负载均衡的组件 负载均衡实例 负载均衡实例是承载负载均衡业务的实体，通过在负载均衡实例中添加监听器和后端服务器组后才能使用负载均衡提供的服务。 外网负载均衡实例 : 负责处理来自公网的访问请求，其会绑定弹性公网IP地址。 内网负载均衡实例 : 负责处理来自与负载均衡属于同个VPC的访问请求，其服务地址为VPC内一个随机分配的内网地址。 监听器 监听器负责监听负载均衡上接收的请求，并根据转发策略把请求分发到后端服务器组进行处理。监听器支持四层（TCP或者UDP协议）和七层（HTTP或者HTTPS协议）协议，根据业务需求配置监听器对应的协议以及端口。 监听器类型说明： 协议类型 说明 适用场景 TCP 面向连接的、可靠的数据传输协议。 适用于对数据传输的准确性和可靠性较高的使用场景，如远程登录、web服务、文件传输等。 UDP 其为无连接的、可靠性低的传输协议。 适用于传输速度快、实时性要求高，但对数据准确性要求不高的使用场景，如视频会议、在线游戏等。 HTTP 应用层协议，其支持基于Cookie的会话保持功能以及基于URL的转发。 适用于对请求的数据内容进行识别的应用的使用场景，如web应用、APP等。 HTTPS 加密的应用层协议，可以防止未授权的数据访问。 需要加密传输的web应用。 转发策略 在负载均衡中监听器协议为HTTP和HTTPS时，支持在已有监听器转发的基础上添加转发策略，转发策略通过URL或域名匹配规则来把请求转发至相应的后端服务器组，便于灵活的分流业务和合理的分配资源。URL匹配规则支持精确匹配、正则匹配和前缀匹配。 后端服务器组 在对应的负载均衡中配置监听器或者对应七层监听器的转发策略时需要配置对应的后端服务器组，后端服务器组包括一个或者多个后端服务器，用于承载从监听器转发的流量请求，可以通过在后端服务器组中添加后端服务器来扩展负载均衡的处理能力。后端服务器组可以按需开启健康检查，其通过健康检查的结果来判断后端服务器的状态是否正常，监听器只会把请求转发给结果为正常的后端服务器。同时后端服务器组中还可以根据每个后端服务器的不同处理能力来设置不同的权重，确保后端服务器得到最大的资源利用。 后端服务器组支持以下的分配策略： 分配策略 说明 轮询算法 根据后端服务器不同的处理能力，按需为不同的后端服务器设置不同的权重，监听器根据权重的高低以及轮询的方式把请求转发给后端服务器。 最小连接算法 通过当前每台后端服务器的活跃连接数来估算对应的负载情况，同时再根据服务器的负载情况不同以及处理能力的不同，给后端服务器动态的分配权重。 源算法 首先通过一致性Hash算法对所有后端服务器进行编号，对请求中的源IP地址通过一致性Hash算法，根据得到的结果把请求分发到对应编号的服务器。其可以确保把长连接的请求发送到同一个后端服务器，确保业务的连续性。

本页介绍天翼云TeleDB数据库自动清理相关参数。 这些设置控制自动清理特性的行为。 autovacuum (boolean) 控制服务器是否运行自动清理启动器后台进程。默认为开启，不过要自动清理正常工作还需要启用trackcounts。该参数只能在postgresql.conf文件或服务器命令行中设置。然而，为单表通过修改表存储参数可以禁用自动清理。注意即使该参数被禁用，系统也会在需要防止事务ID回卷时发起清理进程。 logautovacuumminduration (integer) 如果自动清理运行至少该值所指定的毫秒数，被自动清理执行的每一个动作都会被日志记录。将该参数设置为0会记录所有的自动清理动作。1（默认值）将禁用对自动清理动作的记录。例如，如果你将它设置为250ms，则所有运行250ms或更长时间的自动清理和分析将被记录。此外，当该参数被设置为除1外的任何值时，如果一个自动清理动作由于存在一个锁冲突而被跳过，将会为此记录一个消息。开启这个参数对于追踪自动清理活动非常有用。该设置只能在postgresql.conf文件或者服务器命令行上设置。但是可以通过为单表修改表存储参数重写这个设置。 autovacuummaxworkers (integer) 指定能同时运行的自动清理进程（除了自动清理启动器之外）的最大数量。默认值为3。该参数只能在服务器启动时设置。 autovacuumnaptime (integer) 指定自动清理在任意给定数据库上运行的最小延迟。在每一轮中后台进程检查数据库并根据需要为数据库中的表发出VACUUM和ANALYZE命令。延迟以秒计，且默认值为1分钟（1min）。该参数只能在postgresql.conf文件或在服务器命令行上设置。

如果您需要对天翼云上购买的运维安全中心实例资源进行管理，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并使用策略来控制对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有运维安全中心实例的使用权限，但是不希望员工拥有创建、变更规格、升级实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用实例，但是不允许创建、变更规格、升级CBH实例的权限策略，控制员工对实例资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用运维安全中心的其它功能。 运维安全中心实例权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CBH实例部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北北京1）对应的项目（cnnorth1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CBH实例时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对运维安全中心实例，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下表所示，包括了运维安全中心实例的部分系统权限。 系统角色/策略名称 描述 类别 CBH FullAccess 运维安全中心实例的所有权限（支付权限除外）。 系统策略 CBH ReadOnlyAccess 运维安全中心实例只读权限，拥有该权限的用户仅能查看运维安全中心服务，不具备服务配置和操作权限。 系统策略 说明 您在赋予账号企业项目级的CBH FullAccess权限时，还需要授予账号IAM项目级别的CBH ReadOnlyAccess权限，这样才可以在Console控制台正常使用CBH服务的各项功能。 您在赋予账号企业项目级的CBH FullAccess权限时，还需要授予账号IAM项目级别的CBH ReadOnlyAccess权限，这样才可以在Console控制台正常使用CBH服务的各项功能。 如下表列出了CBH实例常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 CBH FullAccess CBH ReadOnlyAccess 创建运维安全中心 √ x 变更运维安全中心规格（变更规格） √ x 查询运维安全中心列表 √ √ 升级运维安全中心软件版本 √ x 查询ECS配额 √ x 绑定或解绑EIP √ x 重启运维安全中心 √ x 启动运维安全中心 √ x 关闭运维安全中心 √ x 查看运维安全中心可用区 √ x 检测当前配置是否支持创建IPv6运维安全中心 √ x 检测运维安全中心与License中心之间网络是否连通 √ x 修改运维安全中心网络，确保与License中心网络连通 √ x

本节介绍天翼云电脑Web客户端登录的相关操作。 1.扫码登录 打开天翼AI云电脑客户端，在登录页面左边可以看到扫码登录模块。 支持通过天翼AI云电脑手机端APP扫码登录或翼连APP扫码登录。 2.账号登录 登录页右边可以看到账号登录，支持AI云电脑账号，手机号码和邮箱登录（手机号码或邮箱登录的前提是用户已绑定手机或邮箱）。 3.忘记密码 登录页账号登录模块，在登录页下方点击“忘记密码”，可通过手机找回，邮箱找回两种方式找回密码。 通过手机短信验证码方式或邮箱验证方式找回密码。 4.换绑手机号 如需换绑/绑定手机，登录天翼AI云电脑后，在桌面列表页，选择账号与安全点击“手机号”。 两种认证方式进行手机号码换绑/绑定： 通过手机验证的方式，换绑/绑定手机号码。 通过邮箱验证的方式，换绑/绑定手机号码。

