Windows系统迁移完成，启动/登录系统后出现蓝屏并重启 问题描述 Windows系统迁移完成后，可以启动/登录系统，但是不一会就出现蓝屏，然后重启。 问题分析 可能是杀毒软件冲突。 解决方案 1. 通过安全模式进入系统，如果能够进入系统，则排除系统驱动问题，进行步骤2。 2. 排查是否安装了杀毒软件（如sophos、卡巴斯基等杀毒软件）。 如果安装了杀毒软件，可以按照以下任意一种方式解决。 方式一 下发一台同区域、同可用区的临时服务器，将目的端服务器系统盘挂载到临时服务器，搜索并删除所有杀毒软件相关的安装目录、注册表和启动项等。将目的端服务器系统盘挂载回目的端服务器，多次重启系统，确认系统不再出现蓝屏重启。 方式二 在源端卸载杀毒软件后进行同步操作。部分杀毒软件需要联系其供应商卸载。多次重启系统，确认系统不再出现蓝屏重启。

本节主要介绍如何进行托管授权。 操作场景 托管创建完成后，需要到目标工作空间所属账号中进行授权。授权后，被托管空间将挂载到托管账号下的空间中，进行统一管理。 前提条件 已创建托管，详细操作请参见创建托管。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间托管”，进入空间托管管理页面。 4. 在托管页面中，选择“我纳管的”页签，并在目标托管任务所在行“操作”列，单击“接收”。 5. 在弹出的确认框中，单击“确认”。 后续处理 授权后，可以在“工作空间 > 空间管理”页面中查看已创建的托管视图，单击视图名称，进入后，可以查看被托管空间的详细信息。

此小节介绍数据库审计的功能特性。 记录数据库活动 记录一切对数据库的访问行为，记录维度包括客户端信息、服务端信息、操作信息、操作状态、返回结果集、SQL模板等。 存储数据库行为记录 存储记录行为时产生的日志，包括审计日志、会话日志、告警日志，还包括系统的相关配置，如人员权限配置、系统引擎配置等。 查询数据库审计日志 在已有的日志中查询某些关键信息，完成事件溯源，一般支持时间、类型、数据库实例名、操作结果、客户端、服务端等查询维度。 风险和威胁告警 将数据库访问的行为与安全规则库进行匹配，根据匹配的结果进行告警，一般包含页面告警、外送告警（短信、邮件）。 数据库性能分析 通过SQL执行时间统计数据库性能情况，分析潜在性能问题的根因，定位关键资产，可作为用户数据库性能调优的决策辅助。

本章节主要介绍数据治理中心 DataArts Studio主要应用场景。 云上数据平台快速搭建 快速将线下数据迁移上云，将数据集成到云上大数据服务中，并在DataArts Studio的界面中就可以进行快速的数据开发工作，让企业数据体系的建设变得如此简单。 优势 数据集成一键式操作 通过在服务界面配置化操作，可实现线上线下数据快速集成到云数据仓库。 支持多种数仓服务类型 根据需求，可以灵活选择数据服务类型，可以选择DWS服务建数仓，也可以选择MRS服务等数据平台。 安全稳定、降低成本 一站式的服务能力和稳定的数仓服务，让云上数据万无一失；免自建大数据集群、免运维，极大降低企业建设数仓成本。 详见下图：云上数据平台

类别 默认用户 初始密码 描述 组件运行用户 hdfs Hdfs@123 HDFS系统管理员，用户权限： 1. 文件系统操作权限： 查看、修改、创建文件 查看、创建目录 查看、修改文件属组 查看、设置用户磁盘配额 2. HDFS管理操作权限： 查看webUI页面状态 查看、设置HDFS主备状态 进入、退出HDFS安全模式 检查HDFS文件系统。 hbase Hbase@123 HBase系统管理员，用户权限： 集群管理权限:表的Enable、Disable操作，触发MajorCompact，ACL操作 授权或回收权限，集群关闭等操作相关的权限 表管理权限:建表、修改表、删除表等操作权限 数据管理权限：表级别、列族级别以及列级别的数据读写权限 访问HBase WebUI的权限。 mapred Mapred@123 MapReduce系统管理员，用户权限： 提交、停止和查看MapReduce任务的权限 修改Yarn配置参数的权限 访问Yarn、MapReduce WebUI的权限。 spark Spark@123 Spark系统管理员，用户权限： 访问Spark WebUI的权限 提交Spark任务的权限。

