本章节介绍云主机网络包乱序故障演练。 背景介绍 在复杂的网络环境中，由于多路径传输、路由策略动态调整或网络设备处理延迟的差异，数据包可能不会按照其发送顺序到达目的地。虽然 TCP 协议设计了重排序机制来处理这种情况，但严重的乱序仍然会增加接收端的CPU开销，导致有效吞吐量下降和应用层延时增加。本演练模拟网络包乱序的场景，帮助您评估应用协议的健壮性和系统在非理想网络条件下的性能表现。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过增加TC和Netem规则模拟主机内网络包乱序。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包乱序动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 立即发送百分比：数据包被立即发送的百分比。 和上一包的相关性：控制数据包重排序的随机性和规律性之间的平衡，取值范围 0~100，例如，设置为 50 表示有 50% 的可能性下一个数据包的重排序决策会受到前一个数据包的影响。值越高，乱序模式越规律；值越低，越随机。 包序列大小：定义了重排序数据包之间的距离，即有多少个数据包会按照正常顺序发送后才会出现一个重排序的数据包，例如，当 gap 设置为 2 时，意味着每 2 个正常顺序的数据包之后会有一个数据包被重排序。 网络包延迟时间(毫秒)：对被选中的乱序数据包施加的延迟时长。

本页为您介绍创建插件的操作步骤。 1. 通过telesql连接到CN节点。 2. 执行sql “create extension pgdirtyread;” 3. 执行telesql命令dx，查看插件pgdirtyread是否存在。

前提条件 1. 已开通云容器引擎，至少有一个云容器引擎集群实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 gRPC是远程过程调用框架（RPC），有多语言的实现，底层采用HTTP2作为传输协议；由于HTTP2采用长连接机制，在负载均衡的场景下可能导致负载的不平衡，本文介绍负载不均衡的场景以及如何通过服务网格实现负载均衡。 部署gRPC server和client应用。 apiVersion: apps/v1 kind: Deployment metadata: name: grpcserverv1 labels: app: grpcserver version: v1 spec: replicas: 1 selector: matchLabels: app: grpcserver version: v1 template: metadata: labels: app: grpcserver version: v1 spec: containers: args: address0.0.0.0:8080 image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/grpcserver imagePullPolicy: Always name: grpcserver ports: containerPort: 8080 apiVersion: apps/v1 kind: Deployment metadata: name: grpcserverv2 labels: app: grpcserver version: v2 spec: replicas: 1 selector: matchLabels: app: grpcserver version: v2 template: metadata: labels: app: grpcserver version: v2 spec: containers: args: address0.0.0.0:8080 image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/grpcserver imagePullPolicy: Always name: grpcserver ports: containerPort: 8080 apiVersion: v1 kind: Service metadata: name: grpcserver labels: app: grpcserver spec: ports: name: grpcbackend port: 8080 protocol: TCP selector: app: grpcserver type: ClusterIP apiVersion: apps/v1 kind: Deployment metadata: name: grpcclient labels: app: grpcclient spec: replicas: 1 selector: matchLabels: app: grpcclient template: metadata: labels: app: grpcclient "sidecar.istio.io/inject": "true" spec: containers: image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/grpcclient imagePullPolicy: Always command: ["/bin/sleep", "3650d"] name: grpcclient 部署之后的pod列表（一个client，两个版本的server）： 通过client访问server，可以看到总是访问服务端的同一个实例。 kubectl exec it grpcclientb7499b9c45d2s n grpc /bin/greeterclient insecuretrue addressgrpcserver:8080 repeat10 为grpc client注入sidecar（打上标签"sidecar.istio.io/inject": "true"），重新部署grpcclient之后可以看到pod列表如下： 再次通过grpcclient访问grpcserver可以看到请求交替访问两个版本的grpcserver： 部署流量治理策略使70%的流量访问v2版本的grpcserver,30%的流量访问v1版本的grpcserver。 apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: name: drgrpcserver spec: host: grpcserver trafficPolicy: loadBalancer: simple: ROUNDROBIN subsets: name: v1 labels: version: "v1" name: v2 labels: version: "v2" apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: vsgrpcserver spec: hosts: "grpcserver" http: match: port: 8080 route: destination: host: grpcserver subset: v1 weight: 30 destination: host: grpcserver subset: v2 weight: 70 再次访问可以看到请求在grpcserver的两个版本之间不再是交替访问，而是大概按照7:3的比例访问：

应用场景 如果您已购买并使用运维安全中心（云堡垒机）服务专业版，可通过运维安全中心服务为主机安装企业主机安全的Agent。此安装方式无需获取主机账户密码或执行复杂的安装命令，可便捷的为单台或多台主机安装Agent。 前提条件 运维安全中心（云堡垒机）服务专业版，并通过运维安全中心（云堡垒机）纳管主机资源。 待安装Agent的主机为SSH协议类型的Linux主机，且主机网络连接正常。 已获取运维安全中心（云堡垒机）的系统管理员账号。 操作步骤 1.使用系统管理员账号登录运维安全中心（云堡垒机）系统。 2.在左侧导航栏，选择“运维> 快速运维”，进入“快速运维”界面。 3.选择“脚本控制台”页签，进入脚本控制台。 4.配置脚本运维信息。相关参数说明请参见下表，配置脚本运维信息 参数 说明 执行脚本 选择脚本“HSSAgent.sh”。 脚本参数 不填写。 执行账户 单击“选择”，选择待安装Agent的主机账户或账户组。 更多选项 可选设置。脚本任务默认在主机的Sudoers文件下执行，当主机账户没有该文件的执行权限时，需勾选“提权执行”。 5.单击“立即执行”，执行脚本任务。 6.脚本任务执行成功后，在执行结果列单击“展开”，展开执行结果，执行结果显示“install finished.[OK]”表示Agent安装成功。 7.在企业主机安全控制台，确认Agent安装结果。 8.登录企业主机安全控制台。 9.在左侧导航栏，选择“资产管理> 主机管理”，进入“主机管理”界面。 10.在“云服务器”页签，查看目标主机的Agent状态。 Agent状态为“在线”，表示Agent安装成功。

