本文主要介绍如何配置日志访问。 简介 分布式关系数据库DRDS日志配置管理功能支持对错误日志和运行时日志的采集配置进行统一管理，并将日志数据采集至云日志服务中，以满足用户的日志处理需求。云日志服务（CTLTS，Log Tank Service）提供一站式解决方案，包括日志采集、秒级搜索、海量存储、结构化处理及转储等功能，适用于应用运维、网络日志分析、等保合规及运营分析等多种场景。如需进一步了解云日志服务的详细信息，请参见云日志服务的产品定义章节。 前提条件 实例状态为运行中。 首次配置需要提前开通云日志服务，开通流程，请参见开通云日志服务。 已在云日志服务控制台创建日志项目和日志单元。 配置实例需完成配置终端节点 操作，具体步骤，请参见配置VPCE。 说明 该功能目前在试用阶段，仅对加了白名单的客户开放，如需使用，请提工单进行处理。 创建日志访问配置 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 日志访问配置，进入日志访问配置页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的配置访问日志 ，弹出配置访问日志页面。 4. 单击授权访问日志服务，选择需要授权的日志类型，并选择对应的日志项目和日志单元。 5. 单击确认。 日志配置状态变更为创建中 ，等待几分钟后，状态变更为已完成，则表示日志配置完成。 说明 DBProxy实例支持配置的日志类型为：运行时日志、慢日志和错误日志。 GiServer实例支持配置的日志类型为：运行时日志和错误日志。

什么是有效块数据？ 有效块数据是在某个文件系统下（例如EXT）已经被系统分配或使用了块，而未被分配和使用的块可以被系统分配使用但是迁移的时候不会被传输到目的端，从而减少数据迁移和增加迁移效率。 主机迁移服务与镜像迁移有什么区别？ 主机迁移服务 主机迁移服务是一种P2V/V2V迁移服务，可以帮您把X86物理服务器或者私有云、公有云平台上的虚拟机迁移到天翼云弹性云主机上，从而帮助您轻松地把服务器上的应用和数据迁移到天翼云。 特点： 界面化操作，简单易用，只需要源端服务器安装和配置Agent、在服务端配置目的端服务器并启动迁移，其他事情都由主机迁移服务完成。 在迁移过程中无需中断业务，支持断点续传。 安全性高，使用AK/SK校验迁移Agent身份；传输通道使用SSL加密。 限制条件： 源端服务器约束与限制请参见兼容性列表与使用限制有哪些？。 镜像服务迁移 将需要迁移的服务器在线下制作成镜像文件，完成初始化配置（配置网络属性、安装XEN和KVM驱动）后，直接导入天翼云镜像服务控制台，然后使用该镜像创建新的ECS。 特点： 利用镜像导入功能，将已有的业务服务器制作成镜像后导入到云平台（当前支持vhd、vmdk、qcow2、raw等多种格式），方便企业业务上云。 支持vhd、vmdk、qcow2、raw、vhdx、qcow、vdi、qed、zvhd和zvhd2格式的镜像文件，其他格式可以使用qeumimg工具进行格式转换。 兼容SUSE、Oracle Linux、RedHat、Ubuntu、OpenSUSE、CentOS、Debian、Fedora、EulerOS等多种操作系统。 使用镜像共享功能，可以实现云服务器在不同账号之间迁移。 可制作成系统镜像盘和数据盘镜像，在云平台重复利用，看用于批量部署。 限制条件： 占用一定的本地存储空间，对镜像文件大小有限制（不超过1TB）。

本文介绍如何使用媒体存储服务的服务端加密功能对重要数据进行加密保护。 背景概述 媒体存储服务的服务端加密功能可以帮助客户实现数据的安全保护，为客户提供更加可靠和安全的数据存储服务。 SSEXOS（Server Side Encryption XOS）是完全由媒体存储托管加密的服务端加密特性，客户无需管理密钥，服务端会为每个对象使用不同的密钥进行加密，并且会有一个定期轮换的密钥来加密密钥本身，该方式适用于批量数据加解密。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 应用效果 服务端加密功能是一种数据安全保障措施，它可以在数据上传至对象存储服务时就对其进行加密，以防止数据被未经授权的访问，降低数据泄露的风险。 通过使用服务端加密，您可以将数据传输至媒体存储服务，服务端会在接收到数据后立即对其进行加密处理，然后再将加密后的数据存储在云端。 未经授权的人访问了存储在云端的数据，他们也无法读取被加密的数据内容。 批量数据加密 当企业需要对大量的数据统一进行加密，您可以使用媒体存储的SSEXOS设置桶级别的加密配置，使得上传到该桶的对象数据自动被加密从而达到批量数据加密，实现批量数据加密的效果。 操作步骤如下： 调用设置存储桶加密配置接口，为存储桶指定一种加密算法： PUT/{bucket}?encryption HTTP/1.1 Host:cname.domain.com ContentMD5:ContentMD5 AES256 设置了桶的默认加密属性之后，用户往该桶上传对象成功后会在响应中返回以下header表示对象数据经过加密： header 值 xamzserversideencryption AES256

SCHEMA隔离应用示例 示例一： Schema的owner默认拥有该Schema下对象的所有权限，包括删除权限；Database的owner默认拥有该Database下对象的所有权限，包括删除权限。因此建议对Database和Schema的创建要做比较严格的控制，一般建议使用管理员创建Database和Schema，然后把相关的权限控制赋给业务用户。 1.dbadmin在数据库testdb下把创建Schema的权限赋给普通用户user1。 testdb> GRANT CREATE ON DATABASE testdb to user1; GRANT 2.切换到普通用户user1。 testdb> SET SESSION AUTHORIZATION user1 PASSWORD ''; SET 用户user1在数据库testdb下创建名为myschema2的Schema。 testdb> CREATE SCHEMA myschema2; CREATE SCHEMA 3.切换到管理员dbadmin。 testdb> RESET SESSION AUTHORIZATION; RESET 管理员dbadmin在模式myschema2下创建表t1。 testdb> CREATE TABLE myschema2.t1(a int, b int) DISTRIBUTE BY HASH(b); CREATE TABLE 4.切换到普通用户user1。 testdb> SET SESSION AUTHORIZATION user1 PASSWORD ''; SET 普通用户user1删除管理员dbadmin在模式myschema2下创建的表t1。 testdb> drop table myschema2.t1; DROP TABLE 示例二： 因为Schema的逻辑隔离的功能，访问数据库对象实际上要通过Schema和具体对象的两层校验。 1.把表myschema.t1的权限赋给用户user1。 gaussdb> GRANT SELECT ON TABLE myschema.t1 TO user1; GRANT 2.切换到用户user1。 SET SESSION AUTHORIZATION user1 PASSWORD ''; SET 查询表myschema.t1。 gaussdb> SELECT FROM myschema.t1; ERROR: permission denied for schema myschema LINE 1: SELECT FROM myschema.t1; 3.切换到管理员dbadmin。 gaussdb> RESET SESSION AUTHORIZATION; RESET 把myschema.t1的权限赋给用户user1。 gaussdb> GRANT USAGE ON SCHEMA myschema TO user1; GRANT 4.切换到普通用户user1。 gaussdb> SET SESSION AUTHORIZATION user1 PASSWORD ''; SET 查询表myschema.t1。 gaussdb> SELECT FROM myschema.t1; a b + (0 rows)

