本章主要介绍翼MapReduce的使用普通模式集群用户在非集群节点登录。 操作场景 集群安装为普通模式时，各组件客户端不支持安全认证且无法使用kinit命令，所以集群外的节点默认无法使用集群中的用户，可能导致在这些节点访问某个组件服务端时用户鉴权失败。 如果需要在集群外节点以组件用户身份访问集群资源，管理员需为集群外节点设置同名用户可通过SSH协议登录节点的功能，并以登录操作系统用户身份连接集群各组件服务端。 前提条件 集群外的节点需要与集群的业务平面是连通的。 集群的KrbServer服务运行状态正常。 获取集群外的节点root用户密码。 集群已规划并添加“人机”用户，并获取认证凭据文件。请参见创建用户和导出认证凭据文件。 操作步骤 1.以root用户登录到需要添加用户的节点。 2.执行以下命令： rpm qa grep pam和rpm qa grep krb5client 界面一共显示以下rpm包： pamkrb532bit2.3.147.12.1 pammodules32bit111.22.1 yast2pam2.17.30.5.211 pam32bit1.1.50.10.17 pammount32bit0.4713.16.1 pamconfig0.792.5.58 pamkrb52.3.147.12.1 pamdoc1.1.50.10.17 pammodules111.22.1 pammount0.4713.16.1 pamldap184147.20 pam1.1.50.10.17 krb5client1.6.3 3.检查操作系统实际是否已安装清单中的rpm包？ 是，执行5。 否，执行4。 4.从操作系统镜像中获取缺少的rpm包，并上传文件到当前目录，然后执行以下命令安装rpm包： rpm ivh .rpm 说明 安装的RPM包可能带来安全风险，请用户对操作系统进行加固时考虑安装这些RPM包所带来的风险。 安装完成后执行5。 5.执行以下命令，配置pam使用Kerberos认证。 pamconfig add krb5 说明 如果需要在非集群节点取消Kerberos认证与系统用户登录，以“root”用户执行pamconfig delete krb5命令。 6.解压认证凭据文件得到“krb5.conf”，并使用WinSCP将此配置文件上传到集群外节点的“/etc”目录，执行以下命令设置权限使其他用户可以访问，例如“604”： chmod 604 /etc/krb5.conf 7.以root用户继续在连接会话中执行以下命令为“人机”用户添加对应的操作系统用户，并指定用户主组为“root”。 此操作系统用户密码与在Manager创建“人机”用户时设置的初始密码相同。 useradd 用户名 m d /home/admintest g root s /bin/bash 例如，“人机”用户名为“admintest”，执行以下命令： useradd admintest m d /home/admintest g root s /bin/bash 说明 第一次使用新添加的操作系统用户通过SSH协议登录节点时，首次输入用户密码系统提示密码过期，第二次输入用户密码后系统提示修改密码。请输入一个同时满足节点操作系统及集群密码复杂度的新密码。

本章主要介绍翼MapReduce的更换HA证书功能。 操作场景 HA证书用于主备进程与高可用进程的通信过程中加密数据，实现安全通信。该任务指导系统管理员FusionInsight Manager完成主备管理节点的HA证书替换工作，以确保产品安全使用。适用于以下场景： 首次安装好集群以后，需要更换企业证书。 企业证书有效时间已过期或安全性加强，需要更换为新的证书。 说明 不适用于未安装主备管理节点的场景。 证书文件和密钥文件可向企业证书管理员申请或由系统管理员生成。 对系统的影响 更换过程中FusionInsight Manager需要重启，此时系统无法访问且无法提供服务。 前提条件 获取需要更换的HA根证书文件“rootca.crt”和密钥文件“rootca.pem”。 准备一个访问密钥文件的密码 password ，例如“Userpwd@123”用于访问密钥文件。 密码复杂度要求如下，如果密码复杂度不满足如下要求，可能存在安全风险： − 密码字符长度最小为8位。 − 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@ $%^&+中的4种类型字符 向证书管理员申请证书时，请提供访问密钥文件的密码并申请crt、cer、cert和pem格式证书文件，以及key和pem格式密钥文件。申请的证书需要有签发功能。 操作步骤 1.以omm用户通过主管理节点IP登录主管理节点。 2.选择证书和密钥文件的生成方式： 若由证书管理员生成，请在主备管理节点“${OMSRUNPATH}/workspace0/ha/local/cert”目录保存申请的证书文件与密钥文件。 说明 若获取的证书文件格式不是“.crt”，密钥文件格式不是“.pem”，执行以下命令修改： mv证书名称.证书格式rootca.crt mv密钥名称.密钥格式rootca.pem 例如，将证书文件命名为“rootca.crt”，密钥文件命名为“rootca.pem”： mv server.cer rootca.crt mv serverkey.key rootca.pem 若由系统管理员生成，执行以下命令在主管理节点“${OMSRUNPATH}/workspace0/ha/local/cert”目录生成“rootca.crt”和“rootca.pem”： sh ${OMSRUNPATH}/workspace/ha/module/hacom/script/gencert.sh rootca countryCN state state city city company company organize organize commonname commonname email 管理员邮箱 说明 生成的证书文件有效期为10年，在系统证书文件即将过期时，系统将产生告警“ALM12055 证书文件即将过期”。 例如，执行以下命令： sh ${OMSRUNPATH}/workspace/ha/module/hacom/script/gencert.sh rootca countryCN stateguangdong cityshenzhen companyxxx organizeIT commonnameHADOOP.COM emailabc@xxx.1com 根据提示信息输入 password ，并按回车键确认。 Enter pass phrase for /opt/xxx/Bigdata/omserver/OMS/workspace/ha/local/cert/rootca.pem: 提示以下信息表示命令执行成功： Generate rootca pair success. 3.在主管理节点以omm用户执行以下命令，复制“rootca.crt”和“rootca.pem”到“${BIGDATAHOME}/omserver/om/security/certHA”目录。 cp arp ​{OMSRUNPATH}/workspace0/ha/local/cert/rootca. OMSR​UNP​ATH/workspace0/ha/local/cert/root−ca.∗​{BIGDATAHOME}/omserver/om/security/certHA 4.使用omm用户将主管理节点生成的“rootca.crt”和“rootca.pem”复制到备管理节点“${BIGDATAHOME}/omserver/om/security/certHA”目录。 scp ​ ​{OMSRUNPATH}OMSRUNPATH}/workspace0/ha/local/cert/rootca. omm@备管理节点IP:${BIGDATAHOME}/omserver/om/security/certHA 5.执行以下命令，生成HA用户证书并自动替换。 sh ${BIGDATAHOME}/omserver/om/sbin/replacehaSSLCert.sh 根据提示信息输入 password ，并按回车键确认。 Please input ha ssl cert password: 界面提示以下信息表示HA用户证书替换成功： [INFO] Succeed to replace ha ssl cert. 说明 如果用户需要更新HA密码加密套件，可以带u参数。 6.执行以下命令，重启OMS。 sh ${BIGDATAHOME}/omserver/om/sbin/restartoms.sh 界面提示以下信息： start HA successfully. 7.以omm用户通过备管理节点IP登录备管理节点，重复56。 执行 sh ${BIGDATAHOME}/omserver/om/sbin/statusoms.sh 查看管理节点的“HAAllResOK”是否为“Normal”，并可以重新登录FusionInsight Manager表示操作成功。

