本节主要介绍MongoDB数据库迁移 本章节主要介绍了通过DRS将本地MongoDB数据库实时迁移至本云DDS的任务配置流程。支持以下网络类型： VPN（Virtual Private Network，虚拟专用网络）网络 公网网络 迁移流程 图 迁移流程图 迁移建议（重要） 数据库迁移与环境多样性和人为操作均有密切关系，为了确保迁移的平顺，建议您在进行正式的数据库迁移之前进行一次演练，可以帮助您提前发现问题并解决问题，如何最小化对数据库的影响请参考如下建议。 强烈建议您在启动任务时选择“稍后启动”功能，将启动时间设置在业务低峰期，相对静止的数据可以有效提升一次性迁移成功率，避免迁移对业务造成性能影响。 迁移须知（重要） 说明 在创建迁移任务之前，请您务必仔细阅读迁移须知。 参考《数据库复制服务快速入门》中的“使用须知”章节。 迁移准备 1.权限准备： 当使用 DRS 将本地数据库的数据迁移到本云DDS实例时，在不同迁移类型情况下，对源数据库和目标数据库的帐号权限要求如表1所示： 表 迁移账号权限 迁移类型 全量迁移 全量+增量迁移 源数据库 o 副本集：连接源数据库的用户权限需要对admin数据库有readAnyDatabase权限。 o 集群：连接源数据库的用户权限需要对admin数据库有readAnyDatabase权限，对config数据库有read权限。 o 单节点：连接源数据库的用户权限需要对admin数据库有readAnyDatabase权限。 如果需要迁移源数据库用户和角色信息，连接源数据库的用户权限需要对admin数据库的系统表system.users，system.roles有读权限。 o 副本集：连接源数据库的用户权限需要对admin数据库有readAnyDatabase权限，对local数据库有read权限。 o 单节点：连接源数据库的用户权限需要对admin数据库有readAnyDatabase权限，对local数据库有read权限。 o 集群：连接源数据库mongos节点的用户权限需要对admin数据库有readAnyDatabase权限，对config数据库有read权限， 连接源数据库分片节点的用户权限需要对admin数据库有readAnyDatabase权限，对local数据库有read权限。 如果需要迁移源数据库用户和角色信息，连接源数据库的用户权限需要对admin数据库的系统表system.users，system.roles有读权限。 目标数据库 连接目标数据库的用户权限需要对admin数据库有readAnyDatabase权限，对目标数据库有readWrite权限。 源数据库的权限设置： 需要确保源数据库MongoDB的帐号具备表1的权限，若权限不足，需要在源数据库端创建高权限的帐号。 目标数据库的权限设置： 本云DDS实例使用初始帐号即可。 2.网络准备： 源数据库的网络设置： 本地MongoDB数据库实时迁移至本云DDS的场景，一般可以使用VPN网络和公网网络两种方式进行迁移，您可以根据实际情况为本地MongoDB数据库开放公网访问或建立VPN访问。一般推荐使用公网网络进行迁移，该方式下的数据迁移过程较为方便和经济。 目标数据库的网络设置：若通过VPN访问，请先开通天翼云VPN服务，确保源数据库和目标DDS网络互通。 若通过公网网络访问，目标DDS不需要进行设置。 3.安全规则准备： 源数据库的白名单设置：若通过公网网络进行迁移，源数据库MongoDB实例需要将具体的DRS迁移实例的弹性公网IP添加到其网络白名单中，确保源数据库MongoDB实例可以与上述弹性公网IP连通。在设置网络白名单之前需要获取DRS迁移实例，具体方法如下： 迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性公网IP。如图4所示： 图 迁移实例公网弹性IP 以上讲述的是精细配置白名单的方法，还有一种简单设置白名单的方法，在安全允许的情况下，可以将源数据库MongoDB实例的网络白名单设置为0.0.0.0/0，代表允许任何IP地址访问该实例。 若通过VPN网络进行迁移，源库需要将DRS迁移实例的私有IP添加到其网络白名单内，确保源端和目标端网络互通。 上述的网络白名单是为了进行数据迁移设置的，迁移结束后可以删除。 目标数据库安全组规则设置： 目标数据库默认与DRS迁移实例处在同一个VPC，网络是互通的，DRS可以直接写入数据到目标数据库，不需要进行任何设置。 4.其他事项准备： 由于迁移过程不会迁移MongoDB数据库的用户信息以及相关参数，需要自行将上述信息导出后手动添加到目标DDS中。 迁移步骤 以下操作以公网网络迁移的方式为例，指导您通过DRS将本地MongoDB数据库实时迁移至本云DDS实例。 1.创建迁移任务。 登录管理控制台，在服务列表中选择“数据库 > 数据库复制服务”，进入数据库复制服务信息页面。 在“实时迁移管理”页面，单击右上角“创建迁移任务”，进入迁移任务信息页面。 在“迁移实例”页面，填选任务名称、通知收件人、描述和迁移实例信息。 图 迁移实例信息 表 任务信息 参数 描述 任务名称 任务名称在4位到64位之间，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 任务异常通知设置 该项为可选参数，开启之后，需要填写手机号码或者邮箱作为指定收件人。当迁移任务状态异常时，系统将发送通知给指定收件人。说明：收到确认短信或邮件之后，需要在48小时内处理，否则该功能订阅无效。 时延阈值 增量迁移中，源数据库和目标数据库之间的同步有时会存在一个时间差，称为时延，单位为秒。时延阈值设置是指时延超过一定的值后（时间阈值范围为1—3600s），DRS可以发送通知给指定收件人。 说明 首次进入增量迁移阶段，会有较多数据等待同步，存在较大的时延，属于正常情况，不在此功能的监控范围之内。 描述 描述不能超过256位，且不能包含!<>&'"特殊字符。 表 迁移实例 参数 描述 数据流动方向 选择入云。 源数据库引擎 选择MongoDB数据库引擎。 目标数据库引擎 选择DDS数据库引擎。 网络类型 选择公网网络。建议您开启SSL安全连接，SSL约降低2030%的迁移性能，但保证了数据的安全性。 目标数据库实例 选择您所创建的本云DDS实例。 迁移模式 § 全量全量为一次性迁移，如果您只进行全量迁移时，建议停止对源数据库的操作，否则迁移过程中源数据库产生的新数据不会同步到目标数据库。 § 全量+增量增量可以在全量迁移完成的基础上实现数据的持续同步。您可以选择全量+增量的迁移模式，实现迁移过程中源业务和数据库继续对外提供访问。 在“源库及目标库”信息页面，迁移实例创建成功后，填选源库信息和目标库信息，建议您单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 图 源库及目标库信息 表 源库信息 参数 描述 IP地址或域名 配置源数据库MongoDB实例的访问地址或域名。 端口 配置源数据库MongoDB实例的服务端口，可输入范围为1~65535间的整数。 数据库用户名 访问源数据库MongoDB的用户名。 数据库密码 访问源数据库MongoDB的用户名所对应的密码。 SSL安全连接 在选择公网网络进行迁移任务时，为了提升数据在网络传输过程中的安全性，建议您开启SSL安全连接，对迁移链路进行加密，如果开启，需要您上传CA证书。 表 目标库信息 参数 描述 数据库实例名称 默认为创建迁移任务时选择的已创建的DDS实例，不可进行修改。 数据库用户名 访问目标端DDS实例的用户名。 数据库密码 访问目标端DDS实例的用户名所对应的密码。 在“迁移设置”页面，设置迁移对象。 图 迁移对象 表 迁移模式和迁移对象 参数 描述 迁移对象 选择您需要迁移的对象。迁移对象选择的粒度可以为库和表，对象迁移到DDS实例后，对象名将会保持与源数据库MongoDB实例对象名一致且无法修改。 在“预检查”页面，进行迁移任务预校验，校验是否可进行任务迁移。查看检查结果，如有失败的检查项，需要修复失败项后，单击“重新校验”按钮重新进行迁移任务预校验。 预检查失败项处理建议请参见《数据库复制服务用户指南》中的“预检查失败项修复方法”。 预检查完成后，且所有检查项结果均成功时，单击“下一步”。 图 预检查 说明 所有检查项结果均成功时，若存在告警，需要阅读并确认告警详情后才可以继续执行下一步操作。 在“任务确认”页面，选择迁移任务的启动时间，勾选协议，单击“启动任务”，提交迁移任务。 说明 迁移任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”。 预计迁移任务启动后，会对源数据库和目标数据库的性能产生影响，建议选择业务低峰期，合理设置迁移任务的启动时间。 迁移任务提交后，开始启动迁移任务，您可以返回“实时迁移管理”页面，查看迁移任务状态。 2.任务管理 迁移任务启动后，会经历全量迁移和增量迁移两个阶段，对于不同阶段的迁移任务，您可以进行任务管理。全量迁移 查看迁移进度：全量迁移中的任务，您可单击任务名称，在“迁移进度”页签下，查看全量迁移进度。当全量迁移进度显示为100%，表示全量迁移已经完成。 增量迁移查看时延监控：全量迁移完成后，开始进行增量迁移。对于增量迁移中的任务，您可单击任务名称，在“迁移进度”页签下，查看增量迁移同步时延，当时延为0s时，说明源数据库和目标数据库的数据是实时同步的。您也可以使用“迁移对比”页签进行一致性对比。 图 查看时延监控 查看迁移对比：为了尽可能减少业务的影响和业务中断时间，增量迁移中的任务，您可单击任务名称，在“迁移对比”页签下，建议按照如下流程进行迁移对比，以便确定合适的业务割接时机。 图 迁移对比流程 具体的迁移对比操作及注意事项请参考《数据库复制服务用户指南》中“对比迁移项”章节。 3.割接建议 建议您选择一个业务低峰期，开始正式系统割接流程。割接前，请您确认至少在业务低峰期有过一次完整的数据对比。可以结合数据对比的“稍后启动”功能，选择业务低峰期进行数据对比，以便得到更为具有参考性的对比结果。由于同步具有轻微的时差，在数据持续操作过程中进行对比任务，可能会出现少量数据不一致对比结果，从而失去参考意义。 先中断业务（如果业务负载非常轻，也可以尝试不中断业务）。 在源数据库端执行如下语句，并观察在15分钟内若无任何新会话执行SQL ，则可认为业务已经完全停止。 db.currentOp() 说明 上述语句查询到的进程列表中，包括DRS迁移实例的连接，您需要确认除DRS迁移实例的连接外无任何新会话执行SQL，即可认为业务已经完全停止。 通过DRS迁移任务监控页面进行观察同步时延，保持实时同步时延为0，并稳定保持一段时间；同时，您可以使用数据级对比功能，进行割接前的最后一次数据级对比，耗时可参考之前的对比记录。如果时间允许，则选择全部对比。 如果时间不允许，则推荐对比活跃表，关键业务表，第二步对比多次存在差异的表等。 确定系统割接时机，业务系统指向本云数据库，业务对外恢复使用，迁移完成。 4.迁移结束 结束迁移任务：业务系统和数据库切换至本云后，为了防止源数据库的操作继续同步到目标数据库，造成数据覆盖问题，此时您可选择结束迁移任务，该操作仅删除了迁移实例，迁移任务仍显示在任务列表中，您可以进行查看或删除。结束迁移任务后，DRS将不再计费。 删除迁移任务：对于已结束的迁移任务，您可选择删除任务。该操作将一并删除迁移任务，删除迁移任务后，该任务将不会出现在任务列表中。

