相关服务 交互功能 弹性云服务器(ECS) RDSPostgreSQL配合弹性云服务器 (Elastic Cloud Server，简称ECS)一起使用，通过内网连接RDSPostgreSQL可以有效地降低应用响应时间、节省公网流量费用。 虚拟私有云(VPC) 对您的RDSPostgreSQL实例进行网络隔离和访问控制。 弹性IP(EIP) 为您的实例提供公网访问方式。 数据迁移工具(DTS) 使用数据复制服务，实现数据库平滑迁移上云。 数据库管理工具(DAS) 使用数据管理服务，通过专业优质的可视化操作界面，提高数据管理工作的效率和安全。 数据库专家服务 专家团队为您提供数据库安装部署、健康巡检、应急响应、性能调优、架构规划设计、数据迁移咨询、备份恢复咨询等各类数据库专业服务，解决数据库各类问题，为您的数据库系统保驾护航。

为了极致的使用体验,本文帮助您更快了解如何主动访问公网。 单个ECS访问公网 当您的某台ECS需要主动访问公网，可以为ECS绑定EIP，即可实现公网访问。天翼云提供多种计费方式（按需、按流量等）供您选择，无需使用时支持灵活解绑。 图3 EIP 多个ECS访问公网 当您的VPC内ECS都有公网访问需求时，可以使用NAT网关服务，按子网配置SNAT规则，轻松构建VPC的公网出口。对比EIP访问公网，在未配置DNAT规则时，外部用户无法通过公网直接访问NAT网关的公网地址，保证了ECS的相对安全。 图4 NAT网关

资源名称 收费情况说明 虚拟私有云 免费 子网 免费 路由表 免费 对等连接 免费 弹性网卡 免费 辅助弹性网卡 免费 IP地址组 免费 安全组 免费 网络ACL 免费 VPC流日志 如果您使用了VPC流日志，则VPC流日志使用的云日志服务需要支付费用。 流量镜像 免费 弹性公网IP和带宽 如果您使用了弹性公网IP和带宽的相关资源，则需要支付费用。 弹性公网IP：收取弹性公网IP保有费。 您购买的按需计费弹性公网IP未绑定至任何实例（如ECS、ELB）时，会收取弹性公网IP保有费。 固定带宽：弹性公网IP以及共享带宽的带宽费用。 带宽流量：按需计费(按流量计费)弹性公网IP的流量费用。 VPC终端节点 公测阶段暂不收费。

本章节主要介绍物理机的登录类的问题。 物理机开机或者重启后，无法登录或云硬盘丢失，如何解决？ 问题描述 物理机开机或重启后，无法登录或云硬盘丢失。 可能原因 网络拥塞或者丢包导致物理机获取IP或者挂载数据卷（云硬盘）失败。 解决方案 重启物理机，如果多次重启无效，请联系客服。 远程登录物理机时，对浏览器版本有什么要求？ 用户采用远程登录方式访问物理机时，使用的浏览器应满足下表。 支持的浏览器版本 浏览器 版本 Google Chrome 31.0及以上 Mozilla FireFox 27.0及以上 Internet Explorer 10.0及以上 远程登录物理机时界面操作无响应，如何解决？ 问题描述 远程登录物理机时，按“Enter”后界面无任何响应。 可能原因 物理机操作系统内部配置不允许通过远程访问。 解决方案 登录物理机，进入操作系统进行相关设置，各操作系统的配置有所不同，以下仅提供部分操作系统配置示例， 步骤 1修改配置文件。 对于SUSE Linux Enterprise Server 12 SP2/SUSE Linux Enterprise Server 12 SP1/Ubuntu 16.04 Server/CentOS Linux 7.3/EulerOS 2.2操作系统，使用vi编辑器打开“/etc/default/grub”，在“GRUBCMDLINELINUX”字段内容后添加“consoletty0 consolettyS0”，如下图所示。 对于Oracle Linux 7.3/Red Hat Enterprise Linux 7.3操作系统，使用vi编辑器打开“/etc/sysconfig/grub”，在“GRUBCMDLINELINUX”字段内容后添加“consoletty0 consolettyS0”，如下图所示。 步骤 2 刷新配置。 对于SUSE Linux Enterprise Server 12 SP2/Oracle Linux 7.3/Red Hat Enterprise Linux 7.3/CentOS Linux 7.3/EulerOS 2.2操作系统，执行以下命令刷新。 stty F /dev/ttyS0 speed 115200 grub2mkconfig o /boot/grub2/grub.cfg systemctl enable serialgetty@ttyS0 对于Ubuntu 16.04 Server操作系统，执行以下命令刷新。 stty F /dev/ttyS0 speed 115200 grubmkconfig o /boot/grub/grub.cfg systemctl enable serialgetty@ttyS0 步骤 3（可选）修改安全配置文件。 如果使用root用户通过串口进行登录，需要修改安全配置文件。在“/etc/securetty”最后添加如下信息： 步骤 4执行reboot重启操作系统。 物理机操作系统配置完成后，重新远程登录，确认是否可以登录成功。

