本节主要介绍如何使用API导出告警。 此操作用来导出告警信息。 请求语法 plaintext GET /rest/v1/system/alarm/file?alarmStatusalarmStatus HTTP/1.1 Date: date Host: ip:port Authorization: authorization 请求参数 名称 类型 描述 是否必须 alarmStatus String 告警状态。 取值： Unresolved：告警中。 Resolved：告警已解除。 Expired：告警已失效。 默认值为Unresolved。 否 请求示例 导出告警中的告警。 plaintext GET /rest/v1/system/alarm/file HTTP/1.1 Date: Mon, 08 Jan 2024 05:47:24 GMT Host: 192.168.0.110:1443 Authorization: HBlock userName:signature 响应示例 plaintext HTTP/1.1 204 No Content Date: Mon, 08 Jan 2024 05:47:24 GMT Connection: keepalive xhblockrequestid: 1c631d8b1b3549d7b4959d2bfae5f13b ContentDisposition: attachment;filenamealarmUnresolved20220817160233.csv TransferEncoding: chunked Server: HBlock alarmId,instanceId,instanceSnapshot,alarmRule,severity,alarmStatus,alarmTime,alarmValue,muteStatus,muteOperations 4jlhtUel,hblock4,"hblock4,ecs96890915141,192.168.0.202",ProtocolServiceAbnormal,Major,Unresolved,20240108 10:43:03,,Normal,

本节主要介绍如何使用API查询邮件配置信息。 此操作用来查询邮件配置信息。 请求语法 plaintext GET /rest/v1/system/config/notification HTTP/1.1 Date: date Host: ip:port Authorization:authorization 响应结果 名称 类型 描述 status String 是否启用邮件通知功能： Enabled：启用。 Disabled：禁用。 smtpHost String SMTP服务器。 smtpPort Integer SMTP服务器端口号。 SSL String 是否启用SSL： Enabled：启用。 Disabled：禁用。 senderEmail String 发件箱。 receiverEmail String 收件箱。 请求示例 查询邮件配置信息。 plaintext GET /rest/v1/system/config/notification HTTP/1.1 Date: Thu, 17 Mar 2022 05:46:57 GMT Authorization: HBlock userName:signature Host: 192.168.0.121:1443 响应示例 plaintext HTTP/1.1 200 OK xhblockrequestid: 4b5e0623e73a4dcd8754fd2ed504b9c1 Connection: keepalive ContentLength: 199 Date: Thu, 17 Mar 2022 05:46:57 GMT ContentType: application/json;charsetutf8 Server: HBlock { "data": { "status": "Disabled", "smtpHost": "smtp.ctyun.cn", "smtpPort": 475, "SSL": "Enabled", "senderEmail": "account1@ctyun.cn", "receiverEmail": "account2@ctyun.cn" } }

类型 组件名称 组件介绍 参考文档 HPA metricsserver Kubernetes内置组件，实现Pod水平自动伸缩的功能，即Horizontal Pod Autoscaling。在kubernetes社区HPA功能的基础上，增加了应用级别的冷却时间窗和扩缩容阈值等功能。 CustomedHPA ccehpacontroller 自研的弹性伸缩增强能力，主要面向无状态工作负载进行弹性扩缩容。能够基于指标（CPU利用率、内存利用率）或周期（每天、每周、每月或每年的具体时间点）。 CustomedHPA prometheus 一套开源的系统监控报警框架，负责采集kubernetes集群中kubelet的公开指标项（CPU利用率、内存利用率）。

本文进行了云防火墙（原生版）产品的术语说明。 VPC 虚拟私有云（Virtual Private Cloud，VPC），为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 互联网边界防火墙 互联网边界防火墙主要用于检测互联网和云上资产间的通信流量，也称为南北向流量。 访问控制 是流量过滤规则的集合，通过防火墙的访问控制功能可以对内网的计算机进行访问限制，比如限制访问的Internet网站、限制使用的端口号，这样可以保证局域网的安全性。 黑名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行阻断。 白名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行放行。 五元组 包括源IP地址、目的IP地址、协议号、源端口、目的端口。 入侵防御 主动发现外部入侵与恶意外联等未知风险，在检测到可疑事件时，提供实时的防护与告警。如果检测到攻击，入侵防御会在攻击扩散到网络的其他地方之前阻止该恶意通信。 主动外联访问 主动外联访问是指云主机主动访问外部IP的行为，通过对主动外联访问防护，可以帮助您有效管理和控制主机外联行为。

udevadm info queryall name/dev/vda grep IDSERIAL 4. 根据返回，IDSERIAL即为所要查询的磁盘序列号，即/dev/vda的序列号为7c54ac5169d84a6fa。 5. 根据对应关系（磁盘序列号磁盘ID的前20位），您可以通过磁盘序列号在控制台找到对应的磁盘。在弹性云主机控制台上，进入该云主机实例的详情页，在“云硬盘”页签中，通过磁盘序列号“7c54ac5169d84a6fa”找到与之对应的磁盘“ecmtestvolume0000”，其磁盘ID为“7c54ac5169d84a6fa8b25a48f48ee65e”。

