本节主要介绍应用场景 巡检与问题定界 日常运维中，遇到异常难定位、日志难获取等问题，需要一个监控平台对资源、日志、应用性能进行全方位的监控。 AOM深度对接应用服务，一站式收集基础设施、中间件和应用实例的运维数据，通过指标监控、日志分析、服务异常报警等功能，支持日常巡检资源、应用整体运行情况，及时发现并定界应用与资源的问题。 优势 应用自动发现：自动部署采集器，针对应用的运行环境，主动发现应用并进行监控。 跨云服务的分布式应用监控：对于同时使用了多种云服务的分布式应用，提供统一的运维平台，便于您对业务进行立体排查。 告警灵活通知：提供多种异常检测策略并支持丰富的异常告警触发方式。 巡检与问题定界 立体化运维 您需全方位掌控系统的运行状态，并快速响应各类问题。 AOM提供从云平台到资源，再到应用的监控和微服务调用链的立体化运维分析能力。 优势 体验保障：实时掌控业务KPI健康状态，对异常事务根因分析。 故障快速诊断：分布式调用追踪，快速找到异常故障点。 资源运行保障：实时监控容器、磁盘、网络等上百种资源运维指标 集群>虚机>应用>容器异常关联分析。

本节主要介绍应用场景 企业内部系统解耦 随着企业的高速发展、业务的快速变化，要求企业内部系统跟随业务需求一同变化，但是企业内部系统存在相互依赖关系，为保持系统的通用性与稳定性，很难应对业务的变化。而API网关使用RESTful API， 帮您简化服务架构，通过规范化、标准化的API接口，快速完成企业内部系统的解耦及前后端分离。同时，复用已有能力，避免重复开发造成的资源浪费。 企业能力开放 当今企业面临巨大的挑战，企业的发展需要依赖外部合作伙伴的能力，典型的例子如使用第三方平台支付、合作方帐户登录等。通过API网关将企业内部服务能力以标准API的形式开放给合作伙伴，与合作伙伴共享服务和数据，达成深度合作，构建企业共赢生态。 拥抱API经济 随着用户需求的不断增加，企业原有的销售模式随之改变，逐渐替换为能力变现。通过API网关将企业服务能力包装成标准API服务，上架API市场进行售卖。变现自身服务能力的同时，降低合作伙伴的研发投入，使合作伙伴更加专注于自身核心业务，提升运营效率。

操作步骤 1. 登录管理控制台。 2. 在管理控制台右上角单击，选择区域。 说明 此处请选择与您的应用服务相同的区域。 3. 在管理控制台左上角单击，选择“企业中间件 > 分布式消息服务 >RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 4. 单击实例名称后的“查看监控数据”，进入“云监控”该实例的监控指标页面。 5. 在实例监控指标页面中，找到需要创建告警的指标项，鼠标移动到指标区域，然后单击指标右上角的，创建告警规则，跳转到“创建告警规则”页面。 6. 在告警规则页面，设置告警信息。 创建告警规则操作，请查看云监控服务的用户指南“创建告警规则和告警通知”。 设置告警名称和告警的描述。 设置告警策略和告警级别。 例如在进行指标监控时，如果连续3个周期，连接数原始值超过设置的值，则产生告警，如果未及时处理，则每天发送一次告警通知。 设置“发送通知”开关。当开启时，设置告警生效时间、产生告警时通知的对象以及触发的条件。 单击“立即创建”，等待创建告警规则成功。

电商行业场景 场景特点 电商行业为Web应用攻击的重点对象，经常遭受黑客攻击，譬如非法篡改交易数据、盗取用户个人账号信息进行网络诈骗等，不仅危害了用户的个人利益，同时也严重影响了商家的形象。 能解决的问题 网站遭遇大量请求以及异常连接导致用户服务性能严重下降，影响正常用户业务服务，部署WAF后可通过WAF爬虫策略将异常连接自动进行中断以及一部分常见的HTTP缓慢攻击等制定连接时长限制，降低网站受到爬虫类攻击而造成的影响，也避免了给网站用户带来负面使用体验。 航空行业场景 场景特点 航空行业、互联网售票平台等都拥有大量的旅客个人信息以及出行/未出行、行程信息，而这些信息经过黑色产业链，最终形成了退改签等诈骗活动，不仅危害了旅客的个人利益，也给各平台造成了经济损失。 能解决的问题 针对固定类型系统发布漏洞，如log4j等，WAF集群策略库会收集现网所有关于Web安全方面的漏洞，将在24小时内自动进行策略加固，无需用户侧手动介入完成0day相关安全保障，如客户侧针对安全方面不熟悉，可能无法第一时间收到通知，使用WAF将大大降低客户应用业务被漏洞利用的风险。

