在任务列表中可查看敏感数据识别任务的详细信息 前提条件 已添加OBS、数据库、大数据源资产或MRS，具体操作请参见资产列表。 查看识别任务列表 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，单击“敏感数据识别（新） > 识别任务”，进入识别任务界面查看任务详情，相关参数如下表。 参数 说明 任务名称 识别任务名称。 单击任务名称前方的，查看任务下各个对象执行扫描的具体时间以及识别状态，并在具体对象所在行的“操作”列，可执行以下操作： 单击“停止”，停止对该任务下具体对象的扫描。 单击“立即识别”，立即执行对该任务下具体对象的扫描。 单击“识别结果”，查看该任务下具体对象的扫描结果。 单击“删除”，删除该任务下具体对象。 识别模板 识别模板名称。 执行周期 识别任务的具体执行周期。说明如下： 单次：识别任务仅执行一次。 每天：每天固定时间执行一次识别任务。 每周：每周固定时间执行一次识别任务。 每月：每月固定时间执行一次识别任务。 状态 识别任务的执行状态。 待识别：识别任务在队列中，等待识别。 识别中：正在执行的识别任务。 识别完成：目标任务下的所有识别对象都已成功完成了扫描。 识别异常：目标任务下至少存在一个识别对象执行识别任务失败。 识别终止：正在识别中的任务，被强行停止。 上次识别时间 上一次执行该任务的具体时间。 上次识别结果 上一次该任务扫描的结果，包含内置级别和自定义级别，详情参见新增分级章节。 操作 用户可以在操作栏中，执行以下操作： 立即执行识别任务，具体的参见启动识别任务章节。 查看识别结果，单击“识别结果”，跳转到“ 结果明细”页面，DSC为您提供了详细的结果分析报告，具体的参见查看识别结果章节。 开启任务，当该任务处于关闭状态时，单击“更多> 开启任务”，具体请参见启动识别任务章节。 编辑扫描任务，单击“更多>编辑”，具体请参见配置识别任务。 删除扫描任务，单击“更多>删除”，具体请参见删除识别任务。

本小节介绍安装Windows Server 2008 R2应用服务器。 安装环境介绍 以下为安装AD域环境的服务器信息： Windows Server版本：Windows Server 2008 R2（所有软件包已经全部安装完成） IP：192.168.X.X/X 网关：192.168.X.X DNS：192.168.X.X 域名：example.com 计算机名：server 安装AD域 修改计算机名和服务器静态IP 修改服务IP地址，并且将DNS地址指向本机，然后修改计算机名为server。安装AD域服务之后，机器名称会自动变成“主机名+域名”的形式。 说明 安装AD域 在命令行下输入 dcpromo.exe ，安装AD域和DNS服务器，不能使用添加角色向导的方式将AD域和DNS服务器安装在一起。 AD域服务安装向导 1 安装AD域，单击“下一步”。 2 单击“下一步”。 3 选择“在新林中新建域”，单击“下一步”。 4 单击“下一步”。 5 设置林功能级别，在下拉菜单中选择“Windows Server 2008 R2”，单击“下一步”。 6 勾选“DNS服务器”，单击“下一步”。 7 界面显示“无法创建DNS委派”，单击“是”，然后继续。 8 选择数据库文件和日志文件的目录，采用默认配置即可，单击“下一步”。 9 设置目录还原模式的密码，还原模式的Administrator密码不等于系统密码，单击“下一步”。 10 界面显示信息概要，单击“下一步”。 11 勾选“完成后重新启动”。 12 重启后，用域用户登录。 13 AD域环境安装完成。

本节介绍如何购买云安全中心实例。 云安全中心支持包年/包月计费方式，目前提供标准版的主资源，两种扩展资源：日志分析量、态势大屏。您可以根据业务规模选择云安全中心规格。 前提条件 已注册天翼云账号并完成实名认证。 规格限制 态势大屏只可购买一次。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 约束条件 同一账号在同一个区域只能开通一个云安全中心实例，对应一个服务版本。 开通云安全中心实例，必须购买主资源，主资源生效期间，支持叠加购买扩展资源，扩展资源与主资源绑定，到期时间与主资源一致，不支持单独续订、退订。 适用场景 用户购买了天翼云上的安全服务“Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版、云防火墙（原生版）”并部署在天翼云上。 操作步骤 1. 登录天翼云控制中心。 2. 在控制台列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 3. 单击“立即购买”，进入购买页面。 4. 选择版本信息、扩展资源、购买时长。 参数 说明 基本信息 版本选择 支持“标准版”。规格详情请参见产品规格。 基本信息 计费模式 支持“包年包月”。 扩展配置 购买态势大屏 默认为“现在购买”，也可以选择“暂不购买”。 说明 态势大屏只可购买一次。 扩展配置 购买日志分析量 默认为“现在购买”，也可以选择“暂不购买”。 说明 云安全中心标准版免费提供50G的日志分析额度，如果您需要额外的额度，请另外购买。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 订购 购买时长 拖动时间轴设置购买时长。 订购 自动续订 开启“自动续订”后，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 5. 确认配置参数和配置费用，阅读《云安全中心服务协议》并勾选“我已阅读，理解并接受《云安全中心服务协议》”，单击“立即购买”。 6. 进入“付款”页面，完成付款。

本文介绍云主机错误状态及解决方案。 一、引言 随着云计算技术的快速发展，云主机已经成为企业、个人和开发者们进行互联网应用的首选。然而，使用云主机的过程并非完全顺利，可能会遇到各种错误状态。本文将详细探讨云主机错误状态的类型、原因以及解决方案，帮助用户更好地管理和维护自己的云主机。 二、云主机错误状态类型 1. 网络错误 网络错误是云主机使用过程中最常见的错误类型之一。网络错误可能包括网络连接超时、无法连接到远程服务器或网络连接中断等。这些错误通常是由于网络配置问题、网络设备故障或网络拥堵等原因引起的。 2. 服务器错误 服务器错误通常包括服务器启动失败、运行异常、过载等。这类错误可能是由于服务器硬件故障、软件问题、操作系统故障或服务器资源不足等原因引起的。 3. 应用程序错误 应用程序错误是指运行在云主机上的应用程序出现错误。这类错误可能包括应用程序崩溃、运行缓慢、内存泄漏等。这些错误可能是由于应用程序本身的问题，如代码错误、不兼容性或配置问题等引起的。 4. 安全错误 安全错误是指与安全相关的错误，如身份验证失败、权限问题或安全策略冲突等。这些错误可能是由于用户名或密码错误、权限配置错误或安全策略设置不当等原因引起的。 三、云主机错误状态原因分析 1. 网络问题 网络问题可能是由于网络设备故障、网络连接问题或网络配置不当等原因引起的。例如，如果云主机的网络设备出现故障，或者网络连接被中断，那么就会出现网络错误。此外，如果网络配置不正确，例如DNS解析不正确，也可能会导致无法连接到远程服务器。 2. 服务器硬件故障 服务器硬件故障可能是由于服务器硬件设备出现故障或服务器资源不足等原因引起的。例如，如果服务器的硬盘出现故障，那么服务器可能无法启动或运行异常。此外，如果服务器的资源不足，例如内存不足或CPU过载，也可能会导致服务器运行异常。 3. 应用程序问题 应用程序问题可能是由于应用程序本身的问题，如代码错误、不兼容性或配置问题等引起的。例如，如果应用程序的代码存在错误，那么应用程序可能无法正常运行。此外，如果应用程序的配置不正确，例如数据库连接不正确或文件路径错误，也可能会导致应用程序运行异常。 4. 安全问题 安全问题可能是由于身份验证失败、权限问题或安全策略冲突等原因引起的。例如，如果用户名或密码不正确，那么身份验证可能会失败。此外，如果权限配置不正确，例如权限设置过于宽松或过于严格，也可能会导致权限问题。另外，如果安全策略设置不当，例如过于宽松的安全策略或过于严格的安全策略，也可能会导致安全问题。

一级菜单 二级菜单 功能概述 基础版 企业版 旗舰版 增值服务 安全概览 查看待处理风险、防护状态、风险趋势、实时动态 ✓ ✓ ✓ 资产管理 资产概览 查看资产概况、主机概况趋势图、服务器区域统计，和账号、端口、进程、软件应用、自启动项的统计情况 不支持资产指纹统计 ✓ ✓ 资产管理 服务器列表 查看主机资产信息、安全风险等功能，支持模糊检索、筛选、开启防护、关闭防护、切换版本，方便用户快速管理服务器 ✓ ✓ ✓ 资产管理 资产指纹 查看账号、端口、进程、软件应用、自启动项、Web服务6种指纹的详细信息 仅支持采集端口和账户2种指纹信息，不支持手动资产指纹采集和资产历史变更 ✓ ✓ 风险管理 基线检测 对服务器操作系统、数据库、关键应用软件配置等进行检测，帮助用户提前识别出可能导致安全漏洞的不安全配置项。 × ✓ ✓ 风险管理 漏洞扫描 支持扫描Linux软件漏洞、Windows系统漏洞、WebCMS漏洞、应用漏洞，并提供漏洞的修复建议和一键修复功能。 仅支持扫描Win/Linux漏洞，不支持配置扫描策略，不支持一键修复 ✓ ✓ 风险管理 弱口令检测 通过与弱口令库对比，检测系统账号和应用账号口令是否属于常用的弱口令，提示用户修改不安全的口令。 × ✓ ✓ 入侵检测 告警中心 汇总所有入侵检测模块的告警信息，帮助用户快速了解整体安全告警概况 仅支持系统暴力破解、异常登录告警 ✓ ✓ 入侵检测 白名单管理 汇总所有白名单规则，可手动新增、删除白名单规则 不支持自定义白名单规则 ✓ ✓ 网页防篡改（原生版） 防护状态 查看防护的总体情况，帮助您实时掌握所有云上网站被篡改的总体态势。 × × × ✓ 网页防篡改（原生版） 防护管理 可为您账号下的云主机和物理机添加防护目录，可采用白名单或黑名单的方式进行添加。 可展示当前已添加的服务器的防护目录和备份目录，并进行添加、编辑和删除。 × × × ✓ 网页防篡改（原生版） 防护配额 展示订购配额的总体情况，同时可进行配额订购、续订和退订。 × × × ✓ 文件安全 病毒查杀 病毒查杀功能，支持对挖矿木马、蠕虫、勒索病毒等进行有效的检测，通过简单操作即可完成对病毒的处理。 × ✓ ✓ 文件安全 文件完整性保护 可实时监控主机上的文件，对创建文件、修改文件、删除文件及文件提权操作进行监控和告警。 × × ✓ 设置中心 安全配置 安全配置用于统一管理和配置各防护模块的规则、白名单等。 仅支持异常登录非常用IP登录设置。 不支持端口蜜罐、勒索诱饵防护、文件完整性保护。 ✓ 设置中心 配额管理 展示购买配额的情况 ✓ ✓ ✓ 设置中心 告警通知 发生入侵时实时发送告警通知 ✓ ✓ ✓ 设置中心 报表管理 周期性自动生成安全报表 仅周报 ✓ ✓

