告警记录展示分组下所有告警规则的告警记录。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 单击“服务列表 > 云监控服务”。 4. 单击页面左侧的“资源分组”，进入“资源分组”页面。 5. 单击资源分组列表中的其中一个分组名，进入分组资源概览界面。 6. 单击左侧导航栏的“告警记录”，即可展示该资源分组下的全部告警记录。

本小节介绍域名无忧实例列表。 收到申请创建成功的通知后，重新登录天翼云控制中心下的域名无忧，点击【实例列表】菜单， 页面显示客户购买的域名无忧实例。 防护实例展示了实例ID、产品类型、服务内容、监控域名、已使用、剩余可用、购买时间，到期时间以及操作。 参数 说明 实例ID 公测申请成功后系统自动分配实例ID，实例ID支持重命名。 产品类型 分为标准版和高级版。 标准版：域名30分钟监控轮询周期，域名快速刷新，5分钟恢复。 高级版：域名10分钟监控轮询周期，域名快速刷新，1分钟恢复。 服务内容 购买的内容，包括自选订购内容及套餐订购内容。 监控域名 显示监控的域名。 已使用 显示已经使用购买的服务。 剩余可用 显示剩余购买的服务。 购买时间 实例购买的时间。 到期时间 实例到期时间。 操作 续订，点击续订转跳至续订页面，选择续订时间，生成订单续订成功后，到期时间延长。 退订，点击退订转跳至退订页面，点击确认退订。

本章节主要介绍修改OMS数据库数据访问用户密码。 操作场景 该任务指导用户定期修改OMS数据库访问用户的密码，以提升系统运维安全性。 对系统的影响 修改密码需要重启OMS服务，服务在重启时无法访问。 操作步骤 在MRS Manager单击“系统设置”。 1. 在“权限配置”区域下，单击“OMS数据库密码修改”。 2. 在omm用户所在行，单击“操作”列下的“修改密码”，修改OMS数据库密码。 密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@$%^&()+[{}];:", /?中的3种类型字符。 不能与用户名或倒序的用户名相同。 不可与前20个历史密码相同。 3. 单击“确定”，等待界面提示“操作成功”后单击“完成”。 4. 在omm用户所在行，单击“操作”列下的“重启OMS服务”，重启OMS数据库。 说明 如果修改了密码但未重启OMS数据库，则omm用户的状态变为“Waiting to restart”且无法再修改密码，直到重启OMS数据库 5. 在弹出的对话框中，勾选“我已阅读此信息并了解其影响。”，单击“确定”，重新启动OMS服务。

本小节介绍漏洞扫描术语解释。 漏洞扫描服务 漏洞扫描服务是针对服务器进行漏洞扫描的一种安全检测服务。 扫描器 扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速准确地发现扫描目标存在的漏洞并提供给使用者扫描结果。 漏洞库 包含各种已知漏洞信息的大型数据库，用于查找和识别系统中存在的漏洞。 弱口令 密码强度低，或广泛被使用，容易被攻击者破解的口令。 开放端口（SYN扫描） 端口扫描是计算机入侵者常用的一种漏洞发现方式，攻击者可以通过它了解到主机攻击弱点，一个开放端口就是一个潜在的通信通道，也就是一个入侵通道。 弱口令检测 通过弱口令字典，检测用户SSH、RDP等服务是否使用了弱密码，及时更改弱口令有效防备暴力破解入侵。 配置脆弱性检测 配置脆弱性检测也就是基线检查，针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备的最低安全配置要求，则该最低安全配置要求就称为安全基线。

