本章节主要介绍翼MapReduce服务隔离主机。 操作场景 用户发现某个主机出现异常或故障，无法提供服务或影响集群整体性能时，可以临时将主机从集群可用节点排除，使客户端访问其他可用的正常节点。在为集群安装补丁的场景中，也支持排除指定节点不安装补丁。 该任务指导用户在MRS Manager上根据实际业务或运维规划手工将主机隔离。隔离主机仅支持隔离非管理节点。 对系统的影响 主机隔离后该主机上的所有角色实例将被停止，且不能对主机及主机上的所有实例进行启动、停止和配置等操作。 主机隔离后无法统计并显示该主机硬件和主机上实例的监控状态及指标数据。 操作步骤 在MRS Manager单击“主机管理”。 1. 勾选待隔离主机前的复选框。 2. 选择“更多 > 隔离主机”。 3. 在“隔离主机”，单击“确定”。 界面提示“操作成功。”，单击“完成”，主机成功隔离，“操作状态”显示为“已隔离”。 说明 已隔离的主机，可以取消隔离重新加入集群，请参见

状态“可用”的微服务引擎专享版，绑定公网IP后可提供公网访问微服务引擎专享版的能力。 须知： 未开启安全认证的微服务引擎无认证鉴权能力，开放到公网面临安全风险，增加系统的脆弱性。如：配置、服务信息等数据资产可能会被窃取。 请不要在生产环境和安全要求较高的网络环境中使用该功能。 开启公网访问 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击待开启公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 步骤 3 开启“公网访问”开关，在弹出的对话框勾选“我已知晓安全风险”，单击“确定”。 步骤 4 单击“弹性IP地址”后的下拉框。在下拉框中选择可用弹性IP，单击下拉框后侧的“√”。 若下拉框中无可用弹性IP，请单击“创建弹性IP”，根据界面提示创建。 关闭公网访问 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击待关闭公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 步骤 3 关闭“公网访问”开关。 步骤 4 在弹出对话框单击“确定”。

本章节主要介绍如何通过Ranger进行UDF管控。 在大数据平台中，UDF常用于扩展SQL的表达能力，例如字符串处理、脱敏转换、时间计算等。但如果缺少统一的权限管控，部分高风险UDF可能被滥用，进而带来数据泄露、越权访问或不符合规范的计算行为。因此，需要通过Ranger对UDF的访问进行统一治理，实现对函数使用范围的精细化控制。 操作步骤 1、登录Ranger的WebUI界面。 2、点击Hadoop SQL下的Hive页签，您可以对Hive UDF进行权限管控： 1）点击右上角的“Add New Policy”添加新策略。 2）Ranger Hive可以配置UDF权限，例如配置一个用户是否可以使用、创建UDF，具体配置见下图。 具体参数说明如下： 参数名称 描述 Policy Name 策略名称，可自定义，不能与本服务内其他策略名称重复。 Policy Label 为当前策略指定一个标签，您可以根据这些标签搜索报告和筛选策略。 database 将适用该策略的列Hive数据库名称。 udf 指定UDF的名称。 Description 策略描述信息。 Audit Logging 是否审计此策略。 Allow Conditions 策略允许条件，配置本策略内允许的权限及例外。 如需添加多条权限控制规则，可单击+按钮添加。 如需当前条件中的用户或用户组管理本条策略，可勾选“Delegate Admin”，这些用户将成为受委托的管理员。被委托的管理员可以更新、删除本策略，它还可以基于原始策略创建子策略。 Deny Conditions 策略拒绝条件，配置本策略内拒绝的权限及例外，配置方法与“Allow Conditions”类似。 3）如果该函数由 Hive 注册，且函数类型为 UDAF，则在 Ranger 配置 Policy 时需要特别注意 Database 字段的填写方式。此类函数的库名前需要补充前缀 @。例如，若函数的限定名称为 testdb.testfunction，则在 Policy 配置页面中，Database 应填写为 @testdb。

本节主要介绍分布式缓存服务Redis版认证与访问控制方式 分布式缓存服务Redis版支持CTIAM身份认证和多种访问控制，多维度保障您数据的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关分布式缓存服务Redis版实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式缓存服务Redis版实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式缓存服务Redis版构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的Redis实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问Redis实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见修改实例安全组

本节介绍如何通过文件备份恢复数据。 操作场景 当出现不可控因素导致文件损坏或丢失时，您可以选择指定的备份副本创建恢复任务，将已备份的文件恢复到原目录或指定目录。 约束限制 有可用的备份副本才能进行恢复，若备份副本被删除则无法进行恢复。 机器处于运行状态，且客户端状态为“已激活”。 备份副本无法选择客户端版本不匹配的机器进行恢复，恢复将会失败。 前提条件 已创建备份副本。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。单击左侧“ECS文件备份”或“本地文件备份”按钮，进入文件备份控制台。 4. 单击“备份副本”按钮，进入备份副本列表。 5. 在待恢复的备份副本操作栏单击“恢复”。 6. 进入“恢复”页面，配置需要恢复的具体文件 参数 说明 恢复所有文件 将恢复该备份副本中的所有文件。 恢复部分文件 勾选或输入需要恢复的指定的文件或文件夹。 7. 点击下一步，配置恢复参数 参数 说明 参考取值 恢复目录存在重名文件时 当待恢复的目录下存在与备份副本中文件重名的场景，提供3种处理方式。 跳过此文件：跳过备份副本中与待恢复目录重名的文件，不进行恢复，即保留恢复目录中已有的文件。 保留最新版本文件：比较备份副本与待恢复目录下重名文件的更新时间，在恢复目录下保留两者中版本最新的文件。 覆盖恢复目录重名文件：用备份副本中的文件覆盖待恢复目录下的重名文件。 跳过此文件 恢复模式 恢复到指定目录：将数据恢复到指定目录，您可以选择恢复至原机器的指定目录，也可以选择恢复至其他机器的指定目录下。 恢复到原目录：将数据恢复至原机器的原目录。 注意：如果备份的是根目录，不建议直接恢复到原目录，若需要恢复到原目录，建议选择“排除系统目录”。 恢复到指定目录 恢复流量限制 若选择启用恢复流量限制，可支持配置指定时间段的恢复流量速度上限。 限速时间段：配置需要进行流量限制的起止时间。 流量限制：配置该时间段的流量速度上限。 注意 ：使用恢复流量限制功能的目的端客户端版本需不低于v2.6.0，最多可配置3个时间段。 9：00到12：00进行5MB/s的流量速度限制 8. 单击“确定”完成恢复任务创建。恢复任务创建后，可以在恢复任务页面的状态栏查看相关进度。

本节介绍用户创建、使用自定义策略。如果系统预置的DEW权限，不满足您的授权要求，可以创建自定义策略。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择策略内容，可自动生成策略。创建KMS自定义策略时： “云服务”：数据加密服务（KMS）。 “操作”：根据您的需求进行选择。 “选择资源（可选）”：“资源”选择“特定资源”，“KeyId”选择“通过资源路径指定”时，“路径”为创建密钥时生成的ID。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 DEW自定义策略样例 示例：授权用户创建密钥 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:cmk:create", "kms:cmk:getMaterial", "kms:cmkTag:create", "kms:cmkTag:batch", "kms:cmk:importMaterial" ] } ] } 示例：授权用户使用密钥 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:dek:crypto", "kms:cmk:get", "kms:cmk:crypto", "kms:cmk:generate", "kms:cmk:list" ] } ] } 示例：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "rds:task:list" ] }, { "Effect": "Allow", "Action": [ "kms:dek:crypto", "kms:cmk:get", "kms:cmk:crypto", "kms:cmk:generate", "kms:cmk:list" ] } ] }

