本文为您介绍容器安全卫士的产品定义及安全能力。 容器安全卫士是作用于容器集群的安全防护产品，提供了对容器环境下，业务动态及静态安全风险的事前发现、事中预警、事后溯源的安全闭环。可方便快捷的解决业务容器化后带来的安全问题。 容器安全卫士产品主要安全能力包括：深度资产清单、实时风险发现、快速安全防护、及时事后溯源。 深度资产清单 对容器集群等基础资产可进行自动清点，在此基础上，还会进一步识别容器进程、容器挂载、容器端口、容器软件等深度资产信息，并会进行全资产的关联，便于分析。 实时风险发现 针对静态风险，会识别漏洞、恶意文件、软件许可、风险软件、敏感信息等全面的风险。针对动态风险，采用触发式的方式，实时监测业务产生的所有行为，并进行智能研判，快速预警。 快速安全防护 基于相关能力可快速定位风险影响范围，同时提供详细的风险信息，帮助用户对风险进行判断，确定风险后，可立即进行加白、隔离等快速安全防护处置。 及时事后溯源 由于容器特性，在容器消逝后，运行过程中的行为数据不再保留。容器安全卫士不但会记录正在运行业务的容器及相关信息，对已经消逝的容器也会对其详细行为信息进行保留，以防止事后发现安全事件无法溯源的问题。

为什么不能直接访问Web应用防火墙（边缘云版）生成的CNAME域名？ Web应用防火墙（边缘云）生成的CNAME域名仅用于DNS解析，将流量通过修改DNS解析，引导至天翼云边缘云节点，不能直接访问。如果直接访问CNAME域名，可能显示504页面。 CNAME的作用 获取服务返回的CNAME，并将域名或者业务的DNS解析指向天翼云提供的CNAME，这样访问的请求才能转发到边缘云节点上，达到安全防护效果。 如何添加CNAME记录 您可以前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。 具体操作可参考配置CNAME。 在Web应用防火墙控制台（边缘云版）能查看到攻击者IP吗？ 可以，可通过Web应用防火墙（边缘云版）控制台的“安全分析 > WAF攻击报表”页面查看攻击数TOP10的攻击者IP。 另外，通过“日志管理 > WAF攻击日志”页面查看所有的攻击日志，每条攻击日志都有记录对应的攻击者IP。 是否能跨账号使用CDN+DDoS高防（边缘云版）+Web应用防火墙控制台（边缘云版）？ 您需要在相同账号订购三款产品。 开通Web应用防火墙（边缘云版） 开通CDN加速服务 开通DDoS高防（边缘云版）服务

本文主要介绍云服务备份的计费样例。 计费场景 某用户在2023/03/18 15:00:00在苏州购买容量为100GB的按需计费的云主机备份存储库A，其中备份数据占用40GB存储库空间。用了一段时间后，因为该备份存储库打算长期使用下去，于2023/03/20 10:00:00将备份存储库A转为包年/包月计费，购买时长为1个月。那么在3~4月份，该云服务备份总共产生多少费用呢？ 计费构成分析 可以将云服务备份的使用阶段按照计费模式分为两段：在2023/03/18 15:00:00 ~ 2023/03/20 10:00:00期间为按需计费，2023/03/20 10:00:00 ~ 2023/04/20 23:59:59期间为包年/包月计费。 按需计费 在2023/03/18 15:00:00 ~ 2023/03/20 9:00:00期间按照100GB备份存储库A计费，计费时长为42小时，费用为：0.00028元/GB/小时100GB42小时1.176元 包年/包月计费 在2023/03/20 10:00:00 ~ 2023/04/20 23:59:59期间为包年/包月计费，计费时长为1个月， 0.210020元/月。 由此可见，在3~4月份，该云服务备份总共产生的费用为：1.176+2021.176元。 注意 上述价格仅供参考，详细的资费项费率标准请参见产品规格和价格。

本章节主要介绍翼MapReduce的安全增强特性。 翼MR作为一个海量数据管理和分析的平台，具备高安全性。翼MR主要从以下几个方面保障用户的数据和业务运行安全。 网络隔离 整个系统部署在公有云上的虚拟私有云中，提供隔离的网络环境，保证集群的业务、管理的安全性。结合虚拟私有云的子网划分、路由控制、安全组等功能，为用户提供高安全、高可靠的网络隔离环境。 资源隔离 翼MR服务支持资源专属区内部署，专属区内物理资源隔离，用户可以在专属区内灵活地组合计算存储资源，包括专属计算资源+共享存储资源、共享计算资源+专属存储资源、专属计算资源+专属存储资源。 主机安全 翼MR支持与公有云安全服务集成，支持漏洞扫描、安全防护、应用防火墙、堡垒机、网页防篡改等。针对操作系统和端口部分，提供如下安全措施： 操作系统内核安全加固 更新操作系统最新补丁 操作系统权限控制 操作系统端口管理 操作系统协议与端口防攻击 应用安全 通过如下措施保证大数据业务正常运行： 身份鉴别和认证 Web应用安全 访问控制 审计安全 密码安全 数据安全 针对海量用户数据，提供如下措施保障客户数据的机密性、完整性和可用性。 容灾：翼MR支持将数据备份到OBS（对象存储服务）中，支持跨区域的高可靠性。 备份：翼MR支持针对DBService、NameNode、LDAP的元数据备份和对HDFS、HBase的业务数据备份。

