本文介绍云容器引擎Serverless版的产品定义。 云容器引擎Serverless版是天翼云提出的Serverless Kubernetes容器服务。与传统Kubernetes集群相比，Serverless集群无需购买节点即可直接部署容器应用，同时无需对集群进行节点维护和容量规划，降低了Kubernetes使用门槛，让用户更专注于应用程序，而不是管理底层基础设施。Serverless集群提供完善的Kubernetes兼容能力，您可以轻松迁移已有的Kubernetes应用到Serverless集群上，并且根据应用配置的CPU和内存资源量进行按需付费。 Serverless集群中的每个Pod都是基于天翼云弹性容器实例ECI运行，实现了安全隔离的容器运行环境。每个容器底层采用轻量级虚拟化安全沙箱技术，实现了容器实例间的强隔离，避免了容器实例间相互影响的问题。Serverless集群还具有易用性、灵活性和安全性等优点，能够满足不同规模应用场景的需求，并提供了完善的监控、日志和核心运维能力。

本文介绍应用性能监控的权限管理。 权限说明 如果您需要对给企业中的员工设置不同的功能权限，您可以使用天翼云统一身份认证（Identity and Access Management，简称IAM）进行权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可帮助您进行权限管理。 通过天翼云统一身份认证IAM，您可以在天翼云主账号中给员工或其他使用者创建IAM用户，并通过权限策略来控制其在应用性能监控中的功能权限。例如您希望某个子用户拥有指标查看权限，但是不希望该子用户拥有删除应用等高危操作的权限，那么您可以创建IAM用户，授予仅能查看监控指标，但是不允许删除应用。 如果天翼云账号已经能满足您的使用需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用应用性能监控的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见IAM产品介绍。 应用性能监控权限 在默认情况下，通过主账号新建的IAM用户没有任何权限，主账号需要将IAM用户加入用户组，并给用户组授予权限策略，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限在应用性能监控进行操作。 策略是IAM提供的细粒度权限集合，可以精确到具体资源、条件等。使用基于策略的授权是一种灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对弹性云主机服务，管理员能够控制IAM用户仅能对云主机的资源进行指定的管理操作。 下表包括了应用性能监控的所有系统策略。 策略名称 描述 策略类别 APM admin 应用性能监控的所有权限，拥有该权限的用户可以操作并使用应用性能监控。 系统策略 APM user 应用性能监控的使用权限，除删除应用权限外，其余权限与Admin相同。 系统策略 APM viewer 应用性能监控的只读权限，拥有该权限的用户仅能查看应用性能监控数据。 系统策略 下表列出了常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 操作 admin user viewer 实例统计列表查询 ✓ ✓ ✓ JVM信息查询 ✓ ✓ ✓ Pod图表查询 ✓ ✓ ✓ SQL分析查询 ✓ ✓ ✓ nosql分析 ✓ ✓ ✓ 异常调用统计分析 ✓ ✓ ✓ 上下游应用 ✓ ✓ ✓ 接口统计列表查询 ✓ ✓ ✓ 数据库调用统计列表查询 ✓ ✓ ✓ 获取接入应用信息 ✓ ✓ × 概览统计数据查询 ✓ ✓ ✓ 慢调用查询 ✓ ✓ ✓ 接口调用统计 ✓ ✓ ✓ 应用实例信息查询 ✓ ✓ ✓ 调用曲线图 ✓ ✓ ✓ 查询数据库拓扑图 ✓ ✓ ✓ 查询拓扑图 ✓ ✓ ✓ 外部调用目标服务统计概览 ✓ ✓ ✓ 外部调用概览的图表 ✓ ✓ ✓ MQ监控 ✓ ✓ ✓ 调用链详情查询 ✓ ✓ ✓ 获取日志配置信息 ✓ ✓ ✓ 查询应用配置 ✓ ✓ ✓ 用量统计页 ✓ ✓ ✓ arms首页 ✓ ✓ ✓ 调用链查询页 ✓ ✓ ✓ web容器查询 ✓ ✓ ✓ 查询数据存储时长 ✓ ✓ ✓ 删除应用 ✓ × × 下载javaagent ✓ ✓ × 开启或关闭调用链日志关联功能 ✓ ✓ × 保存应用配置 ✓ ✓ × 修改数据存储时长 ✓ ✓ ×

DBSS服务是否支持线下部署？ 不支持。数据库安全服务需要部署在您所使用的云上的服务器中，您需要将相关的业务迁移至目标云上。 云服务首页提示DBSS服务预测容量不足如何处理？ DBSS实例磁盘不支持单独扩容，磁盘容量预测无法满足保存至少180天日志的合规要求时，需要进行备份。 此告警为提醒用户实例磁盘使用阈值较高，建议按小时备份。如果已开启了备份，则可忽略该告警。

