本章节主要介绍使用GDS从远端服务器导入数据的最佳实践。 教程指引 本教程旨在演示使用GDS（General Data Service）工具将远端服务器上的数据导入DWS中的办法，帮助您学习如何通过GDS进行数据导入的方法。 在本教程中，您将： 生成本教程需要使用的CSV格式的数据源文件。 将数据源文件上传到数据服务器。 创建外表，用于对接GDS和DWS，及将数据服务器上的数据引流到DWS集群中。 启动DWS并创建数据库表后，将数据导入到表中。 根据错误表中的提示诊断加载错误并更正这些错误。 准备ECS作为GDS服务器 创建Linux弹性云主机的操作步骤，请参见《弹性云主机用户指南》中的“创建弹性云主机”。创建后，请参见《弹性云主机用户指南》中的“登录Linux弹性云主机”章节进行登录。 说明 l ECS操作系统必须是GDS工具包所支持的操作系统。 l ECS与DWS处于同一区域、同一虚拟私有云和子网。 l ECS安全组规则需放通DWS集群的访问，即安全组入规则： l 协议：TCP l 端口范围：5000 l 源地址：选择“IP地址”，输入DWS 集群地址，例如“192.168.0.10/32”。 l ECS内部如果启用了防火墙，需要保证防火墙打开了GDS服务的监听端口： iptables I INPUT p tcp m tcp dport j ACCEPT

本文主要介绍修改DNS与添加安全组（Linux） 操作场景 本章节指导用户为Linux系统的ECS或BMS添加域名解析并添加安全组，防止下载Agent安装包与采集监控数据时出现异常。本章节以ECS为例介绍如何修改DNS和添加安全组，BMS操作步骤类似。 修改ECS的DNS配置有两种方式：命令行和管理控制台。您可以根据自己的使用习惯选择其中一种方式进行配置。 注：添加DNS服务解析和配置安全组针对的是主网卡。 修改DNS（命令行方式） 本节介绍使用命令行方式添加域名解析地址至resolv.conf文件的操作步骤和方法。 如果想要使用管理控制台方式，请参考修改DNS（管理控制台方式）。 1. 使用root帐号，登录ECS。 2. 输入“vi /etc/resolv.conf”，打开文件。 3. 在文件中添加“nameserver X.X.X.X ”，输入：wq，按“Enter”保存并退出。 修改DNS（管理控制台方式） 本节介绍登录管理控制台后修改ECS的DNS配置的操作步骤和方法。本章节以ECS为例介绍如何修改DNS和添加安全组，BMS操作步骤类似。 1. 在管理控制台左上角选择区域和项目。 2. 选择“服务列表 > 计算 > 弹性云主机”。 弹性云主机列表中，单击ECS名称查看详情。 3. 在“虚拟私有云”项单击虚拟私有云名称，进入“虚拟私有云”界面。 4. 在“VPC名称/ID”列表中，单击“vpc328c”。 5. 在“子网”列表中，单击“subnet328d”所在行“修改”。 弹出“修改子网”对话框，修改“DNS服务器地址1”为正确的DNS服务器IP地址。 注：subnet328d为该ECS的子网。 6. 单击“确定”，保存设置。 注：在控制台修改DNS需重启ECS或BMS后生效。

天翼云提供统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。 您通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对KMS资源的访问控制、权限分配等。 说明 IAM 权限作用于KMS产品控制台的功能访问以及KMS服务的OpenAPI接口调用。 权限管理 默认情况下，主账号创建的IAM用户没有任何权限，需要将其加入特定的用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略），授权后IAM用户就能获得策略中定义的KMS产品的使用权限。 KMS产品支持企业项目管理，若您需要对KMS服务中的资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 权限配置 IAM权限管理：进入天翼云IAM权限配置界面，可以进行IAM用户及用户组的创建，并在用户组列表中点击“授权”，为用户组添加KMS产品对应的权限策略。KMS权限策略分为系统策略和自定义策略，系统策略默认提供，您也可以在“策略管理”界面创建自定义策略。用户组授权记录均可在“授权管理”界面查看并管理。 企业项目管理：进入天翼云IAM权限 配置界面，在“企业项目”界面可以创建并管理企业项目，创建企业项目后可进行资源的迁入迁出，绑定用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略）。

本章节向您介绍如何克隆安全组与复制安全组规则。 克隆安全组 操作场景 VPC支持同区域或者跨区域克隆安全组，方便您将相同的安全组规则快速应用到不同区域的弹性云主机上。 当您遇到如下场景时，推荐您使用克隆安全组功能： 假设您已经在区域A创建了一个安全组sgA，此时您需要为区域B内的弹性云主机使用与sgA完全相同的规则，您可以直接将sgA克隆到区域B，而不需要在区域B重新创建安全组。 如果您的业务需要执行新的安全组规则，您可以克隆原有的安全组作为备份。 如果您需要修改当前业务使用的安全组规则，建议您可以克隆一个测试安全组，在测试环境调测成功后，再修改运行的业务安全组。 约束与限制 同一个区域内克隆安全组时，可以克隆安全组内的全部规则。 跨区域克隆安全组时，仅支持克隆源/目的地址是IP地址或者本安全组的规则，不支持克隆源/目的地址是其他安全组和IP地址组的规则。 克隆安全组功能是克隆安全组及安全组规则，不支持克隆此安全组关联的实例。 克隆安全组支持在同一个账号内使用，如果您需要跨账号快速创建安全组，则推荐您使用导入/导出安全组规则功能。 操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表中，单击目标安全组所在行的操作列的“克隆”。 3. 根据界面提示，选择新克隆安全组所在的区域，名称等参数。 4. 参数设置完成后，单击“确定”，完成安全组克隆，您可以在对应区域的安全组列表中，查看克隆成功的安全组。 复制安全组规则