主机迁移服务重要声明有哪些？ 源端服务器数据收集声明 。 源端服务器上安装和配置完迁移Agent后，迁移Agent会把源端服务器信息发送给主机迁移服务校验，收集的源端服务器的详细信息请参见主机迁移服务会收集源端的哪些信息？。这些数据只用于迁移可行性判断，不做其他用途。若您使用主机迁移服务，表示您同意主机迁移服务对这些信息的收集。 License失效声明 。 源端服务器的系统、应用、文件等数据迁移到目的端服务器后，服务器的SID、网卡MAC地址等信息发生改变，导致OS、应用等License失效。此类问题，主机迁移服务概不负责。对于Windows License可以使用天翼云License服务器获取新License，应用License用户自行解决。 迁移过程中禁止对目的端服务器的系统、磁盘进行操作，包括但不限于切换操作系统、重装系统等。在迁移过程中对目的端服务器进行操作所产生的费用以及数据损坏等问题，主机迁移服务概不负责。 目的端服务器磁盘格式化说明 。 迁移过程中，目的端服务器的磁盘会被格式化并重新进行分区，导致目的端服务器上所有数据丢失。请迁移前做好数据备份以及确认目的端服务器磁盘可被格式化。否则造成数据丢失，主机迁移服务概不负责。 源端磁盘数据安全性声明 迁移过程中，主机迁移服务无法感知磁盘内容，需要您自行保障源端磁盘数据的安全性。如果因为源端磁盘数据中存在木马或病毒等软件，导致迁移后目的端VPC内的主机受到影响，主机迁移服务概不负责。 源端服务器导致的迁移问题免责申明 。 因源端服务器的硬件(如磁盘、网卡）、软件(如OS、应用)、数据（文件）等损坏/配置不当/不兼容/业务量大/网络慢等因素引发的迁移问题，非主机迁移服务的问题，包括但不限于下面列举的问题。您可自行解决，若自行解决无果，您可以向天翼云提出咨询或请求天翼云协助解决，但天翼云不承诺解决问题。 源端服务器系统本身有问题，如：Windows的启动文件损坏或缺失。 源端服务器系统配置错乱，如：Linux的grub配置错乱缺失，fstab配置错乱。 网络问题，如：访问不了公网，网速慢，ssh问题，防火墙等。 IO读写慢，增量数据多，Windows有效簇分散，Linux小文件多导致的迁移慢，同步慢，同步时间比较久的问题。 源端平台服务或软件与天翼云不兼容。 源端平台服务或软件把Agent关闭，或杀毒软件把IO监控关闭。 迁移到天翼云后，若目的端服务器不能正常启动，天翼云可以提供相应的技术支持，但是不承诺解决问题。 其中目的端服务器不能正常启动的原因可能包括以下几种： 源端服务器本身无法重启 源端服务器上有非OS标准的配置 源端服务器上安装了与天翼云不兼容的驱动或软件等 为了适配天翼云，主机迁移服务对目的端服务器的系统配置做了修改，详细的修改项请参见迁移后目的端与源端相比有哪些变化？。主机迁移服务可以保证迁移前后数据一致性，但无法保证业务能正常运行，需要您自己修改业务相关配置。 业务割接后，源端服务器、目的端服务器均有新增数据时，使用主机迁移服务，无法将源端新增数据与目的端新增数据进行合并，只能使用源端数据覆盖目的端数据。因此，建议您在业务割接前，不要在目的端服务器新增数据；业务割接后，不要在源端服务器新增数据。对于业务割接后，源端服务器、目的端服务器均有新增数据且需要合并的情况，需要您自行设计解决方案。 GPU服务器驱动问题声明 迁移到GPU服务器出现的驱动相关问题（如：不具备计算加速/图形加速能力），需要您自行安装相关驱动解决。若自行解决无果，天翼云可以提供相应的技术支持，但是不承诺解决问题。 关于业务隔离、业务冲突声明 主机迁移服务在迁移过程中，不会识别和感知用户业务，需要用户自行识别源端和目的端业务之间的冲突并保持隔离性，如果因为目的端启动后对源端造成业务冲突异常，主机迁移服务概不负责。

