Amoro、Hue或DolphinScheduler异常，但不影响集群的创建与部署，集群创建后，您可前往Manager的集群服务，进入相应的集群服务详情，通过运维操作中的“元数据库配置”操作，替换原有元数据库的配置信息并进行初始化。

本文介绍数据库管理服务为云数据库提供数据库审计功能，帮助您追溯历史所有数据库操作记录，满足您的安全审计需求。 前提条件 用户已录入MySQL、DDS、PostgreSQL与SQL Server类型的云数据库实例。 MySQL、PostgreSQL、SQL Server数据库资源池支持：西南1、华东1、上海36、华北2、长沙42、华南2、青岛20、南昌5、西安7、杭州7。 DDS数据库资源池支持：华东1、上海36、西南1、华北2、华南2。 用户已经开启了数据库审计，详见：开启数据库审计。 操作步骤 1. 登录数据库管理服务。 2. 在左侧菜单栏依次点击SQL治理 > SQL审计，进入SQL审计明细界面。 注意事项 SQL审计明细的日志记录默认只保存1天，可设置范围为1~3天。若需要更改最长保存时间（最长支持180天）请联系客户经理评估调整。 仅超级管理员、系统管理员和审计管理员可以进入SQL审计日志界面。 MySQL审计日志中影响行数、返回行数、扫描行数、执行耗时、锁等待时间若无法查看则为历史版本，有需要请联系数据库内核升级版本即可。 若DDS不支持数据库审计，需先升级数据库内核版本。 功能介绍 SQL审计的日志记录了历史所有数据库操作记录，您需要先选择查看的时间范围和实例，点击查询按钮即可查看。 SQL审计明细日志搜索 SQL审计日志支持多个维度的联合搜索，不同数据库类型搜索项存在差异，常见搜索项说明如下 搜索项 说明 时间范围 选择查询的时间范围 数据库类型 选择DMS支持的数据库类型，必填 实例 实例名称，必填 节点IP 数据库实例节点IP，必填 数据库名 实例中数据库名称，可使用通配符%，指代任意长度字符 SQL执行类型 选择SQL语句的类型 SQL文本 SQL语句文本，大小写不敏感，可使用通配符%，指代任意长度字符 按时间排序 是否将查询结果按照时间排序，开启后将严重影响查询性能，建议关闭 数据库账号 大小写不敏感，可使用通配符%，指代任意长度字符 客户端IP 客户端IP地址，可使用通配符%，指代任意长度字符 SQL执行结果 SQL执行是否成功 注意 由于MySQL审计日志数据量较大，搜索的时间范围跨度仅限1天。

本文介绍边缘安全加速平台的产品优势。 随着全球在线业务的发展，企业拓展业务的趋势日益增长，这也为用户体验和数据资产安全带来了更为复杂的挑战。 AOne边缘安全加速平台提供了加速、计算和安全为一体的服务，为您的业务运营提供全方位的保障。 极致的加速体验 优质的资源覆盖： CN2 和 163 互备支撑，所有节点和 IDC 出口并行，避免峰值带宽拥堵。 智能高效：智能分离站点内容，实现网络智能加速。 传输优化：基于先进的内核技术及自研的私有协议，大幅提升传输效率。 多业务加速：支持 http / https 协议加速、上传加速、websocket 加速、IPv6 升级等。 37层一体化防护 DDoS 防护：提供分布式DDoS攻击清洗，超百G节点大区粒度覆盖，防护总带宽超过12T。结合云原生、智能调度能力，实现资源动态扩容，攻击调度，满足用户三网防护需求，保障业务可用性。 Web 安全防护：基于 AI+ 规则的 Web 攻击识别，有效防御 SQL 注入、XSS 跨站脚本攻击等 OWASP TOP 10的关键 Web 风险。 Bot管理：基于已知Bot情报、精准访问控制、客户端特性识别、人机交互验证、机器学习等智能识别与检测技术，对业务流量进行实时检测和分析，智能识别并区分真实用户流量与各类Bot流量。 API 安全防护：基于安全可靠的接入认证方式，保证 API 访问安全。 持续认证动态评估：持续认证过程引入RBAC（基于角色的访问控制）与ABAC（基于属性的访问控制）鉴权体系，能根据角色及用户属性、环境属性、资源属性等综合授予用户访问权限。 全链路HTTPS：支持全链路HTTPS安全传输方案，防劫持防篡改，保护数据安全。 基于全网的HTTPDNS防劫持：支持用户通过HTTPDNS协议访问天翼云服务器，绕过运营商的LocalDNS解析，避免域名在解析阶段被劫持。 全周期安全保护：基于可信授权、最小授权、持续认证、业务隐身、终端安全、应用安全、链路安全等核心能力，对访问过程进行持续的安全保护，实现在任意网络环境中安全访问企业资源。