尊敬的天翼云用户： 您好！ 为确保您的SSL证书持续符合行业安全规范，我们特此通知一项由全球证书颁发机构与浏览器论坛（CA/B Forum）制定的重要政策变更。 变更背景 根据CA/B论坛最新投票决议（SC081），自2026年3月15日 起，所有公开信任的SSL/TLS证书最长有效期将缩短至199天。 此项变更是全球范围内提升网络安全的重要举措，极大地降低了私钥在签发前泄露的风险，从而加强了数字证书作为互联网信任基石的安全性。 影响范围 证书版本 加密标准 有效期 Secursite、Geotrust、TrustAsia 国际标准 2026年2月24日~2027年3月15日签发的证书，有效期最长为199天。 标准版 国际标准 2026年3月1日~2027年3月15日签发的证书，有效期最长为199天。 CFCA 国际标准 2026年3月14日~2027年3月15日签发的证书，有效期最长为199天。 Globalsign 国际标准 2026年3月15日~2027年3月15日签发的证书，有效期最长为199天。 Secursite、Geotrust、TrustAsia、标准版、CFCA、Globalsign 国际标准 2027年3月15日之后签发的证书，有效期最长为99天。 说明 国密算法证书：标准版、CFCA、TrustAisa品牌国密算法SM2证书，有效期不变，暂不受该政策影响。 私有（内网）证书：有效期不变，暂不受该政策影响。 测试证书：免费的测试证书有效期依然为3个月，暂不受该政策影响。

开启防护 基础版/企业版/旗舰版 您可以为已购买的服务器开启基础版/高级版/企业版/旗舰版安全防护，开启后按照已购买版本所提供的能力对服务器进行安全防护。 操作须知 开启防护需要足够的防护配额，若提示配额不足，企业版可选择按需模式，其他版本需购买配额后再进行开启操作，主机防护配额购买详情请参见 购买主机安全防护配额，容器安全配额购买详情请参见购买容器安全配额。 检测周期 主机防护每日凌晨会进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能查看检测结果，或者立即执行手动检测。 前提条件 已购买的服务器已正常安装Agent且“Agent状态”为“在线”、“防护状态”为“未防护”。 约束条件 Linux操作系统 使用鲲鹏计算EulerOS（EulerOS with ARM）的主机，在遭受SSH帐户破解攻击时，HSS不会对攻击IP进行拦截，仅支持对攻击行为进行告警。 Windows操作系统 开启主机防护时，需要授权开启Windows防火墙，且使用主机安全服务期间请勿关闭Windows防火墙。若关闭Windows防火墙，HSS无法拦截帐户暴力破解的攻击源IP。 通过手动开启Windows防火墙，也可能导致HSS不能拦截帐户暴力破解的攻击源IP。

本节主要介绍如何使用API设置远程协助。 此操作用来设置远程协助。 请求语法 plaintext PUT /rest/v1/system/config/remoteAccess HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "serverId": serverId, "status": status, "host": host, "port": port } 请求参数 名称 类型 描述 是否必须 serverId String 服务器ID。 如果不指定，默认设置当前被请求的服务器。 否 status String 是否启用远程协助。 取值： Enabled：启用。 Disabled：禁用。 是 host String 远程协助的服务端IP或域名。 说明 请联系软件供应商获取host信息。 除下列情况host必填外，其他情况选填： 如果启用远程协助时，此项在服务端没有保存过。 如果设置远程协助时，输入了具体的端口号。 否 port Integer 远程协助的端口。 说明 请联系软件供应商获取端口号。 取值：[1,65535]，默认18100。 否 响应结果 名称 类型 描述 code Integer 远程协助码，6位数字。 host String 远程协助的服务端IP。 port Integer 远程协助端口。 请求示例 设置远程协助。 plaintext PUT /rest/v1/system/config/remoteAccess HTTP/1.1 Date: Thu, 17 Mar 2022 09: 20: 16 GMT ContentType: application/json; charsetutf8 ContentLength: 113 Host: 192.168.0.121: 1443 Authorization: HBlock userName:signature { "serverId": "hblock1", "status": "Enabled", "host": "182.151.21.174", "port": 18100 }

