本文介绍如何管理白名单，包括新增、修改白名单等操作。 新增白名单 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 单击镜像管理页面右上角的“白名单管理”，进入白名单管理页面。 4. 单击列表右上角的“新增白名单”，可以新增白名单。 5. 新增完成，可以在列表中看到刚才新增的白名单。 白名单列表上方支持按照“白名单名称”、“内容”模糊搜索，按照“类型”定向筛选查询。 编辑白名单 单击操作列的“编辑”，即可查看或移除已添加到白名单中的镜像、漏洞、文件、软件、环境变量信息。 删除白名单 若不需要白名单时，可以单击操作列的“删除”，删除白名单。 注意 删除白名单后不支持恢复，请谨慎操作。

本文为您介绍VPC终端节点产品的定义、产品架构及其访问方式。 VPC终端节点（VPC Endpoint）是一种能够将VPC私密地连接到终端节点服务（云服务、用户私有服务）的解决方案。通过使用VPC终端节点，VPC中的云资源无需使用弹性IP就可以直接访问终端节点服务，从而提高了访问效率。这种灵活、安全的组网方式为用户提供了更高效的连接方式，保障了数据的安全性和隐私。 产品架构 VPC终端节点由两种资源实例组成：终端节点服务和终端节点。 终端节点服务：将云服务或用户私有服务配置为VPC终端节点支持的服务，允许终端节点连接和访问这些服务。 终端节点：用于建立VPC和终端节点服务之间便捷、安全、私密的连接通道。 通过访问已连接到服务的终端节点的地址，服务使用方主机可方便地访问该终端节点连接的服务，同时利用私有网络通信的优势来确保数据的安全性和隔离性。 如何访问VPC终端节点 VPC终端节点提供了方便的Web化管理控制台，供用户直接使用。同时，也提供了API方式，以便用户可以将终端节点集成到自己的系统中进行二次开发和自动化管理。 控制台方式：用户可以直接登录管理控制台来访问VPC终端节点。 如果用户已经注册了帐户，可以直接登录管理控制台，并从主页选择“网络 > VPC终端节点”来访问。 如果用户尚未注册，需要先在天翼云官网进行注册，然后再登录管理控制台。 API方式： 如果用户需要将VPC终端节点集成到第三方系统，以进行二次开发，可以使用API方式访问VPC终端节点。具体可参考VPC终端节点API参考。 这种方式允许用户通过基于HTTPS的请求来管理VPC终端节点，从而实现对终端节点的各种操作。

本文汇总了云备份常见失败场景中的问题和处理方法。 如何处理Windows操作系统因安装了安全扫描类软件导致的备份客户端安装失败 问题可能原因 用户主机操作系统安装了安全卫士、病毒扫描等安全类软件，在云备份客户端安装过程中相关进程服务被安全类软件禁止，导致客户端安装失败。 处理方法 将云备份客户端安装目录（默认为C:Program FilesCSTORcbr）添加进安全类软件的信任区或白名单，再次执行云备份客户端安装步骤/程序。 如何处理天翼云云主机因未安装或未启动QEMU服务导致的备份客户端安装失败 问题可能原因 用户的天翼云云主机未安装或未启动“QEMUGuestAgent”，在云备份客户端安装过程中无法连接QEMU服务，导致客户端安装失败。 处理方法 1. 安装并启动“QEMUGuestAgent”服务。 Windows主机，需要安装并启动“QEMUGuestAgent”服务，请参考以下文档：安装VirtIO驱动、QEMUGuestAgent。 Linux主机，需要安装并启动“QEMUGuestAgent”服务，请参考以下文档：安装QEMUGuestAgent。 2. 在云备份“ECS备份”界面重新进行客户端安装操作。

本文解释平台用量查询的流量与日志统计的流量差异产生的原因。 直播控制台上可查询带宽流量等统计数据，该数据同时也应用于生成计费账单，其流量会比基于访问日志统计的流量偏多。 原因是日志中记录的流量数据是基于应用层日志中响应消息头+响应body体统计出的流量。而在实际网络请求中产生的网络流量，由于存在TCP/IP包头消耗和TCP重传，要比应用层统计到的流量数据高出7%~15%。因此按照业界标准，应用于账单的计费值会比基于访问日志计算得出的计费值上浮10%。 TCP/IP包头的消耗 HTTP请求是基于TCP/IP协议的，数据包是TCP/IP协议通信传输中的数据单位，我们在使用基于TCP/IP协议的网络时，网络中传递的其实就是数据包。每个数据包的大小最大是1500字节，这1500字节中包括了TCP和IP协议组成的40个字节的包头，这两个协议包头其实也会产生流量，但是却无法被应用层统计到，因此这40个字节的流量就不会被统计到日志里，这部分的流量会占到我们通过日志计算出流量的2.74%（40/1460）以上，即3%左右。 TCP重传 根据互联网中网络的负载情况，通常情况下，会有接近3%~10%的数据包会因为网络堵塞、设备故障等各种异常情况被丢弃。发生丢包后，服务器会对丢弃的数据包进行重传，这部分的具体操作是由内核层的协议栈处理完成的，所以应用层无法进行统计，因此在一定程度上也会造成日志统计与实际网络响应流量的差异。 综上所述，天翼云视频直播产品取平均值10%作为网络层额外消耗的流量比例，即应用于账单的计费值会比基于访问日志计算得出的计费值上浮10%。

