本文介绍事件总线EventBridge的产品优势。 可用性 支持高吞吐量的事件发布和消费。 支持服务Serverless化和自动弹性伸缩，轻松应对突发流量。 支持无状态实例，节点异常对服务无影响，服务可用性高。 易用性 支持无缝迁移上云，完全兼容CloudEvents 1.0。 支持多种访问方式，包括控制台与CloudEvents SDK。 支持接入多种应用程序，包括天翼云服务和自定义应用。 安全性 对接统一身份认证服务，支持通过天翼云账号向RAM用户授权。 支持HTTP/HTTPS协议。

本章节主要介绍翼MapReduce集群组件使用规则。 当前，翼MR产品不支持Hive元数据库使用内置MySQL类型。内置MySQL不具备生产运行所需要的高可用、高安全性，且该方式缺乏有效的技术保障能力，客户需要为此承担不必要的业务风险。 在翼MR集群开通的流程中，基于上述产品考量，不开放相关选配功能，默认推荐客户预先开通好天翼云成熟的数据库产品关系数据库MySQL版（CTRDS MySQL）作为Hive服务的元数据库。

介绍分布式消息服务Kafka修改用户的功能操作内容。 场景描述 当前主要支持重置用户密码：当用户忘记密码或需要更改密码时，可以通过修改用户密码来实现。这有助于保护用户账户的安全性，防止未经授权的访问和操作。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“用户管理”后进入应用用户管理页面，点击“修改”。 （5）点击“修改”后，在弹窗中可以修改密码和对应描述。

本章节主要介绍创建CDM集群。 CDM采用独立集群的方式为用户提供安全可靠的数据迁移服务，各集群之间相互隔离，不可相互访问。 CDM集群可用于如下场景： 用于创建并运行数据迁移作业。 作为管理中心组件连接数据湖时的Agent代理。 DataArts Studio实例中不包含CDM集群，如果您需要使用数据集成的功能，请参考用户指南中的“准备工作 > （可选）创建DataArts Studio增量包”章节，创建批量数据迁移集群。

本页介绍了国产万维信SSL证书产品的优势。 万维信SSL证书由上海CA自主研发，符合国际、国内标准，客户信息和审核数据不出境，全网信任，确保用户信息数据安全。 一次提交资料，即可支持国际RSA / ECC、国密SM2双算法证书颁发。 万维信SSL证书支持国内OCSP、CRL查询，后台服务均通过国内网络优化，确保网络系统运行稳定。 拥有集销售、客服、技术、研发为一体的原厂服务团队，提供7×24小时全年无休的服务，及时响应用户需求。

本节介绍了专属云（存储独享型）的产品优势。 存储专享 存储资源独享，保证高读写性能，且保证数据安全与合规性，为您提供VIP级别的存储服务。 特性丰富 支持共享云硬盘、云硬盘备份、云主机备份、快照等功能，满足不同业务场景的需求。 场景丰富 灵活对接弹性云主机、物理机服务以及专属云（计算独享型）服务等。 高性能 采用分布式存储架构，可平滑扩展，性能线性增长，为业务提供高吞吐、高并发的存储能力。

本章节介绍数据库安全费用账单 费用账单 账单上报周期 包年/包月计费模式的资源完成支付后，会实时上报一条账单到计费系统进行结算。 查看指定资源的账单 1. 登陆管理中心，进入管理中心界面。 2. 选择账单管理，点击“账单管理”，可以查看最近时间内的消费情况。 3. 选择账单管理，点击“流水账单”，输入产品名称可以查看流水账单。 4. 选择账单管理，点击“账单详情”，输入产品名称可以查看账单详情。

如何配置网络ACL出规则？ 方案一： 放通网络ACL所有出站流量，此方案能保证集群正常创建与使用，优先建议使用此方案。 方案二： 放通保证集群创建成功的最小出规则，此方案可能在后续使用中因出方向规则遗漏导致集群使用问题，不建议使用方案。若出现集群使用问题请联系运维人员支撑处理。 配置示例：参照方案一中示例，配置策略为“允许”，目的地址为通信安全授权地址、NTP、OBS、Openstack及DNS地址的出方向规则。

本文带您了解对等连接的功能特性。 对等连接是一种跨VPC的网络连接服务，用于实现两个虚拟私有云（VPC）之间的内网通信。它就像在两个独立的VPC之间搭建了一条高速的私有通道，流量不经过公网，具有低延迟、高带宽、高安全性的特点。其主要功能特性如下： 同账号对等连接 适用场景：在同一账号、同一资源池内的两个VPC之间建立连接。 特性：创建后默认自动接受，无需手动审批，简化了账号内部网络规划的流程，实现快速互通。 跨账号对等连接： 适用场景：在不同账号、但属于同一资源池的两个VPC之间建立连接。 特性：采用手动授权机制。发起方创建连接后，需要对方账号确认“接受”此连接请求后，方可建立。这确保了跨账户网络访问的安全性与可控性。 便捷的连接管理 集中管理：提供统一的管理界面，方便用户查看账号下所有的对等连接实例。 状态监控：清晰展示对等连接的状态，便于快速排查问题。 灵活操作：支持对已有的对等连接进行查询、修改和删除等操作。 基于路由的精细化流量控制 成功建立对等连接仅是搭建了通信的通道，要实现VPC内资源的实际通信，必须依赖正确的路由配置。 同账号对等连接：用户需在本端VPC的路由表中，添加指向对端VPC网段的路由规则（下一跳为该对等连接）；同时，也需在对端VPC的路由表中，添加指向本端VPC网段的路由规则。 跨账号对等连接：需要双方账号协作配置。本端账号需在本端VPC路由表中配置指向对端网段的路由；对端账号需在其VPC路由表中配置指向本端网段的路由。