模块 权限 权限码 权限范围 企业项目 管理企业项目 msap:inst:manageEnterpriseProject 子账号拥有此权限才可以查看对应的企业项目 环境规划 查看环境 msap:inst:viewEnv 查看环境，部署单元等查看权限 环境规划 创建环境 msap:inst:createEnv 创建环境，部署单元权限 环境规划 更新环境 msap:inst:updateEnv 更新环境，部署单元权限 环境规划 删除环境 msap:inst:deleteEnv 删除环境，部署单元权限 环境规划 查看集群 msap:inst:viewCluster 查看集群 环境规划 管理集群 msap:inst:manageCluster 管理集群（包括导入权限，移除） 项目管理 查看项目 msap:inst:viewProject 查看项目，以及关联的环境数据 项目管理 创建项目 msap:inst:createProject 创建项目 项目管理 更新项目 msap:inst:updateProject 更新项目，以及关联的环境数据 项目管理 删除项目 msap:inst:deleteProject 删除项目 应用 查看应用 msap:inst:viewApplication 查看应用 应用 管理应用 msap:inst:manageApplication 管理应用，包括创建、更新、删除应用 应用 查看应用分组 msap:inst:viewAppGroup 查看应用分组 应用 管理应用分组 msap:inst:manageAppGroup 管理应用分组，包括创建、更新、删除应用分组 技术栈 查看技术栈 msap:inst:viewTechStack 查看技术栈 技术栈 管理技术栈 msap:inst:manageTechStack 管理技术栈，创建、更新、删除技术栈 制品库 查看制品库 msap:inst:artifactory 查看制品库，包括制品、镜像、资源占用等查看权限 制品库 管理制品库 msap:inst:manageArtifactory 同步镜像等权限 应用实例运维 查看应用实例 msap:inst:viewAppInst 涉及查看应用实例、发布单列表、批量发布单等一系列应用实例查看权限 应用实例运维 创建应用实例 msap:inst:createAppInst 创建应用实例 应用实例运维 管理应用实例 msap:inst:manageAppInst 涉及应用的更新、发布（发布单创建、更新、删除）、生命周期管理等一些列操作权限 应用实例运维 删除应用实例 msap:inst:deleteAppInst 删除应用实例 应用实例运维 配置应用实例 msap:inst:configureAppInst 接口访问配置；微服务治理 应用实例运维 查看Kubernetes配置 msap:inst:viewK8sConfiguration 查看Kubernates配置：配置项，保密字典，配置模板 应用实例运维 配置Kubernetes msap:inst:configureK8s 配置Kubernates（增删改）：配置项，保密字典，配置模板 应用实例运维 查看Ingress路由 msap:inst:viewIngress 查看Ingress应用路由 应用实例运维 管理Ingress路由 msap:inst:manageIngress 管理Ingress应用路由 应用实例运维 批量运维 msap:inst:batchOps ECS批量运维 服务治理 查看微服务配置 msap:inst:msConfig 查看微服务配置 服务治理 管理微服务配置 msap:inst:manageMsConfig 管理微服务配置 服务治理 查看全链路流量控制 msap:inst:traffic 查看全链路流量控制 服务治理 管理全链路流量控制 msap:inst:manageTraffic 管理全链路流量控制 系统管理 主子账号 msap:inst:viewAccount 查看主子账号及子账号权限策略 系统管理 查看服务连接 msap:inst:viewServiceConnect 查看服务连接 系统管理 管理服务连接 msap:inst:manageServiceConnect 管理服务连接 系统管理 审计日志 msap:inst:viewBgLog 查看审计日志权限