本节提供智能视图服务产品客户端的下载二维码。 天翼云 智能视图服务客户端：天翼云瞰(Android、IOS)。 请通过手机扫描下方二维码，下载后安装使用。

参数 参数类型 说明 示例 下级对象 displayName String 实例名称 test custName String 服务器名称 test publicIp String 公网ip 1.1.1.1 privateIp String 私网ip 1.1.1.1 agentGuid String 主机id 11112222 protocol String 网络协议 TCP port Integer 端口，中间件监听端口，web站点 监听端口 3308 osType String 操作系统 Linux ip String ip，中间件监听ip 1.1.1.1 process String 监听进程 test.exe processPath String 进程路径 c://test.exe processId String 进程id,中间件进程id， web站点进程id 121 fatherProcess Integer 父进程号 1212 startParam String 启动参数 /bin/test.sh startTime String 启动时间，中间件启动时间， web站点启动时间 20200101 00:00:00 runUser String 运行用户 test programName String 软件名称 test version String 版本,中间件版本，web应用版本号 1.1 updateTime String 最后更新时间 20200101 00:00:00 userName String 计划任务执行用户/账号名/环境变量环境变量用户名，中间件运行用户， web站点运行用户 test passwordFlag Integer 是否设置密码 0未设置密码 1已设置密码 0 userGroup String 用户组 test lastTime String 上次登录时间 20200101 00: expireTime String 到期时间 20200101 00: loginIp String 上次登录IP 1.1.1.1 selfStartName String 自启动项名称 test selfStartStatus Integer 自启动项启动状态 0未启动 1启动 0 fileMd5 String 文件md5 111111111111111111111111111111111111111111111111111111111111111111 status String 状态，中间件监听端口状态 LISTEN LISTEN startPath String 启动路径，中间件启动路径 c://test.exe configFile String 配置文件 c://test.exe installTime String 安装时间 20200101 00 cmdline String 执行命令，计划任务执行命令，中间件启动命令行 /bin/test.sh cycle String 任务周期，计划任务任务周期 0 0 0 ? exeMd5 String 执行任务MD5 111111111111111111111111111111111111111111111111 versionCheck String 数据库 版本验证信息,中间件版本验证信息 111111111111111111111111111111111111111111111111 ppid String ppid 数据库父进程ID,中间件父进程id 1212 language1 String 框架语言language1 web框架框架语言 java isAdmin String 管理员权限 isAdmin true管理员权限，false非管理员权限 true name String 内核模块模块名称，中间件中间件名称，web应用应用名称,环境变量环境变量名 test size Integer 内核模块模块大小 1 path String 内核模块模块路径，web 站点web路径 c://test.exe refCount Integer 内核模块依赖模块数 1 envType Integer 环境变量环境变量类型 1系统变量 2用户变量 1 envValue String 环境变量环境变量值 test middlewareType Integer 中间件中间件类型,1系统服务 2软件库 3jar包 4DevOps应用 1 envVersion String 中间件运行时环境版本 domainName String web 站点域名，web应用站点域名 siteType String web 站点站点类型如: nginx, apache, tomcat, iis等。web应用服务类型 (如: nginx, apache, tomcat, iis等) mergedPath String web站点容器路径 webRoot String web站点web根路径，web应用web根路径 dirMod String web站点目录权限 (如: 755, 644等) webPath String web应用web路径 pluginCount Integer web应用插件数 listenPorts String web站点监听端口，多个，逗号分割 shell String 账号用户启用Shell；1启用 0未启用 uidSid String 账号UID/SID isHighRiskPort Integer 端口是否高危端口，1是 0不是 itemType Integer 自启动项自启动项类型0自启动服务 1其他 2其他 3预加载动态库 4Run注册表键 5开机启动文件夹 exeAttr String 进程文件权限 (如: 755, 644等)， home String 账号用户目录如/home/user

项目 配置项 说明 基本信息 名称 设置规则名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64 字符。 基本信息 动作 支持“动态脱敏”或“允许访问”。 客户端 客户端来源 访问业务类型的客户端IP或IP组。 支持多个IP，使用逗号“,”分隔，例：10.10.1.1,10.10.1.2 支持子网掩码配置，例：10.10.1.1/24 支持IP 段配置，例：10.1.1.1010.1.1.20 。 客户端 客户端端口 可配置多个值或区间，多个值间以逗号“,”分隔，例如：1015,20,25,3040。 客户端 客户端工具名 支持字符串匹配、正则表达式匹配、分组选择方式匹配。 选择字符串，可配多个客户端工具名，使用逗号“,”分隔，例：db2bp.exe,javaw.exe,plsqldev.exe。 客户端 操作系统用户 支持字符串匹配、正则表达式匹配、分组选择方式匹配。 选择字符串，可填多值，多个值间以逗号“,”分隔。 客户端 客户端主机名 支持字符串匹配、正则表达式匹配、分组选择方式匹配。选择字符串，可填多值，多个值间以逗号“,”分隔。 客户端 密码桥账号 支持下拉框选择，需要存在支持密码代填的运维人员。 若不支持密码代填的数据库配置该项后会导致规则匹配失效。 服务端 数据库账号 支持字符串匹配、正则表达式匹配、分组选择方式匹配。 选择字符串，可填多值，多个值间以逗号“,”分隔。 行为 敏感数据 可选择“数据级别”或“敏感数据类型” 行为 数据级别 指定什么敏感数据等级需要触发脱敏，可选级别一级、二级、三级、四级、五级，可单选或多选。 行为 敏感数据类型 指定什么敏感数据类型需要触发脱敏，可选内置类型或后续新增的类型，类型间为“或”的关系，可单选或多选。 行为 操作类型 指定什么操作类型需要触发脱敏，支持的操作类型有Select、Update、Merge、With、Replace、InsertIntoTableSelect、Create(Materialized) View、CreateTableAsSelect。 其它 生效时间 可自定义或者选择时间组。自定义时间可选择任意时间、每天、每周或每月。