本节主要介绍云数据库GeminiDB与其他云服务的关系。 云数据库 GeminiDB与其他服务的关系，如表1所示。 表1 云数据库 GeminiDB与其他云服务的关系 服务名称 云数据库GeminiDB与其他服务的关系 相关内容 弹性云主机 弹性云主机（Elastic Cloud Server，简称ECS）为云数据库 GeminiDB提供可弹性申请的计算资源，为数据库实例提供运行环境。 详细内容请参见弹性云主机文档 虚拟私有云 通过虚拟私有云（Virtual Private Cloud，简称VPC）和网络安全组实现网络隔离。虚拟私有云允许租户通过配置虚拟私有云入站IP范围，来控制连接数据库的IP地址段。数据库实例运行在租户独立的虚拟私有云内，可提升数据库实例的安全性。 详细内容请参见虚拟私有云文档 弹性IP 弹性IP（Elastic IP，简称EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。 详细内容请参见弹性IP文档 对象存储服务 备份数据存储至对象存储服务（Object Storage Service，简称OBS），在提高数据容灾能力的同时有效降低磁盘空间占用。 详细内容请参见对象存储文档 云审计服务 云审计服务（Cloud Trace Service，简称CTS），记录了云数据库 GeminiDB相关的操作事件，方便用户日后的查询、审计和回溯。 详细内容请参见云审计服务文档 统一身份认证服务 统一身份认证服务（Identity and Access Management，简称IAM）为云数据库 GeminiDB提供了权限管理功能。 详细内容请参见统一身份认证文档

本页介绍如何配置SSL CA证书用于访问关系数据库MySQL版的实例。 操作场景 为了提高关系数据库MySQL版的链路安全性，您可以启用SSL（Secure Sockets Layer）加密，并安装SSL CA证书到需要的应用服务。SSL在传输层对网络连接进行加密，能提升通信数据的安全性和完整性，同时会增加网络连接响应时间。 约束限制 实例的SSL状态需要为“开启”状态。 已下载SSL CA证书。 操作步骤 开启SSL加密后，应用或者客户端连接MySQL时需要配置SSL CA证书。本文以MySQL Workbench、Navicat配置方法为例，介绍SSL CA证书安装方法。其它应用或者客户端请参见对应产品的使用说明。 MySQL Workbench配置方法: 1. 打开MySQL Workbench。 2. 选择Database > Manage Connections。 3. 启用Use SSL，并导入SSL CA证书。 说明 如果关闭SSL后又需要重新开启，SSL CA证书将会重新生成，用户需要下载最新的证书连接数据库，旧证书将失效无法进行数据库连接。 为防止开启SSL后无需证书也可以连接数据库，请设置用户登录方式限制，指令可参考：alter user 'root'@'%' require ssl。 Navicat配置方法: 1. 打开Navicat。 2. 选择目标数据库并单击鼠标右键，选择编辑连接。 3. 选择SSL页签，选择.pem格式CA证书的路径。 4. 单击确定。 5. 通过双击目标数据库来测试能否正常连接。 通过SSL连接数据库示例代码，Python示例： 1. 需要首先安装依赖pymysql shell pip install pymysql 2. 编写代码 python import pymysql import traceback try: conn pymysql.connect( host'192.168..', user'', passwd'', db'', sslTrue, sslca'/path/cafilename') cursor conn.cursor() cursor.execute('select version()') data cursor.fetchone() print('Database version:', data[0]) cursor.close() except pymysql.Error as exc: print(traceback.formatexc())

