本章节主要介绍翼MapReduce的FusionInsight Manager操作。 概述 MRS为用户提供海量数据的管理及分析功能，快速从结构化和非结构化的海量数据中挖掘您所需要的价值数据。开源组件结构复杂，安装、配置、管理过程费时费力，使用FusionInsight Manager将为您提供企业级的集群的统一管理平台： 提供集群状态的监控功能，您能快速掌握服务及主机的运行状态。 提供图形化的指标监控及定制，您能及时的获取系统的关键信息。 提供服务属性的配置功能，满足您实际业务的性能需求。 提供集群、服务、角色实例的操作功能，满足您一键启停等操作需求。 提供权限管理及审计功能，您能设置访问控制及管理操作日志。 浏览器支持能力 Google Chrome 推荐使用Google Chrome 93～95版本。 Microsoft Edge 支持Windows 10系统自带的Microsoft Edge浏览器。 说明 推荐使用Windows平台的浏览器访问FusionInsight Manager。 系统界面简介 FusionInsight Manager提供统一的集群管理平台，帮助您快捷、直观的完成集群的运行维护。 详见下图：FusionInsight Manager系统界面 界面最上方为操作栏，中部为显示区，最下方为任务栏。 操作栏各操作入口的详细功能如下表所示。 界面操作入口功能描述 入口 功能描述 主页 提供柱状图、折线图、表格等多种图表方式展示集群的主要监控指标、主机的状态统计。您可以定制关键监控信息面板，并拖动到任意位置。系统概览支持数据自动刷新，请参见主页。 集群 提供各集群内服务监控、服务操作向导以及服务配置，帮助您对服务进行统一管理。请参见集群管理。 主机 提供主机监控、主机操作向导，帮助您对主机进行统一管理。请参见主机。 运维 提供告警查询、告警处理指导功能。帮助您及时发现产品故障及潜在隐患，并进行定位排除，以保证系统正常运行。请参见运维。 审计 提供审计日志查询及导出功能。帮助您查阅所有用户活动及操作。请参见审计。 租户资源 提供统一租户管理平台。请参见租户资源。 系统 提供对FusionInsight Manager的系统管理设置，例如用户权限设置。请参见系统设置。

设置降级 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击微服务引擎的“查看控制台”。 未开启安全认证的微服务引擎专享版或微服务引擎专业版，请执行步骤4。 开启安全认证的微服务引擎专享版，请执行步骤3。 步骤 3 在弹出的“安全认证”对话框输入帐号名及密码，单击“确定”。 说明： 首次进入微服务控制台，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“服务治理”。 步骤 5 单击需要治理的微服务。 步骤 6 单击“降级”。 步骤 7 单击“新增”。选择合理的策略，降级策略配置项如下表所示。 配置项 配置项说明 降级对象 选择需要降级的微服务与降级方法。 降级策略 l开启：开启降级。 l关闭：关闭降级。 步骤 8 单击“确定”，保存配置。 设置容错 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击微服务引擎的“查看控制台”。 未开启安全认证的微服务引擎专享版或微服务引擎专业版，请执行步骤4。 开启安全认证的微服务引擎专享版，请执行步骤3。 步骤 3 在弹出的“安全认证”对话框输入帐号名及密码，单击“确定”。 说明： 首次进入微服务控制台，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“服务治理”。 步骤 5 单击需要治理的微服务。 步骤 6 单击“容错”。 步骤 7 单击“新增”。选择合理的策略，容错策略配置项如下表所示。 配置项 配置项说明 容错对象 该应用依赖的应用或方法，下拉菜单可直接选择。 是否开启容错 开启：向容错对象发起请求时发生错误的处理策略，开启后，会根据选择的处理策略处理请求。 关闭：关闭容错策略，即使请求失败也会等到超时后，再返回失败结果。 容错策略 说明 当“是否开启容错”配置项设置为“开启”时配置。 lFailover 在不同服务器上重新尝试建立连接。 lFailfast 不再重新尝试建立连接，即请求失败时会立即返回失败结果。 lFailback 在同一个服务器上重新尝试建立连接。 lcustom − 尝试同一个服务器次数：尝试与同一个服务器重新建立连接的次数。 − 尝试新的服务器次数：尝试与新的服务器建立连接的次数。 步骤 8 单击“确定”，保存配置。

