参数 说明 InstanceId ECS ID，可通过登录管理控制台，在弹性云主机ECS列表中查看。 说明InstanceId可不用配置，保持"InstanceId":"",即可，若需要配置，需要遵循如下两条原则： 该资源ID需保证全局唯一性，即同一个RegionID下Agent使用的InstanceId不能相同，否则系统可能会出现异常。 InstanceId必须与实际的ECS或BMS资源ID一致，否则云监控服务界面将看不到对应ECS或BMS资源操作系统监控的数据。 ProjectId ProjectId可不用配置，保持"ProjectId": "",即可。若需要配置，请参考已下获取方式。 项目ID，获取方式如下： 1. 登录管理控制台，单击右上角“用户名”，选择“我的凭证”； 2. 在项目列表中，查看ECS或BMS资源对应的所属区域的项目ID。 AccessKey/SecretKey 访问密钥，获取方式如下：登录管理控制台，单击右上角“用户名”，选择“我的凭证 > 管理访问密钥”； 如已有访问密钥，查看创建时下载保存的credentials.csv文件中，获取文件中记录的Key值即可； 如未创建，则通过“新增访问密钥”可创建新的访问密钥，妥善保存credentials.csv文件，并获取文件中记录的Key值。 须知 为了安全考虑，建议该用户为IAM用户，并且权限仅为CES Administrator和LTS Administrator。 配置的AccessKey必须在“我的凭证 > 管理访问密钥”列表中，否则将鉴权失败，云监控服务界面看不到操作系统监控数据。 RegionId 区域ID，例如：ECS或BMS资源所属区域为“杭州”，则RegionID为“cnhz1”。 ClientPort Agent占用的起始端口号。说明默认为0，表示随机占用。11023为系统保留端口，建议不要配置。 PortNum Agent占用的范围的个数。说明默认为200，若ClientPort配置5000，则表示在50005199端口中随机占用。 BmsFlag BMS需配置此参数为true，ECS配置项中无需配置。Windows操作系统中无需要配置。

本章节为您介绍数据库授权的相关内容。 数据库命令授权是用于拦截数据库会话敏感操作，实现数据库运维操作的细粒度控制。授权用户登录策略关联的数据库资源，当数据库运维会话触发规则，将会拦截数据库会话操作。 数据库命令授权支持以下功能项： 支持按命令组列表排序区分优先级，排序数字越小优先级越高。 支持以下控制命令的动作。 触发审批：拦截该命令，并自动创建为审批工单。支持审批超时配置，超时xx分钟默认允许或默认拒绝。 断开连接：触发该策略规则后，断开与数据库的连接。 允许执行：默认允许执行所有操作。当触发策略规则后，放行规则集中操作。 约束限制 仅企业版堡垒机支持数据库运维操作审计。 仅针对MySQL、Oracle、Postgresql类型数据库，支持通过数据库命令授权设置操作细粒度控制。 新增命令组 您在新增数据库命令授权前需要进行新增命令组的操作。 1. 使用“管理角色”账户登录云堡垒机系统。 2. 在左侧导航栏选择“授权管理 > 数据库命令授权”，进入“数据库命令授权”页面。 3. 在页面上面选择“命令组”页签，单击“新增”，开始新增命令组。 参数 参数说明 名称 自定义命令组的名称。 动作 选择该命令组中的命令触发时产生的动作： 触发审批：拦截该命令，并自动创建为审批工单。支持审批超时配置，超时xx分钟默认允许或默认拒绝。 说明 对于包含“触发审批”动作的命令组，需要当前选择的用户（组）具有审批规则，否则无法配置“触发审批”动作，请先前往工单管理配置审核人。 断开连接：触发该策略规则后，断开与数据库的连接。 允许执行：默认允许执行所有操作。当触发策略规则后，放行规则集中操作。 SQL命令类型 根据您业务的需求，选择需要进行控制的命令，云堡垒机目前支持选择如下命令： SELECT、INSERT、UPDATE、DELETE、TRUNCATE、CREATE、DROP、ALTER、GRANT、REVOKE、SHOW、DESCRIBE、EXPLAIN、RENAME。 SQL库名 填写命令生效的SQL库名。 SQL表名 填写命令生效的SQL表名。 风险等级 选择该命令组的风险等级，共可选5个等级。 说明 命令匹配上多条策略时，动作执行优先级：触发审批 > 断开连接 > 允许执行，若未匹配上任何策略则放行。

kdump配置方法 以EulerOS以及CentOS 7/8系列Linux产品为例： 1. 查看是否已安装kexectools。 rpm qa grep kexectools 如果没有安装，执行下面命令安装kexectools。 yum install y kexectools 2. 设置kdump开机启动。 systemctl enable kdump 3. 设置crashkernel参数，设置这个参数的目的是预留内存给捕获内核（capture kernel）。 首先查看该参数是否已经设置。 grep crashkernel /proc/cmdline 如果有显示，则表示已经设置，如果没有显示，则需要重新设置。 编辑/etc/default/grub文件，此文件通常包含如下内容： GRUBTIMEOUT5 GRUBDEFAULTsaved GRUBDISABLESUBMENUtrue GRUBTERMINALOUTPUT"console" GRUBCMDLINELINUX"crashkernelauto rd.lvm.lvrhel00/root rd.lvm.lvrhel00/swap rhgb quiet" GRUBDISABLERECOVERY"true" 在GRUBCMDLINELINUX一行添加crashkernelauto。 4. 更新grub，执行更新grub命令，使配置生效。命令如下。 grub2mkconfig o /boot/grub2/grub.cfg 5. 打开/etc/kdump.conf文件中找到“path”参数，添加以下内容。 path /var/crash 默认是保存在/var/crash目录下，如果要保存到其他目录，则改成对应的目录，例如保存在/home/kdump下，则改成： path /home/kdump 请确保指定的路径有足够的空间保存vmcore，建议剩余空间不小于物理内存（RAM）的大小，也可以保存在SAN，NFS等共享设备上。 6. 设置转存vmcore级别，查看/etc/kdump.conf文件，是否存在以下设置，如果存在则无需添加。 corecollector makedumpfile d 31 c c：表示压缩vmcore文件， d：表示过滤掉部分无效的内存数据，可以根据需要调整，一般31即可，31是由如下的值与计算而成。 zero pages 1 cache pages 2 cache private 4 user pages 8 free pages 16 7. 设置内核参数（可选）。 为了控制在哪些场景下触发kdump，内核提供了一些参数，建议设置以下参数： kernel.hardlockuppanic1 kernel.panic5 kernel.paniconoops1 kernel.softlockuppanic1 kernel.unknownnmipanic1 kernel.nmiwatchdog1 将以上配置参数写入/etc/sysctl.conf文件并保存。另外，可以选择添加如下几个参数到/etc/sysctl.conf文件中。 kernel.paniconionmi1 kernel.paniconwarn1 8. 进入天翼云控制台云主机详情页，对当前云主机进行重启，使以上配置生效。

