专属云Kafka的产品服务与公有云Kafka的产品规格保持一致，由两种服务资源组成，队列规格、队列存储。 其中队列计算规格按消息队列基准带宽分为4种分别是：100MB/s、300MB/s、600MB/s、1200MB/s； 存储类型分2种，分别如下：高I/O、超高I/O。

本节主要介绍工具相关的问题。 能否实现将其他云上的数据迁移到OOS上？ 可以。可以使用迁移工具将其他云（阿里云OSS、腾讯云COS、华为云OBS、S3）上的数据迁移到OOS中，详见常用工具OOS数据迁移工具。 百度智能云里面的对象存储数据如何迁移到天翼云OOS服务中？ 目前天翼云没有工具提供从百度智能云直接迁移到OOS，但是可以先使用百度自身工具下载到本地硬盘，然后使用OOS数据迁移工具将本地数据上传至OOS。使用OOS数据工具将本地数据迁移到OOS的具体操作详见本地数据迁移到OOS。

本小节介绍安全专区威胁分析告警云。 告警云展示所有威胁目标IP，并统计威胁目标IP关联告警数量。告警数量越多，IP图形越大，凸显威胁情况越严重。 点击IP图形，自动把IP地址加如筛选条件。

事件样例 c { "eventId": "66523425", "eventName": "云主机远程登录", "eventTime": 1677547897000, "eventLevel": 0, "eventType": 1, "eventActType": 0, "srcRegion": "aaf589124d5d11eaa04d0242ac110002", "srcServiceType": "计算", "srcIp": "", "srcProdTypeName": "云主机", "srcProdName": "ecmff0d", "srcResId": "f7f718052ce2454b82a133de9b92fc01", "userId": "010cdad75c8e452a866b2cae6534c3d2", "accountId": "d581e41449ed428c8107ee3e35827e18", "reqId": "66523425", "reqData": "{"resourcename": "ecmff0d", "resourceuuid": "f7f718052ce2454b82a133de9b92fc01"}", "respData": "0", "apiVersion": "v1" }

本文帮助您快速熟悉删除安全组的操作场景和操作流程。 操作场景 当您的业务不需要部分安全组去控制云服务器网络流量时，您可以选择删除安全组。删除后，安全组及其规则将不再对云服务器生效。 约束与限制 系统会为每个用户默认创建一定的安全组，对于地域资源池来说，默认安全组不支持删除。可用区资源池支持删除默认安全组，实际情况以控制台展示为准。 当安全组正和其他云服务器存在绑定关系时，例如弹性云主机、物理机服务、弹性网卡等，安全组将无法删除。您需要先将安全组与绑定的服务器解除关联，之后再重新执行删除操作。 当安全组被其他安全组引用为“源地址”或者“目的地址”时，安全组将无法删除。您需要先解除目标安全组与引用安全组之间的关系，之后再重新执行删除操作。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要删除的安全组，支持批量删除和单次删除。 批量删除：选择需要删除的多条安全组，单击左上方的【删除】按钮，支持批量删除安全组。 单次删除：选择需要删除的单个安全组，单击目标安全组所在行操作列“更多>删除”，支持逐个删除安全组。 6. 确认待删除的安全组信息，单击“确定”按钮。

本节介绍云等保专区产品的Web应用防火墙配置类问题。 Web应用防火墙如何进行接入配置？ 1. 用户登录到云等保专区后，在左侧导航树选择“Web应用防火墙”，进入Web应用防火墙原子能力，进行绑定弹性IP操作。 根据弹出的弹性IP地址列表，选择将要绑定弹性IP。 2. 选择Web应用防火墙部署模式，更多信息请参考《云等保专区Web应用防火墙用户使用指南》全局配置，在菜单栏中选择“配置 > 全局配置”进入全局配置页面，编辑相关信息，点击“保存”。 3. 添加保护站点，详细操作可查看《云等保专区Web应用防火墙用户使用指南》配置保护站点操作细则。 4. 配置防护策略，详细操作可查看《云等保专区Web应用防火墙用户使用指南》规则组和自定义规则。 5. 完成基础配置后，可通过以下步骤验证是否配置成功。 1. 使用客户端浏览器访问被保护对象，如基础配置保护站点中添加的保护站点为 2. 在浏览器中输入以下URL模拟SQL注入攻击： 3. 在菜单栏选择“日志+应用防护日志”，查看系统是否记录到SQL注入攻击事件，如存在，点击事件名称检查告警详细信息中记录的主机名和客户端IP地址与测试中使用的保护站点和客户端IP地址是否一致。如一致，说明已经完成web应用防火墙那个接入配置。