本实践介绍通过IAM增强用户安全性的常见方法。 应用场景 通过配置子用户相关设置，实现访问控制管理，提升账号和数据安全。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体方法 创建独立的IAM子用户 一个账户可以建立多个子用户，您可以通过IAM为不同的操作人员创建独立的IAM子用户。根据操作人员的职能范围，授予相应的管理权限。同时建议您也为根用户创建子用户，并授予该子用户管理权限，使用该用户进行日常管理工作，保护账户安全。 控制台登录用户与编程用户分离 建议通过控制台登录用户与编程用户分离，以便更好的分配权限： 控制台登录用户：通过控制台登录的用户，只需设置控制台登录密码。 编程用户：通过API访问的用户，只需创建访问密钥。 分组进行授权 账户有多个用户时，通过用户组将用户进行分类，同类权限的用户分到一组。通过为用户组授权，使组内用户获取用户组具有的权限。 授予最小权限 建议您为IAM用户授予最小权限，您可以使用IAM用户制定策略，给IAM用户仅授予完成工作所需的权限，通过授予最小权限，可以帮您安全的控制IAM用户对OOS的管理。 为IAM用户配置强密码策略 通过IAM可以为控制台登录的用户设置强密码策略。例如密码最小长度、密码中必须包含元素、密码不与历史密码相同、强制定期更换密码等，确保用户使用复杂度高的强密码。 开启MFA认证 为IAM用户开启多因子认证（Multifactor authentication，MFA），提高账号的安全性，在用户名和密码之外再增加一层安全保护。

本文介绍天翼云产品的账单管理。 账单概览 天翼云支持用户查询账单概览、流水账单、账单详情及导出记录，详情请见账单管理费用中心 天翼云。 账单概览可以展示不同汇总维度下的应付金额、扣费明细等数据，每个产品只展示一条汇总数据。 流水账单 流水账单可以展示按照不同计费模式下的每一笔订单和每个计费周期维度构成的数据，根据此账单进行扣费和结算，并可导出两种格式（xlsx、csv）的账单，在“账单管理>导出记录”下载。 账单详情 自定义账单可以通过多维度展示客户账单的详细信息，并可导出两种格式（xlsx、csv）的账单，在“账单管理>导出记录”下载。 导出记录 用户选择导出后，可以在“账单管理>导出记录”页面点击下载，也可查看已导出的全部文件记录。 操作步骤 1. 登录天翼云费用中心。 2. 在导航栏中，选择“账单管理>账单详情” 。 3. 在账单详情页面，将“统计维度”选择为“产品”，可以支持以按账期或按天的统计方式查看目标产品的账单详情。 4. 在“账单管理>账单概览”页面，支持按产品类型、企业项目或计费模式对产品账单进行汇总展示。

参数 类型 示例值 描述 id String b5771f766cdf48edb1bad15418c 事件ID。标识事件的唯一值。 source String ctyun.zos 事件源。对象存储触发器固定为ctyun.zos。 specversion String 1.0 CloudEvents协议版本。 type String s3:ObjectCreated:Post 事件类型。 subject String ctyun.zos:b342b77ef26:5d4ce56a08d:bucketname:objectname 事件主体。格式为ctyun.zos::::，其中是资源池ID，是天翼云账号ID，是对象存储产生事件的bucket名称，是对象存储产生事件的文件名称。 time Timestamp 20240305T13:52:18.374Z 事件产生的时间。 datacontenttype String application/json;charsetutf8 参数 data 的内容形式。 data Struct {"abc":"1111", "def":"xxxx"} 事件内容。JSON对象，内容由发起事件的服务决定。CloudEvents可能包含事件发生时由事件生产者给定的上下文， data 中封装了这些信息。 ctyunaccountid String 123456789 天翼云账号ID。 ct yun userid String 123456789 天翼云用户ID。 ctyunresourceid String 27aadda4db9411eea6fce8b47009 天翼云资源ID ctyuneventbusname String default 接收事件的事件总线名称，天翼云产品事件为default。 ctyunregion String bb9fdb42056fl1eda161 接收事件的地域。