本节介绍天翼量子AI云电脑电脑客户端登录的相关操作。 1. 扫码登录 登录页扫码登录，支持通过天翼云电脑APP、翼连、微信扫码登录，扫码成功并点击确认，即可登录AI云电脑客户端。 2. 账号登录 登录页账号登录，支持AI云电脑账号，手机号码和邮箱登录（手机号码或邮箱登录的前提是用户已绑定手机或邮箱）。 3. 自动登录 （1）账密登录：用户输入账号密码，勾选“自动登录”登录成功后，下一次启动客户端将自动登录； （2）扫码登录：勾选“自动登录”，扫码登录成功后，下一次启动客户端将自动登录。 4. 记住密码 账号登录时，输入密码后，点击“记住密码”功能，下次登录无需重复输入登录密码。 5. 忘记密码 点击“忘记密码“，可通过手机短信验证码、邮箱验证码两种方式找回密码。 通过手机短信验证码方式找回密码。 通过邮箱验证方式找回密码。 6.

本章节主要介绍翼MR Manager的集群服务配置的查看操作。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“集群服务”，进入集群服务列表页面。 5. 选择指定集群服务，单击集群服务名称进入集群服务详情页面。 6. 单击“配置管理”tab，即可查看该集群服务的所有配置。如图所示： 7. 对于隐私配置项，默认将加密展示，点击文本框右侧查看按钮，输入配置主密码即可查看。如果当前集群开通后未设置过主密码，请参考用户手册的配置管理主密码设置，设置主密码后，进行查看。 说明运维变量配置 在服务的default分组下，以vars.yaml后缀结尾的配置文件，为运维变量配置文件。运维变量配置文件不是服务本身的配置文件，而是存放Manager运维操作变量的文件，每个运维变量的含义如下表。 组件 运维变量名 是否建议修改 含义说明 HDFS activenamenode 否 部署时使用，在这台机器上执行format操作。 HDFS kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 HDFS ldapGuestPassword 否 部署和扩容时使用，连接ldap的guest用户密码，此权限只能查看用户，不能创建用户。 HDFS ldapuri 否 部署和扩容时使用，配置ldap的连接地址。 HDFS dfsclusterId 否 部署时使用，ns的默认值。 HDFS pipelinejobretrytimes 是 流水线重试次数。 HDFS jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 YARN 无 共享HDFS运维变量。 ZooKeeper kerberosRealm 否 部署时使用，配置kerberos的realm的信息。 ZooKeeper kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 ZooKeeper zksuperuser 否 部署和扩容时使用，配置zk的超级用户。 ZooKeeper zksuperuserpasswd 否 部署和扩容时使用，配置超级用户的密码。 ZooKeeper componentuser 否 暂未使用。 ZooKeeper dataLogDir 否 部署时使用，需要通过ansbile创建目录。 ZooKeeper dataDir 否 部署时使用，需要通过ansbile创建目录。 Kerberos kerberosRealm 否 部署时使用，配置kerberos的realm的信息。 Kerberos kdcmaster 否 部署时使用，指定master节点，执行master节点的操作。 Kerberos kdcslave 否 部署时使用，指定slave节点，执行slave节点的操作。 Kerberos kerberosdatabasepasswd 否 部署时使用，配置kerberos的数据库密码。 Kerberos kerberosadminuser 否 部署时使用，配置kerberos的admin用户。 Kerberos kerberosadminpasswd 否 部署时使用，配置kerberos的admin用户密码。 OpenLDAP ldapmasterhostname 否 部署时使用，指定master节点，执行master节点的操作。 OpenLDAP ldapslavehostname 否 部署时使用，指定slave节点，执行slave节点的操作。 OpenLDAP olcRootDN 否 部署时使用，服务配置。 OpenLDAP olcSuffix 否 部署时使用，服务配置。 OpenLDAP ldapAdminPwd 否 部署时使用，admin用户的密码。 OpenLDAP ldapGuestPwd 否 部署时使用，guest用户的密码。 OpenLDAP ldapuri 否 部署时使用，ldap的连接信息。 OpenLDAP ldapBaseUgDN 否 部署时使用，服务配置。 OpenLDAP pipelinejobretrytimes 是 流水线重试次数。 OpenLDAP jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 HBase kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 HBase pipelinejobretrytimes 是 流水线重试次数。 HBase jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Spark kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Spark ldapmaster 否 部署时使用，ldap的master节点。 Spark eventlogdir 否 部署时使用，通过ansible创建目录。 Spark sparkhome 否 部署时使用，通过ansible创建目录。 Hive kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Hive ldapmaster 否 部署时使用，ldap的master节点。 Hive databasepass 否 部署时使用，hive使用的数据库密码，需要用户填写。 Kafka kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 Kafka kerberosrealm 否 kerberos的realm的信息。 Kafka logdirs 否 （目前不再使用，通过从配置文件中渲染来创建目录）部署和扩容时使用，通过ansible创建目录。 Kafka pipelinejobretrytimes 是 流水线重试次数。 Kafka jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Kyuubi kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Kyuubi ldapmaster 否 部署时使用，ldap的master节点。 Kyuubi kyuubilogdir 否 目录。部署时使用，通过ansible创建。 Kyuubi kyuubieventlogdir 否 目录。部署时使用，通过ansible创建。 Kyuubi kyuubiworkdir 否 目录。部署时使用，通过ansible创建。 Kyuubi adminuser 否 目录的属主。 Kyuubi usergroup 否 目录的属组。 Kyuubi pipelinejobretrytimes 是 流水线重试次数。 Kyuubi jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Flink kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Flink ldapmaster 否 部署时使用，ldap的master节点。 Flink logDir 否 目录。部署时使用，通过ansible创建。 Flink HistoryServerDir 否 目录。部署时使用，通过ansible创建。 Flink pipelinejobretrytimes 是 流水线重试次数。 Flink jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Elasticsearch CERTNODE 否 部署时使用，指定证书节点，在节点上执行生成证书的操作。 Elasticsearch ESDATADIRS 否 目录。部署时使用，通过ansible创建。 Elasticsearch ESDEFAULTPASSWORD 否 部署时使用。默认的密码，随机密码。 Doris FEDEFAULTLEADERHOSTNAME 否 部署和扩容时使用，指定leader节点，在上面执行leader的相关操作。 Doris FEDEFAULTPASSWORD 是 部署时随机生成的Doris组件root密码。节点扩容需要使用该密码，如用户已修改，需要设置正确的值，否则会影响扩容操作。 Doris FEHTTPPORT 否 服务端口，不推荐修改。 Doris FEQUERYPORT 否 服务端口，不推荐修改。 Doris FEEDITLOGPORT 否 服务端口，不推荐修改。 Doris BESTORAGEROOTPATH 否 服务端口，不推荐修改。 Doris BEHEARTBEATSERVICEPORT 否 服务端口，不推荐修改。 Doris BROKERIPCPORT 否 服务端口，不推荐修改。 Trino datadir 否 目录。部署和扩容时使用，通过ansible创建。 Trino kerberosrealm 否 kerberos的realm的信息。 Trino kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Trino ldapmaster 否 部署时使用，ldap的master节点。 Trino coordinator 否 部署和扩容时使用，指定主节点，在上面执行主节点的相关操作。 Trino uiuser 否 ui的用户。 Trino uipassword 否 ui的密码，部署时随机生成。 Trino serveruser 否 server的用户。 Trino serverpassword 否 server的密码，部署时随机生成。 Trino pipelinejobretrytimes 是 流水线重试次数。 Trino jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Ranger dbhost 否 外置数据库信息，需要用户填写。 Ranger dbname 否 外置数据库信息，需要用户填写。 Ranger dbuser 否 外置数据库信息，需要用户填写。 Ranger dbpassword 否 外置数据库信息，需要用户填写。 Ranger dbrootuser 否 部署时使用，ranger使用的外置数据库信息。 Ranger dbrootpassword 否 部署时使用，ranger使用的外置数据库信息。 Ranger rangerpassword 否 ranger admin用户密码。 Ranger SYNCLDAPBINDPASSWORD 否 部署时使用，ranger访问ldap的密码。 Ranger SYNCSOURCE 否 用户同步方式，ldap。 Ranger kerberosrealm 否 kerberos的realm的信息。 Ranger kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Ranger SYNCLDAPURL 否 ldap相关信息。 Ranger POLICYMGRURL 否 ranger admin url信息。 Ranger separatedbamode 否 是否单独执行DBA，默认true，表示需要提前创建ranger使用的数据库和用户，并授权，不推荐修改。 Ranger pipelinejobretrytimes 是 流水线重试次数。 Ranger jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Knox kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Logstash pipelinejobretrytimes 是 流水线重试次数。 Logstash jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 JeekeFS kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 KafkaUI kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 KafkaUI ldapGuestPassword 否 部署时使用，Openldap的guest用户密码。 Pushgateway PUSHGATEWAYPASSWORD 否 部署时使用，Pushgateway服务的密码。 Pushgateway PUSHGATEWYUSERNAME 否 部署时使用，Pushgateway服务的用户名。 TezUI pipelinejobretrytimes 是 流水线job最大重试次数。 TezUI jobretrybasedonpipelinetypes 否 基于的流水线类型。

