本章为您介绍挂载文件系统的前提条件。 确定云主机操作系统类型，参考支持的操作系统，对于NFS协议类型文件系统，不同操作系统安装NFS客户端的命令不同。 已完成创建文件系统实例，在文件系统详情页可获取到文件系统的挂载地址。 根据您资源所在资源池，选择与文件系统相同的VPC或VPC及子网相同的计算服务进行挂载。支持权限组功能的资源池须保证计算服务与须与文件系统归属相同的VPC，否则须要与文件系统归属相同的VPC及子网。具体资源池信息请参考产品能力地图。 说明 若您要使用IPV6网络访问文件系统，云主机主网卡须启用IPV6。支持IPV6的资源池请参见

参数 参数类型 说明 示例 下级对象 alarmRuleID String 告警规则ID 2c2472dff6335b4bbe459609fc9f8154 regionID String ctyun资源池ID 81f7728662dd11ec810800155d307d5b name String 规则名 ctyunrule desc String 描述 demo service String 本参数表示服务。取值范围： ecs：云主机。 evs：云硬盘。 pms：物理机。 ... 详见" ecs dimension String 本参数表示告警维度。取值范围： ecs：云主机。 disk：磁盘。 pms：物理机。 ... 详见" ecs repeatTimes Integer 重复告警通知次数 0 silenceTime Integer 告警接收策略静默时间，多久重复通知一次，单位为秒 300 recoverNotify Integer 本参数表示恢复是否通知。取值范围： 0：否。 1：是。 根据以上范围取值。 0 notifyType Array of Strings 本参数表示告警接收策略。取值范围： email：邮件告警。 sms：短信告警。 根据以上范围取值。 ['email','sms'] contactGroupList Array of Objects 告警联系人组 contactGroup notifyWeekdays Array of Integers 本参数表示通知周期。取值范围： 0：周日。 1：周一。 2：周二。 3：周三。 4：周四。 5：周五。 6：周六。 根据以上范围取值。 [0,1,2,3,4,5,6] notifyStart String 通知起始时段，默认为00:00:00 00:00:00 notifyEnd String 通知结束时段，默认为23:59:59 23:59:59 webhookUrl Array of Strings webhook消息推送url地址 [' status Integer 本参数表示告警规则启用状态。取值范围： 0：启用。 1：停用。 根据以上范围取值。 0 alarmStatus Integer 本参数表示告警规则告警状态。取值范围： 0：正常。 1：正在告警。 根据以上范围取值。 0 createTime Integer 创建时间，毫秒级时间戳。 1689580180000 updateTime Integer 更新时间，毫秒级时间戳。 1689580180000 projectID String 项目ID 0 conditions Array of Objects 具体匹配策略 condition resources Array of Objects 资源信息列表 resources resourceScope Integer 规则的资源范围，取值范围： 0：实例资源类型。 1：资源分组类型。 2：全部资源类型 。 根据以上范围取值。 0 defaultContact Integer 是否使用天翼云默认联系人接收通知，取值范围： 0：否。 1：是。 根据以上范围取值。 0

本小节介绍数据库安全运维实名操作控制及审计最佳实践。 背景 数据库资产作为企业各类经营业务数据的承载体，其重要性不言而喻。企业的核心业务数据往往是私密且敏感的，如何有效防护数据库资产安全，防止越权访问、违规操作以及进一步导致数据泄露等事件发生，成为企业在数据安全防护工程建设中重点关注的一项内容。传统数据库审计或数据库防火墙产品可审计及控制操作，但很难实名到自然人操作。 天翼云堡垒机支持数据库资产的运维管控，支持多种类型数据库运维，如MySQL、PostgreSQL、Oracle等协议类型数据库，支持自然人、数据库资源的操作关联，以满足不同用户使用需求。 数据库运维流程 管理员先将数据库纳入堡垒机进行管理，将资产访问权限分配给相关运维人员，运维人员登录系统，在资产访问页面触发“本地访问初始化”，系统会将运维访问策略下发到本地，初始化成功后，运维人员打开本地客户端连接资产进行访问运维。整个运维流程，从建立连接到资产中的操作详情，都将在堡垒机中实现管控审计。 前提条件 已在本地安装数据库访问客户端，如Navicat、DBeaver等。 已将数据库资产纳入堡垒机进行管理。 已获取相关资产访问权限。 操作步骤 管理员将数据库资产纳入堡垒机进行管理 1. 管理员登录堡垒机。 2. 左侧菜单选择“资产管理>资产”。 3. 在资产管理界面点击“新增”，弹出资产信息输入窗口，按界面各项属性引导输入相关信息后提交即可。

本小节介绍数据库安全运维实名操作控制及审计最佳实践。 背景 数据库资产作为企业各类经营业务数据的承载体，其重要性不言而喻。企业的核心业务数据往往是私密且敏感的，如何有效防护数据库资产安全，防止越权访问、违规操作以及进一步导致数据泄露等事件发生，成为企业在数据安全防护工程建设中重点关注的一项内容。传统数据库审计或数据库防火墙产品可审计及控制操作，但很难实名到自然人操作。 天翼云堡垒机支持数据库资产的运维管控，支持多种类型数据库运维，如MySQL、PostgreSQL、Oracle等协议类型数据库，支持自然人、数据库资源的操作关联，以满足不同用户使用需求。 数据库运维流程 管理员先将数据库纳入堡垒机进行管理，将资产访问权限分配给相关运维人员，运维人员登录系统，在资产访问页面触发“本地访问初始化”，系统会将运维访问策略下发到本地，初始化成功后，运维人员打开本地客户端连接资产进行访问运维。整个运维流程，从建立连接到资产中的操作详情，都将在堡垒机中实现管控审计。 前提条件 已在本地安装数据库访问客户端，如Navicat、DBeaver等。 已将数据库资产纳入堡垒机进行管理。 已获取相关资产访问权限。 操作步骤 管理员将数据库资产纳入堡垒机进行管理 1. 管理员登录堡垒机。 2. 左侧菜单选择“资产管理>资产”。 3. 在资产管理界面点击“新增”，弹出资产信息输入窗口，按界面各项属性引导输入相关信息后提交即可。

本文将介绍如何新增自定义基线检查计划。 操作场景 态势感知（专业版）支持根据基线检查计划检查您的资产是否存在风险，默认每隔3天，每次在00:00~06:00对您账号下当前region相关资产按照“安全上云合规检查1.0”遵从包自动执行基线检查，无需用户执行额外操作，系统默认开启。 另外，还可以自定义自动检测周期、时间以及检查范围。 约束与限制 同一个检查规范只能属于一个检查计划。 由于“等保2.0三级要求”、“GDPR”、“PCIDSS”、“NIST SP 80053”遵从包中的检查项为手动检查项目，因此不支持创建包含该遵从包的检查计划。 “操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包不支持在态势感知（专业版）侧执行基线检查，态势感知（专业版）仅支持查看HSS的基线检查结果。 支持检查“安全上云合规检查1.0”、“护网检查”、“云安全配置基线”遵从包中支持自动化项的检查项。 默认检查计划不支持变更包含的遵从包以及检查时间，仅支持执行开启或关闭操作。 创建检查计划 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，并在安全遵从包页面中，选择“检查计划”页签，进入检查计划管理页面。 5. 在检查计划页面中，单击“创建计划”，系统右侧弹出新建检查计划页面。 6. 配置检查计划。 参数名称 参数说明 基本信息 计划名称 自定义检查计划的名称。命名规则如下： 计划名称由中文、字母、数字、下划线和连接符组成。 长度为1~255个字符。 基本信息 检查时间 下拉选择检测周期和检查触发时间。 检测周期：每隔1天、3天、7天、15天、30天检查一次 检查触发时间：00:00~06:00、06:00~12:00、12:00~18:00、18:00~24:00 选择遵从包 勾选选择需要检测的遵从包。 7. 单击“确定”。 检查计划创建完成后，态势感知（专业版）会在指定的时间执行云服务基线扫描，扫描结果可以在“风险预防 > 基线检查”中查看。

