本文介绍云容器引擎Serverless版的应用场景。 应用托管 Serverless集群无需购买节点即可轻松部署容器应用，无需对集群进行节点维护和容量规划，大大降低业务的基础设施管理和运维成本，提供高效的应用托管服务。 突发业务 面对有明显波峰波谷特征的业务负载，Serverless集群的秒级伸缩能力能够以最低的成本代价平滑应对流量高峰，保证业务的高可用和性能。 数据计算 面对数据分析或机器学习训练等任务，Serverless集群可以提供快速、灵活的计算资源，快速启动大量Pod实例在短时间内运行特定的计算任务，计算结束后释放自动停止计费，极大降低了整体的计算成本。 CI/CD Serverless集群可以轻松搭建各种持续集成环境，帮助用户快速构建测试环境和自动化的部署流程，同时为各种持续集成任务之间提供隔离性和安全性。

本节介绍了使用专属云（存储独享型）过程中的故障处理和影响。 第一种情况 服务器或者磁盘出现故障后，被踢出存储池，对外呈现的“总可用容量”会变小，故障处理后，“总可用容量”恢复原状。 第二种情况 服务器或者磁盘出现故障后，未被踢出存储池，则存储池降级，不影响存储池使用，故障处理后，存储池恢复正常。 说明 存储池降级指的是，存储池中部分数据由三副本变为两副本，并且在没有人工处理故障的情况下无法自动恢复成三副本。 第三种情况 服务器或者磁盘出现故障后，可能会中断业务。比如存储池已使用98%，此时服务器或者磁盘出现故障，被踢出存储池，由于“总可用容量”变小，导致“已使用容量”/“总可用容量”达到将近100%，存储池写保护，用户业务中断，中断时间为用户写满数据后，到故障处理结束。

参数 描述 源库类型 选择“ECS自建库”。 VPC 源数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 指定数据库名称 选择是否指定数据库，开启后需手动输入数据库名称。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。

本节介绍了数据库权限相关问题与处理方法。 TaurusDB提供root帐号或super权限吗 TaurusDB)提供的管理员帐号为root帐号，具有去除super、file、shutdown和create tablespace后的最高权限。 大部分的云数据库服务平台，都未给root帐号提供super权限。因为一旦用户拥有了super权限，就可以执行很多管理性的命令，比如reset master，set global…，kill，reset slave等，这类操作很有可能导致TaurusDB出现不可预知的异常和故障。这一点是云服务平台和本地搭建MySQL比较大的区别，TaurusDB提供服务化能力，那就需要保证实例的稳定正常运行。 对于客户要求super权限的场景，TaurusDB提供了服务化能力，也可以通过其他手段绕过super权限的限制。 举例如下： 举例1：有些用户喜欢登录数据库执行如下命令来修改参数，这在TaurusDB是被禁止的，您只能通过TaurusDB界面中的参数修改功能来实现。 set global 参数名 参数值 ; 如果您的脚本中包含set global命令导致super缺失，请删除set global命令，通过console的参数修改。 举例2：有些用户执行如下命令报错，这也是因为没有super权限导致的，只需要去除definer'root’关键字即可。 create definer'root'@'%’ trigger(procedure)… 如果您缺失super权限，可以使用mysqldump导入数据，请参考使用mysqldump迁移TaurusDB数据导入和导出数据。

本章节介绍专属云分布式缓存服务Redis版的计费模式。 按需计费 1、收费方式 （1）预存后付费方式：提前充值现金到天翼云账户中，现金账户余额不低于100元，之后系统按照用户实际使用量进行结算。 （2）计费周期：按小时计费，以自然小时为计费单位（均以北京时间为准），不满一小时按照一小时计费。费用从用户账户现金余额中扣费。开通时间建议整点开通，开通不足一个自然小时，按一小时收费。提前删除也按照自然小时收费。 例如：如果您在1点01分开通，那么时间到2点就算做一个自然小时；如果您在1点58分开通，那么时间到2点也算做一个自然小时，都是按照1个小时收费。所以为了避免您的时间损失，建议您整点后几分钟内开通，在整点前几分钟删除。 2、删除规则 （1）删除数据库时，数据库的CPU、内存的费用停止计费，其他关联资源继续计费。 （2）数据库删除后，数据不会保留会立即释放资源。 6、账户欠费 如用户账户出现欠费，账户一旦充值，系统将会自动优先扣除欠费金额。 7、提醒/通知规则 （1）账户欠费通知：当用户欠费时，系统会向用户发送1次欠费提醒，并在欠费的第2天、第4天、第6天各发送1次欠费提醒。 （2）提醒及通知方式：以邮件和短信方式告知用户，请及时关注您的短信及邮件。

本文主要介绍 连接已开启SASL的Kafka实例。 创建实例时开启SASLSSL访问，则数据加密传输，安全性更高。 由于安全问题，支持的加密套件为 TLSECDHEECDSAWITHAES128CBCSHA256 ， TLSECDHERSAWITHAES128CBCSHA256和 TLSECDHERSAWITHAES128GCMSHA256 。 本章节介绍如何使用开源的Kafka客户端访问开启SASL的Kafka实例的方法，其中包含在内网中通过同一个VPC连接实例和通过公网连接实例两个场景。如果是使用DNAT访问实例，请参考使用DNAT访问Kafka实例。 说明 Kafka实例的每个代理允许客户端单IP连接的个数默认为1000个，如果超过了，会出现连接失败问题。您可以通过 前提条件 1.已配置正确的安全组。 访问开启SASL的Kafka实例时，实例需要配置正确的安全组规则，具体安全组配置要求，请参考上表。 2.已获取连接Kafka实例的地址。 如果是使用内网通过同一个VPC访问，实例端口为9093，实例连接地址获取如下图。 图 使用内网通过同一个VPC访问Kafka实例的连接地址（实例已开启SASL） 如果是公网访问，实例端口为9095，实例连接地址获取如下图。 图 公网访问Kafka实例的连接地址（实例已开启SASL） 3.已获取开启的SASL认证机制。 在Kafka实例详情页的“连接信息”区域，查看“开启的SASL认证机制”。如果SCRAMSHA512和PLAIN都开启了，根据实际情况选择其中任意一种配置连接。如果页面未显示“开启的SASL认证机制”，默认使用PLAIN机制。 图 开启的SASL认证机制 4.如果Kafka实例未开启自动创建Topic功能，在连接实例前，请先创建Topic。 5.已下载client.jks证书。如果没有，在控制台单击Kafka实例名称，进入实例详情页面，在“连接信息 > SSL证书”所在行，单击“下载”。下载压缩包后解压，获取压缩包中的客户端证书文件：client.jks。 6.已下载Kafka命令行工具1.1.0版本或者Kafka命令行工具2.3.0版本或者Kafka命令行工具2.7.2版本，确保Kafka实例版本与命令行工具版本相同。 7.已创建弹性云服务器，如果使用内网通过同一个VPC访问实例，请设置弹性云服务器的VPC、子网、安全组与Kafka实例的VPC、子网、安全组一致。在弹性云服务器中安装Java Development Kit 1.8.111或以上版本，并配置JAVAHOME与PATH环境变量，具体方法如下： 使用执行用户在用户家目录下修改“.bashprofile”，添加如下行。其中“/opt/java/jdk1.8.0151”为JDK的安装路径，请根据实际情况修改。 export JAVAHOME/opt/java/jdk1.8.0151 export PATH$​JAVAHOME/bin:JAVAH​OME/bin:$​PATH 执行source .bashprofile命令使修改生效。