本节为您介绍漏洞扫描原理、漏洞扫描版本规格、漏洞等级。 服务器安全卫士（原生版）支持扫描Linux软件漏洞、Windows系统漏洞、WebCMS漏洞、应用漏洞、应急漏洞，并提供漏洞的修复建议和一键修复功能，帮助您及时了解云主机操作系统中存在的风险，及时修复主机漏洞。 漏洞扫描原理 漏洞扫描原理如下： 漏洞分类 原理说明 Linux软件漏洞 通过与漏洞库进行比对，检测Linux操作系统官方维护的软件（非绿色版、非自行编译安装版；例如：kernel、openssl、vim、glibc等）是否存在漏洞，将存在风险的结果向用户告警。 Windows系统漏洞 通过同步微软官方的补丁公告，判断服务器上的补丁是否已经更新，并推送微软官方补丁，将存在风险的结果向用户告警。 WebCMS漏洞 通过对Web目录和文件进行检测，识别出WebCMS漏洞，将存在风险的结果向用户告警。 应用漏洞 通过检测主机上运行的软件发现应用是否存在漏洞，将存在风险的结果向用户告警。 应急漏洞 展示最新披露的漏洞详情，用户可根据实际情况对此漏洞进行专项扫描。 版本规格 以下介绍服务器安全卫士各版本漏洞扫描功能的支持情况。 说明 免费版仅支持Windows系统漏洞扫描、Linux软件漏洞扫描和查看漏洞，不支持一键修复漏洞，您可以参考漏洞详情页面提供的修复建议，登录到您的服务器手动修复漏洞。 功能 免费版 企业版 旗舰版 漏洞情况统计 ✓ ✓ ✓ Linux软件漏洞、Windows系统漏洞 ✓ ✓ ✓ WebCMS漏洞、应用漏洞 × ✓ ✓ 应急漏洞 × ✓ ✓ 一键扫描 × ✓ ✓ 定时扫描 ✓ ✓ ✓ 基于漏洞名称的扫描结果列表 ✓ ✓ ✓ 基于服务器的扫描结果列表 ✓ ✓ ✓ 查看漏洞详情 ✓ ✓ ✓ 一键修复漏洞 × ✓ ✓ 白名单管理 ✓ ✓ ✓

本文主要介绍ServiceAccount Token安全性提升说明。 Kubernetes 1.21以前版本的集群中，Pod中获取Token的形式是通过挂载ServiceAccount的Secret来获取Token，这种方式获得的Token是永久的。该方式在1.21及以上的版本中不再推荐使用，并且根据社区版本迭代策略，在1.25及以上版本的集群中，ServiceAccount将不会自动创建对应的Secret。 Kubernetes 1.21及以上版本的集群中，直接使用TokenRequest API获得Token，并使用投射卷（Projected Volume）挂载到Pod中。使用这种方法获得的Token具有固定的生命周期（默认有效期为1小时），在到达有效期之前，Kubelet会刷新该Token，保证Pod始终拥有有效的Token，并且当挂载的Pod被删除时这些Token将自动失效。该方式通过BoundServiceAccountTokenVolume特性实现，能够提升服务账号（ServiceAccount）Token的安全性，Kubernetes 1.21及以上版本的集群中会默认开启。 为了帮助用户平滑过渡，社区默认将Token有效时间延长为1年，1年后Token失效，不具备证书reload能力的client将无法访问APIServer，建议使用低版本Client的用户尽快升级至高版本，否则业务将存在故障风险。 如果用户使用版本过低的Kubernetes客户端（Client），由于低版本Client并不具备证书轮转能力，会存在证书轮转失效的风险。K8s社区默认具有证书轮转能力的Client版本如下： Go: > v0.15.7 Python: > v12.0.0 Java: > v9.0.0 Javascript: > v0.10.3 Ruby: master branch Haskell: v0.3.0.0 C

本章节主要介绍修改OMS数据库管理员密码。 操作场景 该任务指导用户定期修改OMS数据库管理员的密码，以提升系统运维安全性。 操作步骤 登录主管理节点。 说明 ommdba用户密码不支持在备管理节点修改，否则集群无法正常工作。只需在主管理节点执行修改操作，无需在备管理节点操作。 1. 执行以下命令，切换用户。 sudo su omm 2. 执行以下命令，切换目录。 cd $OMSRUNPATH/tools 3. 执行以下命令，修改ommdba用户密码。 moddbpasswd ommdba 4. 输入ommdba的原密码后，再输入两次新密码。 密码复杂度要求： 密码字符长度为16～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@$%^&()+[{}];:", /?中的3种类型字符。 不能与用户名或倒序用户名相同。 不可与前20个历史密码相同。 显示如下结果，说明修改成功： Congratulations, update [ommdba] password successfully.

本章主要介绍翼MapReduce的修改OMS Kerberos管理员密码功能。 操作场景 管理员应定期修改OMS Kerberos管理员“kadmin”的密码，以提升系统运维安全性。 修改此用户密码将同步修改Kerberos管理员密码。 操作步骤 1. 以omm用户登录任意管理节点。 2. 执行以下命令，切换到目录。 cd ${BIGDATAHOME}/omserver/om/meta0.0.1SNAPSHOT/kerberos/scripts 3. 执行以下命令，配置环境变量。 source componentenv 4. 执行以下命令，修改kadmin/admin密码。此操作对所有服务器生效。 kpasswd kadmin/admin 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@$%^&+中的4种类型字符。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码，例如Admin@12345。 不可与最近N次使用过的密码相同，N为密码策略配置中“重复使用规则”的值。

