本页介绍天翼云TeleDB数据库查询和索引统计收集器相关参数。 这些参数控制服务器范围的统计数据收集特性。当统计收集被启用时，被产生的数据可以通过pgstat和pgstatio系统视图族访问。 trackactivities (boolean) 启用对每个会话的当前执行命令的信息收集，还有命令开始执行的时间。这个参数默认为打开。注意即使被启用，这些信息也不是对所有用户可见，只有超级用户和拥有报告信息的会话的用户可见，因此它不会表现为一个安全风险。只有超级用户可以更改这个设置。 trackactivityquerysize (integer) 声明保留的字节数，以跟踪每个活动会话的当前执行命令，对pgstatactivity.currentquery段。缺省值是1024。这个参数只能在服务器启动时设置。指定跟踪每个活动会话当前执行命令所保留的字节数，它们被用于pgstatactivity.query域。默认值是 1024。这个参数只能在服务器启动时被设置。 trackcounts (boolean) 启用在数据库活动上的统计收集。这个参数默认为打开，因为自动清理守护进程需要被收集的信息。只有超级用户可以更改这个设置。 trackiotiming (boolean) 启用对系统I/O 调用的计时。这个参数默认为关闭，因为它将重复地向操作系统查询当前时间，这会在某些平台上导致显著的负荷。你可以使用pgtesttiming工具来度量你的系统中计时的开销。I/O 计时信息被显示在pgstatdatabase中、当BUFFERS选项被使用时的EXPLAIN输出中以及pgstatstatements中。只有超级用户可以更改这个设置。 trackfunctions (enum) 启用跟踪函数调用计数和用时。指定pl只跟踪过程语言函数，指定all还会跟踪 SQL 和 C 语言函数。默认值是none，它禁用函数统计跟踪。只有超级用户可以更改这个设置。注意简单到足以被“内联”到调用查询中的 SQL 语言函数不会被跟踪，而不管这个设置。

本文介绍IP访问限频功能适用场景和配置方法。 功能介绍 IP访问限频功能可以限制单个用户IP在天翼云CDN单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。 适用场景 1. 网站存在用户使用同个IP频繁重复下载同一资源导致大量CDN流量浪费的场景。 2. 网站存在用户使用同个IP频繁发起恶意请求或尝试非法访问的场景。 注意事项 1. 当单IP单域名每秒访问单台服务器的次数达到设置的阈值，返回403状态码，阻断时间默认10分钟。 2. 设置阈值时需根据业务的实际情况进行评估，阈值过低可能导致正常用户的访问受限，影响用户体验；而阈值过高则可能无法有效限制非法访问或恶意行为。 3. 限频功能对非法访问防控效果有限，若存在大量IP对全网节点进行恶意访问或攻击，通过此功能无法有效控制，建议您购买边缘安全加速平台产品。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 在【IP访问限频】模块，单击【增加规则】。 6. 根据需求填写配置，单击【确定】。 7. 单击【保存】，完成配置。 参数名 配置值 说明 类型 后缀名/目录/首页/全部文件/全路径文件 需要配置的文件类型。 内容 指定类型的具体内容 类型选择后缀名、目录、全路径文件时，需配置具体内容；例如类型为后缀名时，需在内容处指明具体的文件后缀；如类型为目录时，需在内容处指明具体的目录内容。 访问阈值 每秒可访问次数 单位：次/秒，IP访问超过阈值后，拒绝访问10分钟。 优先级 数字 配置的优先级，存在多条设置时，相同文件类型及内容，执行优先级高的规则。数字越大，优先级越高。

获取API的调用信息 在调用API前，您需要向API提供者获取API的调用信息。 获取API的请求信息 在API网关控制台选择“API管理 > API列表”，在“API列表”页签中可获取API的“域名”、“请求方法”和“请求路径”。单击API的名称进入“API运行”页面，在“前端配置”或“后端配置”区域获取API基本信息。 获取API的认证信息 根据API使用的安全认证方式不同，还要获取相关的请求认证信息： 认证方式 认证信息 APP认证（签名认证） 向API提供者获取该API所授权凭据的Key和Secret，以及认证签名所使用的SDK。 APP认证（简易认证） 向API提供者获取该API所授权凭据的AppCode。 APP认证（双重认证） 同时获取APP认证以及自定义认证所需的认证信息。 APP认证（appsecret认证） 向API提供者获取该API所授权凭据的Key和Secret。 APP认证（appbasic认证） 向API提供者获取该API所授权凭据的Key和Secret。 IAM认证（Token认证） 获取云服务平台的用户账号密码。 IAM认证（AK/SK认证） 获取云服务平台的用户账号的AK/SK，以及认证签名所使用的SDK。 IAM认证（双重认证） 同时获取IAM认证以及自定义认证所需的认证信息。 自定义认证 向API提供者获取请求参数中要携带的自定义认证信息。 无认证 无需认证信息。 第三方认证（API策略） 向API提供者获取请求参数中要携带的第三方认证信息。 − 获取凭据的Key和Secret： 在API网关控制台选择“API管理 > 凭据管理”，在凭据列表中单击API所授权凭据的名称，进入凭据详情页面，获取凭据的Key和Secret。 − 获取认证签名所使用SDK： 在API网关控制台选择“帮助中心”，在“SDK使用指引”页签中下载对应语言所使用SDK。 − 获取AppCode： 在API网关控制台选择“API管理 > 凭据管理”，在凭据列表中单击API所授权凭据的名称，进入凭据详情页面，在“AppCodes”区域中获取AppCode。

本文介绍视频直播支持的访问控制策略。 天翼云视频直播支持如下访问控制策略： Referer防盗链和UA防盗链：根据HTTP请求头中的Referer字段或UserAgent字段对请求来源的域名及其他信息进行黑白名单控制，从而实现对用户身份的识别和过滤。Referer防盗链支持控制台自助操作，如需配置请参见：Referer防盗链。UA防盗链暂不支持自助操作，如需配置请提交工单。 IP黑白名单：通过设置黑白名单对来源IP进行相应限制。IP黑白名单支持控制台自助操作，如何配置请参见：IP黑白名单。 区域访问控制：通过允许或者拒绝指定区域的用户访问，实现访问控制。区域访问控制暂不支持自助操作，如需配置请提交工单。 时间戳防盗链：在主播推流或观众播放的URL中加上鉴权信息。主播请求直播推流或观众请求播放时，视频直播会对请求进行时效性判断，并对URL中携带的鉴权信息进行合法性判断，仅校验通过的请求予以响应，其它非法的访问将予以拒绝，从而有效地保护直播资源。更多详细信息请参见：URL鉴权。URL鉴权暂不支持自助操作，如需配置请提交工单。 远程鉴权：如果希望更安全的访问控制策略，您可通过远程鉴权实现。即由您自行搭建鉴权中心，视频直播将接收到的请求，转发到您搭建的鉴权中心进行鉴权，鉴权通过的才可以允许播放，不通过的则拒绝。更多详细信息请参见：远程鉴权。 HTTPS访问：您可以配置HTTPS证书，用户请求时通过HTTPS访问，从而使用户和直播节点之间使用HTTPS加密传输。HTTPS支持控制台自助操作，如何配置请参见：HTTPS配置。

