服务器安全卫士 服务器安全卫士（原生版）（CTCSS，Cloud Security System）是一款全方位保障云上服务器安全的产品，能全面识别并管理服务器中的信息资产、实时监测服务器风险并阻止非法入侵行为，当发现服务器出现安全问题时，第一时间向您发出告警通知。主要包括资产清点、漏洞扫描、入侵检测、基线检查、弱口令检测、病毒查杀、文件防勒索等功能，帮助您构建服务器安全防护体系。 根据支持功能不同，服务器安全卫士（原生版）分为基础版、企业版、旗舰版和增值服务。不同规格功能差异请参见：服务器安全卫士产品规格。 Linux服务器SSH登录的安全加固 SSH是远程登录Linux服务器的主要方式，但它也是黑客进行暴力破解和恶意攻击的主要入口之一。为了加强Linux云主机的SSH登录安全，进行安全加固。 更多内容请参见Linux服务器SSH登录的安全加固。 基线检测 对服务器操作系统、数据库、关键应用软件配置等进行检测，帮助用户提前识别出可能导致安全漏洞的不安全配置项，例如不必要的服务开启、过时的软件版本、未启用的安全特性等。通过基线检测，可以及时发现并修复这些潜在的安全风险。 更多内容请参见基线检测

环境安装 1. 安装Python。（Python版本为2.7或3.X。） 2. 安装依赖库。（使用公网连接需要安装confluentkafka 1.9.2及以下版本的依赖库） pip install confluentkafka1.9.2 3. 下载Demo包kafkaconfluentpythondemo.zip。 配置修改 1. 如果是ssl连接，需要在控制台下载证书。并且解压压缩包得到ssl.client.truststore.jks，执行以下命令生成caRoot.pem文件。 keytool importkeystore srckeystore ssl.client.truststore.jks destkeystore caRoot.p12 deststoretype pkcs12 openssl pkcs12 in caRoot.p12 out caRoot.pem 2. 修改setting.py文件。（calocation仅在ssl连接时需要配置） kafkasetting { 'bootstrapservers': 'XXX', 'topicname': 'XXX', 'groupname': 'XXX' } 生产消息 发送以下命令发送消息。 python kafkaproducer.py 生产消息示例代码如下： from confluentkafka import Producer import setting conf setting.kafkasetting """初始化一个 Producer 对象""" p Producer({'bootstrap.servers': conf['bootstrapservers']}) def deliveryreport(err, msg): """ Called once for each message produced to indicate delivery result. Triggered by poll() or flush(). """ if err is not None: print('Message delivery failed: {}'.format(err)) else: print('Message delivered to {} [{}]'.format(msg.topic(), msg.partition())) """异步发送消息""" p.produce(conf['topicname'], "Hello".encode('utf8'), callbackdeliveryreport) p.poll(0) """在程序结束时，调用flush""" p.flush() 消费消息 发送以下命令消费消息。 python kafkaconsumer.py 消费消息示例代码如下： from confluentkafka import Consumer, KafkaError import setting conf setting.kafkasetting c Consumer({ 'bootstrap.servers': conf['bootstrapservers'], 'group.id': conf['groupname'], 'auto.offset.reset': 'latest' }) c.subscribe([conf['topicname']]) while True: msg c.poll(1.0) if msg is None: continue if msg.error(): if msg.error().code() KafkaError.PARTITIONEOF: continue else: print("Consumer error: {}".format(msg.error())) continue print('Received message: {}'.format(msg.value().decode('utf8'))) c.close()

特性 对比 云服务日志采集 ELK：使用logstash或者filebeat等开源采集器采集日志。 云日志服务：使用采集器采集日志，提供采集配置向导页面，上手难度低。 多语言SDK日志采集 ELK：不支持。 云日志服务：提供多语言SDK直接上报日志到云日志服务。 日志结构化解析 ELK：基于采集器实现自定义日志结构化解析。 云日志服务：提供结构化解析能力，支持正则表达式、JSON、分隔符多种方式解析日志。 SQL函数 ELK：只支持最基础的SQL统计函数。 云日志服务：除了基础的SQL函数基础，还提供了大量的扩展函数，例如聚合函数、字符串函数、日期和时间函数等，极大扩展了使用场景。 可视化图表 云日志服务提供了表格、时序图、饼图、柱状图、流图、数值图等多种可视化图表。 日志告警 ELK：没有日志告警功能。 云日志服务：开箱即用的日志告警功能，可提供准实时的日志关键词告警功能。支持多种告警渠道。 日志转储 ELK：无法直接转储对象存储。 云日志服务：通过控制台的简单配置可以将日志转储到天翼云对象存储。 日志加工 ELK：没有日志加工功能。 云日志服务：提供可扩展、高可用的数据加工服务，支持数据规整、脱敏、过滤等加工。

本章介绍天翼云关系型数据库到期策略和欠费场景。 服务到期 “按需计费”实例，没有到期的概念。 “包年/包月”实例到期后无法在数据库管理控制台进行该实例的操作，相关接口也无法调用，自动化监控或告警等运维也会停止。如果在冻结期结束时您没有续费，实例将终止服务，系统中的数据也将被永久删除。 欠费 “包年/包月”实例，没有欠费的概念。 “按需计费”实例是按每小时扣费，当余额不足，无法对上一个小时的费用进行扣费，就会导致实例欠费。您续费后解冻实例，可继续正常使用，请注意在保留期进行的续费，是以原到期时间作为生效时间，您应当支付从进入保留期开始到续费时的服务费用。

