如何在Linux虚机中创建文件系统子目录并完成挂载? 前提条件： 您已成功挂载弹性文件系统到ECS Linux虚机上，挂载路径例如：/mnt/dir，您可以在/mnt/dir目录下创建弹性文件子目录 操作步骤： 1. 在Linux弹性云主机中创建文件系统的子目录： mkdir /mnt/dir/subdir 2. 创建用于挂载文件系统的本地目录： mkdir /tmp/mnt 3. 重新挂载文件系统： mount t nfs o vers3,prototcp,async,nolock,noatime,nodiratime,noresvport,wsize1048576,rsize1048576,timeo600 挂载地址 本地挂载路径 挂载点被误删导致Linux服务器异常，如何处理? 问题描述： 在Linux操作系统中，假设通过挂载点挂载了一个弹性文件系统。然后在弹性文件控制台上删除了该挂载点，导致Linux系统出现了执行命令卡顿、无响应等异常情况。 解决方案： 1. 在Linux虚机服务器中，按下Ctrl+C，中断当前正在执行的命令。 2. 执行挂载命令，查看挂载信息。通过挂载信息，获取当前挂载路径，例如/mnt/test。 3. 执行 umount f /mnt/data命令，强制卸载文件系统。 4. 卸载完成后，您可以重新创建挂载点，并尝试重新挂载文件系统。 通过以上解决方案，您可以解决由于删除了挂载点导致的Linux系统异常情况。请确保在重新挂载文件系统之前，先进行卸载操作。 多进程或多客户端并发写同一文件可能导致数据异常，此种情况如何避免? 问题描述： 弹性文件服务提供了多客户端共享读写文件的能力，但在多进程或多客户端并发写入同一个文件的场景中（例如并发写入同一个日志文件），由于NFS协议本身不支持原子追加操作，可能会导致写覆盖、交叉、串行等异常现象。 解决方案： 在不同进程或不同客户端中将写入的数据分别保存到不同的文件中，然后在后续的分析处理阶段再进行归并操作。这种方案可以很好地解决并发写入导致的问题，同时无需使用文件锁，对性能影响较小。 对于并发追加写入同一个文件（如日志）的场景，可以使用flock+seek机制来保证写入的原子性和一致性。但是flock+seek是一个相对耗时的操作，可能会对性能产生显著影响。

RAID相关特性及概念 特性 / 概念 解释 磁盘组和虚拟磁盘 磁盘组是将多个物理磁盘组合起来形成一个逻辑单元，虚拟磁盘则是通过磁盘组划分出来的连续的数据存储单元。磁盘组提供了扩展容量和冗余性，而虚拟磁盘可以是完整的磁盘组、多个磁盘组的组合，或磁盘组的一部分。 容错 容错是指在RAID阵列中，当磁盘发生错误或故障时，仍然能够保持数据的完整性和系统的可用性。RAID级别如RAID 1、RAID 5、RAID 6、RAID 10等实现了容错功能，通过冗余存储和数据校验算法来保护数据免受单个磁盘故障的影响。 一致性校验 一致性校验是对具有冗余功能的RAID级别（如RAID 1、RAID 5、RAID 6、RAID 10等）进行的数据一致性检查。RAID卡可以对磁盘组中的数据进行校验和计算，并与冗余数据进行比较，以确保数据的完整性。如果发现数据不一致，系统会尝试自动修复错误并记录错误信息。 磁盘条带化 磁盘条带化是一种技术，将数据分割成多个块并分别存储在不同的物理磁盘上，以实现数据的并行读写，提高存储系统的吞吐量和响应速度。通过条带化，多个进程可以同时访问数据的不同部分，避免了磁盘冲突，同时可以实现最大化的I/O并行能力。 磁盘镜像 磁盘镜像适用于RAID 1和RAID 10级别，它通过将相同的数据同时写入两个磁盘实现数据的100%冗余。当其中一个磁盘故障时，另一个磁盘上的数据仍然可用，系统可以继续工作。磁盘镜像还可以实现数据的快速恢复，当故障磁盘被替换后，系统会自动将数据复制到新磁盘上，恢复冗余状态。 硬盘直通 硬盘直通，也称为JBOD（Just a Bunch Of Disks），是一种数据传输方式，可以让RAID控制器将指令直接透传到硬盘，而不需要经过传输设备的处理。这样可以方便上层业务软件或管理软件直接访问和控制硬盘。例如，在服务器操作系统安装过程中，可以直接找到挂载在RAID卡下的硬盘作为安装盘，而不受虚拟磁盘的限制。

