本文介绍云容器引擎的产品优势。 云容器引擎是基于业界主流的Docker和Kubernetes开源技术构建的容器服务，提供众多契合企业大规模容器集群场景的功能，在系统可靠性、高性能、开源社区兼容性等多个方面具有独特的优势，满足企业在构建容器云方面的各种需求。云容器引擎的优点有：大幅提高线上业务的运维、弹性伸缩能力；大幅提高资源、设备及人力的利用率，降低成本；大幅提升产品、业务应用的研发效率。 管理简单 帮助用户屏蔽了底层技术架构，云容器引擎具有强大的集群管理功能，简单的操作流程。用户可自定义集群应用，只需进行简单的单击操作，即可完成业务部署，无需参与底层网络、存储等的技术设计，无需手动搭建docker及kubernetes集群，并进行证书、密钥等配置，减少技术人员的投入，节约人力成本。 云容器引擎平台为集群、应用、容器、网络、配置项、命名空间等丰富的集群资源提供了直观的界面化管理，简化了用户操作。用户可随时随地登陆，进行应用容器的生命周期管理，灵活的安排运行的应用业务，浏览当前具备的资源及业务运行状态，大幅降低了用户的管理成本、运维成本。 安全稳定 云容器引擎服务提供3个master主节点的高可用集群，去中心化式的集群架构，确保当单个主控节点出现问题时，集群也能够无中断的继续运行。相比用户自建的单主控节集群，业务稳定性与连续性大大提高。 云容器服务基于天翼云优秀的IAAS层基础架构搭建，成熟的虚拟化技术、优质的网络架构，以及多层次的安全防护能力，从底层确保了上层容器服务的稳定可靠性。用户可自定义安全组规则，进一步提高隔离水平。 伴随业务版本的快速迭代，云容器引擎服务提供了渐进式的滚动升级策略，搭配容器镜像服务，通过web界面一键完成应用版本升级，无忧实现业务平滑替换，提高业务连续性，保障优质的用户体验感。 云容器引擎提供集群、节点、容器多层面的状态监控，支持全时段的事件监控，应用日志查看，容器健康检查等功能，用户只需登陆容器引擎平台总览页面，即可将集群、网络、CPU、内存资源等信息尽收眼底，时刻把握集群情况，并快速定位故障发生原因，减少运维人力，提高运维效率。 轻松应对 云容器引擎提供了应用层级别的水平伸缩能力，即Horizontal Pod Autoscaling（HPA），支持用户自定义Pod伸缩策略，根据容器资源使用情况，自动快速调整Pod数量，及时应对用户业务流量变化，保障业务对外能力可用。 云容器引擎支持应用与节点、应用间的亲和、反亲和性质的调度策略配置，帮助用户实现节点负载的合理安排和组织，提高系统的稳定性、扩展性。提高各节点的资源利用效率。支持Pod级别迁移策略配置，当节点出现故障时可快速迁移应用。 开放兼容 云容器引擎服务深度整合了天翼云平台成熟的计算、存储、网络、安全等云产品功能，提高了系统的可扩展性。用户可集合平台提供的其它云产品能力，如云主机监控、存储管理等，进一步构建完善云上业务系统。 云容器引擎在Docker技术的基础上，为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等一系列完整功能，提高了大规模容器集群管理的便捷性。云容器引擎基于业界主流Kubernetes实现，完全兼容Kubernetes/Docker社区原生版本，与社区最新版本保持紧密同步，完全兼容Kubernetes API和Kubectl。 特色功能 镜像仓库：容器引擎为用户提供了配套的镜像仓库管理服务，支持创建仓库及镜像管理等基础功能，并为用户提供了丰富的官方镜像资源，覆盖面广，满足用户不同的业务需求，保障了镜像的可靠性与安全性。用户无需自行搭建和运维仓库，即可一键快速完成业务容器化部署，提高业务容器化效率。 天翼云平台为用户提供了专业的售后运营团队，全天候724小时服务。用户可通过工单、电话等渠道，对产品故障进行反应。团队将及时响应，并快速定位问题，解决客户的疑难杂症。

