本小节介绍证书管理服务其他证书相关常见问题。 公钥、私钥、SSL证书的关系是什么？ 公钥（Public Key）：公钥是密钥对中的一部分。它是用于加密和验证数据的非机密密钥，可以公开共享给其他人。使用公钥加密的数据只能使用与之配对的私钥进行解密。在加密通信中，公钥用于加密数据，以确保只有持有相应私钥的人才能解密和访问数据。 私钥（Private Key）：私钥是密钥对中的另一部分，与公钥配对。私钥是保密的，只有密钥的所有者可以访问和使用。私钥用于解密使用公钥加密的数据，以及对数据进行签名。私钥应当妥善保管，不应该暴露给他人。 SSL证书（SSL Certificate）：SSL证书是由数字证书颁发机构（CA）签发的包含公钥和其他相关信息的数字文件。SSL证书用于建立安全的HTTPS连接，验证服务器的真实性，并对通信进行加密。证书中的公钥用于加密会话密钥，确保只有服务器的私钥才能解密它。证书还包含有关证书所有者（例如域名所有者）和证书颁发机构的信息。 综上，SSL证书包含了公钥，它与私钥配对。公钥用于加密数据和建立安全连接，私钥用于解密数据和进行数字签名。通过SSL证书，服务器可以向客户端证明其身份，并确保通信的机密性和完整性。 数字证书通常有哪些格式？ 数字证书通常有以下几种常见的格式： X.509证书格式：X.509是一种常见的数字证书标准，定义了证书的结构和内容。X.509证书通常使用基于ASN.1（Abstract Syntax Notation One）的DER（Distinguished Encoding Rules）编码格式进行存储和传输。这种格式的证书经常用于SSL/TLS证书、代码签名证书和数字身份证书等。 PEM格式：PEM（PrivacyEnhanced Mail）是一种常见的用于存储和传输X.509证书以及相关私钥的格式。PEM格式使用Base64编码将证书和私钥转换为文本文件，并使用"BEGIN CERTIFICATE"和"END CERTIFICATE"等标识符来标记证书的起始和结束。 PKCS

本文介绍私有Bucket回源功能的适用场景和配置说明。 功能介绍 天翼云全站加速域名的回源地址可以使用客户自有源站或者天翼云媒体存储或天翼云对象存储。若客户使用媒体存储/对象存储作为源站，在新建Bucket时，其权限属性支持以下三种模式： 【公共读】公共读权限可以通过匿名身份直接读取Bucket中的数据，存在较高的安全风险，不推荐，建议选择私有模式。 【公共读写】公共读写权限可以通过匿名身份直接读取/写/删除Bucket中的数据，存在较高的安全风险，不推荐，建议选择私有模式。 【私有】只有该Bucket的拥有者或被授权者可以对该存储空间内的文件进行读写操作。媒体存储/对象存储会校验Authorization请求头，只有鉴权通过的才允许访问。 当客户权限选择【私有】时，需要参考本文档配置私有Bucket回源功能。 适用场景 回源地址使用天翼云媒体存储/对象存储并且Bucket为私有模式的场景。 注意事项 1. 开启私有Buckt回源功能前，请确认您的私有Bucket内容是否适合作为全站加速的回源内容，如存在较为敏感的信息，请勿开启此功能，或单独为全站加速创建一个独立的AK/SK，仅授权全站加速必要目录的只读权限，避免源站敏感信息泄漏。 2. Bucket如为公有模式则无需配置私有Bucket回源，直接在源站配置中选择对的存储源站即可，详情请见：源站配置。 3. 开启私有Bucket回源功能后，全站节点回源站时，会携带Authorization请求头，值为基于AK/SK及Bucket等生成的对应存储私有Bucket鉴权签名信息。 4. 私有Bucket回源功能生效的前提：在【添加域名新增源站】或 【编辑域名修改源站】时，需要选择源站类型为【媒体存储源站】或者【对象存储源站】。否则功能将无效。

对比类 对比项 分布式消息服务Kafka 开源Kafka 简单易用 立等可用 即开即用，可视化操作，自助创建，自动化部署，分钟级创建实例，立即使用，实时查看和管理消息实例。 自行准备服务器资源，安装配置必要的软件并进行配置，等待时间长。 易出错。 简单API 提供简单的实例管理RESTFul API，使用门槛低。 无 成本低廉 按需使用 提供多种规格，按需使用，支持一键式在线进行实例代理个数、磁盘存储空间和代理规格扩容。 搭建消息服务本身需要费用，而且即使没有使用，所占用资源本身依旧要收费。 成本低廉 完全托管 租户不需要单独采购硬件资源，直接使用就绪的服务，无需额外成本。 需要购买硬件资源，自行搭建整个消息服务，使用和维护成本高。 实践验证 成熟度高 经受电商网站大规模访问考验，并且已经在云服务平台许多产品中使用，广泛部署运行在分布于世界各地的电信级客户云业务系统里。满足严苛的电信级故障模式库标准。紧随社区主流版本，修复开源bug，持续上线新功能，进行版本升级。 使用开源软件成熟度低，无法保证关键业务，商业案例少；自研周期长，并需要长时间进行验证。 实践验证 能力强大 100%兼容开源，支持一键扩容，深度优化开源代码提升性能和可靠性，支持消息查询等高级特性。 功能不完善，需额外投入进行开发。 稳定可靠 稳定高可用 支持跨AZ部署，提升可靠性。故障自动发现并上报告警，保证用户关键业务的可靠运行。 需要自己开发或基于开源实现，开发成本高昂，无法保证业务可靠运行。 稳定可靠 无忧运维 后台运维对租户完全透明，整个服务运行具有完备的监控和告警功能。有异常可以及时通知相关人员。避免724小时人工值守。 需要自行开发完善运维功能，尤其是告警及通知功能，否则只能人工值守。 稳定可靠 安全保证 VPC隔离，支持SSL通道加密。 需要自行进行安全加固。