术语 解释 Docker Docker是开发人员和系统管理员使用容器开发、部署和运行应用程序的平台。 镜像 Docker镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数（如匿名卷、环境变量、用户等）。 镜像不包含任何动态数据，其内容在构建之后也不会被改变。 容器 镜像（Image）和容器（Container）的关系，就像是面向对象程序设计中的类和实例一样，镜像是静态的定义，容器是镜像运行时的实体。 容器可以被创建、启动、停止、删除、暂停等。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String ctyun资源池ID 81f7728662dd11ec810800155d307d5b name 是 String 告警模板名称 xsZSu service 是 String 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“ ecs dimension 是 String 本参数表示告警维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“ ecs desc 否 String 告警模板描述 test conditions 否 Array of Objects 告警规则 condition

本文通过图文说明证书删除的操作步骤及注意事项等。 功能介绍 当证书过期或者不再使用时，可通过客户控制台删除证书。 注意事项 证书删除的前提是未绑定域名，因此在删除证书前，需要先解除证书与域名的绑定关系。 操作步骤 1. 登录CDN控制台。 2. 在【证书管理】【证书列表】页面，选定目标证书，在操作列单击【删除】。 3. 控制台会弹窗（如下图），客户进行二次确认后，单击【确认】即可删除。

本节介绍企业主机安全动态端口蜜罐功能。 动态端口蜜罐概述 什么是动态端口蜜罐 动态端口蜜罐功能是一个攻击诱捕陷阱，利用真实端口作为诱饵端口诱导攻击者访问；在内网横向渗透场景下，可有效地检测到攻击者的扫描行为，识别失陷主机，延缓攻击者攻击真正目标，从而保护用户的真实资源。 用户可选择系统推荐端口或自定义端口开启动态端口蜜罐，诱捕失陷主机，降低真实资源被入侵的风险。 如何使用动态端口蜜罐 约束与限制 使用动态端口蜜罐功能，须满足以下条件： 服务器未绑定EIP。 服务器已开启HSS旗舰版、网页防篡改版或容器版防护。 服务器已安装Agent的版本为以下版本且Agent状态为“在线”。 Linux：3.2.10及以上版本。 Windows：4.0.22及以上版本。 一台服务器最多支持添加10个蜜罐端口。 一个蜜罐端口只能绑定一个协议，支持TCP和TCP6协议。 创建动态端口蜜罐防护策略 操作场景 动态端口蜜罐功能是以真实端口作为诱饵端口诱导攻击者访问，因此开启动态端口蜜罐防护时，用户需要创建防护策略以添加服务器端口作为蜜罐端口并绑定服务器开启防护。 本节介绍如何创建动态端口蜜罐防护策略。

本节介绍企业主机安全动态端口蜜罐功能。 动态端口蜜罐概述 什么是动态端口蜜罐 动态端口蜜罐功能是一个攻击诱捕陷阱，利用真实端口作为诱饵端口诱导攻击者访问；在内网横向渗透场景下，可有效地检测到攻击者的扫描行为，识别失陷主机，延缓攻击者攻击真正目标，从而保护用户的真实资源。 用户可选择系统推荐端口或自定义端口开启动态端口蜜罐，诱捕失陷主机，降低真实资源被入侵的风险。 如何使用动态端口蜜罐 约束与限制 使用动态端口蜜罐功能，须满足以下条件： 服务器未绑定EIP。 服务器已开启HSS旗舰版、网页防篡改版或容器版防护。 服务器已安装Agent的版本为以下版本且Agent状态为“在线”。 Linux：3.2.10及以上版本。 Windows：4.0.22及以上版本。 一台服务器最多支持添加10个蜜罐端口。 一个蜜罐端口只能绑定一个协议，支持TCP和TCP6协议。 创建动态端口蜜罐防护策略 操作场景 动态端口蜜罐功能是以真实端口作为诱饵端口诱导攻击者访问，因此开启动态端口蜜罐防护时，用户需要创建防护策略以添加服务器端口作为蜜罐端口并绑定服务器开启防护。 本节介绍如何创建动态端口蜜罐防护策略。