本节介绍了Tesla驱动及CUDA工具包获取方式的操作场景、Tesla驱动下载地址、CUDA工具包下载地址。 操作场景 使用GPU加速型云主机时，需确保已安装Tesla驱动和CUDA工具包，否则无法实现计算加速功能。本节内容提供Tesla驱动及CUDA工具包下载地址，请根据实例的类型，选择具体的驱动版本。 Tesla驱动及CUDA工具包安装操作指导请参考GPU加速型实例安装Tesla驱动及CUDA工具包。 Tesla驱动下载地址 请单击NVIDIA驱动下载（< 表 Tesla驱动产品类型对应关系 实例类型 产品类型（Product Type） 产品系列（Product Series） 产品（Product） :::: P2v Tesla VSeries V100 P1 Tesla PSeries P100 Pi2 Tesla T Series T4 G5 Tesla VSeries V100 CUDA工具包下载地址 表 P2v实例CUDA工具包下载地址 实例类型 操作系统 CUDA版本 下载路径 CPU架构 ::::: P2v (V100) CentOS 7.7 64bit 9.2/10.1 内核版本不高于3.10.0957.5.1.e17.x8664时可以安装9.2版本的CUDA工具包。 9.2版本：< 10.1版本： < x8664 P2v (V100) EulerOS 2.5 64bit 9.2 9.2版本：< 10.1版本： < x8664 P2v (V100) Ubuntu 16.04 64bit 9.2/10.1 内核版本不高于4.4.0141generic时可以安装9.2版本的CUDA工具包。 9.2版本：< 10.1版本： < x8664 P2v (V100) Windows Server 2019 Standard 64bit 9.2/10.1 9.2版本：< 10.1版本： < x8664 P2v (V100) Windows Server 2016 Standard 64bit 9.2/10.1 9.2版本：< 10.1版本： < x8664 P2v (V100) Windows Server 2012 R2 Standard 64bit 9.2/10.1 9.2版本：< 10.1版本： < x8664 表 P1实例CUDA工具包下载地址 实例类型 操作系统 CUDA版本 下载路径 CPU架构 ::::: P1 (P100) CentOS 7.3 64bit 9 < x8664 P1 (P100) Ubuntu 16.04 64bit 9 < x8664 P1 (P100) Windows Server 2012 R2 Standard 64bit 9 < x8664 表 Pi2实例CUDA工具包下载地址 实例类型 操作系统 CUDA版本 下载路径 CPU架构 ::::: Pi2(T4) CentOS 7.5 64bit 10.1 < x8664 Pi2(T4) Ubuntu 16.04 64bit 10.1 < x8664 Pi2(T4) Windows Server 2016 Standard 64bit 10.1 < x8664 表 G5实例CUDA工具包下载地址 实例类型 操作系统 CUDA版本 下载路径 CPU架构 ::::: G5.8xlarge.4 (V100直通) CentOS 7.5 64bit 10.1 < x8664 G5.8xlarge.4 (V100直通) Windows Server 2016 Standard 64bit 10.1 < x8664 G5.8xlarge.4 (V100直通) Windows Server 2012 R2 Standard 64bit 10.1 < x8664

配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择弹性文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动。 计费模式 可以选择按需计费或者包年包月。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。 如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，默认为Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 WaitForFirstConsumer模式： 该模式将延迟 PV的绑定和制备，直到使用该 PVC的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 支持扩容 默认该开关是打开的，一般也建议打开。 如果关闭该开关，则使用该存储类的pvc，无法被扩容。 挂载选项 挂载参数，提供了一些建议参数，用户可根据自己的情况实际定制相关参数。 比如设置挂载参数为： vers：表示指定 NFS 协议的版本 wsize：表示指定了 NFS 协议中用于写入的数据块大小（以字节为单位），设置较大的写入块大小可以提高写入性能 rsize：类似于 wsize，但用于读取的数据块大小 注意 请务必在挂载时使用noresvport参数，该参数可以在网络故障时自动切换端口，保障网络连接，防止文件系统卡住。挂载参数的说明参见 参数 弹性文件存储类型：参数键为type，支持参数值如下： capacity：SFS Turbo标准型 performance：SFS Turbo性能型 可用区：选择随机，或者指定具体的某个可用区。建议与存储产品确认，哪些可用区有并行文件，再进行选择。 存储加密：选择加密后，需要选择具体的秘钥。用户需要提前创建好秘钥，供ccse控制台调用，当前仅支持默认秘钥和按需秘钥。

接口描述 开启或关闭PostgreSQL历史事件功能 请求方法 POST URI /v1/event/modifyactioneventpolicy 请求参数 名称 位置 类型 必选 说明 enableEventLog query Boolean 是 开启或关闭历史事件功能 响应参数 名称 二级节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 所有的返回信息都以JSON形式保存 enableEventLog Boolean 历史事件开启情况 true：开启 false：关闭 示例 请求示例 /v1/event/modifyActionEventPolicy { "enableEventLog":false } 响应示例 { "message": "SUCCESS", "returnObj": { "enableEventLog": true }, "statusCode": 800 } 错误码 访问ErrorCodes说明文档查看更多错误码。

接口描述 本接口可用于切换非基础版Postgresql实例的主备实例，切换主备实例后，原来的备实例成为主实例并承担业务流量。 请求方法 POST URI /v1/node/switch 请求参数 名称 位置 类型 必选 说明 prodInstId query Long 是 实例id nodeId query Long 是 节点id 响应参数 名称 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 所有的返回信息都以JSON形式保存 示例 请求示例 /v1/node/switch { "prodInstId":1, "nodeId":1 } 响应示例 { "message": "SUCCESS", "returnObj": null, "statusCode": 800 } 错误码 访问ErrorCodes说明文档查看更多错误码。

天翼云网站安全监测控制台帮助您快速新增域名，并完成监测项任务配置操作，同时提供统计分析和报告下载等服务，帮助您对业务情况进行跟踪管理。 网站安全监测控制台概览页： 1、左侧栏导航 功能 概述 概览 可展示近1天、近7天最高3个月时间跨度数据，数据内容包括风险数、告警数、任务执行数、风险变化趋势、启用中域名数。同时展示风险和告警预览可一键跳转处理。计费详情展示产品订购情况。 配置管理 新增域名、管理删除已有域名，并可以对已新增的域名进行对应监测任务配置和管理，同时提供监测机节点IP列表供查询。 风险记录 查询告警记录和风险记录，管理风险记录进行相应加白、URL封禁等操作，风险日志详情有助于定位风险。 安全分析 查看5类监测项的在线看板并管理漏洞报告和网站安全评估报告。 扩展功能 包含封禁管理和态势感知大屏，风险日志操作封禁后可在封禁管理内操作解禁和重新封禁等，态势感知大屏实时一站式展示安全数据。 计费详情 展示基础套餐和扩展服务的订购详情及订购状态。 2、概览页筛选条件 筛选统计时间周期，作用域包含总览指标、风险变化趋势。默认选择7天的数据进行汇总统计显示，最长可选择3个月时间跨度。 3、概览页总览指标 以客户为维度，展示统计周期限定下，总计的风险数、告警次数和任务执行次数。 4、概览页风险变化趋势 以客户为维度，折线图形式，展示统计周期限定下，风险数变化的趋势。 5、概览页风险待处理列表 以客户为维度，时间倒序展示当前发现的风险原因、对应监测项、相关任务名和风险发现时间。 6、概览页域名统计/任务统计 以客户为维度，展示当前已启用服务的域名数总和，以及当前正开启中的任务数总和。 7、概览页最新告警内容 以客户为维度，时间倒序展示当前发生告警的域名和对应产生告警的监测项，可以一键跳转至告警中心查看详情。 8、概览页计费详情 展示主套餐和扩展服务状态。

