本节介绍了创建镜像的一些常见问题。 一个账号最多可以创建多少个私有镜像？ 您在一个区域内默认最多可以创建私有镜像个数可以通过怎样查看我的配额中的镜像服务总配额来进行查询。如果您需要创建更多的私有镜像，可以通过提交工单的方式，申请扩大配额上限，详细操作请参见如何扩大镜像的配额？ 云主机创建私有镜像的时候一定要关机吗？ 是的。运行状态下的云主机，其内存可能会缓存正准备写入的数据，为了避免您制作的镜像出现数据丢失问题，请您在制作镜像前关闭云主机。 Windows 私有镜像创建的弹性云主机的密码是什么？ 当前暂不支持在控制中心修改使用Windows私有镜像创建的云主机密码，请您使用原来制作镜像的源云主机的密码登录云主机后再修改密码。 在哪里查看镜像创建进度？创建镜像需要多少时间？ 登录管理控制台，选择“计算 > 镜像服务”，单击“私有镜像”页签，在私有镜像列表的“状态”列查看镜像创建进度。 镜像创建过程涉及XEN、KVM虚拟化平台原生驱动的安装，OS内核的加载以及grub引导配置等环节，处理时间可能会比较长。并且网络速度、镜像文件类型、镜像所属实例的磁盘大小等因素均会影响镜像的创建时长。 在子账户做的私有镜像，主账户创建云主机的时候可以选择到吗？ 可以。 子账户做的私有镜像，主账户和其他子账户（如果有）均可以看到。 如果该私有镜像为系统盘镜像或整机镜像，主账户和其他子账户创建云主机时，选择“私有镜像”，然后在下拉列表中可以选择该镜像。 如果该私有镜像为数据盘镜像，主账户和其他子账户创建云硬盘时，选择数据源为“从镜像创建”，然后在弹出的对话框中选择该镜像。 另外，主账户创建的私有镜像，所有子账户都可以看到。

参数 参数说明 K8S标签 单击“添加标签”可以设置附加到Kubernetes 对象（比如Pods）上的键值对，最多可以添加10条标签使用该标签可区分不同节点，可结合工作负载的亲和能力实现容器Pod调度到指定节点的功能。详细请参见 Labels and Selectors 。 资源标签 通过为资源添加标签，可以对资源进行自定义标记，实现资源的分类。CCE服务会自动帮您创建CCEDynamicProvisioningNode节点id的标签。 污点(Taints) 默认为空。支持给节点加Taints来设置反亲和性，每个节点最多配置10条Taints，每条Taints包含以下3个参数： Key：必须以字母或数字开头，可以包含字母、数字、连字符、下划线和点，最长63个字符；另外可以使用DNS子域作为前缀。 Value：必须以字符或数字开头，可以包含字母、数字、连字符、下划线和点，最长63个字符。 Effect：只可选NoSchedule，PreferNoSchedule或NoExecute。 Taints的使用请参见管理节点污点（taint）。 说明 对于1.19及以下版本集群，有可能会出现污点打上之前负载已经调度到节点上，如果需要避免这种情况，请选择1.19及以上集群。 最大实例数 节点最大可以正常运行的实例数(Pod)，该数量包含系统默认实例，取值范围为16~256。 该设置的目的为防止节点因管理过多实例而负载过重，请根据您的业务需要进行设置。 节点最多能创建多少个Pod还受其他因素影响，具体请参见节点最多可以创建多少个Pod。 云主机组 云主机组是对云主机的一种逻辑划分，同一云主机组中的云主机遵从同一策略。 反亲和性策略：同一云主机组中的云主机分散地创建在不同主机上，提高业务的可靠性。 选择已创建的云服务器组，或单击“新建云服务器组”创建，创建完成后单击刷新按钮。 安装前执行脚本 请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装前执行，可能导致Kubernetes软件无法正常安装，需谨慎使用。 安装后执行脚本 请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装后执行，不影响Kubernetes软件安装。 委托 委托是由租户管理员在统一身份认证服务上创建的。通过委托，可以将云主机资源共享给其他帐号，或委托更专业的人或团队来代为管理。 如果没有委托请单击右侧“新建委托”创建。

参数名称 参数说明 取值样例 目的地址 必选参数。 目的地址一般为网络实例的地址，以“虚拟私有云（VPC）”连接为例，可以是虚拟私有云网段、子网网段。 如果此处选择的“虚拟私有云（VPC）”连接已开启IPv6，则目的地址支持填写IPv6地址。 192.168.2.0/24 黑洞路由 可选参数。 开启黑洞路由，则无需配置路由的“连接类型”和“下一跳”。如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。 连接类型 如果不开启黑洞路由，则该项是必选参数。 如果开启黑洞路由，则该项无需填写。 “虚拟私有云（VPC）”：表示接入的网络实例是虚拟私有云。 虚拟私有云 （VPC） 下一跳 如果不开启黑洞路由，则该项是必选参数。 如果开启黑洞路由，则该项无需填写。 在下拉列表中，选择目标连接。 erattach01 描述 可选参数。 您可以根据需要在文本框中输入对该静态路由的描述信息。

采用官方提供的CloudInit源码包通过pip方式安装CloudInit工具 以cloudinit0.7.9版本为例，CloudInit工具的安装步骤如下。 1.下载cloudinit0.7.9.tar.gz源码包（推荐优先选用0.7.9版本），上传到云主机指定目录“/home/”下。 cloudinit0.7.9.tar.gz源码包下载地址： 2.在“~/.pip/”目录下新建pip.conf文件，编辑内容如下。 说明： “~/.pip/”若不存在，可使用命令mkdir ~/.pip命令新建。 [global] indexurl trustedhost 说明： 编辑内容中 部分可以选择公网PyPI源或教育网PyPI源进行替换。 公网PyPI源： 教育网PyPI源： 3.执行以下命令，安装本地下载的CloudInit源码包，安装过程中根据需要选择upgrade参数。 pip install [upgrade] /home/cloudinit0.7.9.tar.gz 4.执行命令cloudinit v，如回显如下类似信息表示安装CloudInit成功。 cloudinit 0.7.9 5.设置CloudInit相关服务为开机自启动。 −若操作系统是sysvinit自启动管理服务，则执行以下命令进行设置。 chkconfig add cloudinitlocal; chkconfig add cloudinit; chkconfig add cloudconfig; chkconfig add cloudfinal chkconfig cloudinitlocal on; chkconfig cloudinit on; chkconfig cloudconfig on; chkconfig cloudfinal on service cloudinitlocal status; service cloudinit status; service cloudconfig status; service cloudfinal status −若操作系统是systemd自启动管理服务，则执行以下命令进行设置。 systemctl enable cloudinitlocal.service cloudinit.service cloudconfig.service cloudfinal.service systemctl status cloudinitlocal.service cloudinit.service cloudconfig.service cloudfinal.service 注意： 采用官方提供的CloudInit源码包通过pip方式进行安装时要注意以下两点。 1.CloudInit安装时需要添加syslog用户到adm组。存在syslog用户时直接添加syslog用户到adm组。不存在syslog用户时（如CentOS和SUSE），执行下列命令创建syslog用户，添加到adm组： useradd syslog groupadd adm usermod g adm syslog 2.在“/etc/cloud/cloud.cfg”中systeminfo部分的distro要根据具体操作系统发行版本做相应修改（如根据具体操作系统发行版相应修改为：distro: ubuntu，distro: sles，distro: debian，distro: fedora）。

