使用场景 VPC与云下IDC的互连，进行东西向流量的入侵检测。 核心价值 ：实现双向流量（IDC↔ECS）实时镜像，支持威胁检测平台进行深度流量分析 方案涉及产品 VPC ：逻辑隔离网络环境 流量镜像 ：流量捕获与转发核心组件 云专线 ：混合云互联通道 云主机 ：承载业务应用（ECS1/ECS2） 弹性裸金属 ：部署威胁检测平台（Pm1） 方案架构 实现方式 1. 基础资源配置 （1）云上网络规划 资源类型 名称 关键参数 VPC VPC1 IPv4:10.1.0.0/16 子网 子网1 IPv4:10.1.1.0/24 VPC VPC2 IPv4:10.2.0.0/16 子网 子网2 IPv4:10.2.1.0/24 （2）线下IDC配置 客户侧子网：172.168.1.0/24 2. 流量镜像配置 （1）筛选条件（Mirror1） 入方向规则： IP范围：源IP 172.168.1.0/24 协议：ALL 动作：采集 出方向规则： IP范围：目的IP 172.168.1.0/24 协议：ALL 动作：采集 （2）镜像会话（Session1） 镜像源：ENI1（ECS1）、ENI2（ECS2） 镜像目的：ENI3（Pm1） 筛选条件：Mirror1 VNI：10001

本文介绍如何实现开发机环境快照实例。 背景分析 目前⽤户在关闭开发环境后，实例内除了数据集挂载路径以外的⽂件和路径将被重置，下次启动需要重新加载，影响使⽤体验和开发效率。 工具说明 目前采用如下实践⽅式来改善上述问题： 科研助手提供了镜像保存功能，⽀持⼀键将运⾏中的Notebook实例保存为镜像，将准备好的环境保存下来，可以作为⾃定义镜像，⽅便后续使⽤。⽤户可以在Notebook开发环境中⾃⾏安装开发依赖包，⽅便使⽤，也可避免安装依赖包丢失。 附录：Conda配置简介 全部Conda命令建议参考Conda官⽅⽂档。这⾥仅对常⽤命令做简要说明。 命令说明 命令 获取帮助 conda help conda update help 获取某⼀命令的帮助，如update 查看conda版本 conda V 环境管理 conda env list 显示所有的虚拟环境 conda info e 显示所有的虚拟环境 conda create n myenv python3.7 创建⼀个名为myenv环境，指定Python 版本是3.7 conda activate myenv 激活名为myenv的环境 conda deactivate 关闭当前环境 conda remove n myenv all

本文主要介绍搭建可自动伸缩的web服务场景介绍。 某电商平台为吸引用户，除定期推出优惠活动外，还会在节假日、会员日、购物节开展大型促销活动。为保证顺利承载活动带来的流量，运维人员可以分析活动历史数据，提前预估新活动所需的计算资源。但如果高峰期流量超出预估，仍需要临时手动创建ECS实例，不仅操作仓促，而且可能因操作不及时影响应用可用性。 本文重点介绍创建弹性伸缩实现云主机自动伸缩的过程。如何利用弹性伸缩搭建可自动伸缩的Web应用，快速响应业务的峰谷波动，稳定承载日常业务的同时，轻松应对活动期间突增的流量。当电商平台服务的负载增加时云主机的CPU使用率会增大，负载降低时CPU使用率会降低。我们配置两条监控CPU使用率的告警策略，分别在CPU使用率高于50%时增加一台云主机，在CPU使用率低于10%时减少一台云主机，保证服务始终有合适数量的云主机，实现自动伸缩云主机的功能。

如何从第三方云厂商将日志搬迁到天翼云。 若您在其他第三方云厂商使用日志服务，且已有大量的日志数据在第三方云厂商对象存储上，希望将日志搬迁到天翼云，对于不同的日志类型，请参考如下方法： 标准日志（搜索分析）：保存714天，主要用于应用运维等场景，该日志不需要搬迁到天翼云云。您可直接开通使用天翼云云日志服务，在运行14天后，第三方云厂商保存的日志将自然就老化删除。详细请参考云日志服务快速入门。 归档日志（等保合规）：保存180天以上，主要用于安全合规等场景，该日志一般转储存放到对象存储中。您使用对象存储的迁移功能，将第三方云厂商保存在对象存储中的文件迁移到天翼云对象存储服务中。详细操作请参考迁移第三方云厂商数据至天翼云对象存储。

在存储中上传文件 在存储列表查询到已创建的存储，点击目标存储名称，进入存储详情。在存储详情>文件管理，单击按钮【上传】>【上传文件】，完成目标文件上传至存储。 步骤三：为OpenClaw挂载存储 重要提示：使用 OpenClaw 挂载存储时，应用将会重启，请提前做好相关准备。 1.在左侧导航栏单击【应用】>【应用实例】，点击OpenClaw实例名称，进入实例详情。点击【更新组件】按钮。 2.在【更新组件】弹窗的存储模块点击【添加存储】按钮，选择需要挂载的存储、文件路径和挂载路径。点击【确定】按钮提交更新。 步骤四：测试存储是否生效 1.连接OpenClaw，在【chat】对话框中输入“请帮我查询应用托管产品介绍PPT”。OpenClaw可找到目标文件，且所在目录与挂载路径一致。 2. 针对存储中的文件，可进一步让OpenClaw进行分析、总结等。

本章节主要介绍在翼MR集群后台如何提交一个新的Hive Sql作业。 用户可将自己开发的程序提交到翼MR中，执行程序并获取结果。 Hive Sql作业用于提交SQL语句和SQL脚本文件查询和分析数据，包括SQL语句和Script脚本两种形式，如果SQL语句涉及敏感信息，请使用Script提交。 前提条件 用户已经将运行作业所需的程序包和数据文件上传至HDFS系统中。 通过后台提交作业 1. 登录翼MR管理控制台。 2. 选择“我的集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 在“节点管理”页签中单击Master节点，选择要进入的Master节点。 4. 单击该节点右侧的“远程连接”。 5. 根据界面提示，输入Master节点的用户名和密码，用户名、密码分别为root和创建集群时设置的密码。 6. 集群默认开启Kerberos认证，执行以下命令认证当前用户。 示例： klist kt /etc/security/keytabs/hive.keytab 获取hive.keytab的principalname kinit kt /etc/security/keytabs/hive.keytab hive.keytab的principalname 7. 执行Hive Shell命令。 hive >show databases;

