本章节将为您介绍分布式消息服务RabbitMQ入门的基本流程，主要包括环境准备、创建资源、编译工程生产消费等环节，帮助您快速上手RabbitMQ。 步骤说明 1、 环境准备 创建RabbitMQ实例先要准备好虚拟私有云、子网和安全组，可选弹性公网IP。 2、 创建实例 在订购分布式消息RabbitMQ填写和确认实例名称、引擎类型、计费模式等信息，确认费用后点击下一步，等待开通流程结果通知成功后完成创建实例。 3、 创建资源 一个新的应用接入消息队列需要先创建相关资源，包括：Vhost、User、Exchange、Queue。 4、 生产消费 以上工作完成后，在客户端应用进行生产消费，包括引入依赖、绑定BindingKey、生产消息和消费消息。

平台化全流程管理 AI训练的高效执行，依赖于大数据团队、数据标注团队、算法开发团队、性能优化团队以及算法工程化团队等多个专业角色的紧密协作。 一站式智算服务平台，一个集成化的平台化工具，将以上所有角色都汇聚于一个统一的平台之上，提供从数据处理、模型开发、模型训练到最终模型部署应用的全栈服务。 管理者能够在平台上实现统一管理和查看，确保各环节的无缝衔接，让各角色参与者能借助平台完美协同工作，实现数据互通、环境互通，确保数据和模型安全，全程不出平台实现训练开发资产的一站式沉淀与管理，能显著提升企业整体工作效率，实现AI生产的流水线化运作。

通过VNC方式登录弹性云主机，且较长时间不做任何操作，此时，VNC登录界面可能会出现无响应的状况，且键盘和鼠标无法正常操作。 该情况造成的原因是由于为了保证用户的数据服务安全，vnc连接时长存在超时机制，超过一定时间后无操作后，将会中断vnc连接。 此时用户可以通过关闭VNC登陆界面窗口，重新执行【远程登陆】的操作重新登录VNC解决，操作步骤为： 1. 关闭当前VNC远程登陆窗口。 2. 返回云主机列表页，找到目标主机，点击操作列【远程登陆】。 3. 登陆VNC界面，此时VNC远程登陆重新连接 若此时用户仍然无法解决问题，则需要用户拨打客户电话或提交工单进行问题解决。

3.产品优势 1） 文档解析能力 更适配企业复杂文档（如技术手册、财务报表），支持 Word/Excel等多文件格式及多级标题、复杂表头拆分内容解析（准确率≥96%），无需额外配置或付费。避免知识碎片化，降低人工修正成本。 2）检索能力融合向量检索与全文检索，支持 Query 改写与多源检索（知识库+在线+大模型），秒级返回高关联结果。减少信息遗漏，提升检索精准性与决策效率。 3）权限管控与安全 提供 3 级角色权限，按部门/岗位隔离知识库。无需依赖第三方服务，有效防范数据泄露。 更多产品具体使用方法请参考附件。 如意宝典应用产品使用手册V1.0.pdf

本节主要介绍如何关闭情报指标。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 情报管理”，进入情报管理页面。 5. 在情报管理页面，单击目标情报所在行“操作”列的“关闭”，弹出关闭情报确认框。 6. 在弹出的关闭情报确认框中，选择“关闭原因”，并填写评论信息。 7. 单击“确认”。

内网DNS（Intranet Domain Name Service，CTIDNS）可提供VPC内的安全、全面、高性能的域名解析功能，具有以下特点： 支持基于VPC任意定制内网域名，灵活自由。 一个域名可以关联多个VPC，方便统一管理部署。 提供VPC子网专用的内网DNS，直接响应内网域名，OBS，RDS等地址的解析请求，快速高效，有效防护劫持。 内网DNS将内网域名与私网IP地址相关联，为云服务提供VPC内的域名解析服务，解析过程如下图所示。 图内网域名解析过程 当VPC内云主机访问内网域名时，内网DNS直接对内网域名进行解析，向云主机返回对应被访问的云服务器的私网IP地址。

