编辑模型 仅支持编辑自定义创建的模型。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“建模分析 > 智能建模”，进入智能建模的可用模型页面。 5. 在可用模型列表中，单击目标模型所在行“操作”列的“编辑”，右侧弹出编辑告警模型页面。 6. 在编辑告警模型页面中，配置告警模型基础信息，参数说明如下表所示。 参数名称 参数说明 管道名称 选择该告警模型的执行管道。暂不支持编辑 。 模型名称 自定义该条告警模型的名称。 严重程度 设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。 告警类型 选择该条告警模型触发后，提示的告警类型。 模型类型 默认为规则模型。 描述 该告警模型的描述信息。 7. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。 8. 设置模型逻辑，参数说明如下表所示。 参数名称 参数说明 查询规则 设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。 查询分析语句由查询语句和分析语句构成，格式为查询语句分析语句，查询分析语句语法详细内容请参见查询与分析语法。 说明 如果筛留字段为text类型时，默认会使用MATCHQUERY进行分词查询。 查询计划 设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为559分钟；当运行查询为小时时，可设置为123小时；当运行查询为天时，可设置为114天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为559分钟；当时间窗口为小时时，可设置为123小时；当时间窗口为天时，可设置为114天。 延迟执行时间：xx分钟，可以设置为05分钟。 告警扩充 自定义信息：自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。 触发条件 设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 告警分组 配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警 调试模式 设置是否生成调试类告警。 抑制 设置生产告警后是否停止运行查询。 如果设置为抑制，即生成告警后停止运行查询。 如果设置为不抑制，即生成告警后不停止运行查询。 9. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。 10. 预览确认无误后，单击页面右下角“确定”。

背景介绍 为避免过期版本实例存在的安全和稳定性风险，同时保证您业务的连贯性，应用服务网格CSM支持对实例进行金丝雀升级，您可以在升级过程中仅变更部分数据面进行效果验证。验证符合预期后再进行全量升级，如果不符合预期，CSM支持对此次升级进行回滚。 相关概念 概念 说明 金丝雀升级 通过先运行一个金丝雀部署的新控制平面来完成 Istio 的升级，从而允许您在将所有流量迁移到新版本之前以一小部分工作负载监视升级的效果。金丝雀升级过程中支持回退。 控制平面 控制平面（Control Plane）是一组系统服务，这些服务配置网格或者网格的子网来管理工作负载实例之间的通信。 单个网格中控制平面的所有实例共享相同的配置资源。 数据平面 数据平面（Data Plane）当前常见的Sidecar模式， 通常是与主应用程序一起运行以提供附加功能的容器。 在 Istio 中，它同时运行一个Envoy代理 Pod，可以进行流量治理，安全策略管理，可观测上报等，无需对业务进行侵入性修改。 升级时机 istio开源社区在不断迭代，天翼云应用服务网格会不定期跟进社区的功能更新和漏洞修复。服务网格实例版本过于落后时，可能会存在安全和稳定性风险，建议您及时进行升级操作。 大版本的更新需要您主动进行升级，及时升级可以： 降低安全和稳定性风险：CSM版本的迭代，会及时跟进修复社区已知的安全及稳定性漏洞，给你的业务带来安全和稳定性的提升。 享受更好的维护支持：对于落后太多的实例版本（往往是3个大版本以上），CSM不再提供维护和技术支持，使用新版本能够让您享受更好的技术支持和答疑服务。 使用新版本的前沿功能：随着社区Istio版本的演进，新版本包含新的功能和改进，CSM也将适配新版本，可以使用更丰富的功能，跟进最新的性能优化也有助于您减少资源消耗。

企业服务状态 根据产品计费订购情况进行展示企业服务状态，若企业服务状态为禁用，则无法进行加速，请谨慎操作。 注意 服务到期、退订、流量用尽将自动将企业服务设为禁用。若计费模式为带宽，则带宽超量后进行限速。 企业流量分配 可以针对账户下用户配置流量使用上限，不配置默认无流量使用上限。 流量分配总览 提供学术加速企业版流量分配总体概况，方便企业查看企业账号下流量分配和使用情况，提供针对用户和状态的检索。 新用户首次默认流量分配 提供新增用户首次默认流量分配开关，点击编辑后输入默认流量数值后，后续该企业新增用户自动分配默认流量的分配单。 新增流量分配 在概览页点击新增按钮，进入流量分配新增界面，选择新增流量分配的用户、填写分配流量、输入到期时间和选择流量分配单新增后状态，点击确认完成新增。

本文向您介绍如何创建企业版VPN连接。 场景描述 如果您需要将VPC中的弹性云主机和数据中心或私有网络连通，创建VPN网关、对端网关之后，需要继续创建VPN连接。 约束与限制 使用静态路由模式创建VPN连接时，使能NQA前请确认对端网关支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则可能导致流量不通。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN连接”。 3. 在“VPN连接”页面，单击“创建VPN连接”。 说明 VPN网关的两个EIP支持分别和对端网关创建一条VPN连接。VPN双连接可以很大程度提升云上云下连接的可靠性，强烈建议配置。 4. 根据界面提示配置参数，单击“立即购买”。 表VPN连接参数说明 参数 说明 取值样例 名称 VPN连接的名称，只能由中文、英文字母、数字、下划线、中划线、点组成。 vpn001 VPN网关 选择待关联的VPN网关名称。 如果您使用国密型VPN网关，且VPN网关没有绑定相关证书，请先单击右侧“上传证书”完成上传证书操作，否则VPN连接将无法建立。 vpngw001 网关IP 选择VPN网关IP。 VPN网关对接同一对端网关时，不能选择已使用过的EIP地址。 可选的网关IP 对端网关 选择对端网关信息。 如果您使用国密型网关，且对端网关没有绑定CA证书，请先参见本指南“企业版对端网关管理 > 上传对端网关证书”上传CA证书，否则VPN连接将无法建立。 说明 如果一个对端网关同时对接多个VPN网关，则VPN网关的BGP ASN和连接模式需要相同。 cgw001 连接模式 IPsec连接的模式，支持路由模式和策略模式。 静态路由模式。 根椐路由配置（本端子网与对端子网）确定哪些数据进入IPsec VPN隧道。 适用场景：对端网关之间要求互通。 BGP路由模式。 根据BGP动态路由确定哪些数据进入IPsec VPN隧道。 适用场景：对端网关之间要求互通，互通子网数量多或变化频繁、与专线互备等组网场景。 策略模式。 根椐策略规则（用户侧到VPC之间通信的数据流信息）确定哪些数据进入IPsec VPN隧道，支持以源网段和目的网段定义策略规则。 适用场景：对端网关之间要求隔离。 静态路由模式 对端子网 指需要通过VPN连接访问云上VPC的用户侧子网。 若存在多个对端子网，请用半角逗号（,）隔开。 说明 对端子网可以和本端子网重叠，但不能重合。 对端子网不能被VPN网关关联的VPC内已有子网所包含；不能作为被VPN网关关联的VPC自定义路由表的目的地址。 对端子网不能是VPC的预留网段，例如100.64.0.0/10、214.0.0.0/8。 172.16.1.0/24,172.16.2.0/24 接口分配方式 仅“连接模式”采用“静态路由模式”和“BGP路由模式”时需要配置。 说明 接口地址为VPN网关和对端网关通信的tunnel隧道IP地址。 如果对端网关的tunnel接口地址固定不可更改，请使用“手动分配”模式，并根据对端网关的tunnel接口地址设置VPN网关的tunnel接口地址。 手动分配。 仅支持在169.254.x.x/30网段（除169.254.195.x/30）范围内，配置VPN网关本端接口地址的tunnel接口地址；对端网关对端接口地址的tunnel接口地址会根据本端接口地址随机生成。 例如：本端接口地址配置为169.254.1.6/30，则对端接口地址自动配置为169.254.1.5/30。 自动分配。 VPN网关默认使用169.254.x.x/30网段对tunnel接口分配地址。 自动分配的本端接口地址/对端接口地址，可以在VPN连接页面，单击“修改连接信息”进行查看。 自动分配 本端隧道接口地址 仅“接口分配方式”采用“手动分配”时需要配置。 配置在VPN网关上的tunnel接口地址。 对端隧道接口地址 仅“接口分配方式”采用“手动分配”时需要配置。 配置在对端网关上的tunnel接口地址，该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。 检测机制 仅“连接模式”采用“静态路由模式”时需要配置。 说明 功能开启前，请确认对端网关支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则可能导致流量不通。 功能开启后，VPN网关会自动对对端接口地址进行NQA探测。 勾选 预共享密钥 VPN网关和对端网关的预共享密钥需要保持一致。 取值范围： 取值长度：8~128个字符。 只能包括以下几种字符，且必须包含三种及以上类型： 数字 大写字母 小写字母 特殊符号：包括“~”、“!”、“@”、“