本文带您了解快速熟悉弹性负载均衡证书管理功能。 如果ELB的监听器和客户端之间使用HTTPS，需要在ELB上部署SSL证书。ELB先使用此证书来终结客户端的HTTPS连接，解密来自客户端的请求，再将客户端请求通过HTTP方式发送到后端主机组。 天翼云负载均衡器支持两种类型的证书，服务器证书、CA证书。配置HTTPS监听器时，需要为监听器绑定服务器证书，如果开启双向认证功能，还需要绑定CA证书。 证书标准 天翼云同时支持国际标准和国密（SM2）标准两种类型，方便不同行业属性的公司灵活选择适合当前业务的证书标准。 单向认证 客户端需要认证主机端的真实性，而主机端不需要认证客户端的真实性。当配置ELB HTTPS类型的监听器时，需要绑定服务器证书。 双向认证 客户端需要认证主机端真实性，同时主机端也需要认证客户端的真实性，需要双方都通过认证，才能正常建立连接响应请求。当配置ELB HTTPS类型的监听器，并开启双向认证时，在为监听器绑定服务器证书的同时，还需要绑定CA证书来验证客户端的真实性。这样只有当客户端能够出具指定CA签发的证书时，HTTPS才能连接成功。 使用须知： 同一个证书在负载均衡器上只需上传一次，可以使用在多个负载均衡器实例中。 默认情况下，一个监听器每种类型的证书只能绑定一个，但是一个证书可以被多个监听器绑定。负载均衡器只支持原始证书，不支持对证书进行加密。 目前ELB不支持对证书有效期等进行检查。 ELB不会自动选择未过期的证书，如果您有证书过期了，需要手动更换或者删除证书。

本节主要介绍如何使用API迁移iSCSI target。 此操作用来迁移iSCSI target，修改iSCSI target对应的服务器。 说明 一次只允许迁移iSCSI target对应的一个服务器。 注意 执行迁移iSCSI target之前，需要保证集群处于working状态，同时目的服务器需要处于正常已连接状态。 目前仅支持强制迁移iSCSI target，强制迁移iSCSI target可能会造成数据丢失。 如果被迁移的iSCSI target已被卷连接，且该卷已经被客户端挂载，迁移iSCSI target前，需要客户端与原iSCSI target IQN断开；迁移后，确保原iSCSI target IQN不能被发现，客户端重新连接迁移后的iSCSI target IQN。 迁移完成后，请检查并调整target允许访问列表配置，确保符合访问控制要求。 请求语法 plaintext PUT /rest/v1/block/target/targetName/migrate?forceforce HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "server": [ { "source": sourceserverID, "dest": destserverID } ] } 请求参数 参数 类型 描述 是否必填 targetName String iSCSI target名称。 取值：长度范围是1~16，可以由小写字母、数字、句点（.）和短横线（）组成，且仅支持以字母或数字开头。 是 force Boolean 是否强制迁移iSCSI target。 注意 目前仅支持强制迁移iSCSI target，强制迁移iSCSI target可能会造成数据丢失。 取值：true：强制迁移iSCSI target。 是 server Array of server 迁移的源和目的服务器集合，详见“表1 请求参数server说明”。 是 表1 请求参数server说明 参数 类型 描述 是否必填 source String iSCSI target的源服务器ID。 是 dest String iSCSI target的目标服务器ID。 是

数据库安全审计操作类常见问题。 如何配置数据库安全审计？ 购买数据库安全审计实例后，您需要将待审计的数据库添加到数据库安全审计实例中，并在数据库端、应用端或代理端安装Agent。当待审计的数据库连接到数据库安全审计实例后，数据库安全审计才能对待审计的数据库进行审计。 数据库安全审计的配置操作流程如下图所示。 如何关闭数据库SSL？ 数据库开启SSL时，将不能使用数据库安全审计功能。如果您需要使用数据库安全审计功能，请关闭数据库的SSL。 以MySQL数据库自带的客户端为例说明，操作步骤如下： 1. 使用MySQL数据库自带的客户端，以root用户登录MySQL数据库。 2. 执行以下命令，查看MySQL数据库连接的方式。 s 如果界面回显类似以下信息，说明MySQL数据库已关闭SSL。 SSL: Not in use 如果界面回显类似以下信息，说明MySQL数据库已开启SSL，请执行步骤3。 SSL: Cipher in use is XXXXXXXXXXXXXXX 3. 以SSL模式登录MySQL数据库。 执行以下命令，退出MySQL数据库。 exit 以root用户重新登录MySQL数据库。 在登录命令后添加以下参数： sslmodeDISABLED 或 ssl0 注意 须知：以SSL模式登录MySQL数据库，只能关闭本次SSL。当需要使用数据库安全审计功能时，请以本步骤登录MySQL数据库。 3. 执行以下命令，查看MySQL数据库连接的方式。如果界面回显类似以下信息，说明MySQL数据库已关闭SSL。 SSL: Not in use 如何设置数据库安全审计的INSERT审计策略？ 在添加风险操作时，您可以添加INSERT审计策略，如下图所示。