混合云一体机集成天翼云平台，提供计算、存储、网络、监控、管理等全栈云服务。 计算 弹性云主机：由CPU、内存、镜像、云硬盘组成，是一种可随时获取、即开即用、可弹性扩展的计算服务器。一体机支持创建通用型、计算增强型、内存优化型多种云主机类型，同时支持云主机组、云主机快照等功能。 GPU云主机：结合了GPU计算力与CPU计算力，满足客户在人工智能、高性能计算、专业图形图像处理等场景中的需求。一体机通过扩展GPU服务器的方式支持GPU云主机，GPU云主机支持虚拟化、直通技术。 标准裸金属：具有物理资源独享、高性能的特点，适合部署核心数据库等关键系统。一体机通过虚拟裸金属网关实现对物理服务器的统一纳管。 镜像服务：是弹性云主机实例可选择的运行环境模板，一般包括操作系统和预装软件。云镜像服务包括公共镜像、私有镜像及共享镜像。 弹性伸缩服务：通过策略自动调整计算资源的管理服务。用户通过管理控制台设定弹性伸缩组策略，弹性伸缩服务将根据预设规则自动调整伸缩组内的云主机数量，降低人为反复调整资源以应对业务变化和高峰压力的工作量，帮助用户节约资源和人力成本。 存储 云硬盘：基于分布式架构的、可弹性扩展的数据块级存储设备。可为云主机提供系统盘和数据盘，满足文件系统、数据库或者其他应用等的存储。 云硬盘备份：针对云主机的系统盘、数据盘提供的备份服务。用户可对存储重要数据的磁盘进行备份，并在云主机磁盘故障、用户误删数据、遭到黑客攻击等情况下将备份数据快速恢复到源盘，有效保证用户数据的安全性。 云主机备份：支持多云硬盘一致性快照技术的备份服务，支持利用备份数据恢复弹性云主机数据，提供数据备份和操作恢复的整体方案，具备实时增量备份、快速数据恢复能力，有效保障用户数据的安全性和正确性，确保业务安全。 文件存储：提供按需扩展的高性能文件存储，可为多个弹性云主机、标准裸金属提供共享访问，具备高可用性和高数据持久性。 对象存储：存储非结构化数据（图片、音视频、文本等格式文件），根据客户需求空间确定存储容量。 网络 扁平网络：可与物理机网络直通，也可通过物理网络设置网关和路由直接访问互联网的网络。 虚拟私有云：为云主机等云上资源提供可配置、可管理的虚拟网络环境，不同虚拟私有云之间二层逻辑隔离。 弹性IP：将弹性IP地址和子网中关联的弹性云主机绑定和解绑，可以实现VPC中的弹性云主机通过固定的公网IP地址与互联网互通。 负载均衡：通过将访问流量自动分发到多台云主机，扩展对外的服务能力，解决大量并发访问服务器的问题，实现更高水平的应用程序容错性能。 对等连接：是指两个VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行通信，就像两个VPC在同一个网络中一样。用户可以在自己租户的VPC之间创建对等连接，也可以在自己租户的VPC与其他租户的VPC之间创建对等连接。 安全组：是云主机级别的流量防护规则，默认安全组default放通全部协议全部端口的流出。 ACL：是一个子网级别的流量防护规则，用户可以自定义设置网络ACL规则，并将网络ACL与子网绑定，实现对子网中云主机实例流量的访问控制。通过与子网关联的出方向/入方向规则控制出入子网的流量数据。 NAT网关：能够为虚拟私有云内的弹性云主机提供网络地址转换服务，使多个弹性云主机可以共享使用弹性IP访问Internet。 VPN连接（选配）：基于Internet、通过IPSec加密通道连接用户的企业数据中心和一体机的虚拟私有云（VPC），实现两侧资源的内网互通，帮助用户轻松实现混合云环境的部署。 监控 云主机监控：包括CPU使用率、网络流入流出流量的速率、内存使用率、磁盘分配率、磁盘使用率、磁盘剩余存储量等图表数据。 云硬盘监控：包括磁盘读速率、磁盘读请求速率、磁盘写速率、磁盘写请求速率。 弹性IP监控：包括流入流出带宽、网络流入流出速率。 负载均衡监控：包括入网流量、出网流量、出网带宽、活跃连接数、新建连接数、并发连接数等。 管理 云服务：为用户提供资源创建、管理能力，比如创建云主机、管理VPC等。 运维监控：支持通过拓扑、大屏、仪表盘等形式提供告警、性能监控、日志等基础运维服务。 运营管理：匹配组织架构，提供用户管理、配额管理、角色管理等管理能力。

本小节介绍服务器安全卫士的资产清点查询视图。 资产清点（Asset Inventory），致力于帮助用户从安全角度自动化构建细粒度资产信息，支持对业务层资产精准识别和动态感知，让保护对象清晰可见。使用 AgentServer 架构，提供10余类主机关键资产清点，800余类业务应用自动识别，并拥有良好的扩展能力。 资产清点功能有两种查询视图： 概览视图、分级视图 。 概览视图 概览视图作为“资产清点”功能的首页，主要实现对资产信息的可视化，帮助用户更直观地了解资产总体情况，更有效得出对资产的理解或判断。 概览视图内容，包含如下几部分： 主机统计：展示被托管主机的相关情况，包括：Agent运行状态、安装进展变化、及相关管理属性； 核心资产统计：总览主机中的几大重要资产（账号、端口、进程、软件应用、Web站点、数据库），体现为资产的总量统计、及特殊关注数量； 资产分布情况：展示上述具体资产的分布及统计情况，包括：基础资产、业务相关应用、Web资产等： 资源消耗情况：展示主机资源消耗情况，包括：系统负载、内存使用、磁盘使用。

本小节介绍如何使用DDoS基础防护。 概述介绍 DDoS基础防护产品主要面向业务价值较高和业务竞争性较强，易遭受DDoS攻击的客户。 客户可在DDoS基础防护产品中快速了解自身持有IP是否因流量峰值超出服务器和网络承受能力而被封禁，了解导致封禁的攻击峰值强度和防护建议，以此作为采用其他DDoS高防防护手段的参考。 前提条件 用户持有弹性EIP，若客户无公网业务则无需使用DDoS基础防护产品。 用户已登录天翼云官网平台。 完成账号实名制认证，使用天翼云官网账号登录，进入控制台使用服务。 基本操作 查看DDoS封禁情况 1. 选择“安全及管理 > 网络安全 > DDoS基础防护”，进入 DDoS基础防护控制台页面。点击“开通DDoS基础防护服务”。 2. 点击左侧导航栏“DDoS封禁情况”页面。 3. 在页面中查看DDoS封禁情况，若表格无具体数据，代表当前无IP被封禁。 4. 在页面中查看DDoS封禁情况，可在“流量峰值”一列查看流量峰值信息，可在“查看封禁前流量状态”一列点击查看封禁前的流量情况，对攻击进一步了解。

访问方式 配置信息 说明 管理控制台访问 控制台登录密码设置方式 首次登录时设置 如果您不是用户James的使用主体，建议您选择该方式，输入用户的邮箱和手机，用户James通过邮件中的一次性链接登录，自行设置密码。 管理控制台访问 控制台登录密码设置方式 自动生成 仅在创建单个用户时适用，如果您本次创建2个及以上的用户，则不支持此方式。 管理控制台访问 控制台登录密码设置方式 自定义 如果您是用户James的使用主体，建议您选择该方式，设置自己的登录密码。 管理控制台访问 登录保护 开启登录保护 开启登录保护后，IAM用户登录时，除了在登录页面输入用户名和密码外（第一次身份验证），还需要在登录验证页面输入验证码（第二次身份验证），该功能是一种安全实践，建议开启登录保护，多次身份认证可以提高帐号安全性。 您可以选择通过手机、邮箱、虚拟MFA进行登录验证。 管理控制台访问 登录保护 不开启 编程访问 创建用户完成后即可下载本次创建的所有用户的管理访问密钥。一个用户最多拥有两个访问密钥。这些AK/SK可以对进行编程调用，例如，通过API调用方式访问时，您可能需要使用访问密钥。

