资产发现 云堡垒机支持设置端口和网段扫描并发现资产。 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“资产管理 > 资产”，进入“资产”页面。 3.单击“资产发现”按钮，在弹出的对话框中填写需要扫描的目标网段和端口。 4.填写完成后，单击“立即扫描”开始扫描资产。 5.扫描完成后，根据您自身业务需求勾选需要导入至堡垒机的资产，分别填写“资产名称”、“资产类型”和“协议”。 6.选择“重复资产导入策略”，单击“添加至堡垒机资产列表”即可完成资产导入。 后续操作 导出资产：在“资产”页面勾选需要导出的资产，单击“导出”即可导出。 删除资产：在“资产”页面选择需要删除的资产，单击“操作”列的“删除”按钮，在弹出的对话框中单击“确定”即可删除。 注意 删除后的资产无法恢复，请谨慎删除！

云应用引擎创建完成后，还需不断迭代升级，如果升级的版本出现问题，需要回退至所需的历史版本。 说明 系统仅保留已发布成功最新的至多十个历史版本配置信息 功能入口 1. 在云应用引擎控制台左侧导航栏选择应用管理 > 应用列表。 2. 在应用列表页面，单击目标应用名称，进入应用基本信息页。 3. 在目标应用的基础信息页面，单击回退历史版本。 4. 在回退历史版本页面，选择需要回退的版本以及配置升级方式。 5. 单击确定即可进行回退操作。

本文主要介绍云日志服务中查看告警事件历史。 告警事件历史展示当前租户下所有告警事件历史，支持筛选及查看详情。 功能入口 1. 登录云日志服务控制台。 2. 在左侧导航栏中选择告警管理告警事件历史。 功能说明 告警事件历史页面展示当前租户下所有告警事件信息。 支持对事件名称、事件状态、事件对象进行筛选。 事件名称：显示告警规则名称。 事件状态：显示事件当前状态是告警中、已恢复、静默。 事件对象：指触发告警的日志项目。 支持查看事件详情。 支持查看告警详情。

本页主要介绍云容器引擎产品的API使用说明。 OpenAPI门户提供了产品的API 文档、API调试、SDK中心等。 关于用户如何使用云容器引擎产品API的详细介绍，请参见使用API。您可以在OpenAPI门户可以了解到具体的调用前必知、API概览、如何调用API以及具体的API的接口详细说明。 Java SDK：ccesdkjavav2.0.5.tar.gz Go SDK：ccesdkgov2.0.3.tar.gz

本文介绍CCE如何接入云日志服务 云日志服务支持云容器引擎（Cloud Container Engine）日志接入。 前提条件 CCE集群已安装ICAgent并且已创建相关节点自定义标识的主机组，若没有安装ICAgent，请到主机管理页面进行升级，详细操作请参考升级ICAgent。 已关闭采集容器标准输出到AOM的开关。 使用限制 支持容器引擎为Docker的CCE集群节点。 支持使用Container作为容器引擎的CCE集群节点（ICAgent 5.12.130及以上版本）。 容器内的日志目录如果已挂载到主机目录上，将无法通过配置容器文件路径方式采集到LTS，只能通过配置节点文件路径方式采集到LTS。 Docker存储驱动限制：容器文件日志采集目前仅支持overlay2存储驱动，不支持devicemapper作为存储驱动的节点。查看存储驱动类型，请使用如下命令： docker info grep "Storage Driver" 如果选择日志流时，采集方式为采集到集中日志流时，则必须已创建CCE集群。 操作步骤 云日志服务接入方式选择CCE接入时，按照如下操作完成接入配置。 1. 登录云日志服务控制台。 2. 在左侧导航栏中，选择“日志接入”，单击“云容器引擎 CCE应用日志”进行CCE接入配置。 3. 或者在左侧导航栏中，选择“日志管理”，单击目标日志流的名称进入日志详情页面，单击右上角，在弹出页面中，选择“采集配置”页面，单击“新建采集配置”，在新打开的页面，选择“云容器引擎 CCE应用日志”进行CCE接入配置。 4. 选择日志流。 有两种采集方式：采集到自定义日志流和采集到集中日志流，您可以根据实际情况选择采集方式。 采集到自定义日志流 1. 单击“CCE集群”后的目标框，在下拉列表中选择具体的集群。 2. 单击“所属日志组”后的目标框，在下拉列表中选择具体的日志组，若没有所需的日志组，单击“所属日志组”目标框后的“新建”，在弹出的创建日志组页面创建新的日志组。 3. 单击“所属日志流”后的目标框，在下拉列表中选择具体的日志流，若没有所需的日志流，单击“所属日志流”目标框后的“新建”，在弹出的创建日志流页面创建新的日志流。 4. 单击“下一步：检查依赖项”。 采集到集中日志流 集中采集日志到一个固定的日志流。CCE集群默认的采集日志流分别为标准输出/错误stdout{ClusterID}、节点文件hostfile{ClusterID}、K8S事件: event{ClusterID}和容器文件containerfile{ClusterID}。日志流名称会根据ClusterID自动命名，例如：集群ID为Cluster01，则标准输出/错误日志流为stdoutCluster01。 在一个CCE集群下可以创建的采集日志流为标准输出/错误stdout{ClusterID}、节点文件hostfile{ClusterID}、容器文件containerfile{ClusterID}）和K8s事件event{ClusterID}，如果某个日志组下，已创建某种采集日志流，则不会在其他日志组或当前日志组下再创建该日志流。 1. 单击“CCE集群”后的目标框，在下拉列表中选择具体的集群。 2. 默认所属日志组为k8slog集群ID，例如集群ID为c7f3f4a5bcb811eda4ec0255ac100b07，默认所属日志组为k8slogc7f3f4a5bcb811eda4ec0255ac100b07。 说明 1. 当无该日志组时，系统会提示：暂无该日志组，后续操作中，系统将会为您自动创建，创建完成后日志会集中采集到该日志组中。 3. 单击“下一步：检查依赖项”。 5. 检查依赖项。 系统自动检查以下内容检查项是否符合要求： 1. 已安装ICAgent，且版本 > 5.12.130。 2. 存在名称和自定义标识都是k8slog集群ID的主机组。 3. 存在名为k8slog集群ID的日志组。 4. 存在系统推荐的集中采集的日志流。当选择日志流为采集到集中日志流时，会进行该项内容检查。 如果以上内容检查项中，有任意一项不符合要求，需单击“自动修复”按钮进行修复，否则将无法进行下一步操作。 说明 自动修复：一键帮您完成以上内容检查项配置。 重新检查：重新检查依赖项。 当选择日志流为采集到自定义日志流时，“存在名为k8slog集群ID的日志组”的检查项为可选项。您可以通过开启或关闭开关进行控制，确定是否进行该项检查。 6. 选择主机组（可选）。 1. 在主机组列表中选择一个或多个需要采集日志的主机组，若没有所需的主机组，单击列表左上方“新建”，在弹出的新建主机组页面创建新的主机组，具体可参考[创建主机组（自定义标识）](

