本文帮助您快速熟悉添加安全组规则的操作场景和操作流程。 操作场景 安全组创建成功后，当您的云服务器需要与外部网络通讯时，您可根据业务需求自定义添加新的出方向、入方向安全组规则，这可以帮助保护服务器免受未经授权的访问。 入方向：指从外部访问安全组规则下的弹性云主机。 出方向：指安全组规则下的弹性云主机访问安全组外的实例。 安全组规则有数量限制，您应尽量保持规则的精简。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，找到您需要添加规则的安全组名称，点击安全组名称，进入安全组详情页。 6. 点击“添加规则”，根据界面提示配置安全组规则，确定授权策略、优先级、协议类型、端口范围、源/目的地址等信息。 具体参数配置信息如下表： 参数 说明 取值样例 IP版本 IPv4、IPv6 IPv4 授权策略 允许、拒绝 允许 优先级 安全组规则优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，级别越高。优先级相同的情况下，拒绝策略优先于允许策略。 1 协议 网络协议，取值范围为：TCP，UDP，ICMP，Any。 TCP 端口范围 安全组规则的端口范围，取值范围为：1～65535。支持同时输入多个端口，以英文逗号分隔。多个端口值按照多条规则分别下发，占用多个配额。 22或2230 授权对象 授权对象支持类型：IP地址、安全组、前缀列表。支持同时输入多个IP地址/安全组/前缀列表，按照多条规则分别下发，占用多个配额。 1、IP地址：支持IP地址，地址格式：0.0.0.0/0（任意IPv4地址）、::/0（任意IPv6地址）。 2、安全组：表示源地址/目的地址选择当前帐号下同一个区域内的安全组。部分资源池支持选择安全组，实际情况以控制台展现为准。 当安全组A内有实例a，安全组B内有实例b，在安全组A设置入方向规则时，“策略”为允许，源地址选择安全组B，则表示来自实例b的内网访问请求被允许进入实例a。 同一安全组内云服务器实例内网互访默认是隔离状态，如您有同一安全组内的云服务器之间互通的需求，您可以在添加安全组规则时配置一条引用本安全组的规则，实现组内互通。 3、前缀列表：表示源地址/目的地址选择当前帐号下同一区域内的前缀列表。部分可用区资源池支持选择前缀列表，实际情况以控制台展现为准。 当源地址/目的地址为前缀列表时，前缀列表所占用的安全组规则数等于前缀列表的最大条目数 。 如果跨地域克隆安全组时，引用前缀列表的安全组规则不支持克隆到目标区域新的安全组中 。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。支持拉丁字母、中文、数字,特殊字符 : ~^@

此小节介绍数据库审计的部署架构。 天翼云数据库审计架构图 天翼云数据库审计从产品部署架构可以自下而上分为数据采集、协议解析、风险识别、数据存储四个部分，在管理控制侧分成日志查询、仪表盘与报表、数据开发和分布式统一管理。 数据采集层的功能是接入需要审计的流量信息，并对流量二三层网络协议和TCP层协议进行解析，提取IP、端口等信息，并根据过滤规则去除不需要进行审计的流量。 协议解析层的功能是按照各种不同数据库的传输协议解析数据包中包含的有效信息，提取出数据库名称、SQL语句、客户端工具等信息，天翼云数据库审计在协议解析领域已积累十三年的解析经验，对数据库协议有着较深的理解，对协议的解析精确且全面。 风险识别功能将解析出来的SQL语句和安全规则进行匹配，以此来发现SQL语句中存在的可疑风险；规则匹配是采用基于DFA状态机的AC算法，该算法实现多条安全规则只需进行一次匹配，实现了高效的规则匹配。如果规则匹配的过程中没有发现风险，那么需要将SQL预计进行字段标准化形成一条审计日志，如果发现了风险，还会根据风险级别相应的产生一条标准化的告警日志，为了达到审计日志和告警日志可回溯，需要将日志进行存储，此时入库程序就会将产生的日志存储到磁盘当中。 当需要查询审计日志和风险日志时，天翼云数据库审计的数据输出模块提供了Web端查询功能，并可将这些日志信息通过Syslog、Kafka等方式发送到第三方平台。同时天翼云数据库审计的系统管理模块提供丰富的管理功能，包括了规则管理、软件升级等功能。

Linux操作系统卸载驱动 对于使用run安装包安装的NVIDIA Tesla驱动，建议您按照以下步骤卸载NVIDIA Tesla驱动。 说明： 如果您使用run安装包安装NVIDIA Grid驱动，则卸载NVIDIA驱动即可，只需执行下面的步骤1。 以Ubuntu20.04 server 64bit为例，介绍Tesla 460.73.01、CUDA 11.2卸载的操作步骤。 1、卸载NVIDIA驱动。 a.执行以下命令，查询“nvidiauninstall”所在路径。 whereis nvidiauninstall “nvidiauninstall”一般在“/usr/bin/”目录下。 图 查询卸载路径 b.执行以下命令，基于查询的“nvidiauninstall”路径，卸载驱动。 /usr/bin/nvidiauninstall c.选择”Yes”，单击回车键。 图 卸载驱动选择界面 d.选择”OK”，单击回车键。 图 卸载过程选择界面 e.驱动卸载成功，单击回车键。 图 卸载成功界面 2、卸载CUDA库和cuDNN库 当需要升级CUDA驱动版本时，需要卸载对应的CUDA库后，再安装对应的CUDA版本。 a.执行以下命令，卸载CUDA库。 /usr/local/cuda/bin/cudauninstaller “cudauninstaller”一般在“/usr/local/cuda/bin”目录下。 说明： 不同CUDA版本的卸载命令可能存在差异，如果未找到“cudauninstaller”文件，可在“/usr/local/cuda/bin/”目录下查看是否存在“uninstallcuda”开头的文件。 如果有，则将命令中的“cudauninstaller”替换为“uninstallcuda”开头的文件名。 b.在卸载界面，勾选全部选项后，移动光标至“Done”，单击回车键。 图 卸载CUDA驱动 CUDA库卸载成功，会返回”Successfully uninstalled”。 c.移除CUDA库和cuDNN库： rm –rf /usr/local/cuda11.2

本章节主要介绍如何授权安全通信。 MRS集群通过管理控制台为用户发放、管理和使用大数据组件，大数据组件部署在用户的VPC内部，MRS管理控制台需要直接访问部署在用户VPC内的大数据组件时需要开通相应的安全组规则，而开通相应的安全组规则需要获取用户授权，此授权过程称为通信安全授权。 若不开启通信安全授权，MRS将无法创建集群。集群创建成功后若关闭通信将导致集群状态为“网络通道未授权”且如下功能将受到影响： 大数据组件安装、集群扩容、集群缩容、升级Master节点规格功能不可用。 集群的运行状态、告警、事件无法监控。 集群详情页的节点管理、组件管理、告警管理、文件管理、作业管理、补丁管理、租户管理功能不可用。 Manager页面、各组件的Web站点无法访问。 再次开启通信安全授权，集群状态会恢复为“运行中”，以上功能将恢复为可用。具体操作请参见下方 为关闭安全通信的集群开启安全通信。 当集群中授权的安全组规则不足以支撑MRS集群管理控制台为用户发放、管理和使用大数据组件的操作时，“通信安全授权”右侧出现的提示，请单击“一键修复”按钮进行修复，具体请参考下方 一键修复。 创建集群时开启安全通信 1.登录MRS管理控制台。 2.单击“创建集群”，进入创建集群页面。 3.在创建集群页面，选择“快速创建”或“自定义创建”。 4.参考快速创建集群或创建自定义集群配置集群信息。 5.在“通信安全授权”栏，勾选“确认授权”。 6.单击“立即创建”创建集群。 当集群开启Kerberos认证时，需要确认是否需要开启Kerberos认证，若确认开启请单击“继续”，若无需开启Kerberos认证请单击“返回”关闭Kerberos认证后再创建集群。

