本文为您介绍如何使用Logstash组件将数据导入至天翼云云搜索服务Elasticsearch实例。 Logstash是一个开源的服务器端实时数据处理工具，支持从多个数据源中提取数据，经过处理后将数据导入到Elasticsearch中。它非常适合处理流数据，如日志、监控数据和指标数据。 适用场景 日志数据、监控数据、流数据等。 前提条件 已经开通天翼云云搜索Elasticsearch实例。 已经部署Logstash且打通和Elasticsearch实例之间的网络。 Logstash配置 Logstash可以接收很多数据源，可以根据实际的需求配置。 这里使用Filebeat作为Logstash的输入。 配置yourlogstash.conf管道文件。 Logstash需要接收Filebeat的输出并进行处理，示例配置如下： input { beats { port > 5044 } } 对数据进行处理。 filter { mutate { removefield > ["@version"] } } output{ elasticsearch{ Elasticsearch实例的访问地址。 hosts > [" " " 访问Elasticsearch实例的用户名和密码，如无安全机制可不配置。 user > "" password > "" 配置写入的索引名,示例如下。 index > "filebeatlogstashes%{+YYYY.MM.dd}" } } 启动Logstash导入数据 可以使用下面的命令在命令行来启动Logstash导入数据： ./bin/logstash f yourlogstash.conf

本页介绍天翼云TeleDB数据库如何创建、编辑、查看和删除角色。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树选择安全中心 > 用户管理 ，进入用户管理页面。 3. 创建角色 1. 在用户管理 页面，单击创建用户 ，出现创建用户对话框。 2. 在创建用户 对话框，输入用户账号 、用户名称 、用户角色 、用户密码 、确认密码 和邮箱 ，单击确定，完成创建用户。 4. 批量导入用户 1. 单击批量导入 ，出现批量导入对话框。 2. 进入批量导入对话框，单击上传文件，文件上传完成后，单击导入即可批量导入用户。 说明 上传的文件格式需符合下载模板，若不符合，可先下载模板，填写完成后重新上传，每次只能上传一个文件，且不超过2MB。 5. 编辑用户 单击目标用户所在的编辑按钮，修改用户。 6. 删除用户 单击目标用户所在行的删除按钮，即可删除对应的用户。 7. 查看用户详情 单击目标用户所对应的详情，即可查看该用户的具体信息。 8. 查看用户列表 您可根据角色和用户名称进行搜索。

本页介绍天翼云TeleDB数据库如何创建、批量导入用户。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树选择安全中心 > 用户管理 ，进入用户管理 页面。 3. 创建角色 1. 在用户管理 页面，单击创建用户 ，出现创建用户 对话框。 2. 在创建用户 对话框，输入用户账号 、用户名称 、用户角色 、用户密码 、确认密码 和邮箱 ，单击确定 ，完成创建用户。 4. 批量导入用户 1. 单击批量导入 ，出现批量导入 对话框。 2. 进入批量导入 对话框，单击上传文件，文件上传完成后，单击导入即可批量导入用户。 说明 上传的文件格式需符合下载模板，若不符合，可先下载模板，填写完成后重新上传，每次只能上传一个文件，且不超过2MB。 5. 编辑用户 单击目标用户所在的编辑 按钮，修改用户。 6. 删除用户 单击目标用户所在行的删除 按钮，即可删除对应的用户。 7. 查看用户详情 单击目标用户所对应的详情 ，即可查看该用户的具体信息。 8. 查看用户列表 您可根据角色和用户名称进行搜索。

服务类型 计费项说明 适用的计费模式 计费公式 SSL证书 根据证书版本、加密标准、证书种类、域名类型、有效期、购买数量计算费用。 按个计费 所选规格证书单价×购买数量 × 有效期（购买年份） 私有（内网）证书 根据证书版本、加密标准、证书种类、域名类型、有效期、购买数量计算费用。 按个计费 所选规格证书单价×购买数量 × 有效期（购买年份） 个人证书 个人证书是由权威CA机构颁发的数字身份证，用于身份认证、数据签名和加密通信等场景。 按个计费 个人证书单价 ×购买数量 × 有效期（购买年份） 证书托管服务 对于天翼云上云产品，实现证书更新后的自动替换能力。 按次计费 托管证书服务单价 × 购买数量 第三方证书部署服务 上传证书一键部署到云产品的服务，将证书部署到一个云产品资源，需要消耗一次部署服务。 按次计费 部署服务单价 × 购买数量 域名监控服务 开启域名监控后，可帮助监测多个站点的HTTPS业务状态，并及时发现站点上的SSL证书安全问题，方便统一维护多站点HTTPS。 按次计费 域名监控服务单价 × 购买数量

本章节主要介绍ALM14028 待补齐的块数超过阈值的告警。 告警解释 系统每30秒周期性检测待补齐的块数量，并把待补齐的块数量和阈值相比较。需补齐的块数量指标默认提供一个阈值范围。当检测到丢失的块数量超出阈值范围时产生该告警。 用户可通过“运维 > 告警 > 阈值设置 > 待操作集群名称 > HDFS > 文件和块 > 需要复制副本的块总数（NameNode）”修改阈值。 平滑次数为1，待补齐的块数量小于或等于阈值时，告警恢复；平滑次数大于1，待补齐的块数量小于或等于阈值的90%时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 14028 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 NameService名 产生告警的NameService名称。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 HDFS存储数据丢失，HDFS可能会进入安全模式，无法提供写服务。丢失的块数据无法恢复。

本章节主要介绍 ALM14003 丢失的HDFS块数量超过阈值。 告警解释 系统每30秒周期性检测丢失的块数量，并把丢失的块数量和阈值相比较。丢失的块数量指标默认提供一个阈值范围。当检测到丢失的HDFS块数量超出阈值范围时产生该告警。 用户可通过“运维 > 告警 > 阈值设置 > 待操作集群的名称 > HDFS”修改阈值。 平滑次数为1，丢失的HDFS块数量小于或等于阈值时，告警恢复；平滑次数大于1，丢失的HDFS块数量小于或等于阈值的90%时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 14003 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 NameService名 产生告警的NameService名称。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 HDFS存储数据丢失，HDFS可能会进入安全模式，无法提供写服务。丢失的块数据无法恢复。 可能原因 DataNode实例异常。 数据被删除。 处理步骤

