参数名称 说明 取值样例 添加方式 您可以选择Agent的添加方式。选择已有Agent 当某个应用端连接了多个数据库时，如果该应用端的一个数据库已经在应用端添加了Agent。其他数据库在添加Agent时，只需要选择“选择已有Agent”添加方式。 创建Agent 如果待添加Agent的数据库需要创建Agent，请创建新的Agent。 创建Agent 安装节点类型 当“添加方式”选择“创建Agent”时，需配置该参数。 审计ECS/BMS自建数据库，选择“数据库端”。 数据库端 操作系统 指待审计的数据库的操作系统，支持。 可以选择“LINUX64X86”“、LINUX64ARM”或“WINDOWS64”。 说明：根据服务器架构的不同，请根据自身的服务器架构选择LINUX64X86或者LINUX64ARM架构版本。 LINUX64X86

本章节主要介绍常用的物理机自定义权限策略。 如果系统预置的物理机权限，不满足您的授权要求，可以创建自定义策略，自定义策略中可以添加授权项（Action）。 目前天翼云支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 物理机自定义策略样例 示例1： 授权用户修改物理机名称。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "bms:servers:list", "bms:servers:get", "bms:servers:put" ] } ] } 示例2： 授权用户批量启动服务器。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "bms:servers:list", "bms:servers:get", "bms:servers:start" ] } ] } 示例3： 拒绝用户下电服务器。 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循 Deny优先原则 。 如果您给用户授予物理机 FullAccess的系统策略，但不希望用户拥有物理机 FullAccess中定义的下电物理机权限，您可以创建一条拒绝下电服务器的自定义策略，然后同时将物理机 FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对物理机执行除了下电以外的所有操作。以下策略样例表示：拒绝用户下电物理机。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "bms:servers:stop" ] } ] }

使用场景 当您已经创建完成DHCP选项集，需要对DHCP选项集中的信息进行变更时，需要使用编辑DHCP选项集。 使用须知 DHCP选项集关联VPC后仅对普通子网下的弹性云主机和弹性裸金属服务器生效，对于标准裸金属子网下的标准物理机不生效。 可以修改名称、描述、域名、DNS域名服务器IP。 修改域名、DNS域名服务器IP后需要通过以下几种方式生效： 实例类型 生效策略 存量云主机实例（DHCP选项集编辑前，VPC中已经创建的云主机实例） 执行以下任意操作后，云主机实例会更新DHCP选项集中的DHCP选项配置： 重启云主机实例 重启DHCP Client服务 重启网络服务。 新建云主机实例（DHCP选项集编辑后，VPC中新创建的云主机实例） 无需任何操作，新建云主机实例会自动同步DHCP选项集中的DHCP选项配置。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，本文我们以某可用区资源池为例。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在网络控制台界面，选择DHCP选项集，单击进入DHCP选项集列表页。 5. 找到对应的DHCP选项集，点击操作中“编辑”选项，进入编辑DHCP选项集弹窗。 6. 填写对应的信息后，点击“确定”完成编辑操作。

本章节主要介绍天翼云物理机的功能。 订购及管理 物理机服务的开通/订购需通过联系客服或客户经理的方式，由天翼云后台进行开通处理，并可在控制台对物理机进行开机、关机、重启等管理操作。 提供多种操作系统 支持常用的Windows、Linux操作系统，用户订购物理机时可指定操作系统类型。 物理机与云主机网络互通 物理机服务支持部署在VPC中，支持IPv6特性，可实现物理机与物理机之间、物理机与云主机之间网络互通，满足不同业务场景对物理机、云主机部署的需求。 物理机支持多种网络类型：VPC网络、高速网络、IB网络、自定义VLAN网络等。 物理机与云存储 支持挂载云硬盘，在线扩容，解决了传统物理服务器受限于本地硬盘容量的问题。 支持挂载共享云硬盘，由多台服务器并发读写访问，满足企业核心系统集群部署的需求。 物理机镜像 物理机支持公共镜像、私有镜像和共享镜像。用户可通过选择公共镜像快速发放物理机，免操作系统安装，通过定制的私有镜像可以一键创建所需要的物理机服务器，节省重复配置物理机的时间。 物理机生命周期管理 支持物理机和HPC生命周期管理，可以通过公有镜像或者私有镜像进行快速部署及发放，网络自动配置，发放完成即可使用。 混合部署，灵活组网 物理机在可用分区内，内网互通。通过VPC实现与外部资源的互通，同时可以结合ECS等服务混合部署、灵活组网，满足用户多种复杂场景的不同诉求。

