本文带您了解如何查看正在告警记录。 操作场景 正在告警可以展示当前处于告警状态的记录，帮助您快速定位当前正在告警的资源。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下“告警记录”，默认进入“正在告警”界面。 说明 界面默认展示当前处于告警中的告警记录，如果告警已经恢复，会归档到”历史告警“页签下。

本文带您了解什么是弹性负载均衡产品,弹性负载均衡产品的架构,工作原理及其访问方式。 弹性负载均衡（CTELB ，Elastic Load Balancing）是一种分发控制网络流量的服务，通过预先设定的算法将访问流量自动分发到多台云主机，扩展应用系统对外的服务能力，实现更高水平的应用系统容错性能。 产品架构 弹性负载均衡的产品架构主要包含以下组件： 负载均衡器：即负载均衡实例，可以接收来自客户端的请求流量，并经流量分配到一个或多个可用的后端主机。 监听器：监听器是弹性负载均衡的核心组件，监听器指定要监听的协议和端口号，并根据配置的负载均衡算法将请求转发到后端主机。监听器也会对后端主机进行健康检查。 后端主机组：每个监听器关联一个后端主机组，后端主机组包含多个后端主机。当监听器接收到客户端请求时，它将请求转发给后端主机组中的一个或多个后端主机。后端主机组负责将请求传递给相应的后端主机，实现负载均衡和高可用性。 转发策略：转发策略定义了负载均衡器将流量请求转发给后端主机的方式。 访问策略组：访问策略组可帮助您控制访问权限，确保负载均衡器只接收来自指定网络范围的请求，从而提高应用程序的安全性。 证书管理：用户将证书上传到负载均衡中，在创建HTTPS协议监听的时候需绑定证书，提供HTTPS服务。 天翼云弹性负载均衡AZ级容灾高可用架构具有如下特点： 网元跨AZ多活，单AZ故障，其它AZ承载全部流量 集群模式，任意节点故障业务流量自动切换到其它可用节点 四七层网元分离，分布式处理，服务可用性更高 后端主机支持跨AZ，业务可跨AZ负载 支持与弹性伸缩联动，后端主机组根据业务负载自动弹缩主机数量 监听器支持转发策略，灵活匹配业务域名、URL转发流量到特定后端主机

配额限制 限制项 限制 是否支持调整 单用户单资源池的前缀列表数量上限 100 否 一个前缀列表中设置的条目数量上限 200 否 一个前缀列表的关联资源数量上限 500 否 功能简介 前缀列表将若干CIDR地址块组成一个逻辑操作对象，由多个列表条目组成。每个列表条目由CIDR地址块和描述组成。您可以将一些常用的IP地址组合创建成前缀列表，并将其作为安全组的目标地址配置安全组规则，不需要为每个IP地址单独配置安全组规则。如果您的访问范围发生变更或者需要限制其他cidr地址块，您可以直接更新相关安全组规则中的前缀列表，引用该前缀列表的所有安全组都会自动更新，或者您可以替换成其他前缀列表。前缀列表支持查看、修改和删除等操作。 功能计费 前缀列表功能不收取任何费用。 使用场景 安全组引用前缀列表的操作方法，可参考“添加安全组规则”。 支持资源池 目前仅部分可用区资源池支持，实际情况以控制台展示为准。不同资源池列表见产品简介资源池区别页面。

您可以根据需要查看并行文件服务的监控数据，本文帮助您了解查看HPFS监控数据相关操作。 操作场景 并行文件服务开通后自动接入云监控服务，无需格外开通。通过云监控服务查看文件系统的监控数据，您可以了解到文件系统的使用情况。 操作步骤 方式一：通过并行文件服务控制台查看 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 单击“存储>并行文件服务”，进入并行文件服务的控制台页面。 3. 在文件系统列表页，点击文件系统名称，可以跳转至文件系统详情页。 4. 在文件系统详情页，点击监控图表的页签页，即可进入监控数据页面。 5. 您可以选择监控时间段，查看对应的监控数据。也可以点击具体监控项图标右上角的“查看”按钮设定所需查看的监控时间段、周期等，获取想要的监控数据。 方式二：通过云监控服务控制台查看 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 单击“管理与部署>云监控服务”，进入云监控控制台页面。 3. 单击“云服务监控”下拉菜单，选择"并行文件监控”。 4. 在并行文件监控页面选定需要查看的文件系统名称，单击操作栏下面的“查看监控图标”，即可进入监控数据页面。 5. 您可以选择监控时间段，查看对应的监控数据。也可以点击具体监控项图标右上角的“查看”按钮设定所需查看的监控时间段、周期等，获取想要的监控数据。

本文为您介绍天翼云SDWAN设备互联相关信息。 通常情况下，绑定天翼云SDWAN的智能网关需要配置设备互联后方可互通。如果设备是在同一个POP激活的，则默认互通。 支持中国内地设备之间、中国内地设备和非中国内地设备之间建立互联关系。 添加设备互联 操作场景 用户添加设备互联。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“天翼云SDWAN”，单击目标SDWAN名称； 3. 单击“设备互联 >添加设备互联”; 4. 根据页面提示，选择要建立互联关系的两个智能网关； 5. 单击“确定”，完成在两个智能网关设备之间建联。 删除设备互联 操作场景 用户删除两台设备之间的互联关系。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“天翼云SDWAN”，单击目标SDWAN名称； 3. 单击“设备互联”，然后单击目标互联关系“操作”列的“删除”； 4. 单击“确定”，完成设备互联关系删除。 说明： 支持批量删除，勾选待删除的设备互联关系，单击列表上方的“删除”，然后单击弹出框的“确定”，即可删除选中的所有设备互联关系。