字段 字段说明 备注 姓名 非必填，可填写员工姓名用于身份标识。 账号 必填，用于登录和唯一标识的账号，不可修改，可包含数字、符号（仅支持“” 、“.”、“”、“·”），不允许企业内账号重复。 归属组织 勾选归属组织，默认位置为您的根组织节点，组织信息来源于组织分页管理的组织列表。 若使用批量导入用户功能，则此字段需要填写组织全路径，不同级别组织之间使用“”分隔，例如xx一级组织xx二级组织。 状态 用户状态分为正常、禁用和锁定。 若被锁定，则用户账号状态显示为“锁定”，若想将用户进行解锁正常登录，请点击更多的解锁按钮 。 用户组 非必填，勾选适合的用户组，用户组信息来源于用户组管理栏目配置的用户组列表。 手机号 非必填，默认不允许企业内员工手机号重复，手机号可设置直接登录认证，或用于开启二次认证功能后的校验码接收。 邮箱 非必填，默认不允许企业内员工邮箱重复，邮箱可设置直接登录认证，或用于开启二次认证功能后的校验码接收。 初始密码 非必填，支持自定义填写密码，也支持点击自动生成按钮随机生成密码。若未设置则默认初始化密码，设置的密码均需满足登录策略密码策略配置的要求。 出于安全考虑，首次采用初始化密码必须修改密码，建议可采用“忘记密码”直接重置密码。 若使用批量导入用户功能，则无此字段，系统会根据密码策略自动生成用户初始密码。 是否审批负责人 非必填，定义其是否为审批负责人，仅定义是审批负责人的人员，才可被其他员工选中为其审批负责人。 审批负责人 非必填，主要用于权限申请环节，若配置需要审批负责人审核，则员工对应的审批负责人将进行审批。 员工属性 非必填，可定义员工属性，如外协、正式、其他。 备注 非必填，填写用户备注的一些信息。 账号有效期 非必填，若未选择，则默认是永久有效，可选择账号到期时间，在到期时间之后，该账号将被设置为禁用状态，被禁用的账号在登录后将进行拦截，需重新设置有效期，其账号状态才变成启用。若是被手动禁用的账号，在账号有效期过期后，除重新设置有效期外，还需手动进行账号启用。 通知方式 批量新增用户或单用户新增时可进行选择是否通知用户。 目前仅支持短信通知，若未配置手机号则不进行发送通知。 通知内容：出于安全考虑可以默认仅通知账号，员工可通过“忘记密码”进行重置密码后登录；若同时勾选密码，则会发送初始密码+账号，首次登录将强制要求进行修改密码。

迁移源 信息项 说明 源Redis （列出所有待迁移的实例） 源Redis实例的IP地址 源Redis （列出所有待迁移的实例） Redis访问密码（如有） 源Redis （列出所有待迁移的实例） 总数据量大小 info memory命令查询得到，参考usedmemoryhuman的值。 用于评估迁移方案、DCS缓存实例规格、ECS可用磁盘空间等是否满足，以及预估迁移耗时（业务中断时间）。 源Redis （列出所有待迁移的实例） 不为空的数据库编号 info keyspace命令查询得到。 用于确认迁移是否涉及多数据库，非AOF文件方式迁移，部分开源工具可能须逐库处理导出和导入。 DCS缓存实例中，单机和主备实例支持0255共256个数据库，集群默认只提供一个数据库。 源Redis （列出所有待迁移的实例） 各数据库的key数量 用于迁移后进行数据完整性验证。 源Redis （列出所有待迁移的实例） 数据类型 CDM迁移服务当前支持Hash和String两种数据格式，如果源数据含有list、set之类数据，请采用第三方迁移工具。 ECS（弹性云主机） 如果待迁移实例较多，可准备多台ECS并行迁移 弹性IP地址 选择与DCS缓存实例网络互通的弹性云主机进行数据导入，确保导入过程网络稳定。 带宽建议选取高配，提升数据传输效率。 ECS（弹性云主机） 如果待迁移实例较多，可准备多台ECS并行迁移 系统登录用户/密码 ECS（弹性云主机） 如果待迁移实例较多，可准备多台ECS并行迁移 CPU/内存 部分迁移工具支持多线程并行导入，使用高规格ECS，能提升导入速度。 ECS（弹性云主机） 如果待迁移实例较多，可准备多台ECS并行迁移 可用磁盘空间 ECS需要预留足够的可用磁盘空间，存储压缩文件以及解压后的缓存数据文件。 注：为提高数据传输效率，对于较大的数据文件，建议压缩后再传输到弹性云主机。 DCS缓存实例 （根据源Redis实例数与数据量情况选择合适的规格与实例数） 实例连接地址 DCS缓存实例 （根据源Redis实例数与数据量情况选择合适的规格与实例数） 实例连接端口 DCS缓存实例 （根据源Redis实例数与数据量情况选择合适的规格与实例数） 实例访问密码 DCS缓存实例 （根据源Redis实例数与数据量情况选择合适的规格与实例数） 实例类型 DCS缓存实例 （根据源Redis实例数与数据量情况选择合适的规格与实例数） 实例规格/可用内存 网络配置 VPC 提前规划VPC，确保应用服务、DCS缓存实例等处于相同VPC中。 网络配置 子网 网络配置 安全组或白名单 由于Redis 3.0和Redis 4.0/5.0/6.0实例部署模式不一样，控制访问方式也不一样，需要制定相应的安全组或白名单规则，确保网络连通。 ... ... 其他配置信息 。