功能 相关服务 云服务器和文件系统归属于同一项目下，用于挂载共享路径实现数据共享。 弹性云主机（Elastic Cloud Server，ECS） VPC为弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署。 云服务器无法访问不在同一VPC下的文件系统，使用弹性文件服务时需将文件系统和云服务器归属于同一VPC下。 虚拟私有云（Virtual Private Cloud，VPC） IAM是支撑企业级自助的云端资源管理系统，具有用户身份管理和访问控制的功能。当企业存在多用户访问弹性文件服务时，可以使用IAM新建用户，以及控制这些用户帐号对企业名下资源具有的操作权限。 统一身份认证服务（Identity and Access Management, IAM） 文件系统的加密功能依赖于密钥管理服务。您可以使用密钥管理服务提供的密钥来加密文件系统，从而提升文件系统中数据的安全性。 数据加密服务（Data Encryption Workshop, DEW）的密钥管理KMS功能 当用户开通了弹性文件服务后，无需额外安装其他插件，即可在云监控查看对应服务的性能指标，包括读带宽、写带宽和读写带宽等。 云监控服务（Cloud Eye Service） 为用户提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。通过云审计服务，您可以记录与弹性文件服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务（Cloud Trace Service，CTS）

使用云电竞过程中的常见问题。 退出云电竞客户端无法快速重连并提示“连接服务器失败”是怎么回事？ 退出云电竞客户端后，显示“连接服务器失败”可能是由于网络波动或者服务器进程异常导致的连接失败，您可以点击退出，再重新进入客户端，我们将为您重新分配新的实例。 提示“找不到该账号关联的实例资源”怎么办？ 通常情况下为该账号无可用实例，建议切换其他账号解决。具体操作方法：取消登录后，点击页面右上角【设置】齿轮按钮，拖到页面最下方【管理员设置】处，输入操作密码“Ctyunesports”，在新的菜单内点击重新注册，即可切换账号。 支持什么样分辨率的画面？可自适应屏幕吗？ 最高可支持240Hz刷新率、4K分辨率的串流后游戏画面，并根据本地设备情况及网络环境自适应。 如果我使用60Hz刷新率的屏幕，可以运行120Hz画面的游戏吗？ 云端的实例资源支持该刷新率，但由于本地显示器限制无法体验到完整的120Hz效果。 云电竞提供什么样的配置？能玩什么游戏？ 目前可支持市面所有网络游戏、3A游戏的最高运行配置要求，使用者需自行采购运行终端及鼠标、键盘、耳机等外设。 云电竞支持按小时、按天、按月付费吗？ 支持，但存在排队现象，不建议高频使用场景用户采购。 云电竞支持的建议电脑配置是多少？最低电脑配置是多少？ 为保证流畅效果，终端设备最低需支持H.264硬件解码，如需采购瘦终端，可联系云电竞客服人员咨询推荐型号。

公网NAT网关、弹性IP、VPC内弹性云主机与VPC是什么样的关系？ 公网NAT网关、弹性IP、VPC内弹性云主机与VPC之间的关系如下： 1. VPC提供安全隔离的用户网络环境，在VPC内，用户可以自由配置子网、路由表、安全组等网络资源。 2. 弹性IP是一种公网IP资源，可以与云主机绑定，为云主机提供公网访问能力。弹性IP可以解绑并重新绑定到其他资源，例如公网NAT网关上，实现公网IP的灵活分配。 3. 公网NAT网关可以为VPC内的弹性云主机实例提供公网访问能力。 4. VPC内弹性云主机是一种计算服务，可以为用户提供可扩展的、安全的、高性能的虚拟服务器。ECS实例可以与弹性IP绑定，以实现公网访问。也可通过NAT网关访问公网。 总结：公网NAT网关用于提供虚拟私有云访问互联网的能力，弹性IP为云主机提供公网访问能力，而VPC内弹性云主机则是用于提供计算能力的虚拟服务器。在实际应用中，这些资源可以相互配合，实现虚拟私有云中的云主机实例安全访问互联网的需求。 公网NAT网关如何实现高可用性？ 天翼云公网NAT网关具备高可用性，支持秒级故障恢复收敛。 天翼云公网NAT网关部署在高可用物理服务器上，采用主备集群模式部署，集群内状态数据实时同步，单网元发生故障时，系统会自动切换业务到集群内备用网元，业务秒级切换，支持用户业务快速恢复。