本产品接口请求的返回状态码列表，包含正常和异常状态码、状态码对应状态信息、描述等。 状态码 错误码 返回信息 含义 200 0 成功 成功操作 400 KMS.0101 参数缺失 所传参数缺失 400 KMS.0102 CmkUuid cannot be empty 主密钥id不能为空 400 KMS.0103 AliasName cannot be empty 别名不能为空 400 KMS.0104 Digest cannot be empty 待签名值不能为空 400 KMS.0105 KeyVersionId cannot be empty 请选择主密钥版本 400 KMS.0106 Sign algorithm cannot be empty 请选择签名算法 400 KMS.0107 Plaintext can notbe empty 请输入需要加密的明文 400 KMS.0108 Ciphertextblob cannot be empty 请输入待解密密文 400 KMS.0109 Reencrypt cmkuuid cannot be empty 请选择转加密主密钥 400 KMS.0110 Asymmetric encrypt need sourceuuid 非对称加密需选择密文对应的主密钥id 400 KMS.0111 Asymmetric encrypt need sourceKeyVersion 非对称加密需选择密文对应的主密钥版本 400 KMS.0112 DestinationUuid cannot be empty 转加密主密钥不能为空 400 KMS.0113 Protectionlevel cannot be empty 保护等级不可为空 400 KMS.0114 Algorithm cannot be empty 加密算法不能为空 400 KMS.0115 Regionid cannot be empty 资源池id不能为空 400 KMS.0116 Enableautoatocrotatiom cannot be empty 请选择是否进行密钥轮转 400 KMS.0117 Keyusage can not be empty 请选择密钥用途 400 KMS.0118 Rotationinterval cannot be empty 请选择密钥轮转周期 400 KMS.0119 Nextrotationdate is empty 下次轮转时间为空 400 KMS.0120 Algorithm for import cannot be empty 选择导入密钥加密算法 400 KMS.0121 KeySpec for publickey cannot be empty 选择公钥类型 400 KMS.0122 Pendingwindowindays cannot be empty 选择延迟删除时间 400 KMS.0123 Token cannot be empty token为空 400 KMS.0124 Encryptenkeymeterial cannot be empty 密钥材料不能为空 400 KMS.0125 Sign value cannot be empty 请输入签名值 400 KMS.0126 Keyspec cannot be empty 加密算法不能为空 400 KMS.0127 Userid cannot be empty 用戶id不能为空 400 KMS.0128 Request JSON format is illegal 请求JSON格式非法 400 KMS.0129 The request message is too long 请求消息太长 400 KMS.0130 The page size is too large 单页数据过多 400 KMS.0131 The public blob can not be empty 公钥不能为空 400 KMS.0132 AliasName is too long 别名长度过长 400 KMS.0133 AliasName is not legal 别名不合法 400 KMS.0134 Wrappingalgorithm cannot be empty 算法不能为空 400 KMS.0135 Product cannot be empty 产品不能为空 400 KMS.0136 Product is not exist 产品不存在 400 KMS.0137 Messagetype is wrong 消息格式错误 400 KMS.0138 The certificate id is wrong 证书ID错误 400 KMS.0139 Certificate does not match certificate chain 证书与证书链不匹配 400 KMS.0140 Certificate format error 证书格式错误 400 KMS.0141 Certificate algorithm not supported 证书算法不支持 400 KMS.0142 The privatekey of the certificate cannot be exported 证书私钥不可导出 400 KMS.0143 The cert is not availible 证书不存在 400 KMS.0144 The formate of cert export is wrong 导出证书格式错误 400 KMS.0201 Alias already exists 別名已存在 400 KMS.0202 The default CMK cannot create an alias 默认主密钥不能创建别名 400 KMS.0203 The selection CMK is not available 选择主密钥不可用 400 KMS.0204 The selected CMK is not available for signature and verification 选择的主密钥不可用于签名验签名 400 KMS.0205 The selected CMK is not available for encryption and decryption 选择的主密钥不可用于加密解密 400 KMS.0206 The CMK is disabled 密钥不是可用状态 400 KMS.0207 The CMK cannot be enabled 密钥不可启用 400 KMS.0208 The Cmk has deletion task 密钥已有删除计划 400 KMS.0209 The CMK has no deletion task 密钥无删除计划 400 KMS.0210 The CMK cannot be imported 密钥不可导入 400 KMS.0211 The CMK does not support automatic rotation 该密钥不支持自动轮转 400 KMS.0212 The selection algorithm is not supported 选择算法不支持 400 KMS.0213 The CMK is not a symmetric key 密钥不是对称密钥 400 KMS.0214 The CMK is not a asymmetric key 密钥不是非对称密钥 400 KMS.0215 Wrong algorithm format 算法格式错误 400 KMS.0216 Wrong keyusage type 密钥用途类型错误 400 KMS.0217 Wrong input of parameter format! Please enter true / false 参数格式输入有误！请输入true/false 400 KMS.0218 Wrong protectionlevel 保护等级错误 400 KMS.0219 Wrong ciphertext 密文有误 400 KMS.0220 Key length input error,this algorithm only supports AES256 密钥长度输入错误，该算法仅支持AES256 400 KMS.0221 Key length input error,this algorithm only supports SM4128 密钥长度输入错误，该算法仅支持SM4128 400 KMS.0222 Key length input error,this algorithm only supports RSA2048 密钥长度输入错误，该算法仅支持RSA2048 400 KMS.0223 This algorithm only supports AES/SM4 目前仅支持AES/SM4算法 400 KMS.0224 Wrong rotationlevel format 轮转周期格式不合法 400 KMS.0225 Asymmetric CMK cannot be imported 非对称密钥不可导入 400 KMS.0226 Wrong pendingwindowindays format 删除时间不合法 400 KMS.0227 Unsupported keyspec 不支持的密钥类型 400 KMS.0228 The number of the CMK rotation of the user has reached the upper limit 该用户密钥轮转次数已达上限! 400 KMS.0229 Failed to execute key rotation. The key has been rotated within 7 days! 执行密钥轮转失败,该密钥7天内已执行过轮转! 400 KMS.0230 The current CMK is in the state of pause rotation. Please enable the master key or cancel the plan deletion before operation! 当前密钥处于暂停轮转状态，请启用主密钥或取消计划删除后再操作 400 KMS.0231 PageSize exceeds threshold pagesize超过阈值 400 KMS.0232 Symmetric key can not use to sign or verify 对称密钥不能用于签名验签 400 KMS.0233 This key cannot operation alias 密钥不能操作别名 400 KMS.0234 Default key cannot delete alias 默认密钥不能删除别名 400 KMS.0235 WRONG time format 时间格式错误 400 KMS.0236 Wrong algorithm for import 导入密钥算法错误 400 KMS.0237 Wrong keyspec for import 算法格式错误 400 KMS.0238 The number of asymmetric keys in a region cannot be greater than 50 非对称密钥不能超过50个 400 KMS.0239 Key decryption failed 密钥解密失败 400 KMS.0240 Cmkuuid is not legal cmkuuid不合法 400 KMS.0241 Cmk length is wrong 对称密钥长度不合法 400 KMS.0242 Origin type wrong 密钥类型格式错误 400 KMS.0243 The default CMK cannot update an alias 默认主密钥不能创建别名 400 KMS.0244 The destinationKeyId is not a symmetric key 转加密密钥不是对称密钥 400 KMS.0245 The Meterial for import is already exist 密钥材料已经存在 400 KMS.0246 destinationKeyId cannot use ID无法使用 400 KMS.0247 Data key ciphertext wrong 数据密钥密文错误 400 KMS.0248 The cmk already has a meterial 该密钥已导入 400 KMS.0249 The length of plaintext exceeds the limit 加密数据长度超过限制 400 KMS.0250 Asymmetric CMK cannot create datakey 非对称主密钥不能创建数据密钥 400 KMS.0251 Only support RSA cmk 只支持RSA类型的密钥 400 KMS.0252 Plaintext need to be base64 非对称密钥加密解密的明文需要base64 400 KMS.0253 KeySpec cannot be empty 密钥类型不能为空 400 KMS0254 Subject cannot be empty 证书主体不能为空 400 KMS0255 certificateId cannot be empty 证书id不能为空 400 KMS0256 status cannot be empty 证书状态不能为空 400 KMS0257 the certificate has not been imported 证书未导入 400 KMS0258 the certificate has been active 证书已被启用 400 KMS0259 the certificate has been revoked 证书已被吊销 400 KMS0260 the certificate has been inactive 证书已被禁用 404 KMS.0301 The CMK does not exist or has been deleted 密钥不存在或已删除 404 KMS.0302 The target CMK does not exist 目标主密钥不存在 404 KMS.0303 The target alias does not exist 目标别名不存在 404 KMS.0304 The target CMK does not exist or in illegal status 目标主密钥不存在或状态不合法 404 KMS.0305 The destination cmk does not exist or has been deleted 密钥不存在或已删除 404 KMS.0306 The cmk is not enable 密钥不存在或已删除 404 KMS.0307 DestinationKeyId do not exist DestinationKeyId不存在 404 KMS.0308 The soucekeyid CMK does not exist 密钥不存在 404 KMS.0309 The certificate does not exist or has been deleted 证书不存在或已删除 404 KMS0310 The certificate hsa been deleted 证书已被删除 401 KMS.0401 Token validation failed token验证失败 401 KMS.0402 Sign wrong AKSK签名错误 401 KMS.0403 Time format wrong 时间格式错误 401 KMS.0404 Out of time 超时 401 KMS.0405 You cannot visit the url 无法访问 401 KMS.0406 User is freeze 用户被冻结 401 kms.0407 Interface counter exceeded 接口达到访问次数 500 KMS.0501 There are no rotation tasks to be performed 没有待执行的轮转任务 500 KMS.0502 Failed to delete alias 刪除别名失败 500 KMS.0503 Key initialization failed 密钥初始化失败 500 KMS.0504 Key decryption failed 密钥解密失败 500 KMS.0505 HSM failed to create user key 密码机创建用户密钥失败 500 KMS.0506 Failed to create delay delete task 创建延时删除任务失败 500 KMS.0507 Failed to send MQ for rotation task 轮转任务发送mq失败 500 KMS.0508 Delay delete task sending MQ failed 延时删除任务发送mq失败 500 KMS.0509 Failed to send MQ for delete key material task 删除密钥材料任务发送mq失败 500 KMS.0510 Failed to create default CMK 创建默认主密钥失败 500 KMS.0511 Failed to get random key 获取随机密钥失败 500 KMS.0512 Failed to create data key 创建数据密钥失败 500 KMS.0513 Data key decryption failed 数据密钥解密失败 500 KMS.0514 CMK encryption failed 用戶主密钥加密失败 500 KMS.0515 Failed to create CMK 创建用户密钥失败 500 KMS.0516 Key rotation failed! 执行密钥轮转失败 500 KMS.0517 Failed to execute key rotation policy 执行密钥轮转策略失败 500 KMS.0518 Failed to update key description 更新密钥轮转策略失败