本文带您了解如何使用告警规则。 操作场景 您可以根据需要灵活创建告警规则，既可以使用我们提供的默认告警模板为云服务创建告警规则，也可以对具体监控指标进行自定义告警规则的设置。 当资源的监控指标达到告警条件，云监控将向您发送告警消息，报告异常监控数据，帮助您及时掌握异常状态并处理，保证业务顺畅进行。 注意 系统事件不支持告警规则配置，仅支持事件通知，入口：云监控服务>系统事件>事件订阅。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击!，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则详情页面。 5. 在“告警规则”界面，单击“创建告警规则”按钮。 6. 在“创建告警规则”页面，根据界面提示配置参数，配置参数如下： 模块 参数 参数说明 配置示例 备注 选择监控对象 规则类型 选择规则的类型，指标监控（包括站点监控）。 指标监控 自定义监控、自定义事件目前仅支持部分资源池 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云主机 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 云主机 选择监控对象 监控对象类型 具体实例/资源分组 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 定义告警策略 选择类型 自定义创建/从模板导入。 自定义创建 定义告警策略 策略 满足全部/任一策略，策略信息包括：指标、数据类型（原始值、最大值、最小值、平均值）、判断条件（>、≥、 0%,连续发生一次 同一告警规则下，告警条件最多支持添加20条 配置告警通知 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 是 配置告警通知 告警联系组 配置发生告警通知的用户组。 配置告警通知 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 出现告警 配置告警通知 通知方式 配置告警通知的通知方式，支持邮箱及短信。 邮箱 配置告警通知 重复告警 指告警发生后如果未恢复正常，将重复发送告警通知次数。 不重复 配置告警通知 通知周期 配置告警通知的周期时间。 星期天、星期一、星期二、星期三、星期四、星期五、星期六 配置告警通知 通知时段 配置告警通知的时间段。 00:00:0023:59:59 配置告警通知 告警回调 配置告警通知webhook地址。 规则信息 名称 该告警规则的自定义名称。 规则信息 企业项目 选择告警规则适用的企业项目。 规则信息 描述 添加对该告警规则描述（此参数非必填项）。 说明 创建/启用/修改/删除告警规则等操作，参见告警规则。 7. 配置的告警规则状态变化及操作逻辑说明如下： 逻辑/状态变化 告警规则（已启用） 告警规则（已停用） 正在告警（告警中） 正在告警（无数据） 历史告警（已恢复） 历史告警（已过期） 历史告警（已失效） （指标类）判断监控无数据 × × 正在告警（无数据） × × × × 停用告警规则 告警规则（已停用） / 历史告警（已失效） 历史告警（已失效） × × × 启用告警规则 / 告警规则（已启用） / × × × × 修改已启用告警规则 × × 历史告警（已失效） × × × × 修改已停用告警规则 × × × × × × × 删除已启用告警规则 / / 历史告警（已失效） 历史告警（已失效） × × × 删除已停用告警规则 / / / / × × × （指标类）监控无数据再次上报且触发告警 × × × 正在告警（告警中） × × × （指标类）监控无数据再次上报且未触发告警（恢复） × × × 历史告警（已恢复） × × × （事件类）超过7天无新数据 × × 历史告警（已过期） / / × / 说明 /为不存在该场景，x为状态无变化。 未标记指标类/事件类，则为通用场景。

本页为您介绍数据库专家服务的购买流程。 开通数据库专家服务，需要先注册天翼云账户并确保已完成实名认证 1. 注册并登录天翼云官网 2. 未实名认证的用户请按提示完成实名认证才能开通数据库专家服务，实名认证指南请参见账号中心操作指南实名认证。 数据库专家服务支持按次计费和按周期计费两种方式 按次计费产品购买流程 1. 购买数据库专家服务按次/天计费产品之前请确保您的账户余额大于本次购买服务的费用。 2. 进入数据库专家服务产品详情页快速了解产品，之后单击【立即开通】。 3. 在购买页面选择服务类型为基础服务（或保驾护航服务），并选择服务内容，填写用户信息，填写购买数量，勾选并阅读服务协议，确认无误后点击【立即订购】。 4. 购买成功后，3个工作日内专家会联系并完成评估，评估通过即可进入服务实施阶段。 按周期计费产品购买流程 1. 购买数据库专家服务按周期计费产品之前请确保您的账户余额大于本次购买服务的费用。 2. 进入数据库专家服务产品详情页快速了解产品，并建议咨询客服确认天翼云能否按您的需要提供相应的服务内容，如确认能，则单击【立即开通】。 3. 在购买页面选择服务类型为数据库增值服务包，填写用户信息，填写购买时长和数量，勾选并阅读服务协议，确认无误后点击【立即订购】。 4. 购买成功后，天翼云完成评估，与客户确认后进入服务实施阶段。

本文介绍IPv6的相关介绍和带宽绑定使用方法。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 操作场景 适用于子网开启了IPv6的网段的用户，可用IPv6地址访问数据库实例。且可以绑定带宽和解绑，具体条件限制和操作步骤见下方。 前提条件 要开通具备IPv6 连接地址的实例，请在订购关系数据库MySQL版实例时，选择已经开启IPv6的VPC（虚拟私有云），系统将自动分配IPv6连接地址。 VPC开启IPv6，具体操作，请参见开启/关闭虚拟私有云IPv6。 开启了IPv6后，需要在白名单和安全组中放通用户IP，否则无法连接。 内核版本需要升级至最新版，可参考升级数据库内核小版本。 连接数据库 内网连接 通过IPv6的连接地址及数据库端口访问数据库，请确保客户端所在机器本身具备IPv6。 外网连接 通过公网访问IPv6地址连接数据库，请确保MySQL实例IPv6地址已经绑定IPv6带宽，IPv6带宽需要购买，具体操作，请参见购买IPv6带宽。 绑定IPv6带宽前，请创建IPv6网关，否则IPv6无法公网访问且无法绑定带宽，具体操作，请参见创建IPv6网关。 请确保客户端所在机器本身具备IPv6且能够访问公网IPv6。 操作步骤

云工作流支持创建标准和快速两种模式的工作流。 本文主要介绍快速工作流和标准工作流的特点和差异， 用户可根据这些内容的介绍针对业务流程选择不同模式的工作流。 基本概念 标准（Standard）工作流具备执行步骤状态的持久化存储，支持运行长时间的工作流执行状态流转，适用于传统意义上的离线业务流程编排执行场景 快速（Express）工作流适用于流程结构简单、需要低延迟执行的工作流场景， 适用于常见的在线业务流程编排和准实时业务流程编排场景，例如微服务API编排、流式数据处理等低延迟和大负载业务场景。 工作流模式对比 执行指标 标准工作流 快速工作流 最长执行时长 365天 5分钟 执行语义 异步执行，遵循至少执行一次（At least once）语义，支持持久化，但是在特殊条件下可能会导致数据被重复处理。 同步执行 执行历史 可通过API查询指定工作流执行历史、工作流执行详情。 可通过API查询指定工作流执行历史、工作流执行详情。 服务集成 云服务集成调用模式支持如下三种集成模式。更多信息，请参见服务集成模式。 请求响应模式（RequestComplete） 等待系统回调（WaitForSystemCallback） 等待任务令牌（WaitForTaskToken） 仅支持请求响应模式（RequestComplete）

