本章主要介绍翼MapReduce的修改集群组件鉴权配置开关功能。 操作场景 集群部署为安全模式或者普通模式时，HDFS和ZooKeeper默认会对访问服务的用户进行鉴权，没有权限的用户无法访问HDFS和ZooKeeper中的资源。集群部署为普通模式时，HBase和Yarn默认不会对访问用户进行鉴权，所有用户可以访问HBase和Yarn中的资源。 管理员可以根据业务实际需要，在普通模式集群中配置开启HBase和Yarn鉴权，或关闭HDFS和ZooKeeper鉴权。 对系统的影响 修改开关后服务的配置将过期，需要重启对应的服务使配置生效。 开启HBase鉴权 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > HBase > 配置”。 3.单击“全部配置”。 4.搜索参数“hbase.coprocessor.region.classes”、“hbase.coprocessor.master.classes”和“hbase.coprocessor.regionserver.classes”。 将协处理器参数“org.apache.hadoop.hbase.security.access.AccessController”添加到以上参数原有参数值末尾，使用英文逗号与原有协处理器分隔。 5.单击“保存”，单击“确定”。 等待界面提示操作完成。 关闭HBase鉴权 关闭HBase鉴权后，原有的权限数据会继续保留。如果需要删除权限信息，请在关闭鉴权后，进入hbase shell删除表hbase:acl。 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > HBase > 配置”。 3.单击“全部配置”。 4.搜索参数“hbase.coprocessor.region.classes”、“hbase.coprocessor.master.classes”和“hbase.coprocessor.regionserver.classes”。 将协处理器参数“org.apache.hadoop.hbase.security.access.AccessController”去除。 5.单击“保存”，单击“确定”。 等待界面提示操作完成。

本章主要介绍翼MapReduce的备份HDFS业务数据功能。 操作场景 为了确保HDFS日常用户的业务数据安全，或者系统管理员需要对HDFS进行重大操作（如升级或迁移等），需要对HDFS数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份HDFS任务并备份数据。支持创建任务自动或手动备份数据。 说明 加密目录不支持备份恢复。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份任务的类型、周期、备份对象、备份目录和备份任务需要使用的Yarn队列等策略规格。 检查备集群HDFS是否有充足的空间，备份文件保存的目录建议使用用户自定义的目录。 使用HDFS客户端，以“hdfs”用户执行hdfs lsSnapshottableDir检查当前集群中已创建HDFS快照的目录清单，确保待备份的数据文件所在HDFS路径的父目录或子目录不存在HDFS快照，否则无法创建备份任务。 如果数据要备份至NAS中，需要提前部署好NAS服务端。

本页介绍天翼云TeleDB数据库中全密态加密。 全密态加密是一种数据加密技术，‌旨在确保数据在整个生命周期（‌包括传输、‌运算和存储）‌中始终保持加密状态，‌从而保护数据隐私。‌这种加密技术不仅涉及到数据的存储加密，‌还包括数据在处理过程中的加密，‌确保即使在数据传输和计算过程中，‌攻击者也无法获取有效的数据信息。‌全密态加密技术的实现依赖于特定的密钥管理机制，‌包括客户端主密钥（‌CMK）‌和数据加密密钥（‌CEK）‌的使用，‌其中CMK用于加密CEK，‌而CEK则用于加密用户数据，‌从而形成一个完整的数据加密体系。 全密态加密方案 全密态加密的实现原理是用户发起查询任务指令，在客户端按照与数据相同的加密策略(加密算法，加密密钥等)完成加密。参数加密完成后整个查询任务被变更成⼀个加密的查询任务并发到数据库服务端。查询得到的结果仍然为密⽂，并最终返回客户端进⾏解密。其核心在用户自己持有数据加解密密钥且数据加解密过程仅在客⼾侧完成，数据以密⽂形态存在于数据库服务侧的整个生命周期过程中，并在数据库服务端完成查询运算。 开启全密态加密 您可参考如下操作开启全密态加密。 管控侧操作： 1. 以用户名和密码登录TeleDBDCP管理控制台。 2. 进入TeleDBDCP控制台管理页面，开通实例。您可参考《安装部署》中实例服务初始化及实例开通章节开通实例。 3. 在实例开通页面，填写基本信息页面，打开KMS开关，选择KMS机器。 说明 KMS开启后无法关闭，选择后无法更改。 数据库侧操作： 1. 在安装⽬录下新建 etc/localkms ⽬录⽤于存储CMK⽂件。 2. psql使⽤C开启全密态。 psql dxxx pxxx hxxx C 3. 创建主密钥CMK。 CREATE CLIENT MASTER KEY cmk1 WITH (KEYSTORE LOCALKMS , KEYPATH "kms1", ALGORITHM SM2); 4. 创建数据密钥CEK。 CREATE COLUMN ENCRYPTION KEY CEK1 WITH VALUES (CLIENTMASTERKEY cmk1,ALGORITHM SM4SM3); 5. 创建加密表，指定加密列。 CREATE TABLE creditcardinfo ( idnumber int,name text encrypted with (columnsencryptionkey cek1, encryptiontype DETERMINISTIC), creditcard varchar(19) encrypted with (columnsencryptionkey cek1,encryptiontype DETERMINISTIC)); 6. 执⾏SQL（仅⽀持SELECT、UPDATE、INSERT、DELETE）。 使用示例 创建CMK主秘钥 CREATE CLIENT MASTER KEY cmk12 WITH (KEYSTORE localkms, KEYPATH "localkms1" , ALGORITHM SM2);CREATE CLIENT MASTER KEY cmk2 WITH (KEYSTORE localkms, KEYPATH "localkms1" , ALGORITHM SM2); 创建CEK数据秘钥 CREATE COLUMN ENCRYPTION KEY cek1 WITH VALUES (CLIENTMASTERKEY cmk1, ALGORITHM SM4SM3);CREATE COLUMN ENCRYPTION KEY cek2 WITH VALUES (CLIENTMASTERKEY cmk2, ALGORITHM SM4SM3);DROP CLIENT MASTER KEY cmk1 CASCADE 创建加密表，col1未加密，col2使⽤cek1加密，col3和col4使⽤cek2加密 CREATE TABLE IF NOT EXISTS tbl1 (col1 INT,col2 INT ENCRYPTED WITH (COLUMNSENCRYPTIONKEY cek1, ENCRYPTIONTYPE DETERMINISTIC),col3 TEXT ENCRYPTED WITH (COLUMNSENCRYPTIONKEY cek2, ENCRYPTIONTYPE DETERMINISTIC),col4 VARCHAR(20) ENCRYPTED WITH (COLUMNSENCRYPTIONKEY cek2, ENCRYPTIONTYPE DETERMINISTIC));

