此小节介绍多因子认证类问题。 如何绑定手机令牌？ 针对某个用户配置手机令牌认证登录功能前，必须先为此用户绑定手机令牌，再由管理员配置用户手机令牌多因子认证，才能实现用户手机令牌登录验证。 若admin用户已配置手机令牌登录认证，但未绑定手机令牌，请单击管理控制台右上方的“工单”，填写工单信息反馈问题现象，联系技术支持重置登录方式。 若其他用户未绑定手机令牌，无法登录系统，请先联系部门管理员取消“手机令牌”多因子登录认证。 绑定手机令牌失败怎么办？ 问题现象 绑定手机令牌登录时，扫描二维码获取验证码，并正确输入验证码绑定到设备后，提示“绑定手机令牌失败”。 可能原因 可能因为系统时间和手机时间不一致造成。手机令牌登录方式，系统时间与必须一致，精确到秒。 解决办法 绑定失败后，请先修改系统时间与手机时间一致，刷新页面重新生成二维码绑定。 1 登录云堡垒机系统。 2 选择“系统 > 系统维护 > 系统管理 > 系统时间”，查看系统时间配置。 3 在“系统时间”区域，可以手动修改当前系统的时间，或者使用时间服务器同步当前系统的时间。 使用时间服务器同步系统时间时，可以选择系统默认自带的时间服务器，也可以手工输入时间服务器。 4 单击“同步时间”，完成时间同步。 5 选择“个人中心 > 手机令牌”，重新绑定手机令牌。 6 删除原来绑定的手机令牌，重新扫描二维码并绑定。 如何使用手机短信认证方式登录系统？

本章介绍常见故障案例如何处理。 背景说明 客户端在安装时可能会出现安装失败，或安装成功后会出现异常的情况。本章节将通过一些问题现象说明，帮助用户快速定位问题，解决客户端的使用问题。 客户端状态显示异常 问题现象： 安装客户端后，界面上客户端列表里客户端状态为“异常”。 可能原因： 客户端状态异常 解决方案： 1. 查看客户端进程是否正常运行；如果进程已退出，重新运行客户端进程。Windows系统下可以双击agentstart.bat文件，Linux系统下执行命令 。 2. 重新安装文件备份客户端。 3. 检查客户端时间和时区，如果发现客户端与服务器的时间相差大于15分钟，请根据本地UTC时间调整本地时间以避免此问题。如果调整完成后，客户端状态仍然异常，则是由于系统查询客户端状态不是实时的，需要等待半小时左右可恢复正常。 安装失败，提示“BackupService.7403，非法客户端” 问题现象： 安装客户端时失败，提示“BackupService.7403，非法客户端”。 可能原因： 安装客户端前没有购买存储库。 解决方案： 1. 在云服务备份控制台上，购买混合云备份存储库。 2. 重新安装客户端。 安装失败，提示“Could not resolve host” 问题现象： 安装客户端时失败，提示“Could not resolve host”。 可能原因： 本地的DNS服务器不能解析公有云公网域名。 解决方案： 1. 编辑本地主机的resolv.conf文件，查看是否配置域名服务器；如果是公网访问天翼云，可以将域名服务器配置为“8.8.8.8”。 2. 重新安装客户端。

VPC边界防火墙用于防护VPC之间的通信流量，VPC之间通信流量的访问控制，实现内部业务互访活动的可视化与安全防护。 防护对象 对等连接 云专线 云间高速 约束条件 仅“企业版”支持VPC边界防火墙。

扩展配置 针对以下不同场景，可以扩展CoreDNS的配置： 开启日志服务 在corefile里加上log以开启Log插件，打印CoreDNS域名解析日志，示例配置如下： Corefile: .:53 { errors log health { lameduck 15s } ready kubernetes cluster.local inaddr.arpa ip6.arpa { pods insecure fallthrough inaddr.arpa ip6.arpa ttl 30 } prometheus :9153 forward . /etc/resolv.conf { preferudp } cache 30 loop reload loadbalance } 特定域名使用自定义DNS服务器 例如对.example.com类型后缀的域名需要经过自建DNS服务解析，可为域名配置一个单独的服务块，示例配置如下： example.com:53 { errors cache 30 forward . 10.10.0.10 { preferudp } } Corefile: .:53 { errors health { lameduck 15s } ready kubernetes cluster.local inaddr.arpa ip6.arpa { pods insecure fallthrough inaddr.arpa ip6.arpa ttl 30 } prometheus :9153 forward . /etc/resolv.conf { preferudp } cache 30 loop reload loadbalance } example.com:53 { errors cache 30 forward . 10.10.0.10 { preferudp } } 外部域名完全使用自建DNS服务器 可以选择让所有集群外部域名都使用自建DNS服务器，示例配置如下： Corefile: .:53 { errors health { lameduck 15s } ready kubernetes cluster.local inaddr.arpa ip6.arpa { pods insecure fallthrough inaddr.arpa ip6.arpa ttl 30 } prometheus :9153 forward . 10.10.0.10 10.10.0.20 { preferudp } cache 30 loop reload loadbalance }