策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √

本文主要介绍 通过grafana查看AOM中的指标数据 前提条件 已创建弹性云主机ECS。 已创建弹性公网IP，并绑定到购买的弹性云主机ECS上。 操作步骤 步骤 1 安装并启动Grafana，具体操作请参见Grafana官方文档。 步骤 2 添加AccessCode。 1. 登录AOM控制台，在左侧导航栏中选择“配置管理 > 接入管理”。 2. 单击“添加AccessCode”。 添加AccessCode 说明 每个项目最多可创建2个AccessCode。 AccessCode是调用API的身份凭据，请您妥善保管。 3. 在弹出的窗口，单击“确定”，添加AccessCode。 4. 添加成功后，单击即可查看AccessCode。也可单击“删除”，删除AccessCode（ 删除后无法恢复，请谨慎操作 ）。 查看AccessCode 步骤 3 配置Grafana。 1. 登录Grafana。 2. 在左侧菜单栏，选择“Configuration > Data Sources”，单击“Add data source”。 配置Grafana 3. 单击“Prometheus”，进入Prometheus配置页面。 进入Prometheus配置页面 4. 参考示例配置参数。 Password：将Password设置为步骤2中生成的AccessCode。 User：aomaccesscode。 − URL： {URIscheme}://{Endpoint}/v1/{projectid} URIscheme：表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint为指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同。 projectid 为项目的ID。 说明 Auth下Basic auth和Skip TLS Verity的开关必须开启。 accesscode与projectid有对应关系，请在填写时确认匹配关系。 配置参数 5. 配置完成后，单击“Save&Test”，验证是否配置成功。 配置成功即可使用Grafana配置Dashboards，查看指标数据。 配置完成

针对一站式智算服务平台退订操作,为您进行说明。 服务开通后7天内如未使用则支持退订，退订后即可关闭。 平台开通的实例资源数据退订后保留15天，如15天期间届满仍未续订和续费，云公司有权在前述期间届满时立即释放客户的实例资源，并删除实例数据。 退订地址：我的—费用中心—订单管理—退订管理。 另外，您可通过天翼云官网工单或者客服电话【4008109889】沟通申请退款，款项会原路退回。

计费模式 包年/包月 按需计费 付费方式 预付费按照订单的购买周期结算。 后付费按照云服务器实际使用时长计费。 计费周期 按订单的购买周期计费。 按小时结算。 实例升级 支持实例升级。 支持实例升级。 更改计费模式 支持变更为按需资源。 支持变更为包周期资源。 变更规格 支持变更实例规格。 支持变更实例规格。 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于资源需求波动的场景，可以随时开通，随时删除。

本节为您介绍镜像服务常见的计费类问题。 镜像的计费标准是什么？ 除了一些特殊的镜像，例如gpu云主机使用的Windows2019DataCenterGRID13.2镜像外，其他公共镜像、私有镜像、共享镜像、安全产品镜像均为免费，如果是私有镜像，镜像本身不收费，如果是通过镜像文件的方式导入镜像，需要开通对象存储服务，创建对象存储桶，对象存储收费。 其他人分享给我的镜像，我需要付费吗？ 其他账号共享给您的镜像，您不需要再次付费。需要计费的镜像参考计费说明。