本文是通过程序代码连接集群实例的Python示例。 本章节主要介绍通过Python语言的MongoDB客户端连接集群实例的方法。 前提条件 1. 连接数据库的弹性云主机必须和DDS实例之间网络互通，可以使用curl命令连接DDS实例服务端的IP和端口号，测试网络连通性。 curl ip:port 返回“It looks like you are trying to access MongoDB over HTTP on the native driver port.”，说明网络互通。 2. 在弹性云服务器上安装Python以及第三方安装包pymongo。推荐使用pymongo2.8版本。 3. 如果开启SSL，需要在界面上下载根证书，并上传到弹性云主机。 连接代码 SSL开启 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin" connection MongoClient(connurls,connectTimeoutMS5000,sslTrue, sslcertreqsssl.CERTREQUIRED,sslmatchhostnameFalse,sslcacerts${path to certificate authority file}) dbs connection.databasenames() print "connect database success! database names is %s" % dbs SSL关闭 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin" connection MongoClient(connurls,connectTimeoutMS5000) dbs connection.databasenames() print "connect database success! database names is %s" % dbs 说明 URL中的认证数据库必须为“admin”，即“authSourceadmin”。 SSL方式连接，需要手动生成trustStore文件。 认证数据库必须为“admin”，之后再切换至业务数据库。

本节是通过程序代码连接副本集实例的Python示例。 本章节主要介绍使用Python语言连接副本集实例的方法。 前提条件 1. 连接数据库的弹性云主机必须和DDS实例之间网络互通，可以使用curl命令连接DDS实例服务端的IP和端口号，测试网络连通性。 curl ip:port 返回“It looks like you are trying to access MongoDB over HTTP on the native driver port.”，说明网络互通。 2. 在弹性云服务器上安装Python以及第三方安装包pymongo。推荐使用pymongo2.8版本。 3. 如果开启SSL，需要在界面上下载根证书，并上传到弹性云主机。 连接代码 SSL开启 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin&replicaSetreplica" connection MongoClient(connurls,connectTimeoutMS5000,sslTrue, sslcertreqsssl.CERTREQUIRED,sslmatchhostnameFalse,sslcacerts${path to certificate authority file}) dbs connection.databasenames() print "connect database success! database names is %s" % dbs SSL关闭 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin&replicaSetreplica" connection MongoClient(connurls,connectTimeoutMS5000) dbs connection.databasenames() print "connect database success! database names is %s" % dbs 说明 URL中的认证数据库必须为“admin”，即“authSourceadmin”。 SSL方式连接，需要手动生成trustStore文件。 认证数据库必须为“admin”，之后再切换至业务数据库。