本节介绍如何在控制台为文件系统实例添加标签。 绑定标签 您可以在创建文件系统时，打开“是否编辑标签”的开关，输入或下拉选择标签数据，完成标签绑定。或者在文件系统创建成功后，可以在文件系统列表为其添加标签，支持批量绑定、解绑标签。 使用限制与配置参数说明 默认每个资源最多可绑定 50 个标签。 每个资源下的标签键是唯一的，不可绑定相同标签键。 每个资源下的标签键对应的标签值唯一，如修改已有标签键对应的标签值，新标签值将会覆盖旧标签值，且该过程不可逆。例如，将文件系统实例的 business: service1 的标签值service1，修改为 service2，则新标签 business:service2 将覆盖旧标签 business: service1。 配置参数说明如下： 字段 字段说明 校验规则 标签键 输入新标签键或选择原有标签键。 选择框支持模糊搜索，下拉框支持展示所有标签。 输入标签键则代表创建标签，选择原有标签键则代表修改现有标签。 不能为空。 首字符不能为空格。 长度不超过 128 个字符。 标签值 输入新标签值或不修改原有标签值。 选择框支持模糊搜索，下拉框支持展示所有标签。 输入标签值则代表修改标签。 不能为空。 首字符不能为空格。 长度不超过 128 个字符。 操作步骤 单个实例绑定一个或多个标签 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择 “存储”>“并行文件服务 HPFS”。 3. 方式一：单击右上角“创建文件系统”按钮，在创建文件系统页面最下方，打开“是否编辑标签”的开关，输入或下拉选择标签数据。 方式二：在文件系统列表中，点击待添加标签的文件系统的“操作”>“更多”>“编辑标签”。 4. 弹出“编辑标签”窗口，键入标签“标签键”，和“标签值”。支持同时添加多个标签，单击“确定”，完成标签的添加。 5. 在此文件系统列表页的“标签”列处，点击标签图标可看到已添加的标签信息。 多个实例绑定一个或多个标签 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择 “存储”>“并行文件服务 HPFS”。 3. 在文件系统列表中，勾选需要批量绑定标签的文件系统实例，点击列表上方按钮“批量绑定标签”。 4. 在“批量绑定标签”弹窗中，展示了所选文件系统实例，您可以按照使用限制与配置参数说明要求填写/选择标签键值，新增标签键值对。新增完成后，所有被勾选的文件系统实例都将绑定该新增标签。 5. 您还可以在“批量绑定标签”弹窗中，修改标签键值对，执行编辑标签操作。

本文为您介绍容灾演练的操作流程。 操作场景 在不影响业务的情况下，通过容灾演练模拟真实的容灾恢复场景，确保在生产中心发生故障时能够顺畅地进行故障切换，且容灾中心云主机能够正常拉起、接管业务。 操作须知 容灾演练时，云上容灾恢复拉起时部署的云主机会产生费用，仅支持按需计费，收费标准按照云主机标准资费收取。 容灾演练时会创建容灾演练云主机。由于需要创建主机，需要在灾备VPC中申请IP，请保证灾备VPC的IP充足，否则可能导致流程失败。 前提条件 受保护服务器处于“实时复制启动中”、“实时复制中”、“实时复制停止中”或“实时复制停止”状态。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，单击操作列的“容灾演练”，进入容灾演练页面。 7. 在容灾演练页面，根据界面提示，配置容灾演练参数。 参数 说明 容灾云主机名称 请输入切换后的云主机名称。长度为2～15 个字符，只能由英文、数字和特殊字符""组成，且只能以英文开头，以英文或数字结尾。 规格 请选择切换后的云主机规格。 注意：请根据容灾中心实际业务情况选择容灾云主机的规格，如果容灾云主机规格比生产中心降配太多，切换后可能导致业务无法流畅运行。 IP地址 请选择IP地址类型。 两种IP地址类型区别如下： DHCP：动态分配云主机的IP地址。 手动指定：用户可以手动输入指定云主机的IP地址。 磁盘类型 请选择磁盘类型。 恢复点 请选择恢复时间点。默认为当前时间，也可以单击“编辑”选择其他恢复点。 弹性IP 请选择弹性IP。 8. 单击“启动”，开始容灾演练，容灾演练过程中，实时数据复制不受影响。 9. 当容灾演练完成，单击容灾演练信息下的链接，跳转到云主机详情页，远程登录云主机，验证数据与应用。 10. 验证完成后，为了降低容灾演练恢复出来的云主机费用，建议尽快单击该服务器对应的操作栏下的“清空演练环境”，将恢复出来的服务器删除。

事件类型关联布局 说明 系统内置事件类型已默认关联已有布局，暂不支持自定义关联布局。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“事件类型”页签，进入事件类型管理页面。 6. 在事件类型管理页面中，选择需要关联布局的类型，并单击目标类型所在行“操作”列的“关联布局”，页面弹出绑定布局编辑框。 7. 在绑定布局编辑框中，选择需要关联的布局。 8. 单击“确认”。 编辑已有事件类型 说明 暂不支持编辑系统内置事件类型。 自定义事件类型新增成功后，不支持修改“类型名称”、“类型标识”、“子类型标识”参数信息。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“事件类型”页签，进入事件类型管理页面。 6. 在事件类型管理页面的“类型名称”中，单击需要编辑的自定义事件类型名称，右侧将展示自定义事件类型的详细信息。 7. 在右侧事件类型页面，单击目标类型所在行“操作”列的“编辑”，右侧弹出编辑页面。 8. 在编辑事件类型页面中，编辑参数信息。 参数名称 参数说明 类型名称 事件类型的名称，不支持修改。 类型标识 事件类型标识，不支持修改。 子类型 填写事件类型的子类型。 子类型标识 事件子类型标识，不支持修改。 启动状态 设置事件类型的启动状态。 ：表示启用。 ：表示禁用。 SLA 设置事件的SLA处理时间。 描述 自定义事件类型描述信息。 9. 在页面右下角单击“确认”。

检查Flume Agent的目录权限 9.以root用户登录故障节点IP所在主机。 10.执行以下命令，进入Flume Agent的安装目录。 cd Flume 客户端安装目录/fusioninsightflume1.9.0/conf/ 11.执行ls al R命令，检查所有文件的所有者是否均是Flume Agent运行用户。 是，执行步骤12。 否，使用chown命令修改文件所有者为Flume Agent运行用户。 检查Flume Agent配置 12.执行cat properties.properties grep spooldir以及cat properties.properties grep TAILDIR命令，确认Flume Source是否是spooldir类型或TAILDIR类型，若任意一个命令有返回值，则为spooldir类型或TAILDIR类型。 是，执行步骤13。 否，执行步骤17。 13.查看数据监控目录是否存在。 是，执行步骤15。 否，执行步骤14。 说明 查看spooldir监控目录，执行命令：cat properties.properties grep spoolDir 查看TAILDIR监控目录，执行命令：cat properties.properties grep parentDir 14.指定服务器上用户自定义已经存在的数据监控目录。 15.查看Flume Agent运行用户对步骤13所指定的监控目录是否有可读可写可执行权限。 是，执行步骤17。 否，执行步骤16。 说明 使用Flume运行用户进入监控目录，若可以创建文件，这说明Flume运行用户是否对该监控目录具有可读可写可执行权限。 16.执行“chmod 777 Flume 监控目录 ”命令赋予Flume Agent运行用户对步骤13监控目录的可读可写可执行权限。 17.确认Flume Sink对接组件是否处于安全模式。 是，执行步骤18。 否，执行步骤23。 说明 若用户业务配置文件properties.properties的sink为hdfs sink、hbase sink，当配置文件中包含有keytab时，则Flume Sink对接组件处于安全模式。 若用户业务配置文件properties.properties的sink为kafka sink，当配置参数.security.protocol的值为SASLPLAINTEXT或为SASLSSL时，则Flume Sink对接的Kafka处于安全模式。 18.使用“ll ketab 路径命令 ”查看配置文件“.kerberosKeytab”参数所指的keytab认证路径是否存在。 是，执行步骤20。 否，执行步骤19。 说明 ketab路径查看方式：cat properties.properties grep keytab 19.将步骤18中kerberosKeytab参数的值指定为用户自定的keytab路径，执行步骤21。 20.执行步骤18查看Flume Agent运行用户是否有访问keytab认证文件的权限，若返回为keytab路径，则表示有权限，否则无权限。 是，执行步骤22。 否，执行步骤21。 21.执行“chmod 755 ketab 文件 ”赋予步骤19中所指定的keytab文件的可读权限, 并重启Flume进程。 22.查看告警列表中该告警是否已清除。 是，处理完毕。 否，执行步骤23。

