在敏感数据任务列表中，可查看敏感数据识别任务的详细信息。 前提条件 已完成识别任务的创建。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中，选择“敏感数据识别 > 识别任务”，进入“识别任务”页面，查看识别任务的详细信息，检测任务参数说明如下表所示。 说明 输入任务名称或任务名称的关键字，单击或按“Enter”，可以搜索指定的敏感数据识别任务。 单击任务名称，可以查看并下载识别任务报告，DSC为您提供PDF格式的识别任务报告。 在目标任务的“操作”列，单击“更多 > 下载风险结果”，下载风险结果报表，DSC为您提供了Excel格式的风险结果报表。 检测任务参数说明： 参数名称 参数说明 任务名称 识别任务的名称。 单击任务名称前方的，查看任务下各个对象执行扫描的具体时间以及识别状态，并在具体对象所在行的“操作”列，可执行以下操作： 单击“停止”，停止对该任务下具体对象的扫描。 单击“立即识别”，立即执行对该任务下具体对象的扫描。 单击“识别结果”，查看该任务下具体对象的识别情况。 单击“删除”，删除该任务下具体对象。 单击任务名称，可以查看并下载检测任务报告，具体的参考下载报告章节。 识别规则组 识别任务使用的规则组。 执行周期 识别任务的具体执行周期。说明如下： 单次：识别任务仅执行一次。 每天：每天固定时间执行一次识别任务。 每周：每月固定时间执行一次识别任务。 每月：每周固定时间执行一次识别任务。 状态 识别任务的执行状态。 待识别：识别任务在对列中，等待识别。 识别中：正在执行识别任务。 识别完成：目标任务下的所有识别对象都已成功完成了扫描。 识别异常：目标任务下至少存在一个识别对象执行识别任务失败。 识别终止：正在识别中的任务，被强行停止。 上次识别时间 上一次执行该任务的具体时间。 上次识别结果 上一次该任务扫描的结果，未识别风险、低风险、中风险、高风险。 通知主题 选择的消息通知主题。 操作 用户可以在操作栏中，执行以下操作： 立即执行识别任务，具体的参考立即启动识别任务章节。 查看识别结果，单击“识别结果”，跳转到“识别结果”页面，DSC为您提供了详细的结果分析报告，具体的参考识别结果。 编辑扫描任务，具体的参考编辑识别任务章节。 删除扫描任务，具体的参考删除识别任务章节。

后续处理 如果操作系统重装失败，页面会提示重装操作系统失败。公有云平台支持重试功能，用户可重新执行26，重装弹性云主机的操作系统。 重试后，如果仍未成功，可直接联系客服，客服会在后台进行人工恢复。

本文为您介绍Token服务相关协议。 天翼云为您提供模型推理服务平台服务协议，请您点击查看。 天翼云为您提供模型推理服务用户信息处理规则，请您点击查看。

参数 参数类型 说明 示例 下级对象 totalPrice BigDecimal 子订单总价 462.0 finalPrice BigDecimal 子订单最终价格 462.0 serviceTag String 服务平台 PAAS orderItemPrices Array 订单项价格 OrderItemPrice

前提条件 已为用户帐号配置手机号码，且用户手机号码可用。 云堡垒机实例安全组必须已放开短信网关IP和10743、443端口，系统才能够访问短信网关。 发送短信验证码的频率未超过要求限制。 系统短信网关配置为“内置”时，手机短信验证码针对单个帐号发送频率有以下限制： 1分钟内发送短信不超过1条； 1小时内发送短信不超过5条 ； 1天内发送短信不超过15条。 配置手机短信认证 1 管理员登录云堡垒机系统。 2 选择“用户 > 用户管理”。 3 单击待修改的用户登录名，或者单击相应“管理”，进入“用户详情”页面。 4 单击“用户配置”区域的“编辑”，修改用户的登录配置。 5 配置“多因子认证”为“手机短信”。 6 单击“确认”，完成用户“手机短信”双因子认证配置。 手机短信方式登录 修改认证配置后，用户进入云堡垒机系统登录Web页面或SSH客户端登录界面，选择“手机短信”认证方式，输入登“录名”和用户帐号绑定手机号，获取短信验证码登录。 如何取消手机短信方式登录认证？ 当用户短信网关故障，无法通过手机短信方式登录，可由管理员取消“手机短信”多因子认证配置。 若admin用户配置了“手机短信”多因子认证，无法登录系统取消多因子认证配置，请联系技术支持。 前提条件 管理员已获取“用户”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“用户 > 用户管理”，进入用户列表页面。 3 勾选待修改配置的用户帐号，单击左下角“更多”，展开批量操作项。 4 单击“修改多因子认证”，弹出多因子认证修改窗口。 5 去掉勾选“手机短信”多因子认证方式。 6 单击“确定”，即关闭了目标用户“手机短信”认证方式。 配置了手机令牌登录，但未绑定手机令牌怎么办？ 当系统管理员admin设置了开启手机令牌登录，但是没有绑定手机令牌时，可提工单反馈，技术支持人员收到反馈后，重置admin登录验证为初始状态，而不改变系统其它配置。 当系统非admin用户未绑定手机令牌时，系统管理员admin可为目标用户修改登录“多因子认证”方式。 绑定了手机令牌，却不能登录怎么办？

