用于上架企业常用软件,形成企业的软件仓库,员工通过客户端即可自行下载企业软件。 背景说明 管理员在软件仓库上架企业内常用软件，员工即可在客户端软件仓库自行下载，实现软件高效管理与便捷使用。 注意 客户端版本：支持Windows客户端，需为2.26.10及以上客户端。 套餐版本：已订购终端管理基础版以上套餐或零信任企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏展开软件管控并点击【软件仓库】，查看软件仓库相关内容。 3. 可根据业务需求进行相关配置。 预定义软件库 内置多种类型的软件库，方便管理员直接上架互联网常见软件。 上架软件：此软件对范围内用户或设备可见。 下架软件：此软件不再对任何用户或设备可见。 自定义软件库 点击“上传软件”，输入软件的基础信息和安装包参数，主要字段说明如下。 字段 说明 软件来源 （1）文件上传 支持exe、msi格式的安装包，单次仅支持一个文件，文件大小不超过500M。软件存储空间默认5GB。 （2）在线链接 输入安装包下载链接，而非下载页地址。 软件版本号 参考格式1.1.1，版本号用于软件更新，请准确填写。 上架此版本 默认关闭，即所有员工对此软件不可见。 可以开启，即范围内员工对此软件可见。 运行环境 上架时，仅上架至对应位数的设备。 Windows 64位，Windows 32位。 Windows 64位。 Windows 32位。 运行参数 可用于软件的静默安装，系统将根据此参数执行安装任务，不填写则默认执行交互式安装。 安装校验 用于判断软件是否安装成功，填写几项则校验几项，如未填写则不校验。 通过名称校验：请输入准确的软件名称，否则无法判断软件是否安装成功。 通过发布者校验：请输入软件的发布者信息，以辅助验证安装结果。

本章节主要介绍产品类问题 AOM有哪些使用限制？ 操作系统使用限制 AOM支持多个操作系统，在创建主机时您需选择AOM支持的操作系统，详见下表，否则无法使用AOM对主机进行监控。 AOM支持的操作系统及版本 操作系统 版本 :: SUSE SUSE Enterprise 11 SP4 64bit SUSE Enterprise 12 SP1 64bit SUSE Enterprise 12 SP2 64bit SUSE Enterprise 12 SP3 64bit OpenSUSE 13.2 64bit 42.2 64bit 15.0 64bit（该版本暂不支持syslog日志采集） CentOS 6.3 64bit 6.5 64bit 6.8 64bit 6.9 64bit 6.10 64bit 7.1 64bit 7.2 64bit 7.3 64bit 7.4 64bit 7.5 64bit 7.6 64bit Ubuntu 14.04 server 64bit 16.04 server 64bit 18.04 server 64bit Fedora 24 64bit 25 64bit 29 64bit Debian 7.5.0 32bit 7.5.0 64bit 8.2.0 64bit 8.8.0 64bit 9.0.0 64bit 说明 对于Linux x8664服务器，AOM支持上表中所有的操作系统及版本。 对于Linux ARM服务器，CentOS操作系统仅支持7.4 及其以上版本，上表所列的其他操作系统对应版本均支持。 资源使用限制 在使用AOM时，您需注意以下使用限制，详见下表。 资源使用限制 分类 对象 使用限制 ::: 仪表盘 仪表盘 1个区域中最多可创建50个仪表盘。 1个资源集中最多可创建150个仪表盘。 仪表盘 仪表盘中的图表 1个仪表盘中最多可添加20个图表。 1个仪表盘中最多可添加30个图表。 仪表盘 仪表盘中图表可选资源、阈值规则、组件或主机的个数 1个曲线图中最多可添加100个资源，且资源可跨集群选择。 1个曲线图中最多可添加12个资源，且资源可跨集群选择。 1个数字图只能添加1个资源。 1个阈值状态图表最多可添加10个阈值规则。 1个主机状态图表最多可添加10个主机。 1个组件状态图表最多可添加10个组件。 指标 指标数据 指标数据在数据库中最多保存30天。 指标 指标总量 单租户总指标量不超过40W 小规格总指标量不超过10W 指标 指标项 资源（例如，集群、组件、主机等）被删除后，其关联的指标项在数据库中最多保存30天。 指标 维度 每个指标的维度最多为20个。 每个指标的维度最多为30个。 指标 指标查询接口 单次最大可同时查询20个指标。 指标 统计周期 最大统计周期为1小时。 指标 单次查询返回指标数据 单个指标单次查询最大返回1440个数据点。 指标 自定义指标 无限制。 指标 上报自定义指标 单次请求数据最大不能超过40KB，上报指标所带时间戳不能超前于标准UTC时间10分钟，不接收乱序指标，即有新指标上报后，旧指标上报将会失败。 指标 应用指标 每个主机的容器个数超过1000个时，ICAgent将停止采集该主机应用指标，并发送“ICAgent停止采集应用指标”告警（告警ID：34105）。 每个主机的容器个数缩减到1000个以内时，ICAgent将恢复该主机应用指标采集，并清除“ICAgent停止采集应用指标”告警。 指标 采集器资源消耗 采集器在采集基础指标时的资源消耗情况和容器、进程数等因素有关，在未运行任何业务的VM上，采集器将消耗30M内存、1% CPU。为保证采集可靠性，单节点上运行的容器个数应小于1000。 日志 单条日志大小 每条日志最大10KB，超出后ICAgent将不会采集该条日志，即该条日志会被丢弃。 日志 日志流量 每个租户在每个Region的日志流量不能超过10MB/s。如果超过10MB/s，则可能导致日志丢失。 日志 日志文件 只支持采集文本类型日志文件，不支持采集其他类型日志文件（例如二进制文件）。 日志 每个通过卷挂载日志的路径下，ICAgent最多采集20个日志文件。 日志 每个ICAgent最多采集1000个容器标准输出日志文件，容器标准输出日志只支持jsonfile类型。 日志 采集日志文件的资源消耗 日志文件采集时消耗的资源和日志量、文件个数及网络带宽、backend服务处理能力等多种因素强相关。 日志 日志丢失 采集器使用多种机制保证日志采集的可靠性，尽可能保证数据不丢失，但在如下场景可能导致日志丢失。 日志文件未使用CCE提供的logPolicy轮转策略。 日志文件轮转速度过快，如1秒轮转一次。 系统安全设置或syslog自身原因导致无法转发日志。 容器运行时间过短，例如小于30s。 单节点总日志产生速度过快，超过了单节点网络发送带宽或日志采集速度，建议单节点总日志产生速度 “指标浏览”页面中查看指标曲线时，将插值方式设置为0，系统会自动补点，如图所示 插值方式修改