本节介绍态势感知相关概念。 安全风险 安全风险是对资产安全状况的综合评估，反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值，便于用户理解目前资产的安全状况，数值大小并不代表资产的绝对安全或危险，仅作为资产遭受攻击严重程度的参考。 威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因，对信息系统造成危害的事件，或对社会造成负面影响的威胁。对于态势感知来讲，威胁告警泛指根据大数据分析检测出的，对用户资产产生威胁的安全事件。 云服务基线 云服务基线是应用在云场景下，帮助用户检测云产品上存在的风险配置项，并提供修复建议。 攻击类型 暴力破解 暴力破解法是一种密码分析方法，基本原理是在一定条件范围内对所有可能结果进行逐一验证，直到找出符合条件的结果为止。攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制。 Web攻击 Web攻击是针对用户上网行为或网站服务器等设备进行攻击的行为。常见的Web攻击方式包括SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击等。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建RabbitMQ实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通RabbitMQ实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问RabbitMQ实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：RabbitMQ实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问RabbitMQ实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Kafka实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通Kafka实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Kafka实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Kafka实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Kafka实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Redis实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通redis实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Redis服务端口（6379）。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的Redis实例将无法被同VPC内的云主机访问。 应对措施 如需VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Redis的服务端口(如：6379）。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Redis服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建MQTT实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通MQTT实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问MQTT实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：MQTT实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问MQTT实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

本文为您介绍容器安全卫士的产品优势。 容器安全卫士对云原生应用进行多维度检测和防护，产品优势如下： 一键管理便捷 贴合云原生特点，全组件采用容器化部署，实现客户端一键部署、一键卸载。安全能力随业务集群变动自动跟随防御，无需人工干预。 全面完整专业 集成国际、国内、官方等多种漏洞源，基于ClamAV、自研等多种病毒引擎，为您提供专业的安全风险检测。 动静结合智能 采用静态动态双结合的检测方式，自动形成业务行为基线，基于学习引擎，实时发现未知安全风险，实现智能化防护。 全链加密安全 容器安全卫士各个组件交互过程中，全链采用加密传输，敏感数据加密存储，客户端不暴漏任何端口，保护您的同时也注重自身安全。

本文介绍CDN内容审核增值服务的计费规则、开通方式、违规内容的评定规则。 重要说明 当前天翼云支持CDN内容审核，该功能是CDN加速产品的一项增值服务，基于天翼云计算AI平台，能对加速内容进行快速智能检测。开通CDN内容审核功能后，系统会自动智能检测经过CDN加速的内容是否涉黄、涉暴恐，鉴定为违规内容的URL将会被记录下来供客户导出，同时支持对违规内容做封禁，实现“净网分发”。 计费规则 CDN内容审核的标准资费为1.3元/千张。 注意事项 目前内容审核主要针对图片是否涉黄、涉暴恐进行鉴定。 CDN内容审核为打分制，每一张审核图片均有一个01的分值。分值越大则越可能是违规内容，分值越低则证明内容越安全。内容审核结果按照分值大小，分为确定部分和不确定部分。确定部分是指确定为违规部分和确定为正常部分的内容，一般分值在0.6以下或0.9以上，这部分一般无需人工干预，可直接基于审核结果对内容进行封禁或相关删除操作；不确定部分是指疑似违规图片，系统无法区分是否实际违规，建议用户进行人工二次确认。目前对于不确定部分，CDN内容审核不收取费用。 目前天翼云CDN加速产品的增值服务支持CDN内容审核，使用CDN内容审核增值服务需完成如下两个步骤： 1. 开通CDN内容审核服务。目前开通天翼云CDN加速业务时，CDN内容审核增值服务默认开通，详情请见：CDN内容审核开通。 2. 线下配置开启。如需使用，请提交工单给天翼云客服，由其人工操作开启。详情请见：CDN内容审核。 该功能目前仅支持中国内地开通使用，全球（不含中国内地）暂不支持。

本文介绍实时云渲染的产品优势。 简单易用 用户通过一个平台、三个步骤（上传应用发布应用访问链接）即可获取渲染成果。通过连接即可分享渲染成果，多终端可访问，提升协作效率。 安全可靠 实时云渲染平台渲染成果通过视频流方式分享外链进行访问，有效保护模型作品版权。支持多种音视频传输协议（画面文字ＷebRTC、RTP、SRT、websocket等协议），降低延时，优化丢包率和带宽波动带来的影响。 极致体验 天翼云具有数以千计的边缘节点，基于智能调度算法，按需调度GPU算力资源供就近业务进行渲染，提供毫秒级时延服务；通过业务级算力复用，提升GPU资源使用效率，降低用户使用成本。

本节介绍了什么是磁盘模式、SCSI磁盘的常见使用场景和建议、使用SCSI类型磁盘需要安装驱动吗。 什么是磁盘模式 根据是否支持高级的SCSI命令来划分磁盘模式，分为VBD(虚拟块存储设备 , Virtual Block Device)类型和SCSI (小型计算机系统接口, Small Computer System Interface) 类型。 VBD类型：磁盘模式默认为VBD类型。VBD类型的磁盘只支持简单的SCSI读写命令。 SCSI类型：SCSI类型的磁盘支持SCSI指令透传，允许云主机操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的磁盘还可以支持更高级的SCSI命令。 磁盘模式在购买磁盘时配置，购买完成后无法修改。 SCSI磁盘的常见使用场景和建议 SCSI磁盘：物理机仅支持使用SCSI磁盘，用作系统盘和数据盘。 SCSI共享盘：当您使用共享盘时，需要结合分布式文件系统或者集群软件使用。由于多数常见集群需要使用SCSI锁，例如Windows MSCS集群、Veritas VCS集群和CFS集群，因此建议您结合SCSI使用共享盘。 如果将SCSI共享盘挂载至ECS时，需要结合云主机组的反亲和性一同使用，SCSI锁才会生效，关于更多共享盘的内容，请参见共享云硬盘及使用方法。