计费项 计费说明 数据库实例（计算和存储） 提供包年包月和按需计费两种方式。同一个实例下的实例规格计费方式和存储空间计费方式保持一致。 备份存储空间 同一个实例下的实例规格计费方式与备份存储计费方式保持一致。 公网弹性IP（可选） RDSPostgreSQL实例支持公网访问，实例可绑定弹性IP产品实现公网访问，弹性IP会产生相关费用，具体可参见

本文介绍企业中心的开通方式以及限制条件 企业中心开通的前提条件 1. 完成“企业实名认证”的账号才能开通企业中心，企业实名认证请参考“企业账号如何完成实名认证” 2. 未加入任何企业组织的账号才能开通企业中心。 3. 完成阅读并勾选同意企业中心相关开通协议。 相关限制 1. 账号实名认证企业为“个体工商户”不支持开通企业中心。 2. 账号渠道来源为代理商客户不支持开通企业中心。 企业中心开通入口 中国电信天翼云管理中心

当您无需访问云上资源时，可以将SDWAN实例与云间高速（标准版）实例解绑。 操作场景 用户将天翼云SDWAN实例与云间高速（标准版）实例解绑。 天翼云SDWAN实例与云间高速（标准版）实例解绑后，将无法通过天翼云SDWAN访问云上资源。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“天翼云SDWAN”，进入天翼云SDWAN实例列表页面； 3. 选中目标SDWAN实例，单机其“操作”列的“解绑云间高速（标准版）”； 4. 仔细阅读页面提示信息，单击“确定”，完成解绑。

告警记录可以展示近30天所有告警规则的状态变化，用户可以统一、方便地回溯和查看告警记录。 告警记录可以展示近30天所有告警规则的状态变化，用户可以统一、方便地回溯和查看告警记录。 当出现告警时，可以参考本章节查看具体云资源的告警记录详情。 操作步骤 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击“告警 > 告警记录”，进入“告警记录”界面。 在告警记录页面，可查看近7天所有告警规则的状态变化。 说明 在“告警记录”列表右上角可选择日历，查看近30天内的任意时间段内的告警记录。 在“告警记录”列表右上角可选择查看“所有状态”、“告警级别”、“所有资源类型”、“告警名称”的历史告警。 4. 单击待查看的告警规则名称，进入告警规则详情页面，页面下方呈现了该告警规则近30天内的“告警记录”列表。 在告警记录列表中，用户可查看对应时间内资源是否有异常并进行相应处理。 说明 正常状况下，由于告警需要计算触发，告警产生时间可能略晚于最新的数据触发时间几秒。 如果已有监控数据，创建或修改告警规则，导致触发告警，告警产生时间以触发告警的操作时间（创建告警规则或修改告警规则的时间）为准。

本节介绍了如何删除云数据库GaussDB 的实例。 操作场景 用户需要删除不需要的数据库实例。 用户需要删除创建失败的数据库实例。 须知： 实例删除后，不可恢复，请谨慎操作。如需保留数据，请务必确认完成数据备份后再删除实例。 执行操作中的实例不能手动删除，只有在实例操作完成后，才可删除实例。 “按需计费”类型的实例删除后手动备份会继续保留。 删除按需实例 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面的实例列表中，选择需要删除的实例，在“操作”列，单击“更多 > 删除实例”。 步骤 3 在“删除实例”弹框，单击“是”下发请求，稍后刷新“实例管理”页面，查看删除结果。

本节介绍如何在漏洞扫描中进行Syslog日志外发配置。 前提条件 已购买漏洞扫描资源，且资源状态为“运行中”。 操作步骤 1. 登录云等保专区控制台，在左侧导航栏，选择“漏洞扫描”，在目标资源右侧操作列单击“配置”，进入漏洞扫描系统。 2. 在漏洞扫描左侧导航栏，选择“系统管理 > 配置”，选择“系统配置”页签，找到“syslog同步设置”。 3. 配置syslog同步设置参数，配置完成后，单击“确定”，即可完成Syslog外送配置。 状态：设置为“开启”。 syslog ip：配置外送目的地IP。 syslog端口：配置目的地端口。

