本文主要介绍虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户企业云中资源的安全性，简化用户的网络部署。 通过云审计服务，您可以记录与虚拟私有云相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的VPC操作列表 操作名称 资源类型 事件名称 修改Bandwidth bandwidth modifyBandwidth 创建EIP eip createEip 释放EIP eip deleteEip 绑定EIP eip bindEip 解绑定EIP eip unbindEip 创建PrivateIp privateIps createPrivateIp 删除PrivateIp privateIps deletePrivateIp 创建Security Group securitygroup createSecurityGroup 创建Subnet subnet createSubnet 删除Subnet subnet deleteSubnet 修改Subnet subnet modifySubnet 创建VPC vpc createVpc 删除VPC vpc deleteVpc 修改VPC vpc modifyVpc 创建VPN vpn createVpn 删除VPN vpn deleteVpn 修改VPN vpn modifyVpn 上表中VPC的操作，为底层（OpenStack）服务触发；部分事件名称与表68中重复，是因为这些事件采用了异步调用的模式：操作下发会产生上表中描述的事件，而操作结果响应会产生表69中描述的事件。 表 云审计服务支持的VPC操作列表（由底层服务触发） 操作名称 资源类型 事件名称 创建虚拟网络 network createNetwork 更新虚拟网络 networks updateNetwork 删除虚拟网络 networks deleteNetwork 创建虚拟子网 subnets createSubnet 更新虚拟子网 subnets updateSubnet 删除虚拟子网 subnets deleteSubnet 创建虚拟端口 ports createPort 更新虚拟端口 ports updatePort 删除虚拟端口 ports deletePort 创建浮动IP floatingips createFloatingip 更新浮动IP floatingips updateFloatingip 删除浮动IP floatingips deleteFloatingip 创建虚拟路由 routes createRouter 更新虚拟路由 routes updateRouter 删除虚拟路由 routes deleteRouter 添加虚拟路由的接口 routes addRouterInterface 删除虚拟路由的接口 routes removeRouterInterface 为当前vpcrouter添加扩展路由 routes addExtraRoute 为当前vpcrouter删除指定的扩展路由 routes removeExtraRoute 创建安全组 securitygroups createSecuritygroup 删除安全组 securitygroups deleteSecuritygroup 更新安全组 securitygroups updateSecuritygroup 创建安全组规则 securitygrouprules createSecuritygrouprule 删除安全组规则 securitygrouprules deleteSecuritygrouprule 创建一个vpnservice vpn createVpnService 更新vpnservice vpn updateVpnService 删除vpnservice vpn deleteVpnService 创建密钥交换策略 vpn createVpnIkepolicy 更新密钥交换策略信息 vpn updateVpnIkepolicy 删除租户指定ikepolicy vpn deleteVpnIkepolicy 创建一个ipsecpolicy vpn createVpnIpsecpolicy 更新指定ipsecpolicy vpn updateVpnIpsecpolicy 删除指定的ipsecpolicy vpn deleteVpnIpsecpolicy 创建一个ipsec连接 vpn createVpnIpsecsiteconnection 更新ipsec连接 vpn updateVpnIpsecsiteconnection 删除指定ipsec连接 vpn deleteVpnIpsecsiteconnection Create VPN endpoint group vpn createVpnEndpointgroup Update VPN endpoint group vpn updateVpnEndpointgroup Remove VPN endpoint group vpn deleteVpnEndpointgroup 更新代理 agent updateAgent 删除代理 agent deleteAgent 指定网络使用的DHCP Agent agent createAgentDhcpnetwork 移除网络使用的DHCP Agent agent deleteAgentDhcpnetwork 更新指定租户的配额值 quota updateQuota 重置指定租户的配额值 quota deleteQuota 创建firewall group FWaaS v2 createFirewallGroup 更新firewall group FWaaS v2 updateFirewallGroup 删除firewall group FWaaS v2 deleteFirewallGroup 创建firewall policy FWaaS v2 createFirewallPolicy 更新firewall policy FWaaS v2 updateFirewallPolicy 删除firewall policy FWaaS v2 deleteFirewallPolicy firewall policy中插入firewall rule FWaaS v2 insertFirewallPolicyRule firewall policy中移除firewall rule FWaaS v2 removeFirewallPolicyRule 创建firewall rule FWaaS v2 createFirewallRule 更新firewall rule FWaaS v2 updateFirewallRule 删除firewall rule FWaaS v2 deleteFirewallRule 创建loadbalancer loadbalancer createLBaaSLoadbalancer 更新指定的loadbalancer loadbalancer updateLBaaSLoadbalancer 删除指定的loadbalancer loadbalancer deleteLBaaSLoadbalancer 创建listener listener createLBaaSListener 更新指定的listener listener updateLBaaSListener 删除指定的listener listener deleteLBaaSlistener 创建pool pool createLBaaSPool 更新指定的pool pool updateLBaaSPool 删除指定的Pool pool deleteLbaasPool 创建Member member createLBaaSPoolMember 更新指定的Member member updateLBaaSPoolMember 删除指定的member member deleteLBaaSPoolMember 创建healthmonitor healthmonitor createLBaaSHealthMonitor 更新指定的healthmonitor healthmonitor updateLBaaSHealthMonitor 删除指定的healthmonitor healthmonitor deleteLBaaSHealthMonitor

