操作场景 在不影响业务的情况下，通过容灾演练，模拟真实故障恢复场景，制定应急恢复预案，检验容灾方案的适用性、有效性。当真实故障发生时，通过预案快速恢复，提高业务连续性。 存储容灾服务提供的容灾演练功能，在容灾演练VPC（该VPC不能与容灾站点服务器所属VPC相同）内执行容灾演练，基于容灾站点服务器的磁盘快照，快速创建容灾演练服务器。 说明 当容灾演练服务器创建完成后，生产站点服务器和容灾演练服务器同时独立运行，数据不再实时同步。 为保证在灾难发生时，容灾切换能够正常进行，建议您定期做容灾演练。 使用须知 创建容灾演练时，如果保护组内的生产站点服务器加入了企业项目，容灾演练创建的演练服务器不会自动加入到企业项目，如有需要请手动将演练服务器加入到企业项目。 创建容灾演练时，如果生产站点服务器为Linux云服务器且为密钥方式登录，创建容灾演练后，创建的容灾演练服务器详情不显示密钥对信息，但可以使用容灾站点服务器的密钥对登录容灾演练的服务器。 创建容灾演练成功后，生产站点服务器中的“主机名”、“名称”、“委托”、“云服务器组”、“自动恢复”、“安全组”和“标签”配置项修改不会再自动同步到演练服务器上。您可以登录控制台，手动将这些配置项的修改添加到演练服务器上。 容灾演练操作只在容灾演练服务器配置主网卡，如果生产站点有从网卡，容灾演练不会自动配置，需要在容灾演练服务器详情页面手工绑定从网卡。

本章节主要介绍 ALM12005 OKerberos资源异常 。 告警解释 告警模块对Manager中的Kerberos资源的状态按80秒周期进行监控，当连续6次监控到Kerberos资源异常时，系统产生此告警。 当Kerberos资源恢复时，且告警处理完成时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12005 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Manager中的Kerberos资源异常，组件WebUI认证服务不可用，无法对Web上层服务提供安全认证功能，可能引起无法登录FusionInsight Manager和组件的WebUI。 可能原因 Okerberos依赖的OLdap资源异常。 处理步骤 检查Manager中的OKerberos依赖的OLdap资源是否异常 1.以omm用户登录到集群中Manager所在节点主机。 通过登录FusionInsight Manager浮动IP节点，执行sh ${BIGDATAHOME}/omserver/om/sbin/statusoms.sh脚本来查看当前Manager的双机信息。 2.执行 sh ${BIGDATAHOME}/omserver/OMS/workspace0/ha/module/hacom/script/statusha.sh ，查询当前HA管理的OLdap资源状态是否正常（单机模式下面，OLdap资源为Activenormal状态；双机模式下，OLdap资源在主节点为Activenormal状态，在备节点为Standbynormal状态。）。 是，执行步骤4。 否，执行步骤3。 3.参考ALM12004OLdap资源异常的处理步骤进行处理，OLdap资源状态恢复后，观察当前OKerberos资源状态是否恢复正常。 是，操作结束。 否，执行步骤4。

本小节介绍漏洞扫描售前类常见问题。 什么是漏洞扫描服务？ 漏洞扫描服务是通过在公网或内网，基于漏洞数据库，通过扫描对指定的远程或者本地计算机系统的安全脆弱性检测，发现可利用漏洞的一种安全检测行为。可对公网或内网的资产进行扫描，扫描完成后出具专业扫描报告，并提供漏洞修复建议。 漏洞扫描服务有哪些功能？ 多种评估类型：评估主机系统、网络和应用程序的弱点，检测系统内的恶意软件，发现Web服务器和服务的弱点。 丰富的评估能力：网络设备，包括下一代防火墙、操作系统、数据库、Web应用、虚拟和云环境等，扫描IPv4、IPv6和混合网络，可根据需求设置扫描任务运行时间和频率。 两种扫描模式：漏洞扫描器在选择扫描方式时可使用非登录扫描和登录扫描方式，登录扫描能够更深入全面的发现主机漏洞。 持续管理：扫描器可以配置为自动更新，扫描器不断更新高级威胁及零日漏洞插件。 多种报告：自定义报告以按漏洞或主机排序，创建执行摘要或比较扫描结果以突出显示更改，可提供XML、PDF、CSV和HTML类型的报告。 漏洞扫描服务有什么优势？ 快速发现：能够准确、快速的发现主机存在的漏洞风险，对发现的漏洞进行分析，及时提供专业含切实可行整改建议的扫描报告。 准确详尽：详尽描述系统存在的漏洞种类、安全漏洞数量、危害级别等，描述漏洞时提供可行解决方案。 准确性强：插件扩展性强、功能强大，可以对多种安全漏洞进行漏洞发现，使用多个扫描工具交叉扫描，降低误报，提高漏洞准确性。