文件删除或覆盖后是否能恢复？ 若未开启桶的多版本管理功能，一旦已删除或覆盖后的文件不可恢复。因此，在这种情况下，建议您在删除前谨慎操作，并定期备份重要的数据以防止意外丢失。 多版本管理功能可以帮助您应对意外删除操作或其他数据问题。您可以通过在桶设置中启用多版本管理功能来实现此功能，以便在需要时能够更轻松地还原和恢复数据。若已开启桶的多版本管理功能，您可以保留多个版本的对象，并能够基于需要进行检索和恢复操作。在这种情况下，当一个文件被删除或覆盖时，它会成为历史版本而不是被彻底删除，您可以根据需要来恢复具体的文件。具体操作请参考恢复文件。 可以上传超过5GB的单个文件吗？如何操作？ 控制台上传文件限制单次最多支持100个文件上传，单个文件限制最大为5GB。若要上传超过5GB的文件，可以采用SDK进行上传。 对象存储是否支持对象加密上传？ 对象存储支持对象加密上传。当桶开启服务端加密后，上传到该桶中的对象会以加密方式存储。具体而言，上传的数据会在服务端进行加密，被加密后的数据以密文形式存储在对象存储系统中。具体操作请参考服务端加密。 当用户下载加密对象时，存储的密文会在服务端进行解密，然后以明文形式提供给用户。这样可以确保在数据传输过程中的安全性，保护数据不被未授权的访问者获取。 请注意，在使用ZOS进行对象加密时，务必妥善管理加密密钥，以确保数据的安全性和可靠性。

本小节介绍微隔离防火墙接入工作负载(BEA端)操作方法。 功能说明 授权码代表了工作负载的身份，一个工作负载在接入系统时，系统将根据其授权码决定是否允许其接入、配置什么样的安全策略、分配到哪个工作组等。 操作步骤 1.创建授权码有两个入口，一个是菜单栏的授权管理，通过此入口可以查看管理所有授权码。 第二个入口，可以通过工作组详情查看该工作组的授权码（由某个组的授权码接入的工作负载，将自动分配到该工作组）。 2.创建授权码 点击创建授权码，在弹出的对话框中输入相关参数，点击确定即可完成授权码的建立。 3.点击授权码，可进入授权码详细页面。 4.授权码详细页面最下方的自动化安装部分，可根据此授权码自动生成安装命令，用于实现工作负载的自动化安装。 注意 1.执行该命令，系统会自动到管理中心下载安装脚本，请确保安装客户端的工作负载与管理中心网络可达。 2.安装脚本执行后自动判定系统版本，并从管理中心获取相应安装包。 3.linux系统安装命令一致、Windows系统安装命令一致。 4.agent成功安装后，不会清空原有iptables中的策略。后续产品添加安全策略会在iptables最上层添加。若只在监测模式下运行，可在安装命令后加nf true则不安装产品防护模块。

本文带您了解对等连接的功能特性。 对等连接是一种跨VPC的网络连接服务，用于实现两个虚拟私有云（VPC）之间的内网通信。它就像在两个独立的VPC之间搭建了一条高速的私有通道，流量不经过公网，具有低延迟、高带宽、高安全性的特点。其主要功能特性如下： 同账号对等连接 适用场景：在同一账号、同一资源池内的两个VPC之间建立连接。 特性：创建后默认自动接受，无需手动审批，简化了账号内部网络规划的流程，实现快速互通。 跨账号对等连接： 适用场景：在不同账号、但属于同一资源池的两个VPC之间建立连接。 特性：采用手动授权机制。发起方创建连接后，需要对方账号确认“接受”此连接请求后，方可建立。这确保了跨账户网络访问的安全性与可控性。 便捷的连接管理 集中管理：提供统一的管理界面，方便用户查看账号下所有的对等连接实例。 状态监控：清晰展示对等连接的状态，便于快速排查问题。 灵活操作：支持对已有的对等连接进行查询、修改和删除等操作。 基于路由的精细化流量控制 成功建立对等连接仅是搭建了通信的通道，要实现VPC内资源的实际通信，必须依赖正确的路由配置。 同账号对等连接：用户需在本端VPC的路由表中，添加指向对端VPC网段的路由规则（下一跳为该对等连接）；同时，也需在对端VPC的路由表中，添加指向本端VPC网段的路由规则。 跨账号对等连接：需要双方账号协作配置。本端账号需在本端VPC路由表中配置指向对端网段的路由；对端账号需在其VPC路由表中配置指向本端网段的路由。

云硬盘备份支持选择云硬盘的某个分区进行备份吗？ 不支持。云硬盘备份是以云硬盘作为备份粒度进行备份的，即对整个磁盘进行备份，不支持再向下细分至分区进行备份。 如果您需要对云硬盘的某个分区进行备份，推荐您使用云备份服务。云备份CTCBR（Cloud Backup&Recovery）是一个简单易用、经济高效、安全可靠的一键式备份方案。通过集中管理界面，为天翼云中承载用户业务的云主机中的目录/文件等资源提供统一数据保护。 云硬盘能否跨地域备份？ 不能。 当前只支持地域（Region）内备份。创建备份后，您可以使用备份： 恢复数据至源云硬盘。 创建新的云硬盘。新云硬盘与源云硬盘地域必须相同，可用区则无要求。 为什么备份容量会大于操作系统中查看到的使用容量？ 问题场景 在服务器中存放了大量文件，删除文件后进行备份，备份的大小大于操作系统中查看到的已使用空间。 问题原因说明 天翼云云硬盘备份为存储层块级备份，按照块存储中已使用的数据块作为备份目标，并不识别操作系统中的文件变化。操作系统在删除文件时，只在文件属性中创建删除标记，但是未对块设备中的数据进行擦除（设置为0），块备份无法感知到操作系统层的删除标记，只能通过是否是全0数据块来判断否要备份。 解决建议 可采用第三方磁盘清理/擦除工具（由提供工具厂商为工具安全性/可用性负责）为云硬盘进行清理。

