Windows系统迁移完成，启动/登录系统后出现蓝屏并重启 问题描述 Windows系统迁移完成后，可以启动/登录系统，但是不一会就出现蓝屏，然后重启。 问题分析 可能是杀毒软件冲突。 解决方案 1. 通过安全模式进入系统，如果能够进入系统，则排除系统驱动问题，进行步骤2。 2. 排查是否安装了杀毒软件（如sophos、卡巴斯基等杀毒软件）。 如果安装了杀毒软件，可以按照以下任意一种方式解决。 方式一 下发一台同区域、同可用区的临时服务器，将目的端服务器系统盘挂载到临时服务器，搜索并删除所有杀毒软件相关的安装目录、注册表和启动项等。将目的端服务器系统盘挂载回目的端服务器，多次重启系统，确认系统不再出现蓝屏重启。 方式二 在源端卸载杀毒软件后进行同步操作。部分杀毒软件需要联系其供应商卸载。多次重启系统，确认系统不再出现蓝屏重启。

本节主要介绍如何进行托管授权。 操作场景 托管创建完成后，需要到目标工作空间所属账号中进行授权。授权后，被托管空间将挂载到托管账号下的空间中，进行统一管理。 前提条件 已创建托管，详细操作请参见创建托管。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间托管”，进入空间托管管理页面。 4. 在托管页面中，选择“我纳管的”页签，并在目标托管任务所在行“操作”列，单击“接收”。 5. 在弹出的确认框中，单击“确认”。 后续处理 授权后，可以在“工作空间 > 空间管理”页面中查看已创建的托管视图，单击视图名称，进入后，可以查看被托管空间的详细信息。

此小节介绍数据库审计的功能特性。 记录数据库活动 记录一切对数据库的访问行为，记录维度包括客户端信息、服务端信息、操作信息、操作状态、返回结果集、SQL模板等。 存储数据库行为记录 存储记录行为时产生的日志，包括审计日志、会话日志、告警日志，还包括系统的相关配置，如人员权限配置、系统引擎配置等。 查询数据库审计日志 在已有的日志中查询某些关键信息，完成事件溯源，一般支持时间、类型、数据库实例名、操作结果、客户端、服务端等查询维度。 风险和威胁告警 将数据库访问的行为与安全规则库进行匹配，根据匹配的结果进行告警，一般包含页面告警、外送告警（短信、邮件）。 数据库性能分析 通过SQL执行时间统计数据库性能情况，分析潜在性能问题的根因，定位关键资产，可作为用户数据库性能调优的决策辅助。

本页为您介绍数据库专家服务的使用限制。 数据库专家服务的使用限制，如下表： 限制 项 具体要求 说明 数据库实例 客户使用数据库专家服务进行服务的实例必须是客户具有权限的实例（客户自己的、客户被授权运维或类似实例）。 为防止产生安全问题和纠纷，客户使用数据库专家服务进行服务的实例必须是客户具有权限的实例。若客户违反该约定，天翼云有权立即终止客户对数据库专家服务的使用，且造成的天翼云及任何第三方的全部损失均由客户承担。 数据库权限 天翼云数据库专家在提供服务时，客户需要保证向天翼云进行必要的数据库授权。 客户需向天翼云进行必要的数据库授权，以便数据库专家提供服务。天翼云承诺按约定提供服务，并不将采集的任何数据泄露、披露或用于其他目的。

本章节主要介绍数据治理中心 DataArts Studio主要应用场景。 云上数据平台快速搭建 快速将线下数据迁移上云，将数据集成到云上大数据服务中，并在DataArts Studio的界面中就可以进行快速的数据开发工作，让企业数据体系的建设变得如此简单。 优势 数据集成一键式操作 通过在服务界面配置化操作，可实现线上线下数据快速集成到云数据仓库。 支持多种数仓服务类型 根据需求，可以灵活选择数据服务类型，可以选择DWS服务建数仓，也可以选择MRS服务等数据平台。 安全稳定、降低成本 一站式的服务能力和稳定的数仓服务，让云上数据万无一失；免自建大数据集群、免运维，极大降低企业建设数仓成本。 详见下图：云上数据平台

类别 默认用户 初始密码 描述 组件运行用户 hdfs Hdfs@123 HDFS系统管理员，用户权限： 1. 文件系统操作权限： 查看、修改、创建文件 查看、创建目录 查看、修改文件属组 查看、设置用户磁盘配额 2. HDFS管理操作权限： 查看webUI页面状态 查看、设置HDFS主备状态 进入、退出HDFS安全模式 检查HDFS文件系统。 hbase Hbase@123 HBase系统管理员，用户权限： 集群管理权限:表的Enable、Disable操作，触发MajorCompact，ACL操作 授权或回收权限，集群关闭等操作相关的权限 表管理权限:建表、修改表、删除表等操作权限 数据管理权限：表级别、列族级别以及列级别的数据读写权限 访问HBase WebUI的权限。 mapred Mapred@123 MapReduce系统管理员，用户权限： 提交、停止和查看MapReduce任务的权限 修改Yarn配置参数的权限 访问Yarn、MapReduce WebUI的权限。 spark Spark@123 Spark系统管理员，用户权限： 访问Spark WebUI的权限 提交Spark任务的权限。