本章节主要介绍ALM14017 NameNode直接内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测HDFS服务直接内存使用状态，当检测到NameNode实例直接内存使用率超出阈值（最大内存的90%）时，产生该告警。 直接内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 14017 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 NameNode可用直接内存不足，可能会造成内存溢出导致服务崩溃。 可能原因 该节点NameNode实例直接内存使用率过大，或配置的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，单击告警“ALM14017 NameNode直接内存使用率超过阈值”所在行的下拉菜单，在“定位信息”中查看告警上报的角色名并确定实例的IP地址。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 实例 > NameNode（对应上报告警实例IP地址）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“NameNode内存使用详情”。查看直接内存使用情况。 3.查看NameNode使用的直接内存是否已达到NameNode设定的最大直接内存的90%(默认阈值)。 是，执行步骤4。 否，执行步骤8。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 配置 > NameNode > 全部配置”。查看“GCOPTS”参数中是否存在“XX:MaxDirectMemorySize”。 是，执行步骤5。 否，执行步骤6。 5.在“GCOPTS”中把参数“XX:MaxDirectMemorySize”删除。保存配置，并重启NameNode实例。 6.查看告警信息，是否存在告警“ALM14007 NameNode堆内存使用率超过阈值”。 是，查看“ALM14007 NameNode堆内存使用率超过阈值”进行处理。 否，执行步骤7。 7.观察界面告警是否清除。 是，处理完毕。 否，执行步骤8。

本文介绍弹性文件服务安全文件系统加密方面的内容。 在创建文件系统时可以根据实际需要选择是否开启加密服务，无须授权，选择开启即可对新创建的文件系统进行加密。 加密文件系统使用的是密钥管理服务（KMS）提供的密钥，无需您自行构建和维护密钥管理基础设施，安全便捷。 当用户希望使用自己的密钥材料时，可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥，并将自己的密钥材料导入该用户主密钥中。 文件系统加密具体操作步骤请参见加密。

本文介绍弹性文件服务安全文件系统加密方面的内容。 在创建文件系统时可以根据实际需要选择是否开启加密服务，无须授权，选择开启即可对新创建的文件系统进行加密。 加密文件系统使用的是密钥管理服务（KMS）提供的密钥，无需您自行构建和维护密钥管理基础设施，安全便捷。 当用户希望使用自己的密钥材料时，可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥，并将自己的密钥材料导入该用户主密钥中。 文件系统加密具体操作步骤请参见加密。

参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Failed Volumes 故障的磁盘列表。

本文为您介绍统一身份认证服务的权限配置管理方式 基本介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限，具体介绍说明详见：产品定义。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素左作用（Effect）、权限集（Action）等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略： 系统策略 ：预置的系统策略，您只能使用不能修改。云间高速EC相关的系统策略包含如下： EC Admin：云间高速服务的管理者权限，包含云间高速所有控制权限； EC Viewer：云间高速服务的观察者权限，包含云间高速服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，具体配置说明详见：创建自定义策略。

本章节主要介绍数据湖探索（DLI）如何创建用户并授权使用。 如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DLI服务的其它功能。 本章节介绍创建IAM用户并授权使用DLI的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您先了解用户组可以添加的DLI权限，并结合实际需求进行选择。DLI支持的系统权限，请参见权限管理概述章节中的“DLI系统权限”。 示例流程 给用户授权DLI权限流程 1.创建用户组并授权。 在IAM控制台创建用户组，并授予DLI服务普通用户权限“DLI ReadOnlyAccess”。 2.创建用户并加入用户组。 在IAM控制台创建用户，并将其加入1中创建的用户组。 3.用户登录并验证权限。 使用新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择数据湖探索，进入DLI主界面。如果在“队列管理”页面可以查看队列列表，但是单击右上角“购买队列”，无法购买DLI队列（假设当前权限仅包含DLI ReadOnlyAccess），表示“DLI ReadOnlyAccess”已生效。 在“服务列表”中选择除数据湖探索外（假设当前策略仅包含DLI ReadOnlyAccess）的任一服务，若提示权限不足，表示“DLI ReadOnlyAccess”已生效。如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。

本节为您介绍对用户授权的方法 如果您需要对您所拥有的ServiceStage进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）。通过IAM，您可以： 据企业的业务组织，在您的云服务帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用ServiceStage资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将ServiceStage资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用ServiceStage服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的ServiceStage权限，并结合实际需求进行选择。ServiceStage支持的系统权限，请参见权限管理。 示例流程 图 给用户授权ServiceStage权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予ServiceStage“ServiceStage ReadOnlyAccess”权限。 2. 创建用户 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，验证ServiceStage的只读权限。 在“服务列表”中选择“微服务云应用平台 ServiceStage”，进入“应用管理 > 应用列表”，单击“创建应用”，若提示权限不足，表示“ServiceStage ReadOnlyAccess”已生效。 在“服务列表”中选择除ServiceStage外的任一服务，若提示权限不足，表示“ServiceStage ReadOnlyAccess”已生效。

