本章主要介绍翼MapReduce的修改组件运行用户密码功能。 操作场景 建议管理员定期修改集群内组件运行用户的密码，以提升系统运维安全性。 组件运行用户，根据初始密码是否是系统随机生成，可分为两类： 密码随机生成的，用户类型为“机机”用户。 密码不是随机生成的，用户类型为“人机”用户。 对系统的影响 初始密码为系统随机生成的组件运行用户，在修改密码后需要重启集群，重启期间会造成业务暂时中断。 前提条件 已在集群内的任一节点安装了客户端，并获取此节点IP地址。 操作步骤 1.以客户端安装用户，登录安装了客户端的节点。 2.执行以下命令，切换到客户端目录，例如“/opt/Bigdata/client”。 cd /opt/Bigdata/client 3.执行以下命令，配置环境变量。 source bigdataenv 4.执行以下命令，输入kadmin/admin用户密码后进入kadmin控制台。 kadmin p kadmin/admin 说明 kadmin/admin的默认密码为“Admin@123”，首次登录后会提示该密码过期，请按照提示修改密码并妥善保存。 5.执行以下命令，修改系统内部组件运行用户密码。此操作对所有服务器生效。 cpw 系统内部用户名 例如：cpw oms/manager 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符5种类型字符中的4种。支持的特殊字符为~!?,.;'(){}[]/<>@ $%^&+。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码，例如Admin@12345。 不可与最近N次使用过的密码相同，N为配置密码策略中“重复使用规则”的值。此策略只影响“人机”用户。 说明 执行如下命令，可以查看用户的信息。 getprinc 系统内部用户名 例如：getprinc oms/manager 6.确认修改密码的用户，用户类型是哪种？ 用户类型为“机机”用户，执行7。 用户类型为“人机”用户，密码修改完成，任务结束。 7.登录FusionInsight Manager。 8.选择“集群 > 待操作的集群名称 > 更多 > 重启”。 9.在弹出窗口中，输入当前登录的用户密码确认身份，单击“确定”。 10.在确认重启的对话框中，单击“确定”。 11.等待界面提示重启成功。

本文主要介绍如何管理弹性负载均衡的证书。 负载均衡器支持两种类型的证书，云主机证书、CA证书。配置HTTPS监听器时，需要为监听器绑定云主机证书，如果开启双向认证功能，还需要绑定CA证书。 云主机证书：在使用HTTPS协议时，云主机证书用于SSL握手协商，需提供证书内容和私钥。 CA证书： 又称客户端CA公钥证书，用于验证客户端证书的签发者；在开启HTTPS双向认证功能时，只有当客户端能够出具指定CA签发的证书时，HTTPS连接才能成功。 注意 同一个证书在负载均衡器上只需上传一次，可以使用在多个负载均衡器实例中。 默认情况下，一个监听器每种类型的证书只能绑定一个，但是一个证书可以被多个监听器绑定。 负载均衡器只支持原始证书，不支持对证书进行加密。 共享型负载均衡器和后端云主机不能同时使用证书，如果后端云主机使用了证书，那么对应的监听器就不能使用HTTPS协议，可以使用TCP监听器将HTTPS流量透传到后端云主机。独享型负载均衡不存在此限制。 可以使用自签名的证书，使用自签名证书和第三方机构颁发的证书对负载均衡器无区别，但是使用自签名证书会存在安全隐患，建议客户使用权威机构颁发的证书。 负载均衡器只支持PEM格式的证书，其它格式的证书需要转换成PEM格式后，才能上传到负载均衡。 目前ELB不支持对证书有效期等进行检查。 ELB不会自动选择未过期的证书，如果您有证书过期了，需要手动更换或者删除证书。

本文整理 AIuse 云电脑 SDK 接入过程中的工程实践建议,帮助开发者构建更稳定、可维护的桌面自动化任务。 使用服务端调用 SDK 建议在服务端或可信执行环境中调用 SDK，不建议在浏览器前端、移动端客户端或用户可反编译的安装包中直接保存 AccessKey Secret。 按任务创建会话 推荐每个自动化任务创建独立会话，任务完成后关闭会话。 plaintext const session await client.createSession(); try { // 执行业务操作 } finally { await session.close(); } 观察后再操作 GUI 自动化的稳定性依赖界面状态。建议在关键操作前后都进行截图或状态确认。 示例流程： 1. 截图确认页面已打开。 2. 点击目标输入框。 3. 输入文本。 4. 点击查询按钮。 5. 等待结果加载。 6. 再次截图确认结果。 控制单次任务范围 不建议将过长、不可恢复的业务流程放在一个连续脚本中执行。可将复杂任务拆分为多个阶段，每个阶段完成后记录状态，便于失败后从可控节点恢复。 管理文件路径 建议为每个任务分配独立目录： plaintext D:/aiuse/tasks/{taskId}/input D:/aiuse/tasks/{taskId}/output D:/aiuse/tasks/{taskId}/logs 这样可以降低文件冲突和误覆盖风险，也便于任务结束后清理。 保护敏感信息 日志中不要输出完整密钥。 截图中可能包含业务数据，保存和使用时应遵循企业数据安全要求。 文件内容可能包含敏感信息，对外共享前应进行脱敏。 对外共享排查材料前应进行脱敏。