参数 参数说明 本实践配置示例 名称 伸缩组的名称，用户可自定义，也可以选择保持系统默认分配名称。 asgrouptest 最大实例数（台） 当伸缩组的当前实例数大于最大实例数时，弹性伸缩服务会自动移出实例，使得伸缩组的当前实例数等于伸缩最大实例数。理论上实际实例数不允许大于最大实例数。 10 最小实例数（台） 当伸缩组的当前实例数小于伸缩最小实例数时，弹性伸缩服务会自动添加实例，使得伸缩组的当前实例数等于伸缩最小实例数。理论上实际实例数不允许小于最小实例数。 0 开启期望实例数 伸缩组内是否开启期望实例数配置。期望实例数是伸缩组内包含的实例数量的稳态值。 若您为伸缩组开启并设置了期望实例数，当伸缩组内实例数不等于期望实例数时，弹性伸缩服务会自动进行扩缩容，确保伸缩组内始终保持该数量的实例数。 不启用 虚拟私有云 同一伸缩组内的弹性云主机的虚拟私有云是一致的。 vpc233测试 网卡 一个伸缩组可以绑定多张网卡，默认第一张网卡为主网卡。 subnet857f 安全组 安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。 DefaultSecurityGroup 负载均衡 选择启用负载均衡后，伸缩组中的云主机会自动挂载到您关联的负载均衡下。访问流量将按照分发策略自动分发到伸缩组内的所有弹性云主机。注意：一个伸缩组可最多添加10组负载均衡监听器。当选择使用弹性负载均衡时，需配置4个参数：负载均衡器、主机组、后端端口和权重。 不启用 实例移除策略 在对伸缩组进行缩容时，会采用此策略进行移除，共有以下四种方式： 较早创建的配置且较早创建的实例：先筛选出较早创建的配置所创建出的实例，再筛选较早创建的实例移出。 较晚创建的配置且较晚创建的实例：先筛选出较晚创建的配置所创建出的实例，再筛选较晚创建的实例移出。 较早创建的实例（FIFO）：根据时间筛选较早创建的实例，跟是否是伸缩配置创建的无关。 较晚创建的实例（LIFO）：根据时间筛选较晚创建的实例，跟是否是伸缩配置创建的无关。 较晚创建的实例 实例回收模式 指伸缩组自动创建的实例被移出后的处理策略。 释放模式：将移出的伸缩组自动创建的云主机释放。 注意：对于手动移入伸缩组的云主机，如果被移出伸缩组，资源不会被释放，状态保持不变，不适用此策略。 释放模式 健康检查方式 健康检查会将处于“异常”状态的云主机从伸缩组中移出，并替换同种规格的云主机来承载业务流量。有以下两种方式： 云主机健康检查：是指对云主机的运行状态进行检查，如关机、删除都是云主机异常状态。 弹性负载均衡健康检查：是指根据负载均衡对云主机的健康检查结果进行的检查。所有监听器下检测到的云主机状态必须均为正常。 不启用：关闭伸缩组健康检查，伸缩组不会获取实例健康状态信息。 注意：只有开启负载均衡时您才可以选择弹性负载均衡健康检查，建议当伸缩组开启负载均衡时，使用弹性负载均衡健康检查。 云主机健康检查 健康检查间隔 执行健康检查的周期时间。您可以根据业务实际情况设置合理的健康检查间隔（5分钟、 15分钟、 1小时、 3小时），以确保其包含主机中应用程序的预期启动时间。 5分钟 企业项目 支持为伸缩组选择企业项目。 Default

本文介绍如何集群创建。 集群是计算资源的集合，包含一组节点资源，容器运行在节点上。在创建容器应用前，您需要存在一个可用集群。目前最多可以创建5个集群，请确保至少有一个可用的集群。如集群数量不够，可申请增加配额。 操作前提 能够确保账户中有充足的余额，否则将导致您的业务开通失败； 在【创建集群】之前，请确保已完成VPC、子网的创建及安全组的配置，若未创建可参考上一【环境设置】部分。 操作步骤 1. 登录天翼云； 2. 选择【控制台】>点击切换到具体资源池，如杭州2节点； 3. 在控制台中找到【容器服务】>点击【容器引擎】，进入容器服务界面； 4. 进入【总览】页面>单击【创建集群】按钮，进入集群创建界面； 5. 按照需要完成集群参数填写，集群创建参数详见下表，其中带“”的参数为必填参数。 参数 参数说明 基础配置 集群名称 新建集群的名称 Kubernetes版本 1.15/1.18 地域 根据最初选择的地域决定，集群创建过程中不可选 虚拟私有云 新建集群所在的虚拟私有云。若没有可选虚拟私有云，单击“创建虚拟私有云”进行创建 子网 节点虚拟机运行的子网环境。若没有可选子网，单击“创建子网”进行创建 系列 分为基础版、高级版（基础版集群将创建1个master节点和相应控制节点，worker节点配置由用户自由选择；高级版集群将创建3个master节点和相应控制节点，worker节点配置由用户自由选择。) 容器CIDR 默认是10.223.0.0/16，确定容器网段后，容器实例将在规划的网段内分配IP。不能与集群所选的VPC重复，当vpc和容器网段或者服务网段冲突提示：默认网段与所选虚拟私有云网段有冲突，请重新选择vpc 服务CIDR 默认是10.96.0.0/16，服务网段为kubernetes service ip网段，请根据业务需求选择该网段。不能与集群所选的VPC重复 企业项目 此项与主子账户权限有关，如果有主子账户权限分配要求，请提前规划企业项目 注： 如果您选择了IPv4/IPv6双栈的VPC和子网，那么要同时设置IPv4的容器CIDR和服务CIDR，以及IPv6的容器CIDR和服务CIDR，均不能与集群所选VPC重复。默认情况下，IPv6容器CIDR：fd03::/112；IPv6服务CIDR：fd05::/112。如有需要用户请根据个人需求进行修改。 worker 节点配置 规格 请根据业务需求选择相应的节点规格。 当前使用的是通用型S2类型云主机，可选规格以界面上显示为准 操作系统 请选择节点对应的操作系统 系统盘 默认为普通IO，50GB 数据盘 普通IO、高IO，规格为[50,2048]GB，默认50GB;范围502048GB;整数;填入小数自动四舍五入为整数，输入为空自动设置为50；步长为10 弹性IP 使用已有IP：使用已经创建出的弹性公网IP 创建后设置：不使用弹性公网IP（不使用弹性公网IP不能通过公网发送请求，可创建后绑定） 网络模型 容器隧道网络：基于底层 VPC 网络，构建独立的容器 VXLAN 隧道化的容器网络，与底层网络解耦，支持高扩展性，网络策略，多容器网络平面 worker节点数 默认最小值是1，只允许填入整数；步长为1；设置的节点数不能超过最大节点规模50；输入为空自动设置为1 购买时长 根据需求，设置购买时长 6. 确认右侧订单详情无误并确保已放开安全组6443、9080、9443、2379、2380端口后，单击【创建集群】，进入付费界面，完成费用支付； 7. 集群创建预计需要 610 分钟。请根据界面提示查看集群创建过程。创建完成后，点击【返回集群管理】链接； 8. 在导航栏单击【资源管理】>【集群管理】标签，进入集群列表界面，可查看创建的集群。