本章节为您介绍如何升级数据库审计版本。 数据库审计支持升级实例版本或存储扩容大小。 约束限制 若首次进行实例存储扩容，则无法和实例版本一起升级，请分批次升级。 数据库审计实例只支持升配不支持降配。 升级步骤 1. 登录数据库审计控制台。 2. 选择需要升级的实例，选择“更多 > 变更规格”。 注意 “一类节点”区域的实例，只有运行状态为“关机中”可以执行升级操作。若实例未关闭则需要关闭实例。 3. 在跳转的页面中选择需要升级的版本和数据盘扩容大小。 4. 选择完成后，勾选“我已阅读并同意《天翼云数据库审计产品服务协议》”，单击“提交订单”。 注意 “二类节点”区域的实例，数据库审计实例控制台不支持直接对您的云主机规格进行升级，若需升级云主机配置请自行参考云主机变更规格。

本文将帮助您快速了解路由表如何管理子网。 通过将路由表关联到某些子网，可以将子网的流量按照路由规则进行匹配转发。子网必须关联路由表后，才能进行正常的流量转发。本文将帮助您快速了解路由表如何关联子网。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 登录控制中心，并且已经完成虚拟私有云、子网、路由表和路由规则的创建。 操作步骤 1. 进入“网络控制台”页面，点击“路由表”选项。 2. 找到对应的路由表，点击路由表名称，进入路由表详情页。 3. 在路由表详情页，找到“关联子网”页签，点击“关联子网”，进入关联子网页面。 4. 在关联子网页面，选择可关联的子网，点击“确定”按钮即可。 5. 您也可以通过更换路由表，将子网从某个路由表换绑至其他路由表。

