本文主要介绍绑定弹性公网IP 操作场景 集群实例创建成功后，支持用户绑定弹性公网IP，通过公共网络访问数据库实例，绑定后也可根据需要解绑。 注意事项 在访问数据库前，您需要在虚拟私有云申请一个弹性公网IP，并将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。 集群实例仅支持mongos节点绑定弹性公网IP。对于已绑定弹性公网IP的节点，需解绑后，才可重新绑定其他弹性公网IP。 绑定弹性IP 步骤 1 在“实例管理”页面，选择指定的集群实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。在“基本信息”区域的mongos节点上，单击“绑定弹性IP”。 您也可以在“基本信息”页面的节点信息区域，选择指定mongos节点，单击操作列的“更多 > 绑定弹性IP”。 步骤 3 在弹出框的弹性IP列表中，显示“未绑定”状态的弹性IP，选择所需绑定的弹性IP，单击“确定”，提交绑定任务。如果没有可用的弹性IP，单击“查看弹性IP”，创建新的弹性IP。 步骤 4 在mongos节点的“弹性IP”列，查看绑定成功的弹性IP。 解绑弹性IP 步骤 1 对于已绑定弹性IP的节点，在“实例管理”页面，选择指定的集群实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。在“基本信息”区域的mongos节点上，单击“解绑弹性IP”。 您也可以在“基本信息”页面的节点信息区域，选择指定mongos节点，单击操作列的“更多 > 解绑弹性IP”。 步骤 3 在弹出框中，单击“确定”，解绑弹性IP。

参数名称 值 描述 ssl on 默认启用SSL连接，不可修改。 sslcertfile /CA/server.pem SSL服务器证书文件的位置，不可修改。 sslciphers ALL:!ADH:!LOW:!EXP:!MD5:!3DES:!DES:@STRENGTH; 指定一个SSL密码列表，用于安全连接。用户可根据安全要求进行修改。推荐使用 EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EDH+aRSA+AESGCM:EDH+aDSS+AESGCM:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!SRP:!RC4 sslkeyfile /CA/server.key SSL服务器私钥文件的位置，不可修改。 sslminprotocolversion TLSv1.2 设置要使用的最小SSL/TLS协议版本，用户可根据安全要求进行修改，推荐使用TLSv1.2及以上版本。

本节主要介绍设置微服务引擎专享版公网访问 状态“可用”的微服务引擎专享版，绑定公网IP后可提供公网访问微服务引擎专享版的能力。 注意 未开启安全认证的微服务引擎无认证鉴权能力，开放到公网面临安全风险，增加系统的脆弱性。如：配置、服务信息等数据资产可能会被窃取。 请不要在生产环境和安全要求较高的网络环境中使用该功能。 开启公网访问 1、登录ServiceStage控制台，选择“微服务引擎 CSE”。 2、单击待开启公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 3、开启“公网访问”开关，在弹出的对话框勾选“我已知晓安全风险”，单击“确定”。 4、单击“弹性IP地址”后的下拉框。在下拉框中选择可用弹性IP，单击下拉框后侧的“√”。 若下拉框中无可用弹性IP，请单击“创建弹性IP”，根据界面提示创建。 关闭公网访问 1、登录ServiceStage控制台，选择“微服务引擎 CSE”。 2、单击待关闭公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 3、关闭“公网访问”开关。 4、在弹出对话框单击“确定”。

本文帮助您快速熟悉弹性网卡基本知识。 弹性网卡是虚拟私有网络VPC中的虚拟网络接口，用于连接ECS与私有网络。 每个弹性网卡可以包含以下主要属性： 专有网络VPC、子网信息 VPC子网的IPv4地址范围内的一个主要私有IPv4地址 VPC子网的IPv4地址范围内的一个或者多个辅助私有IPv4地址 和一个公网IPv4地址绑定，将网卡的私网IP NAT成为公网IP 一个IPv6地址 一个MAC地址 一个或多个安全组 网卡类型 网卡类型包括主网卡和辅助网卡。随着云主机、物理机服务器等实例一起创建的网卡称为主网卡。VPC网络中的每个实例都有默认的主网卡，您无法独立创建主网卡，也无法从实例卸载主网卡。您可以创建并额外绑定到实例上的网卡，称为辅助网卡，辅助网卡可以灵活的和实例解绑、绑定。 私有IPv4地址 每个弹性网卡都有一个子网地址范围内的私有IPv4地址，称为主私网地址。您可以在创建辅助弹性网卡时指定主私网地址，如果不指定，我们将为您随机分配。此外，您还可以为弹性网卡分配一个或者多个辅助私有IPv4地址，辅助私有IP地址在取消分配后可以回收，然后再分配给其他弹性网卡。 私有IPv6地址 如果虚拟私有网络VPC和子网开通了IPv6网段，您可以为弹性网卡分配一个主私网IPv6地址。主私网IPv6地址在取消分配后可以回收。VPC内的IPv6地址支持VPC内网通信和公网通信，网卡绑定IPv6带宽或者加入共享带宽后，可以使用IPv6来访问公网或被公网访问。