本节介绍如何为Web应用防火墙v1.0开启/切换IPv6防护。 子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 Web应用防火墙设备开通 在设备成功开通后，默认一张网卡设定为管理网卡，以供单点登录设备时使用；需新增一张网卡专门用于业务操作。 Web应用防火墙开通 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”。 4. 在资源概览页面右上角，单击“立即购买”。 5. 在购买页面配置基础信息（包括区域 、虚拟私有云 、子网、可用区 和CPU分类 ），套餐选择自定义中的Web应用防火墙、并进行产品规格配置。 6. 选择购买时长后，勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“立即购买”。完成购买后等待资源开通成功。 新增业务网卡 1. 创建弹性网卡 在天翼云控制中心服务列表页，选择“网络 > 虚拟私有云”；在网络控制台左侧导航栏，选择“弹性网卡”，单击弹性网卡页面右上角的“创建弹性网卡”，配置弹性网卡的区域、名称、VPC、子网、安全组等信息，点击“确定”。 2. 绑定网卡 在云等保专区左侧导航栏，选择“Web应用防火墙”，在开通的设备右侧操作列点击“更多 > 绑定网卡”，选中上一步创建的弹性网卡，点击“确定”。 3. 重启Web应用防火墙系统 在云等保专区左侧导航栏，选择“Web应用防火墙”，在开通的设备右侧操作列点击“更多 > 重启”。 登录Web应用防火墙界面 在云等保专区左侧导航栏，选择“Web应用防火墙”，在目标资源右侧操作列单击“配置”，进入Web应用防火墙界面。 开启IPv6防护 开通Web应用防火墙v1.0后，还需要配置网络才能开启IPv6防护，请提交工单联系技术支持进行配置。

本节主要介绍如何导入、导出告警。 约束与限制 仅支持导入.xlsx格式的文件，单次导入文件大小不超过5MB，且单次导入数据不超过100条。 最多支持导出9999条告警信息。 导入告警 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。 5. 在告警管理页面中，单击告警列表左上角的“更多 > 导入”。 说明 仅支持导入.xlsx格式的文件，单次导入文件大小不超过5MB，且单次导入数据不超过100条。 6. 在弹出的“导入”对话框中，单击“下载模板”，并根据模板填写要求填写待导入告警信息。 7. 待导入告警文件填写完成后，在导入告警对话框中，单击“添加文件”，选择你需要导入的Excel文件。 8. 选择完成后，单击“确定”，完成导入。 导出告警 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。 5. 单击告警列表左上角的“更多> 导出”，弹出导出对话框，系统默认导出当前告警列表中的全量告警，最多支持导出9999条告警信息。同时也支持在告警管理列表中，勾选您需要导出的告警，并单击告警列表左上角的“更多> 导出”，弹出导出对话框，该场景下仅导出用户勾选的告警。 说明 最多支持导出9999条告警信息。 6. 在导出告警对话框中，配置参数。 参数名称 参数说明 导出格式 默认导出excel格式的告警列表。 自定义导出列 选择导出表格中，需要导出的参数。 7. 单击“确定”。 系统将自动下载告警excel表格到本地。

参数 是否必填 参数类型 说明 示例 下级对象 key 是 String 上传Object的名称。如果名称包含路径，例如cts/1.jpg，则会自动创建相应的文件夹 1.jpg policy 是（有条件） String Policy规定了请求表单域的合法性，是一段经过UTF8和Base64编码的JSON文本。不包含Policy表单域的请求被认为是匿名请求，并只能访问publicreadwrite的Bucket， 当Bucket为非publicreadwrite或者提供了AccessKeyId（或Signature）表单域时，必须提供Policy表单域 acl 否 String 在文件表单域中指定Object的访问权限。取值： private,publicread， publicreadwrite authenticatedread， bucketownerread， bucketownerfullcontrol。默认private private xamzmeta 否 String 用户指定的user meta值 xamzmetalocation CacheControl 否 String 指定该对象被下载时网页的缓存行为 请参见RFC 2616 ContentType 否 String 文件类型 image/jpeg xamzsecuritytoken 否 String 安全令牌。仅在通过STS构造POST签名时需要该参数。可以通过调用STS服务的AssumeRole接口获取安全令牌 ek+NvIdz ContentDisposition 否 String 指定该对象被下载时的名称 请参见RFC 2616 ContentEncoding 否 String 指定该对象被下载时的内容编码格式 请参见RFC 2616 Expires 否 String 过期时间 请参见RFC 2616 successactionredirect 否 String 上传成功后客户端跳转到的URL。如果未指定该表单域，返回结果由successactionstatus表单域指定。如果上传失败，返回错误码，并不进行跳转 successactionstatus 否 String 未指定successactionredirect表单域时，该表单域指定了上传成功后返回给客户端的状态码。 有效值：200、201、204（默认）。其中 200或者204，返回一个空文档和相应的状态码， 201，返回一个XML文件和201状态码，如果未设置或者设置为一个非法值，返回一个空文档和204状态码。注：如果设置为null则返回400 201 file 是 String 文件或者文本内容。一次只能上传一个文件。注意：file必须为最后一个表单域

