参数 参数类型 说明 示例 下级对象 subnetID String 子网id subnetqc90zmk12u name String 名称 subnetldyopenapi34 description String 描述 ldyopenapitest vpcID String vpc id vpcw6sty9v8rr availabilityZones Array of Strings 子网所在的可用区名 ["az1", "az2"] routeTableID String 路由表id rtbudnix6dfg2 networkAclID String 子网acl id cidr String 子网网段 172.16.14.0/24 gatewayIP String 网关ip 172.16.14.1 start String 子网网段起始IP 172.16.14.3 end String 子网网段结束IP 172.16.14.253 availableIPCount Integer 子网内可用ipv4数目 251 ipv6CIDR String ipv6子网列表 100:1:1f2:7206::/64 ipv6Start String 子网内可用的起始IPv6地址 100:1:1f2:7206::4 ipv6End String 子网内可用的结束IPv6地址 100:1:1f2:7206:ffff:ffff:ffff:fffd ipv6GatewayIP String ipv6网关ip fe80::f816:3eff:fe43:dcba dnsList Array of Strings DNS服务器地址 ["8.8.4.4","114.114.114.114"] ntpList Array of Strings NTP服务器地址 type Integer 子网类型 0 普通子网 1 裸金属子网 0 createdAt String 创建时间 20221008T04:09:40Z updatedAt String 更新时间 20221008T05:09:40Z

本文介绍内网VIP的创建、绑定、解绑和删除等相关操作。 创建内网VIP 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>虚拟IP>内网VIP】，选择对应的地域。 3. 单击【+预占内网VIP】，在弹窗页选择网段信息，支持自动分配IP地址和手动分配IP地址，分配的IP地址必须在子网网段范围内；如需选择自动分配IP地址，可填写预占数量，参数设置完成后，单击【确认】按钮，完成创建。 查看内网VIP 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>虚拟IP>内网VIP】，选择对应的地域。 3. 在内网VIP列表可查看已创建的内网VIP，单击地域可切换至其他地域。 绑定内网VIP 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>虚拟IP>内网VIP】，选择对应的地域。 3. 在内网VIP列表选择需要操作的内网VIP，单击【操作>绑定】，在弹窗页，勾选需要绑定的虚拟机，支持多选，单击【提交】按钮即可绑定。 4. 在内网VIP列表可查看对应内网VIP绑定实例的数量，鼠标移至数量上面可查看具体绑定的虚拟机实例名称。 说明 内网VIP仅允许绑定到虚拟机的VPC网卡，内网VIP绑定后需手动在VPC网卡上配置该IP地址。 解绑内网VIP 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>虚拟IP>内网VIP】，选择对应的地域。 3. 在内网VIP列表选择需要解绑的内网VIP，单击【操作>解绑】，在弹窗页，勾选需要解绑的虚拟机实例，支持多选，单击【提交】按钮即可解绑。

本章节主要介绍物理机的登录类的问题。 物理机开机或者重启后，无法登录或云硬盘丢失，如何解决？ 问题描述 物理机开机或重启后，无法登录或云硬盘丢失。 可能原因 网络拥塞或者丢包导致物理机获取IP或者挂载数据卷（云硬盘）失败。 解决方案 重启物理机，如果多次重启无效，请联系客服。 远程登录物理机时，对浏览器版本有什么要求？ 用户采用远程登录方式访问物理机时，使用的浏览器应满足下表。 支持的浏览器版本 浏览器 版本 Google Chrome 31.0及以上 Mozilla FireFox 27.0及以上 Internet Explorer 10.0及以上 远程登录物理机时界面操作无响应，如何解决？ 问题描述 远程登录物理机时，按“Enter”后界面无任何响应。 可能原因 物理机操作系统内部配置不允许通过远程访问。 解决方案 登录物理机，进入操作系统进行相关设置，各操作系统的配置有所不同，以下仅提供部分操作系统配置示例， 步骤 1修改配置文件。 对于SUSE Linux Enterprise Server 12 SP2/SUSE Linux Enterprise Server 12 SP1/Ubuntu 16.04 Server/CentOS Linux 7.3/EulerOS 2.2操作系统，使用vi编辑器打开“/etc/default/grub”，在“GRUBCMDLINELINUX”字段内容后添加“consoletty0 consolettyS0”，如下图所示。 对于Oracle Linux 7.3/Red Hat Enterprise Linux 7.3操作系统，使用vi编辑器打开“/etc/sysconfig/grub”，在“GRUBCMDLINELINUX”字段内容后添加“consoletty0 consolettyS0”，如下图所示。 步骤 2 刷新配置。 对于SUSE Linux Enterprise Server 12 SP2/Oracle Linux 7.3/Red Hat Enterprise Linux 7.3/CentOS Linux 7.3/EulerOS 2.2操作系统，执行以下命令刷新。 stty F /dev/ttyS0 speed 115200 grub2mkconfig o /boot/grub2/grub.cfg systemctl enable serialgetty@ttyS0 对于Ubuntu 16.04 Server操作系统，执行以下命令刷新。 stty F /dev/ttyS0 speed 115200 grubmkconfig o /boot/grub/grub.cfg systemctl enable serialgetty@ttyS0 步骤 3（可选）修改安全配置文件。 如果使用root用户通过串口进行登录，需要修改安全配置文件。在“/etc/securetty”最后添加如下信息： 步骤 4执行reboot重启操作系统。 物理机操作系统配置完成后，重新远程登录，确认是否可以登录成功。

本页为您介绍从天翼云ECS自建数据库迁移/同步数据到天翼云数据库,同资源池不同VPC情况下,通过对等连接接入的方法。 在同资源池，不同VPC之间，网络默认不通，需要通过VPC打通的方式来实现网络互通。目前支持通过VPC对等连接的方式实现VPC间子网级的互通，注意需要保证源数据实例所在子网与目标数据库实例所在子网的网段不冲突。 以下分别介绍网络通信方式，DTS实例的配置流程和不同VPC间通过对等连接进行互通的配置流程。 网络通信方式 网络通信方式，见下图： DTS实例的配置流程 DTS实例订购成功后，选择对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，“打通网络配置”将会自动识别，源端将显示“当前数据库不在同一个虚拟私有云(VPC)，需要配置对等连接打通⽹络”，点击“创建虚拟私有云(VPC)对等连接”将跳转到VPC控制台，可按VPC相关流程处理“创建对等连接”，具体页面如下： 不同VPC间通过对等连接互通的配置流程 创建VPC对等连接。 具体可参考天翼云对等连接相关文档进行配置。 源数据库实例与目标数据库实例的网络ACL和安全组配置。 具体可参考同VPC通过VPC网络接入天翼云文档进行相应配置。 数据库添加白名单。 自建数据库需要添加DTS实例的私网IP访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

