本页介绍了文档数据库提升数据库的读写性能的方法。 常见的提高数据库读写能力方式： 1. 使用索引：确保你的文档数据库服务的数据库中有适当的索引，以加快查询速度。根据查询模式和数据访问模式创建合适的索引，避免全表扫描。 2. 写入优化： 1. 批量写入：对于大量数据的写入操作，使用批量写入可以减少写入操作的次数，提高写入性能。 2. 使用Unordered Bulk Write：对于不需要按顺序执行的批量写入操作，使用Unordered Bulk Write可以提高写入性能。 3. 关闭日志：对于写入密集的场景，可以考虑关闭写入日志（journal），以提高写入性能。但需要权衡数据的耐久性和丢失数据的风险。 3. 读取优化： 1. 使用读写分离：如果有高并发的读请求，可以使用文档数据库服务的读写分离策略，将读请求分发给多个Secondary节点，减轻Primary节点的读负载。 2. 选择合适的Read Preference：在读取操作中，根据数据的一致性要求，选择合适的Read Preference，平衡性能和数据一致性。 4. 调整连接池大小：根据应用程序的并发连接数和服务器硬件资源，适当调整文档数据库服务的连接池大小，以避免连接资源浪费和性能瓶颈。 5. 使用WiredTiger存储引擎：WiredTiger存储引擎在性能和存储方面通常优于MMAPv1引擎。对于大多数应用，推荐使用WiredTiger存储引擎。 6. 数据分片：如果数据规模非常大，可以考虑使用文档数据库的分片集群，将数据分散到多个节点上，实现水平扩展和负载均衡。 7. 硬件升级：确保文档数据库服务运行在性能良好的硬件上，包括CPU、内存和磁盘。SSD硬盘通常比传统机械硬盘更适合文档数据库，因为它可以提供更快的读写速度。 8. 维护：定期进行数据库维护操作，例如索引重建、压缩数据、日志清理等，可以优化数据库性能。

故障检查项 功能 说明 FrequentKubeletRestart 通过监听journald日志检测kubelet是否频繁重启 周期：5分钟 回溯时间：10分钟 阈值：10次即在回溯时间段内重启10次表示频繁重启，将会产生故障告警。 监听对象：/run/log/journal目录下的日志说明Ubuntu操作系统由于日志格式不兼容，暂不支持上述检查项。 FrequentDockerRestart 通过监听journald日志检测docker是否频繁重启 FrequentContainerdRestart 通过监听journald日志检测containerd是否频繁重启 CRIProblem 检查容器CRI组件状态 检查对象：Docker或Containerd KUBELETProblem 检查Kubelet状态 无 NTPProblem 检查ntp、chrony服务状态检查节点时钟是否偏移 时钟偏移阈值：8000ms PIDProblem 检查Pid是否充足 阈值：90% 使用量：/proc/loadavg中nrthreads 最大值：/proc/sys/kernel/pidmax和/proc/sys/kernel/threadsmax两者的较小值。 FDProblem 检查文件句柄数是否充足 阈值：90% 使用量：/proc/sys/fs/filenr中第1个值 最大值：/proc/sys/fs/filenr中第3个值 MemoryProblem 检查节点整体内存是否充足 阈值：90% 使用量：/proc/meminfo中MemTotalMemAvailable 最大值：/proc/meminfo中MemTotal ResolvConfFileProblem 检查ResolvConf配置文件是否丢失检查ResolvConf配置文件是否异常异常定义：不包含任何上游域名解析服务器（nameserver）。 检查对象：/etc/resolv.conf ProcessD 检查节点是否存在D进程 数据来源： /proc/{PID}/stat 等效命令：ps aux例外场景：ProcessD忽略BMS节点下的SDI卡驱动依赖的常驻D进程heartbeat、update ProcessZ 检查节点是否存在Z进程 ScheduledEvent 检查节点是否存在主机计划事件典型场景：底层宿主机异常，例如风扇损坏、磁盘坏道等，导致其上虚机触发冷热迁移。 数据来源：

在执行DDL语句前，需要设置锁超时时间。本文为您介绍具体的操作。 在执行DDL语句前，一定要记得设置锁超时时间。 DDL语句会申请access exclusive锁，access exclusive锁是最强的排它锁，在获得锁前，要求该表上没有任何会话访问；同时，DDL语句会阻塞任何对表的操作。例如：drop table、truncate、reindex、vacuum full、部分alter table等等。 由于DDL语句在获得锁前，要求该表上没有任何会话访问，如果有长事务、长时间执行的SQL访问表，那么需要等待这些会话执行完成后才能获得access exclusive锁。在等锁的过程中，DDL语句会阻塞该表上所有DDL语句后面执行的SQL，包括SELECT。如果该表有高并发SQL语句，那么将会导致大量的SQL语句被阻塞，进而导致数据库连接数迅速增长、服务器CPU打满，严重影响业务。 可以通过设置锁超时解决此问题，锁超时设置一般可以使用如下3种方式，影响范围各不相同，超时时间推荐30~60s： 当前会话生效（即时生效）： teledb set locktimeout to '30s'; 用户默认锁超时（设置之后，新建的连接才会生效）： teledb alter role teledb set locktimeout to '30s'; 数据库默认锁超时（设置之后，新建的连接才会生效）： teledb alter database teledb set locktimeout to '30s'; 注意 locktimeout参数是获取锁的超时时间，不止对DDL语句生效，对DML、DQL也生效；因此用户、数据库级默认锁超时间参数不应设置过小，设置过小可能会导致正常的DML、DQL语句超时，尤其并发业务量大，业务高峰期间，可能会因为锁超时设置过小导致大面积SQL语句超时报错。

本小节介绍在Linux主机上安装PAM并设置口令复杂度策略。 安装PAM 如果当前系统中未安装PAM（Pluggable Authentication Modules），就无法为系统提供口令复杂度策略检测功能。 若云服务器的操作系统为Debian或Ubuntu，请以管理员用户在命令行终端执行命令aptget install libpamcracklib进行安装。 CentOS、Fedora、EulerOS系统默认安装了PAM并默认启动。 设置口令复杂度策略 为了确保系统的安全性，建议设置的口令复杂度策略为：口令最小长度不小于8，至少包含大写字母、小写字母、数字和特殊字符中的三种。 以下配置为基础的安全要求，如需其他更多的安全配置，请执行以下命令获取Linux帮助信息。 基于Red Hat 7.0的CentOS、Fedora、EulerOS系统 man pampwquality 其他Linux系统 man pamcracklib CentOS、Fedora、EulerOS操作系统 执行以下命令，编辑文件“/etc/pam.d/systemauth”。 vi/etc/pam.d/systemauth。 注意 “dcredit”、“ucredit”、“lcredit”、“ocredit”中至少有三个需要配置为负数。 参数说明 参数 说明 示例 minlen 口令最小长度配置项。 PAM默认使用了“credits”，因此最小口令长度需要加1，若需要设置最小口令长度为8，则minlen的值应该设置为9。 minlen9 dcredit 口令数字要求的配置项。 值为负数N时表示至少有N个数字，值为正数时对数字个数没有限制。 dcredit1 ucredit 口令大写字母要求的配置项。 值为负数N时表示至少有N个大写字母，值为正数时对大写字母个数没有限制。 ucredit1 lcredit 口令小写字母要求的配置项。 值为负数N时表示至少有N个小写字母，值为正数时对小写字母个数没有限制。 lcredit1 ocredit 特殊字符要求的配置项。 值为负数N时表示至少有N个特殊字符，值为正数时对特殊字符个数没有限制。 ocredit1

本文介绍域名请求出现“504 Gateway Timeout”错误可能的原因及解决方案。 问题现象 使用天翼云CDN加速之后，用户请求加速域名出现“504 Gateway Timeout”报错，导致无法正常访问。报错如下： 可能原因及解决方案 如源站因某种原因响应慢，超过CDN加速回源超时时间设置仍未向CDN节点返回内容，则会出现504报错。此时具体排查步骤如下： 1. 确认源站服务器的各个指标如CPU及带宽资源等是否正常，如是否有跑高等异常现象。软件服务是否有异常，如发现异常，请联系提供源站服务的相应技术人员进一步进行修复。 2. 可通过直接将域名指向源站IP的方式（修改本机HOSTS文件），不经过CDN请求对应的域名资源，确认源站能否正常响应，查看响应的具体情况。请求时可通过在浏览器打开开发者选项或通过Wireshark等抓包工具进一步查看，如下图示： 如上图，查看对应请求的元素，发现源站请求的响应时间time参数长达1min，确认为源站响应慢，需要进一步检查源站情况，确认源站能否降低响应时长（降低至CDN厂商回源超时时间范围内）。 当确认源站响应慢而且源站没有办法减少响应时间时，可以通过修改CDN域名的默认回源超时时长来缓解该问题，具体可提交工单联系天翼云客服进行配置。 3. 若按上述步骤验证后非源站问题，可参考：接入CDN后域名无法访问，进一步排查。 4. 如果问题还是无法解决，请提交工单联系天翼云客服进行人工确认。

