本文介绍镜像服务相关的数据保护技术。 数据保护技术 镜像服务通过多种数据保护手段和特性，保障存储数据的安全可靠。对于私有镜像建议通过导出方案，多地备份提升可用性。 数据冗余存储 镜像文件后端采用了冗余的方式存储，保证了高可用性。

名词解释 环境 目前天翼云Prometheus服务支持容器环境与云服务环境。 容器环境：每个云容器集群对应一个独立的容器环境。针对容器环境，Prometheus提供了自动化的监控采集链路，完成探针安装、数据采集、数据加工等工作。 云服务环境：对于常规云服务产品的数据采集，将按照资源池进行划分，为每个资源池创建各自的云服务环境。 组件 接入管理的每一个选项卡片即为一个组件，目前支持容器集群、分布式缓存服务Redis版、分布式消息服务Kafka与分布式容器云平台CCE ONE组件接入。 操作步骤 1. 登录Prometheus监控服务控制台。 2. 在左侧导航栏，单击接入中心。 3. 在接入中心页面，单击目标组件卡片接入数据。 4. 在弹出的面板中，在开始接入页签下，选择所属的环境类型。 5. 根据控制台提示配置相应参数，如选择对应的容器集群。 6. 点击确定，等待环境初始化、组件安装以及数据检查完成。 如果一切正常，接入完成后您可以进入接入管理的环境详情页面查询接入的大盘或告警规则，也可以探索产生的指标。 如果遇到异常，可根据异常提示进行相应的操作。

本文为您介绍新增三方数据中心的具体操作。 概述 三方数据中心模块提供将用户三方数据中心接入多活容灾服务平台功能，新增三方数据中心后，可用于命名空间、容灾管理、预案编排功能中，实现云下云上场景下的灾备场景。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“三方数据中心”，进入三方数据中心列表页。 5. 点击右上角“新增三方数据中心”按钮，弹出新增三方数据中心弹窗。 6. 填写数据中心名称、区域、可用区、描述信息。各配置项说明如下： 参数 是否必填 配置说明 数据中心名称 √ 填写数据中心名称，数据中心名称需唯一。 长度为263字符。 区域 × 选择或填写数据中心所在地域。 长度为263字符。 可用区 × 填写数据中心所在可用区。 长度为263字符。 描述 × 填写数据中心描述。 长度为0100字符。 7. 点击“确认”按钮，完成新增三方数据中心。

项目 描述 Storage Pool Name 存储池名称。 Pool Status 存储池状态： Normal：正常。 Deleting：删除中。 Fault Domain 存储池故障域级别： path：数据目录级别。 server：服务器级别。 rack：机架级别。 room：机房级别。 Base Pool 是否是基础存储池： true：是基础存储池。 false：不是基础存储池。 Total Capacity 存储池总容量。 Used Capacity 存储池已用容量。 Created Time 存储池创建时间。 Description 存储池描述信息。 LUN 卷相关信息，包含LUN for CachePool、LUN for Pool、status。 LUN LUN for CachePool 缓存存储池卷列表。 LUN LUN for Pool 存储池卷列表。 LUN status 卷的状态信息，包括卷的总数、总容量，以及各类型卷的个数及容量。 Data Health 存储池的数据健康度，包括：正常数据的比例（normal）、降级数据的比例（low redundancy）、错误数据的比例（error）。如果存在降级状态的数据，会给出数据重建进度（low redundancy reconstruction progress）。 Topology 存储池拓扑图，包括：Node Name、Node Type、Status、Disk Path(s)、Removing Details。 Topology Node Name 节点名称。 Topology Node Type 节点类型： path：数据目录。 server：服务器。 rack：机架。 room：机房。 Topology Status 节点健康状态： Healthy：节点处于健康状态，可正常读写。 Warning：节点处于警告状态，可读。 Error：节点处于错误状态，无法访问。 Topology Disk Path(s) 数据目录信息： No.：编号。 Path：数据目录。 Used Capacity：HBlock数据目录对应分区的已用容量。 Total Capacity：HBlock数据目录对应分区的总容量。 Used Capacity Quota：已用数据目录容量配额。 Capacity Quota：数据目录容量配额，当HBlock的使用空间一旦达到配额，就立刻阻止数据写入，不允许再使用超出配额的空间。 Health Status：数据目录的健康状态： Healthy：数据目录处于健康状态，可正常读写，且数据目录所在磁盘使用率未超过阈值（系统默认值为95%）。 Warning：数据目录处于警告状态，可读，但存在以下情况的任意一种：慢盘；数据目录所在磁盘使用率超过阈值（系统默认值为95%）；磁盘剩余空间不足1GiB；HBlock对这个目录停写；数据目录配额使用率超过阈值（系统默认值为95%）；数据目录配额为0。 Error：数据目录错误状态，无法访问，原因可能是：所在磁盘出现I/O错误导致无法读写，数据目录未正确挂载等。 Health Detail：数据目录健康状态详情。 如果健康状态为Healthy，此列为空。 如果健康状态为Warning或Error，显示警告或错误的详细信息。 Topology Removing Details 被移除节点的详细信息： No.：编号。 Path：节点的具体数据目录。 Stage：移除节点所处的阶段： Reconfiguration：重置中。 CheckingData：检查数据。 Executing：执行移除节点。 Details：详细数据： FaultDomains：故障域详情，包括：healthy（健康个数），warning（告警个数），error（错误个数）。 Data：safe（安全数据百分比），await reconstruction（需要重建的数据百分比），await more faultdomains（需要额外故障域才能够重建的数据百分比），singlecopy（单副本数据百分比），corrupted（已经损坏的数据百分比）。

本节介绍了使用故障类的问题描述和处理流程。 问题描述 购买Windows弹性云主机后，通过MSTSC远程连接，发现没有声音。通过MSTSC远程连接的Windows弹性云主机如何播放音频？ 约束限制 本节内容适用于Windows Server 2008 R2、Windows Server 2016系统的弹性云主机。 可能原因 Windows弹性云主机默认禁用音频设备，导致无法通过远程桌面的方式使用音频设备。如需播放音频、使用多媒体音频功能，可参见本节内容进行设置。 第1步：启动Windows Audio服务 启动Windows Audio服务，并设置为“自动”运行。 1. 打开“运行”窗口。 2. 输入“services.msc”，打开“服务”。 3. 找到“Windows Audio”服务，并按如下方式设置。 − 启动类型：自动 − 服务状态：启动 以2012操作系统为例，如下截图所示。 4. 关闭当前远程连接。 第2步：开启音频和视频播放功能 操作系统不同， “音频和视频播放”功能开启方法不同。 Windows 2008系统 步骤 1 启用RDPTCP的“音频和视频播放”以及“录制音频”。 1. 打开“远程桌面会话主机配置”控制台。 a. 打开“开始”菜单，选择“控制面板”。 b. 单击右上角的“查看方式”下拉菜单，选择“类别”。 c. 选择“系统和安全 > 管理工具 > 远程桌面服务 > 远程桌面会话主机配置”。 2. 取消勾选“音频和视频播放”、“录制音频”。 在“连接”列表里面双击“RDPTcp”，选择“客户端设置”，取消勾选“音频和视频播放”和“录制音频”，如下图所示。 图 远程桌面会话主机配置 3. 单击“确定”，激活音频设备。 步骤 2 单击“发送 CtrlAltDel”按钮，重启弹性云主机并登录。 步骤 3 重启弹性云主机后，您会发现声卡的标识依旧是显示音频服务未运行，这是因为服务未开启，开启音频服务后如下图所示。 图 开启音频服务 步骤 4 打开网页播放音乐，即可验证播放音频成功。 Windows 2012系统 步骤 1 打开“运行”窗口。 步骤 2 输入“gpedit.msc”，打开“组策略”。 步骤 3 依次点击“计算机配置 > 管理模版 > windows 组件 > 远程桌面服务 > 远程桌面会话主机 > 设备和资源重定向”，打开“允许音频和视频播放重定向”。 步骤 4 选择“已启用”，按“应用”确定。 该配置为mstsc程序的默认配置，保持即可。 步骤 5 执行以下命令，刷新组策略。 gpupdate 第3步：远程音频设置 以上配置调整完成后，打开本地远程桌面软件（mstsc），点击“选项 > 本地资源”，在远程音频处单击“设置”，弹出的选项卡中的远程音频播放处，选择“在此计算机中播放”，单击“确定”。 至此完成远程音频设置，请通过MSTSC登录云主机，检查音频是否可以正常播放。