本节介绍创建应用及开通应用相关的操作。 本文以图片鉴黄为示例作为说明。 操作步骤如下： 成为天翼云用户 注册天翼云账号 打开天翼云官网，点击右上角【免费注册】按照操作提示完成账号注册。 天翼云账号实名认证 天翼云账号需要进行实名制认证后，才可以购买和使用产品，请务必完成实名认证操作。 进入个人中心页面，在左侧导航栏，点击【实名认证】，按照操作提示完成账号实名认证。 如果您是企业用户，推荐进行企业认证，以便获取更多便利。更多实名认证操作信息，请参见实名认证。 开通服务 1.点击【产品人工智能】，根据需要选择内容审核下的对应产品（以图片鉴黄为例）。 2.跳转到服务详情页后，点击【立即开通】。 创建新应用 1.进入控制台【我的应用】，点击【新增应用】，页面出现新建应用的弹窗，填写应用名称及应用概述，点击【确定】按钮。 2.再次弹出小弹窗，提示应用创建成功，请保存好AppKey和AppSecret，点击【知道了】即新应用创建成功。

本节介绍印刷文字识别产品的订购流程。 购买操作步骤 步骤一：成为天翼云用户 注册天翼云账号 打开天翼云官网，点击右上角【免费注册】按照操作提示完成账号注册。 天翼云账号实名认证 天翼云账号需要进行实名认证后，才可以购买和使用产品，请务必完成实名认证操作。 进入账号中心页面，在左侧导航栏，点击【实名认证】，按照操作提示完成账号实名认证。 如果您是企业用户，推荐进行企业认证，以便获取更多便利。更多实名认证操作信息，请参见实名认证。 步骤二：选择服务 1.点击【产品人工智能】，根据需要选择印刷文字识别下的对应产品（以身份证识别为例）。 2.跳转到服务详情页后，点击【立即订购】。 步骤三：选择资源包 1.选择自己需要购买的资源包规格，点击购买数量，点击【下一步：确认配置】。 2.点击勾选同意相关协议，点击【立即购买】。

操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，进入基础备份列表页签。 5. 单击库表恢复，并配置恢复参数。 支持按时间点 和按备份集进行恢复。您可以选择要恢复的库表，并修改或者使用默认的目标库表名。 6. 单击确定。 恢复实例Q&A 为何通过备份集不能恢复到当前实例？ 可检查当前实例的状态是否正常，如果非运行中或异常，需要等待实例为运行中才可以进行恢复到当前实例。 为何不能恢复到已有实例？ 可以从以下原因进行排查： 可检查目标实例的状态是否正常。 目标实例版本与源实例的版本是否相同，且内核版本目标实例是否大于等于当前实例内核版本，因为高内核版本的实例无法恢复到低内核版本的实例。 目标实例与源实例的lowercasetablenames参数是否相同，该参数为区分表名大小写参数，如果不同，也无法恢复。 目标实例实例与源实例若备份类型为云硬盘，则需要注意目标实例与源实例的VPC需要一致，若为对象存储，则可以跨VPC恢复。 目标实例与源实例是否在同一个企业项目，不同企业项目无法恢复。 目标实例如果为带只读的MGR实例，也无法进行恢复。 源实例具备tde功能，但是目标实例不具备，也将无法进行恢复。

本节介绍基线检查列表的参数信息。 1. 登录容器安全卫士产品控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面。 4. 筛选检查项：支持按照“集群”、“检查项名称”、“类型”、“启用状态”进行筛选查询。 “集群”筛选通过左上角“集群”下拉列表选择，支持选择全部集群或单个集群，集群改变时，检查通过率、检查未通过、检查通过数量和详情会随之更新。 5. 基线合规信息参数说明。 参数 说明 检查项名称 基线检查项的名称。 基线检查项类别 基线检查项类别随着基线类型的不同而不同。 检查对象类型 类型指的是基线检查项检测对象的类型，分为容器、镜像和节点。 来源 基线检查项的来源。 检测通过率 该基线检测项在相应对象类型（容器或镜像或节点）中的检查通过率，通过用绿色线条表示，不通过用红色线条表示。 检查未通过 未通过该基线检测项的容器（或镜像、或节点）数量。 检查通过 通过该基线检测项的容器（或镜像、或节点）数量。 启用状态 是否启用该基线检查项。