操作步骤 本章节将介绍在公网网络场景下，通过数据复制服务配置MySQL分库分表到DRDS实例迁移的任务流程。 步骤 1 在“实时迁移管理”页面，单击“创建迁移任务”，进入创建迁移任务页面。 步骤 2 在“迁移实例”页面，填选任务名称、描述、迁移实例信息，单击“下一步”。 表 任务和描述 参数 描述 :: 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 表 迁移实例信息 参数 描述 :: 数据流动方向 选择入云。 入云指目标端数据库为本云数据库。 源数据库引擎 选择MySQL分库分表。 目标数据库引擎 选择DRDS。 网络类型 此处以公网网络为示例。默认为公网网络类型，可按照需求选择VPC网络、公网网络和VPN、专心网络。 VPC网络：适合云上数据库之间的迁移。 公网网络：适合通过公网网络把其他云下或其他平台的数据库迁移到目标数据库，该类型要求目标数据库绑定弹性公网IP（EIP）。 VPN网络：适合通过VPN网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 专线网络：适合通过专线网络，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 目标数据库实例 用户所创建的目标数据库实例。 迁移实例所在子网 选择迁移实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。 默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保迁移实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 迁移模式 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：表、视图、存储过程、触发器等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程完成目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 源端数据库实例个数 源端数据库实例个数默认最小值为2，最大值为16，你需要根据源端实际的分片数据库个数设置该值大小。 标签 可选配置，对迁移任务的标识。使用标签可方便管理您的迁移任务。每个任务最多支持10个标签配额。 任务创建成功后，您可以单击任务名称，在“标签”页签下查看对应标签。关于标签的详细操作，请参见标签管理。 步骤 3 在“源库及目标库”页面，迁移实例创建成功后，填选源库信息和目标库信息，单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 表 源库信息 参数 描述 :: 中间件IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 中间件用户名 源数据库的用户名。 中间件密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 分片数据库 根据源库实际的分片数据库，填写对应的数据库信息。 说明 源数据库的IP地址或域名、数据库用户名和密码，会被系统加密暂存，直至删除该迁移任务后自动清除。 表 目标库信息 参数 描述 :: 数据库实例名称 默认为创建迁移任务时选择的数据库实例，不可进行修改。 数据库用户名 目标数据库对应的数据库用户名。 数据库密码 数据库用户名和密码将被系统加密暂存，直至该任务删除后清除。 说明 目标数据库的用户名和密码，会被系统加密暂存，直至删除该迁移任务后自动清除。 步骤 4 在“迁移设置”页面，设置迁移对象，单击“下一步”。 表 迁移对象 参数 描述 :: 迁移对象 对象迁移到目标数据库实例后，对象名将会保持与源数据库实例对象名一致且无法修改。 说明 目标库未创建的结构默认不迁移。 步骤 5 在“预检查”页面，进行迁移任务预校验，校验是否可进行迁移。 查看检查结果，如有失败的检查项，需要修复失败项后，单击“重新校验”按钮重新进行迁移任务预校验。 图 预检查 预检查完成后，且预检查通过率为100%时，单击“下一步”。 说明 所有检查项结果均成功时，若存在告警，需要阅读并确认告警详情后才可以继续执行下一步操作。 步骤 6 在“任务确认”页面，设置迁移任务的启动时间，并确认迁移任务信息无误后，单击“启动任务”，提交迁移任务。 表 任务启动设置 参数 描述 :: 启动时间 迁移任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”，优选“稍后启动”。 说明 预计迁移任务启动后，会对源数据库和目标数据库的性能产生影响，建议您将任务启动时间设定在业务低峰期，同时预留23天校对数据。 步骤 7 迁移任务提交后，您可在“实时迁移管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见任务状态说明。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。

函数计算可以为版本设置别名，利用这一功能，您能够同时发布函数的多个别名，实现软件生命周期中的持续部署和灰度发布等。 函数别名 别名本质上是一种指向版本的指针，版本不可变但别名可变，因此可以调整别名指向的版本来动态调整指向的内容，对于更新发布、回滚代码非常有用。别名可以随时创建修改和删除，对别名的操作不会影响到所指向的版本。 此外，别名可以同时指向两个不同的版本，并对两个版本设置路由权重，基于此能力，可以很方便地进行灰度发布。举个例子，我们创建一个“生产”别名，指向版本二（正式稳定版）和版本三（最新灰度版），初始权重比为9:1，这时“生产”这个别名的流量就会按比例转发到对应的函数版本上，实现10%的灰度覆盖，验证通过后，修改“生产”的权重比例，最终过渡到只指向版本三即可，这样就完成了一次灰度发布升级。 创建别名 1. 登录函数计算控制台，点击目标函数，进入函数详情。 2. 选择详情下顶部的版本选项卡。 3. 点击创建别名，按照配置填写，点击确认即可。 配置 解释 实例 名称 自定义别名的名称，只能包含字母、数字和中划线。只能字母开头，字母数字结尾，且值不能为LATEST。函数名称+别名名称总长度不超过45个字符。 product 描述 别名的备注，可以作为友好化提示。 生产环境 主版本 别名指向的版本。别名至少指向一个版本，不可为LATEST版本。 1 启用灰度版本 是否启用流量分割，开启后可以配置权重，实现一个别名指向两个版本。 是 灰度版本 别名指向的版本。 灰度类型 按百分比随机灰度：通过对灰度版本设置权重，使得部分流量部分转发到灰度版本。权重范围为[0,100]%。 10%

本节主要介绍微服务部署 业务场景 基于ServiceStage可以方便快捷的将微服务部署到容器（如CCE）、虚拟机（如ECS），同时支持源码部署、jar/war包部署或docker镜像包部署。同时，ServiceStage支持 Java、PHP、Node.js、Go、Python多种编程语言应用的完全托管，包括部署、升级、回滚、启停和删除等。 本实践中使用了Java开发的后台组件和Node.js开发的前台组件。您可以通过容器部署的方式部署应用并将微服务实例注册到微服务引擎CSE中，weathermap应用需要创建以下组件： 前台组件：weathermapweb，基于Node.js语言开发的界面。 后台组件：weather、forecast、fusionweather，基于Java语言开发。 创建并部署后台应用组件 本实践需要创建3个应用组件，对应后台构建任务生成的3个软件包：weather、forecast、fusionweather。 这里以weather包为例介绍操作步骤，其余应用组件的具体步骤不再详述。 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、单击创建应用时创建的应用名称（例如weathermap）“操作”栏的“新增组件”。 3、“配置方式”选择“自定义配置”，“选择组件类型”选择“微服务”，单击“下一步”。 4、“选择运行时”选择“Docker”，单击“下一步”。 5、“选择框架/服务网格”选择“选择“Java Chassis”， 组件信息栏中“组件名称”输入weather。 6、单击“创建并部署”，部署组件。 1. “环境”：选择创建环境时创建的环境（例如testenv）。 2. “部署版本”：输入1.0.0。 3. “部署系统”：选择“云容器引擎”。 4. “实例数量”：设置为1。 5. 其他参数使用默认。 7、单击“下一步 组件配置”，进行组件配置。 1. “镜像”：单击“选择镜像”，在“我的镜像”页签搜索“weather”，选择创建组织创建的组织名称下的weather镜像包及其版本号，单击“确定”。 2. “微服务引擎”：默认选择创建环境时选择的微服务引擎。 说明 • 卸载应用组件部署以后，微服务会注册到设置的微服务引擎。 • 所有应用组件需要注册到同一个微服务引擎，才能互相发现。 8、设置环境变量。 展开“高级设置 > 组件配置”，在“环境变量”栏，单击“添加环境变量”，添加以下环境变量。 类型 变量名 变量/变量引用 ::: 手动添加 MOCKENABLED • true：资源准备时创建的CCE集群中的ECS节点如果没有绑定弹性公网IP或者不能访问公网时，需设置该参数值为true。则应用所用到的天气数据为模拟数据。 • false：资源准备时创建的CCE集群中的ECS节点如果已绑定弹性公网IP且能访问公网时，需设置该参数值为false或者不设置该参数。则应用所用到的天气数据为实时数据。 手动添加 servicecombcredentialsaccessKey 资源准备时获取的AK。 说明： • 仅当使用微服务引擎专业版时需要配置。 • 如果使用微服务引擎专享版，无需配置。 手动添加 servicecombcredentialssecretKey 资源准备时获取的SK。 说明： • 仅当使用微服务引擎专业版时需要配置。 • 如果使用微服务引擎专享版，无需配置。 9、单击“下一步 规格确认”，确认规格。 10、单击“部署”，部署组件。 11、参考以上步骤，依次创建并部署forecast和fusionweather组件，需要设置的参数如下表所示。 组件名称 选择镜像 环境变量 ::: forecast forecast 变量名称：MOCKENABLED 变量/变量引用： • true：资源准备时创建的CCE集群中的ECS节点如果没有绑定弹性公网IP或者不能访问公网时，需设置该参数值为true。则应用所用到的天气数据为模拟数据。 • false：资源准备时创建的CCE集群中的ECS节点如果已绑定弹性公网IP且能访问公网时，需设置该参数值为false或者不设置该参数。则应用所用到的天气数据为实时数据。 forecast forecast 变量名称：servicecombcredentialsaccessKey 变量/变量引用：资源准备时获取的AK。 forecast forecast 变量名称：servicecombcredentialssecretKey 变量/变量引用：资源准备时获取的SK。 fusionweather fusionweather 变量名称：servicecombcredentialsaccessKey 变量/变量引用：资源准备时获取的AK。 fusionweather fusionweather 变量名称：servicecombcredentialssecretKey 变量/变量引用：资源准备时获取的SK。