本页面介绍云数据库ClickHouse如何通过HTTP接口进行连接。 HTTP接口使您可以通过任何编程语言在任何平台上使用云数据库ClickHouse，您将其用于Java和Perl以及Shell脚本，Perl、Python和Go也可以使用HTTP接口。HTTP接口比本机接口受到更多限制，但是具有更好的兼容性。clickhouseserver 侦听的HTTP端口默认情况下是8123。 如果进行不带参数的GET请求，它将返回200响应代码和httpserverdefaultresponse默认值“ Ok”中定义的字符串，末尾有换行符。参数可以URL参数query发送或者以POST请求方式发送，或在“ query”参数中发送查询的开头，然后在POST中发送其余查询（在后面解释为什么这样做的必要性）。在发送大型查询时，请注意URL的大小限制为16 KB。如果成功，您将在响应正文中收到200响应代码和结果。 如果发生错误，您将在响应正文中收到响应代码500和一个错误描述文本。 使用GET方法时，设置为“只读”。换句话说，对于修改数据的查询，只能使用POST方法。可以在POST正文或URL参数中发送查询本身。默认情况下，服务器设置中注册的数据库用作默认数据库即default，可以在表名称之前使用点来指定数据库。 身份验证 可以通过以下三种方式之一指定用户名和密码进行登录验证： 使用HTTP基本身份验证。 ​​$ echo 'SELECT 1' curl ' d @ 在URL参数中使用user 和password指定，使用database参数指定数据库。 ​​$ echo 'SELECT 1' curl ' d @ 在HTTP请求头中通过“ XClickHouseUser”和“ XClickHouseKey”指定用户名和密码。 ​​$ echo 'SELECT 1' curl H 'XClickHouseUser: user' H 'XClickHouseKey: yourpassword' ' d @

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mysqllink 数据库服务器 配置为要连接的数据库的IP地址或域名。 单击输入框后的“选择”，可获取用户的DWS、RDS等实例列表。 192.168.0.1 端口 配置为要连接的数据库的端口。 不同的数据库端口不同，请根据具体情况配置。例如： SQLServer默认端口：1433 PostgreSQL默认端口：5432 数据库名称 配置为要连接的数据库名称。 dbname 用户名 待连接数据库的用户。该数据库用户需要有数据表的读写权限，以及对元数据的读取权限。 cdm 密码 用户名密码。 使用Agent 是否选择通过Agent从源端提取数据。 是 Agent 单击“选择”，选择3.3.5.3管理Agent中已创建的Agent。 驱动版本 不同类型的关系数据库，需要适配不同的驱动。 一次请求行数 可选参数，单击“显示高级属性”后显示。 指定每次请求获取的行数，根据数据源端和作业数据规模的大小配置该参数。如果配置过大或过小，可能影响作业的时长。 1000 SSL加密 可选参数，支持通过SSL加密方式连接数据库，暂不支持自建的数据库。 RDS上的PostgreSQL数据库服务做了一些安全增强，在创建RDS上的PostgreSQL的连接时，该参数需要配置为“是”。 是 连接属性 可选参数，单击“添加”可增加多个指定数据源的JDBC连接器的属性，参考对应数据库的JDBC连接器说明文档进行配置。 说明 CDM作业默认打开了useCursorFetch开关，即JDBC连接器与关系型数据库的通信使用二进制协议。 sslmoderequire 引用符号 可选参数，连接引用表名或列名时的分隔符号，参考对应数据库的产品文档进行配置。 '

名称 描述 说明 GTM 全局事务管理器（Global Transaction Manager），负责生成和维护全局事务ID、事务快照、时间戳等全局唯一的信息。 整个集群只有一组GTM：主、备GTM各一个。 WLM 工作负载管理器（Workload Manager）。控制系统资源的分配，防止过量业务负载对系统的冲击而导致业务拥塞和系统崩溃。 不同于集群中的实例（GTM、CM、CN、DN）模块，不需要在安装过程中指定主机名称。安装程序会自动在各主机上安装此模块。 CN 协调节点（Coordinator）。负责接收来自应用的访问请求，并向客户端返回执行结果；负责分解任务，并调度任务分片在各DN上并行执行。 集群中，CN有多个并且CN的角色是对等的（执行DML语句时连接到任何一个CN都可以得到一致的结果）。只需要在CN和应用程序之间增加一个负载均衡器，使得CN对应用是透明的。CN故障时，由负载均衡自动路由连接到另外一个CN。 当前分布式事务框架下无法避免CN之间的互连，为了减少GTM上线程过多导致负载过大，建议CN配置数目≤10个。 DWS通过CCN（Central Coordinator）负责集群内的资源全局负载控制，以实现自适应的动态负载管理。CM在第一次集群启动时，通过集群部署形式，选择编号最小的CN作为CCN。若CCN故障之后，由CM选择新的CCN进行替换。 DN 数据节点（Datanode）。负责存储业务数据（支持行存、列存、混合存储）、执行数据查询任务以及向CN返回执行结果。 在集群中，DN有多个。每个DN存储了一部分数据。集群部署常用方式为主备从高可用模式，若DN故障时导致该实例上的数据无法访问，可进行集群高可用操作，详情请参见。 Storage 服务器的本地存储资源，持久化存储数据。

本文介绍如何重装裸金属资源，对您的资源进行管理。 重装操作系统注意事项 基于安全考虑，装机镜像默认开启系统防火墙，如未通过NAT网关实现出入网，裸金属资源无安全组能力，需运营运营人员修改系统防火墙配置，此时可联系您的客户经理，与我们取得联系。 重装操作系统操作步骤 1. 登录ECX控制台。 2. 点击左侧导航栏【边缘裸金属>裸金属服务器】，选择需要操作的实例。 3. 点击【更多】选项，选择【重装】按钮，跳转到选中实例的重装页面。 4. 如有多台实例需要重装，可勾选实例后单击【批量操作】按钮，在下拉列表中单击【重装】，跳转到实例的重装页面。 5. 选择操作系统、输入或随机生成账号密码，其中系统镜像可选择公有镜像或自定义镜像。 6. 配置系统盘名称，选择是否修改磁盘分区，如选择启用，则需调整分区大小及文件系统类型，如否，直接进入下一步。 7. 配置重装后的网络模式：可选择沿用原有网络，不做任何网络配置变更重装；或配置新网络，支持配置所使用的网卡类型及组网策略，但需要保证公网IP的使用情况与重装前保持一致。 8. 系统重装后，原数据会全部丢失，如需继续点击【确定】按钮即可，实例状态将变为“装机中”，如需重新选择镜像，可点击【上一步】重新选择镜像。

本章节主要介绍ALM12014 设备分区丢失。 告警解释 系统按60秒周期进行扫描，如果检测到挂载服务目录的设备分区丢失（如由于设备拔出、设备离线、删除分区等原因）时，产生此告警。 此告警需要手动恢复。 告警属性 告警ID 告警级别 是否自动清除 12014 重要 否 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 挂载目录名 产生告警的挂载目录名。 设备分区名 产生告警的设备分区名。 对系统的影响 造成服务数据无法写入，业务系统运行不正常。 可能原因 硬盘被拔出 硬盘离线、硬盘坏道等故障。 处理步骤 1. 打开FusionInsight Manager页面，选择“运维 > 告警 > 告警”，单击此告警所在行的。 2. 从“定位信息”中获取“主机名”、“设备分区名”和“挂载目录名”。 3. 确认“主机名”节点的“设备分区名”对应的磁盘是否在对应服务器的插槽上。 是，执行步骤4。 否，执行步骤5。 4. 联系硬件工程师将故障磁盘在线拔出。 5. 以root用户登录发生告警的“主机名”节点，检查“/etc/fstab”文件中是否包含“挂载目录名”的行。 是，执行步骤6。 否，执行步骤7。 6. 执行vi /etc/fstab命令编辑文件，将包含“挂载目录名”的行删除。 7. 联系硬件工程师插入全新磁盘，具体操作请参考对应型号的硬件产品文档，如果原来故障的磁盘是RAID，那么请按照对应RAID卡的配置方法配置RAID。 8. 等待20～30分钟后执行mount命令（具体时间依赖磁盘的大小），检查磁盘是否已经挂载在目录“挂载目录名”上。 是，手动清除该告警，操作结束。 否，执行步骤9。

本文主要介绍使用RedisShake工具迁移自建Redis Cluster集群 RedisShake是一款开源的Redis迁移工具，支持Cluster集群的在线迁移与离线迁移（备份文件导入）。DCS Cluster集群与Redis Cluster集群设计一致，数据可平滑迁移。 本文以Linux系统环境为例，介绍如何使用RedisShake工具进行Cluster集群数据迁移。 约束与限制 使用RedisShake工具将自建的Redis Cluster在线迁移到DCS Cluster集群，需要源Redis与目标Redis网络连通，或者通过一台中转云主机连通两端的Cluster集群实例。 前提条件 如果您还没有目标Redis，请先创建目标Redis，具体操作请参考创建实例。 如果您已有目标Redis，则不需要重复创建，为了对比迁移前后数据及预留足够的内存空间，建议在数据迁移之前清空目标实例数据，清空操作请参考清空实例数据。如果没有清空实例数据，数据迁移后，目标Redis与源Redis实例重复的数据迁移后会被覆盖，源Redis没有、目标Redis有的数据会保留。 已创建弹性云主机ECS。 ECS请选择与DCS Cluster集群实例相同虚拟私有云、子网和安全组，并且需要绑定弹性公网IP。 自建的源Redis Cluster集群如果是在本地或者其他云厂商的服务器上自建，需要允许被公网访问。 获取源Redis和目标Redis节点信息 1. 分别连接源端和目标端Redis。连接Redis的方法请参考使用rediscli连接Redis实例。 2. 在线迁移Cluster集群时需要将Cluster集群各个节点数据分别迁移。执行如下命令分别查询源端和目标Cluster集群的所有节点的IP地址与端口： rediscli h {redisaddress} p {redisport} a {redispassword} cluster nodes {redisaddress}为Redis的连接地址，{redisport}为Redis的端口，{redispassword}为Redis的连接密码。 在命令返回的结果中，获取所有master节点的IP端口。