本章节主要介绍使用客户端。 操作场景 客户端安装后，用户可以通过客户端在运维场景或业务场景中使用shell命令，也可以在应用程序开发场景中使用客户端中的样例工程。 该任务指导用户在运维场景或业务场景中使用客户端。 前提条件 已安装客户端。 例如安装目录为“/opt/Bigdata/client”。 各组件业务用户由系统管理员根据业务需要创建。 “机机”用户需要下载keytab文件，“人机”用户第一次登录时需修改密码。 操作步骤 1.以客户端安装用户登录安装客户端的节点。 2.执行以下命令，切换到客户端安装目录。 cd /opt/Bigdata/client 3.执行以下命令配置环境变量。 source bigdataenv 4.如果集群为安全模式，执行以下命令进行用户认证。普通模式集群无需执行用户认证。 kinit 组件业务用户 5.根据实际业务需要，执行shell命令。

本章节主要介绍翼MapReduce的锁定用户操作。 操作场景 由于业务变化，用户可能长期暂停使用，为了保证安全，管理员可以锁定用户。 锁定用户的方法包含以下两种方式： 自动锁定：通过设置密码策略中的“密码连续错误次数”，将超过登录失败次数的用户自动锁定。具体操作请参见配置密码策略。 手动锁定：由管理员通过手动的方式将用户锁定。 以下将具体介绍手动锁定。不支持锁定“机机”用户。 对系统的影响 用户被锁定后，不能在FusionInsight Manager重新登录或在集群中重新进行身份认证。锁定后的用户需要管理员手动解锁或者等待锁定时间结束才能恢复使用。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在要锁定用户所在行，单击“锁定”。 4. 在弹出的窗口勾选“我已阅读此信息并了解其影响。”，单击“确定”完成锁定操作。

常见事件列表 常见事件列表 事件ID 事件名称 12019 停止服务 12020 删除服务 12021 停止实例 12022 删除实例 12023 删除节点 12024 重启服务 12025 重启实例 12026 Manager主备倒换 12065 进程重新启动 12070 作业执行成功 12071 作业执行失败 12072 作业被终止 12086 Agent进程重启 14005 NameNode主备倒换 14028 HDFS磁盘均衡任务 14029 主NameNode进入安全模式并生产新的Fsimage 17001 Oozie工作流执行失败 17002 Oozie定时任务执行失败 18001 ResourceManager主备倒换 18004 JobHistoryServer主备倒换 19001 HMaster主备倒换 20003 Hue发生主备切换 24002 Flume Channel溢出 25001 LdapServer主备倒换 27000 DBServer主备倒换 38003 Topic数据保存周期配置调整 43014 Spark2x数据倾斜 43015 Spark2x SQL超大查询结果 43016 Spark2x SQL执行超时 43024 启动JDBCServer 43025 停止JDBCServer 43026 ZooKeeper连接成功 43027 ZooKeeper连接异常

本章主要介绍翼MapReduce的更换HA证书功能。 操作场景 HA证书用于主备进程与高可用进程的通信过程中加密数据，实现安全通信。该任务指导系统管理员FusionInsight Manager完成主备管理节点的HA证书替换工作，以确保产品安全使用。适用于以下场景： 首次安装好集群以后，需要更换企业证书。 企业证书有效时间已过期或安全性加强，需要更换为新的证书。 说明 不适用于未安装主备管理节点的场景。 证书文件和密钥文件可向企业证书管理员申请或由系统管理员生成。 对系统的影响 更换过程中FusionInsight Manager需要重启，此时系统无法访问且无法提供服务。 前提条件 获取需要更换的HA根证书文件“rootca.crt”和密钥文件“rootca.pem”。 准备一个访问密钥文件的密码 password ，例如“Userpwd@123”用于访问密钥文件。 密码复杂度要求如下，如果密码复杂度不满足如下要求，可能存在安全风险： − 密码字符长度最小为8位。 − 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@ $%^&+中的4种类型字符 向证书管理员申请证书时，请提供访问密钥文件的密码并申请crt、cer、cert和pem格式证书文件，以及key和pem格式密钥文件。申请的证书需要有签发功能。 操作步骤 1.以omm用户通过主管理节点IP登录主管理节点。 2.选择证书和密钥文件的生成方式： 若由证书管理员生成，请在主备管理节点“${OMSRUNPATH}/workspace0/ha/local/cert”目录保存申请的证书文件与密钥文件。 说明 若获取的证书文件格式不是“.crt”，密钥文件格式不是“.pem”，执行以下命令修改： mv证书名称.证书格式rootca.crt mv密钥名称.密钥格式rootca.pem 例如，将证书文件命名为“rootca.crt”，密钥文件命名为“rootca.pem”： mv server.cer rootca.crt mv serverkey.key rootca.pem 若由系统管理员生成，执行以下命令在主管理节点“${OMSRUNPATH}/workspace0/ha/local/cert”目录生成“rootca.crt”和“rootca.pem”： sh ${OMSRUNPATH}/workspace/ha/module/hacom/script/gencert.sh rootca countryCN state state city city company company organize organize commonname commonname email 管理员邮箱 说明 生成的证书文件有效期为10年，在系统证书文件即将过期时，系统将产生告警“ALM12055 证书文件即将过期”。 例如，执行以下命令： sh ${OMSRUNPATH}/workspace/ha/module/hacom/script/gencert.sh rootca countryCN stateguangdong cityshenzhen companyxxx organizeIT commonnameHADOOP.COM emailabc@xxx.1com 根据提示信息输入 password ，并按回车键确认。 Enter pass phrase for /opt/xxx/Bigdata/omserver/OMS/workspace/ha/local/cert/rootca.pem: 提示以下信息表示命令执行成功： Generate rootca pair success. 3.在主管理节点以omm用户执行以下命令，复制“rootca.crt”和“rootca.pem”到“${BIGDATAHOME}/omserver/om/security/certHA”目录。 cp arp ​{OMSRUNPATH}/workspace0/ha/local/cert/rootca. OMSR​UNP​ATH/workspace0/ha/local/cert/root−ca.∗​{BIGDATAHOME}/omserver/om/security/certHA 4.使用omm用户将主管理节点生成的“rootca.crt”和“rootca.pem”复制到备管理节点“${BIGDATAHOME}/omserver/om/security/certHA”目录。 scp ​ ​{OMSRUNPATH}OMSRUNPATH}/workspace0/ha/local/cert/rootca. omm@备管理节点IP:${BIGDATAHOME}/omserver/om/security/certHA 5.执行以下命令，生成HA用户证书并自动替换。 sh ${BIGDATAHOME}/omserver/om/sbin/replacehaSSLCert.sh 根据提示信息输入 password ，并按回车键确认。 Please input ha ssl cert password: 界面提示以下信息表示HA用户证书替换成功： [INFO] Succeed to replace ha ssl cert. 说明 如果用户需要更新HA密码加密套件，可以带u参数。 6.执行以下命令，重启OMS。 sh ${BIGDATAHOME}/omserver/om/sbin/restartoms.sh 界面提示以下信息： start HA successfully. 7.以omm用户通过备管理节点IP登录备管理节点，重复56。 执行 sh ${BIGDATAHOME}/omserver/om/sbin/statusoms.sh 查看管理节点的“HAAllResOK”是否为“Normal”，并可以重新登录FusionInsight Manager表示操作成功。

