检查备集群HBase服务状态 4.登录主集群FusionInsight Manager界面，选择“运维 > 告警 > 告警”。 5.在告警列表中单击该告警，从完整的告警信息中的“定位信息”处获得“主机名”。 6.以omm用户进入主集群HBase客户端所在节点。 如果集群采用了安全版本，要进行安全认证，然后使用hbase用户进入hbase shell界面。 cd /opt/Bigdata/client source ./bigdataenv kinit hbaseuser 7.执行 status 'replication', 'source' 命令查看故障节点的容灾同步状态。 节点的容灾同步状态如下： 101010153: SOURCE: PeerIDabc, SizeOfLogQueue0, ShippedBatches2, ShippedOps2, ShippedBytes320, LogReadInBytes1636, LogEditsRead5, LogEditsFiltered3, SizeOfLogToReplicate0, TimeForLogToReplicate0, ShippedHFiles0, SizeOfHFileRefsQueue0, AgeOfLastShippedOp0, TimeStampsOfLastShippedOpMon Jul 18 09:53:28 CST 2016, Replication Lag0, FailedReplicationAttempts0 SOURCE: PeerIDabc1, SizeOfLogQueue0, ShippedBatches1, ShippedOps1, ShippedBytes160, LogReadInBytes1636, LogEditsRead5, LogEditsFiltered3, SizeOfLogToReplicate0, TimeForLogToReplicate0, ShippedHFiles0, SizeOfHFileRefsQueue0, AgeOfLastShippedOp16788, TimeStampsOfLastShippedOpSat Jul 16 13:19:00 CST 2016, Replication Lag16788, FailedReplicationAttempts5 eOfLogToReplicate0, TimeForLogToReplicate0, ShippedHFiles0, SizeOfHFileRefsQueue0, AgeOfLastShippedOp0, TimeStampsOfLastShippedOpMon Jul 18 09:53:28 CST 2016, Replication Lag0, FailedReplicationAttempts0 SOURCE: PeerIDabc1, SizeOfLogQueue0, ShippedBatches1, ShippedOps1, ShippedBytes160, LogReadInBytes1636, LogEditsRead5, LogEditsFiltered3, SizeOfLogToReplicate0, TimeForLogToReplicate0, ShippedHFiles0, SizeOfHFileRefsQueue0, AgeOfLastShippedOp16788, TimeStampsOfLastShippedOpSat Jul 16 13:19:00 CST 2016, Replication Lag16788, FailedReplicationAttempts5 8.找到“FailedReplicationAttempts”的值大于0的记录所对应的“PeerID”值。 如上步骤中，故障节点“101010153”同步数据到“PeerID”为“abc1”的备集群失败。 9.继续执行listpeers命令，查找该“PeerID”对应的集群和HBase实例。 PEERID CLUSTERKEY STATE TABLECFS abc1 10.10.10.110,10.10.10.119,10.10.10.133:2181:/hbase2 ENABLED abc 10.10.10.110,10.10.10.119,10.10.10.133:2181:/hbase ENABLED 如上所示，/hbase2表示数据是同步到备集群的HBase2实例。 10.在备集群FusionInsight Manager的服务列表中，查看通过步骤9获取的HBase实例运行状态是否为“良好”。 是，执行步骤14。 否，执行步骤11。 11.在告警列表中，查看是否有“ALM19000 HBase服务不可用”告警产生。 是，执行步骤12。 否，执行步骤14。 12.参考“ALM19000 HBase服务不可用”的处理步骤处理该故障。 13.等待几分钟后检查本告警是否恢复。 是，处理完毕。 否，执行步骤14。

DHCP选项名称 描述 域名 云主机实例的主机名后缀，例如ctyun.cn。 DNS域名服务器IP 域名服务器IP。默认使用114.114.114.114、8.8.8.8，部分资源池已经默认使用100.95.0.1，实际情况以控制台展示为准。如果您的业务有特殊需求，您可以自定义指定服务器IP，您最多可以指定4个域名服务器IP。 说明：您需要在安全组和网络ACL（如有）中添加允许访问自定义域名服务器IP的规则，否则可能导致无法解析私有服务。 一般情况下，当配置了多个DNS 服务器时，操作系统通常会按照顺序查询这些服务器来解析域名。它会首先向第一个 DNS 服务器发送请求，如果在第一个服务器上找不到相应的域名解析结果（即没有相应的IP地址），那么系统会继续向下一个 DNS 服务器发送请求，直到找到对应的 IP 地址或者遍历完所有的 DNS 服务器。