本章节主要介绍云主机备份产品的优势。 简单快捷 只需少量配置，无需具备专业技能，就可以让您的备份在云上运行。 经济高效 增量备份，缩短大量备份时长，存储空间按需分配，降低初期投资。 增量恢复，仅恢复到最近一个备份时间点的变化数据，恢复效率提升至分钟级。 安全可靠 数据自动加密保存到对象存储中，数据持久性高达99.999999999%（11个9）。

什么是资源池互联专网？ 资源池专网是中国电信建设的与公众互联网物理隔离的独立网络，用于连接全国天翼云资源池，为天翼云用户提供高可靠的跨域资源池之间的东西向高带宽能力。

参数 是否必填 参数类型 说明 示例 下级对象 pubUserOid 是 String 用户ID email 是 String 天翼云账号邮箱，请使用注册天翼云账号的邮箱，且该账号在当前资源池未开通桌面服务。字符数限制：[1,100]

本文介绍如何校验域名归属权。 客户可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 示例为ctcdn.cn的解析配置 1、客户需在自己的域名解析服务商，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt 2、域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 解析命令：dig dnsverify.ctcdn.cn txt 3、如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。 方法二：文件验证 示例为ctcdn.cn的解析配置 1、在您的源站根目录下，创建文件名为：dnsverify.txt的文件，文件内容为天翼云控制台返回的TXT记录值（如下记录值仅为示例） 2、文件在源站根目录下创建完成后，即可进行访问验证（示例为访问 windows验证： linux验证： 3、如访问展示的文件内容和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

本节介绍态势感知（专业版）的漏洞管理功能的背景及支持的漏洞类型。 背景介绍 漏洞是指在操作系统实现、安全策略、软件等方面存在的缺陷或弱点，这些缺陷或弱点可能被攻击者利用，从而导致系统被破坏、数据泄露、服务中断或其他安全问题。态势感知（专业版）通过集成企业主机安全（Host Security Service，HSS）漏洞扫描数据以及手动导入漏洞数据，集中呈现云上资产漏洞风险，帮助用户及时发现资产安全短板，修复危险漏洞。 查看漏洞详情：介绍如何查看漏洞的详细信息。 修复漏洞：当扫描到服务器存在漏洞时，您需要及时根据漏洞的危害程度结合实际业务情况处理漏洞，避免漏洞被入侵者利用入侵您的服务器。如果漏洞对您的业务可能产生危害，建议您尽快修复漏洞。对于Linux漏洞、Windows漏洞，您可以在企业主机安全控制台一键自动修复，对于WebCMS漏洞、应用漏洞、应急漏洞和网站漏洞，暂不支持自动修复，您可以参考漏洞详情界面提供的修复建议手动修复。 忽略或取消忽略漏洞：某些漏洞只在特定条件下存在风险，比如某漏洞必须通过开放端口进行入侵，如果主机系统并未开放该端口，则该漏洞不存在危害。如果评估后确认某些漏洞无害，可以忽略该漏洞，无需修复。忽略后，下次HSS漏洞扫描后仍然会对该漏洞进行告警，态势感知（专业版）也将同步漏洞信息。如果已忽略的漏洞需要再次关注，可以取消之前的忽略操作。 导入或导出漏洞：介绍如何导入或导出漏洞。

本文介绍如何使用日志服务器。 功能介绍 使用日志服务器功能，将攻击日志、告警日志投递至syslog日志服务器。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为免费版及以上版本。 新建syslog日志服务器 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【日志服务日志服务器】菜单，点击新增。 3. 配置说明如下： 配置说明 配置项 说明 服务器名称 日志服务器的名称 状态 启用时直接开始外发日志；禁用时只是添加记录，不会立即外发日志 协议 默认UDP，下拉支持选择TCP 服务器地址 syslog服务器地址 端口 syslog服务器端口 描述 非必填 日志类型 攻击日志：当前客户的攻击日志 管理日志服务器 新建完日志服务器后，可以进行禁用/启用日志服务器、编辑、删除等管理操作。