本章节演示一套全新6节点物理集群（无业务数据）划分为2套逻辑集群的操作。 场景介绍 本章节演示一套全新6节点物理集群（无业务数据）划分为2套逻辑集群的操作。 前提条件 创建6个节点的集群。 划分逻辑集群 1. 在集群管理页面，单击指定集群名称进入集群详情页面，左导航栏单击“逻辑集群管理”。 2. 进入逻辑集群页面，单击右上角“添加逻辑集群”，从右侧勾选1个主机环（3个节点）到左侧列表中，并输入逻辑集群名称lc1，单击“确定”。 等待约2分钟，逻辑集群添加成功。 3. 重复以上步骤，划分第二套逻辑集群lc2。 创建逻辑集群关联用户并跨逻辑集群查询数据 1. 以系统管理员dbadmin连接数据库，执行以下SQL语句查看逻辑集群创建成功。 SELECT groupname FROM PGXCGROUP; 2. 创建两个用户u1和u2，分别关联逻辑集群lc1和逻辑集群lc2。 CREATE USER u1 NODE GROUP "lc1" password ' {password} '; CREATE USER u2 NODE GROUP "lc2" password ' {password} '; 3. 切换到用户u1，创建表t1，并插入数据。 SET ROLE u1 PASSWORD ' {password} '; CREATE TABLE u1.t1 (id int); INSERT INTO u1.t1 VALUES (1),(2); 4. 切换到用户u2，创建表t2，并插入数据。 SET ROLE u2 PASSWORD ' {password} '; CREATE TABLE u2.t2 (id int); INSERT INTO u2.t2 VALUES (1),(2); 5. 同时使用u2查询u1.t1表。返回结果提示没有权限。 SELECT FROM u1.t1; 6. 切换回系统管理员dbadmin，查询表u1.t1和u2.t2分别创建到了集群lc1和lc2中，分别对应企业的两块业务，实现了基于逻辑集群的数据隔离。 SET ROLE dbadmin PASSWORD ' {password} '; SELECT p.oid,relname,pgroup,nodeoids FROM pgclass p LEFT JOIN pgxcclass pg ON p.oid pg.pcrelid WHERE p.relname 't1'; SELECT p.oid,relname,pgroup,nodeoids FROM pgclass p LEFT JOIN pgxcclass pg ON p.oid pg.pcrelid WHERE p.relname 't2'; 7. 将逻辑集群lc1的访问权限授予用户u2，同时将SCHEMA u1访问权限、表u1.t1访问权限授予用户u2。 GRANT usage ON NODE GROUP lc1 TO u2; GRANT usage ON SCHEMA u1 TO u2; GRANT select ON TABLE u1.t1 TO u2; 说明 划分逻辑集群后，相当于在原来物理集群的基础上，再增加一层逻辑集群（NODE GROUP）的权限隔离。所以跨逻辑集群访问数据，首先要授权用户有逻辑集群（NODE GROUP层）权限，其次是SCHEMA权限，最后是单张表TABLE权限。如果没有授予逻辑集群的权限，会提示类似permission denied for node group xx的错误信息。 8. 再次切换到u2用户，查询u1.t1表，查询成功，逻辑集群既实现了数据隔离，又可以在用户授权后进行跨逻辑集群访问。 SET ROLE u2 PASSWORD ' {password} '; SELECT FROM u1.t1;

本章节主要介绍如何扩容集群。 MRS的扩容不论在存储还是计算能力上，都可以简单地通过增加Core节点或者Task节点来完成，不需要修改系统架构，降低运维成本。集群Core节点不仅可以处理数据，也可以存储数据。可以在集群中添加Core节点，通过增加节点数量处理峰值负载。集群Task节点主要用于处理数据，不存放持久数据。 背景信息 MRS集群支持Core与Task节点总数最大为500个。如果用户需要的Core/Task节点数大于500，可以联系支持人员或者调用后台接口修改数据库。 目前支持扩容Core节点和Task节点，不支持扩容Master节点。此处扩容的最大Core/Task节点数为（500 集群Core/Task节点数）。例如：当前集群Core节点数为3，此处扩容的Core节点数必须小于等于497。如果集群扩容失败，用户可重新进行扩容操作。 如果在创建集群时，没有扩容节点，用户可以在扩容时添加节点个数，但不能指定具体节点扩容。 选择的版本不同，扩容集群的操作也不同。 操作步骤 1.登录MRS管理控制台。 2.选择 “集群列表 > 现有集群” ，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.选择“节点管理”页签，在需要扩容的节点组的“操作”列单击“扩容”，进入扩容集群页面。 只有运行中的集群才能进行扩容操作。 4.设置“扩容节点数量”、“启动组件”和“执行引导操作”参数，并单击“确定”。 说明 若集群中没有Task节点组，请参考添加Task节点配置Task节点。 如果创建集群时添加了引导操作，则“执行引导操作”参数有效，开启该功能时扩容的节点会把创建集群时添加的引导操作脚本都执行一遍。 如果“新节点规格”参数有效，则表示与原有节点相同的规格已售罄或已下架，新扩容的节点将按照“新节点规格”增加。 扩容集群前需要检查集群安全组是否配置正确，要确保集群入方向安全组规则中有一条全部协议，全部端口，源地址为可信任的IP访问范围的规则。 5.进入“扩容节点”窗口，单击“确定”。 6.弹出扩容节点提交成功提示框。 集群扩容过程说明如下： 扩容中：集群正在扩容时集群状态为“扩容中”。已提交的作业会继续执行，也可以提交新的作业，但不允许继续扩容和删除集群，也不建议重启集群和修改集群配置。 扩容成功：集群扩容成功后集群状态为“运行中”。 扩容失败：集群扩容失败时集群状态为“运行中”。用户可以执行作业，也可以重新进行扩容操作。 扩容成功后，可以在集群详情的“节点管理”页签查看集群的节点信息。

本小节介绍渗透测试的服务流程，帮助您了解服务开展过程。 渗透测试服务以人工服务为主，我们的渗透测试人员在取得您的授权后，将对目标系统进行全面的渗透测试工作，总体流程如下： 1. 客户订购与需求匹配的服务规格并下单付款。 2. 客户经理会与您取得联系，协助您完成《业务需求单》及《渗透测试授权书》的填写，您需要如实填写以下内容： 域名备案信息比对，必须为真实、合法信息。 被检测的IP主机信息。 如您为天翼云托管用户，需要提供域名清单，解析后必须为天翼云主机IP，才可提供渗透测试服务。 您所提供的应用URL描述须写明功能是什么或用途是什么。 业务接口人联系方式，您需提供一个具有对渗透测试方案及渗透测试过程中出现的问题有决定权的业务接口人联系人。 如您有安全防护设备，应在渗透测试开始阶段将渗透测试所用的公网IP加入安全防护设备白名单，避免因渗透测试工作带来的告警。（如在渗透测试开始阶段客户未将渗透测试所用的公网IP加入安全防护设备白名单，由此产生的告警及对渗透测试结果的影响，我方不承担责任。） 您需签订渗透测试授权书。 3. 我们会根据您提供的信息，与您进行沟通，编写渗透测试方案，并与您确认测试细节，双方确认无误后，将进入渗透测试环境，渗透测试工作主要包含如下步骤： 明确目标：确定渗透测试的范围，如IP、域名、内外网、整站或部分模块，确定规则，如能渗透到什么程度，是发现漏洞为止还是继续利用漏洞，确定需求，如Web应用的漏洞，业务逻辑漏洞，人员权限管理漏洞。 信息收集：在信息收集阶段要尽量收集关于项目软件的各种信息，例如，对于一个Web应用程序，要收集脚本类型、服务器类型、数据库类型以及项目所用到的框架、开源软件等。 漏洞探测：进行漏洞探测，包括手动和自动探测。 漏洞验证：对探测出的漏洞进行验证，确定其真实存在。 信息分析：对收集到的信息进行分析，尝试利用漏洞获取数据。 利用漏洞获取数据：如果能够利用漏洞获取数据，则进行数据获取。 信息整理：对获取到的数据进行整理，方便后续分析。 形成报告：根据渗透测试的实际情况，形成详细、专业的报告。 4. 形成报告后，我们会将报告发送给您，您可以根据报告内容，发现系统漏洞，及时加固完善。 以上为渗透测试的基本服务流程，如您在服务过程中有任何问题，请您与客户经理联系并反馈，我们会尽快为您处理。

本章节向您介绍如何快速添加多条安全组规则与在安全组中一键放通常见端口。 快速添加多条安全组规则 操作场景 通过安全组快速添加功能，您可以快速添加部分常用端口协议对应的规则，包括远程登录和ping测试、常用Web服务和数据库服务所需的端口协议。 操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表中，单击目标安全组所在行的操作列下的“配置规则”，进入安全组规则配置页面。 3. 在“入方向规则”页签，单击“快速添加规则”，弹出“快速添加入方向规则”对话框。 4. 根据界面提示，设置入方向规则参数。 5. 入方向规则设置完成后，单击“确定”，返回入方向规则列表，可以查看添加的入方向规则。 6. 在“出方向规则”页签，单击“快速添加规则”，弹出“快速添加出方向规则”页签。 7. 根据界面提示，设置出方向规则参数。 8. 出方向规则设置完成后，单击“确定”，返回出方向规则列表，可以查看添加的出方向规则。 下表是入、出方向规则参数说明表。 参数 说明 取值样例 优先级 安全组规则优先级。 优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，规则优先级级别越高。 1 常见协议端口 提供常用的协议端口供您快速设置，选择类型如下： 远程登录和ping Web服务 数据库 SSH（22） 入方向 策略 安全组规则策略，支持的策略如下：如果“策略”设置为允许，表示允许源地址访问安全组内云主机的指定端口。 如果“策略”设置为拒绝，表示拒绝源地址访问安全组内云主机的指定端口。 安全组规则匹配流量时，首先按照优先级进行排序，其次按照策略排序，拒绝策略高于允许策略。 允许 出方向 策略 安全组规则策略，支持的策略如下：如果“策略”设置为允许，表示允许安全组内的云主机访问目的地址的指定端口。 如果“策略”设置为拒绝，表示拒绝安全组内的云主机访问目的地址的指定端口。 安全组规则匹配流量时，首先按照优先级进行排序，其次按照策略排序，拒绝策略高于允许策略。 允许 类型 支持的IP地址类型，如下： IPv4 IPv6 IPv4 入方向 协议端 安全组规则中用来匹配流量的网络协议类型，目前支持TCP、UDP、ICMP和GRE协议。 安全组规则中用来匹配流量的目的端口，取值范围为：1～65535。 在入方向规则中，表示外部访问安全组内实例的指定端口。 端口填写支持下格式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535。 TCP 22或2230或20,2230 出方向 协议 安全组规则中用来匹配流量的网络协议类型，目前支持TCP、UDP、ICMP和GRE协议。 安全组规则中用来匹配流量的目的端口，取值范围为：1～65535。 在出方向规则中，表示安全组内实例访问外部地址的指定端口。 端口填写支持下格式： 单个端口：例如22 连续端口：例如2230 多个端口：例如22,2330，一次最多支持20个不连续端口组， 端口组之间不能重复。 全部端口：为空或165535。 TCP 22或2230或20,2230 源地址 在入方向规则中，用来匹配外部请求的源地址，支持以下格式： IP地址 ：表示源地址为某个固定的IP地址。当源地址选择IP地址时，您可以在一个框内同时输入或者粘贴多个IP地址，不同IP地址以“,”隔开。一个IP地址生成一条安全组规则。 单个IP地址：IP地址/掩码。单个IPv4地址示例为192.168.10.10/32；单个IPv6地址示例为2002:50::44/128。 IP网段：IP地址/掩码。IPv4网段示例为192.168.52.0/24；IPv6网段示例为2407:c080:802:469::/64。 所有IP地址：0.0.0.0/0表示匹配所有IPv4地址；::/0表示匹配所有IPv6地址。 安全组 ：表示源地址为另外一个安全组，您可以在下拉列表中，选择同一个区域内的其他安全组。当安全组A内有实例a，安全组B内有实例b，在安全组A的入方向规则中，放通源地址为安全组B的流量，则来自实例b的内网访问请求被允许进入实例a。 IP地址组：表示源地址为一个IP地址组，IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中，选择可用的IP地址组。对于安全策略相同的IP网段和IP地址，此处建议您使用IP地址组简化管理。 IP地址： 192.168.52.0/24，10.0.0.0/24 目的地址 在出方向规则中，用来匹配内部请求的目的地址。支持以下格式： IP地址 ：表示目的地址为某个固定的IP地址。当目的地址选择IP地址时，您可以在一个框内同时输入或者粘贴多个IP地址，不同IP地址以“,”隔开。一个IP地址生成一条安全组规则。 单个IP地址：IP地址/掩码。单个IPv4地址示例为192.168.10.10/32；单个IPv6地址示例为2002:50::44/128。 IP网段：IP地址/掩码。IPv4网段示例为192.168.52.0/24；IPv6网段示例为2407:c080:802:469::/64。 所有IP地址：0.0.0.0/0表示匹配所有IPv4地址；::/0表示匹配所有IPv6地址。 安全组 ：表示源地址为另外一个安全组，您可以在下拉列表中，选择同一个区域内的其他安全组。当安全组A内有实例a，安全组B内有实例b，在安全组A的入方向规则中，放通源地址为安全组B的流量，则来自实例b的内网访问请求被允许进入实例a。 IP地址组 ：表示源地址为一个IP地址组，IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中，选择可用的IP地址组。对于安全策略相同的IP网段和IP地址，此处建议您使用IP地址组简化管理。 IP地址： 192.168.52.0/24，10.0.0.0/24 描述 安全组规则的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“ ”。