介绍HBlock部署环境的配置操作。 按照环境要求，准备3台或3台以上的服务器。 注意 确保ping命令和ps命令可用。Debian/Ubuntu可以使用下列命令安装ping命令和ps命令。 plaintext aptget update /获取最新安装包 aptget install iputilsping / 安装ping命令 aptget install procps / 安装ps命令安装 每台服务器按照下列操作步骤完成配置，以下操作以CentOS 7.x版本为例： 说明 如果已经安装操作系统，请忽略步骤1。如果磁盘已挂载，请忽略步骤2，可以使用挂载路径作为HBlock的数据目录，或者使用命令mkdir DIRECTORY在挂载路径下创建一个目录，将此目录作为HBlock数据目录。 1. 安装操作系统CentOS 7.x版本 2. 格式化硬盘并挂载 请参考下列示例将服务器上的硬盘进行格式化，方便后续部署使用。 plaintext lsblk 查看硬盘 mkfs.ext4 /dev/vdX 将硬盘格式化为 ext4,如果已经格式化磁盘，请忽略此步骤。 mkdir DIRECTORY 创建挂载路径，DIRECTORY为路径名 mount /dev/vdX DIRECTORY 挂载硬盘，挂载后，可以使用该路径作为HBlock数据目录 说明 mount命令为临时挂载命令，服务器重启后，需要再次挂载。对于HBlock使用到的目录，建议设置开机自动挂载，或使用已设置自动挂载的目录或子目录。 注意 如果安装HBlock的用户为非root用户，需要对HBlock使用到的目录有读写权限，可以使用下列命令。 plaintext chown HBlock用户:HBlock用户所属组 DIRECTORY 3. 关闭SELinux和swap分区（建议） 4. 防火墙设定 确保集群服务器之间可以相互访问，集群服务器之间相互添加白名单，另外请开启iSCSI端口，以便客户端连接到服务器的target。如果是在云主机上安装，安全组中也需要添加白名单。 若您的服务器未开启防火墙，可以忽略此步骤。 如果防火墙是firewall，示例如下： 1. 开启iSCSI端口，如iSCSI端口为3260时： plaintext firewallcmd permanent addport3260/tcp 2. 集群各服务器的IP添加白名单： 添加IPv4地址 plaintext firewallcmd permanent addrichrule"rule familyipv4 source addressyourIP accept" // yourIP is IP address allowed to access 添加IPv6地址 plaintext firewallcmd permanent addrichrule"rule familyipv6 source addressyourIP accept" // yourIP is IP address allowed to access 3. 重新加载防火墙使配置生效： plaintext firewallcmd reload 如果防火墙是iptables，示例如下： 1. 开启iSCSI端口，如iSCSI端口为3260时： plaintext iptables I INPUT p tcp dport 3260 j ACCEPT 2. 集群各服务器间相互访问： 允许本地环路地址 plaintext iptables I INPUT i lo j ACCEPT 允许内部网段访问 plaintext iptables I INPUT s yourIP j ACCEPT 3. 保存配置： plaintext iptablessave 5. 设置资源限制 修改配置文件/etc/security/limits.conf，在配置文件中增加下列内容，设置在domain中打开的最大文件数、同时运行的最大进程数 plaintext domain soft nofile 65536

本章节主要介绍添加网关 服务网关在微服务实践中可以做到统一接入、流量管控、安全防护、业务隔离等功能。 前提条件 服务网关使用弹性负载均衡服务（ELB）的负载均衡器提供网络访问，因此在添加网关前，请提前创建负载均衡。 创建负载均衡时，需要确保所属VPC与集群的VPC一致。 操作步骤 步骤 1 登录应用服务网格控制台，单击服务网格的名称，进入网格详情页面。 步骤 2 在左侧导航栏选择“网关管理”，单击“添加网关”。 步骤 3 配置网关参数。 网关名称 请输入网关的名称。由小写字母、数字和中划线（）组成，且必须以小写字母开头，小写字母或数字结尾，长度范围为4~59个字符。 集群选择 选择网关所属的集群。 负载均衡配置 服务网关使用弹性负载均衡服务（ELB）的负载均衡器提供网络访问，支持共享型和独享型规格，且支持公网和私网。 负载均衡实例需与当前集群处于相同VPC。 监听器配置 服务网关为负载均衡器配置监听器，监听器对负载均衡器上的请求进行监听，并分发流量。 对外协议 请根据业务的协议类型选择。支持HTTP、GRPC、TCP、TLS及HTTPS五种协议类型的选择。 对外端口 开放在负载均衡服务地址的端口，可任意指定。 TLS终止 配置TLS协议时，可选择开启/关闭TLS终止。开启TLS终止时需要绑定证书，以支持TLS数据传输加密认证；关闭TLS终止时，网关将直接转发加密的TLS数据。 密钥证书 配置TLS协议并开启TLS时，需要绑定证书，以支持TLS数据传输加密认证。 配置HTTPS协议时，需要绑定密钥证书。 TLS最低版本/TLS最高版本 配置TLS协议并开启TLS终止时，提供TLS最低版本/TLS最高版本的选择。 步骤 4（可选）配置路由参数。 请求的访问地址与转发规则匹配（转发规则由域名+URL组成，域名置空时，默认为ELB IP地址）时，此请求将被转发到对应的目标服务处理。单击图标，弹出“添加路由”对话框。 域名 请填写组件对外发布域名。不填时访问地址默认为负载均衡实例IP地址。如果您开启了TLS终止，则必须填写证书内认证域名，以完成SNI域名校验。 URL匹配规则 前缀匹配：例如映射URL为/healthz，只要符合此前缀的URL均可访问。例如/healthz/v1、/healthz/v2。 完全匹配：只有完全匹配上才能生效。例如映射URL为/healthz，则必须为此URL才能访问。 URL 服务支持的映射URL，例如/example。 命名空间 服务网关所在的命名空间。 目标服务 添加网关的服务，直接在下拉框中选择。 配置诊断失败的服务无法选择，需要先根据 手动修复项或 自动修复项进行修复。 访问端口 仅显示匹配对外协议的端口。 重写 重写HTTP URI和Host/Authority头，于转发前执行。默认关闭。 步骤 5 配置完成后，单击“确定”。 网关添加完成后，可前往“服务管理”页面，获取服务外网访问地址。

背景介绍 用户云下数据中心使用云专线接入虚拟私有云的用户，若有大量的服务器需要实现安全，可靠，高速的访问互联网，或者为互联网提供服务，可通过公网NAT网关的SNAT功能或DNAT功能来实现。云间NAT网关高速访问互联网功能仅部分资源池上线，支持资源池以控制台能力为准。 准备工作 环境准备 已创建VPC，具体操作参见虚拟私有云－创建 VPC 、子网搭建私有网络。 操作步骤 步骤一：开通云专线 步骤二：购买弹性IP 步骤三：购买NAT网关 步骤四：配置VPC路由（仅部分资源池需要） 步骤五：配置SNAT规则 步骤六：配置DNAT规则 步骤一：开通云专线 步骤说明 用户本地数据中心的服务器需要通过公网NAT网关实现访问公网或为公网提供服务，首先需要通过云专线接入虚拟私有云。 操作步骤 1. 登录天翼云控制台，选择“网络>云专线”。 2. 通过以下步骤进行云专线的开通。详细步骤参见云专线开通云专线。 在云专线开通完成后，会有一个默认专线网关，专线网关是客户站点和天翼云VPC之间的虚拟路由转发设备。作为数据从客户站点到云上VPC之间的传输桥梁，专线网关一端绑定物理专线，一端与客户站点需要访问的VPC直连。 3. 专线网关添加客户侧路由，点击专线网关名称，在客户侧路由页签下，点击添加路由，配置如下： IP类型：可选择IPv4、IPv6和双栈 客户侧子网段：客户侧子网网段 路由模式：静态或BGP 绑定入云物理专线，并设置物理专线优先级 配置完成，点击确定，完成专线网关客户侧路由。 4. 专线网关添加VPC，点击专线网关名称，在VPC页签下，点击“添加VPC”，配置如下： VPC实例类型：同账号 VPC：在下拉框中选中已创建的VPC VPC ID：跟据VPC名称自动生成 VPC网段：选则指定的VPC网段 类型：可选择IPv4、IPv6和双栈 子网：选定VPC中的子网 权重：表示当前专线网关到VPC侧路由的权重，多条路由的权重相等时采用负载均衡模式进行流量传输；某条路由的权重值越大，表示该路由优先级越高，可选择0、100 配置完成，点击确定，完成添加VPC。 5. VPC添加完成，客户侧子网将自动发布到VPC默认路由表中。下一跳为云专线网关，下一跳地址为专线网关名称，目的地址为客户侧子网网段。 6. 专线网关在添加云侧路由配置时支持基于“其他”类型的自定义地址段添加，可以配置0.0.0.0/0,用于把访问internet流量引入VPC在VPC页签下，点击VPC后的其他目的网段配置，填写目的网段IPv4：0.0.0.0/0（如不支持，请提交工单申请） 配置完成，点击确定，完成添加。

