本章节主要提供组件操作指南的下载。 点此下载：《MapReduce服务组件操作指南（普通版）》 点此下载：《翼MapReduce组件操作指南（LTS版）》

项目亮点 在部署终端杀毒（统一服务器安全管理系统）后，农行打破传统的需要投入大量人力实时监控，频繁修复漏洞、升级补丁，以及以部分业务牺牲为代价的安全防护模式。转型主动防御，自适应网络安全架构，动态调整安全防护策略，保护了业务连续性和数据安全。 系统在风险识别、防御及威胁感知三个阶段均会产生安全事件，基于异常行为的检测技术，有效检测未知威胁，包括黑客渗透攻击、变形webshell、后门等攻击事件回溯，自动回溯攻击过程并生成事件报告。可以做到快速及时发现攻击事件。统一服务器安全管理系统的部署解决了操作系统脆弱性的问题，而且通过建立安全边界、应用虚拟化沙箱技术解决了应用系统的安全。通过事件的回溯，更是可以精准定位黑客的攻击过程，也为调查取证提供了必要的支持。

本小节介绍安全专区资产管理服务器主机资产风险分析。 功能说明 资产风险分析页面把所筛选的资产相关的未处理的告警、漏洞、基线、补丁、病毒五类安全数据整合在一个页面展示，方便安全管理员分析。 配置方法 1.进入【资产管理】→【服务器】，点击【资产风险分析】，可查询分析指定服务器的各类安全漏洞、威胁、报警。 在左侧分组选定需要分析的指定服务器分组及服务器，进行资产信息筛选。页面右边栏实时同步更新所选择资产的展示，其中根据告警分析、安全告警、系统漏洞、基线合规、系统补丁及病毒感染等几大模块。 安全告警模块，实时更新服务器所出现问题，展示服务器IP地址、出现告警的问题、出现问题的服务设施以及告警的风险等级。 2.点击右上角【详情】，即进入【告警中心】，可查询更详细的告警信息。 3.系统漏洞展示具体IP地址所发生的具体漏洞信息，分类漏洞等级情况。点击【详情】，即进入【威胁分析】→【待办告警】进行详细处理。 4.基线合规、系统补丁及病毒感染等模块都展示了系统风险状态、漏洞所属类型、漏洞所属风险等级。 5.点击【基线合规】→【详情】，即页面跳转进入【风险分析】→【基线合规】进行分析、处理。 6.点击【系统补丁】→【详情】，即页面跳转进入【风险分析】→【补丁漏洞】进行分析、处理。 7.点击【系统补丁】→【详情】，即页面跳转进入【风险分析】→【主机漏洞】进行分析、处理。

本小节介绍云下一代防火墙安全产品如何登录web管理页面。 确保安全组已放行Web登录端口（通常是10443端口），以便允许远程访问管理界面。 获取您的云下一代防火墙的弹性IP地址（Elastic IP）。 打开Web浏览器，输入以下地址： 请将“弹性IP”替换为您的云下一代防火墙实例的实际弹性IP地址。 在登录页面上，输入您的用户名和密码。 单击登录或提交按钮。请注意，登录Web管理页面具有管理权限，因此需要妥善保护登录凭据。 建议采取以下措施来减少管理上的风险： 使用强密码：请使用复杂、长且唯一的密码，以增加安全性。 定期更改密码：定期更改登录密码，以减少潜在风险。

此小节介绍云堡垒的续费。 为保证用户正常使用云堡垒机服务，在云堡垒机许可证到期前或使用许可到期后，用户可通过“续费”操作增加授权使用期限。 在云堡垒机到期前，可以通过“续费”操作延长到期时间。 在云堡垒机到期后，可以通过“续费”操作继续使用云堡垒机。若未及时续费，则进入“保留期”，将冻结云堡垒机，不能登录云堡垒机系统。“保留期”到期仍未续订或充值，存储在云堡垒机中的数据将被删除、资源将被释放。 前提条件 已获取管理控制台的登录帐号与密码。 已“一键放通”云堡垒机网络限制。 云堡垒机所在安全组允许访问出方向9443端口。 云堡垒机所在子网未关联防火墙ACL，或关联的防火墙ACL为“开启”状态且允许访问出方向9443端口。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，单击，进入云堡垒机实例界面。 实例列表 5. 单击待续费的实例，“操作”列的“更多 > 续费”，进入“续费”配置页面。 6. 根据需要选择续费时长。 7. 单击“去支付”，在支付页面完成付款。 8. 返回云堡垒机实例列表页面，在“计费模式”列查看授权后最新到期时间。 9. 大约5分钟后可正常登录云堡垒机系统。续费后，新的License许可证大约需5分钟自动下发授权并部署，请耐心等待。

本节介绍三方云注册集群。 CCE One 三方云注册集群是用于将其他云厂商 Kubernetes 集群接入天翼云容器服务管理平台统一管理的集群形态。 操作步骤 参考本地注册集群 的操作步骤，与本地注册集群接入的操作步骤差异如下： 在分布式容器管理控制台，在注册集群 指引页面，单击三方云集群选项卡中的注册集群。 三方云集群接入后扩展的能力 注册集群是多集群管理能力的基础。 三方云接入天翼云后可添加舰队，舰队是多集群统一管理的基础。 添加舰队后可开启联邦能力，做多集群资源统一管理。