本节介绍了DDoS高防（边缘云版）的主要产品功能。 DDoS高防（边缘云版）的功能说明如下，适用于所有套餐。 功能分类 功能项 功能描述 防护功能 DDoS网络层防护 支持TCP、UDP、ICMP网络协议防护，如SYN Flood ，ACK Flood，空连接等。 防护功能 畸形报文防护 支持对Ping of Death、Tear Drop、LAND、Fraggle等畸形报文进行过滤，判断报文合法性，丢弃异常请求。 防护功能 CC防护 CC防护根据访问者的URL，频率，行为等访问特征，智能识别CC攻击，避免源站资源耗尽，保证企业网站的正常访问。 防护功能 访问控制 可针对IP，IP段，IP端口，URI，METHOD，请求地区，请求参数，请求头部，请求协议等维度进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 防护功能 频率控制 支持针对特定报文（十余种粒度组合），选择URL、ARGS、Header、Cookie、UA、IP其中一个或两个粒度进行频率统计，并设置对应的处理动作，以对高频请求进行控制。 告警策略 应用层CC告警 支持自定义CC攻击告警策略，对持续时长、QPS峰值、攻击次数进行监控和告警。 告警策略 网络层告警 支持自定义网络层攻击告警策略，对持续时长、pps峰值、bps峰值进行监控和告警。 告警策略 告警勿扰时间 支持设置勿扰时间，在特定时间内不进行告警。 业务接入 域名接入 支持HTTP、HTTPS、HTTP2协议的域名进行自助接入配置。 支持自定义回源HTTP请求头。 支持多个源站或域名回源，并对源站设置层级和权重。 支持指定回源协议或配置跟随协议。 支持请求强制跳转，即将请求的HTTP强制302跳转至HTTPS进行请求。 业务接入 端口接入 支持UDP、TCP协议协议的域名进行自助接入配置。 支持配置转发端口或转发端口段。 支持多个源站或域名回源。 安全分析 安全报表 支持查看CC安全报表、网络层安全报表，通过攻击趋势、攻击源TOP分析、攻击目标TOP分析等，掌握攻击态势。 安全分析 攻击事件 支持查看、导出CC攻击事件、网络层攻击事件。 业务分析 日志下载 支持下载业务请求全量日志，以对业务情况进行深入分析，为攻击排查，业务决策提供输入信息。 业务分析 业务用量 支持查看流量、带宽、请求次数、QPS、连接数、并发连接数、响应状态码的趋势，以掌握业务运行情况。

使用API导入数据 使用bulk API通过cURL命令导入数据文件，如下操作以JSON数据文件为例。 说明 使用API导入数据文件时，建议导入的数据文件大小不能超过50MB。 1.登录即将接入集群的弹性云主机。 接入集群的详细操作指导请参见接入集群章节中的 在同一VPC内的弹性云主机，直接调用Elasticsearch API。 2.执行如下命令，导入JSON数据。 其中， { Private network address and port number of the node } 需替换为集群中节点的内网访问地址和端口号，当该节点出现故障时，将导致命令执行失败。如果集群包含多个节点，可以将 { Private network address and port number of the node } 替换为集群中另一节点的内网访问地址和端口号；如果集群只包含一个节点，则需要将该节点修复之后再次执行命令进行导入数据。test.json为导入数据的json文件。 curl X PUT " network address and port number of the node} /bulk" H 'ContentType: application/json' databinary @test.json 说明 其中，X参数的参数值为命令，如“X PUT”，H参数的参数值为消息头，如“H 'ContentType: application/json' databinary @test.json”。添加的k参数时，请勿将k参数放置在参数与参数值之间。 示例 ： 将“testdata.json”数据文件中的数据导入至Elasticsearch集群，此集群未进行通信加密，其中一个节点内网访问地址为“192.168.0.90”，端口号为“9200”。其中testdata.json文件中的数据如下所示： {"index":{"index":"mystore","type":"products"}} {"productName": "2019秋装新款文艺衬衫女装","size":"M"} {"index":{"index":"mystore","type":"products"}} {"productName": "2019秋装新款文艺衬衫女装","size":"L"} 导入数据的操作步骤如下所示： a. 可执行以下命令，创建mystore索引。 7.x之前版本 curl X PUT H 'ContentType:application/json' d ' { "settings": { "numberofshards": 1 }, "mappings": { "products": { "properties": { "productName": { "type":"text" }, "size": { "type":"keyword" } } } } }' 7.x之后版本 curl X PUT H 'ContentType:application/json' d ' { "settings": { "numberofshards": 1 }, "mappings": { "properties": { "productName": { "type": "text" }, "size": { "type":"keyword" } } } }' b. 执行以下命令，导入testdata.json文件中的数据。 curl X PUT " H 'ContentType: application/json' databinary @testdata.json

