本小节介绍日志审计(原生版)应用场景,主要是响应合规性要求、日志审计监管、日志关联分析等场景。 场景一：响应合规场景 采用日志审计监测、记录和存储网络运行状态和安全事件等信息，实现对系统的全面监控和细致记录，配合多种审计策略，快速定位溯源，全面提升系统服务水平以及网络安全管理水平，满足网络安全法规及等级保护的相关要求。 产品优势能力 产品具备海量日志存储能力，并可以长时间地保存大量日志信息，同时采用了多种技术手段，实现高效地日志数据处理和存储，降低性能负担，确保用户在实现合规性的同时，仍能维持系统的服务水平。 通过深度分析安全设备的日志信息，可以及时检测潜在的安全威胁，并结合溯源分析追踪攻击者的行为路径和攻击手法，更好地了解攻击者的意图和方法，帮助快速发现并阻止潜在的攻击，减少安全事件造成的损失。 场景二：运维分析场景 针对中大型企业设备多，系统多，难以统一监管问题，采用日志审计将所有设备、用户行为日志统一监管，贯穿从边界到核心资产的全流程运维监控，以及扩展对关键数据等资产的保护。 产品优势能力 提供实时流的日志分析监控，通过邮件方式及时通知用户，提高运维的响应及时率。 仪表盘灵活查看不同设备的整体运行情况，通过定时任务，统计一天到一周、月、季度的业务数据运维情况。 借助统计报表掌握业务趋势，通过接口调用统计为扩容、性能问题排查提供参考信息。 场景三：审计分析场景 基于大数据架构的日志审计系统，针对各类系统的日志进行集中采集、管理、存储、统计，分析的系统，实现高效统一管理资产日志并提供实时检索，可视化交互分析，聚合分析，实时告警，报表等功能。

本文将介绍如何使用边缘安全加速平台安全与加速服务的漏洞扫描功能。 功能介绍 通过天翼云监测系统平台，在无需用户采购任何Web应用扫描产品前提下，即可获得网站的漏洞态势，以及每个漏洞的详情介绍和修补建议，方便及时作出处置。 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为免费版及以上版本。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 新增漏洞扫描任务 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【网站风险监测】菜单，并在左侧域名列表选择您要扫描的域名。 3. 支持两种配置扫描任务方式。 4. 如果您需要快速复制其他域名的扫描任务，可单击【域名资产概况】中的【快速配置监测任务】。 5. 如果您需要新增扫描任务，单击【新增】按钮。 配置项说明： 配置项 说明 任务名称 用户可自定义任务名称，支持中文、英文、数字、下划线，最长30个字符。 任务开关 用户开启或者关闭任务。 监测任务等级 扫描漏洞范围： 高危:监测站点是否有命令执行，SQL注入，XML注入，目录遍历与目录穿越，跨站脚本漏洞，反序列化漏洞等。 中危：监测站点是否有敏感数据泄漏，用户凭证明文传输，错误的安全配置等。 低危：监测站点有无TLS传输防护，cookie未受httponly保护等。 监测URL 扫描任务开始扫描的url，从该url开始访问，逐层扫描。 比如：起始url： 则: 一级链接表示： 等； 二级链接表示： 等； 三级链接表示： 等。 监测排除URL 设置不需要扫描的URL，如 http(s)://www.ctyun.cn/xxx 不进行漏洞检测。 定义HTTP头部 如果扫描域名需要登录，需要设置可获取登录凭证Header以自定义设置登录凭据。 接口扫描 如果包含API接口需要上传扫描对应的api接口文件。 监测计划 立即检测：任务创建完立即进行漏洞检测，不再重复执行检测 ； 单次：任务创建完在指定时间进行漏洞检测，检测完成即任务结束，不再重复执行检测 每天：任务创建完任务在每天指定时间进行检测 每周：任务创建完任务在指定周几的指定时间进行检测 每月：任务创建完任务在指定日期的指定时间进行检测 通知方式 支持邮件和短信通知。

大语言模型 针对特定任务，对大语言模型进行优化，使其更符合你的应用场景。大语言模型管理为您提供统一的模型接入、代理与观测能力，支持将商业模型、开源模型或私有模型整合至同一平台，并通过模型代理策略实现成本优化、性能提升和稳定性保障。 核心概念 模型：对后端大模型服务的逻辑封装，定义了模型来源、访问凭证和基础配置。 模型代理：部署在高性能 LLM 网关上的代理服务，提供统一访问入口，并执行路由、容灾和并发控制等策略。 代理模式：单目标反向代理模式，绑定一个后端模型，所有请求直接转发至该模型，适用于简单、单一模型场景。 负载模式：多目标负载均衡模式，可绑定多个后端模型，根据轮询或加权策略分发请求，适用于组合使用多个模型的复杂场景。 查看模型列表 1. 登录智能体引擎控制台。 2. 左侧菜单选择模型 ，在页面顶部点击大语言模型标签页，查看已添加的模型列表。 页面右上角提供添加模型 按钮和搜索模型名称搜索框，支持快速查找已有模型。模型以卡片形式展示，显示模型名称、服务提供商、API 端点和更新时间。