本章节为您介绍云审计支持哪些关键操作 云审计服务（Cloud Trace Service，简称CTS），是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后，系统开始记录云堡垒机实例的相关操作，云审计服务管理控制台将保存最近7天的操作记录。 操作名称 资源类型 事件名称 启动堡垒机实例 cbh StartInstance 关闭堡垒机实例 cbh StopInstance 重启堡垒机实例 cbh RebootInstance 升级堡垒机实例 cbh UpgradeInstance 回退升级的堡垒机实例 cbh RollbackInstance 重置堡垒机实例admin密码 cbh ResetInstancePassword 重置堡垒机实例admin登录方式 cbh ResetInstanceLoginMethod 删除故障云堡垒机实例 cbh DeleteInstance 变更堡垒机实例 cbh ResizeInstance 创建堡垒机实例 cbh CreateInstance 堡垒机实例绑定弹性公网IP cbh InstallInstanceEip 堡垒机实例解绑弹性公网IP cbh UninstallInstanceEip 修改堡垒机实例安全组 cbh UpdateInstanceSecurityGroup 切换堡垒机虚拟私有云 cbh SwitchInstanceVpc

本节介绍云安全中心的威胁建模功能，通过关联分析规则，匹配威胁源是否满足告警条件。 可以通过关键字、快捷方式、规则类型和标签查询威胁建模规则。 用户初次订购时会复制所有的威胁建模模板，并开启对应的威胁建模规则（如：租户订购了Web应用防火墙原生版，集成配置开启开关，则会开启对应的威胁建模规则）。 新建规则 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“威胁运营 > 威胁检测 > 威胁建模”。 3. 单击“新建”。 4. 基本信息填写，带有的为必填项。 5. 选择规则类型和规则模板后，还需要配置原始告警源、时间窗口、告警配置等。其中时间窗口需要在2小时以内。 6. 配置完成后，单击“保存”。列表中可以看到新建的规则。

本章节主要介绍翼MapReduce的查看实例配置文件操作。 操作场景 FusionInsight Manager支持在管理页面上直接查看实例节点上实际的环境变量、角色配置等配置文件内容，运维人员在需要快速排查实例对应配置项是否配置错误或者需要查看部分隐藏类型的配置项时，可直接在FusionInsight Manager上进行查看，帮助用户快速分析配置问题。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作的集群名称 > 服务”。 3. 单击服务视图中指定的服务名称，并选择“实例”页签。 4. 单击需要查看配置的实例名称，在概览页面的“配置文件”区域内，系统会显示该实例相关的配置文件列表。 详见下图：查看实例配置文件 5. 单击要查看的配置文件的名称，可查看配置文件内具体的配置参数值内容。 如需获取该配置文件，可单击“下载至本地”按钮，将该配置文件内容下载到本地PC。 说明 集群内的节点故障时，将无法查看配置文件，请修复故障的节点后再查看。

本文介绍准入管控的功能和配置方法。 功能说明 针对企业管理要求，通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功，进入内网访问，保障其企业安全性。 配置说明 主要常用策略条件如下： 是否开启指定软件：如内置防火墙是否开启、是否运行指定的杀毒软件等。 访问行为是否异常：根据用户平时行为进行记录分析，判断是否存在异常，如是否在异常时间登录、异常地点、异常的访问IP地址等。 终端环境是否符合企业要求：根据设定的终端环境条件进行判断，如mac地址、IP地址、访问地点、访问时间等。 支持配置对应的策略生效范围，可选按用户范围，按组织范围，按用户组范围三种模式进行范围圈选。 支持配置对应的策略处置动作，若检测到策略范围内的账号匹配到对应的准入管控策略，将实时下发处置动作到对应账号设备。 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服进行处理。

问题 加入到网格的pod会注入sidecar，当pod停止时可能会有当前pod正在处理中的请求或者当前pod调用外部的请求失败。 原因分析 Pod注入sidecar之后，istioproxy作为代理会拦截pod的入流量（外部请求当前pod）和出流量（当前pod请求外部），在pod停止时，istioproxy也会在一段时间内退出，如果这段时间内存量的入和出方向的请求没有处理完，则请求可能失败。 解决方案 修改sidecar代理终止等待时长 1. 进入服务网格控制台，选择 sidecar管理 –> sidecar代理配置。 2. 选择要配置的命名空间，根据业务需求调整sidecar代理终止等待时长。 修改sidecar生命周期管理策略 sidecar生命周期管理策略可以配置sidecar在启动后或者停止前执行的一些操作，比如可以在pod停止后基于一些信号决定什么时候停止sidecar，保障业务请求都处理完成，配置步骤： 1. 进入服务网格控制台，选择 sidecar管理 –> sidecar代理配置。 2. 选择要配置的命名空间，根据业务需求调整preStop和postStart配置。