本文简述回源HTTP请求头的用途和配置方法。 功能介绍 当边缘节点请求回源站拉取资源时，源站可获取到回源请求头中携带的信息。您可以通过该功能，改写用户回源请求中的HTTP Header信息，携带特定的参数信息给源站，实现特定业务需求。例如，通过XForwardFor头部携带真实客户端IP至源站。 配置说明 1.登录边缘安全加速控制台，选择【域名】【基础配置】，在域名列表中选中需要配置的域名。 2.进入域名配置详情页面后，选择【头部修改】，单击【编辑配置】按钮。 3.选择【回源HTTP请求头】后单击【增加规则】按钮。 4.添加HTTP请求头，填入参数和取值，详细规则请参考： 参数 说明 参数 请求头参数，仅支持大小写字母、数字、下划线、中划线。 取值 取值不支持空格及中文文字及字符。 若需要添加/修改对应请求头，请输入取值。 若需要删除对应请求头，取值不填，置为空。 配置界面

本文通过图文说明证书删除的操作步骤。 功能介绍 当证书过期或者不再使用时，可通过客户控制台删除证书。 注意事项 证书删除的前提是未绑定域名，因此在删除证书前，需要先解除证书与域名的绑定关系。 操作步骤 1.登录边缘安全加速平台控制台。 2.在【域名】【证书管理】【AOne 证书管理】页面，选定目标证书，在操作列单击“删除”。 3.控制台会弹窗（如下图），客户进行二次确认后，单击“确定”即可删除。 注意 删除证书前，请确保证书未绑定任何域名，否则将无法删除。 配置界面 要删除的证书如有域名仍在使用，将无法删除，会弹出如下的确认弹窗，点击【确认】将关闭弹窗。如需继续删除证书，必须先使所有绑定该证书的域名取消证书配置。 要删除的证书如果无域名使用，将弹出如下的弹窗，点击【确认】后即可删除证书。

本文介绍域名解绑标签的操作步骤。 功能介绍 标签为域名分类管理工具，通过标签功能对具有相同属性的域名进行分类管理。如果标签已不再适用于您当前某个或多个域名的用途，您可以解绑域名标签。本文介绍如何为域名解绑标签。 配置说明 1. 登录边缘安全加速控制台。 2. 单击左侧导航【域名】【域名管理】。 3. 在【域名管理】页面，找到目标域名的【标签】列。 4. 单击标签图标【】。 5. 找到【已选择标签】框。 6. 方式一：如果只是某个标签不适用，直接单击该标签的【×】来解除绑定，如。 7. 方式二：如果是整个标签组不适用，可单击最后面的【】解除绑定，如。 8. 确认无误后，单击【确定】提交。

参数 说明 处置粒度 支持根据设备，账号，公网IP三种类型作为处置粒度，会对所选粒度的访问行为进行统计和处置，其中设备是关联到账号的最小处置粒度 ，处置粒度选择为设备时只会对触发规则的账号当前登录设备进行处置，当处置粒度为账号时，在处置动作生效时期，该账号登录其他设备同样会被处置。 统计粒度 统计上方所选处置粒度在周期内对该统计粒度不同地址的请求次数，支持按照域名+端口或协议+IP+端口两种粒度。 统计周期 单位秒。 访问次数 单位次数。 处置时间 单位秒。 处置动作 监控：仅监控观察，不对网络连接、访问权限进行任何干预。 挑战认证：需通过配置的认证方式完成身份认证，才能继续访问内网。 禁止访问内网：关闭对内网环境资源的访问权限，即无法连接公司 / 单位内部系统、共享文件等内网资源。 注销登录：退出当前客户端登录状态，若账号不符合安全要求，将持续触发注销。 提示语 针对不同处置动作均默认设置有对应提示语，可进行自定义修改。

操作步骤：为子账号授权或调整子账号权限。 注意 请提前创建好子用户，并需子用户登陆天翼云后才可以同步到云容器引擎控制台。 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要授权的集群，进入集群管理页面。 3、在集群管理页面导航栏中选择安全管理 > 授权，进入角色授权页面。 4、点击管理权限操作单个子账号权限，或选择多个子账号后点击添加权限为多个子账号批量授权，点击后进入集群RBAC配置页面。 5、在集群RBAC配置页面中，可以对子账号已有的用户权限进行调整或为子账号新增权限，权限可以限定单个命名空间或不限制命名空间（集群权限），子账号可设置的权限有内置权限（管理员、运维人员、开发人员、受限人员）和自定义权限，选择自定义权限可选择集群中创建的任意Cluster Role进行授权。 6、点击下⼀步完成授权。