参数 说明 使用场景 虚拟私有云表示虚拟私有云中的云主机将通过DNAT的方式共享弹性IP，为公网提供服务。 云专线表示通过云专线方式接入虚拟私有云的本地数据中心中的服务器，将通过DNAT的方式为公网提供服务。 端口类型 分为所有端口和具体端口两种类型。 所有端口：属于IP映射方式。 此方式相当于为云主机配置了一个弹性IP，任何访问该弹性IP的请求都将转发到目标云服务器实例上。 具体端口：属于端口映射方式。 公网NAT网关会将以指定协议和端口访问该弹性IP的请求转发到目标云主机实例的指定端口上。 支持协议 协议类型分为TCP和UDP两种类型。端口类型为具体端口时，可配置此参数，端口类型为所有端口时， 此参数默认设置为All。 弹性IP 弹性IP地址。这里只能选择没有被绑定的弹性IP， 或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性IP， 或者被绑定到当前公网NAT网关中SNAT规则上的弹性IP。 公网端口 弹性IP的端口。当端口类型为具体端口时，需要配置此参数，有效数值为165535。 公网端口为具体的数值，例如80。 私网IP 当使用场景为虚拟私有云时，指云主机的IP地址。表示此IP地址的云主机将通过DNAT方式为公网提供服务。 当使用场景为云专线时，指用户本地数据中心中服务器的IP地址或者用户的私有IP地址。 表示通过云专线接入到虚拟私有云的本地数据中心端的此私有IP服务器，可以通过DNAT方式为公网提供服务。 端口类型为具体端口时，需要配置私网IP的端口。 私网端口 在使用DNAT为云主机面向公网提供服务场景下，指云主机的端口号。 当端口类型为具体端口时，需要配置此参数，有效数值为165535。私网端口为具体的数值，例如80。

本节介绍了微服务应用平台MSAP的计费类常见问题 微服务云应用平台是否收费？ 微服务云应用平台自身系统是免费的，但不包含用户自行开通的laaS层资源、中间件资源的费用，具体费用请参考各产品计费文档。 关联产品 计费说明链接 微服务引擎微服务治理中心 计费说明 云容器引擎 计费说明 应用性能监控APM 计费说明 云日志服务ALS 计费说明 容器镜像服务 计费说明 微服务引擎注册配置中心 计费说明

什么是配额？ 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少台弹性云服务器、多少块云硬盘。 如果当前资源配额限制无法满足使用需要，您可以申请扩大配额。 怎样查看我的配额？ 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 在页面右上角，单击 “我的配额”。系统进入“服务配额”页面。 我的配额 4. 您可以在“服务配额”页面，查看各项资源的总配额、及使用情况。 如果当前配额不能满足业务要求，请单击“申请扩大配额”。 如何申请扩大配额？ 1. 登录管理控制台。 2. 在页面右上角，单击“我的配额”。系统进入“服务配额”页面。 3. 单击“申请扩大配额”。 4. 在“新建工单”页面提交工单，根据您的需求，填写相关参数。其中，“问题描述”项请填写需要调整的内容和申请原因。 5. 填写完毕后，勾选协议并单击“提交”。

本小节主要介绍态势感知与其他云服务之间的关系。 与安全服务的关系 态势感知（专业版）从主机安全（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）等安全防护服务中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 与弹性云服务器的关系 态势感知（专业版）为弹性云服务器（Elastic Cloud Server，ECS）提供资产安全管理服务，结合HSS主机防护状态，全方位呈现当前ECS安全风险态势，并提供相应防护建议。

