云容器引擎 CCE提供高度可扩展的、高性能的Kubernetes集群、一站式容器服务;兼容主流国产化服务器和操作系统,取得全栈国产化适配认证证书。其整合了镜像、监控、日志、负载均衡、灰度/蓝绿、多种弹性策略、高效调度、集群插件、模板市场等基础能力,帮助企业快速构建和运行可弹性扩展的应用,实现业务的快速交付与持续创新。

SPL概述 云日志服务提供SPL语句（Semistructured Processing Language），对半结构化的日志数据做结构化处理，比如信息提取、字段操作、数据过滤等操作。SPL提供类Linux Shell脚本的管道级联功能，其中第一级管道前的表达式是数据源（可以是索引过滤条件或其他SPL语句的命名引用），后面的多级管道前后都是SPL命令表达式。 SPL语法说明 一个SPL语句由多个表达式组成，各表达式之间通过英文管道符 () 连接；一个SPL语句以英文分号 (;) 作为语句结束符。SPL语法结构如下： 语法 html sourceexpr cmdexpr cmdexpr； 参数说明 参数 说明 示例 sourceexpr 数据源。包括日志单元数据和SPL命名引用 · · $src 管道符：与Linux Shell中管道符作用类似，即管道前的指令的输出会作为管道后的指令的输入 cmdexpr 指令表达式，即SPL处理日志数据的各种表达式。 详情参考指令表达式语法。 parse typecsv raw as time,ip,level,msg 数据源 分类 场景 数据来源 说明 非命名引用 采集 采集器采集数据 使用星号（）表示将采集器采集的全部原始数据作为输入 非命名引用 数据加工 日志单元数据 使用索引过滤结果作为输入。 · 目前索引过滤条件仅支持 命名引用 SPL 通过let指令定义的命名引用 前提：其他SPL表达式已通过let指令定义了命名引用； 通过$+命名引用名称，即可解引用并将其当作数据源

SPL概述 云日志服务提供SPL语句（Semistructured Processing Language），对半结构化的日志数据做结构化处理，比如信息提取、字段操作、数据过滤等操作。SPL提供类Linux Shell脚本的管道级联功能，其中第一级管道前的表达式是数据源（可以是索引过滤条件或其他SPL语句的命名引用），后面的多级管道前后都是SPL命令表达式。 SPL语法说明 一个SPL语句由多个表达式组成，各表达式之间通过英文管道符 () 连接；一个SPL语句以英文分号 (;) 作为语句结束符。SPL语法结构如下： 语法 html sourceexpr cmdexpr cmdexpr； 参数说明 参数 说明 示例 sourceexpr 数据源。包括日志单元数据和SPL命名引用 · · $src 管道符：与Linux Shell中管道符作用类似，即管道前的指令的输出会作为管道后的指令的输入 cmdexpr 指令表达式，即SPL处理日志数据的各种表达式。 详情参考指令表达式语法。 parse typecsv raw as time,ip,level,msg 数据源 分类 场景 数据来源 说明 非命名引用 采集 采集器采集数据 使用星号（）表示将采集器采集的全部原始数据作为输入 非命名引用 数据加工 日志单元数据 使用索引过滤结果作为输入。 · 目前索引过滤条件仅支持 命名引用 SPL 通过let指令定义的命名引用 前提：其他SPL表达式已通过let指令定义了命名引用； 通过$+命名引用名称，即可解引用并将其当作数据源

本章节主要介绍配置追踪器 。 操作场景 云审计服务管理控制台支持对已创建的管理类追踪器增加OBS转储、LTS转储等相关配置。 用户可以选择是否将已记录的事件发送到OBS桶永久保存。 配置追踪器完成后，系统立即以新的规则开始记录操作。 本节介绍如何配置管理类事件追踪器。 前提条件 已开通云审计服务。 配置管理类事件追踪器 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 在管理类追踪器信息右侧，单击操作下的“配置”。 6. 设置追踪器的基本信息，详见表 追踪器基本参数说明，单击“下一步”。 7. 在配置转储页面，您可以设置追踪器的转储信息。用户通过云审计控制台只能查询最近7天的操作记录，如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或配置转储到云日志服务（LTS）。具体参数说明参见表 配置转储到OBS参数说明和表 配置转储到LTS参数说明。 8. 单击“下一步 > 配置”，完成配置管理类事件追踪器。 追踪器配置成功后，您可以在追踪器信息页面查看配置的追踪器的详细信息。 说明 因为CTS所存储的事件是周期性转储到OBS桶的，因此当您配置了追踪器所对应的OBS桶后，当前转储周期内（通常为数分钟）已收到事件会转储到配置后的OBS桶中。例如当前转储周期为12:00~12:05，用户在12:02分修改了当前追踪器对应的OBS桶，那么12:00~12:02分之间收到的事件会在12:05分时转储到新配置的OBS桶中。 9. （可选）在追踪器页面，单击标签列下的，可以为该追踪器添加标签。 标签以键值对的形式表示，用于标识追踪器，便于对追踪器进行分类和搜索。此处的标签仅用于追踪器的过滤和管理。一个追踪器最多添加20个标签。 如果您的组织已经设定云审计服务的相关标签策略，则需按照标签策略规则为追踪器添加标签。详情参考表 标签说明。 表 追踪器基本参数说明 参数名称 说明 追踪器名称 默认为system，不可修改。 企业项目 选择一个企业项目。 说明 企业项目是一种云资源管理方式，由企业项目管理服务提供将云资源统一按项目管理、项目内的资源管理或成员管理。 开启企业项目的具体操作请参考《企业管理服务用户指南》中的“创建企业项目”章节。 表 配置转储到OBS参数说明 参数名称 参数说明 转储到OBS 当“转储到OBS”开关打开时，您可以选择已存在的OBS桶或直接通过配置页面新建OBS桶，并配置事件文件前缀。 如果“转储到OBS”开关关闭时，则无需配置相应参数。 选择OBS 新建OBS桶：在您填写一个桶名后系统将自动为您创建一个OBS桶。 选择已有OBS桶：选择当前区域已创建的OBS桶。 OBS桶名称 当“选择OBS”选择“新建OBS桶”时，直接新建OBS桶名称。OBS桶名称不能为空，仅支持小写字母、数字、“”和“.”，且长度范围为363个字符。禁止两个“.”相邻（如“my..bucket”），禁止“.”和“”相邻（如“my.bucket”和“my.bucket”），禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时，可以选择已存在的OBS桶。 保存周期 管理类事件追踪器的保存周期默认沿用在OBS的配置，不支持修改。 事件文件名前缀 用于标识被转储的事件文件，该字段支持用户自定义，会自动添加在转储事件文件的文件名前端，方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线（）、中划线（）和小数点（.）组成，且长度范围为064个字符。 表 配置转储到LTS参数说明 参数名称 参数说明 转储到LTS 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。 日志组名称 当“转储到LTS”开关打开时，日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时，则无需配置该参数。 表 标签说明 参数 说明 举例 标签键 输入标签的键，同一个追踪器标签的键不能重复。键可以自定义，也可以选择预先在标签服务（TMS）创建好的标签的键。 键命名规则如下： 长度范围为1到128个字符。 可以包含任意语种字母、数字、空格和.:+@，但首尾不能含有空格，不能以sys开头。 Key0001 标签值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 长度范围为0到255个字符。 可以包含任意语种字母、数字、空格和.:/+@。 Value0001