CC防护规则设置 针对订购高级版套餐及以上的用户，支持自定义CC防护规则，防护规则开启且满足防护规则的请求经过挑战算法校验。免费版、基础版用户可使用默认CC防护规则，不可自定义修改。 配置项 说明 默认配置 匹配条件 满足匹配条件的请求才进行防护。支持配置匹配字段有IP、HEADER、GEO、ARGS、URI、IPS、METHOD、REQUESTURI、PROTOCOL URI正则匹配/. HEADER不包含KEY正则匹配：upgrade；VALUE正则匹配：websocket GET防护策略 支持配置第一策略为CCJS、METAJS、JSMS、CC302其中一种，支持配置响应状态码 第二策略支持配置CC302、空 对GET、COPY、OPTIONS、DELETE、HEAD请求协议生效 第一策略CC302 响应状态码302 第二策略空 POST防护策略 支持配置第一策略为CCJS、METAJS、JSMS、CC302其中一种，支持配置响应状态码 第二策略支持配置CC302、空 对POST、PUT请求协议生效 除CC307策略外，其它策略验证有效期8秒，容易造成POST数据提交失败 第一策略CC307 响应状态码307 第二策略空 验证模式 支持选择Cookie形式或url参数形式，若业务不支持Cookie的情况可使用url参数形式。POST不支持url参数形式 Cookie形式 非静态HTML文件 支持选择检测或不检测 检测

参数 是否必选 说明 数据连接名称 是 数据连接的名称，只能包含英文字母、数字、下划线和中划线，且长度为1~50个字符。 标签 否 标识数据连接的属性。设置标签后，便于统一管理。 说明 标签的名称，只能包含中文、英文字母、数字和下划线，不能以下划线开头。且长度不能超过100个字符。 IP 是 RDS的访问地址。 如果为RDS数据源，可以通过RDS管理控制台获取访问地址：1. 根据创建的帐号登录管理控制台。2. 单击“云数据库RDS”，从左侧列表选择实例管理。3. 单击某一个实例名称，进入实例基本信息页面。 在连接信息标签中可以获取到内网地址。 端口 是 RDS的访问端口。 如果为RDS数据源，可以通过RDS管理控制台获取访问端口：1. 根据的帐号登录管理控制台。2. 单击“云数据库RDS”，左侧列表选择实例管理。3. 单击某一个实例名称，进入实例基本信息页面。 在连接信息标签中可以获取到数据库端口。 驱动程序名称 是 驱动程序名称：com.mysql.jdbc.Driverorg.postgresql.Driver 驱动文件路径 是 驱动文件在OBS上的路径。需要您自行到官网下载.jar格式驱动并上传至OBS中。MySQL驱动：获取地址 用户名 是 数据库的用户名，创建集群的时候，输入的用户名。 密码 是 数据库的访问密码，创建集群的时候，输入的密码。 KMS密钥 是 KMS密钥名称。 通过KMS管理控制台获取密钥名称：1. 根据的帐号登录管理控制台。2. 单击“密钥管理服务”，左侧列表选择密钥管理。 在密钥列表可以获取到密钥名称。 绑定Agent 是 RDS为非全托管服务，DataArts Studio无法直接与非全托管服务进行连接。CDM集群提供了DataArts Studio与非全托管服务通信的代理，所以创建RDS的数据连接时，请选择一个CDM集群。如果没有可用的CDM集群，请先通过数据集成增量包进行创建。CDM集群作为网络代理，必须和RDS网络互通才可以成功创建MRS连接，为确保两者网络互通，CDM集群必须和RDS处于相同的区域、可用区、VPC和子网，安全组规则需允许两者网络互通。

本章节介绍如何删除SASLSSL用户。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例名称，进入实例详情页面。 步骤 5 通过以下任意一种方法，删除SASLSSL用户。 在“用户管理”页签，在待删除的SASLSSL用户所在行，单击“删除”。 在“用户管理”页签，勾选SASLSSL用户名左侧的方框，可选一个或多个，单击信息栏左上侧的“删除”。 说明 创建Kafka实例时设置的SASLSSL用户无法删除。 步骤 6 在弹出的“删除用户”对话框中，单击“是”，完成SASLSSL用户的删除。