键 类型 描述 CurrentTime Date 服务器接收请求的时间，格式满足ISO 8601标准。 EpochTime Numeric 服务器接收请求的时间，格式为1970.01.01 00:00:00 UTC开始所经过的秒数，不考虑闰秒。 SecureTransport Bool 请求是否使用SSL加密。 SourceIp IP address 请求发起的源IP。 UserAgent String 请求的客户端软件代理程序。 Referer String 请求从哪个链接发起。

项目 描述 存储池名称 设置存储池名称。 字符串形式，长度范围是1~16，只能由字母、数字、短横线（）、下划线（）组成，字母区分大小写，且仅支持以字母和数字开头。 故障域级别 设置存储池的故障域级别。 取值： 数据目录级别。 服务器级别。 机架级别。 机房级别。 默认值为服务器级别。 QoS策略 存储池关联的QoS策略。 说明 可以选择已存在的QoS策略，也可以点击“创建”按钮创建新的QoS策略，详见 描述 存储池描述信息。 1~50位字符串。

本文为您介绍查看云企业路由器实例的操作流程。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理”页签，可查看已创建的云企业路由器列表。 5. 单击云企业路由器实例名称，可以查看云企业路由器的详细信息。

前提条件： 待删除冗余组内无任何已加载的冗余链路。 操作步骤： 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“冗余组 ”页签，查看已经创建的冗余组。 5. 找到目标冗余组，在“操作 ”列，单击“删除”，在弹出确认框中，点击确认完成删除操作。

本文为您介绍删除跨域连接的操作流程。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，单击“跨域连接管理”页签。 5. 在跨域连接管理页签的列表中，找到目标跨域连接，在操作列，单击“删除”，进入删除页面。 6. 在删除页面，单击“确定”，完成删除操作。

本节介绍等保合规的检查项是否可以忽略。 可以。 如果您确认扫描出的检查项不会对主机造成危害，您可以在目标检查项所在行的“操作”列，单击“忽略”，忽略该检查项，后续执行扫描任务会扫描出该漏洞，但相应的检查项统计结果将发生变化，扫描报告中也不会出现该检查项。 VSS目前仅企业版用户支持等保合规检测，如果您需要对您的主机进行等保合规检测，请购买企业版。

本文介绍资源同步服务下不同规格的推荐配置。 不同规格的最佳配置推荐 1、持续数据保护 1. 灾备机：作为CDP备份节点，CPU 16 core，内存32GB，系统盘200GB及其以上，数据盘容量是生产机总数据量的4倍（与具体的保留策略有关，至少4倍容量）。 2. 网络要求：与增量数据相关。 3. 1台灾备机可保护10个生产机。 2、主机高可用 1. 灾备机：1台灾备机可接管1台生产机，灾备机建议配置：与生产机对等。 2. 灾备机与生产机1:1对应。 3. 灾备机CPU、内存、硬盘等与生产机相同。 4. 网络要求：与增量数据相关。 3、文件存储数据灾备 1. 同步机：1台同步机可保护多个NAS内的数据。 2. 同步机配置：CPU 16 core，内存32GB，系统盘200GB并大于NAS总量的百分之一。 3. 备份数据存储：可选择对象存储或者系统盘，容量建议是生产数据总量的23倍。 4. 网络要求：与增量数据相关。 4、数据定时灾备 1. 备份服务器：1台备份服务器可保护100台客户端，1台备份服务器可保护多台生产机内的文件及数据库。 2. 备份服务器配置：CPU 16 core 或以上，内存32GB或以上，系统盘：200GB，数据盘建议是生产数据总量的23倍，实际与备份策略有关系。 3. 网络要求：与增量数据量相关。

本节介绍Web应用防火墙高可用部署方案。 部署方案 切换实现逻辑 WAF设备间的高可用以平台能力虚拟IP来实现，平台虚拟IP绑定多网卡时会自动轮询，将流量自动转发至对应网卡，若虚拟IP所绑定的其中一张网卡down掉，则会自动转发至存活网卡。 网络要求 WAF拉起时使用的子网需避免与客户业务网络处于同一子网，建议新起一段管理子网专用于WAF管理，作为单点跳转使用；新建网卡所在子网需与客户业务子网互通。 装好WAF镜像后，单台需要新增1张网卡，作为业务反代网卡，结合初始拉起镜像时自带的主网卡作为M口管理，单台设备共计需要2张网卡。 在虚拟云网络中至少申请1个虚IP作为两设备间的两两网卡绑定的虚拟切换地址。 前提条件 已完成主备WAF的部署，收集WAF防护云服务器的一些信息；服务器站点以及端口和对应的主机的地址。 部署前检查控制台环境。 1. 确保用户服务器站点没过WAF设备前，是能正常访问的。 2. 确保WAF与客户业务是否处于同一VPC （与客户业务处在不同VPC得做对等连接）。 3. WAF设备和服务器安全组是否做了限制。 注意 安全组配置：请确保防火墙VRRP所绑定网卡处于同一安全组，且将VRRP报文通报端口置于放通状态。