本章主要介绍创建并使用签名密钥。 操作场景 签名密钥用于后端服务验证API网关的身份，在API网关请求后端服务时，保障后端服务的安全。 签名密钥是由一对Key和Secret组成，签名密钥需要绑定到API才能生效。当签名密钥绑定API后，API网关向后端服务发送此API的请求时，会增加相应的签名信息，此时需要后端服务依照同样方式进行签名，通过比对签名结果和API网关传过来的Authorization头中签名是否一致来校验API的合法性。 说明 每个用户最多创建30个签名密钥。 同一个环境中一个API只能被一个签名密钥绑定，一个签名密钥可以绑定多个API。 使用流程 1. 在控制台创建签名密钥。 2. 将新创建的签名密钥绑定API。 3. API网关将签名后的请求发送到后端服务，此时Authorization头中包含签名信息。后端服务通过不同的开发语言（例如Java、Go、Python、JavaScript、C 、PHP、C++、C、Android等）进行签名，比对签名结果和API网关传过来的Authorization头中签名是否一致来校验API的合法性。 图 签名密钥流程图 创建签名密钥 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API策略”。 步骤 4 在“策略管理”页面，单击“创建策略”。 步骤 5 选择策略类型，单击“签名密钥”，弹出“创建密钥”对话框。 步骤 6 填写如表 所示信息。 表 密钥信息 信息项 描述 密钥名称 自定义名称，用于识别不同的密钥。 类型 选择签名密钥的认证类型，可选择“HMAC”、“Basic Auth”、“AES”。 签名算法 选择aes的签名算法，包含以下两种： l aes128cfb l aes256cfb Key 根据选择的密钥类型，填写不同的密钥信息。 l HMAC：填写APP认证所使用密钥对的Key。 l Basic Auth：填写basic认证所使用的用户名。 l aes：填写aes认证所使用的密钥key。 l Public Key：填写publickey认证所使用的公钥。 Secret 根据选择的密钥类型，填写不同的密钥信息。 l HMAC：填写APP认证所使用密钥对的Secret。 l Basic Auth：填写basic认证所使用的密码。 l aes：填写aes认证所使用的向量。 l Public Key：填写Public Key认证所使用的私钥。 确认Secret 填写与Secret一致的值。 步骤 7 单击“确定”，完成密钥的创建。

本章节主要介绍翼MapReduce的FusionInsight Manager操作。 概述 MRS为用户提供海量数据的管理及分析功能，快速从结构化和非结构化的海量数据中挖掘您所需要的价值数据。开源组件结构复杂，安装、配置、管理过程费时费力，使用FusionInsight Manager将为您提供企业级的集群的统一管理平台： 提供集群状态的监控功能，您能快速掌握服务及主机的运行状态。 提供图形化的指标监控及定制，您能及时的获取系统的关键信息。 提供服务属性的配置功能，满足您实际业务的性能需求。 提供集群、服务、角色实例的操作功能，满足您一键启停等操作需求。 提供权限管理及审计功能，您能设置访问控制及管理操作日志。 浏览器支持能力 Google Chrome 推荐使用Google Chrome 93～95版本。 Microsoft Edge 支持Windows 10系统自带的Microsoft Edge浏览器。 说明 推荐使用Windows平台的浏览器访问FusionInsight Manager。 系统界面简介 FusionInsight Manager提供统一的集群管理平台，帮助您快捷、直观的完成集群的运行维护。 详见下图：FusionInsight Manager系统界面 界面最上方为操作栏，中部为显示区，最下方为任务栏。 操作栏各操作入口的详细功能如下表所示。 界面操作入口功能描述 入口 功能描述 主页 提供柱状图、折线图、表格等多种图表方式展示集群的主要监控指标、主机的状态统计。您可以定制关键监控信息面板，并拖动到任意位置。系统概览支持数据自动刷新，请参见主页。 集群 提供各集群内服务监控、服务操作向导以及服务配置，帮助您对服务进行统一管理。请参见集群管理。 主机 提供主机监控、主机操作向导，帮助您对主机进行统一管理。请参见主机。 运维 提供告警查询、告警处理指导功能。帮助您及时发现产品故障及潜在隐患，并进行定位排除，以保证系统正常运行。请参见运维。 审计 提供审计日志查询及导出功能。帮助您查阅所有用户活动及操作。请参见审计。 租户资源 提供统一租户管理平台。请参见租户资源。 系统 提供对FusionInsight Manager的系统管理设置，例如用户权限设置。请参见系统设置。

