本节简单介绍WAF和CC攻击。 什么是Web应用防火墙？ Web应用防火墙（Web Application Firewall，简称WAF），针对Web攻击进行防护，例如 ：XSS（跨站脚本攻击）、SQL注入、Webshell上传等，除此之外，还提供了CC攻击的防护，CC攻击是攻击者借助代理服务器生成指向受害主机的合法请求，是拒绝服务攻击的一种类型。 如何判断是否遭受CC攻击？ 当客户发现网站处理速度下降，网络带宽占用过高时，很有可能已经遭受CC攻击，此时可查看Web服务器的访问日志或网络连接数量，如果访问日志或网络连接数量显著增加，则可确定遭受CC攻击，可以按照以下策略进行配置，利用WAF阻断CC攻击，保障网站业务的正常运行。 说明 WAF防护应用层流量的拒绝服务攻击，适合防御HTTP Get攻击等。 WAF服务并不提供针对四层及以下流量的防护，例如：ACK Flood、UDP Flood等攻击，这类攻击建议使用DDoS及IP高防服务进行防护。

本章节主要介绍 ALM12081 ommdba用户过期。 告警解释 系统每天零点开始，每8小时检测当前系统中ommdba用户是否过期，如果用户过期，则发送告警。 当系统中ommdba用户过期的期限重置，当前状态为正常，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12081 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 ommdba用户过期，OMS数据库无法管理，数据不能访问。 可能原因 该主机ommdba用户过期。 处理步骤 检查系统中ommdba用户是否过期 1.以root用户登录集群故障节点。 执行chage l ommdba命令查看当前ommdba用户密码设置信息。 2.查找“Account expires”对应值，查看用户设置是否过期。 说明 如果参数值为“never”，则代表永不过期；如果为日期值，则查看是否过期。 是，执行步骤3。 否，执行步骤4。 3.执行 chage E 'yyyyMMdd' ommdba命令设置ommdba 用户过期的期限，等待8小时，观察告警是否自动清除。 是，操作结束。 否，执行步骤4。 收集故障信息 4.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 5.在“服务”中勾选“NodeAgent”，单击“确定”。 6.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分，单击“下载”。 7.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

SQL Server系统策略 SQL Server默认提供两种系统策略供用户选择，策略仅包括数据库管理控制台内的相关功能权限，涉及订单下单等非管理控制台的权限还需进行相应的权限配置。SQL Server的两种默认策略分别是管理员策略（SQLServer admin），浏览者策略（SQLServer viewer），两种策略的权限模型具体如下： 功能模块 权限名称 SQLServer admin SQLServer viewer 备份恢复 查询实例备份策略 Y Y 备份恢复 修改实例备份策略 Y 备份恢复 查询实例数据备份列表 Y Y 备份恢复 查询实例日志备份列表 Y Y 备份恢复 创建手动备份任务 Y 备份恢复 创建实例恢复任务 Y 备份恢复 删除手动备份 Y 备份恢复 查询备份详情 Y Y 备份恢复 查询恢复详情 Y Y 备份恢复 查询备份包含的数据库名称 Y Y 备份恢复 查询备份下载链接 Y Y 备份恢复 生成备份上传链接 Y Y 备份恢复 查询实例是否历史上开过跨域复制 Y Y 备份恢复 查询是否曾经开启过按月定期备份 Y Y 备份恢复 查询当前资源池允许选择的跨域资源池列表 Y Y 备份恢复 查询实例是否使用对象存储备份 Y Y 数据库管理 创建数据库 Y 数据库管理 查询实例数据库列表 Y Y 数据库管理 删除数据库 Y 日志管理 查询实例错误日志 Y Y 监控告警 查询实例告警策略 Y Y 监控告警 查询实例监控指标数据 Y Y 监控告警 查询监控中心列表 Y Y 账号管理 创建数据库账号 Y 账号管理 修改账号权限 Y 账号管理 重置数据库账号的密码 Y 账号管理 删除数据库账号 Y 账号管理 查询数据库账号列表 Y Y 账号管理 开放实例sa权限 Y 账号管理 查询实例是否已经开放sa权限 Y Y 账号管理 查询实例是否已创建sa账户 Y Y 账号管理 禁⽤sa权限账户 Y 账号管理 恢复sa权限账户 Y 实例管理 查询实例详情 Y Y 实例管理 查询实例列表 Y Y 实例管理 修改实例名称 Y 实例管理 重启实例 Y 实例管理 修改数据库端口 Y 实例管理 创建堵塞事件 Y 实例管理 修改堵塞事件时间阈值 Y 实例管理 删除堵塞事件 Y 实例管理 查询堵塞事件是否存在 Y Y 实例管理 查询堵塞事件时间阈值 Y Y 实例管理 查询堵塞事件日志文件列表 Y Y 实例管理 下载堵塞事件日志 Y Y 服务可用性 查询实例主备切换日志 Y Y 服务可用性 查询服务可用性 Y Y 服务可用性 实例主备切换 Y 参数组管理 修改实例参数 Y 参数组管理 查询实例参数修改历史记录 Y Y 参数组管理 查询实例当前参数列表 Y Y 参数组管理 查询实例可应用的参数模板 Y Y 参数组管理 查询参数模板列表 Y Y 参数组管理 创建参数模板 Y 参数组管理 删除参数模板 Y 参数组管理 修改参数模板 Y 参数组管理 复制参数模板 Y 参数组管理 比较参数模板 Y Y 参数组管理 重置参数模板 Y 参数组管理 查询模板应用任务详情 Y Y 参数组管理 创建应用参数模板任务 Y 参数组管理 查询模板中的参数列表 Y Y 任务列表 查询任务列表 Y Y

本节介绍云等保专区产品的堡垒机。 堡垒机具备统一安全管理与审计能力，提供集身份认证（Authentication）、帐户管理（Account）、控制权限（Authorization）、日志审计（Audit）功能于一体。支持多种字符终端协议、文件传输协议、图形终端协议、远程应用协议的安全监控与历史查询，具备全方位运维风险控制能力，可满足各类法律法规（如等级保护、赛班斯法案SOX、PCI、企业内控管理、分级保护、ISO/IEC 27001等）对运维审计的要求。 功能介绍 功能 描述 认证&授权 双因子认证 内置手机APP认证（谷歌动态口令验证）、OTP动态令牌、USBkey双因素认证引擎。 提供短信认证、AD、LDAP、RADIUS认证接口。 支持多种认证方式组合。 认证&授权 权限管理 系统预置多种用户角色：超级管理员、部门管理员、运维管理员、审计管理员、运维员、审计员、系统管理员和密码管理员。 每种用户角色的权限均不同，且可自定义用户角色。 认证&授权 集中授权 梳理用户与主机之间关系，提供一对一、一对多、多对一、多对多的灵活授权模式。 认证&授权 单点登录 托管主机的帐户和密码，运维人员直接点击“登录”即可成功自动登录到目标主机中进行运维操作，无需输入主机的帐户和密码。 认证&授权 自动学习 运维人员通过堡垒机成功登录目标主机后即可自动录入主机信息，减轻管理员配置主机信息、用户与主机关系的工作量。 运维&审计 运维协议支持 支持管理Linux/Unix服务器、Windows服务器、网络设备（如思科/H3C/华为等）、文件服务器、Web系统、数据库服务器、虚拟服务器、远程管理服务器等。 兼容Xshell、XFTP、SecureCRT、MSTSC、VNC Viewer、PuTTY、WinSCP、FlashFXP、SecureFX等多种客户端工具。 运维&审计 统一审计 对所有操作进行详细记录，提供综合查询；审计日志可在线或离线播放，自动备份归档。 审计内容包括图形、字符、文件、应用、SQL语句等会话及应用会话。 运维&审计 浏览器客户端运维 基于H5技术实现浏览器客户端运维，无需安装本地工具，直接通过浏览器打开运维界面。 支持通过SSH、Telnet、Rlogin、RDP、VNC协议的Web客户端运维。 运维&审计 文件传输审计 记录所有操作会话，包括在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容。 完整备份传输文件，为上传恶意文件、拖库、窃取数据等危险行为提供查询依据。 运维&审计 自动运维 实现自动化的运维任务并将执行结果通知相关人员。 运维&审计 资产管理 支持主机、主机组、混合云、帐号、帐号组、应用等多种资产类型。 运维&审计 命令控制 集中命令控制基于不同主机、不同用户设置不同的命令控制策略，包括命令阻断、命令黑名单、命令白名单、命令审核四种动作。 运维&审计 工单流程 运维人员向管理员申请需要访问的设备，选择条件包括设备IP、设备帐户、运维有效期、备注事由等，运维工单以邮件方式通知管理员。 其他 系统自审 对系统自身变化信息进行审计，形成系统分析报表。 其他 冗余架构 结合端口聚合技术、RAID技术和HA技术，实现三重冗余备份的高可用架构。 其他 API接口 提供用户、资产、授权的增删改查等API接口。 允许第三方平台调用API接口，实现用户、资产、权限自动同步。