本地客户端为Windowws系统 在Windows系统中，您可通过tracetcp进行端口可用性探测。tracetcp同样通过发送TCP数据包进行链路探测，以分析链路是否存在中间节点对目标端口做了阻断。 安装traceroute 1. 在WinPcap官网下载并安装WinPcap library。 2. 在tracetcp官网下载tracetcp。 3. 将下载的tracetcp解压。 4. 进入解压后的文件夹，把tracetcp.exe程序移动到：C:WindowsSystem32 目录下。 注意 如果程序不在系统目录，则需要手动修改系统环境变量，以确保指令可以直接调用。 使用方法 在Windows PowerShell或cmd命令行中输入tracetcp命令，常用tracetcp命令格式如下所示。 plaintext tracetcp : ：指目标服务器的IP地址或者域名。 ：指需要探测的目标端口。 关于更多tracetcp参数说明，您可以通过tracetcp ?命令查看帮助。 测试示例 tracetcp的示例命令和返回结果如下。 plaintext C:UsersAdministrator>tracetcp www.ctyun.cn:80 Tracing route to 171.XXX.XXX.8 on port 80 Over a maximum of 30 hops. 1 1 ms 1 ms 1 ms 192.168.XX.X [XiaoXXXX] 2 3 ms 2 ms 2 ms 192.168.X.X [192.168.X.X] 3 11 ms 6 ms 6 ms 100.XX.X.X 4 4 ms 218.XX.XXX.XXX [XXX.XXX.XX.218.broad.XX.XX.XXXXXXX.163data.com.cn] 5 4 ms 182.140.220.106 6 10 ms 7 ms 7 ms 61.XXX.X.XXX [XXX.X.XXX.61.broad.XX.XX.XXXXXXX.163data.com.cn] 7 9 ms 7 ms 7 ms 118.XXX.XX.XXX 8 Destination Reached in 8 ms. Connection established to 171.XXX.XXX.8 Trace Complete. 当相关端口在某一跳被阻断，则之后各跳均不会有返回数据，据此就可以判断出异常节点。您可以根据相应节点信息，查询IP归属运营商进行问题反馈。

IP黑白名单 支持添加始终拦截与始终放行的黑白名单IP/IP地址段，增强防御准确性。 地域访问控制 支持针对地理位置的黑名单封禁，可指定需要封禁的国家、地区，阻断该区域的来源IP的访问。 防敏感信息泄露 支持对网站返回的内容进行过滤（拦截、脱敏展示），过滤内容包括敏感信息、关键字和响应码。 网页防篡改 通过缓存页面和锁定访问请求，可避免页面被恶意篡改而带来的负面影响，对重点静态页面进行保护。 防护白名单 针对特定请求忽略某些攻击检测规则，也可用于处理误报事件。支持全局防护白名单、域名级防护白名单。 Cookie防篡改 通过对Cookie中的字段增加完整性校验保护，WAF会新增一个Cookie字段用于篡改校验。 隐私屏蔽 通过设置隐私屏蔽规则，可屏蔽用户隐私信息，避免用户隐私信息出现在系统记录的日志中。 攻击惩罚 当配置BOT防护规则、精准访问控制规则时，可启用攻击惩罚。当WAF检测到访问者的IP、Cookie或请求参数中有恶意请求时，WAF将按配置的攻击惩罚时长来自动封禁访问者。 告警通知 支持基于攻击防护事件设置告警通知策略，通过对选定攻击类型范围的事件设置告警阈值，当大于阈值时发送通知给用户群组。

本文主要介绍如何更改辅助弹性网卡所属安全组。 操作场景 辅助弹性网卡创建完成后，您可以更改其所属的安全组。 更改辅助弹性网卡所属的安全组有两种方法： 在辅助弹性网卡列表中进行更改。 进入辅助弹性网卡详情页进行更改。 操作步骤 在辅助弹性网卡列表中，更改所属安全组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在“弹性网卡”页面，选择“辅助弹性网卡”页签。 5. 在辅助弹性网卡列表中，单击操作列的“更改安全组”。 6. 在“更改安全组”页面勾选需要关联的安全组。 7. 单击“确定”，完成更改。 在辅助弹性网卡详情页，更改所属安全组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在“弹性网卡”页面，选择“辅助弹性网卡”页签。 5. 单击待修更改安全组的辅助弹性网卡的“私有IP地址”，进入辅助弹性网卡详情页。 6. 在“关联安全组”页签下，单击“更改安全组”。 7. 在“更改安全组”页面勾选需要关联的安全组。 8. 单击“确定”，完成更改。

本文向您介绍通过企业版VPN实现云上云下网络互通（双活模式）的操作步骤。 前提条件 云侧 请确认虚拟私有云VPC已经创建完成。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。 操作步骤 VPN服务支持静态路由模式、BGP路由模式和策略模式三种连接模式。本示例以静态路由模式进行配置讲解。 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 配置VPN网关： 1. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 2. 在“VPN网关”界面，单击“创建VPN网关”，并根据界面提示配置参数。 3. VPN网关参数说明如表11所示。 表VPN网关参数说明 参数 说明 取值参数 名称 VPN网关的名称。 vpngw001 网络类型 选择“公网”。 公网 关联模式 选择“虚拟私有云”。 关联ER场景时，请选择“企业路由器”。 虚拟私有云 企业路由器 仅关联场景为“企业路由器”时需要选择。 er001 虚拟私有云 选择用于分配互联子网的VPC。 关联场景为“企业路由器”时，该VPC可以对接ER，也可以不对接ER。 vpc001(192.168.0.0/16) 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 本端子网 仅关联场景为“虚拟私有云”时需要配置。 输入网段 输入需要和用户数据中心通信的子网，该子网可以在关联VPC内，也可以不在关联VPC内。 选择子网 选择关联VPC内的子网信息，用于和用户数据中心通信。 192.168.0.0/24，192.168.1.0/24 BGP ASN BGP自治系统编号。 64512 HA模式 选择“双活”。 双活 主EIP VPN网关和用户数据中心通信的公网IP1。 1.1.1.2 主EIP2 VPN网关和用户数据中心通信的公网IP2。 2.2.2.2 3. 配置对端网关： 1. 在左侧导航栏，单击“虚拟专用网络 > 企业版对端网关”。 2. 在“VPN对端网关”界面，单击“创建对端网关”，并根据界面提示配置参数。