接口描述 用于检测输入图像中的人脸，输出人脸数量、人脸位置坐标、人脸98个关键点信息、人脸角度信息、人脸质量信息等。 请求方法 POST 接口要求 图片大小限制：图片单张大小小于7MB； 图片格式限制：图片格式支持jpg/jpeg/png/bmp格式。 URI /v1/aiop/api/2f6hqix09mv4/face/PERSON/person/detectFaceFromBase64 请求参数 1.请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String json格式 application/json appkey 是 String 平台应用appkey 562b89493b1a4XXXXXXXXX ctyuneoprequestid 是 String 用户请求 id，由用户构造，用户可以通过 uuid 等方法自行生成唯一字符串，用于日志请求追踪。 详见文档：Python3调用示例 33dfa732b27b464fb15a21ed6845afd5 eopdate 是 String 请求时间，由用户构造，形如 yyyymmddTHHMMSSZ。 详见文档：Python3调用示例 20211221T163014Z host 是 String 终端节点域名，固定字段 aiglobal.ctapi.ctyun.cn version 是 String 固定值，v3 EopAuthorization 是 String 由天翼云官网 accessKey 和 securityKey 经签名后生成，参与签名生成的字段包括天翼云官网 accessKey 、securityKey、平台应用的appkey（非必须），用户请求id（非必须），请求时间，终端节点域名（非必须）以及请求体内容。 签名逻辑详见文档：认证鉴权和Python3调用示例 2.请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 Action 是 String 服务名称，固定值DetectFace DetectFace ImageData 是 String 图⽚的 base64 编码 FaceThresh 否 Float ⼈脸分数阈值。 取值范围 [0,1]，默认值为 0.5。 检测分数低于该阈值的⼈脸会被过滤 （不返回结果），建议使⽤默认值。 0.5 NeedFaceAngle 否 Bool 是否返回⼈脸⻆度信息。 默认为 False，不返回⼈脸⻆度。 若该值设为 True，则返回⼈脸⻆度。 NeedFaceQuality 否 Bool 是否返回人脸质量信息。默认为 False，不返回⼈脸质量信息。 若该值设为 True，则返回⼈脸质量信息。 NeedMoreLandmark 否 Bool 是否返回98个关键点信息。默认为 False，不返回98个关键点信息。 若该值设为 True，则返回98个关键点信息。

本文介绍如何查看日志，包括攻击事件日志、访问控制日志、流量日志。 日志查询为您提供7天的日志记录。 攻击事件日志：查看检测到的危险流量的危险等级、受影响的端口、命中的规则、攻击事件类型等信息。 访问控制日志：查看根据访问控制策略放行或阻断的所有流量，以便更好的调整访问控制策略。 流量日志：查看通过的所有流量记录。 日志支持筛选、刷新、导出、显示/隐藏列的方式，助您使用。 前提条件 开启弹性公网IP防护。 配置入侵防御策略。 攻击事件日志 1. 登录天翼云控制中心。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航树中，选择“日志审计”，进入“攻击事件日志”页面。 4. 查看近一周的攻击事件详情。 参数 说明 发生时间 攻击事件发生的时间。 攻击类型 攻击事件所属类型，主要包括：IMAP、DNS、FTP、HTTP、POP3、TCP、UDP等。 危险等级 危险等级包括：严重、高、中、低。 规则ID 对应规则的ID号。 规则名称 规则库中相对应的命中规则名称。 源IP 攻击事件的来源IP。 源IP为WAF回源IP时，“源IP”会展示WAF回源IP和RealIP，其中RealIP展示XForwardedFor对应的第一个IP，即客户端的真实IP。 标签 IP类型标识。 其它标签：非WAF回源IP，无需特别处理。 WAF回源IP：“源IP”是WAF回源IP，如果本条记录的“响应动作”是阻断、阻断IP、丢弃，需手动设置放行。 操作方式：根据“规则ID”在IPS规则库中，在该规则的“操作”列，选择“观察”。 源国家/地区 攻击事件源IP所属的地理位置。 源端口 攻击事件的源端口。 目的IP 攻击事件中受到攻击的IP地址。 目的国家/地区 攻击事件目的IP所属的地理位置。 目的端口 攻击事件的目的端口。 协议 攻击事件的协议类型。 应用 攻击事件的应用类型。 方向 包括两个方向：出方向、入方向。 响应动作 防火墙的动作。 放行 阻断 阻断IP 丢弃 操作 操作：查看攻击事件的“基本信息”和“攻击payload”。

本节介绍如何通过安全看板查看IPS防护信息。 您可通过安全看板快速查看攻击防御功能（IPS、反弹Shell、敏感目录扫描、病毒防御）的防护信息，及时调整IPS防护。 通过安全看板查看IPS防护信息 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“攻击防御> 安全看板”，进入“安全看板”页面。 5. 在页面上方，选择“互联网边界”或“VPC边界”页签。 6. 查看防火墙实例下防护规则的统计信息，您可以在下拉框中选择查询时间。 安全看板：IPS检测到的攻击总数、放行/拦截的总数、被攻击的端口个数。 攻击趋势：IPS阻断或放行的流量次数。 可视化统计：IPS检测/拦截到的攻击参数TOP 5的排行，参数说明如下。单击单条数据查看攻击事件详情。 参数名称 参数说明 攻击类型 攻击的类型。 TOP内部攻击来源IP 云内资产攻击外部IP时，云内资产的IP。 TOP外部攻击来源IP 外部IP攻击云内资产时，外部的IP。 TOP外部攻击来源地区 外部IP攻击云内资产时，外部IP的来源地区。 TOP攻击目的IP 攻击事件中的目的IP。 TOP被攻击端口 攻击事件中受到攻击的端口。 TOP攻击统计： 查看指定时间段内IPS检测/拦截中攻击次数TOP 50信息。 TOP攻击来源统计：来源IP、来源类型等信息。 TOP攻击目的统计：目的IP、目的端口、目的应用等信息。 说明 该IP地址是正常数据：单击“操作”列的“加白名单”，快速将该IP地址加入至白名单中，后续CFW将直接放行该IP地址的流量。 该IP地址是恶意攻击：单击“创建为地址组”或“添加到地址组”快速将多个IP地址添加至地址组中，添加后手动配置阻断的防护规则拦截恶意攻击，配置防护规则请参见“通过添加防护规则拦截/放行流量”。

