本文主要介绍 DMS for Kafka自定义策略。 如果系统预置的DMS for Kafka权限，不满足您的授权要求，可以创建自定义策略。 目前云服务平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：《统一身份认证服务用户指南》的“创建自定义策略”章节。本章为您介绍常用的DMS for Kafka自定义策略样例。 说明 DMS for Kafka的权限与策略基于分布式消息服务DMS，因此在IAM服务中为DMS for Kafka分配用户与权限时，请选择并使用“DMS”的权限与策略。 由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的细粒度策略后，大概需要等待5分钟细粒度策略才能生效。 DMS自定义策略样例 示例1：授权用户删除实例和重启实例 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dms:instance:modifyStatus", "dms:instance:delete" ] } ] } 示例2：拒绝用户删除实例 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予DMS FullAccess的系统策略，但不希望用户拥有DMS FullAccess中定义的删除实例权限，您可以创建一条拒绝删除实例的自定义策略，然后同时将DMS FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对DMS for Kafka执行除了删除实例外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "dms:instance:delete" ] } ] }

约束限制 目前仅X86版本云堡垒机支持应用运维，ARM版本云堡垒机不支持应用运维。 应用运维仅支持通过Web浏览器方式登录进行运维。 支持复制/粘贴大量字符不乱码，本地到远端最多8万字符，远端到本地最多100万字节。 文件管理 不支持批量编辑文件或文件夹。 文件传输 系统默认支持上传最大100G的单个文件，但实际上传单个文件大小，受“个人网盘空间”大小和使用浏览器限制。 不支持下载文件夹。 应用运维的目标地址只有“主机网盘”。 前提条件 已获取“应用运维”模块管理权限。 已获取资源控制权限，即已被关联访问控制策略或提交的访问授权工单已审批通过。 应用发布服务器网络连接正常，且资源账户登录帐号和密码无误。 操作步骤 1 登录云堡垒机系统。 2 选择“运维>应用运维”，进入应用运维列表页面。 3 单击“登录”，登录会话进行操作。 会话操作说明 参数 说明 :: 复制/粘贴 远程文本：选中字符， 需按两次“Ctrl+C”复制按“Ctrl+V”粘贴。 远程机器文件：选中文本或图像，“Ctrl+B”复制，“Ctrl+G”粘贴。 说明：Web浏览器运维支持复制/粘贴大量字符不乱码，本地到远端最多8万字符，远端到本地最多100万字节。 分辨率 可切换当前操作界面分辨率，切换途中会重新创建连接。 切换鼠标 可分别切换为本地鼠标和远程鼠标。 Windows键 适用于Win快捷键操作。 锁屏键 “Ctrl+Alt+Delete” 复制窗口 可复制当前会话窗口。 全屏 可开启窗口全屏。 4 协同分享，可邀请同事参与此会话，一同进行操作。 单击“协同分享”，展开协同会话界面。 邀请同事参与会话，单击“邀请好友进入此会话”，弹出邀请链接窗口。 邀请协同会话 此链接可复制发送给多人。 复制链接，发送给拥有云堡垒机帐户权限的用户。 受邀用户登录云堡垒机，打开新的浏览器窗口，粘贴链接。 协同会话信息 单击“立即进入”参与会话操作。 会话操作管理说明 参数 说明 :: 申请控制权 可以向会话邀请者发申请控制权，邀请者同意后，可以操作此会话。 退出会话 退出此会话。 5 通过文件传输，可对主机网盘中文件进行上传或下载，详细说明请参见10.1.7文件传输。 单击“文件传输”，对系统个人网盘文件或文件夹进行管理。 6 通过文件管理，可对主机网盘中文件或文件夹进行管理。 单击“文件传输”，展开文件传输界面。 单击可以新建文件夹。 勾选一个或多个文件或文件夹，单击删除图标，可删除文件或文件夹。 勾选一个文件或文件夹，单击编辑图标，可修改文件或文件夹名称。 单击刷新图标，可刷新全部文件目录。

参数 说明 状态 选择启用或者禁用当前规则。源桶和目标桶的多版本控制状态必须保持一致。 源桶 复制对象 在源桶中选择要复制的对象。 所有对象：复制所有对象到目标桶。 按前缀匹配：复制具有相同前缀的对象到目标桶。 源桶 前缀 按前缀匹配对象时，输入的对象名前缀不能为空，长度限制为1024个字符。 当按前缀配置时，如果指定的前缀名与某条已配置的规则指定的前缀名存在包含关系，OBS会将两条规则视为同一条，而禁止您配置本条规则。例如，系统中已存在指定前缀名为“abc”的规则，则不允许再配置指定前缀以“abc”字段开头的规则。 如果要复制文件夹，对象名前缀需要使用/作为最后一个字符（例如，imgs/）。 源桶 同步历史对象 选择是否将创建本规则前已经存在于桶中的对象同步复制到目标桶，默认不同步。 目标桶 区域 选择目标桶所在区域，目标桶需要与源桶处于不同区域。 目标桶 桶 选择目标桶。 目标桶 修改复制对象的存储类别 默认不勾选，即保持与源桶中对象的存储类别一致。勾选后可以配置复制到目标桶的对象的存储类别。 权限 复制使用KMS加密的对象 不论是否勾选，OBS均会尝试复制KMS加密对象。 若勾选该项，下方的“IAM委托”仅会展示全局项目下配置了任意权限，并且源桶和目标桶区域均配置了KMS Administrator或Tenant Administrator权限的OBS云服务委托。 若不勾选该项，下方的“IAM委托”仅会展示全局项目下配置了任意权限，且源桶或目标桶区域不包含KMS Administrator或Tenant Administrator权限的OBS云服务委托。 如果目标区域没有启用KMS服务或者委托中没有赋予源桶和目标桶所在区域“KMS Administrator”权限，则源桶中KMS加密对象会复制失败，导致对象复制状态为FAILED。 源桶中以任意KMS密钥加密的对象，复制到目标桶后都会以目标桶所在区域的默认密钥“obs/default”进行加密。 权限 IAM委托 将您资源的操作权限委托给OBS，OBS使用此委托执行对象的跨区域复制。 第一次使用时，您需要单击“查看IAM委托”去创建一个新的委托用于跨区域复制。如果已经创建，可以从下拉列表中选择。 说明 委托要求： 此IAM委托必须为“对象存储服务 OBS”的云服务委托。其中“对象存储服务”项目需要具有“OBS Administrator”权限。 如果勾选了“复制使用KMS加密的对象”，源桶和目标桶所在区域还需要具有“KMS Administrator”权限。