本节介绍如何查看已有应急策略。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防> 策略管理”，进入策略管理页面后选择“策略视图”页签，进入应急策略策略管理页面。 5. 应急策略管理页面默认进入“策略视图”页面，查看任务下发成功的应急策略统计情况： 策略过期分布：以饼图形式呈现“自动过期”策略占比，并统计“有自动过期”和“无自动过期”的策略数量。 策略分布：以柱状图形式呈现各个防线类型的“阻断”和“加白”策略类型的策略数量。应急策略支持的防线类型请参考约束与限制说明。 阻断区域Top5：以条形图呈现策略对象所在的区域，仅统计Top5区域的应急策略数量分布情况。 应急策略列表：以列表形式呈现应急策略基本信息。策略列表参数说明如下： 参数名称 参数说明 策略对象 策略对象，一个策略对象单独呈现一行。 当“对象类型”是“IP”时：此处呈现IP地址。 当“对象类型”是“域名”时：此处呈现单个域名。 当“对象类型”是“账号”时：此处呈现云服务账号（IAM用户名）。 策略类型 策略类型：“阻断”或“白名单”。 “阻断”：阻断的策略对象将被禁止访问。 “白名单”：加入白名单的策略对象访问请求将被放行。 对象类型 策略的对象类型。 当“策略类型”是“阻断”时，对象类型可选范围有“IP”、“账号”、“域名”。 当“策略类型”是“白名单”时，对象类型可选范围有“IP”、“域名”。 防线类型 策略的防线类型。 应急策略支持的防线类型有CFW/WAF/VPC。 区域 策略中的操作连接对应的区域。 标签 策略的标签信息。 创建人 策略的创建人信息。 自动过期 显示策略自动过期时间与当前时间的间隔。 过期时间 策略的自动过期时间点。 描述 策略的描述信息，该参数默认隐藏。单击应急策略列表上方搜索框最右侧的设置按钮，支持对应急策略列表进行如下设置： “基础设置”： “表格内容折行”：启用此能力可让表格内容自动折行，禁用此功能可截断文本。 “操作列”：启用此能力可让操作列固定在最后一列永久可见。 “自定义显示列”：自定义应急策略列表参数显示列，勾选参数前的则该参数会在列表中显示，去勾选参数前的则对应参数不在列表中显示。 创建时间 策略的创建时间。 操作 对策略进行编辑、删除等操作。详细操作指导参考[编辑策略](

本章节介绍如何编辑或删除资产。 操作场景 在资产管理页面可以对资产的业务系统进行编辑。另外，如果不再需要在态势感知（专业版）资产管理页面展示某个或某些云下导入的资产的信息，可以删除资产。 云上和云外资产都支持编辑。 仅自定义导入的云外资产支持删除，云上资产不支持删除。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“资产管理 > 资产管理”，进入资产管理页面。 5. 编辑或删除资产。 操作 执行步骤 编辑资产 编辑资产 1. 在资产管理页面中，勾选需要编辑的资产，并单击资产列表左上角“批量编辑”。 如果需要编辑某个类型的资产，可以选择对应资产页签，进入对应资产页面。例如，需要编辑主机资产，则选择“主机资产”页签。 2. 在弹出的资产编辑框中，对资产的业务系统进行编辑。 3. 编辑完成后，单击“确认”。 4. 在资产管理页面选择对应资产页签，可在资产列表查看资产信息。 编辑部门 1. 在资产管理页面中，选择“部门及业务系统”页签，单击“部门”后的编辑按钮。 2. 在弹出的“编辑部门”框中，编辑“部门名称”。 3. 编辑完成后，单击“确认”。 4. 在资产管理页面，选择“部门及业务系统”页签，可查看修改后的部门名称。 编辑业务系统 1. 在资产管理页面中，选择“部门及业务系统”页签，单击“业务系统”列表对应业务系统操作列的“编辑”按钮。 2. 在弹出的“编辑”对话框中，编辑“业务系统”，选择业务系统所在的“部门”，编辑“责任人”，设置“业务系统”关联的资产。 3. 编辑完成后，单击“确认”。 4. 在资产管理页面，选择“部门及业务系统”页签，可查看修改后的业务系统信息。 删除资产 删除资产 1. 在资产管理页面中，选择对应资产页签，进入对应资产页面。例如，需要删除主机资产，则选择“主机资产”页签。 2. 在对应资产页面，勾选您自定义导入的需要删除的资产，并单击列表上方的“批量删除”。 3. 系统将删除已勾选资产。 删除部门 1. 在资产管理页面中，选择“部门及业务系统”页签。 2. 单击待删除“部门”后的删除按钮。 3. 在弹出的“删除部门”对话框中，确认信息无误后，单击“一键输入”DELETE，单击“确定”。 删除业务系统 1. 在资产管理页面中，选择“部门及业务系统”页签。 2. 选中待删除的“业务系统”，单击操作列的“删除”按钮或列表上方的“删除”按钮。 3. 在弹出的“删除业务系统”对话框中，确认信息无误后，单击“一键输入”DELETE，单击“确定”。

操作步骤 1. 以客户端安装用户，登录安装客户端的节点。 2. 执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3. 执行以下命令配置环境变量。 source bigdataenv 4. 运行Impala客户端命令，实现A业务。 直接执行Impala组件的客户端命令： impalashell 说明 默认情况下，impalashell尝试连接到localhost的21000端口上的Impala守护程序。如需连接到其他主机，请使用 i host:port 选项，例如：impalashell i xxx.xxx.xxx.xxx:21000。要自动连接到特定的Impala数据库，请使用 d 选项。例如，如果您的所有Kudu表都位于数据库“impalakudu”中，则d impalakudu可以使用此数据库。要退出ImpalaShell，请使用quit命令。 内部表的操作： 1. 根据表创建用户信息表userinfo并添加相关数据。 createtable userinfo(id string,name string,gender string,age int,addr string); insert into table userinfo(id,name,gender,age,addr)values("12005000201","A","男",19,"A城市"); ......（其他语句相同） 2. 在用户信息表userinfo中新增用户的学历、职称信息。 以增加编号为12005000201的用户的学历、职称信息为例，其他用户类似。 alter table userinfo add columns(education string,technical string); 3. 根据用户编号查询用户姓名和地址。 以查询编号为12005000201的用户姓名和地址为例，其他用户类似。 select name,addr from userinfo where id'12005000201'; 4. 删除用户信息表。 drop table userinfo; 外部分区表的操作： 创建外部分区表并导入数据 1. 创建外部表数据存储路径。 安全模式（集群开启了Kerberos认证）： cd /opt/hadoopclient source bigdataenv kinit hive 说明 用户hive需要具有Hive管理员权限。 impalashell hdfs dfs mkdir /hive hdfs dfs mkdir /hive/userinfo 普通模式（集群关闭了Kerberos认证）： su omm cd /opt/hadoopclient source bigdataenv impalashell hdfs dfs mkdir /hive hdfs dfs mkdir /hive/userinfo 2. 建表。 create external table userinfo(id string,name string,gender string,age int,addr string) partitioned by(year string) row format delimited fields terminated by ' ' lines terminated by 'n' stored as textfile location '/hive/userinfo'; 说明 fields terminated指明分隔的字符,如按空格分隔，' '。 lines terminated 指明分行的字符，如按换行分隔，'n'。 /hive/userinfo为数据文件的路径。 3. 导入数据。 a. 使用insert语句插入数据。 insert into userinfo partition(year"2018") values ("12005000201","A","男",19,"A城市"); b. 使用load data命令导入文件数据。 i.根据下表数据创建文件。如，文件名为txt.log，以空格拆分字段，以换行符作为行分隔符。 ii. 上传文件至hdfs。 hdfs dfs put txt.log /tmp iii. 加载数据到表中。 load data inpath '/tmp/txt.log' into table userinfo partition (year'2018'); 4. 查询导入数据。 select from userinfo; 5. 删除用户信息表。 drop table userinfo;

本文主要介绍私网NAT网关添加DNAT规则 操作场景 私网NAT网关创建后，通过添加DNAT规则，则可以通过映射方式将您VPC内的云主机实例对外部私网（IDC或其他VPC）提供服务。 云主机的每个端口分别对应一条DNAT规则，一个云主机的多个端口或者多个云主机需要为外部私网提供服务，则需要创建多条DNAT规则。 前提条件 已成功创建私网NAT网关。 中转子网与中转IP创建成功。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入NAT网关页面。 3. 在NAT网关页面，单击“NAT网关> 私网NAT网关”。 4. 在私网NAT网关页面，单击需要添加DNAT规则的私网NAT网关名称。 5. 在私网NAT网关详情页面中，单击“DNAT规则”页签。 6. 在DNAT规则页签中，单击“添加DNAT规则”。 说明 配置DNAT规则后，需在目标云主机实例中放通对应的安全组规则，否则DNAT规则不能生效。 7. 根据界面提示，配置添加DNAT规则参数，详情请参见下表。 表 DNAT规则参数说明 参数 说明 端口类型 分为具体端口和所有端口两种类型。 具体端口：属于端口映射方式。私网NAT网关会将以指定协议和端口访问该中转IP的请求转发到目标云主机实例的指定端口上。 所有端口：属于IP映射方式。此方式相当于为云主机配置了一个私网IP（中转IP），任何访问该中转IP的请求都将转发到目标云主机实例上。 支持协议 协议类型分为TCP和UDP两种类型。端口类型为所有端口时，此参数默认设置为All。端口类型为具体端口时，可配置此参数。 中转子网 选择中转VPC中创建的中转子网，非当前VPC的中转子网。 中转IP 通过该中转IP访问用户IDC或其他VPC。这里只能选择没有被绑定的中转IP，或者被绑定在当前私网NAT网关中非“所有端口”类型DNAT规则上的中转IP，或者被绑定到当前私网NAT网关中SNAT规则上的中转IP。 中转IP端口 中转IP对外提供服务的端口号。端口范围是1～65535。端口类型为具体端口时，需要配置此参数。 实例类型 选择对外部私网提供服务的实例类型。 云主机 虚拟IP地址 负载均衡器 自定义 网卡 服务器网卡。实例类型为云主机时，需要配置此参数。 IP地址 对外部私网提供服务的云主机IP地址。实例类型为自定义时，需要配置此参数。 业务端口 实例对外提供服务的协议端口号。端口范围是1～65535。端口类型为具体端口时，需要配置此参数。 描述 DNAT规则信息描述。最大支持255个字符。 8. 配置完成后，单击“确定”，可在DNAT规则列表中查看详情，若“状态”为“运行中”，表示创建成功。