监控Agent简介 通过在主机上安装云监控Agent，为您提供主机的系统监控、进程监控等服务。 系统要求 目前只支持Linux操作系统和Windows操作系统。支持的系统如下： 操作系统 版本 Linux 天翼云提供的公共Linux镜像均支持 Windows 天翼云提供的公共Windows镜像均支持 在部分区域，对于使用标准公共版本镜像的服务器，可以在云主机详情页监控 单击“一键安装监控Agent”来实现一键安装新的监控。 安装位置 监控Agent在云主机上的安装位置如下： Linux：/usr/bin/telegraf Windows：C:Program Filesctyuntelegraftelegraf 端口说明 云主机监控Agent通过TCP协议访问远程服务器的 10063和10064 端口， 用于心跳检测与监控数据上报，以及用于查看配置和更改日志级别等。 性能说明 资源 性能说明 CPU 当监控插件稳定运行时，一般CPU的消耗小于1% 内存 当监控插件稳定运行时，一般内存的占用小于64M 插件安装包 64M 支持安装监控Agent的地区及Agent安装包下载路径 地区名称 Agent安装包下载路径 华北2 Linux： Windows： 西南2 Linux： Windows： 青岛20 Linux： Windows： 上海15 Linux： Windows： 南昌5 Linux： Windows： 华南2 Linux： Windows： 广州6 Linux： Windows： 西南1 Linux： Windows： 芜湖4 Linux： Windows： 贵阳42 Linux： Windows： 沈阳8 Linux： Windows： 杭州7 Linux： Windows： 北京9 Linux： Windows： 西安7 Linux： Windows： 西安5 Linux： Windows： 太原4 Linux： Windows： 郑州5 Linux： Windows： 常州69 Linux： Windows： 上海32 Linux： Windows： 武汉41 Linux： Windows： 华东1 Linux： Windows： 南宁23 Linux： Windows： 上海36 Linux： Windows： 上海7 Linux： Windows： 内蒙6 Linux： Windows： 北京5 Linux： Windows： 九江 Linux： Windows： 拉萨3 Linux： Windows： 杭州2 Linux： Windows： 长沙42 Linux： Windows： 中卫5 Linux： Windows： 石家庄20 Linux： Windows： 南京5 Linux： Windows： 晋中 Linux： Windows： 贵州3 Linux： Windows： 辽阳1 Linux： Windows： 福州25 Linux： Windows： 合肥2 Linux： Windows： 注意 除以上地区外，若需要下载监控Agent安装包，请参考云监控Agent管理。

监控项配置 每个监控项对应的采集器会定义一些采集参数，用户可以在页面更改采集参数，并且随着心跳参数下发到Agent，更改采集行为。比如默认情况，出于安全考虑APM不会采集redis指令里面的内容，如果用户有需求，可以更改监控项的采集参数，实现具体指令数据内容的采集。采集参数也可以定义在环境标签上面，这样对应的环境标签下的采集器会自动继承采集参数属性，实现配置自动化。 监控项视图 在指标监控详情界面，一个监控项会对应一个或者多个tab的视图，每个视图都对应一个指标集合。视图当前支持汇总表格、趋势图、最近数据表格和原始表格几种类型。

本小节包括配置手机短信登录和配置动态令牌登录。 配置手机短信登录 手机短信是以手机短信形式发送的6位随机数的动态密码，云堡垒机系统支持通过手机短信动态密码对用户登录身份进行认证。配置手机短信认证后，登录系统需同时输入静态密码和6位手机短信动态密码，才能通过身份认证，从而确保系统身份认证的安全性 。 约束限制 系统接发短信频率限制： 1分钟内发送短信不超过1条。 1小时内发送短信不超过5条 。 1天内发送短信不超过15条。 一个登录帐号仅能绑定一个可用手机号码。 云堡垒机实例安全组必须已放开短信网关IP和10743、443端口，系统才能够访问短信网关。 绑定手机号码 用户帐号绑定的手机号码必须有效，可正常接收短信。 方式一：用户绑定个人手机号码 1. 用户通过静态密码方式登录云堡垒机系统。 2. 选择右上角用户名，单击“个人中心”，进入个人中心基本信息管理页面。 3. 单击“编辑”，弹出个人信息编辑窗口。 4. 在“手机”列框，输入有效手机号码。 5. 单击“确定”，绑定手机号码。 方式二：管理员修改用户手机号码 1. 管理员登录云堡垒机系统。 2. 选择“用户 > 用户管理 ”，进入用户列表管理页面。 3. 选择目标用户，单击登录名，进入用户详情页面。 4. 在“基本信息”区域，单击“编辑”，弹出用户基本信息管理窗口。 5. 在“手机”列框，输入新手机号码。 6. 单击“确定”，即修改用户手机号码。

replace it with your exactly ports: containerPort: 80 如何为集群绑定弹性IP？ 可以通过申请弹性IP并将弹性IP绑定到集群上。 点击导航栏【资源管理】>【集群管理】，进入集群列表>点击集群名称，进入集群详情页>点击【API Server 公网IP】旁的绑定，选择已有IP，完成绑定操作。 用户也可以在创建集群的步骤中选择已有的弹性IP进行绑定。 说明 ：弹性IP需要在控制台【网络】>【弹性公网IP】处申请，具体操作请见【购买弹性IP】。 创建容器应用有哪几种方式？有什么区别？ 目前支持两种部署方式，用户可基于自身需求选择： 通过天翼云官方镜像：基于天翼云官方平台上的镜像创建容器应用，无需上传私有镜像。 上传并选择私有镜像：您可基于业务需求制作私有 docker 镜像，上传到容器镜像服务。基于该私有镜像创建容器应用。 用户如何自定义镜像？ 用户可以通过Dockerfile进行镜像制作，用户需要首先在本地安装Docker引擎，所有通过天翼云云容器引擎创建或添加的节点，系统都会自动为节点安装 1.11.2 版本的 Docker，用户也可登陆节点机器进行镜像制作，无需手动安装。若需要了解更多 Docker基础知识，请参阅 本节以Nginx镜像为例，修改官方Nginx镜像的欢迎页面，定制一个新的镜像，将欢迎页面改为“Hello, CCE!”。具体的操作步骤如下： 前往资源池控制台，点击【计算】>【弹性云主机】，获取集群节点的用户密码，使用 root 用户登录 Docker 所在的云主机。用户也可自行登陆到已安装好Docker的本地环境上进行制作； 创建一个文件夹，用于存放镜像，进入该文件夹，再通过touch命令创建一个名为 Dockerfile 的文件； mkdir mynginx cd mynginx touch Dockerfile 使用vi命令编辑 Dockerfile； vi Dockerfile 文件内容如下： FROM nginx RUN echo ' Hello,CCE! ' > /usr/share/nginx/html/index.html 其中： FROM 语句：表示使用nginx镜像作为基础； RUN 语句：表示执行echo命令，在显示器中显示一段Hello,CCE的文字； 完成编写后，使用wq！命令保存文件并退出。 构建 Docker 镜像，使用docker build 构建镜像； docker build t nginx:v3 . 其中： t 为镜像命名 . 代表本次执行的上下文路径 查看镜像。 执行以下命令，查看制作好的Docker镜像： docker images