堡垒机v2.0常见问题请参见云堡垒机（原生版）常见问题。

本章节介绍故障演练服务中应用资源管理功能。 概述 应用资源 是构成应用 的组件节点，例如云主机 、云容器引擎 、分布式缓存服务Redis版 、分布式消息服务Kafka等实例。应用需要先纳管资源，才能对其进行故障演练。 添加应用资源 1. 登录应用高可用服务控制台。 2. 在左侧导航栏中，定位到故障演练 菜单，选择要操作的目标应用 ，然后单击其下的应用资源 选项，进入应用资源管理页面。 3. 在页面上方的资源类型 页签中，选择希望添加的资源类型（如云主机），然后单击添加资源按钮。 4. 在弹出的对话框中，选择资源池等筛选条件 ，单击搜索，系统将列出符合条件的、当前用户有权访问的资源清单。 5. 从列表中勾选 一个或多个资源，然后单击确认完成添加。 6. 返回应用资源列表，可以看到新添加的资源对象。 注意 列表中显示的资源状态可能存在一定延迟，如需获取最实时的信息，以该资源对应的云产品控制台为准。 删除应用资源 1. 进入目标应用的应用资源管理页面。 2. 在应用资源 列表中，找到希望删除的资源对象，单击其对应的删除按钮。 3. 在弹出的确认对话框中完成删除操作。 4. 返回应用资源列表，确认该资源对象已被成功移除。 注意 若目标资源被演练任务引用，则无法直接删除；必须先解除所有关联任务对该资源的引用，才能进行删除操作。

防护对象 WAF支持的防护对象：域名或IP，云上或云下的Web业务。

本节介绍了本地Linux主机使用SFTP上传文件到Linux云主机的操作场景、操作步骤。 操作场景 本节操作以CentOS操作系统为例，介绍配置SFTP、使用SFTP上传或下载文件、文件夹的操作步骤。 操作步骤 1. 以root用户登录云主机。 2. 执行以下命令查看ssh版本，OpenSSH版本大于等于4.8p1。 ssh V 回显信息如下所示： OpenSSH7.4p1, OpenSSL 1.0.2kfips 26 Jan 2017 3. 创建用户和组，以user1用户为例。 groupadd sftp useradd g sftp s /sbin/nologin user1 4. 设置用户密码。 passwd user1 图 设置用户密码 5. 设置目录权限。 chown root:sftp /home/user1 chmod 755 R /home/user1 mkdir /home/user1/upload chown R user1:sftp /home/user1/upload chmod R 755 /home/user1/upload 6. 执行以下命令，编辑sshdconfig文件。 vim /etc/ssh/sshdconfig 注释掉如下信息 Subsystem sftp /usr/libexec/openssh/sftpserver 补充如下内容： Subsystem sftp internalsftp Match Group sftp ChrootDirectory /home/%u ForceCommand internalsftp AllowTcpForwarding no X11Forwarding no 图 sshdconfig文件补充配置信息后 7. 重启云主机，或执行以下命令重启sshd服务。 service sshd restart 或 systemctl restart sshd 8. 执行以下命令，远程连接到服务器。 sftp root@IP地址 9. 连接成功后，您可以使用交互式的sftp命令。 10. 执行以下命令，上传或下载文件、文件夹。 上传文件：put r 下载文件：get r

本文主要介绍云日志服务如何添加过滤器。 云日志服务仪表盘支持添加过滤器，即可对整个仪表盘进行查询过滤、变量替换操作。 前提条件 已完成日志采集接入，可成功采集到日志数据 日志内容已完成结构化配置 已完成仪表盘创建，并已添加图表 过滤器类型说明 目前支持以下两种类型的过滤器，可在创建过滤器时选择类型： 类型 说明 生效范围 下拉选项过滤 通过指定字段的字段值对仪表盘内所有图表的数据进行过滤。在执行过滤器操作时，将其作为过滤条件增加到查询和分析语句前，使用AND或NOT连接，例如Key Value and [search query]，表示在原查询和分析语句的结果中，查找包含KeyValue的日志。 仪表盘内所有日志主题的图表 变量替换过滤 变量替换支持用户自己设置变量值，替换到检索分析语句中，如果仪表盘中已有设置了该变量占位符的统计图表，则添加变量类型的过滤器后，自动将统计图表的查询和分析语句中的变量替换为您选择的变量值。 仪表盘内使用该变量的图表 操作步骤 1. 登录云日志服务控制台，在左侧导航栏中选择仪表盘仪表盘列表，选择指定仪表盘，点击仪表盘名称，进入仪表盘页面。 2. 在仪表盘页面，点击右上角【编辑】按钮，进入编辑状态。 3. 点击右上角【添加过滤器】。 4. 在过滤器添加页面中，配置过滤器的相关参数。支持两种类型的过滤器，具体参数配置可参考下表。添加完成后，再点击仪表盘右上角保存，完成过滤器添加操作。 参数 说明 过滤器名称 自定义过滤器名称，最大支持32字符。 类型 选择过滤器类型或变量替换类型。具体可见[过滤器类型说明](

