mysql u p' ' h P 5. 进入到数据库内则表示创建远程连接用户成功。 6. 完成MySQL 数据库源库的配置。 步骤四：目标端MySQL 同步配置 1）目标端MySQL 同步DB 侧配置 1. 创建远程连接同步用户。 为MySQL 的同步用户的用户名； 为MySQL 的同步用户对应的密码； mysql> create user ' '@'%' identified with mysqlnativepassword by ' '; 2. 赋予备库用户权限： mysql> grant all privileges on . to ' '@'%'; 3. 备库刷新权限。 mysql> flush privileges; 4. 可在本机上通过如下命令查看是否可以正常连接： 为备库MySQL 对应的端口号，默认为3306。 mysql u p' ' h P 1. 进入到数据库内则表示创建远程连接用户成功。 2. 完成MySQL 数据库备库的配置。 步骤五：最小权限 1）源端MySQL 最小权限 用户所需最小权限：SELECT、REPLICATION SLAVE、REPLICATION CLIENT、RELOAD(非必须)。 假定源端连接用户为USER： mysql>grant SELECT on . to 'USER'@'%'; mysql>grant REPLICATION SLAVE on . to 'USER'@'%'; mysql>grant REPLICATION CLIENT on . to 'USER'@'%'; mysql>grant RELOAD on . to 'USER'@'%'; (非必须权限) mysql>flush privileges; 说明： 1. 若为表映射，可以缩小select on .的范围至所需同步的表，但需要informationschema的查询权限。 2. reload 权限非必须，同步用户若拥有该权限，将提高拉取binlog的速率，若无此权限，不影响同步。 3. TDSQL、GoldenDB 最小权限同MySQL。 2）目标端MySQL 最小权限 假定源端连接用户为USER： mysql>grant SELECT on . to 'USER'@'%'; mysql>grant CREATE,SELECT,INSERT,UPDATE,DELETE,DROP,CREATE ROUTINE,TRIGGER,CREATE VIEW,INDEX,ALTER,REFERENCES,PROCESS,FILE on . to 'USER'@'%'; mysql>grant SUPER on . to 'USER'@'%'; mysql>flush privileges; 说明： 1. 若为表映射，可以缩小select on .的范围至所需同步的表，但需要 2. informationschema 的查询权限。 3. 如需DDL 复制，目标端需SUPER 权限。 4. TDSQL、GoldenDB 最小权限同MySQL。 Oracle、PostgreSQL等具体配置项参考 数据库双活用户操作手册。

日志 表 日志 高危操作 导致后果 误操作后解决方案 删除宿主机/tmp/ccslogcollector/pos目录 日志重复采集 无 删除宿主机/tmp/ccslogcollector/buffer目录 日志丢失 无 云硬盘 表 云硬盘 高危操作 导致后果 误操作后解决方案 备注 控制台手动解挂EBS Pod写入报io error 删掉node上mount目录，重新调度Pod Pod里面的文件记录了文件的采集位置 节点上umount磁盘挂载路径 Pod写入本地磁盘 重新mount对应目录到Pod中 Buffer里面是待消费的日志缓存文件 节点上直接操作EVS Pod写入本地磁盘 无 无

返回DeepSeek专题导航。

本文汇总了云等保专区各原子能力的常见应用场景，并提供详细的方案描述和操作指导。 原子能力名称 版本 最佳实践文档 主机安全 v1.0 主机勒索病毒有效防护 主机安全 v2.0 主机安全防护最佳实践 云上勒索病毒防护实践 弱口令安全最佳实践 漏洞扫描最佳实践 等级保护测评合规最佳实践 二类节点资产纳管最佳实践 Web应用防火墙 v1.0 Web应用防火墙高可用部署方案 Web应用防火墙 v2.0 WAF接入配置最佳实践 防护配置最佳实践 Web基础防护规则引擎配置最佳实践 CC攻击防护最佳实践 下一代防火墙 v1.0 下一代防火墙高可用部署方案 下一代防火墙 v2.0 IPv6切换方案 双向访问控制 SSL VPN远程拨入 堡垒机 v2.0 数据库运维实名审计 收敛资产运维暴露面 资产运维细粒度权限管控 数据库审计 v2.0 审计云上自建数据库 审计云数据库 日志审计 v2.0 程序定位日志采集异常 程序日志定位告警异常