本章节介绍云原生API网关的服务来源 概述 云原生API网关无缝对接天翼云注册配置中心（Nacos引擎、Eureka引擎）和云容器引擎，通过服务发现模块监听服务来源，动态感知后端服务。 说明 每种服务来源类型仅支持添加一个实例集群 创建云容器引擎服务来源 1. 进入云原生API网关控制台。 2. 在顶部菜单栏选择资源池。 3. 单击左侧导航栏实例 > 进入实例概览。 4. 单击左侧导航栏服务 > 服务来源标签页。 5. 点击创建来源，在配置页选择容器服务来源类型，在容器集群下拉列表中选择要添加的集群（当前仅支持添加与网关实例同VPC内的容器集群）。 6. 根据需要勾选是否监听K8s Ingress选项并配置监听命名空间的标签。 创建MSE Nacos服务来源 1. 进入云原生API网关控制台。 2. 在顶部菜单栏选择资源池。 3. 单击左侧导航栏实例 > 进入实例概览。 4. 单击左侧导航栏服务 > 服务来源标签页。 5. 点击创建来源，在配置页选择MSE Nacos服务来源类型，在MSE Nacos集群下拉列表中选择要添加的集群（当前仅支持添加与网关实例同VPC内的MSE Nacos集群）。 创建MSE Eureka服务来源 1. 进入云原生API网关控制台。 2. 在顶部菜单栏选择资源池。 3. 单击左侧导航栏实例 > 进入实例概览。 4. 单击左侧导航栏服务 > 服务来源标签页。 5. 点击创建来源，在配置页选择MSE Eureka服务来源类型，在MSE Eureka集群下拉列表中选择要添加的集群（当前仅支持添加与网关实例同VPC内的MSE Eureka集群）。

本节为您介绍云迁移服务的免责声明。 服务声明 禁止模仿、修改、翻译、改编、出借、出售、转许可、传播或转让本网站提供的服务。禁止违反逆向工程、反汇编、反编译、分解拆卸或试图以其他方式获取本网站提供的源代码。具体内容详见天翼云云迁移服务协议 数据模板导入声明 根据迁移平台下载离线模板后，请您认真准确地填写相关规格信息。若因模板填写问题导致数据错乱或其他问题，云迁移服务 CMS 概不负责。 评估结果声明 使用云迁移服务 CMS 提供的全面的企业上云成本分析功能时，请注意自行准确填写数据模板。此功能旨在帮助用户快速进行天翼云产品映射与成本分析比较，以辅助用户做出符合其需求的上云选择。若因数据模板填写不准确导致价格差异，云迁移服务 CMS 概不负责。 辅助工具使用声明 使用云迁移服务 CMS 提供的迁移服务工具时，请确保符合工具使用范围(约束及限制、兼容性范围等)。若超出工具使用范围，云迁移服务 CMS 概不负责。 迁移完成后系统、软件的激活声明 服务器迁移服务提供的是整机迁移服务，使用CMS把源端服务器迁移到目的端服务器上后，源端服务器中需要许可证（License）的产品在目的端需要重新激活。常见的如Windows、鲲鹏、Redhat系统的激活以及付费软件的License激活，服务器迁移服务本身不提供相应的激活服务，需要您自行联系系统提供方和软件提供方进行激活。

支持管理的资源 您购买的非天翼云或者云下服务器，只要与天翼云云堡垒机网络互通并且协议互相支持，就可以通过云堡垒机纳管相应服务器。 支持的主机类型 支持SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin协议类型的Windows或Linux主机。 支持的数据库类别 关系型数据库（Relational Database Service，RDS）。 弹性云服务器（Elastic Cloud Server ，ECS）的自建数据库。 支持的数据库类型及版本 数据库引擎 版本 MySQL 5.5，5.6，5.7，8.0 Microsoft SQL Server 2014、2016、2017、2019、2022 Oracle 10g、11g、12c、19c、21c DB2 DB2 ExpressC PostgreSQL 11、12、13、14、15 GaussDB 2、3 支持应用管理的服务器类型及版本 仅支持对Windows服务器和Linux上的应用进行管理 ，且支持的服务器系统如下： 系统类型 系统版本 Windows Windows Server 2008 R2及以上版本 Linux CentOS7.9 说明 目前仅X86版本云堡垒机支持应用运维，ARM版本云堡垒机不支持应用运维。 支持使用的第三方客户端 登录CBH支持的客户端及版本 云堡垒机需通过第三方客户端登录CBH系统，以及调用第三方客户端，实现安全运维管理。 登录方式 支持使用的客户端 版本 ::: Web浏览器登录 Edge 44及以上版本 Web浏览器登录 Chrome 52.0及以上版本 Web浏览器登录 Safari 10及以上版本 Web浏览器登录 Firefox 50.0及以上版本 SSH客户端登录 SecureCRT 8.0及以上版本 SSH客户端登录 Xshell 5及以上版本 SSH客户端登录 Mac Terminal 2.0及以上版本

本节介绍了如何进行域名归属权校验。域名归属权校验是将域名接入DDoS高防（边缘云版）的必要操作。在控制台进行域名基本配置之后，会弹出域名归属权校验框，需根据其中返回内容完成以下步骤。 客户可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 示例为ctcdn.cn的解析配置 1. 客户需在自己的域名解析服务商，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt 2. 域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 解析命令：dig dnsverify.ctcdn.cn txt 3. 如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。 方法二：文件验证 示例为ctcdn.cn的解析配置 1. 在您的源站根目录下，创建文件名为：dnsverify.txt的文件，文件内容为天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 2. 文件在源站根目录下创建完成后，即可进行访问验证（示例为访问 ）。 windows验证： linux验证： 3. 如访问展示的文件内容和天翼云控制台返回的TXT记录值一致，则表示配置正确。确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

功能介绍支持配置暴力破解防护策略防范攻击者通过撞库盗取用户的信息。 功能介绍 支持配置暴力破解防护策略，防范攻击者通过暴力破解盗取用户的信息。 暴力破解是什么？ 暴力破解是指攻击者通过脚本等方式实现原有的尝试登录流程，不断重复尝试登录的一个过程，从理论上来看只要时间足够，所有的账号都有被暴力破解找到口令的可能，对普通用户爆破可以造成个人的财产损失，对网站管理员的账号爆破则可以危害公司资产。 暴力破解的防护原理 边缘云WAF主要通过爆破行为监控来防护。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为基础版及以上版本，支持暴力破解防护相关功能。 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 2. 进入【账号安全防护】页面； 3. 进入新增暴力破解防护规则页面。 暴力破解防护配置说明 配置项 说明 开关 可以选择开启或者关闭暴力破解防护策略 处理动作 设置触发暴力破解策略的处理动作，可以选择拦截或告警 登录页URL 设置登录页面的URL 登录页数据请求URL 先单击键盘F12或者抓包，点击登录按钮，获取登录数据请求的url地址。（所获地址与登录页面URL可能是同一个，但是一般情况下动静态页面是分离的，所以大概率是不同的页面） 登录失败跳转URI 设置登录失败后需要跳转的URI 触发条件 在【防护统计频率】内的【作用域】的请求数，请求次数超过【拦截阈值】次数，则执行【处理动作】，处理动作持续时间【拦截时间】。其中，作用域支持CI、IP+UA、IP （1）CI:客户端ID，订购扩展服务BOT管理后支持该作用域 （2）IP+UA：客户端IP与客户端UA （3）IP：客户端IP 白名单 针对误拦设置白名单，可选粒度：IP、IPS、IPR等多个粒度，支持配置多条白名单规则，多个粒度为“且”的逻辑，多个范围为“或”的关系