本章节主要介绍翼MapReduce的查看集群静态资源操作。 操作场景 大数据管理平台支持通过静态服务资源池对没有运行在Yarn上的服务资源进行管理和隔离。系统支持基于时间的静态服务资源池自动调整策略，使集群在不同的时间段自动调整参数值，从而更有效地利用资源。 系统管理员可以在FusionInsight Manager查看静态服务池各个服务使用资源的监控指标结果，包含监控指标如下： 服务总体CPU使用率 服务总体磁盘IO读速率 服务总体磁盘IO写速率 服务总体内存使用大小 说明 启用多实例功能后，支持管理HBase所有服务实例使用的CPU、I/O和内存总量。 操作步骤 1. 在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 静态服务池”。 2. 在“配置组列表”，单击一个配置组，例如“default”。 3. 查看系统资源调整基数。 “系统资源调整基数”表示集群中每个节点可以被集群服务使用的最大资源。如果节点只有一个服务，则表示此服务独占节点可用资源。如果节点有多个服务，则表示所有服务共同使用节点可用资源。 “CPU”表示节点中服务可使用的最大CPU。 “Memory”表示节点中服务可使用的最大内存。 4. 在图表区域，查看集群服务资源使用状态指标数据图表。 说明 可通过“为图表添加服务”，将特定服务的静态服务资源数据添至图表，最多可选择12个服务。 管理单个图表的操作，可参见

本文介绍事件总线EventBridge中的基本概念。 CloudEvents 1.0 CloudEvents 1.0 是一个用于以标准方式描述事件数据的开源规范，旨在简化事件声明及跨服务、跨平台的消息投递。 事件 事件源状态变化的数据记录。 事件源 事件的来源，负责生产事件。事件源包括以下类型： 天翼云官方事件源：作为事件源与事件总线EventBridge对接的其他天翼云服务。 自定义事件源：自定义应用或者存量消息数据作为事件源将事件主动拉取到自定义总线。 事件总线 负责接收来自事件源的事件。事件总线包括以下类型： 云服务专用事件总线：一个无需创建与不可修改的内置官方事件总线，用于接收天翼云官方事件源的事件。天翼云官方事件源的事件只能发布到云服务专用事件总线。 自定义事件总线：需要您自行创建并管理的事件总线，用于接收自定义应用的事件。自定义应用事件只能发布到自定义事件总线。 事件规则 用于监控、路由与转换特定类型的事件。当发生匹配事件时，事件会被路由到与事件规则关联的事件目标。规则可以与一个或多个事件目标关联。事件规则包括： 事件模式 事件转换 事件目标 事件模式 对事件进行过滤的模块。事件模式支持对符合CloudEvents协议的事件对除data外的字段进行过滤。事件模式采用JSON格式进行描述。 事件转换 对事件内容进行转换，在事件被路由到事件目标前转换事件内容。事件转换器支持以下类型： 完整事件：将全部的事件内容路由到目标。 部分事件：通过JSONPath提取事件中的数据，将指定的事件内容路由到目标。 常量：不管事件内容是什么，都将常量路由到目标。 模板：自定义一个模板并定义模板里需要的变量，通过JSONPath提取事件中的数据，按照模板定义的形式进行转换。

参数 是否必填 参数类型 说明 示例 下级对象 instanceID 是 String 后端服务主机 id xxxxxxxxxx protocolPort 是 Integer 后端服务监听端口 80 instanceType 是 String 后端服务主机类型，目前支持 vm vm weight 是 Integer 后端服务主机权重: 1 256 1 address 是 String 后端服务主机主网卡所在的 IP 192.168.0.1

本文主要介绍如何更换伸缩组的伸缩配置。 操作场景： 当伸缩组中所需的弹性云主机规格变更，需要为伸缩组更换伸缩配置时，可以参考此章节进行更换伸缩配置。 更换伸缩配置后的生效时间： 若伸缩组正在进行伸缩活动，则当前伸缩活动中的实例配置以更换之前的伸缩配置为准；待下一次伸缩活动开始后，伸缩活动中的实例配置就会更改为更换后的伸缩配置。 例如：伸缩组当前的伸缩配置为asconfigA，更换后的伸缩配置为asconfigB，当伸缩组正在进行伸缩活动时，则当前伸缩活动中的实例配置仍然为asconfigA；待下一次伸缩活动开始后，伸缩活动中的实例配置就会更改为asconfigB。 操作步骤： 1. 登录管理控制台。 2. 选择“计算 > 弹性伸缩服务”。 3. 单击需要更换伸缩配置的伸缩组名称，在“伸缩配置”页面的“配置名称”右方，单击“更换配置”。或在需要更换伸缩配置的伸缩组所在行的“操作”列下，选择“更多 > 更换伸缩配置”。 4. 在弹出的“更换伸缩配置”对话框中，重新为伸缩组选择伸缩配置。 5. 单击“确定”。

本文主要介绍Serverless集群的天翼云存储插件cstorcsi，其使用过程中常见的问题及分析流程。 通用分析流程 1. 选择“插件”下的“插件实例”，查看cstorcsi实例，运行是否异常。 2. 选择“工作负载”下的“无状态”，切换命名空间为“cstor”，查看名称为“cstorcsiprovisioner”的pod日志，切换容器名称为“csiprovisioner”和“cstorcsiplugin”，查看是否有错误日志输出。 常见问题 1. 用户不允许订购按需类订单。 该报错是由于cstorcsi插件开通的云硬盘为按需付费方式，需要账户余额在100元以上才可正常开通。 解决方案：请检查天翼云“账户余额”是否在100元以上。 2. can not support RWX in filesystem mode for disk。 当使用cstorcsi安装生成的storageclass，创建持久卷声明（PVC）。正常情况下，创建持久卷声明后，在“存储”选择“持久卷”，列表栏会看到相应持久卷（PV）创建，并且状态为“已绑定”。如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为 can not support RWX in filesystem mode for disk，表示当前创建的持久卷声明，不支持访问模式为多机读写。目前，cstorcsi插件安装，默认创建的云硬盘类型的storageclass，其访问模式与是否是共享盘有关，只有在使用共享盘的情况下，支持多机读写，其他情况仅支持单机读写。 解决方案：修改持久卷声明访问模式为“单机读写”。 3. failed to create disk volume, message: disk size should be in range [10G ,32T]。 目前，当使用cstorcsi插件安装的storageclass，云硬盘类型要求容量为 [10G ,32T]，文件存储要求容量500G以上。如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为：failed to create disk volume, message: disk size should be in range [10G ,32T]，表示当前创建的存储卷声明，其容量需要调整为合理范围大小。 解决方案：创建存储卷声明时，其容量需要调整为合理范围大小。