本文介绍如何挂载CIFS文件系统到Windows云主机。 操作场景 CIFS类型的文件系统仅支持使用Windows操作系统的云主机进行挂载。本此以Windows Sever 2012标准版操作系统为例进行CIFS类型的文件系统的挂载。其他版本请参考以下主要步骤，根据实际界面进行配置。 注意事项 不推荐CIFS协议的文件系统挂载至Linux，因为Linux系统对CIFS协议的兼容程度较低，并且Linux上的CIFS客户端存在一些安全漏洞隐患。因此本产品仅提供Windows 挂载CIFS的方式。 如果仍然期望采用CIFS协议的文件系统挂载至Linux的方式，请提交工单联系技术人员进行相关评估和配置。同时请务必知晓上述风险，若采用此种挂载方式，本服务不承诺SLA。 前提条件 在需要操作的地域创建虚拟私有云VPC，具体操作步骤参见创建虚拟私有云VPC。 已创建该VPC下的弹性云主机，操作系统为Windows Sever 2012标准版，具体操作步骤参见创建弹性云主机。 已创建该VPC下的文件系统，文件系统的协议类型为CIFS，具体操作步骤参见创建文件系统。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行挂载操作的云主机所在行。 3. 点击“远程登录”，使用管理控制台提供的VNC方式远程登录Windows弹性云主机。 4. 对于Windows Server 2016以上的系统，需要配置允许客户端匿名访问，在命令行工具执行以下命令。 plaintext REG ADD HKEYLOCALMACHINESYSTEMCurrentControlSetservicesLanmanWorkstationParameters /f /v AllowInsecureGuestAuth /t REGDWORD /d 1 5. 单击桌面左下角Windows按键，选择这台电脑，右键单击“这台电脑>映射网络驱动器”。 6. 在弹出窗口中，设置“驱动器”盘符名称及文件夹（即在文件系统中看到的挂载目录），文件夹及为文件系统的挂载地址，可在文件系统的详情页获取，如下图。勾选“登录时重新连接”可在云主机重启后自动挂载文件系统。设置完毕后单击完成。 地域资源池挂载地址获取： 可用区资源池挂载地址获取： 7. 单击桌面左下角Windows按键，单击“这台电脑”，在网络位置处将出现已挂载的文件系统，此时您可以像使用一般的文件系统一样进行创建、修改删除文件，构造自己的文件系统。

本节介绍如何查看已有应急策略。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防> 策略管理”，进入策略管理页面后选择“策略视图”页签，进入应急策略策略管理页面。 5. 应急策略管理页面默认进入“策略视图”页面，查看任务下发成功的应急策略统计情况： 策略过期分布：以饼图形式呈现“自动过期”策略占比，并统计“有自动过期”和“无自动过期”的策略数量。 策略分布：以柱状图形式呈现各个防线类型的“阻断”和“加白”策略类型的策略数量。应急策略支持的防线类型请参考约束与限制说明。 阻断区域Top5：以条形图呈现策略对象所在的区域，仅统计Top5区域的应急策略数量分布情况。 应急策略列表：以列表形式呈现应急策略基本信息。策略列表参数说明如下： 参数名称 参数说明 策略对象 策略对象，一个策略对象单独呈现一行。 当“对象类型”是“IP”时：此处呈现IP地址。 当“对象类型”是“域名”时：此处呈现单个域名。 当“对象类型”是“账号”时：此处呈现云服务账号（IAM用户名）。 策略类型 策略类型：“阻断”或“白名单”。 “阻断”：阻断的策略对象将被禁止访问。 “白名单”：加入白名单的策略对象访问请求将被放行。 对象类型 策略的对象类型。 当“策略类型”是“阻断”时，对象类型可选范围有“IP”、“账号”、“域名”。 当“策略类型”是“白名单”时，对象类型可选范围有“IP”、“域名”。 防线类型 策略的防线类型。 应急策略支持的防线类型有CFW/WAF/VPC。 区域 策略中的操作连接对应的区域。 标签 策略的标签信息。 创建人 策略的创建人信息。 自动过期 显示策略自动过期时间与当前时间的间隔。 过期时间 策略的自动过期时间点。 描述 策略的描述信息，该参数默认隐藏。单击应急策略列表上方搜索框最右侧的设置按钮，支持对应急策略列表进行如下设置： “基础设置”： “表格内容折行”：启用此能力可让表格内容自动折行，禁用此功能可截断文本。 “操作列”：启用此能力可让操作列固定在最后一列永久可见。 “自定义显示列”：自定义应急策略列表参数显示列，勾选参数前的则该参数会在列表中显示，去勾选参数前的则对应参数不在列表中显示。 创建时间 策略的创建时间。 操作 对策略进行编辑、删除等操作。详细操作指导参考[编辑策略](

本章节主要介绍注册API。 本文将为您介绍如何注册API，与通过数据表生成的API统一管理和发布到API网关。 目前数据服务共享版支持Restful风格的API注册，包含GET/POST常见请求方式。 配置API基本信息 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据服务”模块，进入数据服务页面。 详见下图：选择数据服务 2.在左侧导航栏选择服务共享版，进入总览页。 3.进入“数据服务 > 开发API > API管理”页面，单击“注册现有API”，填写API基本信息。 详见下表：API基本信息 配置 说明 API名称 支持中文、英文、数字、下划线，且只能以英文或中文开头，364个字符。 API目录 一个特定功能或场景的API集合，是数据服务中API的最小组织单元，也是API网关中的最小管理单元。 您可单击“新建”进行新建，也可选择新建API目录已创建的API分组。 请求Path 资源路径，也即API访问路径。 示例：/v2/{projectid}/streams 协议 用于传输请求的协议，支持HTTP和HTTPS协议。 请求方式 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 GET：请求服务器返回指定资源。 POST：请求服务器新增资源或执行特殊操作，注册API时推荐使用。POST请求当前不支持body体，而是直接透传。 描述 对API进行简要描述。 标签 用户自定义输入，只能包含中文、英文字母、数字和下划线，且不能以下划线开头。 审核人 拥有API的审核权限。 单击“新建”，进入“审核中心>审核人管理”页面，新建审核人。 安全认证 API认证方式： APP认证：表示由API网关服务负责接口请求的安全认证。 IAM认证：表示借助IAM服务进行安全认证。 无认证：表示不需要认证。 服务目录可见性 发布后，所选范围内的用户均可以在服务目录中看到此API。 当前工作空间可见 当前项目可见 当前租户可见 访问日志 勾选，则此API的查询结果将会产生记录并被保留7天，可以在“运营管理>访问日志”处通过选择“请求日期”的方式查看对应日期的日志。 最低保留期限 API解绑前预留的最低期限。API进行停用/下线/取消授权时,会通知已授权用户,并为用户预留至少X小时,直到所有授权用户均完成解除或处理，或者到达截止时间, API才会停用/下线/取消授权。0表示不设限制。 入参定义 配置API请求中的参数，包含资源路径中的动态参数，请求URI中的查询参数和Header参数。 以配置资源路径中的动态参数为例进行说明，例如资源路径（请求Path）设置为： /v2/{projectid}/streams，资源路径中的{projectid}为动态参数，需要在此进行配置。 1. 单击“添加”，参数名配置为projectid。 2. 参数位置选择PATH。 3. 类型设置为STRING。 4. 选择性配置示例值和描述。 4.配置好API基本信息后，单击“下一步”，即可进入API取数逻辑页面。