本文介绍调用API如何鉴权 一、获取ak、sk 1.登录CDN+ IAM，地址：vip.ctcdn.cn 。 2.在个人中心AccessKey管理页面，点击新增按钮。 3.选择对应的工作区并确定，此时你可以查看到AccessKey已生成。 4.选中密钥，点击查看。为保障安全，需要填写手机验证码。验证通过后，点击显示SK，即可查看详情，并支持复制和发送邮箱操作。 二、鉴权方式 在httpclient的请求头增加3个字段，分别是eopdate、ctyuneoprequestid、EopAuthorization。 1.构造eopdate 。该字段的格式是“yyyymmddTHHMMSSZ”，言简意赅就是“年月日T时分秒Z”，示例“eopdate:20211221T163614Z”。 2.构造ctyuneoprequestid 。该字段是uuid，32位随机数。 3.构造EopAuthorization 。按以下步骤进行： 3.1构造代签字符串sigture 。sigture 需要进行签名的Header排序后的组合列表+ " n " + 排序的query + " n " + toHex(sha256(原封的body)) 步骤 构造请求头的方法 需要进行签名的Header排序后的组合列表 将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n ”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。 注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。 例子(假设你需要将ctyuneoprequestid、eopdate、host都要签名)： ctyuneoprequestid:123456789neopdate:20210531T100101Zn 排序的query query以&作为拼接，key和值以连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 sigture 示例1 （假设query 为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z nnne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 sigture 示例2 （假设query 不为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160930Z nnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 3.2构造动态秘钥kdate 。 3.2.1使用eopdate作为数据，sk作为密钥，算出ktime。 3.2.2使用ak作为数据，ktime作为密钥，算出kAk。 3.2.3使用eopdate的年月日值作为数据，kAk作为密钥，算出kdate。 步骤 构造动态密钥的方法 : eopdate yyyymmddTHHMMSSZ（20211221T163614Z）(年月日T时分秒Z) Ktime 使用eopdate作为数据，sk作为密钥，算出ktime。 Ktime hmacSha256(eopdate,sk) kAk 使用ak作为数据，ktime作为密钥，算出kAk。 kAk hmacsha256(ak,ktime) kdate 使用eopdate的年月日值作为数据，kAk作为密钥，算出kdate。 kdate hmacsha256(eopdate,kAk) 3.3构造Signature 。使用kdate作为密钥、sigture作为数据，将其得到的结果进行base64编码得出Signature 步骤 构造签名的方法 Signature 1）hmacsha256(sigture,kdate) 2）将上一步的结果进行base64加密得出Signature 3.4构造EopAuthorization 。 3.4.1构造Headers。 3.4.2得到EopAuthorization。 EopAuthorization:ak Headersxxx Signaturexxx。 步骤 构造EopAuthorization的方法 : Headers 将需要进行签名的请求头字段以 “headername”的形式、以“;”作为间隔符、以英文字母表作为headername的排序依据将它们拼接起来。 例子(假设你需要将ctyuneoprequestid、eopdate都要签名)：Headers ctyuneoprequestid;eopdate EopAuthorization EopAuthorization:ak Headersxxx Signaturexxx。注意，ak、Headers、Signature之间以空格隔开。 例如：EopAuthorization:ak Headersctyuneoprequestid;eopdate SignatureNlMHOhk5bVfZ9MwDSSJydcZjjENmDtpNYigJGVb 注意：如果你需要进行签名的Header不止默认的ctyuneoprequestid和eopdate，那么你需要在httpclient的请求头部中加上，并且EopAuthorization中也需要增加 三、 签名示例

本节主要介绍连接方式介绍。 GeminiDB Influx提供使用内网、公网和程序代码的连接方式。 表1 连接方式 连接方式 使用场景 说明 内网连接 介绍使用通过内网IP连接实例或者通过负载均衡地址连接实例（推荐）连接GeminiDB Influx实例的方法。 该方法适用于当应用部署在弹性云主机上，且该弹性云主机与数据库实例处于同一区域、同一VPC内时连接数据库实例。 为了提升可靠性、消除单点故障影响，推荐使用负载均衡地址连接实例。 安全性高，可实现数据库实例的较好性能。 公网连接 介绍使用弹性公网IP连接GeminiDB Influx实例的方法。 该方法适用于不能通过内网IP地址访问数据库实例时，单独绑定弹性公网IP连接弹性云主机（或公网主机）与数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的数据库实例在同一VPC子网内，使用内网连接。 程序代码连接 介绍使用通过Go语言连接实例、通过Java语言连接实例、通过Python语言连接实例连接GeminiDB Influx实例的方法和示例。

说明：本章节会介绍天翼云关系型数据库支持的实例连接方式 关系型数据库服务提供使用内网、公网的连接方式。 表11 RDS连接方式 连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云服务器上，且该弹性云服务器与关系型数据库实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云服务器与关系型数据库实例。 安全性高，可实现RDS的较好性能。 推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问RDS实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云服务器（或公网主机）与关系型数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的RDS实例在同一子网的，使用内网连接。 VPC：虚拟私有云（Virtual Private Cloud，简称VPC）。 ECS：弹性云服务器（Elastic Cloud Server，简称ECS）。 若弹性云服务器和关系型数据库实例处于同一个虚拟私有云的子网内，则无需申请外网地址。 其中，通过内网和公网的连接方式如下图所示。

本页介绍如何下载关系数据库MySQL版实例的SSL CA证书。 操作场景 为了提高关系数据库MySQL版的链路安全性，您可以启用SSL（Secure Sockets Layer）加密，并安装SSL CA证书到需要的应用服务。SSL在传输层对网络连接进行加密，能提升通信数据的安全性和完整性，同时会增加网络连接响应时间。 约束限制 数据库版本： 5.7，8.0 实例类型为：单机版，一主一备、一主两备、数据库代理实例。 实例的SSL状态需要为开启状态。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击数据安全 ，并选择SSL加密 页签，查看SSL开关状态。 单击SSL设置 ，进入SSL设置 对话框。然后单击SSL链路加密 右侧的图标，单击确定，开启SSL加密。 注意 如果是数据库代理实例，请于代理实例页面的连接地址区域查看。 5. 单击服务器证书 右侧下载证书。

本节介绍如何为服务器绑定企业版/旗舰版配额。 服务器安全卫士（原生版）提供“基础版（免费版）”、“企业版”、“旗舰版”供用户选择，不同版本差异请参见产品规格。 开通服务器安全卫士（原生版）后，服务器默认使用“免费版”防护，若免费版不满足业务需求，可以为服务器绑定企业版或旗舰版配额。 前提条件 已购买企业版或旗舰版配额，且有空闲的防护配额。 手动绑定配额 通过切换版本操作，支持将服务器的配额版本从基础版 切换为企业版/旗舰版。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. 在服务器列表中找到您需要绑定配额的服务器，单击操作列的“切换版本”。 如果需要批量绑定配额，可以在服务器列表中勾选需要绑定配额的服务器，单击列表上方的“批量切换版本”。 4. 在弹出的切换版本窗口。选择“企业版”或“旗舰版”，单击“确定”。 说明 批量切换版本时，配额和服务器按照顺序一一匹配，配额的绑定顺序为按照到期时间从早到晚进行绑定。

本章节介绍如何使用云硬盘备份实现数据保护。 最佳实践概述 场景描述 云硬盘备份可以为云硬盘创建备份，也支持将弹性云服务器的数据磁盘备份创建为数据磁盘镜像，利用备份数据回滚云硬盘或者创建新的云硬盘，达到快速恢复业务运行环境的目的。 使用云硬盘备份进行数据保护，适用于如下场景： 硬件故障：云平台的生产存储设备硬件发生故障。 软件故障：系统故障导致用户数据丢失（如系统故障，导致系统下发删除资源的操作）或用户的Guest OS或应用系统故障。 用户误操作：因租户误操作或其他原因而导致的系统无法启动或数据丢失。 方案优势 云硬盘粒度的数据备份和恢复。 支持备份恢复云硬盘数据和使用备份创建新的云硬盘。 前提条件 在进行本文操作之前，您需要完成以下准备工作： 磁盘处于“可用”或“正在使用”状态才可进行备份，如果对磁盘进行了扩容、挂载、卸载或删除等操作，请刷新界面，确保操作完成，再决定是否要进行备份。 本文操作有以下约束限制： 不支持批量恢复多个云硬盘 使用备份数据创建新磁盘时，新创建的磁盘不能用作系统盘。 方案正文 步骤1：云硬盘数据备份 云硬盘备份功能支持对云硬盘进行数据备份，详细步骤参见创建云硬盘备份。