本章节主要介绍修改密码策略 。 操作场景 须知 密码策略涉及用户管理的安全性，请根据业务安全要求谨慎修改，否则会有安全性风险。 该任务指导管理员用户设置密码安全规则、用户登录安全规则及用户锁定规则。由于“机机”用户密码随机生成，在MRS Manager设置密码策略只影响“人机”用户。开启Kerberos认证的集群或开启弹性公网IP功能的普通集群支持该操作。 如需对新增用户的密码或用户修改的密码使用新的密码策略，请先参考本章节修改密码策略，再创建用户或修改密码。 说明 该章节操作仅适用于MRS 3.x之前版本集群。MRS3.x及之后版本集群请参考 操作步骤 访问MRS Manager，详细操作请参见访问MRSManager（MRS2.x及之前版本）。 1. 在MRS Manager，单击“系统设置”。 2. 单击“密码策略配置”。 3. 根据界面提示，修改密码策略，具体参数见下表。 密码策略参数说明 参数名称 描述 最小密码长度 密码包含的最小字符个数，取值范围是8～32。默认值为“8”。 字符类型的数目 密码字符包含大写字母、小写字母、数字、空格和特殊符号（包含~!?,.:;'(){}[]/<>@ $%^&+l/）的最小种类。可选择数值为“3”和“4”。默认值“3”表示至少必须使用大写字母、小写字母、数字、特殊符号和空格中的任意3种。 密码有效期（天） 密码有效使用天数，取值范围0～90，0表示永久有效。默认值为“90”。 密码失效提前提醒天数 提前一段时间提醒密码即将失效。设置后，若集群时间和该用户密码失效时间的差小于该值，则说明用户进入密码失效提醒期。用户登录MRS Manager时会提示用户密码即将过期，是否需要修改密码。取值范围为“0”“X”，（“X”为密码有效期的一半，向下取整）。“0”表示不提醒。默认值为“5”。 认证失败次数重置时间间隔（分钟） 密码输入错误次数保留的时间间隔（分钟），取值范围为0～1440。“0”表示永远有效，“1440”表示1天。默认值为“5”。 密码连续错误次数 用户输入错误密码超过配置值后将锁定，取值范围为3～30。默认值为“5”。 用户锁屏时间（分钟） 满足用户锁定条件时，用户被锁定的时长，取值范围为5～120。默认值为“5”。

3.4 配置防火墙 弹性物理机有安全组，而标准物理机只能依赖系统中的防火墙。若不配置防火墙，会有安全隐患。下面给出一个样例iptables配置。 plaintext 启用iptables、ip6tables防火墙。分别针对IPv4和IPv6网络。 systemctl enable iptables systemctl enable ip6tables 配置iptables。 只允许ICMP协议、本地loopback接口和访问ssh服务。禁止其他所有访问。 禁止转发流量（通常只有路由器才需要转发流量）。 cat > /etc/iptables/rules.v4 /etc/iptables/rules.v6 <

来自：

帮助文档

物理机 DPS

用户指南

镜像

通过镜像文件制作系统盘私有镜像

制作镜像文件

制作系统盘私有镜像

类Ubuntu私有镜像制作

本文介绍AD域功能的使用流程及使用限制。 使用流程 以下为CIFS文件系统加入AD域的使用流程： 1. 搭建AD域环境。包括创建AD域控制器、创建AD域用户、将客户端加入AD域等，参考AD域环境搭建。 2. 文件系统加入AD域。登录AD域控制器的云主机生成keytab文件，并通过弹性文件服务的控制台将keytab文件上传至文件服务器，参考文件系统加入AD域。 3. 登录普通AD域客户端，使用域用户身份挂载CIFS文件系统，参考使用域用户身份挂载访问CIFS文件系统。 4. 读写访问文件系统。 了解关于AD域的使用限制和常见问题。 使用限制 仅CIFS文件系统支持使用AD域功能。 本功能目前面向白名单用户开放，如需试用请提交工单进行申请。 CIFS版本：支持SMB2.0和SMB3.0使用AD域功能。 Windows客户端版本：与文件系统支持的Windows版本一致，参考支持的操作系统。 文件系统状态与AD域服务的关系：文件系统为“可用”时可正常使用AD域服务，文件系统为“已过期”或“已冻结”将无法正常访问，此时需要续订文件系统或给账户进行续费。 修改AD域配置或文件系统退域后建议重新挂载以保证服务正常生效。

本页主要介绍弹性文件服务产品的API使用说明。 OpenAPI门户提供了产品的API 文档、API调试、SDK中心等。 关于用户如何使用弹性文件服务产品API的详细介绍，请参见使用API。您可以在OpenAPI门户可以了解到具体的调用前必知、API概览、如何调用API以及具体的API的接口详细说明。

使用SCSI类型磁盘需要安装驱动吗 使用SCSI的磁盘时，需要为某些云主机操作系统安装驱动，具体如下： 物理机 物理机的Windows和Linux镜像操作系统中已经预安装了使用SCSI磁盘所需的驱动，即SDI卡驱动，因此无需再安装。 KVM ECS 当您使用SCSI磁盘时，推荐您配合虚拟化类型为KVM的ECS一同使用。因为KVM ECS的Linux操作系统内核中已经包含了驱动，Windows操作系统中也包含了驱动，无需您再额外安装驱动，使用便捷。 说明 ECS的虚拟化类型分为KVM和XEN，想了解您所使用的ECS虚拟化类型，请参见“弹性云主机用户指南 > 产品介绍 > 实例类型”。 XEN ECS 由于驱动和操作系统支持的限制，不建议您一同使用SCSI磁盘与虚拟化类型为XEN的ECS。 然而，当前有一部分Windows和Linux操作系统支持SCSI磁盘，详情请参见下表。 说明 当XEN ECS的操作系统已满足SCSI磁盘的要求时，需要根据以下情况判断是否安装SCSI驱动。 Windows公共镜像的操作系统中已经预安装Paravirtual SCSI (PVSCSI) 驱动，无需再安装。 Windows私有镜像的操作系统中未安装PVSCSI驱动，请您自行下载并安装驱动。 具体方法请参见“镜像服务用户指南”中的“优化Windows私有镜像（可选）”小节。 Linux操作系统中未安装PVSCSI驱动，请在这里下载源码并编译安装。 表 SCSI磁盘支持的操作系统 虚拟机化类型 操作系统 ::: XEN Windows 请参见“公共镜像”中的Window操作系统。 查看方法：登录管理控制台，选择“镜像服务 > 公共镜像 > ECS镜像 > Windows”，即可查看操作系统列表。 XEN Linux SUSE Linux Enterprise Server 11 SP4 64bit (内核版本号为3.0.10168default or 3.0.10180default) SUSE Linux Enterprise Server 12 64bit (内核版本号为3.12.5152.31default) SUSE Linux Enterprise Server 12 SP1 64bit (内核版本号为3.12.6760.64.24default) SUSE Linux Enterprise Server 12 SP2 64bit (内核版本号为4.4.7492.35.1default)

本文介绍分布式容器云平台的产品优势。 统一集群纳管 集中管理天翼云、三方云和IDC机房的 Kubernetes 集群，提供一致的运维体验。 统一资源调度 提供多环境统一调度能力，基于CPU、内存、流量等多种弹性调度策略，赋能业务海量算力。 统一数据容灾 支持跨地域跨集群容灾，故障自动迁移，结合多活应用架构，全面提升企业业务连续性。 统一流量治理 东西/南北流量全域统一治理，支持流量切分、灰度发布、故障切换等丰富的治理场景。 统一应用交付 全域应用、任务与资源分发，解决业务分布和数据管控诉求。

本文介绍IAM策略概述概述。 策略结构 策略结构包括Version（策略版本号）和Statement（策略权限语句）两部分，其中Statement可以有多个，表示不同的授权项。 策略鉴权 用户在发起访问请求时，系统根据用户被授予的访问策略中的action进行鉴权判断。鉴权规则如下： 1. 用户发起访问请求。 2. 系统在用户被授予的策略中寻找请求对应的action，优先寻找Deny指令。如果找到一个适用的Deny指令，系统将返回Deny决定。 3. 如果没有找到Deny指令，系统将寻找适用于请求的任何Allow指令。如果找到一个Allow指令，系统将返回Allow决定。 4. 如果找不到Allow指令，最终决定为Deny，鉴权结束。 弹性容器实例策略 弹性容器实例系统权限策略参考 弹性容器实例自定义权限策略参考