本小节介绍DDoS封禁后如何恢复业务。 IP被DDoS封堵后如何恢复业务？ IP 被 DDoS 封堵后，可等待封堵时长到期自动解封，也可通过以下两种方式主动恢复业务，其中购买配置 DDoS 高防并更换 EIP 为推荐方案，仅更换 EIP 存在较大安全风险，不建议使用。 一、购买配置 DDoS 高防并更换 EIP（推荐） DDoS 基础防护的封堵仅支持两种解除方式：等待封堵时间自动到期；或购买配置 DDoS 高防产品后，通过天翼云工单系统申请提前解封。 您可选择天翼云或其他第三方DDoS高防产品防护自身在天翼云的业务IP免受DDoS攻击，以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类产品可提供业务 IP 隐藏、大流量攻击清洗、攻击源分析等能力。业务 IP 接入高防防护后，由高防 IP 替代其暴露在公网，攻击者仅能对高防 IP 发起攻击；攻击流量经高防节点清洗后，正常流量回注至业务 IP，不会超出DDoS防护阈值，可避免触发基础防护封堵。 同时请注意：若业务IP历史存在攻击，可能已被攻击者获知，即使配置DDoS高防，攻击者有可能绕过高防IP对业务IP直接发起攻击，若攻击流量过大，仍会超过DDoS防护阈值，触发封禁，因此建议在配置高防的同时，同步更换业务IP并限制仅能被高防IP访问，实现业务IP隐藏。具体购买和配置请咨询DDoS高防产品对应产品厂商。 完成防护配置后即可提交工单申请提前解封。 二、仅更换 EIP（不推荐） 购买新的公网 IP，或使用账号下未被封堵的公网 IP； 将原封禁 EIP 绑定的云资源切换绑定至新公网 IP，即可恢复业务访问。 注意 仅更换 IP 无法从根源抵御 DDoS 攻击，新 IP 仍可能再次遭到攻击。若同一账号下资源频繁触发 DDoS 封堵，持续冲击平台网络稳定性，天翼云有权依据服务协议对账号采取权限限制，包括但不限于暂停新购资源权限等处置措施。

本小节介绍公网IP如何增强DDoS防护能力。 IP 如何提升DDoS防护能力？ 若您的公网 IP 频繁遭遇 DDoS 攻击，持续超出 DDoS 基础防护阈值并触发平台防护封堵，可通过以下两种方式强化 DDoS 安全防护能力，降低再次被封堵的风险： 一、购买并配置 DDoS 高防产品（推荐） 天翼云和第三方合规厂商均提供有DDoS高防产品，一般可提供高防IP隐藏业务IP、大流量攻击防护和攻击源分析能力，您可选择天翼云或其他第三方DDoS高防产品防护自身在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。 业务 IP 接入高防防护后，将由高防 IP 替代其暴露在公网，攻击者仅能针对高防 IP 发起攻击；攻击流量会在高防资源池完成清洗过滤，仅正常业务流量回注至您的业务 IP，该流量通常不会超出 IP 的DDoS防护阈值，可有效避免触发 DDoS封堵。 同时请注意：若业务IP历史存在攻击，可能已被攻击者获知，即使配置DDoS高防，攻击者有可能绕过高防IP对业务IP直接发起攻击，若攻击流量过大，仍会超过DDoS防护阈值，触发封禁，因此建议在配置高防的同时，同步更换业务IP并限制仅能被高防IP访问，实现业务IP隐藏。具体购买和配置请咨询DDoS高防产品对应产品厂商。 二、配置安全组（仅特定业务场景适用） 在绑定公网 IP 的云主机上配置安全组策略，仅允许指定 IP 和端口访问业务 IP，可在公网层面实现 IP 隐藏。该方式仅适用于无需对公网全面开放的业务（如组织内部跨公网访问场景），绝大多数面向公网的业务不适用此方案。 重要提示：若原业务 IP 已被攻击者获知，即便配置安全组使攻击者无法探活，仍可能遭受盲目攻击；攻击流量直达 IP 所在网络后，若流量超出基础防护阈值，依然会触发DDoS封堵。因此建议配置安全组的同时，同步更换业务 IP。

参数 说明 地域 桶所在的地域。存储桶一旦创建成功，地域不能修改。 bucket名称 桶的名称，注意以下命名规则： 不能与已有的任何桶名称重复。 创建成功后不支持修改。 长度范围为3到63个字符，支持小写字母、数字、中划线（）。 禁止以中划线（）开头或结尾。 存储类型 桶的存储类型，可选标准存储/低频存储/归档存储。部分资源池暂不支持低频或归档存储。 读写权限 桶的读写权限控制。 私有：仅桶的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该桶的读权限，为确保您的数据安全，不推荐此配置。 数据冗余策略 单AZ存储：选择单AZ，数据会存储在一个可用区。单AZ存储支持标准存储、低频存储、归档存储三种存储类型。 多AZ存储：选择多AZ存储，数据会存储在同一地域的多个可用区中，可用性更高。多AZ采用相对较高的计费标准。多AZ存储仅支持标准或低频存储类型。 请根据业务情况提前规划数据冗余存储策略，桶一旦创建成功，数据冗余存储策略后续无法更改。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务将统一的云资源按项目管理。 为桶选择所属的企业项目，从而将桶与企业项目进行关联。在选择“企业项目”的下拉列表中，将显示用户在企业项目服务中已创建的项目。 系统还内置了一个缺省的企业项目“default”，如果用户没有为桶创建企业项目，将使用缺省项目“default”。您也可参考 服务端加密 开启KMS服务端加密功能，上传的对象将以加密的方式存储在ZOS中。 下载对象时，ZOS会自动将加密文件解密后再提供给用户。 合规保留 开启合规保留后，允许用户以“不可删除、不可篡改”方式保存和使用数据。 是否编辑桶标签 为指定存储桶设置标签，用来标记不同用途的存储桶并进行分类管理。

本文汇总了使用天翼云弹性高性能计算产品时常见的计费类问题。 弹性高性能计算有哪些计费项？ 弹性高性能计算服务本身为免费提供，但其涉及使用的产品如弹性云主机、物理机、弹性IP等，按照对应产品使用的收费标准另行收费。具体收费情况以下单页面费用为准。 弹性高性能计算涉及的其他产品到期了，集群还可以使用吗？ 集群可以使用的前提是需要至少保证管理节点和一个计算节点没有到期，如您集群涉及的资源满足上述要求，集群即可使用。 如果您需要通过公网访问弹性高性能计算集群，请您确认弹性IP服务未过期，并已绑定在管控节点。 如您在集群中自行挂载了NAS服务，NAS服务到期后对应的存储目录不可用，可能会对存储在目录中的作业造成影响。 物理机到期了，多久会释放资源？ 物理机到期后会自动冻结，物理机关机，冻结周期一般为15天，冻结期过后如不续费会删除实例。 在物理机资源将要到期时，天翼云会以邮件的方式通知客户，如用户需继续使用，则可联系客户经理执行续订操作或自行在控制中心进行续订。 如果用户在保留期内未执行续订操作，天翼云将发送资源超期提醒邮件，并在之后释放物理机资源。 物理机冻结后，如何解冻？ 当物理机资源被冻结后，用户可通过续费来解冻资源，恢复物理机正常使用。 当物理机资源到期而未续订时，自动进入保留期，且资源被冻结，您不能访问和使用该资源，例如无法下载物理机中的数据。并会发送短信及邮件提醒您。建议您尽快进行手动续订，如果保留期内不续订，物理机资源将被释放，同一订单内订购的资源也会被释放（弹性IP、云硬盘等）。 已经到期的包月物理机允许续订、不能发起退订，未到期的包月物理机可以退订。 资源到期冻结时：资源将被限制访问和使用，会导致您的业务中断。 资源续订解冻时：资源将被解除限制，但是需要您自行检查并恢复业务。