本小节介绍Web应用防火墙计费类常见问题。 一个域名包支持多少个二级域名？ 一个域名包支持包含1个一级域名（www.baidu.com）以及这个一级域名下二级域名（如 abc.baidu.com）总计10个域名的防护。 如果超过10个，需要购买实例增加域名包数量以支持域名防护。 选择带宽是否需要和网站业务带宽匹配？ 是的，Web应用防火墙最低标准带宽为200Mbps，真实业务带不能高于这个标准，如高于标准200Mbps，则需要拓展带宽包。 Web应用防火墙是付费产品吗？ 天翼云Web应用防火墙作为天翼云安全业务的一个重要产品，作为付费的增值业务服务产品提供给天翼云客户，需要用户购买，收费的标准详见计费模式。 产品是否可以试用，周期为多长时间？ 支持试用，周期为三个月。 线上是否支持试用订购？ 不支持。 试用暂时只支持线下渠道，需联系客户经理进行试用。 我已经购买了Web应用防火墙产品，是否意味着已开启安全防护？ 不是。购买成功后还需要一系列的配置才能开启安全防护，例如配置上传、下发、测试验证等操作。

本小节介绍微隔离防火墙操作类常见问题。 Windows系统在安装客户端时，提示访问被拒绝 问题现象：如下图所示 解决方法：使用管理员权限运行CMD，并执行安装命令。 安装过程中无报错，但管理中心中未出现新安装的云主机？ 查看License是否已到期或可接入数量已用满。 自适应微隔离产品的管理控制台登录方式？ 自适应微隔离产品提供镜像模式，请访问基于此镜像启动云主机的IP地址，访问请忽略证书安全性要求，继续访问即可。 安装了Agent在云主机内，为什么在管理中心看不到新接入的工作负载？ 接入失败存在以下情况： 当接入的工作负载总数超过了授权允许的接入总数或者授权已经到期，将无法接入新的工作负载，请联系厂商获取新的授权。确认是否因为授权限制，可以登录到页面后在右上角的位置查看“系统管理”。 因为授权码无效或者客户端安装失败造成接入失败，可查看在客户端安装过程中的提示信息是否失败，也可以查看/opt/dynarose/log/nodeclient.Info文件是否有授权失败信息。 如何确定是否在云主机内安装自适应微隔离的Agent成功？

本节介绍如何接入数据并查看日志存储位置。 操作场景 态势感知（专业版）支持一键接入多种云产品的日志数据。接入后，可以统一管理日志信息，以及检索并分析所有收集到的日志。 说明 建议将态势感知（专业版）管理的资产以及资产的告警、基线检查结果、漏洞数据、日志数据接入同一个工作空间，便于统一运营，进行安全分析关联。 约束与限制 日志接入操作成功后，日志数据订阅预计在十分钟内生效。 态势感知（专业版）支持一键接入CFW日志数据，若接入的是新购买的CFW的日志数据，由于日志上报存在一定的延迟，如果您当天在态势感知（专业版）执行了接入CFW日志操作，则将会隔天才能在态势感知（专业版）中查看到上报的CFW日志数据。 接入云服务日志 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 云服务接入”，进入云服务日志接入页面。 5. 在云服务日志接入页面，配置日志接入。请根据当前region已开通云服务按需进行接入。 6. 一键接入多个云服务产品的日志 ，在云服务日志接入页面，单击“一键接入”按钮，右侧弹出“一键接入”配置页面。在一键接入配置页面，下拉选择数据源区域，下拉勾选需要接入的云服务日志。配置完成后，单击右下角“确定”，完成设置。 7. 云服务日志接入也支持设置单个云产品的日志接入。在云服务接入管理页面，单击云服务产品所在行操作列的“设置”，右侧弹出日志接入设置配置页面。 8. 在设置页面，根据需要配置接入开关。 参数名称 参数说明 日志类型 日志的类型。 日志接入 设置日志接入开关。按钮打开表示日志接入态势感知（专业版）。 自动转告警 在“自动转告警”列，单击，开启后，当接入的云服务日志满足告警触发条件时，自动转为告警，并且在“告警管理”页面中进行展示。 生命周期 日志接入后的存储时长。 日志状态 日志接入的状态。 已接入：日志已接入且执行成功。 未接入：日志未接入。 接入失败：日志接入且执行失败。 最近活跃时间 最近日志接入时间，即活跃时间。 操作 单击“编辑”，可设置该日志类型的生命周期，单位天。生命周期指的是日志接入后的存储时长。 9. 云服务日志接入配置完成后，在“日志审计> 云服务接入”页面可查看云服务产品的日志接入状态。 说明 操作成功后，日志数据订阅预计在十分钟内生效。接入完成后，将创建默认数据空间和管道。

本页主要介绍如何通过云监控服务查看DRDS实例监控数据以及创建告警规则。 注意 仅华北2、西安7资源池支持该功能。 使用场景 您可以通过云监控服务查看实例的相关监控指标，并可以设置相关指标的告警规则，以及告警联系人。更多云监控信息，请参考云监控服务。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 ，然后在搜索框中输入并选择云监控服务 ，进入云监控服务产品页面。然后单击管理控制台 ，进入云监控服务控制台。 2. 在左侧导航栏，选择云服务监控，进入云服务监控页面。 3. 在数据库 区域，单击分布式关系数据库。 4. 查看当前用户目标资源池下的DRDS实例监控信息。 5. 单击查看监控图表，可以查看到目标实例相关监控指标。支持自定义查看时间段。 6. 单击创建告警规则，可以对目标实例的告警规则进行编辑，配置相关告警通知以及告警策略。