公有云采用虚拟私有云（VPC）管理各服务的网络安全，比如DCS缓存服务，用户创建的DCS缓存实例，只允许被实例处于相同虚拟私有云的弹性云主机访问。 解决方案 天翼云的弹性云主机，如果绑定了弹性IP地址，用户可以从本地电脑远程访问。 因此，我们可以采用ssh工具的隧道代理机制，通过一台既能连接DCS缓存实例，又能被本地电脑访问的中转服务器，实现“代理转发”。 说明 Redis 4.0/5.0 Cluster集群实例暂不支持使用该方案进行公网访问。 前提条件 假设已申请DCS缓存实例一个，本地电脑可以连接互联网，且安装有MobaXterm、Redis客户端等工具。 申请一台弹性云主机（ECS），满足以下要求： 绑定弹性IP，公网可以访问ECS. ECS的虚拟私有云以及子网配置成与DCS缓存实例相同。 ECS配置正确的安全组访问规则。 为了方便，ECS使用linux操作系统。 这样保证ECS与DCS缓存实例网络互通，同时可以从本地电脑远程SSH连接ECS。 操作步骤 通过MobaXterm建立隧道作为跳板机 1.新建一个到ECS的SSH连接，使用22号端口。 图 连接ECS 2.SSH连接配置好后，输入登录用户和密码，连接上ECS。登录后输入TMOUT0，避免连接超时自动关闭。 图 输入TMOUT0 3.在MobaXterm工具中找到MobaSSHtunnal，建立隧道。 图 创建隧道 4.配置本地IP为127.0.0.1后，启动隧道。 图 启动隧道 5.本地电脑打开Redis客户端，以Redis命令行界面为例。连接DCS缓存实例，命令如下： Rediscli h 127.0.0.1 p 3306 a {password} 参数说明： h 主机名：localhost或者127.0.0.1，和隧道建立时配置的本地IP相同。 p 端口号：3306，和隧道建立时配置的本地侦听端口相同。 a 密码：DCS缓存实例连接密码。 6.连接成功，显示如下。 图 连接实例

本章节主要介绍Redis缓存类型的主备实例。 DCS Redis缓存类型都支持主备实例，本章节主要介绍Redis缓存类型的主备实例，有四个版本选择，Redis3.0、Redis4.0、Redis5.0和Redis6.0。 主备实例特点 DCS的主备实例在单机实例基础上，增强服务高可用以及数据高可靠性。 主备实例具有以下特性： 1.持久化，确保数据高可靠 实例默认包含一个主节点和一个备节点，都默认开启数据持久化。 Redis主备实例的备节点对用户不可见，不支持客户端直接读写数据。 2.数据同步 主备节点通过增量数据同步的方式保持缓存数据一致。 说明 当网络发生异常或有节点故障时，主备实例会在故障恢复后进行一次全量同步，保持数据一致性。 3.故障后自动切换主节点，服务高可用 当主节点故障后，连接会有秒级中断、不可用，备节点在30秒内自动完成主备切换，切换完成后恢复正常访问，无需用户操作，业务平稳运行。 4.容灾策略 跨AZ部署（可用区）：DCS支持将主备实例的主备副本部署在不同的AZ内，节点间电力与网络均物理隔离。您可以将应用程序也进行跨AZ部署，从而达到数据与应用全部高可用。 Redis 3.0实例架构设计 DCS的Redis主备实例架构，如下图所示。 主备实例示意图 示意图说明： VPC 虚拟私有云。实例的内部所有服务器节点，都运行在相同VPC中。 说明 VPC内访问，客户端需要与主备实例处于相同VPC，并且配置安全组访问规则。 客户应用 运行在ECS上的客户应用程序，即Redis的客户端。 Redis实例兼容开源协议，可直接使用开源客户端进行连接，关于客户端连接示例，请参考连接实例。 DCS缓存实例 DCS主备实例包含了Master和Slave两个节点。默认开启数据持久化功能，同时保持节点间数据同步。 DCS实时探测实例可用性，当主节点故障后，备节点升级为主节点，恢复业务。 Redis 3.0的访问端口默认为6379，不支持定义端口。

本节介绍了容器镜像加签验签的用户指南。 概述 镜像签名功能保障镜像来源安全可靠，避免中间人攻击和非法镜像的更新与运行。CRS支持为命名空间的镜像自动加签，每次推送容器镜像后都会匹配加签规则自动加签，保障您的容器镜像内容可信。 镜像签名步骤 为命名空间下的镜像设置自动加签的步骤如下： 1. 登录容器镜像服务控制台。 2. 在顶部菜单栏，选择所需资源池。 3. 在实例页面中选择容器镜像仓库实例。 4. 在企业版实例管理页面的左侧菜单上选择"安全可信" "镜像签名"，点击左上角的创建镜像加签规则按钮。 5. 在弹出的对话框，填写镜像加签规则的，然后点击“确定”按钮，完成创建，界面各项参数说明如下表； 参数 是否必选 说明 命名空间 必选 选择需要自动加签的命名空间名称 使用默认私钥 非必选 加签时是否使用默认的私钥，勾选则表明使用默认私钥加签，若不勾选则表明使用自定义私钥，则需要往下录入自定义私钥的信息 私钥 非必选 如果上述"使用默认私钥"不勾选，则必须在此框填入自定义私钥的信息，可以将私钥直接贴入，或者从"文件导入"，私钥目前只支持长度位数是2048，格式为PKC8的RSA密钥 密码 非必选 如果创建RSA密钥对时有添加密码，则需要再此处填上，否则会影响加签执行 6. 创建完毕的规则会展示在镜像签名的列表中，可对签名规则进行编辑，如更换签名密钥等。 注意 1. 镜像加签不会影响镜像的常规使用，更不会影响镜像中原有的能力及业务功能。 2. 单个命名空间只能创建一个加签规则。 3. 如果是使用自定密钥，密钥对需要自行保存维护好，使用跟密钥对应的公钥方可验签成功。

本节介绍云智手机的计费说明。 订购渠道 云智手机支持通过云智手机APP、中国电信营业厅两个渠道订购。 1. 云智手机APP（推荐）： 用户范围：全网用户。 订购路径：云智手机APP > 购买云智手机。 支付方式：互联网支付（翼支付、微信支付、支付宝支付）、话费支付。 2. 中国电信营业厅： 用户范围：电信号卡用户。 订购路径：线下中国电信营业厅咨询办理 / 线上拨打10000号咨询办理。 支付方式：话费支付。 计费规则 云智手机支持包月计费，不同支付方式计费规则不同。 1. 互联网支付（推荐）：支持订购、续订、规格变更、退订。 计费周期：以非自然月为计费单位，到期需主动续订，如用户在2026年1月8日12:00:00购买并开通一台云智手机，购买时长为2个月，则该云智手机到期时间为2026年3月8日11:59:59。 续订规则：服务到期前用户可对其进行续订操作（已退订或已释放的资源不可续订），暂不支持自动续订。 规格变更：服务到期前用户可对其进行升降配操作，升降配费用订单剩余可用天数（原规格天价格目标规格天价格）。 退订规则：提交退订申请后，3个工作日内审核，审核结果将通过短信通知；退订成功后，资源将立即删除，订单剩余金额将实时退还至用户的天翼云账户中（代金券支付部分不予退还），退订费用订单总金额÷总天数剩余可用天数（不含退订当天）退订手续费。 2. 话费支付：支持订购、续订、退订，不支持规格变更。 计费周期：以自然月为计费单位，到期自动续订，如用户在2026年1月8日12:00:00购买并开通一台云智手机，则该云智手机到期时间为2026年1月31日23:59:59；订购当月费用按当月实际天数计扣，费用四舍五入到分（如标准版29元/月，用户在1月8日订购，则收取费用22.45元29元÷31天24天）。 续订规则：到期自动续订，与话费套餐保持一致。 退订规则：退订后权益次月失效，不退当月费用。

本文介绍数据授权功能，使用户可以快速熟悉数据授权页面的相关操作，以及如何进行数据授权。 前提条件 用户需要具有进入数据授权 页面的菜单权限。菜单权限请参考权限说明。 注意事项 数据授权功能仅限企业版。 超级管理员、管理员可以授权组织内所有实例 的数据权限，团队管理员可以授权团队内所有实例的数据权限。 每次授权仅限一种类型的资源粒度，资源粒度从大到小依次是实例、库/模式、表。 数据权限支持按资源粒度继承，即用户拥有大粒度资源的数据权限时，则默认拥有该大粒度资源下所有小粒度资源的数据权限。 多次授权同一用户、同一资源、同一权限后，最后一次授权的结果会覆盖之前授权的结果。 操作步骤 用户可以在安全协作>用户与角色 页面中点击某个用户信息的“数据授权”按钮进入数据授权页面，也可以在安全协作>团队管理>团队成员管理页面中点击某个团队成员信息的“数据授权”按钮进入数据授权页面。 数据授权的具体操作流程如下： 1. 选择资源的粒度。进入数据授权页面后，默认选择库/模式授权，可以点击其他标签，切换到其他资源粒度，每次授权仅限一种类型的资源粒度。 2. 选择授权的资源。在左侧”请选择“框内勾选想要授权的资源的复选框，然后点击中间的”>“按钮，即可将当前页选中的资源加入到右侧”已选择“框内。如果想要删除右侧“已选择”框内的资源，可以勾选想要删除的资源的复选框，然后点击中间的“<”按钮，即可将右侧“已选择”框内的资源删除。每次授权可以同时选择多个资源。 3. 选择权限的类型。根据用户需要，勾选对应权限类型的复选框。每次授权可以同时选择多种权限。 4. 选择权限的有效期。权限有效期默认为1个月，根据用户需要，可以选择3个月、半年或者1年，也可以点击时间栏，直接指定权限的到期时间。 5. 确定信息无误后，点击页面右下角的“确认授权”按钮即可完成授权。