本章节指导如何在Linux平台查看、启动、停止、更新和卸载Agent。 说明 查看、启动、停止、更新和卸载Agent需使用root用户。 前提条件 已成功Agent安装配置方式说明。 查看Agent版本 1. 使用root账号，登录主机。 2. 执行如下命令，确认使用Agent的版本。 plaintext if [[ f /usr/local/uniagent/extension/install/telescope/bin/telescope ]]; then /usr/local/uniagent/extension/install/telescope/bin/telescope v; elif [[ f /usr/local/telescope/bin/telescope ]]; then echo "old agent"; else echo 0; fi 返回“old agent”，表示使用老版本Agent，请参考老版本操作指令。 返回版本号，表示使用新版本Agent，请参考新版本操作指令。 返回“0”，表示未安装Agent。 查看Agent状态（新版本） 以root用户登录主机，执行以下命令，查看Agent状态。 plaintext /usr/local/uniagent/extension/install/telescope/telescoped status 当系统返回以下内容：则表示Agent为正常运行状态。 plaintext "Telescope process is running well." 启动Agent（新版本） 执行以下命令，启动Agent。 plaintext /usr/local/uniagent/extension/install/telescope/telescoped start 重启Agent（新版本） 执行以下命令查看telescope的PID。 plaintext /usr/local/uniagent/extension/install/telescope/telescoped restart 停止Agent（新版本） 登录主机，执行以下命令，停止Agent。 plaintext service uniagent stop /usr/local/uniagent/extension/install/telescope/telescoped stop 卸载Agent（新版本） 执行以下命令，即可卸载Agent。 plaintext bash /usr/local/uniagent/script/uninstall.sh 说明 用户可手动卸载Agent插件，卸载后云监控服务将不再主动采集主机的监控数据。如需再次使用，请重新安装。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的CSRF防护功能。 功能介绍 CSRF一般指跨站请求伪造。跨站请求伪造（英语：Crosssite request forgery），也被称为 oneclick attack 或者 session riding，通常缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。针对发起CSRF攻击进行防护。 背景信息 CSRF的攻击场景 攻击者盗用了用户的身份，以用户的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以受攻击者名义发送邮件、发消息，盗取账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。 CSRF的攻击原理 用户User打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A。 在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A。 用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B。 网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A。 浏览器在接收到这些攻击性代码后，根据网站B 的请求，在用户不知情的情况下携带Cookie 信息，向网站A 发出请求。网站A 并不知道该请求其实是由B 发起的，所以会根据用户User 的Cookie 信息以User 的权限处理该请求，导致来自网站B 的恶意代码被执行。

新增互联子网 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>跨域互联】，选择某“已连接”实例操作列中的【新增互联子网】。 3. 在新增互联子网的页面填入相关的参数。 新增互联子网的参数说明： 参数 说明 跨域互联名称 名称在创建时已生成，新增子网无法修改。 是否新增算力网关子网 选择启用后，选择算力网关侧原VPC下需新增的子网。 是否新增天翼云4.0子网 选择启用后，选择天翼云4.0侧原VPC下需新增的子网。 4. 同意并勾选告知，点击【确定】，原跨域互联实例将自动完成子网的新增。 删除跨域互联 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>跨域互联】，选择某“已连接”实例操作列中的【删除】。 3. 在弹出的对话框单击“确定”，即可删除跨域互联。 重试 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>跨域互联】，选择某“连接失败”/“删除失败”实例操作列中的【重试】。 3. 在弹出的对话框单击“确定”，即可对当前失败的跨域互联实例进行重试。 说明： 失败的实例点击重试前，请先联系后台运维人员排查问题，排查后再进行重试。

本文主要介绍如何安装日志采集器lmtagent。 在采集云主机日志前，您需要在区域内的云主机上安装日志采集器lmtAgent。lmtagent是云日志服务进行日志采集的工具，运行在需要采集日志的云主机中。 安装指南（Linux环境） 1. 登录云日志服务控制台。 2. 左侧菜单栏点击“主机管理”“主机”，进入主机管理页面。 3. 点击右上角【安装lmtagent】 4. 安装系统选择linux。 5. 首先获取您的AK和SK。如何获取AK/SK？ 6. 步骤二为创建终端节点。安装采集器前，您需要在云主机所在的VPC中创建终端节点，以建立与日志服务的连接通道。您需要在当前页面检查云主机所在的VPC是否已创建终端节点。若终端节点状态为“未创建”，请点击页面中的【创建终端节点】按钮，并根据页面指引进行开通。若终端节点状态为“已创建”，您可跳过该步骤。 7. 复制lmtagent安装命令，并使用上一步中获取的AK、SK，手动替换 {inputyourak} 和 {inputyoursk}，填写值时不需要添加{}。 8. 使用 PuTTY 等远程登录工具，以root用户登录待安装主机，执行复制到的命令，采集器将会下载到当前执行命令的目录中，并自动执行安装。当显示“lmtagent service started successfully”时，表示安装成功。安装成功后，在左侧导航栏中选择“主机管理主机”，查看lmtagent状态。默认安装目录为/app/cams/lmtagent。