本节主要介绍Pushgateway监控配置的错误码。 HTTP status 错误码 错误信息 描述 400 AddConfigFailed Servers cannot be connected: serverid1, serverid2.... 添加Pushgateway监控配置的服务器无法连接。 400 DeleteConfigFailed Servers cannot be connected: serverid1, serverid2.... 要删除Pushgateway监控配置的服务器无法连接。 400 ExceedMaxValue Value value at 'number' failed to satisfy constraint: Argument must be less than or equal to value. 超过最大值。 400 InvalidEnumValue Value value at 'argument' failed to satisfy constraint: Argument must satisfy enum value set: [value1, value2...] 枚举参数不合法。 400 InvalidKeyInPushgatewayLabel The key in the pushgateway label can not be the same as builtin keywords, which include type, cpu, device, fstype, mountpoint, lu, path, file, mode, address and target. 不可使用系统内置关键字作为标签中的键名称，内置关键字有：type, cpu, device，fstype, mountpoint, lu, path, file, mode, address, target。 400 InvalidPort Value valueat 'port of pushgateway' failed to satisfy constraint: Argument must have value between 1 and 65535. Port的取值必须在[1, 65535]之间。 400 InvalidString Value '' at 'argument' failed to satisfy constraint: Argument must not be an empty string. 参数不能为空字符串。 400 LessThanMinValue Missing argument, at least one argument in 'argument1 , argument2 , argument3 ...' is needed. 至少输入一个参数值。 400 MissingAtLeastOneArgument Missing argument, at least one argument in 'argument1, argument2, argument3 ...' is needed. 至少输入一个参数值。 400 SetConfigFailed Servers cannot be connected: serverid1, serverid2.... The pushgateway with address address and port port does not exist in serverid1, serverid2.... 设置服务器Pushgateway监控的服务器无法连接。 指定的Pushgateway不存在。

场景描述： 只允许VPC1内的服务器上传/下载桶mybucket中的对象，并且只允许桶mybucket中的对象被VPC1内的服务器上传/下载。 其中VPC1的ID为：4dad1f7503614aa4ac751ffdda3a0fec。 配置方法： 1. 配置VPC1的终端节点策略如下： 入口：服务列表 > VPC终端节点 > 单击对应VPC终端节点ID（OBS双端固定的终端节点） > 策略 > 编辑 [ { "Action": [ "obs:object:GetObject", "obs:object:PutObject" ], "Resource": [ "obs:::object:mybucket/" ], "Effect": "Allow" } ] 2. 配置桶mybucket的桶策略如下： 需要配置两个桶策略： 1. 桶策略1：允许VPC1内的服务器上传/下载桶mybucket中的对象。其中statementId可自定义，domainId和userId需要设置为允许上传下载的账号ID和用户ID。 { "Statement": [ { "Sid": "statementId", "Effect": "Allow", "Principal": { "ID": ["domain/domainId:user/userId"] }, "Action": ["GetObject", "PutObject"], "Resource": ["mybucket/"], "Condition": { "StringEquals": { "SourceVpc": ["4dad1f7503614aa4ac751ffdda3a0fec"] } } } ] } 2. 桶策略2：除了VPC1外的其他VPC内的服务器均不能操作桶mybucket及桶中的对象。其中DenyReqNotFromVpc可自定义。 { "Statement": [ { "Sid": "DenyReqNotFromVpc", "Effect": "Deny", "Principal": { "ID": [""] }, "Action": "", "Resource": ["mybucket", "mybucket/"], "Condition": { "StringNotEqual": { "SourceVpc": ["4dad1f7503614aa4ac751ffdda3a0fec"] } } } ] } 说明 设置上述桶策略后，被授权的IAM用户可以正常通过SDK或API进行上传下载操作。如果希望在控制台或OBS Browser+上进行上传下载，还需要在IAM权限中额外配置obs:bucket:ListAllMyBuckets和obs:bucket:ListBucket权限，否则登录控制台和OBS Browser+时会报错，无法看到桶和桶内对象。