本文主要介绍 支持云审计的关键操作 操作场景 云审计服务（Cloud Trace Service，CTS），提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过云审计服务，您可以记录与SWR相关的操作事件，便于日后的查询、审计和回溯。 支持审计的关键操作列表 表云审计服务支持的SWR操作列表 操作名称 资源类型 事件名称 创建组织权限 usernamespaceauth createUserNamespaceAuth 修改组织权限 usernamespaceauth updateUserNamespaceAuth 删除组织权限 usernamespaceauth deleteUserNamespaceAuth 创建版本 version createVersion 修改版本 version updateVersion 删除版本 version deleteVersion 上传镜像包 image uploadImagePackage 创建组织 usernamespace createUserNamespace 删除组织 usernamespace deleteUserNamesapce 创建触发器 trigger createTrigger 修改触发器 trigger updateTrigger 删除触发器 trigger deleteTrigger 创建仓库权限 userrepositoryauth createUserRepositoryAuth 修改仓库权限 userrepositoryauth updateUserRepositoryAuth 删除仓库权限 userrepositoryauth deleteUserRepositoryAuth 创建镜像仓库 imagerepository createImageRepository 修改镜像仓库 imagerepository updateImageRepository 删除镜像仓库 imagerepository deleteImageRepository 删除镜像版本 imagetag deleteImageTag 生成登录指令 dockerlogincmd createDockerConfig 创建共享镜像 imagerepositoryaccessdomain createImageRepositoryAccessDomain 修改共享镜像 imagerepositoryaccessdomain updateImageRepositoryAccessDomain 删除共享镜像 imagerepositoryaccessdomain deleteImageRepositoryAccessDomain

分布式缓存 Redis 5.0及以上版本支持RDB加密存储，目前RDB加密算法支持AES和国密SM4，您可以通过控制台启用RDB加密功能，对RDB数据进行自动加密和解密，以满足数据安全性及合规需要。 说明 1、RDB加密开启后，实例将无法进行离线全量key分析、redisshake进行数据同步以及Top key内存展示等操作。 2、RDB加密开启或关闭后，redis将默认自动重新全量dump一份加密或解密的RDB数据到磁盘。 前提条件 已成功开通分布式缓存服务Redis实例，且实例处于运行中状态。 Redis内核版本为5.0或以上。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台左上角选择实例所在的区域。 3. 在实例列表页，单击目标实例名称进入实例详情页面。 4. 左侧菜单点击实例配置>RDB加密，进入RDB加密界面。 5. 在RDB加密界面可选择开启RDB加密开关，选择开通或关闭RDB加密。 目前支持两种RDB加密算法，包含使用AES加密和国密算法SM4

ECX的安全性如何保障？ 节点访问安全：边缘物理机开启防火墙，只允许白名单IP访问。物理机上部署安全卫士，实时监测可疑入侵操作。物理机权限严格控制，所有操作通过堡垒机登录执行。定期执行物理机的漏洞扫描，对主机系统漏洞发现、开放端口扫描、弱口令检测及配置脆弱性检测，并对扫描检测结果进行分析、形成报告。节点可以根据用户需求部署硬件、软件防火墙。 用户数据安全：对外暴露的客户控制台通过https方式访问；客户保存的密码都严格按照安全的要求，避免弱密码；客户的证书文件统一加密存储。 安全合规：按国家相关部门要求对域名、IP备案进行监测；对敏感端口进行统一管理，符合要求后才可放开；统一接入信安系统，在发现违规行为时一键按规定关停服务。 ECX包括哪些产品形态？ ECX包括虚拟机、裸金属产品形态。虚拟机、裸金属均支持线上自助开通，裸金属资源按需开放，如需购买请联系您的客户经理，或者提交客服工单，亦或直接拨打客服热线。

节点类型 功能 Master节点 MRS集群管理节点，负责管理和监控集群。在MRS管理控制台选择“集群列表>现有集群”，选中一个运行中的集群并单击集群名，进入集群信息页面。在“节点管理”中查看节点名称，名称中包含“master1”的节点为Master1节点，名称中包含“master2”的节点为Master2节点。 Master节点可以通过弹性云主机界面的VNC方式登录，也可以通过SSH方式登录，并且Master节点可以免密码登录到Core节点。 系统自动将Master节点标记为主备管理节点，并支持MRS集群管理的高可用特性。如果主管理节点无法提供服务，则备管理节点会自动切换为主管理节点并继续提供服务。 查看Master1节点是否为主管理节点，请参见 Core节点 MRS集群工作节点，负责处理和分析数据，并存储过程数据。 Task节点 计算节点，用于弹性伸缩，集群计算资源不足时扩容至集群中。

本章节主要介绍数据仓库服务如何连接集群。 操作场景 您在创建好数据仓库集群，开始使用数据库服务前，需要使用数据库客户端连接到DWS 集群中的数据库。本示例将使用Data Studio客户端工具通过公网地址连接DWS集群中的数据库。您也可以使用其他SQL客户端连接集群，更多连接方式请参见 连接集群的方式。 1.获取所要连接的数据库名称、用户名和密码。 首次使用客户端连接集群时，您需使用创建集群时设置的数据库管理员用户和密码连接到默认数据库“gaussdb”。 2.获取集群公网访问地址：通过集群公网访问地址连接数据库。 3.使用Data Studio连接到集群数据库：下载配置Data Studio客户端并连接集群数据库。 获取集群公网访问地址 1.登录DWS 管理控制台。 2.在左侧导航栏中，单击“集群管理”。 3.在集群列表中，选中已创建集群（如dwsdemo），单击“集群名称”前面的向下展开按钮，获取并保存公网访问地址。 该公网访问地址将在使用Data Studio连接到集群数据库时使用。 使用Data Studio连接到集群数据库 1.DWS 提供了基于Windows平台的Data Studio图形界面客户端，该工具依赖JDK，请先在客户端主机上安装Java 1.8.0141或以上版本的JDK。 在Windows操作系统中，您可以访问JDK官方网站，下载符合操作系统版本的JDK，并根据指导进行安装。 2.登录DWS 管理控制台。 3.单击“连接管理”。 4.在“下载客户端和驱动”页面，下载“Data Studio图形界面客户端”。 请根据操作系统类型，选择“Windows x86”或“Windows x64”，再单击“下载”，可以下载与现有集群版本匹配的Data Studio工具。 如果同时拥有不同版本的集群，单击“下载”时会下载与集群最低版本相对应的Data Studio工具。如果当前没有集群，单击“下载”时将下载到低版本的Data Studio工具。DWS 集群可向下兼容低版本的Data Studio工具。 单击“历史版本”可根据集群版本下载相应版本的Data Studio工具，建议按集群版本下载配套的工具。 5.解压下载的客户端软件包（32位或64位）到需要安装的路径。 6.打开安装目录，双击Data Studio.exe，启动Data Studio客户端，如下图所示。 7.在主菜单中选择 “文件>新建连接” ，如下图所示。 8.在弹出的“新建/选择数据库连接”页面中，如下图所示，输入连接参数。 字段名称 说明 举例 数据库类型 选择“GaussDB A” GaussDB A 名称 连接名称。 dwsdemo 主机名 所要连接的集群IP地址（IPv4）或域名。 端口号 数据库端口。 8000 数据库 数据库名称。 gaussdb 用户名 所要连接数据库的用户名。 密码 所要连接数据库的登录密码。 保存密码 在下拉列表中选择： “仅当前会话”：仅在当前会话中保存密码。 “不保存”：不保存密码。 启用SSL 启用时，客户端将使用SSL加密连接方式。SSL连接方式安全性高于普通模式，建议开启。 当“启用SSL”设置为开启时，请先下载SSL证书，并解压证书文件。然后中单击“SSL”页签，设置如下参数： 配置SSL参数 字段名称 说明 客户端SSL证书 选择SSL证书解压目录下的“sslcertclient.crt”文件。 客户端SSL密钥 客户端SSL秘钥只支持PK8格式，请选择SSL证书解压目录下的“sslcertclient.key.pk8”文件。 根证书 当“SSL模式”设为“verifyca”时，必须设置根证书，请选择SSL证书解压目录下的“sslcertcacert.pem”文件。 SSL密码 客户端pk8格式SSL秘钥密码，默认密码为“Gauss@MppDB”。 SSL模式 DWS支持的SSL模式有： require verifyca DWS不支持“verifyfull”模式。 详见下图： 配置SSL参数 9.单击“确定”建立数据库连接。 如果启用了SSL，在弹出的“连接安全告警”提示对话框中单击“继续”。 登录成功后，将弹出“最近登录活动”提示框，表示Data Studio已经连接到数据库。用户即可在Data Studio界面的“SQL终端”窗口中执行SQL语句。 详见下图： 登录成功 欲详细了解Data Studio其他功能的使用方法，请按“F1”查看Data Studio用户手册。

