您可以在控制台查看关系数据库MySQL版的慢日志，并根据实际情况，导出慢日志或对慢日志进行分析。 背景信息 关系数据库MySQL版的慢日志功能将记录执行时间超过当前慢日志阈值“longquerytime”的语句，通过对慢日志的查看和分析，可以找出执行效率低的语句，以便进行优化。 注意事项 慢日志采集频率为每20分钟，如果执行迁移可用区会导致该时间段的日志丢失。 采集时超过64K长度的SQL语句会被忽略。 查看日志明细 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击日志管理 ，进入错误日志页签。 5. 单击慢日志页签。 6. 在日志列表中，查看慢日志的详细信息。 慢日志功能支持查看指定时间范围的慢日志记录。 针对当前的慢日志功能， 可以设置阈值参数“longquerytime”，当SQL执行时间超过该值时将生成一条慢日志记录（只会影响新增的记录）。比如慢日志阈值参数为1s时，上报了超过1s的慢日志记录，后续调整为0.1s， 原有上报的日志仍然会展示。 说明 目前支持查询并保存7天内的慢日志明细。 对于无法完全显示的“执行语句”，鼠标悬停查看完整信息。 下载慢日志仅支持备份类型为对象存储的情况。公网链接下载时会产生流量费用，具体资费参考备份。内网链接仅适用于在云主机使用。 如选择内网下载，则将链接复制，使用wget ' 公网下载方式的临时下载地址链接有效时间为1小时。

本节介绍等级保护测评合规最佳实践。 等级保护测评背景 网络安全等级保护测评是按照GB/T 222392019网络安全等级保护要求对各行业单位网络信息系统进行等级测评，以满足相关等级安全要求。云服务器需满足等级保护测评中安全计算环境要求，服务器安全卫士（原生版）提供相关安全能力，满足客户合规需求。 安全计算环境要求 服务器安全卫士（原生版）在等级保护测评（三级）“安全计算环境”中可满足项： 等保测评项 满足情况 对应能力说明 身份鉴别 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 满足 服务器安全卫士（原生版）通过基线检测功能帮助用户检测密码策略相关满足情况，协助用户完成策略配置；通过弱口令检测功能保障口令复杂度满足管理情况。 身份鉴别 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 满足 服务器安全卫士（原生版）通过基线检测功能帮助检测实现账户锁定策略相关满足情况，协助用户完成策略配置。 入侵防范 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。 满足 服务器安全卫士（原生版）通过扫描功能能够发现可能存在的已知漏洞，且能够出具修补建议帮助用户修补漏洞。 入侵防范 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。 满足 服务器安全卫士（原生版）通过异常登录、暴力破解、后门检测、可疑操作、反弹Shell等功能对主机进行实时监控，发现入侵行为进行告警。 恶意代码防范 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。 满足 服务器安全卫士（原生版）通过病毒查杀功能可对恶意代码进行查杀，满足该项要求。 说明 其余测评项需用户通过云主机操作系统本身的策略设置满足，服务器安全卫士（原生版）可通过基线检测功能协助客户进行策略检测。

本文主要介绍 使用DNAT访问Kafka实例。 操作场景 使用DNAT访问Kafka实例时，通过端口映射方式，实现Kafka实例对公网提供服务。 前提条件 已购买弹性公网IP，弹性公网IP的数量与Kafka实例中代理个数相同。 步骤一：获取Kafka实例的信息 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例名称，进入实例详情页面。 步骤 5 在“基本信息”页面的“连接信息”区域，获取并记录Kafka实例的内网连接地址。在“网络”区域，获取并记录Kafka实例所在的虚拟私有云和子网。 图Kafka实例信息 步骤二：购买公网NAT网关 步骤 1 在管理控制台左上角单击，选择“网络 > NAT网关”，进入“公网NAT网关”页面。 步骤 2 单击“购买公网NAT网关”，进入“购买公网NAT网关”页面。 步骤 3 设置如下参数。 区域：与Kafka实例保持一致。 名称：您自定义的公网NAT网关名称。 虚拟私有云：选择获取Kafka实例的信息中记录的虚拟私有云。 子网：选择获取Kafka实例的信息中记录的子网。 企业项目：根据实际情况选择。 其他参数请根据实际情况填写，如果想要了解更多的参数信息，请参考《NAT网关 用户指南》的“公网NAT网关 > 管理公网NAT网关 > 购买公网NAT网关”章节。 图 购买公网NAT网关 步骤 4 单击“立即购买”，进入规格确认页面。 步骤 5 确认规格无误后，单击“提交”。

