本文介绍了产品使用的相关问题。 DDoS高防（边缘云版）的回源IP地址有哪些？ DDoS高防（边缘云版）的回源IP是指流量经过天翼云节点转发到客户源站时，源站服务器看到的源IP。 部分用户因为网络规划等各方面原因，需要获取回源IP，如源站部署了防火墙或第三方的主机安全防护软件，需要将DDoS高防的回源IP网段添加至相应的白名单。 获取DDoS高防（边缘云版）的回源IP，请提交工单。 修改DDoS高防（边缘云版）的源站IP是否有延迟？ 有延迟。修改DDoS高防（边缘云版）的源站IP配置之后，域名会变成“配置中”状态。 配置下发通常在５分钟以内，配置下发成功后，域名会变回“已启用”状态。 如果域名长时间处于“配置中”，可提交工单进行咨询。 DDoS 高防 （边缘云版）域名支持 IPv6 协议吗？ 支持。您可以在DDoS高防（边缘云版）控制台【业务接入】【域名接入】列表中，对需要支持IPv6的域名开启IPv6开关，即可转发来自IPv6客户端的请求，也可支持IPv6协议的安全防护。 DDoS高防（边缘云版）支持的SSL协议有哪些? 支持的SSL协议包括: TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3。

发布日期 修订记录 20231218 第一次修订，新增云迁移、服务器迁移、数据库迁移、数据迁移模块。 2024415 第二次修订，调整各模块目录规范。 2025113 第三次修订，数据库迁移兼容性列表更新。

使用事件总线EventBridge前，您需在产品页开通该服务。本文介绍如何开通事件总线EventBridge。如果您的账号为子用户，必须让天翼云账号为子用户进行授权，才能通过控制台或API访问相应的事件总线EventBridge资源。 前提条件 注册天翼云账号。 步骤一：开通事件总线EventBridge并委托授权 1. 登录天翼云官网，选择产品 > 容器与中间件 > 应用集成 > 事件总线 EventBridge。 2. 在事件总线EventBridge产品页，单击开通。 3. 请仔细阅读事件总线 EventBridge（按量付费）服务协议，选中事件总线 EventBridge（按量付费）服务协议，然后单击立即开通。 4. 开通服务后，账号未委托相关必要权限给事件总线时，需要先进行委托权限，详见服务内联委托管理。 5. 委托成功后，进入事件总线EventBridge管理控制台进行操作。 步骤二：（子账号必选）为子账号授权 1. 使用天翼云账号登录IAM控制台。 2. 在左侧导航栏，选择用户组。 在用户组页面，单击目标子账号用户组授权列的添加权限，详见主子账号和IAM权限管理。 3. 选择权限策略。 权限策略包括系统策略和自定义策略两种，您可以根据需要选择对应的权限策略。 事件总线EventBridge提供以下系统策略，您可以根据权限范围为RAM用户授予相应权限。 权限策略名称 说明 EventBridge admin 管理员权限策略，拥有事件总线EventBridge所有资源的读写权限 EventBridge user 普通用户策略，拥有事件总线EventBridge除订单相关操作之外对其他资源拥有读写权限 EventBridge publisher 拥有事件总线EventBridge事件的发送权限。 EventBridge viewer 只读权限策略，拥有事件总线EventBridge所有资源的只读权限

本文教你如何停用域名。 背景说明 如果客户的网站因业务变更需要停止防火墙服务，客户可以通过控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”。3天内，天翼云边缘云会将加速域名的CNAME解析至客户源站地址；3天后，天翼云边缘云会将加速域名的CNAME解析至不可用地址。 注意：对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作 删除域名 对域名进行删除操作后，天翼云边缘节点会直接删除加速域名在边缘节点的配置，域名对应CNAME入口地边缘节点址失效，此时域名请求如果仍访问至，则会响应403。 注意事项 域名需先停用后才能进行删除操作，域名删除后将无法再启用。

如您选择使用OpenAPI接入： 1.天翼云注册账号。能力使用者于天翼云门户( 2.获取CTAPI信息。能力使用者阅读和选择所需产品，了解产品业务场景及需要的API和需要使用的Endpoint。 3.获取AK/SK信息。能力使用者登录云点播控制台，进入【开发配置】>【密钥管理】>【OpenAPI密钥】，点击【立即授权】，即可获取AK/SK，作为调用OpenAPI的凭证使用。

本章节介绍应用容灾多活的接入层配置。 概述 在应用分层架构中，接入层能够在不同应用节点间分配流量，实现故障转移（failover）和故障恢复（failback）。 应用容灾多活为每个站点配置网关集群实例，承接业务外部流量，实现流量识别、路由计算以及转发纠错。 前提条件 已开通接入层功能模块。 已完成系统架构配置以及路由规则配置。 已在每个站点所属资源池创建云原生网关（链接到云原生网关文档）实例。 已按规划打通网关实例与转发目的网络，具体操作可参考虚拟私有云VPC（链接到VPC文档）等网络产品套件。 绑定网关 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 在应用系统列表中找到需要配置的应用系统，单击应用系统名称 ，进入应用系统概览页面。 4. 单击左侧导航栏容灾配置 ，在容灾配置菜单下单击接入层配置 ，进入容灾配置接入层配置页面。 5. 在站点网关列表，单击所选站点操作列选择网关 按钮，弹出接入层网关选择页面。 6. 在接入层网关实例列表，单击所选网关实例操作列选择按钮，完成站点网关实例绑定。 7. 如需调整网关实例，单击所选站点操作列移除网关按钮，根据界面提示解绑后重新绑定即可。 注意 多活系统会将路由规则推送至绑定的网关实例，请勿将已绑定网关实例移作他用，以免产生路由冲突。