本节提供轻量型云主机的服务协议。 轻量型云主机产品服务协议请参见天翼云轻量型云主机服务协议。

本文为您介绍如何通过注解实现ECI Pod环境变量获取元Pod IP和 EIP IP。 操作步骤 1. 打开云容器引擎集群控制台，点击集群名称。 2. 选择工作负载菜单，点击无状态，进入无状态列表页。 3. 点击“新增YAML”按钮。 4. 为Pod 添加注解，以Deployment 为例： plaintext k8s.ctyun.cn/eciwitheip: "true" 可选，设置则自动分配 EIP k8s.ctyun.cn/eipbandwidth: "5" 可选，单位 Mbps，默认 5Mbps deployment 完整模板，其中环境变量设置如下，获取Pod IP和EIP IP： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/eciwitheip: "true" k8s.ctyun.cn/eipbandwidth: "5" labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 env: name: PODIP valueFrom: fieldRef: fieldPath: status.podIP name: PODEIP valueFrom: fieldRef: fieldPath: "metadata.annotations['k8s.ctyun.cn/allocatedeipAddress']" nodeName: vndc2hq918w25w2vqracnhuadong1jsnj3apublicctcloud 注意 通过yaml 创建，此处需要指定节点为 vnode： shell nodeName: "vndc2hq918w25w2vqracnhuadong1jsnj3apublicctcloud" 5. 创建完成在ECI 控制台，找到对应的ECI Pod，进入详情页面，选择远程连接页签，可以看到环境变量已生效。 6.

本文帮助您快速熟悉虚开启/关闭虚拟私有云IPv6操作。 操作场景 开关/关闭虚拟私有云IPv6的操作仅在可用区资源池支持，不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 如果虚拟私有云在创建时未开启IPv6，可以通过本文操作为虚拟私有云开启IPv6。 如果虚拟私有云已经开启IPv6，可以通过本文操作为虚拟私有云关闭IPv6。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在“虚拟私有云列表”界面，单击需要配置的虚拟私有云名称，进入详情页。 5. 在详情中点击“开启IPv6”状态开关，即可修改虚拟私有云开启IPv6状态。开启时，天翼云将为虚拟私有云分配IPv6地址段；关闭时，天翼云将删除为虚拟私有云分配IPv6地址段。 注意 如果虚拟私有云中已经创建子网，关闭虚拟私有云开启IPv6时，需要先将所有子网的开启IPv6关闭。可用通过

回调鉴权密钥信息的获取。 V4鉴权可适用于云点播接收回调事件的鉴权。如您需要获取相关密钥，可按照如下步骤操作： 1.天翼云注册账号。能力使用者于天翼云门户( 2.获取AK/SK信息。能力使用者登录云点播控制台，进入【开发配置】>【密钥管理】>【回调密钥】，即可获取AK/SK，作为接收回调事件的凭证使用。

为保障您的天翼云弹性云主机系统时间精准统一,避免因时钟偏差引发业务异常、日志时序错乱、合规审计不达标等问题,推荐您配置天翼云内网 NTP 时间同步服务。本文为您介绍内网 NTP 时间同步的核心作用,以及红帽系、Debian 系 Linux 操作系统的标准化配置方法。 一、内网 NTP 时间同步核心作用 保障业务稳定运行：确保分布式集群、数据库主从同步、交易订单等业务的时序一致性，避免因时钟偏差引发数据错乱、服务异常。 提升运维排障效率：统一全量云主机系统时间，保障日志时序准确，便于故障溯源与问题定位。 满足合规审计要求：符合网络安全等级保护等监管规范对系统时间统一、日志可追溯的硬性要求。 低延迟高可靠：使用天翼云内网 NTP 专用地址，无需占用公网带宽，同步链路稳定、精度更高。 二、前置说明 适用范围：天翼云弹性云主机，涵盖红帽系（RHEL 7/8/9、CentOS 7/Stream、Rocky Linux、AlmaLinux 等）、Debian 系（Debian 10/11/12、Ubuntu 18.04+）Linux 操作系统。 天翼云内网 NTP 服务器地址：169.254.169.254。 三、配置步骤 红帽系操作系统配置（chronyd） 红帽系操作系统官方推荐使用 chronyd 服务实现时间同步，RHEL 8/9 系列默认预装并启用，配置步骤如下： 1. 备份原始配置文件（便于异常回滚） plaintext cp /etc/chrony.conf /etc/chrony.conf.bak 2. 写入天翼云内网 NTP 配置 清理原有NTP源配置 plaintext sed i E '/^(poolserver)/d' /etc/chrony.conf 新增内网NTP同步配置 plaintext cat >> /etc/chrony.conf << EOF server 169.254.169.254 iburst prefer EOF 3. 重启服务并配置开机自启 plaintext systemctl restart chronyd systemctl enable now chronyd

本文带您了解天翼云加密相关产品 天翼云支持以下方式，助您对弹性云主机资源进行加密，从而提升数据的安全性。 云硬盘加密 天翼云云硬盘支持系统盘加密和数据盘加密。 云硬盘加密功能 ：创建云硬盘时，用户可以选择是否加密此云硬盘，云硬盘创建完成后加密属性无法更改。 云主机系统盘加密 ：创建云主机时，支持在创建时直接设置系统盘加密。 云主机数据盘加密 ：创建云主机时，支持在创建时直接设置数据盘加密。 云硬盘加密与快照 ：加密云硬盘生成的快照及通过这些快照创建的云硬盘将自动继承加密功能属性。 云硬盘加密与备份 ：加密云硬盘生成的备份及通过这些备份创建的云硬盘将自动继承加密功能属性。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。KMS对密钥的所有操作都会进行访问控制及日志跟踪，并提供所有密钥的使用记录，满足审计和合规性要求。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥（Default CMK） ：用户第一次通过对应云服务使用KMS加密时，系统自动生成的并托管在用户账号下的服务密钥。 用户主密钥（Customer Master Key，CMK） ：用户主密钥包括对称密钥及非对称密钥，主要用于加密保护数据密钥并产生信封，也可直接用于加密少量的数据。用户可以调用KMS的API CreateKey创建一个用户主密钥。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。 每个地域的加密云硬盘，都需要通过256位数据密钥（DK）进行加密，此数据密钥（DK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