MySQL是否支持多帐号 MySQL支持多帐号，用户可以自己使用授权命令给这些帐号分配不同的权限以便控制访问不同的表。各个表之间相互独立。 Microsoft SQL Server 2017 企业版主备实例的登录名权限如何同步到只读实例 主实例创建的登录名（Login Name）会每分钟自动同步到只读实例，需要等待1分钟，同步完成后只读实例上才可以使用创建的登录名（Login Name）或修改密码权限。 在只读实例上可以添加、删除、修改登录名（Login Name）权限，因为主实例创建的登录名（Login Name）会每分钟自动同步到只读实例，所以只读实例上多余登录名（Login Name）以及多余的权限将不会完全删除，可以在只读实例上移除多余的登录名（Login Name）权限。 只读实例上的帐号如果在主实例上存在，主实例的密码会同步到只读实例，在只读实例上修改这类登录名（Login Name）的密码将不会生效。 Microsoft SQL Server中主实例的帐号删除重建后，权限是否会自动同步 Microsoft SQL Server中主实例的帐号删除重建后，主实例中的权限及其他修改会自动同步到备实例和只读数据库中。 本地客户端连接实例后如何查看已授权的数据库 使用本地客户端连接数据库后，执行以下命令授权后可正常查看数据库，其中ip表示本地IP地址。 show grants for root@' ip '; show grants for root@'%';

MySQL是否支持多帐号 MySQL支持多帐号，用户可以自己使用授权命令给这些帐号分配不同的权限以便控制访问不同的表。各个表之间相互独立。 Microsoft SQL Server 2017 企业版主备实例的登录名权限如何同步到只读实例 主实例创建的登录名（Login Name）会每分钟自动同步到只读实例，需要等待1分钟，同步完成后只读实例上才可以使用创建的登录名（Login Name）或修改密码权限。 在只读实例上可以添加、删除、修改登录名（Login Name）权限，因为主实例创建的登录名（Login Name）会每分钟自动同步到只读实例，所以只读实例上多余登录名（Login Name）以及多余的权限将不会完全删除，可以在只读实例上移除多余的登录名（Login Name）权限。 只读实例上的帐号如果在主实例上存在，主实例的密码会同步到只读实例，在只读实例上修改这类登录名（Login Name）的密码将不会生效。 Microsoft SQL Server中主实例的帐号删除重建后，权限是否会自动同步 Microsoft SQL Server中主实例的帐号删除重建后，主实例中的权限及其他修改会自动同步到备实例和只读数据库中。 本地客户端连接实例后如何查看已授权的数据库 使用本地客户端连接数据库后，执行以下命令授权后可正常查看数据库，其中ip表示本地IP地址。 show grants for root@' ip '; show grants for root@'%';

本章节主要介绍配置诊断 服务诊断 应用服务网格会对管理集群下的所有服务进行诊断，诊断结果为正常的服务，方可进行流量治理、流量监控及灰度发布等操作。 步骤 1 登录应用服务网格控制台，单击服务网格的名称，进入网格详情页面。 步骤 2 在左侧导航栏选择“服务管理”，服务列表中展示了各服务的诊断结果。 如果服务存在异常，请单击“处理”，根据服务异常修复进行处理。 步骤 3修复异常项后，您可以单击“重新诊断”对服务进行再次诊断。 服务异常修复 诊断异常的服务，需要先手动处理异常状态的检查项，再一键修复可自动处理项。 步骤 1 在诊断状态为异常的服务下单击“处理”，根据修复指导进行手动修复。 步骤 2 手动处理异常状态的检查项后，单击“下一步”进入自动修复项页面，单击“一键修复”，自动处理异常状态的检查项。 说明 如果自动处理无法修复状态异常的检查项，请根据修复指导进行手动修复。 已配置网关或创建灰度发布的服务可能因为Service的端口名称被修改而出现异常，此时不支持进行一键修复。

本文介绍如何在控制台处理用户反馈。 功能说明 企业员工在客户端提交问题/建议反馈后，您可以在控制台管理并处理员工的权限申请和问题建议。 注意 如果您要使用问题反馈功能，请更新AOne客户端到2.0.x版本或者学术加速客户端1.0.x。 目前仅【零信任服务】【学术加速企业版】【终端管理】提供该功能。 操作步骤 1. 登录边缘安全加速控制台，选择相应的控制台【AOne零信任】【学术加速】【终端管理】； 2. 在左侧导航栏，选择待办事项，进入相关页面进行操作。 页面介绍 问题反馈列表默认展示近7天内的员工反馈信息，显示【处理中】【暂不处理】【已处理】统计数量。 列表信息展示相关问题，可进行相关处理。 可以选择时间：今天、昨天、近7天、近30天，最多支持查询半年内相关记录，跨度最多30天； 您可以选择提交人、反馈类型、处理状态进行筛选查询； 您可以点击处理按钮，进行问题/建议回复，或者根据联系方式与员工取得进一步沟通。

背景说明 传统终端防护多依赖已知威胁特征库，难以应对零日攻击、无文件恶意代码等未知威胁，因此需要 EDR（终端威胁检测与响应）能力来补位；它能实时监控终端行为以精准识别异常，发现威胁后自动阻断进程、隔离文件以减少攻击损失，还可追踪攻击路径与源头为防护优化提供依据，完整覆盖 “检测 响应 溯源” 环节，有效填补传统防护在终端安全上的关键缺口。 功能说明 AOne EDR 模块是基于 AI 行为分析引擎的下一代终端安全主动防护解决方案，通过多维度行为监测技术，从 200 + 行为维度对程序运行、系统调用及网络通信活动进行实时监测，构建 "持续监测 智能分析 主动响应" 的闭环安全体系，精准阻断勒索病毒、无文件攻击等已知 / 未知恶意软件的入侵与破坏。 ⚠️注意：此功能需要购买终端管理企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏点击【威胁检测与响应】【威胁事件】，查看威胁事件分布 3. 针对当前的威胁事件进行研判及分析。

MySQL是否支持多帐号 MySQL支持多帐号，用户可以自己使用授权命令给这些帐号分配不同的权限以便控制访问不同的表。各个表之间相互独立。 Microsoft SQL Server 2017 企业版主备实例的登录名权限如何同步到只读实例 主实例创建的登录名（Login Name）会每分钟自动同步到只读实例，需要等待1分钟，同步完成后只读实例上才可以使用创建的登录名（Login Name）或修改密码权限。 在只读实例上可以添加、删除、修改登录名（Login Name）权限，因为主实例创建的登录名（Login Name）会每分钟自动同步到只读实例，所以只读实例上多余登录名（Login Name）以及多余的权限将不会完全删除，可以在只读实例上移除多余的登录名（Login Name）权限。 只读实例上的帐号如果在主实例上存在，主实例的密码会同步到只读实例，在只读实例上修改这类登录名（Login Name）的密码将不会生效。 Microsoft SQL Server中主实例的帐号删除重建后，权限是否会自动同步 Microsoft SQL Server中主实例的帐号删除重建后，主实例中的权限及其他修改会自动同步到备实例和只读数据库中。 本地客户端连接实例后如何查看已授权的数据库 使用本地客户端连接数据库后，执行以下命令授权后可正常查看数据库，其中ip表示本地IP地址。 show grants for root@' ip '; show grants for root@'%';