本章主要介绍重启实例 DCS管理控制台支持重启运行中的DCS缓存实例，且可批量重启DCS缓存实例。 说明 重启DCS缓存实例后，单机实例中原有的数据将被删除。 在重启DCS缓存实例过程中，您无法对实例进行读写操作。 在重启DCS缓存实例过程中，如果有正在进行的备份操作，可能会重启失败。 重启DCS缓存实例会断开原有客户端连接，建议在应用中配置自动重连。 前提条件 只有当DCS缓存实例处于“运行中”或“故障”状态，才能执行此操作。 操作步骤 步骤 1 登录分布式缓存服务管理控制台。 步骤 2 在管理控制台左上角单击，选择区域和项目。 步骤 3 单击左侧菜单栏的“缓存管理”。进入缓存管理页面。 步骤 4 勾选“名称”栏下的相应DCS缓存实例名称左侧的方框，可选一个或多个。 步骤 5 单击信息栏左上侧的“重启”。 步骤 6 单击“是”，完成重启DCS缓存实例。 重启DCS缓存实例大约需要10秒到30分钟。DCS缓存实例重启成功后，缓存实例状态切换为“运行中”。 说明 如果重启单个实例，也可以在需要重启的DCS缓存实例右侧，单击“操作”栏下的“重启”。 重启DCS缓存实例具体需要时长同实例的缓存大小有关。

本文主要介绍如何使用Nginx分词模板。 Nginx 是一种常见的反向代理服务，实际业务中承载着大量服务请求。在运行过程中，服务会产生大量访问日志，通常导致用户面临日志分散、数据量庞大等问题。因此，如何高效地收集和管理这些日志数据，对业务的运维和运营具有重要意义。天翼云云日志服务支持Nginx日志提取采集。 Nginx 日志格式 Nginx 日志的格式可通过 logformat 命令进行定义，如下列格式： plaintext logformat main '$remoteaddr $remoteuser [$timelocal] ' '"$request" $status $bodybytessent ' '"$httpreferer" "$httpuseragent"'; 其中各字段含义为： 字段名 含义 remoteaddr 客户端 的IP 地址 remoteuser 客户端的名称 timelocal 服务器的本地时间 request HTTP 请求方法及 url 地址 status HTTP 请求的状态码 bodybytessent 发送给客户端的字节数 httpreferer 访问来源的页面链接地址 httpuseragent 客户端浏览器信息 Nginx 配置方式 在日志接入流程中创建采集配置步骤中，按如下参数说明配置切割模式： 在Nginx日志配置中，您需要填写 Nginx 配置文件（通常为 /etc/nginx/nginx.conf 或 /usr/local/nginx/conf/nginx.conf）中日志模板，通常以 logformat 开头，如以下所示： plaintext logformat main '$remoteaddr $remoteuser [$timelocal] ' '"$request" $status $bodybytessent ' '"$httpreferer" "$httpuseragent"'; LTS将根据 Nginx日志配置中的日志模板，自动生成日志提取正则表达式，如下所示 在正则表达式下方的样例日志中填写你需要采集的实际 Nginx 日志，并点击“验证”按钮，用来验证上述提取模式配置是否正确，如下所示 验证成功后，可在抽取结果中为每个字段设定名称或直接使用默认值：

功能 说明 开启HTTPS功能，实现客户端和CDN节点之间使用HTTPS加密传输。 相对于HTTP1.1，HTTP2.0新增了多路复用、压缩HTTP头、划分请求优先级和服务端推送等特性，解决HTTP1.1中存在的一些问题，优化请求性能。 用户到CDN节点的请求需要强制跳转为HTTP或者HTTPS时，可以配置强制跳转功能。 开启OCSP装订功能后，由CDN进行OCSP信息查询并将查询结果缓存到服务器中，提升HTTPS响应性能。 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。 TLS即安全传输层协议，目的是为互联网通信提供安全及数据完整性保障，您可以按需对不同加速域名配置不同的TLS协议版本。 CDN支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 HSTS是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。 网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。 加密套件是用于在SSL/TLS握手期间协商安全设置的算法的组合。在Client Hello和Server Hello消息交换之后，客户端发送密码支持套件列表，服务器从列表中选择密码套件进行响应。

本文主要介绍等保合规能力说明。 查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 将重要网络区域隔离，使用云防火墙CFW实现业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 安全通信网络 网络架构 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 应用场景 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 功能特性 安全区域边界 入侵防范 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 功能特性 安全区域边界 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 管理访问控制策略 安全区域边界 访问控制 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 管理访问控制策略 安全区域边界 访问控制 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 管理访问控制策略 安全区域边界 访问控制 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 管理访问控制策略 安全区域边界 访问控制 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨流量的应用协议、内容的访问控制。 管理访问控制策略 安全区域边界 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计 安全区域边界 安全审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 日志审计 安全区域边界 安全审计 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计 安全区域边界 安全审计 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计

本章节主要介绍如何配置自定义词库。 云搜索服务的自定义词库功能，支持对文本进行分词，使得一些特殊词语在分词的时候能够被识别出来，便于根据关键词搜索文本数据。例如，根据公司名称来查询；或者根据网络流行词来查询，如“喜大普奔”。 说明 l 自定义词库功能上线之前创建的集群，无法使用自定义词库功能。 l 自定义词库支持热更新，不需要重启集群即可生效。 l 自定义词库一般用于中文分词，如果用于英文分词，会按照除 &+.@外的特殊符号进行切分。 背景信息 自定义词库使用的分词器包括IK分词器和同义词分词器。IK分词器配备主词词库和停词词库；同义词分词器配备同义词词库。 主词词库 ：主词为用户希望进行分词的特殊词语，如上文场景中的“智能手机”和“喜大普奔”。主词库则是这些特殊词语的集合。 停词词库 ：停词为用户不希望进行分词或者关注的词语，如“的”、“什么”、“怎么”等。停词词库是停词词语的集合。 同义词词库 ：同义词为意义相同的一组词语，如“开心”和“高兴”。同义词词库是同义词词语的集合。 其中，IK分词器包含ikmaxword和iksmart分词策略。同义词分词器使用的是iksynonym分词策略。 ikmaxword：会将文本做最细粒度的拆分，比如会将“昨夜西风吹折千林梢”拆分为“昨夜西风,昨夜,西风,吹折千林梢,吹折,千林梢,千,林,折千林,千林,吹”，会穷尽各种可能的分词组合。 iksmart：会做最粗粒度的拆分，比如会将“昨夜西风吹折千林梢”拆分为“昨夜西风,吹折千林梢”。