如果不再需要某个工作空间，可以参照本节进行删除。 工作空间删除后，相关的资产会存在风险，且会影响资产的风险预防和处理，安全性能降低，删除后不可恢复，请谨慎操作。 约束与限制 删除时，工作空间内运行的剧本、流程、引擎等将立即停止。 选择永久删除，工作空间内的所有内容将永久删除无法恢复。 删除工作空间 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，进入态势感知（专业版）工作空间页面。 4. 单击待编辑工作空间右侧的，进入工作空间详情页面。 5. 在工作空间的“基本信息”页签中，单击“删除”。 6. 在弹出的删除工作空间页面中，确认无误后，勾选“永久删除工作空间”，并在“确认删除”中输入工作空间名称，并单击“删除”。 注意 删除时，工作空间内运行的剧本、流程、引擎等将立即停止。 选择永久删除，工作空间内的所有内容将永久删除无法恢复。

本文向您介绍怎样修改远程登录的端口。 修改Windows系统实例默认远程端口，以Windows Server 2012数据中心版为例。 1. 登录控制中心。 2. 选择地域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 参考Windows弹性云主机管理控制台远程登陆（VNC方式），远程登录待修改端口的Windows弹性云主机实例。 5. 修改注册表子项PortNumber的值。 1）右键单击Windows 徽标键，选择运行，启动运行窗口。 2）在运行窗口的文本框内输入regedit.exe后按回车键，打开注册表编辑器。 3）在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > Wds > rdpwd > Tds > tcp，如下图所示： 4）在列表中找到注册表子项PortNumber并右键单击，选择修改，进入修改窗口。 5）在弹出的修改窗口中，在数值数据的文本框中输入新的远程端口号，以3398为例。在基数框中勾选十进制，然后单击确定。 6）在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > WinStations > RDPTcp。 7）在右侧列表中找到注册表子项PortNumber并右键单击，选择修改（可以使用键盘方向键向下寻找）。 8）在弹出的对话框中，在数值数据的文本框中输入新的远程端口号，在本示例中即3398。在基数框中勾选十进制，然后单击确定。 6. 在弹性云主机管理控制台中将此台云主机进行重启，具体如下图： 7. 为该实例添加安全组规则，允许新配置的3398远程端口进行连接。 具体操作，请参见配置安全组规则。 8. 最后使用远程桌面连接功能远程访问实例，在远程地址后面添加新端口号3398即可连接实例。 修改Linux系统实例默认远程端口，以CentOS 8.0 64位为例。 1. 登录控制中心。 2. 选择地域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 单击待修改的弹性云主机行的“操作>远程登录”按钮，远程连接弹性云主机实例。 5. 输入用户名root，密码为购买弹性云主机时用户自定义的密码，登录成功之后如图： 6. 因sshdconfig是Linux中重要的配置文件，为了避免误操作所带来的故障，在运行前首先对sshdconfig进行备份，请运行以下命令： 7. 进入到/etc/ssh路径下输入ll命令查看，具体信息如下图： cp /etc/ssh/sshdconfig /etc/ssh/sshdconfigbak 8. 修改sshd服务的端口号，因为已经在/etc/ssh路径下，因此直接运行vim sshdconfig编辑sshdconfig配置文件，在键盘上按i键，进入编辑状态，添加新的远程服务端口，本节以2222端口为例。在Port 22下输入Port 2222。 9. 在键盘上按Esc键，输入:wq后保存并退出编辑模式。 10. 运行以下命令重启sshd服务。 systemctl restart sshd 至此，此弹性云主机的远程登录默认端口已经从22改为了2222。 功能验证： 1）打开远程连接工具putty，输入此弹性云主机实例的弹性公网IP，先使用默认22端口登录，可以看到连接被拒绝，网络已中断，说明目前22端口已经无法进行远程登录。 2. 配置实例的安全组，放行TCP协议2222端口，具体操作，请参见配置安全组规则 3. 配置完成之后，使用SSH工具连接新端口2222，在port下输2222，可看到能够成功连接。

此小节介绍数据库安全查看数据库详细的SQL语句信息。 添加的数据库连接到数据库安全审计实例后，您可以查看该数据库详细的SQL语句信息。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入SQL语句页面，操作步骤如下图所示。 4. 查询SQL语句信息，如下图所示。 您可以按照以下方法，查询指定的SQL语句。 选择“时间”（“全部”、“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”），或者单击，选择开始时间和结束时间，单击“提交”，列表显示该时间段的SQL语句。 选择“风险等级”（“全部”、“高”、“中”、“低”或“信任”），单击“提交”，列表显示该级别的SQL语句。 单击“高级选项”后的，输入相关信息，如下图所示，单击“提交”，列表显示该选项的SQL语句。 高级选项信息 5. 在需要查看详情的SQL语句所在行的“操作”列，单击“详情”，如下图所示。 查看SQL语句详情 6. 在“详情”提示框中，查看SQL语句的详细信息，如下图所示，相关参数说明如下表所示。 参数名称 说明 会话ID SQL语句的ID，由系统自动生成。 数据库实例 SQL语句所在的数据库实例。 数据库类型 执行SQL语句所在的数据库的类型。 数据库用户 执行SQL语句的数据库用户。 数据库IP 执行SQL语句所在的数据库的IP地址。 数据库端口 执行SQL语句所在的数据库的端口。 客户端IP 执行SQL语句所在客户端的IP地址。 客户端名称 执行SQL语句所在客户端名称。 操作类型 SQL语句的操作类型。 操作对象类型 SQL语句的操作对象的类型。 响应结果 执行SQL语句的响应结果。 影响行数 执行SQL语句的影响行数。 开始时间 SQL语句开始执行的时间。 应结束时间 SQL语句结束的时间。 审计结果 SQL语句的审计结果。 SQL请求语句 SQL语句的名称。 请求结果 SQL语句请求执行的结果。