本章节主要介绍安装客户端（3.x及之后版本）。 操作场景 该操作指导安装工程师安装MRS集群所有服务（不包含Flume）的客户端。Flume客户端安装请参见“组件操作指南 > 使用Flume > 安装Flume客户端”。 客户端可以安装集群内节点，也可以安装在集群外节点，本章节以安装目录“/opt/client”为例进行介绍，请以实际集群版本为准。 在集群外节点安装客户端前提条件 已准备一个Linux弹性云主机，主机操作系统及版本建议参见下表。 CPU架构 操作系统 支持的版本号 x86计算 Euler EulerOS 2.5 SUSE SUSE Linux Enterprise Server 12 SP4（SUSE 12.4） RedHat RedHat7.5x8664（RedHat 7.5） CentOS CentOS7.6版本（CentOS 7.6） 鲲鹏计算(ARM) Euler EulerOS 2.8 CentOS CentOS7.6版本（CentOS 7.6） 同时为弹性云服务分配足够的磁盘空间，例如“40GB”。 弹性云主机的VPC需要与MRS集群在同一个VPC中。 弹性云主机的安全组需要和MRS集群Master节点的安全组相同。 弹性云主机操作系统已安装NTP服务，且NTP服务运行正常。 若未安装，在配置了yum 源的情况下，可执行yum install ntp y命令自行安装。 需要允许用户使用密码方式登录Linux弹性云主机（SSH方式）。

本文介绍了边缘安全加速平台API防护模块下如何使用API自发现功能。 功能介绍 API自发现功能能够帮助用户从访问日志中自动发现API接口的请求，并生成API资产，无需用户手动新增。 注意 已订购API安全扩展服务的用户，支持不限次数使用API自发现功能。 未订购API安全扩展服务的用户，提供有限次数的免费API自发现功能体验，一旦点击“开始”则消耗一次体验机会。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单。 3. 进入任意域名，点击右侧【资产管理】按钮，进入【API自发现】页面。 开始API自发现任务 开始API自发现任务，需要指定自发现域名、自发现时间范围、自发现标签。平台将按照自发现开始时间，对域名的全量请求、响应报文进行分析，直到自发现结束时间到达后停止分析，分析结果在任务结束后会展示在【API待确认列表】，同时会标记识别到的敏感信息及业务用途。针对本次任务发现的API，支持配置自发现标签，以方便用户识别。 配置项 是否必填 说明 域名 是 指定需要进行API自发现的域名。 自发现时间范围 是 配置自发现的开始时间和结束时间。 自发现时间范围须为晚于当前时间。 自发现时间范围最大跨度为3天。 自发现标签 否 针对本次自发现的API接口打上自发现标签，方便用户识别自发现结果。 标记内容可自定义或从已配置的标签内容中选择，自定义配置的标签内容会自动加入自定义标签。 如无需打标签，可不配置。 标签管理详见API标签管理。

本文主要介绍通过Mongo Shell连接集群实例（内网连接） Mongo Shell是MongoDB自带的Shell客户端，您可以使用Mongo Shell连接数据库实例、对数据库进行数据查询和更新、执行管理等操作。 Mongo Shell是MongoDB客户端的一部分，您需要先下载和安装MongoDB客户端，再使用Mongo Shell连接数据库实例。 DDS实例默认提供内网IP地址，当应用部署在弹性云主机上，且该弹性云服务器与文档数据库实例处于同一区域，同一VPC时，可以使用内网连接文档数据库实例，该方式可以获得更快的传输速率和更高的安全性。 本章节以部署在弹性云主机上的应用场景为例，介绍如何使用Mongo Shell通过内网的方式连接集群实例。 连接集群实例的方式有SSL连接和非SSL连接两种方法，其中SSL连接通过了加密功能，具有更高的安全性。为了提升数据在网络传输过程中的安全性，建议采用SSL方式。 前提条件 创建并登录弹性云主机，请参见《弹性云主机用户指南》中“创建弹性云服务器”的内容。 在弹性云主机上，安装MongoDB客户端。为了保障鉴权成功，请安装与目标实例版本一致的MongoDB客户端版本。 已确保弹性云主机和DDS实例实现网络互通，详情请参见设置安全组规则。 非SSL方式 步骤 1 连接弹性云主机。 步骤 2 在客户端工具mongo所在的目录下，连接数据库实例。 方式一：内网高可用连接（推荐） 命令格式： ./mongo 相关参数说明如下： 内网高可用连接地址： 您可以在实例管理页面，单击目标实例名称，进入基本信息页面。单击“连接管理 > 内网连接”，在“内网高可用连接地址”处即可获取到当前实例的连接地址，该连接地址格式为固定格式，不可修改。 获取到的内网高可用地址格式如下： mongodb://rwuser: @192.168.xx.xx:8635,192.168.xx.xx:8635 /test?authSourceadmin 您需要关注内网高可用地址中的如下参数信息： 表 参数信息 参数名称 说明 :: rwuser 表示数据库帐号名。 password 表示数据库帐号对应的密码，需要替换为真实密码。 如果密码中包含特殊字符“@”、“!”和“%”需要分别替换为对应的十六进制的URL编码（ASSCII码）“%40”、“%21”和“%25”。 示例：密码为@%!，对应的URL编码为 %40%25%21。 192.168.xx.xx:8635,192.168.xx.xx:8635 待连接集群实例的mongos节点IP地址及端口号。 test 表示测试库名。 authSourceadmin 表示高可用链接地址中的认证数据库必须为“admin”，即“authSourceadmin”为固定格式不可改变。 连接命令示例： ./mongo mongodb://rwuser: @192.168.xx.xx:8635,192.168.xx.xx:8635 /test?authSourceadmin 方式二：内网IP地址连接 命令格式： ./mongo host port u p authenticationDatabase admin 相关参数说明如下： DBHOST：待连接集群实例的mongos节点IP地址。 您可以单击实例名称，进入基本信息页面，选择“连接管理 > 内网连接”，在“节点信息 > mongos”页签下获取mongos节点的内网IP地址即可。 DBPORT：待连接实例的端口，默认端口为8635。 您可以单击实例名称，进入基本信息页面，选择“连接管理 > 内网连接”页签，在“基本信息 > 数据库端口”处获取当前端口信息。 DBUSER：帐号名，即数据库帐号，默认为rwuser。 出现如下提示时，输入数据库帐号对应的密码： Enter password: 连接命令示例： ./mongo host 192.168.1.6 port 8635 u rwuser p authenticationDatabase admin 步骤 3 检查连接结果。出现如下信息，说明连接成功。 mongos>