本章节介绍了所依赖的资源及创建指导。 概述 在购买RocketMQ实例前，您需要提前准备相关依赖资源，包括虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。每个RocketMQ实例都部署在某个VPC中，并绑定具体的子网和安全组，通过这样的方式为RocketMQ提供一个隔离的、用户自主配置和管理的虚拟网络环境以及安全保护策略，提升实例的安全性。 准备依赖资源 RocketMQ实例所需资源的具体要求和创建指导如表1所示。 表1 RocketMQ实例依赖资源 准备资源 要求 创建指导 VPC和子网 不同的RocketMQ实例可以重复使用相同的VPC和子网，也可以使用不同的VPC和子网，请根据实际需要进行配置。在创建VPC和子网时应注意如下要求：·创建的VPC与使用的分布式消息服务RocketMQ应在相同的区域。·创建VPC和子网时，如无特殊需求，配置参数使用默认配置即可。 创建VPC和子网的操作指导请参考创建虚拟私有云和子网，若需要在已有VPC上创建和使用新的子网，请参考为虚拟私有云创建新的子网。 安全组 不同的RocketMQ实例可以重复使用相同的安全组，也可以使用不同的安全组，请根据实际需要进行配置。在创建安全组时应注意如下要求：·创建安全组时，“模板”选择“自定义”。·创建安全组后，请保留系统默认添加的入方向“允许安全组内的弹性云服务器彼此通信”规则和出方向“放通全部流量”规则。·使用分布式消息服务RocketMQ必须添加表2所示安全组规则，其他规则请根据实际需要添加。 创建安全组的操作指导请参考创建安全组，为安全组添加规则的操作指导请参考添加安全组规则。 表2 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8100 0.0.0.0/0 VPC内访问元数据节点的端口 入方向 TCP 8200 0.0.0.0/0 公网访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口

本文为您介绍云监控服务支持的云搜索服务Elasticsearch实例的指标。 以下为云监控服务支持实时监控云搜索服务实例的核心指标，方便您及时掌握实例使用情况，处理异常状况。 实例监控指标列表 监控周期：1分钟 指标名称 指标介绍 esclhealthstatus Elasticsearch实例状态，1表示green，2表示yellow，3表示red esclactiveprimaryshards Elasticsearch实例活跃主分片数 esclactiveshards Elasticsearch实例活跃分片数 esclrelocatingshards Elasticsearch实例迁移中分片数 esclinitializingshards Elasticsearch实例初始化中分片数 esclunassignedshards Elasticsearch实例未分配分片数 esclnodes Elasticsearch实例节点总数 esclhealthnodes Elasticsearch实例存活节点数 esclhealthdatanodes Elasticsearch实例存活数据节点数 esclunhealthnodes Elasticsearch实例异常节点数 esclindicesstoresize Elasticsearch实例索引存储总量 esclindicesdocstotalmax Elasticsearch 集群最大文档数索引 escldiskusageavg Elasticsearch 实例平均磁盘使用率 escljvmheapusagemax Elasticsearch 实例最大JVM堆使用率 esclcpuusageavg Elasticsearch 实例平均CPU使用率 esclcpuusagemax Elasticsearch 实例最大CPU使用率 esclbulkrejectrate Elasticsearch 实例bulk拒绝率 esclqueryrejectrate Elasticsearch 实例查询拒绝率 esclindexlatencyavg Elasticsearch 实例平均写入延迟 esclindexlatencymax Elasticsearch 实例最大写入延迟 esclsearchlatencyavg Elasticsearch 实例平均查询延迟 esclsearchlatencymax Elasticsearch 实例最大查询延迟 esclfsreadopscount Elasticsearch 实例磁盘总读IOPS esclfsreadsizekbsum Elasticsearch 实例磁盘读总带宽 esclfswriteopscount Elasticsearch 实例磁盘总写IOPS esclfswritesizekbsum Elasticsearch 实例磁盘写总带宽 esclmemusedratioavg Elasticsearch 实例平均已用内存比例 esclmemusedratiomax Elasticsearch 实例最大已用内存比例 esclmemfreeratioavg Elasticsearch 实例平均可用内存比例 esclmemfreeratiomax Elasticsearch 实例最大可用内存比例 esclloadavg Elasticsearch 实例平均节点load值 esclloadmax Elasticsearch 实例最大节点load值 escldoccount Elasticsearch 实例文档数量 esclsearchrate Elasticsearch 实例平均查询速率 escldocdeleted Elasticsearch 实例被删除的文档数量 esclhttpconncurrent Elasticsearch 实例当前已打开的HTTP连接数 esclhttpconnmax Elasticsearch 实例最大当前打开的HTTP连接数 esclsharddocthreshold Elasticsearch 实例文档超过阈值分片数量 esclshardstoresizemax Elasticsearch 实例集群最大分片存储量 esclreadonlyindexcount Elasticsearch 实例只读索引个数 esclshardpercent Elasticsearch 实例分片数配额使用率

规格名称 CPU 内存（GB） 处理器 处理器主频（GHz） 本地磁盘 内网带宽（Gbps） 是否支持挂载云硬盘 physical.s5.2xlarge1 2路28核 512 Intel 6348 2.6 无 25 支持 physical.s5.2xlarge4 2路28核 512 Intel 6348 2.6 系统盘：2480GB（SSD）数据盘：2 3200GB（NVMeSSD） 50 不支持 physical.s5.2xlarge5 2路32核 512 Intel 8378A 3.0 系统盘：2480GB（SSD）数据盘：2 3200GB（NVMeSSD） 50 不支持 physical.s6.2xlarge1.2 2路52核 1024 Intel 8566C 2.6 系统盘：2480GB（SSD）数据盘：2 3200GB（NVMeSSD） 100 不支持 physical.s6a.3xlarge1 2路64核 1536 AMD EPYC 9A84 3.4 系统盘：2480GB（SSD）数据盘：2 3840GB（NVMeSSD） 225 不支持

参数 说明 InstanceId ECS ID，可通过登录管理控制台，在弹性云主机ECS列表中查看。 说明InstanceId可不用配置，保持"InstanceId":"",即可，若需要配置，需要遵循如下两条原则： 该资源ID需保证全局唯一性，即同一个RegionID下Agent使用的InstanceId不能相同，否则系统可能会出现异常。 InstanceId必须与实际的ECS或BMS资源ID一致，否则云监控服务界面将看不到对应ECS或BMS资源操作系统监控的数据。 ProjectId ProjectId可不用配置，保持"ProjectId": "",即可。若需要配置，请参考已下获取方式。 项目ID，获取方式如下： 1. 登录管理控制台，单击右上角“用户名”，选择“我的凭证”； 2. 在项目列表中，查看ECS或BMS资源对应的所属区域的项目ID。 AccessKey/SecretKey 访问密钥，获取方式如下：登录管理控制台，单击右上角“用户名”，选择“我的凭证 > 管理访问密钥”； 如已有访问密钥，查看创建时下载保存的credentials.csv文件中，获取文件中记录的Key值即可； 如未创建，则通过“新增访问密钥”可创建新的访问密钥，妥善保存credentials.csv文件，并获取文件中记录的Key值。 须知 为了安全考虑，建议该用户为IAM用户，并且权限仅为CES Administrator和LTS Administrator。 配置的AccessKey必须在“我的凭证 > 管理访问密钥”列表中，否则将鉴权失败，云监控服务界面看不到操作系统监控数据。 RegionId 区域ID，例如：ECS或BMS资源所属区域为“杭州”，则RegionID为“cnhz1”。 ClientPort Agent占用的起始端口号。说明默认为0，表示随机占用。11023为系统保留端口，建议不要配置。 PortNum Agent占用的范围的个数。说明默认为200，若ClientPort配置5000，则表示在50005199端口中随机占用。 BmsFlag BMS需配置此参数为true，ECS配置项中无需配置。Windows操作系统中无需要配置。