本文主要介绍通用类 问题 什么是容器镜像服务 容器镜像服务（SoftWare Repository for Container，简称SWR）是一种支持容器镜像全生命周期管理的服务，提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。 什么是组织？ 组织用于隔离镜像仓库，每个组织可对应一个公司或部门，将其拥有的镜像集中在该组织下。 同一用户可属于不同的组织。容器镜像服务支持为组织中不同用户分配相应的访问权限（读取、编辑、管理）。 容器镜像服务是否收费？ 容器镜像服务暂不收费，目前可免费使用。 SWR最多能存储多少个镜像？ SWR目前对上传的镜像数量没有限制，您可以根据需要上传镜像。 容器镜像服务的带宽多大？ 容器镜像服务的带宽会根据用户使用情况动态变化。 容器镜像服务的配额是多少？ 容器镜像服务对镜像数量没有配额限制，您可以根据需要上传镜像。 容器镜像服务对单个用户的组织数量限定了配额。如您需要添加更多的组织，请提交工单申请。 表 容器镜像服务配额 资源类型 配额 组织 5 长期有效的登录指令与临时登录指令的区别是什么？ 临时的登录指令代指6个小时后会过期失效，不能再被使用的登录指令。可应用在临时使用，对外单次授权等场景中，对安全性要求较高的生产集群也可通过定时刷新的方式进行使用。 长期有效的登录指令有效期为永久。可应用在前期测试、CICD流水线及容器集群拉取镜像等场景中。 获取了长期有效的登录指令后，在有效期内的临时登录指令仍然可以使用。 长期有效的登录指令与临时登录指令均不受限制，可以多台机器多人同时登录。

本节介绍了什么是云硬盘、产品优势及云硬盘、弹性文件服务、对象存储服务的区别。 云硬盘简介 云硬盘（EVS，Elastic Volume Service）可以为云上计算资源提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务，可满足不同场景的业务需求，适用于分布式文件系统、开发测试、数据仓库以及高性能计算等场景。云上计算包括弹性云主机和物理机。 云硬盘简称为磁盘，本文档中也会用磁盘来表示云硬盘。 图1 云硬盘架构 产品优势 云硬盘为云主机提供规格丰富、安全可靠、可弹性扩展的硬盘资源，具体功能特性如下： 规格丰富 EVS提供多种规格的云硬盘，可挂载至云主机用作数据盘和系统盘，您可以根据业务需求及预算选择合适的云硬盘。 弹性扩展 您可以创建的单个云硬盘最小容量为10 GB，最大容量为 32 TB，即，10 GB ≤ 云硬盘容量 ≤ 32 TB。若您已有的云硬盘容量不足以满足业务增长对数据存储空间的需求，您可以根据需求进行扩容，最小扩容步长为1GB，单个云硬盘最大可扩容至32 TB。 扩容云硬盘时还会受容量总配额影响，系统会显示您当前的剩余容量配额，新扩容的容量不能超过剩余容量配额。您可以申请足够的配额满足业务需求。 安全可靠 云硬盘支持备份、快照等数据冗余备份功能，为存储在云硬盘中的数据提供可靠保障，防止应用异常、黑客攻击等情况造成的数据错误。 实时监控 配合云监控（Cloud Eye），帮助您随时掌握云硬盘健康状态，了解云硬盘运行状况。

本文介绍镜像仓库基本概念。 镜像仓库是用于存储、管理docker容器镜像的场所，可以让使用人员轻松存储、管理、部署 docker 容器镜像。镜像仓库包括如下内容： 天翼云官方镜像：展示了天翼云平台上的公开镜像，您可以基于公开镜像创建应用； 我的镜像：展示了用户创建的所有镜像仓库。 本章节将为用户介绍容器镜像仓库的基本使用方法，说明【创建】>【上传】>【管理】的仓库使用流程，用户完成镜像上传后，即可在应用创建流程中通过选择【我的镜像】，使用用户自己上传的私有镜像部署应用。 注意事项 镜像仓库不扫描用户上传的镜像，不负责对用户上传的镜像进行安全性验证。上传的镜像中请不要包含未加密的口令，密码等隐私信息，以避免隐私泄露。用户从第三方网站下载公有镜像时，应确定数据来自于可信的仓库源，以避免下载到恶意软件； 如果使用自定义镜像，请确保镜像来源可信，不在容器镜像内安装不必要的软件，在升级时使用安全补丁升级镜像。使用第三方镜像，造成的后果（例如：环境不可用）用户需自己承担； 磁盘满将会导致无法上传镜像到仓库，将会有异常提示信息告知，但并不会影响其他服务；为防止其它业务（例如日志）把磁盘占满，导致仓库无法上传，建议对仓库的存储独立挂盘。 在使用之前，您需要了解以下基本概念： 镜像仓库： 提供docker容器镜像管理功能，用户在创建容器应用前，需要将应用所需的镜像上传到镜像仓库。docker镜像是一个模板，用于创建docker容器。docker提供了一个简单的机制来创建新的镜像或更新已有镜像。 （仓库）属性： 属性分为公有和私有两种。公有：任何租户、用户均可以下载。私有：仅当前租户或租户下的用户可用。

