如何选择数据库安全的Agent安装节点 数据库安全审计的Agent可以安装在数据库端、应用端和代理端。建议您按“数据库端 > 应用端 > 代理端”优先级顺序选择Agent的安装节点。 在各节点上安装Agent的详细说明如表所示。 Agent安装节点 使用场景 审计功能说明 注意事项 数据库端 ECS/BMS自建数据库 可以审计所有访问该数据库的应用端的所有访问记录。 添加Agent时，“安装节点类型”选择“数据库端”。 应用端 无法登录到数据库节点的部署环境（例如，RDS关系型数据库） 可以审计该应用端与其连接的所有数据库的访问记录。 l 添加Agent时，“安装节点类型”选择“应用端”，如图410所示。 l 当某个应用端连接了多个数据库时，如果该应用端的某个数据库已在应用端添加了Agent。其他数据库在添加Agent时，只需要选择“选择已有Agent”添加方式。 代理端 无法登录到数据库节点，且不能在应用端安装Agent的部署环境（例如，RDS关系型数据库且应用端在云下） 只能审计代理与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。 添加Agent时，需要将该代理端作为应用端，即“安装节点类型”选择“应用端”，且“安装节点IP”需要配置为该代理的IP地址。 添加Agent方式说明 在数据库端添加Agent 在应用端添加Agent

本章节为您简单介绍数据库安全网关 主要功能 数据识别 数据库安全网关支持多种关系型数据库、国产数据库、大数据组件、NoSQL、数据库集群等多类型、多环境下的数据精准识别。支持通过对数据库的扫描，定位常见的敏感数据类别（如身份证、手机号、邮箱等），结合定义的数据级别，实现数据的分级分类功能。基于分级分类结果，支持细粒度的动态脱敏与安全规则配置。 访问控制 通过对数据访问主、客体的组合，辅以访问行为与结果的配置，实现精细化访问控制。可针对多种 复杂或特定业务场景自定义安全规则、信任规则等，同时内置多种常见的数据库攻击规则，可以有效防止 对数据库的攻击、避免误操作行为造成的数据库安全隐患。 动态脱敏 通过解析实时数据库访问流量，对 SQL 进行改写，在不影响运维人员正常操作的前提下，提供安全、符合规定的脱敏数据。且内置多种常见脱敏算法（如替换、截断、掩码、随机等），实现用户数据的 “可用不可见”，有效降低数据泄露风险。 运维审批 为避免运维过程中因账号管理混乱、操作不透明等不合规现象导致的数据泄露，以及高危操作（如 Drop Table、Truncate Table）带来的巨大安全风险，运维人员需提交临时授权工单，经多级安全审批人逐级审批 后方可进行操作。审批人可通过系统或邮件进行审批，确保操作流程的公开、透明和合规，保障数据库操 作安全。

本章节为您介绍敏感数据资产的相关内容 若数据库、表、字段的名称或类型发生改变，请及时对所属资产重新扫描，否则容易造成您配置的部分规则失效。 自主扫描 数据库安全网关自主扫描通过配置资产的数据库连接信息，自动获取数据库中的元数据（如库、表、字段等），并对这些数据进行分级和分类。 在数据库安全网关开始扫描前，您可以选择性的在“规则配置 > 敏感数据发现”页面自定义一些敏感数据的发现规则，这将丰富扫描出的敏感数据类型。 1.登录数据库安全网关。 2.在左侧菜单栏选择“资产 > 敏感数据 > 敏感数据扫描”进入敏感数据扫描任务页面。 3.单击“新增”按钮，在弹出的“新增敏感数据扫描任务”页面编辑相关信息后。 选择需要扫描的资产或是Oralce集群，配置登录信息，单击“获取扫描配置”按钮，系统将自动检索并显示“ Schema/数据库名”的列表，同时还会显示每个数据库所包含的数据表数量。 说明 新增敏感数据扫描任务时，若选择已配置默认数据源的资产（默认数据源在“新增资产”时配置），系统会自动识别并填充相应的用户名和密码。 4.勾选需要扫描的“Schema/数据库名”，系统将自动检索出数据库下的所有数据表。 配置项 说明 名称 非必填项，不填则自动生成。填写必须为中文字符、字母、数字、“”、“ .”或“ ” ，长度不超过 64 字符。 所属资产 设置数据来源所隶属的资产。 数据库环境 （仅限MySQL资产填写）根据实际情况选择原生环境或分片环境。 用户名 填写数据库的用户名。 密码 填写数据库的密码。 数据库名 填写数据库名。 获取扫描配置 点击获取扫描配置，系统将自动检索并显示“Schema/数据库名”的列表。 扫描配置 展示所属资产的“Schema/数据库”和“数据表”信息。 5.勾选需要扫描的数据表 ，单击“保存并启动”。保存敏感数据扫描任务配置并立即执行任务。任务状态为“扫描中”。 说明 有且仅有一个敏感数据扫描任务在扫描中，若同时存在多个扫描任务则排队扫描。 6.元数据获取完成后，任务状态会显示“扫描完成”，元数据将保存在“敏感数据管理” 中。 7.单击敏感数据扫描任务条目中的“配置敏感数据列的数字”，将会跳转到“资产 > 敏感数据 > 敏感数据管理”页面 ，且默认带上“扫描任务”和“是否敏感数据”两个查询条件。