此小节介绍企业主机安全。 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 企业主机安全工作原理 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务的工作原理如图所示。 企业主机安全服务的组件功能及工作流程说明如下： 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：443 。 每日凌晨定时执行检测

本章节介绍了什么是云服务备份CBR，以及该产品的架构和基本功能模块，同时针对不同的备份做了对比和说明。 云服务备份简介 云服务备份（Cloud Backup and Recovery, CBR）为云内的弹性云主机、云硬盘、物理机和SFS Turbo文件系统，提供简单易用的备份服务，针对病毒入侵、人为误删除、软硬件故障等场景，可将数据恢复到任意备份点。 云服务备份保障用户数据的安全性和正确性，确保业务安全。 产品架构 云服务备份由备份、存储库和策略组成。 备份 备份即一个备份对象执行一次备份任务产生的备份数据，包括备份对象恢复所需要的全部数据。云服务备份产生的备份可以分为以下几种类型： 云硬盘备份：云硬盘备份提供对云硬盘的基于快照技术的数据保护。 云主机备份：云主机备份提供对弹性云主机和物理机的基于多云硬盘一致性快照技术的数据保护。同时，未部署数据库等应用的服务器产生的备份为云主机备份，部署数据库等应用的服务器产生的备份为数据库服务器备份。 SFS Turbo备份：SFS Turbo备份提供对SFS Turbo文件系统的数据保护。 存储库 云服务备份使用存储库来存放备份。创建备份前，需要先创建至少一个存储库，并将云主机或云硬盘绑定至存储库。云主机或云硬盘产生的备份则会存放至绑定的存储库中。 不同类型的备份对象产生的备份需要存放在不同类型的存储库中。

操作场景 当您想要为域名增加一条MX解析记录时，可以执行本操作添加记录集。支持为内网域名添加MX类型记录集。 操作步骤 1. 登录管理控制台。 2. 选择“网络 > 内网DNS”。 进入内网DNS页面。 3. 在左侧树状导航栏，选择“内网域名”。 进入域名列表页面。 4. （可选）如果选择“内网域名”，请单击管理控制台左上角的，选择区域和项目。 5. 在待添加记录集的域名所在行，单击“名称”列的域名名称。 6. 单击“添加记录集”。 系统进入“添加记录集”页面。 7. 设置记录集参数，如下表所示。 表添加MX类型记录集参数说明 参数 参数说明 取值样例 主机记录 域名（后缀无需用户手动填写）。如果输入框未填值，则参数值默认为该域名的名称。 一般为空，不输入值。 类型 记录集的类型，此处为MX类型。 MX – 将域名指向邮件服务器地址 TTL(秒) 记录集的有效缓存时间，以秒为单位。 默认为“5min”，即300s。 值 邮箱服务器信息。格式:[priority] [mail server host name]priority用来指定邮件服务器接收邮件优先顺序，数值越小优先级越高。MX记录值请填写邮件服务商提供给您的域名地址。 10 mailserver.example.com 描述 可选配置，对域名的描述。长度不超过255个字符。 The description of the hostname. 8. 单击“确定”，完成记录集的添加。 您可以在域名对应的记录集列表中查看添加的记录集。当记录集的状态显示为“正常”时，表示记录集添加成功。