DRS界面信息重叠是什么原因 DRS界面出现信息重叠通常是页面缩放率过小导致的，建议将页面缩放率调整为100%即可显示正常。 MySQL源库设置了global binlogformat ROW没有立即生效 使用DRS进行MySQL的迁移时，必须确保源库的binlogformat是ROW格式的，否则就会导致任务失败甚至数据丢失。在源库设置了global级别的binlogformatROW之后，还需要中断之前所有的业务连接，因为设置之前的连接使用的还是非ROW格式的binlog写入。 安全设置global级binlogformatROW的步骤 步骤 1 通过MySQL官方客户端或者其它工具登录源数据库。 步骤 2 在源数据库上执行全局参数设置命令。 set global binlogformat ROW; 步骤 3 在源数据库上执行如下命令确认上面操作已执行成功。 select @@global.binlogformat; 步骤 4 您可以通过如下两种方式确保修改后的源库binlogformat格式立即生效。 方法一： 1. 选择一个非业务的时间段，中断当前数据库上的所有业务连接。 a. 通过如下命令查询当前数据库上的所有业务连接(所有的binlog Dump连接及当前连接除外)。 show processlist; b. 中断上面查出的所有业务连接。 说明 在上述操作未结束之前，请不要创建或者启动迁移任务，否则会导致数据不一致。 2. 为了避免源库binlogformat格式因为数据库重启失效，请在源库的启动配置文件(my.ini或my.cnf等)中添加或修改配置参数binlogformat并保存。 binlogformatROW 方法二： 3. 为了避免源库binlogformat格式因为数据库重启失效，请在源库的启动配置文件(my.ini或my.cnf等)中添加或修改配置参数binlogformat并保存。 binlogformatROW 4. 确保上述配置参数binlogformat添加或修改成功后，选择一个非业务时间段，重启源数据库即可。

本章主要介绍翼MapReduce的恢复Hive业务数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对Hive进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对Hive进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复Hive任务并恢复数据。只支持创建任务手动恢复数据。 Hive备份恢复功能不支持识别用户的Hive表、索引、视图等对象在业务和结构上存在的关联关系。用户在执行备份恢复任务时，需要根据业务场景管理统一的恢复点，防止影响业务正常运行。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的Hive数据。 对系统的影响 恢复过程中会停止用户认证，用户无法开始新的连接。 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 数据恢复后，需要重新启动Hive的上层应用。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 规划好恢复数据保存表的数据库，数据表在HDFS的保存位置，以及访问恢复数据的用户清单。 检查Hive备份文件保存路径。 停止Hive的上层应用。 登录FusionInsight Manager，请参见登录管理系统。

本文为您介绍Windows环境下对Palworld游戏世界参数进行修改的最佳实践。 操作场景 本文以Windows操作系统为例，为您介绍通过Palworld专有镜像一键部署Palworld服务器后对游戏世界参数进行修改的具体操作。 操作步骤 1. 进入C:PalServerPalSavedConfigWindowsServer 路径。 2. 使用记事本打开PalWorldSettings.ini文件。 3. 根据参数对应表修改自己喜欢的世界参数，修改完成后点击“保存”。 4. 重启云主机，配置的参数即可生效。 参数对照表 Difficulty 英文 中文 DayTimeSpeedRate Day time speed 白天时间流逝速度 NightTimeSpeedRate Night time speed 夜晚时间流逝速度 ExpRate EXP rate 经验获取倍率 PalCaptureRate Pal capture rate 帕鲁捕获率 PalSpawnNumRate Pal appearance rate 帕鲁刷新倍率 PalDamageRateAttack Damage from pals multipiler 帕鲁攻击力倍率 PalDamageRateDefense Damage to pals multipiler 帕鲁防御力倍率 PlayerDamageRateAttack Damage from player multipiler 玩家攻击力倍率 PlayerDamageRateDefense Damage to player multipiler 玩家防御力倍率 PlayerStomachDecreaceRate Player hunger depletion rate 玩家饥饿消耗率 PlayerStaminaDecreaceRate Player stamina reduction rate 玩家体力减少率 PlayerAutoHPRegeneRate Player auto HP regeneration rate 玩家自动HP回复率 PlayerAutoHpRegeneRateInSleep Player sleep HP regeneration rate 玩家睡眠HP回复率 PalStomachDecreaceRate Pal hunger depletion rate 帕鲁饥饿消耗率 PalStaminaDecreaceRate Pal stamina reduction rate 帕鲁体力减少率 PalAutoHPRegeneRate Pal auto HP regeneration rate 帕鲁自动HP回复率 PalAutoHpRegeneRateInSleep Pal sleep health regeneration rate (in Palbox) 帕鲁睡眠HP回复率（帕鲁终端中） BuildObjectDamageRate Damage to structure multipiler 建筑物血量 BuildObjectDeteriorationDamageRate Structure determination rate 建筑物风化速率 CollectionDropRate Getherable items multipiler 采集物掉落率 CollectionObjectHpRate Getherable objects HP multipiler 采集物回复率 CollectionObjectRespawnSpeedRate Getherable objects respawn interval 采集物刷新率 EnemyDropItemRate Dropped Items Multipiler 击败敌人物品掉落率 DeathPenalty Death penalty None : No lost, Item : Lost item without equipment, ItemAndEquipment : Lost item and equipment, All : Lost All item, equipment, pal(in inventory) 死亡惩罚None ：没有丢失；Item ：丢失物品，不丢失帕鲁；ItemAndEquipment ：丢失的物品和装备：All ：丢失所有物品、装备、帕鲁（背包中） GuildPlayerMaxNum Max player of Guild 公会最大玩家数 PalEggDefaultHatchingTime Time(h) to incubate massive egg 孵化巨大蛋的时间(h) BaseCampWorkerMaxNum Max worker in camp 每个据点工作帕鲁数量上限 WorkSpeedRate Rate of working speed 工作效率 ServerPlayerMaxNum Maximum number of people who can join the server 服务器最多可加入人数 ServerName Server name 服务器名称 ServerDescription Server description 服务器描述 AdminPassword AdminPassword 管理员密码 ServerPassword Set the server password. 设置服务器密码(仅作为社群服务器时有效) PublicPort Public port number 公共端口号 PublicIP Public IP 公共IP RCONEnabled Enable RCON 启用RCON RCONPort Port number for RCON RCON的端口号

