本节为您介绍云迁移服务CMS资源创建相关内容。 云迁移服务CMS提供资源创建功能，您可以通过两种方式进入。 1. [ 迁移计划 ] 界面点击资源创建，如图所示。 2. [ 资源创建 ] 界面，如图所示。 具体操作详见资源规划资源创建。

本节介绍分布式缓存基础版的产品规格 本节介绍分布式基础版的产品规格，包括内存规格、实例可使用内存、连接数上限、最大带宽/基准带宽（Gbps）、DB数等。 内存：您可以通过在控制台节点管理列表查看各节点剩余内存，具体操作请参考查看Redis集群信息。 连接数上限：连接并发数，表示允许客户端同时连接的个数。您可在控制台中查看具体实例的连接数，具体操作请参考基本指标。连接数上限可在实例创建后支持在控制台中修改，具体操作请参考接入机配置。 QPS：即Query Per Second，表示Redis实例每秒执行的命令数。 带宽限制：表中的带宽值是Redis实例单分片的带宽，Redis实例的网络传输能力的上限带宽分别应用于上行带宽和下行带宽，如果某规格的带宽为0.8Gbps，则该规格实例的上下行带宽都是0.8Gbps。 表中的带宽为内网带宽。外网带宽取决于内网带宽，同时受到Redis实例与客户端之间的网络带宽限制，建议使用内网连接方式，排除外网影响，发挥最大的带宽性能。 DB数：Redis可提供的数据库最大数量。 基础版标准实例规格Redis 5.0/6.0/7.0 实例规格与性能指标如下： 规格名称 内存/单片内存（GB） 最大连接数/单片连接数 QPS参考值 最大带宽（Gbps） 基准带宽（Gbps） DB数 1GB 1 10000 100000 0.8 0.1 256 2GB 2 10000 100000 0.8 0.1 256 4GB 4 10000 100000 1.5 0.2 256 8GB 8 10000 100000 1.5 0.2 256 16GB 16 10000 100000 2 0.35 256 32GB 32 10000 100000 3 0.75 256 64GB 64 10000 100000 6 1.5 256

本页主要介绍了 JDBC、连接池和数据库访问框架。 通常 Java 应用中和数据库相关的常用组件有： JDBC API 及实现：Java 应用通常使用 JDBC (Java Database Connectivity) 来访问数据库。JDBC 定义了访问数据库 API，而 JDBC 实现完成标准 API 到 MySQL 协议的转换，常见的 JDBC 实现是 MySQL Connector/J，此外有些用户可能使用 MariaDB Connector/J。 数据库连接池：为了避免每次创建连接，通常应用会选择使用数据库连接池来复用连接，JDBC DataSource 定义了连接池 API，开发者可根据实际需求选择使用某种开源连接池实现。 数据访问框架：应用通常选择通过数据访问框架 (MyBatis, Hibernate) 的封装来进一步简化和管理数据库访问操作。 JDBC 为避免重复解析和生成 SQL 执行计划的开销，注意选择使用 Prepare API，并且需要在 JDBC 连接参数中配置 useServerPrepStmts true。 对于批量插入更新，如果插入记录较多，可以选择使用 addBatch/executeBatch API。通过 addBatch 的方式将多条 SQL 的插入更新记录先缓存在客户端，然后在 executeBatch 时一起发送到数据库服务器，如果希望 Batch 网络发送，需要在 JDBC 连接参数中配置 rewriteBatchedStatements true。 在查询返回超大结果集的场景中，推荐设置 FetchSize为Integer.MINVALUE让客户端不缓存，客户端通过 StreamingResult 的方式从网络连接上流式读取执行结果。使用流式读取数据时，需要将resultset读取完成或 close 后，才能继续使用该语句进行下次查询，否则会报错。如果需要在resultset读取完成或 close 前进行查询避免报错，可在 URL 中添加配置参数clobberStreamingResultstrue，这样会自动 close resultset，但之前流式查询未被读取的结果集会丢失。