配置主动防御 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，进入安全配置。 3. 在主动防御模块，单击“配置规则”，开始配置主动防御规则。 4. 选择相关参数。 参数 说明 启用自动响应 开启或关闭主动防御功能。 防御模式 精准防御：通过智能分析，精准识别挖矿、勒索病毒及恶意登录等高风险威胁，自动隔离病毒文件、封禁恶意 IP，误报风险较低。 自定义：通过深度检测，对识别到的全量后门、木马、蠕虫等可疑恶意文件，提供无差别自动隔离能力，误报的风险较高。 设置生效范围 自定义选择需要开启主动防御的服务器。 5. 配置完成后，单击“确认提交”。 6. 配置完成后可在“告警中心 > 威胁处置”模块查看拦截的IP或隔离的文件，可单击“操作”列的“手动解封”为误报IP和文件解封。 开启告警通知 开启告警通知后，当检测到资产存在风险时，会根据您配置的告警策略，向您发送告警通知，帮助您及时了解资产的安全情况。 说明 具体的告警发送限制及发送账号配置请参考告警通知章节。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“设置中心 > 告警通知”，进入告警通知页面。 3. 根据您的使用场景进行告警通知配置。 配置项 说明 告警状态 告警通知的开关，可以开启/关闭需要通知的事件类型。 告警时间 事件发生时实时发送告警通知。 说明 可根据您业务自身需求选择以下两种发送时间： 8:0020:00 全天 通知方式 支持通过“邮件”和“短信”的方式发送告警通知。 告警项 根据威胁等级自定义发送通知。 4. 配置完成后单击“保存配置”，界面弹出“保存告警设置成功”提示信息，则说明告警通知配置成功。

本文将为您详细介绍冷却时间的概念以及设置冷却时间的操作流程。 操作场景 冷却时间是指用户在每次成功的伸缩活动后设置的一段锁定时间，当一次伸缩活动执行完成，系统开始计算冷却时间。在冷却时间内，由告警策略、目标追踪策略触发的伸缩活动将会被拒绝执行，其他类型的伸缩活动不受限制，但执行完成之后将会重新开始冷却时间计时，以避免伸缩策略的频繁触发。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 在“弹性伸缩组”页签中，点击待添加冷却时间的伸缩策略所在伸缩组名称，进入到伸缩组详情。 5. 在下方的“伸缩策略”页签，点击“创建策略”， 进入到创建伸缩策略页面。 注意 若需要修改已有策略的冷却时间，可先停用策略，停用之后，点击“操作>修改”，进入到“修改伸缩策略”页面，对冷却时间进行修改 。 6. 在“创建伸缩策略”页面，当策略类型为告警策、目标追踪策略时，用户可设置冷却时间，冷却时间默认为300秒。 7. 配置完成，点击右下角的“确认”，即为告警策略、目标追踪策略设置冷却时间成功。

参数 参数类型 说明 示例 下级对象 action String 动作 cnnvd String 安全漏洞库 cve String cve descCn String 描述中文 descEn String 描述 level String 等级 method Array of Strings 获取method类别的规则 methodCn Array of Strings 获取method类别的规则中文 methodCnFirst Array of Strings 获取一级method类别的规则中文 methodCnSecond Array of Strings 获取二级method类别的规则中文 methodFirst Array of Strings 获取一级method类别的规则 methodSecond Array of Strings 获取二级method类别的规则 name String 规则名称 nameCn String 规则名称中文 ruleId Long 规则id ruleid和type二选一: 指定ruleid时，获取指定id规则信息; 指定type时，指定该分类的所有规则 target Array of Strings 获取target类别的规则 targetCn Array of Strings 获取target类别的规则中文 targetCnFirst Array of Strings 获取一级target类别的规则中文 targetCnSecond Array of Strings 获取二级target类别的规则中文 targetFirst Array of Strings 获取一级target类别的规则 targetSecond Array of Strings 获取二级target类别的规则 type String 规则类别 ruleid和type二选一 base: 普通规则 vpatch: 虚拟补丁规则

参数 参数类型 说明 示例 下级对象 hostid String 主机名 time String 时间 ipproto Integer IP协议 1:v4; 2:v6 proto Integer 协议 1:icmp; 6:tcp; 17:udp sip String 源IP dip String 目的IP sport Integer 源端口 dport Integer 目的端口 dir Integer 方向 1:in2out; 2:out2in appid Integer 应用id action Integer 动作, 1:pass; 2:drop ruleid Long 规则id（入侵防御/访问控制/流量日志有） level String 事件等级, 1:Low; 2:Middle; 3:High （入侵防御/访问控制日志有） origin Integer 来源, 1:基础防御 2:虚拟补丁 3:访问控制 4:黑名单 5:白名单 （入侵防御/访问控制日志有） originbytes Long 正向字节数（流量日志有） originpackets Long 正向报文数（流量日志有） responsebytes Long 应答字节数（流量日志有） responsepackets Long 应答报文数（流量日志有） origintime String 发起时间（流量日志有） terminaltime String 终止时间（流量日志有） gwlbeid String gwlbe id（入侵防御日志有） className String 攻击类型（入侵防御日志有） virus String 病毒名称 (病毒日志有) md5 String md5值 (病毒日志有)

本节主要介绍如何在智能视图服务控制台使用人脸库。 如果要使用人脸识别相关的AI分析功能，需要配置人脸库，包含创建目标人脸库、添加人员信息等操作。点击左侧导航栏的【AI管理人脸库】，可以查看平台的所有人脸库列表，包括人脸库名称、人数、创建时间和更新时间等信息，用户可以进行查看/编辑/删除相关操作。 添加人脸库 点击【添加人脸库】，进入该页面，输入名称和描述完成人脸库的创建。 添加人员 进入目标人脸库的成员详情页面，点击【添加成员】按钮，根据页面提示上传头像、填写姓名等关键信息。 添加完成后，返回人脸库的成员详情页面可进行查看，支持对人员进行编辑和删除操作。