本章主要介绍使用软件开发生产线快速搭建项目（CCE篇） 本文基于软件开发生产线内置代码仓库，介绍如何使用软件开发生产线完成项目的开发、构建与部署，实现持续交付。 本文介绍采用CCE部署方式，若需了解ECS部署方法，请参考使用软件开发生产线快速搭建项目（ECS篇）。 准备工作 1. 拥有天翼云帐号。若没有，请先注册天翼云帐号。 2. 已购买软件开发生产线。 3. 已购买CCE集群，购买时的必要配置请参考下表与，表中未列出的配置保持默认即可。 表 集群购买配置 配置分类 配置项 配置建议 ::: 基础配置 计费模式 选择“按需计费”。 基础配置 集群版本 建议选择最新版本。 网络配置 网络模型 选择“VPC网络”。 网络配置 容器网段 勾选“自动设置网段”。 表 节点配置 配置分类 配置项 配置建议 ::: 计算配置 计费模式 选择“按需计费”。 计算配置 节点类型 选择“弹性云服务器虚拟机”。 计算配置 节点规格 选择2核8G及以上规格即可。 计算配置 容器引擎 选择“Docker”。 计算配置 操作系统 选择“公共镜像 > CentOS 7.6” 计算配置 登录方式 选择“密码”。 计算配置 密码 输入自定义密码。 网络配置 节点IP 选择“随机分配”。 网络配置 弹性公网IP 选择“暂不使用”。 4. 已在容器镜像服务中创建组织，本文中创建的组织名称为“webdemo”。

创建ECS（MySQL服务器） 购买弹性云主机，用于安装MySQL社区版。 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击左侧的服务列表图标，选择“计算 > 弹性云主机 ECS”。 4、单击“购买弹性云主机”。 5、配置弹性云主机参数 安装社区版MySQL 1、打开Xshell客户端 2、填写主机IP和账号密码等信息并登录 3、下载好社区版mysql.zip压缩包传至主机，并编辑好安装脚本 4、在弹性云主机运行数据库安装脚本，执行bash /root/im.sh后，数据库安装成功 5、通过Navicat登录主机搭建好的数据库并新建测试表格数据 6、至此，测试自建库完成搭建。 创建目的端RDS 创建RDS实例 1、登录天翼云控制台。 2、单机管理控制台区域按钮，选择区域“上海4”。 3、单机左侧的服务列表图标，选择“数据库 > 云数据库 RDS”。 4、单击“购买数据库实例”。 5、配置实例名称和实例基本信息。 采用DRS工具进行迁移

本章节介绍印刷文字识别（OCR) 安全相关的常见问题与解答。 是否可以设置IP白名单呢？ OCR是API服务，暂不支持白名单设置，您可以在自己的服务器上调用我们的服务。 OCR传输的数据是否经过加密呢？ 天翼云印刷文字识别采用天翼云官网标准EOP网关，数据传输过程有全链路安全保障。若您的数据比较敏感、安全保密性要求高的话，可考虑使用私有化部署。 使用OCR服务，图片数据是否会存储？ 因相关规定限制，印刷文字识别公有云服务数据不落盘，用户的图片数据和识别数据均不保留。使用OCR服务后，图片数据就会立即释放，不会存储。

参数名称 参数说明 取值样例 计费模式 包年/包月： 支持基础版、企业版、旗舰版选择。 无试用期，按照订单的购买周期来进行结算。 相对于按需付费，包年/包月购买方式能够提供更大的折扣，对于长期使用者，推荐该方式。 按需计费 ： 支持企业版。 按实际使用的时长收费，以小时为单位，每小时整点结算，不设最低消费标准。 包年/包月 版本选择 提供基础版、企业版、旗舰版选择。 基础版：用于测试、个人用户防护主机帐户安全，无数量限制，只支持部分功能的检测能力，不支持防护能力，不支持等保认证，首次开启可免费体验30天。 企业版：满足等保认证的需求，支持资产指纹管理、漏洞管理、恶意程序检测、Webshell检测、进程异常行为检测等能力。 旗舰版：满足等保认证的需求，支持应用防护、勒索防护、高危命令检测、提权检测、异常shell检测等能力。 企业版 选择配额 选择需要绑定的防护配额。 默认随机：随机分配防护配额至服务器。 固定ID配额：选择一个配额，批量开启时选择的配额只能绑定一台服务器，其余未绑定的服务器将随机绑定目标版本配额。 说明 若提示可用配额为0时，表示配额不足，需要进行购买才可开启防护。 随机选择配额

本节介绍翼加密如何分配加密策略。 通过AI云电脑控制台菜单找到“文件加密”—“加密策略管理”，点击右侧的“分配”，自定义设置加密策略的适用范围。 加密策略可以按3个维度进行分配。 分配给部门 部门内的所有桌面将被分配上策略。并且该部门添加新的桌面时，新桌面也将分配上对应的加密策略。 分配给桌面池 桌面池内的所有桌面将被分配上策略。并且该桌面池添加新的桌面时，新桌面也将分配上对应的加密策略。 分配给桌面 加密策略也可以直接分配给桌面。 注意：当桌面分配的加密策略，与对应的桌面池、部门设置的加密策略冲突时，按桌面＞桌面池＞部门的优先级判断。即： 1、先判断桌面是否分配了加密策略，若有，则以桌面分配的加密策略为准； 2、若桌面没有分配加密策略，则判断桌面所属桌面池是否分配了加密策略，若有，则以桌面池分配的加密策略为准； 3、若桌面池也没有分配加密策略，则判断桌面所属部门是否分配了加密策略，若有，则以部门分配的加密策略为准。