本章节主要介绍 恢复元数据 。 操作场景 在用户意外修改删除、数据需要找回，对元数据组件进行重大操作（如升级、重大数据调整等）后系统数据出现异常或未达到预期结果，模块全部故障完全无法使用，或者迁移数据到新集群的场景中，需要对元数据进行恢复操作。 该任务指导用户通过MRS Manager创建恢复元数据任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的元数据。 必须使用同一时间点的OMS和LdapServer备份数据进行恢复，否则可能造成业务和操作失败。 MRS集群默认使用DBService保存Hive的元数据。 对系统的影响 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 数据恢复后，依赖DBService的组件可能配置过期，需要重启配置过期的服务。 前提条件 检查OMS和LdapServer备份文件是否是同一时间点备份的数据。 检查OMS资源状态是否正常，检查LdapServer实例状态是否正常。如果不正常，不能执行恢复操作。 检查集群主机和服务的状态是否正常。如果不正常，不能执行恢复操作。 检查恢复数据时集群主机拓扑结构与备份数据时是否相同。如果不相同，不能执行恢复操作，必须重新备份。 检查恢复数据时集群中已添加的服务与备份数据时是否相同。如果不相同，不能执行恢复操作，必须重新备份 检查DBService主备实例状态是否正常。如果不正常，不能执行恢复操作。 停止依赖MRS集群运行的上层业务应用。 在MRS Manager停止所有待恢复数据的NameNode角色实例，其他的HDFS角色实例必须保持正常运行，恢复数据后重启NameNode。NameNode角色实例重启前无法访问。 检查NameNode备份文件是否保存在主管理节点“数据存放路径/LocalBackup/”。

本章节会介绍Redis版本间的主要差异。 DCS在创建实例时，Redis可选择“版本号”、“实例类型”。 版本号 版本号共有3.0，4.0，5.0，6.0版本可以选择，它们的区别如下。 不同版本支持的特性、性能差异说明 比较项 Redis 3.0 Redis 4.0 & Redis 5.0 Redis 6.0 兼容开源版本 Redis 3.0兼容开源3.0.7版本 Redis 4.0兼容开源4.0.14版本，Redis 5.0兼容开源5.0.14版本 Redis 6.0兼容开源6.2.7版本 实例部署模式 采用虚机部署 在物理机上容器化部署 在物理机上容器化部署 创建实例耗时 315分钟，集群约1030分钟 约8秒 约8秒 QPS 单节点约10万QPS 单节点约10万QPS 单节点约10万QPS 可视化数据管理 不支持 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 实例类型 支持单机、主备、Proxy集群 支持单机、主备、Proxy集群、Cluster集群、读写分离 支持单机、主备 扩容/缩容 支持在线扩容和缩容 支持在线扩容和缩容 支持在线扩容和缩容 备份恢复 主备和集群实例支持 主备、读写分离和集群实例支持 主备实例支持 说明 由于Redis不同版本的底层架构不一样，在创建Redis实例时，确定Redis版本后，将不能修改，如Redis3.0暂不支持升级到Redis4.0或者Redis5.0。如果需要由低版本升级到高版本，建议重新创建高版本实例，然后进行数据迁移。 由于Redis不同版本的底层架构不一样，在创建Redis实例时，确定Redis版本后，将不能修改，如Redis3.0暂不支持升级到Redis4.0或者Redis5.0。如果需要由低版本升级到高版本，建议重新创建高版本实例，然后进行数据迁移。 实例类型 实例类型分为单机、主备、集群和读写分离，它们的架构与应用场景，请参考实例类型章节。

本章节介绍应用服务网格CSM产品的使用限制 在使用应用服务网格CSM之前，您需要了解应用服务网格CSM的使用限制。当前使用限制主要有： 限制项 说明 非托管控制面 当前应用服务网格CSM采用非托管控制面，需要您提前开通专有版云容器引擎集群，用于部署控制面服务。 控制面云容器引擎资源需求 部署网格控制面的集群至少预留2C4G资源。

本文为您介绍如何通过SCIM协议，将Microsoft Entra ID（原Azure AD）中的用户或用户组同步到云SSO 操作步骤 打开自动调配并创建SCIM密钥 1. 登录云SSO控制台。 2. 在左侧导航栏，点击“管理设置”。 3. 在“SCIM”页签下，点击“自动调配”，切换到打开状态。 4. 在下方“访问令牌”处的右侧，点击“生成新令牌”。 5. 在弹出的“生成新访问令牌”对话框中，复制访问令牌，然后点击关闭。 在Microsoft Entra ID中创建应用程序 1. 使用Microsoft Entra ID管理员用户登录Entra管理中心。 2. 在左侧导航栏，选择Entra ID企业应用程序所有应用程序。 3. 单击“新建应用程序”。 4. 在“浏览Microsoft Entra库”页面，点击“创建你自己的应用程序”。 5. 在“创建你自己的应用程序”页面，输入应用程序名称（例如：云SSODEMO），并选择“集成未在库中找到的任何其他应用程序（非库）”，然后点击“创建”。 在Microsoft Entra ID中分配用户或用户组到应用程序 1. 在云SSODEMO的左侧导航栏，点击管理用户和组。 2. 单击左上角的添加用户/组。 3. 选择用户或用户组。 4. 单击分配。 在Microsoft Entra ID中配置SCIM同步 1. 在云SSODEMO页面的左侧导航栏，点击管理预配。 2. 点击左上角的“新配置”，创建预配配置，配置管理员凭据。 3. 在租户URL区域，输入SCIM服务端地址。 说明：该地址从云SSO SCIM配置页面的SCIM终端节点处获取。 4. 在机密标记区域，输入SCIM密钥。 说明：该SCIM密钥从“打开自动调配并创建SCIM密钥”步骤中获取。 5. 点击“测试连接”。 6. 测试成功后，点击“创建”。 7. 在“概述（预览）”页面，点击左上角“启动预配”。

本节主要介绍Linux客户端怎么在重启服务器之后，直接挂载HBlock创建的LUN。 应用场景 客户端已经挂载HBlock创建的LUN，为实现服务器开机启动后自动挂载LUN。 前提条件 Linux客户端已经挂载HBlock创建的LUN。 具体操作 在将HBlock创建的LUN挂载到客户端之后，可以请参考以下步骤： 说明 如果配置文件/etc/iscsi/iscsid.conf中node.startupmanual，可以使用下列方法任意一种： 修改配置文件/etc/iscsi/iscsid.conf中的node.startupautomatic，然后依据/etc/multipath.conf配置文件中的设置，选择挂载步骤。 对每个target配置，在客户端重启时自动登录，执行下面的命令：iscsiadm m node T TargetIQN p SERVERIP opupdate n node.startup v automatic，然后依据/etc/multipath.conf配置文件中的设置，选择挂载步骤。 如果配置文件/etc/iscsi/iscsid.conf中node.startup automatic，依据/etc/multipath.conf配置文件中的设置，选择挂载步骤。 若/etc/multipath.conf中配置了userfriendlynames yes，可以按照下列步骤执行： 1. 在客户端使用命令lsblk f查看挂载设备的文件系统信息，找到文件系统对应的UUID： plaintext [root@client ~] lsblk f NAME FSTYPE LABEL UUID MOUNTPOINT sda mpathmember └─mpatha └─mpatha1 ext4 7269eef6e401454aacb4503d33337f21 /mnt/diskmpatha sdb mpathmember └─mpatha └─mpatha1 ext4 7269eef6e401454aacb4503d33337f21 /mnt/diskmpatha vda ├─vda1 swap 9e33bd6fc68c41c795c8703f4fe8c3d4 [SWAP] └─vda2 xfs a83f4fdc2ea14feca1e2a42016ce0afe / vdb └─vdb1 ext4 74296a9e8cfd470889b108086f71175b vdc └─vdc1 ext4 a9fedea4391e4d2a8824c9a3a6853394 2. 在/etc/fstab文件中新增HBlock创建的LUN挂载信息，下次开机启动时可以自动挂载该LUN。 plaintext UUID7269eef6e401454aacb4503d33337f21 /mnt/diskmpatha ext4 defaults,netdev 0 0 若/etc/multipath.conf中配置了userfriendlynames no，可以按照下列步骤执行： 1. 在客户端使用命令lsblk f查看挂载设备的文件系统信息： plaintext [root@client ~]