本节主要介绍权限管理类问题 无法找到特定服务的权限怎么办？ 天翼云服务分为项目级服务和全局级服务两种，需正确选择权限作用范围才能找到特定权限。如对象存储OBS属于全局级服务，弹性云主机属于项目级服务。 如已正确选择服务级别和服务名称仍无法找到服务，则该需要设置权限的服务暂不支持IAM。 权限没有生效怎么办？ 企业管理员在IAM控制台给IAM用户设置权限后，IAM子用户登录天翼云后发现权限没有生效，无法使用服务。 1. 可能原因：管理员授予IAM用户所在用户组的权限不正确。 解决方法：管理员确认并修改授予IAM用户所在用户组的权限，方法请参考：用户指南 > 用户组及授权。 2. 可能原因：管理员授予的权限已拒绝相关操作的授权项。 解决方法：管理员查看已授予IAM用户的系统权限详情，确认已授予的权限是否有拒绝操作的语句，方法请参考：用户指南 > 权限管理> 策略。如系统权限无法满足您的场景需要，管理员可以创建自定义策略，允许该操作对应的授权项，方法请参考：用户指南> 权限管理> 自定义策略。 3. 可能原因：管理员给用户组授予权限后，忘记将IAM用户添加至用户组中。 解决方法：管理员将IAM用户添加至用户组中，方法请参见：用户指南 > 用户组及授权> 用户组添加/移除用户。 4. 可能原因：对于区域级服务，管理员没有在在对应的区域进行授权。 解决方法：管理员在对IAM所在用户组授权时，选择对应的区域。如果管理员授予用户默认区域项目的权限，用户只能访问该默认项目中的资源，不拥有该默认项目下IAM子项目的权限，建议您授予IAM用户最小区域权限，方法请参见：用户指南 > 用户组及授权> 创建用户组并授权。 5. 可能原因：对于区域级服务，IAM用户登录控制台后，没有切换到授权区域。 解决方法：IAM用户访问区域级服务时，请切换至授权区域，方法请参见：用户指南 > 项目。 6. 可能原因：管理员授予的OBS权限由于系统设计的原因，授权后需等待1530分钟才可生效。 解决方法：请IAM用户和管理员等待1530分钟后重试。 7. 可能原因：浏览器缓存导致权限信息未更新。 解决方法：请清理浏览器缓存后重试。 8. 可能原因：管理员同时在IAM和企业管理给用户授权，基于企业项目管理权限可能不生效。IAM鉴权优先于企业管理。 解决方法：请管理员根据情况在IAM控制台修改用户权限。

本文介绍云备份的相关术语。 备份客户端 备份客户端（下文简称客户端）是安装在被保护的主机上，用于对云主机或本地服务器进行目录/文件备份的客户端。云备份服务需要搭配备份客户端一同使用，您需要首先在目标主机中安装客户端。 存储库 存储库用于存储您备份在云上的数据。创建备份前，需要先创建至少一个存储库，产生的备份副本会存放至对应的存储库中。 存储库有地域属性，选择合理的存储库地域可以帮助您提高备份性能，布局容灾。存储库创建成功后不能更换地域。 备份计划（备份任务） 备份计划指的是对备份对象执行备份操作时，预先设置的计划。包括备份计划的名称、关联的目标主机、备份目录、关联的存储库、备份周期以及备份数据的保留规则。通过创建备份计划，可以为被保护主机执行自动备份。 备份副本 备份副本即一个备份对象执行一次备份计划产生的备份数据，包括备份对象恢复时所需要的数据。备份副本可以通过执行备份计划产生。 历史任务 每执行一次备份或恢复动作会生成一条单独的任务执行记录，历史任务记录了路径、文件数量、执行时间、结束时间等信息。 地域 地域（Region）是指物理的数据中心的地理区域，从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。

本文介绍如何验证域名归属权。 客户在天翼云控制台新增域名时，需通过域名归属权验证。具体可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 本文以加速域名www.ctcdn.cn为例，为您介绍如何通过DNS解析验证来验证域名归属权。 1.客户需在自己的域名解析服务商（例如：腾讯云、新网等），操作本次要新增域名的【主域名】解析记录，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 注意： 主域名：一级域名，例如：www.ctcdn.cn的主域名为：ctcdn.cn（具体值以添加域名时控制台或API返回的主域名或domainzone值为准）。 主机记录：为固定值：dnsverify。 TXT记录值为根据域名随机生成： 记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt 2.域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 Linux系统解析命令：dig dnsverify.ctcdn.cn txt。 3.如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

