本章节将介绍在安全评分中，不同分值的含义以及扣分项的详细情况。 态势感知实时呈现您云上资产的整体安全评估状况，并根据不同版本的威胁检测能力，评估整体资产安全健康得分。 安全分值 SA根据不同版本的威胁检测能力，评估整体资产安全健康得分。 风险等级包括“无风险”、“提示”、“低危”、“中危”、“高危”和“致命”。 分值范围为0～100，分值越大表示风险越小，资产更安全。 分值从0开始，每隔20取值范围对应不同的风险等级，例如分值范围40~60对应风险等级为“中危”。 分值环形图不同色块表示不同威胁等级，例如黄色对应“中危”。 资产风险修复，并手动刷新告警事件状态后，安全评分实时更新。 说明 由于检测需要一定的时间，请您在单击“重新检测”按钮5分钟后，再刷新页面，查看最新检测的安全评分。 资产安全风险修复后，为降低安全评分的风险等级，需手动忽略或处理告警事件，刷新告警列表中告警事件状态。 安全分值表： 风险等级 安全分值 分值说明 无风险 100分 恭喜您，您的资产当前安全状况良好。 提示 80≤分值<100 您的资产存在少量的安全隐患，建议您及时加固安全防护体系。 低危 60≤分值<80 您的资产存在较多的安全隐患，建议您及时加固安全防护体系。 中危 40≤分值<60 您的资产防御黑客入侵的能力较弱，建议您立即加固安全防护体系。 高危 20≤分值<40 您的资产存在较高的黑客入侵和病毒感染的风险，建议您立即处理。 致命 0≤分值<20 您的资产很可能遭受到黑客入侵和病毒感染的威胁，建议您立即处理。

参数 是否必填 参数类型 说明 示例 下级对象 securityGroupOid 是 String 安全组ID securityGroupName 是 String 安全组名称 remark 否 String 安全组备注 strategynetworkDTOList 否 Array of Objects 该安全组下全量规则信息，需要传所有安全组规则参数 strategynetworkDTOList 表 strategynetworkDTOList

集群创建成功后关闭安全通信 1.登录MRS管理控制台。 2.在现有集群列表中，单击待关闭安全通信的集群名称。 系统跳转至该集群详情页面。 3.单击“通信安全授权”右侧的开关关闭授权，在弹出窗口单击“确定”。 关闭授权后将导致集群状态变更为“网络通道未授权”，集群部分功能不可用，请谨慎操作。 为关闭安全通信的集群开启安全通信 1.登录MRS管理控制台。 2.在现有集群列表中，单击待开启安全通信的集群名称。 系统跳转至该集群详情页面。 3.单击“通信安全授权”右侧的开关开启授权。 开启授权后集群状态变更为“运行中”。 一键修复 当集群中授权的安全组规则不足以支撑MRS集群管理控制台为用户发放、管理和使用大数据组件的操作时，“通信安全授权”右侧出现的提示，请单击“一键修复”按钮进行修复。 1.登录MRS管理控制台。 2.在现有集群列表中，单击待修复安全通信的集群名称。 系统跳转至该集群详情页面。 3.单击“通信安全授权”右侧的“一键修复”。 详见下图：一键修复 4.单击“确定”，完成修复。 详见下图： 修复访问控制策略

本页介绍了如何编辑实例安全组。 文档数据库服务支持修改实例的安全组，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”菜单，进入实例列表页。 3. 选择需要修改的实例，点击该实例的实例ID，进入实例详情。 4. 在“网络”栏中找到“安全组”信息，点击“编辑”按钮（部分资源池为“修改”按钮）。 5. 在“编辑用户安全组”弹窗中，选择需要修改的安全组，点击“确定”按钮，即可完成安全组修改。

本节介绍翼加密的密级管理。 新增/编辑密级 若各部门层级人员有明确的权限等级划分，可以根据实际需要，设置相应密级权限等级，建立密级权限的等级管控： (1) 密级数字越大，加密权限等级越高。 (2) 用户AI云电脑生成的加密文件密级，与用户密级一致。如：用户密级为3级，则用户AI云电脑生成的文件密级为3级。 (3) 用户可读写相应密级的文件。如：用户密级为3级，可读写文件密级为13级。 (4) 用户可自定义调整文件密级。如：用户密级为3级，可设置文件密级为13级。 点击“文件加密”—“密级管理”，在加密桌面列表中可以新增等级更高的密级，并自定义编辑/修改密级名称。如当前已有13级的密级，点击新增，则创建4级密级。 设置密级 默认租户下所有部门和用户的初始密级均为1级，管理员可调整部门和用户的密级等级。当调整部门的密级时，直属于该部门下的所有用户均一并调整相应密级。除此之外，部门内的用户可单独设置不同的密级。 当部门或用户的密级有所调整时，底部的“保存”按钮变为可点击状态，点击保存当前调整的密级。 同时，底部出现“撤销”按钮，点击撤销，部门和用户的密级恢复到上一次保存的状态。