本文为您介绍合规检测功能的检测范围、前提条件、操作步骤以及配置介绍，帮助您更好地了解合规检测功能。 功能介绍 Web防护可以根据用户实际配置的条件，检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警。 检测范围 请求方法检测：只允许指定请求方法访问网站 请求协议检测：只允许指定协议版本访问网站 请求头部缺失检测：请求缺少指定头部禁止访问网站 数据重复检测：针对头部重复，参数重复进行拦截，禁止访问网站 请求数据长度限制：针对请求URL,头部参数进行长度限制，禁止访问网站 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版及以上版本支持使用合规检测功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】 3. 进入“合规检测”页面，可以配置合规检测策略； 注意：域名新增时，会有一条全站合规检测的默认策略，可以通过【防护开关】来开启或者关闭，客户也可以自定义合规检测规则

本文介绍了API业务监测的相关功能。 功能介绍 API业务监测功能帮助用户实时查看API的业务运行数据包括QPS趋势图、源站状态码响应趋势图、天翼云节点状态码响应趋势图、响应时长趋势图、QPS峰值排行、响应时长排行，同时帮助用户发现和分析业务异常。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单，并在左侧域名列表选择您要管理的域名。 3. 您可以在资产列表中选择具体一项API资产，在操作栏中点击【业务监测】跳转查看单一API粒度的业务监测数据；也可以在API资产表头右侧点击【业务监测】查看域名粒度业务监测数据。

本节介绍服务器安全卫士（原生版）防护配额操作指南。 查看配额详情 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“网页防篡改（原生版） > 防护配额”，进入防护配额页面。 该页面为您展示配额的统计和配额的详情列表。 配额使用：为您展示正常配额的使用情况统计，分为使用中和未绑定2种状态。 配额状态：为您展示所有配额的状态统计，分为正常、已过期和已退订3种状态。 配额列表：展示正常、已过期、已退订3种状态的配额，销毁的配额不展示在列表中，包括配额ID、配额状态、绑定服务器、使用状态、开通时间、到期时间等信息。 该列表可根据配额状态、使用状态、配额ID、服务器名称和服务器IP进行查询。 管理配额 包括配额订购、配额续订、配额退订和到期处理相关操作。 配额订购 详细操作请参见购买网页防篡改配额。 配额续订 您可对已订购的网页防篡改（原生版）配额进行续费。 说明 仅支持对配额状态为未到期、已到期（未过保留期）的配额进行续订。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“网页防篡改（原生版） > 防护配额”，进入防护配额页面。 3. 在页面下方配额列表中，对需要续订的配额，单击操作列的“续订”。 4. 在“续订”页面选择该配额需续订的时长。 5. 阅读《天翼云网页防篡改（原生版）服务协议》，并勾选“我已阅读并同意相关协议《天翼云网页防篡改（原生版）服务协议》“，单击“立即购买”。 6. 进入“付款”页面，完成付款。

本文主要介绍绑定弹性公网IP 操作场景 集群实例创建成功后，支持用户绑定弹性公网IP，通过公共网络访问数据库实例，绑定后也可根据需要解绑。 注意事项 在访问数据库前，您需要在虚拟私有云申请一个弹性公网IP，并将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。 集群实例仅支持mongos节点绑定弹性公网IP。对于已绑定弹性公网IP的节点，需解绑后，才可重新绑定其他弹性公网IP。 绑定弹性IP 步骤 1 在“实例管理”页面，选择指定的集群实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。在“基本信息”区域的mongos节点上，单击“绑定弹性IP”。 您也可以在“基本信息”页面的节点信息区域，选择指定mongos节点，单击操作列的“更多 > 绑定弹性IP”。 步骤 3 在弹出框的弹性IP列表中，显示“未绑定”状态的弹性IP，选择所需绑定的弹性IP，单击“确定”，提交绑定任务。如果没有可用的弹性IP，单击“查看弹性IP”，创建新的弹性IP。 步骤 4 在mongos节点的“弹性IP”列，查看绑定成功的弹性IP。 解绑弹性IP 步骤 1 对于已绑定弹性IP的节点，在“实例管理”页面，选择指定的集群实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。在“基本信息”区域的mongos节点上，单击“解绑弹性IP”。 您也可以在“基本信息”页面的节点信息区域，选择指定mongos节点，单击操作列的“更多 > 解绑弹性IP”。 步骤 3 在弹出框中，单击“确定”，解绑弹性IP。

本节主要介绍如何查询Redis实例分片和副本信息，以及将集群实例的从节点手动升级为主节点的操作。 当前仅Redis 4.0/5.0/6.0的主备、读写分离、集群实例支持该功能，Redis 4.0/5.0/6.0单机实例和Redis 3.0实例不支持该功能。 主备或读写分离实例，分片数为1，默认是一个一主一从的双副本架构，支持通过“分片与副本”查看分片信息，如果需要手动切换主从节点，请执行主备切换操作。 Proxy集群实例，每个集群是由多个分片组成，每个分片默认都是一个双副本架构，您可以通过“分片与副本”查看分片信息，还可以根据业务需要，手动切换分片主从节点。不同实例规格对应的分片数，具体请参考Redis 4.0/5.0 Proxy集群实例。 Cluster集群实例，每个集群是由多个分片组成，每个分片默认都是一个双副本架构，您可以通过“分片与副本”查看分片信息，还可以根据业务需要，手动切换分片主从节点。不同实例规格对应的分片数，具体请参考Redis4.0/5.0 Cluster集群介绍。 升级副本 步骤 1 登录分布式缓存服务管理控制台。 步骤 2 在管理控制台左上角单击，选择区域和项目。 步骤 3 单击左侧菜单栏的“缓存管理”。进入缓存管理页面。 步骤 4 单击缓存实例名称，进入该实例的基本信息页面。 步骤 5 单击“分片与副本”页签，进入分片与副本页面。 界面显示该实例的所有分片列表，以及每个分片的副本列表。 步骤 6 单击分片名称前面的图标，展开当前分片下的所有副本。 分片与副本列表（集群实例） 分片与副本列表（主备实例） 对于集群实例，可以将分片中的从副本升级为主副本。 a. 选择角色为从的副本，单击“升级为主”。 b. 单击“是”，将选择的副本升级为主。 如果是主备实例或读写分离实例，可以设置从副本的“主备切换优先级”或者“摘除域名IP”。 c. 主备切换优先级：当主节点故障以后，系统会按照您指定的优先级，自动切换到优先级最高的从节点上。如果优先级相同，则系统会内部进行选择和切换。优先级为0100，1100优先级逐步降低，1为最高，100为最低，0为禁止倒换。 d. 摘除域名IP：实例的从副本数多于1个，单击“摘除域名IP”，可以摘除对应从副本的IP。如果主备实例只有1个从副本，则不支持摘除域名。