本文主要介绍Serverless集群的天翼云存储插件cstorcsi，其使用过程中常见的问题及分析流程。 通用分析流程 1. 选择“插件”下的“插件实例”，查看cstorcsi实例，运行是否异常。 2. 选择“工作负载”下的“无状态”，切换命名空间为“cstor”，查看名称为“cstorcsiprovisioner”的pod日志，切换容器名称为“csiprovisioner”和“cstorcsiplugin”，查看是否有错误日志输出。 常见问题 1. 用户不允许订购按需类订单。 该报错是由于cstorcsi插件开通的云硬盘为按需付费方式，需要账户余额在100元以上才可正常开通。 解决方案：请检查天翼云“账户余额”是否在100元以上。 2. can not support RWX in filesystem mode for disk。 当使用cstorcsi安装生成的storageclass，创建持久卷声明（PVC）。正常情况下，创建持久卷声明后，在“存储”选择“持久卷”，列表栏会看到相应持久卷（PV）创建，并且状态为“已绑定”。如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为 can not support RWX in filesystem mode for disk，表示当前创建的持久卷声明，不支持访问模式为多机读写。目前，cstorcsi插件安装，默认创建的云硬盘类型的storageclass，其访问模式与是否是共享盘有关，只有在使用共享盘的情况下，支持多机读写，其他情况仅支持单机读写。 解决方案：修改持久卷声明访问模式为“单机读写”。 3. failed to create disk volume, message: disk size should be in range [10G ,32T]。 目前，当使用cstorcsi插件安装的storageclass，云硬盘类型要求容量为 [10G ,32T]，文件存储要求容量500G以上。如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为：failed to create disk volume, message: disk size should be in range [10G ,32T]，表示当前创建的存储卷声明，其容量需要调整为合理范围大小。 解决方案：创建存储卷声明时，其容量需要调整为合理范围大小。

本文介绍不同套餐版本适用的业务规模、支持的防护功能。 套餐和版本概述 天翼云Web应用防火墙（边缘云版）（下文简称WAF）支持包年包月计费模式。本文介绍不同套餐版本适用的业务规模、支持的防护功能。 WAF套餐版本分为：体验版、基础版、标准版、专业版、旗舰版。 适用的业务规模 下表描述了不同WAF版本适用的业务规模。一般情况下，对于中型规模的企业网站，推荐您选择专业版或者旗舰版。 业务规格 体验版 基础版 标准版 专业版 旗舰版 价格（元/月） 399 1660 3560 8560 19660 适用场景 用于小微型网站的标准化防护。 用于小型网站的标准化防护。 用于中小型客户网站的标准化防护。 用于中小型客户网站业务安全防护及中大型客户网站有高标准安全需求。 用于大型及超大型客户网站业务安全防护，及复杂业务站点的定制化防护服务。 业务带宽（Mbps） 10 50 100 150 300 支持主域名个数 1 1 1 2 3 支持总域名个数（包括主域名和其下的子域名） 10 10 10 20 30

本节介绍了如何配置访问控制、频率控制防护策略。 使用场景 如果您需要针对性地管理具有固定特征的访问请求，您可以配置访问控制规则对命中条件的请求设置拦截、告警、加白、丢弃动作，保证客户网站不受未知访问。 访问控制匹配条件可针对IP，IP段，URI，METHOD，请求地区，请求参数，请求头部，请求协议等字段进行组合。 前提条件 已开通DDoS高防（边缘云版）。 域名状态为“已启用”。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【域名接入】页面。 3.选择需要配置的域名，在操作栏点击【防护配置】按钮，进入【访问控制】页面。 新增规则 在访问控制列表右侧，单击【新增】按钮，在弹框中完成规则配置后，点击新增。 针对满足匹配条件的请求报文，执行对应的处理动作。 配置项 说明 处理动作 支持拦截、告警、加白、丢弃。 告警：对命中该规则的请求仅告警不阻断，记录攻击日志。 加白：对命中该规则的请求放行，不记录攻击日志。 拦截：对命中该规则的请求进行拦截，并返回响应页面。 丢弃：对命中该规则的请求拦截但不会响应页面，减少带宽。 规则名称 自定义规则名称。 匹配条件 支持配置多条，同一规则下多条匹配条件同时满足进行处理。 匹配字段： IPPORT：客户端IP端口 PATH：目录路径，比如：/qr/;/app/verifyCode/ IP：客户端IP，比如：192.168.1.1;192.168.1.2 IPS：客户端ip段,比如：192.168.1.0/24;192.168.2.0/24 IPR：客户端ip范围，比如：192.168.1.1192.168.1.10;192.168.1.12192.168.1.20 URI：URI不包括问号后参数，比如：/login.php REQUESTURI：URI包括问号后参数，比如：login.php?id1 METHOD：请求方式，比如：GET;POST ARGS：问号后参数名 GEO：地理位置 HEADER：请求头部 PROTOCOL：请求协议，比如：HTTP/1.0;HTTP/2.0 调整优先级 在规则列表中的优先级一列，可通过箭头符号对规则优先级顺序进行调整。 说明 1. 越往前的优先级越高，优先匹配规则处理。最新增加的规则放在最末，优先级最低。 2. 访问控制中加白策略的优先级默认高于其他策略。 查看规则 在规则列表操作栏，点击【查看】按钮，可查看规则的详细配置。 编辑规则 在规则列表操作栏，点击【编辑】按钮，可修改规则配置。 删除规则 在规则列表操作栏，点击【删除】按钮，可删除规则。 注意 新增规则、调整规则优先级、编辑规则、删除规则后需要点击【提交部署】，否则变更将无法下发。

本节主要介绍创建用户组并授权 A公司的团队分为管理组（admin）、开发人员组和测试人员组。由于系统默认内置了admin组，用于拥有帐号所有资源的使用及管理权限，因此A公司的团队只需要在IAM中再创建开发人员组及测试人员组即可。 创建用户组 步骤 1 A公司管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户组”。 步骤 5 在“用户组”管理界面中，单击右上方的“创建用户组”。 步骤 6 输入“用户组名称”和“描述”，单击“确定”。 返回用户组列表页，用户组列表中将显示新创建的用户组。 依照以上流程，分别创建“开发人员组”和“测试人员组” 给用户组授权 A公司的开发人员需要使用的云服务为ECS、VPC及云硬盘，需要为“开发人员组”授予这些服务的管理员权限。测试人员需要使用云服务CES，需要为“测试人员组”授予此服务的权限。完成用户组的授权后，用户组中的用户才可以使用这些云服务。 步骤 1 A公司管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击首页顶部控制中心，在控制中心首页“管理与部署”类中，单击“统一身份认证服务”。 步骤 3 在统一身份认证服务控制台页面，单击左侧功能菜单“用户组”，找到已创建的“开发人员组”用户组，单击右侧 “授权”。 步骤 4 在用户组权限管理页面，勾选需要授予用户组的服务权限，如在本例中，为“开发人员组”添加ECS Admin、VPC Admin和EVS Admin三个策略授权，然后单击“下一步”。 步骤 5 选择授权范围方案为“指定区域项目资源”，并选择要授权的区域项目，即资源池，然后单击“确定”。完成设置后，开发人员组仅在授权的区域有操作权限，其它区域将提示没有权限。 步骤 6 单击“确定”，完成用户组的权限授权。 参考步骤3至步骤5的方法，为“测试人员组”授予“CES Administrator ”的权限。

收集故障信息。 22. 在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 23. 在“服务”中勾选待操作集群的“Kafka”。 24. 单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 25. 请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 1. 登录FusionInsight Manager，选择“集群 > 待操作集群的名称 > 服务 > Kafka > 实例”，将运行状态为“正在恢复”的Broker实例停止并记录实例所在节点的管理IP地址以及对应的“broker.id”，该值可通过单击角色名称，在“实例配置”页面中选择“全部配置”，搜索“broker.id”参数获取。 2. 以root用户登录记录的管理IP地址，并执行df lh命令，查看磁盘占用率为100%的挂载目录，例如“${BIGDATADATAHOME}/kafka/data1”。 3. 进入该目录，执行 du sh 命令，查看该目录下各文件夹的大小。查看是否存在除“kafkalogs”目录外的其他文件，并判断是否可以删除或者迁移。 是，删除或者迁移相关数据，然后执行步骤8。 否，执行步骤4。 4. 进入“kafkalogs”目录，执行 du sh 命令，选择一个待移动的Partition文件夹，其名称命名规则为“Topic名称Partition标识”，记录Topic及Partition。 5. 修改“kafkalogs”目录下的“recoverypointoffsetcheckpoint”和“replicationoffsetcheckpoint”文件（两个文件做同样的修改）。 减少文件中第二行的数字（若移出多个目录，则减少的数字为移出的目录个数）。 删除待移出的Partition所在的行（行结构为“Topic名称 Partition标识 Offset”，删除前先将该行数据保存，后续此内容还要添加到目的目录下的同名文件中）。 6. 修改目的数据目录下（例如：“${BIGDATADATAHOME}/kafka/data2/kafkalogs”）的“recoverypointoffsetcheckpoint”和“replicationoffsetcheckpoint”文件（两个文件做同样的修改）。 增加文件中第二行的数字（若移入多个Partition目录，则增加的数字为移入的Partition目录个数）。 添加待移入的Partition行到文件末尾（行结构为“Topic名称 Partition标识 Offset”，直接复制步骤5中保存的行数据即可）。 7. 移动数据，将待移动的Partition文件夹移动到目的目录下，移动完成后执行chown omm:wheel R Partition目录命令修改Partition目录属组。 8. 登录FusionInsight Manager，选择“集群 > 待操作集群的名称 > 服务 > Kafka > 实例”，启动停止的Broker实例。 9. 等待5至10分钟后查看Broker实例的运行状态是否为“良好”。 是，修复完成后按照“ALM38001 Kafka磁盘容量不足”告警指导彻底解决磁盘容量不足问题。 否，联系运维人员。

