漏洞描述 Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。 Linux kernel中的mm/mempolicy.c文件的‘dogetmempolicy’函数存在安全漏洞。本地攻击者可借助特制的系统调用利用该漏洞造成拒绝服务（内存错误引用）。 基本信息 · CVE编号：CVE201810675 · 漏洞类型：拒绝服务攻击 · 危险等级：高危 · 受影响应用版本：(不同操作系统影响的应用版本不同，具体以检测结果为准) · 检测方式：版本对比 · 是否加入全局：是 · 公布时间： 20180502 · 风险特征：内核风险 · CVSS评分： 7 · CVSS详情： AV:L/AC:L/Au:N/C:C/I:C/A:C 修复建议 1.将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上，内核补丁修复可能存在风险，修复需谨慎，建议测试验证无误后进行升级操作。 2.参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级： CentOS/RHEL/Oracle Linux : sudo yum update y 需要升级的软件包名(参考检测结果) SUSE : sudo zypper update y 需要升级的软件包名(参考检测结果) Ubuntu/Debian : sudo aptget update && sudo aptget install onlyupgrade y 需要升级的软件包名(参考检测结果) 例：若漏洞的检测结果中主机系统为CentOS 7，软件包名称为 kerneltools，则漏洞修复命令为 sudo yum update y kerneltools

名称 说明 取值示例 域名 被攻击的域名 ctyun.com ID 攻击ID编号 攻击源IP 攻击源IP地址 告警等级 告警级别 低 攻击源端口 攻击源端口 16481 请求方式 HTTP请求方式 Get 攻击类型 攻击类型 预测资源位置攻击 匹配规则 攻击匹配的规则 Attack Signature Detected 请求URL 请求URL地址 攻击时间 攻击时间 处理方式 WAF对此攻击的处置方式 阻断 规则ID 攻击匹配的规则的ID 响应码 HTTP响应码 地区 攻击IP地址归属地区 国家 攻击IP地址归属国家 省份 攻击IP地址归属省份 地区 攻击IP地址归属地区 运营商 攻击IP地址归属运营商 Referer 攻击请求页面的来源页面的地址，即表示攻击是通过此来源页面里的链接进入的

参数 是否必填 参数类型 说明 示例 下级对象 protectionLevel 是 String 保护等级，0为硬件，1为软件 0 keySpec 是 String 支持的加密算法 AES256 keyUsage 是 String 密钥类型1加密解密 2签名验签 1 description 否 String 密钥描述，长度小于8129 存储加密密钥 enableAutomaticRotation 是 String 是否开启轮转（true/false） true rotationInterval 是 String 轮转周期（当enableAutomaticRotation参数为true时，必传，范围为7d730d） 7d origin 是 String 密钥来源 1KMS 2外部密钥 1 projectId 否 String 项目id 95e17b31e41e4d509687398baf91c260 aliasName 否 String 密钥别名 ECS epId 是 String 企业项目id 0 instanceId 否 String 实例Id，非必传，当为空时密钥创建在最早开通且启用中的实例中 insXk8C6r

此小节介绍资产被勒索过程 在攻击云基础设施时，攻击者通常会攻击多个资源以试图获取对客户数据或公司机密的访问权限。在勒索攻击链中，攻击者通过事前侦查探测、事中攻击入侵及横向扩散、事后勒索三个步骤实现对企业的资源勒索： 事前侦查探测阶段： 收集基础信息、寻找攻击入口，进入环境并建立内部立足点。 事中攻击入侵及横向扩散阶段： 部署攻击资源、侦查网络资产并提升访问权限，窃取凭据、植入勒索软件，破坏检测防御机制并扩展感染范围。 事后勒索阶段： 窃取机密数据、加密关键数据后加载勒索信息，基于文件重要等级索要赎金。 图被勒索过程

本节主要介绍使用RedisShake工具离线迁移其他云厂商Redis RedisShake是一款开源的Redis迁移工具，支持Cluster集群的在线迁移与离线迁移（备份文件导入）。当部署在其他云厂商Redis服务上的Cluster集群数据，无法在线迁移时，可以选择离线迁移。 与在线迁移相比，离线迁移适用于源实例与目标实例的网络无法连通的场景，或者源端实例部署在其他云厂商Redis服务中，无法实现在线迁移。 本文以Linux系统环境为例，介绍如何使用RedisShake工具进行Cluster集群数据离线迁移。 前提条件 已创建Redis实例，注意创建的Cluster集群内存规格不能小于源端Cluster集群。 已创建用于运行RedisShake的弹性云主机(ECS)，创建的ECS需要选择与Redis实例相同的VPC、子网和安全组。 迁移步骤 1. 使用Rediscli连接目标端Redis实例，获取目标端Cluster集群的Master节点IP地址与端口。 rediscli h {targetredisaddress} p {targetredisport} a {targetredispassword} cluster nodes − {targetredisaddress}：目标Redis实例的连接地址。 − {targetredisport}：目标Redis实例的连接端口号。 − {targetredispassword}：目标Redis实例的连接密码。 在命令返回的结果中，获取所有master节点的IP端口，如下如所示： 2. 在准备好的ECS上安装迁移工具RedisShake。 a. 登录ECS。 b. 在ECS中执行以下命令下载RedisShake，本文以下载2.0.3版本为例进行说明。您可以根据实际需要选择其他RedisShake版本。 wget c. 执行命令解压RedisShake文件。 tar xvf redisshakev2.0.3.tar.gz 如果源端集群部署在数据中心内网，还需在内网服务器上安装RedisShake，并参考下述步骤进行数据导出，然后将数据文件上传到云主机。 3. 从源端Redis控制台导出RDB文件，如果无法导出RDB文件，请联系源端客服获取。 4. 导入RDB文件。 a. 将导出的RDB文件（含多个）上传到云主机上。云主机与目标端DCS Cluster集群实例的网络连通。 b. 编辑RedisShake工具配置文件redisshake.conf。 vim redisshake.conf 补充目标端所有master节点的连接信息： target.type cluster