本章主要介绍翼MapReduce的管理本地快速恢复任务功能。 操作场景 使用DistCp备份数据时，本集群HDFS中将保存备份数据的快照信息。FusionInsight Manager支持使用本地的快照快速恢复数据，减少从备集群恢复数据使用的时间。 管理员可以通过FusionInsight Manager与本集群HDFS保存的快照信息，创建本地快速恢复任务并执行恢复任务。 操作步骤 1.登录FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 2.在备份任务列表已创建任务的“操作”列，单击“恢复”。 3.确认界面是否提示“没有可快速恢复的数据，请在恢复管理界面创建恢复任务进行恢复。”。 是，备份任务未在主集群产生备份数据快照，任务结束。 否，可以创建本地快速恢复任务，执行4。 说明 元数据不支持快速恢复。 4.在“任务名称”填写本地快速恢复任务的名称。 5.在“备份配置”选择数据源。 6.在“可恢复点列表”选择一个包含目标备份数据的恢复点。 7.在“队列名称”填写任务执行时使用的Yarn队列的名称。需和集群中已存在且状态正常的队列名称相同。 8.在“数据配置”选择需要恢复的对象。 9.单击“校验”，界面显示“校验恢复任务配置成功”。 10.单击“确定”。 11.在恢复任务列表已创建任务的“操作”列，单击“执行”，开始执行恢复任务。 任务执行完成后，“任务状态”显示为“成功”。

本节主要介绍负载均衡后端服务器组的添加、查看和删除,以及配置后端服务器组中的后端服务器。 使用说明 创建后端服务器组前，其对应的负载均衡实例已创建。 在添加对应的后端服务器组后，需要为后端服务器组添加后端服务器，以及对应后端服务器的服务器端口和权重。 需要确定对应的后端服务器组是否开启对应的健康检查，若开启则需要配置健康检查相关的参数。 对后端服务器组进行删除时，需要确保该后端服务器组未关联到对应的监听器。 添加后端服务器组 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性负载均衡>负载均衡器】，选择对应的地域，查看当前地域下已创建的负载均衡实例。 3. 在负载均衡实例列表中选择需要添加后端服务器组的负载均衡实例并单击负载均衡实例名称进入负载均衡详情页，单击【后端服务器组>添加后端服务器组】。 4. 在添加后端服务器组的弹框中，填写相关的参数。 添加后端服务器组的参数说明： 参数 说明 名称 自定义负载均衡后端服务器组的名称，若未填写，系统将自动分配；同时也可以单击【添加描述】按需为后端服务器组添加相关的描述信息。 后端协议 为后端服务器组配置后端协议，支持的协议类型有TCP、UDP和HTTP。 分配策略类型 为后端服务器组配置分配策略，支持的策略类型有加权轮询、IP hash和加权最少连接数，若后端协议选择为TCP或者UDP，则三种分配策略都支持，若后端协议选择为HTTP，则只支持选择加权轮询和IP hash。 会话保持 为后端服务器组配置是否配置会话保持能力，只有分配策略类型为“加权轮询”时才支持配置会话保持，会话保持可使得来自同一 IP 的请求被转发到同一台后端服务器上。 会话保持类型 为已开启会话保持功能的后端服务器组配置会话保持类型，其中四层协议（TCP/UDP）支持基于源 IP 地址的会话保持能力，七层协议（HTTP/HTTPS）支持基于应用程序 Cookie 的会话保持能力（由负载均衡器向客户端植入 Cookie）。 会话保持时长 为已开启会话保持功能的后端服务器组且会话保持类型为“源IP地址”设置会话保持时间，单位为分钟，默认配置为5分钟。 Cookie名称 为已开启会话保持功能的后端服务器组且会话保持类型为“应用程序cookie”设置Cookie名称，其中Cookie名称和后端服务器所承载应用配置的Cookie名称一致。 代理超时时长 后端响应的超时时间，后端协议选择为HTTP类型时，可设置此参数，默认设置为60秒。 后端服务器组中健康检查参数说明： 参数 说明 是否开启 该后端服务器组是否开启健康检查功能，通过健康检查来判断后端服务的可用性，避免后端服务异常影响前端业务，从而提高业务整体可用性。 协议 为已开启健康检查的后端服务器组配置健康检查协议，该协议和后端协议默认保持一致，不可配置。 端口 为已开启健康检查的后端服务器组配置健康检查端口，该协议默认使用后端服务器业务端口进行检查，若需指定特定端口则需填写，范围为165535。 探测报文 为已开启健康检查且后端协议类型为UDP的后端服务器组配置健康检查的探测报文，默认为ping，其中在5秒内，会发起一次udp探测，超时时间为3秒，最大重试次数为3次。 域名 为已开启健康检查且后端协议类型为HTTP的后端服务器组配置转发域名。 路径 设置健康检查页面的URL，后端协议选择为HTTP类型时可设置该参数。 5. 在填写相关参数后，单击【提交】执行添加。

本文为您介绍如何设置可以保持SSH会话连接长时间不断开 操作场景 使用SSH方式登录CentOS7.6操作系统的云服务器时，过一段时间就会自动断开连接。本节操作介绍如何保持SSH会话持续连接不断开。 该文档适用于CentOS系统。 操作方法 编辑/etc/ssh/sshdconfig文件设置心跳，保持连接。 1. 编辑/etc/ssh/sshdconfig，添加配置项： vim /etc/ssh/sshdconfig 添加配置项 ClientAliveInterval 600 ClientAliveCountMax 10 ClientAliveInterval 600 表示每600秒发送一次请求， 从而保持连接。 ClientAliveCountMax 10 表示服务器发出请求后客户端没有响应的次数达到10次，就自动断开连接。 则无响应的SSH客户端将在大约600x106000秒后断开连接。 执行 :wq保存修改。 2. 执行以下命令，重启sshd服务，使配置生效。 systemctl restart sshd

本节简单介绍WAF和CC攻击。 什么是Web应用防火墙？ Web应用防火墙（Web Application Firewall，简称WAF），针对Web攻击进行防护，例如 ：XSS（跨站脚本攻击）、SQL注入、Webshell上传等，除此之外，还提供了CC攻击的防护，CC攻击是攻击者借助代理服务器生成指向受害主机的合法请求，是拒绝服务攻击的一种类型。 如何判断是否遭受CC攻击？ 当客户发现网站处理速度下降，网络带宽占用过高时，很有可能已经遭受CC攻击，此时可查看Web服务器的访问日志或网络连接数量，如果访问日志或网络连接数量显著增加，则可确定遭受CC攻击，可以按照以下策略进行配置，利用WAF阻断CC攻击，保障网站业务的正常运行。 说明 WAF防护应用层流量的拒绝服务攻击，适合防御HTTP Get攻击等。 WAF服务并不提供针对四层及以下流量的防护，例如：ACK Flood、UDP Flood等攻击，这类攻击建议使用DDoS及IP高防服务进行防护。