本章节介绍Eureka引擎告警管理功能 概述 通过实例的告警管理能力，您可以对实例状态进行实时监控，并在特定指标异常时，将消息以不同形式（短信、邮件、翼连）推送到相关负责人，以便及时感知问题、处理线上故障。 管理通知对象 在配置告警规则之前，您需要先添加通知对象。通知对象包括联系人、联系人组、翼连、WebHook集成四种形式。 联系人：一个告警规则所通知的“个人”，通知渠道包括该“个人”的手机短信和个人邮箱。 联系人组：多个联系人组成的逻辑团体。若告警通知到联系人组，将会通知联系人组下的每个联系人。 翼连：通知到翼连群。 WebHook集成：通过调用预先指定的地址进行告警通知。 下面以最简单的联系人为例，演示如何添加通知对象。 1.进入实例引擎控制台>告警管理>通知组页签，点击“新建联系人”按钮。 2.在弹出的窗口中，填写联系人的对应信息，即可完成创建。 管理告警规则 告警规则决定了一次告警发生的阈值、通知的对象和渠道，以及通知的内容。完成联系人创建后，进入实例引擎控制台>告警管理>告警规则页签，可以管理您的告警规则。 下面将演示如何创建一个“Eureka引擎注册服务健康实例数量占比过少”多告警并使其生效，触发告警。 1. 创建通知策略。进入实例引擎控制台>告警管理>通知策略页签，点击“创建通知策略”按钮，填写相关信息，并指定通知对象为上一步骤中创建的联系人，完成通知策略创建； 2. 点击“创建告警规则”按钮，在弹出的窗口中填写告警相关信息。其中，通知策略指定为步骤1中创建的通知策略，告警分组选择“Eureka引擎”，告警指标选择“健康实例数量占比”，根据您的需求选择合适的判断条件，告警等级。 3. 完成告警规则创建后，可在告警规则列表中查询到该条目。告警规则创建完毕后默认启用，可通过右侧“操作”中的“停止”来使该规则失效。 4. 告警规则生效后，可在实例引擎控制台>告警管理>告警事件历史页签中，对告警事件的当前状态进行追踪。

政务办公 场景说明 为实现从数字化向智能化政务的转型升级，须具备面向政企事项的内容生成、文本优化等核心能力，从而全面支撑政务智能化的建设与应用。 方案优势 统一知识库整合资源：根据不同委办局要求在政务云本身租户隔离的基础上，不同部门根据业务需要加载各自个性化知识库，实现公文业务灵活的更新及发展。 翼政通助力办公：智能政务助手应用，采用WPS插件的形式无缝嵌入政务场景办公流，将AI赋能到传统的办公软件，提供智能问答、知识库、公文优化、公文生成等功能，提升政务办公服务效率。 智慧政法 场景说明 政法综治数据量大：数据量庞大，涵盖行政管理、案件审判与执行等不同领域，收集使用周期长。 政法综治数据标准不统一：缺乏统一规范，导致数据格式和定义不一致，整合难度大。 方案优势 国产算力：国产化海光GPU提供强劲算力，天翼云平台提供模型管理能力、智能体管理能力。 智能体应用：通过智能体中心实现和政法内部应用的结合，帮助用户基于开源模型构建智能体应用，实现已有业务和大模型的有效结合，快速实现政务AI应用的构建，如对话客服。 大模型助力高效处理大数据：大模型能力和政法内部应用的结合，实现政法事件分类、信息提取、大数据查询语句生成。

本文介绍云SSO的场景实践 应用实践：客户已有账号体系单点登录后以云SSO用户身份访问成员账号 客户已有账号体系可以通过SAML2.0直接单点访问天翼云账号，并可以通过SCIM同步客户侧的用户/组信息； 步骤1：进入“云SSO中心”“管理设置”中，“身份源”选择“身份提供商” 步骤2：配置IDP的身份提供商标识，单点登录登出地址，身份提供商签名公钥等信息 步骤3：客户端配置SP元数据。天翼云SP META可从“管理身份提供商”页面获取 步骤4：配置SCIM同步（可选），配置方式参考“用户指南”。