本章介绍如何通过IAM创建用户并授权的方法。 创建用户并授权使用SMS 本章节为您介绍对IAM用户授权的方法。 管理员帐号拥有SMS迁移所需要的所有权限，使用管理员帐号进行迁移时，不需要进行授权。如果您需要对您所拥有的SMS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的天翼云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用SMS。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将SMS委托给更专业、高效的其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 前提条件 给用户组授权之前，请您了解用户组可以添加的SMS权限，并结合实际需求进行选择，SMS支持的系统权限，请参见：SMS系统权限。若您需要对除SMS之外的其它服务授权，IAM支持服务的所有权限请参见权限策略。 示例流程 操作步骤 1. 创建用户组并授权： 1. 系统策略：如果IAM用户需要主机迁移服务(SMS)的所有操作权限，则为IAM用户授予系统策略。在IAM控制台创建用户组，并授予“SMS FullAccess”、"OBS OperateAccess"、“ECS FullAccess”、“VPC FullAccess”。 2. 自定义策略：如果IAM用户只需要拥有主机迁移服务(SMS)的部分操作权限，则使用自定义策略。自定义策略相比于系统策略，粒度更细，更安全。 2. 创建用户并加入用户组，在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 3. 用户登录并验证权限，新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“迁移>主机迁移服务”，进入主机迁移服务界面，在迁移服务器列表页面找到待迁移的服务器，在“目的端”列下单击“设置目的端”，设置目的端服务器。若可以设置目的端服务器，表示授予的权限已生效。 在“服务列表”中选择除主机迁移服务和依赖服务外的任一服务，若提示权限不足，表示授予的权限已生效。

本文介绍无法远程登录Windows云主机怎么办。 无法远程登录Windows云主机可以使用以下方式进行问题排查。 1. 检查弹性IP是否能ping通。 以下情况为本地客户端无法ping通目标ECS实例公网IP： 1. 本地客户端为Linux系统，ping目标ECS实例公网IP时无响应，如图所示。 2. 本地客户端为Windows系统，打开本地终端，或使用快捷方式，按 win + r，输入cmd，执行：ping ping目标ECS实例公网IP时提示请求超时错误，如图所示。 如果不能ping通，请参见文档”ping不通或丢包时如何进行链路测试？“进行检查。 如果能ping通，请执行2。 2. 检查弹性云主机的3389端口是否能够访问。具体操作方法可参考文档：如何检查端口可用性。 如果不能访问，请检查安全组是否开放3389端口。 如果能访问，请执行3。 3. 检查弹性云主机内的RDP服务是否存在异常。 登录同一内网段的其他Windows主机，在该主机上远程登录问题主机。 如果不能登录，说明RDP服务可能存在异常，通过VNC登录到问题主机，查看RDP服务是否存在异常，重启RDP服务后，重新尝试连接。 请按照以下方法重启RDP服务。 单击“开始”，选择“运行”，输入“services.msc”。 在服务列表中，选择“Remote Desktop Services”服务，重新启动该服务。 4. 查看弹性云主机是否修改远程连接端口。 查看“HKEYLOCALMACHINESystemCurrentControlSetControlTerminalServerWinStationsRDPTcpPortNumber”下，配置的端口是否是默认的3389，若不是，远程连接的时候将端口改为配置中的端口。 5. 查看弹性云主机是否限制连接数量。 检查OS内部远程桌面配置： 单击“开始”，选择“运行”，输入“gpedit.msc ”，打开组策略。 选择“计算机配置 > 管理模板 > 远程桌面服务 > 远程桌面会话主机 > 连接 ，“打开“限制连接的数量”，查看是否启用限制。 说明 如果此处有配置最大连接数，可能导致Windows远程登录无法连接，如果同时有多个用户正在登录该主机，且数量已经超过最大连接数，此时最大连接数外的用户接收不到该主机的仲裁，导致会话会一直处于正在配置中的状态。 请选择禁用该配置或者设置更大的最大连接数。 6. 其它解决方案 通过上述排查后，仍然不能连接 Windows 实例，请您保存自助诊断结果，通过提交工单联系天翼云的技术支持寻求帮助。

本小节介绍态势感知功能特性。 基础版及通用功能 资产发现 通过主被动两种资产探测方式，实时精准地持续监控资产变化情况，可自动识别网络设备、主机、安全设备、操作系统、数据库、Web应用等。 资产管理 资产组件信息、变化趋势、端口分布、归属、操作系统分布自动化统计。可根据IP、操作系统、应用组件/服务、归属部门、硬件信息等进行资产高级检索，快速统计资产信息、根据资产特征排查安全隐患。 脆弱性检测 通过漏洞扫描完成资产脆弱性评估，漏洞库可覆盖当前网络环境中主流的操作系统、数据库、Web中间件、网络设备漏洞，同时，对接国家安全监测平台的漏洞预警、安全事件通报及漏洞检测规则，完成检测规则的更新，有效应对突发安全事件，支持以资产存在漏洞及漏洞影响资产两个维度展示脆弱性资产。 网络威胁检测 根据网络流量可识别丰富的网络应用层协议，通过协议分析、内容萃取等报告对应的异常事件，可检测勒索软件、恶意软件、信息泄露、C&C通信、扫描探测、暴力破解、系统提权、Web攻击等网络威胁。同步国家能力中心下发的恶意URL、域名等信誉数据，完成新型威胁及高级持续威胁的检测。 高级版功能