本节介绍如何修改日志存储类型、存储时长，如何创建日志投递任务。 云防火墙（原生版）支持存储访问控制日志、入侵防御日志、流量日志、病毒防护日志、操作日志，日志存储容量默认为50G，日志存储时长默认为7天。 当默认的日志配置无法满足您的业务需求时： 您可以根据业务需求对日志存储类型、日志存储时长进行调整，具体操作请参见配置日志存储类型、修改日志存储时长。 对于需要长期存储的日志数据，您可以创建日志投递任务，将日志归档至对象存储服务中长期保存。 查看日志存储容量 日志存储容量默认为50G，存储容量达到上限后，将滚动清理超限日志，请定期关注日志存储容量的使用情况。 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 日志管理”，进入日志管理页面。 3. 在页面上方切换防火墙实例。 4. 在存储容量模块可查看存储容量、存储使用量。 配置日志存储类型 云防火墙（原生版）支持访问控制日志、入侵防御日志、流量日志、病毒防护日志、操作日志。 说明 操作日志必须勾选，其他类型的日志可以根据实际情况进行选择。 若去勾选某种类型的日志，云防火墙（原生版）不会删除已存储的日志，但不会再继续存储新的日志。 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 日志管理”，进入日志管理页面。 3. 在页面上方切换防火墙实例。 4. 在日志存储类型模块单击“点击修改”。 5. 在弹出的对话框中，选择日志存储类型。 6. 选择完成后，单击“确定”。

此小节介绍如何使用堡垒机对安全事故进行事后追溯。 随着业务上云并不断发展，云上运维的人数不断增加，这样必然会衍生出一些运维人员操作疏忽而导致的一些安全事故，但由于传统服务器缺少指令监控，操作回放等功能，这样就导致安全事件可追溯性不完善的问题。 云堡垒机可以管控所有的操作，并对所有的操作都进行详细记录。针对会话的审计日志，支持在线查看、在线播放和下载后离线播放。目前支持字符协议（SSH、TELNET）、图形协议（RDP、VNC）、文件传输协议（FTP、SFTP、SCP）、数据库协议（DB2、MySQL、Oracle、SQL Server）和应用发布的操作审计。其中，字符协议和数据库协议能够进行操作指令解析，还原操作指令；文件传输能够记录传输的文件名称和目标路径。 简介 本章节介绍了云堡垒机如何通过会话审计功能对安全事件进行追溯调查，完成安全事件的责任界定。 前提条件 已购买云堡垒机，并且使用有审计模块权限的账号登录云堡垒机 对历史会话进行审计 1. 登录控制台。进入“历史会话”页面，具体操作步骤详见查看历史会话。 2. 根据您业务出现安全问题的一些信息，在“高级搜索框”中输入相关信息进行检索。 3. 根据搜索完后的结果，在“操作”列单击“详情”，进入“会话详情”页面，对历史操作指令、文件传输情况进行排查。 根据上述步骤您就可以根据操作指令的情况，排查出是哪个步骤出现了问题，为您的事件追溯提供了便利性。当然您也可以使用会话回放功能，通过播放运维视频，来查看具体的操作情况。 云堡垒机还为您提供实时会话监控功能，让您可以实时查看高危操作的运维界面，若出现危险指令可立即切断运维人员的操作，确保业务的安全。

为什么数据表会丢失或数据被删除 RDS不会删除和操作用户的任何数据。出现这种情况，请检查是否为误操作，必要时可利用已有备份恢复文件。 检查误操作：如果已经，可通过审计日志查看数据执行记录。 已有备份恢复文件： 使用RDS实例的恢复功能。 将备份数据从弹性云主机导入关系型数据库。 如何将本地数据库备份恢复到云数据库RDS 可以使用DRS迁移功能。DRS迁移功能支持将本地数据库备份恢复到云上数据库。 RDS for PostgreSQL中是否支持恢复单表信息 RDS for PostgreSQL不支持表级恢复。 云数据库服务支持使用已有的自动备份和手动备份，将实例数据恢复到备份被创建时的状态。 备份文件是否支持转储至用户的OBS桶 备份文件不支持直接转储到用户自己创建的OBS桶。建议先通过本地下载备份文件。 RDS for MySQL是否支持表级备份到指定OBS RDS for MySQL暂不支持表级备份到指定OBS。 云数据库RDS支持全量备份和增量备份（Binlog备份），无论是全量备份还是增量备份，都存储在对象存储服务上。 RDS for MySQL的备份策略如何删除 云数据库RDS暂不支持删除备份策略。 备份策略开启后不可关闭，可通过控制台修改备份策略的备份周期和保留天数，可将备份周期修改为一天。