此小节介绍如何登录云堡垒机系统。 背景介绍 云堡垒机支持Web浏览器、SSH客户端和MSTSC客户端三种登录方式。 Web浏览器登录：支持系统管理和资源运维功能。建议系统管理员admin或管理人员使用Web浏览器登录进行系统管理和授权审计。 SSH客户端登录：在不改变用户原来使用SSH客户端习惯的前提下，可对授权资源进行运维管理。运维人员可选择使用SSH客户端直接登录运维资源。 MSTSC客户端登录：在不改变用户原来使用MSTSC客户端习惯的前提下，可对授权资源进行运维管理。运维人员可选择使用MSTSC客户端直接登录运维资源。 前提条件 实例的运行状态为“运行”，CBH系统在使用授权期内; 实例已绑定EIP，且EIP可用; 已获取登录CBH系统的登录地址，以及登录验证信息。 通过Web浏览器登录云堡垒机 1. 启动浏览器，在Web地址栏中输入CBH系统登录地址，进入系统登录页面。 登录地址： 或私网IP 。例如， 注意 未绑定EIP时，可通过私网IP登录，需确保用户本地网络与云堡垒机私网网络通畅； 受浏览器兼容性限制，当浏览器版本与云堡垒机系统不匹配时，可能导致登录时获取不到验证信息，或登录后页面显示异常，建议使用推荐的浏览器及版本。 2. 选择登录认证方式，如下图。 系统所有用户可选择配置“手机短信”、“手机令牌”、“USBKey”和“动态令牌”多因子认证。 配置多因子认证后，“密码登录”方式认证失效。 Web浏览器登录验证说明 登录方式 登录说明 登录方式配置说明 密码登录 输入云堡垒机系统的用户登录名和密码。 默认登录方式。 “AD域认证”、“RADIUS认证”、“LDAP认证”或“Azure AD认证”用户登录密码为远程服务器用户密码。 手机短信 输入云堡垒机系统的用户登录名和密码，单击“获取验证码”，并输入短信验证码。 需要已经为用户帐号配置可用手机号码。 手机令牌 输入云堡垒机系统的用户登录名和密码，并输入手机令牌的动态验证码（每隔一段时间就会变化）。 说明 需确保用户登录系统时间与手机时间一致，精确到秒，否则会提示验证码错误。 需用户先绑定手机令牌，再由管理员配置多因子认证，否则用户无法登录系统。 USBKey 插入并选择已签发过的USBKey，并输入对应的PIN码。 需已为用户签发USBKey。 动态令牌 输入云堡垒机系统的用户登录名和密码，并输入动态令牌的动态口令（每隔一段时间就会变化）。 需已为用户签发动态令牌。 3. 单击“登录”，成功登录云堡垒机系统进行管理和运维操作。 系统管理员admin为CBH系统第一个可登录用户，拥有系统最高操作权限，且无法更改权限配置，请妥善保管帐号信息。 在首次登录系统成功后，请所有用户按照系统提示修改密码和绑定手机号码，否则无法进入系统运行页面。登录系统后，可在个人中心修改用户基本信息。

边缘重保服务产品将于2025年6月10日00时正式开始收费，本章节介绍边缘重保服务的不同商用服务版本之间的差异。 产品版本 体验版 基础护航服务 尊享护航服务 基础安全护航服务 尊享安全护航服务 重保方式 远程护航 远程护航 驻场值守 远程护航 驻场值守 服务人员 高级技术支持工程师 高级技术支持专家 资深技术支持专家 高级安全专家 资深安全专家 支持产品 CDN 加速、视频直播、全站加速、边缘安全加速平台、安全加速、Web 应用防火墙（边缘云版）、DDoS 高防（边缘云版）、智能边缘云 CDN加速、视频直播、全站加速、智能边缘云 CDN加速、视频直播、全站加速、智能边缘云 CDN 加速、视频直播、全站加速、边缘安全加速平台、安全加速、Web 应用防火墙（边缘云版）、DDoS 高防（边缘云版）、智能边缘云 CDN 加速、视频直播、全站加速、边缘安全加速平台、安全加速、Web 应用防火墙（边缘云版）、DDoS 高防（边缘云版）、智能边缘云 交付物 《重保总结》（不含优化建议） 《边缘重保服务项目实施方案》 《相关方通讯录》 《重保服务启动会会议纪要》 《风险评估表》 《重保服务每日总结》 《重保巡检记录单》 《重保应急处置记录单》 《重保定制需求处理单》 《重保总结》（含优化建议） 《第三方监测报告》（按需） 《边缘重保服务项目实施方案》 《相关方通讯录》 《重保服务启动会会议纪要》 《风险评估表》 《重保服务每日总结》 《重保巡检记录单》 《重保应急处置记录单》 《重保定制需求处理单》 《重保总结》（含优化建议） 《第三方监测报告》（按需） 《产品培训资料》（按需） 《重保服务与实施方案》 《相关方通讯录》 《重保服务启动会会议纪要》 《风险评估表》 《重保服务每日总结》 《重保巡检记录单》 《重保应急处置记录单》 《重保定制需求处理单》 《重保总结》（含优化建议） 《第三方监测报告》（按需） 《重保服务与实施方案》 《相关方通讯录》 《重保服务启动会会议纪要》 《风险评估表》 《重保服务每日总结》 《重保巡检记录单》 《重保应急处置记录单》 《重保定制需求处理单》 《重保总结》（含优化建议） 《第三方监测报告》（按需） 《产品培训资料》（按需） 说明 交付物内容会根据实际保障场景及保障需求进行调整。