本页介绍天翼云TeleDB数据库中强制访问控制。 强制访问是基于自定义的安全策略最终通过标签实现对用户和表的行级安全加密。安全策略(Policy)是等级(Level)和隔离区(Compartment)，组(Group)和标签(Label)的集合，最终通过绑定标签实现行级安全。其实现原理是将表和用户绑定到标签上，再由标签关联等级(必选)，隔离区(可选)和安全组(可选)，形成了一个多级的行级安全加密体系。 安全策略(Policy)：是指创建等级(Level)，隔离区(Compartment)，组(Group)和标签(Label)必须指定所属的安全策略。 等级(Level)：提供第二等级的安全控制，标签必须指定等级。 隔离区(Compartment)：提供第二等级的安全控制，可选。 组(Group)：提供第三等级的安全控制，一种树状的结构，可选。 标签(Label)：最终通过标签绑定体现行级安全。仅当用户被赋予的标签比此行标签有相同或更高等时，该行才可以被用户存取。 注意 分号(:)和逗号(,)保留用于多级安全体系的表达，安全策略中组件的名字不要使用。 在Teledb中，创建安全策略需要通过teledbxmls插件，需要创建插件 SQL CREATE EXTENSION teledbxmls; 安全策略 通过MLSCLSCREATEPOLICY()函数创建安全策略 SQL SELECT MLSCLSCREATEPOLICY(policyname, policyid) 参数描述： policyname(策略名称): 要创建的策略的名称，大小写敏感，不可以空。 policyid(策略ID): 用于标识策略的唯一ID，取值范围[1, 100]。 安全等级(Level) 通过函数MLSCLSCREATELEVEL()函数创建安全等级。 SQL SELECT MLSCLSCREATELEVEL(policyname, levelid, shortname, longname) 参数描述： policyname（策略名称）: 指定要添加安全级别的策略名称，不可以为空。 levelid（级别ID）: 用于标识安全级别的唯一ID，取值范围[0, 32767]。 shortname（名称）: 安全级别的名称，大小写敏感，不可为空，不可以含空格和tabj键。 shortname（名称）: 安全级别的名称，大小写敏感，不可为空，不可以含空格和tabj键。 longname（完整名称）: 安全级别的描述。 通过MLSCLSALTERLEVELDESCRIPTION()函数修改等级的标签描述。 SQL SELECT MLSCLSALTERLEVELDESCRIPTION(policyname, levelid, longname) 安全隔离区(Compartment) 通过MLSCLSCREATECOMPARTMENT()函数创建安全隔离区(Compartment)。 SQL SELECT MLSCLSCREATECOMPARTMENT(policyname, compartmentid, shortname, longname) 参数 描述 ： policyname（策略名称）: 指定要添加安全隔离区的策略名称。 compartmentid（隔离区ID）: 用于标识安全隔离区的唯一ID，取值范围[0, 32767]。 shortname（简称）: 安全隔离区的简称。 longname（完整名称）: 安全隔离区的完整名称。 安全组(Group) 通过MLSCLSCREATEGROUPROOT()函数创建新的安全组根节点（Group Root） SQL SELECT MLSCLSCREATEGROUPROOT(policyname, rootid, shortname, longname) 参数描述： policyname（策略名称）: 指定要创建安全组根节点的策略名称。 rootid（根节点ID）: 用于标识安全组根节点的唯一ID。 shortname（简称）: 安全组根节点的简称。 longname（完整名称）: 安全组根节点的完整名称。 通过MLSCLSCREATEGROUPNODE()函数在数据库中创建新的安全组子节点（Group Node）并将其设置为指定父节点的子节点。 SQL SELECT MLSCLSCREATEGROUPNODE(policyname, childid, shortname, longname, parentshortz) 参数描述： policyname（策略名称）: 指定要创建安全组子节点的策略名称。 childid（子节点ID）: 用于标识安全组子节点的唯一ID。 shortname（简称）: 安全组子节点的简称。 longname（完整名称）: 安全组子节点的完整名称。 parentshortname（父节点简称）: 安全组子节点所属的父节点的简称。 标签(LABEL) 通过MLSCLSCREATELABEL()函数创建或替换MLS 策略的标签（label），并将其存储到数据库中。 SQL SELECT MLSCLSCREATELABEL(policyname, labelid, labelstr) 参数描述： policyname（策略名称）: 指定要添加标签的策略名称。 labelid（标签ID）: 用于标识标签的唯一ID，取值范围[0, 32767]。 labelstr（标签名）: 标签，不可为空，长度不超过256。由 ，其compartmentids和groupids由1到N个ID构成，ID间用,分割。有效的表达形式如下： levelid:compartmentid1,compartmentid2,...compartmentidN:groupid1,groupid2,...groupidN levelid:compartmentid:groupid levelid:compartmentid: levelid::groupid levelid:: 表标签绑定 通过MLSCLSCREATETABLELABEL()函数将指定标签绑定到指定的表(Table)，并将相关数据存储到pgclstable系统表。 SQL SELECT MLSCLSCREATETABLELABEL(policyname labelid, schemaname, tablename) 参数描述： policyname（策略名称）: 指定要应用的策略名称。 labelid（标签ID）: 要应用于表的标签ID，取值范围[0, 32767]。 schemaname（模式名称）: 表所在的模式名。 tablename（表格名称）: 要应用标签的表名。 通过MLSCLSDROPTABLELABEL()函数删除绑定到表上的标签并更新pgclstable系统表数据。 SQL MLSCLSDROPTABLELABEL(policyname, schemaname, tablename) 用户标签绑定/删除 通过MLSCLSCREATEUSERLABEL()函数为指定的用户创建一个带有默认标签的用户账户，并将其存储到 pgclsuser 表中。 SQL SELECT MLSCLSCREATEUSERLABEL(policyname, username name, defreadlabel, defwritelabel, defrowlabel) 参数描述： policyname（策略名称）: 指定要应用的策略名称。 username（用户名）: 要创建标签的用户账户名称。 defreadlabel（默认读标签）: 为用户定义的默认读标签ID。 defwritelabel（默认写标签）: 为用户定义的默认写标签ID。 defrowlabel（默认行标签）: 为用户定义的默认行标签ID。 通过MLSCLSDROPUSERLABEL()函数为指定用户删除标签，并将pgclsuser 表中指定用户的标签删除，且断开指定用户当前所有的数据库连接。 SQL SELECT MLSCLSDROPUSERLABEL(username) 参数描述： username（用户名）: 要删除指定用户标签的用户账户名称。 示例： 初始化环境 SQL c mlsadmin 创建安全策略 select MLSCLSCREATEPOLICY('rlspolicy', 66); 创建安全等级 select MLSCLSCREATELEVEL('rlspolicy', 10, 'defaultlevel', 'default Level'); select MLSCLSCREATELEVEL('rlspolicy', 10, 'userlevel', 'user Level'); select MLSCLSCREATELEVEL('rlspolicy', 9, 'badlevel', 'bad Level'); select MLSCLSCREATELEVEL('rlspolicy', 100, 'goodlevel', 'good Level'); 创建隔离区 select MLSCLSCREATECOMPARTMENT('rlspolicy', 30, 'rlscom0', 'RLS compartment 0'); select MLSCLSCREATECOMPARTMENT('rlspolicy', 31, 'rlscom1', 'RLS compartment 1'); select MLSCLSCREATECOMPARTMENT('rlspolicy', 32, 'rlscom2', 'RLS compartment 2'); 创建安全组 select MLSCLSCREATEGROUPROOT('rlspolicy', 50, 'root', 'group root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 51, 'child1', 'child of root node 1', 'root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 52, 'child2', 'child of root node 2', 'root'); select MLSCLSCREATEGROUPNODE('rlspolicy', 511, 'child11', 'child of child1 node 1', 'child1'); select MLSCLSCREATEGROUPNODE('rlspolicy', 512, 'child12', 'child of child1 node 2', 'child1'); 创建安全标签，此时和安全等级，隔离区以及安全组进行绑定 select MLSCLSCREATELABEL('rlspolicy', 1024, 'defaultlevel:rlscom0:child12'); 将标签绑定到表 alter table public.tbl1 add column cls clsitem default '99:1024'; select MLSCLSCREATETABLELABEL('rlspolicy', 1024, 'public', 'tbl1'); 安全等级 SQL select MLSCLSCREATELABEL('rlspolicy', 1025, 'userlevel::'); select MLSCLSCREATELABEL('rlspolicy', 1026, 'badlevel::'); select MLSCLSCREATELABEL('rlspolicy', 1027, 'goodlevel::'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 1024, 1024, 1024); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 1025, 1025, 1025); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 1026, 1026, 1026); select MLSCLSCREATEUSERLABEL('rlspolicy', 'goodgodlike1', 1027, 1027, 1027); SQL c godlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:1024 2 2 66:1024 3 3 66:1024 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 当前用户不在隔离区，无法看到godlike1用户创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 (3 rows） SQL c badgodlike1 低优先级的用户无法看到高优先级的用户插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ (0 rows) SQL insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 低优先级用户可以看到自己创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 7 7 66:1026 8 8 66:1026 9 9 66:1026 (3 rows) SQL c goodgodlike1 高优先级用户可以看到低优先级用户创建的数据 同时无法看到隔离区的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 (6 rows) SQL insert into public.tbl1 select generateseries(10,12), generateseries(10,12); select from public.tbl1 order by col1; col1 col2 cls ++ 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 10 10 66:1027 11 11 66:1027 12 12 66:1027 (9 rows) SQL c godlike1 高优先级用户可以看到比自己低优先级用户创建的数据 无法看到比自己优先级高的用户创建的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:1024 2 2 66:1024 3 3 66:1024 4 4 66:1025 5 5 66:1025 6 6 66:1025 7 7 66:1026 8 8 66:1026 9 9 66:1026 (9 rows) SQL c commonuser0 select from public.tbl1 order by col1; col1 col2 cls ++ (0 rows) 安全隔离区 SQL c mlsadmin select MLSCLSDROPUSERLABEL('godlike1'); select MLSCLSDROPUSERLABEL('godlike2'); select MLSCLSDROPUSERLABEL('badgodlike1'); select MLSCLSDROPUSERLABEL('goodgodlike1'); 创建安全标签，并绑定隔隔离区 select MLSCLSCREATELABEL('rlspolicy', 2048, 'defaultlevel:rlscom0:'); select MLSCLSCREATELABEL('rlspolicy', 2049, 'defaultlevel:rlscom0,rlscom1,rlscom2:'); select MLSCLSCREATELABEL('rlspolicy', 2050, 'defaultlevel:rlscom1,rlscom2:'); select MLSCLSCREATELABEL('rlspolicy', 2051, 'defaultlevel:rlscom0,rlscom2:'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 2048, 2048, 2048); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 2049, 2049, 2049); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 2050, 2050, 2050); select MLSCLSCREATEUSERLABEL('rlspolicy', 'goodgodlike1', 2051, 2051, 2051); SQL c godlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 当前用户所在隔离区含godlike1用户隔离区，可以看到godlike1的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 4 4 66:2049 5 5 66:2049 6 6 66:2049 (6 rows) SQL c badgodlike1 insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 当前用户所在隔离区无法包含前面用户的隔离区，无法看到他们插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 7 7 66:2050 8 8 66:2050 9 9 66:2050 (3 rows) SQL c goodgodlike1 insert into public.tbl1 select generateseries(10,12), generateseries(10,12); 相同等级，godlike1的隔离区是当前的子集，当前用户可以看到godlike1插入的数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 10 10 66:2051 11 11 66:2051 12 12 66:2051 (6 rows) SQL c godlike2 当前用户含rlscom0,rlscom1,rlscom2三个隔离区可以看到之前插入的所有数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:2048 2 2 66:2048 3 3 66:2048 4 4 66:2049 5 5 66:2049 6 6 66:2049 7 7 66:2050 8 8 66:2050 9 9 66:2050 10 10 66:2051 11 11 66:2051 12 12 66:2051 (12 rows) 安全组 SQL c mlsadmin select MLSCLSDROPUSERLABEL('godlike1'); select MLSCLSDROPUSERLABEL('godlike2'); select MLSCLSDROPUSERLABEL('badgodlike1'); select MLSCLSDROPUSERLABEL('goodgodlike1'); 创建安全标签，并绑定用户组 select MLSCLSCREATELABEL('rlspolicy', 4096, 'defaultlevel:rlscom0:root'); select MLSCLSCREATELABEL('rlspolicy', 4097, 'defaultlevel:rlscom0:child1'); select MLSCLSCREATELABEL('rlspolicy', 4098, 'defaultlevel:rlscom0:child11,child12'); 将标签绑定到用户 select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike1', 4096, 4096, 4096); select MLSCLSCREATEUSERLABEL('rlspolicy', 'godlike2', 4097, 4097, 4097); select MLSCLSCREATEUSERLABEL('rlspolicy', 'badgodlike1', 4098, 4098, 4098); SQL c badgodlike1 insert into public.tbl1 select generateseries(1,3), generateseries(1,3); select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 (3 rows) SQL c godlike2 insert into public.tbl1 select generateseries(4,6), generateseries(4,6); 安全组根节点可以看到子节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 4 4 66:4097 5 5 66:4097 6 6 66:4097 (6 rows) SQL c godlike1 insert into public.tbl1 select generateseries(7,9), generateseries(7,9); 安全组根节点可以看到所有子节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 4 4 66:4097 5 5 66:4097 6 6 66:4097 7 7 66:4096 8 8 66:4096 9 9 66:4096 (9 rows) SQL c badgodlike1 子节点 无法看到根节点数据 select from public.tbl1 order by col1; col1 col2 cls ++ 1 1 66:4098 2 2 66:4098 3 3 66:4098 (3 rows)