介绍配置STS角色管理的具体步骤。 适用场景 媒体存储提供STS角色管理功能，无需向临时用户透露您的长期密钥，您可以为临时用户颁发一个自定义时效和权限的访问凭证，使您的资源访问更加安全。 注意 使用STS授权访问时，请务必按照业务情况，以最细粒度的权限原则进行授权，避免放大临时用户的权限，保证资源访问安全。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 前提条件 登录媒体存储控制台。 已完成新建Bucket操作，具体可参考 新建Bucket 。 通过控制台创建STS角色 操作步骤 1. 进入对象存储控制台，进入【角色管理】 菜单。 2. 点击【添加角色】，进行角色添加。 3. 在添加角色弹窗，填写角色名称、选择受信实体、存储区域、授权资源后，点击【确认】完成创建。 配置参数 参数 参数说明 角色名称 支持英文字母、数字以及短横线。 受信实体 受信任的实体账户，可以是本账号、本账号其下的子账号以及其他主账号。 存储区域 选择该角色的授权区域。 授权资源 根据授权区域，选择授权的资源，即存储桶，支持多选。 备注 根据需求填写备注字段，不超过50个字符。 获取角色ARN信息 1. 进入对象存储控制台，进入【角色管理】 菜单。 2. 找到对应的角色，点击角色名或操作列的【查看角色】按钮。 3. 进入角色详情页面，在基础信息里可获取对应的ARN信息，用以获取STS临时密钥。 修改授权范围 如需要修改角色对应的授权资源范围，可参考如下步骤操作： 1. 进入对象存储控制台，进入【角色管理】 菜单。 2. 找到对应的角色，点击角色名或操作列的【查看角色】按钮。 3. 在角色详情页【资源范围】栏的最右侧，点击【编辑】按钮。 4. 在弹窗需修改对应的授权资源，并点击【确定】完成操作。 实践应用 STS临时凭证的实践应用，可参考 移动应用使用临时凭证直传 。

本章主要介绍翼MapReduce的恢复NameNode数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对NameNode进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对NameNode进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复NameNode任务并恢复数据。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的NameNode数据。 建议一个恢复任务只恢复一个组件的元数据，避免因停止某个服务或实例影响其他组件的数据恢复。同时恢复多个组件数据，可能导致数据恢复失败。 HBase元数据不能与NameNode元数据同时恢复，会导致数据恢复失败。 对系统的影响 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 恢复数据后需要重启NameNode，重启完成前NameNode不可访问。 恢复数据后可能导致元数据与业务数据无法匹配，HDFS进入安全模式且HDFS服务启动失败。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 登录FusionInsight Manager，请参见登录管理系统。 在FusionInsight Manager停止所有待恢复数据的NameNode角色实例，其他的HDFS角色实例必须保持正常运行，恢复数据后重启NameNode。NameNode角色实例重启前无法访问。 检查NameNode备份文件保存路径是否保存在主管理节点“ 数据存放路径 /LocalBackup/”。

本章节主要介绍使用Hive客户端 。 操作场景 该任务指导用户在运维场景或业务场景中使用Hive客户端 前提条件 已安装客户端，例如安装目录为“/opt/hadoopclient”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 各组件业务用户由系统管理员根据业务需要创建。安全模式下，“机机”用户需要下载keytab文件。“人机”用户第一次登录时需修改密码。 使用Hive客户端（MRS 3.x之前版本） 1.以客户端安装用户，登录安装客户端的节点。 2.执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3.执行以下命令配置环境变量。 source bigdataenv 4.根据集群认证模式，完成Hive客户端登录。 安全模式，则执行以下命令，完成用户认证并登录Hive客户端。 kinit 组件业务用户 beeline 普通模式，则执行以下命令，登录Hive客户端，如果不指定组件业务用户，则会以当前操作系统用户登录。 beeline n 组件业务用户 说明 进行beeline连接后，可以编写并提交HQL语句执行相关任务。如需执行Catalog客户端命令，需要先执行!q命令退出beeline环境。 5. 使用以下命令，执行HCatalog的客户端命令。 hcat e "cmd" 其中 "cmd" 必须为Hive DDL语句，如 hcat e "show tables" 。 说明 若要使用HCatalog客户端，必须从“组件管理”页面单击“下载客户端”，下载全部服务的客户端。Beeline客户端不受此限制。 由于权限模型不兼容，使用HCatalog客户端创建的表，在HiveServer客户端中不能访问，但可以使用WebHCat客户端访问。 在普通模式下使用HCatalog客户端，系统将以当前登录操作系统用户来执行DDL命令。 退出beeline客户端时请使用!q命令，不要使用“Ctrl + c”。否则会导致连接生成的临时文件无法删除，长期会累积产生大量的垃圾文件。 在使用beeline客户端时，如果需要在一行中输入多条语句，语句之间以“;”分隔，需要将“entireLineAsCommand”的值设置为“false”。 设置方法：如果未启动beeline，则执行beelineentireLineAsCommandfalse命令；如果已启动beeline，则在beeline中执行!set entireLineAsCommand false命令。 设置完成后，如果语句中含有不是表示语句结束的“;”，需要进行转义，例如 select concatws(';',collectset(col1)) from tbl 。

本节介绍了容器镜像服务:迁移自建Harbor至容器镜像服务企业版。 操作场景 对于使用自建Harbor存储容器镜像的用户，可以通过天翼云OOS迁移工具将镜像文件迁移至企业版镜像实例对象存储中，之后通过镜像导入将对象存储中的镜像导入到企业版实例。 前置条件 已开通容器镜像服务企业版实例 自建Harbor使用对象存储存储镜像 操作步骤 迁移镜像文件 参考对象迁移工具，将自建Harbor对象存储中的镜像文件迁移至企业版镜像仓库对象存储中。 创建对象存储镜像导入规则 1. 进入容器镜像服务控制台 。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击【实例管理>镜像导入】 ，并点击页面中的创建导入规则按钮。 4. 填写导入规则名称，选择源实例为对象存储并选择导入内容、目标命名空间并点击确定。 创建对象存储镜像导入任务 1. 进入容器镜像服务控制台 。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击【实例管理>镜像导入】 ，选择镜像导入规则并点击立即执行按钮。