本章介绍处理配置风险的方案。 主机安全服务对主机执行配置检测后，您可以根据检测结果中的相关信息，修复主机中含有风险的配置项或忽略可信任的配置项。 修改有风险的配置项 查看检测规则对应的详情信息，您可以根据审计描述验证检测结果，根据修改建议处理主机中的异常信息。 建议您及时优先修复威胁等级为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。 忽略可信任的配置项 1、 单击云服务器名称，查看服务器的详细信息，选择“基线检查 > 配置检查”。 2、 单击目标风险项前的展开检查项，单击目标风险项“操作”列的“忽略”进行单个忽略。也可以勾选多个检测规则单击界面上方的“忽略”进行批量忽略。 对于已经忽略的检测规则，单击已忽略页签可“取消忽略”，也可以批量选中想要取消忽略的规则“取消忽略”。 修复验证 完成配置项的修复后，建议您在“风险预防 > 漏洞管理”页面单击“漏洞检测”立即执行手动检测，查看配置项修复结果。

操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 在左侧导航栏中选择【域名管理】—【域名列表】，选择您要防护的域名，单击操作列【安全防护】 3. 进入【高级防护】页面 — 【广告防护】模块 配置说明 配置项 说明 开关 设置广告防护策略开启或者关闭 高级js动态检测开关 关闭。只检测页面已有广告内容（静态嵌入广告检测） 开启。将检测页面通过js动态添加元素内容，判断动态添加元素是否在白名单内，不再白名单则移除对应元素 处理动作 触发广告防护的处理动作，可选择告警或者清除 防护范围 设置要配置广告防护的URI； （1）URI：设置防护要包含/不包含的URI，例如：/home.jsp支持填写多个URI，用英文分隔符分隔； （2）PATH：设置防护要包含/不包含的路径，例如：/匹配请求URI前缀，/表示全站，用英文分隔符分隔； （3）多个粒度为且的逻辑；多个条件为或的关系； 白名单 外链白名单，当资源请求的链接来自设置的白名单时，不会进行广告处理，允许正常显示广告、图片

Windows系统迁移完成，启动/登录系统后出现蓝屏并重启 问题描述 Windows系统迁移完成后，可以启动/登录系统，但是不一会就出现蓝屏，然后重启。 问题分析 可能是杀毒软件冲突。 解决方案 1. 通过安全模式进入系统，如果能够进入系统，则排除系统驱动问题，进行步骤2。 2. 排查是否安装了杀毒软件（如sophos、卡巴斯基等杀毒软件）。 如果安装了杀毒软件，可以按照以下任意一种方式解决。 方式一 下发一台同区域、同可用区的临时服务器，将目的端服务器系统盘挂载到临时服务器，搜索并删除所有杀毒软件相关的安装目录、注册表和启动项等。将目的端服务器系统盘挂载回目的端服务器，多次重启系统，确认系统不再出现蓝屏重启。 方式二 在源端卸载杀毒软件后进行同步操作。部分杀毒软件需要联系其供应商卸载。多次重启系统，确认系统不再出现蓝屏重启。 Windows迁移后无法启动，KVM驱动或注册表缺失 问题描述 Windows迁移完成后，目的端无法启动，采用安全模式也无法启动。 问题分析 该问题可能是因为KVM驱动或KVM相关注册表缺失导致的。 解决方案 方案一 1. 下发一台同区域、同可用区的临时服务器，将目的端系统盘挂载到临时服务器。 2. 检查驱动： 1. 检查目的端系统盘 WindowsSystem32drivers目录下是否有 viostor.sys文件和 vioscsi.sys文件。 2. 检查目的端系统盘 WindowsSystem32CatRoot目录下是否有 viostor.cat文件和 vioscsi.cat文件。 3. 检查目的端系统盘 WindowsINF目录下是否有 viostor.inf文件和 vioscsi.inf文件。以上文件缺失任何一个，请下载安装UVP VMTools升级包，找到对应的文件拷贝到目的端系统盘对应目录下。 3. 检查注册表，如果注册表不存在，参考临时服务器，将缺失的两项注册表手动添加。 说明 在Windows管理工具中，打开注册表编辑器，单击左侧导航树“HKEYLOCALMACHINE”。 单击菜单栏文件>加载配置单元，找到目的端系统盘的注册表（C:WindowsSystem32configSYSTEM），将SYSTEM文件名改为p2v。 检查：p2v/ControlSet001/services/viostor，p2v/ControlSet001/services/vioscsi两项注册表是否存在。 4. 将临时服务器关机，将目的端系统盘挂载回目的端服务器，重启系统。 方案二 源端服务器安装UVP VMTools后进行同步操作。源端服务器安装UVP VMTools后，不要重启源端系统，否则无法同步。