安全边缘节点 在天翼云所有文档中，边缘节点、CDN节点、Cache节点、缓存节点、加速节点、天翼云节点等都是指天翼云边缘节点。边缘节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用Cache设备上，以此来提高网站访问的速度和质量。 分布式监测集群 分布式结构就是将一个完整的系统，按照业务功能，拆分成一个个独立的子系统，在分布式结构中，每个子系统就被称为“服务”。这些子系统能够独立运行在web容器中，它们之间通过RPC方式通信。因此按照微服务的思想，网站安全监测产品的功能模块可拆分成多个独立的服务，即：安全事件监测、漏洞监测、可用性监测、DNS监测、内容安全监测。每个服务都是独立的项目，可以独立运行。如果服务之间有依赖关系，那么通过RPC方式调用。单机处理到达瓶颈的时候，就把单机复制几份，这样就构成了一个“集群”。集群中每台服务器就叫做这个集群的一个“节点”，所有节点构成了一个集群。每个节点都提供相同的服务，那么这样系统的处理能力就相当于提升了好几倍（有几个节点就相当于提升了这么多倍）。分布式监测集群可以在实现网站安全监测产品完整、系统化的同时，能够解决访问速度和质量的问题。 网站可用性 网站可用性(web usability)是衡量用户体验的指标, 是对用户使用网站达成目标是否顺利、以及在这个过程中用户是否满意的综合衡量，反应在具体指标上关注的有目标站点的响应速度、可访问性等。 Web漏洞 Web漏洞通常是指网站程序上的漏洞，可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞，常见的Web漏洞有Sql注入、Xss漏洞、上传漏洞等。如果网站存在Web漏洞并被黑客攻击者利用，攻击者可以轻易控制整个网站，并可进一步提权获取网站服务器权限，控制整个服务器。主要有以下几种攻击方法：SQL注入、XSS跨站点脚本、跨目录访问、缓冲区溢出、cookies修改、Http方法篡改、CSRF、CRLF、命令行注入。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.baidu.com会自动转换成为220.181.112.143。 Web安全 相关Web应用层面的安全问题与事件,包括各种Web组件、协议、应用等。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何网站安全监测防护模块的检测，直接访问源站服务器。 IP黑名单 支持一键阻断来自指定IP地址、IP地址段以及指定地理区域的IP地址的访问请求。 网页挂马 网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面，而后加代码使得木马在打开网页时运行。 暗链攻击 暗链就是看不见的网站链接，其在网站中做得非常隐蔽，短时间内不易被搜索引擎察觉。暗链攻击，是指黑客通过隐形篡改技术在被攻击网站的网页植入暗链，这些暗链往往被非法链接到色情、诈骗、甚至反动信息。

本节介绍了常见问题:实例相关问题。 实例访问地址不通 确认使用的地址是否正确。内网地址只能在用户的VPC内的主机上访问。外网地址可以从公网访问。 个人实例和企业实例配额问题 个人版限额使用，暂不支持修改配额。

场景说明 配置示例 VPC网段重叠，且全部子网重叠 此种场景下，不支持使用VPC对等连接。 VPC网段重叠，且部分子网重叠 此时无法创建指向整个VPC网段的对等连接，可以创建指向子网的对等连接，对等连接两端的子网网段不能包含重叠子网。 VPC网段重叠可能导致对等连接不生效 VPC网段重叠，且全部子网重叠 VPC网段重叠，且部分子网重叠 基于VPC对等连接，无法实现多个ECS共用EIP访问公网。 比如，在VPCA和VPCB之间创建对等连接，VPCA内的云服务器ECSA01绑定了EIP用来访问公网，此时VPCB内的云服务器ECSB01无法通过ECSA01的EIP访问公网。 VPC对等连接不支持共用EIP

本文汇总了使用虚拟私有云产品时常见的使用路由类问题。 一个路由表里可以存在多少个路由？ 每个路由表默认可以存在200条路由，包括专线路由和对等连接路由等其他路由。 路由表有什么限制？ 做SNAT的弹性云服务器要开启“解除IP和MAC绑定”。 路由表中每条路由信息的目的地址唯一，下一跳地址必须是该VPC下的私有IP地址或虚拟IP，否则，路由表不会生效。 虚拟IP作为下一跳地址，该VPC下的虚拟IP绑定的弹性IP都会失效。 路由表收费吗？ 路由表功能本身不收费，但是，弹性云服务器、带宽等是收费的。 同一个VPC下，VPN和自定义路由的优先级关系是什么？ 自定义路由和VPN的优先级是相同的。

本节介绍了专属云（存储独享型）的开通步骤。 专属云（存储独享型）产品不同于其他服务，用户需要先申请开通专属云访问权限后，才能申请存储池。 1、登录天翼云控制中心，切换节点； 2、单击“控制中心” ，选择【专属云】； 3、在申请页面查看申请流程。请与您的专属客户经理确定您的专属云开通需求，如果没有专属客户经理，可拨打天翼云客服电话4008109889咨询； 4、与客户经理沟通需求后，客户经理根据具体需求输出专属云部署方案。 5、由客户经理协助客户提交工单，做专属云服务开通和物理服务器发货。 6、待物理服务器到位后，专属云资源将在2天内完成开通。

参数 说明 取值样例 区域 不同区域的资源之间内网不互通。请选择靠近您客户的区域，可以降低网络时延、提高访问速度。 江苏苏州 名称 VPC名称。 VPC001 网段 VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。 目前支持网段范围： 10.0.0.0/824 172.16.0.0/1224 192.168.0.0/1624 192.168.0.0/16 子网名称 子网的名称。 subnet 子网网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 网关 子网的网关。 192.168.0.1 DNS服务器地址 若要为VPC内的云主机配置内网域名，需要设置DNS服务器地址与天翼云的内网DNS地址保持一致。 100.125.1.250 100.125.21.250