分布式消息服务RocketMQ是一款低成本、高可靠、高性能的消息中间件产品,兼容开源RocketMQ客户端,提供高效可靠的消息传递服务,解决分布式应用系统之间的消息数据通信难题,用于系统间的解耦,用户只需专注业务,无需部署运维,适用于电商、金融、政企等多样业务场景。

集群内节点安装客户端 1. 获取软件包。 访问FusionInsightManager（MRS3.x及之后版本），在“集群”下拉列表中单击需要操作的集群名称。 选择“更多 > 下载客户端”，弹出“下载集群客户端”信息提示框。 详见下图：下载客户端 说明 在只安装单个服务的客户端的场景中，选择“集群 > 服务 > 服务名称 > 更多 > 下载客户端”，弹出“下载客户端”信息提示框。 2. “选择客户端类型”中选择“完整客户端”。 “仅配置文件”下载的客户端配置文件，适用于应用开发任务中，完整客户端已下载并安装后，管理员通过Manager界面修改了服务端配置，开发人员需要更新客户端配置文件的场景。 平台类型包括x8664和aarch64两种： −x8664：可以部署在X86平台的客户端软件包。 −aarch64：可以部署在TaiShan服务器的客户端软件包。 说明 集群支持下载x8664和aarch64两种类型客户端，但是客户端类型必须与待安装节点的架构匹配，否则客户端会安装失败。 3. 勾选“仅保存到如下路径”，单击“确定”开始生成客户端文件。 文件生成后默认保存在主管理节点“/tmp/FusionInsightClient”。支持自定义其他目录且omm用户拥有目录的读、写与执行权限。单击“确定”，等待下载完成后，使用omm用户或root用户将获取的软件包复制到将要安装客户端的服务器文件目录。 客户端软件包名称格式为：“FusionInsightCluster ServicesClient.tar”。 后续步骤及章节以FusionInsightCluster1ServicesClient.tar进行举例。 说明 当用户无法获取root用户权限，需要用omm用户操作。 如需安装客户端至集群内其他节点，则执行以下命令复制客户端到待安装客户端的节点： scp p / tmp/FusionInsightClient /FusionInsightCluster1ServicesClient.tar待安装客户端节点的IP地址:/opt/Bigdata/client 4. 以userclient用户登录将要安装客户端的服务器。 5. 解压软件包。 进入安装包所在目录，例如“/tmp/FusionInsightClient”。执行如下命令解压安装包到本地目录。 tar xvf FusionInsightCluster1ServicesClient.tar 6. 校验软件包。 执行sha256sum命令校验解压得到的文件，检查回显信息与sha256文件里面的内容是否一致，例如： sha256sum c FusionInsightCluster1ServicesClientConfig.tar.sha256 FusionInsightCluster1ServicesClientConfig.tar:OK 7. 解压获取的安装文件。 tar xvf FusionInsightCluster1ServicesClientConfig.tar 8. 进入安装包所在目录，执行如下命令安装客户端到指定目录（绝对路径），例如安装到“/opt/client”目录。 cd /tmp/FusionInsightClient/FusionInsightCluster1ServicesClientConfig 执行./install.sh /opt/client命令，等待客户端安装完成（以下只显示部分屏显结果）。 Thecomponent client is installed successfully 说明 如果已经安装的全部服务或某个服务的客户端使用了“/opt/client”目录，再安装其他服务的客户端时，需要使用不同的目录。 卸载客户端请删除客户端安装目录。 如果要求安装后的客户端仅能被该安装用户（如“userclient”）使用，请在安装时加“o”参数，即执行./install.sh /opt/client o命令安装客户端。 由于HBase使用的Ruby语法限制，如果安装的客户端中包含了HBase客户端，建议客户端安装目录路径只包含大写字母、小写字母、数字以及?.@+字符。

分布式消息服务RocketMQ是一款低成本、高可靠、高性能的消息中间件产品,兼容开源RocketMQ客户端,提供高效可靠的消息传递服务,解决分布式应用系统之间的消息数据通信难题,用于系统间的解耦,用户只需专注业务,无需部署运维,适用于电商、金融、政企等多样业务场景。

本文介绍ECI实例概述。 本文主要介绍弹性容器实例ECI Pod的主要功能以及使用限制。 前提条件 已开通并授权云容器引擎。 已登录弹性容器实例控制台开通ECI服务。 Kubernetes应用限制 借助Kubernetes社区的Virtual Kubelet技术，天翼云ECI可以完美连接到Kubernetes，实现真正意义上的无缝连接。ECI实例并不会在一个集中式的真实节点上运行，而是分布在整个天翼云的资源池中。由于公共云的安全性和虚拟节点本身的限制，ECI目前还不支持Kubernetes中的一些功能，如DaemonSet。具体功能限制请参见下表： 不支持的功能 说明 HostPath 允许将宿主机（Node）上的文件或目录挂载到Pod中 HostNetWork 允许Pod使用宿主机的网络命名空间，而不是使用Kubernetes的网络隔离 DaemonSet 用于确保每个集群节点上自动运行一个指定的Pod副本 Privileged权限 允许容器几乎拥有宿主机级别的权限 typeNodePort的Service 通过在集群的节点上暴露一个静态端口，使得外部可以通过指定IP地址和该端口访问服务 核心功能 功能项 说明 安全隔离 提供虚拟机级别的安全和资源隔离能力，每个容器实例都运行在独占内核中，不与其它负载和Pod共享基础设施资源。同时针对容器运行环境进行了深度优化，具备比虚拟机更快的启动速度和运行效率 CPU/Memory资源或规格配置 ECI Pod默认使用按需计费模式进行费用收取。支持指定CPU和Memory资源或者指定ECS规格创建实例 镜像拉取与缓存 镜像拉取：ECI Pod在每次启动时，会自动从远程仓库获取容器镜像。对于公共镜像的获取，建议配置VPC的NAT网关或为ECI Pod配置弹性公网IP (EIP)。为优化镜像拉取效率，我们推荐您使用天翼云容器镜像服务，加速镜像的下载 镜像缓存：ECI提供镜像缓存功能，镜像缓存是为了加速拉取镜像以减少ECI启动时间而设计的。镜像拉取是容器实例启动的主要耗时，而制作镜像缓存可以通过预先获取、存储和管理已经拉取的镜像，实现对容器实例启动时间的显著减少。考虑到网络和镜像大小等因素的影响，构建镜像缓存可以通过连续使用相同的镜像实现快速部署，从而加速容器实例的启动并提高系统的可用性 存储 支持使用多种存储方式： CSI：CSI插件是目前Kubernetes社区推荐的插件实现方案，Serverless集群所提供的 CSI 存储插件与社区 CSI 特性兼容。该插件由以下两个组件组成：CSIPlugin：提供挂载和卸载数据卷的能力，Serverless集群默认支持云硬盘和弹性文件服务两种存储服务；CSIProvisioner：提供自动挂载数据卷的能力 PV/PVC：PV提供长期存储资源，而PVC允许用户以抽象的方式请求这些存储资源，实现存储的分配和管理 EmptyDir：该数据卷是一种用于容器实例中临时存放数据的目录，以便于容器之间共享数据。但是需要注意的是，当容器实例被删除时，EmptyDir数据卷中的数据也会被清空 网络 ECI Pod默认采用Host网络模式，并会占用交换机vSwitch的一个弹性网卡ENI资源。在Kubernetes集群环境中，ECI Pod与云主机节点上的Pod可以相互访问。具体方法如下： 创建类型为LoadBalancer的Service对象，并与ECI Pod进行关联；也支持Service同时关联ECI Pod和云主机上的Pod 创建类型为ClusterIP的Service对象，ECI Pod可以直接访问集群中的clusterIP地址 配置相应的 NAT 网关或弹性公网 EIP，并为 ECI Pod绑定指定EIP，或者将 NAT 网关绑定到 ECI 实例所属的 VPC 网络中 日志采集 通过安装日志采集服务插件，一般情况无需再额外部署sidecar容器

