本节为您介绍华为云RDS PostgreSQL迁移至天翼云 CTRDS PostgreSQL任务配置。 源端配置请参照自建PostgreSQL为源的迁移任务源端配置。 目标端配置请参照自建PostgreSQL迁移至天翼云CTRDS PostgreSQL。

IP地址组集中管理IP地址或网段，被黑白名单规则引用时可以批量设置IP/IP地址段。本节介绍如何添加黑白名单IP地址组。 前提条件 已申请Web应用防火墙实例。 约束条件 添加IP地址组时，请确保IP/IP地址段未添加到其他IP地址组，重复添加同一IP/IP地址段会导致添加IP地址组失败。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“对象管理> 地址组管理”，进入“地址组管理”页面。 步骤 5 在我的地址组列表左上方，单击“添加地址组”。 步骤 6 在弹出的“添加地址组”对话框中，输入“地址组名称”和“IP/IP段”。 步骤 7 单击“确认”，地址组创建成功。

本章节主要介绍 配置跨集群互信 。 操作场景 集群A需要访问另一个集群B的资源前，需要管理员用户为这两个集群设置互信。 如果未配置跨集群互信，每个集群资源仅能被本集群用户访问。MRS自动为每个集群定义一个唯一且不重复的“域名”，用于表示用户的基本使用范围。 说明 该章节操作仅适用于MRS 3.x之前版本集群。 MRS3.x及之后版本集群请参考 对系统的影响 配置跨集群互信后，外部集群的用户可以在本集群中跨域使用，请根据业务与安全要求，定期检视集群中用户的权限。 安全集群配置跨集群互信，需要重启KrbServer服务，集群在重启期间无法使用。 配置跨集群互信后，互信的两个集群均会增加内部用户“krbtgt/ 本集群域名 @ 外部集群域名 ”、“krbtgt/ 外部集群域名 @ 本集群域名 ”，不支持删除。密码默认为“Crossrealm@123”。 操作步骤 在MRS管理控制台，分别查看两个集群的所有安全组。 当两个集群的安全组相同，请执行步骤3。 当两个集群的安全组不相同，请执行步骤2。 1. 在VPC管理控制台，分别为每个安全组添加规则。 规则的“协议”为“ANY”，“方向”为“入方向”。 “源地址”为“安全组”且是对端集群的安全组。 为A集群的安全组添加入方向规则，源地址选择B集群（对端集群）的安全组。 为B集群的安全组添加入方向规则，源地址选择A集群（对端集群）的安全组。 说明 未开启Kerberos认证的普通集群执行步骤1~步骤2即可完成跨集群互信配置，开启Kerberos认证的安全集群请继续执行后续步骤进行配置。 2. 参见访问MRSManager（MRS2.x及之前版本）分别登录两个集群MRS Manager，单击“服务管理”，查看全部组件的“健康状态”结果，是否全为“良好”？ 是，执行步骤4。 否，任务结束，联系支持人员检查状态。 3. 查看配置信息。 a.分别在两个集群MRS Manager，选择“服务管理 > KrbServer > 实例”，查看两个KerberosServer部署主机的“管理IP”.。 b.单击“服务配置”，将“基础配置”切换为“全部配置”并在左侧导航树上选择“KerberosServer>端口”，查看“kdcports”的值，默认值为“21732”。 c.单击“域”，查看“defaultrealm”的值。 4. 在其中一个集群的MRS Manager，修改配置参数“peerrealms”。 详见下表：相关参数 参数名 描述 “realmname” 填写互信集群的域名，即步骤4中获得的“defaultrealm”的值。 “ipport” 填写互信集群的KDC地址，参数值格式为：外部集群KerberosServer部署的节点IP 地址:kdcport。 两个KerberosServer的IP地址使用逗号分隔，例如KerberosServer部署在10.0.0.1和10.0.0.2上，则对应参数值为“10.0.0.1:21732,10.0.0.2:21732”。 说明 l 如果需要配置与多个集群的互信关系，请单击添加新项目，并填写参数值。删除多余的配置项请单击。 l 最多支持与16个集群配置互信，且本集群的不同互信集群之间默认不存在互信关系，需要另外添加。 5. 单击“保存配置”，在弹出窗口中勾选“重新启动受影响的服务或实例。”，单击“确定”重启服务。若未勾选“重新启动受影响的服务或实例。”，请手动重启受影响的服务或实例。 界面提示“操作成功”，单击“完成”，服务成功启动。 6. 退出MRS Manager，重新登录正常表示配置已成功。 7. 在另外一个集群的MRS Manager，重复步骤5到步骤7。

本文主要介绍如何在数据管理服务DMS实例列表中编辑实例绑定的管控规则。 前提条件 组织版本为企业版。 登录用户的角色为超级管理员、系统管理员、运维管理员或者实例Owner。 操作步骤 1. 用户以超级管理员身份登录DMS系统。 2. 在左侧菜单栏依次点击 数据资产 > 实例管理。 3. 在实例列表界面点击更多 ，点击管控规则，在弹窗中下拉选择要与当前实例绑定的规则集，然后输入托管的数据库账号和密码。 4. 点击测试连接 ，测试通过后，点击确定按钮。

帮助您了解如何新建安全评估服务需求，获取服务序列号。 操作场景 服务序列号用于唯一标识本次安全评估服务，安全服务经理在服务过程中，会向您索要服务序列号，用于标识本次服务已进入服务阶段。 前提条件 已订购安全评估服务。 操作步骤 在安全评估页面，可查看订购记录，可通过新建需求获取服务序列号。 1. 登录托管检测与响应服务（原生版）控制台。 2. 在左侧导航栏，选择“安全评估”，进入安全评估页面。 3. 点击页面右上角的“新建需求”，弹出新建安全评估需求对话框。 4. 配置服务需求相关参数。 服务可用次数：代表您当前可用的安全评估服务总次数。 标题：记录本次服务主要目的。 描述：记录本次服务详细内容。 5. 配置完成后，单击“确定”按钮，即可返回服务需求列表，查看服务序列号。 6. 单击“服务序列号”列的“复制”，即可复制已生成的服务序列号。

本节介绍如何添加WAF防护策略。 前提条件 已添加防护网站。 约束条件 一个防护域名只能绑定一个防护策略。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 在列表的左上角，单击“添加防护策略”。 步骤6 在弹出的对话框中，输入策略名称，单击“确定”。 步骤7 在目标策略所在行，单击策略名称，进入防护规则配置页面。 相关操作 若想修改策略名称，单击目标策略名称后的编辑按钮，在弹出的对话框中，重新输入新的策略名称即可。 若想删除添加的防护策略，在目标策略所在行的“操作”列，单击“删除”。 如果您想批量删除防护策略，勾选需要删除的策略，单击策略列表上方的“批量删除”。