本节主要介绍安装GPU指标与RAID指标采集插件（Linux） 操作场景 本章节指导用户安装指标采集插件，用于采集GPU类指标和RAID类指标。 说明 ECS支持GPU类指标，BMS暂不支持。 BMS支持RAID类指标，ECS暂不支持。 若Agent升级到1.0.5及以上版本，对应插件需使用最新的版本，否则会出现指标采集异常。 前提条件 已安装Agent并处于正常运行状态。 GPU类指标采集需弹性云主机支持GPU。 操作步骤 1. 使用root帐号，登录ECS。 说明 若要监控BMS的软RAID指标，请登录BMS。 以下以安装GPU插件为例，安装监控软RAID插件类似。 2. 执行以下命令，进入Agent安装路径。 cd /usr/local/telescope 3. 执行以下命令，创建plugins文件夹。 mkdir plugins 4. 执行以下命令，进入plugins文件夹。 cd plugins 5. 执行如下命令，下载采集插件脚本（以下以GPU插件为例）。 wget 说明 RAID插件地址路径： 以广州4资源池为例，RegionId为：cngdgz1 插件包地址为： GPU插件地址路径： 以广州4资源池为例，RegionId为：cngdgz1, 插件包地址为： 6. 执行如下命令，添加脚本执行权限。 chmod 755 gpucollector 7. 执行如下命令，新建conf.json文件并添加配置内容，配置插件路径和指标采集周期crontime（单位：秒）。 vi conf.json GPU指标插件配置 { "plugins": [ { "path": "/usr/local/telescope/plugins/gpucollector", "crontime": 60 } ] } RAID指标插件配置 { "plugins": [ { "path": "/usr/local/telescope/plugins/raidmonitor.sh", "crontime": 60 } ] } 说明 path路径后的参数为gpucollector和raidmonitor.sh分别为GPU插件和RAID插件配置内容。 插件采集周期为60s，若采集周期配置错误，会导致指标采集异常。 插件路径path请勿私自修改，否则指标采集异常。 8. 打开/usr/local/telescope/bin路径下的confces.json文件，新增配置项"EnablePlugin"：true，开启插件采集开关。 { "Endpoint": "所在区域地址，默认无需修改", "EnablePlugin": true } 9. 执行如下命令，重启Agent。 /usr/local/telescope/telescoped restart

本节介绍了容器镜像服务实例系统账号的用户指南。 概述 系统账号可以按照命名空间维度配置读写权限，适合使用于 CI/CD 流水线和 Kubernetes 集群中。 前提条件 已开通容器镜像服务企业版实例 创建系统账号 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击访问控制 访问凭证 ，点击系统账号标签页。 4. 点击新建按钮创建系统账号. 参数 说明 名称 系统账号的名称。请注意，名称将自动增加 crs$ 前缀以标识系统账号，如名称填写 testaccount，则实际使用的名称为 crs$testaccount。 描述 系统账号的描述。 过期时间 可选永不过期或指定过期时间。 权限范围 配置覆盖全部命名空间或仅覆盖指定命名空间，若选择仅覆盖指定命名空间，则需要勾选指定的命名空间及其对应的权限类型。 权限类型 配置命名空间的只读或读写权限，只读权限不支持推送镜像。 5. 完成创建将弹出对话框展示系统账号名称和密码，请妥善保存，页面关闭后将无法再次查看。 6. 列表页可查看已创建的系统账号，操作栏的禁用/启用 按钮可以修改系统账号的启用状态，更新 按钮可以修改系统账号的配置，删除按钮可以删除系统账号。

本节介绍了数据库复制的相关内容。 操作场景 使用存储过程，备份某个数据库，并恢复成一个新的数据库。 前提条件 成功连接RDS for SQL Server实例。关于连接关系型数据库实例， 执行此存储过程的必须是拥有[CREATE ANY DATABASE]权限的用户。如果不具备此权限的用户尝试执行该存储过程，系统将会如下提示： plaintext Database restores can only be performed by database logins with [CREATE ANY DATABASE] permissions. 对自定义数据库进行备份，执行账户必须是该数据库的“dbowner”或“dbbackupoperator”角色组成员。如不具备相应权限的用户对数据库进行备份，系统将会有如下提示： plaintext Database backups can only be performed by members of dbowner or dbbackupoperator roles in the source database 约束 对于系统库，不可通过此存储过程进行复制操作。如果您试图复制系统库，系统将会如下提示： plaintext Error DBNameSource or DBNameTarget. Please can not include in ('msdb','master','model','tempdb','rdsadmin','resource') . 对于需要恢复的目标数据库，必须是不存在的，且不与源数据库同名的数据库，否则，系统将会如下提示： plaintext Database 数据库名 already exists. Cannot restore database with the same name. 操作步骤 执行以下命令，进行数据库复制。 EXEC msdb.dbo.rdscopydatabase '@DBNameSource', '@DBNameTarget'; @ DBNameSource：源数据库，指定要备份的数据库名。 @ DBNameTarget：目标数据库，指定要恢复的数据库名。 将数据库testDB1复制出一个新的数据库testDB2，示例如下： EXEC msdb.dbo.rdscopydatabase 'testDB1', 'testDB2'; 说明 数据库版本为RDS for SQL Server 2012（标准版、企业版、Web版）的用户，请使用名称为msdb.dbo.rdscopydatabase2012的存储过程进行数据库备份。 数据库版本为RDS for SQL Server 2016（标准版、企业版、Web版）的用户，请使用名称为msdb.dbo.rdscopydatabase2016的存储过程进行数据库备份。 数据库版本为RDS for SQL Server 2017企业版的用户，请使用名称为msdb.dbo.rdscopydatabase2017的存储过程进行数据库备份。

使用场景 当您遇到VPC中的两个实例IP地址冲突，或者在进行网络重构或迁移时，需要调整VPC网络架构、子网划分等，这可能会导致需要修改物理机内网IP或更换VPC。 前提条件 物理机处于关机状态。 只有主网卡支持修改内网IP，必须先删除辅助网卡。 如果网卡绑定了虚拟IP或者DNAT规则，需要先解绑。 如果网卡上有IPv6地址，无法修改（包括IPv4和IPv6的）内网IP地址，请先删除IPv6地址。 如需修改弹性负载均衡后端服务器的内网IP地址，请先移出后端服务器组后再修改内网IP。 如果物理机作为静态路由的下一跳，必须先删除静态路由再修改内网IP。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择西南西南1。 3. 依次选择“计算”，单击“物理机服务”，进入物理机控制台页面。 4. 在物理机列表，选择需要修改内网IP或者更换VPC的物理机，在物理机详情页选择“网卡”页签，点击“修改内网IP”或者“更改VPC”。 5. 在修改内网IP弹框页面或者更换VPC弹框页面，输入相关参数，点击“确定”按钮。 注意 修改内网IP会导致物理机网络中断，同时更改物理机子网、IP地址、MAC地址。 修改内网IP过程中，请勿操作物理机的弹性IP，或对物理机做其他操作。 修改内网IP后，请重新检查配置安全组、ACL、虚拟IP地址等配置。 修改内网IP后，请重新配置网络相关的服务、应用软件，例如虚拟IP、静态路由表、ELB、NAT、DNS等。 标准裸金属在多AZ资源池无法支持修改内网IP和更换VPC，建议提前做好网络规划。