管理脚本任务 云堡垒机支持快速运维功能，用户可通过脚本方式快速运维多个目标资源。通过将脚本在多个SSH协议主机资源上执行，并根据发起的脚本，返回相应执行结果。 本小节主要介绍如何管理脚本任务，包括创建脚本任务、执行脚本任务、中断脚本任务、查看任务执行结果等。 约束限制 仅专业版云堡垒机支持快速运维功能。 仅支持快速运维Linux主机（SSH协议类型）资源的任务。 暂不支持快速运维Windows主机资源、数据库资源和应用资源的任务。 前提条件 已获取“快速运维”模块管理权限。 已获取资源访问控制权限，即已配置访问控制策略或访问授权工单已审批通过。 资源主机网络连接正常。 操作步骤 1 登录云堡垒机系统。 2 选择“运维 > 快速运维 > 脚本控制台”，进入快速脚本运维页面。 3 配置快速脚本运维信息。 快速脚本运维参数说明 参数 说明 :: 执行脚本 输入针对主机资源需执行的脚本。 可选择“脚本管理”中脚本内容，也可新上传本地脚本文件。 脚本参数 （可选）自定义脚本参数。 执行帐户 “选择”已创建的SSH协议类型资源账户或帐户组。 “重置”已选择的资源账户或帐户组。 说明 每个资源的执行帐户最多一个。 更多选项 （可选）用户对资源账户执行任务权限不够时，需勾选上“提权执行”，用户需在该主机资源的Sudoers文件下执行任务。 4 立即执行脚本任务。 单击“立即执行”，即可针对目标资源，执行当前脚本任务。 5 中断脚本任务。 任务正在执行时，单击“中断执行”，可中断脚本任务。 “中断执行”会将当前执行帐户完成后才停止任务，再立即终止未执行的帐户。 6 查看执行结果。 脚本任务执行完成后，查看当前脚本任务执行结果。查看更多历史任务执行结果，请参见：管理快速任务执行日志。 在执行结果区域，在搜索框中输入关键字，根据资源名称、执行结果、执行帐户，快速查询任务执行结果。 单击“展开”，即可查看目标任务执行结果。 单击“导出”，即可下载当前脚本任务执行结果的CSV格式文件保存到本地。

download 图 Npcap not found 数据库安全审计支持双向审计吗？ 数据库安全审计支持双向审计。双向审计是对数据库的请求和响应都进行审计。 数据库安全审计默认使用双向审计。 数据库安全审计支持TLS连接的应用吗？ 不支持。TLS（Transport Layer Security）连接的应用是加密的，无法使用数据库安全审计功能。 数据库安全审计的审计数据可以保存多久？ 数据库安全审计支持将在线和归档的审计数据至少保存180天的功能。 您可以在数据库安全审计的“总览”界面，通过选择数据库和审计周期，查看对应时间段的审计数据。 数据库实例通过数据库 IP+ 数据库端口计量。 如果同一数据库IP具有多个数据库端口，数据库实例数为数据库端口数。1个数据库IP只有1个数据库端口，即为一个数据库实例；1个数据库IP具有N个数据库端口，即为N个数据库实例。 例如：用户有2个数据库资产分别为IP1和IP2 ，IP1有一个数据库端口，则为1个数据库实例；IP2有3个数据库端口，则为3个数据库实例。IP1和IP2合计为4个数据库实例，选择服务版本规格时需要大于或等于4个数据库实例，即选用专业版（最多支持审计6个数据库实例）。 不支持修改规格。若要修改，请退订后重购。 本表中在线SQL语句的条数，是按照每条SQL语句的容量为1KB来计算的。 数据库安全审计发生异常，多长时间用户可以收到告警通知？ 在数据库安全审计正常运行的情况下，从系统发生异常到收到告警通知最大时延不超过5分钟。 当您设置告警通知后，在数据库安全审计正常运行的情况下，当数据库安全审计实例资源（CPU、内存和磁盘）超过设置的告警阈值时，系统产生告警通知。用户约在5分钟内可以收到告警通知。

本节介绍网络的用户指南:LoadBalancer类型Service 云容器引擎支持将Service通过负载均衡ELB向外暴露， 云容器引擎集群内置CCM（Cloud Controller Manager）插件，当Service的类型为LoadBalancer时，CCM插件会为Service配置负载均衡，并根据Service信息配置好负载均衡的后端服务器组、健康检查和监听规则等，使得用户可以通过负载均衡访问该Service。以下是使用负载均衡的步骤指引。 使用已有负载均衡暴露服务 前提条件 用户已提前在负载均衡控制台创建ELB实例，ELB实例需要与Service所在的容器集群在同一个VPC网络下。 注意事项 不同Service可以同时复用同一个负载均衡实例，复用同一个负载均衡实例需要避免不同Service使用相同的服务端口，否则存在监听配置被覆盖的情况 不能复用由CCM自动创建的或集群ApiServer使用的负载均衡实例 当Service删除时，使用已有的负载均衡不会被删除 集群Master节点不作为负载均衡实例的后端 操作步骤 1. 登录 云容器引擎 控制台，点击进入想要操作的集群，在左侧菜单选择“网络” “服务”； 2. 如下图，点击“新建”按钮新建服务，按照参数说明配置相关的参数； 服务访问方式：选择负载均衡 负载均衡：可根据业务需要选择私网访问或公网访问，集群内或同一VPC内访问建议选择私网访问即可；选择“使用已有负载均衡”；负载均衡实例列表会根据选择的私网/公网访问方式显示出对应的实例，选择想要使用的负载均衡实例即可 标签：根据需要可以为服务配置标签 注解：根据需要可以为服务配置注解 外部流量策略：Cluster或Local。Cluster策略下，集群所有可用工作节点都会挂载到负载均衡实例；Local策略下，只有Service对应的Pod所在节点会挂载到负载均衡实例 端口映射：配置好协议、容器端口及服务端口，其中容器端口为应用本身暴露的端口，服务端口则会作为负载均衡实例的监听端口 工作负载绑定：选择服务要关联的工作负载，也可以配置自定义标签关联 3. 创建服务后，在服务列表可以看到该服务，通过服务的集群外访问地址即可以访问该服务。

业务场景 将 Redis 客户端部署到 CCSE 集群中，以通过 CCSE 连接到 Redis，并访问和操作 Redis 数据。 业务需求 1. 将 Redis 客户端容器化，以便更好地管理和部署。 2. 用 CCSE 提供的容器编排能力，实现高可用和负载均衡。 3. 确保 Redis 客户端能够安全地连接到 Redis，并正常地进行数据读写操作。 需求分析 1. 准备 Redis 客户端容器镜像，包含 Redis 客户端的依赖和配置。 2. 创建 CCSE 集群，配置网络和节点资源。 3. 部署 Redis 客户端容器到 CCSE 集群中。 4. 配置容器环境变量，指定连接 Redis 的相关信息。 5. 运行 Redis 客户端容器，并测试连接和数据操作功能。 实现方案 1. 准备 Redis 客户端容器镜像：创建一个 Dockerfile，并在其中指定 Redis 客户端的版本和依赖。例如： FROM redis:latest 配置客户端所需的其他依赖和配置 ... 2. 创建 CCSE 集群：在 CCSE 控制台创建一个集群，并配置网络和节点资源。根据实际需求选择合适的规格和数量。 3. 部署 Redis 客户端容器：使用 CCSE 控制台或命令行工具，在创建的 CCSE 集群中部署 Redis 客户端容器。指定前面准备的 Redis 客户端容器镜像。 4. 配置容器环境变量：在 Redis 客户端容器中配置连接 Redis 的环境变量，包括 Redis 服务器的地址、端口、密码等。例如，在容器启动时，设置以下环境变量 export REDISHOSTyourdcshost export REDISPORTyourdcsport export REDISPASSWORDyourdcspassword 5. 测试连接和数据操作：启动 Redis 客户端容器，并使用适当的客户端库和代码进行连接测试和数据操作。例如，使用 Java 语言的 Jedis 客户端库： import redis.clients.jedis.Jedis; public class RedisClientExample { public static void main(String[] args) { // 获取环境变量 String host System.getenv("REDISHOST"); int port Integer.parseInt(System.getenv("REDISPORT")); String password System.getenv("REDISPASSWORD"); // 创建 Jedis 客户端实例 Jedis jedis new Jedis(host, port); jedis.auth(password); // 进行数据操作 jedis.set("key", "value"); String value jedis.get("key"); System.out.println("Value: " + value); // 关闭连接 jedis.close(); } } 以上示例代码展示了如何使用 Java 的 Jedis 客户端库连接 Redis，并进行数据操作。您可以根据自己的需求和使用的编程语言选择适当的客户端库，并根据环境变量配置连接参数。 通过以上步骤，您可以将 Redis 客户端部署到 CCSE 集群容器中，并通过 CCSE 连接到Redis，实现对 Redis 数据的访问和操作。