本节介绍了XEN实例变更为KVM实例(Windows自动配置)的操作场景、约束与限制、操作流程、后续处理。 操作场景 XEN实例变更为KVM实例前，需要确保Windows弹性云主机已安装了PV driver和UVP VMTools。 本节指导您安装PV driver和UVP VMTools，将XEN实例变更为KVM实例。 说明 XEN实例：S1、C1、C2、M1型弹性云主机。 KVM实例：参考 规格清单（x86） “XEN实例”变更为“KVM实例”必须先安装对应的驱动，然后再变更规格。否则，规格变更后的弹性云主机不可用（如操作系统无法启动等问题）。 Linux操作系统的“XEN实例”变更为“KVM实例”时，优先推荐使用 XEN实例变更为KVM实例（Linux自动配置） 约束与限制 Windows操作系统云主机如果存在跨区卷，不支持变更规格，否则可能会导致数据丢失。 对于XEN实例，当挂载的VBD磁盘超过24块时，不支持将规格变更为KVM实例。 系统支持将“XEN实例”变更为“KVM实例”，不支持将“KVM实例”变更为“XEN实例”。 操作流程 XEN实例变更为KVM实例的操作流程如下图所示。 图 Windows云主机变更流程 具体的变更操作如下表所示。 表 XEN实例变更为KVM实例 序号 任务 步骤1 步骤1：制作系统盘快照 步骤2 步骤2：检查UVP VMTools版本 步骤3 步骤3：安装或升级UVP VMTools 步骤4 步骤4：变更规格 步骤5 步骤5：检查磁盘挂载状态

本节介绍了Linux弹性云主机挂载NVMe SSD盘异常,如何修复的问题描述、处理方法。 问题描述 挂载有NVMe SSD盘的Linux弹性云主机（如P1型云主机）发生故障时，需联系管理员通过异地重建的方式进行恢复，新建故障弹性云主机。 如果故障弹性云主机在/etc/fstab中设置了NVMe SSD盘的开机自动挂载功能，对于新建弹性云主机，系统盘恢复，但挂载的NVMe SSD盘无文件系统，无法实现开机自动挂载，导致云主机启动时进入紧急模式，如下图所示。 图 紧急模式 为保证新建弹性云主机的正常使用，需要您手动删除/etc/fstab中的挂载信息，具体操作请参见本节内容。 说明 NVMe SSD盘发生故障后，数据会丢失。本指导仅用于恢复弹性云主机自动挂载NVMe SSD盘的操作，不能恢复盘上的数据。 处理方法 1. 登录弹性云主机。 2. 输入root用户的密码，进入弹性云主机。 图 登录云主机 3. 执行以下命令，编辑/etc/fstab文件。 vi /etc/fstab 4. 删除NVMe SSD盘的挂载信息并保存，如下图所示。 图 删除自动挂载信息 5. 执行以下命令，重启弹性云主机。 reboot 6. 重启后，弹性云主机恢复正常，可以正常登录，如下图所示。 图 登录弹性云主机

本文介绍了并行文件服务HPFS的计费模式、计费项、计费周期、计费公式以及产品定价等相关内容。 计费模式 并行文件服务HPFS会根据存储类型、配置容量大小和时长进行计费。当前仅提供HPC性能型存储类型，以及按需计费的计费模式。 按需计费（后付费）：按照创建文件系统时配置容量结算费用，先使用，后付费，适用于业务用量经常有变化的场景。 计费项 根据存储类型和规格，按照创建文件系统时配置的容量大小计费，并非按照上传文件的使用量。 在使用HPFS过程中，除并行文件系统配置容量的计费项费用之外，还可能涉及以下费用： 弹性IP费用 当您使用文件系统上传或下载数据、将本地数据迁移至HPFS时，通过将文件系统挂载至一台连接公网的物理机上实现数据上传和下载。如您占用弹性IP提供的公网带宽，具体费用信息，请参考弹性IP计费说明。 计费周期 HPFS按小时为周期统计，即每小时结算一次，须保证您的账户余额充足，避免可能因欠费影响业务。 计费公式 存储空间费用 存储类型单价（元/GB/小时） 文件系统配置容量大小（GB） 使用时长（小时）。 产品定价 HPFS按需计费定价，请参见HPFS产品价格。 卡券管理 优惠券使用规则请参见天翼云帮助中心费用中心优惠券使用。 代金券使用规则请参见天翼云帮助中心费用中心代金券使用。

本节介绍了为业务同时部署DDoS高防（边缘云版）和Web应用防火墙（边缘云版）的操作步骤。 使用场景 如果您的网站既需要进行流量型DDoS攻击的防护，同时也需要对精巧的Web应用层攻击时进行防御。使用单一的防护产品可能无法起到全面的防护效果，您可以在Web应用防火墙（边缘云版）的基础上，叠加DDoS高防（边缘云版）进行联合防御。 配置前提 已分别开通DDoS高防（边缘云版）及Web应用防火墙（边缘云版）。 网站域名需完成ICP备案，并需要持续维护其有效性。 说明 若您抗DDoS攻击的重要性显著高于加速需求，请先在DDoS高防（边缘云版）控制台新增域名，再到Web应用防火墙（边缘云版）新增域名，该添加顺序会优先使用天翼云高防DDoS节点进行域名防护。 业务流程 由于DDoS高防（边缘云版）及Web应用防火墙（边缘云版）采用统一的边缘云网络架构和底座，无需重复进行网站接入配置，并且也无需考虑不同产品串联时网络层转发的顺序问题，需注意防护配置的生效顺序：DDoS高防（边缘云版）优先于Web应用防火墙（边缘云版）。 （非统一架构的产品叠加，需确定不同产品之间网络层转发顺序，如先经过DDoS高防再经过Web应用防火墙，那么DDoS的高防的回源地址需与Web应用防火墙的接入地址相匹配，而不能直接配置为源站地址。非统一架构的产品叠加会增加网络配置复杂度。）

常见的购买类问题Q&A。 如何开通ECX服务？ 可前往ECX控制台自助购买ECX服务，目前已开放边缘虚拟机、边缘网络、边缘裸金属自助购买服务，裸金属开放资源比较少，部分资源已售罄，如需购买您可以先联系您的客户经理、线上咨询或拨打客服热线电话寻求帮助，热线电话：4008109889转1咨询。 为什么不能购买包年包月或按需计费产品？ 不能购买的常见原因如下： 您的账号未通过实名认证，如需购买ECX产品，必须完成实名认证。如果是企业或组织，请联系您的客户经理完成认证。 您选购的实例规格占用的vCPU、内存、VPC或其他指标已超出了账号的配额，请通过 天翼云官网我的工单管理新建工单，或联系您的客户经理提高配额。 您的账号没有自助下单的权限，或没有购买按需计费产品的权限，请联系您的客户经理修改权限。 购买包年包月的ECX虚拟机时，是否可以选择带宽按使用流量计费？ 可以，需单独购买包年包月的虚拟机、按需计费的带宽，然后在ECX控制台边缘虚拟机实例 或ECX控制台边缘网络公网IP&带宽中进行绑定即可。 购买边缘虚拟机实例时，系统盘建议设置多大？ “宿主共享型”实例规格会指定系统盘的大小，其他类型实例规格可用户自定义，系统允许系统盘设置在20～500GB之间，非特殊情况，推荐设置在100GB以内。考虑到部分镜像对系统盘大小有要求，建议添加数据盘，数据优先存储在数据盘。