资源 手动配置 资源池 资源池：4.0实验局 弹性云主机 可用区：西北贵州可用区1 计费模式：按需计费 规格：s7.medium.4 镜像：public/x8664/linux/CTyunOS2.0.1x8664 系统盘类型：普通IO（SATA） 安全组 入方向规则 优先级：1 策略：拒绝 IP类型：IPv6 源端口范围：22 远端地址：::/0 虚拟私有云 子网

规格名称 计算 磁盘类型 网络 鲲鹏超高IO型ki1s CPU/内存配比：1:4 vCPU数量范围：864 处理器：鲲鹏920处理器 基频：2.6GHz 高IO 通用型SSD 超高IO 极速型SSD 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：400万PPS 最大内网带宽：18Gbps

服务器安全卫士检测防护挖矿 1.提高攻击门槛，有效缩减90% 攻击面 事实证明，90% 的攻击事件都利用了未修补的漏洞，且攻击者的手段不断变化，网络安全状况也在随着安全漏洞的增加变得日益严峻。而传统的漏洞扫描器仅为按季度或按年的周期性扫描，在未进行检测期间，新的漏洞很容易被黑客利用入侵。因此，企业需要能够实现风险持续性地监测与分析产品，能够化被动为主动，深入发现内部暴露的问题和风险，持续有效地对风险进行处理，从而提高攻击门槛，缩减修复窗口期。 持续更新的补丁库以及agent 探针式的主动扫描，能及时、精准发现系统需要升级更新的重要补丁，第一时间帮助用户发现潜在可被黑客攻击的漏洞。深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁，结合系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。 自动识别应用配置缺陷，通过比对攻击链路上的关键攻击路径，发现并处理配置中存在的问题，大大降低可被入侵的风险。如下图中黑客利用redis 应用漏洞的攻击链路，针对黑客的每一步探测，系统均会进行持续性的检测，及时发现并处理某个配置缺陷，将有效解决潜在安全隐患、阻断黑客的进一步活动。 持续关注国内外最新安全动态及漏洞利用方法，不断推出最新漏洞的检测能力，至今已积累50000+ 的高价值漏洞库，包括系统 / 应用漏洞、EXP/POC 等大量漏洞，覆盖全网 90% 安全防护。同时，基于 Agent 的持续监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出系统漏洞。 精准检测几十种应用弱密码，覆盖企业常用应用如SSH、Tomcat、MySQL、Redis、OpenVPN 等。获取应用账号密码的明文或哈希值，与弱密码表中的明文密码或者明文密码计算出的哈希值比较，确定是否为弱密码。如口令未发生新的变更，不再重复对弱口令进行检测。通过分布式的 Agent 对全量主机的弱口令检测，一方面极大的提高工作效率，另一方面对流量及业务的影响也降到了最低。同时，结合企业特征，系统能智能识别更多组合弱口令，支持用户自定义口令字典以及组合弱口令字典，能有效预防被黑客定向破译的风险。 2.多锚点的检测能力，实时发现失陷主机 传统的入侵防护方案能够很好地抵御已知的攻击，但是对于未知和迅速变化的攻击手段则缺乏相应的检测能力。因此，如何实现有效的入侵检测并提供实时的告警和响应手段已经成为安全建设亟需解决的问题。当前的攻击手段千变万化，但是攻击成功后要做的事情却是归一化的。因此，服务器安全卫士将视角从了解黑客的攻击方式，转化成对内在指标的持续监控和分析，无论多么高级的黑客其攻击行为都会触发内部指标的异常变化，从而被迅速发现并处理。 通过实时监控登录行为，可以及时且自动化地发现黑客使用不同服务尝试暴力破解用户登录密码的攻击行为，并进行自动化封停处理，使得黑客不能进行更多的尝试，自动封停后会根据预定义的封堵时间进行解封。 自动化地监控关键的Web 目录，结合恶意样本库、正则库、相似度匹配等多种检测方法，实时感知文件变化，从而能够及时发现 Web 后门，并对后门的恶意代码内容进行清晰标注。 通过对用户进程行为进行实时监控，结合行为的识别方法，及时发现进程的非法Shell 连接操作产生的反弹 Shell 行为，有效感知“0Day”漏洞利用的行为痕迹，并提供反弹 Shell 的详细进程树。 通过对用户进程行为进行实时监控，结合行为识别技术，我们能及时发现进程的提权操作并通知用户，并提供提权操作的详细信息。 通过分析常见的远程命令漏洞利用实例，利用模式识别的方式，实时监控用户进程行为的各项特征，对主机中进程异常的执行行为和执行命令内容进行精确匹配，能有效发现黑客利用漏洞执行命令的行为痕迹，并及时进行告警。告警信息提供整个漏洞利用过程的进程树信息，帮助用户准确分析黑客的入侵路径和目的，功能同时也支持用户自定义规则进行检测，可帮助适应客户多样化的业务流程，精准覆盖各类RCE 攻击的监控场景。 通过分析挖矿木马程序的行为特征，针对挖矿常见的特征研制多种检测模型，对挖矿进程执行的命令、挖矿在主机中的行为、挖矿文件的信息以及挖矿本身具备的属性都设置了相应的锚点进行监控，提供用户全方位的挖矿检测和防护能力。云端+ 客户端的双重检测模式，让挖矿程序的每一个特征和行为，都会被实时发现并上报告警，同时给出专业角度的安全分析。不仅支持对挖矿进行隔离、删除、修复验证等多种处理方式，同时也提供检测规则的高度自定义能力，方便用户对挖矿木马进行快速响应和预防。功能实现了从监控发现、检测分析、响应处理、设置预防的安全闭环能力，为用户提供稳定持续高效的安全服务。