参数 是否必选 参数说明 名称 是 创建伸缩配置的名称。 可用区 是 多可用区资源池可选择伸缩组绑定的伸缩配置，在指定可用区扩缩容。当伸缩配置绑定的伸缩组使用优先级扩容策略时，可用区选择顺序将决定优先级。 配置规格 是 配置规格有两种选择，使用新规格与使用现有云主机规格： 选择“使用现有云主机规格>请选择云主机” 创建配置，云主机类型、 vCPU、内存、镜像、云硬盘数据、安全组信息将默认与选择的云主机规格保持一致。 选择“使用新规格”，接下来根据实际业务需求配置云主机类型、vCPU、内存、镜像（支持公共镜像、私有镜像或共享镜像）、云硬盘参数、安全组信息。 弹性IP 是 弹性IP可以实现虚拟私有云中的云资源通过固定的公网IP 地址与互联网互通。您可以根据实际需求选择以下两种方式： 不使用：弹性云主机不能对外提供访问服务，仅可在虚拟私有云内部进行内网互通。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽值可以由您设定。 登录方式 是 天翼云提供两种登录方式供您选择，密钥对和密码。密钥对指使用密钥作为弹性云主机的鉴权方式进行登录。选择此方式，请您在密钥对配置项中导入密钥对。 说明： 如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件且可以登录云主机，否则，将影响您正常登录弹性云主机。 密码指使用设置 root 用户（Linux 操作系统）和 Administrator 用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。您需要为您的用户设置密码，并确认密码，确保能够成功登录云主机。 云监控 否 是否开启详细监控。若开启，在云主机创建成功后35分钟将自动执行详细监控Agent安装，可获取云服务器CPU、内存、网络、磁盘、进程等指标详细监控；若不开启，则通过该伸缩配置创建的云主机无任何监控数据。 是否编辑标签 否 是否启用标签。若启用，通过该伸缩配置创建的云主机默认绑定标签；若不启用，则通过该伸缩配置创建的云主机无标签。 用户数据 否 用于创建云主机时向云主机注入实例自定义数据。伸缩配置支持以文本形式输入用户数据内容，配置后，云主机首次启动时会自行注入数据信息。 例如：您可以通过注入一段脚本，激活待创建云主机的root用户权限，注入成功后，您可以使用root用户登录弹性云主机。

参数 配置说明 跳过镜像 正常镜像：正常规则运行流程，即启动规则后遍历→镜像→复制； 直接进入复制状态：启动规则后，规则跳过镜像阶段，直接进入复制状态，即不对存量数据做同步； 仅同步目录：启动规则后，仅同步目录。 校验方式 在重镜像过程中有四种校验方式可以选择，默认选择总是严格校验。校验方式支持以下四种： 总是严格校验：每个文件都做严格校验并差异镜像，若文件不一致则覆盖该文件。 时间校验，不一致则严格校验：先做时间校验，若一致则对比下个文件，若不一致做严格校验并差异镜像。 时间校验，不一致覆盖目标文件：先做时间校验，若一致则对比下个文件，若不一致覆盖目标文件。 总是覆盖目标文件：每个文件都覆盖目标文件。 校验算法 支持MD5和SHA256两种数据校验算法，默认为MD5。 错误处理方式 如果源路径包含系统目录和文件，MDR程序可能无法访问某些特定的系统文件。对于这种情况，提供两种方式： 遇到错误，立即停止：遇到无法访问的文件时，立刻停止镜像。 遇到错误，写入日志并继续同步：在遇到无法访问的文件时，记录无法访问的文件后，继续镜像。 文件打开方式 在镜像阶段，源端打开文件的方式，该选项只适用于Windows平台的工作机。在增量复制阶段，MDR程序不会读取文件内容。 普通文件：指MDR程序以普通文件的方式打开需镜像的文件，效率较高。 自动选择：MDR程序根据实际情况自动选择打开文件的方式。 MFT：指MDR程序以MFT（Windows 操作系统提供）方式打开需要镜像的文件，该种方式可以打开已经被其他进程以独占方式打开的文件，比如数据库文件等，该种方式镜像效率相比普通文件方式较差。 文件安全属性 设置工作机文件的用户权限等安全属性是否需要同步到备端，默认为“同步”。 遍历时镜像 启动遍历时镜像，复制规则在遍历过程中进行数据校验；不启用遍历时镜像，复制规则会在遍历结束后进行数据校验。 并行任务数 设置并行任务数，设置软件并发连接数，对于海量小文件、单连接达到最大带宽时，可以大大提升备份速度。 孤儿文件处理方式 针对复制规则镜像阶段的孤儿文件进行处理，可选择的处理方式包括： 不处理：镜像阶段孤儿文件不做处理，继续保留在灾备机目标目录内；此项为默认选项； 删除：镜像阶段删除这些孤儿文件，保持工作机和灾备机的目录文件完全一致； 归档：镜像阶段灾备机上的孤儿文件会从目标目录移动到指定路径；选择此项时需要额外指定归档路径。

该任务指导用户通过漏洞扫描服务添加主机。 说明 漏洞扫描服务的基础版不支持主机扫描功能，如果您是基础版用户，请通过以下方式使用主机扫描功能： 购买专业版或企业版 按次购买主机扫描功能 按次一次性扣费，每次最多可以扫描20台主机。 操作场景 漏洞扫描服务支持添加Linux操作系统和Windows操作系统的主机。 Linux主机扫描支持主机漏洞扫描、基线检测、等保合规检测。 Windows主机扫描目前仅支持主机漏洞扫描。 前提条件 已获取管理控制台的登录账号与密码。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 单击“添加主机”，进入“添加主机”页面。 5. 在“添加主机”页面，执行以下操作。 单个添加主机：单击“添加主机”，如下图所示。 添加主机配置参数说明： 参数名称 参数说明 主机名称 用户需要添加的主机名称。 IP地址 添加主机的公网IP地址。 操作系统类型 支持Linux操作系统和Windows操作系统。 是否使用跳板机 如果用户的主机需要通过代理IP才能访问，需要使用跳板机。 跳板机只支持Linux操作系统。 跳板机 可在下拉框中选择已有跳板机，或者单击“新增跳板机”，添加跳板机。 操作 可单击“克隆”复制主机信息。 可单击“删除”删除主机信息。 批量添加主机 1. 单击“批量添加主机”，在“批量添加主机”对话框中，配置IP地址。多个IP地址，使用换行分开。 2. 单击“添加主机”。 如果需要添加新的跳板机，请执行以下操作步骤。 1. 单击“新增跳板机”。 2. 在“添加跳板机”对话框中，设置配置参数，如下图所示，配置说明如下表所示。 跳板机配置参数说明： 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 3. 单击“确认”。 6. 单击“下一步”，添加主机完成，请参见配置Linux主机授权和配置Windows主机授权执行主机授权的操作。

软件分发能力用于统一管理企业员工安装的软件,确保终端获取正确合规的软件。 背景说明 不同企业往往有不同的必装软件清单，为确保每个员工终端电脑上都能正确安装这些软件，通常需要进行软件的分发与安装。 注意 客户端版本：支持Windows客户端，需为2.25.10及以上客户端。 套餐版本：已订购终端管理基础版套餐或零信任企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏展开软件管控并点击【软件分发】，查看软件分发相关内容。 3. 可根据业务需求进行相关配置。 上传软件 点击“上传软件”，输入软件的基础信息和安装包参数，主要字段说明如下。 字段 说明 安装包 支持exe、msi格式的安装包，单次仅支持一个文件，文件大小不超过500M。软件存储空间默认5GB。 运行环境 分发时，仅分发至对应位数的设备。 Windows 64位，Windows 32位。 Windows 64位。 Windows 32位。 运行参数 可用于软件的静默安装，系统将根据此参数执行安装任务，不填写则默认执行交互式安装。 安装校验 用于判断软件是否安装成功，填写几项则校验几项，如未填写则不校验。 默认不勾选。 勾选时，支持输入名称或发布者。