物理机提供性能卓越、稳定、安全、便捷的高性能计算服务，可满足多种高性能计算需求，同时避免虚拟化带来的性能损耗，提升计算效率和结果精确性。 规格名称 CPU 内存（GB） 处理器 处理器主频（GHz） 本地磁盘 内网带宽（Gbps） 是否支持挂载云硬盘 physical.s5.2xlarge1 2路28核 512 Intel 6348 2.6 无 25 支持 physical.s5.2xlarge4 2路28核 512 Intel 6348 2.6 系统盘：2480GB（SSD）数据盘：2 3200GB（NVMeSSD） 50 不支持 physical.s5.2xlarge5 2路32核 512 Intel 8378A 3.0 系统盘：2480GB（SSD）数据盘：2 3200GB（NVMeSSD） 50 不支持 physical.s6.2xlarge1.2 2路52核 1024 Intel 8566C 2.6 系统盘：2480GB（SSD）数据盘：2 3200GB（NVMeSSD） 100 不支持 physical.s6a.3xlarge1 2路64核 1536 AMD EPYC 9A84 3.4 系统盘：2480GB（SSD）数据盘：2 3840GB（NVMeSSD） 225 不支持

本节介绍了 通过DAS连接Microsoft SQL Server实例（推荐）的相关内容。 操作场景 通过数据管理服务（Data Admin Service，简称DAS）这款可视化的专业数据库管理工具，可获得执行SQL、高级数据库管理、智能化运维等功能，做到易用、安全、智能的管理数据库。关系型数据库服务默认开通DAS连接权限。推荐使用DAS连接实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，在操作列单击“登录”，进入数据管理服务实例登录界面。 您也可以在“实例管理”页面，单击目标实例名称，进入基本信息页面，在页面右上角单击“登录”，进入数据管理服务实例登录界面。 步骤 5 正确输入数据库用户名和密码，单击“登录”，即可进入您的数据库并进行管理。 结束

本章节介绍了云服务备份产品CBR的用户权限管理。 如果您需要对创建的CBR资源，设置不同的访问权限，以达到不同用户之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 系统默认提供两种用户权限：用户管理权限和资源管理权限。 用户管理权限可以管理用户、用户组及用户组的权限。 资源管理权限可以控制用户对云服务资源执行的操作。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有CBR的使用权限，但是不希望他们拥有删除CBR等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CBR，但是不允许删除CBR的权限策略，控制他们对CBR资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CBR服务的其它功能。 IAM是天翼云提供权限管理的基础服务，关于IAM的详细介绍，请参见IAM产品帮助中心。 CBR权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CBR部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CBR时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下表所示，包括了CBR的所有系统权限。 表 CBR系统权限 策略名称 描述 策略类别 CBR FullAccess 云备份管理员权限，拥有该权限的用户可以操作并使用所有存储库、备份和策略。 系统策略 CBR BackupsAndVaultsFullAccess 云备份普通用户权限，拥有该权限的用户可以创建、查看和删除存储库和备份等，无法创建、更新和删除策略。 系统策略 CBR ReadOnlyAccess 云备份只读权限，拥有该权限的用户仅能查看云备份数据。 系统策略 下表列出了CBR常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统策略的关系 操作 CBR FullAccess CBR BackupsAndVaultsFullAccess CBR ReadOnlyAccess 查询存储库 √ √ √ 创建存储库 √ √ × 列举存储库 √ √ √ 更新存储库 √ √ × 删除存储库 √ √ × 绑定资源 √ √ × 解绑资源 √ √ × 创建策略 √ × × 更新策略 √ × × 绑定策略 √ √ × 解绑策略 √ √ × 删除策略 √ × × 执行备份 √ √ × 更新订单 √ √ × 查询agent状态 √ √ × 删除备份 √ √ × 使用备份恢复数据 √ √ × 挂载存储库 √ √ × 批量添加删除存储库标签 √ √ × 添加存储库标签 √ √ × 修改标签 √ √ ×