Agent支持的操作系统 使用数据库安全审计功能，必须在数据库节点或应用节点安装Agent。数据库安全审计的Agent可运行在Linux64位和Windows64位操作系统上。 1.数据库安全审计的Agent支持的Linux系统版本如所示。 Agent支持的Linux系统版本说明 系统名称 系统版本 CentOS l CentOS 6.3 (64bit) l CentOS 6.5 (64bit) l CentOS 6.8 (64bit) l CentOS 6.9 (64bit) l CentOS 7.0 (64bit) l CentOS 7.1 (64bit) l CentOS 7.2 (64bit) l CentOS 7.3 (64bit) l CentOS 7.4 (64bit) l CentOS 7.5 (64bit) l CentOS 7.6 (64bit) Debian l Debian 7.5.0 (64bit) l Debian 8.2.0 (64bit) l Debian 8.8.0 (64bit) l Debian 9.0.0 (64bit) Fedora l Fedora 24 (64bit) l Fedora 25 (64bit) OpenSUSE l SUSE 13 (64bit) l SUSE 15 (64bit) l SUSE 42 (64bit) SUSE l SUSE 11 SP4 (64bit) l SUSE 12 SP1 (64bit) l SUSE 12 SP2 (64bit) Ubuntu l Ubuntu 14.04 (64bit) l Ubuntu 16.04 (64bit) l Ubuntu 18.04 (64bit) l Ubuntu 20.04 (64bit) EulerOS l Euler 2.2 (64bit) l Euler 2.3 (64bit) l Euler 2.5 (64bit) OpenEuler l OpenEuler 20.03 (64bit) Oracle Linux l Oracle Linux 6.9 (64bit) l Oracle Linux 7.4 (64bit) RedHat l Red Hat Enterprise Linux 7.4 (64bit) l Red Hat Enterprise Linux 7.6 (64bit) NeoKylin l NeoKylin 7.0 (64bit) Kylin l Kylin Linux Advanced Server release V10 (64bit) Uniontech OS l Uniontech OS Server 20 Enterprise (64bit) 2.数据库安全审计的Agent支持的Windows系统版本如下所示： −Windows Server 2008 R2(64bit) −Windows Server 2012 R2(64bit) −Windows Server 2016(64bit) −Windows 7(64bit) −Windows 10(64bit) DBSS Agent的运行依赖Npcap，如果安装过程中提示"Npcap not found，please install Npcap first"，请安装Npcap后，再安装DBSS Agent。 Npcap下载链接：[

本文帮助您快速熟悉负载均衡服务HTTP监听器的添加。 添加HTTP监听器 操作场景 HTTP协议适用于需要对数据内容进行识别的应用，如Web应用、门户网站等。 前提条件 您已经创建了弹性负载均衡实例。具体操作详见创建弹性负载均衡器。 操作步骤 步骤一：创建监听器 1. 登录弹性负载均衡弹性负载均衡控制台； 2. 在顶部右侧选择弹性负载均衡所属区域，本文选择华东华东1； 3. 选择以下一种方法打开监听器配置向导。 在负载均衡器列表页面页面，找到目标实例，在操作列单击“监听器配置向导”。 在ip类型/监听器端口/健康检查/服务器组列下方单击“开始配置”。 在负载均衡器列表页面，找到目标实例，单击“实例名称”进入实例详情页，单击添加“监听器”。 4. 在协议&监听配置向导依据HTTP监听器配置说明完成以下配置，然后点击下一步。 HTTP监听器配置说明 监听配置 说明 名称 设置监听器的名称，名称应为232位，英文开头，支持大小写英文和数字。 负载均衡器协议/端口 下拉列表选择HTTP协议，输入监听端口，取值范围1~65535。 描述 可选，填写监听器描述。 高级配置 监听器的特定参数配置：重定向 重定向 仅集群模式资源池支持开启重定向，将把此HTTP监听器的访问请求重定向至选定的HTTPS监听器。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。此功能方便业务从HTTP迁移至HTTPS的场景，可将习惯性访问HTTP的客户端平滑迁移到HTTPS。前置条件：需要预先配置好HTTPS监听器。开启重定向后，下方出现重定向至选项，从下拉列表框选择目标HTTPS监听器。注意：只能重定向至HTTPS监听器，并且每个监听器只能重定向一次。开启重定向功能后，如需获取源IP能力，请在重定向后监听器开启。 NAT64 支持将v6地址的请求转发到v4后端主机。集群模式支持，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 请求超时时间 输入范围1~300s, 缺省60s。集群模式资源池支持设置HTTP请求超时时间，在请求超时时间内接收请求的后端主机无响应，负载均衡会向所有其它后端主机重试请求。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。如果重试所有后端主机一直没有响应，则负载均衡会给客户端返回HTTP 504错误码。 空闲超时时间 输入范围1~300s, 缺省15s。集群模式资源池支持设置HTTP连接的空闲超时时间。在空闲超时时间后仍没有访问请求，负载均衡会中断当前连接。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 附加HTTP头字段 通过XForwardedFor获取客户端IP：开启获取客户端IP，将通过XForwardedFor头字段携带客户端源真实IP。 通过XForwardedProto获取监听协议：集群模式资源池支持XForwardedProto来获取客户端与负载均衡监听连接时所用的协议（HTTP/HTTPS）。 通过XForwardedPort获取监听端口：支持XForwardedPort获取客户端与负载均衡监听连接时所用的端口。 主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 QPS限速 开启每秒查询次数QPS限速，可设置此监听服务的QPS上限，减轻高访问量服务切换过程中后端服务器压力。输入范围1~200000，单位qps(query per second)，缺省 10000。集群模式资源池支持设置QPS，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 访问控制 选择是否开启访问控制。开启访问控制后，选择一种访问控制方式：黑名单、白名单。并设置访问策略组作为该监听器的白名单或黑名单。白名单：允许特定IP访问负载均衡，仅转发来自所选访问策略组中设置的IP地址或地址段的请求，白名单适用于只允许特定IP访问的场景。黑名单：禁止特定IP访问负载均衡，不转发来自所选访问策略组中的IP或地址段，黑名单适用于只限制特定IP访问的场景。