本节介绍网页防篡改服务协议。 自2021年11月11日起，新版天翼云网页防篡改服务协议生效。详情请参见天翼云网页防篡改服务协议。 历史版本请参见天翼云网页防篡改服务协议 历史版本（20195）。

本文主要介绍天翼云函数工作流服务协议。 天翼云函数工作流服务协议详情请参见这里

本文为您介绍创建告警规则的操作场景、前提条件和操作步骤。 操作场景 云监控支持灵活的创建告警规则。您既可以根据实际需要对某个特定的监控指标设置自定义告警规则，同时也能够使用告警模板为多个资源或者云服务批量创建告警规则。 在您使用告警模板创建告警规则之前，云监控已经根据各个云服务的应用属性，为各个云服务量身定做了默认使用的告警模板，供您选择使用。同时云监控为用户提供了自定义创建告警模板的功能，您可以选择在默认模板推荐的监控指标上进行修改，或自定义添加告警指标完成自定义告警模板的添加。 注意 系统事件不支持告警规则配置，仅支持事件通知，入口：云监控服务>系统事件>事件订阅。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则列表页面。 5. 在“告警规则”列表界面，单击“创建告警规则”按钮。 6. 在“创建告警规则”页面，根据界面提示配置参数。 7. 配置参数如下： 模块 参数 参数说明 配置示例 备注 选择监控对象 规则类型 选择规则的类型，指标监控（包括站点监控）。 指标监控 自定义监控、自定义事件目前仅支持部分资源池 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云主机 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 云主机 选择监控对象 监控对象类型 具体实例/资源分组 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 定义告警策略 选择类型 自定义创建/从模板导入。 自定义创建 定义告警策略 策略 满足全部/任一策略，检查频率为设定值，其中策略信息包括：指标、数据类型（原始值、最大值、最小值、平均值）、判断条件（>、≥、 0%,连续1个检测周期，检测频率为60s 同一告警规则下，告警条件最多支持添加20条 配置告警通知 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 是 配置告警通知 告警联系组 配置发生告警通知的用户组。 配置告警通知 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 出现告警 配置告警通知 通知方式 配置告警通知的通知方式，支持邮箱及短信。 邮箱 配置告警通知 重复告警 指告警发生后如果未恢复正常，将重复发送告警通知次数。 不重复 配置告警通知 通知周期 配置告警通知的周期时间。 星期天、星期一、星期二、星期三、星期四、星期五、星期六 配置告警通知 通知时段 配置告警通知的时间段。 00:00:0023:59:59 配置告警通知 告警回调 配置告警通知webhook地址。 规则信息 名称 该告警规则的自定义名称。 规则信息 企业项目 选择告警规则适用的企业项目。 规则信息 描述 添加对该告警规则描述（此参数非必填项）。 说明 告警规则添加完成后，当监控指标触发设定的阈值时，云监控会在第一时间通过邮件实时告知您云上资源异常，以免因此造成业务损失。 关于如何使用回调接口，请参见使用告警回调。 说明 针对监控无数据状态，可配置三种处理策略。 不做处理 逻辑说明：当监控指标在指定周期内没有产生数据时，云监控不会触发任何告警动作，也不会对该情况进行特殊标记或通知。相当于忽略无数据的情况，继续按照正常的告警逻辑，等待后续有数据时再进行判断 。 适用场景：适用于监控指标偶尔会因为业务特性、网络波动等原因出现短暂无数据，但这种无数据情况不会对业务运行产生实质性影响，且频繁发送无数据告警会干扰运维人员的场景。 视为告警 逻辑说明：一旦监控指标在设定的时间周期内没有接收到新的数据，如用户配置告警通知渠道，云监控就会按照预先配置的方式（如短信、邮件等）发送告警信息，提示相关人员当前指标出现无数据的情况。 适用场景：适用于对数据连续性要求较高的业务场景，即无数据本身就可能意味着业务出现异常或者数据采集链路出现故障的情况。 视为恢复 逻辑说明：当监控指标之前处于触发告警的状态，而在后续某个周期内出现无数据的情况时，云监控会将这种无数据状态视为告警已经恢复，自动将告警状态更新为恢复，并按照配置的通知方式发送告警恢复的通知。但如果指标从未触发过告警，单纯出现无数据，不会发送恢复通知 。 适用场景：适用于那些依赖数据来判断告警状态，且无数据可以被认为是问题已解决的场景。 注意 告警规则创建>定义告警策略模块，“检测频率”如需支持修改，请联系客户经理开放功能。 检测频率，即每次告警数据检测任务间隔的时间，默认为1分钟。如云资源监控数据频率为1min，调整告警规则检测频率为30s，则连续两个检测周期，查询获取的数据可能为同一数据点。

本文介绍在使用科研助手服务前的准备工作。 1. 创建天翼云账号 如果您还没有天翼云账号，请登录天翼云官网，点击右上角“免费注册”创建天翼云账号，并完成账号实名制认证。 2. 开通科研助手服务 在科研助手产品主页，点击立即开通按钮，进入业务开通页开通批量计算服务（预付费账户余额大等于100元进行开通)。