如何选择数据库安全的Agent安装节点 数据库安全审计的Agent可以安装在数据库端、应用端和代理端。建议您按“数据库端 > 应用端 > 代理端”优先级顺序选择Agent的安装节点。 在各节点上安装Agent的详细说明如表所示。 Agent安装节点 使用场景 审计功能说明 注意事项 数据库端 ECS/BMS自建数据库 可以审计所有访问该数据库的应用端的所有访问记录。 添加Agent时，“安装节点类型”选择“数据库端”。 应用端 无法登录到数据库节点的部署环境（例如，RDS关系型数据库） 可以审计该应用端与其连接的所有数据库的访问记录。 l 添加Agent时，“安装节点类型”选择“应用端”，如图410所示。 l 当某个应用端连接了多个数据库时，如果该应用端的某个数据库已在应用端添加了Agent。其他数据库在添加Agent时，只需要选择“选择已有Agent”添加方式。 代理端 无法登录到数据库节点，且不能在应用端安装Agent的部署环境（例如，RDS关系型数据库且应用端在云下） 只能审计代理与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。 添加Agent时，需要将该代理端作为应用端，即“安装节点类型”选择“应用端”，且“安装节点IP”需要配置为该代理的IP地址。 添加Agent方式说明 在数据库端添加Agent 在应用端添加Agent

本页简要介绍分布式数据库V1.1.0版本更新说明。 版本说明 V1.1.0版本说明 组件名称 版本号 发布时间 TeleDBXCore 1.1 2020年 03 月 新增和优化特性： 1. 支持实例监控资源指标采集，包括CPU使用率、内存使用量、内存使用率、IO操作数、IO吞吐量、IO利用率、磁盘空闲时间、磁盘空闲率、磁盘已用空间、磁盘使用率、网络吞吐量和wal日志空间。 2. 支持查看实例监控指标数据。 3. 支持内核引擎性能指标采集。 4. 支持查看性能指标。 5. 支持对实例的语句执行状态进行监控，主要是针对当前的非系统连接执行的语句进行展示。 6. 支持数据库实例的锁分析，支持在页面上展示实例当前存在的锁以及导致锁产生的SQL语句。 7. 支持采集慢语句。 8. 支持查看慢语句信息包括：SQL语句、连接的数据库、执行次数、总耗时、平均耗时、最大耗时以及最小耗时等。 9. 支持错误日志采集。 10. 支持错误日志查询。 11. 支持慢日志采集。 12. 支持慢日志查询。 13. 支持查看仪表盘数据，包括节点IP端口、连接状态、节点角色、节点CPU使用率、节点内存使用大小、节点所在机器磁盘容量、磁盘读取速度、磁盘写入速度、磁盘IO利用率、主从同步时延、节点连接数、节点tps和节点qps。 14. 支持查看参数组详情，包括参数组内所有参数的参数名称、当前参数值、修改是否需要重启、参数可修改范围以及参数描述等信息。 15. 支持两个参数组之间参数项的比较，列出两个参数组中不同的参数项。仅可比较相同PG版本的参数组。 16. 支持复制参数组、重置参数组和删除参数组。 17. 支持将参数组应用到指定实例。 18. 支持查看参数组历史记录。 19. 支持记录数据库实例主从切换历史的功能，包括手动切换以及自动切换的场景。 20. 支持增加对数据库实例告警。 21. 新增实例运维操作，包括查杀空闲连接、空闲连接免杀白名单和清理在线表。 22. 引入开源PG12 修改功能 因部分安全漏洞扫描工具是基于软件版本号作为基线识别，您可能会在本版本扫描到如下安全漏洞，经过分析相关安全漏洞均已修复。 CVE20153165 CVE20072138 CVE20074772 CVE20160773 CVE20140062 CVE20050227 CVE20140063 CVE20140061 CVE20155288 CVE20150241 CVE20150243 CVE20165424 CVE20165423 CVE20155289 CVE20140067 CVE20140065 CVE20177548 CVE20050245 CVE20070555 CVE20140060 CVE20177484 CVE20160766 CVE20140064 CVE20150244 CVE20148161 CVE20153167 CVE20153166 CVE20076601 CVE20100733 CVE20100442 CVE20112483 修复缺陷 1. primaryconninfo在线无法修改。 2. 修复interval测试错误。 3. 外关联语法 (+) sublink 二次扫描 subselect重复解析bug。 4. psql 也支持 q' 语法。