本章节主要介绍使用客户端。 操作场景 客户端安装后，用户可以通过客户端在运维场景或业务场景中使用shell命令，也可以在应用程序开发场景中使用客户端中的样例工程。 该任务指导用户在运维场景或业务场景中使用客户端。 前提条件 已安装客户端。 例如安装目录为“/opt/Bigdata/client”。 各组件业务用户由系统管理员根据业务需要创建。 “机机”用户需要下载keytab文件，“人机”用户第一次登录时需修改密码。 操作步骤 1.以客户端安装用户登录安装客户端的节点。 2.执行以下命令，切换到客户端安装目录。 cd /opt/Bigdata/client 3.执行以下命令配置环境变量。 source bigdataenv 4.如果集群为安全模式，执行以下命令进行用户认证。普通模式集群无需执行用户认证。 kinit 组件业务用户 5.根据实际业务需要，执行shell命令。

本章节主要介绍翼MapReduce的锁定用户操作。 操作场景 由于业务变化，用户可能长期暂停使用，为了保证安全，管理员可以锁定用户。 锁定用户的方法包含以下两种方式： 自动锁定：通过设置密码策略中的“密码连续错误次数”，将超过登录失败次数的用户自动锁定。具体操作请参见配置密码策略。 手动锁定：由管理员通过手动的方式将用户锁定。 以下将具体介绍手动锁定。不支持锁定“机机”用户。 对系统的影响 用户被锁定后，不能在FusionInsight Manager重新登录或在集群中重新进行身份认证。锁定后的用户需要管理员手动解锁或者等待锁定时间结束才能恢复使用。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在要锁定用户所在行，单击“锁定”。 4. 在弹出的窗口勾选“我已阅读此信息并了解其影响。”，单击“确定”完成锁定操作。

DMS提供基础版和企业版，通过灵活配置系统角色/团队可支撑企业多样的管控和协作需求。本文将介绍版本选择和角色/团队配置的最佳实践。 基础版 vs. 企业版选择 DMS包括基础版和企业版，基础版和企业版主要区别如下： 基础版适合个人开发者或数据库松散管理的小型企业，用户可自由操作数据库，数据安全由数据库内核来保障。 企业版则适合对数据安全、稳定性、规范性有较高要求的企业，提供高级协作特性，包括列级粒度的数据权限管理、SQL规范、工单审批、风险管控等高阶功能，从而保障数据安全、稳定和支持更复杂的协作需求。 企业版角色/团队配置推荐 小规模团队最佳实践 适用人数：数据库用户规模20人以内。 对于开发和管理人员数量较少的小微型企业（DMS用户20人以下），通常用户更关注开发和协作的效率，推荐的配置如下： 团队使用：只需使用公共团队，所有用户默认均会加入自动创建的公共团队，无需额外创建其他团队。 角色使用：只需使用超级管理员和普通用户2个角色，其中超级管理员负责用户管理和实例管理，普通用户在被授权后直接使用实例。主账号在访问DMS后会自动创建组织，且自动成为该组织的唯一超级管理员，子账号访问默认成为普通用户，因此无需单独创建及维护用户角色。 实例管理：超级管理员直接在公共团队下添加和管理实例。 权限分配：超级管理员为其他成员分配必要的数据权限，包括实例、库、表的查询、导入导出及变更权限，确保他们能够执行所需的操作。普通用户也可通过提交权限工单申请所需权限。 协作：普通用户提交的工单，均由超级管理员审批，简化流程。

本节介绍如何在数据探索页面查看当前已添加的所有数据资产详细信息，并对数据库、数据表以及数据视图等添加描述、标签、密级和分类操作，从而实现数据资产分级分类管理。 前提条件 完成数据库资产委托授权，并添加数据库资产。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产管理 > 数据探索”，进入“数据探索”页面。 5. 左上角单击下拉框选择展示模式： “数据库” “数据模式” “数据表” “数据列” 6. 单击数据库名称，进入数据库详情页面。您可以对数据库、数据表以及数据视图等添加描述、标签、密级和分类等。 单击“重新分析”，进行密级自动分析，根据敏感数据识别对数据库列标记的密级等级，分析出库表的密级。 7. 查看数据库详细信息。 选择“表信息”页签： 1. 单击表名称查看表详情。 2. 单击数据库名称返回上级页签。 3. 选择“表信息”页签，勾选表，单击左上角的“标识”添加表标识。 4. 单击给表添加分类、密级、标签和描述等信息。 选择“视图信息”： 1. 单击视图名称查看视图详情。 2. 单击数据库名称返回上级页签。 3. 选择“视图信息”页签，勾选视图，单击左上角的“标识”添加视图标识。 4. 单击给视图添加分类、密级、标签和描述等信息。 选择“schema信息”页签： 1. 勾选schame，单击左上角的“标识”添加列标识。 2. 单击给列添加分类、密级、标签和描述等信息。