参数 是否必填 参数类型 说明 示例 下级对象 instanceID 是 String 后端服务主机 id xxxxxxxxxx protocolPort 是 Integer 后端服务监听端口165535 80 instanceType 是 String 后端服务主机类型,仅支持vm类型 vm weight 是 Integer 后端服务主机权重: 1 256 1 address 是 String 后端服务主机主网卡所在的 IP 192.168.0.1

本节介绍了如何将扩容系统盘的空白分区在线扩容到非末尾的root分区的操作场景、操作步骤。 操作场景 弹性云主机创建成功后，如果发现系统盘分区的容量大小和实际创建的系统盘大小不一致，可以将空白分区扩容到根分区，扩容系统盘的空白空间。 本节介绍了怎样将空白分区在线扩容到非末尾的root分区。 操作步骤 以CentOS 6.5 64bit 100GB系统盘为例，root分区在非末尾分区(e.g: /dev/xvda1: root,/dev/xvda2: swap)的扩容场景。 1. 执行以下命令，查询扩容系统盘的分区情况。 parted l /dev/xvda [root@sluoecsa611 ~] parted l /dev/xvda Model: Xen Virtual Block Device (xvd) Disk /dev/xvda: 107GB Sector size (logical/physical): 512B/512B Partition Table: msdos Disk Flags: Number Start End Size Type File system Flags 1 1049kB 41.0GB 40.9GB primary ext4 boot 2 41.0GB 42.9GB 2000MB primary linuxswap(v1) 其中，第一分区是根分区，第二分区是swap分区。 2. 执行以下命令，编辑fstab分区表，删除swap分区的挂载信息。 a. 执行以下命令，查询fstab分区表。 tail n 3 /etc/fstab [root@sluoecsa611 ~] tail n 3 /etc/fstab UUID7c4fce5df8f74ed68463f2bd22d0ddea / ext4 defaults 1 1 UUID5de3cf2c30c64fb29e63830439d4e674 swap swap defaults 0 0 b. 执行以下命令，编辑fstab分区表，并删除swap分区的挂载信息。 vi /etc/fstab tail n 3 /etc/fstab [root@sluoecsa611 ~]

本文主要介绍如何添加监听器。 操作场景 负载均衡监听器通过指定的协议和端口进行流量转发。同时监听器将根据健康检查的配置自动检查其后端主机的运行状况。如果发现某台主机运行不正常，则会停止向该主机发送流量，并重新将流量发送至正常运行的主机。 创建监听器 1. 选择“服务列表 > 网络 > 弹性负载均衡”。 2. 在“负载均衡器”界面，单击需要添加监听器的负载均衡名称“elb01”。 3. 切换到“监听器”页签，单击“添加监听器”。 4. 配置监听器，单击“下一步”。 名称：监听器名称，示例为“listenerHTTP”。 前端协议/端口：负载分发的协议和端口，示例为“HTTP/80”。 5. 配置后端主机组和开启健康检查，单击“完成”。 创建后端主机组 1. 名称：后端主机组名称，示例为“servergroupELB”。 2. 分配策略类型：负载均衡采用的算法，示例为“加权轮询算法”。 修改健康检查配置 1. 协议：前端协议为TCP、HTTP或者HTTPS时，健康检查支持TCP和HTTP协议，设置后不可修改，示例为“HTTP”。 2. 域名：健康检查的请求域名。示例为“www.example.com”。 3. 端口：健康检查端口号，示例为“80”。 4. 未配置健康检查端口时，默认使用后端主机端口进行健康检查。配置后，使用配置的健康检查端口进行健康检查。 5. 在新添加的监听器下，单击后端主机组页签的“添加”。 6. 勾选需要添加的主机，设置业务端口，单击“完成”。 主机勾选“ECS01”和“ECS02”。 业务端口：业务所使用的端口，示例为“80”。

本小节介绍 Agent状态异常处理。 Agent状态主要分为以下三种，若Agent的运行状态为“未安装”或者“离线”时，可能是Agent与服务器间通信异常。 未安装：主机从未安装Agent，或Agent已安装但未成功启动。 离线：Agent与服务器通信异常，主机中的Agent已被删除，或主机离线。 在线：主机内的Agent运行正常。 可能的原因 网络故障。主机中的Agent和云端防护中心出现异常，如网卡故障、IP地址异变及带宽较低。 Agent进程异常。 安装Agent后，不会立即生效，需要等待3~5分钟左右控制台才会刷新。 处理方法 排查网络故障.待网络恢复正常后： 若Agent状态为“在线”，则故障清除。 若长时间Agent状态仍为“未安装”或者“离线”，可能是Agent进程异常，需要登录主机，重启Agent进程。 Windows操作系统 以管理员administrator权限登录主机，完成重启Agent。 重启Windows Agent Linux操作系统 请以root用户在命令行终端执行以下命令，完成重启Agent。 service hostguard restart 若回显以下信息，则表示重启成功。若无回显信息，请查看：如何卸载Agent？，重新安装：如何安装Agent？。 root@HSSUbuntu32:~service hostguard restart Stopping Hostguard... Hostguard stopped Hostguard restarting... Hostguard is running 重启进程后等待约2分钟： 若Agent状态为“在线”，则故障清除。 若Agent状态仍为“未安装”或者“离线”，请查看：如何卸载Agent？，重新安装：如何安装Agent？。