功能 描述 认证&授权 双因子认证 内置手机APP认证（谷歌动态口令验证）、OTP动态令牌、USBkey双因素认证引擎。 提供短信认证、AD、LDAP、RADIUS认证接口。 支持多种认证方式组合。 认证&授权 权限管理 系统预置多种用户角色：超级管理员、部门管理员、运维管理员、审计管理员、运维员、审计员、系统管理员和密码管理员。 每种用户角色的权限均不同，且可自定义用户角色。 认证&授权 集中授权 梳理用户与主机之间关系，提供一对一、一对多、多对一、多对多的灵活授权模式。 认证&授权 单点登录 托管主机的帐户和密码，运维人员直接点击“登录”即可成功自动登录到目标主机中进行运维操作，无需输入主机的帐户和密码。 认证&授权 自动学习 运维人员通过堡垒机成功登录目标主机后即可自动录入主机信息，减轻管理员配置主机信息、用户与主机关系的工作量。 运维&审计 运维协议支持 支持管理Linux/Unix服务器、Windows服务器、网络设备（如思科/H3C/华为等）、文件服务器、Web系统、数据库服务器、虚拟服务器、远程管理服务器等。 兼容Xshell、XFTP、SecureCRT、MSTSC、VNC Viewer、PuTTY、WinSCP、FlashFXP、SecureFX等多种客户端工具。 运维&审计 统一审计 对所有操作进行详细记录，提供综合查询；审计日志可在线或离线播放，自动备份归档。 审计内容包括图形、字符、文件、应用、SQL语句等会话及应用会话。 运维&审计 浏览器客户端运维 基于H5技术实现浏览器客户端运维，无需安装本地工具，直接通过浏览器打开运维界面。 支持通过SSH、Telnet、Rlogin、RDP、VNC协议的Web客户端运维。 运维&审计 文件传输审计 记录所有操作会话，包括在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容。 完整备份传输文件，为上传恶意文件、拖库、窃取数据等危险行为提供查询依据。 运维&审计 自动运维 实现自动化的运维任务并将执行结果通知相关人员。 运维&审计 资产管理 支持主机、主机组、混合云、帐号、帐号组、应用等多种资产类型。 运维&审计 命令控制 集中命令控制基于不同主机、不同用户设置不同的命令控制策略，包括命令阻断、命令黑名单、命令白名单、命令审核四种动作。 运维&审计 工单流程 运维人员向管理员申请需要访问的设备，选择条件包括设备IP、设备帐户、运维有效期、备注事由等，运维工单以邮件方式通知管理员。 其他 系统自审 对系统自身变化信息进行审计，形成系统分析报表。 其他 冗余架构 结合端口聚合技术、RAID技术和HA技术，实现三重冗余备份的高可用架构。 其他 API接口 提供用户、资产、授权的增删改查等API接口。 允许第三方平台调用API接口，实现用户、资产、权限自动同步。

此小节介绍云堡垒机的运维任务。 支持分步骤同时对多个SSH协议资源批量执行多种运维操作，可同时运维操作包括执行命令、执行脚本、传输文件。 新建运维任务 云堡垒机支持自动运维任务功能，用户可按步骤自动执行命令和脚本方式运维多个目标资源，并可设置自动执行步骤将系统磁盘文件或本地文件快速上传到多个目标主机路径。此外，可设置执行周期和时间定期执行任务，并可同时执行多种任务步骤类型，实现多台资源设备自动化运维，提高运维效率。 运维任务执行后，按照步骤顺序依次自动执行操作，并返回执行结果。 约束限制 仅专业版云堡垒机支持快速运维功能。 仅支持对Linux主机（SSH协议类型）资源执行自动运维任务。 暂不支持对Windows主机资源、数据库资源和应用资源执行自动运维任务。 运维任务仅能由个人帐户管理，不能被系统内其他用户管理。 前提条件 已获取“运维任务”模块管理权限。 已获取资源访问控制权限，即已配置访问控制策略或访问授权工单已审批通过。 资源主机网络连接正常。 操作步骤 1 登录云堡垒机系统。 2 选择“运维 > 运维任务 > 任务列表”，进入运维任务列表页面。 3 单击“新建”，弹出新建运维任务窗口。 4 配置任务基本信息。 运维任务基本信息参数说明 参数 说明 :: 任务名称 自定义的运维任务名称，系统内“任务名称”不能重复。 执行方式 选择运维任务执行的方式，包括“手动执行”、“定时执行”、“周期执行”。 “定时执行”和“周期执行”需同时配置动作执行时间或周期。 手动执行：手动触发执行任务。 定时执行：定期自动触发执行任务。仅执行一次。 周期执行：周期自动触发执行任务。可按周期执行多次。 执行时间 定期执行任务的日期。默认执行时刻为日期的凌晨零点。 执行周期 执行周期同步，需输入任务执行周期。 可选择每分钟、每小时、每天、每周、每月。 需同时选择“结束时间”，否则将无限期按周期执行任务。 更多选项 （可选）用户对资源账户执行任务权限不够时，需勾选上“提权执行”，用户需在该主机资源的Sudoers文件下执行任务。 任务描述 简要描述运维任务信息。 5 单击“下一步”，配置执行帐户或帐户组，选择已创建的SSH协议类型资源账户或帐户组。 配置执行资源账户 6 单击“下一步”，配置任务步骤。 单击“添加任务步骤”，选择添加任务类型“执行命令”、“执行脚本”或“传输文件”。 选择一个或多个任务类型，并配置任务参数。 运维任务步骤数不限制，一个任务可添加多个执行步骤。 7 单击“确定”，返回任务列表页面，查看新建的运维任务。 任务执行完成后，可以下载执行日志，获取任务执行结果。

本小节介绍服务器安全卫士的功能使用。 Agent安装完成后，您可使用服务器安全卫士相关功能。 1.您可以在资产清点页面，查看对应操作系统服务器资产清点信息，包括：账号、进程、端口、web服务、数据库等信息。 2.您可以在风险发现总览界面，查看您 服务器风险概览情况 ，包括风险项统计、风险分布、风险趋势等。 3.您可以在风险发现下， 使用安全补丁、漏洞检测、弱密码检查、应用风险、系统风险、账号风险功能 。支持从风险维度和主机维度两种视图下，查看风险信息。 安全补丁：对安全补丁进行周期性自动检测，提供详细补丁说明和修复方案。 漏洞检测：精准本地分析漏洞，包含精准POC探测和版本漏洞探测；支持CVSS等漏洞信息详细描述，支持漏洞修复影响检查；提供命令级漏洞修复建议。 弱密码检查：弱口令自动检测，自动匹配账号名相关易猜解密码，支持弱口令字典自定义。 应用风险：检测Linux关键攻击路径上常用应用的配置型风险。 系统风险：检测linux上由于系统配置的产生的安全风险 账号风险：检测linux系统中的由于账号的配置产生的安全风险。 4.您可以在入侵检测下， 使用暴力破解、异常登录、反弹shell、本地提权、后门检测、Web后门、可疑操作、Web命令执行功能 。 暴力破解：实时监控主机上发生的爆破行为，并提供封停爆破来源IP的能力，支持自动封停和手动封停，可设置白名单。 异常登录：实时异常登录监控，发现异常IP、区域、时间等的异常登录，在使用前，必须先设置正常登录规则，否则异常登录功能不起作用，无法进行监控。支持封停和解封。 反弹shell：实时监控主机上反向连接的行为，并提供详细的攻击记录，支持设置白名单规则，支持对反弹shell行为进行阻断。 本地提权：支持实时进程提权监测，支持进程提权过程详细记录。 后门检测：精准发现系统内后门程序，提供详细后门程序分析报告与修复建议。 Web后门：多维度Web后门识别，支持规则匹配、相似度匹配、沙箱检测、模式分析引擎检测等多种机制检测，具备实时监测能力。 可疑操作：实时对Bash命令进行审计，发现可疑的黑客操作，支持自定义审计规则 Web命令执行：能够发现Web RCE和进程异常的执行事件 5.您可以在病毒查杀下， 设置查杀引擎和处置方式 ，支持对单台或多台服务器产生的病毒进行自动处置和手动处置。 6.您可以在合规基线下，根据等保、CIS的基线要求 设置基线检查任务 ，支持定时检查，可导出检查结果。

本文介绍云主机错误状态及解决方案。 一、引言 随着云计算技术的快速发展，云主机已经成为企业、个人和开发者们进行互联网应用的首选。然而，使用云主机的过程并非完全顺利，可能会遇到各种错误状态。本文将详细探讨云主机错误状态的类型、原因以及解决方案，帮助用户更好地管理和维护自己的云主机。 二、云主机错误状态类型 1. 网络错误。 网络错误是云主机使用过程中最常见的错误类型之一。网络错误可能包括网络连接超时、无法连接到远程云主机或网络连接中断等。这些错误通常是由于网络配置问题、网络设备故障或网络拥堵等原因引起的。 2. 云主机错误。 云主机错误通常包括云主机启动失败、运行异常、过载等。这类错误可能是由于云主机硬件故障、软件问题、操作系统故障或云主机资源不足等原因引起的。 3. 应用程序错误。 应用程序错误是指运行在云主机上的应用程序出现错误。这类错误可能包括应用程序崩溃、运行缓慢、内存泄漏等。这些错误可能是由于应用程序本身的问题，如代码错误、不兼容性或配置问题等引起的。 4. 安全错误。 安全错误是指与安全相关的错误，如身份验证失败、权限问题或安全策略冲突等。这些错误可能是由于用户名或密码错误、权限配置错误或安全策略设置不当等原因引起的。 三、云主机错误状态原因分析 1. 网络问题。 网络问题可能是由于网络设备故障、网络连接问题或网络配置不当等原因引起的。例如，如果云主机的网络设备出现故障，或者网络连接被中断，那么就会出现网络错误。此外，如果网络配置不正确，例如DNS解析不正确，也可能会导致无法连接到远程云主机。 2. 云主机硬件故障。 云主机硬件故障可能是由于云主机硬件设备出现故障或云主机资源不足等原因引起的。例如，如果云主机的硬盘出现故障，那么云主机可能无法启动或运行异常。此外，如果云主机的资源不足，例如内存不足或CPU过载，也可能会导致云主机运行异常。 3. 应用程序问题。 应用程序问题可能是由于应用程序本身的问题，如代码错误、不兼容性或配置问题等引起的。例如，如果应用程序的代码存在错误，那么应用程序可能无法正常运行。此外，如果应用程序的配置不正确，例如数据库连接不正确或文件路径错误，也可能会导致应用程序运行异常。 4. 安全问题。 安全问题可能是由于身份验证失败、权限问题或安全策略冲突等原因引起的。例如，如果用户名或密码不正确，那么身份验证可能会失败。此外，如果权限配置不正确，例如权限设置过于宽松或过于严格，也可能会导致权限问题。另外，如果安全策略设置不当，例如过于宽松的安全策略或过于严格的安全策略，也可能会导致安全问题。