本章介绍主机迁移服务，对于源端服务器的约束和限制。 兼容性列表 Windows兼容性列表 主机迁移服务支持的Windows操作系统列表参见下表。 若您需要将不包含在Windows兼容性列表的OS版本源端服务器迁移到天翼云，您可以采用以下方式： 使用镜像服务，通过外部镜像文件创建Windows系统盘镜像。 不迁移源端服务器，直接使用公有镜像或市场镜像创建目的端服务器，然后重新部署源端服务器的应用。 使用天翼云甄选商城上云专业迁移服务。 表 windows兼容列表 OS版本 位数 支持UEFI 备注 Windows Server 2008 64 NO 无法通过UEFI方式启动Windows Server 2008/2008 R2。 Windows Server 2008 R2 64 NO Windows Server 2012 64 Yes Windows Server 2012 R2 64 Yes Windows Server 2016 64 Yes Windows Server 2019 64 Yes Windows Server 2022 64 Yes Windows 7 64 NO Windows 8.1 64 NO Windows 10 64 Yes Linux兼容性列表 主机迁移服务支持的Linux迁移方式包括：Linux文件级迁移。 支持的Linux文件级迁移OS兼容性列表，参见下表。 若您需要将不包含在下表的OS版本源端服务器迁移到天翼云，您可以采用以下方式： 使用镜像服务，通过外部镜像文件创建Linux系统盘镜像。 不迁移源端服务器，直接使用公有镜像或市场镜像创建目的端服务器，然后重新部署源端服务器的应用。 使用天翼云甄选商城上云专业迁移服务。 表 Linux文件级迁移系统兼容性列表 OS类型 OS版本 位数 是否支持UEFI Redhat Red Hat Enterprise Linux 6.0（仅支持KVM平台） 64 NO Red Hat Enterprise Linux 6.1/6.2/6.3/6.4/6.5/6.7/6.8/6.9/6.10 64 NO Red Hat Enterprise Linux 7.0 64 NO Red Hat Enterprise Linux 7.1/7.2/7.3/7.4/7.5/7.6/7.7/7.8/7.9 64 Yes Red Hat Enterprise Linux 8.0/8.1/8.2/8.3/8.4/8.5/8.6 64 Yes Red Hat Enterprise Linux 9.0 64 Yes CentOS CentOS 6.0（仅支持KVM平台） 64 NO CentOS 6.1/6.2/6.3/6.4/6.5/6.6/6.7/6.8/6.9/6.10 64 NO CentOS 7.0 64 NO CentOS 7.1/7.2/7.3/7.4/7.5/7.6/7.7/7.8/7.9 64 Yes CentOS 8.0/8.1/8.2/8.3/8.4/8.5 64 Yes CentOS Stream 8 64 Yes 源端会被识别为CentOS 8.0，不会影响迁移 CentOS Stream 9 64 Yes 源端会被识别为CentOS 9.0，不会影响迁移 Oracle Oracle Linux 6.0/6.1/6.2/6.3/6.4/6.5/6.6/6.7/6.8/6.9/6.10 64 NO Oracle Linux 7.0 64 NO Oracle Linux 7.1/7.2/7.3/7.4/7.5/7.6/7.7/7.8/7.9 64 Yes Oracle Linux 8.0/8.1/8.2/8.3/8.4/8.5 64 Yes SUSE SUSE Linux Enterprise Server 11 SP3 64 NO SUSE Linux Enterprise Server 11 SP4 64 Yes SUSE Linux Enterprise Server 12 SP0 64 Yes 该版本不支持btrfs SUSE Linux Enterprise Server 12 SP1/SP2/SP3/SP4/SP5 64 Yes SUSE Linux Enterprise Server 15 SP0/SP1/SP2/SP3 64 Yes SUSE Linux Enterprise Server 15 SP4 64 NO Ubuntu Ubuntu Server 12.04 64 NO Ubuntu Server 14.04 64 Yes Ubuntu Server 16.04 64 Yes Ubuntu Server 18.04 64 Yes Ubuntu Server 19.04 64 Yes Ubuntu Server 20.04 64 Yes Ubuntu Server 22.04 64 Yes Debian Debian GNU/Linux 6.0.10 64 NO Debian GNU/Linux 7.11.0 64 NO Debian GNU/Linux 8.0/8.1/8.2/8.3/8.4/8.5/8.6/8.7/8.8/8.9/8.10/8.11 64 NO Debian GNU/Linux 9.0/9.1/9.2/9.3/9.4/9.5/9.6/9.7/9.8/9.9/9.10/9.11/9.12/9.13 64 NO Debian GNU/Linux 10.0/10.1/10.2/10.3/10.4/10.5/10.6/10.7/10.8/10.9/10.10/10.11/10.12/10.13 64 Yes Debian GNU/Linux 11.0/11.1/11.2 64 Yes Debian GNU/Linux 11.3/11.4/11.5/11.7 64 NO Fedora Fedora 23/24/25/26/27/28/29/33/34/35/36/37 64 NO EulerOS EulerOS 2.2.0 64 NO EulerOS 2.3.0 64 NO EulerOS 2.5.0 64 NO Amazon Linux Amazon Linux 2.0 64 NO Amazon Linux 2018.3 64 NO Alibaba Cloud Linux Alibaba Cloud Linux 3.2104 64 NO Alibaba Cloud Linux 3.2104快速启动版 64 NO Alibaba Cloud Linux 2.1903 LTS 64 NO Alibaba Cloud Linux 2.1903 LTS快速启动版 64 NO Alibaba Cloud Linux 2.1903 LTS等保2.0三级版 64 NO TencentOS TencentOS Server 2.4 64 NO TencentOS Server 2.4 (TK4) 64 NO TencentOS Server 3.1 (TK4) 64 NO Kylin Kylin Linux Advanced Server V10 (Sword) 64 NO OpenEuler OpenEuler 20.03 64 NO OpenEuler 21.09 64 NO OpenSUSE OpenSUSE 15.1/15.2/51.3/15.4 64 NO Rocky Linux Rocky Linux 8.5/8.6/8.7/9.0/9.1 64 NO

密钥管理服务提供密钥的全托管的生命周期管理能力，支持基于API接口的数据加解密和数字签名验签。 KMS支持的密钥类型说明 KMS对加密算法、保护级别以及应用场景的支持情况请参见如下表格。 密码算法大类 密码算法子类 保护级别 是否支持加解密 是否支持签名验签 对称密钥 AES256 Software HSM 支持 不支持 对称密钥 SM4 HSM 支持 不支持 非对称密钥 RSA2048 Software HSM 支持 支持 非对称密钥 SM2 HSM 支持 支持 对称密钥主要用于数据的加密保护场景，可通过接口调用进行在线加密或者信封加密。更多信息，请参见对称密钥概述。 非对称密钥可用于数据加密和数字签名。在KMS创建的非对称用户主密钥（CMK），由一对关联的公钥和私钥构成。公钥可以被分发给任何人，而私钥由KMS确保安全性，不提供任何接口导出非对称密钥的私钥。使用者仅能通过接口调用私钥进行签名运算或者数据解密。更多信息，请参见非对称密钥概述。 KMS密钥管理功能 KMS提供集中托管的密钥全生命周期管理，您可以轻松创建并使用密钥。 功能 说明 参考文档 密钥生命周期管理 通过KMS可创建用户主密钥CMK（Customer Master Key），支持对CMK进行启用、禁用、删除等生命周期管理。 密钥支持软件或硬件的密钥保护级别，硬件密钥通过硬件安全模块（HSM）的保护，满足更高的安全性。 支持导入自带密钥材料到KMS中（BYOK），满足一些特定的安全需求。 创建密钥 导入密钥材料 启用禁用密钥 计划删除密钥 密钥版本管理 支持通过密钥版本化或定期轮转来加强密钥使用的安全性，实现数据保护的安全策略。 密钥版本管理 密钥别名管理 支持设置密钥别名，更方便的使用密钥。 别名管理

您可以通过事件规则过滤事件，将事件路由到分布式消息服务RabbitMQ。本文以自定义事件为例介绍将事件路由到函数计算的前提条件、操作步骤和结果验证。 前提条件 开通事件总线EventBridge并委托授权 创建自定义总线服务 开通分布式消息服务RabbitMQ，创建实例并创建相应的交换器、队列 操作步骤 1. 登录事件总线EventBridge控制台，在左侧导航栏，单击事件总线。 2. 选择目标总线，点击事件源按钮，点击创建事件源按钮，创建一个自定义事件源；填写事件源名，事件提供方可选择自定义应用 3. 在左侧导航栏，单击事件规则，然后单击创建规则。 4. 在创建规则页面，完成以下操作，如图1所示。 1. 在配置基本信息 配置向导页面中，在名称 文本框输入规则名称，在描述 文本框输入规则的描述，然后单击下一步。 2. 在配置事件模式 配置向导页面中，事件源类型选择自定义事件源，事件源选择对应的自定义事件源，在事件模式内容代码框输入事件模式，这里可选择匹配全部事件，然后单击下一步。 3. 在配置事件目标配置向导，配置事件目标，分布式消息服务RabbitMQ目标参数描述如下，然后单击创建。 图1 创建事件目标时选择服务类型为分布式消息服务RabbitMQ 参数说明 参数 说明 示例 实例 选择分布式消息服务RabbitMQ实例。 instancexxx Vhost 选择RabbitMQ实例的Vhost。 POST 目标类型 选择发送到RabbitMQ的目标类型。 交换器：通过选择交换器和路由键，事件带上路由键会发送到所选择交换器。 队列：事件会发送到目标队列。 队列 queuexxx 消息体 选择作为消息体的事件内容，更多内容请参考事件内容转换。 完整事件 MessageId 选择MessageId的内容，更多内容请参考事件内容转换。 无 自定义属性 选择自定义属性（Properties）的内容，更多内容请参考事件内容转换。 无