本文带您了解什么是云主机备份产品。 云主机备份（CTCSBS，Cloud Server Backup Service）提供对弹性云主机的备份保护服务，支持基于云硬盘快照技术的备份服务，并支持利用备份数据恢复弹性云主机数据。通过云主机备份服务，可以在发生数据丢失、系统故障、人为错误或恶意攻击等情况下，还原云主机数据，确保业务的连续性和数据的安全性。 备份机制 首次备份为全量备份，备份云主机挂载的全部云硬盘的所有数据。后续备份则为增量备份，只备份上次备份后发生变化的数据，以节约备份空间和时间。 无论是全量备份还是增量备份，云主机备份都能够快速、方便地将数据恢复到备份所在时刻的状态。您可以根据需要选择特定的备份进行恢复，备份之间相互独立，删除一份备份不会影响其他备份的使用。 云主机备份副本创建完成后，将默认存储在对象存储（单AZ）中，以实现数据的长期安全保存和灵活恢复。对象存储单AZ和多AZ的区别如下：单AZ数据会存储在一个可用区；多AZ数据会存储在同一地域的多个可用区中，可用性更高。 与云硬盘备份的差异 产品名称 备份/恢复对象 优势 产品要点说明 场景说明 云主机备份 以云主机为单位进行备份，云主机中的所有云硬盘（系统盘和数据盘）。 对云主机进行备份指的是同时对其上的所有云硬盘同时进行备份。 备份具有一致性，不存在因备份创建时间差带来的数据不一致问题。 整机备份，通过存储快照技术，将云主机包含的多个云硬盘的数据备份到对象存储。 周期备份、手动备份。支持恢复原云主机或创建新的云主机。 需要对整个云主机进行保护时，确保业务稳定性及数据安全。 云硬盘备份 以云硬盘为单位进行备份，指定的单个或多个云硬盘（系统盘或数据盘）。 能以更低的成本，更精细的粒度来确保数据安全。 通过存储快照技术，将云硬盘数据备份到对象存储。 周期备份、手动备份。支持恢复原云硬盘，使用备份数据创建新的云硬盘。 仅对数据盘或系统盘中的个人数据、隐私数据、重要数据进行备份时。

本节将介绍密码及其使用场景,让您了解如何创建密码并了解相关约束限制。 密码 密码指使用设置初始密码方式作为云主机的鉴权方式，此时，您可以通过用户名密码方式登录云主机，Linux操作系统时用root用户和初始密码，Windows操作系统时用Administrator用户和初始密码。 使用场景 密码在弹性云主机系统中用于保护客户重要私人信息，为确保账户安全，建议妥善保管密码。在使用弹性云主机服务过程中，您会在以下场景遇到密码相关设置： 创建弹性云主机时设置密码。 如果您在购买弹性云主机进行高级配置时选择“密码”作为登录方式，可以单击“立即创建”创建密码。具体步骤可参见创建弹性云主机。 重置弹性云主机的登录密码。 如果您忘记密码或密码已过期，可通过“重置密码”进行密码重置。具体步骤可参见在控制台重置弹性云主机密码。

简单组网 对于相对简单的业务场景，可以仅使用一个VPC。VPC下创建不同子网，对应不同功能或安全区域。 比如：用户搭建一个web网站，业务简单，无需和其他网络互通。 所有服务器全部放到一个个VPC内。 业务子网分为web/APP/DB三个区域，分别放置Web业务经典三层架构的对应服务器。 如有运维和远程接入需求，可再创建相应子网，运维和接入区子网用于部署堡垒机或管理鉴权设备，方便客户远程接入部署业务和运维。 方便后续通过子网ACL的访问权限控制能力实现各个功能区域间的隔离和放通。 复杂组网 针对业务相对复杂的场景，一个VPC对应一个相对独立的业务应用系统或部门网络。 比如：一家大型车企业务上云后，所有业务共享同1根专线连接线下数据中心。 不同业务或部门分别承载在不同的VPC。 不同VPC分别通过对等连接连接到整个系统的公共资源VPC，共享专线访问。

本文介绍BosonFaas边缘函数相关使用限制。 规格说明 功能 规格限制 说明 ::: 函数个数 20个 单个用户账号允许发布的函数个数 开发语言 JavaScript（ES6） 运行时支持的开发语言，后续会陆续扩展更多语言 CPU运行时间 支持10ms、50ms、100ms三种规格 指单次请求运行用户函数的CPU耗时，该耗时不包括等待IO的时间 内存 128MB 单次请求运行用户函数的内存占用 响应时间 30s 单次请求运行用户函数的响应时间 子请求 6个 单次请求运行用户函数允许发出fetch子请求的数量 重定向次数 暂不支持重定向 请求URL 64KB 用户函数接收终端用户请求的URL长度，超过则返回494状态码 请求标头 64KB 用户函数接收终端用户单个请求标头大小不大于64KB，超过则返回494状态码；请求标头总大小不大于256KB，超过则返回414状态码 代码限制 以下函数出于安全原因，不允许使用： eval() new Function

本节介绍使用.VPN接入云电脑的操作说明。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.查看对应行的接入地址； 4.打开AI云电脑应用，输入账号和密码，点击“企业专线”，进入企业专线页面； 5.在企业专线页面输入 6.点击“启用专线/VPN”，即可显示“专线/VPN地址可用，已为您启用专线VPN”； 7.点击“安全登录”； 8.选择相应AI云电脑，点击“进入”，即可完成AI云电脑登录。