本文帮助您快速熟悉弹性网卡基本知识。 弹性网卡是虚拟私有网络VPC中的虚拟网络接口，用于连接ECS与私有网络。 每个弹性网卡可以包含以下主要属性： 专有网络VPC、子网信息 VPC子网的IPv4地址范围内的一个主要私有IPv4地址 VPC子网的IPv4地址范围内的一个或者多个辅助私有IPv4地址 和一个公网IPv4地址绑定，将网卡的私网IP NAT成为公网IP 一个或者多个IPv6地址 一个MAC地址 一个或多个安全组 网卡类型 网卡类型包括主网卡和辅助网卡。随着云主机、物理机服务器等实例一起创建的网卡称为主网卡。VPC网络中的每个实例都有默认的主网卡，您无法独立创建和从实例卸载主网卡。您可以创建并额外绑定到实例上的网卡，称为辅助网卡，辅助网卡可以灵活的和实例解绑、绑定。 私有IPv4地址 每个弹性网卡都有一个子网地址范围内的私有IPv4地址，称为主私网地址。您可以在创建辅助弹性网卡时指定主私网地址，如果不指定，我们将为您随机分配。此外，您还可以为弹性网卡分配一个或者多个辅助私有IPv4地址，辅助私有IP地址在取消分配后可以回收，然后再分配给其他弹性网卡。 IPv6地址 如果虚拟私有网络VPC和子网开通了IPv6网段，您可以为弹性网卡分配一个或多个IPv6地址。IPv6地址在取消分配后可以回收。VPC内的IPv6地址支持VPC内网通信和公网通信，网卡绑定IPv6带宽或者加入共享带宽后，可以使用IPv6来访问公网或被公网访问。

基本信息 负载类型：选择守护进程DaemonSet。工作负载类型的介绍请参见工作负载概述。 负载名称：填写工作负载的名称。 命名空间：选择工作负载的命名空间，默认为default。您可以单击后面的“创建命名空间”，命名空间的详细介绍请参见创建命名空间。 容器运行时：CCE集群默认使用普通运行时。 时区同步：选择是否开启时区同步。开启后容器与节点使用相同时区（时区同步功能依赖容器中挂载的本地磁盘，请勿修改删除），时区同步详细介绍请参见时区同步。 容器配置 容器信息 Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 基本信息：容器基本信息 生命周期：设置容器生命周期 健康检查：设置容器健康检查 环境变量：设置环境变量 数据存储：存储概述 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。请输入用户ID，容器将以当前用户权限运行。 容器日志：使用ICAgent采集容器日志 说明 负载实例数大于1时，不支持挂载云硬盘类型的存储。 镜像访问凭证：用于访问镜像仓库的凭证，默认取值为defaultsecret，使用defaultsecret可访问SWR镜像仓库的镜像。defaultsecret详细说明请参见defaultsecret。 GPU显卡：默认为不限制。当集群中存在GPU节点时，工作负载实例可以调度到指定GPU显卡类型的节点上。

本文为您系统梳理使用数据库双活的标准化准备流程。 概述 数据库双活提供数据库语义级的同构数据库双活复制软件服务。采用数据库之间语义级的数据实时复制与同步；基于数据库事务日志分析技术，在数据库高并发事务场景下实现数据实时同步；于目标端同步写入时序，严格确保源端和目标端的数据库事务级最终一致性；提供了备库接管、反向同步等功能。 操作步骤 一、购买许可 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源同步”“资源同步管理”，进入资源管理模块页面。 5. 点击左侧菜单栏“数据库双活”，点击“许可”，进入许可页面。 6. 点击右上角“购买数据库双活许可”按钮，弹出购买许可弹窗。按需购买许可。 7. 填写数据库类型、购买数量和时长，勾选已阅读并同意相关协议后，点击“购买”按钮，完成许可支付。 二、安装drnode 步骤一：网络配置 场景1：若同步资源为天翼云内资源时，需手动配置其需同步资源所在的虚拟私有云（VPC），并通过部署VPC终端节点（VPCEP）实现MDR网络代理与目标VPC的安全互联。 1. 登录天翼云，进入[控制中心](

本章节主要介绍DataArts Studio的开发一个Hive SQL作业流程。 本章节介绍如何在数据开发模块上进行Hive SQL开发。 场景说明 数据开发模块作为一站式大数据开发平台，支持多种大数据工具的开发。Hive是基于Hadoop的一个数据仓库工具，可以将结构化的数据文件映射为一张数据库表，并提供简单的SQL查询功能；可以将SQL语句转换为MapReduce任务进行运行。 环境准备 已开通MapReduce服务MRS，并创建MRS集群，为Hive SQL提供运行环境。 MRS集群创建时，组件要包含Hive。 已开通数据集成CDM，并创建CDM集群，为数据开发模块提供数据开发模块与MRS通信的代理。 CDM集群创建时，需要注意：虚拟私有云、子网、安全组与MRS集群保持一致，确保网络互通。 建立Hive的数据连接 开发Hive SQL前，我们需要在“管理中心 > 数据连接”模块中建立一个到MRS Hive的连接，数据连接名称为“hive1009”。 关键参数说明： 集群名：已创建的MRS集群。 绑定Agent：已创建的CDM集群。 开发Hive SQL脚本 在“数据开发 > 脚本开发”模块中创建一个Hive SQL脚本，脚本名称为“hivesql”。在编辑器中输入SQL语句，通过SQL语句来实现业务需求。 开发脚本 关键说明： 上图中的脚本开发区为临时调试区，关闭脚本页签后，开发区的内容将丢失。您可以通过“提交”来保存并提交脚本版本。 数据连接：建立Hive的数据连接创建的连接。