本节介绍智算套件概述。 前提条件 已创建云容器引擎智算版集群。 套件介绍 套件名称 版本 套件说明 驱动管理 1.0.2 为GPU云主机或物理机的算力调度提供硬件驱动。 模型预热 1.8.0 将模型从对象存储预热到本地盘，大幅提升模型部署效率。 智算套件控制面引擎 1.0.5 提供高可用控制面，管理智算套件控制台正常运行。 故障诊断 1.0.3 为集群提供集群巡检、故障诊断等能力。 网络 1.0.3 为集群容器提供使用RDMA网络的能力，包括IB和RoCE。 弹性数据集 1.0.0 支持数据集版本管理，提供弹性加载能力。 弹性训练 1.0.5 为集群提供AI任务接入，兼容主流AI框架和工具，包括TensorFlow、PyTorch、Horovod、Spark等。 GPU安全容器 1.0.0 支持Kata安全容器运行时，满足业务高安全需求。 智能调度 1.0.9 为集群提供智能任务调度策略，可支持Gang、Capacity、Binpack/Spread和Queue等智能调度。 监控 1.0.7 为集群提供硬件监控能力，可采集GPU/NPU，显存等，支持可视化查看GPU的分配、使用和健康状态。

状态 说明 正常 数据库实例运行正常。 异常 数据库实例不可用。 创建中 正在创建数据库实例。 创建失败 数据库实例创建失败。 重启中 按照用户请求，或修改需要重启才能生效的数据库参数后，重启实例中。 主备切换中 正在切换副本集实例的主备节点。 节点扩容中 正在扩容集群实例的shard或mongos节点个数。 删除节点中 正在删除添加失败的节点。 存储扩容中 正在扩容实例的磁盘大小。 规格变更中 正在变更实例的CPU和内存规格。 备份中 正在创建备份。 恢复检查中 该实例下的备份正在恢复到新实例。 修改内网地址中 正在修改节点的内网IP。 修改端口号中 正在修改数据库实例的数据库端口。 修改安全组中 正在修改数据库实例的安全组。

本节介绍如何从云安全中心控制台进入安全体检控制台并使用安全体检产品。 云安全中心提供体安全体检产品的功能，可支持的场景包括高危端口开放情况、弱口令、漏洞开放情况，并输出体检报告。用户可根据需求单独购买。 更多信息请参见安全体检。 使用安全体检 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 4. 在左侧导航栏，选择“安全体检”。 5. 跳转到安全体检控制台，详细操作指导请参见安全体检产品文档。

为避免实例到期给您带来的损失，建议您及时续订关系数据库MySQL版服务。本文为您介绍关系数据库MySQL版如何续订与退订。 续订 您可以根据实际业务需要，续订已到期或未到期的实例，以延长实例的到期时间。更多信息，请参考续订。关于续订计费管理问题，请参考续订管理。 注意 当订购的数据库实例到期时，会暂停相应的数据库服务，您的应用将无法访问数据库服务。为避免影响您的业务，请您及时续订该实例。 退订 您可以根据业务需要，手动退订未到期的实例来释放资源，以节约成本。更多信息，请参考退订。关于退订计费相关问题，请参考退订管理。

本页介绍了关系数据库MySQL版支持的存储引擎和版本。 关系数据库MySQL版服务目前支持的存储引擎为：InnoDB，版本包括：5.7和8.0。 如使用非innodb引擎，比如memory引擎、myisam引擎，可能会导致数据丢失、高可用异常等风险。强烈建议用户均采用innodb引擎，产品侧后续也会限制非innodb引擎表的创建。 对于新上线应用，建议您使用最新版本的存储引擎，建议您选择8.0。用户创建实例时，只能选择大版本，不可选择小版本，创建时将自动选择最新的小版本。数据库存储引擎和版本请以实际环境为准。 表1 数据库存储引擎和版本 数据库存储引擎 单机实例 主备实例 一主两备实例 只读实例 ::::: InnoDB引擎 8.0、5.7 8.0、5.7 8.0、5.7 8.0、5.7