绑定AD 绑定AD功能支持管理员自主配置和管理企业的身份提提供方Active Directory(以下简称 AD)。 操作场景 身份管理可以打破身份孤岛，实现统一访问控制，允许企业成员使用一个账号畅游所有应用。 操作步骤 1. 进入“天翼AI云电脑（政企版）”管理控制台； 2. 展开“身份管理”菜单栏，选择“身份提供方”，点击“绑定AD”，进入“绑定AD”页面； 第一步：连接AD 在第一步中，您需要在绑定AD中填写以下信息： 显示名称： 说明：管理员查看AD配置及相关操作日志时显示。 AD 域名： 说明：您的 Active Directory 域的全称。 格式：符合 DNS 命名规范（例如：example.com）。 示例：corp.yourcompany.com 主域控制器 DNS： 说明：主域控制器（Primary Domain Controller）的 IP 地址或可解析的主机名。 示例：192.168.1.10 或 dc01.corp.yourcompany.com 备域控制器 DNS (可选)： 说明：备域控制器（Secondary Domain Controller）的 IP 地址或可解析的主机名。 示例：192.168.1.11 或 dc02.corp.yourcompany.com AD 认证账号： 说明：用于绑定和查询 AD 的管理员账号。此账号必须对整个 AD 目录至少拥有读取权限。 格式：支持以下格式： UPN 格式：username@domainname (例如：admin@corp.yourcompany.com) DN 格式：CNUsername, OUSomeOU, DCcorp, DCyourcompany, DCcom (例如：CNsvcbind, OUService Accounts, DCcorp, DCyourcompany, DCcom) 权限要求： 必须拥有对整个 AD 目录结构（所有域节点）的只读访问权限。 AD 认证密码： 说明：上述认证账号对应的密码。 安全提示：输入密码通常以掩码显示。 用户组织单元 (OU)： 说明： 指定需要同步或管理的 AD 用户账户所在的组织单元 (OU) 路径。此为必填项。 格式：使用 LDAP 可分辨名称 (Distinguished Name)。 示例：OUEmployees, DCcorp, DCyourcompany, DCcom 云电脑加入的 OU： 说明：指定云电脑在加入 AD 域时将被放置的组织单元 (OU) 路径。 格式：使用 LDAP 可分辨名称 (Distinguished Name)。 示例：OUCloud PCs, DCcorp, DCyourcompany, DCcom 必填条件：仅在需要对云电脑执行加域操作时，此项为必填项。 共享公网出口 IP： 地址： 182.42.7.245 作用： 此 IP 是天翼云电脑服务访问您本地 Active Directory 的源地址。 网络要求： 若您的本地网络防火墙或安全设备配置了 IP 白名单（允许列表），您必须将此 IP (182.42.7.245) 添加到白名单中。 防火墙端口要求： 目的： 允许云服务通过指定的协议端口与您的域控制器通信。 必需操作： 在您的防火墙白名单中，同时允许上述出口 IP (182.42.7.245) 访问您域控制器的以下端口： LDAP (明文/StartTLS)： 端口 389 (TCP) LDAPS (SSL/TLS 加密)： 端口 636 (TCP) 注意： 具体需要开放的端口取决于您选择的认证协议（见下文）。 目录访问协议： 可选协议： LDAP： 标准轻型目录访问协议。默认使用端口 389。 StartTLS 扩展： 它在已建立的 LDAP 连接 (389) 上协商 TLS 加密，显著提升通信安全性。启用需要在您的 AD 域控制器上配置并部署有效的 SSL/TLS 证书。 LDAPS： 基于 SSL/TLS 加密的 LDAP。强制使用端口 636。 提供全程加密通信。启用同样需要在 AD 域控制器上配置并部署有效的 SSL/TLS 证书。 域控制器服务器地址： 说明：提供您的 Active Directory 域控制器 (Domain Controller) 的可访问地址。 格式：IP地址:端口 或 完整域名(FQDN):端口 要求： 主域控制器地址： (必填) 备域控制器地址： (可选) 端口选择： 如果选择 LDAP (无 StartTLS)，端口填 389。 如果选择 LDAP + StartTLS 或 LDAPS，端口填 636。 关键说明： 服务器地址必须填写其公网可路由的 IP 地址或可被公网 DNS 解析的 FQDN。 示例 (使用公网IP)： 主：203.0.113.10:636 (假设使用 LDAPS) 备：203.0.113.11:636 示例 (使用FQDN)： 主：dc01.corp.example.com:636 备：dc02.corp.example.com:636 重要提示： 请勿使用内网地址 (如 127.0.0.1, 192.168.x.x, 10.x.x.x) 或仅在内网解析的域名。 云服务无法直接访问您的内网地址。 第二步：选择场景 在第二步中，选择希望和AD实现的场景能力。 登录未关联用户配置： 企业账号经过企业认证通过后，如果还没有同步用户，选择登录失败则返回失败； 选择自动创建用户则创建用户并登录成功 增量同步：从所选择的时间点开始进行同步 数据同步时间：从所选择的时间点开始进行同步 同步时间间隔：从同步时间开始，每隔 X 小时执行一次同步 委托认证高可用：开启后，如果域控服务器访问失败，可以使用本地密码较验 用户ObjectClass：如果您自定义了AD 中对象的 ObjectClass，可以在此处配置。例如将 ObjectClassuser 的对象视作AD 中的用户。 用户登录标识：可使用;对属性进行分割，此时为或关系 用户Filter过滤：可以使用LDAP语法对需要判断的用户进行过滤 第三步：字段映射 如果需要和AD用户或组织进行绑定，例如将AD用户的用户名作为天翼云电脑账户的账户名，则需要在第三步配置字段映射。如需使用映射标识能力，需手动设置为同步标识，如下图的用户名字段。 配置其它AD 用于管理虚拟桌面加入域的操作（即“加域”过程），限制最多配置两个企业AD。最多只能配置两个其它AD。 配置系统：Windows 系统 、银河麒麟、中标麒麟 其它配置项参考绑定AD