本章节主要介绍数据治理中心DataArts Studio如何创建IAM用户并授予DataArts Studio权限。 创建IAM用户并授予DataArts Studio权限 如果您需要对您所拥有的DataArt Studio进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）。通过IAM，您可以： 根据企业的业务组织，在您的云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DataArts Studio资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DataArts Studio资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DataArts Studio服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如操作步骤所示。 背景信息 给用户组授权之前，请您了解用户组可以添加的DataArts Studio工作空间角色权限，并结合实际需求进行选择。 约束与限制 DAYU User系统角色为用户提供了实例及工作空间和依赖服务的相关权限，具体工作空间内的业务操作权限由工作空间角色提供。 IAM提供了以下两种授权机制。注意，DataArts Studio仅支持其中的IAM角色方式，不支持IAM策略。 − IAM角色 ：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。传统的IAM角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 − IAM策略 ：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。

本节介绍了分布式消息服务RabbitMQ产品实例如何购买。 实例介绍 RabbitMQ实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占RabbitMQ实例，可根据业务需要可定制相应规格的RabbitMQ实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 操作步骤 1. 登录管理控制台。 2. 进入RabbitMQ管理控制台。 3. 在管理控制台右上角单击“地域名称”，选择区域。此处请选择与您的应用服务相同的区域。 4. 点击“购买实例”跳转到购买页面，根据页面订购说明进行产品开通。 5. 下载安装工具Eclipse3.6.0以上上版本或者IntelliJ，JDK 1.8.111以上版本。 实例规格选择说明 以下规格选型适用于6个节点： 芜湖2、南京3、上海7、福州25、重庆2、北京5。 此6个节点可以选择普通版和高级版。 存储空间说明：目前基础版和高级版规格如下： 产品类型 产品规格 高级版本 三节点 8核16GB lvs节点 4核8GB总磁盘范围 300GB – 6000GB 基础版本 三节点 4核8G lvs节点 4核8GB总磁盘范围 300GB – 6000GB 在集群模式中，RabbitMQ需要对消息持久化写入到磁盘中，因为，您在创建RabbitMQ实例选择存储空间时，建议根据业务消息体积预估以及镜像队列副本数量选择合适的存储空间。镜像队列副本数最大为集群的节点数，目前都是3。 例如：业务消息体积预估100GB，则磁盘容量最少应为100GB3 + 预留磁盘大小100GB。 （1）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （2）区域默认为当前资源池，页面左上角切换区域。 （3）选择类型，用户可选高级版和基础版两个版本。其中高级版规格为8核16GB，适用于大型应用系统。基础版规格为4核8GB，适用于中、小型企业应用。 （4）服务节点数出于高可用考虑，默认3个。 （5）选择主机类型，包括2系列、3系列和6系列。主机类型详细内容请参见弹性云主机规格。 （6）选择存储空间，包括磁盘类型和空间。 磁盘类型默认提供普通IO。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以300G起步，可以以100倍数增加磁盘空间。 （7）填写实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 （8）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （9）选择已有子网，若无子网，点击创建跳转到子网页面新增。 （10）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。 （11）选择购买时长，拖动选择112个月。 （12）勾选自动续订。按月购买：自动续订周期为1个月；按年购买：自动续订周期为1年。 （13）填写购买数量，单次最多可批量申请5个分布式消息服务。 以下规格选型适用于华东1、华北2、西南1、华南2、上海36、青岛20、长沙42、南昌5、武汉41、杭州7、西南2贵州、太原4、郑州5、西安7、呼和浩特3 节点。 这些节点可选择通用型和计算增强型，具体情况如下： 主机类型 节点数（个） 实例规格 存储IO 存储空间GB 通用型 可选节点数：3/5/7/9 可选规格： 4核 8GB 8核 16GB 16核 32GB 可选IO规格： 普通IO（SATA） 高IO（SAS） 超高IO（SSD） 单节点10010000 计算增强型 可选节点数：3/5/7/9 可选规格： 4核 8GB 8核 16GB 16核 32GB 可选IO规格： 普通IO（SATA） 高IO（SAS） 超高IO（SSD） 单节点10010000 节点可选择3节点、5节点、7节点、9节点，实例规格可选择4C8G、8C16G、16C32G。 存储类型可选择普通IO（SATA）、高IO（SAS）、超高IO（SSD）。 （1）填写实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 （2）选择引擎类型，默认选择云原生引擎，海量消息堆积能力，支持更多连接和队列数，稳定性高。也可选择rabbitmq引擎，完全支持开源RabbitMQ生态，功能完备。 （3）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （4）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、13年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、13年。 计费模式为按需计费，则该选项隐藏无需选择。 （5）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署,单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 （6）设置节点数，可选择3/5/7/9。RabbitMQ 的节点数是指 RabbitMQ 集群中的节点数量。在 RabbitMQ 集群中，可以有多个节点组成一个集群，每个节点都是一个独立的 RabbitMQ 服务器实例。 （7）下拉选择主机类型，可选择通用型和计算增强型。通用型云主机共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 （8）选择实例规格，分布式消息服务RabbitMQ提供通用型和计算增强型各3类规格，各规格详细说明参见弹性云主机规格。 （9）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/普通IO/超高IO三类。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 （10）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （11）选择已有子网，若无子网，点击创建跳转到子网页面新增。 （12）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。