步骤三：在HSS控制台购买容器版配额 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 3、在左侧导航树中，选择“资产管理 > 容器管理”，进入容器管理页面。 4、在页面右上角，单击“购买容器安全”，进入“购买容器安全配额”页面。 5、在购买容器安全配额界面，设置配额的规格。 参数名称 参数说明 取值样例 计费模式 仅支持包年/包月模式 包年/包月 区域 配额的“区域”建议与主机的“区域”相同。 版本选择 选择“容器版”。若需开启按需计费，你可参照开启容器节点防护直接开启防护即可。 容器版 购买节点数 购买的容器版配额数量。 10 购买时长 根据您的需求选择时长。 为避免因服务到期未及时续费导致您的主机遭受攻击，建议勾选“自动续费”。 勾选“自动续费”后，当购买的企业主机安全到期时，如果账号余额充足，系统将自动为购买的企业主机安全续费，续费周期与购买时长保持一致。 若未勾选自动“自动续费”，在即将到期时，请手动续费。 1年 标签 为同一种类型云资源进行自定义标签，帮助您实现快速查找。 cgsdata 6、在页面右下角，单击“立即购买”，进入“订单确认”界面。 7、确认订单无误后，请阅读《主机安全免责声明》，并勾选我已阅读并同意《主机安全免责声明》。 8、 单击“去支付”，进入付款页面，单击“确认付款”，完成支付，购买成功。

本章节介绍了云主机备份的常用功能。在使用云主机备份之前,建议您先通过本章节了解基本概念,以便更好地理解云主机备份提供的功能。 实时增量备份 备份对在线业务运行无影响，无需停机。首次为全量备份，后续增量备份节约存储空间，存储空间按需分配，弹性扩展，缩短备份时长、降低初期投资。 备份配置方式 一次性备份和周期性备份。一次性备份是指用户手动创建的一次性备份任务。周期性备份是指用户通过创建备份策略并绑定云主机的方式创建的周期性备份任务。 崩溃一致性备份 云主机的崩溃一致性备份（云主机内的多个云硬盘的备份为同一时间点创建的；但备份前未冻结应用和文件系统，不备份内存数据），该特性云硬盘备份无法支持。 备份恢复 无论是全量还是增量备份都可以快速、方便的将云主机的数据恢复至备份副本所在时刻的状态。 备份安全 云主机备份通过云主机与对象存储服务的结合，将云主机的数据自动加密备份到对象存储中，高度保障用户的备份数据安全。 使用备份创建镜像 支持使用云主机备份的数据副本创建镜像，再使用创建的镜像创建弹性云主机。 说明 该特性仅部分资源池支持，具体以控制台为准。

本章节介绍了云主机备份的常用功能。在使用云主机备份之前,建议您先通过本章节了解基本概念,以便更好地理解云主机备份提供的功能。 实时增量备份 备份对在线业务运行无影响，无需停机。首次为全量备份，后续增量备份节约存储空间，存储空间按需分配，弹性扩展，缩短备份时长、降低初期投资。 备份配置方式 一次性备份和周期性备份。一次性备份是指用户手动创建的一次性备份任务。周期性备份是指用户通过创建备份策略并绑定云主机的方式创建的周期性备份任务。 崩溃一致性备份 云主机的崩溃一致性备份（云主机内的多个云硬盘的备份为同一时间点创建的；但备份前未冻结应用和文件系统，不备份内存数据），该特性云硬盘备份无法支持。 备份恢复 无论是全量还是增量备份都可以快速、方便的将云主机的数据恢复至备份副本所在时刻的状态。 备份安全 云主机备份通过云主机与对象存储服务的结合，将云主机的数据自动加密备份到对象存储中，高度保障用户的备份数据安全。 使用备份创建镜像 支持使用云主机备份的数据副本创建镜像，再使用创建的镜像创建弹性云主机。 说明 该特性仅部分资源池支持，具体以控制台为准。

本文介绍如何导出网络层攻击事件。 使用场景 业务接入DDoS高防（边缘云版）后，您可以在控制台查询已产生的网络层攻击事件并将事件导出为.xls文件。 前提条件 已开通DDoS高防（边缘云版）。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【攻击事件】【网络层攻击事件】页面。 3.指定要导出的网络层攻击事件时间范围，点击【查询】按钮。 4.点击【导出】按钮，会将查询结果导出为.xls文件。