参数 参数说明 参数范围 默认值 min.insync.replicas 当producer将acks设置为“all”(或“1”)时，此配置指定必须确认写入才能被认为成功的副本的最小数量。 1 ~ 3 1 message.max.bytes 单条消息的最大长度（单位：字节）。 0 ~ 10485760 10485760 auto.create.groups.enable 是否开启自动创建消费组功能。 true/false true max.connections.per.ip 每个IP允许的最大连接数。超过此连接数的连接请求将被丢弃。 100 ~ 20000 1000 unclean.leader.election.enable 指示是否启用不在ISR集合中的副本选为领导者作为最后的手段，即使这样做可能导致数据丢失。 true/false true

关系型数据库RDS支持的事件列表 资源异常事件 事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 创建实例业务失败 createInstanceFailed 重要 创建实例失败产生的事件，一般是磁盘个数，配额大小不足，底层资源耗尽导致。 检查磁盘个数、配额大小，释放资源后重新创建。 无法创建数据库实例。 实例全量备份失败 fullBackupFailed 重要 单次全量备份失败产生的事件，不影响以前成功备份的文件，但会对“恢复到指定时间点”的功能有一些影响，导致“恢复到指定时间点”时增量备份的恢复时间延长。 重新执行一次手工备份。 备份失败。 主备切换异常 activeStandBySwitchFailed 重要 主备切换异常是由于网络、物理机有某种故障导致备机没有接管主机的业务，短时间内会恢复到原主机继续提供服务。 检查应用和数据库之间的连接是否重新建立了连接。 无 复制状态异常 abnormalReplicationStatus 重要 出现”复制状态异常“事件通常有两种情况：1、主机与备机或只读实例之间复制时延太大（一般在写入大量数据或执行大事务的时候出现），在业务高峰期容易出现阻塞。2、主机与备机或只读实例之间的网络中断，导致主机与备机或只读实例复制异常。 提交工单。 但不会导致原来单实例的读写中断，客户的应用是无感知的。 复制状态异常已恢复 replicationStatusRecovered 重要 即复制时延已回到正常范围内，或者主备之间的网络通信恢复。 不需要处理。 无 实例运行状态异常 faultyDBInstance 重要 由于灾难或者物理机故障导致单机或者主实例故障时会上报本事件，属于关键告警事件。 检查是否有设置自动备份策略，并且提交工单。 可能导致数据库服务不可用。 实例运行状态异常已恢复 DBInstanceRecovered 重要 针对灾难性的故障，RDS有高可用工具会自动进行备机重建，重建完成之后即会上报本事件。 不需要处理。 无 单实例转主备实例失败 singleToHaFailed 重要 创建备机时或备机创建完成后主备机之间配置同步发生故障时会产生此事件，一般是由于备节点所在数据中心资源不足导致。 提交工单。 “单实例转主备实例失败”不会导致原来单实例的读写中断，客户的应用是无感知的。 数据库进程重新启动 DatabaseProcessRestarted 重要 一般是内存不足、负载过高导致数据库进程停止 通过云监控的数据，查看是否有内存飙升、cpu长期过高、磁盘满使用率不足等的情况，可以选择提升CPU内存规格或者优化业务逻辑 进程异常退出的时候，业务中断。RDS服务会自动拉起进程，尝试恢复业务。 实例磁盘满 instanceDiskFull 重要 一般是由于数据空间占用过大导致。 对实例进行扩容操作。 实例由于磁盘空间满将会变成只读实例，数据库不可进行写入操作。 实例磁盘满已恢复 instanceDiskFullRecovered 重要 实例磁盘状态恢复正常。 不需要处理。 实例解除只读状态，恢复写操作。 kafka连接失败 kafkaConnectionFailed 重要 一般是由于网络波动或kafka服务端出现异常等原因导致。 检查业务是否收到影响。 无。

概述 默认情况下，ZooKeeper集群不会对客户端进行强制身份认证，任何客户端都可以访问ZooKeeper数据，存在安全隐患。目前，MSE ZooKeeper支持SASL身份认证，通过用户名和密码对客户端进行身份认证，提升Zookeeper数据的安全性。 前提条件 创建微服务引擎MSE，参考章节：创建ZooKeeper引擎； 开通引擎版本为3.8.1.9及以上的ZooKeeper实例，并且实例状态正常； 操作步骤 1.登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2.在左侧导航栏，选择注册配置中心 > 实例列表； 3.在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4.在左侧导航栏，选择权限管理> SASL认证； 5.在用户管理页面，单击创建用户。在创建用户面板中输入用户名、密码和确认密码，然后单击确定即可增加新的用户身份信息配置； 6.单击对应用户操作列中的复制配置，以下内容会被复制到粘贴板，密码需要手动补充，然后将其保存在客户端的任意文件中（如jaas.conf）； java Client { org.apache.zookeeper.server.auth.DigestLoginModule required usernametest password""; }; 7.对于Java使用Zookeeper原生SDK或者Apache Curator框架的应用时，需要进行以下操作： 假设之前已经保存的配置文件路径为/path/to/jaas.conf，在Java应用启动的时候，指定以下系统属性。 Djava.security.auth.login.config/path/to/jaas.conf // 填写配置保存的文件的路径 重启客户端应用后，客户端会自动读取认证信息配置并向Zookeeper服务端进行身份认证。 8.客户端配置完成之后，在左侧导航栏，选择参数管理。在参数管理页面，将requireClientSASLAuth的值设置为true，即可强制要求客户端连接服务端时进行SASL身份认证； 9.用户创建成功后，可以在用户列表的操作列，按需执行如下操作； 重置密码：点击重置密码，在密码重置面板中输入用户名、新密码和确认密码。当用户密码发生变更后，以该用户身份连接服务端的客户端将会断开连接； 删除用户：单击删除，弹出框提示确认需要删除的用户名称，点击确认即可删除用户。当用户被删除后，以该用户身份连接服务端的客户端将会断开连接；