操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 2.在任务列表指定任务的“操作”列，选择“更多 > 查询历史”，打开备份任务执行历史记录。 在弹出的窗口中，在指定一次执行成功记录的“备份路径”列，单击“查看”，打开此次任务执行的备份路径信息，查找以下信息： “备份对象”表示备份的数据源。 “备份路径”表示备份文件保存的完整路径。 选择正确的项目，在“备份路径”手工选中备份文件的完整路径并复制。 3.在FusionInsight Manager，选择“运维 > 备份恢复 > 恢复管理”。 4.单击“创建”。 5.在“任务名称”填写恢复任务的名称。 6.在“恢复对象”选择待操作的集群。 7.在“恢复配置”，勾选“业务数据”下的“HBase”。 8.在“HBase”的“路径类型”，选择一个备份目录的类型。 备份目录支持以下类型： “RemoteHDFS”：表示将备份文件保存在备集群的HDFS目录。选择此参数值，还需要配置以下参数： “源端NameService名称”：填写备份数据集群的NameService名称。可以输入集群内置的远端集群的NameService名称：haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4；也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “源端NameNode IP地址”：填写备集群NameNode业务平面IP地址，支持主节点或备节点。 “源端路径”：表示备份文件在HDFS中保存的完整路径。例如“ 备份路径/备份任务名数据源任务创建时间 ”。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。 “恢复点列表”：单击“刷新”，然后选择一个备集群上已备份的HDFS目录。 “最大map数”：填写执行MapReduce任务的最大map数，默认值为“20”。 “单个map的最大带宽(MB/s)”：填写单个map最大带宽，默认值为“100”。 “NFS”：表示将备份文件通过NFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “源端路径”：填写备份文件在NAS服务器中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间 ”。 “队列名称”：填写备份任务执行时使用的Yarn队列的名称。 “恢复点列表”：单击“刷新”，然后选择一个备集群上已备份的HDFS目录。 “最大map数”：填写执行MapReduce任务的最大map数，默认值为“20”。 “单个map的最大带宽(MB/s)”：填写单个map最大带宽，默认值为“100”。 “CIFS”：表示将备份文件通过CIFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “源端路径”：填写备份文件在NAS服务器中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间”。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。 “恢复点列表”：单击“刷新”，然后选择一个备集群上已备份的HDFS目录。 “最大map数”：填写执行MapReduce任务的最大map数，默认值为“20”。 “单个map的最大带宽(MB/s)”：填写单个map最大带宽，默认值为“100”。 “SFTP”：表示备份文件通过SFTP协议保存在服务器中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写备份数据的服务器IP地址。 “端口号”：填写SFTP协议连接备份服务器使用的端口号，默认值为“22”。 “用户名”：填写使用SFTP协议连接服务器时的用户名。 “密码”：填写使用SFTP协议连接服务器时的密码。 “源端路径”：填写备份文件在备份服务器中保存的完整路径。例如，“ 备份路径/备份任务名数据源任务创建时间/版本号数据源任务执行时间.tar.gz ”。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。 “恢复点列表”：单击“刷新”，然后选择一个备集群上已备份的HDFS目录。 “最大map数”：填写执行MapReduce任务的最大map数，默认值为“20”。 “单个map的最大带宽(MB/s)”：填写单个map最大带宽，默认值为“100”。 9.在“数据配置”中的“备份数据”列根据业务需要勾选一个或多个需要恢复的已备份数据，并在“目标名称空间”列，指定备份数据恢复的命名空间。 “目标名称空间”建议选择一个备份命名空间不同的位置。 10.在“强制覆盖”选择“true”，表示存在同名数据表时强制恢复备份的所有数据，如果数据表中存在备份后新增加的数据，那恢复后将丢失这些数据。选择“false”表示存在同名表时不执行恢复任务。 11.单击“校验”查看恢复任务的配置是否正确。 如果队列名称不正确，校验失败。 如果不存在指定的命名空间，校验失败。 如果不满足强制覆盖的条件，校验失败。 12.单击“确定”保存。 13.在恢复任务列表已创建任务的“操作”列，单击“执行”，开始执行恢复任务。 恢复成功后进度显示为绿色。 恢复成功后此恢复任务不支持再次执行。 如果恢复任务在第一次执行时由于某些原因未执行成功，在排除错误原因后单击“重试”，重试恢复任务。 14.检查是否是在全新安装，或者重新安装HBase的环境中恢复了HBase数据。 是，需要管理员在FusionInsight Manager上根据原有的业务规划重新设置角色的权限。 否，任务结束。

数据备份 每天自动备份数据，上传到对象存储服务（Object Storage Service，简称OBS）。备份文件保留732天，支持一键式恢复。用户可以设置自动备份的周期，还可以根据自身业务特点随时发起备份，选择备份周期、修改备份策略。 数据恢复 支持按备份集和指定时间点的恢复。在大多数场景下，用户可以将732天内任意一个时间点的数据恢复到关系型数据库新实例或已有实例上，数据验证无误后即可将数据迁回关系型数据库主实例，完成数据回溯。 数据可靠 数据持久性高达99.9999999%，保证数据安全可靠，保护您的业务免受故障影响。 RDS与自建数据库优势对比 性能对比 性能项目 云数据库RDS 自购服务器搭建数据库服务 服务可用性 请参见《弹性云主机用户指南》。 需要购买额外设备，自建主从，自建RAID。 数据可靠性 请参见《云硬盘用户指南》。 需要购买额外设备，自建主从，自建RAID。 系统安全性 防DDoS攻击，流量清洗；及时修复各种数据库安全漏洞。 需要购买昂贵的硬件设备和软件服务，需要自行检测和修复安全漏洞等。 数据库备份 支持自动备份，手动备份，自定义备份存储周期。 需要购买设备，并自行搭建设置和后期维护。 软硬件投入 无需投入软硬件成本，按需购买，弹性伸缩。 数据库服务器成本相对较高，对于Microsoft SQL Server需支付许可证费用。 系统托管 无需托管。 需要自购2U服务器设备，如需实现主从，购买两台服务器，并进行自建。 维护成本 无需运维。 需要投入大量人力成本，招聘专业的DBA进行维护。 部署扩容 弹性扩容，快速升级，按需开通。 需采购和原设备匹配的硬件，需托管机房的配合，需部署设备，整体周期较长。 资源利用率 按实际结算，100%利用率。 考虑峰值，资源利用率低。

参数名 说明 connecttimeout 该参数控制与服务器建立连接的时候等待三次握手成功的超时时间，该参数主要是对于网络质量较差导致连接超时，建议外网访问波动较大可以提高该参数。 delayedinserttimeout 指INSERT语句执行的超时时间。 innodblockwaittimeout 指锁等待的超时时间，该锁不同于死锁是指正常一个事务等待另外一个事务的S锁或者X锁的超时时间。 innodbrollbackontimeout 开启该参数，在出现锁等待、超时等情况下即会回滚当前Session的整个事务，如果设置为OFF则只回滚事务的最后一个请求。 interactivetimeout/waittimeout mysql在关闭一个交互式/非交互式的连接之前所要等待的时间。建议不需要设置太长的时候，否则会占用实例的连接数资源。 lockwaittimeout 指定尝试获取元数据锁的超时时间。 netreadtimeout/netreadtimeout 指服务器端等待客户端发送的网络包和发送给客户端网络包的超时时间，这两个参数是对TCP/IP链接并且是Activity状态下的线程才有效的参数。 slavenettimeout 备实例等待主服务器同步的超时时间，超时后中止同步并尝试重新连接。