问题描述： 在通过NFSv4.0协议挂载NAS文件系统后，会出现一个随机端口（0.0.0.0）被监听的情况，并且无法通过netstat命令确定监听所属的进程，这可能导致误判为文件传输受到木马攻击的情况。 问题原因： 该随机端口是NFSv4.0客户端为了支持Callback而监听的。由于内核参数fs.nfs.nfscallbacktcpport默认值为0，因此NFSv4.0客户端会随机选择一个端口进行监听，而这个随机端口本身并不会带来安全风险。 解决方案： 在挂载文件系统之前，您可以通过配置参数fs.nfs.nfscallbacktcpport来指定一个非零的确定值，以固定该监听端口。命令如下： sudo sysctl fs.nfs.nfscallbacktcpport 请将上述命令中的替换为您希望使用的具体端口号。通过上述操作，您可以固定NFSv4.0客户端的Callback监听端口，避免随机端口的出现，从而减少误判为木马攻击的可能性。

本章节介绍开源组件Fastjson远程代码执行漏洞的最佳实践。 漏洞介绍 开源组件Fastjson存在远程代码执行漏洞，此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用，可直接获取服务器权限，危害严重。 影响的版本范围 漏洞影响的产品版本包括：Fastjson 1.2.51以下的版本，不包括Fastjson 1.2.51版本。 安全版本 Fastjson 1.2.51版本及以上的版本。 官方解决方案 建议用户将开源组件Fastjson升级到1.2.51版本或者最新的1.2.58版本。 防护建议 Web应用防火墙内置的防护规则支持对该漏洞的防护，参照以下步骤进行防护： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入域名。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

本文介绍如何使用pgAdmin创建数据库。 前提 已经通过pgAdmin连接RDSPostgreSQL实例并添加至Servers。 打开创建database页面 1. 在左侧Browser栏中选取所需的RDSPostgreSQL Server，双击连接以打开菜单选项。 2. 单击Database一栏，右键选择Create > Database... ，弹出创建框。流程如下图： 填入database相关信息 创建框中，各栏信息如下： General：基本信息，包括database名与拥有者，默认拥有者为启动数据库连接的用户，必填项。 Definition：数据库基本配置，包括字符编码、模板、表空间、排序规则、字符类型、连接限制，编码方式默认为utf8，其余栏默认为空，非必填项。 Security：权限配置，包括权限授予与安全标签，非必填项。 Parameters：角色参数，非必填项。 Advanced：高级选项，非必填项。 SQL：创建SQL，用户通过前面几项填写后自动生成的创建database的SQL，无法填写与修改。 填写完成后点击保存即可创建数据库。

如何获知实例已经为非正常流量状态？ 实例进入沙箱后，系统会通过邮件、短信或站内信等方式提示您。同时，您会在控制台页面顶部收到超用信息。 在安全总览页面，您可以通过QPS图表查看具体的QPS流量情况。 如何解除沙箱隔离状态？ 注意 实例进入隔离状态后，即使实际QPS用量已回落至当前规格以内，也不会自动解除。 您需要扩展该实例QPS规格值，当扩展后实例QPS规格值大于最大业务峰值后，将自动结束隔离，恢复正常防护和产品服务SLA。 您可以通过购买业务扩展包或者升级WAF版本实现该实例QPS规格值的扩展。QPS扩展后，实例的状态将变成正常流量状态，QPS超用次数统计清零。

本页介绍天翼云TeleDB数据库如何创建、编辑、查看和删除角色。 角色是指被赋予相应权限的用户，不同的角色被赋予不同的操作权限。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树选择安全中心 > 角色管理 ，进入角色管理 页面 3. 创建角色 1. 在角色管理 页面，单击创建角色 ，出现创建角色 对话框。 2. 在创建角色 对话框，输入角色名称 ，权限类型选择TeleDB for Xscale ，勾选对应的权限，单击确定 ，完成权限的添加。 4. 编辑角色 1. 单击目标角色所在的编辑 按钮，修改对应的权限。 5. 删除角色 1. 单击目标角色所在行的删除 按钮，即可删除对应的权限。 6. 查看角色详情 7. 单击目标角色所对应的详情 ，即可查看该角色所对应的具体权限。 8. 查看角色列表 1. 您可根据权限名称和角色进行搜索。 2. 权限包括超级管理员、租户管理员、操作员、管理员、只读和自定义。

本节介绍如何订阅资产。 操作场景 态势感知（专业版）只有在开启资产订阅设置的工作空间才能同步资产相关信息。订阅后，资产信息将在每天晚上进行更新。 说明 仅支持订阅和同步云上资产。同时，不建议同一个区域的资产订阅至多个工作空间。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“资产管理 > 资产管理”，进入资产管理页面。 5. 在资产管理页面中，单击页面右上角“资产订阅设置”，右侧弹出订阅资产设置页面。 6. 在订阅资产设置页面中，在需要订阅资产所在的region所在行“是否开通”列开启订阅。 7. 单击页面右下角的“确认”。 订阅后，资产信息将在每天晚上进行更新。

本页介绍天翼云TeleDB数据库如何创建、编辑、删除和查看角色。 操作场景 角色是指被赋予相应权限的用户，不同的角色被赋予不同的操作权限。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树选择安全中心 > 角色管理 ，进入角色管理 页面 3. 创建角色 1. 在角色管理 页面，单击创建角色 ，出现创建角色 对话框。 2. 在创建角色 对话框，输入角色名称 ，权限类型选择TeleDB for Xscale ，勾选对应的权限，单击确定 ，完成权限的添加。 4. 编辑角色 1. 单击目标角色所在的编辑 按钮，修改对应的权限。 5. 删除角色 1. 单击目标角色所在行的删除 按钮，即可删除对应的权限。 6. 查看角色详情 7. 单击目标角色所对应的详情 ，即可查看该角色所对应的具体权限。 8. 查看角色列表 您可根据权限名称和角色进行搜索。 权限包括超级管理员、租户管理员、操作员、管理员、只读和自定义。