编辑标签 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择目标实例，单击实例名称，进入“基本信息”页面。 4. 在左侧导航树，单击“标签”。 5. 在“标签”页面，选择需要编辑的标签，单击“编辑”，在弹出框中修改标签值，单击“确定”。 编辑标签时，不能修改标签的键，只能修改标签的值。 6. 编辑成功后，您可在当前实例的所有关联的标签集合中，查询并管理自己的标签。 删除标签 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择目标实例，单击实例名称，进入“基本信息”页面。 4. 在左侧导航树，单击“标签”。 5. 在“标签”页面，选择需要删除的标签，单击“删除”，在弹出框中单击“是”。 6. 删除成功后，该标签将不再显示在实例的所有关联的标签集合中。 标签搜索 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，在搜索框中单击“标签”。 图1 选择标签 4. 勾选需要查询的标签，单击“确定”，可以查询到与该标签关联的实例信息。 图2 标签搜索

本章节主要介绍如何使用Linux gsql客户端连接集群。 用户在创建好数据仓库集群，开始使用集群数据库之前，需要使用数据库SQL客户端连接到数据库。DWS提供了与集群版本配套的Linux gsql命令行客户端工具，您可以使用Linux gsql客户端通过集群的公网地址或者内网地址访问集群。 它的运行环境是Linux操作系统，在使用Linux gsql客户端远程连接DWS集群之前，需要准备一个Linux主机用于安装和运行Linux gsql客户端。如果通过公网地址访问集群，也可以将Linux gsql客户端安装在用户自己的Linux主机上，但是该Linux主机必须具有公网地址。若DWS集群没有配置公网IP，为方便起见，推荐您创建一台Linux弹性云主机（简称ECS）。 （可选）准备ECS作为gsql客户端主机 创建弹性云主机的操作步骤，请参见《弹性云主机用户指南》中的“快速入门 > 创建弹性云主机”章节。 创建的弹性云主机需要满足如下要求： 弹性云主机需要与DWS 集群具有相同的区域、可用区。 如果使用DWS 提供的gsql命令行客户端连接DWS 集群，弹性云主机的镜像必须满足如下要求： 镜像的操作系统必须是gsql客户端所支持的下列Linux操作系统： −“Redhat x8664”客户端工具支持在以下系统中使用： RHEL 6.4~7.6 CentOS 6.4~7.4 EulerOS 2.3 −“SUSE x8664”客户端工具支持在以下系统中使用： SLES 11.1~11.4 SLES 12.0~12.3 如果客户端通过内网地址访问集群，请确保创建的弹性云主机与DWS 集群在同一虚拟私有云里。 虚拟私有云相关操作请参见《虚拟私有云用户指南》中“虚拟私有云和子网”。 如果客户端通过公网地址访问集群，请确保创建的弹性云主机和DWS 集群都要有弹性IP。 创建弹性云主机时，参数“弹性IP”需设置为“自动分配”或“使用已有”。 弹性云主机对应的安全组规则需要确保能与DWS 集群提供服务的端口网络互通。 安全组相关操作请参见《虚拟私有云用户指南》中“安全组”章节。 请确认弹性云主机的安全组中存在符合如下要求的规则，如果不存在，请在弹性云主机的安全组中添加相应的规则： −方向：出方向 −协议：必须包含TCP，例如TCP、全部。 −端口：需要包含DWS 集群提供服务的数据库端口，例如，设置为“165535”或者具体的DWS 数据库端口。 −目的地址：设置的IP地址需要包含所要连接的DWS集群的地址，例如，设置为“0.0.0.0/0”或者具体的DWS 集群的连接地址。 DWS 集群的安全组规则需要确保DWS 能接受来自客户端的网络访问。 请确认DWS 集群的安全组中存在符合如下要求的规则，如果不存在，请在DWS 集群的安全组中添加相应的规则。 −方向：入方向 −协议：必须包含TCP，例如TCP、全部。 −端口：设置为DWS 集群提供服务的数据库端口，例如“8000”。 −源地址：设置的IP地址需要包含DWS 客户端主机的IP地址，例如“192.168.0.10/32”。

随着互联网用户数量的高速增长，一个网站应用部署在一个服务器上很难经得起高并发的访问，业务拆分到多个服务器分担压力是最基本的方案。 多个服务器可以建立在同一个VPC内，云主机之间通过私网IP实现互访，私网IP会写入云主机的内部调用API接口中。此时，存在这样的问题：假如其中一个云主机发生切换，私网IP也会随之变化，这时就需要修改其他云主机代码中的API接口，并重新发布变更，维护极其不便。 这时，如果您通过内网DNS为您VPC内的每个云主机创建一个内网域名，并添加到对应私网IP的解析。这样，云主机之间可以通过内网域名进行互访。当某个云主机发生切换时，无需修改云主机的代码，只需修改对应域名的解析记录即可。 内网DNS的典型应用场景如下图所示。 图为云主机配置内网域名 在一个VPC内，部署了ECS和RDS。其中： ECS：作为主业务站点和业务入口。 ECS1：作为公共接口。 RDS1：作为数据库，存储业务数据。 ECS2和RDS2：作为备份服务器和数据库。 当该网站在运行过程中，因ECS1故障，需要将业务切换到备份的云主机ECS2时，若云主机没有配置内网域名，则需要通过修改主业务节点ECS的代码来重新设置云主机的内网IP地址。该操作需要中断业务并重新发布网站，耗时耗力。 假如在部署该网站时，我们为云主机申请了内网域名，且代码中设置的是云主机的内网域名，则仅需要通过修改内网域名解析记录即可实现云主机的切换，无需中断业务，也不需要重新发布网站。