同一个微服务引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的微服务引擎访问和操作权限。开启了“安全认证”的微服务引擎专享版，根据用户接入引擎使用的帐号所关联的角色，赋予该用户不同的微服务引擎访问和操作权限。 安全认证具体内容，请参考系统管理。 您可根据实际业务需要，对微服务引擎专享版执行开启或关闭安全认证操作： 开启安全认证 未开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可开启安全认证。 开启安全认证后，接入该引擎的微服务组件如果没有配置安全认证参数，或者微服务组件配置的安全认证帐号和密码不正确，会导致该微服务组件心跳失败，服务被迫下线。请参考如下方法进行处理： − Java Chassis：请参考“帮助中心 > 微服务云应用平台 > 开发指南 > 对接微服务应用 > Java Chassis接入CSE”中的配置安全认证操作。 − Spring Cloud：请参考“帮助中心 > 微服务云应用平台 > 开发指南 > 微服务开发指南 > 对接微服务应用 > Spring Cloud接入CSE”中的配置安全认证操作。 关闭安全认证 已开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可关闭安全认证。 关闭安全认证后，无论接入该引擎的微服务组件是否配置了安全认证参数，微服务组件的正常业务功能不受影响。 开启安全认证 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 选择待操作的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 步骤 3 在“安全”区域，开启安全认证开关。 如果引擎版本低于1.2.0，执行步骤4。 如果引擎版本为1.2.0及以上版本，执行步骤5。 步骤 4 升级引擎至1.2.0或以上版本。 1. 单击“升级引擎至新版本”。 2. 选择“升级后版本”，查看版本说明，根据需要决定是否升级到该版本后，单击“确定”。 3. 等待升级成功后，单击“返回微服务引擎”。 4. 选择刚升级成功的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 5. 在“安全”区域，开启安全认证开关。 步骤 5 在微服务引擎控制台的“系统管理”页面，开启安全认证。 首次开启安全认证，单击“去开启安全认证”。 需先创建root帐号。输入root帐号的“密码”和“确认密码”，单击“立即创建”。 再次开启安全认证，单击“开启安全认证”。 输入引擎中已关联了admin角色的帐号名称及其密码。 步骤 5 （可选）参考角色管理，根据业务需要，创建角色。 步骤 6 （可选）参考帐号管理，根据业务需要，创建帐号。 步骤 7 在微服务引擎控制台的“系统管理”页面，单击“开启安全认证”。 步骤 8 根据提示确认已经完成所有配置后，勾选“确保已配置”。 步骤 9 单击“确定”。 等待微服务引擎更新完成，引擎状态由“配置中”变为“可用”，开启安全认证成功。

如何为函数添加依赖包？ 1. 进入函数详情页面，在“代码”页签，单击“依赖代码包”所在行的“添加依赖包”。 公共依赖包：此处的依赖包为函数平台提供，您可以直接添加使用。 私有依赖包：此处的依赖包为用户自行制作上传的依赖包。 2. 完成后单击“保存”，完成依赖包的添加。 如何通过域名访问专享版APIG中注册的接口？ 以域名www.test.com为例 ，具体请参考如下步骤。 1. 登录API网关控制台，在左侧导航栏选择“专享版”，单击实例名称，进入“实例概览”页面，在“入口地址”区域查看“弹性IP地址”，获取APIG的访问地址（ip格式）。 2. 在DNS控制台，配置用户域名www.test.com解析到apig地址的ipv4规则。 3. 最后在函数服务配置该域名的解析配置，这样就能在函数中通过域名(www.test.com)访问专享版APIG中注册的接口了。 函数工作流的常见使用场景？ 1. Web类应用：比如小程序、网页/App、聊天机器人、BFF等。 2. 事件驱动类应用：文件处理、图片处理、视频直播/转码、实时数据流处理、IoT规则/事件处理等。 3. AI类应用：三方服务集成、AI推理、车牌识别。 函数工作流是否支持修改运行时语言? 不支持。函数一旦创建完成，就不能修改运行时语言。 已创建的函数是否支持修改函数名称? 不支持，函数一旦创建完成，就不能修改函数名称。 如何获取上传的文件？ 以Python语言为例，如果用户用os.getcwd()查看当前目录的话，会发现当前目录是/opt/function，但实际代码是传到/opt/function/code里的。 有2种方法可以获取到上传的文件： 1. 函数里使用cd命令切换路径到/opt/function/code 2. 使用全路径（相关目录为RUNTIMECODEROOT环境变量对应的值）

sectiona4330a3b9cc89ee2。 8. 单击“确定”。 9. 挂载载成功后，在物理机详情页的“磁盘”页签，即可看到新挂载的磁盘信息。 10. 后续处理 如果挂载的云硬盘是新创建的，则云硬盘挂载至物理机后，需要登录物理机初始化云硬盘（即格式化云硬盘），之后云硬盘才可以正常使用。初始化数据盘的具体操作请参见初始化数据盘。 说明 物理机重启后，云硬盘盘符可能发生变化，请参考 section8560b7632d14aa85获取云硬盘设备和盘符的对应关系。