本节介绍黑白名单的编辑、删除操作。 如果您想修改已添加的黑/白名单的地址方向、IP地址、协议类型等配置，可以参考本章节进行重新配置。 编辑黑/白名单 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 访问策略管理”，进入“访问策略管理”界面。切换防护对象页签后，选择“黑名单”或“白名单”页签。 5. 在需要编辑的规则所在行的“操作”列中，单击“编辑”。 对参数进行修改，参数详情请参见下表。 参数名称 参数说明 地址方向 选择“源地址”或“目的地址”。 源地址：设置会话发起方。 目的地址：设置会话接收方。 协议类型 协议类型当前支持：TCP、UDP、ICMP、Any。 端口 “协议类型”选择“TCP”或“UDP”时，设置需要放行或拦截的端口。 说明 如您需设置该IP地址的全部端口，可配置“端口”为“165535”。 如您需设置某个端口，可填写为单个端口。例如放行/拦截该IP地址22端口的访问，则配置“端口”为“22”。 如您需设置某个范围的端口，可填写为连续端口组，中间使用“”隔开。例如放行/拦截该IP地址80443端口的访问，则配置“端口”为“80443”。 描述 设置该黑/白名单的备注信息。 6. 修改完成后，单击“确认”保存。

本文帮助您快速熟悉虚开启/关闭虚拟私有云IPv6操作。 操作场景 开关/关闭虚拟私有云IPv6的操作仅在可用区资源池支持，不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 如果虚拟私有云在创建时未开启IPv6，可以通过本文操作为虚拟私有云开启IPv6。 如果虚拟私有云已经开启IPv6，可以通过本文操作为虚拟私有云关闭IPv6。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在“虚拟私有云列表”界面，单击需要配置的虚拟私有云名称，进入详情页。 5. 在详情中点击“开启IPv6”状态开关，即可修改虚拟私有云开启IPv6状态。开启时，天翼云将为虚拟私有云分配IPv6地址段；关闭时，天翼云将删除为虚拟私有云分配IPv6地址段。 注意 如果虚拟私有云中已经创建子网，关闭虚拟私有云开启IPv6时，需要先将所有子网的开启IPv6关闭。可用通过

操作步骤 自动续订 订购云硬盘时启用自动续订 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击“存储>云硬盘”，进入云硬盘页面。 4. 单击“创建云硬盘”，付费方式选择“包年/包月”，配置云硬盘的基本信息后，勾选“启用自动续订”。 5. 启用后，系统将在资源到期前自动续订。续订相关规则请参考自动续订。 费用中心启用自动续订 1. 登录天翼云官网 续订管理”，在“未到期”的资源中找到需要开通自动续订的云硬盘，单击“开通自动续订”。 3. 选择“续订周期”后，勾选“我已阅读并同意遵守《天翼云自动续订服务协议》”。确认无误后，点击“确定提交”。

本文提供了包括IPv4和IPv6不同组网环境下VPC对等连接配置的示例供您参考,帮助您了解如何在不同的场景下配置对等连接。 由于同资源池不同VPC之间默认内网隔离，若需要使它们之间内网互通可使用对等连接将两个VPC内网连通。若需要连接跨地域的VPC，您可以考虑使用云间高速服务。请结合您的实际需求，选择适当的网络连接方式。 以下是针对在云环境下建立对等连接时可能遇到的网络地址冲突问题的三种情况，以及相应的对等连接配置示例。 情况 配置示例 VPC网段和子网网段均不重叠 通过对等连接实现两个VPC全地址段互通。具体请参考指向整个VPC网段的对等连接配置。 VPC网段重叠且部分子网网段重叠 通过对等连接实现两个VPC中指定子网互通，对等连接两端VPC中需要互通的子网网段不用重叠。具体请参考指向VPC子网的对等连接配置。 通过对等连接实现两个VPC内指定弹性云主机互通，对等连接互通的弹性云主机实例的私有IP地址不能相同。具体请参考指向VPC内云主机的对等连接配置。 VPC网段和全部子网网段均重叠 无法通过创建对等连接来实现VPC之间的通信。具体请参考无效的VPC对等连接配置。

本节提供轻量型云主机的服务协议。 轻量型云主机产品服务协议请参见天翼云轻量型云主机服务协议。

本章节介绍云原生网关CGW子产品的产品规格 云原生网关版本&规格 版本 节点规格 节点数量 基础版 2C4G/4C8G/8C16G/16C32G 1 集群版 2C4G/4C8G/8C16G/16C32G 2 ~ 9 x86架构云原生网关性能数据 主机类型 版本 安全水位线QPS（30% CPU，应答包1K，HTTP请求） X86通用型 基础版2C4G 2500 X86通用型 基础版4C8G 5000 X86通用型 基础版8C16G 9000 X86通用型 集群版2C4G3节点 7500 X86通用型 集群版4C8G3节点 15000 X86通用型 集群版8C16G3节点 27000 X86通用型 集群版16C32G3节点 60000 arm架构云原生网关性能数据 主机类型 版本 安全水位线QPS（30% CPU，应答包1K，HTTP请求） ARM鲲鹏通用型 基础版2C4G 1500 ARM鲲鹏通用型 基础版4C8G 3000 ARM鲲鹏通用型 基础版8C16G 6000 ARM鲲鹏通用型 集群版2C4G3节点 4500 ARM鲲鹏通用型 集群版4C8G3节点 9000 ARM鲲鹏通用型 集群版8C16G3节点 18000 ARM鲲鹏通用型 集群版16C32G3节点 36000