本页为您介绍数据传输服务的技术架构和功能原理。 DTS技术架构 天翼云DTS系统技术架构图如下所示： DTS功能原理 数据迁移 DTS数据迁移提供多种迁移类型：结构对象迁移、全量数据迁移及增量数据迁移。如果需要实现不停服务迁移，需要同时选择结构对象迁移、全量数据迁移和增量数据迁移。 全量数据迁移过程可能会持续较久，在这过程中，源实例不断有业务写入，为保证迁移数据的一致性，在全量数据迁移之前，会记录当前源实例的日志位点，存储在本地数据库中。 当全量数据迁移完成后，DTS会启动增量日志回放模块，增量日志回放模块会从增量日志读取模块中获取增量数据，经过反解析、过滤、封装后迁移到目标实例，从而实现增量数据迁移。 数据同步 DTS数据同步功能能够实现两个数据源之间的增量数据实时同步。 同步链路创建过程 同步初始化 将源实例的历史存量数据在目标实例初始化一份。 增量数据实时同步 当初始化完成后进入两边增量数据实时同步阶段，该阶段DTS将实现源实例和目标实例的数据动态同步。

前提条件 1.已创建公网NAT网关。 2.已开通云日志服务。 3.NAT 网关实例需要与创建的云日志服务在同一地域。 操作步骤 1.登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>公网NAT网关”，进入NAT网关页面。 2.点击需要开启会话日志的公网NAT网关名称，进入公网NAT网关详情页，下拉至会话日志标签页。 3.若未进行角色授权，请点击“去授权”，完成授权操作。 4.完成授权后，根据页面提示开启会话日志，开启后，日志数据将会收集至云日志服务指定的日志单元中。 5.登录云日志服务控制台，在指定的会话日志单元下，即可进行日志查询、分析与告警配置操作。

2、目标库用户权限检查 失败原因 处理建议 :: 连接目标库的用户需要具备admin库的dbAdminAnyDatabase权限、readWriteAnyDatabase权限、clusterMonitor权限。 连接到DDS/MongoDB副本集目标数据库，使用超级用户或具有适当权限的用户执行以下命令，参考： db.grantRolesToUser("用户名",[{role:"dbAdminAnyDatabase",db:"admin"}, {role:"readWriteAnyDatabase",db:"admin"},{role:"clusterMonitor",db:"admin"}]) 连接目标库的用户需要具备admin库的dbAdminAnyDatabase权限，admin库的readWriteAnyDatabase权限、clusterManager权限。 连接到mongos目标数据库，使用超级用户或具有适当权限的用户执行以下命令，参考： db.grantRolesToUser("用户名",[{role:"dbAdminAnyDatabase",db:"admin"},{role:"readWriteAnyDatabase",db:"admin"},{role:"clusterManager",db:"admin"}]) 网络情况检查 1、源库连通性检查 失败原因 处理建议 :: 源数据库账号或密码不正确。 输入正确的数据库账号和密码后重新执行预检查。 源数据库所在网络或服务器设置了防火墙。 查看数据库所在的网络防火墙是否限制了DTS的IP地址段，如果有，关闭防火墙或者将DTS的IP地址加入防火墙白名单中。 源数据库迁移账号登录权限不足。 登录源库，为迁移账号添加相应的远程访问权限。 网络互通问题。 联系数据库所在机器管理人员和DTS部署机器管理人员排查问题。 2、目标库连通性检查 失败原因 处理建议 :: 目标数据库账号或密码不正确。 输入正确的数据库账号和密码后重新执行预检查。 目标数据库所在网络或服务器设置了防火墙。 查看数据库所在的网络防火墙是否限制了DTS的IP地址段，如果有，关闭防火墙或者将DTS的IP地址加入防火墙白名单中。 目标库迁移账号登录权限不足。 登录目标库，为迁移账号添加相应的远程访问权限。 网络互通问题。 联系数据库所在机器管理人员和DTS部署机器管理人员排查问题。 数据库对象检查

本文介绍如何使用rsync工具实现天翼云弹性文件服务中两个NFS协议文件系统之间的数据迁移。 应用场景 本文适用于同地域同一VPC不同文件系统之间的数据迁移。 前提条件 已拥有两个NFS协议文件系统，并且准备一台与源文件系统在同一VPC网络下的弹性云主机。两个文件系统分别作为源文件系统和目标文件系统，源文件系统指含业务数据的源文件系统，目标文件系统指即将投入使用的新文件系统。 准备工作 1. 注册天翼云官网账号，并完成实名认证，具体操作请参考注册天翼云账号。 2. 登录天翼云官网页面，找到控制中心，具体操作请参考天翼云控制中心。 3. 分别创建一个文件系统和一台弹性云主机，具体操作请参考创建弹性文件系统、创建弹性云主机。 4. 挂载文件系统至弹性云主机，具体操作请参考使用弹性云主机挂载文件系统。 操作步骤 两个文件系统之间的数据迁移可以分为几个关键步骤： 挂载文件系统 >迁移存量数据>迁移增量数据>迁移应用 。具体操作步骤如下： 1. 将文件系统挂载到云主机 将文件系统挂载至云主机中，为了方便区分，源文件系统挂载到“/mnt/src/“路径上，目标文件系统挂载到“/mnt/dst/“路径上。