如何删除通过弹性伸缩组创建的云主机实例？ 通过弹性伸缩组自动创建的实例，支持以下两种删除方式： 1. 您可以进入到弹性伸缩组中，手动移出并释放通过弹性伸缩创建的云主机实例。具体可参考帮助文档将实例移出伸缩组。 2. 当弹性伸缩执行缩容活动时，将根据实例创建方式自动移出或移出并释放云主机实例。 弹性伸缩中，如何获取伸缩活动结果？ 弹性伸缩提供两种渠道获取伸缩活动结果，具体如下： 通过日志审计获取 ：弹性伸缩已原生对接云审计服务，会自动将伸缩组信息、伸缩活动详情、活动起止时间、执行结果等关键数据推送至云审计，可参文档弹性伸缩支持云审计的关键操作了解更多。 通过云监控获取 ：弹性伸缩会将所有伸缩活动以 “事件” 形式同步至云监控服务。您可在云监控中配置告警通知，包括站内信、邮箱、短信、告警回调等，实时获取伸缩活动的结果。

本文通过示范举例，向您介绍天翼云云搜索服务Logstash实例可以提供的数据写入能力。 Logstash作为一个强大的数据收集和转发工具，可以从各种来源（如Kafka、数据库等）获取日志数据，并通过灵活的过滤器对数据进行清洗、格式转换和增强。经过处理后的数据可以被发送到多个目标系统，如Elasticsearch、OpenSearch或者其他数据库和分析平台，从而帮助企业在更短的时间内获取、分析和展示数据。这种处理方式对于日志分析、监控、事件追踪等场景尤为重要。 这里，我们以一个示范的例子读取Kafka中的数据转换后写入到Elasticsearch，向您简单介绍天翼云Logstash实例如何帮助企业实现高效的日志数据流处理。 前提条件 1. 已在同VPC下开通Kafka服务和Elasticsearch实例。 2. 获取相应内网地址和端口，例如192.168.XX.XX:9200。 操作步骤 创建Logstash实例 1. 在云搜索服务实例创建页面选择已经开通好的Elasticsearch实例，点击进入Elasticsearch实例，选择Logstash加装。 2. 订购周期、当前区域（即资源池）、可用区、填写实例名称、节点规格等基础配置信息后，按页面提示并根据需要进行配置，然后点击下一步。 3. 按页面提示，勾选相关协议，完成订单付款，即可完成订购，等待资源开通完成，对应实例处于“运行中”状态，即为开通成功。

本节主要介绍配置虚机服务日志采集路径 AOM支持虚机（这里的虚机指操作系统为Linux的弹性云主机或物理机）日志采集，即采集您自定义的日志文件并展现在AOM界面中，以供您检索。使用该功能前首先要配置日志采集路径，配置方法详见如下操作。 前提条件 您需先为您的虚机安装ICAgent，详见安装ICAgent。ICAgent安装成功后，大概需要5分钟，您即可在“日志 > 日志路径”的主机列表中查看到您的虚机。 注意事项 ICAgent只采集.log、.trace和.out类型的日志文件，请确保日志文件后缀为.log、.trace或.out。例如，/opt/yilu/work/xig/debugcpu.log。 请确保配置的路径是日志目录或文件的绝对路径，且该路径是实际存在的。例如，/opt/yilu/work/xig或/opt/yilu/work/xig/debugcpu.log。 ICAgent不支持采集下级目录的日志文件。例如，/opt/yilu/work/xig的下级目录为/opt/yilu/work/xig/debug，则ICAgent不采集/opt/yilu/work/xig/debug中的日志文件。 一个虚机最多可配置20条日志采集路径。 界面方式单虚机 步骤 1 登录AOM控制台，在左侧导航栏中选择“日志 > 日志路径”，选择“主机日志”页签。 步骤 2 在虚机列表中单击虚机所在行“操作”列的“配置”，为单个虚机配置一条或多条日志采集路径。 您既可使用ICAgent自动识别的路径，也可手动配置。 使用ICAgent自动识别的路径 ICAgent会自动扫描您虚机的日志文件，自动发现虚机中所有持有文件句柄且类型为.log、.trace和.out的日志文件及其路径，然后呈现在界面中供您选择。 您可单击ICAgent自动识别路径所在行“操作”列的，将该路径添加到“已配置采集路径”列表中。如需配置多条不同的路径，重复该操作即可。 使用ICAgent自动识别的路径 手动配置 若ICAgent自动识别的路径不能满足您的需求时，您也可在“日志采集路径”文本框中输入您指定的日志目录或文件，例如/opt/user/work/xig/debugcpu.log，并单击，将该路径添加到“已配置采集路径”列表中。如需配置多条不同的路径，重复该操作即可。 手动配置 步骤 3 配置完成后，单击“确认”。

本文主要介绍云防火墙（Cloud Firewall，CFW）的产品定义。 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 智能防御 CFW通过安全能力积累和全网威胁情报，提供AI入侵防御引擎对恶意流量实时检测和拦截，与安全服务全局联动，防御木马蠕虫、注入攻击、漏洞扫描、网络钓鱼、暴力破解等攻击。 灵活扩展 CFW可对全流量进行精细化管控，支持互联网边界防护，防止外部入侵、内部渗透攻击和从内到外的非法访问；同时，防护IP与防护带宽等关键性能规格可无限扩展，集群部署高可靠，满足大规模流量的安全防护。 极简应用 云防火墙作为云防火墙，支持一键开启，多引擎安全策略一键导入，资产自动秒级盘点，操作页面可视化呈现，大幅提高管理和防护效率。