本文将从产品定义,应用场景,使用限制三部分来介绍天翼云云硬盘自动快照。 产品定义 天翼云云硬盘支持自动快照功能，用户通过自动快照策略周期性地为云硬盘创建快照，可同时适用于系统盘和数据盘。自动快照服务便于用户灵活设置快照创建任务，能够提高数据安全和操作容错率。 应用场景 自动快照策略是指云硬盘在预设的时间点周期性地创建快照，保护云硬盘数据，是系统安全性和容错率的重要保障，通常应用于以下两个场景： 当您来不及手动创建快照时，可以使用当前云硬盘创建的最近的自动快照进行回滚操作，最大限度地降低损失。 您也可以根据业务需求设置自动快照策略，比如在系统定期维护之前设置自动快照策略，不再需要您手动创建快照，也能避免因人为疏忽忘记创建快照。 使用限制 天翼云账号在一个地域中的自动快照策略配额上限，以及一块云硬盘能保留的自动快照数量上限，如下表所示： 限制项 限制说明 每块云硬盘可以保留的手动快照个数（非X系列云硬盘） 40 每块云硬盘可以保留的自动快照和手动快照总数（非X系列云硬盘） 50 每块云硬盘可以保留的手动快照个数（X系列云硬盘） 1000 每块云硬盘可以保留的自动快照和手动快照总数（X系列云硬盘） 2000 一个账号在一个地域可以保留的自动快照策略数量 20 一个策略可关联的云硬盘数量 200 云硬盘保留的自动快照数量达到配额上限后，最早创建的自动快照会被自动删除。 修改自动快照策略的保留时间时，仅对新增的自动快照生效，历史自动快照沿用修改前的保留时间。 仅“未挂载/已挂载”状态的云硬盘可以创建自动快照，其他状态下的云硬盘无法创建自动快照。 挂载在物理机上的云硬盘、本地盘不支持设置自动快照策略。 自动快照支持的资源池，如下表所示： 限制项 限制说明 支持资源池 华东1、华北2

本章节主要介绍ALM14020 HDFS目录条目数量超过阈值的告警。 告警解释 系统每一个小时获取指定目录下直接子文件/目录的数量，判断其是否达到HDFS目录最大子文件/目录个数的百分比阈值（默认为“90%”），如果超过该阈值，则触发告警。 当发出告警的目录的子目录/文件数所占百分比低于阈值后，该告警将自动恢复。当监控开关关闭，所有目录对应的该告警都将自动恢复。当从监控列表中移除指定目录时，该目录对应的告警也会自动恢复。 说明 HDFS目录的子文件/目录最大个数由参数“dfs.namenode.fslimits.maxdirectoryitems”指定，默认值为“1048576”。如果一个目录的子文件/目录数量超过该值，则无法再在该目录下创建新的子文件/目录。 要监控的目录列表由参数“dfs.namenode.directoryitems.monitor”指定，默认值为“/tmp,/SparkJobHistory,/mrhistory”。 监控开关由参数“dfs.namenode.directoryitems.monitor.enabled”指定，默认值为“true”，即该检测默认开启。 告警属性 告警ID 告警级别 是否自动清除 14020 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 NameService名 产生告警的NameService名称。 目录名 产生告警的目录名称。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。

本小节介绍容器安全告警事件概述。 开启节点防护后，部署在每个容器宿主机上的Agent会对容器运行状态进行实时监控，支持逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境等检测。用户可通过容器安全告警全面了解告警事件类型，及时发现资产中的安全威胁、实时掌握资产的安全状态。 告警事件列表说明 事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

本小节介绍容器安全告警事件概述。 开启节点防护后，部署在每个容器宿主机上的Agent会对容器运行状态进行实时监控，支持逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境等检测。用户可通过容器安全告警全面了解告警事件类型，及时发现资产中的安全威胁、实时掌握资产的安全状态。 告警事件列表说明 事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

在同一命名空间下，云应用引擎支持对多个应用进行批量操作，包括批量启动、批量停止、批量绑定标签、批量解绑标签等。本文主要介绍如何对同一命名空间下的应用进行批量操作，以及如何导出目标地域下所有应用的信息。 前提条件 已创建命名空间。具体操作，请参见创建命名空间。 在已创建成功的命名空间下创建了一个或多个应用。具体操作，请参见应用部署。 限制条件 批量开启或关闭ARMS高级监控的功能仅适用于Java应用。 批量操作 1. 登录SAE控制台，在左侧导航栏选择应用管理 > 应用列表，然后在顶部菜单栏选择目标地域。 2. 在应用列表页面，选择目标命名空间，然后勾选需要批量操作的应用。 3. 勾选好需要批量操作的应用后，单击需要批量操作的按钮（例如：批量停止应用）。 说明 如果您需要为应用批量绑定标签、批量解绑标签等 ，请单击批量标签操作，然后在下拉列表中单击您需要进行的批量操作。

此小节介绍审计运维会话。 背景介绍 用户获取相应系统权限和运维权限后，可通过云堡垒机登录已授权的资源进行运维操作，以及在系统进行系统数据管理操作。 管理员可在系统Web页面审计用户系统登录和操作，以及审计用户运维会话。 操作步骤 系统和运维审计说明 审计类型 审计内容 实时会话 实时监控当前运维会话，查看运维用户和资源的会话详情，中断有高危风险的会话。 历史会话 运维会话视频：无需设置，全程录屏记录运维会话操作，可在线播放或下载操作视频。 运维会话详情：用户运维会话详情，可在线查看或导出Excel文件。 详情内容包括资源会话信息 、 系统会话信息 、 运维记录 、 文件传输 、协同会话的详细操作记录。 运维报表 以折线图的形式，从多方面呈现用户运维资源随时间变化的趋势，并可生成运维资源综合分析报告。 系统日志 系统登录日志：用户登录系统的详细记录，可在线查看或导出Excel文件。 系统操作日志：用户系统操作的详细记录，可在线查看或导出Excel文件。 系统报表 以柱状图的形式，从多方面统计用户登录系统和系统操作次数，并可生成系统管理综合分析报告。

对已创建的备份策略,可对其进行启用和禁用操作。 前提条件 已创建至少1个备份策略。 操作步骤 1.登录天翼云控制中心； 2.在产品列表中选择“存储> 云主机备份”； 3.单击“管理备份策略”，进入“管理备份策略”页面； 4.对策略进行启用和禁用； − 备份策略状态为启用时，将根据备份策略设置参数进行周期性备份。 − 备份策略状态为关闭时，正在执行的备份任务不受影响将继续完成备份，后续该备份策略将不再自动调度执行备份。