同一个Nacos引擎可能会有多个用户共同使用，开启了“安全认证”的Nacos引擎专享版，通过微服务控制台提供的基于RBAC（RoleBased Access Control，基于角色的访问控制）的权限控制功能，使不同的用户根据其责任和权限，具备不同的引擎访问和操作权限。 开启了“安全认证”的Nacos引擎专享版，支持微服务正常接入。 说明 只有引擎版本为2.1.0.1及以上版本支持此功能，若版本低于2.1.0.1，可参考 当Nacos引擎版本为2.1.0升级到2.1.0.1及以上版本时，需要先开启安全认证初始化密钥信息，才可使用权限控制功能。

本节为您介绍自建PostgreSQL迁移至中国电信TelePG任务配置。 目标端配置请参照自建PostgreSQL迁移至自建PostgreSQL

本节介绍了云数据库TaurusDB的产品优势及价值。 TaurusDB为计算存储分离、云化架构的企业级云数据库，具有以下优势： 超高性能 相比开源MySQL，性能提升7倍，可达到百万级QPS。 高扩展性 横向扩展：支持分钟级添加只读节点，最大支持15只读，解决性能扩展问题。 纵向扩展：支持规格升级，应对不确定的业务增长。 存储扩展：根据数据容量自动弹性伸缩，无须提前规划容量，最大支持128TB，解决海量数据问题。 高可靠性 支持跨AZ部署、异地容灾，金融级别可靠性。 跨AZ部署，数据三副本，安全性有保障。 高兼容性 100%兼容MySQL，应用上云无须改造。 非中间件式架构。 业务性能正常情况下，无需搭载分布式数据库中间件分库分表。

问题现象 请求KMS报错或使用云服务加密功能报错。 报错信息为：httpcode401,codeAPIGW.0301,MsgIncorrect IAM authentication information: current ip:xx.xx.xx.xx refused。 可能原因 用户在IAM服务中设置了访问控制。 IAM控制策略默认范围为全地址访问，若用户设置了允许访问的IP地址或者网段，则未允许的IP地址/网段均无法访问KMS，或无法使用云服务加密特性。 解决方法 通过云服务控制台访问KMS（如OBS加密）：需要开放10.0.0.0/8、11.0.0.0/8、26.0.0.0/8网段。 通过API调用KMS接口：根据访问的源IP地址设置开放。 开放IP地址操作步骤 步骤 1 登录管理控制台。 步骤 2 单击页面左侧，选择“管理与监督 > 统一身份认证服务 IAM”，默认进入“用户”界面。 步骤 3 选择“安全设置 > 访问控制”，查看“允许访问的IP地址区间”和“允许访问的IP地址或网段”是否包含请求的源IP地址。 说明 需在“控制台访问”和“API访问”中都包含请求的源IP地址。

AOne边缘安全加速平台套餐续费介绍。 避免AOne边缘安全加速平台的资源到期后，域名会自动发起停用，防护服务终止服务，您可以在资源到期前为资源手动续订，或者设置自动续订服务。针对AOne边缘安全加速平台情况，为您进行说明，请在续费前务必阅读以下内容。 续订规则 只有通过实名认证的客户，才可以执行续订操作。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 资源处于服务中且过期时长大于7天可以设置自动续订。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 成套订购的套餐类组合产品，需整体续订，非成套订购单具有挂载关系的资源可以对单资源进行续订。 需要满足续订的规则，具体规则详见续订规则说明。 手动续订 满足续订规则的资源您可以随时手动续AOne边缘安全加速平台，本文介绍手动续订操作方式。 登陆天翼云官网右上角我的产品视图中找到需要续订的产品，点击“续订”，根据需求调整续订周期后，提交续订订单。 当续订周期达到1年或以上时，续订单将可享受包年折扣。