本小节介绍采集天翼云对象存储ZOS访问日志。 应用场景 出于分析或审计等目的，日志审计对对象存储ZOS访问日志进行集中化采集，结合内置告警策略上报告警，通过日志检索、报表、仪表板展示解析结果，为您提供安全存储、检索、审计、告警、报表等能力，帮助您满足等保合规要求。 对象存储ZOS访问日志详情请参见日志文件信息说明。 前提准备 1. 已购买日志审计（原生版）实例。 2. 已创建对象存储ZOS桶。 3. 已配置权限。详细操作请参考： 1. 创建用户组和授权 2. 创建IAM用户和登录 3. 创建企业项目并基于企业项目完成授权 操作流程 由于4.0资源池需要通过终端节点方式打通ZOS和日志审计的内网传输通过，所以在日志采集前需要在创建一个ZOS的终端节点。而3.0资源池无需此操作。 说明 如何区分实例是4.0资源池还是3.0资源池？ 一般来说：3.0资源池无可用区，4.0资源池存在可用区。 您可以在“日志审计（原生版）”控制台“总览”页面，查看实例的资源池可用区情况（如下图所示，有可用区，是4.0资源池），也可以提工单咨询当前资源池准确的情况。

本文主要介绍如何创建VPC流日志。 操作场景 创建VPC流日志，记录虚拟私有云中的流量信息。 前提条件 在创建VPC流日志前，请确保您在云日志服务完成了如下配置： 创建日志组。 创建日志流。 操作步骤 1. 登录VPC管理控制台。 2. 在左侧导航栏，选择“VPC流日志”。 3. 在页面右上角，单击“创建流日志”，按照提示配置参数。 表VPC流日志参数说明 参数 说明 取值样例 名称 VPC流日志的名称。 名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 flowlog495d 资源类型 选择要采集流量的资源类型，目前支持网卡类型。 网卡 选择资源 选择需要采集流量信息的具体资源。 说明 建议您选择处于开机状态的弹性云主机。如果选择了关机状态的弹性云主机，请在VPC流日志创建完成后，重启弹性云主机，以便准确的记录网卡流量。 采集类型 全部：采集指定资源的全部流量。 接受：采集指定资源被安全组或网络ACL允许的流量。 拒绝：采集指定资源被网络ACL拒绝的流量。 全部 日志组 选择在云日志服务中创建的日志组。 ltsgroupwule 日志流 选择在云日志服务中创建的日志流。 LogTopic1 描述 VPC流日志的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 说明 同一个资源在同一个日志组的同一个日志流下，只能有两个不同采集类型的VPC流日志。不能重复创建相同的VPC流日志。 4. 单击“确定”。

本节介绍如何开启防护事件告警通知。 通过对攻击日志设置告警通知，WAF可将仅记录和拦截的攻击日志按用户设置的接收通知渠道（邮件或短信）发送给用户。 使用限制 独享版防护对象暂不支持告警通知功能。 开启告警通知 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 告警通知”，进入告警通知页面。 5. 单击“新增通知策略”，弹出新建通知策略窗口。 6. 配置告警通知参数。 参数 说明 策略名称 用户可以自定义策略的名称。 通知状态 配置告警通知的状态，默认为关闭。根据需要进行开启。 通知群组 在下拉列表选择需要接收告警通知的群组。 若已有群组无法满足需求，单击“创建群组”创建新的群组，需要为群组中的联系人配置姓名、手机、邮箱等信息。 通知渠道 支持邮件、短信。 说明 为避免因告警信息过多对您产生打扰，邮件和短信均设有发送数量限制，限制如下：10分钟内仅发送一次，1小时内仅发送3次，1天内仅发送10次。 事件类型 设置告警的事件类型，系统默认选择“全部”，用户也可以选择“自定义”，勾选需要告警的事件类型。 告警频率阈值 在设置的时间间隔内，当攻击次数大于或等于您设置的阈值时，才会发送告警通知。 7. 配置完成后，单击“确认”，告警通知策略设置成功。