本节介绍了文档数据库服务的权限管理说明。 如果您需要对云上购买的DDS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在云账号中给员工创建IAM用户，并授权控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DDS的使用权限，但是不希望他们拥有删除DDS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DDS，但是不允许删除DDS的权限策略，控制他们对DDS资源的使用范围。 如果云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DDS服务的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 DDS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DDS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DDS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DDS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如表所示，包括了DDS的所有系统权限。 DDS系统权限 策略名称/系统角色 描述 类别 依赖关系 DDS FullAccess 文档数据库服务所有权限。 系统策略 无 DDS ReadOnlyAccess 文档数据库服务资源只读权限，拥有该权限的用户仅能查看文档数据库服务数据。 系统策略 无 DDS ManageAccess 文档数据库服务除删除操作外的DBA权限。 系统策略 无 DDS Administrator 文档数据库服务（DDS）管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest和Tenant Administrator角色，在同项目中勾选依赖的角色。 下表列出了DDS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 DDS FullAccess DDS ReadOnlyAccess DDS ManageAccess DDS Administrator 创建实例 √ x √ √ 查询实例列表 √ √ √ √ 删除实例 √ x x √ 重启实例 √ x √ √ 主备倒换 √ x √ √ 修改端口 √ x √ √ 重置密码 √ x √ √ 修改SSL √ x √ √ 修改安全组 √ x √ √ 绑定/解绑公网IP √ x √ √ 磁盘扩容 √ x √ √ 规格变更 √ x √ √ 节点扩容 √ x √ √ 删除扩容失败节点 √ x × √ 修改备份策略 √ x √ √ 重命名实例 √ x √ √ 修改内网IP地址 √ x √ √ 变更实例下节点绑定的参数模板 √ x √ √ 切换慢日志明文显示开关 √ x √ √ 切换审计日志开关 √ x √ √ 下载审计日志 √ x √ √ 删除审计日志 √ x × √ 下载备份文件 √ x √ √ 创建手动备份 √ x √ √ 查询备份列表 √ √ √ √ 恢复到新实例 √ x √ √ 恢复到已有实例 √ x √ √ 删除备份 √ x × √ 创建参数模板 √ x √ √ 查询参数模板列表 √ √ √ √ 修改参数模板 √ x √ √ 删除参数模板 √ x × √ 任务中心列表 √ x √ √ 下表列出了DDS常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表 常用操作与对应的授权项 操作 授权项 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 创建页需要查询对应的VPC、子网、安全组。 创建实例 dds:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 dds:instance:list 查询实例详情 dds:instance:list 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 导出实例列表 dds:instance:list 如果需要导出VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 删除实例 dds:instance:deleteInstance 删除实例需要同时删除数据侧IP地址。 重启实例 dds:instance:reboot 主备倒换 dds:instance:switchover 修改端口 dds:instance:modifyPort 重置密码 dds:instance:resetPasswd 修改SSL dds:instance:modifySSL 修改安全组 dds:instance:modifySecurityGroup 绑定公网IP dds:instance:bindPublicIp 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 解绑公网IP dds:instance:unbindPublicIp 不支持企业项目 不支持细粒度 磁盘扩容 dds:instance:extendVolume 规格变更 dds:instance:modifySpec 节点扩容 dds:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 删除扩容失败节点 dds:instance:extendNode 如果IP地址已经创建完成，但后续流程失败，需要同时删除数据侧IP地址。 修改备份策略 dds:instance:modifyBackupPolicy 重命名实例 dds:instance:modify 修改内网IP地址 dds:instance:modifyVIP vpc:subnets:get vpc:ports:get 修改内网IP地址，需要预先查询出可用的IP地址，再进行修改。 变更实例下节点绑定的参数模板 dds:instance:modifyParameter 切换慢日志明文显示开关 dds:instance:modifySlowLogPlaintextSwitch 切换审计日志开关 dds:instances:modifyAuditLogSwitch 下载审计日志 dds:instances:downloadAuditLog 删除审计日志 dds:instance:deleteAuditLog 下载备份文件 dds:backup:download 创建手动备份 dds:instance:createManualBackup 查询备份列表 dds:backup:list 恢复到新实例 dds:backup:createInstanceFromBackup vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 加密实例需要在项目上配置KMS Administrator权限。 恢复到已有实例 dds:backup:refreshInstanceFromBackup 删除备份 dds:backup:delete 创建参数模板 dds:param:create 查询参数模板列表 dds:param:list 修改参数模板 dds:param:modify 删除参数模板 dds:param:delete 任务中心列表 dds:task:list

此小节介绍企业主机安全策略管理。 企业主机安全旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 操作须知 开启企业版主机防护时，默认绑定“租户侧企业版策略组”（包含“弱口令检测”和“网站后门检测”策略），应用于全部的云服务器，不需要单独部署策略。 购买“旗舰版”或者“网页防篡改赠送旗舰版”后，开启旗舰版/网页防篡改版防护时，默认绑定了“租户侧旗舰版策略组”。 用户也可以通过复制“租户侧旗舰版策略组”的方式，创建自定义策略组，将“租户侧旗舰版策略组”替换为用户的自定义策略组，更加灵活的应用于不同的云服务器或者云服务器组。 策略列表 策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √ 查看策略组列表 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、单击策略组名称，进入查看策略组详情界面，可以查看该策略组的策略列表，包括策略名称、状态、功能类别和支持的操作系统。 “租户侧企业版策略组”和“租户侧旗舰版策略组”中的所有策略默均为“已启用”状态。 若您不需要执行其中一项策略的检测，您可以在策略所在行的“操作”列单击“关闭”，关闭该策略项的检测。请根据您的需要“开启”或者“关闭”策略的检测。 Linux策略组详情 6、单击策略名称，可以查看策略的详情。 若需要修改或配置策略，请参见编辑策略内容。 示例弱口令策略详情

