本章节主要介绍翼MapReduce的在线检索日志操作。 操作场景 FusionInsight Manager支持在线检索并显示组件的日志内容，用于问题定位等其他日志查看场景。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“运维 > 日志 > 在线检索”。 3. 根据所需查询日志分别填写下表各参数，用户可以根据需要选择所需查阅日志时长，缺省时间区间包括：半小时、1小时、2小时、6小时、12小时、1天、1周、1月，也可以单击自定义“开始时间”和“结束时间”： 日志检索参数 参数名 说明 检索内容 检索的关键字或正则表达式。 服务 选择所需查询日志的服务或模块。 文件 当且仅当选择服务中一个角色时，支持选择指定日志文件进行搜索。 最低日志级别 选择所需查询日志的最低级别，选择某一级别后会显示从本级别到更高级别的日志。级别从低到高依次为：TRACE < DEBUG < INFO < WARN < ERROR < FATAL 主机范围 单击可勾选所需主机。 请输入所需查询日志的节点主机名或管理平面的IP地址。 各IP地址间用“,”隔开，例如：192.168.10.10,192.168.10.11。 如果IP地址连续，用“”连接。例如：192.168.10.[1020]。 如果IP地址分段连续，连续时用“”连接，各IP地址段间用“,”隔开，例如：192.168.10.[1020,3040]。 说明 如不指定，默认选择所有主机。 一次性输入最多10个表达式。 所有表达式一次性最多匹配2000个主机。 高级配置 最大数量：一次性显示的最大日志条数，如果检索到的日志数量超过设定值，时间较早的将被忽略。不配表示不限制。 检索超时：用于限制每个节点上的最大检索时间，超时后会中止搜索，已经搜索到的结果仍会显示。 4. 单击“检索”开始搜索，结果包含字段如下表所示。 检索结果 参数名 说明 时间 该行日志产生的具体时间点。 来源 产生日志的集群。 主机名称 记录该行日志的日志文件所在节点的主机名。 位置 该行日志所在的日志文件的具体路径。单击位置信息可进入在线日志浏览页面。默认显示该日志所在行前后各100条日志，可单击页首或页尾的“更多”显示更多日志信息。单击“下载”可以下载该日志文件到本地。 行号 该行日志在日志文件中所在的行数。 级别 该行日志的级别。 日志 日志的具体内容。 说明 在检索过程中可单击“停止”强制停止当前检索进度，并在列表中显示已检索出的结果。 5. 单击“过滤”，可以针对界面上已经显示的日志信息进行二次筛选，具体字段如下表所示。填写完毕后，单击“过滤”进行检索，单击“重置”可清空已填写信息。 过滤 参数名 说明 关键字 需要检索的日志关键字。 主机名称 需要检索的主机名。 位置 所需检索的日志文件路径。 开始时间 所需检索日志信息的开始时间。 结束时间 所需检索日志信息的结束时间。 来源集群 需要检索的集群。

本节介绍了裸金属如何通过NAT网关、子网ACL配置实现公网互访。 裸金属可以通过绑定弹性公网IP或NAT网关或负载均衡等多种方式实现公网访问，本节主要介绍通过NAT网关实现公网互访。 NAT(Network Address Translation, NAT)网关能够为虚拟私有云(Virtual Private Cloud, VPC)内的计算实例提供网络地址转换服务，实现多个资源实例使用共享弹性公网IP访问Internet(Source NAT, SNAT)或资源实例使用弹性公网IP面向Internet提供服务(Destination NAT, DNAT)。 VPC内的实例出方向访问通过SANT规则控制，入方向访问通过DNAT规则控制，一个NAT网关可以创建多个SNAT和DNAT规则。 前提条件 虚拟私有云的子网类型为裸金属子网。 已创建裸金属实例。 已创建与裸金属实例同VPC的NAT网关。 已创建空闲的弹性IP。 已创建空闲的子网ACL。 裸金属实例通过NAT网关访问公网 1. 登录通用计算控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【操作 绑定】，并从列表选择一个NAT网关实例（与需访问公网的裸金属同VPC）完成绑定。 3. 单击左侧【NAT网关】导航栏，在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关实例，单击【操作>设置SNAT规则】进入网关详情。 4. 在【添加SNAT规则】页面，子网需要选择与裸金属实例相同的子网，【弹性公网IP】选择已绑定的公网IP，下拉项只会显示已绑定的公网IP，单击【提交】完成规则设置。 5. 在【SNAT】页签可以查看已添加的规则。 6. 登录裸金属，输入账号密码，ping测公网IP地址的联通性。

本节介绍了裸金属如何通过NAT网关、子网ACL配置实现公网互访。 裸金属可以通过绑定弹性公网IP或NAT网关或负载均衡等多种方式实现公网访问，本节主要介绍通过NAT网关实现公网互访。 NAT(Network Address Translation, NAT)网关能够为虚拟私有云(Virtual Private Cloud, VPC)内的计算实例提供网络地址转换服务，实现多个资源实例使用共享弹性公网IP访问Internet(Source NAT, SNAT)或资源实例使用弹性公网IP面向Internet提供服务(Destination NAT, DNAT)。 VPC内的实例出方向访问通过SANT规则控制，入方向访问通过DNAT规则控制，一个NAT网关可以创建多个SNAT和DNAT规则。 前提条件 虚拟私有云的子网类型为裸金属子网。 已创建裸金属实例。 已创建与裸金属实例同VPC的NAT网关。 已创建空闲的弹性IP。 已创建空闲的子网ACL。 裸金属实例通过NAT网关访问公网 1. 登录通用计算控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【操作 绑定】，并从列表选择一个NAT网关实例（与需访问公网的裸金属同VPC）完成绑定。 3. 单击左侧【NAT网关】导航栏，在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关实例，单击【操作>设置SNAT规则】进入网关详情。 4. 在【添加SNAT规则】页面，子网需要选择与裸金属实例相同的子网，【弹性公网IP】选择已绑定的公网IP，下拉项只会显示已绑定的公网IP，单击【提交】完成规则设置。 5. 在【SNAT】页签可以查看已添加的规则。 6. 登录裸金属，输入账号密码，ping测公网IP地址的联通性。

本章节以Linux操作系统为例，指导您通过弹性云主机公网方式连接GeminiDB Influx实例。 前提条件 GeminiDB Influx实例需要绑定弹性公网IP并设置安全组规则，确保可以通过弹性云主机访问弹性公网IP，具体操作请参见绑定弹性公网IP和设置安全组规则。 创建弹性云主机，以Linux操作系统为例。详情请参见《弹性云主机快速入门》中购买弹性云主机的内容。 下载InfluxDB客户端，以Linux 64bit为例。 操作步骤 1. 登录弹性云主机，详情请参见《弹性云主机快速入门》中登录弹性云主机的内容。 2. 将InfluxDB客户端安装包上传到弹性云主机（可通过xftp等文件传输工具上传）。 3. 解压客户端工具包。 tar xzf influxdb1.7.9staticlinuxamd64.tar.gz 4. 在“influx”工具所在目录下，连接数据库实例。 通过如下命令，进入InfluxDB目录。 cd influxdb1.7.91 连接GeminiDB Influx实例。 使用SSL方式连接数据库 ./influx ssl unsafeSsl host port 示例： ./influx ssl unsafeSsl host 10.xx.xx.xx port 8635 使用非SSL方式连接数据库 ./influx host port 示例： ./influx host 10.xx.xx.xx port 8635 表1 参数说明 参数 说明 待连接节点的弹性公网IP。您可以在“实例管理”页面，单击实例名称，进入“基本信息”页面，在节点信息列表中获取“弹性IP”。 如果您购买的实例有多个节点，选择其中任意一个节点的弹性公网IP即可。 若当前节点尚未绑定弹性公网IP，请参见绑定弹性公网IP 为当前实例绑定弹性公网IP后，再根据本章节操作连接实例。 待连接实例的端口，默认为8635，且不可修改。 您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“网络信息 > 数据库端口”处获取当前GeminiDB Influx实例的端口信息。 输入auth命令，进行身份验证。 auth 根据提示输入用户名和密码。 username： password： 表2 参数说明 参数 说明 管理员账户名，默认为rwuser。您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“数据库信息”模块的“管理员账户名”处获取。 管理员密码。 5. 验证身份通过后，再输入命令 show databases 。 show database 出现如下信息，表示示例连接成功： name: databases name internal

