产品类型 GeminiDB Influx 产品 GeminiDB Influx存储 计费模式 按需 资源名称/ID GeminiDB Influx的名称和ID例如：nosqlb388，21e8811a64bf4de88bc2e2556da17983in12 规格 GeminiDB Influx存储 使用量类型 按需计费GeminiDB Influx的使用量类型为“时长” 单价 按需计费模式为简单定价（使用量单价）时提供单价信息，其他的定价（如EIP公网带宽的阶梯定价）等不提供单价。按需计费GeminiDB Influx属于简单定价，您可以在云数据库 GeminiDB价格详情中查中查询单价。 单价单位 在云数据库GeminiDB价格详情中查中查询到的单价单位：元/GB/小时 使用量 按产品单价单位显示使用量，GeminiDB Influx的单价单位为元/GB/小时，因此使用量以小时为单位。本例中，2023/04/08 10:09:06 ~ 2023/04/08 12:09:06时段总计使用量为2小时。 使用量单位 小时 官网价 官网价使用量 单价 容量本例中，使用量为2小时，单价可在云数据库 GeminiDB价格详情中查中查询，以0.00378元/GB/小时为例，容量为40GB，那么官网价 0.00378 40 0.3024 元。 优惠金额 用户使用云服务享受折扣优惠如商务折扣、伙伴授予折扣以及促销优惠等减免的金额。基于官网价的优惠金额。 应付金额 用户使用云服务享受折扣优惠后需要支付的费用金额。

本文介绍巡检风险列表。 操作场景 智能巡检功能可以帮您快速识别当前云资源的问题及风险，同时提供对应处理建议。可以帮助您及时发现并解决隐患，提升资源的健康水平。 在您使用指南巡检功能时，需已经购买相关云主机资源。 前提条件 1、注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 2、已经按巡检方案，完成云监控资源巡检。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“迁移与管理”，单击“云监控服务”，进入监控概览页面。 4. 单击“智能巡检”下拉菜单，单击“风险列表”，进入风险列表页面。 5. 在风险列表，按资源池下产品维度展示不同业务场景下风险项统计数据。 说明 部分云产品为全局资源池类型，则相应资源风险统计数据在风险列表页全局资源池模块展示。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String ctyun资源池ID 81f7728662dd11ec810800155d307d5b blacklistID 是 String 告警黑名单ID 46d7bc837ac45238a9342076d0b9f9f0 name 是 String 告警黑名单名称 ctyunalarmblacklist service 是 String 本参数表示服务。取值范围： ecs：云主机。 evs：云硬盘。 pms：物理机。 ... 详见" ecs dimension 是 String 本参数表示告警维度。取值范围： ecs：云主机。 disk：磁盘。 pms：物理机。 ... 详见" ecs desc 否 String 描述 demo resources 是 Array of Objects 资源信息列表 resources contactGroupList 是 Array of Strings 联系组列表 metrics 否 Array of Strings 指标列表 startTime 否 Integer 开始时间，秒级时间戳，startTime和endTime需同时传或同时不传。 1687337384 endTime 否 Integer 结束时间，秒级时间戳，配合startTime一起使用，结束时间须大于开始时间。 1687338884

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String ctyun资源池ID 81f7728662dd11ec810800155d307d5b blacklistID 是 String 告警黑名单ID 46d7bc837ac45238a9342076d0b9f9f0 name 是 String 告警黑名单名称 ctyunalarmblacklist service 是 String 本参数表示服务。取值范围： ecs：云主机。 evs：云硬盘。 pms：物理机。 ... 详见" ecs dimension 是 String 本参数表示告警维度。取值范围： ecs：云主机。 disk：磁盘。 pms：物理机。 ... 详见" ecs desc 否 String 描述 demo resources 是 Array of Objects 资源信息列表 resources contactGroupList 是 Array of Strings 联系组列表 metrics 否 Array of Strings 指标列表 startTime 否 Integer 开始时间，秒级时间戳，startTime和endTime需同时传或同时不传。 1687337384 endTime 否 Integer 结束时间，秒级时间戳，配合startTime一起使用，结束时间须大于开始时间。 1687338884