本文主要介绍 系统盘（将扩容部分的容量新增到F盘） 系统盘原有容量为40GB，通过管理控制台将系统盘扩容60GB后，登录云主机为60GB新增容量新创建一块F盘。操作完成后，新增60GB的F盘可用作数据盘。 步骤1 在云主机桌面，选择“开始”，右键单击后在菜单列表中选择“计算机”，选择“管理”。 弹出“服务器管理”窗口。 步骤2 在左侧导航树中，选择“存储 > 磁盘管理”。 进入“磁盘管理”页面，如下图所示。 图 刷新（系统盘） 步骤3 若此时无法看到扩容部分的容量，选中“磁盘管理”，右键单击“刷新”。 刷新后，可以看到在扩容部分的容量，显示为“未分配”，如下图所示。 图 未分配（系统盘） 步骤4 在磁盘0的“未分配区域”右键单击，选择“新建简单卷”，如下图所示。 图 新建简单卷（系统盘） 步骤5 在弹出的“新建简单卷向导”界面中选择“下一步”，如下图所示。 图 新建简单卷向导（系统盘） 步骤6 在弹出的“指定卷大小”界面中，指定“简单卷大小”行中输入需要扩容的磁盘容量，此处以默认为例，单击“下一步”，如下图所示。 图 指定卷大小（系统盘） 步骤7 在弹出的“分配驱动器号和路径”界面中，指定“分配驱动器号”行中选择驱动器号，此处以“F”为例，单击“下一步”，如下图所示。 图 分配驱动器号和路径（系统盘） 步骤8 勾选“按下列设置格式化这个卷”，并根据实际情况设置参数，格式化新分区，单击“下一步”完成分区创建，如下图所示。 图 格式化分区（系统盘） 步骤9 单击“完成”完成向导。 扩容成功后可以看到新加卷（F：），如下图所示。 图 完成（新加卷F） 图 新加卷（F）

本文为您介绍使用AD域用户身份挂载文件系统的操作步骤。 前提条件 文件系统和云主机必须归属同一VPC内，否则无法挂载成功。 操作步骤 说明 使用域用户身份挂载文件系统的操作在AD域内普通客户端（非AD域控制器）上进行。 1. 登录AD域普通客户端。 2. 使用域用户身份挂载文件系统与一般挂载CIFS文件系统的操作步骤基本相同，参考挂载CIFS文件系统到弹性云主机 (Windows)。 不同的是在客户端输入挂载地址后，点击“完成”时需要输入在创建AD域用户时设置的用户名和密码。 3. 输入正确的用户名和密码后点击“确定”，文件系统即被挂载成功，可以作为一个普通的磁盘来使用。

本文介绍NAT网关—DNAT规则类相关问题。 为什么使用DNAT？ DNAT是一种网络地址转换技术，用于改变数据包中的目标IP地址和端口号。当数据包从外部网络传输到内部网络时，DNAT会将数据包中的目标IP地址和端口号替换为内部网络中对应的IP地址和端口号，以便正确地将数据包传递给内部主机，从而保护自己的服务器不暴露在公网中，以免受到攻击。 同时，DNAT功能可以实现VPC内多个云主机共享弹性IP，为互联网提供服务。 DNAT规则是否支持更新操作？ 支持 进入NAT网关实例详情页，选择DNAT规则，点击需要修改的DNAT规则操作列中的“修改”按钮，即可修改DNAT规则。 操作流程详见管理DNAT规则。

本节为您介绍创建静态路由的操作场景、前提条件和操作步骤。 操作场景 用户根据网络规划，配置静态路由规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云智能网关硬件版的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关名称，进入智能网关详情页。 5. 在详情页，单击“静态路由 >添加”。 6. 根据页面提示，填写目的网段和下一跳参数。 7. 单击“确定”，完成静态路由规则配置。

本小节介绍如何购买第三方证书部署服务。 操作场景 已上传的第三方证书支持一键部署到天翼云上弹性负载均衡 、Web应用防火墙（原生版） 、CDN加速相关产品，提升业务便捷性。 操作步骤 1. 登录证书管理服务控制台。 2. 单击“购买证书”，进入到证书管理服务产品购买页面。 3. 服务类型选择“第三方证书部署服务”。 4. 选择第三方证书部署服务的购买数量，单次最多可购买200个。 5. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”下单。 6. 单击“提交订单”，在弹出的“订单详情”页确认订单信息。 7. 单击“立即支付”，完成第三方证书部署服务的购买。

规格名称 CPU 内存（GB） 处理器 处理器主频（GHz） 本地磁盘 内网带宽（Gbps） 是否支持挂载云硬盘 physical.s5.2xlarge1 2路28核 512 Intel 6348 2.6 无 25 支持 physical.s5.2xlarge4 2路28核 512 Intel 6348 2.6 系统盘：2480GB（SSD）数据盘：2 3200GB（NVMeSSD） 50 不支持 physical.s5.2xlarge5 2路32核 512 Intel 8378A 3.0 系统盘：2480GB（SSD）数据盘：2 3200GB（NVMeSSD） 50 不支持 physical.s6.2xlarge1.2 2路52核 1024 Intel 8566C 2.6 系统盘：2480GB（SSD）数据盘：2 3200GB（NVMeSSD） 100 不支持 physical.s6a.3xlarge1 2路64核 1536 AMD EPYC 9A84 3.4 系统盘：2480GB（SSD）数据盘：2 3840GB（NVMeSSD） 225 不支持