本节主要介绍如何挂载文件系统到Linux云主机。 CIFS类型的文件系统不支持使用Linux操作系统的云主机进行挂载。本章节以Linux系统为例进行NFS类型的文件系统的挂载。 前提条件 确定云主机操作系统类型，不同操作系统安装NFS客户端的命令不同； 已完成创建文件系统，并获取到文件系统的共享路径； 选择与文件系统所属VPC相同的云主机进行挂载； 云主机上已配置了用于解析文件系统域名的DNS服务器的IP地址； 如果云主机需要通过IPv6地址挂载SFS Turbo文件系统，需要选择支持IPv6的云主机类型 约束与限制 说明 该约束仅针对本地挂载路径（即挂载点），不影响其他文件或目录。 暂不支持修改本地挂载路径（即挂载点）的元数据，即不支持对挂载点的元数据做如下操作： touch：更新文件的访问时间和修改时间 rm：删除文件或目录 cp：复制文件或目录 mv：移动文件或目录 rename：重命名文件或目录 chmod：修改文件或目录的权限 chown：修改文件或目录的所有者 chgrp：修改文件或目录的所属组 ln：创建硬链接 link：创建硬链接 unlink：删除硬链接 本地挂载路径（即挂载点根目录）的atime、ctime和mtime属性是当前时间，每次查询根目录属性返回的都是服务端当时时间的值。 操作步骤 1、以root用户登录弹性云主机； 2、安装NFS客户端： a) 查看系统是否安装NFS软件包； − CentOS、Red Hat、Oracle Enterprise Linux、SUSE、Euler OS、Fedora或OpenSUSE系统下，执行如下命令： rpm qagrep nfs − Debian或Ubuntu系统下，执行如下命令： dpkg l nfs 不同操作系统回显会有所不同，如果回显如下类似信息，说明已经成功安装NFS软件包，执行步骤3，如未显示，执行步骤2.2。 − CentOS、Red Hat、Euler OS、Fedora或Oracle Enterprise Linux系统下，回显如下类似信息： libnfsidmap nfsutils − SUSE或OpenSUSE系统下，回显如下类似信息： nfsidmap nfsclient − Debian或Ubuntu系统下，回显如下类似信息： nfscommon b) 如果查看到未安装，根据不同的操作系统，执行不同命令。执行以下命令前要求云主机已连接到互联网，否则安装NFS客户端失败； − CentOS、Red Hat、Euler OS、Fedora或Oracle Enterprise Linux系统下，执行如下命令： sudo yum y install nfsutils − Debian或Ubuntu系统下，执行如下命令： sudo aptget install nfscommon − SUSE或OpenSUSE系统下，执行如下命令： zypper install nfsclient 3、执行如下命令，查看是否能解析文件系统共享路径中的域名： nslookup文件系统域名 说明 文件系统域名仅为域名，如：sfsnas1.xxxx.com。文件系统域名请从文件系统的共享路径中获取，不需要输入整个共享路径。 无法使用nslookup命令时，需要先安装bindutils软件包。（可通过执行yum install bindutils命令安装） a) 解析成功，执行步骤4； b) 解析失败，请先完成DNS服务器IP地址的配置再执行挂载文件系统的操作，具体配置操作请参见《如何配置DNS》。 4、执行如下命令，创建用于挂载文件系统的本地路径。 mkdir本地路径 5、执行如下命令，将文件系统挂载到云主机上。文件系统目前仅支持NFS v3协议挂载到云主机，其中变量说明见下表： mount t nfs o vers3,timeo600,noresvport,nolock,tcp 挂载地址 本地路径 注意 1. 已挂载文件系统的云主机重启后，该云主机上的挂载信息将会丢失，您可以通过在fstab文件中配置自动挂载来保证云主机重启时自动挂载文件系统。 2. 在网络切换时，文件系统可能会发生阻塞，可能需要几分钟才会自动恢复连接，更严重时甚至需要重启ECS才能恢复。强烈建议使用noresvport参数，这可以保障网络发生故障恢复事件后文件系统服务不会中断。 参数 说明 vers 文件系统版本，目前只支持NFSv3。取值：3。 timeo NFS客户端重传请求前的等待时间(单位为0.1秒)。建议值：600。 noresvport 指定NFS客户端向NFS服务端重新发起建立连接时使用新的TCP端口。 lock/nolock 选择是否使用NLM协议在服务器上锁文件。当选择nolock选项时，锁对于同一主机的应用有效，对不同主机不受锁的影响。建议值：nolock。如不加此参数，则默认为lock，就会发生其他服务器无法对此文件系统写入的情况。 挂载地址 SFS容量型文件系统的格式为：文件系统域名:/路径，例如：example.com:/sharexxx。如图1所示。 SFS Turbo标准型、标准型增强版、性能型、性能型增强版文件系统的格式为：文件系统IP:/，例如192.168.0.0:/。如图2所示。 SFS Turbo 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB文件系统的格式为：域名地址:/，例如xxx.sfsturbo.internal:/。如图3所示。 x是数字或字母。 本地路径 云主机上用于挂载文件系统的本地路径，例如“/localpath”。 图1 SFS容量型文件系统挂载地址 图2 SFS Turbo文件系统（标准型）挂载地址 图3 SFS Turbo文件系统（20MB/s/TiB类型）挂载地址 6、挂载完成后，执行如下命令，查看已挂载的文件系统： mount l 如果回显包含如下类似信息，说明挂载成功。 example.com:/sharexxx on /localpath type nfs (rw,vers3,timeo600,nolock,addr) 7、挂载成功后，用户可以在云主机上访问文件系统，执行读取或写入操作。 说明 SFS容量型支持写入的单个文件最大容量为240TB。 SFS Turbo标准型和性能型文件系统支持写入的单个文件系统最大容量为32TB，SFS Turbo标准型增强版和性能型增强版文件系统支持写入的单个文件系统最大容量为320TB，SFS Turbo 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB和1000MB/s/TiB等类型的文件系统支持写入的单个文件系统最大容量为1PB。 8、如果需要取消挂载，执行命令umount 本地路径。执行取消挂载命令时，请先结束所有与这个文件系统相关的读写操作，并退出本地路径目录，再执行取消命令，不然会返回失败。

本文以自建Elasticsearch 7.10.2版本迁移至天翼云Elasticsearch实例为例子,介绍如何使用天翼云Logstash实现迁移Elasticsearch实例的数据。 Logstash 是一个开源的数据处理管道工具，广泛用于数据收集、处理和传输。它通常作为“ELK Stack”（Elasticsearch、Logstash、Kibana、Beats）的一个核心组件，用于处理结构化和非结构化数据。 天翼云Logstash可以实现将源Elasticsearch实例（如天翼云、自建或第三方Elasticsearch实例）中的数据迁移至天翼云Elasticsearch实例。在升级实例版本、实例架构调整、或跨区域的实例数据迁移时，可以选择使用天翼云Logstash迁移源Elasticsearch实例数据。 Logstash的方式迁移数据支持跨大版本，且迁移方式灵活，下表是支持的集群版本： 源目标 Elasticsearch7.10.2 OpenSearch Elasticsearch6.x √ √ Elasticsearch7.x小于7.10.2 √ √ Elasticsearch7.x大于7.10.2 √ √ Elasticsearch8.x √ √ 本文以自建Elasticsearch 7.10.2版本迁移至天翼云Elasticsearch实例为例子。 前提条件 已经创建天翼云Elasticsearch实例。 已经在创建的Elasticsearch实例中加装了Logstash实例。 加装Logstash能够通过内网或公网访问需要迁移的源Elasticsearch实例。 Logstash工作模型 Logstash工作模型核心部分为三部分：输入（Input）、过滤器（Filter）、输出（Output），按照配置管道文件的顺序对数据进行提取、处理转换、输出。 1.输入（Input）：Logstash支持多种数据输入源，如文件、数据库、消息队列以及Elasticsearch等。在我们的场景中，源Elasticsearch实例就是输入数据源。Logstash会批量提取源Elasticsearch实例中的数据。 2.过滤器（Filter）：过滤器是可选的，用于对输入数据进行实时处理和转换。它提供了一些强大的插件，可以对数据进行解析、变换、裁剪或其他操作。在我们的场景中，可以选择是否使用过滤器来处理迁移中的数据，例如删除源数据中不需要迁移的字段等操作。 3.输出（Output）：Logstash的输出插件负责将处理后的数据写入到目标位置，这可以是文件、数据库、消息队列，或者像本例中的天翼云Elasticsearch实例。

本文绍了如何查看RDSPostgreSQL实例连接信息。 操作场景 客户从内外网连接实例时需要从控制台获取实例连接信息，当前连接方式不可修改。 约束限制 当前实例创建后，内网连接IP不可修改。 操作步骤 Ⅰ类资源池的连接信息获取方式 1. 登录天翼云门户。 2. 点击【控制中心】，选择对应资源池，例如“上海7”。 3. 选择【关系数据库PostgreSQL版】，点击进入组件控制台管理页面。 4. 在“实例管理”列表中点击对应的实例进入实例信息页，其中“连接地址”即为实例的内网IP，“数据库端口”为实例的连接端口，“虚拟私有云”为对应的VPC，“安全组”为对应的安全组。 Ⅱ类资源池的连接信息获取方式 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在单个实例的管理详情页中，“ipv4地址”为天翼云内的ipv4连接地址，“ipv6地址”为天翼云内的ipv6连接地址，“弹性IP”为当前实例绑定的可公网访问的IP信息，“数据库端口”为当前实例的连接端口。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

通过公网NAT网关访问Internet失败该如何处理？ 用户通过公网NAT网关访问Internet失败，可能是由于VPC路由表配置错误引起的，可以通过以下方法重新配置VPC路由表。 1. 找到VPC对应的子网关联的路由表。 2. 查看路由表是否有到NAT网关的路由，如果不包含，请添加对应的路由。 3. 如果用户自行修改到公网NAT网关的路由，请确保路由的目的地址包含待访问的目的地址。 公网NAT网关是否支持更换VPC？ 不支持。 公网NAT网关在购买时选定VPC，不支持后续进行更换。 公网NAT网关是否支持IPV6？ 目前公网NAT网关不支持IPV6协议。 基于公网NAT网关的用户网络，可以配置哪些安全策略实现访问限制？ 基于公网NAT网关的用户网络，可以通过配置安全组和网络ACL实现访问限制。 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云主机提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。 网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的数据流。 安全组对弹性云主机进行防护，网络ACL对子网进行防护，两者结合起来，可以实现更精细、更复杂的安全访问控制。 安全组与网络ACL的详情，请参见虚拟私有云用户指南。