说明：本章节会介绍如何通过弹性云主机通过内网连接数据库实例 提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 前提条件 登录弹性云服务器。 通过弹性云服务器连接关系型数据库实例，需要具备以下条件。 该弹性云服务器与目标实例必须处于同一VPC、子网内。 该弹性云服务器必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为默认安全组， 则无需设置安全组规则。 如果目标实例所属安全组非默认安全组，请查看安全组规则是否允许该弹性云服务器访问。具体操作请参考步骤二：设置安全组规则。 如果安全组规则允许弹性云服务器访问，即可连接实例。 如果安全组规则不允许弹性云服务器访问，则需添加安全组规则。该弹性云服务器必须处于目标实例所属安全组允许访问的范围内。 使用客户端连接实例。 您可以在Linux操作系统和Windows操作系统中，使用数据库客户端连接RDS实例。 在Linux操作系统中，您需要在可访问关系型数据库的设备上安装MySQL客户端。建议您下载的MySQL客户端版本应该高于已创建的RDS实例中数据库版本。 在Windows操作系统中，您可以使用任何通用的数据库客户端连接到RDS实例且连接方法类似。 使用MySQLFront连接实例 步骤 1 启动MySQLFront客户端。 步骤 2 在连接管理对话框中，单击“新建”。 图1 连接管理 步骤 2 输入需要连接的关系型数据库实例信息，然后单击“确定”。 图2 添加信息 表1 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的内网地址。查看目标实例的内网地址及端口信息的步骤如下： 1. 登录关系型数据库服务的管理控制台。 2. 选择目标实例所在区域。 3. 单击目标实例名称，进入“基本信息”页面。 4. 在“连接信息”模块，可查看“内网地址”信息。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的账号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 步骤 3 在“连接管理”窗口，选中步骤3创建的连接，单击“打开”，如下图所示。若连接信息无误，即会成功连接实例。 图3 打开登录信息 SSL连接 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的，下载根证书或捆绑包。 步骤 5 将根证书导入弹性云服务器Linux操作系统。 关系型数据库服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 关系型数据库服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 步骤 6 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 表2 参数说明 参数 说明 内网地址。在目标实例的“基本信息”页面，“连接信息”模块的“内网地址”。 数据库端口，默认3306。在目标实例的“基本信息”页面，“连接信息”模块的“数据库端口”。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password:

本文介绍云备源的适用场景、注意事项和使用说明。 功能介绍 云备源服务可帮助客户实现定期将网站内容从主源自动同步至备源，如主源发生宕机，则全站加速可无缝切换至云备源，实现网站业务高可用。 适用场景 如源站需要割接或源站服务能力不稳定，希望CDN厂商提供一站式备源能力，保障网站服务高可用时，可使用云备源服务。 注意事项 如需使用云备源服务，需先开通媒体存储【即对象存储（融合版）】。 云备源为付费服务，公测期间暂不收费，收费时间另行通知。 云备源服务仅实现定期将网站内容从客户网站同步至备源，如需实现全站加速业务高可用，需同步在客户控制台将其配置为备源。 使用说明 该功能目前为公测期间，暂不支持控制台自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请说明如下信息： 参数 说明 示例 任务类型 触发云备源的任务类型，分为即时和定时两种： 1. 如为即时类型，请说明任务的具体开始时间。 2. 如为定时类型，请说明任务的开始时间和结束时间，以及任务间隔周期，间隔周期支持按周、日、小时、分、秒来进行设置。 1. 即时任务示例： 按如下时间开始： 开始时间：2023年11月28日17时00分00秒。 效果：该任务于2023年11月28日17时00分00秒开始执行文件同步，后续不再执行。 2. 定时任务示例： 按如下周期执行任务： 开始时间：2023年11月28日17时00分00秒。 结束时间：2025年11月28日17时00分00秒。 间隔周期：每日。 效果：该任务于2023年11月28日17时00分00秒开始执行同步，后续会在每天17时00分00秒自动同步新文件至备源。 备份入口地址 待备份内容的入口地址。 例如： 备份层级 备份地址的层级深度。 例如：3，表示从入口地址往下同步三层。 备份域名 待备份网站中需备份内容对应域名。 www.ctyun.cn，img1.ctyun.cn，img2.ctyun.cn，支持多个；默认为入口地址对应域名。 备份资源类型 待备份网站中的文件资源类型。 html、htm、jpeg，支持多个；默认为html、htm、shtml、js、css、jpg、jpeg、png、gif、svg、ico、ttf、woff2、asp、jsp、php、perl、cgi。如需备份无后缀名的文件，请单独说明。 备源地址 媒体存储【即对象存储（融合版）】完整域名，一般由bucket+endpoint组成。 test.jx6oss.ctyunxs.cn，其中test为bucket名称。 是否存在同名文件更新 若存在同名文件更新，请给出对应文件后缀或其他特征。 是，html文件后缀。 备份文件量级 指同步任务需要备份的文件量级大小。 20GB。 AK、SK 如备源的媒体存储【即对象存储（融合版）】桶是私有桶，则需同时提供AK、SK信息。 AK：abc123；SK：xxxxxxx。

参数项 说明 增量包类型 选择数据服务专享集群增量包。 工作空间 选择需要使用数据服务专享集群增量包的工作空间。例如需要在DataArts Studio实例的工作空间A中使用数据服务专享版，则此处工作空间应选择为A。集群创建成功后，即可通过在工作空间A查看到创建好的数据服务专享集群。 可用区 第一次创建DataArts Studio实例或批增量包时，可用区无要求。 再次创建DataArts Studio实例或增量包时，是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 集群名称 集群描述 可以自定义对当前数据服务专享版集群的描述。 版本 当前数据服务专享版的集群版本。 集群规格 不同实例规格，对API请求的并发支持能力不同。 公网入口 开启“公网入口”，即允许外部服务通过公网地址，调用专享版实例创建的API。 带宽大小 可配置公网带宽范围。 虚拟私有云 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 在相同虚拟私有云中的云服务资源（如ECS），可以使用数据服务专享版实例的私有地址调用API。 建议将专享版实例和您的其他关联业务配置一个相同的虚拟私有云，确保网络安全的同时，方便网络配置。 说明 目前DLM实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 建议将专享版实例和您的其他关联业务配置相同的虚拟私有云下相同的子网，确保网络安全的同时，方便网络配置。 说明 目前DLM实例创建完成后不支持切换子网，请谨慎选择所属子网。 安全组 安全组用于设置端口访问规则，定义哪些端口允许被外部访问，以及允许访问外部哪些地址与端口。 例如，后端服务部署在外部网络，则需要设置相应的安全组规则，允许访问后端服务的地址及其监听端口。 说明 1. 如果开启公网入口，安全组入方向需要放开80（HTTP）和443（HTTPS）端口的访问权限。 2. 目前DLM实例创建完成后不支持切换安全组，请谨慎选择所属安全组。 企业项目 DataArts Studio专享版集群关联的企业项目。企业项目管理是一种按企业项目管理云资源的方式，具体请参见