本文主要介绍如何获取访问密钥(AK/SK)。 访问密钥即AK/SK（Access Key ID/Secret Access Key），是您通过开发工具（API、SDK）访问部分云服务平台时的身份凭证，不能登录控制台。系统通过AK识别访问用户的身份，通过SK进行签名验证，通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。 获取AKSK操作说明 1. 通过实名认证的账号登录天翼云。 2. 进入天翼云账号中心。 3. 点击【安全设置】进入安全设置中心 4. 在用户AccessKey模块，可创建AKSK，或直接查看已生成的AKSK。

本文介绍如何在事件总线EventBridge控制台如何使用访问端点。 事件网格支持的访问端点如下： 私网访问端点：您自行创建的私网访问端点，您可以通过私网访问端点来推送用户自定义事件。 查看私网访问端点 1. 登录事件总线控制台。 2. 在左侧导航栏，单击网络管理，选择访问端点。 3. 在访问端点页面，可以查看已链接的访问端点。 1. 查看已链接的访问端点的内网域名、虚拟私有云与子网信息。 2. 点击对应访问端点的管理按钮，查看访问端点的详情信息。 创建私网访问端点 1. 登录事件总线控制台。 2. 在左侧导航栏，单击网络管理， 选择访问端点。 3. 点击创建私网访问端点按钮。 4. 跳转到创建页面，后端服务应选中vpceservereventbridge，高级配置中建议打开私网域名的开关。 5. 选择需要链接的虚拟私有云和子网，点击创建。 注意 创建访问端点会为您创建VPC终端节点，将产生VPC终端节点费用，当您不使用访问端点时请及时删除。 删除私网访问端点 1. 登录事件总线控制台。 2. 在左侧导航栏，单击网络管理， 选择访问端点。 3. 点击对应私网访问端点 ，点击右侧管理按钮。 4. 在天翼云网络控制台中删除对应终端节点。

本节介绍了:指标告警的用户指南。 应用场景 在云容器引擎服务中，资源监控已经对接了云监控服务，并能够使用云监控提供的指标告警能力。 前提条件 已创建集群，具体操作请参见 用户指南 > 集群 > 新建集群 章节。若已有集群，无需重复操作。 集群已安装ccsemonitor插件，可参考 用户指南 > 插件 章节 创建通知组 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页面。 在集群列表中点击需要配置告警的集群，进入集群管理页面. 左侧菜单栏选择 运维管理 > 指标告警 > 通知组 进入通知组配置页面。 通知组支持联系人、翼连、WebHook集成三种通知对象，其中联系人支持手机号（短信）和邮箱（邮件）、翼连支持发送到翼连群、WebHook支持发送到用户指定的WebHook后端。 创建基础策略 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 在集群列表中点击需要配置告警的集群，进入集群管理页面。 左侧菜单栏选择 运维管理 > 指标告警 > 告警策略 进入通知策略配置页面，点击按钮创建通知策略 创建通知策略。 通知策略可以配置通知对象、通知模板、渲染API地址、通知时段，其中通知对象为用户在通知组设置的对象，邮件、短信、翼连三种告警方式支持分别独立配置模板，一般没有特殊需求使用默认模板即可。

本文为您介绍安全总览功能说明，以及支持查看的统计图表、数据含义。 Web应用防火墙（原生版）安全总览页面向您展示当前WAF实例中所有域名的防护统计记录、请求趋势图表以及攻击事件的分布状态等，帮助您了解网站业务的整体安全状态。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成防护对象接入并正常防护。 查询条件 在总览页面上方，选择要查询的防护对象和时间，查询总览数据。 查询条件说明： 防护对象：默认展示SaaS模式下已接入防护的相关数据，也可以查询其他模式下已接入防护的数据，或只查询某个防护对象的数据。 时间：查询时间支持选择昨天、今天、近3天、近7天、近30天或自定义时间范围的防护统计数据。 防护统计数据 防护统计数据展示了网站域名收到的全部请求次数、全部攻击次数和触发了不同防护模块的防护次数，防护模块包括Web入侵防护、CC防护、精准访问防护、BOT防护、地域访问控制、IP黑白名单、防敏感信息泄露、Cookie防篡改、攻击惩罚。 单击全部攻击次数，可以跳转至防护事件列表页，查看统计数据对应的详细攻击事件记录。