已购买的弹性IP的带宽峰值可进行修改,本文帮助您对正在使用中的弹性IP进行变配。 操作场景 如果您在使用弹性IP地址的过程中，使用场景发生变化，对带宽需求发生改变，您无须重新购买弹性IP，只要对正在使用中的弹性IP进行变配即可满足要求。 前提条件 要修改带宽的弹性IP不能是已过期状态，只有未过期的弹性IP才可以修改带宽，已过期的弹性IP要想修改带宽必须先完成续费。 弹性IP处于“未绑定”状态，如果已绑定需要优先解绑。 操作步骤 1. 进入控制中心，在服务列表中点击“网络>弹性 IP”。 2. 在弹性公网 IP列表找到需要变配的弹性 IP，鼠标移入操作列中的“更多>变配”。 3. 在弹出的界面中按照您的需要修改带宽，下方显示变配差价。修改完成后点击“确定”，根据提示完成订单即可。

本文主要介绍节点挂载点检查。 检查项内容 检查节点上是否存在不可访问的挂载点。 解决方案 问题场景：节点上存在不可访问的挂载点 节点存在不可访问的挂载点，通常是由于该节点或节点上的Pod使用了网络存储nfs（常见的nfs类型有obsfs、sfs等），且节点与远端nfs服务器断连，导致挂载点失效，所有访问该挂载点的进程均会D住卡死。 步骤 1 登录节点。 步骤 2 节点上依次执行如下命令： df h for dir in ​df h grep v "Mounted on" awk "{print $NF}"​;do cd $dir; done && echo "ok" 步骤 3 若返回ok则无问题。 否则，请另起一个终端执行如下命令，查询先前命令是否存在D状态： ps aux grep "D " 步骤 4 若发现进程存在D状态，则确认为该问题，目前只可以通过重置节点解决。请选择一个合适的时间重置节点后，重试升级。 说明 重置节点会重置所有节点标签，可能影响工作负载调度，请在重置节点前检查并保留您手动为该节点打上的标签。

本文为您介绍如何使用Logstash组件将数据导入至天翼云云搜索服务Elasticsearch实例。 Logstash是一个开源的服务器端实时数据处理工具，支持从多个数据源中提取数据，经过处理后将数据导入到Elasticsearch中。它非常适合处理流数据，如日志、监控数据和指标数据。 适用场景 日志数据、监控数据、流数据等。 前提条件 已经开通天翼云云搜索Elasticsearch实例。 已经部署Logstash且打通和Elasticsearch实例之间的网络。 Logstash配置 Logstash可以接收很多数据源，可以根据实际的需求配置。 这里使用Filebeat作为Logstash的输入。 配置yourlogstash.conf管道文件。 Logstash需要接收Filebeat的输出并进行处理，示例配置如下： input { beats { port > 5044 } } 对数据进行处理。 filter { mutate { removefield > ["@version"] } } output{ elasticsearch{ Elasticsearch实例的访问地址。 hosts > [" " " 访问Elasticsearch实例的用户名和密码，如无安全机制可不配置。 user > "" password > "" 配置写入的索引名,示例如下。 index > "filebeatlogstashes%{+YYYY.MM.dd}" } } 启动Logstash导入数据 可以使用下面的命令在命令行来启动Logstash导入数据： ./bin/logstash f yourlogstash.conf

本文为您介绍Linux系统使用多网卡时网卡名称出现漂移的解决方法。 问题描述 若使用 Linux 系统的云主机配备了多块网卡，则在重启主机后可能出现网卡名称与网卡 MAC 地址不对应的问题，即网卡漂移问题。 以网卡 eth1 实际对应的 MAC 地址为de:8a:88:20:88:6a、网卡 eth2 实际对应的 MAC 地址为76:c5:cc:74:26:c1 为例，若出现网卡漂移问题，则在执行 ip a 命令查看网卡信息时，会发现网卡 eth1 对应的 MAC 地址变为了网卡 eth2 应对应的 MAC地址。 问题原因 Linux 系统运行后会将网卡相关信息保存在 /etc/udev/rules.d/70persistentnet.rules 文件中。若此文件不存在或文件内容和 Linux 操作系统实际情况不一致时，则可能导致网卡漂移问题。 解决步骤 注意：此问题的推荐解决方案需重启云主机，请您在评估业务中断影响后谨慎操作。 1. 以问题描述中的场景为例，推荐在/etc/udev/rules.d/70persistentnet.rules 文件中，将网卡名称与网卡 MAC 地址绑定，使网卡名称与网卡 MAC 地址相对应。每一个网卡可添加相应的规则，每个规则的模板如下： SUBSYSTEM"net", ACTION"add", DRIVERS"?", ATTR{address}" ", KERNEL"eth", NAME" " 以绑定网卡 eth1 对应的 MAC 地址为de:8a:88:20:88:6a 为例： SUBSYSTEM"net", ACTION"add", DRIVERS"?", ATTR{address de:8a:88:20:88:6a ", KERNEL"eth", NAME"eth1" 2. 保存文件后重启云主机。 reboot 3. 再次通过命令 ip a 查看网卡名称与 MAC 是否对应。