操作（Action） 操作（Action） 说明 cce::get cce:cluster:get 查询集群详情 cce::get cce:node:get 查询节点详情 cce::get cce:job:get 查询任务详情（集群层面的job） cce::get cce:addonInstance:get 获取插件实例 cce::get cce:addonTemplate:get 获取插件模板 cce::get cce:chart:get 获取模板信息 cce::get cce:nodepool:get 获取节点池 cce::get cce:release:get 获取模板实例信息 cce::get cce:userAuthorization:get 获取CCE用户授权 cce::list cce:cluster:list 查询集群列表 cce::list cce:node:list 查询节点列表 cce::list cce:job:list 查询任务列表（集群层面的job） cce::list cce:addonInstance:list 列出所有插件实例 cce::list cce:addonTemplate:list 列出所有插件模板 cce::list cce:chart:list 列出所有模板 cce::list cce:nodepool:list 列出集群的所有节点池 cce::list cce:release:list 列出所有模板实例 cce::list cce:storage:list 列出所有磁盘 cce:kubernetes: 操作所有kubernetes资源，具体权限请在15.3 命名空间权限中配置。 ecs::get ECS（弹性云主机）所有资源详情的查看权限。 CCE中的一个节点就是具有多个云硬盘的一台弹性云主机 ecs::list ECS（弹性云主机）所有资源列表的查看权限。 evs::get 云硬盘所有资源详情的查看权限。可以将云硬盘挂载到云服务器，并可以随时扩容云硬盘容量 evs::list 云硬盘所有资源列表的查看权限。 evs::count vpc::get VPC（虚拟私有云，包含二代ELB）所有资源详情的查看权限。 创建的集群需要运行在虚拟私有云中，创建命名空间时，需要创建或关联VPC，创建在命名空间的容器都运行在VPC之内 vpc::list VPC（虚拟私有云，包含二代ELB）所有资源列表的查看权限。 sfs::get SFS（弹性文件服务）服务所有资源详情的查看权限。 sfs:shares:ShareAction SFS（弹性文件服务）资源的扩容共享。 aom::get AOM（应用运维管理）服务所有资源详情的查看权限。 aom::list AOM（应用运维管理）服务所有资源列表的查看权限。 aom:autoScalingRule: AOM（应用运维管理）服务自动扩缩容规则的所有操作权限。

本章节主要介绍下线/删除API。 操作场景 已发布的API因为其他原因需要停止对外提供服务，可以将API从相关环境中下线，相关操作请参见下线API。 下线后的API如果要继续使用，需要重新进行发布操作，但需注意下线API不会保留原有的授权信息。 下线后的API如果确认不再提供服务，可以将API删除，相关操作请参见删除API。 说明 下线API不会保留原有的授权信息。 下线将导致此API在指定的时间无法被访问，请确保已经告知使用此API的用户。 删除API导致此API无法恢复，请确认后谨慎操作。 前提条件 已创建API。 API已发布到该环境。 下线API 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据服务”模块，进入数据服务页面。 详见下图： 选择数据服务 2.在左侧导航栏选择服务版本（例如：专享版），进入总览页。 3.单击“开发API > API管理”，进入到API管理信息页面。 4.在待下线的API所在行，单击“更多 >下线”，弹出“下线API”对话框。 5.选择API需要下线的时间，单击“确定”，完成API定时下线。 删除API 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据服务”模块，进入数据服务页面。 详见下图： 选择数据服务 2.在左侧导航栏选择服务版本（例如：专享版），进入总览页。 3.在左侧选择“API目录”，进入API列表页，勾选需要删除的API，单击“删除”。 4.单击“确定”，完成API删除。 说明 如果需要批量删除API，则勾选待删除的API，单击“删除”。最多同时删除1000个API。