操作场景 本节操作介绍如何在移动设备上连接Linux实例，轻松地连接和管理您的Linux云主机。 以iTerminalSSH Telnet为例介绍如何在iOS设备上连接 Linux 实例，详细操作请参考iOS设备上登录Linux云主机。 以JuiceSSH为例介绍如何在Android设备上连接 Linux 实例，详细操作请参考Android设备上登录Linux云主机。 前提条件 Linux云主机状态处于“运行中”。 Linux 操作系统首次登录的用户名一般可以设置为 root 或 ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 Linux云主机所在安全组的入方向已开放22端口。 Linux云主机防火墙未开启或开启后放通22端口。 确保使用的登录终端与Linux云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Linux云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 iOS设备上登录Linux云主机 如果您使用iOS设备，请确保已经安装了SSH客户端工具，我们以Termius为例。本示例中使用CentOS 7.6操作系统，使用用户名和密码进行认证。 1. 在iOS设备上启动Termius应用，并单击"New Host"。 2. 在SSH页面上，输入连接信息后，单击 Save。需要提供以下连接信息： Alias（别名）：为连接设置一个名称，例如"ecs01"。 Hostname（主机名）：输入要连接的Linux实例的公网IP地址。 Use SSH（使用SSH）：确保SSH登录配置已打开。 Host（主机）：输入要连接的Linux实例的固定公网IP或弹性IP。 Port（端口）：输入端口号22。 用户名：输入用户名"root"。 密码：输入实例的登录密码。 3. 点击右上角的"Save"按钮，保存登录信息。在Hosts页面上，点击连接的名称以远程连接服务器。 4. 当出现欢迎登录提示时，您已成功连接到Linux云主机。

配置有效期后，在到期前5天，每天会自动发送一次邮件提醒。 操作步骤 1、登录云堡垒机系统。 2、选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3、在“用户有效期倒计时配置”模块的右侧，单击“编辑”，进入“用户有效期倒计时配置”页面。 4、输入用户密码，开启用户有效期倒计时开关状态。 5、单击“确定”，完成配置。

云硬盘广泛应用于多种场景,如企业应用上云、云上虚拟化和核心数据库。 场景一：企业应用上云 场景说明 企业应用上云是企业数字化转型的重要举措，是指将企业的应用程序迁移到云平台上的过程，在此过程中，企业的内部办公系统以及企业外部业务系统都将进行上云搬迁部署。那么企业应用以及企业核心数据库所承载的业务及数据都会应用到云硬盘。 场景架构 产品优势 按需弹性扩展，性能线性增长，满足企业规模增长带来的容量和性能诉求。 提供规格丰富的多种云硬盘，满足不同企业应用对性能的不同诉求。 云硬盘可以挂载至弹性云主机，也可以应用于物理机中，可以匹配不同企业在算力资源不同情况下的存储诉求。 提供云硬盘备份与快照功能，满足企业对数据安全性与可靠性的诉求。 场景二：云上虚拟化 场景说明 采用弹性云主机或物理机构建虚拟化的公有云/私有云平台，结合天翼云自研虚拟化技术，提高IT基础架构业务支撑灵活度，降低系统管理复杂性。高IOPS、低延迟的SSD资源池顺利解决业务高峰期性能瓶颈问题。云硬盘在线扩容实现容量和性能的线性扩展，满足业务增长诉求。

当您使用浏览器登录邮箱发送邮件失败时,可以参考本文。 问题描述 在使用浏览器登录邮箱时直接使用 HTTP 协议，其端口号默认为 80，邮件主机之间还是使用邮件发送协议：SMTP 协议。通过浏览器发送邮件，则需要开放 TCP 出方向端口为 80。 处理方法 1. 在弹性云主机页面找到对应的安全组，单击安全组“ID”，进入“安全组”页面。 2. 在安全组界面，单击“添加规则”。 3. 在弹出的窗口，选择“出方向”，协议为“TCP”，设置端口为“80”单击“确定”完成添加。 在使用邮件客户端收发邮件时，邮件收发使用不同的协议： 发件协议一般使用 SMTP 协议，其端口号为 25； 收件协议使用 POP3 协议，其端口号为 110。 具体操作请参见 1～3。 说明 ：需要添加“入方向”：协议为“TCP”； 端口为“110”和“出方向”：协议为“TCP”，端口 为“25”的规则。

数据库用户 MRS集群系统数据库用户包含OMS数据库用户、DBService数据库用户。 说明 数据库用户不能删除，否则可能导致集群或组件服务无法正常工作。 类别 默认用户 初始密码 描述 OMS数据库 ommdba dbChangeMe@123456 OMS数据库管理员用户，用于创建、启动和停止等维护操作 OMS数据库 omm ChangeMe@123456 OMS数据库数据访问用户 DBService数据库 omm dbserverAdmin@123 DBService组件中GaussDB数据库的管理员用户 DBService数据库 hive HiveUser@ Hive连接DBService数据库用户 DBService数据库 hue HueUser@123 Hue连接DBService数据库用户 DBService数据库 sqoop SqoopUser@ Loader连接DBService数据库的用户