导出资源信息 云堡垒机支持批量导出资源信息，用于本地备份资源配置，以及便于快速管理资源基本信息。 为加强资源信息安全管理，支持加密导出资源信息。 导出的主机资源文件中包含主机基本信息、主机下所有资源账户信息、主机资源账户明文密码等。 导出的应用服务器文件中包含应用服务器基本信息、应用服务器帐户信息、应用路径信息、服务器帐户明文密码等。 导出的应用发布文件中包含应用发布基本信息、应用资源账户信息、应用资源账户明文密码等。 导出的资源账户文件中包含资源账户基本信息、关联资源信息、资源地址信息、资源账户明文密码等。 前提条件 已分别获取“主机管理”、“应用服务器”、“应用发布”、“资源账户”模块操作权限。 批量导出主机资源信息 1. 登录云堡垒机系统。 2. 选择“资源 > 主机管理”，进入主机管理列表页面。 3. 勾选需要导出的主机。 若不勾选，默认导出全部主机。 4. 单击“导出”，弹出导出主机资源确认窗口。 5. 导出确认。 （可选）设置加密密码：可选择设置。不设置，下载的主机资源文件为未加密的CSV格式；设置密码，下载的主机资源文件为加密的ZIP格式。 （必选）用户密码：输入当前用户的登录密码，验证通过才允许导出主机资源信息，确保资源账户密码安全。 单击“确定”，即可下载CSV格式文件或加密的ZIP格式文件保存到本地。 批量导出应用服务器信息 1. 登录云堡垒机系统。 2. 选择“资源 > 应用发布 > 应用服务器”，进入应用服务器列表页面。 3. 勾选需要导出的应用服务器。若不勾选，默认导出全部应用服务器。 4. 单击“导出”，弹出导出应用服务器确认窗口。 5. 导出确认。 （可选）设置加密密码：可选择设置。不设置，下载的应用服务器文件为未加密的CSV格式；设置密码，下载的应用服务器文件为加密的ZIP格式。 （必选）用户密码：输入当前用户的登录密码，验证通过才允许导出应用服务器信息，确保资源账户密码安全。 单击“确定”，即可下载CSV格式文件或加密的ZIP格式文件保存到本地。

本章节主要介绍如何查看天翼云物理机的详细信息。 操作场景 在您创建了物理机服务器后，可以通过管理控制台查看和管理您的物理机服务器。本节介绍如何查看物理机服务器的详细信息，包括物理机服务器名称/ID、磁盘、网卡、弹性公网IP等信息。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 物理机服务器”。进入物理机服务器列表页面，您可以在本页面查看您已创建的物理机服务器，以及物理机服务器的规格、镜像、私有IP地址等基本信息。 3. 在物理机服务器列表中的右上方，按照运行状态、名称、物理机服务器ID、规格和私有IP地址筛选需要的物理机服务器。 4. 单击物理机服务器的名称。进入物理机服务器详情界面。 5. 查看物理机服务器的详细信息，如：名称、状态、规格、虚拟私有云等信息。还可以单击“磁盘/网卡/安全组/弹性公网IP/监控”页签，为物理机服务器挂载、卸载云硬盘，更改安全组，绑定、解绑定弹性公网IP，添加委托等。 说明 物理机服务器监控数据与图表不在详情界面展示，您需要在云监控界面查看。当然，前提是您的物理机服务器已安装主机监控Agent，详情请参见安装配置Agent。

参数 参数类型 说明 示例 下级对象 id String 堡垒机的唯一标识 700c065cbbd35b8aa07d551dba4a5141 instanceName String 堡垒机名称 osm823gx regionId String 堡垒机所在资源池id 8dd80525678b11edbc9e0242ac110002 regionName String 堡垒机所在资源池名称 贵州6公有云1 azName String 堡垒机所在可用区 cnxinan1 vmStatus String 主机状态 running：运行中 starting; 启动中 backingup: 备份中 stopping: 执行关机中 stopped: 已关机 restarting: 重启中 creating: 创建中 expired: 已到期 starting: 开机中 freezing: 冻结中 upgrading: 升级中 resizing: 变配中 error: 主机错误 running eipId String 公网动态ip id eipdba4a5141 eipAddress String 公网动态ip 20.138.38.20 specName String 规格名称 企业版 assetsNum String 授权资产数量 20 concurrencyNumber String 规格授权并发量 100 vpcId String vpc id vpc077343 vpcName String vpc名称 vpcosm securityGroupId String 安全组id sg1v5hv8r5ng securityGroupName String 安全组名称 sgsosm subnetId String 子网id subnet6m1u7qpjp4 subnetName String 子网名称 subnetosm cpuNum Integer 表示核心主机cpu数量 8 memSize Integer 表示内存大小,单位G 16 vmHdType String 数据盘类型 sata：高带磁盘 vmHd Integer 数据盘大小,单位G 300 vmHdUsed Integer 数据盘已使用量,单位G 100 createTimee String 创建时间 2024/10/10 10:10 expireDate String 到期时间 2024/10/10 10:10