此小节介绍删除防护域名，您可以通过Web应用防火墙服务对不再防护的网站执行删除操作。 前提条件 已添加防护域名。 系统影响 删除网站后，1分钟内生效，且不可恢复，请谨慎删除防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标防护域名所在行的“操作”列中，单击“删除”，进入删除防护域名对话框界面。 步骤6 在删除防护网站对话框中，确认删除防护网站。如果需要保留该域名绑定的防护策略，可以勾选“保留该域名的防护策略”。 步骤7 单击“确定”，页面右上角弹出“删除成功”，则说明删除操作成功。

本节将为您介绍如何创建QoS策略。 操作场景 用户新建QoS策略。要使QoS策略生效，需要创建两条分别针对不同带宽类型（即分别保障SDWAN带宽和互联网带宽）的QoS策略，并将它们关联到同一个智能网关实例上。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成智能网关硬件版的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“QoS策略”，单击“创建QoS策略”按钮，进入创建QoS策略页面。 5. 根据页面提示填写策略参数：针对每条策略，需要设置带宽保障规则，针对每个规则，需要设置限速类型和流规则类型。不同的规则可设置不同的流规则类型。 6. 单击“确定”，完成QoS策略创建。

!/bin/sh /sbin/modinfo F filename /root/toa/toa.ko > /dev/null 2>&1 if [ $? eq 0 ]; then /sbin/insmod /root/toa/toa.ko fi d. “/root/toa/toa.ko”为TOA内核模块文件的路径，您需要将其替换为自己编译的TOA内核模块路径。 e. 为toa.modules启动脚本添加可执行权限，执行以下命令： sudo chmod +x /etc/sysconfig/modules/toa.modules 5. 安装多节点 假如要在相同的操作系统中加载此内核模块，可以将toa.ko文件拷贝到您的虚拟机中，参照以上加载内核模块的步骤，内核模块加载成功以后，应用程序可以正常获取访问者的真实源IP地址。 6. 验证TOA内核模块 a. TOA内核模块安装成功后即可直接获取到源地址，在安装有python的后端服务器中启动一个HTTP服务，执行如下命令： python m SimpleHTTPServer port b. 其中，port需要与ELB添加该后端服务器时配置的端口一致，默认为80。启动之后，通过客户端访问ELB的IP时，服务端的访问日志如下： 192.168.1.10 [08/Sep/2022 15:21:21] "GET / HTTP/1.1" 200 – Proxy Protocol模式 1. 在TCP监听器对应的后端主机组上打开如下开关。（只可创建时打开，不可修改） 2. 在后端主机内开启Proxy Protocol。修改/etc/nginx/nginx.conf文件内容如下（以nginx为例演示，用户可按照后端主机真实应用情况决定如何获取客户端源IP）。 http { 确认已设置$proxyprotocoladdr logformat main '$proxyprotocoladdr $remoteaddr $remoteuser [$timelocal] "$request" ' '$status $bodybytessent "$httpreferer" ' '"$httpuseragent" "$httpxforwardedfor"'; 以888监听端口为例，增加proxyprotocol字段 server { listen 888 proxyprotocol; ... } } 3. 在后端主机的Nginx日志可以看到已获取到客户端源IP。

云服务概述 弹性云主机（CTECS，Elastic Cloud Server）是一种可随时获取、弹性可扩展的计算服务。云主机由CPU、内存、镜像、云硬盘等组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保服务持久稳定运行。 弹性云主机的开通和使用非常便捷、高效，您只需要指定CPU、内存、镜像等配置信息。开通完成后，您就可以像使用本地PC或物理服务器一样在云上使用弹性云主机，同时您也可以按需随时调整弹性云主机的规格配置。 了解弹性云主机的使用限制与使用须知，请参考：使用须知、使用限制。 了解弹性云主机的资源规格限制，请参考：管理配额。 怎样选择实例规格类型 了解弹性云主机应用场景，请参考：弹性云主机应用场景。 了解弹性云主机实例规格类型，请参考：规格说明。 了解云主机的计费模式 按量计费 按量计费是一种后付费模式，即先使用再付费，系统会根据云主机的实际使用情况按秒计费。 说明 自2021年4月1日4:00起，按需弹性云主机、按需云硬盘、按需独享带宽将计费单元由小时调整为秒。 例如您在13:30:30创建了一台按需付费主机，相关资源包括计算资源（vCPU和内存）、镜像和云盘（系统盘），然后在13:55:30释放实例，则：结算周期为13:00:00～14:00:00，在13:30:30～13:55:30间产生计费，该结算周期内的计费时长为1500秒。期间费用实例小时价格/36001500。 详细信息请查看按量计费。

set java environment export JAVAHOME/home/webDemo/jdk/jdk1.8.0231 export JREHOME/home/webDemo/jdk/jdk1.8.0231/jre export CLASSPATH.:JAVAHOME/lib/dt.jar:JAVAHOME/lib/dt.jar:JREHOME/lib/tools.jar export PATHJAVAHOME/bin:JAVAHOME/bin: $PATH 执行以下命令保存并退出。 plaintext :wq 执行以下命令使/etc/profile里的配置生效。 plaintext source /etc/profile 验证安装。 plaintext java version 回显信息如下所示验证安装jdk成功。 plaintext [root@ecsc525web ~] java versionjava version "1.8.0231" Java(TM) SE Runtime Environment (build 1.8.0231b11) Java HotSpot(TM) 64Bit Server VM (build 25.231b11, mixed mode 安装tomcat 解压tomcat安装包到tomcat目录下。 plaintext tar xvf apachetomcat8.5.47.tar.gz C /home/webDemo/tomcat/ 进入tomcat的bin目录，执行以下命令安装tomcat。 plaintext cd /home/webDemo/tomcat/apachetomcat8.5.47/ cd bin/ 执行如下命令编辑setclasspath.sh 脚本。 plaintext vi setclasspath.sh 并在setclasspath.sh 脚本添加以下内容。 plaintext export JAVAHOME/home/webDemo/jdk/jdk17.0.3 export JREHOME$JAVAHOME 保存后退出，可输入以下命令启动tomcat。 plaintext ./startup.sh 验证Java Web环境搭建完成 在浏览器输入以下内容： 如果界面跳转至默认的Tomcat界面，证明Java Web环境搭建完成。我们就可以在公网访问云主机的8080端口了。 访问云主机的8080端口如图所示： 注意 天翼云云主机80/8080/443/8443端口需备案完成后才可开通使用，除上述四个端口，云主机其余端口均为开通状态，直接调用即可。但域名+IP+端口号如能通过互联网访问，则属于未备案，只做内部访问无妨。 80/8080/443/8443端口会在备案成功后一个工作日内开通，开通后会电话联系网站负责人。