本节主要介绍访问日志记录的概念。 出于分析或审计等目的，用户可以开启日志记录功能。通过访问日志记录，桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。当用户开启一个桶的日志记录功能后，OBS会自动对这个桶的访问请求记录日志，并生成日志文件写入用户指定的桶（即目标桶）中。 当日志记录开启后，目标存储桶的日志投递用户组会同步开启桶的写入权限和ACL读取权限。若手动将日志投递用户组的桶写入权限和ACL读取权限关闭，桶的日志记录会失败。 OBS支持对桶的访问请求创建并保存访问日志记录，可用于进行请求分析或日志审计。 由于日志存储在OBS中也会占用用户的OBS存储空间，即意味着将产生额外的存储费用，默认情况下，OBS不会为用户的桶收集访问日志。 由于日志文件是OBS产生，并且由OBS上传到存放日志的桶中，因此OBS需要获得委托授权，用于上传生成的日志文件。所以在配置桶日志记录前，需要先到统一身份认证服务生成一个对OBS服务的委托，并在配置日志记录时添加该委托。默认情况下，在为委托配置权限时只需设置日志存储桶的上传对象（PutObject）权限，示例如下（其中mybucketlogs为日志存储桶的桶名）。如果日志存储桶开启了默认加密功能，还需要委托同时具有日志存储桶所在区域的KMS Administrator权限。 { "Version": "1.1", "Statement": [ { "Action": [ "obs:object:PutObject" ], "Resource": [ "OBS:::object:mybucketlogs/" ], "Effect": "Allow" } ] } 日志记录设置成功后，大约15分钟后可在日志存储目标桶中查看到桶的操作日志。 以下所示为在目标桶生成的桶访问日志文件记录： 787f2f92b20943998a4fe2ab75eb09b8 bucket [13/Aug/2015:01:43:42 +0000] xx.xx.xx.xx 787f2f92b20943998a4fe2ab75eb09b8 281599BACAD9376ECE141B842B94535B REST.GET.BUCKET.LOCATION "GET /bucket?location HTTP/1.1" 200 211 6 6 "" "HttpClient" 每个桶访问日志都包含以下信息： 名称 示例 含义 BucketOwner 787f2f92b20943998a4fe2ab75eb09b8 桶的ownerId Bucket bucket 桶名 Time [13/Aug/2015:01:43:42 +0000] 请求时间戳（UTC） Remote IP xx.xx.xx.xx 请求IP Requester 787f2f92b20943998a4fe2ab75eb09b8 请求者ID RequestID 281599BACAD9376ECE141B842B94535B 请求ID Operation REST.GET.BUCKET.LOCATION 操作名称 Key 对象名 RequestURI GET /bucket?location HTTP/1.1 请求URI HTTPStatus 200 返回码 ErrorCode 错误码 BytesSent 211 HTTP响应的字节大小 ObjectSize 对象大小（bytes） TotalTime 6 服务端处理时间（ms） TurnAroundTime 6 总请求时间（ms） Referer 请求的referrer头域 UserAgent HttpClient 请求的useragent头域 VersionID 请求中带的versionId STSLogUrn 联邦认证及委托授权信息 StorageClass STANDARDIA 当前的对象存储类别 TargetStorageClass GLACIER 通过转换后的对象存储类别

本文主要介绍在使用AOneMail过程中会遇到的常见问题。 AOne客户端无法唤起云邮箱 确认是否被查杀 请确认本地360安全卫士、360杀毒等安全软件防护日志，aonemail.exe和aonemailservice.exe是否被拉黑了。 【处理办法】： 根据防护日志中被拉黑的aonemail.exe和aonemailservice.exe日志路径，找到对应文件进行加白。加白后重启AOneMail后可正常打开。 文件损坏，AOneMail启动失败报错 问题现象： 【windows系统处理办法】： 1.文件夹搜索路径 %appdata% accessoneplugins1795496013048008705 ，并删除该目录中文件夹（压缩文件保留）。 2.重启AOne客户端，再打开云邮箱即可。 【MAC系统处理办法】： ①把~/Library/Application Support/accessone/plugins/1795496013048008705，并删除该目录中文件夹（压缩文件保留）。 ②重启AOne客户端，再打开云邮箱即可。

本文向您介绍如何查看并导出CC攻击事件详情。 简介 天翼云WAF默认提供CC攻击事件，详细记录CC攻击事件攻击产生的时间、攻击时长和攻击详情，并且支持导出攻击事件。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 开通标准版及以上版本支持开启CC防护，识别CC攻击将自动拦截并生成攻击日志 操作步骤 1. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【CC攻击事件】页面 2. 通过域名、时间周期进行组合查询攻击日志 字段说明： 峰值QPS：CC攻击峰值QPS 攻击开始时间：CC攻击开始的时间 攻击结束时间：CC攻击结束的时间 攻击时长：CC攻击持续的时间 攻击详情：CC攻击QPS变化趋势、攻击请求数最高的前10个客户端IP、被攻击请求数最高的前10个URL