本文主要介绍分布式消息服务RabbitMQ的权限管理。 如果您需要对云服务平台上购买的DMS for RabbitMQ资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DMS for RabbitMQ的使用权限，但是不希望他们拥有删除RabbitMQ实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DMS for RabbitMQ，但是不允许删除RabbitMQ实例的权限策略，控制他们对DMS for RabbitMQ资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DMS for RabbitMQ服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 DMS for RabbitMQ权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DMS for RabbitMQ部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DMS for RabbitMQ时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DMS for RabbitMQ服务，管理员能够控制IAM用户仅能对实例进行指定的管理操作。 说明 DMS for RabbitMQ的权限与策略基于分布式消息服务DMS，因此在IAM服务中为RabbitMQ分配用户与权限时，请选择并使用“DMS”的权限与策略。 如表1所示，包括了DMS for RabbitMQ的所有系统权限。 表1 DMS for RabbitMQ系统权限 系统角色/策略名称 描述 类别 依赖关系 DMS FullAccess 分布式消息服务管理员权限，拥有该权限的用户可以操作所有分布式消息服务的功能。 系统策略 无 DMS UserAccess 分布式消息服务普通用户权限（没有实例创建、修改、删除、扩容）。 系统策略 无 DMS ReadOnlyAccess 分布式消息服务的只读权限，拥有该权限的用户仅能查看分布式消息服务数据。 系统策略 无 DMS Administrator 分布式消息服务的管理员权限。 系统角色 依赖Tenant Guest和VPC Administrator。 表2列出了DMS for RabbitMQ常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表2 常用操作与系统策略的关系 操作 DMS FullAccess DMS UserAccess DMS ReadOnlyAccess 创建实例 √ × × 按需转包周期 √ × × 修改实例 √ × × 删除实例 √ × × 变更实例规格 √ × × 重启实例 √ √ × 查询实例信息 √ √ √

本文带您了解什么是AI Store。 天翼云AI Store依托息壤一站式智算服务平台能力，提供全栈AI产品的聚合服务，集成强大的算力、丰富的模型、多样化的应用生态，实现一站式体验和采购，满足不同行业的业务需求，助力产业智能化升级。 功能模块 算力市场：弹性、高效、经济的AI算力服务，满足用户在不同场景下的算力需求。 模型市场：主流大模型在线体验，提供标准化API接口，支持高并发、低时延推理。 应用市场：汇聚多元应用，包括公有云一键部署的应用，以及私有化交付部署的应用。 公有云应用包括OpenClaw、Dify、Ragflow、McpServers等应用，支持一键部署，简化应用的安装和配置，轻松上手。 私有化应用包括无忧智慧公文、一站式AI智能体开发平台，提供线下私有化部署，满足安全、独享需求。 产品架构

禁用 AccessKey 当 AccessKey 暂时不再使用、疑似泄露或需要暂停某个任务时，可以先禁用 AccessKey。禁用后，使用该 AccessKey 的 SDK 或 MCP 调用将无法继续通过鉴权。 启用 AccessKey 确认 AccessKey 可继续使用后，可以在控制台重新启用。启用前建议确认该 AccessKey 的关联云电脑范围仍符合当前权限要求。 删除 AccessKey 删除 AccessKey 前，建议先完成以下检查： 已确认没有线上任务继续使用该 AccessKey。 已完成替换密钥或停用相关任务。 已保存必要的变更记录。 删除操作生效后，原 AccessKey 无法恢复，请谨慎操作。 安全建议 不要将 AccessKey Secret 写入客户端或前端代码。 不要在日志中输出完整 Secret。 不要多人共用同一 AccessKey 处理不同项目。 定期检查 AccessKey 列表，清理长期不使用的密钥。 生产环境建议建立密钥轮换机制，并在轮换前完成业务配置切换。

本章节介绍云原生网关的审计日志功能 概述 您可以在云原生网关控制台上查看审计日志。如果当前帐号为主帐号，则可以查询当前帐号及其所有子账号在控制台上的操作日志；如果当前帐号为某个主账号下的子账号，则可以查询该子账号在控制台的操作日志。审计日志用于收集云原生网关实例的相关操作日志，记录资源的变动情况。其中资源主要包括实例、安全认证、路由、服务、服务来源、插件、应用管理、域名、ELB和观测分析。变动情况包括增加、删除和修改。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表。 3. 在左侧导航栏，选择审计日志。 4. 可选择开始结束时间，资源类型，操作类型，操作人，操作详情进行过滤。

本文主要介绍与其他服务的关系 容器镜像服务需要与其他云服务协同工作，容器镜像服务和其他云服务的关系如下图： 云容器引擎 云容器引擎（Cloud Container Engine，简称CCE）提供高可靠高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，简化云上自动化容器运行环境搭建。 容器镜像服务能无缝对接CCE，您可以将容器镜像服务中的镜像部署到CCE中。 云审计服务 云审计服务（Cloud Trace Service，简称CTS）为您提供云服务资源的操作记录，记录内容包括您从公有云管理控制台或者开放API发起的的云服务资源操作请求以及每次请求的结果，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过CTS，您可以记录与容器镜像服务相关的操作事件，便于日后的查询、审计和回溯。