本文带您了解如何使用通知记录。 操作场景 通知记录便于您及时查询了解历史通知记录，通知类型包括：短信、邮件、webhook。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”>"通知记录"，进入通知记录列表页。 5. 在通知记录列表，您可以通过时间等筛选条件，查询历史通知信息。

本节主要介绍云存储网关申请开通规则。 功能说明 支持高可用，支持iSCSI协议，支持中英文Web管理界面。 申请公测 详见申请部署。 申请公测须知 提交公测申请前请务必准备好存储网关服务器的登录信息，包括：外网IP地址、连接端口号、用户名、密码、对象存储（经典版）I型具有所有权限的AccessKeyID和SecretAccessKey，运维人员将与您确认此信息后方可部署。 订单0元支付成功后，会有天翼云运维人员与您预约安装时间，部署一套网关约需8小时，安装部署服务时间：5天×8小时（法定节假日除外），请您耐心等待。 该产品不涉及续订、退订，使用过程中如遇问题，请提交工单进行解决。

日志格式 日志格式根据SDK的语言类型有细微的差异，以Java SDK 为例，LogItem 有四个参数。 content 和 labels 是一个List 类型，其中的 LogContent和 Labels是一个 类型，K 是String 类型，V是一个泛型，可以为String、int、double等类型。 注意：其中content和labels的key的长度不超过64字符，仅支持数字、字母、下划线、连字符()、点(.)，且必须以字母开头。value类型最好使用字符串（String）和数字类型（int,double），其他类型建议先转为字符串类型，并且value值不能为空或空字符串。 参数 类型 描述 是否必须 logtimestamp long 时间戳，单位纳秒，一般是当前时间 是 originmsg string 原始日志内容 是 content ArrayList 对日志进行分词后的内容，可用于索引 否 labels ArrayList 自定义标签 否 参数（Endpoint） 获取方式 各资源池地址请查看访问地址（Endpoint）。 参数（AccessKey、SecretKey）获取方式 天翼云账号的AK和SK，硬编码到代码中或者明文存储都有很大的安全风险，建议密文存放，使用时解密，确保安全，或者设置在环境变量中，从环境变量中获取。 AK、SK可以通过登录天翼云官网，在用户的账号中心中查看。详情请查看如何获取访问密钥（AK/SK）。 参数（logProject、logUnit）获取方式 logProject、logUnit代表了日志上传的目标日志项目与目标日志单元。要获取这两个参数的前提是您已经成功开通了云日志服务，并创建了日志项目和日志单元，详情参考创建日志项目与日志单元。 创建完成后，您可在云日志服务控制台日志管理日志项目与日志单元列表中获取。 注意 日志项目和日志单元编码所属区域要和访问地址endpoint相对应，例如日志项目和日志单元开通在华东1区域内，则也需要使用华东1的endpoint。 接入限制 目前API 和 SDK日志上传都进行了频控限流措施，目前的传输的限制如下： 在1个日志项目下，写入流量最大限制:200MB/s 在1个日志项目下，写入次数最大限制:1000次/s 在1个日志单元下，写入流量最大限制:100MB/s 在1个日志单元下，写入次数最大限制:500次/s 如果日志上传频率很高，写入次数的被限流，可以在每次写入时上传多条日志，或者使用异步批量上传功能（部分SDK支持）。 注意 单次上报的日志包大小限制5MB，单条日志大小限制1MB。

日志格式 日志格式根据SDK的语言类型有细微的差异，以Java SDK 为例，LogItem 有四个参数。 content 和 labels 是一个List 类型，其中的 LogContent和 Labels是一个 类型，K 是String 类型，V是一个泛型，可以为String、int、double等类型。 注意：其中content和labels的key的长度不超过64字符，仅支持数字、字母、下划线、连字符()、点(.)，且必须以字母开头。value类型最好使用字符串（String）和数字类型（int,double），其他类型建议先转为字符串类型，并且value值不能为空或空字符串。 参数 类型 描述 是否必须 logtimestamp long 时间戳，单位纳秒，一般是当前时间 是 originmsg string 原始日志内容 是 content ArrayList 对日志进行分词后的内容，可用于索引 否 labels ArrayList 自定义标签 否 参数（Endpoint） 获取方式 各资源池地址请查看访问地址（Endpoint）。 参数（AccessKey、SecretKey）获取方式 天翼云账号的AK和SK，硬编码到代码中或者明文存储都有很大的安全风险，建议密文存放，使用时解密，确保安全，或者设置在环境变量中，从环境变量中获取。 AK、SK可以通过登录天翼云官网，在用户的账号中心中查看。详情请查看如何获取访问密钥（AK/SK）。 参数（logProject、logUnit）获取方式 logProject、logUnit代表了日志上传的目标日志项目与目标日志单元。要获取这两个参数的前提是您已经成功开通了云日志服务，并创建了日志项目和日志单元，详情参考创建日志项目与日志单元。 创建完成后，您可在云日志服务控制台日志管理日志项目与日志单元列表中获取。 注意 日志项目和日志单元编码所属区域要和访问地址endpoint相对应，例如日志项目和日志单元开通在华东1区域内，则也需要使用华东1的endpoint。 接入限制 目前API 和 SDK日志上传都进行了频控限流措施，目前的传输的限制如下： 在1个日志项目下，写入流量最大限制:200MB/s 在1个日志项目下，写入次数最大限制:1000次/s 在1个日志单元下，写入流量最大限制:100MB/s 在1个日志单元下，写入次数最大限制:500次/s 如果日志上传频率很高，写入次数的被限流，可以在每次写入时上传多条日志，或者使用异步批量上传功能（部分SDK支持）。 注意 单次上报的日志包大小限制5MB，单条日志大小限制1MB。

导出漏洞报告 进入目标漏洞页签页面，在漏洞列表的右上角，单击导出漏洞报告。 导出漏洞报告 说明 应用漏洞单次导出最大数量为5000条。 主机安全服务每日凌晨会自动进行一次全面的扫描检测，扫描结束后可下载漏洞报告，若有特殊需求，也可通过手动扫描漏洞导出实时报告，操作详情请参见漏洞检测（手动）。 漏洞修复与验证 Linux软件漏洞和Windows系统漏洞： 您可以使用“一键修复”功能进行修复，也可以根据界面提供的修复建议进行手动修复。 修复完成后，可通过“验证”功能，快速验证漏洞是否修复成功。 说明 Windows漏洞修复需要公网访问权限。 WebCMS漏洞： 请根据界面提供的修复建议进行手动修复。 应用漏洞： 请根据界面提供的修复建议进行手动修复。 约束限制 未开启防护不支持漏洞相关操作。 目标服务器“Agent状态”为“在线”，“服务器状态”为“运行中”，“防护状态”为“防护中”。 基础版不支持。 HCE 2.0当前暂不支持漏洞检测和配置检测功能，将会根据后续版本迭代上线。 操作风险 执行主机漏洞修复可能存在漏洞修复失败导致业务中断，或者中间件及上层应用出现不兼容等风险，并且无法进行回滚。为了防止出现不可预料的严重后果，建议您通过云服务器备份（CSBS）为ECS创建备份。然后，使用空闲主机搭建环境充分测试，确认不影响业务正常运行后，再对主机执行漏洞修复。 在线修复主机漏洞时，需要连接Internet，通过外部镜像源提供漏洞修复服务。但是，如果主机无法访问Internet，或者外部镜像源提供的服务不稳定时，可以使用提供的镜像源进行漏洞修复。 为了保证漏洞修复成功，请在执行在线升级漏洞前，确认主机中已配置对应操作系统的镜像源。 修复紧急度 高危：您必须立即修复的漏洞，攻击者利用该类型的漏洞会对主机造成较大的破坏。 中危：您需要修复的漏洞，为提高您主机的安全能力，建议您修复该类型的漏洞。 低危：该类型的漏洞对主机安全的威胁较小，您可以选择修复或忽略。 漏洞显示时长 漏洞状态为“修复失败”或者“未处理”的漏洞会一直显示在漏洞列表中。 漏洞状态为“修复成功”的漏洞，修复成功后，30天后才不会在漏洞列表中显示。