事件ID 对应事件 35 更改时间源 36 时间同步失败 37 时间同步正常 41 表示系统在未先正常关机的情况下重新启动。当出现意外断电关机、系统崩溃时出现此事件ID。 134 当出现时间同步源DNS解析失败时会出现此事件ID。 512 Windows启动事件 513 Windows关机事件 515 受信任的登录过程已经在本地安全机构注册 516 审核失败事件 517 清除安全事件日志事件 518 安全帐户管理器已加载通知数据包 519 进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入 520 更改系统时间事件 521 无法记录事件 528 登录成功事件 529 登录失败事件用户名未知或密码错误 530 登录失败事件时间限制 531 登录失败事件帐户当前已禁用 532 登录失败事件指定用户帐户已过期 533 登录失败事件不允许用户由此计算机登录 534 登录失败事件不允许该登录类型 535 登录失败事件指定帐户的密码已过期 536 登录失败事件NetLogon组件未激活 537 登录失败由于其他原因登录尝试失败 538 用户注销事件 539 登录失败试图登录时该帐户已锁定 540 登录成功事件 553 检测到重放攻击事件 560 准许对现有对象的访问 560 拒绝对现有对象的访问事件 562 指向对象的句柄已关闭 563 试图打开一个对象并打算将其删除 564 受保护对象已删除 565 访问权限已授予现有的对象类型 566 发生了一般对象操作 567 与使用的句柄关联的权限 568 尝试创建已审核文件的硬链接事件 574 对象权限被修改 576 对新登录指派特殊特权 592 创建新进程事件 592 创建新流程事件 600 对进程指派了主令牌事件 601 用户尝试安装服务事件 602 创建计划的作业事件 608 指派了用户帐户特权 609 移除了用户帐户特权 610 创建删除或修改了与另一域的信任关系 611 创建删除或修改了与另一域的信任关系 612 更改审核策略事件 613 更改IPsec策略事件 614 更改IPsec策略事件 615 更改IPsec策略事件 620 创建删除或修改了与另一域的信任关系 621 对帐户授予了系统访问权 622 从系统移除了系统访问权 623 更改审核策略事件 624 创建用户帐户事件 625 按用户刷新审核策略 626 启用了用户帐户 627 更改密码尝试事件 628 用户帐户密码设置或重置事件 630 删除用户帐户事件 631 启用了安全性的全局组更改事件 632 启用了安全性的全局组更改事件 633 启用了安全性的全局组更改事件 634 启用了安全性的全局组更改事件 635 启用了安全性的全局组更改事件 636 启用了安全性的全局组更改事件 637 启用了安全性的全局组更改事件 638 启用了安全性的全局组更改事件 639 启用了安全性的组更改事件 641 启用了安全性的组更改事件 642 更改用户帐户事件 643 更改域安全策略事件 644 帐户锁定尝试事件 644 用户帐户自动锁定事件 645 帐号及安全组策略更改事件 659 启用了安全性的通用组更改事件 660 启用了安全性的通用组更改事件 661 启用了安全性的通用组更改事件 662 启用了安全性的通用组更改事件 666 帐号及安全组策略更改事件 668 启用了安全性的组更改事件 672 已成功颁发和验证身份验证服务(AS)票证 675 预验证失败事件 680 帐户登录事件 681 登录失败尝试进行域帐户登录事件 682 用户已重新连接至已断开的终端服务器会话 683 用户未注销就断开终端服务器会话 685 更改用户帐户名称事件 698 更改目录服务还原模式密码事件 1074 查看计算机的开机、关机、重启的时间以及原因和注释。 1100 事件记录服务已关闭 1101 审计事件已被运输中断。 1102 审核日志已清除 1102 日志清除 1104 安全日志现已满 1105 事件日志自动备份 1108 事件日志记录服务遇到错误 4199 当发生TCP/IP地址冲突的时候出现此事件ID，用来排查用户IP网络的问题。 4608 Windows正在启动 4608 Windows启动事件 4609 Windows正在关闭 4609 Windows关机事件 4610 本地安全机构已加载身份验证包 4611 已向本地安全机构注册了受信任的登录进程 4611 受信任的登录过程已经在本地安全机构注册 4612 为审计消息排队分配的内部资源已经用尽，导致一些审计丢失。 4612 审核失败事件 4613 清除安全事件日志事件 4614 安全帐户管理器已加载通知包。 4614 安全帐户管理器已加载通知数据包 4615 LPC端口使用无效 4615 进程正在使用无效的本地过程调用(LPC)端口试图伪装客户端并向客户端地址空间答复读取或写入 4616 系统时间已更改。 4616 更改系统时间事件 4617 无法记录事件 4618 已发生受监视的安全事件模式 4621 管理员从CrashOnAuditFail恢复了系统 4622 本地安全机构已加载安全包。 4624 帐户已成功登录 4624 登录成功事件 4625 帐户无法登录 4625 登录失败事件用户名未知或密码错误 4626 用户/设备声明信息 4626 登录失败事件时间限制 4627 集团会员信息。 4628 登录失败事件指定用户帐户已过期 4629 登录失败事件不允许用户由此计算机登录 4630 登录失败事件不允许该登录类型 4631 登录失败事件指定帐户的密码已过期 4632 登录失败事件NetLogon组件未激活 4633 登录失败由于其他原因登录尝试失败 4634 帐户已注销 4634 用户注销事件 4635 登录失败试图登录时该帐户已锁定 4636 登录成功事件 4646 IKE DoS防护模式已启动 4647 用户启动了注销 4648 使用显式凭据尝试登录 4649 检测到重播 4649 检测到重放攻击事件 4650 建立了IPsec主模式安全关联 4651 建立了IPsec主模式安全关联 4652 IPsec主模式协商失败 4653 IPsec主模式协商失败 4654 IPsec快速模式协商失败 4655 IPsec主模式安全关联已结束 4656 请求了对象的句柄 4656 准许对现有对象的访问 4656 拒绝对现有对象的访问事件 4657 注册表值已修改 4658 对象的句柄已关闭 4658 指向对象的句柄已关闭 4659 请求删除对象的句柄 4659 试图打开一个对象并打算将其删除 4660 对象已删除 4660 受保护对象已删除 4661 请求了对象的句柄 4661 访问权限已授予现有的对象类型 4662 对对象执行了操作 4662 发生了一般对象操作 4663 尝试访问对象 4663 与使用的句柄关联的权限 4664 试图创建一个硬链接 4664 尝试创建已审核文件的硬链接事件 4665 尝试创建应用程序客户端上下文。 4666 应用程序尝试了一个操作 4667 应用程序客户端上下文已删除 4668 应用程序已初始化 4670 对象的权限已更改 4670 对象权限被修改 4671 应用程序试图通过TBS访问被阻止的序号 4672 分配给新登录的特权 4672 对新登录指派特殊特权 4673 特权服务被召唤 4674 尝试对特权对象执行操作 4675 SID被过滤掉了 4688 已经创建了一个新流程 4688 创建新进程事件 4688 创建新流程事件 4689 一个过程已经退出 4690 尝试复制对象的句柄 4691 请求间接访问对象 4692 尝试备份数据保护主密钥 4693 尝试恢复数据保护主密钥 4694 试图保护可审计的受保护数据 4695 尝试不受保护的可审计受保护数据 4696 主要令牌已分配给进程 4696 对进程指派了主令牌事件 4697 系统中安装了一项服务 4697 用户尝试安装服务事件 4698 已创建计划任务 4698 创建计划的作业事件 4699 计划任务已删除 4700 已启用计划任务 4701 计划任务已禁用 4702 计划任务已更新 4703 令牌权已经调整 4704 已分配用户权限 4704 指派了用户帐户特权 4705 用户权限已被删除 4705 移除了用户帐户特权 4706 为域创建了新的信任 4706 创建删除或修改了与另一域的信任关系 4707 已删除对域的信任 4707 创建删除或修改了与另一域的信任关系 4708 更改审核策略事件 4709 IPsec服务已启动 4709 更改IPsec策略事件 4710 IPsec服务已禁用 4710 更改IPsec策略事件 4711 PAStore引擎（1％） 4711 更改IPsec策略事件 4712 IPsec服务遇到了潜在的严重故障 4713 Kerberos策略已更改 4714 加密数据恢复策略已更改 4715 对象的审核策略（SACL）已更改 4716 可信域信息已被修改 4716 创建删除或修改了与另一域的信任关系 4717 系统安全访问权限已授予帐户 4717 对帐户授予了系统访问权 4718 系统安全访问已从帐户中删除 4718 从系统移除了系统访问权 4719 系统审核策略已更改 4719 更改审核策略事件 4720 已创建用户帐户 4720 创建用户帐户事件 4721 按用户刷新审核策略 4722 用户帐户已启用 4722 启用了用户帐户 4723 尝试更改帐户的密码 4723 更改密码尝试事件 4724 尝试重置帐户密码 4724 用户帐户密码设置或重置事件 4725 用户帐户已被禁用 4725 帐户当前已禁用 4726 用户帐户已删除 4726 删除用户帐户事件 4727 已创建启用安全性的全局组 4727 启用了安全性的全局组更改事件 4728 已将成员添加到启用安全性的全局组中 4728 启用了安全性的全局组更改事件 4729 成员已从启用安全性的全局组中删除 4729 启用了安全性的全局组更改事件 4730 已删除启用安全性的全局组 4730 启用了安全性的全局组更改事件 4731 已创建启用安全性的本地组 4731 启用了安全性的全局组更改事件 4732 已将成员添加到启用安全性的本地组 4732 启用了安全性的全局组更改事件 4733 成员已从启用安全性的本地组中删除 4733 启用了安全性的全局组更改事件 4734 已删除已启用安全性的本地组 4734 启用了安全性的全局组更改事件 4735 已启用安全性的本地组已更改 4735 启用了安全性的组更改事件 4737 启用安全性的全局组已更改 4737 启用了安全性的组更改事件 4738 用户帐户已更改 4738 更改用户帐户事件 4739 域策略已更改 4739 更改域安全策略事件 4740 用户帐户已被锁定 4740 帐户锁定尝试事件 4740 用户帐户自动锁定事件 4741 已创建计算机帐户 4741 帐号及安全组策略更改事件 4742 计算机帐户已更改 4743 计算机帐户已删除 4744 已创建禁用安全性的本地组 4745 已禁用安全性的本地组已更改 4746 已将成员添加到已禁用安全性的本地组 4747 已从安全性已禁用的本地组中删除成员 4748 已删除安全性已禁用的本地组 4749 已创建一个禁用安全性的全局组 4750 已禁用安全性的全局组已更改 4751 已将成员添加到已禁用安全性的全局组中 4752 成员已从禁用安全性的全局组中删除 4753 已删除安全性已禁用的全局组 4754 已创建启用安全性的通用组 4755 启用安全性的通用组已更改 4755 启用了安全性的通用组更改事件 4756 已将成员添加到启用安全性的通用组中 4756 启用了安全性的通用组更改事件 4757 成员已从启用安全性的通用组中删除 4757 启用了安全性的通用组更改事件 4758 已删除启用安全性的通用组 4758 启用了安全性的通用组更改事件 4759 创建了一个安全禁用的通用组 4760 安全性已禁用的通用组已更改 4761 已将成员添加到已禁用安全性的通用组中 4762 成员已从禁用安全性的通用组中删除 4762 帐号及安全组策略更改事件 4763 已删除安全性已禁用的通用组 4764 组类型已更改 4764 启用了安全性的组更改事件 4765 SID历史记录已添加到帐户中 4766 尝试将SID历史记录添加到帐户失败 4767 用户帐户已解锁 4768 请求了Kerberos身份验证票证（TGT） 4768 已成功颁发和验证身份验证服务(AS)票证 4769 请求了Kerberos服务票证 4770 更新了Kerberos服务票证 4771 Kerberos预身份验证失败 4771 预验证失败事件 4772 Kerberos身份验证票证请求失败 4773 Kerberos服务票证请求失败 4774 已映射帐户以进行登录 4775 无法映射帐户以进行登录 4776 域控制器尝试验证帐户的凭据 4776 帐户登录事件 4777 域控制器无法验证帐户的凭据 4777 登录失败尝试进行域帐户登录事件 4778 会话重新连接到Window Station 4778 用户已重新连接至已断开的终端服务器会话 4779 会话已与Window Station断开连接 4779 用户未注销就断开终端服务器会话 4780 ACL是在作为管理员组成员的帐户上设置的 4781 帐户名称已更改 4781 更改用户帐户名称事件 4782 密码哈希帐户被访问 4783 创建了一个基本应用程序组 4784 基本应用程序组已更改 4785 成员已添加到基本应用程序组 4786 成员已从基本应用程序组中删除 4787 非成员已添加到基本应用程序组 4788 从基本应用程序组中删除了非成员。 4789 基本应用程序组已删除 4790 已创建LDAP查询组 4791 基本应用程序组已更改 4792 LDAP查询组已删除 4793 密码策略检查API已被调用 4794 尝试设置目录服务还原模式管理员密码 4794 更改目录服务还原模式密码事件 4797 试图查询帐户是否存在空白密码 4798 枚举了用户的本地组成员身份。 4799 已枚举启用安全性的本地组成员身份 4800 工作站已锁定 4801 工作站已解锁 4802 屏幕保护程序被调用 4803 屏幕保护程序被解雇了 4816 RPC在解密传入消息时检测到完整性违规 4817 对象的审核设置已更改。 4818 建议的中央访问策略不授予与当前中央访问策略相同的访问权限 4819 计算机上的中央访问策略已更改 4820 Kerberos票证授予票证（TGT）被拒绝，因为该设备不符合访问控制限制 4821 Kerberos服务票证被拒绝，因为用户，设备或两者都不符合访问控制限制 4822 NTLM身份验证失败，因为该帐户是受保护用户组的成员 4823 NTLM身份验证失败，因为需要访问控制限制 4824 使用DES或RC4进行Kerberos预身份验证失败，因为该帐户是受保护用户组的成员 4825 用户被拒绝访问远程桌面。默认情况下，仅当用户是Remote Desktop Users组或Administrators组的成员时才允许用户进行连接 4826 加载引导配置数据 4830 SID历史记录已从帐户中删除 4864 检测到名称空间冲突 4865 添加了受信任的林信息条目 4866 已删除受信任的林信息条目 4867 已修改受信任的林信息条目 4868 证书管理器拒绝了挂起的证书请求 4869 证书服务收到重新提交的证书请求 4870 证书服务撤销了证书 4871 证书服务收到发布证书吊销列表（CRL）的请求 4872 证书服务发布证书吊销列表（CRL） 4873 证书申请延期已更改 4874 一个或多个证书请求属性已更改。 4875 证书服务收到关闭请求 4876 证书服务备份已启动 4877 证书服务备份已完成 4878 证书服务还原已开始 4879 证书服务恢复已完成 4880 证书服务已启动 4881 证书服务已停止 4882 证书服务的安全权限已更改 4883 证书服务检索到存档密钥 4884 证书服务将证书导入其数据库 4885 证书服务的审核筛选器已更改 4886 证书服务收到证书请求 4887 证书服务批准了证书请求并颁发了证书 4888 证书服务拒绝了证书请求 4889 证书服务将证书请求的状态设置为挂起 4890 证书服务的证书管理器设置已更改。 4891 证书服务中的配置条目已更改 4892 证书服务的属性已更改 4893 证书服务存档密钥 4894 证书服务导入并存档了一个密钥 4895 证书服务将CA证书发布到Active Directory域服务 4896 已从证书数据库中删除一行或多行 4897 启用角色分离 4898 证书服务加载了一个模板 4899 证书服务模板已更新 4900 证书服务模板安全性已更新 4902 已创建每用户审核策略表 4904 尝试注册安全事件源 4905 尝试取消注册安全事件源 4906 CrashOnAuditFail值已更改 4907 对象的审核设置已更改 4908 特殊组登录表已修改 4909 TBS的本地策略设置已更改 4910 TBS的组策略设置已更改 4911 对象的资源属性已更改 4912 每用户审核策略已更改 4913 对象的中央访问策略已更改 4928 建立了Active Directory副本源命名上下文 4929 已删除Active Directory副本源命名上下文 4930 已修改Active Directory副本源命名上下文 4931 已修改Active Directory副本目标命名上下文 4932 已开始同步Active Directory命名上下文的副本 4933 Active Directory命名上下文的副本的同步已结束 4934 已复制Active Directory对象的属性 4935 复制失败开始 4936 复制失败结束 4937 从副本中删除了一个延迟对象 4944 Windows防火墙启动时，以下策略处于活动状态 4945 Windows防火墙启动时列出了规则 4946 已对Windows防火墙例外列表进行了更改。增加了一条规则 4947 已对Windows防火墙例外列表进行了更改。规则被修改了 4948 已对Windows防火墙例外列表进行了更改。规则已删除 4949 Windows防火墙设置已恢复为默认值 4950 Windows防火墙设置已更改 4951 规则已被忽略，因为Windows防火墙无法识别其主要版本号 4952 已忽略规则的某些部分，因为Windows防火墙无法识别其次要版本号 4953 Windows防火墙已忽略规则，因为它无法解析规则 4954 Windows防火墙组策略设置已更改。已应用新设置 4956 Windows防火墙已更改活动配置文件 4957 Windows防火墙未应用以下规则 4958 Windows防火墙未应用以下规则，因为该规则引用了此计算机上未配置的项目 4960 IPsec丢弃了未通过完整性检查的入站数据包 4961 IPsec丢弃了重放检查失败的入站数据包 4962 IPsec丢弃了重放检查失败的入站数据包 4963 IPsec丢弃了应该受到保护的入站明文数据包 4964 特殊组已分配给新登录 4965 IPsec从远程计算机收到一个包含不正确的安全参数索引（SPI）的数据包。 4976 在主模式协商期间，IPsec收到无效的协商数据包。 4977 在快速模式协商期间，IPsec收到无效的协商数据包。 4978 在扩展模式协商期间，IPsec收到无效的协商数据包。 4979 建立了IPsec主模式和扩展模式安全关联。 4980 建立了IPsec主模式和扩展模式安全关联 4981 建立了IPsec主模式和扩展模式安全关联 4982 建立了IPsec主模式和扩展模式安全关联 4983 IPsec扩展模式协商失败 4984 IPsec扩展模式协商失败 4985 交易状态已发生变化 5024 Windows防火墙服务已成功启动 5025 Windows防火墙服务已停止 5027 Windows防火墙服务无法从本地存储中检索安全策略 5028 Windows防火墙服务无法解析新的安全策略。 5029 Windows防火墙服务无法初始化驱动程序 5030 Windows防火墙服务无法启动 5031 Windows防火墙服务阻止应用程序接受网络上的传入连接。 5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows防火墙驱动程序无法启动 5037 Windows防火墙驱动程序检测到严重的运行时错 终止 5038 代码完整性确定文件的图像哈希无效 5039 注册表项已虚拟化。 5040 已对IPsec设置进行了更改。添加了身份验证集。 5041 已对IPsec设置进行了更改。身份验证集已修改 5042 已对IPsec设置进行了更改。身份验证集已删除 5043 已对IPsec设置进行了更改。添加了连接安全规则 5044 已对IPsec设置进行了更改。连接安全规则已修改 5045 已对IPsec设置进行了更改。连接安全规则已删除 5046 已对IPsec设置进行了更改。添加了加密集 5047 已对IPsec设置进行了更改。加密集已被修改 5048 已对IPsec设置进行了更改。加密集已删除 5049 IPsec安全关联已删除 5050 尝试使用对INetFwProfile.FirewallEnabled的调用以编程方式禁用Windows防火墙（FALSE 5051 文件已虚拟化 5056 进行了密码自检 5057 加密原语操作失败 5058 密钥文件操作 5059 密钥迁移操作 5060 验证操作失败 5061 加密操作 5062 进行了内核模式加密自检 5063 尝试了加密提供程序操作 5064 尝试了加密上下文操作 5065 尝试了加密上下文修改 5066 尝试了加密功能操作 5067 尝试了加密功能修改 5068 尝试了加密函数提供程序操作 5069 尝试了加密函数属性操作 5070 尝试了加密函数属性操作 5071 Microsoft密钥分发服务拒绝密钥访问 5120 OCSP响应程序服务已启动 5121 OCSP响应程序服务已停止 5122 OCSP响应程序服务中的配置条目已更改 5123 OCSP响应程序服务中的配置条目已更改 5124 在OCSP Responder Service上更新了安全设置 5125 请求已提交给OCSP Responder Service 5126 签名证书由OCSP Responder Service自动更新 5127 OCSP吊销提供商成功更新了吊销信息 5136 目录服务对象已修改 5137 已创建目录服务对象 5138 目录服务对象已取消删除 5139 已移动目录服务对象 5140 访问了网络共享对象 5141 目录服务对象已删除 5142 添加了网络共享对象。 5143 网络共享对象已被修改