本节介绍云等保专区产品的数据库审计配置类问题。 数据库审计如何进行接入配置？ 1. 首先进入到数据库审计原子能力后先修改管理口IP，在菜单栏选择“ 系统管理 > 系统配置 ”进入系统配置页面，选择网络页签，点击操作列中的“编辑”。 在弹出的编辑网口对话框中修改网口的IPv4地址、子网掩码、IPv6等配置信息，点击“保存”。 如果该网口是管理口，除修改网口的IPv4地址、子网掩码、IPv6配置信息，还可设置IPv4网关。 在网口管理区域的操作列中点击是否启用开关，可启用或禁用选中的网口（管理口无法被禁用）。 2. 然后添加系统需要审计的数据库，在菜单栏选择“ 资产 > 资产管理 ”进入资产管理页面，选择资产管理页签，点击“添加”。 在弹出的添加资产页面编辑相关信息。 如需配置其他更多信息，可点击“更多配置”，选择单向审计或双向审计，设置加密协议审计。 3. 然后配置数据库的安全规则和过滤规则，在菜单栏选择“ 规则配置 > 安全规则 ”进入安全规则页面，选择规则管理页签，点击“推荐”，切换至“全部”。 用户也可以管理自定义的规则，新增自定义安全规则的操作方法如下：在菜单栏选择“ 规则配置 > 安全规则 ”进入安全规则页面，选择规则管理页签，点击“新增”。 在新增规则对话框中编辑相关信息，点击“保存”。 接着启用规则，在菜单栏选择“规则配置 > 安全规则”进入安全规则页面，选择规则管理页签，在规则列表中勾选目标规则，点击“启用选中项”。 在弹出对话框中勾选资产，点击“确定”，则可将已启用的规则直接应用到选择的资产上。 4. 最后便于用户及时了解数据库的运行状态及安全告警信息，可查看报表订阅和告警通知，在菜单栏选择“报表中心 > 报表预览”进入报表预览页面，点击页面右上角的“订阅”。 进入添加订阅任务页面，编辑相关信息，点击“保存”。 系统支持多种消息通知模式，可及时将当前资产告警情况以及系统本身的状态信息提供给管理员，目前支持邮件、短信、企业微信、钉钉、SNMP、Syslog六种通知方式，详情阅读用户手册进行设置。

本小节介绍漏洞扫描服务流程。 网络要求 非电信客户的应用系统网络与扫描器网络可达，即可提供扫描服务（内网需提供用于部署扫描器的内网主机，内外网需保证路由可达）。 服务流程 业务受理单 客户应如实填写以下信息（必须填满）： 1. 被检测的IP主机信息。 2. 被检测主机的操作系统类型及版本。 3. 业务接口人联系方式，客户需指定一个具有对漏洞扫描方案及漏洞扫描过程中出现的问题有决定权的业务接口联系人。 4. 客户提供扫描资产时需对所提交资产所有权负责，保证资产归提交人合法所有。 5. 客户需签订漏洞扫描授权书。 审核阶段 对委托单位提交的受理单信息进行核查，核查内容： 1. 判断资产所在环境是公网还是内网。 若是公网需要保证被扫描资产路由可达。 若是内网环境，需确认委托单位提供可访问到内网主机的跳板机。 2. 受理单审核通过后进入漏洞扫描实施阶段。 业务受理单无问题进入下一阶段；如有问题返回客服，由客服继续与客户沟通，直到业务受理单填满无问题。 说明 确认过程需1个工作日。 实施阶段 1.漏洞扫描实施方案 业务受理单确认无误后进入实施阶段，漏洞扫描操作人员接到客服的业务受理单后确认受理单信息：IP、版本、授权等并就扫描计划和受理单内容与客户确认。扫描任务实施前，分析客户主机情况，制定扫描方案，明确漏洞扫描任务具体实施时间、目标范围、合理的扫描方式以及最佳扫描策略，并就扫描方案与客户进行沟通确认，由于在漏洞扫描期间客户方未关闭安全防护设备所造成的漏扫结果不准确，乙方不承担责任。 注意 确认过程0.5个工作日。 2.实施漏洞扫描 扫描实施前若客户网络环境公网不能直达，需部署扫描器，也可配合客户自己部署，策略模板由我们提供，部署时间预计1个工作日。 关于扫描进度，目前扫描器扫描一个C段地址大约需要6个小时左右时间，扫描期间实时就扫描过程中发生的问题与客户沟通，最后扫描的结果将存放到扫描结果专用堡垒机上。 漏洞扫描的风险规避，由于漏洞扫描属于黑盒测试，因此可能对被测试目标造成不可预知的风险；此外对于性能比较敏感的测试目标，如一些实时性要求比较高的系统，由于扫描可能引起网络流量的增加，因此可能会引起被扫描目标的服务质量降低。因此需进行如下的风险规避措施： 扫描时段选择：一般会选择在夜间或安排在业务量不大的时段进行漏洞扫描。 扫描策略选择：根据系统的具体情况配置合理的扫描策略。 3.编写扫描报告 漏洞扫描完成后输出漏洞扫描服务报告，报告编写时间2个工作日。 4.报告审核修订 由专人对输出的漏洞扫描服务报告进行审核修订，审核修订时间1个工作日。 5.报告提交 报告提交方式采取邮件回复的方式提交：客户通过邮件向天翼云漏洞扫描平台发起报告接收申请，漏洞扫描服务报告以回复邮件方式给客户。 6.质保服务 在客户收到漏洞扫描服务报告后，乙方参与漏扫项目的专家为客户持续提供3天时间用于咨询报告中的不明事项。 7.结束服务 在完成以上各阶段工作后，漏洞扫描项目经理告知客服此次漏扫服务结束。

为了规范互联网信息服务活动，促进互联网信息服务健康有序发展，根据国务院令第292号《互联网信息服务管理办法》和工信部令第33号《非经营性互联网信息服务备案管理办法》规定，国家对经营性互联网信息服务实行许可制度，对非经营性互联网信息服务实行备案制度。未取得许可或者未履行备案手续的，不得从事互联网信息服务，否则就属于违法行为。 通俗来讲：想要开办网站必须先办理网站备案，备案成功取得通信管理局下发的ICP备案号后才能开通访问。 2023年9月起APP备案被纳入原ICP网站备案行政许可事项中，在中华人民共和国境内从事互联网信息服务的APP主办者，应当依照《中华人民共和国反电信网络诈骗法》《互联网信息服务管理办法》（国务院令第292号）等规定履行备案手续，未履行备案手续的，不得从事APP互联网信息服务。 应该在哪里提交备案？ 由接入服务企业为网站、APP主办者代为履行备案手续；由小程序、快应用运行平台为小程序、快应用主办者代为履行备案手续 温馨提醒：备案主要与服务器提供商相关，应到服务器提供商处提交备案申请。