对等连接产品为您提供灵活快捷的云上多VPC私网互联服务,本文带您了解对等连接的产品优势。 使用灵活，支持同账号、不同账号建连 支持在同一资源池内的同一用户不同VPC之间、不同用户VPC之间以及公有云与专属云的VPC之间创建对等连接。 安全可控，自主授权 不同用户之间的VPC创建对等连接时，需要用户提供对端账户名和VPC ID，且需要对端用户接受才可建立连接。 简单易用，配置灵活 天翼云提供Web管理平台，用户可登陆Web页面轻松实现对等连接创建、修改、删除以及路由策略配置等操作。 内网可达，无公网费用 使用对等连接的两个VPC通信时，通过资源池内部网络进行互通，不会绕行公网，也不产生公网费用。

本文介绍了如何对轻量型云主机进行套餐升级。 操作场景 若当前服务套餐无法满足您业务的需求，可以对服务进行升级操作，增大各资源规格。 前提条件 轻量型云主机状态为关机状态。 约束限制 轻量型云主机只支持套餐升级操作(即目标套餐的CPU、内存、系统盘、带宽均大于等于当前套餐)，不支持套餐降级操作。 请于48小时内支付订单，否则升级操作失败，数据将被清空，请谨慎进行操作升级。 套餐升级成功后，实例现有的IP地址、防火墙策略不受影响，实例到期时间不变。 轻量型云主机完成升级后处于关机状态，需用户手动开启，重启业务。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择上海36。后续您也可以在创建页面对“地域”进行修改。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机列表界面，在目标轻量型云主机“操作”列下拉“更多”选择“升级”。 您也可以单击目标主机“实例名称”进入目标主机详情页，单击右侧顶部“更多”，下拉选择“升级”进行套餐升级。 5. 出现升级套餐弹窗，用户可按需选择要升级的固定套餐，也可升级至随心购套餐，灵活搭配套餐内各类资源。 6. 确定配置后，单击“确定”，完成支付后，即完成轻量型云主机套餐升级。

本文指导您如何使用云间高速及标准版云企业路由器实现跨地域网络互通。 使用场景 为了实现三个VPC（虚拟私有云）之间的通信和资源互访，某企业采取了云间高速组网。首先，企业使用账号A在天翼云华东1创建了VPC1，并在其中部署了应用服务。接着，使用账号B在同样的地域创建了VPC2。另外，还在华北1创建了VPC3，并在其中部署了应用服务。 然而，由于三个VPC之间互不相通，企业需要使用云间高速产品来解决这个问题。具体来说，企业可以将华东1的VPC1和VPC2连接至账号A下华东1的云企业路由器实例（标准版），同时将华北1的VPC3连接至账号A下华北1的云企业路由器实例（标准版）。然后，通过带宽包和跨地域连接实现华东1和华北1的云企业路由器实例互通。 三个VPC即可互相通信，资源也可以互访。不仅简化了网络配置，还提高了系统的可靠性和安全性。同时，也降低了企业的成本和风险。 前提条件 账号A在华东1、华北1各创建了1个VPC，并且使用云主机在两个VPC中部署了应用服务。 步骤一：创建云间高速实例 云间高速的创建，具体操作请参见：创建云间高速（标准版）实例云间高速

本文主要介绍如何将实例移除伸缩组。 您可以将实例移出伸缩组，更新实例或排查实例的问题，然后将实例重新移入伸缩组。移出伸缩组后实例不再处理应用程序流量。当您选择“移出伸缩组” 时，系统仅将其移出伸缩组，不释放、不删除、不改变云服务器状态，云服务器实例可以作为其他用途；当您选择“移出伸缩组并释放” 时，系统会将伸缩组创建的云服务器移出伸缩组并且将其释放，但该操作对手动移入伸缩组的云主机不生效。 将云主机成功移出指定伸缩组必须满足如下条件： 伸缩组没有正在进行的伸缩活动； 伸缩实例状态为“已启用” ； 移出后实例数不能小于伸缩组的最小实例数时。 将云主机移出伸缩组的步骤如下： 1. 登录天翼云控制中心，切换到需要修改伸缩策略的节点，选择【弹性伸缩服务】； 2. 在伸缩组所在行，单击伸缩组名称，进入【伸缩组详情页】； 3. 在【伸缩组详情页】，单击【伸缩实例】标签，进入【伸缩实例标签页】； 4. 在【伸缩实例】页签中的实例所在行的【操作】列下，单击【移出伸缩组】或【移出伸缩组并删除】； 5. 如果您要移出所有实例，可以勾选参数“实例名称” 左侧的方框，单击【移出伸缩组】或【移出伸缩组并删除】。

本文介绍如何通过日志服务查询ECI实例容器日志。 日志控制台准备 1. 进入天翼云官网云日志控制台。 2. 开通云日志服务。若没有开通云日志服务，则点击订购云日志服务。 3. 创建日志项目、日志单元。 开通日志服务后，进入云日志控制台，若没有日志项目和单元，在日志管理标签页创建项目和单元： 4. 接入日志。 1. 有了日志项目和单元后，进入日志接入标签页，选择云主机： 2. 选择日志项目和单元，选择一个主机组，若没有主机组，则点击新建主机组，注意这里的主机组名字在创建ECI的时候需要： 3. 安装采集器这一步选择跳过，会有提示，点击确定： 4. 按需输入采集配置，注意采集路径必须准确，采集路径即为要采集的日志文件在容器内的路径： 5. 如果需要日志索引，按需配置。 到这里日志控制台的准备工作就完成了，接下来到ECI控制台创建ECI实例。

本文介绍执行命令时出现20010004错误码原因及解决方法 20010004错误码的含义是执行命令超时 可能的原因： （1）发起执行耗时的操作，比如删大对象，批量获取数据、存取大报文数据等，此时在管理平台监控界面查看超时操作类型、分组号、ip等信息、以及报文大小是否超过32K； （2）系统过载繁忙，通过监控界面看到的请求量巨大，伴随少量超时错误率返回，一般小于万分之一； （3）应用程序出现full gc。 解决方法: （1）优化应用程序逻辑，增加客户端超时时间，如请求报文过大，建议拆小； （2）根据监控系统错误码来自接入层还是存储层，对瓶颈节点进行系统扩容。