本文介绍了关系数据库MySQL版的关键配置参数信息，合理的参数可以发挥数据库MySQL最大的性能，不合适的参数值可能会影响业务运行。 本文只列举了一些重要参数说明，如需要查看更多参数详细说明，请参见 MySQL官网 。通过控制台界面修改MySQL参数值，请参见 修改参数组。 修改敏感参数 若干参数相关说明如下： lowercasetablenames 云数据库默认值："1" 作用 ：mysql设置大小写是否敏感的一个参数。默认值"1"，表示创建数据库及表时，存储在磁盘是小写的，比较的时候是不区分大小写。 目前关系数据库MySQL版仅支持lowercasetablenames1，不区分大小写，后续将推出支持区分大小写功能，请关注产品动态。 innodbflushlogattrxcommit 云数据库默认值： " 1" 作用 ：该参数控制提交操作安全和高性能之间的平衡。设置为默认值"1"，每次事务提交时，将log buffer的数据写入到log file中，并且同时将log file向磁盘中写入 ；当设为"0"时，每秒将写入log buffer到log file中，且同时将log file向磁盘中写入 （该模式下在事务提交的时候，不会主动触发写入磁盘的操作）；如果设为"2"，则每次事务提交时 将log buffer的数据 写入到log file中，大约每秒将log file向磁盘中写入，与log buffer写入不同步 。 影响 ：参数设置为非默认值"1"时，降低了数据安全性，在系统崩溃的情况下，可能导致数据丢失。设置为"0"时，写入速度快，但是不安全，如果mysqld进程崩溃，导致上一秒的所有事务中的操作数据丢失。设置为"1"时，写入速度最慢，但是安全，即使mysqld进程崩溃或者服务主机宕机，log可能最多只丢失一个语句或者一个事务的操作数据。设置为"2" 时，写入速度快，比 "0" 安全，只有服务主机宕机时，会导致上一秒的所有事务中的操作数据丢失。 POC建议值："2" syncbinlog 云数据库默认值："1" 作用 ：该参数控制MySQL 的二进制日志（binary log）同步到磁盘的频率，取值：0N。设置为默认值"1"，表示每进行1次事务提交之后，MySQL将进行一次fsync之类的磁盘同步指令来将binlogcache中的数据强制写入磁盘，是最安全的设置；设置为"0"时，表示当事务提交之后，MySQL不做fsync之类的磁盘同步指令刷新binlogcache中的信息到磁盘，而让Filesystem自行决定什么时候来做同步，或者cache满了之后才同步到磁盘。此时的性能最好，但风险也是最大，因为断电或操作系统崩溃情况下，在binlogcache中的所有binlog信息都会被丢失。 影响 ：参数设置为非默认值"1"时，降低了数据安全性，在系统崩溃的情况下，可能导致binlog丢失。 POC 建议值 ："1000" innodbbufferpoolsize 云数据库默认值 ： "规格参数，开通的不同实例规格默认值不同"。 作用 ：该参数定义了 InnoDB 存储引擎的表数据和索引数据的最大内存缓冲区大小，数据在内存中的读写速度是磁盘读写速度的很多倍，增加该值可减少磁盘I/O。 影响：过大的buffer pool可能导致系统OOM崩溃，请谨慎修改。 POC建议值：32G及以上规格可将其调整至内存的70%~75%。

优势 多源数据分析免搬迁：关系型数据库RDS中存放车辆和车主基本信息，表格存储中存放实时的车辆位置和健康状态信息，数据仓库DWS中存放周期性统计的指标。通过DLI无需数据搬迁，对多数据源进行联邦分析。 数据分级存储：车企需要保留全量历史数据支撑审计类等业务，低频进行访问。温冷数据存放在低成本的对象存储服务OBS上，高频访问的热数据存放在数据引擎（DWS）中，降低整体存储成本。 告警快速敏捷触发服务器弹性伸缩：对CPU、内存、硬盘空间和带宽无特殊要求。 建议搭配以下服务使用： CDM、OBS、DWS。 大数据ETL处理 运营商大数据分析 运营商数据体量在PB~EB级，其数据种类多，有结构化的基站信息数据，非结构化的消息通信数据，同时对数据的时效性有很高的要求，DLI服务提供批处理、流处理等多模引擎，打破数据孤岛进行统一的数据分析。 优势 大数据ETL：具备TB~EB级运营商数据治理能力，能快速将海量运营商数据做ETL处理，为分布式批处理计算提供分布式数据集。 高吞吐低时延：采用Apache Flink的Dataflow模型，高性能计算资源，从用户自建的Kafka、MRSKafka、DMSKafka消费数据，单CU每秒吞吐1千~2万条消息。 建议搭配以下服务使用： OBS、DataArts Studio。

资费项 计费项 含义 适用的计费模式 存储费 云硬盘备份存储库 备份云硬盘时，需要购买云硬盘备份存储库用于存放云硬盘产生的备份。 按需计费 存储费 云硬盘备份存储库 备份云硬盘时，需要购买云硬盘备份存储库用于存放云硬盘产生的备份。 包年包月 存储费 云主机备份存储库 备份普通云主机（不包含数据库等应用）时，需要购买云主机备份存储库用于存放云主机产生的备份。 按需计费 存储费 云主机备份存储库 备份普通云主机（不包含数据库等应用）时，需要购买云主机备份存储库用于存放云主机产生的备份。 包年包月 存储费 SFS Turbo备份存储库 备份SFS Turbo文件系统时，需要购买SFS Turbo备份存储库用于存放SFS Turbo文件系统产生的备份。 按需计费 存储费 SFS Turbo备份存储库 备份SFS Turbo文件系统时，需要购买SFS Turbo备份存储库用于存放SFS Turbo文件系统产生的备份。 包年包月 存储费 数据库服务器备份存储库 备份包含数据库等应用的云主机时，需要购买数据库服务器备份存储库用于存放云主机产生的备份。 按需计费 存储费 数据库服务器备份存储库 备份包含数据库等应用的云主机时，需要购买数据库服务器备份存储库用于存放云主机产生的备份。 包年包月 存储费 混合云备份存储库 混合云备份分为文件备份和VMware备份，购买存储库时请根据实际情况进行购买。 按需计费 存储费 混合云备份存储库 混合云备份分为文件备份和VMware备份，购买存储库时请根据实际情况进行购买。 包年包月