公有云使用Kafka作为消息引擎，以下概念基于Kafka进行描述。 Topic 消息主题。消息的生产与消费，围绕消息主题进行生产、消费以及其他消息管理操作。 Topic也是消息队列的一种发布与订阅消息模型。生产者向消息主题发布消息，多个消费者订阅该消息主题的消息，生产者与消费者彼此并无直接关系。 生产者（Producer） 向Topic（消息主题）发布消息的一方。发布消息的最终目的在于将消息内容传递给其他系统/模块，使对方按照约定处理该消息。 消费者（Consumer） 从Topic（消息主题）订阅消息的一方。订阅消息最终目的在于处理消息内容，如日志集成场景中，监控告警平台（消费者）从主题订阅日志消息，识别出告警日志并发送告警消息/邮件。 节点（Broker） 即Kafka集群架构设计中的单个Kafka进程，一个Kafka进程对应一台服务器，因此手册中描述的节点，还包括对应的存储、带宽等服务器资源。 分区（Partition） 为了实现水平扩展与高可用，Kafka将Topic划分为多个分区，消息被分布式存储在分区中。 副本（Replica） 消息的备份存储。为了确保消息可靠，Kafka创建Topic时，每个分区会分别从节点中选择1个或多个，对消息进行冗余存储。 Topic的所有消息分布式存储在各个分区上，分区在每个副本存储一份全量数据，副本之间的消息数据保持同步，任何一个副本不可用，数据都不会丢失。 每个分区都随机挑选一个副本作为Leader，该分区所有消息的生产与消费都在Leader副本上完成，消息从Leader副本复制到其他副本（Follower）。 Kafka的主题和分区属于逻辑概念，副本与节点属于物理概念。下图通过消息的生产与消费流向，解释了Kafka的分区、节点与主题间的关系。 图 Kafka消息流

定时执行 1. 登录容器镜像服务控制台； 2. 在顶部菜单栏，选择所需资源池； 3. 在实例页面中选择容器镜像仓库实例； 4. 在企业版实例管理页面的左侧菜单上选择 实例管理 制品清理； 5. 点击界面右上角的创建 ，创建定时清理规则，规则的参数说明如下表，点击确定完成创建； 参数 说明 执行周期 可选择每周或每天执行清理 回收无Tag的artifacts 若勾选此项，镜像仓库中没有带任何一个Tag的制品都会被清理 6. 执行结果及任务执行日志可以在执行历史中查看。 注意 制品清理属于计算密集型操作，会影响仓库性能，建议在非业务高峰时段执行。如需评估清理时所需要的耗时及影响范围，可以先通过“模拟执行”来评估。 执行结果 在制品清理 的管理页中，可通过执行列表查看每一个清理任务的执行情况。 注意 由于每个清理任务的日志并非使用持久化存储。因此当日志被清理后，会存在部分任务无法查看执行日志的情况。

设置安全策略 说明 本专题按DDoS防护、Web防护、Bot防护、访问控制/限流等模块化主题，非常详尽地介绍安全与加速已支持的功能和服务，帮助客户深入理解安全与加速功能，指导客户与自己的业务相结合，配置合适的防护策略。 本专题按攻击事件、攻击报表等主题，详尽的介绍如何查看攻击事件、攻击日志等。

云性能测试服务测试的时候申请的带宽大小对测试的影响是什么？ 用户压测的请求和响应的模型不一样，所需带宽也不一样。比如说5000TPS，每个请求包大小是1KB，那么总的上行带宽是5000KB，下行带宽也是一样的估算方式。对于带宽的限制是限制上行带宽，因此POST/PUT等带Body的请求会比较消耗带宽资源。 压测时如果带宽不足的情况下会出现网络丢包，在测试报告中的体现就是时延增大，甚至出现超时。 如何进行并发测试？ 通过创建测试工程，根据需求构建事务模型之后，添加对应的测试任务便可进行并发测试。并发用户数即为并发数，不仅对单任务可以进行并发操作，也可以勾选多个测试任务同时进行并发操作。 JMeter测试工程和性能测试测试工程的区别？ JMeter测试工程支持直接导入JMeter脚本，使用JMeter原生引擎发起性能测试。 性能测试测试工程支持导入CPTS脚本和JMeter脚本，导入的JMeter脚本会自动转换为CPTS脚本进行性能测试，同时也支持直接手动按照实际压测场景，进行测试任务编辑，开展相应的性能测试。 怎样确定压测任务顺序读取全局变量的值？ 如果您想确认压测任务是否会顺序读取全局变量的值，可以通过以下步骤测试： 1. 设置全局变量，取值数量建议在10个以内（例如设置取值为6、5、4、3、2、1），方便快速测试。 2. 设置一个用例，在此用例报文的body体中引用1中设置的全局变量，执行阶段设为按次数方式，并发为1、并发次数为10，启动此用例。 3. 在性能报告中的“各项测试指标”中，单击操作图标“”，单击“下载请求日志”，查看请求体中全局变量的取值是否和设置的顺序一致。 通过日志可确认后续的取值是否顺序读取，当读取到最后一个值时，返回读取第一个值。

检查NameNode节点是否进入安全模式 19.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS”，单击服务异常的NameService的“NameNode(主)”，显示NameNode WebUI页面。 说明 admin用户默认不具备其他组件的管理权限，如果访问组件原生界面时出现因权限不足而打不开页面或内容显示不全时，可手动创建具备对应组件管理权限的用户进行登录。 20.在NameNode WebUI，查看是否显示如下信息：“Safe mode is ON.” “Safe mode is ON.”表示安全模式已打开，后面的提示信息为告警信息，根据实际情况展现。 是，执行步骤21。 否，执行步骤24。 21.以root用户登录客户端。执行cd命令进入客户端安装目录，然后执行 source bigdataenv 。如果集群采用安全版本，要进行安全认证，执行kinit hdfs命令，按提示输入密码（向管理员获取密码）。如果集群采用非安全版本，需使用omm用户登录并执行命令，请确保omm用户具有客户端执行权限。 22.执行 hdfs dfsadmin safemode leave 。 23.在“运维 > 告警 > 告警”页签，查看该告警是否恢复。 是，处理完毕。 否，执行步骤24。 收集故障信息 24.在FusionInsight Manager首页，选择“运维 > 日志 > 下载”。 25.在“服务”中勾选待操作集群的如下节点信息。 ZooKeeper HDFS 26.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 27.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