敏感数据识别任务扫描完成后，可通过DSC服务的“识别结果”页面，查看数据资产的风险分布、风险等级以及敏感数据存在的位置。 前提条件 已至少执行过一次敏感数据识别任务。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 3. 选择左侧导航树中的“敏感数据识别 > 识别结果”，进入识别结果页面。 数据安全中心DSC统计了高风险、中风险和低风险对象的数量及分布图，分别包括大数据、数据库、OBS三个服务。 数据安全中心DSC针对扫描对象提供了详细的识别结果列表，同时，您可以在检测结果列表右上角筛选您想要查看的敏感数据识别结果，可通过风险等级、任务名称、数据类型或者对象名称进行筛选，识别结果列表参数说明如下表所示。 参数名称 参数说明 资产名称 敏感数据识别的对象名称。 数据类型 OBS、数据库、大数据 、MRS。 所属任务 任务名称，检测结果对象隶属的敏感数据检测任务名称。 未知风险信息 根据您设置的识别规则，经检测，未发现风险的资产数量。 低风险敏感信息 根据您设置的识别规则，经检测，统计的低风险（风险等级：1~3级）的资产数量。 中风险敏感信息 根据您设置的识别规则，经检测，统计的中风险（风险等级：4~7级）的资产数量。 高风险敏感信息 根据您设置的识别规则，经检测，统计的高风险（风险等级：8~10级）的资产数量。 上次识别时间 最近扫描该对象的时间。 操作 单击“查看详情”，查看该对象的识别结果明细。 4. 单击扫描对象所在行的“操作”列的“查看详情”，然后进入“结果明细”页面。 在页面的左上角的下拉框中选择任务名称、数据类型或者对象名称，可以通过筛选来查看具体扫描对象的识别结果。 单击页面的右上角的“下载识别结果”，下载风险结果报表。 敏感信息分布 可查看敏感信息的风险分布情况、对应风险等级资产的数量及其占比、Top10命中规则。 血缘图 可查看资产中敏感数据的具体名称、路径、风险等级。

此小节介绍数据库安全设置被添加的数据库需要审计的风险操作。 添加的数据库开启审计功能后，您可以通过添加风险操作，设置被添加的数据库需要审计的风险操作。 注意 一条审计数据只能命中风险操作中的一个规则。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要添加风险操作的实例。 6. 选择“风险操作”页签。在风险操作列表左上方，单击“添加风险操作”。 7. 在“添加风险操作”界面，设置基本信息和客户端IP地址，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 风险操作名称 您可以自定义风险操作的名称。 test 风险级别 选择风险操作的级别，可以选择以下级别：l 高l 中l 低l 无风险 高 状态 开启或关闭风险操作。：开启：关闭 应用到数据库 选择应用该风险操作的数据库。 客户端IP/IP段 输入客户端的IP地址或IP地址段。IP地址支持IPv4（例如，192.168.1.1）和IPv6（例如，1050:0:0:0:5:600:300c:326b）格式。 192.168.0.0 8. 设置操作类型、操作对象、执行结果，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 操作类型 风险操作的类型，包括“登录”和“操作”。当选择“操作”时，可以选择“全部操作”，或选择“数据定义（DDL）”、“数据操作（DML）”或“数据控制（DCL）”的操作。 操作 操作对象 单击“添加操作对象”后，输入“schema”、“目标表”和“字段”信息。单击“确定”，添加操作对象。 执行结果 设置“影响行数”和“执行时长”的执行条件后，输入行数和时长值 9. 单击“保存”。

云监控的主机监控服务通过在主机上安装agent插件，为您提供主机的数据监控服务。 插件版本 云监控插件版本分为：ctcmagent与telegrafagent。最新版本为telegrafagent，因新版telegrafagent具有cpu、内存消耗低等优点，如果资源池具备条件，建议您安装最新版telegrafagent。 注意 本文主要介绍ctcmagent 插件相关信息，telegrafagent相关信息参见 当前telegrafagent仅支持部分地区，除telegrafagent支持地区外即默认为ctcmagent 支持地区。telegrafagent支持地区参见 操作场景 目前ctcmagent只支持Linux操作系统和Windows操作系统。其中Windows操作系统建议为windows7及以上，Linux操作系统支持参考“Agent插件获取”章节表格中内容。 Agent插件获取 系统类型 安装包地址 说明 windows < 标准版，需python2/3基础环境。 windows 无python依赖版本 Linux x86 centos6 < Linux x86 centos7 Linux x86 UOS < Linux x86 debian10 < Linux x86 kylin < Linux x86 ubuntu1820 Linux x86 Anolis Linux x86 openEuler < Linux arm64 centos78 < Linux arm64 UOS < Linux arm64 ctyunos2 < Linux arm64 kylin < Linux arm64 openEuler < Linux arm64 ubuntu24 <

本节主要介绍IAM用户绑定MFA。 对于IAM用户，点击“访问控制”>“安全凭证”>“MFA”，可以绑定MFA。 注意 MFA认证仅IAM用户支持，但是如果没有授权使用MFA认证，则IAM用户无法进行MFA认证。 点击“绑定”，进行MFA绑定，步骤如下： 1. 安装应用 在手机端下载安装基于时间的一次性密码（TOTP）口令认证工具。 2. 绑定MFA 可以使用扫码获取和手动获取两种方式获取验证码。 注意 输入的“第一组验证码”和“第二组验证码”必须是连续的。 3. 完成 注意 如果您后续不再使用 MFA ，并希望卸载已安装的动态口令工具，请先解绑已绑定的MFA设备。如果您在未解绑MFA的情况下卸载动态口令工具，可能会造成相关用户不可用，请慎重操作。