本节介绍了一键式重置密码插件启动失败时的解决办法。 问题描述 一键式重置密码插件安装完成后，插件启动失败。 处理方法 在云主机中增加如下配置，完成一键重置密码插件的启动。不同操作系统的文件路径不同，具体操作请参见下文“操作步骤”。 /CloudrResetPwdAgent/bin/cloudResetPwdAgent.script start /CloudResetPwdUpdateAgent/bin/cloudResetPwdUpdateAgent.script start 说明： 如果文件最后有“exit 0”，则在文件最后的“exit 0”前一行输入以上内容。如果文件最后无“exit 0”，则在文件最后一行输入。 使用SUSE 11 SP4镜像创建的云主机，内存需要大于等于4G时才能支持一键式密码重置功能。 操作步骤 CoreOS操作系统，请执行如下命令完成一键式重置密码插件的启动。 cat >/etc/systemd/system/cloudResetPwdAgent.service /etc/systemd/system/cloudResetPwdUpdateAgent.service <

来自：

帮助文档

镜像服务 IMS

常见问题

操作系统类

一键式重置密码插件启动失败时如何操作？

场景三：网站被恶意盗刷 当网站被恶意盗刷时，也会消耗全站加速的带宽资源，易产生突发带宽。 潜在风险提示 当举行大型推广营销活动、域名受到恶意攻击或者网站被盗刷时，产生的突发带宽实际消耗了天翼云全站加速的带宽资源，所以需要客户自行承担因此产生的流量、带宽、请求数的费用。 建议应对方案 方法一：设置可用额度告警 通过对客户在天翼云官网账户的可用额度预警进行设置，当用户的余额低于阈值，系统会发送短信提醒。操作步骤如下： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。 方法二：开通安全防护功能 如果您的加速域名有被攻击风险或正在遭受攻击，建议购买天翼云边缘安全加速平台的相关产品保证域名的正常使用。详见：边缘安全加速平台。

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

版本 域名/IP个数 扫描次数 单个任务时长 任务优先级 单用户并发扫描数 基础版 Web漏扫：包含5个二级域名或IP:端口。 Web漏扫：5个域名每日总共可以扫描5次。 2小时 低 默认Web漏扫最大并发为1个域名。 专业版 Web漏扫：包含1个二级域名或IP:端口。 主机漏扫：包含20个IP地址。 无限制 高 默认Web漏扫最大并发为3个域名。 默认主机漏扫最大并发为5个IP。 高级版 Web漏扫：默认包含1个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 无限制 高 默认Web漏扫最大并发为5个域名。 默认主机漏扫最大并发为10个IP。 企业版 Web漏扫：默认包含5个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 说明 当默认的扫描配额不能满足您的需求时，您可以通过购买扫描配额包增加扫描配额（一个扫描配额包中包含一个一级域名扫描配额）。 无限制 高 默认Web漏扫最大并发为10个域名。 默认主机漏扫最大并发为20个IP。 说明 更高并发需要，请提交工单联系专业工程师为您服务。

版本 域名/IP个数 扫描次数 单个任务时长 任务优先级 单用户并发扫描数 基础版 Web漏扫：包含5个二级域名或IP:端口。 Web漏扫：5个域名每日总共可以扫描5次。 2小时 低 默认Web漏扫最大并发为1个域名。 专业版 Web漏扫：包含1个二级域名或IP:端口。 主机漏扫：包含20个IP地址。 无限制 高 默认Web漏扫最大并发为3个域名。 默认主机漏扫最大并发为5个IP。 高级版 Web漏扫：默认包含1个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 无限制 高 默认Web漏扫最大并发为5个域名。 默认主机漏扫最大并发为10个IP。 企业版 Web漏扫：默认包含5个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 说明 当默认的扫描配额不能满足您的需求时，您可以通过购买扫描配额包增加扫描配额（一个扫描配额包中包含一个一级域名扫描配额）。 无限制 高 默认Web漏扫最大并发为10个域名。 默认主机漏扫最大并发为20个IP。 说明 更高并发需要，请提交工单联系专业工程师为您服务。

参数名称 参数说明 填写样例 数据源名称 自定义需要导入的数据源名称 Test 源or目标 仅支持填写“输入源”或“输出目标”。 输入源 数据源类型 填写需要新增的数据源类型 MYSQL 主机 填写数据源所在主机IP地址 192.168.0.1 端口 填写数据源所在主机的端口 3377

风险分析Tab页以概览报表的形式,从总体上统计各类型风险项。 风险分析Tab页每项都可以点击进入查看详情，详情会跟进事件特征进行自动筛选。 主要由以下 6 个模块组成： 安全补丁：检测各典型类型补丁是否检出，并统计各类型补丁的数量及其影响主机数量； 弱密码应用：检测常见弱密码是否检出，并统计各类型弱密码的数量； 应用风险：检测常见应用是否存在配置风险，并统计各类型风险的数量及其影响主机数量； 漏洞检测：检测各典型类型漏洞是否检出，并统计各类型漏洞的数量及其影响主机数量； 系统风险：检测是否存在常见系统配置风险，并统计各类型风险的数量及其影响主机数量； 账号风险：检测是否存在常见账号配置风险，并统计各类型风险的数量及其影响主机数量。