本章节介绍微服务引擎MSE的定义 产品定义 微服务引擎 MSE 面向业界主流开源微服务项目，提供注册配置中心、云原生网关、微服务治理能力，助力企业搭建微服务平台，实现微服务应用的快速开发和高可用运维。 MSE产品包含以下子产品：注册配置中心、微服务治理中心、云原生网关。您在构建自己的微服务体系时，既可单独使用某个子产品，也可搭配使用以便获得微服务生态的最佳实践。 子产品 描述 注册配置中心 面向业界主流开源微服务项目，致力于帮助用户发现、配置和管理微服务，实现动态服务发现、服务配置、服务元数据及流量管理等功能。 云原生网关 将传统的流量网关和业务网关合二为一，提供全局性和独立业务域级别的流量管理策略，与后端业务紧耦合策略配置。 微服务治理中心 兼容SpringCloud、Dubbo等开源微服务框架，支持无侵入的接入应用，提供标签路由、灰度发布、无损上下线、服务降级、服务鉴权等服务治理的能力。 产品优势 开源增强 100% 兼容Spring Cloud、Dubbo微服务开源项目，无缝对接K8s，无厂商绑定，并在稳定性、性能、可运维性上提供更强的能力。 低成本 节省自建微服务引擎的人力成本，集成流量网关和微服务网关功能，降低50%资源开销，缩短请求时间，降低运维复杂度。

本节介绍了云数据库TaurusDB的标签功能。 操作场景 标签管理服务用于用户在云平台，通过统一的标签管理各种资源。TMS服务与各服务共同实现标签管理能力，TMS提供全局标签管理能力，各服务维护自身标签管理 。 建议您先在TMS系统中设置预定义标签。 标签由“键”和“值”组成，每个标签中的一个“键”只能对应一个“值”。 每个实例最多支持10个标签配额。 添加标签 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏，单击“标签”，单击“添加标签”，在“添加标签”弹出框中，输入标签的键和值，单击“确定”。 标签的键不能为空且必须唯一，长度为1~36个字符，只能包含英文字母、中文、数字、中划线和下划线。 标签的值可以为空字符串，长度为0~43个字符，只能包含英文字母、中文、数字、中划线、下划线和英文句点。 步骤 6 添加成功后，您可在当前实例的所有关联的标签集合中，查询并管理自己的标签。

1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 模型代理 > 网关代理”。 3. 查看检测引擎响应时长、检测请求QPS、超时错误趋势、系统资源利用率、性能监控Token数变化趋势、Token延迟趋势和接口响应时长趋势。

本节介绍了什么是云服务备份、备份、快照、镜像有什么区别、云服务备份产品架构、备份机制、备份的方式及适用场景。 什么是云备份 云服务备份（Cloud Backup and Recovery，CBR）可以为云主机、云硬盘提供简单易用的备份服务，当发生病毒入侵、人为误删除、软硬件故障等事件时，可将数据恢复到任意备份点。 云服务备份保障用户数据的安全性和正确性，确保业务安全。 备份、快照、镜像有什么区别？ 备份分为云主机备份和云硬盘备份。 镜像分为系统盘镜像、数据盘镜像、整机镜像。 备份类型 备份对象 适用场景 区别和优势 备份方法 恢复方法 :::::: 云主机备份 弹性云主机中的所有云硬盘（系统盘和数据盘） 云主机受到攻击或病毒入侵 通过云主机备份，可立即恢复到最近一次没有受黑客攻击或病毒入侵的备份时间点。 数据被误删 通过云主机备份，可立即恢复到删除前的备份时间点，找回被删除的数据 应用程序更新出错 通过云主机备份，可立即恢复到应用程序更新前的备份时间点，使系统正常运行。 云主机宕机 通过云主机备份，可立即恢复到宕机之前的备份时间点，使云主机能再次正常启动 备份的同一个云主机下的所有云硬盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题。 且云备份支持根据备份策略自动备份。 创建云主机备份 使用云主机备份恢复数据（恢复至原服务器） 使用云主机备份恢复数据（创建新的云主机） 云硬盘备份 指定的单个或多个云硬盘（系统盘或数据盘） 系统盘没有个人数据，因而只需要对部分的数据盘进行备份 当云硬盘出现故障或云硬盘中的数据发生逻辑错误时（如误删数据、遭遇黑客攻击或病毒危害等），可快速恢复数据。 备份作为基线数据 设置备份策略，根据策略自动对云硬盘进行数据备份，通过定期创建的备份作为基线数据，用来创建新的云硬盘或者恢复数据到云硬盘。 备份数据则存储在对象存储 (OBS)中，可以实现在云硬盘存储损坏情况下的数据恢复 保证数据安全的同时降低备份成本 创建云硬盘备份 使用云硬盘备份恢复数据（恢复至原磁盘） 使用云硬盘备份恢复数据（创建新的磁盘） 快照 指定的单个或多个云硬盘（系统盘或数据盘） 日常备份数据 通过对云硬盘定期创建快照，实现数据的日常备份，可以应对由于误操作、病毒以及黑客攻击等导致数据丢失或不一致的情况 快速恢复数据 应用软件升级或业务数据迁移等重大操作前，您可以创建一份或多份快照，一旦升级或迁移过程中出现问题，可以通过快照及时将业务恢复到快照创建点的数据状态。 例如，当由于云主机 A的系统盘 A发生故障而无法正常开机时，此时您可以使用系统盘 A已有的快照新创建一块云硬盘 B并挂载至正常运行的云主机 B上，从而云主机 B能够通过云硬盘 B读取原系统盘 A的数据。 快速部署多个业务 通过同一个快照可以快速创建出多个具有相同数据的云硬盘，从而可以同时为多种业务提供数据资源。 例如数据挖掘、报表查询和开发测试等业务。这种方式既保护了原始数据，又能通过快照创建的新云硬盘快速部署其他业务，满足企业对业务数据的多元化需求。 说明 只支持回滚快照数据至原云硬盘，不支持快照回滚到其它云硬盘。 重装操作系统或切换操作系统后，系统盘快照会自动删除；数据盘快照不受影响，可以照常使用。 快照数据与云硬盘数据存储在一起，可以支持快速备份和恢复 快速保存指定时刻云硬盘的数据，同时还可以通过快照创建新的云硬盘，这样云硬盘在初始状态就具有快照中的数据 创建快照 使用快照回滚数据 系统盘镜像 系统盘 快速恢复系统 更换操作系统、应用软件升级或业务数据迁移等重大操作前，将系统盘创建成系统盘镜像，一旦迁移过程中出现问题，可以通过系统盘镜像切换操作系统，或重新创建新的云主机。 快速部署多个业务 通过同一个系统盘镜像可以快速创建出多个具有相同操作系统的云主机，从而快速部署多个业务。 系统盘镜像可以实现在云主机操作系统损坏情况下快速切换至损坏前的操作系统。 创建系统盘镜像 使用系统盘镜像切换故障云主机的操作系统 使用系统盘镜像创建新的云主机 数据盘镜像 指定的数据盘 快速复制数据 通过同一个数据盘镜像可以快速创建出多个具有相同数据的云硬盘，再将新创建的云硬盘挂载到其他服务器上，从而可以同时为多种业务提供数据资源。 数据盘镜像可以复制全盘的数据并创建新的云硬盘挂载到其他服务器上，实现云主机数据盘的复制和共享。 创建数据盘镜像 使用数据盘镜像创建数据盘 整机镜像 弹性云主机中的所有云硬盘（系统盘和数据盘） 快速恢复系统 更换操作系统、应用软件升级或业务数据迁移等重大操作前，将云主机的系统盘和数据盘创建成整机镜像，一旦迁移过程中出现问题，可以通过整机镜像切换操作系统，或重新创建新的云主机。 快速部署多个业务 通过同一个整机镜像可以快速创建出多个具有相同操作系统和数据的云主机，从而快速部署多个业务。 通过整机镜像实现业务的整理迁移。 创建整机镜像 使用整机镜像创建新的云主机