本节主要介绍步骤一：创建同步任务 本小节以MySQL>RDS for MySQL的实时同步为示例，介绍如何使用数据库复制服务创建两个数据库实例之间的实时同步任务，其他存储引擎的配置流程类似。 前提条件 已登录数据库复制服务控制台。 账户余额大于等于100元。 满足实时同步支持的数据库类型，详情请参见实时同步。 满足实时同步的使用限制，详情请参见概述。 操作步骤 1、 在“实时同步管理”页面，单击“创建同步任务”。 2、 在“同步实例”页面，填选区域、任务名称、任务异常通知设置、时延阈值、任务异常自动结束时间、描述、同步实例信息，单击“下一步”。 图 同步任务信息 表 任务与描述 参数 描述 任务名称 任务名称在450位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 任务异常通知设置 该项为可选参数，开启之后，需要填写手机号码或者邮箱作为指定收件人。当同步任务状态异常时，系统将发送通知给指定收件人。 说明 收到确认短信或邮件之后，需要在48小时内处理，否则该订阅无效，将无法收到异常通知。 时延阈值 在增量同步阶段，源数据库和目标数据库之间的同步有时会存在一个时间差，称为时延，单位为秒。 时延阈值设置是指时延超过一定的值后（时延阈值范围为1—3600s），DRS可以发送告警通知给指定收件人。告警通知将在时延稳定超过设定的阈值6min后发送，避免出现由于时延波动反复发送告警通知的情况。 说明 首次进入增量同步阶段，会有较多数据等待同步，存在较大的时延，属于正常情况，不在此功能的监控范围之内。 设置时延阈值之前，需要设置任务异常通知。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 图 同步实例信息 表 同步实例信息 参数 描述 数据流动方向 选择“入云”，即目标端数据库为本云数据库。 源数据库引擎 选择MySQL。 目标数据库引擎 选择MySQL。 网络类型 此处以公网网络为示例。 可根据业务场景选择公网网络、VPC网络和VPN、专线网络。 目标数据库实例 用户所创建的关系型数据库实例。 说明 目标数据库实例不支持选择只读实例。 目标数据库实例可以和源数据库选择同一个实例。 同步类型 此处以“全量+增量”为示例。 “全量+增量”： 该模式为数据持续性实时同步，通过全量过程完成目标端数据库的初始化后，增量同步阶段通过解析日志等技术，将源端和目标端数据保持数据持续一致。 说明 选择“全量+增量”同步模式，增量同步可以在全量同步完成的基础上实现数据的持续同步，无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 “增量”： 增量同步通过解析日志等技术，将源端产生的增量实时同步至目标端。 3、同步实例创建成功后，在“源库及目标库”页面，填选源库信息和目标库信息后，单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 入云和出云场景中源库和目标库需要填选的信息不同，具体以界面为准。 入云场景： 图 源库信息 表 源库信息 参数 描述 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 源数据库的用户名。 数据库密码 源数据库用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量同步、增量同步、增量同步失败状态时，可在“基本信息”页面的“同步信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。 说明 源数据库IP地址、端口、用户名和密码将在同步过程中被加密暂存到数据库和同步实例主机上，待该任务删除后会永久清除。 图 目标库信息 表 目标库信息 参数 描述 数据库实例名称 默认为创建迁移任务时选择的关系型数据库实例，不可进行修改。 数据库用户名 目标数据库对应的用户名。 数据库密码 目标数据库用户名对应的密码。支持在任务创建后修改密码。任务为启动中、全量同步、增量同步、增量同步失败状态时，可在“基本信息”页面的“同步信息”区域，单击“目标库密码”后的“替换密码”，在弹出的对话框中修改密码。 说明 目标数据库用户名和密码将在同步过程中被加密暂存到数据库和同步实例主机上，待该任务删除后会永久清除。 出云场景： 图 源库信息 表 源库信息 参数 描述 数据库实例名称 默认为创建任务时选择的云数据库实例，不可进行修改。 数据库用户名 源数据库对应的用户名。 数据库密码 源数据库用户名对应的密码。任务为启动中、全量同步、增量同步、增量同步失败状态时，可在“基本信息”页面的“同步信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码 说明 源数据库的用户名和密码将在同步过程中被加密暂存到数据库和同步实例主机上，待该任务删除后会永久清除。 图 目标库信息 表 目标库信息 参数 描述 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库的用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量同步、增量同步、增量同步失败状态时，可在“基本信息”页面的“同步信息”区域，单击“目标库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 说明 目标数据库的IP地址、端口、用户名和密码将在同步过程中被加密暂存到数据库和同步实例主机上，待该任务删除后会永久清除。 4、在“设置同步”页面，选择数据冲突策略和同步对象，单击“下一步” 图 同步模式 表 同步模式和对象 参数 描述 冲突策略 数据库复制服务提供的实时同步功能使用了主键或唯一键冲突策略，这些策略可以由您自主选择，尽可能保证源数据库中有主键约束或唯一键约束的表同步到目标数据库是符合预期的。 冲突策略目前支持如下三种形式： 忽略 当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），将跳过冲突数据，继续进行后续同步。 报错 当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），同步任务将失败并立即中止。 覆盖 当同步数据与目标数据库已有数据冲突时（主键/唯一键存在重复等），将覆盖原来的冲突数据。 说明 目前仅MySQL>RDS for MySQL的同步场景支持设置“覆盖”冲突策略。 当数据发生冲突时，针对如下情况，建议选“忽略”或者“覆盖”，否则建议选“报错”： 目标数据库存在数据 多对一同步场景 目标数据库手动更新数据 是否过滤DROP DATABASE 实时同步过程中，源数据库端执行的DDL操作在一定程度上会影响数据的同步能力，为了降低同步数据的风险，数据库复制服务提供了过滤DDL操作的功能。 目前支持默认过滤删除数据库的操作。 是，表示实时同步过程中不会同步用户在源数据库端执行的删除数据库操作。 否，则表示实时同步过程中将相关操作同步到目标库。 说明 目前仅以下链路的数据同步场景支持过滤DDL操作。 MySQL数据库>RDS for MySQL实例 RDS for MySQL实例>MySQL数据库 对象同步范围 对象同步范围支持普通索引和增量DDL同步。可根据业务需求选择是否进行同步。 同步对象 同步对象支持库级和表级同步，您可以根据业务场景选择对应的数据进行同步。部分链路还支持文件导入对象。 图 导入对象文件 如果有切换源数据库的操作或源库同步对象变化的情况，请务必在选择同步对象前单击右上角，以确保待选择的对象为最新源数据库对象。 说明 选择对象的时候支持搜索，以便您快速选择需要的数据库对象。 MySQL>RDS for MySQL实时同步支持表级和库级同步。 实时同步功能可以支持源数据库和目标数据库中的同步对象（包括数据库、schema、表）的名称不同。如果同步的数据库对象在源数据库和目标数据库中的命名不同，那么可以使用数据库复制服务提供的对象名映射功能进行映射。其中包括：库映射、schema映射、表映射。 对象名映射的具体操作请参考《数据库复制服务用户指南》中“对象名映射”章节。 导入对象文件的具体操作如下： 1. 单击“下载模板”。 2. 在下载的Excel模板中，填写需要导入的对象信息。 3. 单击“添加文件”，在对话框中选择编辑完成的模板。 4. 单击“上传文件”。 说明 文件导入仅支持导入Windows Microsoft Excel 972003版本（.xls），2007及以上版本（.xlsx）的文件，下载的压缩包提供上述两个版本模板 文件名支持的有效字符：大小写字母，数字，“”，“”,“(”，“)” 模板中的对象信息需按照SchemaName.TableName的格式进行填写，不支持“ ”，"."和“"”，且不支持以空格开头或结尾的对象。 文件导入成功后，必须保留本次上传的文件，以便需要再编辑该任务的数据库对象范围时，可直接基于此文件修改，然后再次上传。 用文件导入功能所创建的任务，任务启动之后再编辑时，不支持切换到“表级同步”和“库级同步”功能。 配置中的任务，可使用“表级同步”，“库级同步”或“文件导入”三种方式，每次切换新的方式后，当前选择或者导入的数据库对象被清空，需重新选择或导入。 5、在“数据加工”页面，根据需要设置数据加工的过滤规则。 如果不需要设置数据加工规则，选择“不加工”，单击“下一步”。 如果需要设置数据加工规则，选择“数据过滤”，参考数据加工，设置相关过滤规则 数据加工 6、在“预检查”页面，进行同步任务预校验，校验是否可进行实时同步。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行任务预校验。 预检查不通过项处理建议请参见《数据库复制服务用户指南》中的“预检查不通过项修复方法”。 预检查完成后，且所有检查项结果均通过时，单击“下一步”。 图 预检查 说明 所有检查项结果均通过时，若存在请确认项，需要阅读并确认详情后才可以继续执行下一步操作。 7、在“任务确认”页面，设置同步任务的启动时间，并确认同步任务信息无误后，勾选协议，单击“启动任务”，提交同步任务。 说明 同步任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”。 预计同步任务启动后，会对源数据库和目标数据库的性能产生影响，建议选择业务低峰期，合理设置同步任务的启动时间。 8、同步任务提交后，您可在“实时同步管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见参考：任务状态含义。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。