同一天翼云账号已商用，后期是否拥有试用权限？ 没有试用权限。商用订单一旦开始，该天翼云账号不再享有试用权限。 解决方案选择：如果您需要继续测试产品或服务，但不希望立即进行商用订单，您可以考虑与我们的销售团队或客户经理合作，探讨其他解决方案。 业务影响：试用权限的取消可能对您的业务测试和决策过程产生一定的影响。因此，在进行商用订单之前，请确保您已经完成了充分的评估和试用，以避免可能的问题。 注意 在进行商用订单之前，请确保您已充分评估和测试所需的产品，以避免购买后后悔或发现与业务需求不匹配的情况。商用订单一旦生效，将被视为最终的购买决策。 受理单一直处于开通状态，可以正常使用N100？ 开通状态仅表示订单目前的处理状态，并不影响客户正常使用N100安全产品。 开通状态：开通状态是指您的受理单正在处理中，可能涉及到N100的部署、授权导入以及其他相关的操作。这是一个中间状态，与您正常使用产品的权限没有直接关系。 使用N100： 客户在受理单处于开通状态时，仍然可以正常使用N100。在完成相应的部署、授权导入以及业务割接等操作后，产品将会被正确配置并生效。 业务割接： 如果您的订单涉及到业务割接，可能需要特别注意相关操作，以确保在切换过程中不影响到您的正常业务运行。我们建议在割接前仔细计划，并可能在非业务高峰期执行。 注意 在使用过程中，如果您遇到任何技术或操作方面的问题，请随时联系我们的技术支持团队。我们将全力支持您解决任何可能影响您正常使用的问题。

本文解答使用全站加速后网站的SEO排名出现波动的原因及解决方案。 问题现象 使用全站加速后网站的SEO排名出现波动。 问题原因 常见的搜索引擎爬虫有： 百度爬虫：Baiduspider；谷歌爬虫：Googlebot；360爬虫：360Spider；搜狗爬虫：Sogou News Spider；SOSO爬虫：Sosospider；雅虎爬虫：Yahoo! Slurp China；有道爬虫：YoudaoBot或者YodaoBot；MSN爬虫：msnbotmedia；必应爬虫：bingbot；一搜爬虫：YisouSpider；Alexa爬虫：iaarchiver；宜搜爬虫：EasouSpider；即刻爬虫：JikeSpider。 此类搜索引擎爬虫对站点的抓取方式和普通用户访问一样，只要普通用户能访问到的内容，它就可以抓取到。 正常情况（SEO排名提升） 使用全站加速之后，访问速度更快，对爬虫更友好，相对更容易被收录，SEO排名会上升。 使用全站加速之后，用户体验提升，访问人数增加，搜索引擎也就会更积极的爬取，SEO排名会上升。 异常情况（SEO排名下降） 在节点不稳定、或者受到恶意DDOS攻击、CC攻击出现更换IP地址的情况下。 解析变更，由于DNS缓存问题或者爬虫本身的缓存问题，导致爬虫访问到异常的旧节点IP，影响访问效果。 以上因素对SEO会有一定的影响，SEO排名可能会下降。 解决方案 如发现是节点不稳定，频繁出现更换IP导致的SEO排名下滑，可通过提交工单给天翼云客服，由其人工调整为稳定的节点IP进行覆盖。 如果发现是受到恶意攻击，频繁出现更换IP导致的SEO排名下滑，可通过天翼云官网购买安全加速类产品来应对攻击，保障业务稳定性，以恢复网站的SEO权重排名。 因常规资源调整，而DNS或者爬虫本身缓存未过期，等待过期更新即可，如果是长期未更新的可反馈DNS、爬虫所有方处理。

本章节主要介绍使用Hive加载HDFS数据并分析图书评分的实践。 MRS离线处理集群，可对海量数据进行分析和处理，形成结果数据，供下一步数据应用使用。 离线处理对处理时间要求不高，但是所处理数据量较大，占用计算存储资源较多，通常通过Hive/SparkSQL引擎或者MapReduce/Spark2x实现。 本实践基于天翼云翼MapReduce服务，用于指导您创建MRS集群后，使用Hive对原始数据进行导入、分析等操作，展示了如何构建弹性、低成本的离线大数据分析。 基本内容如下所示： 1. 创建MRS离线查询集群。 2. 将本地数据导入到HDFS中。 3. 创建Hive表。 4. 将原始数据导入Hive并进行分析。 场景描述 Hive是建立在Hadoop上的数据仓库框架，提供大数据平台批处理计算能力，能够对结构化/半结构化数据进行批量分析汇总完成数据计算。提供类似SQL的Hive Query Language语言操作结构化数据，其基本原理是将HQL语言自动转换成MapReduce任务，从而完成对Hadoop集群中存储的海量数据进行查询和分析。 Hive主要特点如下： 海量结构化数据分析汇总。 将复杂的MapReduce编写任务简化为SQL语句。 灵活的数据存储格式，支持JSON，CSV，TEXTFILE，RCFILE，SEQUENCEFILE，ORC（Optimized Row Columnar）这几种存储格式。 本实践以某图书网站后台用户的点评数据为原始数据，导入Hive表后通过SQL命令筛选出最受欢迎的畅销图书。