本文帮助您了解对象存储下载文件相关的操作步骤。 操作场景 您可以通过ZOS控制台将存储在ZOS中的文件下载到本地。 约束与限制 基于安全合规要求，自2025年5月16日起，ZOS将禁止通过Bucket外网域名访问后缀为.apk或者.ipa的文件，同时仍然支持通过自定义域名访问后缀为.apk或者.ipa的文件。 标准型和低频型文件的下载 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称进入“概览”页面。 5. 点击“文件管理”页面，选中要下载的文件，点击“下载”按钮。 6. 点击“确定”，完成文件下载。 归档型文件的下载 使用须知 下载归档型文件需先解冻文件。 数据解冻会按解冻数据大小产生数据解冻费用，且数据解冻后，会产生一个指定时长的标准存储对象副本，在解冻的有效期内，会同时收取该对象在标准存储和归档存储中的存储费用，有效期到期后副本自动删除。 解冻文件的有效期最少为1天，最多为31天。 针对存储桶开启归档直读后，可以直接下载桶内归档数据，而无需先对其解冻。详情可参考归档直读文件章节。

Linux环境 方式一：安装过程提示nodeclient、collectclient和fwclient服务正常即安装成功，如下图所示。 方式二：如果是安装一段时间后查看是否Agent客户端工作正常，请使用 ps aux grep client，如下图三个client正常存在即为正常。 Windows环境 方式一：在Administrator权限下的cmd安装，安装过程提示安装OK为完成安装，如下图。 方式二：在任务管理器中看到nodeclient、collectclient和fwclient三个任务也可判定安装成功，如下图。 为什么配置了策略工作负载没有启动防护的作用？ 可能存在两种配置缺少情况造成。 检查是否将配置的新策略发布，通过查看页面右上角倒数第二个图标（为发布图标），如果有显示数字代表还有配置未被发布，不会被生效到工作负载上，所以请点击发布图标或者进入到菜单点击“安全策略管理“>“更新发布”，提交发布说明就可以发布了。 可能没有将相应的工作负载切换到“防护”模式，在业务拓扑和工作负载列表两个页面都可以查看对应的工作负载是否开启了“防护”模式，只有防护模式才能够启用此工作负载的防护作用。 自适应微隔离WEB控制台必需使用何种浏览器？ 自适应微隔离产品使用了现代浏览器的特性，推荐使用一下浏览器： Chrome 73以上版本 Edge 17以上版本 Safari 11版本以上

本章节主要介绍管理中心常见问题。 创建数据连接需要注意哪些事项？ 创建DWS/MRS Hive/RDS/SparkSQL类型的数据连接时，需要绑定由CDM集群提供的代理服务。 目前不支持低于1.8.6版本的CDM集群。 为什么DWS/Hive/HBase数据连接突然无法获取数据库或表的信息？ 可能是由于CDM集群被关闭或者并发冲突导致，您可以通过切换agent代理来临时规避此问题。 建议您通过以下措施解决此问题： 1.检查CDM集群是否被关机。 是，将CDM集群开机后，确认管理中心的数据连接恢复正常。 否，跳转至下一步。 2.检查该CDM集群是否同时被用于数据迁移作业和管理中心连接代理。 是，您可以错开数据迁移作业和管理中心连接代理的使用时间，或再创建CDM集群，与原有CDM集群分开使用。、 否，跳转至下一步。 3.直接重启该CDM集群，释放连接池资源。确认管理中心的数据连接恢复正常。 为什么在创建数据连接的界面上MRS Hive/HBase集群不显示？ 出现该问题的可能原因有： 创建MRS集群时未选择Hive/HBase组件。 创建MRS数据连接时所选择的CDM集群和MRS集群网络不互通。 CDM集群作为网络代理，与MRS集群需网络互通才可以成功创建基于MRS的数据连接。 创建DWS数据连接，开启SSL连接时测试连接失败？ 可能是由于DWS集群的三权分立功能导致的。请在DWS控制台，点击进入对应的DWS集群后，选择“安全设置”，然后关闭三权分立功能。 详见下图：关闭DWS集群三权分立功能

本章节介绍如何处置攻击。 操作场景 攻击是原始的告警，支持在态势感知（专业版）侧进行处置，关闭或忽略本次攻击告警。 关闭告警：如果告警已手动处理完毕，可以选择关闭本次告警。 忽略告警：如果告警风险可控，可以选择忽略本次告警。当相同告警事件再次触发时，将再次告警。 处置攻击 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。 5. 在告警管理页面，选择“攻击”页签，进入攻击告警管理页面。 6. 在告警管理列表中，单击目标告警所在行“操作”列的“处置”，右侧弹出攻击处置配置页面。 同时，还可以在某条告警详情页面，单击页面右上角的“处置”。 7. 在处置配置页面，配置攻击处置参数。 参数 参数含义 处理方式 我已手动处理：如果告警已手动处理完毕，可以选择关闭本次告警。 忽略：如果告警风险可控，可以选择忽略本次告警。当相同告警事件再次触发时，将再次告警。 批量处理 同时处理重复告警：如果您希望将不同时间发生的同类告警进行归并，进行批量处理时，可以勾选此按钮。 备注描述 根据需要输入攻击告警处置的备注描述信息。 8. 配置完成后，单击“确定”，界面弹出“告警处置成功”提示信息。 9. 在弹出的攻击处置信息界面，单击“确定”。

本节介绍了云审计的用户指南。 操作场景 本服务现已对接天翼云++云审计++，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： ● 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 ● 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 ● 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 ● 用户通过云审计能查询到多久前的操作事件：7天。 ● 用户操作后多久可以通过云审计查询到数据：5分钟。 ● 其它限制请参考++使用限制云审计++。 操作步骤 1. 开通云审计服务。 参见++开通云审计服务云审计++。 2. 查看云审计事件。 参见++查看审计事件云审计++。 3. 在事件列表中，选择事件来源为“容器”，资源类型选择“云容器引擎”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考++用户指南、++++常见问题++。