本文主要介绍云日志服务中查看告警发送历史。 告警发送历史支持展示当前租户下所有发送的告警历史，支持筛选和对告警信息进行操作。 功能入口 1. 登录云日志服务控制台。 2. 在左侧导航栏中选择告警管理告警发送历史。 功能说明 展示当前租户下所有告警发送信息。 支持对告警名称、告警状态、告警等级、通知策略和创建时间进行筛选。 告警名称：显示告警规则名称。 告警状态：显示事件当前状态是待认领、已解决、处理中。 告警等级：显示告警的重要层级分布是一般、次要、重要、紧急。 通知策略：告警对应的通知策略。 处理人：告警的最新解决/认领人。 创建时间：告警产生的时间。 支持认领、解决、指定处理人操作。 认领：当告警处于待认领状态时，可主动领取当前告警。 解决：当告警处于待认领/处理中状态时，点击解决可更新告警状态为已解决。 指定处理人：指定他人处理该告警。 支持查看告警详情。

下载日志文件 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在左侧导航树，单击“慢日志”。 步骤 6 在“慢日志”页面，选择“日志文件”页签，在状态为“准备完成”的日志文件上，单击“下载”，下载慢日志。 慢日志 系统会自动加载下载准备任务，加载时长受日志文件大小及网络环境影响。 下载准备过程中，日志文件状态显示为“准备中...”。 下载准备完成，日志文件状态显示为“准备完成”。 下载准备失败，日志文件状态显示为“异常”。 一个节点对应一个待下载的日志文件，最大支持下载40MB日志文件。 下载链接有效期为5分钟。如果超时，提示用户下载链接已失效，是否重新下载。如果需要重新下载，单击“确定”，否则，单击“取消”。

本页介绍天翼云TeleDB数据库元数据pgchildalias的内容。 存储管理分区表子表别名。 名称 类型 定义 parentoid Oid 父表的OID aname NameData 别名名称 childoid Oid 子表的OID

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到分区Leader不可用动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录分布式消息服务Kafka控制台，观测分区指标。 2、业务应用验证： 检查您的生产者和消费者应用的日志，确认是否存在因找不到领导者（No Leader available）、分区不可用、请求超时等原因导致的错误。 确认您的业务监控系统是否成功捕获到 Kafka 分区Leader不可用、Leader重选举等集群异常及客户端错误，并触发了相应的告警。 验证您的客户端重试机制、分区Leader自动切换适配逻辑是否按预期工作，确保故障后能正常连接新选举的Leader并恢复消息收发。

本文介绍如何处理“不小心将CentOS根目录权限设置成777”的问题。当您出现类似问题时可参考本文。 问题描述 当您不小心执行了chmod R 777 /命令，导致CentOS云主机根目录以及下边的所有文件权限均被设置成了对所有用户都是可读、可写和可执行的。本文操作介绍如何修复该问题，但为了避免安全风险，建议您在进行完操作后立即备份数据并重装系统。 操作步骤 以下操作在CentOS8.0操作系统中进行了测试验证。 1. 不要退出故障云主机，在故障云主机上执行以下命令，修改ssh以及su相关的文件权限。 cd /etc chmod 644 passwd group shadow chmod 400 gshadow cd /etc/ssh chmod 600 moduli sshkey chmod 644 sshconfig ssh.pub chmod 640 R sshdconfig sshconfig.d chmod 711 /var/empty/sshd chmod u+s 'which su' 2. 执行systemctl status sshd 查看sshd状态，如果为错误状态，请查看错误原因，修改相关文件权限，直到sshd状态正常，然后进入下一步。 3. 创建一台权限正常的临时云主机：Linux操作系统，内核版本与故障云主机相同。 4. 执行以下命令，将所有文件的权限记录下来。 getfacl R / >systemp.bak 5. 使用scp命令将systemp.bak文件上传到故障云主机中，或者在故障云主机中下载该文件。 6. 在故障云主机中进行权限恢复操作。 setfacl restoresystemp.bak 7. 执行reboot命令重启操作系统。绝大多数系统文件的权限已经被恢复，但为了安全，请及时备份数据并重装系统。

您可以通过Prometheus告警规则模板功能来统一管理分布在不同地域的多个Prometheus实例的告警规则。本文介绍如何创建和管理Prometheus告警规则模板。 创建Prometheus告警规则模板 1. 登录应用性能监控APM控制台，点击左侧菜单栏Prometheus监控。 2. 在Prometheus监控菜单下，点击告警规则模板页面。 3. 在页面左上角点击创建告警规则模板按钮。 4. 在创建告警规则模板页面，根据以下参数说明进行设置。您可以选择通过静态阈值或自定义PromQL创建Prometheus告警规则模板。 静态阈值检查类型 静态阈值检查类型提供了系统预设的告警指标，通过选择已有的告警指标，您可以通过语义化的方式快速创建对应指标项的告警规则。 参数 说明 示例 告警规则模板名称 自定义告警规则模板的名称 测试集群容器CPU使用率告警 告警规则模板描述 输入该模板的备注描述信息，可以用于记录模板的含义、适用场景等。 检测类型 选择静态阈值。 静态阈值 告警分组 选择告警分组，不同的告警分组包含不同的告警指标。 Kubernetes负载 告警指标 选择需要进行监控告警的指标，每个告警分组包含不同的指标。 Pod磁盘使用率 告警条件 基于告警指标预置内容，设置告警事件产生条件，如比较符与阈值。 当Pod磁盘使用率>80时，满足告警条件。 持续时间 当告警条件满足时，直接产生告警事件：任何一个数据点满足阈值，就会产生告警事件。 当告警条件满足持续N分钟时，才产生告警事件：即只有当满足阈值的时间大于等于N分钟时，才产生告警事件。 告警等级 自定义告警等级。告警严重程度从一般,次要,重要,紧急逐级上升。 一般 告警内容 用户收到的告警信息。您可以使用Go template语法在告警内容中自定义告警参数变量。 命名空间：{{$labels.namespace}} / Pod: {{$labels.podname}} / 容器：{{$labels.container}} CPU使用率{{$labels.metricsparamsoptlabelvalue}} {{$labels.metricsparamsvalue}}%, 当前值{{ printf "%.2f" $value }}% 通知策略 不指定通知规则：若勾选该选项，在告警规则创建完成后，您可在通知策略界面新建策略，并通过设置匹配规则与匹配条件（例如告警规则名称）关联对应告警规则。当此告警规则触发并生成告警事件时，系统会将告警信息推送至通知策略中指定的联系人或联系人组。更多相关说明，可参考通知策略文档。 指定某个通知策略：若选择此项，系统会自动在对应的通知策略中添加一条匹配规则，匹配规则内容为告警规则ID（以告警规则名称的方式呈现），以确保当前告警规则产生的告警事件一定可以被选择的通知策略匹配到。 高级设置 标签 设置告警标签，设置的标签可用作通知策略匹配规则的选项。 无