本章节主要介绍翼MapReduce服务KrbServer健康检查指标项说明。 KerberosAdmin服务可用性检查 指标项名称： KerberosAdmin服务可用性 指标项含义 ：系统对KerberosAdmin服务状态进行检查，如果检查结果不正常，则KerberosAdmin服务不可用。 恢复指导： 如果该指标项检查结果不正常，原因可能是KerberosAdmin服务所在节点故障，或者SlapdServer服务不可用。操作人员进行KerberosAdmin服务恢复时，请尝试如下操作： 1. 检查KerberosAdmin服务所在节点是否故障。 2. 检查SlapdServer服务是否不可用。 KerberosServer服务可用性检查 指标项名称： KerberosServer服务可用性 指标项含义 ：系统对KerberosServer服务状态进行检查，如果检查结果不正常，则KerberosServer服务不可用。 恢复指导： 如果该指标项检查结果不正常，原因可能是KerberosServer服务所在节点故障，或者SlapdServer服务不可用。操作人员进行KerberosServer服务恢复时，请尝试如下操作： 1. 检查KerberosServer服务所在节点是否故障。 2. 检查SlapdServer服务是否不可用。 服务健康状态 指标项名称： 服务状态 指标项含义 ：系统对KrbServer服务状态进行检查，如果检查结果不正常，则KrbServer服务不可用。 恢复指导： 如果该指标项检查结果不正常，原因可能是KrbServer服务所在节点故障或者LdapServer服务不可用。详细操作请参见告警ALM25500处理。 检查告警 指标项名称： 告警信息 指标项含义 ：系统对KrbServer服务的告警信息进行检查。如果存在告警信息，则KrbServer服务可能存在异常。 恢复指导： 如果该指标项检查结果不正常，建议根据告警内容，查看对应的告警资料，并进行相应的处理。

本章节主要介绍翼MapReduce服务配置服务参数。 用户可以根据实际业务场景，在MRS Manager中快速查看和修改服务默认的配置，及导出或导入配置。 对系统的影响 配置HBase、HDFS、Hive、Spark、Yarn、Mapreduce服务属性后，需要重新下载并更新客户端配置文件。 集群中只剩下一个DBService角色实例时，不支持修改DBService服务的参数。 操作步骤 修改服务参数 1. 单击“服务管理”。 2. 单击服务列表中指定的服务名称。 3. 单击“服务配置”。 4. 在“参数类别”选择“全部配置”，界面上将显示该服务的全部配置参数导航树，导航树从上到下的根节点分别为服务名称和角色名称。 5. 在导航树选择指定的参数，修改参数值。支持在“搜索”输入参数名直接搜索并显示结果。 修改某个参数的值后需要取消修改，可以单击恢复。 说明 如果需要批量修改服务某个角色多个实例的配置，可以使用主机组实现实例参数的批量配置。在“角色”选择角色名称，然后在“主机”打开“ ”。“主机组名”填写一个名称，“主机”列表中勾选要修改的主机并加入“已选择的主机”，单击“确定”添加主机组。添加的主机组可以在“主机”中选择，且仅在当前页面有效，刷新页面后将无法保存。 6. 单击“保存配置”，勾选“重新启动受影响的服务或实例。”并单击“确定”重启服务。 界面提示“操作成功。”，单击“完成”，服务成功启动。 说明 更新YARN服务队列的配置且不重启服务时，选择“更多 > 刷新队列”更新队列使配置生效。

本章节主要介绍翼MapReduce的添加资源池操作。 操作场景 在集群中，管理员可从逻辑上对所有Yarn的节点进行分区，使多个NodeManager形成一个Yarn资源池。每个NodeManager只能属于一个资源池。管理员通过FusionInsight Manager添加一个自定义的资源池，并将未加入自定义资源池的主机加入此资源池，便于指定的队列利用这些计算资源。 系统中默认包含了一个名为“default”的资源池，所有未加入用户自定义资源池的NodeManager属于此资源池。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“租户资源 > 资源池”。 3. 单击“添加资源池”。 4. 设置资源池的属性。 “集群”：选择待添加资源池的集群名称。 “名称”：填写资源池的名称。长度为1~50个字符，可包含数字、字母或下划线（ ） ，且不能以下划线 （ ）开头。 “资源标签”：配置资源池的资源标签，包括数字、字母、下划线（ ）或减号（），长度为1~50个字符，且只能以数字或者字母开头。 “资源”：在界面左边可用主机列表中，勾选指定的主机，单击，将选中的主机加入已选主机列表。只支持选择本集群中的主机。资源池中的主机列表可以为空。 说明 根据业务需求，可以通过主机名称、CPU、内存、操作系统和平台类型，筛选需要选取的资源主机。 5. 单击“确定”保存。 完成资源池创建后，管理员可以在资源池的列表中查看资源池的名称、成员、类型。已加入自定义资源池的主机，不再是“default”资源池的成员。

本章节主要介绍翼MapReduce的添加资源池操作。 操作场景 在集群中，管理员可从逻辑上对所有Yarn的节点进行分区，使多个NodeManager形成一个Yarn资源池。每个NodeManager只能属于一个资源池。管理员通过FusionInsight Manager添加一个自定义的资源池，并将未加入自定义资源池的主机加入此资源池，便于指定的队列利用这些计算资源。 系统中默认包含了一个名为“default”的资源池，所有未加入用户自定义资源池的NodeManager属于此资源池。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“租户资源 > 资源池”。 3. 单击“添加资源池”。 4. 设置资源池的属性。 “集群”：选择待添加资源池的集群名称。 “名称”：填写资源池的名称。长度为1~50个字符，可包含数字、字母或下划线（），且不能以下划线（）开头。 “资源标签”：配置资源池的资源标签，包括数字、字母、下划线（）或减号（），长度为1~50个字符，且只能以数字或者字母开头。 “资源”：在界面左边可用主机列表中，勾选指定的主机，单击，将选中的主机加入已选主机列表。只支持选择本集群中的主机。资源池中的主机列表可以为空。 说明 根据业务需求，可以通过主机名称、CPU、内存、操作系统和平台类型，筛选需要选取的资源主机。 5. 单击“确定”保存。 完成资源池创建后，管理员可以在资源池的列表中查看资源池的名称、成员、类型。已加入自定义资源池的主机，不再是“default”资源池的成员。