本章介绍添加告警白名单后进程被隔离的原因。 告警白名单仅用于忽略告警，把当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 隔离查杀恶意程序 方式一：在“安装与配置 > 安全配置 > 恶意程序隔离查杀”中，开启自动隔离查杀。 方式二：在“入侵检测 > 安全告警事件 > 主机安全告警 > 事件列表”中，将恶意程序手动隔离查杀。 隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。 恢复隔离查杀文件 在“入侵检测 > 安全告警事件 > 已隔离文件”中，选择“主机安全告警”，单击“已隔离文件”的“查看详情”，单击目标服务器的“恢复”，恢复隔离文件。 被隔离查杀的程序恢复隔离后，文件的“读/写”权限将会恢复，但被终止的进程不会再自动启动起来。

共享云硬盘可以挂载至不同操作系统的云主机吗？ 一块共享云硬盘不建议同时挂载至不同类型操作系统的云主机上使用。直接将共享云硬盘挂载给不同操作系统的多台云主机是无法实现文件共享功能的，原因是云主机之间没有相互约定读写数据的规则，这会导致这些云主机读写数据时相互干扰或者出现其他不可预知的错误，例如损坏丢失文件或读写不一致等问题。 跨操作系统数据共享推荐使用弹性文件服务。 共享云硬盘可以挂载至不同账号的多台云主机吗？ 不可以。 共享云硬盘只能挂载至同一个账号下位于同一地域和同一可用区的云主机。 建议将共享云硬盘挂载至位于同一个反亲和性的云主机组内，从而来提高业务的可靠性。此外，建议配合使用SCSI锁，即将SCSI类型的共享云硬盘挂载到位于同一个反亲和性的云主机组内，以提升业务数据的安全性。 使用共享云硬盘必须搭建集群吗？ 是的。 共享云硬盘必须在集群管理环境中使用，这是由共享云硬盘的使用原理以及用户需求共同决定的。 直接将共享云硬盘挂载给多台云主机或物理机是无法实现文件共享功能的，原因是云主机之间没有相互约定读写数据的规则，这会导致这些云主机读写数据时相互干扰或者出现其他不可预知的错误，例如损坏丢失文件或读写不一致等问题。 共享云硬盘本身并不具备集群管理能力，因此需要自行搭建集群系统来实现数据共享，如企业应用中常见的Windows MSCS集群、Veritas VCS集群和CFS集群等。

本文介绍如何免密拉取CRS镜像。 对于天翼云容器镜像服务CRS的镜像，弹性容器实例ECI支持免密拉取，以提升效率和安全性。 前提条件 账号已经在容器镜像服务创建个人版或者企业版镜像仓库，并完成配置且上传所需的容器镜像。 容器镜像仓库服务文档参考：容器镜像服务文档。 配置说明 创建弹性容器实例时“选择镜像”，弹出的镜像选择页面选择所需镜像，即可实现自动免密拉取。

接口功能介绍 查询虚机网卡与可绑定安全组信息v3 接口约束 无 URI GET /v3/securityGroup/desktop/describe 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx desktopOid 是 String 虚机ID 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj Object 返回数据对象 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 portList Array of Objects 虚机网卡信息，当portOid为0，代表全部网卡 portList securityGroupList Array of Objects 虚机可绑定安全组信息 securityGroupList portSgList Array of Objects 虚机网卡和安全组的关联，portOid为0时代表全部网卡 portSgList 表 portList 参数 参数类型 说明 示例 下级对象 portOid String 网卡id portName String 网卡名称 portNickName String 网卡别名 ipAddress String 网卡IP subnetName String 所属子网名称 表 securityGroupList 参数 参数类型 说明 示例 下级对象 securityGroupOid String 安全组id securityGroupName String 安全组名称 表 portSgList 参数 参数类型 说明 示例 下级对象 portOid String 网卡id securityGroupOid String 安全组id

本章节主要介绍 鉴权策略。 安全模式 大数据平台用户完成身份认证后，系统还需要根据实际权限管理配置，选择是否对用户进行鉴权，确保系统用户拥有资源的有限或全部权限。如果系统用户权限不足，需要由系统管理员为用户授予各个组件对应的权限后，才能访问资源。安全模式或者普通模式集群均提供鉴权能力，组件的具体权限项在两种模式中相同。 新安装的安全模式集群默认即安装了Ranger服务并启用了Ranger鉴权，用户可以通过组件的权限插件对组件资源的访问设置细粒度的安全访问策略。若不需使用Ranger进行鉴权，管理员可在服务页面手动停用Ranger鉴权，停用Ranger鉴权后，访问组件资源的时系统将继续基于FusionInsight Manager的角色模型进行权限控制。 安全模式集群中，支持使用Ranger鉴权的组件包括：HDFS、Yarn、Kafka、Hive、HBase、Storm、Spark2x、Impala。 从历史版本升级的集群，用户访问组件资源时默认不使用Ranger鉴权，管理员可在安装了Ranger服务后手动启用Ranger鉴权。 安全版本的集群所有组件默认统一对及访问进行鉴权，不支持关闭鉴权功能。 普通模式 普通模式的集群不同组件使用各自原生开源的鉴权行为，详细鉴权机制下表所示。 在安装了Ranger服务的普通模式集群中，Ranger可以支持基于OS用户进行组件资源的权限控制，支持启用Ranger鉴权的组件包括：HBase、HDFS、Hive、Spark2x、Yarn。 普通模式组件鉴权一览表 服务 是否鉴权 是否支持开关鉴权 ClickHouse 鉴权 不支持修改 Flume 无鉴权 不支持修改 HBase 无鉴权 支持修改 HDFS 鉴权 支持修改 Hive 无鉴权 不支持修改 Hue 无鉴权 不支持修改 Kafka 无鉴权 不支持修改 Loader 无鉴权 不支持修改 Mapreduce 无鉴权 不支持修改 Oozie 鉴权 不支持修改 Spark2x 无鉴权 不支持修改 Storm 无鉴权 不支持修改 Yarn 无鉴权 支持修改 ZooKeeper 鉴权 支持修改