本文主要介绍云日志服务的对象存储转储。 云日志服务采集到数据后，支持将数据转储至对象存储ZOS进行持久化存储，并在对象存储ZOS控制台下载日志文件。 前提条件 已创建日志项目和日志单元 已开通对象存储服务并创建桶 已采集到日志 创建日志转储任务 1. 登录云日志服务控制台。 2. 左侧点击【日志转储】菜单，进入日志转储页面。 3. 点击【创建转储任务】 4. 在创建转储任务功能面板，配置如下参数，然后单击确定，完成转储任务创建。 参数 说明 日志项目名称 选择源日志所在的日志项目。 日志单元名称 选择源日志所在的日志单元。 转储任务名称 转储任务的名称。 对象存储bucket 选择已创建的对象存储桶。若未创建桶，请进入对象存储控制台进行创建。 文件转储目录 从云日志服务转储到对象存储的数据将存放到Bucket的该目录下，不能以正斜线（/）开头。若未设置，则默认在根目录下。 分区格式 将按照转储的时间，动态生成对象存储ZOS Bucket的目录，不能以正斜线（/）开头，默认值为%Y/%m/%d/%H/%M。 存储格式 目前仅支持JSON存储格式。 是否压缩 支持按照snappy方式进行压缩。 转储大小 每个任务的转储大小，取值范围为5256MB。 转储时间 转储周期时间，取值范围为300600秒，默认为300秒. 转储时间范围 1、某时间开始：指定转储任务的开始时间，从该时间点开始进行数据转储，直到您手动停止转储任务。(开始时间不得早于当前时间，早于当前时间则以当前时间为准) 2、特定时间范围：指定转储任务的起止时间，转储任务将执行到您指定的结束时间后自动停止。(开始时间不得早于当前时间，早于当前时间则以当前时间为准)

介绍客户端的实名信息登记功能以及如何启动客户端的短信登录校验。 客户实名信息展示 1.访问云电竞租户控制台。 2.单击【登录授权信息】栏目，可查看您账号下已登记的客户实名信息，实名信息需由账号权限所有人自行登记，仅用于公安机关监管要求的实名短信登录校验。 3.展示的登录授权信息内容包括：姓名、手机号（默认隐藏部分信息，点击眼睛按钮可展示完整内容）、身份证号（默认隐藏部分信息，点击眼睛按钮可展示完整内容）、资源可用性（该客户是否有权限使用云电竞的资源）、有效期（该客户的权限有效截止日期）、已注册客户端名称（该客户已注册使用过的客户端）、连接状态（实例连接状态）、连接的实例ID。 4.对客户登录授权信息可进行的操作项包括： 修改：对已登记的信息进行修改。 历史使用记录：可查询客户的历史使用记录，展示的信息包括串流使用过的客户端名称、串流起止时间（精细到秒）、串流过的实例 ID。 如何使用短信校验 1.访问云电竞租户控制台。 2.单击【客户实名信息】栏目。 3.页面右上角单击【启用短信校验】，弹出二次确认窗口，如确认，后续可访问使用该账号名下的云电竞资源的客户必须使用已经由账号权限所有人已登记过的实名信息的手机号才可登录。 4.如已启用短信校验，按钮状态会变更为【停用短信校验】，点击调起二次确认窗口，如确认，停用需要短信校验的客户端登录方式。

导出历史会话 运维人员通过云堡垒机登录资源运维结束后，审计管理员将会收到历史会话记录，并可导出全部历史会话记录，离线审计历史会话。 前提条件 已获取“历史会话”模块管理权限。 已结束运维会话。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 历史会话”，进入历史会话列表页面。 3 （可选）勾选一个或多个历史会话。 若未勾选日志，默认导出全量历史会话。 4 单击右上角“导出”，即可立即下载的CSV格式的文件到本地。 管理会话视频 运维人员通过云堡垒机登录资源运维结束后，审计管理员将会收到历史会话记录。针对Linux命令审计、Windows操作审计全程录像记录，支持生成运维视频，并支持一键下载和删除视频管理。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计，不支持视频审计。 视频仅可回放有效会话记录，即登录资源到最后一次会话操作的这一段记录。 生成视频后，视频将缓存在系统空间，占用系统存储空间，建议及时将视频保存在本地并清理磁盘空间。 前提条件 已获取“历史会话”模块管理权限。 已结束运维会话。 生成会话视频 1 登录云堡垒机系统。 2 选择“审计 > 历史会话”，进入历史会话列表页面。 3 在目标历史会话“操作”列，单击“更多 > 生成视频”，系统后台立即启动生成历史会话视频。 “任务中心”提醒有正在执行的任务。当“任务中心”任务执行完成，“消息中心”收到生成会话视频提醒后，会话视频生成完成。 在系统存储空间充足条件下，不限制生成视频的时长和大小。 当系统存储空间不足时，生成视频可能失败。