本节为您介绍数据迁移产品咨询相关问题。 我在什么场景下使用数据迁移工具？ 当您需要将其余云服务商的数据迁移上天翼云时，您可以使用数据迁移工具帮助您有序、安全、便捷、轻松地将数字资部分或完全迁移到天翼云，同时保证云上业务的可用性、安全性以及连续性。 数据迁移工具是否支持从阿里云、天翼云等其余云迁移至天翼云？ 支持。 数据迁移工具支持市面上主流云厂商的数据迁移至天翼云，如阿里云、天翼云、AWS以及腾讯云等； 数据迁移工具是否支持将天翼云上的数据，迁移到其余云服务商或本地？ 不支持。 数据迁移工具迁移目标端仅能够选择天翼云，无法将天翼云数据迁移到本地或其他云服务商。 当我使用数据迁移工具时，是否能够要求天翼云技术人员帮助迁移？ 天翼云技术人员不直接参与您的业务迁移，您可以通过查看帮助中心，然后实行迁移； 若帮助中心未涉及您的问题，您可通过页面反馈问题，相关技术人员后续对内容进行补充； 若您需要专业的迁移方案和专属的技术支持，您可以订购我们的迁移服务，帮助您平滑迁移业务，缩短整体业务停机时间，减少上云对业务的影响，解除您的上云顾虑，让您聚焦于业务发展。

OOS会不会扫描我的数据用于其他用途？ 系统对数据做的扫描仅限于判断数据块是否存在或被损坏（如有损坏，会启动修复），不会读取具体的内容。 后台工程师能否导出我存在OOS中的数据？ 后台工程师无法导出用户数据。 使用数据迁移工具，可以迁移哪些数据至OOS？ 数据迁移工具支持下列场景的数据迁移至OOS： 搬迁本地数据至OOS。 迁移第三方云厂商数据至OOS，如阿里云、腾讯云、华为云、AmazaonS3。 OOS之间数据迁移（跨帐号、跨资源池以及同资源池内数据迁移）。 OOS是否支持数据冗余存储？ 支持。OOS支持多种冗余存储方式，包括Erasure Code（EC，纠删码）和多副本。在保证数据安全性的情况下，OOS会选择最优冗余存储方案进行数据存储。 使用OOS时，出现RequestTimeTooSkewed的报错信息，怎么处理？ 出于安全目的，OOS会校验客户端与OOS服务端的时间差，当两者相差大于15分钟时，OOS服务器会拒绝您的请求，并给出报错信息RequestTimeTooSkewed。此时，请检查发送请求设备的系统时间，并根据时区调整到正确时间。OOS的系统时间采用UTC/GMT时间，您的设备的系统时间需要调整到UTC时间，或与其相对应的时区时间。UTC是零时区的区时，即世界标准时间。

key Value evpnconnectionid 企业版VPN连接 evpnsaid 企业版VPN连接sa evpngatewayid 企业版VPN网关

企业版资源包： 资源包类型 资源包规格 资源包有效期 资源包价格 举例说明 企业版资源包 7200实例小时 1个月 850元 10个Agent，使用时间为30天，需要资源包的规格为10×24×307200 Agent小时。 企业版资源包 36,000实例小时 3个月 3900元 50个Agent，使用时间为30天，需要资源包的规格为50×24×3036000 Agent小时。 企业版资源包 144,000实例小时 6个月 14000元 200个Agent，使用时间为30天，需要资源包的规格为200×24×30144000 Agent小时。 企业版资源包 360,000实例小时 6个月 32000元 500个Agent，使用时间为30天，需要资源包的规格为500×24×30360000 Agent小时。 企业版资源包 876,000实例小时 12个月 68000元 100个Agent，使用时间为365天，需要资源包的规格为100×24×365876000 Agent小时。 企业版资源包 1,752,000实例小时 18个月 120000元 200个Agent，使用时间为365天，需要资源包的规格为200×24×3651752000 Agent小时。 企业版资源包 4,380,000实例小时 18个月 260000元 500个Agent，使用时间为365天，需要资源包的规格为500×24×3654380000 Agent小时。

sessionpreloadlibraries (string) 这个变量指定一个或者多个要在连接开始时预载入的共享库。它包含逗号分隔的库名称列表，其中每个名称都被解释为LOAD命令。项之间的空白被忽略； 如果需要在名称中包含空格或逗号，请用双引号括住库名。 这个参数只在连接开始时起效。后续的改变没有效果。如果指定的库没有找到，连接尝试将会失败。只有超级用户更够更改这个设置。这个特性的意图是允许在特定会话中载入调试用的或者测量性能的库，而不需要显式的给出一个 LOAD命令。例如，通过用ALTER ROLE SET设置这个参数可以 为一个给定用户名下的所有会话启用autoexplain。还有，无需重启 服务器就能更改这个参数（但是只有新会话启动时才会生效），这样可以以这种方式更容易地增加新模块，即便它们会应用到所有会话。和sharedpreloadlibraries不同，相对于在库被第一次使用时载入它，在会话开始时载入库并没有什么性能优势。不过，当使用连接池时这样做还是有一些优势。 sharedpreloadlibraries (string) 这个变量指定一个或者多个要在服务器启动时预载入的共享库。它包含逗号分隔的库名称列表，其中每个名称都被解释为LOAD命令。项之间的空白被忽略；如果需要在名称中包含空格或逗号，请用双引号括住库名。这个参数只能在服务器启动时设置。如果指定的库没有找到，服务器将无法启动。有些库需要执行只能在postmaster启动时发生的特定操作，例如分配共享内存、保留轻量级锁 或者启动后台工作者。这些库必须通过这个参数在服务器启动时载入。其他库也能被预载入。通过预载入一个共享库，当该库被第一次使用时就可以避免库的启动时间。不过，启动每个新服务器进程的时间可能会略有增加，即使该进程从不使用该库。因此，推荐只把这个参数用于那些要在大多数会话中使用的库上。还有，改变这个参数要求重启服务器，因此对于短期的调试任务来说这不是好的选择，应该转用 sessionpreloadlibraries。注意在 Windows 主机上，在服务器启动时预载入一个库并不会减少启动每个新服务器进程所需的时间；每一个服务器进程将会重新载入预载入的库。不过，对于那些要在postmaster启动时执行操作的库来说，Windows 主机上的 sharedpreloadlibraries任然有用。