本节介绍如何从云安全中心控制台进入安全体检控制台并使用安全体检产品。 云安全中心提供体安全体检产品的功能，可支持的场景包括高危端口开放情况、弱口令、漏洞开放情况，并输出体检报告。用户可根据需求单独购买。 更多信息请参见安全体检。 使用安全体检 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 4. 在左侧导航栏，选择“安全体检”。 5. 跳转到安全体检控制台，详细操作指导请参见安全体检产品文档。

如何安装PostgreSQL客户端 PostgreSQL官网提供了针对不同操作系统的不同版本的客户端安装包，用户可以根据自己的需要选择适合自己的客户端并使用。此处以CentOS弹性云主机（ECS）为例，介绍如何在ECS上安装下PostgreSQL 12版本客户端，并访问实例数据库。 1.打开PostgreSQL官网客户端下载页面。 2.选择数据库版本、操作系统、操作系统架构，在弹性云服务器上执行以下命令安装PostgreSQL客户端。 sudo yum install y PostgreSQL官网地址/pub/repos/yum/reporpms/EL7x8664/pgdgredhatrepolatest.noarch.rpm sudo yum install y postgresql12server 3.登录连接实例。 在连接数据库之前，请确保您的ECS和RDSPostgreSQL实例在同一VPC下且配置安全组放通数据库对应端口，确保网络通畅。 在ECS上执行以下命令登录连接实例，其中username是实例的用户名、host是实例的ip、port是实例的连接端口和dbname是实例的数据库。在执行该命令后按照提示输入数据库账号的密码即可登录连接实例。 psql U username h host p port d dbname

本章节主要介绍配置常见关系数据库源端参数。 常见关系数据库作为源端包括数据仓库服务（DWS）、云数据库 MySQL、云数据库 PostgreSQL、云数据库 SQLServer、FusionInsight LibrA、PostgreSQL、Microsoft SQL Server、SAP HANA。 从以上数据库导出数据时，源端作业参数如下表所示。 表 常见关系数据库作为源端时的作业参数 参数类型 参数名 说明 取值样例 基本参数 使用SQL语句 导出关系型数据库的数据时，您可以选择使用自定义SQL语句导出。 否 SQL语句 “使用SQL语句”选择“是”时，您可以在这里输入自定义的SQL语句，CDM将根据该语句导出数据。 说明 SQL语句只能查询数据，支持join和嵌套写法，但不能有多条查询语句，比如select from table a; select from table b。 不支持with语句。 不支持注释 ，比如""，“/”。 不支持增删改操作，包括但不限于以下操作： load data delete from alter table create table drop table into outfile select id,name from sqoop.user; 模式或表空间 “使用SQL语句”选择“否”时，显示该参数，表示待抽取数据的模式或表空间名称。单击输入框后面的按钮可进入模式选择界面，用户也可以直接输入模式或表空间名称。 如果选择界面没有待选择的模式或表空间，请确认对应连接里的帐号是否有元数据查询的权限。 说明 该参数支持配置通配符（），实现导出以某一前缀开头或者以某一后缀结尾的所有数据库。例如： 表示导出所有以“SCHEMA”开头的数据库。 表示导出所有以“SCHEMA”结尾的数据库。 表示数据库名称中只要有“SCHEMA”字符串，就全部导出。 SCHEMAE 表名 “使用SQL语句”选择“否”时，显示该参数，表示要抽取的表名。单击输入框后面的按钮可进入表的选择界面，用户也可以直接输入表名称。 如果选择界面没有待选择的表，请确认表是否已经创建，或者对应连接里的帐号是否有元数据查询的权限。 该参数支持配置为时间宏变量，且一个路径名中可以有多个宏定义变量。使用时间宏变量和定时任务配合，可以实现定期同步新增数据。 说明 表名支持配置通配符（），实现导出以某一前缀开头或者以某一后缀结尾的所有表（要求表中的字段个数和类型都一样）。例如： 表示导出所有以“table”开头的表。 表示导出所有以“table”结尾的表。 表示表名中只要有“table”字符串，就全部导出。 table 抽取分区字段 “使用SQL语句”选择“否”时，显示该参数，表示抽取数据时使用该字段进行数据切分，CDM依据此字段将作业分割为多个任务并发执行。一般使用数据均匀分布的字段，例如以自然增长的序号字段作为分区字段。 单击输入框后面的按钮可进入字段选择界面，用户也可以直接输入抽取分区字段名。 说明 抽取分区字段支持CHAR、VARCHAR、LONGVARCHAR、TINYINT、SMALLINT、INTEGER、BIGINT、REAL、FLOAT、DOUBLE、NUMERIC、DECIMAL、BIT、BOOLEAN、DATE、TIME、TIMESTAMP类型，建议该字段带有索引。 当选择CHAR、VARCHAR、LONGVARCHAR抽取分区字段类型时，字段值不支持ASCII字符代码表之外的字符，不支持中文字符。 id Where子句 “使用SQL语句”选择“否”时，显示该参数，表示配置抽取范围的Where子句，不配置时抽取整表。 该参数支持配置为时间宏变量，实现抽取指定日期的数据。 DS'${dateformat(yyyyMMdd,1,DAY)}' 分区字段是否允许空值 是否允许分区字段包含空值。 是 作业拆分字段 使用该字段将作业拆分为多个子作业并发执行。 拆分字段最小值 表示抽取数据时“作业拆分字段”的最小值。 拆分字段最大值 表示抽取数据时“作业拆分字段”的最大值。 子作业个数 根据“作业拆分字段”的最小值和最大值限定的数据范围，将作业拆分为多少个子作业执行。 按表分区抽取 从MySQL导出数据时，支持从分区表的各个分区并行抽取数据。启用该功能时，可以通过下面的“表分区”参数指定具体的MySQL表分区。 该功能不支持非分区表。 仅支持源端数据源为云数据库PostgreSQL/云数据库MySQL时配置该参数。 数据库用户需要具有系统视图dbatabpartitions 和dbatabsubpartitions 的SELECT权限。 否