本文介绍URL鉴权的适用场景和配置方法。 功能介绍 默认情况下在边缘分发的内容大部分都是公开资源，用户可以直接请求URL获取。为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，您可以在天翼云边缘安全加速平台上配置URL鉴权功能。配置URL鉴权后，边缘节点会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 适用场景 1、需要对站点资源限制用户访问，避免资源被恶意下载或者非法盗用。 2、请求的资源都具有一定的时效性，超过时效则不允许访问。 注意事项 1、配置URL鉴权需要客户端跟产品服务配合一起开启。 2、配置鉴权后，用户将携带鉴权参数访问，建议缓存策略修改为忽略鉴权参数进行缓存，否则将增大回源概率。 3、当鉴权规则（含算法、秘钥、鉴权参数等）发生变更时，需要通知安全与加速产品配合更改，否则将导致用户请求异常。 4、如果您的鉴权URL中含有中文或特殊字符，需先进行URL转码（即Encode）后使用。 配置说明 天翼云提供三种鉴权方式供您参考配置，以下为详细的鉴权原理及配置说明。 （一）鉴权方式A 1、原理说明 鉴权方式A访问URL构成： 鉴权字段说明： 字段 描述 DomainName 服务域名。 Filename 实际回源访问的URL，鉴权时Filename需以/开头。不包含？后面的参数。 authkey 设定的鉴权参数名，默认为authkey，也可自定义。 timestamp 鉴权服务器生成鉴权URL的时间，即：鉴权开始时间，值为从1970年1月1日0点至当前时间总秒数 ，十进制整数。 备注：与鉴权URL有效时长共同控制鉴权URL的失效时间。鉴权URL实际有效期timestamp+配置的鉴权URL有效时长。 rand 随机数。0 64位随机字符串，由大小写字母与数字组成，例如：477b3bbcf6711128c7bec。 uid 用户ID，暂未使用，设置成0即可。 md5hash 通过MD5算法计算出的32位字符串。计算公式如下：md5hash md5sum(Filenametimestampranduidkey)。 备注1：md5加密元素分隔符默认中划线（），也可自定义。 备注2：这里的key为用户设定的鉴权秘钥，长度6到32，由大小写字母与数字组成，例如：ctcdnkey123。

在微服务架构和云原生环境中,服务发布策略至关重要,它决定了新功能如何安全、高效地发布到生产环境。本文介绍目前被业界广泛采用的服务发布策略,包括蓝绿部署、A/B测试以及金丝雀发布。 蓝绿部署 概念 蓝绿部署是一种通过冗余资源保障服务高可用的发布策略。它会同时维护两套完全相同的生产环境（蓝色旧版和绿色新版），平时仅由蓝色环境承载流量，绿色环境作为热备待命。发布时只需将流量无缝切换至绿色环境，旧版则转为备用状态。 这种设计既确保了发布过程零停机，又能在新版本故障时实现秒级回切，大幅降低业务风险。由于双环境资源对等，无需担心容量不足问题，但需要额外支付一倍的资源成本。 蓝绿部署特别适合对稳定性要求严苛的关键业务系统，通过牺牲部分资源成本换取绝对的发布安全性和快速回滚能力。 如下图所示，某服务旧版本为v1，对新版本v2进行冗余部署。版本升级时，将现有流量全部切换为新版本v2。当新版本v2存在问题或者发生故障时，可以快速切回旧版本v1。 优点 部署结构简单，运维方便。 服务升级过程操作简单，周期短。

本节主要介绍重启实例。 操作场景 出于维护目的，您可能需要重启数据库实例。 使用须知 实例状态为“正常”、“异常”、“恢复检查中”，支持重启实例。 重启实例会导致服务中断，请谨慎操作。 重启实例后，该实例下所有节点将会被重启。 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高账号安全性，有效保护您安全使用云产品。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择兼容类型为InfluxDB的指定实例，选择操作列“更多 > 重启实例”。 您也可以在“实例管理”页面，单击指定实例的名称，在页面右上角，单击“重启实例”。 4. 若您已开启操作保护，在“重启实例”弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。 5. 在弹出框中，单击“是”重启实例。 对于GeminiDB Influx集群实例，您可以根据业务需求，选择节点同时重启或者节点逐个重启。 图1 重启GeminiDB Influx实例 对于GeminiDB Influx单节点实例，直接点击是即可。 图2 重启GeminiDB Influx单节点实例