本页介绍透明数据加密的实现原理和使用方法。 透明数据加密（Transparent Data Encryption）通过在磁盘上存储的数据进行加密和解密来实现数据的保护。 透明：当使用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件自动解密。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起到保护文件内容的效果。 加密：透明加密使用加密算法来加密数据，并将密钥存储在数据库服务器的受信任位置，以确保安全性。 用户可以通过函数创建加密算法，之后可以通过函数将创建的算法绑定到schema，表和列上，实现加密算法和数据库对象建立关联。同时支持将已经绑定的算法从schema，表和列上解绑，从而取消加密算法和数据库对象之间的关联关系。 透明加密通过teledbxmls插件，需要创建插件： plaintext 创建插件 create extension teledbxmls;

导入作业 导入作业功能依赖于OBS服务，如无OBS服务，可从本地导入。 在作业目录中导入一个或多个作业 1. 单击作业目录中的 > 导入作业，选择已上传至OBS或者本地中的作业文件，以及重名处理策略。 说明 在硬锁策略下，如果锁在其他人手中，重名策略选择了覆盖，则会覆盖失败。软硬锁策略请参考 详见下图：导入作业定义及依赖 2. 单击“下一步”，根据提示导入作业。 说明 在导入作业过程中，若作业关联的数据连接、dli队列、ges图等在数据开发模块系统中不存在时，系统会提示您重新选择。 操作示例 背景信息： 在数据开发模块系统中创建一个DWS的数据连接“doctest” 在作业目录中创建实时作业“doc1”，作业中添加节点“DWS SQL”，配置节点的“数据连接”为“doctest”，配置“SQL脚本”和“数据库”。 1. 登录DataArts Studio控制台。选择实例，点击“进入控制台”，选择对应工作空间的“数据开发”模块，进入数据开发页面。 详见下图：选择数据开发 2. 在数据开发主界面的左侧导航栏，选择“数据开发 > 作业开发”。 3. 在作业搜索框中搜索作业“doc1”，导出作业到本地，并上传作业至OBS文件夹中。 4. 在数据开发模块系统中删掉作业关联的dws数据连接“doctest”。 5. 单击作业目录中的 > 导入作业，选择上传至OBS文件夹中的作业，并设置重名处理策略。 6. 单击“下一步”，根据导入作业页面的提示重新选择数据连接。 7. 单击“下一步”，再单击“关闭”。

本节主要介绍账号管理 用户管理 操作场景 您已登录文档数据库。 新建用户 1. 在顶部菜单栏中选择“账号管理”>“用户管理”，打开用户管理页面。 2. 在数据库下拉框中选择需要创建用户所属的数据库，单击“新建用户”。 3. 在新建用户页面填写用户名、密码、确认密码。 4. 在页面中下部，单击“添加角色”，在添加角色弹窗中设置角色信息。 说明 在添加角色时，如果选择非当前数据库中的角色，会把其他库的角色赋予给该用户，该用户具有操作所选数据库的权限。 用户信息设置完成后，单击页面下部“保存”，并在SQL预览弹窗中单击“确定”。 编辑用户 编辑用户步骤与新建用户一致，请参考上文新建用户。 删除用户 1. 在文档数据库管理页面，单击顶部菜单栏“账号管理 > 用户管理”。 2. 在用户名列表中选择需要删除用户，单击“删除”。 3. 在确认删除弹窗中，单击“是”，即可删除该用户。 角色管理 操作场景 您已登录文档数据库。 操作步骤 1. 在顶部菜单栏中选择“账号管理”>“角色管理”，打开角色管理页面。 2. 在数据库下拉框中选择所需创建角色所属数据库，单击“添加角色”。 3. 在添加角色页面，填写角色名称，单击“添加权限”，在添加权限弹窗中设置角色所赋予的权限，单击“添加”保存权限信息。 4. 在创建角色页面中部，单击“角色”页签，选择“添加角色”，在添加角色弹窗中选择角色，单击“添加”。 5. 角色信息设置完成后，单击创建角色页面下部的“保存”。 说明 当所创建角色所属admin数据库时，在添加权限或角色时可选择其他数据库，会把其他库的权限赋予给该角色。添加该角色的用户将具有操作所选数据库的相关操作权限。

./stor install w 2443 Do you agree with HBlock User Agreement? [Yes/No] Used in Chinese mainland, follow Otherwise, follow y Installing HBlock... Installed successfully. When all servers are installed, please initialize HBlock in any of the following ways: 1. Use web portal to initialize HBlock. The https port is 2443. 2. Use management API (POST /rest/v1/system/setup) to initialize HBlock. The https port is 1443. 3. Use command line (stor setup) to initialize HBlock. Type 'stor help setup' for more information. 2. 初始化HBlock。 密码可以按交互式输入，使用交互式输入密码时，以密文形式显示。 plaintext [root@hblockserver CTYUNHBlockPlus4.0.0x64] ./stor setup n stor1 u storuser s 192.168.0.32:/mnt/storage01,/mnt/stor Please enter password: Start to setup HBlock, please wait. Processing... Setup successfully and the HBlock services have been started. Welcome to HBlock! You are using a 30day trial version. Please follow the steps to get a license. 1. Run "stor info serialid" to get the serial ID of the HBlock 2. Contact the software vendor to obtain a license 3. Run "stor license add k KEY" to import the license Type 'stor help' to get more information, such as managing LUNs, targets, servers, etc. 3. 查询服务器。 plaintext [root@hblockserver CTYUNHBlockPlus4.0.0x64] ./stor server ls n hblock1 Server Name: hblockserver Server ID: hblock1 Status: Connected Public Address: 192.168.0.32:3260 Cluster Address: 192.168.0.32 Recent Start Time: 20251226 10:25:05 Version: 4.0.0 Parameters: {"maxMemoryRatio":0.95,"maxMemorySize":9223372036853727232} Disk Path(s): ++++++++ No. Path Used Capacity Total Capacity Used Capacity Quota Capacity Quota Health Status Health Detail ++++++++ 1. /mnt/storage01() 19.37 GiB 93.29 GiB 4 KiB Unlimited Healthy 2. /mnt/stor 1.17 GiB 93.29 GiB 4 KiB Unlimited Healthy ++++++++ 4. 获取软件许可证并导入。 HBlock软件提供30天试用期，过期后仅部分功能可用。您可以通过下列步骤获取软件许可证并导入。 plaintext [root@hblockserver CTYUNHBlockPlus4.0.0x64]