说明：本章节会介绍天翼云关系型数据库如何设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

算力专网产品的开放范围是？ 算力专网的业务开放范围为中国境内（港澳台除外），支持多云接入（含天翼云资源池站点和第三方公有云资源池站点）。 客户组网的站点中必须有天翼云站点才能使用算力专网产品吗？ 不是。算力专网的站点支持总部/分支等普通站点，天翼云资源池站点和第三方云站点。 算力专网支持多云接入吗？支持哪些云商？ 算力专网支持多云接入，支持阿里云、腾讯云、华为云、AWS和微软云等。

路由表配置说明 VPCA的路由表（RouterA）的配置： 对等连接创建完成后，为了确保VPCA将能够正确地将流量传递给相应的目标（弹性云主机B02），并避免同一子网内不同服务器的冲突。有如下两种配置方案供您选择： 在VPCA的路由表（RouterA）中，添加目的地址为弹性云主机B02的私有IP地址，下一跳为PeeringAB的路由规则。根据最长匹配原则，确保VPCA将响应流量正确地送达弹性云主机B02。 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 192.168.1.130 (弹性云主机B02) PeeringAB 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为弹性云主机B02的私有IP地址，下一跳为PeeringAB。 RouterA（VPCA） 192.168.1.128/25 (SubnetC02) PeeringAC 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetC02的网段，下一跳为PeeringAC。 在VPCA的路由表中，需要添加两条自定义路由规则，一条规则的目的地址为VPCB的子网SubnetB02网段，下一跳为PeeringAB；另一条规则的目的地址为VPCC的子网SubnetC01网段，下一跳为PeeringAC。通过如上设置以确保VPCA能够将响应流量返回到VPCB的子网SubnetB02。 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 192.168.1.128/25(SubnetB02) PeeringAB 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetB02的网段，下一跳为PeeringAB。 RouterA（VPCA） 192.168.1.0/25 (SubnetC01) PeeringAC 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetC01的网段，下一跳为PeeringAC。 VPCB的路由表（RouterB）和VPCC的路由表（RouterC）配置如下： 路由表 目的地址 下一跳 路由类型 路由说明 RouterB（VPCB） 192.168.1.0/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 192.168.1.128/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.0.0/16(VPCA) PeeringAB 自定义路由 在VPCB的路由表RouterB中，添加一条路由规则，使其目的地址为VPCA的网段，下一跳为PeeringAB。 RouterC（VPCC） 192.168.1.0/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterC（VPCC） 192.168.1.128/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterC（VPCC） 10.0.0.0/16 (VPCA) PeeringAC 自定义路由 在VPCC的路由表RouterC中，添加一条路由规则，使其目的地址为VPCA的网段，下一跳为PeeringAC。 通过以上配置，VPCA 将能够正确地将流量传递给相应的目标，VPCB和VPCC将能够正确地将流量传递给VPCA的网段，并避免了路由冲突问题。

路由表配置说明 VPCA的路由表（RouterA）的配置： 对等连接创建完成后，为了确保VPCA将能够正确地将流量传递给相应的目标（弹性云主机B02），并避免同一子网内不同服务器的冲突。有如下两种配置方案供您选择： 在VPCA的路由表（RouterA）中，添加目的地址为弹性云主机B02的私有IP地址，下一跳为PeeringAB的路由规则。根据最长匹配原则，确保VPCA将响应流量正确地送达弹性云主机B02。 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 192.168.1.130 (弹性云主机B02) PeeringAB 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为弹性云主机B02的私有IP地址，下一跳为PeeringAB。 RouterA（VPCA） 192.168.1.128/25 (SubnetC02) PeeringAC 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetC02的网段，下一跳为PeeringAC。 在VPCA的路由表中，需要添加两条自定义路由规则，一条规则的目的地址为VPCB的子网SubnetB02网段，下一跳为PeeringAB；另一条规则的目的地址为VPCC的子网SubnetC01网段，下一跳为PeeringAC。通过如上设置以确保VPCA能够将响应流量返回到VPCB的子网SubnetB02。 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 192.168.1.128/25(SubnetB02) PeeringAB 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetB02的网段，下一跳为PeeringAB。 RouterA（VPCA） 192.168.1.0/25 (SubnetC01) PeeringAC 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetC01的网段，下一跳为PeeringAC。 VPCB的路由表（RouterB）和VPCC的路由表（RouterC）配置如下： 路由表 目的地址 下一跳 路由类型 路由说明 RouterB（VPCB） 192.168.1.0/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 192.168.1.128/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.0.0/16(VPCA) PeeringAB 自定义路由 在VPCB的路由表RouterB中，添加一条路由规则，使其目的地址为VPCA的网段，下一跳为PeeringAB。 RouterC（VPCC） 192.168.1.0/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterC（VPCC） 192.168.1.128/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterC（VPCC） 10.0.0.0/16 (VPCA) PeeringAC 自定义路由 在VPCC的路由表RouterC中，添加一条路由规则，使其目的地址为VPCA的网段，下一跳为PeeringAC。 通过以上配置，VPCA 将能够正确地将流量传递给相应的目标，VPCB和VPCC将能够正确地将流量传递给VPCA的网段，并避免了路由冲突问题。

上传类其他问题。 云点播上传文件有哪些方式？ 云点播控制台上传【视频上传】和云点播SDK/API上传【创建视频】【完成上传视频】。 云点播是否能断点续传？ 云点播的控制台上传和SDK上传方式均支持对失败的任务重试进行断点续传，相关逻辑已内置，无需用户特殊设置。详情可查看【视频上传】和【创建视频】。 如何获取上传进度？ 云点播SDK上传方式不支持获取上传进度；控制台上传方式可在上传弹窗中实时查看上传进度，详情可查看【视频上传】。 视频上传后，一般需要多长时间才能观看？ 上传后的准备时间由是否需要转码处理及对应的转码规格决定。音视频转码操作可参考【音视频转码】。 云点播后台的上传区分目录是什么？ 云点播目前不支持目录功能，您可以通过设置不同的标签来区分视频文件。标签的使用可参考【媒资管理】。 是否能上传压缩视频？ 目前不支持压缩包，仅支持源视频上传。上传方式可参考【视频上传】和【创建视频】。