共享前缀列表权限说明 共享前缀列表后， 使用者权限： 查看前缀列表及其条目，可以通过所有者列的标识判断来自共享的前缀列表。 不能操作前缀列表，包括不能修改前缀列表、增删改前缀列表条目、删除前缀列表。 在自身资源中可以引用该前缀列表，例如在自己账号下的安全组中引用共享前缀列表。 所有者权限： 查看引用了前缀列表的使用者的资源，但无法操作。 所有者不能删除已被使用者资源引用的前缀列表。 所有者更新了前缀列表后，引用该前缀列表的资源都会更新。 取消共享前缀列表后： 如果前缀列表已被使用者的资源引用：这些引用将继续正常运行，但取消引用关系后无法再次引用。 未被引用：使用者无法再查看原来共享给自己的前缀列表及前缀列表条目，也无法在其资源中引用。

本小节介绍态势感知订购态势感知操作方法。 通过天翼云控制中心下的安全选项下的态势感知进入订购态势感知授权页面，订购页面如下，填写对应的信息。 串联部署网络配置的场景： 场景 A：态势网关作为网络出口，直挂业务主机（网关主备监控同公网IP下资产） 场景 B：态势网关下挂负载均衡（网关主备监控1资产） 场景 C：态势网关下挂云防火墙（网关主备监控1资产） 场景 D：态势网关上挂云防火墙（多资产监控） 旁路部署网络配置的场景： 使用天翼云平台的流量镜像功能引流，不涉及网络割接，只需开通态势感知控制端（多资产监控） 在订购完成后会有态势感知技术人员联系对接网络配置，请确保联系方式顺畅。

任务状态 用于展示数据导入任务的状态、执行时间和当前进度，状态包括已创建、执行成功、执行中、执行失败四种状态。当任务执行失败时，可在这里查看失败原因。 用户点击执行日志，可查看当前任务的日志输出。执行日志保存有效期为7天。 预检查 用于展示数据导入工单的预检查详情，包括连接检查、权限检查。如选择了“安全模式”，还可能有SQL风险检查、SQL规范检查（导入工单的SQL审核结果保留最多7天）。 审批流程 用于展示数据导入工单的审批流程详情。当组织处于基础版时，用户提交的数据导入工单会触发数据导入任务直接执行，不会经过审批流程，所以没有需要展示的审批流程信息；当组织处于企业版时，用户提交的数据导入工单在通过预定的审批流程之后，才会执行数据导入任务，所以会展示具体的审批流程信息。

本文介绍数据库管理服务为云数据库开启数据库审计功能，帮助您追溯历史所有数据库操作记录，满足您的安全审计需求。 前提条件 用户已录入MySQL、DDS、PostgreSQL与SQL Server类型的云数据库实例。 MySQL、PostgreSQL与SQL Server数据库资源池支持：西南1、华东1、上海36、华北2、长沙42、华南2、南昌5、青岛20、西安7、杭州7。 DDS数据库资源池支持：华东1、上海36、西南1、华北2、华南2。 注意事项 审计日志保留天数默认为1天，可设置范围为1~3天。 开启/关闭数据库审计 平台提供了多种开启/关闭数据库审计的途径： 在左侧导航栏中，单击 数据资产 > 实例管理 ，找到目标实例，在数据库审计列，单击开关按钮进行开启或关闭审计功能。 在左侧导航栏中，单击SQL治理 >SQL审计 ，点击页面的开启审计日志按钮选择目标实例开启审计日志功能。

本节为您介绍如何查看预定义服务组。 云防火墙为您提供预定义服务组，包括“常用Web服务”、“常用数据库”和“常用远程登录和ping”，适用于防护Web、数据库和服务器。 预定义服务组仅支持查看，不支持添加、修改、删除操作。 查看预定义服务组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 切换至“服务组”页签，选择“预定义服务组”页签，单击目标服务组的名称，进入详细信息页面，查看服务组信息。

本节介绍如何删除域名组。 约束条件 被防护规则引用的域名组不支持删除，需优先调整/删除对应规则。 删除域名组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全 > 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制 > 对象组管理”，进入“对象组管理”界面。 5. （可选）如删除网络域名组，则选择“网络域名组”页签。 6. 切换至“域名组”页签，单击待删除的“操作”列的“删除”，在弹出的确认框中，输入“DELETE”，单击“确定”，完成删除。 注意 删除域名组后无法恢复，请谨慎操作。

本文介绍使用专属云（计算独享型）过程中涉及相关产品的基本概念，方便您查询和了解相关概念。 云主机 专属云（计算独享型）产品提供物理隔离的公有云虚拟化环境，在已购买的专属云中可创建云主机来部署应用服务。 云硬盘 专属云（计算独享型）产品中，云主机使用的云硬盘为公有云中的云硬盘，类型包括普通IO、高IO、超高IO三种类型。这三种类型跟公有云云硬盘产品规格参数保持一致。若您同时购买了专属云（存储独享型）产品，创建的云硬盘为物理独享的云硬盘，具体云硬盘类型取决于购买类型。 虚拟私有云 虚拟私有云是通过逻辑方式为您提供一个完全隔离的网络环境。您可以在VPC中定义与传统网络无差别的子网，同时提供弹性IP、安全组、带宽、VPN等网络服务。