本文为您介绍云防火墙（原生版）的权限管理能力，支持通过IAM实现对云防火墙（原生版）的访问控制、权限分配。 云防火墙（原生版）通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云防火墙（原生版）服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 IAM策略说明 天翼云为云防火墙（原生版）提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 CFW admin 管理员，拥有云防火墙（原生版）全部操作权限。 系统策略 全局级 CFW viewer 仅拥有云防火墙（原生版）查看权限。 系统策略 全局级

服务器安全卫士（原生版）支持的系统OS有哪些？ 天翼云服务器安全卫士（原生版）产品支持64位的Linux和Windows系统服务器的防护，详见支持的操作系统。 购买了服务器安全卫士（原生版）是否能保证系统通过网络安全等级保护测评（等保）？ 网络安全等级保护测评为综合性测评，服务器安全卫士（原生版）只是满足等保中安全计算环境部分对云主机安全的相关要求，其他层面的安全要求需要匹配其他安全设备、配置安全策略来满足。 服务器安全卫士（原生版）是否能以软件形式线下交付？ 不支持线下软件的形式交付。 服务器安全卫士（原生版）和云防火墙一起使用需要注意什么问题？ 服务器前面有防火墙的话，需注意是否做了源IP nat，如果有暴力破解会封禁IP，如果做了nat会封禁nat后的IP，可能影响业务。

本章节主要介绍账号管理 登录名 您可以给数据库创建不同权限的登录帐号，提高数据管理安全性能。 操作步骤 1、登录管理控制台。 2、单击管理控制台右上角的，选择区域和项目。 3、单击页面左上角的，选择“数据库 > 数据管理服务”，进入数据管理服务页面。 4、在左侧导航栏中，单击“开发工具”，进入开发工具页面。 5、选择需要登录的目标数据库实例，单击操作列表中的“登录”，登录目标数据库实例。 6、在顶部菜单“用户管理”下，选择“登录名”，进入登录名页面。 7、单击“新建登录名”。 8、在新建登录名页面设置常规信息、服务器角色、用户映射、安全对象及状态信息，单击“保存”。 登录名信息 说明 登录名 登录该实例的帐号名称。 验证类型 默认选择“Microsoft SQL Server Authentication”。 密码 新建用户的密码，密码复杂度要求如下。 长度为8128个字符至少包含三种字符组合：小写字母、大写字母、数字、特殊字符 ! @ % ^ + ? $ 不包含登录名 不与弱密码相同 确认密码 确认密码需要和设置的密码保持一致。 强制实施密码策略 勾选强制实施密码策略则表示用户密码必须符合SQL Server服务器的密码安全策略。 默认数据库 实例登录后的默认数据库。 默认语言 该数据库的默认语言。 服务器角色 配置当前登录名的服务器角色。 用户映射 配置当前登录名对指定数据库的指定权限。说明选择所需的数据库进行用户映射，会在对应数据库下删除原有数据库用户，并创建新的数据库用户，请谨慎操作。 安全对象 配置当前登录名的服务器级别权限。 状态 勾选“启用”表示允许此用户登录数据库，勾选“禁用”表示禁止此用户登录数据库。 9、单击“返回登录名管理列表”，在“登录名管理列表”中查看新增的登录名信息。 10、“登录名管理列表”中，您可按需进行修改编辑、重命名或者删除操作。

数据库实例绑定公网IP与网络安全策略的配置流程 申请公网IP并绑定到源数据库实例。 具体可参考天翼云数据库绑定公网IP相关文档绑定和解绑弹性公网IP。 源数据库实例与目标数据库实例的网络ACL和安全组配置。 具体可参考同VPC通过VPC网络接入天翼云文档，区别的点是放通源数据库实例的公网IP和DTS实例的公网IP。 数据库添加白名单。 数据库需要添加【DTS实例的配置流程】中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

本文为您介绍云审计服务的应用场景。 合规审计 助力企业用户业务系统符合监管标准，轻松通过等保、IT合规设计认证要求。 安全分析 对用户操作进行详细的记录，可用于越权分析、关键资源变更分析等。 操作追踪 当用户的资源出现异常变更时，云审计所记录的操作日志能帮助用户快速溯源，简化运维。 问题定位 云资源故障时，可通过事件列表快速检索事发时的可疑操作，极大程度提升问题定位的效率。

