本节介绍翼甲卫士的产品规格。 使用方式&范围 按VPC维度开通翼甲卫士，绑定带宽/专线后对其下所有AI云电脑生效防护，并支持针对不同AI云电脑集群搭配不同策略组合。 支持的操作系统 服务桌面：Centos Server 7, UOS Server v20(arm/x86)。 用户桌面：Windows：Windows Server 2008/2016/2019， Windows 7/10。Linux：UOS v20，麒麟v10。 数据安全 审计数据存储于防火墙虚机内部，保障数据不出租户。 功能规格 功能 描述 标准版 增强版 访问控制 基于安全策略进行访问控制，支持ACL过滤、DNAT、SNAT、旁路规则 支持 支持 VPN隧道 搭建VPN加密通道，实现本地网络与VPC之间的网络互通 支持 支持 病毒防护 探测各种病毒威胁并拦截 支持 支持 入侵防御 实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作 支持 支持 网站访问管理 基于预设或自定义网站库对用户访问网站行为进行审计管控 不支持 支持 短信告警 支持自定义配置告警通知，可配置通知频率、多个管理员接收通知等 支持 支持 日志规格 高IO 高IO/超高IO 日志监控 支持各类防护、管控事件的审计 支持 支持

本节介绍态势感知的产品优势。 见微知著的指标脉络与态势呈现 您可以通过态势感知即时查看大屏、定期订阅安全运营报告，了解安全运营核心关注指标。 云原生的资产盘点与风险预防 云上资产自动盘点，云安全配置自动检查，支持定位到资产，指导并辅助自动加固，帮助您告别黑资产、错配置的焦虑。同时避免传统的外挂式安全方案引入的隐式通道或安全设备漏洞。 智能高效的威胁检测与响应处置 专注于快速找到真正的威胁。通过每天对数十亿安全日志进行分析，利用多年沉淀经验，内置模型和研判剧本来降低合法事件的干扰。通过威胁及资产画像，与威胁告警环环关联，还原整个攻击链，配置自动化处置剧本进行响应，简化操作、提升安全性，提升了处理告警和事件的效率。 灵活的环境集成与作战协同 可通过配置连接到所有安全服务，进行数据对接或者联动操作；也可以定义您自己的模型、研判/处置剧本，以最佳适配您的安全需求。通过工作空间，还可以实现大型组织协同作战、MSSP（Managed Security Service Provider）托管等。

本文将介绍如何通过IP黑名单功能拦截来自指定IP、指定IP段与指定地域的IP地址请求。 功能介绍 通过访问控制功能，能够帮助您拦截来自指定IP、指定IP段与指定地域的IP地址请求。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版级以上版本支持配置IP、IP段、区域等粒度的访问控制功能（体验版支持配置IP粒度的访问控制） 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】 3. 进入【访问控制】页面 配置说明 配置项 说明 开关 访问控制策略的开关，支持开启或关闭 处理动作 支持配置处理动作为告警、加白、攻击标记、拦截、丢弃 告警：请求命中访问控制策略后，不对其拦截，仅记录攻击日志 加白：请求命中访问控制策略后，将对其进行加白，请求不经过任意Web安全防护策略 攻击标记：加白对应范围，但是如果请求触发规则，会记录在攻击日志 拦截：请求命中访问控制策略后，将对其进行拦截并记录攻击日志 丢弃：拦截后不会响应页面，会减少带宽 规则名称 访问控制策略的规则名称 防护范围 支持配置多个防护粒度，多个防护粒度为且关系，满足所有条件时，才触发处理动作 粒度选择：支持选择IP、IPS、地理位置、URI、PATH等十几种粒度，不同套餐版本支持选择不同的粒度，具体可见 套餐和版本说明 关系：包含/不包含 匹配内容：不同的粒度支持输入不同的匹配内容。一般支持输入多条，多条内容用英文符号;分隔

本小节介绍日志审计(原生版)术语解释。 日志采集 实现第三方安全设备、网络设备、windows/linux主机日志、web服务器日志、虚拟化平台日志以及自定义等日志采集。 日志存储 实现原始日志、范式化日志的存储，可定义存储周期。 日志检索 实现全文、keyvalue、括弧、正则、模糊等检索方式；支持保存检索、从已保存的检索导入见多条件。 可视化统计 实现趋势图、折线图、柱状图、饼图、表格等统计项展示。 事件告警 自定义事件规则，可按照日志、字段布尔逻辑关系等方式自定义规则，实现时间的查询、查询结果统计以及统计结果的展示。