本章节主要介绍 ALM12070 controller资源异常。 告警解释 HA每80秒周期性检测Manager的controller资源。当HA连续2次检测到controller资源异常时，产生该告警。 当HA检测到controller资源正常后，告警恢复。 controller资源为单主资源，一般资源异常会导致主备倒换，看到告警时，基本已经主备倒换，并在新主环境上启动新的controller资源，告警恢复。该告警用于提示用户，Manager主备倒换的原因。 告警属性 告警ID 告警级别 是否自动清除 12070 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Manager主备倒换。 controller进程持续重启，可能引起无法登录FusionInsight Manager。 可能原因 controller进程异常。 处理步骤 检查controller进程是否异常 1.打开FusionInsight Manager页面，在告警列表中，单击此告警所在行的，查看该告警的主机名称。 2.以root用户登录该告警的主机地址。 3.执行命令 su omm ，执行 sh ${BIGDATAHOME}/omserver/OMS/workspace0/ha/module/hacom/script/statusha.sh ，查询当前HA管理的controller资源状态是否正常（单机模式下面，controller资源为normal状态；双机模式下，controller资源在主节点为normal状态，在备节点为stopped状态。）。 是，执行步骤6。 否，执行步骤4。 4.执行命令 vi $BIGDATALOGHOME/omm/oms/ha/scriptlog/controller.log ，查看ha的controller资源日志，执行命令 vi $BIGDATALOGHOME/controller/controller.log ，查看controller运行日志，是否有关键字“ERROR”，分析日志查看资源异常原因并修复。 5.等待五分钟，查看告警是否恢复。 是，操作结束。 否，执行步骤6。

本文为您介绍在AD域环境搭建好之后,将文件系统加入AD域的操作步骤。 前提条件 已有至少1个可用状态的CIFS文件系统。 已准备AD域环境，已创建AD域控制器，至少有一台客户端已加入域。请参考搭建AD域。 操作步骤 步骤一：生成keytab文件 说明 生成keytab文件的操作在AD域控制器上进行。 1. 登录AD域控制器上为文件系统设置本地域名。 文件系统服务主体依赖域名，因此需要先创建文件系统挂载点对应的域名。需要分别为普通AD域客户端和AD域控制器进行设置。hosts文件路径：C:WindowsSystem32driversetchosts。本地域名配置如下： . 参数说明： 参数 说明 server IP 文件系统挂载地址前的IP。 文件系统本地域名 自定义的文件系统的域名名称。 注：每个文件系统的域名名称应保持唯一。 realm AD域名，如“sfs.com”。 示例： 100.xx.xx.xx testfs01.sfs.com 2. 设置服务账户。按照如下格式使用dsadd命令创建一个服务账号。 注意 您需要记住设置的账户名和密码等信息，后续步骤会用到。 dsadd user CN[AD域服务账户名],DC[AD域域名],DC[com] samid [AD域服务账户名] display [账户描述] pwd [账户密码] pwdneverexpires yes 示例： dsadd user CNNASuser01,DCsfs,DCcom samid fsuser01 display "ctyunnas service account" pwd zmqw@md3 pwdneverexpires yes 3. 执行以下命令为CIFS文件系统域名注册SPN服务主体。 setspn S cifs/[文件系统本地域名]@ [realm] [AD域服务账户名] 参数说明： 参数 说明 文件系统本地域名 在步骤1中为文件系统挂载点设置的域名。 realm AD域名。在搭建AD域环境时设置的域名，本文中为“sfs.com”。 AD域服务账户名 步骤2中的samid。 示例： setspn S cifs/testfs01.sfs.com@sfs.com fsuser01 4. 在AD域控制器上执行以下命令为CIFS文件系统服务主体生成Keytab文件，用于用户的身份认证。 Ktpass princ cifs/[文件系统本地域名]@[realm（必须大写）] ptype KRB5NTPRINCIPAL mapuser [AD域服务账户名]@[realm] crypto All out [密钥表文件生成路径] pass [账户密码] 参数说明： 参数 说明 princ 设置服务主体名称（SPN）。填写步骤1中为文件系统设置的本地域名。 ptype 指定密钥表文件的类型。设置为：KRB5NTPRINCIPAL（用于普通服务账户）。 mapuser AD域服务账户名，填写步骤2中的samid。将SPN映射到一个AD域用户账户，这个用户账户将与SPN相关联，用于身份验证和授权。 crypto 选择用于加密密钥的加密算法：ALL。即所有的加密算法，包括DESCBCCRC、DESCBCMD5、RC4HMACNT等。 out 指定生成的密钥表文件的输出路径和文件名。 /out c:tempservice.keytab将创建一个名为service.keytab的密钥表文件，并将其保存到c:temp目录下。 pass 指定与映射用户账户对应的密码。即在步骤2为创建文件系统服务账户时设置的密码。 示例： Ktpass princ cifs/testfs01.sfs.com@SFS.com ptype KRB5NTPRINCIPAL mapuser fsuser01@sfs.com crypto All out C:nasservice.keytab pass zmqw@md3 5. 将keytab文件传至登录天翼云控制台所用的客户端。 若使用本地电脑登录天翼云控制台，需要将AD域控制器上生成的keytab文件传至本地电脑，具体方法参考：怎样在本地主机和Windows云主机之间互传数据？。此方法需要使用弹性IP，弹性IP是计费服务，计费说明参考计费概述弹性IP。 若为云主机绑定弹性IP，可以直接使用云主机登录天翼云控制台进行接下来的步骤，且不必进行本地电脑与云电脑的keytab文件传输。 说明 远程桌面连接时需要输入云主机的用户名密码，是指在创建云主机时的用户名（默认为Administrator）和密码。