本节为您介绍退订算力专网站点退订的操作步骤。 算力专网服务默认为用户启用自动续订机制，以确保服务的连续性和稳定性。若您有意终止算力专网服务的使用，请您务必执行退订操作，以确保服务的正常终止和避免不必要的费用产生。 操作说明 1. 登录天翼云算力专网控制台； 2. 单击“站点信息”，在算力专网的站点列表页面，单击目标站点实例操作列的“退订”； 3. 在退订的弹出框中，确认退订信息； 4. 单击“确定”，并完成退订。 计费说明 网络使用费依据合同按月向客户收取，在开通或退网当月，客户通信费用为：（网路使用费 / 当月天数） 当月实际使用天数。 其中，开通当月天数，含开通当天；退网当月天数，含客户申请退订日期当天或客户使用的专线实际关闭日期当天。

本章节主要介绍翼MapReduce的查看实例组信息操作。 操作场景 管理员可以在FusionInsight Manager查看指定服务的实例组。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 服务”。 3. 单击服务视图中待操作的服务名称。 4. 单击“实例组”。 5. 在导航栏选择一个角色，在“基本”页签，查看该实例组的全部实例。 说明 需要将某个实例从一个实例组移动到另一个实例组中时，可以根据以下操作： 1. 勾选需要移动到新实例组的实例，然后单击“移动”。 2. 在弹出窗口选择一个目标的实例组。 迁移时将自动继承新实例组的配置，如果该实例之前修改过配置，将以自身的配置优先。 3. 单击“确定”。 完成后请重新启动配置过期的服务或实例以使配置生效。

本节为您介绍自建Oracle迁移至自建MySQL任务配置。 前提条件 （1）自建MySQL目标端版本为5.6、5.7、8.0版本。 （2）MySQL实例对表名的英文大小写不敏感，如果使用大写英文建表，MySQL会先把表名转为小写再执行建表操作。 （3）如果您的自建Oracle版本为12c及以上，待迁移表的名称长度需不超过30个字节。 （4）如果源Oracle数据库中存在表名相同仅大小写不同的表，可能会导致迁移对象重名并在结构迁移中提示“对象已经存在”。如果出现这种情况，请在配置迁移对象的时候，使用对象名重命名功能对重名的对象进行重命名。 （5）MySQL需要关闭大小写敏感。 目标端权限要求 迁移模式 所需权限 基础权限 SELECT, DELETE, INSERT 全量迁移 需具备基础权限，且具备ALTER权限 增量迁移 需基本基础权限 结构迁移 CREATE, REFERENCES, INDEX, TRIGGER, CREATE VIEW, DROP, CREATE ROUTINE, EXECUTE 稽核修复 需基本基础权限 目标端配置 数据源类型 选定为MySQL，可将源端迁移至版本范围内的MySQL数据库 服务器IP 目标端数据库的连接IP 端口号 目标端数据库的端口 用户名 用于连接待目标端数据库的用户名称 密码 用于连接待目标端数据库的用户的密码 数据库 目标端用于接收源端数据的数据库名称

操作步骤 步骤 1 登录CCE控制台。 步骤 2 单击集群名称进入集群，在左侧选择“节点管理”，选择目标节点池，点击节点池名称，进入节点池详情，单击“节点管理”，记录节点池的节点。 步骤 3 返回节点池，选择目标节点池，单击”更多“，选择“修复操作系统中出现的CVE安全漏洞”。 步骤 4 点击“去开通”，签约安全卫士服务协议 步骤 5 点击去配置，跳转到服务器安全卫士。 由于基础版仅带漏洞扫描，不带漏洞修复，所以需要用户切换至企业版。单击“资产管理”，选择服务器列表，在步骤 2的记录的节点右侧点击“切换版本”。 若配额不足，请点击右上角购买与节点数量匹配的非基础版本配额。 如果节点防护状态未开启，且 Agent 状态为“未激活”，则需点击右侧的“安装 Agent”，按照指引安装 Agent，并点击“更多”，选择“开启防护”。 在左侧菜单中选择“风险管理”>“漏洞扫描”，然后在页面上找到定时扫描，点击“设置”。接着勾选您的目标扫描设置（建议选择“全部服务器”，后续新增服务器可自动纳入扫描），最后点击“确定”即可开启定时任务。具体可参考扫描漏洞。 步骤 6 处理扫描出的漏洞。选择对应的漏洞以及对应的节点，填写每批次最大并行数（不填写默认是0，为串行修复），点击“开始修复”，即可对漏洞节点进行修复。在修复期间，可对修复进行暂停和恢复。

支持控制是否开启日志。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「应用监控」「应用列表」。 3. 在应用列表中选择您想查看的应用，点击「应用名称」打开新的应用详情链接。 4. 在左侧导航栏中选择「应用设置」「日志开启设置」。 前提条件 需要先开通云日志服务产品，如果您已开通，则可通过配置关联查看调用链路的日志详情。 功能说明 关联业务日志与TraceId 设置关联云日志服务的具体日志项目和单元，确认日志存储路径，以便查看。开启关联后，在调用链详情会出现查看日志按钮，点击可跳转云日志服务查看具体内容。