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 获取临时token 在服务端生成临时token，可参考java、python、nodejs、CPP、donet、go、php SDK说明，请从 SDK概览 页面选择进入对应的开发指南查阅。 使用临时token 实现一个MyCredentialsProvider，支持更新ak/sk和token。 plaintext // .h @interface MyCredentialsProvider: NSObject ​ (instancetype)initWithAccessKey:(NSString )accessKey secretKey:(NSString )secretKey sessionToken:(NSString )sessionToken; ​ (void)updateCredWithAccessKey:(NSString )accessKey secretKey:(NSString )secretKey sessionToken:(NSString )sessionToken; @end ​ ​ // .m @interface MyCredentialsProvider() @property (atomic, strong) AWSCredentials internalCredentials; @end ​ @implementation MyCredentialsProvider (instancetype)initWithAccessKey:(NSString )accessKey secretKey:(NSString )secretKey sessionToken:(NSString )sessionToken { if (self [super init]) { internalCredentials [[AWSCredentials alloc] initWithAccessKey:accessKey secretKey:secretKey sessionKey:sessionToken expiration:nil]; } return self; } ​ (AWSTask )credentials { return [AWSTask taskWithResult:self.internalCredentials]; } ​ (void)invalidateCachedTemporaryCredentials { } ​ (void)updateCredWithAccessKey:(NSString )accessKey secretKey:(NSString )secretKey sessionToken:(NSString )sessionToken { self.internalCredentials [[AWSCredentials alloc] initWithAccessKey:accessKey secretKey:secretKey sessionKey:sessionToken expiration:nil]; } @end 使用临时token初始化sdk plaintext

本章为您介绍如何对DSC的操作记录进行审计。 DSC的所有操作都会通过API形式记录在云审计服务（Cloud Trace Service，CTS）中。 开通云审计服务后，您可以在云审计服务中查看有关DSC的所有操作记录，供安全审查使用。关于如何查看审计日志，请参见查看DSC的云审计日志。

Ruby是什么用户？ 在执行SELECT FROM pguser语句查看当前系统的用户时，看到Ruby用户且拥有很多权限。 Ruby用户为官方运维使用帐户，DWS数据库创建后，默认生成Ruby帐户，不涉及安全风险，请放心使用。

本节介绍了一键式重置密码插件漏洞说明 漏洞说明 弹性云主机提供了重置密码功能，当弹性云主机的密码丢失或过期时，可使用该功能进行一键式重置密码。 2022年1月14日以前的旧版本一键式重置密码插件“CloudResetPwdUpdateAgent ”使用了Apache Log4j2组件，会被安全工具扫描出漏洞。 表 漏洞信息 漏洞类型 CVEID 漏洞级别 披露/发现时间 修复时间 Apache Log4j2 远程代码执行 CVE202144228 严重 20211209 2022114 Apache Log4j2 远程代码执行 CVE202145046 严重 20211215 2022114 Apache Log4j2 拒绝服务 CVE202145105 中 20211218 2022114 Apache Log4j2 远程代码执行 CVE202144832 中 20211229 2022114 Apache Log4j2 信息泄露 CVE20209488 低 20200427 2022114 漏洞影响 一键式重置密码插件是弹性云主机内部运行的客户端进程，不对外提供任何网络服务。经分析验证，一键式重置密码插件无可利用条件，无安全风险。

conditions表 参数 参数类型 必选 说明 匹配方式 示例 bucket String 否 存储桶名称。 bucket {"bucket": "examplebucket"} key String 否 上传对象的名称。 eq、startswith ["eq", "$key", "ExampleObject"] xamzalgorithm String 是 指定签名的版本和算法，固定值为AWS4HMACSHA256。 xamzalgorithm {"xamzalgorithm": "AWS4HMACSHA256"} xamzcredential String 是 指明派生密钥的参数集。格式： / / /s3/aws4request。 xamzcredential {"xamzcredential": "afwnu54/20241216/useast1/s3/aws4request"} xamzdate String 是 请求的时间（遵循ISO 8601日期和时间标准）。格式：20241216T020211Z。 xamzdate {"xamzdate": "20241216T020211Z"} contentlengthrange String 否 上传对象时的最小以及最大允许的大小，单位是字节。 contentlengthrange ["contentlengthrange", 1, 10] successactionstatus String 否 上传成功后的返回状态码。 eq、startswith ["eq", "$successactionstatus", "201"] contenttype String 否 限制对象的文件类型。 eq、startswith ["eq", "$contenttype", "image/jpg"] xamzsecuritytoken String 否 安全令牌。仅在通过STS构造POST签名时需要该参数。可以通过调用STS服务的AssumeRole接口获取安全令牌。 xamzsecuritytoken {"xamzsecuritytoken": "ek+NvIdz"} cachecontrol String 否 缓存控制。 eq、startswith ["eq", "$cachecontrol", "nocache"]

删除敏感数据规则组操作指导。 您可在数据安全中心DSC的敏感数据规则列表中删除不再使用的自定义敏感数据规则组。其中已在识别任务中使用的规则组、DSC内置规则组都不可删除。 前提条件 已添加敏感数据规则组。 约束条件 DSC内置的规则组不可删除。 如果待删除的规则组已在识别任务中使用，您需要先删除包含该规则组的敏感数据任务，再参照本章节删除该规则组。 规则组删除后将无法恢复，请谨慎操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，选择“敏感数据识别 > 识别规则”，并选择“规则组”页签，进入规则组列表。 5. 在目标敏感规则组所在行的“操作”列，单击“删除”。 6. 在弹出的提示框中，单击“确定”。