实践建议 请您遵循白名单原则配置安全组规则，即安全组内实例默认拒绝所有外部的访问请求，通过添加允许规则放通指定的网络流量。 添加安全组规则时，请遵循最小授权原则。例如，放通22端口用于远程登录云主机时，建议仅允许指定的IP地址登录，谨慎使用0.0.0.0/0（所有IP地址）。 请您尽量保持单个安全组内规则的简洁，通过不同的安全组来管理不同用途的实例。如果您使用一个安全组管理您的所有业务实例，可能会导致单个安全组内的规则过于冗余复杂，增加维护管理成本。 您可以将实例按照用途加入到不同的安全组内。例如，当您具有面向公网提供网站访问的业务时，建议您将运行公网业务的Web服务器加入到同一个安全组，此时仅需要放通对外部提供服务的特定端口，例如80、443等，默认拒绝外部其他的访问请求。同时，请避免在运行公网业务的Web服务器上运行内部业务，例如MySQL、Redis等，建议您将内部业务部署在不需要连通公网的云主机上，并将这些云主机关联至其他安全组内。 对于安全策略相同的多个IP地址，您可以将其添加到一个IP地址组内统一管理，并在安全组内添加针对该IP地址组的授权规则。当IP地址发生变化时，您只需要在IP地址组内修改IP地址，那么IP地址组对应的安全组规则将会随之变更，无需逐次修改安全组内的规则，降低了安全组管理的难度，提升效率。 请您尽量避免直接修改已运行业务的安全组规则。如果您需要修改使用中的安全组规则，建议您先克隆一个测试安全组，然后在测试安全组上进行调试，确保测试安全组内实例网络正常后，再修改使用中的安全组规则，减少对业务的影响。 您在安全组内新添加实例，或者修改安全组的规则后，此时不需要重启实例，安全组规则会自动生效。

本节介绍如何为下一代防火墙v1.0开启IPv6防护。 子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 下一代防火墙开通 在设备成功开通后，默认一张网卡设定为管理网卡，以供单点登录设备时使用；需新增一张网卡专门用于业务操作。 下一代防火墙开通 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”。 4. 在资源概览页面右上角，单击“立即购买”。 5. 在购买页面配置基础信息（包括区域 、虚拟私有云 、子网、可用区 和CPU分类 ），套餐选择自定义中的下一代防火墙、并进行产品规格配置。 6. 选择购买时长后，勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“立即购买”。完成购买后等待资源开通成功。 新增业务网卡 1. 创建弹性网卡 在天翼云控制中心服务列表页，选择“网络 > 虚拟私有云”；在网络控制台左侧导航栏，选择“弹性网卡”，单击弹性网卡页面右上角的“创建弹性网卡”，配置弹性网卡的区域、名称、VPC、子网、安全组等信息，点击“确定”。 2. 绑定网卡 在云等保专区左侧导航栏，选择“下一代防火墙”，在开通的设备右侧操作列点击“更多 > 绑定网卡”，选中上一步创建的弹性网卡，点击“确定”。 3. 重启下一代防火墙系统 在云等保专区左侧导航栏，选择“下一代防火墙”，在开通的设备右侧操作列点击“更多 > 重启”。

轻量型云主机作为天翼云的一款标准化产品，其整体退订原则与其他产品均保持一致。 退订规则详情请参考天翼云帮助中心费用中心退订规则说明。

轻量型云主机作为天翼云的一款标准化产品，其整体续订原则与其他产品均保持一致。 续订规则详情请见天翼云帮助中心费用中心续订规则说明。

本节介绍了云容器引擎安全责任共担模型。 在云容器引擎 CCE 中，安全合规遵循责任共担原则。具体而言，云容器引擎 CCE 承担着集群控制面组件（涵盖 Kubernetes 控制平面组件与 etcd）及集群服务相关天翼云基础设施的默认安全保障责任。本文将详细阐述天翼云云容器引擎 CCE 的安全责任共担模型。 天翼云负责 在管控面侧，天翼云凭借完善的平台安全能力，负责保障管控面侧基础设施（涵盖计算、存储、网络等各类云服务资源）的安全。针对集群节点操作系统或 K8s 组件层面出现的安全漏洞，天翼云会及时发布相关公告，并提供对应的漏洞补丁或版本更新支持。天翼云还会围绕企业云原生应用生命周期中安全防护的典型场景，提供必要的安全防护功能及最佳实践指导。 客户负责 客户方安全管理与运维人员需承担部署于云上的业务应用安全防护责任，以及云上资源的安全配置与更新工作，具体包括以下内容： 依据天翼云发布的公告，采用其提供的补丁或版本升级方式，及时对操作系统、集群侧系统组件、运行时等存在的漏洞进行修复和版本更新 遵循安全原则对 CCE 集群、节点池及网络等进行参数配置，防止因参数或权限设置不当而给攻击者留下可乘之机 根据实际使用需求，按照权限最小化原则，完成账号、角色的授权，做好凭据管理，部署实施相关安全策略，并保障应用自身参数配置的安全性 负责应用制品的供应链安全 保障应用敏感数据及应用运行时的安全 CCE采用双层的权限体系，即IAM+RBAC。当删除 IAM 用户或 IAM 角色时，并不会同步移除该用户或角色所拥有的集群 KubeConfig 中的 RBAC 权限。因此，在删除离职员工或非受信人员的 IAM 用户或 IAM 角色前，需先吊销其 KubeConfig 权限。