本文帮助您更快了解如何规划路由策略。 路由表由一系列路由规则组成，用于控制VPC内子网或网关的出流量走向。如果您无需对子网的流量走向进行特殊控制，默认VPC内网互通的情况下，则使用默认路由表即可，无需配置自定义路由策略；如果您需要对VPC内的网络流量走向进行特殊控制，则可以对路由表进行自定义路由配置。 规划路由策略是确保网络数据包按照预期的方式进行路由转发的过程。下面是规划路由策略的一般步骤： 1. 确定网络拓扑：了解网络的整体结构和拓扑图是规划路由策略的首要步骤。确定各个VPC之间的连接和子网的划分。 2. 定义路由目标：根据组织的需求和目标，确定不同子网或VPC之间的通信需求。确定哪些子网需要直接相互通信，哪些子网需要通过特定的网关或中转设备进行访问。 3. 划分路由域：将网络划分为逻辑上独立的路由域，通常以子网为单位。每个路由域内的主机可以直接通信，而不同路由域之间的通信需要通过匹配路由规则实现。 4. 配置路由策略：根据预定的网络拓扑和路由目标，配置各个路由域上的路由策略。路由策略定义了数据包在路由之间的传输路径、下一跳和优先级等重要参数。需确保路由策略的一致性和正确性，避免发生路由环路或重复路由等问题。 5. 测试和优化：在应用路由策略之前，进行测试和验证以确保路由器之间的连通性和正确路由。根据需要，对路由策略进行优化，以提高路由的效率、可靠性和安全性。 6. 监控和维护：定期监控路由域的状态，检查路由表和路由策略的变化。根据需要，进行路由表的清理和优化，以确保网络的正常运行和良好的性能。 注意 路由策略的规划是一个复杂的过程，具体的步骤和配置方式会因网络规模和网络需求的不同而有所差异。

本文主要介绍健康检查概述。 负载均衡器会定期向后端云主机发送请求以测试其运行状态，这些测试称为健康检查。通过健康检查来判断后端云主机是否可用。负载均衡器如果判断后端云主机健康检查异常，就不会将流量分发到异常后端云主机，而是分发到健康检查正常的后端云主机，从而提高了业务的可靠性。当异常的后端云主机恢复正常运行后，负载均衡器会将其自动恢复到负载均衡服务中，承载业务流量。 如果您的业务对负载比较敏感，过于频繁的健康检查报文可能会对您的正常业务产生影响。您可以根据实际的业务情况，通过增大健康检查间隔，或者将七层健康检查改为四层健康检查等方式来降低对业务的影响。如果您的业务系统自身有健康检查机制，也可以关闭负载均衡器的健康检查，但是为了保障业务的持续可用，不建议这样做。 对于四层监听器，健康检查适用的版本是HTTP 1.1；对于七层监听器，共享型负载均衡健康检查适用的版本是HTTP 1.1，独享型适用HTTP 1.0。 TCP健康检查的机制如下： 1. ELB节点根据健康检查配置，向后端云主机（IP+健康检查端口）发送TCP SYN报文。 2. 后端云主机收到请求报文后，如果相应的端口已经被正常监听，则会返回SYN+ACK报文。 如果在超时时间内没有收到后端云主机的SYN+ACK报文，则判定健康检查失败。然后发送RST报文给后端云主机中断TCP连接。 如果在超时时间内收到了SYN+ACK报文，则发送ACK给后端云主机，判定健康检查成功，并发送RST报文给后端云主机中断TCP连接。 注意 正常的TCP三次握手后，会进行数据传输，但是在健康检查时会发送RST中断建立的TCP连接。该实现方式可能会导致后端云主机中的应用认为TCP连接异常退出，并打印错误信息，如“Connection reset by peer”。解决方案如下： 采用HTTP方式进行健康检查。 后端云主机忽略健康检查的连接错误。

本文主要介绍镜像服务最佳实践汇总。 本文汇总了基于镜像服务常见应用场景的操作实践，每个实践为您提供详细的方案描述和操作指导，帮助您轻松构建基于镜像的相关业务。 最佳实践 说明 基于VirtualBox使用ISO创建Windows镜像 本章节主要介绍基于VirtualBox制作Windows镜像。 包括安装VirtualBox，并基于VirtualBox使用ISO创建虚拟机，完成虚拟机配置后生成vhd格式镜像。 基于VirtualBox使用ISO创建Linux镜像 本章节主要介绍基于VirtualBox制作Linux镜像。 包括安装VirtualBox，并基于VirtualBox使用ISO创建虚拟机，完成虚拟机配置后生成vhd格式镜像。 Windows操作系统云主机磁盘空间清理 本章节操作指导您完成Windows操作系统云主机磁盘空间清理。 转换镜像格式 本章节操作指导您使用qemuimg工具转换镜像格式。 qemuimg工具支持vhd、vmdk、qcow2、raw、vhdx、qcow、vdi或qed格式的镜像之间相互转换。 利用ISO为镜像配置本地源 本章节介绍了yum、apt和zypper包管理器下配置本地源的方法， 并提供了Debian 10.1.0和CentOS 8.0的配置示例。 跨帐号迁移业务数据（只迁移数据盘） 用户的业务数据一般保存在数据盘中，要想实现业务数据跨帐号迁移， 需要用到镜像服务的创建数据盘镜像、共享镜像等功能。 本章节为您详细介绍跨帐号迁移业务数据的操作流程。 跨帐号迁移业务数据（迁移系统盘+数据盘） 如果您的业务数据同时保存在数据盘和系统盘中，要想实现业务数据跨帐号迁移， 需要用到镜像服务的创建整机镜像、共享镜像等功能。 本节操作为您详细介绍跨帐号迁移业务数据（包括系统盘和数据盘数据）的操作流程。

本节主要介绍如何在智能视图服务控制台使用鉴权功能。 点击左侧导航栏的【系统管理系统设置】，顶部选择【鉴权】进入该页面，支持用户使用推流鉴权和播放鉴权功能。 推流鉴权 为防止RTMP设备的推流地址被盗链，用户可开启推流鉴权，鉴权Key及有效时长将应用于RTMP设备在平台生成的推流地址，可在RTMP设备详情页获取推流地址，RTMP设备接入流程请参考【设备管理RTMP设备接入】。 推流地址仅在用户设置的有效时长内可用来推流，已经发起的推流行为不会因超出有效期而中止。 播放鉴权 为防止平台设备被盗链播放，用户可开启播放鉴权，通过加密后的地址进行监控流的实时观看，提供默认鉴权和自定义鉴权两种鉴权方式。 默认鉴权：鉴权服务在智能视图服务侧，用户可自定义设置鉴权Key及有效时长等，智能视图服务侧将会对播放请求进行鉴权。 自定义鉴权：鉴权服务由用户提供，用户可自定义设置鉴权服务器地址，智能视图服务侧会将播放请求转发至用户设置的鉴权服务器进行鉴权。 默认鉴权 平台将使用用户设置的播放鉴权Key生成加密的实时预览播放地址，实时预览播放地址仅在用户设置的有效时长内可用来播放，已经发起的播放行为不会因超出有效期而中止。 若用户开启URL展示配置，可在设备详情页获取设备的实时预览播放地址。 地址自动更新选项默认为开启状态，将自动获取最新地址（历史有效地址仍可正常使用）；若用户关闭该选项，将固定展示当前有效地址（仅当该地址失效时才会自动返回最新地址），建议开启该选项。

本文为您介绍客户端(个人电脑、手机、平板等)如何通过SSL VPN连接VPC。 背景信息 客户端通过SSL VPN隧道远程接入VPC，实现与VPC内资源的安全通信。 前提条件 客户端的地址池和VPC的子网网段没有重合。 客户端可以访问互联网。 您已经了解VPC中所应用的安全组规则，并确保安全组规则允许客户端访问云上资源。 操作步骤 步骤一：创建VPN网关 1. 登录控制中心。 2. 单击控制中心左上角的，选择目标资源池。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在VPN连接页面，单击“创建VPN网关”，进入订购页面，按照提示配置参数。 参数 说明 取样 计费模式 选择创建VPN网关所使用的计费模式。 包年/包月 地域 VPN网关所在的资源池。 华东1 名称 VPN网关的名称。 vpngw1 网关类型 选择VPN网关的类型。 普通 实例类型 选择VPN网关的实例类型。 SSL 企业项目 选择当前VPN网关归属项目。 default 本端类型 通过VPN网关接入的资源类型。 虚拟私有云VPC 虚拟私有云 选择要使用的VPC作为本端资源。 vpc682f 子网 选择当前VPC中本端的子网资源。 subnet12345 SSL带宽 VPN网关要通过弹性IP访问公网，这里选择对应的弹性IP带宽大小。单位：Mbps，5M 起售。 20M SSL并发连接数 选择对应的SSL VPN并发连接数。 20 购买时长 包年包月场景需要选择，购买VPN网关实例的时长。 6个月 自动续订 资源到期后自动续订，按月购买时按月续订，按年购买时按年续订。 开启 5. 单击“下一步”。 6. 在购买确认页，勾选服务协议，点击“确认下单”，进入订单列表。 7. 在订单页面，点击“立即支付”，支付成功后，VPN网关创建成功。 说明 记录VPN网关的IP地址，步骤五配置客户端的时候使用。