本章节主要介绍翼MapReduce的查看主机概览操作。 总览 登录FusionInsight Manager以后，单击“主机”，在主机列表单击指定的主机名称，可以访问主机详情页面，主要包含基本信息区、磁盘状态区、角色列表区和监控图表等。 基本信息区 主机详情页面的基本信息包含该主机的各个关键信息，例如管理IP地址、业务IP地址、主机类型、机架、防火墙、CPU核数、操作系统等信息。 磁盘状态区 磁盘状态区包含了该主机所有为集群配置的磁盘分区，并显示每个磁盘分区的使用情况。 实例列表区 实例列表区显示了该主机所有安装的角色实例，并显示每个角色实例的状态，单击角色实例名称后的日志文件，可在线查看该实例对应日志文件内容。 告警和事件的历史记录 告警和事件的历史记录区显示了当前主机上报的关键告警与事件记录，系统最多可显示20条历史记录。 图表 主机详情页面的右侧展示图表区，包含该主机的各个关键监控指标报表。 用户可以单击右上角的“ > 定制”，自定义在图表区展示的监控报表。选择时间区间后，单击“ > 导出”，可以导出指定时间区间内的详细监控指标数据。 单击监控指标标题后的可以打开监控指标的解释说明。 单击主机的“图表”页签，可直接查看该主机的全量监控图表信息。

本章节主要介绍翼MapReduce服务的术语解释。 节点 MRS集群中每个节点即为一台云服务器，节点类型及节点功能如下所示。 节点类型 功能 Master节点 MRS集群管理节点，负责管理和监控集群。在MRS管理控制台选择“集群列表>现有集群”，选中一个运行中的集群并单击集群名，进入集群信息页面。在“节点管理”中查看节点名称，名称中包含“master1”的节点为Master1节点，名称中包含“master2”的节点为Master2节点。 Master节点可以通过弹性云服务器界面的VNC方式登录，也可以通过SSH方式登录，并且Master节点可以免密码登录到Core节点。 系统自动将Master节点标记为主备管理节点，并支持MRS集群管理的高可用特性。如果主管理节点无法提供服务，则备管理节点会自动切换为主管理节点并继续提供服务。 Core节点 MRS集群工作节点，负责处理和分析数据，并存储过程数据。 Task节点 计算节点，用于弹性伸缩，集群计算资源不足时扩容至集群中。 Flink Flink是一个批处理和流处理结合的统一计算框架，其核心是一个提供了数据分发以及并行化计算的流数据处理引擎。 Flume Flume是一个高可用、高可靠，分布式的海量日志采集、聚合和传输的系统。Flume支持在日志系统中定制各类数据发送方，用于收集数据；同时，Flume提供对数据进行简单处理，并写到各种数据接受方（可定制）的能力。其中FlumeNG是Flume 的一个分支，其目的是要明显简单，体积更小，更容易部署。

本节介绍如何查看安全概览，通过安全概览了解整体的安全风险和告警。 安全概览会通过大屏的方式展示安全评分、资产总数、告警总数、威胁动态、日志分布TOP5、风险资产TOP5、告警处置概览、近七天趋势图、攻击链统计图。 前提条件 安全概览的数据来源于接入系统的数据量，需要确保已完成数据接入。具体操作请参见接入日志、告警。 操作步骤 1. 登录云安全中心控制台。 2. 在左侧导航栏，选择“安全态势 > 安全概览”，进入安全概览页面，查看安全评分和风险数据统计。 说明 日志、告警等维度数据展示均支持下钻点击，通过详情进行展示。 概览数据只展示当前情况，最新实时数据需要手动刷新页面获取。