本节介绍了表情包存储相关问题与处理方法。 如果要实现存储emoji表情到TaurusDB实例，需要如下几方面统一使用或者支持utf8mb4字符集。 客户端：保证客户端输出的字符串的字符集为utf8mb4。 应用到TaurusDB实例的连接：支持utf8mb4字符集。以常见的JDBC连接为例，需要使用MySQL Connector/J 5.1.13（含）以上的版本，JDBC的连接串中，建议不配置“characterEncoding”选项。 TaurusDB实例配置如下： 设置控制台参数“charactersetserver”为“utf8mb4” 登录管理控制台。 单击管理控制台右上角的，选择Region。 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例的基本信息页面。 在左侧导航栏中选择“参数修改”，在“参数”页签选择“charactersetserver”，参数值修改为“utf8mb4”。 单击“保存”，在弹出框中单击“是”，保存修改。 配置表的字符集为utf8mb4 常见问题 如果您对于JDBC连接串设置了characterEncoding为utf8，或者执行过上述操作后，仍旧无法正常插入emoji数据，建议您按照如下示例，在代码中指定连接的字符集为utf8mb4： String query "set names utf8mb4"; stat.execute(query);

本文为您介绍分布式消息服务MQTT与其他服务关系。 虚拟私有云(CTVPC ，Virtual Private Cloud) 虚拟私有云为分布式消息服务MQTT提供一个逻辑隔离的区域，构建一个安全可靠、可配置和管理的虚拟网络环境。更多信息请参见虚拟私有云。 弹性云主机（CTECS，Elastic Cloud Server） 弹性云主机由 CPU、内存、镜像、云硬盘组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保分布式消息服务MQTT持久稳定运行。更多信息请参见弹性云主机。 云硬盘（CTEVS，Elastic Volume Service） 云硬盘是一种可弹性扩展的块存储设备，可以为分布式消息服务MQTT提供高性能、高可靠的块存储服务。更多信息请参见云硬盘。 弹性IP（Elastic IP，EIP） 弹性IP是可以独立申请的公网 IP 地址，包括公网IP地址与公网出口带宽服务。可以与分布式消息服务MQTT动态绑定和解绑，实现云资源的互联网访问。针对需要公网访问分布式消息服务MQTT实例的需求，用户可开通弹性IP后，在MQTT实例页面进行绑定。更多信息请参见弹性IP。

本章节主要介绍如何快速发放天翼云物理机服务器。 操作场景 在天翼云物理机服务器发放过程中，普通物理机服务器的操作系统需要从云端下载、安装，下载过程会消耗较长时间。基于云硬盘的物理机服务器的操作系统直接安装在云硬盘（即系统盘使用云硬盘），所以可以实现快速发放能力。 相比普通物理机服务器，快速发放型服务器有如下优势： 从云硬盘启动，发放时间缩短至5min左右。 支持整机备份，数据更有保障。 支持故障重建，保证业务快速恢复。 支持镜像导出，可将现有物理机服务器的配置复用在其他机器，节省重复配置的时间。 在物理机服务器创建界面，选择支持快速发放的规格，设置系统盘类型和容量，并按照需求配置其他参数，即可获取一台快速发放型物理机服务器。 操作步骤 您可以按照创建物理机服务器的描述创建快速发放物理机服务器。 在选择配置时，需要注意以下几点： 规格：选择支持快速发放的规格，可以选择physical.s4.medium、physical.s4.large、physical.s4.xlarge、physical.s4.2xlarge和physical.s4.3xlarge。 镜像：只支持部分公共镜像，请以界面显示为准。 磁盘：设置“系统盘”的磁盘类型和大小。

本文为您介绍Linux 操作系统执行 passwd 命令重置密码失败提示:Authentication token manipulation error的解决方法。 问题现象 root用户用passwd命令修改管理员用户以及普通用户的密码时失败，提示passwd: Authentication token manipulation error。 根因分析 出现该问题通常是密码文件的属性的问题导致，但也有可能是根目录空间满。 执行以下命令查看存放用户和密码的文件（/etc/passwd和/etc/shadow）属性。 plaintext lsattr/etc/passwd/etc/shadow 如上图所示，/etc/passwd和/etc/shadow文件中有i属性，"i"的文件属性表示该文件不能修改：它不能被删除或重命名，无法为此创建任何链接文件，不能将任何数据写入该文件。 只有root用户可以设置或清除此属性。 处理方法 用chattr命令将i权限撤销，然后再修改密码。 如果文件属性为"i"，执行以下命令。 plaintext chattr i /etc/passwd /etc/shadow 如果文件属性为"a"，执行以下命令。 plaintext chattr a /etc/passwd /etc/shadow 如上图所示，/etc/passwd和/etc/shadow文件中无i属性，此时可以正常修改密码。