本节介绍了GeminiDB Redis的重启实例及操作步骤。 操作场景 出于维护目的，您可能需要重启数据库实例。 使用须知 实例状态为“正常”、“异常”、“恢复检查中”，支持重启实例。 重启实例会导致服务中断，请谨慎操作。 重启实例后，该实例下所有节点将会被重启。 操作步骤 1、登录云数据库GeminiDB控制台。 2、 在“实例管理”页面，选择指定的实例，选择操作列“重启实例”或“更多>重启实例”。 3、您也可以在“实例管理”页面，单击指定实例的名称，在“基本信息”页面右上角，单击“重启实例”。 4、在弹出框中，单击“是”重启实例。 5、对于GeminiDB Redis实例，您可以根据业务需求，选择节点同时重启或者节点逐个重启。

本节介绍了如何恢复云数据库GaussDB 实例到指定时间点。 操作场景 云数据库GaussDB 支持使用已有的自动备份，恢复实例数据到指定时间点。 注意事项 恢复到任意时间点仅支持2.1版本以上实例。 节点扩容，版本升级，恢复自身期间，对应时间点无法恢复。 实例故障，发生CN剔除等场景无法产生归档日志，对应时间点无法恢复。 如果您要将数据库备份恢复到新实例： − 数据库引擎、数据库大版本，与原实例相同，不可修改。 − 数据库密码需重新设置。 恢复到当前实例会将当前实例上的数据全部覆盖，并且恢复过程中数据库不可用，且立即停止归档。恢复完成后会出现数据确认按钮，在单击数据确认前，可多次进行恢复。数据确认后会删除本次恢复时间点后的归档日志，并重新开启日志归档。 删除实例会默认删除所有归档日志，不支持选择保留。重建后不支持恢复任意时间点。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 3 在左侧导航栏中选择“备份恢复”页签，单击“恢复到指定时间点”。 步骤 4 单击“确定”，恢复实例。 说明 如果打开并行恢复功能，那么恢复过程中，所有主、备副本会同时从OBS服务器下载备份数据，与默认的串行恢复相比，OBS带宽消耗量增加到N倍（N等于每个分片的副本个数）。因此，为了防止OBS带宽达到上限导致恢复速度反而下降的情况，当待恢复集群的分片个数大于5个时，建议先咨询运维当前OBS服务器空闲带宽，然后再决定是否开启并行恢复功能。 数据库内核版本小于1.4时，不支持开启并行恢复。 恢复到新实例： − 数据库大版本与原实例相同。例如：1.4.x的实例仅可以恢复到1.4.y版本的实例。 − 存储空间大小默认和备份时实例磁盘空间相同，且必须大于或等于备份时实例存储空间大小。 − 数据库密码需重新设置。 − 新实例的规格默认和原实例相同，如果需要修改规格，新实例的规格必须大于或等于原实例的规格。 − 新实例的节点配置需要与备份时保持一致。 步骤 5 查看恢复结果。 恢复到新实例 为用户重新创建一个和该备份数据相同的实例。可看到实例由“创建中”变为“正常”，说明恢复成功。 恢复成功的新实例是一个独立的实例，与原有实例没有关联。