项目 描述 时间范围 可以选择相对时间： 近2小时 近6小时 近1天 近7天 近1年 自定义时间段，选择开始日期和结束日期，精确到天。 注意 起始时间必须早于结束时间，且起始时间不能早于服务器当前时间一年。 数据目录使用率 所有数据目录所在磁盘使用率的平均值。 容量配额收益率 HBlock所有数据目录容量配额使用率的平均值。 HBlock HBlock服务端。 数据目录使用量 所有数据目录所在磁盘使用量的总和。 数据目录总容量 所有数据目录所在磁盘的容量总和。 配额使用量 HBlock配额使用量。 配额 集群中各个数据目录的HBlock配额总量。 客户端<>HBlock 客户端与HBlock之间的数据传输情况。 读带宽 客户端从HBlock读取数据的带宽。 写带宽 客户端向HBlock写入数据的带宽。 总带宽 客户端与HBlock之间的总带宽。 读IOPS 客户端从HBlock读取数据的IOPS。 写IOPS 客户端向HBlock写入数据的IOPS。 总IOPS 客户端与HBlock之间的总IOPS。 读时延 客户端从HBlock读取数据的时延。采集周期内，系统中所有卷读时延的平均值。 写时延 客户端向HBlock写入数据的时延。采集周期内，系统中所有卷写时延的平均值。 总时延 客户端与HBlock之间的总时延。采集周期内，系统中所有卷读写时延的平均值。 HBlock<>Cloud HBlock与云之间的数据传输情况。 上云上传带宽 HBlock向云上传数据的带宽。 上云下载带宽 HBlock向云下载数据的带宽。 上云总带宽 HBlock与云之间的总带宽。

弹性负载均衡支持服务器证书创建,本文带您快速熟悉服务器证书创建的操作。 操作场景 当前支持服务器证书，用于SSL握手协商，需提供证书内容和私钥。 在证书管理页面可创建和管理证书。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方单击图标，选择区域，本文操作均选择华东华东1。 3. 在系统首页，选择“网络>弹性负载均衡>证书管理”。 4. 在负载均衡页面，单击“创建负载均衡”，进入负载均衡创建页面。 5. 参考服务器证书管理配置说明，点击“确定”，完成证书创建。 服务器证书管理配置说明 参数 说明 名称 证书名称，只能由数字、字母、组成,不能以数字和开头、以结尾,且长度为263字符。 证书类型 可选服务器或者CA证书，本操作选择服务器证书。服务器证书：在使用HTTPS协议时，服务器证书用于SSL握手协商，需提供证书内容和私钥。CA证书：又称客户端CA公钥证书，用于验证客户端证书的签发者；在HTTPS双向认证功能时，只有当客户端能够出具指定CA签发的证书时，HTTPS连接才能成功。 证书标准 支持国际标准和国密（SM2）标准。 证书内容 支持粘贴证书到内容框，或点击上传证书内容。证书包含证书的公钥和签名等信息，证书扩展名为".pem"或".crt"，您可直接输入证书内容或上传证书文件。 （1）通过Root CA机构颁发的证书，证书是唯一的一份，不需要额外的证书，配置的站点即可被浏览器等访问设备认为可信。Root CA证书格式必须符合如下要求：以BEGIN CERTIFICATE, END CERTIFICATE开头和结尾。每行64个字符，最后一行长度可以不足64个字符。证书内容不能包含空格。 （2）通过中级CA机构颁发的证书，证书文件包含多份证书，需要将服务器证书与中级证书合并在一起上传。证书链格式必须符合如下要求：BEGIN CERTIFICATEEND CERTIFICATEBEGIN CERTIFICATEEND CERTIFICATEBEGIN CERTIFICATEEND CERTIFICATE服务器证书放第一位，中级证书放第二位，中间不能有空行。证书内容不能包含空格。证书之间不能有空行，并且每行64字节。符合证书的格式要求。一般情况下，证书机构在颁发证书时会有对应说明，证书要符合证书机构的格式要求。 私钥 证书的私钥，私钥扩展名为"key",您可直接输入私钥文件内容或上传符合格式的私钥文件。私钥内容格式为:以“ BEGIN RSA PRIVATE KEY ”作为开头，“ END RSA PRIVATE KEY ”作为结尾。 描述 填写证书相关描述，可选。 企业项目 选择所述的企业项目名称, 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。

迁移源端云主机下载、安装并启动迁移agent 1. 打开“CMSSMS”控制台，点击“迁移agent”，浏览迁移前检查项，并认真核对。 2. 下载迁移agent程序。 服务器迁移服务支持Linux和Windows两种操作系统的同构迁移。根据云主机的操作系统和处理器架构选择对应的迁移agent安装程序，复制对应的下载指令并在源机上运行。 本次实践选择Linux操作系统X86版本的迁移agent安装程序。 执行指令，下载agent安装程序： sudo wget 3. 安装迁移agent。 回到天翼云“迁移agent”界面，复制安装指令： 在迁移源机上执行安装指令： agent：sudo chmod +x moveCloudx.x.xx8664linux.run && sudo ./moveCloudx.x.xx8664linux.run 4. 安装过程输入AK和SK。 回到天翼云“迁移agent”界面，可复制AK和SK： 在迁移源机上输入对应的AK和SK： 5. 启动迁移agent程序。 在迁移源机启动迁移agent程序： movecloud start

迁移源端云主机下载、安装并启动迁移agent 1. 打开“CMSSMS”控制台，点击“迁移agent”，浏览迁移前检查项，并认真核对。 2. 下载迁移agent程序。 服务器迁移服务支持Linux和Windows两种操作系统的同构迁移。根据云主机的操作系统和处理器架构选择对应的迁移agent安装程序，复制对应的下载指令并在源机上运行。 本次实践选择Linux操作系统X86版本的迁移agent安装程序。 执行指令，下载agent安装程序： sudo wget 3. 安装迁移agent。 回到天翼云“迁移agent”界面，复制安装指令： 在迁移源机上执行安装指令： agent：sudo chmod +x moveCloudx.x.xx8664linux.run && sudo ./moveCloudx.x.xx8664linux.run 4. 安装过程输入AK和SK。 回到天翼云“迁移agent”界面，可复制AK和SK： 在迁移源机上输入对应的AK和SK： 5. 启动迁移agent程序。 在迁移源机启动迁移agent程序： movecloud start

接口功能介绍 基线模板列表查询 接口约束 此功能为收费功能。确认已经购买系统配额，并且开启基线扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI GET /v1/sca/rule/query/scaList 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 type 否 String 基线模板类型 CTYUNSTANDARD天翼云标准 CIS国际标准 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Array of Objects 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 id Integer 基线模板id 1 name String 基线模板名称 testscaname enname String 基线模板英文名称 testscaenname scafile String 基线模板文件 testscafile ostype Integer 基线模板操作系统类型 1Linux 2Windows 1 type String 基线模板类型 CTYUNSTANDARD天翼云标准 CIS国际标准 CTYUNSTANDARD createtime String 创建时间 20200101 00:00:00 status Integer 状态 1启用 2禁用 1 needAppProof Boolean 是否需要凭证 true需要凭证 false不需要凭证 true/false true appType String 应用凭证类型 MYSQL MYSQL