SpringCloud应用接入Nacos配置中心 将Spring Cloud应用快速接入Nacos配置中心，集成Nacos配置管理功能，可遵循如下步骤。 前提条件 下载Maven并设置Maven环境变量。 已有Spring Cloud应用。 已创建MSE Nacos引擎。 在控制台创建配置 1. 进入MSE注册配置中心控制台，点击实例ID进入您创建的Nacos实例，点击配置管理>配置列表，选定命名空间如prod，点击创建配置。填写配置的Data ID、Group和配置内容，示例如下： Data ID：nacosprovider Group：testgroup 配置内容：config1abc 2. 选定配置格式为Properties，点击发布。 3. 接下来为prod命名空间建立读写权限用户。 4. 点击权限控制>用户管理，点击创建用户，填写您的用户名密码，点击确认。 5. 点击权限控制>角色管理，点击添加角色，填写角色名为PRODADMIN，用户名下拉框选中您刚才所创建的用户，点击确认。 6. 点击权限控制>权限管理，点击添加权限，角色名选择PRODADMIN，命名空间选择prod，动作选择“读写”，点击确认。 客户端接入配置中心 在您的Spring Cloud应用中引入如下依赖，替换其中￥{springcloudstarter.version}为与当前应用SpringBoot、SpringCloud版本适配的springcloudstarteralibabanacosconfig版本，替换其中{nacosclient.version}为当前开源nacosclient的最新稳定版，推荐替换为版本2.3.2。 com.alibaba.cloud springcloudstarteralibabanacosconfig ${springcloudstarter.version} com.alibaba.nacos nacosclient com.alibaba.nacos nacosclient ${nacosclient.version} 在应用配置bootstrap.properties（或yml）中添加Nacos相关参数，其中{yournacosaddr}填写ip:port格式的Nacos服务端节点地址，多个节点用英文逗号分隔。 spring.application.namenacosprovider spring.cloud.nacos.config.serveraddr{yournacosaddr} spring.cloud.nacos.config.namespaceprod spring.cloud.nacos.config.username{yournacosusername} spring.cloud.nacos.config.password{yournacospassword} 注意 若您的SpringBoot版本大于等于2.4，还需要额外添加依赖springcloudstarterbootstrap以使能bootstrap.properties： org.springframework.cloud springcloudstarterbootstrap 在应用代码中添加如下Controller，通过访问/getConfig1路径来获取config1动态配置： @RestController @RefreshScope public class ProviderController { @Value("${config1:default}") private String config1; @GetMapping("/getConfig1") public String getConfig1() { log.info("/getConfig1"); return config1; } } 启动应用。应用启动成功后，会自动连接到Nacos配置中心。

Apache HBase 连接Apache Hadoop上的HBase数据源时，详见下表：Apache HBase连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 hadoophbaselink ZK链接地址 HBase的Zookeeper链接地址。 格式： : , : , : zk1.ctyun.cn:2181,zk2.ctyun.cn:2181,zk3.ctyun.cn:2181 认证类型 访问集群的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 KERBEROS Principal 认证类型为“KERBEROS”时，需要填写Principal。Principal即Kerberos安全模式下的用户名，可以联系Hadoop管理员获取。此处填写的Principal需要与Keytab文件保持一致。 Keytab文件 认证类型为“KERBEROS”时，需要上传Keytab文件。Keytab文件为认证凭据文件，可以联系Hadoop管理员获取。获取Keytab文件前，需要在集群上至少修改过一次此用户的密码，否则下载获取的keytab文件可能无法使用。另外，修改用户密码后，之前导出的keytab将失效，需要重新导出。 IP与主机名映射 如果配置文件使用主机名，需要配置IP与主机的映射。格式：IP与主机名之间使用空格分隔，多对映射使用分号或回车换行分隔。 10.3.6.9 hostname01 10.4.7.9 hostname02 HBase版本 HBase版本。 HBASE2X 运行模式 “HBASE2X”版本支持该参数。选择HBase连接的运行模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式。 说明 ：STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 STANDALONE 是否使用集群配置 您可以通过使用集群配置，简化Hadoop连接参数配置。 否 集群配置名 仅当“是否使用集群配置”为“是”时，此参数有效。此参数用于选择用户已经创建好的集群配置。 hbase01 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。

接口介绍 添加云容灾保护的云主机 接口约束 1、该保护组存在 2、目前仅支持64 位系统，支持的版本如下： CentOS ：7.0、7.1、7.2、7.3、7.4、7.5、7.6、7.7、7.8、7.9 Ubuntu ：18.04 说明 ：目前仅支持 64 位系统，建议运行容灾客户端的机器使用双核，并配备 4GB 以上的可用内存 注意：Linux 系统的/boot 分区和/分区必须在同一磁盘，若不满足同一磁盘要求，建议手动调整磁盘后，再注册受保护实例进行容灾 3、建议使用2核及以上并且内存大于4G 4、未被保护 5、云主机已开启 URI POST /v4/disaster/newecsdisaster 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 参考请求示例 pairID 是 String 保护组ID 参考请求示例 ecsIDs 是 Array of Strings 云主机列表 参考请求示例 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 :: statusCode 是 Integer 返回状态码(800为成功，900为失败) 参考响应示例 message 是 String 成功或失败时的描述，一般为英文描述 参考响应示例 description 是 String 成功或失败时的描述，一般为中文描述 参考响应示例 returnObj 否 Object 成功时返回对象 returnObj 表 errorCode 否 String 业务细分码，为product.module.code三段式码 参考状态码 error 否 String 业务细分码，为product.module.code三段式大驼峰码 参考状态码 表 returnObj 参数 是否必填 参数类型 说明 示例 下级对象 status 是 String 添加云容灾保护组ecs成功 参考响应示例 msg 是 String 添加云容灾保护组ecs成功描述 参考响应示例

本节主要描述Redis连接过程出现的问题，以及解决方法。 问题分类 当您发现与Redis实例连接出现异常时，可以根据本文的内容，从以下几个方面进行排查。 Redis和ECS之间的连接问题 密码问题 实例配置问题 客户端连接问题 带宽超限导致连接问题 性能问题导致连接超时 Redis和ECS之间的连接问题 客户端所在的ECS必须和Redis实例在同一个VPC内，并且需要确保ECS和Redis之间可以正常连接。 如果是Redis 3.0实例，Redis和ECS的安全组没有配置正确，连接失败。 解决方法：配置ECS和Redis实例所在安全组规则，允许Redis实例被访问。 如果是Redis 4.0/5.0/6.0实例，开启了白名单功能，连接失败。 如果实例开启了白名单，在使用客户端连接时，需要确保客户端IP是否在白名单内，如果不在白名单，会出现连接失败。客户端IP如果有变化，需要将变化后的IP加入白名单。 Redis实例和ECS不在同一个Region。 解决方法：不支持跨Region访问，可以在ECS所在的Region创建Redis实例，创建时注意选择与ECS相同VPC，创建之后，使用数据迁移进行迁移，将原有Redis实例数据迁移到新实例中。 Redis实例和ECS不在同一个VPC。 不同的VPC，网络是不相通的，不在同一VPC下的ECS无法访问Redis实例。可以通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问Redis实例。 关于创建和使用VPC对等连接，请参考《虚拟私有云用户指南》的“对等连接”文档说明。