数据库密码到期了，如何修改？ 数据库管理员dbadmin的密码，可登录管理控制台选择集群所在行右边的“更多 > 重置密码”进行修改。 出于安全机制考虑，DWS在集群参数中通过以下2个关键参数管理帐户密码，在管理控制台，单击集群名称，切换到“参数修改”可进行参数修改。 failedloginattempts：输入密码错误的次数，超出设置值，数据库帐户会被自动锁定，可通过dbadmin管理帐户执行以下语句解锁。 ALTER USER username ACCOUNT UNLOCK; passwordeffecttime：帐户密码的有效期，单位为天，默认为90。 如何给指定用户赋予某张表的权限？ 给指定用户赋予某张表的权限主要通过以下语法实现，本章主要介绍常见的几种场景，包括只读（SELECT）、插入（INSERT）、改写（UPDATE）和拥有所有权限。 语法格式 GRANT { { SELECT INSERT UPDATE DELETE TRUNCATE REFERENCES TRIGGER ANALYZE ANALYSE } [, ...] ALL [ PRIVILEGES ] } ON { [ TABLE ] tablename [, ...] ALL TABLES IN SCHEMA schemaname [, ...] } TO { [ GROUP ] rolename PUBLIC } [, ...] [ WITH GRANT OPTION ]; 场景介绍 假设当前有用户u1u5，在系统中有对应的同名Schema u1u5，各用户的权限管控如下： u2作为只读用户，需要表u1.t1的SELECT权限。 u3作为插入用户，需要表u1.t1的INSERT权限。 u4作为改写用户，需要表u1.t1的UPDATE权限。 u5作为拥有所有权限的用户，需要表u1.t1的所有权限。 表u1.t1的表权限分类 用户名 用户类型 Grant授权语句 查询 插入 修改 删除 u1 所有者 √ √ √ √ u2 只读用户 GRANT SELECT ON u1.t1 TO u2; √ x x x u3 插入用户 GRANT INSERT ON u1.t1 TO u3; x √ x x u4 改写用户 GRANT SELECT,UPDATE ON u1.t1 TO u4; 须知 授予UPDATE权限必须同时授予SELECT权限，否则会出现信息泄露。 √ x √ x u5 拥有所有权限的用户 GRANT ALL PRIVILEGES ON u1.t1 TO u5; √ √ √ √

数据库引擎 引擎版本 Mysql 5.5,5.6,5.7,8.0 PostgreSQL 10,11,12,13 Oracle 10g,11g,12c

本章节主要介绍翼MapReduce的导出用户信息操作。 操作场景 管理员可以在FusionInsight Manager导出所有已创建的用户信息。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 单击“导出全部”，可一次性导出所有用户信息。 用户信息包含以下几个字段：用户名、创建时间、描述、用户类型（0表示人机帐号，1表示机机帐号）、主组、用户组列表、绑定的角色列表。 4. 在“保存类型”选择“TXT”或“CSV”。单击“确定”开始导出。

本章节主要介绍翼MapReduce的修改用户信息操作。 操作场景 管理员可以在FusionInsight Manager修改已创建的用户信息，包括修改用户组、主组、角色分配权限和描述。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在要修改信息的用户所在行，单击“修改”。 根据实际情况，修改对应参数。 说明 修改用户的用户组，或者修改用户的角色权限，最长可能需要3分钟时间生效。 4. 单击“确定”完成修改操作。

数据库安全审计提供了基础版、专业版和高级版三种服务版本。 产品规格 您可以根据业务需求选择相应的服务版本，各版本的性能规格说明如表所示。 数据库安全审计版本性能规格说明如下： 版本 支持的数据库实例 系统资源要求 性能参数 基础版 最多支持3个数据库实例 CPU：4U 内存：16GB 硬盘：500GB 吞吐量峰值：3,000条/秒 入库速率：360万条/小时 4亿条在线SQ语句存储 50亿条归档SQ语句存储 专业版 最多支持6个数据库实例 CPU：8U 内存：32GB 硬盘：1000GB 硬盘：1T 吞吐量峰值：6,000条/秒 入库速率：720万条/小时 6亿条在线SQ语句存储 100亿条归档SQ语句存储 高级版 最多支持30个数据库实例 CPU：16U 内存：64GB 硬盘：2000GB 硬盘：2T 吞吐量峰值：30,000条/秒 入库速率：1080万条/小时 15亿条在线SQ语句存储 600亿条归档SQ语句存储 说明 数据库实例通过数据库 IP+ 数据库端口计量。如果同一数据库IP具有多个数据库端口，数据库实例数为数据库端口数。1个数据库IP只有1个数据库端口，即为一个数据库实例；1个数据库IP具有N个数据库端口，即为N个数据库实例。例如：用户有2个数据库资产分别为IP1和IP2 ，IP1有一个数据库端口，则为1个数据库实例；IP2有3个数据库端口，则为3个数据库实例。IP1和IP2合计为4个数据库实例，选择服务版本规格时需要大于或等于4个数据库实例，即选用专业版（最多支持审计6个数据库实例）。 不支持修改规格。若要修改，请退订后重购。 本表中在线SQL语句的条数，是按照每条SQL语句的容量为1KB来计算的。