本文为您介绍如何利用Java客户端访问OpenSearch实例 概述 使用 OpenSearch提供的Java客户端，用户可以通过Java应用与实例交互，进行索引管理、数据查询、插入文档等操作。适合大规模Java应用开发。 前提条件 已开通天翼云云搜索服务OpenSearch实例。 实例已绑定公网IP，具体可参考“实例公网访问”章节。 已在本地安装JDK（推荐JDK 8 及以上版本）。 已配置Maven或Gradle项目以支持OpenSearch Java客户端。 操作步骤 1. 在项目中引入OpenSearch客户端依赖。Maven依赖配置如下： org.opensearch.client opensearchresthighlevelclient 2.9.0 2. 使用以下代码连接到OpenSearch实例： import org.apache.http.HttpHost; import org.opensearch.client.RestClient; import org.opensearch.client.RestHighLevelClient; public class OpenSearchJavaClient { public static void main(String[] args) { // 初始化客户端 RestHighLevelClient client new RestHighLevelClient( RestClient.builder(new HttpHost(" ", 9200, "http")) .setDefaultCredentialsProvider(new BasicCredentialsProvider().setCredentials( AuthScope.ANY, new UsernamePasswordCredentials(" ", " ") ))); // 执行操作，例如创建索引等 // ... // 关闭客户端 client.close(); } } host：集群绑定的公网 IP。 user：OpenSearch 集群用户名，例如 admin。 password：用户密码，例如 admin 用户的密码。 3. 执行创建索引的操作： CreateIndexRequest request new CreateIndexRequest("myindex"); CreateIndexResponse createIndexResponse client.indices().create(request, RequestOptions.DEFAULT); 4. 操作完成后记得关闭客户端： client.close();

Web应用防火墙（边缘云版）什么版本可以支持云虚拟主机吗？ Web应用防火墙（边缘云版）的所有版本都支持云虚拟主机。 云虚拟主机是基于云计算技术提供的虚拟化的主机服务，它可以在同一物理服务器上同时运行多个虚拟主机实例。Web应用防火墙（边缘云版）可以与云虚拟主机结合使用，为虚拟主机提供网络安全防护。通过配置和管理规则，可以检测和过滤针对虚拟主机的恶意请求，保护应用程序和数据的安全性。 Web应用防火墙（边缘云版）什么版本支持非标准化端口？ Web应用防火墙（边缘云版）目前支持标准化端口HTTP（80和8080端口）、HTTPS（443和8443端口），也支持非标准化的端口，但因WAF产品的版本不同有所限制：体验版、基础版、标准版仅支持标准化端口；专业版可支持10个特殊端口；旗舰版可支持50个特殊端口。具体套餐信息请参见套餐和版本说明。 如果您对支持非标准化端口有需求，可以通过客服工单系统提单联系我们咨询。 功能模块 描述 体验版 基础版 标准版 专业版 旗舰版 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × × √，10个特殊端口转发 √，50个特殊端口转发

本章节主要介绍ALM14025 租户文件对象使用率超过阈值的告警。 告警解释 系统每小时周期性检测租户所关联的每个目录的文件对象使用率（每个目录已使用的文件对象个数/每个目录分配的文件对象个数），并把每个目录实际的文件对象使用率和该目录设置的阈值相比较。当检测到租户所关联的目录文件对象使用率高于该目录的阈值时，产生该告警。 当上报告警的目录的文件对象使用率小于或等于该目录设置的阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 14025 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名称。 租户名 产生告警的租户名称。 目录名 产生告警的目录名称。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 当监控的租户目录下的文件对象使用率超过用户自定义设置的阈值时触发该告警，但不影响对该目录继续写入文件。一旦超过该目录分配的最大文件对象个数，则HDFS写入数据会失败。 可能原因 告警阈值配置不合理。 租户分配的文件目录数上限不合理。

本章节主要介绍ALM24006 Flume Server堆内存使用率超过阈值的告警。 告警解释 系统每60秒周期性检测Flume服务堆内存使用状态，当连续10次检测到Flume实例堆内存使用率超出阈值（最大内存的95%）时产生该告警，堆内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 24006 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件 对系统的影响 堆内存溢出可能导致服务崩溃。 可能原因 该节点Flume实例堆内存使用率过大，或配置的堆内存不合理，导致使用率超过阈值。 处理步骤 检查堆内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > Flume堆内存使用率超过阈值”，检查该告警的“定位信息”。查看告警上报的实例主机名。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Flume > 实例”，选择上报告警实例主机名对应的角色，单击图表区域右上角的下拉菜单，选择“定制 > Agent > Flume堆内存使用率”，单击“确定”。 3.查看Flume使用的堆内存是否已达到Flume设定的阈值（默认值为最大堆内存的95%）。 是，执行步骤4。 否，执行步骤6。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Flume > 配置”，选择“全部配置”，选择“Flume > 系统”。将“GCOPTS”参数中“Xmx”的值根据实际情况调大，并单击“保存”，单击“确定”。 说明 出现此告警时，说明当前flume server设置的堆内存无法满足当前数据传输所需的堆内存，建议堆内存调整为： channel capacity 最大单条数据大小通道个数，但xmx参数值不能超过节点剩余内存。 5.重启受影响的服务或实例，观察界面告警是否清除。 是，处理完毕。 否，执行步骤6。