本文为您介绍如何在控制台修改Elasticsearch.yml文件中的部分参数。 云搜索服务支持您在控制台修改Elasticsearch.yml文件中的部分参数。 操作步骤 1. 登录云搜索服务管理控制台，在左侧导航栏，选择对应的实例类型，进入管理列表页面。 2. 点击实例名称进入对应实例详情，并选择“配置管理”。 3. 点击“修改配置”进入编辑状态，对所需的参数进行修改，修改时请关注填写规则和样例。 4. 修改完成后，点击“提交”，并在弹出的窗口中核对修改信息，需要知晓并勾选重启过程中可能会导致服务短暂不可用，确认后等待对应参数修改记录变为成功，即为已生效。若为失败，则未成功修改，参数仍为改前值。 5. 您可在下方参数修改记录中查看近10次的修改记录和状态。 6. 如果有需要修改的参数不在列表内，请提报工单申请，由工程师为您修改。 指标分类 参数名称 填写说明 跨域访问 http.cors.enabled true表示启用跨域资源访问，false表示不启用 跨域访问 http.cors.alloworigin 支持 host/IP 和 port 组合、域名或号，例如node1:9200,127.0.0.1:9200，限制1100个，逗号隔开；号表示全部放开 跨域访问 http.cors.maxage 浏览器默认缓存时间。如果超过设置的时间后，缓存将自动清除。数值，取值范围[01728000]，单位秒 跨域访问 http.cors.allowcredentials 响应中是否允许返回allowcredentials取值true/false 跨域访问 http.cors.allowheaders 跨域访问允许的headers，XRequestedWith,ContentType,ContentLength中的任意一个或多个 跨域访问 http.cors.allowmethods 跨域访问允许的方法OPTIONS,HEAD,GET,POST,PUT,DELETE中的任意一个或多个 审计日志 opendistrosecurity.audit.type 审计日志，默认关闭，开启后，系统会记录Elasticsearch实例对应的操作产生的日志 Reindex索引迁移 reindex.remote.whitelist 添加远程集群的访问地址白名单，支持host/IP 和 port 组合，例如 node1:9200，127.0.0.1:9200，port必填。限制1100个，逗号隔开 索引自动创建、通配删除 action.destructiverequiresname 删除索引是否需要声明完整索引名 true：需要声明完整索引名 false：不需要声明完整索引名 自定义查询缓存 action.autocreateindex 是否允许自动根据文档创建索引 线程池 threadpool.forcemerge.size forcemerge场景下队列的大小 读写集群的线程池设置 threadpool.write.queuesize 写阈值线程池大小，整数类型，取值范围1100000 读写集群的线程池设置 threadpool.search.queuesize 读阈值线程池大小，整数类型，取值范围1100000 fielddata的堆内cache indices.fielddata.cache.size fielddata的cache size，百分比，取值范围1%39% 查询相关限制 indices.query.bool.maxclausecount 查询的bool语句允许的子语句大小，整数类型，取值范围11024

集群外部域名解析异常 问题现象 业务Pod可以正常解析集群内部域名，但无法解析某些集群外部域名。 问题原因 上游服务器域名解析返回异常。 解决方案 修改CoreDNS配置文件corefile，开启log模块以打印查询请求日志，检查CoreDNS DNS查询请求日志。 常见请求日志 CoreDNS接收到请求并回复客户端后会打印一行日志，示例如下： plaintext 其中包含状态码RCODE NOERROR，代表解析结果正常返回。 [INFO] 172.20.2.25:44525 36259 "A IN nginx.default.svc.cluster.local. udp 56 false 512" NOERROR qr,aa,rd 110 0.000116946s 常见返回码RCODE 返回码RCODE 含义 原因 NXDOMAIN 域名不存在 容器内请求域名时，会被拼接上search后缀，若拼接的结果域名不存在，则会出现该请求码。如果确认日志中请求的域名内容存在，则说明存在异常。 SERVFAIL 上游服务器异常 常见于无法连接上游DNS服务器等情况。 REFUSED 拒绝应答 常见于CoreDNS配置或集群节点/etc/resolv.conf文件指向的上游DNS服务器无法处理该域名的情况，请排查CoreDNS配置文件。 当CoreDNS DNS查询请求日志中显示集群外部域名返回为NXDOMAIN、SERVFAIL、REFUSED时，说明CoreDNS的上游DNS服务器返回异常。请提交工单排查。 StatefulSets Pod域名无法解析 问题现象 Headless服务无法通过Pod域名解析。 问题原因 StatefulSets Pod YAML中ServiceName必须和其暴露SVC的名字一致，否则无法访问Pod域名（例如pod.headlesssvc.ns.svc.cluster.local），只能访问到服务域名（例如headlesssvc.ns.svc.cluster.local）。

检查LdapServer进程是否正常 6.选择“运维 > 告警 > 告警”，在告警列表中查看是否有“进程故障”告警产生。 是，执行步骤7。 否，执行步骤10。 7.查看告警信息中的服务名和主机名是否和LdapServer服务名和主机名一致。 是，执行步骤8。 否，执行步骤10。 8.按“ALM12007 进程故障”提供的步骤处理该告警。 9.在告警列表中查看“LdapServer服务不可用”告警是否清除。 是，处理完毕。 否，执行步骤10。 收集故障信息 10.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 11.在“服务”中勾选待操作集群的“LdapServer”。 12.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 13.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

云日志服务日志服务支持如下机器学习函数。 函数列表 函数名称 语法 说明 tscpdetect tscpdetect(x, y, minSize) 寻找时序序列中具有不同统计特性的区间，区间端点即为变点。 tsbreakoutdetect tsbreakoutdetect(x, y, winSize) 寻找时序序列中，某统计量发生陡升或陡降的点。 tsfindpeaks tsfindpeaks(x, y, winSize) 极大值检测函数用于在指定窗口中寻找序列的局部极大值。 tspredicatesimple tspredicatesimple(x, y, nPred, isSmooth) 利用默认参数对时序数据进行建模，并进行简单的时序预测和异常点的检测。 tspredicatear tspredicatear(x, y, p, nPred, isSmooth) 使用自回归模型对时序数据进行建模，并进行简单的时序预测和异常点的检测。 tspredicatearma tspredicatearma(x, y, p, q, nPred, isSmooth) 使用移动自回归模型对时序数据进行建模，并进行简单的时序预测和异常点检测。 tspredicatearima tspredicatearima(x, y, p, d, q, nPred, isSmooth) 使用带有差分的移动自回归模型对时序数据进行建模，并进行简单的时序预测和异常点检测。 tsdensitycluster tsdensitycluster(x, y, z) 使用密度聚类方法对多条时序数据进行聚类。 tshierarchicalcluster tshierarchicalcluster(x, y, z) 使用层次聚类方法对多条时序数据进行聚类。 tssmoothsimple tssmoothsimple(x, y) 默认平滑函数，使用HoltWinters算法对时序数据进行滤波操作。 tssmoothfir tssmoothfir(x, y,winType,winSize) tssmoothfir(x, y,array()) 使用FIR滤波器对时序数据进行滤波操作。 tssmoothiir tssmoothiir(x, y, array(), array()) 使用IIR滤波器对时序数据进行滤波操作。