本节介绍如何对您所拥有的DEW进行精细的权限管理。 如果您需要对您所拥有的DEW进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DEW资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DEW资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DEW服务的其它功能。 前提条件 给用户组授权之前，请您了解用户组可以添加的DEW权限，并结合实际需求进行选择，DEW支持的系统权限如表所示。 系统角色/策略名称 描述 类别 KMS Administrator 加密密钥的管理员权限。 系统角色 KMS CMKFullAccess 加密密钥所有权限。 系统策略 示例流程 步骤 1 在IAM控制台创建用户组，并授予加密密钥所有权限“KMS CMKFullAccess”。 步骤 2 在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 步骤 3 新创建的用户登录控制台，切换至授权区域，验证权限。 在“服务列表”中选择除数据加密服务外的任一服务，若提示权限不足，表示“KMS CMKFullAccess”已生效。

操作场景 天翼云后端主机组不仅可以添加同一VPC内的云主机作为后端主机，还支持通过跨VPC后端功能将其他VPC的IP地址添加为后端主机。 使用须知 添加跨VPC后端IP功能目前仅在集群模式资源池上线。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 跨VPC后端IP添加仅支持同账号对等连接的对端VPC后端主机以IP形式添加，不支持添加跨账号的VPC内资源。该功能需要加白名单开通。 您最多可添加100个跨VPC后端IP，如需要申请更多，则需申请增加配额。 操作步骤 1. 登录天翼云控制中心。 2. 选择网络>弹性负载均衡>负载均衡器”。 3. 单击已创建的负载均衡器实例名称。 4. 在该负载均衡详情界面，选择“后端主机组”标签。选定特定的后端主机组，选择跨VPC后端IP类型，点击“添加”按钮。 5. 在弹出添加跨VPC后端IP窗口，依据跨VPC后端IP参数配置完成添加跨VPC后端IP参数配置。 6. 点击“增加一条跨VPC后端IP”新增一行，可连续添加多行。点击“确定”按钮，完成添加跨VPC后端IP设置。 跨VPC后端IP参数配置 跨VPC后端IP配置 说明 选择网络 选择ELB实例所在VPC之外的其它VPC，从下拉列表框选择。 批量添加端口 跨VPC后端IP的服务端口一致时，可在此输入框输入端口，点击确定自动填充所有跨VPC后端IP的端口设置。 后端IP添加 填写跨VPC后端IP、端口、权重，权重不填写缺省为1，支持移除操作；端口范围为165535；权重取值范围为 1 256。 添加完成后，如有需要您可以移除跨VPC后端IP 或者修改端口、权重。

本章节主要介绍翼MapReduce组件Spark使用的常见问题。 问题说明 使用Spark SQL 访问Hive 表的一个表分区，但是运行速度却很慢。 分析样例： select x,y from test where x1 （其中x是test表的 Partition 字段） 原因分析 按照spark 源码逻辑，在解析逻辑计划时候回去调用 getPartitionsByFilter方法 去hive中只提取 x1 分区信息。 但是由于一些原因，导致getPartitionsByFilter 的谓词下推失败，从而去全表扫描所有test的分区信息，并返回。 例如，我们x字段是String类型，但是我们的SQL中不是 where x’1’ ，而是where x1 ，这就导致了谓词下推失败。 出现hive分区表谓词下推失败的情况，我们可以做如下处理： 我们需要去检查sql中的写法是否正确。 可以关闭SQL逻辑计划解析过程中的谓词下推逻辑。 处理步骤 关闭SQL逻辑计划解析过程中的谓词下推逻辑，具体是Spark SQL默认开启基于分区统计信息的执行计划优化，相当于自动执行Analyze Table（默认开启的设置方法为spark.sql.statistics.fallBackToHdfstrue，可通过配置为false关闭）。 开启后，SQL执行过程中会扫描表的分区统计信息，并作为执行计划中的代价估算，例如对于代价评估中识别的小表，会广播小表放在内存中广播到各个节点上，进行join操作，大大节省shuffle时间。 此开关对于Join场景有较大的性能优化，但是会带来 获取分区表信息RPC请求 的增加。 在SparkSQL中设置以下参数后再运行： set spark.sql.statistics.fallBackToHdfsfalse; 或者在启动之前使用conf设置这个值为false： conf spark.sql.statistics.fallBackToHdfsfalse

本章节主要介绍翼MapReduce服务配置角色实例参数。 操作场景 用户可以根据实际业务场景，在MRS Manager中快速查看及修改角色实例默认的配置。支持导出或导入配置。 对系统的影响 配置HBase、HDFS、Hive、Spark、Yarn、Mapreduce服务属性后，需要重新下载并更新客户端配置文件。 操作步骤 修改角色实例参数 1. 单击“服务管理”。 2. 单击服务列表中指定的服务名称。 3. 单击“实例”页签。 4. 单击角色实例列表中指定的角色实例名称。 5. 单击“实例配置”页签。 6. 在“参数类别”选择“全部配置”，界面上将显示该角色实例的全部配置参数导航树。 7. 在导航树选择指定的参数，修改参数值。支持在“搜索”输入参数名直接搜索并显示结果。 修改某个参数的值后需要取消修改，可以单击恢复。 8. 单击“保存配置”，勾选“重启角色实例”并单击“确定”，重启角色实例。 界面提示“操作成功。”，单击“完成”，角色实例成功启动。 导出角色实例配置参数 1. 单击“服务管理”。 2. 选中某项服务。 3. 选中某角色或单击“实例”。 4. 选择指定主机上某角色实例。 5. 单击“实例配置”。 6. 单击“导出实例配置”，导出指定角色实例配置数据并选择一个位置保存。 导入角色实例配置参数 1. 单击“服务管理”。 2. 选中某项服务。 3. 选中某角色或单击“实例”。 4. 选择指定主机上某角色实例。 5. 单击“实例配置”。 6. 单击“导入实例配置”，导入指定角色实例配置数据。 7. 单击“保存配置”，勾选“重启角色实例。”并单击“确定”。 界面提示“操作成功。”，单击“完成”，角色实例成功启动。