参数 是否必填 参数类型 说明 示例 下级对象 service 否 String 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“ ecs dimension 否 String 本参数表示告警维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“ ecs name 否 String 名称模糊搜索 template pageNo 否 Integer 页码，默认为1 1 pageSize 否 Integer 页大小，默认为10 10

本章主要介绍翼MapReduce的备份恢复简介。 概述 FusionInsight Manager提供对集群内的用户数据及系统数据的备份恢复能力，备份功能按组件提供。系统支持备份Manager的数据、组件元数据及业务数据。 备份功能支持将数据备份至本地磁盘（LocalDir）、本端HDFS（LocalHDFS）、远端HDFS（RemoteHDFS）、NAS（NFS/CIFS）、SFTP服务器（SFTP）、OBS，具体操作请参考备份数据。 对于支持多服务的组件，支持同服务多个实例的备份恢复功能且备份恢复操作与自身服务实例一致。 说明 MRS 3.1.0及之后版本才支持备份数据到OBS。 备份恢复任务的使用场景如下： 用于日常备份，确保系统及组件的数据安全。 当系统故障导致无法工作时，使用已备份的数据完成恢复操作。 当主集群完全故障，需要创建一个与主集群完全相同的镜像集群，可以使用已备份的数据完成恢复操作。 根据业务需要备份Manager配置数据 备份类型 备份内容 备份目录类型 OMS 默认备份集群管理系统中的数据库数据（不包含告警数据）以及配置数据。 l LocalDir l LocalHDFS l RemoteHDFS l NFS l CIFS l SFTP l OBS 根据业务需要备份组件元数据或其他数据 备份类型 备份内容 备份目录类型 DBService 备份DBService管理的组件（Loader、Hive、Spark、Oozie、Hue）的元数据。对于安装了多服务的集群，包含多个Hive和Spark服务实例的元数据。 l LocalDir l LocalHDFS l RemoteHDFS l NFS l CIFS l SFTP l OBS Kafka Kafka的元数据。 l LocalDir l LocalHDFS l RemoteHDFS l NFS l CIFS l OBS NameNode 备份HDFS元数据。添加多个NameService后，支持不同NameService的备份恢复功能且备份恢复操作与默认实例“hacluster”一致。 l LocalDir l RemoteHDFS l NFS l CIFS l SFTP l OBS Yarn 备份Yarn服务资源池相关信息。 l LocalDir l RemoteHDFS l NFS l CIFS l SFTP l OBS HBase HBase系统表的tableinfo文件和数据文件。 l LocalDir l RemoteHDFS l NFS l CIFS l SFTP l OBS 根据业务需要备份特定组件业务数据 备份类型 备份内容 备份目录类型 HBase 备份表级别的用户数据。对于安装了多服务的集群，支持多个HBase服务实例的备份恢复功能且备份恢复操作与HBase服务实例一致。 l RemoteHDFS l NFS l CIFS l SFTP HDFS 备份用户业务对应的目录或文件。 说明 加密目录不支持备份恢复。 l RemoteHDFS l NFS l CIFS l SFTP Hive 备份表级别的用户数据。对于安装了多服务的集群，支持多个Hive服务实例的备份恢复功能且备份恢复操作与Hive服务实例一致。 l RemoteHDFS l NFS l CIFS l SFTP 需要特别说明的是，部分组件不提供单独的数据备份与恢复功能： Kafka支持副本特性，在创建主题时可指定多个副本来备份数据。 Mapreduce和Yarn的数据存放在HDFS上，故其依赖HDFS提供备份与恢复即可。 ZooKeeper中存储的业务数据，其备份恢复能力由各上层组件按需独立实现。