参数 类型 描述 是否必须 initiator Array of initiator 指定iSCSI发起方（initiator）允许访问列表。可以设置多组initiator允许访问列表，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和initiator名称，二者为“与”的关系。详见“ 表1 参数initiator说明 ”。 否 target Array of target 指定目标端（target）的允许访问列表。可以设置多组target允许访问列表，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和NIC名称，二者为“与”的关系。详见“ 表2 参数target说明 ”。 否

本节为您介绍天翼云 CTRDS SQL Server迁移至中国电信TeleDB配置。 限制条件 中国电信TeleDB for MySQL在使用Udal组件的情况下，全量迁移阶段无法自动迁移表定义。您需要提前手动创建表。 目标端配置请参照自建SQL Server迁移至自建MySQL。

参数 说明 迁移用户 数据库的迁移过程中，迁移用户需要进行单独处理。常见的迁移用户一般分为三类：可完整迁移的用户、需要降权的用户和不可迁移的用户。您可以根据业务需求选择“迁移”或者“不迁移”，选择“迁移”后，可根据需要选择迁移用户。 迁移当您选择迁移用户时，请参见《数据库复制服务用户指南》中“ 迁移对象 迁移对象选择的粒度可以为数据库的全对象，对象迁移到目标数据库实例后，对象名将会保持与源数据库实例对象名一致且无法修改。您可以根据业务需求，选择全部对象迁移或者自定义迁移对象。 全部迁移：将源数据库中的所有对象全部迁移至目标数据库。 自定义对象：将自定义选择的对象迁移至目标数据库。 说明 若选择部分数据库进行迁移时，由于存储过程、视图等对象可能与其他数据库的表存在依赖关系，若所依赖的表未迁移，则会导致迁移失败。建议您在迁移之前进行确认，或选择全部数据库进行迁移。

本章将介绍如何远程登录到Windows物理机。 前提条件 物理机已绑定弹性IP。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”，此处我们选择内蒙6。 3. 单击“左侧导航栏>服务列表”，选择“计算 > 物理机服务”。 4. 在目标物理机的“操作”列，单击“远程登录”。 5. 进入SAC界面，输入“CMD”后按“Enter”建立命令提示通道。 6. 按“ESC+TAB”进入“cmd0003”通道，按“Enter”进入登录验证。 7. 在“用户名”输入“administrator”，“域”输入物理机公网IP，“密码”输入设置好的物理机密码，按“Enter”进行登录。 8. 进入系统界面，表示登录已完成。 后续操作 安装GUI图形化界面 如果您需要安装GUI图形化界面，请参考如下操作。 1. 在命令行提示输入符处，输入“PowerShell” 进入PowerShell。 2. 输入“InstallWindowsFeature ServerGuiShell, ServerGuiMgmtInfra”安装GUI，可看到安装进度显示。 InstallWindowsFeature ServerGuiShell, ServerGuiMgmtInfra 3. 完成该安装后需要重启服务器，在确认目前工作已保存或者物理机可以暂时中断服务重启的情况下，可以在命令行中输入“shutdown r t 0”实现系统重启 shutdown r t 0

本节主要介绍添加数据目录命令。 ./stor server { A addpath } { p path } PATH & [ { n server } SERVERID ] [ capacityquota CAPACITYQUOTA ] 此命令用来为HBlock的指定服务器添加数据目录。一次可以添加多个数据目录，以英文逗号（,）分开。 说明 对于新增的数据目录，建议设置开机自动挂载，或使用已设置自动挂载的目录或子目录。 注意 每台服务器最多只能添加100个数据目录。 参数 参数 描述 p PATH 或 path PATH 要添加的数据目录。一次可以添加多个数据目录，以英文逗号（,）分开。 说明 该数据目录用于存储数据，建议不要与操作系统共用磁盘或文件系统。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。 n SERVERID 或 server SERVERID 要添加的数据目录所属服务器ID。 如果未指定服务器ID，则为执行该命令的服务器添加数据目录。 capacityquota CAPACITYQUOTA 指定数据目录的容量配额，即针对加入到服务器中的每个数据目录，HBlock可写入的数据总量。当HBlock的使用空间一旦达到配额，就立刻阻止数据写入，不允许再使用超出配额的空间。 取值：整型。小于数据目录所在磁盘的总容量，单位是K/k、M/m、G/g、T/t、P/p，默认单位是G/g。负整数表示无限制写入，0表示禁止写入。默认不限制写入。 注意 如果一次添加多个数据目录，只能配置一个容量配额，配置的容量配额适用添加的所有目录。