本节为您介绍系统兼容与迁移限制相关问题。 兼容性列表有哪些？ 您可参见服务器迁移兼容性列表。 迁移源的引导位于任何非常规位置是否支持迁移？ 不支持。 天翼云系统引导必须为第一块盘第一个分区，不能出现将引导写入其他位置的情况，否则会导致系统无法启动。 迁移源使用共享带宽是否可以进行迁移? 不可以。 CMS仅支持独占带宽进行迁移，不支持使用共享带宽进行迁移，否则会出现无法获取到迁移源处的网络情况的问题。 迁移源使用dnat服务是否可以进行迁移？ 不可以。 CMS仅支持独占带宽进行迁移，不支持使用dnat服务进行迁移，否则会出现无法获取到迁移源处的网络情况的问题。 CMS支持裸设备迁移上云吗？ 不支持裸设备迁移。 XEN架构下Windows Server系列迁移至KVM架构有何注意事项？ 在将基于XEN架构的Windows系统实例迁移至天翼云的KVM架构时，可能会出现黑屏等异常情况。为确保迁移过程顺利，请务必完成以下关键检查和操作： 1. 检查缘由：将XEN架构实例变更为KVM架构实例的Windows云主机，需经过“制作系统快照”、“检查UVP VMTools版本”、“安装或升级UVP VMTools”、“变更规格”、“检查磁盘挂载状态”等关键步骤。其中，在安装或升级UVP VMTools时，若云主机中已安装PV Driver，会对其版本进行校验。为避免在云主机上安装UVP VMTools失败，需确保PV Driver版本满足要求。 2. 检查方式：进入目录“C:Program Files (x86)Xen PV Driversbin”，打开文件“version.ini”，查看PV Driver版本号。 例：pvdriverVersion5.0.104.010 （1）若存在该目录，且驱动版本高于5.0，则表示PV Driver已安装且版本满足要求，可正常执行安装UVP VMTools的操作。 （2）反之，则表示PV Driver未正常安装或版本不满足要求，需卸载旧版本PV Driver，安装新版本的PV Driver。 3. 具体安装辅助参考材料见：XEN实例变更为KVM实例（Windows） 注意：相关操作请在做好备份且在【弹性云主机】专家指导下进行

本页介绍了文档数据库服务产品的主子账号以及IAM统一权限功能介绍。 文档数据库服务产品的主子账号及CTIAM介绍如下。 操作场景 文档数据库产品接入CTIAM权限体系，可实现控制台操作功能、OpenAPI等维度对用户访问、操作资源的权限控制。 约束限制 目前实例订购时选择的“企业项目”，还不支持实例开通后进行“企业项目”的变更。 功能介绍 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 策略：是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 权限：权限是归属于产品的，用于描述对资源具体操作的三元组。例如"dds.instance.restart"归属于文档数据库服务产品，具有重启实例的操作权限，可在策略管理进行配置用户组的权限。 系统策略：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的管理员权限、一般用户权限和只读用户权限；系统策略在IAM控制台中只能用于授权，用户不能编辑和修改。 自定义策略：由用户在IAM控制台创建和管理的权限集，是对系统策略的扩展和补充。 企业项目：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。文档数据库服务产品在订购实例的订购开通页面，可选择归属于哪个企业项目。

Device Mapper类型 Device Mapper类型节点上的容器引擎和容器镜像空间默认占数据盘空间的90%（建议维持此值），这些容量又分为dockersys分区和thinpool空间，计算公式如下： 容器引擎和容器镜像空间：默认占数据盘空间的90%，其空间大小 数据盘空间 90% dockersys分区（/var/lib/docker路径）：默认占比20%，其空间大小 数据盘空间 90% 20% thinpool空间：默认占比为80%，其空间大小 数据盘空间 90% 80% Kubelet组件和EmptyDir临时存储：占数据盘空间的10%，其空间大小 数据盘空间 10% 在Device Mapper类型的节点上，拉取镜像时tar包会在dockersys分区临时存放，等tar包解压后会把实际镜像文件存放在thinpool空间，最后dockersys空间的tar包会被删除。因此，在实际镜像拉取过程中，需要保证dockersys分区的空间大小和thinpool空间大小均有剩余。由于dockersys空间比thinpool空间小，因此在计算数据盘空间大小时，需要额外注意。为保证容器能够正常运行，还需要在dockersys分区预留出相应的Pod容器空间，用于存放容器日志等相关文件。 因此在选择合适的数据盘时，需同时满足以下公式： dockersys分区容量 > tar包临时存储（约等于镜像实际总容量） + 容器数量 单个容器空间（每个容器需预留约1G日志空间） thinpool空间 > 镜像实际总容量 + 系统插件镜像总容量（约2G） 说明 当容器日志选择默认的json.log形式输出时，会占用dockersys分区，若容器日志单独设置持久化存储，则不会占用dockersys空间，请根据实际情况估算单个容器空间。 例如：假设节点的存储类型是Device Mapper，节点数据盘大小为20G。根据上述计算公式，默认的容器引擎和容器镜像空间比例为90%，则dockersys分区盘占用：20G90%20% 3.6G，且在创建集群时集群必装插件可能会占用2G左右的dockersys空间，所以剩余1.6G左右。倘若此时您需要部署大于1.6G的镜像tar包，虽然thinpool空间足够，但是由于解压tar包时dockersys分区空间不足，极有可能导致镜像拉取失败。