本文将为您介绍天翼云短信服务的产品优势，方便您快速了解短信服务。 快速稳定 云化的分布式处理技术，智能化调度，三网合一，通道高并发且延迟低，保证最快的发送速度，到达率可达99%。 价格优势 顶级运营商，接入三大运营商金牌代理商，具备全网覆盖且多点接入的资源储备；价格优势明显。 三网覆盖 接入电信、移动、联通三大运营商，具备国内100%全网覆盖且多点接入的资源储备。 安全可控 每日发送量阈值可设置，以防止资源意外大量损耗；单客户每日发送量阈值可设置，以减少打扰；黑名单用户可设置，以降低用户投诉风险。 快速集成 支持各类编程语言对接产品API，如Java、 PHP、Python、Node.js及C等。支持HTTPS标准协议，无需客户单独适配SMGP、CMPP、SGIP等专用协议，最快10分钟接入。 无忧售后 724小时在线客服，随时咨询、回访系统使用情况，具有全套解答、排查、转发用户提交问题，收集、管理、分析能力。

本文介绍Web应用防火墙（边缘云版）是否可以和CDN一起接入。 Web应用防火墙（边缘云版）可以和CDN一起接入。 Web应用防火墙（边缘云版）和CDN一起接入，是指CDN融合了Web应用防火墙（边缘云版）能力，在CDN节点上提供Web应用防火墙（边缘云版）防护功能。Web应用防火墙（边缘云版）防护具体功能，请参见Web应用防火墙（边缘云版）功能介绍。 前提条件 已开通天翼云CDN加速计费，且已经将域名添加到CDN加速控制台。 已完成Web应用防火墙（边缘云版）产品开通。 CDN控制台域名的加速范围选择为中国内地。 操作步骤 1. 登录Web应用防火墙（边缘云版） 控制台。 2. 选择域名管理—域名列表，点击【添加域名】。 3. 填写网站域名后，点击【确认】进行产品关联，同步网站通用配置，并单击【下一步】。 4. 根据页面配置指引，完成安全防护配置。

本文介绍弹性云主机实例删除类相关问题。 已删除的弹性云主机可以再开通吗？ 已经删除的云主机不能再次开通。所以请在执行删除操作前，确保将云主机上的数据已完成备份或者迁移，删除云主机后，数据无法找回，请谨慎操作。 为了确保您的数据安全，请在删除云主机之前按照确认以下操作： 1. 确认数据备份：您需要确保您的数据已经完整地备份到了另一个安全的位置，例如另一个云主机或已形成镜像或快照。 2. 确认数据迁移：如果您的数据需要迁移到另一个云主机或其他云产品上，您需要确保数据迁移已经完成并且数据已经成功同步。 3. 执行删除操作：一旦您确认数据已经备份或迁移并且您已经确认可以进行删除，您可以按照云主机控制台的指导执行删除操作。 4. 云主机备份与迁移可参考：备份云主机、迁移云主机。 如何删除弹性云主机？ 登录天翼云弹性云主机控制台，选中需要删除的弹性云主机。 只有按量计费类型弹性云主机支持删除操作，弹性云主机只有在关机状态才可以删除，首先点击弹性云主机列表左上角的关机按钮。 等待关机完成，点击云主机实例最右侧的更多删除 在弹出页面点击确定即可删除弹性云主机。

应用场景 数据快递是一种海量数据传输解决方案，支持 TB 到 PB 级数据上云，通过硬盘（外置 USB 接口），向并行文件传输大量数据，解决海量数据传输网络成本高、传输时间长等难题。 智算场景：AI 场景的素材数据、原型数据等需要寄送到数据中心，投喂给智算平台，提升数据质量和模型效果。 原始数据迁移：把基因、石油、气象、IOT 等原始数据迁移到并行文件服务。 离线备份数据：将客户完整备份或增量备份发送到并行文件服务，实现可靠的冗余离站存储。 注意 专属资源的客户，拥有独立的机房设备，可采用了邮寄硬盘到存储机房的方式。 准备工作 客户需要自助完成迁移数据存储到硬盘等存储介质上，建议客户将小文件压缩成大文件后再进行数据迁移。 存储介质邮寄到机房后，联系运维人员将硬盘插在可连接HPFS客户端的物理机上作为迁移机器。需要提前和运维人员确认硬盘数量和迁移服务器网络是否和HPFS互通。 操作步骤 1. 客户将硬盘快递到云公司机房的专属资源池集群。 2. 机房配置单独的数据迁移服务器用于读取客户硬盘数据。数据拷贝服务器通过网闸与天翼云资源池隔离。 3. 客户硬盘插入到拷贝服务器后，先进行安全扫描，确保客户数据无安全隐患。此前步骤，网闸处于关闭状态 4. 打开网闸，将客户硬盘数据拷贝到云内服务器上。 5. 与客户联系确认数据准确。 6. 关闭网闸。 7. 在数据拷贝服务器上，按客户要求将硬盘数据销毁和硬盘快递寄回。