参数 说明 名称 用户自定义 系统类型 按实际使用系统类型选择 IP 主机IP 凭证名称 用户自定义 账号 主机实际登录账号 密码 主机实际登录密码

本文介绍全站加速产品的优势。 全站加速产品的优势主要体现在以下几个方面： 极简的运维部署 零部署：一键CNAME接入, 即可实现动静混合的站点加速，无需改变网站拓扑，无需拆分动静态域名。 零运维：以云原生技术为“内核”，秉承DevOps理念，实现开发、测试、运维自动化。 极致的加速体验 优质的资源覆盖： CN2和163互备支撑，所有节点和IDC出口并行，避免峰值带宽拥堵。 动静分离，智能高效：智能分离动静态内容，静态内容就近缓存分发，动态内容AI选路传输回源。 传输优化：基于先进的内核技术及自研的私有协议，大幅提升传输效率。 多业务加速：支持http/https协议加速、上传加速、websocket加速、IPv6升级等。 安全可靠的传输保障 访问控制：支持设置IP黑白名单、Referer防盗链、UA黑白名单、URI黑白名单等进行访问控制。 安全传输：通过私有传输协议、https加密传输、无私钥驻留等技术，保障全站加速传输安全。 可靠传输：智能切换故障链路，保证数据传输可靠性。 全方位的售后服务 技术支持：一对一专属项目经理，724小时技术支持。 精准调度：全网节点实时监控，基于质量的精准调度。 服务保障：全面的源站性能监控及多种负载均衡策略，保障服务不中断。

本文介绍使用CDN时，当业务异常时，快速判断是否源站问题的方法。 客户已经启用CDN的情况下，意味着客户已经CNAME到天翼云的一级域名，此时直接访问域名，将会直接访问到CDN节点。如果业务发生异常时，要快速确认是否源站问题，有如下两种方式：一是Windows环境通过修改本地HOSTS文件绑定源站IP实现，二是Linux环境下使用curl指令实现。 方式一：Windows环境通过修改本地HOSTS文件绑定源站ip进行测试验证 用户修改本地电脑的HOSTS文件，添加一条记录，如：“IP 加速域名”，让本地电脑访问加速域名时，强制绑定解析到源站IP，由源站IP进行服务，从而可以通过本地电脑来验证源站的可用性。 方式二：Linux环境使用curl指令进行测试验证 使用curl指令来发起HTTP/HTTPS请求，使用指定参数绑定源站进行测试验证。假设：192.168.1.1为源站IP地址，test.ctyun.cn为加速域名。 源站端口为80时，运行指令：curl voa " x 192.168.1.1:80 源站端口为443时，运行指令：curl voa " resolve test.ctyun.cn:443:192.168.1.1 源站端口为自定义端口时，运行指令：curl voa " x 192.168.1.1:[自定义端口号]

本章主要介绍IPv6双栈信息。 操作场景 IPv4/IPv6双栈可以为您的物理机提供两个不同版本的IP地址：IPv4地址和IPv6地址，这两个IP地址都可以进行内网/公网访问。如果需要开启IPv6双栈，请参考本指导进行操作。 使用须知 当前仅支持在创建物理机时开启IPv6，不支持添加网卡时开启IPv6。 开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。开启IPv6功能成功后，不能关闭。 启用IPv6双栈时，物理机将同时获取IPv4和IPv6两个IP地址，不支持单独使用IPv6。 操作步骤 1、开启虚拟私有云子网的IPv6功能。 a. 登录管理控制台，选择“网络 > 虚拟私有云”。 进入虚拟私有云页面。 b. 在待配置的虚拟私有云所在行，单击子网个数。 进入子网页面。 c. 在待配置的子网所在行，单击“开启IPv6”。 d. 在弹出的对话框中单击“确定”，开启IPv6。 说明 子网的IPv6功能开启后，不能关闭。 2、创建物理机，开启IPv6双栈。 镜像 选择支持IPv6的镜像。如果是公共镜像，支持IPv6的镜像会在操作系统版本后标识；如果是私有镜像或共享镜像，需要用户自行确认是否支持IPv6。 虚拟私有云 选择已开启IPv6功能的虚拟私有云。 网卡 选择已开启IPv6功能的子网后，页面将显示IPv6功能配置项，选择“自动分配IPv6地址”。 说明 若镜像选择私有镜像或共享镜像，且不支持IPv6，即使此处的IPv6功能配置项选择“自动分配IPv6地址”，也会配置不成功，即物理机操作系统中查询不到IPv6地址。因此，如果需要使用IPv6功能，建议选择公共镜像中支持IPv6的镜像。 公共镜像中CentOS 7.3操作系统不支持扩展网卡获取IPv6地址，请优先使用其他镜像。 3、创建物理机，物理机创建成功后，登录操作系统内部，可以看到分配的IPv6地址。

本章主要介绍翼MapReduce的安全声明功能。 JDK使用声明 MRS是一个大数据集群，为用户提供分布式的数据分析计算能力。本产品自带的JDK为OpenJDK，主要使用场景如下： 平台服务运行及维护使用。 Linux客户端运行时使用（主要为业务提交、应用运维等）。 JDK风险说明 系统对自带的JDK进行了权限控制，只有属于FusionInsight平台相关群组的用户才有权限访问，且平台部署在客户内网，安全风险较低。 JDK加固 JDK加固相关操作请参考加固策略的“加固JDK”部分。 Hue组件包含公网IP的说明 Hue组件使用的ipadrress，requests，Django等第三方包的测试用例及其注释包含的公网IP，组件在提供服务时不涉及这些IP，Hue组件的配置文件中不涉及公网IP。

key keytype为var时填写 keytype为varcombination时填写 "remoteaddr"（客户端 IP 地址） remoteaddr $remoteaddr "serveraddr"（服务端 IP 地址） serveraddr $serveraddr 请求头中的值"XForwardedFor" httpxforwardedFor $httpxforwardedFor 请求头中的值"XRealIP" httpxrealip $httpxrealip "consumername"（consumer 的 username） consumername $consumername "serviceid" serviceid $serviceid

本节介绍了备份恢复相关问题与处理方法。 mysqldump导数据报错权限不足 场景描述 mysqldump使用指定用户导出数据库数据时，报错：'Access denied; you need (at least one of) the PROCESS privilege(s) 原因分析 mysqldump使用指定用户导出数据时，需要赋予PROCESS权限。 解决方案 使用管理员帐户给相应用户授予PROCESS权限。 GRANT SELECT，PROCESS ON . TO ‘dumpuser’@’%’; FLUSH PRIVILEGES; 使用mysqlbinlog工具获取binlog 本节介绍了获取binlog方法。 本文以从弹性云主机ECS上拉取为例，其他环境下方法类似。 1. 在ECS上安装MySQL客户端，详情请参考安装MySQL客户端。 说明 TaurusDB兼容社区MySQL 8.0及以上版本，请勿安装8.0以下版本的版本的客户端。 2. 执行命令，下载binlog文件。 mysqlbinlog hxxx uxxx Pxxx pxxx binlog.xxxx readfromremoteserver mysqlbinlog的常用参数： h：数据库host。 u：用户名。 P：端口号。 p：密码。 startposition：表示从指定的起始位置开始解析。 startdatetime：表示从指定的时间开始解析。 stopposition：表示解析到指定的位置。 stopdatetime：表示解析到指定的时间。 skipgtids：跳过打印gtidlogevent。 shortform：表示只显示statements。 resultfile：将binlog解析生成sql文件。 readfromremoteserver：远程下载binlog(用于mysqlbinlog与数据库服务端不再同一台机器的情况)。 canal解析binlog报错