本文将为您介绍绑定标签的操作流程。 有三种途径可实现云资源绑定标签，您可根据实际场景按需选择。 约束与限制 一个云资源实例只能绑定同一标签键下的一个标签值。 基于标签控制台为云资源绑定标签 适用于批量为已创建的存量资源做标签绑定场景。 1、登录标签管理控制台。 2、基于标签绑定资源：找到目标标签键值，点击“绑定资源”。 3、或进入标签键值的详情页，点击绑定资源。 基于资源管理控制台为云资源绑定标签 适用于为已创建的单个存量资源做标签绑定场景。 1、登录资源管理控制台。 2、找到目标资源，点击标签中的“编辑”。 基于云服务控制台为云资源绑定标签 适用于为新创建的资源做标签绑定场景。以CTECS为例说明： 1、登录CTECS控制台。 2、进入创建云主机页面，将“是否编辑标签”打开即可对资源做标签绑定。 3、或在创建完资源后，在资源清单列表，点击操作栏的“编辑标签”完成标签绑定。

约束与限制 默认策略不支持删除。 停用策略 1、登录管理控制台。 2、在页面右上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 动态端口蜜罐”，进入“动态端口蜜罐”界面。 4、（可选）如果您已开通企业项目，可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。 5、在目标防护策略所在行的“操作”列，单击“停用策略”，弹出“停用策略”对话框。 6、确认信息无误后，单击“确认”，完成停用。 启用策略 1、登录管理控制台。 2、在页面右上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 动态端口蜜罐”，进入“动态端口蜜罐”界面。 4、（可选）如果您已开通企业项目，可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。 5、在目标防护策略所在行的“操作”列，单击“启用策略”，弹出“启用策略”对话框。 6、确认信息无误后，单击“确认”，完成启用。 编辑策略 1、登录管理控制台。 2、在页面右上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 动态端口蜜罐”，进入“动态端口蜜罐”界面。 4、（可选）如果您已开通企业项目，可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。 5、在目标防护策略所在行的“操作”列，单击“编辑策略”，弹出“编辑防护策略”对话框。 6、配置策略。可修改策略名称、防护端口、源IP白名单。 7、单击“下一步”。 8、选择绑定服务器。 9、单击“确认”，完成编辑。

本文介绍了DMS SQL明细功能，DMS SQL明细用于记录DMS用户对数据源进行的操作。 前提条件 登录用户的角色为超级管理员、系统管理员、审计管理员。 录入并登录实例，对实例内的数据进行变更或者查询以生成SQL审计记录。 操作步骤 1. 用户登录DMS系统。 2. 在左侧菜单栏依次点击 安全协作 > 操作审计 。 3. 点击DMS SQL明细标签，进入审计界面。 注意事项 DMS SQL明细的日志记录基础版可保存7天，企业版可保存180天。 DMS SQL明细不会审计所有类型的SQL语句，例如SHOW 、USE等常规数据库操作，不涉及敏感数据，将不会被审计。 仅超级管理员、系统管理员和审计管理员可以进入DMS SQL明细界面，查看审计的相关记录。 功能介绍 DMS SQL明细日志记录了用户于何时对哪个数据源执行了什么类型的SQL语句，并对该操作给出高风险、中风险、低风险三种等级的风险评估。对数据源的记录最精细可以审计到表级别 ，同时也会记录SQL执行的结果、查询耗时、影响行数等信息。若执行失败，会记录对应的报错信息。 DMS SQL明细搜索 DMS SQL明细支持的搜索项包括执行时间、SQL类型、执行风险、操作用户、实例名称、实例地址、库名/模式名、表名、功能、执行状态。其中操作用户、实例名称、实例地址、库名/模式名、表名等搜索项支持模糊搜索。若用户想清除已经选择的搜索项，可以点击重置按钮。