本页介绍天翼云TeleDB数据库中透明存储加密。 透明存储加密方式（Transparent Data Encryption, TDE）是一种保护数据库中静态数据的加密技术，使数据在存储时自动加密，有助于防止未授权访问和数据泄露。透明存储加密的特点是数据在加密和解密过程对应用程序透明，该过程中应用程序无需进行任何修改，从而简化了实施流程。加密操作（函数调用）与业务侧解耦合，业务只负责传递原始数据到数据库内核，后续的加密计算在数据库内部完成，从而业务侧操作上无感知。 透明加密的方案 透明加密是由自动加密与解密和加密密钥管理两部分机制组成。 自动加密与解密：当数据写入磁盘，TDE会自动对数据进行加密。当数据从磁盘读取时, TDE会自动对数据进行解密。整个加密与解密过程，用户和应用程序将不会感知。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起到保护文件内容的效果。 加密密钥管理：TDE通常使用对称加密算法（如AES）。加密密钥被存储在数据库管理系统外部或安全位置，加密算法的由数据库维护，包括加密算法的选择、秘钥管理，都可以由安全员独立操作完成，以确保数据安全。 开启透明存储加密 TeleDB数据库支持提供TDE功能。当用户需要对磁盘上存储的数据进行加密和解密来实现对数据的保护时，可以对该功能进行开启。 注意 TDE功能仅能在实例开通时开启，且开启后无法关闭。 支持加密功能的内核版本为：5.1.5。 您可参考如下操作开启透明加密。 管控侧操作： 1. 以用户名和密码登录TeleDBDCP管理控制台。 2. 进入TeleDBDCP控制台管理页面，开通实例。您可参考《安装部署》中实例服务初始化及实例开通章节开通实例。 3. 在实例开通页面，填写基本信息页面，打开KMS开关，选择KMS机器。 说明 KMS开启后无法关闭，选择后无法更改。 数据库侧操作： 说明 用户可以通过函数创建加密算法，之后可以通过函数将创建的算法绑定到schema，表和列上，实现加密算法和数据库对象建⽴关联。同时⽀持，将已经绑定的算法从schema，表和列上解绑，从⽽取消加密算法和数据库对象之间的关联关系。 1. 创建加密算法 SELECT MLSTRANSPARENTCRYPTCREATEALGORITHM(algoname, password) 2. 注销加密算法 SELECT MLSTRANSPARENTCRYPTDROPALGORITHM(algoid) 3. 加密算法绑定 (1) 绑定到Schema SELECT MLSTRANSPARENTCRYPTALGORITHMBINDSCHEMA(schemaname, algoid) (2) 绑定到表 SELECT MLSTRANSPARENTCRYPTALGORITHMBINDTABLE(schemaname, tablename, algoid) (3) 绑定到列 SELECT MLSTRANSPARENTCRYPTALGORITHMBINDTABLE(schemaname, tablename, attrname, algoid) 4. 加密算法解绑 SELECT MLSTRANSPARENTCRYPTALGORITHMUNBINDSCHEMA(schemaname) SELECT MLSTRANSPARENTCRYPTALGORITHMUNBINDTABLE(schemaname, tablename, needcascade) 使用示例 创建管理插件 CREATE EXTENSION teledbxmls; 切换为安全管理员⽤⼾ c mlsadmin 注册内置的加密算法和对应密钥（此处使⽤国测sm4加密算法进⾏注册），获得对应的algo id select MLSTRANSPARENTCRYPTCREATEALGORITHM('SM4','0123456789012345'); select MLSTRANSPARENTCRYPTCREATEALGORITHM('AES128','0123456789012345'); c xieyuecreate table t1(id int,content int); c mlsadmin 将加密算法绑定到表上 select MLSTRANSPARENTCRYPTALGORITHMBINDTABLE('public','t1',1); insert into t1 values(1,0), (2,0), (3,0); insert into t1 values(7, 0), (8,0), (9,0);

不需要的弹性IP可进行删除/退订操作,本文将介绍操作步骤。 背景信息 按需计费的弹性IP支持删除操作。 包周期的弹性IP支持退订操作。 前提条件 要删除/退订的弹性IP必须满足以下条件： 因安全原因被锁定的弹性IP不支持删除/退订。 只有未绑定云资源的弹性IP地址才可删除/退订。 操作须知 按需计费的弹性IP在删除后会停止计费。 绑定云资源的弹性IP，有些需要到对应的云资源页面进行解绑。 操作步骤 1. 进入网络控制台，在服务列表中点击“弹性IP”按钮。 2. 在弹性IP列表找到已解绑的弹性IP，确认需要操作的弹性IP信息，点击操作列中的“删除/退订”按钮。 3. 在弹出的界面中单击“确定”完成释放。