本文整理 AIuse 云电脑 SDK 接入过程中的工程实践建议,帮助开发者构建更稳定、可维护的桌面自动化任务。 使用服务端调用 SDK 建议在服务端或可信执行环境中调用 SDK，不建议在浏览器前端、移动端客户端或用户可反编译的安装包中直接保存 AccessKey Secret。 按任务创建会话 推荐每个自动化任务创建独立会话，任务完成后关闭会话。 plaintext const session await client.createSession(); try { // 执行业务操作 } finally { await session.close(); } 观察后再操作 GUI 自动化的稳定性依赖界面状态。建议在关键操作前后都进行截图或状态确认。 示例流程： 1. 截图确认页面已打开。 2. 点击目标输入框。 3. 输入文本。 4. 点击查询按钮。 5. 等待结果加载。 6. 再次截图确认结果。 控制单次任务范围 不建议将过长、不可恢复的业务流程放在一个连续脚本中执行。可将复杂任务拆分为多个阶段，每个阶段完成后记录状态，便于失败后从可控节点恢复。 管理文件路径 建议为每个任务分配独立目录： plaintext D:/aiuse/tasks/{taskId}/input D:/aiuse/tasks/{taskId}/output D:/aiuse/tasks/{taskId}/logs 这样可以降低文件冲突和误覆盖风险，也便于任务结束后清理。 保护敏感信息 日志中不要输出完整密钥。 截图中可能包含业务数据，保存和使用时应遵循企业数据安全要求。 文件内容可能包含敏感信息，对外共享前应进行脱敏。 对外共享排查材料前应进行脱敏。

AI 网关支持对Agent API进行策略和插件配置,从而提高API的安全性和可维护性。 操作步骤 1. 登录云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" ，进入目标实例概览。 3. 在左侧导航栏，选择"Agent API"，进入目标API概览。 4. 选择策略与插件页签，单击 "启用策略/插件"。 5. 在启用策略/插件面板中，选择策略或插件进行配置。 策略配置 限流 当前实现为单机限流，基于时间窗口实现，可以配置时间窗口大小（秒）以及在一个时间窗口内限制的请求数。 配置 说明 时间窗口 进行限流统计的时间窗口 限制请求 时间窗口内允许的最大请求次数，超出的请求将会被拒绝 跨域设置 云原生网关支持路由级别的跨域资源共享（CORS）。 CORS配置说明如下： 配置项 说明 允许访问的来源 作用于AccessControlAllowOrigin头部，格式如：scheme://host:port，比如: 允许的方法 作用于AccessControlAllowMethods头部，表示允许的访问方法 允许的请求头部 作用于AccessControlAllowHeaders头部，允许跨域访问时请求方携带哪些CORS规范以外的Header，多个值使用','分割，''来表示所有Header均允许通过 允许的响应头部 作用于AccessControlExposeHeaders头部，允许浏览器和js脚本访问的响应头部 允许携带凭证 作用于AccessControlAllowCredentials头部 预检的过期时间 作用于AccessControlMaxAge头部 开启状态 开启时才生效

CMSAgent为何无法启动？ 检查网络：源机与平台之间通讯是否成功。 具体步骤请参见检测目标机。 Windows Agent双击无法运行 问题描述 安装Windows Agent，双击CMSAgent安装程序没有响应，无法进入安装向导。 问题分析 系统设置的安全策略锁定了该文件，需要解除对该文件的锁定。 解决方案 右键单击CMSAgentpy.运行程序查看属性，勾选“解除锁定”，单击“确定”，然后重新运行。 CMSAgent（Windows）安装提示“缺少json.dll文件，Agent启动失败”，应当如何处理？ 1. 确认CMSAgent（Windows）的程序是否已解压。如果没有解压，请将其解压并重新启动程序。 2. 检查json.dll文件是否被误删除。若是，请重新于平台测下载程序安装包。 3. 检查防火墙是否误认为该程序有风险，并对其进行了查杀。如果是，请将CMSAgent加入白名单，或将防火墙关闭后重新启动程序。 4. 如果上述步骤均未能解决问题，建议重新从平台侧下载并解压CMSAgent程序后再进行启动。 Linux安装Agent 输入AK/SK提示“The host has been bound by another user;Installation failed!”如何处理？ 原因：该设备已被别的平台注册。 处理方式： 原注册cms服务平台删除此设备任务 登录迁移源端输入指令进行删除：rm rf /etc/.moveclouduuid。 注意 rm操作具有一定风险，请确认操作影响后执行。 Windows 2008 Agent启动后无法粘贴AK/SK该如何处理？ 您可以使用crt、xshell等终端软件粘贴命令进行粘贴。

本节主要介绍分布式缓存服务Redis的登录方式 您可以通过密码登录或账号+密码登录的方式访问分布式缓存服务Redis版实例。 密码登录 登录方式：仅输入密码即可登录，无需输入账号。 使用限制：此方式仅会以实例默认账号进行登录 。 特点：与原生Redis登录方式一致，符合多数用户的使用习惯。但由于一个实例只有一个默认账号，可能会导致该实例使用同一账号连接多个应用的情况。 连接示例： 标准版：rediscli h {host} p {port} a {password} Cluster集群：rediscli h {host} p {port} a {password} c 适用：标准版、Cluster集群、Proxy集群、读写分离。 账号+密码登录 登录方式：输入账号和密码。 使用限制：Redis 6.0开始支持ACL账号管理，用户已给Redis实例创建自定义账号。 特点：您可以为Redis实例创建多个账号，在不同应用中以不同的账号登录，提高数据安全性。关于如何创建数据库账号，请参考账号管理 连接示例： 标准版：rediscli h {host} p {port} user {user1} pass {password} Cluster集群：rediscli h {host} p {port} user {user1} pass {password} c 适用：Redis6.0/7.0的标准版、Cluster集群、Proxy集群、读写分离。 经典集群登录 登录方式：输入账号和密码，账号与密码以英文井号（ ）分隔，格式为user password。 使用限制：目前仅经典集群版本支持该登录方式，需在实例详情页面维护账号信息。默认账号与普通账号均可使用此方式登录。 连接示例： 经典集群：rediscli h {host} p {port} a {user}

配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、本地存储、并行文件，这里选择本地存储。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 对应StorageClass yaml中provisioner，值为local.csi.cstor.com。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，默认为Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。WaitForFirstConsumer模式： 该模式将延迟 PV的绑定和制备，直到使用该 PVC的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 参数 本地存储类型：参数键为type；该场景下选择lvm。 存储池：参数键为baseStor，选择上一步创建的存储池。 挂在类型：参数键为csi.storage.k8s.io/fstype，支持参数值包括ext4、xfs。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。