配置文件完整性保护 说明 仅服务器安全卫士旗舰版支持配置文件完整性保护规则。 1. 单击“配置规则”，开始配置文件完整性保护。 2. 配置相关参数。 参数 说明 启用文件变更检测 开启或关闭文件变更检测功能。 关键文件监控 系统内置：对系统关键文件、文件路径、文件目录进行实时监控，发现文件变更篡改行为进行告警。 自定义：根据用户特定的防护场景，自定义添加监控路径，发现文件变更篡改行为进行告警。 监控排除设置 对用户添加的信任文件路径不再进行监控，方便用户更加灵活创建检测策略。 设置生效范围 自定义选择需要执行文件变更篡改行为监控的服务器。 3. 配置完成后，单击“确认提交”。 配置主动防御 说明 仅服务器安全卫士旗舰版支持配置主动防御规则。 1. 单击“配置规则”，开始配置主动防御规则。 2. 选择相关参数。 参数 说明 启用自动响应 开启或关闭主动防御功能。 防御模式 精准防御：通过智能分析，精准识别挖矿、勒索病毒及恶意登录等高风险威胁，自动隔离病毒文件、封禁恶意 IP，误报风险较低。 自定义：通过深度检测，对识别到的全量后门、木马、蠕虫等可疑恶意文件，提供无差别自动隔离能力，误报的风险较高。 设置生效范围 自定义选择需要开启主动防御的服务器。 3. 配置完成后，单击“确认提交”。 4. 配置完成后可在“告警中心 > 威胁处置”模块查看拦截的IP或隔离的文件，可单击“操作”列的“手动解封”或“恢复”为误报IP和文件解封。 说明 被拦截的IP和文件最多保留 180 天，超过180天后系统将自动清除，无法进行恢复对应的IP和文件。

本小节介绍服务器安全卫士的入侵总览。 功能介绍 展示入侵检测功能总体的数据概览信息，支持各项操作来展示不同的统计视图信息。 具体操作 1.筛选：右上角提供两个维度的数据筛选，业务组和时间区间； 业务组：可勾选Linux下的业务组，根据选择的业务组信息筛选统计信息重新生成各视图； 时间区间：提供三个时间区间进行选择：24小时、7天和30天，选择后根据选择的时间区间筛选统计信息重新生成各视图； 2.入侵事件分布模块：可点选图例开启/关闭功能在环形图中是否显示； 3.实时监控模块：点击“查看更多”按钮，跳转至消息中心，默认选择入侵检测tab，可查看所有入侵的通知消息事件； 4.查找主机：点击右上角“查找主机”按钮，弹出窗口展示当前全部主机的信息，点击各主机的“查看”按钮将新开Web选项卡并进入该主机的单台主机详情页中。

弱口令 弱口令指密码强度低，或广泛被使用，容易被攻击者破解的口令，通常包括：长度小于8位或者字符类型少于3类的简单口令，以及网上公开的或者恶意软件中的黑客字典。弱口令容易被破解，一旦被攻击者获取，可用来直接登录系统，读取甚至修改网站代码，使用弱口令将使得系统及服务面临非常大的风险。 拒绝服务 是指通过向服务器发送大量垃圾信息或干扰信息的方式，导致服务器无法向正常用户提供服务的现象。 软件勒索 一种流行的木马，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。 渗透入侵 黑客通过非法途径（利用木马、病毒或蠕虫等恶意程序）利用漏洞展开攻击并控制系统，进行非法操作（窃取、篡改数据或破坏系统）的过程。 暴力破解 暴力破解是一种常见的网络安全攻击方法，它利用计算机程序自动尝试大量的密码组合来破解密码。这种攻击方法通常用于获取未经授权的访问权限，如入侵网络系统或个人账户。 SQL注入 SQL注入攻击是一种常见的Web攻击方法，攻击者通过把SQL命令注入到Web后台数据库的查询字符串中，最终达到欺骗服务器执行恶意SQL命令的目的。例如可以从数据库获取敏感信息，或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。

本节介绍企业主机安全应用进程控制功能。 应用进程控制概述 应用进程控制功能支持管控应用进程运行，通过学习服务器中运行的应用进程特征，将应用进程划分为可信进程、恶意进程和可疑进程，允许可疑、可信进程正常运行，对恶意进程运行进行告警，帮助用户构建安全的应用进程运行环境，避免服务器遭受不受信或恶意应用进程的破坏。 使用约束 使用应用进程控制功能须满足以下条件： 服务器已开启HSS旗舰版、网页防篡改版或容器版防护。 服务器已安装Agent的版本为以下版本，升级Agent的操作，请参见升级Agent章节。 − Linux：3.2.7及以上版本。 − Windows：4.0.19及以上版本。 应用进程控制使用流程 创建白名单策略 在开启应用进程控制防护前，您需要为服务器创建白名单策略，设置HSS学习服务器应用进程特征的学习天数、学习结果确认方式和对可疑或恶意进程的防护动作等；HSS后续将根据策略设置为服务器提供相应的应用进程控制防护能力。 操作步骤 1、登录管理控制台。 2、在左侧导航栏，选择“主动防御 > 应用进程控制”，进入“应用进程控制”界面。 3、选择“白名单策略”页签，单击“创建策略”。 4、在“创建策略”弹窗中，设置策略参数，相关参数说明请参见下表。 参数名称 参数说明 策略模式 应用进程控制防护策略模式。 默认配置下日常运营模式允许可信、可疑进程运行，仅对恶意进程进行告警。 白名单策略名称 系统默认会生成白名单策略名称，建议您自定义修改，后续方便区分和管理。 智能学习天数 企业主机安全学习服务器应用进程的天数。学习天数越多，学习结果越准确。 学习结果确认方式 当企业主机安全学习完策略关联的服务器后，对于特征不明显可疑进程的确认方式。 自动确认可疑进程：HSS根据应用进程特征库，自动确认并标记特征不明显的可疑应用进程。 手动确认可疑进程：您在“应用进程控制 > 白名单策略”页面，单击策略名称，进入策略详情页，选择“进程文件”页签，筛选“待确认状态”的进程，根据实际业务情况确认并手动标记特征不明显的可疑进程。 策略生效方式 当企业主机安全学习完策略关联的服务器后，开启应用进程控制的方式。 学习完成后自动开启：系统自动开启策略关联的服务器的应用进程控制。 学习完成后手动开启：您根据业务情况手动开启应用进程控制。 防护动作 当发现恶意进程后的防护动作。对恶意进程进行告警。 选择服务器 选择需要防护的服务器。当服务器的防护状态为“防护中”时，才会在列表中呈现。 5、单击“确认”，完成创建。 您策略列表中可以查看已创建的策略及策略当前状态。 说明 创建白名单策略完成后，HSS会自动开始对策略关联的服务器进行学习，学习服务器中的应用进程特征。待策略状态变更为“学习完成，未生效”表示学习完成。

本小节介绍云堡垒机使用限制。 网络访问限制 系统资源所属安全组必须允许实例私有IP访问，需要在实例的安全组添加“入方向”的访问规则。 注意 云堡垒机Docker0的网卡地址为：172.17.0.1，请勿占用此网桥网卡地址，否则会导致云堡垒机无法正常使用。 支持纳管的服务器限制 支持SSH、TELNET、RDP、VNC、FTP、SFTP协议类型的Windows或Linux主机。 Windows服务器版本：Windows Server 2012、2016。 支持的数据库类型及版本限制 数据库引擎 引擎版本 MySQL 5.5、5.6、5.7、8.0 说明 当前MySQL数据库审计功能基于堡垒机现有引擎架构实现，在少数复杂场景下可能存在命令日志记录不完全的情况，如需完整审计能力，请联系技术支持或关注产品动态了解新引擎上线进展。 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 金仓(Kingbase) V8、V9 万里(GreatSQL) 8.4.44 SQL Server 2016企业版 天翼云分布式关系型数据库（DRDS） 1.0 说明 建议关联MySQL5.7和8.0版本。 支持的运维终端操作系统限制 终端类型 系统版本 芯片 Windows Windows7及以上版本 Intel芯片 Mac MacOS 10.15及以上版本 Apple silicon或Intel芯片