OOS通过身份认证、访问控制、合规保留等能力进行数据安全保护。 身份认证 OOS提供REST风格的API接口进行请求，既支持认证请求，也支持匿名请求。匿名请求通常仅用于需要公开访问的场景，例如静态网站托管。针对认证请求，OOS通过使用访问密钥（AK/SK）作为加密因子来进行认证鉴权，确认发送者身份。 OOS支持用户签名验证（V2）和用户签名验证（V4）。 访问控制 OOS支持通过访问权限、STS临时凭证、Bucket访问控制、Bucket安全策略、防盗链和跨域资源设置等进行访问控制。 产品能力 简要说明 访问控制 用户身份管理和访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 STS临时凭证 通过STS（Security Token Service）给第三方应用或用户授予一个自定义时效的临时访问凭证，无需透露用户自身的AK/SK。 Bucket访问权限控制 通过Bucket访问权限控制，可以对Bucket设置访问权限，包括公共读写、公共读、私有。 Bucket安全策略 通过Bucket Policy功能授权IAM用户或其他用户访问您的OOS资源，例如向特定用户授予访问权限，以及向匿名用户授予带特定IP条件限制的访问权限。 防盗链 为了防止用户在OOS的数据被其他人盗链，OOS支持基于HTTP Header中表头字段Referer的防盗链方法，同时支持访问白名单和访问黑名单的设置。 跨域设置 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。OOS支持CORS规范，允许跨域请求访问OOS中的资源。

在新版事件列表查看审计事件 1. 登录管理控制台。 2. 单击左上角，选择“管理与监管 > 云审计服务 CTS”，进入云审计服务页面。 3. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 4. 事件列表支持通过高级搜索来查询对应的操作事件，您可以在筛选器组合一个或多个筛选条件： 1. 事件名称：输入事件的名称。 2. 事件ID：输入事件ID。 3. 资源名称：输入资源的名称，当该事件所涉及的云资源无资源名称或对应的API接口操作不涉及资源名称参数时，该字段为空。 4. 资源ID：输入资源ID，当该资源类型无资源ID或资源创建失败时，该字段为空。 5. 云服务：在下拉框中选择对应的云服务名称。 6. 资源类型：在下拉框中选择对应的资源类型。 7. 操作用户：在下拉框中选择一个或多个具体的操作用户。 8. 事件级别：可选项为“normal”、“warning”、“incident”，只可选择其中一项。 1. normal：表示操作成功。 2. warning：表示操作失败。 3. incident：表示比操作失败更严重的情况，例如引起其他故障等。 9. 时间范围：可选择查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近1周内任意时间段的操作事件。 5. 在事件列表页面，您还可以导出操作记录文件、刷新列表、设置列表展示信息等。 1. 在搜索框中输入任意关键字，单击按钮，可以在事件列表搜索符合条件的数据。 2. 单击“导出”按钮，云审计服务会将查询结果以.xlsx格式的表格文件导出，该.xlsx文件包含了本次查询结果的所有事件，且最多导出5000条信息。 3. 单击按钮，可以获取到事件操作记录的最新信息。 4. 单击按钮，可以自定义事件列表的展示信息。启用表格内容折行开关，可让表格内容自动折行，禁用此功能将会截断文本，默认停用此开关。 6. 关于事件结构的关键字段详解，请参见事件结构和事件样例。 7. （可选）在新版事件列表页面，单击右上方的“返回旧版”按钮，可切换至旧版事件列表页面。