参数 参数类型 说明 示例 下级对象 direction String 出方向egress、入方向ingress etherType String IP类型:IPv4、IPv6 protocol String 协议: ANY、TCP、UDP、ICMP(v4) description String 安全组规则描述信息 id String 唯一标识ID securityGroupId String 安全组ID rangeMin String ICMP类型端口:最小值 rangMax String ICMP类型端口:最大值 action String 拒绝策略:允许accept 拒绝drop remoteIpCidr String 远端地址:0.0.0.0/0

功能名称 描述 解析IPsports 解析IP或端口 地址簿删除IP 地址簿删除IP 地址簿添加IP 地址簿添加IP 统计地址簿 统计地址簿数量和所用ip数量 删除地址簿 删除地址簿 查询地址簿 查询地址簿列表 地址簿详情 查询地址簿详情 添加地址簿 添加地址簿 地址簿ipport更新 地址簿更新内容（IP/端口） 安全告警告警详情 查询告警详情 安全告警标记已处理 安全告警标记已处理 安全告警流量日志列表 查询流量日志列表 安全告警查询告警列表 查询告警列表 安全告警告警统计 安全告警统计 报表管理订阅配置更新 更新报表订阅列表 报表管理订阅列表 查看报表订阅列表 报表管理统计 统计列表信息 报表管理列表 查看报表列表 查看nat列表 查询nat列表 查询云间高速列表 查询云间高速列表 查询云专线列表 查询云专线列表 查询对等连接列表 查询对等连接列表 vpc资产同步 东西向(vpc)资产同步 VPC边界统计 查询东西向(vpc)资产统计接口 查询所有东西向资产 查询东西向所有资产的列表 开启防护自动检查 开启防护的自动检查结果 一键创建子网路由表 一键创建子网路由表 关闭防护删除终端节点 关闭vpc资产防护 确认手动引流配置完成 确认手动引流配置完成 创建终端节点 创建终端节点 校验cidr合法 校验cidr是否合法 查询资源池规格 查询资源池规格 能否降低版本 防火墙能否降低版本 能否订购防火墙 能否订购防火墙 降配配额最低值 降配配额最低值 防火墙防火墙名称修改 修改防火墙名称 安全防护概览 查询安全防护概览接口 访问控制策略概览 查询访问控制策略概览接口 资产防护监控概览 查询资产防护监控概览接口 实例状态概览 查询实例状态概览接口 获取黑白名单规则的excel文件模板 获取黑白名单规则的excel文件模板 获取访问规则的excel文件模板 获取访问规则的excel文件模板 app应用查询应用大类和子类 查询apr支持的全部应用 ipsRule查询攻击类型 根据ips规则类型获取所有列表 日志管理操作日志excel导出 操作日志excel导出 日志管理流量日志excel导出 流量日志excel导出 日志管理入侵防御访问控制日志excel导出 入侵防御日志excel导出 修改日志存储类型 修改日志存储类型 修改本地日志储存时间 修改本地日志存储时间 查询日志内容 查询日志内容 统计日志数量 统计日志数量 查看日志存储容量 查询日志存储容量的情况 更新投递任务状态 更新投递任务状态 查看日志投递列表 查询日志投递列表 查询日志投递类型信息 查询日志投递类型信息 查询日志投递开始时间 查询日志投递开始时间 通知设置更新通知配置 更新通知设置 通知设置获取通知设置 获取通知设置 获取资产同步状态 提供获取资产同步状态接口 删除防护规则 删除防护规则接口 获取资产详情 提供获取资产详情接口 更新防护规则 更新防护规则接口 设置防护规则优先级 设置防护规则优先级接口 切换防护规则防护状态 切换防护规则防护状态接口 新增防护规则 新增防护规则接口 删除黑白名单 删除黑白名单接口 更新资产提示信息 提供更新资产的提示信息接口 新增黑白名单 新增黑白名单接口 同步资产 同步资产接口 切换资产防护状态 切换资产防护状态接口 查询黑白名单详情 查询黑白名单详情接口 切换黑白名单防护状态 提供切换黑白名单或白名单防护状态接口 更新黑白名单 提供更新黑名单或白名单接口 获取资产同步时间 获取资产同步时间接口 查询全部黑白名单 提供查询全部黑名单或白名单的接口 查询资产统计 查询资产统计接口 查询防护规则详情 提供查询防护规则详情的接口 查询日志配置详情 查询日志配置详情 查询防火墙流量日志 查询防火墙流量日志 查询防护规则 防护规则查询接口 定义防火墙的随机名称 给防火墙定义一个随机名称 判断防护能力是否升级 判断防护能力是否升级 查询资产 查询资产接口 查询防火墙的简要信息 查询防火墙的简要信息 查询黑白名单 查询黑白名单接口 获取vpc的子网列表 获取vpc的子网列表 获取用户的vpc列表 获取vpc的列表 获取防护规则统计数据 获取防护规则统计数据接口 获取ips规则类型列表 根据ips规则类型获取所有列表 查询防火墙详情 查询防火墙详情 查询ips规则 查询防火墙配置的ips规则 查询dpi详情 查询dpi配置详情 保存dpi配置 下发dpi配置并保存配置，实现配置持久化 查询操作日志 查询前端操作日志 查询全部应用 查询apr支持的全部应用

本文帮助您快速熟悉快速添加多条安全组规则的操作场景和操作流程。 操作场景 安全组支持快速添加多条不同协议端口的安全组规则，可以用于ping云服务器之间的通讯情况、远程连接实例等场景，方便您快速创建多条具备相同授权对象、授权策略等信息的规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，找到您需要添加规则的安全组名称，点击安全组名称，进入安全组详情页。 6. 在安全组详情页，点击“快速添加规则”，根据页面提示配置规则。 参数说明如下： 参数 说明 取值样例 IP版本 IPv4、IPv6 IPv4 授权策略 允许、拒绝 允许 优先级 安全组规则优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，级别越高。 1 常用端口 提供一些常用的协议端口支持快速选择。 SSH (22) 授权对象 授权对象(源地址/目的地址)支持类型：IP地址、安全组、前缀列表。 1、IP地址：支持IP地址，地址格式：0.0.0.0/0（任意IPv4地址）、::/0（任意IPv6地址）。 2、安全组：表示源地址/目的地址选择当前帐号下同一个区域内的安全组。部分资源池支持选择安全组，实际情况以控制台展现为准。 当安全组A内有实例a，安全组B内有实例b，在安全组A设置入方向规则时，“策略”为允许，源地址选择安全组B，则表示来自实例b的内网访问请求被允许进入实例a。 同一安全组内云服务器实例内网互访默认是隔离状态，如您有同一安全组内的云服务器之间互通的需求，您可以在添加安全组规则时配置一条引用本安全组的规则，实现组内互通。 3、前缀列表：表示源地址/目的地址选择当前帐号下同一区域内的前缀列表。部分可用区资源池支持选择前缀列表，实际情况以控制台展现为准。 当源地址/目的地址为前缀列表时，前缀列表所占用的安全组规则数等于前缀列表的最大条目数 。 如果跨地域克隆安全组时，引用前缀列表的安全组规则不支持克隆到目标区域新的安全组中 。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 7. 点击“确定”按钮。