查看日志详情 1. 在日志列表操作列点击“查看”。 2. 在弹出的详情模态框中查看完整信息。 数据字段说明： 分类 字段 说明 基本信息 日志ID 每条日志的唯一标识符。 基本信息 时间 日志记录的具体时间。 内容信息 输入内容 用户向大模型发送的原始内容。 内容信息 输出内容 大模型返回的响应内容。 检测结果 输入结果 系统对输入内容的安全检测结果。 检测结果 输出结果 系统对输出内容的安全检测结果。 检测结果 敏感类别 检测到的敏感内容类别。 处理信息 处理方式 系统对请求的处理方式。 处理信息 原因 显示检测结果的具体原因说明，如果没有原因则显示“”，（排查时查看的主要字段） 处理信息 策略名称 使用的策略名称。 异步检测 异步检测 异步安全检测的处理状态。 异步检测 异步引擎 检测使用的引擎。 系统信息 终端名称 发起请求的终端设备名称。 系统信息 代理模型 使用的代理模型名称。 系统信息 来源地址 请求的来源IP地址。 系统信息 用户 发起请求的用户信息。

参数 参数类型 说明 示例 下级对象 viewID String 监控视图ID 0a84e6da9fabfcd115526ab6a0b7ac88 name String 监控视图名称 name service String 云监控服务 ecs dimension String 云监控维度 ecs viewType String 视图类型。取值范围:timeSeries：折线图。gauge：仪表盘。barChart：柱状图。table：表格。pieChart：饼状图。根据以上范围取值。 timeSeries orderIndex Integer 排序次序，相同则按照updateTime降序。 0 itemNameList Array of Strings 监控指标，指标项最多支持20个 ['cpuutil'] compares Array of Strings 同比环比比较时间配置，格式为“数字+单位”，单位为空时默认为秒。单位取值范围：m：分钟。h：小时。d：天。根据以上范围取值。 ['1d'] resources Array of Objects 监控资源实例 ,监控资源实例最多支持20个 resource gaugePattern Object 仪表盘配置，仅当viewType为gaugePattern时有效 gaugePattern createTime Integer 创建时间，时间戳，精确到秒 1667459789 updateTime Integer 最近更新时间, 时间戳，精确到秒 1667459789

尊敬的天翼云用户: 您好! 为了更好的体现产品核心价值，保障服务质量和供应稳定，天翼云科研助手服务平台将升级CPU规格。变更详情如下： 1、自2026年6月5日 00:00:00 起，天翼云科研助手服务平台将进行升级变更，升级后BCCPU为BCCPU.科研算力版。升级变更后的全新规格将正式对外开放选购，用户可根据自身使用需求，在官方选购渠道查看最新配置详情。 2、此次调整为产品常态化优化升级，不会影响已开通订单。 3、由此带来的选购变更敬请谅解，如有任何疑问，可随时联系官方客服（4008109889）或在线客服系统与我们联系。 感谢您的理解与支持！

尊敬的天翼云用户: 您好! 为了更好的体现产品核心价值，保障服务质量和供应稳定，天翼云科研助手服务平台将升级CPU规格。变更详情如下： 1、自2026年6月5日 00:00:00 起，天翼云科研助手服务平台将进行升级变更，升级后BCCPU为BCCPU.科研算力版。升级变更后的全新规格将正式对外开放选购，用户可根据自身使用需求，在官方选购渠道查看最新配置详情。 2、此次调整为产品常态化优化升级，不会影响已开通订单。 3、由此带来的选购变更敬请谅解，如有任何疑问，可随时联系官方客服（4008109889）或在线客服系统与我们联系。 感谢您的理解与支持！

CVE202549844：Redis的Lua脚本模块存在释放后重用（UseAfterFree）漏洞，攻击者可通过构造恶意脚本实现任意代码执行（RCE），完全控制服务器。 该漏洞需要认证鉴权才可以攻击，天翼云Redis默认强密码鉴权，具备VPC网络隔离，默认只有用户VPC范围内才可以访问Redis实例，风险可控。 如有修复该漏洞的诉求，请通过天翼云官方渠道获取相应技术解决方案。后续天翼云分布式缓存Redis版团队将推出修复版本，请关注产品发布通知并升级最新版本。