本文为您介绍如何将天翼云云搜索OpenSearch实例接入公网访问。 新开启的云搜索实例默认不具备公网访问能力，您如果需要通过公网访问Dashboards、Cerebro或OpenSearch实例，需要为其绑定弹性IP或IPv6带宽，并配置安全组信息，才可使用公网访问。 约束限制 1. 开启公网访问后，会因此产生流量费用，请您提前根据自身需求，购买合适的产品。 2. 配置完成后，需要前往安全组设置页面，配置公网访问白名单后，才可正常使用。 3. 如果需要使用IPv6访问，需要在开通虚拟私有云VPC时即选择开通IPv6能力的子网，并在下单时选择该子网，不支持实例开通后再升级IPv6。 4. 订购1.2.0以上版本的实例，仅开启了HTTPS模式的实例才可以通过公网访问，关闭该模式则仅可通过内网访问。 开通IPv6访问能力的实例 您需要在订购时选择具备IPv6的虚拟私有云，选择子网后，会提示“该子网已开通IPv6”。并在IPv6访问处开启开关，如关闭，则仅可通过IPv4访问实例。 配置实例公网访问 您可以对已开通的实例进行公网访问的配置、修改、查看、解绑操作。 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在详情页面里选择“安全设置”，在弹出的页面上选择需要绑定的公网IP类型，如果为IPv4，请在下拉列表中选择弹性IP地址；如果为IPv6，请选择IPv6的带宽名称。如果绑定失败，可以等待几分钟后再次尝试重新绑定。绑定的弹性IP或IPv6带宽需要处于空闲状态。 注意 IP绑定过后，要补充安全组方可实现本地电脑公网访问Dashboards、Cerebro或连接OpenSearch。 3. 修改绑定弹性IP或IPv6带宽，也需要在当前页面选择对应要修改的项目，点击“修改公网IP”进行重新绑定。 4. 解绑弹性IP或IPv6带宽，可关闭公网访问状态，或点击已绑定的项目后的解绑按钮，即可解绑当前的公网访问能力。 5. 实例退订将自动解绑已绑定的弹性IP或IPv6带宽，如弹性IP或IPv6带宽不再使用，您需要另外前往弹性IP的控制台退订相应的弹性IP或IPv6带宽才会停止对应产品的计费。

功能 使用限制 数据库访问 如果关系型数据库实例未开通公网访问，则该实例必须与弹性云主机处在同一个虚拟私有云内才能相互访问。 关系型数据库只读实例必须创建在与主实例相同的一个子网内。 弹性云主机必须处于目标关系型数据库实例所属安全组允许访问的范围内。 如果关系型数据库实例与弹性云主机处于不同的安全组，系统默认不能访问。需要在关系型数据库的安全组添加一条“入”的访问规则。 RDS for PostgreSQL实例的默认端口为5432，需用户手动修改端口号后，才能访问其他端口。 部署 实例所部署的弹性云主机，对用户都不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的root权限 创建实例页面只提供管理员root用户权限。 修改数据库参数设置 大部分数据库参数可以通过控制台进行修改。 搭建数据库复制 RDS for PostgreSQL本身提供主备复制架构的双节点集群，无需用户手动搭建。其中主备复制架构集群的备实例不对用户开放，用户应用不可直接访问。 重启RDS实例 无法通过命令行重启，必须通过关系型数据库服务的管理控制台操作重启实例。

事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

1.2 数据集加速配置 存储介质：分别使用 SSD 和 MEM 存储配额：设置为 100G，确保远端数据可以全部缓存在本地 SSD 配置：云主机使用超高 IO 磁盘，物理机环境下使用 NVMeSSD MEM 配置：存储路径配置为 /dev/shm 1.3 读服务配置 资源配置：2C4G 读测试命令： shell fio nameseqreadsingle filenamefile1 rwread bs1M size15G numjobs8 iodepth4 direct1 测试场景：通过配置 nodeSelector 分别测试本地读和跨节点读 1.4 测试结果 测试项 未加速 开启加速 测试项 物理机 弹性云主机 物理机 弹性云主机 测试项 物理机 弹性云主机 MEM SSD MEM SSD 本地首次读 321MB/s321MB/s 187MB/s188MB/s 182MB/s182MB/s 182MB/s182MB/s 193MB/s193MB/s 172MB/s172MB/s 预热首次读 2505MB/s2675MB/s 2469MB/s2469MB/s 644MB/s649MB/s 665MB/s681MB/s 本地稳定读 384MB/s384MB/s 230MB/s232MB/s 2726MB/s2726MB/s 2625MB/s2626MB/s 663MB/s674MB/s 686MB/s692MB/s 跨节点读 366MB/s400MB/s 367MB/s401MB/s 377MB/s391MB/s 376MB/s397MB/s