本节主要介绍智能视图服务的产品功能。 产品功能 功能详情 视图接入 设备接入：支持GB28181/GB35114/GA1400/RTMP/RTSP/EHOME等多种标准协议设备直接接入。 平台接入：支持下级GB28181平台级联接入，支持下级GA1400视图库接入。 网关接入：支持局域网内设备通过边缘网关批量上云，支持主流视频厂商私有SDK协议、Onvif标准协议设备接入。 视图存储 录制模板：支持配置录像存储天数、自动录制、按需录制等。 视频存储：支持视频流实时全量存储，按需存储。 图片存储：支持抓拍机/AI设备等多种设备抓拍上传存储。 存储优势：支持纠删码方式进行分布式存储，具备流直存能力。 视图分发 直播分发协议：支持输出RTMP/FLV/HLS/WebRTC协议。 点播分发协议：支持输出HLS协议，MP4录像文件下载。 视频共享：支持向上级GB/T28181平台共享设备视频数据，支持向上级GA/T 1400视图库共享图片数据。 视图分析 算法仓库：支持算法仓库管理，高效的GPU算力资源调度、算法编排，算法与设备灵活绑定。 场景API：支持人脸识别、人体属性检测、车牌识别、城市治理多场景API。 告警回调：支持将分析结果通过回调配置，同步给其他平台。 访问管理 访问控制：管理员可以根据用户职责，创建不同的IAM用户并分配不同的访问权限，包括分配不同的设备访问资源和设备操作权限。 跨账号资源访问：支持委托信任的天翼云账号安全共享设备资源，支持灵活分配共享的资源权限范围。 开放平台 具备OpenAPI接口：平台所有原子化能力可以通过OpenAPI接口提供给应用平台。 具备API Explorer能力：可以通过API Explorer在线调试OpenAPI接口。 视频调阅 实时预览：支持多分屏、云台控制、电子缩放、语音对讲、实时截图。 录像回放：支持多分屏、倍速、同步/异步放像、电子缩放、录像截图、录像下载。 视图查看：支持视图数据查询及基本信息查看。 电子地图：支持平面/3D/卫星地图模式切换、支持多种点位汇聚模式。

处理步骤 检查告警原因 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，选中“告警ID”为“19012”的告警，查看“告警原因”中的是否提示未知异常。 是，执行步骤4。 否，执行步骤2。 2.在FusionInsight Manager首页，选择“运维 > 备份恢复 > 备份管理”，查看任务名称为“default”的备份任务或者其他执行成功的用户自己配置的HBase元数据备份任务是否有执行成功的记录。 是，执行步骤3。 否，执行步骤4。 3.使用最近一次备份的元数据，对HBase服务的元数据进行恢复操作。 收集故障信息 4.在主备集群的FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 5.在“服务”中勾选待操作集群的有问题的HBase服务。 6.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 7.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本文介绍如何设置企业标识。企业标识是企业用户登录客户端的重要凭证，建议使用企业名称或其他便于终端用户识别记忆的信息作为企业标识。设置后不支持在控制台修改，若有需要可提交工单进行配置变更。 前提条件 已开通AOne会议服务。如何开通，请参见：开通AOne会议服务。 操作步骤说明 1. 登录会议控制台。 2. 如果您是首次订购AOne会议，需先完成企业标识设置。企业标识是企业用户登录客户端的重要凭证，建议使用企业名称或其他便于终端用户识别记忆的信息作为企业标识。设置后不支持在控制台修改，若有需要可提交工单进行配置变更。若您的账号已有企业标识，则无需重复设置，可直接使用控制台功能。 3. 如果您的账号在天翼云其他产品已设置过企业标识，您可以选择复用现有企业标识。选择此方式后，企业用户与组织信息将仅在对应产品的控制台管理，AOne会议控制台的用户组织模块将仅支持查看，不支持用户组织信息的变更和管理。此外，如果对应产品服务先于AOne会议服务退订或到期，会影响该用户组织下的最终用户登录和使用AOne会议，您需要及时联系客户经理或下工单通知AOne会议平台接管该用户组织。 4. 企业标识设置完成后，在控制台概览页即可查看企业标识信息。若企业标识有变更，但页面显示未更新，可点击企业标识右侧的“刷新”按钮，进行配置更新。

代码助手插件提供多种核心功能,包括自然语言生成代码、代码重构与调试、任务自动化等。用户可以通过在侧边栏的聊天输入框中输入自然语言需求快速体验其功能,生成的代码可以直接在 VS Code 编辑器中查看、运行或进一步修改。 插件版本 CodeAgentsrd1.0.0 安装 方式1：在线使用 打开开发机 启动code server 点击左侧边栏代码助手插件，无需安装即可开始使用 方式2：离线使用 下载插件 通过网盘分享的文件：CodeAgentsrd1.0.0prod0205.vsix 链接: 提取码: kyzs 打开本地vscode 点击扩展按钮 添加扩展 选择第一步下载的插件进行安装 AI配置 系统默认配置 默认配置为使用天翼云息壤MaaS模型，活动期间每日全局发放一定数量的免费tokens数，具体数量根据活动阶段不等，无需任何配置，打开插件即可使用。