本页介绍了文档数据库服务下载备份文件操作。 文档数据库服务产品支持对可用实例进行备份文件下载操作，步骤如下： 方式一： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”实例的实例名称，进入到该实例详情页。 4. 点击选择“备份恢复”页，在“操作”列点击“下载”按钮，复制生成的下载链接或者点击下载箭头，即可直接下载备份文件。 方式二： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“备份管理”，进入到“备份管理”菜单页。 3. 点击选择“数据库同区域备份”标签页，点击“备份记录”子页，可见所有备份记录。 4. 选中需要下载的备份记录，在“操作”列点击“下载”按钮，复制生成的下载链接或者点击下载箭头，即可直接下载备份文件。 注意 备份下载链接有效期为5分钟。 仅备份空间类型为“对象存储”的实例支持备份下载功能。 集群版实例备份下载内容为shard节点、config节点全量及增量备份内容。 单机版、副本集实例备份下载内容为实例节点全量备份内容。

名称 类型 描述 name String 拓扑节点或者子节点名称。 fullname String 拓扑节点或者子节点的全路径名称。 type String 拓扑节点或者子节点的类型。 description String 拓扑节点或子节点的描述信息。 如果未添加描述信息，或者节点类型是path，不返回此项。 healthStatus String 故障域状态： Healthy：健康状态，可正常读写。 Warning：警告状态，可读。 Error：错误状态，无法访问。 childNodes Array of childNodes 拓扑图中子节点， childNode 和 topology 基本一致，类型不同，包含的内容不同，详见本表其他字段。 如果 topology 或者 childNode 的类型是 server clusterAddress String 拓扑图集群网络IP。 如果 topology 或者 childNode 的类型是 server publicAddress String 拓扑图业务网络IP。 如果 topology 或者 childNode 的类型是 server allDiskPaths.usedCapacity Long 拓扑图中所有数据目录的已用容量。 如果 topology 或者 childNode 的类型是 server allDiskPaths.totalCapacity Long 拓扑图中所有数据目录的总容量。 如果 topology 或者 childNode 的类型是 server serverStatus String 拓扑图的服务器状态： Connected：已连接。 Disconnected：未连接。 Removing：移除中。 如果 topology 或者 childNode 的类型是 server serverId String 拓扑图的服务器ID。 如果 topology 或者 childNode 的类型是 server childNodes Array of childNodes 拓扑图中子节点， childNode 和 topology 基本一致，类型不同，包含的内容不同，详见本表其他字段。 如果 topology 或者 childNode 的类型是 path usedCapacity Long HBlock数据目录对应分区的已用容量，单位是bytes。 如果 topology 或者 childNode 的类型是 path totalCapacity Long HBlock数据目录对应分区的总容量，单位是bytes。 如果 topology 或者 childNode 的类型是 path usedCapacityQuota Long 数据目录已用容量配额，单位是bytes。 如果 topology 或者 childNode 的类型是 path capacityQuota Long 数据目录容量配额，单位是bytes。 如果 topology 或者 childNode 的类型是 path managementStatus String 数据目录的管理状态： Added：已添加。 Removing：正在移除。 如果 topology 或者 childNode 的类型是 path healthStatus String 数据目录健康状态： Healthy：数据目录处于健康状态，可正常读写，且数据目录所在磁盘使用率未超过阈值（系统默认值为95%）。 Warning：数据目录处于警告状态，可读，但存在以下情况的任意一种：慢盘；数据目录所在磁盘使用率超过阈值（系统默认值为95%）；磁盘剩余空间不足1GiB；HBlock对这个目录停写；数据目录配额使用率超过阈值（系统默认值为95%）；数据目录配额为0。 Error：数据目录错误状态，无法访问，原因可能是：所在磁盘出现I/O错误导致无法读写，数据目录未正确挂载等。 如果 topology 或者 childNode 的类型是 path healthDetail Array of string 数据目录健康状态详情： 如果健康状态为Healthy，此字段为空。 如果健康状态为Warning或Error，显示警告或错误的详细信息。 如果 topology 或者 childNode 的类型是 path serverId String 数据目录所属的服务器ID。

服务名称 总体介绍 存储类别 典型应用场景 性能规格 专属云（存储独享型） 专属云（存储独享型）为用户提供独享的物理存储资源，存储池资源物理隔离，数据持久性高达99.9999999%，可同时对接多种不同类型的计算服务，如弹性云主机、物理机等，功能丰富、安全可靠。 存储池物理隔离，资源独享，专属存储。 对接专属云中的弹性云主机、物理机等计算服务 对接非专属云中的弹性云主机、物理机等计算服务 混合负载，专属存储可同时支持HPC、数据库、Email、OA办公、Web等多个应用混合部署 高性能计算 OLAP应用 高IO：起步规格13.6TB，扩容步长13.6TB，最大可扩容至435.2TB，最大IOPS为1500 IOPS/TB。 超高IO：起步规格7.225TB，扩容步长7.225TB，最大可扩容至289TB，最大IOPS为8000 IOPS/TB。 云硬盘 云硬盘可以为云主机提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务。 共享存储池资源 企业日常办公应用 开发测试 企业应用，例如SAP、Microsoft Exchange和Microsoft SharePoint等 分布式文件系统 各类数据库，例如：MongoDB、Oracle、SQL Server、MySQL和PostgreSQL等 云硬盘支持按需扩容，最小扩容步长为1GB，单个磁盘可由10GB扩展至32TB。

示例 示例1 设置卷lun04a的主备优先级为hblock3,hblock1,hblock2，后期如果其中的一个服务器故障，lun04a会按照此优先级顺序选择主备IQN。 plaintext [root@hblockserver CTYUNHBlockPlus4.0.0x64] ./stor lun prefer n lun04a priority hblock3,hblock1,hblock2 Set LUN lun04a with server affinity successfully. 示例2 设置卷lun04a、lun04b的自动进行主备切换为Disabled。 plaintext [root@hblockserver CTYUNHBlockPlus4.0.0x64] ./stor lun prefer n lun04a,lun04b autofailback Disabled Set LUN lun04a,lun04b with server affinity successfully. 示例3 根据卷的当前主备target所在服务器，设置卷lun04a、lun04b的主备优先级。 plaintext [root@hblockserver CTYUNHBlockPlus4.0.0x64] ./stor lun prefer n lun04a,lun04b priority CUSTOM Set LUN lun04a,lun04b with server affinity successfully.