本页为您介绍DTS针对用户关键操作提供的日志管理功能。 功能介绍 天翼云数据传输服务DTS针对用户的关键操作和系统重要业务操作，提供了查看操作日志、及对接云审计和查看云审计日志的功能，帮助用户进行安全审计、故障排除、回顾操作流程、追踪错误等。 操作指引 查看DTS操作日志，请参见查看操作日志文档。 查看云审计日志，请参见查看云审计日志文档。

云主机放通互联网访问，首先设置应用控制策略。本小节介绍安全专区访问策略配置方法。 配置方法： 在【策略】→【访问控制】→【应用控制策略】→【策略汇总】→【新增】： 源 区域：选择“L3untrustA”。 地址：选择网络对象，勾选需要访问互联网的业务云主机对象。 目的 区域：选择“L3untrustA”。 地址：勾选网络对象，选择全部。 服务/应用：勾选服务，需访问的互联网服务端口可选择any全端口。

本页介绍了如何管理天翼云RDSPostgreSQL产品的只读实例。 RDSPostgreSQL产品支持管理只读实例的功能，主要包括以下操作： 基础操作：重启、停止、升级等，支持绑定EIP和设置标签。 生命周期：退订、扩容（包括规格扩容和磁盘扩容）等。 参数设置：修改实例参数，并支持设置参数模板应用到只读实例。 实例操作：包括空闲连接查杀、清理在线表等。 实例监控：资源监控（主机资源包括CPU、IO等核心监控数据）、引擎监控（QPS、TPS、连接数、缓存等内核指标监控）、日志监控（慢日志、错误日志等）以及操作日志（包括控制台操作在内的监控等）。 数据库安全：白名单管理、数据库审计等安全操作。

本页介绍天翼云TeleDB数据库实例开通相关操作。 在实例开通模块，可开通数据库引擎，可选关系型数据库和数据库生态工具等。 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树选择实例管理 > 实例开通 ，进入实例开通页面。 3. 配置实例基本信息。 您需要注意如下参数： 引擎选项：您需要先填写引擎选项，即需要开通的引擎类型、引擎规格、性能规格。 实例设置：根据选择引擎，设置实例相关信息，不同数据库实例设置的内容不同，例如TeleDB需要填写实例名称、主备复制模式、字符集、root密码等。 4. 单击下一步 ，进入实例开通下一个页面。 5. 根据实际情况，填写基本信息。 > 您需要先选择主机组，将新建的实例与主机组进行绑定，初次分配以及后续的扩容等操作，都只允许选择该主机组当中的实例主机。其中，主机组中为running状态的主机，才可以用于分配使用。 > 主机选择可选自动分配 ，或单击选择主机手动选择主机。 > 填写主机配置相关信息。 6. 单击提交工单，完成实例开通。 7. 您可通过实例管理 > 工单管理，查看工单详情。 8. 您可通过实例管理 > 实例列表 ，查看实例详情信息。

本章节为您介绍VPN服务的基本功能。 VPN服务管理：用于维护VPN服务，提供配置VPN服务；对内网控制新增和删除；对静态路由表的新增，修改，删除等功能。 VPN服务证书：SSL VPN服务使用VPN服务证书来进行安全认证工作，使用SSL VPN服务的前提是必须安装相关VPN服务证书，提供新增，查看详情，启用，停用，可信证书链管理，CSR请求，证书应答，导入证书等功能。

参数名称 参数说明 模板 Agent沙箱支持base、codeinterpreter和browserchromium三种类型沙箱模板 超时时间 沙箱存活时长，沙箱创建后超过该时长，会被自动销毁 能否访问公网 默认所有沙箱都能访问公网 能否开启安全访问沙箱 开启后，访问沙箱里面需要鉴权 环境变量 沙箱中会增加配置的环境变量

参数名称 参数说明 模板 Agent沙箱支持base、codeinterpreter和browserchromium三种类型沙箱模板 超时时间 沙箱存活时长，沙箱创建后超过该时长，会被自动销毁 能否访问公网 默认所有沙箱都能访问公网 能否开启安全访问沙箱 开启后，访问沙箱里面需要鉴权 环境变量 沙箱中会增加配置的环境变量

本节主要介绍弹性文件服务的定义和产品架构。 弹性文件服务（CTSFS，Scalable File Service）为您提供安全、可靠、可扩展、高性能的文件存储（NAS），可为云上多个弹性云主机（ECS），云容器引擎（CCE）、物理机（BMS）提供共享访问。分为SFS容量型和SFS Turbo两类文件系统。

本节介绍配置主机授权时，是否必须使用加密密钥。 在创建SSH授权登录（Linux主机）时，为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。

本文内容主要介绍通过公网连接集群实例概述 操作场景 本章介绍如何在控制台创建集群实例，以及购买后如何设置安全组、绑定弹性公网IP，并通过公网连接集群实例。 使用流程 初次创建实例到可以开始使用实例，您需要完成如下操作： 公网访问数据库实例