本文介绍如何使用AOne创建同步任务,将橙讯的组织机构数据同步至AOne平台。 功能介绍 橙讯是中国电子科技集团旗下推出的安全电子邮件及协同办公平台。通过在您的服务平台（以下简称“平台”）配置橙讯同步任务，即可实现将橙讯中的组织架构和用户信息同步至平台，为平台上的应用提供统一的身份源，帮助企业完成从橙讯到平台的身份打通与认证管理。 前置条件 请提前确认您拥有橙讯企业管理后台的超级管理员或组织架构管理员权限。如未开通，请先联系橙讯售后或您的客户经理开通相关接口调用权限。 注意 目前该能力暂未全面开放至控制台，若想要进行该能力配置，可联系我们)进行开启。 操作步骤 管理员创建橙讯应用 1.创建应用 访问橙讯管理后台，在“管理后台”界面中点击“创建应用”。 点击“工作台”，选择“添加应用”。 填写应用名称、描述等信息后完成创建。 2.应用相关权限配置 应用创建完成后，在应用详情页的“授权信息”界面，查看并记录下 App Key、Corp Secret、Corp Id 和 Signature Key，这四个信息将用于后续创建同步任务。 在通讯录同步模块，开启“同步状态”，勾选同步字段及选择同步范围（与应用可见范围保持一致全组织/部分成员）。

业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

如何设置物理机镜像密码的有效期？ 如果物理机镜像密码已过期导致无法登录，请联系运营管理员处理。 如果物理机还可正常登录，用户可以参考以下操作设置密码有效期，避免密码过期造成的不便。 1. 登录物理机操作系统，打开/etc/login.defs文件。 sudo vi /etc/login.defs 找到配置项“PASSMAXDAYS”，该参数表示密码的有效时间。 PASSMAXDAYS Maximum number of days a password may be used. PASSMAXDAYS 90 2. 修改步骤1中“PASSMAXDAYS”参数的取值。将“PASSMAXDAYS”修改为您期望的密码有效期，比如将其修改为365表示密码有效期为一年： Sudo chage M 365 username 如果希望密码永不过期，可以将其设置为99999。其中，99999为密码有效期限，username为系统用户。 建议用户根据实际情况及业务需求进行配置，定期使用该命令更新密码有效期。 3. 再次执行 vi /etc/login.defs ，验证配置是否生效。 PASSMAXDAYS Maximum number of days a password may be used. PASSMAXDAYS 365 如何设置SSH服务配置项？ 您可以根据需要选择登录物理机的登录方式或帐户类型，如果需要特殊配置，可执行以下操作： 1. 如果要禁用密码远程登录，仅支持证书登录的方式，以提高物理机的安全性，可设置如下参数： 查看文件‘/etc/cloud/cloud.cfg’中是否存在参数‘sshpwauth’，如果不存在，则添加以下行并将其值设为‘false’： sshpwauth: false 查看文件‘/etc/ssh/sshdconfig’中的参数‘ChallengeResponseAuthentication‘，将其值设为‘no’： ChallengeResponseAuthentication no 这样设置后，使用Xshell等工具登录时，将拒绝通过密码输入登录。 2. 如果开放root密码远程登录并开启root用户的SSH权限，需要执行以下操作： 说明 允许root用户登录有一定的安全隐患，请谨慎操作。 打开’/etc/ssh/sshdconfig’文件，找到'PasswordAuthentication’参数，将其值设置为‘yes’： PasswordAuthentication yes 修改‘ /etc/shadow ’文件，将root帐户的密码hash值中添加‘ !! ’，将其锁定，避免安全风险。 请注意，修改SSH配置项需要以root权限进行，使用vi或其他编辑器打开相应的文件，进行修改并保存。修改完成后，可以重启SSH服务以使更改生效： sudo service ssh restart

本章节介绍如何获取长期有效的登录指令,长期有效登录指令的有效期为永久。 操作场景 本章节介绍如何获取长期有效的登录指令，长期有效登录指令的有效期为永久。 说明 l 为保证安全，获取登录指令过程建议在开发环境执行。 操作步骤 步骤 1 获取区域项目名称、镜像仓库地址。 登录SWR管理控制台。 将鼠标移至页面右上角用户名称上，在下拉菜单中，单击“我的凭证”。 图 我的凭证 在项目列表中找到您的虚拟机的所属区域及项目： 图 区域与项目 您可以按照获取到的项目信息拼接镜像仓库地址，拼接方式为: registry.区域项目名称.ctyun.cn 如用户虚拟机所在区域为苏州，那么对应的镜像仓库地址为：registry.cnjssz 1.ctyun.cn 。 步骤 2 获取AK/SK访问密钥。 注意 访问密钥即AK/SK（Access Key ID/Secret Access Key），表示一组密钥对，用于验证调用API发起请求的访问者身份，与密码的功能相似。如果您已有AK/SK，可以直接使用，无需再次获取。 登录IAM管理控制台，将鼠标移到用户名处，单击“我的凭证”。 在左侧导航栏中选择“访问密钥”，单击“新增访问密钥”。 输入描述信息，单击“确定”。 在弹出的提示页面单击“立即下载”。 下载成功后，在“credentials”文件中即可获取AK和SK信息。 表 credentials文件示例 User Name Access Key Id Secret Access Key a RVHVMX H3nPwzgZ 说明 为防止访问密钥泄露，建议您将其保存到安全的位置。 步骤 3 登录一台Linux系统的计算机，执行如下命令获取登录密钥。 printf "AK" openssl dgst binary sha256 hmac "SK" od An vtx1 sed 's/[ n]//g' sed 'N;s/n//' 请将AK 替换为步骤2 credentials文件 的 Access Key Id ，SK 替换为步骤2 credentials文件 的 Secret Access Key 。 示例： printf "RVHVMX" openssl dgst binary sha256 hmac "H3nPwzgZ" od An vtx1 sed 's/[ n]//g' sed 'N;s/n//' 执行上面的命令后，我们得到的登录密钥如下： cab4ceab4a1545 说明 以上密钥仅为示例，请以实际获得的密钥为准。 步骤 4 使用如下的格式拼接登录指令。 docker login u [区域项目名称] @ [AK] p [登录密钥] [镜像仓库地址] 其中，区域项目名称和镜像仓库地址在步骤1中获取，AK在步骤2中获取，登录密钥为步骤3的执行结果。 示例： docker login u cnjssz1@RVHVMX p cab4ceab4a1545 registry.cnjssz1.ctyun.cn 当显示“Login Succeeded”，即为登录成功。 说明 l 登录密钥字符串是经过加密的，无法逆向解密，从p无法获取到SK。 l 获取的登录指令可在其他机器上使用并登录。 步骤 5 （可选）当您退出仓库时，请使用以下命令删除您的认证信息。 cd /root/.docker/ rm f config.json 步骤 6 （可选）使用history c命令清理相关使用痕迹，避免隐私信息泄露。