本节介绍了查看实例运行情况的相关内容。 数据管理服务提供的总览页面可以帮助您查看数据库实例的整体运行情况，包括告警统计、资源使用情况和重点性能指标，多方面实时展示实例的运行状态。基于运行数据结合智能算法对实例进行健康智能诊断，并对异常项提供解决方法与使用建议。 功能模块 总览页面从多个模块为用户展示实例的运行情况，各功能模块详情请参见下表。 表 功能说明 功能模块 说明 告警统计 查看实例运行中不同等级告警条数。单击告警数，可以跳转至告警规则页面，显示该告警等级下的所有告警规则。 健康智能诊断 基于运行数据结合智能算法对实例进行整体诊断，帮助您所见即所得了解实例的健康情况。 资源使用情况 查看实例的CPU利用率、内存利用率、磁盘空间利用率和磁盘IOPS指标数。 重点性能指标 查看实例的近一小时的重点性能指标，包括CPU和慢SQL数、连接数、内存使用率、硬盘读写吞吐量。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 单击页面左上角的 ，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 步骤 4 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 步骤 5 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 步骤 6 选择目标实例，单击“详情”，进入“总览”页面。 步骤 7 在总览页面，查看实例的运行情况。 告警统计 在“告警统计”模块，查看当前实例的告警信息。单击告警级别后的告警个数，可查看告警详情列表。 如果业务需要关注CPU使用率、磁盘利用率和连接数使用率等指标，您可以通过管理告警规则配置对应的指标和告警策略。 健康智能诊断 在“健康智能诊断”模块，可以实时查看实例的诊断结果。 例如：出现“高压力请求”异常情况时，可以单击“详情与优化”查看相关性能指标的使用情况，并根据优化建议对当前的业务SQL进行优化或者及时扩容CPU规格来满足业务需求。 资源使用情况 在“资源使用情况”模块，可以查看当前实例的资源使用情况。 重点性能指标 在“重点性能指标”模块，可以查看近一小时的重点性能指标。 结束

为保障您的天翼云弹性云主机系统时间精准统一,避免因时钟偏差引发业务异常、日志时序错乱、合规审计不达标等问题,推荐您配置天翼云内网 NTP 时间同步服务。本文为您介绍内网 NTP 时间同步的核心作用,以及红帽系、Debian 系 Linux 操作系统的标准化配置方法。 一、内网 NTP 时间同步核心作用 保障业务稳定运行：确保分布式集群、数据库主从同步、交易订单等业务的时序一致性，避免因时钟偏差引发数据错乱、服务异常。 提升运维排障效率：统一全量云主机系统时间，保障日志时序准确，便于故障溯源与问题定位。 满足合规审计要求：符合网络安全等级保护等监管规范对系统时间统一、日志可追溯的硬性要求。 低延迟高可靠：使用天翼云内网 NTP 专用地址，无需占用公网带宽，同步链路稳定、精度更高。 二、前置说明 适用范围：天翼云弹性云主机，涵盖红帽系（RHEL 7/8/9、CentOS 7/Stream、Rocky Linux、AlmaLinux 等）、Debian 系（Debian 10/11/12、Ubuntu 18.04+）Linux 操作系统。 天翼云内网 NTP 服务器地址：169.254.169.254。 三、配置步骤 红帽系操作系统配置（chronyd） 红帽系操作系统官方推荐使用 chronyd 服务实现时间同步，RHEL 8/9 系列默认预装并启用，配置步骤如下： 1. 备份原始配置文件（便于异常回滚） plaintext cp /etc/chrony.conf /etc/chrony.conf.bak 2. 写入天翼云内网 NTP 配置 清理原有NTP源配置 plaintext sed i E '/^(poolserver)/d' /etc/chrony.conf 新增内网NTP同步配置 plaintext cat >> /etc/chrony.conf << EOF server 169.254.169.254 iburst prefer EOF 3. 重启服务并配置开机自启 plaintext systemctl restart chronyd systemctl enable now chronyd

本章介绍数据管理服务的整体产品架构。 数据管理服务DMS助力于企业数字化转型，为企业提供了高效、安全的数据管理解决方案。 先进的数据资产管理功能，帮助企业优化数据资源的组织、分类和检索。 可视化开发工具，为开发人员提供友好的数据操作界面，简化数据库的开发和管理过程。 重视数据的安全保护，通过团队隔离、用户与角色管理、操作审计等功能，确保数据的安全性。 下图为数据管理服务的整体产品架构图。 产品架构图 整个产品架构分为四层： 统一访问：通过统一的访问界面入口，用户无需在多个系统或客户端之间切换，可以轻松地访问和管理各种数据资源。这种统一的访问方式简化了操作流程，提高了管理效率，同时降低了学习成本和维护难度，有助于企业制定统一的安全策略、开发规范和变更流程。此外，DMS还提供Open API，方便第三方集成。 功能设计：DMS提供了丰富的产品功能，包括数据资产管理、可视化开发、SQL治理、数据安全协作、智能运维等，能够全方位地满足用户使用和管理数据库的需求。 数据库内核：DMS正在持续地丰富数据源生态，现已支持多种开源和商业数据库类型，更多数据源支持正在持续上线中。 来源/环境：DMS支持各种网络环境的数据库，包括天翼云、公网/直连数据库等，具备了多环境、多云的适配能力。