本页面主要介绍分布式消息服务RocketMQ对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： ● 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 ● 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 ● 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 ● 用户通过云审计能查询到多久前的操作事件：7天。 ● 用户操作后多久可以通过云审计查询到数据：5分钟。 ● 其它限制请参考使用限制云审计。 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表中，选择事件来源为“容器与中间件”，资源类型选择“分布式消息服务RocketMQ”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

如何同时备份多个资源？ 通过以下步骤，您可以方便地同时备份多个资源，保障数据的安全和可恢复性： 1. 在系统首页，选择“存储>云主机备份”，前往云主机备份控制台创建存储库。 2. 参考创建云主机备份，将多个云主机资源绑定到对应备份策略，选择“立即备份”执行一次性备份或选择“自动备份”进行周期性备份。需要注意的是，每个备份策略可以同时绑定最多20个云主机资源。 如何永久保留备份？ 实现备份的永久保留方法如下： 手动备份：如果您希望将手动创建的备份永久保留，只需要避免手动删除这些备份，并确保您的账户有足够的资金以支付存储库产生的费用。 自动备份：在设置备份策略时，您可以选择将备份保留规则设置为“永久保留”。策略执行时，系统将不会自动删除根据策略产生的备份。只需确保您的账户资金充足，您即可实现备份的永久保留。 如何取消自动备份？ 如果您希望取消自动备份，您可以执行以下操作之一： 将备份策略从存储库中解绑。 将备份策略的状态设置为“停用”。 如何自动删除过期备份？ 云主机备份的过期备份可以通过预设备份策略中的保留规则来自动删除。 在创建备份策略时，您可以在保留规则中选择按时间保留：可选择1个月、3个月、6个月、1年的固定保留时长，或根据需要自定义保留时长，取值范围为1～99999天。当保留的备份超过预设时间时，系统会自动删除所有过期的备份。

本文主要介绍搭建FTP站点(WIndows)的FAQ 1.使用Windows系统搭建FTP站点的更多信息请参见微软官方文档。 2.如果设置文件夹的属性时，没有“Everyone”用户可直接选择，可按照如下步骤添加“Everyone”用户。 a.在“安全”页签，单击“编辑”。 b.在新弹出的窗口中，单击“添加”。 c.在新弹出的窗口中，单击“高级”。 d.在新弹出的窗口中，单击“立即查找(N)”，然后在搜索结果中选择“Everyone”并单击“确定”。 e.单击“确定”，返回权限窗口。 f.单击“确定”，完成添加。 3.制作服务器证书。 a.在“服务器管理器”中，选择“仪表板 > 工具 > Internet Information Services (IIS)管理器 ”。 b.在左侧列表单击服务器，然后在服务器主页“IIS”区域，双击“服务器证书”，进入“服务器证书”页面。 c.单击“创建自签名证书”。 d.输入证书的名称，并选择证书存储类型，单击“确定”。 创建成功后会在服务器证书界面显示已经创建的证书。

手动备份 手动备份是由用户主动发起的数据库实例备份。手动备份可能是全量备份或增量备份。日志备份不支持手动备份。 用户手动备份选择全量备份则一定是全量备份，如果选择自动判断，则系统会根据备份策略配置进行自动判断，全量备份和增量备份都可能。 定期备份 定期备份不同于自动周期备份，定期备份属于按月自动备份。 定期备份默认关闭，定期备份默认是全量实例备份，即使自动备份打开增量备份开关，也是全量备份，不支持修改。 定期备份开启后，用户可以选择一个或多个每月的某天进行备份，比如用户可以选择每月1号、15号、30号进行备份，如果当月没有所选择的日期，则该次备份跳过，比如2月份没有30号。 定期备份的备份时段与自动备份是时段一致，不支持单独修改定期备份的备份时段，如需修改，则修改自动备份的备份时段即可。 如果定期备份和自动周期备份命中同一天，则该次备份为定期备份，自动周期备份将不再多打一份。 跨地域备份 只有备份空间为对象存储的实例，才支持设置跨地域备份。 目前仅华东1、西南1资源池支持设置跨地域备份。 开启跨地域备份后，则会将当前实例所在资源池的备份复制到另一个跨地域资源池中，即有保存两份备份文件，跨地域备份有一定时延。 跨地域备份并不是新增一种备份类型（比如自动周期备份、定期备份），而是对备份存储新增的一种安全保障机制。

本节介绍云等保专区产品的漏洞扫描配置类问题。 漏扫扫描如何进行接入配置？ 1. 用户登录后先进行资产管理设置，添加资产，便于后续对资产进行扫描，在菜单栏选择“ 资产管理 > 资产列表 ”，选择主机资产页签，点击“新增”。 在弹出的新建主机资产对话框中编辑相关信息，点击“提交”。 2. 接着创建扫描策略，制定扫描策略模板，使扫描任务更具针对性，在菜单栏选择“ 模板中心 > 漏洞模板 ”，选择主机策略页签，点击“新增”。 进入新建主机策略模板页面，编辑策略模板名称，选择策略规则（策略规则从等级、目标、类型三个维度进行分类），勾选对应的策略，点击“提交”。 3. 然后创建扫描任务，开启扫描任务后对于主机漏洞进行扫描，在菜单栏选择“ 任务管理 > 任务列表 ”，进入任务列表页面，点击“新增”，页面跳转至创建任务页面，具体操作请参见创建任务。 4. 最后扫描结束后，导出扫描报告，针对扫描结果分析资产安全风险，菜单栏选择“报告管理”，进入报告管理页面，点击“新增”。 进入新建报告页面，编辑相关信息，点击“输出报告”。