服务名称 如何使用 对象存储服务支持普通方式和服务端加密方式上传和下载对象。当用户使用服务端加密方式上传对象时，数据会在服务端加密成密文后安全地存储在对象存储服务中；用户下载加密对象时，存储的密文会先在服务端解密为明文，再提供给用户。对象存储服务支持KMS托管密钥的服务端加密方式（即SSEKMS加密方式），该加密方式是通过KMS提供密钥的方式进行服务端加密。 在创建云硬盘时，用户启用云硬盘的加密功能，系统将使用用户主密钥产生的数据密钥对磁盘进行加密，则在使用该云硬盘时，存储到云硬盘的数据将会自动加密。 用户通过外部镜像文件创建私有镜像时，可启用私有镜像加密功能，选择KMS提供的用户主密钥对镜像进行加密。 用户通过弹性文件服务创建文件系统时，选择KMS提供的用户主密钥对文件系统进行加密，当使用该文件系统时，存储到文件系统的文件将会自动加密。 在购买数据库实例时，用户启用数据库实例的磁盘加密功能，选择KMS提供的用户主密钥对数据库实例的磁盘进行加密，选择磁盘加密后会提高数据的安全性。 在购买文档数据库实例时，用户启用文档数据库实例的磁盘加密功能，选择KMS提供的用户主密钥对文档数据库实例的磁盘进行加密，选择磁盘加密后会提高数据的安全性。

服务名称 如何使用 对象存储服务支持普通方式和服务端加密方式上传和下载对象。当用户使用服务端加密方式上传对象时，数据会在服务端加密成密文后安全地存储在对象存储服务中；用户下载加密对象时，存储的密文会先在服务端解密为明文，再提供给用户。对象存储服务支持KMS托管密钥的服务端加密方式（即SSEKMS加密方式），该加密方式是通过KMS提供密钥的方式进行服务端加密。 在创建云硬盘时，用户启用云硬盘的加密功能，系统将使用用户主密钥产生的数据密钥对磁盘进行加密，则在使用该云硬盘时，存储到云硬盘的数据将会自动加密。 用户通过外部镜像文件创建私有镜像时，可启用私有镜像加密功能，选择KMS提供的用户主密钥对镜像进行加密。 用户通过弹性文件服务创建文件系统时，选择KMS提供的用户主密钥对文件系统进行加密，当使用该文件系统时，存储到文件系统的文件将会自动加密。 在购买数据库实例时，用户启用数据库实例的磁盘加密功能，选择KMS提供的用户主密钥对数据库实例的磁盘进行加密，选择磁盘加密后会提高数据的安全性。 在购买文档数据库实例时，用户启用文档数据库实例的磁盘加密功能，选择KMS提供的用户主密钥对文档数据库实例的磁盘进行加密，选择磁盘加密后会提高数据的安全性。

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

本文介绍如何使用pgAdmin创建表。 在RDSPostgreSQL中，通过SQL创建表，如无特别指明，表会默认创建在该database名为public的schema下；而通过pgAdmin创建时，一般情况下，创建好的database会有一个public schema，创建表时则需要特别指明schema。 前提 已经通过pgAdmin连接RDSPostgreSQL实例并添加至Servers。 创建Schema 1. 双击数据库连接Server并打开database菜单栏，选择指定的database并单击以展开属于该database的菜单栏。 2. 单击Schema选项并右键，点击Create > Schema... ，以打开schema创建框，如图所示： 3. schema的创建框与各栏信息如下： General：基本信息，包括schema名与拥有者，默认拥有者为启动数据库连接的用户，必填项。 Security：权限配置，包括权限授予与安全标签，非必填项。 Default Privileges：默认权限，包括表、序列、函数、类型的默认权限，非必填项。 SQL：创建SQL，用户通过前面几项填写后自动生成的创建schema的SQL，无法填写与修改。 点击保存，若无报错即为创建schema成功。 创建表 单击点开schema，下拉菜单栏，点击Create > Table... 以打开Table创建框，如图所示： General：基本信息，包括表名、拥有者、Schema、Tablespace、是否为分区表，默认拥有者为启动数据库连接的用户，必填项。 Columns：列，该处设置此表各列，包括列名、数据类型、数据长度、精度、是否为空、是否为主键、默认值，也可以选择继承于某表。 Advanced：高级选项，包括是否设置RLS、是否强制设置RLS、是否直接通过自定义Type来创建表等选项，均为非必选项。 Constraints：约束项，例如设置主键、外键与校验等，根据自身需要设置即可，非必填项。 Partitions：分区表配置，可以在此配置分区表属性，非必填项。 Parameters：表参数，主要包括表Vacuum与表年龄限制，非必填项。 Security：权限配置，包括权限授予与安全标签，非必填项。 SQL：创建SQL，用户通过前面几项填写后自动生成的创建database的SQL，无法填写与修改。 点击Save保存，若无报错，即表明创表成功。