本节介绍如何安装混合备份客户端。 操作场景 混合备份通过客户端提供备份服务。备份操作前，需要在备份目标机器中安装客户端，可在控制台进行客户端安装操作。 约束与限制 操作系统限制：支持Windows7/10/11系列、Windows Server 2008/2012/2016/2019/2022系列、Ubuntu16/18/20系列、Centos6/7/8系列、统信UOS20、银河麒麟V10、阿里龙蜥8、其他通用Linux系列64位操作系统。 由于云备份服务需要与存储库端网络可达，请在目标机器端放行880、8888、8899端口。 备份目标机器必须处于开机状态，与存储库端网络可达。 每个目标机器仅允许安装一个客户端。若想更新客户端至最新版本，可以升级客户端。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角点击，选择地域，此处选择华东华东1。 3. 选择“存储>云备份>混合备份（存储版）”，进入“主机列表”页签，点击“下载客户端”按钮，根据目标机器的CPU架构和操作系统选择对应的和客户端类型。 4. 若选择Windows类型 1. 选择存储库和网络传输方式。 1. 若选择公网方式，无需填写对应IP。 2. 若选择非公网方式，需先创建连接备份服务（华东1的备份服务实例ID为endpseryanvu0zc7z）的终端节点VPCE，创建好终端节点后在下载备份客户端界面填写终端节点IP地址。 2. 点击“下载”按钮，并将安装包拷贝到对应备份主机上。 3. 解压安装包，得到app.config文件和exe安装程序。 4. 确保解压出的两个文件在同级目录下，以管理员权限运行exe安装程序。 5. 选择安装路径，默认安装路径为：“C:Program Filesxclient”。 6. 点击下一步，等待安装完成，安装成功后，在“主机列表”页签中，查看目标机器为“在线”状态，即可为目标机器进行不同类型的数据备份。 5. 若选择Linux类型（Ubuntu、CentOS、统信、银河麒麟、阿里龙蜥、通用Linux） 1. 选择存储库和网络传输方式。 1. 若选择公网方式，无需填写对应IP。 2. 若选择非公网方式，需先创建连接备份服务（华东1的备份服务实例ID为endpseryanvu0zc7z）的终端节点VPCE，创建好终端节点后在下载备份客户端界面填写终端节点IP地址。 2. 点击“生成脚本”按钮，复制下载命令到对应备份主机上执行，获取客户端安装脚本。 3. 选择系统账户（备份oracle数据库时需要选择oracle账户，其他备份选择系统账户），点击“复制在线脚本”或“复制离线脚本”。 4. 在对应备份主机上执行上一步的脚本，等待客户端安装完成，安装成功后，在“主机列表”页签中，查看目标机器为“在线”状态，即可为目标机器进行不同类型的数据备份。

本文为您介绍轻量型云主机对云硬盘的支持情况。 云硬盘 云硬盘是一种可弹性扩展的块存储设备，可以为计算产品提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。用户可以在线操作及管理云硬盘，并可以像使用传统服务器硬盘一样，对挂载到云主机的云硬盘做格式化、创建文件系统等操作。 云硬盘类型 云硬盘性能的主要指标包括： IOPS：云硬盘每秒进行读写的操作次数。 吞吐量：云硬盘每秒成功传送的数据量，即读取和写入的数据量。 IO读写时延：云硬盘处理一个读写IO需要的时间。 目前，轻量型云主机系统盘提供高IO类型的云硬盘，数据盘支持普通IO、高IO、通用SSD、超高IO高类型的云硬盘。各种类型的云盘性能如下，详情可查看磁盘类型及性能介绍。 参数 超高IO 通用型SSD 高IO 普通IO 单个云盘最大IOPS 50,000 20,000 5,000 2,000 单盘IOPS性能计算公式（基准性能），公式中容量单位为GB min{1,800+50×容量，50,000} min{1,500+8×容量，20,000} min{1,800+8×容量，5,000} min{300+2×容量，2,000} IOPS突发上限 16,000 8,000 5,000 2,000 单盘最大吞吐量 350 250 200 150 单盘吞吐量计算公式（基准性能，MB/s），公式中容量单位为GB min{120+0.5×容量，350} min{100+0.5×容量，250} min{130+0.1×容量，200} min{100+0.1×容量，150} 单队列平均访问时延（ms），Block Size4K 1 1 1~3 5~10 说明 1. 超高IO最大IOPS为50,000的资源池为：华东1、上海36、青岛20、武汉41、南宁23、华北2、南昌5、西南1、华南2、西安7、太原4、郑州5、西南2贵州、杭州7、长沙42（可用区1）。其他资源池支持的最大IOPS为33,000，单个云硬盘IOPS计算公式为：min{1,800+30×容量，33,000}。 2. 单个云硬盘的最大IOPS、IOPS突发上限、单个云硬盘的最大吞吐量三个参数的值均为读写总和。比如最大IOPSIOPS读+IOPS写。 3. 以单个超高IO云硬盘吞吐量计算公式为例说明：起步120MB/s，每GB增加0.5MB/s，上限为350MB/s。 4. 以单个通用型SSD云硬盘IOPS计算公式为例说明：起步1,500，每GB增加8，上限为20,000。 5. 单队列访问时延：单队列指队列深度为1，即并发度为1。表中时延指所有IO请求串行处理时IO的时延，表格中数据是4KB数据块能达到的时延。云硬盘性能测试方法请参见 6. 通用型SSD、超高IO云硬盘挂载至小规格的轻量云主机（如1vCPU、2vCPU等）时，磁盘性能可能会受到影响。

参数 参数说明 云存储类型 云硬盘：云硬盘的使用方式与传统服务器硬盘完全一致。同时，云硬盘具有更高的数据可靠性，更高的I/O吞吐能力和更加简单易用等特点，适用于文件系统、数据库或者其他需要块存储设备的系统软件或工作负载。 注意 如需挂载云硬盘，创建工作负载时的实例数量必须选择为1个实例，即单实例，选择多实例后挂载云硬盘的选项将置灰，无法挂载。 创建有状态工作负载并添加云存储时，云硬盘暂不支持使用已有存储。 云硬盘不支持跨可用区挂载，且暂时不支持被多个工作负载、同一个工作负载的多个实例或多个任务使用。 分配方式 使用已有存储 选择已创建的存储，您需要提前创建好存储。 针对同一集群和命名空间，创建无状态工作负载时可以选择“使用已有存储”。 创建有状态工作负载时暂不支持选择“使用已有存储”，只能使用“自动分配存储”。 自动分配存储 选择自动分配存储后，需要配置如下选项： 1. 访问模式：是用来对PV进行访问模式的设置，用于描述用户应用对存储资源的访问权限。 ReadWriteOnce (RWO)： 基于云硬盘非共享卷提供容器负载单Pod单独单写块存储的功能，但是该卷只能被单个节点挂载。v1.13.10r1开始支持RWO模式的存储卷。 ReadWriteMany (RWX)： 基于云硬盘共享卷提供容器负载访问块存储的功能。由于容器侧不支持跨节点的共享卷读写一致性能力，在老集群（<1.15.6）下受限使用（需要确保单负载单实例单独单写），1.15开始只支持创建和使用RWO模式的非共享卷 2. 可用区：存储所在的可用区，自动分配存储仅支持Node节点所在可用区。 3. 子类型：选择存储的子类型。 高I/O：指由SAS存储介质构成的云硬盘。 普通I/O：指由SATA存储介质构成的云硬盘。 超高I/O：指由SSD存储介质构成的云硬盘。 4. 存储容量：输入存储容量，单位为GB。请不要超过存储容量配额，否则会创建失败。 添加容器挂载 1. 单击“添加容器挂载”。 2. 挂载路径：输入数据卷挂载到容器上的路径。 须知 请不要挂载在系统目录下，如“ / ”、“ /var/run” 等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 设置权限。 只读：只能读容器路径中的数据卷。 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失。

本文主要介绍云硬盘服务支持审计的关键操作 云硬盘服务（Elastic Volume Service，以下简称EVS）是一种基于分布式架构的，可弹性扩展的虚拟块存储设备。您可以在线进行操作，使用方式与传统服务器硬盘完全一致。同时，云硬盘具有更高的数据可靠性，更高的I/O吞吐能力和更加简单易用等特点，适用于文件系统、数据库或者其他需要块存储设备的系统软件或应用。 通过云审计服务，您可以记录与云硬盘相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的EVS操作列表 操作名称 资源类型 事件名称 创建磁盘 evs createVolume 更新磁盘 evs updateVolume 扩容磁盘 evs extendVolume 删除磁盘 evs deleteVolume 说明 表2中EVS的操作，为底层（OpenStack）服务触发；部分事件名称与表1重复，是因为这些事件采用了异步调用的模式：操作下发会产生上表中描述的事件，而操作结果响应会产生表1中描述的事件。 表 云审计服务支持的EVS操作列表（由底层服务触发） 操作名称 资源类型 事件名称 创建卷 volumes createVolumes 创建type types createTypes 创建快照 snapshots createSnapshots 创建备份 backups createBackups 创建一致性组 consistencygroups createConsistencygroups 创建快照一致性组 cgsnapshots createCgsnapshots 创建qosspecs qosspecs createQosspecs 创建卷传递 osvolumetransfer createOsvolumetransfer 添加卷快照的元数据 snapshots createSnapshotsMetadata 添加卷的元数据 volumes createVolumesMetadata 为卷类型创建新的扩展参数 types createTypesExtraspecs 导入卷备份记录信息 backups createBackupsImportrecord 恢复卷备份 backups createBackupsRestore 强制删除卷 volumes volumesOsforcedelete 挂载卷 volumes volumesOsattach 卸载卷 volumes volumesOsdetach 保留卷 volumes volumesOsreserve 预卸载卷 volumes volumesOsbegindetaching 回滚预卸载卷 volumes volumesOsrolldetaching 挂卷初始化连接 volumes volumesOsinitializeconnection 卸卷断开连接 volumes volumesOsterminateconnection 卷上传镜像 volumes volumesOsvolumeuploadimage 扩容卷 volumes volumesOsextend 取消保留卷 volumes volumesOsunreserve 设置为为只读 volumes volumesOsupdatereadonlyflag 更改卷的卷类型 volumes volumesOsretype 设置卷为可启动卷 volumes volumesOssetbootable 强制删除快照 snapshots volumesOsforcedelete 删除卷 volumes deleteVolumes 删除类型 types deleteTypes 删除卷快照 snapshots deleteSnapshots 删除备份 backups deleteBackups 删除卷快照的单个元数据 snapshots deleteSnapshotsSingleMetadata 删除一致性组 consistencygroups createConsistencygroupsDelete 删除快照一致性组 cgsnapshots deleteCgsnapshots 删除qosspecs qosspecs deleteQosspecs 删除卷传递过程 osvolumetransfer deleteOsvolumetransfer 删除卷的单个元数据 volumes deleteVolumesSingleMetadata 更新快照信息 snapshots updateSnapshots 更新卷 volumes updateVolumes 更新租户的配额信息 osquotasets updateOsquotasets 更新租户的配额等级 osquotaclasssets updateOsquotaclasssets 替换卷快照的元数据 snapshots updateSnapshotsMetadata 替换卷的元数据 volumes updateVolumesMetadata 更新一致性组 consistencygroups updateConsistencygroupsUpdate 更新卷的单个元数据 volumes updateVolumesSingleMetadata 更新卷快照的单个元数据 snapshots updateSnapshotsSingleMetadata