本文为您介绍密钥管理服务与其他云服务的关系，以及对应密钥的区分。 KMS与其他云服务的加密关系 KMS集成天翼云产品提供服务端加密能力，实现云上原生数据提供加密保护，有效提升默认安全能力。在创建云产品资源时开启加密功能，您可以自定义加密密钥，支持选择默认密钥和您在KMS中自行创建的用户主密钥。 服务端加密优势 提升云产品内生安全性 加密过程中使用的密钥由用户自定义选择，集中托管在KMS服务中，KMS已通过国家密码管理局审查，获得商用密码产品认证，合规性得到有效保障。 降低研发成本 使用云产品服务端加密能力，您无需自行构建和维护密钥管理基础设施，无需考虑自研数据加密能力所涉及的密钥管理安全及合理性、加密算法的研发等一系列复杂的工程，大幅度降低开发成本。 加密过程透明无感知 服务端加密为您提供内嵌至云服务中的加密方案，您无需关注底层数据加密的细节，只需一键开启加密功能，即可实现数据加密。 支持服务端加密的云产品 云硬盘 对象存储 弹性文件 关系型数据库MySQL版 关系型数据库PostgreSQL版 文档数据库服务 功能详情详见云产品服务端加密。 KMS与云审计服务的关系 已对接天翼云云审计服务，可通过云审计服务查看资源操作的记录，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至日志审计等产品实现永久保存。 KMS与云监控服务的关系 已对接天翼云云监控服务，可通过云监控服务查看实例节点的相关监控指标，并可以设置相关指标的告警规则及通知策略。

前提条件 已购买至少一台服务器且未安装Agent。 批量安装的所有服务器需要支持ssh登录。 批量安装的所有服务器需要提供正确的登录帐号、端口、密码。 批量安装的主机“服务器状态”必须为“运行中” 约束限制 目前仅支持Linux系统的服务器进行批量安装Agent。 批量安装Agent的服务器所属VPC内至少有一台服务器已安装Agent。 单次批量最多可安装50台服务器。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏，选择“资产管理 > 主机管理”，进入“主机管理”界面，选择“云服务器”页签，进入云服务器页面。 进入云服务器 5、单机上方“批量安装Agent”，在弹窗中勾选需要批量安装的服务器。 批量安装的主机“服务器状态”必须为“运行中”。 批量安装Agent的服务器所属VPC内至少有一台服务器已安装Agent，若均未安装需先在VPC内至少安装一台，否则将安装失败。 单次勾选的所有服务器的root密码和端口都必须保持一致，若存在密码或端口其中任意一项不一致，需将按照密码和端口一致的服务器进行分批次安装，否则将安装失败。 批量安装单次最多50台服务器。 勾选目标服务器 6、确认无误，单击“下一步”，输入“服务器root密码”和“服务器登录端口”。 输入服务器信息 说明 系统默认系统端口为22，若需查询Linux SSH端口，远程登录目标服务器后，在在Linux服务器中执行以下命令即可查询。 cat /etc/ssh/sshdconfig grep Port 7、单击“确认”，服务器将自动执行Agent安装。 注意 自动安装程序为依次安装，您可在“资产管理 > 主机管理 > 云服务器”查看安装情况，若目标服务器“Agent状态”变更为“在线”，表示您已经可以对该服务器开启防护。