名词解释 端云协同：客户端软件与天翼云服务（数据库安全管控服务和大模型服务）协同工作，实现的数据库管理安全性和智能化的跃升 实例模式：DMS客户端支持个人 和智护两种实例模式，用户在录入数据库实例时可按需选择。 个人模式与传统DBeaver、Navicat等产品的数据库管理模式类似，用户通过数据库账号、密码来访问数据库，数据库操作不受DMS约束，且一个用户录入的实例对其他用户不可见（即：无协作）。 智护模式需要用户开通DMS服务，并在DMS客户端上登录天翼云账号方可使用。该模式下实例可在租户内共享访问，实现协作开发。同时开通DMS企业版后，智护模式的实例还具备一系列的安全特性，包括：细粒度权限管理、SQL规范审核、变更审批等等。

名词解释 端云协同：客户端软件与天翼云服务（数据库安全管控服务和大模型服务）协同工作，实现的数据库管理安全性和智能化的跃升 实例模式：DMS客户端支持个人 和智护两种实例模式，用户在录入数据库实例时可按需选择。 个人模式与传统DBeaver、Navicat等产品的数据库管理模式类似，用户通过数据库账号、密码来访问数据库，数据库操作不受DMS约束，且一个用户录入的实例对其他用户不可见（即：无协作）。 智护模式需要用户开通DMS服务，并在DMS客户端上登录天翼云账号方可使用。该模式下实例可在租户内共享访问，实现协作开发。同时开通DMS企业版后，智护模式的实例还具备一系列的安全特性，包括：细粒度权限管理、SQL规范审核、变更审批等等。

名词解释 端云协同：客户端软件与天翼云服务（数据库安全管控服务和大模型服务）协同工作，实现的数据库管理安全性和智能化的跃升 实例模式：DMS客户端支持个人 和智护两种实例模式，用户在录入数据库实例时可按需选择。 个人模式与传统DBeaver、Navicat等产品的数据库管理模式类似，用户通过数据库账号、密码来访问数据库，数据库操作不受DMS约束，且一个用户录入的实例对其他用户不可见（即：无协作）。 智护模式需要用户开通DMS服务，并在DMS客户端上登录天翼云账号方可使用。该模式下实例可在租户内共享访问，实现协作开发。同时开通DMS企业版后，智护模式的实例还具备一系列的安全特性，包括：细粒度权限管理、SQL规范审核、变更审批等等。

本章节介绍了云服务备份产品CBR的用户权限管理。 如果您需要对创建的CBR资源，设置不同的访问权限，以达到不同用户之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 系统默认提供两种用户权限：用户管理权限和资源管理权限。 用户管理权限可以管理用户、用户组及用户组的权限。 资源管理权限可以控制用户对云服务资源执行的操作。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有CBR的使用权限，但是不希望他们拥有删除CBR等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CBR，但是不允许删除CBR的权限策略，控制他们对CBR资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CBR服务的其它功能。 IAM是天翼云提供权限管理的基础服务，关于IAM的详细介绍，请参见IAM产品帮助中心。 CBR权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CBR部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CBR时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下表所示，包括了CBR的所有系统权限。 表 CBR系统权限 策略名称 描述 策略类别 CBR FullAccess 云备份管理员权限，拥有该权限的用户可以操作并使用所有存储库、备份和策略。 系统策略 CBR BackupsAndVaultsFullAccess 云备份普通用户权限，拥有该权限的用户可以创建、查看和删除存储库和备份等，无法创建、更新和删除策略。 系统策略 CBR ReadOnlyAccess 云备份只读权限，拥有该权限的用户仅能查看云备份数据。 系统策略 下表列出了CBR常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统策略的关系 操作 CBR FullAccess CBR BackupsAndVaultsFullAccess CBR ReadOnlyAccess 查询存储库 √ √ √ 创建存储库 √ √ × 列举存储库 √ √ √ 更新存储库 √ √ × 删除存储库 √ √ × 绑定资源 √ √ × 解绑资源 √ √ × 创建策略 √ × × 更新策略 √ × × 绑定策略 √ √ × 解绑策略 √ √ × 删除策略 √ × × 执行备份 √ √ × 更新订单 √ √ × 查询agent状态 √ √ × 删除备份 √ √ × 使用备份恢复数据 √ √ × 挂载存储库 √ √ × 批量添加删除存储库标签 √ √ × 添加存储库标签 √ √ × 修改标签 √ √ ×

