本文介绍了RDSPostgreSQL支持的实例连接方式。 RDSPostgreSQL服务提供使用内网、公网、天翼云DMS的连接方式。 RDSPostgreSQL连接方式： 连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云服务器上，且该弹性云服务器与RDSPostgreSQL实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云服务器与关系型数据库实例。 安全性高，可实现RDSPostgreSQL的较好性能。 推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问RDSPostgreSQL实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云服务器（或公网主机）与RDSPostgreSQL实例。 直接使用公网访问，灵活性好。但安全性不如内网连接。 推荐使用内网连接。 DMS连接 开箱即用，无需安装本地客户端，通过浏览器即可操作数据库，数据管理服务DMS提供的可视化管理功能，使得数据库管理变得更加简单和高效，降低用户的学习成本和操作难度。 操作便捷，无需其他服务器或软件即可随时随地连接实例。 说明： VPC：虚拟私有云（Virtual Private Cloud，简称VPC）。 ECS：弹性云服务器（Elastic Cloud Server，简称ECS）。 若弹性云服务器和RDSPostgreSQL实例处于同一个虚拟私有云的子网内，则无需申请外网地址。

本文为您介绍添加受保护服务器的操作流程。 操作场景 保护组创建完成后，将需要容灾的服务器添加到指定的保护组中。 约束与限制 单次添加时，至少选择1个服务器进行保护，最多可以选择10个服务器。 目前仅支持64位操作系统，且服务器的规格不能小于2CPU+4GB内存。详情请参见支持的操作系统版本。 暂不支持将挂载了X系列云硬盘（如XSSD1等）的云主机添加为受保护的服务器。 注意事项 由于云容灾服务需要连通服务端VPC，如果受保护的服务器使用非默认安全组，请确认所使用的安全组配置了出方向规则，示例如下： 具体请参见安全组规则。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入云上容灾。 板块展示：默认进入板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 列表展示：默认是板块展示，可单击右上角图标切换为列表展示。找到目标保护组，单击目标保护组名称，进入保护组页面。 5. 在保护组页面，在“受保护的服务器”页签，单击“添加受保护服务器”，进入云主机列表页面。 6. 在云主机列表页面，选择需要受保护的服务器，单击“确认”。 7. 待云主机状态变为“已初始化”，说明添加完成。

本页介绍天翼云TeleDB数据库元数据pgdblink的内容。 存储访问外部数据库的连接配置。 名称 类型 定义 dblinkname NameData 数据库链接的名称 dblinkowner NameData 数据库链接的所有者名称 username NameData 登录时使用的用户名 created timestamptz 数据库链接的创建时间 host text Oracle 风格的网络连接字符串 port int32 端口号 dblinkkind int32 数据库链接类型（公共或共享） dblinkforeignserver text 外部服务器名称

本章主要介绍翼MapReduce的修改组件运行用户密码功能。 操作场景 建议管理员定期修改集群内组件运行用户的密码，以提升系统运维安全性。 组件运行用户，根据初始密码是否是系统随机生成，可分为两类： 密码随机生成的，用户类型为“机机”用户。 密码不是随机生成的，用户类型为“人机”用户。 对系统的影响 初始密码为系统随机生成的组件运行用户，在修改密码后需要重启集群，重启期间会造成业务暂时中断。 前提条件 已在集群内的任一节点安装了客户端，并获取此节点IP地址。 操作步骤 1.以客户端安装用户，登录安装了客户端的节点。 2.执行以下命令，切换到客户端目录，例如“/opt/Bigdata/client”。 cd /opt/Bigdata/client 3.执行以下命令，配置环境变量。 source bigdataenv 4.执行以下命令，输入kadmin/admin用户密码后进入kadmin控制台。 kadmin p kadmin/admin 说明 kadmin/admin的默认密码为“Admin@123”，首次登录后会提示该密码过期，请按照提示修改密码并妥善保存。 5.执行以下命令，修改系统内部组件运行用户密码。此操作对所有服务器生效。 cpw 系统内部用户名 例如：cpw oms/manager 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符5种类型字符中的4种。支持的特殊字符为~!?,.;'(){}[]/<>@ $%^&+。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码，例如Admin@12345。 不可与最近N次使用过的密码相同，N为配置密码策略中“重复使用规则”的值。此策略只影响“人机”用户。 说明 执行如下命令，可以查看用户的信息。 getprinc 系统内部用户名 例如：getprinc oms/manager 6.确认修改密码的用户，用户类型是哪种？ 用户类型为“机机”用户，执行7。 用户类型为“人机”用户，密码修改完成，任务结束。 7.登录FusionInsight Manager。 8.选择“集群 > 待操作的集群名称 > 更多 > 重启”。 9.在弹出窗口中，输入当前登录的用户密码确认身份，单击“确定”。 10.在确认重启的对话框中，单击“确定”。 11.等待界面提示重启成功。

参数 是否必填 参数类型 说明 示例 下级对象 alertType 是 Integer 告警类型 1网页放篡改 2异常登录 3暴力破解 4Linux漏洞 5基线检测 6弱口令检测 7病毒查杀 8可疑操作 9后门检测 10win漏洞 11反弹shell 1 status 是 Integer 告警开关 0关闭 1打开 0 totalStatus 是 Integer 告警总开关 0关闭 1打开 0 noticeType 是 Array of Integers 告警通知方式 0短信 1邮件 2站内信 3mdr [1] alertEvent 是 Array of Integers 告警事件等级 0超高危 1高危 2中危 3低危 4服务器发送异常登录或爆破登录 5服务器账户发生破解 6存在不通过的基线检测项 7存在弱口令 8超危 [1,2,3]