参数 是否必填 参数类型 说明 示例 下级对象 prodEngineName 是 String 实例类型, 目前仅支持Mysql, PostgreSQL Mysql instIds 是 Array of Strings 实例Id, 当前最多一次查询20个实例 metricsType 是 String 指标 period 是 Integer 周期,取值为: 15, 60, 900, 3600 15 startTime 是 Long 开始时间戳，精确到秒 endTime 是 Long 结束时间戳，精确到秒

本节主要介绍OOS的功能特性。 在使用OOS之前，建议您先了解存储桶（Bucket）、对象/文件（Object）、地域（Region）、访问域名（Endpoint）、对象存储网络其他区域及等基本概念，以便更好地使用OOS的功能。OOS主要提供以下功能： 功能名称 功能描述 各区域支持 功能名称 功能描述 对象存储网络区域 港澳台及海外 其他地域 存储类别 OOS提供了标准存储、低频访问型存储两种存储类别，满足不同场景下客户对存储性能和成本的不同诉求。 √ √ √ 存储桶管理 OOS提供创建、列举、查看、删除等基本功能，帮助您便捷的进行存储桶管理。 √ √ √ 文件管理 OOS提供上传、下载、复制、移动、删除、分享、列举、搜索、断点续传、多段操作等基本功能，满足您各个场景的文件管理需求。 √ √ √ 生命周期管理 OOS可针对某个存储桶下具体前缀或者所有文件设置删除或者转储规则。 √ √ √ 静态网站托管 您可以将静态网站文件上传至OOS存储桶中，并对存储桶赋予匿名用户可读权限，然后将该存储桶配置成静态网站托管模式，以实现在OOS上托管静态网站。 √ √ √ 跨域资源共享 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。OOS支持CORS规范，允许跨域请求访问OOS中的资源。 √ √ √ 防盗链 为了防止用户在OOS的数据被其他人盗链，OOS支持基于HTTP Header中表头字段Referer的防盗链方法，同时支持访问白名单和访问黑名单的设置。 √ √ √ 日志 日志功能可以帮助您记录所有object级别的操作记录， 您可以通过控制台日志功能页面“开启”/“不开启”用户日志功能，同时还可以通过设置目标存储桶和路径来指定日志的存储位置。 √ √ √ 合规保留 OOS支持WORM特性，允许用户以“不可删除、不可篡改”方式保存和使用数据。 √ √ x 清单配置 通过OOS存储桶清单功能可以获取Bucket中指定文件（Object）的大小、存储类型等信息。相对于GET Bucket (List Objects)接口，存储桶清单可以按每天或者每周以CSV的形式输出指定文件的相关信息，且不会影响存储桶的请求速率。在需要列举海量文件的场景中，推荐使用存储桶清单功能。 √ √ x 访问权限控制 OOS支持灵活的授权、鉴权机制，您可以通过以下方式控制OOS资源的访问权限： ACL：通过访问控制列表（ACL）给存储空间和文件授予访问权限，包括公共读写、公共读、私有。 Bucket Policy：通过Bucket Policy功能授权其他用户访问您的OOS资源，例如向特定用户授予访问权限，以及向匿名用户授予带特定IP条件限制的访问权限。 IAM Policy：通过IAM Policy来控制存储空间和文件的访问权限。通过用户、用户组、策略的组合，实现精准的资源权限控制。 STS临时授权：通过STS（Security Token Service）给第三方应用或用户授予一个自定义时效的临时访问凭证。 √ √ x （IAM Policy和STS暂不支持） 数据位置选择 您可以按需选择存储桶中数据的存储位置，并且支持后期修改。 √ √ x 文件速率和连接数控制 OOS支持单链接限速功能，您可以使用单链接限速功能在上传、下载、拷贝文件时进行流量和并发连接数控制，以保证您其他应用的网络带宽。 √ √ √ 获取文件元数据信息 OOS支持仅获取文件的元数据信息，而不返回数据本身，有效提升响应速度。 √ √ √ 设置HTTP头 OOS支持设置文件的HTTP头，您可以通过设置HTTP头来自定义HTTP请求的策略。例如，缓存策略、文件强制下载策略等。 √ √ √ 图片处理 您可以使用图片处理功能对存放在OOS中的图片进行瘦身、剪切、缩放、增加水印、转换格式等操作，并且可以快速获取到处理后的图片。 √ √ √ 统计分析 OOS支持查询指定存储桶的使用情况、指定数据域的使用情况。用户可以根据统计分析数据，采取对应的措施。 √ √ x（不支持Bucket维度的统计） 操作跟踪 您可以通过操作跟踪记录OOS账户的管理事件，并将产生的跟踪日志保存到指定的OOS存储桶中持久存储。 √ √ x API访问 OOS提供了REST（Representational State Transfer）风格API，支持您通过HTTP/HTTPS请求调用，实现创建、修改、删除存储桶，上传、下载、删除文件等操作。 √ √ √ 控制台访问 OOS提供可视化控制台页面，方便用户使用。 √ √ √ 工具访问 OOS提供迁移工具以及支持第三方工具（S3Browser、S3cmd等），满足不同场景下数据迁移和数据管理需求。 √ √ √ SDK访问 OOS提供多种开发语言的SDK，帮助您轻松实现二次开发。目前支持：Java、Python、C、JS、Android、IOS、PHP、Go。 √ √ √（不支持PHP和Go）