本文帮助您快速熟悉负载均衡服务HTTP监听器的添加。 添加HTTP监听器 操作场景 HTTP协议适用于需要对数据内容进行识别的应用，如Web应用、门户网站等。 前提条件 您已经创建了弹性负载均衡实例。具体操作详见创建弹性负载均衡器。 操作步骤 步骤一：创建监听器 1. 登录弹性负载均衡弹性负载均衡控制台； 2. 在顶部右侧选择弹性负载均衡所属区域，本文选择华东华东1； 3. 选择以下一种方法打开监听器配置向导。 在负载均衡器列表页面页面，找到目标实例，在操作列单击“监听器配置向导”。 在ip类型/监听器端口/健康检查/服务器组列下方单击“开始配置”。 在负载均衡器列表页面，找到目标实例，单击“实例名称”进入实例详情页，单击添加“监听器”。 4. 在协议&监听配置向导依据HTTP监听器配置说明完成以下配置，然后点击下一步。 HTTP监听器配置说明 监听配置 说明 名称 设置监听器的名称，名称应为232位，英文开头，支持大小写英文和数字。 负载均衡器协议/端口 下拉列表选择HTTP协议，输入监听端口，取值范围1~65535。 描述 可选，填写监听器描述。 高级配置 监听器的特定参数配置：重定向 重定向 仅集群模式资源池支持开启重定向，将把此HTTP监听器的访问请求重定向至选定的HTTPS监听器。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。此功能方便业务从HTTP迁移至HTTPS的场景，可将习惯性访问HTTP的客户端平滑迁移到HTTPS。前置条件：需要预先配置好HTTPS监听器。开启重定向后，下方出现重定向至选项，从下拉列表框选择目标HTTPS监听器。注意：只能重定向至HTTPS监听器，并且每个监听器只能重定向一次。开启重定向功能后，如需获取源IP能力，请在重定向后监听器开启。 NAT64 支持将v6地址的请求转发到v4后端主机。集群模式支持，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 请求超时时间 输入范围1~300s, 缺省60s。集群模式资源池支持设置HTTP请求超时时间，在请求超时时间内接收请求的后端主机无响应，负载均衡会向所有其它后端主机重试请求。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。如果重试所有后端主机一直没有响应，则负载均衡会给客户端返回HTTP 504错误码。 空闲超时时间 输入范围1~300s, 缺省15s。集群模式资源池支持设置HTTP连接的空闲超时时间。在空闲超时时间后仍没有访问请求，负载均衡会中断当前连接。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 附加HTTP头字段 通过XForwardedFor获取客户端IP：开启获取客户端IP，将通过XForwardedFor头字段携带客户端源真实IP。 通过XForwardedProto获取监听协议：集群模式资源池支持XForwardedProto来获取客户端与负载均衡监听连接时所用的协议（HTTP/HTTPS）。 通过XForwardedPort获取监听端口：支持XForwardedPort获取客户端与负载均衡监听连接时所用的端口。 主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 QPS限速 开启每秒查询次数QPS限速，可设置此监听服务的QPS上限，减轻高访问量服务切换过程中后端服务器压力。输入范围1~200000，单位qps(query per second)，缺省 10000。集群模式资源池支持设置QPS，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 访问控制 选择是否开启访问控制。开启访问控制后，选择一种访问控制方式：黑名单、白名单。并设置访问策略组作为该监听器的白名单或黑名单。白名单：允许特定IP访问负载均衡，仅转发来自所选访问策略组中设置的IP地址或地址段的请求，白名单适用于只允许特定IP访问的场景。黑名单：禁止特定IP访问负载均衡，不转发来自所选访问策略组中的IP或地址段，黑名单适用于只限制特定IP访问的场景。