本文主要介绍 节点CCEAgent版本检查。 检查项内容 检测当前节点的CCE包管理组件cceagent是否为最新版本。 解决方案 cceagent非最新版本时，自动更新失败，该问题通常由OBS地址失效或组件版本过低引起。 步骤 1 登录检查通过的 正常节点 ，获取cceagent配置文件路径，查看有效OBS地址。 cat ​ps aux grep cceagent grep v grep awk F 'f ''{print $2}'​ 配置文件内的OBS配置地址字段为packageFrom.addr 步骤 2 登陆检查失败的 异常节点 ，参考上一步重新获取OBS地址，检查是否一致。若不一致，请将异常节点的OBS地址修改为正确地址。 步骤 3 通过以下命令下载最新的二进制文件。 x86系统 curl k " > /tmp/cceagent ARM系统 curl k " > /tmp/cceagentarm 步骤 4 替换原有的cceagent二进制文件。 x86系统 mv f /tmp/cceagent /usr/local/bin/cceagent chmod 750 /usr/local/bin/cceagent chown root:root /usr/local/bin/cceagent ARM系统 mv f /tmp/cceagentarm /usr/local/bin/cceagentarm chmod 750 /usr/local/bin/cceagentarm chown root:root /usr/local/bin/cceagentarm 步骤 5 重启cceagent服务。 systemctl restart cceagent 若您对上述执行过程有疑问，请联系技术支持人员。

本页介绍天翼云TeleDB数据库监控告警。 查看告警规则 在左侧导航栏选择首页 > 监控告警 > 告警配置 ，可查看当前的告警规则配置。 添加告警规则 在左侧导航栏选择首页 > 监控告警> 告警配置 ，在告警规则列表右上角单击 添加告警规则按钮，打开添加告警规则对话框： 规则名称：系统会自动生成规则名称，用户也可自行修改，规则名称建议不要使用相同名称命名。 告警项：用户可选用的DTS告警项，比如迁移状态异常。 告警维度：用户可设置的告警范围，选择用户 ，表示告警范围为所有DTS实例；选择实例，表示告警范围为实例级别，可在后面选择相应想要进行告警的实例。 告警级别：用户可自行设置该项告警的级别，有通知、警告和严重三个级别供选择。 规则描述：针对阈值类型的告警项会存在规则描述。第一个选框选择告警间隔，告警间隔为监控周期的倍数，例如当告警项为迁移延迟并选择持续2个监控周期时，表示当持续2个监控周期检测到迁移延迟超过配置的阈值，会发送一次告警。第二个选框选择阈值比较类型，比如瞬时值、平均值，目前仅支持瞬时值。第三个选框选择比较运算符，目前提供“ ,>”。第四个选框填写阈值。 当前支持的告警项为数据迁移状态异常、数据同步状态异常两项。

本文介绍Redis连接失败问题排查和解决 概述 本章节主要描述Redis连接过程出现的问题，以及解决方法。 问题分类 当您发现与Redis实例连接出现异常时，可以根据本文的内容，从以下几个方面进行排查。 Redis和ECS之间的连接问题 公网连接Redis 密码问题 实例配置问题 客户端连接问题 性能问题导致连接超时 Redis和ECS之间的连接问题 在连接Redis和ECS之间存在一些常见的问题，需要确保它们在同一个VPC内并能够正常通信。 未正确配置安全组规则： 问题描述：Redis和ECS的安全组可能没有正确配置，导致连接失败。 解决方法：需要配置ECS和Redis实例所在安全组规则，确保允许Redis实例被访问。详细的配置步骤可以参考配置安全组。 白名单功能开启导致连接失败： 问题描述：如果实例开启了白名单功能，客户端连接时需要确保客户端IP在白名单内，否则将无法连接。 解决方法：需要按照实例实例白名单配置文档操作，确保客户端IP在白名单内。注意，如果客户端IP发生变化，需要将新的IP加入白名单。 不同VPC导致连接失败： 问题描述：如果Redis实例和ECS不在同一个VPC，它们之间的网络是不相通的。 解决方法：可以通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问Redis实例。有关VPC对等连接的创建和使用，请参考VPC对等连接说明。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 TSDBlink OpenTSDB链接地址 OpenTSDB的ZK链接地址。 opentsdbsp8afz7bgbps5ur.cloudtable.com:4242 安全模式 选择安全或非安全模式。 选择安全模式时，需要输入项目ID、用户名、AK/SK。 Nonsecurity 项目ID CloudTable服务所在区域的项目ID。 项目ID表示租户的资源，帐号ID对应当前帐号。用户可在对应页面下查看不同Region对应的项目ID和帐号ID。 1. 注册并登录管理控制台。 2.在用户名的下拉列表中单击“我的凭证”。 3. 在“我的凭证”页面，查看帐号名和帐号ID，在项目列表中查看项目ID。 用户名 访问CloudTable服务的用户名。 admin 访问标识(AK) 密钥(SK) 访问CloudTable服务的AK和SK。 您需要先创建当前账号的访问密钥，并获得对应的AK和SK。 1. 登录控制台，在用户名下拉列表中选择“我的凭证”。 2. 进入“我的凭证”页面，选择“访问密钥>新增访问密钥”，详见下图：单击新增访问密钥。 3.单击“确定”，根据浏览器提示，保存密钥文件。密钥文件会直接保存到浏览器默认的下载文件夹中。打开名称为“credentials.csv”的文件，即可查看访问密钥（Access Key Id和Secret Access Key）。 说明 每个用户仅允许新增两个访问密钥。 为保证访问密钥的安全，访问密钥仅在初次生成时自动下载，后续不可再次通过管理控制台界面获取。请在生成后妥善保管。