计费周期 包年/包月主机安全服务的计费周期是根据您购买的时长来确定的。 一个计费周期的起点是您开通或续费资源的时间，终点则是到期日。 例如，如果您在2023/03/08 15:50:04购买了一个时长为一个月的企业版主机安全服务，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 按需计费 适用场景 按需计费适用于具有不能中断的短期、突增或不可预测的应用或服务，例如电商抢购、临时测试、科学计算。 适用计费项 计费项 说明 :: 配额版本 包括企业版、容器版（待上线）。 计费周期 按需计费主机安全服务按秒计费，每一个小时整点结算一次费用（以GMT+08:00时间为准），结算完毕后进入新的计费周期。 计费的起点：以开启主机安全服务防护成功的时间点为准。 计费的终点：以关闭主机安全服务防护的时间点为准。

本节展示印刷文字识别产品用户操作手册。 参考《天翼云印刷文字识别用户操作手册》，点击下方链接下载查看。 天翼云人脸识别用户操作手册.pdf

本节介绍云手机（政企版）控制台的登录方式。 通过产品详情页进入 1.使用管理员帐号登录天翼云门户； 2.前往天翼云手机产品详情； 3.在产品详情中点击“管理控制台”进入即可。

抽帧工具ivtalDecoder转码参数说明 plaintext mode 0 fi 指定抽帧间隔 thread 指定线程数量 指定输入视频 指定输出抽帧后像素文件 运行示例1 plaintext 执行命令 ivtalDecoder mode 0 fi 400 thread 1 movie.mp4 movieivtal2.yuv 命令解释： ivtalDecoder 使用视频抽帧工具（英特尔版） mode 0 fi 400 指定每隔400帧抽一帧 thread 1 用一个线程 movie.mp4 输入1920x1080 24fps的电影场景视频 movieivtal2.yuv 指定输出像素文件的名字 执行结果如图 plaintext 日志解释： save yuv2 一共抽出来多少帧 real0.713 一共耗时多少 性能提升说明 下面是在规格c8.4xlarge.2云主机下的视频转码测试结果对比的数据。 优化前 plaintext ffmpeg i movie.mp4 c:v libx264 crf 22 psnr out.mp4 优化后 plaintext ffmpeg i movie.mp4 c:v libx264 mvreuse 2 crf 22 psnr out.mp4 过程中cpu利用率为11%。 指标 优化前 优化后 PSNR（dB） 48.3 48.3 Bitrate（kbps） 6399.5 6173.9 FPS（帧/秒） 55 85 CPU利用率（%） 18% 11% 优化后相比优化前，cpu利用率明显下降，视频转码fps提升55%。

本文主要解决修改/etc/security/limits.conf文件后重启系统,配置项不生效的问题。 可能原因 在Linux操作系统云主机中，/etc/security/limits.conf配置文件主要用于设置系统中用户或用户组的资源限制。可在配置文件中指定用户、用户组以及资源限制的具体值。该文件中的配置会影响到整个系统范围内的用户或进程。但这些配置会受到/etc/security/limits.d/ 目录中的配置的影响，因为/etc/security/limits.d/目录中的配置优先级高于/etc/security/limits.conf。 如果遇到修改/etc/security/limits.conf文件，重启后配置项不生效问题，可能原因是/etc/security/limits.d/目录中的配置项覆盖了/etc/security/limits.conf文件中的值。 解决步骤 1. 进入/etc/security/limits.d/目录内，查看是否有配置文件内容与/etc/security/limits.conf文件中修改的配置项冲突。如果有则尝试修改这些文件中的配置，或者删除冲突的文件。 2. 如果想要在/etc/security/limits.d/目录中创建新的配置文件来配置资源限制，确保没有在多个配置文件中重复定义相同的配置项。同时可用数字前缀来指定配置文件的加载顺序，确保正确的加载顺序。 3. 在确认配置项已经全部正确设置后，需重新启动系统以确保新的配置生效。 4. 如果问题仍然存在，检查位于/var/log目录下的系统日志，获取关于配置项加载冲突等更多的信息。

请求示例 请求url /v4/monitor/querycustomitems?regionID81f7728662dd11ec810800155d307d5b&nameCPU使用率&pageNo1&pageSize10 请求头header 无 请求体body 无 响应示例 json { "statusCode": 800, "errorCode":"", "message": "Success", "msgDesc": "成功", "returnObj": { "customItemList": [ { "regionID": "81f7728662dd11ec810800155d307d5b", "customItemID": "ITEM793d5923652be6ce202306291409", "name": "我的CPU使用率", "unit": "%", "interval": 60, "dimensions": [ { "name": "uuid", "description": "主机的唯一标识" }, { "name": "usage", "description": "主机用途" } ] }, { "regionID": "81f7728662dd11ec810800155d307d5b", "customItemID": "ITEM233d5923652be6ce202306291409", "name": "新的CPU使用率", "unit": "%", "interval": 300, "dimensions": [ { "name": "uuid", "description": "主机的唯一标识" }, { "name": "host", "description": "主机所在宿主机" } ] } ], "totalCount": 2, "totalPage": 1, "currentCount": 2 } } 状态码 状态码 描述 200 请求成功 错误码 errorCode 描述 其他 参见公共错误码说明