开源组件Fastjson拒绝服务漏洞，攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。本章节介绍开源组件Fastjson拒绝服务漏洞的最佳实践。 漏洞简介 攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。 影响的版本范围 漏洞影响的产品版本包括：Fastjson 1.2.60以下版本，不包括Fastjson 1.2.60版本。 安全版本 Fastjson 1.2.60版本。 官方解决方案 建议用户将开源组件Fastjson升级到1.2.60版本。 防护建议 WAF支持对该漏洞的检测和防护，步骤如下： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

Oracle WebLogic wls9async反序列化远程命令执行漏洞（CNVDC201948814），Oracle WebLogic wls9async组件在反序列化处理输入信息时存在缺陷，攻击者可以发送精心构造的恶意HTTP请求获取目标服务器权限，在未授权的情况下远程执行命令，CNVD对该漏洞的综合评级为“高危”。本章节介绍该漏洞的最佳实践。 漏洞名称 Oracle WebLogic wls9async反序列化远程命令执行漏洞 漏洞编号 CNVDC201948814 漏洞描述 WebLogic wls9async组件存在缺陷，通过WebLogic Server构建的网站存在安全隐患。攻击者可以构造HTTP请求获取目标服务器的权限，在未授权的情况下远程执行命令。 影响范围 Oracle WebLogic Server 10.X Oracle WebLogic Server 12.1.3 官方解决方案 官方暂未发布针对此漏洞的修复补丁。 防护建议 通过WAF的精准访问防护功能，拦截利用该漏洞发起的远程命令执行攻击请求。精准访问防护规则的具体配置方法请参见配置精准访问防护规则。

多台弹性云服务器是否可以使用同一个RDSPostgreSQL数据库 在使用方式上，RDSPostgreSQL与自己搭建的PostgreSQL数据库无差别。因此，在数据库的压力承载范围内，多台弹性云服务器可以使用同一个RDSPostgreSQL来支撑业务。 RDSPostgreSQL实例是否可以对磁盘进行加密 RDSPostgreSQL不支持磁盘加密，如您期望针对数据存储加密，可使用透明加密功能，您可前往数据加密查看详细功能。 不同RDSPostgreSQL实例的CPU和内存是否共享 CPU和内存指的是购买的实例规格，并且不同实例之间资源隔离，相互独立，互不影响，不会出现不同RDSPostgreSQL实例共用资源的情况。 RDSPostgreSQL实例内能运行多少个数据库 RDSPostgreSQL未强制限制您可运行的数据库数量，该数量取决于您的参数设置、资源限制等。 在资源充足（cpu、内存、磁盘等）的情况下，实例允许数据库数量以及账号数量无限制。但如果您的数据库表数量及数据量过大，实例备份速率会有所下降。

参数 说明 服务 选择【自定义】 服务器 域名+发布点，例如rtmp://pushtest.ctyun.cn/live/ 串流密钥 流名

本节为您接受如何为麒麟系统云主机配置图形化界面。 操作场景 为了提供纯净的弹性云主机系统给客户，麒麟系统云主机默认没有安装图形化界面，如果您需要图形化界面，请参见本节内容进行安装。 操作步骤 1. 配置网络，确保yum源可以正常使用。银河麒麟服务器操作系统在有外网的环境下可以直接使用yum源，而在无外网的环境下需要挂载镜像作为本地源。 2. 在字符界面执行以下命令，列出可安装的图形化包组 yum group list 3. 在字符界面执行yum groupinstall y "带GUI的服务器"命令，安装图形化桌面相关包，如下示例： yum groupinstall y "Server with UKUI GUI" 4. 在字符界面执行以下命令，设置系统默认的启动方式为graphical.target，即图形化启动 systemctl setdefault graphical.target 5. 在字符界面执行以下命令，重启系统使其生效 reboot 6. 重启系统后即可进入图形化界面 7. 输入用户名与密码，进入系统 安装图形化桌面相关包报错 操作背景 一般地，Linux 基础镜像不会默认安装图形化桌面相关包。银河麒麟高级服务器操作系统可按照本文档指导以上步骤自行安装。经用户反馈，有些条件下会有如下报错，可按以下方法进行解决。 经分析，银河麒麟高级服务器操作系统 V10 SP3（2303）使用以下路径的官方源。 < 存量基础镜像出于安全等因素所预装的 selinuxpolicy 相关包的版本是 3.14.276.se.29.01.ky10，但截至此篇 FAQ 发布时，官方源的最新版本已回退为 3.14.276.se.26.08.ky10，导致安装图形化桌面相关包时存在无法自动处理的依赖冲突问题。