本节介绍了用户指南： 海量文件概述。 云容器引擎支持挂载天翼云海量文件存储卷。cstorcsi插件支持使用海量文件动态存储卷和静态存储卷，通过将海量文件存储卷挂载到容器指定目录下，以满足数据持久化需求。 海量文件服务OceanFS为全托管、可扩展的海量文件系统，适用于海量数据及高带宽应用场景。OceanFS支持弹性扩展至PB级别，具备高可用性与数据持久性，适用于高性能计算、媒体处理、文件共享、内容管理及Web服务等多种场景。 使用限制 插件版本 使用海量文件存储功能，需要cstorcsi插件版本 >3.6.0 文件协议 当前cstorcsi插件仅支持NFS协议 容量 单个文件系统最小容量为100GB subpath模式 在subpath模式下，暂不支持目录配额，subpath使用的容量实际上是整个海量文件的容 其他限制 参见 海量文件使用限制 产品优势 共享访问 1. 支持多台客户端挂载访问同一文件系统，可支持连接上千个客户端实例。 2. 支持NFSv3/v4.1。 3. 支持IPv4和IPv6网络协议。 海量可扩展 1. 用户可以根据业务需要配置文件系统的初始存储容量，后续可以随着数据量的变化而扩容。 2. 支持PB级存储空间。 安全可信 1. 支持使用VPC用户隔离、权限组等安全管理功能进行访问权限控制，保障数据安全可靠。 2. 文件服务支持HA高可用，出现任何硬件故障时，业务自动切换到其他节点，服务可用性在99.95%及以上。 友好易用 1. 操作界面友好、简单易用，用户可通过控制台界面快速轻松地创建、配置和管理文件系统，省去复杂的文件系统部署工作。 2. 提供全托管服务，不必考虑复杂的安装、配置及性能调优工作，用户可轻松创建使用文件系统，只需几分钟便可使用高性能的文件系统。

本章节向您介绍通过企业路由器实现同区域VPC隔离的需求背景与场景。 背景信息 XX企业在天翼云某区域内部署了4个虚拟私有云VPC，业务A、业务B、业务C分别部署在VPC1、VPC2、VPC3，公共业务部署在VPC4中，网络要求如下： 1. 业务A、业务B以及业务C所在的3个VPC需要隔离，不互通。 2. 业务A、业务B以及业务C都需要和公共业务所在的VPC4互通。 说明 您可以使用企业路由器的共享功能，将不同账号下的虚拟私有云添加至同一个企业路由器中构建组网。 操作流程 本文档介绍如何通过企业路由器构建同区域VPC隔离组网。 下表是构建同区域VPC隔离组网流程说明 序号 流程 说明 1 规划组网和资源 规划组网和资源，包括资源数量及网段信息等。 2 创建资源 1、创建企业路由器：创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 2、创建VPC和ECS：创建4个虚拟私有云VPC和4个弹性云主机ECS。 3 配置网络 在企业路由器中配置VPC连接： 1、在企业路由器中添加“虚拟私有云（VPC）”连接：将4个VPC分别接入企业路由器中。 2、在企业路由器中创建路由表；创建2个自定义路由表。 3、在路由表中创建关联和传播：根据网络规划，在两个路由表中分别创建“虚拟私有云（VPC）”连接的关联和传播。 4、在VPC路由表中配置路由：在VPC路由表中配置到企业路由器的路由信息。 4 验证网络互通情况 登录ECS，执行ping命令，验证网络互通情况。

本页面主要介绍数据库连接失败的相关场景和问题。 场景描述 数据库通过公网或内网连接，连接失败。 原因分析 主要从以下几个方面考虑： 1. 排除数据库实例异常 例如：关系数据库MySQL版系统故障，实例状态异常，或已退订。 2. （常见）使用正确的客户端连接方式 1. 内网连接需要实例与ECS云主机必须在同一区域、VPC内。 2. 公网连接需要购买或使用已有弹性IP，并对RDS实例绑定该弹性IP 。 3. 使用正确的SSL方式安全连接 界面SSL开关开启和关闭，分别对应不用的连接命令。例如： 1. 开关开启：mysql h 172.16.0.31 P 3306 u root p sslca/tmp/ca.pem 2. 开关关闭：mysql h 172.16.0.31 P 3306 u root p 4. 排除连接命令错误 例如：连接地址错误、端口参数配置错误、用户名和密码错误、SSL方式下命令错误。 5. （常见）排除网络不通 内网访问 1. 确认ECS云主机与关系数据库MySQL版实例是否在同一个区域，同一VPC内。 2. 检查安全组规则。 安全组外访问安全组内的关系数据库MySQL版实例时，需要为安全组添加相应的入方向规则。 3. 在ECS上测试是否可以正常连接到RDS实例地址的端口。 公网访问 1. 检查安全组规则。 安全组外访问安全组内的RDS实例时，需要为安全组添加相应的入方向规则。 2. 检查网络ACL规则。 3. 相同区域主机进行ping测试。 6. 白名单添加 未将客户端IP加入到白名单，导致无法连接数据库。 7. （常见）排除实例的连接数满的情况 实例连接数过多，可能会导致业务侧无法正常连接。 8. （常见）排除实例的磁盘满的情况 当实例处于“磁盘空间满”状态时，影响数据的正常读写操作。 9. 连接失败的常见报错 包含连接失败的常见报错，以及相应的解决方法。