本章节主要介绍如何使用Python第三方库psycopg2连接集群。 用户在创建好数据仓库集群后使用psycopg2第三方库连接到集群，则可以使用Python访问DWS ，并进行数据表的各类操作。 连接集群前的准备 DWS 集群已绑定弹性IP。 已获取DWS 集群的数据库管理员用户名和密码。 注意 由于MD5算法已经被证实存在碰撞可能，已严禁将之用于密码校验算法。当前DWS 采用默认安全设计，默认禁止MD5算法的密码校验，可能导致开源客户端无法正常连接的问题。建议先检查一下数据库参数passwordencryptiontype参数是否为1，如果取值不为1，需要修改，修改方法参见《用户指南》的“修改数据库参数”章节；然后修改一次准备使用的数据库用户的密码。 说明 当前DWS出于安全考虑，已经默认不再使用MD5存储密码摘要了，这将导致使用开源驱动或者客户端无法正常连接数据库。需要您调整一下密码策略后再创建一个新用户或者对老用户做一次密码修改，方可使用开源协议中的MD5认证算法。 数据库中是不会存储用户的密码原文，而是存储密码的HASH摘要，在密码校验时与客户端发来的密码摘要进行比对（中间会有加盐操作）。故当您改变了密码算法策略时，数据库也是无法还原您的密码，再生成新的HASH算法的摘要值的。必须您手动修改一次密码或者创建一个新用户，这时新的密码将会采用您设置的HASH算法进行摘要存储，用于下次连接认证。 已获取DWS 集群的公网访问地址，含IP地址和端口。具体请参见 获取集群连接地址。 已安装psycopg2第三方库。下载地址： 说明 CentOS、Redhat等操作系统中使用yum命令安装，命令为：yum install pythonpsycopg2。 psycopg2的使用依赖于PostgreSQL的libpq动态库（32位的psycopg2需要对应32位的libpq；64位的psycopg2对应64位的libpq），Linux中可以依赖yum命令解决。在Windows系统使用psycopg2需要先安装libpq，主要方式有两种： 安装PostgreSQL，并配置libpq、ssl、crypto动态库位置到环境变量PATH中。 安装psqlodbc，使用PostgreSQL ODBC驱动携带的libpq、ssl、crypto动态库。

本节主要介绍产品优势 立体运维 提供覆盖应用性能、应用状态、基础设施状态、云资源使用情况的一站式立体运维平台 智能分析 以应用为中心，覆盖组件、实例、主机等多维度关联分析，快速定位异常根因 健康检查 实时监控应用健康状态，通过告警事件及日志分析分钟级追踪到异常业务代码 开箱即用 无需修改业务代码即可接入使用， 非侵入式数据采集，安全无忧 海量日志管理 高性能搜索和业务分析，自动将关联的日志聚类，可按应用、主机、文件名称、实例等维度快速过滤 关联分析 应用和资源层层自动关联，通过应用、组件、实例、主机和事务等多视角分析关联指标和告警数据，直击异常 生态开放 开放了运营、运维数据查询接口和采集标准，支持自主开发

本章节主要介绍锁定用户 。 该任务指导管理员用户将MRS集群中的用户锁定。用户被锁定后，不能在MRS Manager重新登录或在集群中重新进行安全认证。 可通过以下两种方式锁定用户，锁定后的用户需要管理员手动解锁或者等待锁定时间结束才能恢复使用： 自动锁定：通过设置密码策略中的“允许输入错误次数”，将超过登录失败次数的用户自动锁定。具体操作请参见修改密码策略。 手动锁定：由管理员通过手动的方式将用户锁定。 以下将具体介绍手动锁定。不支持锁定“机机”用户。 操作步骤 在MRS Manager，单击“系统设置”。 1. 在“权限配置”区域，单击“用户管理”。 2. 在要锁定用户所在行，单击“锁定用户”，锁定用户。 3. 在弹出的提示窗口，单击“确定”完成锁定操作。

本章介绍函数工作流如何给不同的用户做权限隔离。 如果您需要对FunctionGraph的函数资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制公有云资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有FunctionGraph的使用权限，但是不希望他们拥有删除等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用FunctionGraph，但是不允许删除的权限策略，控制他们对FunctionGraph资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用FunctionGraph服务的其它功能。 FunctionGraph权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。 FunctionGraph资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在各区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问FunctionGraph时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如下表所示，包括了FunctionGraph的所有系统权限。 系统角色/策略名称 描述 类别 依赖关系 FunctionGraph FullAccess 函数工作流服务所有权限 系统策略 无 FunctionGraph ReadOnlyAccess 函数工作流服务只读权限 系统策略 无 FunctionGraph CommonOperations 函数工作流（FunctionGraph）调用者，具有查询函数和触发器，以及调用函数的权限 系统策略 无 说明 当添加了FunctionGraph FullAccess权限的子帐号在创建触发器或使用其他功能时仍没有操作权限，是因为该服务或功能不支持细粒度鉴权，因此需要您单独添加对应服务或功能的Admin权限。具体详情如下： APIG、当前不支持细粒度鉴权，需要添加对应admin权限。 更多触发器及相关功能需要的权限，请参见下表所示。 表 触发器及相关功能的权限 触发器/服务功能 权限 APIG专享版 apig:instances:get apig:instances:create apig:instances:update apig:instances:list apig:sharedInstance:operate DDS dds:instance:get dds:instance:list DMS/Kafka dms:instance:get dms:instance:list LTS lts:groups:create lts:groups:get lts:groups:list lts:groups:put lts:logstreams:delete lts:logstreams:list lts:topics:get lts:subscriptions:create lts:subscriptions:delete lts:subscriptions:put lts:structConfig:create lts:structConfig:get 下表列出了FunctionGraph常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 FunctionGraph ReadOnlyAccess FunctionGraph CommonOperations FunctionGraph FullAccess 创建函数 × × √ 查询函数 √ √ √ 修改函数 × × √ 删除函数 × × √ 调用函数 × √ √ 查看函数日志 √ √ √ 查看函数指标数据 √ √ √