本章节会介绍如何使用mysqldump迁移RDS for MySQL数据 迁移准备 关系型数据库服务支持开启公网访问功能，通过弹性公网IP进行访问。您也可通过弹性云主机的内网访问关系型数据库。 1.准备弹性云主机或可通过公网访问关系型数据库。 通过弹性云主机连接关系型数据库实例，需要创建一台弹性云主机。 通过公网地址连接关系型数据库实例，需具备以下条件。 先对关系型数据库实例绑定公网地址。 保证本地设备可以访问关系型数据库实例绑定的公网地址。 2.在准备的弹性云主机或可访问关系型数据库的设备上，安装MySQL客户端。 说明 该弹性云主机或可访问关系型数据库的设备需要安装和RDS for MySQL数据库服务端相同版本的数据库客户端，MySQL数据库或客户端会自带mysqldump和mysql工具。 数据迁移到云数据库RDS后可能要面对更改IP的问题，为减少客户业务更改，降低迁移难度，支持更改内网IP。 云数据库RDS的系统库mysql和sys不支持导入到RDS for MySQL实例。 导出数据 要将源数据库迁移到关系型数据库，需要先对其进行导出。 说明 相应导出工具需要与数据库引擎版本匹配。 数据库迁移为离线迁移，您需要停止使用源数据库的应用程序。 步骤 1 登录已准备的弹性云主机，或可访问关系型数据库的设备。 步骤 2 使用mysqldump将表结构导出至SQL文件。 说明 mysql数据库是关系型数据库服务管理所必须的数据库，导出表结构时，禁止指定alldatabase参数，否则会造成数据库故障。 mysqldumpdatabases singletransaction orderbyprimary hexblob nodata routines events setgtidpurgedOFF u p h P sed e 's/DEFINER[ ] [ ] [^ ] / /' e 's/DEFINER[ ] . FUNCTION/FUNCTION/' e 's/DEFINER[ ] . PROCEDURE/PROCEDURE/' e 's/DEFINER[ ] . TRIGGER/TRIGGER/' e 's/DEFINER[ ] .EVENT/EVENT/' > DBNAME为要迁移的数据库名称。 DBUSER为数据库用户。 DBADDRESS为数据库地址。 DBPORT为数据库端口。 BACKUPFILE为导出生成的文件名称。 根据命令提示输入数据库密码。 示例如下： mysqldump databases rdsdb singletransaction orderbyprimary hexblob nodata routines events setgtidpurgedOFF u root p h 192.168.151.18 P 3306 sed e 's/DEFINER[ ] [ ] [^ ]/ /' e 's/DEFINER[ ] . FUNCTION/FUNCTION/' e 's/DEFINER[ ] . PROCEDURE/PROCEDURE/' e 's/DEFINER[ ] . TRIGGER/TRIGGER/' e 's/DEFINER[ ] .EVENT/EVENT/' > dumpdefs.sql Enter password: 说明 若使用的mysqldump低于5.6版本，需要去掉“setgtidpurgedOFF”。 命令执行完会生成“dumpdefs.sql”文件，如下： [rds@localhost ~]$ ll dumpdefs.sql rwr. 1 rds rds 2714 Sep 21 08:23 dumpdefs.sql 步骤 3 使用mysqldump将数据导出至SQL文件。 说明 mysql数据库是关系型数据库服务管理所必须的数据库，导出数据时，禁止指定alldatabase参数，否则会造成数据库故障。 mysqldump databases singletransaction hexblob setgtidpurgedOFF nocreateinfo skiptriggersu ph P r 以上命令的参数说明如步骤2所示。 根据命令提示输入数据库密码。 示例如下： mysqldump databases rdsdb singletransaction hexblob setgtidpurgedOFF nocreateinfo skiptriggers u root p h 192.168.151.18 P 8635 r dumpdata.sql 说明 若使用的mysqldump低于5.6版本，需要去掉“setgtidpurgedOFF”。 命令执行完会生成“dumpdata.sql”文件，如下： [rds@localhost ~]$ ll dumpdata.sql rwr. 1 rds rds 2714 Sep 21 08:23 dumpdata.sql