本文介绍如何基于Serverless集群快速部署Stable Diffusion应用。 基于 Serverless集群，你可以通过控制台或 kubectl 两种方式快速部署 Stable Diffusion 应用。本指南将带你完成部署，助你轻松通过外部端点访问 Stable Diffusion，开启 AIGC 文生图之旅。 前提条件 确保您已经成功创建了Serverless集群，并且能通过公网访问集群。 确保Serverless集群所在VPC已经开启公网NAT网关，Stable Diffusion 应用能访问公网。 背景信息 Stable Diffusion 是一种强大的、开源的潜在文生图扩散模型 (Latent TexttoImage Diffusion Model)。它由 Stability AI 公司及其合作者于 2022 年发布，并迅速成为人工智能生成内容 (AIGC) 领域中最具代表性的模型之一。其核心功能是根据用户提供的文本描述（Prompt），通过一个复杂的算法过程，生成与之相符的高质量、细节丰富的图像。 注意 天翼云不对第三方模型“Stable Diffusion”的合法性、安全性、准确性进行任何保证，天翼云不对由此引发的任何损害承担责任。 您应自觉遵守第三方模型“Stable Diffusion”的用户协议、使用规范和相关法律法规，并就使用第三方模型的合法性、合规性自行承担相关责任。 操作步骤 步骤一：创建 Stable Diffusion应用 您可以通过控制台部署Stable Diffusion应用，也可以通过kubectl工具连接sce集群来创建Stable Diffusion应用。 1. 登录管理控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏，选择“工作负载 ”下的“无状态”，选择“创建Deployment”。 3. 在创建Deployment页面，填写Deployment名称、副本数量等。 4. 在实例内容器项填写容器名称、镜像、镜像版本、cpu/内存限制等。 其中Stable Diffusion镜像要提前上传到容器镜像服务实例，点击选择镜像选择Stable Diffusion镜像即可。 5. 开启“容器健康检查”，勾选“就绪检查”。 6. 在服务配置项，创建服务，选择负载均衡类型，公网访问，配置容器端口、服务端口，点击“确定”。 7. 点击创建工作负载，等待Pod状态变为Running，Stable Diffusion应用部署完成。

策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √

本文概括介绍天翼云HTTPS相关的功能及使用场景。 功能简介 HTTPS相关功能主要包括：HTTPS配置、HTTP2.0配置、强制跳转、OCSP装订、国密HTTPS、TLS版本配置、批量HTTPS证书配置、配置HSTS、配置加密套件等，可满足客户不同场景的使用需求。 功能 说明 配置HTTPS 开启HTTPS功能，实现客户端和CDN节点之间使用HTTPS加密传输。 HTTP2.0配置 相对于HTTP1.1，HTTP2.0新增了多路复用、压缩HTTP头、划分请求优先级和服务端推送等特性，解决HTTP1.1中存在的一些问题，优化请求性能。 强制跳转 用户到CDN节点的请求需要强制跳转为HTTP或者HTTPS时，可以配置强制跳转功能。 OCSP装订 开启OCSP装订功能后，由CDN进行OCSP信息查询并将查询结果缓存到服务器中，提升HTTPS响应性能。 国密HTTPS 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。 TLS版本配置 TLS即安全传输层协议，目的是为互联网通信提供安全及数据完整性保障，您可以按需对不同加速域名配置不同的TLS协议版本。 批量HTTPS证书配置 CDN支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 配置HSTS HSTS是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。 网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。 配置加密套件 加密套件是用于在SSL/TLS握手期间协商安全设置的算法的组合。在Client Hello和Server Hello消息交换之后，客户端发送密码支持套件列表，服务器从列表中选择密码套件进行响应。

本章节主要介绍作业监控的批作业监控。 批作业监控提供了对批处理作业的状态进行监控的能力。 批处理作业支持作业级别的调度计划，可以定期处理批量数据，主要用于实时性要求低的场景。批作业是是由一个或多个节点组成的流水线，以流水线作为一个整体被调度。被调度触发后，任务执行一段时间必须结束，即任务不能无限时间持续运行。 您可以在“作业监控 > 批作业监控”页面查看批处理作业的调度状态、调度频率、调度开始时间等信息，以及进行如下表所示的操作。 详见下图：批作业监控 批作业监控支持的操作项 序号 支持的操作项 说明 1 根据“作业名”或“责任人名”搜索作业 2 根据“作业是否配置通知”、“调度状态”、“作业标签”或“下次计划时间”范围，筛选作业 3 批量配置作业 通过勾选作业名称前的复选框，支持批量执行操作。 4 查看作业实例状态 单击作业名称前方的，显示“最近的实例”页面，查看该作业最近的实例信息。 5 查看作业的节点信息 单击作业名称，在打开的页面中点击作业节点，查看该节点的相关关联作业/脚本与监控信息。 6 调度作业相关 在作业的“操作”列，支持执行调度、暂停调度、恢复调度、停止调度、调度配置等，详情请参见批作业监控章节中的“调度作业”。 7 通知设置 在作业的“操作”列，选择“更多 > 通知设置”，弹出“新建通知”页面，参考管理通知章节中的通知参数表。 8 实例监控 在作业的“操作”列，选择“更多 > 实例监控”，跳转到实例监控页面，查看该作业所有实例的运行记录。 9 补数据 在作业的“操作”列，选择“更多 > 补数据”，弹出“补数据”对话框，详情请参见批作业监控章节中的“补数据”。 10 添加作业标签 在作业的“操作”列，选择“更多 > 添加作业标签”，弹出“添加作业标签”对话框，详情请参见批作业监控：添加作业标签。