本文介绍如何进行快速分析。 日志包含系统性能和业务信息，如“ERROR”关键词的数量反映系统健康度，“BUY”关键词的数量反映业务成交量。通过快速分析功能，可查询指定日志关键词，云服务日志可针对配置的关键词进行统计并生成指标数据，帮助您实时了解系统性能和业务信息。 前提条件 已接入日志，并已创建对应的日志字段索引。 操作步骤 1. 登录云日志服务控制台。 2. 点击目标日志项目与日志单元，进入日志单元查询页面。 3. 在“原始数据”页签下，左侧将会展示所有的日志字段。其中代表text类型字段，代表double类型字段。 4. 点击字段右侧的三角按钮，将会展示该字段不通值的统计分布。 5. 点击字段右侧的按钮，选择“字段分布值统计”，可基于该字段的不通值的分布情况，生成可视化饼图。您可基于该饼图将其添加至自定义仪表盘中。

故障现象 使用Windows server 2016以上操作系统作为客户端挂载CIFS类型的弹性文件系统失败，故障提示如下： 或 可能原因 Windows系统默认禁止访问匿名的网络共享目录，对于Windows Server 2016以上的系统，都需要配置允许客户端匿名访问。 解决方法 1. 远程连接Windows云主机，打开命令行工具。 2. 执行以下命令： plaintext REG ADD HKEYLOCALMACHINESYSTEMCurrentControlSetservicesLanmanWorkstationParameters /f /v AllowInsecureGuestAuth /t REGDWORD /d 1 3. 修改完成后，在客户端重新挂载文件系统。

本文介绍科研助手的应用类常见问题。 科研助手适用哪些场景？ HPC：适用于视频渲染、视频转码（视频格式转换、视频分辨率变化、添加水印/logo的）、科研教育等领域。 科学计算：适用于仿真模拟、化学分子计算、流体计算等。 生物分析：适用于基因测序、药物检测等领域。 科研助手的核心功能有哪些？ 多资源池管理： 底层资源池ECK专有资源、Serverless共享容器资源池、ECX虚拟机资源池满足不同价格区间的业务需求。 队列管理： 提供对作业队列管理，支持CPU/GPU作业和队列管理。 开发环境： 以云原生的资源使用和开发工具链的集成，为不同类型开发、探索、教学用户，提供更好云化开发体验。

Pytorch安全风险通告,请用户务必关注! 近日，监测到PyTorch存在远程代码执行漏洞（CVE202532434）,当使用 torch.load 加载模型且weightsonlyTrue时，攻击者可以利用此漏洞在目标机器上执行任意命令，可能导致数据泄露、系统入侵，甚至在云托管的AI环境中进行横向移动。 在科研助手中使用Pytorch版本小于2.6.0的客户，请勿下载并使用Pytorch加载非官方发布的模型文件，确保模型来源安全。如下载了带恶意代码的模型，开发机会被攻击者控制、勒索、窃取文件等，为了您的数据安全请使用最新版的Pytorch（公共框架中已提供）或不加载从互联网下载的模型文件。

本文主要介绍了开启重点操作短信验证的操作流程。 操作说明 开启重点操作短信验证保护后，您在进行对云主机进行关机、重启、重装等重点操作的场景时，需输入验证码，以防止错误操作造成的损失和风险。 需要注意的是：短信验证功能一旦开启，所有重点操作统一开启，短信验证的有效期为 15 分钟，15 分钟内做其他操作不需要重复验证。 操作流程 1.登录天翼云账号后，点击右上角登录名下方的“账号中心”，进入“统一身份认证”中，下拉找到“概览敏感操作”。 2.找到“操作保护”，点击“立即修改”，选择“开启”按钮。 3.输入正确验证码，点击”确认“，即可开启重点操作保护。

本节为您介绍云迁移服务CMS中数据迁移服务目标节点添加。 1. 进入“数据迁移工具”，点击“数据源管理”界面。 2. 点击 “添加数据源”按钮，进入“添加数据源”界面，选择“目标节点”。 3. 输入数据源名称，选择数据源类型，输入数据源对应的连接方式。 4. 填写信息完成后，点击“添加数据源”按钮，完成添加，平台显示“添加成功”。 5. 可以在数据源管理界面，看到刚刚添加的源节点。

本节为您介绍云迁移服务CMS中数据库迁移工具使用流程。 使用数据库迁移工具，您需在迁移源数据库、目标数据库和数据库迁移工具控制台进行操作。迁移源数据库和目标数据库，需打通与节点的网络；通过数据库迁移工具控制台进行后续的任务配置等操作。 数据库迁移工具中迁移评估/数据迁移/数据同步/数据订阅服务流程总览如下图所示： 数据库传输工具中的迁移任务需要将数据库源端和目标端与子节点网络打通，具体请见组网视图：