本章节介绍应用服务网格CSM相关名词解释 控制面（ Control plane ） 控制面是整个服务网格的控制中枢，负责整个网格的管理，包括sidecar注入，服务发现和服务治理配置分发以及证书管理功能等。 数据面（ Data plane ） 数据面是实际执行流量治理的代理服务器，在istio里面采用Envoy作为流量代理服务器，Envoy会拦截进出业务服务的流量并执行相应的流量治理策略。 sidecar 注入（ sidecar injection ） 在业务pod内部增加一个sidecar，用于实现流量拦截和代理功能，称为sidecar注入；在K8S的使用场景下，一般采用webhook机制实现业务无感知的sidecar注入。 虚拟服务（ Virtual Service ） 虚拟服务是istio定义的流量治理对象，能够实现对指定服务配置路由规则的功能，匹配到该路由规则的请求将根据配置被转发到相应的目标。 目标规则（ Destination Rule ） 目标规则时istio定义的用于管理流量转发目标服务的对象，比如可以使用目标规则设置要转发的目标服务的版本、超时重试策略、熔断策略等。 对等身份认证（ Peer Authentication ） 在服务网格内，服务之间通信都要经过sidecar，对等身份认证策略定义了sidecar之间的通信安全策略，可以是明文传输，或者强制TLS加密通信，或者两种都可以。 请求身份认证（ Request Authentication ） 请求身份认证定义了服务对于收到的请求的身份认证策略，比如可以配置服务按照jwt策略对请求的身份进行认证，认证之后可以基于请求者的身份做进一步的访问授权策略。

管理员创建企业微信（移动端）自建应用 1. 创建应用 访问企业微信管理后台，在应用管理应用界面中创建应用。 2. 设置可信域名 应用创建完成后，在开发者接口中设置“网页授权及JSSDK”模块，点击“设置可信域名”按钮，填写可信域名，且完成域名归属认证。 注意：可信域名的核心作用在于保证应用的安全性和数据的准确性，您可以使用属于贵公司的任何域名，且域名是必须互联网可访问。 设置可作为应用OAuth2.0网页授权功能的回调域名，输入可信域名后点击“确定”。 3. 设置授权回调域 应用创建完成后，在开发者接口中设置“企业微信授权登录”模块，点击“设置”按钮，再点击“设置授权回调域”按钮，设置授权回调域信息。 在Web网页模块设置授权回调域，这里填写的域名需和花卷慧办的域名保持一致，例如“授权回调域”地址需要联系客户经理或在控制台获取。

区别项 云专线 云间高速 概念 云专线是一种通过私有连接，将用户本地数据中心与云端的数据中心直接连接起来的服务。 云间高速是云厂商为用户提供的一种高速互联网连接服务，使用户可以通过公共互联网连接到云端的数据中心。 连接方式 天翼云云专线服务是由物理专线实现连接的，具有较高的带宽、低延迟和更可靠的连接。 通常是通过虚拟专线或优化的网络路由实现的，以提供较快的数据传输速度和相对较低的延迟。 路由配置 专线网关作为客户站点和天翼云VPC之间的虚拟路由转发设备，实现端到端的路由配置，一端绑定物理专线，一端与客户站点需要访问的VPC直连。 在云间高速中，云网关通过配置在其上的路由表进行多点互联流量转发，每个云网关包含一张默认路由表，支持创建自定义路由表，并支持通过路由表关联转发和路由学习功能定义互通、隔离，满足网络多样化的需求。 带宽配置 在配置物理专线时，可以指定带宽，实现点到点购买。 购买云间高速时，同时需要购买各个跨域网络实例的互通网络带宽，所有的跨域互通网络实例使用的带宽总和即为带宽包。 适用场景 云专线可以提供更好的隐私和安全性，适用于需要大量数据传输和对网络连接稳定性要求较高的企业。 云间高速适用于需要与云服务提供商快速连接的任务，如数据备份、应用程序部署等。

本节为您介绍如何通过云主机创建整机镜像,包括Linux和Windows操作系统。 操作场景 您可以使用弹性云主机将其挂载的数据盘一起创建整机镜像，云主机整机镜像包含系统盘与数据盘，使用挂载有数据盘的云主机创建的整机镜像包含操作系统、应用软件，以及用户的业务数据。可用于快速发放相同配置的弹性云主机，实现数据迁移。 前提条件 系统盘或数据盘加密的云主机不可创建整机镜像。 整机镜像只能通过云主机创建，不能通过镜像文件创建。 如果只有系统盘的云主机，不支持创建整机镜像，请选择系统盘镜像。 当删除整机镜像时，对应的整机备份同时删除。 使用整机镜像购买云主机时，在磁盘选项里面，系统盘与数据盘的类型与整机镜像的系统盘数据盘类型相同，不可更改。数据盘大小不可更改，系统盘大小必须大于等于整机镜像中的系统盘大小。如整机镜像有多块数据盘，则购买页面亦有多块数据盘，且不能删除数据盘。计费标准与正常挂载数据盘一致。 整机镜像不支持导入、导出功能。 节省关机状态下的云主机不支持创建镜像。 注意 请确保已删除实例中的敏感数据，避免数据安全隐患。 弹性云主机与其创建的私有镜像属于同一个地域，不能跨地域使用。 创建私有镜像的过程中，请勿对所选云主机及其相关联资源进行任何操作。 创建整机镜像所需时间取决于云主机系统盘的大小，私有镜像创建完成才可以使用，请您耐心等待。