云点播产品割接IAM情况说明 综述 云点播自2024年11月13日起，从原先CDN+IAM切换至天翼云统一身份认证服务（以下简称“CTIAM”）。 通过CTIAM用户可以在统一的主子账号体系下对云点播产品的资源、权限进行管理，降低管理员维护的成本，保持天翼云账号权限管理的一致性。由于两者在使用习惯上存在一定的差异，无法做到无感知平移切换，特对两者的差异和割接后的注意事项说明。 割接升级公告 关于2024年11月13日媒体存储、云点播产品功能变更的公告 相关术语说明 增量子用户：自2024年11月13日后从CTIAM统一认证管理平台新增的子用户。 存量子用户：自2024年11月13日前主账号通过原CDN+IAM创建的子用户。 CDN+IAM和CTIAM的使用差异 CDN+IAM CTIAM 登陆入口 主、子账号登陆入口不同。主账号通过天翼云CTIAM登陆，子账号通过CDN+IAM入口登陆。 主子账号均通过CTIAM入口登陆。 登录凭证 CDN+IAM配置的虚拟邮箱，或手机号码登陆。手机号码在平行工作区内保持唯一性。 使用在天翼云CTIAM配置的认证邮箱、手机号码登陆。手机、邮箱在当前组织（企业）内保持唯一性。 存量子用户在迁移完成后，默认填入虚拟手机号码，该号码需修改为真实号码方可使用。 创建子用户 在CDN+IAM控制台创建。CDN+IAM控制台支持多个平行的组织（工作区），在不同组织创建的子用户权限不互通。 在CTIAM控制台创建。同一个主账号仅支持一个组织。 删除子用户 子用户在云点播的权限配置会被全量清理，且无法恢复。 子用户在云点播的权限配置会被全量清理，且无法恢复。 撤销子用户权限 无对应逻辑。 子用户在云点播的权限配置会被全量清理，且无法恢复。 冻结子用户 无对应逻辑。 子用户在云点播的权限配置会被冻结，相关权限信息保留，暂不清理。 主账号AK/SK 不接受CDN+IAM产生的AK/SK，用户使用云点播原生AK/SK调用接口。最多允许5组原生AK/SK。 仅接受CTIAM产生的AK/SK，云点播不再自行产生原生AK/SK密钥对。存量AK/SK仍然可用。CTIAM最多支持创建2组AK/SK。 子账号AK/SK 无子用户AK/SK。子用户使用主账号AK/SK操作API接口。 由CTIAM产生子用户的AK/SK，子用户在CTIAM控制台查看各自的密钥对。 子用户授权 无实体权限与CDN+IAM对接。 与CTIAM权限体系对接，后续会持续新增权限策略。

参数 描述 数据流动方向 选择入云。 入云指目标端数据库为本云数据库。 源数据库引擎 选择MongoDB。 目标数据库引擎 选择DDS。 网络类型 默认为公网网络类型，可按照需求选择VPC网络、VPN网络、专线网络、公网网络。 VPC网络：适合云上同账号同Region同VPC场景下数据库之间的迁移。 公网网络：适合通过公网网络把其他云下或其他平台的数据库迁移到目标数据库。 VPN、专线网络：适合VPN、专线、CC、VPCEP、或者用户已打通VPC对等连接的网络场景，实现其他云下自建数据库与云上数据库迁移、或云上跨Region的数据库之间的迁移。 目标数据库实例 用户所创建的目标数据库实例。 迁移实例所在子网 选择迁移实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。 默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保迁移实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。 只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 选择“IPv4&IPv6双栈”时，如果源或者目标数据库是通过选择实例的方式进行连接，DRS会优先通过IPv4地址进行访问。 迁移模式 全量：该模式为数据库一次性迁移，适用于可中断业务的数据库迁移场景，全量迁移将非系统数据库的全部数据库对象和数据一次性迁移至目标端数据库，包括：集合、视图、索引等。 说明 如果用户只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 全量+增量：该模式为数据库持续性迁移，适用于对业务中断敏感的场景，通过全量迁移过程完成目标端数据库的初始化后，增量迁移阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”迁移模式，增量迁移可以在全量迁移完成的基础上实现数据的持续同步，无需中断业务，实现迁移过程中源业务和数据库继续对外提供访问。 源数据库实例类型 迁移模式为“全量+增量”时，需要根据源数据库的具体来源进行设置。 当源库类型属于集群时，该项需要设置为集群。 当源库类型属于副本集或者单节点时，该项需要设置为非集群。 增量数据获取方式 当源端实例类型设置为“集群”，且任务迁移模式为全量+增量时，需要选择增量数据获取方式。除此以外，源数据库必须关闭集合均衡器Balancer并清理孤儿文档。 oplog：支持MongoDB 3.2及以上版本，DRS直接连接源数据库实例的每一个Shard进行数据抽取。选择此方式，测试连接时需要填写源数据库每一个Shard的连接信息。 changeStream：支持MongoDB 4.0及以上版本，DRS连接源数据库实例的mongos进行数据抽取，选择此方式时，源数据库实例必须开启WiredTiger存储引擎，推荐此选项。 源端分片个数 当源端实例类型设置为“集群”且增量数据获取方式为“oplog”时，需要填写源端数据库分片个数。 源端数据库分片个数默认最小值为2，最大值为32，你需要根据源库实际的集群分片个数设置该值大小。 指定公网IP 网络类型选择“公网网络”时可见，选择为DRS实例绑定的弹性公网IP。任务创建时，DRS将会自动绑定该弹性公网IP，等待任务结束后将自动解绑该弹性公网IP。当源端实例类型设置为“集群”且增量数据获取方式为“oplog”时，指定公网IP数量需要与源端分片个数匹配。

参数 类型 描述 是否必须 IPs Array of ip 根据initiator IP地址设置iSCSI发起方的允许访问列表。 取值：IPv4、IPv6、CIDR子网，可以设置多个，以英文逗号分隔。 否 names Array of name 根据initiator名称设置iSCSI发起方的允许访问列表。 取值：字符串形式，长度范围是1~223，只能由字母、数字、句点( . )、短横线( )、冒号( : )组成，字母区分大小写。支持通配符和?。可以设置多个，以英文逗号分隔。 否

集群自动变更规格策略 1. 规格升级（升配） 当满足任一升配条件时，集群控制面规格将自动提升至更高级别。 执行增加集群节点数量的操作（如创建节点、纳管节点、节点池扩容等）后，集群节点总数达到或超过当前规格所定义的升配触发阈值时，系统将自动将规格提升至更高一级规格。 阈值示例： 当前规格节点管理上限：10 节点 > 升配触发阈值：10 节点（节点数 10 时触发升配到50 节点） 当前规格节点管理上限：50 节点 > 升配触发阈值：50 节点（节点数 50 时触发升配到200 节点） 当前规格节点管理上限：200 节点 > 升配触发阈值：200 节点（节点数 200 时触发升配到1000 节点） 当前规格节点管理上限：1000 节点 > 升配触发阈值：1000 节点（节点数 1000 时触发升配到2000 节点） 当前规格节点管理上限：2000 节点 （暂不支持升配到更高规格 2. 规格降级（降配） 当满足所有降配规则时，集群控制面规格将自动降配到更低规格。 执行减少集群节点数量的操作（如移除节点、退订节点、节点池缩容等）后，集群节点总数低于前一规格所定义的降配触发阈值时，系统将自动将规格降低至更低一级规格。 阈值示例： 当前规格节点管理上限：10 节点 （暂不支持降配到更低规格） 当前规格节点管理上限：50 节点 > 降配触发阈值：10 节点（节点数 降配触发阈值：200 节点（节点数 降配触发阈值：200 节点（节点数 降配触发阈值：1000 节点（节点数 < 1000 时触发降配到1000 节点）

介绍阻止公共访问功能。 适用场景 阻止公共访问是媒体存储提供的一键安全防护功能，旨在降低因公共访问权限导致的数据泄露或因恶意访问而产生大量外网下行流量的风险。 适用区域 2026年4月17日起天翼云媒体存储逐步上线阻止公共访问功能的通知，具体适用区域与上线时间如下： 资源池名称 上线阻止公共访问时间 北京资源池3区 2026年4月17日 注意 功能上线后，新建的Bucket将默认开启阻止公共访问且不允许修改该状态，Bucket 将不再允许匿名访问，并不允许创建公共访问的访问权限和策略，如：开启公共读/公共读写 ACL及包含公共访问语义的 Bucket Policy。 存量Bucket不受升级影响，即默认为不阻止公共访问状态。您可修改对其开启阻止公共访问，需要注意的是，开启后不允许关闭。 默认情况下您无法自行关闭阻止公共访问功能，如有需要，请联系天翼云媒体存储支撑团队。 访问控制效果 存储桶开启阻止公共访问后，访问控制效果如下： 该存储桶及桶内所有对象将不允许匿名访问。 媒体存储在对访问请求进行鉴权时，会忽略预设的公共读、公共读写ACL，以及含有公共访问语义的授权策略；未包含正确鉴权信息的请求，将无法获取数据。 无法对阻止公共访问的存储桶新增公共访问授权，包括： 无法将桶的ACL权限由私有修改为公共读或公共读写。 添加Policy权限时，无法将策略的适用用户设置为“所有用户”。 若桶内有对象的ACL为“公共读”，此时受到阻止公共访问功能的控制，仍将要求用户通过携带合法鉴权串的请求访问文件；在匿名访问该对象时，返回的body中会携带以下字段，标识公共访问已被阻止：