本节主要介绍HBlock服务。 服务 服务名称 作用 stor:mdm 元数据管理服务（仅集群版支持） 管理整个系统的元数据。 stor:fc 故障转移控制服务（仅集群版支持） 进行系统健康检测，实现故障转移控制。 stor:ls 日志服务（仅集群版支持） 提供基于日志的数据同步功能。 stor:dsx 数据服务（仅集群版支持） 管理用户的文件数据块。 stor:cs 协调服务（仅集群版支持） 监视各服务器的状态，触发通知事件，确保集群服务高可用。 stor:ms 管理服务 处理请求信息，维护集群运行状态。 stor:ws 监控服务 监控各个服务的状态，并负责服务的启动。 stor:ps 协议解析服务 负责iSCSI协议解析与数据存储。 stor:ag 数据采集服务 负责采集性能数据。 stor:ua 升级监听服务 负责接收升级请求，执行升级相关操作。

本节介绍了子账号授权的用户指南。 本节介绍了子账号授权的用户指南，包括授权概述、IAM授权指引、RBAC授权指引。 授权概述 云容器引擎的授权体系包括管控基础云资源和OpenAPI接口的IAM权限体系以及管控K8s资源的RBAC权限体系，可以根据子账号需要访问的资源类型进行授权。 IAM权限控制 IAM权限控制：用户是否可以操作云资源以及OpenAPI接口的权限，具体场景包括： 控制台操作：访问云容器引擎控制台，通过控制台菜单和按钮操作集群。 OpenAPI操作：通过云容器引擎提供的OpenAPI接口（OpenAPI使用可参考 API参考 章节）操作集群。 RBAC权限控制 RBAC权限控制用户是否可以操作K8s集群中的某类资源（如节点、命名空间、工作负载、服务、路由等），具体场景包括： 通过云容器引擎控制台操作K8s资源（如新增或删除一个工作负载、查看节点情况等）。 使用kubeconfig连接到集群，通过kubectl操作K8s资源。 一般来说，通过云容器引擎控制台或OpenAPI操作集群会同时受到IAM权限及RBAC权限的管控，因此需要为子账号同时授予IAM权限及RBAC权限；而通过kubeconfig方式操作集群只会受到RBAC权限的管控，因此只需为子账号授予RBAC权限；需要注意的是，有部分控制台操作不会涉及到集群资源的操作（如查看监控、日志等），那么就只需为子账号授予IAM权限。 IAM授权指引

收集故障信息 7.在主备集群的FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 8.在“服务”中勾选待操作集群的有问题的HBase服务。 9.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 10.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本文介绍企业中心常见问题 企业中心相关操作，以及企业中心所创建的虚拟用户如云SSO用户相关操作，如何提取审计日志? 当前可通过工单方式进行申请，由后台人员提供；企业中心完成“云审计”产品对接后，可直接从云审计产品服务中获取。 是否每个账号都要开通企业中心? 只有企业管理员账号才开通企业中心，子账号通过邀请或创建加入管理员账号所在的企业组织，待邀请的子账号需要完成企业实名认证，并要求与主账号是相同实名认证主体或关联企业。 企业中心中的子账号与统一身份认证中的IAM子用户的区别。 企业中心里的主账号与子账号都是完成企业实名认证的实体账号，是天翼云内的独立租户。CTIAM中的IAM用户，是虚拟用户非实体账号，IAM用户所创建的资源以及商务归属都属于IAM所归属的独立账号。

本文将介绍针对远程访问场景下产生的防护日志。 AOne边缘网关检测存在安全威胁时将实时进行处置，您可通过对应防护日志进行查询处置情况。 注意事项 需开通零信任/终端管理服务，并产生威胁防护时才可查看到相应防护数据。 仅能查询近6个月数据，若有长时间存储日志需求，可联系我们。 操作步骤 1. 登录边缘安全加速控制台，进入对应服务； 2. 在左侧导航栏，选择日志>内网审计日志； 3. 分为内网访问审计、网关防护日志两个模块，可针对需求进行查询相关日志情况。 内网访问审计日志字段说明 字段 字段说明 用户 访问的用户名称和账号 访问时间 访问请求的开始时间和结束时间 会话持续时间 访问请求的持续时间 客户端地址：端口 发起请求客户端的所在IP地址、地区和端口 目标地址：端口 接收请求的应用所在的IP地址和端口 请求协议 访问请求的协议 应用名称 内网应用名称 状态码 05xx 处理动作 告警：即仅产生告警，不会对访问产生影响 拦截：即将对应请求进行拦截，将无法访问对应目标地址 放行：既正常访问，未被识别异常，无特殊处理动作