本节介绍资源管理用于配置 AIuse 云电脑接入所需的凭证、云电脑关联关系和资源使用范围。 资源管理用于配置 AIuse 云电脑接入所需的凭证、云电脑关联关系和资源使用范围。通过资源管理，租户可以按项目、环境或任务批次划分 AccessKey，并将其绑定到指定云电脑。 资源对象 AIuse 云电脑当前主要涉及以下资源对象： 资源对象 说明 AccessKey 调用 SDK 或 MCP 时使用的身份凭证 云电脑 执行桌面任务的云端桌面资源 桌面编码 SDK 或 MCP 连接指定云电脑时使用的资源标识，对应 desktopCode 关联关系 AccessKey 与可操作云电脑之间的绑定关系 管理目标 资源管理主要用于解决以下问题： 谁可以调用 AIuse 云电脑能力。 某个 AccessKey 可以操作哪些云电脑。 不同项目、环境和任务批次如何隔离。 AccessKey 泄露或不再使用时如何快速禁用。 如何查看和维护 AccessKey 与云电脑的绑定关系。 推荐资源规划 建议按以下原则规划资源： 维度 建议 项目隔离 不同业务项目使用不同 AccessKey 环境隔离 开发、测试、生产环境使用不同 AccessKey 权限最小化 AccessKey 只关联必要的云电脑 生命周期管理 临时任务结束后及时禁用或删除 AccessKey 审计追踪 AccessKey 名称建议包含项目、环境和用途

使用Windows挂载NFS协议文件系统访问速度很慢怎么解决？ 注意 天翼云弹性文件服务不推荐Windows客户端直接挂载NFS协议文件系统，会出现访问卡顿、速度慢等问题。建议Windows客户端只挂载CIFS协议文件系统。 问题原因： 在Windows客户端直接挂载NFS协议文件系统可能遇到首次访问文件系统卡顿，之后一段时间流畅的情况，这是由于Windows客户端未区分NFS协议和CIFS协议，重连时会去扫描CIFS的445端口，被拒绝后才会去连接NFS端口，导致先访问然后变流畅。如果超过15分钟没有IO，下次重连会再次卡顿。 解决方案： 通过在客户端设置禁用CIFS可规避本问题，参考微软官方说明：如何在 Windows 中检测、启用和禁用 SMBv1、SMBv2 和 SMBv3？

本页介绍了如何修改实例端口。 文档数据库服务实例支持修改数据库端口，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”菜单，进入实例列表页。 3. 选择需要修改端口的实例，点击该实例的实例名称，进入实例详情。 4. 在实例信息栏中找到“数据库端口”信息，点击“修改端口”按钮。 5. 部分资源池在点击“修改端口”按钮后，会弹出“修改端口”弹窗页，在弹窗页，根据指引在“新端口”信息栏，填写端口，再点击“确认”按钮即可完成端口修改。 6. 部分资源池在点击“修改端口”按钮后，原端口信息处会变成一个可输入框，填入需要修改的端口，再按下回车键即可完成端口修改。 注意 修改端口会导致实例重启，请谨慎操作。 修改端口范围为1024~65535之间，其他范围的端口设置无效。 单机版实例、副本集实例的默认端口为8030。 集群规格实例的Mongos默认端口为9030。 集群版实例的Shard与ConfigServer节点端口不支持修改。

本节介绍漏洞扫描的功能特性。 漏洞扫描服务可以帮助您快速检测出您的网站、主机存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 网站漏洞扫描 具有OWASP TOP10和WASC的漏洞检测能力，支持扫描22种类型以上的漏洞。 扫描规则云端自动更新，全网生效，及时涵盖最新爆发的漏洞。 支持HTTPS扫描。 一站式漏洞管理 提供漏洞修复建议。如果您需要查看修复建议，请购买专业版、高级版或者企业版。 支持下载扫描报告，用户可以离线查看漏洞信息。如果您需要下载扫描报告，请购买专业版、高级版或者企业版。 支持重新扫描。 支持弱密码扫描 多场景可用：支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件弱口令检测。 丰富的弱密码库：丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 支持端口扫描 扫描服务器端口的开放状态，检测出容易被黑客发现的“入侵通道”。 自定义扫描 支持任务定时扫描。 支持基于用户名密码登录、基于自定义Cookie登录。 支持Web 2.0高级爬虫扫描。 支持自定义Header扫描。 支持手动导入探索文件来进行被动扫描。

角色 DMS支持角色管理，具体包含两类角色：系统角色 和团队角色。 系统角色指用户在组织范围里的角色，包括：超级管理员、管理员(企业版系统角色)和普通用户。超级管理员是创建组织的天翼云主账号，可在DMS上进行任意操作（如录入实例、添加用户等），是DMS计费的主体；管理员由超级管理员添加和指定，具备超级管理员大部分权限，但不能切换组织版本、 编辑组织信息以及操作计费相关的功能。普通用户由超级管理员添加和指定，只能进行有限制操作（如登录实例、查询数据等）。因此，不同的角色可见的DMS菜单功能也是不同的。 团队角色指用户在团队范围里的角色，包括：团队管理员和普通成员。超级管理员可以指定普通用户成为具体团队的管理员；团队管理员可以管理团队成员和团队内实例，并拥有团队内实例的任意权限，履行实例所有者的职责；团队普通成员只能作为普通开发者，登录实例后进行日常的数据操作。 数据库资源 数据库资源指包括实例、库、模式、表、列、视图等所有数据库相关的资源统称。用户可对数据库资源进行操行，比如录入实例、创建数据库、创建视图等等。 实例 即数据库实例，用户可在DMS中录入数据库实例，DMS用户可使用用户名和密码登录实例进行数据管理操作。 数据库 一个实例下有若干个数据库，一般的数据操作均在数据库下进行，如建表、查询等。 模式 对于如PostgreSQL这类数据库，在数据库层级下还有模式（Schema）一层。用户对PostgreSQL类的数据库进行数据操作时，一般需要切换至模式下进行。