本文介绍接入CDN后域名无法访问的问题现象及问题原因。 问题现象 1. 使用CDN加速后网站访问出现异常状态码，例如，403，404，5XX。 2. 使用CDN加速后网站访问URL时出现空白页面。 3. 使用CDN加速后网站出现其他异常错误。 问题原因 使用CDN加速后网站无法访问可能有多种原因。以下是一些常见的原因： 1. DNS解析问题：将域名解析到CDN时出现CNAME错误。 2. CDN配置问题：域名的配置可能存在问题，导致无法正常访问网站。 3. SSL证书问题：如果您的网站启用了HTTPS协议，请确保域名在CDN控制台上正确配置了HTTPS证书，并且证书没有过期或损坏。 4. 防火墙或安全策略限制：某些源站防火墙或安全策略可能会干扰CDN服务的正常运行。 5. 缓存问题：如果您在更新网站内容后发现无法访问，请尝试刷新CDN缓存，以便CDN能够获取最新的内容。 解决方案 1. DNS解析问题：您可以通过ping、nslookup、dig等命令检查域名的DNS解析设置，确保解析结果和CDN控制台上该加速域名的CNAME值一致。 2. CDN配置问题：您可以登录控制台检查您的域名配置是否正确。 3. SSL证书问题：您可以登录控制台更新您的证书。 4. 防火墙或安全策略限制：您可以检查您的服务器设置、CDN配置以及网络设备设置，确保没有任何阻止CDN访问的规则或策略。 如果您不确定是CDN还是源站的问题，可参考文档：如何确认访问异常是CDN节点问题还是源站问题 进行排查。 5. 缓存问题：您可以登录控制台创建刷新任务，刷新缓存，并在【域名管理】中检查文件的缓存配置是否正确。 除以上可能的原因，您还可以参考以下操作进行处理： 如果访问CDN加速资源返回403状态码，详情请见：访问CDN加速内容响应403状态码。 如果访问CDN加速资源返回404状态码，详情请见：访问CDN加速时出现404状态码。 如果访问CDN加速资源返回5XX状态码，详情请见：访问CDN加速内容返回5XX状态码。 在使用CDN加速后网站访问URL时出现空白页面，详情请见：访问URL时出现空白页面。 如果以上解决方法均无效，建议您通过提交工单联系天翼云客服帮助您解决问题。

灵活易操作 提供用户自服务页面进行灵活简单操作，客户仅需进行简单的配置，即可调整迁移模式、选择迁移对象等功能。 智能监控、高可靠性 数据库迁移过程中对任务进行实时监控，包括展示任务总进度、阶段进度、预计完成时间等信息。针对任务过程中出现的问题进行告警处理。 日志与审计功能 数据库迁移工具提供完善的日志与审计功能，记录了每一次迁移任务的操作记录、数据传输情况，帮助管理员对迁移过程进行全面监控和审计，确保数据迁移的可靠性和安全性。

对比维度 云主机备份 云硬盘备份 备份/恢复对象 服务器中的所有云硬盘（系统盘和数据盘） 指定的单个或多个磁盘（系统盘或数据盘） 推荐场景 需要对整个云主机进行保护 系统盘没有个人数据，因而只需要对部分的数据盘进行备份 优势 备份的同一个服务器下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题 保证数据安全的同时降低备份成本