重置节点操作步骤 1. 登录云容器引擎控制台。 2. 单击集群名称进入集群，在左侧点击“ 节点管理 ”，下拉点击“ 节点 ”，选择相关的节点，操作“ 更多 ”处点击“ 重置节点 ”。 3. 点击“ 重置节点 ”，勾选“ 我已阅读并知晓上述信息 ”，点击“ 确定 ”。 验证重置节点 检查节点状态 重置完成后，使用以下命令检查节点状态： kubectl get nodes 确保节点状态为Ready。 检查Pod调度 使用以下命令检查Pod是否已成功调度到其他节点： kubectl get pods o wide 确保所有Pod均处于运行状态。

参数 是否必填 参数类型 说明 示例 下级对象 taskID 是 String 任务ID 参考响应示例 taskName 是 String 任务名称 参考响应示例 pairName 是 String 云容灾保护组名字 参考响应示例 doneTimeDesc 是 String 完成时间 参考响应示例 createTimeDesc 是 String 创建时间 参考响应示例 exeInfo 是 String 执行信息 参考响应示例 ecsName 是 String 产生任务的ecs名称 参考响应示例 ecsID 是 String 产生任务的ecsID 参考响应示例 percentTips 是 String 提示语 参考响应示例 percent 是 String 进度百分比 参考响应示例 taskStatus 是 String 任务状态: 0：未处理 1：成功 2：失败 3：进行中,0、3需要轮训 参考响应示例

操作场景 CCE支持配置工作负载日志策略，便于日志的统一收集、管理和分析，以及按周期防爆处理。 本章节向您介绍如何采集容器标准输出日志。如果您需要通过配置日志策略的方式采集容器内路径日志，请参见采集容器内路径日志。 操作步骤 步骤 1 在创建工作负载时，添加容器后，展开“容器日志”。 步骤 2 保留默认配置，完成工作负载的创建。 步骤 3 查看日志。 工作负载创建完成后，访问nginx。进入工作负载详情页，单击右上角的“日志”按钮可查看日志详情。日志约需要等待5分钟查看。 说明：云容器引擎服务对接了应用运维管理服务AOM提供日志查看、检索功能。

前提条件 如果需要修改审核失败的资质，请先在资质管理 页面查看 操作记录 ，根据审核失败说明准备相应的证明材料。 注意事项 审核中的资质不支持修改或删除。 修改资质时，不能修改资质的企业名称和申请用途，只能修改企业证件信息、企业法人信息、经办人信息等选项。 修改审核失败的签名 1. 登录云通信控制台。 2. 在左侧导航栏，单击 资质管理 。 3. 在资质管理 页面，查看审核状态 显示为未通过 的资质，在操作 列，单击修改 查看原因并修改 ，根据提示修改适当的资质。 4. 单击 提交 ，完成修改。

适用于贵州/福州/杭州/深圳/广州4/苏州/郑州/青岛/西安2/上海4/芜湖/南宁/长沙2/南昌/成都3/乌鲁木齐/昆明/海口/重庆/武汉2/兰州/西宁/太原/石家庄/中卫/长春/天津/北京2/哈尔滨节点 1、云主机做卸载磁盘操作。 2、弹出磁盘卸载提醒界面，并带有验证提示栏如下图， 3、点击去验证，跳转操作保护页面。如下图， 4、点击【免费获取验证码】，验证码会发送到天翼云账号预留手机号，填写正确的验证码，点击【认证】，弹出认证成功（失败）提示框。 5、认证成功自动跳转回磁盘卸载弹窗界面，继续进行卸载操作。

查看库表数据 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例的名称，进入实例详情页面。 步骤 5 单击“诊断优化 > 空间分析”，进入“空间分析”页面。 步骤 6 在“库表数据空间”模块下的“全部库表”页签中，单击对应库前的 ，显示对应库的Schema列表。勾选指定Schema，在右侧列表中可查看对应的表数据。 您也可以单击“TOP 20 表”，查看数据库中大小为TOP 20的表的对应数据。 表 字段说明 字段名称 字段描述 表名 表名称。 表所属 表所属用户名称。 Schema 表所属Schema名称。 数据库名称 表所属数据库名称。 分区表性质 表或者索引是否具有分区表的性质。 Hash 分区列信息 是否包含hash分区列信息。 行数 表中行的数目。 创建时间 创建时间。 上次DDL修改时间 上次DDL修改时间 表总大小 表的大小。 表大小平均值 表大小平均值(表总大小/DN个数，该值为平均分布的理想情况下，表在各DN占用空间大小)。该值只在分布式实例存在。 单DN表大小最大值占比 单DN表大小最大值占比（表在各DN占用空间的最大值/totalsize）。该值只在分布式实例存在。 单DN表大小最小值占比 单DN表大小最小值占比（表在各DN占用空间的最小值/totalsize）。该值只在分布式实例存在。 表分布倾斜值 表分布倾斜值（单DN表大小最大值 单DN表大小最小值）。该值只在分布式实例存在。 表分布倾斜率 表分布倾斜率（表分布倾斜值/表总大小）。该值只在分布式实例存在。 表分布标准方差 表分布标准方差（在表大小一定的情况下，该值越大表明表的整体分布情况越倾斜）。该值只在分布式实例存在。 步骤 7 单击操作列的“表定义”，可以查看具体的表定义信息。 结束