日志审计(原生版)(LAS Log Audit Service)是一款全方位保障云上安全的审计产品。通过接入用户网络、主机、安全、数据库以及应用系统设备产生的海量日志信息,为用户提供日志的安全存储、检索、监测、告警等能力,帮助用户满足等保合规要求。

hyperloglog " ") Pub/Sub Transactions Connection Scripting Geo PFADD PSUBSCRIBE DISCARD AUTH EVAL GEOADD PFCOUNT PUBLISH EXEC ECHO EVALSHA GEOHASH PFMERGE PUBSUB MULTI PING SCRIPT EXISTS GEOPOS PUNSUBSCRIBE UNWATCH QUIT SCRIPT FLUSH GEODIST SUBSCRIBE WATCH SELECT SCRIPT KILL GEORADIUS UNSUBSCRIBE SCRIPT LOAD GEORADIUSBYMEMBER Redis3.0禁用的命令 以下列出了Redis3.0实例禁用的命令。 Redis3.0单机和主备实例禁用命令 Keys Server MIGRATE SLAVEOF SHUTDOWN LASTSAVE DEBUG相关类 COMMAND SAVE BGSAVE BGREWRITEAOF Redis3.0 Proxy集群实例禁用命令 Keys Server List Transactions Connection Cluster codis相关 MIGRATE SLAVEOF BLPOP DISCARD SELECT CLUSTER TIME MOVE SHUTDOWN BRPOP EXEC SLOTSINFO LASTSAVE BRPOPLPUSH MULTI SLOTSDEL DEBUG相关类 UNWATCH SLOTSMGRTSLOT COMMAND WATCH SLOTSMGRTONE SAVE SLOTSCHECK BGSAVE SLOTSMGRTTAGSLOT BGREWRITEAOF SLOTSMGRTTAGONE SYNC PSYNC MONITOR CLIENT相关类 OBJECT ROLE

本节介绍资源管理用于配置 AIuse 云电脑接入所需的凭证、云电脑关联关系和资源使用范围。 资源管理用于配置 AIuse 云电脑接入所需的凭证、云电脑关联关系和资源使用范围。通过资源管理，租户可以按项目、环境或任务批次划分 AccessKey，并将其绑定到指定云电脑。 资源对象 AIuse 云电脑当前主要涉及以下资源对象： 资源对象 说明 AccessKey 调用 SDK 或 MCP 时使用的身份凭证 云电脑 执行桌面任务的云端桌面资源 桌面编码 SDK 或 MCP 连接指定云电脑时使用的资源标识，对应 desktopCode 关联关系 AccessKey 与可操作云电脑之间的绑定关系 管理目标 资源管理主要用于解决以下问题： 谁可以调用 AIuse 云电脑能力。 某个 AccessKey 可以操作哪些云电脑。 不同项目、环境和任务批次如何隔离。 AccessKey 泄露或不再使用时如何快速禁用。 如何查看和维护 AccessKey 与云电脑的绑定关系。 推荐资源规划 建议按以下原则规划资源： 维度 建议 项目隔离 不同业务项目使用不同 AccessKey 环境隔离 开发、测试、生产环境使用不同 AccessKey 权限最小化 AccessKey 只关联必要的云电脑 生命周期管理 临时任务结束后及时禁用或删除 AccessKey 审计追踪 AccessKey 名称建议包含项目、环境和用途

Oracle WebLogic wls9async反序列化远程命令执行漏洞（CNVDC201948814），Oracle WebLogic wls9async组件在反序列化处理输入信息时存在缺陷，攻击者可以发送精心构造的恶意HTTP请求获取目标服务器权限，在未授权的情况下远程执行命令，CNVD对该漏洞的综合评级为“高危”。本章节介绍该漏洞的最佳实践。 漏洞名称 Oracle WebLogic wls9async反序列化远程命令执行漏洞 漏洞编号 CNVDC201948814 漏洞描述 WebLogic wls9async组件存在缺陷，通过WebLogic Server构建的网站存在安全隐患。攻击者可以构造HTTP请求获取目标服务器的权限，在未授权的情况下远程执行命令。 影响范围 Oracle WebLogic Server 10.X Oracle WebLogic Server 12.1.3 官方解决方案 官方暂未发布针对此漏洞的修复补丁。 防护建议 通过WAF的精准访问防护功能，拦截利用该漏洞发起的远程命令执行攻击请求。精准访问防护规则的具体配置方法请参见配置精准访问防护规则。