本节主要介绍删除快照。 可以通过下列方法删除快照： 在“数据保护”>“快照管理”>“快照”页面，选择目标快照，点击“删除”，即可进行快照删除。 在“数据保护”>“快照管理”>“一致性快照”页面，点击目标一致性快照，进入一致性快照详情页。选择目标快照，点击“卷快照”中的“删除”，即可进行快照删除。 在“服务”>“卷管理”页面，点击目标快照的源卷，进入卷详细信息页面。右击快照树下的具体快照，选择“删除”，即可进行快照删除。 注意 如果快照存在未断开关系链的克隆卷，则无法进行删除。 如果快照拥有2个及2个以上子节点，则无法删除。子节点表示存在其他快照依赖此快照，或者当前写操作基于此快照。 快照处于删除状态时，仅支持对该快照的查询、再次删除操作。 图1 删除快照

步骤二：测试验证 1. 登录分布式消息服务Kafka控制台。 2. 在左侧导航栏，单击实例列表，选择事件流的源实例。 3. 在主题管理页面，选择源的目标主题，操作列点击更多 ，然后点击生产消息。 4. 在生产消息对话框输入想要发送的消息，然后点击发送消息。 5. 发送消息后，登录函数计算管理控制台。 6. 在函数页面，单击目标函数名称。 7. 在目标函数详情页面，单击监控页签，查看函数是否被触发以及调用时延，如图1所示。 图1 在函数计算管理控制台中查看函数监控指标

参数 是否必填 参数类型 说明 示例 下级对象 msgtype 是 String 信息类型 text msgtype 是 String 信息类型(飞书使用) text context 是 Object 通知内容 {"text":"云监控告警通知信息"} text 是 Object 通知内容(冗余字段，飞书使用) {"content":"云监控告警通知信息"} modelid 是 String 规则id 81b365af142d55cf989eba30903e25a3 issueid 是 String 告警事件id 6750107b8d4ae01a03632f26 name 是 String 告警规则名称 云主机CPU告警 status 是 int 通知类型：0：恢复；1：告警 0 level 是 int 告警等级 ： 1：紧急2：警示3：普通 1 region 是 String 资源池名称 贵州15 info 是 Array of Object 告警详情 InfoNotify ctime 是 int 告警事件创建时间戳 1733300347 mtime 是 int 告警事件更新时间戳 1733879666

此章节为您介绍数据库审计信任规则的相关功能。 当系统匹配信任规则后，不会再匹配安全规则，不产生任何告警信息。 开启步骤 1. 在左侧菜单栏中选择“规则配置 > 信任规则”进入“信任规则”页面。 2. 单击“新增”，在弹出的新增规则对话框中编辑相关信息。 具体参数可参考下表。 项目 参数 参数说明 基本信息 名称 设置规则名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 基本信息 描述 规则描述。 基本信息 等级 必选项，系统默认等级为中风险。等级可选高风险、中风险和低风险。 基本信息 所属规则组 必选项，可选择自定义的规则组，也可以选择系统默认规则组。可通过以下步骤对自定义规则组进行管理： 单击所属规则组右边的“规则组管理”，可新增、修改和删除自定义规则组。 基本信息 规则类型 当前支持普通规则和统计规则两类。 普通规则：单条审计记录匹配配置的普通规则，会触发普通告警（例如一条select语句，可能会触发一条普通告警）。 统计规则：指定时间内多次匹配配置的统计规则，会触发一条统计告警（例如5分钟内10次select失败，可能会触发一条统计告警）。 基本信息 行为 当前支持告警和告警并阻断。 告警：操作命中规则后，仍正常执行，无特殊控制。 告警并阻断：操作命中规则后，该操作对应的数据库连接断开。 客户端 客户端来源 访问业务类型的客户端IP或IP组。可填写多个，以逗号“,”分隔。 客户端 客户端工具 可配多个客户端工具，使用逗号“,”分隔，例如：db2bp.exe,java.exe。 客户端 客户端端口 可配置多个值或区间，多个值间以逗号“,”分隔，例如：1015,20,25,3040。 客户端 客户端MAC地址 可填多个值，多个值间以逗号“,”分隔。 客户端 操作系统用户 可以选择字符串或者正则表达式，字符串可填多值，多个值间以逗号“,”分隔。 客户端 主机名 可以选择字符串或者正则表达式，字符串可填多值，多个值间以逗号“,”分隔。 客户端 应用IP 指定规则所匹配的应用IP或IP组，对应审计日志中的关联IP，可填多值，多个值间以逗号“,”分隔。 客户端 应用用户名 指定规则所匹配的应用用户或用户组，对应审计日志中的关联账号，可填多值，多个值间以逗号“,”分隔。 服务端 服务端IP 可填多个值，多个值间以逗号“,”分隔。 服务端 服务端端口 可配置多个值或区间，多个值间以逗号“,”分隔，例如：1015,20,25,3040。 服务端 数据库账号 指定规则所匹配的数据库登录用户账号或账号组或者使用正则表达式，可填多值，多个值之间以“,”分隔。 服务端 服务端MAC地址 可填多个值，多个值间以逗号“,”分隔。 服务端 数据库名(SID) 可以选择字符串或者正则表达式，Oracle数据库请输入SID，其他数据库输入数据库名，字符串可填多值，多个值间以逗号“,”分隔。 行为 对象 指定规则匹配的对象组。 行为 操作类型 指定SQL语句的操作类型，例如：select、update、delete等。 行为 SQL模板ID 可填项，可填多值，多个值间以逗号“,”分隔。 行为 SQL关键字 SQL关键字：支持以正则表达式匹配报文。 单击“正则验证”输入报文内容，单击“校验”，验证输入内容与执行结果关键字中的正则表达式是否匹配；单击“增加条件”可添加多个条件。 条件运算逻辑表达式：SQL关键字填写后，此项为必填项。条件间的关系，支持与、或、非、括号运算(&：与；：或；~：非)，条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2个SQL关键字条件且两个关键字都要满足才能告警。 行为 SQL长度 指定SQL语句的长度，取值范围：1B~64KB。 行为 关联表数 SQL操作涉及表的个数大于等于此值时触发本规则，允许输入最大值为255。 行为 WHERE字句 是否包含WHERE，支持三个选项： 不判断 有WHERE子句 没有WHERE子句 默认为不判断。WHERE子句用于提取满足指定条件的SQL记录，语法如下： SELECT columnname,columnname FROM tablename WHERE columnname operator value; 结果 执行时长 （选填）单位：秒、毫秒、微秒，取值范围：0到半个小时，SQL执行时长属于此范围，则触发规则。 结果 影响行数 取值范围：0~999,999,999。SQL操作返回的记录数或受影响的行数属于此范围，则触发规则。 结果 返回结果集 支持以正则表达式匹配结果集。 单击“正则验证”输入报文内容，单击“校验”，验证输入内容与执行结果关键字中的正则表达式是否匹配；单击“增加条件”可添加多个条件。 条件运算逻辑表达式：SQL关键字填写后，此项为必填项。条件间的关系，支持与、或、非、括号运算(&：与；：或；~：非)，条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2个SQL关键字条件且两个关键字都要满足才能告警。 结果 执行状态 可选三类执行状态： 全部 成功 失败 默认为全部。 结果 执行结果描述 支持以正则表达式方式匹配。 其他 生效时间 可自定义或者选择时间组。 其他 每日最大告警数 取值范围：0~99,999，输入0表示没有限制。 其他 结果集存储策略 设置触发该规则的告警日志的返回结果集存储策略，包含使用资产设置、保存和不保存。 3. 配置完成后，单击“保存”即可完成信任规则的配置。