检查主备集群RegionServer之间的网络连接 2.执行ping命令，查看故障RegionServer节点和备集群RegionServer所在主机的网络连接是否正常。 是，执行步骤5 否，执行步骤3 3.联系网络管理员恢复网络。 4.网络恢复后，在告警列表中，查看本告警是否清除。 是，处理完毕。 否，执行步骤5。 检查主集群RegionServer的Region分布情况 5.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HBase”，单击“HMaster(主)”，打开该HBase实例的WebUI，查看Region Servers上Region分布是否均衡。 6.以omm用户登录故障RegionServer节点。 7.进入客户端安装目录，设置环境变量。 cd 客户端安装目录 source bigdataenv 如果集群采用安全版本，要进行安全认证。执行kinit hbase命令，按提示输入密码（向管理员获取密码）。 8.执行以下命令查看目前负载均衡功能是否打开。 hbase shell balancerenabled 是，执行步骤10。 否，执行步骤9。 9.在hbase shell中执行命令打开负载均衡功能，并执行命令查看确认成功打开。 balanceswitch true balancerenabled 10.执行balancer命令手动触发负载均衡。 说明 建议打开和手动触发负载均衡操作在业务低峰期进行。 11.观察该告警是否清除。 是，处理完毕。 否，执行步骤12。

本节为您介绍如何升级数据安全中心的版本。 前提条件 已通过IAM对用户绑定“DSC FullAccess”权限的用户组。 规格限制 1个数据库扩展包含1个可添加数据库（支持RDS、DWS、ECS自建数据库、DLI、Elasticsearch、ECS自建大数据等）资产。 1个OBS扩展包含1T体量，即1024G。 操作步骤 1. 登录管理控制台。 2. 点击左上角的，选择区域或项目。 3. 点击左侧导航树中的，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4. 在页面的右上角单击“升级规格”。 5. 选择“数据库扩展包”和“OBS扩展包”的数量。 1个数据库扩展包含1个可添加数据库（支持RDS、DWS、ECS自建数据库、DLI、Elasticsearch、ECS自建大数据等）资产。 1个OBS扩展包含1T体量，即1024G。 6. 在页面的右下角，单击“立即购买”。