本章主要介绍翼MapReduce的备份NameNode数据功能。 操作场景 为了确保NameNode日常数据安全，或者系统管理员需要对NameNode进行重大操作（如升级或迁移等），需要对NameNode数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份NameNode任务。支持创建任务自动或手动备份数据。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“ 数据存放路径 /LocalBackup/”是否有充足的空间。 如果数据要备份至NAS中，需要提前部署好NAS服务端。 如果数据要备份至OBS中，需要当前集群已对接OBS，并具有访问OBS的权限。 操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 2.单击“创建”。 3.在“任务名称”填写备份任务的名称。 4.在“备份对象”选择待操作的集群。 5.在“备份类型”选择备份任务的运行类型。 “周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 周期备份参数 参数名称 描述 开始时间 任务第一次启动的时间。 周期 任务下次启动，与上一次运行的时间间隔，支持按“小时”或按“天”。 备份策略 仅支持“每次都全量备份”。 说明 备份Manager数据和组件元数据时不支持增量备份，仅支持“每次都全量备份”。 如果“路径类型”要使用NFS或CIFS，不能使用增量备份功能。因为在NFS或CIFS备份时使用增量备份时，每次增量备份都会刷新最近一次全量备份的备份数据，所以不会产生新的恢复点。 6.在“备份配置”，勾选“NameNode”。 7.在“NameNode”的“路径类型”，选择一个备份目录的类型。 备份目录支持以下类型： “LocalDir”：表示将备份文件保存在主管理节点的本地磁盘上，备管理节点将自动同步备份文件。默认保存目录为“ 数据存放路径 /LocalBackup/”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “RemoteHDFS”：表示将备份文件保存在备集群的HDFS目录。选择此参数值，还需要配置以下参数： “目的端NameService名称”：填写备集群的NameService名称。可以输入集群内置的远端集群的NameService名称（haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4），也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “目的端NameNode IP地址”：备集群NameNode的业务平面IP地址。 “目的端路径”：备份文件存放的位置。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。需和集群中已存在且状态正常的队列名称相同。 “NFS”：表示将备份文件通过NFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “CIFS”：表示将备份文件通过CIFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “SFTP”：表示将备份文件通过SFTP协议保存到服务器中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写备份数据的服务器IP地址。 “端口号”：填写SFTP协议连接备份服务器使用的端口号，默认值为“22”。 “用户名”：填写使用SFTP协议连接服务器时的用户名。 “密码”：填写使用SFTP协议连接服务器时的密码。 “服务器共享路径”：SFTP服务器上的备份路径。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “OBS”：表示将备份文件保存在OBS中。 选择此参数值，还需要配置以下参数： “目的端路径”：填写保存备份数据的OBS目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 说明 MRS 3.1.0及之后版本才支持备份数据到OBS。 8.单击“确定”保存。 9.在备份任务列表中已创建任务的“操作”列，选择“更多 > 即时备份”，开始执行备份任务。 备份任务执行完成后，系统自动在备份目录中为每个备份任务创建子目录，目录名为 “备份任务名任务创建时间 ”，用于保存数据源的备份文件。 备份文件的名称为“ 版本号数据源任务执行时间 .tar.gz”。

本章节主要介绍修改操作系统用户密码。 操作场景 该任务指导用户定期修改MRS集群节点操作系统用户“omm”、“ommdba”、"root"的登录密码，以提升系统运维安全性。 各节点“omm”、“ommdba”、"root"无需设置为统一的密码。 操作步骤 登录Master1节点，然后登录要修改操作系统用户密码的其他节点。 1. 执行以下命令切换到用户。 sudo su root 执行如下命令，修改omm/ommdba/root用户密码。 passwd omm passwd ommdba passwd root 例如omm：passwd，系统显示： Changing password for user omm. New password: 输入用户的新密码。操作系统的密码修改策略由用户实际使用的操作系统类型决定。 Retype new password: passwd: all authentication tokens updated successfully. 说明 MRS集群默认密码复杂度要求： 密码字符长度至少8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符'~!@$%^&()+[{}];:'", /?中的3种类型字符。 重置的密码不能是最近5次使用过的密码。

本章节主要介绍修改Kerberos管理员密码。 操作场景 该任务指导用户定期修改MRS集群Kerberos管理员“kadmin”的密码，以提升系统运维安全性。 修改该密码会导致已经下载的用户凭证不可用，请修改该密码后重新下载认证凭据并替换旧凭据。 前提条件 已在Master1节点准备客户端。 操作步骤 登录Master1节点。 1. （可选）若想要使用omm用户修改密码，请执行以下命令切换用户。 sudo su omm 2. 执行以下命令，切换到客户端目录，例如“/opt/client”。 cd /opt/client 3. 执行以下命令，配置环境变量。 source bigdataenv 4. 执行以下命令，修改kadmin/admin密码。此操作对所有服务器生效。 kpasswd kadmin/admin 集群中，默认的密码复杂度要求： 密码字符长度至少8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符'~!@$%^&()+[{}];:'", /?中的3种类型字符。 不能与用户名或倒序的用户名相同。

本章主要介绍翼MapReduce的修改OMS数据库管理员密码功能。 操作场景 建议管理员定期修改OMS数据库管理员的密码，以提升系统运维安全性。 操作步骤 1.以root用户登录主管理节点。 说明 ommdba用户密码不支持在备管理节点修改，否则集群无法正常工作。只需在主管理节点执行修改操作，无需在备管理节点操作。 2.执行以下命令，切换用户。 su omm 3.执行以下命令，切换目录。 cd $OMSRUNPATH/tools 4.执行以下命令，修改ommdba用户密码。 moddbpasswd ommdba 5.输入ommdba的原密码后，再输入两次新密码。 密码复杂度要求： 密码字符长度为16～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@$%^&()+[{}];", /?中的3种类型字符。 不可和用户名相同或用户名的倒序字符相同。 不可与前20个历史密码相同。 显示如下结果，说明修改成功： Congratulations, update [ommdba] password successfully.

操作系统类型 登录方式 特点 适用场景 Windows 支持远程桌面、VNC登录方式。 Windows系统的公共镜像内含正版已激活系统。 适合运行Windows下开发的程序，如.NET。 支持数据库，如SQL Server（需自行安装）。 Linux/类Unix 支持SSH、VNC登录方式。 常用的服务器端操作系统，具备安全性和稳定性。 开源，轻松构建和编译源代码。 一般用于高性能Web等服务器应用，支持常见的PHP、Python等编程语言。 支持数据库，如MySQL（需自行安装）。