前提条件 说明 Redis 4.0及以上版本的实例支持实例交换IP。 只有源实例和目标实例都为云服务Redis实例才支持实例交换IP。 准备目标实例，如果已有目标Redis，不需要重复创建，但在迁移之前，您需要清空实例数据，清空操作请参考清空实例数据。 如果没有清空，如果存在与源Redis实例相同的key，迁移后，会覆盖目标Redis实例原来的数据。 创建的目标Redis与源Redis和迁移任务资源所在VPC需在同一个VPC内。 创建的目标实例端口需要与源实例保持一致。 进行实例交换IP满足的条件为： − 进行实例IP交换依赖的是数据迁移功能，所以，源实例及目标实例必须支持数据迁移功能，详见DCS支持的迁移能力。 − 交换IP支持的能力如下表。 交换ip能力 源端 目标端 单机/主备/读写分离 单机/主备/读写分离/proxy集群 Proxy集群 单机/主备/读写分离/proxy集群 交换IP须知 1. 交换IP过程中，会自动停止在线迁移任务。 2. 交换实例IP地址时，会有一分钟内只读和秒级的闪断。 3. 请确保您的客户端应用具备重连机制和处理异常的能力，否则在交换IP后有可能需要重启客户端应用。 4. 源实例和目标实例不在同一子网时，交换IP地址后，会更新实例的子网信息。 5. 如果源端是主备实例，交换IP时不会交换备节点IP，请确保应用中没有直接引用备节点IP。 6. 如果应用中有直接引用域名，请选择交换域名，否则域名会挂在源实例中。 7. 请确保目标Redis和源Redis密码一致，否则交换IP后，客户端会出现密码验证错误。 8. 当源实例配置了白名单时，则在进行IP交换前，保证目标实例也配置同样的白名单。

本章节会介绍自建MySQL迁移场景。 场景描述 概述：自建MySQL迁移上云场景本章节采用了数据复制服务产品（简称DRS），在DRS能够同时连通源数据库和目标数据库的情况下，只需要配置迁移的源、目标数据库实例及迁移对象即可自动完成整个数据迁移过程。迁移支持多种网络迁移方式，如：公网网络、VPC网络、VPN网络和专线网络。通过多种网络链路，可快速实现跨云平台数据库迁移、云下数据库迁移上云或云上跨区域的数据库迁移等多种业务场景迁移。 典型行业：所有使用MySQL数据库的行业。 适配场景：适用于实时迁移场景。 技术架构图 本实践方案基于如下图所示的技术架构和主要流程。 方案优势 操作便捷、简单，实现数据库的迁移和同步“人人都会”。传统场景中，需要专业的技术背景，步骤复杂，技术门槛比较高。 仅需分钟级就能搭建完成迁移任务，让整个环境搭建“高效快速”。传统场景下需要人工部署，短则几天，长则上周或上月。 通过服务化迁移，免去了传统的DBA人力成本和硬件成本，并允许按需购买，实现了服务“人人都能用上”。 通过迁移进度、迁移日志、迁移数据等多项指标的查询和对比，大大提升了迁移任务的成功率，实现数据库迁移和同步“人人都能做好”。

参数 参数类型 说明 示例 下级对象 deletedTime String 密钥删除时间 Tue Oct 25 15:06:52 CST 2022 rotationInterval String 轮转周期 7d nextRotationDate String 下次轮转时间 Tue Oct 25 15:06:52 CST 2022 createdTime String 密钥创建时间 Tue Oct 25 15:06:52 CST 2022 description String 密钥描述 密钥描述，长度小于8129 Tue Oct 25 15:06:52 CST 2022 cmkUuid String 密钥唯一标识 474e569e8814474a948bdbcf6d853eff status String 密钥状态 1 keyUsage String 密钥类型1加密解密 2签名验签 1 lastRotationDate String 上一次轮转时间 Tue Oct 25 15:06:52 CST 2022 userId String 密钥所属用户id 562b89493b1a40e1b97ea05e50dd8170 protectionLevel String 密钥保护级别 保护等级，0为硬件，1为软件 origin String 密钥来源 1KMS 2外部密钥 1 automaticRotation String 是否开启轮转取值0，1，2 1 isDefault String 密钥是否为默认密钥 1 keySpec String 密钥类型 AES256 aliasName String 密钥别名 ECS updatedTime String 密钥更新时间 20221025 15:06:53 epId String 企业项目id default deleted String 密钥是否删除（0未删除，1已删除） 0

本节主要介绍解除卷关联的QoS策略。 可以通过下列方式解除卷关联的QoS策略： 在“服务”>“QoS策略管理”页面，点击具体的QoS策略名称，进入QoS策略详细信息页面。在“关联详情”>“卷”下点击“解除关联对象”，选择需要解除关联QoS策略的卷即可。 图1 解除QoS策略关联的卷 在“服务”>“卷管理”页面，点击目标卷，进入卷详细信息页面。点击“QoS策略”下的“解除QoS关联”，即可解除卷关联的QoS策略。 图2 解除卷的QoS策略

本文主要介绍云日志服务中的静默策略。 您设置的告警规则，如果满足静默策略则不会触发告警通知，您可以通过静默策略对告警进行收敛，避免同一时间出现大量重复告警或关联告警。 功能入口 1. 选择目标资源池，并登录云日志服务控制台。 2. 在左侧导航栏中选择「告警管理」「静默策略」。 功能说明 支持增删改查静默策略。 事件匹配规则：支持通过且或关系组合创建事件规则，使得在满足当前事件规则时，触发静默策略。支持添加多个匹配规则。 静默时段：若打开限制时间开关，可设置静默规则的生效时间段。