迁移过程中对源端是否会有影响，是否会中断业务？ 主机迁移服务迁移过程中对源端的影响主要体现在网络方面，而对cpu、内存等其他资源影响较小，不会对现有业务产生中断。 因迁移数据量通常比较大，所以会比较消耗带宽资源，迁移前建议评估当前带宽及现有业务对带宽的占用情况，合理分配带宽资源给主机迁移服务。 如何获取天翼云账号的AK/SK？ 访问密钥即AK/SK（AccessKey ID/Secret AccessKey），是您在天翼云的长期身份凭证，您可以通过访问密钥对天翼云API的请求进行签名。天翼云通过AK识别访问用户的身份，通过SK对请求数据进行签名验证，用于确保请求的机密性、完整性和请求者身份的正确性。 创建迁移任务时，需要填写您的访问密钥即AK/SK以便进行鉴权。 获取天翼云账号AK/SK方式如下：天翼云官网控制台账号我的凭证管理访问秘钥，点击新增访问秘钥，在弹窗生成的excel表中获取对应AK/SK。 如何获取IAM用户的AK/SK？ 创建迁移任务时，需要填写您的访问密钥即AK/SK以便进行鉴权。基于权限最小化原则，为了保证您账号中的资源安全，建议您在天翼云账号中创建IAM用户，授予IAM用户对应的权限后，使用IAM用户创建AK/SK。本节介绍了为天翼云账号创建IAM用户并获取AK/SK的方法。 1. 创建用户组并授权 1. 系统策略：如果IAM用户需要主机迁移服务(SMS)的所有操作权限，则为IAM用户授予系统策略。在IAM控制台创建用户组，并授予“SMS FullAccess”、"OBS OperateAccess"、“ECS FullAccess”、“VPC FullAccess”。 2. 自定义策略：如果IAM用户只需要拥有主机迁移服务(SMS)的部分操作权限，则使用自定义策略，参见SMS自定义策略。自定义策略相比于系统策略，粒度更细，更安全。 2. 在IAM控制台创建IAM用户。 3. 给IAM用户授权。将创建的IAM用户，加入步骤1中创建的用户组。 4. 使用创建的IAM用户登录天翼云控制台。 5. 参考访问密钥，控制台账号我的凭证管理访问秘钥，点击新增访问秘钥，在弹窗生成的excel表中获取对应AK/SK。获取IAM用户的AK/SK。

本章介绍如何通过IAM创建用户并授权的方法。 创建用户并授权使用SMS 本章节为您介绍对IAM用户授权的方法。 管理员帐号拥有SMS迁移所需要的所有权限，使用管理员帐号进行迁移时，不需要进行授权。如果您需要对您所拥有的SMS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的天翼云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用SMS。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将SMS委托给更专业、高效的其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 前提条件 给用户组授权之前，请您了解用户组可以添加的SMS权限，并结合实际需求进行选择，SMS支持的系统权限，请参见：SMS系统权限。若您需要对除SMS之外的其它服务授权，IAM支持服务的所有权限请参见权限策略。 示例流程 操作步骤 1. 创建用户组并授权： 1. 系统策略：如果IAM用户需要主机迁移服务(SMS)的所有操作权限，则为IAM用户授予系统策略。在IAM控制台创建用户组，并授予“SMS FullAccess”、"OBS OperateAccess"、“ECS FullAccess”、“VPC FullAccess”。 2. 自定义策略：如果IAM用户只需要拥有主机迁移服务(SMS)的部分操作权限，则使用自定义策略。自定义策略相比于系统策略，粒度更细，更安全。 2. 创建用户并加入用户组，在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 3. 用户登录并验证权限，新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“迁移>主机迁移服务”，进入主机迁移服务界面，在迁移服务器列表页面找到待迁移的服务器，在“目的端”列下单击“设置目的端”，设置目的端服务器。若可以设置目的端服务器，表示授予的权限已生效。 在“服务列表”中选择除主机迁移服务和依赖服务外的任一服务，若提示权限不足，表示授予的权限已生效。