本文主要介绍节点限制检查 检查项内容 当前检查项包括以下内容： 检查节点是否可用 检查节点操作系统是否支持升级 检查节点是否含有非预期的节点池标签 检查K8S节点名称是否与云主机保持一致 解决方案 问题场景一：节点不可用 若检查发现节点不可用，请登录CCE控制台，前往“集群信息>节点管理”处查看节点状态，请确保节点处于“运行中”状态。节点处于“安装中”、“删除中”状态时，均不支持升级。 若节点状态异常，请修复节点后，重试检查任务。 问题场景二：节点操作系统升级支持受限 当前集群升级支持的节点操作系统范围如下表所示，若您的节点OS不在支持列表之内，暂时无法升级。您可将节点重置为列表中可用的操作系统。 节点OS支持列表 操作系统 限制 CentOS 无限制 Ubuntu 部分局点受限，若检查结果不支持升级，请联系技术支持人员 问题场景三：节点含有非预期的节点池标签 由节点池迁移至默认节点池的节点，仍然会保留节点池标签"cce.cloud.com/ccenodepool"，影响集群升级。请确认该节点上的负载调度是否依赖改标签： 若无依赖，请删除该标签。 若存在依赖，请修改负载调度策略，解除依赖后再删除该标签。 问题场景四：K8S节点名称与云主机一致 CCEK8S节点名称默认“与节点私有IP保持一致”，若创建节点时选择“与云主机名称保持一致”，当前暂不支持升级。 请登录CCE控制台，前往“集群信息>节点管理”处查看节点标签，对比节点标签kubernetes.io/hostname的值是否与云主机名称是否一致。如果一致，则需在集群升级前移除该节点。

本节介绍Fluid功能和概念。 Fluid概述 Fluid是一个开源的云原生的分布式数据集编排和加速引擎，为AI和大数据云原生应用提供服务。 它旨在通过透明的数据管理和优化调度，帮助AI和大数据应用高效利用任何存储的数据，而无需修改现有应用。Fluid支持自动化的数据调度、缓存加速和弹性扩展，提升数据访问效率，确保在大规模分布式环境中实现高效的存储和计算协同。 Fluid功能 作为一款开源的云原生基础架构，Fluid为AI与大数据云原生应用提供一层高效便捷的数据抽象，将数据从存储抽象出来，以便实现以下功能： 数据集抽象原生支持：将数据密集型应用所需基础支撑能力功能化，实现数据高效访问并降低多维管理成本。 可扩展的数据引擎插件：提供统一的访问接口，方便接入第三方存储，通过不同的Runtime实现数据操作。 数据弹性和调度：将数据缓存技术和弹性扩缩容 、数据亲和性调度能力相结合，提高数据访问性能。 应用编排：结合Kubernetes调度器，将计算任务优先调度至已缓存数据的节点，减少网络传输开销，提升计算效率。 Fluid基础概念 Dataset：数据集，抽象成逻辑上相关的一组数据的集合，被运算引擎使用。它允许用户定义数据集的位置、格式、版本、数据访问权限等信息。Dataset可以与不同的存储引擎（如Alluxio、JuiceFS等）结合使用，确保数据的统一管理和高效访问。 Dataset Operation：对Dataset执行的数据操作任务，例如数据预热、数据迁移、数据缓存清理等。这些操作通过Fluid的CRD进行定义和管理，帮助用户优化数据访问性能或维护数据生命周期。 Runtime：实现数据集安全性、版本管理和数据加速等能力的执行引擎，定义了一系列生命周期的接口。可以通过实现这些接口，支持数据集的管理和加速。 AlluxioRuntime：作为 Cache Engine Pods 的一种实现，基于开源数据编排框架 Alluxio构建，用于在 Kubernetes 集群中提供高性能的数据缓存与访问加速能力，支持PVC、Hostpath、ZOS加速。