步骤二：配置负载均衡 添加防护网站后，您需要使用云上弹性负载均衡（Elastic Load Balance，简称ELB）为WAF独享引擎实例配置负载均衡和健康检查，以确保WAF的可靠性和稳定性。 前提条件 已添加独享模式防护网站。 已成功申请ELB实例。 在该独享引擎实例所在安全组中已放开了相关端口。 安全组建议配置以下访问规则： 入方向规则：根据业务需求添加指定端口入方向规则，放通指定端口入方向网络流量。例如，需要放通“80”端口时，您可以添加“策略”为“允许”的“TCP”、“80”协议端口规则。 出方向规则：默认。放通全部出方向网络流量。 系统影响 “分配策略类型”选择“加权轮询算法”时，请关闭“会话保持”，如果开启会话保持，相同的请求会转发到相同的WAF独享引擎实例上，当WAF独享引擎实例出现故障时，再次到达该引擎的请求将会出错。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角选择区域。 步骤 3 单击页面左上方选择“网络 > 弹性负载均衡”，进入“负载均衡器”页面。 步骤 4 在负载均衡器所在行的“名称”列，单击目标负载均衡器名称，进入ELB“基本信息”页面。 步骤 5 选择“监听器”页签后，单击“添加监听器”，配置监听器信息，如图所示。 步骤 6 单击“下一步”，配置后端主机组和健康检查。 健康检查配置 步骤 7 单击“完成”后再单击“确定”，监听器添加成功。 步骤 8 在添加的监听器页面，选择“后端主机组”页签后，单击“添加”。 步骤 9 在弹出的“添加后端主机”对话框中，选择已创建的WAF独享引擎实例。 步骤 10 单击“下一步”，为独享引擎配置端口。 说明 独享引擎监听端口需要与步骤一：添加防护网站时设置的端口保持一致。如果防护网站配置的是标准端口，则HTTP协议监听端口配置为“80”，HTTPS协议监听端口配置为“443”。 步骤 11 单击“完成”，配置完成。

本节介绍iVPN app产品简介。 功能介绍 iVPN app产品与AI云电脑客户端集成，提供一键加密接入AI云电脑的能力，适合小微用户入云、居家办公、移动办公等场景，支持Windows和Linux系统，可用于瘦终端、PC等。 使用限制 适用于Windows2.4和Linux2.5及以上版本AI云电脑客户端（暂不支持Windows32位）。 iVPN app入云场景说明 客户办公区AI云电脑客户端通过iVPN app实例实现加密接入资源池A VPC下的AI云电脑。 iVPN app开通使用步骤 （1）创建iVPN app实例 （2）设置iVPN app实例带宽 （3）AI云电脑客户端通过iVPN app接入AI云电脑 详细步骤请参考下面对应的小节。

本节介绍iVPN app产品简介。 功能介绍 iVPN app产品与AI云电脑客户端集成，提供一键加密接入AI云电脑的能力，适合小微用户入云、居家办公、移动办公等场景，支持Windows和Linux系统，可用于瘦终端、PC等。 使用限制 适用于Windows2.4和Linux2.5及以上版本AI云电脑客户端（暂不支持Windows32位）。 iVPN app入云场景说明 客户办公区AI云电脑客户端通过iVPN app实例实现加密接入资源池A VPC下的AI云电脑。 iVPN app开通使用步骤 （1）创建iVPN app实例 （2）设置iVPN app实例带宽 （3）AI云电脑客户端通过iVPN app接入AI云电脑 详细步骤请参考下面对应的小节。

OpenAPI门户提供了产品OpenAPI的描述、语法、参数说明及示例等内容。 关于用户如何使用天翼云虚拟私有云产品API的详细介绍，请参见虚拟私有云OpenAPI。您可以在OpenAPI门户可以了解到具体的API认证鉴权机制、接入终端节点、API概览、API详述、状态码接入点等内容，配合在线API调试将更加方便。

回调鉴权密钥信息的获取。 V4鉴权可适用于云点播接收回调事件的鉴权。如您需要获取相关密钥，可按照如下步骤操作： 1.天翼云注册账号。能力使用者于天翼云门户( 2.获取AK/SK信息。能力使用者登录云点播控制台，进入【开发配置】>【密钥管理】>【回调密钥】，即可获取AK/SK，作为接收回调事件的凭证使用。

介绍如何快速查询订单信息 订单查询 访问云电竞租户控制台，进入【订单查询】页面，可查询您账号下的所有订单信息，包括订单的计费类型、实例规格、订单ID、数量、集群名称、订单状态、订单周期、账号激活码等。 点击左上角【 +购买云电竞服务器 】按钮，可跳转至订购页。