安全与加速态势大屏 安全与加速态势大屏支持从安全、性能、业务数据三个维度对客户的数据进行统计分析，实时展示客户业务整体的安全与加速情况。 主要包括：受攻击情况、威胁事件分析、各地访问性能的平均首包时间、响应时间、域名访问趋势、状态码分布、访问用户区域分布等统计信息。 标题支持编辑最多15个中英文字符；点击右上角菜单按钮，支持切换至其他大屏页面。 默认统计近3天的数据，支持切换统计今天、昨天、近3天、近一周、近一个月的周期。 Web应用安全态势感知大屏 Web应用安全态势根据客户维度，实时展示客户业务受Web应用攻击的整体情况。 主要包括：全球攻击情况、攻击来源IP、攻击 TOP URL、攻击域名TOP排行、攻击类型分布、攻击类型趋势、攻击来源TOP排行、攻击趋势和滚动式的安全威胁信息等。 标题支持编辑最多15个中英文字符；点击右上角菜单按钮，支持切换至其他大屏页面。 默认统计近3天的数据，支持切换统计今天、昨天、近3天、近一周、近一个月的周期。 网络层DDoS安全态势大屏 网络层DDoS安全态势根据客户维度，实时展示客户业务受DDoS攻击的整体情况。 主要包括：攻击时长分布、DDoS攻击类型分布、攻击趋势、攻击带宽峰值分布、攻击事件列表的安全威胁信息等。 标题支持编辑最多15个中英文字符；点击右上角菜单按钮，支持切换至其他大屏页面。 默认统计近3天的数据，支持切换统计今天、昨天、近3天、近一周、近一个月的周期。

后续管理 数据库控制策略创建完成后，可在策略列表页面，管理已创建策略，包括管理关联用户或资源、删除策略、启停策略、策略排序等。 若需补充关联用户或资源，可单击“关联”，快速关联用户、用户组、资源账户、帐户组。 若需删除策略，可选择目标策略，单击“删除”，立即删除策略。 若需禁用策略授权，可勾选一个或多个“已启用”状态的策略，单击“禁用”，策略状态变更为“已禁用”，策略授权立即失效。 若需排序策略优先等级，可选中策略行上下拖动策略，改变策略排序。 查询和修改数据库控制策略 若数据库控制策略有变更，例如运维人员有变动，授权资源权限有变化等。可查看和修改已创建的策略配置，包括修改策略基本信息、修改关联规则集、修改关联用户或用户组、修改关联资源账户或帐户组等。 修改策略配置，且策略状态为“已启用”时，策略规则才生效。 修改策略配置后，若关联用户已登录资源，需退出登录重新连接，相关策略规则在下一次运维操作时才会生效。 前提条件 已获取“数据库控制策略”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“策略 > 数据库控制策略”，进入数据库控制策略列表页面。 3 查询数据库控制策略。 快速查询：在搜索框中输入关键字，根据策略名称、用户、资源名称、主机地址、资源账户、规则集名称等快速查询策略。 高级搜索：在相应属性搜索框中分别关键字，精确查询策略。 4 单击目标策略名称，或者单击“管理”，进入策略详情页面。 5 查看和修改策略基本信息。 在“基本信息”区域，单击“编辑”，弹出基本信息编辑窗口，即可修改策略的基本信息。 可修改信息包括“策略名称”、“有效期”、“执行动作”、“时间限制”等。 查看策略基本信息 6 查看和修改策略关联的规则集。 在“规则集”区域，单击“编辑”，弹出关联规则集窗口，可立即添加或移除关联的规则集。 在相应规则集行，单击“移除”，可立即删除该关联规则集。 查看关联规则集 7 查看和修改策略关联的用户。 在“用户”区域，单击“编辑”，弹出关联用户窗口，可立即添加或移除关联的用户。 在相应用户行，单击“移除”，可立即删除该关联用户，取消授权。 查看关联用户 8 查看和修改策略关联的用户组。 在“用户组”区域，单击“编辑”，弹出关联用户组窗口，可立即添加或移除关联的用户组。 在相应用户组行，单击“移除”，可立即删除该关联用户组，取消授权。 查看关联用户组 9 查看和修改策略关联的资源账户。 在“资源账户”区域，单击“编辑”，弹出关联资源账户窗口，可立即添加或移除关联的资源账户。 在相应资源账户行，单击“移除”，可立即删除该资源账户，取消授权。 查看关联资源账户 10 查看和修改策略关联的帐户组。 在“帐户组”区域，单击“编辑”，弹出关联帐户组窗口，可立即添加或移除关联的帐户组。 在相应帐户组行，单击“移除”，可立即删除该帐户组，取消授权。 查看关联帐户组