本页主要介绍支持的高性能参数模板中的参数设置情况，以及如何将高性能参数模板应用至实例。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 高性能参数模板简介 由于关系数据库MySQL版参数比较多，针对特定场景进行参数适配的学习成本比较高。为了满足客户对数据库性能的需求，关系数据库MySQL版推出了高性能参数模板，您可以将高性能参数模板直接应用于实例，或者基于该模板进一步配置参数模板。 在通常情况下，高性能参数模板能够提升数据库的性能。 高性能参数说明 数据库版本5.7和8.0的相关高性能参数说明如下： binlogcachesize：在事务中，为二进制日志存储SQL语句的缓存容量。该参数必须设置为2的幂次方。高性能参数模板将其默认值设置为较大值以提高性能。 高性能模板参数取值 默认参数值 2097152 32768 innodbflushlogattrxcommit：该参数控制提交操作在严格遵守ACID合规性和高性能之间的平衡，此变量用于控制Redo Log向磁盘刷写的策略。 高性能模板参数取值 默认参数值 2 1 参数值说明如下： 值为1：每次事务提交时，关系数据库MySQL版都会把日志缓存区的数据写入日志文件中，并且刷新到磁盘中。该值为默认参数模板的取值。 值为2：每次事务提交时，关系数据库MySQL版都会把日志缓存区的数据写入日志文件中，但是并不会同时刷新到磁盘上。该模式下，MySQL会每秒执行一次刷新磁盘操作。 说明 当设置为1，该模式是最安全的，但也是最慢的一种方式。在MySQL的服务崩溃或者服务器主机宕机的情况下，日志缓存区只有可能丢失最多一个语句或者一个事务。 当设置为2，该模式速度较快，较取值为0情况下更安全，只有在操作系统崩溃或者系统断电的情况下，上一秒钟所有事务数据才可能丢失。 syncbinlog：该参数控制MySQL服务器将二进制日志同步到磁盘的频率。 高性能模板参数取值 默认参数值 1000 1 参数值说明如下： 值为1：每次binlog写入后，都与磁盘同步、进行落盘。该值为默认参数模板的取值。 值为N：使binlog在每N次binlog日志文件写入后与磁盘同步。N1000为高性能参数模板的取值。 说明 innodbflushlogattrxcommit 和syncbinlog两个参数设置为1的时候，安全性最高，写入性能最差。在MySQL的服务崩溃或者服务器主机宕机的情况下，日志缓存区只有可能丢失最多一个语句或者一个事务。但是会导致频繁的磁盘写入操作，因此该模式也是最慢的一种方式。 当syncbinlogN(N>1 ) ，innodbflushlogattrxcommit2时，在当前模式下关系数据库MySQL版的写操作才能达到最高性能。

本节主要介绍如何使用API升级HBlock。 此操作用来升级HBlock。 说明 可以通过查询升级进度接口查询升级服务是否完成。 升级过程中系统会做检查，如果不符合升级条件，可能会导致升级失败，升级失败的原因可以在执行升级操作的服务器上查看日志upgrade.log（日志路径：HBlock安装目录/logs/ops/upgrade.log）。建议升级之前对系统进行检查，确保： 所有状态正常： 所有HBlock服务器连接正常，没有处于删除状态的服务器。 HBlock处于working、upgrading状态。 如果软件许可证是订阅模式，需在有效期内；如果软件许可证是永久许可模式，需在维保期限内；如果处于试用期，需试用期未结束。 如果卷是高可用类型，至少保证卷的主备连接正常。 没有处于失败或者任务进行中状态的卷。 系统整体数据冗余度不降级，正常数据百分比为100%。并且，可用故障域数量和健康数量大于所有卷的写入需求。 升级监听服务（stor:ua）正常。 协议解析服务（stor:ps）正常。 基础服务正常：元数据管理服务（stor:mdm）、日志服务（stor:ls）、协调服务（stor:cs）。 HBlock使用的磁盘不存在Error状态。 注意 执行升级HBlock前，确保每个服务器的HBlock安装路径对应的文件系统，存在至少1 GiB的可用空间。 如果集群由不同架构服务器组成，请添加所有架构的升级文件，并保持版本一致。 请求语法 同架构升级： plaintext PUT /rest/v1/system/upgrade HTTP/1.1 Date: date ContentType: application/zip ContentLength: length xupdateparameter: key1value1;key2value2 Host: ip:port Authorization: authorization 混合部署升级（仅集群版支持）： plaintext POST /rest/v1/system/upgrade HTTP/1.1 Date: date ContentType: multipart/formdata; boundaryvalue ContentLength: length ContentMD5: MD5 xupdateparameter: key1value1;key2value2 Host: ip:port Authorization: authorization upgradeFile1name:upgradeFile1 upgradeFile2name:upgradeFile2 ……

检查Yarn/Mapreduce服务 11.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 服务”，检查Yarn、Mapreduce服务当前状态是否正常。 是，执行步骤18。 否，执行步骤12。 12.参考Yarn、Mapreduce服务的相关告警帮助进行处理，然后查看本告警是否恢复。 是，处理完毕。 否，执行步骤18。 检查Oozie进程 13.以root用户分别登录Oozie服务两个节点。 在FusionInsight Manager界面单击“集群 > 待操作集群的名称 > 服务 > Oozie > 实例”，即可查看服务所在节点的IP地址信息。 14.执行命令 ps ef grep oozie ，检查Oozie进程是否存在。 是，执行步骤15。 否，执行步骤18。 15.分别检查和收集Oozie日志目录“/var/log/Bigdata/oozie”中的prestartDetail.log、oozie.log、catalina.out里的异常信息，确认非人为误操作导致的问题后，执行步骤16。 检查Nodeagent进程 16.以root用户分别登录Oozie服务两个节点。执行命令 ps ef grep nodeagent ，检查Nodeagent进程是否存在。 是，执行步骤17。 否，执行步骤18。 17.执行kill 9 查询到的nodeagent进程ID命令，等待10分钟后，检查本告警是否恢复。 是，处理完毕。 否，执行步骤18。 18.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

设置安全策略 说明 本专题按DDoS防护、Web防护、Bot防护、访问控制/限流等模块化主题，非常详尽地介绍安全与加速已支持的功能和服务，帮助客户深入理解安全与加速功能，指导客户与自己的业务相结合，配置合适的防护策略。 本专题按攻击事件、攻击报表等主题，详尽的介绍如何查看攻击事件、攻击日志等。