为什么Topic不能减分区？ Topic减分区会造成数据丢失，这是Apache Kafka自身设计所限制的。 是否支持Compact的日志清理策略？ 开源版本为2.2.0或以上的分布式消息服务Kafka实例支持Compact的日志清理策略。 如何查看哪些IP在消费消息？ 在控制台消费组管理页面，查看消费实例。 哪里可以找到消费最佳实践？ 最佳实践 消费者实践。 如何在修改Consumer的offset？ 提交消费位点的机制取决于客户端SDK，一般支持以下两种机制： 自动提交：按照时间间隔，SDK把消费过的最新消息的位点+1提交上去。 手动提交：应用程序里，把消费过的最新消息的位点+1提交上去。 在控制台的消费组管理页面，可以重置消费位置。 为什么在控制台看不到Group的订阅关系？ 问题现象 已启动某个Group的消费线程，但在分布式消息服务Kafka控制台的消费组管理页面，查不到该Group订阅的Topic信息。 可能原因 客户端的配置错误或者所处的网络环境异常导致无法成功订阅消息。 采用assign方式手动指定消费者订阅某个Topic分区的消息，并未提交消费位点。 解决方案 排查客户端配置问题 排查客户端网络问题 需提交消费位点 为什么同一个分区被多个消费线程消费了？ 消费客户端使用“StickyAssignor”分配模式消费消息时，发现同一个分区被多个消费线程消费，出现数据错乱的情况。 可能原因 客户端低于2.3版本。2.3版本以前的客户端有可能将同一个分区分配给多个消费线程进行消费。 解决方案 建议您升级客户端至2.3或以上版本，或者换成其他分区分配策略。 使用建议：“StickyAssignor”分配策略目前在一些情况下会产生分配偏差，比如分区重复分配问题。如果不是业务特殊需求，不建议使用该分配策略。

本文主要介绍登录云主机后无输入法图标,按住Ctrl+shift键不生效等问题的解决办法。 故障原因 • 工具栏中未开启语言栏。 • 病毒感染，导致系统文件、注册表损坏。 操作步骤 方式一 1. 登录弹性云服务器。 2. 检查右下角任务栏中是否存在输入法的图标。 3. 若不存在输入法图标，请尝试使用Ctrl+Shift查看是否能进行输入法切换，若失败请进行下面操作。 4. 在任务栏的空白处右键后选择：工具栏 >语言栏。 方式二 1. 登录弹性云服务器。 2. 在C:WindowsSystem32中找到ctfmon.exe。 3. 双击执行后查看是否显示输入法图标。 4. 将ctfmon.exe添加到注册表中：在运行窗口中输入regedit进入注册表编辑器，在下图路径HKEYLOCALMACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > Run新建一个注册表文件—ctfmon.exe。 5. 将ctfmon.exe添加到开机自启动中：在运行窗口执行msconfig，查看“启动”中ctfmon项是否已经勾选。 6. 点击应用后重启弹性云服务器可生效。

一站式整合天翼云云产品 无缝集成云容器引擎，微服务引擎、应用性能监控和云日志服务等云产品能力，轻松一站式管理业务应用，提供更好用的工具链，应用异常采集，关联调用链和日志，帮助快速定位应用故障。

事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

本文介绍了如何在天翼云上使用弹性云主机的Linux实例部署Docker 简介 表 Docker相关术语 术语 解释 Docker Docker是开发人员和系统管理员使用容器开发、部署和运行应用程序的平台。 镜像 Docker镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数（如匿名卷、环境变量、用户等）。 镜像不包含任何动态数据，其内容在构建之后也不会被改变。 容器 镜像（Image）和容器（Container）的关系，就像是面向对象程序设计中的类和实例一样，镜像是静态的定义，容器是镜像运行时的实体。 容器可以被创建、启动、停止、删除、暂停等。 该指导以“CentOS 7.5 64 3.10.0862.9.1.el7.x8664”操作系统为例，Docker要求64位的系统且内核版本至少为3.10。 前提条件 弹性云主机需要绑定弹性公网IP。 弹性云主机所在安全组添加了如下表所示的安全组规则。 表 安全组规则 方向 类型 协议 端口/范围 远端 入方向 IPv4 TCP 80 0.0.0.0/0 部署Docker 1.登录弹性云主机。 2.添加yum源。 yum install epelrelease y yum clean all 3.安装yumutil。 sudo yum install y yumutils devicemapperpersistentdata lvm2 4.设置docker yum源。 sudo yumconfigmanager addrepo 5.安装并运行Docker。 sudo yum install dockerce systemctl enable docker systemctl start docker 6.检查安装结果。 docker version 回显如下类似信息，表示Docker安装成功。 Client: Docker Engine Community Version: 19.03.13

本文主要介绍云日志服务中查询分析Nginx访问日志。 云日志服务LTS支持采集Nginx日志，并进行多维度查询。本文介绍分析网站访问情况、异常和重要场景告警的分析案例。 背景信息 Nginx是一款主流的网站服务器，当您选用Nginx搭建网站时，Nginx日志是运维网站的重要信息。 云日志服务支持通过数据接入向导一站式采集Nginx日志，您还可以使用云日志服务的查询分析语句，分析网站的延时情况，及时调优网站。针对性能问题、服务器错误、流量变化等重要场景，您还可以设置告警，当满足告警条件时给您发送告警信息。 前提条件 根据配置向导，创建对应的日志单元、安装采集器、配置采集规则，生成日志字段。 可以使用正则表达式来分割这个Nginx访问日志行。用户可以输入日志样例预览匹配结果，并为匹配结果进行字段命名 操作步骤 完成上述步骤后，采集器将开始在指定的主机组中进行日志采集，并将采集的日志信息展示在控制台上。用户点击日志检索之后再点击检索分析，便可以在控制台看到检索到的日志信息。在展示页面上，用户可以根据自己的需求选择不同的展示方式。如对日志进行展开，JSON格式化等操作 样例1：查询IP 192.168.1.100 发过来的请求日志。 样例2：查询IP 192.168.1.100 发过来的GET请求日志。