安装补丁 登录MRS管理控制台。 1. 选择“集群列表 > 现有集群”，选中一集群并单击集群名，进入集群基本信息页面。 2. 进入“补丁信息”页面，在操作列表中单击“安装”。 3. 进入“警告”页面，选择是否开启“滚动补丁”。 说明 滚动安装补丁功能开启：补丁安装前不会停止服务，补丁安装后滚动重启服务来完成补丁安装，可以最大程度减少对集群业务的影响，但相比普通方式安装耗时更久。 滚动安装补丁功能关闭：补丁安装前会停止服务，补丁安装后再重新启动服务来完成补丁安装，会造成集群和服务暂时中断，但相比滚动方式安装补丁耗时更短。 少于2个Master节点和少于3个Core节点的集群不支持滚动方式安装补丁。 4. 单击“确定”，安装目标补丁。 5. 查看补丁安装进度。 a.访问集群对应的MRS Manager，详细操作请参见访问MRS Manager（MRS2.x及之前版本）。 b.选择“系统设置 > 补丁管理”，进入补丁管理页面即可看到补丁安装进度。 说明 对于集群中被隔离的主机节点，请参见 卸载补丁 登录MRS管理控制台。 1. 选择“集群列表 > 现有集群”，选中一集群并单击集群名，进入集群基本信息页面。 2. 进入“补丁信息”页面，在操作列表中单击“卸载”。 3. 进入“警告”页面，选择是否开启“滚动补丁”。 说明 滚动卸载补丁功能开启：补丁卸载前不会停止服务，补丁卸载后滚动重启服务来完成补丁卸载，可以最大程度减少对集群业务的影响，但相比普通方式卸载耗时更久。 滚动卸载补丁功能关闭：补丁卸载前会停止所有服务，补丁卸载后再重新启动所有服务来完成补丁卸载，会造成集群和服务暂时中断，但相比滚动方式卸载补丁耗时更短。 少于2个Master节点和少于3个Core节点的集群不支持滚动方式卸载补丁。 4. 单击“确定”，卸载目标补丁。 5. 查看补丁卸载进度。 a.访问集群对应的MRS Manager，详细操作请参见访问MRS Manager（MRS2.x及之前版本）。 b.选择“系统设置 > 补丁管理”，进入补丁管理页面即可看到补丁卸载进度。 说明 对于集群中被隔离的主机节点，请参见

是否支持跨Region访问？ Kafka可以跨Region访问，但是跨Region目前只能通过公网访问或者购买云间高速服务。 Kafka实例是否支持不同的子网？ 支持。客户端与实例在相同VPC内，可以跨子网段访问。同VPC下不同子网之间默认互通。更多子网信息请参见虚拟私有云介绍。 Kafka是否支持Kerberos认证，如何开启认证？ 不支持Kerberos认证。kafka支持SASLPLAINTEXT安全接入点接入。 开启公网访问后，在哪查看公网IP地址？ 可以在实例列表设置公网IP窗口查看各节点绑定的公网IP地址。 Kafka支持服务端认证客户端吗？ Kafka 支持通过 SASL（Simple Authentication and Security Layer）等认证机制实现服务端对客户端的主动认证。SASL 是一种用于通信安全的框架，它允许在客户端和服务器之间进行认证和授权。 客户端单IP连接的个数为多少？ Kafka目前对单个IP连接数没有限制，主要取决于实例连接数，具体可参见常见问题kafka实例连接数有限制吗？ Kafka实例的内网连接地址可以修改吗？ 在实例创建后，内网连接地址不支持修改。

File system o 默认值：无 用途：系统额外的挂载选项 dirmode 默认值：0755 用途：目录的权限 filemode 默认值：0644 用途：文件的权限 uid 默认值：当前用户uid 用途：所有inode的uid gid 默认值：当前用户gid 用途：所有inode的gid setuid 默认值：当前用户uid 用途：放弃当前root权限，设置成uid setgid 默认值：当前用户gid 用途：放弃当前root组，设置成gid Debug debug 默认值：false 用途：允许通用的debug输出 debugfuse 默认值：false 用途：允许fuse相关的debug输出 debugs3 默认值：false 用途：允许s3相关的debug输出 pprof 默认值："" 用途：指定“端口”或“主机:端口”以在该端口上启用pprof HTTP分析器 f 默认值：false 用途：在前台执行zosfs logfile 默认值："" 用途：将日志重定向到文件，“stderr”（前台默认）或“syslog”（后台默认） printstats 默认值：30 time.Second 用途：I/O统计打印间隔，设置为0以禁用

本文将帮助您熟悉IPv4网关如何解绑路由表。 操作场景 创建IPv4网关后，云资源（云主机、物理机等）默认可以进行公网访问；如果您需要管理从公网进入IPv4网关的流量，需要关联网关型路由表进行流量规划。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 登录控制中心，并且已经完成虚拟私有云和IPv4网关的创建。 IPv4网关已绑定路由表。 操作步骤 1. 进入“网络控制台”页面，点击“IPv4网关”选项。 2. 找到需要解绑路由表的IPv4网关，点击该网关的名称，进入IPv4网关详情页。 3. 点击“解绑路由表”，点击“确认”即可完成路由表的绑定。