本文介绍全站加速能否防止加速域名遭受网络攻击。 天翼云全站加速是面向公共的内容加速服务，不承担防止网络攻击的义务。当前仅具备基础的访问控制等防护能力，包括：Referer防盗链、IP黑/白名单、URL鉴权、UA黑/白名单、URI黑/白名单、全网带宽控制、有序回源等，不具备高阶的安全防护能力，无法防护所有的攻击行为。 如果您的加速域名有被攻击风险或正在遭受攻击，建议购买天翼云的边缘安全加速平台产品保证域名的正常使用。详情请见：高额账单风险说明。 对于多次被攻击，或者违反产品限制导致被攻击的域名，天翼云全站加速保留不再对该域名进行加速服务的权利。 违反产品限制接入的域名，若您的域名遭受攻击，您需要自行承担因攻击而产生的全额费用。

本章主要介绍翼MapReduce的修改LDAP管理员和LDAP用户密码（含OMS LDAP）功能。 操作场景 建议管理员定期修改集群的LDAP管理员用户“cnroot,dchadoop,dccom”和LDAP用户“cnpgsearchdn,ouUsers,dchadoop,dccom”的密码，以提升系统运维安全性。 修改上述用户密码将同步修改OMS LDAP管理员或用户密码。 说明 旧版本集群升级到新版本后，LDAP管理员密码将继承旧集群的密码策略，为保证系统安全，建议集群升级后及时修改密码。 对系统的影响 修改LdapServer服务的用户密码为高危操作，需要重启KrbServer和LdapServer服务。重启KrbServer可能会导致集群中的节点短时间内出现执行id命令查询不到用户的现象，请谨慎执行。 修改LDAP用户“cnpgsearchdn,ouUsers,dchadoop,dccom”的密码后，可能会导致该用户在组件LDAP上被锁定。因此，建议修改密码后对该用户进行解锁，解锁方法请参见解锁LDAP用户和管理帐户章节。 前提条件 修改LDAP用户“cnpgsearchdn,ouUsers,dchadoop,dccom”的密码前需先确认该用户没有被锁定，在集群主管理节点上执行如下命令： 说明 oldap端口查询方法： 1. 登录FusionInsight Manager，选择“系统 > OMS > oldap > 修改配置”； 2. “Ldap服务监听端口”参数值即为oldap端口。 ldapsearch H ldaps://OMS浮动地址:OLdap端口LLL x D cnpgsearchdn,ouUsers,dchadoop,dccom W b cnpgsearchdn,ouUsers,dchadoop,dccom e ppolicy 输入LDAP用户pgsearchdn的密码，出现如下提示表示该用户被锁定，则需要解锁用户，具体请参见解锁LDAP用户和管理帐户章节。 说明 LDAP用户pgsearchdn的密码为系统随机生成，具体可在主节点的“/etc/sssd/sssd.conf”或“/etc/ldap.conf”文件中获取。 ldapbind: Invalid credentials (49); Account locked

本文帮助您了解通过对象存储控制台下载文件的操作步骤。 操作场景 您可以通过ZOS控制台将存储在ZOS中的文件下载到本地。 约束与限制 基于安全合规要求，自2025年5月16日起，ZOS将禁止通过Bucket外网域名访问后缀为.apk或者.ipa的文件，同时仍然支持通过自定义域名访问后缀为.apk或者.ipa的文件。 标准型和低频型文件的下载 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称进入“概览”页面。 5. 点击“文件管理”页面，选中要下载的文件，点击“下载”按钮。 6. 点击“确定”，完成文件下载。 归档型文件的下载 使用须知 下载归档型文件需先解冻文件。 数据解冻会按解冻数据大小产生数据解冻费用，且数据解冻后，会产生一个指定时长的标准存储对象副本，在解冻的有效期内，会同时收取该对象在标准存储和归档存储中的存储费用，有效期到期后副本自动删除。 解冻文件的有效期最少为1天，最多为31天。 针对存储桶开启归档直读后，可以直接下载桶内归档数据，而无需先对其解冻。详情可参考归档直读文件章节。