工作流流程（workflow）定义了业务逻辑描述以及流程执行所需要的通用信息， 例如一个审批权限申请流程可能包含创建审批、处理审批， 通过审批、拒绝审批等。在创建流程（workflow）后， 可以多次触发工作流执行（Execution），每次执行可以设置不同的输入， 例如每次审批的申请人以及审批通过权限的有效时长是不一样的。 同时， 云工作流提供了丰富的控制类状态去描述流程的业务逻辑， 可以串行、并行或者条件执行某些任务，以及针对一类数组数据并行执行一系列任务等。 如何使用工作流 工作流创建 使用工作流，首先需要创建工作流，云工作流支持创建标准和快速两种模式的工作流。创建工作流的核心是完成工作流定义， 工作流定义详细看流程定义介绍。工作流创建可以使用云工作流控制台、OpenAPI等方式进行创建和管理， 详细可看创建工作流。 工作流调用 工作流完成创建后， 可以通过云工作流控制台、OpenAPI等方式触发工作流的执行。 同时也可通过在控制台创建触发器的方式按照事件驱动的方式触发工作流执行。工作流启动后， 工作流会按照流程定义的顺序和规则执行任务， 并按照JSON格式输出工作流执行结果， 同时在控制台工作流执行详情，可以查看工作流执行后各个任务执行的输入输出。详细可看工作流执行。

操作场景 开启了云审计服务后，系统开始记录CCE资源的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击页面上方的“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务信息页面。 步骤 3 单击左侧导航树的“事件列表”，进入事件列表信息页面。 步骤 4 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件来源、资源类型和筛选类型。 在下拉框中选择查询条件。其中，事件来源选择“CCE”。 当筛选类型选择事件名称时，还需选择某个具体的事件名称。 选择资源ID时，还需选择或者手动输入某个具体的资源ID。 选择资源名称时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可选择查询最近七天内任意时间段的操作事件。 步骤 4 在需要查看的记录左侧，单击展开该记录的详细信息，展开记录如图171所示。 图 展开记录 步骤 5 在需要查看的记录右侧，单击“查看事件”，弹出一个窗口，如图172所示，显示了该操作事件结构的详细信息。 图 查看事件

本小节介绍安全专区云数据库审计客户端安装方法。 下载客户端 下载客户端，选择对应的客户端进行下载。 安装步骤 1.下载安装包，根据包中的Agent安装手册提示完成安装及连接配置。 2.填写信息，进行客户端与云数据库审计的连接。 3.在Windows上安装Agent客户端，默认安装即可。 4.执行Agent,选择接收、发送数据包的网卡，并填写相应的信息。 IP地址：云数据库审计管理口地址192.168.0.225； 抓包端口：本地数据库端口，如默认ORACLE端口1521，MSSQL默认1433，MYSQL默认3306，如需添加多个端口，请使用逗号进行分隔； 服务端口：默认云数据库审计设备服务端口，默认9999，请使用默认配置； 缓冲队列个数：缓冲队列大小，使用默认配置即可； 收发网卡：请根据实际情况进行选择，程序支持自动发现功能。 注意 Agent必须要保证始终运行，才能将本地数据库连接信息发送给审计设备，一旦关闭，将不会向审计系统发送本地审计数据，因此请将Agent设置为服务。 5.运行后，如出现如下内容，表示工作，并正常发送数据包。 6.连接成功后，可到【部署方式】，查看已连接到的客户端。 完成以上操作部署后，可在安全专区平台进行日常运营。

本章节介绍云原生API网关产品相关名词解释 域名 一串用点分隔的字符，作为互联网中某个实体的名称。在云原生API网关中可以根据请求中的域名信息进行路由匹配，域名还可以关联证书，实现TLS加密访问。 服务来源 网关转发请求到的服务的来源，当前支持天翼云容器引擎CCE、天翼云注册配置中心（Nacos引擎、Eureka引擎）、函数计算等服务来源。 服务 网关路由转发到后端的服务，可以是部署在K8s、注册到Nacos、注册到Eureka的服务，也可以是固定地址服务等。 路由规则 一个路由规则可以基于匹配路径、header等配置参数，将请求转发到指定的后端服务；同时可以配置跨域、限流等策略。 认证鉴权 网关需要对请求的身份进行校验，当前云原生API网关支持KeyAuth、BasicAuth、JWT、HMAC、OIDC等方式实现对请求的身份认证和鉴权。