此小节介绍云堡垒机的使用概要。 云堡垒机入手使用的基本流程： 通过Web浏览器、SSH客户端登录云堡垒机系统，依次创建用户、添加资源、配置权限策略，授予用户运维资源权限； 用户获取资源管理权限后，通过云堡垒机登录资源； 审计用户运维会话，以及审计用户登录系统和系统操作。 云堡垒机基础使用流程如下图所示。 使用流程简介： 操作步骤 说明 登录云堡垒机系统 成功购买CBH实例后，获取登录地址登录云堡垒机系统。admin是系统第一个可登录用户，用户密码为自定义设置的密码。 创建系统用户 创建CBH系统用户，一个用户对应一个系统登录帐号。 添加系统资源 添加资源信息，并纳管资源账户。 添加资源，可纳管资源包括Linux主机、Windows主机、数据库、应用系统等。 l 添加资源后，可纳管资源账户，实现自动登录资源进行运维管控。 配置运维权限 创建访问控制权限。 策略授权用户访问资源后，用户才有权限登录相应资源，才能对资源进行运维操作。 登录资源运维 授权用户通过CBH系统登录相应资源，不同资源类型可选择不同登录方式。 审计运维会话 在系统Web页面审计用户系统登录和操作，以及审计用户运维会话。

本文介绍VNC方式登录弹性云主机后,较长时间不操作,界面无响应怎么办 通过VNC方式登录到弹性云主机，但是在一段时间内没有进行任何操作，VNC登录界面可能会出现无响应的情况，键盘和鼠标也无法正常操作。这种情况下，你可以尝试重新启动云主机来解决这个问题。 要重新启动云主机，你可以按照以下步骤进行操作： 1. 打开终端或命令行界面。 2. 点击右上方 “Send CtrlAltDel”按钮。 3. 等待一段时间，以确保主机已重启完毕。 请注意，重新启动会中断正在进行的任务，因此请确保在重新启动之前保存好所有未保存的工作。如果重新启动云主机后仍然遇到问题，您可以提交工单或致电客服电话4008109889寻求技术支持。

参数 是否必填 参数类型 说明 示例 下级对象 cgwName 是 String 云企业路由器名称 gatewaybeijing description 否 String 云企业路由器描述 北京云企业路由器 region 否 Integer 地域信息，取值如下 1：中国大陆（默认） 2:亚太 1 dcName 是 String 资源池名称 内蒙演示环境 dcID 是 String 资源池ID信息 81f7728662dd11ec810800155d307d5b ecID 是 String 云间高速实例ID 82c40584fe8f49b09e09ef915caeee10 dcType 是 String 资源池类型， 取值范围: 'CNP':CNP资源池 'MAZ':MAZ资源池 'PRVT':私有云资源池 CNP

参数 是否必填 参数类型 说明 示例 下级对象 inspectionItem 是 Integer 本参数表示巡检项。取值范围：1：云主机性能评估。2：监控数据健康评估。3：云主机闲置资源检查。4：云主机磁盘使用预警评估根据以上范围取值。 1 level 否 Integer 本参数表示重要等级。取值范围：1：低。2：中。3：高。根据以上范围取值。 2 inspectionRules 否 Array of Objects 巡检规则列表 inspectionRule

本节介绍了添加网卡的操作场景、操作步骤、后续任务。 操作场景 当您的弹性云主机需要多个网卡时，可以参考下面步骤为弹性云主机添加网卡。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 单击待添加网卡的弹性云主机名称。系统跳转至该弹性云主机详情页面。 5. 选择“弹性网卡”页签，并单击“绑定弹性网卡”。 6. 选择待增加的子网和安全组，如下图所示。 图 选择子网和安全组 安全组：您可以同时勾选多个安全组，此时，弹性云主机的访问规则遵循几个安全组规则的并集。 私有IP地址：如果需要给弹性云主机添加一张指定IP地址的网卡，用户需填写“私有IP地址”。 7. 单击“确定”。 后续任务 部分操作系统无法识别新添加的网卡，需手动激活网卡。下面以Ubuntu系统为例介绍具体激活网卡的操作步骤，其他操作系统请自行完成相关操作，如有问题，请参见对应操作系统的官网指导或手册来完成操作。 1. 在弹性云主机所在行的“操作”列下，单击“远程登录”。 登录弹性云主机。 2. 执行如下命令，查看网卡名称。 ifconfig a 例如，查询到的网卡名为：eth2。 3. 执行如下命令，进入相应目录。 cd /etc/network 4. 执行如下命令，打开interfaces文件。 vi interfaces 5. 在interfaces文件中，增加类似如下信息。 auto eth2 iface eth2 inet dhcp 6. 执行如下命令，保存并退出interfaces文件。 :wq 7. 执行命令ifup ethX或/etc/init.d/networking restart，使新增网卡生效。 上述命令中的X为具体的网卡名称序号，例如，ifup eth2。 8. 执行如下命令，查看回显信息中是否包括2查询到的网卡。 ifconfig 例如，回显信息中包含网卡eth2。 是，表示新增网卡生效，结束。 否，表示新增网卡未生效，执行9。 9. 登录管理控制台，在弹性云主机所在行的“操作”列下，选择“更多”，并单击“重启”。 10. 再次执行命令ifconfig，查看回显信息中是否包括2查询到的网卡。 1. 是，结束。 2. 否，请联系客服获取技术支持。

如果您的设备已经绑定天翼云SDWAN，可以对设备进行流量监控。 操作场景 用户查看某个设备上的端口流量情况。 前提条件 设备已绑定天翼云SDWAN。 操作步骤 1. 登录管理与部署控制台； 2. 选择“云监控服务 >天翼云SDWAN”，单击目标SDWAN操作列的“查看监控项”； 3. 单击“智能网关”，选择需要查看监控的目标智能网关； 4. 选择查询时间间隔； 5. 可查看目标智能网关上的SDWAN流量，Internet流量，各个端口的流入/流出流量云业务流入/流出流量、带宽利用率等。