本节介绍了导出镜像的流程。 1、登录天翼云控制中心; 2、在云主机控制台，单击【镜像服务】； 3、在私有镜像列表中，在需要导出的镜像所在行，单击操作列的“更多 > 导出”。 4、在“导出镜像”对话框中，填写对应参数。 快速导出：大于128GB的镜像必须勾选“使用快速导出”，勾选后将无法指定导出格式，只能为zvhd2格式。 格式：目前支持qcow2、vmdk、vhd、zvhd格式，请根据需要进行选择。 名称：输入一个方便您识别的名称。 存储路径：单击展开桶列表，选择一个用来存储镜像的OBS桶。 5、单击“确定”。 在私有镜像列表上方可以查看镜像导出任务进程。 6、完成镜像导出。

本章节介绍故障演练服务中创建VPC终端节点相关功能。 概述 在为弹性云主机 和云容器引擎 安装探针之前，需要先建立故障演练服务控制面与目标实例间的网络连通性，具体是通过创建VPC终端节点实现。 创建步骤 1. 登录VPC终端节点控制台。 2. 单击左侧菜单栏终端节点 ，点击页面右上角创建终端节点。 3. 服务类型 选择按服务实例ID查找服务。 4. 可用服务 中，填入故障演练专属服务实例ID （见下表），点击验证。 5. 虚拟私有云 选择目标故障演练资源所属VPC ，子网选择目标资源相关的子网。 6. 点击下一步确认订单 ，开通VPC终端节点。 服务列表 资源池 服务实例ID 服务实例名称 华东1 endpserjraeobv2mr vpcectgchaosserverhd1 西南1 endpserh1ti3dqy70 vpcectgchaosserverxn1 华北2 endpser1k6c0s0fdc vpcectgchaosserverhb2 西安7 endpserq2im8cy7tj vpcectgchaosserverxa7

升级类型 说明 操作方式 最新版本 操作系统 支持升级场景： 操作系统版本升级 操作系统类型变更 该操作会通过重置节点的方式升级操作系统，关于节点重置详情参见 参见 Kubelet 当对应版本的集群，kubelet发布了新的版本，可以将该节点池内节点的kubelet升级到最新版本 采取原地升级的方式升级kubelet组件 参见 容器运行时 当对应版本的集群，容器运行时发布了新的版本，可以将该节点池内节点的运行时升级到最新版本 采取原地升级的方式升级容器运行时 参见下文“集群版本与Kubelet对应关系”

本节主要介绍快速清理已删除节点上的CCE组件。 使用场景 若集群中包含包周期节点或纳管节点，删除对应集群和节点不会删除对应的ECS，此时请按照界面提示清理节点上CCE组件。若未按照提示清理节点组件，后续需要清理ECS时，可按照如下操作进行清理。 注意 卸载将会删除弹性云主机上的CCE系统用户paas以及docker相关资源，执行清理操作前，若有关键数据需要保留，请提前备份。 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“集群管理 > 节点管理”，在右侧的节点列表中找到要执行操作的纳管节点，在节点的“操作”区域下单击“更多 > 移除”。 步骤 2 在弹出的“移除纳管节点”对话框中输入"REMOVE"确认移除节点，单击“确认”。 步骤 3 认真阅读弹出的“提示”页面内容，按照步骤清理CCE相关资源。

操作场景 集群中的节点关机后，该节点以及节点内的业务将停止运行，节点关机前，请先确认您的正常业务运行将不受影响，请谨慎操作。节点关机后不再收费。 约束与限制 节点关机会涉及Pod迁移，可能会影响业务，请在业务低峰期操作。 操作过程中可能存在非预期风险，请提前做好相关的数据备份。 操作过程中，后台会把当前节点设置为不可调度状态。 节点关机仅能对工作节点关机，不会对控制节点关机。 操作方法 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点管理”。 步骤 2 在节点管理列表中，单击待关机节点的名称。 步骤 3 在打开的节点管理详情页中，单击节点名称。 步骤 4 页面跳转至弹性云主机详情页中，单击右上角的“关机”，在弹出的关机窗口中单击“是”，即可完成关机操作。

本页介绍天翼云TeleDB数据库文件位置相关参数。 datadirectory (string) 指定用于数据存储的目录。这个选项只能在服务器启动时设置。 configfile (string) 指定主服务器配置文件postgresql.conf。这个参数只能在postgres命令行上设置。 hbafile (string) 指定基于主机认证配置文件pghba.conf。 这个参数只能在服务器启动的时候设置。 identfile (string) 指定用于用户名称映射的配置文件pgident.conf。 这个参数只能在服务器启动的时候设置。 externalpidfile (string) 指定可被服务器创建的用于管理程序的额外进程ID（PID）文件。这个参数只能在服务器启动的时候设置。 在默认安装中不会显式设置以上参数。相反，命令行参数D或者环境变量PGDATA指定数据目录，并且上述配置文件都能在数据目录中找到。 不建议更改上述参数默认值。

说明：本章介绍天翼云关系型数据库各项功能介绍 天翼云关系型数据库是托管型数据库，为用户提供的主要功能包括： 支持MySQL（5.6、5.7、8.0） 支持通过内网IP地址及端口访问数据库实例，处在同一VPC内的云主机和数据库实例可相互访问 支持为RDS绑定公网IP，通过公网IP访问数据库实例 支持单机实例、一主一备实例、一主两备实例和只读实例（最多5个只读实例） 支持对RDS实例进行CPU/内存、存储空间的扩容 支持根据业务需求指定数据自动备份策略（最多保留7个自动备份），也可进行手动备份及备份恢复 支持对数据库参数的调整 支持查看实例运行的系统资源监控指标，如CPU、内存使用率等，还可查看MySQL数据库指标，如QPS/TPS 支持数据库错误日志及SQL慢日志查询