服务名称 交互功能 虚拟私有云（Virtual Private Cloud, VPC） 您可以将VPC接入企业路由器，快速打通云上网络，尤其对于多个VPC互通的组网，免去大量的对等连接配置。 统一身份认证服务（Identity and Access Management, IAM） 针对位于公有云上的企业路由器资源，您可以通过IAM进行精细的权限管理，即为不同的用户设置不同的使用权限，权限管理有助于实现资源的安全管控。 云监控（Cloud Eye） 使用云监控可以监控企业路由器实例以及企业路由器连接的网络情况，并对异常进行报警，保证业务的顺畅运行。 云审计服务（Cloud Trace Service, CTS） 使用云审计服务可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 云防火墙（Cloud Firewall，CFW） 您可以通过企业路由器、虚拟私有云VPC和云防火墙构建组网，实现云上VPC间的流量防护。

本章节主要介绍了什么是物理机和物理机产品架构,以及与自建物理机、云主机的功能对比。 天翼云物理机服务（CTDPS，Dedicated Physical Server）是一款兼具弹性云主机和物理机性能的计算类服务，为您及您的企业提供专属独享的物理机服务，为核心数据库、关键应用系统、高性能计算、大数据等业务提供卓越的计算性能以及数据安全，满足核心应用对高性能及稳定性的需求。同时，可实现与弹性云主机混合组网，为用户提供灵活的业务部署方案。 产品架构 天翼云物理机通过和其他服务组合，可以实现计算、存储、网络、镜像安装等功能： 在不同可用区中部署（可用区之间通过内网连接）物理机，部分可用区发生故障后不会影响同一区域内的其他可用区。 可以通过虚拟私有云建立专属的网络环境，设置子网、安全组，并通过弹性公网IP实现外网链接。 通过镜像服务，可以对物理机安装镜像，也可以通过私有镜像批量创建物理机，实现快速部署业务。 通过云硬盘服务实现数据存储，并通过云硬盘备份服务实现数据的备份和恢复。 云监控是保持物理机服务器可靠性、可用性和性能的重要部分，通过云监控，用户可以观察物理机服务器资源。 云备份提供对云硬盘和物理机的备份保护服务，支持基于快照技术的备份服务，并支持利用备份数据恢复服务器和磁盘的数据。

本文主要介绍如何查看弹性网卡基本信息。 操作场景 您可以在控制台查看您所拥有的弹性网卡基本信息，包括名称、ID、类型、所属VPC、绑定的实例及关联的安全组等信息。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在弹性网卡列表页，单击需要查看详情的弹性网卡名称。 其他操作 在弹性网卡详情页可以修改以下信息： 根据页面提示修改弹性网卡名称、服务地址信息、绑定解绑实例等。 设置中止时删除功能： 关闭：系统默认关闭中止时删除功能，当弹性网卡与对应实例解绑，或对应实例被删除时，弹性网卡不会被同步删除，您可以将该弹性网卡绑定至其他实例。 开启：中止时删除功能开启时，解绑实例后将默认删除弹性网卡。

本节介绍了测试连通相关问题与处理方法。 场景排查 1. 排查安全组规则。 2. 排查网络ACL。 3. 排查弹性云主机内部网卡信息。 4. 排查不通端口。 解决方案 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，单击目标实例名称，进入“基本信息”页面，在“连接信息”模块查看TaurusDB实例的虚拟私有云。 步骤 5 查看加入分布式事务的TaurusDB或ECS是否有相同VPC。 相同，请查看《虚拟私有云用户指南》中的连接类常见问题排查。 不相同 公网访问：需要通过EIP建立连接。请参考绑定弹性IP为TaurusDB实例绑定EIP。 内网访问：为两个不同的虚拟私有云建立对等连接，实现内网互通。 将ECS的虚拟私有云切换为与TaurusDB相同的虚拟私有云。