本文将向您介绍创建终端节点服务的步骤,以便您根据实际需求进行操作。 操作场景 终端节点服务是将云服务或用户私有服务配置为VPC终端节点支持的服务。目前支持"接口"类型的终端节点服务的创建。 约束及限制 单个VPC可以创建终端节点服务实例数为20个。 单个终端节点服务可连接终端节点实例数为500个。 单个终端节点只能连接1个终端服务节点实例。 前提条件 在同一VPC内已创建了后端资源。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“网络>VPC终端节点”，进入“终端节点”页面。 4. 在左侧导航栏选择“终端节点服务”，点击“创建终端节点服务”。 5. 在“创建终端节点服务”页面根据“接口型”终端节点服务配置说明配置参数，点击“确定”完成创建。 “接口型”终端节点服务配置说明 参数 说明 地域 终端节点服务所在地域，页面左上角可切换地域。不同地域的资源之间内网不互通，为了最优化的性能，请选择靠近您的地域，以降低网络时延并提高访问速度。 名称 终端节点服务的名称。名称由数字、字母、中文、、组成，不能以数字、和开头。 VPC 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，当前支持“接口”类型终端节点服务。 IP地址类型 服务IP地址类型，IPV4：仅自持IPV4类型终端节点连接，实现IPV4地址私网访问服务，双栈：支持IPV4和IPV6类型终端节点连接，实现IPV4和IPV6地址的私网访问服务。选择双栈类型时，挂载的后端服务资源池必须也是双栈类型资源。 是否自动接收连接 是否自动接收终端节点与终端节点服务的连接，审核权由终端节点服务控制。 可选择“是”或“否”。选择“否”不自动接受连接，则创建的终端节点为“待审核”状态，需要终端节点服务审核后方可使用。 服务计费 是否开启服务计费，可选择“是”或“否”。 默认连接服务的终端节点费用有终端节点创建账户支付，如服务开启服务计费后，则连接服务的终端节点费用将由服务所在账户支付，功能仅创建时指定，服务创建后不可修改。 端口映射 终端节点服务与终端节点建立连接，支持通过TCP/UDP协议进行通信。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。 服务端口和终端端口取值范围1～65535，单次操作最多可添加20条端口映射。 访问终端节点服务时，通过"终端端口 → 服务端口"的方式进行数据传输和通信。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 云主机：作为服务器使用。 物理机：作为服务器使用。 虚拟IP：适用于需要主备高可靠的业务。 内网负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。此处选择“内网负载均衡”。 说明：终端节点服务配置的后端资源所在安全组，安全组添加的规则是白名单，需要添加源地址为198.19.128.0/20的白名单入方向规则，详细操作请参考《虚拟私有云用户指南》中的添加安全组规则。 后端资源子网 选择后端资源所属的子网。 描述（可选） 可添加终端节点服务相关的描述。

本文主要介绍DRDS计费项。 DRDS计费项由实例规格组成，实例规格包含CPU、内存，根据实例规格和购买时长产生费用，支持包年包月、按需付费的计费方式。更多关于计费方式的信息，请参见计费模式。 DRDS本身不存储数据，数据存储于后端关联的MySQL中。DRDS需要结合MySQL使用，MySQL的计费模式参见 关系数据库MySQL版​>计费说明。

本节主要介绍冷热数据分离。 GeminiDB Influx在同一数据保留策略（Retention Policy，简称RP，包含数据保留时长，备份个数等信息）里实现了冷热数据分离，系统会根据RP中用户设置的冷热数据分界线自动将符合转冷条件的热数据归档到冷存储中。 背景 在海量大数据场景下，时序数据冷热分明，即随着时间推移历史的时序数据被查询和分析的概率越低，同时因为这些数据占用量比较大，降低这部分冷数据的存储容量将会极大的节省企业的成本。GeminiDB Influx提供了冷热分离功能，使用低成本的介质存储冷数据，并通过极简配置就能极大的降低存储成本。 GeminiDB Influx对数据的冷热分离是基于RP的，用户首先需要在RP中设置冷热数据分界线，系统会自动根据此冷热设置将相应的冷数据归档到冷存储中。冷数据访问和普通访问没有任何差异，对用户而言是完全透明的，在查询的过程中，系统会根据查询条件中的时间范围（TimeRange）自动地从热数据区或冷数据区查询数据。 原理简介 用户在RP中配置热数据的保存时长。数据在写入时先保存在热存储上，GeminiDB Influx根据数据中的时间戳判断数据的冷热，如果数据的时间戳在热数据保存时长之内，则是热数据，如果是保存时长之前的数据，则是冷数据，系统自动归档到冷存储上。 图1 原理图

本章节主要介绍天翼云物理机的使用场景。 对安全和监管高要求的场景 金融、证券等行业对业务部署的合规性，以及某些客户对数据安全有苛刻的要求。采用物理机部署，通过网络隔离、专线接入等方式确保独享资源，数据安全隔离，保障用户数据的安全。 核心数据库 泛政务、金融、互联网等行业客户的关键业务系统的核心数据库，其业务压力大、安全隔离要求高，可通过资源专享、网络隔离、性能有保障的物理机承载，满足业务需求。尤其类似Oracle等数据库，其部署复杂，对性能要求高，推荐采用物理机部署。 大数据场景 互联网、汽车、交通、政务等行业的大数据存储、大数据分析等相关业务，客户在云上自建大数据平台，推荐采用性能更强、兼容性更高的物理机服务器承载。同时，天翼云物理机服务器支持结合对象存储服务的存算分离方案。 容器场景 电商平台、游戏、疫情核酸平台等业务弹性要求较高，性能要求更高的场景，可采用物理机容器方案，相比虚机容器，物理机容器提供更高的部署密度、更低的资源开销、更加敏捷的部署效率。基于云原生技术帮助客户实现降低云化成本目标。 高性能计算 科研、基因测序、天气预测、能源勘探、影视渲染、人工智能等高性能计算场景下，对计算能力要求高、处理的任务多、并行数据量大。天翼云物理机采用高规格物理服务与本地SAS存储进行部署，提供强大的计算能力和存储性能。高计算性能、稳定性和实时性，避免虚拟化带来的性能损耗，满足业务对服务器的高计算性能、高稳定性、高实时性的诉求。