主机监控分为基础监控、操作系统监控、进程监控。 基础监控：弹性云主机（下文简称ECS）/物理机（下文简称BMS）自动上报的监控指标。 操作系统监控：通过在ECS或BMS中安装Agent插件，为用户提供服务器的系统级、主动式、细颗粒度监控服务。 进程监控：针对主机内活跃进程进行的监控，默认采集活跃进程消耗的CPU、内存，以及打开的文件数量等信息。 功能介绍 多种监控指标 安装Agent后，云监控服务会提供CPU、内存、磁盘、网络等四十余种监控指标，满足服务器的基本监控运维需求。 细颗粒度监控 安装Agent插件后，Agent相关监控指标为 1分钟上报 1 次。 进程监控 采集当前活跃进程占用的CPU、内存和打开文件数，让您了解弹性云服务器或裸金属服务器的资源使用情况。 使用主机监控 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击页面左侧的“主机监控”，进入“主机监控”页面。 4. 选择要安装Agent的ECS或BMS，安装Agent插件。 1. 修改待安装Agent的ECS或BMS的DNS并添加安全组，具体步骤请参见修改DNS与添加安全组（Linux）或修改DNS与添加安全组（Windows）。 2. 安装Agent，具体安装步骤请参见安装Agent（Linux）或安装配置Agent（Windows）。 5. 5分钟后，当插件状态为“运行中”，说明Agent已安装成功。 单击弹性云服务器右侧操作列的“查看监控指标”查看监控数据。

规格 限制 AI云电脑高可用（通用版） 1、不支持AI云电脑加入和退出并发桌面池； 2、故障期间，AI云电脑绑定的弹性IP会变化； 3、故障期间，已开通的增值服务：翼甲卫士、翼共享、安全云应用不可用； 4、故障期间，已创建的对等连接不可用； 5、故障期间，已开通的VPN不可用； AI云电脑高可用（个性版） 1、不支持AI云电脑加入和退出并发桌面池； 2、不支持AI云电脑变更VPC和子网； 3、故障期间，AI云电脑绑定的弹性IP会变化； 4、故障期间，已开通的增值服务：翼甲卫士、翼共享、安全云应用不可用； 5、故障期间，已创建的对等连接不可用； 6、故障期间，已开通的VPN不可用； 7、故障期间，系统盘Windows、Program Files、Program Files(X86)目录的文件修改（包括系统配置修改、应用安装卸载）在故障恢复后不保留； 8、故障期间，删除的文件在故障恢复后会被还原；

本章节主要介绍授权相关问题中有关使用咨询的问题。 DLI细粒度授权 DLI服务不仅在服务本身有一套完善的权限控制机制，同时还支持通过统一身份认证服务（Identity and Access Management，简称IAM）细粒度鉴权，可以通过在IAM创建策略来管理DLI的权限控制。 通过IAM，您可以在云账号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DLI的使用权限，但是不希望他们拥有删除DLI等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DLI，但是不允许删除DLI的权限策略，控制他们对DLI资源的使用范围。 说明 对于新建的用户，需要先登录一次DLI，记录元数据，后续才可正常使用。 IAM是云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 如果云账号已经能满足您的需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DLI服务的其他功能。 DLI系统权限 如下表DLI系统权限所示，包括了DLI的所有系统权限。 权限类别：根据授权精程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DLI服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 系统角色/策略名称 描述 类别 DLI FullAccess 数据湖探索所有权限。 系统策略 DLI ReadOnlyAccess 数据湖探索只读权限。 只读权限可控制部分开放的、未鉴权的DLI资源和操作。例如创建全局变量、创建程序包以及程序包组、default队列提交作业、default数据库下建表、创建跨源连接、删除跨源连接等操作。 系统策略 Tenant Administrator 租户管理员。 操作权限：具有所有云服务的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色 DLI Service Admin DLI服务管理员。 操作权限：具有数据湖探索服务队列、数据的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色