本章节主要介绍如何配置服务自定义参数。 MRS各个组件支持开源的所有参数，在MRS支持修改部分关键使用场景的参数，且部分组件的客户端可能不包含开源特性的所有参数。如果需要修改其他MRS未直接支持的组件参数，用户可以在MRS通过自定义配置项功能为组件添加新参数。添加的新参数最终将保存在组件的配置文件中并在重启后生效。 对系统的影响 配置服务属性后，需要重启此服务，重启期间无法访问服务。 配置HBase、HDFS、Hive、Spark、Yarn、Mapreduce服务属性后，需要重新下载并更新客户端配置文件。 前提条件 用户已充分了解需要新添加的参数意义、生效的配置文件以及对组件的影响。 已完成IAM用户同步（在集群详情页的“概览”页签，单击“IAM用户同步”右侧的“同步”进行IAM用户同步）。 操作步骤 1.在集群详情页，单击“组件管理”。 2.单击服务列表中指定的服务名称。 3.单击“服务配置”。 4.将页面右侧“基础配置”切换为“全部配置”。 5.在左侧导航栏选择“自定义”，MRS将显示当前组件的自定义参数。 “参数文件”显示保存用户新添加的自定义参数的配置文件。每个配置文件中可能支持相同名称的开源参数，设置不同参数值后生效结果由组件加载配置文件的顺序决定。自定义参数支持服务级别与角色级别，请根据业务实际需要选择。不支持单个角色实例添加自定义参数。 6.根据配置文件与参数作用，在对应参数项所在行“参数”列输入组件支持的参数名，在“值”列输入此参数的参数值。 支持单击和增加或删除一条自定义参数。第一次单击添加自定义参数后才支持删除操作。 修改某个参数的值后需要取消修改，可以单击恢复。 7.单击“保存配置”，勾选“重新启动受影响的服务或实例。”并单击“确定”重启服务。

本文向您介绍如何上传数据到ZOS存储，提供了几种上传方式与适用情形，您可以根据需要选择合适的方式上传数据。 创建对象存储 前提条件： 1. 请确认您已开通对象存储服务，且已在天翼云对象存储控制台获取Access Key、Secret Key和外网访问控制的Endpoint。 2. 该账号为主账号。 创建桶： 桶是对象存储（简称ZOS）中存储对象的容器。您需要先创建一个桶，然后才能在ZOS中存储数据。您可以通过ZOS控制台、客户端、API、SDK 创建桶。 上传数据到ZOS 使用方式 使用说明及参考文档 页面上传 ZOS 官网提供页面上传功能，您可以直接通过管理控制台进行上传，无需手写代码。 使用限制 ZOS管理控制台一次最多可以一次性上传100个文件，总大小为5GB。 如果在ZOS管理控制台只上传一个文件，文件最大大小为5GB。 操作说明 详细操作请见： ++通过控制台上传文件++。 客户端上传 ZOS 也提供了客户端上传方式，您可以在本地使用客户端进行上传。 支持与限制： 未开启分段上传，单个文件最大大小为5GB； 开启分段上传，可以上传小于48.8TB的文件，每个分段最大为5GB。 操作说明 如果数据小于10TB，可使用客户端工具S3Browser上传，详细操作请见++S3Browser使用指导手册++。 如果数据大于10TB，可以搜索开源工具rclone，使用该工具上传数据。 您也可通过++zosutil++命令行工具来上传文件，该工具支持分段上传，可以上传小于48.8TB的文件。每个分段最大5GB，最多支持1万个分片。 SDK ZOS支持多种SDK，关于SDK的代码示例请参见++开发者文档++。 支持与限制： 通过SDK的PUT上传、预签名上传文件和追加上传，可以上传小于5GB的文件。 通过SDK的分段上传和断点续传，可以上传小于48.8TB的文件。每个分段最大5GB，最多支持1万个分片。 Java与Python的SDK支持断点续传。 操作说明 SDK安装包下载及使用可参考++开发者文档++、 ++大文件分段上传++。 迁移工具 操作说明 如果需要将存储在其他对象存储服务中的数据迁移至天翼云 ZOS ，可使用命令行迁移工具：++对象迁移工具++。 如果需要将本地文件、文件夹传输到云上天翼云对象存储（ZOS），以及将云上天翼云对象存储（ZOS）中的对象文件，下载到本地指定文件夹的，可使用++文件上云迁移工具++，该工具支持断点续传。 API 支持与限制： 生成一个临时的预签名的Url，没有权限访问集群的用户可以通过该Url上传文件到集群 操作说明 操作详情请见 ++生成对象上传链接++