本节介绍了：CSI的常见问题。 存储FAQCSI 本文主要介绍天翼云存储插件cstorcsi，其安装及使用过程中常见的问题及分析流程。 安装失败 失败原因查看 在“插件”——“插件市场”——选择“cstorcsi”插件安装，完成相关参数配置后点击“安装”；安装详情可以在“插件”——“插件实例”中看到cstorcsi实例，在状态栏查看实例运行状态，如果实例安装失败，可以通过查看状态栏的日志获取部署失败详情。 常见问题 查阅日志报 “no matches for kind “PodSecurityPolicy” in version“policy/v1beta1” 该报错见于在kubernetes v1.25集群上安装cstorcsi v3.1.0版本报错，报错原因是cstorcsi插件安装会部署PodSecurityPolicy资源，但该资源在k8s v1.25中被移除。该问题解决方案为： 1、将cstorcsi升级至3.2.0，按原参数安装即可； 2、如不希望进行组件升级，可以将cstorcsi v3.1.0 value.yaml中，将参数podSecurityPolicy.enabled配置为false，卸载后重新安装即可。 使用cstorcsi创建存储卷错误 通用分析流程 1、在“插件”——“插件实例”查看cstorcsi实例，运行是否异常； 2、进入“工作负载”——“无状态”，切换命名空间为“cstor”，查看名称为“cstorcsiprovisioner”的pod日志，切换容器名称为“csiprovisioner”和“cstorcsiplugin”，查看是否有错误日志输出。 常见问题 1、Can not get AK 该报错是由于cstorcsi安装过程中，未进行AK、SK配置。解决方案为：在”账号中心”——”安全设置”——”用户AccessKey”中查看AK、SK。 卸载cstorcsi后，选择重新安装该插件，在安装配置窗口中根据获得的 AK、SK值，分别填入AuthConfig.AK和AuthConfig.SK字段中，点击安装即可完成插件部署。 2、用户不允许订购按需类订单。 该报错是由于cstorcsi插件开通的云硬盘为按需付费方式，需要账户余额在100元以上才可正常开通。 解决方案：请检查天翼云“账户余额”是否在100元以上。 2、can not support RWX in filesystem mode for disk 当使用cstorcsi安装生成的storageclass，创建持久卷声明（PVC）。正常情况下，创建持久卷声明后，在“存储”——”持久卷”，列表栏会看到相应持久卷（PV）创建，并且状态为“已绑定”。 如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为 can not support RWX in filesystem mode for disk，表示当前创建的持久卷声明，不支持访问模式为多机读写。 目前，cstorcsi插件安装，默认创建的云硬盘类型的storageclass，其访问模式与是否是共享盘有关，只有在使用共享盘的情况下，支持多机读写，其他情况仅支持单机读写。 解决方案：修改持久卷声明访问模式为“单机读写”。 3、failed to create disk volume, message: disk size should be in range [10G ,32T] 目前，当使用cstorcsi插件安装的storageclass，云硬盘类型要求容量为 [10G ,32T]，文件存储要求容量500G以上。如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为： failed to create disk volume, message: disk size should be in range [10G ,32T]，表示当前创建的存储卷声明，其容量需要调整为合理范围大小。

修改组策略 本地组策略编辑器 1 选择“开始 > 运行”，输入gpedit.msc打开组策略。 2 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 授权”，双击右侧的“使用指定的远程桌面许可证服务器”。 隐藏有关影响RD会话主机服务器的RD授权问题的通知 打开“隐藏有关影响RD会话主机服务器的RD授权问题的通知”对话框，选择“己启用”，单击“下一个设置”。 设置远程桌面授权模式 在“设置远程桌面授权模式”对话框中，选择“己启用”，在“指定RD会话主机服务器的授权模式”下拉列表中选择“按用户”，之后单击“确定”，完成设置。 配置终端服务多用户 1 选择“开始 > 运行”，输入gpedit.msc打开组策略。 2 选择“计算机配置 > 管理模板 > windows组件 > 远程桌面服务 > 远程桌面会话主机 > 连接”。 3 修改“限制连接的数量” 为已启用，允许的最大连接数改为999999。 4 修改“允许远程启动未列出的程序” 为已启用。 5 单击“确定”。 6 选择“计算机配置 > 管理模板 > windows组件 > 远程桌面服务 > 远程桌面会话主机 > 会话时间限制”。 7 修改“设置已中断会话的时间限制”为已启用，修改“结束已断开连接的会话”为1分钟。 8 单击“确定”。

弹性负载均衡产品支持查看后端云主机,本文帮助您快速熟悉查看后端云主机的方法。 操作场景 天翼云弹性负载均衡支持已添加的后端云主机详情及其状态。还支持查看特定云主机相关的弹性网卡、云硬盘、安全组、弹性IP等信息。 前提条件 您已经创建了云主机，并添加云主机到特定的负载均衡监听器上，且后端云主机处于“运行中”状态。 操作步骤 1. 登录天翼云控制中心。 2. 选择“网络>弹性负载均衡>负载均衡器”。 3. 单击已创建的负载均衡器实例名称。 4. 在该负载均衡详情界面，选择“后端主机组”标签。 5. 选定特定的后端主机组，在云主机列表中可查看已添加的后端云主机。 6. 点击特定的云主机的名称，即可查看改云主机详情。

云专线提供用户本地数据中心与天翼云VPC之间的连接服务。云专线产品在充分利用中国电信云网融合优势的同时,依托现有的IT基础设施,灵活搭建云上云下高速、低时延、稳定安全的专属连接通道。

本文介绍如何处理CNAME解析不生效问题。 CNAME（Canonical Name）记录是一种别名记录，用于将多个域名映射到同一台计算机或服务器上。通过配置CNAME记录，可以实现域名的别名映射，将一个域名解析到另一个域名上。客户接入DDoS高防（边缘云版）时，在天翼云DDoS高防（边缘云版）控制台完成加速域名添加后，系统会为您分配一个天翼云的CNAME域名，例如 .ctdns.cn，您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向 .ctdns.cn的CNAME域名，这样该域名所有的请求才会转向天翼云边缘节点，实现防护的目的。 如发现CNAME未正常解析，可能的原因如下： 1、CNAME配置错误：请检查所配置的CNAME解析记录值是否与天翼云DDoS高防（边缘云版）控制台提供的CNAME地址一致。如果不一致，可能会导致解析失败。 2、TTL未过期：在完成CNAME配置后，运营商localDNS的TTL可能还未过期。通常情况下，TTL时间为10分钟，但实际生效以您域名解析时配置的TTL为准。需要等待TTL时间过期后，新的CNAME解析才能生效。