配置项 说明 接口名称 wan为系统默认生成的接口名称，不允许修改 禁用接口 勾选禁用接口，即临时停止收发数据，不再处理流量。通用用于调试、安全或网络架构调整等场景 角色 wan口的角色为WAN，即作为连接互联网的接口，不允许修改 协议 默认为动态IP（DHCP），支持修改为动态IP（DHCPv6）、静态IP 当设置为静态IP，需要配置IPv4地址、IPv4掩码、IPv4网关、首选DNS，IPv6和备选DNS为选配 网卡 默认绑定物理网卡eth0，允许修改 优先级 适用于P10004GWIFI/C40005G硬件类型，同时启用蜂窝网络和有线网络时，可通过设置不同的优先级区分主备线路。数值越小，优先级越高。 其它硬件类型保持默认配置0即可。 备注 自定义添加说明

本文以“通过SSH远程安装Agent”为例介绍如何安装Agent，更多安装Agent的方法请参Agent管理。 通过SSH远程安装Agent 您可以通过SSH协议将Agent自动安装到需要审计的服务器上，目前仅支持Linux系统。 在界面上输入需要审计的服务器IP、SSH端口、root用户名、密码，天翼云数据库审计通过scp协议将agent安装包传输到宿主机上并自动安装。 1. 在菜单栏选择“系统管理 > Agent管理”进入“Agent管理”页面，选择“Agent安装”页签。 2. 单击“开始安装”进入通过SSH远程安装Agent页面，编辑审计服务器IP，并添加安装Agent的服务器，单击“安装”。 填写参数说明请参见下表： 参数 参数说明 审计服务器IP 默认为当前的审计服务器IP，用户可以根据需要修改。 安装Agent的服务器 输入需要安装Agent的服务器IP及该服务器root账户的密码，默认端口为22，用户可以根据实际情况修改。 支持表单格式和文本格式输入。 支持IPv4和IPv6。 最多填写20个。 说明 单击“安装状态”可进入“安装状态”查看页面，可进行以下操作： 单击“卸载”可远程卸载已经成功安装了的Agent。 单击“重新安装”可对未成功安装Agent的服务器重新安装。 将光标悬停至“安装失败”后的图标，查看安装失败原因。 若您的业务部署在一类节点的资源池上，审计服务器IP需改为数据库审计所在的VPC组的公网IP。（一类节点可参考[支持的区域](/document/10446453/10489850

本章节为您介绍日志审计(原生版)资产管理相关的操作。 日志审计（原生版）提供集中化的统一管理平台，将所有的需要审计的设备统一纳管入平台中，进行信息资产的统一日志管理。 在使用日志审计（原生版）之前，您先需要将资产纳管，以便服务可以进行日志管理。 新增资产 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 选择需要新增资产的资产组，进入资产组页面后，单击“新增资产”。 说明 下图以选择默认的资产组为例，实际请根据业务情况自行选择资产组。 4. 进入“新增”页面，填写待新增的资产内容。填写完成后，单击“确认”。 分类 参数 参数说明 取值样例 基本属性 资产名称 填写您的资产名称，最大长度不超过64个字符。 资产示例 基本属性 管理IP 填写待纳管设备的主识别IP，请确保IP真实有效。 0.0.0.0 基本属性 生产厂商 （可选）输入您设备的生产厂商关键字，在下拉框中选择。 基本属性 资产大类 在下拉框中选择待纳管资产的设备类别。 主机 基本属性 资产小类 在下拉框中选择待纳管资产的具体设备类型。 服务器/其他 基本属性 产品名称 （可选）输入您待纳管资产的产品名称。 基本属性 产品版本号 （可选）输入您待纳管资产的版本号。 基本属性 资产状态 （可选）选择您纳管资产目前的状态，可选“在线”或“离线”。 在线 基本属性 所属宿主机 （可选）选择您纳管资产所属的宿主机IP，若没有宿主机可不选择。 基本属性 地理位置 （可选）选择您纳管资产所在地理位置，仅支持选择中国境内地区。 北京 基本属性 设备联系人 （可选）填写待纳管资产的联系人信息。 基本属性 序列号 （可选）填写待纳管资产的序列号。 基本属性 syslogudp采集 （可选）开启后采集管理syslogudp快捷新增该资产，字符编码默认UTF8。 基本属性 质保期 （可选）选择待纳管资产的质保期。 基本属性 描述 （可选）填写待纳管资产的描述。 资产标签 资产标签 （可选）填写待纳管资产的标签，方便您可通过标签进行资产查询。 安全属性 机密性 选择待纳管资产的机密等级，可选110级，默认选择1级。 1级 安全属性 完整性 选择待纳管资产的完整等级，可选110级，默认选择1级。 1级 安全属性 可用性 选择待纳管资产的可用等级，可选110级，默认选择1级。 1级 安全属性 资产价值 选择待纳管资产的资产价值，可选“低”、“中”、“高”，默认为“低”。 低 安全属性 等保级别 选择待纳管资产的等保等级，可选110级，默认选择1级。 1级 接口 IP 与“管理IP”一致，请确保IP真实有效。 0.0.0.0 接口 IP类型 选择纳管资产的IP类型，请如实选择。 公网 接口 MAC （选填）输入待纳管资产的MAC接口地址。 注意 新增资产时，日志采集方式、资产类型和IP需要根据实际情况选择。

参数 参数类型 说明 示例 下级对象 addressGroupNum Integer 地址组数量 1 ipQuota Integer 可添加 IP 总数 10000 addressGroupQuota Integer 地址簿配额 1000 ipNum Integer 所有地址簿的ip数量之和 2

本节介绍如何开启公网NAT网关防护。 前提条件 当前账号下已创建公网NAT网关，详细操作请参见创建公网NAT网关。 一个公网NAT防护将消耗 4 个“可防护公网 IP 数” 配额，在开启防护前，确保有足够的防护配额。 开启公网NAT网关防护 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > 互联网边界防火墙开关”。 3. 在“公网NAT”页签，找到需要开启防护的公网NAT网关，单击操作列的“开启防护”。 系统会定期自动同步当前账号下的资产到该页面，若有公网NAT网关资产未同步，可以在互联网边界防火墙开关页面右上角单击“同步资产”，手动同步资产。资产同步预计需要1~2分钟。 公网NAT网关列表展示当前账号下所有公网NAT网关。列表包括NAT名称、NAT状态、可用区、虚拟私有云、防护状态。 4. 进入开启公网NAT防护页面，完成相应配置。 1. 自动检查：单击“立即扫描”，待扫描完成后，单击“下一步”。 注意 若有未检查通过的项，请根据提示信息完成相应操作后，再执行下一步。 2. 创建终端节点。 配置引流子网后，单击“创建终端节点”。 注意 支持选择已有子网，也可以自定义子网。自定义子网的网段必须属于当前VPC的CIDR；创建后无法更改。 终端节点创建完成后，单击“下一步”。 3. 网络引流配置：目前仅支持手动引流，请根据界面提示的步骤完成引流配置。手动配置完成后，单击“配置完成”。 4. 开启防护成功。