业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

轻量型云主机提供以下相关API接口。 产品/功能 类型 描述 API（公测中） 创建轻量型云主机 该接口提供用户创建一台包年包月的轻量型云主机。 API（公测中） 开启一台轻量型云主机 该接口提供用户开启一台轻量型云主机功能。 API（公测中） 续订一台包周期的轻量型云主机 该接口提供用户续订一台包年或者包月的轻量型云主机功能。 API（公测中） 查询轻量型云主机列表 该接口提供用户多台轻量型云主机信息查询功能，用户可以根据此接口的返回值得到多轻量型台云主机信息。 API（公测中） 关闭一台轻量型云主机 该接口提供用户关闭一台轻量型云主机功能。 API（公测中） 查询轻量型主机详细信息 该接口提供用户轻量型云主机信息查询功能，用户可以根据此接口的返回值了解自己轻量型云主机的详细信息。 API（公测中） 查询一台轻量型云主机的Web管理终端地址 该接口提供用户查询一台轻量型云主机的Web管理终端地址。 API（公测中） 查询轻量型云主机的规格套餐资源 该接口提供用户可用规格列表查询功能，可返回轻量型云主机规格的详细信息，用户可以根据此接口的返回值了解自己可使用的云主机规格有哪些。 API（公测中） 更新一台轻量型云主机密码 该接口提供用户更新轻量型云主机的密码功能，此接口为同步接口。 API（公测中） 轻量型云主机规格套餐升级 该接口提供用户升级一台轻量型云主机规格套餐。 API（公测中） 释放轻量型云主机 该接口提供用户退订一台轻量型云主机功能。 API（公测中） 重启一台轻量型云主机 该接口提供用户重启一台轻量型云主机功能。 API（公测中） 重装一台轻量型云主机 该接口提供用户重装一台轻量型云主机功能，通过填写相应云主机ID、镜像ID对轻量云主机进行重装。 API（公测中） 轻量型云主机新建云硬盘 该接口提供用户轻量型云主机新建云硬盘的能力。 API（公测中） 轻量型云主机退订数据盘 该接口提供用户退订一台轻量型云主机数据盘功能。

Web应用防火墙将拦截或者仅记录攻击事件记录在“防护事件”页面。您可以查看WAF的防护日志，包括事件发生的时间、源站IP、源站IP所在地理位置、恶意负载、命中规则等信息。 前提条件 防护网站已接入WAF。 约束条件 下载防护事件文件时，如果您本地安装的安全软件拦截了下载文件，请关闭该软件后重新下载防护事件文件。 在WAF控制台只能查看所有防护域名最近30天的防护事件数据。 如果您将防护网站的“工作模式”切换为“暂停防护”模式，WAF将对该防护网站所有的流量请求只转发不检测，同时，日志也不会记录。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 选择“查询”页签，在网站或实例下拉列表中选择待查看的防护网站，可查看“昨天”、“今天”、“3天”、“7天”、“30天”或者自定义时间范围内的防护日志。 “防护事件趋势图”：展示所选网站在选择的时间段内WAF的防护情况。 “TOP10统计”：针对当前所选时间段的攻击事件、受攻击站点、攻击源IP、受攻击URL的TOP 10网站进行统计，单击可复制统计图表的数据。 6. 在“防护事件列表”中，查看防护详情。 根据筛选条件字段匹配值进行筛选，可设置多项匹配条件，单击“确定”后，匹配条件会展示在事件列表的上方，条件字段参数说明如下表所示。 支持筛选搜索的条件字段： 参数名称 参数说明 事件ID 标识该防护事件的ID。 事件类型 发生攻击的类型。 默认选择“全部”，查看所有攻击类型的日志信息，也可以根据需要，选择攻击类型查看攻击日志信息。 规则ID 内置Web基础防护规则ID。 防护动作 防护配置中设置的防护动作，包含：拦截、仅记录、人机验证等。 人机验证：CC防护规则中，“防护动作”支持配置“人机验证”。即当访问的请求频率超过设定的“限速频率”后将弹出验证码提示，输入正确的验证码，请求将不受访问限制。 源IP Web访问者的公网IP地址（攻击者IP地址）。 默认选择“全部”，查看所有的日志信息，也可以根据需要，选择或者自定义攻击者IP地址查看攻击日志信息。 URL 攻击的防护域名的URL。 单击，可选择防护事件列表展示的字段。 防护事件列表可展示字段参数说明： 参数 说明 示例 ::: 时间 本次攻击发生的时间。 2021/02/04 13:20:04 源IP Web访问者的公网IP地址（攻击者IP地址）。 防护域名 被攻击的防护域名。 www.example.com 命中规则 内置Web基础防护规则ID。 URL 攻击的防护域名的URL。 /admin 事件类型 发生攻击的类型。 SQL注入攻击 防护动作 防护配置中设置的防护动作，包含：拦截、仅记录、人机验证等。 说明 配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后，如果访问请求命中防护规则，则防护动作显示为“不匹配”。 拦截 在目标事件的“操作”列单击“详情”，可查看目标域名攻击事件详情。