本文主要介绍权限管理。 如果您需要对云服务平台上购买的DMS for Kafka资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制他们对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DMS for Kafka的使用权限，但是不希望他们拥有删除Kafka实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用Kafka实例，但是不允许删除Kafka实例的权限策略，控制他们对DMS for Kafka资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DMS for Kafka的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 关于IAM的详细介绍，请参见《IAM产品介绍》。 说明 DMS for Kafka的权限与策略基于分布式消息服务DMS，因此在IAM服务中为Kafka分配用户与权限时，请选择并使用“DMS”的权限与策略。 DMS for Kafka权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DMS for Kafka部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DMS for Kafka时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DMS for Kafka服务，管理员能够控制IAM用户仅能对实例进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，DMS for Kafka支持的API授权项请参见《分布式消息服务Kafka API参考》的“权限策略和授权项”章节。 如下表所示，包括了DMS for Kafka的所有系统权限。 表 DMS for Kafka系统权限 系统角色/策略名称 描述 类别 依赖关系 DMS FullAccess 分布式消息服务管理员权限，拥有该权限的用户可以操作所有分布式消息服务的功能。 系统策略 无 DMS UserAccess 分布式消息服务普通用户权限（没有实例创建、修改、删除、扩容）。 系统策略 无 DMS ReadOnlyAccess 分布式消息服务的只读权限，拥有该权限的用户仅能查看分布式消息服务数据。 系统策略 无 DMS VPCAccess 分布式消息服务租户委托时需要授权的VPC操作权限。 系统策略 无 DMS KMSAccess 分布式消息服务租户委托时需要授权的KMS操作权限。 系统策略 无 DMS Administrator 分布式消息服务的管理员权限。 系统角色 依赖Tenant Guest和VPC Administrator。 说明 系统策略有包含OBS授权项，由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的系统策略后，大概需要等待5分钟系统策略才能生效。 下表列出了DMS for Kafka常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表常用操作与系统策略的关系 操作 DMS FullAccess DMS UserAccess DMS ReadOnlyAccess 创建实例 √ × × 修改实例 √ × × 删除实例 √ × × 变更实例规格 √ × × 重启实例 √ √ × 查询实例信息 √ √ √

本节介绍客户侧私网网段的新增删除操作。 如果参数变更涉及隧道重建，请先在管理台变更云侧参数，再变更客户侧防火墙配置。以下操作涉及重建隧道。 新增客户侧私网网段 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面，点击“新增客户侧网络”，添加对应网段； 5.确定后，需要在客户侧防火墙上修改隧道配置并重启隧道。 删除客户侧私网网段 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在iVPN实例详情页面中的“客户侧网络”一栏，选择需要删除的网段，点击“移除”； 5.确定后，需要在客户侧防火墙上修改隧道配置并重启隧道。

本节介绍客户侧私网网段的新增删除操作。 如果参数变更涉及隧道重建，请先在管理台变更云侧参数，再变更客户侧防火墙配置。以下操作涉及重建隧道。 新增客户侧私网网段 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面，点击“新增客户侧网络”，添加对应网段； 5.确定后，需要在客户侧防火墙上修改隧道配置并重启隧道。 删除客户侧私网网段 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在iVPN实例详情页面中的“客户侧网络”一栏，选择需要删除的网段，点击“移除”； 5.确定后，需要在客户侧防火墙上修改隧道配置并重启隧道。

本节介绍iVPN app VPC管理的操作说明。 iVPN app加载VPC 若想通过iVPN app加密接入本资源池不同VPC下的多个AI云电脑，可在iVPN app实例中加载所需VPC。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“iVPN app”，进入iVPN app管理页面； 3.在操作实例中，点击“管理”，选择“vpc管理”，进入iVPN app VPC管理页面； 4.在iVPN app VPC管理页面，点击“加载VPC”，选择需要加载的VPC； 5.确定后，AI云电脑客户端通过iVPN app重新登录，即可进入新加载VPC所包含的当前用户的AI云电脑。 iVPN app移除VPC 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“iVPN app”，进入iVPN app管理页面； 3.在操作实例中，点击“管理”，选择“vpc管理”，进入iVPN app VPC管理页面； 4.在iVPN app VPC管理页面，操作VPC中点击“移除”即可。

托管检测与响应服务（原生版）应急响应服务内容及购买操作步骤说明。 服务内容 1. 提供远程应急响应服务。 2. 提供攻击路径还原、蠕虫及后门清理、攻击者画像、安全漏洞附件等。 3. 服务包含5个可选规格：120，21100，101200，201500，超过500请联系客户服务人员。 4. 提供应急响应报告。 5. 服务有效期最长不超过1年，应急响应服务不支持退订。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击应急响应“立即购买”按钮，跳转到应急响应订购页面。 3. 在应急响应服务购买详情页面，【产品配置】栏，按需要保护的资产数量选择服务规格，并选择预计服务交付时间。此服务为单次交付，最长时效期为一年。配置完成点击立即购买并支付。 4. 在“支付”页面，请选择付款方式进行付款。 5. 付款成功后，返回产品控制台，查看订购状态。 6. 订购完成后，24小时内，我们的服务经理会与您联系。