子网间是否可以通信？ 子网是属于VPC的资源，一个VPC内的子网默认可以进行通信，不同VPC的子网默认不能进行通信，可以通过创建对等连接使不同VPC的子网通信。 说明： 若子网关联了网络ACL，需先放通网络ACL。 子网可以使用的网段是什么？ 子网的网段要在VPC的网段内部，VPC提供三段私网网段，10.0.0.0/8～24、172.16.0.0/12～24和192.168.0.0/16～24，子网的网段须在这些范围内，且子网的掩码范围为子网所在VPC掩码~29。 子网被相关资源占用时，会导致无法删除子网，如何排查相关资源？ 虚拟私有云允许您创建私有、隔离的虚拟网络环境。在虚拟私有云中，可以对私有IP地址范围、子网和网络网关等进行控制。弹性云服务器、裸金属服务器、数据库和部分应用等会在虚拟私有云中创建的安全网络。 子网被相关资源使用时，无法删除子网。 您可以通过控制台首页查看帐户下所有资源，根据子网信息排查各资源是否在待删除的子网中。先删除子网中的全部资源，再删除子网。 可参考以下常用的资源实例进行排查，具体请以帐户下资源为准。 弹性云服务器 裸金属服务器 RDS实例 弹性负载均衡器 VPN 私有IP地址 自定义路由 NAT网关 终端节点与终端节点服务

本章介绍如何卸载Agent。 提供一键卸载和手动本地卸载两种方式。 操作场景 Agent包选择错误，需要卸载Agent后重新安装。 安装命令复制错误（如在32位的主机中安装64位的Agent），需要卸载Agent后重新安装。 主机安全升级Agent失败，需要排查执行Agent卸载。 前提条件 云服务器的“Agent状态”为“在线”。 控制台一键卸载Agent 用户可以通过主机安全控制台直接卸载Agent，方便用户操作。 说明 卸载Agent后主机安全服务将无法为该服务器提供任何防护。 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航中，选择“安装与配置”，进入“安装与配置”界面。 5、选择“Agent管理 > Agent在线”，在需要卸载Agent的云服务器所在行的“操作”列，单击“卸载Agent”。 6、在弹出的卸载Agent对话框中，单击“确认”。 云服务列表“Agent状态”显示为“离线”，卸载Agent成功。 卸载Agent成功 主机本地卸载 用户在不需要使用主机安全服务或需要重新安装Agent时，可从本地卸载版本Agent。 说明 卸载Agent后主机安全服务将无法为该服务器提供任何防护。

本章节主要介绍 ALM27003 DBService主备节点间心跳中断的告警。 告警解释 DBService主节点或备节点超过7秒未收到对端的心跳消息后，系统产生告警。 当心跳恢复后，该告警恢复。 告警属性 告警ID 告警级别 是否自动清除 27003 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Local DBService HA Name 本地DBService HA名称。 Peer DBService HA Name 对端DBService HA名称。 对系统的影响 DBService主备间心跳中断时只有一个节点提供服务，一旦该节点故障，再无法切换到备节点，就会服务不可用。 可能原因 主备DBService节点间链路异常。 处理步骤 检查主备DBService服务器间的网络是否正常 1. 在FusionInsight Manager页面，在告警列表中，单击此告警所在行的，查看该告警的DBService备服务器地址。 2. 以root用户登录主DBService服务器。 3. 执行ping 备DBService心跳IP地址命令检查备DBService服务器是否可达。 是，执行步骤6。 否，执行步骤4。 4. 联系网络管理员查看是否为网络故障。 是，执行步骤5。 否，执行步骤6。 5. 修复网络故障，查看告警列表中，该告警是否已清除。 是，处理完毕。 否，执行步骤6。

为什么在云监控服务看不到监控数据？ 当出现以下情况时，有可能在云监控服务中看不到监控数据： 购买云服务资源后，首先确认该服务是否已对接云监控服务，请参考支持监控的服务列表。 已对接云监控的服务，由于各个服务采集上报监控数据的频率各有不同，请耐心等待一段时间。 弹性云服务器或裸金属服务器关机超过1小时以上。 云硬盘没有挂载给弹性云主机或物理机。 弹性负载均衡未绑定后端服务器或者后端服务器全部关机。 资源创建时间不足10分钟。 安装配置成功Agent后，为什么管理控制台没有操作系统监控数据或者显示数据滞后？ 安装配置Agent成功，并且云监控服务管理控制台界面“监控状态”开启开关后，需要等待2分钟，管理控制台上才会有操作系统监控数据。 若“插件状态”为“运行中”，“监控状态”开启，等待5分钟后仍没有操作系统监控数据，则需要排查ECS或BMS时间和管理控制台所在客户端时间是否一致。 Agent上报数据时取的是ECS或BMS的操作系统本地时间，管理控制台下发的请求时间范围是依赖用户客户端浏览器的时间，两者如果不匹配则可能导致管理控制台查不到操作系统监控数据。 修改物理机和监控服务时间一致参考命令： timedatectl settimezone 'Asia/Shanghai'。 为什么云监控服务中的网络流量指标值与弹性云服务器系统内工具检测的指标不同？ 因为云监控服务与弹性云主机系统内指标检测软件的采样周期不同。 云监控服务对弹性云主机、云硬盘的采样周期是4分钟（云主机类型为KVM的是5分钟），而系统内工具的采样周期一般为1秒，远远小于云监控服务的采样周期。 采样周期越大，短期内的数据失真越大。所以云监控服务更适合用于网站长期监测、长期监测运行在弹性云主机内的应用趋势等。 同时，使用云监控服务用户可通过设置阈值对资源进行提前告警，保证资源稳定可靠。