产品优势 使用弹性伸缩可以更低成本的实现高可用性。 使用弹性伸缩产品能够自动的检测当前业务系统中存在的“异常”云主机，并联动伸缩组、负载均衡，自动替换健康的弹性云主机来承载业务运行，确保业务稳定运行。

参数 参数类型 说明 示例 下级对象 alertInitConfigList Array of Objects 初始化规则列表 alertInitConfig service String 服务。取值范围：ecs：云主机。evs：云硬盘。...详见“[一键报警：产品列表]”接口返回。 ecs

实践 描述 云防火墙提供了“标准版”供您使用，包括访问控制、入侵防御、流量分析以及日志审计等功能，本实践介绍如何进行防火墙使用。 本实践以配置IP地址组和服务组为例，说明如何批量配置IP地址和服务访问控制策略。

日志流（LogStream）是日志读写的基本单位，日志组中可以创建日志流，将不同类型的日志分类存储，方便对日志进一步分类管理。例如，您可以将不同的日志（操作日志、访问日志等）写入不同的日志流，查询日志时可以进入对应的日志流快速查看日志。 1个日志组中最多可以创建100个日志流，不支持扩大配额。如果您的配额已满，无法创建日志流，建议删除不再需要使用的日志流后重试，或者在新的日志组中创建日志流。 前提条件 已创建日志组。 创建日志流 日志流的创建类型分为用户创建（主动）和云服务创建（被动），云服务创建指其他云服务与云日志服务进行系统对接后，系统自动在云日志服务控制台创建的日志流，本操作中日志流的创建类型为用户创建（主动）。 1. 在云日志服务管理控制台，单击日志组名称对应的 按钮。 2. 单击展开页面左上角的“创建日志流”，输入日志流名称，名称需要满足如下要求： 只支持输入英文、数字、中文、中划线、下划线及小数点。 不能以小数点、下划线开头或以小数点结尾。 长度为164个字符。 创建日志流 3. 单击“确定”，完成日志流的创建。 在日志流列表中，可以查看日志流的名称、创建时间和创建类型。 创建完成的日志流

本章介绍使用同一VPC内弹性云主机ECS上的Python Redis客户端redispy连接Redis实例的方法。 介绍使用同一VPC内弹性云主机ECS上的Python Redis客户端redispy连接Redis实例的方法。更多的客户端的使用方法请参考Redis客户端。 说明 连接单机、主备、Proxy集群实例建议使用redispy，Cluster集群实例建议使用redispycluster。 前提条件 已成功申请Redis实例，且状态为“运行中”。 已创建弹性云主机，创建弹性云主机的方法，请参见《弹性云主机用户指南》。 如果弹性云主机为Linux系统，该弹性云主机必须已经安装python编译环境。 操作步骤 步骤 1 查看并获取待连接Redis实例的IP地址和端口。 具体步骤请参见查看实例信息。 步骤 2 登录弹性云主机。 本章节以弹性云主机操作系统为centos为例介绍通过python redis客户端连接实例。 步骤 3 连接Redis实例。 如果系统没有自带Python，可以使用yum方式安装。 yum install python 说明 要求系统python版本为3.6+，当默认python版本小于3.6时，可通过以下操作修改python默认版本。 1. 删除python软链接文件： rm rf python 2. 重新创建新指向python：ln s pythonX.X.X python，其中X为python具体版本号。 若是单机、主备、proxy集群实例。 a. 安装Python和Python Redis客户端redispy。 i. 如果系统没有自带Python，可以使用yum方式安装。 ii. 下载并解压redispy。 wget unzip master.zip iii. 进入到解压目录后安装Python Redis客户端redispy。 python setup.py install 安装后执行python命令，返回如下信息说明成功安装redispy： 执行python b. 使用redispy客户端连接实例。以下步骤以命令行模式进行示例（也可以将命令写入python脚本中再执行）： i. 执行python命令，进入命令行模式。返回如下信息说明已进入命令行模式： 进入命令行模式 ii. 在命令行中执行以下命令，连接Redis实例。 r redis.StrictRedis(host'XXX.XXX.XXX.XXX', port6379, password''); 其中，XXX.XXX.XXX.XXX为Redis实例的IP地址，“6379”为Redis实例的端口。IP地址和端口获取见步骤1，请按实际情况修改后执行。 为创建Redis实例时自定义的密码，请按实际情况修改后执行。 界面显示一行新的命令行，说明连接Redis实例成功。可以输入命令对数据库进行读写操作。 连接redis成功 若是Cluster集群实例。 b. 安装redispycluster客户端。 i. 执行以下命令下载released版本。 wget ii. 解压压缩包。 tar xvf redispycluster2.1.3.tar.gz iii. 进入到解压目录后安装Python Redis客户端redispycluster。 python setup.py install c. 使用redispycluster客户端连接Redis实例。 以下步骤以命令行模式进行示例（也可以将命令写入python脚本中再执行）： i. 执行python命令，进入命令行模式。 ii. 在命令行中执行以下命令，连接Redis实例。如果实例为免密访问，则省略命令中的, password'' >>> from rediscluster import RedisCluster >>> startupnodes [{"host": "192.168.0.143", "port": "6379"},{"host": "192.168.0.144", "port": "6379"},{"host": "192.168.0.145", "port": "6379"},{"host": "192.168.0.146", "port": "6379"}] >>> rc RedisCluster(startupnodesstartupnodes, decoderesponsesTrue, password'') >>> rc.set("foo", "bar") True >>> print(rc.get("foo")) 'bar'