DTS CONTAINERALL; GRANT EXECUTE ON DBMSLOGMNRD TO C DTS CONTAINERALL; oracle 12c关闭CDB模式 如果仅作测试用可直接赋予最高权限，用SYS用户登录Oracle，如下创建DTS迁移用户： CREATE USER DTS IDENTIFIED BY " " DEFAULT TABLESPACE USERS QUOTA UNLIMITED ON USERS; GRANT DBA TO DTS; GRANT SELECT ON SYS.OBJ$ TO DTS; GRANT SELECT ON SYS.COL$ TO DTS; 如果需要授予数据迁移用户的精准权限，用SYS用户登录Oracle，如下创建DTS迁移用户： 要求该用户必须是CDB下的用户，且授权的权限必须在所有容器内都具备 CREATE USER DTS IDENTIFIED BY " " DEFAULT TABLESPACE USERS QUOTA UNLIMITED ON USERS; GRANT CREATE SESSION TO DTS; GRANT SET CONTAINER TO DTS; GRANT FLASHBACK ANY TABLE TO DTS; GRANT SELECT ANY TABLE TO DTS; GRANT INSET ANY TABLE TO DTS; GRANT UPDATE ANY TABLE TO DTS; GRANT DELETE ANY TABLE TO DTS; GRANT CREATE ANY TABLE TO DTS; GRANT DROP ANY TABLE TO DTS; GRANT COMMENT ANY TABLE TO DTS; GRANT LOCK ANY TABLE TO DTS; GRANT CREATE SEQUENCE TO DTS; GRANT SELECT ANY SEQUENCE TO DTS; GRANT SELECT ANY TRANSACTION TO DTS; GRANT SELECT ANY DICTIONARY TO DTS; GRANT SELECT ON SYS.OBJ$ TO DTS; GRANT SELECT ON SYS.COL$ TO DTS; GRANT SELECTCATALOGROLE TO DTS; GRANT EXECUTECATALOGROLE TO DTS; GRANT LOGMINING TO DTS; GRANT EXECUTE ON DBMSLOGMNR TO DTS; GRANT EXECUTE ON DBMSLOGMNRD TO DTS; 2. 创建目标库DTS用户 如果仅作测试，可直接使用TeleDB最高权限的用户root。 如果需要使用精准权限的用户，用root用户登录TeleDB，如下创建DTS迁移用户： CREATE USER dts WITH ENCRYPTED PASSWORD ' '; GRANT CREATE, TEMPORARY, CONNECT ON DATABASE TO dts; 如果要做增量迁移且迁移的表包含外键，那么除了上述权限外，还要保证该用户具有在会话级别执行SET sessionreplicationrole 'replica'的权限。可登录TeleDB控制台，将该参数设置并重启。 3. 如果有增量迁移，需按照如下方法开启Oracle的归档日志 非RAC模式： SELECT name,logmode from V$DATABASE; 如果没有开启，使用sqlplus且用SYS用户以sysdba方式登录后，依次执行以下命令： SHUTDOWN IMMEDIATE; STARTUP MOUNT; ALTER DATABASE ARCHIVELOG; ALTER DATABASE OPEN; RAC模式： 在RAC ORACLE 的某一个节点的 shell 中，关闭、启动、挂载某一个数据库： srvctl stop database d srvctl start database d o mount 使用DBA 权限账号登陆该数据库，并开启归档日志： alter database archivelog; 在RAC ORACLE 的某一个节点的 shell 中, 重启数据库： srvctl stop database d srvctl start database d 4. 如果有增量迁移，需开启Oracle的详细补充日志 使用以下命令，确认supplemental logging 是否开启： SELECT supplementallogdatamin, supplementallogdatapk, supplementallogdataall FROM V$DATABASE; 如果三列存在NO，那么先开启补充最小日志supplementallogdatamin： ALTER DATABASE ADD SUPPLEMENTAL LOG DATA; 开启全补充日志，增加ALL、主键、Unique Index： ALTER DATABASE ADD SUPPLEMENTAL LOG DATA(ALL, PRIMARY KEY, UNIQUE) COLUMNS; 5. 确保所有容器处于打开状态 如果有增量迁移，且CDB模式开启，且有多个容器数据库，则要保证这写可插拔的容器数据库处于打开状态，不然无法启动增量迁移。 注意必须用SYS用户执行 SELECT conid, name, openmode, restricted FROM v$pdbs; 以上查询结果中，除了SEED容器外，OPENMODE字段的值必须为READ WRITE。 6. 确认迁移对象中是否存在无主键表 如果勾选增量迁移，迁移对象中不能包含无主键表: 替换 YOURSCHEMANAME 为你的模式名 SELECT t.tablename FROM alltables t LEFT JOIN allconstraints c ON t.owner c.owner AND t.tablename c.tablename AND c.constrainttype 'P'WHERE t.owner ' 使用以上查询语句可以筛选出某个schema下的所有无主键表，将这些表排除于增量迁移之外。 7. 确认归档日志保留时间 如果勾选增量迁移，为了避免增量迁移过程中由于一些故障导致同步中断的情况，需要至少保留37天的归档日志来确保处理这些情况的窗口期。否则，可能导致无法将同步从故障中恢复。 RMAN> SHOW RETENTION POLICY; 8. 确认待迁移对象中是否包含触发器 如果将触发器作为结构的一部分，在DTS的调度逻辑上，触发器会先于全量迁移被迁移到TeleDB。这样可能会影响到全量迁移，导致数据不一致。 建议将触发器放到全量迁移之后，再新建一个迁移任务进行迁移。 9. 数据及业务信息统计 如果为非测试任务，需要在迁移之前统计业务以及迁移信息，方便进行迁移任务规划。 资源信息： 源库规格信息，例如4C8G + 500G + SSD 目标库磁盘信息，例如4C8G + 500G + SSD 网络情况，例：为测试环境纯内网传输，无复杂的网络拓补结构 数据信息： 总数据量，例如30GB 总库表数量，例：40个库，8000张表，2000个视图，5个触发器 每日新增数据量级，例如：一天的归档日志新增大概100GB 是否所有表都有主键，建议迁移前完善主键，提高性能，方便运维。如果存在无主键的表，则增量阶段源端对应表的增、删、改操作不会同步至目标端，可能导致数据不一致，请谨慎评估。 业务类： 数据迁移是否可停业务，例：能/不能 增量迁移情况，例：开启增量迁移，持续时间5天 可停业务时间长度，例：服务停机时间预计48小时 业务中是否存在百万级别的大事务，例：存在，涉及对表CLOUD.LOGS进行大事务操作，存在一个存储过程用不带where条件的delete语句定期清理该表。 操作步骤 1. 订购DTS数据迁移实例。 2. 进入实例配置页面。DTS实例创建成功后，进入【数据迁移】实例列表页面，上一步骤购买成功的实例在实例列表中显示状态为“待配置”，进入实例配置页面进行配置： 3. 配置源库及目标库信息。 1. 进入实例配置第一个步骤的【配置源库及目标库信息】页面，填入源库与目标库的相关配置信息，包括数据库类型、IP地址端口、数据库账号、数据库密码等信息。 2. 完成上述信息的填写后，单击源数据库和目标数据库的测试连接按钮进行数据库连接测试，检查数据库能否正常连接。 3. 注意 ORACLE如果要进行增量同步，不能使用SYS/SYSTEM系统用户。 4. 配置迁移对象及高级配置。 源库和目标库连通性测试成功后，点下一步按钮，进入实例配置第二个步骤的【配置迁移对象及高级配置】页面，在“源库对象”中选择要迁移的源库对象，选中后单击“>”按钮，将待迁移对象移动到“已选择对象”中。 5. 预检查和启动迁移。 完成迁移对象和高级配置后，单击“下一步预检查”，进入实例配置第三个步骤的【预检查】页面。预检查会检查如下列表信息，并给出检查结果，用户可以依据检查结果进行下一步操作。 检查内容 检查点 检查源库连通性 源库网络能够连通 检查目标库连通性 目标库网络能够连通 检查源库用户权限 若不包含增量，检查提供的源库账号是否具有以下权限: CREATE SESSION；CATALOGROLE、ANY DICTIONARY、待迁移表的select权限若包含增量，还需要检查以下权限：SET CONTAINER,FLASHBACK ANY TABLE,SELECT ANY TABLE,SELECTCATALOGROLE,EXECUTECATALOGROLE,SELECT ANY TRANSACTION,LOGMINING,CREATE TABLE,LOCK ANY TABLE,CREATE SEQUENCE,EXECUTE ON DBMSLOGMNR,EXECUTE ON DBMSLOGMNRD,SELECT ANY DICTIONARY,SELECT ON SYS.OBJ,SELECT ON SYS.COL,CREATE ANY TABLE,COMMENT ANY TABLE,DROP ANY TABLE 检查目标库用户权限 检查提供的目标库账号是否具有登录信息database下创建schema的权限。 检查目标库PostgreSql版本 目标库的PostgreSql版本是否不低于9.2 检查待迁移表是否存在主键 检查待迁移表是否都存在主键，只有全量迁移时，如果发现存在没有主键的表，将提出警告（无主键的表可能会导致数据不一致）；勾选了增量迁移，如果发现存在没有主键的表，预检查将不通过（增量迁移功能依赖主键） 检查待迁移表约束完整性 检查待迁移表依赖的表对象是否包含在待迁移对象中，若存在依赖的对象未被选择，检查不通过 检查源库最大连接数 检查源库最大连接数是否不小于300，若最大连接数小于300，给出告警 检查目标库最大连接数 检查目标库最大连接数是否不小于300，若最大连接数小于300，给出告警 检查同名对象存在性 检查目标库中是否存在和待迁移库同名的库（映射后），若存在，检查该库下面是否存在同名的表（映射后）。如果有，将提出警告。 检查源数据库Oracle的表字段的数据类型能否都迁移到目标库 待迁移表中不能存在Oracle的独有的字段类型，ROWID、UROWID、XMLTYPE、BFILE、SDOGEOMETRY等类型 检查源库对象是否仅大小写不同 迁移对象中是否包含仅大小写不同的对象时，预检查不通过 检查待迁移库名合法性 若待迁移库名中包含非法字符，检查不通过 检查待迁移表名合法性 若待迁移表名中包含非法字符，检查不通过 检查源库字符集是否为支持的字符集 源库字符集支持以下字符集：ZHS16GBK,AL32UTF8,UTF8,US7ASCII,WE8MSWIN1252若源库字符集不属于以上字符集，预检查将不通过 检查当前登录账号是否个人账号 勾选增量时，检查源库的迁移用户是否为个人账号，若账号为系统用户，检查不通过 检查源库是否开启归档日志 勾选增量时，检查源库是否开启归档日志，若未开启，检查不通过 检查源库是否开启补充日志 勾选增量时，检查源库是否开启补充日志，若未开启，检查不通过 如果预检查通过，可单击【预检查】页面底部的“启动迁移”按钮，开始迁移任务。或者直接单击”数据迁移“列表，返回数据迁移主界面，任务将显示为”未启动“状态。 勾选任务，单击 开始任务 ，任务将变为 运行中 ，直到全量迁移完成，或者进入增量迁移状态。