本地客户端为Linux系统 Linux系统中，通常可以通过traceroute来进行端口可用性探测。traceroute用于跟踪Internet协议（IP）数据包传送到目标地址时经过的路由，通过发送TCP数据包向目标端口进行探测，以检测从数据包源到目标服务器的整个链路上相应端口的连通性情况。 安装traceroute plaintext sudo yum install y traceroute 或 sudo apt install traceroute 常用traceroute命令格式如下所示。 plaintext traceroute [n] T p n：直接使用IP地址而非主机名称（禁用DNS反查）。 T：通过TCP探测。 p：设置探测的端口号。 ：需要探测的端口号，比如80。 ：需要探测的目标服务器地址，比如192.168.XXX.XXX。 测试示例 traceroute的示例命令和返回结果如下。 测试目标IP的22端口连通性是否正常： plaintext traceroute n T p 22 traceroute to XXX.X.XXX.XXX (XXX.X.XXX.XXX), 30 hops max, 60 byte packets 1 X.X.X.X 0.431 ms 0.538 ms 0.702 ms 2 XX.XX.XXX.XXX 0.887 ms 1.030 ms XX.XX.XXX.XXX 1.309 ms 3 XX.XX.XXX.XXX 0.303 ms 0.390 ms XX.XX.XXX.XXX 0.423 ms 4 XX.XX.XXX.XXX 1.120 ms XXX.XXX.XXX.XXX 0.340 ms 0.540 ms 5 XX.XXX.XXX.XXX 1.744 ms XX.XXX.XXX.XXX 1.076 ms 1.232 ms 6 XX.XXX.XXX.XXX 1.832 ms XX.XXX.XXX.XXX 1.763 ms 63.223.XXX.XXX 1.616 ms 7 XX.XXX.XXX.XXX 2.676 ms XX.XXX.XXX.XXX 1.485 ms 1.806 ms 8 XXX.XX.XXX.XXX 2.437 ms 9 XXX.XX.XXX.XXX 6.856 ms 10 11 12 XXX.XXX.XXX.XXX 8.738 ms 13 XXX.XXX.XXX.XXX 8.248 ms 8.231 ms 14 XX.XXX.XXX.XXX 32.305 ms XX.XXX.XXX.XXX 29.877 ms 15 XX.XXX.XXX.XXX 11.950 ms XX.XXX.XXX.XXX 23.853 ms XX.XXX.XXX.XXX 29.831 ms 16 XX.XXX.XXX.XXX 11.007 ms XX.XXX.XXX.XXX 13.615 ms XX.XXX.XXX.XXX 11.956 ms 17 XX.XXX.XXX.XXX 21.578 ms XX.XXX.XXX.XXX 13.236 ms 18 XXX.X.XXX.XXX 12.070 ms !X 当相关端口在某一跳被阻断，则之后各跳均不会有返回数据，据此就可以判断出异常节点。您可以根据相应节点信息，查询IP归属运营商进行问题反馈。

本章节主要介绍创建专享版集群。 须知 如果需要创建、删除专享版集群或修改API配额，则需具备以下权限之一的账号才能进行操作： DAYU Administrator并且拥有VPCEndpoint Administrator权限。 Tenant Administrator并且拥有VPCEndpoint Administrator权限。 网络环境准备 如下图所示，专享版集群创建后，资源位于资源租户区，由ELB统一对集群节点进行负载均衡。 用户可以通过两种途径访问集群： 内网地址：内网地址为用户VPC内的终端节点IP地址。 外网地址（可选）：外网地址为绑定在ELB上的EIP地址。EIP仅在创建数据服务集群时，勾选开启公网入口，才会具备。 专享版集群网络架构说明 因此，为了保证创建的专享版集群能够被用户访问，创建中需要注意如下网络配置： VPC 虚拟私有云。专享版实例需要配置虚拟私有云（VPC），在同一VPC中的资源（如ECS），可以使用专享版实例的私有地址调用API。 在创建时专享版实例时，建议配置和您其他关联业务相同VPC，确保网络安全的同时，方便网络配置。 弹性公网IP 专享版实例的API如果要允许外部调用，则需要购买一个弹性公网IP，并在购买时绑定给实例，作为实例的公网入口。 安全组 安全组类似防火墙，控制谁能访问实例的指定端口，以及控制实例的通信数据流向指定的目的地址。安全组入方向规则建议按需开放地址与端口，这样可以最大程度保护实例的网络安全。 专享版实例绑定的安全组有如下要求： 1. 入方向：如果需要从公网调用API，或从其他安全组内资源调用API，则需要为专享版实例绑定的安全组的入方向放开80（HTTP）、443（HTTPS）两个端口 2. 出方向：如果后端服务部署在公网，或者其他安全组内，则需要为专享版实例绑定的安全组的出方向放开后端服务地址与API调用监听端口。 3. 如果API的前后端服务与专享版实例绑定了相同的安全组、相同的虚拟私有云，则无需专门为专享版实例开放上述端口。 路由配置 在物理机纳管场景下，如果物理机纳管网段与集群网段不一致，需要配置路由。 进入集群“基本信息”页面，可以增加或删除路由，如下图所示。 说明 如果数据服务集群无路由配置功能，可联系相关支撑人员修改配置项dlm.instance.route.action.support启用此功能。

本文带您规避Intel处理器芯片存在的Meltdown和Spectre安全漏洞可能带来的问题。 问题描述 2018年1月3日，Intel处理器芯片被曝出存在严重的Meltdown和Spectre安全漏洞，漏洞详情如下： 漏洞名称：Intel处理器存在严重芯片级漏洞 漏洞编号：CVE20175753、CVE20175715、CVE20175754 漏洞级别：严重 漏洞描述：攻击者可以利用Meltdown （CVE20175754） 和Spectre （CVE20175715/CVE20175753） 绕过内存安全隔离机制，越权访问操作系统和其他程序的核心数据，造成敏感信息泄露。 问题影响 该漏洞不会引起不同弹性云主机之间的攻击，但可能会引起如下问题： 弹性云主机内多个应用之间，可能存在攻击。 对于同一弹性云主机，多个帐号之间可能存在攻击。 使用公共镜像的弹性云主机，云平台会对公共镜像依次修复，不会对您的业务带来影响。 使用私有镜像的弹性云主机，请根据漏洞影响评估是否更新补丁，以规避风险，更新补丁的具体操作请参见本节内容。 前提条件 为避免发生意外，修复漏洞前，建议进行充分测试，并完成弹性云主机的数据备份操作，避免发生意外。 Windows弹性云主机处理方法 1. 登录弹性云主机。 2. 更新补丁。 方式一：使用Windows自动更新功能安装补丁。 a. 打开Windows Update，并单击“检查更新”。 b. 根据需要下载安装相关安全补丁。 方式二：手动下载补丁并安装。 下载官方发布的补丁进行安装，如KB4078130。 3. 重启弹性云主机，使补丁生效。 4. 验证是否升级成功。 a. 检查系统运行情况是否正常。 b. 检查已安装的补丁清单是否满足微软官方的要求。