本节主要介绍云容器引擎产品的API中资源池ID列表。 云容器引擎的资源池列表 资源池 资源池ID（Region ID） 专有版 托管版 华东1 bb9fdb42056f11eda1610242ac110002 √ 华北2 200000001852 √ √ 西南1 200000002368 √ √ 华南2 200000002530 √ √ 上海36 200000001790 √ 青岛20 200000001703 √ 长沙42 200000002401 √ √ 南昌5 200000002527 √ 武汉41 200000001781 √ √ 杭州7 200000003329 √ √ 太原4 200000002689 √ 郑州5 200000002586 √ 西安7 200000001851 √ √ 芜湖4 200000003327 √ 呼和浩特3 200000003573 √ 乌鲁木齐7 200000004098 √ √ 庆阳2 200000003664 √

本节为您介绍云迁移服务CMS资源创建查看相关内容。 1. 云迁移服务CMS平台可以为您查看资源创建信息，您需要在左侧导航栏选择资源规划，点击【资源创建】按钮，进入 [ 资源创建 ] 界面，弹出 [ 迁移计划选择 ] 界面，您可以根据需要选择迁移计划，点击【确定】进入[ 资源创建 ]界面，如图所示。

本节介绍IAM授权。 概述 如果您需要针对不同资源，对用户设置不同的访问权限，以达到用户之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云资源的访问。 通过IAM，您可以为其他账号创建IAM用户，并使用策略来控制他们对云资源的访问范围。IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费，关于IAM的详细介绍，参见：统一身份认证。 如果云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用分布式容器云平台的其他功能。 注意 服务资源权限（IAM授权）仅针对注册集群、联邦、等系统资源有效，如果您需操作Kubernetes资源（如Deployment、Configmap和Service等），您还需配置Kubernetes集群内的RBAC权限，方可获得对应Kubernetes资源的操作能力。 概念 术语 说明 主账号 用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体，为了确保账号安全，建议创建子用户来进行日常管理工作。 子账号 主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 企业项目 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 策略 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。策略中可定义“允许”的操作和“拒绝”的操作，“拒绝”的优先级大于“允许”。 系统策略 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 数据权限 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 功能权限 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 功能权限授权 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。具体授权请参考：用户组授权统一身份认证。

一个VPC最多支持创建多少个私网NAT？ 当前单个VPC最多支持购买10个私网NAT。 私网NAT支持SNAT规则和DNAT规则共用一个中转IP吗？ 私网NAT目前暂不支持SNAT规则和DNAT规则共用一个中转IP。 私网NAT支持云专线的IP转换吗？ 支持。在创建DNAT规则时，选择自定义模式，可添加通过云专线接入的客户云下IP。 私网NAT和公网NAT有什么区别？ 私网NAT是实现私网IP与私网IP之间的地址转换。 私网NAT的作用有： 通过私网IP地址转换，解决私网IP地址冲突的问题。 通过私网IP地址转换，满足指定地址接入的需求。 公网NAT是实现私网IP与公网IP之间的地址转换。 公网NAT的作用有： 更安全：避免云主机公网IP直接暴露在外。 省成本：共享EIP，共享带宽，节约EIP资源。 私网NAT是否支持跨账号使用？ 私网NAT本身不支持跨账号使用，但可以通过VPC对等连接实现跨帐户通信，VPC对等连接打通两个账号的中转VPC，实现两个私网NAT转换IP后的跨账号通信。