本章节主要介绍物理机的登录类的问题。 物理机开机或者重启后，无法登录或云硬盘丢失，如何解决？ 问题描述 物理机开机或重启后，无法登录或云硬盘丢失。 可能原因 网络拥塞或者丢包导致物理机获取IP或者挂载数据卷（云硬盘）失败。 解决方案 重启物理机，如果多次重启无效，请联系客服。 远程登录物理机时，对浏览器版本有什么要求？ 用户采用远程登录方式访问物理机时，使用的浏览器应满足下表。 支持的浏览器版本 浏览器 版本 Google Chrome 31.0及以上 Mozilla FireFox 27.0及以上 Internet Explorer 10.0及以上 远程登录物理机时界面操作无响应，如何解决？ 问题描述 远程登录物理机时，按“Enter”后界面无任何响应。 可能原因 物理机操作系统内部配置不允许通过远程访问。 解决方案 登录物理机，进入操作系统进行相关设置，各操作系统的配置有所不同，以下仅提供部分操作系统配置示例， 步骤 1修改配置文件。 对于SUSE Linux Enterprise Server 12 SP2/SUSE Linux Enterprise Server 12 SP1/Ubuntu 16.04 Server/CentOS Linux 7.3/EulerOS 2.2操作系统，使用vi编辑器打开“/etc/default/grub”，在“GRUBCMDLINELINUX”字段内容后添加“consoletty0 consolettyS0”，如下图所示。 对于Oracle Linux 7.3/Red Hat Enterprise Linux 7.3操作系统，使用vi编辑器打开“/etc/sysconfig/grub”，在“GRUBCMDLINELINUX”字段内容后添加“consoletty0 consolettyS0”，如下图所示。 步骤 2 刷新配置。 对于SUSE Linux Enterprise Server 12 SP2/Oracle Linux 7.3/Red Hat Enterprise Linux 7.3/CentOS Linux 7.3/EulerOS 2.2操作系统，执行以下命令刷新。 stty F /dev/ttyS0 speed 115200 grub2mkconfig o /boot/grub2/grub.cfg systemctl enable serialgetty@ttyS0 对于Ubuntu 16.04 Server操作系统，执行以下命令刷新。 stty F /dev/ttyS0 speed 115200 grubmkconfig o /boot/grub/grub.cfg systemctl enable serialgetty@ttyS0 步骤 3（可选）修改安全配置文件。 如果使用root用户通过串口进行登录，需要修改安全配置文件。在“/etc/securetty”最后添加如下信息： 步骤 4执行reboot重启操作系统。 物理机操作系统配置完成后，重新远程登录，确认是否可以登录成功。

本节介绍如何为Web应用防火墙v1.0开启/切换IPv6防护。 子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 Web应用防火墙设备开通 在设备成功开通后，默认一张网卡设定为管理网卡，以供单点登录设备时使用；需新增一张网卡专门用于业务操作。 Web应用防火墙开通 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”。 4. 在资源概览页面右上角，单击“立即购买”。 5. 在购买页面配置基础信息（包括区域 、虚拟私有云 、子网、可用区 和CPU分类 ），套餐选择自定义中的Web应用防火墙、并进行产品规格配置。 6. 选择购买时长后，勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“立即购买”。完成购买后等待资源开通成功。 新增业务网卡 1. 创建弹性网卡 在天翼云控制中心服务列表页，选择“网络 > 虚拟私有云”；在网络控制台左侧导航栏，选择“弹性网卡”，单击弹性网卡页面右上角的“创建弹性网卡”，配置弹性网卡的区域、名称、VPC、子网、安全组等信息，点击“确定”。 2. 绑定网卡 在云等保专区左侧导航栏，选择“Web应用防火墙”，在开通的设备右侧操作列点击“更多 > 绑定网卡”，选中上一步创建的弹性网卡，点击“确定”。 3. 重启Web应用防火墙系统 在云等保专区左侧导航栏，选择“Web应用防火墙”，在开通的设备右侧操作列点击“更多 > 重启”。 登录Web应用防火墙界面 在云等保专区左侧导航栏，选择“Web应用防火墙”，在目标资源右侧操作列单击“配置”，进入Web应用防火墙界面。 开启IPv6防护 开通Web应用防火墙v1.0后，还需要配置网络才能开启IPv6防护，请提交工单联系技术支持进行配置。

本节主要介绍如何导入、导出告警。 约束与限制 仅支持导入.xlsx格式的文件，单次导入文件大小不超过5MB，且单次导入数据不超过100条。 最多支持导出9999条告警信息。 导入告警 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。 5. 在告警管理页面中，单击告警列表左上角的“更多 > 导入”。 说明 仅支持导入.xlsx格式的文件，单次导入文件大小不超过5MB，且单次导入数据不超过100条。 6. 在弹出的“导入”对话框中，单击“下载模板”，并根据模板填写要求填写待导入告警信息。 7. 待导入告警文件填写完成后，在导入告警对话框中，单击“添加文件”，选择你需要导入的Excel文件。 8. 选择完成后，单击“确定”，完成导入。 导出告警 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。 5. 单击告警列表左上角的“更多> 导出”，弹出导出对话框，系统默认导出当前告警列表中的全量告警，最多支持导出9999条告警信息。同时也支持在告警管理列表中，勾选您需要导出的告警，并单击告警列表左上角的“更多> 导出”，弹出导出对话框，该场景下仅导出用户勾选的告警。 说明 最多支持导出9999条告警信息。 6. 在导出告警对话框中，配置参数。 参数名称 参数说明 导出格式 默认导出excel格式的告警列表。 自定义导出列 选择导出表格中，需要导出的参数。 7. 单击“确定”。 系统将自动下载告警excel表格到本地。