可能原因 原因1：文件系统已被删除。 原因2：执行挂载命令的云主机和被挂载的文件系统不在同一VPC下。 原因3：挂载命令中的共享路径输入错误。 原因4：使用虚拟IP访问弹性文件服务。 定位思路 根据可能原因进行故障排查。 解决方法 原因1：文件系统已被删除。 登录管理控制台，查看文件系统是否已被删除。如已被删除，重新创建文件系统或者选择已有文件系统进行挂载（文件系统与云主机必须归属在同一VPC下）。 原因2：执行挂载命令的云主机和被挂载的文件系统不在同一VPC下。 登录控制台，查看云主机归属的VPC和文件系统归属的VPC是否相同。 原因3：挂载命令中的共享路径输入错误。 登录管理控制台，查看共享路径是否与挂载命令中输入的一致。如果输入错误，则重试挂载命令，输入正确的共享路径。 原因4：使用虚拟IP访问弹性文件服务。 登录云主机，使用云主机IP执行ping命令访问弹性文件服务，检测是否可以连通。如果可以连通，说明网络问题已解决，排查其他可能原因。如果无法连通，说明由于网络问题，使用云主机虚拟IP无法访问弹性文件服务，需使用私有IP执行ping命令访问弹性文件服务再检测是否可以连通。

本章节会介绍云数据库 RDS for MySQL提供使用命令行、图形化界面。 表 RDS连接方式 连接方式 使用场景 通过DAS连接RDS for MySQL实例 通过数据管理服务（Data Admin Service，简称DAS）这款可视化的专业数据库管理工具，可获得执行SQL、高级数据库管理、智能化运维等功能，做到易用、安全、智能地管理数据库。云数据库RDS库服务默认开通DAS连接权限。 通过mysql命令行客户端连接实例 在Linux操作系统中，您需要在弹性云主机上安装MySQL客户端，通过mysql命令行连接实例。支持公网和内网两种连接方式： 系统默认提供内网IP地址。当应用部署在弹性云主机上，且该弹性云主机与RDS for MySQL实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与RDS for MySQL实例。 不能通过内网IP地址访问RDS实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云主机（或公网主机）与RDS for MySQL实例。 通过图形化界面连接RDS for MySQL实例 在Windows操作系统中，您可以使用任何通用的数据库客户端连接到RDS for MySQL实例。

本文主要介绍云日志服务如何创建告警规则。 告警规则为监控告警的管理单元，一条完整的告警规则包含监控日志单元对象、触发条件、检查频率、通知策略与告警内容等信息。本文将介绍如何创建告警规则。 前提条件 已创建日志项目、日志单元并完成日志数据接入。 已创建通知策略，详情请查看通知策略管理。 操作步骤 1. 登录云日志服务控制台。 2. 左侧导航栏点击告警规则模块，进入告警规则页面。 3. 点击创建告警规则。 4. 创建告警配置，请按如下说明配置参数。并点击新建，完成告警规则设置。 参数 说明 告警名称 设置告警名称 检查频率 告警规则的执行周期，支持固定频率与固定时间； 固定频率：按固定的时间间隔执行一次监控任务时间间隔，支持设置分钟、小时、天的频率； 固定时间：按固定的时间点，每天执行一次监控任务。 日志查询 查询对象：选择需要进行监控的日志项目与日志单元； 查询时间范围：针对目标日志单元进行检索时的时间范围； 查询执行：针对目标日志单元的查询分析条件，填入日志查询分析语句，点击【预览】按钮可预览检索结果，当检索结果满足触发条件时，则触发告警。关于如何填写查询分析语句，请参考日志查询语法与SQL统计语法。 触发条件 当目标日志单元的检索结果满足触发条件时，则触发告警通知。可同时设置多条触发条件，目前支持两类触发条件： 检索结果有数据：当检索结果有日志数据时即触发告警； 检索结果有特定条数据：当检索结果中的日志数据满足一定条件时即触发告警，可设置条件表达式。 有数据匹配：输入具体的条件表达式，当条件表达式返回为true的时候，产生告警，否则不产生告警。 有特定条数据匹配：输入具体的条件表达式，当条件表达式返回为true且满足特定条数据条件时，产生告警，否则不产生告警。 通知策略 选择已创建好的通知策略。 告警内容 告警内容将作为告警信息中的一个字段，告警内容支持插入各类变量。

什么是入云带宽和出云带宽？ 入云带宽：从Internet流入云平台方向的带宽，例如，从公网下载资源到云内ECS。 出云带宽：从云平台流出到Internet方向的带宽，例如，云内的ECS对外提供服务，外部用户下载云内ECS上的资源。 弹性IP带宽与内网带宽有何差异？ 弹性IP带宽是指弹性云主机通过弹性IP访问公网时使用的带宽。通过弹性IP带宽显示网络的使用情况。 内网带宽是指弹性云主机在云平台内通信能够达到的带宽。弹性云主机根据不同的规格限制内网带宽和内网收发包能力。 带宽与上传下载速率是什么关系？ 带宽单位用bps(bit/s)，表示每秒钟传输的二进制位数。下载速率单位用Bps(Byte/s)表示，表示每秒钟传输的字节数。 1Byte（字节）8bit（位），即下载速率带宽/8 通常1M带宽即指1Mbps1000Kbps1000/8KBps125KBps一般情况下，考虑到还有其他损耗（计算机性能、网络设备质量、资源使用情况、网络高峰期等），实际速率一般小于这个速率。

本文主要介绍登录Windows云主机提示“内部错误”怎么办? 问题描述 使用MSTSC方式登录Windows云主机时，系统报错提示“内部错误”。 处理方法 1.在本地主机以管理员身份运行cmd。 2.执行netsh winsock reset 3.重启本地主机。 如果您使用上述方法仍无法登录云主机，我们首先建议您排查本地的网络是否正常，您可以尝试更换网络（例如：手机热点）测试是否可以远程登录。 如果通过上述排查，仍然无法登录云主机，请记录资源信息和问题时间，然后单击管理控制台右上方的“工单”，填写工单信息，获取技术支持。

本小节介绍安全专区云堡垒机添加资产方法。 1.点击【运维管理】→【资源】→【添加】，可以添加不同类型的运维资源。 2.选择设备资源类别。 名称：自定义； 归属部门：Root部门； 地址：业务云主机IP地址； 密码策略：内置密码策略； 运维协议：按实际需求选择，可参考上图。 请确保资源的网络及管理端口与云堡垒机网络互通，管理端口如SSH的22端口及RDP的3389端口可让云堡垒机访问。