本小节介绍终端杀毒windows客户端安装。 操作步骤 1.在浏览器上通过访问 2.执行安装文件，安装过程中可以选择是否安装网络模块和完整性监控模块。 下一步之后根据需求选择轻代理标准版、轻代理高级版（支持容器）。 输入管理中心地址（必选）、主机名（可选），点击安装。 3.注册成功后，管理中心能够看到该主机，主机状态显示为“已连接”，新注册的主机会被默认添加至名称为“新注册主机”的主机池中。 4.管理中心 “资产管理”→“虚拟机/终端”页面能够看到该机器，其实时防护状态正确。

远程办公服务 根据产品计费订购情况进行展示零信任远程办公的企业服务状态，若远程办公服务为关闭，则无法进行内网连接，请谨慎操作。 连接器状态：为提供更稳定优质的服务，目前将根据企业使用连接器的情况自动设置连接器状态，具体可查看连接器状态设置。 服务区域：区分中国内地、全球，若服务区域为中国内地，则覆盖资源仅为中国内地资源，若为全球，根据订购情况区分采用高性能网络、普通线路进行提供不同国际线路资源。 客户端IP限制：鉴于安全监管要求，默认开启非中国大陆访问限制（即非中国大陆用户将无法使用VPN内网连接功能），如有此类业务场景需求，需提交工单申请放开限制。注意：若服务区域为中国大陆，未订购全球线路，则非中国大陆访问质量无法保障。 注意 服务到期、退订、流量用尽将自动将企业服务设为禁用。若计费模式为带宽，则带宽超量后进行限速。

2.1.配置应用权限 2.1.1.配置NetworkExtension权限 应用需要在Signing&Capabilities界面配置APPGroup和NetworkExtension权限。 2.1.2配置AppGroup权限 对应的Groupid为客户集成项目自身的GroupId，请不要配置错误（重要重要重要）。 2.2.SDK和隧道插件加入工程 使用客户自己的网络插件的证书签名，对应的Groupid为客户集成项目自身的GroupId，请不要配置错误（重要重要重要）。 2.2.1.重签名隧道插件

执行业务操作 执行业务操作时，建议将任务拆分为多个小步骤，每个步骤都具备明确的输入、动作和结果判断。 示例： 1. 打开目标页面。 2. 输入查询条件。 3. 点击查询按钮。 4. 等待结果区域刷新。 5. 导出结果文件。 6. 使用 FileSystem 读取导出文件。 结果确认 结果确认可以结合以下方式： 使用 screenshot 留存界面状态。 使用 readfile 读取导出的文本文件。 使用 searchfiles 检查输出目录是否生成目标文件。 使用业务系统自身的状态接口或任务记录进行交叉验证。 异常处理 桌面应用可能出现弹窗、卡顿、登录过期、网络异常等情况。建议为以下异常设计处理策略： 应用启动失败。 窗口未出现在预期位置。 输入后无响应。 点击后出现错误弹窗。 导出文件未生成。 文件读取失败。 对无法自动恢复的异常，应保留截图、会话 ID 和任务日志，便于人工排查。 收尾建议 关闭当前任务打开的窗口。 将输出文件移动到约定目录。 清理任务执行过程中产生的临时内容。 关闭 SDK 会话。 记录任务结果和关键日志。

执行业务操作 执行业务操作时，建议将任务拆分为多个小步骤，每个步骤都具备明确的输入、动作和结果判断。 示例： 1. 打开目标页面。 2. 输入查询条件。 3. 点击查询按钮。 4. 等待结果区域刷新。 5. 导出结果文件。 6. 使用 FileSystem 读取导出文件。 结果确认 结果确认可以结合以下方式： 使用 screenshot 留存界面状态。 使用 readfile 读取导出的文本文件。 使用 searchfiles 检查输出目录是否生成目标文件。 使用业务系统自身的状态接口或任务记录进行交叉验证。 异常处理 桌面应用可能出现弹窗、卡顿、登录过期、网络异常等情况。建议为以下异常设计处理策略： 应用启动失败。 窗口未出现在预期位置。 输入后无响应。 点击后出现错误弹窗。 导出文件未生成。 文件读取失败。 对无法自动恢复的异常，应保留截图、会话 ID 和任务日志，便于人工排查。 收尾建议 关闭当前任务打开的窗口。 将输出文件移动到约定目录。 清理任务执行过程中产生的临时内容。 关闭 SDK 会话。 记录任务结果和关键日志。