本章节为您介绍数据库授权的相关内容。 数据库命令授权是用于拦截数据库会话敏感操作，实现数据库运维操作的细粒度控制。授权用户登录策略关联的数据库资源，当数据库运维会话触发规则，将会拦截数据库会话操作。 数据库命令授权支持以下功能项： 支持按命令组列表排序区分优先级，排序数字越小优先级越高。 支持以下控制命令的动作。 触发审批：拦截该命令，并自动创建为审批工单。支持审批超时配置，超时xx分钟默认允许或默认拒绝。 断开连接：触发该策略规则后，断开与数据库的连接。 允许执行：默认允许执行所有操作。当触发策略规则后，放行规则集中操作。 约束限制 仅企业版堡垒机支持数据库运维操作审计。 仅针对MySQL、Oracle、Postgresql类型数据库，支持通过数据库命令授权设置操作细粒度控制。 新增命令组 您在新增数据库命令授权前需要进行新增命令组的操作。 1. 使用“管理角色”账户登录云堡垒机系统。 2. 在左侧导航栏选择“授权管理 > 数据库命令授权”，进入“数据库命令授权”页面。 3. 在页面上面选择“命令组”页签，单击“新增”，开始新增命令组。 参数 参数说明 名称 自定义命令组的名称。 动作 选择该命令组中的命令触发时产生的动作： 触发审批：拦截该命令，并自动创建为审批工单。支持审批超时配置，超时xx分钟默认允许或默认拒绝。 说明 对于包含“触发审批”动作的命令组，需要当前选择的用户（组）具有审批规则，否则无法配置“触发审批”动作，请先前往工单管理配置审核人。 断开连接：触发该策略规则后，断开与数据库的连接。 允许执行：默认允许执行所有操作。当触发策略规则后，放行规则集中操作。 SQL命令类型 根据您业务的需求，选择需要进行控制的命令，云堡垒机目前支持选择如下命令： SELECT、INSERT、UPDATE、DELETE、TRUNCATE、CREATE、DROP、ALTER、GRANT、REVOKE、SHOW、DESCRIBE、EXPLAIN、RENAME。 SQL库名 填写命令生效的SQL库名。 SQL表名 填写命令生效的SQL表名。 风险等级 选择该命令组的风险等级，共可选5个等级。 说明 命令匹配上多条策略时，动作执行优先级：触发审批 > 断开连接 > 允许执行，若未匹配上任何策略则放行。

kdump配置方法 以EulerOS以及CentOS 7/8系列Linux产品为例： 1. 查看是否已安装kexectools。 rpm qa grep kexectools 如果没有安装，执行下面命令安装kexectools。 yum install y kexectools 2. 设置kdump开机启动。 systemctl enable kdump 3. 设置crashkernel参数，设置这个参数的目的是预留内存给捕获内核（capture kernel）。 首先查看该参数是否已经设置。 grep crashkernel /proc/cmdline 如果有显示，则表示已经设置，如果没有显示，则需要重新设置。 编辑/etc/default/grub文件，此文件通常包含如下内容： GRUBTIMEOUT5 GRUBDEFAULTsaved GRUBDISABLESUBMENUtrue GRUBTERMINALOUTPUT"console" GRUBCMDLINELINUX"crashkernelauto rd.lvm.lvrhel00/root rd.lvm.lvrhel00/swap rhgb quiet" GRUBDISABLERECOVERY"true" 在GRUBCMDLINELINUX一行添加crashkernelauto。 4. 更新grub，执行更新grub命令，使配置生效。命令如下。 grub2mkconfig o /boot/grub2/grub.cfg 5. 打开/etc/kdump.conf文件中找到“path”参数，添加以下内容。 path /var/crash 默认是保存在/var/crash目录下，如果要保存到其他目录，则改成对应的目录，例如保存在/home/kdump下，则改成： path /home/kdump 请确保指定的路径有足够的空间保存vmcore，建议剩余空间不小于物理内存（RAM）的大小，也可以保存在SAN，NFS等共享设备上。 6. 设置转存vmcore级别，查看/etc/kdump.conf文件，是否存在以下设置，如果存在则无需添加。 corecollector makedumpfile d 31 c c：表示压缩vmcore文件， d：表示过滤掉部分无效的内存数据，可以根据需要调整，一般31即可，31是由如下的值与计算而成。 zero pages 1 cache pages 2 cache private 4 user pages 8 free pages 16 7. 设置内核参数（可选）。 为了控制在哪些场景下触发kdump，内核提供了一些参数，建议设置以下参数： kernel.hardlockuppanic1 kernel.panic5 kernel.paniconoops1 kernel.softlockuppanic1 kernel.unknownnmipanic1 kernel.nmiwatchdog1 将以上配置参数写入/etc/sysctl.conf文件并保存。另外，可以选择添加如下几个参数到/etc/sysctl.conf文件中。 kernel.paniconionmi1 kernel.paniconwarn1 8. 进入天翼云控制台云主机详情页，对当前云主机进行重启，使以上配置生效。

本节介绍了DDoS高防（边缘云版）的主要产品功能。 DDoS高防（边缘云版）的功能说明如下，适用于所有套餐。 功能分类 功能项 功能描述 防护功能 DDoS网络层防护 支持TCP、UDP、ICMP网络协议防护，如SYN Flood ，ACK Flood，空连接等。 防护功能 畸形报文防护 支持对Ping of Death、Tear Drop、LAND、Fraggle等畸形报文进行过滤，判断报文合法性，丢弃异常请求。 防护功能 CC防护 CC防护根据访问者的URL，频率，行为等访问特征，智能识别CC攻击，避免源站资源耗尽，保证企业网站的正常访问。 防护功能 访问控制 可针对IP，IP段，IP端口，URI，METHOD，请求地区，请求参数，请求头部，请求协议等维度进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 防护功能 频率控制 支持针对特定报文（十余种粒度组合），选择URL、ARGS、Header、Cookie、UA、IP其中一个或两个粒度进行频率统计，并设置对应的处理动作，以对高频请求进行控制。 告警策略 应用层CC告警 支持自定义CC攻击告警策略，对持续时长、QPS峰值、攻击次数进行监控和告警。 告警策略 网络层告警 支持自定义网络层攻击告警策略，对持续时长、pps峰值、bps峰值进行监控和告警。 告警策略 告警勿扰时间 支持设置勿扰时间，在特定时间内不进行告警。 业务接入 域名接入 支持HTTP、HTTPS、HTTP2协议的域名进行自助接入配置。 支持自定义回源HTTP请求头。 支持多个源站或域名回源，并对源站设置层级和权重。 支持指定回源协议或配置跟随协议。 支持请求强制跳转，即将请求的HTTP强制302跳转至HTTPS进行请求。 业务接入 端口接入 支持UDP、TCP协议协议的域名进行自助接入配置。 支持配置转发端口或转发端口段。 支持多个源站或域名回源。 安全分析 安全报表 支持查看CC安全报表、网络层安全报表，通过攻击趋势、攻击源TOP分析、攻击目标TOP分析等，掌握攻击态势。 安全分析 攻击事件 支持查看、导出CC攻击事件、网络层攻击事件。 业务分析 日志下载 支持下载业务请求全量日志，以对业务情况进行深入分析，为攻击排查，业务决策提供输入信息。 业务分析 业务用量 支持查看流量、带宽、请求次数、QPS、连接数、并发连接数、响应状态码的趋势，以掌握业务运行情况。