天翼云Prometheus监控服务提供了HTTP API地址，您可以在自建的Grafana中接入Prometheus监控数据，或在二次开发过程中通过Prometheus API获取监控数据。 前提条件 已创建Prometheus 实例。 客户端网络已经与暴露接口打通。 操作指南 步骤一：获取用户的AccessKey和AccessKey Secret 如果您已创建Prometheus实例，且您需要使用AccessKey和AccessKey Secret进行远程读写，则需要先为获取用户的AccessKey ID和AccessKey Secret。 1. 通过实名认证的账号登录天翼云。 2. 进入天翼云账号中心。 3. 点击【安全设置】进入安全设置中心 4. 在用户AccessKey模块，可创建AKSK，或直接查看已生成的AKSK。 步骤二：获取HTTP API地址 1. 登录应用性能监控控制台，左侧菜单选择Prometheus监控，进入实例列表页面。 2. 单击目标实例名称。 3. 在设置页签上，复制HTTP API地址。 4. 可以单击生成token，获取Prometheus实例的鉴权Token。 注意 生成Token后，可在Grafana中添加数据源时配置Token，否则必须配置用户的AccessKey和AccessKey Secret。 步骤三：接入自建Grafana（token接入） 1. 配置Grafana数据源。 1. 以管理员账号登录本地Grafana系统。 2. 点击页面左上角的图标。 3. 在左侧导航栏中选择Configuration > Data Sources。说明：仅管理员可以看到此菜单。 4. 在Data Sources页签上单击+ Add new data source。 5. 在Add data source页面上单击Prometheus。 6. 在Settings页签的Name字段中输入自定义的名称，在Prometheus server URL字段中粘贴上文【步骤一：获取HTTP API地址】中获得的HTTP API地址。 7. 单击+ Add header，在Custom HTTP Headers区域单击+Add header，设置Header为Authorization，设置Value为【步骤二：获取HTTP API地址】中获取的鉴权Token。 8. 单击页签底部的Save & Test。 2. 验证结果。 1. 登录本地Grafana系统。 2. 点击页面左上角的图标，然后在左侧导航栏中单击Dashboards， 3. 点击Dashboards页面右侧的New，然后在下拉菜单中单击New dashboard。 4. 点击+ Add visualization， 5. 在Select data source页面选择您创建的数据源。 6. 在Edit Panel页面的Query页签下的A区域的Metrics字段和Label filters字段中输入指标名称和值，单击Run queries进行查询。 如果能显示出相应指标的图表，则说明操作成功。否则请检查填写的接口地址或Token是否正确，以及数据源是否有Prometheus的监控数据。

3、安全设置 连接安全性：该设置决定服务器连接是否加密。无：不加密；SSL/TLS：加密（推荐）；STARTTLS：连接以不加密开始，如果服务器支持，那么尝试加密。 验证方式：该设置是认证连接账号的方式。邮箱账户提供商会决定使用何种方式进行认证，您可以登录邮箱服务器端查看。 4.完成以上邮箱配置即登录成功 验证过程可能会持续1分钟左右，当出现“尝试常用服务器名称后找到配置”即完成账密即服务器验证，点击“完成”即登录成功。 说明 IMAP和POP有什么区别？ POP允许电子邮件客户端下载服务器上的邮件，但是您在电子邮件客户端的移动邮件、标记已读、删除邮件等操作，是不会反馈到服务器上的。比如：您通过AOneMail客户端收取了邮箱中的5封邮件并移动到了其他文件夹，这些移动动作是不会反馈到服务器上的，也就是说，邮箱服务器上的这些邮件是没有同时被移动的。 但是IMAP就不同了，电子邮件客户端的操作都会反馈到服务器上，您对邮件进行的移动邮件、标记已读、删除邮件等操作服务器上的邮件也会做相应的动作。即，IMAP是“双向”的。 同时，IMAP可以只下载邮件的主题，只有当您真正需要的时候，才会下载邮件的所有内容。 如何导入AOneMail旧数据 1.进入AOneMail主界面，点击导入。 2.点击从另一个AOneMail安装导入，点击下一步。 3.选择配置文件目录或ZIP文件作为配置文件导入，点击下一步。 4.选择需要导入的内容并点击继续。 5.点击开始导入，确认导入成功后需要重启AOneMail。

本节介绍了容器镜像加签验签的用户指南。 概述 镜像签名功能保障镜像来源安全可靠，避免中间人攻击和非法镜像的更新与运行。CRS支持为命名空间的镜像自动加签，每次推送容器镜像后都会匹配加签规则自动加签，保障您的容器镜像内容可信。 镜像签名步骤 为命名空间下的镜像设置自动加签的步骤如下： 1. 登录容器镜像服务控制台。 2. 在顶部菜单栏，选择所需资源池。 3. 在实例页面中选择容器镜像仓库实例。 4. 在企业版实例管理页面的左侧菜单上选择"安全可信" "镜像签名"，点击左上角的创建镜像加签规则按钮。 5. 在弹出的对话框，填写镜像加签规则的，然后点击“确定”按钮，完成创建，界面各项参数说明如下表； 参数 是否必选 说明 命名空间 必选 选择需要自动加签的命名空间名称 使用默认私钥 非必选 加签时是否使用默认的私钥，勾选则表明使用默认私钥加签，若不勾选则表明使用自定义私钥，则需要往下录入自定义私钥的信息 私钥 非必选 如果上述"使用默认私钥"不勾选，则必须在此框填入自定义私钥的信息，可以将私钥直接贴入，或者从"文件导入"，私钥目前只支持长度位数是2048，格式为PKC8的RSA密钥 密码 非必选 如果创建RSA密钥对时有添加密码，则需要再此处填上，否则会影响加签执行 6. 创建完毕的规则会展示在镜像签名的列表中，可对签名规则进行编辑，如更换签名密钥等。 注意 1. 镜像加签不会影响镜像的常规使用，更不会影响镜像中原有的能力及业务功能。 2. 单个命名空间只能创建一个加签规则。 3. 如果是使用自定密钥，密钥对需要自行保存维护好，使用跟密钥对应的公钥方可验签成功。