本文向您介绍创建节点,帮助您了解节点的基本情况。 使用说明 创建节点会自动创建裸金属并将其自动加入裸金属集群中。 使用前提 已创建裸金属集群。 操作步骤 1. 登录公共算力服务控制台，单击左侧导航栏中的【集群>裸金属集群】，进入集群列表页。选择具体集群进入集群详情页。 2. 选择【业务节点】栏，点击【创建节点】，跳转至创建裸金属页面。 3. 在创建裸金属页面填写开通参数信息。 参数 说明 可用区 选择可用区。 付费类型 选择付费类型，目前支持包年包月。 购买时长 配置购买时长，111月。 实例规格 选择裸金属的实例规格。 操作系统 选择裸金属的操作系统。 网络配置 选择VPC和子网，支持创建新的VPC。 系统配置 填写实例名称，实例名称会自动生成，可支持修改；填写登录的密码，需按照密码的校验规则，密码支持自动生成。 4. 确认配置等费用，点击【立即创建】跳转至官网支付，支付成功后即可完成节点创建。

本文介绍如何通过pgAdmin连接实例。 您可通过pgAdmin客户端来连接实例，进行可视化操作。 注意 需要使用pgAdmin 4及以上版本。 操作步骤 注意 本章节介绍使用的为pgAdmin 4 v6.5版本，不同版本间可能存在差异。 1.启动pgAdmin客户端。 2.在Server处点击鼠标右键，Create>Server打开创建连接的窗口。 3.弹出框的General选项卡填写连接的一些描述信息，比如名字等；Connection选项卡填写连接的网络信息，也就是RDSPostgreSQL实例的信息。 4.保存配置，若连接信息无误，那双击新建的server即可连接上实例。 Connection选项卡关键参数解释 Host name/address：内网方式连接时，输入实例的vip/ipv4连接地址中的ip地址；公网方式连接时，输入目标实例绑定的弹性ip地址。 Port：数据库端口，默认为6543。 Username：用户名，默认为root。 Password：Username对应的密码。

本页介绍了关系数据库MySQL版的故障恢复。 备份恢复 关系数据库MySQL版的支持多种备份恢复策略，为您的数据库实例提供多种故障恢复能力。 关系数据库MySQL版会根据用户自定义备份策略自动创建数据库实例的备份。系统根据您指定的备份保留期保存数据库实例的自动备份数据。关系数据库MySQL版提供了多种恢复实例数据的方式，用以满足不同的使用场景： 关系数据库MySQL版用户指南备份与恢复通过全量备份文件恢复到实例 。 关系数据库MySQL版用户指南备份与恢复将实例的数据恢复到指定时间点 。 多可用区 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。关系数据库MySQL版支持在同一个可用区内或者跨可用区部署数据库主备实例，以提供故障切换能力和高可用性。 支持多可用区功能区域可参考：关系数据库MySQL版产品简介功能概览。

ATT&CK攻击阶段 说明 初始入口 攻击者尝试进入您的网络或系统。 代码执行 攻击者成功进入您的系统，尝试运行恶意软件或命令，以进一步控制系统或窃取数据。 持久化 攻击者采取措施以确保其在系统中的持久存在，以便在需要时重新访问或继续攻击。 可能涉及设置后门、修改系统配置、利用系统漏洞等。 权限提升 攻击者尝试从普通用户权限提升为管理员或系统权限，以便控制整个系统。 防御绕过 攻击者尝试使用各种技术来绕过安全防御措施，避免被检测到。 如使用混淆加密技术对恶意软件进行二次封装、利用系统漏洞进行攻击等。 凭据窃取 攻击者收集系统中的敏感数据，如账号名称和密码。 发现 发现攻击者攻击IP、攻击类型以及扫描的端口。 命令与控制 攻击者尝试建立与被攻击机器的通信渠道，以便远程控制机器上的恶意软件或执行其他攻击操作。 影响破坏 攻击者利用收集到的数据或控制的系统，尝试对您的系统造成损害，如数据泄露、系统瘫痪等。

本节介绍删除QoS策略中关联的智能网关实例。 操作场景 用户删除QoS策略已关联的智能网关实例。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成QoS策略的创建，且与智能网关实例进行关联。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“QoS策略”，单击目标访问控制“操作”列的“管理实例”。 5. 用户可以取消已选中的智能网关。 6. 单击“取消关联”，解除QoS策略与智能网关实例的关联关系。 说明 用户也可以进入“目标访问控制详情”页面。单击“关联实例 >添加实例”，可添加智能网关实例；单击目标规则“操作”列的“删除”，或着选中想要删除的智能网关实例，单击“取消关联”，可删除已关联的智能网关实例。