本节介绍 Web应用防火墙（独享版）续订规则及操作步骤。 适用范围 续订仅针对包月包年计费方式。 按需资源及包月包年转按需资源不可续订。已退订或已释放资源不可续订。按需计费模式不需要续费，只需要保证账户余额充足即可。 续订规则 包月包年资源开通成功后，用户可对其进行续订操作。 若资源到期后续订，续订周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。 成套订购的套餐类组合产品，需整体续订，非成套订购单具有挂载关系的资源可以对单资源进行续订。 操作步骤 您可以通过手动续订或自动续订的方式进行续订Web应用防火墙（独享版）。 手动续订 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角，选择区域。 步骤3 单击页面左上方的，选择“安全 >Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“独享引擎”，进入“独享引擎”页面。 步骤5 点击实例列表右侧“续费”。 步骤6 跳转至续订管理页面，选择需要续订的时长，点击右下角“确定提交”。 步骤7 在支付页面确认支付信息后，点击右下角“立即支付”。 步骤8 支付成功。

操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“全局Web核心防护”模块，可以选择开启/关闭防护。 6. 单击防护规则右侧的“前去配置”，进入全局Web核心防护管理页面。 7. 单击“新建规则组”，配置全局Web核心防护规则组。 参数说明如下： 配置项 说明 新增规则是否默认开启 配置完成规则组后，确认是否默认开启，默认选择为“关闭”。 规则组名称 设置规则的名称。 规则组名称用于标识当前防护规则组，建议您使用有明确含义的名称。 规则组描述 对规则组的用途进行描述。 规则 选择需要启用的内置规则及规则的使用状态，可勾选或全量启用所有规则； 使用状态说明： 观察：设置为观察状态时，只产生日志信息。 拦截：拦截此类规则的攻击。 企业项目 选择规则组生效的防护对象所在企业项目。 关联防护对象 选择规则组生效的防护对象，可多选。 规则组状态 选择规则模版整体状态。 当设置为观察状态时，所有开启的规则都只产生日志，不产生拦截。 当设置为防护状态时，按照具体的规则动作生效。 8. 单击“保存”，规则组创建成功。您可以在规则组列表中查看该规则组。

本文主要介绍VPC网络。 VPC网络模型 VPC网络采用VPC路由方式与底层网络深度整合，适用于高性能场景，节点数量受限于虚拟私有云VPC的路由配额。每个节点将会被分配固定大小的IP地址段。VPC网络由于没有隧道封装的消耗，容器网络性能相对于容器隧道网络有一定优势。VPC网络集群由于VPC路由中配置有容器网段与节点IP的路由，可以支持集群外直接访问容器实例等特殊场景。 图 VPC网络 说明 节点内Pod间通信：ipvlan子接口分配给节点上的Pod，同节点的Pod间通信直接通过ipvlan直接转发。 跨节点Pod间通信：所有跨节点Pod间的通信通过默认路由到默认网关，借助VPC的路由转发能力，转发到对端节点上。 优缺点 优点 由于没有隧道封装，网络问题易排查、性能较高 支持VPC内的外部网络与容器IP直通 缺点 节点数量受限于虚拟私有云VPC的路由配额 每个节点将会被分配固定大小的IP地址段，存在一定的容器网段IP地址浪费 Pod无法直接利用EIP、安全组等能力 应用场景 性能要求高：由于没有额外的隧道封装，相比于容器隧道网络模式，性能接近于VPC网络的性能，所以适用于对性能要求较高的业务场景，比如：AI计算、大数据计算等。 中小规模组网：由于VPC路由网络受限于VPC路由表条目配额的限制，当前默认最大只支持200个节点，如果有更大规模的需求，可提升VPC路由表条目配额。

云录制文件在哪查看？ 登录AOne会议客户端进入“录制”页面，即可查看会议录制的文件内容。 云录制文件为什么会分段？ 同一个会中会议主持人、联席主持人每开启结束一次云录制，即生成一个云录制文件。 为什么我无法开启云录制？ 可能原因如下： 您不是会议主持人、联席主持人。 云录制存储空间已满。 企业管理员关闭了云录制能力。 云录制能否限制访问？ 支持。默认情况下，云录制文件仅限同一企业内参加过该会议的人员查看。会议创建者可以修改查看权限，如设置提取码访问或指定用户访问，保障会议内容安全。 云录制是否支持多个录制任务同时进行？ 同一会议仅支持一个云录制任务。如果多个联席主持人同时发起云录制，将以第一个发起者的操作为准。 如何将云录制文件下载到本地？ 在云录制播放页面，点击右上角“···”按钮，选择“视频下载到本地”即可保存录制文件。 云分享录制文件链接后，其他人打开提示“非指定人员无法访问”怎么办？ 录制文件默认仅限同企业参会人访问。若需分享给他人，请在“录制”>“我的录制”页点击“分享”按钮，“分享方式”>“指定用户分享”添加允许访问的人员，或者修改“分享方式”为“通过链接分享”生成访问链接。 查看录制文件时提示“无效的用户信息”是什么原因？ 这通常发生在使用了“分享方式”>“指定用户分享”方式，但当前用户既不属于会议创建者所在企业，又未被会议创建者授权观看。如出现上述提示，可联系会议创建者进行授权或者修改分享方式为“通过链接分享”。