本文为您介绍如何管理防护事件，以及防护事件日志中包含的字段含义。 云WAF将攻击防护的事件详情记录在事件报表中，用户可在事件列表中查看攻击时间、攻击IP、攻击类型、攻击URL、地理位置、处置动作、命中规则ID、攻击详情等。具体功能如下： 支持查看所选时间范围内的防护事件，查询时间支持选择昨天、今天、近3天、近7天、近30天或自定义时间。 提供防护事件多级查询，筛选条件包括域名、攻击类型、攻击IP、防护模块、处置动作、规则ID、请求UUID等。 支持将列表数据下载到本地。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入并正常防护。 查询防护事件 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 查询防护事件”，进入防护事件页面。 5. 在防护事件列表上方，可以设置筛选条件，支持设置多项匹配条件。 查询条件字段参数说明： 参数名称 参数说明 防护对象 选择想要查看的防护对象，支持选择各防护模式下的所有防护对象或某个防护对象。 时间选择 可查看“昨天”、“今天”、“近3天”、“近7天”、“近30天”或者自定义时间范围内的防护日志。 攻击类型 发生的攻击类型。默认为全部攻击类型，也可以根据需要，选择攻击类型查看攻击日志信息。 攻击IP Web访问者的公网IP地址，默认为全部，也可以根据需要输入攻击者IP地址查看攻击日志信息。 防护模块 按防护模块进行筛选。 处置动作 防护配置中设置的防护动作，包含：观察、拦截、放行、验证码、JS验证、重定向、重置连接、全部脱敏、动态拦截、限速。 规则ID 攻击触发的防护规则ID。 UUID关键字 请求对应的唯一标识。 6. 筛选条件设置完成后，点击“查询”，筛选后的结果将在列表中展示，可通过右侧的“事件列表显示设置”按钮对攻击事件的字段进行自定义展示。 说明 CC攻击事件页签分别展示CC攻击事件数 和CC攻击次数，例如：页签显示CC攻击事件（1/3），实际含义为出现总计1次CC攻击事件数，一共有3次CC攻击。 事件显示字段支持自定义设置和重新排序，同时可以控制是否在新标签页中查看攻击事件详情。

本实践将为您介绍如何用最低成本使用弹性伸缩应对周期性波动业务场景。 场景描述 此类场景的业务流量波动通常是有规律的周期性波动，在特定时间内业务流量较大，高峰期一过业务流量降低直到恢复正常。例如学习平台、直播平台等在20：00前后用户业务的访问量处于峰值，而22：00之后的流量会降低回到正常值。 解决方案 可以使用弹性伸缩创建低成本业务集群，根据业务流量的波动周期来自动扩缩容业务集群内的计算资源，减少成本浪费。方案详解如下： 针对日常业务流量，购买包年包月云主机实例，并将其加入弹性伸缩组做以日常监控，为其设置保护状态，避免被移除影响日常计算需求。 为伸缩组创建定时/周期策略来应对周期性的流量波动。 前提条件 在做本实践之前，请确保您已经注册了天翼云账号，并确保您的账户中有充足的余额，具体步骤请参见准备工作。 操作步骤 本实践共分为三大步： 步骤一：创建包年包月弹性云主机实例 步骤二：创建伸缩组并添加云主机实例 步骤三：根据业务需求创建伸缩策略（周期策略）

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的Bot情报库功能。 功能介绍 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前Bot虫情报库已维护接近10万条数据。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持Bot防护相关功能。 背景信息 边缘安全加速平台安全团队基于天翼云积累的海量威胁情报库，并经过离线分析技术，收集国内外公开的、已知的恶意爬虫IP；另外，通过反向解析技术，收录了众多SE类别的爬虫信息，两者结合形成爬虫情报库，内置近10万条友好爬虫与已知恶意爬虫IP信息，目前仍持续更新中。 针对已知爬虫，边缘云WAF为爬虫情报进行标识与分类，例如搜索引擎类的爬虫，分为谷歌爬虫、360爬虫、百度爬虫等各类标识，您可以仅针对其中的某类搜索引擎标识进行加白的动作，则后续此类爬虫IP将不经过边缘云WAF的Bot防护策略。对于恶意爬虫，您也可以对其进行一键封禁的操作，边缘云WAF将会对其进行拦截，避免网站业务遭受已知恶意爬虫的攻击。

本文介绍天翼云AOne会议应用场景。 AOne会议常见应用场景如下： 应用场景 业务痛点 AOne会议解决方案 智慧办公 跨地域团队协作成本高、效率低。 远程办公体验差，会议频繁卡顿或中断。 会议信息分散，事后难以追踪和整理。 提供高质量音视频会议，支持千人级会议稳定并发。 支持云录制、屏幕共享等功能，提升远程协同效率。 支持多端登录与移动办公，随时随地召开会议。 支持云录制视频下载和转写内容导出，方便会后任务跟进与知识沉淀。 远程医疗 医疗资源分布不均，专家会诊成本高。 医患沟通效率低，传统方式难以实时响应。 医疗系统安全要求高，需保障数据传输安全合规。 支持高清视频连线，可开展远程会诊、线上查房、远程培训等。 提供会议加密、水印追踪，保障医疗数据与隐私安全。 结合信创兼容能力，支持在合规环境下的部署落地。 支持共享影像资料、语音转写记录会诊过程，提升沟通效率、加强信息留存。 政企服务 跨部门、跨地区沟通流程繁琐。 政府系统对国产化、数据安全有严格要求。 政务会议需要留痕、可审计、可复用。 支持多地多方远程接入，实现跨部门、跨地区协同会议。 具备全链路国产化适配能力。 支持会议过程云录制、语音转写与水印留痕，满足合规与审计要求。 提供会议预约管理、主持权限管控，确保会议组织规范高效。

功能特性 说明 SLA 99.95% 即开即用 您可以通过控制台实时创建目标实例，配合弹性云主机一起使用，通过弹性云主机内网连接文档数据库，有效地降低应用响应时间。通过本地设备访问实例时，可以为其绑定弹性IP，通过弹性IP连接文档数据库。 完全兼容 文档数据库服务是面向文档型的NoSQL数据库，完全兼容MongoDB协议。 可视化运维 控制台提供可视化实例管理平台，对实例重启、备份、数据恢复等高频需求实现一键式便捷操作。 数据安全 通过虚拟私有云、子网、安全组、存储加密、DDoS防护等多层安全防护体系，有力地抗击各种恶意攻击，保证数据安全。 支持细粒度权限控制。 高可用 集群和副本集支持高可用，一旦Primary节点发生故障导致节点不可用，即可在很短时间内切换到Secondary节点上，切换过程对应用透明。 指标监控 实时监控数据库实例及引擎的关键性能指标，包括CPU、内存使用率，磁盘利用率，command、delete、insert语句执行频率，活跃连接数等指标。 备份与恢复 支持设置自动备份策略和实时手动备份。其中，自动备份保留时长最多达到732天，实时手动备份长期保留。 支持通过备份文件进行数据恢复。 参数配置 控制台支持在线修改并生效配置参数，以及参数组配置管理功能。