本文指导您如何使用云间高速及云企业路由器实现同地域云上云下网络互通。 场景示例 某企业拥有一个本地IDC（Internet Data Center），并通过SDWAN连接至天翼云。为了满足业务发展的需求，企业希望本地IDC与VPC、VPC与VPC之间能够互相通信，资源能够互相访问。 为了实现这一目标，企业可以考虑使用云间高速产品。通过将2个VPC和1个SDWAN连接至华东1地域的云企业路由器实例，企业可以快速实现同地域下本地IDC与VPC、VPC与VPC之间的资源互访。 在实施过程中，企业需要确保本地IDC与VPC、VPC与VPC之间的路由信息能够及时更新，以避免网络延迟和数据包丢失。此外，企业还需要考虑网络安全和权限控制等问题，以确保网络的安全性和可靠性。 通过使用云间高速产品，企业可以快速实现本地IDC与VPC、VPC与VPC之间的资源互访，从而更好地满足业务发展的需求。 前提条件 本地IDC已经通过物理专线和VBR与天翼云建立了稳定的连接。 在天翼云华东1地域，我们创建了两个VPC（虚拟私有云），并使用云主机在两个VPC中部署了应用服务。 请确保每个VPC在云企业路由器支持的可用区中拥有足够的交换机实例，且每个交换机实例拥有至少一个空闲的IP地址。

4.4 任务管理 在同步工具用户界面下方的同步任务列表中，可对任务进行管理操作。 暂停任务：在同步任务列表框中正在同步的任务右侧点击“暂停”按钮，可暂停当前同步任务。 恢复任务：在同步任务列表框中已暂停的任务右侧点击“恢复”按钮，可恢复当前同步任务。 删除任务：在同步任务列表框中的任务右侧点击“删除”按钮，可删除当前同步任务。 定位任务路径：在同步任务列表框中的任务右键点击，在弹出的菜单中点击“打开本地目录”可将本地电脑文件列表框中展示的内容切换为该任务对应的本地路径，点击“打开远程目录”可将目的端云电脑文件列表框中展示的内容切换为该任务对应的目的端云电脑路径。 再次同步：在同步任务列表框的“传输文件”标签页的“传输完成”中的历史任务的操作菜单中点击“再次同步”，可将所选中的同步任务重新进行发起，确认后即可启动同步。

本文为您介绍如何查看Web核心防护中包含的内置规则详情。 您可以在全局Web核心防护的防护规则页面，查询规则防护引擎中目前包含的所有防护规则。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“Web核心防护”模块，在防护规则组后方点击“前去配置”。 7. 进入“规则组”页面，在页面上方选择“规则库”可以看到当前的规则引擎包含的规则列表。 规则列表中包含的参数如下： 配置项 说明 危险等级 防护规则防护漏洞的危险等级，包括： 高危 中危 低危 灰度状态 规则的状态说明。 规则ID WAF防护引擎中可唯一标识该规则的ID。 规则引擎类型 描述WAF防护规则的引擎类型 规则名称 防护规则的描述信息。 防护类型 表示规则防御的Web攻击类型。 包括SQL注入、XSS、目录穿越、Java代码执行、PHP代码执行、ASP代码执行、通用代码执行、Java反序列化、PHP反序列化、本地文件包含、远程文件包含、文件上传、CSRF、SSRF、命令注入、信息泄露、模板注入、XML实体注入、Xpath注入、LDAP注入、自定义精准攻击、未知攻击。 CVE编号 防护规则对应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。对于非CVE漏洞，显示为空。 关联规则组数 显示对应规则所绑定的规则组数量。

性能调优 rocksdb状态调优 topN排序、窗口聚合计算以及流流join等都涉及大量的状态操作，因而如果发现这类算子存在性能瓶颈，可以尝试优化状态操作的性能。主要可以尝试通过如下方式优化： 1.增加状态操作内存，降低磁盘IO 增加单slot cu资源数 配置优化参数： taskmanager.memory.managed.fractionxx state.backend.rocksdb.block.cachesizexx state.backend.rocksdb.writebuffer.sizexx 2.开启微批模式，避免状态频繁操作 配置参数： table.exec.minibatch.enabledtrue table.exec.minibatch.allowlatencyxx table.exec.minibatch.sizexx 3.使用超高IO本地盘规格机型，加速磁盘操作 group agg单点及数据倾斜调优 按天聚合计算或者group by key不均衡场景下，group聚合计算存在单点或者数据倾斜问题，此时，可以通过将聚合计算拆分成LocalGlobal进行优化。配置方式为设置调优参数: table.optimizer.aggphasestrategyTWOPHASE count distinct优化 在count distinct关联key比较稀疏场景下，即使使用LocalGlobal，单点问题依然非常严重，此时可以通过配置以下调优参数进行分桶拆分优化: table.optimizer.distinctagg.split.enabledtrue table.optimizer.distinctagg.split.bucketnumxx 使用filter替换case when: 例如： COUNT(DISTINCT CASE WHEN flag IN ('android', 'iphone')THEN userid ELSE NULL END) AS appuv 可调整为 COUNT(DISTINCT userid) FILTER(WHERE flag IN ('android', 'iphone')) AS appuv 维表join优化 维表join根据左表进入的每条记录join关联键，先在缓存中匹配，如果匹配不到，则从远程拉取。因而，可以通过如下方式优化: 增加JVM内存并增加缓存记录条数 维表设置索引，加快查询速度