参数 参数说明 云存储类型 云硬盘：云硬盘的使用方式与传统服务器硬盘完全一致。同时，云硬盘具有更高的数据可靠性，更高的I/O吞吐能力和更加简单易用等特点，适用于文件系统、数据库或者其他需要块存储设备的系统软件或工作负载。 注意 如需挂载云硬盘，创建工作负载时的实例数量必须选择为1个实例，即单实例，选择多实例后挂载云硬盘的选项将置灰，无法挂载。 创建有状态工作负载并添加云存储时，云硬盘暂不支持使用已有存储。 云硬盘不支持跨可用区挂载，且暂时不支持被多个工作负载、同一个工作负载的多个实例或多个任务使用。 分配方式 使用已有存储 选择已创建的存储，您需要提前创建好存储。 针对同一集群和命名空间，创建无状态工作负载时可以选择“使用已有存储”。 创建有状态工作负载时暂不支持选择“使用已有存储”，只能使用“自动分配存储”。 自动分配存储 选择自动分配存储后，需要配置如下选项： 1. 访问模式：是用来对PV进行访问模式的设置，用于描述用户应用对存储资源的访问权限。 ReadWriteOnce (RWO)： 基于云硬盘非共享卷提供容器负载单Pod单独单写块存储的功能，但是该卷只能被单个节点挂载。v1.13.10r1开始支持RWO模式的存储卷。 ReadWriteMany (RWX)： 基于云硬盘共享卷提供容器负载访问块存储的功能。由于容器侧不支持跨节点的共享卷读写一致性能力，在老集群（<1.15.6）下受限使用（需要确保单负载单实例单独单写），1.15开始只支持创建和使用RWO模式的非共享卷 2. 可用区：存储所在的可用区，自动分配存储仅支持Node节点所在可用区。 3. 子类型：选择存储的子类型。 高I/O：指由SAS存储介质构成的云硬盘。 普通I/O：指由SATA存储介质构成的云硬盘。 超高I/O：指由SSD存储介质构成的云硬盘。 4. 存储容量：输入存储容量，单位为GB。请不要超过存储容量配额，否则会创建失败。 添加容器挂载 1. 单击“添加容器挂载”。 2. 挂载路径：输入数据卷挂载到容器上的路径。 须知 请不要挂载在系统目录下，如“ / ”、“ /var/run” 等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 设置权限。 只读：只能读容器路径中的数据卷。 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失。

资费项 计费项 含义 适用的计费模式 云主机备份 云主机备份功能费 需要备份的云主机的磁盘空间：按照备份云主机的系统盘、数据盘空间总和进行收取。 按需计费 资源包 云主机备份 云主机备份存储费 备份数据所占用的存储空间费用：根据备份数据实际占用的存储空间收费。 按需计费 资源包

云防火墙和安全组、网络ACL的访问控制有什么区别？ 云防火墙、安全组、网络ACL都可以实现通过IP地址/IP地址组设置访问控制策略，为您的互联网边界和VPC边界、弹性云服务器、子网提供防护。 云防火墙和安全组、网络ACL的主要区别如下所示。 类别 云防火墙 安全组 网络ACL 定义 云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持AI提升智能防御能力满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的网络流量。 防护场景 互联网边界 VPC边界 SNAT场景 弹性云服务器 子网 功能特性 支持五元组（即源IP地址、目的IP地址、协议、源端口、目的端口）过滤。 支持通过地理位置、域名、域名组、黑/白名单过滤。 支持入侵防御系统（IPS）、病毒防御（AV）功能。 支持三元组（即协议、端口和对端地址）过滤。 支持五元组（即源IP地址、目的IP地址、协议、源端口、目的端口）过滤。

1. 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1.1 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 1.2 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“2.1.2 创建自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。弹性IP（EIP）相关的系统策略包含如下： vpc Admin：共享带宽服务的管理者权限，包含共享带宽所有控制权限（不含订单类权限）； vpc Viewer：共享带宽服务的观察者权限，包含共享带宽的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“创建自定义策略“。

本章节主要介绍如何访问DataArts Studio实例控制台。 前提条件 请参见创建DataArts Studio基础包，确认已创建DataArts Studio实例。 操作步骤 步骤 1 登录云控制台，在左上角的服务列表中选择“数据治理中心DataArts Studio”，进入DataArts Studio实例控制台。 如果当前区域下有多个DataArts Studio实例，则默认进入实例列表。请单击所需实例卡片上的“进入控制台”，进入DataArts Studio控制台首页。 如果当前区域下仅有一个DataArts Studio实例，则默认进入DataArts Studio控制台首页。 图1 控制台首页