资产是指系统需要审计管理的数据库系统、网站等信息系统。 添加资产后，系统可对资产进行安全审计。 添加资产 添加资产包括单个添加和批量导入两种方式。 1. 在左侧菜单栏选择“资产 > 资产管理”进入“资产管理”页面，选择“资产管理”页签，单击“添加”。 2. 在弹出的“添加资产”窗口编辑相关信息。参数填写规则可参见下表。 参数 参数说明 保存时启用推荐的规则 勾选此选项，则保存时添加的资产会使用系统推荐的规则。 不勾选此选项，保存时添加的资产不会使用系统推荐的规则。 类型 设置资产类型，包括关系型、非关系型、大数据、图形、全文、文档、键值、其他、天翼云RDS等。 说明 若添加天翼云RDS资产，还需要在“系统管理 > 日志采集方式”中开启接收天翼云RDS日志。 资产组 设置资产所属的资产组。 名称 填写资产的名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 操作系统 设置资产所在主机的操作系统。 IP端口 设置资产所在主机的IP及端口号。 说明 本地运维行为审计是指通过安装本地Agent捕获本地数据库客户端程序中实际响应的SQL指令，实现对本地运维人员数据库操作行为的审计，支持Oracle、PostgreSQL、MySQL、SQL Server等主流数据库。 当使用本地运维行为审计方式时，需要添加回环IP地址127.0.0.1和端口号，端口号需根据数据库类型进行填写。 如果使用的IP类型为IPv6，IP地址需填写为“::1”。 3. 如需配置其他更多信息，可点击“更多配置”，选择单向审计或双向审计，设置加密协议审计。参数填写规则可参见下表。 参数 参数说明 流量方向 单向审计：审计内容包括请求信息、客户端信息、服务端信息，不包括返回结果集。 双向审计：审计内容包括请求信息、客户端信息、服务端信息、返回结果集。 保持行数 取值范围：0~999，0表示不保存返回结果。最大保存内容为64KB。 最大保存长度 取值范围：1~64KB，确保整行显示。 解密私钥 加密协议导入解密私钥，目前支持MySQL、SQL Server、HTTPS加密解析，证书支持导入和编辑两种方式。 证书密码 安全证书的密码。 4. 配置完成后，单击“保存”即可完成资产添加。 说明 资产添加之后，需要确认部署模式。若选择流量代理模式，需要部署Agent程序才能完成数据库审计。

检查备集群HBase服务状态 4.登录主集群FusionInsight Manager界面，选择“运维 > 告警 > 告警”。 5.在告警列表中单击该告警，从完整的告警信息中的“定位信息”处获得“主机名”。 6.以omm用户进入主集群HBase客户端所在节点。 如果集群采用了安全版本，要进行安全认证，然后使用hbase用户进入hbase shell界面。 cd /opt/Bigdata/client source ./bigdataenv kinit hbaseuser 7.执行 status 'replication', 'source' 命令查看故障节点的容灾同步状态。 节点的容灾同步状态如下： 101010153: SOURCE: PeerIDabc, SizeOfLogQueue0, ShippedBatches2, ShippedOps2, ShippedBytes320, LogReadInBytes1636, LogEditsRead5, LogEditsFiltered3, SizeOfLogToReplicate0, TimeForLogToReplicate0, ShippedHFiles0, SizeOfHFileRefsQueue0, AgeOfLastShippedOp0, TimeStampsOfLastShippedOpMon Jul 18 09:53:28 CST 2016, Replication Lag0, FailedReplicationAttempts0 SOURCE: PeerIDabc1, SizeOfLogQueue0, ShippedBatches1, ShippedOps1, ShippedBytes160, LogReadInBytes1636, LogEditsRead5, LogEditsFiltered3, SizeOfLogToReplicate0, TimeForLogToReplicate0, ShippedHFiles0, SizeOfHFileRefsQueue0, AgeOfLastShippedOp16788, TimeStampsOfLastShippedOpSat Jul 16 13:19:00 CST 2016, Replication Lag16788, FailedReplicationAttempts5 eOfLogToReplicate0, TimeForLogToReplicate0, ShippedHFiles0, SizeOfHFileRefsQueue0, AgeOfLastShippedOp0, TimeStampsOfLastShippedOpMon Jul 18 09:53:28 CST 2016, Replication Lag0, FailedReplicationAttempts0 SOURCE: PeerIDabc1, SizeOfLogQueue0, ShippedBatches1, ShippedOps1, ShippedBytes160, LogReadInBytes1636, LogEditsRead5, LogEditsFiltered3, SizeOfLogToReplicate0, TimeForLogToReplicate0, ShippedHFiles0, SizeOfHFileRefsQueue0, AgeOfLastShippedOp16788, TimeStampsOfLastShippedOpSat Jul 16 13:19:00 CST 2016, Replication Lag16788, FailedReplicationAttempts5 8.找到“FailedReplicationAttempts”的值大于0的记录所对应的“PeerID”值。 如上步骤中，故障节点“101010153”同步数据到“PeerID”为“abc1”的备集群失败。 9.继续执行listpeers命令，查找该“PeerID”对应的集群和HBase实例。 PEERID CLUSTERKEY STATE TABLECFS abc1 10.10.10.110,10.10.10.119,10.10.10.133:2181:/hbase2 ENABLED abc 10.10.10.110,10.10.10.119,10.10.10.133:2181:/hbase ENABLED 如上所示，/hbase2表示数据是同步到备集群的HBase2实例。 10.在备集群FusionInsight Manager的服务列表中，查看通过步骤9获取的HBase实例运行状态是否为“良好”。 是，执行步骤14。 否，执行步骤11。 11.在告警列表中，查看是否有“ALM19000 HBase服务不可用”告警产生。 是，执行步骤12。 否，执行步骤14。 12.参考“ALM19000 HBase服务不可用”的处理步骤处理该故障。 13.等待几分钟后检查本告警是否恢复。 是，处理完毕。 否，执行步骤14。