本文帮助您了解对象存储日志管理相关的概念、作用及Log文件格式。 概述 出于分析或审计等目的，用户可以开启日志管理功能。通过访问日志记录，桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。 当用户开启一个桶的日志记录功能后，ZOS会自动对该桶的访问请求记录日志，并生成日志文件写入用户指定的桶中，可作为桶中的对象被长期保存。同时，日志文件保存在存储桶中也会占用存储空间，即意味着将产生相应的存储费用。默认情况下，ZOS不会为用户开启日志管理功能。 日志文件信息说明 开启日志管理后生成的访问日志包含以下信息： 名称 例子 含义 ownerid testuser 源存储桶ownerid bucket sbucket 源存储桶名字 time [23/Aug/2020:10:00:42+0800] 访问时间 remoteaddr 192.168.56.xxx 请求发起的IP地址 user testuser 执行用户 requestid tx00000000000000000001c005f41cdcaa222fdefault 用于唯一标识该请求的id operation REST.GET.ACL 请求类型 oname objname 对象名字 uri GET/sbucket?aclHTTP/1.1 用户请求的uri httpstatus 200 返回的http状态码 errorcode 返回的错误码 bytessent 441 用户下载的流量 objsize 0 对象大小（bytes） totaltime 1 处理本次请求所花的时间（毫秒） referrer 请求的httpreferer useragent Boto3/1.4.6Python/2.7.5Linux/3.10.01062.el7.x8664Botocore/1.8.35 http的useragent头 oversionid 版本id 注意 Log文件的格式组成：名称从左至右，以空格分隔。 Log中的任何一个字段都可能出现“”，用于表示未知数据或对于当前请求该字段无效。

本节主要介绍如何授权其他账户访问名下的Bucket。 应用场景 用户A（用户ID为aaa11111111）有存储桶examplebucket1a和examplebucket12a，A0为A的子用户。A0、用户B（用户ID为bbb11111111）及其子用户B0根据业务需要，希望能访问A名下的存储桶examplebucket1a和examplebucket12a。A0、B、B0需要的权限如下： 用户B对A的存储桶 examplebucket1a和 examplebucket2a有列举和下载文件的权限。 子用户B0对A的存储桶 examplebucket1a仅有下载以1为前缀文件的权限。 子用户A0对A的存储桶examplebucket2a有列举、下载、删除文件的权限。 前提条件 开通对象存储（经典版）Ⅰ型服务。 具体操作 用户A登录控制台，进入“存储桶列表”。 点击examplebucket1a后的“属性”，点击 “安全策略”>“编辑策略”>“编辑”，按如下规则编辑。 { "Version":"20121017", "Statement":[ { "Sid":"UserBListGetObject", "Effect":"Allow", "Principal":{ "CTYUN": "arn:ctyun:iam::bbb11111111:root" }, "Action":[ "oos:GetObject", "oos:ListBucket" ], "Resource":[ "arn:ctyun:oos:::examplebucket1a/", "arn:ctyun:oos:::examplebucket1a" ] }, { "Sid":"UserB0GetObject", "Effect":"Allow", "Principal":{ "CTYUN": "arn:ctyun:iam::bbb11111111:user/B0" }, "Action":"oos:GetObject", "Resource":[ "arn:ctyun:oos:::examplebucket1a/1" ] } ] } 点击examplebucket2a后的“属性”，点击“安全策略”>“编辑策略”>“编辑”，按如下规则编辑。 { "Version":"20121017", "Statement":[ { "Sid":"UserBGetListObject", "Effect":"Allow", "Principal":{ "CTYUN": "arn:ctyun:iam::bbb11111111:root" }, "Action":[ "oos:GetObject", "oos:ListBucket" ], "Resource":[ "arn:ctyun:oos:::examplebucket2a/", "arn:ctyun:oos:::examplebucket2a" ] }, { "Sid":"UserA0GetListDeletObject", "Effect":"Allow", "Principal":{ "CTYUN": "arn:ctyun:iam:: aaa11111111:user/A0" }, "Action":[ "oos:GetObject", "oos:ListBucket", "oos:DeleteObject" ], "Resource":[ "arn:ctyun:oos:::examplebucket2a/", "arn:ctyun:oos:::examplebucket2a" ] } ] }

本文主要介绍数据采集 在使用APM服务过程中用户开启APM数据采集开关后，APM仅采集应用性能指标及调用链相关数据，不涉及个人隐私数据。所采集的数据仅用于应用的性能分析和故障诊断，不会用于其他商业目的。 数据类型 采集数据 传输方式 存储方式 数据用途 时限 性能指标数据 JVM相关数据、异常、数据库、SQL语句以及中间件调用相关的数据 通过WSS方式传输 APM服务端按照租户隔离存储 指标查看页面展示 免费版7天，企业版30天，到期彻底删除 调用链数据 调用链event数据，包含中间件调用的相关数据 通过WSS方式传输 APM服务端按照租户隔离存储 调用链前台查询展示 免费版7天，企业版30天，到期彻底删除 资源信息 服务类型、服务名称、创建时间、删除时间、所在节点地址和服务发布端口 通过WSS方式传输 APM服务端按照租户隔离存储 资源库前台查询展示 免费版7天，企业版30天，到期彻底删除 资源属性 系统类型、系统启动事件、CPU个数、服务执行用户名称、服务进程id、服务的PodID、CPU标志、系统版本、服务使用的Web框架、JVM版本、时区、系统名称、采集器版本以及LastMail的Url 通过WSS方式传输 APM服务端按照租户隔离存储 资源库前台查询展示 免费版7天，企业版30天，到期彻底删除 表 采集项限制说明 采集项名称 最大值 监控项默认最大行数 500行 SQL默认长度限制 2000字符 SQL Result Body体默认采集数量限制 100个 SQL Result Body体默认采集内容大小限制 999字符 Redis Body体默认长度限制 100字符 Mongo最大集群数 10个 Mongo command默认长度限制 2000字符 Hbase command默认长度限制 500字符 Es RestClient上限 10个 Cassandra CQL默认长度限制 2000字符 Cassandra Session上限 10个 Kafka Mbean采集ObjectName上限 100个 Kafka ClientId对应IP缓存上限 100个 RabbitMq连接地址上限 20个 RabbitMq每个地址最大缓存连接数 100个 RabbitMq Consumer上限 500个 RabbitMq每个Consumer最大缓存Channel数 100个 RabbitMq每个Channel没有ACK的消息数 3000条 RabbitMq缓存的手动ACK Consumer个数 20个 RocketMq PID上限 20个 RocketMq ClientId上限 20个 Jetcd Tag最大长度 500字符 HttpClient连接池上限 10条 连接池调用链默认上报时间阈值 1毫秒 Dubbo Invocation长度限制 500字符 Dubbo Attachment长度限制 500字符 URL Body体默认长度限制 9999字符 URL采集应用code body长度限制 0字符 Java Method Body体长度限制 8192字符