Go 不推荐的版本 不推荐原因 解决方案 1.0.X～1.1.X 客户端版本较低，存在较严重bug，可能导致服务不稳定等问题。 升级至2.3.2及以上版本。 2.0.0～2.1.0 当连接断开重连时，该客户端注册的实例不会自动回复，导致服务掉线。 升级至2.3.2及以上版本。 2.2.9 存在无法自动续期token问题。 升级至2.3.2及以上版本。 Spring Cloud Alibaba 不推荐的版本 不推荐原因 解决方案 小于2.2.1.RELEASE 不支持Nacos客户端鉴权参数注入。 升级至2.2.9.RELEASE及以上版本。 小于2.2.4.RELEASE Nacos Client日志配置存在bug，业务日志与Nacos日志混合输出。 升级至2.2.9.RELEASE及以上版本。 2.2.4.RELEASE至2.2.6.RELEASE 默认依赖NacosJavaClient 1.4.2及以下版本。 升级至2.2.9.RELEASE及以上版本。 版本最佳实践 若您使用Spring Cloud框架集成Nacos客户端访问Nacos实例，推荐您使用如下的版本搭配。 Spring Cloud Alibaba Spring Cloud Spring Boot 2.2.9.RELEASE Hoxton.SR12 2.3.12.RELEASE

本章节主要介绍 ALM12078 omm密码过期。 告警解释 系统每天零点开始，每8小时检测当前系统中omm密码是否过期，如果密码过期，则发送告警。 当系统中omm密码过期的期限修改，当前状态为正常，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12078 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 omm密码过期，Manager各节点互信不可用，无法对服务提供管理功能。 可能原因 omm密码过期。 处理步骤 检查系统中omm密码是否过期 1.以root用户登录集群故障节点。 执行chage l omm命令来查看当前omm用户密码设置信息。 2.查找“Password expires”对应值，查看密码设置是否过期。 说明 如果参数值为“never”，则代表永不过期。 是，执行步骤3。 否，执行步骤4。 3.执行chage M '天数' omm命令设置 omm 密码的有效天数，等待8小时，观察告警是否自动清除。 是，操作结束。 否，执行步骤4。 收集故障信息 4.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 5.在“服务”中勾选“NodeAgent”，单击“确定”。 6.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 7.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本节介绍如何创建安全报告。 您可以通过获取安全报告，及时掌握资产的安全状况数据；CFW将按照设置的时间段以及接收方式将日志报告发送给您。 约束限制 单个防火墙实例中，最多可创建10个安全报告。 安全报告仅保留3个月，建议您定期下载，以满足等保测评以及审计的需要。 自定义报告不支持修改，如需修改可删除后重新创建。 创建安全报告 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“系统管理> 安全报告”，进入“安全报告”页面。 5. 单击“创建新模板”创建报告模板，参数说明如下所示。 参数名称 参数说明 报告名称 自定义安全报告名称。 报告类型 安全日报 统计周期：每天00:00:00 ~ 24:00:00 报告将在生成后的次日自动发送至您设置的报告接收人。 安全周报 统计周期：周一00:00:00 ~ 周日24:00:00 报告将在生成后的指定时间自动发送至您设置的报告接收人。 自定义报告：自定义选择时间范围。 统计周期：您可自定义安全报告统计的时间范围 报告将会在创建成功一段时间后生成，生成后会自动发送至您设置的报告接收人。 统计周期 “报告类型”选择“自定义报告”时，需要配置日志统计周期。 报告发送时间 当“报告类型”选择为“日报”、“周报”时，需要设置报告发送时间点，默认发送上一个统计周期的日志报告。 说明 为了保证正确性，报告发送时间可能存在延迟。 通知群组 单击下拉列表选择已创建的主题，用于配置接收日志报告的终端。 6. 单击“确认”，安全报告创建完成。

本章节为媒体存储日志存储概述。 使用场景 媒体存储日志存储功能支持自动把桶的各类访问请求记录日志，并存储到某一存储桶中，适合对请求有分析或审计等需求的用户使用。 日志文件存放位置需要在开启桶日志存储功能时指定，仅支持在源存储桶所属区域中选择存储桶，也包括开启日志功能的桶本身。 日志记录设置成功后，大约5~10分钟后可在日志存储桶中查看到桶的操作日志。 为了更有效的管理日志，建议您将日志存放到不同的桶中。 日志文件记录的是通过API或SDK方式进行的S3协议操作。 生成的日志文件会保存在指定的存储桶，占用存储空间，因此会产生存储费用。如需定时清理，可通过生命周期相关配置实现，具体可参考：生命周期。 日志文件生成规则： 日志文件存储路径：日志存储位置 /日志文件前缀（如无设置则省略）/YYYY MM DD HHmmssUniqueStiring 。 生成周期：启用规则后开始生成，并且以5分钟为单位保存至日志存储位置中。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 日志文件参数 以下所示为生成的桶访问日志文件记录： gdoss.xstore.ctyun.cn [$serveraddr] [$remoteaddr] [$timelocal] "$requestmethod" "$host" "$requesturi" $status $bodybytessent $contentlength "$httpreferer" $requesttime "$httpuseragent" "$httpxforwardedfor" "$scheme" "$opname" "$httptransferencoding" "$httpctyunnetworktype" "$varUser" "$upstreamresponsetime" 访问日志主要包含如下信息： 参数 说明 gdoss.xstore.ctyun.cn 资源池域名，用来标记资源池。 $serveraddr 当前服务器地址，一般是内网IP。 $remoteaddr 连接的对端服务器地址。 $timelocal 日志时间。 $requestmethod HTTP Method，如PUT、GET、DELETE、POST、HEAD等。 $host HTTP请求里面的header字段：host。 $requesturi HTTP请求里面的URI。 $status HTTP状态码。如200、204、206、403、404等。 $bodybytessent 服务端发送给客户端的消息body长度。 $contentlength 服务端收到的消息的请求的长度。 $httpreferer HTTP请求里面的referer字段。 $requesttime 请求持续时间。包含从服务端建立连接完成到完成响应这段时间。 $httpuseragent HTTP请求里面的useragent字段。 $httpxforwardedfor HTTP请求里面的xforwardedfor字段。 $scheme 区分HTTP还是HTTPS请求。 $opname API接口名称。如GetObject、ListBuckets等等。 $httptransferencoding HTTP请求里面的transferencoding。 $httpctyunnetworktype 表示请求来源的网络类型:public（公网）、private(内网）。 $varUser 用户标记，表示这个请求对应的用户。 $upstreamresponsetime 请求在资源池内部的处理时间。 日志文件内容根据开通的区域不同，格式会有一定出入，请以实际为准。