本文介绍如何客户端上传私有镜像。 创建好仓库后，用户需要向仓库上传本地镜像，镜像通过客户端进行上传。客户端上传指的是用户在本地环境使用docker命令将镜像上传到容器镜像服务的镜像仓库。本章节将以nginx:1.10镜像为例，介绍如何通过客户端上传私有镜像。 操作前提 用户本地环境已安装Docker客户端，并确定Docker服务已启动； 确保本地网络环境良好，且可访问公网； 请确保镜像的正确性，能够成功后台启动； 已创建名为nginx的容器镜像仓库，操作过程请参见创建容器镜像仓库 。 操作步骤 1.登录云容器引擎控制台，单击左侧导航栏的【镜像仓库】，进入仓库列表界面； 2.单击仓库名称，可进入仓库详情页，点击右上角【上传镜像】，页面将展示镜像上传步骤； 以下将根据页面提示步骤，详细的说明客户端上传镜像到镜像仓库的操作流程： 3.登录镜像仓库服务器； 1）获取登陆指令及用户名密码：点击【上传镜像】后，从提示页面中可获取镜像登录指令及用户名密码，用户名可直接获取，密码可需要点击查看密码获取； 2）登陆仓库：打开用户本地环境，在命令行内输入步骤1）中获得的指令，当页面出现successful的关键词提示，即表明仓库已登陆成功； 4.标记镜像； 1）使用命令获得本地镜像名称或镜像ID：docker images 2）标记镜像：我们以nginx镜像为例，本次需要为nginx镜像打上仓库tag，提示面板中步骤2的提示，我们完成命令填写后，在命令行中使用以下命令： docker tag {镜像ID} cceregistry.ctyun.cn:443/{仓库名}/{镜像名}:{标签名} docker tag nginx cceregistry.ctyun.cn:443/nginx/nginx:1.10 其中，第一个nginx为仓库名，第二个nginx为镜像名，1.10为版本号。 5.推送镜像至镜像仓库； 根据提示面板中步骤3提示的push命令，我们完成命令填写后，在命令行中使用以下命令，将打好tag的镜像上传到对应仓库中： docker push cceregistry.ctyun.cn:443/nginx/nginx:1.10 终端显示如下信息，表明 push 镜像成功。 6d6b9812c8ae: Pushed 695da0025de6: Pushed fe4c16cbf7a4: Pushed 1.10: digest: sha256:eb7e3bbd8e3040efa71d9c2cacfa12a8e39c6b2ccd15eac12bdc49e0b66cee63 size: 948 6.返回云容器引擎平台，依次点击【镜像仓库】>【仓库名称】，进入镜像列表页面，可查看到上传的镜像信息，至此用户已完成镜像上传功能，可进行镜像管理及应用部署等操作。

本节主要介绍目的端虚拟机未创建 说明 以下章节以“目的端虚拟机未创建场景”下将主机资源一站式迁移到天翼云的方法为例，提供主机迁移实施的指导。 1、添加资源发现：切换页面到“资源发现”，可选择“平台级别”，也可选择“主机”tab页，根据具体的源端按需选择，单机“添加” 2、输入主机名称、IP、凭证等，单击“保存”，后等待资源发现成功（凭证也可提前创建配置完成） 3、添加完成后，可看到主机相关信息如下： 4、进入“迁移实施”页面，选择目的端主机未创建模块如下： 5、配置目的端：选择待迁移源端，单击“配置目的端” 6、选择我们创建的云账号： 7、创建模板:创建目的端模板并选择该模板后，单击“确定”。 8、检查并选择目标端规格，点击确定 9、（可选）高级选项。在高级选项区域，选择是否“调整磁盘分区”。 不支持Windows系统磁盘调整，且当前仅支持磁盘缩容。 10. 一站式迁移：选择配置好目的端的资源，单击“一站式迁移”，在弹出页面中，推送模式选择“公网”，输入“RDA本机公网IP”，勾选创建迁移任务、启动迁移任务，单击确定 11. 查看迁移详情：等待状态图标变为绿色，浮动文字为已安装，迁移详情按钮可用后单击“迁移详情” 12. 迁移完成后，登录目的端机器查看迁移结果