安全专区整合了安全管理中心、云防火墙、云日志审计、云数据库审计、云堡垒机、终端安全EDR等组件。本小节介绍安全专区上线配置。 安全专区整合了安全管理中心、云防火墙、云日志审计、云数据库审计、云堡垒机、终端安全EDR等组件，用户采购开通后，需要进行以下初始安装配置，才能正常使用。 安全组件 安装内容及步骤 备注 云防火墙 VPC环境调整 请参考云防火墙配置 云防火墙 网络配置 请参考云防火墙配置 云防火墙 访问策略配置 请参考云防火墙配置 云防火墙 安全策略配置 请参考云防火墙配置 云防火墙 网络割接 请参考云防火墙配置 云防火墙 网络测试 请参考云防火墙配置 云堡垒机 运维账号 请参考云堡垒机 云堡垒机 添加资产 请参考云堡垒机 云堡垒机 管理授权 请参考云堡垒机 云堡垒机 映射端口 请参考云堡垒机 云堡垒机 登录运维 请参考云堡垒机 云日志审计 添加资产 请参考云日志审计 云日志审计 采集器配置 请参考云日志审计 云日志审计 客户端安装 请参考云日志审计 终端安全EDR 客户端安装 请参考终端安全EDR 终端安全EDR 策略配置 请参考终端安全EDR 云数据库审计 部署方式 请参考云数据库审计 云数据库审计 添加审计策略 请参考云数据库审计 云数据库审计 添加保护对象 请参考云数据库审计 云数据库审计 客户端安装 请参考云数据库审计 云防火墙：部署在网络边界提供边界防御能力，上线配置工作包括VPC环境调整、网络配置、策略配置、网络割接等几个部分，详细操作指引请参考云防火墙。 云堡垒机： 负责审计业务系统运维操作，配置包括运维账号管理、添加资产及授权，详细操作指引请参考云堡垒机。 云日志审计： 集中收集并审计所有业务系统及安全产品的系统日志，需添加资产、配置采集器、安装配置客户端，详细操作指引请参考云日志审计。 终端安全EDR：部署在业务系统主机，提供防病毒、补丁管理、入侵侦测响应等端点安全防护能力，需要在业务主机系统安装客户端，详细操作指引请参考终端安全EDR。 云数据库审计：集中收集并审计所有数据库系统操作日志，配置包括客户端安装和数据库信息录入，详细操作指引请参考云数据库审计。 安全组件配置完成后，安全管理中心可实时从安全组件收集全网资产的风险、威胁安全数据，关联分析评估用户云环境的安全态势。

本章节主要介绍 转储数据库审计日志 。 转储数据库审计日志 DWS 记录您的数据库中的连接和用户活动相关信息。这些审计日志信息有助于您监控数据库以确保安全或进行故障排除或定位历史操作记录。当前这些审计日志默认存储于数据库中，您还可以将审计日志转储到OBS中使负责监控数据库中活动的用户更方便的查看这些日志信息。 您可以在DWS 管理控制台进行如下操作： 开启审计日志转储 修改审计日志转储 查看审计日志转储记录 关闭审计日志转储 开启审计日志转储 DWS 集群创建成功后，您可以为集群开启审计日志转储，将审计日志转储到OBS中，方便查看。 开启审计日志转储前需满足如下条件： 开启审计日志转储具体操作如下： 1. 登录DWS 管理控制台。 2. 在左侧导航栏中，单击“集群管理”。 3. 在集群列表中，单击您想要开启审计日志转储的集群的名称，然后在左侧导航栏单击“安全设置”。 4. 在“审计配置”区域中，开启审计日志转储。 表示开启状态。表示关闭状态。 每个区域的每个项目首次开启审计日志转储功能时，系统将提示您需创建名称为“DWSAccessOBS”的委托，委托创建成功后，DWS 可以将审计日志转储至OBS中。默认情况下，只有云帐号或拥有Security Administrator权限的用户才具备查询委托和创建委托的权限。帐号中的IAM用户，默认没有查询委托和创建委托的权限，此时需联系有权限的用户在当前页面完成对DWS 的委托授权。 OBS桶：存储审计数据的OBS桶名称。如果没有可选择的OBS桶，可以单击“查看OBS桶”进入OBS管理控制台创建新的OBS桶，具体操作请参见《对象存储服务用户指南》中的“控制台指南 > 管理桶 > 创建桶”章节。 OBS路径：在OBS中存储审计文件的自定义目录。多级目录可用“/”进行分隔，不能以“/”开头。路径取值范围：1~50个字符。如果填写的OBS路径不存在时，系统会先创建该OBS路径再进行转储。 转储周期（分）：根据用户配置的时间，周期性的将数据转储到OBS中。取值范围：5～43200。单位为分钟。 5. 单击“应用”。 “配置状态”显示为“应用中”，表示系统正在保存配置。 等待一段时间后再次刷新“配置状态”，当显示为“已同步”，表示已保存配置并生效。

本文介绍文档数据库服务相比于自建数据库优势明显。 文档数据库服务相比于自建数据库优势明显。 表 对比优势 对比项 文档数据库服务 自建数据库 ::: 服务可用性 99.95% 自行保障，自行搭建主从复制，部署高可用环境等。 数据持久性 99.9999999% 自行保障，自行搭建主从复制，自建RAID等。 系统安全性 防DDoS攻击，及时自动修复各种数据库安全漏洞。 支持审计日志。 需要购买昂贵的硬件设备和软件服务，自行检测和修复安全漏洞等。 需要购买额外审计系统。 数据库备份 支持自动备份，根据业务运行周期设置自动备份策略。 支持随时手动备份数据，手动备份支持物理备份，备份效率提升3倍。 备份文件自动上传到对象存储服务（OBS）保存。 自行搭建设置和后期维护。 开源版本仅支持逻辑备份，备份效率低。 监控告警 已对接云监控服务（CES），监控可视化，可在CES上查看一段时间内的监控指标，以及设置阈值告警。 自行编写监控脚本和告警脚本，保存监控数据和绘制图表。 主机托管 无主机托管费用，即买即用。 自行购买3台服务器设备，托管费用昂贵。 维护成本 无额外运维成本，支持秒级性能监控和设置阈值告警、事件告警。 需要投入大量人力成本，招聘专业的DBA进行维护。 部署扩容 快速部署，即开即用，支持弹性扩容，一键规格变更。 需要购买和原设备匹配的硬件，需托管机房的配合，需部署设备，整体周期较长。 日志转储 支持保留1个月的慢日志和错误日志。 自行转储日志文件，自行导出和查询日志信息。 高可用监控 具备高可用能力，支持秒级Switchover和Failover。 自行部署高可用监控，手工命令行执行主备切换，可能会有数据丢失。