创建工作空间 步骤 1 以DAYU Administrator 或Tenant Administrator账号登录DataArts Studio管理控制台。 步骤 2 在“空间管理”页签，单击“新建”，在空间信息页面请根据页面提示配置参数，参数说明如表1 所示。 表1 新建空间参数说明 参数名 说明 空间名称 空间名称，只能包含字母、数字、下划线、中划线、中文字符，且长度不超过32个字符。在当前的DataArts Studio实例中，工作空间名称必须唯一。 空间描述 空间的描述信息。 空间模式 选择新建工作新建工作空间的模式。 l简单模式：即传统的DataArts Studio工作空间模式，使用方便，但无法对数据开发流程和表权限进行强管控。 l企业模式：企业模式下DataArts Studio数据开发组件以及对应管理中心组件数据连接支持设置开发环境和生产环境，有效隔离开发者对生产环境业务的影响。企业模式的相关介绍请参见 DataArts Studio企业模式概述。 企业项目 DataArts Studio实例默认工作空间关联的企业项目。 如果已经创建了企业项目，这里才可以选择。当DataArts Studio实例需连接云上服务（如DWS、MRS、RDS等），还必须确保DataArts Studio工作空间的企业项目与该云服务实例的企业项目相同。 l一个企业项目下只能创建一个DataArts Studio实例。 l需要与其他云服务互通时，需要确保与其他云服务的企业项目一致。 作业日志OBS路径 用于指定DataArts Studio数据开发作业的日志存储的OBS桶。工作空间成员如需使用DataArts Studio数据开发，必须具备“作业日志OBS桶”的读、写权限，否则，在使用过程中，系统将无法正常读、写数据开发的作业日志。 l单击“请选择”按钮，您可以选择一个已创建的OBS桶和对象，系统将基于工作空间全局配置作业日志OBS桶。 l如果不配置该参数，DataArts Studio数据开发的作业日志默认存储在以“dlflog{projectId}”命名的OBS桶中。{projectId}即项目ID，您可以参考获取项目ID和账号ID进行获取。 DLI脏数据OBS路径 用于指定DataArts Studio数据开发中DLI SQL执行过程中的脏数据存储的OBS桶。工作空间成员如需使用DataArts Studio数据开发执行DLI SQL，必须具备“DLI脏数据OBS桶”的读、写权限，否则，在使用过程中，系统将无法正常读、写DLI SQL执行过程中的脏数据。 l单击“请选择”按钮，您可以选择一个已创建的OBS桶和对象，系统将基于工作空间全局配置DLI脏数据OBS桶。 l如果不配置该参数，DataArts Studio数据开发的DLI SQL脏数据默认存储在以“dlflog{projectId}”命名的OBS桶中。 步骤 3 配置完成后，单击“确定”完成工作空间的创建。

安全 透明双向认证：支持界面基于拓扑配置服务间的双向认证。 细粒度访问授权：支持界面基于拓扑配置服务间的访问授权（后台API可以配置Namespace级别授权，授权可以给一个特定的接口）。 可观察性 应用访问拓扑：支持网格应用访问拓扑，体现服务间依赖。 服务运行监控：支持服务访问信息，包括服务和服务各个版本的QPS和延时等指标。 访问日志：支持收集和检索服务的访问日志。 网格数据面服务框架 Spring Cloud：支持Spring Cloud SDK开发的服务在网格上统一管理。 Dubbo：支持Dubbo SDK开发的服务在网格上统一管理。

本章节介绍如何查看数据库安全审计的操作日志信息。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 操作步骤 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 实例列表”，进入“实例列表”界面。 5. 单击需要查看操作日志的实例名称，进入实例概览页面。 6. 选择“操作日志”页签，进入操作日志列表页面。 7. 查看操作日志，相关参数说明如下所示。查看操作日志，相关参数说明如下所示。 说明 选择时间（“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”）；或者单击日历图标，选择开始时间和结束时间，列表显示指定时间段的操作日志。 操作日志参数说明 参数名称 说明 用户名 执行操作的用户。 发生时间 执行操作的时间。 功能 执行的功能操作。 动作 执行功能操作的动作。 操作对象 执行操作的对象。 描述 执行操作的描述信息。 结果 执行操作的结果。

云主机底层平台的安全由云厂商保证 天翼云云主机负责以下方面的安全性： 数据中心安全：包括机房容灾、人员管理、运维审计等。 物理基础设施安全：涉及计算服务器、网络设备、存储设备的安全，以及数据销毁、网络隔离、资产管理等。 虚拟化系统安全：包括租户隔离、安全加固、逃逸检测修复、补丁热修复、云盘三副本、数据擦除等。 云服务平台安全：包括但不限于云平台主子账号管理、多因素认证机制、云资源加固能力等。 云上资源的防护由客户保证 客户需要对以下方面负责： 操作系统安全：提升访问安全、使用安全加固操作系统、提升操作系统安全性。 网络安全：网络隔离、控制网络流量、网络流量监控、网关访问安全。 数据安全：加密存储、可信计算、备份与恢复等。 应用安全：漏洞防护、应用网络安全、应用流量安全等。 身份与访问控制：细粒度资源管控、多因素账号认证、访问控制安全性等。 监控与日志：健康状态监控、基础云监控、云审计、操作日志等。 安全体系落地实践 以云主机搭建场景WordPress为例，结合天翼云安全责任共担模型，通过以下安全防护措施，确保客户的网站免受常见网络威胁的影响： 购买云主机前 制定全局安全战略，将安全性融入DevOps中，自动化防御体系，深入理解云环境安全合规标准，识别、分类资产并管控访问。 创建云主机时 使用 VPC ：创建虚拟私有网络，实现网络隔离，保护内部网络。 开启安全防护 ：开启主机安全防护功能，如云主机安全卫士，提升主机安全性。 使用加密磁盘 ：选择加密磁盘，保护存储数据的安全。 配置安全组 ：合理配置安全组规则，限制端口访问，避免非法访问。 创建快照策略 ：创建云盘快照策略，定期备份数据，确保数据可用性。 设置 IAM 授权 ：创建 IAM 用户并分配合适权限，避免权限滥用。 云主机创建完成后 SSH 加固：更改 SSH 默认端口，禁用 root 用户登录，提升登录安全性。 配置 MySQL 安全：更改 MySQL 默认密码，限制数据库访问权限，保护数据库安全。 部署 WordPress ：从官方网站下载并安装 WordPress，启用安全插件，如 Wordfence 等，增强应用安全。 配置安全卫士：安装并配置服务器安全卫士，提供实时安全防护，提升系统安全性。 具体操作请参考：++基于弹性云主机部署 WordPress 的安全防护++