使用API导入数据 使用bulk API通过cURL命令导入数据文件，如下操作以JSON数据文件为例。 说明 使用API导入数据文件时，建议导入的数据文件大小不能超过50MB。 1.登录即将接入集群的弹性云主机。 接入集群的详细操作指导请参见接入集群章节中的 在同一VPC内的弹性云主机，直接调用Elasticsearch API。 2.执行如下命令，导入JSON数据。 其中， { Private network address and port number of the node } 需替换为集群中节点的内网访问地址和端口号，当该节点出现故障时，将导致命令执行失败。如果集群包含多个节点，可以将 { Private network address and port number of the node } 替换为集群中另一节点的内网访问地址和端口号；如果集群只包含一个节点，则需要将该节点修复之后再次执行命令进行导入数据。test.json为导入数据的json文件。 curl X PUT " network address and port number of the node} /bulk" H 'ContentType: application/json' databinary @test.json 说明 其中，X参数的参数值为命令，如“X PUT”，H参数的参数值为消息头，如“H 'ContentType: application/json' databinary @test.json”。添加的k参数时，请勿将k参数放置在参数与参数值之间。 示例 ： 将“testdata.json”数据文件中的数据导入至Elasticsearch集群，此集群未进行通信加密，其中一个节点内网访问地址为“192.168.0.90”，端口号为“9200”。其中testdata.json文件中的数据如下所示： {"index":{"index":"mystore","type":"products"}} {"productName": "2019秋装新款文艺衬衫女装","size":"M"} {"index":{"index":"mystore","type":"products"}} {"productName": "2019秋装新款文艺衬衫女装","size":"L"} 导入数据的操作步骤如下所示： a. 可执行以下命令，创建mystore索引。 7.x之前版本 curl X PUT H 'ContentType:application/json' d ' { "settings": { "numberofshards": 1 }, "mappings": { "products": { "properties": { "productName": { "type":"text" }, "size": { "type":"keyword" } } } } }' 7.x之后版本 curl X PUT H 'ContentType:application/json' d ' { "settings": { "numberofshards": 1 }, "mappings": { "properties": { "productName": { "type": "text" }, "size": { "type":"keyword" } } } }' b. 执行以下命令，导入testdata.json文件中的数据。 curl X PUT " H 'ContentType: application/json' databinary @testdata.json

本文主要介绍 系统盘（将扩容部分的容量新增到F盘） 系统盘原有容量为40GB，通过管理控制台将系统盘扩容60GB后，登录云主机为60GB新增容量新创建一块F盘。操作完成后，新增60GB的F盘可用作数据盘。 步骤1 在云主机桌面，选择“开始”，右键单击后在菜单列表中选择“计算机”，选择“管理”。 弹出“服务器管理”窗口。 步骤2 在左侧导航树中，选择“存储 > 磁盘管理”。 进入“磁盘管理”页面，如下图所示。 图 刷新（系统盘） 步骤3 若此时无法看到扩容部分的容量，选中“磁盘管理”，右键单击“刷新”。 刷新后，可以看到在扩容部分的容量，显示为“未分配”，如下图所示。 图 未分配（系统盘） 步骤4 在磁盘0的“未分配区域”右键单击，选择“新建简单卷”，如下图所示。 图 新建简单卷（系统盘） 步骤5 在弹出的“新建简单卷向导”界面中选择“下一步”，如下图所示。 图 新建简单卷向导（系统盘） 步骤6 在弹出的“指定卷大小”界面中，指定“简单卷大小”行中输入需要扩容的磁盘容量，此处以默认为例，单击“下一步”，如下图所示。 图 指定卷大小（系统盘） 步骤7 在弹出的“分配驱动器号和路径”界面中，指定“分配驱动器号”行中选择驱动器号，此处以“F”为例，单击“下一步”，如下图所示。 图 分配驱动器号和路径（系统盘） 步骤8 勾选“按下列设置格式化这个卷”，并根据实际情况设置参数，格式化新分区，单击“下一步”完成分区创建，如下图所示。 图 格式化分区（系统盘） 步骤9 单击“完成”完成向导。 扩容成功后可以看到新加卷（F：），如下图所示。 图 完成（新加卷F） 图 新加卷（F）

告警记录可以展示近30天所有告警规则的状态变化，用户可以统一、方便地回溯和查看告警记录。 告警记录可以展示近30天所有告警规则的状态变化，用户可以统一、方便地回溯和查看告警记录。 当出现告警时，可以参考本章节查看具体云资源的告警记录详情。 操作步骤 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击“告警 > 告警记录”，进入“告警记录”界面。 在告警记录页面，可查看近7天所有告警规则的状态变化。 说明 在“告警记录”列表右上角可选择日历，查看近30天内的任意时间段内的告警记录。 在“告警记录”列表右上角可选择查看“所有状态”、“告警级别”、“所有资源类型”、“告警名称”的历史告警。 4. 单击待查看的告警规则名称，进入告警规则详情页面，页面下方呈现了该告警规则近30天内的“告警记录”列表。 在告警记录列表中，用户可查看对应时间内资源是否有异常并进行相应处理。 说明 正常状况下，由于告警需要计算触发，告警产生时间可能略晚于最新的数据触发时间几秒。 如果已有监控数据，创建或修改告警规则，导致触发告警，告警产生时间以触发告警的操作时间（创建告警规则或修改告警规则的时间）为准。

您可以通过包年包月计费提前预留资源,同时享受比按量计费更大的价格优惠。 订购方式 天翼云云间高速（标准版）产品采用包年包月方式订购。 云企业路由器产品采用按量计费的方式。 计费周期：按订单购买周期结算。 变更 可以根据业务需求，对已经订购的带宽包的带宽，进行升降操作。 续订 用户想要延长带宽包使用时间，可以续订带宽包。 退订 用户不再使用带宽包，可以退订带宽包。 带宽包仅在未绑定云间高速（标准版）且未到期的情况下支持退订。 计费方式变更 暂不支持计费方式变更。 到期与欠费 云间高速（标准版）带宽包到期欠费后，控制台会保留该条记录，同时限制该带宽包速率为1Kbps及以下。

计费模式 包年/包月 按需计费 付费方式 预付费按照订单的购买周期结算。 后付费按照云服务器实际使用时长计费。 计费周期 按订单的购买周期计费。 按小时结算。 实例升级 支持扩容，工单施工完生效，但是施工过程中服务不可用；不支持缩容。 支持扩容，工单施工完生效，但是施工过程中服务不可用；不支持缩容。 更改计费模式 支持变更为按需资源。 支持变更为包周期资源。 变更规格 支持变更实例规格。 支持变更实例规格。 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于资源需求波动的场景，可以随时开通，随时删除。

本章节向您介绍通过企业路由器实现同区域VPC互通的步骤三内容。 约束与限制 VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 本示例中4个ECS位于同一个安全组内，如果您的ECS位于不同的安全组，需要在安全组中添加规则放通网络。 操作步骤 步骤1：创建4个VPC及子网。 步骤2：创建4个ECS。

此小节介绍资产被勒索过程 在攻击云基础设施时，攻击者通常会攻击多个资源以试图获取对客户数据或公司机密的访问权限。在勒索攻击链中，攻击者通过事前侦查探测、事中攻击入侵及横向扩散、事后勒索三个步骤实现对企业的资源勒索： 事前侦查探测阶段： 收集基础信息、寻找攻击入口，进入环境并建立内部立足点。 事中攻击入侵及横向扩散阶段： 部署攻击资源、侦查网络资产并提升访问权限，窃取凭据、植入勒索软件，破坏检测防御机制并扩展感染范围。 事后勒索阶段： 窃取机密数据、加密关键数据后加载勒索信息，基于文件重要等级索要赎金。 图被勒索过程