本节介绍了云容器引擎的最佳实践; 集群命名空间RBAC授权。 应用现状 云容器引擎的权限控制有两种：集群权限和命名空间权限，以下篇幅将介绍云容器引擎针对集群权限的ClusterRole的创建、权限绑定和验证做简单介绍。 RBAC（RoleBased Access Control） 是基于角色（Role）的访问控制。您可以通过RBAC将权限和集群角色关联，以达到为不同的角色成员配置不同的权限，从而降低账号的安全风险。RBAC的Kubernetes对象的Role或者ClusterRole中包含一组代表相关权限的规则。Role用来在某个命名空间内设置访问权限，ClusterRole则是用于为集群范围的资源定义访问权限。 权限策略说明 您可自行编写权限策略，或通过云容器引擎的控制台创建自定义策略。 ClusterRole创建 针对您要定义集群范围的角色，那么请使用ClusterRole。下面是一个创建ClusterRole的YAML示例。 apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: clusterRoletest rules: apiGroups: metrics.k8s.io resources: pods verbs: get list watch 关于ClusterRole或者Role的更多信息，请参见Role和ClusterRole。 预置角色权限说明 预置角色 集群内RBAC权限 管理员 对集群所有命名空间下 Kubernetes 资源的 RBAC 读写权限， 对集群节点、存储卷、命名空间、配额的读写权限 运维人员 对集群所有命名空间下控制台可见 Kubernetes 资源的 RBAC 读写权限， 对集群节点、存储卷、命名空间、配额的只读权限 开发人员 对集群所有命名空间或所选命名空间下控制台可见 Kubernetes 资源的 RBAC 读写权限 受限人员 对集群所有命名空间或所选命名空间下控制台可见 Kubernetes 资源的 RBAC 只读权限 自定义 权限由您所选择的 ClusterRole 决定，请在确定所选 ClusterRole 对各类资源的操作权限后再进行授权，以免子账号获得不符合预期的权限

本文向您介绍使用企业交换机构建IDC和云上的大二层网络的最佳实践概述。 应用场景 某公司希望将云下IDC的部分业务迁移上云，在IDC内，业务主机采用集群部署，组网示意图如下所示。 迁移上云过程中，该公司有以下诉求： 按主机粒度迁移上云，迁移中不能中断业务。 由于IDC内主机访问配置文件中记录的不是域名地址，而是真实的IP地址，迁移上云不改变原有主机IP地址。 图IDC内业务集群架构 方案架构 天翼云支持通过企业交换机（Enterprise Switch，ESW） 构建客户IDC和云上二层网络互通，在二层网络内，实现主机粒度迁移，助力客户IDC迁移上云期间业务不中断，不修改IP地址的诉求。 通过企业交换机迁移IDC的组网示例如下图所示，本示例中将IDC内的VMB在不修改IP的前提下，迁移到云上。迁移过程说明如下： 1. 使用云专线或VPN建立云上与云下IDC隧道子网之间的三层网络通信。因为企业交换机建立二层通信网络时，依赖隧道子网之间的三层网络。 2. 创建企业交换机、建立二层连接、配置VXLAN交换机，建立云上与云下IDC的二层网络通信。 3. 将主机VMB（10.0.1.8）迁移到云上ECSB（10.0.1.21），检查好VMB和ECSB的网络通信后，待业务低谷时期关闭IDC内的VMB。 短暂关闭VMB时，业务主要由IDC内的VMA（10.0.1.131）承载，因此不会中断业务。 注意 此处为了验证VMB和ECSB之前的正常通信，刚迁移上云的ECSB和VMB的IP地址不能一样，否则无法正常通信。 4. 关闭IDC内的VMB后，将云上的ECSB地址由10.0.1.21改为10.0.1.8，此时业务流量会通过企业交换机转发到云上的ECSB处理，确保迁移后不改变主机IP地址。 同时，云上的ECSB和IDC内的VMA也可以自由互访，就像还位于同一个子网中。

参数 描述 管理员账户名 管理员账户名默认为rwuser。 管理员密码 用户设置的密码。 长度为8～32个字符。 必须是大写字母、小写字母、数字、特殊字符的组合，其中可输入~!@%^+?特殊字符。 系统会进行弱密码校验，安全起见，请输入高强度密码。 请妥善管理您的密码，因为系统将无法获取您的密码信息。 确认密码 必须和管理员密码一致。 参数模板 数据库参数模板就像是数据库接口配置值的容器，参数模板中的参数可应用于一个或多个相同类型的数据库实例。 实例创建成功后，您可以根据业务需要调整参数，具体操作请参见 企业项目 该参数针对企业用户使用。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 请在下拉框中选择所在的企业项目。 SSL安全连接 SSL证书是一种遵守SSL协议的服务器数字证书，能在客户端和服务器端之间建立加密通道，保证数据在传输过程中不被窃取或篡改。 您可以启用SSL安全连接，提高数据安全性，实例创建成功后，通过SSL的方式连接实例。 开启SSL安全连接之后，支持选择默认证书和通过CCM服务签发的证书。 默认证书由系统自动提供，无需设置，待实例创建成功后，您可以参见

本节主要介绍GeminiDB Influx接口的按需计费。 按需计费是一种先使用再付费的计费模式，适用于无需任何预付款或长期承诺的用户。本文将介绍GeminiDB Influx实例的按需计费规则。 适用场景 按需计费适用于具有不能中断的短期、突增或不可预测的应用或服务，例如电商抢购、临时测试、科学计算。 适用计费项 按需计费包含以下计费项。 表1 适用计费项 计费项 说明 实例规格 对所选的实例规格进行计费，包括vCPU和内存。 存储空间 对数据库存储空间进行计费，按需计费的存储空间费用按照实际使用量每小时计费。 备份空间 GeminiDB Influx提供了部分免费存储空间，用于存放您的备份数据，其总容量为您购买存储容量的100%。备份存储用量超过购买存储容量的100%，超出部分将按照备份计费标准收费，计费方式为按需计费（每小时扣费一次），不足一小时按照实际使用时长收费。 冷存储空间（可选） GeminiDB Influx提供了冷存储空间，适用于数据量大，查询频率低的业务场景，购买冷存储空间会额外计费。 公网带宽（可选） GeminiDB Influx实例支持公网访问，公网访问会产生带宽流量费；GeminiDB Influx数据库实例在云内部网络产生的流量不计费。 假设您计划购买一个规格为2CPUs 8GB，3个节点，存储空间容量为100GB，冷存储空间容量为500GB的GeminiDB Influx实例。在购买数据库实例页面底部，您将看到所需费用的明细（不包含备份空间费用），如图1所示。 图1 配置费用 配置费用将包括以下部分： 云数据库虚拟机：根据所选配置（包括vCPU和内存）计算的费用。 云数据库存储空间：根据所选存储空间计算的费用。 说明 备份空间费用，使用后按照统一标准计费，购买时不包含在配置费用中，可通过云数据库 GeminiDB价格详情查看。 图2 备份空间计费