本章节为您介绍API调用者相关内容。 API调用者（Consumer）是某类服务的调用者，需要与用户认证配合才可以使用。 如果路由、服务、API调用者都绑定了相同的插件，只有API调用者的插件配置会生效。 创建API调用者 1.登录API安全网关。 2.在左侧导航栏选择“资源 > API调用者”，进入API调用者列表页面。 3.单击页面左上角的“新增”按钮，开始新增API调用者。 字段 说明 API调用者名称 自定义API调用者名称，只能取唯一值。 描述 对新增的API调用者添加简要描述。 认证方式 选择身份认证方式，支持以下四种选择： 无认证：不开启身份认证方式。 Key认证：Key认证用于向API添加身份验证密钥。它需要与API调用者一起配合才能工作，通过API调用者将其密钥添加到查询参数或请求头中以验证其请求。 摘要签名认证：摘要签名认证可以将HMAC认证添加到服务。它需要与API调用者一起配合才能工作，通过API调用者将其密钥添加到查询参数或请求头中以验证其请求。 JWT认证：将JWT身份验证添加到服务中，通过API调用者将其密钥添加到查询字符串参数、请求头或Cookie中用来验证其请求。 4.添加完成后，单击“下一步”，进入插件配置环节，具体的插件功能请参照控制台说明，若需要启用插件单击对应插件下方的“启用”按钮即可启用。 5.完成插件配置后，单击“下一步”确认API调用者信息，若信息无误单击“保存”即可完成添加API调用者。

训推一体场景 使用场景 主要面向对数据保密及安全有着较高要求的企业单位与科研机构，可有力支撑其在私有化环境中，凭借自有数据开展专属行业大模型的训练或者微调工作，尤其适用于政务、医疗、金融等诸多行业领域，充分满足不同行业对于数据安全及大模型定制化应用的需求。 产品优势 拥有丰富多样的训推一体机规格，可依据不同用户的具体业务规模、算力需求等情况，灵活提供适配性强的产品选择。 配备简单易用的训练平台，极大降低了用户的操作门槛，让即使没有深厚技术背景的人员也能便捷地进行大模型的相关训练操作，有效提升工作效率。 模型推理场景 使用场景 精准契合那些无大模型训练诉求，但又需要在私有化环境下部署自有大模型或引入行业大模型，以此为自身应用赋予智能能力的应用场景，广泛覆盖教育平台、数字政务以及医疗应用等关键领域，通过快速调用内置DeepSeek等系列大模型，获取高效的推理服务，为行业应用提供强大的AI支持，提升业务智能化水平。 产品优势 具备推理加速功能以及量化压缩技术，能够大幅提升模型推理的速度与效率，同时优化资源利用，降低对硬件资源的依赖。 支持在本地进行快速部署，可迅速将大模型的推理能力融入到现有业务体系中，减少部署时间成本，快速实现应用赋能与价值创造。

本文带您了解内网DNS的产品架构。 内网DNS，可用于创建仅能在您的VPC（支持多个VPC）内访问的域名或子域名。使用内网DNS的一般步骤如下： 1. 新建一个内网域名，例如：example.com。 2. 添加需要管理的记录集，比如：www.example.com。 3. 将域名与需要访问的VPC关联。 完成相应配置后，只有与之关联的VPC内才能使用您设置的内网DNS解析记录访问www.example.com。其他环境无法访问该域名（或仅能通过公网解析）。内网DNS提供了内部域名解析机制，确保只有经过授权的VPC能够正确解析这些域名或子域名，从而实现更加安全和可控的访问。 实现原理 内网DNS利用天翼云虚拟私有云VPC的隔离特性（详细信息请参考虚拟私有云），对您的内网域名执行隧道隔离。天翼云的内网DNS采用严格的验证机制，确保您的内网域名在天翼云网络内具有唯一性，只有您本人能够对其进行管理，保障了内网域名的安全性和独特性。 逻辑架构 内网域名（例如example.com）的逻辑架构允许其关联一个或多个VPC。一旦与VPC建立关联，内网域名中的解析记录将在相应的VPC内可被访问和解析，使得特定VPC内的资源能够有效地访问与之关联的内网域名记录。

本小节介绍下载并安装Agent，在数据库端或应用端安装Agent。 下载Agent Agent添加完成后，您还需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent。 每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。若您将添加的Agent删除，在重新添加Agent后，请重新下载Agent。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 操作步骤 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入数据库列表界面。 5. 在“选择实例”下拉列表框中，选择需要下载Agent的数据库所属的实例。 6. 单击数据库左侧的展开Agent的详细信息，在Agent所在行的“操作”列，单击“下载agent”，如图所示。将Agent安装包下载到本地。 请根据安装Agent节点的操作系统类型，选择下载相应的Agent安装包。 Linux操作系统 在“操作系统”为“LINUX64”的数据库中下载Agent安装包 Windows操作系统 在“操作系统”为“WINDOWS64”的数据库中下载Agent安装包 安装Agent（Linux操作系统） 安装Agent后，您才能开启数据库安全审计。通过本节介绍，您将了解如何在Linux操作系统的节点上安装Agent。 1. 将下载的Agent安装包“xxx.tar.gz”上传到待安装Agent的节点（例如使用WinSCP工具）。 2. 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该节点。 3. 执行以下命令，进入Agent安装包“xxx.tar.gz”所在目录。cd Agent安装包所在目录 4. 执行以下命令，解压缩“xxx.tar.gz”安装包。tar xvf xxx.tar.gz 5. 执行以下命令，进入解压后的目录。cd解压后的目录 6. 执行以下命令，查看是否有安装脚本“install.sh”的执行权限。如果有安装脚本的执行权限，请执行步骤7。如果没有安装脚本的执行权限，请执行以下操作：a.执行以下命令，添加安装脚本执行权限。chmod +x install.shb.确认有安装脚本执行权限后，请执行步骤7。 7. 执行以下命令，安装Agent。sh install.sh 说明 用户系统是Ubuntu时，执行以下命令安装Agent。 界面回显以下信息，说明安装成功。否则，说明Agent安装失败。 start agent starting audit agent audit agent started start success install dbss audit agent done! 注意 如果Agent安装失败，请您确认安装节点的运行系统是否满足Linux操作系统要求，并重新安装Agent。 8. 执行以下命令，查看Agent程序的运行状态。service auditagent status，如果界面回显以下信息，说明Agent程序运行正常，audit agent is running。