本节介绍了初始化Windows数据盘(Windows 2016)的操作场景、前提条件、操作指导。 操作场景 本文以云主机的操作系统为“Windows Server 2016 Standard 64bit”为例，提供磁盘的初始化操作指导。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。具体操作请参见初始化容量大于2TB的Windows数据盘（Windows 2008）。关于磁盘分区形式的更多介绍，请参见场景及磁盘分区形式介绍。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 操作指导 步骤 1 在云主机桌面，单击左下方开始图标。弹出Windows Server窗口。 步骤 2 单击“服务器管理器”。弹出“服务器管理器”窗口，如下图所示。 图 服务器管理器 步骤 3 “服务器管理器”页面右上方选择“工具 > 计算机管理”。 弹出“计算机管理”窗口，如下图所示。 图 计算机管理 步骤 4 选择“存储 > 磁盘管理”。 进入磁盘列表页面，存在未初始化的磁盘时，系统会自动弹出“初始化磁盘”对话框，如下图所示。 图 磁盘列表 步骤 5 在“初始化磁盘”对话框中显示需要初始化的磁盘，此处以选择“GPT（GUID分区表）”为例，单击“确定”。 返回“计算机管理”窗口，如下图所示。 图 计算机管理(Windows 2016) 注意 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，当前数据盘支持的最大容量为32 TB，如果您需要使用大于2 TB的磁盘容量，分区形式请采用GPT。 当磁盘已经投入使用后，此时切换磁盘分区形式时，磁盘上的原有数据将会清除，因此请在磁盘初始化时谨慎选择磁盘分区形式。 步骤 6 在磁盘1右侧的未分配的区域，右键单击选择“新建简单卷”。 弹出“新建简单卷向导”窗口，如下图所示。 图 新建简单卷向导(Windows 2016) 步骤 7 根据界面提示，单击“下一步”。 进入“指定卷大小”页面，如下图所示。 图 指定卷大小(Windows 2016) 步骤 8 指定卷大小，系统默认卷大小为最大值，您还可以根据实际需求指定卷大小，此处以保持系统默认配置为例，单击“下一步”。 进入“分配驱动器号和路径”页面，如下图所示。 图 分配驱动器号和路径(Windows 2016) 步骤 9 分配到驱动器号和路径，系统默认为磁盘分配驱动器号，驱动器号默认为“D”，此处以保持系统默认配置为例，单击“下一步”。 进入“格式化分区”页面，如下图所示。 图 格式化分区(Windows 2016) 步骤 10 格式化分区，系统默认的文件系统为NTFS，并根据实际情况设置其他参数，此处以保持系统默认设置为例，单击“下一步”。 进入“完成新建卷”页面，如下图所示。 图 完成新建卷(Windows 2016) 注意 不同文件系统支持的分区大小不同，请根据您的业务需求选择合适的文件系统。 步骤 11 单击“完成”。 需要等待片刻让系统完成初始化操作，当卷状态为“状态良好”时，表示初始化磁盘成功，如下图所示。 图 初始化磁盘成功(Windows 2016) 步骤 12 新建卷完成后，单击下方任务栏中，在文件资源管理器中查看是否有新建卷，此处以“新建卷（D:）”为例。 单击“此电脑”，若如下图所示，可以看到“新建卷（D:）”，表示磁盘初始化成功，任务结束。 图 文件资源管理器(Windows 2016)

本章节主要介绍修改OMS数据库管理员密码。 操作场景 该任务指导用户定期修改OMS数据库管理员的密码，以提升系统运维安全性。 操作步骤 登录主管理节点。 说明 ommdba用户密码不支持在备管理节点修改，否则集群无法正常工作。只需在主管理节点执行修改操作，无需在备管理节点操作。 1. 执行以下命令，切换用户。 sudo su omm 2. 执行以下命令，切换目录。 cd $OMSRUNPATH/tools 3. 执行以下命令，修改ommdba用户密码。 moddbpasswd ommdba 4. 输入ommdba的原密码后，再输入两次新密码。 密码复杂度要求： 密码字符长度为16～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@$%^&()+[{}];:", /?中的3种类型字符。 不能与用户名或倒序用户名相同。 不可与前20个历史密码相同。 显示如下结果，说明修改成功： Congratulations, update [ommdba] password successfully.

本章介绍云监控的权限管理。 如果您需要对云服务平台上的云监控服务资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云服务资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制他们对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有云监控服务的使用权限，但是不希望他们拥有删除其他云服务资源等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云监控服务，但是不允许删除其他云服务资源的权限策略，控制他们对其他云服务资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云监控服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见《统一身份认证服务》。 云监控服务权限 默认情况下，新建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云监控服务部署时通过物理区域划分，为项目级服务，需要在各区域对应的项目中设置策略，并且该策略仅对此项目生效，如果需要所有区域都生效，则需要在所有项目都设置策略。访问云监控服务时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对云监控服务，管理员能够控制IAM用户仅能对某一类云监控资源进行指定的管理操作。 如下表所示，包括了云监控服务的所有系统权限。 表 云监控服务系统权限 系统角色/策略名称 描述 类别 依赖关系 CES FullAccessPolicy 云监控服务的全部权限，拥有该权限可以操作云监控服务的全部权限。 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用，支持细粒度授权的云服务列表请参考:统一身份认证帮助中心中“使用IAM授权的云服务”章节。 告警通知：依赖SMN服务的SMN FullAccess。 配置数据转储：依赖OBS服务的OBS OperateAccess。 CES ReadOnlyAccessPolicy 云监控服务的只读权限，拥有该权限仅能查看云监控服务的数据。 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用 CES AgentAccess CES Agent正常运行所需的必要权限。 系统策略 无。 CES Administrator 云监控服务的管理员权限。 系统角色 依赖Tenant Guest策略。 Tenant Guest：全局级策略，在全局项目中勾选。 CES FullAccess 云监控服务的全部权限，拥有该权限可以操作云监控服务的全部权限。 说明 CES FullAccess不满足权限最小化原则，后续不推荐使用，建议使用CES FullAccessPolicy 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用统一身份认证帮助中心中“使用IAM授权的云服务”章节。 告警通知：依赖SMN服务的SMN FullAccess。 配置数据转储：依赖OBS服务的OBS OperateAccess。 CES ReadOnlyAccess 云监控服务的只读权限，拥有该权限仅能查看云监控服务的数据。 说明 CES ReadOnlyAccess不满足权限最小化原则，后续不推荐使用，建议使用CES ReadOnlyAccessPolicy 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用统一身份认证帮助中心中“使用IAM授权的云服务”章节。 下表列出了云监控服务常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 功能 操作 CES FullAccessPolicy CES ReadOnlyAccessPolicy CES Administrator （需同时添加Tenant Guest策略） Tenant Guest 监控概览 查看监控概览 √ √ √ √ 监控概览 查看监控大屏 √ √ √ √ 监控大盘 创建监控大盘 √ × √ × 监控大盘 查看监控大盘 √ √ √ √ 监控大盘 查看监控大屏 √ √ √ √ 监控大盘 添加监控视图 √ × √ × 监控大盘 查看监控视图 √ √ √ √ 监控大盘 修改监控视图 √ × √ × 监控大盘 删除监控视图 √ × √ × 监控大盘 调整监控视图位置 √ × √ × 监控大盘 删除监控大盘 √ × √ × 我的看板 创建我的看板 √ × √ × 我的看板 查看监控大屏 √ √ √ √ 我的看板 查看我的看板 √ √ √ √ 我的看板 删除我的看板 √ × √ × 我的看板 添加监控视图 √ × √ × 我的看板 查看监控视图 √ √ √ √ 我的看板 修改监控视图 √ × √ × 我的看板 删除监控视图 √ × √ × 我的看板 调整监控视图位置 √ × √ × 资源分组 创建资源分组 √ × √ × 资源分组 查看资源分组列表 √ √ √ √ 资源分组 查看资源分组（资源概览） √ √ √ √ 资源分组 查看资源分组（告警规则） √ √ √ √ 资源分组 修改资源分组 √ × √ × 资源分组 删除资源分组 √ × √ × 告警规则 创建告警规则 √ × √ × 告警规则 修改告警规则 √ × √ × 告警规则 启用告警规则 √ × √ × 告警规则 停用告警规则 √ × √ × 告警规则 删除告警规则 √ × √ × 告警规则 导出告警规则 √ √ √ × 告警规则 查看告警规则列表 √ √ √ √ 告警规则 查看告警规则详情 √ √ √ √ 告警规则 查看监控图表 √ √ √ √ 告警记录 查看告警记录 √ √ √ √ 告警记录 查看监控详情 √ √ √ √ 告警记录 屏蔽告警 √ × √ × 告警记录 手动恢复告警记录 √ × √ × 告警模板 查看默认告警模板 √ √ √ √ 告警模板 查看自定义告警模板 √ √ √ √ 告警模板 创建自定义告警模板 √ × √ × 告警模板 修改自定义告警模板 √ × √ × 告警模板 删除自定义告警模板 √ × √ × 主机监控 查看主机列表 √ √ √ √ 主机监控 查看主机监控指标 √ √ √ √ 主机监控 安装Agent √（需同时拥有ECS FullAccess权限） × √（需同时拥有ECS FullAccess权限） × 主机监控 修复插件配置 √（需同时拥有Security Administrator、ECS FullAccess权限） × √（需同时拥有Security Administrator、ECS FullAccess权限） × 主机监控 卸载Agent √（需同时拥有ECS FullAccess权限） × √（需同时拥有ECS FullAccess权限） × 主机监控 配置进程监控 √ × √ × 主机监控 配置自定义进程监控 √ × √ × 云服务监控 查看云服务列表 √（涉及云服务需要支持细粒度授权特性，参考：《统一身份认证用户指南》中“使用IAM授权的云服务”章节） √（涉及云服务需要支持细粒度授权特性，参考：《统一身份认证用户指南》中“使用IAM授权的云服务”章节） √ √ 云服务监控 查看云服务监控指标 √ √ √ √ 自定义监控 添加自定义监控数据 √ × √ × 自定义监控 查看自定义监控列表 √ √ √ √ 自定义监控 查看自定义监控数据 √ √ √ √ 事件监控 添加自定义事件 √ × √ × 事件监控 查看事件列表 √ √ √ √ 事件监控 查看事件详情 √ √ √ √ 数据转储到DMS Kafka 创建数据转储任务 √ × √ × 数据转储到DMS Kafka 查询数据转储任务列表 √ √ √ √ 数据转储到DMS Kafka 查询指定数据转储任务 √ √ √ √ 数据转储到DMS Kafka 修改数据转储任务 √ × √ × 数据转储到DMS Kafka 启动数据转储任务 √ × √ × 数据转储到DMS Kafka 停止数据转储任务 √ × √ × 数据转储到DMS Kafka 删除数据转储任务 √ × √ × 其他 配置数据转储 √（需同时拥有OBS Bucket Viewer权限） × √（需同时拥有Tenant Administrator权限） × 其他 导出监控数据 √ √ √ × 其他 发送告警通知 √ × √ ×