本文以思科防火墙为例介绍如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 背景信息 VPC和本地IDC的网络配置如下： 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 前提条件 您已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 配置IKEv1 VPN 协议 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group2 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK aa123bb IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group2 IPsec 生命周期 3600 IPsec 传输协议 ESP 操作步骤 1. 登录防火墙设备的命令行配置界面。 2. 配置isakmp策略。 crypto isakmp policy 1 authentication preshare encryption aes hash sha group 2 lifetime 86400 3. 配置预共享密钥。 crypto isakmp key aa123bb address 121.XX.XX.113 4. 配置IPsec安全协议。 crypto ipsec transformset ipsecpro64 espaes espshahmac mode tunnel 5. 配置ACL（访问控制列表），定义需要保护的数据流。 accesslist 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255 accesslist 100 permit ip 10.10.10.0 0.0.0.255 192.168.11.0 0.0.0.255 如果本地网关设备配置了多网段，则需要分别针对多个网段添加ACL策略。 6. 配置IPsec策略。 crypto map ipsecpro64 10 ipsecisakmp set peer 121.XX.XX.113 set transformset ipsecpro64 set pfs group2 match address 100 7. 应用IPsec策略。 interface g0/0 crypto map ipsecpro64 8. 配置静态路由。 ip route 192.168.10.0 255.255.255.0 121.XX.XX.113 ip route 192.168.11.0 255.255.255.0 121.XX.XX.113 9. 测试连通性。 您可以利用您在云中的主机和您数据中心的主机进行连通性测试。

镜像内容检查 待开发机可正常访问后，远程连接开发机，检查安装的软件包是否存在

。 3. 初始化系统参数 plaintext su teledb cd /etc/security 在/etc/security/limits.conf文件中最后一部分，添加如下内容。 plaintext teledb soft nofile 131072 teledb hard memlock 128849018880 teledb soft memlock 128849018880 teledb soft core 1024000 teledb hard core 1024000 teledb hard nproc unlimited teledb soft nproc unlimited teledb hard nofile 131072 teledb hard stack unlimited teledb soft stack unlimited 4. 执行如下命令 plaintext echo vm.swappiness10 >> /etc/sysctl.conf sysctl w vm.swappiness10 echo vm.minfreekbytes102400 >> /etc/sysctl.conf sysctl w vm.minfreekbytes102400 5. 进入/etc/sudoers文件，添加权限 在rootALL（ALL）ALL一行下面添加如下内容。 plaintext teledb ALL(ALL) NOPASSWD:ALL 6. 修改挂载目录权限 执行如下命令，修改成可读写运行权限 plaintext sudo chmod 777 /app 执行如下命令，修改/app目录下文件所属用户。 plaintext sudo chown R teledb:teledb /app 3. （可选）创建软连接 执行如下命令创建软连接 plaintext cd /usr/local/bin ln s /usr/sbin/ip ip ln s /usr/sbin/sysctl sysctl ln s /usr/sbin/userdel userdel ln s /usr/sbin/useradd useradd

geqopoolsize (integer) 控制GEQO 使用的池尺寸，它就是遗传种群中的个体数目。它必须至少为 2，且有用的值通常在 100 到 1000 之间。如果它被设置为零（默认设置）则会基于geqoeffort和查询中表的数量选择一个合适的值。 geqogenerations (integer) 控制GEQO 使用的代数，也是算法的迭代次数。它必须至少为 1，并且有用值的范围和池尺寸相同。如果它被设置为零（默认设置）则会基于geqopoolsize选择一个合适的值。 geqoselectionbias (floating point) 控制GEQO 使用的选择偏好。选择偏好是种群中的选择压力。值可以是 1.5 到 2.0 之间，后者是默认值。 geqoseed (floating point) 控制GEQO 使用的随机数生成器的初始值，随机数生成器用于在连接顺序搜索空间中选择随机路径。该值可以从 0 （默认值）到 1。变化该值会改变被探索的连接路径集合，并且可能导致找到一个更好或更差的路径。

入侵防御 基于状态、精准的高性能攻击检测和防御 实时攻击源阻断、IP屏蔽、攻击事件记录 支持针对HTTP、SMTP、IMAP、POP3、VOIP等几十种协议和应用的攻击检测和防御 支持自定义入侵防御特征 提供预定义防御配置模板 提供几千种特征的攻击检测和防御，特征库支持网络实时更新 病毒过滤 基于流、低延时、高并发、高性能的病毒过滤 支持大病毒文件的扫描 实时病毒连接阻断，病毒事件记录 支持常见病毒传输协议HTTP、FTP及各种邮件协议扫描 超千万级的病毒特征库，病毒库可以在线更新、本地更新 数据安全 支持基于文件类型、文件大小、文件名称进行数据传输安全控制 支持HTTP、FTP、SMTP、POP3、SMB协议文件传输的识别 支持近百种主流文件类型的特征码及后缀名双重识别 僵尸网络C2 防御 通过监控C&C连接发现内网肉鸡，阻断僵尸网络/勒索软件等高级威胁进一步破坏 定期僵尸网络服务器地址升级更新 支持C&C IP和域名两种方式检测 支持TCP和HTTP、DNS协议检测