专属资源服务 可按用户需求提供专属云（计算独享型）、专属云（存储独享型）等资源服务 专属基础服务 可按用户需求提供虚拟私有云、弹性IP、弹性伸缩服务等基础服务 一站式部署和运维 一键创建Kubernetes集群，自动化部署、运维容器应用，整个生命周期都在专属云容器服务内一站式完成 丰富的应用调度策略 支持多种亲和反亲和调度策略，用户可方便地根据应用特点在高性能和高可靠中找到平衡点 灵活的弹性伸缩策略 支持按性能、按时间、按周期的弹性伸缩策略，用户可自由组合策略以应对多变的突发浪涌 兼容原生Kubernetes和Docker 定期同步最新kubernetes版本，兼容原生API和kubectl命令行 与天翼云基础资源深度整合 支持在专属云容器中使用云主机、VPC、弹性IP、弹性负载均衡、云硬盘等资源

本章介绍文件备份操作流程。 文件备份操作流程如下图所示： 1. 创建混合云备份存储库：创建用于存放文件备份的存储库。在安装文件备份客户端前需要先完成存储库的创建。 2. 下载并安装客户端：进行文件备份前需要先在目标服务器上下载和安装客户端，安装完成后，云服务备份系统会自动发现已安装客户端的主机，显示在文件备份客户端列表中。 3. 配置存储库：将目标客户端配置至对应的备份存储库，文件目录产生的备份将存放在存储库中。 4. 新增备份文件：添加目标客户端中需要备份的文件目录路径。 5. 创建文件备份：可为资源创建手动备份和自动备份，备份将存放在存储库中。 6. 使用文件备份恢复数据：可以使用云上备份将数据恢复至原服务器或新服务器均可。

角色实例列表 角色实例列表包含了该服务中所有的角色在集群中的实例情况，列表可显示每个实例的运行状态、配置状态、实例对应的主机以及相关的IP地址信息等。 实例运行状态 状态 说明 良好 表示实例当前运行正常。 故障 表示实例当前无法正常工作。 已退服 表示实例处于退服状态。 未启动 表示实例已停止。 未知 表示实例的初始状态信息无法检测。 正在启动 表示实例正在执行启动过程。 正在停止 表示实例正在执行停止过程。 正在恢复 表示实例可能存在异常正在自动修复。 正在退服 表示实例正在执行退服过程。 正在入服 表示实例正在执行入服过程。 启动失败 表示实例启动操作失败。 停止失败 表示实例停止操作失败。 实例详情 单击实例名称可进入实例详情页面，可查看实例基本信息、配置文件、实例日志以及该实例相关的监控指标图表。

尊敬的天翼云用户： 您好！ 为确保您的SSL证书持续符合行业安全规范，我们特此通知一项由全球证书颁发机构与浏览器论坛（CA/B Forum）制定的重要政策变更。 变更背景 根据CA/B论坛最新投票决议（SC081），自2026年3月15日 起，所有公开信任的SSL/TLS证书最长有效期将缩短至199天。 此项变更是全球范围内提升网络安全的重要举措，极大地降低了私钥在签发前泄露的风险，从而加强了数字证书作为互联网信任基石的安全性。 影响范围 证书版本 加密标准 有效期 Secursite、Geotrust、TrustAsia 国际标准 2026年2月24日~2027年3月15日签发的证书，有效期最长为199天。 标准版 国际标准 2026年3月1日~2027年3月15日签发的证书，有效期最长为199天。 CFCA 国际标准 2026年3月14日~2027年3月15日签发的证书，有效期最长为199天。 Globalsign 国际标准 2026年3月15日~2027年3月15日签发的证书，有效期最长为199天。 Secursite、Geotrust、TrustAsia、标准版、CFCA、Globalsign 国际标准 2027年3月15日之后签发的证书，有效期最长为99天。 说明 国密算法证书：标准版、CFCA、TrustAisa品牌国密算法SM2证书，有效期不变，暂不受该政策影响。 私有（内网）证书：有效期不变，暂不受该政策影响。 测试证书：免费的测试证书有效期依然为3个月，暂不受该政策影响。

平台侧确认注册成功 NVR设备注册完成后，等待大约1分钟后（不同的设备等待时间略有差异），在天翼云智能视图服务控制台的设备管理页面查看该设备，如果是在线状态，说明设备接入成功。 国标下级平台接入 添加下级平台 在添加设备的接入配置页面，下拉设备分类选择【Platform】，填写设备名称，选择GB28181凭证等相关信息后，进入下一步。 在设备配置页面，和添加国标IPC一致，选择厂商、接入区域、设备地址和所属行业等相关信息后，点击【提交】完成下级平台添加。 获取接入信息 在设备列表选中创建的下级平台，点击【查看详情】获取接入信息并提供给下级平台。 配置计费模式 下级平台注册成功后，在设备列表选中下级平台，点击【同步】获取下级平台推送的设备列表，切换至【配置信息】页面为设备配置有效的计费模式，设备才能正常上线使用。 GB35114协议接入 GB35114是公共安全视频监控联网信息安全技术标准，在GB/T 28181的基础上对监控联网视频信息以及控制信令信息保护提出了进一步的安全要求，使用国密算法、数字签名、数字证书等技术确保前端设备身份真实可信、控制信令来源可信、内容防篡改，保护视频数据不泄密。

本节介绍如何为漏洞扫描v1.0开启/切换IPv6防护。 子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 漏洞扫描系统开通 在设备成功开通后，默认一张网卡设定为管理网卡，以供单点登录设备时使用；需新增一张网卡专门用于业务操作。 漏洞扫描系统开通 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”。 4. 在资源概览页面右上角，单击“立即购买”。 5. 在购买页面配置基础信息（包括区域 、虚拟私有云 、子网、可用区 和CPU分类 ），套餐选择自定义中的漏洞扫描、并进行产品规格配置。 6. 选择购买时长后，勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“立即购买”。完成购买后等待资源开通成功。 新增业务网卡 1. 创建弹性网卡 在天翼云控制中心服务列表页，选择“网络 > 虚拟私有云”；在网络控制台左侧导航栏，选择“弹性网卡”，单击弹性网卡页面右上角的“创建弹性网卡”，配置弹性网卡的区域、名称、VPC、子网、安全组等信息，点击“确定”。 2. 绑定网卡 在云等保专区左侧导航栏，选择“漏洞扫描”，在开通的设备右侧操作列点击“更多 > 绑定网卡”，选中上一步创建的弹性网卡，点击“确定”。 3. 重启漏洞扫描系统 在云等保专区左侧导航栏，选择“漏洞扫描”，在开通的设备右侧操作列点击“更多 > 重启”。 登录漏洞扫描系统 在云等保专区左侧导航栏，选择“漏洞扫描”，在目标资源右侧操作列单击“配置”，进入漏洞扫描系统。 开启IPv6防护 开通漏洞扫描v1.0后，还需要配置网络才能开启IPv6防护，请提交工单联系技术支持进行配置。