删除敏感列 当列不再需要敏感数据保护功能时，可以通过删除操作，关闭列的敏感数据保护功能。在目标敏感列右侧的操作列中，单击删除即可。 1. 登录数据管理服务。 2. 在左侧菜单栏中，选择数据资产 > 敏感数据保护，进入敏感数据保护页面。 3. 在顶部菜单栏中，选择敏感列页签，进入敏感列页面。 4. 在目标敏感列右侧的操作列中，单击删除即可。 编辑敏感列 当用户需要调整敏感列的敏感等级、脱敏算法时，可以通过编辑敏感列功能进行调整。 1. 登录数据管理服务。 2. 在左侧菜单栏中，选择数据资产 > 敏感数据保护，进入敏感数据保护页面。 3. 在顶部菜单栏中，选择敏感列页签，进入敏感列页面。 4. 如需编辑单个敏感列，可直接在列表修改脱敏算法，或点击操作列的调整分类分级 按钮，调整敏感列的数据分类、数据分级、脱敏算法；如需编辑多个敏感列，先勾选目标敏感列，再单击批量调整按钮，在弹出的批量调整对话框中，调整敏感列的数据分类、数据分级、脱敏算法。 查看敏感列 1. 登录数据管理服务。 2. 在左侧菜单栏中，选择数据资产 > 敏感数据保护，进入敏感数据保护页面。 3. 在顶部菜单栏中，选择敏感列页签，进入敏感列页面。 4. 在敏感列页面，用户可以查看敏感列列表，支持按照实例、数据库/模式、脱敏算法、敏感等级过滤，支持按照字段名、表名关键字模糊搜索。

敏感列管理 当用户需要管理敏感实例的敏感列时，可以通过敏感列管理操作，管理敏感实例下的敏感列。 1. 登录数据管理服务。 2. 在左侧菜单栏中，选择数据资产 > 敏感数据保护，进入敏感数据保护页面。 3. 在顶部菜单栏中，选择敏感实例页签，进入敏感实例页面。 4. 在敏感实例列表中，点击指定实例操作列的敏感列管理 按钮即可进入该实例的敏感列页面，可以添加、删除、编辑、查看该实例的敏感列，详见敏感列。 查看敏感实例元数据 当用户需要查看或操作敏感实例的元数据时，可以通过实例管理功能，进入实例管理页面。 1. 登录数据管理服务。 2. 在左侧菜单栏中，选择数据资产 > 敏感数据保护，进入敏感数据保护页面。 3. 在顶部菜单栏中，选择敏感实例页签，进入敏感实例页面。 4. 在敏感实例列表中，点击指定实例操作列的实例管理 按钮即可进入实例管理页面，并筛选出该实例，详见实例管理。 查看识别任务详情 用户配置识别任务后，可以查看敏感实例的识别任务列表。 1. 登录数据管理服务。 2. 在左侧菜单栏中，选择数据资产 > 敏感数据保护，进入敏感数据保护页面。 3. 在顶部菜单栏中，选择敏感实例页签，进入敏感实例页面。 4. 在敏感实例列表中，点击指定实例操作列的识别任务详情按钮即可跳转到识别任务页面，并筛选出该实例的所有历史识别任务。

通过Go语言连接实例 主要介绍使用Go语言访问GeminiDB Redis实例的方法。 前提条件 已成功创建GeminiDB Redis实例，且实例状态为“正常”。 已创建弹性云主机，创建弹性云主机的方法，请参见《弹性云主机快速入门》中“登录弹性云主机”章节。 操作步骤 获取GeminiDB Redis实例的内网IP地址或域名、端口。 内网IP地址和端口的查看方法请参见查看IP地址和端口。 内网域名获取方法请参见配置内网域名。 登录弹性云主机，具体操作请参见《弹性云主机快速入门》中“登录弹性云主机”。 使用Golang客户端连接GeminiDB Redis实例，本文以使用goredis SDK为例。 goredis的下载地址为： 样例代码： package main import ( "fmt" "github.com/goredis/redis" ) func main() { client : redis.NewClient(&redis.Options{ Addr: "xx.xx.xx.xx:8635", // redis address Password: "xx", // password DB: 0, // use default DB }) pong, err : client.Ping().Result() fmt.Println(pong, err) err client.Set("key1", "value1", 0).Err() if err ! nil { panic(err) } val, err : client.Get("key1").Result() if err ! nil { panic(err) } fmt.Println("key1", val) } 预期输出为： PONG key1 value1 使用goredis连接GeminiDB Redis时，需要使用普通模式，不能使用集群模式，如上示例代码所示。 上述实例代码中的GeminiDB Redis地址和密码，请根据实际情况填写。

快速创建 1 登录云堡垒机系统。 2 选择“部门”，进入部门管理页面。 3 在相应上级部门列，单击快速创建下级部门。 4 修改部门名称，即完成快速创建下级部门。 删除部门 云堡垒机默认“总部”为系统最上级部门，不可删除。删除上级部门，默认删除下级部门。 前提条件 已获取“部门”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“部门”，进入部门管理页面。 3 单个删除。 鼠标悬停到要删除的部门所在行，显示快捷删除，单击快捷键删除该部门。 删除部门时，其下级部门和所有部门下的用户和资源会被同时删除。 4 批量删除。 同时勾选多个部门，然后单击列表下方的“删除”，可以批量删除多个部门。 查看和修改部门信息 云堡垒机支持修改部门名称、移动部门所属上级部门。 移动部门后，部门下资源和用户自动移动上级部门归属。 前提条件 已获取“部门”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“部门”，进入部门管理页面。 3 单击要修改的部门的名称，进入部门详情页面。 4 在“基本信息”区域，可查看部门基本信息。 单击“编辑”，弹出部门信息配置窗口，即可修改部门的基本信息。 查询部门配置 云堡垒机支持分别统计各部门的用户数和主机数，通过在部门管理页面，可查询部门的用户和主机资产配置。应用资源和应用发布服务器不纳入统计。