操作步骤 本章节将以DDS副本集为示例，介绍在VPC网络场景下，通过数据复制服务配置DDS副本集同步任务的流程。 步骤 1 在“实时同步管理”页面，单击“创建同步任务”。 步骤 2 在“同步实例”页面，填选任务名称、描述、同步实例信息，单击“开始创建”。 任务信息 表 任务和描述 参数 描述 任务名称 任务名称在4到50位之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他的特殊字符。 描述 描述不能超过256位，且不能包含! & ' " 特殊字符。 同步实例信息 表 同步实例信息 参数 描述 数据流动方向 选择入云。入云指目标端数据库为本云数据库。 源数据库引擎 选择“MongoDB”。 目标数据库引擎 选择“DDS”。 网络类型 此处以“公网网络”为示例，默认为公网网络类型，可按照需求选择VPC网络、VPN网络、专线网络、公网网络。 目标数据库实例 用户所创建的目标数据库实例。 同步实例所在子网 请选择同步实例所在的子网。也可以单击“查看子网”，跳转至“网络控制台”查看实例所在子网帮助选择。默认值为当前所选数据库实例所在子网，请选择有可用IP地址的子网。为确保同步实例创建成功，仅显示已经开启DHCP的子网。 IP类型 选择迁移实例的IP类型，目前支持选择“IPv4”或“IPv4&IPv6双栈”。只有所选择的VPC及子网都开启了IPv6双栈功能，才能选择IP类型为“IPv4&IPv6双栈”。 同步模式 全量+增量：该模式为数据库持续性同步，适用于对业务中断敏感的场景，通过全量同步过程完成目标端数据库的初始化后，增量同步阶段通过解析日志等技术，将源端和目标端数据库保持数据持续一致。 说明 选择“全量+增量”同步模式，增量同步可以在全量同步完成的基础上实现数据的持续同步，无需中断业务，实现同步过程中源业务和数据库继续对外提供访问。 源数据库实例类型 同步模式为“全量+增量”时，需要根据源数据库的具体来源进行设置，目前源库仅支持副本集，该项为非集群。 说明 对于创建失败的任务，DRS默认保留3天，超过3天将会自动结束任务。 步骤 3 在“源库及目标库”页面，同步实例创建成功后，填选源库信息和目标库信息，单击“源库和目标库”处的“测试连接”，分别测试并确定与源库和目标库连通后，勾选协议，单击“下一步”。 源库信息 表 源库信息 参数 描述 数据库类型 源数据库类型可以为“ECS自建库”或“DDS实例”，本示例选择“DDS实例”。 VPC 源数据库类型选择“ECS自建库”可见，指源数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。 子网 源数据库类型选择“ECS自建库”可见，通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 源数据库类型选择“ECS自建库”可见，源数据库的IP地址或域名。 数据库实例名称 源数据库类型选择“DDS实例”可见，选择作为源数据库的DDS实例。 帐号认证数据库 填写的数据库帐号所属的数据库名称。例如：DDS实例默认的帐号认证数据库为admin。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。 说明 源数据库的IP地址或域名、数据库用户名和密码，会被系统加密暂存，直至删除该同步任务后自动清除。 目标库信息配置 表 目标库信息 参数 描述 数据库实例名称 默认为创建同步任务时选择的数据库实例，不可进行修改。 帐号认证数据库 填写的数据库帐号所属的数据库名称。例如：DDS实例默认的帐号认证数据库为admin。 数据库用户名 目标数据库对应的数据库用户名。 数据库密码 目标数据库的登录密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。 说明 目标数据库的用户名和密码将在同步过程中被加密暂存到数据库和同步实例主机上，待该任务删除后会永久清除。 步骤 4 在“同步设置”页面，设置同步对象，单击“下一步”。 表同步对象 参数 描述 流速模式 流速模式支持限速和不限速，默认为不限速。 l 限速 自定义的最大同步速度，全量同步过程中的同步速度将不会超过该速度。 当流速模式选择了“限速”时，你需要通过流速设置来定时控制同步速度。流速设置通常包括限速时间段和流速大小的设置。默认的限速时间段为“全天限流”，您也可以根据业务需求选择“时段限流”。自定义的时段限流支持最多设置3个定时任务，每个定时任务之间不能存在交叉的时间段，未设定在限速时间段的时间默认为不限速。 流速的大小需要根据业务场景来设置，不能超过9999MB/s。 l 不限速 对同步速度不进行限制，通常会最大化使用源数据库的出口带宽。该流速模式同时会对源数据库造成读消耗，消耗取决于源数据库的出口带宽。比如源数据库的出口带宽为100MB/s，假设高速模式使用了80%带宽，则同步对源数据库将造成80MB/s的读操作IO消耗。 说明 l 限速模式只对全量阶段生效，增量阶段不生效。 l 您也可以在创建任务后修改流速模式。具体方法请参见修改流速模式。 同步对象 左侧框是源数据库对象，右侧框是已经选择的对象，同步对象支持表级同步、库级同步，您可以根据业务场景选择对应的数据进行同步。 在同步对象右侧已选对象框中，可以使用对象名映射功能进行源数据库和目标数据库中的同步对象映射，具体操作可参考4.6.5.2 对象名映射。映射后名称长度在1到63个字符之间，不支持以下字符：/ . " $<>。 如果有切换源数据库的操作或源库同步对象变化的情况，请务必在选择同步对象前单击右上角的，以确保待选择的对象为最新源数据库对象。 说明 l 选择对象的时候支持对展开的库 进行搜索，以便您快速选择需要的数据库对象。 l 如果有切换源数据库的操作或源库同步对象变化的情况，请在选择同步对象前单击右上角的，以确保待选择的对象为最新源数据库对象。 l 当对象名称包含空格时，名称前后的空格不显示，中间如有多个空格只显示一个空格。 l 选择的同步对象名称中不能包含空格。 步骤 5 在“预检查”页面，进行同步任务预校验，校验是否可进行同步。 查看检查结果，如有不通过的检查项，需要修复不通过项后，单击“重新校验”按钮重新进行任务预校验。 预检查完成后，且预检查通过率为100%时，单击“下一步”。 说明 所有检查项结果均通过时，若存在请确认项，需要阅读并确认详情后才可以继续执行下一步操作。 步骤 6 在“任务确认”页面，设置同步任务的启动时间，并确认同步任务信息无误后，单击“启动任务”，提交同步任务。 表任务启动设置 参数 描述 启动时间 同步任务的启动时间可以根据业务需求，设置为“立即启动”或“稍后启动”。 说明 预计同步任务启动后，会对源数据库和目标数据库的性能产生影响，建议选择业务低峰期，合理设置同步任务的启动时间。 步骤 7 同步任务提交后，您可在“管理”页面，查看并管理自己的任务。 您可查看任务提交后的状态，状态请参见任务状态说明。 在任务列表的右上角，单击刷新列表，可查看到最新的任务状态。 对于未启动、状态为配置中的任务，DRS默认保留3天，超过3天DRS会自动删除后台资源，当前任务状态不变。当用户再次配置时，DRS会重新申请资源。