本章节介绍Redis节点故障演练。 背景介绍 Redis 高可用依赖主备同步与故障切换。主/备节点进程因缺陷、配置或误操作停止时，可能触发切换或影响应用：主节点停触发主备切换，备节点停影响读能力和冗余。本演练模拟核心进程停止，验证高可用切换和客户端故障转移，帮助您评估业务影响。 基本原理 通过调用Redis停止Redis服务OpenAPI，模拟Redis节点故障，故障会触发Redis HA机制进行自动恢复。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式缓存服务Redis版 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标Redis 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式缓存服务Redis版。 添加实例 ：单击添加实例 ，勾选上一步中添加的Redis实例。 添加故障动作 ：单击立即添加 ，在列表中选择Redis节点停止动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 故障节点 ：注入故障的目标节点（主节点或备节点）。

本节主要介绍计费模式 应用服务网格产品的计费单位为接入网格的应用实例数（CCE集群中Pod数量），目前提供免费的“基础版”网格，最大可管理实例数为200。

本节主要介绍StartLogging。 此操作用来开启跟踪。 说明 使用CreateTrail创建跟踪后，跟踪默认是关闭状态，需要调用StartLogging开启跟踪。 请求参数 名称 描述 是否必须 ::: Name 跟踪的名称。 类型：字符串 取值：3~128个字符： 可以包含ASCII字母（az，AZ），数字（09），句点（.），下划线（）或短划线（）。 必须以字母或数字开头，以字母或数字结尾。 不能是IP地址格式（例如：192.168.5.4）。不能包含相邻句点（.）、下划线（）、短划线（）任意组合。 如不能包含类似点点（..）,点下划线（.）的组合。 是 请求示例 启动名为testcloudtrail的跟踪。 POST / HTTP/1.1 Host:ooscncloudtrail.ctyunapi.cn xamzcontentsha256: UNSIGNEDPAYLOAD Authorization: SignatureValue XAmzDate: 20190422T054520Z XAmzTarget:cn.ctyunapi.ooscncloudtrail.v20131101.CloudTrail20131101.StartLogging ContentType:application/json {"Name":"testcloudtrail"} 响应示例 HTTP/1.1 200 OK xamzrequestid:e543b10f6249483c Date:Mon, 22 Apr 2019 05:45:20 GMT Server:CTYUN

本章节为您介绍如数据加密网关的相关内容。 数据加密网关是一种专门为保护数据库数据存储安全而设计的高性能密码设备。它基于数据加密技术，能够在数据进入数据库之前对其进行加密处理，从而确保数据的机密性和完整性。这款创新设备在当今数据安全需求日益增长的环境下，扮演着至关重要的角色。 注意 在正式接入生产环境前，强烈建议您使用测试环境配合数据加密网关进行充分调试验证，确保通过后再切换至生产环境。 若因未遵循此操作流程导致的系统故障或数据风险，相关责任需由接入方自行承担。 核心功能与优势 数据加密：数据库加密网关采用先进的加密算法，对数据进行实时加密。无论是静态数据还是传输中的数据，都能得到有效保护，防止未经授权的访问和数据泄露。 高性能处理：作为一款高性能密码网关设备，它具备出色的处理能力，能够在保证数据安全的同时，不降低数据库的读写性能。这使得它在处理大量数据时依然能够保持高效稳定。 密钥管理：内置完善的密钥管理系统，能够安全地生成、存储和管理加密密钥。密钥的严密管理是数据安全的重要保障，防止密钥泄露导致的数据风险。 透明加密：提供透明的加密服务，应用程序无需改动即可享受数据加密保护。数据库加密网关在后台自动完成加密和解密操作，简化了数据安全管理。 兼容性强：支持多种数据库系统和应用程序，无需对现有系统进行大规模改造即可部署。这使得它能够快速融入企业现有的IT架构，提供即时的数据安全防护。