告警事件历史 1. 在Ecs应用详情左边导航栏中选择“告警事件历史“ 2. 在列表页查看告警事件列表信息 具体使用说明可参考应用性能监控>用户指南>告警管理>查看告警事件历史 告警发送历史 1. 在Ecs应用详情左边导航栏中选择“告警发送历史“ 2. 在列表页查看告警发送列表信息 具体使用说明可参考应用性能监控>用户指南>告警管理>查看告警发送历史 通知组 告警支持通过短信、邮箱、翼连等方式将告警信息通知给对应接收人，我们可以在通知组中设置接收人信息。 1. 在Ecs应用详情左边导航栏中选择“通知组“，进入”通知对象”，设置通知基本信息 具体使用说明可参考应用性能监控>用户指南>告警管理>通知对象 通知策略 创建告警通知策略，当告警触发时，只要不符合静默策略，就会依照通知策略在对应渠道发送告警信息给对应的通知对象。 1. 在Ecs应用详情左边导航栏中选择“通知策略“ 2. 查看左侧菜单栏“通知策略列表”，点击具体策略，右侧面板展示策略详情 具体使用说明可参考应用性能监控>用户指南>告警管理>通知策略

本节介绍了如何获取天翼云提供的CNAME，并将域名或者业务的DNS解析指向天翼云提供的CNAME，这样访问的请求才能转发到边缘云节点上，达到安全防护效果。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 操作步骤 1. 在控制台【安全与加速】—【域名管理】中复制域名对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。 以DNSPod操作界面为例，配置如下 3. 验证服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效；您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctyun.cn，即表示CNAME配置已经生效，功能也已生效。 注意: 配置CNAME完毕，CNAME配置生效后，边缘安全加速平台—安全与加速服务生效。 CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录需要最多72小时生效时间。 添加时如遇添加冲突，可参考以下“解析记录互斥规则” 调整记录。 在提示冲突的时候，说明已经有对应的记录，不允许重复添加或者说不能添加对应的记录，提供如下说明： 在RR值（Resource Records，资源记录）相同的情况下，同一条线路下，在几种不同类型的解析中不能共存( X 为不允许)。 X：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录不允许共存。如：已经设置了 www.ctyun.cn 的 A 记录，则不允许再设置 www.ctyun.cn 的 CNAME 记录。 无限制：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录可以共存。如：已经设置了 www.ctyun.cn 的 A 记录，则还可以再设置 www.ctyun.cn 的 MX 记录。 可重复： 指在同一类型下，同一条线路下，可设置相同的多条 RR 值。如：已经设置了 www.ctyun.cn 的 A 记录，还可以再设置 www.ctyun.cn 的 A 记录。

步骤2：准备工作 注意 在将业务接入DDoS高防（边缘云版）时，强烈建议您先使用测试业务环境进行测试，测试通过后再正式接入生产业务环境。 接入DDoS高防（边缘云版）前，您需要完成以下准备工作。 准备需要接入的网站域名信息，包括源站服务器公网IP、端口、请求协议等信息。 网站域名必须已完成ICP备案。 需要具备域名解析服务商添加TXT记录值权限或源站管理权限，以便完成域名归属校验。更多信息，请参见域名归属权校验指南。 需要具备DNS域名解析管理权限，用于切换DNS解析记录，以便接入后将网站流量引流到DDoS高防（边缘云版）。 若网站支持HTTPS协议访问，需要准备相应的证书和私钥信息，用于证书上传。更多信息,请参见证书管理。 检查网站业务是否有客户端黑白名单限制。业务接入后需要配置防护策略放行或拉黑相应的客户端IP。 推荐网站业务接入前，完成压力测试。 步骤3：接入DDoS高防（边缘云版） 1. 业务接入配置。 说明 如果在接入DDoS高防（边缘云版）前业务已遭受攻击，建议您更换源站服务器IP。更换IP前，请务必确认业务端是否存在直接指向源站IP的相关代码，若存在需要调整代码或配置，避免影响业务正常访问。 根据您的业务信息及流量请求购买相应的DDoS高防（边缘云版）套餐，并根据以上准备信息配合以下接入配置指导，将您的网站域名业务接入DDoS高防（边缘云版）： 添加域名。或参见视频接入指导： 视频专区。 2. 配置源站保护。 为避免恶意攻击者绕过DDoS高防（边缘云版）直接攻击源站服务器，建议您针对源站服务器采取相应安全配置。 3. 配置防护策略。 根据您的业务特征及攻击情况配置对应的防护策略。 CC攻击防护：若您的业务有遭受CC攻击的情况，可配置CC攻击防护策略。更多信息，请参见CC防护最佳实践。 访问配置访问限制：若您的业务受众群体物理位置区域相对集中或仅面向中国区域，可在访问控制防护模块配置相应的防护规则进行限制。更多信息，请参见访问控制。 访问配置频率控制：若您的业务存在单url请求或单ip等需要限制访问频率，可在频率控制模块配置相应的防护规则进行限制。更多信息，请参见访问控制。 4. 本地测试。 完成上述DDoS高防（边缘云版）配置后，建议您进行配置准确性检查和验证测试。 说明 您可以通过修改本地系统hosts文件的方式进行本地测试。 编号 检查项 网站域名配置准确性检查项 1 接入配置域名是否填写正确。 2 接入配置协议及服务端口是否与实际一致。 3 源站填写的IP是否是真实服务器IP。 4 若使用HTTPS检查证书是否上传成功。 5 是否开启频率控制、访问控制的防护规则严格模式。 6 查看计费详情，检查是否了解DDoS高防（边缘云版）的计费方式。 业务可用性验证项 1 测试业务是否能够正常访问。 2 观察业务返回4XX和5XX响应码的次数，确保回源IP未被拦截。 3 测试HTTPS链路访问是否正常。 4 （建议项）是否配置源站保护，防止攻击者绕过DDoS高防（边缘云版）直接攻击源站。 5 测试TCP业务的端口是否可以正常访问。 5. 切换DNS解析，引流业务流量。 说明 调整DNS解析记录需要几分钟后生效，可使用dig命令等确认是否已生效。 以上检查均测试通过后，可开始按域名逐个切换调整DNS解析记录，将网站流量引流到DDoS高防（边缘云版），并实时观察监测。若切换流量后出现异常，请快速恢复DNS解析记录。 6. 告警监控。 建议您根据业务情况在告警模块配置相应的告警策略，以便及时了解业务运行情况和发现异常现象。

本文介绍如何卸载物理机的备份客户端。 操作场景 云备份需要搭配备份客户端一同使用，当物理机不再需要备份客户端时，您可以卸载已安装的客户端。 前提条件 已安装客户端且该客户端不在使用中。 操作步骤 物理机客户端卸载 1. 登录物理机服务器。 2. 切换为root账号。 3. 执行 /opt/cstor/cbr/ctyuncbrclient/scripts/cbruninstall.sh 脚本卸载备份客户端。

本章节主要介绍翼MapReduce的用户组管理操作。 操作场景 FusionInsight Manager最大支持5000个用户组（包括系统内置用户组）。根据不同业务场景需要，管理员使用FusionInsight Manager创建并管理不同用户组。用户组通过绑定角色获取操作权限，用户加入用户组后，可获得用户组具有的操作权限。用户组同时可以达到对用户进行分类并统一管理多个用户。 前提条件 管理员已明确业务需求，并已创建业务场景需要的角色。 已登录FusionInsight Manager。 添加用户组 1. 选择“系统 > 权限 > 用户组”。 2. 在组列表上方，单击“添加用户组”。 3. 填写“组名”和“描述”。 “组名”由数字、字母、或下划线、中划线（）或空格组成，不区分大小写，长度为1～64位，不能与系统中已有的用户组名相同。 4. 在“角色”，单击“添加”选择指定的角色并添加。 说明 对于已启用Ranger授权的组件（HDFS与Yarn除外），Manager上非系统默认角色的权限将无法生效，需要通过配置Ranger策略为用户组赋权。 HDFS与Yarn的资源请求在Ranger中的策略条件未能覆盖的情况下，组件ACL规则仍将生效。 5. 在“用户”，单击“添加”选择指定的用户并添加。 6. 单击“确定”完成用户组创建。 查看用户组信息 用户组列表默认显示所有用户组。单击指定用户组名称左侧的箭头展开详细信息，可以查看此用户组中的用户数、用户以及绑定的角色。 修改用户组信息 在要修改信息用户组所在的行，单击“修改”，修改用户组信息。