kubectl describe node 192.168.0.173 Name:192.168.0.173 Roles: Labels:… volcano.sh/oversubscriptiontrue Annotations:… volcano.sh/oversubscriptioncpu: 2343 volcano.sh/oversubscriptionmemory: 3073653200 … Allocated resources: (Total limits may be over 100 percent, i.e., overcommitted.) ResourceRequestsLimits cpu4750m (121%)7350m (187%) memory3760Mi (61%)4660Mi (76%) … 增大节点上在线作业的CPU使用率，可以观察到触发离线作业驱逐。 plaintext kubectl get pod o wide NAMEREADYSTATUSRESTARTSAGEIPNODE offline69cdd49bf4bwdm71/1Running011m192.168.10.208192.168.0.3 offline69cdd49bf4pmjp80/1Evicted026m 192.168.0.173 offline69cdd49bf4qpdss1/1Running011m192.168.10.174192.168.0.3 offline69cdd49bf4z8kxh0/1Evicted026m 192.168.0.173 online6f44bb68bdb8z9p1/1Running024m192.168.10.18192.168.0.173 online6f44bb68bdg6xk81/1Running024m192.168.10.69192.168.0.173 错误处理建议 超卖节点kubelet重启后，由于Volcano调度器和kubelet的资源视图不同步，部分新调度的作业会出现OutOfCPU的情况，属于正常现象，一段时间后会恢复正常，Volcano调度器能够正常调度在/离线作业。 在/离线作业提交后，因当前内核不支持离线作业修改为在线作业，因此不建议动态修改作业类型（添加或者删除Pod的annotation volcano.sh/qoslevel: "1"）。 CCE通过cgroups系统中的状态信息收集节点上所有运行的Pod占用的资源量（CPU/内存），可能与用户监控到的资源使用率有所不同，例如使用top命令看到的资源统计。 对于增加超卖资源类型，如超卖资源由cpu变为cpu、memory，此时可以随时添加。 对于减少超卖资源类型，如由cpu、memory变为仅超卖cpu，此时需要在合适的时间进行更改，即分配率不超过100%时才可进行安全更改。 当离线作业先部署到节点，并占用了在线作业的资源，导致资源不足在线作业无法调度时，需要为在线作业设置比离线作业更高的priorityClass。 若节点上只有在线作业，且达到了驱逐水位线，则离线作业调度到当前节点后会很快被驱逐，此为正常现象。

该章节指导您通过Web应用防火墙服务下载仅记录和拦截的攻击事件数据，可下载5天内的全量防护事件数据，当天的防护事件数据，在次日凌晨生成到防护事件数据csv文件。 前提条件 已添加防护网站。 已生成了防护事件数据文件。 规格限制 单个文件的事件总数量最大值为5000，超过5000就会生成另一个文件。 在WAF控制台只能下载5天内的全量防护事件数据。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 步骤5 选择“下载”页签，下载防护数据文件，参数说明如表。 参数名称 参数说明 :: 文件名称 样式为文件名称.csv。 事件数量 被拦截和仅记录的事件总数量。 说明 单个文件的事件总数量最大值为5000，超过5000就会生成另一个文件。 步骤6 在目标时间段所在行的“操作”列，单击“下载数据”，下载到本地。 防护数据文件字段参数说明 字段 字段说明 示例 ::: action 防护事件的防护动作。 block attack 攻击的类型。 SQL Injection body 攻击者的请求实体内容。 cookie 攻击者的Cookie。 headers 攻击者的消息头。 host 防护的网站域名或IP。 www.example.com id 标识防护事件的ID。 02111620201121060347feb42002 payload 攻击者对防护网站造成伤害的组成部分。 pythonrequests/2.20.1 payloadlocation 攻击者对防护网站造成伤害的位置或访问URL的次数。 useragent policyid 标识防护策略ID。 d5580c8f6cd4403ebbf85892d4bbb8e4 requestline 攻击者的请求行。 GET / rule 防护事件对应的规则编号。 81066 sip Web访问者的公网IP地址（攻击者IP地址）。 time 防护事件发生的时间。 2020/11/21 0:20:44 url 防护域名的URL。 /

本节主要介绍网络集群类问题 启用服务网格后，状态一直为安装中 问题描述 为CCE集群启用服务网格（即创建网格）后，网格状态一直显示为“安装中”，鼠标放上去提示“正在启用istio服务网格：开通用户安全组规则成功”。 问题定位 登录CCE控制台，在“资源管理 > 命名空间”中查看对应集群的istiosystem命名空间是否存在。 原因分析 存在istiosystem命名空间残留。 解决方法 删除已有的istiosystem命名空间后即可继续安装。 卸载服务网格后，状态一直为未就绪 问题描述 在ASM控制台卸载服务网格后，网格状态一直显示为“未就绪”。 问题定位 步骤 1 登录CCE控制台，在左侧导航栏选择“模板市场 > 示例模板”。 步骤 2 单击“模板实例”页签，在搜索框中选择对应集群，查看模板实例和卸载失败最新事件。 可以看到istiomaster模板实例的执行状态为“卸载失败”，并且最新事件提示如下信息： deletion failed with 1 error(s): clusterroles:rbac.authorization.k8s.io "istiocleanupsecretsistiosystem" already exists 原因分析 helm对中断状态支持不好，客户异常操作会导致istio的helm模板卡在中间状态，使卸载过程中留下残留资源，从而导致卸载失败。 解决方法 步骤 1 通过kubectl连接到CCE集群。 步骤 2 执行以下命令，清理istio相关资源。 kubectl delete ServiceAccount n istiosystem kubectl get ServiceAccount n istiosystem grep istio awk '{print $1}' kubectl delete ClusterRole n istiosystem kubectl get ClusterRole n istiosystem grep istio awk '{print $1}' kubectl delete ClusterRoleBinding n istiosystem kubectl get ClusterRoleBinding n istiosystem grep istio awk '{print $1}' kubectl delete job n istiosystem kubectl get job n istiosystem grep istio awk '{print $1}' kubectl delete crd n istiosystem kubectl get crd n istiosystem grep istio awk '{print $1}' kubectl delete mutatingwebhookconfigurations n istiosystem kubectl get mutatingwebhookconfigurations n istiosystem grep istio awk '{print $1}' 步骤 3 登录ASM控制台，重新执行卸载操作。