代码助手插件提供多种核心功能,包括自然语言生成代码、代码重构与调试、任务自动化等。用户可以通过在侧边栏的聊天输入框中输入自然语言需求快速体验其功能,生成的代码可以直接在 VS Code 编辑器中查看、运行或进一步修改。 插件版本 CodeAgentsrd1.0.0 安装 方式1：在线使用 打开开发机 启动code server 点击左侧边栏代码助手插件，无需安装即可开始使用 方式2：离线使用 下载插件 通过网盘分享的文件：CodeAgentsrd1.0.0prod0205.vsix 链接: 提取码: kyzs 打开本地vscode 点击扩展按钮 添加扩展 选择第一步下载的插件进行安装 AI配置 系统默认配置 默认配置为使用天翼云息壤MaaS模型，活动期间每日全局发放一定数量的免费tokens数，具体数量根据活动阶段不等，无需任何配置，打开插件即可使用。

在函数计算服务中，新创建的函数实例默认情况下具备访问公网的能力，但无法访问VPC（虚拟私有云）内的资源。如果您的业务场景需要函数能够与VPC内的资源进行交互，或者仅允许来自特定VPC的函数调用请求，您需要对函数进行网络配置，本文介绍如何通过函数计算控制台为函数配置网络。 网络访问类型 在函数计算中，通过网络地址进行的访问操作会产生不同类型的流量。这些流量根据其目的地可以分为两大类： 公网流量：这指的是函数实例访问公网地址所产生的流量，例如访问天翼云官网产生的流量即公网流量。 VPC内网流量：这是指函数实例访问用户VPC内资源所产生的流量。例如访问天翼云关系型数据库服务、分布式缓存服务、对象存储以及VPC中其他弹性云主机的内网地址。 函数的网络配置 根据函数的网络配置，您可以为函数实例设定不同的网络访问能力，以满足您的业务需求： 函数出流量：这是指函数实例发起的对外流量，包括访问公网资源和VPC内资源。对于出流量的配置，您可以设置函数是否能够访问VPC内的资源，以及是否允许函数访问公网。 网络配置 配置含义 仅允许函数访问公网 仅允许函数访问公网，所需的网络配置如下：设置允许访问 VPC 为否 。设置允许函数默认网卡访问公网 为是。 仅允许函数访问VPC 仅允许函数访问VPC，所需的网络配置如下：设置允许访问 VPC 为是 ，并配置具体的VPC信息。设置允许函数默认网卡访问公网 为否。 允许函数访问公网和VPC 允许函数访问公网和VPC，所需的网络配置如下：设置允许访问 VPC 为是 ，并配置具体的VPC信息。设置允许函数默认网卡访问公网 为是。 禁止函数访问公网和VPC 禁止函数访问公网和VPC，所需的网络配置如下：设置允许访问 VPC 为否 。设置允许函数默认网卡访问公网 为否。 函数入流量：这是指外部访问函数实例的流量，包括公网和VPC。对于入流量的配置，您可以设置公网是否可以访问函数，以及VPC是否可以访问函数。 网络配置 配置含义 允许公网和VPC访问函数 允许公网和VPC访问函数，所需的网络配置如下：设置仅允许指定 VPC 调用函数 为否。 仅允许指定VPC访问函数 仅允许指定VPC访问函数，所需的网络配置如下：设置仅允许指定 VPC 调用函数 为是，并配置具体的VPC信息。

本文简述回源SNI功能。 功能介绍 如果一个源站IP地址绑定多个域名，且天翼云边缘安全加速平台安全与加速服务使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源SNI原理 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题，而对SSL/TLS协议所作的一个扩展。它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。开启回源SNI后，边缘节点向源站发起TLS握手时，源站会根据TLS握手中携带的回源SNI信息来确认边缘节点请求的具体域名，然后返回该域名对应的SSL证书给边缘节点。 设置回源SNI后的工作流程如下： 1. 当边缘节点以HTTPS协议回源时，需要在回源SNI中设置访问的域名。 2. 源站收到请求后，返回SNI中设置的域名对应的SSL证书。 3. 边缘节点收到SSL证书后，与源站建立连接。 配置说明 1. 登录边缘安全加速控制台。 2. 单击左侧导航栏【域名管理】。 3. 在【域名管理】页面，找到目标域名，单击【操作】列的【基础配置】。 4. 单击右下方【回源配置】。 5. 在【回源SNI】模块，开启功能。 6. 配置SNI。 7. 单击【保存】，完成配置。 参数名 说明 SNI 回源SNI域名，只能配置精确域名，不支持泛域名。

本文介绍天翼云关系数据库MySQL版参数模板的参数修改方法和参数模板描述的修改方法。 背景信息 为确保天翼云关系数据库MySQL版服务发挥出最优性能，用户可根据业务需求对用户创建的参数模板中的参数进行调整。您可以修改用户创建的数据库参数模板中的参数值，但不能更改默认数据库参数模板中的参数值。 以下是您在使用数据库参数模板中的参数时应了解的几个要点： 在修改参数模板中的参数后需要保存，同时您可以对实例进行应用。 当您修改自定义参数模板时，需执行应用操作，才会对实例生效。应用到实例后，将自动重启与数据库参数模板关联的数据库实例，使其生效。 注意 默认参数模板不允许修改。 修改参数信息 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 参数模板，进入参数模板列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在参数模板列表中，单击目标参数模板名称，进入参数模板详情页面。 4. 在参数列表中，修改目标参数信息。 5. 在参数列表上方，单击保存。 说明 您也可以单击修改预览 ，查看目标参数的当前值 和修改值 ，确认无误后再单击保存。 6. 在提示框中，单击确定。 您可以在参数列表中看到参数已修改成功。 修改参数模板描述信息 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 参数模板，进入参数模板列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在参数模板列表中，找到目标参数模板，然后在操作 列选择更多 > 修改描述。 4. 在修改描述对话框中，填写参数模板的描述信息。 注意 描述信息不能超过255位，且不能包含回车和特殊字符 > ! < " & ' 。 5. 单击确定。