参数 是否必填 参数类型 说明 示例 下级对象 key 是 String 上传Object的名称。如果名称包含路径，例如cts/1.jpg，则会自动创建相应的文件夹 1.jpg policy 是（有条件） String Policy规定了请求表单域的合法性，是一段经过UTF8和Base64编码的JSON文本。不包含Policy表单域的请求被认为是匿名请求，并只能访问publicreadwrite的Bucket， 当Bucket为非publicreadwrite或者提供了AccessKeyId（或Signature）表单域时，必须提供Policy表单域 acl 否 String 在文件表单域中指定Object的访问权限。取值： private,publicread， publicreadwrite authenticatedread， bucketownerread， bucketownerfullcontrol。默认private private xamzmeta 否 String 用户指定的user meta值 xamzmetalocation CacheControl 否 String 指定该对象被下载时网页的缓存行为 请参见RFC 2616 ContentType 否 String 文件类型 image/jpeg xamzsecuritytoken 否 String 安全令牌。仅在通过STS构造POST签名时需要该参数。可以通过调用STS服务的AssumeRole接口获取安全令牌 ek+NvIdz ContentDisposition 否 String 指定该对象被下载时的名称 请参见RFC 2616 ContentEncoding 否 String 指定该对象被下载时的内容编码格式 请参见RFC 2616 Expires 否 String 过期时间 请参见RFC 2616 successactionredirect 否 String 上传成功后客户端跳转到的URL。如果未指定该表单域，返回结果由successactionstatus表单域指定。如果上传失败，返回错误码，并不进行跳转 successactionstatus 否 String 未指定successactionredirect表单域时，该表单域指定了上传成功后返回给客户端的状态码。 有效值：200、201、204（默认）。其中 200或者204，返回一个空文档和相应的状态码， 201，返回一个XML文件和201状态码，如果未设置或者设置为一个非法值，返回一个空文档和204状态码。注：如果设置为null则返回400 201 file 是 String 文件或者文本内容。一次只能上传一个文件。注意：file必须为最后一个表单域

介绍配置STS角色管理的具体步骤。 适用场景 媒体存储提供STS角色管理功能，无需向临时用户透露您的长期密钥，您可以为临时用户颁发一个自定义时效和权限的访问凭证，使您的资源访问更加安全。 注意 使用STS授权访问时，请务必按照业务情况，以最细粒度的权限原则进行授权，避免放大临时用户的权限，保证资源访问安全。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 前提条件 登录媒体存储控制台。 已完成新建Bucket操作，具体可参考 新建Bucket 。 通过控制台创建STS角色 操作步骤 1. 进入对象存储控制台，进入【角色管理】 菜单。 2. 点击【添加角色】，进行角色添加。 3. 在添加角色弹窗，填写角色名称、选择受信实体、存储区域、授权资源后，点击【确认】完成创建。 配置参数 参数 参数说明 角色名称 支持英文字母、数字以及短横线。 受信实体 受信任的实体账户，可以是本账号、本账号其下的子账号以及其他主账号。 存储区域 选择该角色的授权区域。 授权资源 根据授权区域，选择授权的资源，即存储桶，支持多选。 备注 根据需求填写备注字段，不超过50个字符。 获取角色ARN信息 1. 进入对象存储控制台，进入【角色管理】 菜单。 2. 找到对应的角色，点击角色名或操作列的【查看角色】按钮。 3. 进入角色详情页面，在基础信息里可获取对应的ARN信息，用以获取STS临时密钥。 修改授权范围 如需要修改角色对应的授权资源范围，可参考如下步骤操作： 1. 进入对象存储控制台，进入【角色管理】 菜单。 2. 找到对应的角色，点击角色名或操作列的【查看角色】按钮。 3. 在角色详情页【资源范围】栏的最右侧，点击【编辑】按钮。 4. 在弹窗需修改对应的授权资源，并点击【确定】完成操作。 实践应用 STS临时凭证的实践应用，可参考 移动应用使用临时凭证直传 。

本章主要介绍翼MapReduce的恢复NameNode数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对NameNode进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对NameNode进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复NameNode任务并恢复数据。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的NameNode数据。 建议一个恢复任务只恢复一个组件的元数据，避免因停止某个服务或实例影响其他组件的数据恢复。同时恢复多个组件数据，可能导致数据恢复失败。 HBase元数据不能与NameNode元数据同时恢复，会导致数据恢复失败。 对系统的影响 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 恢复数据后需要重启NameNode，重启完成前NameNode不可访问。 恢复数据后可能导致元数据与业务数据无法匹配，HDFS进入安全模式且HDFS服务启动失败。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 登录FusionInsight Manager，请参见登录管理系统。 在FusionInsight Manager停止所有待恢复数据的NameNode角色实例，其他的HDFS角色实例必须保持正常运行，恢复数据后重启NameNode。NameNode角色实例重启前无法访问。 检查NameNode备份文件保存路径是否保存在主管理节点“ 数据存放路径 /LocalBackup/”。

本章节主要介绍使用Hive客户端 。 操作场景 该任务指导用户在运维场景或业务场景中使用Hive客户端 前提条件 已安装客户端，例如安装目录为“/opt/hadoopclient”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 各组件业务用户由系统管理员根据业务需要创建。安全模式下，“机机”用户需要下载keytab文件。“人机”用户第一次登录时需修改密码。 使用Hive客户端（MRS 3.x之前版本） 1.以客户端安装用户，登录安装客户端的节点。 2.执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3.执行以下命令配置环境变量。 source bigdataenv 4.根据集群认证模式，完成Hive客户端登录。 安全模式，则执行以下命令，完成用户认证并登录Hive客户端。 kinit 组件业务用户 beeline 普通模式，则执行以下命令，登录Hive客户端，如果不指定组件业务用户，则会以当前操作系统用户登录。 beeline n 组件业务用户 说明 进行beeline连接后，可以编写并提交HQL语句执行相关任务。如需执行Catalog客户端命令，需要先执行!q命令退出beeline环境。 5. 使用以下命令，执行HCatalog的客户端命令。 hcat e "cmd" 其中 "cmd" 必须为Hive DDL语句，如 hcat e "show tables" 。 说明 若要使用HCatalog客户端，必须从“组件管理”页面单击“下载客户端”，下载全部服务的客户端。Beeline客户端不受此限制。 由于权限模型不兼容，使用HCatalog客户端创建的表，在HiveServer客户端中不能访问，但可以使用WebHCat客户端访问。 在普通模式下使用HCatalog客户端，系统将以当前登录操作系统用户来执行DDL命令。 退出beeline客户端时请使用!q命令，不要使用“Ctrl + c”。否则会导致连接生成的临时文件无法删除，长期会累积产生大量的垃圾文件。 在使用beeline客户端时，如果需要在一行中输入多条语句，语句之间以“;”分隔，需要将“entireLineAsCommand”的值设置为“false”。 设置方法：如果未启动beeline，则执行beelineentireLineAsCommandfalse命令；如果已启动beeline，则在beeline中执行!set entireLineAsCommand false命令。 设置完成后，如果语句中含有不是表示语句结束的“;”，需要进行转义，例如 select concatws(';',collectset(col1)) from tbl 。