本章主要介绍翼MapReduce的使用普通模式集群用户在非集群节点登录。 操作场景 集群安装为普通模式时，各组件客户端不支持安全认证且无法使用kinit命令，所以集群外的节点默认无法使用集群中的用户，可能导致在这些节点访问某个组件服务端时用户鉴权失败。 如果需要在集群外节点以组件用户身份访问集群资源，管理员需为集群外节点设置同名用户可通过SSH协议登录节点的功能，并以登录操作系统用户身份连接集群各组件服务端。 前提条件 集群外的节点需要与集群的业务平面是连通的。 集群的KrbServer服务运行状态正常。 获取集群外的节点root用户密码。 集群已规划并添加“人机”用户，并获取认证凭据文件。请参见创建用户和导出认证凭据文件。 操作步骤 1.以root用户登录到需要添加用户的节点。 2.执行以下命令： rpm qa grep pam和rpm qa grep krb5client 界面一共显示以下rpm包： pamkrb532bit2.3.147.12.1 pammodules32bit111.22.1 yast2pam2.17.30.5.211 pam32bit1.1.50.10.17 pammount32bit0.4713.16.1 pamconfig0.792.5.58 pamkrb52.3.147.12.1 pamdoc1.1.50.10.17 pammodules111.22.1 pammount0.4713.16.1 pamldap184147.20 pam1.1.50.10.17 krb5client1.6.3 3.检查操作系统实际是否已安装清单中的rpm包？ 是，执行5。 否，执行4。 4.从操作系统镜像中获取缺少的rpm包，并上传文件到当前目录，然后执行以下命令安装rpm包： rpm ivh .rpm 说明 安装的RPM包可能带来安全风险，请用户对操作系统进行加固时考虑安装这些RPM包所带来的风险。 安装完成后执行5。 5.执行以下命令，配置pam使用Kerberos认证。 pamconfig add krb5 说明 如果需要在非集群节点取消Kerberos认证与系统用户登录，以“root”用户执行pamconfig delete krb5命令。 6.解压认证凭据文件得到“krb5.conf”，并使用WinSCP将此配置文件上传到集群外节点的“/etc”目录，执行以下命令设置权限使其他用户可以访问，例如“604”： chmod 604 /etc/krb5.conf 7.以root用户继续在连接会话中执行以下命令为“人机”用户添加对应的操作系统用户，并指定用户主组为“root”。 此操作系统用户密码与在Manager创建“人机”用户时设置的初始密码相同。 useradd 用户名 m d /home/admintest g root s /bin/bash 例如，“人机”用户名为“admintest”，执行以下命令： useradd admintest m d /home/admintest g root s /bin/bash 说明 第一次使用新添加的操作系统用户通过SSH协议登录节点时，首次输入用户密码系统提示密码过期，第二次输入用户密码后系统提示修改密码。请输入一个同时满足节点操作系统及集群密码复杂度的新密码。

本文介绍AnyWhere集群。 天翼云CCE Anywhere集群是面向分布式云场景，提供的一种全新本地 Kubernetes 集群部署选项：构建在Kubernetes子项目Cluster API（CAPI）之上，通过申明式API和控制器模式,让您在自己管理的IDC基础设施或边缘设施中，创建、管理和升级基于天翼云CCE Distro发行版的Kubernetes集群；拥有与云上CCE发行版相同可靠性和安全性的同时，通过连接到云上注册集群，可获得标准化集群运维（含日志、监控、巡检、诊断、备份等）、丰富的插件扩展，以及智算套件、集群联邦等高阶扩展能力，实现轻量敏捷、云边一体的分布式容器云服务。 产品优势 公有云标准化交付，相同可靠性与安全性。 丰富扩展能力，将云上现代化操作实践和工具适配本地集群环境。 支持纯离线环境部署交付。 基于云原生开源标准构建。 应用场景 将本地应用从虚拟机迁移到现代化容器。 基于容器构建内部开发平台，以标准化团队资源使用。 将本地基础设施容器化后，与云上资源打通以实现极致弹性能力。 将本地基础设施容器化后，接入CCE One集群联邦以实现分布式智算能力。 施工指南

hm3弹性云主机的规格（停售） 规格名称 vCPU 内存（GB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 云盘基础IOPS（万次） 云盘基础带宽 （Gbit/s） hm3.large.8 2 16 5/1.5 50 2 1.2 1 hm3.xlarge.8 4 32 8/2.5 90 4 2 1.6 hm3.2xlarge.8 8 64 15/3 150 8 3 2.4 hm3.4xlarge.8 16 128 20/4 280 16 4.5 4 hm3.8xlarge.8 32 256 30/8 550 32 6.4 6 hm3.16xlarge.8 64 512 35/16 700 32 12.8 14.4 hm1弹性云主机的规格 注意 “央企北京1”提供的云主机规格的网络指标（最大带宽、基准带宽、最大收发包能力）与本文内容不一致，请以对应创建页面所展示的数值为准。 规格名称 vCPU 内存（GB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 hm1.large.8 2 16 3/0.8 30 1 hm1.xlarge.8 4 32 7/3 80 2 hm1.2xlarge.8 8 64 12/6 140 4 hm1.4xlarge.8 16 128 15/8 200 8 海光网络增强型 网络增强型云主机配套智能网卡，通过软硬结合的方式提高虚拟化性能，大幅提升实例的网络带宽能力和网络收发包能力。