本章节主要介绍云搜索服务如何迁移集群。 将一个集群的数据迁移到另一个集群，我们称之为集群迁移。集群迁移的应用场景很多，如当业务数据不断增加时，无法直接修改当前集群的规格以便满足需求时，可以选择创建一个规格较高的集群，然后通过集群迁移的操作，快速将数据全部迁移至新集群中，以满足业务需求。另一个场景，如通过集群迁移可将两个集群的索引合并到一个集群中，以满足业务的需要。在云搜索服务中，通过备份与恢复索引功能可实现集群迁移，即将一个集群的快照恢复到另一个集群。 迁移条件 原集群和目标集群在同一个region下。 目标集群的版本等于或高于原集群。 目标集群节点数要大于原集群节点数的一半。 迁移建议 目标集群的节点数不少于原集群的shard副本数。 目标集群的CPU、MEM和Disk配置大于等于原集群，使迁移后业务受损最小化。 本文以将集群“Es1”中的数据迁移到集群“Es2”为例。其中“Es2”集群的版本高于“Es1”集群，且节点数要高于“Es1”节点数的1/2。 操作步骤 1.在集群管理界面中，单击集群名称“Es1”进入集群“基本信息”页面。然后，选择“集群快照”页签。 2.单击“创建快照”手动创建快照，在弹出框中输入快照名称并单击“提交”，等待快照创建完成。 首次使用备份与恢复索引功能，需要先进行基础配置，详见请参见备份与恢复索引中的手动创建快照。 详见下图： 创建快照 快照创建完成后，如下图所示。 3.在快照管理页面，单击该快照操作列的“恢复”按钮，将数据恢复至Es2集群。 在“索引”的文本框中输入“”，表示对集群“Es1”的全部索引进行恢复。 在“集群”的下拉框中选择“Es2”，将该快照恢复到集群“Es2”中。 最后单击“确定”按钮开始恢复。当然还可以进行对恢复之后的索引重命名等操作，详情请参见备份与恢复索引。 详见下图： 恢复数据 4.恢复完成后，即完成了集群“Es1”中的数据到集群“Es2”的迁移。

默认情况下云搜索服务安装了简繁体转换插件，用户无需自行安装。简繁体转换插件是一款可以使中文简体和中文繁体相互转换的插件。通过该插件的转换，用户可以使用中文繁体关键字搜索出包含对应中文简体的索引数据，也可以使用中文简体关键字搜索出包含对应中文繁体的索引数据。 简繁体转换插件通常可以当做analyzer、tokenizer、tokenfilter或charfilter来使用。 简繁体转换插件的转换类型包含如下两种： s2t：将中文简体转换为中文繁体。 t2s：将中文繁体转换为中文简体。 示例指导 1. 登录云搜索服务管理控制台。 2. 在左侧导航栏中，选择“集群管理”，进入集群列表页面。 3. 在集群列表中，单击需要使用的集群对应“操作”列的“Kibana”。 如果开启了安全模式，需要输入创建集群时设置的用户名和密码。 4. 在Kibana的左侧导航中选择“Dev Tools”，单击“Get to work”，进入Console界面。 5. 在Console界面，执行如下命令，创建索引“stconvert”，并指定自定义映射来定义数据类型。 7.x之前版本 PUT /stconvert { "settings": { "numberofshards": 1, "numberofreplicas": 0, "analysis": { "analyzer": { "tsik": { "tokenizer": "iksmart", "charfilter": [ "tsconvert", "stconvert" ] } }, "charfilter": { "tsconvert": { "type": "stconvert", "converttype": "t2s" }, "stconvert": { "type": "stconvert", "converttype": "s2t" } } } }, "mappings": { "type": { "properties": { "desc": { "type": "text", "analyzer": "tsik" } } } } } 7.x之后版本 PUT /stconvert { "settings": { "numberofshards": 1, "numberofreplicas": 0, "analysis": { "analyzer": { "tsik": { "tokenizer": "iksmart", "charfilter": [ "tsconvert", "stconvert" ] } }, "charfilter": { "tsconvert": { "type": "stconvert", "converttype": "t2s" }, "stconvert": { "type": "stconvert", "converttype": "s2t" } } } }, "mappings": { "properties": { "desc": { "type": "text", "analyzer": "tsik" } } } } 返回结果如下所示。 { "acknowledged" : true, "shardsacknowledged" : true, "index" : "stconvert" } 6. 在Console界面，执行如下命令，导入数据到“stconvert”索引中。 7.x之前版本 POST /stconvert/type/1 { "desc": "國際電視臺" } 7.x之后版本 POST /stconvert/doc/1 { "desc": "國際電視臺" } 当返回结果信息中“failed”字段的值为“0”时，表示数据导入成功。 7. 在Console界面，执行如下命令，搜索关键字“国际”，并查看搜索结果。 GET /stconvert/search { "query": { "match": { "desc": "国际" } } } 搜索结果如下所示。 { "took" : 15, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : 1, "maxscore" : 0.5753642, "hits" : [ { "index" : "stconvert", "type" : "type", "id" : "1", "score" : 0.5753642, "source" : { "desc" : "國際電視臺" } } ] } }