本章节主要介绍数据治理中心的新建连接功能。 操作场景 用户在创建数据迁移的任务前，需要先创建连接，让CDM集群能够读写数据源。一个迁移任务，需要建立两个连接，源连接和目的连接。不同的迁移方式（表或者文件迁移），哪些数据源支持导出（即作为源连接），哪些数据源支持导入（即作为目的连接），详情请参见支持的数据源。 不同类型的数据源，创建连接时的配置参数也不相同，本章节指导用户根据数据源类型创建对应的连接。 约束限制 当所连接的数据源发生变化（如MRS集群扩容等情况）时，您需要重新编辑并保存该连接。 前提条件 已具备CDM集群。 CDM集群与目标数据源可以正常通信。 1. 如果目标数据源为云下的数据库，则需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP、CDM云上安全组出方向放通云下数据源所在的主机、数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 2. 如果目标数据源为云上服务（如DWS、MRS及ECS等），则网络互通需满足如下条件： ①CDM集群与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 ②CDM集群与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组 > 添加安全组规则”章节。 ③此外，您还必须确保该云服务的实例与CDM集群所属的企业项目必须相同，如果不同，需要修改工作空间的企业项目。 已获取待连接数据源的地址、用户名和密码，且该用户拥有数据导入、导出的操作权限。 使用Agent时需用主账户给子账户赋予CDM操作权限。

操作步骤 步骤一：创建加密策略 开通翼加密后，通过天翼AI云电脑（政企版）控制台菜单找到“文件加密”——“加密策略管理”，点击“新建”即可自定义创建加密策略。 加密策略配置项说明如下所示： 策略内容 安全办公场景： 加密范围：文档文件全选 加密强度：标准 金融财务办公： 加密范围：文档文件全选 加密强度：最高 自定义设置：不预设加密范围和加密强度，完全由管理员自定义选择 加密范围 租户管理员可以根据具体的应用程序以及相应的文件格式类型，自定义配置加密文件的范围。 剪切板控制 开启后加密管控进程打开的文件无法复制粘贴内容到非加密管控进程，比如用WPS打开的word文档内的文字图片无法复制到微信，保证加密数据安全无泄漏。 加密管控进程之间的复制粘贴操作正常，如WPS打开的多个word文档之间允许复制粘贴。 加密强度 国密算法（旗舰版）：SM4，适用于有国密加密安全要求的政企部门或组织。 最高（旗舰版）：AES256，安全系数最高，适用对文件安全性要求高的场景。 高（旗舰版）：AES192，安全系数高，适用于对文件安全性有较高要求的场景。 标准（标准版）：AES128，基础的安全加密等级，能有效加密文件，防止文件数据外泄。 步骤二：分配加密策略 创建加密策略后，回到策略管理列表，点击右侧的“分配”，可自定义设置加密策略的适用范围。 加密策略可以按3个维度进行分配。 分配给部门：部门内的所有桌面将被分配上策略。并且该部门添加新的桌面时，新桌面也将分配上对应的加密策略。 分配给桌面池：桌面池内的所有桌面将被分配上策略。并且该桌面池添加新的桌面时，新桌面也将分配上对应的加密策略。 分配给桌面：加密策略也可以直接分配给桌面。 注意：当桌面分配的加密策略，与对应的桌面池、部门设置的加密策略冲突时，按桌面＞桌面池＞部门的优先级判断。即： 1.先判断桌面是否分配了加密策略，若有，则以桌面分配的加密策略为准； 2.若桌面没有分配加密策略，则判断桌面所属桌面池是否分配了加密策略，若有，则以桌面池分配的加密策略为准； 3.若桌面池也没有分配加密策略，则判断桌面所属部门是否分配了加密策略，若有，则以部门分配的加密策略为准。 步骤三：开启加密 分配好加密策略后，点击“文件加密”——“加密桌面管理”，就能看到所有被分配了加密策略的桌面。批量勾选列表中的桌面，点击列表顶部的“开启加密”按钮，即可开启AI云电脑加密保护。 开启加密的AI云电脑，所有新建、下载、接收及编辑保存的目标文件类型都将自动加密。 如果希望对AI云电脑内之前已经存在的文件进行加密，可以选择AI云电脑并点击“全盘加密” 全盘加密之前，将对AI云电脑先进行重启操作，请确保AI云电脑内文件已保存，并退出登录AI云电脑客户端。请不要将需要加密的AI云电脑关机。 全盘加密完成后，AI云电脑内已有的所有目标文件会被加密保护。并且后续AI云电脑编辑保存、接收、下载的所有目标类型文件将被自动加密保护。 注意：全盘加密/解密的持续时间与AI云电脑内的文件数有关，若AI云电脑内文件数较大，全盘加密/解密时间也相应更长。为了不影响AI云电脑正常使用，建议在晚上等不使用AI云电脑的时段进行全盘加密/解密操作。 步骤四：脱密审批流程设置 AI云电脑内的加密文件外发可以设置审批流程。打开“组织管理”——“审批流程”，点击“分管设置”，设置租户内各个部门的分管人员。部门内用户提交的脱密申请将由分管人员审批。 部门的分管人员若设置了多个，则部门内人员提交的脱密申请，按该部门分管人员列表从上到下的顺序进行审批。 若配置分管人员时发现部门人员与当前组织架构不符，可点击列表右上方的“同步组织机构”进行更新。 除此之外，脱密审批流程支持更加灵活的自定义配置。在“流程配置”中找到企业加密流程，点击“编辑”进行修改。 审批节点设置： 审批节点是阻塞节点，需审批人处理才能继续流程。 审批人若选择部门，则该部门的所有人都要处理该节点（不包括子部门人员）。 审批人若选择人员，则指定某个人或多个人处理该节点。 审批人若选择角色，则属于该角色的所有人员均要处理该节点。 审批人若选择人员部门控件，则可动态的选择审批人。 审批人还可通过函数逐层查找，包括：添加新的逐层经理函数，添加新的主管函数，添加角色查找函数。