本节介绍分布式消息服务Kafka使用SASLSSL连接常见问题 1.报错示例：java.security.cert.CertPathValidatorException: Algorithm constraints check failed: SHA256withDS 解决途径：排查jdk是否支持SHA256withDS算法，推荐使用oracle jdk1.8.0201版本jdk 2.报错示例：Topic authorization failed for topics 解决途径：排查topic是否授权，如果没有则授予对应权限 3. 报错示例：Authentication failed during authentication due to invalid credentials with SASL mechanism SCRAMSHA512 解决途径：排查连接kafka的用户密码是否正确 4. 报错示例：java.security.cert.CertificateException: No subject alternative names present 解决途径：配置文件需要配置 ssl.endpoint.identification.algorithm 5. 报错示例：Keystore was tampered with, or password was incorrect 解决途径：排查 ssl client密码是否错误或者和证书不匹配，可以从实例详情>接入点信息>查看所有IP和端口信息，界面下载对应证书 6.接入配置示例

介绍NFS协议挂载具体步骤。 挂载说明 NFS协议的文件空间推荐在Linux系统下挂载。需要使用NFS客户端连接。 以下操作除天津资源池2区、天津资源池3区外适用 以下是在centos 7 上安装NFS客户端并且挂载天翼云媒体存储文件资源过程。操作步骤如下： 1. 执行以下命令，在主机上创建挂载目录：mkdir 本地挂载目录。 2. 执行以下命令安装NFS工具包：sudo yum install y nfsutils。 3. 执行以下命令进行资源连接：sudo mount t nfs4 直连模式资源挂载地址:/mnt/媒体存储控制台用户名/文件系统名称 本地挂载目录。 4. 也可以通过控制台获取挂载命令，点击对应文件空间的【查看】按钮，并在详情弹窗获取挂载命令。 5. 在本地挂载目录下可以进行正常的文件操作。 6. 如需卸载，可使用以下命令：sudo umount 本地挂载目录。 以下操作适用于天津资源池2区、天津资源池3区 以下是在centos 7 上安装 NFS客户端并且挂载天翼云媒体存储文件资源过程。操作步骤如下： 1. 执行以下命令，在主机上创建挂载目录：mkdir 本地挂载目录。 2. 执行以下命令安装NFS工具包：sudo yum install y nfsutils。 3. 执行挂载命令进行资源连接，具体的挂载命令可在对应的文件系统点击【管理】，从“挂载点信息“字段获取。建议优先使用NFSv4挂载命令。 4. 在本地挂载目录下可以进行正常的文件操作。 5. 如需卸载，可使用以下命令：sudo umount 本地挂载目录，完成卸载操作。

本章节会介绍如何通过命令创建数据库帐户。 创建文档数据库实例时，系统会同步创建默认账户rwuser。您可以根据业务需要，通过默认账户rwuser创建其他数据库账户，之后您可以使用默认账户rwuser或已创建的其他账户对数据库中的数据如库、表、索引等进行操作。 使用须知 为目标实例创建数据库帐户时，建议您开启SSL通道，提高数据的安全性。 对于已有的3.2版本的文档数据库实例，不支持创建数据库帐户，仅可更改管理员帐户rwuser的密码。 在创建数据库帐户时，要指定命令参数passwordDigestor:"server"，具体操作请参见官方文档。 前提条件 成功连接文档数据库实例，请参见《文档数据库服务快速入门》各实例类型下，通过内网和公网连接实例的内容。 帐户说明 为了给文档数据库实例提供管理服务，您在创建数据库实例时，文档数据库服务会自动为实例创建根帐户root（或admin）、监控帐户monitor和备份帐户backup，这些帐户属于天翼云实例管理平台，您不能操作或者使用。如果试图删掉、重命名、修改这些帐户的密码和权限，会导致出错。 对于数据库管理员帐户rwuser，以及您所创建的帐户，允许修改帐户的密码。 默认账户rwuser以及通过rwuser创建的账户，对系统库admin和config权限受限，无法进行正常操作。对自身创建的库表，具有充分的操作权限。 MongoDB的User一般是在某个固定的认证库下创建的。连接数据库时，需要通过参数authenticationDatabase来明确指定对应的认证库。 DDS实例中，默认的rwuser用户的认证库，是admin。

本文介绍天翼云AOne会议产品资费。 基础套餐（必须） AOne会议提供免费版、标准版、旗舰版三种套餐，满足不同规模与场景下的会议需求： 免费版：适用于个人或小团队试用体验，单会议室最多10人同时参会，赠送1GB云录制空间，智能云录制每月赠送2次，最多可订购5个账号。 标准版：适用于中小企业的日常协作场景，单会议室最多100人同时参会，赠送100GB云录制空间，智能云录制不限次数，性价比高。 旗舰版：面向中大型企业或高要求场景，单会议室最多300人同时参会，赠送600GB云录制空间，智能云录制不限次数，开放会议全能力。 套餐单价 计费项 套餐版本 年付价格（元/个/年) 月付价格(元/个/月) 高级账号数 免费版 0 0 高级账号数 标准版 888 78 高级账号数 旗舰版 1290 129 增值服务（可选） 除基础套餐外，AOne会议还提供灵活的增值服务，满足更大规模或专业场景的使用需求： 大型会议室 当免费版、标准版或旗舰版会议的并发参会人数无法满足需求时，您可单独订购大型会议室资源，支持扩展至500方、1000方或2000方的并发容量，适用于大型内部会议、线上发布会等大规模会议场景。 计费项 云会议室容量 年付价格（元/个/年） 月付价格（元/个/月） 大型会议室 500方 10788 1078 大型会议室 1000方 21888 5888 大型会议室 2000方 50888 10888 说明 “方”指终端连接数，即同时接入会议的终端数量上限。例如，500方即支持最多500个终端同时接入。 若您当前基础套餐剩余有效时间不足一个月，将无法订购大型会议室。建议您先续订基础套餐后再进行订购。