本节介绍态势感知基本概念。 安全运营中心（Security Operations Center，SOC）一个集中式功能或团队，负责全天候检测端点、服务器、数据库、网络应用程序、网站和其他系统的所有活动，以实时发现潜在的威胁；对网络安全事件进行预防、分析和响应，以改进企业的网络安全态势。SOC还使用最新的威胁情报来掌握威胁组和基础结构的最新信息，并在攻击者利用系统或流程漏洞之前识别和处理这些漏洞，从而主动开展安全工作。大多数SOC每周7天全天候运行，跨多个国家/地区的大型企业/组织可能还依赖于全球安全运营中心（GSOC）来掌控全球安全威胁，并协调多个本地SOC之间的检测和响应。 SOC的功能 SOC团队承担以下职能来帮助防止、响应攻击并在遭到攻击后恢复。 资产和工具清单 为了消除覆盖范围中的盲点和缺口，SOC需要了解它保护的资产，并深入了解它用于保护企业/组织的工具。这意味着考虑到本地和多个云中的所有数据库、云服务、标识、应用程序和客户端。该团队还跟踪企业/组织中使用的所有安全解决方案，例如防火墙、反恶意软件、反勒索软件和监视软件。 减少攻击面 SOC的主要责任是减少企业/组织的攻击面。为此，SOC会维护包含所有工作负载和资产的清单、将安全修补程序应用于软件和防火墙、识别错误配置，并新资产联机时添加这些资产。团队成员还负责研究新出现的威胁并分析风险。 持续监视 SOC团队使用安全分析解决方案全天候监视整个环境 本地、云、应用程序、网络和设备，来发现异常或可疑行为；其中这些解决方案包括安全信息企业管理（SIEM）解决方案、安全编排、自动化和响应（SOAR）解决方案和扩展检测和响应（XDR）解决方案。这些工具会收集遥测数据、聚合数据，并在某些情况下自动进行事件响应。 威胁情报 SOC还使用数据分析、外部源和产品威胁报告来深入了解攻击者行为、基础结构和动机。这种情报提供了有关Internet上正在发生的情况的全局视图，并帮助团队了解威胁组是如何运作的。借助此信息，SOC可快速发现威胁，并加强企业/组织对新出现的风险的应对。 威胁检测 SOC团队使用SIEM和XDR解决方案生成的数据来识别威胁。这首先会从实际问题中筛选掉误报。然后，按严重性和对业务的潜在影响确定威胁的优先级。 日志管理 SOC还负责收集、维护和分析每个客户端、操作系统、虚拟机、本地应用和网络事件生成的日志数据。分析有助于建立正常活动的基线，并揭示可能指示恶意软件、勒索软件或病毒的异常。 事件响应 识别到网络攻击后，SOC会快速采取措施，在尽可能减少业务中断的情况下限制对企业/组织的损害。措施可能包括关闭或隔离受影响的客户端和应用程序、暂停被入侵的账户、移除遭到感染的文件，以及运行防病毒和反恶意软件。 发现和修正 在攻击之后，SOC负责将公司恢复到其原始状态。团队将擦除并重新连接磁盘、标识、电子邮件和客户端，重启应用程序，直接转换到备份系统，并恢复数据。 根本原因调查 为了防止类似的攻击再次发生，SOC进行了彻底的调查，来确定漏洞、效果不佳的安全流程和其他导致事件的教训。 安全性优化 SOC使用事件期间收集的任何情报来解决漏洞、改进流程和策略，并更新安全路线图。 合规性管理 SOC职责的一个关键部分是确保应用程序、安全工具和流程符合隐私法规，例如，《PCI DSS安全遵从包》、《ISO 27701安全遵从包》和《ISO 27001安全遵从包》等。团队定期审核系统来确保合规性，并确保在数据泄露后通知监管机构、执法人员和客户。

本节主要介绍创建委托（委托方操作） 通过创建委托，可以将资源共享给其他帐号，或委托更专业的人或团队来代为管理资源。被委托方使用自己的帐号登录后，切换到委托方帐号，即可管理委托方委托的资源，避免委托方共享自己的安全凭证（密码/密钥）给他人，确保帐号安全。 操作步骤 步骤 1 委托方使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击首页顶部控制台，在控制中心页面“管理与部署”分类中，单击“统一身份认证服务”。 步骤 3 在统一身份认证服务管理页面，单击左侧功能菜单“委托”。 步骤 4 在“委托”页面，单击“＋创建委托”。 步骤 5 在“创建委托”页面，输入“委托名称”，“委托类型”选择“普通帐号”，在“委托的帐号”中输入需要建立委托关系的其他帐号的帐号名。 说明 普通帐号：将资源共享给其他帐号或委托更专业的人或团队来代为管理帐号中的资源。委托的帐号只能是帐号，不能是IAM用户名。 云服务：授权指定云服务使用其他云服务。详情请参见“委托其他云服务管理资源” 步骤 6 设置“持续时间”及“描述”信息。 步骤 7 单击“下一步”，进入给委托授权页面。 步骤 8 勾选需要授予委托的权限，单击“下一步”，选择权限的作用范围。 说明 给委托授权即给其他帐号授权，给用户组授权即给帐号中的IAM用户授权，两者操作方法相同，仅可选择的权限个数不同，授权操作请参见“给用户组授权”。 为了保障您的帐号安全，委托将不能添加Security Administrator权限，建议您按照业务场景为委托授予最小权限。 步骤 9 单击“确定”，委托创建完成。 说明 委托方操作完成，将自己的帐号名称、创建的委托名称、委托ID以及委托的资源权限告知被委托方后，被委托方可以通过切换角色至委托方帐号中管理委托资源。

检查Kafka配置的直接内存大小 在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Kafka > 配置 > 全部配置 > Broker（角色） > 环境变量”。将“KAFKAHEAPOPTS”参数中配置的“Xmx”值参考如下说明调大。 说明 建议“KAFKAHEAPOPTS”参数中“Xmx”和“Xms”值保持一致。 建议根据“Kafka直接内存资源状况”调整“KAFKAHEAPOPTS”的值为“Kafka使用的直接内存大小”的两倍（可根据实际业务场景进行修改）。“Kafka直接内存资源状况”可在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Kafka > 实例”，选择上报告警实例主机名对应的角色。单击图表区域右上角的下拉菜单，选择“定制 > 进程 > Kafka直接内存资源状况”进行查看。 3. 保存配置，并重启Kafka服务。 4. 观察界面告警是否清除。 是，处理完毕。 否，执行步骤7。 收集故障信息 在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 5. 在“服务”中勾选待操作集群的“Kafka”。 6. 单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 7. 请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本文通过图文介绍如何停用域名和删除域名。 背景说明 如果您的网站因业务变更需要停止全站加速服务，可以通过客户控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 通过客户控制台对域名进行停用操作后，域名状态将变更为“已停止”，全站加速节点上的域名配置会被立即删除，系统数据库中会保留配置以便再次启用域名，但域名的CNAME将被立即解析至不可用地址。为避免您的业务中断，请务必在操作域名停用前将域名DNS解析至非天翼云的CNAME或您的源站地址。 删除域名 对域名进行删除操作后，天翼云会直接删除域名在全站加速节点和系统数据库中的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至全站加速节点，则会响应403。 注意 停用全站加速域名前，为了避免停用导致业务中断，您需要确保已将域名DNS解析记录由原来的天翼云CNAME调整为其他非天翼云的CNAME或您的源站地址。该调整完成后，您可以通过客户控制台数据分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 对域名进行停用操作后，全站加速节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。