本文主要介绍在使用云邮箱过程中会遇到的常见问题。 花卷慧办客户端无法唤起云邮箱 确认是否被查杀 请确认本地360安全卫士、360杀毒等安全软件防护日志，aonemail.exe和aonemailservice.exe是否被拉黑了。 【处理办法】： 根据防护日志中被拉黑的aonemail.exe和aonemailservice.exe日志路径，找到对应文件进行加白。加白后重启云邮箱后可正常打开。 文件损坏，云邮箱启动失败报错 问题现象： 【Windows系统处理办法】： 1.文件夹搜索路径 %appdata%accessoneplugins1795496013048008705 ，并删除该目录中文件夹（压缩文件保留）。 2.重启花卷客户端，再打开云邮箱即可。 【MAC系统处理办法】： 1.把~/Library/Application Support/accessone/plugins/1795496013048008705，并删除该目录中文件夹（压缩文件保留）。 2.重启花卷客户端，再打开云邮箱即可。

本节介绍服务器安全卫士（原生版）术语说明。 漏洞 是指在操作系统实现或安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问、破坏系统，或者窃取数据。 基线 指为了满足安全要求，相关操作系统、数据库及中间件等必须达到的一定标准和基本要求。通过对不同配置和策略的具体项目来评估是否达到安全基线，评估结果反映了服务器的安全性。 弱口令 指容易被攻击者破解的口令，一旦被攻击者破解，可用来直接登录系统，将使得系统及服务面临非常大的风险。 异常登录 采集服务器上RDP、SSH登录日志，对合法登录IP、合法登录事件、合法登录账号和合法登录时段之外的登录行为均提供告警。 暴力破解 攻击者对密码进行破解的行为，破解成功登录主机后，便可获得主机的控制权限，进行窃取用户数据、勒索加密、植入挖矿程序等恶意操作，严重危害主机的安全。 病毒查杀 基于特征病毒检测引擎，通过快速扫描、全盘扫描、自定义扫描三种检测模式对服务器文件进行全面扫描，并提供病毒文件处置能力。

说明如何快速使用云电竞服务。 快速注册步骤 1.您需要访问天翼云官网，注册并登录中国电信天翼云。 2. 鼠标悬停【产品】，在下拉选项中找到【CDN与边缘】，在右侧展开菜单中点击【云电竞】，跳转新页面后，点击【立即开通】完成云电竞的开通流程。 3.选择您所需要购买的服务内容，点击【确定】并完成支付流程。 4.访问云电竞控制台，获取您的客户端激活码并下载云电竞客户端【 Esports】。 5.启动云电竞客户端【Esports】，为该客户端命名后，输入您的天翼云账号及客户端激活码并点击【登录】即可使用，登录前，还可以进入设置界面，调整您所需要的画面参数。 账号与客户端激活码可通过控制台的订单查询页面获取 6.使用过程中，如果需要更换账号可同时按下 “ctrl+shift+alt+Q”返回本地电脑，点击右上角【设置】按钮，进入【管理员设置】，输入密码“Ctyunesports”，即可【重新注册】更换账号。

本节介绍漏洞扫描的优势。 扫描全面 涵盖多种类型资产扫描，支持云内外网站、主机漏洞，智能关联各资产，自动发现资产指纹信息，避免扫描盲区。 简单易用 配置简单，一键全网扫描。可自定义扫描事件，分类管理资产安全，让运维工作更简单，风险状况更清晰了然。 高效准确 采用Web2.0智能爬虫技术，内部验证机制不断自测和优化，提高检测准确率。 时刻关注业界紧急CVE爆发漏洞情况，自动扫描，快速了解资产安全风险。 报告全面 清晰简洁的扫描报告，多角度分析资产安全风险，多元化数据呈现，将安全数据智能分析和整合，使安全现状清晰明了。