本文汇总了管理伸缩组内实例过程中会遇到的管理类问题。 怎样查看通过弹性伸缩创建的主机实例密码并进行登录？ 系统无法获取您设置的密码内容，请您在创建伸缩配置时，妥善保管相关内容。 通过弹性伸缩创建的云主机实例，与伸缩组关联的伸缩配置中设置的登录方式和密码保持一致。 自动创建的云主机 实例密码是否与主机私有镜像中的密码一致？ 不一致。 为了确保安全，所有自动创建的云主机实例密码都建议采用SSH密钥对。在自动创建云主机实例时，通常不会采用自定义镜像的密码来作为登录密码。 通过伸缩组扩容自动创建的弹性云主机实例如何部署应用？ 通过伸缩组扩容自动创建的弹性云主机实例，可通过 “私有镜像 + 用户数据” 实现应用自动部署。具体为：创建包含应用程序软件及开机自启动设置的私有镜像，并配合用户数据注入开机后自动执行的脚本，即可实现应用自动部署。 弹性伸缩场中，云主机健康检查与负载均衡健康检查有什么区别？ 云主机健康检查 ：聚焦云主机实例本身状态。当检测到实例处于 “错误” 等异常状态时，会将其移出伸缩组，同时自动创建新的健康实例，确保伸缩组实例数量符合预设配置。 负载均衡健康检查 ：需先为伸缩组关联负载均衡器才可启用，检查云主机实例上指定服务的端口响应状态。若伸缩组关联多台负载均衡器，需所有负载均衡器均判定实例 “健康”，才认为其正常；只要有一台检测到端口服务异常，实例就会被移出伸缩组。

本节介绍如何在linux云主机中设置允许或禁止用户/IP通过SSH方式连接。 操作场景 出于对云主机系统安全的考虑，需要对操作系统设置用户/IP是否可以通过SSH方式连接，以深度管理云主机登录权限。 操作方法 您可以选择适用您需求的设置方式，实现限制登录的目的。 1. 通过编辑sshd配置文件，可以对指定用户/用户组或IP的登录权限设置。 1）编辑sshd配置文件中为指定用户设置白名单。在 /etc/ssh/sshdconfig 配置文件中添加AllowUsers配置，以下示例中的实际效果为允许用户user通过192.168.8.8的IP地址进行登录。 AllowUsers user@192.168.8.8 2）编辑sshd配置文件中为指定用户设置黑名单。在 /etc/ssh/sshdconfig 配置文件中添加DenyUsers配置，以下示例中的实际效果为禁止用户invaliduser登录。 DenyUsers invaliduser 2. 通过编辑host.allow和host.deny文件，可以对指定IP或IP地址段的登录权限进行设置。通常这两个文件结合设置。 1）编辑host.allow文件，添加 sshd: IP地址或IP地址段，允许指定IP地址或IP地址段进行登录，示例如下： sshd: 192.168.8.8 2）编辑host.deny文件，添加如下内容，禁止所有IP的SSH登录权限： sshd: ALL 两个文件同时设置规则的时候，hosts.allow文件中的规则优先级高于hosts.deny，结合使用可以有针对性地开放SSH登录权限。 因此以上示例的实际效果，云主机将只允许IP地址为192.168.8.8的用户进行SSH登录，其它的IP都会拒绝。 3. 重启sshd服务，使以上修订内容生效。

配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、本地存储、并行文件，这里选择本地存储。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 对应StorageClass yaml中provisioner，值为local.csi.cstor.com。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，默认为Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。WaitForFirstConsumer模式： 该模式将延迟 PV的绑定和制备，直到使用该 PVC的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 参数 本地存储类型：参数键为type；该场景下选择lvm。 存储池：参数键为baseStor，选择上一步创建的存储池。 挂在类型：参数键为csi.storage.k8s.io/fstype，支持参数值包括ext4、xfs。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。

智算一体机的远程运维怎么连接到客户？ 远程运维连接途径 智算一体机在远程运维过程中，与客户建立连接主要通过两种方式：专线连接和公网连接。客户可依据自身网络环境和实际需求，选择合适的连接途径。 分级运维体系下的远程运维接入规则 智算一体机采用分级运维模式，中国电信地市公司负责属地化的一线运维工作。在日常运维中，若一线运维人员凭借专业技术与经验，无法解决设备出现的问题，便会启动二三线远程运维机制。 默认情况下，二三线远程运维需要客户提供公网带宽，借助 AOne 的方式接入天翼云运维平台。通过这种方式，可实现对设备运维的统一管理，确保运维工作高效、有序地开展。 注意 AOne需客户单独购买，点击购买 客户无法连接公网时的应对举措 倘若客户因自身网络架构或安全策略等原因，无法提供公网带宽，通常可通过远程工具接入进行远程运维。这些远程工具经过精心筛选与测试，能够在有限的网络条件下，保障基本的运维操作得以顺利进行。 智算一体机交付时间为多久？ 一体机从下单到完成交付的时长，主要由硬件备货时间、物流配送至客户现场的时间，以及现场交付时间这三部分构成。 硬件备货时间：若客户所需型号当前无库存，那么备货周期约为30至60个工作日。 物流配送时间：将一体机运送至客户现场所需的时长，需依据客户提供的收件地址来确定，预计在5至7个工作日。 现场交付时间：需耗时5至7个工作日 。

本文主要介绍加密镜像。 加密镜像概述 用户可以采用加密方式创建私有镜像，确保镜像数据安全性。 约束与限制 用户已启用数据加密服务 加密镜像不能共享给其他租户。 不能修改加密镜像使用的密钥。 对于加密镜像创建的云主机，其系统盘只能为加密状态，且磁盘密钥与镜像密钥一致。 如果云主机的系统盘已加密，那么使用该云主机创建的私有镜像也是加密的。 加密镜像使用的密钥为禁用状态或者被删除时，该镜像无法使用。 创建加密镜像 创建加密镜像分为通过外部镜像文件创建加密镜像和通过加密弹性云主机创建加密镜像。 1、通过外部镜像文件创建加密镜像 用户使用OBS桶中已上传的外部镜像文件创建私有镜像，可以在注册镜像时选择KMS加密及密钥完成镜像加密。具体操作步骤请参考通过外部镜像文件创建Windows系统盘镜像和通过外部镜像文件创建Linux系统盘镜像。 2、通过加密弹性云主机创建加密镜像 用户选择弹性云主机创建私有镜像时，如果该云主机的系统盘已加密，那么使用该云主机创建的私有镜像也是加密的。加密镜像使用的密钥和系统盘的密钥保持一致。具体操作请参考通过云主机创建Windows系统盘镜像和通过云主机创建Linux系统盘镜像。