本章节主要介绍权限模型。 基于角色的权限控制 FusionInsight通过采用RBAC（rolebased access control，基于角色的权限控制）方式对大数据系统进行权限管理，将系统中各组件零散的权限管理功能集中呈现和管理，对普通用户屏蔽掉了内部的权限管理细节，对管理员简化了权限管理的操作方法，提升权限管理的易用性和用户体验。 FusionInsight权限模型由“用户－用户组－角色－权限”四类对象构成。 权限模型 权限 由组件侧定义，允许访问组件某个资源的能力。不同组件针对自己的资源，有不同的权限。 例如： −HDFS针对文件资源权限，有读、写、执行等权限。 −HBase针对表资源权限，有创建、读、写等权限。 角色 组件权限的一个集合，一个角色可以包含多个组件的多个权限，不同的角色也可以拥有同一个组件的同一个资源的权限。 用户组 用户的集合，当用户组关联某个或者多个角色后，该用户组内的用户就将拥有这些角色所定义的组件权限。 不同用户组可以关联同一个角色，一个用户组也可以不关联任何角色，该用户组原则上将不具有任何组件资源的权限。 说明 部分组件针对特定的默认用户组，系统默认赋予了部分权限。 用户 系统的访问者，每个用户的权限由该用户关联的用户组和角色所对应的权限构成，用户需要加入用户组或者关联角色来获得对应的权限。 基于策略的权限控制 Ranger组件通过PBAC（policybased access control，基于策略的权限控制）方式进行权限管理，可对HDFS、Hive、HBase等组件进行更加细粒度的数据访问控制。 说明 组件同时只支持一种权限控制机制，当组件启用Ranger权限控制策略后，通过FusionInsight Manager创建的角色中关于该组件的权限将失效（HDFS与Yarn的组件ACL规则仍将生效），用户需通过Ranger管理界面添加策略进行资源的赋权。 Ranger的权限模型由多条权限策略组成，权限策略主要由以下几方面组成： 资源 组件所提供的可由用户访问的对象，例如HDFS的文件或文件夹、Yarn中的队列、Hive中的数据库/表/列等。 用户 系统的访问者，每个用户的权限由该用户关联的策略来获得。LDAP中的用户、用户组、角色信息会周期性的同步至Ranger。 权限 策略中针对资源可配置各种访问条件，例如文件的读写，具体可以配置允许条件、拒绝条件以及例外条件等。

平台通过多种加速策略实现MFU提升和线性加速比提升。 MFU提升 在平台上使用1152卡对Llama3.1405B进行预训练和微调，通过数据加速、镜像加速、3D并行等加速策略，实现MFU的提升： MFU 芯片算力（%）：达到44.185 MFU CUBE算力（%）：达到47.064 环境配置 服务器型号 Atlas 800T A2 NPU型号 910B2（64GB） 驱动版本 23.0.3 CANN 8.0.RC2 Python 3.10.14 MindSpore 2.3.1 Mindformers dev分支（5bfebf+diff.patch） 训练配置 Epochs 100 Learning Rate 6.e5 Global Batch Size 2048 Batch Size 1 Micro Batch Size 256 Sequence Length 4096 Data Parallel (DP) 8 Model Parallel (MP) 8 Pipeline Parallel (PP) 18 maxdevicememory 54GB jitlevel O2 训练结果 吞吐量（tokens/s/p） 61.962 MFU 芯片算力（%） 44.185 MFU CUBE算力（%） 47.064 线性加速比提升 在平台测试模型训练规模的性能线性比，分别测试1k，2k，4k，6k，9k规模并作对比如下（以千卡规模为基准）： 训练规模（卡数） 吞吐量（tokens/s/p） MFU（芯片/CUBE）（%） 线性比（%） 1024 407.701 47.847 / 50.965 100 2048 403.415 47.344 / 50.429 98.95 4096 400.734 47.030 / 50.094 98.29 6144 393.577 46.190 / 49.200 96.54 9216 366.915 43.061/ 45.867 90.00

本文主要介绍如何启、停弹性云主机。 弹性云主机的生命周期管理包括启动、关闭、重启和删除。 大量弹性云主机同时启动或关闭时，会加重主机的负载。如果需要同时对大量弹性云主机执行启动或关闭操作，建议分批进行，避免对其他弹性云主机的业务造成影响。 重启/关闭弹性云主机时，如果弹性云主机长时间处于“正在重启”/“正在关机”状态，可以执行强制重启/强制关机操作。强制重启/强制关机操作会导致弹性云主机中未保存的数据丢失，请谨慎操作。 说明： 如果通过操作系统的shutdown，poweroff，half等命令进行操作，可能会导致命令无效或关机后无法启动。 操作步骤 1、登录管理控制台。 2、单击管理控制台右上角的，选择资源池。 3、选择“计算 > 弹性云主机”。 4、在弹性云主机列表中，勾选需要进行操作的弹性云主机实例。 5、单击弹性云主机列表左上角的“开机/关机/重启/删除”。 6、参考界面提示信息，单击“是”，完成弹性云主机的“开机/关机/重启/删除”操作。 说明： 如果弹性云主机处于如下中间状态超过30分钟，则说明出现异常，需要联系管理员处理： 开机中 关机中 重启中 强制重启中 正在删除