本章介绍Windows内核特权提升漏洞。 Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 为了利用此漏洞，在本地经过身份验证的攻击者可能会运行经特殊设计应用程序。 漏洞编号 CVE20201027 漏洞名称 Windows内核特权提升漏洞 漏洞描述 Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 影响范围 所有Windows系统 官方解决方案 官方建议受影响的用户尽快安装最新的漏洞补丁。 详情请参见< 检测与修复建议 天翼云企业主机安全服务支持对该漏洞的便捷检测与修复。 1. 检测并查看漏洞详情，详细的操作步骤请参见漏洞管理。 手动检测漏洞 2. 漏洞修复与验证，详细的操作步骤请参见漏洞管理。

共享前缀列表权限说明 共享前缀列表后， 使用者权限： 查看前缀列表及其条目，可以通过所有者列的标识判断来自共享的前缀列表。 不能操作前缀列表，包括不能修改前缀列表、增删改前缀列表条目、删除前缀列表。 在自身资源中可以引用该前缀列表，例如在自己账号下的安全组中引用共享前缀列表。 所有者权限： 查看引用了前缀列表的使用者的资源，但无法操作。 所有者不能删除已被使用者资源引用的前缀列表。 所有者更新了前缀列表后，引用该前缀列表的资源都会更新。 取消共享前缀列表后： 如果前缀列表已被使用者的资源引用：这些引用将继续正常运行，但取消引用关系后无法再次引用。 未被引用：使用者无法再查看原来共享给自己的前缀列表及前缀列表条目，也无法在其资源中引用。

本文主要介绍与其他服务的关系 容器镜像服务需要与其他云服务协同工作，容器镜像服务和其他云服务的关系如下图： 云容器引擎 云容器引擎（Cloud Container Engine，简称CCE）提供高可靠高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，简化云上自动化容器运行环境搭建。 容器镜像服务能无缝对接CCE，您可以将容器镜像服务中的镜像部署到CCE中。 云审计服务 云审计服务（Cloud Trace Service，简称CTS）为您提供云服务资源的操作记录，记录内容包括您从公有云管理控制台或者开放API发起的的云服务资源操作请求以及每次请求的结果，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过CTS，您可以记录与容器镜像服务相关的操作事件，便于日后的查询、审计和回溯。

共享前缀列表权限说明 共享前缀列表后， 使用者权限： 查看前缀列表及其条目，可以通过所有者列的标识判断来自共享的前缀列表。 不能操作前缀列表，包括不能修改前缀列表、增删改前缀列表条目、删除前缀列表。 在自身资源中可以引用该前缀列表，例如在自己账号下的安全组中引用共享前缀列表。 所有者权限： 查看引用了前缀列表的使用者的资源，但无法操作。 所有者不能删除已被使用者资源引用的前缀列表。 所有者更新了前缀列表后，引用该前缀列表的资源都会更新。 取消共享前缀列表后： 如果前缀列表已被使用者的资源引用：这些引用将继续正常运行，但取消引用关系后无法再次引用。 未被引用：使用者无法再查看原来共享给自己的前缀列表及前缀列表条目，也无法在其资源中引用。

本小节介绍态势感知订购态势感知操作方法。 通过天翼云控制中心下的安全选项下的态势感知进入订购态势感知授权页面，订购页面如下，填写对应的信息。 串联部署网络配置的场景： 场景 A：态势网关作为网络出口，直挂业务主机（网关主备监控同公网IP下资产） 场景 B：态势网关下挂负载均衡（网关主备监控1资产） 场景 C：态势网关下挂云防火墙（网关主备监控1资产） 场景 D：态势网关上挂云防火墙（多资产监控） 旁路部署网络配置的场景： 使用天翼云平台的流量镜像功能引流，不涉及网络割接，只需开通态势感知控制端（多资产监控） 在订购完成后会有态势感知技术人员联系对接网络配置，请确保联系方式顺畅。