本小节介绍关闭容器安全防护。 您可以为已开启容器版防护的服务器关闭安全防护，关闭后可释放配额，可供其他服务器防护使用。 操作须知 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。 操作步骤 1、 登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、根据需求可选择批量关闭防护和单服务器关闭防护。 单服务器关闭防护 a.在“节点列表”中目标服务器的“操作”列单击“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 说明 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。 批量关闭防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 注意 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。

本文介绍API安全模块中API标签管理功能。 功能介绍 用户可对API资产进行标签标记，以便对API资产按照不同的维度进行分组分类。API安全提供两种标签类型，一类是平台内置标签，一类是用户自定义标签。 平台内置标签包括：来源、敏感信息、业务用途、自发现标签。 来源：包括手动、自动。若API资产是通过用户手动添加，则会标记为手动；若API资产是通过自发现生成，则会标记为自动。标签名称及内容不可编辑、删除。 敏感信息：在API自发现过程中，若识别到API接口涉及敏感信息的传输，则会标记相应敏感信息，如地址、手机号等。用户可配置是否启用对于某项标签内容的识别。 业务用途：在API自发现过程中，若识别到API接口特征与某业务用途相匹配，则会标记相应业务用途，如登录认证、数据导出等。用户可配置是否启用对于某项标签内容的识别。 自发现标签：下发自发现任务时，可定义本次自发现标签，则本次任务中发现的API资产均会打上对应标签。标签名称不可编辑、删除。标签内容支持新增、编辑、删除。 自定义标签：用户自定义标签名称及标签内容。 说明 API标签的使用范围为所有域名下的API资产，即在域名A下新增的API标签，可在域名B的API资产中使用。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。

本小节介绍微隔离防火墙操作类常见问题。 Windows系统在安装客户端时，提示访问被拒绝 问题现象：如下图所示 解决方法：使用管理员权限运行CMD，并执行安装命令。 安装过程中无报错，但管理中心中未出现新安装的云主机？ 查看License是否已到期或可接入数量已用满。 自适应微隔离产品的管理控制台登录方式？ 自适应微隔离产品提供镜像模式，请访问基于此镜像启动云主机的IP地址，访问请忽略证书安全性要求，继续访问即可。 安装了Agent在云主机内，为什么在管理中心看不到新接入的工作负载？ 接入失败存在以下情况： 当接入的工作负载总数超过了授权允许的接入总数或者授权已经到期，将无法接入新的工作负载，请联系厂商获取新的授权。确认是否因为授权限制，可以登录到页面后在右上角的位置查看“系统管理”。 因为授权码无效或者客户端安装失败造成接入失败，可查看在客户端安装过程中的提示信息是否失败，也可以查看/opt/dynarose/log/nodeclient.Info文件是否有授权失败信息。 如何确定是否在云主机内安装自适应微隔离的Agent成功？

复制规则 通过复制规则，只需修改少量配置参数，用户即可快速创建一个和已有规则类似的规则。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > 规则管理”，进入规则管理页面。 3. 选择需要添加规则的类型。 4. 在规则列表中找到目标规则，单击操作列的“复制”。 5. 在弹出的窗口中，修改规则参数。参数说明请参见添加自定义规则。 6. 参数修改完成后，单击“确认”。 启用/禁用规则 为了控制检查规则“误报”和“漏报”之间的均衡关系，系统提供规则开关，用户可自定义开启或关闭文件规则检查项。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > 规则管理”，进入规则管理页面。 3. 选择要操作的规则类型。 4. 在规则列表的启用状态列，可以打开或关闭某一规则。 或勾选多个规则，单击规则列表右上方的“启用”、“禁用”按钮，可以批量启用/禁用规则。 编辑规则 说明 仅支持对自定义规则进行编辑，系统内置规则（创建人为“内置”）不可编辑。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > 规则管理”，进入规则管理页面。 3. 选择需要添加规则的类型。 4. 在规则列表中找到目标规则，单击操作列的“编辑”。 5. 在弹出的窗口中，修改规则参数。参数说明请参见[添加自定义规则](

本小节介绍SSL VPN的产品定义。 SSL VPN是一款基于SSL VPN技术的网络连接服务，通过加密通道的方式，帮助用户在任何时间、任何地点、使用任何主流终端，安全、快速地接入业务系统，能够更好地满足整个组织业务系统的安全发布及接入访问需求。

本节主要介绍示例场景 前提条件 请确保您已拥有天翼云帐号，若您还没有帐号，请先进行注册并实名认证。 请确保您已开通企业项目管理服务EPS，如服务未开通，请首先在天翼云网门户提交申请开通工单。 创建企业项目的用户必须是管理员，或在IAM侧已被授予EPS FullAccess权限的IAM用户。 操作场景 企业项目管理支持通过配置IAM用户对云资源进行分类管理。 若您拥有多种云资源，为了方便云资源的管理和使用的安全性，可以通过创建不同的企业项目和IAM用户并授予不同云服务的管理权限，从而实现IAM用户对云资源的分类管理。 本节以一个案例让您了解如何通过企业项目管理实现IAM用户拥有独立、隔离的云资源管理权限。 操作规划 操作项目 描述 创建用户组 在IAM控制台分别创建用户组TestECSA和TestECSB。 创建IAM用户并添加至用户组 在IAM控制台分别创建用户TestUserA和TestUserB。 将用户TestUserA添加至用户组TestECSA； 将用户TestUserB添加至用户组TestECSB。 创建企业项目并将用户组添加至项目 在企业项目管理页面分别创建企业项目projectA和projectB。 将用户组TestECSA添加至企业项目projectA； 将用户组TestECSB添加至企业项目projectB。 企业项目迁入资源 在企业项目管理页面分别给企业项目projectA和projectB迁入对应的云资源。 操作流程