本文主要介绍函数计算的欠费说明。 当您天翼云账号的可用额度（费用中心总览）不足以抵扣待结算账单时，您的账号将会立即进入欠费状态；相关资源服务将被冻结，不可继续使用。您可以及时为业务续费或清理不再使用的函数资源，确保服务正常可用。 欠费通知 若您的账号发生欠费，系统会以邮件或短信的形式提醒您。请留意来自天翼云的提醒邮件、短信，避免影响业务正常使用。 欠费影响 当您的天翼云账号发生欠费，函数计算平台将会按照下列策略处理： 欠费时间未超过15天 将冻结您的函数计算服务，包括函数实例、触发器、请求等 按量实例继续执行完当前函数后将不再处理任何新请求 预留实例会在请求执行结束后被销毁 定时触发器将不再被触发 当欠费超过15天 函数计算将进行停机，所有函数均不再执行任何请求或任务 平台会保留您的函数代码与配置，如您需再次使用函数计算，请进行续费 欠费恢复 请在收到欠费通知后，登录天翼云官网费用中心进行充值；稍后函数计算资源实例将自动解冻，为您恢复服务。

本小节介绍DDoS高防IP联系人管理。 在左侧菜单选择“个人中心”，可查看现有联系人。点击“新增”，可新增联系人。

本节为您介绍如何跨账号授权。 操作场景 天翼云SDWAN支持跨账号授权，向对方账号授权智能网关实例资源后，对方账号SDWAN网络中可添加您的智能网关，需要谨慎操作，一个智能网关只能授权给一个用户。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成SDWAN实例、智能网关实例的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“跨账号授权”，单击“已授权网络实例”页签，单击“授权”按钮。 5. 在“授权网络实例”的弹框中，根据提示配置参数，具体参数配置如下： 参数 说明 智能网关 请选择当前账号下的智能网关。 对方账号ID 请输入需要授权的对方账号ID。 对方SDWAN 实例ID 请输入需要授权的对方SDWAN实例ID。 描述 添加描述，可选。 6. 单击“确认”按钮。 7. 单击“被授权网络实例”页签，可以查看授权SDWAN的名称、被授权网络资源、授权资源账号等内容。

本章节介绍分布式缓存服务Redis版使用同一VPC内弹性云主机ECS上的RedisCli连接Redis实例的方法。 更多的客户端的使用方法，请参考 说明 Redis3.0不支持定义端口，端口固定为6379，Redis4.0及以上版本实例支持定义端口，如果不自定义端口，则使用默认端口6379。本文操作步骤涉及实例端口时，统一以默认端口6379为例，如果已自定义端口，请根据实际情况替换。 在使用rediscli连接Cluster集群时，请注意连接命令是否已加上c。在连接Cluster集群节点时务必正确使用连接命令，否则会出现连接失败的问题。 Cluster集群连接命令： ./rediscli h {dcsinstanceaddress} p 6379 a {password} c 单机、主备、Proxy集群连接命令： ./rediscli h {dcsinstanceaddress} p 6379 a {password} 具体连接操作， 请查看操作步骤中的步骤3和步骤4。 前提条件 已成功申请Redis实例，且状态为“运行中”。 已创建弹性云主机，创建弹性云主机的方法，请参见《弹性云主机用户指南》 如果弹性云主机为Linux系统，该弹性云主机必须已经安装gcc编译环境。 操作步骤（Linux版） 步骤 1 查看并获取待连接Redis实例的IP地址和端口。 步骤 2 安装rediscli客户端。 以下步骤以客户端安装在Linux系统上为例进行描述。 1. 登录弹性云主机。 2. 执行以下命令，获取Redis客户端源码，下载路径为 wget 说明 此处以安装redis5.0.8版本为例，您也可以安装其他版本。具体操作，请参见

本章节主要介绍创建MySQL连接器。 MySQL连接适用于第三方云MySQL服务，以及用户在本地数据中心或ECS上自建的MySQL。本教程为您介绍如何创建MySQL连接器。 前提条件 已获取连接MySQL数据库的IP地址、端口、数据库名称、用户名、密码，且该用户拥有MySQL数据库的读写权限。 本地MySQL数据库可通过公网访问。如果MySQL服务器是在本地数据中心或第三方云上，需要确保MySQL可以通过公网IP访问，或者是已经建立好了企业内部数据中心到云服务平台的VPN通道或专线。 已创建CDM集群。 新建MySQL连接器 1.进入CDM主界面，单击左侧导航上的“集群管理”，选择CDM集群后的“作业管理 >连接管理 > 驱动管理”，进入驱动管理页面。 详见下图：上传驱动 2.单击“驱动管理”页面左上角“驱动下载地址”链接下载MySQL的驱动，详情请参见管理驱动章节中的“如何获取驱动”。 3.在“驱动管理”页面中，选择以下方式上传MySQL驱动。 方式一：单击对应驱动名称右侧操作列的“上传”，选择本地已下载的驱动。 方式二：单击对应驱动名称右侧操作列的“从sftp复制”，配置sftp连接器名称和驱动文件路径。 4.在“集群管理”界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面，如下图所示。 选择连接器类型 5.连接器类型选择“MySQL”后单击“下一步”，配置MySQL连接的参数，参数如下表所示。 详见下图：创建MySQL连接 MySQL连接参数 参数名 说明 取值样例 名称 输入便于记忆和区分的连接名称。 mysqllink 数据库服务器 MySQL数据库的IP地址或域名。 192.168.1.110 端口 MySQL数据库的端口。 3306 数据库名称 MySQL数据库的名称。 sqoop 用户名 拥有MySQL数据库的读、写和删除权限的用户。 admin 密码 用户的密码。 使用本地API 使用数据库本地API加速（系统会尝试启用MySQL数据库的localinfile系统变量）。 是 使用Agent 是否选择通过Agent从源端提取数据。 是 localinfile字符集 mysql通过localinfile导入数据时，可配置编码格式。 utf8 驱动版本 适配mysql的驱动。 Agent 单击“选择”，选择连接Agent中已创建的Agent。 单次请求行数 指定每次请求获取的行数。 1000 单次提交行数 支持通过agent从源端提取数据 1000 连接属性 自定义连接属性。 useCompressiontrue 引用符号 连接引用表名或列名时的分隔符号。默认为空。 ' 单次写入行数 指定单次批量写入的行数，当写入行数累计到单次批量提交行数时提交一次，该值应当小于单次提交行数。 100 6.单击“保存”回到连接管理界面，完成MySQL连接器的配置。 说明 如果保存时出错，一般是由于MySQL数据库的安全设置问题，需要设置允许CDM集群的EIP访问MySQL数据库。