查看权限详情 点击权限列表中某个资源的“详情”按钮后，弹出数据权限详情对话框，可以查看用户拥有该资源的权限详情。 对话框上方展示了该资源的基本信息。 对话框下方展示了用户拥有该资源的哪些权限，列表的信息字段及说明如下： 信息字段 说明 权限 权限的类型，包括查询、DDL、DML、DCL、导出、导入 权限获取方式 权限的来源，分为数据权限工单、某个用户授权 开通时间 权限开通的时间 到期时间 权限到期的时间，权限到期后会自动失效并删除 所有权限按照到期时间从早到晚排序，第一条权限即最近到期的权限。 申请数据权限 点击页面上方的“申请数据权限”按钮，即可进入申请数据权限页面。申请数据权限的具体操作流程参考申请数据权限。 数据权限工单 点击页面上方的“权限工单”按钮，即可进入 安全协作 > 工单列表 > 权限申请工单工单页面，查看用户提交的数据权限工单。

本文主要介绍调试事务 新增或修改事务后，可通过调试快速发现语法或配置错误。 前提条件 确保资源组状态为“运行中”。 确保资源组的调试节点上的32001和32002端口在安全组被开启。 确保资源组的调试节点和被压测的应用之间网络互通。 操作步骤 1、 登录性能测试控制台，在左侧导航栏中选择“测试工程”。 2、在待编辑性能测试测试工程所在行，单击编辑事务库。 3、在“事务库”页签中，单击待调试事务后的“调试”。 4、在弹出的对话框中，选择资源组后单击“启动调试”。 5、在“调试日志”页签，查看调试的操作日志。 6、调试完成后，在“结果”页签，查看事务调试的具体内容。 如果调试结果报错，可根据错误日志信息，修改相应的事务请求信息，重新进行调试。

本节介绍如何获取网站cookie值。 如果您的网站除了需要账号密码登录，还有其他的访问机制（例如，需要输入动态验证码），则建议您设置cookie登录方式进行网站漏洞扫描，以便VSS能为您发现更多安全问题。 设置cookie登录方式时需要输入网站的cookie值。 说明 获取cookie值后，在创建扫描任务时，请您保持网站的登录状态，以免cookie失效。 以Google Chrome浏览器为例说明，获取网站（例如，www.example.com）的cookie值的步骤如下： 1. 打开Google Chrome浏览器。 2. 按“F12”，进入浏览器的开发者模式。 3. 在地址栏中输入目标网站地址“www.example.com”。 4. 在调试页面中，选择“Network > XHR” ，如下图所示。 5. 在左侧导航树中，选择一个http请求。 6. 在“Headers”页面的“Request Headers”区域框，获取当前网站页面的“Cookie”字段值。

本节介绍删除/批量删除应急策略。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防> 策略管理”，进入策略管理页面后选择“策略视图”页签，进入应急策略策略管理页面。 5. 在应急策略管理页面的“策略视图”界面，单击待删除策略所在行“操作”列的“删除”。 6. 如果需要删除多条策略，可以在策略列表中勾选需要删除的策略，并单击列表上方“批量删除”。 7. 在弹出的删除确认框中，确认无误后单击“确定”。操作完成后，参考查看策略，界面无已经删除的策略信息则表示删除策略执行成功。

使用限制 限制内容 限制 单实例系统盘数量 1块 单实例数据盘数量 23块 单块数据盘容量 10GB~32TB，其中1GB 10亿Byte，1TB1万亿Byte，格式化之后的实际容量可能较小 单共享盘挂载实例数量 16台 未挂载实例云盘数量 20块 储存安全 读写稳定性 在同一集群中，您的业务数据以三副本的形式分布存储在集群中，保证读写过程中的数据稳定性。 数据备份 支持使用手动创建或自动创建快照，保护云盘历史数据。同时支持采用虚拟机备份和云盘备份来保护数据，备份需额外购买对象储存资源来存放数据。 数据删除 您删除的数据将无法找回，分布式存储系统中已删除的数据会被完全擦除，如想找回建议提前创建快照。当您释放云盘时，存储系统会销毁源数据，所有数据将无法找回，该云盘对应的物理存储空间会被回收。

SQL设计 查询时指定返回需要的字段，不要返回用不到的字段。 查询或比较字段是否为NULL时，只能使用IS NULL或IS NOT NULL条件。 查询条件中，尽量使用NOT EXISTS替代NOT IN。 聚合数据时，尽量使用UNION ALL代替UNION。 删除数据时，尽量使用TRUNCATE代替全表DELETE。 分批提交大事务中对数据的修改，防止事务提交或回滚时压力集中。 创建函数时，应该定义函数易变性分类为对它们合法的分类中最严格的种类，而不是选择默认的VOLATILE。VOLATILE类函数调用并发过高可能导致新连接无法接入。 安全 禁止将应用数据库对象所有者赋予“public”，必须赋予某个特定角色。 数据库密码应具备一定复杂度，禁止使用简单密码。 应该为每个业务分配不同的数据库账号，禁止多个业务共用一个数据库帐号。 访问对象时，显式指定对象所在的模式，避免误访问到其他模式下的同名对象。