参数 是否必填 参数类型 说明 示例 下级对象 ruleId 是 Long 规则ID 321 ruleName 是 String 规则名称 test firewallId 是 String 防火墙id dca4f9ffaca2447aa24310c1e62c4690 ipProto 是 String IP协议，可能值 v4,v6。 v4 direction 是 String 方向，可能值 in,out。 in action 否 String 动作，可能值 drop,pass。 pass dstIp 否 String 目的IP V4必输 1.1.1.0 dstIpMask 否 Integer 目的IP子网掩码 V4必输 24 dstIp6 否 String 目的IP6 V6必输 1:: dstIp6Mask 否 Integer 目的IP6子网掩码 V6必输 96 srcIp 否 String 源IP V4必输 2.2.2.0 srcIpMask 否 Integer 源IP子网掩码 V4必输 24 srcIp6 否 String 源IP6 V6必输 2:: srcIp6Mask 否 Integer 源IP6子网掩码 V6必输 96 service 否 String 服务类型，可能值 any,icmp,tcp,udp。 tcp dstPort 否 String 目的端口 8080 srcPort 否 String 源端口 8182 icmpType 否 String icmpType icmpCode 否 String icmpCode app 否 String 应用ID 多个ID用逗号隔开 20,30 status 否 String 规则开关，可能值 disable,enable。 disable statistics 否 String 统计开关，可能值 disable,enable。 disable policyDesc 否 String 防护规则描述 防护规则描述 pos 否 String 移动策略ID到最前或最后，可能值 head,remove,tail。 head act 否 String 基于目标策略ID移动类型, 可能值 after,before。 priority,act和pos三选一 after base 否 Long 目标策略ID, 当act有效时, 必传 2222 srcIpGroupId 否 Integer 源地址组id 1 dstIpGroupId 否 Integer 目的地址组id 1 srcPortGroupId 否 Integer 源端口组id 2 dstPortGroupId 否 Integer 目的端口组id 2

操作步骤 1.在FusionInsight Manager，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 实例 > NameNode”，查看待恢复数据的NameNode角色实例是否已经停止，如果NameNode角色实例未停止，请停止NameNode角色实例运行。 2.在FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 3.在任务列表指定任务的“操作”列，选择“更多 > 查询历史”，打开备份任务执行历史记录。 在弹出的窗口中，在指定一次执行成功记录的“备份路径”列，单击“查看”，打开此次任务执行的备份路径信息，查找以下信息： “备份对象”表示备份的数据源。 “备份路径”表示备份文件保存的完整路径。 选择正确的项目，在“备份路径”手工选中备份文件的完整路径并复制。 4.在FusionInsight Manager，选择“运维 > 备份恢复 > 恢复管理”。 5.单击“创建”。 6.在“任务名称”填写恢复任务的名称。 7.在“恢复对象”选择待操作的集群。 8.在“恢复配置”，勾选“NameNode”。 9.在“NameNode”的“路径类型”，选择一个备份目录的类型。 选择不同的备份目录时，对应设置如下： “LocalDir”：表示备份文件保存在主管理节点的本地磁盘上。 选择此参数值，还需要配置以下参数： “源端路径”：表示备份文件在本地磁盘中保存的完整路径。例如“ 备份路径/备份任务名任务创建时间/版本号数据源任务执行时间.tar.gz ”。 “目标NameService名称”：选择备份目录对应的目标NameService名称。默认值为“hacluster”。 “RemoteHDFS”：表示备份文件保存在备集群的HDFS目录。 选择此参数值，还需要配置以下参数： “源端NameService名称”：填写备份数据集群的NameService名称。可以输入集群内置的远端集群的NameService名称：haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4；也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “源端NameNode IP地址”：填写备集群NameNode业务平面IP地址，支持主节点或备节点。 “源端路径”：填写备集群保存备份数据的完整HDFS路径。例如，“ 备份路径/备份任务名数据源任务创建时间/版本号数据源任务执行时间.tar.gz ”。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。需和集群中已存在且状态正常的队列名称相同。 “目标NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “NFS”：表示将备份文件通过NFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “源端路径”：填写备份文件在NAS服务器中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间/版本号数据源任务执行时间.tar.gz ”。 “目标NameService名称”：选择备份目录对应的目标NameService名称。默认值为“hacluster”。 “CIFS”：表示将备份文件通过CIFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “源端路径”：填写备份文件在NAS服务器中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间/版本号数据源任务执行时间.tar.gz ”。 “目标NameService名称”：选择备份目录对应的目标NameService名称。默认值为“hacluster”。 “SFTP”：表示备份文件通过SFTP协议保存在服务器中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写备份数据的服务器IP地址。 “端口号”：填写SFTP协议连接备份服务器使用的端口号，默认值为“22”。 “用户名”：填写使用SFTP协议连接服务器时的用户名。 “密码”：填写使用SFTP协议连接服务器时的密码。 “源端路径”：填写备份文件在备份服务器中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间/版本号数据源任务执行时间.tar.gz ”。 “目标NameService名称”：选择备份目录对应的目标NameService名称。默认值为“hacluster”。 “OBS”：表示将备份文件保存在OBS中。 选择此参数值，还需要配置以下参数： “源端路径”：填写备份文件在OBS中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间/版本号数据源任务执行时间.tar.gz ”。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 说明 MRS 3.1.0及之后版本才支持将备份文件保存到OBS。 10. 单击“确定”保存。 11.在恢复任务列表已创建任务的“操作”列，单击“执行”，开始执行恢复任务。 恢复成功后进度显示为绿色。 恢复成功后此恢复任务不支持再次执行。 如果恢复任务在第一次执行时由于某些原因未执行成功，在排除错误原因后单击“重试”，重试恢复任务。 12.在FusionInsight Manager，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 更多 > 重启服务”。 在弹出窗口中输入当前登录的管理员密码确认管理员身份，单击“确定”。界面提示“操作成功。”，单击“完成”，服务成功启动。