本章节主要介绍翼MapReduce服务退服和入服务角色实例。 操作场景 某个Core或Task节点出现问题时，可能导致整个集群状态显示为“异常”。MRS集群支持将数据存储在不同Core节点，用户可以在MRS Manager指定角色实例退服，使退服的角色实例不再提供服务。在排除故障后，可以将已退服的角色实例入服。 支持退服、入服的角色实例包括： HDFS的DataNode角色实例 Yarn的NodeManager角色实例 HBase的RegionServer角色实例 Kafka的Broker角色实例 限制： 当DataNode数量少于或等于HDFS的副本数时，不能执行退服操作。例如HDFS副本数为3时，则系统中少于4个DataNode，将无法执行退服，Manager在执行退服操作时会等待30分钟后报错并退出执行。 Kafka Broker数量少于或等于副本数时，不能执行退服。例如Kafka副本数为2时，则系统中少于3个节点，将无法执行退服，Manager执行退服操作时会失败并退出执行。 已经退服的角色实例，必须执行入服操作启动该实例，才能重新使用。 操作步骤 在MRS Manager，单击“服务管理”。 1.单击服务列表中相应服务。 2.单击“实例”页签。 3.勾选指定角色实例名称前的复选框。 4.选择“更多 > 退服”或“入服”执行相应的操作。 说明 实例退服操作未完成时在其他浏览器窗口重启集群中相应服务，可能导致MRS Manager提示停止退服，实例的“操作状态”显示为“已启动”。实际上后台已将该实例退服，请重新执行退服操作同步状态。

本章主要介绍翼MapReduce的查看备份恢复任务功能。 操作场景 系统管理员可以通过FusionInsight Manager查看已创建的备份恢复任务，以及任务的运行情况。 前提条件 登录FusionInsight Manager，请参见登录管理系统。 操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复”。 2.单击“备份管理”或“恢复管理”。 3.在任务列表中，查看“任务状态”与“任务进度”列获取上一次任务运行的结果。绿色表示运行成功，红色表示运行失败。 4.在任务列表指定任务的“操作”列，选择“更多 > 查询历史”或单击“查询历史”，打开备份恢复任务运行记录。 在弹出的窗口中，在指定一次执行记录前单击，打开此次任务运行的日志信息。 相关任务 启动备份恢复任务 在任务列表指定任务的“操作”列，选择“更多 > 即时备份”或单击“执行”，启动处于准备或失败状态的备份恢复任务。已成功执行过的恢复任务不能重新运行。 停止备份恢复任务 在任务列表指定任务的“操作”列，选择“更多 > 停止”或单击“停止”，停止处于运行状态的备份恢复任务。停止成功后，该任务的“任务状态”变为“已停止”。 删除备份恢复任务 在任务列表指定任务的“操作”列，选择“更多 > 删除”或单击“删除”，删除备份恢复任务。删除任务后备份的数据默认会保留。 挂起备份任务 在任务列表指定任务的“操作”列，选择“更多 > 挂起”，挂起备份任务。仅支持周期备份的任务，挂起后周期备份任务不再自动执行。挂起正在执行的备份任务时，该任务会停止运行。需要解锁时，选择“更多 > 重新执行”。

本章节主要介绍翼MapReduce的静态服务资源操作。 简介 集群分配给各个服务的资源是静态服务资源，这些服务包括Flume、HBase、HDFS和Yarn。每个服务的计算资源总量固定，不与其他服务共享，是静态的。租户通过独占或共享一个服务来获取这个服务运行时需要的资源。 静态服务池 静态服务池用来指定服务资源的配置。 在服务级别上，静态服务池对各服务可使用的资源进行统一管理： 限制服务使用的资源总量，支持配置Flume、HBase、HDFS和Yarn在部署节点可使用的CPU、I/O和内存总量。 实现服务级别的资源隔离，可将集群中的服务与其他服务隔离，使一个服务上的负载对其他服务产生的影响有限。 调度机制 静态服务资源支持基于时间的动态调度机制，可以在不同时间段为服务配置不同的资源量，优化客户业务运行环境，提高集群的效率。 在一个复杂的集群环境中，多种服务共享使用集群资源，但是各服务的资源使用周期可能会有比较大的区别。 例如以下业务场景，对于一个银行客户： 在白天HBase查询服务的业务多。 在晚上查询服务的业务少而Hive分析服务业务多。 如果只给每个服务设置固定的资源可能会导致： 白天查询服务的资源不够用，分析服务的资源空闲。 晚上分析服务的资源不够用，查询服务的资源空闲。 集群资源利用率不高，而且服务能力也打了折扣。因此： 白天多配置HBase服务资源。 晚上多配置Hive服务资源。 这种基于时间的动态调度机制可以更高效的利用资源，运行任务。

Cookie签名 针对Cookie进行签名，会新增一个Cookie签名字段，原始Cookie内容正常发送给用户，当客户端Cookie内容进行了修改，请求在WAF端签名校验不通过，该请求将被拦截。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通专业版及以上版本支持使用Cookie防护功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 3. 进入“Cookie防护”页面，可以配置Cookie防护策略； 配置说明 配置项 说明 开关 控制策略的处理动作，可以选择开启或关闭 防护模式 触发Cookie防护后的执行动作，可以选择告警或拦截 Cookie key 值 设置需要防护的Cookie名称，Cookie必须有参数值，例如：setcookie: SFcookie11ENCRYPTCOOKIE1988262423afZ5ZEIzbEL%3D; Secure; SameSiteStrict, 只有SFcookie11、SameSite可配置为key 防护方式 支持选择加密与签名两种防护方式，需要配置防护动作与防护过渡期 （1）加密：对Cookie值进行加密，客户端查看到的值为加密后的内容 （2）签名：给Cookie值加签名字段，签名方式可选 UA：使用该方式签名，客户UA变换后，Cookie签名验证将不通过 IP+HOST+UA：泛域名模式下，加签HOST字段 IP+UA：使用该方式签名，客户IP或使用浏览器改变后，使用之前Cookie防护验证不通过 IP：使用该方式签名，客户ip变换后，Cookie签名验证将不通过 防护动作 拦截/清除 拦截：Cookie值检测不通过将拦截请求，并清除Cookie； 清除：Cookie检测不通过清除该Cookie回源，总开关为拦截，防护动作为清除，最终效果仍为清除 防护过渡期 在过渡期内（即在配置的时间之前），检测失败不会进行拦截，只会清除Cookie值，重新登录后将下发新的Cookie值 Cookie属性 支持选择HTTPonly和secure 设置后Cookie不允许js读取，有效防止xss盗取客户Cookie，配置后，Cookie响应头部增加值HttpOnly，若源站响应已存在HttpOnly，会同时存在 secure：Cookie设置为secure的时候，客户端只能通过https协议发送Cookie，无法通过http发送 白名单 如果有特殊的业务无法通过Cookie防护策略，可以不同粒度的请求进行加白，则符合加白条件的请求不会进行Cookie防护策略