本章节为您介绍升级日志存储容量。 Web应用防火墙（原生版）开通日志服务后，请实时关注日志存储容量，如果您的日志存储容量已接近或达到饱和状态，为了避免新的日志数据无法写入日志库，请及时升级日志存储容量。 升级容量 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 日志服务”，进入日志服务页面。 5. 单击“升级容量”按钮，跳转至升配页面。 6. 填写需要扩容的存储大小，确认参数配置无误后，阅读《天翼云Web应用防火墙（原生版）服务协议》，并勾选“我已阅读，理解并接受《天翼云Web应用防火墙（原生版）服务协议》“，单击“立即购买”。 7. 进入“付款”页面，完成付款。

本文主要介绍应用运维管理 应用运维管理（Application Operations Management，以下简称AOM）为运维人员提供一站式立体运维平台，实时监控应用、资源运行状态，通过数十种指标、告警与日志关联分析，快速锁定问题根源，保障业务顺畅运行。 通过云审计服务，您可以记录与AOM服务相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的AOM操作列表 操作名称 资源类型 事件名称 创建仪表盘 ams addDashboard 修改仪表盘 ams updateDashboard 删除仪表盘 ams deleteDashboard 创建阈值 ams addThreshold 修改阈值 ams updateThreshold 删除阈值 ams deleteThreshold 创建策略组 pe createPolicyGroup 删除策略组 pe deletePolicyGroup 更新策略组 pe updatePolicyGroup 启用策略组 pe enablePolicyGroup 停用策略组 pe disablePolicyGroup 创建策略 pe createPolicy 删除策略 pe deletePolicy 更新策略 pe updatePolicy 启用策略 pe enablePolicy 停用策略 pe disablePolicy 更新老化周期 als updateLogStorgeSetting

本章节会介绍关系型数据库使用备份恢复时遇到的常见问题。 RDS能够保存多长时间的备份 关系型数据库实例的自动备份有效期根据用户设置的备份天数而定。 手动备份没有时间限制，用户可根据需要进行删除。 备份存储在对象存储服务上，不占用您创建的数据库空间。 如何清理云数据库RDS的备份空间 RDS的备份空间中存放的是自动备份、手动备份文件，以及SQL审计日志。 清理自动备份（全量备份+增量备份） 自动备份文件不支持手动删除，可通过修改备份策略调整备份保留天数，超出备份保留天数的已有备份文件会被自动删除。 清理手动备份（全量备份） 手动备份文件支持手动删除，具体请参见删除手动备份。 清理SQL审计日志 修改SQL审计的保留天数，超出保留天数的SQL审计日志会被自动删除。具体请参见修改SQL审计。 关闭SQL审计时，可以选择同步删除所有SQL审计日志文件。 数据库在备份时间段中是否可用 备份窗口是用户定义的时间段，在该时间段内关系型数据库实例将进行备份。关系型数据库服务借助这些定期数据备份，让您能够将关系型数据库实例还原到保留期内的备份点。 在备份时段期间，业务不受影响，但不能在关系型数据库服务的管理控制台做重启操作。 全量备份时，会连接备份所属的实例，校验该实例的状态。如果校验存在以下两种情况，则校验不通过，会自动进行校验重试。如果重试结束后，仍然无法满足，则备份失败。

本章节主要介绍翼MapReduce服务的术语解释。 节点 MRS集群中每个节点即为一台云服务器，节点类型及节点功能如下所示。 节点类型 功能 Master节点 MRS集群管理节点，负责管理和监控集群。在MRS管理控制台选择“集群列表>现有集群”，选中一个运行中的集群并单击集群名，进入集群信息页面。在“节点管理”中查看节点名称，名称中包含“master1”的节点为Master1节点，名称中包含“master2”的节点为Master2节点。 Master节点可以通过弹性云服务器界面的VNC方式登录，也可以通过SSH方式登录，并且Master节点可以免密码登录到Core节点。 系统自动将Master节点标记为主备管理节点，并支持MRS集群管理的高可用特性。如果主管理节点无法提供服务，则备管理节点会自动切换为主管理节点并继续提供服务。 Core节点 MRS集群工作节点，负责处理和分析数据，并存储过程数据。 Task节点 计算节点，用于弹性伸缩，集群计算资源不足时扩容至集群中。 Flink Flink是一个批处理和流处理结合的统一计算框架，其核心是一个提供了数据分发以及并行化计算的流数据处理引擎。 Flume Flume是一个高可用、高可靠，分布式的海量日志采集、聚合和传输的系统。Flume支持在日志系统中定制各类数据发送方，用于收集数据；同时，Flume提供对数据进行简单处理，并写到各种数据接受方（可定制）的能力。其中FlumeNG是Flume 的一个分支，其目的是要明显简单，体积更小，更容易部署。

本节介绍了遭受DDoS攻击如何向网监报案。 当您的业务遭受大规模DDoS攻击，除了使用DDoS高防（边缘云版）服务来保障您的业务安全与稳定，也建议您立即向网监部门进行报案。 报案流程 1. 遭受到大规模DDoS攻击后，您可尽快向当地网监部门进行报案，并根据网监部门的要求提供相关信息。 2. 网监部门判断是否符合立案标准，并进入网监处理流程。（具体立案标准请向您当地的网监部门进行咨询） 3. 正式立案后，天翼云将配合网监部门接口人提供攻击取证等信息。 天翼云能提供什么相关证据？ 您的报案在网监部门立案后，天翼云将配合网监部门提供以下协助： 天翼云会及时响应网监部门的协助调查要求，配合开展工作。 天翼云会配合网监部门，向网监接口人提供您在天翼云平台上的业务的流量日志、遭受的攻击详情等。 说明 向网监部门提供的流量日志、攻击详情等信息将作为法律证据，因此无法直接提供给您。您可以在天翼云控制台中自行查看攻击流量的相关信息。 天翼云作为证据提供方，不对流量日志和攻击信息等进行分析，直接给出谁是攻击者的结论。

验证流量是否经过云防火墙 1. 生成流量，请参见《企业路由器用户指南> 验证网络互通情况》。 2. 查看日志：在左侧导航栏中，选择“日志审计> 日志查询”，选择“流量日志> VPC边界防火墙”页签。 有日志记录：云防火墙已成功防护VPC间流量。 无日志记录，排查企业路由器配置，请参见“配置企业路由器并将流量引至云防火墙”。