参数名称 样例 说明 区域 选择实例的区域，不同区域的资源之间内网不互通。 选择区域时，您需要考虑以下几个因素： 地理位置一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。不过，在基础设施、BGP网络品质、资源的操作与配置等方面，中国大陆各个区域间区别不大，如果您或者您的目标用户在中国大陆，可以不用考虑不同区域造成的网络时延问题。曼谷等其他地区和国家提供国际带宽，主要面向非中国大陆地区的用户。如果您或者您的目标用户在中国大陆，使用这些区域会有较长的访问时延，不建议使用。 云服务之间的关系如果多个云服务一起搭配使用，需要注意不同区域的云服务内网不互通。例如数据治理中心（包括管理中心、CDM等组件）需要与MRS、OBS等服务互通时，如果数据治理中心与其他云服务处于不同区域的情况下，需要通过公网或者专线打通网络；而在同区域情况下，同子网、同安全组的不同实例默认网络互通。 资源的价格不同区域的资源价格可能有差异，请参见天翼云服务价格详情。 企业项目 default DataArts Studio实例关联的企业项目。企业项目管理是一种按企业项目管理云资源的方式，具体请参见《 版本 初级版 选择需要购买的数据治理中心版本，版本差异请参见 实例名称 数据治理中心test 自定义DataArts Studio实例名称。 可用区 可用区1 第一次购买DataArts Studio实例或批增量包时，可用区无要求。 再次购买DataArts Studio实例或增量包时，是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 虚拟私有云 vpc1 DataArts Studio实例中的批量数据迁移CDM集群所属的VPC、子网、安全组。 如果DataArts Studio实例或CDM集群需连接云上服务（如DWS、MRS、RDS、DIS等），则您需要确保CDM集群与该云服务网络互通。 同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通，如果同虚拟私有云而子网或安全组不同，还需配置路由规则及安全组规则。 VPC、子网、安全组的详细操作，请参见《 子网 subnet1 安全组 sg1 续费 勾选自动续费前的复选框，可实现自动按月或者按年续费。

删除MCP服务 1. 登录微服务引擎 MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，选择企业版Nacos实例，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击MCP管理 > MCP列表，选择命名空间。 4. 选择目标项服务，点击对应操作列中的删除按钮，即可删除MCP服务。 禁用MCP服务 1. 登录微服务引擎 MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，选择企业版Nacos实例，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击MCP管理 > MCP列表，选择命名空间。 4. 选择目标项服务，点击对应操作列中的禁用按钮，即可禁用MCP服务。 创建/编辑/删除MCP工具 说明 MCP工具是MCP服务的可选的一部分，工具需要依托MCP服务存在，而不能脱离服务单独存在。所有下面描述中的创建/编辑/删除MCP工具均依托于MCP服务。 1. 登录微服务引擎 MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，选择企业版Nacos实例，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击MCP管理 > MCP列表，选择命名空间， 然后单击创建服务或者修改服务。 创建服务： 创建服务时可以新增MCP 工具，属性包括 工具名称、工具描述、参数名称、参数类型、参数描述等信息。 编辑服务： 1. 不修改服务版本号时，只能修改工具描述和参数描述。 2. 修改服务版本号时，可以新增工具，可以修改工具描述、参数名称、参数类型、参数描述等信息，可以删除工具。 4. 修改工具后需要点击服务的保存或保存并发布按钮将修改提交成功后才能生效。