条件键 运算符 条件值 ctyun:CurrentTime DateEquals：匹配指定日期。 DateNotEquals：不等于指定日期。 DateLessThan：早于指定日期。 DateLessThanEquals：早于或等于指定日期。 DateGreaterThan：晚于指定日期。 DateGreaterThanEquals：晚于或等于指定日期。 格式为：yyyyMMdd’T’HH:mm:ss’Z’。例如：20191218T09:00:00Z。 DateEquals和DateNotEquals精确到天，其他精确到秒。 注意 将需要设置的时间转换为UTC+0时间。 ctyun:SourceIp IpAddress：与指定IP地址或范围匹配。 NotIpAddress：除指定IP地址或范围外的所有IP地址匹配。 IPv4：点分十进制格式。 IPv6：32位16进制数，格式为X:X:X:X:X:X:X:X。 如果指定地址范围，IP地址后加掩码表示，如192.163.1.5/3。 ctyun:userid StringEquals：精准匹配指定的值，区分大小写。 StringNotEquals：与指定的值不匹配，区分大小写。 StringEqualsIgnoreCase：与指定的值精准匹配，不区分大小写。 StringNotEqualsIgnoreCase：与指定的值不匹配，不区分大小写。 StringLike：与指定的值精准匹配。或通过填充通配符，与指定的值相似，可以包括多字符匹配的通配符 () 或单字符匹配的通配符 (?)。区分大小写。 StringNotLike：与指定的值不能进行模糊匹配，区分大小写。 包含数字和小写字母的32位字符。 运算符为StringLike和StringNotLike，可以包含通配符。 ctyun:username StringEquals：精准匹配指定的值，区分大小写。 StringNotEquals：与指定的值不匹配，区分大小写。 StringEqualsIgnoreCase：与指定的值精准匹配，不区分大小写。 StringNotEqualsIgnoreCase：与指定的值不匹配，不区分大小写。 StringLike：与指定的值精准匹配。或通过填充通配符，与指定的值相似，可以包括多字符匹配的通配符 () 或单字符匹配的通配符 (?)。区分大小写。 StringNotLike：与指定的值不匹配，区分大小写。值可以在字符串中的任何位置包括多字符匹配的通配符 () 或单字符匹配的通配符 (?)。 区分大小写1~64位字符组成，字符只能包含字母、数字或特殊字符，特殊字符只能是：下划线（）、中划线（）、逗号（,）、句点（.）、加号（+）、等号（）和at符号（@）。 说明 运算符为StringLike和StringNotLike，可以包含通配符。 ctyun:UserAgent StringEquals：精准匹配指定的值，区分大小写。 StringNotEquals：与指定的值不匹配，区分大小写。 StringEqualsIgnoreCase：与指定的值精准匹配，不区分大小写。 StringNotEqualsIgnoreCase：与指定的值不匹配，不区分大小写。 StringLike：与指定的值精准匹配。或通过填充通配符，与指定的值相似，可以包括多字符匹配的通配符 () 或单字符匹配的通配符 (?)。区分大小写。 StringNotLike：与指定的值不匹配，区分大小写的无效匹配。或通过填充通配符，与指定的值也不匹配。 字符串，可以包含特殊字符。 ctyun:Referer StringEquals：精准匹配指定的值，区分大小写。 StringNotEquals：与指定的值不匹配，区分大小写。 StringEqualsIgnoreCase：与指定的值精准匹配，不区分大小写。 StringNotEqualsIgnoreCase：与指定的值不匹配，不区分大小写。 StringLike：与指定的值精准匹配。或通过填充通配符，与指定的值相似，可以包括多字符匹配的通配符 () 或单字符匹配的通配符 (?)。区分大小写。 StringNotLike：与指定的值不匹配，区分大小写的无效匹配。或通过填充通配符，与指定的值也不匹配。 字符串，可以包含特殊字符。 ctyun:SecureTransport Bool：布尔匹配。 true。 false。 ctyun:MultiFactorAuthPresent Bool：布尔匹配。 说明 不建议对GetObject接口设置该条件键，否则在OOS控制台上无法下载、预览、分享文件和编辑元数据。 true。 false。 ctyun:MultiFactorAuthAge NumericEquals：与指定的值相同。 NumericNotEquals：与指定的值不同，否定匹配。 NumericLessThan：小于指定的值。 NumericLessThanEquals：小于等于指定的值。 NumericGreaterThan：大于指定的值。 NumericGreaterThanEquals：大于等于指定的值。 说明 不建议对GetObject接口设置该条件键，否则在OOS控制台上无法下载、预览、分享文件和编辑元数据。 整数形式，以秒为单位。 oos:prefix StringEquals：精准匹配指定的值，区分大小写。 StringNotEquals：与指定的值不匹配，区分大小写。 StringEqualsIgnoreCase：与指定的值精准匹配，不区分大小写。 StringNotEqualsIgnoreCase：与指定的值不匹配，不区分大小写。 StringLike：与指定的值精准匹配。或通过填充通配符，与指定的值相似，可以包括多字符匹配的通配符 () 或单字符匹配的通配符 (?)。区分大小写。 StringNotLike：与指定的值不匹配，区分大小写。值可以在字符串中的任何位置包括多字符匹配的通配符 () 或单字符匹配的通配符 (?)。 说明 本条件键仅对ListBucket生效。 字符串形式。 oos:xamzacl StringEquals：精准匹配指定的值，区分大小写。 StringNotEquals：与指定的值不匹配，区分大小写。 StringEqualsIgnoreCase：与指定的值精准匹配，不区分大小写。 StringNotEqualsIgnoreCase：与指定的值不匹配，不区分大小写。 StringLike：与指定的值精准匹配。或通过填充通配符，与指定的值相似，可以包括多字符匹配的通配符 () 或单字符匹配的通配符 (?)。区分大小写。 StringNotLike：与指定的值不匹配，区分大小写。值可以在字符串中的任何位置包括多字符匹配的通配符 () 或单字符匹配的通配符 (?)。 说明 创建Bucket时，通过使用此条件键可以控制存储桶ACL的类型，本条件键仅对PutBucket生效。 字符串形式。 取值为： private：私有。 publicread：公共读。 publicreadwrite：公共读写。