云容器引擎 CCE 提供高度可扩展的、高性能的Kubernetes集群、一站式容器服务;兼容主流国产化服务器和操作系统,取得全栈国产化适配认证证书。其整合了镜像、监控、日志、负载均衡、灰度/蓝绿、多种弹性策略、高效调度、集群插件、模板市场等基础能力,帮助企业快速构建和运行可弹性扩展的应用,实现业务的快速交付与持续创新。

本节为您介绍迁移管理相关问题。 迁移管理工具列表有哪些？ 服务器迁移服务（CMSSMS）、 数据库迁移服务（CMSDMS）、数据迁移工具（CMSZMS）。 迁移管理工具是否区分同构与异构迁移工具？ 区分。 云迁移服务提供工具中心管理功能，您可以在工具管理中心选择对应工具通过相应概述作为工具结构区分，也可以直接帮助中心查看对应相关引导。 迁移管理工具兼容性如何？ 云迁移管理工具，具备高效、稳定、易用等特点；支持阿里云、腾讯云、华为云多家云厂商，拥有迁移一体化平台、生命周期可视化界面表达。 云迁移各工具是否具备使用说明书？ 具备。 云迁移服务平台提供工具管理中心功能，你可以根据迁移工具概述选择，您也可以在云迁移服务工具中心中选择对应工具的帮助中心查阅信息。 调度管理中心调度任务能否支持显示调度状态？ 支持。 进入迁移中心调度管理页面详情中，调度任务列表可以显示调度状态信息。 创建调度任务需要几步操作？ 基本信息填写包括（调度名称、调度时间、重复规则、调度规则、问题错误处理）； 调度规则选项（继续任务、暂停任务、带宽限制、CPU限制、停止增量、开始核查、引导修复、取消何查） 错误处理（继续并发资源调度、中止并发资源调度） 资源选取，在列表中选择对应资源信息； 资源确认； 调度任务如何查看是否成功？ 查看调度任务具体步骤： 1. 左菜单栏进入调度管理； 2. 进入调度页，选择创建调度计划任务； 3. 查看计划任务调度状态； 4. 查看错误处理报告； 5. 点击操作栏中“日志”可以进入查看；

本文介绍了云防火墙（原生版）的产品定义和产品架构。 云防火墙（原生版）（CTCFW，Cloud Firewall）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，帮助您完成网络边界防护与等保合规。 产品功能 访问控制：可统一管理互联网访问控制策略（南北向），提供流量可视、访问控制、入侵防御等功能，全面保护用户的网络安全。 入侵防御：内置复合威胁检测引擎，支持对互联网上的恶意流量、DDoS攻击，漏洞利用等攻击行为进行入侵防护，并提供精准的漏洞虚拟补丁，智能阻断入侵风险。 流量可视：提供全面的用户业务流量可视化，实现网络访问可视，网络会话可视，网络行为可视，帮助用户全面感知网络情况。 日志审计：为用户全面记录入侵防御日志、访问控制日志、流量日志和操作日志，帮助用户完成等保合规要求。 产品架构 云防火墙（原生版）整体架构主要包括3个部分，分别为中央管理平台、南北向流量控制模块和日志平台。 中央管理平台：提供策略规则的编辑和下发能力，并展示安全整体情况，为您提供可视化平台。 南北向流量控制模块：主要用于实现互联网到主机间的访问控制，支持4~7层访问控制。 日志平台：存放入侵防御日志、访问控制日志、流量日志和操作日志，并提供查询分析能力。

迁移中升级带宽后，迁移使用的是升级前的带宽还是升级后的带宽？ 升级带宽后，迁移使用的实际带宽取决于下面最小的带宽。升级带宽后，需要等待510分钟，才可生效，请耐心等待。 源端服务器升级后的带宽。 目的端服务器入云带宽。 SMS控制台设置的网速限制。 迁移速度由源端带宽决定还是目的端带宽决定？ 迁移速度取决于源端的出口带宽和目的端的入云带宽。取两者中较小值进行迁移。 如何判断迁移任务是不是卡住？ 迁移任务如果长时间不动，可能是以下三种情况，需要查看源端Agent日志确定。 情况一：迁移任务处于“持续同步”阶段。 “持续同步”是主机迁移服务新增的功能，会自动同步源端数据。在配置目的端时，“是否持续同步”选择“是”，全量复制完成后会自动进入“持续同步”阶段。 迁移任务处于“持续同步”阶段的时候，迁移并没有完成，需要手动启动目的端，因此，在未手动启动目的端前，迁移任务会一直处于“持续同步”阶段。启动目的端完成后，才算一次完整的迁移。 情况二：数据迁移中。 数据迁移进行全量复制时，长时间处于某一进度，可能是由于迁移数据量大，迁移速率慢，导致长时间内进度无明显变化，需要查看日志进行确认。若迁移速率不为0，已迁移数据量持续增加，则表明迁移正常。 情况三：启动目的端卡住。 1、启动目的端后任务进度条长时间为0，可能是在执行最后一次同步任务。启动目的端时会进行一次数据同步，期间进度条无变化，数据同步时间长短由源端数据量决定，如果数据量过大，会导致数据比对时间长，该现象为正常现象。若要确定是否在进行数据同步，可查看smsInfo.log最新日志，若启动目的端之后未出现error级别日志，则表明任务正常。 2、启动目的端后任务进度条有进度但长时间无变化，可尝试暂停任务，再次启动任务，等待一段时间（10分钟左右）再次查看是否发生变化。

权限名 详细信息 备注 Tenant Administrator (全局服务) DLI Flink作业访问和使用OBS或者DWS数据源、日志转储（包括桶授权）、开启checkpoint、作业导入导出等，需要获得访问和使用OBS（对象存储服务）的Tenant Administrator权限。 由于云服务缓存需要时间，该权限60分钟左右才能生效。 DIS Administrator DLI Flink作业访问和使用DIS数据源，需要获得访问和使用DIS（数据接入服务）的DIS Administrator权限。 由于云服务缓存需要时间，该权限30分钟左右才能生效。 VPC Administrator DLI跨源连接需要使用VPC、子网、路由、对等连接功能，因此需要获得使用VPC（虚拟私有云）的VPC Administrator权限。 由于云服务缓存需要时间，该权限3分钟左右才能生效。 SMN Administrator DLI作业执行失败需要通过SMN发送通知消息，因此需要获得访问和使用SMN（消息通知服务）的SMN Administrator权限。 由于云服务缓存需要时间，该权限3分钟左右才能生效。