天翼云AOne iOS版本 第三方信息共享清单及SDK目录 名称 使用场景 使用目的 信息名称 信息类型 共享方式 开发者/公司 第三方隐私和信息处理规则/开发者协议链接 企业微信登录SDK 关联账号登录 企业微信账号授权登录 无 无 无 深圳市腾讯计算机系统有限公司 腾讯企业微信SDK隐私和信息处理规则 飞书登录SDK 关联账号登录 飞书账户授权登录 设备信息与日志信息：操作系统版本号、服务日志 个人常用设备信息 SDK本机采集 北京飞书科技有限公司 飞书登录 SDK 隐私政策 钉钉登录SDK 关联账号登录 钉钉账户授权登录 无 无 无 钉钉科技有限公司 钉钉登录SDK隐私政策 SDWebImage 图片的加载缓存 图片的加载缓存 无 无 无 社区开源项目 < AFNetworking 和后端的接口交互 进行接口的数据请求 无 无 无 社区开源项目 FMDB 本地数据的存储 数据库的管理 无 无 无 社区开源项目 SSZipArchive 分享文件时压缩文件 文件的压缩与解压 无 无 无 社区开源项目 < CocoaLumberjack 日志打印 日志打印到本地文件 无 无 无 社区开源项目 < SVGKit svg格式图片的显示 svg格式图片的显示 无 无 无 社区开源项目 < openim IM/通知号 IM通信和服务号通知 正在运行的应用安装列表、存储外部存储目录、 读取外部存储目录、存储目录管理、发送语音、拍照 个人设备信息 SDK本机采集 社区开源项目 OpenIM隐私政策 mailcore2 邮箱 获取邮箱、邮箱收发服务 无 无 SDK本机采集 < RZRichTextView 富文本 富文本编辑显示功能 无 无 无 < TZImagePickerController 相册选择 邮箱获取相册图片服务 无 无 无 < SQLCipher 邮箱数据库加密 邮箱数据库加密服务 无 无 无 <

对比项 本地自建存储 云上对象存储 优先选择 存储空间 受硬盘容量限制，需人工扩容。 不限制存储空间大小，理论上可无限扩容。 对象存储 存储成本 需要购买硬件设备、并考虑维护费用、托管费用等。 无需购买硬件设备，按需付费，节省成本。 对象存储 存储性能 可提供高性能、低延迟的数据访问，适合对I/O要求较高的应用场景。 相比本地自建，数据访问性能和延迟有一定损耗，需要考虑网络带宽，但通过专线访问可达到本地自建一样的效果。同时支持缓存热点文件，具备提供高性能、高吞吐量数据访问服务的能力。 两者均可 存储可靠性 受限于硬件持久性，易出问题，一旦出现磁盘坏道，容易出现不可逆转的数据丢失。 提供多重冗余架构设计，为数据持久存储提供可靠保障，服务可用性不低于99.995%，数据持久性不低于99.9999999999% (十二个9)。 对象存储 存储安全性 需要单独购买安全设备，需要单独实现安全机制。 提供企业级多层次安全防护，包括服务端加密、客户端加密、防盗链、IP黑白名单访问、细粒度权限管控、STS和URL鉴权和授权机制、合规保护、日志审计等。 对象存储 存储易用性 不支持数据生命周期管理，仅支持挂载方式接入。 支持数据生命周期管理，提供标准的RESTful API接口、丰富的SDK包、客户端工具、控制台等。 对象存储 存储灵活性 难以适应不同类型和规模的数据存储需求，需要预先规划好存储架构和资源分配。 支持多种存储类型和访问模式，如标准存储、低频存储、归档存储等，可以根据数据的访问频率进行动态调整。 对象存储 存储兼容性 难以与其他平台或云服务进行集成和协作，需要进行额外的开发和适配工作。 支持多种云服务或平台的接入和使用，如支持S3协议，与CDN进行内容分发，与云主机进行集成以实现弹性计算等。 对象存储

此小节介绍登录系统故障。 登录云堡垒机系统异常怎么办？ 问题现象 IP地址无法连接，网页打不开，不能通过互联网页面正常登录。 登录系统后界面异常无法显示。 登录系统提示授权未生效。 AD域认证的用户登录失败。 堡垒机不能正常登录，公网地址也不能访问。 可能原因 原因一：系统磁盘空间满了，磁盘空间使用率过高。 原因二：系统软件版本未更新，存在磁盘空间被占用，未被释放可能。 原因三：用户登录使用浏览器或浏览器版本，与系统不兼容。 原因四：实例配置安全组不合理。 原因五：实例配置VPC内，网络ACL规则配置不合理，或登录IP被网络ACL限制。 原因六：配置AD域认证时，未禁用SSL加密认证。 原因七：堡垒机版本较低。 解决办法 原因一： 定期“手动删除”指定日期前的日志、视频等历史数据。设置磁盘空间满时日志“自动删除”，保证磁盘有足够空间。 对云堡垒机实例进行规格变更，满足大容量磁盘需求。 建议配置系统性能的磁盘空间使用率告警通知，当磁盘空间使用率超过设定阈值时，提示系统消息告警。 原因二： 在云堡垒机管理控制台“重启”云堡垒机实例，检查故障是否解决。若不能解决，需“升级”云堡垒机到最新版本，并根据实际需求进行规格变更。 原因三： 更换浏览器或升级浏览器版本，Web登录推荐使用浏览器及版本。 原因四： 若因安全组配置不合理导致异常，请先排查安全组规则，并根据CBH建议安全组规则，配置安全组规则，再重新登录云堡垒机系统。 原因五： 若因网络ACL配置不合理导致异常，请先排查网络ACL规则，并参考CBH安全组规则放开出/入方向端口，再重新登录云堡垒机系统。 若因云堡垒机登录IP被网络ACL限制，请先排查网络ACL规则，并重新配置ACL规则，添加云堡垒机公网IP（即弹性IP）为允许。 说明 浏览器登录云堡垒机需放开入方向TCP协议22333端口，SSH客户端登录云堡垒机需放开入方向TCP协议2222端口。 原因六： 系统管理员admin登录云堡垒机系统，重新配置AD域认证，取消SSL加密认证。 检查用户登录IP地址和MAC地址是否被加入用户访问限制，请参见用户登录限制。 检查访问控制策略是否限制了用户IP地址，请参见访问控制限制。 如果通过上述排查，仍然无法登录云堡垒机系统，请单击管理控制台右上方的“工单”，填写工单反馈问题现象，联系技术支持。