本章节为您介绍脱敏日志的相关内容。 系统会记录所有触发数据脱敏的操作日志，详细记录脱敏前后的数据访问情况。 通过对脱敏日志的查看和分析，您可以验证脱敏操作的效果 ，确保敏感数据在访问过程中得到有效保护。 检索脱敏日志 1.在左侧菜单栏选择“查询分析 > 脱敏日志”进入脱敏日志页面。 2.设置查询条件（如时间范围、资产、操 作类型等） ，单击“搜索”即可查询相关脱敏日志。 3.可单击查询条件下方的“更多条件”，在更多条件对话框中勾选需要的查询条件 ，单击“确认”即可添 加相应的查询条件 ，单击“恢复默认”可以恢复至默认查询条件。 查看脱敏日志详情 1.在左侧菜单栏选择“查询分析 > 脱敏日志”进入脱敏日志页面。 2.在脱敏日志列表中，单击日志条目右侧的“详情”可以查看该脱敏记录的详细信息，包括脱敏记录的基本信息、客户端信息、服务端信息、 请求详情、返回详情。 3.单击脱敏日志详情窗口右下角的“上一条”或“下一条”可切换查看临近的脱敏日志。 4.在日志详细中 ，单击“取证”即可弹出下载框 ，等待文件生成成功后 ，单击“下载”即可下载.png 图片格式的脱敏日志详情文件。

本页将介绍数据库的基本使用问题以及解决方法。 MySQL 8.0是否支持全文索引 MySQL 8.0版支持全文检索，全文索引主要用于对文本类型的数据进行搜索，其关键字为FULLTEXT。以下是使用全文索引的一个示例： 1.创建表 CREATE TABLE test ( id bigint unsigned AUTOINCREMENT PRIMARY KEY, name varchar(255) NOT NULL, info varchar(255) NOT NULL, FULLTEXT (name) ) ENGINEInnoDB CHARSETutf8mb4; 2.在现有表上添加全文索引 ALTER TABLE test ADD FULLTEXT (info); 3.查看索引 SHOW INDEX FROM TEST; 4.使用索引 SELECT id,name,info FROM test WHERE MATCH(info) AGAINST('keyword'); 如何通过数据管理服务(DAS)执行SQL语句 数据管理服务（Data Admin Service,简称DAS），是一种基于管理控制台提供数据管理、结构管理、会话以及用户管理的服务，方便用户高效管理和安全使用数据。通过DAS执行SQL语句可以参考查询指引。 mysqlbinlog工具使用方法介绍 mysqlbinlog是MySQL的一个命令行工具，用于解析和显示二进制日志文件（binary log）。它提供了查看和分析二进制日志的功能，可用于恢复数据、数据复制、故障排除等场景。以下是mysqlbinlog工具的使用方法介绍： 基本语法： mysqlbinlog [options] [logfile [base64]roweventslogfile startpositionN [stoppositionN]] [options] 常用选项： u, userusername: 连接MySQL服务器的用户名。 p, password[password]: 连接MySQL服务器的密码。 h, hosthostname: 连接MySQL服务器的主机名。 P, portportnum: 连接MySQL服务器的端口号。 d, databasedatabasename: 指定要解析的特定数据库。 t, startdatetimedatetime: 指定要解析的起始日期时间。 R, rowevents: 显示基于行的事件。 v, verbose: 输出详细的解析信息。 使用示例： 1. 显示二进制日志文件的内容。 mysqlbinlog binlog.000001 2. 解析特定数据库的二进制日志文件。 mysqlbinlog databasemydb binlog.000001 3. 解析特定时间范围内的二进制日志文件。 mysqlbinlog startdatetime"20230601 00:00:00" stopdatetime"20230602 00:00:00" binlog.000001 4. 解析特定位置范围内的二进制日志文件。 mysqlbinlog startposition123456 stopposition123789 binlog.000001 5. 显示基于行的事件（适用于ROW格式的二进制日志）。 mysqlbinlog rowevents binlog.000001

调整阈值 16.在FusionInsight Manager首页，选择“运维 > 告警 > 阈值设置 > 待操作集群的名称 > HBase > 单个RegionServer的Region数目”，选中目前应用的规则，单击“修改”查看目前的阈值设置是否合理。 如果过小，则根据集群实际情况，增大阈值，执行步骤17。 如果阈值设置合理，则执行步骤18。 17.观察该告警是否清除。 是，处理完毕。 否，执行步骤18。 系统扩容 18.对HBase集群扩容，增加节点，并在节点上增加RegionServer实例，然后按照“负载均衡”小节中，打开负载均衡功能并手动触发。 19.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务”，单击产生该告警的HBase服务实例，单击“HMaster(主)”，打开该HBase实例的WebUI，刷新页面查看Region分布是否均衡。 是，执行步骤20。 否，执行步骤21。 20.观察该告警是否清除。 是，处理完毕。 否，执行步骤21。 收集故障信息 21.在主备集群的FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 22.在“服务”中勾选待操作集群的“HBase”。 23.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 24.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