本节为您介绍 自建PostgreSQL迁移至天翼云CTRDS PostgreSQL任务配置。 目标端配置请参照自建PostgreSQL迁移至自建PostgreSQL。

介绍分布式消息服务RabbitMQ监控指标详情。 监控项 分布式消息服务RabbitMQ 版监控指标支持以下监控项： 资源类型 监控项 单位 指标名 维度 实例 每秒消息流入数 个/秒 publishRate 实例 实例 每秒消息流出数 个/秒 deliverRate 实例 实例 消费者数量 个 consumers 实例 实例 连接数量 个 connections 实例 实例 通道数量 个 channels 实例 虚拟主机 每秒消息流入数 个/秒 publishRate 实例、虚拟主机 虚拟主机 每秒消息流出数 个/秒 deliverRate 实例、虚拟主机 虚拟主机 消费者数量 个 consumers 实例、虚拟主机 虚拟主机 连接数量 个 connections 实例、虚拟主机 虚拟主机 通道数量 个 channels 实例、虚拟主机 队列 每秒消息流入数 个/秒 publishRate 实例、虚拟主机、队列 队列 每秒消息流出数 个/秒 deliverRate 实例、虚拟主机、队列 队列 消费者数量 个 consumers 实例、虚拟主机、队列 队列 消息堆积量 个 messages 实例、虚拟主机、队列 交换器 每秒消息流入数 个/秒 publishRate 实例、虚拟主机、交换器 交换器 每秒消息流出数 个/秒 deliverRate 实例、虚拟主机、交换器

本节介绍如何管理通过手动添加或自动发现的API资产。 API列表页面展示通过手动添加的API资产，和自动发现任务发现并已确认为API的资产，在该页面可以对这些API资产进行管理，包括编辑、删除操作。 编辑API资产 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > API管理”，进入API管理页面。 5. 在“API列表”中，单击操作列的“编辑”。 6. 在“编辑API资产”窗口中，可对API名称、业务用途、描述进行修改。 7. 修改完成后，单击“确认”。 删除API资产 删除单个API：在API列表中，单击操作列的“删除”。 批量删除API：勾选多个API，单击列表上方的“批量确认”进行批量操作。