本文主要介绍如何卸载客户端。 操作场景 该任务指导用户在不需要启用应用一致性备份功能时，卸载Agent。 前提条件 已获取弹性云主机的登录帐号和密码。 卸载Linux版本Agent 步骤1登录需要卸载Agent的弹性云主机，并执行su root 命令切换到root用户。 步骤2、在/home/rdadmin/Agent/bin目录下执行以下命令，卸载Agent。如下图所示。若出现绿色卸载成功字样，表示Agent卸载成功。 sh agentuninstallebk.sh 卸载Linux Agent成功 卸载Windows版本Agent 步骤1、登录需要卸载Agent的弹性云主机。 步骤2、在安装目录的bin目录下选中agentuninstallebk.bat双击打开，卸载Agent。 系统卸载Agent完成后，弹窗自动关闭，卸载成功。如下图所示。 卸载Windows Agent成功

本文介绍如何查询CC攻击事件。 使用场景 业务接入DDoS高防（边缘云版）后，您可以在控制台查询已产生的CC攻击事件。 前提条件 已开通DDoS高防（边缘云版）。 开启CC防护配置，并触发产生CC攻击事件。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【攻击事件】【CC攻击事件】页面。 查询功能 您可以在CC攻击事件表头部指定您要查询的域名（支持多选）及时间范围。默认将展示最近7天，用户名下所有域名的统计数据。 攻击详情 攻击事件列表将展示被攻击域名、攻击开始时间、攻击结束时间、攻击峰值/QPS、攻击总次数。 点击单条攻击事件的攻击详情【查看】按钮，即可查询CC攻击事件的攻击趋势、TOP攻击IP、TOP URL排名。

查询伸缩组内云主机的列表，并列出云主机的信息 接口功能介绍 查询伸缩组内云主机的列表，并列出云主机的信息 接口约束 无 URI POST /v4/scaling/group/queryinstancelist 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b groupID 是 Integer 伸缩组ID 483 pageNo 否 Integer 页码 5 pageSize 否 Integer 分页查询时设置的每页行数，取值范围:[1~100]，默认值为10 10 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回码：800表示成功，900表示失败 800 errorCode String 业务细分码，为product.module.code三段式码 Scaling.Group.NotFound 错误码 message String 失败时的错误描述，一般为英文描述 scaling group info not found description String 失败时的错误描述，一般为中文描述 未找到弹性伸缩组信息 returnObj Object 成功时返回的数据，参见表returnObj returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 instanceList Array of Objects 云主机信息列表 instanceList totalCount Integer 总计 1 表 instanceList 参数 参数类型 说明 示例 下级对象 instanceID String 云主机ID regionID String 资源池ID 81f7728662dd11ec810800155d307d5b groupID Integer 伸缩组ID 472 zabbixName String 【Deprecated】监控设备ID projectIDEcs String 企业项目ID createDate String 创建时间 20221009 14:40:32 id Integer 实例ID 316 status Integer 伸缩活动状态。取值范围：1：已启用。2：正在移入。3：正在移出。 2 instanceName String 云主机名称 executionMode Integer 执行方式。取值范围：1：自动执行策略。2：手动执行策略。3：手动移入实例。4：手动移出实例。5：新建伸缩组满足最小数。6：修改伸缩组满足最大最小限制。7：健康检查移入。8：健康检查移出。 3 healthStatus Integer 健康检查状态。取值范围：1：正常。2：异常。3：初始化。 3 configName String 伸缩配置名称 asconfiga8ab configID String 伸缩配置ID 389 activeID Integer 伸缩活动ID 938 protectStatus Integer 保护状态。取值范围：1：已保护。2：未保护。 2 joinDate String 加入时间 20221009 14:40:32

本文为您介绍如何在云搜索服务控制台创建并修改自定义词库。 天翼云云搜索服务内置增强型IK分词插件，已进行中文分词增强，支持上传自定义词库，助力企业构建更精准、灵活的中文检索能力。 使用限制 词库数量及大小限制：词库支持增加主词分词词库和停用词词库，单个上传的词库文件大小不超过5MB。 上传词库格式：仅支持txt格式的文件。 使用前提 已在云搜索服务同资源池的对象存储中开通并上传词库文件，并对该文件开启“公共读”权限。 词库生效期间，需要保持词库文件在对象存储中存在，否则会导致云搜索服务拉取词库文件失败，分词错误的情况。 操作步骤 1. 登录云搜索服务管理控制台，在左侧导航栏，选择对应的实例类型，进入管理列表界面。 2. 点击实例名称，进入实例详情页，点击“自定义词库”。没有设置自定义词库时，实例使用默认词库。 3. 在需要进行配置词库行点击“配置”，将对象存储文件地址输入，点击上传词库。 4. 词库上传成功后，实例会对对应的自定义词库进行配置，配置期间实例将会重启，请在业务闲时操作。 5. 更新词库成功后，新词库大约2分钟生效，如需要更新词库文件，请在对应行点击“更新”，词库为覆盖更新；如需停用指定词库，请在对应行点击“停用”，停用后对应词库使用默认词库。更新词库文件和停用词库都会带来实例重启，请在业务闲时操作。新词库添加后，仅支持对新创建的索引进行分词，存量索引不会基于该词库进行重新分词。如需重新分词，请对目标索引进行重建索引。 6. 词库热更新：云搜索服务支持词库热更新，您只需更新自定义词库文件内的分词内容，并更新对象存储内的词库文件（保持文件名不变），即可实现词库热更新。