本节介绍了清理网络规则文件的操作场景、前提条件、操作步骤。 操作场景 为了避免使用私有镜像创建的新云主机发生网卡名称漂移，在创建私有镜像时，需要清理云主机或镜像文件所在虚拟机的网络规则文件。 说明 使用外部镜像文件制作私有镜像时，清理网络规则文件操作需要在虚拟机内部完成，建议您在原平台的虚拟机实施修改后，再导出镜像。 前提条件 云主机已安装操作系统和virtio驱动。 操作步骤 1. 执行以下命令，查看网络规则目录下的文件。 ls l /etc/udev/rules.d 2. 执行以下命令，删除网络规则目录下，文件名同时包含persistent和net的规则文件。 例如： rm /etc/udev/rules.d/30netpersistentnames.rules rm /etc/udev/rules.d/70persistentnet.rules 以上命令中斜体部分会根据用户的实际环境有区别。 说明 对于CentOS 6系列的镜像，为避免网卡名发生漂移，您需要创建一个空的rules配置文件。 示例：touch /etc/udev/rules.d/75persistentnetgenerator.rules //命令中斜体部分会根据用户的实际环境有区别 3. 清理网络规则。 − 若操作系统使用initrd系统映像，请执行以下操作： i. 执行以下命令，查看initrd开头且default结尾的initrd映像文件，是否存在同时包含persistent和net的网络设备规则文件（以下命令中斜体内容请以实际操作系统版本为准）。 lsinitrd /boot/initrd2.6.32.120.7default grep persistentgrep net 否，结束。 是，执行3.ii。 ii. 执行以下命令，备份initrd映像文件（以下命令中斜体内容请以实际操作系统版本为准）。 cp /boot/initrd2.6.32.120.7default /boot/initrd2.6.32.120.7defaultbak iii. 执行以下命令，重新生成initrd映像文件。 mkinitrd − 若操作系统使用initramfs系统映像（如Ubuntu），请执行以下操作： i. 执行以下命令，查看initrd开头且generic结尾的initramfs映像文件，是否存在同时包含persistent和net的网络设备规则文件。 lsinitramfs /boot/initrd.img3.19.025genericgrep persistentgrep net 否，无需清理网络规则。 是，执行3.ii。 ii. 执行以下命令，备份initrd映像文件。 cp /boot/initrd.img3.19.025generic /boot/initrd.img3.19.025genericbak iii. 执行以下命令，重新生成initramfs映像文件。 updateinitramfs u

本文介绍如何部署AD域控制器。 前提条件 在AD域控制器的云主机上已经安装AD域服务器。 操作步骤 1. 将域服务器升级升为域控制器。打开“服务器管理器”，点右上角点小旗子图标，点击“服务器提升为域控制器”。 2. 添加新林。由于是第一个AD控制器，点击“添加新林”，根域名处填域名sfs.com，点击“下一步”等待部署配置。 说明： 将域控制器添加到现有域：在现有的域控制器中添加新的域控制器。 将新域添加到现有林：在现有的林中新建域，与林中现有的域不同。 3. 设置目录服务还原密码。 说明： 林功能级别(包含Windows Server 2008到WindowsServer 2016级别)：Windows Server 2012 R2。 域功能级别(只包含Windows Server 2012 R2域功能)：Windows Server 2012 R2。 指定域控制器功能：默认即可。 键入目录服务还原模式(DSRM)密码：需设置复杂密码，否则无法通过规则校验。 4. 跳过DNS选项，点击“下一步”。用AD域服务器当DNS服务器，不需要单独指定。 5. NetBios域名保持默认，点击“下一步”。 6. 日志及数据配置保持默认，点击“下一步”。 说明： AD DS数据库是AD域服务器用来存放用户信息的地方。 AD DS数据库、日志文件夹和sysvol文件夹，出于安全考虑建议放在其他盘。 7. 检查配置信息，点击“下一步”。 8. 安装前自动进行先决条件检查，检查通过后点击“安装”，系统自动安装并重启。安装需要一段时间请耐心等待。 9. 查看是否安装成功。理论上重启后AD域即部署成功，打开“服务器管理器”，点击“工具>Active Directory用户和计算机”，在弹窗中依次点击“sfs.com>Domain Controllers”，若展示云主机名称即代表AD域部署成功。

部署rook operator Rook是一个开源的云原生存储编排工具，提供平台、框架和对各种存储解决方案的支持，以和云原生环境进行本地集成。 Rook 利用扩展功能将其深度地集成到云原生环境中，并为调度、生命周期管理、资源管理、安全性、监控等提供了无缝的体验。Rook 目前支持 Ceph、NFS、Minio Object Store 和 CockroachDB。 plaintext 部署rook operator cd rook/deploy/charts/rookceph/ helm install createnamespace namespace rookceph rookceph . 创建rook ceph集群 plaintext 创建rook ceph集群 cd rook/deploy/examples kubectl apply f cluster.yaml 镜像列表 registry.k8s.io/sigstorage/csiattacher:v4.8.1 registry.k8s.io/sigstorage/csinodedriverregistrar:v2.13.0 registry.k8s.io/sigstorage/csiprovisioner:v5.2.0 registry.k8s.io/sigstorage/csiresizer:v1.13.2 registry.k8s.io/sigstorage/csisnapshotter:v8.2.1 quay.io/ceph/ceph:v19.2.2 quay.io/cephcsi/cephcsi:v3.14.0 rook/ceph:v1.17.2 kubectl get cephcluster A NAMESPACE NAME DATADIRHOSTPATH MONCOUNT AGE PHASE MESSAGE HEALTH EXTERNAL FSID rookceph rookceph /var/lib/rook 3 136m Ready Cluster created successfully HEALTHWARN 40a66dd669ed4401b97fef1edaae17b2 部署rook ceph工具 plaintext cd rook/deploy/examples kubectl apply f toolbox.yaml 通过cephtool工具查看ceph集群状态，正常需要3个OSD（准备三个节点，每个节点至少有一块盘） kubectl exec it kubectl get pods n rookcephgrep rookcephtoolsawk '{print $1}' n rookceph bash bash5.1$ ceph s cluster: id: e7abf175ad9c420a92051328f8097a75 health: HEALTHWARN mon b is low on available space services: mon: 3 daemons, quorum a,b,c (age 12h) mgr: a(active, since 12h), standbys: b mds: 1/1 daemons up, 1 hot standby osd: 3 osds: 3 up (since 12h), 3 in (since 13h) data: volumes: 1/1 healthy pools: 4 pools, 81 pgs objects: 34 objects, 639 KiB usage: 203 MiB used, 120 GiB / 120 GiB avail pgs: 81 active+clean io: client: 1.2 KiB/s rd, 2 op/s rd, 0 op/s wr OSD 可用存储设备满足条件： 设备必须没有分区。 设备不得具有任何 LVM 状态。 不得安装设备。 该设备不得包含文件系统。 该设备不得包含 Ceph BlueStore OSD。 设备必须大于 5 GB。 使用Ceph