本章节主要介绍媒体存储资源池名称与区域节点对应关系。 下表主要列举目前媒体存储支持对象存储协议接入的资源池名称、区域编码以及区域节点的对应关系（按照资源池名称拼音顺序排序），以及公测功能的支持情况一览。 资源池 区域ID 区域节点 图片处理 视频截帧 存储桶复制 版本控制 服务端加密 合规保留 自定义域名 桶标签 事件通知 日志存储 告警管理 镜像回源 桶清单 文件解压缩 STS角色管理 主子账号 修改对象元数据 继承Bucket2.0 安徽资源池1区 0551001 ahoss.xstore.ctyun.cn √ √ √ 安徽资源池9区 0551009 ah9oss.ctyunxs.cn √ √ √ √ √ √ √ √ 重庆资源池1区 0230001 cqoss.xstore.ctyun.cn √ √ √ √ √ 重庆资源池4区 0230004 cq4oss.ctyunxs.cn √ √ √ √ √ √ √ 重庆资源池11区 0230011 cq5oss.ctyunxs.cn √ √ √ √ √ √ √ 福建资源池1区 0591001 fjoss.xstore.ctyun.cn √ √ √ √ √ √ √ √ √ √ 甘肃资源池1区 0931001 gsoss.xstore.ctyun.cn √ √ √ 甘肃白银1区资源池 0943001 gsbyoss.ctyunxs.cn √ √ √ √ 甘肃定西资源池1区 0931002 gsdxoss.xstore.ctyun.cn √ √ 甘肃嘉峪关资源池1区 0931007 gsjyoss.ctyunxs.cn √ √ √ √ 甘肃酒泉资源池1区 0931005 gsjqoss.ctyunxs.cn 甘肃平凉1区 0931008 gsploss.ctyunxs.cn √ 甘肃庆阳资源池1区 0931006 gsqyoss.xstore.ctyun.cn 甘肃张掖资源池1区 0931003 gszyoss.ctyunxs.cn √ √ √ 广东资源池1区 0200001 gdoss.xstore.ctyun.cn √ √ √ √ √ √ √ √ √ 广东资源池13区 0200013 gd5oss.ctyunxs.cn √ √ √ √ √ √ √ √ 广西资源池1区 0771001 gxoss.xstore.ctyun.cn √ √ 广西资源池8区 0771008 gx10oss.ctyunxs.cn √ √ √ √ √ √ √ 贵州资源池1区 0851001 gzoss.xstore.ctyun.cn √ √ 贵州资源池11区 0851011 gz9oss.ctyunxs.cn √ √ √ √ 海南资源池1区 0898001 hioss.xstore.ctyun.cn √ √ √ √ √ 海南资源池2区 0898005 hi3oss.ctyunxs.cn √ √ √ √ 河北资源池1区 0311001 heoss.xstore.ctyun.cn √ √ √ √ √ √ 黑龙江资源池1区 0451001 hloss.xstore.ctyun.cn √ √ √ √ 湖北资源池1区 0270001 hboss.xstore.ctyun.cn √ √ √ 湖北资源池4区 0270004 hb6oss.xstore.ctyun.cn √ √ √ √ 湖北资源池5区 0270005 hb4oss.xstore.ctyun.cn √ √ √ √ √ 湖南资源池1区 0731001 hnoss.xstore.ctyun.cn √ √ √ √ √ √ √ 湖南资源池10区 0731010 hn5oss.xstore.ctyun.cn √ √ 湖南资源池11区 0731011 hn6oss.xstore.ctyun.cn √ 湖南资源池12区 0731012 hn7oss.xstore.ctyun.cn √ 湖南资源池13区 0731013 hn13oss.ctyunxs.cn 湖南资源池16区 0731016 hn12oss.ctyunxs.cn √ √ √ √ √ √ 吉林资源池1区 0431001 jloss.xstore.ctyun.cn √ √ √ 江苏资源池10区 0250010 js6oss.ctyunxs.cn √ √ √ √ √ √ √ 江西资源池1区 0791001 jxoss.xstore.ctyun.cn √ √ √ √ √ √ √ 江西资源池4区 0791004 jx6oss.ctyunxs.cn √ √ √ √ √ √ √ 辽宁资源池1区 0240001 lnoss.ctyunxs.cn √ √ √ √ √ √ √ 内蒙古资源池1区 0471001 nmoss.xstore.ctyun.cn √ √ √ √ 内蒙古资源池11区 0471011 nm8oss.ctyunxs.cn √ √ √ √ √ √ √ 宁夏资源池1区 0951001 nxoss.xstore.ctyun.cn √ √ √ √ 青海资源池 0971 qhoss.xstore.ctyun.cn √ 青海资源池2区 0971002 qh3oss.xstore.ctyun.cn √ 青海资源池3区 0971003 qh4oss.xstore.ctyun.cn √ √ √ √ 山东资源池2区 0531002 sdoss.ctyunxs.cn √ √ √ √ √ √ √ √ 山西资源池1区 0351001 sxoss.xstore.ctyun.cn √ √ √ 山西资源池2区 0351002 sx3oss.ctyunxs.cn √ √ √ √ √ √ √ 陕西延安资源池1区 0290005 snyaoss.xstore.ctyun.cn √ √ √ 陕西资源池1区 0290001 snoss.xstore.ctyun.cn √ √ 上海资源池1区 0210001 shoss.xstore.ctyun.cn √ √ √ √ √ √ 四川资源池1区 0280001 scoss.xstore.ctyun.cn √ √ √ √ 天津资源池1区 0220001 tjoss.xstore.ctyun.cn √ √ 天津资源池2区 0220002 tj3oss.ctyunxs.cn √ √ √ √ √ √ √ 西藏资源池1区 0891001 xzoss.xstore.ctyun.cn √ √ √ √ √ √ √ 新疆资源池1区 0991001 xjoss.ctyunxs.cn √ √ 云南资源池1区 0871001 ynoss.xstore.ctyun.cn √ √ √ √ 浙江资源池6区 0571006 zj4oss.ctyunxs.cn √ √ √ √ √ √

本文主要介绍企业终端设备的漏洞修复情况。 背景说明 漏洞支持平台周期扫描、平台单次扫描及终端单次扫描，扫描出来的漏洞情况支持上报和展示。 功能说明 企业管理员通过控制台的漏洞修复页面，帮助他们有效监控和管理终端设备的漏洞修复情况，确保企业网络安全。 注意 同时，需注意订购套餐需满足以下条件之一： 1、已订购终端管理基础版，点击查看 2、零信任服务套餐为企业版，点此查看零信任服务 操作步骤 1.登录边缘安全加速控制台，选择【终端管理】。 2.在左侧导航栏点击【终端安全】下的【漏洞修复】二级导航栏。 周期扫描 1.周期扫描卡片中点击“扫描策略”进行配置，任务根据右侧开关生效扫描任务。 2.以下是周期扫描的字段说明。 字段值 备注 扫描计划 默认选中星期一至星期日，默认填入的开始时间为20：30。 自动修复 自动修复勾选的漏洞类型，部分漏洞重启后生效。 仅上报，不修复 不会自动修复漏洞。 漏洞类型 选项：紧急漏洞、高中低危漏洞、其他漏洞共5个。 "需重启漏洞"修复完成后的动作 仅当自动修复的漏洞列表包含“重启后生效”属性的漏洞时，才会执行设定的动作，否则不会执行任何动作。 防护对象 管控或排除指定的用户/设备。

本文主要介绍上网行为管控功能，让您企业员工互联网访问行为可视可审可管控可追溯。 背景说明 上网行为管控功能，可以协助企业管理和审计员工互联网访问行为，提供清晰明了的报表概览，能够根据应用分类对员工访问行为进行统计。企业管理员可配置上网管控策略，对不合规的上网行为进行拦截管控。 注意 上网行为管控功能需要客户端版本号为2.3.x及以上，如有需要，请 且订购套餐满足以下条件之一： 1、零信任服务套餐为企业版，点此查看零信任服务 2、已订购终端管理基础版，点击查看 操作步骤 1. 登录边缘安全加速控制台，选择【零信任】控制台。 2. 在左侧导航栏选择上网行为管控，查看上网行为分析和管控配置。 3. 可根据业务需求进行相关配置。 上网行为分析 统计和展示员工上网访问行为，可查看访问详情和拦截详情。 统计分析：统计访问网站的访问记录和拦截记录，统计拦截网站TOP10，拦截用户TOP10。 上网审计日志：根据访问时间，展示用户和终端的域名访问记录。 拦截记录：根据企业配置的上网管控策略，展示拦截记录。