通过公网访问应用 为了实现从公网访问该应用，一种简便的方式是为该应用绑定公网 ELB 实例。 1. 在应用列表 中查看已创建的应用，点击该应用可以进入其详情页面。 2. 在应用信息 页签中，在应用访问设置 区域选择基于ELB访问 。点击添加公网ELB访问 ，配置如下参数，然后点击确定 。 1. 在ELB实例 中，选择新建ELB实例。 2. 在HTTP协议 页签中，设置HTTP端口 为80，容器端口 为18082。 清理资源 在完成本教程后，建议清理相关资源，避免持续产生费用。 1. 删除应用：进入 caedemo 应用的详情页面，点击更多 > 删除应用，并按照指引操作来删除上述应用。 2. （可选）删除网络资源：在部署应用的过程中，系统自动创建了VPC、交换机、安全组。 1. 查看VPC：在左侧导航栏选择命名空间 ，点击默认 ，在基础信息页面查看VPC，点击链接跳转到VPC详情页。 2. 查看交换机、安全组：在VPC的资源管理标签页点击链接跳转到相应资源的详情页。 3. 在各资源的详情页执行删除操作。 后续步骤 您已通过 Demo 镜像体验了部署应用的流程。CAE 为您提供以下方式来部署实际的应用 ： 使用镜像部署应用（推荐）：您可以将任何应用制作成镜像，然后将其推送到镜像仓库，最后将其部署到 CAE。 使用代码包部署应用：CAE 提供 Java、Python、Go、Node.js、.NET Core特定版本的运行环境，如果与您的代码兼容，则可以使用代码包部署应用。您需要先制作ZIP格式压缩包，然后将其部署到 CAE。 本示例使用系统创建的默认命名空间来部署应用。您也可以通过自定义命名空间来实现不同应用之间、开发/测试/生产环境之间的隔离 。每个命名空间需要绑定一个VPC。部署应用时，需要为应用实例绑定该VPC中的交换机，选择不同可用区的交换机即可实现应用的跨可用区部署。 创建应用后，可以手动调整实例数量与实例规格，或通过配置弹性伸缩策略实现根据访问量、资源使用情况自动调整实例数量。 为应用启用更多进阶功能。例如，微服务治理、持久化日志、应用监控等功能。

本章节主要介绍如何创建KafkaSSL类型跨源认证。 操作场景 通过在DLI控制台创建的KafkaSSL类型的跨源认证，将Kafka的认证信息存储到DLI，无需在SQL作业中配置帐号密码，安全访问Kafka实例。 说明 MRS Kafka开启Kerberos认证，未开启SSL认证时，创建Kerberos类型的认证。建表时通过krbauthname关联跨源认证。 MRS Kafka开启Kerberos认证，同时开启了SSL认证时，需要同时创建Kerberos和KafkaSSL类型的认证。建表时分别通过krbauthname和sslauthname关联跨源认证。 MRS Kafka未开启Kerberos认证，仅开启了SASL认证时（例如使用帐号密码认证PlainLoginModule场景），无需使用跨源认证。 MRS Kafka未开启Kerberos认证，仅开启了SSL认证时，创建KafkaSSL类型的认证。建表时通过sslauthname关联跨源认证。 MRS Kafka未开启Kerberos认证，开启了SASL认证和SSL认证时，创建KafkaSSL类型的认证。建表时通过sslauthname关联跨源认证。 操作步骤 1. 下载认证凭证。 DMS Kafka a.登录DMS Kafka控制台，单击实例名称进入详情页面。 b.在连接信息中，找到SSL证书，单击“下载”。 解压下载的kafkacerts压缩包，获取client.jks和phyca.crt文件。 MRS Kafka a.登录MRS Manager界面。 b.选择“系统 > 权限 > 用户”。 c.单击“更多 > 下载认证凭据”，保存后解压得到Truststore文件。 2. 上传认证凭证到OBS桶。 3. 创建跨源认证。 a.登录DLI管理控制台。 b.选择“跨源管理 > 跨源认证”。 c.单击“创建”。 填写Kafka认证信息，详细参数说明请参考下表。 参数说明 参数 参数说明 类型 选择KafkaSSL。 认证信息名称 所创建的跨源认证信息名称。 名称只能包含数字、英文字母和下划线，但不能是纯数字，且不能以下划线开头。 输入长度不能超过128个字符。 Truststore路径 上传SSL Truststore文件的OBS路径。 MRS Kafka请填写Truststore.jks文件的OBS路径。 DMS Kafka请填写client.jks文件的OBS路径。 Truststore密码 truststore密码。 Keystore路径 上传SSL KEYSTORE(密钥和证书)文件的OBS路径。 Keystore密码 keystore(密钥和证书)密码。 Key密码 keystore中的私钥密码。 4. 访问开启SASLSSL认证的Kafka。 跨源认证创建成功后，在创建访问数据源时只需关联跨源认证即可安全访问数据源。