类型 功能 网络共享盘 NAS型共享盘 使用方式 AI云电脑挂载访问 支持 支持 使用方式 第三方平台系统（企业OA，SAP系统等）集成访问 支持 不支持 使用方式 天翼AI云电脑、网盘网页版、支持桌面端和移动端访问 支持 不支持 共享范围 跨资源池共享 支持 支持 共享范围 文件对外分享 不支持（规划中） 不支持 共享范围 跨企业（租户）共享 不支持（规划中） 不支持 数据安全 文件落盘自动加密 支持 支持 数据安全 多数据中心备份，数据异地容灾高可用 支持 部分资源池支持 翼起来生态融合 支持虚拟应用保存文件至翼共享盘 支持 支持 翼起来生态融合 支持翼连访问打开翼共享盘的文件，以及保存文件至翼共享盘 支持 不支持 翼起来生态融合 支持翼飞表单、问卷采集文件或图片保存至翼共享盘 不支持（规划中） 不支持 翼起来生态融合 云智助手设置共享盘为知识库 支持 不支持 权限管控 企业/个人空间容量分配，动态扩容 支持 支持 权限管控 挂载盘设置 支持用户挂载 支持桌面颗粒度挂载 权限管控 支持读写、分享等权限设置 支持 仅支持读写权限设置 权限管控 支持下载/分享/删除等操作审批 支持 不支持 权限管控 日志审计 不支持 仅支持新建、修改、删除操作

基本概念 模板：态势感知（专业版）内置了多种分析规则模板（包括场景说明、模型原理、处置建议、使用约束等信息），用户可利用内置的模板快速创建模型。 模型：模型是基于模板创建的，态势感知（专业版）支持利用模型对管道中的日志数据进行扫描，如果检测到有满足模型中设置触发条件的内容时，系统将产生告警提示。 操作场景 本文介绍模型模板的管理操作。 查看模型模板：态势感知（专业版）根据常用场景内置了多种模型模板（包括场景说明、模型原理、处置建议、使用约束等信息），支持查看模板的详情信息。 新建或编辑模型：态势感知（专业版）支持利用模型对管道中的日志数据进行监控，如果检测到有满足模型中设置触发条件的内容时，将产生告警提示。新建模型可以使用使用已有模型模板创建告警模型，也支持自定义新建告警模型。当模型的信息发生变化需要更新时可编辑模型。 查看模型：可查看模型的严重程度和模型列表信息。模型列表中，可查看当前已有模型的严重程度、名称/ID、管道名称、模型类型、更新时间和创建时间等信息。 管理模型：介绍如何启用、停用、删除模型。

步骤二：数据迁移 在这个阶段，您将把镜像和相关依赖服务的数据迁移到天翼云对应云产品中。可基于天翼云上提供的专业云迁移、云备份等迁移工具，或基于云产品提供的专门迁移指引进行迁移。例如： 三方云镜像仓库迁移参考：第三方镜像仓库导入 三方云MySQL迁移请参考：其他云MySQL迁移到RDS For MySQL 三方云PostgreSQL迁移请参考：其他云PostgreSQL迁移到RDS For PostgreSQL 其他类型存储迁移，请参考天翼云上对应云产品提供的迁移指引； 步骤三：天翼云集群创建与纳管 在这个阶段，您将评估目标集群所需规格信息并创建对应的天翼云CCE集群；然后将该目标集群关联到分布式容器云平台CCE One注册集群； 云容器引擎允许用户对集群资源进行个性化选取，以精准匹配其多样化的业务诉求。如下所示的表中，列举了集群的指标参数，并提供了参考规划选择；用户应依据自身业务的确切需求，对相关设置做出合理调配，其间，我们建议尽可能保持与原集群性能配置的一致性水平。 主要指标参数 指标参数说明 本示例规划 kubernetes版本 1.27.8 1.29.3 1.29.3 网络插件 cubecni：cubecni 是云容器引擎自研的网络插件，支持基于 Kubernetes 标准的网络策略来定义容器间的访问策略 calico：使用社区 calico CNI 插件的IP模式 cubecni apiserver访问 API Server的访问需要依赖ELB实例，您可根据需要选择合适的ELB规格，系统将根据该规格创建一个私网ELB实例。规格选择请见：[了解ELB实例规格](

操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 字段 创建实例 ddsCreateInstance 删除实例 ddsDeleteInstance 节点扩容 ddsGrowInstance 磁盘扩容 ddsExtendInstanceVolume 规格变更 ddsResizeInstance 重启实例 ddsRestartInstance 数据备份 ddsCreateBackup 数据恢复 ddsRecoverBackup 参数修改 ddsUpdateInstanceConfigurations 绑定公网IP ddsBindEIP 解绑公网IP ddsUnBindEIP 主备切换 ddsReplicaSetSwitchover 添加只读节点 ddsAddReadonlyNode