本文主要介绍DRDS控制台实例列表中的一键检测功能。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表页面，找到目标实例，单击目标实例的【一键检测】按钮（部分资源池需要先点击【更多】，再单击【一键检测】），可以进行节点、分片和序列状态的一键检测。 参数介绍 参数 说明 节点检测 产品的服务节点，数量与产品购买时所选的CPU内存规格相关。当存在有不可用的节点时，整体服务可用，但服务能力会有所下降。 分片检测 检测MySQL上的数据库是否正常可用。如果有异常，需检查MySQL状态是否正常。 序列检测 检测全局序列是否可用。 注意 没有创建全局序列时，会提示序列不可用，可忽略该异常。

本节为您介绍云迁移服务CMS中数据库迁移工具迁移前的准备工作,包括账号注册认证、账户余额确认、迁移网络打通等。 1.使用或注册天翼云账号。 2.确认源端数据库或目标端是否满足数据库类型要求。 需对数据库迁移工具支持迁移的迁移源数据库类型及版本做确认，具体请见数据库迁移兼容性列表。 迁移网络打通 迁移节点 迁移节点所在云主机需要能正常访问源数据库、目标数据库、CMS控制台，建议出方向安全组不作限制。 迁移节点若使用弹性IP连接，需要提前购买和配置正确的EIP。 迁移节点默认端口为18080，因此迁移节点所在云主机需开放TCP的18080端口，以便CMS控制台下发任务。未执行任务时，建议及时关闭18080端口。 源数据库 若使用弹性IP连接，源数据库需要提前购买和配置正确的EIP。 源数据库安全组需开放数据库端口，建议将数据库端口的入方向IP限制为迁移节点所在云主机IP。 目标数据库 若使用弹性IP连接，目标数据库需要提前购买和配置正确的EIP。 目标数据库安全组需开放数据库端口，建议将数据库端口的入方向IP限制为迁移节点所在云主机IP。

参数 说明 示例 规则名称 订阅规则名称。 输入：aomkafkatest。 订阅内容 支持“指标”和“告警”。 选择：指标。 订阅目标类型 选择“自定义Kafka”或“分布式消息服务DMS”。 自定义Kafka 订阅目标连接地址 用户自己的kafka地址，需要打通网络。格式为逗号分割的ipv4:port。例如: 192.168.0.1:9092,192.168.0.2:9092 根据实际情况填写。

您可以根据实际情况,将您分片上的数据迁移到其他分片上。 注意事项 迁移任务执行期间将占用实例资源，建议您在任务完成后及时将其关闭或删除。 为避免对线上业务造成影响，建议将迁移服务部署在业务压力较低的非生产节点。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览 页面。 2. 在左侧导航栏，选择DRDS > 实例管理 ，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息 页面。 4. 单击Schema管理 ，进入目标实例的Schema 管理页面。 5. 在Schema列表中，找到目标Schema，单击Schema名称或者操作 列的管理 ，进入Schema基本信息页面。 6. 单击分片迁移 ，进入分片迁移页签。 7. 单击新增迁移任务。 8. 在对话框中配置迁移相关参数，然后单击确定。 参数 说明 任务执行节点 执行迁移任务的DBProxy节点。 分片节点 选择分片节点。 分片目标MySQL集群 选择目标MySQL集群。 9. 单击分片迁移历史页签。 您可以查看当前分片迁移的历史记录信息，包括分片节点、目标MySQL集群、数据库名称、迁移任务、状态、迁移时间、操作人员等信息。

本文汇总了基于数据库复制服务（简称DRS）常见应用场景的操作实践，每个实践我们提供详细的方案描述和操作指导，用于指导您快速实现数据库迁移。 DRS最佳实践一览表 最佳实践 说明 跨云数据库实时迁移 本章节介绍了如何将其他云数据库通过实时迁移的方式迁移至本云目标数据库的操作流程，并针对不同引擎提供了对应操作流程及指导。 本地数据库实时迁移 本章节介绍了如何将用户本地数据库通过实时迁移的方式迁移至本云目标数据库的操作流程，并针对不同引擎提供了对应操作流程及指导。 ECS自建数据库实时迁移 本章节介绍了如何将ECS自建数据库通过实时迁移的方式迁移至本云目标数据库的操作流程，并针对不同引擎提供了对应操作流程及指导。 SQL Server备份迁移至本云RDS for SQL Server 本章节介绍了如何通过备份迁移，实现本地数据库到本云目标数据库迁移。

本章节介绍数据库安全欠费说明 欠费说明 对于包年/包月DBSS资源，用户已经预先支付了资源费用，因此在帐户出现欠费的情况下，已有的包年/包月DBSS资源仍可正常使用。然而，对于涉及费用的操作，如新购DBSS、升级DBSS规格、续费订单等，用户将无法正常进行。 说明 天翼云根据客户等级定义了不同客户的宽限时间和保留时长。 欠费后需要及时充值，您可以在管理中心>费用中心中点击“充值”按钮进行续费，并且可以设置“可用额度预警”功能，当可用额度、通用代金券和现金券的总额度低于预警阈值时，系统自动发送短信和邮件提醒。