sectionbd4d673de698b223)。 说明 选择套餐后，支持更改原子能力数量、对应产品规格，不支持更改购买的原子能力类型。 自定义套餐 若用户需要购买单个原子能力，可以选择等保自定义版，根据实际需要进行原子能力类型以及规格进行勾选。 产品价格 云等保专区原子能力价格 产品名称 版本 规格 规格说明 标准价格（元/月） 标准价格（元/年） 包年优惠 堡垒机 v1.0 10资产 支持10资产管理 1066 12791 堡垒机 v1.0 20资产 支持20资产管理 1523 18273 堡垒机 v1.0 50资产 支持50资产管理 3006 36069 堡垒机 v1.0 100资产 支持100资产管理 4294 51527 堡垒机 v1.0 200资产 支持200资产管理 6134 73610 堡垒机 v1.0 500资产 支持500资产管理 11599 139191 堡垒机 v1.0 1000资产 支持1000资产管理 16570 198844 堡垒机 v2.0 10资产 支持10资产管理 1020 10404 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 堡垒机 v2.0 20资产 支持20资产管理 1280 13056 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 堡垒机 v2.0 50资产 支持50资产管理 2600 26520 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 堡垒机 v2.0 100资产 支持100资产管理 4600 46920 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 堡垒机 v2.0 200资产 支持200资产管理 6200 63240 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 堡垒机 v2.0 500资产 支持500资产管理 9200 93840 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 堡垒机 v2.0 1000资产 支持1000资产管理 14170 144534 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 堡垒机 v2.0 存储扩容 支持对数据盘进行扩容 500/TB 5100/TB 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 数据库审计 v1.0 标准版 支持4数据库实例 3333 40000 数据库审计 v1.0 高级版 支持8数据库实例 6250 75000 数据库审计 v1.0 企业版 支持16数据库实例 11667 140000 数据库审计 v2.0 4资产 支持4数据库实例 3333 33330 包年订购折扣：针对一次性包年付费服务，享受1年及以上8.33折优惠。 数据库审计 v2.0 8资产 支持8数据库实例 6250 62500 包年订购折扣：针对一次性包年付费服务，享受1年及以上8.33折优惠。 数据库审计 v2.0 16资产 支持16数据库实例 11667 116670 包年订购折扣：针对一次性包年付费服务，享受1年及以上8.33折优惠。 数据库审计 v2.0 32资产 支持32数据库实例 22400 224000 包年订购折扣：针对一次性包年付费服务，享受1年及以上8.33折优惠。 数据库审计 v2.0 存储扩容 支持对数据盘进行扩容 500/TB 5000/TB 包年订购折扣：针对一次性包年付费服务，享受1年及以上8.33折优惠。 漏洞扫描 v1.0 10资产 支持10个IP地址 937 11248 漏洞扫描 v1.0 20资产 支持20个IP地址 1339 16068 漏洞扫描 v1.0 50资产 支持50个IP地址 3493 41915 漏洞扫描 v1.0 100资产 支持100个IP地址 4990 59878 漏洞扫描 v1.0 200资产 支持200个IP地址 10530 126358 日志审计 v1.0 10资产 支持10个日志源（每个日志源对应为一个IP） 1107 13289 日志审计 v1.0 20资产 支持20个日志源（每个日志源对应为一个IP） 1582 18984 日志审计 v1.0 50资产 支持50个日志源（每个日志源对应为一个IP） 3219 38633 日志审计 v1.0 100资产 支持100个日志源（每个日志源对应为一个IP） 4599 55190 日志审计 v1.0 200资产 支持200个日志源（每个日志源对应为一个IP） 9606 115267 日志审计 v1.0 500资产 支持500个日志源（每个日志源对应为一个IP） 13722 164667 日志审计 v2.0 10资产 支持10个日志源（每个日志源对应为一个IP） 1107 11291.4 包年订购折扣：针对一次性包年付费服务，1年85折，2年75折，3、4、5年65折。 日志审计 v2.0 15资产 支持15个日志源（每个日志源对应为一个IP） 1257 12821.4 包年订购折扣：针对一次性包年付费服务，1年85折，2年75折，3、4、5年65折。 日志审计 v2.0 20资产 支持20个日志源（每个日志源对应为一个IP） 1582 16136.4 包年订购折扣：针对一次性包年付费服务，1年85折，2年75折，3、4、5年65折。 日志审计 v2.0 50资产 支持50个日志源（每个日志源对应为一个IP） 3219 32833.8 包年订购折扣：针对一次性包年付费服务，1年85折，2年75折，3、4、5年65折。 日志审计 v2.0 100资产 支持100个日志源（每个日志源对应为一个IP） 4599 46909.8 包年订购折扣：针对一次性包年付费服务，1年85折，2年75折，3、4、5年65折。 日志审计 v2.0 200资产 支持200个日志源（每个日志源对应为一个IP） 7359 75061.8 包年订购折扣：针对一次性包年付费服务，1年85折，2年75折，3、4、5年65折。 日志审计 v2.0 500资产 支持500个日志源（每个日志源对应为一个IP） 15639 159517.8 包年订购折扣：针对一次性包年付费服务，1年85折，2年75折，3、4、5年65折。 日志审计 v2.0 存储扩容 支持对数据盘进行扩容 500/TB 5100/TB 包年订购折扣：针对一次性包年付费服务，1年85折，2年75折，3、4、5年65折。 下一代防火墙 v1.0 标准版 支持1Gbps公网流量处理能力峰值 1879 22546 下一代防火墙 v1.0 高级版 支持2Gbps公网流量处理能力峰值 3406 40872 下一代防火墙 v1.0 企业版 支持4Gbps公网流量处理能力峰值 5673 68079 下一代防火墙 v2.0 标准版 支持1Gbps公网流量处理能力峰值（每秒数据包处理能力：200000 PPS） 1879 22546 下一代防火墙 v2.0 高级版 支持2Gbps公网流量处理能力峰值（每秒数据包处理能力：400000 PPS） 3406 40872 下一代防火墙 v2.0 企业版 支持4Gbps公网流量处理能力峰值（每秒数据包处理能力：2500000 PPS） 5673 68079 云安全中心 v2.0 标准版 包含日志分析量为每月50G 1600 16320 包年订购折扣：针对一次性包年付费服务，享受1年及以上8.5折优惠。 云安全中心 v2.0 态势大屏 包括安全成果态势、威胁攻击态势大屏 4500 45900 包年订购折扣：针对一次性包年付费服务，享受1年及以上8.5折优惠。 云安全中心 v2.0 日志分析量 默认需购买500G日志分析量，额外购买步长为50G 225 / 500GB 2295 / 500GB 包年订购折扣：针对一次性包年付费服务，享受1年及以上8.5折优惠。 主机安全 v1.0 标准版 按照需防护的主机个数购买，提供安全概览、资产管理、入侵检测、漏洞扫描、基线管理功能。 167 2000 主机安全 v1.0 网页防篡改版 按照需防护的主机个数购买，提供网页防篡改能力，解决页面篡改、挂马、暗链等网页风险问题。 695 8340 主机安全 v2.0 企业版 按照需防护的主机个数购买，提供安全概览、资产管理、入侵检测、漏洞扫描、基线管理功能。 60 612 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 主机安全 v2.0 旗舰版 按照需防护的主机个数购买，提供安全概览、资产管理、入侵检测、漏洞扫描、基线管理功能。 180 1836 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 主机安全 v2.0 网页防篡改版 按照需防护的主机个数购买，提供网页防篡改能力，解决页面篡改、挂马、暗链等网页风险问题。 980 9996 包年订购折扣：针对一次性包年付费服务，1年85折，2年7折，3、4、5年5折。 Web应用防火墙 v1.0 标准版 防护10个站点，支持带宽防护200Mb 2837 34049 Web应用防火墙 v1.0 域名扩展包 每个扩展包支持10个域名防护 500 5998 Web应用防火墙 v1.0 带宽扩展包 单个防护带宽扩展包，每个扩展包规格50Mb，可叠加； 单个Web应用防火墙最大支持1000Mb流量，最大可支持16个扩展包。 500 5998 Web应用防火墙 v2.0 SaaS版 标准版 业务请求峰值3000QPS，支持防护域名20个（包含2个主域名），防护端口20个，更多信息请参见[产品规格](