本文介绍边缘云专线应用场景和开通流程。 边缘云专线可实现用户数据中心或第三方云或天翼云中心云与ECX边缘节点内网互通，提供安全、可靠、稳定的业务传输。 应用场景 场景：业务上云 客户需要将本地数据中心已部署的业务部分迁移到ECX边缘节点，云上的业务需要访问本地数据中心，通过搭建专线，实现云上VPC下的多个子网通过内网访问本地数据中心的服务。 专线开通流程介绍 边缘云专线不支持客户自助开通，具体开通流程如图所示： 单击ECX控制台的左侧导航栏的【边缘网络>边缘云专线】查看已开通专线列表，可单击专线名称查看专线的详细信息。

本节介绍如何下载网站扫描报告。 操作场景 当网站扫描任务成功完成后，您可以下载任务报告，报告目前只支持PDF格式。 前提条件 已成功完成网站扫描任务，即目标域名的“上一次扫描结果”状态为“已完成”。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，点击“上一次扫描结果”列中的得分，进入下载网站扫描报告入口。 4. 单击右上角的，生成网站扫描报告。如果报告已生成，则可跳过此步。生成的扫描报告会在24小时后过期。过期后，若需要下载扫描报告，请再次单击“生成报告”，重新生成扫描报告。 5. 扫描报告生成完成后，单击右上角的下载报告，将网站扫描报告下载到本地。

本节介绍如何将相关云服务的操作权限委托给态势感知（专业版）。 操作场景 云服务委托可将相关云服务的操作权限委托给态势感知（专业版），让态势感知（专业版）以您的身份使用这些云服务，代替您进行一些任务调度、资源运维等工作。 当您首次使用态势感知（专业版）时，需要先进行委托授权，才能正常访问。 前提条件 已购买态势感知（专业版）。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，进入态势感知（专业版）工作空间页面。 4. 在空间管理页面上方单击“服务委托授权当前租户”，右侧弹出授权页面。 5. 在授权页面中，默认已勾选所需全部权限，请勾选权限下方的“同意授权”，并单击“确认”。

参数 是否必填 参数类型 说明 示例 下级对象 imageCacheName 是 String 镜像缓存名字 test imageCacheSize 否 Integer 镜像缓存大小 ,默认为20G 20 retentionDays 否 Integer 镜像缓存保留时间（单位天），不传或传0表示永不过期 ，最大值3650 30 tags 否 Array of Objects 标签 tag securityGroupId 是 String 安全组ID sgtest vSwitchId 是 String 子网ID subnettest azInfo 是 Object 可用区 azInfo imageRegistryCredentials 否 Array of Objects 不带 http:// 或 https:// 前缀的镜像仓库地址 imageRegistryCredential images 是 Array of Strings 镜像列表 ["registryvpccrshuadong1.ctyun.cn/xeci/base:latest"] eip 否 Object 弹性公网 IP。如果需要拉取公网镜像，需要确保 ECI 实例能够访问公网，您可以配置 EIP 或者 NAT 网关实现公网访问。 eip vpcId 是 String 实例所在VpcId vpcctt6yag121 表 tag

限制 项 具体要求 说明 数据库实例 客户使用数据库专家服务进行服务的实例必须是客户具有权限的实例（客户自己的、客户被授权运维或类似实例）。 为防止产生安全问题和纠纷，客户使用数据库专家服务进行服务的实例必须是客户具有权限的实例。若客户违反该约定，天翼云有权立即终止客户对数据库专家服务的使用，且造成的天翼云及任何第三方的全部损失均由客户承担。 数据库权限 天翼云数据库专家在提供服务时，客户需要保证向天翼云进行必要的数据库授权。 客户需向天翼云进行必要的数据库授权，以便数据库专家提供服务。天翼云承诺按约定提供服务，并不将采集的任何数据泄露、披露或用于其他目的。

操作名称 资源类型 事件名称 用户登录 user login 用户登出 user logout 登录重置密码 user changePassword 创建用户 user createUser 删除用户 user deleteUser 修改用户 user updateUser 创建用户组 userGroup createUserGroup 删除用户组 userGroup deleteUserGroup 修改用户组 userGroup updateUserGroup 创建idp identityProvider createIdentityProvider 删除idp identityProvider deleteIdentityProvider 修改idp identityProvider updateIdentityProvider 更新metadata identityProvider updateMetadata 更新帐号登录策略 domain updateSecurityPolicies 更新密码策略 domain updatePasswordPolicies 更新ACL domain updateACLPolicies 更新安全警告策略 domain updateWarningPolicies 创建AK/SK user addCredential 删除 AK/SK user deleteCredential 修改邮箱 user modifyUserEmail 修改手机 user modifyUserMobile 修改密码 user modifyUserPassword 登录开启双因子认证 user modifySMVerify 上传头像 user modifyUserPicture 创建信任 agency createAgency 删除信任 agency deleteAgency 修改信任信息 agency updateAgency 修改latch user modifyLatchVerify 修改mc user modifyMCConnectVerify 管理员设置用户密码 user setPasswordByAdmin 切换角色 user switchRole