项 目 约束和限制 迁移源和迁移任务数量限制 每位用户可激活的迁移源数量上限为1000台；每位用户可创建迁移任务数量为1000个；每位用户可并发执行的迁移任务数量为50台。 迁移源绑定限制 每个迁移源同一时刻仅能绑定一个目标端，对应生成唯一一个"未完成"状态的迁移任务；已完成或异常的迁移任务不能作为迁移源绑定目标端。 迁移源软硬件、授权限制 未授权的应用软件、盗版软件、集群数据库、UKey等可能影响产品的使用，应避免使用。 迁移源目标端配置限制 目标机内存必须大于4GB；目标机配置建议与迁移源相同，如果迁移源内存小于4GB，迁移完成后可以根据需求进行缩扩容等修改。 迁移源目标端限制 目标端机器必须是天翼云平台上使用云迁移专用PE镜像创建的虚拟机。 迁移源网络限制 源机可以使用独享IP，也可以使用NAT网络或者代理，需要能访问到 迁移盘符限制 引导位置必须在第一个盘的第一个分区。 迁移源存储服务限制 不支持客户端共享存储，共享存储中的数据可以在迁移完成后使用rsync命令进行迁移，操作方式参见 迁移源磁盘数、容量限制 单盘容量无限制，但磁盘个数应确定在24个以下。如果超过该限制，需要对源机磁盘进行减少或通过工单进行技术咨询。 数据库与集群服务限制 Oracle RAC需要使用共享存储、部分使用ASM磁盘，CMS无法提供ASM磁盘、Oracle RAC迁移。大型库不建议使用CMS进行迁移，建议使用数据库专业迁移工具进行迁移。如果使用CMS进行迁移，在使用过程中应当在“停止增量”步骤前停止相关应用进程。 网络环境因素限制 网络环境问题可能影响迁移速率，应先测试迁移源出口带宽、目标端入流量带宽以及CMS控制台带宽限制配置；注意是否存在特殊的网络、专线以及是否具备公网环境。 复杂业务拉起、支撑限制 迁移复杂业务时，需要记录业务关联信息，并根据需求按业务系统进行迁移、切换、测试；增量迁移时，需要停止相关业务进程，以保持一致性。业务上云后，也需相关熟悉业务人员进行测试验证，以此减少业务停机时间。 特定需求限制 如果存在涉密文件、需要保持IP不变等特定需求，需要通过工单进行技术咨询，以满足相应需求。 迁移源资源与性能限制 CMS代理端部署于源机，需占用源机的CPU与内存，当源机CPU使用率或内存使用率过高时，CMS代理端会影响业务，甚至导致迁移源宕机。正常4C4G的机器能正常满足迁移所需资源。CMS需在源机agent启动后，持续对源机进行监控，并给出一定周期内CPU、内存使用情况、硬盘数据增长量等数据。用户根据给出数据对系统进行评估。若无法准确评估需找相关专业人员确认。 目标端设备规格的规格限制 目标机规格支持GPU类相关规格，A10/V100s GPU主机、T4/V100GPU主机。 操作系统 支持迁移的Windows操作系统参见

本文介绍安全加速的计费项。 注意事项： 1.订购资源包之前需开通安全加速的按需服务 2.订购安全加速时，至少需要订购WAF和抗D其中一种 计费分类 计费项 是否必选 是否有资源包 备注 安全加速基础服务 静态https请求数 是 是 购买安全加速基础费用，必须选择静态https请求数与CDN带宽/流量；WAF防护和抗D防护至少开启一项能力 安全加速基础服务 CDN带宽/流量 是 是 购买安全加速基础费用，必须选择静态https请求数与CDN带宽/流量；WAF防护和抗D防护至少开启一项能力 安全加速WAF防护 基础功能费用 是（若需要WAF防护则为必选） 否 安全加速WAF防护 防护请求数 是（若需要WAF防护则为必选） 是 安全加速WAF防护 域名数量扩展 否 否 WAF防护基础套餐数量不够则需要购买扩展 安全加速抗D防护 基础套餐 是（若需要抗D防护则为必选） 否 安全加速抗D防护 弹性防护 否 否 安全加速抗D防护 动态请求数 否（若仅购买抗D防护则必选） 否（暂未上线） 安全加速抗D防护 域名数量扩展 否 否 抗D防护基础套餐数量不够则需要购买扩展

本文主要介绍设置安全组 操作场景 为了保障数据库的安全性和稳定性，在使用文档数据库实例之前，您需要开通需访问数据库的IP地址和端口。本文将主要介绍设置安全组的操作步骤。 注意事项 安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和文档数据库可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当文档数据库服务加入该安全组后，即受到这些访问规则的保护。 当需要从安全组外访问安全组内的文档数据库时，需要为安全组添加相应的入方向规则。 操作步骤 步骤 1 在“实例管理”页面，选择指定的集群实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。 步骤 3 在“安全组”区域，选择“入方向规则”页签，单击“添加规则”，弹出添加入方向规则窗口。选择“出方向规则”页签，单击“添加规则”，弹出添加出方向规则窗口。 单击，可以依次增加多条规则。 步骤 4 根据界面提示配置安全组规则。 参数说明 参数 说明 取值示例 ::: 协议 网络协议。支持全部放通、自定义协议、“TCP”、“UDP”、“ICMP”、“SSH”等协议。 TCP 端口 允许远端地址访问弹性云主机或外部设备的指定端口，取值范围为：1～65535。 端口填写包括以下形式：单个端口：例如22；连续端口：例如2230；全部端口：为空或165535 8635 源地址 可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如：单个IP地址：192.168.10.10/32；IP地址段：192.168.1.0/24；所有IP地址：0.0.0.0/0；安全组：sgabc IP；地址组：ipGrouptest 0.0.0.0/0 步骤 5 单击“确定”。