本章节主要介绍物理机实例概述。 实例概述 物理机实例即您创建的一台物理机服务器。不同实例类型提供不同的计算能力、存储空间、网络性能，您可以基于业务需求选择不同类型的实例。当天翼云向您交付一个实例时，您将获得这台服务器完整的控制权限，包括开机、关机、带内管理等。 实例类型 目前天翼云提供的物理机CPU，均为x86架构，根据业务需求选购不同配置的物理机服务器。 x86 V4实例（CPU采用Intel Broadwell架构） x86 V5实例（CPU采用Intel Skylake架构） x86 V6实例（CPU采用Intel Cascade Lake架构） 其他说明 基于本地盘的物理机服务器，系统盘默认RAID 1，数据盘默认直通盘。如果需要更改数据盘RAID配置，可以联系管理员变更。系统盘RAID不支持变配。 常用的RAID级别 RAID 0 RAID 0又称为条带化（Stripe）或分条（Striping），代表了所有RAID级别中最高的存储性能。RAID 0提高存储性能的原理是把连续的数据分散到多个硬盘上存取。这样，当系统有数据请求时就可以在多个硬盘上并行执行，每个硬盘执行属于它自己的那部分数据请求。这种数据上的并行操作可以充分利用总线的带宽，显著提高硬盘整体读写性能。但由于其没有数据冗余，无法保护数据的安全性，只能适用于I/O要求高，但数据安全性要求低的场合。 图1 RAID 0数据存储原理 RAID 1 RAID 1又称镜像（Mirror或Mirroring），即每个工作盘都有一个镜像盘，每次写数据时必须同时写入镜像盘，读数据时同时从工作盘和镜像盘读出。当更换故障盘后，数据可以重构，恢复工作盘正确数据。RAID 1可靠性高，但其有效容量减小到总容量一半以下，因此常用于对容错要求较高的应用场合，如财政、金融等领域。 图2 RAID 1数据存储原理 RAID 5 RAID 5是一种存储性能、数据安全和存储成本兼顾的存储解决方案。为保障存储数据的可靠性，采用循环冗余校验方式，并将校验数据分散存储在RAID的各成员盘上。当RAID的某个成员盘出现故障时，通过其他成员盘上的数据可以重新构建故障硬盘上的数据。RAID 5既适用于大数据量的操作，也适用于各种小数据的事务处理，是一种快速、大容量和容错分布合理的磁盘阵列。 图3 RAID 5数据存储原理 其中，PA为A0、A1和A2的奇偶校验信息，PB为B0、B1和B2的奇偶校验信息，以此类推。 RAID 6 在RAID 5的基础上，RAID 6增加了第二个独立的奇偶校验信息块。两个独立的奇偶系统使用不同的算法，数据的可靠性非常高，即使两块磁盘同时失效也不会影响数据的使用。但RAID 6需要分配给奇偶校验信息更大的磁盘空间，相对于RAID 5有更大的“写损失”，因此“写性能”较差。 图4 RAID 6数据存储原理 其中，PA为A0、A1和A2的第一个校验信息块，QA为第二个校验信息块；PB为B0、B1和B2的第一个校验信息块，QB为第二个校验信息块，以此类推。 RAID 10 RAID 10是将镜像和条带进行两级组合的RAID级别，即RAID 0＋RAID 1的组合形式，第一级是RAID 1，第二级是RAID 0。RAID 10是存储性能和数据安全兼顾的方案。它在提供与RAID 1一样的数据安全保障的同时，也提供了与RAID 0近似的存储性能。 图5 RAID 10数据存储原理 RAID 50 RAID 50被称为镜像阵列条带，即RAID 5 + RAID 0的组合形式。像RAID 0一样，数据被分区成条带，在同一时间内向多块磁盘写入；像RAID 5一样，也是以数据的校验位来保证数据的安全，且校验条带均匀分布在各个磁盘上。 图6 RAID 50数据存储原理 其中，PA为A0、A1和A2的奇偶校验信息，PB为B0、B1和B2的奇偶校验信息，以此类推。 RAID 60 RAID 60同RAID 50类似，数据采用镜像阵列条带分布方式，即RAID 6 + RAID 0的组合形式。像RAID 0一样，数据被分区成条带，在同一时间内向多块磁盘写入；像RAID 6一样，以两个数据校验模块来保证数据的安全，且校验条带均匀分布在各个磁盘上。 图7 RAID 60数据存储原理 其中，PA为A0、A1和A2的第一个校验信息块，QA为第二个校验信息块；PB为B0、B1和B2的第一个校验信息块，QB为第二个校验信息块，以此类推。