云原生网关 云原生网关是天翼云微服务引擎的子产品，将传统的流量网关和业务网关合二为一，提供全局性和独立业务域级别的流量管理策略，与后端业务紧耦合策略配置。 弹性负载均衡 弹性负载均衡（Elastic Load Balancing）是天翼云产品，通过将访问流量自动分发到多台云主机，扩展应用系统对外的服务能力，实现更高水平的应用程序容错性能。 应用服务网格 应用服务网格是天翼云产品，提供基于Sidecar技术的无侵入式服务治理能力，兼容开源istio服务网格，并基于开源实现做了功能增强，提供了丰富的流量治理、安全管控和观测能力，满足多语言、技术栈应用统一治理的需求，降低业务接入门槛。 资源池或区域 资源池或者区域指资源所在的物理位置。同一区域内可用区之间内网互通，不同区域之间内网不互通。 可用区 每个区域包含许多不同的称为“可用区”的位置，即在同一区域下，电力、网络隔离的物理区域，同一个可用区内网互通，不同可用区之间物理隔离。每个可用区都被设计成不受其他可用区故障的影响，并提供低价、低延迟的网络连接，以连接到同一区域其他可用区。 VPC 虚拟私有云(Virtual Private Cloud)为用户提供一个逻辑隔离的区域，构建一个安全可靠、 可配置和管理的虚拟网络环境。专有网络由逻辑网络设备（如虚拟路由器，虚拟交换机）组成，可以通过专线/VPN等连接方式与传统数据中心组成一个按需定制的网络环境，实现应用的平滑迁移上云。

本文介绍容器集群网络规划最佳实践。 在创建云容器引擎集群时，您需要指定虚拟私有云VPC、子网、Pod CIDR和Service CIDR。因此建议您提前规划Worker节点地址、Pod地址和Service地址。本文将介绍云容器引擎下的网络规划的规则与策略。 各网段说明 虚拟私有云VPC：提供一个逻辑隔离的区域，构建一个安全可靠、可配置和管理的虚拟网络环境。可创建子网、设置安全组。VPC和子网需要提前在VPC的创建界面创建好，之后创建云容器引擎集群时，为集群指定VPC和子网。Worker节点的内网IP，最终为子网下的一个IP地址。 Pod CIDR：Pod是Kubernetes层的容器资源，每个Pod都具有一个容器网络IP地址。创建云容器引擎集群时可以指定Pod CIDR。 Service CIDR：Service是Kubernetes的网络资源，每个Service具有一个IP地址。创建云容器引擎集群时可以指定Service CIDR。 约束与限制 当前云容器引擎采用Calico和Flannel两种网络插件，所涉及的三个网段：虚拟私有云VPC的网段、Pod CIDR所在网段，以及Service CIDR所在网段，不可重复。 网络规划 场景 1 ： 单 VPC+ 单集群 这是最简单的场景，VPC和子网网段在创建时已明确，需要确认Pod CIDR、Service CIDR互不重叠，且和VPC不冲突即可。 场景 2 ： 单 VPC+ 多集群 VPC和子网网段在创建时已确定，不同集群可根据用户自己的网络规划，放置在同一个子网或者多个子网里。 多个集群之间Pod CIDR不可以重叠，但是Service CIDR可以重叠。

本文为您介绍如何通过非对称密钥实现数据的加解密。 非对称密钥加密通信的过程类似于对称加密，区别在于需要使用公钥进行数据加密，使用私钥进行数据解密。 由于密文只有通过私钥才可以解密，而私钥是不公开的，所以即使由于传输介质的安全性比较低而导致信息泄露，拿到密文的人也无法将其破译，从而保证了敏感信息的安全。这种敏感信息传递的方式，被广泛用于各类密钥交换场景。 操作流程 1. 信息接收者通过KMS控制台或者调用KMS的CreateKey接口，创建一个非对称的用户主密钥（CMK）。 2. 信息接收者通过调用KMS的getPublicKey接口获取到公钥，并将公钥分发给消息发送者。 3. 信息发送者使用公钥在本地通过OpenSSL等方式对数据进行加密。特殊需求场景下，也可通过调用KMS的asymmetricEncrypt接口，使用CMK进行加密。 4. 信息发送者将密文数据传递给信息接收者。 5. 信息接收者拿到密文数据之后，可调用KMS的asymmetricDecrypt接口，使用私钥进行数据解密。 相关API 您可以调用以下KMS API，完成对敏感数据传输中的加解密处理。 API名称 说明 createKey 创建用户主密钥（CMK）。 getPublicKey 获取非对称密钥的公钥，可用于离线验证数字签名，或者加密数据。 asymmetricEncrypt 非对称密钥的公钥运算：加密数据。 asymmetricDecrypt 非对称密钥的私钥运算：解密公钥加密的数据。

本章主要介绍备份与恢复说明 介绍如何通过管理控制台对DCS缓存实例进行数据备份，以及备份数据恢复。 备份缓存数据的必要性 业务系统日常运行中可能出现一些小概率的异常事件，比如异常导致缓存实例出现大量脏数据，或者在实例出现故障后持久化文件不能重新加载。部分可靠性要求非常高的业务系统，除了要求缓存实例高可用，还要求缓存数据安全、可恢复，甚至永久保存。 DCS支持将当前时间点的实例缓存数据备份并存储到对象存储服务（OBS）中，以便在缓存实例发生异常后能够使用备份数据进行恢复，保障业务正常运行。 备份方式 DCS缓存实例支持自动和手动两种备份方式。 自动备份 您可以通过管理控制台设置一个定时自动备份策略，在指定时间点将实例的缓存数据自动备份存储。 定时备份频率以天为单位，您根据需要，选择每周备份一次或多次。备份数据保留最多7天，过期后系统自动删除。 定时备份主要目的在于让实例始终拥有一个完整的数据副本，在必要时可以及时恢复实例数据，保证业务稳定，实例数据安全多一重保障。 手动备份 除了定时备份，DCS还支持由用户手动发起备份请求，将实例当前缓存数据进行备份，并存储到对象存储服务（OBS）中。 您在执行业务系统维护、升级等高危操作前，可以先行备份实例缓存数据。 缓存实例在使用过程中，备份数据不会自动清除，您可根据需要手动删除备份数据。当删除实例时，备份数据会随实例删除，如果需要保存备份数据，请提前将备份数据下载保存。