检查OLdap服务是否不可用 6.在FusionInsight Manager的“告警”页面，查看是否有“OLdap资源异常”告警产生。 是，执行步骤7。 否，执行步骤9。 7.按“ALM12004 OLdap资源异常”提供的步骤处理该告警。 8.在告警列表中查看“KrbServer服务不可用”告警是否清除。 是，处理完毕。 否，执行步骤9。 收集故障信息 9.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 10.在“服务”中勾选待操作集群的“KrbServer”。 11.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 12.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本页介绍关系数据库MySQL版的各项产品特性。 关系数据库MySQL版具有丰富的产品特性，能够适用各种需求。 关系数据库MySQL版是托管型数据库，为用户提供的主要产品特性包括： 支持MySQL（5.7、8.0）。 支持通过内网IP地址及端口访问数据库实例，处在同一VPC内的云主机和数据库实例可相互访问。 支持为实例绑定公网IP，通过公网IP访问数据库实例。 支持单机实例、一主一备实例、一主两备实例和只读实例（最多5个只读实例），主备实例和只读实例满足反亲和部署。 支持对实例进行CPU/内存、存储空间、备份空间的扩容。 支持根据业务需求指定数据自动备份策略（针对备份空间选择云硬盘的实例最多支持保留7天，选择对象存储的实例最多支持保留180天），也可进行手动备份及备份恢复。 支持对数据库参数的调整。 支持查看实例运行的系统资源监控指标，如CPU、内存使用率等，还可查看MySQL数据库指标，如QPS/TPS。 支持longtext和longblob类型最大可以到4GB。 支持数据库审计日志、切换日志、错误日志及SQL慢日志查询。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择进程终止动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程名称：例如nginx。 停止进程的方式：强制结束表示使用 SIGKILL (信号9)，优雅结束表示使用 SIGTERM (信号15) 3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到终止进程动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务请求量、应用提供服务平均响应时间指标。 2、业务应用验证： 如果被终止的是一个由 systemd 管理的服务，执行 systemctl status [服务名]。服务的状态会显示为 inactive (dead) 或 failed，并可能看到其自动重启的记录。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎节点。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎节点实例。 添加故障动作 ：单击立即添加 ，在列表中选择进程终止动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程名称：例如nginx。 停止进程的方式：强制结束表示使用 SIGKILL (信号9)，优雅结束表示使用 SIGTERM (信号15) 3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到终止进程动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录应用性能监控 控制台，观测已接入应用的应用提供服务请求量、应用提供服务平均响应时间指标。 2、业务应用验证： 如果被终止的是一个由 systemd 管理的服务，执行 systemctl status [服务名]。服务的状态会显示为 inactive (dead) 或 failed，并可能看到其自动重启的记录。

故障恢复失败怎么办？ 1. 检查日志 ：与注入失败类似，先通过查看日志了解恢复失败的原因。 2. 平台重试 ：单击重试按钮，尝试让平台再次自动恢复。 3. 手动恢复 ：如果平台重试无效，您需要根据故障类型进行手动恢复。例如： 对于主机宕机 ，请到云主机 控制台对机器执行重启操作。 对于DNS篡改 ，请登录到云主机手动编辑并还原 /etc/hosts 文件。 对于大多数组件故障，在对应云产品 控制台对实例执行重启通常是有效的恢复手段。 4. 确认跳过 ：如果确认通过手动方式恢复了故障 ，且业务已恢复正常，可以回到故障演练 控制台，对该恢复节点单击跳过 按钮，系统将忽略该故障动作的恢复结果，继续推进演练流程。请务必谨慎使用此功能。

检查主备Nimbus状态 8.选择“集群 > 待操作集群的名称 > 服务 > Storm Nimbus”，进入Nimbus实例页面。 9.查看“角色”中是否存在且仅存在一个状态为主的Nimbus节点。 是，执行步骤13。 否，执行步骤10。 10.勾选两个Nimbus角色实例，选择“更多 > 重启实例”，查看是否重启成功。 是，执行步骤11。 否，执行步骤13。 11.重新登录FusionInsight Manager管理界面，选择“集群 > 待操作集群的名称 > 服务 > Storm > Nimbus”，查看运行状态是否为“良好”。 是，执行步骤12。 否，执行步骤13。 12.等待30秒，查看告警是否恢复。 是，处理完毕。 否，执行步骤13。 收集故障信息 13.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 14.在“服务”中勾选待操作集群的如下节点信息。 KrbServer 说明 普通模式不需要下载KrbServer日志。 ZooKeeper Storm 15.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 16.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