操作场景 用户查看互联链路的状态。 前提条件 互联的两个设备均需满足以下条件： 状态为在线； 设备类型为硬件版； 激活方式为串接时。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“天翼云SDWAN”，单击目标SDWAN名称； 3. 单击“设备互联”，然后单击目标互联关系“操作”列的“查看监控”。 4. 可查看互联链路的传输时延、抖动和丢包率性能。

此小节介绍企业主机安全资产管理。 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机中的Web目录和自启动项，并对账号信息和软件信息的变动情况进行记录。 通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 检测周期 账号信息管理、开放端口检测：实时检测。开放端口检测结果每6小时刷新一次统计数据。 进程信息管理、Web目录管理、软件信息管理、自启动：每日凌晨自动进行一次检测。 查看主机中的资产信息 1、登录管理控制台。 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、进入“资产管理”页面，选择不同页签，查看HSS检测到的您服务器上的所有资产。 进入资产管理页面 账号信息管理 历史变动状态说明： 变动状态：新建（新建了账号）、删除（删除了账号）、修改（修改了账号名、管理员权限或用户组等信息）。 发生变动时间：由于为周期收集，变动记录的时间是获取到改动的时间，非真实发生的时间。 根据实时账号数据和历史变动记录，您可以统一管理所有主机中的账号信息。若发现系统中有不必要的多余账号，或者发现有超级权限的账号（拥有root权限），需要排查这些账号是否是正常业务使用，如果不是则建议删除多余账号或者修改账号的权限，避免账号被黑客利用。

现象二 访问网站时，返回的不是“现象一”所示的页面，而是其他的404页面。 原因 ：网站页面不存在或已删除。 解决办法 ：请排查网站问题。 502 Bad Gateway 现象：完成WAF配置之后网站访问正常，但过一段时间，访问页面返回502，或者大概率出现502。 说明 如果您的网站不是部署在云上，建议您咨询服务器服务商，该服务器是否存在默认的防护拦截并要求服务商解除默认拦截。 这种情况一般有三种原因： 原因一 原因：您的网站使用了其他的安全防护软件（如360、安全狗、云锁或云盾等安全防护软件），这些软件把WAF的回源IP当成了恶意IP，拦截了WAF转发的请求，导致不能正常访问。 解决办法： 将WAF的回源IP网段添加到防火墙（硬件或软件）、安全防护软件、业务限速模块的白名单中。 原因二 原因：网站的后端配置了多个服务器，其中某个源站不通。 按以下方法检测源站配置是否正确： 1. 登录管理控制台，单击页面上方的“服务列表”，选择“安全 > Web应用防火墙（独享版）”，进入Web应用防火墙控制界面。 2. 在左侧导航树中选择“网站设置”，进入“网站设置”页面。 3. 在目标域名所在行的“防护网站”列中，单击目标域名，进入域名基本信息页面。 4. 在“服务器信息”栏中，单击编辑图标，进入“修改服务器信息”页面，确保对外协议、源站协议、源站地址、端口等信息配置正确。 5. 在主机上执行curl命令检测各个源站是否能正常访问。 curl kvv xx.xx.xx.xx代表源站服务器的源站IP地址，yy代表源站服务器的源站端口，xx.xx.xx.xx和yy必须是同一个服务器的源站地址和端口。 如果显示“connection refused”表示源站不通，不能正常访问网站。按以下方法处理： 检测服务器是否运行正常，如果运行不正常，请尝试重启服务器。 将WAF的回源IP网段添加到防火墙（硬件或软件）、安全防护软件、业务限速模块的白名单中。

本文主要介绍带宽的约束与限制。 注意 共享带宽业务主要是为用户提供互联网业务通道，在使用中遵循即开即用。 为优化业务逻辑，加速带宽资源合理分配，若您成功退订共享带宽资源或共享带宽资源到期，系统将直接对此共享带宽资源进行销毁处理，不再对此共享带宽资源提供资源保留期。 数量限制： 共享带宽可创建的数量受配额限制，若天翼云资源节点的默认配额无法满足您的需求，您可提交工单申请增加相应配额。天翼云后台将研判您的使用行为，对符合配额提升条件的用户，满足其配额提升需求。 共享带宽可加入的弹性IP地址或IPv6网卡地址数量有配额限制，若天翼云资源节点的默认配额无法满足您的需求，您可提交工单申请增加相应配额。天翼云后台将研判您的使用行为，对符合配额提升条件的用户，满足其配额提升需求。 使用限制： 共享带宽不支持对单个弹性IP进行限速，不支持自定义限速策略。 独享带宽支持对单个弹性IP进行限速，不支持自定义限速策略。 共享带宽和独享带宽均不支持跨帐号使用。