管理脚本任务 云堡垒机支持快速运维功能，用户可通过脚本方式快速运维多个目标资源。通过将脚本在多个SSH协议主机资源上执行，并根据发起的脚本，返回相应执行结果。 本小节主要介绍如何管理脚本任务，包括创建脚本任务、执行脚本任务、中断脚本任务、查看任务执行结果等。 约束限制 仅专业版云堡垒机支持快速运维功能。 仅支持快速运维Linux主机（SSH协议类型）资源的任务。 暂不支持快速运维Windows主机资源、数据库资源和应用资源的任务。 前提条件 已获取“快速运维”模块管理权限。 已获取资源访问控制权限，即已配置访问控制策略或访问授权工单已审批通过。 资源主机网络连接正常。 操作步骤 1 登录云堡垒机系统。 2 选择“运维 > 快速运维 > 脚本控制台”，进入快速脚本运维页面。 3 配置快速脚本运维信息。 快速脚本运维参数说明 参数 说明 :: 执行脚本 输入针对主机资源需执行的脚本。 可选择“脚本管理”中脚本内容，也可新上传本地脚本文件。 脚本参数 （可选）自定义脚本参数。 执行帐户 “选择”已创建的SSH协议类型资源账户或帐户组。 “重置”已选择的资源账户或帐户组。 说明 每个资源的执行帐户最多一个。 更多选项 （可选）用户对资源账户执行任务权限不够时，需勾选上“提权执行”，用户需在该主机资源的Sudoers文件下执行任务。 4 立即执行脚本任务。 单击“立即执行”，即可针对目标资源，执行当前脚本任务。 5 中断脚本任务。 任务正在执行时，单击“中断执行”，可中断脚本任务。 “中断执行”会将当前执行帐户完成后才停止任务，再立即终止未执行的帐户。 6 查看执行结果。 脚本任务执行完成后，查看当前脚本任务执行结果。查看更多历史任务执行结果，请参见：管理快速任务执行日志。 在执行结果区域，在搜索框中输入关键字，根据资源名称、执行结果、执行帐户，快速查询任务执行结果。 单击“展开”，即可查看目标任务执行结果。 单击“导出”，即可下载当前脚本任务执行结果的CSV格式文件保存到本地。

本节介绍了移动办公使用的最佳实践介绍。 天翼AI云电脑支持手机、Pad等多种移动终端，使用3/4/5G、WIFI网络登录AI云电脑，即可随时随地访问AI云电脑资源，随时进行收发文件，及时处理办公问题，实现移动办公。 前提条件 已开通天翼AI云电脑，详情请参见快速订购AI云电脑。 注意事项 天翼AI云电脑支持多终端适配：适配PC、Mac、iOS、安卓等多种终端，多外设支持：鼠标、键盘、打印机、扫描仪等外设无缝衔接（备注：手机、Pad等移动终端不支持USB外设），详情可查看外设兼容性建议清单。 应用场景说明 其常用方式： (1)外出无需携带电脑，通过手机等移动客户端接入AI云电脑进行操作，轻松调用云端资源进行移动办公； (2)天翼AI云电脑客户端支持接入扩展坞、键盘、鼠标等主流外设，与传统PC一致的使用体验。 操作步骤 步骤一：以天翼AI云电脑移动客户端为例，帮助您快速登录连接AI云电脑。步骤详见：登录连接AI云电脑 执行结果 当用户通过手机等移动客户端接入AI云电脑进行操作，轻松调用云端资源进行移动办公。例如：文档编辑，邮件接收和发送，浏览网页，日程办公软件使用等场景都可以轻松实现。 场景一：文档编辑 （1）和传统PC一样，可以在AI云电脑内正常使用文档编辑器，进行文档编辑。 （2）在编辑过程中可以使用AI云电脑内的键盘功能，更便捷的进行编辑输入。 场景二：邮件接收和发送 可以在AI云电脑内通过浏览器或安装邮箱客户端实现邮件的查收和发送。

本文主要介绍使用NodeLocal DNSCache提升DNS性能。 应用现状 集群在做DNS解析时，如果请求量大，那CoreDNS将承受压力，会有如下影响。 查询变慢，影响业务性能。 为保证性能，CoreDNS需要更高规格的配置。 解决方案 NodeLocal DNSCache 通过在集群节点上运行 DNS缓存代理来提高集群 DNS 性能。 启用NodeLocal DNSCache之后，DNS查询所遵循的路径如下图所示。 NodeLocal DNSCache查询路径 插件安装 CCE提供了nodelocaldns插件，可以方便的安装NodeLocal DNSCache。 说明 nodelocaldns插件仅支持1.19及以上版本集群。 NodeLocal DNSCache不提供Hosts、Rewrite等插件能力，仅作为CoreDNS的透明缓存代理。如有需要，可在CoreDNS配置中修改。 kubesystem命名空间下的Pod不支持自动注入。 步骤 1 （可选）修改CoreDNS配置，让CoreDNS优先采用UDP协议与上游DNS服务器通信。 NodeLocal DNSCache采用TCP协议与CoreDNS进行通信，CoreDNS会根据请求来源使用的协议与上游DNS服务器进行通信。当使用了NodeLocal DNSCache时，访问上游DNS服务器时会使用TCP协议，而云上DNS服务器对TCP协议支持有限，如果您使用了NodeLocal DNSCache，您需要修改CoreDNS配置，让其总是优先采用UDP协议与上游DNS服务器进行通信，避免解析异常。 执行如下命令修改。 kubectl edit configmap coredns nkubesystem 在forward插件中指定请求上游的协议为perferudp，修改之后CoreDNS会优先使用UDP协议与上游通信。 forward . /etc/resolv.conf { preferudp } 步骤 2 登录CCE控制台，单击集群名称进入集群，在左侧导航栏中选择“插件管理”，在右侧找到 nodelocaldns ，单击“安装”。 步骤 3 在安装插件页面，选择插件规格，并配置相关参数。 enablednsconfigadmission ：是否自动注入DNSConfig至新建的Pod中。默认为 false ，设置为true表示支持自动注入，避免您手工配置Pod YAML进行注入。 步骤 4 完成以上配置后，单击“安装”。

本节介绍安全分析的使用约束与限制，以及支持接入的云产品和日志。 态势感知（专业版）的安全分析功能是一种云原生安全信息和事件管理（SIEM）解决方案，支持采集多产品的安全日志及告警，并基于预定义和自定义的安全检测规则对多来源的告警及日志进行聚合分析，旨在帮助企业快速发现和响应安全事件，实现对云负载、各类应用及数据的安全保护。 支持接入的云产品和日志 态势感知（专业版）支持集成多种云产品的日志数据。集成后，可以检索并分析所有收集到的日志。 具体支持接入的云服务日志请参见支持接入的云服务日志。 使用流程 子流程 说明 新增工作空间 新增工作空间，用于资源隔离和控制。 云服务接入 配置需要接入的数据。 态势感知（专业版）支持集成存储、管理与监管、安全等多种云产品的日志数据。集成后，可以检索并分析所有收集到的日志。 （可选）新增数据空间 创建用于存储收集日志数据的数据空间。 通过控制台接入的数据，系统将创建默认数据空间，无需再进行创建。 （可选）创建管道 创建用于日志数据的采集、存储和查询的数据管道。 通过控制台接入的数据，系统将创建默认数据管道，无需再进行创建。 配置索引 配置索引条件，缩小查询范围。 查询与分析 对接入的数据进行查询、分析。 下载日志 支持将原始日志或查询分析后的日志下载到本地。 查看图表统计结果 当您执行了查询分析语句后，态势感知（专业版）支持通过图表统计的形式对查询和分析的结果进行可视化展示。 目前支持表格、折线图、柱状图和饼图方式进行展示。