本文介绍简述缓存规则设置方法。 功能介绍 缓存规则指源站资源在边缘云节点缓存的时长，达到预设时间，资源将会被边缘云节点标记为缓存过期。您可以根据业务需求，按指定路径或文件名后缀等方式配置静态资源的缓存过期时间。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务智能负载均衡，支持配置缓存规则，具体请见智能负载均衡。 操作步骤 登录Web应用防火墙（边缘云版）控制台 在左侧导航栏中选择【域名管理】—【域名列表】，选择您要防护的域名，单击操作列【接入配置】，单击【新增】按钮。 配置项说明： 配置项 说明 类型 选择需要配置的文件类型，并且配置相应的内容。 后缀名：指文件后缀名，例如内容输入为.mp4，.flv，表示后缀为.mp4或.flv的文件。 目录：指具体目录，例如值为：/a，表示目录前缀为/a的文件。 首页：指域名首页，值固定为/。 全部文件：指对应域名下的所有文件，值固定为/。 全路径文件：指对应URI的文件，例如值为：/a/b.js，则表示请求url中位于/a/目录下的b.js文件的缓存规则（无论是否携带问号后参数）。 过期时间 选择配置内容的过期时间单位，如秒、分钟、小时、天。再填写对应的过期时间。 缓存规则 设置配置内容的缓存规则，默认为强制缓存。 去问号缓存 默认为开启，如需要带问号后参数缓存，请选择关闭该功能。 优先级 支持自定义，数字越大则越优先生效。如果同个URL满足不同的缓存规则设置，例如该URL既属于某个文件后缀，又属于某个目录下，此时具体遵循哪条缓存规则，取决于二者的权重设置，最终按权重数字大的生效。

本节介绍了弹性云主机包周期计费转为按需计费的相关内容。 操作场景 包周期是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。 如果您需要更灵活的计费方式，按照弹性云主机的实际使用时长计费，您可以将实例的计费方式转为按需付费。 说明： 包周期转按需，需包周期资费模式到期后，按需的资费模式才会生效。 前提条件 只有通过实名认证的客户，才可以执行包周期转按需操作。 在续订管理页面，资源状态是“在用”的云主机资源才能执行到期转按需。 包周期资源未到期可以申请变更为按需，但包周期结束后按需计费模式才生效。 操作步骤 1、登录管理控制台。 2、单击“控制台”页面右上方用户弹出菜单中“我的订单”，在订单管理下拉菜单中选择“续订管理”。系统进入“续订管理”页面。 3、自定义查询条件。 可在“到期转按需”页签查询已经设置到期转按需的资源。 4、设置包周期资源到期后转按需。 单个资源到期转按需：选择需要更改计费方式的弹性云主机，单击操作列“到期转按需”。 5、查看资费变更的相关信息后，单击“转按需”。

本文主要介绍 GPU 加速型实例卸载GPU驱动 操作场景 当GPU加速型云主机需手动卸载GPU驱动时，可参考本文档进行操作。 Window操作系统卸载驱动 以Windows Server 2016 数据中心版 64位操作系统为例，介绍GPU加速型云主机卸载NVIDIA驱动（驱动版本462.31）的操作步骤。 1、登录弹性云主机。 2、单击“开始”，打开“控制面板”。 3、在控制面板中，单击“卸载程序”。 图 单击卸载程序 4、右键单击要卸载的NVIDIA驱动，单击“卸载/更改”。 图 卸载驱动 5、在弹出的“NVIDIA 卸载程序”界面，单击“卸载”。 图 NVIDIA卸载程序 6、卸载完成后，单击“稍后启动”。 7、检查驱动是否卸载成功。 a.在控制面板，单击“设备管理器”。 如果“显示适配器”中没有NVIDIA显卡，表明驱动卸载成功。 图 查看显示适配器 b.打开云主机cmd窗口，执行以下命令： cd C:Program FilesNVIDIA CorporationNVSMI nvidiasmi.exe 图 命令执行结果 如果回显信息为该文件不存在，则说明驱动卸载成功。 确认NVDIA驱动卸载完成后，可以先不重启云主机，直接安装新的NVIDIA驱动。

已购买的弹性IP的带宽峰值可进行修改,本文帮助您对正在使用中的弹性IP进行变配。 操作场景 如果您在使用弹性IP地址的过程中，使用场景发生变化，对带宽需求发生改变，您无须重新购买弹性IP，只要对正在使用中的弹性IP进行变配即可满足要求。 前提条件 要修改带宽的弹性IP不能是已过期状态，只有未过期的弹性IP才可以修改带宽，已过期的弹性IP要想修改带宽必须先完成续费。 弹性IP处于“未绑定”状态，如果已绑定需要优先解绑。 操作步骤 1. 进入控制中心，在服务列表中点击“网络>弹性 IP”。 2. 在弹性公网 IP列表找到需要变配的弹性 IP，鼠标移入操作列中的“更多>变配”。 3. 在弹出的界面中按照您的需要修改带宽，下方显示变配差价。修改完成后点击“确定”，根据提示完成订单即可。