启用会话保持 步骤一：创建工作负载 创建一个nginx工作负载，部署2个副本。同“不启用会话保持”。 步骤二：创建service服务 创建一个ClusterIP类型的服务（Service）并关联到上述nginx工作负载，注意需要展开高级设置，并设置Session Affinity为客户端IP。参考如下： apiVersion: v1 kind: Service metadata: name: nginxservice namespace: default spec: ports: port: 30003 protocol: TCP targetPort: 80 selector: app: nginx type: ClusterIP sessionAffinity: ClientIP sessionAffinityConfig: clientIP: timeoutSeconds: 10800 当设置了会话保持之后，k8s会根据访问的ip来把请求转发给以前访问过的pod，其中timeoutSeconds指的是会话保持的时间，这个时间默认是10800秒。 步骤三：使用service域名访问前端应用实现会话保持 进入任意pod容器内部，发起服务调用，使用service域名访问后端应用，在pod容器内部执行这个命令100次。 $for i in {1..100};do curl nginxservice:30003;done; 观察工作负载日志，查看Pod实例的日志输出。 可以看到服务请求会全部转发到某一个Pod实例，进行会话保持。

域名配置检查是否准确 检查网站信息是否填写正确，包括域名、端口、协议、回源IP等内容。 检查是否有特殊端口，如果有特殊端口需求，您可以将需要使用的HTTP/HTTPS访问端口提交工单 配置，目前只有专业版和旗舰版支持配置非标特殊端口。 检查上传的HTTPS证书是否正确，证书是否合法有效，证书链是否完整。 检查源站是否有防火墙或访问限制，是否已加白AccessOne的回源IP。 验证业务是否正常 验证在各环境下是否都能正常访问业务系统，观察请求的状态码是否异常。 验证业务系统登录后的会话是否保持正常。 如果有手机端业务，检查是否有SNI兼容问题。 是否有配置只允许AccessOne回源IP访问源站，防止攻击者绕过AccessOne直接攻击源站。 域名安全运营 报表分析 您可以通过该模块查看CC攻击报表、WAF攻击报表、业务分析、热门分析等功能，详细操作见安全防护分析。 告警管理 您可以通过该模块配置告警规则及查看告警记录，详细操作见告警管理。 日志服务 可通过离线日志模块进行下载域名的访问日志，并通过安全防护日志进行查看WAF攻击日志、CC攻击日志。 态势感知 通过态势感知模块，您可以实时查看到业务整体的攻击情况，详细操作见态势感知。

本文为您介绍出现“配置多用户登录后普通用户登录闪屏”问题的解决方案。 问题描述 Windows弹性云主机配置多用户登录后，Administrator登录正常，普通用户登录后出现闪屏，或者打开"我的电脑"出现自动关闭，不能正常使用。 处理方法 1. 首先使用Administrator用户登录弹性云主机，查看系统日志及应用日志，查找异常模板，比如发现Mglayout64.dll模块出现异常。 2. 打开C:Windows进行搜索模块名称，找到对应模块文件。 3. 打开“运行 > cmd”，进入到错误文件所在目录。 执行如下命令： plaintext cd C:WindowsSystem32 4. 通过命令进行移除，移除后恢复正常。 执行如下命令： plaintext Regsvr32.exe /u Mglayout64.dll

安装 Ingress 控制器 如果您尚未安装 Ingress 控制器，可以使用以下命令安装 NGINX Ingress Controller： plaintext kubectl apply f 配置 Ingress 资源 创建一个 Ingress 资源来公开您的服务。示例 Ingress 配置如下： plaintext apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: exampleingress namespace: default spec: rules: host: http: paths: path: / pathType: Prefix backend: service: name: exampleservice port: number: 80 替换 为您的公网 DNS 名称，exampleservice 为您的服务名称。 应用 Ingress 配置： plaintext kubectl apply f exampleingress.yaml 配置 DNS 将您的公网 DNS 名称指向 Ingress 控制器的外部 IP 地址。可以在您的域名注册商处配置 DNS 记录。例如： 类型：A 名称： 值：Ingress 控制器的外部 IP 地址 验证连接 配置完成后，您可以通过公网访问您的 Kubernetes 集群和服务。例如，在浏览器中访问： 安全注意事项 认证和授权：确保 API Server 启用了适当的认证和授权机制。 网络安全：使用 HTTPS 加密流量，确保数据传输的安全性。 防火墙：仅开放必要的端口，并限制访问来源 IP。 审计日志：启用审计日志，监控和记录访问行为。 常见问题 无法访问 API Server 检查防火墙规则是否正确配置。 确认 API Server 配置中的公网 IP 和 DNS 名称正确无误。 检查 API Server 日志以获取详细错误信息。