云企业路由器 云企业路由器是单一区域（资源池）内的核心网络转发设备，负责本区域内及跨区域间的流量转发，同时支持自定义路由表与路由策略。 网络实例 在云间高速（标准版）中，网络实例指可无缝接入并实现互通的天翼云网络资源，包括虚拟私有云（VPC）、云专线（CDA）、天翼云 SDWAN、VPN 连接（CTYUN4.0 资源池）、。 跨域互联带宽包 跨域互联带宽包是用于配置跨区域网络互通的带宽资源包。用户在开通云间高速（标准版）时，可根据需求购买带宽包，所有跨域连接的带宽均从该带宽包中分配。 跨域连接 跨域连接是指云间高速（标准版）实例中，任意两台云企业路由器之间建立的互通链路。跨域连接带宽从所属互联带宽包中分配，带宽为双向模式，所有跨域连接带宽总和不得超过跨域互联带宽包的总容量。建议根据业务实际需求提前规划带宽分配。 路由表 路由表是云企业路由器实现流量转发的核心配置载体。每个云企业路由器默认包含一张系统路由表，同时支持创建多张自定义路由表及自定义路由。用户可通过路由表关联、路由策略、路由同步与路由学习，实现网络互通或隔离，满足多样化组网需求。 说明 支持自定义路由表能力的资源池：CTYUN4.0资源池。

本文为您介绍如何删除已创建好的自动快照策略。 操作场景 如果您不再需要自动快照策略，可直接删除策略，与该策略关联的云硬盘将同时自动解绑。 约束与限制 删除策略后与该策略关联的云硬盘将自动取消关联关系，同时不再继续按照策略自动生成快照。 已经生成的快照不会受到该操作影响，不会被删除。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 单击左侧导航栏中的“云硬盘快照”，进入云硬盘快照页面。 5. 在此页面点击“自动快照策略”，进入自动快照策略控制台。 6. 在自动快照策略控制台，选择待删除策略的“操作>删除”按钮，弹出确认删除对话框。 7. 在确认待删除策略信息无误后，点击“确认”，完成删除策略操作。若您不想继续删除策略，点击“取消”，策略不会被删除。

本节主要介绍了GPU加速型实例安装Tesla驱动及CUDA工具包的安装须知。 云主机已绑定弹性公网IP。 云主机未安装Tesla驱动以及CUDA工具包。 说明 从NVIDIA官网下载CUDA工具包进行安装，通常会同时自动安装一个和CUDA版本匹配的Tesla驱动，免去用户单独安装Tesla驱动的步骤。 但是如果云主机用作生产用途，请务必先单独从NVIDIA官网下载并安装匹配的Tesla驱动，然后在再安装CUDA工具包。 如果云主机已经安装了Tesla驱动，请检查当前驱动版本是否可用。如需安装新版本的驱动请卸载旧版本的Tesla驱动，避免因驱动程序冲突导致安装失败。 安装指引： Tesla驱动及CUDA工具包获取方式 安装NVIDIA驱动 Linux操作系统云主机安装Tesla驱动 Windows操作系统云主机安装Tesla驱动 安装CUDA驱动 Linux操作系统安装CUDA工具包 Windows操作系统安装CUDA工具包

场景 当不再使用快照或快照数量超过配额时，可以删除部分快照以释放存储空间。 前提条件 当快照状态为“可用”或者“错误”时，才可以删除快照。 约束与限制 如果将创建快照的云硬盘删除，标准快照不会被删除。 当删除极速可用标准快照源云硬盘时，标准快照不会被删除，但会自动关闭极速可用功能。 重装操作系统或切换操作系统后，标准快照不会被删除；但对于开启了极速可用功能的系统盘标准快照，其极速可用功能会被自动关闭。 删除快照时，从快照回滚的数据以及从快照新建的云硬盘不受影响。 操作步骤 1. 登录管理控制台。 2. 单击页面左上角“”，选择“存储 > 云硬盘”。进入云硬盘页面。 3. 在左侧导航栏，选择“云硬盘 > 快照”。进入“快照”页面。 4. 在快照列表中，找到目标快照并单击快照所在行的“操作”列下的“删除”。 5. 在弹出对话框中，确认删除信息后，单击“确定”进行删除。当快照从快照列表消失时，表示删除成功。

通过ECS访问Manager 1.在MRS管理控制台，单击“集群列表”。 2.在 “现有集群” 列表中，单击指定的集群名称。 记录集群的“可用区”、“虚拟私有云”、“安全组”。 3.在ECS管理控制台，创建一个新的弹性云主机。 弹性云主机的“可用区”、“虚拟私有云”、“安全组”，需要和待访问集群的配置相同。 选择一个Windows系统的公共镜像。例如，选择一个标准镜像“Windows Server 2012 R2 Standard 64bit(40GB)”。 其他配置参数详细信息，请参见“弹性云主机 > 用户指南 > 快速入门 >”创建并登录Windows弹性云主机。 说明 如果ECS的安全组和MRS集群的“默认安全组”不同，用户可以选择以下任一种方法修改配置： 将ECS的安全组修改为MRS集群的默认安全组，请参见“ > 用户指南 ”关于安全组的操作指导。 在集群Master节点和Core节点的安全组中添加两条安全组规则使ECS可以访问集群，“协议”需选择为“TCP”，“端口”需分别选择“28443”和“20009”。请参见“ > 用户指南 > 安全性 > 安全组 > 添加安全组规则”。 4.在VPC管理控制台，申请一个弹性IP地址，并与ECS绑定。 具体请参见“虚拟私有云>用户指南 > 弹性公网IP > 为弹性云主机申请和绑定弹性公网IP”。 5.登录弹性云主机。 登录ECS需要Windows系统的帐号、密码，弹性IP地址以及配置安全组规则。具体请参见“弹性云主机 > 用户指南 ”登录Windows弹性云主机。 6.在Windows的远程桌面中，打开浏览器访问Manager。 例如Windows 2012操作系统可以使用Internet Explorer 11。 Manager访问地址形式为 https:// 集群控制台地址 :28443/web 。访问时需要输入MRS集群的用户名和密码，例如“admin”用户。 说明 集群控制台地址：远程登录Master2节点，执行“ifconfig”命令，系统回显中“eth0:wsom”表示集群控制台地址，请记录“inet”的实际参数值。如果在Master2节点无法查询到集群控制台地址，请切换到Master1节点查询并记录。如果只有一个Master节点时，直接在该Master节点查询并记录。 如果使用其他MRS集群用户访问Manager，第一次访问时需要修改密码。新密码需要满足集群当前的用户密码复杂度策略。 默认情况下，在登录时输入5次错误密码将锁定用户，需等待5分钟自动解锁。 7.注销用户退出Manager时移动鼠标到右上角 ，然后单击“注销”。