本文为您介绍使用AD域用户身份挂载文件系统的操作步骤。 前提条件 文件系统和云主机必须归属同一VPC内，否则无法挂载成功。 操作步骤 说明 使用域用户身份挂载文件系统的操作在AD域内普通客户端（非AD域控制器）上进行。 1. 登录AD域普通客户端。 2. 使用域用户身份挂载文件系统与一般挂载CIFS文件系统的操作步骤基本相同，参考挂载CIFS文件系统到弹性云主机 (Windows)。 不同的是在客户端输入挂载地址后，点击“完成”时需要输入在创建AD域用户时设置的用户名和密码。 3. 输入正确的用户名和密码后点击“确定”，文件系统即被挂载成功，可以作为一个普通的磁盘来使用。

本文介绍NAT网关—DNAT规则类相关问题。 为什么使用DNAT？ DNAT是一种网络地址转换技术，用于改变数据包中的目标IP地址和端口号。当数据包从外部网络传输到内部网络时，DNAT会将数据包中的目标IP地址和端口号替换为内部网络中对应的IP地址和端口号，以便正确地将数据包传递给内部主机，从而保护自己的服务器不暴露在公网中，以免受到攻击。 同时，DNAT功能可以实现VPC内多个云主机共享弹性IP，为互联网提供服务。 DNAT规则是否支持更新操作？ 支持 进入NAT网关实例详情页，选择DNAT规则，点击需要修改的DNAT规则操作列中的“修改”按钮，即可修改DNAT规则。 操作流程详见管理DNAT规则。

本小节介绍如何购买第三方证书部署服务。 操作场景 已上传的第三方证书支持一键部署到天翼云上弹性负载均衡 、Web应用防火墙（原生版） 、CDN加速相关产品，提升业务便捷性。 操作步骤 1. 登录证书管理服务控制台。 2. 单击“购买证书”，进入到证书管理服务产品购买页面。 3. 服务类型选择“第三方证书部署服务”。 4. 选择第三方证书部署服务的购买数量，单次最多可购买200个。 5. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”下单。 6. 单击“提交订单”，在弹出的“订单详情”页确认订单信息。 7. 单击“立即支付”，完成第三方证书部署服务的购买。

在使用公共算力服务之前,您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册,如果您拥有天翼云的账号,可登录后直接使用公共算力服务。 操作步骤 1.打开天翼云门户网站，点击【免费注册】。 2.在注册页面，可选择通过短信注册或账号注册。通过短信注册请填写“手机号码”，并点“获取验证码”，如1分钟内手机未收到验证码，请再次点击“获取证码”按钮，最后勾选同意协议，点击“注册”按钮。通过账号注册请填写“登录名”、“登录密码”、“手机号码”，并点“获取验证码”，如1分钟内手机未收到验证码，请再次点击“获取证码”按钮，最后勾选同意协议，点击“注册”按钮。 3.注册成功后，即可体验天翼云服务。 4.如需实名认证，请参考账号中心实名认证。