密钥安全管理实践 私钥（privateKey/SK）严禁明文写入代码，应通过环境变量或密钥管理平台（如 HashiCorp Vault）注入。 为不同的业务系统（如生产环境、测试环境）创建不同的应用，使用独立的密钥，避免相互干扰。 建议定期轮换公私钥对，并在轮换后及时更新所有调用方的配置。 异常处理实践 异常场景 建议处理方式 护栏服务超时（网络抖动） 建议超时时间设为 3~5 秒；超时后根据业务风险等级决定放行或拦截，不应直接报错中断用户会话 successfalse（参数错误） 记录完整请求日志，不将接口调用失败等同于内容风险，应放行并同时告警 checkResultfail 不直接将原始大模型内容返回用户，优先使用配置的代答内容，若代答为空则使用兜底话术 在线测试额度耗尽 额度耗尽返回502，不影响正式 API 调用，可继续使用；如需更多测试次数，可使用正式 API 进行测试

本文主要介绍了开启重点操作短信验证的操作流程。 操作说明 开启重点操作短信验证保护后，您在进行对云主机进行关机、重启、重装等重点操作的场景时，需输入验证码，以防止错误操作造成的损失和风险。 需要注意的是：短信验证功能一旦开启，所有重点操作统一开启，短信验证的有效期为 15 分钟，15 分钟内做其他操作不需要重复验证。 操作流程 1.登录天翼云账号，点击右上角头像下方的【个人中心】进入基本信息，下拉点击“安全设置”再点击“登录保护”如下图所示。 2.点击【立即修改】跳转至概览/设置敏感操作保护，选择“开启”，如下图所示。 3.选择操作用户验证，如下图所示。 4.点击“保存”，即可开启重点操作保护。

此小节介绍解绑弹性公网IP。 当CBH实例需要重新绑定EIP或释放EIP时，需要为该实例解绑EIP。当实例成功解绑EIP后，则无法再通过该EIP登录云堡垒机系统。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，单击云堡垒机，进入云堡垒机实例界面。 5. 选择需要解绑弹性IP的实例，单击所在行“操作”列中的“更多 > 解绑弹性公网IP”，弹出的解绑弹性IP对话框。 6. 在弹出的解绑弹性IP对话框中，单击“确定”。解绑成功后，“弹性IP”列无IP信息，且“登录”按钮变为不可操作。

此小节介绍数据库安全设置被添加的数据库需要审计的风险操作。 添加的数据库开启审计功能后，您可以通过添加风险操作，设置被添加的数据库需要审计的风险操作。 注意 一条审计数据只能命中风险操作中的一个规则。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要添加风险操作的实例。 6. 选择“风险操作”页签。在风险操作列表左上方，单击“添加风险操作”。 7. 在“添加风险操作”界面，设置基本信息和客户端IP地址，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 风险操作名称 您可以自定义风险操作的名称。 test 风险级别 选择风险操作的级别，可以选择以下级别：l 高l 中l 低l 无风险 高 状态 开启或关闭风险操作。：开启：关闭 应用到数据库 选择应用该风险操作的数据库。 客户端IP/IP段 输入客户端的IP地址或IP地址段。IP地址支持IPv4（例如，192.168.1.1）和IPv6（例如，1050:0:0:0:5:600:300c:326b）格式。 192.168.0.0 8. 设置操作类型、操作对象、执行结果，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 操作类型 风险操作的类型，包括“登录”和“操作”。当选择“操作”时，可以选择“全部操作”，或选择“数据定义（DDL）”、“数据操作（DML）”或“数据控制（DCL）”的操作。 操作 操作对象 单击“添加操作对象”后，输入“schema”、“目标表”和“字段”信息。单击“确定”，添加操作对象。 执行结果 设置“影响行数”和“执行时长”的执行条件后，输入行数和时长值 9. 单击“保存”。

本节介绍如何扫描集群内的组件，发现组件上的漏洞。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 组件漏洞”，进入组件漏洞页面。 3. 单击组件漏洞列表右上角的“开始扫描”，对集群内的组件进行扫描，获取全部组件漏洞信息。 4. 扫描完成后，即可查看组件漏洞列表。 组件漏洞列表内，支持按照“组件名称”“组件版本”“集群名称”“集群版本”“命名空间”“节点名称”“危险级别”进行筛选查询。 组件列表参数说明： 参数 说明 组件名称 Kubernetes集群中的组件主要有以下几类： 控制平面组件（Control Plane Components）：控制平面的组件对集群做出全局决策（比如调度），以及检测和响应集群事件。包括kubeapiserver、etcd、kubescheduler、kubecontrollermanager、cloudcontrollermanager等组件。 Node组件：节点组件在每个节点上运行，维护运行的Pod并提供Kubernetes运行环境。包括kubelet、kubeproxy等组件。 容器运行时（Container Runtime）组件：容器运行时组件是负责运行容器的软件。 第三方插件：插件使用Kubernetes资源（DaemonSet、Deployment等）实现集群功能。因为这些插件提供集群级别的功能，插件中命名空间域的资源属于kubesystem命名空间。包括DNS、Dashboard等组件。 组件版本 组件的版本。 集群名称 组件所属集群的名称。 集群版本 组件所属集群的版本。 命名空间 组件所属命名空间。 节点名称 组件运行所在节点的名称。 漏洞数量 显示组件内存在的不同风险等级的漏洞数量统计信息。 最后一次扫描时间 该组件最后一次被扫描的时间。