本章节主要介绍数据治理中心的新建连接功能。 操作场景 用户在创建数据迁移的任务前，需要先创建连接，让CDM集群能够读写数据源。一个迁移任务，需要建立两个连接，源连接和目的连接。不同的迁移方式（表或者文件迁移），哪些数据源支持导出（即作为源连接），哪些数据源支持导入（即作为目的连接），详情请参见支持的数据源。 不同类型的数据源，创建连接时的配置参数也不相同，本章节指导用户根据数据源类型创建对应的连接。 约束限制 当所连接的数据源发生变化（如MRS集群扩容等情况）时，您需要重新编辑并保存该连接。 前提条件 已具备CDM集群。 CDM集群与目标数据源可以正常通信。 1. 如果目标数据源为云下的数据库，则需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP、CDM云上安全组出方向放通云下数据源所在的主机、数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 2. 如果目标数据源为云上服务（如DWS、MRS及ECS等），则网络互通需满足如下条件： ①CDM集群与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 ②CDM集群与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组 > 添加安全组规则”章节。 ③此外，您还必须确保该云服务的实例与CDM集群所属的企业项目必须相同，如果不同，需要修改工作空间的企业项目。 已获取待连接数据源的地址、用户名和密码，且该用户拥有数据导入、导出的操作权限。 使用Agent时需用主账户给子账户赋予CDM操作权限。

本章节会介绍关系型数据库的通用常见问题。 MySQL实例支持哪些加密函数 有关关系数据库MySQL版支持的加密函数，请参见官方文档： 使用RDS要注意些什么 1. 实例的操作系统，对用户都不可见，这意味着，只允许用户应用程序访问数据库对应的IP地址和端口。 2. 对象存储服务（Object Storage Service，简称OBS）上的备份文件以及关系型数据库服务使用的弹性云主机（Elastic Cloud Server，简称ECS），都对用户不可见，它们只对关系型数据库服务的后台管理系统可见。 3. 查看实例列表时请确保与购买实例选择的区域一致。 4. 申请关系型数据库实例后，您不需要进行数据库的基础运维（比如高可用、安全补丁等），但是您还需要重点关注以下事情： 1. 关系型数据库实例的CPU、IOPS、空间是否足够，如果不够需要变更规格或者扩容。 2. 关系型数据库实例是否存在性能问题，是否有大量的慢SQL，SQL语句是否需要优化，是否有多余的索引或者缺失的索引等。 什么是RDS实例可用性 关系型数据库实例可用性的计算公式： 实例可用性（1–故障时间/服务总时间）×100% RDS实例是否会受其他用户实例的影响 关系型数据库实例不会受其他用户实例影响，因为每个用户的关系型数据库实例与其他用户的实例是相互独立的，并且有资源隔离，互不影响。 关系型数据库支持跨AZ高可用吗 RDS支持跨AZ高可用。当用户创建实例的时候，选择主备实例类型，可以选择主可用区和备可用区不在同一个可用区（AZ）。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况： 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 相同，主机和备机会部署在同一个可用区，出现可用区级故障无法保障高可用性。

伸缩组停用后，伸缩组中的云主机实例会被自动释放吗？ 不会。 停用伸缩组后，伸缩组的状态会变为“已停用” 。处于“已停用”状态的伸缩组，不会触发任何弹性伸缩活动。 同时，伸缩组内的云主机实例也不会被自动释放。 伸缩组停用后，会带来什么影响？ 伸缩组处于“已停用”状态时，伸缩组将不再通过伸缩策略触发伸缩活动，但是正在执行中的伸缩活动会持续进行至完成。手动调整最大实例数、最小实例数或期望实例数，不会触发伸缩活动。 一个伸缩组可以同时管理多种类型/规格的云主机吗？ 可以。 伸缩组支持添加并同时管理多种类型云主机，包括通用云主机、GPU 云主机等，能覆盖不同算力需求，适配多种业务场景。

本节主要介绍怎么通过控制台清理碎片。 背景知识 OBS采用分段上传的模式上传数据，在下列情况下（但不仅限于此）通常会导致数据上传失败而产生碎片。 网络条件较差，与OBS的服务器之间的连接经常断开。 上传过程中，人为中断上传任务。 设备故障。 突然断电等特殊情况。 上传失败而产生的碎片会存储在OBS中，需手动清理碎片。文件上传失败后，需重新上传。 注意 OBS中的碎片会占用存储空间，会按照存储空间计费项进行计费。 操作步骤 步骤 1 在桶列表单击待操作的桶，进入“对象”页面。 步骤 2 单击“碎片”，选中需要清理的碎片，单击右侧的“删除”。 也可选中多个碎片，单击对象列表上方的“删除”进行批量删除。 步骤 3 单击“是”，确认删除碎片。

本节为您介绍数据库迁移工具订阅进度查看。 数据订阅任务启动后会自动跳转数据订阅实时进度查看界面，用户也可以点击任务列表任务名跳转至进度界面，进度界面提供查看当前任务的数据堆积量、读取量、推送量等信息。 堆积量 源库增量变更已经被工具读取到，但是还未推送到目标的数据量 读取量 源库增量变更已经被系统读取到的数据量 推送量 工具成功将源库增量推送到目标的数据量 变更读取时间 工具读取到源库增量的时间 最后推送时间 工具最近一次成功将源库增量推送到目标的时间 错误 工具最近一次推送到目标发生错误的异常信息