事件来源 事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 RDS 创建实例业务失败 createInstanceFailed 重要 创建实例失败产生的事件，一般是磁盘个数，配额大小不足，底层资源耗尽导致。 检查磁盘个数、配额大小，释放资源后重新创建。 无法创建数据库实例。 RDS 跨区域备份同步异常 crossRegionBackupSyncFailed 次要 一般是由于底层网络和复制资源出现瓶颈等原因导致。 如果事件一直不停上报，提交工单调整底层资源分配。 跨区域备份同步异常，目标区域不能使用备份文件进行恢复。 RDS 实例全量备份失败 fullBackupFailed 重要 单次全量备份失败产生的事件，不影响以前成功备份的文件，但会对“恢复到指定时间点”的功能有一些影响，导致“恢复到指定时间点”时增量备份的恢复时间延长。 重新执行一次手工备份。 备份失败。 RDS 主备切换异常 activeStandBySwitchFailed 重要 主备切换异常是由于网络、物理机有某种故障导致备机没有接管主机的业务，短时间内会恢复到原主机继续提供服务。 检查应用和数据库之间的连接是否重新建立了连接。 无 RDS 复制状态异常 abnormalReplicationStatus 重要 出现”复制状态异常“事件通常有两种情况： 1、主备之间复制时延太大（一般在写入大量数据或执行大事务的时候出现），在业务高峰期容易出现阻塞。 2、主备间的网络中断，导致主备复制异常。 提交工单。 但不会导致原来单实例的读写中断，客户的应用是无感知的。 RDS 复制状态异常已恢复 replicationStatusRecovered 重要 即复制时延已回到正常范围内，或者主备之间的网络通信恢复。 不需要处理。 无 RDS 实例运行状态异常 faultyDBInstance 重要 由于灾难或者物理机故障导致单机或者主实例故障时会上报本事件，属于关键告警事件。 检查是否有设置自动备份策略，并且提交工单。 可能导致数据库服务不可用。 RDS 实例运行状态异常已恢复 DBInstanceRecovered 重要 针对灾难性的故障，RDS有高可用工具会自动进行备机重建，重建完成之后即会上报本事件。 不需要处理。 无 RDS 单实例转主备实例失败 singleToHaFailed 重要 创建备机时或备机创建完成后主备机之间配置同步发生故障时会产生此事件，一般是由于备节点所在数据中心资源不足导致。 提交工单。 “单实例转主备实例失败”不会导致原来单实例的读写中断，客户的应用是无感知的。 RDS 数据库进程重新启动 DatabaseProcessRestarted 重要 一般是内存不足、负载过高导致数据库进程停止 通过云监控的数据，查看是否有内存飙升、cpu长期过高、磁盘满使用率不足等的情况，可以选择提升CPU内存规格或者优化业务逻辑 进程挂掉的时候，业务中断。RDS服务会自动拉起进程，尝试恢复业务。 RDS 实例磁盘满 instanceDiskFull 重要 一般是由于数据空间占用过大导致。 对实例进行扩容操作。 实例由于磁盘空间满将会变成只读实例，数据库不可进行写入操作。 RDS 实例磁盘满恢复 instanceDiskFullRecovered 重要 实例磁盘状态恢复正常。 不需要处理。 实例解除只读状态，恢复写操作。 RDS MySQL实例连接数满 mysqlConnectionsFull 重要 由于实例业务量冲高，导致连接数满，无法建立新连接。 调整连接数到合理值。 通过限流等方式降低负载。 变更到更高规格，扩大连接数上限。 实例无法建立新连接。 RDS MySQL实例连接数满已恢复 mysqlConnectionsFullRecovered 重要 实例连接数已恢复正常 实例连接数已恢复正常，请确认业务是否正常运行。 实例连接数已恢复正常。 RDS MySQL负载高导致新建连接异常 highLoadInstanceConnectionsAbnormal 重要 由于CPU、内存、磁盘、网络带宽等资源不足，导致无法建立新连接或者建立的新连接异常 增加系统资源，例如增加CPU、内存、磁盘等。 调整MySQL配置，例如增加连接池大小、调整缓存大小等。 根据实际运行状态和业务需求，选择异常进程执行kill会话，结束会话，使数据库恢复正常。 实例新建连接异常。 RDS MySQL负载高导致新建连接异常已恢复 highLoadInstanceConnectionsAbnormalRevocered 重要 负载高导致实例新建连接异常已恢复 负载高导致实例新建连接异常已恢复，请确认业务是否正常运行。 负载高导致实例新建连接异常已恢复。 RDS kafka连接失败 kafkaConnectionFailed 重要 一般是由于网络波动或kafka服务端出现异常等原因导致。 检查网络状况和kafka服务端状态。 审计日志无法发送到kafka服务端。 数据库代理 数据库安全组未放通数据库代理地址 proxyconnectionfailurecausesecuritygroup 重要 一般是由于数据库安全组未放通代理地址导致。 修改数据库所使用安全组规则放通代理地址。 通过代理访问的业务流量中断。 数据库代理 数据库代理与数据库连通性异常 proxyconnectionfailuretodb 重要 数据库代理与主库建立新连接失败，与只读库可能存在建立新连接失败。一般是由于数据库/数据库代理压力过大，或代理与数据库间网络异常。 观察数据库与数据库代理压力指标后（连接数、活跃连接数、CPU使用率）调整相应参数，压力指标正常情况下提工单处理。 通过代理访问的业务流量中断。 数据库代理 数据库代理与数据库只读库连通性异常 proxyconnectionfailuretoreplica 一般 数据库代理与只读库建立新连接失败。一般是由于只读库压力过大，或代理与只读库间网络异常。 观察只读库压力指标后（连接数、活跃连接数、CPU使用率）调整相应参数，压力指标正常情况下提工单处理。 通过代理访问的业务读流量部分中断。

参数 说明 示例 名称 监听器名称。 listenerpnqy 前端协议/端口 负载分发的协议和端口。 协议选择HTTPS，端口取值范围[165535]。 HTTPS/443 云主机证书 协议类型为HTTPS时，需绑定云主机证书。 云主机证书用于SSL握手协商，需提供证书内容和私钥。 高级配置 访问策略 支持通过白名单和黑名单进行访问控制： 允许所有IP访问 黑名单 白名单 白名单 IP地址组 设置白名单或者黑名单时，必须选择一个IP地址组。如果还未创建IP地址组，需要先创建IP地址组。 ipGroupb2 安全策略 支持选择可用的安全策略。 安全策略TLS10 双向认证 一般的HTTPS业务场景只对云主机做认证，因此只需要配置云主机的证书即可。某些关键业务（如银行支付），需要对通信双方的身份都要做认证，即双向认证，以确保业务的安全性。后端云主机无需额外配置双向认证。 CA证书 双向认证开启后需要配置CA证书。详见8.4 创建/修改/删除证书。 空闲超时时间（秒） 如果在超时时间内一直没有访问请求，负载均衡会中断当前连接，直到下一次请求到来时再重新建立新的连接。 时间取值范围[04000]。 60 请求超时时间（秒） 客户端向负载均衡发起请求，如果在超时时间内客户端没有完成整个请求的传输，负载均衡将放弃等待关闭连接。 时间取值范围[1300]。 60 响应超时时间（秒） 负载均衡向后端云主机发起请求，如果超时时间内接收请求的后端云主机无响应，负载均衡会向其他后端云主机重试请求。如果重试期间后端云主机一直没有响应，则负载均衡会给客户端返回HTTP 504错误码。 时间取值范围[1300]。 说明： 当开启了会话保持功能时，响应超时时间内如果对应的后端云主机无响应，则直接会返回HTTP 504错误码。 60 描述 对于监听器描述。 字数范围：0/255。 标签 可通过配置该项使用标签功能。标签的“键”和“值”是一一对应的，其中“键”值是唯一的。

本文介绍应用性能监控的权限管理。 权限说明 如果您需要对给企业中的员工设置不同的功能权限，您可以使用天翼云统一身份认证（Identity and Access Management，简称IAM）进行权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可帮助您进行权限管理。 通过天翼云统一身份认证IAM，您可以在天翼云主账号中给员工或其他使用者创建IAM用户，并通过权限策略来控制其在应用性能监控中的功能权限。例如您希望某个子用户拥有指标查看权限，但是不希望该子用户拥有删除应用等高危操作的权限，那么您可以创建IAM用户，授予仅能查看监控指标，但是不允许删除应用。 如果天翼云账号已经能满足您的使用需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用应用性能监控的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见IAM产品介绍。 应用性能监控权限 在默认情况下，通过主账号新建的IAM用户没有任何权限，主账号需要将IAM用户加入用户组，并给用户组授予权限策略，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限在应用性能监控进行操作。 策略是IAM提供的细粒度权限集合，可以精确到具体资源、条件等。使用基于策略的授权是一种灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对弹性云主机服务，管理员能够控制IAM用户仅能对云主机的资源进行指定的管理操作。 下表包括了应用性能监控的所有系统策略。 策略名称 描述 策略类别 APM admin 应用性能监控的所有权限，拥有该权限的用户可以操作并使用应用性能监控。 系统策略 APM user 应用性能监控的使用权限，除删除应用权限外，其余权限与Admin相同。 系统策略 APM viewer 应用性能监控的只读权限，拥有该权限的用户仅能查看应用性能监控数据。 系统策略 下表列出了常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 操作 admin user viewer 实例统计列表查询 ✓ ✓ ✓ JVM信息查询 ✓ ✓ ✓ Pod图表查询 ✓ ✓ ✓ SQL分析查询 ✓ ✓ ✓ nosql分析 ✓ ✓ ✓ 异常调用统计分析 ✓ ✓ ✓ 上下游应用 ✓ ✓ ✓ 接口统计列表查询 ✓ ✓ ✓ 数据库调用统计列表查询 ✓ ✓ ✓ 获取接入应用信息 ✓ ✓ × 概览统计数据查询 ✓ ✓ ✓ 慢调用查询 ✓ ✓ ✓ 接口调用统计 ✓ ✓ ✓ 应用实例信息查询 ✓ ✓ ✓ 调用曲线图 ✓ ✓ ✓ 查询数据库拓扑图 ✓ ✓ ✓ 查询拓扑图 ✓ ✓ ✓ 外部调用目标服务统计概览 ✓ ✓ ✓ 外部调用概览的图表 ✓ ✓ ✓ MQ监控 ✓ ✓ ✓ 调用链详情查询 ✓ ✓ ✓ 获取日志配置信息 ✓ ✓ ✓ 查询应用配置 ✓ ✓ ✓ 用量统计页 ✓ ✓ ✓ arms首页 ✓ ✓ ✓ 调用链查询页 ✓ ✓ ✓ web容器查询 ✓ ✓ ✓ 查询数据存储时长 ✓ ✓ ✓ 删除应用 ✓ × × 下载javaagent ✓ ✓ × 开启或关闭调用链日志关联功能 ✓ ✓ × 保存应用配置 ✓ ✓ × 修改数据存储时长 ✓ ✓ ×