本文介绍全站加速高额账单出现的场景，潜在风险提示及应对方案。 当您的网站举行大型推广营销活动、域名受到恶意攻击或者网站被盗刷时，易产生突发的超出日常使用的带宽及流量，而由于这部分流量及带宽实际消耗了天翼云全站加速的带宽资源，所以需要您自行承担因此产生的流量、带宽、请求数的费用。 天翼云全站加速是面向公共的内容加速服务，不承担防止网络攻击的义务。当前仅具备基础的访问控制等防护能力，包括：IP黑/白名单、Referer防盗链、UA黑/白名单、URI黑/白名单、URL鉴权配置、全网带宽控制、有序回源等，不具备高阶的安全防护能力，无法防护所有的攻击行为。如果您的加速域名有被攻击风险或正在遭受攻击，建议购买天翼云边缘安全加速平台的相关产品保证域名的正常使用。 高额账单出现场景 场景一：特殊营销推广活动 某些金融网站经常不定期承办一些推广营销活动，如纪念币发行、优惠券发放等，客户往往无法预估活动期间的实际用户访问量级，易产生突发带宽。 场景二：网站受到恶意攻击 当网站域名受到恶意攻击时，天翼云全站加速会在边缘侧先进行一层防护，抵挡攻击流量，但是也因此消耗了部分带宽资源，易产生突发带宽。

本节介绍计算机增强型云电脑的功能简介。 计算增强型AI云电脑，提供稳定可靠、弹性扩展、高性能的AI云电脑服务，支持X86/ARM架构，满足通用计算、高并发网络处理、AI推理、数字人直播等多场景需求，助力业务高效上云。

当您使用站点监控服务时，需要开通按量计费功能。 站点监控按量计费说明 站点监控支持按量计费，按量计费是一种先使用后付费的计费方式，根据资源的实际使用量收费。当您开通网络分析与监控的按量计费后，根据探测任务的实际使用量来收费。 计费规则 说明 计费周期 按天计费 说明：站点监控每日定时生成前一日的费用明细，受计费链路数据同步机制影响，你实际查询到的账单数据会存在一定滞后。 计费公式 费用拨测任务拨测次数单价，其中单个拨测任务每日拨测次数拨测频率（次/小时） 24（小时） 拨测源数量 按量计费价格 0.9元/千次 计费示例 某客户在2026年01月01日开通网络分析与监控后，通过站点监控创建了一个拨测任务，该任务选择分布于全国不同地域的5个探测源，探测频率为1分钟，该客户1月份的拨测费用如下： 1月份拨测费用60分钟÷1分钟×24小时×31天×5个探测点×0.9元/千次÷1000200.88元 注意：计费示例仅供参考。 说明 如账户欠费站点拨测功能将冻结无法正常使用，建议您保证账户有充足的余额。 试用权益包说明 站点监控服务自2026年1月6号开启商业化运行，同步所有存量及新开通站点监控功能用户自动获得免费试用包权益。 权益规则 说明 试用范围 新用户及已开通站点监控服务的存量用户，均可自动获得15天免费试用权益；其中，存量用户的试用周期自商业化正式上线当日起计算，新用户自创建站点监控任务当日起计算； 试用额度 试用期间累计可使用拨测资源额度为100万次，支持可用性监控、告警、多维分析等全部站点功能； 终止规则 ① 拨测次数超出100万次上限；② 试用15天期满；满足以上任一条件试用终止，需开通按量计费后方可继续使用拨测服务。

本文为您介绍云硬盘备份任务列表的功能及使用方法。 操作场景 任务列表帮助用户实时掌握任务执行的状态与完成情况。 说明 当前仅华东1上线此功能。 用户可查看当前执行任务的相关信息，包括任务ID、任务类型、备份策略、备份副本名称、磁盘名称/ID、存储库名称、磁盘容量、状态、创建时间、完成时间/耗时、企业项目、任务详情，还可以取消处于执行中的备份任务。任务列表中的数据仅展示半年内的，如需查询超过半年的数据，请提交工单处理。 注意 仅状态为“执行中”的备份任务支持取消。 任务类型包括：备份任务、恢复任务、删除任务。 备份任务：手动对云硬盘创建一次性备份或使用备份策略创建周期性备份，这两种配置方式都会在任务列表中创建一个备份任务。 恢复任务：在备份副本列表中，对目标备份副本点击“恢复数据”，即可在任务列表中创建一个恢复任务。 删除任务：手动删除备份副本或通过备份策略定期删除备份副本，这两种方式都会在任务列表中创建一个删除任务。 任务状态包括：成功、失败、执行中、已取消、取消中。 成功：任务完成。 失败：任务因网络波动等原因失败，失败原因可在“任务详情”中查看。 执行中：任务处于执行中，此状态下，仅可取消“备份任务”的执行。 已取消：任务被手动取消。 取消中：点击“取消”后的中间状态。 操作步骤 创建备份任务 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击选择“存储>云硬盘备份”，进入云硬盘备份列表页面。 4. 选择“存储库”页签，点击“操作>创建备份”，选择需要备份的磁盘，填写备份配置信息后，点击“下一步”，勾选协议，点击“确认下单”。 5. 创建备份副本命令下发后，进入任务列表页面，可以看到备份副本的备份任务状态为“成功”，备份副本已成功创建。

本文主要介绍监控。 您可以在云监控服务控制台查看弹性负载均衡服务上报的监控指标以及产生告警信息。 监控指标说明 ELB支持的监控指标说明表 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期 （原始指标） :::::: m1cps 并发连接数 在四层负载均衡器中，指从测量对象到后端云主机建立的所有TCP和UDP连接的数量。 在七层负载均衡器中，指从客户端到ELB建立的所有TCP连接的数量。 单位：个 ≥ 0个 共享型负载均衡器 共享型负载均衡监听器 1分钟 m2actconn 活跃连接数 从测量对象到后端云主机建立的所有ESTABLISHED状态的TCP或UDP连接的数量。 Windows和Linux云主机都可以使用如下命令查看。 netstat an 单位：个 ≥ 0个 共享型负载均衡器 共享型负载均衡监听器 1分钟 m3inactconn 非活跃连接数 从测量对象到所有后端云主机建立的所有除ESTABLISHED状态之外的TCP连接的数量。 Windows和Linux云主机都可以使用如下命令查看。 netstat an 单位：个 ≥ 0个 共享型负载均衡器 共享型负载均衡监听器 1分钟 m4ncps 新建连接数 从客户端到测量对象每秒新建立的TCP和UDP连接数。 单位：个/秒 ≥ 0个/秒 共享型负载均衡器 共享型负载均衡监听器 1分钟 m5inpps 流入数据包数 测量对象每秒接收到的数据包的个数。 单位：个/秒 ≥ 0个/秒 共享型负载均衡器 共享型负载均衡监听器 1分钟 m6outpps 流出数据包数 测量对象每秒发出的数据包的个数。 单位：个/秒 ≥ 0个/秒 共享型负载均衡器 共享型负载均衡监听器 1分钟 m7inBps 网络流入速率 从外部访问测量对象所消耗的流量。 单位：字节/秒 ≥ 0bytes/s 共享型负载均衡器 共享型负载均衡监听器 1分钟 m8outBps 网络流出速率 测量对象访问外部所消耗的流量。 单位：字节/秒 ≥ 0bytes/s 共享型负载均衡器 共享型负载均衡监听器 1分钟 m9abnormalservers 异常主机数 健康检查统计监控对象后端异常的主机个数。 单位：个 ≥ 0个 独享型负载均衡器 共享型负载均衡器 1分钟 manormalservers 正常主机数 健康检查统计监控对象后端正常的主机个数。 单位：个 ≥ 0个 独享型负载均衡器 共享型负载均衡器 1分钟

本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对天翼云SDWAN资源的访问。 操作步骤 创建用户组和IAM用户 1. 创建用户组并给用户组授权，具体配置说明详见：创建用户组和授权。 2. 创建IAM用户，并使用新创建的用户登录天翼云，具体配置说明详见：创建IAM用户和登录。 创建自定义策略 天翼云提供了访问天翼云SDWAN资源的系统策略。如果系统策略不能满足需求，您还可以创建自定义策略，具体配置说明详见：创建自定义策略。 目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。