此小节介绍设置告警通知。 通过设置告警通知，当数据库发生设置的告警事件时，您可以收到告警的通知邮件。您可以开启或关闭告警通知、设置告警的风险等级以及系统资源的告警信息。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“设置”，进入设置界面。 5. 在“选择实例”下拉列表框中，选择需要设置告警通知的实例。 6. 选择“告警通知”页签。 7. 设置告警通知，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 告警通知 开启或关闭告警通知。数据库安全审计默认开启告警通知，当数据库发生设置的告警事件时，数据库安全审计将发送告警通知邮件。：开启：关闭 告警方式 当前支持邮件通知的告警方式。 邮件通知 每天发送告警总条数 每天允许发送的告警总条数。须知如果每天的告警数超出该参数值，超出部分的告警信息将不会发送通知。 30 告警风险等级 选择产生告警通知的风险日志告警风险等级，可以选择：高中 低 高 CPU告警阈值(%) 设置审计实例系统资源CPU告警的阈值。当超过该阈值时，产生告警通知。 80 内存告警阈值(%) 设置审计实例系统资源内存告警的阈值。当超过该阈值时，产生告警通知。 80 磁盘告警阈值(%) 设置审计实例系统资源磁盘告警的阈值。当超过该阈值时，产生告警通知。 80 8. 单击“应用”。

数据库引擎 引擎版本 Mysql 5.5、5.6、5.7、8.0 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12

本文介绍一些关于RDSPostgreSQL的开发运维建议。 参数部分 数据库参数是数据库系统运行的关键配置信息，设置不合适的参数值可能会影响业务。 修改敏感参数，不当设置会导致信息泄露。例如参数 logstatement，可能会在日志输出中带有敏感信息，若无必要可以设置为none。 性能参数，不当设置会导致无意义的数据库空转或者阻塞，导致读写性能下降。例如参数autovacuum，频率过高会导致占用时间过长，降低实例性能，而频率过低可能会引起清理速度赶不上读写速度，最终导致xid回卷。 数据库重复操作开销 使用连接池。过多的数据库连接会占用宝贵的内存资源，反复创建与销毁连接会增大切换的开销。因而在不影响实际应用的情况下，降低连接数量有利于系统性能优化。业务系统在不影响的情况下，应尽量使用连接池，避免反复创建过多连接，使数据库负荷过重。 使用较大的事务批量处理数据。在不要求分段确认且成功率高的场景下，业务系统应将适当数量的语句放在一个事务内执行，减少反复提交事务的开销。一般的关系型数据库进行事务回滚会有较大时间开销，但关系数据库PostgreSQL版的特性即是回滚时间与事务大小无关，因而事务语句数量阈值相较于其他数据库可以更大一些。

本章节主要介绍如何查看主机和组件日志。 操作步骤 1. 登录翼MR管理控制台。 2. 选择“我的集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 在“节点管理”页签中单击Master节点，选择要进入的Master节点。 4. 单击该节点右侧的“远程连接”。 5. 根据界面提示，输入Master节点的用户名和密码，用户名、密码分别为root和创建集群时设置的密码。 6. 进入对应组件的日志目录，查看相关日志。

本章节主要介绍翼MapReduce服务Yarn健康检查指标项说明。 服务健康状态 指标项名称： 服务状态 指标项含义 ：检查Yarn服务状态是否正常。如果当前无法获取NodeManager节点数时，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理并确认网络无异常。 检查告警 指标项名称： 告警信息 指标项含义 ：检查服务是否存在未清除的告警。如果存在，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理。

资源 模板名称定义 弹性云主机 ctyunecs 云硬盘 ctyunebs 物理机 ctyunebm VPC终端节点 ctyunvpce 弹性IP ctyuneip 共享带宽 ctyunbandwidth 公网NAT网关 ctyunnat 分布式缓存服务Redis版 ctyunredisinstance 弹性负载均衡 ctyunelbloadbalancer 关系数据库MySQL版 ctyunmysqlinstance 关系数据库PostgreSQL版 ctyunpostgresqlinstance 文档数据库服务 ctyunmongodbinstance

本文主要为您介绍云搜索服务操作使用类的常见问题解决方案。 云搜索服务是否支持和Logstash对接？ 支持，Logstash支持使用7.10.2版本。 您可通过在Elasticsearch/OpenSearch实例上加装Logstash节点实现，具体操作步骤参见加装Logstash实例。 云搜索服务是否支持开源组件对应的API？ 天翼云云搜索产品完全兼容Elasticsearch和OpenSearch的开源API。 我们实现了与Elasticsearch/OpenSearch相同的接口和功能，确保用户可以使用现有的API和工具与我们的服务进行交互。无论是进行索引管理、查询、聚合分析还是使用全文搜索功能，用户都可以使用标准的Elasticsearch/OpenSearch REST API来执行这些操作。 云搜索服务实例的管理员密码忘记了怎么办？ 当您想要更换购买时设定的管理员密码，或者忘记了管理员密码时，可以进行重置。 1. 在实例列表中选择需要重置密码的实例，点击实例名称进入详情页，选择安全设置页签。 2. 在页面中的密码重置位置，点击重置密码，填入符合规则的新密码并确认输入。 注意 1. 密码为数字、大写字母、小写字母、特殊符号（@$!% ~?&）的组合。 2. 长度限制为1226位。 3. 不能包含账号信息、连续3个一样字符（大小写字母视为同一字符）、字典序及键盘序。 用户自建Kibana节点如何访问云搜索服务的Elasticsearch集群？ 1. 首先我们需要创建一个天翼云弹性云主机（CTECS）。这里，需要保证以下两点： 1. CTECS和云搜索服务在同一个VPC下。 2. CTECS需要绑定公网弹性IP，并且在安全组配置里，开放5601端口。 2. 获取云搜索服务的内网地址。选中待访问的的Elasticsearch实例，进入“基本信息”，可以在”实例架构图”看到数据节点对应的IP，此IP列表即为Elasticsearch集群的IP地址列表。 3. 在开通的CTECS机器内搭建Kibana服务，并且在config/kibana.yml文件中进行配置修改。下面的配置文件仅作为示例参考： plaintext elasticsearch.username:""//用户名 elasticsearch.password:""//密码 server.port:5601 server.host:"::" server.maxPayloadBytes:1048576 logging.dest:{logpath}//log文件挂载的目录 i18n.locale: zhCN elasticsearch.hosts:[IP1，IP2，IP3...]//Elasticsearch集群的IP地址 自建OpenSearch Dashboards与Kibana方案同理。