本节主要介绍产品优势 对资源进行精细访问控制 您注册后，系统自动创建帐号，帐号是对其所拥有的资源具有完全控制权限，可以访问系统中所有的云服务。 如果您创建了多种资源，例如弹性云主机、云硬盘、物理机等，您的团队或应用程序需要使用您的资源，您可以为员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录云服务平台。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 跨帐号的资源操作与授权 如果您创建了多种资源，其中一种资源希望由其它帐号管理，您可以使用IAM提供的委托功能。 例如您希望将资源委托给一家专业的代运维公司来运维，通过IAM的委托功能，代运维公司可以使用自己的帐号对您委托的资源进行运维。当委托关系发生变化时，您可以随时修改或撤消对代运维公司的授权。下图中帐号A即为委托方，帐号B为被委托方。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype list< string > 否 产品类型 “006”(全站加速) domain list< string > 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list< int > 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项，点击查看 isp list< string > 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项，点击查看 networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6、other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有应用层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 abraod int 否 区域 区域，枚举值：国内(0)，国外(1)，北美（201），欧洲（202），亚太1区（203），亚太2区（204），亚太3区（205），中东&非洲（206），南美（207）；不传或为空默认返回全部区域 groupby list< string > 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为productcode，domain，province，isp，networklayerprotocol，applicationlayerprotocol。 continentcode list< int > 否 大洲编码 枚举值：亚洲（200），大洋洲（201），非洲（202），欧洲（203），美洲（204）；不传或为空默认全部大洲 continentregioncode list< int > 否 州大区编码 不传或为空默认全部洲大区；continentcode和continentregioncode参数同province参数互斥，即不允许同时传参，点击查看

HPA策略即Horizontal Pod Autoscaling，是Kubernetes中实现POD水平自动伸缩的功能。该策略在kubernetes社区HPA功能的基础上，增加了应用级别的冷却时间窗和扩缩容阈值等功能。 前提条件 若使用系统指标，则需要安装metricsserver和prometheus插件： metricsserver：负责采集kubernetes集群中kubelet的公开指标项，包含CPU利用率、内存利用率。HPA弹性策略如基于CPU/MEM利用率，必须安装此插件。 prometheus：负责采集kubernetes集群中kubelet的公开指标项（CPU利用率、内存利用率）。 约束与限制 HPA策略：仅支持1.13及以上版本的集群创建。 每个工作负载只能创建一个策略，即如果您创建了一个HPA策略，则不能再对其创建工作负载弹性伸缩（CustomedHPA）或其他HPA策略，您可以删除该HPA策略后再创建。 操作步骤 步骤 1 在CCE控制台中，单击左侧导航栏的“弹性伸缩”，在“工作负载伸缩”页签下，单击“创建HPA策略”。 步骤 2 进入创建工作负载HPA策略页面，在“插件检测”步骤中： 若插件名称后方显示，请单击插件后方的“现在安装”，根据业务需求配置插件参数后单击“立即安装”，等待插件安装完成。 若插件名称后方显示，则说明插件已安装成功。 步骤 3 确认插件已安装成功后，单击“下一步：策略配置”。 说明： 如果插件已提前安装成功，单击“创建HPA策略”后，在“插件检测”步骤中经过短暂检测后将直接进入“策略配置”步骤。 步骤 4 在“策略配置”步骤中，参照下表设置策略参数。 表HPA策略参数配置 参数 参数说明 策略名称 新建策略的名称，请自定义。 集群名称 请选择工作负载所在的集群。 命名空间 请选择工作负载所在的命名空间。 关联工作负载 请选择要设置HPA策略的工作负载。 实例范围 请输入最小实例数和最大实例数。 策略触发时，工作负载实例将在此范围内伸缩。 冷却时间 请输入缩容和扩容的冷却时间，单位为分钟，缩容扩容冷却时间不能小于 1 分钟。 该设置仅在1.15 及以上版本的集群中显示，1.13 版本的集群不支持该设置。 策略成功触发后，在此缩容/扩容冷却时间内，不会再次触发缩容/扩容，目的是等待伸缩动作完成后在系统稳定且集群正常的情况下进行下一次策略匹配。 策略规则 策略规则可基于系统指标。 系统指标 指标：可选择“CPU利用率”或“内存利用率”。 说明 利用率 工作负载容器组（Pod）的实际使用量 / 申请量。 期望值：请输入期望资源平均利用率。 期望值表示所选指标的期望值，通过向上取整(当前指标值 / 期望值 × 当前实例数)来计算需要伸缩的实例数。 阈值：请输入缩容和扩容阈值。 当指标值大于缩容阈值且小于扩容阈值时，不会触发扩容或缩容。阈值仅在 1.15 及以上版本的集群中支持。 您可以单击“添加策略规则”，设置多条伸缩策略。 说明 HPA在计算扩容、缩容实例数时，会选择最近5分钟内的最大值。 步骤 5 设置完成后，单击“创建”，在“完成”步骤中若显示“创建工作负载策略提交成功”，可单击“返回工作负载伸缩策略”。 步骤 6 在“工作负载伸缩”页签下，可以看到刚刚创建的HPA策略。

功能分类 功能名称 功能描述 云硬盘备份 云硬盘粒度的备份 云硬盘备份提供对云硬盘的基于快照技术的数据保护。云服务备份支持备份服务器的单个磁盘，为磁盘提供数据保护。 云硬盘备份 使用备份策略备份数据 通过备份策略，您可以将整个存储库绑定的磁盘按照一定的策略要求对磁盘数据进行周期性备份，以便磁盘在数据丢失或损坏时快速恢复数据，保证业务正常运行。 云硬盘备份 备份数据管理 在备份任务正在执行或完成后，可以通过各种筛选条件在备份列表查看备份详情进行整理。 云硬盘备份 根据备份恢复云硬盘数据 当磁盘发生故障、或者由于人为误操作导致服务器数据丢失时，可以使用已经创建成功的备份恢复磁盘。 云硬盘备份 使用备份创建新云硬盘 可以使用云硬盘备份数据创建新的磁盘，创建后的磁盘原始数据将会和磁盘备份状态的数据内容相同。 云主机备份 服务器粒度的备份 云主机备份提供对弹性云主机的基于多云硬盘一致性快照技术的数据保护。云服务备份支持备份整个服务器，为服务器提供数据保护。 云主机备份 使用策略备份数据 通过备份策略，您可以将整个存储库绑定的服务器按照一定的策略要求对服务器数据进行周期性备份，以便服务器在数据丢失或损坏时快速恢复数据，保证业务正常运行。 云主机备份 备份数据管理 在备份任务正在执行或完成后，可以通过各种筛选条件在备份列表查看备份详情进行整理。 云主机备份 使用备份恢复服务器数据 当服务器发生故障、或者由于人为误操作导致服务器数据丢失时，可以使用已经创建成功的备份恢复服务器。 云主机备份 共享备份 在对服务器和磁盘数据进行备份后，可将备份进行添加共享，将备份共享给其他账户项目使用。共享的备份可用于创建服务器等操作。 云主机备份 数据库服务器备份 云主机备份在支持崩溃一致性备份的基础上，同时支持数据库备份。文件/磁盘数据在同一时间点，通过数据库备份内存数据，能够保证应用系统一致性，如包含MySQL或SAP HANA数据库的弹性云主机。 SFS Turbo备份 SFS Turbo备份 云服务备份提供对SFS Turbo文件系统的备份保护。通过SFS Turbo备份，您可以使用备份创建新的SFS Turbo，从而避免SFS Turbo重要数据丢失 SFS Turbo备份 使用策略备份数据 通过备份策略，您可以将整个存储库绑定的文件系统按照一定的策略要求对文件系统数据进行周期性备份，以便文件系统在数据丢失或损坏时快速恢复数据，保证业务正常运行。 SFS Turbo备份 备份数据管理 在备份任务正在执行或完成后，可以通过各种筛选条件在备份列表查看备份详情进行整理。 SFS Turbo备份 使用备份创建新文件系统 可以使用SFS Turbo备份数据创建新的文件系统，创建后的文件系统原始数据将会和SFS Turbo备份状态的数据内容相同。 文件备份 创建文件备份 文件备份支持为云上主机或本地的文件目录进行备份，无需再以整机或整盘的形式进行备份。 文件备份 使用备份恢复数据 当文件由于人为误操作或病毒入侵导致文件数据丢失时，可以使用云上已经创建成功的备份恢复数据。