导入检查项 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防> 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，并在安全遵从包页面中，选择“检查项”页签，进入检查项管理页面。 5. 在下方检查项列表左上角，单击的“导入”。 6. 在弹出的对话框中单击“下载模板”，根据模板填写检查项信息。 7. 填写完成后，在弹出的对话框中单击“添加文件”，上传已填写的信息表格。 说明 支持导入.xlsx格式的文件。 一次仅支持导入一个文件，且单次导入数据条不超过100条。 8. 上传完成后，单击“导入”。 9. 导入完成后，在检查项页面可查看已导入的检查项信息，可通过检查项名称过滤筛选。 导出检查项 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防> 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，并在安全遵从包页面中，选择“检查项”页签，进入检查项管理页面。 5. 在检查项列表中勾选需要导出的检查项，并单击检查项列表左上角的“导出”。 6. 在弹出的对话框中，选择导出格式并自定义勾选需要导出的列。 7. 单击“导出”。

本节将介绍如何将集成的日志数据投递至LTS。 操作场景 态势感知（专业版）支持集成WAF、HSS、CFW等其他云产品日志，具体集成操作及支持集成的云服务请参见云服务接入。 集成后的日志还支持投递至云日志服务（Log Tank Service，简称LTS），方便用户快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。 前提条件 已完成需投递日志的数据集成至态势感知（专业版）操作，详细操作请参见云服务接入。 投递到LTS中，需要已有可用的日志组和日志流。 步骤一：创建数据投递任务 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道后，单击目标管道名称后的“更多 > 投递”，右侧弹出现在数据投递设置页面。 6. （可选）在弹出的授权提示中，确认无误后，单击“确认”，完成授权。 首次投递到目的投递类型需要进行授权，如果已经授权，请跳过该步骤。 7. 在新增投递配置页面中，配置数据投递相关参数。 投递名称：自定义数据投递名称。 账号类型：此处请选择“本账号”。投递到LTS服务仅支持投递本账号内的日志数据。 投递类型：此处请选择“LTS”。 日志组：选择LTS日志组。 日志流：选择目的LTS日志流。 其他配置参数，系统默认生成，无需配置。 8. 单击“确定”。

告警转事件 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。 5. 在告警管理列表中，单击目标告警所在行“操作”列的“转事件”，右侧弹出转事件配置页面。 同时，还可以在某条告警详情页面，单击页面上方的“告警转事件”。 6. 在转事件配置页面中，填写“事件名称”并选择“类型”。 事件名称将自动填入当前告警的名称，可以根据需要进行修改。 7. 设置完成后，单击“确认”。 8. 在左侧导航栏选择“威胁管理 > 事件管理”，进入事件管理页面查看事件信息，详细操作指导和事件参数解释请参见查看事件信息。 告警关联事件 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。 5. 在告警管理列表中，勾选需要关联事件的告警，并单击列表上方的“关联事件”，弹出绑定事件对话框。 6. 在绑定事件对话框中，勾选需要绑定的事件，并单击“确认”。 关联完成后，在告警列表中单击目标告警类型，进入告警详情页面后，选择“关联已有事件”页签，查看关联信息。

修改聚合路由 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理 ”页签，单击目标云企业路由器实例名称（或者单击操作列的“配置”），进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“路由管理”页签，在页签左侧区域单击目标的路由表。 6. 在页签右侧区域，点击“聚合路由”，进入聚合路由页签。 7. 在页签的聚合路由列表中，选择目标路由条目，在“操作列 ”中，点击“修改”。 8. 在修改聚合路由页面中，根据提示，修改参数，点击“确认”完成修改。 参数 说明 目标范围 单选，指定路由的目标传播对象类型。 描述 描述内容。 删除聚合路由 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理 ”页签，单击目标云企业路由器实例名称（或者单击操作列的“配置”），进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“路由管理”页签，在页签左侧区域单击目标的路由表。 6. 在页签右侧区域，点击“聚合路由”，进入聚合路由页签。 7. 在页签的聚合路由列表中，选择目标路由条目，在“操作列 ”中，点击“删除”。 8. 在删除确认页面中，点击“确认”完成删除。