自动导入天翼云上ECS资产 说明 目前仅“一类节点”区域的实例支持自动导入天翼云上ECS资产 。云堡垒机（原生版）支持的区域请参见支持的区域。 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“资产管理 > 资产”，进入“资产”页面。 3. 选择“导入 > 天翼云ECS实例导入”，勾选需要导入的ECS资产。 4. 根据需求选择导入策略。 说明 跳过：若存在同名资产，则跳过该资产的导入。 覆盖：若存在同名资产，使用新资产覆盖旧资产。 建立副本：若存在同名资产，则为新资产增加后缀后导入（后缀新增为1;2……以此类推）。 5. 单击“导入”，完成天翼云ECS资产导入。 批量导入资产 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“资产管理 > 资产”，进入“资产”页面。 3. 选择“导入 > 从本地文件导入”，在弹出的对话框中下载导入模板。 4. 在导入模板文件中填写内容，填写完成后保存。 说明 模板中红色标题为必填项。 多个资产组用英文逗号“,”隔开。 资产类型为Windows服务器或Unix/Linux服务器时只会判断录入黑色标题的端口协议。 资产类型为数据库时只会判断录入蓝色标题的端口协议且协议有填写时对应的服务名必填。 参数 参数说明 取值样例 资产名称 自定义新增的资产名称。 Test 资产类型 填写新增的资产类型：可填Windows服务器 、Unix/Linux服务器 或数据库。 Windows服务器 IP地址 填写纳管资产的IP地址，支持IPv4和IPv6。 0.0.0.0 资产组 填写新增资产所属的资产组。 资产描述 填写资产的描述。 协议 填写协议的端口： 资产类型为Windows服务器 或Unix/Linux服务器 时只会判断录入黑色标题的端口协议。 资产类型为数据库 时只会判断录入蓝色标题的端口协议且协议有填写时对应的服务名必填。 访问信息 填写资产的访问编码，仅支持填写“UTF8”或“GBK”。 GBK 5. 上传已经填写完成后的导入模板，根据需求选择导入策略。 说明 跳过：若存在同名资产，则跳过该资产的导入。 覆盖：若存在同名资产，使用新资产覆盖旧资产。 建立副本：若存在同名资产，则为新资产增加后缀后导入（后缀新增为1;2……以此类推）。 6. 单击“提交”，完成资产导入。

本文主要介绍了在天翼云上如何使用Linux轻量型云主机手工搭建LNMP平台的web环境。 实践场景 LNMP是指一组通常一起使用来运行web网站的软件，是目前按网站的主流架构之一，LNMP包含了Linxu系统下Nginx+MySQL+PHP的服务架构架构，为了帮助用户能够快速搭建起web端服务，本文将介绍如何搭建LNMP平台。 准备工作 需要您在天翼云官网创建一台轻量型云主机，创建时的操作系统选择Linux操作系统。 操作步骤 安装nginx 1. 登录天翼云轻量型云主机控制台，点击“远程登录”， 登录到VNC界面。 2. 下载nginx软件包，执行命令。 wget 说明 用户请根据实际情况补充nginx版本。 3. 安装nginx 软件，依次执行命令。 rpm ivh nginxreleasexxxxx.xx.ngx.noarch.rpm yum y install nginx 4. 设置ngnix开机自行启动，依次执行以下命令。 systemctl start nginx systemctl enable nginx 用户可通过以下命令查看nginx运行状态是否正常。 systemctl status nginx.service 5. 验证ngixn是否安装成功。 通过本地浏览器访问ngixn服务地址（主机弹性IP地址），若显示如下图界面则说明安装成功。 安装MySQL 1. 下载MySQL软件包，于主机命令行依次执行以下命令。 wget i c 说明 用户请根据实际情况补充mysql版本。 2. 安装软件，依次执行以下命令。 yum y install mysql57communityreleasexxxx.noarch.rpm yum y install mysqlcommunityserver nogpgcheck 3. 设置mysql开机自行启动，依次执行以下命令。 systemctl start mysqld systemctl enable mysqld 用户可通过以下命令查看mysql运行状态是否正常。 systemctl status mysqld.service 4. 启动服务后，输入以下命令查询mysql的root初始随机密码。 grep 'temporary password' /var/log/mysqld.log 根据命令行回显信息，可获取到随机密码。如下示例。 [Note] A temporary password is generated for root@localhost: 2YY?3uHUA?Ys 5. 设置新密码，执行以下命令。 mysqlsecureinstallation 根据命令行返回信息，设置新的密码。 Securing the MySQL server deployment. Enter password for user root: 输入初始随机密码 The existing password for the user account root has expired. Please set a new password. New password: 设置新的root用户密码 Reenter new password: 再次输入密码 6. 登录mysql，输入以下命令。 mysql uroot p 7. 根据提示输入密码，完成登录。

本节介绍订购WAF独享引擎实例的操作步骤。 前提条件 已获取管理控制台的登录账号（配置WAF Administrator或WAF FullAccess权限策略）与密码。 已成功申请虚拟私有云VPC。 已创建了资源集。 操作须知 申请成功后，独享引擎实例规格不能修改。 创建实例大约需要10分钟。当实例的运行状态为“运行中”时，说明实例已经创建成功。 操作步骤 步骤1 登录天翼云账号，在服务列表中找到Web应用防火墙（独享版）。 步骤2 在产品详情页点击立即开通，点击进入订购页面，补充购买信息。 步骤3 确认订单详情无误，单击“立即申请”。 步骤4 单击“返回独享引擎列表”，在独享引擎实例列表界面，可以查看实例的创建情况。实例创建需一定的时间，可在控制台查看运行状态。 WAF独享引擎订购参数说明 参数名称 说明 计费模式 WAF独享引擎实例支持按需和包年包月计费，实例从创建成功开始计费到删除实例时结束计费，按实际使用时长（精确到秒）计费。 区域 原则上，在任何一个区域申请的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在申请WAF时，根据防护业务的所在区域就近选择申请的WAF区域。 可用区 选择区域中的可用区。 WAF实例名称前缀 设置WAF实例名称前缀，申请多个实例时，实例前缀名称相同。 WAF实例数量 设置申请的WAF实例个数。 WAF实例规格 选择实例的规格。WAF支持500Mbit/s和100Mbit/s两种规格。 CPU架构 选择实例的CPU架构。 CPU规格 选择实例的CPU规格。 预计最终规格 吞吐量的性能参考值。 虚拟私有云 Web应用防火墙（独享版）需要配合VPC使用，购买时选择被防护源站所在的VPC即可。 业务网卡 选择VPC中已配置的子网。 安全组 选择区域中已有的安全组，或者单击“管理安全组”，跳转到VPC管理控制台创建新的安全组。选择安全组后，该实例将受到该安全组访问规则的保护。 安全组建议配置以下访问规则： 入方向规则：根据业务需求添加指定端口入方向规则，放通指定端口入方向网络流量。例如，需要放通“80”端口时，您可以添加“策略”为“允许”的“TCP”、“80”协议端口规则。 出方向规则：默认。放通全部出方向网络流量。 如果WAF独享引擎实例与源站不在同一个VPC中，需要在安全组中设置实例与源站的子网互通。