操作场景 CCE支持配置工作负载日志策略，便于日志的统一收集、管理和分析，以及按周期防爆处理。 云容器引擎服务对接了应用运维管理服务AOM，支持容器日志采集、查看、检索功能。使用该功能前首先要配置日志采集路径，本章节向您介绍如何采集容器内路径日志。 如果您需要通过不做任何配置的方式采集容器标准输出日志，请参见采集容器标准输出日志。 注意事项 ICAgent只采集.log、.trace和.out类型的文本日志文件。 AOM默认会采集容器标准输出日志，您不用做任何配置。 在CCE中添加日志策略 步骤 1 在CCE中创建无状态负载(Deployment)时，添加容器后，展开“容器日志”配置区域。 步骤 2 单击“添加日志策略”，设置自定义日志参数，配置日志策略，以nginx为例，不同工作负载根据实际情况配置。 步骤 3 存储类型有“主机路径”和“容器路径”两种类型可供选择： 主机路径：可将主机上的路径挂载到指定的容器路径。日志策略配置参数如下： 添加日志策略主机路径 参数 参数说明 存储类型 设置为“主机路径”。将主机上的路径挂载到指定的容器路径。 添加容器挂载 主机路径 输入主机的路径，如：/var/paas/sys/log/nginx 挂载路径 输入数据卷挂载到容器上的路径，如：/tmp 须知 请不要挂载在系统目录下，如“/ ”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 AOM只采集最近修改过的前20个日志文件，且默认采集两级子目录。 AOM只采集挂载路径下的“.log”、“.trace”、“.out”文本日志文件。 容器中挂载点的权限设置方法，请参见为Pod或容器配置安全性上下文。 主机扩展路径 通过实例的ID或者容器的名称扩展主机路径，实现同一个主机路径下区分来自不同容器的挂载。 会在原先的“卷目录/子目录”中增加一个三级目录。使用户更方便获取单个Pod输出的文件。 None：不配置拓展路径。 PodUID：Pod的ID。 PodName：Pod的名称。 PodUID/ContainerName：Pod的ID/容器名称。 PodName/ContainerName：Pod名称/容器名称。 采集路径 设置采集路径可以更精确的指定采集内容，当前支持以下设置方式： 不设置则默认采集当前路径下.log .trace .out文件 设置表示递归采集5层目录下的.log .trace .out文件 设置表示模糊匹配 例子： 采集路径为/tmp//test.log表示采集/tmp目录及其15层子目录下的全部以test开头的.log文件。 注意： 使用采集路径功能请确认您的采集器ICAgent版本为5.12.22或以上版本。 日志转储 此处日志转储是指日志的本地绕接。 设置：AOM每分钟扫描一次日志文件，当某个日志文件超过50MB时，会立即对其转储（转储时会在该日志文件所在的目录下生成一个新的zip文件。对于一个日志文件，AOM只保留最近生成的20个zip文件，当zip文件超过20个时，时间较早的zip文件会被删除），转储完成后AOM会将该日志文件清空。 不设置：若您在下拉列表框中选择“不设置”，则AOM不会对日志文件进行转储。 说明： AOM的日志绕接能力是使用copytruncate方式实现的，如果选择了设置，请务必保证您写日志文件的方式是append（追加模式），否则可能出现文件空洞问题。 当前主流的日志组件例如Log4j、Logback等均已经具备日志文件的绕接能力，如果您的日志文件已经实现了绕接能力，则无需设置。否则可能出现冲突。 建议您的业务自己实现绕接，可以更灵活的控制绕接文件的大小和个数。 容器路径：日志仅输出到容器路径，无需挂载主机路径。日志策略配置参数如下： 添加日志策略容器路径 参数 参数说明 存储类型 设置为“容器路径”。 日志仅输出到容器路径，无需挂载主机路径。此功能需要采集器ICAgent版本升级到5.10.79或以上版本。 添加容器挂载 挂载路径 输入数据卷挂载到容器上的路径，如：/tmp 须知 请不要挂载在系统目录下，如“/ ”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 AOM只采集最近修改过的前20个日志文件，且默认采集两级子目录。 AOM只采集挂载路径下的“.log”、“.trace”、“.out”文本日志文件。 容器中挂载点的权限设置方法，请参见为Pod或容器配置安全性上下文。 采集路径 设置采集路径可以更精确的指定采集内容，当前支持以下设置方式： 不设置则默认采集当前路径下.log .trace .out文件 设置表示递归采集5层目录下的.log .trace .out文件 设置表示模糊匹配 例子： 采集路径为/tmp//test.log表示采集/tmp目录及其15层子目录下的全部以test开头的.log文件。 注意 使用采集路径功能请确认您的采集器ICAgent版本为5.12.22或以上版本。 日志转储 此处日志转储是指日志的本地绕接。 设置：AOM每分钟扫描一次日志文件，当某个日志文件超过50MB时，会立即对其转储（转储时会在该日志文件所在的目录下生成一个新的zip文件。对于一个日志文件，AOM只保留最近生成的20个zip文件，当zip文件超过20个时，时间较早的zip文件会被删除），转储完成后AOM会将该日志文件清空。 不设置：若您在下拉列表框中选择“不设置”，则AOM不会对日志文件进行转储。 说明： AOM的日志绕接能力是使用copytruncate方式实现的，如果选择了设置，请务必保证您写日志文件的方式是append（追加模式），否则可能出现文件空洞问题。 当前主流的日志组件例如Log4j、Logback等均已经具备日志文件的绕接能力，如果您的日志文件已经实现了绕接能力，则无需设置。否则可能出现冲突。 建议您的业务自己实现绕接，可以更灵活的控制绕接文件的大小和个数。 说明： 此功能需要采集器ICAgent版本升级到5.10.79或以上版本。 步骤 4 单击“确定”，并完成创建工作负载。 查看日志 日志采集路径配置和工作负载创建完成后，若已配置的路径下存在日志文件，则ICAgent会从已配置的路径中采集日志文件，采集大概需要1分钟，请您耐心等待。 待采集完成后，进入工作负载详情页，单击右上角的“日志”按钮查看日志详情并进行分析。 说明： 云容器引擎服务对接了应用运维管理服务AOM提供日志查看、检索功能。