前提条件 已登录弹性云主机，具体请参见登录Linux弹性云主机。 云主机的系统盘与数据盘都已经挂载至云主机，且已经初始化过。 云硬盘容量已经在控制台上完成扩容，并已经挂载至弹性云主机。具体请参见云硬盘扩容概述。 操作前检查 查看分区形式，选择分区工具 分区前，需要查看当前磁盘的分区形式，当为MBR时可以选择fdisk或者parted工具，当为GPT时需要使用parted工具。 执行命令 fdisk l，查看当前磁盘的分区形式，回显如下： “Disk label type”表示当前磁盘的分区形式，“dos”表示磁盘分区形式为MBR，“gpt”表示磁盘分区形式为GPT。 检查待扩容磁盘的文件系统 扩容前，需要检查待扩容磁盘的文件系统是否可正常挂载。 1. 执行命令 df TH，查看磁盘的挂载情况。回显如下： 可以看到，/dev/vdb1的文件系统为“ext4”，并且已挂载至/mnt/sdc目录。 2. 执行命令 ll /mnt/sdc，进入挂载目录查看磁盘上的文件。若可以查看到磁盘上的文件，则证明待扩容的磁盘情况正常。

本节主要介绍了什么是镜像、公共镜像、私有镜像、共享镜像。 什么是镜像 镜像是一个包含了软件及必要配置的云主机或物理机模版，包含操作系统或业务数据，还可以包含应用软件（例如，数据库软件）和私有软件。镜像分为公共镜像、私有镜像、共享镜像。 镜像服务（Image Management Service）提供简单方便的镜像自助管理功能。用户可以灵活便捷的使用公共镜像、私有镜像或共享镜像申请云主机。同时，用户还能通过已有的云主机创建私有镜像。 公共镜像 公共镜像是包含常见的标准操作系统的镜像，所有用户可见，包括操作系统以及预装的公共应用，支持Windows，Ubuntu，CentOS，Debian等主流操作系统。用户可以从丰富的公共镜像库中选择或创建私有镜像，从而快速创建或批量复制弹性云主机。 请根据您的实际情况自助配置应用环境或相关软件。 私有镜像 私有镜像包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。 如果需要指定弹性云主机的镜像，请提前使用指定弹性云主机创建私有镜像。 如果需要使用本地的镜像文件，请提前将镜像文件导入并注册为云平台的私有镜像。 如果需要使用其他账号的私有镜像，请提前完成镜像共享。 共享镜像 用户将接受云平台其他用户共享的私有镜像，作为自己的镜像进行使用。 镜像共享的范围只能在区域内。 每个镜像最多可以共享给128个租户。 用户可以随时取消自己共享的镜像，无需通知镜像的接受方。 用户可以随时删除自己共享的镜像，无需通知镜像的接受方。

本文主要介绍等保合规能力说明。 查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 将重要网络区域隔离，使用云防火墙CFW实现业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 安全通信网络 网络架构 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 应用场景 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 功能特性 安全区域边界 入侵防范 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 功能特性 安全区域边界 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 管理访问控制策略 安全区域边界 访问控制 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 管理访问控制策略 安全区域边界 访问控制 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 管理访问控制策略 安全区域边界 访问控制 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 管理访问控制策略 安全区域边界 访问控制 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨流量的应用协议、内容的访问控制。 管理访问控制策略 安全区域边界 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计 安全区域边界 安全审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 日志审计 安全区域边界 安全审计 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计 安全区域边界 安全审计 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计

本文为您介绍如何使用云监控服务对Elasticsearch实例设置监控告警 云搜索服务已默认开通接入云监控服务，将会对创建成功的实例进行日常监控，您可通过云监控控制台查看对应实例的监控数据，也建议您在此对实例的必要指标设置告警。 前提条件 1. 云搜索服务的实例已创建并进入运行中。 2. 实例已运行一段时间，产生监控指标，建议在实例运行10分钟后再进行查看。 操作步骤 1. 登录云监控控制台，选择“云服务监控>云搜索服务监控”，找到对应的实例，点击“查看监控图表”。 2. 在此页面您可查看实例维度、节点维度、索引维度的监控指标，并根据需要进行时间范围筛选。 3. 设置告警：选择对应的实例行，点击“创建告警规则”进入告警规则创建页面，根据需要告警的规则和通知方进行相应设置。您也可以根据使用习惯，定义告警模板，便于复用。目前云搜索服务仅支持指标监控类型的告警。 详细操作，请参考创建告警规则。

使用虚拟私有云（VPC）实现网络隔离 虚拟私有云（VPC）是天翼云为用户提供的独立隔离虚拟网络环境，用户可完全掌控网络配置，是实现云上网络安全隔离的核心基础。VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。此外，您还可以通过云专线、VPN等服务将VPC与传统的数据中心互联互通，灵活整合资源，构建混合云网络。创建在VPC中的云主机可以依赖VPC的能力实现网络隔离，主要包括： 每个VPC实例是一个二层隔离的网络，VPC内部内网互通。在不采用对等连接、云间高速等方式建立VPC与外部网络内网互通的情况下，不同VPC之间默认无法内网互通。VPC中的云主机互访通过内网地址互通，可以实现最大化与外部网络隔离。 VPC内可以创建多个子网，将VPC划分为多个网段。不同子网之间可以通过子网路由表对路由进行管理，控制流量路径。 更多信息，请参见 ++虚拟私有云产品定义++和++创建虚拟私有云VPC++。 通过子网划分实现业务隔离 合理的子网规划是提升网络安全与管理效率的关键，通过按业务属性、安全等级划分子网，可实现精细化网络管控。 子网划分原则：按业务功能划分。将 Web 服务、应用服务、数据库服务分别部署在独立子网（如 Web 子网、应用子网、数据库子网），避免单一子网故障影响全业务。 按安全等级划分：将核心业务（如数据库、支付系统）部署在高安全等级子网，限制公网访问；将边缘服务（如负载均衡、CDN 节点）部署在低安全等级子网，作为业务对外访问入口，降低核心业务暴露风险。 预留地址空间：子网划分时预留 20% 左右的 IP 地址空间，为后续业务扩展与资源扩容提供支持，避免子网地址耗尽导致的网络调整成本。 子网级管控措施： （1）路由控制：为不同子网关联独立路由表，例如，数据库子网路由表仅保留内网路由，禁止直接访问公网； （2）Web 子网路由表配置指向 NAT 网关的默认路由，实现公网访问控制。 更多信息，请参见 ++创建子网++和++网络ACL简介++。