本节向您介绍数据安全中心的使用约束。 数据安全中心DSC仅支持管理天翼云上的数据资产，暂不支持管理其他云厂商的数据资产。 支持的数据源 关系型数据库（Relational Database Service，RDS） 对象存储服务（Object Storage Service，OBS） 数据仓库服务（Data Warehouse Service，DWS） 文档数据库服务（Document Database Service，DDS） MapReduce服务（MapReduce Service，MRS） 云搜索服务（Cloud Search Service，CSS） 数据湖探索服务（Data Lake Insight，DLI） 弹性云服务器（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 支持的数据库类型及版本 DSC支持的数据库类型及版本如下表所示。 数据库类型 版本 MySQL 5.6、5.7、5.8、8.0 SQL Server 2017SE、2017EE、2017WEB 2016SE、2016EE、2016WEB 2014SE、2014EE 2012SE、2012EE、2012WEB 2008R2EE、2008R2WEB PostgreSQL 11、10、9.6、9.5、9.4、9.1 Oracle 10、12

本文帮助您了解创建云硬盘相关的场景、约束及操作步骤。 操作场景 系统盘在创建云主机或物理机时自动添加，无需单独创建。数据盘可以在创建云主机或物理机时创建，由系统自动挂载给云主机或物理机，也可以在创建了云主机或物理机之后，单独创建云硬盘并挂载给云主机或物理机。 约束与限制 系统盘只能在购买云主机或物理机时自动创建并挂载，云硬盘创建页面只能创建数据盘。 随云主机或物理机创建的云硬盘，计费模式与云主机或物理机保持一致。 共享盘或磁盘模式为SCSI或磁盘类型为极速型SSD的云硬盘不支持加密模式。 随云主机或物理机一起创建的云硬盘会自动挂载至云主机或物理机上，不可卸载，无法再挂载至其他云主机或物理机中使用。 随云主机一起创建的云硬盘，磁盘类型可以在VBD或SCSI中进行选择，随着物理机一起创建的云硬盘磁盘类型默认为VBD类型。 云硬盘只能被挂载在同一个可用区的云主机或物理机上，可用区在创建完成后不支持修改。 创建云硬盘时若选择“立即挂载”，则无法批量创建，一次只能创建一个云硬盘。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 单击“创建云硬盘”，进入云硬盘创建页面。 5. 根据界面提示，配置云硬盘的基本信息。各配置项说明如下： 参数 是否必选 说明 地域 是 请选择云硬盘的地域，尽量选择距离您更近的区域以提高访问速度。 可用区 是 在拥有多个可用区的资源池中，选择其中一个可用区创建云硬盘。 云硬盘只能挂载至同一个可用区的云主机上。云硬盘创建完成后不支持修改可用区。 付费方式 是 云硬盘支持的计费类型有包年/包月和按需计费两种。 包年包月是一种先付费后使用的计费方式，按订单的购买周期结算。 按需计费是一种先使用后付费的计费方式，按照云硬盘的实际使用时长计费，每小时结算一次。 是否挂载 是 选择是否在云硬盘创建完成后自动挂载到弹性云主机。 暂不挂载（默认）：云硬盘创建完成后不自动挂载至云主机。 立即挂载：云硬盘创建完成后自动挂载至用户选择的云主机。 注意 挂载到云主机的云硬盘，您还需要登录云主机进行数据盘初始化才可以正常使用。 数据源 否 云硬盘支持从快照、备份或镜像创建云硬盘。 从快照创建： 从快照创建云硬盘可选择目标地域目标可用区下的快照。 从快照创建云硬盘所创建的云硬盘磁盘模式、磁盘类型、加密属性、所在地域可用区与源快照保持一致，不支持修改。 从快照创建云硬盘创建磁盘容量不小于快照容量。 从备份创建： 从备份创建云硬盘可选择目标地域下的备份副本。 从备份创建云硬盘所创建的云硬盘磁盘模式、加密属性和备份源云硬盘保持一致。 从备份创建云硬盘所创建的云硬盘支持切换磁盘类型、支持跨可用区创建。 从备份创建云硬盘创建磁盘容量不小于备份容量。 从镜像创建： 从镜像创建云硬盘可选择目标地域下的镜像。 从镜像创建云硬盘仅支持VBD模式、且不支持磁盘加密。 从镜像创建云硬盘所创建的云硬盘支持切换磁盘类型、支持跨可用区创建。 从镜像创建云硬盘创建磁盘容量不小于镜像容量。 仅支持“正常”状态的私有镜像或“已接受”状态的共享镜像。 注意 无论是从快照、备份或镜像创建，都不支持一次性创建多个云硬盘。 磁盘规格 是 云硬盘的类型：普通IO，高IO，通用型SSD，超高IO，极速型SSD，XSSD0，XSSD1，XSSD2。具体规格可参见产品规格。 云硬盘的容量范围可参考云硬盘使用限制。 说明 从备份创建云硬盘时，容量大小不小于备份源盘大小，默认容量为备份源盘大小。 从快照创建云硬盘时，容量大小不小于快照源盘大小，默认容量为快照源盘大小。 未选择数据源时，XSSD2默认容量大小为512GB，其他类型云硬盘的默认容量大小为40GB。 当前配置 用于显示当前所选磁盘类型和容量计算出来的基础IOPS上限及IOPS突发上限。具体计算方式可参见磁盘类型及性能介绍。 云硬盘备份 否 创建云硬盘时支持同时订购云硬盘备份服务。可以选择暂不配置、使用已有、现在购买。 使用已有：若您想要配置备份且已有可用的存储库，可以选择“使用已有”。 现在购买：若您想要配置备份但没有可用的存储库，可以选择“现在购买”。 配置存储库和备份策略并成功购买云硬盘后，系统会按此备份策略定期对云硬盘进行备份。云硬盘备份服务的计费说明请参考云硬盘备份服务计费说明。 共享盘 否 勾选“共享盘”，则创建的是共享云硬盘，共享云硬盘最多可同时挂载至16台云主机或物理机。 不勾选“共享盘”，则默认为非共享云硬盘，只能挂载至1台云主机或物理机。 是否编辑标签 否 标签用于标识资源，可通过标签管理功能对云硬盘进行分类和筛选。 勾选后需要输入标签键和标签值，具体操作可参考标签功能概述。 磁盘模式 否 VBD（默认）：VBD类型的云硬盘仅支持简单的读写命令。 SCSI：支持SCSI指令透传，允许云主机操作系统直接访问存储介质。 FCSAN：FCSAN云硬盘仅适用于物理机。 磁盘加密 否 支持创建加密云硬盘，磁盘加密能够最大限度的为您的数据提供安全防护。 加密磁盘生成的快照/备份及通过这些快照/备份创建的磁盘将自动继承加密属性。 释放设置 否 支持设置释放策略。 可设置云硬盘释放时是否同步释放该盘的全部快照。 磁盘名称 是 自定义所创建的磁盘名称。 不能使用中文，且长度为263字符。 企业项目 是 支持为云硬盘选择企业项目。 数量 是 创建云硬盘的数量，默认为“1”，表示只创建一个云硬盘。 注意 目前一次最多可批量创建100个云硬盘。 创建时长 是 如果计费类型选择“包年/包月”，则需要选择购买时长，可选取的时间范围为1个月到5年。 自动续订 否 启用自动续订，包年/包月订购的云硬盘到期后会自动续订。 6. 确定云硬盘的配置信息后，点击“下一步”。 7. 在“资源详情”页面，您可以再次核对云硬盘信息。确认无误后，阅读并勾选服务协议，单击“确认下单”，开始创建云硬盘。如果还需要修改，点击“上一页”，修改参数。 8. 在云硬盘主页面，查看云硬盘状态。待云硬盘状态变为“未挂载”时，表示创建成功。