任务状态 用于展示数据导入任务的状态、执行时间和当前进度，状态包括已创建、执行成功、执行中、执行失败四种状态。当任务执行失败时，可在这里查看失败原因。 用户点击执行日志，可查看当前任务的日志输出。执行日志保存有效期为7天。 预检查 用于展示数据导入工单的预检查详情，包括连接检查、权限检查。如选择了“安全模式”，还可能有SQL风险检查、SQL规范检查（导入工单的SQL审核结果保留最多7天）。 审批流程 用于展示数据导入工单的审批流程详情。当组织处于基础版时，用户提交的数据导入工单会触发数据导入任务直接执行，不会经过审批流程，所以没有需要展示的审批流程信息；当组织处于企业版时，用户提交的数据导入工单在通过预定的审批流程之后，才会执行数据导入任务，所以会展示具体的审批流程信息。

本文介绍数据库管理服务为云数据库开启数据库审计功能，帮助您追溯历史所有数据库操作记录，满足您的安全审计需求。 前提条件 用户已录入MySQL、DDS、PostgreSQL与SQL Server类型的云数据库实例。 MySQL、PostgreSQL与SQL Server数据库资源池支持：西南1、华东1、上海36、华北2、长沙42、华南2、南昌5、青岛20、西安7、杭州7。 DDS数据库资源池支持：华东1、上海36、西南1、华北2、华南2。 注意事项 审计日志保留天数默认为1天，可设置范围为1~3天。 开启/关闭数据库审计 平台提供了多种开启/关闭数据库审计的途径： 在左侧导航栏中，单击 数据资产 > 实例管理 ，找到目标实例，在数据库审计列，单击开关按钮进行开启或关闭审计功能。 在左侧导航栏中，单击SQL治理 >SQL审计 ，点击页面的开启审计日志按钮选择目标实例开启审计日志功能。

本节为您介绍如何查看预定义服务组。 云防火墙为您提供预定义服务组，包括“常用Web服务”、“常用数据库”和“常用远程登录和ping”，适用于防护Web、数据库和服务器。 预定义服务组仅支持查看，不支持添加、修改、删除操作。 查看预定义服务组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 切换至“服务组”页签，选择“预定义服务组”页签，单击目标服务组的名称，进入详细信息页面，查看服务组信息。

本节介绍如何删除域名组。 约束条件 被防护规则引用的域名组不支持删除，需优先调整/删除对应规则。 删除域名组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全 > 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制 > 对象组管理”，进入“对象组管理”界面。 5. （可选）如删除网络域名组，则选择“网络域名组”页签。 6. 切换至“域名组”页签，单击待删除的“操作”列的“删除”，在弹出的确认框中，输入“DELETE”，单击“确定”，完成删除。 注意 删除域名组后无法恢复，请谨慎操作。

本文介绍使用专属云（计算独享型）过程中涉及相关产品的基本概念，方便您查询和了解相关概念。 云主机 专属云（计算独享型）产品提供物理隔离的公有云虚拟化环境，在已购买的专属云中可创建云主机来部署应用服务。 云硬盘 专属云（计算独享型）产品中，云主机使用的云硬盘为公有云中的云硬盘，类型包括普通IO、高IO、超高IO三种类型。这三种类型跟公有云云硬盘产品规格参数保持一致。若您同时购买了专属云（存储独享型）产品，创建的云硬盘为物理独享的云硬盘，具体云硬盘类型取决于购买类型。 虚拟私有云 虚拟私有云是通过逻辑方式为您提供一个完全隔离的网络环境。您可以在VPC中定义与传统网络无差别的子网，同时提供弹性IP、安全组、带宽、VPN等网络服务。

服务名称 交互功能 虚拟私有云（Virtual Private Cloud, VPC） 您可以将VPC接入企业路由器，快速打通云上网络，尤其对于多个VPC互通的组网，免去大量的对等连接配置。 统一身份认证服务（Identity and Access Management, IAM） 针对位于公有云上的企业路由器资源，您可以通过IAM进行精细的权限管理，即为不同的用户设置不同的使用权限，权限管理有助于实现资源的安全管控。 云监控（Cloud Eye） 使用云监控可以监控企业路由器实例以及企业路由器连接的网络情况，并对异常进行报警，保证业务的顺畅运行。 云审计服务（Cloud Trace Service, CTS） 使用云审计服务可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 云防火墙（Cloud Firewall，CFW） 您可以通过企业路由器、虚拟私有云VPC和云防火墙构建组网，实现云上VPC间的流量防护。