远程桌面连接Windows云主机报错:此计算机无法连接到远程计算机如何处理。 问题描述 使用远程登录方式连接登录Windows云主机时出现如下错误：此计算机无法连接到远程计算机。 图 无法连接到远程计算机 可能原因 服务端安全组3389端口未开启。检查云主机端口配置。 服务端防火墙关闭。检查防火墙配置是否正常 远程桌面连接配置不正确。检查远程桌面连接设置 未开启“Remote Desktop Services”。检查Remote Desktop Services 远程桌面会话主机配置不正确。检查远程桌面会话主机 检查云主机端口配置。 检查云主机的3389端口是否能够访问（默认使用3389端口）。 请确保入方向规则中已添加3389端口。 在云主机的详情页面选择“安全组”页签，查看安全组入方向规则中已添加3389端口。 检查防火墙配置是否正常 检查云主机的防火墙是否开启。 1.在控制台使用VNC方式登录Windows云主机。 2.单击桌面左下角的Windows图标，选择“控制面板 > Windows防火墙”。 图 Windows防火墙 3.单击“启用或关闭Windows防火墙”。 查看并设置防火墙的具体状态：开启或关闭。 图 查看防火墙状态 如果选择开启防火墙，请继续执行以下操作步骤。 4.单击“高级配置”。 5.检查“入站规则”，请确保已启用如下规则。 −远程桌面(TCPIn) 公用 −远程桌面(TCPIn) 域，专用 图 入站规则 如果防火墙入站规则中设置的端口与远程服务器设置的端口不一致，远程访问服务器将无法成功。一旦出现这种情况，您也可以添加新的防火墙入站规则端口。 默认使用的是3389端口，如果您使用的是其他端口，可参考3389端口添加防火墙入站规则。 说明 默认使用的是3389端口，如果您使用的是其他端口，可参考3389端口添加防火墙入站规则。 完成上述操作后，再次重试远程连接云主机。

本章介绍通过公网使用弹性云主机连接云数据库GaussDB 实例。 准备工作 云数据库GaussDB 提供gsql工具帮助您在命令行下连接数据库，您需要提前创建一台弹性云主机用于安装gsql工具。具体请参见《弹性云主机用户指南》。 须知 操作系统需要选择Euler操作系统。gsql支持的操作系统版本如下： X86：EulerOS V2.0SP5。 绑定弹性公网IP 如果您想要通过公网访问数据库实例，那么您需要为数据库实例绑定弹性公网IP，具体操作请参考绑定和解绑弹性公网IP。 设置安全组规则 在访问数据库前，您需要将访问数据库的IP地址，或者IP段加入安全组入方向的访问规则，操作请参见设置安全组规则。 远程连接数据库 步骤 1 登录申请的弹性云主机。 步骤 2 在申请的弹性云主机上，上传客户端工具包并配置gsql的执行环境变量。 1. 以root用户登录客户端机器。 2. 创建“/tmp/tools”目录。 mkdir /tmp/tools 3. 获取GaussDB软件包并解压。 unzip GaussDBopengaussclienttools.zip 4. 根据申请的弹性云主机的操作系统架构进入不同目录，获取“GaussDBKernelxxxEULER64bitgsql.tar.gz”，并上传到申请的弹性云主机“/tmp/tools”路径下。 说明 软件包相对位置为安装时所放位置，根据实际情况填写。 5. 解压文件。 cd /tmp/tools tar zxvf GaussDBKernelV500R001C00EULER64bitgsql.tar.gz 6. 设置环境变量。 打开“~/.bashrc”文件。 vi ~/.bashrc 在其中输入如下内容后，单击“ESC”退出编辑模式，使用“:wq!”命令保存并退出。 export PATH/tmp/tools/bin:$PATH export LDLIBRARYPATH/tmp/tools/lib:$LDLIBRARYPATH 使环境变量配置生效。 source ~/.bashrc 步骤 2 执行如下指令，根据提示输入密码，连接数据库。 数据库创建成功后，会默认生成名称为postgres的数据库，此处以postgres库为例。 gsql d postgres h 10.0.0.0 U root p 8000 Password for user root: postgres为需要连接的数据库名称，10.0.0.0为实例绑定的公网IP地址，root为登录数据库的用户名，8000为实例的端口号。

云服务备份和镜像服务有很多功能交融的地方，有时需要搭配一起使用。镜像有时也可用来备份云主机运行环境，作为备份来使用。 备份和镜像的区别 云服务备份和镜像服务区别主要有以下几点，如下表所示。 对比维度 云服务备份 镜像服务 概念 备份是将云主机或者云硬盘某一时间节点的状态、配置和数据信息保存下来，以供故障时进行恢复，其目的是为了保证数据安全，提升高可用性。 镜像相当于云主机的“装机盘”，它提供了启动云主机所需的所有信息，其目的是为了创建云主机，批量部署软件环境。系统盘镜像包含运行业务所需的操作系统、应用软件，数据盘包含业务数据。整机镜像是系统盘镜像和数据盘镜像的总和。 使用方式 数据存储位置：与主机/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建备份的云硬盘删除，对应的备份不会被同时删除。 操作对象：保存云主机/磁盘指定时刻的数据，可以设置自动备份和过期自动删除。 用途：备份可以恢复数据至原主机/磁盘中，也可以直接创建新的磁盘或整机镜像。 是否可以导出至本地：否。 数据存储位置：与主机/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建镜像的主机/磁盘删除，对应的镜像不会被同时删除。 操作对象：可以将主机的系统盘和数据盘制作为私有镜像，也可以通过外部镜像文件制作私有镜像。 用途：系统盘镜像或整机镜像可以创建新的主机，数据盘镜像可以创建新的磁盘，实现业务迁移。 是否可以导出至本地：部分可以，整机镜像不支持导出至本地，详见导出镜像。 应用场景 适用场景： 数据备份与恢复 业务快速部署和迁移 适用场景： 服务器上云或云上迁移 部署特定软件环境 批量部署软件环境 服务器运行环境备份 优势 支持自动备份，可以定时定量保留服务器/磁盘某一时间节点的数据。 可以备份系统盘。可以将本地或者其他云平台的服务器数据盘镜像文件导入至镜像服务中。导入后，可使用该镜像创建新的云硬盘。