规格类型 架构 CPU（核） 内存（GB） 通用增强型 X86 8 16 通用增强型 X86 16 32 通用增强型 X86 32 64

产品优势 分布式消息服务MQTT具有协议丰富、安全可靠、低成本高性能、消息互通等优势，适用于大规模分布式系统中的消息传递和处理场景。 协议丰富： 兼容支持原生多种标准协议，如MQTT、MQTTSN、CoAP、LwM2M；兼容任何支持MQTT协议的 SDK覆盖绝大多数移动端开发平台及开发语言。 安全可靠： 数据安全，支持SSL加密通信，提供身份认证，数据传输更安全可靠。 低成本高性能： 稳定承载大规模终端设备连接，资源占用少；消息路由快速低延时，单集群支持百万规模的路由。 更多信息请参见产品优势。 应用场景 分布式消息服务MQTT可以用于许多应用场景，其灵活性和轻量级特性使其适用于各种需要实时消息传输和发布/订阅模型的应用，如物联网通信、远程监控及控制、传感器数据采集等。 物联网（IoT）通信 MQTT广泛用于连接和管理大规模的物联网设备。它允许传感器、嵌入式设备和其他物联网终端之间进行实时数据通信，以监测环境、收集数据和实现智能控制。 远程监控和控制 MQTT可用于远程监控和控制系统，如监控能源设备、工业自动化、智能家居系统等。它使操作员能够实时监测设备状态，同时可以通过发布命令来实现设备控制。 传感器数据采集 MQTT用于将传感器数据从分布式传感器网络传送到数据中心或云平台，以进行分析和处理。这对于监测环境、天气预报、农业数据收集等非常有用。 更多信息请参见应用场景。

本小节介绍服务器安全卫士的应用场景。 主机安全防护 主机安全，是企业网络安全的最后一公里，一旦被攻击会直接影响到企业业务。正因如此，国家相关法律法规对主机的入侵检测和恶意木马的防护都有严格的要求。入侵检测以生产服务器为安全防护中心，横跨物理和虚拟环境，私有云、公有云和混合云等多种云环境下物理机、云主机、虚拟机，甚至容器等工作负载，能够实时、准确地感知入侵事件，发现失陷主机，并根据入侵场景不同，提供了包括自动封停、手动隔离、黑 / 白名单和自定义处理任务等多种处理方式，让用户从根本上解决入侵事件。有主机的地方就需要主机入侵检测。 发现新型漏洞 至今已积累30000+的高价值漏洞库，包括系统/应用漏洞、EXP/POC等大量漏洞，覆盖全网90%安全防护。同时，基于Agent的持续监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出系统漏洞。更新的补丁库以及Agent探针式的主动扫描，能及时、精准发现系统需要升级更新的重要补丁，第一时间帮助用户发现潜在可被黑客攻击的危险。深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁，结合系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。