本文向您介绍当云主机出现端口不通的情况时请应怎样排查。 问题现象 云主机端口不通，会导致云主机之间无法通信或云主机无法对外服务，会影响应用或服务间的调用，或者用户对服务的访问。 根因分析 可能有以下几种原因导致端口不通： 1. 在控制台界面，云主机所在安全组未放行该端口； 2. 应用服务配置存在问题，对外服务端口未被正常监听； 3. 操作系统内，防火墙配置策略异常，如防火墙未放行端口访问。 问题定位步骤 本文分别对Windows和Linux操作系统的远程连接端口进行排查，以下为操作步骤。 Windows 操作系统 此部分以Windows Server 2012操作系统的云主机为示例，对云主机无法远程连接问题的定位步骤。 步骤1：排查安全组是否放通Windows远程连接端口3389。 1. 登录控制中心，选择云主机所在区域，点击“弹性云主机”进入云主机控制台。 2. 在云主机列表，点击需要远程连接的云主机实例名称。 3. 点击“安全组”页签，查看安全组规则。 4. 检查云主机所在的安全组是否已添加3389入方向的安全组规则。 步骤2 ：排查端口是否正常被监听。 在Windows操作系统中打开cmd窗口，执行如下命令。 plaintext netstat ano findstr :3389 如果回显信息如下则说明3389端口正常全网监听。否则，请开启监听。 步骤3 ：排查防火墙已经放行服务。 1. 单击“控制面板”>“Windows防火墙”。 2. 根据防火墙状态，如果防火墙处于关闭状态，且您不需要使用防火墙，则无需再做其他处理。 3. 如果防火墙处于开启状态，则单击“高级设置”。 4. 在弹出窗口的左侧导航栏中，单击“入站规则”。 5. 右键“入站规则”>新建入站规则>选择“端口”>填写“需要放开的端口”完成配置。

本文介绍DRDS如何将实例的数据恢复到指定时间点。 使用说明 DRDS支持使用已有的自动备份，恢复实例数据到指定时间点。数据恢复依赖于底层所关联的MySQL实例的恢复功能，元数据恢复将选择目标时间点前最近的一条元数据备份进行恢复。 注意 按时间点恢复仅支持恢复快速备份，不支持恢复一致性备份。 注意事项 DRDS目前仅支持恢复到当前实例。 当进行恢复操作后，当前实例将按照备份集中的数据被覆盖性恢复，请谨慎操作。 恢复过程中实例将不可用，请选择适当的时间执行恢复任务。 当底层所关联的所有MySQL实例全部恢复成功时，恢复任务才为成功状态。当有任意MySQL恢复失败，该恢复任务结果为失败。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击【操作】列的【管理】，进入实例【基本信息】页面。 4. 单击【备份恢复】，进入【备份列表】页面。 5. 在备份文件列表上方，单击【实例恢复】。 6. 在【实例恢复】面板中，查看并配置如下参数。 【源实例】：生成该备份数据的实例。 【恢复方式】：选择【快速备份】。 【恢复策略】：选择【按时间点】。 【可还原时间点】：当前实例的可恢复时间范围。最早和最晚时间范围由备份集、实时日志备份以及本地元数据备份决定。 【还原时间】：需要还原到的目标时间点。 【恢复到】：待恢复的实例，仅支持恢复到当前实例。 7. 勾选【此恢复为覆盖性恢复，可能导致目标实例的原数据被覆盖，请确保已做好数据备份】，然后单击【确定】。

本文介绍了云防火墙提供的数据保护技术。 数据保护手段 简要说明 传输中的数据保护 日志数据采用安全协议HTTPS传输到日志服务，防止数据被窃取；用户的配置数据传输采用安全协议HTTPS，防止数据被窃取。 配置数据完整性 CFW会和配置管理中心检验配置一致性，实时确保配置的准确性和完整性。 数据销毁机制 考虑到残留数据导致的用户信息泄露问题，保留期到期仍未续订或充值，存储在云服务中的数据将被删除，云服务资源将被释放。CFW会清除用户数据，避免用户数据残留造成信息泄露。 数据存储安全 对静态数据进行透明加密，可以保护数据免受可以访问底层文件系统的攻击者的影响。

本小节介绍容器安全告警事件概述。 开启节点防护后，部署在每个容器宿主机上的Agent会对容器运行状态进行实时监控，支持逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境等检测。用户可通过容器安全告警全面了解告警事件类型，及时发现资产中的安全威胁、实时掌握资产的安全状态。 告警事件列表说明 事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