调用监控支持查看在线推理预置服务、我的服务在指定时间段内的调用数据和监控指标详情,包括调用总量、调用失败量、调用总tokens等指标,并支持按日、按时、按分钟粒度展示数据,帮助了解服务的使用情况和性能变化。 支持查看在线推理预置服务、专属服务、我的服务以及批量推理在指定时间段内的调用数据和监控指标详情，并支持按日、按时、按分钟粒度展示数据，帮助了解服务的使用情况和性能变化。 前提条件 在线推理的我的服务和批量推理产生调用记录后才可查看调用监控数据。 账号权限说明 主账号可查看其名下所有子账号分别的调用监控数据，且支持导出所有子账号的所选服务的监控数据。 查看服务调用的监控数据 1. 登录星辰TokenHub运营服务平台。 2. 在左侧导航栏选择“调用监控”。 3. 选择目标服务名称，点击“调用监控”，进入该模型的调用数据详情页，可以查看具体的模型在特定服务组、特定服务中的调用监控情况。 1. 点击“调用失败明细”，可以查看调用失败的次数、占比、错误信息等数据。 2. 点击“导出”，可以直接导出调用总览或调用失败明细数据到本地。 4. 选择目标专属服务，点击“资源监控”，进入可查看专属服务资源的监控信息，包含GPU/NPU利用率、显存利用率、 表1 调用监控详情页筛选项说明 筛选项 说明 主/子用户 筛选子账号。 仅名下存在子账号的主账号可见。 服务名称 支持选择在线推理的预置服务和我的服务。 服务组 选择查看全部服务组或具体的服务组名称。 时间精度 支持选择按日、按时、按分钟。 时间范围 自定义选择时间范围。 当时间精度选择按日时，范围最大支持31天；当时间精度选择按时时，范围最大支持7天；当时间精度选择按分钟时，范围最大支持1天。

Prometheus监控服务支持健康巡检接入，健康巡检可定期对目标服务进行连接测试，通过健康巡检，您可进一步掌握服务的健康状况并及时发现异常。 前提条件 已开通应用性能监控Prometheus服务。 已创建云容器引擎集群。 接入步骤 1. 登录应用性能监控Prometheus监控控制台。 2. 点击左侧“接入管理”菜单。 3. 在快速接入中选择“健康巡检”。 4. 根据控制台指引完成组件接入，下面对重点配置项进行说明。 配置项 说明 探测任务名称 自定义唯一探测任务名称。 探测地址 需要探测的目标服务地址。 探测方式 选择探测方式，支持以下方式。 HTTP2XX PING TCP 探测时间间隔(秒) 探测数据的时间间隔。 管理健康巡检 查看健康巡检大盘 完成健康巡检接入后，您可以监控大盘查看巡检情况。 1. 登录应用性能监控Prometheus监控控制台。 2. 点击左侧“接入管理”菜单。 3. 点击“已计入组件”页签。 4. 选择“健康巡检”卡片，在在大盘列表页签下，选择指定的容器环境。点击大盘名称即可查看对应的巡检大盘。

此章节为您介绍数据库审计告警日志的相关的操作。 告警日志概述 当系统根据安全规则捕捉到异常访问时，会根据匹配的安全规则的级别产生相应级别的告警信息。系统支持在告警日志页面查看的所有产生告警的SQL语句的信息和告警等级等相关内容，并可以根据时间、字段和告警等级、规则名称等条件进行筛选。 查询告警日志 1.在菜单栏选择“查询分析 > 告警日志”进入“告警日志”页面，选择“告警日志”页签，设置查询条件（如时间范围、报文、资产等），单击“搜索”即可查询相关告警日志。 2.在告警日志列表中，单击右侧“操作”列中的“详情”可以查看该告警记录的详细信息，包括告警记录基本信息、客户端信息、服务端信息、请求详情、响应详情。 3.在告警日志详细页面，单击“统计数据”，可查看客户端、数据库账号等信息。 告警分析 1.在左侧菜单栏选择“查询分析 > 告警日志”进入“告警日志”页面，选择“告警分析”页签，可设置过滤条件（时间范围、规则名称、资产、数据库账号、客户端IP），查询符合过滤条件的告警信息。 2.单击“操作”列下的“详情”，可查看告警统计详情，包含规则详情、告警资产、各资产下的告警趋势、告警来源（维度包含客户端IP和数据库账号）和触发告警的SQL模板。 3.在“规则详情”区域单击资产数量链接可编辑已启用该规则的资产，单击白名单数量链接可以编辑该规则上启用的白名单。 4.在“告警资产”区域单击“规则启用状态”开关可以变更规则在某资产上的启用状态。 5.在“告警来源”区域，单击“操作”列下的“不再告警”。 6.在弹出的不再告警对话框中编辑相关信息，单击“确定”。将满足条件的客户端IP添加到信任规则和添加到规则白名单。对于普通规则产生的告警： 选择“添加到白名单”，再单击“确定”。添加为白名单后，系统对于此规则符合选中项的条件的相关操作不再产生告警。 选择“添加到信任规则”，再单击“确定”。添加为信任规则后，对于资产符合信任规则可选属性的将不再发生告警。 7.在触发告警的“SQL模板”区域，单击“操作”列下的“不再告警”。 8.在弹出的不再告警对话框中编辑相关信息，单击“确定”。将满足条件的SQL模板添加到信任规则和添加到规则白名单。对于普通规则产生的告警： 选择“添加到白名单”，再单击“确定”。添加为白名单后，系统对于此规则符合选中项的条件的相关操作不再产生告警。 选择“添加到信任规则”，再单击“确定”。添加为信任规则后，对于资产符合信任规则可选属性的将不再发生告警。

如果您已经创建天翼云VPN网关，并且创建了SSL服务端，可以对SSL网关的客户端连接数情况进行监控。 操作场景 查看某个SSL网关的客户端连接数情况。 前提条件 您在该区域下有正常状态的启用了SSL功能的VPN网关，并且创建了SSL服务端。 操作步骤 1. 登录控制中心。 2. 选择“管理与部署”下的“云监控”产品。 3. 选择“云监控服务 ”下的“VPN监控”，进入VPN监控页面。 4. 单击“SSL网关”，进入SSL网关监控列表，可以查看SSL网关名称、企业项目、绑定的资源名称和网关IP等信息。 5. 选择需要查看监控的目标SSL网关，点击“操作”列中的“查看监控图表”按钮。 6. 在SSL网关监控详情页面，上方可以查看SSL网关的详情信息。 7. 在SSL网关监控详情页面，下方可以查看目标SSL网关的SSL客户端连接数等监控指标的数据。还可以选择查询的时间范围，设置自动刷新等。 8. 在SSL网关监控详情页面，针对每一项监控指标，单击图表右上角的“查看”按钮，可以查看该监控指标的详情信息。在该页面，支持修改数据的展示方法（原始值、最大值、最小值、平均值等），支持修改数据的取样间隔（5分钟、20分钟），支持选择查询的时间范围。 9. 选择需要查看监控的目标SSL网关，点击“操作”列中的“创建告警规则”按钮，可以配置告警服务，具体配置请参考“创建告警规则”。