本文主要介绍设置容器生命周期。 操作场景 CCE提供了回调函数，在容器的生命周期的特定阶段执行调用，比如容器在停止前希望执行某项操作，就可以注册相应的钩子函数。 目前提供的生命周期回调函数如下所示： 启动命令： 容器将会以该启动命令启动，请参见启动命令。 启动后处理： 容器启动后触发，请参见启动后处理。 停止前处理： 容器停止前触发。设置停止前处理，确保升级或实例删除时可提前将实例中运行的业务排水。详细请参见停止前处理。 启动命令 在默认情况下，镜像启动时会运行默认命令，如果想运行特定命令或重写镜像默认值，需要进行相应设置。 Docker的镜像拥有存储镜像信息的相关元数据，如果不设置生命周期命令和参数，容器运行时将运行镜像制作时提供的默认的命令和参数，Docker将这两个字段定义为ENTRYPOINT和 CMD。 如果在创建工作负载时填写了容器的运行命令和参数，将会覆盖镜像构建时的默认命令ENTRYPOINT、CMD，规则如下： 表 容器如何执行命令和参数 镜像ENTRYPOINT 镜像CMD 容器运行命令 容器运行参数 最终执行 [touch] [/root/test] 未设置 未设置 [touch /root/test] [touch] [/root/test] [mkdir] 未设置 [mkdir] [touch] [/root/test] 未设置 [/opt/test] [touch /opt/test] [touch] [/root/test] [mkdir] [/opt/test] [mkdir /opt/test] 步骤 1 登录CCE控制台，在创建工作负载时，配置容器信息，选择“生命周期”。 步骤 2 在“启动命令”页签，输入运行命令和运行参数。 表 容器启动命令 命令方式 操作步骤 运行命令 输入可执行的命令，例如“/run/server”。若运行命令有多个，多个命令之间用空格进行分隔。 若命令本身带空格，则需要加引号（""）。 说明多命令时，运行命令建议用/bin/sh或其他的shell，其他全部命令作为参数来传入。 运行参数 输入控制容器运行命令参数，例如port8080。若参数有多个，多个参数以换行分隔。

在只能使用SSH登录物理机的情况下，如何修改物理机的网络配置或重启网络？ 由物理机自动分配的网络是禁止修改的，在只有SSH登录的情况下修改，有可能会导致物理机无法连接。如果物理机存在自定义vlan网络网卡，您可以配置或修改该网卡的网络。您可以按照以下步骤操作： 1. 登录到物理机的操作系统，通过SSH远程登录。 2. 执行以下命令，以获取当前网络配置信息： ifconfig 或 ip addr show 3. 根据需要，编辑网络配置文件。具体的文件路径和编辑方式可能因不同的操作系统而异。例如，在CentOS/RHEL中，网络配置文件位于 /etc/sysconfig/networkscripts/目录下，文件名通常为 ifcfg （如 ifcfgeth0）。您可以使用文本编辑器（如vi、nano等）打开该文件进行编辑。 4. 根据您的需求，修改网络配置，包括IP地址、子网掩码、网关、DNS等。 5. 保存并退出编辑器。 6. 执行以下命令以使网络配置生效： systemctl restart network 7. 确认网络配置是否已生效，您可以再次执行 ifconfig 或 ip addr show命令来查看修改后的网络配置。 如何处理CentOS 7系列扩展网卡无法ping通的问题？ 对于CentOS 7系列中扩展网卡无法ping通的问题，可以尝试以下解决方案： 1. 首先，确认您的CentOS 7版本是否为7.4及以下。如果是，那么可能会受到已知的内核问题影响。 2. 建议升级操作系统内核至CentOS 7.5版本或更高版本。您可以从操作系统官网下载CentOS 7.5的内核文件，并将其上传至物理机。 3. 执行以下命令以安装更新后的内核： yum install kernel3.10.0862.el7.x8664.rpm 说明 如果您在"/etc/fstab"中设置了自动挂载云硬盘，在执行内核更新前，需要先在"/etc/fstab"中注释掉相应的自动挂载项，以免在重新启动后无法正常进入操作系统。 4. 重新启动物理机，让新的内核生效。 5. 进入操作系统后，重新安装与CentOS 7.5版本对应的驱动程序，确保与扩展网卡的通信正常。

本节介绍了用户指南:云硬盘概述。 云容器引擎支持使用天翼云云硬盘存储卷。当前 cstorcsi 插件可提供云盘动态存储卷和静态存储卷功能，通过将云硬盘挂载至容器指定目录，实现数据持久化需求。 云硬盘挂载支持容器在同一可用区内迁移时，所挂载的云硬盘随之自动迁移。 通过挂载云硬盘，可将远端存储系统中的数据直接映射到容器内部。即使容器被删除，存储卷中的数据仍会保留在云硬盘中，确保数据的安全性与持久性。 使用限制 共享存储 非共享盘存储：仅支持单节点挂载，访问模式不可设置为 ReadWriteMany。 共享盘存储：支持多节点同时挂载，但卷模式仅限块设备（Block），不支持文件系统（Filesystem）。 卷模式与访问模式 卷模式 访问模式 Block ReadWriteOnce ReadWriteMany ReadOnlyMany Filesystem ReadWriteOnce 跨可用区 云硬盘不支持跨可用区挂载。当Pod重建时，会重新挂载原云盘。若由于其他限制无法调度到原可用区，则Pod将会处于Pending状态。 容量 单个数据盘最小容量10GB，最大容量为32TB，最小扩容容量为1GB，扩容步长为1GB。 挂载数量 单个节点允许挂载的数量受底层存储的限制，如有需要，请参照云硬盘产品文档。 节点类型 昇腾裸金属节点不支持挂载云盘。 磁盘模式 当前仅支持云硬盘磁盘模式为VBD。 云盘加密 暂不支持使用加密盘。 挂载应用类型 推荐使用有状态应用通过PVC模版方式挂载使用云盘。 无状态应用挂载使用云盘有诸多限制，比如当选择卷模式为Filesystem的存储卷时，无法为每个Pod配置独立的存储卷，所以要求Replica需要配置为1或者保证Pod均调度到同一节点上。此外，由于Deployment的升级策略，重启Pod时新的Pod可能一直无法挂载，故不推荐使用。 应用参数配置 创建工作负载时，如果配置了securityContext.fsgroup参数，kubelet在存储卷挂载完成后会执行chmod和chown操作，导致挂载时间延长。

功能 描述 全面日志采集 全面支持Syslog、SNMP、OPSec、XML、FTP及本地文件等协议，可以覆盖主流硬件设备、主机及应用，保障日志信息的全面收集。 实现信息资产（网络设备、安全设备、主机、应用及数据库）的日志获取，并通过预置的解析规则实现日志的解析、过滤及聚合。 同时可将收集的日志通过转发功能转发到其它网管平台。 大规模安全存储 内置TB级别存储设备，可以选配各种RAID级别进行数据冗余和安全保障。系统拥有多项自主知识产权的存储加密机制和查询机制，十分适合等保、密保等行业的应用要求。 智能关联分析 实现全维度、跨设备、细粒度关联分析，内置众多的关联规则，支持网络安全攻防检测、合规性检测，可轻松实现各资产间的关联分析。 脆弱性管理 能够收集和管理来自各种Web漏洞扫描工具、主机漏洞扫描工具、网络漏洞扫描工具产生的扫描结果，并实时和用户资产收到的攻击危险进行风险三维关联分析。 数据挖掘和数据预测 支持对历史日志数据进行数据挖掘分析，发现日志和事件间的潜在关联关系，并对挖掘结果进行可视化展示。系统自带多种数据统计预测算法，可以根据历史数据的规律对未来的数据发生情况进行有效预测。 可视化展示 实现对信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。 通过各种事件的归化处理，实现高性能的海量事件存储和检索优化功能，提供高速的事件检索能力。 事后的合规性统计分析处理，可对数据进行二次挖掘分析。 分布式部署和管理 平台支持分布式部署，可以在中心平台管理规则、配置策略自动分发、远程自动升级等，极大地降低了分布式部署的难度，提高了可管理性。 灵活的可扩展性 提供多种定制接口，实现强大的二次开发能力以及与第三方平台对接和扩展的能力。