本章节主要介绍翼MapReduce服务的元数据功能。 选择在翼MR集群部署Hive、Ranger、Amoro、Hue或DolphinScheduler组件时，翼MR提供关系数据库MySQL版（CTRDS MySQL）的元数据存储方式。请选择关联与当前集群同一虚拟私有云（VPC）下的MySQL数据库，元数据将存储于关联的数据库中，不会随当前集群的删除而删除，多个翼MR集群可共享同一份元数据。 配置信息说明 当您选择部署Hive、Ranger、Amoro、Hue或DolphinScheduler集群服务时，需要填写元数据库有关的五项配置，包括数据库主机、数据库端口、数据库名称、数据库用户名、数据库密码。 1. 数据库主机与端口：开通MySQL实例后，可从基本信息中获取主机与端口号信息。 2. 数据库名称：开通MySQL实例后，可在数据库管理页面创建数据库并设置数据库名称。建库时，字符集建议选择utf8mb4，校验规则推荐选择utf8mb4unicodeci。 3. 数据库用户名与密码：开通实例后，可前往账号管理创建账户，并为该账号授予目标数据库的权限。请确保填写的用户拥有该数据库的读写权限。 说明 1、当前仅支持通过内网地址进行数据库连接。请选择关联与当前集群同一虚拟私有云（VPC）下的MySQL数据库。 2、配置元数据库信息时，请提前创建数据库，若需要部署多个服务，请创建多个数据库，创建方式可参考 3、元数据配置所需信息可前往 4、请确保配置的数据库用户具有该数据库的读写权限。 5、创建集群时，若元数据库配置错误，将导致Hive、Ranger、Amoro、Hue或DolphinScheduler异常，但不影响集群的创建与部署，集群创建后，您可前往Manager的集群服务，进入相应的集群服务详情，通过运维操作中的“元数据库配置”操作，替换原有元数据库的配置信息并进行初始化。

本文介绍数据库管理服务为云数据库提供数据库审计功能，帮助您追溯历史所有数据库操作记录，满足您的安全审计需求。 前提条件 用户已录入MySQL、DDS、PostgreSQL与SQL Server类型的云数据库实例。 MySQL、PostgreSQL、SQL Server数据库资源池支持：西南1、华东1、上海36、华北2、长沙42、华南2、青岛20、南昌5、西安7、杭州7。 DDS数据库资源池支持：华东1、上海36、西南1、华北2、华南2。 用户已经开启了数据库审计，详见：开启数据库审计。 操作步骤 1. 登录数据库管理服务。 2. 在左侧菜单栏依次点击SQL治理 > SQL审计，进入SQL审计明细界面。 注意事项 SQL审计明细的日志记录默认只保存1天，可设置范围为1~3天。若需要更改最长保存时间（最长支持180天）请联系客户经理评估调整。 仅超级管理员、系统管理员和审计管理员可以进入SQL审计日志界面。 MySQL审计日志中影响行数、返回行数、扫描行数、执行耗时、锁等待时间若无法查看则为历史版本，有需要请联系数据库内核升级版本即可。 若DDS不支持数据库审计，需先升级数据库内核版本。 功能介绍 SQL审计的日志记录了历史所有数据库操作记录，您需要先选择查看的时间范围和实例，点击查询按钮即可查看。 SQL审计明细日志搜索 SQL审计日志支持多个维度的联合搜索，不同数据库类型搜索项存在差异，常见搜索项说明如下 搜索项 说明 时间范围 选择查询的时间范围 数据库类型 选择DMS支持的数据库类型，必填 实例 实例名称，必填 节点IP 数据库实例节点IP，必填 数据库名 实例中数据库名称，可使用通配符%，指代任意长度字符 SQL执行类型 选择SQL语句的类型 SQL文本 SQL语句文本，大小写不敏感，可使用通配符%，指代任意长度字符 按时间排序 是否将查询结果按照时间排序，开启后将严重影响查询性能，建议关闭 数据库账号 大小写不敏感，可使用通配符%，指代任意长度字符 客户端IP 客户端IP地址，可使用通配符%，指代任意长度字符 SQL执行结果 SQL执行是否成功 注意 由于MySQL审计日志数据量较大，搜索的时间范围跨度仅限1天。

本文为您介绍配置隧道网关的操作方法。 本文针对用户IDC的常见组网场景提供配置参考，以华为CE6850交换机、H3C S6520交换机为例。 操作步骤（华为CE6850交换机） 操作步骤（H3C S6520交换机） 约束与限制 如果您的IDC需要与云上企业交换机对接来建立云下和云上二层网络通信，那么IDC侧的交换机需要支持VXLAN功能，若有高可靠性要求，建议VXLAN交换机组堆叠部署。 示例组网说明 本示例场景中，规划的二层网络的子网网关和VXLAN隧道在不同的交换机上。 云上隧道IP是10.0.6.3，用户IDC侧隧道交换机的隧道IP是2.2.2.2，隧道号（VNI）是5010，仅供参考。 图配置远端隧道网关 操作步骤（华为CE6850交换机） 远端隧道网关的配置方法：配置IDC隧道交换机，将二层子网VLAN的流量引流到隧道。 注意 目前大部分CE交换机不支持三层子接口转发已经封装的VXLAN报文，因此VXLAN上行（对接线上企业交换机）不能使用三层子接口，可使用VLANIF接口替代。 1. 登录隧道交换机，执行命令 systemview ，进入系统视图。 2. 进入loopback 0接口视图，配置隧道IP。 3. 配置示例： interface loopback 0 ip address 2.2.2.2 255.255.255.255 4. 执行命令 quit ，退出接口视图，返回到系统视图。 5. 执行命令 bridgedomain ，进入BD视图，配置BD所对应VXLAN的VNI。 配置示例： bridgedomain 10 vxlan vni 5010 6. 执行命令 quit ，退出BD视图，返回到系统视图。 7. 创建二层子接口，通过子接口将二层网络指定的VLAN引流到隧道。 配置示例： interface 10ge 1/0/2.1 mode l2 encapsulation dot1q vid 100 bridgedomain 10 8. 执行命令 interface nve ，创建NVE接口，并进入NVE接口视图，配置VXLAN隧道源端VTEP的IP地址：2.2.2.2。 配置示例： interface nve1 source 2.2.2.2 9. 在NVE接口视图下，执行命令 vni ，配置VNI的头端复制列表。 配置示例： vni 5010 headend peerlist 10.0.6.3 10. 在系统视图下，执行如下命令查看VXLAN的配置状态。 display vxlan vni 5010 verbose