本节主要介绍如何使用API 批量修改服务器属性。 此操作用来批量修改服务器属性。 说明 后续新增的数据服务端口会从修改后的端口范围中选择，已使用的端口值不变。 注意 修改端口范围（portRange）时，请避免和Linux系统的本地临时端口（iplocalportrange）范围重合，否则可能会导致HBlock服务所用的端口被占用。使用命令行cat /proc/sys/net/ipv4/iplocalportrange可以查看本地临时端口范围。 下列情况，修改HBlock可使用内存（maxMemoryRatio或maxMemorySize）后，必须重启对应服务器上的HBlock服务cs、ps才能生效；HBlock可使用的内存由小于8 GiB调整为大于等于8 GiB，或反之，还需重启对应服务器上的HBlock服务ms： 若修改指定服务器的HBlock可使用内存，重启该服务器的对应服务。 若修改所有服务器（all）的HBlock可使用的内存，重启所有服务器上的对应服务。 请求语法 plaintext PUT /rest/v1/system/server HTTP/1.1 Date:date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization:authorization { "action": "setProperties", "serverIds": [serverId1, serverId2, … ], "targetPortalIP": { "ips":[ { "ip": ip, "port": port, } ], "status": status }, "defaultPath": defaultPath, "portRange": port1port2, "maxMemoryRatio": maxMemoryRatio, "maxMemorySize": maxMemorySize } 请求参数 参数 类型 描述 是否必须 action String 操作动作。 取值： setProperties：服务器配置。 是 serverIds Array of string 指定需要设置的服务器。 取值： SERVERID：需要修改的服务器ID。 all：指定修改所有HBlock服务器配置。 default：指定后续加入集群节点的HBlock默认占用内存和端口范围。 默认修改所有服务器的配置。 说明 一次可用指定多个参数。 否 targetPortalIP.ips Array of ip iSCSI目标门户IP属性集合，详见“表1 请求参数targetPortalIP.ip说明”。 说明 若服务器与客户端不在同一网段（如服务器位于内网，客户端位于外网），通过NAT设备（如路由器）进行连接，则需要将NAT设备的外网地址和端口添加到服务器，从而使得外网的客户端可以正常与该服务器的target建立iSCSI连接。 注意 指定目标门户时，建议仅指定一个服务器ID。 否 targetPortalIP.status String 是否启用iSCSI目标门户IP。 取值： Enabled：启用。 Disabled：禁用。 是 defaultPath String 设置默认的数据目录（仅单机版本支持）。 数据目录必须是已经添加到HBlock系统中，并且状态为Normal的数据目录。 否 portRange String 指定端口范围，用于相关服务。 取值：取值范围为[1, 65535]，port1 为端口范围最小值，port2 为端口范围最大值，且port1

来自：

帮助文档

存储资源盘活系统

API参考

服务器管理

批量修改服务器属性

本页介绍天翼云TeleDB数据库节点监控。 操作场景 节点监控提供节点维度的监控指标信息。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树单击实例监控 ，进入实例监控页面。 2. 在实例监控 页面，当前实例 下拉框选择目标实例，选择节点监控 页签。 3. 选择要监控的节点、IP/主备信息和查看要监控时间范围。 4. 您也可在右侧单击不同的指标进入对应的指标图表。 针对CN/DN节点包含以下监控指标： 指标 含义 CPU使用率 CPU使用率，百分比 内存使用大小 内存使用大小，单位MB 磁盘占用量 磁盘占用大小，单位MB 缓存命中率 百分比 连接数 请求连接个数 最小top10执行耗时 最小top10执行耗费时间，单位ms 最大top10执行耗时 最大top10执行耗费时间，单位ms 平均sql执行耗时 平均请求执行耗费时间，单位ms 总请求数 总共请求个数 读请求数 读请求个数 写请求数 写请求个数 其他请求数 其他请求个数 主备xlog同步差异 主备xlog同步差异 剩余xid数量 剩余xid个数 QPS QPS 每分钟表扫描次数 每分钟扫描次数 每分钟索引扫描次数 每分钟索引扫描次数