本章节主要介绍准备工作 在开始之前，您需要完成如下的准备工作。 步骤 1 创建虚拟私有云和子网。 虚拟私有云（Virtual Private Cloud，简称VPC）提供一个隔离的、用户自主配置和管理的虚拟网络环境，可以提升资源的安全性，简化用户的网络部署。 1. 登录虚拟私有云VPC控制台。 2. 单击右上角“创建虚拟私有云”。 3. 根据界面提示完成参数填写，单击“立即创建”。 步骤 2 创建密钥对。 新建一个密钥对，用于远程登录节点时的身份认证。 1. 登录弹性云服务器ECS控制台。 2. 选择左侧导航中的“密钥对”，单击右上角“创建密钥对”。 3. 输入密钥对名称后，单击“确定”。 4. 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 为保证安全，私钥只能下载一次，请妥善保管，否则将无法登录节点。 步骤 3 创建负载均衡。 弹性负载均衡将作为服务网格对外访问入口，被服务网格管理的应用流量，均从此实例进入并分发到后端服务。 1. 登录弹性负载均衡ELB控制台。 2. 单击右上角的“创建弹性负载均衡”。 3. 所属VPC、子网请选择步骤1中创建的虚拟私有云和子网，其他参数根据界面提示填写，单击“立即创建”。 步骤 4 创建集群。 1. 登录云容器引擎CCE控制台。 2. 选择左侧导航中的“资源管理 > 集群管理”，单击右上角“创建CCE集群”。 3. 在“服务选型”页面设置如下参数，其余参数均采用默认值。 集群名称：用户自行输入，此处设置为“cceasm”。 虚拟私有云、所在子网：选择步骤1中创建的虚拟私有云和子网。 4. 单击“下一步：创建节点”，配置添加节点的参数。除节点规格和登录方式外，其余参数保持默认。 节点规格：vCPUs为4核，内存为8GB。 说明 此规格为部署Bookinfo应用所需的最小资源。 如果在创建网格中创建的网格版本为1.3.0，则此处的节点规格需要选择8核16GB。为了保证sidecar的稳定性，1.3.0版本网格默认每个sidecar的CPU限制为1核，内存限制为512M，因此需要更多资源。 登录方式：选择步骤2中创建的密钥对，用于远程登录节点时的身份认证。 5. 单击“下一步：安装插件”，在“安装插件”步骤中选择要安装的插件。 “系统资源插件”为必装插件，“高级功能插件”可根据实际需求进行选择性安装。 6. 单击“下一步：配置确认”，阅读使用说明并勾选“我已知晓上述限制”，确认所设置的服务选型参数、规格等信息。 7. 确认订单无误后，单击“提交”，集群开始创建。 集群创建预计需要610分钟，您可以单击“返回集群管理”进行其他操作或单击“查看集群事件列表”后查看集群详情。

本文为您介绍创建资源维度监控告警的相关内容。 概述 用户可通过多活容灾服务控制台实现如下监控项： 1. 节点规则监控 2. 比较与同步规则监控 3. 主机高可用规则监控 4. 持续数据保护规则监控 5. NAS文件复制规则监控 6. 对象存储同步规则监控 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源同步管理”“监控告警”，进入监控告警列表。 5. 点击右上角“新建监控项”按钮，进入新增监控项弹窗。 6. 选择监控类型、告警方式和告警联系组，确认发送内容。 7. 点击“确定”按钮，完成监控项新增。 8. 配置完成后，点击操作列“启用”按钮，完成监控告警启用。

本文主要介绍海量文件服务OceanFS的产品概述和产品架构。 产品概述 海量文件服务OceanFS是天翼云推出的全托管、可扩展海量文件系统，满足海量数据、高带宽型应用场景的需求。OceanFS能够弹性扩展至PB规模，具备高可用性和持久性，适用于多种应用场景，包括HPC、媒体处理、文件共享、内容管理和Web服务等。 产品架构 如何访问海量文件服务 文件系统不可独立使用，也不可通过URL访问，须要挂载云主机、容器、弹性裸金属、物理机等计算服务上才可进行读写。文件系统挂载之后可以作为一个普通的磁盘来使用。 如何管理海量文件服务 天翼云提供如下方式进行海量文件服务的配置和管理： 控制台：天翼云提供Web化的服务管理平台，即控制台。 OpenAPI：天翼云提供基于HTTPS请求的API（Application programming interface）管理方式，具体参考API概览。

参数 参数说明 取值样例 规则名称 自定义输入告警规则名称。 Test 可信度 自定义您的告警规则可信度，根据业务实际情况填写可信度，填写范围：0100。 1 规则等级 在下拉框中选择您的告警规则等级。 轻微 超时时间 填写此告警规则的持续时间，时间不小于0秒。 60 关联类型 选择告警规则关联的设备类型，可选“单设备关联规则”或“多设备关联规则”。 单设备关联规则 告警类型 在下拉框中选择该条告警规则的告警类型。 用户违规异常行为 / 违规行为 攻击链类型 请您根据攻击方向或影响选择类型。 未知类型 归并方式 （可多选）基于日志详情或告警规则信息选择归并方式。 告警目标ip 设备类型 （可多选）根据您发生告警的设备进行选择。 根结点 / 主机 / 服务器/其他 资产IP （可多选）根据您选择的资产填写IP，若不填写默认匹配所有资产。 0.0.0.0 规则描述 自定义该条告警规则的内容。 整改建议 填写此条告警发生后，建议的整改规范。