DRDS系统策略 DRDS默认提供两种系统策略供用户选择，策略仅包括数据库管理控制台内的相关功能权限，涉及订单下单等非管理控制台的权限还需进行相应的权限配置。DRDS的两种默认策略分别是管理员策略（DRDS admin），浏览者策略（DRDS viewer），两种策略的权限模型具体如下： 功能模块 权限名称 drds admin drds viewer 实例管理 DRDS查询实例节点 Y Y 实例管理 DRDS查看节点日志 Y Y 实例管理 DRDS检测节点运行状态 Y Y 实例管理 DRDS启动节点 Y 实例管理 DRDS重启节点 Y 实例管理 DRDS停止节点 Y 实例管理 DRDS设置节点属性 Y 实例管理 DRDS查询实例分组 Y Y 用户管理 DRDS查询实例用户列表 Y Y 用户管理 DRDS添加实例用户 Y 用户管理 DRDS编辑实例用户 Y 用户管理 DRDS修改实例用户密码 Y 用户管理 DRDS删除实例用户 Y 用户管理 DRDS查询用户关联的角色 Y Y 用户管理 DRDS添加用户关联的角色 Y 用户管理 DRDS修改用户关联的角色 Y 用户管理 DRDS删除用户关联的角色 Y 用户管理 DRDS查询用户权限 Y Y 用户管理 DRDS添加用户权限 Y 用户管理 DRDS修改用户权限 Y 用户管理 DRDS删除用户权限 Y 用户管理 DRDS获取所有用户密码策略列表 Y Y 用户管理 DRDS获取用户的分组权限 Y Y 角色管理 DRDS新增角色权限 Y 角色管理 DRDS删除角色权限 Y 角色管理 DRDS修改角色权限 Y 角色管理 DRDS查询角色权限 Y Y 角色管理 DRDS新增角色 Y 角色管理 DRDS修改角色 Y 角色管理 DRDS删除角色 Y 角色管理 DRDS查询角色 Y Y schema管理 DRDS获取集群所有的分组权限 Y Y schema管理 DRDS查询分组属性和schema属性 Y Y schema管理 DRDS设置分组属性值和schema属性值 Y schema管理 DRDS查询Schema列表 Y Y schema管理 DRDS获取Schema各种类型的表的数量 Y Y schema管理 DRDS查询Schema基本信息 Y Y schema管理 DRDS创建前检测Schema Y Y schema管理 DRDS创建Schema Y schema管理 DRDS删除Schema Y schema管理 DRDS导出Schema脚本 Y Y schema管理 DRDS查询schema分片 Y Y schema管理 DRDS查询全局序列列表 Y Y schema管理 DRDS新增全局序列 Y schema管理 DRDS修改当前序列值 Y schema管理 DRDS批量删除序列 Y schema管理 DRDS查看序列DDL语句 Y Y schema管理 DRDS查询schema库表 Y Y schema管理 DRDS创建schema库表 Y schema管理 DRDS删除schema库表 Y schema管理 DRDS验证建表DDL语句 Y Y schema管理 DRDS查看schemaDDL语句 Y Y schema管理 DRDS查询库表公共字段 Y Y schema管理 DRDS设置分片规则 Y schema管理 DRDS查询schema所有已设置分片规则的库表 Y Y schema管理 DRDS查看库表详情 Y Y schema管理 DRDS查询所有分片算法 Y Y 分组管理 DRDS查询DML审计规则 Y Y 分组管理 DRDS新增DML审计规则 Y 分组管理 DRDS更新DML审计规则 Y 分组管理 DRDS删除DML审计规则 Y 分组管理 DRDS查询DML审计日志 Y Y DDL审计 DRDS查询DDL审计规则 Y Y DDL审计 DRDS更新DDL审计规则 Y DDL审计 DRDS查询DDL审计日志 Y Y 分组管理 DRDS查询属性分组信息 Y Y 监控 DRDS查询实例TPS Y Y 监控 DRDS查询实例CPU Y Y 监控 DRDS查询实例前端连接 Y Y 监控 DRDS查询实例后端连接 Y Y 监控 DRDS查询语句执行情况 Y Y 统计分析 DRDS获取分片表统计数据 Y Y 统计分析 DRDS获取SQL执行统计数据 Y Y 统计分析 DRDS获取慢SQL统计数据 Y Y 统计分析 DRDS获取总SQL数 Y Y 统计分析 DRDS获取解释SQL语句 Y Y 统计分析 DRDS获取事务统计图表数据 Y Y 说明 上述表格进包含部分重要权限，如需查看全部权限请访问IAM平台。

本页介绍天翼云TeleDB数据库备份恢复相关操作。 操作场景 备份恢复包括了备份机管理和备份管理相关操作。 备份机管理是指通过管理平台进行发布，启动，停止，重启，删除操作对备份机进程进行管理。 备份管理是指包含了全量备份，日志备份，数据恢复，任务列表等操作。 操作步骤 1. 登录TelePG控制台。 2. 在左侧导航树上单击实例列表，进入实例详情页面。 3. 将当前实例切换至目标实例，单击备份恢复 页签。 4. 在备份恢复页签，您可创建备份、修改备份策略、恢复到指定时间点和绑定备份机。 5. 创建备份 1. 单击创建备份 页签，出现创建备份 对话框。 2. 在创建备份对话框，填写备份名称 和描述 ，单击确定 ，完成创建备份。 6. 修改备份策略 1. 单击修改备份策略 页签，出现修改备份策略对话框。 2. 在备份策略对话框填写基本信息。 参数 说明 开启备份 您可根据业务需求选择开启或关闭。 备份周期 您可根据业务需求选择星期一、星期二、星期三、星期四、星期五、星期六和星期天。 备份开始时间 您可根据业务需求选择备份开始时间。 全量备份保留 您可根据业务需求选择全量备份天数。 日志备份 您可根据业务需求选择开启或关闭。 日志备份保留 您可根据业务需求选择日志备份保留天数。 3. 确认信息无误后，单击确定 完成修改备份策略。 注意 如果开启增量备份，那么WAL日志的保留时长必须大于全量备份的保留时长，避免无法恢复到指定的时间点。开关默认关闭，如果需要使用自动备份清理的功能，请及时开启。 7. 恢复到指定时间点 1. 单击恢复到指定时间点 页签，出现恢复到指定时间点对话框。 2. 在恢复到指定时间点 对话框，选择恢复的时间点 、在目标实例下拉框选择需要恢复的目标实例 。 3. 单击确定 ，即可恢复到指定的时间点。系统会根据恢复的时间点拷贝最相近的全量备份数据，再将相关的WAL日志拷贝到目标实例。 注意 目前只支持恢复到其他实例，不支持恢复到本实例。目标实例最终的实例配置文件包括postgresql.conf,pghba.conf等是不会改变的。 8. 绑定备份机 1. 单击绑定备份机 页签，出现绑定备份机 对话框。 2. 在绑定备份机 对话框，绑定新备份机下拉框选择新备份机 。 3. 确认信息无误后，单击确定 ，实例的备份数据包括全量数据以及WAL日志数据都将保存到备份机指定的data目录中。 9. 恢复实例 1. 单击目标实例所在行的恢复 ，出现恢复备份对话框。 2. 在恢复备份对话框的目标实例下拉框选择需恢复的实例。 3. 确认信息无误后，单击确定 完成恢复实例。 注意 目前只支持恢复到其他实例，不支持恢复到本实例。 10. 复制实例 1. 单击目标实例所在行的复制 ，出现复制备份 对话框。 2. 在复制备份对话框，填写备份名称 和描述 ，确认信息无误后，单击确定 完成复制备份。 3. 通过复制实例可手动创建所选备份的一个副本，备份名称默认为原有备份名称backup,备份类型为手动 ，手动的备份，不会被自动清理。 11. 删除实例 1. 单击目标实例所在行的删除 ，出现删除备份对话框。 2. 单击确定 ，即可删除备份。 3. 通过删除实例可手动删除，备份类型为手动 或者状态异常 的备份数据。

该任务用于指导用户完成实例服务器初始化及实例开通。 前提条件 每台主机均已进行环境初始化。 操作步骤 1. 以用户名和密码登录TeleDB控制台。 2. 创建实例开通租户用户 1. 将鼠标置于分布式数据库TeleDB控制台右上角头像图标，在出现的下拉框，选择系统管理，进入租户列表页面。 2. 在租户列表页面，单击创建租户 ，出现新增租户对话框。 3. 在新增租户 对话框，填写租户名称 、租户编码 和租户描述 ，单击确定完成创建租户。 租户名称：必选，可自定义，根据业务需求填写。 租户编码：必选，可自定义，根据业务需求填写。 租户描述：可选，根据业务需求填写。 4. 您可单击目标租户所在行操作列编辑，修改租户信息。 5. 您可单击目标租户所在行操作列删除，删除租户。 3. 添加服务器 1. 切换至实例管理页面，在左侧导航树选择资源管理 > 服务器管理，进入服务器管理页面。 2. 在服务器管理页面，单击添加服务器 ，出现新增服务器对话框。 3. 在新增服务器对话框，根据下表填写基本信息，单击测试连通及硬件检测 ，若出现绿色标识，单击确定，完成服务器添加。 参数名称 说明 服务器IP地址 根据部署规划填写。 SSH账号 根据实际情况填写。 SSH密码 根据实际情况填写。 SSH端口 根据部署规划填写，确保端口不被占用。 是否创建teledb用户 根据业务需求勾选是或否。 用户home目录 根据部署规划填写。 是否安装agent 根据业务需求勾选是或否。 服务器管理进程端口 根据部署规划填写，确保端口不被占用。 操作系统 根据实际情况选择。 CPU架构 根据实际情况选择。 磁盘数据目录 根基业务需求填写。 4. 新建资源模板 1. 在左侧导航树选择资源管理> 资源模板，进入资源模板页面。 2. 在资源模板页面，单击新建模板，出现新建模板对话框。 3. 在新建模板对话框，填写如下信息，单击确定，完成新建模板创建。 模板名称：必填，可自定义。 CPU核数（核）：必填，可根据业务需求填写。 内存容量（GB）：必填，可根据业务需求填写。 磁盘容量（GB）：必填，可根据业务需求填写。 模板描述：选填，可根据实际情况填写。 4. 你可单击目标资源模板所在行的编辑，修改资源模板。 5. 你可单击目标资源模板所在行的删除，删除资源模板。 5. 导入软件包 1. 在左侧导航树选择资源管理> 软件包管理，进入软件包管理页面。 2. 在软件包管理页面，单击添加软件包，出现添加软件包对话框。 3. 在添加软件包 对话框，选择包类型，单击点击上传 ，选择已准备好的软件包上传。输入软件包MD5值 ，单击确定，完成软件包添加。 说明 上传文件的文件名请遵循teledbx{版本号}{数据块大小}.{cpu架构}.tar.gz格式，其中数据块大小：8k,16k,32k;cpu架构：x8664x86架构，aarcharm架构。 您可执行md5sum 软件包名命令查找MD5。 6. 实例开通 1. 在左侧导航树选择实例列表 ，进入实例列表页面，单击创建实例，进入基本信息页面。 2. 参考下表，您可根据业务需求填写基本信息。 参数名称 说明 实例名称 自定义，可根据业务需求填写。 实例系列 默认基础版，不可选择。 协调节点组数 可根据业务需求填写。 数据节点组数 您可根据业务需求填写。 实例规格 您可根据业务需求选择。 软件包 根据业务实际需求选择软件包。 主备复制模式 您可根据业务需求选择如下几种模式： 同Region全异步 同Region全同步 同Region Any1 同Region Any2 同Region First1 同Region First2 字符集 您可根据业务需求选择如下几种字符集： UTF8 LATIN1 EUCCN SQLASCII 3. 单击下一步，进入主机选择页面。 4. 在主机选择页面，根据业务需求，选择GTM节点的主节点和备节点、协调节点的主节点或备节点或VIP、数据节点的主节点和备节点，单击提交，跳转到实例列表页面，查看任务状态。 5. 当状态显示为运行中，则实例成功开通。