参数说明 注意 zosfs挂载时需要确保最后两个参数为 {bucketname} {mountpoint} 。例如您要开启debug的话，示例如下： zosfs profile {akskgroupname} logfile {logfilepath} endpoint {endpoint} debug {bucketname} {mountpoint} S3参数 endpoint 默认值：无 用途：s3的endpoint，可能值为 storageclass 默认值：STANDARD 用途：存储类型 合法值：STANDARD，STANDARDIA profile 默认值：无 用途：使用$HOME/.aws/credentials中的命名配置文件，而不是“default” 合法值：$HOME/.aws/credentials配置文件中写明的aksk组名 sharedconfig 默认值：无 用途：使用不同的共享配置文件，而不是$HOME/.aws/credentials和$HOME/.aws/config usecontenttype 默认值：false 用途：根据文件扩展名和/etc/mime.types设置内容类型，默认关闭 nochecksum 默认值：false 用途：禁用内容的MD5和SHA256校验和 acl 默认值："" 用途：要应用于对象的ACL。 合法值："private"，"publicread"，"publicreadwrite"，"authenticatedread"，"" subdomain 默认值：false 用途：启用S3的子域模式 skipcertverify 默认值：false 用途：控制客户端是否验证服务器的证书链和主机名 Tuning常用参数 memorylimit 默认值：1000 用途：用于数据缓存的最大内存（MB） 合法值：大于等于128的整数 entrylimit 默认值：100000 用途：内存中缓存的最大元数据条目数（1个条目使用约1KB的内存） 合法值：大于等于10000的整数 gcinterval 默认值：250 用途：在此数量的数据buffer被分配后强制执行垃圾回收 合法值：非负整数 singlepart 默认值：5 用途：单文件上传的最大大小（MB），如果超过该值则分段上传，不能少于5MB 合法值：5~5120的整数 partsizes 默认值："5:1000,25:1000,125" 用途：分片的大小（MB），s3的总分片数为10000，默认为1000个5MB，1000个25MB，剩余为125MB disablexattr 默认值：false 用途：禁用扩展属性 statcachettl 默认值：time.Minute 用途：缓存文件元数据的时间

您可以根据实际情况,管理GiServer的参数(属性)设置,也可以重置已修改的参数值。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 单击参数管理 ，然后单击全局索引组件GiServer参数页签，进入GiServer参数管理页面。 5. 在参数列表上方，选中目标分组或输入目标属性名称，单击查询。 6. 找到目标属性值，根据实际情况修改属性值。 说明 您也可以单击目标属性值操作 列的重置，即可重置属性值。 属性编码 属性名称 允许值 默认值 支持在线加载 rebuildOptimizeSwitch 是否开启重建索引流程优化开关 true/false false 是 skipBinlogRecover 是否绕过Binlog指定（GITD）位置恢复，如果为true，表示需要从头开复制 true/false false 否 recoverDataDir 索引数据恢复文件夹路径 ./recoverData 否 recoverBatch 索引数据恢复批次处理的大小，单位：个 12147483647 100 否 recoverInterval 索引数据恢复定时恢复的时间间隔（毫秒） 17200000 10000 否 fetchBatchSize 客户端提交重建索引请求时，指定重建索引一次批量处理的行数 12147483647 2000 否 serverPrintInterval GiServer服务器性能状态打印的时间间隔（毫秒） 17200000 5000 否 binlogDelay 更新Binlog位置记录到存储的延迟时间（毫秒） 17200000 300000 否 binlogCacheThread binlog索引写缓存的最大线程数 12147483647 128 否 binlogCacheQueueSize 单个binlog索引线程的缓存队列长度，单位：个 12147483647 128 否 rebuildCacheThread 重建索引写缓存的最大线程数 12147483647 128 否 parallelRebuildTasks 最大同时重建子任务数 12147483647 20 否 netWriteTimeout MySQL主机写binlog超时时间（毫秒） 17200000 60000 否 accessDb 数据库集群主从选择 master/slave master 否

2.2.2 Cookie同类技术使用 本App未使用Cookie等同类技术 (包括脚本、Clickstream、Web、信标、Flash Cookie、内嵌 Web 链接等) 收集个人信息。 2.2.3 VPN服务 在使用本APP的过程中，如果需要VPN服务进行内网连接，我们会申请VPN权限，保证产品功能正常. 2.3扩展业务服务 随着本App功能进一步丰富，后续新增功能如涉及获取用户授权权限时，我们将明确提示并在您授权同意后才会获取该功能所需权限。如未取得您的授权，我们将不会收集和使用相关信息。 三、我们如何保存您的信息 3.1 本App收集的有关您的信息将保存在天翼云VPN连接服务在中华人民共和国境内（为本隐私政策之目的，不含香港特别行政区、澳门特别行政区、台湾地区）的服务器上。 3.2 我们只会在为实现服务目的所必需的时间内或法律法规规定的条件下，通过安全的方式存储您的个人信息。我们将按照《中华人民共和国网络安全法》的要求，就您使用本App留存相关的网络日志不少于六个月。在您的信息已经不再需要用于实现本隐私政策规定的目的和用途，也无需根据法律法规的规定保存时，我们将采取合理步骤以安全的方式销毁个人信息或进行匿名化处理使其不可识别并不可被再次编辑、修改、使用。 3.3 个人信息超期处理：我们将按照法律法规要求，在实现处理目的所必需的最短期限内留存您的个人信息。保存期限届满、处理目的已实现或不再必要时，我们将对相关信息进行删除或匿名化处理；法律行政法规另有规定需留存的，将停止除存储与安全保护外的其他处理。 3.4 账号注销：您可通过天翼云官网或客服渠道申请注销账号，注销后将删除您的账号关联个人信息或作匿名化处理，法律法规要求留存的除外。注销前请您妥善处理账户资产与数据备份。

在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，限制不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Admin：弹性伸缩服务的管理者权限，包含弹性伸缩所有控制权限（不含订单类权限）。 Viewer:弹性伸缩服务的观察者权限，包含弹性伸缩服务的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