本章节主要介绍翼MapReduce的配置Syslog北向参数。 操作场景 该任务指导用户以Syslog方式将MRS Manager的告警事件上报到指定的监控运维系统中。 须知：Syslog协议未做加密，传输数据容易被窃取，存在安全风险。 前提条件 对接服务器对应的弹性云服务器需要和MRS集群的Master节点在相同的VPC，且Master节点可以访问对接服务器的IP地址和指定端口。 操作步骤 在MRS Manager，单击“系统设置”。 1. 在“配置”区域“监控和告警配置”下，单击“Syslog配置”。 “Syslog服务”的开关默认为关闭，单击启用Syslog服务。 2. 设置如下表所示的对接参数。 详见下表：对接参数 参数区域 参数名称 参数说明 Syslog协议 服务IP 设置对接服务器IP地址。 服务端口 设置对接端口。 协议 设置协议类型，取值范围： l “TCP” l “UDP” 安全级别 设置上报消息的严重程度，取值范围： l “Informational” l “Emergency” l “Alert” l “Critical” l “Error” l “Warning” l “Notice” l “Debug” Facility 设置产生日志的模块。 标识符 设置产品标识，默认为“MRS Manager”。 报告信息 报文格式 设置告警报告的消息格式，具体要求请参考界面帮助。 报告告警类型 设置需要上报的告警类型。 l “故障”表示Manager产生告警时会上报Syslog告警消息。 l “清除”表示清除Manager告警时会上报Syslog告警消息。 l “事件”表示Manager产生事件时会上报Syslog告警消息。 报告告警级别 设置需要上报的告警级别。支持“提示”、“一般”、“严重”和 “致命”。 未恢复告警上报设置 周期上报未恢复告警 设置是否按指定周期上报未清除的告警。“周期上报未恢复告警”的开关默认为关闭，单击启用此功能。 间隔时间（分钟） 设置周期上报未恢复告警到远程Syslog服务的时间间隔，当“周期上报未恢复告警”开关打开时启用。单位为分钟，默认值为“15”，取值范围为5分钟到一天（1440分钟）。 心跳设置 上报心跳 设置是否开启周期上报Syslog心跳消息。“周期上报未恢复告警”的开关默认为关闭，单击启用此功能。 心跳周期（分钟） 设置周期上报心跳的时间间隔，当“上报心跳”开关打开时启用。单位为分钟，默认值为“15”，取值范围为160。 心跳报文 设置心跳上报的内容，当“上报心跳”开关打开时启用，不能为空。支持数字、字母、下划线、竖线、冒号、空格、英文逗号和句号等字符，长度小于等于256。 说明：设置周期上报心跳报文后，在某些集群容错自动恢复的场景下（例如主备管理节点倒换）可能会出现报文上报中断的现象，此时等待自动恢复即可。 3. 单击“确定”，设置完成。

本章节主要介绍数据仓库服务如何查看其它资料并清理资源。 查看其它资料 完成如上操作步骤后，我们推荐您可以参考如下资料继续对数据仓库服务进行更详细深入的了解： 《数据仓库服务用户指南》：本指南在此入门的基础上，对创建、管理、监控以及连接集群的概念和相关操作提供全面详细的信息。 《数据仓库服务数据库开发指南》：本指南在此入门的基础上，为数据库开发人员提供全面详细的信息，帮助他们了解如何构建、管理和查询DWS 数据库，包括SQL语法、用户管理、数据导入导出等指导。 清理资源 当完成快速入门的样例后，如果您不再需要使用本样例创建的样例数据、集群、ECS以及VPC时，您可以删除这些资源，以免资源浪费或占用您的配额。 1.删除DWS 集群。 在DWS 管理控制台，单击“集群管理”，在集群列表中集群“dwsdemo”所在行，单击“更多 > 删除”。然后在弹出对话框中勾选“释放与集群绑定的弹性IP”，单击“确定”。 如果待删除集群使用了自动创建的安全组，且该自动创建的安全组没有被别的集群使用，删除集群时，该安全组也会一起被自动删除。 2.删除子网。删除前请先确保该子网未被其他资源绑定。 登录虚拟私有云管理控制台，在左侧导航树单击“虚拟私有云”，在虚拟私有云列表中，单击名称“vpcdws”，然后在子网列表中“subnetdws”所在行单击“删除”。 3.删除虚拟私有云。删除前请先确保该虚拟私有云未被其他资源绑定。 登录虚拟私有云管理控制台，在虚拟私有云列表中，找到虚拟私有云“vpcdws) ”，单击其所在行的“删除”。 具体步骤，请参见《虚拟私有云用户指南》中“虚拟私有云和子网 > 删除虚拟私有云”章节。

本文为您详细介绍Code Llama模型。 模型简介 CodeLlama是一款建立在 Llama 2 基础之上的大型语言模型，它专门针对代码生成和代码讨论任务进行了微调。该模型的规模从70亿到340亿个参数不等，这一特性使其有可能极大地加速开发人员的工作流程，提高开发效率，并显著降低学习编码的入门门槛。Code Llama 有望成为一款强大的生产力和教育工具，帮助程序员编写出功能更强大、文档更完善的软件。 使用场景 CodeLlama旨在广泛支持各个领域的软件工程师，包括但不限于研究机构、工业界、开源项目、非政府组织以及企业环境。该模型免费提供给研究社区使用，同时也支持在商业环境中的应用，为开发者们提供了一个强大的工具，以提升他们的编码效率和质量。 评测效果 为了对比现有解决方案测试 CodeLlama 的性能表现，选择了两项流行的编码基准：HumanEval 与Mostly Basic Python Programming（MBPP）。其中 HumanEval 主要测试模型根据文档字符串补全代码的能力，而 MBPP 则测试模型根据描述编写代码的能力。 从基准测试结果来看，CodeLlama 的表现优于编码专用的开源 Llama，甚至超越了 Llama 2。例如，CodeLlama34BInstruct在 HumanEval 上的得分为 53.7%，优于 GPT3.5 的 48.1%，更接近 OpenAI 论文报告的 GPT4 的 67%。在 MBPP 上，CodeLlama 34B 得分为 56.2%，超越了其他最先进的开源解决方案，已经与 ChatGPT 基本持平。