本节介绍如何配置敏感信息泄露规则。 您可以添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 前提条件 已添加防护网站。 约束条件 添加或修改防护规则后，规则生效需要几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“防敏感信息泄露”的配置框中，用户可根据自己的需要更改“状态”，单击“自定义防敏感信息泄露规则”，进入“防敏感信息泄露”规则配置页面。 步骤7 在“防敏感信息泄露”规则配置页面左上角，单击“添加规则”。 步骤8 在弹出的对话框，添加防敏感信息泄露规则。 “防敏感信息泄露”规则既能防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露，也能够拦截指定的HTTP响应码页面。 敏感信息过滤：针对网站页面中可能存在的电话号码和身份证等敏感信息，配置相应的规则对其进行屏蔽处理。例如，您可以通过设置以下防护规则，屏蔽身份证号、电话号码和电子邮箱敏感信息。 响应码拦截：针对特定的HTTP请求状态码，可配置规则将其拦截，避免服务器敏感信息泄露。例如，您可以通过设置以下防护规则，拦截HTTP 404、502、503状态码。 参数说明： 参数名称 参数说明 取值样例 ::: 路径 需要过滤敏感信息（例如：身份证号、电话号码、电子邮箱等）或者拦截响应码的URL不包含域名的路径。 前缀匹配：填写的路径前缀与需要防护的路径相同即可。 如果防护路径为“/admin”，该规则填写为“/admin”，该规则生效。 精准匹配：需要防护的路径需要与此处填写的路径完全相等。 如果防护路径为“/admin”，该规则必须填写为“/admin”。 说明 该路径不支持正则，仅支持前缀匹配和精准匹配的逻辑。 路径里不能含有多条斜线的配置，如“///admin”，访问时，引擎会将“///”转为“/”。 /admin 类型 敏感信息过滤：防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截：拦截指定的HTTP响应码页面。 敏感信息过滤 内容 防护“类型”对应的防护内容，支持多选。 身份证号码 规则描述 可选参数，设置该规则的备注信息。 步骤9 单击“确认”，添加的防敏感信息泄露规则展示在防敏感信息泄露规则列表中。

本节介绍如何查看WAF基本信息。 前提条件 已成功添加防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 查看防护网站信息，参数说明如表所示。 工作模式切换：在“工作模式”列，单击“切换”，选择想要切换的工作模式。 检查网站接入状态：在“接入状态”列，可单击，刷新域名接入状态。 最近三天防护监控：在“最近三天防护监控”列，单击“查看”，查看具体的防护日志。 删除防护域名：在“操作”列，单击“删除”，可删除目标防护域名。 参数名称 参数说明 域名 防护的域名或IP。 部署模式 防护网站的部署模式，仅支持“独享模式”。 源站IP/端口 客户端访问的网站服务器的公网IP地址和WAF转发客户端请求到服务器的业务端口。 证书 绑定该域名的证书，单击证书名称，可跳转到“证书管理”页面。 近3天威胁 该域名3天内的防护情况。 工作模式 防护模式。点击切换，可选择以下两种防护模式： “开启防护”：开启状态。 “暂停防护”：关闭状态。如果大量的正常业务被拦截，比如大量返回418返回码，可以将“工作模式”切换为“暂停防护”。该模式下，WAF对所有的流量请求只转发不检测。该模式存在风险，建议您优先选择全局白名单（原误报屏蔽）规则处理正常业务拦截问题。 防护策略 显示通过WAF配置的防护策略总数。单击数字可跳转到规则配置页面。 域名接入进度 网站接入WAF未完成的步骤或者接入状态。 创建时间 该域名添加到WAF的时间。 步骤6 在目标网站所在行的“防护网站”列中，单击目标网站，进入网站基本信息页面。 步骤7 查看防护域名的信息，如图所示。 当客户端协议选择HTTPS时，若需要更新证书，单击编辑按钮，在弹出的对话框中，上传新证书或者选择已有证书。关于证书更新的详细内容请参见：更新证书。 当客户端协议选择HTTPS时，若需要更新访问源站的TLS版本和TLS的加密套件，单击编辑按钮，在弹出的对话框中，重新选择TLS版本和TLS的加密套件。关于配置TLS的详细内容请参见：配置TLS最低版本和加密套件。 若需要修改“是否已使用代理”，可以单击编辑按钮，在弹出的对话框中，重新配置是否需要使用代理，如果需要使用代理，设置成“是”。 “告警页面”默认为“系统默认”的页面，您也可以单击编辑按钮，在弹出的对话框中，配置“自定义”或者“重定向”页面。 如果您需要针对域名的每个请求设置超时时间，开启“超时配置”并单击编辑按钮，设置“连接超时”、“读超时”、“写超时”的时间。开启后不支持关闭。

权限说明 如果您需要对LTS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制LTS资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制其对LTS资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有LTS的使用权限，但是不希望员工拥有删除服务发现规则等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用服务发现规则，但是不允许删除服务发现规则的权限策略，控制其对服务发现规则资源的使用范围。 如果账号已经能满足您的使用需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用LTS的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见“统一身份认证服务 用户指南的产品简介章节”。 LTS权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对LTS进行操作。 LTS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问LTS时，需要先切换至授权区域。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 如[表1]所示，包括了LTS的所有系统权限。 表 1 LTS系统权限 策略名称 描述 策略类别 依赖关系 LTS FullAccess 云日志服务的所有权限，拥有该权限的用户可以操作并使用LTS。 系统策略 CCE Administrator OBS Administrator AOM FullAccess LTS ReadOnlyAccess 云日志服务的只读权限，拥有该权限的用户仅能查看LTS数据。 系统策略 CCE Administrator OBS Administrator AOM FullAccess LTS Administrator 云日志服务的管理员权限。 系统角色 Tenant Guest Tenant Administrator [表2]列出了LTS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 2 常用操作与系统权限 操作 LTS FullAccess LTS ReadOnlyAccess LTS Administrator 查询日志组 √ √ √ 创建日志组 √ × √ 修改日志组 √ × √ 删除日志组 √ × √ 查询日志流 √ √ √ 创建日志流 √ × √ 修改日志流 √ × √ 删除日志流 √ × √ 配置主机日志接入 √ × √ 查询过滤器 √ √ √ 禁用过滤器 √ × √ 启用过滤器 √ × √ 删除过滤器 √ × √ 查询告警规则 √ √ √ 创建告警规则 √ × √ 修改告警规则 √ × √ 删除告警规则 √ × √ 查看日志转储 √ √ √ 添加日志转储 √ × √ 修改日志转储 √ × √ 删除日志转储 √ × √ 开启周期性转储 √ × √ 暂停周期性转储 √ × √ 安装ICAgent √ × √ 升级ICAgent √ × √ 卸载ICAgent √ × √ 使用自定义细粒度策略，请使用管理员用户进入统一身份认证（IAM）服务，按需选择云日志服务的细粒度权限进行授权操作。 云日志服务细粒度权限依赖说明请参见[表3]。 表 3 云日志服务细粒度权限依赖说明 权限名称 权限描述 权限依赖 lts:agents:list 查询Agent列表 无 lts:buckets:get 查询指定桶 无 lts:groups:put 修改指定日志组 无 lts:transfers:create 创建日志转储 obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket lts:groups:get 查询指定日志组 无 lts:transfers:put 修改日志转储 obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket lts:resourceTags:delete 删除资源标签 无 lts:ecsOsLogPaths:list 查询指定镜像的系统日志路径 无 lts:structConfig:create 创建LTS结构化配置 无 lts:agentsConf:get 查询指定Agent配置 无 lts:logIndex:list 查询日志索引列表 无 lts:transfers:delete 删除日志转储 无 lts:regex:create 提取结构化字段 无 lts:subscriptions:delete 删除指定订阅 无 lts:overviewLogsLast:list 查询用户的最近日志 无 lts:logIndex:get 查询指定日志索引 无 lts:sqlalarmrules:create 添加告警相关 无 lts:agentsConf:create 创建Agent配置 无 lts:sqlalarmrules:get 查询告警相关 无 lts:datasources:batchdelete 批量删除datasource 无 lts:structConfig:put 修改LTS结构化配置 无 lts:groups:list 查询日志组列表 无 lts:sqlalarmrules:delete 删除告警相关 无 lts:transfers:action 启停日志转储 无 lts:datasources:post 创建datasource 无 lts:topics:create 创建日志主题 无 lts:resourceTags:get 查询资源标签 无 lts:filters:put 修改日志过滤器 无 lts:logs:list 查询日志列表 无 lts:subscriptions:create 创建订阅 无 lts:filtersAction:put 启停日志过滤器 无 lts:overviewLogsTopTopic:get 查询日志量最大的主题的数据指标 无 lts:datasources:put 修改datasource 无 lts:structConfig:delete 删除LTS结构化配置 无 lts:logIndex:delete 删除指定日志索引 无 lts:filters:get 查询指定日志过滤器 无 lts:topics:delete 删除指定日志主题 无 lts:agentSupportedOsLogPaths:list 查询Agent支持的操作系统日志的路径 无 lts:topics:put 修改指定日志主题 无 lts:agentHeartbeat:post 上传agent心跳 无 lts:logsByName:upload 根据日志组和日志主题的名字上传日志 无 lts:buckets:list 查询桶列表 无 lts:logIndex:post 创建日志索引 无 lts:logContext:list 查询日志上下文 无 lts:groups:delete 删除指定日志组 无 lts:filters:delete 删除日志过滤器 无 lts:resourceTags:put 更新资源标签 无 lts:structConfig:get 查询LTS结构化配置 无 lts:overviewLogTotal:get 查询当前用户的日志总量 无 lts:subscriptions:put 修改指定订阅 无 lts:subscriptions:list 查询订阅器列表 无 lts:datasources:delete 删除指定datasource 无 lts:transfersStatus:get 查询日志转储状态 无 lts:logIndex:put 修改指定日志索引 无 lts:sqlalarmrules:put 修改告警相关 无 lts:logs:upload 上传日志 无 lts:agentDetails:list 查询agent诊断日志 无 lts:agentsConf:put 修改Agent配置 无 lts:logstreams:list 筛选日志流资源 无 lts:subscriptions:get 查询指定订阅 无 lts:disStreams:list 查询DIS通道 无 lts:groupTopics:put 创建日志组和日志主题 无 lts:resourceInstance:list 查询资源实例 无 lts:transfers:list 查询日志转储列表 无 lts:topics:get 查询指定日志主题 无 lts:agentsConf:delete 删除指定Agent配置 无 lts:agentEcs:list 查询ECS列表 无 lts:indiceLogs:list 搜索日志 无 lts:topics:list 查询日志主题列表 无