配置步骤 步骤一：创建虚拟私有云和子网 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 在控制中心选择【虚拟私有云】，点击进入虚拟私有云控制台列表页。 4. 点击【创建虚拟私有云】，进入虚拟私有云创建页。 5. 根据页面提示填写配置参数，配置完成后点击【下一步】： 参数名称 参数值 VPC基本信息 地域 华东 华东1 名称 VPC1 VPC网段（IPv4） 10.0.0.0/8 VPC网段（IPv6） 天翼云：中国电信单线（自动分配） 企业项目 default VPC描述 子网配置 子网类型 普通子网 子网名称 NAT网关子网 子网网段(IPv4) 10.0.0.0/24 网关(IPv4) 10.0.0.1 DHCP(IPv4) 10.0.0.2 子网IPv6网段 开启 DNS服务器地址 100.95.0.1 企业项目 default 子网描述 子网配置 子网类型 普通子网 子网名称 子网1 子网网段(IPv4) 10.0.1.0/24 网关(IPv4) 10.0.1.1 DHCP(IPv4) 10.0.1.2 子网IPv6网段 开启 DNS服务器地址 100.95.0.1 企业项目 default 子网描述 6. 页面将显示上一步设置的配置详情，勾选页面下方“我已阅读并同意相关协议”，点击【立即创建】，创建成功，点击【返回】回到虚拟私有云列表页，完成创建

本文主要针对连接器安装支持的系统架构、连接器安装的服务器选型进行介绍。 连接器安装环境 针对CPU架构、操作系统进行区分安装环境的要求，目前推荐的CPU厂家、操作系统为内部适配验证后提供，若不在推荐范围内，可联系我们进行确认。 支持的CPU架构 目前仅支持ARM、X86的CPU架构，对应支持CPU架构集如下： CPU架构 推荐CPU厂家 x8664 Intel x86（英特尔） C864G（海光） AMD ARM 鲲鹏920（鲲鹏） 支持的安装环境 同时连接器支持多种系统安装方式，可针对企业自身场景进行选择不同操作系统的安装命令进行部署。 安装环境 CPU架构 推荐操作系统 适用场景 注意事项 Docker x8664、ARM 支持安装部署Docker的操作系统。 （办公组网和全球加速场景 ，不支持在Ubuntu宿主机操作系统下安装Docker类型连接器使用，请使用其他类型安装） 安装前请先确认Docker已经安装并启动，详见Docker环境安装指导。 远程办公、办公组网、全球加速 在办公组网、全球加速场景使用时：默认安装为主机模式。 Red Hat x8664、ARM Red Hat类型，请在Centos 7.9以下版本安装。Red Hat类型目前在部分Centos 8.x，Centos 9.x的系统存在不兼容情况。 远程办公、办公组网、全球加速 在办公组网、全球加速场景使用时：默认安装为主机模式。 Windows x8664、ARM 64位的Windows 10及以上 64位的Windows Server2016及以上 远程办公 Window连接器仅支持远程办公。 Debian x8664、ARM Ubuntu 20 远程办公、办公组网、全球加速 在办公组网、全球加速场景使用时：默认安装为主机模式。 麒麟Kylin x8664、ARM 银河麒麟 V10（服务器） 远程办公、办公组网、全球加速 在办公组网、全球加速场景使用时：默认安装为主机模式。 统信UOS x8664、ARM 统信UOS V20（服务器） 远程办公、办公组网、全球加速 在办公组网、全球加速场景使用时：默认安装为主机模式。 欧拉Euler x8664、ARM 欧拉系统openEuler 22 远程办公、办公组网、全球加速 在办公组网、全球加速场景使用时：默认安装为主机模式。 天翼云CTyunOS x8664、ARM 天翼云CTyunOS23.01操作系统 远程办公、办公组网、全球加速 在办公组网、全球加速场景使用时：默认安装为主机模式。 说明 由于零信任服务套餐版本差异，部分套餐版本不支持安装国产化信创操作系统的连接器，具体查看

本章节主要介绍翼MapReduce的导入证书操作。 操作场景 CA证书用于FusionInsight Manager各个模块、集群的组件客户端与服务端在通信过程中加密数据，实现安全通信。FusionInsight Manager支持快速导入CA证书，以确保产品安全使用。适用于以下场景： 首次安装好集群以后，需要更换企业证书。 企业证书有效时间已过期或安全性加强，需要更换为新的证书。 对系统的影响 更换证书过程中集群需要重启，此时系统无法访问且无法提供服务。 更换证书以后，所有组件和Manager的模块使用的证书将自动更新。 更换证书以后，还未信任该证书的本地环境，需要重新安装证书。 前提条件 证书文件和密钥文件可向企业证书管理员申请或由管理员生成。 获取需要导入到集群的CA证书文件（ .crt）、密钥文件（ .key）以及保存访问密钥文件密码的文件（password.property）。证书名称和密钥名称支持大小写字母和数字。以上文件在生成以后需要打包成tar格式压缩包。 准备一个访问密钥文件的密码用于访问密钥文件。 密码复杂度要求如下，如果密码复杂度不满足如下要求，可能存在安全风险： − 密码字符长度最小为8位。 − 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@ $%^&+中的4种类型字符。 向证书管理员申请证书时，请提供访问密钥文件的密码并申请crt、cer、cert和pem格式证书文件，以及key和pem格式密钥文件。申请的证书需要有签发功能。

本章节主要介绍翼MapReduce的用户组管理操作。 操作场景 FusionInsight Manager最大支持5000个用户组（包括系统内置用户组）。根据不同业务场景需要，管理员使用FusionInsight Manager创建并管理不同用户组。用户组通过绑定角色获取操作权限，用户加入用户组后，可获得用户组具有的操作权限。用户组同时可以达到对用户进行分类并统一管理多个用户。 前提条件 管理员已明确业务需求，并已创建业务场景需要的角色。 已登录FusionInsight Manager。 添加用户组 1. 选择“系统 > 权限 > 用户组”。 2. 在组列表上方，单击“添加用户组”。 3. 填写“组名”和“描述”。 “组名”由数字、字母、或下划线、中划线（）或空格组成，不区分大小写，长度为1～64位，不能与系统中已有的用户组名相同。 4. 在“角色”，单击“添加”选择指定的角色并添加。 说明 对于已启用Ranger授权的组件（HDFS与Yarn除外），Manager上非系统默认角色的权限将无法生效，需要通过配置Ranger策略为用户组赋权。 HDFS与Yarn的资源请求在Ranger中的策略条件未能覆盖的情况下，组件ACL规则仍将生效。 5. 在“用户”，单击“添加”选择指定的用户并添加。 6. 单击“确定”完成用户组创建。 查看用户组信息 用户组列表默认显示所有用户组。单击指定用户组名称左侧的箭头展开详细信息，可以查看此用户组中的用户数、用户以及绑定的角色。 修改用户组信息 在要修改信息用户组所在的行，单击“修改”，修改用户组信息。