本文档指导您如何在Nginx服务器上安装SSL证书。 前提条件 已在当前服务器中安装配置 Nginx 服务。 已购买证书并且已获取到证书相关文件。 安装前准备文件 在证书管理服务控制台的证书管理页选择您需要安装的证书，选择“证书下载”。 在弹出的 “证书下载” 窗口中，服务器类型选择 Nginx，单击“下载”并解压缩包至本地，文件内包含下述2个文件： Cert证书公钥：XXXX.cncertchain.pem 私钥文件：XXXX.cnkey.key 操作步骤 1. 将已获取到的“XXXX.cncertchain.pem”证书文件和“XXXX.cnkey.key”私钥文件从本地目录复制到服务器的Nginx目录下。 2. 编辑 nginx.exe 所在目录下的 confnginx.conf 文件。修改内容如下： server { listen 443 ssl; servername qytest.zjrcbank.com; 这里是相当与是域名 sslcertificate /usr/nginxssl/server.crt; 证书文件 sslcertificatekey /usr/nginxssl/key.txt; 私钥文件 sslsessiontimeout 5m; sslprotocols TLSv1 TLSv1.1 TLSv1.2; sslciphers ECDHERSAAES128GCMSHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; sslpreferserverciphers on; location / { // 根据实际配置，和证书启用无关 } } 3. 配置修改完成后，输入如下命令启用Nginx： start .nginx.exe

本章节主要介绍翼MapReduce服务查看并导出检查报告。 操作场景 为了满足对健康检查结果的进一步具体分析，您可以在MRS Manager中查看以及导出健康检查的结果。 说明 系统健康检查的范围包含Manager、服务级别和主机级别的健康检查： Manager关注集群统一管理平台是否提供管理功能。 服务级别关注组件是否能够提供正常的服务。 主机级别关注主机的一系列指标是否正常。 系统健康检查可以包含三方面检查项：各检查对象的“健康状态”、相关的告警和自定义的监控指标，检查结果并不能等同于界面上显示的“健康状态”。 前提条件 已执行健康检查。 操作步骤 单击“服务管理”。 1.选择“更多 > 查看集群健康检查报告”，查看集群健康检查的报告。 2.在健康检查的报告面板上单击“导出报告”导出健康检查报告，可查看检查项的完整信息。 说明 对于存在问题的检查项，请参见

操作步骤 说明 步骤1：创建TaurusDB实例 选择TaurusDB的基础配置、高级配置信息，购买数据库实例。 步骤2：创建ECS 通过MySQL客户端连接数据库实例时，必须先准备一台服务器，在服务器上安装MySQL客户端并执行连接命令。 购买Linux ECS，并确认ECS实例与TaurusDB实例在同一区域、同一VPC内。 步骤3：测试连通性并安装MySQL客户端 测试ECS到TaurusDB实例内网IP和端口的网络连通性，并在ECS上安装MySQL客户端。 步骤4：使用MySQL客户端连接TaurusDB实例 使用命令行通过内网IP和端口连接TaurusDB实例。

本页介绍天翼云TeleDB数据库配置文件管理。 TeleDB提供了一些特性用于把复杂的 postgresql.conf文件分解成子文件。在管理多个具有相关但不完全相同配置的服务器时，这些特性特别有用。 除了单个参数设置，postgresql.conf文件可以包含包括指令，它指定要读入和处理的另一个文件，就好像该文件被插入到配置文件的这个点。这个特性允许一个配置文件被划分成物理上独立的部分。包括指令看起来像： include 'filename' 如果文件名不是一个绝对路径，它将作为包含引用配置文件的目录的相对位置。包括可以被嵌套。 也有一个includeifexists指令，它的作用和include指令一样，不过当被引用的文件不存在或者无法被读取时其行为不同。一个通常的include将认为这是一个错误情况， 而includeifexists仅仅记录一个消息并且继续处理引用配置文件。 postgresql.conf文件也可以包含includedir指令，它指定要被包含的配置文件的一整个目录。它的用法类似： includedir 'directory' 非绝对目录名被当做包含引用配置文件的目录的相对路径。在该指定目录中，只有以后缀名.conf结尾的非目录文件才会被包括。以. 字符开头的文件名也会被忽略，因为在某些平台上它们是隐藏文件。一个包括目录中的多个文件被以文件名顺序处理（根据 C 区域规则排序，即数字在字母之前并且大写字母在小写字母之前）。 包括文件或目录可以被用来在逻辑上分隔数据库配置的各个部分，而不是用一个很大的postgresql.conf文件。考虑一个有两台数据库服务器的公司，每一个都有不同的内存量。很可能配置的元素都会被共享，例如用于日志的参数。但是两者关于内存的参数将会不同。并且还可能会有服务器相关的自定义。一种管理这类情况的方法是将你的站点的自定义配置修改分成三个文件。你可以把下面的内容加入到你的postgresql.conf文件末尾来包括它们： include 'shared.conf' include 'memory.conf' include 'server.conf' 所有的系统将会有相同的shared.conf。每个有特定内存量的服务器可以共享相同的memory.conf。你可能对所有 8GB 内存的服务器有一个，而对那些 16GB 内存的服务器有另一个。并且最后server.conf可以装有真正服务器相关的配置信息。 另一中可能性是创建一个配置文件目录并把这个信息放到其中的文件里。例如，一个conf.d目录可以在postgresql.conf的末尾被引用： includedir 'conf.d' 然后你可以这样命名conf.d目录中的文件： 00shared.conf 01memory.conf 02server.conf 这种命名习惯建立了这些文件将被载入的清晰顺序。这是很重要的，因为在服务器读取配置文件时，对于一个特定的参数只有最后碰到的一个设置才会被使用。在这个例子中，conf.d/02server.conf设置的东西将会覆盖在 conf.d/01memory.conf中相同参数的值。 你还可以使用这种配置目录方法，在命名文件时更有描述性： 00shared.conf 01memory8GB.conf 02serverfoo.conf 这种形式的安排为每个配置文件变体给定了一个唯一的名称。当多个服务器把它们的配置全部存储在一个位置（例如在一个版本控制仓库中）时，这可以帮助消除歧义（在版本控制下存储数据库配置文件是另一个值得考虑的好方法）。 TeleDB通常将配置文件拆分为 postgresql.conf和postgresql.conf.user文件，postgresql.conf文件中配置通用的，实例初始化运行必要的参数；postgresql.conf.user中配置由实例初始化化时模版提供的通用配置参数，postgresql.conf.user文件中参数设置优先级更高，当两个配置文件中有相同参数设置时，postgresql.conf中的设置将被postgresql.conf.user覆盖；在控制台页面修改的参数，将记录在postgresql.conf.user中。 不建议使用ALTER SYSTEM来修改参数，该方式修改的参数值会被记录在postgresql.auto.conf中，该配置文件参数加载优先级高于postgresql.conf.user和postgresql.conf，将覆盖这两个配置文件中的参数，会导致通过控制台页面修改参数无法生效的问题。