本章节向您主要介绍VPN连接服务的主要优势。 高安全 采用专业设备，基于IKE和IPsec对传输数据加密，提供了电信级的高可靠性机制，从硬件、软件、链路三个层面保证VPN服务的稳定运行。 高可用 采用主备模式，正常情况下VPN网关和对端网关通过主连接进行通信；当主连接发生故障时，VPN连接会自动切换到备连接；故障恢复后，VPN连接会自动切回到主连接。 无缝扩展资源 将用户本地数据中心与云上VPC互联，业务快速扩展上云，实现混合云部署。 连通成本低 利用Internet构建IPsec加密通道，使用费用相对云专线服务更便宜。 即开即用 部署快速，实时生效，在用户数据中心的VPN设备进行简单配置即可完成对接。

本章节介绍印刷文字识别（OCR) 关于计量计费的常见问题与解答。 调用量在哪里查看？ 调用明细您可在控制台内查看，进入控制台选择【控制台能力列表】里面对应能力的条目，点击【使用详情】按钮即可查看。 查看路径：控制台—我的能力—使用详情。 查看步骤： 1. 在产品详情页，点击【管理控制台】，进入控制台。 2. 点击左侧【能力列表】，选择希望查看的原子能力。 3. 点击【使用详情】按钮即可查看已调用量、剩余可调用量、有效期。 用量的扣费顺序是？ 调用量的扣减顺序为：免费试用包付费资源包，购买资源包后，将按照资源包下单顺序抵扣额度。 如果当前抵扣额度为付费资源包，而后又领取了免费试用包，则当前付费资源包使用完毕后优先抵扣免费试用包，然后按照资源包下单顺序抵扣。 在购买之前，可先领取免费试用包，待体验过后再自行购买。 服务调用时是否可保证一定的并发需求？ 公有云服务，线上用户资源共享，并发量会根据线上用户的调用情况动态调整。 如遇到突发高峰导致的并发量不够用的情况，您可以尝试以下三种解决方法： 通过重试机制，碰到并发错误可以延时一小段时间（如25s）重试请求。 后端检查上一请求结果，上一个请求返回后再发送下一次，避免请求过于频繁。 如果需要更大的常态性并发需求，请通过天翼云客服联系我们。

本节介绍云审计服务支持审计的自身服务操作列表,以及如何查看云审计自身服务操作事件。 云审计服务支持记录云审计自身服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务支持的自身服务操作列表 事件名称 读写类型 开通云审计 写类型 新建跟踪任务 写类型 修改跟踪任务 写类型 删除跟踪任务 写类型 保存授权凭据 写类型 查询事件列表 读类型 查询筛选事件的条件列表 读类型 查询跟踪任务列表 读类型 查询跟踪任务详情 读类型 查看云审计自身服务事件 1. 开通云审计服务。 参见开通云审计服务。 2. 在事件列表中，上方时间选择需要筛选的时间段，筛选条件选择事件来源为“管理与部署”，资源类型选择“云审计”，点击“查询”即可。 3. 在审计事件右侧点击“查看详情”，可以看到更详细的事件信息。

默认情况下云搜索服务安装了简繁体转换插件，用户无需自行安装。简繁体转换插件是一款可以使中文简体和中文繁体相互转换的插件。通过该插件的转换，用户可以使用中文繁体关键字搜索出包含对应中文简体的索引数据，也可以使用中文简体关键字搜索出包含对应中文繁体的索引数据。 简繁体转换插件通常可以当做analyzer、tokenizer、tokenfilter或charfilter来使用。 简繁体转换插件的转换类型包含如下两种： s2t：将中文简体转换为中文繁体。 t2s：将中文繁体转换为中文简体。 示例指导 1. 登录云搜索服务管理控制台。 2. 在左侧导航栏中，选择“集群管理”，进入集群列表页面。 3. 在集群列表中，单击需要使用的集群对应“操作”列的“Kibana”。 如果开启了安全模式，需要输入创建集群时设置的用户名和密码。 4. 在Kibana的左侧导航中选择“Dev Tools”，单击“Get to work”，进入Console界面。 5. 在Console界面，执行如下命令，创建索引“stconvert”，并指定自定义映射来定义数据类型。 7.x之前版本 PUT /stconvert { "settings": { "numberofshards": 1, "numberofreplicas": 0, "analysis": { "analyzer": { "tsik": { "tokenizer": "iksmart", "charfilter": [ "tsconvert", "stconvert" ] } }, "charfilter": { "tsconvert": { "type": "stconvert", "converttype": "t2s" }, "stconvert": { "type": "stconvert", "converttype": "s2t" } } } }, "mappings": { "type": { "properties": { "desc": { "type": "text", "analyzer": "tsik" } } } } } 7.x之后版本 PUT /stconvert { "settings": { "numberofshards": 1, "numberofreplicas": 0, "analysis": { "analyzer": { "tsik": { "tokenizer": "iksmart", "charfilter": [ "tsconvert", "stconvert" ] } }, "charfilter": { "tsconvert": { "type": "stconvert", "converttype": "t2s" }, "stconvert": { "type": "stconvert", "converttype": "s2t" } } } }, "mappings": { "properties": { "desc": { "type": "text", "analyzer": "tsik" } } } } 返回结果如下所示。 { "acknowledged" : true, "shardsacknowledged" : true, "index" : "stconvert" } 6. 在Console界面，执行如下命令，导入数据到“stconvert”索引中。 7.x之前版本 POST /stconvert/type/1 { "desc": "國際電視臺" } 7.x之后版本 POST /stconvert/doc/1 { "desc": "國際電視臺" } 当返回结果信息中“failed”字段的值为“0”时，表示数据导入成功。 7. 在Console界面，执行如下命令，搜索关键字“国际”，并查看搜索结果。 GET /stconvert/search { "query": { "match": { "desc": "国际" } } } 搜索结果如下所示。 { "took" : 15, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : 1, "maxscore" : 0.5753642, "hits" : [ { "index" : "stconvert", "type" : "type", "id" : "1", "score" : 0.5753642, "source" : { "desc" : "國際電視臺" } } ] } }