操作场景 节点是指纳管到容器集群的计算资源，包括虚拟机、物理机等。用户需确保所在集群的节点资源充足，若节点资源不足，会导致创建工作负载等操作失败。 前提条件 已创建至少一个集群，请参见集群管理>购买混合集群。 您需要新建一个密钥对，用于远程登录节点时的身份认证。 说明： 若使用密码登录节点，请跳过此操作。 约束与限制 仅支持创建KVM虚拟化类型的节点，非KVM虚拟化类型的节点创建后无法正常使用。 集群中的节点一旦购买后不可变更可用区。 集群中通过“按需计费”模式购买的节点，在CCE“节点管理”中进行删除操作后将会直接被删除；通过“包年/包月”模式购买的节点不能直接删除，请通过页面右上角用户名称下的“我的订单”执行资源退订操作。 操作步骤 步骤 1 登录CCE控制台，可通过如下两种方式进入“购买节点”页面： 在左侧导航栏中选择“资源管理 > 节点管理”，选择节点所在的集群后，在节点列表页面单击上方的“购买节点”。 在左侧导航栏中选择“资源管理 > 集群管理”，在集群卡片上，单击“购买节点”。 步骤 2 计费模式：支持“按需计费”和“包年/包月”类型。本章以“按需计费”类型为例进行讲解。 步骤 3 选择区域和可用区。 当前区域：节点实例所在的物理位置。 可用区：请根据业务需要进行选择。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 如果您需要提高工作负载的高可靠性，建议您在创建集群后将云服务器部署在不同的可用区，购买集群时节点只能部署在一个可用区。 步骤 4 节点类型：选择“虚拟机节点”。配置以下参数。 节点名称：自定义节点名称。长度范围为156个字符，以小写字母开头，支持小写字母、数字、中划线()，不能以中划线()结尾。 节点规格：请根据业务需求选择相应的节点规格。 −通用型：该类型实例提供均衡的计算、存储以及网络配置，适用于大多数的使用场景。通用型实例可用于Web服务器、开发测试环境以及小型数据库工作负载等场景。 −GPU加速型：提供优秀的浮点计算能力，从容应对高实时、高并发的海量计算场景。P系列适合于深度学习，科学计算，CAE等；G系列适合于3D动画渲染，CAD等。 −高性能计算型：实例提供具有更稳定、超高性能计算性能的实例，可以用于超高性能计算能力、高吞吐量的工作负载场景，例如科学计算。 −通用计算增强型：该类型实例具有性能稳定且资源独享的特点，满足计算性能高且稳定的企业级工作负载诉求。 为确保节点稳定性，系统会自动预留部分资源，用于运行必须的系统组件。详细请参见节点预留资源计算公式。 操作系统：请直接选择节点对应的操作系统。 系统盘：设置工作节点的系统盘空间。您可以设置系统盘的规格为40GB1024GB之间的数值，缺省值为40GB。 在默认情况下，系统盘可提供高IO、超高IO两种基本的云硬盘类型。 数据盘：设置工作节点的数据盘空间。您可以设置数据盘的规格为100GB32678GB之间的数值，缺省值为100GB。数据盘可提供的云硬盘类型与上方系统盘一致。 说明：若数据盘卸载或损坏，会导致docker服务异常，最终导致节点不可用。建议不要删除该数据盘。 −数据盘空间分配：单击后方的“更改配置”，可以对数据盘中的“k8s空间”和“用户空间”占比进行自定义设置，开启LVM管理的数据盘将按照设置的比例进行统一分配。部分集群版本不支持此功能，具体以界面为准。 k8s空间：您可以自定义数据盘中Docker和Kubelet的资源占比。Docker资源包含Docker工作目录、Docker镜像数据以及镜像元数据；Kubelet资源包含Pod配置文件、密钥以及临时存储EmptyDir等挂载数据。 用户空间：定义本地盘中不分配给kubernetes使用的空间大小和用户空间挂载路径。 说明：请注意“挂载路径”不能设置为根目录“/”，否则将导致挂载失败。挂载路径一般设置为： /opt/xxxx（但不能为/opt/cloud） /mnt/xxxx（但不能为/mnt/paas） /tmp/xxx /var/xxx （但不能为/var/lib、/var/script、/var/paas等关键目录） /xxxx（但不能和系统目录冲突，例如bin、lib、home、root、boot、dev、etc、lost+found、mnt、proc、sbin、srv、tmp、var、media、opt、selinux、sys、usr等） 注意不能设置为/home/paas、/var/paas、/var/lib、/var/script、/mnt/paas、/opt/cloud，否则会导致系统或节点安装失败。 虚拟私有云：不可修改，仅用于展示当前集群所在的虚拟私有云。 所在子网：通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。可选择该集群虚拟私有云下的任意子网，集群节点支持跨子网。 该参数仅在v1.13.10r0及以上版本的集群中显示，请务必确保子网下的 DNS 服务器可以解析对象存储服务域名，否则无法创建节点。 已有集群添加节点时，如果子网对应的VPC新增了扩展网段且子网是扩展网段，要在控制节点安全组（即集群名称ccecontrol随机数）中添加如下三条安全组规则，以保证集群添加的节点功能可用（新建集群时如果VPC已经新增了扩展网段则不涉及此场景）： 弹性IP ： 独立申请的公网IP地址，若节点有互联网访问的需求，请选择“暂不使用”或“使用已有”。集群开启 IPv6 时，不显示该参数。 弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 暂不使用：若新增节点未绑定弹性IP，则在该节点上运行的工作负载将不能被外网访问，仅可作为私有网络中部署业务或者集群所需云服务器进行使用。 使用已有：请选择已有的弹性IP，将为当前节点分配已有弹性IP。 说明： CCE默认不启用VPC的SNAT。若VPC启用了SNAT，可以不使用EIP去访问外网。 共享带宽： 请选择“暂不使用”或“使用已有”。仅在集群开启 IPv6 时，显示该参数。 弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 登录方式：支持密码和密钥对。 −选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 −选择“密钥对”：选择用于登录本节点的密钥对，支持选择共享密钥。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 说明： 如果子用户创建节点选择密钥对创建，这个密钥只对创建这个密钥的子用户有效，即使其他子用户在同一个组也无法选择，也无法使用。例如：A用户创建的密钥，B用户无法使用这个密钥对创建节点，并且Console也选不到。 云服务器高级设置： （可选），单击展开后可对节点进行如下高级功能配置： −安装前执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装前执行，可能导致Kubernetes软件无法正常安装，需谨慎使用。常用于格式化数据盘等场景。 −安装后执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装后执行，不影响Kubernetes软件安装。常用于修改Docker配置参数等场景。 −新增数据盘：单击“新增数据盘”，选择云硬盘类型并输入数据盘规格。 −子网IP ：可选择“自动分配IP地址”和“手动分配IP地址”，推荐使用“自动分配IP地址”。 Kubernetes 高级设置： （可选），单击展开后可对集群进行如下高级功能配置： −最大实例数：节点最大允许创建的实例数(Pod)，该数量包含系统默认实例，取值范围为16~128。 该设置的目的为防止节点因管理过多实例而负载过重，请根据您的业务需要进行设置。 节点购买数量： 此处设置的节点数不能超过集群管理的最大节点规模，请根据业务需求和界面提示进行选择，单击后方的可查看影响能添加节点数的因素（取决于最小值）。 步骤 5 购买时长：若选择“包年包月”的计费模式购买节点时，请设置购买时长。 步骤 6 单击“下一步：配置确认”，确认订单无误后，单击“提交”。 若计费模式为“包年包月”，在确认订单无误后，请单击“去支付”，请根据界面提示进行付款。 系统将自动跳转到节点列表页面，待节点状态为“可用”，表示节点添加成功。添加节点预计需要810分钟左右，请耐心等待。 说明： 集群创建时自动创建的安全组以及安全组规则禁止删除，否则会导致集群异常。 步骤 7 单击“返回节点列表”，待状态为可用，表示节点创建成功。 说明： 可分配资源：可分配量按照实例请求值(request)计算，表示实例在该节点上可请求的资源上限，不代表节点实际可用资源。 计算公式为： 可分配CPU CPU总量 所有实例的CPU请求值 其他资源CPU预留值 可分配内存 内存总量 所有实例的内存请求值 其他资源内存预留值