2.15 开始安装操作系统 完成上面的配置后，开始安装操作系统。 有些Linux发行版在这个系统安装界面上会有启用KDump的选项，此特性在内核崩溃时会转储内核，方便后续分析问题。Ubuntu未自动开启KDump，系统安装完成配置KDump。 等待一会儿后，安装完成。点击右下角的“Reboot System”按钮重启系统。 重启后会进入已经安装好的操作系统，可正常登录系统。 3. 安装软件、配置系统 这一步安装镜像中需要的软件，配置系统等。用户可根据自身需要进行定制，下面仅描述部分常见的软件安装与系统配置。 3.1 升级系统 升级系统，确保软件包更新到最新，减少安全风险。下面的命令升级除内核相关之外的包，其中包含bug修复相关的包。 plaintext aptget y update DEBIANFRONTENDnoninteractive aptget y upgrade DEBIANFRONTENDnoninteractive aptget y distupgrade aptget y autoremove 3.2 安装常用软件包 裸金属镜像需要支持lvm分区，常用系统包含lvm，缺少lvm的系统可通过以下方式安装。 plaintext DEBIANFRONTENDnoninteractive aptget install y iptablespersistent ifenslave dkms sysfsutils multipathtools multipathtoolsboot lvm2 xfsprogs linuxcrashdump unzip linuxtools$(uname r)

本节介绍日志中心用户指南。 概述 分布式容器云平台提供日志采集和分析能力，包括容器日志、事件日志、控制面组件日志，辅助定位集群中出现的异常问题。 日志维度 说明 容器日志 采集集群中容器应用的标准输出日志。 事件日志 配合cubeevent插件，采集集群中的event信息，并持久化到日志中。 控制面组件日志 采集控制面组件的日志，包括kubeapiserver、kubecontrollermanager、kubescheduler和etcd。 前提条件 1. 已完成集群注册，具体操作请参见 本地注册集群 / 三方云注册集群。 2. 集群已安装ctglogoperator、cubeevent插件，具体操作请参考 插件。 操作步骤 开启日志采集 1. 登陆分布式容器云平台，在左侧导航栏中选择集群资源 > 集群管理，进入注册集群列表页。 2. 在注册集群列表中点击需要配置日志采集的集群，进入单集群管理页面。 3. 在单集群管理页面导航栏中选择运维管理 > 日志中心，进入日志中心页面。 4. 在日志中心页面顶部，可切换容器日志、事件日志、控制面组件日志页签，点击下方“立即开启”按钮，配置容器日志、事件日志和控制面组件日志接入。 配置完成后，在对应页签下即可查看、搜索应用日志。

本文介绍鲲鹏、飞腾系列云主机挂载云硬盘和弹性网卡异常的解决方案。主要针对创建后立即进行绑卡/挂盘操作的场景。 问题描述 鲲鹏、飞腾系列云主机在新建、重启、启动等场景中，当云主机状态变为“运行中”后立即操作挂载云硬盘和绑定弹性网卡，可能会存在异常情况。在云主机里新挂载的云硬盘或绑定的弹性网卡无法显示，并且无法使用。不影响云主机已有的云硬盘和弹性网卡使用。 此问题主要面向通过OpenAPI发起的、在云主机状态变为“运行中”后，极短时间内进行的后续绑定/挂载操作。 原因分析 ARM架构的云主机，系统内部状态与云平台管理状态的同步，存在一个极短的时间窗口。在此窗口期内进行部分资源绑定操作，可能导致API调用失败。 解决方案与操作指引 1. 最佳实践（预防问题） 为避免此问题，建议您增加等待时间，确保云主机内部完全就绪。 操作步骤 推荐做法 不推荐做法 （1）创建ARM云主机（如鲲鹏、飞腾系列云主机） 通过OpenAPI/控制台正常创建。 （2）等待状态同步 在云主机状态变为“运行中”后，请等待约20秒。 在状态变为“运行中”后立即发起后续绑定、挂盘操作。 （3）执行后续操作 等待20秒后，再通过OpenAPI或控制台进行绑定弹性网卡或挂载云硬盘的操作。 2. 问题发生后如何解决 请提交工单，获取技术支持。

本章节为您介绍如何创建数据报表相关内容。 日志审计能够记录系统、应用程序或网络的所有活动，通过生成报表，可以将海量的日志数据转化为直观、易懂的图表和统计信息，帮助管理员快速了解系统的整体运行状况。 通过分析日志数据，可以识别系统瓶颈、性能问题以及潜在的错误，从而进行针对性的优化和改进。因此，日志审计生成报表对于保障信息安全、合规性审查、故障排除和性能优化都具有重要意义。 快速创建报表 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“审计报表 > 报表”，进入“报表”页面。 3. 选择需要新增报表的组，单击“新增报表”，进入“配置报表”页面。 说明 在配置报表前需要预先创建数据源，否则无法新建报表。 数据源创建请参考：数据源章节。 4. 按照下图示例，首先配置报表名称、标题，选择报表生成所属的“数据源”，填写报表保存在服务器端的时间。 5. 编辑报表内容，根据您业务自身需求按顺序拖拽组件至右侧空白处。 表格配置请参考下图，表格配置的字段来源于您数据源配置的相关内容。 图表配置请参考下图，根据您自身需求选择统计图类型。 6. 配置完成后单击“提交”即可完成新建报表。

本文为您介绍如何通过云审计查看云产品的操作记录。 云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景。本文为您介绍如何通过云审计查看云资源的操作记录。 前提条件 已开通云审计服务。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在控制台列表页，选择“云审计”。 4. 进入云审计控制台后，点击侧边栏“事件列表”。 5. 进入事件列表页面，事件列表上方支持通过筛选条件查询。 云审计支持五个维度的组合查询，说明如下： 时间筛选：支持快速点选近30分钟、近1小时、近1天、近7天的时间范围，也支持自定义时间范围； 读写类型：支持根据事件的读写类型进行筛选； 事件级别：支持根据事件等级进行筛选，当前事件等级包括normal（代表本次操作成功）、warning（代表本次操作失败）； 操作用户：支持根据同一租户下的不同主子账号进行筛选； 事件来源、资源类型、资源筛选：支持以资源维度进行多层级的筛选，最细粒度支持具体某个资源实例的筛选。 6. 筛选条件选择完成，点击“查询”，符合条件的事件将以列表显示出来。