本小节介绍云下一代防火墙双向访问控制最佳实践。 背景信息 云下一代防火墙作为云计算环境的边界网络安全，符合等级保护要求条例中边界安全访问控制要求项，能够实现内外网访问控制隔离等要求。 前期准备 用户需整理按业务需求整理好业务内外访问控制需求，整理点包含但不限于以下内容： 访问互联网业务的云主机信息，内网IP地址； 访问互联网业务是否存在限制，是否需要记录上网行为审计； 对外发布业务云主机信息，内网IP及对应公网IP； 对外发布业务云主机的业务端口信息，使用协议，域名信息等； 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问； 配置操作 云计算边界扩展要求针对云·边界安全有如下要求，要求边界安全能够实现访问控制、恶意代码防范、入侵防范等能力，以下配置流程可实现以上边界安全需求。 配置流程说明： 序号 子流程 配置内容 1 梳理业务映射关系 1） 访问互联网业务的云主机信息，内网IP地址，详情参考《云墙上线信息收集表》 2） 访问互联网业务是否存在限制，是否需要记录上网行为审计； 3） 对外发布业务云主机信息，内网IP及对应公网IP； 4） 对外发布业务云主机的业务端口信息，使用协议，域名信息等； 5） 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问； 6） 是否有WAF/CDN业务访问，提供源站白名单 2 配置网络接口 按照平台已添加的网卡进行网卡接口配置登录云墙【网络】→【接口】→【接口配置】，详细配置参考配置网络接口属性 3 配置基础准备环境 按需配置对象薄、地址薄等信息登录云墙，【对象】→【服务薄】/【地址薄】，详细配置参考配置服务对象薄 4 配置出向NAT策略 确认需要访问互联网的云主机，进行snat配置【策略】→【NAT】→【源NAT】，详细配置参考配置出站NAT策略 5 配置入向NAT策略 确认需要访问互联网的云主机，进行snat配置【策略】→【NAT】→【目的NAT】，详细配置参考配置入站NAT策略 6 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置【策略】→【安全策略】→【新建】，详细配置参考配置安全策略 7 配置出向路由和平台路由 确认内网访问互联网的出接口地址，配置出向路由【网络】→【路由】→【源路由】，详细配置参考配置出站路由和配置平台默认路由 8 配置业务割接 将弹性IP从云主机上解绑至云墙网卡即可。

本节主要介绍设置告警规则 云监控界面支持设置文档数据库服务告警规则，用户可自定义监控目标与通知策略，及时了解文档数据库服务运行状况，从而起到预警作用。 设置文档数据库服务的告警规则包括设置告警规则名称、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数。本节介绍了设置文档数据库服务告警规则的具体方法。 说明 更多关于文档数据库服务监控规则的信息，请参见《云监控用户指南》。 自定义告警规则 步骤 1 登录管理控制台。 步骤 2 选择“管理与监管 > 云监控服务”。 步骤 3 在左侧导航树，选择“告警 > 告警规则”。 步骤 4 在“告警规则”页面，单击“创建告警规则”。 步骤 5 在“创建告警规则”界面，根据界面提示配置参数。 此处需要关注如下参数： 资源类型：选择文档数据库服务。 维度：DDS支持实例级别和节点级别的监控维度，不同的监控指标支持的监控维度不同，请参考文档数据库服务监控指标说明。 配置监控维度 步骤 6 告警规则设置完成后，当符合规则的告警产生时，系统会自动进行通知。

注意事项 仅当开通CDN加速全球（不含中国内地）服务时，支持开通高性能网络增值服务。具体的开通流程，详情请见：高性能网络开通。 该功能为增值服务，涉及产生相应的费用。具体计费规则，详情请见：高性能网络计费。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在域名列表中，找到目标域名，开启高性能网络的开关。 4. 根据域名的业务需要，选择使用的场景，点击【确定】。