检查备OMS数据库状态是否正常 6.以root用户登录备OMS数据库节点。 7.执行su omm命令切换到omm用户。 8.进入“${BIGDATAHOME}/omserver/om/sbin/”目录，然后执行./statusoms.sh命令检查备OMS数据库资源状态是否正常，查看回显中，“ResName”为“gaussDB”的一行，是否显示如下信息： 例如： 101010231 gaussDB Standbynormal Normal Activestandby 是，执行步骤9。 否，执行步骤16。 检查备节点磁盘是否已满 9.以root用户登录备OMS数据库节点。 10.执行su omm 命令切换到omm用户。 11.执行echo ${BIGDATADATAHOME}/dbdataom命令获取OMS数据库的数据目录。 12.执行df h命令，查看系统磁盘分区的使用信息。 13.查看OMS数据库数据目录挂载磁盘是否已满。 是，执行步骤14。 否，执行步骤16。 14.进行磁盘扩容。 15.磁盘扩容后，等待2分钟检查告警是否清除。 是，操作结束。 否，执行步骤16。 收集故障信息 16. 在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 17. 在“服务”中勾选“OmmServer”，单击“确定”。 18. 单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 19. 请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本章介绍函数工作流的开发事件函数的示例。 概述 使用自定义镜像开发事件函数时，用户需要在镜像中实现一个http server，并监听8000端口接收请求。其中，请求路径/init 默认为函数初始化入口，请根据需要实现该接口。请求路径/invoke为函数执行入口，触发器事件转到该接口处理。 步骤一：准备环境 本章节所有操作均默认具有操作权限，请确保您登录的用户已有“FunctionGraph Administrator”权限，即FunctionGraph服务管理员权限。 步骤二：制作镜像 以在linux x86 64位系统上制作镜像为例。 1. 创建一个空文件夹 mkdir customcontainereventexample && cd customcontainerevnetexample 2. 以Nodejs语言为例，实现一个Http Server，处理函数初始化init请求和函数调用invoke请求并响应。 创建一个main.js文件，引入express框架，实现Method为POST和Path为/invoke的函数执行入口，实现Method为POST和Path为/init的函数初始化入口。 const express require('express'); const PORT 8000; const app express(); app.use(express.json()); app.post('/init', (req, res) > { console.log('receive', req.body); res.send('Hello initn'); }); app.post('/invoke', (req, res) > { console.log('receive', req.body); res.send('Hello invoken'); }); app.listen(PORT, () > { console.log(Listening on }); 3. 创建一个package.json文件，此文件用于向npm提供信息，使其能够识别项目以及处理项目的依赖关系。 { "name": "customcontainereventexample", "version": "1.0.0", "description": "An example of a custom container event function", "main": "main.js", "scripts": {}, "keywords": [], "author": "", "license": "ISC", "dependencies": { "express": "^4.17.1" } } name：值为项目名。 version：值为项目版本。 main：列举文件为库的主入口。 dependencies：列出npm上可用的项目的所有依赖项。 4. 创建Dockerfile文件 FROM node:12.10.0 ENV HOME/home/customcontainer GROUPID1003 GROUPNAMEcustomcontainer USERID1003 USERNAMEcustomcontainer RUN mkdir m 550 ${HOME} && groupadd g ${GROUPID} ${GROUPNAME} && useradd u ${USERID} g ${GROUPID} ${USERNAME} COPY chown${USERID}:${GROUPID} main.js ${HOME} COPY chown${USERID}:${GROUPID} package.json ${HOME} RUN cd ${HOME} && npm install RUN chown R ${USERID}:${GROUPID} ${HOME} RUN find ${HOME} type d xargs chmod 500 && find ${HOME} type f xargs chmod 500 USER ${USERNAME} WORKDIR ${HOME} EXPOSE 8000 ENTRYPOINT ["node", "main.js"] FROM：指定基础镜像为node:12.10.0，基础镜像必须设置，值可修改。 ENV：设置环境变量，设置HOME环境变量为/home/customcontainer，设置GROUPNAME和USERNAME为customcontainer，USERID和GROUPID为1003，这些环境变量必须设置，值可修改。 RUN：格式为RUN ，例如RUN mkdir m 550 {HOME}表示构建容器时创建{USERNAME}用户的home目录。 USER：切换${USERNAME}用户。 WORKDIR：切换工作目录到${USERNAME}用户的home目录下。 COPY：将main.js和package.json拷贝到容器的${USERNAME}用户的home目录下。 EXPOSE：暴露容器的8000端口，请勿修改。 ENTRYPOINT：使用node /home/tester/main.js命令启动容器。 说明 1. 可以使用任意基础镜像。 2. 在云上环境会默认使用uid 1003，gid 1003 启动容器。uid、gid可以在函数页面的设置 > 常规设置 >容器镜像覆盖板块中修改，但不可以是root或其他保留id。 5.构建镜像 指定镜像的名称为customcontainereventexample，版本为latest，“.”指定Dockerfile所在目录，镜像构建命令将该路径下所有的内容打包给容器引擎帮助构建镜像。 docker build t customcontainereventexample:latest .

本文介绍了企业交换机与其他云服务的关系。 企业交换机与云服务平台上多个云服务之间存在交互关系，如下图所示。 图企业交换机与其他服务的关系 表企业交换机与其他服务的关系 服务名称 交互功能 虚拟私有云（Virtual Private Cloud, VPC） 您通过企业交换机可以建立云下IDC和云上VPC之间的二层网络。 云专线（Direct Connect, DC） 通过云专线在云下IDC和云上VPC之间实现三层网络通信，基于三层网络，企业交换机建立云下和云上之间的二层网络。 虚拟专用网络（Virtual Private Network, VPN） 通过VPN在云下IDC和云上VPC之间实现三层网络通信，基于三层网络，企业交换机建立云下和云上之间的二层网络。 统一身份认证服务（Identity and Access Management, IAM） 针对云上的企业交换机资源，您可以通过IAM进行权限管理，即为不同的用户设置不同的使用权限，权限管理有助于实现资源的安全管控。