扣分项 含义 扣分子项 条件 分数计算规则 内存使用率（memUsage） 一天的平均内存使用率。 严重事件 memUsage>90% min[3 + (memUsage0.9)50, 10] 内存使用率（memUsage） 一天的平均内存使用率。 警告事件 80%<memUsage<90% 1+(memUsage0.8)20 CPU使用率（cpuUsage） 一天的CPU平均使用率。 说明 多核CPU需要换算为单核进行计算。 严重事件 cpuUsage>80% min[3+(cpuUsage0.8)30,10] CPU使用率（cpuUsage） 一天的CPU平均使用率。 说明 多核CPU需要换算为单核进行计算。 警告事件 70%<cpuUsage<80% 1+(cpuUsage0.7)20 空间使用率（spaceUsage） （已使用空间的平均值/总空间）100%。 严重事件 spaceUsage > 90% min[3+(spaceUsage0.9)40,10] 空间使用率（spaceUsage） （已使用空间的平均值/总空间）100%。 警告事件 70%<spaceUsage<90% 1+(spaceUsage0.7)20 连接使用率（connectionRate） 一天内连接数的平均值/最大允许的连接数。 严重事件 connectionRate>80% 3 连接使用率（connectionRate） 一天内连接数的平均值/最大允许的连接数。 警告事件 70%<connectionRate<80% 1 IOPS使用率（iopsUsage） （一天内IOPS的平均值/最大允许IOPS值）100%。 严重事件 iopsUsage>90% 5 IOPS使用率（iopsUsage） （一天内IOPS的平均值/最大允许IOPS值）100%。 警告事件 70%<iopsUsage<90% 3 活跃会话（threadRunning） 一天内产生的活跃会话的个数。 严重事件 threadRunning>min(4cpuCores+8,96) 9 活跃会话（threadRunning） 一天内产生的活跃会话的个数。 警告事件 threadRunning>min(2cpuCores+8,64) 3 慢SQL数量（slowSqlCount） 一天内产生的慢SQL的总条数。 严重事件 slowSqlCount>500 18+(slowSqlCount10)/30 慢SQL数量（slowSqlCount） 一天内产生的慢SQL的总条数。 警告事件 100<slowSqlCount<500 4+(slowSqlCount100)/30 慢SQL数量（slowSqlCount） 一天内产生的慢SQL的总条数。 优化事件 0

本章节介绍如何进行监控分析 进入监控分析页面，可以看到监控指标统计，主要包括出入流量、请求成功率、4xx&5xx比例、分位耗时等，如下图所示： 出入流量、网关配置中心连接状态，请求成功率： 4xx、5xx比例，请求失败率，平均耗时 分位耗时和网关连接数统计

WAF原生版是否支持HTTPS双向认证？ HTTPS双向认证是相较于HTTPS单向认证而言的，HTTPS单向认证是指客户端在请求服务器数据时，需要验证服务器的身份。而双向认证是在此基础上，服务器端验证客户端的身份，从而实现双向认证。 双向认证主要应用场景是部分重要业务需要验证客户端身份时，需要使用双向验证。而使用WAF防护的业务，一般为对公众提供的Web服务，其原始业务不会有双向验证的要求，故当前WAF原生版不支持HTTPS双向认证。 WAF原生版是否支持WebSocket协议？ WebSocket是HTML5引入的一项技术，用于在Web应用程序中实现实时双向通信。与传统的HTTP请求响应模型不同，WebSocket允许服务器主动向客户端推送数据，而不需要客户端发起请求。WebSocket连接保持打开状态，允许客户端和服务器之间进行双向通信，这为实时应用程序提供了更高效和实时的通信方式。当前WAF支持WebSocket进行用户业务的转发，实现WebSocket通信。 若一个IP同时配置了白名单和黑名单，优先级是什么？ IP白名单的优先级高于黑名单，若同时配置了白名单和黑名单，则优先以白名单为准，详情请参见IP黑白名单。 WAF支持设置单条防护规则的防护状态吗？ 支持。 WAF原生版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。 WAF支持针对地理位置配置禁止访问策略吗？ 支持。 地域访问控制支持针对地理位置的黑名单封禁，可指定需要封禁的国家、地区，阻断该区域的来源IP的访问。通过地域访问控制模块，可以满足针对地理位置的黑名单封禁。支持封禁的地域请参见地域访问控制。 注意 WAF云SaaS模式的基础版不支持地域访问控制功能，请升级到更高版本使用。

本节为内核版本升级公告。 本节对关系数据库PostgreSQL版的内核版本的潜在风险进行了说明，如果您使用了下述版本，建议您尽快升级到最新内核版本。 涉及版本 15.015.7版本 建议升级原因 涉及版本存在自数据库启动后，当累计连接数量达到42亿后，数据库无法新建连接的问题。最新版本已经优化该问题，建议客户业务低峰期升级小版本到最新版本。 升级指导 请参考升级内核小版本。 预估业务影响时长 升级需要重启实例，业务中断时长约1min。 预估升级时长 正常业务负载下，升级时长约515min。 升级过程中的影响说明 1. 正常升级大概515min左右，业务量越大，总时间越长，请选择在业务低峰期进行升级，并确保您的应用有自动重连机制。如有只读实例，会同步升级小版本。 2.升级操作及影响参考升级内核小版本。