前提条件 在迁移之前，请先阅读迁移方案概览，选择正确的迁移方案，了解当前DCS支持的在线迁移能力，选择适当的目标实例。 如果您还没有目标Redis，请先创建，创建操作，请参考创建实例。 如果您已有目标Redis，则不需要重复创建，为了对比迁移前后数据及预留足够的内存空间，建议在数据迁移之前清空目标实例数据，清空操作请参考清空实例数据。 如果没有清空实例数据，数据迁移后，目标Redis与源Redis实例重复的数据会被覆盖，源Redis没有、目标Redis有的数据会保留。 创建在线迁移任务 注意 仅当在线迁移任务与源Redis为相同账号下相同区域时，在线迁移时选择的源端Redis会自动放通源Redis的SYNC和PSYNC命令。因此需要在源Redis相同账号和区域下创建在线迁移任务。否则无法进行在线迁移。 步骤 1 登录分布式缓存服务控制台。如果源Redis与目标Redis所属不同账号下，请使用源Redis所在的账号登录DCS。在管理控制台左上角单击 ，选择源Redis所在的区域。 步骤 2 单击左侧菜单栏的“数据迁移”。页面显示迁移任务列表页面。 步骤 3单击右上角的“创建在线迁移任务”。 步骤 4 设置迁移任务名称和描述。任务名称请以字母开头，长度不小于4位且不超过64位。任务名称只能包含字母、数字、中划线、下划线。 步骤 5 配置在线迁移任务虚拟机资源的VPC、子网和安全组。 请选择与源Redis或目标Redis相同的VPC。 创建的在线迁移任务会占用一个租户侧IP，即控制台上迁移任务对应的“迁移IP”。如果源端Redis或目标端Redis配置了白名单，需确保配置了迁移IP或关闭白名单限制。 迁移任务所选安全组的“出方向规则”需放通源端Redis和目标端Redis的IP和端口（安全组默认情况下为全部放通，则无需单独放通），以便迁移任务的虚拟机资源能访问源Redis和目标Redis。 结束

项目 描述 目标名称 iSCSI目标名称。 字符串形式，长度范围1~16，只能由小写字母、数字、句点(.)和短横线()组成，且仅支持以字母或数字开头。 注意 一个iSCSI目标可以关联多个卷，但是一个卷只能关联一个iSCSI目标。 最大会话数 iSCSI目标下每个IQN允许建立的最大会话数。 取值：[0, 1024]，默认值为1。0表示客户端无法发现该target。 注意 如果多个客户端连接同一target IQN，客户端可以同时读，但不能同时写。 CHAP验证 是否开启CHAP认证。如果启用CHAP验证，需要填写CHAP名称和CHAP密码。 默认禁用。 CHAP名称 客户端CHAP认证名称。 字符串形式，长度范围是3~64，只能由字母、数字、句点( . )、短横线( )、下划线( )、冒号( : )组成，字母区分大小写，且仅支持以字母或数字开头。 CHAP密码 客户端CHAP认证密码。 字符串形式，长度范围是12~16，必须包含大写字母、小写字母、数字、下划线()中的至少两种字符，字母区分大小写。 服务器数量 target所在的服务器数量（仅集群版支持）。 服务器ID iSCSI目标对应的服务器ID（仅集群版支持）。 回收策略 指定iSCSI目标的回收策略。 取值： 删除：当iSCSI目标关联的卷全部删除后，iSCSI目标自动删除。 保留：当iSCSI目标关联的卷全部删除后，iSCSI目标仍然保留。 默认值为保留。 说明 如果创建卷时指定不存在的iSCSI目标，那么同时创建iSCSI目标，新创建iSCSI目标的回收策略默认为删除。 允许访问列表 设置允许访问列表： 说明 关闭状态表示允许所有访问。 发起方：设置发起方（initiator）的允许访问列表，可以在发起方设置下列访问权限： 允许所有访问。 禁止所有访问。 设置允许访问列表：指定iSCSI发起方允许访问列表。可以设置多组发起方允许访问列表，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和initiator名称，二者为“与”的关系。 IPs：根据initiator IP地址设置iSCSI发起方的允许访问列表，支持IPv4、IPv6、CIDR子网，可以设置多个，以英文逗号分隔。 注意 IP不能为localhost。 名称：根据initiator名称设置iSCSI发起方的允许访问列表。取值：字符串形式，长度范围是1~223，只能由字母、数字、句点( . )、短横线( )、冒号( : )组成，字母区分大小写。支持通配符和?。可以设置多个，以英文逗号分隔。 目标：设置目标端（target）的允许访问列表，可以在目标端设置下列访问权限： 允许所有访问。 禁止所有访问。 设置允许访问列表：指定目标端（target）的允许访问列表。可以设置多组target允许访问列表，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和网路设备（NIC）名称，二者为“与”的关系。 IPs：通过target端IP进行设置target允许访问列表，表示只允许通过target端的指定IP访问target。支持IPv4、IPv6、CIDR子网，可以设置多个，以英文逗号分隔。 注意 IP不能为localhost。 网卡名称：通过target端的网卡名称设置target允许访问列表，表示只允许通过target端的指定网卡访问target。取值：target端的网卡名称，可包含字母、数字、句点(.)、短横线()和下划线()，最多100个字符。支持通配符和?。可以设置多个，以英文逗号分隔。

本文主要介绍如何采集Systemd Journal日志 云日志服务采集器lmtagent支持从原始的二进制文件中采集Linux云主机系统的Systemd Journal日志。 Systemd Journal日志介绍 Systemd是专门用于Linux操作系统的系统与服务管理器。当作为启动进程（PID1）运行时，它将作为初始化系统，启动并维护各种用户空间服务，同时统一管理所有Unit的日志（包括内核和应用日志），其配置文件一般为/etc/systemd/journald.conf。 前提条件 目标云主机已安装日志采集器lmtagent，且已创建主机组。 接入步骤 1. 登录云日志服务控制台。 2. 左侧菜单栏点击“日志接入”，进入接入管理页面 3. 在“数据导入”模块中，点击“Systemd Journal日志” 4. 选择目标日志项目和日志单元，单击下一步。 5. 在选择主机组页面，选择目标主机组。 6. 在采集配置页面，设置如下参数，确认无误后，单击下一步 参数 说明 采集规则名称 设置采集规则名称 Systemd Journal日志路径 Journal日志路径，建议配置为Journal日志所在目录，例如/var/log/journal。 首次采集方式 首次采集方式，可以配置为全量或增量。默认为增量。 全量表示采集所有数据。 增量表示只采集lmtagent采集配置被应用后的新数据。 采集内核日志 是否采集内核日志。 解析syslog日志的facility字段 是否解析syslog日志的facility字段。 解析Priority字段 是否解析syslog日志的Priority字段。 使用Journal日志中的字段作为日志时间 是否使用Journal日志中的字段作为日志时间，不配置时，将使用采集时间作为日志时间。 7. 创建索引。默认开启全文索引，您也可以根据需要手动创建字段索引用于字段查询。 8. 点击完成，即可完成导入任务创建。等待1分钟左右，在查询日志界面能查询到日志，则说明接入成功。