应用场景 客户端IP指的是访问者（用户设备）的IP地址。在Web应用开发中，通常需要获取客户端真实的IP地址。例如，投票系统为了防止刷票，需要通过获取客户端真实IP地址，限制每个客户端IP地址只能投票一次。 当您的网站已接入Web应用防火墙（Web Application Firewall，简称WAF）进行安全防护后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。此时，您可直接通过WAF获取客户端的真实IP，也可以通过配置网站服务器获取客户端的真实IP。 本章节介绍了通过WAF直接获取真实IP的方法，以及不同类型的Web应用服务器（包括Tomcat、Apache、Nginx、IIS 6和IIS 7）如何进行相关设置，以获取客户端的真实IP。 方案架构 通常情况下，网站访问并不是简单地从用户的浏览器直达服务器，中间可能部署有CDN、WAF、高防等代理服务器（架构为“用户> CDN/WAF/高防等代理服务 > 源站服务器”）。 说明 当网站没有接入到WAF前，DNS直接解析到源站的IP，用户直接访问服务器。 当网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 在这种情况下，访问请求到达源站服务器之前可能经过了多层安全代理转发或加速代理转发，服务器如何获取发起请求的真实客户端IP呢？ 一个透明的代理服务器在把用户的HTTP请求转到下一环节的服务器时，会在HTTP的头部中加入一条“XForwardedFor”记录，用来记录用户的真实IP，其形式为“XForwardedFor：客户端的真实IP，代理服务器1IP， 代理服务器2IP，代理服务器3IP，……”。 因此，您可以通过获取“XForwardedFor”对应的第一个IP来得到客户端的真实IP。

枚举参数 无 请求示例 请求url 无 请求头header {"regionid": "100054c0416811e9a6690242ac110002","ContentType":"application/json","urlType": "CTAPI"} 请求体body {"vulAnnouncementId":"CTyunOSSA202341697","currentPage":1,"pageSize":10} 响应示例 { "statusCode": "200", "error": "CTCSSCN000000", "message": "查询成功!", "returnObj":{ "title": "CTyunOSSA202341697: nghttp2 security update", "vulAnnouncementId": "CTyunOSSA202341697", "vulType": "LINUX", "publishAt": "20231013", "description": "CTyunOSSA202341697: nghttp2 security update", "url": " /support/safetyDetail?idCTyunOSSA202341697", "cveDetailPageInfo": { "total": 1, "list": { "cveId": "CVE202344487", "vulAnnouncementId": "CTyunOSSA202341697", "title": "HTTP/2 Rapid Reset 拒绝服务漏洞 (CVE202344487)", "publishAt": "20231013", "description": "HTTP/2协议允许客户端通过发送RSTSTREAM帧来指示服务器应该取消之前的流。该协议允许客户端单方面请求取消，这种攻击被称为快速重置。在HTTP/2快速重置攻击中，客户端一次打开大量流，但不等待服务器或代理对每个请求流的响应，而是立即取消每个请求，通过大规模利用请求取消请求取消快速重置攻击，会导致服务器CPU资源快速消耗，达到DoS。", "url": "[ "solution": "协议漏洞，建议关闭HTTP/2协议，降级到HTTP/1.1，或更新各类产品相关安全设置，比如nginx默认配置下最多保持1000个HTTP连接，只要服务器性能不太差默认配置下不受该漏洞影响；而jetty则受漏洞影响，需要更新至最新安全版本。", "vulLabel": "未加控制的资源消耗（资源穷尽）", "rebootRequired": false, "ratingLevel": 3 } ], "pageNum": 1, "pageSize": 10, "size": 0, "startRow": 0, "endRow": 0, "pages": 0, "prePage": 0, "nextPage": 0, "isFirstPage": false, "isLastPage": false, "hasPreviousPage": false, "hasNextPage": false, "navigatePages": 0, "navigatepageNums": null, "navigateFirstPage": 0, "navigateLastPage": 0 } } }

本页介绍分布式融合数据库HTAP的审计管理功能。 审计管理简介 数据库审计能够对数据库操作进行细粒度的合规性审计管理，针对数据库 SQL 注入、异常操作等数据库风险行为进行记录，为数据库提供完善的安全诊断和管理功能，提高数据资产安全。 用户通过在控制台的审计管理 > 审计规则界面配置审计规则，然后在审计管理 > 审计策略界面设置具体数据库实例的审计策略（包含关联的审计规则，审计启停开关等），再通过审计管理 > 审计日志界面查看具体实例的审计日志。 注意事项 开启审计后，对分布式融合数据库HTAP的系统性能会有一定的影响。 约束限制 审计日志使用的空间大小不能超过 5 GB。 审计规则管理 新建规则 在审计规则界面，点击新建规则按钮，在弹出的新建规则界面填写相关信息并提交。 规则名，建议小写字母、数字组合。规则的描述，建议长度在128以内。 审计规则包含了客户端IP、客户端端口、SQL命令等参数规则的定义。当所有参数规则都满足时，才会输出到审计日志。 参数规则说明： 参数 类型 取值说明 客户端IP string 数据库连接的客户端IP。 客户端端口 number 数据库连接的客户端端口。 数据库账户 string 数据库连接的账户。 数据库名称 string 数据库连接的当前 database 名称。 SQL命令 string SQL 查询语句。 SQL类型 string sqltype。 影响行数 number 更新操作影响的行数。 执行时间(ms) number 查询耗时。 参数规则的匹配类型说明： 匹配类型 含义 适用的参数类型 无 不含该参数规则 string、number 如果查询SQL 该参数的值等于特征值 string、number ! 不等于 string、number > 大于或等于 number < 小于 number in 包含子串 string ni 不含子串 string re 正则表达式 ，遵循 RE2 语法 string 如果审计规则所有参数的匹配类型都设置为无，相当于不含任何参数规则，因此基于该审计规则审计所有查询时不会输出审计日志。输出审计日志的前提是符合审计规则的所有参数规则（参数规则间是与的关系，必须同时满足）。