本节主要介绍如何管理VPC。 网络ACL是对一个或多个子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。一个文件系统最多可以添加20个可用的VPC，对于添加的VPC所创建的ACL规则总和不能超过400个。添加VPC时会自动添加默认IP地址0.0.0.0/0。 如果已经在VPC控制台删除文件系统绑定的VPC，该VPC在文件系统绑定的VPC列表下可见且授权的IP地址/地址段为“激活”状态，但此时该VPC已无法进行使用，建议将该VPC从列表中删除。 更多关于VPC的信息请参见《虚拟私有云用户指南》。 操作步骤 1. 登录管理控制台，选择“弹性文件服务”。 2. 在文件系统列表中单击目标文件系统名称，进入授权VPC界面。 3. 如果没有可用的VPC，需要先申请VPC。可以为文件系统添加多个VPC，单击“添加VPC”，弹出“添加VPC”对话框。如图所示。 可以在下拉列表中选中多个VPC。 4. 单击“确定”，完成添加。添加成功的VPC会出现在列表中，添加VPC时会自动添加默认IP地址0.0.0.0/0，默认读写权限为“读/写”，默认用户权限为“noallsquash”，默认用户root权限为“norootsquash”。 5. 在VPC列表下可以看到所有添加的VPC的信息，参数说明如表所示。 参数 说明 :: 名称 已添加的VPC的名称，例如：vpc4040。 授权IP数量 已经添加的IP地址或IP地址段的个数。 操作 包含“添加”和“删除”操作。“添加”即添加授权的IP地址，包括对授权的IP地址、读/写权限、用户权限、用户root权限及优先级的设置，“删除”即删除该VPC。 6. 单击VPC名称左边的，可以查看目标VPC添加的IP地址/地址段的详细信息。可以对其进行添加、编辑和删除IP地址/地址段的操作。在目标VPC的“操作”列，单击“添加”，弹出“添加授权地址”的弹窗，如图所示。可以根据参数说明如表所示完成添加 参数 说明 :: 授权地址 只能输入一个IPv4地址/地址段。 输入的IPv4地址/地址段必须合法，且不能为除0.0.0.0/0以外之前0开头的IP地址或地址段，其中当设置为0.0.0.0/0时表示VPC内的任意IP。同时，不能为127以及224~255开头的IP地址或地址段，例如127.0.0.1，224.0.0.1，255.255.255.255，因为以224239开头的IP地址或地址段是属于D类地址，用于组播；以240255开头的IP地址或地址段属于E类地址，用于研究。使用非合法的IP或IP地址段可能会导致添加访问规则失败或者添加的访问规则无法生效。 无法输入多个地址，如：10.0.1.32,10.5.5.10用逗号分隔等形式的多个地址。 如果要表示一个地址段，如192.168.1.0192.168.1.255的地址段应使用掩码形式：192.168.1.0/24，不支持192.168.1.0255等其他地址段表示形式。掩码位数的取值为0到31的整数，且只有为0.0.0.0/0时掩码位数可取0，其他情况均不合法。 读或写权限 分为读/写权限和只读权限。默认为“读/写”。 用户权限 分为allsquash和noallsquash。默认为“noallsquash”。 CIFS类型的文件系统添加授权地址时，不涉及该参数。 用户root权限 分为rootsquash和norootsquash。默认为“norootsquash”。 CIFS类型的文件系统添加授权地址时，不涉及该参数。 优先级 优先级只能是0100的整数。0表示优先级最高，100表示优先级最低。同一VPC内挂载时会优先使用该优先级高的IP地址/地址段所拥有的权限，存在相同优先级时会优先匹配最新添加或修改的IP地址/地址段。例如：用户在执行挂载操作时的IP地址为10.1.1.32，而在已经授权的IP地址/地址段中10.1.1.32（读写）优先级为100和10.1.1.0/24（只读）优先级为50均符合要求，则用户权限会使用优先级为50的10.1.1.0/24（只读）的只读权限。10.1.1.0/24内的所有地址包括10.1.1.32，在无其他授权优先级的情况下，则将会使用优先级为50的10.1.1.0/24（只读）的只读权限。 说明 属于VPC A中的弹性云主机IP地址可以被成功添加至VPC B的授权IP地址内，但该云主机无法挂载属于VPC B下的文件系统。弹性云主机和文件系统所使用的VPC需为同一个。

本章节主要介绍如何购买SQL Server实例。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版 ，进入关系数据库SQL Server产品页面。然后单击立即订购，进入TeleDB数据库购买页面。 2. 在顶部菜单栏，分别选择目标区域 和项目。然后在创建页面，根据业务需求，设置实例相关配置。参数详见下表： 基础配置 参数 说明 组件引擎 请选择SQL Server以及下方的引擎版本，支持2014WEB版 、2014标准版 、2014企业版 、2016WEB版 、2016标准版 、2016企业版、2017WEB版、2017标准版、2017企业版、2019WEB版、2019标准版 、2019企业版 、2022WEB版 、2022标准版 、2022企业版 等多种版本。 根据实际业务需求选择合适的数据库引擎版本，建议您选择当前可用的最高引擎版本。 区域 实例所在区域，如需切换区域可在页面左上角切换。 说明 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 计费模式 支持包年/包月 和按需两种模式。 包年/包月：用户选购完服务配置后，需设置购买时长，系统将一次性按照购买价格对账户余额进行扣费。 按需：用户选购完服务配置后，无需设置购买时长，系统会根据消费时长对账户余额进行扣费。 实例类型 支持单机版 和一主一备 两种类型，更多说明请详见实例类型。 可用区 部分资源池支持多可用区，请以实际界面为准。 实例字符集 数据库字符集，支持的字符集包括： 1.ChinesePRCCIAS； 2.ChinesePRCCSAS； 3.ChinesePRCCIAI； 4.SQLLatin1GeneralCP1CIAS； 5.ChinesePRC90CIAI； 6.CyrillicGeneralCIAS； 7.THAICIAS。 实例规格 参数 说明 性能类型 节点规格支持3种类型，分别是通用型 、计算增强型 和内存优化型 。 为了使所购买的SQL Server实例能更好地满足应用需求，您需要根据业务需求，评估所需要的服务能力和规模，选择合适的性能类型。 说明 对应的主机类型提供对应六代机、七代机、八代机，代系越高整体性能越佳。 性能规格 请根据业务需求选择实例的CPU和内存。 存储类型 实例的存储类型影响了实例的读写熟读。支持的存储类型包括： 高IO：磁盘类型SAS。 超高IO：磁盘类型SSD。 极速型SSD：磁盘类型ESSD。 更多说明请详见存储类型。 存储空间 SQL Server实例存储空间的大小。存储空间支持配置100GB到32TB。 存储空间自动扩展：可选择开通自动扩容，开通后实例将根据选择的阈值进行自动扩展，无需担心空间满问题，建议扩容上限值设置大一些，以备不时之需。 磁盘加密：可选择磁盘是否加密，有效保护数据安全，此项功能仅支持在订购时进行设置，在控制台暂不支持设置。 注意 磁盘加密功能仅部分资源池支持，以订购页实际显示为准。更多资源池信息，请参见功能概览。 备份空间 用作数据备份，支持选择对象存储和云硬盘两种类型，建议优先选择对象存储。 对象存储：备份空间赠送与存储空间同等大小的免费额度。且选择对象存储类型，支持下载备份以及跨域备份等高级功能。 云硬盘：默认为用户开通所订购存储空间同等大小，类型为普通IO、高IO、超高IO，无免费额度，且不支持下载备份以及跨域备份等高级功能。 企业项目 参数 描述 企业项目 企业项目是对主账号下的资源进行统一分配管理的工具，不同企业项目下的资源相互逻辑隔离，但不影响业务关联。 在不同企业项目下的用户组，相互间无法看到彼此资源。 同一个用户组可以绑定多个企业项目。用户组通过绑定企业项目实现资源的逻辑隔离，策略通过绑定用户组，实现不同用户组的权限分配。 网络 参数 说明 虚拟私有云 SQL Server实例所在的虚拟专用网络，可对不同业务进行网络隔离，您可以根据需求选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效。 安全组 安全组限制实例的安全访问规则，加强SQL Server与其他服务间的安全访问。如果选择了不同的安全组，请注意添加安全组访问规则，开通网络访问。 注意 目前SQL Server实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 集群配置 参数 说明 实例名称 SQL Server实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 设置密码 可选择“现在设置”或“创建后设置”，选择“现在设置”时会在开通时修改默认管理员账号密码。 管理员账号 登录名默认为root，不支持修改。 管理员密码 设置密码选择“现在设置”时才能配置管理员密码。 确认密码 确认密码与管理员密码一致。 参数模板 可选择自定义参数模板或系统参数模板，参数模板的版本需要与数据库引擎版本保持一致。 购买量 参数 说明 购买时长 当计费模式选择“包年/包月”时，才需要选择购买时长。系统会自动计算对应的配置费用，购买时间越长，折扣越多。 自动续订 按月购买：自动续订周期为1个月。 按年购买：自动续订周期为1年。 购买数量 SQL Server服务支持批量创建实例，单次最多可批量购买50个实例。 3. 实例信息设置完成后，可以在右侧的当前配置中，进行配置确认。 4. 请仔细阅读《关系型数据库服务等级协议》和《天翼云关系型数据库服务协议》后，如您接受并理解，请勾选相关协议。 5. 单击确认订单，提交订单。 6. 在订单支付详情页面，确认订单信息无误后，选择付费方式，单击立即支付，开始创建实例。 7. SQL Server实例创建成功后，用户可以通过实例管理 > 管理，对实例进行查看和管理。