1、在新域名服务产品界面，点击“控制台”，进入到域名管理界面，找到需要解析的域名。 2、对需要解析的域名点击“域名解析” 3、在域名解析界面，点击“新增解析” 4、在新增解析界面，选择解析记录类型以及对应的相关内容，点击“提交”。即可完成域名的解析。 备注： 域名解析不得超过20条。 记录类型说明： A记录：将域名指向一个IPv4地址（例如：10.10.10.10）需要增加A记录。 NS记录：域名解析服务器记录，如果要将子域名指定某个域名服务器来解析，需要设置NS记录。 CNAME记录：如果将域名指向一个域名，实现与被指向域名相同的访问效果，需要增加CNAME记录。 MX记录：建立电子邮箱服务，将指向邮件服务器地址，需要设置MX记录。 TXT记录：可任意填写（可为空），通常用作SPF记录（反垃圾）邮件使用。 AAAA记录：用来指定主机名（或域名）对应的IPv6地址（例如：ff06:0:0:0:0:0:0:c3）记录 。 SRV记录：记录格式为优先级权重端口目标地址，每项中间需以空格分隔。例如"0 5 5060 sipserver.example.com"。 URL转发：将域名指向一个http协议地址，访问域名时，自动跳转到目标地址。若显示则访问时直接显示真实的目标地址，若显示隐藏则访问时会隐藏真实的目标地址。（仅中文域名可做URL转发类型的解析。）

本页介绍天翼云TeleDB数据库安全认证相关参数。 authenticationtimeout (integer) 完成客户端认证的最长时间，以秒计。如果一个客户端没有在这段时间里完成认证协议，服务器将关闭连接。这样就避免了出问题的客户端无限制地占有一个连接。默认值是1分钟（1m）。这个参数只能在服务器命令行上或者在postgresql.conf文件中设置。 ssl (boolean) 启用SSL连接。这个选项只能在postgresql.conf文件或服务器命令行上设置。默认是off。 sslcafile (string) 指定包含SSL 服务器证书颁发机构（CA）的文件名。 相对路径是相对于数据目录。该参数只能在postgresql.conf 文件或服务器命令行上设置。默认值为空，表示不载入 CA 文件， 并且不执行客户端证书验证。 sslcertfile (string) 指定包含SSL 服务器证书的文件名。相对路径是相对于数据目录的。 这个参数只能在postgresql.conf文件或服务器命令行上设置。 默认值是server.crt。 sslcrlfile (string) 指定包含SSL 服务器证书撤销列表（CRL）的文件名。 相对路径是相对于数据目录。这个参数只能在postgresql.conf 文件中或服务器命令行上设置。默认值为空，意味着不载入 CRL 文件。相对路径是相对于数据目录。这个参数只能在服务器启动时设置。 sslkeyfile (string) 指定包含SSL 服务器私钥的文件名。 相对路径是相对于数据目录。这个参数只能在postgresql.conf 文件中或服务器命令行上设置。默认值为server.key。 sslciphers (string) 指定一个SSL密码列表，用于安全连接。 这个设置的语法和所支持的值列表可以 参见OpenSSL包中的 ciphers手册页。 这个参数只能在postgresql.conf 文件中或服务器命令行上设置。默认值是 HIGH:MEDIUM:+3DES:!aNULL。默认值通常是合理的选择， 除非你有特别的安全性需求。默认值的解释：HIGH使用来自HIGH组的密码的密码组（例如 AES, Camellia, 3DES）MEDIUM使用来自MEDIUM组的密码的密码组（例如 RC4, SEED）+3DESOpenSSL 对HIGH的默认排序是有问题的，因为它认为 3DES 比 AES128 更高。这是错误的，因为 3DES 提供的安全性比 AES128 低，并且它也更加慢。 +3DES把它重新排序在所有其他HIGH和 MEDIUM密码之后。!aNULL禁用不做认证的匿名密码组。这类密码组容易收到中间人攻击，因此不应被使用。可用的密码组细节可能会随着 OpenSSL 版本变化。可使用命令 openssl ciphers v 'HIGH:MEDIUM:+3DES:!aNULL'来查看 当前安装的OpenSSL版本的实际细节。注意这个列表是根据服务器密钥类型 在运行时过滤过的。