您可以通过设定Prometheus告警规则为特定的监控指标设定触发告警条件。当监控指标满足这些条件时，系统将会生成相应的告警事件，并通过短信、电子邮件、Webhook等多种渠道发送告警通知。 前提条件 已接入Prometheus监控，具体操作，请参见快速入门。 功能入口 1. 登录应用性能监控APM控制台，点击左侧菜单栏Prometheus监控。 2. 在Prometheus监控菜单下，单击告警规则页面。 3. 在告警规则页面，点击创建告警规则按钮。具体操作方式请见下方。 创建告警规则 通过静态阈值创建告警规则 静态阈值检查类型提供了一系列系统预设的告警指标。您可以直接选择这些现有指标，快速建立相应指标的告警规则。可参考以下参数说明进行配置。 字段 说明 示例 告警名称 自定义告警的名称。 容器CPU使用率告警 检测类型 选择静态阈值。 静态阈值 Prometheus实例 选择需要创建告警的Prometheus实例。 生产集群 告警分组 选择告警分组，不同的告警分组包含不同的告警指标。 Kubernetes负载 告警指标 选择需要进行监控告警的指标，每个告警分组包含不同的指标。 Pod磁盘使用率 告警条件 基于告警指标预置内容，设置告警事件产生条件，如比较符与阈值。 当Pod磁盘使用率>80时，满足告警条件。 数据预览 根据告警指标，设置当前配置的告警规则适用的范围，即所有符合筛选条件的资源满足此条告警规则时，均会产生告警事件。 持续时间 当告警条件满足时，直接产生告警事件：任何一个数据点满足阈值，就会产生告警事件。 当告警条件满足持续N分钟时，才产生告警事件：即只有当满足阈值的时间大于等于N分钟时，才产生告警事件。 告警等级 自定义告警等级。告警严重程度从一般,次要,重要,紧急逐级上升。 一般 告警内容 用户收到的告警信息。您可以使用Go template语法在告警内容中自定义告警参数变量。 命名空间：{{namespace}} / Pod: {{podname}} / 容器：{{container}} CPU使用率{{metricsparamsoptlabelvalue}} {{$metricsparamsvalue}}%, 当前值{{ printf "%.2f" $value }}% 通知策略 不指定通知规则：若勾选该选项，在告警规则创建完成后，您可在通知策略界面新建策略，并通过设置匹配规则与匹配条件（例如告警规则名称）关联对应告警规则。当此告警规则触发并生成告警事件时，系统会将告警信息推送至通知策略中指定的联系人或联系人组。更多相关说明，可参考通知策略文档。 指定某个通知策略：若选择此项，系统会自动在对应的通知策略中添加一条匹配规则，匹配规则内容为告警规则ID（以告警规则名称的方式呈现），以确保当前告警规则产生的告警事件一定可以被选择的通知策略匹配到。 不指定通知规则 高级设置 标签 设置告警标签，设置的标签可用作规则静默的选项。 无 参考以上参数配置说明，设置完成后，点击保存。在Prometheus告警规则列表页面，可查看当前告警规则的状态。

本小节介绍云下一代防火墙自研池单VPC修改主机网关最佳实践。 场景描述 天翼云自研池环境中，用户业务主机与云墙属于同VPC，业务主机进出公网的流量均需要经过云墙，使业务能够正常对外映射。 场景需求 ： 1. A业务经过云墙对外映射9999相关服务完成业务发布。 2. 内网B业务主机通过防火墙访问互联网。 3. C主机业务不过云墙，直接访问互联网。 4. 内网主机之间能够正常互相访问。 方案拓扑 当前解决方法 云主机及云墙相关网络规划： 云墙和业务云主机均在同一个VPC的相同子网下。 过墙业务主机和不过墙业务主机，可以在相同子网中，也可以在不同子网中。 防火墙创建两张网卡，一张网卡作为内网口（其绑定的EIP可做Web管理）；其他网卡为外网口（本方案仅画出一个外网口），由云墙进行业务转发使用。 流量需要经过云墙的业务云主机，将网关手动改为云墙内网口IP地址192.168.0.10。 平台侧操作步骤 平台侧网络规划： 业务云主机和云墙在VPC：192.168.0.0/16中： 业务云主机涉及子网192.168.0.0/24。 云墙涉及子网192.168.0.0/24以及192.168.10.0/24。 云墙按照内网口及外网口规划新建对应子网下的网卡配置： 192.168.0.10/24：云墙内网IP 192.168.10.20/24：云墙外网IP 业务云主机修改网关： Windows： Linux： 1. 编辑网卡。 vi /etc/sysconfig/networkscripts/ifcfgeth0 2. 修改为静态IP，网关指向防火墙。 IPADDR192.168.0.101 GATEWAY192.168.0.10 NETMASK255.255.255.0 DNS1114.114.114.114 3. 重启网卡生效。 service network restart

告警支持通过短信、邮箱、翼连等方式将告警信息通知给对应接收人,我们可以在通知组中设置接收人信息。 功能入口 选择目标资源池，并登录APM组件控制台。 在左侧导航栏中选择「告警管理」「通知组」。 功能说明 联系人（短信/邮箱） 如需要通过短信/邮箱进行告警，可在此处维护联系人信息。支持对联系人信息进行增删改查，需要录入基础信息 同时也支持对联系人进行分组，对联系人组进行增删改查。 WebHook集成 支持以WebHook的方式对第三方通知对象（钉钉、企业微信、飞书等）发送告警信息。支持增删改查WebHook信息。

本页介绍天翼云TeleDB数据库如何添加数据库。 1、单击数据源管理 > 元数据管理，进入实例列表界面。 2、单击添加实例按钮，弹出右侧抽屉进行编辑。 3、在数据来源选择云数据库或其它，录入实例相关信息，参数说明如下。 参数项 说明 所属团队 实例添加成功后的归属团队。 实例名称 实例在数据管理模块中展示的别名。 环境 环境标识，例如开发、测试、预发、生产等。 实例属性 实例的读写属性，如读写、只读。 数据来源 实例的来源，如云数据库，公网/直连数据库，数据管理模块代理数据库。 数据库类型 数据类型，如MySQL、PostgreSQL、TeleDB。 地域/资源池 云数据库的所属资源池。 云数据库 云数据库的基本信息，含ip、端口。 最大连接数 当前用户能获取到的数据库最大连接数。 数据库账号 用于登录该实例的数据库账号。 数据库密码 登录账号的密码。 4、完成以上信息的填写后，单击测试连接按钮。 5、弹出连接成功的提示后，单击确定按钮完成云数据库的添加。 注意 1. 测试连接功能只有在输入了数据库账号和密码的时候可以使用。 2. 输入正确的数据库账号和密码，单击确定按钮后会自动登录并同步元数据。否则，仅录入实例信息，不进行登录也不会自动同步元数据。

AntiDDoS流量清洗产品价格 适用节点 目前仅适用于广州4、苏州、华北、西安2、贵州、 成都3、 芜湖、 上海4、 杭州、 长沙2、 福州、 武汉2、 兰州、 南昌、北京2、深圳、西宁、重庆、乌鲁木齐（新疆）、青岛、 石家庄、 郑州、南宁、昆明、海口、中卫（银川）、太原、哈尔滨、天津、沈阳3、长春、内蒙3节点。 计费说明 AntiDDoS流量清洗（CTAntiDDoS ，AntiDDoS ）为免费服务。但与AntiDDoS流量清洗关联的天翼云产品，按正常相关云产品对应的价格收费。