本节为Oracle RAC搭建最佳实践做产品介绍、系统及软件版本说明。 场景介绍 Oracle RAC（real application clusters，“实时应用集群”）是一个具有共享缓存架构的集群数据库，它克服了传统的无共享方法和共享磁盘方法的限制，为您的所有业务应用提供了一种具有高度可扩展性和可用性的数据库解决方案。 天翼云弹性裸金属具备物理机级别的资源隔离，同时具备云实例的弹性扩展属性，您可以使用天翼云弹性裸金属搭建高可用的Oracle RAC集群。 系统及软件版本说明 本示例使用的操作系统为CentOS 7.6，Oracle RAC的软件版本为19c。由于Oracle软件为付费产品，需要用户自行购买付费。 RAC是real application clusters的缩写，译为“实时应用集群”，是Oracle数据库中采用的新技术，是高可用性的一种，也是Oracle数据库支持网格计算环境的核心技术。 注意 Oracle RAC部署和运维较为复杂，本文仅针对在天翼云弹性裸金属上进行Oracle RAC集群部署进行操作指导。如涉及线上数据的相关变更，建议专业Oracle DBA进行操作。

本小节主要介绍RDSPostgreSQL实例的操作系统更新。 操作背景 为保证RDSPostgreSQL实例的数据库安全和数据库性能，系统会在合适期间对操作系统进行更新。同时操作系统的补丁更新不会变更您的数据库实例版本信息。 为不影响您的数据库实例使用体验，RDSPostgreSQL会在您设置的可运维时间段内，通过特定方式及时修复操作系统漏洞，加强您的数据库整体安全状况 。

本章节主要介绍在DRDS管理控制台上查看和修改实例日志保留时间和日志文件大小的方法。 注意事项 日志文件滚动存储，单个日志文件大小上限为3072MB，每日最多保留10个。 总存储空间默认为40GB（含其他文件占用），空间用尽后实例会异常，日志文件将无法写入，请谨慎设置。 修改日志策略后，需要重启实例节点，才能生效。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 在左侧目录单击计算节点管理页签。 5. 在节点列表中，找到目标节点，然后在操作 列选择更多 > 查看日志。 6. 在查看日志 面板中，单击日志管理。 7. 在对话框中，配置如下参数。 参数 描述 日志保留时间 单个日志文件保留的时间，取值范围：1天 30天。 日志文件大小 单个日志文件的大小，取值范围：1MB 3072MB。 8. 选中设置日志管理策略后，需手动重启实例节点才生效 ，然后单击确定。 注意 选中该提示语，仅表示已知晓需要手动重启实例节点日志策略，并非系统会自动重启。

本章主要介绍翼MapReduce的更新集群密钥功能。 操作场景 在安装集群时，系统将自动生成加密密钥key值以对集群的部分安全信息（例如所有数据库用户密码、密钥文件访问密码等）进行加密存储。在集群安装成功后，如果原始密钥不慎意外泄露或者需要使用新的密钥，系统管理员可以通过以下操作手动更改密钥值。 对系统的影响 更新集群密钥后，集群中新增加一个随机生成的新密钥，用于加密解密新保存的数据。旧的密钥不会删除，用于解密旧的加密数据。在修改安全信息后，例如修改数据库用户密码，新密码将使用新的密钥加密。 更新集群密钥需要停止集群，集群停止时无法访问。 前提条件 已确认主备管理节点IP。请参见登录管理节点。 停止依赖集群运行的上层业务应用。 操作步骤 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 停止”，输入当前登录的用户密码确认身份。 在确认停止的对话框单击“确定”，等待界面提示停止成功。 3.以omm用户登录主管理节点。 4.执行以下命令，防止超时退出。 TMOUT0 说明 执行完本章节操作后，请及时恢复超时退出时间，执行命令 TMOUT 超时退出时间 。例如： TMOUT600 ，表示用户无操作600秒后超时退出。 5.执行以下命令，切换目录。 cd ${BIGDATAHOME}/omserver/om/tools 6.执行以下命令，更新集群密钥。 sh updateRootKey.sh 根据界面提示，输入 y ： The root key update is a critical operation. Do you want to continue?(y/n): 界面提示以下信息表示更新密钥成功： Step 41: The key save path is obtained successfully. ... Step 44: The root key is sent successfully. 7.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 启动”。 在弹出窗口中单击“确定”，等待界面提示启动成功。