本页介绍RDSPostgreSQL如何创建白名单。 创建RDSPostgreSQL实例后，默认允许同VPC内的IP可访问实例。您可以通过创建白名单管理，进行设置可访问该实例的IP范围。 操作场景 白名单指允许访问RDSPostgreSQL实例的ip列表。设置白名单可以让实例得到高级别的访问安全保护。 注意 设置白名单不会影响实例的正常运行。 默认的白名单分组（default）不能删除，只能清空。 开通时如选择“将VPC加入白名单”为是，则默认的白名单分组包含实例VPC网段表示该网段下的IP均可访问实例；如选择为否，则只包含127.0.0.1;0:0:0:0:0:0:0:1，表示不允许任何ip访问该实例。 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见 操作方式 1. 登录天翼云官网。 2. 点击右上角的控制中心，跳转到控制中心页面。 3. 点击控制中心，进入控制中心后，选择目标资源池。 4. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 5. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 6. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 7. 点击白名单管理，进入到白名单管理页面>点击“创建白名单组”>在弹出的窗口填入分组名称和组内白名单。 1. 创建的白名单分组名称在同一个实例上具有唯一性。 2. 同一个实例，不同分组的白名单ip列表可以重复，所有分组的ip的并集起效果。 3. 若白名单设置了两个ip，其中一个ip作用范围包含了另一个ip，则以范围大的ip为准。例如：0.0.0.0/0;192.168.10.2，则以0.0.0.0/0的效果为准。 8. 点击“确定”，保存白名单，点击“取消”，放弃创建白名单。

本节介绍如何查看WAF独享型产品信息。 您可以在产品信息页面查看已购买实例的版本、规格等信息。 前提条件 已购买WAF独享型实例。 查看独享型产品信息 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“独享型”页签。 5. 查看独享型实例列表。 参数 说明 实例名称 系统默认以“资源池名称+VPC名称+实例内网IP”自动生成实例名称。用户可在实例详情页面对其进行修改。 实例ID 实例的ID。 运行状态 当前实例的运行状态，包括正常、异常、离线。 防护对象 接入防护对象的个数。在实例详情页点击数字可跳转至对应防护对象列表页。 节点个数 当前实例的节点个数。 资源池名称 当前实例所属资源池。 VPC名称 当前实例所属VPC。 子网名称 当前实例所属子网。 实例IPv4 单机版：显示单机节点本身内网IPV4地址。 集群版：显示集群VIP的IPV4地址。 实例IPv6 单机版：显示单机节点本身内网IPV6地址。 集群版：显示集群VIP的IPV6地址。 公网代理IPv4 绑定在实例上的IPV4公网地址，用于互联网IPV4通信，需要手动绑定用户的IPV4地址。 公网代理IPv6 绑定在实例上的IPV6公网地址，用于互联网IPV6通信，需要手动绑定用户的IPV6地址。 WAF防护开关 可对实例的防护状态进行开启或关闭，关闭后，该实例下所有防护对象都将不受防护。 域名个数 当前实例支持防护的防护对象个数。 业务带宽 当前实例支持防护的业务带宽。 产品版本 实例的规格，单机版或集群版。 6. 单击目标实例操作列的“查看产品详情”。 7. 在产品信息页面，可以查看实例版本、实例名称、实例ID、到期时间、实例规格等信息，并支持对实例进行管理。

本节主要介绍Agent管理 操作场景 使用对象存储迁移前需在一台或多台服务器上安装Agent用于迁移其他云服务商对象存储数据到天翼云。 约束限制 安装Agent的服务器必须为Linux系统，操作系统为X64，最低规格为4U8G。且必须与安装RDA的服务器处于同一个VPC、同一个安全组。（保证安装Agent的服务器能够访问安装RDA的服务器的5679端口） 安装Agent的服务器必须处于支持的目的端Endpoint中。 安装Agent的服务器必须加载弹性IP地址（用于访问源端） 操作步骤 步骤 1 在浏览器中输入 步骤 2 单击左侧导航栏的“配置管理”，在“OMS配置管理”页签，单击“Agent管理 > 添加节点”。 步骤 3 在弹出的“添加节点”页面，按照界面提示，配置参数。配置完成后，单击“确认”。 参数 说明 : 名称 用户自定义。 用户名 准备安装Agent服务器的SSH登录用户名。说明若使用云专线，请使用root账号。 密码 准备安装Agent服务器的SSH登录用户的密码。 IP地址 准备安装Agent服务器的私有IP地址。 端口 22 步骤 4 配置完成后，单击“确认”。 添加成功后，系统自动进行程序安装。状态列显示当前安装状态，如下图所示： 初始化 SSH检查中 下载中 上传中 安装中 安装成功离线 安装成功在线 程序安装状态说明 状态 说明 : 初始化 系统初始化 SSH检查中 SSH校验 下载中 下载Agent安装包 上传中 上传Agent安装包 安装中 安装部署Agent服务 安装成功 Agent安装成功离线 Agent安装成功在线

本章节主要介绍Spark作业相关问题中有关作业开发的问题。 Spark如何将数据写入到DLI表中 使用Spark将数据写入到DLI表中，主要设置如下参数： fs.obs.access.key fs.obs.secret.key fs.obs.impl fs.obs.endpoint 示例如下： import logging from operator import add from pyspark import SparkContext logging.basicConfig(format'%(message)s', levellogging.INFO) import local file testfilename "D://testdata1.txt" outfilename "D://testdataresult1" sc SparkContext("local","wordcount app") sc.jsc.hadoopConfiguration().set("fs.obs.access.key", "myak") sc.jsc.hadoopConfiguration().set("fs.obs.secret.key", "mysk") sc.jsc.hadoopConfiguration().set("fs.obs.impl", "org.apache.hadoop.fs.obs.OBSFileSystem") sc.jsc.hadoopConfiguration().set("fs.obs.endpoint", "myendpoint") red: textfile rdd object textfile sc.textFile(testfilename) counts counts textfile.flatMap(lambda line: line.split(" ")).map(lambda word: (word, 1)).reduceByKey(lambda a, b: a + b) write counts.saveAsTextFile(outfilename) 通用队列操作OBS表如何设置AK/SK 获取结果为AK和SK时，设置如下： 1. 代码创建SparkContext val sc: SparkContext new SparkContext() sc.hadoopConfiguration.set("fs.obs.access.key", ak) sc.hadoopConfiguration.set("fs.obs.secret.key", sk) 2. 代码创建SparkSession val sparkSession: SparkSession SparkSession .builder() .config("spark.hadoop.fs.obs.access.key", ak) .config("spark.hadoop.fs.obs.secret.key", sk) .enableHiveSupport() .getOrCreate() 获取结果为ak、sk和securitytoken时，鉴权时，临时AK/SK和securitytoken必须同时使用，设置如下： 1. 代码创建SparkContext val sc: SparkContext new SparkContext() sc.hadoopConfiguration.set("fs.obs.access.key", ak) sc.hadoopConfiguration.set("fs.obs.secret.key", sk) sc.hadoopConfiguration.set("fs.obs.session.token", sts) 2. 代码创建SparkSession val sparkSession: SparkSession SparkSession .builder() .config("spark.hadoop.fs.obs.access.key", ak) .config("spark.hadoop.fs.obs.secret.key", sk) .config("spark.hadoop.fs.obs.session.token", sts) .enableHiveSupport() .getOrCreate() 说明 出于安全考虑，不建议在obs路径上带AK/SK信息。而且，如果是在OBS目录上建表，建表语句path字段给定的obs路径不能包含AK/SK信息。