本章节为您介绍综合安全网关日志审计相关的内容。 日志审计功能是记录机构用户的操作日志，并提供查看详情，审核，批量审核，验签等功能。 查看日志操作记录并审核 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“管理审计日志”，进入“管理审计日志页面”。 3. 查看“操作名称”列的操作情况，进行审计。 4. 单击“操作”列的“验签”按钮，若验签成功则单击“审核”按钮进行审计。 导出日志 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“管理审计日志”，进入“管理审计日志页面”。 3. 若您需要导出所有日志可单击“导出全部”按钮，若您需要导出部分日志可勾选需要导出的日志后单击“导出所选”。

本文主要向您介绍VPN连接服务的计费模式、计费项等信息。 计费模式 VPN连接提供按需计费模式，以满足根据业务需求灵活调整资源使用场景下的用户需求。 按需计费是一种后付费模式，即先使用再付费，按照实际使用时长或流量大小计费。 计费项 企业版VPN：计费项由VPN网关费用、VPN连接费用、EIP带宽费用和ER费用（可选）组成。 经典版VPN：公测状态，计费项由网关关联的EIP带宽费用组成。 欠费 在使用VPN时，帐户的可用额度小于待结算的账单，即被判定为帐户欠费。欠费后，可能会影响VPN资源的正常运行，需要及时充值。 停止计费 当VPN资源不再使用时，可以将他们退订或删除，从而避免继续收费。

参数 是否必填 参数类型 说明 示例 下级对象 clientToken 否 String 客户端存根，用于保证订单幂等性, 长度 1 64 79fa97e3c48bxxxx9f466a13d8163678 regionID 是 String 区域ID 81f7728662dd11ec810800155d307d5b ID 否 String 负载均衡ID, 该字段后续废弃 xxx elbID 是 String 负载均衡ID, 推荐使用该字段, 当同时使用 ID 和 elbID 时，优先使用 elbID xxx slaName 否 String lb的规格名称 elb.default name 否 String 唯一。支持拉丁字母、中文、数字，下划线，连字符，中文 / 英文字母开头，不能以 http: / https: 开头，长度 2 32 test description 否 String 支持拉丁字母、中文、数字, 特殊字符：~!@$%^& ()+ <>?:{},./;'[]·！@￥%……& （） —— +{} 《》？：“”【】、；‘'，。、，不能以 http: / https: 开头，长度 0 128 test deleteProtection 否 Boolean 删除保护。false（不开启）、true（开启） true gwEnabled 否 Integer 是否开启 vpc 引流 1

参数项 说明 所属团队 实例添加成功后的归属团队。 实例名称 实例在DMS中展示的别名。 环境 环境标识，例如开发、测试、预发、生产等。 数据来源 实例的来源，如云数据库，公网/直连数据库 数据库类型 数据类型，如MySQL、PostgreSQL、SQL Server、DRDS、DDS。 地域/资源池 云数据库的所属资源池。 云数据库 云数据库的基本信息，含IP、端口，可勾选隐藏实例地址。 数据库账号 用于登录该实例的数据库账号。 数据库密码 登录账号的密码。 管控规则 仅限组织为企业版时显示，可设置当前实例的管控规则。 SQL规范 仅限组织为企业版时显示，可设置当前实例的SQL规范。 最大连接数 可设置当前用户能获取到的数据库最大连接数。

查看弹性负载均衡使用流量 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 在控制中心页面，依次选择“管理与部署>云监控”。 4. 在云监控左侧列表，选择“云服务监控 > 负载均衡监控”。 5. 在负载均衡监控页面，找到需要查看的负载均衡名称，点击“查看监控图表”，进入到负载均衡监控详情页。 6. 在负载均衡监控详情页，可以查看新建连接数、并发连接数、网络流入速率、网络流出速率等，并且可以支持查看“1小时”、“3小时”、“12小时”、“24小时”、“7天”、“15天”的数据。

操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控服务”，进入监控概览页面。 4. 单击“云服务监控”下拉菜单，单击“云主机备份监控”，进入监控列表页面。 5. 在云主机备份监控列表中，可以看到存储库的总容量、已用容量和使用率等信息。 6. 选择需要监控的存储库，点击“查看监控图表”，进入存储库监控详情页。 7. 您也可以对所需要监控的存储库，点击“创建告警规则”，实时了解存储库的使用情况。具体操作请参见创建告警规则。

空间分析可以直观地查看数据库实例的Top库分析、Top集合分析。 前提条件 仅限来源为天翼云DDS数据库。 已录入DMS中，且实例状态为正常的数据库实例。 操作步骤 1. 登录数据管理服务。 2. 在左侧导航栏中，单击 智能运维 > 空间分析，选择目标实例即可查看空间分析。 功能介绍 空间分析可以直观地查看数据库实例的Top库分析、Top集合分析等。 Top库分析：Top20的库的总物理文件大小、索引占用空间、数据空间、平均文档大小、文档总数，以及空间变化趋势。 Top集合分析：Top20的集合的总占用总空间、集合占用的物理空间，索引占用空间、集合中存储的原始数据大小、压缩率、平均文档大小、文档总数、索引名称和占用空间大小，以及空间变化趋势。