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

昵称审核 对于注册用户的昵称审核，通过智能审核技术，实现自动化过滤包含广告、反动、色情等内容的用户昵称。 场景优势如下： 响应速度快：配备高效的GPU和CPU等硬件，提升审核速度，实现快速响应。 准确率高：利用改进的深度学习算法，提升审核准确率，避免审核误判并且提高审核质量。 媒资审核 针对媒资内容审核，利用自动化审核技术，实现媒资中可能存在的违禁品等信息的自动识别，降低已发布的文章存在违规风险。 场景优势如下： 快速迭代：持续更新文本词库，及时识别新型的违规内容，提升审核准度。 处理速度快：配备高性能GPU和CPU等硬件设备，实现审核快速响应，降低审核成本，提高审核质量。 弹幕信息审核 针对弹幕审核，通过实时检测弹幕文本，保障网络直播间的内容安全，降低业务违规风险。 场景优势如下： 海量词库：内置了海量词库，能够支持各种匹配规则，提高审核的准确性。 响应速度快：配备高效的GPU和CPU等硬件，加速审核速度，实时审核，保障网络环境的安全性。 聊天记录实时审核 为实时净化网络环境，我们基于智能审核技术，实现了聊天内容实时审核场景，能够检测游戏等文本聊天内容中可能出现的辱骂、色情、反动等违规信息，确保网络环境的健康发展。 场景优势如下： 海量词库：内置了海量词库，能够支持各种匹配规则，提高审核的准确性。 响应速度快：配备高效的GPU和CPU等硬件，加速审核速度，实时审核，保障网络环境的安全性。 识别准确率高：结合深度学习与机器学习，基于大规模多主题数据的模型训练，具备高识别率和低误判率。 单次审核多个数据：支持同时审核多张图片或者多条文本，一次性返回所有数据的审核结果

如何隐藏实例地址？ 为了更好的保护数据安全，数据管理服务DMS提供了隐藏实例地址功能，实例开启此功能后，该实例地址与端口在DMS平台上将统一显示为:。 此功能仅限管理员或团队管理员，您可以通过以下几种途径开启/关闭隐藏实例地址功能： 添加新实例时：选中隐藏实例地址选项可开启隐藏实例地址功能。 已有实例如何开启/关闭隐藏实例地址：点击菜单数据资产 >实例管理，在实例列表中点击编辑打开编辑实例弹窗，勾选/取消勾选隐藏实例地址选项。 禁用实例有何用途？ 禁用实例是指在数据管理服务DMS中，将某个数据库实例设置为不可用状态。当实例被禁用时，被禁用的实例将从实例收藏夹中移除，且用户将无法访问和使用该实例，直到该实例被重新启用。 禁用实例通常用于在进行维护、升级或其他操作时，暂时限制对实例的访问，以确保数据安全和系统稳定。 禁用/启用实例功能仅限管理员或团队管理员，用户可通过以下路径对实例进行禁用/启用操作： 点击菜单数据资产 >实例管理，在实例列表中点击禁用实例/启用实例进行操作。 如何使用查询功能？ 数据管理服务DMS提供了多个查询功能的入口，您可以通过以下路径使用查询功能： 点击菜单实例列表，点击实例名称展开数据库列表，双击库名称使用查询功能。 点击菜单数据资产 >实例管理，在实例列表中点击查询操作使用查询功能。 点击菜单安全协作>团队管理，切换团队实例管理标签页，在实例列表中点击查询操作使用查询功能。 点击菜单个人中心>我的团队，切换团队实例标签页，在实例列表中点击查询操作使用查询功能。 需要注意的是，使用查询功能前请先获取查看/使用某个实例的权限，否则将无法使用此功能。

操作步骤 1. 创建函数 1. 创建HTTP函数，如下参数需注意。 1. 函数类型：HTTP函数 2. 区域：选择要部署代码的区域 2. 上传代码，此处以“从OBS地址”上传为例，完成后单击“部署”。将提前准备好的jar包和bootstrap文件打包成zip包，代码上传方式选择“OBS地址”。 上传自OBS地址 2.创建触发器 说明 HTTP函数只允许创建APIG的触发器类型，其他触发器不支持。 进入函数详情页面，选择“设置 > 触发器”页签，单击“创建触发器”。 配置触发器信息，此处以创建“API网关服务（APIG专享版）”触发器为例。 说明 示例中“安全认证”暂时选择“None”，用户在配置时应根据实际情况选择。 App：采用 Appkey&Appsecret 认证，安全级别高，推荐使用。 IAM：IAM 认证，只允许IAM用户能访问，安全级别中等。 None：无认证模式，所有用户均可访问。 配置完成后，单击“确定”。API触发器创建完成后，会在API网关生成API“APItesthttp”。 3.发布API 单击“触发器”页签下的API名称，跳转至API的总览页面。 单击右上方的“编辑”，进入“基本信息”页面。 编辑API 单击“下一步”，进入“定义api请求”页面，修改“请求Path”为“/user/get”并单击“立即完成”。 定义API请求 单击“发布API”，在发布页面继续单击“发布”。 4.触发函数 返回函数工作流控制台，在左侧导航栏选择“函数 > 函数列表”，单击创建的HTTP函数进入函数详情页。 选择“设置 > 触发器”，复制“调用URL”，在浏览器访问。 复制URL 查看请求结果。 查看请求结果