本章节主要介绍翼MapReduce的配置SNMP北向参数操作。 操作场景 如果用户需要在统一的运维网管平台查看集群的告警、监控数据，管理员可以在FusionInsight Manager使用SNMP服务将相关数据上报到网管平台。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 对接 > SNMP”。 3. 单击“SNMP服务”右侧的开关。 “SNMP服务”默认为不启用，开关显示为表示启用。 4. 根据下表所示的说明填写对接参数。 对接参数 参数名称 参数说明 版本 SNMP协议版本号，取值范围： V2C：低版本，安全性较低。 V3：高版本，安全性更高。推荐使用V3版本。 本地端口 本地端口，默认值“20000”，取值范围“1025”到“65535”。 读团体名 该参数仅在设置“版本”为v2c时可用，用于设置只读团体名。 写团体名 该参数仅在设置“版本”为v2c时可用，用于设置可写团体名。 安全用户名 该参数仅在设置“版本”为v3时可用，用于设置协议安全用户名。 认证协议 该参数仅在设置“版本”为v3时可用，用于设置认证协议，推荐选择SHA。 认证密码 该参数仅在设置“版本”为v3时可用，用于设置认证密钥。 确认认证密码 该参数仅在设置“版本”为v3时可用，用于确认认证密钥。 加密协议 该参数仅在设置“版本”为v3时可用，用于设置加密协议，推荐选择AES256。 加密密码 该参数仅在设置“版本”为v3时可用，用于设置加密密钥。 确认加密密码 该参数仅在设置“版本”为v3时可用，用于确认加密密钥。 说明 “安全用户名”中禁止出现以64的公因子（1、2、4、8等）为单位长度的重复字符串，例如abab，abcdabcd。 “认证密码”和“加密密码”密码长度为8到16位，至少需要包含大写字母、小写字母、数字、特殊字符中的3种类型字符。两个密码不能相同。两个密码不可和安全用户名相同或安全用户名的倒序字符相同。 使用SNMP协议从安全方面考虑，需要定期修改“认证密码”和“加密密码”密码。 使用SNMP v3版本时，安全用户在5分钟之内连续鉴权失败5次将被锁定，5分钟后自动解锁。 5. 单击“添加Trap目标”，在弹出的“添加Trap目标”对话框中填写以下参数： 目标标识：Trap目标标识，一般指接收Trap的网管或主机标识。长度限制1～255字节，一般由字母或数字组成。 目标IP模式：目标IP的IP地址模式，可选择“IPV4”或者“IPV6”。 目标IP：目标IP，要求可与管理节点的管理平面IP地址互通。 目标端口：接收Trap的端口，要求与对端保持一致，取值范围“0～65535”。 Trap团体名：该参数仅在设置版本为V2C时可用，用于设置主动上报团体名。 单击“确定”，设置完成，退出“添加Trap目标”对话框。 6. 单击“确定”，设置完成。