Windows物理机挂载云硬盘后提示脱机，如何解决？ 问题描述 Windows物理机挂载云硬盘后，打开“控制面板”，选择其中的“系统和安全”，选择“管理工具”，双击“计算机管理”。在“计算机管理”页面选择“存储 > 磁盘管理”，查看挂载的云硬盘显示脱机状态。 解决方案 1. 登录Windows物理机操作系统。 2. 单击“开始”菜单，在“搜索程序和文件”中输入cmd并按“Enter”，打开命令提示符窗口。 3. 输入命令 diskpart 。 C:UsersAdministrator>diskpart 4. 输入命令san。 DISKPART>san SAN 策略： 全部联机 5. 输入命令san policyonlineall。 DISKPART>san policyonlineall DiskPart 已成功更改用于当前操作系统的SAN策略。 6. 输入命令list disk，将显示物理机所有磁盘信息。 DISKPART>list disk 磁盘 状态 大小 可用 Dyn Gpt 磁盘 0 联机 838 GB 0B 磁盘 1 脱机 838 GB 838 GB 磁盘 2 脱机 838 GB 838 GB 磁盘 3 脱机 838 GB 838 GB ... 7. 输入命令select disk num。其中，num表示磁盘号，执行命令时要替换为具体的磁盘号。 DISKPART> select disk 4 8. 输入命令attributes disk clear readonly。 DISKPART> attributes disk clear readonly 已成功清除磁盘属性。 9. 输入命令online disk。 DISKPART> online disk DiskPart 成功使所选磁盘联机。 10. 修改完成后即可进行格式化云硬盘。

本文帮助您快速熟悉虚拟私有云创建安全组的操作流程。 操作场景 安全组实际是网络流量访问策略，通过访问策略可以控制流量入方向规则和出方向规则，通过这些规则可以为加入安全组内的云服务器、云容器、云数据库等实例提供安全保护。安全组的访问策略由入方向规则和出方向规则共同组成。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏，选择“访问控制 > 安全组”。进入安全组列表页面。 4. 在安全组列表右上方，单击“创建安全组”。进入“创建安全组”页面。 5. 根据界面提示，设置安全组参数。 6. 安全组参数设置完成后，可以在创建页面下方查看模板的入方向和出方向规则，确认无误后，单击“确定”。 表 参数说明 参数 参数说明 取值样例 名称 必选参数。安全组的名称。安全组的名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格， 长度不能大于64个字符。 说明： 安全组名称创建后可以修改，建议不要重名。 sg318b 描述 可选参数。安全组的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“ ”。

本章节介绍如何使用云原生网关实现websocket流量代理 概述 WebSocket 协议允许客户端和服务器之间进行实时的双向数据传输，从而确保了连接的持久性和低延迟。可以在云原生网关中开启websocket支持，实现websocket流量代理。 前提 1. 已开通云原生网关实例； 2. 已部署后端websocket server服务 云原生网关中开启WebSocket支持 我们采用在MSE Nacos中注册后端websocket服务的方式进行服务部署，后端服务示例可部署demo应用（暴漏websocket应用路径为/ws/server）。在创建服务时打开“开启websocket支持”开关，则可对该服务进行websocket协议请求。 为该服务创建一条路由，匹配路径填写/即可。 结果验证 可通过postman软件发起到网关的websocket请求，请求协议前缀为ws://或wss://。当服务关闭websocket支持时，请求失败。 当服务开启websocket支持时，请求成功。 注意 后端服务开启/关闭websocket支持无法在已经被引用的多服务路由或标签路由上生效。

云防火墙（原生版）可按防火墙实例定期为您生成防护报表，本文主要为您介绍如何配置报表、查看及下载报表。 云防火墙（原生版）支持对互联网边界防火墙和VPC边界防火墙生成防护报表，包括日报、周报、月报，并支持订阅报表，订阅后系统会在报表生成后将报表发送至您的邮箱。 前提条件 已购买云防火墙（原生版）C100型实例。 已开启防护。 配置报表 报表配置全局生效，即对互联网边界防火墙和VPC边界防火墙实例均生效。 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 报表管理”，进入报表管理页面。 3. 在“报表管理”页面右上角，单击“报表配置”，进入报表配置页面。 配置如下参数： 参数名称 说明 报表生成 支持生成日报、周报、月报。根据需要进行开启，可多选。 日报：每天00:00:00生成前一日的报表。 周报：每周一00:00:00生成前一周的报表。 月报：每月1日00:00:00生成前一月的报表。 报表订阅 该页面自动列出当前账号及其全部子账号。 勾选需要订阅报表的账号，报表生成后，系统会自动发送报表至订阅账号的邮箱。 4. 单击“确认”，完成报表配置。

约束限制 目前云堡垒机可识别坚石诚信ETZ201型号硬件令牌。 一个硬件令牌仅能签发给一个用户使用。 前提条件 已申购硬件令牌。 配置动态令牌认证 1. 管理员登录云堡垒机系统。 2. 选择“用户 > 用户管理”，进入用户管理页面。 3. 找到目标用户，单击用户登录名，进入用户详情页面。 4. 在“用户配置”区域，单击“编辑”，弹出用户的登录配置窗口。 5. 勾选“动态令牌”多因子认证项。 6. 单击“确定”，完成用户多因子认证配置。 签发动态令牌 1. 管理员登录云堡垒机系统。 2. 选择“用户 > 动态令牌”，进入动态令牌列表页面。 3. 单击“签发”，新建签发令牌标识。 4. 配置令牌标识信息。 签发动态令牌参数说明 参数 说明 :: 令牌标识 动态令牌条形码。 秘钥 动态令牌的厂商提供，与“令牌标识”一一对应的唯一“密钥”。 关联用户 选择已配置“动态令牌”多因子认证的用户帐号。 5. 单击“确定”，返回动态令牌列表，即可查看已签发令牌标识。 关联用户登录云堡垒机系统时，在登录界面输入用户登录名、静态密码，以及硬件令牌上动态密码，即可完成动态令牌方式登录。