操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 2.在任务列表指定任务的“操作”列，选择“更多 > 查询历史”，打开备份任务执行历史记录。 在弹出的窗口中，在指定一次执行成功记录的“备份路径”列，单击“查看”，打开此次任务执行的备份路径信息，查找以下信息： “备份对象”表示备份的数据源。 “备份路径”表示备份文件保存的完整路径。 选择正确的项目，在“备份路径”手工选中备份文件的完整路径并复制。 3.在FusionInsight Manager，选择“运维 > 备份恢复 > 恢复管理”。 4.单击“创建”。 5.在“任务名称”填写恢复任务的名称。 6.在“恢复对象”选择待操作的集群。 7.在“恢复配置”，勾选“业务数据”下的“HDFS”。 8.在“HDFS”的“路径类型”，选择一个备份目录的类型。 备份目录支持以下类型： “RemoteHDFS”：表示将备份文件保存在备集群的HDFS目录。 选择此参数值，还需要配置以下参数： “源端NameService名称”：填写备份数据集群的NameService名称。可以输入集群内置的远端集群的NameService名称：haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4；也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “源端NameNode IP地址”：填写备集群NameNode业务平面IP地址，支持主节点或备节点。 “源端路径”：填写备集群保存备份数据的完整HDFS路径。例如，“ 备份路径/备份任务名数据源任务创建时间 ”。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。 “恢复点列表”：单击“刷新”，然后选择一个备集群上已备份的HDFS目录。 “目标NameService名称”：选择备份目录对应的目标NameService名称。默认值为“hacluster”。 “最大map数”：填写执行MapReduce任务的最大map数，默认值为“20”。 “单个map的最大带宽(MB/s)”：填写单个map最大带宽，默认值为“100”。 “NFS”：表示备份文件通过NFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “源端路径”：填写备份文件在NAS服务器中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间”。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。 “恢复点列表”：单击“刷新”，然后选择一个备集群上已备份的HDFS目录。 “目标NameService名称”：选择备份目录对应的目标NameService名称。默认值为“hacluster”。 “最大map数”：填写执行MapReduce任务的最大map数，默认值为“20”。 “单个map的最大带宽(MB/s)”：填写单个map最大带宽，默认值为“100”。 “CIFS”：表示备份文件通过CIFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “源端路径”：填写备份文件在NAS服务器中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间”。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。 “恢复点列表”：单击“刷新”，然后选择一个备集群上已备份的HDFS目录。 “目标NameService名称”：选择备份目录对应的目标NameService名称。默认值为“hacluster”。 “最大map数”：填写执行MapReduce任务的最大map数，默认值为“20”。 “单个map的最大带宽(MB/s)”：填写单个map最大带宽，默认值为“100”。 “SFTP”：表示备份文件通过SFTP协议保存到服务器中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写备份数据的服务器IP地址。 “端口号”：填写SFTP协议连接备份服务器使用的端口号，默认值为“22”。 “用户名”：填写使用SFTP协议连接服务器时的用户名。 “密码”：填写使用SFTP协议连接服务器时的密码。 “源端路径”：填写备份文件在备份服务器中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间/版本号数据源任务执行时间.tar.gz ”。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。 “恢复点列表”：单击“刷新”，然后选择一个备集群上已备份的HDFS目录。 “目标NameService名称”：选择备份目录对应的目标NameService名称。默认值为“hacluster”。 “最大map数”：填写执行MapReduce任务的最大map数，默认值为“20”。 “单个map的最大带宽(MB/s)”：填写单个map最大带宽，默认值为“100”。 9.在“数据配置”中的“备份数据”列根据业务需要勾选一个或多个需要恢复的已备份数据，并在“目标路径”列，指定备份数据恢复后的位置。 “目标路径”建议选择一个与目的端路径不同的新路径。 10.单击“校验”查看恢复任务的配置是否正确。 如果队列名称不正确，校验失败。 如果不存在指定的恢复目录，校验失败。 11.单击“确定”保存。 12.在恢复任务列表已创建任务的“操作”列，单击“执行”，开始执行恢复任务。 恢复成功后进度显示为绿色。 恢复成功后此恢复任务不支持再次执行。 如果恢复任务在第一次执行时由于某些原因未执行成功，在排除错误原因后单击“重试”，重试恢复任务。

应用批量导入 按照模版要求进行导入文件，目前支持的文件类型为.xls，.xlsx，单个文件最多支持导入100个应用，超过100个请分多个文件多次导入。 应用批量导出 据当前查询条件导出应用数据，导出文件类型为.xlsx。 添加应用 新增时可针对应用进行相关配置。区分应用配置、连通性探测、应用授权介绍。 WEB应用：http，https，ws，wss协议类型应用。 网络应用：除WEB应用协议外的其他协议，例如tcp，udp，ssh。 注意 对于不同的应用类型（WEB应用、网络应用），应用地址的添加字段和处理存在差异，请根据具体应用类型进行选择，若类型选择错误，可能会导致访问异常。 应用配置 基础配置字段说明如下： 字段 是否必填 字段说明 应用类型 是 分为Web应用与网络应用。 应用名称 是 应用的名称。 应用描述 否 应用的说明。 应用标签 否 请在下拉框勾选应用标签，应用标签列表来源于应用标签分页您添加的所有应用标签，若需新增应用标签，请滑动到下拉框底部单击添加标签按钮进行添加。 企业门户上架 否 企业门户是企业向员工展示的门户网站，选择企业门户上架开启，则在客户端的企业门户页面可展示该应用以及对应的入口地址URL，员工可点击进行快捷访问。 注意：仅Web应用有企业用户上架限制。 应用状态 是 分为启用或禁用。 权限申请 是 默认允许用户申请此权限。 应用负责人 否 应用可自定义其负责人，方便您进行区分人员进行管理应用。 应用重要等级 是 请给应用选择对应重要程度等级，在配置各类防护策略时您可根据应用的等级对出现异常访问的行为进行梯度降权，越高等级的应用将越受到保护，若未选择，则默认为低等应用。 应用访问 否 默认开启该应用可在电脑端与手机端使用，用户可以配置应用访问的可见范围与打开方式。 应用图标 否 支持图片上传对应图标，也可以从待选图标里面选择图标，配置图标后，该图标将作为该应用在客户端的展示图标。企业员工用户通过终端点击该图标实现WEB类型应用快捷访问。网络类型应用不支持图标点击快捷访问。 入口URL 是 用户可在客户端点击应用则可访问入口URL，便于应用快捷访问、应用地址统一管理。 应用地址 是 应用地址分为域名、IP地址、IP范围、IP网段，请按照要求进行相关配置：域名：支持输入1个域名（如ctyun.cn）或泛域名（如.ctyun.cn），不支持中文。IP地址：支持输入1个IP地址（如1.1.1.1），若有多个请增加多条或配置IP范围或IP网段。IP范围：支持输入1个IP范围（如1.1.1.11.1.1.16）。IP网段：支持输入1个IP网段（如1.1.1.1/32）。协议：支持http、https、ws、wss进行选择。端口：支持配置端口或端口范围（如8185），多个端口用“,”隔开，不支持同时配置端口和端口范围或配置多个端口范围。 关联连接器集群 是 您可将不同数据中心的应用关联到对应的所属不同连接器上，实现不同的应用走不同的连接器回源。例如北京、内蒙机房分别部署连接器，则位于内蒙网络的应用资源，需将其关联到内蒙连接器上。为保证访问正常，不允许两个存在相同IP地址的应用关联到不同的连接器上，请勿将相同IP地址或不同域名相同解析IP的应用使用不同的连接器回源访问。