本文主要介绍CCE发布Kubernetes 1.25版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.25版本所做的变更说明。 版本升级说明 CCE针对Kubernetes 1.25版本提供了全链路的组件优化和升级。 表 核心组件及说明 集群类型 核心组件 版本号 升级注意事项 :::: CCE集群 Kubernetes 1.25 无 CCE集群 Docker CentOS：18.9.0 Ubuntu：18.09.9 无 CCE集群 Containerd 1.4.1 无 CCE集群 操作系统 CentOS Linux release 7.6 无 CCE集群 操作系统 Ubuntu 18.04 server 64bit 无 资源变更与弃用 CCE 1.25变更说明 CCE v1.25集群的节点均默认采用Containerd容器引擎。 社区1.25 ReleaseNotes 清理iptables链的所有权 Kubernetes通常创建iptables链来确保这些网络数据包到达，这些iptables链及其名称属于Kubernetes内部实现的细节，仅供内部使用场景，目前有些组件依赖于这些内部实现细节，Kubernetes总体上不希望支持某些工具依赖这些内部实现细节。 在Kubernetes 1.25版本后，Kubelet通过IPTablesCleanup特性门控分阶段完成迁移，是为了不在NAT表中创建iptables链，例如KUBEMARKDROP、KUBEMARKMASQ、KUBEPOSTROUTING。 存储驱动的弃用和移除，移除云服务厂商的intree卷驱动。 社区1.24 ReleaseNotes 在Kubernetes 1.24版本后，Service.Spec.LoadBalancerIP被弃用，因为它无法用于双栈协议。请使用自定义annotation。 在Kubernetes 1.24版本后，kubeapiserver移除参数address、insecurebindaddress、port、insecureport0。 在Kubernetes 1.24版本后，kubecontrollermanager和kubescheduler移除启动参数port0和address。 在Kubernetes 1.24版本后，kubeapiserver auditlogversion和auditwebhookversion仅支持audit.k8s.io/v1，Kubernetes 1.24移除audit.k8s.io/v1[alphabeta]1，只能使用audit.k8s.io/v1。 在Kubernetes 1.24版本后，kubelet移除启动参数networkplugin，仅当容器运行环境设置为Docker时，此特定于Docker的参数才有效，并会随着Dockershim一起删除。 在Kubernetes 1.24版本后，动态日志清理功能已经被废弃，并在Kubernetes 1.24版本移除。该功能引入了一个日志过滤器，可以应用于所有Kubernetes系统组件的日志，以防止各种类型的敏感信息通过日志泄漏。此功能可能导致日志阻塞，所以废弃。 VolumeSnapshot v1beta1 CRD在Kubernetes 1.20版本中被废弃，在Kubernetes 1.24版本中移除，需改用v1版本。 在Kubernetes 1.24版本后，移除自1.11版本就废弃的service annotation tolerateunreadyendpoints，使用Service.spec.publishNotReadyAddresses代替。 在Kubernetes 1.24版本后，废弃metadata.clusterName字段，并将在下一个版本中删除。 Kubernetes 1.24及以后的版本，去除了kubeproxy监听NodePort的逻辑，在NodePort与内核net.ipv4.iplocalportrange范围有冲突的情况下，可能会导致偶发的TCP无法连接的情况，导致健康检查失败、业务异常等问题。升级前，请确保集群没有NodePort端口与任意节点net.ipv4.iplocalportrange范围存在冲突。

检查Flume Client端的配置 5.以root用户登录到告警定位参数中描述的Flume ClientIP所在主机。 6.执行cd Flume 客户端安装目录 /fusioninsightflume1.9.0/conf/ 命令，进入Flume的配置目录。 7.执行cat properties.properties命令，查看当前的Flume Client配置文件。 8.根据Flume Agent的配置说明检查“properties.properties”的配置是否有误。 是，执行步骤9。 否，执行步骤11。 9.修改“properties.properties”配置文件。 查看告警是否已清除 10.查看告警列表中，该告警是否已清除。 是，处理完毕。 否，执行步骤11。 收集故障信息 11.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 12.在“服务”框中勾选待操作集群的“Flume”。 13.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后1小时，单击“下载”。 14.使用传输工具，收集Flume Client端“/var/log/Bigdata/flumeclient”下的日志。 15.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

说明：本章节会介绍关系型数据库支持哪些监控指标 功能说明 本节定义了关系型数据库上报云监控的监控指标的命名空间，监控指标列表和维度定义，用户可以通过云监控提供的API接口来检索关系型数据库产生的监控指标和告警信息。 命名空间 SYS.RDS 实例监控指标 MySQL数据库性能监控指标，如表54所示。 数据库性能监控列表 指标 指标名称 含义 取值范围 测量对象和监控对象 监控周期（原始指标） rds001cpuutil CPU使用率 该指标用于统计测量对象的CPU使用率，以比率为单位。 0100% 测量对象：弹性云服务器 监控实例类型：MySQL实例 1分钟 rds002memutil 内存使用率 该指标用于统计测量对象的内存使用率，以比率为单位。 0100% 测量对象：弹性云服务器 监控实例类型：MySQL实例 1分钟 rds003iops IOPS 该指标用于统计当前实例，单位时间内系统处理的I/O请求数量（平均值）。 ≥ 0 counts/s 测量对象：弹性云服务器 监控实例类型：MySQL实例 1分钟 rds004bytesin 网络输入吞吐量 该指标用于统计平均每秒从测量对象的所有网络适配器输入的流量，以字节/秒为单位。 ≥ 0 bytes/s 测量对象：弹性云服务器 监控实例类型：MySQL实例 1分钟 rds005bytesout 网络输出吞吐量 该指标用于统计平均每秒从测量对象的所有网络适配器输出的流量，以字节/秒为单位。 ≥ 0 bytes/s 测量对象：弹性云服务器 监控实例类型：MySQL实例 1分钟 rds006conncount 数据库总连接数 该指标用于统计试图连接到MySQL服务器的总连接数，以个为单位。 ≥ 0 counts 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds007connactivecount 当前活跃连接数 该指标用于统计当前打开的连接的数量，以个为单位。 ≥ 0 counts 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds008qps QPS 该指标用于统计SQL语句查询次数，含存储过程，以次/秒为单位。 ≥ 0 queries/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds009tps TPS 该指标用于统计事务执行次数，含提交的和回退的，以次/秒为单位。 ≥ 0 transactions/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds010innodbbufusage 缓冲池利用率 该指标用于统计InnoDB缓存中脏数据与数据比例，以比率为单位。 01 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds011innodbbufhit 缓冲池命中率 该指标用于统计读命中与读请求数比例，以比率为单位。 01 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds012innodbbufdirty 缓冲池脏块率 该指标用于统计使用的页与InnoDB缓存中数据总数比例，以比率为单位。 01 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds013innodbreads InnoDB读取吞吐量 该指标用于统计Innodb平均每秒读字节数，以字节/秒为单位。 ≥ 0 bytes/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds014innodbwrites InnoDB写入吞吐量 该指标用于统计Innodb平均每秒写字节数，以字节/秒为单位。 ≥ 0 bytes/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds015innodbreadcount InnoDB文件读取频率 该指标用于统计Innodb平均每秒从文件中读的次数，以次/秒为单位。 ≥ 0 counts/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds016innodbwritecount InnoDB文件写入频率 该指标用于统计Innodb平均每秒向文件中写的次数，以次/秒为单位。 ≥ 0 counts/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds017innodblogwritereqcount InnoDB日志写请求频率 该指标用于统计平均每秒的日志写请求数，以次/秒为单位。 ≥ 0 counts/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds018innodblogwritecount InnoDB日志物理写频率 该指标用于统计平均每秒向日志文件的物理写次数，以次/秒为单位。 ≥ 0 counts/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds019innodblogfsynccount InnoDB日志fsync()写频率 该指标用于统计平均每秒向日志文件完成的fsync()写数量，以次/秒为单位。 ≥ 0 counts/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds020temptblcount 临时表数量 该指标用于统计MySQL执行语句时在硬盘上自动创建的临时表的数量，以个为单位。 ≥ 0 tables 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds021myisambufusage Key Buffer利用率 该指标用于统计MyISAM Key buffer的利用率，以比率为单位。 01 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds022myisambufwritehit Key Buffer写命中率 该指标用于统计MyISAM Key buffer写命中率，以比率为单位。 01 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds023myisambufreadhit Key Buffer读命中率 该指标用于统计MyISAM Key buffer读命中率，以比率为单位。 01 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds024myisamdiskwritecount MyISAM硬盘写入频率 该指标用于统计向磁盘写入索引的次数，以次/秒为单位。 ≥ 0 counts/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds025myisamdiskreadcount MyISAM硬盘读取频率 该指标用于统计从磁盘读取索引的次数，以次/秒为单位。 ≥ 0 counts/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds026myisambufwritecount MyISAM缓冲池写入频率 该指标用于统计向缓冲池写入索引的请求次数，以次/秒为单位。 ≥ 0 counts/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds027myisambufreadcount MyISAM缓冲池读取频率 该指标用于统计从缓冲池读取索引的请求次数，以次/秒为单位。 ≥ 0 counts/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds028comdmldelcount Delete语句执行频率 该指标用于统计平均每秒Delete语句执行次数，以次/秒为单位。 ≥ 0 queries/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds029comdmlinscount Insert语句执行频率 该指标用于统计平均每秒Insert语句执行次数，以次/秒为单位。 ≥ 0 queries/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds030comdmlinsselcount InsertSelect语句执行频率 该指标用于统计平均每秒InsertSelect语句执行次数，以次/秒为单位。 ≥ 0 queries/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds031comdmlrepcount Replace语句执行频率 该指标用于统计平均每秒Replace语句执行次数，以次/秒为单位。 ≥ 0 queries/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds032comdmlrepselcount ReplaceSelection语句执行频率 该指标用于统计平均每秒ReplaceSelection语句执行次数，以次/秒为单位。 ≥ 0 queries/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds033comdmlselcount Select语句执行频率 该指标用于统计平均每秒Select语句执行次数。 ≥ 0 queries/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds034comdmlupdcount Update语句执行频率 该指标用于统计平均每秒Update语句执行次数，以次/秒为单位。 ≥ 0 queries/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds035innodbdelrowcount 行删除速率 该指标用于统计平均每秒从InnoDB表删除的行数，以行/秒为单位。 ≥ 0 rows/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds036innodbinsrowcount 行插入速率 该指标用于统计平均每秒向InnoDB表插入的行数，以行/秒为单位。 ≥ 0 rows/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds037innodbreadrowcount 行读取速率 该指标用于统计平均每秒从InnoDB表读取的行数，以行/秒为单位。 ≥ 0 rows/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds038innodbupdrowcount 行更新速率 该指标用于统计平均每秒向InnoDB表更新的行数，以行/秒为单位。 ≥ 0 rows/s 测量对象：数据库 监控实例类型：MySQL实例 1分钟 rds039diskutil 磁盘利用率 该指标用于统计测量对象的磁盘利用率，以比率为单位。 0100% 测量对象：弹性云服务器 监控实例类型：MySQL实例 1分钟 rds047disktotalsize 磁盘总大小 该指标用于统计测量对象的磁盘总大小。 40GB~4000GB 测量对象：弹性云服务器 监控实例类型：MySQL实例 1分钟 rds048diskusedsize 磁盘使用量 该指标用于统计测量对象的磁盘使用大小。 0GB~4000GB 测量对象：弹性云服务器 监控实例类型：MySQL实例 1分钟 rds049diskreadthroughput 硬盘读吞吐量 该指标用于统计每秒从硬盘读取的字节数。 ≥ 0 bytes/s 测量对象：弹性云服务器 监控实例类型：MySQL实例 1分钟 rds050diskwritethroughput 硬盘写吞吐量 该指标用于统计每秒写入硬盘的字节数。 ≥ 0 bytes/s 测量对象：弹性云服务器 监控实例类型：MySQL实例 1分钟 rds051avgdisksecperread 硬盘读耗时（待废弃） 该指标用于统计某段时间平均每次读取硬盘所耗时间。 > 0ms 测量对象：弹性云服务器 监控实例类型：MySQL实例 1分钟 rds052avgdisksecperwrite 硬盘写耗时（待废弃） 该指标用于统计某段时间平均写入硬盘所耗时间。 > 0s 测量对象：弹性云服务器 监控实例类型：MySQL实例 1分钟 rds072connusage 连接数使用率 该指标用于统计当前已用的MySQL连接数占总连接数的百分比。 01 测量对象：弹性云服务器 监控实例类型：MySQL实例 1分钟 维度 Key Value rdsinstanceid MySQL实例ID