态势感知（专业版）与企业主机安全HSS服务的区别。 服务含义区别 态势感知（专业版）是云原生的新一代安全运营中心，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，可以鸟瞰整个云上安全，精简云安全配置、云防护策略的设置与维护，提前预防风险，同时，可以让威胁检测和响应更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 企业主机安全（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机 安全、容器 安全和 网页防篡改 ，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之，态势感知（专业版）是呈现全局 安全态势的服务，HSS是提升主机 和容器安全性的服务。 服务功能区别 态势感知（专业版）通过采集 全网安全数据 （包括HSS、WAF、AntiDDoS等安全服务检测数据），提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 态势感知（专业版）与HSS主要功能区别： 功能项 共同点 不同点 资产安全 主机资产 呈现主机资产的整体安全状态。 态势感知（专业版）：仅支持同步HSS主机资产风险信息，列表呈现各主机资产的整体安全状况。 HSS：不仅支持呈现主机的安全状况，还支持深度扫描主机中的账号、端口、进程、Web目录、软件信息和自启动任务。 资产安全 网站资产 态势感知（专业版）：支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 HSS：不支持该功能。 漏洞管理 主机漏洞 呈现主机漏洞扫描结果，管理主机漏洞。 态势感知（专业版）：仅支持同步HSS主机漏洞扫描结果，管理主机漏洞。 HSS：支持检测Linux漏洞、Windows漏洞、WebCMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 基线检查 云服务基线 态势感知（专业版）：针对云服务关键配置项，从多种风险类别，了解云服务风险配置的所在范围和风险配置数目。 HSS：不支持该功能。 基线检查 主机基线 态势感知（专业版）：不支持该功能。 HSS：针对主机，提供基线检查功能，包括检测复杂策略、弱口令及配置详情，包括对主机配置基线通过率、主机配置风险TOP5、主机弱口令检测、主机弱口令风险TOP5的统计。

当您购买了弹性云主机后,可以根据业务需要搭建为不同的环境、网站或应用。本文介绍如何在弹性云主机上搭建Discuz!论坛。 背景介绍 Discuz!是一款通用的社区论坛软件系统，它采用PHP和MySQL组合的基础架构，为您提供高效的论坛解决方案。 前提条件 已购买弹性云主机实例，实例满足以下条件： 1. 实例已分配公网IP地址或绑定弹性公网IP（EIP）。 2. 操作系统必须为CentOS 7.x。 3. 实例安全组的入方向规则已放行22、80、443端口。 操作步骤 安装Apache Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充，将Perl/Python等解释器编译到服务器中。 1. 安装软件httpd httpd是Apache超文本传输协议(HTTP)服务器的主程序。执行以下命令： yum install httpd y 2. 启动主程序httpd 启动主程序httpd，用以接受请求。执行以下命令： service httpd start 3. 设置httpd 开机自启动 httpd开机自动启动可以保证虚拟机重启之后，服务可以同时启动，执行以下命令： chkconfig httpd on 4. 安装php 编译器 安装php编译器，为后续的编写工作做准备。执行以下命令： yum install php –y 5. 安装phpmysql 插件 安装php编译器与mysql链接的插件，用户进行数据库连接。执行以下命令： yum install phpmysql y Apache软件安装完成。

为什么在目录下并发创建文件，每秒创建的文件数量达不到IOPS标称的值？ 创建文件涉及到“为新文件分配磁盘空间”和“将新文件加入目录”至少2个IO指令： “为新文件分配磁盘空间”可以并发执行，并发程度受文件系统大小影响，文件系统越大，并发程度越高。 “将新文件加入目录”如果修改的是同一目录，不能并发执行。修改速度受IO时延影响较大，如文件系统时延为1ms，无并发的情况下1秒内能完成1000次IO，单目录的创建性能就不会超过1000文件/秒。 解决方案： 避免单个目录包含过多的文件，建议单目录下文件数量不超过1万个。 扩容文件系统，可以提升文件系统的读写性能。 如何解决向多台云主机中挂载的NFS文件系统中写入数据延迟问题？ 问题描述： 云主机1更新了文件A，但是云主机2立即去读取时，仍然获取到的是旧的内容。 问题原因： 这涉及两个原因：第一个原因是，云主机1在写入文件A后，并不会立即进行刷新（flush），而是先进行PageCache操作，依赖于应用层调用fsync或者close来进行刷新。第二个原因是，云主机2存在文件缓存，可能不会立即从服务器获取最新的内容。例如，在云主机1更新文件A时，云主机2已经缓存了数据，当云主机2再次读取时，仍然使用了缓存中的旧内容。 解决方案： 方案一：在云主机1更新文件后，一定要执行close或者调用fsync。在云主机2读取文件之前，重新打开文件，然后再进行读取。 方案二：关闭云主机1和云主机2的所有缓存。这会导致性能较差，所以请根据实际业务情况选择适合的方案。关闭云主机1的缓存：在挂载时，添加noac参数，确保所有写入立即落盘。挂载命令示例如下： plaintext 挂载命令,noac 本地挂载路径1 关闭云主机2的缓存：在挂载时，添加actimeo0参数，忽略所有缓存。挂载命令示例如下： plaintext 挂载命令,actimeo0 本地挂载路径2 根据实际情况以上方案可以确保云主机1更新文件后，云主机2能立即获取到最新内容。 注意 挂载命令在天翼云官网控制台中文件系统详情页复制。 请务必确认挂载命令中具备noresvport参数，防止文件系统卡住。

防护节点购买上限是什么？ 每个资源池最多支持购买10000个防护节点。 容器安全卫士是否支持按需计费？ 当前容器安全卫士不支持按需计费。 在使用期间购买了防护节点 ，资源到期时间是何时？ 扩容节点与主套餐绑定，资源到期时间与主套餐一致。 购买的扩容节点，支持单独退订吗？ 不支持。扩容节点购买后与主套餐绑定，不支持单独退订。 退订重购后，原实例的配置数据可以保留吗？ 用户退订后在15天内重新购买实例时，仅当新实例版本等于或高于旧实例时，可恢复原有配置。 当重新购买时距离退订已超过15天，原资源已释放且配置数据已删除，则无法恢复。