内网DNS支持更改主机DNS的操作,本文为您介绍如何更改主机DNS并使内网DNS配置生效。 为实现内网域名在 VPC 上的正常解析，用户需要将云主机内的 DNS 改成内网 DNS 服务地址。 查看内网DNS地址 1. 在内网 DNS 的列表中，可以看到如下红框内的提示。 2. 点击“查看列表”，可以看到内网DNS地址。 修改Linux云主机内DNS地址 1. 登录Linux弹性云主机。 2. 执行以下命令，打开resolv.conf文件。 vi /etc/resolv.conf 3. 按“i”键进入编辑模式。 4. 将“nameserver”修改为当前云主机所在VPC的内网DNS IP地址，按“ESC”后输入“：wq”保存配置。 修改Windows云主机内DNS地址 以Windows server 2016操作系统为例，以用户名Administrator，登录Windows弹性云主机。 1. 在任务栏的右下角，右击网络连接的图标，单击“打开网络和共享中心”。 2. 在左侧导航栏，单击“更改适配器设置”。 3. 双击“本地连接”。 4. 单击左下角的“属性”。 5. 选择“Internet 协议版本（TCP/IP）”，并单击“属性”。 6. 选择“使用下面的DNS服务器地址”，并根据界面提示填写当前云主机所在VPC的内网DNS IP地址。

本页为其他云PostgreSQL迁移到RDS for PostgreSQL的最佳实践网络和准备工作概述。 网络通信方式 其他云的数据库接入天翼云，需要通过公网网络进行网络打通，包括数据库实例具备公网IP，天翼云DTS实例具备公网IP。 准备工作 1. 订购公网IP 如果在天翼云已有可用的公网IP，则可以直接使用，否则需要先购买一个公网IP用于实现DTS实例的公网访问。 2. 申请公网IP并绑定到数据库实例 不同云厂商的数据库实例对应方法不同，具体操作步骤可参考具体云官网资料进行设置。 3. VPC网络安全策略放通 需要在其他云数据库实例所在的VPC放通DTS数据迁移实例中配置的公网IP的访问权限，一般包括网络ACL和实例安全组，具体可参考各厂商云数据库官方文档进行操作。 4. 数据库添加白名单 数据库需要添加DTS数据迁移实例中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。 源库处理 登录其他云PostgreSQL所属的服务器。 修改配置文件postgresql.conf，将配置文件中的wallevel设置为logical。 将DTS的IP地址加入至其他云PostgreSQL的配置文件pghba.conf中。如果您已将信任地址配置为0.0.0.0/0（如下图所示），可跳过本步骤。 如果任务包含增量同步，需安装PostgreSQL的逻辑解码器输出插件Decoderbufs，建议安装v2.1.1.Final以上版本，低版本可能会导致PostgreSQL数据库出现coredump，详细的安装步骤可参考PostgreSQL官网文档。

本文主要介绍远程连接Linux云主机报错:Permission denied如何处理。 问题现象 远程连接Linux云主机报错：Permission denied 图 Permission denied 说明 修改此问题需要重启进入救援模式，请评估风险后进行操作。 本节操作涉及云主机重启操作，可能会导致业务中断，请谨慎操作。 根因分析 /etc/security/limits.conf中的nofile 用来设置系统允许打开的最大文件数目，如果nofile值大于PermissionDenied.png内核设置的fs.nropen参数值（默认为1048576），会导致登录校验错误，导致登录云主机时提示“Permission denied”。 处理方法 1.进入云主机的单用户模式。 以CentOS 7操作系统为例： a.重启云主机，单击“远程登录”。 b.按上方向键，阻止系统自动继续，在出现内核选项时按字母键e进入内核编辑模式。 图 进入内核编辑模式 说明 Euler镜像默认对grub文件进行了加密，进入编辑内核模式时会提示：Enter username，需要输入用户和密码，请联系客服获取。 c.找到linux16行末尾，删除不需要加载的参数到ro参数。 d.修改ro为rw，以读写方式挂载根分区。 e.并添加rd.break，然后执行Ctrl+X。 图 修改前 图 修改后 f.执行以下命令切换至/sysroot目录。 chroot /sysroot 2.执行以下命令，查询内核的fs.nropen值。 sysctl fs.nropen 3.编辑 /etc/security/limits.conf，修改配置的nofile值为合理的值，需小于2中查询的fs.nropen值，例如65535。 vi /etc/security/limits.conf 说明 limits.conf 文件实际是Linux PAM（插入式认证模块，Pluggable Authentication Modules）中pamlimits.so 的配置文件。更多详细配置信息请查看man手册，执行：man limits.conf 4.重启服务器，重试连接云主机。

允许外部访问子网内实例的指定端口 本示例中，在子网内的实例上搭建了可供外部访问的网站，实例作为Web服务器，需要放通入方向的HTTP(80)和HTTPS(443)端口。当子网关联了网络ACL时，需要同时在网络ACL和安全组添加对应的规则。 在网络ACL中，添加如下表所示的规则： 添加定义规则01，允许任意IP地址通过HTTP协议，访问子网内实例的80端口。 添加定义规则02，允许任意IP地址通过HTTPS协议，访问子网内实例的443端口。 其中目的地址10.8.0.0/24为需要防护的子网网段。 方向 生效顺序 类型 策略 协议 源地址 源端口范围 目的地址 目的端口范围 规则说明 入方向 1 IPv4 允许 TCP 0.0.0.0/0 全部 10.8.0.0/24 80 自定义规则01 入方向 2 IPv4 允许 TCP 0.0.0.0/0 全部 10.8.0.0/24 443 自定义规则02 入方向 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 默认规则 出方向 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 默认规则 在安全组中，添加如下表所示的规则： 入方向规则01：允许任意IP地址通过HTTP协议，访问实例的80端口。 入方向规则02：允许任意IP地址通过HTTPS协议，访问实例的443端口。 出方向规则03：允许任何流量从安全组内实例流出。 安全组的出方向规则设置比较宽松，本示例中出方向通过网络ACL默认规则防护，仅允许入站流量的响应流量出站，会拦截其他流量出站。 方向 优先级 策略 类型 协议端口 源地址/目的地址 规则说明 入方向 1 允许 IPv4 自定义TCP: 80 IP地址：0.0.0.0/0 规则01 入方向 1 允许 IPv4 自定义TCP:443 IP地址：0.0.0.0/0 规则02 出方向 1 允许 IPv4 全部 IP地址：0.0.0.0/0 规则03

VPC终端节点(VPC Endpoint)使您能够将 VPC 私密地连接到终端节点服务(天翼云服务、 用户私有服务) VPC终端节点（VPC Endpoint）使您能够将 VPC 私密地连接到终端节点服务（天翼云服务、 用户私有服务），该连接使用天翼云内部网络进行连接，不再绕行公网，为您提供性能更加强大、更加灵活的网络。 VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。 终端节点服务 终端节点服务（VPC Endpoint Service）指将云服务或用户私有服务配置为VPC终端节点支持的服务。分为“网关”和“接口”两种类型。 网关型：由系统配置的受VPC终端节点支持的云服务，用户可直接使用。 接口型：包括系统配置的云服务和用户自己创建的私有服务。 说明 云服务：指云平台上的一些服务被配置为终端节点服务，默认由系统直接配置。用户没有权限配置云服务，您在创建终端节点时可以根据区域直接选择系统中相应的云服务。 用户私有服务：指用户将自己VPC中的服务资源配置为终端节点服务，这些服务资源为增强型负载均衡或者云服务器。 终端节点服务通过专属网关，可以将 VPC 中的服务方便的提供给其它 VPC 中的资源使用，实现跨 VPC 的访问，而不必暴露服务端相关的网络信息，使您的访问更加安全、可靠。 终端节点 终端节点（VPC Endpoint）在VPC和终端节点服务之间提供连接通道。您可以在VPC中创建自己的应用程序并将其配置为终端节点服务，同一区域下的其他VPC可以通过创建在自己VPC内的终端节点访问终端节点服务。包括“接口终端节点”和“网关终端节点”两种类型。 接口终端节点：是指具备私有IP地址的弹性网络接口，作为接口型终端节点服务的通信入口。 网关终端节点：是一个网关，在其上配置路由，用于将流量指向网关型终端节点服务。

本节为您介绍天翼云区域和可用区的概念及关系。 区域 区域（region）是指物理的数据中心的地理区域。区域从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。 天翼云不同区域之间完全隔离，保证不同区域间最大程度的稳定性和容错性。为了降低访问时延、提高下载速度，建议您选择最靠近业务需求的区域。 相关特性 不同区域之间的网络完全隔离，不同区域的云产品默认不能通过内网通信。 如果不同区域之间的云产品之间有通信需求，可以通过公网 IP、VPN等方式进行通信。 如何选择区域 在天翼云中，资源创建或购买成功后不能更换区域，因此选择区域时，您需要慎重考虑以下几个因素： 1. 地理位置：用户和资源部署区域的距离越近，网络时延越低，访问速度越快。建议您基于业务场景对时延的要求选择区域。 中国内地：一般情况下建议选择和您目标用户所在区域最为接近的数据中心，可以进一步提升用户访问速度。如果使用天翼云承载您的全部业务，电信网络可以保证中国内地区域间的快速访问。 其他国家及地区：其他国家及地区提供的带宽主要面向非中国内地的用户。如果您在中国内地，使用这些区域会有较长的访问延迟，不建议您使用。 2. 资源价格及资源覆盖：不同区域的资源规格可能有差异，不同区域的产品覆盖可能有差异，请根据您的需求及预算选择合适的区域。 3. 产品之间的关系：如果多个天翼云产品一起搭配使用，需要注意：不同区域的云主机、对象存储、负载均衡等服务，内网不互通。 4. 经营性备案：如果您使用物理机作为Web服务器，您需要完成经营性备案，同时需要在指定的区域购买实例。（各省（或市）通信管理局对经营性备案的审批要求不同，请以当地管理局经营性备案网站公示内容为准。）