本页介绍了排查内存使用率高问题方式与解决方案。 内存使用率高问题排查方式与解决方案： 1. 使用【监控图表】的【内存】进行查看。 2. 解决方案： 1. 控制并发连接数。连接数据库时，需要计算业务一共有多少个客户端， 每个客户端配置的连接池大小是多少，总的连接数不宜超过当前实例能承受的最大连接数的80%。连接太多会导致内存和多线程上下文的开销增加，影响请求处理延时。 2. 建议配置连接池，连接池最大不要超过200。 3. 降低单次请求的内存开销，例如通过创建索引减少集合的扫描、内存排序等。 4. 在连接数合适的情况下内存占⽤持续增⾼，建议升级内存配置，避免可能存在内存溢出和大量清除缓存而导致系统性能急剧下降。

实例被退订后是否能恢复或退订错了是否可以找回 如退订实例为主动退订包周期实例，您可在实例退订7天内在回收站进行重建恢复。但部分情况下，退订实例无法恢复，退订数据库实例前请务必仔细确认实例相关的信息。回收站相关功能请参见实例回收站。 为什么RDSPostgreSQL实例退订后，还在继续计费 RDSPostgreSQL实例退订后，使用的虚拟机（VM）将停止计费，但其余资源包括弹性公网IP（EIP）等仍会正常计费。 如何退订RDSPostgreSQL实例 退订数据库实例可以在管理控制台对数据库实例进行退订操作，详细操作请参考“计费说明”中的产品续订与退订。

本节介绍了分布式消息服务RabbitMQ产品常见计费类问题。 支持哪些付费方式？ 支持包年包月和按需计费。 产品规格可选择哪些？ 分布式消息服务RabbitMQ是基于高可用、分布式集群技术，完全兼容RabbitMQ开源社区，支持消息路由、事务消息、优先级队列、延迟队列、死信队列、镜像队列等功能的消息云服务，更多产品信息请参见产品规格。 如何选择磁盘空间？ 在集群模式中，RabbitMQ需要对消息持久化写入到磁盘中，因此，在创建RabbitMQ实例选择存储空间时，建议根据业务消息体积预估以及镜像队列副本数量选择合适的存储空间。镜像队列副本数最大为集群的节点数。 例如：业务消息体积预估100GB，则磁盘容量最少应为100GB节点数 + 预留磁盘大小100GB。

独享引擎 独享引擎用于独享型接入场景，为用户提供独立部署的防护节点，独享引擎实例资源由用户独享，具有更高的性能、隔离性和定制化能力。更多信息请参见网站接入WAF防护（独享型接入）、管理独享引擎。 CC攻击 CC攻击（Challenge Collapsar）是一种针对Web应用的分布式拒绝服务攻击（DDoS），攻击者主要借助代理服务器生成大量正常的HTTP/HTTPS请求，耗尽服务器资源（例如CPU、内存等），导致服务器无法正常对外提供服务。 爬虫攻击 攻击者利用自动化的机器人程序批量获取源站页面数据或者利用业务逻辑缺陷获得非法业务收益，当爬虫抓取数据量逐渐增大时，会对被访问的服务器造成很大的压力。

企业路由器是一个支持路由学习的高性能集中路由器，本章节为您介绍企业路由器的优势。 高性能 企业路由器采用集群部署，独享资源确保高性能，满足大规模组网的业务负荷。 高可用 企业路由器可同时部署在多个可用区，打造双活模式，无缝实时切换，确保业务连续性。 管理简单 企业路由器可以实现多VPC互联，在接入的所有网络实例之间路由流量，可以简化网络拓扑，降低网络管理难度，提升网络运维效率。可以减少的工作说明如下： 对于VPC互通，不再需要您频繁创建多个VPC对等连接，维护每个VPC路由表。 企业路由器支持路由学习，能够自动进行路由信息的更新和同步，当网络拓扑变更时，能够自动收敛，无需手工配置、变更繁琐的路由条目。

参数 解释说明 文件名称/路径 K8S Manifests文件名称，以.yaml为后缀。 K8S Manifests是指用于定义、创建和管理Kubernetes资源的配置文件。这些配置文件以YAML或JSON格式编写，描述了应用程序、服务、存储等在Kubernetes集群上的部署和配置。 资源名称 K8S Manifests文件所属资源的名称。 资源类型 K8S Manifests文件所属资源的类型。 集群名称 K8S Manifests文件所属集群。 命名空间 K8S Manifests文件所属命名空间。 文件来源 文件分为本地上传、自动发现和GitLab同步。 扫描状态 扫描状态分为待扫描、扫描中、扫描完成和扫描失败。 风险等级 风险等级分为未知、高风险、中风险、低风险、无风险，未知代表该文件未经过扫描。 添加时间 添加或发现该K8S Manifests文件的时间。