本文介绍多台云主机实例批量挂载同一文件系统的操作方法。 操作场景 海量文件服务适用于共享访问的场景，当业务中需要使用多台云主机访问同一文件系统时，您可以通过我们提供的脚本，填写配置文件、执行脚本命令，实现多台云主机批量挂载同一文件系统，减少操作时间，提高工作效率。 注意 执行批量挂载的云主机实例需要与文件系统归属于同一资源池的同一VPC下。 目前仅支持Linux操作系统的云主机，请参考使用限制。 仅支持root账户进行批量挂载操作。 务必按照本文中要求的固定格式填写需要执行批量挂载的云主机的相关信息。 请保证本文中创建的inventory、autobatchmount.sh文件与mountnfs.yml文件在同一目录下，否则会导致挂载失败。 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行批量挂载操作的任何一台云主机。 3. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机。 4. 创建并填写配置文件inventory。 1）在Linux vi命令行工具中依次执行以下命令创建配置文件inventory并打开。 plaintext touch inventory plaintext vi inventory 2）将按照下述格式填写的内容复制到配置文件inventory中，保存并退出。需要将各参数替换成相应的实际值，各参数说明见下方表格。配置文件内容可在Windows记事本中或者Linux vi命令实现编辑，供后续使用。复制完成后输入 :wq保存并退出。 plaintext [all:vars] sharepath挂载地址 [targethost] 弹性IP passwdroot用户密码 localpath本地挂载路径 弹性IP passwdroot用户密码 localpath本地挂载路径 弹性IP passwdroot用户密码 localpath本地挂载路径 …… 参数 说明 云主机弹性IP 在云主机详情页中“弹性IP”页签获取该云主机公网IP的IP地址。 root用户密码 root用户密码。 本地挂载路径 本地挂载路径为云主机上用于挂载文件系统的本地路径，本操作中将通过脚本自动创建，无须额外创建。 挂载地址 可在文件系统详情页获取。 5. 创建批量挂载脚本autobatchmount.sh。 1）创建脚本文件，并打开： plaintext touch autobatchmount.sh plaintext vi autobatchmount.sh 2）将下列内容复制到挂载脚本中，保存退出 （:wq）： plaintext

本文带您熟悉删除/退订存储库的操作步骤。 操作场景 若不再使用云主机备份功能，可对存储库进行删除/退订。 按需计费的存储库支持删除操作。 包年包月存储库购买不超过7天可进行退订并享受全额退订，购买超过7天退订属于非七天无理由退订，不限制退订次数，但退订需要收取相应的使用费用和退订手续费，具体退订规则请参见退订规则说明。 约束及限制 退订前需确认存储库内没有备份副本。如果有，需要先删除备份副本再退订存储库。 删除存储库后,存储库内副本将一并删除，删除后将无法找回相关数据并进行恢复。 退订存储库 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 在“云主机备份”页签，选择要退订的存储库，点击操作列下的“更多>退订”。 6. 选择“退订原因”，勾选“我已确认本次退订金额和相关费用”，点击“退订”完成。 7. 退订申请提交成后，您可以在订单详情中查看退订进度。 删除存储库

OpenSearch Dashboards OpenSearch Dashboards提供了直观的可用于创建、共享、交互式的开发、运维数据分析平台。与OpenSearch搭配使用，并提供角色基础访问控制能力。文内或简称为Dashboards。 支持多用户角色的权限管理 支持包括甘特图在内的多种数据呈现方式 支持多种数据统计方式 支持高阶的索引管理能力 支持通知告警功能 支持基于SQL的查询能力 支持CSV、PDF、Excel等文件的报告生成功能 Logstash Logstash是数据管道服务，通过可扩展的输入、过滤和输出体系，实时采集、转换和加载多源异构数据，并灵活对接各类存储与分析平台，是ELK（Elastic Stack）生态的核心组件之一。天翼云提供的全托管的Logstash服务，支持一键部署、可视化管道配置和数据管道集中管理。 支持文件、数据库、消息队列等多种数据源采集 支持灵活的数据处理，如字段提取、数据脱敏等 内置健康检查机制，支持通过API或可视化界面监控数据管道运行状态 Cerebro Cerebro 是一个功能强大且易于使用的云搜索服务管理工具，适合开发、运维和数据分析等多种场景。通过Cerebro可以对实例进行Web可视化管理，如监控实时的磁盘、集群负载、内存使用率等，通过其直观的界面和丰富的功能，用户可以更高效地管理和监控云搜索实例。云搜索服务兼容开源Cerebro，适配0.9.4。 支持可视化数据管理 支持监控实例实时负载

本章节主要向您介绍网络ACL配置示例。 网络ACL可以控制流入/流出子网的流量，当网络ACL和安全组同时存在时，流量先匹配网络ACL规则，然后匹配安全组规则。您可以灵活调整安全组的规则，并使用网络ACL作为子网的额外防护。以下为您提供了典型的网络ACL应用示例。 使用须知 在配置规则之前，请您先了解以下信息： 在网络ACL中，存在如下表所示的默认规则。当网络ACL中没有其他允许流量出入的自定义规则时，则匹配默认规则，拒绝任何流量流入或流出子网。 方向 生效顺序 策略 协议 源地址 源端口范围 目的地址 目的端口范围 入方向 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 出方向 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 您无需单独添加放通响应流量的规则，因为网络ACL是有状态的，允许响应流量流入/流出子网，不受规则限制。 拒绝外部访问子网内实例的指定端口 在本示例中，防止勒索病毒Wanna Cry对实例的攻击，因此隔离具有漏洞的应用端口，例如TCP 445端口。您可以为子网关联网络ACL，并添加对应入方向规则，如下表所示，其中目的地址10.0.0.0/24为需要防护的子网网段。 方向 生效顺序 类型 策略 协议 源地址 源端口范围 目的地址 目的端口范围 规则说明 入方向 1 IPv4 拒绝 TCP 0.0.0.0/0 全部 10.0.0.0/24 445 自定义规则01 入方向 2 IPv4 允许 全部 0.0.0.0/0 全部 10.0.0.0/24 全部 自定义规则02 入方向 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 默认规则 1. 网络ACL默认规则拒绝任何流量流入子网，因此需要先添加自定义规则02，放通入方向流量。 2. 添加自定义规则01，拒绝所有外部请求访问子网内实例的TCP 445端口。此时拒绝规则必须早于允许规则生效，因此需要将拒绝的规则插入到允许规则的前面。

本节介绍等级保护测评合规最佳实践。 等级保护测评背景 网络安全等级保护测评是按照GB/T 222392019网络安全等级保护要求对各行业单位网络信息系统进行等级测评，以满足相关等级安全要求。云服务器需满足等级保护测评中安全计算环境要求，服务器安全卫士（原生版）提供相关安全能力，满足客户合规需求。 安全计算环境要求 服务器安全卫士（原生版）在等级保护测评（三级）“安全计算环境”中可满足项： 等保测评项 满足情况 对应能力说明 身份鉴别 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 满足 服务器安全卫士（原生版）通过基线检测功能帮助用户检测密码策略相关满足情况，协助用户完成策略配置；通过弱口令检测功能保障口令复杂度满足管理情况。 身份鉴别 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 满足 服务器安全卫士（原生版）通过基线检测功能帮助检测实现账户锁定策略相关满足情况，协助用户完成策略配置。 入侵防范 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。 满足 服务器安全卫士（原生版）通过扫描功能能够发现可能存在的已知漏洞，且能够出具修补建议帮助用户修补漏洞。 入侵防范 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。 满足 服务器安全卫士（原生版）通过异常登录、暴力破解、后门检测、可疑操作、反弹Shell等功能对主机进行实时监控，发现入侵行为进行告警。 恶意代码防范 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。 满足 服务器安全卫士（原生版）通过病毒查杀功能可对恶意代码进行查杀，满足该项要求。 说明 其余测评项需用户通过云主机操作系统本身的策略设置满足，服务器安全卫士（原生版）可通过基线检测功能协助客户进行策略检测。