本章节主要介绍WAF自定义策略。 如果系统预置的WAF权限，不满足您的授权要求，可以创建自定义策略。 目前云服务平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 WAF自定义策略样例 示例1：授权用户查询防护域名列表 "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "waf:instance:list" ] } ] 示例2：拒绝用户删除网页防篡改规则 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予“WAF FullAccess”的系统策略，但不希望用户拥有“WAF FullAccess”中定义的删除网页防篡改规则的权限（waf:antiTamperRule:delete），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为“Deny”，然后同时将“WAF FullAccess”和拒绝策略授予用户，根据Deny优先原则用户可以对WAF执行除了删除网页防篡改规则的所有操作。以下策略样例表示：拒绝用户删除网页防篡改规则。 { { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "waf:instance:list" ] } ] } 多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "waf:antiTamperRule:delete" ] }, ] }

请您根据以下处置建议，对系统展开检查，减少脆弱性暴漏。 体检完成后，您可以根据体检报告及漏洞详单查看互联网业务的漏洞开放、弱口令、高危端口开放等安全问题。体检报告包含推荐的处置建议，产线可根据这些建议，完成漏洞修复并及时更新线上系统，防止被攻击人员利用，造成损失。 通用处置建议 安全体检建议对存在漏洞的主机参考附件中提出的解决方案进行漏洞修补、安全增强。 建议所有Windows系统使用"Windows Update"进行更新。 对于大量终端用户而言，可以采用WSUS进行自动补丁更新，也可以采用补丁分发系统及时对终端用户进行补丁更新。 对于存在弱口令的系统，需在加强使用者安全意识的前提下，督促其修改密码，或者使用策略来强制限制密码长度和复杂性。 对于存在弱口令或是空口令的服务，在一些关键服务上，应加强口令强度，同时需使用加密传输方式，对于一些可关闭的服务来说，建议关闭该服务以达到安全目的。 对于UNIX系统订阅厂商的安全公告，与厂商技术人员确认后进行漏洞修补、补丁安装、停止服务等。 由于其他原因不能及时安装补丁的系统，考虑在网络边界、路由器、防火墙上设置严格的访问控制策略，以保证网络的动态安全。 建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞，攻与防的循环，伴随每个主流操作系统、应用服务的生命周期。 建议采用安全体检系统定期对网络进行评估，真正做到未雨绸缪。 远程安全评估系统建议对存在不合规检查项的主机参考对应的检查点详情中提出的调整方案和标准值进行修正。

本小节介绍HSS自定义策略。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 HSS自定义策略样例 示例1：授权用户查询主机防护列表 { "Version":"1.1", "Statement": [ { "Effect": "Allow", "Action": [ "hss:hosts:list" ] } ] } 示例2：拒绝用户卸载Agent 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予“HSS Administrator”的系统策略，但不希望用户拥有“HSS Administrator”中定义的卸载Agent的权限（hss:agent:uninstall），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为“Deny”，然后同时将“HSS Administrator”和拒绝策略授予用户，根据Deny优先原则用户可以对HSS执行除了卸载Agent的所有操作。以下策略样例表示：拒绝用户卸载Agent。 { "Version":"1.1", "Statement": [ { "Effect": "Deny", "Action": [ "hss:agent:uninstall" ] }, ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务。多个授权语句策略描述如下： { "Version":"1.1", "Statement": [ { "Effect": "Allow", "Action": [ "hss:hosts:list" ] }, { "Effect": "Allow", "Action": [ "hss:hosts:switchVersion", "hss:hosts:manualDetect", "hss:manualDetectStatus:get" ] } ] }

参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 任务名 任务名称。

控制台功能 依赖服务 需配置角色/策略 VPC流日志功能 云日志服务LTS IAM用户设置了VPC FullAccess权限后，需要增加LTS ReadOnlyAccess权限，才可以使用流日志功能。

参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 AgentId 产生告警的Agent ID。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。

参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 任务名 任务名称。