本页介绍天翼云TeleDB数据库如何查找对象列表相关操作。 1. 选择数据源管理 > 元数据管理，进入到实例列表页面。 2. 单击目标实例操作菜单栏的库列表按钮，进入到数据库管理页面。 3. 在数据库列表操作菜单单击对象列表 按钮，进入对象列表管理页面。 4. 单击同步元数据 按钮，获取数据库实时的元数据信息。 > 对象 说明 > > 表 支持新建表、编辑、删除等操作。 > 视图 支持视图的新建、编辑、删除等操作。 > 存储过程 支持存储过程的新建、编辑、删除等操作。 > 函数 支持函数的新建、编辑、删除等操作。 > 触发器 支持触发器的新建、编辑、删除等操作。 > 事件 支持事件的新建、编辑、删除等操作，仅存在于MySQL系列数据库。 > 触发器函数 支持触发器的新建、编辑、删除等操作，仅存在于PostgreSQL系列和TeleDB数据库。 > 序列 支持触发器的新建、编辑、删除等操作，仅存在于PostgreSQL系列和TeleDB数据库。 表管理 1. 新建表 1. 支持可视化编辑创建表，详见查询和新建/编辑表结构。 2. 同步元数据刷新当前库/模式的表元数据。 3. 表详情 1. 单击列表操作栏的详情 按钮，展示选中表的详情信息，包括列信息和索引信息： 1. 列信息：包括列名，主键等主要信息。 2. 索引：包括索引名，索引字段等主要信息。 4. 打开表单击列表操作栏的打开 按钮，打开表的视图信息，默认展示20行。 1. 单击打开表，则跳转至数据管理模块的查询窗口页面。 2. 在查询窗口页面会展示当前表的SELECT语句。 3. 并自动执行该SELECT语句，返回结果集。 5. 生成DDL 单击列表操作栏的DDL按钮，生成表的DDL信息，支持对生成的DDL语句进行复制。 6. 删除表 单击列表操作栏的删除按钮，二次确认无误后，单击确认按钮即可完成对表的删除。

托管版集群控制面的规格如何调整？ 若您的托管版集群节点规模发生变化，可以在“集群列表>更多>变更规格”手动调整控制面的规格。 若您想动态调整控制面可通过自动变更规格功能实现。 集群删除之后相关数据能否再次找回？ 用户主动退订集群之后，部署在集群上的工作负载也会同步删除，无法恢复，请慎重退订集群。 如果集群因到期退订，系统默认保留15天冻结期，冻结期内可以续费恢复集群实例。 选用containerd作为容器运行时的容器集群节点重启后，集群启动失败？ 执行下面命令查看系统服务 containerdnydusgrpc是否正常运行。 plaintext systemctl status containerdnydusgrpc 如果服务未运行，可以先手动执行下面命令，将其开启，以恢复集群。 plaintext systemctl start containerdnydusgrpc 检查下面文件是否存在以判断服务自启动正常。 plaintext ls /etc/systemd/system/multiuser.target.wants/containerdnydusgrpc.service 如果不存在，则创建软连接，这样下次重启后，服务能正常自动运行。 plaintext ln s /etc/systemd/system/containerdnydusgrpc.service /etc/systemd/system/multiuser.target.wants/containerdnydusgrpc.service

本指南主要为用户进行缓存实例间的数据迁移操作，提供建议与操作指导。 由于用户对Redis的使用环境和场景存在差异，具体的迁移细节需要根据用户的实际场景进行完善。 说明 数据迁移期间会占用实例主机资源，并且整体迁移耗时受到实例数据量和负载情况的影响。 数据迁移功能当前免费，如需收费将会另行通知。 DCS支持的迁移能力 说明 DCS Redis，指的是天翼云分布式缓存服务Redis版。 自建Redis，指的是在云上、其他云厂商、本地数据中心自行搭建的Redis。 其他云服务Redis，指的是非天翼云的其他云厂商的Redis服务。 √表示支持，×表示不支持。 DCS支持的迁移能力 源端 目标端：DCS Redis 自建Redis 其他云服务Redis 源端 单机/主备/读写分离 Proxy集群（自研） Cluster集群 / / DCS Redis：单机/主备/读写分离 √ √ √ √ √ DCS Redis：经典版集群 √ √ √ √ √ DCS Redis：Cluster集群 √ √ √ √ √ 自建Redis √ √ √ × × 其他云服务Redis √ √ √ × × 说明 以上迁移操作，均需要在网络互通的条件下进行。源Redis放通PSYNC命令后，可支持全量同步+增量同步，否则仅可进行全量同步。

本文介绍了云防火墙(原生版)产品的访问控制日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 访问控制日志”，进入访问控制日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、应用、规则名称、协议、判断来源、动作、目的IP地址、目的端口、源IP地址、源端口、方向进行筛选。 5. 访问控制日志列表包括命中时间、源IP地址、源端口、目的IP地址、目的端口、协议、应用、方向、动作、命中规则名、判断来源。 查看日志详情 单击操作列的“详情”，可以查看日志命中的规则。 在该页面中，展示了命中规则的优先级、名称、源IP地址、目的IP地址、源端口、目的端口、协议、应用、动作、描述和启用状态。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