参数 说明 详细说明 参考取值 备份计划名称 您可自定义计划名称 可不填，系统自动生成。只能由数字、字母、组成，不能以数字和开头、且不能以结尾。 backupPalserver ECS名称 云主机名称 备份计划绑定的云主机名称。 ecmxxxx 存储库名称 计划绑定存储库的名称 存储库和备份的服务器需在同一区域。 test 备份目录规划 备份计划中设置的备份目录。显示计划中指定、排除文件目录或文件的规则信息 可选择全部目录 、指定目录或高级规则 。 全部目录：选择全部目录后，备份系统会自动过滤系统特殊目录，这些目录将不会加入备份计划，如/dev、/proc、/sys。 指定目录：选择指定目录后，需要指定备份文件路径。单击新增目录可自定义多个备份目录，最多可以添加10条。 路径输入规则：不能包含/dev、/proc、/sys或子目录；不支持通配符，且必须为绝对路径；单条备份路径的字符最长为4095。 高级规则：您可以指定目录加入备份计划。同时可以通过“备份文件规则”选择文件加入备份计划。提供包括所有文件 、 包含下列文件 、排除下列文件三种规则。包含和排除文件需要用户手动输入路径或者文件。路径输入规则同上。 说明 文件列表路径必须在备份文件路径之下。 指定目录； 备份文件路径填写确认好的服务器数据存档地址 备份周期 配置备份计划执行的时间间隔 间隔时间单位为每月、每周、每天、每小时。 每月：指定在每月的几日几时进行备份。 每周：指定在每周的周几几时进行备份。 每天：指定在每天的几时进行备份。 每小时：每小时进行一次备份。 每小时 保留规则 配置保留备份副本的时间 提供按时间和永久保留两种规则。 按时间：当选择按时间保留时，需要配置保留该备份的时间。时间单位：天、周、月、年。 说明 最小保留周期为1天，最大输入9999年。 永久保留：系统不会自动删除备份，直至您手动删除。 永久保留

本章节介绍云数据库ClickHouse数据备份和数据恢复功能。 备份恢复方案 云数据库ClickHouse支持自动备份和手动备份，您可以定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。实例恢复可根据备份任务做相应的数据恢复。可选择恢复到本实例，也可以选择恢复到同region下同租户的其他ClickHouse实例。恢复的实例必须要求和备份实例节点top结构一致。 说明 在备份过程中会进行数据文件的读取与复制，这可能会影响集群的读写效率。建议在业务低峰期启动备份任务。 备份内容 云数据库ClickHouse备份分为元数据备份和数据备份。数据备份时，选择相应库表备份，选中后会把集群内所有节点当前表都选中。 元数据备份：云数据库ClickHouse只针对实例库表数据结构进行备份。 数据备份：云数据库ClickHouse会把库表和数据文件一起备份。 备份位置 云数据库ClickHouse目前备份都存放在对象存储中，不会占用实例的存储空间。 根据保留时间，备份的数据到期后会自动删除。 注意 由于对象存储是按需计费的，余额欠费后，不会影响自动备份和手动备份功能，实例备份占用的备份空间会持续扣费。 备份操作步骤 1. 登入++天翼云ClickHouse 控制台++，在实例列表选择对应的实例，进入实例详情页面单击备份恢复。 2. 如果备份任务页出现未开启备份服务页面，可先去点击开启下备份设置（开启过程会涉及几分钟，请耐心等待）。 3. 点击创建备份，可以手动开启一次备份，手动备份任务是实时启动。也可以在备份策略页面，设置两种备份的备份策略，系统会根据设置的策略周期性进行备份任务，同时根据设置的保留时间，对定时备份进行到期清理。 4. 在备份任务页面，可查看所有的备份任务。备份过程中，正在备份的任务也可以进行取消，后台会把备份进行暂停，同时删除备份过程的数据。

接口描述：调用本接口查询流量，命中流量，流量命中率，回源流量数据 请求方式：post 请求路径：/statistics/queryflowdata 使用说明： 单个用户一分钟限制调用10000次，并发不超过100； 单次查询输入域名的个数不能超过100个； 时间粒度为24h时，查询开始时间与结束时间需要跨天，否则查询的数据为空； 最大返回50000条记录； 若查询结束时间不包含在该批次的最后一秒，默认endtime为该批次最后一秒，例如：时间粒度为1h，endtime设置为17:30对应的时间戳，此时endtime默认成17:59:59； 时间片统计数据均为前打点，假如请求5分钟粒度数据，timestamp "20211013 00:00"对应的时间戳，表示统计的数据为时间区间20211013 00:00, 20211013 00:05)； 根据请求参数时间粒度（Interval）和聚合维度（groupby）个数的不同，单次请求可查询历史数据范围，数据延迟，对应如下表，若开始时间超过可查询历史数据时间范围，超过部分的数据为0。 时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 3小时 5m 最近186天 20分钟 31天 1h 最近186天 20分钟 31天 24h 最近186天 20分钟 31天 请求参数说明（json）： 参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype list 否 产品类型 传“006”代表全站加速，不传代表全部产品。 domain list 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项，点击查看[地区及省份列表。 isp list 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项，点击查看运营商列表。 networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6、other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有应用层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 groupby list 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为productcode，domain，province，isp，networklayerprotocol，applicationlayerprotocol。 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 starttime int 否 开始时间戳，时间戳(秒) endtime int 否 结束时间戳，时间戳(秒) interval string 否 时间粒度 reqhitflowratedatainterval list 否 每个时间间隔的请求数数据 reqhitflowratedatainterval[].timestamp int 否 时间片开始时间戳 reqhitflowratedatainterval[].producttype string 否 产品类型 reqhitflowratedatainterval[].domain string 否 域名 reqhitflowratedatainterval[].province int 否 省编码 reqhitflowratedatainterval[].isp string 否 运营商编码 reqhitflowratedatainterval[].networklayerprotocol string 否 网络层协议 reqhitflowratedatainterval[].applicationlayerprotocol string 否 应用层协议 reqhitflowratedatainterval[].hitflowrate float 否 流量命中率 reqhitflowratedatainterval[].flow long 否 流量，单位Byte reqhitflowratedatainterval[].hitflow long 否 命中流量，单位Byte reqhitflowratedatainterval[].missflow long 否 回源流量，单位Byte

参数 参数说明 集群名称 集群的名称，创建集群时设置。单击 可对集群名称进行修改。 当MRS集群为MRS 3.x之前版本时，修改集群名称后仅MRS管理控制台界面显示的集群名称修改，MRS Manager中集群名称不会同步修改。 集群状态 集群状态信息，请参见 集群管理页面 Manager页面入口。 针对MRS 3.x及以后版本，具体请参见 。 针对MRS 3.x之前版本，需要根据提示绑定弹性公网IP及添加安全组规则后才能进入MRS Manager页面，具体请参见 访问MRS Manager（MRS 2.x及之前版本） 。 具体操作请参见 访问FusionInsight Manager（MRS 3.x及之后版本） 。 集群版本 MRS版本信息。 集群类型 支持以下集群类型： 分析集群：用来做离线数据分析，提供的是Hadoop体系的组件。 流式集群：用来做流处理任务，提供的是流式处理组件。 混合集群：既可以用来做离线数据分析，也可以用来做流处理任务，提供的是Hadoop体系的组件和流式处理组件。 自定义：全量自定义组件组合的MRS集群，MRS 3.x及之后版本支持此类型。 集群ID 集群的唯一标识，创建集群时系统自动赋值，不需要用户设置。 创建时间 显示集群创建的时间。 可用区 集群工作区域下的可用区，创建集群时设置。 默认生效子网 子网信息，创建集群时所选。 当子网IP不足时，单击“切换子网”切换到当前集群相同VPC下的其他子网，实现可用子网IP的扩充。切换子网不会影响当前已有节点的IP地址和子网。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 虚拟私有云 VPC信息，创建集群时所选。 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 弹性公网IP 通过将弹性公网IP与MRS集群绑定，实现使用弹性公网IP访问Manager的目的。 OBS权限控制 单击“单击管理”，修改MRS用户与OBS权限的映射关系，具体请参考 数据连接 单击“单击管理”，查看集群关联的数据连接类型，具体请参考 委托 单击“管理委托”，为集群绑定或修改委托。 通过绑定委托，您可以将部分资源共享给ECS或BMS云服务来管理，例如通过配置ECS委托可自动获取AK/SK访问OBS，具体请参见 密钥对 密钥对名称，创建集群时设置。 如果创建集群时设置的登录方式为密码，则不显示。 Kerberos认证 登录Manager管理页面时是否启用Kerberos认证。 日志记录 用于收集集群创建失败及扩缩容失败的日志。 安全组 集群的安全组名称。 数据盘密钥名称 用于加密数据盘的密钥名称。如需对已使用的密钥进行管理，请登录密钥管理控制台进行操作。 数据盘密钥ID 用于加密数据盘的密钥ID。 IAM用户同步 可以将IAM侧用户信息同步至MRS集群，用于集群管理。具体请参见 说明 集群详情页的“组件管理”、“租户管理”和“备份恢复”页签需要同步用户后方可使用。MRS 3.x版本集群同步后可使用“组件管理”。 通讯安全授权 展示安全授权状态，通过 可关闭和开启安全授权。关闭安全授权属于高危操作，请谨慎处理。详细信息请参考