本章主要介绍权限管理 如果您需要对云服务平台上创建的DCS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云服务资源的访问。 通过IAM，您可以在云服务帐号中给员工创建IAM用户，并使用策略来控制IAM用户对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DCS的使用权限，但是不希望他们拥有删除DCS实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DCS，但是不允许删除DCS实例的权限策略，控制他们对DCS资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DCS服务的其它功能。 DCS权限 默认情况下，帐号管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DCS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DCS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DCS服务，帐号管理员能够控制IAM用户仅能对DCS实例进行指定的管理操作。权限策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action）。 如下表所示，包括了DCS的所有系统权限。 DCS系统策略 系统角色/策略名称 描述 类别 依赖关系 DCS FullAccess 分布式缓存服务所有权限，拥有该权限的用户可以操作所有分布式缓存服务的功能。 系统策略 无 DCS UserAccess 分布式缓存服务普通用户权限（无实例创建、修改、删除、扩容和缩容的权限）。 系统策略 无 DCS ReadOnlyAccess 分布式缓存服务的只读权限，拥有该权限的用户仅能查看分布式缓存服务数据。 系统策略 无 DCS AgencyAccess 分布式缓存服务申请创建租户委托时需要授权的操作权限。该权限为租户委托权限，用于租户在需要时委托DCS服务对租户资源做以下相关操作，与授权用户操作无关。 查询子网 查询子网列表 查询端口 查询端口列表 更新端口 创建端口 系统策略 无 由于DCS UserAccess策略和DCS FullAccess策略存在差异，如果您同时配置了这两个系统策略，由于DCS UserAccess策略存在Deny，根据Deny优先原则，您无法执行实例创建、修改、删除、扩容和缩容操作。 下表列出了DCS常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 常用操作与系统策略的关系 操作 DCS FullAccess DCS UserAccess DCS ReadOnlyAccess 修改实例配置参数 √ √ × 删除实例后台任务 √ √ × Web CLI √ √ × 修改实例运行状态 √ √ × 缓存实例扩容 √ × × 修改实例访问密码 √ √ × 修改缓存实例 √ × × 实例主备倒换 √ √ × 备份实例数据 √ √ × 分析实例的大key或者热key √ √ × 创建缓存实例 √ × × 删除实例数据备份文件 √ √ × 恢复实例数据 √ √ × 重置实例访问密码 √ √ × 迁移实例数据 √ √ × 下载备份实例数据 √ √ × 删除缓存实例 √ × × 查询实例配置参数 √ √ √ 查询实例数据恢复日志 √ √ √ 查询实例数据备份日志 √ √ √ 查询缓存实例信息 √ √ √ 查询实例后台任务 √ √ √ 查询实例列表 √ √ √ 查看实例性能监控 √ √ √ 修改参数模板 √ √ × 删除参数模板 √ √ × 创建参数模板 √ √ × 参数模板列表 √ √ √ 查询参数模板 √ √ √

Agent API消费者认证支持API key和JWT两种认证方式,用于验证调用者的身份。通过精细化权限控制策略,实现多租户场景下的细粒度访问管控,有效防范未授权访问及资源滥用风险。 操作步骤 1. 登录云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" ，进入目标实例概览。 3. 在左侧导航栏，选择"Agent API"，进入目标API概览。 4. 选择"消费者认证"页签，单击配置信息右侧的编辑，进行如下参数配置： 注意 开启消费者认证后，若没有配置授权关系，将无法访问当前API。 启用状态：开启或关闭消费者授权开关，默认关闭。 认证方式：目前支持API Key和JWT两种方式。 API Key：客户端访问时，需将凭证以指定的方式添加至请求中，网关收到请求后会验证API Key的合法性及权限。 JSON Web Token (JWT)： 用于在客户端和服务端之间以JSON对象的形式安全地传输信息，该信息可以被验证和信任。 5. 在消费者区域单击授权，选择消费者，单击 添加。

对比项 Cubecni Calico隧道模式 容器网络平面 构建Underlay网络，容器和节点均在同个网络平面，支持VPC内多集群Pod直接互通及VPC内直接互通 构建Overlay网络，基于集群节点网络构建 一层覆盖网络，不支持VPC内多集群Pod直接互通及VPC内直接互通 容器网络性能 无解封包开销，整体性能优于Overlay网络，其中Cubecni独占ENI模式性能无限接近主机 有解封包损耗 节点规模 不直接限制节点规模 受限于BGP Peer连接数等限制 网络访问控制 支持网络策略Network Policy，其中Cubecni独占ENi模式支持Pod粒度安全组配置 支持网络策略Network Policy 源地址审计 Pod访问VPC网络资源，源地址是容器IP，不经节点SNAT，便于审计 Pod访问VPC网络资源，需经节点SNAT，不便于审计 地址管理 无需按节点分配地址段，随用随分配，地址无浪费 每个节点提前分配虚拟地址段 ELB 支持ELB直通Pod，性能更优 不支持ELB直通Pod，需通过NodePort转发

本文主要介绍CCE发布Kubernetes 1.23版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.23版本所做的变更说明。 版本升级说明 CCE针对Kubernetes 1.23版本提供了全链路的组件优化和升级。 表 核心组件及说明 集群类型 核心组件 版本号 升级注意事项 :::: CCE集群 Kubernetes 1.23 无 CCE集群 Docker CentOS：18.9.0 Ubuntu：18.09.9 无 CCE集群 Containerd 1.4.1 无 CCE集群 操作系统 CentOS Linux release 7.6 无 CCE集群 操作系统 Ubuntu 18.04 server 64bit 无 资源变更与弃用 CCE 1.23变更说明 不再支持webterminal插件，使用kubectl对接代替。 社区1.23 ReleaseNotes FlexVolume废弃，建议使用CSI。 HorizontalPodAutoscaler v2版本GA，HorizontalPodAutoscaler API v2在1.23版本中逐渐稳定。不建议使用HorizontalPodAutoscaler v2beta2 API，建议使用新的v2版本API。 PodSecurity支持beta，PodSecurity替代废弃的PodSecurityPolicy，PodSecurity是一个准入控制器，它根据设置实施级别的特定命名空间标签在命名空间中的Pod上实施Pod安全标准。在1.23中PodSecurity默认启用。

路由自动学习和分发 全网路由自动管理与学习，让网络运维不再是头疼事。 路由管理 全网实现多节点，多级路由的自动转发与学习，全网路由快速收敛。 用户配置 您不再需要进行繁重的路由配置及管理工作。 跨区域互通带宽配置 跨区域互通带宽指所规划的场景中，一个区域到另一个区域的网络带宽，可以实现两个区域之间的互通。您可以根据规划的网络连通情况，为需要进行互通的两个区域设置跨区域互通带宽。 带宽共享 多个跨区域互通带宽配置可以共用同一个带宽包。基于一个带宽包配置的多个跨区域互通带宽的总和不能超过带宽包的总带宽。 自主管理 云间高速（标准版）支持灵活分配跨区域互通带宽，可通过控制台秒级变更带宽。 与SDWAN混合组网 当本地多个数据中心需要与云上多个区域的VPC进行私网通信时，您可以将SDWAN与云间高速（标准版）进行绑定，实现混合组网，即可帮助客户快速安全地访问多个云资源池。