本章节主要介绍翼MapReduce与其他服务的关系。 与其他服务的关系 服务名称 MRS与其他服务的关系 主要交互功能 虚拟私有云（Virtual Private Cloud） MRS集群创建在虚拟私有云（VPC）的子网内，VPC通过逻辑方式进行网络隔离，为用户的MRS集群提供安全、隔离的网络环境。 创建虚拟私有云和子网 对象存储服务（Object Storage Service） 对象存储服务（OBS）用于存储用户数据，包括MRS作业输入数据和作业输出数据： MRS作业输入数据：用户程序和数据文件 MRS作业输出数据：作业输出的结果文件和日志文件 MRS中HDFS、Hive、MapReduce、YARN、Spark、Flume和Loader支持从OBS导入、导出数据。MRS使用OBS的并行文件系统提供服务。 配置存算分离集群（委托方式）配置存算分离集群（AKSK方式）配置HDFS映射方式对接OBS文件系统 弹性云服务器（Elastic Cloud Server） MRS服务使用弹性云服务器（Elastic Cloud Server，简称ECS）作为集群的节点，每个弹性云服务器是集群中的一个节点。 准备运行环境创建集群 关系型数据库（Relational Database Service） 关系型数据库（RDS）用于存储MRS系统运行数据，包括MRS集群元数据和用户计费信息等。 配置数据连接 统一身份认证服务（Identity and Access Management） 统一身份认证服务（IAM）为MRS提供了鉴权功能。 创建用户并授权使用MRSMRS自定义策略IAM用户同步MRS 消息通知服务（SMN） MRS联合消息通知服务（SMN），采用主题订阅模型，提供一对多的消息订阅以及通知功能，能够实现一站式集成多种推送通知方式。 配置作业消息通知 云审计服务（Cloud Trace Service） 云审计服务（CTS）为用户提供MRS资源操作请求及请求结果的操作记录，供用户查询、审计和回溯使用。 见下表

本页面主要介绍关系数据库MySQL版下线暂停实例和调整回收站功能的原因，影响和建议。 原因 暂停实例：由于用户订购实例后，如果操作暂停实例后需恢复服务，需要联系对应客户经理进行相关操作，为标准化数据库实例相关功能，提升用户体验，关系数据库MySQL版计划于2025年12月12日起下线所有资源池的暂停实例功能。 回收站：当前数据库管理中心提供了更为完善的回收站服务，故关系数据库MySQL版将不再单独提供回收站，将于2025年12月12日起关闭MySQL左侧目录的回收站入口，回收站新的服务方式详情可参考实例回收站。 影响 资源池范围： 暂停实例：将于所有II类型资源池下线，资源池信息可见功能概览。 回收站：将于所有II类型资源池进行功能调整。新的回收站功能可参考实例回收站。 建议 为满足客户业务需求场景，后续暂停实例功能将在架构上进行调整，将提供更为完善的暂停实例功能。 实例的回收站功能则建议从新的回收站入口享受服务，可参考实例回收站。

源端配置： 数据源类型 选定为Oracle，可迁移版本范围内的Oracle数据库 服务器IP 待迁移源端数据库的连接IP 端口号 待迁移源端数据库的端口 用户名 用于连接待迁移源端数据库的用户名称 密码 用于连接待迁移源端数据库的用户的密码 服务名 Oracle数据库的service name CDB服务名 Oracle CDB的service name，当oracle为12C以上版本时需填写该字段，以便迁移过程获取所需的数据库系统信息。 迁移用户名 实际要迁移的Oracle模式（schema），一般与用户名一致。

本文为您介绍云硬盘快照的定义、优势、应用场景及使用限制。 产品定义 天翼云云硬盘快照是一种数据备份方式，云硬盘快照服务可以备份或者恢复整个云硬盘的数据，常用于数据备份、制作镜像、应用容灾等。 云硬盘快照能够记录某一块云硬盘在某个时刻的数据，通过回滚将云硬盘数据恢复至快照时间点。还可以通过快照快速创建出多个具有相同数据的云硬盘用于业务部署。 产品优势 弹性扩展：快照容量可弹性扩展，立即生效，不受存储设备性能、容量的限制。 动态收费：根据实际业务数据变化量，按照快照的实际使用容量收费。 安全：提供数据加密服务，快照的加密属性继承其源云硬盘，加密云硬盘所创建的快照也会被加密。 应用场景 数据保护和恢复：快照可以用作数据的备份和恢复手段。当云硬盘的数据发生意外删除、损坏或错误修改时，可以使用快照来恢复到之前的状态。 数据恢复测试：可以使用快照来进行数据恢复测试。在进行关键操作之前，先创建一个快照，然后在测试过程中可以随时回滚到快照状态，以确保操作的安全性和可靠性。 数据备份和归档：通过创建快照，可以定期备份云硬盘的数据，并将快照存档用于长期数据保留、合规要求或法律需求。 批量部署多个业务：通过同一个快照可以快速创建出多个具有相同数据的云硬盘，从而可以同时为多种业务提供数据资源。例如数据挖掘、报表查询和开发测试等业务。