此章节为您介绍数据库审计过滤规则相关的功能。 过滤规则概述 过滤规则的功能是根据某些特定的条件过滤一些操作，系统对这些操作不审计，从而节省设备的磁盘空间，将有限的资源用来存储更有价值的审计数据。 过滤规则的过滤方式有三种： 按IP过滤：设置某些IP地址为信任的IP地址，系统对这些IP地址发起的SQL请求不审计。 按SQL模板过滤：设置SQL模板为可信任的模板，当访问的SQL语句的模板是设置的过滤模板，则不进行审计。 按规则过滤：指按照特定的条件进行审计过滤，规则包括客户端信息、服务端信息、SQL请求和SQL结果等条件。 添加按IP过滤规则 按IP过滤则是将新增的客户端IP认为是白名单，不审计该IP下任何信息。新增按IP过滤规则的操作方法如下： 注意 此处添加的不审计的IP默认使用旁路镜像和Agent日志采集方式的全部资产有效。即添加后，资产中有符合上述不审计IP条件的客户端和服务端均不做任何审计，请谨慎添加。 1.在左侧菜单栏选择“规则配置 > 过滤规则”进入过滤规则页面，选择按“按IP过滤”页签。 2.单击“新增”，进入新增IP过滤页面，编辑名称和不审计的IP。详细配置请参见下表。 配置项 说明 名称 必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 不审计的IP 格式为“IP/掩码长度”，可配置多组，用“,”隔开。例如：1.2.3.4/32,10.0.0.0/8。 3.填写完成后，单击“保存”，即可完成按IP过滤规则的配置。

为保障您的天翼云弹性云主机系统时间精准统一,避免因时钟偏差引发业务异常、日志时序错乱、合规审计不达标等问题,推荐您配置天翼云内网 NTP 时间同步服务。本文为您介绍内网 NTP 时间同步的核心作用,以及红帽系、Debian 系 Linux 操作系统的标准化配置方法。 一、内网 NTP 时间同步核心作用 保障业务稳定运行：确保分布式集群、数据库主从同步、交易订单等业务的时序一致性，避免因时钟偏差引发数据错乱、服务异常。 提升运维排障效率：统一全量云主机系统时间，保障日志时序准确，便于故障溯源与问题定位。 满足合规审计要求：符合网络安全等级保护等监管规范对系统时间统一、日志可追溯的硬性要求。 低延迟高可靠：使用天翼云内网 NTP 专用地址，无需占用公网带宽，同步链路稳定、精度更高。 二、前置说明 适用范围：天翼云弹性云主机，涵盖红帽系（RHEL 7/8/9、CentOS 7/Stream、Rocky Linux、AlmaLinux 等）、Debian 系（Debian 10/11/12、Ubuntu 18.04+）Linux 操作系统。 天翼云内网 NTP 服务器地址：169.254.169.254。 三、配置步骤 红帽系操作系统配置（chronyd） 红帽系操作系统官方推荐使用 chronyd 服务实现时间同步，RHEL 8/9 系列默认预装并启用，配置步骤如下： 1. 备份原始配置文件（便于异常回滚） plaintext cp /etc/chrony.conf /etc/chrony.conf.bak 2. 写入天翼云内网 NTP 配置 清理原有NTP源配置 plaintext sed i E '/^(poolserver)/d' /etc/chrony.conf 新增内网NTP同步配置 plaintext cat >> /etc/chrony.conf << EOF server 169.254.169.254 iburst prefer EOF 3. 重启服务并配置开机自启 plaintext systemctl restart chronyd systemctl enable now chronyd

本章节指导您配置云审计服务的事件跟踪器。 创建事件跟踪并投递至日志审计服务 说明 云审计目前仅支持投递至v3.0.1版本的日志审计服务中，若您的版本低于v3.0.1可提交工单升级。 1. 进入云审计服务控制台。 2. 在左侧导航栏选择“事件跟踪”，进入“事件跟踪”页面。 3. 单击左上角的“创建跟踪任务”，进入“新建事件跟踪”页面并填写相关参数。 参数 填写说明 跟踪任务名称 填写跟踪任务的相关名称。 长度为263字符，以大小写字母或中文开头，可包含数字、"."、""、""。 启用状态 选择跟踪任务的启用状态。 事件范围 跟踪任务记录的事件范围，可选“全部”、“只读”和“可选”。 投递类型 选择投“日志审计”。 日志审计实例 选择需要投放日志审计实例。 发送端口 日志审计待发送的端口。 注意 默认值为6514，需要与日志审计配置中保持一致。 证书 上传在日志审计中下载的证书，仅支持.p12格式。 4. 配置完成后单击“确定”，完成事件跟踪配置。 5. 配置完成后，即可在日志审计（原生版）控制台查看云审计事件。 查询日志：在“事件分析 > 日志检索”页面，支持通过列表和统计图的方式查看日志数据。详细操作请参见日志检索日志审计（原生版）。 查看仪表板：在“审计报表 > 仪表版”页面，可以查看所选时间范围内的全景视图，通过可视化方式展示统计数据，包括事件总数、事件趋势、事件等级分布、资源类型TOP10信息。

此小节介绍企业主机安全资产管理。 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机中的Web目录和自启动项，并对账号信息和软件信息的变动情况进行记录。 通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 检测周期 账号信息管理、开放端口检测：实时检测。开放端口检测结果每6小时刷新一次统计数据。 进程信息管理、Web目录管理、软件信息管理、自启动：每日凌晨自动进行一次检测。 查看主机中的资产信息 1、登录管理控制台。 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、进入“资产管理”页面，选择不同页签，查看HSS检测到的您服务器上的所有资产。 进入资产管理页面 账号信息管理 历史变动状态说明： 变动状态：新建（新建了账号）、删除（删除了账号）、修改（修改了账号名、管理员权限或用户组等信息）。 发生变动时间：由于为周期收集，变动记录的时间是获取到改动的时间，非真实发生的时间。 根据实时账号数据和历史变动记录，您可以统一管理所有主机中的账号信息。若发现系统中有不必要的多余账号，或者发现有超级权限的账号（拥有root权限），需要排查这些账号是否是正常业务使用，如果不是则建议删除多余账号或者修改账号的权限，避免账号被黑客利用。

下载取证 威胁事件支持下载数据包取证，单击列表右侧操作列的“下载取证”。 忽略 威胁事件支持针对事件和规则的忽略，单击列表右侧操作列的“忽略”。 忽略规则，包括忽略此条检测规则和此资产IP相关的事件。 忽略事件，仅忽略当前一条事件日志。 取消忽略 忽略的规则，通过“系统管理 > 系统设置 > 忽略规则管理”页面管理，将已经忽略的规则删除后，规则将继续生效。 警告配置 攻击源警告 “威胁检测 > 警告配置”页面的攻击源警告，用于对攻击源警告。当系统检测到远端IP地址存在恶意入侵或者探测行为时，可以对相应的IP进行告警，对其推送告警界面，以做警示，并记录告警事件时间和攻击源IP地址。 恶意网站警告 “威胁检测 > 警告配置”页面的恶意网站警告，用于对系统用户警告。当系统用户访问恶意网站时，对自己的用户推送提示页面，可以使用默认的提示内容，也可以自定义提示页面，自定义页面仅支持上传html的文件包。 恶意网站的数据，来源于国家能力中心。也支持用户自定添加，用户将自己整理的恶意网站的名称、域名添加到系统中，系统支持对自定义添加的恶意网站进行编辑、删除、停用、启用。 恶意网站检测通过开关控制，开关在“系统管理 > 功能配置 > 威胁检测”配置，默认关闭。