本页主要介绍支持的高性能参数模板中的参数设置情况，以及如何将高性能参数模板应用至实例。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 高性能参数模板简介 由于关系数据库MySQL版参数比较多，针对特定场景进行参数适配的学习成本比较高。为了满足客户对数据库性能的需求，关系数据库MySQL版推出了高性能参数模板，您可以将高性能参数模板直接应用于实例，或者基于该模板进一步配置参数模板。 在通常情况下，高性能参数模板能够提升数据库的性能。 高性能参数说明 数据库版本5.7和8.0的相关高性能参数说明如下： binlogcachesize：在事务中，为二进制日志存储SQL语句的缓存容量。该参数必须设置为2的幂次方。高性能参数模板将其默认值设置为较大值以提高性能。 高性能模板参数取值 默认参数值 2097152 32768 innodbflushlogattrxcommit：该参数控制提交操作在严格遵守ACID合规性和高性能之间的平衡，此变量用于控制Redo Log向磁盘刷写的策略。 高性能模板参数取值 默认参数值 2 1 参数值说明如下： 值为1：每次事务提交时，关系数据库MySQL版都会把日志缓存区的数据写入日志文件中，并且刷新到磁盘中。该值为默认参数模板的取值。 值为2：每次事务提交时，关系数据库MySQL版都会把日志缓存区的数据写入日志文件中，但是并不会同时刷新到磁盘上。该模式下，MySQL会每秒执行一次刷新磁盘操作。 说明 当设置为1，该模式是最安全的，但也是最慢的一种方式。在MySQL的服务崩溃或者服务器主机宕机的情况下，日志缓存区只有可能丢失最多一个语句或者一个事务。 当设置为2，该模式速度较快，较取值为0情况下更安全，只有在操作系统崩溃或者系统断电的情况下，上一秒钟所有事务数据才可能丢失。 syncbinlog：该参数控制MySQL服务器将二进制日志同步到磁盘的频率。 高性能模板参数取值 默认参数值 1000 1 参数值说明如下： 值为1：每次binlog写入后，都与磁盘同步、进行落盘。该值为默认参数模板的取值。 值为N：使binlog在每N次binlog日志文件写入后与磁盘同步。N1000为高性能参数模板的取值。 说明 innodbflushlogattrxcommit 和syncbinlog两个参数设置为1的时候，安全性最高，写入性能最差。在MySQL的服务崩溃或者服务器主机宕机的情况下，日志缓存区只有可能丢失最多一个语句或者一个事务。但是会导致频繁的磁盘写入操作，因此该模式也是最慢的一种方式。 当syncbinlogN(N>1 ) ，innodbflushlogattrxcommit2时，在当前模式下关系数据库MySQL版的写操作才能达到最高性能。

本节为您介绍如何卸载集群Agent。 如果不再需要HSS为您的集群容器提供安全防护，您可以为集群卸载Agent。Agent卸载后，HSS将停止对容器的检测和防护，且已检测到的告警、漏洞信息等数据都将被删除。 CCE集群卸载Agent 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“容器服务 > 云容器引擎”，进入云容器引擎界面。 3、单击目标集群名称，进入集群详情页。 4、在左侧导航栏，选择“工作负载”，进入“工作负载”界面。 5、选择“守护进程集”页签，删除名称为“installagentds”的工作负载。在工作负载所在行的操作列，选择“更多 > 删除”，删除该工作负载。 6、在左侧导航栏，选择“安装与配置”，进入“安装与配置”界面。 7、 选择“Agent管理”页签，卸载目标CCE集群所有容器节点服务器的Agent。 自建集群卸载Agent 1、登录k8s集群环境。 2、执行以下命令删除名称为“installagentds”的工作负载。 kubectl delete ds installagentds n default 3、登录管理控制台。 4、在左侧导航栏，选择“安装与配置”，进入“安装与配置”界面。 5、选择“Agent管理”页签，卸载目标自建集群所有容器节点服务器的Agent。

本文介绍如何在控制台处理用户反馈。 功能说明 企业员工在客户端提交问题/建议反馈后，您可以在控制台管理并处理员工的权限申请和问题建议。 注意 如果您要使用问题反馈功能，请更新AOne客户端到2.0.x版本或者学术加速客户端1.0.x。 目前仅【零信任服务】【学术加速企业版】【终端管理】提供该功能。 操作步骤 1. 登录边缘安全加速控制台，选择相应的控制台【AOne零信任】【学术加速】【终端管理】； 2. 在左侧导航栏，选择待办事项，进入相关页面进行操作。 页面介绍 问题反馈列表默认展示近7天内的员工反馈信息，显示【处理中】【暂不处理】【已处理】统计数量。 列表信息展示相关问题，可进行相关处理。 可以选择时间：今天、昨天、近7天、近30天，最多支持查询半年内相关记录，跨度最多30天； 您可以选择提交人、反馈类型、处理状态进行筛选查询； 您可以点击处理按钮，进行问题/建议回复，或者根据联系方式与员工取得进一步沟通。