本文为您介绍启动反向复制的操作流程。 操作场景 完成反向注册，受保护的的云服务状态变为“已反向初始化”后，可启动反向复制，从容灾中心将数据反向复制回生产中心。 注意 在此过程中，关闭云主机将导致出错，造成数据丢失，请勿执行关机操作。 本示例中ecmtest为生产中心的云主机，ecmrecovery为容灾中心的云主机。 前提条件 受保护的服务器状态为“已反向初始化”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞故障恢复＞启动反向复制”。 7. 在启动反向复制页面，根据提示配置参数，单击“启动”，开始反向复制。 参数 说明 :: 容灾云主机名称 自动获取并展示当前容灾中心服务器名称，不可修改。 原机恢复 勾选后，会将生产中心的云主机作为复影云主机。 不勾选，系统将自动在生产中心新建一台云主机作为复影云主机。 注意：若使用原机恢复，所使用的生产中心ECS主机的数据将被清除。本示例中，ecmtest中的数据将被清除。 生产磁盘类型 云主机下磁盘类型。 生产中心VPC 自动获取并展示生产中心vpc信息，不可修改。 反向复制会先后进入启动反向复制中、反向全量复制中、反向实时复制中三个阶段。 启动反向复制中：正在扫描系统数据，评估总体数据量，这一阶段通常会持续几分钟。 反向全量复制中：正在把容灾中心服务器的有效数据传输到生产中心复影云主机，这一阶段所用时间取决于服务器数据量、网络带宽等因素，并通过进度条显示进度和完成百分比。 反向实时复制中：全量复制完成后，系统已经复制了全量数据，然后将会在服务器上监视所有对磁盘的写操作，并持续地实时复制到复影云主机。 注意 如遇反向复制出错，可以单击

参数 描述 pushgateway PUSHGATEWAY 需要删除Pushgateway监控配置的地址和接口，格式为 IPv4 : port 、[ IPv6 ]: port 或者 domainname : port 。 pushgatewaylabels LABEL Pushgateway对应的标签值，取值是label项。一次可以删除多个labels值，以英文逗号（,）分开。 取值： key 值。 collectmetric COLLECTMETRIC 指定删除的监控指标。 取值为：server、fileSystem、interface、load、disk、tcp、os。 默认删除上述所有监控指标。 collectmetricitems ITEM 指定监控指标下的要删除的具体items配置项。一次删除多个items配置项，以英文逗号（,）分开。 n SERVERID 或 server SERVERID 指定要删除Pushgateway监控配置的HBlock服务器ID。一次可以删除多个HBlock服务器的Pushgateway监控配置，以英文逗号（,）分开。 默认删除所有HBlock服务器的Pushgateway监控配置。

了解什么是存储资源盘活系统。 HBlock是中国电信天翼云自主研发的存储资源盘活系统（Storage Resource Reutilization System，简称SRRS），是一款轻量级存储集群控制器，实现了全用户态的软件定义存储，将通用服务器及其管理的闲置存储资源转换成高可用的虚拟磁盘，通过标准 iSCSI 协议提供分布式块存储服务，挂载给本地服务器（或其他远程服务器）使用，实现对资源的集约利用。同时，产品拥有良好的异构设备兼容性及场景化适配能力，支持数据上传到对象存储，提供软件和一体机两种产品形态。 在非联网模式下，HBlock软件可被视为本地盘阵的替代品，用于本地数据存储；在联网模式下，HBlock软件还可以作为本地与云端存储之间的桥梁，将全量数据自动同步到对象存储中，本地仅保留热数据以节省本地存储空间，或者保留全量数据以保障本地I/O性能，实现混合云存储。

云防火墙的应用场景及限制。 约束限制 CFW ALG标签功能受限。 CFW默认不开启网络层流量类型DDoS攻击与IP欺骗防御功能。 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全，建议优先使用自定义域名服务器。 CFW长连接业务场景限制，配置策略的时候需要同时开启双向放通的安全策略，如果只开启单向策略，部分场景（开启和关闭防护、扩容引擎）需要客户端重新发起连接。 外部入侵防御 通过云防火墙，对已开放公网访问的服务资产进行安全盘点，可一键开启入侵检测与防御。 主动外联管控 云防火墙支持基于域名的访问控制，可对主动外联行为进行精准管控。 VPC间互访控制 云防火墙支持VPC间流量的访问控制，实现内部业务互访活动的可视化与安全防护。 等保合规 云防火墙可满足《网络安全等级保护2.0》中对区域边界防护、网络入侵防范、网络访问控制、安全日志审计等检查要求。