安全专区整合了安全管理中心、云防火墙、云日志审计、云数据库审计、云堡垒机、终端安全EDR等组件。本小节介绍安全专区上线配置。 安全专区整合了安全管理中心、云防火墙、云日志审计、云数据库审计、云堡垒机、终端安全EDR等组件，用户采购开通后，需要进行以下初始安装配置，才能正常使用。 安全组件 安装内容及步骤 备注 云防火墙 VPC环境调整 请参考云防火墙配置 云防火墙 网络配置 请参考云防火墙配置 云防火墙 访问策略配置 请参考云防火墙配置 云防火墙 安全策略配置 请参考云防火墙配置 云防火墙 网络割接 请参考云防火墙配置 云防火墙 网络测试 请参考云防火墙配置 云堡垒机 运维账号 请参考云堡垒机 云堡垒机 添加资产 请参考云堡垒机 云堡垒机 管理授权 请参考云堡垒机 云堡垒机 映射端口 请参考云堡垒机 云堡垒机 登录运维 请参考云堡垒机 云日志审计 添加资产 请参考云日志审计 云日志审计 采集器配置 请参考云日志审计 云日志审计 客户端安装 请参考云日志审计 终端安全EDR 客户端安装 请参考终端安全EDR 终端安全EDR 策略配置 请参考终端安全EDR 云数据库审计 部署方式 请参考云数据库审计 云数据库审计 添加审计策略 请参考云数据库审计 云数据库审计 添加保护对象 请参考云数据库审计 云数据库审计 客户端安装 请参考云数据库审计 云防火墙：部署在网络边界提供边界防御能力，上线配置工作包括VPC环境调整、网络配置、策略配置、网络割接等几个部分，详细操作指引请参考云防火墙。 云堡垒机： 负责审计业务系统运维操作，配置包括运维账号管理、添加资产及授权，详细操作指引请参考云堡垒机。 云日志审计： 集中收集并审计所有业务系统及安全产品的系统日志，需添加资产、配置采集器、安装配置客户端，详细操作指引请参考云日志审计。 终端安全EDR：部署在业务系统主机，提供防病毒、补丁管理、入侵侦测响应等端点安全防护能力，需要在业务主机系统安装客户端，详细操作指引请参考终端安全EDR。 云数据库审计：集中收集并审计所有数据库系统操作日志，配置包括客户端安装和数据库信息录入，详细操作指引请参考云数据库审计。 安全组件配置完成后，安全管理中心可实时从安全组件收集全网资产的风险、威胁安全数据，关联分析评估用户云环境的安全态势。

根据等级保护2.0要求，对系统管理员、审计管理员和安全管理员的管理主体、权限控制和管控过程提出明确要求，同时要求安全管理中心内的管理系统符合“三权分立”权限管理模式。 安全管理中心默认以下权限分配： 模块名称/角色名称 租户系统管理员 租户安全管理员 租户运维管理员 租户审计管理员 总览 √ √ √ 系统管理 用户管理 √ 白名单 √ 操作日志管理 √ √ √ 资产管理 √ √ √ 总览 √ √ √ 服务器 √ √ √ 域名 √ √ √ 运营管理 √ √ √ 安全报告 √ √ √ 组件管理 √ √ √ 安全组件 √ √ √ 威胁分析 √ √ √ 风险分析 √ √ √ 主机漏洞 √ √ √ 网站漏洞 √ √ √ 补丁漏洞 √ √ √ 基线合规 √ √ √ 病毒 √ √ √ 设置 √

开启安全认证 Nacos引擎专享版默认关闭安全认证。可通过控制台开启安全认证。 说明 开启安全认证后，控制台仅能看到有权限访问的命名空间；同时没有配置用户名密码的客户端将无法访问Nacos实例，请谨慎操作。 步骤 1 登录微服务引擎控制台。 步骤 2 在左侧导航栏选择“注册配置中心”。 步骤 3 单击待开启安全认证的Nacos引擎。 步骤 4 在左侧导航栏选择“权限控制”。 步骤 5 单击“开启安全认证”。 步骤 6 在弹出框中单击“确定”，该引擎开启安全认证成功。 关闭安全认证 说明 关闭安全认证后，无法对各个用户进行权限控制，客户端无需密码即可访问Nacos实例，访问控制台可以看到全部的命名空间，请谨慎操作。 步骤 1 登录微服务引擎控制台。 步骤 2 在左侧导航栏选择“注册配置中心”。 步骤 3 单击待关闭安全认证的Nacos引擎。 步骤 4 在左侧导航栏选择“权限控制”。 步骤 5 单击“关闭安全认证”。 步骤 6 在弹出框中单击“确定”，待该引擎的状态变为“可用”时，该引擎关闭安全认证成功。

本文介绍了边缘安全加速平台安全与加速服务API防护模块下接口滥用拦截的使用方法。 功能介绍 攻击者常通过脚本、工具频繁调用某个接口完成账号暴力破解、批量注册等恶意行为。 高频的请求不仅不符合用户正常的操作行为，并且也容易导致接口高负载出现不稳定。 接口滥用拦截可识别客户端的异常高频的API请求，并进行实时拦截，防止接口被恶意滥用。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 注意 未订购“API安全”扩展能力，接口滥用拦截功能设置“关闭”、“告警”动作，无法设置“拦截”动作。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入安全防护【接口滥用拦截】详细设置页。 配置说明