任务示例 配置Hive自定义参数 Hive依赖于HDFS，默认情况下Hive访问HDFS时是HDFS的客户端，生效的配置参数统一由HDFS控制。例如HDFS参数“ipc.client.rpc.timeout”影响所有客户端连接HDFS服务端的RPC超时时间，如果用户需要单独修改Hive连接HDFS的超时时间，可以使用自定义配置项功能进行设置。在Hive的“coresite.xml”文件增加此参数可被Hive服务识别并代替HDFS的设置。 1.在集群详情页，单击“组件管理”。 2.选择 “Hive > 服务配置”。 3.将页面右侧“基础配置”切换为“全部配置”。 4.在左侧导航栏选择Hive服务级别“自定义”，MRS将显示Hive支持的服务级别自定义参数。 5.在“coresite.xml”对应参数“core.site.customized.configs”的“参数”输入“ipc.client.rpc.timeout”，“值”输入新的参数值，例如“150000”。单位为毫秒。 6.单击“保存配置”，勾选“重新启动受影响的服务或实例。”并单击“确定”重启服务。 界面提示“操作成功。”，单击“完成”，服务成功启动。

DCS管理控制台支持手动切换DCS缓存实例的主备节点，该操作用于特殊场景，例如，释放所有业务连接或终止当前正在执行的业务操作。 只有主备实例支持该操作。 说明 主备节点切换期间，业务会发生少于10秒的连接闪断，请在操作前确保应用具备断连重建能力。 主备节点切换时，新的主备关系同步需要消耗较多资源，请不要在业务繁忙时执行该操作。 由于主备之间数据同步采用异步机制，主备节点切换期间可能丢失少量正在操作的数据。 前提条件 只有当DCS缓存实例处于“运行中”状态，才能执行此操作。 操作步骤 1. 登录分布式缓存服务管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 单击左侧菜单栏的“缓存管理”。 4. 在需要进行主备切换的缓存实例右侧，单击“操作”栏下的“更多 > 主备切换”，完成主备切换。

服务器IP地址变更后，原SSL证书是否仍可用？ 如果申请的是域名证书，只要部署的域名匹配，域名解析的IP更改不会影响证书，可以继续使用； 如果申请的是IP证书，部署的IP更改，证书IP和部署IP不一致，证书不匹配不可以继续使用。 浏览器提示SSL证书不可信怎么办？ 导致浏览器提示ssl证书不可信/不安全的原因是多样的，简单的原因有以下几种： 访问到的证书是否与访问的域名一致，若不一致一般是部署的证书不匹配，重新部署对应匹配域名证书即可。 服务端部署的证书不完整，缺乏中间证书链，重新部署完整证书即可。 客户若自行无法判断原因，可反馈至技术支持排查处理。 部署了SSL证书后，为什么通过域名无法访问网站？ 导致域名无法访问的原因是多样的，如端口问题/域名解析问题/证书部署问题。若客户自行无法判断原因，可反馈至技术支持排查处理。 为什么安装了SSL证书后，https访问速度变慢了？ 安装SSL证书后，HTTPS访问速度变慢可能是由以下几个原因引起的： 加密和解密过程：SSL证书用于加密在网络中传输的数据，以确保安全性。加密和解密数据的过程需要计算资源和时间，因此会对访问速度产生一定的影响。尤其是在服务器端，需要对大量的数据进行加密和解密操作，可能导致响应时间延长。 握手过程：在建立HTTPS连接时，客户端和服务器之间需要进行SSL握手过程，以协商加密算法和密钥等信息。这个握手过程会增加连接建立的时间和网络延迟，从而影响访问速度。 证书验证：在建立HTTPS连接时，客户端需要验证服务器端的SSL证书的合法性。这涉及到证书链的验证、OCSP状态、证书吊销列表（CRL）的检查等操作，这些额外的验证步骤可能会增加连接建立的时间。 响应大小增加：SSL加密会使数据包的大小增加。加密后的数据包通常会比明文数据包更大，这意味着在网络上传输需要更多的带宽和时间。 服务器处理负载增加：由于SSL加密需要计算资源，服务器在处理大量HTTPS请求时可能会承受更大的负载。如果服务器的计算能力有限或配置不当，可能导致HTTPS访问速度变慢。 但整个tls握手、获取ocsp状态所耗时间可以忽略不计。 如果您说的访问速度过慢，可以排查下是否其他因素，如服务器资源加载以及网络原因。

云主机系统资源利用率异常 步骤一：问题定位 定位云主机是否受到恶意软件感染，您可以运行受信任的杀毒软件或安全扫描工具，对云主机进行全面扫描。此外，您还可以检查操作系统、应用程序和安全软件是否为最新版本，并已应用最新的安全更新和补丁。 步骤二：问题处理 如果云主机受到恶意软件感染，及时采取行动非常重要。隔离云主机、运行安全扫描工具、清除恶意软件、更新系统等都是确保云主机安全的关键步骤。 云主机系统资源利用率异常 问题定位：定位云主机中CPU利用率高、带宽流量大、内存使用量高的进程。Windows系统提供多个工具用于定位系统资源利用率异常问题，包括任务管理器、性能监视器、资源监视器、事件查看器等。在带宽流量大的情况下，您可以使用Wireshark抓取一段时间内的网络包，分析带宽流量的使用情况。查看网络问题时，您可以检查网线、路由器等硬件设备是否正常工作，之后使用命令行工具ping命令来测试与其他计算机的网络连接，检查延迟和丢包情况。 问题定位步骤： 1. 本部分详细介绍了问题定位步骤，您可按照如下流程进行排查。 2. 打开“运行”窗口，输入“perfmonres”，打开“资源监视器”。 3. 在“资源监视器”中，单击“CPU”或“网络”，查看CPU占用率或带宽使用情况。 4. 查看CPU和带宽占用率较高的进程ID和进程名。 5. 打开“运行”窗口，输入“taskmgr”，打开“Windows任务管理器”。 6. 在“任务管理器”中，选择“详细信息”选项卡，单击“PID”进行排序。在查找到的CPU或带宽占用率较高的进程上单击右键，选择“打开文件位置”，定位进程是否为正常程序或恶意程序。 问题处理 排查进程是否正常，进行分类处理。 1. 正常程序：优化程序，或变更云主机配置，请参见实例配置变更。 2. 异常程序：确保异常程序不会影响到系统组件或其他用户，您可以手动关闭进程或隔离异常程序。根据异常原因，您还可以采用适当的措施来修复