本章节会介绍如何通过弹性云主机通过内网连接数据库实例。 前提条件 提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 登录弹性云主机 通过弹性云主机连接关系型数据库实例，需要具备以下条件。 该弹性云主机与目标实例必须处于同一VPC、子网内。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为默认安全组， 则无需设置安全组规则。 如果目标实例所属安全组非默认安全组，请查看安全组规则是否允许该弹性云主机访问。具体操作请参考步骤二：设置安全组规则。 如果安全组规则允许弹性云主机访问，即可连接实例。 如果安全组规则不允许弹性云主机访问，则需添加安全组规则。该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 使用客户端连接实例 您可以在Linux操作系统和Windows操作系统中，使用数据库客户端连接RDS实例。 在Linux操作系统中，您需要在可访问关系型数据库的设备上安装MySQL客户端。建议您下载的MySQL客户端版本应该高于已创建的RDS实例中数据库版本。 在Windows操作系统中，您可以使用任何通用的数据库客户端连接到RDS实例且连接方法类似。 使用MySQLFront连接实例 步骤 1. 启动MySQLFront客户端。 步骤 2.在连接管理对话框中，单击“新建”。 图 连接管理 步骤 3 输入需要连接的关系型数据库实例信息，然后单击“确定”。 图 添加信息 表 参数说明 参数 说明 :: 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的内网地址。查看目标实例的内网地址及端口信息的步骤如下： 1. 登录关系型数据库服务的管理控制台。 2. 选择目标实例所在区域。 3. 单击目标实例名称，进入“基本信息”页面。 4. 在“连接信息”模块，可查看“内网地址”信息。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的账号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 步骤 4.在“连接管理”窗口，选中步骤3创建的连接，单击“打开”，如下图所示。若连接信息无误，即会成功连接实例。 图 打开登录信息

本节介绍了初始化Windows数据盘（Windows 2008）的相关内容。 操作场景 本文以云主机的操作系统为“Windows Server 2008 R2 Enterprise 64bit”为例，提供磁盘的初始化操作指导。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。具体操作请参见“初始化容量大于2TB的Windows数据盘（Windows 2008）”。关于磁盘分区形式的更多介绍，请参见“初始化数据盘场景及磁盘分区形式介绍”。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 弹性云主机请参见《弹性云主机用户指南》。 物理机服务器请参见《物理机用户指南》。 操作指导 1.在云主机桌面，选择“开始”，右键单击后在菜单列表中选择“计算机”，选择“管理”。 弹出“服务器管理”窗口。 2.在左侧导航树中，选择“存储 > 磁盘管理”。 进入“磁盘管理”页面。 若如图1，新挂载磁盘为“脱机”状态，请执行3。 若如图4，直接弹出“初始化磁盘”对话框，执行5。 图 磁盘管理 3.在右侧窗格中出现磁盘列表，在磁盘1区域，右键单击后在菜单列表中选择“联机”，进行联机。 图 联机 说明 若新增磁盘处于脱机状态，需要先联机然后进行初始化。 4.联机后，磁盘1由“脱机”状态变为“没有初始化”，右键单击在菜单列表中选择“初始化磁盘”。如下图所示。 图 初始化磁盘 5.在“初始化磁盘”对话框中显示需要初始化的磁盘，选中“MBR（主启动记录）”或者“GPT (GUID 分区表)”，单击“确定”，如下图所示。 图 未分配磁盘 注意 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，当前数据盘支持的最大容量为32 TB，如果您需要使用大于2 TB的磁盘容量，分区形式请采用GPT。 当磁盘已经投入使用后，此时切换磁盘分区形式时，磁盘上的原有数据将会清除，因此请在磁盘初始化时谨慎选择磁盘分区形式。 6.右键单击磁盘上未分配的区域，选择“新建简单卷”，如下图所示。 图 新建简单卷 7.弹出“新建简单卷向导”对话框，根据界面提示，单击“下一步”。 图 新建简单卷向导 8.根据需要指定卷大小，默认为最大值，单击“下一步”。 图 指定卷大小 9.分配驱动器号，单击“下一步”。 图 分配驱动器号和路径 10.勾选“按下列设置格式化这个卷”，并根据实际情况设置参数，格式化新分区，单击“下一步”完成分区创建。 图 格式化分区 图 完成分区创建 注意 不同文件系统支持的分区大小不同，请根据您的业务需求选择合适的文件系统。 11.单击“完成”完成向导。需要等待片刻让系统完成初始化操作，当卷状态为“状态良好”时，表示初始化磁盘成功，如下图所示。 图 初始化磁盘成功