本文主要介绍节点挂载点检查。 检查项内容 检查节点上是否存在不可访问的挂载点。 解决方案 问题场景：节点上存在不可访问的挂载点 节点存在不可访问的挂载点，通常是由于该节点或节点上的Pod使用了网络存储nfs（常见的nfs类型有obsfs、sfs等），且节点与远端nfs服务器断连，导致挂载点失效，所有访问该挂载点的进程均会D住卡死。 步骤 1 登录节点。 步骤 2 节点上依次执行如下命令： df h for dir in ​df h grep v "Mounted on" awk "{print $NF}"​;do cd $dir; done && echo "ok" 步骤 3 若返回ok则无问题。 否则，请另起一个终端执行如下命令，查询先前命令是否存在D状态： ps aux grep "D " 步骤 4 若发现进程存在D状态，则确认为该问题，目前只可以通过重置节点解决。请选择一个合适的时间重置节点后，重试升级。 说明 重置节点会重置所有节点标签，可能影响工作负载调度，请在重置节点前检查并保留您手动为该节点打上的标签。

本文为您介绍如何使用Logstash组件将数据导入至天翼云云搜索服务Elasticsearch实例。 Logstash是一个开源的服务器端实时数据处理工具，支持从多个数据源中提取数据，经过处理后将数据导入到Elasticsearch中。它非常适合处理流数据，如日志、监控数据和指标数据。 适用场景 日志数据、监控数据、流数据等。 前提条件 已经开通天翼云云搜索Elasticsearch实例。 已经部署Logstash且打通和Elasticsearch实例之间的网络。 Logstash配置 Logstash可以接收很多数据源，可以根据实际的需求配置。 这里使用Filebeat作为Logstash的输入。 配置yourlogstash.conf管道文件。 Logstash需要接收Filebeat的输出并进行处理，示例配置如下： input { beats { port > 5044 } } 对数据进行处理。 filter { mutate { removefield > ["@version"] } } output{ elasticsearch{ Elasticsearch实例的访问地址。 hosts > [" " " 访问Elasticsearch实例的用户名和密码，如无安全机制可不配置。 user > "" password > "" 配置写入的索引名,示例如下。 index > "filebeatlogstashes%{+YYYY.MM.dd}" } } 启动Logstash导入数据 可以使用下面的命令在命令行来启动Logstash导入数据： ./bin/logstash f yourlogstash.conf

鲲鹏系统架构云主机系列 以下云主机支持的操作系统请参考下表。 鲲鹏通用计算增强型：kc1s 鲲鹏内存优化型：km1s 鲲鹏超高IO型：ki1s OS发行版本 支持版本 CentOS 64bit：CentOS 7：7.6/7.5/7.4 Ubuntu 64bit：Ubuntu 18.04 Server EulerOS 64bit：EulerOS 2.8 openSUSE 64bit：openSUSE Leap 15：15.0 Debian 64bit：Debian 10.2.0 openEuler 64bit：openEuler 20.03

本文为您介绍Linux系统使用多网卡时网卡名称出现漂移的解决方法。 问题描述 若使用 Linux 系统的云主机配备了多块网卡，则在重启主机后可能出现网卡名称与网卡 MAC 地址不对应的问题，即网卡漂移问题。 以网卡 eth1 实际对应的 MAC 地址为de:8a:88:20:88:6a、网卡 eth2 实际对应的 MAC 地址为76:c5:cc:74:26:c1 为例，若出现网卡漂移问题，则在执行 ip a 命令查看网卡信息时，会发现网卡 eth1 对应的 MAC 地址变为了网卡 eth2 应对应的 MAC地址。 问题原因 Linux 系统运行后会将网卡相关信息保存在 /etc/udev/rules.d/70persistentnet.rules 文件中。若此文件不存在或文件内容和 Linux 操作系统实际情况不一致时，则可能导致网卡漂移问题。 解决步骤 注意：此问题的推荐解决方案需重启云主机，请您在评估业务中断影响后谨慎操作。 1. 以问题描述中的场景为例，推荐在/etc/udev/rules.d/70persistentnet.rules 文件中，将网卡名称与网卡 MAC 地址绑定，使网卡名称与网卡 MAC 地址相对应。每一个网卡可添加相应的规则，每个规则的模板如下： SUBSYSTEM"net", ACTION"add", DRIVERS"?", ATTR{address}" ", KERNEL"eth", NAME" " 以绑定网卡 eth1 对应的 MAC 地址为de:8a:88:20:88:6a 为例： SUBSYSTEM"net", ACTION"add", DRIVERS"?", ATTR{address de:8a:88:20:88:6a ", KERNEL"eth", NAME"eth1" 2. 保存文件后重启云主机。 reboot 3. 再次通过命令 ip a 查看网卡名称与 MAC 是否对应。