名词 说明 内网域名 由一串点分隔的名字组成的用于云VPC网络访问目标主机或负载均衡的名称。 记录集 记录集是域名下一组资源记录的集合，这些资源记录属于同一域名，用于该域名支持的解析类型和解析值。 A记录 指定域名对应的IPv4地址，用于将域名解析到IPv4地址。 AAAA记录 指定域名对应的IPv6地址，用于将域名解析到IPv6地址。 CNAME记录 指定域名的别名，用于将域名解析成另一个域名。 MX记录 指定域名对应的邮件服务器，用于为邮件域名设置邮箱服务器。 TXT记录 文本记录，用于对域名进行标识和说明，主要用于： 记录DKIM公钥，用 于反电子邮件欺诈。 记录域名所有者身份信息，用于域名找回。 SRV记录 服务记录类型，记录值含服务器的地址、服务端口、优先级和权重。 PTR记录 反向解析记录，对指定IP地址的反向解析记录，用于从私网IP地址反向查询对应的域名。

资费项 计费项 含义 存储费 云硬盘备份存储库 备份云硬盘时，需要购买云硬盘备份存储库用于存放云硬盘产生的备份。 存储费 云主机备份存储库 备份普通云主机（不包含数据库等应用）时，需要购买云主机备份存储库用于存放云主机产生的备份。 存储费 SFS Turbo备份存储库 备份SFS Turbo文件系统时，需要购买SFS Turbo备份存储库用于存放SFS Turbo文件系统产生的备份。 存储费 数据库服务器备份存储库 备份部署了数据库等应用的云主机时，需要购买数据库服务器备份存储库用于存放数据库服务器备份产生的备份。 购买方式：在创建云主机备份存储库时，勾选“启用数据库备份”。 存储费 混合云备份存储库 混合云备份分为文件备份和VMware备份，购买存储库时请根据实际情况进行购买。

本文主要介绍单点登录(SSO)是什么,以及应用场景。 单点登录是什么 单点登录（Single SignOn，简称 SSO）是一种身份验证机制，它允许用户使用一组唯一的认证凭证（如用户名和密码）来访问多个相关但独立的软件系统。通过SSO，用户只需要登录一次就可以访问所有相互信任的应用系统，而不需要为每个应用单独进行登录操作。这种机制极大地提高了用户体验，减少了重复输入凭据的麻烦，并且可以提高安全性。 单点登录工作原理 常用的单点登录工作流程如下： 1. 用户请求 ：用户尝试访问一个受保护的应用。 2. 重定向到认证服务器 ：如果用户尚未登录，该应用会将用户重定向到SSO认证服务器。 3. 用户认证 ：用户在SSO认证服务器上输入其认证信息。 4. 令牌生成与传递 ：认证成功后，SSO服务器生成一个安全令牌，并将其发送回最初的应用或者存储在用户的浏览器中作为cookie。 5. 应用验证 ：应用接收到令牌后，向SSO服务器验证令牌的有效性。 6. 授予访问权限 ：验证通过后，应用授予用户访问权限。 7. 无缝访问其他应用 ：当用户访问其他支持相同SSO服务的应用时，只要令牌仍然有效，用户可以无缝访问新应用，不需要重新认证。 单点登录优势 提升用户体验 ：减少了用户记忆多个用户名和密码的需求，简化了访问多个系统的流程。 提高生产力 ：员工能够更快地开始工作，减少因多次登录而导致的时间浪费。 增强安全性 ：通过集中管理和监控认证过程，可以更好地控制谁有权限访问哪些资源，并且容易实现更强的认证方法，如多因素认证。 降低IT成本和支持需求 ：减少了由于忘记密码或丢失凭证引起的帮助台请求和技术支持成本。 简化管理 ：管理员可以通过一个中心化的平台来管理用户身份和访问权限，提高了效率并降低了管理复杂度。

本小节介绍如何进行文件验证。 按照CA中心的规范，如果您申请了SSL证书，则必须完成域名验证（又称验证域名所有权）来证明待申请证书要绑定的域名属于您。 文件验证，是指您手动从证书管理服务控制台获取证书验证文件，然后在服务器的网站根目录下创建指定文件。CA机构验证文件路径可以被访问，则表示验证通过。 注意 目前CA中心仅支持向80、443端口发起验证请求，因此您的业务需开放80、443端口。 天翼云仅支持绑定IP域名和单域名类型证书使用文件验证。 验证步骤 获取验证信息 提交证书申请后，单击“证书验证”，获取证书验证信息。如下图所示。 您可以直接单击“操作”列的“导出文件”，将需要上传的文件导出至本地。 创建文件 1. 登录您的服务器，并且确保域名已指向该服务器并且对应的网站已正常启用。 2. 在现有网站目录的根目录下，创建指定的文件。该文件包括文件目录、文件名、文件内容。 说明 网站根目录是指您在服务器上存放网站程序的文件夹，大致有这几种表示名称：publichtml、htdocs、assets、logs等。请您根据实际环境进行操作。 1. 依次执行以下命令，在服务器的Web根目录（Nginx服务默认为/var/www/html/） 下创建文件验证目录（ .wellknown/pkivalidation/）。 plaintext cd /var/www/html mkdir p .wellknown/pkivalidation 2. 在 /var/www/html/.wellknown/pkivalidation/目录下，创建fileauth.txt 文件，fileauth.txt 为验证信息中显示的文件名。在fileauth.txt文件中把验证信息中的文件内容复制粘贴上去。 说明 您可以直接在控制台选择“导出文件”，直接将文件上传至相关目录。 3. 打开浏览器，根据验证的域名类型，访问对应的链接地址，确保访问链接地址可获取到文件内容。 链接地址格式为： 4. 成功配置文件验证信息后，等待CA中心对文件验证信息进行审核，审核通过后，证书变为“已签发”状态。