若需配置钉钉群接收告警，或在联系人模块中添加钉钉机器人，需先在目标钉钉群内获取自定义机器人的 Webhook 地址。本文将详细介绍获取该地址的具体操作流程。 前提条件 已在钉钉中创建需要接受告警的钉钉群。 操作步骤 1. 进入PC版钉钉，打开所需要添加报警机器人的钉钉群，并单击右上角的群设置图标。 2. 在群设置 面板中点击机器人添加机器人。 3. 选择添加自定义。 4. 在机器人详情 对话框单击添加。 5. 在添加机器人对话框中执行以下操作。 1. 设置机器人头像和名字。 2. 安全设置 选中自定义关键词，可设置关键词为告警。 3. 选中我已阅读并同意《自定义机器人服务及免责条款》。 4. 单击完成。 6. 完成后即可复制机器人webhook地址。 相关文档 获取到自定义机器人Webhook地址之后，您可以参考【钉钉机器人】，创建接收告警的钉群对象。

本章节主要介绍天翼云物理机的物理网络。 物理机有四种网络类型，分别是VPC网络、高速网络（HB）、自定义vlan网络(QINQ)和IB网络，四种网络之间相互隔离不互通。其中，VPC网络接口和高速网络接口是基于系统维护vlan网卡组建bond后创建的vlan子接口。自定义vlan网络网卡和IB网络网卡由用户进行自定义管理配置。 说明 图中的ToR表示服务器机柜的布线方式，接入交换机放在机架顶部，服务器放在下方。HB表示高速网络。QinQ表示802.1Q隧道。 VPC网络接口和HB高速网络接口由系统生成，租户不可修改。这两个网络接口属于同一个网卡Bond。 弹性云主机和物理机之间可以通过VPC网络通信，只有VPC网络支持安全组、弹性IP和弹性负载均衡能力。 对于高速网络和自定义vlan网络，同一网络中的物理机实例之间仅提供2层连接。

本文对虚拟私有云产品计费进行说明。 VPC、子网、安全组、ACL、路由表、虚拟IP、对等连接、DHCP选项集、前缀列表、弹性网卡、IPv4网关、IPv6网关、路径分析产品均免费。 流量镜像公测期间免费提供服务，公测结束后会收取费用。公测结束时间为2024年2月1日。从2024年2月2日起将开始收取相关费用，实际收费标准请参考“计费说明”。 从2025年4月15日起，组播资源将开始收取相关费用。详细通知请关注天翼云官网公告。如果您在该时间点前创建的实例，从该时间点起，将开始按计费规则收取后续费用。开始计费后，我们会按小时统计，若账号欠费会导致实例不可用，为避免影响您的业务，请确保账户余额充足。组播计费标准请参考“组播计费说明”。

本章节介绍故障演练服务的产品优势。 产品优势 故障演练服务深度融合云原生应用产品体系，固化组织流程，标准化应用接入、流程编排、故障注入、指标观测、系统保护等混沌工程实验管理，帮助用户及时发现业务潜在风险、验证高可用处置预案，提高系统的可靠性和韧性。 相比于业务自建的或采用开源方案实现故障演练面临的易用性差 、故障类型少 、观测能力弱 及缺乏生态整合等核心痛点，产品具备如下多种优势。 简单易用 白屏化操作，系统零改造，可视化流程编排，支持故障分组定义与串/并行工作流模式。 场景丰富 覆盖从基础设施到应用层与云服务的原子故障注入能力，提供具备业务含义的故障场景组合。 安全高效 多维度数据与权限管理，关联系统运行指标，实现隔离与熔断双重防护。 一站整合 深度整合云原生应用体系，自动导入组织权限、应用架构和关联资源，实现一站式可编排、可控制、可观测。

名词 说明 环境 用于隔离不同应用的逻辑单元。 应用 一组资源的逻辑集合，通常代表一个业务系统。应用是进行演练和管理的核心对象。 资源 构成应用的组件节点，例如云主机、容器、分布式缓存服务Redis版、分布式消息服务Kafka等实例。 演练 通过向应用的特定资源注入指定故障，并观察其影响，从而验证系统稳定性与韧性的过程。 动作 注入到目标资源上的一个原子性故障，例如“CPU高负载”或“网络延迟”。用户可以在一次演练中对多个动作进行自由组合和编排。 动作组 一个或多个动作的逻辑分组，通常代表一个完整的故障场景。在一个演练任务中，不同的动作组之间可以并行执行。 探针 安装在目标资源（如云主机）上，用于执行具体故障注入动作的代理程序（Agent）。 保护策略 一种自动化的安全机制，用于控制演练的“爆炸半径”。当触发预设条件时，系统会依据此策略自动中止演练并回滚故障。

名词 说明 环境 用于隔离不同应用的逻辑单元。 应用 一组资源的逻辑集合，通常代表一个业务系统。应用是进行演练和管理的核心对象。 资源 构成应用的组件节点，例如云主机、容器、分布式缓存服务Redis版、分布式消息服务Kafka等实例。 演练 通过向应用的特定资源注入指定故障，并观察其影响，从而验证系统稳定性与韧性的过程。 动作 注入到目标资源上的一个原子性故障，例如“CPU高负载”或“网络延迟”。用户可以在一次演练中对多个动作进行自由组合和编排。 动作组 一个或多个动作的逻辑分组，通常代表一个完整的故障场景。在一个演练任务中，不同的动作组之间可以并行执行。 探针 安装在目标资源（如云主机）上，用于执行具体故障注入动作的代理程序（Agent）。 保护策略 一种自动化的安全机制，用于控制演练的“爆炸半径”。当触发预设条件时，系统会依据此策略自动中止演练并回滚故障。