本节介绍如何更改日志存储时长。 默认存储日志的时间为7天，存储时间可以在1～365天之间进行设置，超出存储时间的日志数据将会被自动删除，对于需要长期存储的日志数据（日志持久化），LTS提供转储功能，可以将日志转储至对象存储服务（OBS）中长期保存。 更改日志存储时长 1. 将日志转储至LTS，操作步骤请参见“配置日志”。 2. 登录管理控制台。 3. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 4. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 5. 在左侧导航树中，选择“日志审计> 日志管理”，进入“日志管理”页面，单击“修改存储时长”。 说明 支持1365天存储，超出设置时长的日志会被自动删除。 存储时长越长，占用存储容量越大，如需转储至其它云服务中长期保存，请参见“云日志服务用户指南> 日志转储”。

云下一代防火墙不支持长期存储日志数据，如有日志审计需求，可将云下一代防火墙日志syslog发送至日志服务或日志审计设备，进行日志审计。 操作方法 打开菜单栏，【监控→日志→日志配置→日志服务器配置→新建】，选择发送的日志类型及使用端口及协议，主机名称为日志服务器IP地址。

批量导出防护规则操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击左上方的，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。 4. 单击“下载模板”，下载导入规则模板到本地。 5. 单击“导出规则”，导出规则到本地。

本节主要介绍云数据库GeminiDB的系统架构。 云数据库GeminiDB是一款基于计算存储分离架构的分布式数据库，由多个同构节点组成计算集群，数据存储在分布式共享存储池中，计算和存储资源解耦，支持独立弹性伸缩，扩缩容无数据迁移。 图1 系统架构

本文介绍专属云（存储独享型）高IO和超高IO两种存储池的性能。 专属云（存储独享型）根据IO性能分为高IO和超高IO两种存储池，相应性能如下： 规格项 规格定义 高IO 超高IO IOPS（IOPS/TB） 每秒进行读写操作的次数 1500 8000 IO时延（ms） 连续两次进行读写操作所需的最小时间间隔 6~10 1~3

本文介绍云容器引擎的规格。 当前容器集群支持以下规格，具体以当前资源池页面显示为准： 集群规模 Kubernetes版本 Worker节点规格 Worker节点挂载云硬盘类型 基础版 最大容纳50节点 1.15/1.18 2C4G、4C8G、8C32G、16C64G 普通IO、高IO 高级版 最大容纳50节点 1.15/1.18 2C4G、4C8G、8C32G、16C64G、32C128G 普通IO、高IO

section5f637d92e02e8ca3)所示要求的弹性云服务器。 2. 确保源端服务器可以访问目的端服务器（即弹性云服务器），即要有可用的EIP，或者配置VPN、专线。 3. 确保目的端服务器所在VPC安全组配置准确。需配置目的端服务器所在VPC安全组，如果是Windows系统需要开放TCP的8899端口、8900端口和22端口；如果是Linux系统，块级迁移开放8900端口和22端口，文件级迁移开放22端口。 4. 迁移过程中禁止操作目的端弹性云服务器（包括关机、重启、挂载磁盘、卸载磁盘、修改密码等），否则会导致迁移失败。 如何配置目的端服务器安全组规则？ 1. 登录管理控制台。 2. 单击控制台左上角，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云服务器列表，单击待变更安全组规则的弹性云服务器名称。系统跳转至该弹性云服务器详情页面。 5. 选择“安全组”页签，并单击，查看安全组规则。 6. 单击“更改安全组规则”。系统跳转至安全组页面。 7. 在“入方向规则”页签下，单击“添加规则”，配置安全组入方向的访问规则。 8. 单击“确定”，完成安全组规则配置。 “与目的服务器建立SSH连接失败”该如何处理？ 当目的迁移任务执行失败时，提示“sms.3802 与目的服务器建立SSH连接失败”。迁移时，源端会和目的端服务器建立一个SSH连接用于传输数据。如果无法成功建立SSH连接，则会提示该错误。建议您参考本章节操作步骤排查SSH无法连接的原因。 检查目的端是否被关机 检查目的端安全组22端口是否被关闭或指定了一个非源端IP 检查是否安装ssh客户端 检查迁移过程中目的端是否更换了VPC或者IP 检查源端防火墙出口方向是否有安全拦截 检查源端或目的端主机是否存在安全告警或者EIP被冻结 检查源端/root/.ssh/knownhosts记录的公钥和目的端的公钥是否不一致 检查目的端sshd服务是否正常运行或监听端口是否被改为其他非22端口 检查是否使用了与目的端服务器未联通的内网进行迁移