本节介绍云容器引擎的最佳实践：使用等保加固版本CTyunOS镜像。 云容器引擎提供了CTyunOS的等保2.0标准三级版操作系统镜像，该版本操作系统镜像实现了国家信息安全部发布的《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分三级安全要求，其中主要安全加固模块有：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范。用户可以为节点池的工作节点选择实现了等保加固的CTyunOS操作系统。 使用方式 开通新集群在节点池订购页面选择CTyunOS加固版操作系统镜像。 新建节点池选择CTyunOS加固版操作系统镜像并扩容。 升级节点池功能中勾选更换操作系统并选择加固版操作系统镜像。 使用须知 CTyunOS等保加固版本镜像实现了《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分第三级安全要求，但这并不代表该加固版操作系统可以确保通过第三方的操作系统等保加固标准测试，相关通过标准和风险需要用户自行评估。 如需禁用root通过ssh登录并创建管理员账号进行系统管理请用户运行/root/extraenhance.py文件按指引执行。 部分未执行的加固项需要用户根据实际需求自行完成，详细见/root/extraenhance.py文件输出。 虽然等保加固版本的操作系统在性能上与普通版本的操作系统没有显著差距，但是加固项的引入会增加后期用户的维护成本（如密码管理、文件权限管理、日志审计等），因此，如无特殊需要仍建议用户使用普通版本CTyunOS镜像。 CTyunOS等保加固版本镜像对账户密码做了一定的限制，用户在使用过程中需要根据这些限制留意密码的管理和维护，其中包括： 1、密码有效期为90天，密码到期后需要进行密码重置以更新密码的有效期。 2、密码长度至少为8位，并且至少包含一个大写字母、一个小写字母、一个特殊字符以及一个数字字符，在云主机控制台进行密码重置时务必确认输入的密码符合该要求，否则密码重置会失败，如密码test@2025会重置失败，而Test@2025可以重置成功。 3、密码重用次数最大为五次，重用次数超过五次将导致密码重置失败。 4、输入密码错误次数超过五次时将锁定账户禁止登录，锁定时长为900秒。

本章节向您介绍在企业路由器中添加CFW连接。 在企业路由器中添加“云防火墙（CFW）”连接，即创建VPC边界防火墙时选择企业路由器，则会在企业路由器的连接列表中看到对应的“云防火墙（CFW）”连接。 VPC边界防火墙支持VPC之间通信流量的访问控制，可以实现VPC内业务互访活动的可视化与安全防护。 您需要通过云防火墙控制台添加CFW连接，具体操作请参见云防火墙用户指南“开启VPC边界流量防护 > VPC边界防火墙”。

本文介绍如何进行身份管理。 为确保您的天翼云账号及云资源使用安全，如非必要都应避免直接使用天翼云账号（即主账号）来访问ECI。推荐的做法是使用IAM身份（即IAM用户）来访问ECI。 IAM用户 IAM用户需要由天翼云账号（即主账号）或拥有管理员权限的IAM用户来创建，且必须在获得授权后才能登录控制台或使用API访问天翼云账号下的资源。 对于IAM用户的使用，建议您： 使用天翼云账号创建一个IAM用户，并为IAM用户授予管理员权限，后续使用有管理员权限的IAM用户创建并管理其他IAM用户。 将人员用户和程序用户分离。 创建IAM用户时，支持设置控制台访问和OpenAPI调用访问两种访问方式。控制台用户使用账号密码访问云产品控制台，API用户使用访问密钥AK（AccessKey）调用API访问云资源。建议您将两个不同的使用场景分离，避免误操作导致服务受到影响。 按需为IAM用户分配最小权限。 最小权限是指授予用户执行某项任务所需的权限，不授予其他无需用到的权限。最小授权可以避免用户操作权限过大，提高数据安全性，减少因权限滥用导致的安全风险。 不要把IAM用户的AccessKey ID和AccessKey Secret保存在工程代码中，否则可能导致AK泄露，威胁您账号下所有资源的安全。 IAM用户相关操作 创建用户 查看用户详情 重置密码

本节介绍委托、IAM权限策略和RBAC权限关系,以及如何为服务账号授予相应权限。 根据权限类型，分布式云容器平台的权限包括服务角色、IAM权限策略和RBAC权限。您需要为服务账号授予对应的权限，才能正常使用分布式云容器平台的功能。 权限类型 权限类型 是否必须授权 授权说明 委托 使用开通订购功能时必须授权，使用主账号或子账号授权一次即可。 授权后分布式云容器平台才能访问其他关联的云服务资源。 IAM系统权限策略 主账号默认拥有所有权限，无需额外授权。而子账号必须授权后才能访问分布式云容器平台。 授权后子账号才能使用分布式云容器平台系统功能。 RBAC权限 主账号默认拥有所有权限，无需额外授权。子账号可以根据需求授予权限，如果没有授权，则采用默认只读权限。 授权后，子账号才能对分布式云容器平台集群内的K8s资源进行操作。 委托 云服务委托是指，在特定业务场景下，云服务为实现特定功能目标，通过获取其他云服务的访问权限，自动化管理关联资源，从而优化整体服务质量的一种协作机制。 例如，分布式云容器平台上订购注册集群后，需要关联创建ELB、安全组等资源。分布式云容器平台通过委托机制获取关联服务权限，从而自动地完成配置和关联资源创建，提升订购功能的使用体验。 分布式云容器平台目前提供以下服务角色，具体的策略内容请参见IAM控制台。 委托名称 权限说明 CtyunAssumeRoleForCCEONE 分布式云容器平台在集群管控操作中使用该角色访问您在ELB、EIP、安全组等服务中的资源。