本文为您介绍云搜索实例内用户的创建和权限配置功能。 原理介绍 系统默认有admin用户，在admin用户下，可以创建不同用户。 账号密码提供了身份认证（authc），通过角色的映射实现了授权（authz），两者共同实现了多用户下的安全控制。 功能介绍 Elasticsearch和OpenSearch的此项功能类似，下面以OpenSearch Dashboards为例说明。 在OpenSearch Dashboards的左边栏Security菜单中，用户可以实现集群、索引、文档、字段等不同粒度的访问权限管控，并且提供灵活的用户删除、用户和角色的绑定和解绑。 下面，我们就以创建新用户并赋予它一个具备一定的访问权限的角色为例。 注意 必须登录admin账号创建其他用户。 1、创建Internal users 点击左边栏Security后，选择右上角Create internal user来创建用户。在页面中，我们输入用户名密码，并点击右下角“Create”创建用户。 用户创建完成后，我们自动返回Internal users界面，可以看到search用户已经创建完成。 2、创建角色 角色通过索引、实例多维度的精细访问控制，实现对实例、索引权限的安全组划分。如果复用已有的默认角色（不可删除），则无需创建，可以跳过此步骤。 下面我们将演示如何自定义角色。 登录左边栏Security界面，选择Roles，并且在右上角点击Create role： 1. 我们分别创建了角色名SearchRole，并且，在Cluster permission中给它赋予了相应的安全组权限。 2. 我们给它设定了索引级别的更细粒度的Index permission。 3. 下面还可以设置Document和Field维度的进一步细粒度的权限控制。 4. 点击右下角的Create ，就可以创建好角色SearchRole。

本文主要介绍账号密码忘记时该如何找回。 当用户忘记密码时，可通过账号登录页面点击“忘记密码”进行重置密码。 操作流程 1、进入天翼云官网，在账号登录页面点击右下角的“忘记密码”。 2、选择找回方式，根据提示操作，完成密码重置。 方式一：通过邮箱找回 （1）填写邮箱，验证码会通过邮箱发送。 （2）验证通过后，设置新的登录密码。 注意 邮箱需在“账号中心安全设置”中完成邮箱验证后，方可接收验证码。若邮箱未验证激活，请通过手机号找回密码。 方式二：通过手机号找回 （1）填写手机号，验证码会通过手机发送。 （2）验证通过后，设置新的登录密码。 注意 若手机注册过多个天翼云账号，需先选择要找回的天翼云账号，并补充完整邮箱才可设置新密码。 特殊情况说明 如手机号/邮箱找回均不可用，您可拨打客服热线获取帮助。客服热线：4008109889

本节介绍如何配置AntiDDoS流量清洗日志到云日志服务。 启用AntiDDoS防护功能后，您可以将攻击日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的AntiDDoS日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 前提条件 已开通云日志服务。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“日志”页签，开启日志，并选择日志组和日志流。 日志参数说明： 参数 说明 选择日志组 选择已创建的日志组，或者单击“查看日志组”，跳转到LTS管理控制台创建新的日志组。 记录攻击日志 选择已创建的日志流，或者单击“查看日志流”，跳转到LTS管理控制台创建新的日志流。 攻击日志记录每一个攻击告警信息，包括攻击类型、防护的IP等信息。 5. 单击“确定”，日志配置成功。 您可以在云日志服务管理控制台查看AntiDDoS的防护日志。 日志字段说明 全量日志字段说明 字段 说明 logType 日志类型。默认为“ipattacksum”，攻击日志。 deviceType 上报日志的设备类型。默认为“CLEAN”，清洗设备。 inKbps 入流量（单位：kbps）。 maxPps 入流量峰值（单位：pps）。 dropPps 丢弃的流量均值（单位：pps）。 maxAttackInBps 攻击流量峰值时刻的入流量值（单位：bps）。 currentConn 当前连接数。 zoneIP 防护的IP。 logTime 日志产生的时间。 attackType 攻击类型。数值对应的攻击类型请参见攻击类型说明。 inPps 入流量（单位：pps）。 maxKbps 入流量峰值（单位：kbps）。 dropKbps 丢弃的流量均值（单位：kbps）。 startTime 攻击开始时间。 endTime 攻击结束时间，为空时则表示攻击还未结束。 maxAttackInConn 攻击流量峰值时刻的连接数。 newConn 新建连接数。

相关操作 证书上传后，支持一键部署到天翼云服务，详细操作请参见一键部署SSL证书至天翼云服务。

本文主要介绍算力网关侧的裸金属通过天翼云4.0侧的EIP访问公网。 操作步骤 一、 前提 通过公共算力服务提前完成跨域互联的创建。 二、 云专线产品配置全0路由 1. 在天翼云4.0侧控制台搜索云专线产品，访问专线网关，选择并访问已建立的专线。 2. 添加全0路由 说明： 专线网关在添加云侧路由配置时支持基于”其他”类型的自定义地址段添加，可以配置0.0.0.0/0，用于把算力网关侧裸金属访问Internet的流量引入VPC。在VPC页签下，点击VPC后的其他目的网段配置，填写目的网段IPv4：0.0.0.0/0。 三、 创建EIP 在天翼云4.0侧，创建弹性IP。 四、 创建NAT网关 1. 在天翼云4.0侧，创建公网NAT网关 2. 配置SNAT规则 说明： 源网段类型：选择“手动输入自定义网段”。 源网段：输入算力网关侧需访问公网的裸金属IP地址。 弹性IP：选择第3步创建的EIP。 3. 配置DNAT规则 说明： 弹性IP：选择第3步创建的EIP。 类型：选择手动输入自定义地址。 端口设置：选择具体端口。 内网地址：输入算力网关侧裸金属IP地址。 公网端口：输入NAT网关对外提供服务的端口。 内网端口：输入算力网关侧裸金属IP的所在端口。 支持的协议：根据客户需求选取。