查看JVM的当前配置 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Hive > 配置”，选择“全部配置”， 选择“HiveServer/MetaStore > JVM”，将“HIVEGCOPTS/METASTOREGCOPTS”参数中“Xmx”的值根据如下建议进行调整，并单击“保存”。 说明 HiveServer的GC参数配置建议 当Hive GC时间超出阈值时，将“Xmx”值调整为默认值的2倍，比如：“Xmx”默认设置为2G时，调整“Xmx”的值为4G。 建议同时调节“Xms”的值，使“Xms”和“Xmx”比值为1:2，这样可以避免JVM动态调整堆内存大小时影响性能。 MetaServer的GC参数配置建议 当Meta GC时间超出阈值时，将“Xmx”值调整为默认值的2倍，比如：“Xmx”默认设置为2G时，调整“Xmx”的值为4G。 建议同时调节“Xms”的值，使“Xms”和“Xmx”比值为1:2，这样可以避免JVM动态调整堆内存大小时影响性能。 5.选择“更多 > 重启服务”重启服务。 6.观察界面告警是否清除。 是，处理完毕。 否，执行步骤7。 收集故障信息 7.在主备集群的FusionInsight Manager首页，选择“运维 > 日志 > 下载”。 8.在“服务”中勾选待操作集群的“Hive”。 9.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 10.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本文为您系统梳理使用数据库双活的标准化准备流程。 概述 数据库双活提供数据库语义级的同构数据库双活复制软件服务。采用数据库之间语义级的数据实时复制与同步；基于数据库事务日志分析技术，在数据库高并发事务场景下实现数据实时同步；于目标端同步写入时序，严格确保源端和目标端的数据库事务级最终一致性；提供了备库接管、反向同步等功能。 操作步骤 一、购买许可 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源同步”“资源同步管理”，进入资源管理模块页面。 5. 点击左侧菜单栏“数据库双活”，点击“许可”，进入许可页面。 6. 点击右上角“购买数据库双活许可”按钮，弹出购买许可弹窗。按需购买许可。 7. 填写数据库类型、购买数量和时长，勾选已阅读并同意相关协议后，点击“购买”按钮，完成许可支付。 二、安装drnode 步骤一：网络配置 场景1：若同步资源为天翼云内资源时，需手动配置其需同步资源所在的虚拟私有云（VPC），并通过部署VPC终端节点（VPCEP）实现MDR网络代理与目标VPC的安全互联。 1. 登录天翼云，进入[控制中心](

调整监控阈值 6.在FusionInsight Manager界面，选择“运维 > 告警 > 阈值设置 > 待操作集群的名称 > Yarn > 任务 > 正在挂起的任务”，根据实际需要，适当增加该告警的监控阈值。 7.等待5分钟，查看该告警是否消除。 是，处理完毕。 否，执行步骤8。 收集故障信息 8.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 9.在“服务”中勾选待操作集群的“Yarn”。 10.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 11.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本节介绍云安全中心使用流程。 为全面帮助您进行安全运营，您需要购买云安全中心实例并接入安全产品日志。云安全中心获取到各类日志后，能通过日志的内容进行威胁建模，完成各类安全告警的生成，辅助您进行安全处置，实现安全运营。 云安全中心使用流程如下：

本文向您介绍出现问题”GPU实例启动异常，查看系统日志发现NVIDIA驱动空指针访问“时的解决方案。 问题描述 GPU弹性云主机启动异常，检查系统日志，发现GPU驱动提示指针访问错误日志，“BUG: unable to handle kernel NULL pointer dereference at ”。 可能原因 GPU驱动状态异常。 处理方法 1. 卸载驱动。 方法一：执行nvidiauninstall命令，卸载驱动。 方法二：执行sh NVIDIALinuxx8664.run uninstall，卸载驱动。 2. 重装驱动。 操作指导请参考：安装GPU驱动。

配置云主机并创建Linux系统盘镜像 操作场景 安装完操作系统后的临时云主机需要进行相关配置，并安装原生的XEN和KVM驱动，才能保证后续创建的云主机正常使用。 该任务指导用户完成Linux云主机的相关配置与驱动安装，从而创建为Linux系统盘镜像。 操作步骤 1、配置云主机。 a.配置网络 检查云主机的私有IP是否和控制台显示的私有IP一致（可以通过ifconfig查看）。如果不一致，请参考“清理网络规则文件”清理网络规则文件。 检查网卡属性是否为DHCP。如果云主机网络配置为静态IP地址，请参考“设置网卡属性为DHCP”修改为DHCP方式。 检查SSH服务是否为开启状态（可以通过service sshd status查看）。如果未开启，请执行service sshd start。请确保您的云主机防火墙（例如：Linux iptables）允许访问SSH。 b.安装驱动 为了保证镜像创建的新云主机的网络性能以及基本功能正常，必须在创建镜像时使用的云主机中安装原生XEN和KVM驱动。在安装原生XEN和KVM驱动前，需要先卸载PV driver。 说明： 建议您禁用任何防病毒软件或入侵检测软件，安装原生的XEN和KVM驱动完成后，您可以再次启用这些软件。 卸载PV driver，请参考“在Linux系统中卸载PV driver”。 安装原生的XEN和KVM驱动，请参考“安装原生的XEN和KVM驱动”。 驱动安装完成后需要清除日志文件、历史记录等，请参考“清除系统日志”。 c.配置文件系统 修改grub文件的磁盘标识方式为UUID，请参考“修改grub文件磁盘标识方式为UUID”。 修改fstab文件的磁盘标识方式为UUID，请参考“修改fstab文件磁盘标识方式为UUID”。 清除“/etc/fstab”中非系统盘的自动挂载信息，避免对后续挂载数据盘可能带来影响。请参考“卸载云主机的数据盘”。 d.（可选）配置增值功能 安装并配置CloudInit，请参考“安装CloudInit工具”和“配置CloudInit工具”。 开启网卡多队列，请参考“如何设置镜像的网卡多队列属性？”。 配置IPv6地址，请参考“如何开启云主机动态获取IPv6？”。 2、创建Linux系统盘镜像。 具体操作请参考通过云主机创建Linux系统盘镜像。

本文介绍弹性容器实例ECI的应用场景。 弹性流量业务 场景说明 根据业务流量自动对业务进行扩容，无需人工干预，避免流量激增扩容不及时而导致系统故障，以及平时大量闲置资源造成的浪费。 能够实现 Serverless计算：便捷获取计算资源，兼容 Kubernetes。 快速弹性：秒级启动Pod。 按需使用：容器实例按需创建释放，不需要预先准备底层资源。 持续交付集成 场景说明 支持自动化的持续交付流程，对接Devops平台，自动完成容器部署，加速测试用例的执行和测试环境的建立，并可随时创建销毁容器。 能够实现 自动化：无需创建和维护集群，提供自动化及弹性能力。 环境一致性：以容器镜像交付，支持不可变的基础设施。 深度整合 ：支持日志、告警、事件查询等集成服务。 大数据计算处理 场景说明 大批量的AI、大数据计算数据处理任务，根据业务数据处理需求，能够在短时间内快速创建大量处理节点，满足业务的大数据及 AI 在线处理诉求。 能够实现 共池混部统一调度 ：提供与云主机共池混部的调度能力。 灵活的任务规格 ：提供细粒度容器实例规格，满足上层应用和服务对计算能力的包装。 按需付费 ：容器实例根据资源规格及使用时长付费。 多种引擎统一调度