查看并处理Access Key泄露检测事件的方式方法 数据安全中心DSC可以检测git代码库中包含访问密钥ID（AK）和秘密访问密钥（SK）的访问密钥泄露，并将检测结果在列表中展示。您可根据需要对异常事件进行查看和处理。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据风险检测 > Access Key泄漏检测”，进入“Access Key泄露检测”页面。 Access Key泄露检测参数列表： 参数名称 参数说明 Access Key ID 访问密钥ID。 可单击“去Access Key管理”，管理（创建、编辑、启用/停用、删除）访问密钥。 情报来源 该Access Key泄露检测事件的来源。如github。 受影响账户 该Access Key泄露检测事件可能会影响到的帐户。 泄露类型 Accesskey 首次发现时间 首次爬取到该泄露事件的时间。 处理状态 根据事件详情对事件进行判断和处理后，有以下状态： 待处理：还未处理。 已处理（已手动删除）：已登录GitHub手动删除/隐藏已泄露的Access Key及相关内容。 已处理（已手动禁用）：已进入Access Key控制台，禁用并重置Access Key（或直接删除）。 已处理（加入白名单）：该事件加入白名单后，该Access Key在相同源链接中再次出现时，将不再进行告警，请慎重选择。 4. 在目标事件的“操作”列，单击“查看”，可查看“Access Key泄露详情”、“代码片段”、“相关推荐”。 5. 可根据事件的推荐策略，对事件进行处理。并在目标事件的“操作”列，单击“处理”。 6. 在弹出的对话框，选择“处理方式”，并单击“确定”。 处理方式为： 手动删除：已登录GitHub手动删除或隐藏已泄露的Access Key及相关内容。 禁用Access Key：已进入Access Key控制台，禁用并重置Access Key（或直接删除）。 加入白名单：该事件不存在风险，不进行处理，加入白名单后，该Access Key在相同源链接中再次出现时，将不再进行告警。

本文为您介绍如何设置SSL数据加密，提升实例连接的安全性。 注意 仅V5.1.9.6020.2531及以后版本的实例，支持该功能。 前提条件 实例状态为运行中。 背景信息 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 认证用户和服务器，确保数据发送到正确的客户端和服务器。 加密数据以防止数据中途被窃取。 维护数据的完整性，确保数据在传输过程中不被改变。 开启SSL加密 在使用SSL加密功能前，您需要开启SSL加密，操作步骤如下： 注意 开启SSL后，您需要手动重启全部节点，才能生效。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 在左侧目录单击数据库安全 ，然后单击连接加密页签，进入SSL加密管理页面。 5. 单击SSL设置。 6. 在SSL设置 对话框中，打开SSL链路加密 开关，并配置验证模式。 标准模式：仅开启SSL加密但不使用SSL自带的二次验证，主要兼容历史应用系统配置。 CA模式：需要下载CA证书并上传客户端进行验证，CA证书存在有效期（默认为10年）需定期更换。 7. 单击提交。 如果您不再需要使用SSL加密，只需在SSL设置 对话框中，关闭SSL链路加密开关即可。 8. 如果您的SSL加密验证模式 为CA模式，则您还需要在控制台下载自动生成的SSL自签名证书包。 在SSL加密管理页面，单击CA证书 参数右侧的下载证书，系统自动下载证书包（包含ca、server和client证书），请妥善保存。 注意 证书默认有效期为10年，您可以根据实际情况，单击证书到期时间 参数右侧的重新生成证书，重新生成证书并下载到本地。

功能配置相关 花卷慧办客户端如何快速查看或导出日志？ 客户端异常时将获取错误情况进行上报，主动并实时关注客户端情况，同时终端用户使用花卷慧办客户端的导出功能：右键点击客户端图标，弹出托盘，通过“日志>导出日志”菜单即可导出客户端日志。 GUI日志：主要是页面交互相关若出现问题可查看。 Client日志：主要针对客户端引擎相关问题可查看。 客户端打开后要求输入的企业标识如何获取？ 企业认证标识是登录客户端的重要凭证，建议采用自身公司身份相关的进行定义。 可登录花卷慧办控制台企业服务进行获取。 问题故障分析 客户端短信验证码收不到如何解决？ 若您选择将手机号直接设置为登录账号，发送账号新增通知时，短信会携带手机号则短信存在被运营商拦截的风险，可能导致您无法正常接收。这是因为运营商为防范诈骗风险，会对含 "手机号”的短信进行严格校验，易触发拦截规则。 其他情况下若未收到短信，您可按以下方式排查： 检查平台手机号填写准确性，若填写错误可修正后尝试； 检查手机系统的「骚扰拦截箱」或「垃圾短信箱」（如华为手机在【安全中心 骚扰拦截】中查看，小米手机在【手机管家 骚扰拦截】中查询）； 查看第三方安全软件（如手机管家）的拦截记录，确认是否存在误拦截情况； 联系手机号所属运营商（移动 10086 / 联通 10010 / 电信 10000）查询短信发送状态。