本小节介绍服务器安全卫士风险发现中查看执行记录方法。 查看方法 总览界面提供对执行的各类风险扫描查看其执行情况。点击总览界面中的“更多”按钮，选择“查看执行记录”，可查看执行记录列表。 查看失败主机详情 每条记录支持对失败主机的详情进行查看，点击“失败主机详情”按钮可查看失败主机列表。 查看弱密码进度 弱密码额外提供对进度的查看，点击执行内容为弱密码扫描记录中的“弱密码进度”按钮，可查看弱密码执行进度情况。

本章介绍网页防篡改、容器安全与主机安全共用Agent。 是的。同一服务器安装一次Agent即可满足网页防篡改、容器安全与主机安全所有版本的使用，无需多次安装。

本章节主要介绍翼MR Manager的集群服务配置的查看操作。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“集群服务”，进入集群服务列表页面。 5. 选择指定集群服务，单击集群服务名称进入集群服务详情页面。 6. 单击“配置管理”tab，即可查看该集群服务的所有配置。如图所示： 7. 对于隐私配置项，默认将加密展示，点击文本框右侧查看按钮，输入配置主密码即可查看。如果当前集群开通后未设置过主密码，请参考用户手册的配置管理主密码设置，设置主密码后，进行查看。 说明运维变量配置 在服务的default分组下，以vars.yaml后缀结尾的配置文件，为运维变量配置文件。运维变量配置文件不是服务本身的配置文件，而是存放Manager运维操作变量的文件，每个运维变量的含义如下表。 组件 运维变量名 是否建议修改 含义说明 HDFS activenamenode 否 部署时使用，在这台机器上执行format操作。 HDFS kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 HDFS ldapGuestPassword 否 部署和扩容时使用，连接ldap的guest用户密码，此权限只能查看用户，不能创建用户。 HDFS ldapuri 否 部署和扩容时使用，配置ldap的连接地址。 HDFS dfsclusterId 否 部署时使用，ns的默认值。 HDFS pipelinejobretrytimes 是 流水线重试次数。 HDFS jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 YARN 无 共享HDFS运维变量。 ZooKeeper kerberosRealm 否 部署时使用，配置kerberos的realm的信息。 ZooKeeper kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 ZooKeeper zksuperuser 否 部署和扩容时使用，配置zk的超级用户。 ZooKeeper zksuperuserpasswd 否 部署和扩容时使用，配置超级用户的密码。 ZooKeeper componentuser 否 暂未使用。 ZooKeeper dataLogDir 否 部署时使用，需要通过ansbile创建目录。 ZooKeeper dataDir 否 部署时使用，需要通过ansbile创建目录。 Kerberos kerberosRealm 否 部署时使用，配置kerberos的realm的信息。 Kerberos kdcmaster 否 部署时使用，指定master节点，执行master节点的操作。 Kerberos kdcslave 否 部署时使用，指定slave节点，执行slave节点的操作。 Kerberos kerberosdatabasepasswd 否 部署时使用，配置kerberos的数据库密码。 Kerberos kerberosadminuser 否 部署时使用，配置kerberos的admin用户。 Kerberos kerberosadminpasswd 否 部署时使用，配置kerberos的admin用户密码。 OpenLDAP ldapmasterhostname 否 部署时使用，指定master节点，执行master节点的操作。 OpenLDAP ldapslavehostname 否 部署时使用，指定slave节点，执行slave节点的操作。 OpenLDAP olcRootDN 否 部署时使用，服务配置。 OpenLDAP olcSuffix 否 部署时使用，服务配置。 OpenLDAP ldapAdminPwd 否 部署时使用，admin用户的密码。 OpenLDAP ldapGuestPwd 否 部署时使用，guest用户的密码。 OpenLDAP ldapuri 否 部署时使用，ldap的连接信息。 OpenLDAP ldapBaseUgDN 否 部署时使用，服务配置。 OpenLDAP pipelinejobretrytimes 是 流水线重试次数。 OpenLDAP jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 HBase kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 HBase pipelinejobretrytimes 是 流水线重试次数。 HBase jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Spark kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Spark ldapmaster 否 部署时使用，ldap的master节点。 Spark eventlogdir 否 部署时使用，通过ansible创建目录。 Spark sparkhome 否 部署时使用，通过ansible创建目录。 Hive kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Hive ldapmaster 否 部署时使用，ldap的master节点。 Hive databasepass 否 部署时使用，hive使用的数据库密码，需要用户填写。 Kafka kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 Kafka kerberosrealm 否 kerberos的realm的信息。 Kafka logdirs 否 （目前不再使用，通过从配置文件中渲染来创建目录）部署和扩容时使用，通过ansible创建目录。 Kafka pipelinejobretrytimes 是 流水线重试次数。 Kafka jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Kyuubi kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Kyuubi ldapmaster 否 部署时使用，ldap的master节点。 Kyuubi kyuubilogdir 否 目录。部署时使用，通过ansible创建。 Kyuubi kyuubieventlogdir 否 目录。部署时使用，通过ansible创建。 Kyuubi kyuubiworkdir 否 目录。部署时使用，通过ansible创建。 Kyuubi adminuser 否 目录的属主。 Kyuubi usergroup 否 目录的属组。 Kyuubi pipelinejobretrytimes 是 流水线重试次数。 Kyuubi jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Flink kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Flink ldapmaster 否 部署时使用，ldap的master节点。 Flink logDir 否 目录。部署时使用，通过ansible创建。 Flink HistoryServerDir 否 目录。部署时使用，通过ansible创建。 Flink pipelinejobretrytimes 是 流水线重试次数。 Flink jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Elasticsearch CERTNODE 否 部署时使用，指定证书节点，在节点上执行生成证书的操作。 Elasticsearch ESDATADIRS 否 目录。部署时使用，通过ansible创建。 Elasticsearch ESDEFAULTPASSWORD 否 部署时使用。默认的密码，随机密码。 Doris FEDEFAULTLEADERHOSTNAME 否 部署和扩容时使用，指定leader节点，在上面执行leader的相关操作。 Doris FEDEFAULTPASSWORD 是 部署时随机生成的Doris组件root密码。节点扩容需要使用该密码，如用户已修改，需要设置正确的值，否则会影响扩容操作。 Doris FEHTTPPORT 否 服务端口，不推荐修改。 Doris FEQUERYPORT 否 服务端口，不推荐修改。 Doris FEEDITLOGPORT 否 服务端口，不推荐修改。 Doris BESTORAGEROOTPATH 否 服务端口，不推荐修改。 Doris BEHEARTBEATSERVICEPORT 否 服务端口，不推荐修改。 Doris BROKERIPCPORT 否 服务端口，不推荐修改。 Trino datadir 否 目录。部署和扩容时使用，通过ansible创建。 Trino kerberosrealm 否 kerberos的realm的信息。 Trino kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Trino ldapmaster 否 部署时使用，ldap的master节点。 Trino coordinator 否 部署和扩容时使用，指定主节点，在上面执行主节点的相关操作。 Trino uiuser 否 ui的用户。 Trino uipassword 否 ui的密码，部署时随机生成。 Trino serveruser 否 server的用户。 Trino serverpassword 否 server的密码，部署时随机生成。 Trino pipelinejobretrytimes 是 流水线重试次数。 Trino jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Ranger dbhost 否 外置数据库信息，需要用户填写。 Ranger dbname 否 外置数据库信息，需要用户填写。 Ranger dbuser 否 外置数据库信息，需要用户填写。 Ranger dbpassword 否 外置数据库信息，需要用户填写。 Ranger dbrootuser 否 部署时使用，ranger使用的外置数据库信息。 Ranger dbrootpassword 否 部署时使用，ranger使用的外置数据库信息。 Ranger rangerpassword 否 ranger admin用户密码。 Ranger SYNCLDAPBINDPASSWORD 否 部署时使用，ranger访问ldap的密码。 Ranger SYNCSOURCE 否 用户同步方式，ldap。 Ranger kerberosrealm 否 kerberos的realm的信息。 Ranger kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Ranger SYNCLDAPURL 否 ldap相关信息。 Ranger POLICYMGRURL 否 ranger admin url信息。 Ranger separatedbamode 否 是否单独执行DBA，默认true，表示需要提前创建ranger使用的数据库和用户，并授权，不推荐修改。 Ranger pipelinejobretrytimes 是 流水线重试次数。 Ranger jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Knox kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Logstash pipelinejobretrytimes 是 流水线重试次数。 Logstash jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 JeekeFS kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 KafkaUI kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 KafkaUI ldapGuestPassword 否 部署时使用，Openldap的guest用户密码。 Pushgateway PUSHGATEWAYPASSWORD 否 部署时使用，Pushgateway服务的密码。 Pushgateway PUSHGATEWYUSERNAME 否 部署时使用，Pushgateway服务的用户名。 TezUI pipelinejobretrytimes 是 流水线job最大重试次数。 TezUI jobretrybasedonpipelinetypes 否 基于的流水线类型。