本文介绍边缘安全加速平台的产品优势。 随着全球在线业务的发展，企业拓展业务的趋势日益增长，这也为用户体验和数据资产安全带来了更为复杂的挑战。 AOne边缘安全加速平台提供了加速、计算和安全为一体的服务，为您的业务运营提供全方位的保障。 极致的加速体验 优质的资源覆盖： CN2 和 163 互备支撑，所有节点和 IDC 出口并行，避免峰值带宽拥堵。 智能高效：智能分离站点内容，实现网络智能加速。 传输优化：基于先进的内核技术及自研的私有协议，大幅提升传输效率。 多业务加速：支持 http / https 协议加速、上传加速、websocket 加速、IPv6 升级等。 37层一体化防护 DDoS 防护：提供分布式DDoS攻击清洗，超百G节点大区粒度覆盖，防护总带宽超过12T。结合云原生、智能调度能力，实现资源动态扩容，攻击调度，满足用户三网防护需求，保障业务可用性。 Web 安全防护：基于 AI+ 规则的 Web 攻击识别，有效防御 SQL 注入、XSS 跨站脚本攻击等 OWASP TOP 10的关键 Web 风险。 Bot管理：基于已知Bot情报、精准访问控制、客户端特性识别、人机交互验证、机器学习等智能识别与检测技术，对业务流量进行实时检测和分析，智能识别并区分真实用户流量与各类Bot流量。 API 安全防护：基于安全可靠的接入认证方式，保证 API 访问安全。 持续认证动态评估：持续认证过程引入RBAC（基于角色的访问控制）与ABAC（基于属性的访问控制）鉴权体系，能根据角色及用户属性、环境属性、资源属性等综合授予用户访问权限。 全链路HTTPS：支持全链路HTTPS安全传输方案，防劫持防篡改，保护数据安全。 基于全网的HTTPDNS防劫持：支持用户通过HTTPDNS协议访问天翼云服务器，绕过运营商的LocalDNS解析，避免域名在解析阶段被劫持。 全周期安全保护：基于可信授权、最小授权、持续认证、业务隐身、终端安全、应用安全、链路安全等核心能力，对访问过程进行持续的安全保护，实现在任意网络环境中安全访问企业资源。

本文主要介绍 通过grafana查看AOM中的指标数据 前提条件 已创建弹性云主机ECS。 已创建弹性公网IP，并绑定到购买的弹性云主机ECS上。 操作步骤 步骤 1 安装并启动Grafana，具体操作请参见Grafana官方文档。 步骤 2 添加AccessCode。 1. 登录AOM控制台，在左侧导航栏中选择“配置管理 > 接入管理”。 2. 单击“添加AccessCode”。 添加AccessCode 说明 每个项目最多可创建2个AccessCode。 AccessCode是调用API的身份凭据，请您妥善保管。 3. 在弹出的窗口，单击“确定”，添加AccessCode。 4. 添加成功后，单击即可查看AccessCode。也可单击“删除”，删除AccessCode（ 删除后无法恢复，请谨慎操作 ）。 查看AccessCode 步骤 3 配置Grafana。 1. 登录Grafana。 2. 在左侧菜单栏，选择“Configuration > Data Sources”，单击“Add data source”。 配置Grafana 3. 单击“Prometheus”，进入Prometheus配置页面。 进入Prometheus配置页面 4. 参考示例配置参数。 Password：将Password设置为步骤2中生成的AccessCode。 User：aomaccesscode。 − URL： {URIscheme}://{Endpoint}/v1/{projectid} URIscheme：表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint为指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同。 projectid 为项目的ID。 说明 Auth下Basic auth和Skip TLS Verity的开关必须开启。 accesscode与projectid有对应关系，请在填写时确认匹配关系。 配置参数 5. 配置完成后，单击“Save&Test”，验证是否配置成功。 配置成功即可使用Grafana配置Dashboards，查看指标数据。 配置完成

本文向您介绍批量导入/导出域名解析记录。 批量导出解析记录 操作场景 当用户想要将通过云解析服务解析的域名转出到其他DNS服务商时，可以通过本操作批量完成域名解析记录的导出。 内网域名解析记录支持导出的信息包括：域名、记录类型、TTL值(秒)、记录值、状态、描述、记录集ID、创建时间、最近修改时间。 操作步骤 1. 进入内网域名列表页面，并选择目标区域。 2. 在域名列表中，单击待导出解析记录的域名名称。 3. 在页面顶部导航，选择进入“批量导入/导出”页面。 4. 单击页面右上角的“批量导出”，导出域名解析记录。 导出完成后，会生成格式为“域名.xlsx”的解析记录表格。例如“example.com.xlsx”。 在导出表格中可以查看导出的解析记录，包括域名、记录类型、TTL值(秒)、记录值、状态、描述、记录集ID、创建时间、最近修改时间。 批量导入解析记录 操作场景 当用户想要将域名导入到内网DNS进行解析时，可以通过本操作批量完成域名解析记录的导入。 最多支持每次导入500条解析记录。 说明 在批量导入域名解析记录之前，需要在云解析服务完成内网域名的创建。 操作步骤 1. 进入内网域名列表页面，并选择目标区域。 2. 在域名列表中，单击待导入解析记录的域名名称。 3. 在页面顶部导航，选择进入“批量导入/导出”页面。 4. 在进行批量导入前，需要首先完成导入模板的填写。 1. 在批量导入/导出详情页面，单击“下载模板”，获取导入模板。 2. 按模板要求完成解析记录的填写。 说明 如果您已经在域名的转出方导出了域名解析记录，需要将导出的内容填写到模板中，否则将无法导入成功。 5. 单击页面右上角的“批量导入”，选择填写完成的导入模板，开始执行批量导入。 导入完成后，可以通过查看“导入成功记录”和“导入失败记录”检查解析记录导入是否成功。 导入成功记录：显示导入成功的记录数。 导入失败记录：逐条显示导入失败的记录，您可以根据“失败原因”对导入失败的记录进行处理。 注意 重新导入解析记录之前，请先单击页面右上角的“清空”，将之前的导入成功记录和导入失败记录清空后再操作。