本文介绍如何通过内网及psql命令行客户端连接实例。 RDSPostgreSQL支持客户通过PostgreSQL客户端在内网连接实例。 前提条件 1.登录弹性云主机 创建并登录弹性云主机。 通过弹性云主机连接RDSPostgreSQL实例，需要具备以下条件： 该弹性云主机与目标实例在同一个VPC内。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例安全组为default，则无需特别设置。(仅部分资源池支持实例安全组变更，其余资源池默认为default安全组规则)。 如果目标实例安全组为非默认安全组，请查看安全组规则是否允许该弹性云主机访问。具体操作参考VPC安全组配置指引。 2.安装PostgreSQL客户端 请参见数据库基本使用如何安装PostgreSQL客户端。 命令行连接 登录云主机后执行如下命令： psql h p U d 参数说明： ：主机IP，即控制台页面的“实例列表”页面该集群对应的实例列表中，您想连接的实例“vip”列信息。 ：数据库端口，为“实例详情”页面中的数据库端口。 ：用户名，即 RDSPostgreSQL数据库帐号（默认管理员帐号为 root）。 ：数据库名，即RDSPostgreSQL实例里面的数据库，默认初始化的数据库名是postgres。 示例： psql h xx.xx.xx.xx p xxxx U root –d postgres

Flink Opensource SQL作业操作步骤 1. 登录DLI管理控制台。 2. 单击“作业管理 > Flink作业”。 3. 选择要待配置的作业，单击操作列下的编辑。 4. 单击“自定义配置”。 5. 在“自定义配置”中输入如下语句，先开启动态扩缩容功能，再设置作业优先级。 说明 对于Flink作业，必须先设置flink.dli.job.scale.enabletrue开启动态扩缩容功能，再设置作业优先级。 开启动态扩缩容的更多参数设置请参考 flink.dli.job.scale.enabletrue flink.dli.job.priorityx Flink Jar作业操作步骤 在“优化参数”中配置如下参数，其中x为优先级取值。 flink.dli.job.priorityx 1. 登录DLI管理控制台。 2. 单击“作业管理 > Flink作业”。 3. 选择待配置的作业，单击操作列下的编辑。 4. 在“优化参数”中输入如下语句。先开启动态扩缩容功能，再设置作业优先级。 说明 对于Flink作业，必须先设置flink.dli.job.scale.enabletrue开启动态扩缩容功能，再设置作业优先级。 开启动态扩缩容的更多参数设置请参考 flink.dli.job.scale.enabletrue flink.dli.job.priorityx Spark作业操作步骤 在“Spark参数”中配置如下参数，其中x为优先级取值。 spark.dli.job.priorityx 1. 登录DLI管理控制台。 2. 单击“作业管理 > Spark作业”。 3. 选择待配置的作业，单击操作列下的编辑。 4. 在“Spark参数”中配置spark.dli.job.priority参数。

重启逻辑集群 1. 登录DWS管理控制台，在左侧导航栏中，选择“集群 > 专属集群”。 2. 在集群列表中，单击指定集群名称，进入“集群详情”页面。 3. 在左侧导航栏切换至“逻辑集群管理”页面，在需要重启的逻辑集群所在行的“操作类型”列单击“更多>重启”按钮。 4. 确认无误后单击“确定”。 扩容逻辑集群 前提条件 逻辑集群在8.1.3及以上版本支持在线扩容。 逻辑集群扩容需要先将集群转换为逻辑集群模式并创建逻辑集群。 逻辑集群扩容、缩容后需重新配置备份策略进行全量备份，详情请参见自动快照。 操作步骤 1. 登录DWS管理控制台，在左侧导航栏中，选择“集群 > 专属集群”。 2. 在集群列表中，在指定集群所在行的“操作”列选择“更多 > 节点变更 > 扩容”，进入扩容页面。 3. 在扩容页面选择需要扩容的逻辑集群或弹性集群。 说明 查杀阻塞作业仅8.2.1.100及以上集群版本支持。 缩容逻辑集群 约束与限制 有CN节点的主机环无法缩容。 有GTM、CM节点的主机环无法缩容。 操作步骤 1. 登录DWS管理控制台，在左侧导航栏中，选择“集群 > 专属集群”。 2. 在集群列表中，单击指定集群名称，进入“集群详情”页面。 3. 在左侧导航栏切换至“逻辑集群管理”页面，在弹性池所在行的“操作类型”列单击“编辑”按钮，从弹性池中减少节点（从左侧将选中环移动到右侧）。 4. 确认无误后，单击“确定”。