网页防篡改版 您可以为已购买的服务器开启网页防篡改版安全防护，开启后按照网页防篡改版所提供的能力对服务器进行安全防护。 网页防篡改原理 网页防篡改原理 防护类型 原理说明 静态网页防护 1.锁定本地文件目录 驱动级锁定Web文件目录下的文件，禁止攻击者修改，网站管理员可通过特权进程进行更新网站内容。 2.主动备份恢复 若检测到防护目录下的文件被篡改时，将立即使用本地主机备份文件自动恢复被非法篡改的文件。 3. 远端备份恢复 若本地主机上的文件目录和备份目录失效，还可通过远端备份服务恢复被篡改的网页。 动态网页防护 1. 基于RASP过滤恶意行为 采用自研RASP检测应用程序行为，有效阻断攻击者通过应用程序篡改网页内容的行为。 2. 网盘文件访问控制 精细化定义网盘文件中的文件访问权限，包括新增，修改，查询等，确保防篡改同时不影响网站内容发布。 前提条件 在“资产管理>主机管理”页面“云服务器”列表中目标服务器“Agent状态”为“在线”、“防护状态”为“未防护”。 设置防护目录 网页防篡改功能需要有防护目录才能起到防护作用，网页防篡改提供以下目录防护模式： 保护指定目录 您最多可在主机中添加50个防护目录，详细操作请参见保护指定目录。 为实时记录主机中的运行情况，请排除防护目录下Log类型的文件，您可以为日志文件添加等级较高的读写权限，防止攻击者恶意查看或篡改日志文件。

网页防篡改版 您可以为已购买的服务器开启网页防篡改版安全防护，开启后按照网页防篡改版所提供的能力对服务器进行安全防护。 网页防篡改原理 网页防篡改原理 防护类型 原理说明 静态网页防护 1.锁定本地文件目录 驱动级锁定Web文件目录下的文件，禁止攻击者修改，网站管理员可通过特权进程进行更新网站内容。 2.主动备份恢复 若检测到防护目录下的文件被篡改时，将立即使用本地主机备份文件自动恢复被非法篡改的文件。 3. 远端备份恢复 若本地主机上的文件目录和备份目录失效，还可通过远端备份服务恢复被篡改的网页。 动态网页防护 1. 基于RASP过滤恶意行为 采用自研RASP检测应用程序行为，有效阻断攻击者通过应用程序篡改网页内容的行为。 2. 网盘文件访问控制 精细化定义网盘文件中的文件访问权限，包括新增，修改，查询等，确保防篡改同时不影响网站内容发布。 前提条件 在“资产管理>主机管理”页面“云服务器”列表中目标服务器“Agent状态”为“在线”、“防护状态”为“未防护”。 设置防护目录 网页防篡改功能需要有防护目录才能起到防护作用，网页防篡改提供以下目录防护模式： 保护指定目录 您最多可在主机中添加50个防护目录，详细操作请参见保护指定目录。 为实时记录主机中的运行情况，请排除防护目录下Log类型的文件，您可以为日志文件添加等级较高的读写权限，防止攻击者恶意查看或篡改日志文件。

本节主要介绍日志采集。 在“事件和日志”页面，点击“日志采集”，可以查看日志采集信息或者新建日志采集任务。 注意 日志信息以服务器的系统事件为准进行记录。时间被调整，或集群中服务器事件不统一，都可能导致日志信息不准确。但用户的业务数据不会受到影响。 日志采集的进程不能超过10个。 图1 日志采集（单机版） 图2 日志采集（集群版） 项目 描述 日志文件名 日志文件名称。 日志文件名命名规则：collectedlogs/hblocklogsidyyyyMMddHHmmssyyyyMMddHHmmss.zip命名。 其中： id：本次日志请求的唯一标识符。 yyyyMMddHHmmss：日志采集的起始时间和结束时间，UTC+0时间。 节点数 日志采集的服务器个数。 日志类型 日志的类型： 配置。 系统。 数据（仅集群版支持）。 协调（仅集群版支持）。 状态 日志采集的状态： 进行中。 成功。 部分成功。 失败。 操作 可以对采集的日志进行操作： 下载：下载日志文件。 删除：删除日志文件。 查看：查看日志文件的详细信息。 采集新日志 点击“采集新日志”，可以建立采集日志任务： 图3 选择日志采集 项目 描述 时间选择 选择日志采集起始和结束时间。默认采集过去2小时的日志。 日志类型 日志的类型： 所有日志类型。 部分日志类型（可以选择一个或多个日志类型）： 配置。 系统。 数据（仅集群版支持）。 协调（仅集群版支持）。 服务器范围 日志采集服务器的范围： 所有服务器。 部分服务器：可以选择一个或多个服务器。

本文为您介绍Web应用防火墙（原生版）产品定义及架构。 产品定义 Web应用防火墙（原生版）（CTWAF，Web Application Firewall，简称WAF）为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。 产品架构 Web应用防火墙（原生版）产品整体架构主要包括3个部分，分别为WAF集群 、中央管理平台 、日志平台。 WAF集群：依托规则引擎实现流量过滤，并通过管控Agent与管理平台通信，接收防护策略的下发，上报执行节点运行状态。 Web应用防火墙（原生版）提供两种WAF云SaaS模式和WAF独享模式两种模式： WAF云SaaS模式，WAF集群分布式部署于多个天翼云资源池上。 WAF独享模式，WAF部署在租户VPC内。 中央管理平台：提供多维策略规则的编辑和下发能力，并监控执行节点运行状态。 日志平台：存放访问日志及防护日志，并提供自动告警能力。 防护原理 Web应用防火墙（原生版）提供WAF云SaaS模式 域名接入、WAF云SaaS模式 ELB接入、WAF独享模式接入三种接入方式，防护原理及部署架构如下所示，关于接入方式的详细说明，请参见产品规格接入方式说明。 类型 WAF云SaaS模式 域名接入 WAF云SaaS模式 ELB接入 WAF独享模式接入 防护原理 网站接入WAF防护后，网站所有请求先发送到WAF，WAF检测并拦截恶意流量，将正常流量转发至源站，在客户端看来，源站不可见，从而确保源站的安全。 WAF仅对进入监听器的应用层流量进行检测，不参与流量转发。通过添加引流端口到WAF的方式，使ELB所有的Web业务流量被指定网关牵引到WAF进行检测，WAF过滤Web应用攻击后，将正常的业务流量转发回ELB，再回源到正常业务网站。 网站接入WAF防护后，网站所有请求先发送到WAF，WAF检测并拦截恶意流量，将正常流量转发至源站，在客户端看来，源站不可见，从而确保源站的安全。 部署架构 WAF集群分布式部署于多个天翼云资源池上，异地容灾安全可靠，充分满足用户高可用需求。 WAF旁路部署，对业务零影响。当WAF发生故障时，流量将直接通过ELB发送给后端，不影响客户正常业务。 WAF通过反向代理的形态部署在租户VPC内，资源独享，网络链路时延低。