在采集日志时，日志服务会将采集时间、日志类型、主机IP等信息以KeyValue对的形式添加到日志中，这些字段是云日志服务的内置字段。 说明 使用API写入日志数据或添加ICAgent配置时，请不要将字段名称设置为内置保留字段，否则可能会造成字段名称重复、查询不精确等问题。 用户自定义日志字段名称中不能使用双下划线，否则无法配置索引。 日志示例 如下是一条CCE日志，content字段值是日志原文，其他字段是常见的一些内置保留字段。 { "hostName":"epstestxx518", "hostIP":"192.168.0.31", "clusterId":"c7f3f4a5xxxx11eda4ec0255ac100b07", "pathFile":"stdout.log", "content":"levelerror ts20230419T09:21:21.333895559Z", "podIp":"10.0.0.145", "containerName":"configreloader", "clusterName":"epstest", "nameSpace":"monitoring", "hostIPv6":"", "collectTime":"1681896081334", "appName":"alertmanageralertmanager", "hostId":"318c02fexxxx4c91b5bb6923513b6c34", "lineNum":"1681896081333991900", "podName":"alertmanageralertmanager54d7xxxxwnfsh", "time":"1681896081334", "serviceID":"cf5b453xxxad61d4c483b50da3fad5ad", "category":"LTS" } 内置保留字段说明 表 1 内置保留字段说明 内置保留字段 数据格式 索引与统计设置 说明 collectTime 整型，Unix时间戳（毫秒） 索引设置：开启索引后，日志服务默认为collectTime创建字段索引，索引数据类型为long类型。查询时输入collectTime : xxx。 采集时间，指日志被采集器ICAgent采集时的时间。示例中的"collectTime":"1681896081334"，转换成标准时间是20230419 17:21:21 time 整型，Unix时间戳（毫秒） 索引设置：开启索引后，日志服务默认为time创建字段索引，索引数据类型为long类型。该字段不支持查询。 日志时间，指的是日志在控制台页面展示的日志时间。例如示例中的"time":"1681896081334"，转换成标准时间是20230419 17:21:21日志时间默认使用采集时间，也支持自定义日志时间。 lineNum 整型 索引设置：开启索引后，日志服务默认为lineNum创建字段索引，索引数据类型为long类型。 行号（偏移量），用来排序日志。非高精度日志会根据collectTime生成，默认是collectTime 1000000 + 1，高精度日志就是用户上报的纳秒值。例如示例中的"lineNum":"1681896081333991900"。 category 字符串 索引设置：开启索引后，日志服务默认为category创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入category: xxx。 日志类型，表示该日志的来源。例如ICAgent采集的日志该字段为LTS，某云服务例如DCS上报的日志该字段为DCS。 clusterName 字符串 索引设置：开启索引后，日志服务默认为clusterName创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入clusterName: xxx。 集群名称，k8s场景下集群名称。例如示例中的"clusterName":"epstest"。 clusterId 字符串 索引设置：开启索引后，日志服务默认为clusterId创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入clusterId: xxx。 集群ID，k8s场景下集群ID。例如示例中的"clusterId":"c7f3f4a5xxxx11eda4ec0255ac100b07"。 nameSpace 字符串 索引设置：开启索引后，日志服务默认为nameSpace创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入nameSpace: xxx。 命名空间，k8s场景下命名空间。例如示例中的"nameSpace":"monitoring"。 appName 字符串 索引设置：开启索引后，日志服务默认为appName创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入appName: xxx。 组件名称，k8s场景下工作负载的名称。例如示例中的"appName":"alertmanageralertmanager"。 serviceID 字符串 索引设置：开启索引后，日志服务默认为serviceID创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入serviceID: xxx。 工作负载ID，k8s场景下工作负载ID。例如示例中的"serviceID":"cf5b453xxxad61d4c483b50da3fad5ad"。 podName 字符串 索引设置：开启索引后，日志服务默认为podName创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入podName: xxx。 POD名称，k8s场景下POD名称。例如示例中的"podName":"alertmanageralertmanager0"。 podIp 字符串 索引设置：开启索引后，日志服务默认为podIp创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入podIp: xxx。 pod的ip，k8s场景下pod的IP地址。例如示例中的"podIp":"10.0.0.145"。 containerName 字符串 索引设置：开启索引后，日志服务默认为containerName创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入containerName: xxx。 容器名称，k8s场景下容器名称。例如示例中的"containerName":"configreloader"。 hostName 字符串 索引设置：开启索引后，日志服务默认为hostName创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入hostName: xxx。 主机名称，ICAgent所在主机的名称。例如示例中的"hostName":"epstestxx518"。 hostId 字符串 索引设置：开启索引后，日志服务默认为hostId创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入hostId: xxx。 主机ID，ICAgent所在主机的id，该id由ICAgent生成。例如示例中的"hostId":"318c02fexxxx4c91b5bb6923513b6c34"。 hostIP 字符串 索引设置：开启索引后，日志服务默认为hostIP创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入hostIP: xxx。 主机IP，日志采集器所在主机的ip（适用于ipv4场景）例如示例中的"hostIP":"192.168.0.31"。 hostIPv6 字符串 索引设置：开启索引后，日志服务默认为hostIPv6创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入hostIPv6: xxx。 主机IP，日志采集器所在主机的ip（适用于ipv6场景）例如示例中的"hostIPv6":""。 pathFile 字符串 索引设置：开启索引后，日志服务默认为pathFile创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入pathFile: xxx。 文件路径，采集的日志文件的路径。例如示例中的"pathFile":"stdout.log"。 content 字符串 索引设置：开启全文索引后，会使用全文索引定义的分词符对content字段的value进行分词；不支持将content字段配置到字段索引中。 日志原文例如示例中的"content":"levelerror ts20230419T09:21:21.333895559Z" logContent 字符串 不支持将logContent字段配置到字段索引中。 不涉及。 logContentSize 整型 不支持将logContentSize字段配置到字段索引中。 不涉及。 logIndexSize 整型 不支持将logIndexSize字段配置到字段索引中。 不涉及。 groupName 字符串 不支持将groupName字段配置到字段索引中。 不涉及。 logStream 字符串 不支持将logStream字段配置到字段索引中。 不涉及。 receivetime 整型，Unix时间戳（毫秒） 索引设置：开启索引后，日志服务默认为receivetime创建字段索引，索引数据类型为long类型。 上报日志的服务端时间，相当于LTS采集端接收到日志的时间。 clienttime 整型，Unix时间戳（毫秒） 索引设置：开启索引后，日志服务默认为clienttime创建字段索引，索引数据类型为long类型。 端侧日志的客户端上报时间。 contentparsefail 字符串 索引设置：开启索引后，日志服务默认为contentparsefail创建字段索引，索引数据类型为string类型，分词字符为默认分词符。查询时输入contentparsefail: xxx。 上报日志解析失败的日志内容。 savetime 整型，Unix时间戳（毫秒） 索引设置：开启索引后，日志服务默认为savetime创建字段索引，索引数据类型为long类型。 日志流引擎的时间字段，根据此时间拉取对应时间段内的日志数据。 time 整型，Unix时间戳（毫秒） 索引设置：开启索引后，日志服务默认为time创建字段索引，索引数据类型为date类型。 采集时间，用于兼容可视化查询。