本文主要介绍计费方式 1、计费项 数据库复制服务从配置和数据传输两个方面收取费用，其中数据传输费为公网访问产生的数据流量费，云内网络产生的流量不进行计费。 2、收费方式 （1）预存后付费方式：提前充值现金到天翼云账户中，现金账户余额不低于100元，之后系统按照用户实际使用量进行结算。 （2）计费周期：按小时计费，以自然小时为计费单位（均以北京时间为准），不满一小时按照一小时计费。费用从用户账户现金余额中扣费。开通时间建议整点开通，开通不足一个自然小时，按一小时收费。提前删除也按照自然小时收费。 3、计费样例 以下均以北京2的MySQL全量+增量实时迁移为例进行说明。 • 场景一：免费期内入云迁移 客户A在20211201 8:00启动入云迁移，并于20211203 12:00结束任务，使用时间未超过一周，不收取费用。 • 场景二：超过免费期入云迁移 客户A在20211128 8:00启动入云迁移，并于20211206 12:00结束任务。则截止20211205 8：00为免费期，从20211205 8：00到结束任务期间按照配置费用每小时2.4元收费。 • 场景三：出云迁移 客户A使用公网网络在20211228 8:00启动出云迁移，并于20211230 8:00结束任务，DRS迁移出云100GB数据。则由启动任务到结束任务，按照每小时2.4元收取配置费用，即配置费用为2天24小时2.4元/小时115.2元。同时，出云迁移的数据传输也会计费，传输费用为100GB1.5元/GB150元，总额为115.2+150265.2元。 • 场景四：DRS开始收费前启动任务 客户A在20211126 8:00启动入云迁移，并于20211206 12:00结束任务，使用时间超过一周，但该任务在开始计费（20211127 00:00）前启动，不收取费用。 • 场景五：多任务迁移 客户A在20211201 8:00启动入云迁移任务1，并于20211206 12:00结束任务。使用公网网络在20211201 8:00启动出云迁移任务2，并于20211206 8:00结束任务，迁移出云数据200GB。 则任务1截止20211205 8：00为免费期，从20211205 8：00到结束任务期间按照每小时2.4元收取配置费用，入云传输免费。任务1收取费用（1天24小时+4小时）2.4元/小时67.2元。 则任务2从启动到结束按照每2.4元/小时收取配置费用，按照1.5元/GB收取传输费用。任务2收取费用配置费用+传输费用5天24小时2.4元/小时+200GB1.5元/GB588元。 • 场景六：非公网网络迁移 客户A使用VPC网络在20211201 8:00启动出云迁移，并于20211203 8:00结束任务，DRS迁移出云100GB数据，DRS只对公网网络按照标准收取费用，所以该任务不收取费用。 以下均以北京2的MySQL实时同步为例进行说明。 • 场景一：入云同步 客户A在20211201 8:00启动入云同步，并于20211203 12:00结束任务，任务启动到结束，按照3.53元/小时收取配置费用，即收取费用（2天24小时+4小时）3.53元/小时183.56元。 • 场景二：出云同步 客户A使用公网网络在20211228 8:00启动出云同步，并于20220102 8:00结束任务，传输数据100GB。则从启动到结束任务期间按照每3.53元/小时收取配置费用、1.5元/GB收取传输费用。即收取费用配置费用+传输费用5天24小时3.53元/小时+100GB1.5元/GB573.6元。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包乱序动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 重排序概率：数据包被立即发送的百分比。 和上一包的相关性：控制数据包重排序的随机性和规律性之间的平衡，取值范围 0~100，例如，设置为 50 表示有 50% 的可能性下一个数据包的重排序决策会受到前一个数据包的影响。值越高，乱序模式越规律；值越低，越随机。 包序列大小：定义了重排序数据包之间的距离，即有多少个数据包会按照正常顺序发送后才会出现一个重排序的数据包，例如，当 gap 设置为 2 时，意味着每 2 个正常顺序的数据包之后会有一个数据包被重排序。 网络包延迟时间(毫秒)：对被选中的乱序数据包施加的延迟时长。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包乱序动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 重排序概率：数据包被立即发送的百分比。 和上一包的相关性：控制数据包重排序的随机性和规律性之间的平衡，取值范围 0~100，例如，设置为 50 表示有 50% 的可能性下一个数据包的重排序决策会受到前一个数据包的影响。值越高，乱序模式越规律；值越低，越随机。 包序列大小：定义了重排序数据包之间的距离，即有多少个数据包会按照正常顺序发送后才会出现一个重排序的数据包，例如，当 gap 设置为 2 时，意味着每 2 个正常顺序的数据包之后会有一个数据包被重排序。 网络包延迟时间(毫秒)：对被选中的乱序数据包施加的延迟时长。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名

本页介绍天翼云TeleDB数据库备份恢复相关操作。 操作场景 备份恢复包括了备份机管理和备份管理相关操作。 备份机管理是指通过管理平台进行发布，启动，停止，重启，删除操作对备份机进程进行管理。 备份管理是指包含了全量备份，日志备份，数据恢复，任务列表等操作。 操作步骤 1. 登录TelePG控制台。 2. 在左侧导航树上单击实例列表，进入实例详情页面。 3. 将当前实例切换至目标实例，单击备份恢复 页签。 4. 在备份恢复页签，您可创建备份、修改备份策略、恢复到指定时间点和绑定备份机。 5. 创建备份 1. 单击创建备份 页签，出现创建备份对话框。 2. 在创建备份对话框，填写备份名称 和描述 ，单击确定，完成创建备份。 6. 修改备份策略 1. 单击修改备份策略页签，出现修改备份策略对话框。 2. 在备份策略对话框填写基本信息。 参数 说明 开启备份 您可根据业务需求选择开启或关闭。 备份周期 您可根据业务需求选择星期一、星期二、星期三、星期四、星期五、星期六和星期天。 备份开始时间 您可根据业务需求选择备份开始时间。 全量备份保留 您可根据业务需求选择全量备份天数。 日志备份 您可根据业务需求选择开启或关闭。 日志备份保留 您可根据业务需求选择日志备份保留天数。 3. 确认信息无误后，单击确定 完成修改备份策略。 注意 如果开启增量备份，那么WAL日志的保留时长必须大于全量备份的保留时长，避免无法恢复到指定的时间点。开关默认关闭，如果需要使用自动备份清理的功能，请及时开启。 7. 恢复到指定时间点 1. 单击恢复到指定时间点 页签，出现恢复到指定时间点对话框。 2. 在恢复到指定时间点 对话框，选择恢复的时间点 、在目标实例下拉框选择需要恢复的目标实例 。 3. 单击确定 ，即可恢复到指定的时间点。系统会根据恢复的时间点拷贝最相近的全量备份数据，再将相关的WAL日志拷贝到目标实例。 注意 目前只支持恢复到其他实例，不支持恢复到本实例。目标实例最终的实例配置文件包括postgresql.conf,pghba.conf等是不会改变的。 8. 绑定备份机 1. 单击绑定备份机 页签，出现绑定备份机 对话框。 2. 在绑定备份机 对话框，绑定新备份机下拉框选择新备份机 。 3. 确认信息无误后，单击确定 ，实例的备份数据包括全量数据以及WAL日志数据都将保存到备份机指定的data目录中。 9. 恢复实例 1. 单击目标实例所在行的恢复 ，出现恢复备份对话框。 2. 在恢复备份对话框的目标实例下拉框选择需恢复的实例。 3. 确认信息无误后，单击确定 完成恢复实例。 注意 目前只支持恢复到其他实例，不支持恢复到本实例。 10. 复制实例 1. 单击目标实例所在行的复制 ，出现复制备份 对话框。 2. 在复制备份对话框，填写备份名称 和描述 ，确认信息无误后，单击确定 完成复制备份。 3. 通过复制实例可手动创建所选备份的一个副本，备份名称默认为原有备份名称backup,备份类型为手动 ，手动的备份，不会被自动清理。 11. 删除实例 1. 单击目标实例所在行的删除 ，出现删除备份对话框。 2. 单击确定 ，即可删除备份。 3. 通过删除实例可手动删除，备份类型为手动 或者状态异常 的备份数据。

该任务用于指导用户完成实例服务器初始化及实例开通。 前提条件 每台主机均已进行环境初始化。 操作步骤 1. 以用户名和密码登录TeleDB控制台。 2. 创建实例开通租户用户 1. 将鼠标置于分布式数据库TeleDB控制台右上角头像图标，在出现的下拉框，选择系统管理，进入租户列表页面。 2. 在租户列表页面，单击创建租户 ，出现新增租户对话框。 3. 在新增租户 对话框，填写租户名称 、租户编码 和租户描述 ，单击确定 完成创建租户。 租户名称：必选，可自定义，根据业务需求填写。 租户编码：必选，可自定义，根据业务需求填写。 租户描述：可选，根据业务需求填写。 4. 您可单击目标租户所在行操作列编辑，修改租户信息。 5. 您可单击目标租户所在行操作列删除，删除租户。 3. 添加服务器 1. 切换至实例管理页面，在左侧导航树选择资源管理 > 服务器管理 ，进入服务器管理页面。 2. 在服务器管理页面，单击添加服务器 ，出现新增服务器 对话框。 3. 在新增服务器对话框，根据下表填写基本信息，单击测试连通及硬件检测 ，若出现绿色标识，单击确定 ，完成服务器添加。 参数名称 说明 服务器IP地址 根据部署规划填写。 SSH账号 根据实际情况填写。 SSH密码 根据实际情况填写。 SSH端口 根据部署规划填写，确保端口不被占用。 是否创建teledb用户 根据业务需求勾选是或否。 用户home目录 根据部署规划填写。 是否安装agent 根据业务需求勾选是或否。 服务器管理进程端口 根据部署规划填写，确保端口不被占用。 操作系统 根据实际情况选择。 CPU架构 根据实际情况选择。 磁盘数据目录 根基业务需求填写。 4. 新建资源模板 1. 在左侧导航树选择资源管理 > 资源模板 ，进入资源模板页面。 2. 在资源模板页面，单击新建模板，出现新建模板 对话框。 3. 在新建模板对话框，填写如下信息，单击确定 ，完成新建模板创建。 模板名称：必填，可自定义。 CPU核数（核）：必填，可根据业务需求填写。 内存容量（GB）：必填，可根据业务需求填写。 磁盘容量（GB）：必填，可根据业务需求填写。 模板描述：选填，可根据实际情况填写。 4. 你可单击目标资源模板所在行的编辑 ，修改资源模板。 5. 你可单击目标资源模板所在行的删除 ，删除资源模板。 5. 导入软件包 1. 在左侧导航树选择资源管理 > 软件包管理 ，进入软件包管理页面。 2. 在软件包管理页面，单击添加软件包 ，出现添加软件包对话框。 3. 在添加软件包 对话框，选择包类型，单击点击上传 ，选择已准备好的软件包上传。输入软件包MD5值 ，单击确定 ，完成软件包添加。 说明 上传文件的文件名请遵循teledbx{版本号}{数据块大小}.{cpu架构}.tar.gz格式，其中数据块大小：8k,16k,32k;cpu架构：x8664x86架构，aarcharm架构。 您可执行md5sum 软件包名命令查找MD5。 6. 实例开通 1. 在左侧导航树选择实例列表 ，进入实例列表页面，单击创建实例 ，进入基本信息页面。 2. 参考下表，您可根据业务需求填写基本信息。 参数名称 说明 实例名称 自定义，可根据业务需求填写。 实例系列 默认基础版，不可选择。 协调节点组数 可根据业务需求填写。 数据节点组数 您可根据业务需求填写。 实例规格 您可根据业务需求选择。 软件包 根据业务实际需求选择软件包。 主备复制模式 您可根据业务需求选择如下几种模式： 同Region全异步 同Region全同步 同Region Any1 同Region Any2 同Region First1 同Region First2 字符集 您可根据业务需求选择如下几种字符集： UTF8 LATIN1 EUCCN SQLASCII 3. 单击下一步 ，进入主机选择页面。 4. 在主机选择页面，根据业务需求，选择GTM节点的主节点和备节点、协调节点的主节点或备节点或VIP、数据节点的主节点和备节点，单击提交 ，跳转到实例列表页面，查看任务状态。 5. 当状态显示为运行中，则实例成功开通。

本页介绍天翼云TeleDB数据库xlog(WAL)堆积类问题。 xlog（WAL）堆积问题总体排查思路 问题描述 xlog（WAL）堆积，明显超过预期大小，导致磁盘空间使用率上涨，甚至打满磁盘，影响实例运行。 可能影响 占用更多的磁盘空间； 可能会打满磁盘，影响实例运行。 解决步骤 1. 首先检查WAL和归档相关参数，核实参数是否符合预期； > 连接到WAL日志堆积的节点，执行以下SQL： > > select currentsetting('walkeepsegments') as walkeepsegments,(select count(1) > from pglsdir('./pgwal/')) as walcount; > WAL相关参数中，walkeepsegments为保留WAL日志文件的数量，通常实际统计的WAL日志文件数量比walkeepsegments稍多，相差几百内都属于正常范围，明显超出则确定WAL日志有堆积； 2. 检查WAL日志增长量是否符合预期； > 登录WAL日志堆积的节点所在服务器，进入pgwal目录，执行以下shell命令，按纬度统计WAL数量； > 统计每小时日志数量 > > ls lrt egrep [09AZ]{16}awk '{print $6" "$7" "$8}'awk F: '{print $1}'sort uniq c > 统计每天日志数量 > > ls lrt egrep [09AZ]{16}awk '{print $6" "$7}'awk F: '{print $1}'sort uniq c 3. 检查复制槽状态，是否有activefalse的复制槽； > 连接到WAL日志堆积的节点，执行以下SQL： > > select from pgreplicationslots where activefalse; > 如果有activefalse的复制槽，那么就会导致WAL堆积，需要核实并解决复制槽问题； 4. 如果不是复制槽问题，可以继续检查归档配置是否正确； > 连接到WAL日志堆积的节点，执行以下SQL： > > show archivestatuscontrol; > 如果参数查询结果为break，那么WAL日志文件不会被正常删除，需要核实并更正参数为continue； 5. 检查归档执行状态是否正常； > 登录WAL日志堆积的节点所在服务器，检查archiver进程状态是否正常，进程显示的last 归档的文件是否在更新。 > > ps fegrep archiver > 查询结果显示为archiver process failed on xxx，则说明归档败了，需要进一步排查归档失败原因； > 也可以执行以下SQL查询归档执行状： > > select from pgstatgetarchiver(); > 其中failedcount>0表示有归档失败。 6. 检查归档速度是否正常； > 如果归档正常，那需要检查归档速度是否正常，归档速度是否能赶上WAL日志生成的速度，如果归档速度比生成的慢，那么WAL日志会逐渐堆积起来，可以从减少WAL日志生成量和加快WAL日志文件归档两个方面入手进行优化； 7. 检查是否有长事务/长时间执行未结束的SQL； > 连接到WAL日志堆积的节点，执行以下SQL： > > select pid,clientaddr,statechange,querystart,statechange,EXTRACT(EPOCH FROM > (now()querystart)),query,state,usename,applicationname from pgstatactivity where > EXTRACT(EPOCH FROM (now()querystart))>600 and state!'idle'; > 如果有长时间执行未结束的SQL或事务，需要核实后清理掉，避免影响WAL日志文件的清理。 8. 如果影响业务，需要快速恢复，可以先手动清理，再定位原因； > 登录WAL日志堆积的节点所在服务器，进入pgwal/archivestatus目录，执行以下shell命令，修改.ready 的扩展名称.done > > find .ready sed 's/.ready$//' xargs I {} mv {}.ready {}.done > 或 > > ls lrt grep .ready awk F' ' '{print $NF}' xargs i rename ready done ./{} > 如果提示有太多的bash: /usr/bin/find: Argument list too long，则需要分批修改，具体前缀可以 top看一下 Arichve 进程当前在处理哪个WAL，然后取其前缀就行，例如： find 00000001000005[19].ready sed 's/.ready$//' xargs I {} mv {}.ready {}.done find 00000001000005[AF].ready sed 's/.ready$//' xargs I {} mv {}.ready {}.done