在线测试功能允许用户无需任何配置和代码,直接在控制台对检测服务进行体验验证。支持输入测试、输出测试、图片检测三种模式,适合开发人员接入前的效果预验证,以及运营人员日常的功能体验。 对图片内容进行安全审核，对应 API 中的 imagesecuritycheck 服务。 使用限制 在线测试（包括输入测试、输出测试、图片检测）每月免费额度合计 10 次，所有测试类型共享该额度。当月剩余次数会在页面说明栏中显示。 操作步骤 1. 单击 “图片检测”标签页。 2. 上传本地图片文件，或单击下方“预设图片测试用例”中的“应用”，选择内置示例图片。 3. 单击“进行测试”，系统对图片进行风险分析并返回结果。 4. 若图片存在风险，弹窗将提示“检测未通过”并注明风险类型（如“政治敏感”）。 预设图片用例包含：政治敏感示例、宣扬暴力示例、宣扬淫秽色情示例、违反社会主义核心价值观示例、歧视性内容示例、侵犯他人合法权益示例、危险行为示例等。

本文介绍弹性文件服务安全权限组管理方面的内容。 什么是权限组 在弹性文件服务中，权限组是一个白名单机制。您可以创建权限组和规则，允许指定的IP地址或网段访问文件系统，并给不同的IP地址或网段授予不同的访问权限。仅部分资源池支持权限组，具体功能以控制台为准。 默认权限组 初始情况下，每个弹性文件服务会自动生成一个默认权限组，默认权限组允许任何IP地址以最高权限访问文件系统。默认权限组不支持删除或修改。 自定义权限组 如果默认权限组不符合您的业务需求，您也可以自定义权限组和规则，为IP地址或网段授予不同的访问权限，以满足不同的访问场景。 使用限制 一个天翼云账号在单个地域内最多可以创建20个权限组。 一个权限组最多支持添加400个规则。 仅支持创建专有网络类型的权限组。 具体操作步骤详见权限组管理。

导入/导出API 1.登录API安全网关。 2.在左侧导航栏选择“资源 > API”，进入API列表页面。 3.单击页面上方的“导入/导出API”按钮。 4.在弹出的对话框中选择YAML或JSON文件导入即可。 说明 目前仅支持YAML、JSON两种文本格式的描述文件。 导入已存在的API会默认跳过，最多可创建50个API。 上传的文件将覆盖编辑器中的内容，文件大小不可以超过100KB。 后续操作 生命周期管理：选择需要上线/下线的API，单击“操作”列的“上线/下线”按钮即可上线/下线API。 配置API：选择需要配置的API，单击“操作”列的“配置”按钮即可配置API。 删除API：选择需要删除的API，单击“操作”列的“删除”按钮即可删除API。 查看API：选择需要查看的API，单击“操作”列的“更多 > 查看”按钮即可查看API。 克隆API：选择需要克隆的API，选择“操作”列的“更多 > 克隆”按钮即可克隆API。

本页介绍了文档数据库服务参数。 能否调整实例的时区设定 鉴于无法调整文档数据库服务的时区设置，您可以通过在应用程序中获取当前时间并将其插入到表中的方式来处理。 用户需要关注实例的哪些参数 storage.engine 这个参数用于指定 MongoDB 使用的存储引擎，默认为 WiredTiger。可以根据需求选择其他存储引擎，如 InMemory 引擎或 MMAPv1 引擎。 storage.wiredTiger.engineConfig.cacheSizeGB 对于使用 WiredTiger 存储引擎的 MongoDB，这个参数用于配置缓存大小，即存储引擎使用的内存量。根据数据量和可用内存设置合适的值。 net.maxIncomingConnections 这个参数限制 MongoDB 实例可以同时处理的连接数。通过适当设置这个参数，可以控制 MongoDB 的并发连接数量。 security.authorization 使用这个参数可以启用或禁用 MongoDB 的访问控制功能。设置为 true 时，需要进行身份验证才能访问 MongoDB。 MapReduce提示不支持JavaScript MapReduce是一种用于对大型数据集进行处理和分析的功能强大的工具。然而，从安全性和性能方面考虑，在某些情况下可能会限制使用JavaScript代码，包括在MapReduce中执行JavaScript代码。 这种限制的目的是为了减少潜在的安全风险，避免不当的代码执行以及提高执行效率。JavaScript代码的执行可能会引起一些潜在的问题，例如代码注入攻击和性能下降。 为了安全考虑，mongodb默认限制了JavaScript脚本的执行。 文档数据库服务数据一致性策略：writeConcern与readConcern的运用与限制 MongoDB的写入和读取是数据库操作中重要的两个方面。为了确保数据的可靠性和一致性，MongoDB提供了writeConcern和readConcern这两个机制。 当我们谈论writeConcern时，实际上是在谈论写入操作的策略。通过配置writeConcern，我们可以控制数据写入的行为。例如，当我们将writeConcern设置为"majority"级别时，MongoDB会确保数据被写入到大多数节点上，从而降低了数据丢失的风险。这意味着，即使部分节点发生故障，大多数节点仍然保存着相同的数据，保障了数据的可靠性。 而readConcern则是与读取操作相关的策略。当我们设置readConcern为"majority"级别时，MongoDB会确保所读取的数据已经被写入到了大多数节点上。这就消除了因为读取操作而引起的脏读问题，因为我们可以确信读取到的数据已经经过大多数节点的确认。 然而，需要注意的是，目前文档数据库服务并不直接支持设置readConcern为"majority"级别。但这并不妨碍我们保障数据的一致性。通过设置writeConcern为"majority"，我们可以将数据写入到大多数节点，从而实现了大多数节点数据的一致性。随后，通过读取单个节点的数据，仍然可以保证读取到的内容是已经经过多数节点确认的，避免了脏读的问题。