本章节主要介绍配置定时备份告警与审计信息。 操作场景 管理员可通过修改配置文件，实现定时备份FusionInsight Manager的告警信息、Manager审计信息以及所有服务的审计信息到指定的存储位置。 备份支持使用SFTP协议或FTP协议，FTP协议未加密数据可能存在安全风险，建议使用SFTP。 操作步骤 1.以omm用户登录主管理节点。 说明 用户只需在主管理节点执行此操作，不支持在备管理节点上配置定时备份。 2.执行以下命令，切换目录。 cd ${BIGDATAHOME}/omserver/om/sbin 3.执行以下命令，配置定时备份Manager告警、审计或者服务审计信息。 ./setNorthBound.sh t 信息类型 i 远程服务器IP p 服务器使用的SFTP或FTP 端口 u 用户名 d 保存信息的路径 c 时间间隔（分钟） m 每个保存文件的信息记录数 s 备份启停开关 e 指定的协议 例如： ./setNorthBound.sh t alarm i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改告警信息备份配置文件“alarmcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 ./setNorthBound.sh t audit i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改审计信息备份配置文件“auditcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 ./setNorthBound.sh t serviceaudit i 10.0.0.10 p 22 u sftpuser d /tmp/ c 10 m 100 s true e sftp 此脚本将修改服务审计信息备份配置文件“serviceauditcollectupload.properties”。文件存储路径为“${BIGDATAHOME}/omserver/tomcat/webapps/web/WEBINF/classes/config”。 4.根据界面提示输入用户的密码。密码将加密保存在配置文件中。 Please input sftp/ftp server password: 5.显示如下结果，说明修改成功。备管理节点将自动同步配置文件。 execute command syncfile successfully. Config Succeed.

本章介绍通过做哪些检查来避免分片变更失败。 为了避免分片变更失败，请您最晚在变更前一天完成以下内容的检查。 预检查内容 检查内容 检查目的 检查未通过解决方案 数据库实例binlog备份时间检查 客户全量备份是否保留足够长时间。 进入DN console，增加全量备份天数。 DN节点binlog必须开启 Binlog必须开启以支持在线变更。 若您的DN节点是RDS实例，无需解决。若您的DN节点是Taurus实例，请进入Taurus console 参数配置，设置logbintrue。 DN节点binlog本地保留时间检查 Binlog在DN节点上的保留时间必须足够长。 若您的DN节点是RDS实例，无需解决。若您的DN节点是Taurus实例，请进入Taurus console 参数配置，设置binlogexpirelogsseconds 为604800或更大。 广播表数据一致性检查 保证广播表数据一致后再执行分片变更。 请联系DRDS运维人员。 源物理分片的字符集和排序规则检查 保证分片变更后字符的展示和排序一致。 请联系DRDS运维人员。 物理表建表语句检查 保证各物理分片上的表结构保持一致。 请先使用check table 命令查询表结构不一致详情，之后再使用alter 语法对表进行修正。 主键检查 要求源库所有表都具有主键，且拆分键是主键一部分以保证分片变更后数据一致性。 如果表不存在主键，请使用alter语句增加主键。 数据库实例链接检查 DN节点是否可连接。 检查安全组等配置。 数据库实例参数检查 源DN节点和目标DN节点数据库关键参数配置需要相同。 请进入DN console对参数配置进行修改。 数据库实例磁盘空间检查 防止分片变更过程中，DN节点磁盘不足。 对DN节点进行磁盘扩容，注：本项检查根据估计值进行判断，极端情况下与实际值有一定差别。 数据库实例时区检查 源DN节点和目标DN节点时区要求相同。 请进入DN console参数配置对时区进行修改请进入DN console参数配置对时区进行修改。

本章节主要介绍通过专线访问。 MRS为您提供云专线（Direct Connect）方式访问MRS集群。云专线用于搭建用户本地数据中心与线上云VPC之间高速、低时延、稳定安全的专属连接通道，充分利用线上云服务优势的同时，继续使用现有的IT设施，实现灵活一体，可伸缩的混合云计算环境。 前提条件 云专线服务可用，并已打通本地数据中心到线上VPC的连接通道。 通过专线访问MRS集群 1. 登录MRS管理控制台。 2. 单击集群名称进入集群详情页。 3. 在集群详情页面的“概览”页签，单击“集群管理页面”右侧的“前往Manager”。 4. “访问方式”选择“专线访问”，并勾选“我确认已打通本地与浮动IP的网络，可使用专线直接访问MRS Manager。”。 浮动IP为MRS为您访问MRS Manager页面自动分配的IP地址，使用专线访问MRS Manager之前您确保云专线服务已打通本地数据中心到线上VPC的连接通道。 5. 单击“确定”，进入MRS Manager登录页面，用户名使用“admin”，密码为创建集群时设置的admin密码。 切换MRS Manager访问方式 为了便于用户操作，浏览器缓存会记录用户所选择的访问Manager的方式，如需切换访问Manager方式，参考如下步骤操作。 1. 登录MRS管理控制台。 2. 单击集群名称进入集群详情页。 3. 在集群详情页面的“概览”页签，单击“集群管理页面”右侧的按钮。 4. 在弹出页面重新选择“访问方式”即可。 若由“EIP访问”切换为“专线访问”，请在专线网路互通的前提下，在弹出页面的“访问方式”选择“专线访问”并勾选“我确认已打通本地与浮动IP的网络，可使用专线直接访问MRS Manager。”后单击“确定”。 若由“专线访问”切换为“EIP访问”，在弹出页面的“访问方式”选择“EIP访问”并参考访问MRS Manager（MRS 2.x及之前版本）中的通过弹性公网IP访问Manager配置EIP。若集群已配置过公网IP，直接单击“确定”以EIP方式访问Manager。