本章节主要介绍操作类问题中有关集群管理的问题。 如何查看所有集群？ MRS所有的集群都展示在“集群列表”页面中，进入“集群列表”页面，可查看所有集群。集群数量较多时，可采用翻页显示，您可以查看任何状态下的集群。 现有集群：包括除了“失败”和“已删除”状态以外的所有集群。 历史集群：仅包含“已删除”状态的集群，目前界面只显示6个月内创建且已删除的集群，若需要查看6个月以前删除的集群，请联系技术支持人员。 失败任务管理：仅包含“失败”状态的任务。 −集群创建失败的任务 −集群删除失败的任务 −集群扩容失败的任务 −集群缩容失败的任务 如何查看MRS服务的操作日志信息？ “操作日志”页面记录了用户对集群和作业的操作的日志信息。目前，MRS界面记录的日志信息分为以下几类： 集群操作 −创建集群、删除集群、扩容集群和缩容集群等操作 −创建目录、删除目录和删除文件等操作 作业操作：创建作业、停止作业和删除作业等操作 数据操作：IAM用户任务、新增用户、新增用户组等操作 记录用户操作的日志信息如下图所示： 日志信息 如何查看MRS集群配置信息？ 集群创建完成后在MRS控制台单击集群名称进入集群基本信息页面，可以查看到集群的基本配置信息。其中，节点的实例规格和容量决定了该集群对数据的分析处理能力。节点实例规格越高，容量越大，集群运行速度越快，分析处理能力越强，相应的成本也越高。 在基本信息页面，单击“前往Manager”，跳转至MRS集群管理页面。用户可在集群管理页面查看和处理告警信息、修改集群配置等。

本节介绍云等保专区产品的Web应用防火墙配置类问题。 Web应用防火墙如何进行接入配置？ 1. 用户登录到云等保专区后，在左侧导航树选择“Web应用防火墙”，进入Web应用防火墙原子能力，进行绑定弹性IP操作。 根据弹出的弹性IP地址列表，选择将要绑定弹性IP。 2. 选择Web应用防火墙部署模式，更多信息请参考《云等保专区Web应用防火墙用户使用指南》全局配置，在菜单栏中选择“配置 > 全局配置”进入全局配置页面，编辑相关信息，点击“保存”。 3. 添加保护站点，详细操作可查看《云等保专区Web应用防火墙用户使用指南》配置保护站点操作细则。 4. 配置防护策略，详细操作可查看《云等保专区Web应用防火墙用户使用指南》规则组和自定义规则。 5. 完成基础配置后，可通过以下步骤验证是否配置成功。 1. 使用客户端浏览器访问被保护对象，如基础配置保护站点中添加的保护站点为 2. 在浏览器中输入以下URL模拟SQL注入攻击： 3. 在菜单栏选择“日志+应用防护日志”，查看系统是否记录到SQL注入攻击事件，如存在，点击事件名称检查告警详细信息中记录的主机名和客户端IP地址与测试中使用的保护站点和客户端IP地址是否一致。如一致，说明已经完成web应用防火墙那个接入配置。

本小节介绍日志审计(原生版)使用限制。 在使用日志审计过程中，您需要了解日志审计（原生版）系统的使用限制。 数据接入前置条件 数据接入前，请务必在平台资产管理模块配置好数据采集的对象，尤其是ip地址信息和设备大类和小类信息。这将影响到数据的接收和数据的处理模板； 被采集对象的设备与平台网络可达； Syslog接收端口监听正常，平台服务运行正常； 在解析接入规则模块能找到被采集对象的设备类型解析模板。 告警产生前置条件 日志数据接入正常； 采集接入数据能找到对应设备解析模板，正常解析出关键字段信息； 告警规则配置逻辑正确； 告警规则配置的规则匹配字段信息有值且正确。 支持的设备类型 支持主机设备、网络设备、安全设备、应用系统、虚拟机、存储设备。 支持主机设备型号 设备子类 设备型号 windows系列 Win2000、win2003、xp等 unix&linux Linux系列、solaris8、solaris9等 Pc服务器 小型机 支持网络设备型号 设备子类 设备型号 交换机 Extreme、Juniper、神舟数码等 交换机/思科 100系列、200E系列、200系列、300系列、500系列、90系列、Catalyst2918系列、Catalyst2960CX系列等 交换机/华为 12800系列、16800系列、2350&5300&6300系列等 交换机/H3C S1000系列、S10500系列等 交换机/中兴 1000系列、2900E系列、2950系列等 路由器 Extreme、Juniper、神舟数码等 负载均衡设备器 F5、信安世纪、array