主要介绍翼MapReduce服务的产品规格。 通用计算型 规格名称 核数 内存 ::: s3.4xlarge.4 16核 64GB 通用计算增强型 规格名称 核数 内存 ::: c6.2xlarge.4 8核 32GB c6.4xlarge.4 16核 64GB c6.8xlarge.4 32核 128GB c6.16xlarge.4 64核 256GB c6s.4xlarge.2 16核 32GB c6s.4xlarge.4 16核 64GB c6s.8xlarge.4 32核 128GB c6s.16xlarge.4 64核 256GB c7n.4xlarge.4 16核 64GB c7n.6xlarge.4 24核 96GB c7n.8xlarge.4 32核 128GB c7n.12xlarge.4 48核 192GB c7n.16xlarge.4 64核 256GB c7n.24xlarge.4 96核 384GB 内存优化型 规格名称 核数 内存 ::: m6.2xlarge.8 8核 64GB m6.3xlarge.8 12核 96GB m6.4xlarge.8 16核 128GB m6.6xlarge.8 24核 192GB m6.8xlarge.8 32核 256GB m6.16xlarge.8 64核 512GB

本章节主要介绍翼MapReduce的约束与限制。 使用MRS前，您需要认真阅读并了解以下使用限制。 MRS集群必须创建在VPC子网内。 建议使用支持的浏览器登录MRS。 Google Chrome：36.0及更高版本。 Internet Explorer：9.0及更高版本。 当使用Internet Explorer 9.0时可能无法登录MRS管理控制台，原因是某些Windows系统例如Win7旗舰版，默认禁止Administrator用户，Internet Explorer在安装时自动选择其他用户如System用户安装，从而导致Internet Explorer无法打开登录页面。请使用管理员身份重新安装Internet Explorer 9.0或更高版本（建议），或尝试使用管理员身份运行Internet Explorer 9.0。 创建MRS集群时，支持自动创建安全组，也可从下拉框中选择已有的安全组。集群创建完成后，请勿随意删除或更改已使用的安全组。否则可以能导致集群异常，影响MRS集群的使用。 MRS集群使用的安全组请勿随意放开权限，避免被恶意访问。 请勿随意执行如下操作，避免集群进入异常状态，影响MRS集群的使用。 −在ECS中对MRS集群的节点进行关机、重启、删除、变更OS、重装OS和修改规格等操作。 −删除集群节点上已有的进程、安装的应用程序和文件。 集群处于非人为异常状态时，可以联系技术支持人员，技术支持人员征得您同意后会请您提供相关信息，登录MRS集群进行问题排查。 请根据业务需要规划集群节点的磁盘，如果需要存储大量业务数据，请增加云硬盘数量或存储空间。以防止存储空间不足影响节点正常运行。 集群节点仅用于存储用户业务数据，非业务数据建议保存在对象存储服务或其他弹性云服务器中。 集群节点仅用于运行MRS集群，其他客户端应用程序、用户业务程序建议申请独立弹性云服务器部署。 MRS集群的节点（包含Master，Core和Task节点）扩充存储容量时，不建议通过扩容原有磁盘的方式实现。建议通过创建磁盘再挂载的方式实现。 MRS集群扩容（包含存储能力和计算能力）时，可以通过增加Core节点或者Task节点的方式实现。 当关闭集群中的某一个Master节点后仍然使用集群执行任务或修改配置，且任务执行或配置修改后未启动被关闭的Master节点就关闭集群中其他Master节点时，存在由于主备倒换导致的数据丢失风险。在该场景下，请在任务执行或配置修改后先启动被关闭的Master节点，再关闭全部节点。若集群中节点已经被全部关闭，请按照节点关机顺序的倒序启动集群节点。 当使用MRS集群过程中进行Capacity和Superior调度器切换时只完成调度器的切换，不保证配置同步。如果您需要配置同步，请基于新的调度器重新配置。

反向解析 反向解析是指从IP地址到域名的映射。通过查询PTR记录可以获取特定IP地址对应的域名信息。在内网DNS中，与常见的A记录（将域名映射到IP地址）相反，PTR记录被用于实现IP地址到域名的映射。当进行反向解析时，查询特定IP地址的PTR记录可以获得该IP地址对应的域名。这种记录类型的存在使得可以通过IP地址来查找关联的域名，而不仅仅是通过域名查找IP地址。 递归 内网DNS解析的递归模块，主要为云上VPC环境中的计算实例（如云主机）提供出公网的域名递归解析服务。该服务为天翼云VPC内网解析场景默认提供的免费服务，但不承诺服务SLA。您也可以通过修改计算实例上的DNS服务器IP地址，实现使用其他公共DNS服务器做解析（此时该计算实例将整体无法使用天翼云内网DNS提供的内网解析服务）。 记录集 记录集（Record Set）是指一组资源记录的集合，这些资源记录属于同一类型且域名相同，用于定义域名支持的解析类型以及解析值。当您已经创建完内网域名，需要对其进行域名级别的拓展或记录域名的详细信息，如创建对应的A记录、CNAME记录等，可以通过创建记录集来实现。内网DNS支持的记录集类型包括：A、CNAME、MX、AAAA、TXT、SRV、PTR。 记录集类型 适用场景 描述 A 主机记录，也可用作低成本负载均衡方案。 指定域名对应的IPv4地址，用于将域名解析到IPv4地址。 CNAME 别名记录，可用于隐藏主域名。 指定域名的别名，用于将域名解析到另一域名，或者多个域名映射到同一域名上。 MX 邮件交换记录，邮件服务器使用。 指定域名对应的邮件服务器，用于为邮件域名设置邮箱服务器。 AAAA IPv6主机记录，场景等同于A。 指定域名对应的IPv6地址，用于将域名解析到IPv6地址。 TXT 记录DKIM的公钥，用于反电子邮件欺诈。 用于记录域名所有者身份信息，用于域名找回。 用于对域名进行标识和说明，可填写任意的信息。 SRV 应用程序可以根据优先级与权重进行排序，设置访问规则。 记录了具体某台计算机对外提供哪些服务，供用户查询使用。SRV中除了记录服务器的地址，还记录了服务的端口，并且可以设置每个服务地址的优先级和权重。 PTR 反向地址解析。 指定IP地址反向解析记录，用于通过私网IP地址反向查询对应的云服务器。