本页介绍了如何查看恢复记录。 文档数据库服务产品支持对数据恢复记录进行查看，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击左侧“DDS”>“备份管理”菜单，进入到备份管理菜单。 3. 在备份管理菜单，点击“恢复记录”栏，进入到恢复记录信息页。 4. 在“恢复记录”信息页，可查看源实例信息、目标实例信息、恢复开始/结束时间以及恢复结果等信息。 5. 在“恢复记录”信息页，还可以根据源实例名、目标实例名等信息进行恢复记录过滤查询。

本节主要介绍如何使用API 批量修改服务器属性。 此操作用来批量修改服务器属性。 说明 后续新增的数据服务端口会从修改后的端口范围中选择，已使用的端口值不变。 注意 修改端口范围（portRange）时，请避免和Linux系统的本地临时端口（iplocalportrange）范围重合，否则可能会导致HBlock服务所用的端口被占用。使用命令行cat /proc/sys/net/ipv4/iplocalportrange可以查看本地临时端口范围。 下列情况，修改HBlock可使用内存（maxMemoryRatio或maxMemorySize）后，必须重启对应服务器上的HBlock服务cs、ps才能生效；HBlock可使用的内存由小于8 GiB调整为大于等于8 GiB，或反之，还需重启对应服务器上的HBlock服务ms： 若修改指定服务器的HBlock可使用内存，重启该服务器的对应服务。 若修改所有服务器（all）的HBlock可使用的内存，重启所有服务器上的对应服务。 请求语法 plaintext PUT /rest/v1/system/server HTTP/1.1 Date:date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization:authorization { "action": "setProperties", "serverIds": [serverId1, serverId2, … ], "targetPortalIP": { "ips":[ { "ip": ip, "port": port, } ], "status": status }, "defaultPath": defaultPath, "portRange": port1port2, "maxMemoryRatio": maxMemoryRatio, "maxMemorySize": maxMemorySize } 请求参数 参数 类型 描述 是否必须 action String 操作动作。 取值： setProperties：服务器配置。 是 serverIds Array of string 指定需要设置的服务器。 取值： SERVERID：需要修改的服务器ID。 all：指定修改所有HBlock服务器配置。 default：指定后续加入集群节点的HBlock默认占用内存和端口范围。 默认修改所有服务器的配置。 说明 一次可用指定多个参数。 否 targetPortalIP.ips Array of ip iSCSI目标门户IP属性集合，详见“表1 请求参数targetPortalIP.ip说明”。 说明 若服务器与客户端不在同一网段（如服务器位于内网，客户端位于外网），通过NAT设备（如路由器）进行连接，则需要将NAT设备的外网地址和端口添加到服务器，从而使得外网的客户端可以正常与该服务器的target建立iSCSI连接。 注意 指定目标门户时，建议仅指定一个服务器ID。 否 targetPortalIP.status String 是否启用iSCSI目标门户IP。 取值： Enabled：启用。 Disabled：禁用。 是 defaultPath String 设置默认的数据目录（仅单机版本支持）。 数据目录必须是已经添加到HBlock系统中，并且状态为Normal的数据目录。 否 portRange String 指定端口范围，用于相关服务。 取值：取值范围为[1, 65535]，port1 为端口范围最小值，port2 为端口范围最大值，且port1 目标门户IP。 说明 ip和port必须同时存在，或者同时不存在。 否 port Integer iSCSI目标门户端口号。 说明 ip和port必须同时存在，或者同时不存在。 取值：[1, 65535]。 否

本小节介绍安全专区产品优势。 快速合规方案 产品套餐依据等级保护要求针对云上各种应用场景进行合规设计，产品自动交付，一次购买可满足云用户多个系统的等保合规技术要求，快速解决云上合规整改问题。 平台紧密集成 自动识别所有云资产，关联安全组件能力自动评估云用户资产安全态势，用户使用云平台账号即可登录安全专区实施所有安全管理工作。 网端管三层防护 提供覆盖网络安全、终端安全、应用安全、数据安全各层面的安全能力，网端管联动分析，为云上应用系统安全运行提供全面保障。 集中管理全管控 集中管理用户云上资产安全，集中管理云上安全设备，集中管理云网边界、虚机系统、业务系统的漏洞、告警、用户行为等安全运行数据，提供全覆盖的安全态势管理能力。

kubectl get deploy nginxNAME READY UPTODATE AVAILABLE AGE nginx 1/1 1 1 66s[root@cluster1] kubectl get podNAME READY STATUS RESTARTS AGE nginx6799fc88d8sqjj4 1/1 Running 0 2m12s 我们可以基于联邦控制面kubectl方式，执行以下命令来将其提升到联邦控制面管理： shell [root@master1] karmadactl promote deployment nginx n default c member1Resource "apps/v1, Resourcedeployments"(default/nginx) is promoted successfully 此时，再在联邦控制面中查询该工作负载，可看到已经可以查询到，说明已被联邦实例接管： shell [root@master1] kubectl get deployNAME READY UPTODATE AVAILABLE AGE nginx 1/1 1 1 7m25s 检查成员集群中对应nginx无状态工作负载，对应Pod并未重启： shell [root@cluster1] kubectl get podNAME READY STATUS RESTARTS AGE nginx6799fc88d8sqjj4 1/1 Running 0 15m 方式二：批量提升接管，源集群中工作负载Pod可能会重启； 对于希望批量提升到联邦控制面接管，以及对Pod重启无感知的的服务或资源，可考虑采用本方式，其执行效率相对更高。 在成员集群中已部署服务非常多或应用较复杂情况下，该方式更适合。可基于更大的粒度，来做资源的接管和提升，例如： 以资源为粒度，迁移某种类型的全部资源 以应用为粒度，迁移某个应用涉及的所有类型的资源 此时，就需要资源模板结合集群联邦的调度策略PropagationPolicy，来接管相应资源，可以按如下方式操作。 a.将所有资源的 YAML 配置应用到 集群联邦控制面, 作为集群联邦的 ResourceTemplate。此时，资源模板只会存在联邦控制面，并不会下发任何成员集群； b.编写 PropagationPolicy 调度策略, 并将其应用到集群联邦控制面。 您需要注意以下两个字段： spec.conflictResolution: Overwrite：该字段的值必须是 Overwrite。 spec.resourceSelectors：指定哪些资源需要被迁移。 如果你希望的是将所有Deployment资源提升到联邦控制面管理，则可以配置类似如下的调度策略： shell apiVersion: policy.karmada.io/v1alpha1kind: PropagationPolicymetadata: name: deploymentsppspec: conflictResolution: Overwrite placement: clusterAffinity: clusterNames: member1 priority: 0 resourceSelectors: apiVersion: apps/v1 kind: Deployment schedulerName: defaultscheduler 当前，除了YAML方式创建外，也支持基于前端页面的引导创建。可进入联邦控制台>策略管理>调度策略>创建调度策略页面进行配置； 在以上调度策略配置完成后，联邦实例将进行联邦资源模板与底层的同步与覆盖。一段时间后即可观测到相关工作负载已被联邦实例接管； 3. 基于集群联邦，将服务逐步迁移到目标集群中 已接管的工作负载，支持按需调整其调度策略及差异化策略，来实现工作负载多集群之间的灵活调度。此时，您可以在联邦控制面中编辑需要迁移工作负载的实例数或调度策略，使其复制分发到目标成员集群中去。 点击进入工作负载>无状态，选在对应的工作负载实例后，点击后侧“全量替换”操作按钮进行编辑： 在编辑页面中，直接跳过模板配置步骤，进入调度与差异化配置页面。通过设置调整集群调度策略，可将工作负载复制分发到目标集群，或按权重拆分部分副本到新集群。如下： 如上图配置，提交更新后，工作负载将在源集群和目标集群中1：1比例部署。 4. 服务验证及终端灰度切流 该步骤中，用户可基于应用实际架构及服务需求，在验证目标成员服务正常后，实施真实用户流量的逐步切流。 切流过程中，可配合通过调度策略逐步调整工作负载Pod副本在源集群与目标集群之间的分布，并最终全部迁移到天翼云上CCE集群，以实现完整的切流。