代码集成 通过AgentEngine memoryCollection SDK可直接集成记忆库功能。包括记忆库的管理以及记忆管理等功能。 SDK使用示例如下： python from agentenginememorycollection import ( Config, MemoryCollectionAPI, Mem0Client, getlogger, setloglevel ) import logging 设置日志级别 setloglevel(logging.DEBUG) logger getlogger() 从环境变量加载配置 / Load config from environment variables config Config.fromenv() 获取记忆集合的 endpoint / Get memory collection endpoint mc MemoryCollectionAPI.getbyid( memorycollectionid"memorycollectionid", configconfig, ) logger.info("记忆集合名称: {mc.memorycollectionname}") logger.info(f"Mem0 API Endpoint: {mc.mem0endpoint}") 创建 Mem0Client 实例 / Create Mem0Client instance mem0client Mem0Client(mem0endpointmc.mem0endpoint) 使用 Mem0Client 进行记忆操作 / Use Mem0Client for memory operations 添加记忆 / Add memory result mem0client.add( messages"用户喜欢吃苹果", userid"user123", metadata{"source": "example"} ) logger.info(f"添加记忆结果: {result}") 搜索记忆 / Search memories results mem0client.search( query"用户喜欢什么水果", userid"user123", limit5 ) logger.info(f"搜索到 {len(results.get('results', []))} 个记忆:") for result in results.get('results', []): logger.info(f" {result}") 获取所有记忆 / Get all memories memories mem0client.getall(userid"user123") logger.info(f"用户共有 {len(memories.get('results', []))} 个记忆") for i, result in enumerate(memories.get('results', []), 1): logger.info(f" {i}. {result.get('memory', 'N/A')}") 提示：若需要SDK调用，可联系客服获取SDK地址。

前置网络协议与安全环境限制 协议与认证强制要求 ：不支持 Windows 身份认证方式，仅支持 SQL Server 身份认证。不支持 TLS 1.0 和 TLS 1.1 协议的同步，必须将源库升级到 TLS 1.2 及以上版本。 TDE透明数据加密 ：不支持迁移源数据库中开启了 TDE（透明数据加密）的数据库，若需迁移，必须在配置迁移任务前将其彻底关闭。同时，也不支持列加密。 操作须知 DTS同步过程一般包含四个阶段：预检查阶段、结构同步阶段、全量阶段、增量阶段。为了确保数据同步各个阶段的平顺，在创建同步任务前，请务必阅读以下使用须知。 如同步对象为表级别，则单次同步任务仅支持同步最多3000张表。当超出数量限制，任务会在提交后会请求报错。如果遇到这种情形，建议您拆分待同步的表，分批配置成多个任务，或者配置为整库同步。 目标库关联RDS数据库的字符集必须与源数据库一致。 目标库若已存在行数据，DTS在增量同步过程中源库相同主键的数据将覆盖目标库已存在的数据，因此在同步前需要用户自行判断数据是否需要清除，建议用户在同步前自行清空目标库。 目标实例及关联RDS实例的运行状态必须正常，若关联RDS实例是主备实例，复制状态也必须正常。 目标库关联RDS实例必须有足够的磁盘空间，建议至少为待同步数据量的2.5倍。（全量数据同步会并发执行 INSERT 操作，导致目标数据库的表产生碎片，因此全量同步完成后目标数据库的表存储空间会比源实例的表存储空间大）。 SQL Server的TIMESTAMP类型字段不能显式赋值，只能自动生成，所以目标库库的TIMESTAMP值自动生成，跟源库的字段值存在差异。 增量同步时，CDC机制会在源库的cdc这个schema下产生一些数据库对象，请勿操作，否则影响增量同步。 在任务启动、任务全量同步阶段，不建议对源数据库做删除类型的DDL操作，这样可能会引起任务同步失败。 同步过程中，不允许修改、删除连接源和目标数据库的用户的用户名、密码、权限，或修改源和目标数据库的端口号。 同步过程中，不允许对源库需要同步的表结构进行修改。 选择表级对象同步时，增量同步过程中不建议对表进行重命名操作。 增量同步场景下，不支持源数据库进行恢复操作。 增量同步场景下，不支持无主键表的数据增量同步，因为无主键表的增量同步性能远低于有主键的表，而且不能保证数据的一致性。 如果开启 CDC 的表需要写入的单字段数据长度超过 64KB，由于 CDC 作业默认最大处理长度限制，必须提前在源库执行 exec spconfigure 'max text repl size', 1; 命令进行配置调整，否则会导致同步失败或截断。 CDC 组件默认仅保留 3 天数据，若源库单表日均变更超千万条，建议使用 spcdcchangejob 命令将保留时间调整为 1440 分钟（24小时）或更长。 极端场景下，开启 CDC 的表数量不建议超过 1000 张，否则极易导致任务延迟或运行不稳定。聚集列存储索引表不支持开启 CDC。 待同步的表不仅需要有主键，还需要具备聚集索引且包含主键列；已经开启 CDC 的表不支持进行任何主键相关的变更，增量同步期间不支持重建索引操作，否则会造成数据丢失。 切勿使用 sprename 命令修改对象名称，应直接使用 ALTER 命令，否则会导致任务运行失败。 全量数据同步运行期间，建议将源库的事务处理模式启用 READCOMMITTEDSNAPSHOT（已提交读隔离），防止产生的共享锁影响业务正常写入。 在业务正式切换到目标实例前，务必手动结束该数据同步任务，或者回收 DTS 账号在目标库的写权限。避免任务意外自动恢复后用旧数据覆盖目标端新业务数据。 sys.sysservers视图的srvname字段与SERVERPROPERTY函数返回值保持一致。 若单次同步任务中开启CDC的表数量大于1000，则预检查会失败。 日志备份模式与全量物理备份前提：为保证增量同步正常进行，源库的数据日志必须开启，且备份模式必须设置为 Full。