本章节主要介绍翼MapReduce的删除租户操作。 操作场景 根据业务需求，对于当前不再使用的租户，管理员可以通过FusionInsight Manager删除租户，释放租户占用的资源。 前提条件 已添加租户。 检查待删除的租户是否存在子租户，如果存在，需要先删除全部子租户，否则无法删除当前租户。 待删除租户的角色，不能与任何一个用户或者用户组存在关联关系。 操作步骤 1. 登录FusionInsight Manager，单击“租户资源”。 2. 在左侧租户列表，选择待删除的租户，单击。 说明 根据业务需求，需要保留租户已有的数据时请同时勾选“保留该租户资源的数据。”，否则将自动删除租户对应的存储空间。 3. 单击“确定”，删除租户。 保存配置需要等待一段时间，租户成功删除。租户对应的角色、存储空间将删除。 说明 租户删除后，Yarn中对应的租户任务队列不会被删除。同时Yarn角色管理中，此租户任务队列不再显示。

本章节主要介绍翼MapReduce的初始化用户密码操作。 操作场景 用户如果遗忘密码或公共帐号密码需要定期修改时，管理员可通过FusionInsight Manager初始化密码。初始化密码后系统用户首次使用帐号需要修改密码。 说明 此操作仅支持“人机”用户。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在要初始化密码用户所在行，选择“更多 > 初始化密码”。在弹出窗口中输入当前登录的管理员用户密码确认身份，单击“确定”，在确认对话框单击“确定”。 4. 填写“新密码”和“确认新密码”，单击“确定”。 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符5种类型字符中的4种。支持的特殊字符为~!@$%^&()+[{}];', /? 。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码。 不可与最近N次使用过的密码相同，N为配置密码策略中“重复使用规则”的值。

本章主要介绍主机迁移服务的功能。 迁移可行性校验 当您在源端服务器上安装了迁移Agent，且输入AK/SK校验通过后，迁移Agent会收集源端服务器信息并发送给主机迁移服务，主机迁移服务会校验源端服务器信息合法性以及是否可迁移，校验的结果您可以在主机迁移服务的“迁移服务器 > 迁移阶段”查看。 Windows 全量迁移与同步 如果源端服务器是Windows OS且通过迁移可行性校验后，您可以在主机迁移服务界面上配置目的端并开始迁移。开始迁移后，源端服务器中的迁移Agent会向主机迁移服务获取迁移指令并且执行，执行时迁移Agent会识别源端服务器分区的有效块，并把有效块传输到目的端服务器对应分区，全量迁移完成后自动进行持续同步。持续同步过程中，您可以在不影响业务的时间内，停止源端服务器上的业务，然后“启动目的端”。 Linux 全量迁移与同步 如果源端服务器是Linux OS且通过迁移可行性校验后，您可以在主机迁移服务界面上配置目的端并开始迁移。开始迁移后，源端服务器中的迁移Agent会向主机迁移服务获取迁移指令并且执行，执行时迁移Agent会把源端服务器的目录及文件传输到目的端服务器，全量迁移完成后自动进行持续同步。持续同步过程中，您可以在不影响业务的时间内，停止源端服务器上的业务，然后“启动目的端”。 Linux文件级迁移，暂不支持“持续同步”。全量迁移完成后，如果源端服务器仍有新增业务数据写入，您可以在原有的迁移任务上启动同步任务，源端服务器上的迁移Agent会把新增的数据同步到目的端服务器，同步完后会重启目的端服务器。在同步过程中，建议停止源端服务器上的业务，且在同步完成后再进行业务切换（割接），否则需要进行多次同步。

公网ping ECS弹性云主机 场景举例： 创建弹性云主机后，为了使用ping程序测试弹性云主机之间的通讯状况，您需要添加安全组规则。 安全组配置方法： 方向 协议/应用 端口 源地址 入方向 ICMP 全部 0.0.0.0/0 弹性云主机作Web服务器 场景举例： 如果您在弹性云主机上部署了网站，即弹性云主机作Web服务器用，希望用户能通过HTTP或HTTPS服务访问到您的网站，您需要在弹性云主机所在安全组中添加以下安全组规则。 安全组配置方法： 方向 协议/应用 端口 源地址 入方向 HTTP（80） 80 0.0.0.0/0 入方向 HTTPS（443） 443 0.0.0.0/0 弹性云主机作DNS服务器 场景举例： 如果您将弹性云主机设置为DNS服务器，则必须确保TCP和UDP数据可通过53端口访问您的DNS服务器。您需要在弹性云主机所在安全组中添加以下安全组规则。 安全组配置方法： 方向 协议/应用 端口 源地址 入方向 TCP 53 0.0.0.0/0 入方向 UDP 53 0.0.0.0/0 使用FTP上传或下载文件 场景举例： 如果您需要使用FTP软件向弹性云主机上传或下载文件，您需要添加安全组规则。 您需要在弹性云主机上先安装FTP服务器程序，再查看20、21端口是否正常工作。 安全组配置方法： 方向 协议/应用 端口 源地址 入方向 TCP 2021 0.0.0.0/0

本文介绍如何选择存储区域。 选择区域时，您可考虑以下的因素： 地理位置：一般情况下，我们推荐您遵循就近原则，选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 云服务之间的关系，如果多个天翼云的服务一起搭配使用，需要注意明确是否有内网互通的需求，不同区域的弹性云服务器、媒体存储服务内网不互通。