首先确认云下一代防火墙所防护的业务是否正常，如果正常可以先排查一下云下一代防火墙管理EIP是否被解绑（解绑了会无法通过公网进行管理），是否调整了安全组限制了管理端口（安全组限制会导致公网机内网进行管理）。如果业务不正常，急需恢复业务，请将云主机的EIP从云下一代防火墙上解绑，绑至对应业务云主机上，让VPC南北向流量绕过云下一代防火墙，进行业务的恢复（如果此时业务云主机修改了网关为云下一代防火墙的地址，那么请修改VPC内所有业务云主机的网关为默认网关，网关还请参照虚拟私有云（VPC）内的子网信息）。 其次，天翼云控制台云主机列表找到云下一代防火墙主机，进行远程登录，看是否能打开正常运行，查看配置是否正常。 最后，如果依旧存在问题，请联系客服。

Where子句中的时间宏变量 以SQOOP.CDM20171016表为例，该表中存在表示时间的列DS，如下图“表数据”所示： 假设当前时间为“20171016”，要导出前一天的数据（即DS‘20171015’），则可以在创建作业时配置“Where子句”为 DS'${dateformat(yyyyMMdd,1,DAY)}' ，即可将符合DS‘20171015’条件的数据导出。 时间宏变量和定时任务配合完成增量同步 这里列举两个简单的使用场景： 数据库表中存在表示时间的列DS，类型为“varchar(30)”，插入的时间格式类似于“2017xxxx”。 定时任务中，重复周期为1天，每天的凌晨0点执行定时任务。配置“Where子句”为 DS'${dateformat(yyyyMMdd,1,DAY)}' ，这样就可以在每天的凌晨0点导出前一天产生的所有数据。 数据库表中存在表示时间的列time，类型为“Number”，插入的时间格式为时间戳。 定时任务中，重复周期为1天，每天的凌晨0点执行定时任务。配置“Where子句”为 time between {timestamp(1,DAY)} and {timestamp()} ，这样就可以在每天的凌晨0点导出前一天产生的所有数据。 其它的配置方式原理相同。

本节介绍智算安全专区服务等级协议，请点击查看。 天翼云智算安全专区服务等级协议

本节主要介绍开通云专线的操作步骤。 操作场景 用户本地数据中心的服务器需要通过公网NAT网关实现访问公网或为公网提供服务，需要先通过云专线接入虚拟私有云。 操作步骤 1. 登录控制台。 2. 在管理控制台左上角单击图标，选择区域和项目。 3. 在系统首页，单击“网络 > 云专线”。 4. 导航栏选择“云专线 > 物理专线 ”，在物理专线页面，创建物理专线。 5. 导航栏选择“云专线 > 虚拟网关 ”，在虚拟网关页面，创建虚拟网关，在“创建虚拟网关”对话框中，输入对应的参数，其中“VPC网段”建议设置为“0.0.0.0/0”。 6. 导航栏选择“云专线 > 虚拟接口 ”在控制台虚拟接口页面，创建虚拟接口，在“创建虚拟接口”对话框中，输入对应的参数。

本文为您介绍修改告警规则的操作场景、前提条件和操作步骤。 操作场景 当您业务发生变更或告警规则已经不能满足当前业务，您可以修改该告警规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成告警规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则详情页面。 5. 您可以选择以下两个路径进入告警规则修改页面。 6. 方式一：在“告警规则”界面，单击待修改告警规则所在行的“修改”按钮。 方式二：在“告警规则”界面，选择待修改告警规则名称，进入告警规则详情页面，单击右上角“修改”按钮。 7. 在弹出的“修改告警规则”对话框中修改告警规则配置参数，如下表所示。 参数 参数说明 取值样例 名称 系统会随机产生一个名称，用户也可以进行修改。 企业项目 规则所属企业项目。（不可修改） 描述 告警规则描述（此参数非必填项）。 服务 配置告警规则监控的服务名称。（不可修改） 维度 用于指定告警规则对应指标的维度名称。（不可修改） 监控对象ID 资源ID。（不可修改） 指标 例如：CPU使用率该指标用于统计测量对象的CPU使用率，以百分比为单位。 CPU使用率 阈值 由指标、数据类型（原始值、最大值、最小值、平均值）、判断条件（>、≥、<、≤、、环比上升、环比下降、环比变化）、值、单位、发生次数组成。用来配置告警条件。（指标不可修改） 发送通知 是否发送通知。 是 选择告警联系组 选择联系人员。 重复告警 告警发生后，如果监控项未恢复正常，之后间隔多久再次发送告警。 不重复 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 告警 通知周期 修改通知周期时间。 通知时段 修改通知周期时间段。 通知方式 修改通知方式。 告警回调 修改通知webhook地址。 8. 单击“确定”按钮，完成告警规则的修改。