函数计算与弹性云主机的应用场景对比 函数计算： 无服务器架构：函数计算抽象了底层基础设施，用户无需运维具体的服务器或操作系统，只需要编写代码，专注业务逻辑。 自动伸缩与负载均衡：函数计算平台会根据流量大小自动处理用户服务的弹性伸缩和负载均衡，确保高并发下的稳定性和可用性。 按需付费：用户只需为实际消耗的计算资源付费。 全面监控与日志：函数计算提供了强大的监控和日志功能，帮助用户快速定位问题。 弹性云主机： 高度可定制：弹性云主机提供了丰富的配置选项，允许用户根据需求定制操作系统、网络环境、安全策略等。 完全控制权：用户对弹性云主机拥有完全的控制权，可以自由安装软件、配置环境以及管理服务。 端到端解决方案：弹性云主机支持构建完整的软件栈解决方案，从前端Web服务器到后端数据库，用户可以一站式部署和管理。

导航安全分析板块，选择【报告管理】，即可进入网站安全报告管理页。根据选择的域名其下的任务记录，可以生成相应任务的结果聚合报告——《网站安全评估报告》。 根据筛选项选出想要生成结果报告的监测任务后（注意仅已完成的任务可以用于报告生成），点击【生成网站安全报告】，可进入下图所示表单确认报告名称，默认以时间戳形式命名报告，点击确认即可生成报告。 报告生成的结果，可点击左下角【报告导出记录】进行查看，操作导出或删除报告。

本小节介绍安全专区总览风险事件展示等。 安全态势 威胁信息统计展现待处理告警、待处理漏洞及待处理基线，实时展示威胁统计状态。 风险事件 实时反馈补丁漏洞相关风险，对资产在使用过程中暴露的问题进行实时告警，自动检测产生安全风险评估、分析并给出处理导向。 查看方法： 1.点击【去处理】，进入相关的组件进行具体事件的分析处置。 2.安全专区总览查询后，可打开左侧边栏主菜单。

本章节主要介绍翼MapReduce服务KrbServer健康检查指标项说明。 KerberosAdmin服务可用性检查 指标项名称： KerberosAdmin服务可用性 指标项含义 ：系统对KerberosAdmin服务状态进行检查，如果检查结果不正常，则KerberosAdmin服务不可用。 恢复指导： 如果该指标项检查结果不正常，原因可能是KerberosAdmin服务所在节点故障，或者SlapdServer服务不可用。操作人员进行KerberosAdmin服务恢复时，请尝试如下操作： 1. 检查KerberosAdmin服务所在节点是否故障。 2. 检查SlapdServer服务是否不可用。 KerberosServer服务可用性检查 指标项名称： KerberosServer服务可用性 指标项含义 ：系统对KerberosServer服务状态进行检查，如果检查结果不正常，则KerberosServer服务不可用。 恢复指导： 如果该指标项检查结果不正常，原因可能是KerberosServer服务所在节点故障，或者SlapdServer服务不可用。操作人员进行KerberosServer服务恢复时，请尝试如下操作： 1. 检查KerberosServer服务所在节点是否故障。 2. 检查SlapdServer服务是否不可用。 服务健康状态 指标项名称： 服务状态 指标项含义 ：系统对KrbServer服务状态进行检查，如果检查结果不正常，则KrbServer服务不可用。 恢复指导： 如果该指标项检查结果不正常，原因可能是KrbServer服务所在节点故障或者LdapServer服务不可用。详细操作请参见告警ALM25500处理。 检查告警 指标项名称： 告警信息 指标项含义 ：系统对KrbServer服务的告警信息进行检查。如果存在告警信息，则KrbServer服务可能存在异常。 恢复指导： 如果该指标项检查结果不正常，建议根据告警内容，查看对应的告警资料，并进行相应的处理。