用户可通过本接口向云点播获取指定ID的拼接模板详情。 接口功能介绍 用户可通过本接口向云点播获取指定ID的拼接模板详情。 接口约束 本接口的单用户QPS限制为20次/秒。超过限制，API调用会被限流，这可能会影响您的业务，请合理调用。 URI POST /stitching/template/get 请求体 body 参数 参数 是否必填 参数类型 说明 示例 下级对象 templateId 是 Long 拼接模板ID 100000023685 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 code 是 String 本次请求的结果码。 "0" message 是 String 错误文本信息，执行成功时，为空字符串。 "" data 是 Object 返回数据。 data 表 data 参数 是否必填 参数类型 说明 示例 下级对象 id 是 Long 模板ID 100000023685 name 是 String 模板名称 测试拼接模板1 head 是 Array of Objects 片头 head tail 是 Array of Objects 片尾 tail video 是 String 视频编码 video audio 是 String 音频编码 audio remark 是 String 备注 这是一个测试用的视频拼接模板 表 head 参数 是否必填 参数类型 说明 示例 下级对象 ID 是 String 视频ID af1c37d7c06740d98fb9dd6f76992435 bucket 是 String 存储桶名称 vodoriginxxxx name 是 String 视频名称 head.mp4 regionCode 是 String 视频存储的区域编码 09871 regionName 是 String 视频存储的区域名称 广东资源池1区 source 是 String 视频存储类型 VOD 表 tail 参数 是否必填 参数类型 说明 示例 下级对象 ID 是 String 视频ID af1c37d7c06740d98fb9dd6f76992435 bucket 是 String 存储桶名称 vodoriginxxxx name 是 String 视频名称 head.mp4 regionCode 是 String 视频存储的区域编码 09871 regionName 是 String 视频存储的区域名称 广东资源池1区 source 是 String 视频存储类型 VOD 表 video 参数 是否必填 参数类型 说明 示例 下级对象 follow 是 Boolean 是否跟随主视频 true bitRate 是 String 主视频视频部分预设码率 512kb height 是 Integer 主视频预设分辨率高度 1024 width 是 Integer 主视频预设分辨率宽度 768 表 audio 参数 是否必填 参数类型 说明 示例 下级对象 remove 是 Boolean 是否去除音轨。false保留音轨并按需填充空音频流，true去除音频。 false bitRate 是 String 主视频音频部分预设码率，建议从以下值选择输入 128K/192K/256K/320K，>128k,<10000k。 128kb

本节主要介绍边边网络关联和解除关联VPC网络实例。 使用说明 对应的VPC之间内网互通，其需要加入到同一个边边网络中，即由边边网络侧发起对VPC的关联。 对应地域完成了边边网络规划后，边边网络才可关联该地域下的VPC，部分地域暂无边边网络规划，请以实际开通结果为准。 边边网络关联同账号VPC网络实例 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>边边网络】，查看当前已有的边边网络实例，单击所要关联VPC网络实例的边边网络名称进入边边网络的详情页面。 3. 在详情页面中单击【关联网络实例】，在关联网络实例页面中单击【新增网络实例】进入新增网络实例的弹框。 4. 在新增网络实例的弹框中，其所属账号选择“本账号”，对应本账号下相关地域下的VPC网络实例进行选择，单击【+新增网络实例】可以一次选择多个VPC网络实例。 5. 在确认所要关联的VPC网络实例后，单击【确认】进行添加。 6. 边边网络关联同账号下的VPC网络实例时，VPC侧系统默认为同意加入，可在【边缘网络>虚拟私有云>VPC和子网】列表中查看关联VPC的“关联EEN状态”栏中的显示变成“已关联”，同时单击【已关联】可以在弹框中看到所关联的边边网络信息。 边边网络关联异账号VPC网络实例 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>边边网络】，查看当前已有的边边网络实例，单击所要关联VPC网络实例的边边网络名称进入边边网络的详情页面。 3. 在详情页面中单击【关联网络实例】，在关联网络实例页面中单击【新增网络实例】进入新增网络实例的弹框。 4. 在新增网络实例的弹框中，其所属账号选择“其他账号”，需要填入目标账号邮箱和目标账号下需要关联的VPC实例ID，单击【确认】进行添加。 5. 在边边网络关联异账号的网络实例请求后，对方账号可在【边缘网络>虚拟私有云>VPC和子网】列表查看到关联VPC的“关联EEN状态”显示“异账号关联请求（1）”，单击【异账号关联请求（1）】来确认对应的边边网络信息是否符合预期，并在弹框中单击【同意】或者【拒绝】。