本章节主要介绍ALM12055 证书文件即将过期。 告警解释 系统每天二十三点检查一次当前系统中的证书文件，如果当前时间距离证书过期时间小于30天，则证书文件即将过期，产生该告警。 当重新导入一个正常证书，并且状态不为即将过期，该告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12055 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 提示用户证书文件即将过期，如果证书文件过期，则会导致部分功能受限，无法正常使用。 可能原因 系统证书文件（CA证书、HA根证书、HA用户证书、Gaussdb根证书或者Gaussdb用户证书等）剩余有效期小于30天。 处理步骤 查看告警原因 1.打开FusionInsight Manager页面，在实时告警列表中，单击此告警所在行的。 查看“附加信息”，获取告警附加信息。 告警附加信息中显示“CA Certificate”，以omm用户登录主OMS管理节点，执行步骤2。 告警附加信息中显示“HA root Certificate”，查看“定位信息”获取告警所在节点主机名，以omm用户登录该主机，执行步骤3。 告警附加信息中显示“HA server Certificate”， 查看“定位信息”获取告警所在节点主机名，以omm用户登录该主机，执行步骤4。

使用Kafka客户端（MRS 3.x及之后版本） 1. 进入ZooKeeper实例页面： 登录FusionInsight Manager，具体请参见访问FusionInsight Manager（MRS 3.x及之后版本）。然后选择“集群 > 待操作的集群名称 > 服务 > ZooKeeper > 实例”。 2. 查看ZooKeeper角色实例的IP地址。 记录ZooKeeper角色实例其中任意一个的IP地址即可。 3. 登录安装客户端的节点。 4. 执行以下命令，切换到客户端目录，例如“/opt/hadoopclient/Kafka/kafka/bin”。 cd /opt/hadoopclient/Kafka/kafka/bin 5. 执行以下命令，配置环境变量。 source /opt/hadoopclient/bigdataenv 6. 如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 kinit Kafka用户 7. 登录FusionInsight Manager，选择“集群 > 待操作的集群名称 > 服务 >ZooKeeper > 配置 > 全部配置”，搜索参数“clientPort”,记录“clientPort”的参数值。 8. 创建一个Topic： sh kafkatopics.sh create topic 主题名称 partitions主题占用的分区数 replicationfactor主题的备份个数 zookeeper ZooKeeper角色实例所在节点IP 地址 : clientPort /kafka 例如：sh kafkatopics.sh create topic TopicTestpartitions 3replicationfactor 3 zookeeper 10.10.10.100:2181/kafka 9. 执行以下命令，查询集群中的Topic信息： sh kafkatopics.sh list zookeeper ZooKeeper角色实例所在节点IP 地址:clientPort /kafka 例如：sh kafkatopics.sh list zookeeper 10.10.10.100:2181/kafka 10. 删除步骤8中创建的Topic： sh kafkatopics.sh delete topic主题名称 zookeeper ZooKeeper角色实例所在节点IP 地址 : clientPort /kafka 例如：sh kafkatopics.sh delete topic TopicTest zookeeper 10.10.10.100:2181/kafka

本节主要介绍管理镜像 获取镜像下载地址 1、登录ServiceStage控制台，选择“软件中心 > 镜像仓库 > 我的镜像”。 2、在“仓库组织管理”右侧下拉列表框，选择组织。 3、在镜像仓库列表，单击镜像仓库名称，进入镜像仓库详情页。 4、在“镜像版本”页签，可以获取镜像版本下载指令。 编辑镜像仓库属性 1、登录ServiceStage控制台，选择“软件中心 > 镜像仓库 > 我的镜像”。 2、在“仓库组织管理”右侧下拉列表框，选择组织。 3、在镜像仓库列表，单击镜像仓库名称，进入镜像仓库详情页。 4、单击右上角“编辑”，根据需要在弹出的窗口中： 设置“共享类型”：重新设置“共享类型”为“公共”或“私有”。 说明 公共镜像所有用户都可以下载使用。 如果您的节点与镜像仓库在同一区域，访问仓库是通过内网访问。 如果您的节点与镜像仓库在不同区域，通过公网才能访问仓库，下载跨区域仓库的镜像需要节点可以访问公网。 设置“仓库类型”：重新设置“仓库类型”。 更新“描述”：更新镜像仓库描述信息。 5、单击“确认”，完成编辑。 添加镜像授权 在镜像详情中为用户添加授权，授权完成后，该帐号下用户享有读取/编辑/管理该镜像的权限。 1、登录ServiceStage控制台，选择“软件中心 > 镜像仓库 > 我的镜像”。 2、在“仓库组织管理”右侧下拉列表框，选择组织。 3、在镜像仓库列表，单击镜像仓库名称，进入镜像仓库详情页。 4、在“权限管理”页签，单击“添加授权”，选择用户名称，添加“读取/编辑/管理”的权限，然后单击“确认”。 添加后，该用户享有对应权限。