本文主要介绍远程桌面连接Windows云主机报错:无法验证此远程计算机的身份如何处理。 问题描述 由于在安全软件中设置了安全登录限制，导致远程桌面连接Windows云主机报错：无法验证此远程计算机的身份。需要再次登录输入密码。 图 协议错误 可能原因 云主机安装了安全软件，防止有未知IP登录云主机。 解决方法 卸载安全软件。 登录安全软件，将登录安全等级修改为系统默认登录方式。

本文介绍了分布式融合数据库HTAP产品的IPv6协议使用设置。 功能介绍 分布式融合数据库HTAP已经支持接收IPv6协议的请求，创建实例时，选择开启IPv6的虚拟私有云后，当用户处于IPv6环境时，可以通过IPv6协议访问该实例。 注意事项 分布式融合数据库目前仅支持内网访问， 支持使用IPv6协议的内网请求，暂不支持公网访问。使用虚拟私有云IPv6创建实例之后，在实例使用过程中， 无法关闭IPv6。 操作步骤 1、进入分布式融合数据库HTAP的产品详情页，点击【立即开通】。 2、在网络模块，选择开启IPv6功能的虚拟私有云及其子网和安全组。如果没有创建好的虚拟私有云， 点击下方【网络控制台】，进行虚拟私有云的创建，详情请参考创建虚拟私有云VPC。虚拟私有云IPv6的设置，详情请参考开启/关闭虚拟私有云IPv6。 3、填写实例创建的相关信息配置，完成支付，创建好HTAP实例。 4、在IPv6环境下， 详情请参考连接实例，通过IPv6协议对该实例进行访问。

事件类型 告警名称 告警说明 企业版 旗舰版 网页防篡改版 加入告警白名单 隔离查杀 恶意软件 恶意程序 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 √ √ √ √ √ 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × √ √ √ ×（部分支持） 恶意软件 Webshell 检测云服务器上web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 恶意软件 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 漏洞利用 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 √ √ √ √ × 系统异常行为 文件提权 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 √ √ √ √ × 系统异常行为 进程提权 检测以下进程提权操作并进行告警： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 √ √ √ √ × 系统异常行为 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）及目录进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 √ √ √ √ × 系统异常行为 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 √ √ √ √ × 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 √ √ √ √（部分支持） × 系统异常行为 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 √ √ √ √ × 系统异常行为 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 √ √ √ √ × 系统异常行为 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ × 用户异常行为 暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ × 用户异常行为 异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ × 用户异常行为 非法系统帐号 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 √ √ √ √ ×

参数 是否必填 参数类型 说明 示例 下级对象 inspectionItem 是 Integer 本参数表示巡检项。取值范围：1：云主机性能评估。2：监控数据健康评估。3：云主机闲置资源检查。4：云主机磁盘使用预警评估根据以上范围取值。 1

参数 是否必填 参数类型 说明 示例 下级对象 inspectionItem 是 Integer 本参数表示巡检项。取值范围：1：云主机性能评估。2：监控数据健康评估。3：云主机闲置资源检查。4：云主机磁盘使用预警评估根据以上范围取值。 1

当您的Linux弹性云主机变配后可能会发生磁盘脱机,您可以参考此文对执行过变配的云主机磁盘挂载状态进行检查或恢复。 故障描述 Linux弹性云主机进行变配后，可能会发生磁盘挂载失败的情况从而导致磁盘处于脱机的状态。 操作步骤 1. 请确保使用root用户登录弹性云主机。 2. 首先通过执行fdisk l grep 'Disk /dev/' 命令查询云主机的磁盘信息。之后执行df h grep '/dev/' 命令，查看磁盘挂载情况。 图1 查询云主机磁盘信息 如图1所示，云主机共有2块磁盘：/dev/vda、/dev/vdb。 图2 查询磁盘挂载情况 如图2所示，云主机置挂载了1块磁盘/dev/vda。 3. 检查上述步骤中查询到的磁盘个数和已挂载的磁盘个数是否一致。 如果一致，则表示云主机规格变更成功，不用执行以下操作。 如果不一致，则需要对挂载失败的所有磁盘分别执行步骤4。 4. 使用mount命令挂载磁盘，并用df命令检查磁盘挂载情况。 挂载示例：mount /dev/vdb /mnt/vdb 其中/dev/vdb是待挂载的磁盘；/mnt/vdb是待挂载磁盘的文件夹路径，此文件夹必须是空文件夹，否则挂载磁盘会失败。 图3 挂载磁盘并检查 如图3所示，/dev/vdb磁盘已经挂载成功。如果挂载失败您可以联系客服获取技术支持。 5. 再次通过执行fdisk l grep 'Disk/dev/' 和 df h grep '/dev/' 命令，对比查询到的磁盘个数和已挂载的磁盘个数是否一致。 图4 检查磁盘个数是否一致 如图4所示，检查到磁盘个数一致。如果不一致您可以执行步骤4或者联系客服获取技术支持。