本文向您介绍如何为企业版VPN连接创建健康检查。 场景描述 VPN连接创建完成后，添加健康检查可以配置VPN网关向对端网关发送监测报文，统计链路往返时延和丢包率，用于检测连接的质量。云监控服务提供对VPN连接链路往返时延和丢包率的监控指标，详情请参见本指南“监控”。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN连接”。 3. 在“VPN连接”界面，单击目标VPN连接名称，在“基本信息 > 健康检查”区域单击“添加”。 4. 在“添加健康检查”界面，单击“确定”。

Demo 体验 下面我们进行Discuz!安装，请大家按照步骤进行操作。 1. Discuz!安装，点击“我同意”。 2. 设置运行环境，点击“下一步”。 3. 安装数据库，填入数据库信息、管理员信息。 4. 完成安装，登录Discuz!论坛网站。 当最终出现Discuz!论坛网站页面时，证明操作成功。在天翼云弹性云主机实例上搭建Discuz!论坛网站就完成了。

身份凭证 身份凭证是识别用户身份的依据，您通过控制台或者API访问云服务时，需要使用身份凭证来进行系统的认证鉴权。身份凭证包括密码和访问密钥，您可以在IAM中管理自己以及帐号中IAM用户的身份凭证。 密码：常见的身份凭证，密码可以用来登录控制台。 访问秘钥：即AK/SK（Access Key ID/Secret Access Key），调用云服务API接口的身份凭证，不能登录控制台。访问密钥中具有验证身份的签名，通过加密签名验证可以确保机密性、完整性和请求双方身份的正确性。 项目 每个资源池默认对应一个项目，目前这个项目由系统预置，用来隔离各资源池的资源（计算资源、存储资源和网络资源等），以该默认项目为范围进行授权，用户可以访问您帐号中该资源节点（即该默认项目）的所有资源。 委托 委托根据委托对象的不同，分为委托其他帐号和委托其他云服务。 委托其他天翼云帐号：通过委托信任功能，您可以将自己帐号中的资源操作权限委托给其他帐号，被委托的帐号可以根据权限代替您进行资源运维工作。 委托其他云服务：由于云服务之间存在业务交互关系，一些云服务需要与其他云服务协同工作，需要您创建云服务委托，将操作权限委托给该服务，让该服务以您的身份使用其他云服务，代替您进行一些资源运维自动化工作。

本文为您介绍在AD域环境搭建好之后,将文件系统加入AD域的操作步骤。 前提条件 已有至少1个可用状态的CIFS文件系统。 已准备AD域环境，已创建AD域控制器，至少有一台客户端已加入域。请参考搭建AD域。 操作步骤 步骤一：生成keytab文件 说明 生成keytab文件的操作在AD域控制器上进行。 1. 登录AD域控制器上为文件系统设置本地域名。 文件系统服务主体依赖域名，因此需要先创建文件系统挂载点对应的域名。需要分别为普通AD域客户端和AD域控制器进行设置。hosts文件路径：C:WindowsSystem32driversetchosts。本地域名配置如下： . 参数说明： 参数 说明 server IP 文件系统挂载地址前的IP。 文件系统本地域名 自定义的文件系统的域名名称。 注：每个文件系统的域名名称应保持唯一。 realm AD域名，如“sfs.com”。 示例： 100.xx.xx.xx testfs01.sfs.com 2. 设置服务账户。按照如下格式使用dsadd命令创建一个服务账号。 注意 您需要记住设置的账户名和密码等信息，后续步骤会用到。 dsadd user CN[AD域服务账户名],DC[AD域域名],DC[com] samid [AD域服务账户名] display [账户描述] pwd [账户密码] pwdneverexpires yes 示例： dsadd user CNNASuser01,DCsfs,DCcom samid fsuser01 display "ctyunnas service account" pwd zmqw@md3 pwdneverexpires yes 3. 执行以下命令为CIFS文件系统域名注册SPN服务主体。 setspn S cifs/[文件系统本地域名]@ [realm] [AD域服务账户名] 参数说明： 参数 说明 文件系统本地域名 在步骤1中为文件系统挂载点设置的域名。 realm AD域名。在搭建AD域环境时设置的域名，本文中为“sfs.com”。 AD域服务账户名 步骤2中的samid。 示例： setspn S cifs/testfs01.sfs.com@sfs.com fsuser01 4. 在AD域控制器上执行以下命令为CIFS文件系统服务主体生成Keytab文件，用于用户的身份认证。 Ktpass princ cifs/[文件系统本地域名]@[realm（必须大写）] ptype KRB5NTPRINCIPAL mapuser [AD域服务账户名]@[realm] crypto All out [密钥表文件生成路径] pass [账户密码] 参数说明： 参数 说明 princ 设置服务主体名称（SPN）。填写步骤1中为文件系统设置的本地域名。 ptype 指定密钥表文件的类型。设置为：KRB5NTPRINCIPAL（用于普通服务账户）。 mapuser AD域服务账户名，填写步骤2中的samid。将SPN映射到一个AD域用户账户，这个用户账户将与SPN相关联，用于身份验证和授权。 crypto 选择用于加密密钥的加密算法：ALL。即所有的加密算法，包括DESCBCCRC、DESCBCMD5、RC4HMACNT等。 out 指定生成的密钥表文件的输出路径和文件名。 /out c:tempservice.keytab将创建一个名为service.keytab的密钥表文件，并将其保存到c:temp目录下。 pass 指定与映射用户账户对应的密码。即在步骤2为创建文件系统服务账户时设置的密码。 示例： Ktpass princ cifs/testfs01.sfs.com@SFS.com ptype KRB5NTPRINCIPAL mapuser fsuser01@sfs.com crypto All out C:nasservice.keytab pass zmqw@md3 5. 将keytab文件传至登录天翼云控制台所用的客户端。 若使用本地电脑登录天翼云控制台，需要将AD域控制器上生成的keytab文件传至本地电脑，具体方法参考：怎样在本地主机和Windows云主机之间互传数据？。此方法需要使用弹性IP，弹性IP是计费服务，计费说明参考计费概述弹性IP。 若为云主机绑定弹性IP，可以直接使用云主机登录天翼云控制台进行接下来的步骤，且不必进行本地电脑与云电脑的keytab文件传输。 说明 远程桌面连接时需要输入云主机的用户名密码，是指在创建云主机时的用户名（默认为Administrator）和密码。