检查安全组规则是否生效 在安全组规则中放开某个端口后，您还需要确保实例内对应的端口也已经放通，安全组规则才会对实例生效。 假设您在某台ECS上部署了网站，希望用户能通过HTTP(80)端口访问到您的网站，则您需要先在ECS所在安全组的入方向中，添加下表中的规则，放通HTTP(80)端口。 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP：80 IP地址：0.0.0.0/0 安全组规则添加完成后，您需要执行以下操作，检查云主机内端口开放情况，并验证配置是否生效。 登录云主机，检查云主机端口开放情况。 检查Linux云主机端口：执行命令netstat an grep 80，查看TCP 80端口是否被监听。 若回显类似下图所示，说明80端口已开通。 检查Windows云主机端口：打开命令执行窗口（CMD），执行命令netstat an findstr 80，查看TCP 80端口是否被监听。 若回显类似下图所示，说明80端口已开通。 打开浏览器，在地址栏里输入“

本章节介绍云容器ETCD节点宕机故障演练。 背景介绍 云容器引擎（CCE）中，Etcd 节点是集群的分布式数据存储核心。硬件故障、系统内核异常、软件组件崩溃、网络中断及数据同步异常等因素，均可能导致 Etcd 节点故障。Etcd 节点故障会造成集群配置读写失败、状态同步异常，进而导致 Master 节点管控功能受限，Pod 调度、扩缩容等操作失效，影响上层业务稳定性，本演练可测试系统应对 Etcd 节点故障的恢复能力。 基本原理 通过停止Etcd 节点上的服务，模拟Etcd 节点故障。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎实例。 添加故障动作 ：单击立即添加 ，在列表中选择Etcd节点故障动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点：故障动作的目标节点。

本节介绍翼加密的管理员脱密工具下载以及使用的说明。 下载管理员脱密工具 管理员登录AI云电脑控制台，在文件加密模块的任意列表页面（密级管理、加密策略管理、加密桌面管理、脱密审计）右上角，点击“管理员脱密工具”进行下载。 使用管理员脱密工具 管理员脱密工具的脱密权限，与运行工具的AI云电脑的密级权限相关。 例如，将脱密工具安装到一个密级等级为3级的用户的加密AI云电脑内，则可以使用工具脱密密级等级为3级和3级以下的加密文件。 反之，如果将脱密工具安装到一个未加密的桌面，则无法脱密任何加密文件。 备注：建议管理员尽量在一个密级等级最高的用户的加密AI云电脑内，安装及使用此工具进行文件脱密。 使用工具脱密文件的步骤： 1.安装并运行“管理员脱密工具”； 2.添加需要脱密的文件，可点击“选取文件”添加；也可以直接拖入页面添加。单次添加的脱密文件个数和大小不做限制； 3.点击“选择目标路径”选择文件脱密后保存的路径； 4.点击“确认脱密”提交脱密操作。在执行脱密前，需要输入脱密UKey。脱密UKey在控制台文件加密模块的任意列表页面（密级管理、加密策略管理、加密桌面管理、脱密审计）右上角，点击“管理员脱密工具”即可看到； 注意：脱密UKey是一个随机生成的6位数密码。并且每1分钟会刷新重置。只有在脱密UKey刷新重置前及时输入才能完成脱密。 5.脱密完成后，弹窗结果弹窗。点击“前往所在位置”则打开脱密文件保存的目标路径。脱密文件在下一次编辑保存之前，将保持脱密状态，可直接明文外发。

本文为您介绍在Windows 2019环境下初始化数据盘的操作场景及操作步骤。 操作场景 本示例以“Windows Server 2019 数据中心版64位中文版”操作系统为例，介绍云硬盘在Windows中的数据盘初始化操作。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考。 前提条件 数据盘已挂载至云主机，且此数据盘没有被初始化。 操作步骤 当新增云硬盘的容量小于2TB，初始化Windows数据盘的操作共分为两步，具体步骤如下： 登录弹性云主机。 初始化磁盘：根据界面提示完成磁盘初始化，当新增云硬盘的容量小于2TB时，分区形式请选择MBR（主启动记录）。 登录弹性云主机 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击选择“计算>弹性云主机”，进入云主机列表页面。 4. 单击需要初始化数据盘的云主机所在行的“操作>远程登录”，登录此台云主机，具体操作可参见登录Windows弹性云主机。 初始化磁盘（MBR分区） 1. 登录成功之后，单击开始图标，在Windows Server区域中选择 “服务器管理器”。跳转至“服务器管理器>仪表板”窗口。 2. 在此页面中，单击右上角的“工具”，在下拉菜单栏中选择“计算机管理”。 3. 在“计算机管理”页面左侧导航栏中，选择“存储>磁盘管理”，进入“磁盘管理”页面。进入磁盘管理页面后，若存在没有初始化的磁盘，系统会自动弹出“初始化磁盘”的窗口，如图： 4. 因未初始化的磁盘容量小于2TB，因此磁盘分区形式勾选“MBR（主启动记录）”，点击“确定”。 5. 在磁盘1的未分配区域右键单击，选择“新建简单卷”，如图： 6. 在弹出的“新建简单卷向导”窗口，根据界面提示，点击“下一页”。 7. 用户根据需要指定卷大小（建议用户在初始化之前就计算好磁盘分区的容量），默认为最大值，单击“下一页”。 8. 勾选分配驱动器号，单击“下一页”。 9. 勾选“按下列设置格式化这个卷”，并根据实际情况设置参数，格式化新分区，这里保持默认值，单击“下一步”窗口跳转至完成页面。 10. 单击“完成”，等待片刻让系统完成初始化操作，当卷状态为“状态良好”时，表示初始化磁盘成功。