本文介绍云硬盘存储卷概述。 Serverless集群支持使用天翼云云硬盘存储卷。当前cstorcsi插件支持使用云盘动态存储卷和静态存储卷，通过将云硬盘存储卷挂载到容器指定目录下，以实现数据持久化需求。 云硬盘挂载可以实现当容器在同一可用区内进行迁移时，挂载的云硬盘也将随之迁移。 通过云硬盘挂载，可以将远端存储系统中的数据直接映射到容器中，即使容器被删除，数据卷中的数据仍然会保存在存储系统中，从而确保数据的安全和持久性。 使用限制 共享存储 如果选择非共享盘存储，则同时只能被一个节点挂载，访问模式不能为ReadWriteMany；如果选择共享盘存储，则可以被多个节点挂载，卷模式仅支持块设备（Block），不能为文件系统（Filesystem）。 卷模式与访问模式 卷模式 访问模式 Block ReadWriteOnce/ReadWriteMany/ReadOnlyMany Filesystem ReadWriteOnce 跨可用区 非共享盘不支持跨可用区挂载。当Pod重建时，会重新挂载原云盘。若由于其他限制无法调度到原可用区，则Pod将会处于Pending状态。 容量 单个数据盘最小容量10GB，最大容量为32TB，最小扩容容量为1GB，扩容步长为1GB。 挂载数量 单个节点最多允许挂载8个数据盘，如果需要更多，可以通过提工单方式将上限提到22个。 磁盘模式 当前仅支持云硬盘磁盘模式为VBD。 云盘加密 当前暂不支持使用加密盘。 与ECS挂载关系 极速型SSD云硬盘仅支持挂载至vCPU数量至少为16且为6代以上的通用计算增强型和内存优化型云主机，并且一台云主机只允许挂载最多3块极速型SSD云硬盘。 挂载应用类型 推荐使用有状态应用通过PVC模版方式挂载使用云盘。 无状态应用挂载使用云盘有诸多限制，比如当选择卷模式为Filesystem的存储卷时，无法为每个Pod配置独立的存储卷，所以要求Replica需要配置为1或者保证Pod均调度到同一节点上。此外，由于Deployment的升级策略，重启Pod时新的Pod可能一直无法挂载，故不推荐使用。 应用参数配置 创建工作负载时，如果配置了securityContext.fsgroup参数，kubelet在存储卷挂载完成后会执行chmod和chown操作，导致挂载时间延长。

云下一代防火墙实例默认不限制日志存储时间；但因本地存储空间有限，云防火墙将在超过存储容量90%后启动滚动存储策略，增量日志将覆盖历史日志。 如果您有180天日志存储的诉求，可参考如下方法进行配置，以确保日志能够被妥善保存： 方法一：将日志通过syslog外发到专用的日志服务器或者日志审计服务中进行存档与分析（推荐）。 方法二：扩容本地磁盘以保证足够的日志存储容量。

本文为您介绍分布式消息服务MQTT的计费模式。 目前天翼云分布式消息服务MQTT提供包周期（包年/包月）、按需2种计费模式供您灵活选择，使用越久越便宜。 下表列出两种模式的区别： 计费模式 包年/包月 按需计费 付费方式 预付费按照订单的购买周期结算。 后付费按照云服务器实际使用时长计费。 计费周期 按订单的购买周期计费。 按小时结算。 实例升级 暂不支持实例升级。 暂不支持实例升级。 更改计费模式 不支持变更为按需资源。 不支持变更为包周期资源。 变更规格 暂不支持变更实例规格。 暂不支持变更实例规格。 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于消息资源需求波动的场景，可以随时开通，随时删除。 包周期（包年/包月）：天翼云提供包月和包年的购买模式。这种购买方式相对于按需付费则能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费按照订单的购买周期来进行结算。 按需计费：这种购买方式比较灵活，可以即开即停，支持秒级计费。实例从“开通”开启计费到“删除”结束计费，按实际购买时长（精确到秒）计费。 计费模式变更 ：天翼云分布式消息服务MQTT目前不支持计费模式变更。

本文为您介绍如何通过mysqldump将用户自建数据库数据迁移到天翼云关系数据库MySQL。 前期准备 准备能够远程连接关系数据库MySQL的机器。 通过弹性云主机连接关系数据库MySQL，需要创建一台弹性云主机。 通过公网地址连接关系数据库MySQL，需要将关系数据库MySQL绑定公网地址。 关系数据库MySQL实例设置白名单。 在准备的弹性云主机或其他可访问关系数据库MySQL的设备上，安装MySQL客户端。 创建关系数据库MySQL账号。 说明 弹性云主机或可访问关系数据库MySQL的设备需要安装和关系数据库MySQL相同版本的数据库客户端。（如果不相同则只能够向后兼容，例如用5.7版本的mysqldump来导出5.5版本的数据库数据） 适用场景 mysqldump迁移复杂，且需要停止源数据库的应用程序，建议数据量小的场景下使用。 数据量大的场景下建议优先使用DTS迁移数据。 导出数据 需要先对源数据库进行导出，才能将其迁移到关系数据库MySQL。 1. 登录源数据库。 2. 使用mysqldump导出自建数据库的表结构和数据，命令如下： 说明 数据库迁移为离线迁移，您需要停止使用源数据库的应用程序。 下文中的自建数据库用户需要具备相关的操作权限。 若使用的mysqldump低于5.6版本，需要去掉“setgtidpurgedOFF”。 bash mysqldump h u p P databases opt defaultcharactersetutf8 hexblob singletransaction setgtidpurgedOFF skiptriggers skipevents skiproutines > /tmp/ data.sql 示例： bash mysqldump h xxx u root p P databases test opt defaultcharactersetutf8 hexblob singletransaction setgtidpurgedOFF skiptriggers skipevents skiproutines > /tmp/testdata.sql 3. 使用mysqldump导出自建数据库的触发器、事件、存储过程和函数，命令如下： 说明 如果源数据库中没有使用触发器、事件、存储过程和函数，可跳过此步骤。 bash mysqldump h u p P database opt defaultcharactersetutf8 hexblob singletransaction setgtidpurgedOFF nocreateinfo nodata routines events sed e 's/DEFINER[ ][ ][^]//' e 's/DEFINER[ ].FUNCTION/FUNCTION/' e 's/DEFINER[ ].PROCEDURE/PROCEDURE/' e 's/DEFINER[ ].TRIGGER/TRIGGER/' e 's/DEFINER[ ].EVENT/EVENT/' > /tmp/ trigger.sql 示例： bash mysqldump h xxx u root p P databases test opt defaultcharactersetutf8 hexblob singletransaction setgtidpurgedOFF nocreateinfo nodata routines events sed e 's/DEFINER[ ][ ][^]//' e 's/DEFINER[ ].FUNCTION/FUNCTION/' e 's/DEFINER[ ].PROCEDURE/PROCEDURE/' e 's/DEFINER[ ].TRIGGER/TRIGGER/' e 's/DEFINER[ ].EVENT/EVENT/' > /tmp/testtrigger.sql