可能原因 HQL命令语法错误。 执行Hive on HBase任务时HBase服务异常。 执行Hive on Spark任务时Spark服务异常。 依赖的基础服务HDFS、Yarn、ZooKeeper等异常。 处理步骤 检查HQL命令是否符合语法 1.在FusionInsight Manager界面选择“运维 > 告警”，查看告警详情，获取产生告警的节点信息。 2.使用Hive客户端连接到产生该告警的HiveServer节点，查询Apache提供的HQL语法规范，确认输入的命令是否正确。详情请参见 是，执行步骤4。 否，执行步骤3。 说明 若想查看执行错误语句的用户，可下载产生该告警的HiveServer节点的HiveServerAudit日志，下载的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟。打开日志文件查找“ResultFAIL”关键字筛选执行错误语句的日志信息，再根据日志信息中的“UserName”查看执行错误语句的用户。 3.输入正确的HQL语句，观察命令是否正确执行。 是，执行步骤12。 否，执行步骤4。 检查HBase服务是否异常 4.与执行HQL命令的用户确认是否执行的是Hive on HBase任务。 是，执行步骤5。 否，执行步骤8。 5.在FusionInsight Manager界面选择“集群 > 待操作集群的名称 > 服务”，在服务列表查看HBase服务状态是否正常。 是，执行步骤8。 否，执行步骤6。 6.选择“运维 > 告警”，查看告警界面的HBase相关告警，参照对应告警帮助进行处理。 7.输入正确的HQL语句，观察命令是否正确执行。 是，执行步骤12。 否，执行步骤8。

本文介绍Job类型任务如何采集日志。 在Serverless集群运行Job任务，无法通过DaemonSet采集日志，且Job Pod在任务结束后会立即退出，可能导致日志未能完整收集。为确保这类场景下日志的完整性，您可以将Job任务的输出日志存储到挂载的NAS盘，然后通过一个独立的日志采集Pod从该NAS盘读取日志并发送到日志系统。本文将为您介绍如何针对Job类型任务场景采集日志到日志系统。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 已开通天翼云弹性文件或对象存储服务。 确保kubectl工具已经连接目标集群。 操作步骤 步骤一：通过kubectl客户端创建job.yaml 1. 创建一个计算π值Job任务，并挂载NAS盘， Job参考YAML配置如下： Plain apiVersion: batch/v1 kind: Job metadata: name: pilog spec: template: spec: containers: name: pi image: user1registryhuadong1.crsinternal.ctyun.cn/library/perl:latest command: ["/bin/sh", "c", "perl Mbignumbpi wle 'print bpi(1000)' > /eci/a.log 2>&1"] 运行输出结果重定向到指定文件 resources: limits: cpu: "1" memory: 2Gi volumeMounts: name: pvcnas mountPath: /eci readOnly: false restartPolicy: Never volumes: name: pvcnas persistentVolumeClaim: claimName: pvcstaticnas backoffLimit: 4 2. 创建Job任务。 Plain kubectl apply f job.yaml 3. 查看Pod状态。 Bash kubectl get pod

弹性网卡的使用限制 云主机可绑定的扩展弹性网卡数量由云主机实例规格决定。 扩展弹性网卡不支持直接访问华为云内公共云服务，如内网DNS等。 辅助弹性网卡的使用限制 单个云主机实例支持绑定的辅助弹性网卡实例数量，由云主机实例规格决定。 辅助弹性网卡不支持绑定虚拟IP。 不支持单独收集辅助弹性网卡的流日志，辅助弹性网卡的流日志信息跟随所属的弹性网卡一同生成。 VPC IPv4扩展网段的使用限制 创建子网时候，您可以基于主网段或者扩展网段来分配子网网段，但是一个子网网段，要么属于主网段，要么属于扩展网段，不能两个网段混用。 同一个VPC内的子网默认互通，基于主网段的子网和基于扩展网段的子网也是默认互通。 扩展网段的子网地址与VPC路由表中已有路由的目的地址相同或者重叠，会导致已有路由不生效。 在扩展网段中创建子网时，系统会为该子网生成一条目的地址为子网网段，下一跳为Local的路由，Local路由属于VPC内部路由，优先级高于VPC路由表中添加的其他路由。比如，VPC路由表已有某个下一跳为对等连接的路由，其目的地址为100.20.0.0/24；新增扩展网段子网的路由，其目的地址为100.20.0.0/16，100.20.0.0/16和100.20.0.0/24网段重叠，流量优先通过扩展网段子网的路由转发，会导致对等连接的路由失效。