背景说明 天翼云现已上线新版的备份服务云服务备份（Cloud Backup and Recovery，以下简称"CBR"）。如果您在云主机备份和云硬盘备份服务中存在备份资源，但希望使用新版云服务备份对历史备份进行备份管理，可以将备份资源从云主机备份和云硬盘备份服务一键迁移至云服务备份中。 若您从未使用过云主机备份和云硬盘备份服务或不再需要历史备份资源，可以跳过此章节，直接使用新服务。 完成资源迁移后，您可以参考云主机备份完成云主机备份资源包的退订，云硬盘备份只有按需计费，不涉及资源包退订。 迁移规则说明 进行一键迁移时，系统会根据您的历史资源情况为您自动创建存储库。 表 迁移规则说明 迁移前 迁移后 :: 云主机或云硬盘绑定在备份策略中 已产生过备份，无论策略是否开启，则迁移时系统会创建一个与策略名称（最长为64位）相同的存储库，创建成功后策略会绑定存储库。 云主机或云硬盘绑定在备份策略中 未产生过备份，仅在策略开启的情况下会创建存储库，创建成功后策略会绑定存储库命名规则同上。 云主机或云硬盘绑定在备份或复制策略中 未产生过备份，且策略未开启时，仅对策略进行迁移。 备份或复制策略未绑定云主机或云硬盘 对策略进行迁移。 开启数据库备份 创建存储库时会创建和该策略名称一致的数据库备份存储库。 复制产生的备份 存放在一个命名为“default”的复制存储库。 使用备份创建过镜像且已为镜像添加标签 可能会导致备份迁移失败。您需要前往镜像服务，删除该镜像的标签后再进行迁移。迁移完成后再重新添加标签即可。 迁移备份时，只要在例如苏州的其中一个区域迁移备份，则列举的区域的所有备份在迁移时会一同迁移。其他未列举的区域的备份不会一起迁移，需要单独前往该区域进行迁移。 迁移成功后，在新版云服务备份中创建的备份也会出现在原云硬盘备份服务中，但不会重复计费，属于正常现象。 说明： 如果您希望删除旧版云硬盘备份服务中的备份，需要在新版服务中找到对应的备份进行删除，则旧版服务的备份也会同时删除，无法在旧版服务中删除。 根据以上规则，系统在创建存储库时，每个存储库预设容量为：备份数据所占容量1.2。 例如：某用户拥有容量分别为100GB和50GB的云服务器，实际存储数据的容量分别为20GB和10GB，使用云服务器备份服务分别手动创建过一个普通整机备份。进行迁移时，默认创建的存储库将为备份数据所占容量1.2。本例中备份数据所占容量1.2为36GB。此时系统会自动创建一个大小为36GB的存储库。

本文介绍创建私有镜像的一个场景:通过镜像文件导入创建Linux系统盘镜像。 场景说明 除了通过云主机创建私有镜像外，天翼云也支持外部镜像导入功能，可将本地或者其他云平台的服务器系统盘镜像文件导入至镜像服务私有镜像中。导入后，用户可以使用该镜像创建新的云主机。 本次以Linux操作系统为例，介绍如何通过外部镜像文件创建Linux系统盘镜像。 前提条件 1. 在导入私有镜像前，在源服务器上完成以下准备工作。 安装并使用镜像规范检测工具，自动检测Linux系统设置是否符合导入条件。 安装Cloudinit，使运行该镜像的实例能成功完成初始化配置。 安装virtio驱动（必装），使该镜像创建的云主机实例能够启动。如未安装，会导致虚拟机无法启动。 安装QGA驱动（必装）,使镜像能够进行重置密码等操作。如未安装，会导致虚拟机无法重置密码。 安装监控驱动（建议），实现对基于该镜像创建的云主机的状态监控。 具体操作步骤参见导入私有镜像用户操作指南。 2. 转换镜像格式，目前天翼云镜像服务支持RAW、qcow2、vmdk、vhd格式的镜像文件的上传，如果想要较快创建镜像，建议使用qcow2格式镜像。其他类型文件请做格式转换。 操作步骤 步骤一：上传镜像文件至对象存储 1. 登录控制中心，选择业务地域，选择“存储>对象存储”。 2. 在对象存储控制台点击“创建桶”，配置桶参数（Bucket名称、企业项目、存储类型、读写权限）。单击“确定”，完成桶创建。 3. 单击桶名称进入桶详情页，选择文件管理页签，单击“上传文件”。 4. 选择要上传到对象存储的本地镜像文件。点击“确定“，等待镜像文件上传完成。 5. 点击镜像文件名称，进入文件详情页，获取镜像文件URL。

本节主要介绍如何将数据从本地迁移到OOS中。 应用场景 将数据从本地迁移到天翼云OOS的Bucket。 注意 在线迁移会占用网络资源。若您的业务比较重要，建议您对迁移任务设置限速（设置system.conf中的maxThroughput），或在空闲时间启动迁移任务。 前提条件 Windows7 及以上版本或 Linux CentOS 7.x 及以上版本。 Java 1.8 及以上版本。 迁移工具所在的服务器可以访问OOS资源池。 具体操作 确定目标Bucket 在天翼云OOS中创建目标Bucket，具体操作请参见创建存储桶（Bucket）或PUT Bucket，用于存放迁移的数据。也可以使用已存在的Bucket。 下载安装迁移工具 1. 下载数据迁移工具。 2. 解压缩安装包 对于Windows客户端，直接解压缩迁移工具zip 包即可。 对于Linux客户端，执行 unzip 解压缩安装包。 迁移工具解压后的目录结果如下： CTYUNOOSImportversionid config log4j2.xml migrate.conf system.conf lib import.sh import.bat 修改配置文件 更新迁移任务配置文件 migrate.conf，配置源和目的资源池信息、迁移配置项。您可根据需要配置system.conf和 log4j2.xml文件，具体参数介绍参见常用工具OOS数据迁移工具迁移步骤。其中： srcType需填写为：LOCAL，代表本地。 localFolderPath需要填写待迁移文件所在的本地目录，且操作用户需要对该目录及文件有读权限。 OOS的AccessKeyID和SecretAccessKey需要至少拥有目的Bucket的写权限。 migrate.conf配置示例如下： { "srcType":"LOCAL", 从LOCAL迁移文件（Object） "localFolderPath":"F:/test/test1/",本地目录，请根据实际填写 "destEndpoint":"ooscn.ctyunapi.cn", OOS的Endpoint "destAccessKey":"AccessKeyID", OOS的AccessKeyID "destSecretKey":"SecretAccessKey", OOS的SecretAccessKey "destBucket":"BucketName", OOS的Bucket名称 "isSkipExistFile":false 是否跳过目标资源池中已有的文件 }