本文主要介绍如何添加或移除后端云主机(独享型) 在使用负载均衡服务时，确保至少有一台后端云主机在正常运行，可以接收负载均衡转发的客户端请求。如果请求的需求流量上升，用户需要向负载均衡器添加更多后端云主机处理需求。 移除负载均衡器绑定的后端云主机，后端云主机将不再收到负载均衡器转发的需求，但不会对云主机本身产生任何影响，只是解除了后端主机和负载均衡器的关联关系。您可以在业务增长或者需要增强可靠性时再次将它添加至后端云主机组中。 若要使用跨VPC后端功能，请先正确配置VPC路由，确保后端可达。跨VPC后端支持添加通过以VPC对等连接、VPN连接与专线连接互通的后端云主机。 添加后端云主机 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要添加后端云主机的负载均衡名称。 5. 切换到“后端主机组”页签，单击目标后端主机组名称。 6. 单击右侧页面中的“添加云主机”、“添加跨VPC后端”。 7. 根据需要添加的后端类型选择相应的操作。 添加普通后端：在“添加云主机”界面选择后端云主机所在的子网，勾选需要添加的后端云主机，并选择“私网IP地址”，然后单击下一步，设置后端端口和云主机的权重，单击“完成”，完成添加。 添加跨VPC后端：在“添加跨VPC后端”界面设置业务端口和云主机的权重等配置，单击“确定”，完成添加。

本文介绍专属云（存储独享型）常见的操作类问题。 如何为云主机增加数据盘？ 系统盘在创建云主机时自动创建并挂载，无法单独购买。 数据盘可以在购买云主机的时候购买，由系统自动挂载给云主机。也可以在购买了云主机之后，单独购买磁盘并挂载给云主机。 对于Windows系统： 如果数据盘是随云主机一起订购的，则需要登录云主机对数据盘进行初始化，初始化成功后可以看到数据盘（例如D盘）。 如果数据盘是单独订购的，则需要挂载至云主机，然后登录云主机对数据盘进行初始化，初始化成功后可以看到数据盘（例如D盘）。 对于Linux云主机： 如果数据盘是随云主机一起订购的，则需要登录云主机对数据盘进行初始化，初始化成功后，通过mount命令挂载后可以看到数据盘（例如/dev/vdb1）。 如果数据盘是单独订购的，则需要挂载至云主机，然后登录云主机对数据盘进行初始化，初始化成功后，通过mount命令挂载后可以看到数据盘（例如/dev/vdb1）。 卸载磁盘时数据会丢失吗？ 卸载磁盘不会导致数据丢失，但请注意以下情况。 卸载已挂载到Windows云主机的磁盘前，请确保没有程序正在对该磁盘进行读写操作。否则，有可能造成数据丢失或卸载失败。 卸载已挂载到Linux云主机的磁盘前，请先登录云主机，执行umount命令，并确保没有程序正在对该磁盘进行读写操作。否则，有可能造成数据丢失或卸载失败。

本文主要介绍通过云日志服务查看审计日志 通过云日志服务进行分析日志、搜索日志、日志可视化、下载日志和查看实时日志等操作。 查看LTS审计日志 说明 实例已经配置了访问日志，操作详情请参见日志配置管理—新增 步骤 1 在页面左上角单击，选择“管理与监管 > 云日志服务”，进入云服务日志页面。 步骤 2 在“日志组列表”区域，选择目标日志组，单击日志组名称。 查看日志详情 下载LTS日志文件 说明 如果实例已经配置了访问日志，操作详情请参见 步骤 1 在页面左上角单击，选择“管理与监管 > 云日志服务”，进入云服务日志页面。 步骤 2 在“日志组列表”区域，选择目标日志组，单击日志组名称。 下载日志 步骤 3 单击“”。

本页介绍了关系数据库MySQL版服务到期与欠费相关情况。 服务到期与欠费都会影响您的实例的正常使用。 注意 只读实例到期后，则会自动销毁，所有数据将被清理，如需继续使用，请提前续订只读实例。 服务到期 “按需计费”实例，无需担心服务到期问题。 “包年/包月”实例到期后将会被暂停，在暂停期间您无法通过数据库管理控制台对该实例进行操作，无法调用相关接口，监控告警等服务也会停止。如果您没有在暂停期内续费，那么该实例的服务将被终止，并且系统中的数据也将被永久删除。为了避免数据丢失，我们强烈建议您在暂停期内及时续费，或者提前备份数据并另行妥善保存。 欠费 “包年/包月”实例，如果您选择的是对象存储的备份类型，由于对象存储是按需计费的，余额欠费后，将会导致依赖对象存储的相关功能无法继续使用，例如：备份下载，日志文件下载，恢复到已有实例，恢复到新实例以及跨域备份恢复等功能，界面上相关功能按钮会置灰限制。 “按需计费”实例是按每小时扣费，当余额不足，无法对上一个小时的费用进行扣费，就会导致实例欠费，实例将会被暂停。您续费后暂停的实例，可继续正常使用，请注意在暂停期进行的续费，是以原到期时间作为生效时间，您应当支付从进入暂停期开始到续费时的服务费用。

本文介绍如何使用telnet命令检测Redis端口连通性 ECS实例中已经安装了Telnet（Linux）或开启了Telnet客户端（Windows）。如果Redis服务出现了连接问题，并且参见上述问题中如何检测弹性云主机与Redis之间的网络连接。发现连接成功时，您需要进一步使用telnet命令检测服务端口是否可用。 查看Redis实例的连接地址，详情请参见查看连接地址。 登录ECS实例，执行telnet命令。 telnet {IP} {Redis PORT} 说明 windows系统和Linux系统中都可以使用该命令。 返回信息分析： 如果Redis连接存在问题，但可以在ECS上使用telnet连接到Redis实例，则ECS本身与Redis之间的连接无异常，请排查其它因素，例如客户端、业务代码，以及业务环境导致的Redis服务阻塞等问题。 如果telnet连接失败，但使用ping命令检测ECS与Redis之间的连接成功，可能是由于ECS存在异常行为（例如受恶意程序影响而攻击其它Redis的33016端口等）被系统禁止了部分服务，此时建议您监控ECS的数据找到异常流量并加以处理。