本小节介绍渗透测试价格，分为小型、中型和大型三类，客户可根据自身系统规模进行选择。 订购须知 1、渗透测试以电子报告形式提供一次性服务； 2、功能点指应用系统中可增删改查业务数据的入口或流程，针对多个页面有新增、上传等功能点且api接口、参数都相同，可计为一个功能点； 3、本产品一经订购立即生效，除不可抗力外不支持退订。渗透测试服务有效期为一个自然年，即从购买之日起一年内都可以联系我们进行实施。强烈建议您购买后尽快实施，解决安全问题宜早不宜迟，到期后渗透测试服务不可再使用。 资费说明 渗透测试资费标准价格如下： 描述 规格 单价 小型 小型系统渗透测试：测试对象功能点1~10个; 10,000元/次 中型 中型系统渗透测试：测试对象功能点1160个； 40,000元/次 大型 大型系统渗透测试：测试对象功能点61120个； 70,000元/次 例如： 展示类系统，如门户网站包含展示页面5个、反馈页面1个，页面中无其他增删改查功能点，功能点数量为6个≤10个，为1个小型系统。 交互查询类，如政务网站、订票、业务办理等系统，包含5个1级功能入口>共10个2级功能页面，每个页面包含增删改查4个功能点，则该系统功能点数量累计为40≤60个，为1个中型系统，可下单1个中型系统或者4个小型系统。 交易管理类，以交易、复杂管理系统为主，如OA、电商、网银、app、管理后台等系统，包含10个1级功能入口>共28个2/3级功能页面，每个页面包含增删改查下载上传6个功能点，则该系统功能点数量累计为168≥120个，等同于1个大型（120以内）+1个中型（60以内）系统，可下单1个大型系统和1个中型系统。 注意 具体以各版本的订购页面和控制台展示为准。

字段 类型 必选 说明 vhost VirtualHostMatch Yes 匹配路由中的虚拟主机，将限流策略应用到对应的虚拟主机。

管理员选择准备上架的版本，点击该版本右侧的“更多”“上架”，完成上架设置后即可将应用上架到应用市场客户端中的企业应用模块。 注：如果应用有已上架的版本，需将已上架版本下架，才能上架其他版本。

本章节介绍数据库安全续费。 数据库安全续费 续费说明 包年/包月数据库安全服务到期后会影响数据库安全服务正常运行。如果您想继续使用，需要在指定的时间内为数据库安全审计实例续费，否则实例会自动释放，数据丢失且不可恢复。 续费操作仅适用于包年/包月数据库安全服务。 数据库安全服务在到期前续费成功，所有资源得以保留，且实例的运行不受影响。 续费方式 续费分为手动续费和自动续费两种方式， 1. 一是手动续费，包年/包月数据库安全服务从购买到被自动删除之前，您可以随时在DBSS控制台为数据库安全服务续费，以延长数据库安全服务的使用时间。 2. 二是自动续费，开通自动续费后，数据库安全服务会在每次到期前自动续费，避免因忘记手动续费而导致资源被自动删除。

微服务云应用平台MSAP是一个应用托管和微服务管理的云原生PaaS平台,集成了云容器引擎、微服务引擎、应用性能监控服务等云服务能力,提供微服务应用开发、部署、监控、运维和服务治理的一站式解决方案。支持SpringCloud,Dubbo等微服务框架,帮助企业应用快速上云。

本章节主要介绍数据治理中心DataArts Studio的资源池部署情况。 目前初级版和企业版在苏州、广州4、福州 等节点上线，贵州、西安2、杭州、上海4、华北仅支持初级版，更多资源池规划部署中。 因用户权限不同，实际可选资源池请以控制台实际可见区域为准。

数据库安全审计可以跨区域使用吗？ 数据库安全审计不支持跨区域（Region）使用。待审计的数据库和购买的数据库安全审计实例必须在同一区域，您才能使用数据库安全审计功能。 数据库安全审计可以跨可用区使用吗？ 待审计的数据库和购买的数据库安全审计实例必须在同一区域，您才能使用数据库安全审计。如果待审计的数据库和购买的数据库安全审计实例在同一区域，但不在同一可用区，则您可以使用数据库安全审计。 例如，您在某个区域的“可用区1”购买了数据库安全审计，如图所示，待审计的数据库部署在该区域的“可用区2”或“可用区3”，则您可以使用购买的数据库安全审计。 在“可用区1”购买数据库安全审计 数据库安全审计（旁路模式）是否会影响业务？ 不影响。数据库安全审计是数据库安全服务提供的旁路模式数据库审计功能，只对数据库进行审计，不影响用户业务，与本地审计工具不冲突。 数据库安全审计可以应用于哪些场景？ 数据库安全审计采用数据库旁路部署方式，在不影响用户业务的提前下，可以对管理控制台上的RDS、ECS/BMS自建的数据库进行灵活的审计。 基于数据库风险操作，监视数据库登录、操作类型（数据定义、数据操作和数据控制）和操作对象，有效对数据库进行审计。 从风险、会话、SQL注入等多个维度进行分析，帮助您及时了解数据库状况。 提供审计报表模板库，可以生成日报、周报或月报审计报表（可设置报表生成频率）。同时，支持发送报表生成的实时告警通知，帮助您及时获取审计报表。

本节主要介绍通过kubectl对接多个集群。 使用场景 客户想使用同一个kubectl客户端工具，通过切换当前用户的方式达到切换集群的效果。 图 kubectl对接多集群示意 配置前提 kubectl命令客户端工具所在的ECS云主机，能够curl通集群A和集群B的vip地址+5443端口。 以下配置仅供参考，为了方便，直接在A集群的一个节点作为客户端（节点绑定了EIP）。 为了方便访问，给B集群的VIP地址绑定了公网IP（假设为：1.2.3.4），理论上如果A、B在同一VPC，可以不这样操作。 客户端配置对A的访问 直接参考《CCE用户指南》中的“通过kubectl连接CCE集群”。 客户端上配置对B的访问 我们要用访问B的集群，要知道B的地址，还要带上认证去访问，那么必须要把相应的信息补齐。 步骤如下： 步骤 1 录入B集群的集群信息 kubectl config setcluster clusterk8s server insecureskiptlsverifytrue insecureskiptlsverifytrue这个参数一定要带上，这是忽略校验客户端证书 步骤 2 录入去B集群的认证信息 首先在B上操作： 方式一：将B集群的证书传入到客服端使用，在客户端上操作，用户详细信息添加到配置文件中： kubectl config setcredentials uiadmin clientcertificateclient.crt embedcertstrue 方式二：在集群B上获取认证token 1.创建一个sa用户 kubectl create sa mysa 2.给sa用户授权 kubectl create clusterrolebinding myrolebinding serviceaccountdefault:mysa clusterroleclusteradmin 3.获取用户的token kubectl describe secret mysatokenxxx awk '/token:/{print $2}' > token 将获取的token传入到客户端。 4.客户端上操作，用户详细信息添加到配置文件中： kubectl config setcredentials uiadmin token$token 步骤 3将集群B的上下文详细信息添加到配置文件中 kubectl config setcontext uiadmin@cyd clusterclusterk8s useruiadmin 此时在客户端上： Kubectl config usecontext internal 切换到集群A Kubectl config usecontext uiadmin@cyd 切换到集群B 步骤 4验证配置 其他情况： 如果配置完报X509错误，应该是忘记传入参数 insecureskiptlsverifytrue 可在使用时带上该参数即可，例如：kubectl get pod insecureskiptlsverifytrue