本小节介 云解析其它平台解析域名无缝迁移至云解析（平滑迁移）最佳实践。 提供域名解析的服务商都要求修改DNS，但修改DNS是存在解析中断的风险的。为了避免风险，凡计划使用云解析的用户，我们建议用户做如下操作。 准备工作 1. 联系原DNS服务商导出解析记录。 2. 从云解析平台下载《导入解析记录模板》，按模板填写要求，将整理后的解析记录类型为A、AAAA、CNAME的记录填写在模板中。 1. 登录云解析平台，在“记录管理”界面，点击页面右上方“域名设置”进入域名设置界面。界面最下方为“解析记录批量操作”功能模块。 2. 点击“下载模板”下载《导入解析记录模板》。 3. 根据模板格式填写主机名、记录类型、线路类型、记录值、TTL等信息。 操作步骤 1. 通过天翼云购买解析服务。 2. 在天翼云控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 1. 在“记录管理”界面，点击页面右上方“域名设置”进入域名设置界面。 2. 将《导入解析记录模板》数据批量导入云解析平台。点击“上传文件”将填写好的模板文件上传至平台，平台将根据操作情况反馈上传结果。 3. 手动添加无法批量导入的解析记录。 3. 检查解析记录是否同原数据一致，避免遗漏。 4. 修改DNS。解析记录设置完成后，需要到域名所在注册商处，将DNS修改为云解析指定的DNS服务器。 5. 等待解析生效。预计4872小时完成缓存刷新，这是由于各地Localdns服务器的域名缓存失效时间长短不一，需要等各地Localdns服务器主动来更新该域名最新DNS服务器地址，才可逐步实现全网生效。 6. 在缓存刷新的4872小时内，DNS解析仍有可能向原DNS发起DNS查询，所以原DNS服务商中的解析记录数据建议保留一周后删除。

本文主要介绍了订单管理的常见问题。 如何在官网查看自己的订单和工单概况？ 登录成功以后进入管理中心，在订单和工单概况中可以查看到总订单数量以及总工单张数等信息。 如何在官网查看自己提交的工单信息？ 登录成功以后进入管理中心，在工单界面可查看到提交的历史工单以及提交工单的入口。 官网链接为： 如何查看自己购买实例的订单详情？ 登录成功以后进入管理中心，在订单中可以查看到历史订购的所有订单，点击后方操作下的“详情”键可以查看到订单资源池、数量、配置等信息。 官网链接为： 我的订单”页面，选择状态类型为“完成”，可以查看已经完成的订单或已经购买成功的产品。 订单及订单详情页能否导出？ 天翼云订单及订单详情目前不支持导出功能。 预付费（包周期）订单有哪几种支付方式？ 目前支持余额支付、优惠券/代金券支付、在线支付及前三者的混合支付。 在线支付支持哪几种方式？ 目前支持平台支付（微信、支付宝、翼支付）、个人网银支付、企业网银支付。 待支付订单的有效期是多久？能否延长订单的支付有效期？ 一般云服务类待支付订单有效期为5天。不能延长订单的支付有效期，请在订单支付有效期内尽快支付，避免订单失效。 订单提交失败怎么办？ 订单提交失败后，不会生成订单和产生费用。重新下单即可，如果仍提交失败，请联系在线客服或提交工单。

应用场景 数据快递是一种海量数据传输解决方案，支持 TB 到 PB 级数据上云，通过硬盘（外置 USB 接口），向并行文件传输大量数据，解决海量数据传输网络成本高、传输时间长等难题。 智算场景：AI 场景的素材数据、原型数据等需要寄送到数据中心，投喂给智算平台，提升数据质量和模型效果。 原始数据迁移：把基因、石油、气象、IOT 等原始数据迁移到并行文件服务。 离线备份数据：将客户完整备份或增量备份发送到并行文件服务，实现可靠的冗余离站存储。 注意 专属资源的客户，拥有独立的机房设备，可采用了邮寄硬盘到存储机房的方式。 准备工作 客户需要自助完成迁移数据存储到硬盘等存储介质上，建议客户将小文件压缩成大文件后再进行数据迁移。 存储介质邮寄到机房后，联系运维人员将硬盘插在可连接HPFS客户端的物理机上作为迁移机器。需要提前和运维人员确认硬盘数量和迁移服务器网络是否和HPFS互通。 操作步骤 1. 客户将硬盘快递到云公司机房的专属资源池集群。 2. 机房配置单独的数据迁移服务器用于读取客户硬盘数据。数据拷贝服务器通过网闸与天翼云资源池隔离。 3. 客户硬盘插入到拷贝服务器后，先进行安全扫描，确保客户数据无安全隐患。此前步骤，网闸处于关闭状态 4. 打开网闸，将客户硬盘数据拷贝到云内服务器上。 5. 与客户联系确认数据准确。 6. 关闭网闸。 7. 在数据拷贝服务器上，按客户要求将硬盘数据销毁和硬盘快递寄回。

参数名称 告警事件状态说明 时间范围 支持选择固定周期，固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 须知 : 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip。 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危 、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。