本章节主要介绍云搜索服务自定义策略。 如果系统预置的ES权限，不满足您的授权要求，可以创建自定义策略。自定义策略中可以添加的授权项（Action）请参考云搜索服务API参考中的权限策略和授权项。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：统一身份认证用户指南中有关创建自定义策略的内容。本章为您介绍常用的ES自定义策略样例。 ES系统策略样例 示例1：授权用户ES FullAccess权限，即给用户配置ES的所有权限。 开启ES FullAccess权限，需要依赖OBS和IAM权限，除了配ES FullAccess还要加上IAM ReadOnlyAccess和OBS的所有权限。如果用户需要查看集群监控信息，则需要依赖CES的只读权限。如果用户需要使用终端节服务，除了配置VPCEndpoint Administrator权限，还需要同时配置VPC Administrator、Server Administrator以及DNS Administrator权限。如果用户需要使用标签功能，需要配置TMS Administrator权限。 说明 如果是子账户，需要同时设置GetBucketStoragePolicy、GetBucketLocation、ListBucket权限，才能看到OBS桶。 1.授权用户ES FullAccess权限。 { "Version": "1.1", "Statement": [ { "Action": [ "ES::", "vpc:securityGroups:get", "vpc:securityGroups:create", "vpc:securityGroups:delete", "vpc:securityGroupRules:get", "vpc:securityGroupRules:create", "vpc:securityGroupRules:delete", "vpc:vpcs:list", "vpc:privateIps:list", "vpc:ports:get", "vpc:ports:create", "vpc:ports:update", "vpc:ports:delete", "vpc:quotas:list", "vpc:subnets:get", "ecs:cloudServerFlavors:get", "ecs:serverInterfaces:use", "ecs:cloudServers:addNics", "ecs:quotas:get", "evs:types:get", "evs:quotas:get" ], "Effect": "Allow" } ] } 2.授权用户IAM ReadOnlyAccess自定义策略。 { "Version": "1.1", "Statement": [ { "Action": [ "iam::get", "iam::list", "iam::check" ], "Effect": "Allow" } ] } 3.授权用户OBS的所有权限。 { "Version": "1.1", "Statement": [ { "Action": [ "OBS::" ], "Effect": "Allow" } ] } 4.（可选）授权用户查看集群监控信息权限。 { "Version": "1.1", "Statement": [ { "Action": [ "ces::get", "ces::list" ], "Effect": "Allow" } ] } 5.（可选）授权用户VPCEndpoint Administrator权限。 { "Version": "1.0", "Statement": [ { "Action": [ "VPCEP:endpointservices:" ], "Effect": "Allow" } ], "Depends": [ { "catalog": "BASE", "displayname": "Server Administrator" }, { "catalog": "VPC", "displayname": "VPC Administrator" }, { "catalog": "DNS", "displayname": "DNS Administrator" } ] } 6.（可选）授权VPC Administrator权限。 { "Version": "1.0", "Statement": [ { "Action": [ "vpc:vpcs:", "vpc:routers:", "vpc:networks:", "vpc:subnets:", "vpc:ports:", "vpc:privateIps:", "vpc:peerings:", "vpc:routes:", "vpc:lbaas:", "vpc:vpns:", "ecs::get", "ecs::list", "elb::get", "elb::list" ], "Effect": "Allow" } ] } 7.（可选）授权Server Administrator权限。 { "Version": "1.1", "Statement": [ { "Action": [ "ecs::", "evs::get", "evs::list", "evs:volumes:create", "evs:volumes:delete", "evs:volumes:attach", "evs:volumes:detach", "evs:volumes:manage", "evs:volumes:update", "evs:volumes:uploadImage", "evs:snapshots:create", "vpc::get", "vpc::list", "vpc:networks:create", "vpc:networks:update", "vpc:subnets:update", "vpc:subnets:create", "vpc:routers:get", "vpc:routers:update", "vpc:ports:", "vpc:privateIps:", "vpc:securityGroups:", "vpc:securityGroupRules:", "vpc:floatingIps:", "vpc:publicIps:", "vpc:bandwidths:", "vpc:firewalls:", "ims:images:create", "ims:images:delete", "ims:images:get", "ims:images:list", "ims:images:update", "ims:images:upload" ], "Effect": "Allow" } ], "Depends": [ { "catalog": "BASE", "displayname": "Tenant Guest" }, { "catalog": "BASE", "displayname": "BSS Administrator" }, { "catalog": "BASE", "displayname": "VPC Administrator" }, { "catalog": "BASE", "displayname": "IMS Administrator" } ] } 8.（可选）授权DNS Administrator权限。 { "Version": "1.0", "Statement": [ { "Action": [ "DNS:Zone:", "DNS:RecordSet:", "DNS:PTRRecord:" ], "Effect": "Allow" } ], "Depends": [ { "catalog": "BASE", "displayname": "Tenant Guest" }, { "catalog": "VPC", "displayname": "VPC Administrator" } ] } 9.（可选）授权TMS Administrator权限。 { "Version": "1.0", "Statement": [ { "Action": [ "TMS:predefinetag:", "TMS:resourcetag:" ], "Effect": "Allow" } ], "Depends": [ { "catalog": "BASE", "displayname": "Tenant Guest" }, { "catalog": "BASE", "displayname": "Server Administrator" }, { "catalog": "IMS", "displayname": "IMS Administrator" }, { "catalog": "Auto Scaling", "displayname": "AutoScaling Administrator" }, { "catalog": "VPC", "displayname": "VPC Administrator" }, { "catalog": "VBS", "displayname": "VBS Administrator" }, { "catalog": "OBS", "displayname": "Tenant Administrator" }, { "catalog": "OBS", "displayname": "Tenant Guest" } ] } 说明 如果用户账号开通了企业项目： 当该账号配置ES FullAccess权限时，即使给单个企业项目只配了ES ReadOnlyAccess权限，但所有企业项目都拥有ES FullAccess权限。 如果给单个企业项目开通了ES FullAccess权限，则该企业项目下的所有子用户都可以拥有该权限。如：企业项目default配了ES FullAccess权限，那么子用户可以读到default企业项目下的集群，且进行读写操作。 示例2：授权用户ES ReadOnlyAccess权限，即给用户配置ES的只读权限。如果用户需要查看集群监控信息，则需要依赖CES的只读权限。 1.授权用户ES ReadOnlyAccess权限。 { "Version": "1.1", "Statement": [ { "Action": [ "ES::get", "ES::list", "vpc:securityGroups:get", "vpc:securityGroupRules:get", "vpc:vpcs:list", "vpc:privateIps:list", "vpc:ports:get", "vpc:quotas:list", "vpc:subnets:get", "ecs:cloudServerFlavors:get", "ecs:quotas:get", "evs:types:get", "evs:quotas:get" ], "Effect": "Allow" } ] } 2.（可选）授权用户查看集群监控信息权限。 { "Version": "1.1", "Statement": [ { "Action": [ "ces::get", "ces::list" ], "Effect": "Allow" } ] } 说明 如果用户账号开通了企业项目： 在统一认证服务中给该账号开通了ES ReadOnlyAccess权限，但是给某个企业项目配置了ES FullAccess权限，那么子用户可以读到所有企业项目下的集群，但是只对开通ES FullAccess权限下的集群进行写操作。例如，给企业项目default配置了ES FullAccess权限，那么子用户可以读到所有企业项目下的集群，但是只对default下的集群进行写操作。 在统一认证服务中给该账号开通了ES ReadOnlyAccess权限，但是没有给单个企业项目授权，则子账户只能读取该项目下的集群，不能进行写操作。例如，给企业项目default配了ES ReadOnlyAccess，那么子用户可以读到default企业项目下的集群，不可进行写操作。