本文主要介绍操作日志的相关操作。 适用场景 媒体存储提供操作日志查询功能，通过此功能，用户可自助查询指定时间内在产品控制台操作的相关日志。 前提条件 已注册天翼云账号。 已开通媒体存储的对象存储能力。 登录媒体存储控制台。 操作步骤 1. 登录媒体存储控制台后，进入【日志查询操作日志】菜单页面，默认查询当天的控制台操作日志。 2. 用户可根据需求，自助按照时间或日志关键字查询相关记录。 日志记录说明 通过操作日志，您可查看以下操作的日志记录： 菜单 操作途径 具体操作 密钥管理 控制台 添加密钥 启用密钥 禁用密钥 删除密钥 刷新密钥 块空间 控制台 新建块 删除块 修改iqn/修改CHAP认证/调整容量 文件空间 控制台 新建文件系统 删除文件系统 扩容 修改CIFS协议密码 对象存储（关于存储桶的操作） 控制台 创建桶 删除桶 添加跨域访问CORS设置 编辑跨域访问CORS设置 删除跨域访问CORS设置 设置Bucket公共权限 设置Bucket用户权限 删除Bucket用户权限 设置防盗链 关闭防盗链 设置存储桶Policy 删除存储桶Policy 设置生命周期规则 修改生命周期规则 删除生命周期规则 添加事件通知 修改事件通知 删除事件通知 添加版本控制配置 修改版本控制配置 添加合规保留配置 修改合规保留配置 添加日志转存规则 修改日志转存规则 删除日志转存规则 添加桶标签 修改桶标签 删除桶标签 添加服务端加密配置 修改服务端加密配置 对象存储（关于对象的操作） 控制台 上传文件 创建文件夹 清空文件 删除对象 删除指定碎片 清空碎片 设置对象的公共权限 设置对象的用户权限 删除对象的用户权限

本文为您介绍攻击挑战功能。 功能介绍 攻击挑战指自动阻断在短时间内发起多次 Web 攻击（规则引擎触发）的客户端 IP，一段时间内阻止所有请求，阻断日志可以在攻击日志中查看，可以快速拦截恶意攻击 Web 的 IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版及以上版本支持使用攻击挑战功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 3. 进入“攻击挑战”模块，可以配置攻击挑战策略； 配置说明 配置项 说明 开关 防护策略开关，可选择开启或者关闭策略 处理动作 请求触发攻击挑战策略后的处理动作，可选择拦截或者告警 攻击类型 仅勾选的攻击类型会做统计。点击“全部”按钮就自动选中所有攻击类型 统计周期 防护策略的统计周期，支持配置秒级粒度 统计粒度 统计粒度支持选择IP、Header、UA、COOKIE、客户端端口、服务端口 阈值 在【统计周期】内的【统计粒度】的请求数，触发的策略超过【阈值】次数，则执行【处理动作】 其中阈值即触发已选攻击类型的攻击阈值。有两种触发条件：命中防护规则达N次、命中防护规则ID达M个，当两者同时配置时，攻击满足两个条件才会触发拦截 拦截时间 指客户端IP满足触发条件后，处理动作会持续的时间 例外ID 例外的规则ID，规则ID可在域名规则中查询 例外客户端IP 不需要经过攻击挑战策略的客户端IP

灵活易操作 提供用户自服务页面进行灵活简单操作，客户仅需进行简单的配置，即可调整迁移模式、选择迁移对象等功能。 智能监控、高可靠性 数据库迁移过程中对任务进行实时监控，包括展示任务总进度、阶段进度、预计完成时间等信息。针对任务过程中出现的问题进行告警处理。 日志与审计功能 数据库迁移工具提供完善的日志与审计功能，记录了每一次迁移任务的操作记录、数据传输情况，帮助管理员对迁移过程进行全面监控和审计，确保数据迁移的可靠性和安全性。

事件 事件告诉您AOM自身或ECS、ServiceStage、CCE等外部服务发生了某种变化，但不一定会引起业务异常，事件一般用来表达一些重要信息。您不用对事件进行处理。 阈值规则 阈值规则指对资源的监控指标设置阈值条件，当指标数据满足阈值条件时，会产生阈值告警（阈值告警即由阈值规则触发而产生的告警）；当没有指标数据上报时，会产生数据不足事件（数据不足事件即由阈值规则触发而产生的事件）。 日志 AOM提供了海量运行日志的检索和分析功能，支持日志采集、下载、转储、搜索，并提供报表分析、SQL查询、实时监控、关键词告警等能力。 统计规则 周期性地统计关键词或SQL语句，并生成指标数据，以便您实时了解系统性能及业务等信息。同时，还可以针对日志指标添加阈值规则，当满足阈值条件时产生阈值告警，以便您能在第一时间发现异常并进行处理。