本章节主要介绍翼MR Manager的滚动重启集群操作。 操作场景 一键滚动重启单个集群服务。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“集群服务”，进入集群服务列表页面。 5. 选择指定集群服务，单击集群服务名称进入集群服务详情页面。 6. 单击“运维操作>滚动重启集群服务”，弹出确认操作弹框。 7. 单击“确定”，进入到滚动重启集群服务页面，展示当前集群服务支持滚动重启的实例列表。如图所示： 8. 选择指定实例分组，单击“滚动重启设置”，对默认滚动重启设置进行修改，修改完成后单击“确定”，如图所示： 9. 单击“下一步”，按照实例分组顺序进行滚动重启，等待所有实例完成重启后即可。如图所示： 滚动重启参数说明 滚动重启参数说明如下表所示： 参数名称 描述 单批实例数 1. 按照角色实例维度，每1个批次的并发实例数，例如HDFSDataNode。 2. 默认为1，输入限制为int的最大值，仅支持输入正整数。 3. 当角色实例数小于并发数时，以当前已有实例数为准例如：并发数设置为2，HDFSDataNode的实例数为3；则第一批次执行的实例数是2，第2批次执行的实例数则为1。 批次间隔时间 1.上个批次成功后与下个批次开始的间隔时间。 2. 默认30秒，取值范围11800，仅支持输入正整数；单位默认为：秒，不可改。举例：设置时间为600S批次间隔则表示，前1个批次运行完成后，等待600S后开始下一个批次。 批次等待时间 1. 上个批次开始后，开始下个批次的等待时间。 2. 默认30秒，取值范围11800，仅支持输入正整数；单位默认为：秒，不可改。举例：设置时间为600S批次等待则表示，前1个排次开始运行，等待600S后不管前一个批次是否完成运行，都开始下一个批次的运行。 实例容错阈值 1. 实例执行失败的容错次数。 2. 默认为0，输入限制为int的最大值，仅支持输入正整数例如：设置为0时，即表示任意一个角色实例的操作失败后，滚动操作终止设置为2时，即表示任意3个角色实例的操作失败后，滚动操作才会终止。

本文为您介绍一键部署个人AI助手 OpenClaw的最佳实践。 OpenClaw 是一个开源的、运行于系统级环境的通用 AI 助手框架。支持文件读写、代码执行与多步任务编排，可通过聊天工具接收指令并完成实际操作。其核心特征是“可执行性”，适用于自动化办公与任务代理，通常需在隔离、可控的云端环境中运行。 说明 OpenClaw 作为开源项目，建议在使用前全面评估其安全性与稳定性，仔细阅读《OpenClaw 安全风险提示》并且严格按照对应的开源许可协议规范使用，确保系统和数据安全。 注册账号 在创建和使用天翼云产品之前，您需要先注册天翼云门户的账号并完成实名认证。具体步骤可参见注册天翼云账号。 如果您拥有天翼云的账号，且账号中有足够的余额，可跳转到下一步骤。 创建OpenClaw云主机 1.登录天翼云官网，进入公有云生态专区。点击“立即选购”，进入应用选购列表页面。 2.在应用选购列表中，选择OpenClaw，点击“立即订购”。 3.根据指引，完成简单配置后，依次点击“确认下单”、“立即购买”，完成OpenClaw云主机订购操作。同时，建议您开通云主机备份产品对OpenClaw云主机进行备份保护。 说明 资源池范围：西南1、武汉41、长沙42、华南2、杭州7、华东1、武汉4、上海7、芜湖2、拉萨3、上海36

本节介绍如何进入日志审计v2.0版本控制台，及如何使用日志审计v2.0。 日志审计v2.0 版本由日志审计（原生版）提供服务。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“日志审计 > 日志审计v2.0”，跳转到日志审计控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 日志审计（原生版）”，进入日志审计控制台。 使用日志审计v2.0 请参见日志审计（原生版）。

安全运维提供查看和管理云服务安全基本数据，您可以通过界面总览信息快速查看和管理您的资源的安全情况。 未开通服务器安全卫士（原生版）的用户，需要确认服务协议开通后使用。 已开通服务器安全卫士（原生版）的用户，免费版和付费版数据展示存在差异，如有需要请开通付费版本查看。 主要数据包括： 1. 安全总览：包括资产信息（全部服务器、风险服务器、未防护服务器、免费防护服务器对应的个数）和告警处置信息（未处置威胁告警、拦截恶意IP、隔离病毒文件对应的个数）。 2. 威胁告警：实时监控最新威胁告警事件 Top5。 3. 风险漏洞：实时监控最新风险漏洞事件 Top5。 4. 基线核查：实时监控最新威胁入侵事件 Top5。 5. Agent状态：包括在线和离线Agent个数。 6. 风险趋势：可选择切换时间维度：近7天、近14天。

方案优势 实时性：提供实时数据收集和分析能力。 轻量级：对系统资源的消耗非常低。它设计用于高性能和低延迟，可以一键部署在虚拟机环境。 省时省力：无需额外开发数据展示界面，简化研发工作量。 可扩展：水平扩展能力强，可以处理PB级别的数据。 前提条件 1. 已开通OpenSearch集群，操作步骤请参见创建OpenSearch实例。 2. 已申请天翼云弹性云服务器ECS，并安装了Filebeat环境，购买ECS请参见快速购买和使用Linux ECS。 操作步骤 1. 登录各数据采集节点的ECS，部署并配置Filebeat。 a. 下载filebeat8.12.2linuxx8664。 b. 解压压缩包到指定路径： tar xvzf /opt/filebeat/filebeat8.12.2linuxx8664.tar.gz C /opt/filebeat/ c. 配置filebeat.yml： filebeat.inputs: type: filestream id: icmpid enabled: true paths: /opt/mooseping/output/result/icmp.log fields: kafkatopic: "icmpprobe" type: filestream id: httpid enabled: true paths: /opt/mooseping/output/result/http.log fields: kafkatopic: "httpprobe" filebeat.config.modules: path: ${path.config}/modules.d/.yml reload.enabled: false reload.period: 10s output.kafka: enabled: true hosts: ["kafka机器ip:kafka端口"] codec.format: string: '%{[message]}' topic: "%{[fields.kafkatopic]}" processors: addhostmetadata: when.not.contains.tags: forwarded addcloudmetadata: ~ adddockermetadata: ~ addkubernetesmetadata: ~ logging.level: warning d.配置systemd服务: echo "Creating filebeat.service systemd service file..." cat <