Redis实例支持命令重命名。 当前主要针对一些高危的命令，这些命令可能会极大影响REDIS服务的可用性或对性能有很强的副作用 ，具体支持重命名的命令如下：command、keys、flushdb、flushall、hgetall、scan、hscan、sscan、zscan、shutdown、config 等，其他命令暂时不支持。 其中，容量型的实例不支持命令重命名。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台左上角选择实例所在的区域。 3. 对需要重命名命令的缓存实例右侧，单击“操作”栏下的“更多 > 命令重命名”。 4. 在“命令重命名”对话框中，打开开关，点击“添加重命名命令”， 选择需要重命名的高危命令，并输入重命名名称，单击“确定”。 5. 如果要关闭重命名，在“命令重命名”对话框中， 关闭开关， 单击”确定“。 注意 1.重命名的过程中会重启实例，请谨慎操作。 2.每次操作都会覆盖之前的重命名命令，只有当前设置的重命名命令会生效。 3.因为涉及安全性，页面不会显示这些被重命名的命令，请记住重命名后的命令。 4.需要还原某个重命名命令的话，和原命令填写相同即可还原。 5.命令不能重命名为除自己外的其他原始命令。 6.关闭重命名会清理所有重命名命令。 7.重命名执行期间不能执行FLUSHALL或FLUSHDB的命令, 或触发对应命令的操作。 8.重命名的命令必须以字母开头，长度范围为4~64个字符，且只能包含字母、数字、中划线和下划线。

本章节为您介绍分类分级配置相关功能。 本模块用于对分类分级框架、规则、模型等进行管理与配置。其中，结构化模版模块可自定义上传结构化数据分类分级模版，并支持以系统名称、库名、表名、表注释、字段名、字段注释、字段内容等各种维度进行条件组合的方式维护分类分级规则；非结构化模版模块通过填写中心词并补充关联词生成新的分类分级规则。 结构化模板 1.登录数据分类分级实例。 2.在左侧导航栏选择“分类分级配置 > 分类分级模板”，进入“结构化模板”页面。 行业模板管理 系统内置多个行业模板。点击当前模板名，展开模板列表。模板列表中，置顶模板为默认模板，其余模板的排列顺序基于原内置顺序和自定义导入顺序。 说明 行业模板主要包括：通用、金融、政府、个人信息安全规范、运营商、医疗、交通、交通部、人社、企业集团性质公司、医保、政法委、卫健委、各地水利单位、教育、学校、教育行政部门、行政、水利、烟草、证券等。 设置默认模板：选择需要设为默认的模板，单击页面上方的“设为默认”按钮，即可设为默认模板。 新增模板：单击页面上方的“新增”按钮，在弹出的对话框中输入模板名称、选择模板框架，完成后单击“确定”即可新增模板。 删除模板：选择需要删除的模板，单击“删除”按钮，即可删除模板。 分类框架及数据示例 分类分级模板的框架默认全部展开，展示当前模板的分类层级，以及每个分类所对应的下属规则数量。

此小节介绍用户登录提示“您的账户已经被锁定,请自助解锁或联系管理员”问题如何处理。 账号密码被锁定主要有以下几种情况： 忘记密码，连续输错N次密码后账号自动锁定。 账号、密码超过有效期，自动锁定。 账号空闲超过阈值未登录系统。 管理员主动锁定。 忘记密码 在云堡垒机实例登录页面点击忘记密码，通过注册邮箱重置密码，解锁账号。 注意 忘记密码自助解锁功能，需要用户在注册时有绑定邮箱地址，若未绑定邮箱地址，只能联系管理员解锁。 操作步骤 1. 进入云堡垒机登录页，点击忘记密码。 2. 输入用户名、邮箱等信息，验证用户身份。 3. 输入新登录密码，点击确定后，密码重置成功。 密码过期锁定 在云堡垒机实例登录页面点击自助解锁，通过注册邮箱解锁账号。 注意 密码过期自助解锁功能，需要用户在注册时有绑定邮箱地址，若未绑定邮箱地址，只能联系管理员解锁。 操作步骤 1. 进入云堡垒机登录页，点击自助解锁链接。 2. 进入自助解锁功能后，输入用户名、邮箱和动态验证码，验证用户身份。 3. 输入更新后的密码，注意输入密码需要符合密码安全策略，点击确认。 4. 解锁成功。 其他原因账号被锁定 联系管理员解锁。管理员登入云堡垒机管理后台，在账号管理中可解锁用户账号、更改密码。

利用过滤器 使用Kibana的过滤器来快速筛选和过滤数据。为常用的过滤条件设置预定义的过滤器，方便用户快速获取特定数据。比如创建预定义的过滤器，如“电子产品”、“服装”和“家居用品”，以便用户可以轻松筛选特定商品类别的数据。 使用查询语言 熟悉Kibana查询语言，以便在搜索中精确获取所需数据。使用查询语言来构建复杂的搜索条件。比如如果您想进一步筛选销售额大于一定值的商品，您可以使用查询语言，如salesamount: >1000。 4. 仪表盘布局 自由布局 充分利用Kibana的仪表盘自由布局功能，将可视化组件灵活地排列在仪表盘上，以满足特定的需求。 仪表盘间距 注意仪表盘组件之间的间距，以确保组件之间不会重叠或过于拥挤。 5. 安全性 访问控制 根据用户角色和权限设置访问控制，确保只有有权用户可以访问特定的仪表盘和数据。比如设置只有数据分析师可以访问销售数据仪表盘，而其他人员无法访问。 敏感数据处理 对于包含敏感数据的仪表盘，考虑将数据脱敏或使用字段级别的权限来限制敏感信息的访问。 6. 性能和优化 数据缓存 利用Kibana的数据缓存功能，减少重复查询对ElasticSearch的压力，提高仪表盘加载速度。 数据更新频率 根据数据的更新频率，设置仪表盘的刷新间隔，避免过于频繁的数据刷新。 这些是Kibana最佳实践的一部分，能够帮助您更好地设计、创建和使用仪表盘。但请注意，实际实践可能因特定需求和场景而有所不同。