字段 类型 说明 是否必选 port Port 代理应监听传入连接的端口。 是 bind string 监听器应绑定到的IP 地址或 Unix 域套接字。格式为：x.x.x.x 或 unix:///path/to/uds 或 unix://@foobar（Linux 抽象命名空间）。 1，当使用 Unix 域套接字时，端口号应为 0。这可用于将此服务器的可达性限制为仅为网关内部。 2，当网关需要与另一个网格服务通信时（例如，发布指标），通常会使用此功能。在这种情况下，使用指定绑定创建的服务器将对外部网关客户端不可用。 否 hosts string[] 此网关暴露的一个或多个主机。虽然通常适用于HTTP 服务，但也可以用于使用 SNI 的 TLS TCP 服务。 1. 主机被指定为带有可选的 namespace/ 前缀的 dnsName。 2. dnsName 应使用 FQDN 格式指定，左侧组件中可以包含通配符字符（例如，prod/ .ctyun.com），将 dnsName 设置为 可以选择指定命名空间中的所有 VirtualService 主机（例如，prod/ ）。 3. 命名空间可以设置为 或 .，分别表示任何命名空间或当前命名空间，例如，/foo.ctyun.com 从任何可用命名空间选择服务，而 ./foo.ctyun.com 仅从 sidecar 的命名空间选择服务。 4. 如果未指定namespace/，则默认为 /，即从任何命名空间选择服务，选定命名空间中的任何相关 DestinationRule 也将被使用。 5. VirtualService 必须绑定到网关，并且必须具有一个或多个与服务器中指定的主机匹配的主机，匹配可以是精确匹配或服务器主机的后缀匹配。 例如，如果服务器的主机指定为 .ctyun.com，则具有主机 dev.ctyun.com 或 prod.ctyun.com 的 VirtualService 将匹配， 但是，具有主机ctyun.com的 VirtualService 将不匹配，只有导出到网关命名空间的虚拟服务才能被引用，服务导出范围由export to字段控制， 有关详细信息，请参阅 VirtualService、DestinationRule 和 ServiceEntry 配置中的 exportTo 设置。 是 tls ServerTLSSettings TLS 相关选项集，用于控制服务器的行为。 使用这些选项可以控制是否应将所有 HTTP 请求重定向到 HTTPS，以及要使用的 TLS 模式。 否 name string 可选的服务器名称，设置时必须在所有服务器中唯一。 此名称将用于各种用途，例如添加前缀到使用此名称生成的统计信息等。 否