条件键 运算符 条件值 ctyun:CurrentTime DateEquals：匹配指定日期。 DateNotEquals：不等于指定日期。 DateLessThan：早于指定日期。 DateLessThanEquals：早于或等于指定日期。 DateGreaterThan：晚于指定日期。 DateGreaterThanEquals：晚于或等于指定日期。 格式为：yyyyMMdd’T’HH:mm:ss’Z’。例如：20191218T09:00:00Z。 DateEquals和DateNotEquals精确到天，其他精确到秒。 注意 将需要设置的时间转换为UTC+0时间。 ctyun:SourceIp IpAddress：与指定IP地址或范围匹配。 NotIpAddress：除指定IP地址或范围外的所有IP地址匹配。 IPv4：点分十进制格式。 IPv6：32位16进制数，格式为X:X:X:X:X:X:X:X。 如果指定地址范围，IP地址后加掩码表示，如192.163.1.5/3。 ctyun:userid StringEquals：精准匹配指定的值，区分大小写。 StringNotEquals：与指定的值不匹配，区分大小写。 StringEqualsIgnoreCase：与指定的值精准匹配，不区分大小写。 StringNotEqualsIgnoreCase：与指定的值不匹配，不区分大小写。 StringLike：与指定的值精准匹配。或通过填充通配符，与指定的值相似，可以包括多字符匹配的通配符 () 或单字符匹配的通配符 (?)。区分大小写。 StringNotLike：与指定的值不匹配，区分大小写的无效匹配。或通过填充通配符，与指定的值也不匹配。 包含数字和小写字母的32位字符串。 运算符为StringLike和StringNotLike，可以包含通配符。 ctyun:username StringEquals：精准匹配指定的值，区分大小写。 StringNotEquals：与指定的值不匹配，区分大小写。 StringEqualsIgnoreCase：与指定的值精准匹配，不区分大小写。 StringNotEqualsIgnoreCase：与指定的值不匹配，不区分大小写。 StringLike：与指定的值精准匹配。或通过填充通配符，与指定的值相似，可以包括多字符匹配的通配符 ()或单字符匹配的通配符 (?)。区分大小写。 StringNotLike：与指定的值不匹配，区分大小写的无效匹配。或通过填充通配符，与指定的值也不匹配。 1~64个字符组成，字符只能包含字母、数字或特殊字符，特殊字符只能是：下划线（）、中划线（）、逗号（,）、句点（.）、加号（+）、等号（）和at符号（@）。 说明 运算符为StringLike和StringNotLike，可以包含通配符。 ctyun:UserAgent StringEquals：精准匹配指定的值，区分大小写。 StringNotEquals：与指定的值不匹配，区分大小写。 StringEqualsIgnoreCase：与指定的值精准匹配，不区分大小写。 StringNotEqualsIgnoreCase：与指定的值不匹配，不区分大小写。 StringLike：与指定的值精准匹配。或通过填充通配符，与指定的值相似，可以包括多字符匹配的通配符 () 或单字符匹配的通配符 (?)。区分大小写。 StringNotLike：与指定的值不匹配，区分大小写的无效匹配。或通过填充通配符，与指定的值也不匹配。 字符串，可以包含特殊字符。 ctyun:Referer StringEquals：精准匹配指定的值，区分大小写。 StringNotEquals：与指定的值不匹配，区分大小写。 StringEqualsIgnoreCase：与指定的值精准匹配，不区分大小写。 StringNotEqualsIgnoreCase：与指定的值不匹配，不区分大小写。 StringLike：与指定的值精准匹配。或通过填充通配符，与指定的值相似，可以包括多字符匹配的通配符 ()或单字符匹配的通配符 (?)。区分大小写。 StringNotLike：与指定的值不匹配，区分大小写的无效匹配。或通过填充通配符，与指定的值也不匹配。 字符串，可以包含特殊字符。 ctyun:SecureTransport Bool：布尔匹配。 true false ctyun:MultiFactorAuthPresent Bool：布尔匹配。 说明 不建议对GetObject接口设置该条件键，否则在OOS控制台上无法下载、预览、分享文件和编辑元数据。 true false ctyun:MultiFactorAuthAge NumericEquals：与指定的值相同。 NumericNotEquals：与指定的值不同，否定匹配。 NumericLessThan：小于指定的值。 NumericLessThanEquals：小于等于指定的值。 NumericGreaterThan：大于指定的值。 NumericGreaterThanEquals：大于等于指定的值。 说明 不建议对GetObject接口设置该条件键，否则在OOS控制台上无法下载、预览、分享文件和编辑元数据。 整数形式，以秒为单位。 oos:prefix StringEquals：精准匹配指定的值，区分大小写。 StringNotEquals：与指定的值不匹配，区分大小写。 StringEqualsIgnoreCase：与指定的值精准匹配，不区分大小写。 StringNotEqualsIgnoreCase：与指定的值不匹配，不区分大小写。 StringLike：与指定的值精准匹配。或通过填充通配符，与指定的值相似，可以包括多字符匹配的通配符 () 或单字符匹配的通配符 (?)。区分大小写。 StringNotLike：与指定的值不匹配，区分大小写。值可以在字符串中的任何位置包括多字符匹配的通配符 () 或单字符匹配的通配符 (?)。 字符串形式。 说明 本条件键仅对ListBucket生效。 oos:xamzacl StringEquals：精准匹配指定的值，区分大小写。 StringNotEquals：与指定的值不匹配，区分大小写。 StringEqualsIgnoreCase：与指定的值精准匹配，不区分大小写。 StringNotEqualsIgnoreCase：与指定的值不匹配，不区分大小写。 StringLike：与指定的值精准匹配。或通过填充通配符，与指定的值相似，可以包括多字符匹配的通配符 () 或单字符匹配的通配符 (?)。区分大小写。 StringNotLike：与指定的值不匹配，区分大小写。值可以在字符串中的任何位置包括多字符匹配的通配符 () 或单字符匹配的通配符 (?)。 字符串形式。 取值为： private：私有。 publicread：公共读。 publicreadwrite：公共读写。 说明 创建Bucket时，通过使用此条件键可以控制存储桶ACL的类型，本条件键仅对PutBucket生效。

本章节主要介绍翼MapReduce的查看集群静态资源操作。 操作场景 大数据管理平台支持通过静态服务资源池对没有运行在Yarn上的服务资源进行管理和隔离。系统支持基于时间的静态服务资源池自动调整策略，使集群在不同的时间段自动调整参数值，从而更有效地利用资源。 系统管理员可以在FusionInsight Manager查看静态服务池各个服务使用资源的监控指标结果，包含监控指标如下： 服务总体CPU使用率 服务总体磁盘IO读速率 服务总体磁盘IO写速率 服务总体内存使用大小 说明 启用多实例功能后，支持管理HBase所有服务实例使用的CPU、I/O和内存总量。 操作步骤 1. 在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 静态服务池”。 2. 在“配置组列表”，单击一个配置组，例如“default”。 3. 查看系统资源调整基数。 “系统资源调整基数”表示集群中每个节点可以被集群服务使用的最大资源。如果节点只有一个服务，则表示此服务独占节点可用资源。如果节点有多个服务，则表示所有服务共同使用节点可用资源。 “CPU”表示节点中服务可使用的最大CPU。 “Memory”表示节点中服务可使用的最大内存。 4. 在图表区域，查看集群服务资源使用状态指标数据图表。 说明 可通过“为图表添加服务”，将特定服务的静态服务资源数据添至图表，最多可选择12个服务。 管理单个图表的操作，可参见

本文为您介绍如何将您的网站通过域名接入WAF实例进行防护。 开通云WAF SaaS版实例后，需要将您需要防护的网站域名接入WAF，使网站的访问流量全部流转到WAF进行检测并转发，实现恶意流量的拦截。 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。 WAF SaaS版提供CNAME接入方式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 CNAME接入流程 在WAF控制台添加需要防护的网站域名后，通过修改域名的DNS解析设置，将网站流量解析到WAF，使访问网站的流量经过WAF并受到WAF的防护。WAF将过滤和处理后的请求转发回该域名的源站服务器。接入流程如下： 1. 添加域名 ：配置域名、协议、源站等相关信息，详情请参见添加域名。 2. 放行WAF回源IP段 ：WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时，您需要设置源站服务器的安全软件或访问控制策略，放行WAF回源IP段的入方向流量，详情请参见放行WAF回源IP段。 3. 本地验证 ：添加域名后，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常，详情请参见本地验证。 4. 修改域名DNS ：若域名在接入WAF前未使用代理，则需要到该域名的DNS服务商处，修改域名的DNS解析配置，将网站的流量解析到WAF；若域名在接入WAF前使用了代理（DDoS高防、CDN等），则需要将使用的代理类服务（DDoS高防、CDN等）的回源地址修改为的目标域名的“CNAME”值，详情请参见修改域名DNS。 说明 完成接入流程后，网站访问流量将经过WAF转发检测。WAF包含多种防护检测模块，帮助网站应对不同类型的安全威胁，其中Web基础防护模块默认开启，用于防御常见的Web应用攻击（例如SQL注入、XSS跨站、Webshell上传等），其他防护模块需要您手动开启并配置具体防护规则。