验证组件联动性 部署后通过“小流量测试” 验证组件是否正常联动，避免防护失效： 互联网入访测试：从公网访问公网ELB 的 EIP，检查云防火墙日志是否捕获该流量（上图中红色 / 蓝色路径）； 内网出访测试：从vpc1 业务子网的 ECS 访问互联网（如ping），检查 NAT 网关日志与云防火墙日志是否均有记录（上图中紫色路径）； VPC 互访测试：从 vpc1 的 ECS 访问 vpc2 的 ECS，检查云防火墙日志是否捕获该流量（上图中黄色路径）； 云专线互访测试：从线下数据中心访问vpc2 的业务 ECS，检查云防火墙日志是否捕获该流量（上图中绿色路径）。 流量管控：全路径防护与优化 基于典型部署方案的4类核心流量路径，通过云防火墙策略实现 “精准管控、日志可追溯”。 互联网入访流量 红色/蓝色路径：IPv4网关→GWLBE→云防火墙→公共子网（ELB/ECS/HAVIP/裸金属)。 策略配置原则：“最小权限”，仅开放业务必要端口； 允许策略：仅开放80（HTTP）、443（HTTPS）等业务端口，源地址限制为业务覆盖的用户网段（如仅允许华东地区 IP 访问）； 拒绝策略：默认拒绝所有其他端口（如22、3389等管理端口，禁止公网直接访问）。 日志审计：开启云防火墙入访日志记录，定期审计异常流量（如来自境外IP的高频访问尝试）。

本小节介绍日志审计(原生版)场景下的程序日志定位告警异常处理实践。 应用场景 日志审计（原生版）已经采集到日志，但未触发对应告警。 前提准备 进入日志审计（原生版）平台。 通过控制台进入日志审计（原生版）实例。 告警服务逻辑 告警涉及服务：esinsert、alarmMgr、eventanalysvr。 告警涉及流程： eventana（告警解析）：通过Kafka接收logp解析的日志，根据告警规则解析该日志是否符合告警条件，符合条件则将该告警信息转发给alarm。 alarm：通过Kafka接收eventana的告警信息，并触发告警，产生告警。 esinsert（录入ElasticSearch）将产生的告警录入ElasticSearch。 查看程序 点击“系统配置 > 系统运维”，在服务管理中，查看相关服务状态，出现异常时，点击“重启”重启程序，大约1分钟后刷新页面，再次查看服务状态是否正常。 查看程序日志 点击“系统配置 > 系统运维”，在服务管理中，点击“导出日志”，可导出服务日志。按流程步骤依次查看esinsert、alarmMgr、eventanalysvr等服务日志是否有异常信息。 中间件故障 各程序报告日志出现报错 ：Broker transport failure: 127.0.0.1:9092/0: Connect to ipv4127.0.0.1:9092 failed 日志分析：9092为Kafka服务端口，该提示说明Kafka服务出现异常。

本节介绍云防火墙的服务版本差异。 云防火墙提供了“标准版”、“专业版”供您使用，包括访问控制、入侵防御、流量分析以及日志审计等功能。 版本差异说明如下表： 功能 标准版 专业版（包周期） 防护对象 IPv4 ✓ ✓ 防护对象 IPv6 ✓ ✓ 防护规格 防护的公网IP（EIP）数量 20个（可扩容，最大扩容至2000个） 50个（可扩容，最大扩容至2000个） 防护规格 防护的VPC数量 × 2个（可扩容，最大扩容至100个） 防护规格 互联网边界防护带宽 10Mbps（可扩容，最大扩容至5000Mbps） 50Mbps（可扩容，最大扩容至5000Mbps） 防护规格 VPC边界防护带宽 × 200Mbps（随VPC数量扩容） 访问流量控制 公网资产ACL访问控制（基于IP、域名、域名组、地理位置等） ✓ ✓ 访问流量控制 南北向流量防护，统一隔离防护云上资产在互联网的暴露风险（例如EIP） ✓ ✓ 访问流量控制 南北向流量审计，日志查询 ✓ ✓ 访问流量控制 东西向流量防护，VPC间的资产保护、全流量分析 × ✓ 访问流量控制 东西向流量监控，实时获取VPC间流量数据 × ✓ 防护策略 入侵防御IPS ✓ ✓ 防护策略 自定义IPS特征库 × ✓ 防护策略 虚拟补丁 ✓ ✓ 防护策略 敏感目录、反弹Shell ✓ ✓ 防护策略 病毒防御AV × ✓

支持的同步方式 数据复制服务的同步方式分为全量、增量、全量+增量三种。 全量模式：数据库一次性同步，适用于可中断业务的数据库同步场景，全量同步将非系统数据库的全部数据库对象和数据一次性同步至目标端数据库。 增量模式：通过解析日志等技术，将源端产生的增量数据实时同步至目标端。 全量+增量模式：数据持续性实时同步，通过全量过程完成目标端数据库的初始化后，增量同步阶段通过解析日志等技术，将源端和目标端数据保持数据持续一致。 同步方式 同步方向 数据流向 增量同步 全量同步 全量+增量同步 单向/双向同步 入云 MySQL>MySQL 支持 不支持 支持 支持单向同步 入云 MySQL>GaussDB(for MySQL) 支持 不支持 支持 支持单向同步 入云 PostgreSQL>PostgreSQL 支持 支持 支持 支持单向同步 入云 DRDS>MySQL 不支持 不支持 支持 支持单向同步 入云 DRDS>DRDS 不支持 不支持 支持 支持单向同步 入云 MySQL>DWS 支持 支持 支持 支持单向同步 入云 Oracle>DWS 不支持 支持 支持 支持单向同步 入云 Oracle>PostgreSQL 不支持 支持 支持 支持单向同步 入云 Oracle>MySQL 不支持 支持 支持 支持单向同步 入云 Oracle>GaussDB(for MySQL) 不支持 支持 支持 支持单向同步 入云 Oracle>DRDS 不支持 支持 支持 支持单向同步 出云 MySQL>MySQL 支持 不支持 支持 支持单向同步 出云 DRDS>MySQL 不支持 不支持 支持 支持单向同步 自建自建 Oracle>Kafka 支持 不支持 不支持 支持单向同步 自建自建 MySQL>Kafka 支持 不支持 支持 支持单向同步