本节主要介绍获取topo图 topo图定义了各个主机之间的相互调用关系。 前提条件 待获取topo的主机已绑定凭证。 配置目的端 步骤1 在浏览器中输入 步骤2 单击左侧导航栏的“ 资源发现 ”，进入资源发现界面。 步骤3 在“ 主机 ”页签下，勾选需要获取topo的资源，单击“ 性能及关联关系采集 > 查看topo ”。 查看topo

本文介绍如何快速开通AOne会议服务。 前提条件 说明 账号通过企业实名认证之后，才可订购开通AOne会议服务。 已注册天翼云官网账号。如未注册，请参见：注册天翼云账号进行注册。 已完成企业实名认证。未实名认证的用户完成企业实名认证后才能开通AOne会议服务，请参见：实名认证进行认证。 订购AOne会议 请联系您的专属客户经理订购，如果没有专属客户经理，可拨打天翼云客服电话4008109889咨询。计费说明请可参见AOne会议计费说明。 套餐版本对比说明可参见套餐版本。

参数项 说明 区域 指APIG专享版实例部署的区域，建议和您其他的业务部署在相同区域，这样不同的业务可以在VPC内以子网方式通信，节省公网带宽成本，降低网络延时。 可用区 指同一区域内电力、网络等资源物理隔离的地理区域，一般为互相独立的机房。 APIG实例支持同时选择多个可用区，进行跨可用区部署，提升实例高可用性。 实例名称 实例的名称，根据规划自定义。 实例规格 当前开放基础版、专业版、企业版、铂金版实例。 时间窗 指允许云服务技术支持对实例进行维护的时间段。如果有维护需要，技术支持会提前与您沟通确认。 建议选择业务量较少的时间段。 公网入口 指允许外部服务通过弹性IP地址，调用专享版实例创建的API。开启“公网入口”，需要绑定一个“弹性IP地址”。 您需要使用独立域名/子域名访问，使用子域名访问时存在单日访问次数限制。可在创建API分组后，为分组绑定独立域名，独立域名需要解析到专享版实例的弹性IP。 例如您有一个API，请求协议为HTTPS，Path为/apidemo，开启了公网访问，并为分组绑定了独立域名后，可使用 公网出口 指允许专享版实例API的后端服务部署在外部网络，APIG为实例开启公网出口。您可以根据业务预估设置合适的“出公网带宽”。出公网带宽可配置范围为1~2000Mbit/s，费用按小时计算，以弹性IP服务的价格为准。 IPv6 如果后端云主机部署在外部网络，且需要使用IPv6地址访问，则需要勾选“支持IPv6”。 网络 指为实例绑定到一个虚拟私有云，并为其分配子网。 在相同虚拟私有云中的云服务资源（如ECS），可以使用APIG专享版实例的私有地址调用API。 建议将专享版实例和您的其他关联业务配置一个相同的虚拟私有云，确保网络安全的同时，方便网络配置。 安全组 安全组用于设置端口访问规则，定义哪些端口允许被外部访问，以及允许访问外部哪些地址与端口。 例如，后端服务部署在外部网络，则需要设置相应的安全组规则，允许访问后端服务地址与API调用监听端口。 说明 如果开启公网入口，安全组入方向需要放开80（HTTP）和443（HTTPS）端口的访问权限。 描述 实例的描述信息。

本章节主要介绍 ALM12085 服务审计日志转储失败。 告警解释 系统每天凌晨三点启动服务审计日志转储，将服务审计日志备份到OMS节点，如果转储失败，则发送告警。当下一次转储成功，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12085 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 服务审计日志有可能丢失。 可能原因 服务审计日志过大。 OMS备份路径存储空间不足。 服务所在某一个主机的存储空间不足。 处理步骤 检查是否服务审计日志过大 1.打开FusionInsight Manager页面，在告警列表中，单击此告警所在行的，查看该告警的主机地址。 2.以root用户登录告警所在主机。 3.执行命令 vi ${BIGDATALOGHOME}/controller/scriptlog/getLogs.log ，检索关键字 "LOG SIZE is more than5000MB"。是否能够检索到此关键字。 是，执行步骤4。 否，执行步骤5。 4.查看是否有异常导致服务审计日志过大。 OMS备份路径存储空间不足 5.执行命令 vi ${BIGDATALOGHOME}/controller/scriptlog/getLogs.log ，检索关键字 "Collect log failed, too many logs on"。是否能够检索到此关键字。 是，获取Collect log failed, too many logs on关键字后面的主机IP地址，执行步骤6。 否，执行步骤10。 6.以root用户登录步骤5中获取到的主机IP地址。 7.执行命令 vi {BIGDATALOGHOME}/nodeagent/scriptlog/collectLog.log ， 是否能够检索到此关键字“log size exceeds”。 是，执行步骤8。 否，执行步骤10。 8.对OMS节点进行磁盘扩容。 9.等待下一个执行周期（凌晨三点），查看告警是否恢复。 是，操作结束。 否，执行步骤10。

时间点 作业B（小时调度，开始时间00:00，间隔时间10小时） 作业A（天调度，每天02:00执行） 第1天00:00 执行 第1天02:00 检查 [第0天00:00:00, 第1天00:00:00) 区间，无作业B实例运行，不执行 第1天10:00 执行 第1天20:00 执行 第2天00:00 执行 第2天02:00 检查[第1天00:00:00, 第2天00:00:00) 区间，有作业B实例运行完成，执行作业A 第2天10:00 执行 第2天20:00 执行 ... ... ...