通过 NPM 方式接入 1. 访问 前端监控控制台。 2. 左侧导航栏选择 设置 > 接入步骤。 3. 根据需要修改所需的配置项，下方的接入代码会相应改变。 4. 根据指示，安装 @ctyun/femonitor 依赖，在项目里构建当前工程的 npm 库文件，并引入和实例化 SDK。 5. 根据页面提示将上报域名添加到小程序的安全域名中。 配置项说明 选项 说明 开启 API 自动全量上报 开启后，会自动监听并上报小程序应用发起的所有网络请求。 开启静态资源上报 开启后，会自动监听并上报小程序应用所有静态资源（js/css/图片等）的加载结果。 开启 setData 上报 开启后，会自动监听并上报小程序应用 setData 操作。 注意 1. 配置项只是下方 SDK 接入代码的快捷修改方式，并不会马上产生作用，每次修改后需要更新接入的代码重新部署才会生效。 2. API请求，静态资源上报与 setData 上报的数据量可能较大。可根据实际情况选择开启。

如何从第三方云厂商将日志搬迁到天翼云。 若您在其他第三方云厂商使用日志服务，且已有大量的日志数据在第三方云厂商对象存储上，希望将日志搬迁到天翼云，对于不同的日志类型，请参考如下方法： 标准日志（搜索分析）：保存714天，主要用于应用运维等场景，该日志不需要搬迁到天翼云云。您可直接开通使用天翼云云日志服务，在运行14天后，第三方云厂商保存的日志将自然就老化删除。详细请参考云日志服务快速入门。 归档日志（等保合规）：保存180天以上，主要用于安全合规等场景，该日志一般转储存放到对象存储中。您使用对象存储的迁移功能，将第三方云厂商保存在对象存储中的文件迁移到天翼云对象存储服务中。详细操作请参考迁移第三方云厂商数据至天翼云对象存储。

本章节主要介绍使用Hbase的操作指导。 操作场景 该任务指导用户在运维场景或业务场景中使用HBase客户端。 前提条件 已安装客户端。例如安装目录为“/opt/hadoopclient”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 非root用户使用HBase客户端，请确保该HBase客户端目录的属主为该用户，否则请参考如下命令修改属主。 plaintext chown user:group R客户端安装目录/HBase 使用HBase客户端 1. 安装客户端，具体请参考安装客户端章节。 2. 用户登录安装客户端的节点。 3. 执行以下命令切换到客户端目录，例如“/opt/hadoopclient”。 plaintext cd /opt/hadoopclient 4. 执行以下命令配置环境变量。 plaintext source bigdataenv 5. 集群默认为安全模式，将实际的keytab文件路径替换以下命令中的/path/example.keytab，执行命令进行用户认证。 plaintext kinit kt /path/example.keytab klist kt /path/example.keytab sed n 4p awk '{print $NF}' 6. 直接执行HBase组件的客户端命令。 7. plaintext hbase shell

场景举例 如果您在轻量型云主机上部署了网站，即轻量型云主机作Web服务器用，希望用户能通过HTTP或HTTPS服务访问到您的网站，您需要给轻量型云主机添加以下防火墙规则。 防火墙配置方法 方向 协议 / 应用 端口 源地址 入方向 HTTP（80） 80 0.0.0.0/0 入方向 HTTPS（443） 443 0.0.0.0/0 轻量型云主机作DNS服务器 场景举例 如果您将轻量型云主机设置为DNS服务器，则必须确保TCP和UDP数据可通过53端口访问您的DNS服务器。您需要给轻量型云主机添加以下防火墙规则。 安全组配置方法 方向 协议 / 应用 端口 源地址 入方向 TCP 53 0.0.0.0/0 入方向 UDP 53 0.0.0.0/0 使用FTP上传或下载文件 场景举例 如果您需要使用FTP软件向轻量型云主机上传或下载文件，您需要添加防火墙规则。 防火墙配置方法 方向 协议 / 应用 端口 源地址 入方向 TCP 2021 0.0.0.0/0

对比项 单实例单并发 单实例多并发 日志打印 Node.js Runtime使用console.info()函数，Python Runtime使用print()函数，Java Runtime使用System.out.println()函数打印日志， 该方式会把当前请求的Request ID包含在日志内容中。 当多请求在同一个实例并发处理时，当前请求可能有很多个，继续使用这些函数打印日志会导致Request ID错乱。 此时应该使用context.getLogger()，获取一个日志输出对象，通过这个日志输出对象打印日志， 例如Python Runtime：log context.getLogger()log.info("test") 共享变量 不涉及 单实例多并发处理时，修改共享变量会导致错误。这要求您在编写函数时，对于非线程安全的变量修改要进行互斥保护。 监控指标 按实际情况进行监控。 相同负载下，函数的实例数明显减少。 流控错误 不涉及 太多请求时，body中的errorcode为“FSS.0429” ，响应头中的status为429 ， 错误信息提示：Your request has been controlled by overload sdk, please retry later。

访问控制日志 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航树中，选择“日志审计”。 4.选择“访问控制日志”页签，可查看近一周的访问控制情况。若需要修改指定IP访问控制的响应动作，请参照添加防护规则或添加黑/白名单。 “访问控制日志”的参数说明： 参数 说明 命中时间 访问发生的时间。 源IP 访问的源IP地址。 源国家/地区 访问源IP所属的地理位置。 源端口 访问控制的源端口。包括单个端口，或者连续端口组，中间使用“”隔开，如：80443 目的IP 访问的目的IP。 目的网址 访问的域名地址。 目的国家/地区 访问目的IP所属的地理位置。 目的端口 访问控制的目的端口。包括单个端口，或者连续端口组，中间使用“”隔开，如：80443 协议 访问控制的协议类型。 响应动作 包括观察者模式（“观察”）和拦截模式（“阻断”或“放行”）。 规则 访问控制的规则类型，包括黑名单、白名单。

section8ccc98d65a593df2)。 反弹Shell检测防御：防御网络上通过反弹Shell方式进行的网络攻击，配置方式请参见开启反弹Shell检测防御。 病毒防御（AV）：通过病毒特征检测来识别和处理病毒文件，避免由病毒文件引起的数据破坏、权限更改和系统崩溃等情况发生，支持检测HTTP、SMTP、POP3、FTP、IMAP4、SMB的协议类型。 病毒防御功能请参见拦截病毒文件。 防护动作介绍 观察：防火墙对匹配当前规则的流量，记录至攻击事件日志中，不做拦截。 拦截：防火墙对匹配当前规则的流量，记录至攻击事件日志中并进行拦截。 禁用：防火墙对匹配当前规则的流量，不记录、不拦截。 相关文档 整体防护概况请参见通过安全看板查看攻击防御信息，详细日志信息请参见攻击事件日志。