本章节介绍天翼云关系型数据库支持的实例连接方式。 关系型数据库服务提供使用内网、公网的连接方式。 表 RDS连接方式 连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云服务器上，且该弹性云服务器与关系型数据库实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云服务器与关系型数据库实例。 安全性高，可实现RDS的较好性能。 推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问RDS实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云服务器（或公网主机）与关系型数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的RDS实例在同一子网的，使用内网连接。 说明 VPC：虚拟私有云（Virtual Private Cloud，简称VPC）。 ECS：弹性云服务器（Elastic Cloud Server，简称ECS）。 若弹性云服务器和关系型数据库实例处于同一个虚拟私有云的子网内，则无需申请外网地址。 图 实例内网和公网连接

如何激活Windows物理机？ 对于Windows系列操作系统，目前需要手动激活。 步骤 1 登录Windows物理机操作系统。 步骤 2 单击“开始”菜单，在“搜索程序和文件”中输入“cmd”，并按“Enter”，打开命令提示符。 步骤 3 执行以下命令，配置KMS服务器地址。 slmgr.vbs skms 100.125.0.31 步骤 4 执行以下命令，查看是否激活。 slmgr.vbs ato 如果出现错误：0xC004F074 软件授权服务器报告无法激活该物理机。密钥管理服务（KMS）不可用，说明无法激活，需要执行步骤5。 步骤 5 查看物理机时间与标准时间是否一致，时间相差较大会出现无法激活的情况，将其设置为一致。 步骤 6 执行以下命令，检查物理机到KMS服务器端口是否可达。 telnet 100.125.0.31:1688 如果无法连接，说明物理机内部防火墙没有放通1688端口，需要关闭或者放通防火墙TCP 1688端口。如果有安全狗之类的安全软件也请暂时停止使用。 步骤 7 执行以下命令，重试物理机是否激活。 Slmgr.vbs ato

本节介绍如何在Web应用防火墙v1.0中进行Syslog日志外发配置。 前提条件 已购买Web应用防火墙v1.0资源，且资源状态为“运行中”。 操作步骤 1. 登录云等保专区控制台，在左侧导航栏，选择“Web应用防火墙 > Web应用防火墙v1.0”，在目标资源右侧操作列单击“配置”，进入Web应用防火墙界面。 2. 在Web应用防火墙导航栏，选择“日志报表 > 日志管理配置 > Syslog配置”。 3. 在“Syslog配置”中，将“启用syslog”字段改为“是”，日志内容根据需求选择对应传输格式，单击“确定”。 4. 点击服务器地址中的“添加”。 5. 在弹窗中填写对应需要日志外发的目的地“服务器地址”，“服务器端口”，单击“保存”，即可完成Syslog外发配置。

本页介绍了如何客户端安装。 如何安装MongoDB客户端 操作步骤 1. 下载MongoDB二进制包。 1. 前往MongoDB官方网站下载MongoDB客户端的二进制包。 2. 上传二进制包到云服务器。 1. 使用SSH或其他远程连接工具登录到您的云服务器。 2. 将下载的MongoDB二进制包上传到云服务器上，您可以使用SCP或者其他文件传输工具进行上传。 3. 解压和安装。 1. 在天翼云，云服务器上解压上传的MongoDB二进制包: 2. tar zxvf mongodblinuxx8664.tgz （是您下载的MongoDB版本号） 3. 将解压后的MongoDB二进制文件夹移动到合适的位置，比如/usr/local目录： bash mv mongodblinuxx8664 /usr/local/mongodb 4. 其中，常用工具包含如下： 1. MongoDB客户端mongo。 2. 数据导出工具mongoexport。 3. 数据导入工具mongoimport。 4. 使用客户端工具前，需要对工具赋予执行权限。 1. 执行 chmod +x mongo ，赋予连接实例的权限。 2. 执行 chmod +x mongoexport，赋予导出数据的权限。 3. 执行 chmod +x mongoimport ，赋予导入数据的权限。

本文介绍什么是边缘函数、产品优势、核心功能、相关术语、函数工作原理、使用说明等。 为什么选择边缘函数 千人千面，个性化定制，源站计算成本高： 企业网站为了提升用户转化率，往往需要在源站服务器根据用户历史数据，计算出千人千面的个性化推荐结果。一方面给源站服务器带来较大的计算成本，另一方面由于中心化部署带来的网络时延，企业更加容易错失商机。 应对流量洪峰，资源无法弹性伸缩： 中心源站为了应付突发场景预留较多的计算服务器，往往出现资源冗余。如果预留资源不够，则更加容易导致服务出错。 业务上线周期长： 新业务上线、活动页面搭建，在传统模式里需要调动研发、运营、运维多方人力，整体上线周期较长，人力成本高。 什么是边缘函数 针对以上三大挑战，天翼云CDN加速产品推出边缘函数。 边缘函数可以让企业研发人员将自定义的JavaScript代码秒级一键部署到天翼云全球2000多个边缘节点上，就近生成千人千面的个性化响应结果。 研发人员只需要关注业务逻辑，剩下机器资源的扩容、运维、调度，都由边缘函数自动完成。 产品优势 在边缘节点就近响应用户请求，大大减少回源带来的网络时延。 采用WebAssembly技术，将函数冷启动优化到5微秒，把对网络时延的影响降到最低。 相对于传统的容器技术，无需预留实例资源。 按照用户实际的使用量计费，并且精确到请求调用次数。对比传统的云虚拟机，提供更大的资源利用率和更低的成本。 当业务流量突增时，边缘函数全网快速调度，弹性伸缩，支持全网上百万QPS的超高并发。 企业研发人员使用边缘函数部署业务时，无需关注部署地区，无需进行资源规划，彻底免去底层机器的运维和管理，释放人力成本。