本文介绍天翼云AOne会议接入相关问题。 如何加入AOne会议？ 您可以通过以下方式加入会议： 点击会议链接：在收到的会议邀请中点击链接，将跳转至客户端加入会议。 输入会议号：打开AOne会议客户端，点击“加入会议”后输入会议号即可加入会议。 加入会议是否需要下载客户端？ 不是必须的。AOne会议提供网页版功能，您可以使用Chrome、Edge、 Safari等主流浏览器输入AOne会议网址 会议密码是什么，是否必须输入？ 部分会议出于安全考虑会设置会议密码。此密码由会议创建者设定，通常包含在会议邀请信息中。 无需密码的情况：如果会议未设置密码，您可直接进入会议。 需要密码的情况：若会议设置了密码，您必须输入正确的密码才能加入。请注意：密码输入错误将导致无法入会。建议您仔细核对邀请信息或联系会议创建者确认密码。 为什么无法加入会议？ 无法加入会议通常有以下原因： 会议已取消或已结束。 您输入的会议号或使用的会议链接有误。 当前与会人数已达该会议设定的上限。 会议被锁定为“仅主持人邀请可加入”状态。 会议设置了“仅指定用户可加入”或“仅企业内用户可加入”的入会范围限制，且您不在被允许入会的范围内。 您的网络连接不稳定，或使用的客户端/浏览器版本过低。 建议尝试以下操作： 检查您的网络连接是否正常。 确认您输入的会议号准确无误，并确认会议开始时间。 会议锁定的情况下，可联系会议主持人主动邀请您入会或取消会议锁定。 因入会范围被拦截的情况下，可联系会议主持人将您添加至入会范围内。 将AOne会议客户端或浏览器升级至最新版本。 若问题仍未解决，请联系会议创建者寻求帮助。

2. 通过IAM用户控制资源访问 在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对NAT网关资源的访问。 2.1 操作步骤 2.1.1 创建IAM子用户 具体操作，请参见< 2.1.2 创建自定义策略 天翼云提供了访问NAT网关资源的系统策略，更多信息，请参见“1.2权限管理”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见< 策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。 细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。 策略版本号：Version，标识策略结构的版本号。目前为1.1. 策略授权语句：Statement，包括了基本元素：作用（Effect）和权限集（Action）。 作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。 授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。 a) 脚本配置策略示例一：为IAM子用户配置IPv6网关查看者权限, 以及vpc的部分查看权限（代表取所有值）。 b) 脚本配置策略示例二：为IAM子用户配置IPv6网关所有操作权限，以及vpc、ecs、dps、elb的部分操作权限（代表取所有值）

参数 说明 主机名称 自定义的主机资源名称，系统内“主机名称”不能重复。 协议类型 选择主机的协议类型。 主机地址 输入主机与云堡垒机网络通畅的IP地址 选择主机的EIP地址或私有IP地址，建议优先选择可用私有IP地址。 系统默认要求网络接口为主机的IPv4地址。主机开启IPv6地址后，可配置主机的IPv4或IPv6地址。 说明 因云堡垒机管理同一VPC网络下的主机资源，根据网络稳定性与就近优势。私有IP对外访问的端口不受网络安全（安全组和ACL）的限制。EIP为独立的弹性IP，对外访问的端口受网络安全限制，可能导致无法通过云堡垒机登录到主机。 故建议“主机地址”优先考虑配置同VPC网络下私有IP地址。 端口 输入主机的端口号。 系统类型 （可选）选择主机的操作系统类型或者设备系统类型。 默认不设置，后台根据资源系统类型匹配。 支持14种系统类型。 同时支持系统管理员admin自定义系统类型。 详情请参见自定义系统类型说明。 终端速度 “协议类型”选择“Rlogin”协议类型主机时，可选择不同终端速率。 编码 “协议类型”选择“SSH”、“TELNET”协议类型主机时，可选择运维界面中文编码。 可选择UTF8、Big5、GB18030。 终端类型 “协议类型”选择“SSH”、“TELNET”协议类型主机可选择运维终端类型。 可选择Linux、Xterm。 更多选项 （可选）选择配置“文件管理”、“X11转发”、“上行剪切板”、“下行剪切板”。 文件管理：仅SSH、RDP、VNC协议类型主机可配置。 剪切板：仅RDP协议类型主机可配置。 X11转发：仅SSH协议类型主机可配置。 所属部门 选择主机所属部门。 标签 （可选）自定义标签或选择已有标签。 主机描述 （可选）对主机的简要描述。

参数 参数类型 说明 示例 下级对象 id Long id vrfName String 专线网关ID vrfId String 专线网关名字 vpcId String vpc id vpcName String vpc名称 vpcCidr String vpc的网段 subnets String 子网信息 remoteConnectIp String 远端互联IP remoteConnectIpv6 String 远端互联IPv6 protectStatus Boolean 防护状态false;true syncStatus String 同步状态 add, delete, unchanged firewallId String 防火墙id firewallEdition String 防火墙版本号 cdaId String 物理专线id cdaName String 物理专线名称 endpoint Object 终端节点 GwlbeInfoVo

3. 安全组配置（Pm1） 入方向规则（UDP 4789）： 协议：UDP 端口：4789 策略：允许 操作步骤 步骤一：创建云上VPC环境 配置云专线需要做好云上VPC和本地数据中心的网段规划，具体操作步骤参见创建VPC 步骤二：开通云专线 1. 云专线的开通参见开通云专线。 2. 专线网关添加客户侧路由，点击专线网关名称，在客户侧路由页签下，点击添加路由，配置如下： IP类型：可选择IPv4、IPv6和双栈 客户侧子网段：客户侧子网网段 路由模式：静态或BGP 绑定入云物理专线，并设置物理专线优先级 3. 配置完成，点击确定，完成专线网关客户侧路由。 4. 专线网关添加VPC，点击专线网关名称，在VPC页签下，点击“添加VPC”，配置如下： VPC实例类型：同账号 VPC：在下拉框中选中已创建的VPC（VPC1） VPC ID：根据VPC名称自动生成 VPC网段：选择指定的VPC网段（10.1.0.0/16） 类型：可选择IPv4、IPv6和双栈 子网：选定VPC中的中转网段（10.1.1.0/24） 权重：表示当前专线网关到VPC侧路由的权重，多条路由的权重相等时采用负载均衡模式进行流量传输；某条路由的权重值越大，表示该路由优先级越高，可选择0100 5. 配置完成，点击确定，完成添加VPC。 6. VPC添加完成，客户侧子网将自动发布到VPC默认路由表中。下一跳为云专线网关，下一跳地址为专线网关名称，目的地址为客户侧子网网段。 7. 配置完成，点击确定，完成添加。

参数 参数类型 说明 示例 下级对象 regionID String 区域ID 81f7728662dd11ec810800155d307d5b azName String 可用区名称 az1 ID String 负载均衡ID lbxxx projectID String 项目ID 0 name String 名称 test description String 描述 desac vpcID String VPC ID subnetID String 子网ID subnetxxx portID String 负载均衡实例默认创建port ID portxxx privateIpAddress String 负载均衡实例的内网VIP 12.23.23.2 ipv6Address String 负载均衡实例的IPv6地址 2001:db8:85a3::8a2e:370:7334 eipInfo Array of Objects 弹性公网IP信息 eipInfo slaName String 规格名称 elb.default deleteProtection Boolean 删除保护。开启，不开启 true deleteProtectionReason String 删除保护原因 xxx modifyProtection Boolean 修改保护。开启，不开启 true modifyProtectionReason String 修改保护原因 xxx privateHostIPEnabled Integer VPC内地址转发功能 1 privateHostIPSubnetID String VPC内地址转发功能，后端子网ID subnetxxx privateHostIpv4s Array of Strings 通过ipv4地址访问负载均衡实例时，负载均衡实例访问后端主机组内主机时使用的源ip ["10.1.1.40"] privateHostIpv6s Array of Strings 通过ipv6地址访问负载均衡实例时，负载均衡实例访问后端主机组内主机时使用的源ip ["100:1:163:ba00:7934:cbce:f9a2:f76"] adminStatus String 管理状态: DOWN / ACTIVE DOWN status String 负载均衡状态: DOWN / ACTIVE DOWN resourceType String 负载均衡类型: external / internal internal createdTime String 创建时间，为UTC格式 20221003T09: 44: 22Z updatedTime String 更新时间，为UTC格式 20221003T09: 44: 22Z expiredTime String 到期时间，为UTC格式 20221003T09: 44: 22Z billingMethod String 计费方式 periodic gwEnabled Integer 是否启用IPv4/6网关引流 0 resourceID String 计费类资源ID xxx 表 eipInfo