帮助用户完成云硬盘备份存储库的创建，快速创建磁盘备份容器。 操作步骤 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份”。选择对应的备份目录。 2. 在界面右上角单击“购买云硬盘备份存储库”。 3. 选择计费模式。 包年包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。 按需计费是后付费模式，根据实际使用量进行计费，可以随时购买或删除存储库。费用直接从账户余额中扣除。 4. （可选）在磁盘列表中勾选需要备份的磁盘，勾选后将在已选磁盘列表区域展示，如下图所示。 图 选择磁盘 说明 所选磁盘未绑定存储库且状态必须为“可用”或“正在使用”。 若不勾选磁盘，如需备份可在创建存储库后绑定磁盘即可。 5. 输入存储库容量。此容量为绑定磁盘所需的总容量。您需要提前规划存储库容量，存储库的空间不能小于备份磁盘的空间。取值范围为[10，10485760]GB。在使用过程中对磁盘进行扩容，未开启自动扩容的情况下存储库不会进行自动扩容。 6. 选择是否配置自动备份。 立即配置：配置后会将存储库绑定到备份策略中，整个存储库绑定的磁盘都将按照备份策略进行自动备份。可以选择已存在的备份策略，也可以创建新的备份策略。 暂不配置：存储库将不会进行自动备份。 7. 如开通了企业项目，需要为存储库添加已有的企业项目。 企业项目是一种云资源管理方式，企业项目管理提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 8. （可选）为存储库添加标签。 标签以键值对的形式表示，用于标识存储库，便于对存储库进行分类和搜索。此处的标签仅用于存储库的过滤和管理。一个存储库最多添加10个标签。 9. 输入待创建的存储库的名称。 只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于64个字符。例如：vault612c。也可以采用默认的名称，默认的命名规则为“vaultxxxx”。 10. 当计费模式为“包年/包月”时，需要选择购买时长。可选取的时间范围为1个月~5年。 可以选择是否自动续费，勾选自动续费时： 按月购买：自动续费周期为1个月。 按年购买：自动续费周期为1年。 11. 根据页面提示，完成支付。 12. 返回云硬盘备份页面。可以在存储库列表看到成功创建的存储库。

本节主要介绍管理访问秘钥。 访问密钥（AK/SK，Access Key ID/Secret Access Key）包含访问密钥ID（AK）和秘密访问密钥（SK）两部分，是您在系统的长期身份凭证，您可以通过访问密钥对部分云服务API的请求进行签名。系统通过AK识别访问用户的身份，通过SK对请求数据进行签名验证，用于确保请求的机密性、完整性和请求者身份的正确性。 新增访问密钥 步骤 1 用户使用天翼云帐号或IAM子用户登录天翼云官网。 步骤 2 单击天翼云首页顶部右侧“控制中心”，资源池选择二类节点。 步骤 3 在控制中心首页顶部右侧，单击用户名，弹出下拉菜单，并在下拉列表中单击“我的凭证”。 步骤 4 在“我的凭证”页面，左侧功能栏单击“访问密钥”。 步骤 5 单击“新增访问密钥”，输入验证码。 说明 如果您绑定了邮箱或者手机，需要输入验证码，如果没有绑定邮箱或者手机，仅需要输入登录密码即可新增访问密钥。 步骤 6 单击“确定”，生成并下载访问密钥。 说明 最多可创建2个访问密钥，有效期为永久。为了账号安全性，建议您妥善保管并定期修改访问密钥，修改访问密钥的方法为删除旧访问密钥，然后重新生成。

本章节介绍，当不需要启用数据库服务器备份功能时，如何卸载已经完成安装的Agent。 操作场景 该任务指导用户在不需要启用数据库服务器备份功能时，卸载Agent。 前提条件 已获取弹性云主机的登录帐号和密码。 卸载Linux版本Agent 步骤1、登录需要卸载Agent的弹性云主机，并执行su root 命令切换到root用户。 步骤2、在/home/rdadmin/Agent/bin目录下执行以下命令，卸载Agent。如下图所示。若出现绿色卸载成功字样，表示Agent卸载成功。 sh agentuninstallebk.sh 卸载Linux Agent成功 卸载Windows版本Agent 步骤1、登录需要卸载Agent的弹性云主机。 步骤2、在安装目录的bin目录下选中agentuninstallebk.bat双击打开，卸载Agent。 系统卸载Agent完成后，弹窗自动关闭，卸载成功。如下图所示。 卸载Windows Agent成功

本节为您介绍物理机的使用限制。 不支持直接加载外接硬件设备（如USB设备、银行U盾、外接硬盘、加密狗等）。 不支持带外管理，您的物理机资源统一由天翼云管理和维护。 不支持热迁移，物理机故障后会对业务造成影响，建议您通过业务集群部署、主备部署等方式实现业务的高可用。 不支持创建没有操作系统的裸设备，即物理机必须自带操作系统。 不支持自定义物理机的CPU、内存等配置，也不支持CPU、内存、本地磁盘扩容，仅云硬盘可以扩容。 由于某些机型的物理机没有配备智能网卡，或者其他物理机本身的原因，有些规格或镜像的物理机不支持挂载云硬盘。 在创建物理机时，如果选择自动分配IP地址，请不要在物理机发放完成后修改私有IP地址，避免和其他物理机IP冲突。 物理机不支持配置桥接网卡，配置后会导致网络不通。 禁止升级操作系统自带的内核版本，否则物理机硬件驱动会存在兼容性风险，影响物理机可靠性。