本章节主要介绍 Flink作业管理概述 。 在Flink作业管理页面可提交Flink作业。目前有以下作业类型： Flink SQL作业：使用SQL语句定义作业，可以提交到通用队列上。 Flink Jar作业：基于Flink API的自定义Jar包作业，可以运行在独享队列上。 Flink作业管理主要包括如下功能： Flink作业权限管理 创建Flink SQL作业 创建Flink Jar作业 调试Flink作业 编辑作业 启动作业 停止作业 删除作业 导出作业 导入作业 名称和描述修改 导入保存点 触发保存点 运行时配置 Flink作业详情 以及查看“使用指南”和“使用视频”。 委托权限设置 DLI执行Flink作业需要进行委托授权，可在第一次登录管理控制台时进行设置，也可在“全局配置”>“服务授权”中进行修改。 具体权限如下： Tenant Administrator(全局服务)：DLI Flink作业访问和使用OBS或者DWS数据源、日志转储（包括桶授权）、开启checkpoint、作业导入导出等，需要获得访问和使用OBS（对象存储服务）的Tenant Administrator权限。 说明 由于云服务缓存需要时间，该权限60分钟左右才能生效。 CloudTable Administrator：DLI Flink作业访问和使用CloudTable数据源，需要获得访问和使用CloudTable（表格存储服务）的CloudTable Administrator权限。 说明 由于云服务缓存需要时间，该权限3分钟左右才能生效。

此小节介绍云堡垒机功能特性。 产品提供标准版、企业版、高级版，不同版本支持的功能及差异如下： 产品功能 描述 标准版（一类节点） 企业版（一类节点） 高级版（二类节点） 部署方式 主备版 购买主备版后会创建两台堡垒机，通过双机热备机制，提升服务高可用性。 √ √ × 资产管理 主机管理 支持Windows、Linux操作系统的服务器资产管理 √ √ √ 资产管理 数据库管理 支持Mysql、PostgreSQL、Oracle等类型数据库资产管理及运维 × √ √ 资产管理 自动导入天翼云上ECS资产 支持自动导入账号下所拥有的天翼云上ECS资产 √ √ × 资产管理 应用管理 支持纳管应用服务器，并且可以直接纳管Chrome、IE、Firefox、SecBrowser等应用 × √ √ 资产管理 资产组管理 支持资产分组管理，按组管理资产，统一授权 √ √ √ 资产管理 资产账密管理 支持资产特权账号、密码集中加密存储和托管，运维整个过程不暴露资产账密 √ √ √ 资产管理 账户改密 支持预设策略，对一个或多个主机资源账户的密码进行手动、定时或周期性的修改 √ √ √ 用户管理 双因子认证 支持账密+手机令牌认证方式登录堡垒机 √ √ √ 用户管理 用户管理 统一管理运维访问用户、管理员、审计员，支持定义用户账号安全策略 √ √ √ 用户管理 用户组管理 支持用户分组管理，统一为分组内用户授权 √ √ √ 用户管理 账号安全策略 支持设置全局账号安全策略、密码策略 √ √ √ 授权管理 资产访问授权 支持设置用户、资产、资产账号的访问授权及管控 √ √ √ 授权管理 字符命令授权 支持对用户、用户组敏感命令的授权及管控 √ √ √ 授权管理 文件操作授权 支持对用户操作文件命令授权及管控 √ √ √ 授权管理 数据库授权 支持设置用户访问数据库授权及管控 × √ √ 资产运维 字符运维（SSH、Telnet） 支持Xshell、SecureCRT、Putty等客户端工具登录堡垒机运维资产 √ √ √ 资产运维 图形运维（RDP、VNC） 支持MSTSC、VNC等客户端工具登录堡垒机运维主机资产 √ √ √ 资产运维 文件运维（SFTP、FTP） 支持使用本地WinSCP、Filezila等SFTP客户端工具登录堡垒机进行文件运维 √ √ √ 资产运维 数据库运维 支持Navicat、DBeaver等客户端工具登录堡垒机进行数据库运维 × √ √ 资产运维 Web直接运维服务器 支持通过浏览器直接SSH运维字符资产和RDP图形资产 × √ √ 资产运维 资产访问运维免账密登录 支持通过堡垒机账密单点登录到主机资产，运维人员无需掌握服务器资产的账密 √ √ √ 运维管控 资产访问控制 支持对用户访问资产、协议、资产账号的访问管控，用户仅可运维自己已授权资产 √ √ √ 运维管控 运维命令管控 支持根据字符命令授权对用户允许和拒绝的操作命令进行管控，支持自定义常用命令组 √ √ √ 运维管控 文件操作控制 支持根据文件授权对用户文件操作进行管控，超出授权范围无法操作文件 √ √ √ 运维管控 自动运维 支持依照既定步骤自行执行命令和运维脚本，对多个目标进行自动化运维管理 × √ √ 工单管理 运维访问审批 运维用户在运维过程中，遇到需运维资源而无权限情况，可提交系统工单申请资源控制权限 √ √ √ 工单管理 运维命令审批 运维用户在运维过程中，遇到命令使用无权限情况，可提交系统工单申请资源字符使用权限 √ √ √ 审计 日志审计 支持对用户登录日志、系统管理操作日志进行审计 √ √ √ 审计 会话审计 支持对字符操作、图形运维、文件操作及传输、数据库运维产生的会话日志统一审计 √ √ √ 审计 文件传输审计 支持文件传输会话（ftp、sftp）、账号数据角色产生的文件管理操作、个人目录文件操作，支持文件操作记录查看 √ √ √ 审计 数据库审计 支持查看sql指令，会话详情 × √ √ 审计 审计录像及回放 支持对字符、图形运维操作全程审计录像及回放 √ √ √

本页介绍天翼云TeleDB数据库数据迁移任务相关操作。 功能概览 数据传输服务支持多种数据源之间的数据迁移，不同数据库的支持情况如下： 源库类型及版本 目标库类型及版本 迁移类型 MYSQL 5.7, 8.0 TELEDB 结构迁移 全量迁移 增量迁移 POSTGRESQL 12, 13, 14, 15 TELEDB 结构迁移 全量迁移 增量迁移 Oracle 12c, 19c, 21c TELEDB 结构迁移 全量迁移 增量迁移 模块架构 管理服务：用户在DCP平台开通DTS实例后，可通过DTS的管理服务来配置一个数据迁移任务，并进行数据迁移任务管理。 核心配置集群：存储迁移任务的核心状态、监控信息。 元数据库：存储配置好的数据迁移任务的元数据信息，例如源库连接地址、目标库连接地址等。 执行模块+迁移模块（工作节点）：用户配置好迁移任务后，由执行模块进行具体的数据迁移工作。数据迁移完成后，由稽核模块进行数据校验。一个管理服务可以管理多个工作节点。 DTS数据迁移提供多种迁移类型：结构对象迁移、全量数据迁移及增量数据迁移。如果需要实现不停服务迁移，需要选择结构对象迁移、全量数据迁移和增量数据迁移。 全量数据迁移过程持续较久，在这个过程中，源实例不断有业务写入，为保证迁移数据的一致性，在全量数据迁移之前，会记录当前源实例的日志位点，存储在本地数据库中。 当全量数据迁移完成后，DTS会启动增量日志回放模块，增量日志回放模块会从增量日志读取模块中获取增量数据，经过反解析、过滤、封装后迁移到目标实例，从而实现增量数据迁移。