本节主要介绍天翼云不同资源池迁移 场景介绍 当需要把不同账号下的主机资源整合到一个天翼云账号下时，可以采用主机迁移服务实现ECS实例间的快速迁移。RDA主机迁移服务支持同一区域或者不同区域的源端到目的端的迁移。本章节主要介绍天翼云ECS实例间的迁移场景和操作步骤。 测试资源准备 开通相关资源，获取迁移目的端所在账号的AK/SK。 RDA工具安装和配置 参考用户指南完成RDA工具的安装和配置。 待迁移主机添加配置 在RDA控制台完成源端主机资源添加。 数据迁移 配置目的端，推送agent并创建启动迁移任务。在线迁移，增量同步。 割接校验 停止源端应用并进行最后一次增量迁移，完成后进行业务割接校验。 注意 如果源端和目的端在天翼云的同一个VPC里面，“迁移网络类型”可以选择专线或VPN，此时在迁移时不需要通过弹性IP传输数据，只需要源端有弹性IP即可。 源端和目的端处于同一账号、同一region、不同VPC下时，需要创建同一帐户下的对等连接，然后“迁移网络类型”可以选择专线或VPN。 源端和目的端处于不同账号、同一region、不同VPC下时，需要创建不同帐户下的对等连接，然后“迁移网络类型”可以选择专线或VPN。

若用户不再使用态势感知（专业版）防护功能或增值包，可执行退订或一键取消操作。 包周期（包年/包月）计费模式：预付费方式。新购5天内的资源，支持每年10次5天无理由“退订”；使用超过5天的资源，“退订”需要收取手续费。 按需计费模式：按小时计费方式。资源即开即停，支持一键“取消”释放资源。 退订包周期专业版 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理控制台。 3. 单击右上角“专业版”，显示版本管理窗口。 4. 针对包周期购买的资产配额，单击“退订”，进入“退订管理”列表页面。 5. 在需要退订的实例所在行，单击“操作”列中的“退订资源”，进入“退订资源”页面。 6. 确认待退订资源信息，选择退订原因，并勾选退订确认。 7. 单击“退订”，在退订管理页面确认退订。 退订成功后，返回版本管理窗口，包年/包月计费的资产配额已取消。 退订按需专业版 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理控制台。 3. 单击右上角“专业版”，显示版本管理窗口。 4. 针对按需购买的版本，单击“取消”，一键释放按需计费的资产配额。 返回版本管理窗口，按需计费的资产配额资源已取消。

本节介绍了密钥对、使用场景、创建密钥对操作指引、约束与限制。 密钥对 密钥对，即SSH密钥对，是为用户提供远程登录云主机的认证方式，是一种区别于传统的用户名和密码登录的认证方式。 密钥对包含一个公钥和一个私钥，公钥自动保存在系统中，私钥由用户保存在本地。若用户将公钥配置在Linux云主机中，则可以使用私钥登录Linux云主机，而不需要输入密码。由于密钥对可以让用户无需输入密码登录到Linux云主机，因此，可以防止由于密码被拦截、破解造成的帐户密码泄露，从而提高Linux云主机的安全性。 您可以通过数据加密服务（Data Encryption Workshop）管理密钥对，包括创建、导入、绑定、查看、重置、替换、解绑、删除密钥对等。 本章节主要介绍如何创建和导入密钥对。 使用场景 用户在购买弹性云主机时，建议选择密钥对进行用户身份认证，或者通过提供的密钥对获取Windows操作系统弹性云主机的登录密码。 1. 登录Linux操作系统的弹性云主机。若用户购买的是Linux操作系统的弹性云主机，可以直接使用密钥对远程登录云主机。 1. 创建弹性云主机时，选择“密钥对方式”登录，详细操作，请参见步骤三：高级配置的“设置‘登录凭证’”。 2. 创建弹性云主机完成后，通过“绑定密钥对”的方式为云主机绑定密钥对。 2. 获取Windows操作系统弹性云主机的登录密码若用户购买的是Windows操作系统的弹性云主机，可以通过密钥对的私钥获取登录密码，该密码为随机密码，安全性高。详细内容，请参见获取Windows弹性云主机的密码

本节介绍IP地址组的创建、查看、编辑、删除、关联使用等全流程操作步骤,帮助用户快速掌握批量 IP 管理与安全组规则配置能力,提升运维效率。 创建 IP 地址组 1. 登录ECX控制台。 2. 进入边缘网络 >访问控制> IP 地址组页面。 3. 单击【+ 创建 IP 地址组 】。 4. 配置参数： IP 地址组名称：自定义名称。 IP 类型：支持 IPv4和IPv6。 IP 地址条目：填写 IP / 掩码，可添加描述、备注，支持添加多个IP或IP段，换行输入。 描述：补充说明信息。 5. 确认无误后单击提交，完成创建。 查看 IP 地址组列表和详情 1. 登录ECX控制台。 2. 进入边缘网络 >访问控制> IP 地址组页面可查看已创建的IP地址组列表。 3. 在列表页可以查看IP地址条目数、关联资源等信息，也可修改IP地址组的名称。 4. 在列表页单击目标IP 地址组名称，可查看IP地址组的详细信息，包括创建信息以及添加的IP地址条目。 编辑 IP 地址组 1. 进入 IP 地址组详情页。 2. 在IP 地址条目 区域单击编辑。 3. 支持操作： 添加：新增 IP 地址 / 网段。 编辑：修改已有条目描述、备注。 上方插入：在指定条目前方插入新 IP。 删除：移除指定 IP 条目。 4. 修改完成后单击提交保存，修改后关联的安全组会立即生效。 使用方法（关联安全组规则） IP 地址组主要用于安全组规则批量配置，步骤如下： 1. 进入边缘网络 >访问控制> 安全组，选择目标安全组。 2. 进入入方向规则 / 出方向规则 ，单击添加规则。 3. 来源类型选择IP 地址组。 4. 选择已创建的 IP 地址组。 5. 配置协议端口、策略（允许 / 拒绝）、备注。 6. 单击确定完成规则配置。