检查CoreDNS Pod的网络连通性 登录CoreDNS Pod所在集群节点。 执行ps aux grep coredns，查询CoreDNS的进程ID。 执行nsenter t n bash，进入CoreDNS所在容器网络命名空间，其中pid为上一步得到的进程ID。 测试网络连通性 运行telnet 6443，测试Kubernetes API Server的连通性。其中apiserverclusterip为default命名空间下Kubernetes服务的IP地址，默认为10.96.0.1。 运行dig @ ，测试CoreDNS Pod到上游DNS服务器的连通性。其中domain为测试域名，upstreamdnsserverip为上游DNS服务器地址。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 检查业务Pod到CoreDNS的网络连通性 选择以下任意一种方式，进入客户端Pod容器网络。 方法一（适合镜像本身含有sh、ping等命令的Pod）： 使用kubectl exec it n /bin/sh命令进入到Pod中。 方法二（适合镜像本身不含常用命令、且稳定运行的Pod）： 登录业务Pod所在集群节点。 执行ps aux grep 命令，查询业务容器的进程ID。 执行nsenter t n bash命令，进入业务Pod所在容器网络命名空间。其中pid为上一步得到的进程ID。 方法三：（适合频繁重启的Pod） 如果运行时是docker：登录业务Pod所在集群节点。 执行docker ps a grep 命令，查询k8sPOD 开头、使用镜像为pause的沙箱容器，记录容器ID。 执行docker inspect grep netns命令，查询/var/run/docker/netns/xxxx的容器网络命名空间路径。 执行nsenter n bash命令，进入容器网络命名空间。(其中netns 路径为上一步得到的路径，且n和 之间不加空格)。 如果运行时是containerd：登录业务Pod所在集群节点，执行crictl ps a grep 根据Pod名称查看容器id。 根据查到的容器id，执行ctr n k8s.io container ls grep 查找完整的容器id（ctr使用的时候，必须写全，而docker对于id的长度没要求） 执行ctr n k8s.io container info grep i pid C 3获取业务Pod中pause容器的pid path里面的数字即为pause容器的pid。 执行nsenter t n 进入容器网络命名空间。 进入容器网络命名空间后，测试网络连通性。 执行dig @ 命令，测试业务Pod到CoreDNS服务kubedns解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中kubedns的服务IP。默认为10.96.0.10。 执行ping 命令，测试业务Pod到CoreDNS容器副本的连通性。其中 为kubesystem命名空间中CoreDNS Pod的IP。 执行dig @ 命令，测试业务Pod到CoreDNS容器副本解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中CoreDNS Pod的IP。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 当无法定位问题时，需要抓包进行辅助诊断。在正常情况下，抓包对业务无影响，仅会增加小部分的CPU负载和磁盘写入。 登录出现异常的业务Pod、CoreDNS Pod所在节点。 在ECS（非容器内）执行以下命令 tcpdump i any port 53 C 20 W 200 w /tmp/clientdns.pcap ，可以将最近所有的53端口信息抓取到文件中。以上命令会对抓取到的包进行rotate，最多可以写200个20 MB的.pcap文件。 结合业务日志的报错定位到精准的报错时间的报文信息。

本文主要介绍弹性负载均衡证书类常见问题。 为什么配置证书后仍出现不安全提示？ 可能由于以下原因导致配置证书后仍出现不安全提示。 1、证书所记录的域名与用户访问的域名不一致，建议排查证书所记录的域名，或创建自签名证书。 2、配置了SNI，输入的域名与证书所记录的域名不一致。 3、域名级别与证书级别不一致，例如域名为5级而证书为4级。 其他情况您也可以使用curl 访问的域名命令，根据系统返回的错误信息进行排查。 ELB是否支持泛域名证书？ 支持，客户上传泛域名证书即可。注意泛域名证书的通配规则，例如泛域名证书的域名.test.com，那么可支持a.test.com、b.test.com等，也可支持a.b.test.com、d.test.com等。 更换证书会导致网络或者ELB连接中断吗？ 不会。 更换证书后，新的证书会立即生效，已经建立的连接会继续使用老证书，新建立的连接将会使用新的证书。 说明 证书过期后，用户访问时会提示“不安全的链接”，一般情况下忽略掉安全告警后，还是可以访问的。

本章介绍如何通过统一身份认证服务对主机迁移服务进行权限管理。 如果您需要对天翼云上的主机迁移服务 （Server Migration Service），给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制对资源的访问范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用SMS的其它功能。 SMS权限 默认情况下，天翼云账号（管理员账号拥有SMS迁移所需要的所有权限，使用管理员账号进行迁移时，不需要进行授权。）创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 SMS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置策略，访问SMS时，不需要切换区域。 如下表所示，包括了主机迁移服务 （SMS）的所有系统角色。由于天翼云各服务之间存在业务交互关系，主机迁移服务的角色依赖其他服务的角色实现功能。因此给用户主机迁移服务的角色时，需要同时授予依赖的角色，主机迁移服务的权限才能生效。 表 常用操作和系统策略的关系 操作 SMS FullAccess（全局项目） OBS OperateAccess（对象存储服务项目） ECS FullAccess VPC FullAccess 创建迁移任务 √ x √ √ 查看迁移进度 √ x x x IAM支持以下两种形式的策略： 系统策略：如果IAM用户需要拥有主机迁移服务(SMS)的所有操作权限，则为IAM用户授予系统策略。 自定义策略：如果IAM用户只需要拥有主机迁移服务(SMS)的部分操作权限，则采用自定义策略。

本节主要介绍Agent管理 操作场景 使用对象存储迁移前需在一台或多台服务器上安装Agent用于迁移其他云服务商对象存储数据到天翼云。 约束限制 安装Agent的服务器必须为Linux系统，操作系统为X64，最低规格为4U8G。且必须与安装RDA的服务器处于同一个VPC、同一个安全组。（保证安装Agent的服务器能够访问安装RDA的服务器的5679端口） 安装Agent的服务器必须处于支持的目的端Endpoint中。 安装Agent的服务器必须加载弹性IP地址（用于访问源端） 操作步骤 步骤 1 在浏览器中输入 步骤 2 单击左侧导航栏的“配置管理”，在“OMS配置管理”页签，单击“Agent管理 > 添加节点”。 步骤 3 在弹出的“添加节点”页面，按照界面提示，配置参数。配置完成后，单击“确认”。 参数 说明 : 名称 用户自定义。 用户名 准备安装Agent服务器的SSH登录用户名。说明若使用云专线，请使用root账号。 密码 准备安装Agent服务器的SSH登录用户的密码。 IP地址 准备安装Agent服务器的私有IP地址。 端口 22 步骤 4 配置完成后，单击“确认”。 添加成功后，系统自动进行程序安装。状态列显示当前安装状态，如下图所示： 初始化 SSH检查中 下载中 上传中 安装中 安装成功离线 安装成功在线 程序安装状态说明 状态 说明 : 初始化 系统初始化 SSH检查中 SSH校验 下载中 下载Agent安装包 上传中 上传Agent安装包 安装中 安装部署Agent服务 安装成功 Agent安装成功离线 Agent安装成功在线