本节主要介绍开启和关闭SSL安全连接。 GeminiDB Influx实例支持实例创建成功后，开启或关闭SSL安全连接。 使用须知 该功能目前处于公测阶段，如需使用，请您联系客服申请开通。 开启或关闭SSL安全连接时需要重启实例。 开启SSL安全连接 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在实例管理页面，单击目标实例名称，进入基本信息页面。 4. 在数据库信息区域，单击SSL后的，开启SSL安全连接。 图 开启SSL安全连接 关闭SSL安全连接 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在实例管理页面，单击目标实例名称，进入基本信息页面。 4. 在数据库信息区域，单击SSL后的，关闭SSL安全连接。 图 关闭SSL安全连接

本文将向您介绍如何通过边缘安全加速平台安全与加速服务提供的访问控制功能设置网站白名单。 功能介绍 若存在您完全信任的请求，支持在边缘安全加速平台控制台配置网站白名单策略，符合条件的请求将不经过安全与加速服务任意的防护策略。 背景信息 您的域名接入边缘安全加速平台安全与加速服务后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见下文。 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见设置Web规则白名单。 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通高级版及以上版本，支持使用访问控制功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【访问控制】详细设置。

本文介绍静态https请求包。 销售品名称 规格（万次） 标准资费价格 安全加速静态https请求包 1000 40元 安全加速静态https请求包 10000 360元 安全加速静态https请求包 100000 3200元 安全加速静态https请求包 1000000 28000元 安全加速静态https请求包 10000000 200000元

此小节介绍主机风险总览。 企业主机安全在控制台提供总览页面，实时展示您所有资产的安全评分、安全风险、防护地图等，帮助您了解主机和容器的安全状态以及存在的安全风险。 查看总览 1、登录管理控制台。 2、在左侧导航树选择“总览”，进入总览页查看资产安全信息。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 区域 说明 配额数量及待升级Agent数 展示当前您已购买的各版本HSS防护配额总数和使用情况，以及待升级Agent数量。 单击对应防护配额的总数值，可跳转到防护配额界面查看防护配额列表。 单击待升级Agent数值，可跳转到Agent管理界面查看并升级Agent。 说明：企业主机安全会持续优化提升服务能力，包括但不限于新增功能、优化缺陷，因此会定期迭代版本。请及时将主机上的Agent升级为最新版，以便您可以享受到更好的企业主机安全。 安全评分 安全风险评分范围为0~100分，无风险资产默认为100分，HSS会根据资产中存在的基线风险、漏洞风险、入侵风险和资产风险等执行扣分，评分越低表示资产中存在的安全风险越多。 为了保护的您资产安全，建议您及时处理安全风险，提高安全评分： 1、在“安全评分”模块，单击“立即处理”。 2、在“安全风险处理”弹窗中，查看扣分项，单击下箭头展开扣分明细。 3、单击扣分项右侧的“前往处理”，可跳转至对应的风险列表，您可以根据风险详情和修复建议进行修复。 4、修复风险后，单击“重新体检”，刷新评分。 热点资讯 展示最新的热点漏洞信息。 安全风险 展示HSS检测到您资产中存在的安全风险。 主机风险： 需紧急处理告警/总数：处理优先级为紧急的告警数量和告警总数。 紧急优先级修复漏洞/总数：修复优先级为紧急的漏洞数量和漏洞总数。 基线风险：待处理的基线风险总数。 待处理可疑进程：待处理的可疑进程事件总数。 容器风险： 高优先级修复漏洞/总数：修复紧急度为高危的漏洞数量和漏洞总数。 安全风险趋势 展示资产最近七天的安全风险趋势图。 防护地图 展示资产开启安全防护的情况。 资产总数：当前区域下的资产总数。 未防护/主机总数：未防护主机数量和主机总数。 未防护/容器总数：未防护容器数量和容器总数。 安全防护功能开启情况：对应防护功能的开启数量和防护功能累计扫描/检测项数量。

参数 是否必选 参数说明 名称 是 创建伸缩配置的名称。 可用区 是 多可用区资源池可选择伸缩组绑定的伸缩配置，在指定可用区扩缩容。当伸缩配置绑定的伸缩组使用优先级扩容策略时，可用区选择顺序将决定优先级。 配置规格 是 配置规格有两种选择，使用新规格与使用现有云主机规格： 选择“使用现有云主机规格>请选择云主机” 创建配置，云主机类型、 vCPU、内存、镜像、云硬盘数据、安全组信息将默认与选择的云主机规格保持一致。 选择“使用新规格”，接下来根据实际业务需求配置云主机类型、vCPU、内存、镜像（支持公共镜像、私有镜像或共享镜像）、云硬盘参数、安全组信息。 弹性IP 是 弹性IP可以实现虚拟私有云中的云资源通过固定的公网IP 地址与互联网互通。您可以根据实际需求选择以下两种方式： 不使用：弹性云主机不能对外提供访问服务，仅可在虚拟私有云内部进行内网互通。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽值可以由您设定。 登录方式 是 天翼云提供两种登录方式供您选择，密钥对和密码。密钥对指使用密钥作为弹性云主机的鉴权方式进行登录。选择此方式，请您在密钥对配置项中导入密钥对。 说明： 如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件且可以登录云主机，否则，将影响您正常登录弹性云主机。 密码指使用设置 root 用户（Linux 操作系统）和 Administrator 用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。您需要为您的用户设置密码，并确认密码，确保能够成功登录云主机。 云监控 否 是否开启详细监控。若开启，在云主机创建成功后35分钟将自动执行详细监控Agent安装，可获取云服务器CPU、内存、网络、磁盘、进程等指标详细监控；若不开启，则通过该伸缩配置创建的云主机无任何监控数据。 是否编辑标签 否 是否启用标签。若启用，通过该伸缩配置创建的云主机默认绑定标签；若不启用，则通过该伸缩配置创建的云主机无标签。 用户数据 否 用于创建云主机时向云主机注入实例自定义数据。伸缩配置支持以文本形式输入用户数据内容，配置后，云主机首次启动时会自行注入数据信息。 例如：您可以通过注入一段脚本，激活待创建云主机的root用户权限，注入成功后，您可以使用root用户登录弹性云主机。