本节介绍了清理网络规则文件的操作场景、前提条件、操作步骤。 操作场景 为了避免使用私有镜像创建的新云主机发生网卡名称漂移，在创建私有镜像时，需要清理云主机或镜像文件所在虚拟机的网络规则文件。 说明 使用外部镜像文件制作私有镜像时，清理网络规则文件操作需要在虚拟机内部完成，建议您在原平台的虚拟机实施修改后，再导出镜像。 前提条件 云主机已安装操作系统和virtio驱动。 操作步骤 1. 执行以下命令，查看网络规则目录下的文件。 ls l /etc/udev/rules.d 2. 执行以下命令，删除网络规则目录下，文件名同时包含persistent和net的规则文件。 例如： rm /etc/udev/rules.d/30netpersistentnames.rules rm /etc/udev/rules.d/70persistentnet.rules 以上命令中斜体部分会根据用户的实际环境有区别。 说明 对于CentOS 6系列的镜像，为避免网卡名发生漂移，您需要创建一个空的rules配置文件。 示例：touch /etc/udev/rules.d/75persistentnetgenerator.rules //命令中斜体部分会根据用户的实际环境有区别 3. 清理网络规则。 − 若操作系统使用initrd系统映像，请执行以下操作： i. 执行以下命令，查看initrd开头且default结尾的initrd映像文件，是否存在同时包含persistent和net的网络设备规则文件（以下命令中斜体内容请以实际操作系统版本为准）。 lsinitrd /boot/initrd2.6.32.120.7default grep persistentgrep net 否，结束。 是，执行3.ii。 ii. 执行以下命令，备份initrd映像文件（以下命令中斜体内容请以实际操作系统版本为准）。 cp /boot/initrd2.6.32.120.7default /boot/initrd2.6.32.120.7defaultbak iii. 执行以下命令，重新生成initrd映像文件。 mkinitrd − 若操作系统使用initramfs系统映像（如Ubuntu），请执行以下操作： i. 执行以下命令，查看initrd开头且generic结尾的initramfs映像文件，是否存在同时包含persistent和net的网络设备规则文件。 lsinitramfs /boot/initrd.img3.19.025genericgrep persistentgrep net 否，无需清理网络规则。 是，执行3.ii。 ii. 执行以下命令，备份initrd映像文件。 cp /boot/initrd.img3.19.025generic /boot/initrd.img3.19.025genericbak iii. 执行以下命令，重新生成initramfs映像文件。 updateinitramfs u

本文介绍如何部署AD域控制器。 前提条件 在AD域控制器的云主机上已经安装AD域服务器。 操作步骤 1. 将域服务器升级升为域控制器。打开“服务器管理器”，点右上角点小旗子图标，点击“服务器提升为域控制器”。 2. 添加新林。由于是第一个AD控制器，点击“添加新林”，根域名处填域名sfs.com，点击“下一步”等待部署配置。 说明： 将域控制器添加到现有域：在现有的域控制器中添加新的域控制器。 将新域添加到现有林：在现有的林中新建域，与林中现有的域不同。 3. 设置目录服务还原密码。 说明： 林功能级别(包含Windows Server 2008到WindowsServer 2016级别)：Windows Server 2012 R2。 域功能级别(只包含Windows Server 2012 R2域功能)：Windows Server 2012 R2。 指定域控制器功能：默认即可。 键入目录服务还原模式(DSRM)密码：需设置复杂密码，否则无法通过规则校验。 4. 跳过DNS选项，点击“下一步”。用AD域服务器当DNS服务器，不需要单独指定。 5. NetBios域名保持默认，点击“下一步”。 6. 日志及数据配置保持默认，点击“下一步”。 说明： AD DS数据库是AD域服务器用来存放用户信息的地方。 AD DS数据库、日志文件夹和sysvol文件夹，出于安全考虑建议放在其他盘。 7. 检查配置信息，点击“下一步”。 8. 安装前自动进行先决条件检查，检查通过后点击“安装”，系统自动安装并重启。安装需要一段时间请耐心等待。 9. 查看是否安装成功。理论上重启后AD域即部署成功，打开“服务器管理器”，点击“工具>Active Directory用户和计算机”，在弹窗中依次点击“sfs.com>Domain Controllers”，若展示云主机名称即代表AD域部署成功。

部署rook operator Rook是一个开源的云原生存储编排工具，提供平台、框架和对各种存储解决方案的支持，以和云原生环境进行本地集成。 Rook 利用扩展功能将其深度地集成到云原生环境中，并为调度、生命周期管理、资源管理、安全性、监控等提供了无缝的体验。Rook 目前支持 Ceph、NFS、Minio Object Store 和 CockroachDB。 plaintext 部署rook operator cd rook/deploy/charts/rookceph/ helm install createnamespace namespace rookceph rookceph . 创建rook ceph集群 plaintext 创建rook ceph集群 cd rook/deploy/examples kubectl apply f cluster.yaml 镜像列表 registry.k8s.io/sigstorage/csiattacher:v4.8.1 registry.k8s.io/sigstorage/csinodedriverregistrar:v2.13.0 registry.k8s.io/sigstorage/csiprovisioner:v5.2.0 registry.k8s.io/sigstorage/csiresizer:v1.13.2 registry.k8s.io/sigstorage/csisnapshotter:v8.2.1 quay.io/ceph/ceph:v19.2.2 quay.io/cephcsi/cephcsi:v3.14.0 rook/ceph:v1.17.2 kubectl get cephcluster A NAMESPACE NAME DATADIRHOSTPATH MONCOUNT AGE PHASE MESSAGE HEALTH EXTERNAL FSID rookceph rookceph /var/lib/rook 3 136m Ready Cluster created successfully HEALTHWARN 40a66dd669ed4401b97fef1edaae17b2 部署rook ceph工具 plaintext cd rook/deploy/examples kubectl apply f toolbox.yaml 通过cephtool工具查看ceph集群状态，正常需要3个OSD（准备三个节点，每个节点至少有一块盘） kubectl exec it kubectl get pods n rookcephgrep rookcephtoolsawk '{print $1}' n rookceph bash bash5.1$ ceph s cluster: id: e7abf175ad9c420a92051328f8097a75 health: HEALTHWARN mon b is low on available space services: mon: 3 daemons, quorum a,b,c (age 12h) mgr: a(active, since 12h), standbys: b mds: 1/1 daemons up, 1 hot standby osd: 3 osds: 3 up (since 12h), 3 in (since 13h) data: volumes: 1/1 healthy pools: 4 pools, 81 pgs objects: 34 objects, 639 KiB usage: 203 MiB used, 120 GiB / 120 GiB avail pgs: 81 active+clean io: client: 1.2 KiB/s rd, 2 op/s rd, 0 op/s wr OSD 可用存储设备满足条件： 设备必须没有分区。 设备不得具有任何 LVM 状态。 不得安装设备。 该设备不得包含文件系统。 该设备不得包含 Ceph BlueStore OSD。 设备必须大于 5 GB。 使用Ceph