若用户不再使用态势感知防护功能，可执行退订或一键取消操作。 包周期（包年/包月）计费模式：预付费方式。 按需计费模式：按小时计费方式。资源即开即停，支持一键“取消”释放资源。 退订包周期专业版 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理控制台。 3. 单击右上角“专业版”，显示版本管理窗口。 4. 针对包周期购买的资产配额，单击“退订”，进入“退订管理”列表页面。 5. 在需要退订的实例所在行，单击“操作”列中的“退订资源”，进入“退订资源”页面。 6. 确认待退订资源信息，选择退订原因，并勾选退订确认。 7. 单击“退订”，在退订管理页面确认退订。 退订成功后，返回版本管理窗口，包年/包月计费的资产配额已取消。 退订按需专业版 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理控制台。 3. 单击右上角“专业版”，显示版本管理窗口。 4. 针对按需购买的版本，单击“取消”，一键释放按需计费的资产配额。 返回版本管理窗口，按需计费的资产配额资源已取消。

检查主备集群RegionServer之间的网络连接 2.执行ping命令，查看故障RegionServer节点和备集群RegionServer所在主机的网络连接是否正常。 是，执行步骤5 否，执行步骤3 3.联系网络管理员恢复网络。 4.网络恢复后，在告警列表中，查看本告警是否清除。 是，处理完毕。 否，执行步骤5。 检查主集群RegionServer的Region分布情况 5.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HBase”，单击“HMaster(主)”，打开该HBase实例的WebUI，查看Region Servers上Region分布是否均衡。 6.以omm用户登录故障RegionServer节点。 7.进入客户端安装目录，设置环境变量。 cd 客户端安装目录 source bigdataenv 如果集群采用安全版本，要进行安全认证。执行kinit hbase命令，按提示输入密码（向管理员获取密码）。 8.执行以下命令查看目前负载均衡功能是否打开。 hbase shell balancerenabled 是，执行步骤10。 否，执行步骤9。 9.在hbase shell中执行命令打开负载均衡功能，并执行命令查看确认成功打开。 balanceswitch true balancerenabled 10.执行balancer命令手动触发负载均衡。 说明 建议打开和手动触发负载均衡操作在业务低峰期进行。 11.观察该告警是否清除。 是，处理完毕。 否，执行步骤12。

交换IP操作步骤 步骤 1 登录分布式缓存服务管理控制台。 步骤 2 在管理控制台左上角单击，选择实例所在的区域。 步骤 3 单击左侧菜单栏的“数据迁移”，页面显示迁移任务列表页面。 步骤 4 单击右上角的“创建在线迁移任务”。 步骤 5 设置迁移任务名称和描述。 步骤 6 配置在线迁移任务虚拟机资源的VPC、子网和安全组。 创建在线迁移任务时，需要选择迁移虚拟机资源的VPC和安全组，并确保迁移资源能访问源Redis和目标Redis实例。 步骤 7 参考配置在线迁移任务配置迁移任务，此处迁移方式只能选择“全量迁移+增量迁移”。 步骤 8 在“在线迁移”页面，当迁移任务状态显示为“增量迁移中”时，单击操作列的“更多 > 交换IP”打开交换IP弹框。 步骤 9 在交换IP弹框中，在交换域名区域，选择是否交换域名。 说明 如果使用域名，则必须要选择交换域名，否则客户端应用需要修改使用的域名。 如果没有使用域名，则直接更新两个实例的DNS。 步骤 10 单击“确定”，交换IP任务提交成功，当迁移任务的状态显示为“IP交换成功”，表示交换IP任务完成。 结束

本节主要介绍创建网格 ASM支持创建基础版网格，提供商用级网格服务。 前提条件 启用应用服务网格前，您需要创建或已有一个可用集群，并确保集群版本为v1.15及以上。 约束与限制 应用服务网格依赖集群CoreDNS的域名解析能力，请确保集群拥有足够资源，且CoreDNS插件运行正常。 集群启用Istio时，需要开通node节点（计算节点/工作节点）所在安全组的入方向7443端口规则，用于Sidecar自动注入回调。如果您使用CCE创建的默认安全组，此端口会自动开通。如果您自建安全组规则，请手动开通7443端口，以确保Istio自动注入功能正常。 操作步骤 步骤 1 登录应用服务网格控制台。 步骤 2 单击右上角“创建网格”。 步骤 3 设置网格参数。 网格类型 默认为基础版网格。 网格名称 网格的名称，取值必须以小写字母开头，由小写字母、数字、中划线（）组成，且不能以中划线（）结尾，长度范围为4~64个字符。 同一帐号下网格不可重名，且网格名称创建后不可修改。 Istio版本 网格支持的Istio版本。 启用IPv6 启用双栈网格需满足以下条件： 网格类型 Istio版本 支持启用的集群类型 集群网络类型 其他说明 基础版 1.18及以上 CCE Turbo集群 云原生网络2.0 集群需要已启用IPv6 说明 是否启用IPv6功能，仅istio1.18及以上版本的基础版网格支持。 低版本的网格升级到1.18及以上时，不支持升级后开启IPv4/IPv6双栈。 网格开启IPv4/IPv6双栈后不支持关闭， 未开启双栈的网格也不支持创建完成之后开启双栈。 集群 在集群列表中选择集群，或在列表右上角输入集群名称搜索需要的集群。仅可选择当前网格版本支持的集群版本。 Istio控制面节点 基础版网格的控制面组件安装在用户集群，因此需要选择用于安装Istio控制面的节点。如果需要高可用，建议选择两个或以上不同可用区的节点。 所选节点会被添加istio:master标签，网格组件会调度到该节点上。 步骤 4（可选）高级配置。 sidecar配置 选择命名空间，为命名空间设置标签istioinjectionenabled，其中的Pod在重启后会自动注入istioproxy sidecar。 如果不进行sidecar配置，可在网格创建成功后在“网格配置 > sidecar管理”中注入sidecar。具体操作请参考sidecar注入。 是否重启已有服务 ：会重启命名空间下已有服务关联的Pod，将会暂时中断业务。只有在重启后，已有服务关联的Pod才会自动注入istioproxy sidecar。 ：已有服务关联的Pod不会自动注入istioproxy sidecar，需要在CCE控制台，手动重启工作负载才会注入sidecar。 步骤 5 设置完成后，在页面右侧配置清单确认网格配置，确认无误后，单击“提交”。 创建网格预计需要1~3分钟，请耐心等待。当网格状态从“安装中”变为“运行中”，表示网格创建成功。 说明 启用网格期间会操作如下资源： 创建一个Helm应用编排release对象，作为服务网格控制面的资源。 开通节点的安全组，允许7443端口的入流量，使其支持对Pod进行自动注入。