本文介绍私有Bucket回源功能的适用场景和配置说明。 功能介绍 天翼云CDN加速域名的回源地址可以使用客户自有源站、天翼云媒体存储或天翼云对象存储。若客户使用天翼云媒体存储/对象存储作为源站，在新建Bucket时，其权限属性支持以下三种模式： 【公共读】公共读权限可以通过匿名身份直接读取Bucket中的数据，存在较高的安全风险，不推荐，建议选择私有模式。 【公共读写】公共读写权限可以通过匿名身份直接读取/写/删除Bucket中的数据，存在较高的安全风险，不推荐，建议选择私有模式。 【私有】只有该Bucket的拥有者或被授权者可以对该存储空间内的文件进行读写操作。媒体存储会校验Authorization请求头，只有鉴权通过的才允许访问。 当客户权限选择【私有】时，需要参考本文档配置私有Bucket回源功能。 适用场景 回源地址使用天翼云媒体存储/对象存储并且Bucket为私有模式的场景。 注意事项 1. 开启私有Bucket回源功能前，请确认您的私有Bucket内容是否适合作为CDN加速的回源内容，如存在较为敏感的信息，请勿开启此功能，或单独为CDN创建一个独立的AK/SK，仅授权CDN必要目录的只读权限，避免源站敏感信息泄漏。 2. Bucket如为公有模式则无需配置私有Bucket回源，直接在源站配置中选择对应存储源站即可，详情请见：源站配置。 3. 开启私有Bucket回源功能后，CDN节点回存储源站时，会携带Authorization请求头，值为基于AK/SK及Bucket等生成的对应存储私有Bucket鉴权的签名信息。 4. 私有Bucket回源功能生效的前提：在【添加域名新增源站】或 【编辑域名修改源站】时，需要选择源站类型为【媒体存储源站】或者【对象存储源站】，否则功能将无效。

负载均衡 3.以root用户登录HBase客户端所在节点。进入客户端安装目录，设置环境变量： cd 客户端安装目录 source bigdataenv 如果集群采用安全版本，要进行安全认证。执行kinit hbase命令，按提示输入密码（向管理员获取密码）。 4.执行以下命令进入hbase shell，查看目前负载均衡功能是否打开： hbase shell balancerenabled 是，执行步骤6。 否，执行步骤5。 5.在hbase shell，中执行命令打开负载均衡功能，并执行命令查看确认成功打开： balanceswitch true balancerenabled 6.执行balancer命令手动触发负载均衡。 说明 建议打开和手动触发负载均衡操作在业务低峰期进行。 7.FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HBase”，单击“HMaster(主)”，打开该HBase实例的WebUI，刷新页面查看Region分布是否均衡。 是，执行步骤8。 否，执行步骤21。 8.观察该告警是否清除。 是，处理完毕。 否，执行步骤9。 清理无用HBase表 说明 在清理过程中，请谨慎操作，确保删除数据的准确性。 9.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HBase”，单击“HMaster(主)”，打开该HBase实例的WebUI，查看该HBase服务实例上存储的表并记录可删除的无用表。 10.在hbase shell中，执行disable和drop命令，确认删除无用表，以减少Region数： disable '待删除表名' drop '待删除表名' 11.在hbase shell中，执行命令查看目前负载均衡功能是否打开： balancerenabled 是，执行步骤13。 否，执行步骤12。 12.在hbase shell中，执行命令打开负载均衡功能并确认成功打开： balanceswitch true balancerenabled 13.在hbase shell中，执行balancer命令手动触发负载均衡。 14.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HBase”，单击产生该告警的HBase服务实例，单击“HMaster(主)”，打开该HBase实例的WebUI，刷新页面查看Region分布是否均衡。 是，执行步骤15。 否，执行步骤21。 15.观察该告警是否清除。 是，处理完毕。 否，执行步骤16。

告警规则在何种情况下会触发“数据不足”？ 当某一个告警规则监控的告警指标连续三个小时内未上报监控数据，此时告警规则的状态将变为“数据不足”。 特殊情况下，如果指标的上报周期大于三个小时，连续三个周期均未上报监控数据，则告警规则状态变为“数据不足”。 如何查看数据盘的磁盘使用率和创建告警通知？ 磁盘使用率指标需要您安装主机监控Agent。安装Agent后，如果需要创建磁盘使用率的告警通知，请在创建主机监控的告警通知时，告警策略选择“(Agent)磁盘使用率(推荐)”，并选择磁盘挂载点。 安装Agent后，您可以在管理控制台查看数据盘的磁盘使用率。查看方法如下：在操作系统监控指标查看页面，选择“磁盘”页签，然后选择右侧的挂载点。 如何修改告警通知中云帐号联系人和主题订阅者的电话、邮箱等信息？ 云监控的告警通知对象可以是“云帐号联系人”也可以是主题的订阅者。 下面为您介绍当通知对象分别是“云帐号联系人”或主题的订阅者时的电话和邮箱修改方法。 云帐号联系人为告警通知对象时 当您设置的告警通知联系人为“云帐号联系人”时，表示告警发送对象是您注册时的手机号码和邮箱。 可在“帐号中心”查询和更新您的手机号码和邮箱。更新相关信息后，告警通知系统会自动发送到新的手机号码和新邮箱中。查询和更新电话号码的步骤如下： 1. 登录管理控制台。 2. 在管理控制台右上角的用户名下单击“基本信息”。 进入“帐号中心”。 3. 单击“手机号码”或“注册邮箱”后的“修改”。 4. 根据页面提示完成手机号码或邮箱的修改。 如何将告警通知发送给子帐号？ 如您想要将告警通知发给子帐号，可以通过5创建主题并添加订阅（在订阅信息中配置您的手机号码或邮箱），然后在创建告警规则时选择告警通知对象为您创建的主题。 为什么在带宽的监控数据中没有超限记录，但还是收到了带宽超限的告警通知短信？ 出现此种情况，可能是您的事件监控的告警机制配置的“立即触发”，而带宽的监控数据聚合方式默认为5分钟内的平均值。因此您收到了事件告警的短信通知，但监控数据是正常的。