本章节为您介绍数据加密网关密钥管理的相关内容 密钥列表页面展示系统中当前所有的密钥及其属性，属性包括密钥来源、生成方式、密钥算法等。 新建密钥 1. 使用运维账号登录数据加密网关。 2. 在左侧导航栏选择“密钥管理 > 密钥列表” ，进入“密钥列表”页面。 3. 单击“新增”，即可开始新增密钥，填写参数可参考下表。 参数 参数说明 密钥名称 自定义密钥名称。 密钥来源 选择密钥来源： 密码设备 KMS 密钥算法 选择密钥算法： SM4 AES HMACSM3 生成方式 选择密钥生成方式。 密钥因子 生成方式选择“派生”时生效。 查询密钥 1. 使用运维账号登录数据加密网关。 2. 在左侧导航栏选择“密钥管理 > 密钥列表” ，进入“密钥列表”页面。 3. 设置查询条件（密钥名称、密钥来源、生成方式），单击“查询”即可查询相关密钥。

操作步骤1：在插件市场卸载 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择 "AI网关插件"。 3. 在插件市场页面的快捷导航栏处，选择插件类型或者搜索插件名称，单击要卸载的插件卡片。 4. 单击配置栏，在要卸载此插件的网关实例操作栏中，单击"卸载"。 5. 在弹出框中，点击"确认"按钮，页面提示卸载插件成功。 操作步骤2：在网关实例中卸载 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择 "AI网关实例"，进入目标实例详情。 3. 在左侧导航栏，选择"插件"。 4. 在插件列表中，单击所要卸载插件操作列中的"卸载"。 5. 在弹出框中单击"确认"按钮，页面提示卸载插件成功。

卸载探针 1. 登录应用高可用服务控制台。 2. 在左侧导航栏中，定位到故障演练 菜单，选择要操作的目标应用 ，单击其下的探针管理选项。 3. 在探针管理 页面，选择云容器引擎页签。 4. 在列表中找到目标主机，单击操作列的卸载按钮。 5. 在弹出的对话框中单击确定 ，系统将发起探针卸载流程。 6. 单击操作列的执行记录，可查看探针的操作历史记录。 7. 卸载结束后，列表中的探针安装状态 更新为未安装。 注意 探针列表中的连接状态表示目标资源探针与故障演练服务控制面的连通状态，此状态有一定延迟。 云容器引擎探针通过插件形式安装在容器集群中，可登录云容器引擎控制台查看相关插件实例（ctgchaosinjectoragent 、ctgchaosbladeoperator）。

根据云下一代防火墙部署逻辑说明，本安全产品上线前有如下安全风险需关注： 业务中断风险 云下一代防火墙上线需要割接弹性IP绑定位置，操作弹性IP解绑和重新绑定业务会中断。 处理建议 请先内部申请业务空窗期，保障将业务影响降到最低。 端口暴露风险 说明 不建议暴露安全产品管理端口到公网，存在一定安全风险，请使用安全组进行防护。 处理建议/案例 安全组防护云下一代防火墙管理端口10443。 登录控制台的云主机实例详情页面，选择【安全组】功能。这里您可以创建和管理安全组规则。 其次，点击【配置规则】下的【入方向规则】。在规则配置中选择【添加入方向规则】，限制源地址为您日常登录使用的IP或IP段，例如限制为您公司办公网络。

释放资源 为了避免不必要的费用产生，完成本示例体验后，可释放以下资源。 注意 资源释放后无法恢复，请谨慎操作。 步骤 1 删除项目。 1. 进入项目“设置 > 通用设置 > 基本信息”页面。 2. 单击“删除项目”，在弹框中输入项目名称，单击“删除”。 步骤 2 删除组织与镜像。 1. 登录容器镜像服务控制台。 2. 在“我的镜像”页面中，勾选本文中创建的镜像，单击“删除”。 1. 在弹框中单击“确定”。 3. 在“组织管理”页面中，单击待删除组织的名称，进入详情页。 1. 单击“删除”，在弹框中单击“确定”。 步骤 3 删除集群。 1. 登录云容器引擎控制台。在列表中找到待删除的集群，单击。 2. 勾选弹框中的所有选项，单击“是”。

此问题是由于HBlock服务端比客户端延迟重启导致，尽量让HBlock客户端重启时间晚于HBlock服务器。如果不能避免，可以使用下列方法设置： 新创建的Target：在/etc/iscsi/iscisd.conf修改iscsiadm的登录超时重试次数（node.session.initialloginretrymax），如： plaintext node.session.initialloginretrymax172800 针对已经发现过的Target：修改/etc/iscsi/nodes/iqn.201208.cn.ctyunapi.oos /IP,PORT/default中的登录超时重试次数（node.session.initialloginretrymax）： 说明 IP,PORT：分别为Target的IP地址和iSCSI端口号。 plaintext node.session.initialloginretrymax172800 默认每次重启时间间隔是15s，用户可以根据实际情况设置重试次数。 说明 以上两个配置文件，系统不同，可能路径不同。