来自：

本章主要介绍使用软件开发生产线快速搭建项目（ECS篇） 本文基于软件开发生产线内置代码仓库，介绍如何使用软件开发生产线完成项目的开发、构建与部署，实现持续交付。 本文采用的ECS部署，若需了解CCE部署方法，请参考使用软件开发生产线快速搭建项目（CCE篇）。 准备工作 1. 拥有天翼云帐号。若没有，请先注册天翼云帐号。 2. 已购买软件开发生产线。 3. 已购买弹性IP。 4. 已购买云主机，购买时的必要配置可参考下表，表中未列出的配置可根据实际情况选择。完成购买后，参考“《云主机用户指南》​>安全​>安全组​>配置安全组规格”添加端口22及8080的入方向规则。 表 云主机配置 配置分类 配置项 配置建议 ::: 基础配置 计费模式 选择“按需计费”。 基础配置 CPU架构 选择“x86计算” 基础配置 规格 选择2核4G或以上规格。 基础配置 镜像 选择“公共镜像 > CentOS > CentOS 7.6 64bit(40GB)”。 网络配置 弹性IP 选择“使用已有”。 高级配置 登录凭证 选择“密码”。 高级配置 密码 输入自定义密码。

本文介绍如何模拟访问测试及前提须知。 在客户控制台成功添加加速域名后，为保障DNS解析顺利切换且不影响客户的现有业务，建议先模拟访问进行功能验收，验收无误后，再切换DNS解析。 前提须知 1. 客户在天翼云控制台新增域名时，需先通过域名归属权验证。详见：验证域名归属权。 2. 通过域名归属权验证后，可前往天翼云控制台，在“添加域名”界面点击验证，验证通过就可以正常操作新增域名。详见：添加加速域名。 3. 客户在控制台【域名管理】中添加的域名源站可正常访问。 操作步骤 1. 在天翼云客户控制台的【域名管理】【域名列表】，复制加速域名对应的CNAME记录值。 2. 通过ping（Windows）或dig（MAC） CNAME记录的方式，如 ping .ctdns.cn 获取该CNAME解析出来的天翼云已为您分配的某个节点IP，即为可测试验证功能的线上节点IP。 3. 修改本地电脑的HOSTS文件，添加一条记录，如：“IP 加速域名”，让本地电脑访问加速域名时，强制绑定解析到该节点IP，由该节点IP进行服务，从而可以通过本地电脑来验证加速域名对应的相关业务功能和场景。 4. 验证内容： 成功绑定HOSTS文件后，您可以打开浏览器，在本地电脑访问加速域名进行连通性测试，测试结果可通过浏览器自带的开发者工具（F12）查看。如果浏览器访问到的IP和您在HOSTS文件中绑定的IP一致，表示HOSTS文件配置正确。 在电脑本地成功访问加速域名绑定的IP后，您可以基于自己的测试用例URL，或者必要的核验步骤，验证相关功能的准确性。例如在浏览器中访问一个源站存在的URL，查看对应URL返回的状态码是否200；一般首次访问全站加速节点，如全站加速节点可正常回源获取该文件，则会返回200状态码至客户端。如果返回状态码非200或其他功能验证不符合预期，请提交工单联系天翼云客服处理。

本文介绍云硬盘快照的计费项和产品计费方式。 天翼云云硬盘快照采用按需付费的方式计费，先使用，后付费，按照您实际使用容量收取快照存储费用。 结算方式 支持按秒计费，按小时结算，不足一小时以实际使用时长为准。 快照服务计费细则 快照服务会产生快照费用，快照费用是按快照单价、快照实际使用量和计费时长来计费的。 计费公式：快照费用快照单价 快照实际使用容量 计费时长 快照单价：各规格的快照单价如下。 注意 快照类型与源云硬盘保持一致，创建快照时自动识别类型并按类型计费。 云硬盘快照按需计费价格如下： 产品规格 按需标准价格（元/G/小时） 普通IO快照 0.0005 高IO快照 0.0009 通用型SSD快照 0.0012 超高IO快照 0.0017 极速型SSD快照 0.0042 X系列云硬盘快照按需计费价格如下： 产品规格 按需标准价格（元/G/小时） XSSD0快照 0.00105 XSSD1快照 0.0021 XSSD2快照 0.0042 XSSD3快照 0.0084

本文介绍全站加速相关术语解释。 CNAME记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当DNS系统在查询CNAME左面的名称的时候，都会转向CNAME右面的名称再进行查询，一直追踪到最后的PTR或A名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用docs.ctyun.cn访问，您又希望通过documents.ctyun.cn也能访问该服务器，那么就需要在您的DNS解析服务商添加一条CNAME记录，将documents.ctyun.cn指向docs.ctyun.cn，添加该条CNAME记录后，所有访问documents.ctyun.cn的请求都会被转到docs.ctyun.cn，获得相同的内容。 CNAME域名 接入全站加速时，在天翼云控制台添加完加速域名后，您会得到一个天翼云给您分配的CNAME域名， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向这个CNAME域名，这样该域名所有的请求才会指向天翼云全站加速的节点，达到加速效果。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.ctyun.cn会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。