syslogfacility (enum) 当启用了向syslog记录时，这个参数决定要使用的syslog“设备”。你可以在LOCAL0、LOCAL1、LOCAL2、LOCAL3、LOCAL4、 LOCAL5、LOCAL6、LOCAL7中选择，默认值是LOCAL0。还请参阅系统的syslog守护进程的文档。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。 syslogident (string) 当启用了向syslog记录时，这个参数决定用来标识syslog中的TeleDB消息的程序名。默认值是postgres。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。 syslogsequencenumbers (boolean) 当日志被记录到syslog并且这个设置为 on （默认）时，每一个消息会被加上一个增长的序号作为前缀（例如 [2]）。这种行为避开了很多 syslog 实现默认采用的 “ 上一个消息重复 N 次 ”形式。在现代 syslog 实现中， 抑制重复消息是可以配置的（例如rsyslog 中的$RepeatedMsgReduction），因此这个参数可能不是必需的。 此外，如果你真的想抑制重复消息，你可以把这个参数设置为 off。这个参数只能在postgresql.conf文件或者服务器命令行上设置。 syslogsplitmessages (boolean) 当启用把日志记录到syslog时，这个参数决定消息如何送达 syslog。当设置为 on（默认）时，消息会被分成行， 并且长的行也会被划分以便能够放到 1024 字节中， 这是传统 syslog 实现一种典型的尺寸限制。当设置为 off 时，TeleDB服务器日志消息会被原样送达 syslog 服务， 而处理可能的大体量消息的任务由 syslog 服务负责。如果 syslog 最终被记录到一个文本文件中，那么两种设置的效果是一样的， 但最好设置为 on，因为大部分 syslog 实现要么不能处理大型消息， 要么需要做特殊的配置以处理大型消息。但是如果 syslog 最终写入到某种其他媒介，有必要让消息保持逻辑上的整体性（也更加有用）。这个参数只能在postgresql.conf文件或者服务器命令行上设置。

本页介绍天翼云TeleDB数据库通过配置文件设置参数。 设置数据库参数最基本的方法是编辑postgresql.conf文件，该配置文件默认在节点数据目录下。 配置文件中每一行指定一个参数。名称和值之间的等号是可选的。空白是无意义的（除了在一个引号引用的参数值内）并且空行被忽略。井号（ ）指示该行的剩余部分是一个注释。非简单标识符或者数字的参数值必须用单引号包围。要在参数值里嵌入单引号，要么写两个单引号（首选）或者在引号前放反斜线。 以这种方式设定的参数为实例提供了默认值。除非这些设置被覆盖，活动会话看到的就是这些设置。下面的小节描述了管理员或用户覆盖这些默认值的方法。 主服务器进程每次收到SIGHUP信号（最简单的方法是从命令行运行pgctl reload或调用 SQL函数pgreloadconf()来发送这个信号）后都会重新读取这个配置文件。主服务器进程还会把这个信号传播给所有正在运行的服务器进程，这样现有的会话也能采用新值（要等待它们完成当前正在执行的客户端命令之后才会发生）。另外，你可以直接向一个单一服务 器进程发送该信号。有些参数只能在服务器启动时设置，在配置文件中对这些条目的修改将被忽略，直到下次服务器重启。配置文件中的非法参数设置也会在SIGHUP处理过程中被忽略（但是会记录日志）。 除postgresql.conf之外，数据目录还包含一个文件postgresql.auto.conf，它具有和postgresql.conf相同的格式。这个文件保存了通过ALTER SYSTEM命令修改的参数设置。每当postgresql.conf被读取时这个文件会被自动读取，并且它的设置会以同样的方式生效。postgresql.auto.conf中的设置会覆盖postgresql.conf 中的设置。 如果SIGHUP信号没有产生预期效果，那么系统表pgfilesettings 有助于对配置文件的预测试更改，或者诊断问题。