本节介绍“目的端虚拟机已创建场景”下将主机资源一站式迁移到天翼云的方法。 配置目的端 步骤 1 在浏览器中输入 步骤 2 单击左侧导航栏的“ 迁移实施 ”，进入迁移实施界面。 步骤 3 在“ 主机迁移 ”页签下，勾选需要迁移到天翼云的主机资源，单击“ 绑定目的端 ”。 目的端配置 步骤 4 在“ 绑定目的端 ”窗口的基础配置区域，填入要迁移的目标账号，并且选择对应的资源池和区域。会自动列出可供迁移的目标端如下图所示： 选择对应的迁移网络，下一步确认配置。 步骤 5 绑定目的端 完成后，单击“ 一站式迁移 ”，右侧弹出一站式迁移页面。 步骤 6 在一站式迁移 页面，可查看 获取迁移服务器信息 。 在其他配置区域，选择推送模式。 选择 操作 局域网 勾选创建任务（可选）勾选启动任务单击“确定” 公网 输入RDA本机公网IP，勾选创建任务（可选）勾选启动任务单击“确定” 步骤 7 开始服务器全量复制。 步骤 8 （可选）设置目的端时，持续同步选择“是”，全量复制完成后，需要手动启动目的端。 说明 “迁移实时状态”为“已完成”，说明目的端已启动，整个迁移操作已完成 相关操作 可对创建的任务进行如下操作。 如果... 那么... 启动迁移任务 勾选已创建的任务，单击“任务操作→启动迁移任务” 同步迁移任务 勾选已创建的任务，单击“任务操作→同步迁移任务” 停止迁移任务 勾选已创建的任务，单击“任务操作→停止迁移任务”说明只能对迁移中的任务进行停止。 删除迁移任务 勾选已创建的任务，单击“任务操作→删除迁移任务” 卸载Agent 勾选已创建的任务，单击“任务操作→卸载Agent” 修改迁移参数 勾选已创建的任务，单击“任务操作→修改迁移参数” 导出目的端信息 勾选已创建的任务，单击按钮，导出.xlsx格式文件。

此小节介绍云堡垒机文件操作授权管理。 文件操作授权用于控制用户访问资源时对资源内的文件操作的权限。 文件操作权限的可选范围是： 上传：允许/拒绝运维用户上传文件。 下载：允许/拒绝运维用户下载文件。 删除：允许/拒绝运维用户删除文件。 创建目录：允许/拒绝运维用户新建目录。 删除目录：允许/拒绝运维用户删除目录。 移动/重命名：允许/拒绝运维用户移动/重命名文件。 新增文件操作授权 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“授权管理 > 文件操作授权”，进入“文件操作授权”页面。 3.单击“新增”，配置文件操作授权相关内容。 参数 参数说明 取值样例 授权规则名称 自定义资产访问授权的规则名称。 Test 动作 选择此授权规则的动作，可选“允许”或“拒绝”。 允许 启用状态 选择该授权规则的启用状态，默认启用。 用户 （可选）选择需要配置访问授权的用户。 用户组 （可选）选择需要配置访问授权的用户组。 若您选择的用户和用户组存在重合，默认取最大的合集。 资产 （可选）选择需要配置访问授权的资产。 资产组 （可选）选择需要配置访问授权的资产组。 若您选择的资产和资产组存在重合，默认取最大的合集。 资产账号 选择命令授权规则生效的资产账号，添加资产账号请参见：资产账号章节。 文件 选择需要做限制的文件操作动作。可填写具体的文件或文件目录，使用正则表示填写，若填写多个使用回车分行。 若不填写文件范围，默认为全选所有文件。 说明 例如您只想限制tmp文件夹下的同层目录使用，正则表达式可填写：/tmp 例如您想限制tmp目录下所有文件及子目录的使用，正则表达式可填写：/tmp/. 授权时间 选择该规则生效的时间段。 源IP 填写用户登录的源IP地址。 0.0.0.0 风险等级 选择此授权规则的风险等级，共有5个等级可选择。 普通 说明 策略匹配顺序为：允许 > 阻断； 配置时至少需要关联至少一个授权对象，否则该条授权策略不会生效，其余未关联的表示对所有生效； 以基础设施访问授权时，账号必须拥有该基础设施访问授权的访问权限策略才会生效。

步骤5：检查资源部署结果 资源栈部署通常需要260分钟，时间长短取决于资源规模。请您耐心等待。部署成功后，即可查验所有资源状态，更多信息您可查看 查询资源栈 1. 点击页面右上角 刷新icon 刷新状态，等待执行计划创建完成 2. 部署成功！点击 资源 页签，查看成功部署的资源清单 恭喜您成功上手！从现在开始，用资源编排管理您的云资源吧！