本章节主要介绍翼MapReduce服务配置服务参数。 用户可以根据实际业务场景，在MRS Manager中快速查看和修改服务默认的配置，及导出或导入配置。 对系统的影响 配置HBase、HDFS、Hive、Spark、Yarn、Mapreduce服务属性后，需要重新下载并更新客户端配置文件。 集群中只剩下一个DBService角色实例时，不支持修改DBService服务的参数。 操作步骤 修改服务参数 1. 单击“服务管理”。 2. 单击服务列表中指定的服务名称。 3. 单击“服务配置”。 4. 在“参数类别”选择“全部配置”，界面上将显示该服务的全部配置参数导航树，导航树从上到下的根节点分别为服务名称和角色名称。 5. 在导航树选择指定的参数，修改参数值。支持在“搜索”输入参数名直接搜索并显示结果。 修改某个参数的值后需要取消修改，可以单击恢复。 说明 如果需要批量修改服务某个角色多个实例的配置，可以使用主机组实现实例参数的批量配置。在“角色”选择角色名称，然后在“主机”打开“ ”。“主机组名”填写一个名称，“主机”列表中勾选要修改的主机并加入“已选择的主机”，单击“确定”添加主机组。添加的主机组可以在“主机”中选择，且仅在当前页面有效，刷新页面后将无法保存。 6. 单击“保存配置”，勾选“重新启动受影响的服务或实例。”并单击“确定”重启服务。 界面提示“操作成功。”，单击“完成”，服务成功启动。 说明 更新YARN服务队列的配置且不重启服务时，选择“更多 > 刷新队列”更新队列使配置生效。

本章节主要介绍翼MapReduce的添加资源池操作。 操作场景 在集群中，管理员可从逻辑上对所有Yarn的节点进行分区，使多个NodeManager形成一个Yarn资源池。每个NodeManager只能属于一个资源池。管理员通过FusionInsight Manager添加一个自定义的资源池，并将未加入自定义资源池的主机加入此资源池，便于指定的队列利用这些计算资源。 系统中默认包含了一个名为“default”的资源池，所有未加入用户自定义资源池的NodeManager属于此资源池。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“租户资源 > 资源池”。 3. 单击“添加资源池”。 4. 设置资源池的属性。 “集群”：选择待添加资源池的集群名称。 “名称”：填写资源池的名称。长度为1~50个字符，可包含数字、字母或下划线（ ） ，且不能以下划线 （ ）开头。 “资源标签”：配置资源池的资源标签，包括数字、字母、下划线（ ）或减号（），长度为1~50个字符，且只能以数字或者字母开头。 “资源”：在界面左边可用主机列表中，勾选指定的主机，单击，将选中的主机加入已选主机列表。只支持选择本集群中的主机。资源池中的主机列表可以为空。 说明 根据业务需求，可以通过主机名称、CPU、内存、操作系统和平台类型，筛选需要选取的资源主机。 5. 单击“确定”保存。 完成资源池创建后，管理员可以在资源池的列表中查看资源池的名称、成员、类型。已加入自定义资源池的主机，不再是“default”资源池的成员。

本章节主要介绍翼MapReduce的添加资源池操作。 操作场景 在集群中，管理员可从逻辑上对所有Yarn的节点进行分区，使多个NodeManager形成一个Yarn资源池。每个NodeManager只能属于一个资源池。管理员通过FusionInsight Manager添加一个自定义的资源池，并将未加入自定义资源池的主机加入此资源池，便于指定的队列利用这些计算资源。 系统中默认包含了一个名为“default”的资源池，所有未加入用户自定义资源池的NodeManager属于此资源池。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“租户资源 > 资源池”。 3. 单击“添加资源池”。 4. 设置资源池的属性。 “集群”：选择待添加资源池的集群名称。 “名称”：填写资源池的名称。长度为1~50个字符，可包含数字、字母或下划线（），且不能以下划线（）开头。 “资源标签”：配置资源池的资源标签，包括数字、字母、下划线（）或减号（），长度为1~50个字符，且只能以数字或者字母开头。 “资源”：在界面左边可用主机列表中，勾选指定的主机，单击，将选中的主机加入已选主机列表。只支持选择本集群中的主机。资源池中的主机列表可以为空。 说明 根据业务需求，可以通过主机名称、CPU、内存、操作系统和平台类型，筛选需要选取的资源主机。 5. 单击“确定”保存。 完成资源池创建后，管理员可以在资源池的列表中查看资源池的名称、成员、类型。已加入自定义资源池的主机，不再是“default”资源池的成员。