本节主要介绍SSDB到GeminiDB Redis的迁移方案。 SSDB是一款使用C/C++语言开发的高性能NoSQL数据库，和Redis具有相似的API，支持KV，list，map(hash)，zset(sorted set)，qlist(队列)等数据结构，因此得到了广泛的应用。SSDB是一个持久化的KV存储系统，底层使用leveldb作为存储引擎。其业务直接与LevelDB交互，Compaction等操作会对业务读写造成直接的影响。 GeminiDB Redis是一款兼容Redis生态的云原生NoSQL数据库，基于共享存储池的多副本强一致机制，以保证数据的安全性和可靠性。GeminiDB Redis使用RocksDB作为存储引擎，其性能与leveldb相比有了很大的提升, 并解决了leveldb主动限制写的问题，同时实现了冷热分离，减小了存储层的操作对性能造成的影响。 迁移原理 ssdbport作为源端SSDB数据库的主节点的从节点（replica）运行，通过主从复制的方式进行数据迁移。将获取到的数据解析、转换为Redis支持的格式，并发送到配置文件中指定的Redis实例，迁移过程如下图所示。全量同步完成后，SSDB中新增的数据也会同步到Redis实例中。 图迁移原理 使用须知 ssdbport作为SSDB主节点的从节点，只读取全量和增量数据，无数据受损风险。 由于在源端使用ssdbport迁移工具，源端SSDB性能会受到一定的影响。 全量迁移和增量迁移可以不停服，数据全部迁入GeminiDB Redis后需要短暂停服。

本节主要介绍RDSPostgreSQL实例的资源及磁盘管理常见问题。 创建实例需要多长时间 正常情况下，对于RDSPostgreSQL的单机实例或者主备实例而言，创建时间约需79分钟。如果您创建时间超过20分钟，该实例创建过程可能存在问题，请您及时联系客服人员处理。 占用RDSPostgreSQL磁盘空间的日志及文件有哪些 RDSPostgreSQL实例占用磁盘空间文件和日志主要有以下类型： 文件类型日志文件：数据库日志文件、代理日志文件、高可用日志文件。 数据库文件：数据库内容文件。 RDSPostgreSQL是否支持磁盘缩容 RDSPostgreSQL实例考虑到数据安全性问题，暂不支持磁盘缩容操作，仅支持磁盘扩容功能，请您开通实例时根据业务规划，合理设置磁盘空间大小。 哪些内容会占用用户所购买的RDSPostgreSQL实例空间 用户正常的数据（不包含备份文件），以及数据库实例正常运行所依赖的数据，同时还包含数据库服务器产生的日志文件，代理日志文件和高可用文件（代理日志文件和高可用日志文件会按照默认策略定时清理）。 DDL操作对磁盘空间的要求 通常情况下，DDL（Data Definition Language）操作本身不对磁盘空间有特殊要求，但存在一些特定的DDL操作需要足够的可用磁盘空间来处理，具体情况取决于具体的DDL操作。为了确保数据库业务正常，您应该避免在业务高峰期进行DDL等可能导致磁盘空间暴增的操作。

本文主要介绍了RDSPostgreSQL产品的极致可靠优势，主要体现为：同城容灾、数据备份、数据恢复、存储可靠。 同城容灾 RDSPostgreSQL采用热备架构，这种技术可以实现故障自动切换，并且可以在短时间内完成切换过程，确保数据库服务的高可用性和可靠性，保障您对数据的访问需求。 数据备份 RDSPostgreSQL能够根据您的备份策略自动备份数据。备份文件会根据设置保留，最长支持保留180天，同时也支持一键式恢复，让您可以非常方便地进行数据的恢复操作。此外，还提供了灵活的备份策略设置，您可以根据自身业务特点选择备份周期、修改备份策略，保证数据备份和恢复的高效性和可靠性。 数据恢复 RDSPostgreSQL支持按备份集和指定时间点进行数据恢复，您可以方便地将保留天数内的任意时间点的数据恢复到新的数据库实例或者已有实例上，您可以通过验证数据的准确性来完成数据回溯操作。此外，还支持将退订后的包年包月实例和删除的按需实例进行保留，当您需要重新建立实例的时候，可以通过提交工单的方式来恢复1~15天内删除的实例，让您在数据管理过程中更加灵活和高效。 存储可靠 RDSPostgreSQL实例数据由云硬盘承载，云硬盘SLA见云硬盘服务等级条款，保证数据安全可靠，保护您的业务免受故障影响。

本章节为您介绍日志外发相关功能 数据库安全网关支持配置Syslog、Kafka日志外发能力。 配置Syslog外发 用户可配置通过 Syslog 通知方式将资产审计日志或资产告警日志发送到指定的Syslog服务器。 1.在左侧导航栏选择“通知外送 > 日志外送 > SYSLOG”进入告警通知页面。 2.单击页面中的“新增”按钮，弹出 SYSLOG 配置对话框，编辑相关信息。 配置项 说明 名称 Syslog接收接口的配置名称。 服务器地址 Syslog服务器地址，可为IP或者域名。 端口 Syslog服务器端口，默认为端口为514。 发送协议 选择日志传输的协议类型，支持UDP或TCP。 是否发送消息头 决定是否在日志数据前添加自定义Syslog消息头（含主机名及用户名）。 内容协议格式 定义日志数据的格式，默认为RFC3164。 报文默认主机名 可以指定日志中使用的默认主机名。 报文默认应用名 可以指定日志中使用的默认应用程序名。 程序模块编码 Syslog协议RFC5424 规定，消息中必须包含“程序模块编码”，Syslog服务端使用该编码区分发送消息的程序来源。与服务器端配置保持一致即可。 严重等级 选择向Syslog服务器发送告警所标记的严重等级。等级分为：Emergency、Alert、Critical、Error、Warning、Notice、Informational、Debug。 与服务器端配置保持一致即可。 审计日志模板 发送审计日志信息的模板，可修改默认模板，具体字段请依据填写说明编辑。 告警日志模板 发送告警日志信息的模板，可修改默认模板，具体字段请依据填写说明编辑。 3.配置好Syslog发送模板后，需配置需要发送通知的资产及接收人，点击“添加”按钮即可添加接收人。