问题描述 修改SSH端口后，无法通过SSH远程连接服务器。 可能原因 SSH端口默认为22，用户将SSH端口改为其他端口（例如10001端口）后，未修改服务器上的iptables规则，导致10001端口的请求被拒绝。 解决方案 在iptables中添加允许访问10001端口 Bash iptables A INPUT p tcp dport 10001 j ACCEPT

本节介绍天翼量子AI云电脑客户端支持的系统、浏览器版本,以及下载地址。 说明：新版本客户端目前处于灰度测试阶段，将逐步向更多用户开放，感谢您的耐心等待。 若您希望申请试用，可发送邮件至指定邮箱：clouddesktop@chinatelecom.cn 前言 欢迎广大用户下载安装天翼量子AI云电脑全新视觉客户端，当前文档适用于Windows客户端，Mac客户端，Ubuntu瘦终端，安卓瘦终端，国产化终端（银河麒麟/统信UOS），Web客户端的使用帮助文档。 产品定义 天翼量子AI云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的Clink数据安全传输协议，实现低延时、高画质、带宽占用少、多终端接入，打造从端到云全链路的安全防护体系，用户通过终端快速访问调取云端资源，实现统一管理、便捷维护，多重数据安全防护，随时随地共享数据、安全办公。 客户端支持的最低系统版本 天翼量子AI云电脑客户端支持Windows，MacOS12.0，Android7.0，iOS10、Ubuntu18.04，UOS V20，Kylin V10等以上系统版本。 Web客户端接入的最低浏览器版本 支持Chrome70+、Firefox72+、edge、UOS 5.2.1200+、奇安信1.0.1365+等浏览器接入。Web客户端访问地址：[

查看数据质量评分 质量评分的满分可设置为5分，10分，100分。默认为5分制，是以表关联的规则为基础进行评分的。而表、数据库等不同维度的评分均基于规则评分，本质上是基于规则评分在不同维度下的加权平均值进行计算的。 您可以查询所创建数据连接下数据库、数据库下的数据表以及数据表所关联规则的评分，具体评分对象的计算公式，请参见下表。 对象评分计算公式 对象 评分计算公式 规则 创建质量作业时，作业关联的规则中结果说明列包含“比率”、“值率”的系统内置规则及用户自定义规则可以生成质量评分报告。 包含“比率”、“值率”的规则可以分为正向规则及反向规则，正向规则即比值越高，代表数据质量越好；反向规则即比值越高，则数据质量越差。 正向规则包含唯一值率、重复值率、合法比率规则，反向规则包含空值率规则。 正向规则评分满足规则的数据行数/数据总行数满分（5，10，100）。 反向规则评分（1满足规则的数据行数/数据总行数）满分（5，10，100）。 数据表 表评分计算公式：∑(表关联的所有规则评分规则权重)/∑规则权重 数据库 数据库下所有数据表评分的加权求平均值，即：∑数据库下所有数据表评分/表的数量。 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据质量”模块，进入数据质量页面。 选择数据质量 2.选择“数据质量监控 > 质量报告”。 3.在“技术报告”页签，选择数据连接及截至日期，查询截至日期前7天的数据质量评分，如下图所示。 选择数据连接 说明 以评分满分为5分为例。其中45分评价为优秀，34分为良好，23分为不及格，12分为较差，01分为极差。 当天质量评分数据在次日凌晨生成。 质量评分历史趋势中的实线为截至日期前7天质量评分组成的连线，虚线为这7天质量评分的平均分。 若一天多次运行该作业，当天的质量评分为最后一次的得分。 4.单击“表评分”列的评分值链接，展开该表关联的规则评分。 5.单击“规则评分”列的评分值链接，展开该规则关联的字段评分，如下图所示。 表关联规则评分界面

本页详细介绍如何查看数据同步实例的同步详情信息。 通过查看同步详情信息，可以了解当前数据同步实例的基础信息、连接信息、工作节点信息以及同步对象信息等。 操作步骤 1. 在【数据同步】实例列表页面选择相应的实例数据，并点击实例ID进入【实例管理】页面。 2. 在【实例管理】页面，点击右上角的“实例详情”按钮。 3. 进入【同步信息】页面，查看同步实例的基础信息、连接信息和工作节点信息。 4. 点击【任务信息】页面右上角的“查看同步对象”按钮，弹出“查看同步对象”页面，该页面会展示该实例在首次配置阶段配置的同步对象信息。 如果后续该实例有被编辑，要查看实际被同步的对象，可在【同步详情】页面查看，具体操作可参考查看同步详情。

本文介绍如何多端参会。 前提条件 会议参与人已下载安装并登录AOne会议PC客户端/移动客户端。 设备支持摄像头、麦克风、扬声器等基本设置。 网络允许访问AOne会议域名与音视频服务端口。 注意事项 弱网环境下建议关闭摄像头，优先保障音频质量。 会议室设备需提前完成网络连接与设备校准。 建议使用统一账号登录各端，便于会议同步。 应用场景说明 适用于多终端、多地点办公协作环境，包括： 出差途中移动端临时参会。 办公时PC与移动端协同使用。 使用说明 下载安装各类终端：Windows客户端、macOS客户端、iOS客户端、Android客户端。 登录同一账号自动同步会议列表、历史会议列表、云录制列表等。 不同客户端可参加不同会议，同一客户端单次只能参加一场会议。 所有终端均可查看会议列表、历史列表、云录制文件会议记录。