您在使用云应用引擎托管应用之前，需要完成一些准备工作，包括开通服务、创建VPC和创建命名空间。VPC为您构建隔离的网络环境，命名空间为您构建隔离的资源环境。 创建VPC VPC为您的应用提供了完全隔离的网络环境，处于同一VPC的应用可以互相访问，从网络层面提高应用的安全性。 创建命名空间 在多环境场景下，您应使用命名空间为应用的服务调用和应用配置建立逻辑隔离的运行时单元。通过将开发、测试、生产等环境分别置于独立的命名空间中，可以实现应用的封闭式管理，从而提升安全性，并支持批量启停全部服务，优化运维效率。

对比维度 云主机备份 云硬盘备份 恢复对象 以云主机为单位进行备份，云主机中的所有云硬盘（系统盘和数据盘）。 以云硬盘为单位进行备份，指定的单个或多个云硬盘（系统盘或数据盘）。 推荐场景 需要对整个云主机进行保护时，确保业务稳定性及数据安全。 仅对数据盘中的个人数据、隐私数据、重要数据进行备份时。 优势 对云主机进行备份指的是同时对其上的所有云硬盘同时进行备份，具有一致性，不存在因备份创建时间差带来的数据不一致问题。 能以更低的成本，更精细的粒度来确保数据安全。

本文为您介绍了备案管家的优势。 一站式专业服务 专业管家团队提供一对一全程贴身服务、专业政策解读、风险评估、申请意见、基本材料辅助收集、复杂材料撰写、疑难解答等服务。整个备案过程中，客户只需提交办理需求及协助管家收集基本材料，并在管家的指导提醒下进行在线确认等关键步骤，其他复杂操作均由管家处理，提升材料处理效率，快速提交备案，提升成功率。 全流程及时跟踪 管家向客户实时反馈通知备案全流程进度，提醒客户进行关键节点的操作，并快速给予客户必要反馈；助力客户及时掌握最新动态，简单、快速通过备案。 信息安全有保障 天翼云央企团队服务保障 ，确保备案资料保密 ，信息安全有保障。

绑定AD 绑定AD功能支持管理员自主配置和管理企业的身份提提供方Active Directory(以下简称 AD)。 操作场景 身份管理可以打破身份孤岛，实现统一访问控制，允许企业成员使用一个账号畅游所有应用。 操作步骤 1. 进入“天翼AI云电脑（政企版）”管理控制台； 2. 展开“身份管理”菜单栏，选择“身份提供方”，点击“绑定AD”，进入“绑定AD”页面； 第一步：连接AD 在第一步中，您需要在绑定AD中填写以下信息： 显示名称： 说明：管理员查看AD配置及相关操作日志时显示。 AD 域名： 说明：您的 Active Directory 域的全称。 格式：符合 DNS 命名规范（例如：example.com）。 示例：corp.yourcompany.com 主域控制器 DNS： 说明：主域控制器（Primary Domain Controller）的 IP 地址或可解析的主机名。 示例：192.168.1.10 或 dc01.corp.yourcompany.com 备域控制器 DNS (可选)： 说明：备域控制器（Secondary Domain Controller）的 IP 地址或可解析的主机名。 示例：192.168.1.11 或 dc02.corp.yourcompany.com AD 认证账号： 说明：用于绑定和查询 AD 的管理员账号。此账号必须对整个 AD 目录至少拥有读取权限。 格式：支持以下格式： UPN 格式：username@domainname (例如：admin@corp.yourcompany.com) DN 格式：CNUsername, OUSomeOU, DCcorp, DCyourcompany, DCcom (例如：CNsvcbind, OUService Accounts, DCcorp, DCyourcompany, DCcom) 权限要求： 必须拥有对整个 AD 目录结构（所有域节点）的只读访问权限。 AD 认证密码： 说明：上述认证账号对应的密码。 安全提示：输入密码通常以掩码显示。 用户组织单元 (OU)： 说明： 指定需要同步或管理的 AD 用户账户所在的组织单元 (OU) 路径。此为必填项。 格式：使用 LDAP 可分辨名称 (Distinguished Name)。 示例：OUEmployees, DCcorp, DCyourcompany, DCcom 云电脑加入的 OU： 说明：指定云电脑在加入 AD 域时将被放置的组织单元 (OU) 路径。 格式：使用 LDAP 可分辨名称 (Distinguished Name)。 示例：OUCloud PCs, DCcorp, DCyourcompany, DCcom 必填条件：仅在需要对云电脑执行加域操作时，此项为必填项。 共享公网出口 IP： 地址： 182.42.7.245 作用： 此 IP 是天翼云电脑服务访问您本地 Active Directory 的源地址。 网络要求： 若您的本地网络防火墙或安全设备配置了 IP 白名单（允许列表），您必须将此 IP (182.42.7.245) 添加到白名单中。 防火墙端口要求： 目的： 允许云服务通过指定的协议端口与您的域控制器通信。 必需操作： 在您的防火墙白名单中，同时允许上述出口 IP (182.42.7.245) 访问您域控制器的以下端口： LDAP (明文/StartTLS)： 端口 389 (TCP) LDAPS (SSL/TLS 加密)： 端口 636 (TCP) 注意： 具体需要开放的端口取决于您选择的认证协议（见下文）。 目录访问协议： 可选协议： LDAP： 标准轻型目录访问协议。默认使用端口 389。 StartTLS 扩展： 它在已建立的 LDAP 连接 (389) 上协商 TLS 加密，显著提升通信安全性。启用需要在您的 AD 域控制器上配置并部署有效的 SSL/TLS 证书。 LDAPS： 基于 SSL/TLS 加密的 LDAP。强制使用端口 636。 提供全程加密通信。启用同样需要在 AD 域控制器上配置并部署有效的 SSL/TLS 证书。 域控制器服务器地址： 说明：提供您的 Active Directory 域控制器 (Domain Controller) 的可访问地址。 格式：IP地址:端口 或 完整域名(FQDN):端口 要求： 主域控制器地址： (必填) 备域控制器地址： (可选) 端口选择： 如果选择 LDAP (无 StartTLS)，端口填 389。 如果选择 LDAP + StartTLS 或 LDAPS，端口填 636。 关键说明： 服务器地址必须填写其公网可路由的 IP 地址或可被公网 DNS 解析的 FQDN。 示例 (使用公网IP)： 主：203.0.113.10:636 (假设使用 LDAPS) 备：203.0.113.11:636 示例 (使用FQDN)： 主：dc01.corp.example.com:636 备：dc02.corp.example.com:636 重要提示： 请勿使用内网地址 (如 127.0.0.1, 192.168.x.x, 10.x.x.x) 或仅在内网解析的域名。 云服务无法直接访问您的内网地址。 第二步：选择场景 在第二步中，选择希望和AD实现的场景能力。 登录未关联用户配置： 企业账号经过企业认证通过后，如果还没有同步用户，选择登录失败则返回失败； 选择自动创建用户则创建用户并登录成功 增量同步：从所选择的时间点开始进行同步 数据同步时间：从所选择的时间点开始进行同步 同步时间间隔：从同步时间开始，每隔 X 小时执行一次同步 委托认证高可用：开启后，如果域控服务器访问失败，可以使用本地密码较验 用户ObjectClass：如果您自定义了AD 中对象的 ObjectClass，可以在此处配置。例如将 ObjectClassuser 的对象视作AD 中的用户。 用户登录标识：可使用;对属性进行分割，此时为或关系 用户Filter过滤：可以使用LDAP语法对需要判断的用户进行过滤 第三步：字段映射 如果需要和AD用户或组织进行绑定，例如将AD用户的用户名作为天翼云电脑账户的账户名，则需要在第三步配置字段映射。如需使用映射标识能力，需手动设置为同步标识，如下图的用户名字段。 配置其它AD 用于管理虚拟桌面加入域的操作（即“加域”过程），限制最多配置两个企业AD。最多只能配置两个其它AD。 配置系统：Windows 系统 、银河麒麟、中标麒麟 其它配置项参考绑定AD