操作场景 为方便对CCE集群中的kubernetes配置参数进行管理，提供了配置管理功能，通过该功能您可以对核心组件进行深度配置，更多信息请参见kubelet。 本文将介绍集群创建后对节点池的“配置管理”功能。 约束与限制 仅支持在v1.15及以上版本的集群中对节点池进行配置，V1.15以下版本不显示该功能。 默认节点池DefaultPool不支持修改该类配置。 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点池管理”。 步骤 2 在集群选择框中，选择集群，可查看到当前集群下所有的节点池。 步骤 3 单击节点池名称后的“配置管理”。 步骤 4 在侧边栏滑出的“配置管理”窗口中，根据业务需求修改Kubernetes的参数值： 配置管理参数 组件 参数 详情 默认 修改限制 docker nativeumask execopt native.umask normal docker dockerbasesize storageopts dm.basesize 10G kubeproxy conntrackmin sysctl w net.nfconntrackmax 131072 支持在节点池生命周期中修改 kubeproxy conntracktcptimeoutclosewait sysctl w net.netfilter.nfconntracktcptimeoutclousewait 1h0m0s 支持在节点池生命周期中修改 kubelet cpumanagerpolicy cpumanagerpolicy none 支持在节点池生命周期中修改 kubelet kubeapiqps 与kubeapiserver通信的qps 100 支持在节点池生命周期中修改 kubelet kubeapiburst 与kubeapiserver通信的burst 100 支持在节点池生命周期中修改 kubelet maxpods kubelet管理的pod上限 110 支持在节点池生命周期中修改 kubelet withlocaldns 是否使用本地IP作为该节点的ClusterDNS false 支持在节点池生命周期中修改 kubelet allowedunsafesysctls 允许使用的不安全系统配置 [] 支持在节点池生命周期中修改 步骤 5 单击“确定”，完成配置操作。 编辑节点池 步骤 1 登录，在左侧导航栏中选择“资源管理 > 节点池管理”。 步骤 2 在集群选择框中，选择集群，可查看到当前集群下所有的节点池。 步骤 3 单击节点池名称后的“编辑”，在弹出的“编辑节点池”中，配置以下参数： 配置节点池参数 参数 参数说明 节点池名称 自定义节点池名称。 节点个数 请根据业务需求调整节点个数。 弹性扩缩容 默认不开启。 单击开启后，节点池将根据业务需求自动创建或删除节点池内的节点，参数设置如下： 节点数上限和节点数下限：您可设置节点数的上限和下限，保证节点数在合理的范围内伸缩。 优先级：该数值表示节点池之间进行弹性扩缩容的优先级，数值越大优先级越高，如设置为4的节点池比设置为1的节点池优先启动弹性伸缩。若多个节点池的值设置相同，如都设置为2，表示这几个节点池之间不分优先级，系统将按最小资源浪费原则进行伸缩。 弹性缩容冷却时间：请设置时间，单位为分钟。弹性缩容冷却时间是指当前节点池扩容出的节点多长时间不能被缩容。 为保证功能的正常使用，节点池开启弹性扩缩容功能后，请务必安装autoscaler。 Taints 默认为空。支持给该节点池扩容出来的节点加Taints来设置反亲和性，每个节点池最多配置10条Taints，每条Taints包含以下3个参数： −Key：必须以字母或数字开头，可以包含字母、数字、连字符、下划线和点，最长63个字符；另外可以使用DNS子域作为前缀。 −Value：必须以字符或数字开头，可以包含字母、数字、连字符、下划线和点，最长63个字符。 −Effect：只可选NoSchedule，PreferNoSchedule或NoExecute。 须知： Taints配置时需要配合Pod的toleration使用，否则可能导致扩容失败或者Pod无法调度到扩容节点。 K8S标签 K8S标签是附加到Kubernetes对象（比如Pods）上的键值对，旨在用于指定对用户有意义且相关的对象的标识属性，但不直接对核心系统有语义含义。 详细请参见Labels and Selectors。 删除节点池 删除节点池，会先删除节点池中的节点，节点删除后，原有节点上的工作负载实例会自动迁移至其他节点池的可用节点。如果工作负载实例具有特定的节点选择器，且如果集群中的其他节点均不符合标准，则工作负载实例可能仍处于无法安排的状态。 步骤 1 登录，在左侧导航栏中选择“资源管理 > 节点池管理”。 步骤 2 在集群选择框中，选择集群，可查看到当前集群下所有的节点池。 步骤 3 单击节点池名称后的“更多 > 删除”。 步骤 4 在弹出的“删除节点池”窗口中，请仔细阅读界面提示。 步骤 5 确定要对节点池进行删除操作后，请在输入框中输入DELETE并单击“是”，即可完成节点池的删除。 拷贝节点池 通过CCE控制台可以方便的拷贝现有节点池的配置，从而创建新的节点池。 步骤 1 登录，在左侧导航栏中选择“资源管理 > 节点池管理”。 步骤 2 在集群选择框中，选择集群，可查看到当前集群下所有的节点池。 步骤 3 单击节点池名称后的“更多 > 拷贝”。 步骤 4 在弹出的“创建节点池”窗口中，可以看到拷贝的节点池配置，您可以根据需要进行修改，确定配置后单击“下一步：配置确认”。 步骤 5 在“配置确认”步骤中再次确认规格并单击“提交”，即可完成节点池的拷贝并创建新的节点池。 迁移节点 您可以将同一个集群下某个节点池中的节点迁移到默认节点池（defaultpool）中，暂不支持将默认节点池（defaultpool）中的节点迁移到其他节点池中，也不支持将自定义节点池中的节点迁移到其他自定义节点池。 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点池管理”。 步骤 2 在集群选择框中，选择集群，可查看到当前集群下所有的节点池。 步骤 3 单击待迁移的节点池名称后的“更多 > 迁移”。 步骤 4 在弹出的“节点迁移”窗口中，选择目标节点池和待迁移节点。 说明： 迁移完成后，节点原有资源标签、K8S标签、Taints不受影响，并将为其打上未拥有的目标节点池的K8S标签、Taints。 步骤 5 单击“确定”，即可完成节点迁移。

约束条件 实例中存在异常节点，无法升级小版本。 升级主备实例时，升级顺序依次是备实例、主实例。 不支持的小版本： − 对于RDS for PostgreSQL 11版本，如果内核小版本小于11.2，则不支持小版本升级。 只支持立即升级，不支持小版本延迟升级。 只读实例不允许独立升级。 已经是最新版本的实例不支持升级。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称，在“基本信息”页面，“数据库信息”模块的“数据库引擎版本”处，单击“补丁升级”。 步骤 5 在右侧弹窗中，输入“升级”，单击“确定”，系统会立即升级您的数据库内核版本到当前最新版本。 步骤 6 查看升级结果。 升级过程中，实例状态为“实例小版本升级中”。升级完成后，实例状态变为“正常”，版本号为当前最新内核小版本。 结束

本文帮助您了解云间高速带宽包的购买操作流程。 操作场景 为实现跨区域VPC互通，用户需要先购买相应的带宽包，并绑定到相应的云间高速（标准版）实例中。云间高速（标准版）实例提供了快速、高效的网络连接，能够确保跨区域的数据传输畅通无阻。 说明 同一区域（资源池）内的网络实例（例如：VPC）在连接到云企业路由器后，在默认配置下，即可实现内网互通，无需额外购买带宽包。 操作步骤 1. 登录云间高速（标准版）管理控制台，并在侧菜单列表中选择“云间高速（标准版）”。 2. 在控制台首页，单击目标云间高速（标准版）实例操作列的“管理 ”或单击目标云间高速（标准版）实例名称。 3. 进入目标实例详情页面。单击“带宽包管理 ”，然后单击“购买带宽包”。 4. 进入购买带宽包页面。根据页面提示，选择需要绑定带宽包的云间高速（标准版）实例、带宽包类型、带宽大小，输入带宽包名称，并选择购买时长。 5. 单击“下一步”，进入订单详情页面。 6. 确认带宽包信息后，单击“确认下单 ”。支付成功后，完成带宽包购买；单击“上一步”，可返回修改订单信息。

说明：本章节会介绍如何应用数据库参数模板 操作场景 参数模板编辑修改后，不会立即应用到实例，您可以根据业务需要应用到实例中。 参数“innodbbufferpoolsize”跟内存强相关，不同规格的实例有不同的区间范围，如果应用参数模板时，该参数超过了实例本身的区间大小，则会取实例区间范围的最大值。 参数模板只能应用于相同版本的实例中。 操作步骤 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 在“参数模板管理”页面，根据参数模板类型不同进行如下操作。 若需要将默认参数模板应用到实例，在“系统默认”页签的目标参数模板单击“应用”。 若需要将用户自己创建的参数模板应用到实例，在“自定义”页签的目标参数模板单击“更多>应用”。 一个参数模板可被应用到一个或多个实例。 在弹出框中，选择或输入所需应用的实例，单击“确定”。 参数模板应用成功后，您可[](ZHCNTOPIC0271177379 " ")查看参数模板应用记录。