本章介绍如何新增备份目录。 场景说明 完成安装客户端后，云服务备份系统会自动识别已安装成功的客户端，并显示在“云服务备份 > 文件备份 > 文件备份”客户端列表中。需要手动将已安装客户端资源中需要备份的文件路径添加至云服务备份中。 约束与限制 单个备份资源最多支持添加8个文件目录。 单个目录下文件数不超过50万个，建议执行文件备份的主机配备4GB以上可用内存。 每个目录支持的数据量不超过500GB。 文件路径只能为绝对路径，如以/、C:、D:开头的文件路径。 操作步骤 1. 登录云服务备份控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击“”，选择“存储 > 云服务备份 > 文件备份”。 2. 单击目标服务器名称。进入服务器基本信息。 3. 单击“新增备份目录”。 4. 将需要备份的文件路径粘贴至“备份文件路径”中。单击“确定”。 5. 添加成功后，待备份的文件路径将会出现在下方。 移除目录 如果不再需要备份目录，或者已超出目录上限需要删除，可以进行移除目录操作。 1. 登录弹性云主机控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 选择“存储 > 云服务备份 > 文件备份”。 2. 单击目标服务器名称。进入服务器基本信息。 3. 单击目标目录的“移除目录”。移除目录后，将无法对该文件进行备份操作。已产生的备份将不会被删除，可用于恢复数据。未产生备份的目录路径将会被彻底移除，请谨慎操作。 4. 单击“确定”，完成目录移除。

本节主要介绍云存储网关的技术支持。 联系我们 天翼云官网咨询热线4008109889。 天翼云官网工单管理系统。 开启远程协助 如果您已安装云存储网关但未初始化 与天翼云工作人员联系后，根据天翼云工作人员提供的HOST、PORT（默认端口号是18100），开启远程协助功能。然后将命令返回的远程协助码再告知天翼云工作人员，此时天翼云工作人员可以进行远程协助。 如果您已完成安装、初始化云存储网关 您可以使用已安装云存储网关但未初始化时的方式操作。也可以先获取云存储网关ID，将问题和云存储网关ID一起发给天翼云工作人员。并根据天翼云工作人员提供的HOST、PORT（默认端口号是18100），开启远程协助功能，此时天翼云工作人员可以进行远程协助。 默认情况下，远程协助功能处于禁用状态，用户可以随时启用或禁用此功能。启用后，天翼云工作人员有权登录用户环境中的云存储网关系统以诊断问题。天翼云工作人员远程协助登录时，具有以下两种用户的权限：开启远程协作操作的用户、安装云盘阵的用户。用户可以通过logs/remoteaccess/remoteaccess.log查看工作人员远程协助时的所有操作。 注意 如果用户启用了远程协助功能，则意味着用户相信天翼云工作人员并授权天翼云工作人员访问云存储网关系统中的所有数据。天翼云工作人员将尽力诊断问题并确保数据安全，但是由于系统环境的复杂性，我们对远程协助引起的任何后果不承担任何责任。如果用户对远程协助功能有疑问，并希望使其保持禁用状态，则可以通过咨询热线或者工单管理系统联系我们以获取帮助。

本小节介绍DDoS攻击缓解最佳实践。建议客户通过以下方式缓解DDoS攻击带来的影响。 缩小暴露面 隔离资源和不相关的业务，降低被攻击的风险。 配置安全组，尽量避免将非业务必须的服务端口暴露在公网上，从而避免与业务无关的请求和访问。通过配置安全组可以有效防止系统被扫描或者意外暴露。 优化业务架构 利用公共云的特性设计弹性伸缩和灾备切换的系统。 科学评估业务架构性能 在业务部署前期或运营期间，技术团队应该对业务架构进行压力测试，以评估现有架构的业务吞吐处理能力，为DDoS防御提供详细的技术参数指导信息。 优化DNS解析 通过智能解析的方式优化DNS解析，可以有效避免DNS流量攻击产生的风险。同时，建议您将业务托管至多家DNS服务商，并可以从以下方面考虑优化DNS解析。 屏蔽未经请求发送的DNS响应信息 丢弃快速重传数据包 启用TTL 丢弃未知来源的DNS查询请求和响应数据 丢弃未经请求或突发的DNS请求 启动DNS客户端验证 对响应信息进行缓存处理 使用ACL的权限 利用ACL、BCP38及IP信誉功能 服务器安全加固 提升服务器自身的连接数等性能。 对服务器上的操作系统、软件服务进行安全加固，减少可被攻击的点，增大攻击方的攻击成本。 确保服务器的系统文件是最新的版本，并及时更新系统补丁。 对所有服务器主机进行检查，清楚访问者的来源。 过滤不必要的服务和端口。例如，对于WWW服务器，只开放80端口，将其他所有端口关闭，或在防火墙上设置阻止策略。

本章主要介绍翼MapReduce的加固策略功能。 加固Tomcat 在FusionInsight Manager软件安装及使用过程中，针对Tomcat基于开源做了如下功能增强： 升级Tomcat版本为官方稳定版本。 设置应用程序webapplications之下的目录权限为500，对webapplications之下的部分目录支持写权限。 系统软件安装完成后自动清除Tomcat安装包。 webapplications下针对工程禁用自动部署功能，只部署了web、cas和clientregistry三个工程。 禁用部分未使用的http方法，防止被他人利用攻击。 更改Tomcat服务器默认shutdown端口号和命令，避免被黑客捕获利用关闭服务器，降低对服务器和应用的威胁。 出于安全考虑，更改“maxHttpHeaderSize”的取值，给服务器管理员更大的可控性，以控制客户端不正常的请求行为。 安装Tomcat后，修改Tomcat版本描述文件。 为了避免暴露Tomcat自身的信息，更改Connector的Server属性值，使攻击者不易获知服务器的相关信息。 控制Tomcat自身配置文件、可执行文件、日志目录、临时目录等文件和目录的权限。 关闭会话facade回收重用功能，避免请求泄漏风险。 CookieProcessor使用LegacyCookieProcessor，避免cookie中的敏感数据泄漏。 加固LDAP 在安装完集群后，针对LDAP做了如下功能增强： LDAP配置文件中管理员密码使用SHA加密，当升级openldap版本为2.4.39或更高时，主备LDAP节点服务自动采用SASL External机制进行数据同步，避免密码信息被非法获取。 集群中的LDAP服务默认支持SSLv3协议，可安全使用。当升级openldap版本为2.4.39或更高时，LDAP将自动使用TLS1.0以上的协议通讯，避免未知的安全风险。

本节主要介绍创建用户并授权使用DDS 如果您需要对您所拥有的DDS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的天翼云账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DDS资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DDS资源委托给更专业、高效的其他天翼云账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DDS服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的DDS权限，并结合实际需求进行选择，DDS支持的系统权限，请参见：DDS系统权限。 示例流程 图 给用户授权DDS权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予DDS权限“DDS FullAccess”。 说明 如果需要使用到对接其他服务的一些功能时，除了需要配置“DDS FullAccess”权限外，还需要配置对应服务的权限。 例如：使用DAS连接实例时，除了需要配置“DDS FullAccess”权限外，您还需要配置数据管理服务“DAS FullAccess”权限后，才可正常使用DAS登录数据库实例。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入[1](