从Spark导入详细示例 要通过Spark将本地存储的数据导入到云数据库ClickHouse，您可以按照以下步骤进行操作： 1. 准备工作： 确保您已经安装了Spark，并配置好了与云数据库ClickHouse的连接。 确保您已经在本地存储中准备好了要导入的数据文件。 2. 导入所需的依赖： 在Spark应用程序中添加所需的依赖项以支持与云数据库ClickHouse的连接。您需要使用ClickHouse JDBC驱动程序和Spark的相关依赖。例如，在Maven项目中，您可以添加以下依赖项： xml ru.yandex.clickhouse clickhousejdbc 0.4.1 根据您使用的构建工具和版本，请相应地配置依赖项。 3. 编写Spark应用程序： 创建一个Spark应用程序，通过Spark读取本地存储的数据文件，并将数据导入到云数据库ClickHouse中。下面是一个示例代码： scala import org.apache.spark.sql.{SparkSession, SaveMode} object ClickHouseDataImporter { def main(args: Array[String]): Unit { // 创建SparkSession val spark SparkSession.builder() .appName("ClickHouse Data Importer") .getOrCreate() // 读取本地存储的数据文件 val data spark.read.format("csv") .option("header", "true") // 如果数据文件包含头部，则设置为true .option("inferSchema", "true") // 自动推断列的数据类型 .load("/path/to/data/file.csv") // 替换为实际数据文件的路径 // 将数据保存到ClickHouse数据库中 data.write .mode(SaveMode.Append) // 指定保存模式，可以根据需求更改 .format("jdbc") .option("url", "jdbc:clickhouse://yourclickhousehost:port/database") // 替换为实际的云数据库ClickHouse连接URL和目标数据库 .option("dbtable", "yourtable") // 替换为目标表的名称 .option("user", "yourusername") // 替换为云数据库ClickHouse的用户名 .option("password", "yourpassword") // 替换为云数据库ClickHouse的密码 .save() } } 在上述代码中，您需要替换以下内容： "/path/to/data/file.csv"：实际的本地数据文件路径。 "jdbc:clickhouse://yourclickhousehost:port/database"：实际的云数据库ClickHouse连接URL和目标数据库信息。 "yourtable"：目标表的名称。 "yourusername"：云数据库ClickHouse的用户名。 "yourpassword"：云数据库ClickHouse的密码。 4. 运行Spark应用程序： 将您的Spark应用程序打包，并将其提交到Spark集群或本地运行。根据您的环境和需求，选择适当的方式来运行Spark应用程序。 例如，如果您使用的是Sparksubmit命令行工具，可以执行以下命令来提交应用程序： sparksubmit class ClickHouseDataImporter master local[] path/to/your/app.jar 这将启动Spark应用程序并开始将本地存储的数据导入到云数据库ClickHouse中。 说明 上述示例代码仅提供了一个基本的框架，您可能需要根据实际需求进行调整和优化。另外，还可以使用Spark的分布式计算能力和数据处理功能来进行更复杂的数据转换和导入操作。

本页介绍了如何连接文档数据库服务。 内网连接 使用场景：系统默认提供内网IP地址，通过该地址连接数据库。 当应用部署在弹性云服务器上，且该弹性云服务器与文档数据库服务实例处于同一区域、可用区、虚拟私有云子网内，建议单独使用内网IP通过弹性云服务器连接文档数据库服务实例。 文档数据库服务和弹性云服务器在不同的安全组默认不能访问，需要在文档数据库服务所属安全组添加一条“入”的访问规则。 文档数据库服务默认端口：8030，需要手动修改才能访问其它端口。 连接到单节点： mongodb:// : @ : / ?authSourceadmin&ssltrue 连接到副本集： mongodb:// : @ : / ?authSourceadmin&replicaSetreplica&ssltrue 连接到集群： mongodb:// : @ : / ?authSourceadmin&ssltrue 公网连接 使用场景：通过给数据库绑定弹性公网IP的方式访问。 当应用部署在弹性云服务器上，且该弹性云服务器与文档数据库服务实例处于不同区域时，建议单独使用弹性公网IP通过弹性云服务器连接文档数据库服务实例。 当应用部署在其他云服务的系统上时，建议单独使用弹性公网IP通过弹性云服务器连接文档数据库服务实例。 连接方式：参考上面内网连接部分。 应用程序连接 使用场景：通过各类应用程序连接数据库。 通过Java方式连接数据库，请参见文档数据库服务开发指南应用程序开发基于JAVA开发基于Java连接数据库。 通过Python连接数据库，请参见文档数据库服务开发指南应用程序开发基于Python开发基于python连接数据库。

1. 首先需要在弹性云主机上搭建FTP站点。具体操作参见弹性云主机－搭建FTP。 2. 以CentOS 7.6操作系统为例，执行以下命令安装ftp。 yum y install ftp 3. 执行以下命令连接云主机。 ftp 云主机弹性公网IP 　　并根据提示，输入FTP服务的用户名和密码。 4. 上传文件 　　执行以下命令，将本地文件上传至云主机中。 put 本地主机文件地址

本节介绍了如何查看云数据库GaussDB 的追踪事件。 操作场景 在您开通了云审计服务后，系统开始记录云服务资源的操作。云审计服务管理控制台保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看最近7天的操作记录。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击左侧导航树的“事件列表”，进入事件列表信息页面。 步骤 3 事件列表支持通过筛选来查询对应的操作事件。详细信息如下： 事件来源、资源类型和筛选类型：在下拉框中选择查询条件。其中筛选类型选择资源ID时，还需选择或者手动输入某个具体的资源ID。 操作用户：在下拉框中选择某一具体的操作用户。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可通过选择时间段查询操作事件。 步骤 4 选择查询条件后，单击“查询”。 步骤 5 在需要查看的记录左侧，单击展开该记录的详细信息。 步骤 6 在需要查看的记录右侧，单击“查看事件”，在弹出框中显示该操作事件结构的详细信息。 步骤 7 单击右侧的“导出”，将查询结果以CSV格式的文件导出，该CSV文件包含了云审计服务记录的七天以内的操作事件的所有信息。 关于事件结构的关键字段详解，请参见《云审计服务用户指南》的“事件结构”和“事件样例”章节。

本节介绍了云数据库GaussDB 的常用概念。 实例 云数据库GaussDB 的最小管理单元是实例，一个实例代表了一个独立运行的数据库。用户可以在控制台创建和管理云数据库GaussDB 实例。实例的状态、规格、存储类型、版本，请参考实例说明。 实例版本 云数据库GaussDB 目前支持2.7版本。 实例类型 云数据库GaussDB 支持分布式版和主备版实例。分布式形态能够支撑较大的数据量，且提供了横向扩展的能力，可以通过扩容的方式提高实例的数据容量和并发能力。主备版适用于数据量较小，且长期来看数据不会大幅度增长，但是对数据的可靠性，以及业务的可用性有一定诉求的场景。 实例规格 数据库实例各种规格（vCPU个数、内存（GB））请参考数据库实例规格章节。 CN Coordinator Node，负责数据库系统元数据存储、查询任务的分解和部分执行，以及将DN中查询结果汇聚在一起。 DN Data Node，和CN对应的概念。负责实际执行表数据的存储、查询操作。 自动备份 创建实例时，云数据库GaussDB 服务默认开启自动备份策略，实例创建成功后，您可对其进行修改，云数据库GaussDB 服务会根据您的配置，自动创建数据库实例的备份。 手动备份 手动备份是由用户启动的数据库实例的全量备份，它会一直保存，直到用户手动删除。