本节主要介绍如何管理VPC。 网络ACL是对一个或多个子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。一个文件系统最多可以添加20个可用的VPC，对于添加的VPC所创建的ACL规则总和不能超过400个。添加VPC时会自动添加默认IP地址0.0.0.0/0。 如果已经在VPC控制台删除文件系统绑定的VPC，该VPC在文件系统绑定的VPC列表下可见且授权的IP地址/地址段为“激活”状态，但此时该VPC已无法进行使用，建议将该VPC从列表中删除。 更多关于VPC的信息请参见《虚拟私有云用户指南》。 操作步骤 1. 登录管理控制台，选择“弹性文件服务”。 2. 在文件系统列表中单击目标文件系统名称，进入授权VPC界面。 3. 如果没有可用的VPC，需要先申请VPC。可以为文件系统添加多个VPC，单击“添加VPC”，弹出“添加VPC”对话框。如图所示。 可以在下拉列表中选中多个VPC。 4. 单击“确定”，完成添加。添加成功的VPC会出现在列表中，添加VPC时会自动添加默认IP地址0.0.0.0/0，默认读写权限为“读/写”，默认用户权限为“noallsquash”，默认用户root权限为“norootsquash”。 5. 在VPC列表下可以看到所有添加的VPC的信息，参数说明如表所示。 参数 说明 :: 名称 已添加的VPC的名称，例如：vpc4040。 授权IP数量 已经添加的IP地址或IP地址段的个数。 操作 包含“添加”和“删除”操作。“添加”即添加授权的IP地址，包括对授权的IP地址、读/写权限、用户权限、用户root权限及优先级的设置，“删除”即删除该VPC。 6. 单击VPC名称左边的，可以查看目标VPC添加的IP地址/地址段的详细信息。可以对其进行添加、编辑和删除IP地址/地址段的操作。在目标VPC的“操作”列，单击“添加”，弹出“添加授权地址”的弹窗，如图所示。可以根据参数说明如表所示完成添加 参数 说明 :: 授权地址 只能输入一个IPv4地址/地址段。 输入的IPv4地址/地址段必须合法，且不能为除0.0.0.0/0以外之前0开头的IP地址或地址段，其中当设置为0.0.0.0/0时表示VPC内的任意IP。同时，不能为127以及224~255开头的IP地址或地址段，例如127.0.0.1，224.0.0.1，255.255.255.255，因为以224239开头的IP地址或地址段是属于D类地址，用于组播；以240255开头的IP地址或地址段属于E类地址，用于研究。使用非合法的IP或IP地址段可能会导致添加访问规则失败或者添加的访问规则无法生效。 无法输入多个地址，如：10.0.1.32,10.5.5.10用逗号分隔等形式的多个地址。 如果要表示一个地址段，如192.168.1.0192.168.1.255的地址段应使用掩码形式：192.168.1.0/24，不支持192.168.1.0255等其他地址段表示形式。掩码位数的取值为0到31的整数，且只有为0.0.0.0/0时掩码位数可取0，其他情况均不合法。 读或写权限 分为读/写权限和只读权限。默认为“读/写”。 用户权限 分为allsquash和noallsquash。默认为“noallsquash”。 CIFS类型的文件系统添加授权地址时，不涉及该参数。 用户root权限 分为rootsquash和norootsquash。默认为“norootsquash”。 CIFS类型的文件系统添加授权地址时，不涉及该参数。 优先级 优先级只能是0100的整数。0表示优先级最高，100表示优先级最低。同一VPC内挂载时会优先使用该优先级高的IP地址/地址段所拥有的权限，存在相同优先级时会优先匹配最新添加或修改的IP地址/地址段。例如：用户在执行挂载操作时的IP地址为10.1.1.32，而在已经授权的IP地址/地址段中10.1.1.32（读写）优先级为100和10.1.1.0/24（只读）优先级为50均符合要求，则用户权限会使用优先级为50的10.1.1.0/24（只读）的只读权限。10.1.1.0/24内的所有地址包括10.1.1.32，在无其他授权优先级的情况下，则将会使用优先级为50的10.1.1.0/24（只读）的只读权限。 说明 属于VPC A中的弹性云主机IP地址可以被成功添加至VPC B的授权IP地址内，但该云主机无法挂载属于VPC B下的文件系统。弹性云主机和文件系统所使用的VPC需为同一个。

本章节向您介绍如何让接入ER的两个连接之间互相学习路由 如果您需要接入ER的两个连接之间互相学习路由，那么需要ER和其他两个连接之间构成EBGP组网，即ER、连接A、连接B的AS号均不能相同，这样ER会将学习到的连接A的路由信息发布给连接B。比如： 将“虚拟网关（VGW）”连接和“VPN网关（VPN）”连接同时接入ER中，为了实现两个连接之间互相学习路由，那么ER和两个连接的AS号均不能相同，规划示例如下： ER：“ASN”为64512。 “虚拟网关（VGW）”连接：虚拟网关的“BGP ASN”为64513。 “VPN网关（VPN）”连接：VPN网关的“BGP ASN”为64515。 说明 当前“虚拟私有云（VPC）”连接不支持路由学习，其他类型的连接均支持路由学习。

本节主要介绍产品优势 立体运维 提供覆盖应用性能、应用状态、基础设施状态、云资源使用情况的一站式立体运维平台 智能分析 以应用为中心，覆盖组件、实例、主机等多维度关联分析，快速定位异常根因 健康检查 实时监控应用健康状态，通过告警事件及日志分析分钟级追踪到异常业务代码 开箱即用 无需修改业务代码即可接入使用， 非侵入式数据采集，安全无忧 海量日志管理 高性能搜索和业务分析，自动将关联的日志聚类，可按应用、主机、文件名称、实例等维度快速过滤 关联分析 应用和资源层层自动关联，通过应用、组件、实例、主机和事务等多视角分析关联指标和告警数据，直击异常 生态开放 开放了运营、运维数据查询接口和采集标准，支持自主开发