删除工作负载/任务 若工作负载无需再使用，您可以将工作负载或任务删除。工作负载或任务删除后，将无法恢复，请谨慎操作。本文以无状态工作负载为例说明如何使用删除功能。 步骤 1 登录CCE控制台，进入一个已有的集群，在左侧导航栏中选择“工作负载”。 步骤 2 单击待删除工作负载后的“更多 > 删除”，删除工作负载。 请仔细阅读系统提示，删除操作无法恢复，请谨慎操作。 步骤 3 单击“是”。 说明 若Pod所在节点不可用或者关机，负载无法删除时可以在详情页面实例列表选择强制删除。 请确保要删除的存储没有被其他负载使用，导入和存在快照的存储只做解关联操作。 事件 本文以无状态工作负载为例说明如何使用事件功能。任务或定时任务中的事件功能可直接单击工作负载操作栏中的“事件”按钮查看。 步骤 1 登录CCE控制台，进入一个已有的集群，在左侧导航栏中选择“工作负载”。 步骤 2 选择“无状态负载”页签，单击工作负载名称，可在“实例列表”中单击某个实例的“事件”按钮，查看该工作负载或具体实例的事件名称、事件类型、发生次数、Kubernetes事件、首次和最近发生的时间。 说明 事件保存时间为1小时，1小时后自动清除数据。

d dbgbk Did not find any relation named "dbgbk". teledb l+ dbgbk List of databases Name Owner Encoding Collate Ctype Access privileges Size Tablespace Description ++++++++ dbgbk teledb GBK zhCN.gbk zhCN.gbk 19 MB pgdefault (1 row) 指定排序规则 plaintext teledb create database teledbdblccollate lccollate 'C' template template0; CREATE DATABASE 指定分组规则 plaintext teledb create database teledblcctype LCCTYPE 'C' template template0; CREATE DATABASE 配置数据可连接 plaintext teledb create database teledballowconnections ALLOWCONNECTIONS true; CREATE DATABASE teledb select datallowconn from pgdatabase where datname 'teledballowconnections'; datallowconn t (1 row) teledb c teledballowconnections You are now connected to database "teledballowconnections" as user "teledb". 配置连接数 plaintext teledb create database teledbconnlimit CONNECTION LIMIT 100; CREATE DATABASE teledb select datconnlimit from pgdatabase where datname'teledbconnlimit'; datconnlimit 100 (1 row) 配置数据库可以被复制（是否模板数据库） plaintext teledb create database teledbistemplate istemplate true; CREATE DATABASE teledb select datconnlimit from pgdatabase where datname'teledbconnlimit'; datconnlimit 100 (1 row) 多个参数一起配置 plaintext teledb create database teledbmul owner teledbuser CONNECTION LIMIT 50 template template0 encoding 'utf8' lccollate 'C'; CREATE DATABASE

d dbgbk Did not find any relation named "dbgbk". teledb l+ dbgbk List of databases Name Owner Encoding Collate Ctype Access privileges Size Tablespace Description ++++++++ dbgbk teledb GBK zhCN.gbk zhCN.gbk 19 MB pgdefault (1 row) 指定排序规则 teledb create database teledbdblccollate lccollate 'C' template template0; CREATE DATABASE 指定分组规则 teledb create database teledblcctype LCCTYPE 'C' template template0; CREATE DATABASE 配置数据可连接 teledb create database teledballowconnections ALLOWCONNECTIONS true; CREATE DATABASE teledb select datallowconn from pgdatabase where datname 'teledballowconnections'; datallowconn t (1 row) teledb c teledballowconnections You are now connected to database "teledballowconnections" as user "teledb". 配置连接数 teledb create database teledbconnlimit CONNECTION LIMIT 100; CREATE DATABASE teledb select datconnlimit from pgdatabase where datname'teledbconnlimit'; datconnlimit 100 (1 row) 配置数据库可以被复制（是否模板数据库） teledb create database teledbistemplate istemplate true; CREATE DATABASE teledb select datconnlimit from pgdatabase where datname'teledbconnlimit'; datconnlimit 100 (1 row) 同时配置多个参数 teledb create database teledbmul owner teledbuser CONNECTION LIMIT 50 template template0 encoding 'utf8' lccollate 'C'; CREATE DATABASE

安全专区高级版支持进行网站漏洞扫描，分析网站安全问题。 功能说明 安全专区高级版支持进行网站漏洞扫描，分析网站安全问题。包括网站根域名、子域名漏洞扫描及其资产的风险状态和告警数量统计信息。 应用列表 1.进入【资产管理】→【域名】，通过域名对WEB资产进行安全状态管理。 2.可选择点击【根域名】和【子域名】进行分组查询和管理。 应用管理 新建应用域名 点击左上角【新建】，进行应用域名创建，填写域名、资产IP地址及选择域名类型。提交确定即可。 编辑应用域名 在域名操作栏，点击编辑及删除按钮，可对应用域名进行编辑或删除。 WEB漏洞扫描 在域名操作栏，点击【扫描】按钮，可对应用域名进行WEB漏洞扫描。选定多个域名，点击【快速扫描】按钮可进行批量扫描。 扫描任务完毕后，系统会自动更新域名漏洞数据及扫描时间。 点击任务的日志信息，可查看相关任务详情，例如具体终端IP地址、任务发生时间等。