操作场景 CCE支持配置工作负载日志策略，便于日志的统一收集、管理和分析，以及按周期防爆处理。 云容器引擎服务对接了应用运维管理服务AOM，支持容器日志采集、查看、检索功能。使用该功能前首先要配置日志采集路径，本章节向您介绍如何采集容器内路径日志。 如果您需要通过不做任何配置的方式采集容器标准输出日志，请参见采集容器标准输出日志。 注意事项 ICAgent只采集.log、.trace和.out类型的文本日志文件。 AOM默认会采集容器标准输出日志，您不用做任何配置。 在CCE中添加日志策略 步骤 1 在CCE中创建无状态负载(Deployment)时，添加容器后，展开“容器日志”配置区域。 步骤 2 单击“添加日志策略”，设置自定义日志参数，配置日志策略，以nginx为例，不同工作负载根据实际情况配置。 步骤 3 存储类型有“主机路径”和“容器路径”两种类型可供选择： 主机路径：可将主机上的路径挂载到指定的容器路径。日志策略配置参数如下： 添加日志策略主机路径 参数 参数说明 存储类型 设置为“主机路径”。将主机上的路径挂载到指定的容器路径。 添加容器挂载 主机路径 输入主机的路径，如：/var/paas/sys/log/nginx 挂载路径 输入数据卷挂载到容器上的路径，如：/tmp 须知 请不要挂载在系统目录下，如“/ ”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 AOM只采集最近修改过的前20个日志文件，且默认采集两级子目录。 AOM只采集挂载路径下的“.log”、“.trace”、“.out”文本日志文件。 容器中挂载点的权限设置方法，请参见为Pod或容器配置安全性上下文。 主机扩展路径 通过实例的ID或者容器的名称扩展主机路径，实现同一个主机路径下区分来自不同容器的挂载。 会在原先的“卷目录/子目录”中增加一个三级目录。使用户更方便获取单个Pod输出的文件。 None：不配置拓展路径。 PodUID：Pod的ID。 PodName：Pod的名称。 PodUID/ContainerName：Pod的ID/容器名称。 PodName/ContainerName：Pod名称/容器名称。 采集路径 设置采集路径可以更精确的指定采集内容，当前支持以下设置方式： 不设置则默认采集当前路径下.log .trace .out文件 设置表示递归采集5层目录下的.log .trace .out文件 设置表示模糊匹配 例子： 采集路径为/tmp//test.log表示采集/tmp目录及其15层子目录下的全部以test开头的.log文件。 注意： 使用采集路径功能请确认您的采集器ICAgent版本为5.12.22或以上版本。 日志转储 此处日志转储是指日志的本地绕接。 设置：AOM每分钟扫描一次日志文件，当某个日志文件超过50MB时，会立即对其转储（转储时会在该日志文件所在的目录下生成一个新的zip文件。对于一个日志文件，AOM只保留最近生成的20个zip文件，当zip文件超过20个时，时间较早的zip文件会被删除），转储完成后AOM会将该日志文件清空。 不设置：若您在下拉列表框中选择“不设置”，则AOM不会对日志文件进行转储。 说明： AOM的日志绕接能力是使用copytruncate方式实现的，如果选择了设置，请务必保证您写日志文件的方式是append（追加模式），否则可能出现文件空洞问题。 当前主流的日志组件例如Log4j、Logback等均已经具备日志文件的绕接能力，如果您的日志文件已经实现了绕接能力，则无需设置。否则可能出现冲突。 建议您的业务自己实现绕接，可以更灵活的控制绕接文件的大小和个数。 容器路径：日志仅输出到容器路径，无需挂载主机路径。日志策略配置参数如下： 添加日志策略容器路径 参数 参数说明 存储类型 设置为“容器路径”。 日志仅输出到容器路径，无需挂载主机路径。此功能需要采集器ICAgent版本升级到5.10.79或以上版本。 添加容器挂载 挂载路径 输入数据卷挂载到容器上的路径，如：/tmp 须知 请不要挂载在系统目录下，如“/ ”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 AOM只采集最近修改过的前20个日志文件，且默认采集两级子目录。 AOM只采集挂载路径下的“.log”、“.trace”、“.out”文本日志文件。 容器中挂载点的权限设置方法，请参见为Pod或容器配置安全性上下文。 采集路径 设置采集路径可以更精确的指定采集内容，当前支持以下设置方式： 不设置则默认采集当前路径下.log .trace .out文件 设置表示递归采集5层目录下的.log .trace .out文件 设置表示模糊匹配 例子： 采集路径为/tmp//test.log表示采集/tmp目录及其15层子目录下的全部以test开头的.log文件。 注意 使用采集路径功能请确认您的采集器ICAgent版本为5.12.22或以上版本。 日志转储 此处日志转储是指日志的本地绕接。 设置：AOM每分钟扫描一次日志文件，当某个日志文件超过50MB时，会立即对其转储（转储时会在该日志文件所在的目录下生成一个新的zip文件。对于一个日志文件，AOM只保留最近生成的20个zip文件，当zip文件超过20个时，时间较早的zip文件会被删除），转储完成后AOM会将该日志文件清空。 不设置：若您在下拉列表框中选择“不设置”，则AOM不会对日志文件进行转储。 说明： AOM的日志绕接能力是使用copytruncate方式实现的，如果选择了设置，请务必保证您写日志文件的方式是append（追加模式），否则可能出现文件空洞问题。 当前主流的日志组件例如Log4j、Logback等均已经具备日志文件的绕接能力，如果您的日志文件已经实现了绕接能力，则无需设置。否则可能出现冲突。 建议您的业务自己实现绕接，可以更灵活的控制绕接文件的大小和个数。 说明： 此功能需要采集器ICAgent版本升级到5.10.79或以上版本。 步骤 4 单击“确定”，并完成创建工作负载。 查看日志 日志采集路径配置和工作负载创建完成后，若已配置的路径下存在日志文件，则ICAgent会从已配置的路径中采集日志文件，采集大概需要1分钟，请您耐心等待。 待采集完成后，进入工作负载详情页，单击右上角的“日志”按钮查看日志详情并进行分析。 说明： 云容器引擎服务对接了应用运维管理服务AOM提供日志查看、检索功能。