本节介绍什么是边缘裸金属实例。 定义 ECX裸金属（Edge Bare Metal, EBM）是为用户提供的独享物理机服务，兼具虚拟机弹性能力和物理机的高性能，可由一个或多个独立服务器组成，支持用户自定义装机，适配超多场景。 适用场景 高性能计算场景，这类场景处理的数据量大，对服务器的计算性能要求很高。例如，科研计算、基因测序等高性能计算场景。虚拟化带来的性能损耗和超线程等对裸金属服务器影响不大，裸金属服务器可以满足高性能计算的需求。 高度定制化场景，这类场景需要高度定制化的服务器环境，且对具体硬件配置等有专业要求。例如，某些关键的数据库业务不能部署在虚拟机上，一定要通过资源专享、网络隔离、性能有保障的物理服务器承载。裸金属服务器为用户提供独享的高性能的物理服务器，可以满足此类场景下的业务需求。 对安全和监管要求高的场景，这类场景是客户对业务部署的合规性，以及数据安全有苛刻的要求。例如，金融、证券等。采用裸金属服务器部署，能够确保资源独享、数据隔离、可监管可追溯。

本章节主要介绍ALM12006 节点故障。 告警解释 Controller按30秒周期检测NodeAgent心跳。当Controller未接收到某一个NodeAgent的心跳，则尝试重启该NodeAgent进程，如果连续三次重启失败，产生该告警。 当Controller可以正常接收时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12006 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 节点业务无法提供。 可能原因 网络断连、硬件故障或操作系统执行命令缓慢。 处理步骤 检查网络是否断连、硬件是否故障或者操作系统执行命令缓慢 1. 在FusionInsight Manager页面，选择“运维 > 告警 > 告警”，单击此告警所在行的，单击主机名，查看该告警的主机地址。 2. 以root用户登录主管理节点。 3. 执行ping 故障主机IP地址命令检查故障节点是否可达。 是，执行步骤12。 否，执行步骤4。 4. 联系网络管理员查看是否为网络故障。 是，执行步骤5。 否，执行步骤6。 5. 修复网络故障，查看告警列表中，该告警是否已清除。 是，处理完毕。 否，执行步骤6。 6. 联系系统管理员查看是否节点硬件故障（CPU或者内存等）。 是，执行步骤7。 否，执行步骤12。 7. 维修或者更换故障部件，并重启节点。查看告警列表中，该告警是否已清除。 是，处理完毕。 否，执行步骤8。 8. 当集群中上报大量的节点故障时，可能是浮动IP资源异常导致Controller无法检测NodeAgent心跳。 登录任一管理节点，查看“/var/log/Bigdata/omm/oms/ha/scriptlog/floatip.log”，查看故障出现前后12分钟的日志是否完整。 例如：完整日志为如下格式： 20171209 04:10:51,000 INFO (floatip) Read from ${BIGDATAHOME}/omserver8.1.0.1/om/etc/om/routeSetConf.ini,value is : yes 20171209 04:10:51,000 INFO (floatip) check wsNetExport : eth0 is up. 20171209 04:10:51,000 INFO (floatip) check omNetExport : eth0 is up. 20171209 04:10:51,000 INFO (floatip) check wsInterface : eRth0:oms, wsFloatIp: XXX.XXX.XXX.XXX. 20171209 04:10:51,000 INFO (floatip) check omInterface : eth0:oms, omFloatIp: XXX.XXX.XXX.XXX. 20171209 04:10:51,000 INFO (floatip) check wsFloatIp : XXX.XXX.XXX.XXX is reachable. 20171209 04:10:52,000 INFO (floatip) check omFloatIp : XXX.XXX.XXX.XXX is reachable. 是，执行步骤12。 否，执行步骤9。 9. 查看检测完wsNetExport后是否打印omNetExport的检测日志或两条日志打印间隔时间超过10s或更长。 是，执行步骤10。 否，执行步骤12。 10. 查看操作系统的“/var/log/message”，查看故障出现时间段是否有sssd频繁重启或者nscd异常信息（Red Hat操作系统确认sssd信息，SUSE操作系统确认nscd信息）。 sssd重启样例 Feb 7 11:38:1610132190105 sssd[pam]: Shutting down Feb 7 11:38:16 10132190105 sssd[nss]:Shutting down Feb 7 11:38:16 10132190105 sssd[nss]:Shutting down Feb 7 11:38:16 10132190105sssd[be[default]]: Shutting down Feb 7 11:38:16 10132190105 sssd:Starting up Feb 7 11:38:16 10132190105sssd[be[default]]: Starting up Feb 7 11:38:16 10132190105 sssd[nss]:Starting up Feb 7 11:38:16 10132190105 sssd[pam]:Starting up nscd异常信息样例 Feb 11 11:44:42 1012020533 nscd: nssldap: failed to bind to LDAP server ldaps://10.120.205.55:21780: Can't contact LDAP server Feb 11 11:44:43 1012020533 ntpq: nssldap: failed to bind to LDAP server ldaps://10.120.205.55:21780: Can't contact LDAP server Feb 11 11:44:44 1012020533 ntpq: nssldap: failed to bind to LDAP server ldaps://10.120.205.92:21780: Can't contact LDAP server 是，执行步骤11。 否，执行步骤12。 11. 排查LdapServer节点是否故障，例如业务IP不可达、网络延时过长等；若故障为阶段性，则需在故障时排查，并尝试执行top命令查看是否存在异常软件。