什么是XSS攻击？ 跨站脚本（XSS）是一种攻击技术，它强制网站回应攻击者提供的可执行代码，这些代码加载到用户的浏览器中，借助插入至网站的恶意代码进行传播，对网站用户进行攻击，达到盗取用户账号信息、钓鱼欺诈、身份盗用等目的。 什么是CSRF攻击？ 跨站请求伪造攻击是一种挟制用户在当前已登录的Web应用程序上执行非本意操作的攻击方法。 CSRF攻击可以包括汇款，股票交易，特权升级，应用程序修改或其他未经授权的访问。 什么是逃避检测攻击？ 逃避检测攻击也叫攻击绕过技术，攻击者试图伪装或隐藏攻击以避免被安全设备进行检测，常见的逃避检测攻击有HTTP参数污染、00截断、URL编码绕过、Unicode编码绕过、ASCII码绕过、字符串拼接绕过、hex编码绕过、大小写混杂字符绕过、多空格绕过、注释串绕过等。 什么是缓冲区溢出？ 缓冲区溢出攻击是针对程序设计缺陷，向程序输入缓冲区写入使之溢出的内容（通常是超过缓冲区能保存的最大数据量的数据），从而破坏程序运行、趁中断之际并获取程序乃至系统的控制权。 Web应用防火墙售后联系方式是？ Web应用防火墙服务开通及使用过程涉及本手册中的步骤，需严格根据手册指导进行操作，若因操作不当或策略过于严格，从而影响防护开通及使用，请及时联系安全防护工程师。24小时在线配合，可联系天翼云400工单电话：4008109889，或联系本地电信客户经理，或在Web应用防火墙微信群中反馈。 注意 关于特殊需求：如有针对带宽、域名等条件有特殊需求请联系客户经理或运维人员沟通。

本文介绍如何合规保留的使用场景及使用方式。 使用场景 对象存储（简称ZOS）提供合规保留功能，若对一个对象配置合规保留，任何用户都不能在指定时间内覆盖或彻底删除该对象的受保护版本，包括账户中的Root用户。 注意 创建桶时若开启合规保留，系统将自动开启多版本，并且不允许暂停多版本。 合规保留开关一旦打开，无法关闭。 处于合规保留期限内的对象不会被生命周期彻底删除，但能转换存储类型。 若因欠费导致数据销毁时，处于合规保留期限内的对象会被删除而不做保留。 使用限制 合规保留支持的区域请参见产品能力地图。 使用方式 使用方式 参考文档 控制台 详情请参见合规保留。 SDK ZOS支持多种SDK，关于SDK的代码示例请参见开发者文档。 API 详情请参见设置桶的合规保留策略。

本文为您介绍对象存储的地域节点,帮助您进行地域选择。 对象存储ZOS支持在服务开通时选择地域节点，为简化开通步骤，对象存储将一些地域的服务开通操作和控制台管理合并，已合并的地域会支持“公共资源池”方式的统一管理。 基本概念 纳入“公共资源池”范围的对象存储ZOS资源池，其功能不变，存储数据不变，原有的各地域终端节点（Endpoint）不变，控制台页面改为统一管理。 完成“公共资源池”的对象存储服务开通后，即视为对所有纳入“公共资源池”范围的对象存储ZOS资源池完成服务开通。 纳入“公共资源池”范围的对象存储ZOS资源池，使用统一的控制台管理界面进行业务管理，在该控制台界面中可以列出所有公共资源池内的桶。 如需查看终端节点（Endpoint），请点击需要访问的桶名，在桶概览页面查看。 如下为已纳入“公共资源池”范围的对象存储ZOS资源池： 名称 已纳入资源池 公共资源池 长沙42、华东1、武汉41、华北2

功能说明 DeleteBucketWebsite请求为删除存储桶中的Website配置（静态网站托管配置或者数据回源配置）。 请求消息样式 plaintext DELETE /{Bucket}?website HTTP/1.1 Host: xxxx.zos.ctyun.cn AcceptEncoding: identity xamzdate: 20220408T091336Z xamzcontentsha256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 Authorization: string ContentLength: 0 请求消息参数 参数名称 参数描述 类型 是否必须 Bucket 参数解释： 桶的名称。 String 是 请求消息头 该请求使用公共的请求消息头，请参见如何调用API构造请求请求消息头。 请求消息元素 该请求消息中不带消息元素。 响应消息样式 plaintext HTTP/1.1 Status Code xamzrequestid: tx00000000000000000000300624ffcc01138default ContentType: application/xml Date: Fri, 08 Apr 2022 09:13:36 GMT Connection: KeepAlive 响应消息头 该请求的响应消息使用公共的响应消息头，请参见如何调用API响应结果响应消息头。 响应消息元素 该请求的响应中不带有响应元素。 错误码 请参见调用前必知错误码全局错误码。

本实践将为您介绍如何扩容云硬盘扩展逻辑卷的容量。 操作场景 当逻辑卷容量不能满足用户需求时，可以扩展逻辑卷的容量。 本指导假设您前期挂载了两个大小为10GB的数据盘，创建了一个卷组，并使用19GB创建了一个逻辑卷，还有1GB未分配的空间。此时逻辑卷容量已不能满足您的使用需求，需要通过扩容云硬盘的方式来扩展逻辑卷的容量。 操作步骤 步骤一：在控制台扩容云硬盘 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 找到待扩容的云硬盘，扩容云硬盘。关于扩容云硬盘的详细操作，请参见扩容云硬盘。

本节主要介绍网格管理 卸载网格 操作场景 当网格不再需要时，可以将其卸载。 约束与限制 如果网格有正在运行的灰度发布任务，请先完成灰度发布，再卸载网格。 请确保集群中有可用节点，用于运行清理任务，否则将导致卸载失败。 操作步骤 步骤 1 登录应用服务网格控制台。 步骤 2 单击对应网格下的图标。 步骤 3 在“卸载服务网格”页面，选择是否重启已有服务，并阅读注意事项。 卸载时，默认不会重启已有服务。只有在服务重启后才会去除注入的istiopoxy sidecar，如需重启，请选择“是”，重启服务将会暂时中断您的业务。 卸载服务网格将会卸载Istio控制面组件及数据面sidecar。 卸载后，应用的对外访问方式将无法继续使用，请将旧的对外访问方式改为用service方式对外发布。 卸载时将自动为您清理istio独享节点的相关标签，但不会删除istiomaster节点，请到CCE界面删除，避免资源浪费。 如需查看节点信息，请在CCE控制台“资源管理 > 节点管理”页面中查看。

5.1 续订规则 套餐类型 支持续订 续订时长 7 天体验版 否 Lite 基础套餐 是 默认 1 个月，可选 112 个月 Pro 高级套餐 是 默认 1 个月，可选 112 个月 5.2 续订步骤 进入【套餐管理】页面，在套餐列表中找到目标套餐。点击【续订】按钮，出现续订套餐弹窗。 在续订弹窗中选择所需续订时长（112 个月，默认 1 个月）。 确认信息后完成支付，系统更新套餐到期时间，服务持续可用。 6 套餐冻结与恢复 6.1 套餐冻结（超期触发） 当 Lite/Pro 套餐超期未续订或 7 天体验版到期时，系统自动执行以下冻结操作： 1. 套餐列表中【去使用】按钮置灰； 2. 停止套餐关联的应用实例； 3. 套餐关联的存储仅可下载数据，不支持文件上传； 4. 套餐关联 Token 停用 / 冻结，无法调用模型 API。 6.2 冻结恢复（续订触发） 已冻结的 Lite/Pro 套餐完成续订后，系统自动执行恢复，套餐包含的资源可正常使用。