此小节介绍云堡垒机数据库审计。 审计对象为授权的资产数据角色在本地初始化访问方式产生的数据库会话，支持查看sql指令，会话详情。 操作步骤 1.管理员登录并切换至“审计角色”，在左侧导航栏选择“会话日志 > 数据库审计”。 2.可直接查看数据库审计的相关内容。

本节介绍防护规则页面的参数信息和防护规则的编辑、复制、删除操作。 其中复制操作生成的新防护规则“优先级”默认为“1”（优先级最高）。 查看防护规则 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 访问策略管理”，进入“访问策略管理”页面，根据需要选择“互联网边界”或“VPC边界”页签。 参数名称 参数说明 优先级 当前规则的优先级别。 说明 数字越小策略的优先级越高。 名称/规则ID 自定义规则名称和ID。 规则类型 当前规则的防护类型，支持EIP规则和NAT规则。 方向 防护规则的流量方向。 源 访问流量中的会话发起方。 目的 访问流量中的会话接收方。 服务 协议类型当前支持：TCP、UDP、ICMP、Any。 源端口：当前开放或限制的源端口号。支持单个端口，或者连续端口组，中间使用“”隔开，如：80443。 目的端口：当前开放或限制的目的端口号。 支持单个端口，或者连续端口组，中间使用“”隔开，如：80443。 应用 访问流量中的应用类型。 动作 “放行”：设置相应流量通过防火墙。 “阻断”：阻止相应流量通过防火墙。 命中次数 当前规则已放行或阻断的累计命中次数（距上一次清零前），命中详情请参见[访问控制日志](

Nacossdkgo Nacossdkgo是Nacos的Go语言客户端，它实现了服务发现和动态配置的功能 使用限制 支持Go>v1.15版本 支持Nacos>2.x版本 安装 安装开源SDK go get github.com/nacosgroup/nacossdkgo/v2 快速使用 ClientConfig constant.ClientConfig{ TimeoutMs uint64 // 请求Nacos服务端的超时时间，默认是10000ms NamespaceId string // ACM的命名空间Id CacheDir string // 缓存service信息的目录，默认是当前运行目录 UpdateThreadNum int // 监听service变化的并发数，默认20 NotLoadCacheAtStart bool // 在启动的时候不读取缓存在CacheDir的service信息 UpdateCacheWhenEmpty bool // 当service返回的实例列表为空时，不更新缓存，用于推空保护 Username string // Nacos服务端的API鉴权Username Password string // Nacos服务端的API鉴权Password LogDir string // 日志存储路径 RotateTime string // 日志轮转周期，比如：30m, 1h, 24h, 默认是24h MaxAge int64 // 日志最大文件数，默认3 LogLevel string // 日志默认级别，值必须是：debug,info,warn,error，默认值是info } ServerConfig constant.ServerConfig{ ContextPath string // Nacos的ContextPath，默认/nacos，在2.0中不需要设置 IpAddr string // Nacos的服务地址 Port uint64 // Nacos的服务端口 Scheme string // Nacos的服务地址前缀，默认http，在2.0中不需要设置 GrpcPort uint64 // Nacos的 grpc 服务端口, 默认为 服务端口+1000, 不是必填 } 我们可以配置多个ServerConfig，客户端会对这些服务端做轮询请求 服务发现 注销实例：DeregisterInstance success, err : namingClient.DeregisterInstance(vo.DeregisterInstanceParam{ Ip: "${ipAddr}", Port: 8848, ServiceName: "demo.go", Ephemeral: true, Cluster: "clustera", // 默认值DEFAULT GroupName: "groupa", // 默认值DEFAULTGROUP }) 获取服务信息：GetService services, err : namingClient.GetService(vo.GetServiceParam{ ServiceName: "demo.go", Clusters: []string{"clustera"}, // 默认值DEFAULT GroupName: "groupa", // 默认值DEFAULTGROUP }) 获取所有的实例列表：SelectAllInstances services, err : namingClient.GetService(vo.GetServiceParam{ ServiceName: "demo.go", Clusters: []string{"DEFAULT"}, // 默认值 GroupName: "groupa", // 默认值DEFAULTGROUP }) 获取实例列表 ：SelectInstances // SelectInstances 只返回满足这些条件的实例列表：healthy${HealthyOnly},enabletrue 和weight>0 instances, err : namingClient.SelectInstances(vo.SelectInstancesParam{ ServiceName: "demo.go", GroupName: "groupa", // 默认值DEFAULTGROUP Clusters: []string{"clustera"}, // 默认值DEFAULT HealthyOnly: true, }) 获取一个健康的实例（加权随机轮询）：SelectOneHealthyInstance // SelectOneHealthyInstance将会按加权随机轮询的负载均衡策略返回一个健康的实例 // 实例必须满足的条件：healthtrue,enabletrue and weight>0 instance, err : namingClient.SelectOneHealthyInstance(vo.SelectOneHealthInstanceParam{ ServiceName: "demo.go", GroupName: "groupa", // 默认值DEFAULTGROUP Clusters: []string{"clustera"}, // 默认值DEFAULT }) 监听服务变化：Subscribe // Subscribe keyserviceName+groupName+cluster // 注意:我们可以在相同的key添加多个SubscribeCallback. err : namingClient.Subscribe(vo.SubscribeParam{ ServiceName: "rccdemo", GroupName: "DEFAULTGROUP", // 默认值DEFAULTGROUP Clusters: []string{"clustera"}, // 默认值DEFAULT SubscribeCallback: func(services []model.Instance, err error) { log.Printf("nn callback return services:%s nn", utils.ToJsonString(services)) }, })

检查网络是否异常 4.联系系统管理员，检查网络是否存在异常。 是，恢复网络故障，执行步骤5。 否，执行步骤6。 5.等待5分钟，检查该告警是否恢复。 是，处理完毕。 否，执行步骤6。 收集故障信息 6.在主集群的FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 7.在“服务”中勾选“OMS”，单击“确定”。 8.设置“主机”为告警所在节点和主OMS节点。 9.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后30分钟，单击“下载”。 10.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

检查网络是否异常 4.联系系统管理员，检查网络是否存在异常。 是，恢复网络故障，执行步骤5。 否，执行步骤6。 5.等待5分钟，检查该告警是否恢复。 是，处理完毕。 否，执行步骤6。 收集故障信息 6.在主集群的FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 7.在“服务”中勾选“OMS”，单击“确定”。 8.设置“主机”为告警所在节点和主OMS节点。 9.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后30分钟，单击“下载”。 10.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本章节为您介绍告警日志的相关内容 当系统检测到违反安全策略或预定义规则的行为时，会生成对应等级的告警日志 ，以警示用户可能面临的安全隐患。 为了增强查询的便捷性和效率 ，系统还支持根据时间、特定字段、告警等级以及规则名称等多种条件进行精确筛选 ，确保用户能够迅速定位并处理潜在的安全风险。 检索告警日志 1.在左侧菜单栏选择“查询分析 > 告警日志”进入告警日志页面。 2.设置查询条件（如时间范围、资产、操 作类型等） ，单击“搜索”即可查询相关告警日志。 3.可单击查询条件下方的“更多条件”，在更多条件对话框中勾选需要的查询条件 ，单击“确认”即可添 加相应的查询条件 ，单击“恢复默认”可以恢复至默认查询条件。 查看告警日志详情 1.在左侧菜单栏选择“查询分析 > 告警日志”进入告警日志页面。 2.在告警日志列表中，单击日志条目右侧的“详情”可以查看该告警记录的详细信息，包括告警记录的基本信息、客户端信息、服务端信息、 请求详情、返回详情。 3.单击告警日志详情窗口右下角的“上一条”或“下一条”可切换查看临近的告警日志。 4.在日志详细中 ，单击“取证”即可弹出下载框 ，等待文件生成成功后 ，单击“下载”即可下载.png 图片格式的告警日志详情文件。