功能模块 权限名称 HTAPadmin HTAPuser HTAPviewer 实例管理 查看实例列表 Y Y Y 实例管理 查看实例参数 Y Y Y 实例管理 应用参数模板到实例 Y 实例管理 查看实例数据库列表 Y Y Y 实例管理 创建实例数据库用户 Y 实例管理 查看实例数据库用户列表 Y Y Y 实例管理 更新实例数据库用户 Y 实例管理 删除实例数据库用户 Y 实例管理 查看实例组件日志列表 Y Y Y 实例管理 查看实例慢日志列表 Y Y Y 实例管理 查看实例慢日志详情 Y Y Y 实例管理 查看实例DDL历史记录 Y Y Y 实例管理 查看实例实时长查询 Y Y Y 实例管理 查看实例监控 Y Y Y 备份管理 查看备份配置列表 Y Y Y 备份管理 新增备份配置 Y Y 备份管理 查看备份配置详情 Y Y Y 备份管理 新增手动备份任务 Y Y 备份管理 查看备份记录列表 Y Y Y 备份管理 查看备份记录详情 Y Y Y 备份管理 查看增量备份配置列表 Y Y Y 备份管理 查看增量备份配置详情 Y Y Y 备份管理 新增增量备份配置 Y Y 备份管理 查看增量备份任务列表 Y Y Y 备份管理 查看增量备份任务详情 Y Y Y 备份管理 删除增量备份任务 Y Y 备份管理 新增增量恢复任务 Y Y 备份管理 查看恢复记录列表 Y Y Y 备份管理 新增恢复任务 Y Y 告警服务 新增告警联系组 Y Y 告警服务 查看告警联系组列表 Y Y Y 告警服务 查看告警联系组详情 Y Y Y 告警服务 删除告警联系组 Y Y 告警服务 更新告警联系组 Y Y 告警服务 新增告警联系人 Y Y 告警服务 查看告警联系人详情 Y Y Y 告警服务 删除告警联系人 Y Y 告警服务 更新告警联系人 Y Y 告警服务 新增实例告警 Y Y 告警服务 查看实例告警列表 Y Y Y 告警服务 查看实例告警详情 Y Y Y 告警服务 删除实例告警 Y Y 告警服务 更新实例告警 Y Y 告警服务 查看告警信息列表 Y Y Y 告警服务 新增告警规则 Y Y 告警服务 查看告警规则列表 Y Y Y 告警服务 查看告警规则详情 Y Y Y 告警服务 删除告警规则 Y Y 告警服务 更新告警规则 Y Y 告警服务 新增告警模板 Y Y 告警服务 查看告警模板列表 Y Y Y 告警服务 查看告警模板详情 Y Y Y 告警服务 克隆告警模板 Y Y 告警服务 删除告警模板 Y Y 告警服务 更新告警模板 Y Y 参数模板 查看参数模板应用历史 Y Y Y 参数模板 创建参数模板 Y 参数模板 查看参数模板列表 Y Y Y 参数模板 删除参数模板 Y 参数模板 更新参数模板描述内容 Y 参数模板 对比参数模板 Y Y 参数模板 查看参数模板变更历史 Y Y Y 参数模板 查看参数模板详情 Y Y Y 参数模板 更新参数模板 Y 审计管理 下载审计日志文件 Y Y Y 审计管理 查看审计策略列表 Y Y Y 审计管理 新增审计策略 Y Y 审计管理 查看审计策略详情 Y Y Y 审计管理 更新审计策略 Y Y 审计管理 新增审计规则 Y Y 审计管理 查看审计规则列表 Y Y Y 审计管理 查看审计规则详情 Y Y Y 审计管理 删除审计规则 Y Y 审计管理 更新审计规则 Y Y 审计管理 查看审计日志列表 Y Y Y OpenApi 查询告警联系人详情 Y Y Y OpenApi 查询告警联系组详情 Y Y Y OpenApi 查询告警联系人列表 Y Y Y OpenApi 查询实例告警详情 Y Y Y OpenApi 查询实例告警列表 Y Y Y OpenApi 查询实例告警管理配置 Y Y Y OpenApi 查询告警信息列表 Y Y Y OpenApi 查询告警规则列表 Y Y Y OpenApi 查询告警模板详情 Y Y Y OpenApi 查询告警模板列表 Y Y Y OpenApi 查询实例列表 Y Y Y OpenApi 查询实例拓扑信息 Y Y Y OpenApi 查询实例CPU总体监控 Y Y Y OpenApi 查询实例磁盘总体监控 Y Y Y OpenApi 查询实例内存总体监控 Y Y Y OpenApi 查询实例调度组件总体监控 Y Y Y OpenApi 查询实例计算组件总体监控 Y Y Y OpenApi 查询实例列存组件总体监控 Y Y Y OpenApi 应用参数模板到实例 Y OpenApi 复制参数模板 Y OpenApi 创建参数模板 Y OpenApi 删除参数模板 Y OpenApi 查询默认参数模板列表 Y Y Y OpenApi 对比参数模板 Y Y OpenApi 查询实例参数 Y Y Y OpenApi 查询参数模板应用历史 Y Y Y OpenApi 查询参数模板详情 Y Y Y OpenApi 查询参数模板列表 Y Y Y OpenApi 查询参数模板变更历史 Y Y Y OpenApi 更新参数模板描述内容 Y OpenApi 创建实例数据库用户 Y OpenApi 删除实例数据库用户 Y OpenApi 查询实例数据库用户列表 Y Y Y OpenApi 更新实例数据库用户 Y

检查Impala 进程是否正常 5. 在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，在告警列表中查看是否存在“ALM12007进程故障”告警。 是，执行步骤6。 否，执行步骤7。 6. 参考“ALM12007进程故障”告警帮助文档进行处理后，检出本告警是否清除。 是，处理完毕。 否，执行步骤7。 收集故障信息 7. 在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 8. 在“服务”中勾选待操作集群的“Impala”。 9. 单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后1小时，单击“下载”。 10. 请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。