案例背景 某电商平台订单处理系统采用分布式微服务架构，其概要结构图如下，核心流程通过分布式消息服务Kafka集群实现异步解耦： 订单创建：用户在前端提交订单，请求经过负载均衡器转发至订单服务集群。订单服务处理业务逻辑，生成包含订单详情的消息数据，并将该消息可靠地发送至Kafka集群的特定Topic。 下游处理：库存服务（负责扣减库存）、支付服务（负责发起支付请求）和物流服务（负责生成物流配送单）是主要的下游消费者。它们各自订阅Kafka集群中的相应Topic，并行地拉取并处理消息。 Kafka集群作为异步通信的核心，其稳定性和性能对整个订单系统的可用性至关重要。在高并发的场景下，Kafka Broker可能会面临各种异常情况，其中CPU负载过高是常见的一种，可能由突发流量洪峰、JVM垃圾回收或底层基础设施瓶颈等原因引起。Kafka Broker的CPU高负载会直接影响消息的处理速度，导致生产和消费的延迟，甚至引发整个系统的不稳定。 故障演练服务提供了分布式消息服务KafkaBroker节点CPU高负载演练动作，通过模拟这种真实的故障场景，我们可以量化分析Kafka集群在Broker节点CPU受限时的表现，验证订单处理系统及其下游服务对Kafka异常的容忍度和应对能力，并提升团队在真实故障发生时的异常响应与恢复能力。

URL跟踪 在某些场景下，用户需要关注某个重要应用调用的拓扑关系，称之为URL跟踪分析，比如电子商务系统的创建订单的接口调用。在APM系统，由于URL跟踪消耗资源较大，并不会默认将入口的url调用标示为URL跟踪，需要用户自己将某个环境的某个监控项的调用标示为URL跟踪。APM对于总体URL跟踪标示个数有限制，对于标示为URL跟踪的接口，APM会重点跟踪由此引起的下游的一系列调用关系。通过URL跟踪可以让用户跟踪某一些重要接口调用与下游的服务调用关系，从更细粒度角度发现问题。 标签管理 APM支持各业务下的环境及应用进行标签管理，按照业务需求对不同的环境及应用添加对应的标签，用来划分业务，方便对业务进行管理。 智能告警 接入APM的应用在达到设定的告警条件时，会触发告警并及时上报信息，以便用户在第一时间获取到服务的异常状况，进而迅速处理故障，避免造成业务损失。 APM支持配置告警模板，可以在模板下创建多个告警策略，并将这些策略绑定应用到多个节点上。 智能告警可以帮助用户将应用的告警以HTTP、HTTPS或邮件的方式发送给指定的终端。 Agent管理 通过Agent管理您可以查看当前已接入Agent的部署状态及运行状态，并且能对接入的Agent进行停止、启动和删除操作。

漏洞统计 在漏洞统计页面您可以查看以下信息： 漏洞等级分布 ：在左侧饼图区域，可查看漏洞总数及各风险等级漏洞的占比情况。 漏洞趋势 ：中间折线图展示所选时间范围内漏洞数量的变化趋势，可据此分析漏洞数量的波动情况。 漏洞未修复终端TOP5：可查看排名前五的未修复终端设备名称、IP 地址以及未修复紧急漏洞数量。 漏洞视图 1.为方便您掌握企业最新漏洞情况，漏洞视图仅统计漏洞的最新状态，不统计历史数据。 2.以下是漏洞视图的字段说明。 字段名称 说明 漏洞名称 显示漏洞的名称。 漏洞等级 分为紧急、高危、中危、低危、其他。 补丁编号 显示用于修复漏洞的补丁编号。 最新漏洞发现时间 漏洞最近一次被发现的时间。 未修终端 显示在选定时间范围内，尚未完成漏洞修复的终端设备数量。 已修终端 显示在选定时间范围内，尚已完成漏洞修复的终端设备数量。 操作 在操作框内点击详情，即可针对单个漏洞，快速查看对应设备的修复状态。 3.点击详情，可查看终端名称、设备状态、所属用户、操作系统、修复状态等。 4.点击修复，终端将立即发起漏洞修复。

原因分析 1. 写入冲突：当多个客户端同时向同一个索引写入数据时，可能会发生写入冲突，导致部分写入操作被推迟或重试，从而降低写入速度。 2. 磁盘 I/O 限制：写入操作需要频繁访问磁盘。如果磁盘 I/O 性能不佳或资源被其他任务占用，写入速度会受到影响。 3. 缓冲区溢出：云搜索服务在写入数据时会使用内存缓冲区。如果缓冲区满了，系统会强制刷新到磁盘，这个过程可能会拖慢写入速度。 4. 垃圾回收（GC）问题：如果节点的 JVM 频繁进行垃圾回收，特别是 Full GC，系统性能会受到影响，导致写入速度下降。 解决方案 1. 优化写入并发：避免高并发写入到同一索引，可以通过拆分索引或批量写入方式减少冲突。调整客户端的并发写入线程数和批量写入大小。 2. 提升磁盘性能：使用更高性能的磁盘设备（如 SSD），确保磁盘 I/O 不是瓶颈。检查系统中是否有其他进程占用了磁盘资源，影响了写入速度。 3. 调整刷新间隔：可以通过增加刷新间隔来减少缓冲区强制刷新到磁盘的频率，如下述命令将延长刷新时间，允许更多的数据在内存中积累，从而减少写入延迟。 PUT INDEXNAME/settings { "index.refreshinterval": "30s" } 4. 优化垃圾回收设置：监控 JVM 的垃圾回收行为，必要时升级到 G1 GC 或调整堆内存大小，减少 GC 对性能的影响。

风险等级 描述 致命 致命级别的告警表示系统已经受到严重的攻击，可能导致数据丢失、系统崩溃或者长时间的服务中断。例如，发现勒索加密行为或恶意程序感染。建议您立即处理，避免对系统造成更严重的损害。 高危 高危级别的告警表示系统可能正在受到攻击，但尚未造成严重的损害。例如，检测到未授权的登录尝试或执行了危险命令（如删除关键系统文件或修改系统设置的命令）。建议您及时调查并采取措施，以防止攻击蔓延。 中危 中危级别的告警表示系统存在潜在的安全威胁，但目前没有明显遭受攻击的迹象。例如，检测到文件或目录的异常修改，表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施，以确保系统的安全。 低危 低危级别的告警表示系统存在轻微的安全威胁，不会对系统的正常运行产生显著影响。例如，检测到一些端口扫描行为，这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理，不需要立即采取紧急措施。如果您的资产安全等级要求较高，可以关注该等级的安全告警。 提示 对应资源存在潜在的错误可能影响到业务。如果您对您的资产的安全等级要求较高，可以关注该等级的安全告警。