服务配额是指天翼云账号在使用云资源时的最大限制。本文将介绍天翼云账号购买弹性IP(Elastic IP Address,简称EIP)后可获得的服务配额。 通用配额 弹性IP (单资源池可开通数量)：单个客户每个账户、单资源池可申请的弹性IP数量为10个，您可以通过提交工单来提升配额。 弹性IP(所有一类节点资源池可开通总数量)：单个客户每个账户、在所有一类节点资源池可申请的弹性IP数量为20个，您可以通过提交工单来提升配额。

弹性IP在开通时即可加入共享带宽,本文帮助您基于共享带宽创建弹性IP。 前提条件 仅当按需创建弹性IP时才可选择选择共享带宽。 操作步骤 1. 登录网络控制台。 2. 在系统首页，单击【网络 > 虚拟私有云】。 3. 在网络控制台选择【弹性 IP】，进入弹性 IP 页面。 4. 单击【申请弹性 IP】。 5. 设置订购参数： 在订购页面选择【按量付费】标签页； 带宽类型，选择【共享带宽】； 共享带宽，选择已经创建的共享带宽实例； 购买数量，根据需要调整。 6. 点击【下一步】。 7. 点击【确认下单】后，购买成功。

VPC名称 VPC网段 子网名称 子网网段 子网关联VPC路由表 弹性云主机名称 私有IP地址 VPCA 主网段：10.0.0.0/16, SubnetA01 10.0.0.0/24 RouterA A01 10.0.0.2 VPCA 扩展网段：192.168.0.0/16 SubnetAExtend01 192.168.0.0/24 RouterA AExtend01 192.168.0.2 VPCB 10.2.0.0/16 SubnetB01 10.2.0.0/24 RouterB B01 10.2.0.2 VPCC 10.3.0.0/16 SubnetC01 10.3.0.0/24 RouterC C01 10.3.0.2

本节将介绍如何将集成的日志数据投递至LTS。 操作场景 态势感知（专业版）支持集成WAF、HSS、CFW等其他云产品日志，具体集成操作及支持集成的云服务请参见云服务接入。 集成后的日志还支持投递至云日志服务（Log Tank Service，简称LTS），方便用户快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。 前提条件 已完成需投递日志的数据集成至态势感知（专业版）操作，详细操作请参见云服务接入。 投递到LTS中，需要已有可用的日志组和日志流。 步骤一：创建数据投递任务 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道后，单击目标管道名称后的“更多 > 投递”，右侧弹出现在数据投递设置页面。 6. （可选）在弹出的授权提示中，确认无误后，单击“确认”，完成授权。 首次投递到目的投递类型需要进行授权，如果已经授权，请跳过该步骤。 7. 在新增投递配置页面中，配置数据投递相关参数。 投递名称：自定义数据投递名称。 账号类型：此处请选择“本账号”。投递到LTS服务仅支持投递本账号内的日志数据。 投递类型：此处请选择“LTS”。 日志组：选择LTS日志组。 日志流：选择目的LTS日志流。 其他配置参数，系统默认生成，无需配置。 8. 单击“确定”。

本节介绍了云容器引擎的Ingress类常见问题。 从外面通过nginxingresscontroller访问Pod时，Pod运行的应用怎么获取真实客户端的IP地址？ 需要配置nginxingresscontroller，把客户端真实的源IP保存在转发报文的Header中，key可以自定义（比如XRemoteAddr或其它key），不过需要和应用约定好使用哪个Key。 从Pod访问外部应用，外部应用拿到的是什么IP？ 拿到的是Pod所在K8S主机的IP。 修改ELB Ingress引用的TLS证书后，需要更新对应负载均衡器的证书 在“网络控制台>弹性负载均衡”找到ELB Ingress对应负载均衡器的HTTPS监听器，然后找到监听器对应的证书，点击证书在证书管理界面中修改证书，将TLS证书内容和私钥上传即可完成更新。

场景 需求说明 操作步骤 无明显波动的计算资源日常管理 创建具有相同规格与属性的云主机，放置于伸缩组内，随时监控主机运行状况。 1. 创建伸缩组 2. 创建伸缩配置（确认伸缩组为“已启用”状态） 3. 绑定伸缩组与伸缩配置 非周期波动的计算资源管理 按照业务需求，为可能到来的访问波动创建告警策略。 1. 创建伸缩组 2. 创建伸缩配置（确认伸缩组为“已启用”状态） 3. 创建伸缩策略（告警策略） 周期波动的计算资源管理 根据周期波动的规律预设伸缩策略，确保计算能力满足业务需求，此类业务通常设置定时/周期策略。 1. 创建伸缩组 2. 创建伸缩配置（确认伸缩组为“已启用”状态） 3. 创建伸缩策略（定时/周期策略）