本页介绍天翼云TeleDB数据库安全认证相关参数。 authenticationtimeout (integer) 完成客户端认证的最长时间，以秒计。如果一个客户端没有在这段时间里完成认证协议，服务器将关闭连接。这样就避免了出问题的客户端无限制地占有一个连接。默认值是1分钟（1m）。这个参数只能在服务器命令行上或者在postgresql.conf文件中设置。 ssl (boolean) 启用SSL连接。这个选项只能在postgresql.conf文件或服务器命令行上设置。默认是off。 sslcafile (string) 指定包含SSL 服务器证书颁发机构（CA）的文件名。 相对路径是相对于数据目录。该参数只能在postgresql.conf 文件或服务器命令行上设置。默认值为空，表示不载入 CA 文件， 并且不执行客户端证书验证。 sslcertfile (string) 指定包含SSL 服务器证书的文件名。相对路径是相对于数据目录的。 这个参数只能在postgresql.conf文件或服务器命令行上设置。 默认值是server.crt。 sslcrlfile (string) 指定包含SSL 服务器证书撤销列表（CRL）的文件名。 相对路径是相对于数据目录。这个参数只能在postgresql.conf 文件中或服务器命令行上设置。默认值为空，意味着不载入 CRL 文件。相对路径是相对于数据目录。这个参数只能在服务器启动时设置。 sslkeyfile (string) 指定包含SSL 服务器私钥的文件名。 相对路径是相对于数据目录。这个参数只能在postgresql.conf 文件中或服务器命令行上设置。默认值为server.key。 sslciphers (string) 指定一个SSL密码列表，用于安全连接。 这个设置的语法和所支持的值列表可以 参见OpenSSL包中的 ciphers手册页。 这个参数只能在postgresql.conf 文件中或服务器命令行上设置。默认值是 HIGH:MEDIUM:+3DES:!aNULL。默认值通常是合理的选择， 除非你有特别的安全性需求。默认值的解释：HIGH使用来自HIGH组的密码的密码组（例如 AES, Camellia, 3DES）MEDIUM使用来自MEDIUM组的密码的密码组（例如 RC4, SEED）+3DESOpenSSL 对HIGH的默认排序是有问题的，因为它认为 3DES 比 AES128 更高。这是错误的，因为 3DES 提供的安全性比 AES128 低，并且它也更加慢。 +3DES把它重新排序在所有其他HIGH和 MEDIUM密码之后。!aNULL禁用不做认证的匿名密码组。这类密码组容易收到中间人攻击，因此不应被使用。可用的密码组细节可能会随着 OpenSSL 版本变化。可使用命令 openssl ciphers v 'HIGH:MEDIUM:+3DES:!aNULL'来查看 当前安装的OpenSSL版本的实际细节。注意这个列表是根据服务器密钥类型 在运行时过滤过的。

本节介绍如何通过漏洞扫描服务为Linux系统的主机配置跳板机。 操作场景 该任务指导用户通过漏洞扫描服务为Linux系统的主机配置跳板机。 说明 当前仅支持添加Linux系统跳板机。 前提条件 已获取管理控制台的登录账号和密码。 已添加Linux系统的主机。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在主机授权页面，批量选择需要添加跳板机的主机，单击“批量配置跳板机”。 说明 用户也可以单台主机添加跳板机，在目标主机所在行的“操作”列，单击“配置跳板机”。 如果需要修改主机名称，单击编辑按钮，在弹出的对话框中，进行修改。 6. 在“配置跳板机”对话框中，选择已有跳板机，或者单击“添加新的跳板机”，添加跳板机，如下图所示。 说明 如果需要修改已有跳板机，单击“编辑”，进行修改。 如果需要删除已有跳板机，单击“删除”，删除跳板机。 如果需要添加新的跳板机，请执行以下操作步骤。 1. 单击“新增跳板机”。 2. 在“添加跳板机”对话框中，设置配置参数，配置说明如下表所示。 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 3. 单击“确认”。 7. 单击“确定”，跳板机配置成功。 如果需要解除绑定主机的跳板机，在目标主机的“操作”列，单击“更多 > 解除跳板机”，解除跳板机。

本文主要介绍抗D功能。 DDoS防护 支持TCP、UDP网络协议防护，如syn flood ，ack flood，空连接等，通过对数据报文的实时检测和分析，过滤畸形包、判断报文合法性、进行丢弃异常请求，进而高效阻断攻击。 CC防护 CC防护根据访问者的URL、频率、行为等访问特征，快速且智能识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 访问控制 可针对IP，IP段，URI，CI，METHOD，请求地区，请求参数，请求头部，请求协议等维度进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 可视化报表 提供可视化报表展示、定时报表服务，可获取攻击事件的攻击趋势图、防护带宽、攻击类型、TOP攻击IP等数据，实时掌握网站安全情况。 告警通知 可设置CC攻击、网络层攻击不同维度攻击的告警，灵活设置攻击告警的阈值、通知地址，告警内容包含攻击事件详情，让客户对攻击事件了如指掌。

本节主要介绍IAM用户绑定MFA。 对于IAM用户，点击“访问控制”>“安全凭证”>“MFA”，可以绑定MFA。 注意 MFA认证仅IAM用户支持，但是如果没有授权使用MFA认证，则IAM用户无法进行MFA认证。 点击“绑定”，进行MFA绑定，步骤如下： 1. 安装应用 在手机端下载安装基于时间的一次性密码（TOTP）口令认证工具。 2. 绑定MFA 可以使用扫码获取和手动获取两种方式获取验证码。 注意 输入的“第一组验证码”和“第二组验证码”必须是连续的。 3. 完成 注意 如果您后续不再使用 MFA ，并希望卸载已安装的动态口令工具，请先解绑已绑定的MFA设备。如果您在未解绑MFA的情况下卸载动态口令工具，可能会造成相关用户不可用，请慎重操作。