迁移中升级带宽后，迁移使用的是升级前的带宽还是升级后的带宽？ 升级带宽后，迁移使用的实际带宽取决于下面最小的带宽。升级带宽后，需要等待510分钟，才可生效，请耐心等待。 源端服务器升级后的带宽。 目的端服务器入云带宽。 SMS控制台设置的网速限制。 迁移速度由源端带宽决定还是目的端带宽决定？ 迁移速度取决于源端的出口带宽和目的端的入云带宽。取两者中较小值进行迁移。 如何判断迁移任务是不是卡住？ 迁移任务如果长时间不动，可能是以下三种情况，需要查看源端Agent日志确定。 情况一：迁移任务处于“持续同步”阶段。 “持续同步”是主机迁移服务新增的功能，会自动同步源端数据。在配置目的端时，“是否持续同步”选择“是”，全量复制完成后会自动进入“持续同步”阶段。 迁移任务处于“持续同步”阶段的时候，迁移并没有完成，需要手动启动目的端，因此，在未手动启动目的端前，迁移任务会一直处于“持续同步”阶段。启动目的端完成后，才算一次完整的迁移。 情况二：数据迁移中。 数据迁移进行全量复制时，长时间处于某一进度，可能是由于迁移数据量大，迁移速率慢，导致长时间内进度无明显变化，需要查看日志进行确认。若迁移速率不为0，已迁移数据量持续增加，则表明迁移正常。 情况三：启动目的端卡住。 1、启动目的端后任务进度条长时间为0，可能是在执行最后一次同步任务。启动目的端时会进行一次数据同步，期间进度条无变化，数据同步时间长短由源端数据量决定，如果数据量过大，会导致数据比对时间长，该现象为正常现象。若要确定是否在进行数据同步，可查看smsInfo.log最新日志，若启动目的端之后未出现error级别日志，则表明任务正常。 2、启动目的端后任务进度条有进度但长时间无变化，可尝试暂停任务，再次启动任务，等待一段时间（10分钟左右）再次查看是否发生变化。

多对一数据迁移 数据迁移是以整体数据库搬迁为目的，可以实现实例级多对一迁移，不支持源端具有同名的数据库，不支持库名映射。 图 多对一数据迁移 操作流程 创建任务时，为方便多对一任务间的相互识别，请在创建顺序上确保第一个任务进入全量迁移后再创建第二个任务。 图操作流程 数据复制服务的操作日志在哪里查看 数据复制服务的操作日志属于操作审计类日志，用户可以登录到云审计服务（Cloud Trace Service，简称CTS）页面，查看当前用户在Console页面单击的页面操作，主要是涉及任务变更的管理类操作。 请单击界面右上角的用户名，在下拉菜单选择“操作日志”进行查看。 已结束的任务还能重新启动吗 DRS已结束任务无法重新启动。 重置任务和重新创建任务有什么区别 重置功能一般在任务暂停和失败场景使用，DRS重置功能不会清空目标库，客户需要根据自己的需求选择是否清空目标库。任务重置后会重新进行全量同步，不需要再次配置任务。 源库或目标库修改密码后如何操作 DRS任务进行过程中，可能会因为源数据库或者目标数据库修改密码信息，导致连接失败，此时需要通过数据复制服务控制台更新为正确的信息，然后续传任务。 操作步骤 步骤 1 在任务列表选中指定任务，单击任务名称。 步骤 2 进入“基本信息”页签，在“连接信息”模块下，单击“修改连接信息”。 步骤 3 在“修改连接信息”弹出框中对源库和目标库的密码进行更新，更新完成后，单击“确认”即可。 说明 在上述操作未结束之前，请不要创建或者启动迁移任务，否则会导致数据不一致。

此章节为您介绍如何管理云堡垒机的数据。 您可在堡垒机存储配置页查看已使用的存储空间。当存储空间可用内存不足时，建议您及时删除历史系统数据，或变更实例规格扩充数据盘大小。 查看存储空间 1.登录云堡垒机（原生版）实例。 2.在左侧导航栏选择“系统管理 > 数据管理”，进入“存储配置”页面。 3.您可在“存储配置”页面查看已用的存储空间和设置自动删除的内容。 开启自动删除功能 1.打开自动删除功能，将“自动删除”后的按钮切换至开启状态“”。 2.填写需要保留数据月数，默认为6个月。 3.勾选需要删除的内容后，单击“保存”。 管理日志备份 1.登录云堡垒机（原生版）实例。 2.在左侧导航栏选择“系统管理 > 数据管理”，选择“日志备份”页签。 3.开启日志备份，并填写Syslog服务器地址。 参数 参数说明 取值样例 状态 决定是否开启备份至Syslog服务器功能 发送名称 用于标识堡垒机发送至Syslog服务器的日志。 Test 服务器IP 填写正确的Syslog服务器IP地址。 0.0.0.0 端口 填写Syslog服务器的端口地址。 80 协议 选择访问Syslog服务器的协议。 UDP 备份内容 选择您需要备份的堡垒机中的业务内容。 4.填写完成后，单击“保存”即配置完成。

主要功能 云容器引擎支持对容器应用的全生命周期管理，具有以下功能： 集群管理 通过控制台一键创建Kubernetes集群，支持跨可用区高可用。 一站式容器管理 容器应用全生命周期管理。 高性能容器隧道网络、VPC网络等容器网络。 云硬盘、弹性文件存储、对象存储等持久化存储支持。 资源、应用、容器多维度监控。 多样化的日志报表统计。 基于角色的权限管理。 应用市场内容 丰富的Helm chart组件。 支持自定义镜像和共享镜像。 开发者服务 提供Kubectl插件和社区原生Kubectl工具。

本文主要介绍 系统委托说明。 由于CCE在运行中对计算、存储、网络以及监控等各类云服务资源都存在依赖关系，因此当您首次登录CCE控制台时，CCE将自动请求获取当前区域下的云资源权限，从而更好地为您提供服务。服务权限包括： 计算类服务 CCE集群创建节点时会关联创建云主机，因此需要获取访问弹性云主机、物理机的权限。 存储类服务 CCE支持为集群下节点和容器挂载存储，因此需要获取访问云硬盘、弹性文件、对象存储等服务的权限。 网络类服务 CCE支持集群下容器发布为对外访问的服务，因此需要获取访问虚拟私有云、弹性负载均衡等服务的权限。 容器与监控类服务 CCE集群下容器支持镜像拉取、监控和日志分析等功能，需要获取访问容器镜像等服务的权限。 当您同意授权后，CCE将在IAM中自动创建账号委托，将帐号内的其他资源操作权限委托给CCE服务进行操作。 CCE自动创建的委托如下： cceadmintrust cceclusteragency cceadmintrust委托说明 cceadmintrust委托具有Tenant Administrator权限。Tenant Administrator拥有除IAM管理外的全部云服务管理员权限，用于对CCE所依赖的其他云服务资源进行调用，且该授权仅在当前区域生效。 如果您在多个区域中使用CCE服务，则需在每个区域中分别申请云资源权限。您可前往“IAM控制台 > 委托”页签，单击“cceadmintrust”查看各区域的授权记录。 说明 由于CCE对其他云服务有许多依赖，如果没有Tenant Administrator权限，可能会因为某个服务权限不足而影响CCE功能的正常使用。因此在使用CCE服务期间，请不要自行删除或者修改“cceadmintrust”委托。