本节介绍如何处理暴力破解告警事件。 暴力破解是一种常见的入侵攻击行为，攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制，严重危害资产的安全。 态势感知（专业版）联动企业主机安全（HSS），接收HSS检测到的暴力破解行为，集中呈现和管理告警事件，提升运维效率。 处理告警事件 HSS通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，对发起攻击的源IP进行拦截，并上报告警事件。 当接收到来源于HSS的告警事件时，请登录HSS管理控制台确认并处理告警事件。 若您的主机被爆破成功，检测到入侵者成功登录主机，账户下所有云服务器可能已被植入恶意程序，建议参考如下措施，立即处理告警事件，避免进一步危害主机的风险。 请立即确认登录主机的源IP的可信情况。 请立即修改被暴力破解的系统账户口令。 请立即执行检测入侵风险账户，排查可疑账户并处理。 请及时执行恶意程序云查杀，排查系统恶意程序。 若您的主机被暴力破解，攻击源IP被HSS拦截，请参考如下措施，加固主机安全。 请及时确认登录主机的源IP的可信情况。 请及时登录主机系统，全面排查系统风险。 请根据实际需求升级HSS防护能力。 请根据实际情况加固主机安全组、防火墙配置。

本章节主要介绍安装客户端（3.x及之后版本）。 操作场景 该操作指导安装工程师安装MRS集群所有服务（不包含Flume）的客户端。Flume客户端安装请参见“组件操作指南 > 使用Flume > 安装Flume客户端”。 客户端可以安装集群内节点，也可以安装在集群外节点，本章节以安装目录“/opt/client”为例进行介绍，请以实际集群版本为准。 在集群外节点安装客户端前提条件 已准备一个Linux弹性云主机，主机操作系统及版本建议参见下表。 CPU架构 操作系统 支持的版本号 x86计算 Euler EulerOS 2.5 SUSE SUSE Linux Enterprise Server 12 SP4（SUSE 12.4） RedHat RedHat7.5x8664（RedHat 7.5） CentOS CentOS7.6版本（CentOS 7.6） 鲲鹏计算(ARM) Euler EulerOS 2.8 CentOS CentOS7.6版本（CentOS 7.6） 同时为弹性云服务分配足够的磁盘空间，例如“40GB”。 弹性云主机的VPC需要与MRS集群在同一个VPC中。 弹性云主机的安全组需要和MRS集群Master节点的安全组相同。 弹性云主机操作系统已安装NTP服务，且NTP服务运行正常。 若未安装，在配置了yum 源的情况下，可执行yum install ntp y命令自行安装。 需要允许用户使用密码方式登录Linux弹性云主机（SSH方式）。

编辑域名地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和域名地址列表。 添加域名地址 在域名地址列表上方，单击“添加”，弹出添加域名地址页面，添加域名地址后，单击“确认”，完成添加操作。 编辑域名地址 在域名地址列表的操作列，单击“编辑”，修改域名地址。 删除域名地址 在域名地址列表的操作列，单击“删除”，删除域名地址。 删除域名地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

编辑域名地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和域名地址列表。 添加域名地址 在域名地址列表上方，单击“添加”，弹出添加域名地址页面，添加域名地址后，单击“确认”，完成添加操作。 编辑域名地址 在域名地址列表的操作列，单击“编辑”，修改域名地址。 删除域名地址 在域名地址列表的操作列，单击“删除”，删除域名地址。 删除域名地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

编辑端口地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和端口列表。 添加端口 在端口列表上方，单击“添加”，弹出添加端口页面，添加端口后，单击“确认”，完成添加操作。 编辑端口 在端口列表的操作列，单击“编辑”，修改端口。 删除端口 在端口列表的操作列，单击“删除”，删除端口。 删除端口地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。