基本操作 查看DDoS封堵通知渠道 1.登录天翼云官网，进入管理中心。 2.进入消息中心 3.进入消息订阅一栏，查看“安全消息”的通知配置，DDoS封堵通知同样属安全消息，通过该通知渠道完成通知。 进入DDoS基础防护控制台（仅限部分开放控制台的资源池） 1.登录天翼云官网，在产品一类选择DDoS基础防护产品。 2.在产品页面点击进入控制台，可在部分开放控制台的资源池进入DDoS基础防护控制台，选择进入需要的功能页面，各模块详细操作可参考用户指南其他相关篇章。

远程协助 请联系软件供应商获取服务端的Host（IP或域名）和端口号。 注意 默认情况下，远程协助功能处于禁用状态，可随时启用。启用后，工作人员有权登录Linux系统诊断问题。远程登录过程中，工作人员会具有安装HBlock的用户和开启远程协助操作的用户的权限。远程协助时的所有操作记录可通过服务器的日志文件logs/remoteaccess/remoteaccess.log 查看。 如果启用了远程协助功能，则意味着您相信工作人员，并授权访问系统中的所有数据。工作人员将尽力诊断问题并确保数据安全。但是由于系统环境的复杂性，工作人员对远程协助引起的任何后果不承担任何责任。 项目 描述 Host 远程协助服务端的Host。 取值：IP或域名。 端口号 远程协助服务端的端口号。 是否启动远程协助 是否启用远程协助： 已启用。 已禁用。

释放资源 为了避免不必要的费用产生，完成本示例体验后，可释放以下资源。 注意 资源释放后无法恢复，请谨慎操作。 步骤 1 删除项目。 1. 进入项目“设置 > 通用设置 > 基本信息”页面。 2. 单击“删除项目”，在弹框中输入项目名称，单击“删除”。 步骤 2 删除组织与镜像。 1. 登录容器镜像服务控制台。 2. 在“我的镜像”页面中，勾选本文中创建的镜像，单击“删除”。 1. 在弹框中单击“确定”。 3. 在“组织管理”页面中，单击待删除组织的名称，进入详情页。 1. 单击“删除”，在弹框中单击“确定”。 步骤 3 删除集群。 1. 登录云容器引擎控制台。在列表中找到待删除的集群，单击。 2. 勾选弹框中的所有选项，单击“是”。

删除手动备份 如果不再需要已经生成的手动备份，可在“备份管理”页面或“备份恢复”页签进行删除。 手动备份被删除后，将不再显示在备份列表中。 说明 备份删除后，不可恢复，请谨慎操作。 备份删除后，不可恢复，请谨慎操作。 方式一 登录管理控制台。 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 在“实例管理”页面，单击目标实例，进入实例的“基本信息”页签。 在左侧导航栏中选择“备份恢复”页签，单击目标备份对应操作列中的“删除”。 在删除备份弹出框中，确认目标备份的信息，单击“是”。 方式二 登录管理控制台。 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 在“备份管理”页面，单击目标备份对应操作列中的“删除”。 在删除备份弹出框中，确认目标备份的信息，单击“是”。

介绍分布式消息服务Kafka用户列表功能操作内容。 场景描述 Kafka用户管理的场景描述如下： 访问控制：Kafka用户管理可以用于实现访问控制，限制对Kafka集群和主题的访问权限。通过创建不同的用户和角色，并为其分配合适的权限，可以确保只有经过授权的用户能够访问和操作Kafka集群。 安全认证：Kafka用户管理可以用于实现安全认证，确保只有合法用户能够登录和使用Kafka集群。通过设置用户名和密码，以及使用TLS/SSL证书等安全机制，可以保护Kafka集群免受未经授权的访问和攻击。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“用户管理”后即可查看所有的用户信息。 （5）右上角输入用户名称，可查询对应用户。

本节介绍翼加密开启加密保护的功能流程。 1. 点击“文件加密”—“加密桌面管理”； 2. 批量勾选列表中的桌面； 3. 点击列表顶部的“开启加密保护”按钮，即可开启AI云电脑加密保护。 开启加密保护后，AI云电脑将进行全盘扫描，直到所有的目标文件类型都完成加密。扫描方式分为两种： 强制扫描 强制扫描期间AI云电脑无法登录使用，直到AI云电脑完成全盘加密。 后台扫描 AI云电脑将在后台进行静默加密扫描，期间AI云电脑可以正常登录使用。 注意：开启加密保护后，AI云电脑内已有的所有目标文件会被加密保护。并且后续AI云电脑编辑保存、接收、下载的所有目标类型文件将被自动加密保护。