本章节主要介绍翼MapReduce的查看主机概览操作。 总览 登录FusionInsight Manager以后，单击“主机”，在主机列表单击指定的主机名称，可以访问主机详情页面，主要包含基本信息区、磁盘状态区、角色列表区和监控图表等。 基本信息区 主机详情页面的基本信息包含该主机的各个关键信息，例如管理IP地址、业务IP地址、主机类型、机架、防火墙、CPU核数、操作系统等信息。 磁盘状态区 磁盘状态区包含了该主机所有为集群配置的磁盘分区，并显示每个磁盘分区的使用情况。 实例列表区 实例列表区显示了该主机所有安装的角色实例，并显示每个角色实例的状态，单击角色实例名称后的日志文件，可在线查看该实例对应日志文件内容。 告警和事件的历史记录 告警和事件的历史记录区显示了当前主机上报的关键告警与事件记录，系统最多可显示20条历史记录。 图表 主机详情页面的右侧展示图表区，包含该主机的各个关键监控指标报表。 用户可以单击右上角的“ > 定制”，自定义在图表区展示的监控报表。选择时间区间后，单击“ > 导出”，可以导出指定时间区间内的详细监控指标数据。 单击监控指标标题后的可以打开监控指标的解释说明。 单击主机的“图表”页签，可直接查看该主机的全量监控图表信息。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的特殊字符访问拦截功能。 功能介绍 通过识别请求URI中的非法特殊字符进行拦截，避免源站服务器无法处理而出现错误。 用户可自定义特殊字符的类型以及触发拦截的条件。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【特殊字符访问拦截】详细设置。 配置说明 配置项 说明 防护模式 关闭：不开启特殊字符访问检测。 拦截：对请求URI中的特殊字符进行检测，若触发防护条件，则对请求进行拦截。 告警：对请求URI中的特殊字符进行检测，若触发防护条件，产生攻击日志，不进行拦截。 特殊字符 定义需要检测的特殊字符，支持添加多个，支持删除。 防护范围 防护粒度：支持选择PATH和URI，多个防护粒度为且关系，满足所有条件时，才触发处理动作。 逻辑符号：等于/不等于。 匹配内容：不同的粒度支持输入不同的匹配内容。一般支持输入多条，多条内容用英文符号;分隔。 防护条件 统计粒度为URI，当“检测字符数”或"检测字符类型数"达到配置值时，将触发处理动作。 检测字符数”、"检测字符类型数"两个配置条件为或关系。 检测字符数建议为5，检测字符类型数建议为3。 检测最大长度 检测的最大原始字符串长度（未解码前），若不填写默认检测前100个字符。 最大可配置2028。

本文简述如何通过诊断工具查询指定IP是否为天翼云CDN节点IP以及对应归属地。 功能介绍 天翼云全站加速服务提供IP归属查询工具，您可以使用该工具检测某IP地址是否为天翼云CDN节点IP，同时获取IP归属地。 应用场景 场景一：配置全站加速服务后，可通过该工具验证客户端的请求是否成功到达天翼云CDN节点IP。如果不是天翼云CDN节点IP，则代表配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的网站访问异常时，可通过该工具查询用户访问的IP是否为天翼云CDN节点IP，来排查网站访问异常的原因。如果IP地址是天翼云CDN节点IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云CDN节点IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 诊断工具说明 1. 登录客户控制台。 2. 单击左侧导航栏【诊断工具】，进入【IP归属查询】页面，输入查询的地址。 3. 输入查询后将显示该地址是否为天翼云CDN节点以及对应归属地。 说明 查询IP为天翼云CDN节点IP，验证结果显示为CDN节点，显示IP归属地。 查询IP不为天翼云CDN节点IP，验证结果显示为不是CDN节点，IP归属地未知。

统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他账号管理资源等。 使用前您需了解常用的基本概念，包括：帐号、IAM用户、用户组、身份凭证、授权、权限、项目、委托、身份凭证等，详细请查看：术语解释。 IAM应用场景 IAM策略主要面向对同租户帐号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如文件系统的查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的用户名和密码登录云服务平台，实现多用户协同操作时无需分享帐号的密码的安全要求。 场景实例说明请查看：入门说明。 操作步骤 关于IAM功能的操作步骤请参见快速入门统一身份认证（一类节点）。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素"Action""Effect"等更多信息。 系统策略 ：预置的系统策略，您只能使用不能修改，具体说明请查看系统策略。 弹性文件服务预置的系统策略包含如下： sfs admin：弹性文件服务的管理者权限，包含弹性文件服务所有控制权限（不包含订单类权限）。 sfs viewer：弹性文件服务的观察者权限，包含弹性文件服务的列表页与详情页页面权限。 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见创建自定义策略。

RDS for SQL Server实例连接失败怎么办 报错信息：Login failed for user 'rdsuser'. ClientConnectionId:xxx。 报错原因：RDS实例用户名或密码不对。 解决方法：请确认数据库用户名和密码是否正确。如果不确认密码是否正确，可以到RDS控制台重置实例密码。 须知 修改密码可能会影响业务，请谨慎操作。 ECS自建库(Microsoft SQL Server)连接失败怎么办 报错信息：The TCP/IP connection to the host 100.xxx.xx.xx, port xxx has failed。 报错原因：ECS自建库输入的端口号不正确，或者网络不通。 解决方法：请确认输入的自建库端口号是否正确，并且放通了安全组规则和防火墙白名单。请参考3.2.12 如何查看并放通ECS实例安全组规则和3.2.13 如何查看并放通防火墙。 RDS for PostgreSQL实例连接失败怎么办 报错信息：FATAL: Invalid username/password,login denied。 报错原因：RDS实例用户名或密码不对。 解决方法：请确认数据库用户名或密码是否正确。如果不确认密码是否正确，可以到RDS控制台重置实例密码。 须知 修改密码可能会影响业务，请谨慎操作。 ECS自建库(PostgreSQL)连接失败怎么办 报错信息：Connection refused (Connection refused)。 报错原因：ECS自建库输入的端口号不正确，或者网络不通。 解决方法：请确认输入的自建库端口号是否正确，并且放通了安全组规则和防火墙白名单。 DDS实例连接失败怎么办 报错信息：Command failed with error 18 (AuthenticationFailed): 'Authentication failed.' on server xxx.xxx.xx.xx:xxxx. The full response is { 'ok' : 0.0, 'errmsg' : "Authentication failed.", "code" : 18, "codeName" : "AuthenticationFailed" } 1. 报错原因：云服务平台文档数据库用户名或密码不对。 解决方法：请确认用户名和密码是否正确。如果不确认密码是否正确，可以到云服务平台文档数据库控制台重置密码。 须知 修改密码可能会影响业务，请谨慎操作。 2. 报错原因：输入的用户没有数据库的权限。 解决方法：请确认此用户是否有此数据库的权限。如果不确认，可以先使用rwuser用户，连接admin数据库，登录DAS后，在“帐号管理”里确认权限是否设置正确。