本节介绍了容器镜像安全扫描(个人版)的用户指南。 容器镜像服务CRS支持所有基于Linux的容器镜像安全扫描，识别镜像中所有已知的漏洞信息，并对漏洞信息进行风险评估。本文介绍如何指定镜像版本扫描和指定目标命名空间的容器镜像扫描，如何获取镜像漏洞信息。 概述 在云原生平台中，容器镜像安全是云原生应用交付安全的重要一环，为了保障部署的服务安全性，防止服务因镜像漏洞被恶意攻击， 容器镜像服务CRS提供了对镜像进行安全扫描功能，不仅提升了容器整体的安全性，保护服务的安全。您可以在容器镜像服务页面中触发扫描，安全扫描的时长主要取决于镜像的大小，一般情况下扫描一个镜像可以在三分钟之内完成。当前镜像安全扫描服务基于开源Trivy 方案，相关漏洞信息来自官方漏洞库，并定期保持同步。 注意 受扫描引擎限制，建议镜像单层大小不要超过3GB，否则可能出现扫描失败。 操作步骤 1. 进入容器镜像服务控制台。 2. 点击已开通个人版实例名称。 3. 左侧导航栏点击镜像仓库。 4. 在镜像仓库页面点击目标仓库名，进入镜像版本列表页面。 5. 点击需要扫描的镜像版本右侧的安全扫描按钮，后台会创建一个扫描任务。 6. 等待扫描完成后，可在漏洞栏查看扫描结果。 7. 点击镜像版本 Digest 名称，可在镜像详情页中查看漏洞的具体信息。

本节介绍了容器镜像安全扫描(企业版)的用户指南。 容器镜像服务CRS支持所有基于Linux的容器镜像安全扫描，识别镜像中所有已知的漏洞信息，并对漏洞信息进行风险评估。本文介绍如何指定镜像版本扫描和指定目标命名空间的容器镜像扫描，并获取镜像漏洞信息。 概述 在云原生平台中，容器镜像安全是云原生应用交付安全的重要一环，为了保障部署的服务安全性，防止服务因镜像漏洞被恶意攻击， 容器镜像服务CRS提供了对镜像进行安全扫描功能，不仅提升了容器整体的安全性，保护服务的安全。您可以在容器镜像服务页面中触发扫描，安全扫描的时长主要取决于镜像的大小，一般情况下扫描一个镜像可以在三分钟之内完成。当前镜像安全扫描服务基于开源Trivy 方案，相关漏洞信息来自官方漏洞库，并定期保持同步。 注意 受扫描引擎限制，建议镜像单层大小不要超过3GB，否则可能出现扫描失败。 操作步骤 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "容器镜像" "镜像仓库"。 4. 在镜像仓库页面点击目标仓库名，进入镜像版本列表页面。 5. 点击需要扫描的镜像版本右侧的安全扫描按钮，后台会创建一个扫描任务。 6. 等待扫描完成后，可在漏洞栏查看扫描结果。 7. 点击镜像版本 Digest 名称，可在镜像详情页中查看漏洞的具体信息。

同城多活 同城多活容灾是在同城或相近区域内建立多个活跃的数据中心，这些数据中心在日常运行中均处于活跃状态，能够独立对外提供服务和处理业务操作。每个数据中心都存储有数据的副本，并实时更新，以确保在任何一个数据中心发生故障时，其他数据中心可以迅速接管其流量和业务，保证整体服务不受影响。 异地主备 异地主备容灾是在不同地理区域建立主备两个数据中心，主数据中心负责日常的生产运行和数据处理，而备份数据中心在主数据中心发生故障时接管服务。 RPO RPO（Recovery Point Objective）即数据恢复点目标。主要指的是业务系统所能容忍的数据丢失量，即对系统和应用数据而言，要实现能够恢复至可以支持各部门业务运作，系统及生产数据应恢复到的更新程度。通常RPO也表示为从丢失事件到最近一次备份的时间度量。 RTO RTO（Recovery Time Objective）即恢复时间目标。主要指的是所能容忍的业务停止服务的最长时间，也就是从灾难发生到业务系统恢复服务功能所需要的最短时间周期。RTO数值越小，代表容灾系统的数据恢复能力越强。

删除通用凭据 系统支持计划删除凭据，预删除周期内可随时取消删除。到达计划删除时间，系统会自动执行删除，一旦完成删除，凭据将无法恢复。 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏选择服务所在的区域。 3. 进入“凭据管理”页面，在页面上方切换目标KMS服务。 4. 在凭据列表页定位到目标凭据，点击操作列的“计划删除”。 5. 在弹出的对话框，填写预删除周期（730天）。同时确认计划删除的凭据信息，核对无问题后，勾选确认项，然后点击“确认”。 6. 计划删除配置成功后，凭据进入待删除状态，此时凭据不可用。您可在预删除周期内随时取消删除。

本章节主要介绍 补丁操作指导 。 当您通过如下途径获知集群版本补丁信息，请根据您的实际需求进行补丁升级操作。 通过消息中心服务推送的消息获知MapReduce服务发布了补丁信息。 进入现有集群，查看“补丁信息”页面，呈现补丁信息。 安装补丁前准备 请参见执行健康检查检查集群状态，确认集群健康状态正常后再安装补丁。 您根据“补丁内容”中的补丁信息描述，确认将要安装的目标补丁。 安装补丁 登录MRS管理控制台。 1. 选择“集群列表 > 现有集群”，选中一集群并单击集群名，进入集群基本信息页面。 2. 进入“补丁信息”页面，在操作列表中单击“安装”，安装目标补丁。 说明 滚动补丁操作请参见 对于集群中被隔离的主机节点，请参见 卸载补丁 登录MRS管理控制台。 1. 选择“集群列表 > 现有集群”，选中一集群并单击集群名，进入集群基本信息页面。 2. 进入“补丁信息”页面，在操作列表中单击“卸载”，卸载目标补丁。 说明 滚动补丁操作请参见 对于集群中被隔离的主机节点，请参见