本章节主要介绍使用Storm客户端 。 操作场景 该任务指导用户在运维场景或业务场景中使用Storm客户端。 前提条件 已安装客户端。例如安装目录为“/opt/hadoopclient”。 各组件业务用户由系统管理员根据业务需要创建。安全模式下，“机机”用户需要下载keytab文件。“人机”用户第一次登录时需修改密码。（普通模式不涉及） 操作步骤 1. 根据业务情况，准备好客户端，登录安装客户端的节点。 请根据客户端所在位置，参考“用户指南 > 使用MRS客户端 > 安装客户端”章节，登录安装客户端的节点。 2. 执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3. 执行以下命令配置环境变量。 source bigdataenv 4. 若安装了Storm多实例，在使用Storm命令提交拓扑时，请执行以下命令加载具体实例的环境变量，否则请跳过此步骤。例如，Storm2实例： source Storm2/componentenv 5. 执行以下命令，进行用户认证。（普通模式跳过此步骤） kinit 组件业务用户 6. 执行命令进行客户端操作。 例如执行以下命令： cql storm 说明 同一个storm客户端不能同时连接安全和非安全的ZooKeeper。

本节介绍如何在linux云主机中设置允许或禁止用户/IP通过SSH方式连接。 操作场景 出于对云主机系统安全的考虑，需要对操作系统设置用户/IP是否可以通过SSH方式连接，以深度管理云主机登录权限。 操作方法 您可以选择适用您需求的设置方式，实现限制登录的目的。 1. 通过编辑sshd配置文件，可以对指定用户/用户组或IP的登录权限设置。 1）编辑sshd配置文件中为指定用户设置白名单。在 /etc/ssh/sshdconfig 配置文件中添加AllowUsers配置，以下示例中的实际效果为允许用户user通过192.168.8.8的IP地址进行登录。 AllowUsers user@192.168.8.8 2）编辑sshd配置文件中为指定用户设置黑名单。在 /etc/ssh/sshdconfig 配置文件中添加DenyUsers配置，以下示例中的实际效果为禁止用户invaliduser登录。 DenyUsers invaliduser 2. 通过编辑host.allow和host.deny文件，可以对指定IP或IP地址段的登录权限进行设置。通常这两个文件结合设置。 1）编辑host.allow文件，添加 sshd: IP地址或IP地址段，允许指定IP地址或IP地址段进行登录，示例如下： sshd: 192.168.8.8 2）编辑host.deny文件，添加如下内容，禁止所有IP的SSH登录权限： sshd: ALL 两个文件同时设置规则的时候，hosts.allow文件中的规则优先级高于hosts.deny，结合使用可以有针对性地开放SSH登录权限。 因此以上示例的实际效果，云主机将只允许IP地址为192.168.8.8的用户进行SSH登录，其它的IP都会拒绝。 3. 重启sshd服务，使以上修订内容生效。

本章节向您主要介绍VPN连接服务的相关术语概念。 IPsec VPN IPsec VPN是一种加密的隧道技术，通过使用加密的安全服务在不同的网络之间建立保密而安全的通讯隧道。 假设您在云上已经申请了VPC，并申请了2个子网（192.168.1.0/24，192.168.2.0/24），同时您在自己的数据中心也有2个子网（192.168.3.0/24，192.168.4.0/24），那么您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 支持站点到站点VPN（SitetoSite VPN），可实现VPC子网和数据中心局域网互访。 VPN网关 VPN网关是虚拟专用网络在天翼云上的虚拟网关，与用户本地网络、数据中心的对端网关建立安全私有连接。 VPN网关需要与用户数据中心的对端网关配合使用。 VPN连接 VPN连接是VPN网关和对端网关之间的安全通道，使用IKE和IPsec协议对传输数据进行加密。 VPN连接使用IPsec协议对传输数据进行加密，保证数据安全可靠。 VPN网关带宽 VPN网关带宽指的是出云方向的带宽，即从VPC发往用户侧数据中心的带宽。 按需按流量计费场景下，VPN网关的带宽大小不影响价格。建议您根据实际需求来设置带宽大小，以免因为程序错误或恶意访问导致产生大量计费流量。