本文主要介绍入门必读 性能测试是一项为基于HTTP/HTTPS/TCP/UDP/HLS/RTMP/WEBSOCKET/HTTPFLV等协议构建的云应用提供性能测试的服务。服务支持快速模拟大规模并发用户的业务高峰场景，可以很好的支持报文内容和时序自定义、多事务组合的复杂场景测试，测试完成后会为您提供专业的测试报告呈现您的服务质量。 通过简单的四步操作，您就可以完成一次性能测试。 性能测试步骤 性能测试提供体验馆功能，通过体验向导，帮助您快速熟悉性能测试的使用流程。 基本概念 测试工程： 性能测试为用户的测试工程提供管理能力，事务、压测任务、测试报告的内容在同一个测试工程内共享复用，您可以为不同的测试项目创建不同的测试工程。 事务： 事务是指用户自定义的操作模型，包括HTTP/HTTPS/TCP/UDP/WEBSOCKET报文、思考时间、响应提取和检查点和HLS/RTMP/HTTPFLV报文部分。 报文： 报文是HTTP应用程序之间发送的数据块。这些数据块以一些文本形式的元信息开头，这些信息描述了报文的内容及含义，后面跟着可选的数据部分。这些报文都是在客户端、服务器和代理之间流动。 思考时间： 为了更好的模拟用户的行为，需要模拟用户在不同操作之间等待的时间，例如，当用户收到来自服务器的数据时，可能要等待几秒查看数据，然后再做出响应，这种延迟，就称为思考时间。 响应提取： 如果同一事务中存在多个报文，通过正则表达式或JSON提取把前一个报文的输出提取出来，作后一个报文的输入。 检查点： 检查点主要是通过自定义校验信息来验证服务端的返回内容是否正确。 并发用户数： 在性能测试工具中，并发用户数一般被称为虚拟用户数。注意“并发用户数”和“在线用户数”的区别：“并发用户数”会对服务器产生压力，“在线用户数”只是挂在系统上，对服务器不产生压力。 响应时间： 用户从客户端发起一个请求开始，到客户端接收到从服务器端返回的响应结束，整个过程所耗费的时间。在性能检测中一般以测试环境中压力发起端至服务器返回处理结果的时间为计量，单位一般为秒或毫秒，该时间不同于模拟真实环境的用户体验时间。 不同行业不同业务可接受的响应时间是不同的。一般情况下，互联网企业在500毫秒以下；金融企业1秒以下为佳；保险企业3秒以下为佳。

本节介绍如何通过告警中心查看所有入侵检测模块的告警信息。 告警中心用于汇总展示所有入侵检测模块的告警信息，帮助用户快速了解整体安全告警概况。包括需紧急处理的告警、待处理告警、已处理告警；存在告警的服务器、已隔离文件、已拦截IP。 前提条件 入侵检测防护模块已开启防护，详细操作请参见安全配置。 查看告警 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 告警中心”，进入告警中心页面。 3. 在页面右上角选择查询告警的时间范围。 支持选择固定周期：最近24小时、最近3天、最近7天、最近30天。 也可以自定义时间范围，自定义只能选择30天范围内。 4. 查看告警统计信息。页面上方展示所有入侵检测模块告警的统计情况。 统计项 说明 操作 需紧急处理的告警 展示在选择的时间范围内，告警等级为“高危”且“待处理”告警数量。 单击“需紧急修复的告警”的数值，页面下方告警列表将展示告警等级为“高危”且“待处理”的告警。 待处理告警 展示在选择的时间范围内，所有的“待处理”告警个数统计。 单击“待处理告警”的数值，页面下方告警列表将展示所有“待处理”的告警。 已处理告警 展示在选择的时间范围内，所有的“已处理”告警个数统计。 单击“已处理告警”的数值，页面下方告警列表将展示所有“已处理”的告警。 存在告警的服务器 展示在选择的时间范围内，存在告警的服务器个数（展示去重后的个数）。 单击“存在告警的服务器”的数值，页面下方告警列表将展示“待处理”的告警，且每个服务器只展示一条告警（告警展示优先级按照告警等级进行展示，高>中>低，相同等级按照时间最近展示）。 已隔离文件 展示在选择的时间范围内，已隔离的文件个数（展示去重后的个数）。 单击“已隔离文件”的数值，页面下方告警列表将展示“已处理”的告警，且每个文件只展示一条告警（按照时间最近优先展示）。 已拦截IP 展示在选择的时间范围内，暴力破解阻断状态为“阻断成功”的IP个数（展示去重后的个数）。 单击“已拦截IP”的数值，页面下方告警列表将展示“已处理”的告警，且每个IP只展示一条告警（按照时间最近优先展示）。 5. 选择攻击阶段分类，支持根据“ATT&CK攻击阶段”查看攻击阶段信息。 ATT&CK攻击阶段 说明 初始入口 攻击者尝试进入您的网络或系统。 代码执行 攻击者成功进入您的系统，尝试运行恶意软件或命令，以进一步控制系统或窃取数据。 持久化 攻击者采取措施以确保其在系统中的持久存在，以便在需要时重新访问或继续攻击。 可能涉及设置后门、修改系统配置、利用系统漏洞等。 权限提升 攻击者尝试从普通用户权限提升为管理员或系统权限，以便控制整个系统。 防御绕过 攻击者尝试使用各种技术来绕过安全防御措施，避免被检测到。 如使用混淆加密技术对恶意软件进行二次封装、利用系统漏洞进行攻击等。 凭据窃取 攻击者收集系统中的敏感数据，如账号名称和密码。 发现 发现攻击者攻击IP、攻击类型以及扫描的端口。 命令与控制 攻击者尝试建立与被攻击机器的通信渠道，以便远程控制机器上的恶意软件或执行其他攻击操作。 影响破坏 攻击者利用收集到的数据或控制的系统，尝试对您的系统造成损害，如数据泄露、系统瘫痪等。 6. 查看告警信息 参数 说明 紧急程度 告警的紧急程度，包括紧急、可疑、提醒。 告警名称 攻击类型的告警名称。 告警摘要 告警内容的简要描述。 告警类型 告警的类型，包括异常登录、暴力破解、后门检测、可疑操作、反弹Shell、进程提权、WebShell、端口蜜罐等。 影响资产 受影响的服务器，展示名称和IP地址。 攻击阶段 ATT&CK攻击阶段，包括初始入口、代码执行、持久化、权限提升、防御绕过、凭据窃取、发现、收集、命令与控制、影响破坏。 最新发现时间 告警发现时间。 状态 告警的处理状态，可分为两大类：未处理、已处理。 其中已处理细分为：已加白、已忽略、已隔离、已拦截。