本文带您了解什么是云硬盘。 云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以为弹性云主机和物理机提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，可满足不同场景的业务需求，适用于分布式文件系统、数据库、开发测试等场景。 用户可以在线操作及管理云硬盘，并可以像使用传统服务器硬盘一样，对挂载到云主机的云硬盘做格式化、创建文件系统等操作。 产品架构 云硬盘可以挂载至弹性云主机和物理机，云硬盘的备份与快照功能可帮助用户恢复数据，创建新的云硬盘，为用户提供了强大的数据保护，提高了数据的可靠性和灵活性。 弹性文件服务、对象存储、云硬盘的区别 天翼云为用户提供了三种数据存储服务，分别是弹性文件服务、对象存储、云硬盘，这三种服务的主要区别如下： 维度 弹性文件服务 对象存储 云硬盘 概念 弹性文件服务提供了一个高度可扩展的文件系统，可在云环境中共享文件数据。具有高可用性、持久性和可靠性。 对象存储具有高度的可扩展性和耐久性，可以存储任意类型的海量数据，并且能够自动处理数据冗余、故障恢复和数据分发。 云硬盘提供了高性能、低延迟、可扩展的块级存储。云硬盘可以被挂载到弹性云主机或物理机上，使其能够持久化地存储数据。 存储方式 弹性文件服务采用文件存储方式。文件存储将数据组织为层次化的目录和文件结构，用户可以通过文件路径和名称来操作文件和目录。 对象存储将数据存储为独立的对象。每个对象由数据本身和与之相关的元数据（例如文件名、文件类型、大小等）组成。 云硬盘采用块存储方式。块存储将数据分为固定大小的块（通常为几KB或几MB），并通过唯一的块地址进行访问。 访问方式 弹性文件服务通过网络共享的方式进行访问。用户可以在需要的弹性云主机实例或容器实例上挂载文件系统，并通过标准的文件系统接口（如NFS、SMB等）访问共享的文件系统。 对象存储需要指定桶地址，通过HTTP或HTTPS等传输协议进行访问。 云硬盘类似于PC机的硬盘，无法单独使用，通常通过挂载（Mount）的方式来访问。它可以被挂载到弹性云主机或物理机上，使其在操作系统中可见。 适用场景 如应用程序的配置文件、日志文件等需要共享的文件数据以及在容器化应用中支持多个容器实例之间的数据共享和同步。 如大数据分析，数据湖，数据备份和归档等大规模数据存储和分析场景；静态网站托管解决方案存储。 如作为弹性云主机或物理机的数据存储介质进行数据存储和持久化；大规模数据处理与分布式计算等高性能计算场景。 容量 弹性文件服务可按需扩展，单文件系统容量默认最大为32TB。如需更大容量的文件系统，可提工单申请。 对象存储服务没有容量限制，存储资源可无限扩展。 云硬盘支持按需扩容，最小扩容步长为1 GB，单个云硬盘可由10 GB扩展至32 TB。 是否支持数据共享 是 是 是 是否支持远程访问 是 是 否

本文带您了解什么是云硬盘。 云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以为弹性云主机和物理机提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，可满足不同场景的业务需求，适用于分布式文件系统、数据库、开发测试等场景。 用户可以在线操作及管理云硬盘，并可以像使用传统服务器硬盘一样，对挂载到云主机的云硬盘做格式化、创建文件系统等操作。 产品架构 云硬盘可以挂载至弹性云主机和物理机，云硬盘的备份与快照功能可帮助用户恢复数据，创建新的云硬盘，为用户提供了强大的数据保护，提高了数据的可靠性和灵活性。 弹性文件服务、对象存储、云硬盘的区别 天翼云为用户提供了三种数据存储服务，分别是弹性文件服务、对象存储、云硬盘，这三种服务的主要区别如下： 维度 弹性文件服务 对象存储 云硬盘 概念 弹性文件服务提供了一个高度可扩展的文件系统，可在云环境中共享文件数据。具有高可用性、持久性和可靠性。 对象存储具有高度的可扩展性和耐久性，可以存储任意类型的海量数据，并且能够自动处理数据冗余、故障恢复和数据分发。 云硬盘提供了高性能、低延迟、可扩展的块级存储。云硬盘可以被挂载到弹性云主机或物理机上，使其能够持久化地存储数据。 存储方式 弹性文件服务采用文件存储方式。文件存储将数据组织为层次化的目录和文件结构，用户可以通过文件路径和名称来操作文件和目录。 对象存储将数据存储为独立的对象。每个对象由数据本身和与之相关的元数据（例如文件名、文件类型、大小等）组成。 云硬盘采用块存储方式。块存储将数据分为固定大小的块（通常为几KB或几MB），并通过唯一的块地址进行访问。 访问方式 弹性文件服务通过网络共享的方式进行访问。用户可以在需要的弹性云主机实例或容器实例上挂载文件系统，并通过标准的文件系统接口（如NFS、SMB等）访问共享的文件系统。 对象存储需要指定桶地址，通过HTTP或HTTPS等传输协议进行访问。 云硬盘类似于PC机的硬盘，无法单独使用，通常通过挂载（Mount）的方式来访问。它可以被挂载到弹性云主机或物理机上，使其在操作系统中可见。 适用场景 如应用程序的配置文件、日志文件等需要共享的文件数据以及在容器化应用中支持多个容器实例之间的数据共享和同步。 如大数据分析，数据湖，数据备份和归档等大规模数据存储和分析场景；静态网站托管解决方案存储。 如作为弹性云主机或物理机的数据存储介质进行数据存储和持久化；大规模数据处理与分布式计算等高性能计算场景。 容量 弹性文件服务可按需扩展，单文件系统容量默认最大为32TB。如需更大容量的文件系统，可提工单申请。 对象存储服务没有容量限制，存储资源可无限扩展。 云硬盘支持按需扩容，最小扩容步长为1 GB，单个云硬盘可由10 GB扩展至32 TB。 是否支持数据共享 是 是 是 是否支持远程访问 是 是 否

本文主要介绍SQL统计语法。 SQL是用于访问和处理数据库的标准计算机语言，云日志服务SQL提供了查询日志单元中结构化数据的语句。 在自定义语句模式下，您可以编写SQL语句进行统计分析，云日志服务将根据SQL语句返回统计分析结果。具体操作步骤请参考SQL统计分析概述。 语法格式 plaintext SELECT [ ALL DISTINCT ] { exprs } FROM { } [ WHERE wherecondition ] [ GROUP BY [ collistname ] [ HAVING expr ] [ ORDER BY expr [ ASC DESC ], expr [ ASC DESC ], ... ] [ LIMIT limit ] 语句说明 语句 说明 示例 SELECT 从表中选取数据，默认从当前日志单元中获取符合检索条件的数据内容。可省略后续的FROM log。 SELECT visitCount FROM log DISTINCT 返回去重后的结果。 SELECT DISTINCT visitCount AS 为列名称指定别名。 SELECT visitCount AS pv FROM 表示当前查询数据的源数据集， 可以是当前日志单元的结构化数据，该情况下FROM后只能接log，也可以是当前日志单元结构化数据的一个子集。不加FROM的时候默认从当前日志单元结构化数据查询，如果查询的数据源是一个子集，您需要编写子查询语句。 SELECT visitCount SELECT visitCount FROM log WHERE 指定查询的过滤条件，支持算术运算符、关系运算符和逻辑运算符。具体过滤条件可填在wherecondition处。 SELECT visitCount WHERE visitCount > 0 GROUP BY 指定作为分组依据的结构化字段，支持根据单字段或多字段分组。具体的结构化字段列表可填入collistname处。 SELECT host, count() AS pv WHERE visitCount > 0 GROUP BY host HAVING 只能与GROUP BY配合使用。指定用于过滤GROUP BY结果的结构化字段。 SELECT host, count() AS pv GROUP BY host HAVING pv > 10 ORDER BY 后面的字段必须是用于GROUP BY分组的字段，对GROUP BY的查询结果进行排序，用于排序的可以是任意一个结构化字段。 SELECT host, count() AS pv GROUP BY host ORDER BY pv ASC/DESC ASC为升序，DESC为降序，默认为ASC。 SELECT host, count() AS pv GROUP BY host ORDER BY pv DESC LIMIT 对查询结果进行限制，用于限制返回的结构化日志条数。一次查询最多返回20000条结构化日志。说明：如果不使用LIMIT语句，默认返回查询结果中最新的100条数据。 SELECT host LIMIT 100 注意 1. SQL 语句对大小写不敏感，如SELECT 等效于 select。 2. 使用SELECT从日志单元中获取数据时，默认最大获取100行数据，如需获取更多数据请使用LIMIT语法指定需要获取的行数，最多可获取2万行。 3. 字符串必须使用单引号''包裹，无符号包裹或被双引号""包裹的字符表示字段或列名。例如'status'表示字符串 status，status或"status"表示日志字段 status。字符串内本身包含单引号'时，需使用''（两个单引号）代表单引号本身。 4. SELECT中字段名称需符合列名规范，不符合该规范时，需使用双引号""包裹。 5. 每次只能执行一个sql语句。 6. 统计分析语句中默认不需要填写FROM子句和WHERE子句，默认统计当前日志单元中的数据。 7. 不需要在统计分析语句末尾加分号表示结束。

本章节介绍云主机网络包重复故障演练。 背景介绍 在网络传输过程中，因设备配置错误（如交换机端口镜像）、中间件异常（如负载均衡重复转发）或协议缺陷，可能导致数据包被复制并多次送达目标主机。虽然 TCP 协议能够识别并丢弃重复的数据包以保证数据完整性，但这个过程会消耗额外的网络带宽和CPU资源。更严重的是，对于应用层协议，如果缺乏幂等性设计，重复的请求可能导致业务逻辑被错误地执行多次（如重复下单、重复扣款）。本演练模拟此场景，帮助您检验系统的处理能力和业务逻辑的幂等性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过增加TC和Netem规则模拟主机内网络包重复。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包重复动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包重复百分比：数据包被复制的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被复制并重复发送一次。

本章节介绍云主机网络丢包故障演练。 背景介绍 网络拥塞、物理链路故障、设备缓冲区溢出或配置错误，都可能导致数据包在传输过程中被丢弃。对于 TCP 连接，丢包会触发超时重传机制，导致通信延迟增加和有效吞吐量下降；对于 UDP 连接，丢包则意味着数据的永久丢失。本演练模拟网络丢包场景，帮助您评估应用的容错能力、检验超时和重传策略的有效性，并验证监控告警的灵敏度。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过增加TC和Netem规则模拟主机内网络丢包。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络丢包动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 丢包百分比：数据包被丢弃的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被丢弃。