本文介绍如何使用日志服务器。 功能介绍 使用日志服务器功能，将攻击日志、告警日志投递至syslog日志服务器。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为免费版及以上版本。 新建syslog日志服务器 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【日志服务日志服务器】菜单，点击新增。 3. 配置说明如下： 配置说明 配置项 说明 服务器名称 日志服务器的名称 状态 启用时直接开始外发日志；禁用时只是添加记录，不会立即外发日志 协议 默认UDP，下拉支持选择TCP 服务器地址 syslog服务器地址 端口 syslog服务器端口 描述 非必填 日志类型 攻击日志：当前客户的攻击日志 管理日志服务器 新建完日志服务器后，可以进行禁用/启用日志服务器、编辑、删除等管理操作。

查看风险评分 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像设置”，进入镜像设置页面。 3. 选择“风险评分”页签。可以自定义设置评分项。 总分固定为100，所有评分项目总和不得超过100，所有子扣分项的分数不得超过对应评分项目的最大扣分值。 扣分规则为发现即扣分，不考虑该风险项的数量，例如发现高危漏洞扣25分，则无论发现多少高危漏洞都只扣除25分。 在风险评分表的右侧有各个分数段的安全分值说明。 4. 配置完成后，单击“保存”。

本小节介绍态势感知产品优势。 安全态势可视化 提供全局态势、资产态势、脆弱性态势、威胁态势四种大屏，实时监测用户网络存在的风险与威胁，可视化呈现威胁攻击路径动态可视、威胁告警实时滚动播放、受攻击资产和受攻击部门TOP排行、安全态势评分、资产漏洞威胁趋势和分布等，帮助用户全面掌控网络安全态势。 应急协同联动 通过对接权威的网络安全监测平台，将最新的漏洞信息、安全咨询、威胁情报等数据推送至态势感知系统，与国家互联网应急中心（CNCERT）形成协同联动，提升网络安全风险与威胁的发现能力和效率。 多维度风险评估 通过资产属性信息、资产存在的脆弱性以及产生的威胁事件，进行关联分析，以威胁事件的发生为起点，该资产是否存在此类威胁事件相关的漏洞关联，通过自动化收集的资产属性信息确认该资产是否为关键资产，以及该资产是否存在漏洞相关的应用组件或服务，完成多维度风险评估。 威胁事件快速研判 通过威胁事件聚合分析、关联分析、详情分析、攻击原始数据分析等手段，结合威胁情报，快速研判威胁事件的影响范围，还原整个攻击过程，提升威胁事件研判能力和效率。

本文主要介绍 管理备份磁盘 操作场景 备份磁盘通过云备份服务提供的功能实现。 本章节指导用户为磁盘设置备份策略。通过备份策略，就可以实现周期性备份磁盘中的数据，从而提升数据的安全性。 说明 只有当磁盘的状态为“可用”或者“正在使用”，则可以创建备份。 购买云硬盘备份存储库并设置备份策略 步骤 1 登录云备份管理控制台。 1. 登录管理控制台。 2. 选择“存储 > 云备份 > 云硬盘备份”。 步骤 2 在界面右上角单击“创建云硬盘备份存储库”。 步骤 3 （可选）在磁盘列表中勾选需要备份的磁盘，勾选后将在已选磁盘列表区域展示。 图 选择磁盘 说明 所选磁盘的状态必须为“可用”或“正在使用”。 若不勾选磁盘，如需备份可在创建存储库后绑定磁盘即可。 步骤 4 输入存储库容量。此容量为绑定磁盘所需的总容量。存储库的空间不能小于备份磁盘的空间。取值范围为[磁盘总容量，10485760]GiB。 步骤 5 选择是否配置自动备份。 立即配置：配置后会将存储库绑定到备份策略中，整个存储库绑定的磁盘都将按照备份策略进行自动备份。可以选择已存在的备份策略，也可以创建新的备份策略。 暂不配置：存储库将不会进行自动备份。 步骤 6 如开通了企业项目，需要为存储库添加已有的企业项目。 企业项目是一种云资源管理方式，企业项目管理提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 步骤 7 输入待创建的存储库的名称。 只能由英文字母、数字、下划线、中划线组成，且长度小于等于64个字符。例如：vault612c。 说明 也可以采用默认的名称，默认的命名规则为“vaultxxxx”。 步骤 8 单击“立即购买”。 步骤 9 根据页面提示，完成创建。 步骤 10 返回云硬盘备份页面。可以在存储库列表看到成功创建的存储库。