本章为您详细列举出挂载云硬盘时,允许挂载的云主机规格族清单。 云主机规格说明 每个规格的弹性云主机由不同的硬件设备提供，具有不同的性能、价格。根据业务场景和vCPU、内存、网络性能、存储吞吐等配置划分，天翼云云主机提供了多种实例规格类型，一种类型又包括多个实例规格。 实例规格名称格式为x x .xxxx .x ： ：如s、m、c、k、h、f、ip、d等，代表云主机规格类型。其中s为通用型，m为内存优化型，c为计算增强型，k代表鲲鹏，h代表海光，f代表飞腾，ip代表超高IO本地盘云主机、d代表磁盘增强云主机。 ：如2、6等，代表不同硬件规格，更大数字一般拥有更高的性能。 ：如small、medium、large、xlarge等，代表vCPU核数。其中，medium为1 vCPU，large为2 vCPU，xlarge为4 vCPU，small特指1 vCPU 1G内存的小规格。 ：如1、2、4、8等，代表内存GB数和vCPU的比例。 例如，s2.2xlarge.1表示通用型2代云主机，具有8核CPU和8GB内存。 说明 国产云主机海光系列，部分型号已停售。在售型号和停售型号请参见国产云主机海光系列。 国产云主机鲲鹏系列，部分型号已停售。在售型号和停售型号请参见国产云主机鲲鹏系列。

参数 说明 示例 后端主机组 把具有相同特性的后端云主机放在一个组。新创建使用已有说明使用已有后端主机组时， 请确保此后端主机组未被使用。并且只能选择前端协议匹配的后端主机组。 例如前端协议是TCP时，后端协议只能是TCP。 新创建 名称 后端主机组名称。 servergroupsq4v 后端协议 云云主机开通的协议。前端协议为HTTPS时，后端协议支持修改，可修改为HTTP或HTTPS。 HTTP 分配策略类型 负载均衡采用的算法。说明：用户可以根据自身需求选择相应的算法来分配用户访问流量， 提升负载均衡能力。对于加权轮询算法和加权最少连接，当云主机的权重为“0”时，将不会被分发访问请求。 加权轮询算法 会话保持 开启会话保持后，弹性负载均衡将属于同一个会话的请求都转发到同一个云主机进行处理。 说明：当分配策略类型为“加权轮询算法”时，可配置会话保持。 会话保持类型 前端协议为HTTP或HTTPS时，支持负载均衡器cookie类型的会话保持。 负载均衡器cookie 会话保持时间（分钟） 当分配策略类型选择“加权轮询算法”或“加权最少连接”，会话保持开启后，需添加会话保持时间。 四层会话保持的会话保持时间取值范围为[1，60]。七层会话保持的会话保持时间取值范围为[1，1440]。 20 描述 后端主机组的描述。字数范围：0/255。

本节介绍云等保专区产品的最佳实践之主机勒索病毒有效防护。 勒索病毒因其具备快速横向传播、变种迅速、对文件加密等特点因此导致用户难以对其进行有效防护，天翼云云等保专区主机安全提供内核级多维度防御引擎，及时发现并阻断勒索病毒，准确高效地实时保护用户关键数据。 1. 在导航栏选择“高级威胁 > 勒索防御”，进入勒索防御页面。 2. 选择需要设置的引擎类型，点击引擎右侧区域的“去设置”。 勒索诱饵防护引擎：针对勒索病毒遍历文件实施加密的特点，在终端关键目录下放置诱饵文件，当有勒索病毒尝试加密诱饵文件时及时中止进程，阻止勒索病毒的进一步加密和扩散。 勒索行为防护引擎：通过分析常见的勒索软件样本，总结了样本具有的共性特征形成了引擎行为库，系统API级别分析，有效抵御未知勒索病毒。 文件保险柜：添加访问控制策略，对重要文件进行访问权限控制，仅允许配置的例外进程操作，避免被勒索病毒破坏。 3. 进入系统防护页面，选择“勒索防御”，开启“勒索诱饵防护引擎”。 4. 点击“文件保险柜”按钮，弹出文件保险柜对话框，点击“添加一行”，输入保护项 、例外程序后点击“保存”，再点击“确定”，即可添加文件保险柜，针对重要文件进行保护。

天翼云云解析平台提供网站可用性监测和自动切换服务。监测服务依托平台在各大运营商部署的探测节点，通过采集、分析探测数据帮助用户及时了解网站可用性情况。当网站不可用时，平台提供“暂停解析”、“切换IP”等处置策略。启用“切换IP”策略时，平台将根据策略信息自动将域名解析切换至可用IP，确保用户网站安全、稳定运行。 监控原理 监控任务下所有探测节点向用户监控任务中的IP发送http请求，当且仅当所有探测节点连续两次无法接收到应答时，平台判定服务器宕机，从而执行监控任务中的处置策略。 监控规则 目前仅支持对A记录的监测。 新增或变更监控任务生效时间为一小时。 基础版与高级版域名可支持配置10条监控任务，旗舰版域名可支持配置20条监控任务。 故障处置策略 平台提供三种处理策略，分别是不响应、暂停解析、切换记录。 不响应：平台不做任何处理。 暂停解析 故障IP是分线路智能解析记录，若同主机名下仍有默认线路解析记录，暂停故障记录。 故障IP是默认线路解析记录，若同主机名下有其它可用的默认线路解析记录，暂停故障记录。 故障IP是默认线路解析记录，若同主机名下无可用默认线路解析记录，平台不做任何处理。 切换记录：用户配置监控任务时对监控记录设置一个备用IP，故障时切换到可用的备用IP。若切换时备用IP不可用，平台不做任何处理。