参数 参数说明 参数范围 默认值 min.insync.replicas 当producer将acks设置为“all”(或“1”)时，此配置指定必须确认写入才能被认为成功的副本的最小数量。 1 ~ 3 1 message.max.bytes 单条消息的最大长度（单位：字节）。 0 ~ 10485760 10485760 auto.create.groups.enable 是否开启自动创建消费组功能。 true/false true max.connections.per.ip 每个IP允许的最大连接数。超过此连接数的连接请求将被丢弃。 100 ~ 20000 1000 unclean.leader.election.enable 指示是否启用不在ISR集合中的副本选为领导者作为最后的手段，即使这样做可能导致数据丢失。 true/false true

阻断关系 点击功能菜单>查询搜索>阻断关系，进入此功能界面。 1.此功能用于查看本段和远端之间的阻断或者预阻断的详细信息，详细的阻断信息可以支持导出查看。 2.在阻断搜索界面中，本端和远端都是可以多项选择的。本端只能选择已安装客户端的工作负载，远端可选择工作负载或者IP，可以时非安装客户端的IP，下面可选择单向或者双向进行搜索。

权威情报数据 借助国内顶尖厂家共同分析的结果，快速构建威胁信誉库，将诸如僵尸木马活动、恶意代码传播、恶意攻击行为、恶意站点数据等网络安全事件及信誉数据同步至本系统，形成联动能力。 权威安全预警 定时同步国家应急响应中心（CNCERT）的漏洞预警、威胁情报、安全资讯数据，及时明晰最新安全信息。 攻击源警告 当系统检测到远端IP地址存在恶意入侵或者探测行为时，可以配置对应的IP进行告警，告警页面的内容可以自定义，当此IP再次连接Web服务时，对其推送告警界面，以做警示。 恶意网站警告 通过国家应急响应中心信誉库自动同步恶意网站数据，在用户访问恶意网站时，给予及时告警，协助用户识别Web威胁，同时运维管理员可自定义添加恶意网站。 安全态势大屏 支持4种态势大屏，包括全局态势大屏、资产态势大屏、脆弱性态势大屏、威胁态势大屏。

本小节主要介绍RDSPostgreSQL的dblink插件使用方法。 操作场景 RDSPostgreSQL支持 dblink插件，可用于跨库操作。 前提条件 请确保您的实例内核大版本满足，本插件所支持的内核版本，请参考支持的版本插件列表。 注意事项 请确保目标数据库的网络与您的数据库实例互通。 插件使用 安装插件 sql CREATE EXTENSION IF NOT EXISTS dblink; 卸载插件 sql DROP EXTENSION IF EXISTS dblink; 使用示例 sql SELECT dblinkconnect('hostaddr port dbname user password '); 注意能够访问的到实例数据库，网络要通。 IP：目标数据库的IP地址。 DBPORT：目标数据库实例的端口。 DBNAME：目标数据库名称。 USERNAME：目标数据库用户名称。 USERPWD：目标数据库用户密码。 常见问题 更多详情请参见dblink官网文档。

本页介绍RDSPostgreSQL的数据库审计设置功能。 应用场景 您可以通过RDSPostgreSQL的数据库审计功能查看SQL明细，定期审计SQL。 注意 开通审计功能后，实例性能有所损耗。 审计功能需要内核版本为12.20P2、13.16P2、14.13P2、15.8P2、16.4及其以上的版本。 审计功能需要安装插件pgaudit、pgauditlogtofile到默认数据库postgres下，插件安装参考 数据库审计默认保存时间为1天，最长保存3天。 数据库审计默认关闭。 开启数据审计后，会有510分钟的延迟才可以看到审计日志。 清理过期日志频率为1天一次。 查询开始时间和查询结束时间间隔不能大于30天。 若开通实例时选择的备份空间为对象存储，则支持将审计文件存储到对象存储上，保留时间为1180天；审计文件也支持下载（注意：审计文件存储的对象存储和备份数据的是同一个对象存储，若空间紧张，请减少审计文件的保留时间）。 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见 操作步骤 开启数据库审计 1. 登录天翼云官网。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在实例详情页，点击“审计设置“，在弹出的页面点击“开启”。 7. 根据需要设置“审计日志可查询时长”（指数据库审计中可查询的审计时长，默认1天，最大为3天）、“审计日志文件保留时长”（指可下载的审计文件保留时长，默认1天，最大180天）。 8. 点击“确定”即开启审计功能。