弹性高性能计算(EHPC,Elastic High Performance Computing)是一个便捷安全的云超算平台,依托天翼云分布式云底座和海量的计算、存储、网络资源,搭配开箱即用的集群管理平台,为用户提供高性能、高可靠、快速交付、简洁易用、安全可信的高性能计算服务。

防护模块防护顺序 WAF不同防护模块用于防护不同的安全场景，当所有模块都开启时，模块之间会存在防护的先后顺序，从而实现高效的安全防护。 天翼云WAF各模块间防护顺序如下：

本文为您介绍如何通过Go客户端接入OpenSearch实例。 概述 Go 客户端（opensearchgo）是OpenSearch 方提供的Golang库，适用于构建高性能的应用程序。它提供了与OpenSearch实例交互的 API，支持索引创建、数据查询等操作。 前提条件 已开通天翼云云搜索服务OpenSearch实例。 实例已绑定公网 IP。具体可参考“实例公网访问”章节。 已安装Go语言开发环境。 已安装OpenSearch官方Go客户端库。 操作步骤 1. 安装Go客户端库。 go get github.com/opensearchproject/opensearchgo 2. 使用以下代码连接到OpenSearch实例： package main import ( "context" "fmt" "log" "github.com/opensearchproject/opensearchgo" ) func main() { // 创建OpenSearch客户端 client, err : opensearch.NewClient(opensearch.Config{ Addresses: []string{" Username: " ", Password: " ", }) if err ! nil { log.Fatalf("Error creating the client: %s", err) } // 创建索引 res, err : client.Indices.Create("myindex") if err ! nil { log.Fatalf("Error creating index: %s", err) } fmt.Println(res) } host：实例绑定的公网 IP。 user：OpenSearch 实例用户名，例如 admin。 password：用户密码，例如 admin 用户的密码。

配置类型 配置参数 水印名称 支持中英文字符、数字、下划线和短横线“”，不超过20位。 水印图片 水印图片需要通过上传存储在天翼云云点播平台，仅支持png格式的图片，大小不能超过200KB。 显示位置 默认视频左上为基准点，可选右上、左下以及右下位置，可根据垂直偏移和水平偏移来调整。 左边距 可选择按百分比%或像素px调整大小。左边距百分比代表水印与左上角的水平距离与水平宽度的比率，通过调整水平偏移百分比进行水印水平位置配置。左边距像素代表水印左上角距离底图左边的绝对像素距离。 上边距 可选择按百分比%或像素px调整大小。上边距百分比代表水印与左上角的垂直距离与垂直高度的比率，通过调整垂直偏移百分比进行水印垂直位置配置。上边距像素代表水印左上角距离底图上边的绝对像素距离。 水印尺寸 可选择按百分比%或像素px调整大小，如果单位选择%时，则按原有的尺寸来进行百分百比例缩放；如果单位选择px时，则根据指定大小缩放水印。

本文向您介绍CentOS 7修改SSH默认端口后无法连接的解决方案。 问题现象 由于默认远程登录端口容易遭受暴力破解，导致一系列使用问题。基于安全性的考虑，修改默认远程登录端口是常用的安全防护手段。但修改后可能会存在无法远程登录的问题。本文以CentOS 7为例，介绍此类问题的解决方案。 前提条件 操作系统内已将默认远程登录端口修改为1234。 解决方案 1. 查看安全组是否放通1234端口的入方向权限。如果未放通，请添加规则放通该端口。 安全组规则关键信息： 方向：入方向 授权策略：允许 协议：TCP 端口：1234 远端：0.0.0.0/0（如果您的访问地址为固定地址或地址范围，可根据实际情况修订） 2. 查看操作系统是否开启防火墙。执行以下命令查看防火墙状态，可见示例中active为开启状态。 systemctl status firewalld 如果您需要使用防火墙，请前进到步骤3进一步确认防火墙规则。如果您无需使用，可执行下方命令关闭防火墙，以及关闭防火墙开机自启动： systemctl stop firewalld systemctl disable firewalld 3. 执行以下命令，查看防火墙规则，确认规则中是否放行1234端口。示例中，防火墙当前zone为public，该zone只放行了dhcpv6client和ssh服务，意味着ssh服务默认端口22被放行，但当ssh修改为其它端口将无法访问。

本章节主要介绍通过弹性公网IP访问。 为了方便用户访问开源组件的Web站点，翼MapReduce集群支持通过为集群绑定弹性公网IP的方式，访问集群上托管的开源组件。该方式更加简便易操作，推荐使用该方式访问开源组件的Web站点。 绑定弹性公网IP 1. 在集群列表页面，单击“集群名称”列下需要绑定IP的集群名称，进入该集群信息页面。 2. 确定需要开通公网访问组件所在的节点。可以通过单击“访问链接与端口”，在“集群服务名称”中找到需要开通公网访问的组件，其“原生UI地址”中包含所在节点内网IP地址。 3. 单击“节点管理”，点击“节点组名称”列的下拉按钮，展开对应的节点信息，确定需要开通公网访问的节点，单击“操作”列的“更多”。 4. 单击“绑定弹性IP”，在“绑定弹性IP”的弹框中，如果您账号下没有可用的弹性公网IP，需要点击“+创建弹性公网IP”按钮跳转至新页面进行创建；如果您账号下有可用的弹性公网IP，可以通过下拉“弹性IP”的选择框选择IP后，点击“确认”进行绑定。 5. 绑定弹性IP后，根据需要对集群安全组规则进行相应的添加或修改，变更端口的访问权限。之后可以通过“公网IP：端口”的方式访问该开源组件的Web站点。