本节介绍OpenSSL漏洞修复最佳实践。 OpenSSL简介 OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上，因此需要注重OpenSSL安全漏洞的修复。 OpenSSL用途 加密和解密数据：OPENSSL支持对称和非对称加密算法，可以用于安全的数据加密和解密操作。 数字签名：OPENSSL可以对数据进行数字签名，提高数据的可信度和合法性。还可以验证数字签名和证书的有效性。 SSL/TLS协议实现：OPENSSL支持SSL、TLS等协议，可以用于建立安全的网络连接，对数据进行加密传输，提高网络的安全性。 生成和管理数字证书：OPENSSL可以生成和管理各种类型的数字证书，包括服务器证书、客户端证书等。数字证书是实现安全通信的重要工具之一。 伪随机数生成器：OPENSSL可以生成高质量的伪随机数，用于各种密码算法中的随机数种子。 其他的密码学工作：除了上述主要用途外，OPENSSL还包括了各种密码学工具和库，可以实现密码算法的实现和分析。 依赖OpenSSL的软件或协议 MongoDB 4.4 Nginx KeepAlived Https OpenSSH SSH VPN 电子邮件 OpenSSL漏洞扫描 您可以参考漏洞扫描最佳实践进行漏洞扫描。 OpenSSL常见漏洞 CVE20160705 OpenSSL DSA代码双重释放漏洞 漏洞危害 OpenSSL 1.0.2及更早版本、1.0.1及更早版本解析畸形DSA密钥中存在双重释放漏洞，可导致受影响应用拒绝服务或内存破坏。 影响版本 OpenSSL 1.0.2及更早版本 OpenSSL 1.0.1及更早版本 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20160799 OpenSSL‘BIOprintf’函数安全漏洞 漏洞危害 OpenSSL 1.0.2及更早版本、1.0.1及更早版本在BIOprintf函数的实现上存在内存破坏漏洞，可导致内存泄露等。 影响版本 OpenSSL 1.0.2及更早版本 OpenSSL 1.0.1及更早版本 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20162842 OpenSSL doaproutch函数拒绝服务漏洞 漏洞危害 OpenSSL 1.0.1 < 1.0.1s、1.0.2 < 1.0.2g版本，crypto/bio/bprint.c/doaproutch函数未验证某些内存分配结果，这可使远程攻击者造成拒绝服务。 影响版本 OpenSSL 1.0.1 < 1.0.1s OpenSSL 1.0.2 < 1.0.2g 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20162108 OpenSSL ASN.1编码器内存破坏漏洞 漏洞危害 OpenSSL中的ASN.1解析器在对数据解析时没有正确处理特定标签，当遇到VASN1NEGINTEGER和VASN1NEGENUMERATED标签时，ASN.1解析器也会将其视作ASN1ANY类型，从而解析其中的数据。当数据再次编码序列化时，可能造成数据越界写入，引起内存损坏。 影响版本 OpenSSL Project OpenSSL 1.0.2 OpenSSL Project OpenSSL 1.0.1 不受影响版本 OpenSSL Project OpenSSL 1.0.2c OpenSSL Project OpenSSL 1.0.1o 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：<

参数 是否必填 参数类型 说明 示例 下级对象 certificate 是 String 证书内容 privateKey 是 String 服务器证书私钥

本文为您介绍查看保护组概览的操作流程。 操作场景 在容灾保护组内选择保护组概览页签，可查看目标保护组的服务器复制状态、容灾演练、任务统计等信息。 前提条件 已经创建保护组。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在容灾板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，单击“保护组概览”页签，可以查看服务器复制状态、容灾演练、任务统计等信息。

参数名 说明 取值样例 名称 输入便于记忆和区分的连接名称。 oraclelink 数据库服务器 数据库服务器域名或IP地址。 192.168.0.1 端口 Oracle数据库的端口。 3306 数据库连接类型 Oracle数据库连接类型。 Service Name 数据库名称 要连接的数据库。 dbuser 用户名 拥有Oracle数据库的读取权限的用户。 admin 密码 Oracle数据库的登录密码。 使用Agent 是否选择通过Agent从源端提取数据。 是 Agent 单击“选择”，选择连接Agent中已创建的Agent。 ORACLE版本 默认使用最新版本驱动，若不兼容请尝试其他版本。 高于12.1 驱动版本 需要适配的驱动。 一次请求行数 指定每次请求获取的行数。 1000 连接属性 自定义连接属性。 useCompressiontrue 引用符号 连接引用表名或列名时的分隔符号。默认为空。 '