本章节为您介绍数据库审计遇见的一些日志类问题。 备份的数据库审计日志可以下载到本地吗？ 可以。 您可在对应的日志页面，在“日志列表”的上方单击下载按钮下载日志。 数据库审计的操作日志是否可以迁移？ 不支持。数据审计当前不支持迁移数据库操作日志。 数据库审计日志可以保存多久？ 数据库审计支持将在线和归档的审计日志至少保存180天的功能。根据实际的磁盘大小，会优先删除存储日期较早的审计日志。 若您需要更多的磁盘空间，可选择买更高级的数据库审计实例规格或者购买磁盘存储容量。 如何查看数据库审计的用户操作日志？ 1.在菜单栏选择“查询分析 > 审计日志”进入“审计日志”页面。 2.选择“审计日志”页签，设置查询条件（时间范围、报文、资产、数据库账号、客户端IP、服务端IP、操作类型、执行状态等），单击“搜索”即可查询审计日志。 数据库审计的日志处理机制是什么？ 数据库审计的审计日志存放在日志数据库中，日志的处理机制说明如下： 当日志数据库的磁盘空间使用率达到85%及以上时，系统将自动循环删除存放时间最久的审计日志（每次删除一天的审计日志），直至磁盘空间使用率为85%以下。 当日志数据库的磁盘空间使用率达到90%及以上时，数据库安全审计将停止审计功能，系统将不保存新生成的审计日志。

本页介绍分布式融合数据库HTAP的备份管理功能。 备份管理简介 分布式融合数据库HTAP支持自动全量备份、手动全量备份和增量备份，方便您在需要时将数据恢复到历史状态，以保障数据安全。 前提条件及注意事项 如果您需要备份管理功能，在订购实例时需启用数据备份功能，并且添加至少1个同步节点（后续可以扩容最多50个同规格的同步节点）。 如果您订购实例时不启用数据备份功能，则不允许添加同步节点，并且后续该实例暂不支持启用数据备份功能和扩容同步节点。 使用备份管理功能时实例需正常运行，若您停止实例或者退订实例后，将无法使用备份管理功能。 订购页默认开启数据备份功能。 全量备份过程中对实例性能有一定影响，建议在业务低峰期进行数据备份。 操作场景 自动全量备份：分布式融合数据库HTAP会根据您配置的全量备份策略帮助您自动完成全量数据备份。 手动全量备份：您可以根据业务需要立即开始备份全量数据。 增量备份：分布式融合数据库HTAP会根据您配置的增量备份策略，实时的备份增量数据，以便您通过全量数据和增量数据按时间点恢复数据到历史状态。 备份数据清理规则 自动全量备份、手动全量备份和增量备份的数据都按照备份配置页面的保留天数策略进行清理，默认保留7天内的备份数据。 删除实例的增量备份任务时也会删除该实例的增量备份的数据。 注销实例时会删除该实例的自动全量备份、手动全量备份和增量备份的数据。

Kafka服务端支持版本是多少？ Kafka 1.1.0和2.3.0版本。 创建的Kafka实例是集群模式么？ 创建一个Kafka实例即为一个集群实例。 Kafka实例是否支持修改访问端口？ Kafka实例的访问端口固定，不支持修改。 如果是访问未开启SASL的Kafka专享实例，访问端口为9092。 如果是访问开启SASL的Kafka专享实例，访问端口为9093。 在访问Kafka实例之前，需要确保安全组是否配置正确。 Kafka实例的SSL证书有效期多长？ Kafka实例开启SASL时，需进行单向认证，证书有效期足够长（超过15年），客户端不需要关注证书过期风险。 如何将Kafka实例中的数据同步到另一个Kafka实例中？ Kafka实例之间没有好的实时同步方案，如果需要做实例迁移，可以同时向两个实例生产消息，源实例中的消息可继续消费，待源实例的消息数据全部被消费完或老化后，业务可迁移到新的Kafka实例。 Kafka实例的SASLSSL开关如何修改？ Kafka SASLSSL开关不支持创建实例后修改，在创建时，请慎重选择，如果创建后需要修改，需要重新创建实例。 购买实例时选择的单AZ，怎样可以扩展为多AZ？ 已购买的实例无法扩展AZ，请重新购买多AZ的实例。 Kafka扩容会影响业务吗？ Kafka扩容带宽/存储空间，都不会影响业务的使用。 Kafka实例创建后，能修改VPC和子网吗？ 不能修改VPC和子网。 Kafka实例版本可以升级吗？ Kafka实例创建成功后，实例版本不支持升级。您可以重新创建Kafka实例，实现升级Kafka实例的版本。