本章介绍如何根据文件备份将资源的数据恢复到备份时刻的状态。 约束限制 需要恢复的资源的状态为“正常”。 不建议对正在运行的应用程序的文件进行恢复，建议停止应用程序运行后再执行恢复操作。 方式1 1. 登录云服务备份管理控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 选择“存储 > 云服务备份 > 文件备份”。 2. 选择“文件备份”页签，单击目标文件所在资源名称。 3. 单击备份所在行的“恢复数据”。 4. 选择恢复的位置： 当前位置：数据将恢复至当前服务器原文件路径下，并且覆盖同名文件的数据。仅Linux系统支持恢复到当前位置。 创建新位置：数据可以恢复至其他所选的服务器的文件路径下。选择目标服务器：需要选择已在“文件备份”中“正常”的主机。如果目标服务器未在列表中，需要前往“文件备份”完成Agent安装步骤。 5. 根据页面提示，单击“确定”。可以在文件集备份副本页面和本地主机确认恢复数据是否成功。文件集备份的“状态”恢复为“可用”时，表示恢复成功。 说明 存储位置的文件目录不能包含空格。 方式二 1. 登录云服务备份管理控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 选择“存储 > 云服务备份 > 文件备份”。 2. 选择“文件备份”页签，单击目标文件所在资源名称。 3. 单击“操作”列下的“可恢复时间轴”。 4. 选择需要将数据恢复的备份时间点。单击“恢复”。选择该时间点恢复后，数据将恢复至该时间点的状态。 5. 选择恢复的位置： 当前位置：数据将恢复至当前服务器原文件路径下，并且覆盖同名文件的数据。仅Linux系统支持恢复到当前位置。 创建新位置：数据可以恢复至其他所选的服务器的文件路径下。选择目标服务器：需要选择已在“文件备份”中“正常”的客户端。如果目标客户端未在列表中，需要前往“文件备份”完成客户端安装步骤。 6. 根据页面提示，单击“确定”。可以在文件备份副本页面和本地主机确认恢复数据是否成功。文件备份的“状态”恢复为“可用”时，表示恢复成功。

本节主要介绍怎么登录HBlock控制台。 使用WEB浏览器访问 :PORT进行登录。 登录后，可以在HBlock控制台上对下列各项进行管理操作：卷、iSCSI目标、服务器、存储池（仅集群版支持）、集群拓扑（仅集群版支持）、监控、告警、事件和日志、设置。 如果未安装字体库，会导致验证码不显示，可以按照下列操作进行： 1.在提供Web服务的服务器上安装字体库。 CentOS： plaintext yum install fontconfig fccache force Debian/Ubuntu： plaintext apt install fontconfig fccache force 2.在WEB访问的服务器上执行下列命令，重启HBlock服务。 plaintext ./stor restart

了解存储资源盘活系统的登录操作。 使用浏览器访问 进行登录。 登录后，可以在HBlock控制台上对下列各项进行管理操作：卷、iSCSI目标、服务器、存储池（仅集群版支持）、集群拓扑（仅集群版支持）、监控、告警、事件和日志、设置。 如果未安装字体库，会导致验证码不显示，可以按照下列操作进行： 1.在提供Web服务的服务器上安装字体库。 CentOS： plaintext yum install fontconfig fccache force Debian/Ubuntu： plaintext apt install fontconfig fccache force 2.在WEB访问的服务器上执行下列命令，重启HBlock服务。 plaintext ./stor restart

单节点重启 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4. 在下方实例节点部分，可以看到节点列表，点击目标节点对应行右侧的操作按钮，即可重启目标节点； 实例扩缩容 扩/缩容是指将实例资源进行升/降配以实现实例对业务容量支持能力的提升/降低。 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例所在行的“扩容”按钮可跳转到实例扩容页面，根据该页面的扩容选项可以进行扩容操作； 4. 进行扩缩容操作后，页面会跳转到实例列表页面，在实例列表页面该实例的状态为“扩容中”，点击状态旁边的小图标可以查看扩容流程细节； 续订 对于包年包月订购类型的实例，您可以点击续订按钮对实例进行续期。 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例所在行的“续订”按钮可跳转到实例扩容页面，根据该页面的续订时长选项进行续订操作； 实例名称修改 注册配置中心支持修改实例的名称，便于用户管理。在实例开通完毕后，您可以在控制台修改实例名称，对应监控指标告警信息都会同步调整。 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行"管理"按钮均可跳转至实例基础信息页面； 4. 在实例基础信息页面，点击实例名称后的编辑图标； 5. 在修改实例名称的弹框中，输入新实例名称并点击修改按钮；

iSCSI target iSCSI target是位于iSCSI服务器上的存储资源。它是一个通过IP网络基础设施来连接数据存储设备的协议，允许将远程存储设备映射到本地主机，提供了一种基于网络的存储解决方案。 iSCSI目标门户 iSCSI目标门户即HBlock服务器的目标门户，用于与HBlock不在同一局域网的Initiator通信。 如果与HBlock不在同一局域网的Initiator想访问HBlock某一服务器，需要先进行网络配置（如NAT等），确保Initiator可以通过该IP地址访问HBlock服务器，然后将该地址配置为HBlock服务器的目标门户，之后Initiator即可通过配置的目标门户访问HBlock服务器。 存储池 存储池：硬件提供的存储资源的集合，物理上通常指的是同一种介质的硬盘(跨多台服务器)的集合。也可以根据自己的需要将不同机房、机柜的服务器上的数据目录组成存储池。 基础存储池：初始化时默认创建的存储池为基础存储池。通过3.7之前的版本升级上来的物理资源也都属于基础存储池。 QoS策略 QoS（Quality of Service，服务质量）策略通过令牌桶算法精确调控IOPS与吞吐量，在拥塞出现前就完成流量整形，从源头避免网络拥塞。 该策略可以根据实际需求，应用下列场景： 关键业务保障：通过限制周边业务的I/O，间接保障核心业务服务质量。 存储分层优化：在不同性能层(如SSD和HDD)之间合理分配I/O资源，优化混合存储环境中的性能表现。 突发流量处理：允许短时间超出基准限制，平滑处理突发I/O而不直接拒绝请求。