本页介绍天翼云TeleDB数据库锁管理相关参数。 deadlocktimeout (integer) 这是进行死锁检测之前在一个锁上等待的总时间（以毫秒计）。死锁检测相对昂贵，因此服务器不会在每次等待锁时都运行这个它。我们乐观地假设在生产应用中死锁是不常出现的，并且只在开始检测死锁之前等待一会儿。增加这个值就减少了浪费在无用的死锁检测上的时间，但是减慢了报告真正死锁错误的速度。默认是1 秒（1s），这可能是实际中你想要的最小值。在一个高负载的服务器上，你可能需要增大它。这个值的理想设置应该超过你通常的事务时间，这样就可以减少在锁释放之前就开始死锁检查的机会。只有超级用户可以更改这个设置。 当loglockwaits被设置时，这个参数还可以决定发出关于锁等待的日志之前等待的时长。如果你想调查锁延迟，你可能希望设置一个比正常的deadlocktimeout小的值。 maxlockspertransaction (integer) 共享锁表跟踪在maxlockspertransaction (maxconnections + maxpreparedtransactions) 个对象（如表）上的锁。因此，在任何一个时刻，只有不超过这么多个可区分对象能够被锁住。这个参数控制为每个事务分配的对象锁的平均数量。个体事务可以锁住更多对象，数量可以和锁表中能容纳的所有事务的锁一样多。这not是能被锁住的行数，那个值是没有限制的。默认值 64 已经被历史证明是足够的，但是如果你有需要在一个事务中使用很多不同表的查询（例如查询一个有很多子表的父表），你可能需要提高这个值。这个参数只能在服务器启动时设置。 当运行一个后备服务器时，你必须设置这个参数为大于等于主服务器上的值。否则，后备服务器上将不允许查询。

本章节主要介绍作业开发的作业开发流程。 作业开发功能提供如下能力： 提供图形化设计器，支持拖拉拽方式快速构建数据处理工作流。 预设数据集成、计算&分析、资源管理、数据监控、其他等多种任务类型，通过任务间依赖完成复杂数据分析处理。 支持多种作业调度方式。 支持导入和导出作业。 支持作业状态运维监控和作业结果通知。 提供编辑锁定能力，支持多人协同开发场景。 支持作业的版本管理能力。 开发作业前，您可以通过下图了解数据开发模块作业开发的基本流程。 作业开发流程 1. 新建作业：当前提供两种作业类型：批处理和实时处理，分别应用于批量数据处理和实时连接性数据处理，具体请参见新建作业。 2. 开发作业：基于新建的作业，进行作业开发，您可以进行编排、配置节点。具体请参见开发作业。 3. 调度作业：配置作业调度任务。具体请参见调度作业。 − 如果您的作业是批处理作业，您可以配置作业级别的调度任务，即以作业为一个整体进行调度，支持单次调度、周期调度、事件驱动调度三种调度方式。具体请参见调度作业章节中的“配置作业调度任务（批处理作业）”。 − 如果您的作业是实时处理作业，您可以配置节点级别的调度任务，即每一个节点可以独立调度，支持单次调度、周期调度、事件驱动调度三种调度方式。具体请参见调度作业章节中的“配置节点调度任务（实时作业）”。 4. 提交版本并解锁：作业调度配置完成后，您需要提交版本并解锁，提交版本并解锁后才能用于调度运行，便于其他开发者修改。具体请参见提交版本并解锁。 5. （可选）管理作业：作业开发完成后，您可以根据需要，进行作业管理。具体请参见（可选）管理作业。

本小节介绍渗透测试价格，分为小型、中型和大型三类，客户可根据自身系统规模进行选择。 订购须知 1、渗透测试以电子报告形式提供一次性服务； 2、功能点指应用系统中可增删改查业务数据的入口或流程，针对多个页面有新增、上传等功能点且api接口、参数都相同，可计为一个功能点； 3、本产品一经订购立即生效，除不可抗力外不支持退订。渗透测试服务有效期为一个自然年，即从购买之日起一年内都可以联系我们进行实施。强烈建议您购买后尽快实施，解决安全问题宜早不宜迟，到期后渗透测试服务不可再使用。 资费说明 渗透测试资费标准价格如下： 描述 规格 单价 小型 小型系统渗透测试：测试对象功能点1~10个; 10,000元/次 中型 中型系统渗透测试：测试对象功能点1160个； 40,000元/次 大型 大型系统渗透测试：测试对象功能点61120个； 70,000元/次 例如： 展示类系统，如门户网站包含展示页面5个、反馈页面1个，页面中无其他增删改查功能点，功能点数量为6个≤10个，为1个小型系统。 交互查询类，如政务网站、订票、业务办理等系统，包含5个1级功能入口>共10个2级功能页面，每个页面包含增删改查4个功能点，则该系统功能点数量累计为40≤60个，为1个中型系统，可下单1个中型系统或者4个小型系统。 交易管理类，以交易、复杂管理系统为主，如OA、电商、网银、app、管理后台等系统，包含10个1级功能入口>共28个2/3级功能页面，每个页面包含增删改查下载上传6个功能点，则该系统功能点数量累计为168≥120个，等同于1个大型（120以内）+1个中型（60以内）系统，可下单1个大型系统和1个中型系统。 注意 具体以各版本的订购页面和控制台展示为准。

本章节介绍应用服务网格CSM产品规格 应用服务网格CSM当前支持的规格版本：标准版 版本 支持pod数量 标准版 1000 应用服务网格CSM当前支持的Istio版本： Istio 版本 1.19.0 1.20.0 1.21.0

云资源集成系统产品使用手册 一、 产品概述 1.1 产品介绍 云资源集成管理系统CRIMS 是一款数据中心资产监测管理软件，旨在帮助数据中 心管理相关人员或资产所有人解决资产管理混乱、资产状态未知、已有资产使用不明确 等问题。 本系统以功能模块做标准版及增购版的区分，标准版含：首页、监测、数据分析、 发现、告警、系统；增购版另有能耗、资产、机房、报修、专线、存储、自动装机、vKVM、 控制管理模块可组合加购。 1.2 产品核心能力 CRIMS 采用领先的带外与带内结合管理技术实现对业务硬件与软件的全方面监控， 可对数据中心 IT 基础设施进行监测、管理运营，为软硬件设备提供全生命周期管理，实 现设备从采购、安装使用，再到运维、报废的全过程服务。并对监测数据进行分析、管 理，为日常运营提供支持。CRIMS 无需在每台服务器上安装代理软件，减少对操作系 统的影响。可以有效帮助用户减少繁琐、重复、费时的各项运维工作，保障数据中心设 备安全、稳定运行，同时降低数据中心运营成本。 1.3 产品优势 CRIMS 硬件监控方面支持各个品牌各个型号的小型机、刀片服务器、刀箱、塔式& 机柜式服务器的硬件状态和各个厂家的高端存储、中端存储、低端存储、虚拟化存储、 虚拟带库、物理带库等存储资源，硬件监控内容包括：电源、风扇、内置磁盘、CPU、 内存、网卡、HBA 卡、拓展模块等服务器各个部件运行状态，配置信息，电源、风扇、 电池、磁盘柜、硬盘、控制器、Array、机械手、磁带机等； CRIMS 软件监控方面支持监控主流操作系统：Linux，Windows，AIX，AS400， ScoUnix，Solaris，HP Unix，国产 UOS 的服务状态；主流云平台：VMWare，Red Hat， FusionCompute，Amazon，阿里云，Docker 的虚 机状态；主流数据库：DB， MySQL,Oracle,Oracle Rac,Oscar,PostgreSQL,SQLServer,SyBase 的库状态,主流应用 程序：AD，Apache，HACMP，IBM MQ，IIS，Nginx，PowerHA，RHCS，Resin， Exchange，JBoss，JBoss EAP，Kafka，Lotus，Memcached，PolyCom，Redis，Tomcat， Tuxedo，Url Recored，WebLogic，Zookeeper 的进程状态，软件监控内容包括：时间 校验，文件数量，进程数量，IO 性能，网络速率，服务状态，Lun，Cache 统计，控制 器，，FC 端口，PCIe 端口，FCoE 端口，NE 节点，异网 IP，文件系统，线程缓存，缓 冲排序，Query 缓存，访问量(QPS)，数据库引擎，主备复制，表空间信息，数据目录等。 更多产品使用具体方法请下载附件查看。 云资源集成系统产品使用手册part1智能运维标准服务.pdf