本章节主要介绍翼MapReduce服务的元数据功能。 选择在翼MR集群部署Hive、Ranger、Amoro、Hue或DolphinScheduler组件时，翼MR提供关系数据库MySQL版（CTRDS MySQL）的元数据存储方式。请选择关联与当前集群同一虚拟私有云（VPC）下的MySQL数据库，元数据将存储于关联的数据库中，不会随当前集群的删除而删除，多个翼MR集群可共享同一份元数据。 配置信息说明 当您选择部署Hive、Ranger、Amoro、Hue或DolphinScheduler集群服务时，需要填写元数据库有关的五项配置，包括数据库主机、数据库端口、数据库名称、数据库用户名、数据库密码。 1. 数据库主机与端口：开通MySQL实例后，可从基本信息中获取主机与端口号信息。 2. 数据库名称：开通MySQL实例后，可在数据库管理页面创建数据库并设置数据库名称。建库时，字符集建议选择utf8mb4，校验规则推荐选择utf8mb4unicodeci。 3. 数据库用户名与密码：开通实例后，可前往账号管理创建账户，并为该账号授予目标数据库的权限。请确保填写的用户拥有该数据库的读写权限。 说明 1、当前仅支持通过内网地址进行数据库连接。请选择关联与当前集群同一虚拟私有云（VPC）下的MySQL数据库。 2、配置元数据库信息时，请提前创建数据库，若需要部署多个服务，请创建多个数据库，创建方式可参考 3、元数据配置所需信息可前往 4、请确保配置的数据库用户具有该数据库的读写权限。 5、创建集群时，若元数据库配置错误，将导致Hive、Ranger、Amoro、Hue或DolphinScheduler异常，但不影响集群的创建与部署，集群创建后，您可前往Manager的集群服务，进入相应的集群服务详情，通过运维操作中的“元数据库配置”操作，替换原有元数据库的配置信息并进行初始化。

本文介绍数据库管理服务为云数据库提供数据库审计功能，帮助您追溯历史所有数据库操作记录，满足您的安全审计需求。 前提条件 用户已录入MySQL、DDS、PostgreSQL与SQL Server类型的云数据库实例。 MySQL、PostgreSQL、SQL Server数据库资源池支持：西南1、华东1、上海36、华北2、长沙42、华南2、青岛20、南昌5、西安7、杭州7。 DDS数据库资源池支持：华东1、上海36、西南1、华北2、华南2。 用户已经开启了数据库审计，详见：开启数据库审计。 操作步骤 1. 登录数据库管理服务。 2. 在左侧菜单栏依次点击SQL治理 > SQL审计，进入SQL审计明细界面。 注意事项 SQL审计明细的日志记录默认只保存1天，可设置范围为1~3天。若需要更改最长保存时间（最长支持180天）请联系客户经理评估调整。 仅超级管理员、系统管理员和审计管理员可以进入SQL审计日志界面。 MySQL审计日志中影响行数、返回行数、扫描行数、执行耗时、锁等待时间若无法查看则为历史版本，有需要请联系数据库内核升级版本即可。 若DDS不支持数据库审计，需先升级数据库内核版本。 功能介绍 SQL审计的日志记录了历史所有数据库操作记录，您需要先选择查看的时间范围和实例，点击查询按钮即可查看。 SQL审计明细日志搜索 SQL审计日志支持多个维度的联合搜索，不同数据库类型搜索项存在差异，常见搜索项说明如下 搜索项 说明 时间范围 选择查询的时间范围 数据库类型 选择DMS支持的数据库类型，必填 实例 实例名称，必填 节点IP 数据库实例节点IP，必填 数据库名 实例中数据库名称，可使用通配符%，指代任意长度字符 SQL执行类型 选择SQL语句的类型 SQL文本 SQL语句文本，大小写不敏感，可使用通配符%，指代任意长度字符 按时间排序 是否将查询结果按照时间排序，开启后将严重影响查询性能，建议关闭 数据库账号 大小写不敏感，可使用通配符%，指代任意长度字符 客户端IP 客户端IP地址，可使用通配符%，指代任意长度字符 SQL执行结果 SQL执行是否成功 注意 由于MySQL审计日志数据量较大，搜索的时间范围跨度仅限1天。

本文为您介绍配置隧道网关的操作方法。 本文针对用户IDC的常见组网场景提供配置参考，以华为CE6850交换机、H3C S6520交换机为例。 操作步骤（华为CE6850交换机） 操作步骤（H3C S6520交换机） 约束与限制 如果您的IDC需要与云上企业交换机对接来建立云下和云上二层网络通信，那么IDC侧的交换机需要支持VXLAN功能，若有高可靠性要求，建议VXLAN交换机组堆叠部署。 示例组网说明 本示例场景中，规划的二层网络的子网网关和VXLAN隧道在不同的交换机上。 云上隧道IP是10.0.6.3，用户IDC侧隧道交换机的隧道IP是2.2.2.2，隧道号（VNI）是5010，仅供参考。 图配置远端隧道网关 操作步骤（华为CE6850交换机） 远端隧道网关的配置方法：配置IDC隧道交换机，将二层子网VLAN的流量引流到隧道。 注意 目前大部分CE交换机不支持三层子接口转发已经封装的VXLAN报文，因此VXLAN上行（对接线上企业交换机）不能使用三层子接口，可使用VLANIF接口替代。 1. 登录隧道交换机，执行命令 systemview ，进入系统视图。 2. 进入loopback 0接口视图，配置隧道IP。 3. 配置示例： interface loopback 0 ip address 2.2.2.2 255.255.255.255 4. 执行命令 quit ，退出接口视图，返回到系统视图。 5. 执行命令 bridgedomain ，进入BD视图，配置BD所对应VXLAN的VNI。 配置示例： bridgedomain 10 vxlan vni 5010 6. 执行命令 quit ，退出BD视图，返回到系统视图。 7. 创建二层子接口，通过子接口将二层网络指定的VLAN引流到隧道。 配置示例： interface 10ge 1/0/2.1 mode l2 encapsulation dot1q vid 100 bridgedomain 10 8. 执行命令 interface nve ，创建NVE接口，并进入NVE接口视图，配置VXLAN隧道源端VTEP的IP地址：2.2.2.2。 配置示例： interface nve1 source 2.2.2.2 9. 在NVE接口视图下，执行命令 vni ，配置VNI的头端复制列表。 配置示例： vni 5010 headend peerlist 10.0.6.3 10. 在系统视图下，执行如下命令查看VXLAN的配置状态。 display vxlan vni 5010 verbose