本文为您介绍如何在ECI实例中查看GPU信息。 背景信息 nvidiasmi是NVIDIA System Management Interface的缩写，是一种用于监视和管理NVIDIA GPU的命令行工具。它提供了有关GPU的详细信息，包括GPU的使用情况、温度、电源消耗、驱动程序版本等。通过nvidiasmi，可以了解GPU的性能和健康状况，以及识别任何可能的问题。使用nvidiasmi，可以完成下列管理： 监视GPU的使用情况：nvidiasmi可以显示GPU的当前使用率、内存使用情况、温度和功耗等信息。这对于调试和优化GPU应用程序非常有用。 管理GPU的电源消耗：nvidiasmi可以显示GPU的功耗和电源限制，并允许您调整GPU的电源模式和限制，以平衡性能和功耗之间的关系。 检查驱动程序版本：nvidiasmi可以显示已安装的NVIDIA驱动程序的版本号，以便您了解驱动程序是否需要更新。 监控GPU的温度：nvidiasmi可以提供GPU的温度信息，帮助您确保GPU在安全的温度范围内运行。 前期准备 已开通天翼云弹性容器实例服务。 ECI容器镜像中已安装nvidia显卡驱动。 操作步骤 下面将介绍如何在ECI实例中使用nvidiasmi工具查看GPU信息： 1. 通过天翼云弹性容器实例订购页面创建ECI GPU实例。 2. 选择已安装nvidia显卡驱动的容器镜像。 3. 在ECI控制台管理页面进入实例详情。 4. 点击“远程连接”标签，当容器连接成功后，执行nvidiasmi命令即可查看GPU信息，如下图所示：

如何处理作业的OBS Bucket没有授权？ 用户在执行一个作业，提示OBS Bucket没有授权时，用户需要进行如下操作： 1.在“全局配置 ”>“服务授权”页面配置“Tenant Administrator（全局服务）”权限。 2.单击“作业管理”，找到操作的作业名称。 3.单击“操作”列表中的“编辑”，进入“作业编辑”页面。 4.用户需要在该作业的“作业编辑”页面进行“运行参数配置”。 a.选择“开启Checkpoint”或“保存作业日志”。 b.选择“OBS桶”。 c.单击“OBS授权”。 DLI Flink作业提交运行后（已选择保存作业日志到OBS桶），提交运行失败的情形（例如：jar包冲突），有时日志不会写到OBS桶中 DLI Flink作业提交或运行失败时，对应生成的作业日志保存方式，包含以下三种情况： 提交失败，只会在submitclient下生成提交日志。 运行失败且在1分钟内的日志，可以直接在管理控制台页面查看，具体如下： 在“作业管理”>“Flink作业”页面，单击对应的作业名称，进入作业详情页面，单击“运行日志”可以查看实时日志。 运行失败且超过1分钟(日志转储周期1分钟)，会在applicationxx下生成运行日志。 另外，由于DLI服务端已经内置了Flink的依赖包，并且基于开源社区版本做了安全加固。为了避免依赖包兼容性问题或日志输出及转储问题，打包时请注意排除以下文件： 系统内置的依赖包，或者在Maven或者Sbt构建工具中将scope设为provided 日志配置文件（例如l：“log4j.properties”或者“logback.xml”等） 日志输出实现类JAR包（例如：log4j等） 在此基础上，taskmanager.log会随日志文件大小和时间滚动。

功能名称 功能描述 便捷的业务恢复方案 存储容灾服务提供集中的控制台，您可以通过管理控制台配置和管理服务器复制，执行切换和故障切换等操作。 服务器复制 您可以创建从生产站点至容灾站点的复制。 按需复制 您可以将服务器按需复制至另一个可用区，免除您维护另一个数据中心的成本和复杂度。 不感知应用 运行在服务器上的任何应用都支持被复制。 RTO与RPO目标 恢复时间目标（RTO）为从生产站点发起切换或故障切换操作起，至容灾站点的服务器开始运行为止的一段时间，不包括手动操作DNS配置、安全组配置或执行客户脚本等任何时间，RTO小于30分钟。 存储容灾服务为服务器提供持续且同步的复制，保证恢复点目标（RPO）为0。 保持崩溃一致性 基于存储的实时同步，保证您的数据在两个可用区中时刻处于崩溃一致性。 在不中断的情况下执行容灾演练 可轻松地运行容灾演练，不会影响正在进行的复制。 灵活的故障切换 可针对生产站点预期会出现的中断执行切换操作，确保不丢失任何数据；或者针对意外灾难执行故障切换操作，尽快恢复业务。 高效的网络切换 简化切换过程中程序资源的管理，具体包括：保留IP地址、保留Mac地址、从而实现高效的网络切换。 高性价比 业务正常情况下，容灾站点的服务器处于关机状态，不产生计算资源消耗，可大幅降低容灾TCO。 部署简单 服务器无需安装容灾Agent插件，部署简单快捷。

指导用户通过密钥管理界面开启自动轮换密钥。 默认情况下，自定义密钥的自动密钥轮换处于禁用状态。当您启用（或重新启用）密钥轮换时，KMS会根据您设置的轮换周期自动轮换自定义密钥。 前提条件 密钥处于“启用”状态。 “密钥材料来源”为“密钥管理”。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 单击目标自定义密钥的别名，进入密钥详细信息页面。 步骤 5 单击“轮换策略”，进入“密钥轮换管理”页签。 步骤 6 单击，开启密钥轮换。 步骤 7 在弹出的“开启密钥轮换”对话框中，设置密钥轮换周期，并单击“确定”。 轮换周期（天）：取值范围为“30~365”的整数，默认“365”天。 轮换周期从此次设置的时间开始计算。 轮换周期需要根据自定义密钥的使用频率进行设置，若密钥使用频率高，建议设置为短周期；反之，则设置为长周期。 说明 如果自定义密钥开启密钥轮换以后，禁用了自定义密钥，KMS也不会轮换该自定义密钥。 当自定义密钥恢复到“启用”状态时，密钥轮换将立即重新激活。如果刚恢复“启用”状态的自定义密钥距离上次轮换的时间已超过轮换周期，KMS将在24小时内轮换该自定义密钥。 用户可修改轮换周期。修改轮换周期后，根据新设置的轮换周期进行轮换。