操作场景 天翼云分布式消息服务Kafka为实例、主题、消费组的几个常用配置提供了默认值，在实例开通时默认配置，并支持在控制台手动修改，您可以根据具体的业务需求，自行修改。这几种常用的配置参数，根据是否需要重启Kafka实例，可以分为动态参数和静态参数： 动态参数：修改成功后，无需重启实例，立即生效 静态参数：修改成功后，只有重启实例才能生效 自定义参数 使用限制 已开通天翼云Kafka集群版实例，实例的运行状态为“运行中”。 单机版不支持修改配置参数。 操作步骤 1. 登陆管理控制台 2. 进入Kafka管理控制台 3. 在实例列表页的操作列，目标实例行点击“管理” 4. 点击“配置参数”，在待修改参数所在行，单击“编辑”，修改配置参数。 5. 单击“保存”，完成参数的修改。 参数说明 动态参数 参数 参数说明 参数范围 默认值 log.flush.interval.messages 消息条数刷盘阈值，当实例 broker 接收的消息条数达到阈值时，将触发消息刷盘 1~9223372036854775807 9223372036854775807 min.insync.replicas 当 producer 将 acks 设置为 “all” (或“1”) 时，此配置指定必须确认写入才能被认为成功的副本的最小数量 1~3 1 message.max.bytes kafka 允许的 topic 最大单条消息大小（单位：字节） 0~10485760 10485760 max.connections.per.ip 每个 ip 允许的最大连接数。超过此连接数的连接请求将被丢弃 100~20000 1000 unclean.leader.election.enable 是否能够使不在 ISR 中 replicas 设置用来作为 leader true,false false

接口描述 查询PostgreSQL实例的pghba.conf文件的配置。 请求方法 GET URI /v1/instuser/hbaconfig 请求参数 名称 位置 类型 必选 说明 prodInstId query Long 是 实例id 响应参数 名称 二级节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Array 返回结果 line Integer 记录所在行 type String 连接类型。 host：该条记录验证TCP/IP连接，包括SSL连接和非SSL连接。 hostssl：该条记录只验证通过SSL建立的TCP/IP连接。 hostnossl：该条记录只验证通过非SSL建立的TCP/IP连接。 database String 数据库名。 username String 用户名。 address String 客户端IP地址。 netmask String 掩码。 authMethod String 认证方式。 options String 认证方式对应的配置参数。不需要配置时，置为空。 error String 错误信息。 示例 请求示例 {URI}&prodInstId165776586159600008 响应示例 { "statusCode": 800, "message": "SUCCESS", "returnObj": [ { "type": "local", "database": "{all}", "username": "{all}", "address": null, "netmask": null, "authmethod": "trust", "options": null, "error": null }, { "type": "host", "database": "{all}", "username": "{all}", "address": "127.0.0.1", "netmask": "255.255.255.255", "authmethod": "trust", "options": null, "error": null } ] }

本文介绍如何删除副本(备份集)。 操作场景 当确认不再需要备份客户端产生的备份数据时，您可通过删除备份功能来删除备份数据以节省资源。 操作须知 删除备份操作不可逆转，被删除的备份数据将无法再恢复，删除前请确认风险。 删除备份集会同时删除此备份集文件及其对应的备份、恢复任务。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。 4. 在云备份页面，单击左侧“混合备份（存储版）”按钮，进入混合备份控制台。 5. 单击“备份集”，进入备份集页面。 6. 单击待删除备份集所在行“操作>删除”。 7. 您在弹出对话框中确认删除操作的风险后，在弹出的对话框中输入“ok”，即可删除该备份集及其对应的备份、恢复任务。

操作步骤 1. 在天翼云的登录页面，单击右上角的二维码，进入“扫码登录”页面。 2. 在手机上登录天翼云APP后，扫描页面二维码。 3. 在手机上点击“确认登陆”。 QQ登录 操作步骤 1. 在天翼云的登录页面，点击其他登录方式的腾讯QQ图标，进入QQ登录页面。 2. 填写登录账号和密码，或用腾讯QQ手机版APP扫描二维码。 3. 首次登录时，需填写关联天翼云账号的电子邮箱、登录密码，将QQ和天翼云账号进行绑定。后续登录时，扫码即可直接登录。 4. 提交登录。 微信登录 操作步骤 1. 在天翼云登录页面，点击其他登录方式的微信图标，进入微信登录页面。 2. 使用微信APP扫描页面二维码，并点击“允许”获取你的昵称和头像。 3. 首次登录时，需填写关联天翼云账号的电子邮箱、登录密码，将微信和天翼云账号进行绑定。后续登录时，扫码即可直接登录。 4. 提交登录。

本节介绍了如何开通DDoS高防（边缘云版）服务。 操作流程 步骤一：订购服务 步骤二：选择套餐 步骤一：订购服务 您可以在官网直接在线订购DDoS高防（边缘云版），也可以联系客户经理进行线下开通（注意：线下开通也需要完成天翼云账号注册与实名认证）。 1. 注册天翼云账号。 2. 完成实名认证（未实名认证的用户需按提示完成实名认证才能开通服务）。 3. 进入产品详情页，快速了解产品，之后单击【立即开通】。 4. 在购买页面选择适合的套餐及功能，勾选并阅读服务协议，确认无误后点击“订购”，产品即开通。 5. 产品服务开通后，便可以根据操作手册去控制台开始接入您要服务的业务。 步骤二：选择套餐 选购项 是否必选 选购项说明及建议 套餐规格 是 不同的套餐规格，包含的保底防护带宽、CC防护能力、业务带宽、端口数和域名数会存在差异。您需要评估您业务的防护需求，以选择合适的套餐。 保底防护带宽：可防御的攻击流量峰值。 CC防护能力：可防御的CC攻击峰值 业务带宽：所接入业务日常入方向及出方向流量总和的峰值。 端口数：使用TCP和UDP协议添加接入的端口数量。 域名数：支持使用HTTP和HTTPS接入的域名数量。需梳理一级主域名的数量以及主域名下子域名的数量。 弹性防护 否 弹性防护带宽为超过保底带宽后的最高防护带宽，超过保底带宽值但不大于弹性带宽值的攻击仍然可以进行有效防护，但会根据超出保底带宽的部分产生后按照超出部分所属阶梯价格付费（按天收费），如防护超过选定的最高防护带宽，则通过解析回源，2小时后自动解封。 若您的业务有受到超大流量攻击的风险但次数不会太频繁，建议开启弹性防护。 域名扩展包 否 如果您需要防护的域名数量超过您购买套餐的域名数量，可以购买扩展包进行补充：一个扩展包支持1个主域名及域名下的9个子域名。 端口数 否 如果您需要防护的端口数量超过您购买套餐的端口数量，可以购买扩展包进行补充。 业务带宽 否 如果您需要的业务带宽量超过您购买套餐的使用量，可以购买扩展包进行补充。 缓存功能 否 如果您需要增加缓存功能，可以开启该功能。 购买时长 是 选择需要订购的时长。 自动续订 否 若开启，将在余额充足的情况下自动续订，续订时长可设置。