本节介绍了专属云（计算独享型）查看资源的步骤。 查询所有节点的专属云列表 前提条件：已申请并开通专属云服务。 1、登录天翼云控制中心，切换节点； 2、单击右侧上方区域节点下拉列表，查询您在所有区域节点中开通的专属云情况。如图所示，目前在贵州节点下已开通一个名为DeC001的专属云； 3、单击控制中心，点击【专属云】进入专属云页面，查看当前节点下开通的专属云的列表。 查询指定节点的专属云 1、登录天翼云管理控制台，切换节点； 2、单击 ，选择【专属云】； 3、 进入专属云页面，查看贵州节点下开通的专属云列表。 查询指定专属云的信息 1、登录天翼云控制中心，切换节点； 2、从节点选择区域查看专属云，如Dec001； 3、切换到专属云总览页面，在总览页中可以查看专属云内物理机数量、CPU/内存分配情况，各云资源开通情况。

云上安全体系建立必要性 在当今数字化浪潮下，云服务已成为企业运营与发展的关键基础设施，云上安全体系的构建也显得尤为重要。一方面，企业将业务迁移至云端后，面临着复杂多变的网络安全威胁，包括数据泄露、黑客攻击、恶意软件等，这些威胁可能给企业带来巨大的经济损失和声誉损害。另一方面，云计算环境的复杂性使得安全防护难度大幅增加，涉及物理基础设施、虚拟化层、网络、数据等多个层面，任何一个环节出现漏洞都可能导致严重的安全事件。 天翼云作为云服务提供商，致力于为用户提供更安全、可靠的云平台环境，保障客户应用和服务的高性能、稳定、安全与合规，避免宕机风险，这涵盖了从物理基础设施、虚拟化系统到云服务平台等方面进行深度安全保障、同时，天翼云还通过提供多样化的安全工具和产品功能，如防火墙、DDos防护、安全卫士等，辅助客户进行云上资源的安全防护，降低客户的云上安全配置复杂度，助力客户在数字化转型过程中实现业务的安全、稳定运行，为企业的云端之旅保驾护航。 云主机安全体系模型：责任共担 安全并非某一方的单方面义务，需要云厂商与用户的协同合作共建。云厂商主要保证“云本身”可靠（云平台安全，即云主机服务所依赖的底层平台），用户需进行云上资源的防护。双方联动形成互补防线，共担风险。天翼云负责保障云平台基础设施、底层架构及云资源自身的安全，包括物理服务器、网络设备、存储设备、虚拟化层等的防护；用户则需对自身在云平台上部署的应用、数据、操作系统、网络配置等云上内容的安全负责。双方协同合作，共同构建云主机的全方位安全防线。

本文介绍如何基于天翼云弹性文件服务进行Nextcloud网盘搭建。 本文介绍如何基于天翼云弹性文件服务进行Nextcloud网盘搭建，包括应用场景、搭配产品、方案优势及操作步骤。 应用场景 Nextcloud是一款开源免费的私有云存储网盘项目，可以让你快速便捷地搭建一套属于自己或团队的云同步网盘，从而实现跨平台跨设备文件同步、共享、版本控制、团队协作等功能。 方案使用云产品 弹性文件服务，弹性云主机 方案优势 弹性文件服务可弹性扩容，支持Nextcloud网盘的容量需求。 实现跨平台文件同步、文件共享和权限控制等功能，满足用户对网盘的使用需求。 操作步骤 步骤一：购买弹性云主机和弹性文件服务 1. 本次操作实践中，需要购买弹性云主机作为弹性文件服务的挂载点和创建网盘服务器。网盘上传下载文件数据需要占用弹性云主机公网带宽，因此需要为弹性云主机配置弹性IP。此次以CentOS 8.4系统为例介绍操作。弹性云主机购买流程详见创建弹性云主机。弹性云主机部分参数可参考下表： 参数 说明 镜像 CentOS 8.4 64位 弹性IP 自动分配 IP版本 IPv4 带宽 5M 2. 创建弹性文件服务，操作详见创建文件系统，部分参数可参考下表： 参数 说明 存储类型 SFS Turbo 标准型 协议类型 NFS 选择网络 选择与弹性云主机相同VPC