本节介绍如何对您所拥有的DEW进行精细的权限管理。 如果您需要对您所拥有的DEW进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DEW资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DEW资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DEW服务的其它功能。 前提条件 给用户组授权之前，请您了解用户组可以添加的DEW权限，并结合实际需求进行选择，DEW支持的系统权限如表所示。 系统角色/策略名称 描述 类别 KMS Administrator 加密密钥的管理员权限。 系统角色 KMS CMKFullAccess 加密密钥所有权限。 系统策略 示例流程 步骤 1 在IAM控制台创建用户组，并授予加密密钥所有权限“KMS CMKFullAccess”。 步骤 2 在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 步骤 3 新创建的用户登录控制台，切换至授权区域，验证权限。 在“服务列表”中选择除数据加密服务外的任一服务，若提示权限不足，表示“KMS CMKFullAccess”已生效。

本章节主要介绍ALM12004 OLdap资源异常。 告警解释 系统按60秒周期检测Ldap资源，当连续6次监控到Manager中的Ldap资源异常时，系统产生此告警。 当Manager中的Ldap资源恢复，且告警处理完成时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12004 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Ldap资源异常，Manager和组件WebUI认证服务不可用，无法对Web上层服务提供安全认证和用户管理功能，可能引起无法登录Manager和组件的WebUI。 可能原因 Manager中LdapServer进程故障。 处理步骤 检查Manager中LdapServer进程是否正常 1. 以omm用户登录集群中的Manager所在节点主机。 可以通过登录FusionInsight Manager浮动IP节点，执行sh ${BIGDATAHOME}/omserver/om/sbin/statusoms.sh命令来查看当前Manager的双机信息。 2. 执行 ps ef grep slapd ，查询配置文件位于“${BIGDATAHOME}/omserver/om/”路径下面的LdapServer资源进程是否正常。 说明 判断资源正常有两个标识： a.执行完sh ${BIGDATAHOME}/omserver/om/sbin/statusoms.sh命令后查看到oldap的“ResHAStatus”为“Normal”。 b.执行 ps ef grep slapd ，可以查看到有端口为21750的slapd进程。 是，执行步骤3。 否，执行步骤4。 3. 执行kill 2 ldap 进程pid ，等待20s以后，HA会自动启动OLdap进程。观察当前OLdap资源状态是否正常。 是，操作结束。 否，执行步骤4。

本章节主要介绍翼MapReduce的切换调度器操作。 操作场景 新安装的MRS集群默认即使用了Superior调度器，如果是历史版本升级的集群，管理员可以根据以下指导，将Yarn的调度器从Capacity调度器一键式切换到Superior调度器。 前提条件 确保集群网络通畅，网络环境安全，Yarn服务状态正常。 在切换调度器期间，不允许做添加、删除、修改租户，以及启停服务等操作。 对系统的影响 调度器切换过程中，由于要重启Resource Manager，因此切换期间向Yarn提交任务会失败。 调度器切换过程中，正在Yarn上面执行的Job的Task任务会继续执行，但不会启动新的Task。 调度器切换完成后，在Yarn上面执行的任务有可能会失败进而导致业务中断。 调度器切换完成后，在租户管理中将使用Superior的相关参数。 调度器切换完成后，Capacity调度器中“资源容量”为“0”的租户队列在Superior调度器中分配不到资源，提交到该租户队列的任务会执行失败。建议在Capacity调度器中不要将租户队列的“资源容量”配置为“0”。 调度器切换完成后，在观察期内，不允许对资源池、Yarn节点标签（Label）和租户做添加、删除的操作。若添加或者删除了资源池、Yarn节点标签（Label）或租户，将不支持回退到Capacity调度器。 说明 切换调度器观察期建议为一周，如果对资源池、Yarn节点标签（Label）或租户做了添加、删除的操作，将视为观察期结束。 回退可能会丢失部分或者所有的Yarn任务信息。

本文主要介绍绑定弹性公网IP 操作场景 集群实例创建成功后，支持用户绑定弹性公网IP，通过公共网络访问数据库实例，绑定后也可根据需要解绑。 注意事项 在访问数据库前，您需要在虚拟私有云申请一个弹性公网IP，并将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。 集群实例仅支持mongos节点绑定弹性公网IP。对于已绑定弹性公网IP的节点，需解绑后，才可重新绑定其他弹性公网IP。 绑定弹性IP 步骤 1 在“实例管理”页面，选择指定的集群实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。在“基本信息”区域的mongos节点上，单击“绑定弹性IP”。 您也可以在“基本信息”页面的节点信息区域，选择指定mongos节点，单击操作列的“更多 > 绑定弹性IP”。 步骤 3 在弹出框的弹性IP列表中，显示“未绑定”状态的弹性IP，选择所需绑定的弹性IP，单击“确定”，提交绑定任务。如果没有可用的弹性IP，单击“查看弹性IP”，创建新的弹性IP。 步骤 4 在mongos节点的“弹性IP”列，查看绑定成功的弹性IP。 解绑弹性IP 步骤 1 对于已绑定弹性IP的节点，在“实例管理”页面，选择指定的集群实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。在“基本信息”区域的mongos节点上，单击“解绑弹性IP”。 您也可以在“基本信息”页面的节点信息区域，选择指定mongos节点，单击操作列的“更多 > 解绑弹性IP”。 步骤 3 在弹出框中，单击“确定”，解绑弹性IP。