Predis 介绍使用同一VPC内弹性云主机ECS上的Predis连接Redis的方法。更多的客户端的使用方法请参考Redis客户端。 前提条件 已成功申请Redis实例，且状态为“运行中”。 已创建弹性云主机，创建弹性云主机的方法，请参见《弹性云主机用户指南》。 如果弹性云主机为Linux系统，该弹性云主机必须已经安装php编译环境。 操作步骤 步骤 1 查看并获取待连接Redis实例的IP地址和端口。 具体步骤请参见查看实例信息。 步骤 2 登录弹性云主机。 步骤 3 安装php开发包与命令行工具。执行如下命令，使用yum方式直接安装。 yum install phpdevel phpcommon phpcli 步骤 4 安装完后可查看版本号，确认成功安装。 php version 步骤 5 将Predis包下载到/usr/share/php目录下。 1. 通过以下命令下载Predis源文件。 wget 说明 仅以该版本作为示例，您还可以去redis官网或者php官网下载其他版本的predis客户端。 2. 解压Predis源文件包。 tar zxvf predis1.1.10.tar.gz 3. 将解压好的predis目录重命名为“predis”，并移动到/usr/share/php/下。 mv predis1.1.10 predis 步骤 6 编辑一个文件连接redis。 使用redis.php文件连接Redis单机/主备/Proxy集群示例： 'tcp' , 'host' > '{redisinstanceaddress}' , 'port' > {port} , 'password' > '{password}' ]); $client>set('foo', 'bar'); $value $client>get('foo'); echo $value; ?> 使用rediscluster.php连接Redis Cluster集群代码示例： 'redis'); $client new PredisClient($servers, $options); $client>set('foo', 'bar'); $value $client>get('foo'); echo $value; ?> 其中， {redisinstanceaddress} 为Redis实例真实的IP地址， {port} 为Redis实例真实的端口。IP地址和端口获取见步骤1，请按实际情况修改后执行。 {password} 为创建Redis实例时自定义的密码，请按实际情况修改后执行。如果免密访问，请将password行去掉。 步骤 7 执行php redis.php连接Redis实例。

本节主要介绍常见问题。 如何解决新增节点时提示弹性IP不足的问题？ 问题描述 在CCE集群中新增节点时，在“弹性IP”处选择“自动创建”，但创建节点失败，提示弹性IP不足。 解决方法 您可以有两种方法解决弹性IP不足的问题。 方法一：解绑已绑定弹性IP的虚拟机，再重新添加节点。 a. 登录弹性云主机控制台。 b. 在弹性云主机列表中，找到待解绑云服务器，单击云服务器名称。 c. 在打开的弹性云主机详情页中，单击“弹性公网IP”页签，在公网IP列表中单击待解绑IP后的“解绑”，为该云服务器解绑弹性IP，单击“确定”。 d. 返回CCE控制台创建节点页面中，选择“使用已有”重新新增节点的操作。 方法二：提高弹性IP的配额。 天翼云对用户的资源数量和容量做了配额限制。如果资源配额限制满足不了用户的使用需求，可以通过工单系统来提交工单申请，并告知您申请提高配额的理由。 在通过审理之后，我们会更新您的配额并进行通知。 如何快速清理已删除节点上的CCE组件？ 使用场景 若集群中包含纳管节点，删除对应集群和节点不会删除对应的ECS，此时请按照界面提示清理节点上CCE组件。若未按照提示清理节点组件，后续需要清理ECS时，可按照如下操作进行清理。 操作步骤 1登录CCE控制台。 2在左侧导航栏中选择“集群管理 > 节点管理”，在右侧的节点列表中找到要执行操作的纳管节点，在节点的“操作”区域下单击“更多 > 移除”。 3在弹出的“移除纳管节点”对话框中输入"REMOVE"确认移除节点，单击“确认”。 4、认真阅读弹出的“提示”页面内容，按照步骤清理CCE相关资源。 如何加固CCE集群的节点VPC安全组规则？ CCE作为通用的容器平台，安全组规则的设置适用于通用场景。用户可根据安全需求，通过网络控制台的安全组找到CCE集群对应的安全组规则进行安全加固。 安全组查找路径：登录控制台，单击服务列表中的“网络 > 虚拟私有云 VPC”，在网络控制台单击“访问控制 > 安全组”。 其中，控制节点的安全组名称是：{集群名}ccecontrol{随机ID}；用户节点的安全组名称是：{集群名}ccenode{随机ID}。 安全组中必须开启的端口如下： {集群名}ccecontrol{随机ID}： •源地址属于本安全组规则的需全部放通。 •5444、8445、9443、4789端口的规则不能修改。 •5443端口需对VPC网段、容器网段放通。 {集群名}ccenode{随机ID}： •源地址属于本安全组规则的需全部放通。 •4789、10250端口的规则不能修改。 •3000032767端口需对VPC网段、容器网段和ELB的网段放通。

播放地址复制到浏览器为何无法播放？ 为进一步落实上级主管部门防范治理通信网络安全工作要求。云点播提供的播放地址限制直接通过浏览器预览播放。当用户在浏览器直接输入云点播URL播放地址，会自动下载对应视频文件。（相关政策请参考媒体存储公告。 另外，受限于版权专利等因素，浏览器预制解码器对很多视频编码格式如H.265H.266AV1等均未提供较好的解码支持，导致通用的Web前端播放器会出现解码不支持、无法播放或计算资源消耗大（仅支持CPU软解码）等问题，请用户咨询第三方解决方案。