本节主要介绍使用备份文件迁移自建Redis 场景描述 当前DCS支持将其他云厂商Redis、自建Redis的数据通过DCS控制台迁移到DCS的Redis。 您需要先将其他云厂商Redis、自建Redis的数据备份下载到本地，然后将备份数据文件上传到与DCS Redis实例同一租户下相同Region下的OBS桶中，最后在DCS控制台创建迁移任务，DCS从OBS桶中读取数据，将数据迁移到DCS的Redis中。 上传OBS桶的文件支持.aof、.rdb、.zip、.tar.gz格式，您可以直接上传.aof和.rdb文件，也可以将.aof和.rdb文件压缩成.zip或.tar.gz文件，然后将压缩后的文件上传到OBS桶。 前提条件 OBS桶所在区域必须跟Redis目标实例所在区域相同。 上传的数据文件必须为.aof、.rdb、.zip、.tar.gz的格式。 如果是其他云厂商的单机版Redis和主备版Redis，您需要在备份页面创建备份任务，然后下载备份文件。 如果是其他云厂商的集群版Redis，在备份页面创建备份后会有多个备份文件，每个备份文件对应集群中的一个分片，需要下载所有的备份文件，然后逐个上传到OBS桶。在迁移时，需要把所有分片的备份文件选中。 步骤1：准备目标Redis实例 如果您还没有DCS Redis，请先创建，创建操作，请参考创建实例。 如果您已有DCS Redis，则不需要重复创建，但在迁移之前，您需要清空实例数据，清空操作，请参考清空实例数据。

一键自动修复 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 勾选漏洞列表中所有需要修复的漏洞，单击漏洞列表左上角的“批量修复”，一键批量修复漏洞。 4. 在修复对话框中，确认待修复的漏洞数量和影响资产数量、选择修复所需软件源。 您可以在修复对话框中查看修复命令、查看影响服务器数量。软件源支持清华软件源、华为云软件源、阿里云软件源，也可以自配置软件源。若选择自配置软件源，请务必确认已在服务器上配置好对应操作系统发行版的软件源（如 yum、zypper、aptget 或 emerge 等包管理工具对应的软件源）。 5. 单击“确定”，开始自动修复漏洞。 6. 修复完成后，建议您立即重新扫描漏洞，验证修复结果。 手动修复漏洞 您可以参考漏洞详情页面的修复建议，登录服务器手动修复漏洞。 说明 漏洞修复完成后需要手动重启服务器，否则系统仍可能为您推送漏洞消息。 不同的漏洞请根据修复建议依次进行修复。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 单击“漏洞名称”链接、或操作列的“查看详情”，跳转至漏洞详情页面。 4. 在漏洞详情页面可以看到漏洞修复建议。 5. 登录漏洞影响的服务器，根据修复建议进行修复。 6. 修复完成后，建议您立即重新扫描漏洞，验证修复结果。

查看NameNode JVM内存使用情况和当前配置 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS”。 5.在“基本信息”区域，单击“NameNode(主)”，显示HDFS WebUI页面。 说明 admin用户默认不具备其他组件的管理权限，如果访问组件原生界面时出现因权限不足而打不开页面或内容显示不全时，可手动创建具备对应组件管理权限的用户进行登录。 6.在HDFS WebUI，单击“Overview”页签，查看Summary部分显示的HDFS中当前文件数量，目录数量和块数量信息。 7.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 配置 > 全部配置”，在“搜索”中，输入“GCOPTS”，确定当前“HDFS>NameNode”的“GCOPTS”内存参数。 对系统进行调整 8.根据步骤6中的文件数据量和步骤7中NameNode配置的堆内存参数，检查当前配置的内存是否不合理。 是，执行步骤9。 否，执行步骤11。 说明 HDFS的文件对象数量（filesystem objectsfiles+blocks）和NameNode配置的JVM参数的对应关系建议如下： 文件对象数量达到10,000,000，则JVM参数建议配置为：Xms6G Xmx6G XX:NewSize512M XX:MaxNewSize512M。 文件对象数量达到20,000,000，则JVM参数建议配置为：Xms12G Xmx12G XX:NewSize1G XX:MaxNewSize1G。 文件对象数量达到50,000,000，则JVM参数建议配置为：Xms32G Xmx32G XX:NewSize3G XX:MaxNewSize3G。 文件对象数量达到100,000,000，则JVM参数建议配置为：Xms64G Xmx64G XX:NewSize6G XX:MaxNewSize6G。 文件对象数量达到200,000,000，则JVM参数建议配置为：Xms96G Xmx96G XX:NewSize9G XX:MaxNewSize9G。 文件对象数量达到300,000,000，则JVM参数建议配置为：Xms164G Xmx164G XX:NewSize12G XX:MaxNewSize12G。 9.按照文件对象数量和内存对应关系，对NameNode的堆内存参数进行修改，并单击“保存”，选择“概览 > 更多 > 重启服务”进行重启。 10.检查本告警是否恢复。 是，处理完毕。 否，执行步骤11。