本章节主要介绍数据湖探索（DLI）的应用场景。 DLI服务适用于海量日志分析、异构数据源联邦分析、大数据ETL处理。 海量日志分析 游戏运营数据分析 游戏公司不同部门日常通过游戏数据分析平台，分析每日新增日志获取所需指标，通过数据来辅助决策。例如：运营部门通过平台获取新增玩家、活跃玩家、留存率、流失率、付费率等，了解游戏当前状态及后续响应活动措施；投放部门通过平台获取新增玩家、活跃玩家的渠道来源，来决定下一周期重点投放哪些平台。 优势 高效的Spark编程模型：使用DLI直接从DIS中获取数据，进行数据清理等预处理操作。只需编写处理逻辑，无需关心多线程模型。 简单易用：直接使用标准SQL编写指标分析逻辑，无需关注背后复杂的分布式计算平台。 按需计费：日志分析按时效性要求按周期进行调度，每次调度之间存在大量空闲期。DLI按需计费只在使用期间收费，成本较独占队列降低50%以上。 建议搭配以下服务使用： OBS，DWS，RDS。 异构数据源联邦分析 车企数字化服务转型 面临市场新的竞争压力及出行服务不断变革，车企通过构建车联云平台和车机OS，将互联网应用与用车场景打通，完成车企数字化服务转型，从而为车主提供更好的智联出行体验，增加车企竞争力，促进销量增长。例如：通过对车辆日常指标数据（电池、发动机，轮胎胎压、安全气囊等健康状态）的采集和分析，及时将维保建议回馈给车主。

本文主要介绍边缘裸金属服务器挂载NFS协议类型的文件存储的方案。 应用场景 边缘裸金属服务器挂载文件存储，可以有多个应用场景，例如在数据密集型处理场景中，如气象数据分析、基因测序等，可将大量数据存储于文件存储，供多台边缘裸金属服务器快速读取和写入，提升数据处理效率。在需要共享存储的分布式计算场景里，如分布式数据库集群，通过挂载文件存储，各边缘裸金属服务器节点可共享配置文件、数据文件等资源，保障集群协同工作。 文件存储可提供高带宽、低延迟的数据访问，满足边缘裸金属服务器对存储性能的要求： 高可用性，文件存储具备冗余机制，能有效保障数据安全与业务连续性。 扩展性强，可依据业务增长灵活扩展存储容量，无需中断服务。 易于管理，集中化存储便于统一管理监控，降低运维难度。 前提条件 边缘裸金属服务器需和文件存储网络互通，需要采用 underlay vpc 网络。创建 underlay vpc 流程如下： 1. 登录ECX控制台。 2. 点击左侧【边缘网络】，选择【虚拟机私有云 > vpc和子网】 3. 点击【+创建虚拟私有云】，在基础信息中，类型需要选择为underlay，子网类型为underlay并填写规划好的 vlan 号。 创建边缘裸金属服务器和文件存储时，均要选择对应创建的 underlay vpc 网络。

本文简述全站加速节点无需部署私钥的情况下如何加速HTTPS业务，适用场景、注意事项等。 功能介绍 通常情况下，HTTPS协议的域名，如果需要在全站加速平台配置加速服务，需要将HTTPS公钥和私钥部署到全站加速平台。使用HTTPS无私钥驻留加速方案后，您只需要将公钥部署到全站加速平台，私钥可以由源站唯一保有，即可实现HTTPS业务的加速。 HTTPS无私钥驻留加速方案原理如上图，具体过程如下： 1A: 客户端发起https请求，与全站加速节点进行ssl握手，全站加速节点将相应的SSL证书公钥传送给客户端，客户端使用公钥加密客户端生成的随机密码后发往全站加速节点。 1B: 全站加速节点与源站的私钥服务器建连，通过双方约定的加密方式将客户端发来的公钥加密的随机密码发往源站的私钥服务器，私钥服务器使用私钥解密获取随机密码，然后再将随机密码通过双方约定的加密方式返回给全站加速节点，全站加速节点解密后获取随机密码。 2A: 全站加速节点与客户端双方都拥有随机密码后，即可以正常通信发送加密数据了。 2B: 全站加速节点回源请求，与源站真实服务器建立https连接获取源站内容。 适用场景 特别适合于银行、证券等金融行业对数据安全要求极高的业务，您无需在全站加速平台部署HTTPS证书的私钥，即可实现HTTPS加速，私钥由源站唯一拥有。

为保障您的天翼云弹性云主机系统时间精准统一,避免因时钟偏差引发业务异常、日志时序错乱、合规审计不达标等问题,推荐您配置天翼云内网 NTP 时间同步服务。本文为您介绍内网 NTP 时间同步的核心作用,以及红帽系、Debian 系 Linux 操作系统的标准化配置方法。 一、内网 NTP 时间同步核心作用 保障业务稳定运行：确保分布式集群、数据库主从同步、交易订单等业务的时序一致性，避免因时钟偏差引发数据错乱、服务异常。 提升运维排障效率：统一全量云主机系统时间，保障日志时序准确，便于故障溯源与问题定位。 满足合规审计要求：符合网络安全等级保护等监管规范对系统时间统一、日志可追溯的硬性要求。 低延迟高可靠：使用天翼云内网 NTP 专用地址，无需占用公网带宽，同步链路稳定、精度更高。 二、前置说明 适用范围：天翼云弹性云主机，涵盖红帽系（RHEL 7/8/9、CentOS 7/Stream、Rocky Linux、AlmaLinux 等）、Debian 系（Debian 10/11/12、Ubuntu 18.04+）Linux 操作系统。 天翼云内网 NTP 服务器地址：169.254.169.254。 三、配置步骤 红帽系操作系统配置（chronyd） 红帽系操作系统官方推荐使用 chronyd 服务实现时间同步，RHEL 8/9 系列默认预装并启用，配置步骤如下： 1. 备份原始配置文件（便于异常回滚） plaintext cp /etc/chrony.conf /etc/chrony.conf.bak 2. 写入天翼云内网 NTP 配置 清理原有NTP源配置 plaintext sed i E '/^(poolserver)/d' /etc/chrony.conf 新增内网NTP同步配置 plaintext cat >> /etc/chrony.conf << EOF server 169.254.169.254 iburst prefer EOF 3. 重启服务并配置开机自启 plaintext systemctl restart chronyd systemctl enable now chronyd