本章节向您主要介绍第二种VPN连接服务创建方式。 操作场景 通过执行该操作，您可以创建VPN，以便在您的数据中心与天翼云VPC之间建立一条保密而安全的通信隧道。 前提条件 请确认虚拟私有云VPC已经创建完成。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。 操作步骤 1. 登录管理控制台。 2. 在管理控制台上方选择区域和项目。 3. 在系统首页，单击“网络 > 虚拟专用网络”。 4. 在“虚拟专用网络”界面，单击“购买VPN”。 5. 根据界面提示配置参数，并单击“立即购买”。 6. 提交申请。 创建成功后云为该IPsec VPN分配一个公网出口IP地址。该地址为VPN页面中，已创建的VPN的本端网关地址。在您自己数据中心配置对端隧道时，远端网关需要配置为该IP地址。 7. 因为隧道的对称性，还需要在您自己数据中心的路由器或者防火墙上进行IPsec VPN隧道配置。 说明 IKE策略指定了IPsec 隧道在协商阶段的加密和认证算法，IPsec策略指定了IPsec在数据传输阶段所使用的协议，加密以及认证算法；这些参数在VPC上的VPN和您数据中心的VPN中需要进行相同的配置，否则会导致VPN无法建立连接。 以下算法安全性较低，请慎用： 认证算法：SHA1、MD5。 加密算法：3DES。 DH算法：Group 1、Group 2、Group 5。 配置对端设备 配置对端设备可参见以下示例，帮助您配置本地的VPN设备，实现您本地网络与天翼云VPC子网的互联互通。

本文为您介绍使用私有镜像创建Windows弹性云主机时设置的密码不生效的解决办法。 问题描述 使用私有镜像创建Windows弹性云主机时设置的密码不生效，登录时提示密码错误。 可能原因 CloudbaseInit是Windows Server操作系统初始化的工具。它会对云主机进行一些列初始化操作，比如配置网络，注入kms server 的密钥，扩展磁盘，以及运行用户的自定义脚本等等。天翼云公共镜像默认已安装CloudbaseInit，不需要执行安装及配置操作。如您遇到描述问题可能是以下原因。 原因一：CloudbaseInit 正在按流程执行相关初始化操作，需要一定时间。 原因二：您使用的私有镜像未安装或未正确配置CloudbaseInit。 处理方法 针对原因一：如果您确认正确安装并配置了CloudbaseInit，您可以在看到用户登录界面后稍微等待一段时间，受多方面因素影响，CloudbaseInit 按流程执行相关初始化操作，到完成初始化密码需要的时间可能比期望的长。 针对原因二：此时您可以直接通过控制台进行重置密码操作，操作成功后使用新的密码即可进行登录。

适用于北京/内蒙1、2/上海1、2、3/广州1、2、3/厦门1、2/成都2/西安/长沙/南京/福州2/沈阳/武汉节点 1、云主机做关机操作。 2、弹出关机提醒界面，并带有验证提醒栏。如下图， 3、点击【发送验证码】，将获取到的验证码填入输入框，继续进行关机操作。验证码未填写或填写错误点击【确认】后均显示“验证码不正确”，无法执行关机操作。 适用于贵州/福州/杭州/深圳/广州4/苏州/郑州/青岛/西安2/上海4/芜湖/南宁/长沙2/南昌/成都3/乌鲁木齐/昆明/海口/重庆/武汉2/兰州/西宁/太原/石家庄/中卫/长春/天津/北京2/哈尔滨节点 1、云主机做关机操作。 2、弹出关机提醒界面，并带有验证提醒栏。如下图， 3、点击去验证，跳转操作保护页面。如下图， 4、点击【免费获取验证码】，验证码会发送到天翼云账号预留手机号，填写正确的验证码，点击【认证】，弹出认证成功（失败）提示框。 5、认证成功自动跳转回云主机关机弹窗界面，继续进行关机操作。

本文介绍天翼云云搜索服务内核增强能力及和开源组件对比能力。 天翼云在开源Elasticsearch和OpenSearch的基础上做了大量内核能力增强。具体支持对应表如下： 功能项 天翼云云搜索OpenSearch增强 天翼云云搜索Elasticsearch增强 开源Elasticsearch 开源OpenSearch 向量检索 支持 支持 不支持 支持 压缩算法 支持 支持 不支持 支持 跨集群复制 支持 支持 不支持 支持 SQL功能 支持 支持 不支持 支持 简繁体转换 支持 支持 不支持 不支持 细粒度权限 支持 支持 不支持 支持 异步搜索 支持 支持 不支持 支持 流量控制 支持 不支持 不支持 不支持 中文分词增强 支持 支持 不支持 不支持

本文为您介绍当云硬盘配额不足时,如何申请扩大云硬盘资源配额。 操作场景 若当前云资源的配额无法满足您的实际业务需求，您可以申请扩大资源配额。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 在此地域的资源页面右上角，点击“我的配额”图标，进入资源的服务配额页面。 4. 在服务配额页面的右上角，点击“申请扩大配额”，页面将跳转至“支持中心>新建工单>选择问题所属产品”页面。 5. 用户可在此页面中，点击“配额类”按钮，进入“选择问题类型”页面，在此页面，用户点击“配额申请>新建工单>去新建”按钮，出现“创建工单”页面。 6. 在此页面，用户根据界面提示，填写问题描述、机密信息、反馈邮件、反馈电话等真实信息，阐述清楚“扩大资源配额”的诉求，并说明申请扩大配额的原因，点击“确定提交”按钮。 7. 提交成功后，请您耐心等待天翼云工作人员回复与处理。