1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。 5. 在目标剧本“操作”列，单击“版本管理”，弹出剧本版本管理页面。 6. 在版本管理页面中，单击“版本信息”栏中目标版本所在行“操作”列的“复制”。 7. 在弹出复制版本信息框中，单击“确定”。

磁盘类型 标准资费（按月）元/GB/月 标准资费（按天）元/GB/天 标准资费（按年）元/GB/年 标准资费（按需）元/GB/小时 高IO（SAS） 0.4 0.013151 4.8 0.000900 超高IO（SSD） 1.2 0.039452 14.4 0.001700

磁盘类型 标准资费（按月）元/GB/月 标准资费（按天）元/GB/天 标准资费（按年）元/GB/年 标准资费（按需）元/GB/小时 高IO（SAS） 0.4 0.013151 4.8 0.000900 超高IO（SSD） 1.2 0.039452 14.4 0.001700

生命周期规则 生命周期规则通常包含两个关键元素： 策略：由生命周期规则匹配的对象。 按前缀配置：指定对象名称前缀以匹配受约束的对象，匹配前缀的对象将受规则影响。若存在目录，对象名前缀需包括对象所在路径的目录。例如对象testobj在目录dir下，针对该对象配置生命周期规则需指定前缀为dir/testobj。 配置到整个存储桶：指定将生命周期管理规则配置到整个存储桶，存储桶中的所有对象都将受到该规则的影响。 时间：设置对象的转换类别和转换时间。您可以指定在上次更新对象后的多少天或指定日期，受规则影响的对象将被转换为低频存储、归档存储或自动删除。 转换为低频访问存储：指定对象上次更新后多少天或指定日期，受规则影响的对象将转换为低频访问存储。 转换为归档存储：指定对象上次更新后多少天或指定日期，受规则影响的对象将转换为归档存储。 过期删除：指定对象上次更新后多少天或指定日期，受规则影响的对象将过期并被ZOS自动删除。 时间设置有以下限制： 仅设置了一个转换：转换时间至少为当前设置时间的后1天。 设置多次转换：转换到低频存储，转换到归档存储、删除文件这三种过期策略，后者的转换时间需大于前者。 说明 当用户设置生命周期后，对象存储ZOS将以北京时间（UTC+8）为准，最晚在次日00:00:00开始规则初始化计时。以配置策略为“过期天数”的生命周期规则为例，用户在2024年1月1日12:00设置规则“文件最后更新1天后删除文件”。 生命周期任务将会最晚在2024年1月2日00:00:00开始执行，获取2024年1月2日00:00:00前距离最终更新时间已经超过1天的文件，并持续执行删除任务。 在2024年1月1日当天上传的文件，由于次日生命周期任务执行时最后更新时间未超过1天，不会被删除，但在2024年1月3日00:00:00后，会开始执行这些文件的删除任务。

本小节介绍Agent和其他安全软件的冲突。 Agent可能会和DenyHosts这款软件产生冲突。 冲突表现：若登录主机的IP地址被识别为攻击IP，但是无法被“解封”。 冲突原因：企业主机安全服务和DenyHosts会同时封禁可能为攻击IP的登录IP地址，企业主机安全服务无法解封DenyHosts中封禁的IP地址。 处理方法： 建议停止DenyHosts。 1. 以root用户登录ECS。 2. 执行以下命令，检查是否安装了DenyHosts。 ps ef grep denyhosts.py 若界面回显类似以下信息，则说明安装了DenyHosts。 3. 执行以下命令，停止DenyHosts。 kill 9 'cat /var/lock/denyhosts' 4. 执行以下命令，取消DenyHosts的自启动。 chkconfig deldenyhosts ；