您可以通过包年包月计费提前预留资源,同时享受比按量计费更大的价格优惠。 订购方式 天翼云云间高速（标准版）产品采用包年包月方式订购。 云企业路由器产品采用按量计费的方式。 计费周期：按订单购买周期结算。 变更 可以根据业务需求，对已经订购的带宽包的带宽，进行升降操作。 续订 用户想要延长带宽包使用时间，可以续订带宽包。 退订 用户不再使用带宽包，可以退订带宽包。 带宽包仅在未绑定云间高速（标准版）且未到期的情况下支持退订。 计费方式变更 暂不支持计费方式变更。 到期与欠费 云间高速（标准版）带宽包到期欠费后，控制台会保留该条记录，同时限制该带宽包速率为1Kbps及以下。

计费模式 包年/包月 按需计费 付费方式 预付费按照订单的购买周期结算。 后付费按照云服务器实际使用时长计费。 计费周期 按订单的购买周期计费。 按小时结算。 实例升级 支持扩容，工单施工完生效，但是施工过程中服务不可用；不支持缩容。 支持扩容，工单施工完生效，但是施工过程中服务不可用；不支持缩容。 更改计费模式 支持变更为按需资源。 支持变更为包周期资源。 变更规格 支持变更实例规格。 支持变更实例规格。 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于资源需求波动的场景，可以随时开通，随时删除。

本章节向您介绍通过企业路由器实现同区域VPC互通的步骤三内容。 约束与限制 VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 本示例中4个ECS位于同一个安全组内，如果您的ECS位于不同的安全组，需要在安全组中添加规则放通网络。 操作步骤 步骤1：创建4个VPC及子网。 步骤2：创建4个ECS。

此小节介绍资产被勒索过程 在攻击云基础设施时，攻击者通常会攻击多个资源以试图获取对客户数据或公司机密的访问权限。在勒索攻击链中，攻击者通过事前侦查探测、事中攻击入侵及横向扩散、事后勒索三个步骤实现对企业的资源勒索： 事前侦查探测阶段： 收集基础信息、寻找攻击入口，进入环境并建立内部立足点。 事中攻击入侵及横向扩散阶段： 部署攻击资源、侦查网络资产并提升访问权限，窃取凭据、植入勒索软件，破坏检测防御机制并扩展感染范围。 事后勒索阶段： 窃取机密数据、加密关键数据后加载勒索信息，基于文件重要等级索要赎金。 图被勒索过程

本文带您熟悉备份策略如何绑定存储库。 操作场景 将备份策略绑定存储库可以确保按照特定策略要求对整个存储库中的资源进行周期性备份和复制，以便在数据丢失或损坏时快速恢复数据，减少业务中断时间，保障业务的持续性。 前提条件 已创建至少一个存储库，且存储库的状态为“可用”。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 选择“备份策略”页签，在需要修改的备份策略所在行点击“绑定存储库”。 5. 在弹出的页面选择要绑定的存储库，并点击“确定”则可完成绑定。

本文主要介绍了开启重点操作短信验证的操作流程。 操作说明 开启重点操作短信验证保护后，您在进行对云主机进行关机、重启、重装等重点操作的场景时，需输入验证码，以防止错误操作造成的损失和风险。 需要注意的是：短信验证功能一旦开启，所有重点操作统一开启，短信验证的有效期为 15 分钟，15 分钟内做其他操作不需要重复验证。 操作流程 1.登录天翼云账号，点击右上角头像下方的【个人中心】进入基本信息，下拉点击“安全设置”再点击“登录保护”如下图所示。 2.点击【立即修改】跳转至概览/设置敏感操作保护，选择“开启”，如下图所示。 3.选择操作用户验证，如下图所示。 4.点击“保存”，即可开启重点操作保护。

本文帮助您快速熟悉弹性IP解绑的操作方法。 操作场景 当虚拟IP不需要访问公网服务的时候，可以解除虚拟IP与弹性IP的绑定关系。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成VPC、子网的创建。 您已完成虚拟IP与弹性IP的绑定。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“子网”选项，点击虚拟IP所在的子网。 5. 进入子网详情界面，点击“虚拟IP”页签，在需要解绑弹性IP的虚拟IP地址所在行的操作列下，单击“解绑弹性IP”。 6. 在弹窗中选择需要解绑的弹性IP地址。 7. 单击“确定”。

操作场景 当用户想要进行时间同步时，可以使用NTP服务。 约束与限制 当前支持的资源池包括： 以下资源池使用NTP Server地址：169.254.169.254 华东1、华北2、华南2、青岛20、西南1、南昌5、长沙42、上海36、武汉41、上海15、西安7、太原4、芜湖4、上海17、郑州5、呼和浩特3、西南2贵州、杭州7、庆阳2。 以下资源池使用NTP Server地址：100.126.0.162 北京5、成都4、拉萨3、上海7、广州6、郴州2、兰州2、内蒙6、南京2、南京4、九江、西安3、西安4、西安5、福州4、重庆2、芜湖2、合肥2、贵州3、杭州2、中卫2、昆明2、乌鲁木齐4。 操作步骤 1. 登录弹性云主机； 2. 部分资源池（如华东1）适用以下配置：通过ntpdate 169.254.169.254同步即可；部分资源池（如北京5）适用以下配置：通过ntpdate 100.126.0.162同步即可。

此小节介绍访问资产提示“登录设备失败，设备账号或密码错误”的处理方法。 访问资产提示“登录设备失败，设备账号或密码错误”，如果使用托管的账号密码，则需联系资产管理员，确认托管的账号和密码是否正确。 资产管理员需要将正确的资产账号和密码重新添加到资产，运维用户才能正常登录设备运维。 操作步骤 1、管理员登录云堡垒机实例控制台，访问角色切换为管理角色。 2、进入 资产管理>资产 页面，按资产IP或资产名搜索需要修改资产账号密码的资产。 3、点击资产数据操作栏【编辑】，在账号项选择需要修改的资产账号点击【编辑】。 4、进入 资产管理>资产账号 页面，选择需要修改的资产账号点击【编辑】。 5、更新资产账号、密码及应用的协议。