本节介绍裸金属带宽的简介及查看方式。 概述 裸金属实例支持通过公网IP进行网络访问，同一集群内的裸金属通过不同VLAN进行网络隔离。 裸金属公网IP可以绑定独享带宽，也可以绑定共享带宽。当使用共享带宽时，各个裸金属绑定IP产生的公网流量使用共享带宽实例作为计费锚点。 独享带宽/共享带宽、带宽大小、计费方式在开通裸金属服务器时进行配置。 用户可以在【带宽列表】页面可以查看完整的裸金属服务器IP。 查看裸金属带宽 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘裸金属>带宽列表】。 3. 查看已创建的带宽列表。

本节介绍IPSec VPN的产品介绍。 功能介绍 IPsec VPN产品用于客户防火墙或其他VPN设备与云侧IPsec VPN实例建立加密隧道实现数据入云安全传输，完成客户侧办公区与云侧VPC的快速安全互联。有别于iVPN实例，iVPN实例在逻辑上属于客户侧资源，IPsec VPN实例在逻辑上属于云侧资源。同时IPsec VPN与翼甲防火墙产品相比，不需要绑定弹性IP即可建立加密隧道。 使用限制 （1）IPsec VPN支持关联的客户侧网段与各VPC子网网段重叠，但是需要用户确保客户侧与云侧不存在IP冲突设备，因此建议用户在使用过程中避免客户侧与云侧网段重叠。 （2）IPsec VPN只能加载IPsec VPN实例所在资源池VPC，加载跨资源池VPC需要结合跨域互联使用。 （3）IPSec VPN暂时只支持IKEv2协议。

手机令牌 通过“手机令牌”方式同时验证 登录名 、密码和 手机动态码 ，认证登录用户身份。 在使用手机令牌登录前，用户需通过密码登录系统，配置手机令牌绑定方式，并绑定手机令牌。再由管理员配置用户登录认证方式，选择“手机令牌”多因子认证。 手机短信 通过“手机短信”方式同时验证登录名 、密码和 短信验证码 ，认证登录用户身份。 用户帐号需先配置可使用手机号码，再由管理员配置用户登录认证方式，选择“手机短信”多因子认证。 USBKey 通过“USBKey”方式验证插入的USBKey和 PIN码 ，认证登录用户身份。 需先申购USBKey，签权绑定，再使用USBKey进行身份认证。 动态令牌 通过“动态令牌”方式同时验证登录名 、密码和 动态令牌 ，认证登录用户身份。 需先申购动态令牌，签权绑定，再使用动态令牌进行身份认证。 AD域认证 管理员配置AD系统认证方式，创建AD域认证用户或同步AD域服务器用户。使用“密码登录”方式验证AD域用户账户和密码时，通过Windows AD域服务器对系统用户进行身份认证。 基本原理：通过AD域系统终端代理使用第三方库执行认证业务。 IP：AD域服务器的IP地址。 端口：根据实际情选择，默认选择389端口。 域：AD域的域名。 RADIUS认证 管理员配置RADIUS系统认证方式，并创建RADIUS认证用户。使用“密码登录”验证RADIUS用户账户和密码时，通过RADIUS协议，由第三方认证服务器对系统用户进行身份认证。 基本原理：通过远程网络接入设备的 用户 ，与包含用户认证和配置信息的服务器之间，采用用户服务器模式交换信息标准，执行认证业务。 IP：RADIUS服务器的IP地址。 端口：根据实际情选择，默认选择1812端口。 认证共享密钥：RADIUS的认证密码。 测试：用RADIUS的帐号密码做测试。

主机Agent的覆盖 HW和重保期间需要保证所有主机均接入服务器安全卫士服务，以提高服务器安全风险防御能力。 您可以登录服务器安全卫士控制台查看“Agent管理”页面，确认主机防护状态，显示所有 Agent 的状态，并可随时调整 Agent 运行模式，导出 Agent 运行日志与报表，随时分析解决问题。 发现未安装服务器安全卫士主机，消除防护盲点 主机发现这个功能就是在用户网络环境内通过已经安装了Agent 的主机发现未安装 agent 的主机，帮用户更全面的了解其网络环境内的主机资源。 在用户的IT 运维环境中会在一部分主机上部署Agent，用户就需要能够知道还有哪些主机没有部署 Agent（一方面是用户很多时候都不知道在自己的网络环境中有多少主机，另一方面用户也会有一些主机新上线）。 执行系统管理主机发现扫描任务新建扫描，新建扫描功能可以让用户根据其需求配置一个扫描任务。所有发现的网络环境中，未安装 Agent 的主机资产。可以根据首次发现时间和最后发现时间等字段进行过滤，筛选出想要的未安装 Agent 主机列表。 完善安全防护配置并实时处理告警 全面开启入侵检测功能。 服务器安全卫士的入侵检测通用功能，包括暴力破解、异常登录、反弹shell等。 以旗舰版为例，入侵检测模块主要包含暴力破解、异常登录、反弹shell、本地提权、后门检测、Web后门、可疑操作、Web命令执行八大功能。