本节主要介绍数据订阅 AOM支持用户订阅指标或者告警信息，订阅后可以将数据转发到用户配置的kafka或DMS的Topic中，供消费者消费转发的订阅的信息。 说明 最多可创建10个数据订阅规则。 创建订阅规则 步骤 1 在左侧导航栏中选择“配置管理 > 数据订阅”。 步骤 2 单击“创建订阅规则”，设置相关参数后，单击“确定”。 您可根据实际需求，选择订阅目标类型为“自定义Kafka”或“分布式消息服务DMS”。 1、订阅目标类型为“自定义Kafka”。 数据订阅规则参数说明 参数 说明 示例 规则名称 订阅规则名称。 输入：aomkafkatest。 订阅内容 支持“指标”和“告警”。 选择：指标。 订阅目标类型 选择“自定义Kafka”或“分布式消息服务DMS”。 自定义Kafka 订阅目标连接地址 用户自己的kafka地址，需要打通网络。格式为逗号分割的ipv4:port。例如: 192.168.0.1:9092,192.168.0.2:9092 根据实际情况填写。 a.（可选）进入到“规则详情”，单击 ，配置Kafka SASLSSL，参数如下表所示。 说明 AOM当前仅支持Kafka SASLSSL安全认证配置，如果目前实例已经开启Kafka SASLSSL，请打开此开关。 配置Kafka SASLSSL参数 参数 说明 示例 用户名 SASL用户名用于实例访问认证。 demo 密码 SASL密码用于实例访问认证，请妥善管理密码，系统无法获取您设置的密码内容。 客户端证书 请采用.pem格式的客户端证书 b.单击“验证并保存自定义Kafka配置信息”，验证自定义Kafka实例连通性。 c.选择数据发送topic后，单击“确定”。 2、订阅目标类型选择“分布式消息服务DMS”，请参考下表配置参数。 数据订阅规则参数说明 参数 说明 示例 规则名称 订阅规则名称 输入：aomkafkatest。 订阅内容 支持“指标”和“告警”。 选择：指标。 订阅目标类型 选择“自定义Kafka”或“分布式消息服务DMS”。 分布式消息服务DMS 实例 选择DMS实例，如没有DMS实例，请单击“创建DMS实例”，创建DMS实例。 kafkaaom7160 a. 进入到“规则详情”，单击“创建网络连接通道”。 b. 验证DMS实例连通性。 您需要确保在安全组"入方向规则"中，放通9011端口，源地址为"198.19.128.0/20"的网络流量。设置安全组规则操作如下： i. 登录管理控制台。 ii. 在左侧导航栏，单击 ，选择“网络 > 虚拟私有云 VPC”。 iii. 在左侧导航栏单击“访问控制 > 安全组”，在使用DMS所在的安全组右侧，单击“配置规则”。 iv. 在“入方向规则”页签下，单击“添加规则”，放通9011端口、源地址为“198.19.128.0/20”的网络流量。 c. 单击“验证并保存DMS配置信息”。 d. 选择数据发送topic后，单击“确定”。 数据订阅格式说明 AOM格式的指标JSON格式代码片断 package metric type MetricDatas struct { Metrics []Metrics json:"metrics" ProjectId string json:"projectid" } type Metrics struct { Metric Metric json:"metric" Values []Value json:"values" CollectTime int64 json:"collecttime" } type Metric struct { Namespace string json:"namespace" Dimensions []Dimension json:"dimensions" } type Value struct { Value interface{} json:"value" Type string json:"type" Unit string json:"unit" StatisticValues string json:"statisticvalues" MetricName string json:"metricname" } type Dimension struct { Name string json:"name" Value string json:"value" } kafka消息示例 key:, value:{"metrics":[{"metric":{"namespace":"PAAS.NODE","dimensions":[{"name":"nodeName","value":"testvsscopmaster1"},{"name":"nodeIP","value":"1.1.1.1"},{"name":"hostID","value":"75d9711147344c6cae9ef6111111111"},{"name":"nameSpace","value":"default"},{"name":"clusterId","value":"46a7bc0d1d8b11ea9b04333333333333333"},{"name":"clusterName","value":"testvss111"},{"name":"diskDevice","value":"vda"},{"name":"master","value":"true"}]},"values":[{"value":0,"type":"","unit":"Kilobytes/Second","statisticvalues":"","metricname":"diskReadRate"},{"value":30.267,"type":"","unit":"Kilobytes/Second","statisticvalues":"","metricname":"diskWriteRate"}],"collecttime":1597821030037}],"projectid":"111111111111111111111"} 告警数据格式说明 示例： { "events": [{ "id": "4346299651651991683", "startsat": 1597822250194, "endsat": 0, "arrivesat": 1597822250194, "timeout": 300000, "resourcegroupid": "312313123112222222222232131312131", "metadata": { "kind": "Pod", "eventseverity": "Major", "resourcetype": "service", "clusterId": "6add4ef5135811eaa5bf111111111", "eventtype": "alarm", "clusterName": "cceief4516140c96ca4a5f8d851111111", "namespace": "PAAS.NODE", "name": "test15769793809553052f5557bd7fqnfkm", "eventname": "调度失败

本小节介绍云堡垒机变更实例规格。 当云堡垒机的资产规格不能满足需求时，可对云堡垒机实例进行资产规格升级，扩大纳管的资产数上限、增加数据盘容量（即版本、资产规格、存储扩容）。 支持跨版本变更实例的资产规格。例如，由标准版10资产升级到企业版20资产。 系统影响 变更规格过程大约需要10分钟，变更规格期间云堡垒机系统不可用，业务中断，但不影响主机资源运行。建议用户不要登录云堡垒机系统进行操作，以免重要数据丢失影响使用。 约束限制 只有2.0及以上版本的堡垒机支持提升规格。 仅支持云堡垒机升级，暂不支持降级。 不支持升级实例类型（不支持由单机版升级到主备版）。若需要升级实例类型，请先备份相关数据，退订单机版后重新订购主备版。 前提条件 已获取管理控制台的登录账号与密码。 实例已绑定EIP，且EIP可用。 实例的状态为“已关机”时支持变更规格。 计费样例 计费场景： 某用户于2025/01/01购买了一个云堡垒机实例，购买时长1年（在包月总价基础上享受85折优惠），规格如下： 实例类型：单机版 版本：标准版 资产规格：10资产 使用一段时间后，用户发现当前规格无法满足业务需要，于2025/10/01进行升级（还剩3个月到期），需要升级的规格如下： 实例类型：单机版 版本：企业版 资产规格：20资产 计费分析： 新配置价格高于老配置价格，执行升级操作时，您需要支付新老配置的差价。 计算公式：升级费用（新配置价格旧配置价格）剩余周期优惠折扣 本示例中，相关参数如下： 旧配置价格：10资产标准版，标准资费650元/个/月 新配置价格：20资产企业版，标准资费1280元/个/月 剩余周期：3个月 优惠折扣：享受85折优惠 说明 若实例升级时仍在原包年周期内，则升级差价可继续享受原有的包年折扣。 代入公式可得，执行升级时需要支付的费用为：（1280650）×3×0.851606.5元 注意 本样例仅供参考，实际需支付的费用请以云堡垒机（原生版）控制台展示为准。