本文将介绍如何提升登录口令的安全性以及常见服务器登录口令的修改方法。 弱口令是指密码强度低，或广泛被使用，容易被攻击者破解的口令。弱口令一旦被攻击者获取，可用来直接登录系统，读取甚至修改网站代码，使用弱口令将使得系统及服务面临非常大的风险。建议您为服务器设置复杂的登录口令，并定期提升登录口令的安全性。 背景信息 出现弱口令的原因 ： 设置的自动生成密码的方式过于简单，与弱口令检测的密码库相重合。 将同一密码用于多个子账号，会被系统判定为弱密码。 使用弱口令可能会造成以下危害 ： 对于个人用户而言，如果使用了弱口令，可能会被猜解或被破解工具破解，从而泄露个人隐私信息，甚至造成财产损失。 对于系统管理员而言，如果使用了弱口令，可能会导致整个系统被攻击、数据库信息被窃取、业务系统瘫痪，造成所有用户信息的泄露和巨大的经济损失，甚至可能引发群体性的网络安全危害事件。 检测弱口令 及时检测弱口令能够有效防止系统被攻击和信息泄露，可以提高系统的安全性。 态势感知基线检查功能，可以检查您的IAM账号/主机中是否存在高危弱口令风险。如果在您的IAM账号/主机中检测出了高危弱口令风险，建议您及时修改弱口令。具体方法请参见本文的修改常见的IAM账号弱口令、修改常见的服务器弱口令、提升口令安全IAM账号、提升口令安全主机。

对比项 一次性备份 周期性备份 备份策略 不需要 需要 备份次数 手动执行一次性备份 根据备份策略进行周期性备份 单次可备份的云主机数目 1个 ≤64个 备份名称 支持自定义 系统自动生成 备份方式 首次全量备份，非首次增量备份 云主机备份支持从任意一个备份恢复云服务器的全量数据，无论这个备份是全量还是增量。 首次全量备份，非首次增量备份 云主机备份支持从任意一个备份恢复云服务器的全量数据，无论这个备份是全量还是增量。 建议使用场景 云主机进行操作系统补丁安装、升级，应用升级等操作之前，以便安装或者升级失败之后，能够快速恢复到变更之前的状态。 云主机的日常备份保护，以便发生不可预见的故障而造成数据丢失时，能够使用邻近的备份进行恢复。

参数 说明 优先级 网络ACL规则的优先级，优先级的数值越小，表示优先级越高。为默认的规则，优先级最低。默认规则仅多可用区资源池适用。 IP版本 支持IPv4、IPv6两种协议。 策略 选择入方向规则的授权策略：允许：允许访问子网中云服务器。拒绝：拒绝访问子网中云服务器。 协议 选择协议类型，支持以下几种协议：ALL：所有协议。ICMP：网络控制报文协议。TCP：传输控制协议。UDP：用户数据报协议。 地址和掩码 当前方向允许的地址，对于IPv4，默认值为0.0.0.0/0，代表支持所有的IPv4地址；对于IPv6，默认值为::/0，代表支持所有的IPv6地址。 端口范围 源端口范围，取值范围是1～65535的数字。选择TCP或UDP协议时必须填写。 描述 网络ACL规则的描述信息，非必填项。

了解存储资源盘活系统的告警功能。 点击左侧导航栏中的“运维”> “告警”，进入“告警”页面，可以查看告警中、已解除和已失效的告警。 注意 告警数据以服务器系统时间为准进行记录。时间被调整，或集群中服务器时间不统一，都可能导致告警数据不准确。但用户的业务数据不会受到影响。 告警分为三个级别： 警告（Warning）：指一般性的，系统检测到潜在的或即将发生的影响业务的故障，当前还没有影响业务的告警。维护人员需及时查找告警原因，消除故障隐患。 重要（Major）：指局部范围内的、对系统性能造成影响的告警。需要尽快处理，否则会影响重要功能运行。 严重（Critical）：指带有全局性的、已经造成业务中断，或者会导致瘫痪的告警。需立即处理，否则系统有崩溃危险。

操作场景 当云容灾网关发布新版本后，需要升级对已部署的云容灾网关进行升级操作。 升级步骤 以下操作以升级“24.6.0 ”版本的容灾网关“sdrsxxxx24.6.0.xxxx.tar.gz”为例。 1. 获取云容灾网关软件包到待部署服务器的任意目录。 跨区域和跨可用区：复制服务控制台页面提供的命令，登录待部署的云容灾网关服务器，进入任意目录，粘贴并执行命令获取软件包。 2. 在软件包所在目录下，以“root”用户，执行以下命令，解压缩软件包。 tar zxvf sdrsxxxx24.6.0.xxxx.tar.gz 3. 执行以下命令，进入升级脚本所在目录。 cd sdrsxxxx24.6.0.xxxx.tar.gz 4. 执行以下命令，升级云容灾网关软件。 sh upgrade.sh 回显中包含如下信息，说明云容灾网关升级成功： ... Upgrade SDRS successfully.