本小节介绍云堡垒机升级操作方法。 当云堡垒机的资产规格不能满足需求时，可对云堡垒机实例进行资产规格升级，扩大纳管的资产数上限。 注意 当前仅支持同实例规格内变更资产规格，不支持跨实例规格变更。 仅支持云堡垒机资产规格升级，暂不支持资产规格降级，若需要降级，请先备份相关数据，退订堡垒机实例后重新订购新实例。 只有2.0及以上版本的堡垒机支持提升规格。 前提条件 已获取管理控制台的登录账号与密码。 实例已绑定EIP，且EIP可用。 实例的状态为“运行中”时，支持变更规格。 步骤一：变更资产规格 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择需变更规格的实例，单击“更多 > 变更规格”，跳转到“变更规格”页面。 4. 选择需变更的“资产规格”。 5. 阅读并同意相关协议后，单击“提交订单”。在订单详情页面根据提示完成支付。 后台自动进行变更规格操作，实例状态更新为“变配中”，整个变更规格过程需10分钟左右。 变更完成后，实例状态恢复为“运行中”。

本文汇总了使用虚拟私有云产品时常见的路由类问题。 路由表可以跨VPC存在吗？ 不可以。 路由就是指导IP数据报文转发的路径。路由表由一系列路由规则组成，配置路由规则需要指定目的地址、下一跳类型、下一跳实例。通过路由条目，生成路由表，根据路由表中的条目，进行路径选择。路由表用于管理VPC内的实例流量走向，只能存在于某个VPC内。 路由表收费吗？ 不收费。 路由表由一系列路由规则组成，配置路由规则需要指定目的地址、下一跳类型、下一跳实例。默认路由表随着VPC自动创建，您也可以根据业务流量规划自定义路由表及路由规则。默认路由表、自定义路由表均不收费。 默认路由表的作用是什么？ 路由表用于控制虚拟私有云的流量走向。对于可用区资源池来说，在新建VPC时，会默认生成一个默认路由表，每个VPC都会对应一个默认路由表。新建的子网也会关联到默认路由表下，您也可以创建自定义路由表，将子网关联到自定义路由表。 从对等连接、专线网关、VPN网关过来的流量且目的地址不在本VPC时，会自动匹配本VPC的默认路由表。通过默认路由表可以实现跨VPC防火墙引流场景，具体参考如何通过对等连接部署第三方公共防火墙。

统计表 以连接池为维度，详细显示各自的连接信息，表头如下。 连接池ID：用于标识DBCP连接池的唯一标识符或ID。它可以用于区分不同的连接池实例。 初始化连接数：指在连接池初始化时创建的初始连接数量。 活跃连接数：表示当前正在被使用的连接数，即已经被借出但未归还的连接数。 空闲连接数：表示当前可用的空闲连接数，即没有被使用的连接数。 连接池最小空闲数：连接池维持的最小空闲连接数。当连接池中的空闲连接数少于该限制时，将创建新的连接。 连接池最大空闲数：连接池允许的最大空闲连接数。当连接池中的空闲连接数超过该限制时，多余的空闲连接将被关闭。 等待连接被回收的最长时间(ms)：连接在归还到连接池之前可以等待的最长时间。如果连接池中没有空闲连接，请求归还连接的操作将等待一段时间，如果超过该时间仍未归还，则连接会被强制回收。 验证连接是否有效的时间周期(ms)：连接池对连接进行验证的时间周期。在该周期内，连接池会定期验证连接的有效性，以确保连接仍然可用。 统一交互操作说明： 将光标移到统计图上，可以查看光标所至时间点的数据详情。 单击图标，可以将当前图表放大显示。

本节介绍了修复节点操作系统CVE漏洞的用户指南。 节点操作系统中的CVE漏洞可能导致集群出现远程代码执行、数据泄露与篡改、服务中断等问题，威胁集群的安全性、稳定性、和合规性。使用操作系统（OS）CVE漏洞修复功能，扫描节点上的安全漏洞，获取修复建议和方法，快速修复出现的漏洞威胁。 本文主要介绍如何使用修复节点操作系统CVE漏洞功能。 前提条件 本功能是天翼云服务器安全卫士（原生版）提供的高级功能，使用时需要开通服务器安全卫士（原生版）的企业版或旗舰版，且保证配额大于或等于集群节点数量。云容器引擎不额外收取费用。具体操作，请参见开通服务器安全卫士（原生版）、计费模式。 因节点修复漏洞需要拉取外部软件源，所以请确保在修复前节点有公网访问能力。开通公网能力可参考使用SNAT访问公网或绑定弹性IP。 约束与限制 CVE的兼容性由服务器安全卫士（原生版）保证，请自行检查集群应用与CVE的兼容性。 如果您的CVE漏洞修复时需要通过重启节点来实现，请在重启节点前将业务Pod调度到其他节点。 同一时间段内，一个节点池中仅支持一个CVE漏洞修复任务运行。