本章节主要介绍ALM25500 KrbServer服务不可用的告警。 告警解释 系统按30秒周期性检测组件KrbServer的服务状态。当检测到组件KrbServer服务异常时产生该告警。 当检测到组件KrbServer服务恢复时告警恢复。 告警属性 告警ID 告警级别 是否自动清除 25500 紧急 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 告警发生时，不能对集群中的组件KrbServer进行任何操作。其它组件的KrbServer认证将受影响。集群中依赖KrbServer的组件运行状态将为故障。 可能原因 组件KrbServer服务所在节点故障。 OLdap服务不可用。 处理步骤 检查组件KrbServer服务所在节点是否故障 1.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > KrbServer > 实例”。进入KrbServer实例页面查看KrbServer服务所在节点的主机名。 2.在FusionInsight Manager的“告警”页面，查看是否有“节点故障”告警产生。 是，执行步骤3。 否，执行步骤6。 3.查看告警信息里的主机名是否和步骤1主机名一致。 是，执行步骤4。 否，执行步骤6。 4.按“ALM12006 节点故障”提供的步骤处理该告警。 5.在告警列表中查看“KrbServer服务不可用”告警是否清除。 是，处理完毕。 否，执行步骤6。

Web应用防火墙将拦截或者仅记录攻击事件记录在“防护事件”页面。您可以查看WAF的防护日志，包括事件发生的时间、源站IP、源站IP所在地理位置、恶意负载、命中规则等信息。 前提条件 防护网站已接入WAF。 约束条件 下载防护事件文件时，如果您本地安装的安全软件拦截了下载文件，请关闭该软件后重新下载防护事件文件。 在WAF控制台只能查看所有防护域名最近30天的防护事件数据。 如果您将防护网站的“工作模式”切换为“暂停防护”模式，WAF将对该防护网站所有的流量请求只转发不检测，同时，日志也不会记录。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 选择“查询”页签，在网站或实例下拉列表中选择待查看的防护网站，可查看“昨天”、“今天”、“3天”、“7天”、“30天”或者自定义时间范围内的防护日志。 “防护事件趋势图”：展示所选网站在选择的时间段内WAF的防护情况。 “TOP10统计”：针对当前所选时间段的攻击事件、受攻击站点、攻击源IP、受攻击URL的TOP 10网站进行统计，单击可复制统计图表的数据。 6. 在“防护事件列表”中，查看防护详情。 根据筛选条件字段匹配值进行筛选，可设置多项匹配条件，单击“确定”后，匹配条件会展示在事件列表的上方，条件字段参数说明如下表所示。 支持筛选搜索的条件字段： 参数名称 参数说明 事件ID 标识该防护事件的ID。 事件类型 发生攻击的类型。 默认选择“全部”，查看所有攻击类型的日志信息，也可以根据需要，选择攻击类型查看攻击日志信息。 规则ID 内置Web基础防护规则ID。 防护动作 防护配置中设置的防护动作，包含：拦截、仅记录、人机验证等。 人机验证：CC防护规则中，“防护动作”支持配置“人机验证”。即当访问的请求频率超过设定的“限速频率”后将弹出验证码提示，输入正确的验证码，请求将不受访问限制。 源IP Web访问者的公网IP地址（攻击者IP地址）。 默认选择“全部”，查看所有的日志信息，也可以根据需要，选择或者自定义攻击者IP地址查看攻击日志信息。 URL 攻击的防护域名的URL。 单击，可选择防护事件列表展示的字段。 防护事件列表可展示字段参数说明： 参数 说明 示例 ::: 时间 本次攻击发生的时间。 2021/02/04 13:20:04 源IP Web访问者的公网IP地址（攻击者IP地址）。 防护域名 被攻击的防护域名。 www.example.com 命中规则 内置Web基础防护规则ID。 URL 攻击的防护域名的URL。 /admin 事件类型 发生攻击的类型。 SQL注入攻击 防护动作 防护配置中设置的防护动作，包含：拦截、仅记录、人机验证等。 说明 配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后，如果访问请求命中防护规则，则防护动作显示为“不匹配”。 拦截 在目标事件的“操作”列单击“详情”，可查看目标域名攻击事件详情。

本文主要讲解移动应用使用临时凭证直传文件的最佳实践。 实践背景 在移动互联网时代，从手机里的照片到各类文件，移动端APP需要上传到服务器的文件越来越多。开发者可以使用媒体存储来保存这些文件，媒体存储提供的SDK接口可以支持直接在移动端进行文件上传。 访问媒体存储需要使用密钥（AK/SK），但是如果在移动端直接使用长期密钥访问对象存储，遭受黑客攻击就可能会暴露长期密钥，导致对象存储中的文件泄露或被篡改，存在很大的风险。 媒体存储提供STS角色管理功能，可以为移动端颁发一个自定义时效和权限的访问凭证，无需在移动端暴露长期密钥。使用STS授权访问时，请务必按照业务情况，以最细粒度的权限原则进行授权，避免放大临时用户的权限，保证资源访问安全。 应用流程 使用临时凭证直传时，具体应用流程如下： 实践步骤 创建用于获取STS访问凭证的角色 通过媒体存储控制台，创建STS角色，并获取对应的arn信息，具体可参考 STS角色管理 。 对应角色授权并且获取STS临时密钥 具体可参照如下java示例： // STS endPoint String endPoint " "; // 在对象存储控制台访问密钥AccessKey和SecretKey。 String accessKey " "; String secretKey " "; // 填写步骤一获取的角色ARN。 String roleArn " "; // 设置临时访问凭证的名称. String roleSessionName " "; // 设置 Policy 允许上传对象 String policy "{"Version":"20121017"," + ""Statement":[" + "{"Effect":"Allow"," ""Action":["s3:PutObject"]," ""Resource":["arn:aws:s3::: /"]}" + "]}"; // 创建STS Client BasicAWSCredentials basicAWSCredentials new BasicAWSCredentials(accessKey, secretKey); AwsClientBuilder.EndpointConfiguration endpointConfiguration new AwsClientBuilder.EndpointConfiguration(endPoint, ""); AWSSecurityTokenService stsClient AWSSecurityTokenServiceClientBuilder.standard() .withCredentials(new AWSStaticCredentialsProvider(basicAWSCredentials)) .withEndpointConfiguration(endpointConfiguration) .build(); AssumeRoleRequest assumeRoleRequest new AssumeRoleRequest(); assumeRoleRequest.setRoleArn(roleArn); assumeRoleRequest.setRoleSessionName(roleSessionName); assumeRoleRequest.setPolicy(policy); AssumeRoleResult assumeRoleRes stsClient.assumeRole(assumeRoleRequest); Credentials stsCredentials assumeRoleRes.getCredentials(); System.out.println("Expiration: " + stsCredentials.getExpiration()); System.out.println("Access Key Id: " + stsCredentials.getAccessKeyId()); System.out.println("Access Key Secret: " + stsCredentials.getSecretAccessKey()); System.out.println("Security Token: " + stsCredentials.getSessionToken());