本文介绍如何使用边缘安全加速平台实现终端管理。 产品介绍 边缘安全加速平台提供终端安全管理能力，通过整合防病毒、漏洞修复、软件与外设管控、AI安全检测等能力，依托智能中台实现统一策略管理，精准解决资产不可视、风险难追溯、处置效率低等核心痛点，打破安全与业务效率的对立僵局，成为企业数字化转型的一站式终端安全防护与提效平台。 快速入门 注意 场景一：订购零信任企业版服务后，参考 场景二：仅订购终端管理套餐时，按照下文的描述即可接入。如需使用终端管理能力，在终端管理控制台进行配置。 进入终端管理控制台 登录边缘安全加速平台，在首页全部产品栏目，选择【终端管理】，进入产品配置页。 第一步：管理员设置企业认证标识 首次订购终端管理，需要设置企业认证标识。企业认证标识是客户端登录的重要凭据，为了方便使用，可把企业名称设置为企业认证标识。企业认证标识暂不支持在控制台修改，若有需要可提交工单进行配置。

本节介绍天翼AI云电脑(公众版)在外设方面的常见问题。 哪些设备已完成了天翼AI云电脑的适配？ 登录天翼AI云电脑提示USB连接异常怎么办？ 天翼AI云电脑插入U盘识别不到U盘怎么处理？ 在天翼AI云电脑中，插拔U盘，点击U盘无法打开怎么处理？ 如何使用摄像头？ 如何使用蓝牙键鼠？ 移动硬盘无法识别？ 哪些设备已完成了天翼AI云电脑的适配？ 详细的适配列表可前往查看终端适配列表 登录天翼AI云电脑提示USB连接异常怎么办？ 登录天翼AI云电脑后提示USB连接异常原因为客户端识别USB设备的USBDK异常，请在本地电脑控制面板卸载USBDK，并重启本地电脑重新安装客户端。 天翼AI云电脑插入U盘识别不到U盘怎么处理？ 排查方法： 1. 插拔U盘并查看天翼AI云电脑【设备管理器】是否有有刷新； 2. 退出天翼云电脑客户端，查看本地电脑/瘦终端查看U盘是否可以正常识别； 3. 退出天翼云电脑客户端，插着U盘登录天翼AI云电脑，查看是否可以识别到U盘； 4. 更换U盘尝试；

权限详情是指用户查看其他用户数据权限、敏感列权限、运维权限的操作，本文介绍用户权限详情功能，使用户可以快速熟悉用户权限详情页面的相关操作。 前提条件 用户权限详情功能仅限企业版。 用户需要具有进入用户管理或团队管理页面的菜单权限。菜单权限请参考权限说明。 注意事项 用户权限详情页面仅展示当前用户拥有管理权限的实例范围内，目标用户被授予或主动申请的数据权限、敏感列权限。因此，目标用户实际拥有的数据权限、敏感列权限并不局限于本页面中所展示的数据权限、敏感列权限。 如果当前用户是超级管理员、系统管理员，且目标用户是DBA时，还会展示目标用户的运维权限。 操作步骤 1. 登录数据管理服务DMS。 2. 在左侧菜单栏依次点击 安全协作>用户与角色 ，选择目标用户，点击更多>权限详情 按钮弹出权限详情页面；或者在左侧菜单栏依次点击安全协作>团队管理 ，切换到团队成员管理 页面，选择某个团队成员，点击权限详情按钮弹出权限详情页面。可以根据需要切换到库/模式权限、表权限、实例权限、敏感列权限或运维权限页面，查询目标用户不同类型的权限详情。

本文介绍管理员模式，进入管理员模式之后，在查询窗口执行SQL语句将不会受到风险管控规则、SQL规范、查询次数、查询行数等限制，方便用户在紧急情况下使用此功能快速执行数据变更。 背景信息 SQL风险、SQL规范、查询次数限制、查询行数限制等功能可以增强数据库的安全性和稳定性，防止危险操作的发生。但在一些紧急的运维场景下，上述功能也会给系统管理员、运维管理员快速处理故障带来不便。因此，具备权限的管理员可以进入管理员模式执行SQL，不会受到风险规范等功能的限制。 前提条件 组织版本为企业版。 用户具备使用管理员模式的权限。菜单权限请参考权限说明。 注意事项 管理员模式下在查询窗口执行SQL时将不受各种规则、规范等的限制，无需审批可直接执行，请注意操作风险。 操作步骤 1. 用户登录DMS系统。 2. 点击菜单实例列表 双击对应实例的库/模式进入查询窗口。 3. 点击SQL编辑框上方的管理员模式按钮。 4. 在打开的管理员模式确认弹窗中点击确定 按钮，即可进入管理员模式界面。如需退出，请点击退出管理员模式按钮即可。

背景说明 支持在管理平台一键提取客户端侧已发现的病毒文件、威胁实体文件及外发的可疑文件，可直接为管理员开展威胁溯源、事件取证提供文件级证据支撑，有效缩短溯源周期、提升取证准确性，助力快速定位攻击根源。 注意 客户端版本：支持Windows客户端，需为2.25.10及以上客户端。 套餐版本：已订购终端管理企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏展开远程运维及响应并点击【远程文件提取】，查看远程文件提取任务相关内容。 文件提取入口 1. 支持在防病毒日志详情、EDR 威胁事件详情、文件外发审计日志详情等位置提取文件。 2. 点击获取文件后将在【远程文件提取】生成文件提取任务。 文件提取任务 1. 页面整体呈现远程文件提取任务记录，支持对任务记录通过“操作员姓名” 或 “文件存储路径” 关键词进行搜索，或通过选择 “账户名”“文件类型”“提取状态”“时间范围”对任务进行筛选。

态势感知支持实时检测整体资产的安全状态，评估整体资产安全健康得分。 态势感知支持实时检测整体资产的安全状态，评估整体资产安全健康得分。通过查看安全评分，可快速了解未处理风险对资产的整体威胁状况。 资产安全风险修复后，为降低安全评分的风险等级，目前需手动忽略或处理告警事件，刷新告警列表中告警事件状态。告警事件状态刷新并启动重新检测后，安全评分将更新。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版） > 检测结果”，进入全部检测结果页面。 3. 忽略告警事件。在相应告警事件“操作”列，单击“忽略”，告警事件状态更新为“已忽略”。 4. 标记为线下处理。 1. 在相应告警事件“操作”列，单击“标记为线下处理”，弹出告警事件处理窗口。 2. 记录“处理人”、“处理时间”和“处理结果”。 3. 单击“确认”，返回告警列表页面，告警事件状态更新为“已线下处理”。 5. 相应告警事件已标记后，返回“安全概览”页面，单击“重新检测”，检测后可查看更新的安全评分。 说明 由于检测需要一定的时间，请您在单击“重新检测”按钮5分钟后，再刷新页面，查看最新检测的安全评分。

查看监控详情 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > 域名监控服务”。 3. 在域名监控列表找到需要查看监控数据的域名，单击操作列的“监控详情”。 4. 查看详细监控数据。 监控数据说明如下： 分类 参数 说明 概览 安全等级 域名安全评级。 概览 监控状态 扫描中 正常 概览 ATS 满足 不满足 概览 PCI DSS 满足 不满足 证书信息 SSL证书信息 通用名称：当前SSL证书的通用名称。 签名算法：当前SSL证书使用的签名算法。 证书透明（CT）：当前证书签发行为是否透明公开。true表示公开。 证书品牌：当前SSL证书的版本。包括标准版、SecureSite、GeoTrust、GlobalSign、CFCA、TrustAsia。 证书类型：当前SSL证书的种类。包括DV、OV、EV。 开始时间：当前SSL证书签发时间。 结束时间：当前SSL证书到期时间。 组织机构：组织名称。 备用名称：当前SSL证书的备用名称。 证书信息 证书链信息 颁发给：需要颁发证书的域名。 颁发者：SSL证书的颁发机构名称。 有效期：证书有效期。 协议与套件 协议 展示TLS协议类型的支持情况。 协议与套件 SSL漏洞检测 展示SSL漏洞检测信息。 协议与套件 套件 展示支持的加密套件详情。