本节主要介绍慢SQL。 该模块提供指定时间段内的慢SQL分析功能。从用户、IP、SQL模板等进行多维统计，展示统计结果并支持指定排序，识别慢SQL的精准来源，方便用户快速优化业务。 查看慢日志 1、登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 单击页面左上角的，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 选择目标实例，单击“详情”，进入DBA智能运维总览页面。 单击“慢SQL”，进入慢日志页面。 选择需要查看的时间段，查看该时间段内慢日志趋势、慢日志统计和慢日志明细。 慢日志趋势 在慢日志趋势图中单击某个时间点，查看该时间点的慢日志。 慢日志明细 在慢SQL页面下方查看慢日志明细。慢日志明细提供了当前时间段的慢日志详情，包含执行时间、SQL语句、库名、客户端、用户、执行耗时、锁等待耗时、扫描行、返回行等信息。 单击导出，将慢日志明细导出到指定OBS进行存储。慢日志明细导出成功后，可以单击“查看导出列表”，查看慢日志明细导出记录，也可以通过下载将慢日志明细下载到本地进行查看。 说明 导出及查看导出列表功能仅支持付费实例使用，免费实例暂不支持。 慢日志统计 单击SQL模板操作列的“样本”，查看当前SQL模板的样本信息 。 在慢日志统计页面，单击“导出”将慢日志导出到指定的OBS进行存储。慢日志导出成功后，可以单击“查看导出列表”，查看慢日志导出记录，也可以通过下载将慢日志下载到本地进行查看。 说明 导出及查看导出列表功能仅支持付费实例使用，免费实例暂不支持。

本文介绍了RDSPostgreSQL产品的为客户节省成本的优势，主要体现为：即开即用、弹性伸缩、全面兼容、可视化运维。 即开即用 RDSPostgreSQL是天翼云提供的一项优质服务，您不需要自行搭建和配置环境，仅需通过官网控制台快速生成目标实例，通过内网连接RDSPostgreSQL能够有效节省公网流量并降低响应时间，服务提供图形化操作界面，能够提高运维效率。 弹性伸缩 您可以根据业务情况对数据库实例资源进行弹性伸缩，按需计费，帮助您有效节省成本。配合监控信息监测数据库压力和数据存储量的变化，您可以灵活调整实例规格和存储空间。具体支持变更实例规格方式可查看规格变更。 全面兼容 无需再次学习，RDSPostgreSQL支持各种原生PostgreSQL数据库引擎的操作方法，让您能够快速上手。此外，RDSPostgreSQL还兼容现有的程序和工具，您不必担心兼容性问题。 可视化运维 RDSPostgreSQL提供了全面的日常维护和管理，包括软硬件故障处理等工作，确保数据库运转正常。专业的数据库管理控制平台，提供一键式的功能，如重启、重置密码、参数修改、查看错误日志和慢查询日志、数据备份恢复等。此外，云服务能够实时监控实例的CPU利用率、TPS/QPS、连接数、磁盘空间等，帮助您随时了解实例的动态情况。 注意 不同资源池支持能力不同，具体详见

本章节为您介绍审计日志的相关内容。 当系统根据既定配置成功捕获到客户端的访问行为时，它会详尽地记录审计日志。这些日志为用户提供了一个全面的视角，以查看所有触发审计的 SQL语句的详细信息。 为了方便您快速定位和分析，数据库安全网关支持在审计日志页面根据时间范围、客户端 IP、数据库账号、报文内容等多个维度进行灵活的筛选操作，从而确保用户能够迅速获取所需的关键信息。 检索审计日志 1.在左侧菜单栏选择“查询分析 > 审计日志”进入审计日志页面。 2.设置查询条件（如时间范围、资产、操 作类型等） ，单击“搜索”即可查询相关审计日志。 3.可单击查询条件下方的“更多条件”，在更多条件对话框中勾选需要的查询条件 ，单击“确认”即可添 加相应的查询条件 ，单击“恢复默认”可以恢复至默认查询条件。 查看审计日志详情 1.在左侧菜单栏选择“查询分析 > 审计日志”进入审计日志页面。 2.在审计日志列表中，单击日志条目右侧的“详情”可以查看该审计记录的详细信息，包括审计记录的基本信息、客户端信息、服务端信息、 请求详情、返回详情。 3.单击审计日志详情窗口右下角的“上一条”或“下一条”可切换查看临近的审计日志。 4.在日志详细中 ，单击“取证”即可弹出下载框 ，等待文件生成成功后 ，单击“下载”即可下载.png 图片格式的审计日志详情文件。

本节主要介绍迁移服务器上的基础服务命令。 ./stor server set { i item } service { n server } SERVERID destserver DESTSERVERID migrate SERVICE [ metadir METADIR ] 此命令用来迁移HBlock服务器上的基础服务，包括：mdm（元数据管理服务）、ls（日志服务）、cs（协调服务）。 应用场景：基础服务所在的服务器出现损坏、宕机等时，为了不影响HBlock服务，可以迁移服务器上的基础服务。 说明 可以通过命令行./stor server ls { n server } SERVERID查询基础服务的状态。一次只能迁移一个基础服务，如果有正在迁移的基础服务进程，必须等待迁移完成，才可以执行其他服务迁移操作。 注意 迁移ls服务的时候，要确保两个mdm服务和其他两个ls服务都是up状态，除了源服务器之外的所有的其他节点的ms服务（管理服务）正常，服务状态可以通过查询服务器命令获取。 迁移mdm服务的时候，要确保另一个mdm服务是up，除了源服务器之外的所有的其他节点的ps服务（协议解析服务）和ms服务（管理服务）正常，服务状态可以通过查询服务器命令获取。 迁移cs服务的时候，要确保其他两个cs服务都up，除了源服务器之外的所有的其他节点的ps服务（协议解析服务）和ms服务（管理服务）正常，服务状态可以通过查询服务器命令获取。 参数 参数 描述 i service 或 item service 迁移服务器上的基础服务。 n SERVERID 或 server SERVERID 源HBlock服务器的ID。 destserver DESTSERVERID 目的服务器ID。 migrate SERVICE 需要迁移的基础服务。 取值： mdm：元数据管理服务。 ls：日志服务。 cs：协调服务。 metadir METADIR 迁移服务的数据目录，用于存储基础服务的相关数据信息。 说明 为了提升读写性能，建议各基础服务的数据目录、安装目录、存储数据的数据目录相互独立。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。

实际场景举例 如：每天大概有500GB的日志数据写入，日志数据需要在线保存7天。根据存储容量规划公式，500GB的原始数据需要1500GB的磁盘空间。7天就是10TB。16 核 64G的数据节点单节点磁盘最大容量（日志）为2TB，所以需要购买5台规格为16 核 64G+2TB存储的Elasticsearch/OpenSearch实例。 规划节点类型 在订购天翼云云搜索服务时，正确规划集群节点类型非常重要。 目前天翼云云搜索服务支持数据节点、专属master节点、专属协调节点、冷数据节点四种节点类型。 数据节点 数据节点就是Elasticsearch/OpenSearch的data节点。数据节点是实例的核心数据存储和计算单元，负责分片存储、索引/搜索执行、聚合计算等基础操作。如果没有购买专属master节点，数据节点也会承担master节点的工作。 专属master节点 专属master节点负责集群元数据管理、分片分配、节点状态监控等核心控制任务，不存储数据。 部署必要性 小型实例（≤10节点）：可不单独配置Master节点，由普通节点兼任。 中大型集群实例：必须独立部署，避免元数据操作与数据计算争抢资源导致性能抖动。 高可用配置 数量要求：至少3个且为奇数，防止单点故障和脑裂问题。 规格建议：选择低配机型（如 esearch4c16g），因其不参与数据计算，资源消耗较低。 专属协调节点 接收用户请求并分发至数据节点，汇总结果返回客户端，缓解数据节点的负载压力。