本章节主要介绍授权相关问题中有关使用咨询的问题。 DLI细粒度授权 DLI服务不仅在服务本身有一套完善的权限控制机制，同时还支持通过统一身份认证服务（Identity and Access Management，简称IAM）细粒度鉴权，可以通过在IAM创建策略来管理DLI的权限控制。 通过IAM，您可以在云账号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DLI的使用权限，但是不希望他们拥有删除DLI等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DLI，但是不允许删除DLI的权限策略，控制他们对DLI资源的使用范围。 说明 对于新建的用户，需要先登录一次DLI，记录元数据，后续才可正常使用。 IAM是云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 如果云账号已经能满足您的需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DLI服务的其他功能。 DLI系统权限 如下表DLI系统权限所示，包括了DLI的所有系统权限。 权限类别：根据授权精程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DLI服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 系统角色/策略名称 描述 类别 DLI FullAccess 数据湖探索所有权限。 系统策略 DLI ReadOnlyAccess 数据湖探索只读权限。 只读权限可控制部分开放的、未鉴权的DLI资源和操作。例如创建全局变量、创建程序包以及程序包组、default队列提交作业、default数据库下建表、创建跨源连接、删除跨源连接等操作。 系统策略 Tenant Administrator 租户管理员。 操作权限：具有所有云服务的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色 DLI Service Admin DLI服务管理员。 操作权限：具有数据湖探索服务队列、数据的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色

组名已经创建 当消息生产端/消费端运行时，报错The producer/consumer group has been created。 问题原因：在同一个jvm里面只允许一个producerGroupName被加载一次 （consumerGroupName同理），否则就会报错。 解决方案： 如果使用同一个producerGroupName，部署多个实例（起多个进程）。 在一个进程里，起多个线程，共用一个Producer对象实例。 Subscription group not exist或者抛出%retry%的topic没有路由信息 问题原因：没有建立消费关系或者没有创建相关订阅组。 解决方案：在管理台或命令行创建对应订阅组。 Messgae already acked，ackMessage failed 解决方案：这种异常表明该消息已被签收，直接跳过即可。 重试签收调用次数 ackMessageRetry重试签收是只需要调一次就够了，还是需要调多次。例如：签收失败后，调用重试签收，如果重试签收也失败，是否需要再次调用重试签收，还是会自动重试签收。 现有版本接口不会自动帮你重试签收的， 重试签收失败后，需要自己再次调用重试签收接口。 签收时出现不确定异常，如发生超时，或者网络异常时，是需要应用判断消息是否已经签收成功 解决方案： 通过管理台“即时查询”模块，查询这消息是否已经签收成功，看结果再做处理。 重试签收，如果已经签收会抛已签收异常。主要还是看应用的自己处理。 客户端注册失败 客户端日志报No matched consumer for the PullRequest PullRequest。 问题原因：客户端实例注册失败。 解决方案：检查客户端代码，重启客户端进程。

本页为您介绍对象名映射的操作流程。 数据传输服务DTS在配置迁移/同步任务时，支持用户为源库的库名、schema和表名添加映射关系。 例如在目标库存在同名库表的情况下，可将现有源库的库表名进行映射编辑，数据传输服务DTS将迁移或同步映射后的名称到目标库。 以下，以数据迁移为例介绍库表名映射的操作流程。 操作流程 1. 在【数据迁移】实例列表页面，选择待配置的迁移实例，点击“实例配置”（或选择已配置的实例，点击“编辑实例”），完成源库及目标库配置后，进入配置迁移对象及高级配置步骤，在源库对象窗口中展开待迁移库。 2. 展开待迁移对象至要映射的对象层级。 3. 选择对象，点击移动按钮，移动到右侧窗口后点击编辑按钮，编辑需要映射的库名。 4. 展开待迁移对象，点击编辑需要映射的表名。 5. 当数据迁移不勾选增量迁移时，在“编辑表”页面可对表的列名称进行修改，因架构升级，此功能暂时关闭，后续放开。 说明 1. 当勾选增量迁移时，该功能将处于“禁用”状态。 2. 如果修改了列名称，目标库对应表的列名称将变为修改后的列名称。 6. 完成对象名映射，页面可见修改前后的名称。

操作场景 查看快照容量包含：查看某个云硬盘下的所有快照总容量（快照链容量）、查看指定时间段内的快照总容量、查看当前账号在指定区域下的快照总容量。 注意 建议您定期删除不再使用的快照，避免快照容量持续计费 约束与限制 云硬盘的单个快照容量小于或等于该云硬盘的容量。 由于一块云硬盘会存在多个快照，所以单个云硬盘的快照链容量可能会超出该云硬盘容量。 根据快照链查看单个云硬盘下的所有快照总量 云硬盘的快照总容量以快照链（一块云硬盘中所有快照组成的关系链）为单位进行统计，统计当前云硬盘所有快照的数据块占用的存储空间，统计原理请参见快照链容量计算原理。 1. 登录管理控制台。 2. 单击页面左上角“”，选择“存储 > 云硬盘”。进入云硬盘页面。 3. 单击待查看快照总量的云硬盘ID后的“”，复制目标云硬盘ID。 4. 在左侧导航栏，选择“云硬盘 > 快照”。进入“快照”页面。 5. 单击页面上方的“快照链”，切换至快照链页签。 6. 在页面上方的搜索框选择“磁盘ID”，粘贴磁盘ID，单击进行搜索。 7. 下方展示的快照链的快照容量，即为该云硬盘下的所有快照总容量。 8. （可选）您还可以通过单击目标快照链的快照数量，来查看该快照链下的所有快照。

本章节进行网格安全能力概述 概述 单体应用发展成微服务架构带来了诸多便利，业务迭代更加敏捷，扩展性更好，同时为服务架构也带了新的安全考虑，如： 微服务之间通信安全问题，如何防止中间人攻击。 微服务之间的访问控制问题，对于敏感服务和信息，如何限制微服务之间的访问。 微服务之间访问频繁且关系复杂，如何追溯服务之间的调用情况，需要具备审计能力。 服务网格的安全机制提供了零信任的安全机制，很好地解决了以上问题。 服务网格安全架构 服务身份及证书管理 身份是安全的基础，只有给每个服务赋予一个身份才能在服务相互访问时对各方的身份进行认证以及对操作进行鉴权。服务网格使用证书作为网格内工作负载的身份标识，服务网格负载网格内工作负载的身份证书颁发、轮换等，为网格安全提供基础能力。 身份认证 服务网格提供两种认证机制： 对等身份认证：用于sidecar代理之间通信时的身份认证，解决sidecar之间身份认证和通信加密问题，支持基于工作负载证书的mTLS双向认证。 请求身份认证：用于外部请求进入网格内的身份认证，支持JWT及OIDC的认证方式。 授权 在微服务通信中，确定了双方的身份之后，我们还需要对客户端是否有权限访问服务端的资源进行权限检查。当前服务网格支持全局、命名空间和工作负载级别的授权策略控制，同时支持集成外部授权服务能力。