本节主要介绍弹性文件服务的使用限制。 SFS容量型文件系统支持NFSv3协议和CIFS协议，NFSv3协议下默认的导出选项是rw，norootsquash，noallsquash，sync。CIFS协议下默认的导出选项是rw，sync。 CIFS的加密文件系统不支持copychunk复制。 为了获得文件系统的更优性能，建议选用支持文件系统挂载的操作系统所列经过兼容性测试的操作系统。 CIFS类型的文件系统不支持使用Linux操作系统的云服务器进行挂载。 弹性文件服务暂时不支持复制功能。 弹性文件服务暂时不支持跨区域使用。 SMB文件系统只对文件系统级别、而不对文件/目录级别提供权限控制。 SFS容量型文件系统限制 SFS容量型文件系统当前仅限内网访问，不支持公网访问；只能在云上使用，不支持云下使用。 当前支持NFS协议（不支持NFSv4，仅支持NFSv3）和CIFS协议（不支持SMB1.0版本，支持SMB2.0/2.1/3.0版本）。 同一文件系统不能同时支持NFS协议和CIFS协议。 单个文件系统最多能够被10,000个计算节点同时挂载访问。 单个文件系统最大容量为4PB，单个文件最大容量为240TB。 支持多VPC，一个文件系统最多可以添加20个可用的VPC，对于添加的VPC所创建的ACL规则总和不能超过400个。 SFS Turbo文件系统限制 规格限制 限制项 说明 单文件大小 标准型、标准型增强版、性能型、性能型增强版：最大为16TB 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：最大为320TB 单文件系统最大文件或子目录数 标准型、标准型增强版、性能型、性能型增强版：10亿 说明 单文件系统下文件或子目录数总容量（KB）/16，上限为10亿，即得出数量大于10亿时，数量按10亿算。 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：20亿 说明 单文件系统下文件或子目录数总容量（GB） 25000，上限为20亿，即得出数量大于20亿时，数量按20亿算 单目录下最大文件或子目录数 2000万 说明 如果用户需要对整个目录进行ls、du、cp、chmod、chown等操作，建议单层目录下不要放置超过50万的文件或子目录，否则可能由于NFS协议需要向服务端发送大量遍历请求而产生排队，导致请求耗时非常长。 目录最大深度 100层 最大路径长度 标准型、标准型增强版、性能型、性能型增强版：1024Byte 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：4096Byte 最大软链接长度 1024Byte 最大硬链接长度 255Byte 文件系统数量配额 默认32个 操作限制 限制类型 限制项 说明 创建SFS Turbo文件系统 支持协议 仅支持NFSv3 创建SFS Turbo文件系统 单文件系统最大容量 标准型、性能型：32TB 标准型、性能型、标准型增强版、性能型增强版：320TB 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：1PB 创建SFS Turbo文件系统 创建SFS Turbo文件系统数量 一个账号在单个区域内可创建最多20个文件系统。 创建SFS Turbo文件系统 是否支持文件语义锁Flock 不支持 挂载SFS Turbo文件系统 单文件系统最大挂载客户端数量 标准型、标准型增强版、性能型、性能型增强版：500个 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：3000个 访问SFS Turbo文件系统 支持访问方式 VPN/专线/云连接 扩容与缩容SFS Turbo文件系统 是否支持扩容 支持 扩容与缩容SFS Turbo文件系统 是否支持缩容 不支持 扩容与缩容SFS Turbo文件系统 目标容量取值范围 标准型、标准型增强版、性能型、性能型增强版：扩容步长至少为100GB起步。标准型和性能型可调整最大容量不超过32TB，增强版可调整最大容量不超过320TB。 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：扩容步长为1.2TB起步，且必须为1.2TB的整数倍。可调整最大容量不超过1PB。 卸载SFS Turbo文件系统 卸载SFS Turbo文件系统前提条件 终止进程和停止读写。 删除SFS Turbo文件系统 删除SFS Turbo文件系统前提条件 卸载已挂载的文件系统。 删除SFS Turbo文件系统 删除按需计费SFS Turbo文件系统 状态为“可用”或者“不可用”才能执行删除操作。 删除SFS Turbo文件系统 退订包年/包月SFS Turbo文件系统 状态为“可用”或者“不可用”才能执行退订操作。 添加标签 是否支持添加标签 支持 添加标签 标签数量 一个SFS Turbo文件系统最多添加20个标签。 添加标签 标签键 添加标签时该项为必选参数，不能为空。 当一个SFS Turbo文件系统添加了多个标签，标签键不允许重复。 添加标签 创建SFS Turbo文件系统后是否支持编辑 支持

扫描器访问拦截 经过扫描器特征识别之后，安全与加速服务判断请求来自于扫描器，将通过扫描器访问拦截规则对请求进行拦截。 配置规则：基于IP或IP+UA的粒度，对请求命中扫描器类型次数作为命中触发阈值，达到阈值后触发处理动作。支持配置处理动作为拦截或告警。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【扫描器访问拦截】详细设置。 配置说明 配置项 是否必填 说明 防护开关 是 开启状态，规则生效；关闭状态，规则不生效。 规则名称 是 自定义规则名称。 规则描述 否 对规则内容进行描述说明。 扫描器类型 是 选择需要识别的扫描器类型，支持选择多个。 统计粒度 是 选择请求次数统计粒度。 选择IP表示当某个IP的请求次数达到触发条件，则执行处理动作。 选择IP+UA则表示某个IP下某种UA的请求次数达到触发条件，则执行处理动作。 触发条件 是 设置在一定时间周期内，请求命中扫描器类型达到的次数，执行处理动作；设置在一定时间周期内，请求命中状态码达到的次数，执行处理动作。 处理动作 是 支持告警、拦截。 处理动作持续时间 是 设置处理动作持续时间。最大设置168小时。 例外 否 支持输入引起误报的扫描器识别规则ID，可提交工单联系后台客服人员配置。

操作场景 在CCE集群中重置节点会将该节点以及节点内运行的业务都销毁，重置前请确认您的正常业务运行不受影响，请谨慎操作。 注意事项 重置节点功能不会重置控制节点，仅能对工作节点进行重置操作，如果重置后节点仍然不可用，请删除该节点重新购买。 重置节点将对节点操作系统进行重置安装，节点上已运行的工作负载业务将会中断，请在业务低峰期操作。 节点重置后操作系统版本不变，但工作节点的系统盘和docker数据盘将会被清空，重置前请事先备份重要数据。 用户节点如果有自行挂载了数据盘，重置完后会清除挂载信息，请事先备份重要数据，重置完成后请重新执行挂载行为，数据不会丢失。 节点上的工作负载实例的IP会发生变化，但是不影响容器网络通信。 云硬盘必须有剩余配额。 操作过程中，后台会把当前节点设置为不可调度状态。 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点管理”，单击节点后的“更多 > 重置节点”。 步骤 2 在弹出的“重置节点”窗口中输入RESET，同时重新配置密码或密钥登录方式。 步骤 3 单击“是”，等待完成节点重置。 重置节点后，原有节点上的工作负载实例会自动迁移至其他可用节点。

概述 本章节介绍MSE ZooKeeper引擎的黑白名单功能，在实例开通完毕后，可以通过设置ZooKeeper实例黑白名单来限制一定范围内的IP地址（可以单个或者多个，可以是IP或者是IP段）访问实例。当白名单和黑名单配置存在冲突时，以黑名单规则优先。 前提条件 1. 已开通微服务引擎MSE ZooKeeper引擎实例，参考章节：创建ZooKeeper实例； 2. 已开通ZooKeeper实例并且状态正常。 操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4. 点击右侧权限控制 > 黑白名单管理，点击页面“黑白名单配置”标题后面的编辑按钮，进入编辑模式； 5. 打开“白名单配置 ”后面的开关按钮，开启白名单，在白名单配置输入框中，输入允许访问的IP地址段，并点击确定； 1. 如果白名单配置内容为空，表示所有地址均不可访问ZooKeeper实例； 2. 如果填写了IP地址加掩码，表示允许所设置的IP地址段访问实例； 3. 如果开关状态为关闭，则配置内容不生效 6. 打开“黑名单配置 ”后面的开关按钮，在黑名单配置输入框中，输入禁止访问的IP地址段，并点击确定； 1. 如果黑名单配置内容为空，表示所有地址均可访问ZooKeeper实例； 2. 如果填写的IP地址加掩码，表示禁止所设置的IP地址段访问实例； 3. 如果开关状态为关闭，则配置内容不生效； 注意 如果您绑定了ELB，并使用ELB访问，则这部分流量不受黑白名单控制；可以去ELB控制台设置相关规则； 黑白名单认证时通过访问的请求头部中获取客户端IP，可能与公网地址不同，请确保配置的IP与请求携带的IP相同； 即使配置了白名单,仍然需要通过其他类型的认证才能访问，如ACL、SASL认证； IP地址格式支持IPv4及IPv6：X.X.X.X/X或X:X:X:X:X:X:X:X/X，斜杠后为掩码。若白名单设置为空，表示禁止所有地址的访问，请谨慎设置。多个公网IP地址或地址段，每个地址或地址段之间用英文半角逗号（,）分隔。