本文为您介绍可信计算能力,以及如何开通、使用可信云主机。 什么是可信计算 可信计算是实现云租户计算环境高级安全的重要功能之一。通过在虚拟化层面上使用可信虚拟化技术（vTPM）作为可信根，构建从系统启动到用户指定应用的信任链，并实现远程证明机制，从而为用户提供从启动阶段到运行阶段的全方位可信保障。在系统和应用中加入可信验证，可以显著降低因使用未知或被篡改的系统/软件而遭受攻击的风险。 说明 当前仅对部分用户开放试用可信云主机功能，如您需要体验，请联系客户经理。 支持可信系统的实例规格 鲲鹏网络增强通用型ks2xne 鲲鹏网络增强计算型kc2xne 鲲鹏网络增强内存型km2xne 说明 当前仅在华东1资源池可用区2支持可信云主机。 创建可信云主机 在控制台创建可信实例的步骤与创建普通实例类似，但需要注意一些特定选项。本步骤重点介绍可信实例相关的特定配置，如果您想了解其他通用配置，请参见：创建弹性云主机。 1. 登录天翼云。 2. 单击管理控制台左上角的，选择区域，此处我们选择华东1。 3. 点击“计算>弹性云主机”进入云主机控制台。单击右上角创建云主机进入云主机购买页面。 4. 在“基础配置”页规格列表部分，选择一款支持开启可信系统的实例规格。支持可信系统的实例规格请参见本文“支持可信系统的实例规格”部分。 5. 在“基础配置”页镜像部分，勾选“开启可信系统”复选框，此时会展示支持可信系统的镜像，选择您需要的镜像。 6. 按照页面提示，完成实例的创建。

总结 DMS提供了灵活的角色和团队管理机制，无论是个人用户还是大型企业的研发部门，都可以根据自身需求使用最适合的解决方案。 遵循上述最佳实践，可以帮助您更好地利用DMS的功能，从而提高团队的工作效率和安全性。

本文介绍了边缘安全加速平台域名管理操作安全防护的使用方法。 使用场景 边缘安全加速控制台域名列表中提供域名的快捷跳转配置功能，可直接在域名列表中选择对应域名、对应配置模块跳转进行配置查看及编辑。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面，选择在目标域名，点击操作栏【安全防护】。 3.点击需要配置的模块，跳转至对应配置页面；也可以一键控制对应模块的防护开关。开关关闭，防护功能不生效。 功能模块 说明 DDoS防护 包括DDoS防护（中国内地）、DDoS防护（非中国内地），可控制是否开启DDoS防护功能。 Web应用防火墙 包括防护规则引擎、合规性检测、敏感信息防护、网页防篡改、攻击挑战、Cookie防护等安全配置。 访问控制限流 包括CC防护、访问控制、频率控制安全配置。 BOT管理 包括Bot策略白名单、高频爬虫限制、爬虫陷阱安全配置。

本章节主要介绍翼MapReduce组件Spark使用的常见问题。 问题说明 使用Spark SQL 访问Hive 表的一个表分区，但是运行速度却很慢。 分析样例： select x,y from test where x1 （其中x是test表的 Partition 字段） 原因分析 按照spark 源码逻辑，在解析逻辑计划时候回去调用 getPartitionsByFilter方法 去hive中只提取 x1 分区信息。 但是由于一些原因，导致getPartitionsByFilter 的谓词下推失败，从而去全表扫描所有test的分区信息，并返回。 例如，我们x字段是String类型，但是我们的SQL中不是 where x’1’ ，而是where x1 ，这就导致了谓词下推失败。 出现hive分区表谓词下推失败的情况，我们可以做如下处理： 我们需要去检查sql中的写法是否正确。 可以关闭SQL逻辑计划解析过程中的谓词下推逻辑。 处理步骤 关闭SQL逻辑计划解析过程中的谓词下推逻辑，具体是Spark SQL默认开启基于分区统计信息的执行计划优化，相当于自动执行Analyze Table（默认开启的设置方法为spark.sql.statistics.fallBackToHdfstrue，可通过配置为false关闭）。 开启后，SQL执行过程中会扫描表的分区统计信息，并作为执行计划中的代价估算，例如对于代价评估中识别的小表，会广播小表放在内存中广播到各个节点上，进行join操作，大大节省shuffle时间。 此开关对于Join场景有较大的性能优化，但是会带来 获取分区表信息RPC请求 的增加。 在SparkSQL中设置以下参数后再运行： set spark.sql.statistics.fallBackToHdfsfalse; 或者在启动之前使用conf设置这个值为false： conf spark.sql.statistics.fallBackToHdfsfalse