client.sources staticlogsource client.channels staticlogchannel client.sinks kafkasink LOGTOHDFSONLINE1 client.sources.staticlogsource.type spooldir client.sources.staticlogsource.spoolDir 监控目录 client.sources.staticlogsource.fileSuffix .COMPLETED client.sources.staticlogsource.ignorePattern ^$ client.sources.staticlogsource.trackerDir 传输过程中元数据存储路径 client.sources.staticlogsource.maxBlobLength 16384 client.sources.staticlogsource.batchSize 51200 client.sources.staticlogsource.inputCharset UTF8 client.sources.staticlogsource.deserializer LINE client.sources.staticlogsource.selector.type replicating client.sources.staticlogsource.fileHeaderKey file client.sources.staticlogsource.fileHeader false client.sources.staticlogsource.basenameHeader true client.sources.staticlogsource.basenameHeaderKey basename client.sources.staticlogsource.deletePolicy never client.channels.staticlogchannel.type file client.channels.staticlogchannel.dataDirs 数据缓存路径，设置多个路径可提升性能，中间用逗号分开 client.channels.staticlogchannel.checkpointDir 检查点存放路径 client.channels.staticlogchannel.maxFileSize 2146435071 client.channels.staticlogchannel.capacity 1000000 client.channels.staticlogchannel.transactionCapacity 612000 client.channels.staticlogchannel.minimumRequiredSpace 524288000 client.sinks.kafkasink.type org.apache.flume.sink.kafka.KafkaSink client.sinks.kafkasink.kafka.topic 数据写入的topic ，如flumetest client.sinks.kafkasink.kafka.bootstrap.servers XXX . XXX . XXX . XXX :kafka 端口号 , XXX . XXX . XXX . XXX :kafka 端口号 , XXX . XXX . XXX . XXX :kafka端口号 client.sinks.kafkasink.flumeBatchSize 1000 client.sinks.kafkasink.kafka.producer.type sync client.sinks.kafkasink.kafka.security.protocol SASLPLAINTEXT client.sinks.kafkasink.kafka.kerberos.domain.name Kafka Domain名称，安全集群必填，如hadoop.xxx.1com client.sinks.kafkasink.requiredAcks 0 client.sources.staticlogsource.channels staticlogchannel client.sinks.kafkasink.channel staticlogchannel 说明 client.sinks.kafkasink.kafka.topic：数据写入的topic。若kafka中该topic不存在，默认情况下会自动创建该topic。 client.sinks.kafkasink.kafka.bootstrap.servers：Kafkabrokers列表，多个用英文逗号分隔。默认情况下，安全集群端口21007，普通集群对应端口9092。 client.sinks.kafkasink.kafka.security.protocol：安全集群为SASLPLAINTEXT，普通集群为PLAINTEXT。 client.sinks.kafkasink.kafka.kerberos.domain.name： 普通集群无需配置此参数。安全集群对应此参数的值为Kafka集群中“kerberos.domain.name”对应的值。 具体可到Broker实例所在节点上查看${BIGDATAHOME}/MRSCurrent/1 X Broker/etc/server.properties。 其中X为随机生成的数字，请根据实际情况修改。同时文件需要以Flume客户端安装用户身份保存，例如root用户。 具体可到Broker实例所在节点上查看“${BIGDATAHOME}/FusionInsightCurrent/1XBroker/etc/server.properties”。 9. 参数配置并保存后，Flume客户端将自动加载“properties.properties”中配置的内容。当spoolDir生成新的日志文件，文件内容将发送到Kafka生产者，并支持Kafka消费者消费。

本节介绍VSS的主机扫描IP有哪些。 如果设置了访问限制，请添加策略允许VSS的IP地址可以访问您的主机。如果您使用了主机安全防护软件，请将VSS访问主机的IP地址添加到该软件的白名单中，以免该软件拦截了VSS访问用户主机的IP地址。 114.217.39.79，222.93.127.109