本章节主要介绍使用DataArts Studio前的准备。 在使用DataArts Studio前，您应首先进行数据与业务调研，选择合适的数据治理模型。 然后参考本章节，预先做好以下准备工作： DataArts Studio准备工作 准备数据源 准备数据湖 DataArts Studio准备工作 如果您是第一次使用DataArts Studio，请参考用户指南中的“准备工作”章节，完成创建DataArts Studio实例、创建工作空间等一系列操作。然后找到对应的工作空间，即可开始数据开发与运营。 准备数据源 在实际业务中，源端数据源大多为云下的MySQL、PostgreSQL、HBase、Hive等类型，您需要作如下准备： 确保数据源所在的主机可以访问公网。 获取数据源的公网连接地址、数据库端口、数据库管理员用户及密码等信息。 确保防火墙规则出方向已开放数据库端口，允许数据传输到云上。 准备好数据源之后，后续您可以通过数据集成将数据源迁移到数据湖底座中，然后再通过DataArts Studio进行数据开发、治理和运营等活动。 准备数据湖 在使用DataArts Studio前，您需要根据业务场景选择符合需求的云服务作为DataArts Studio的数据湖底座，用于存储原始数据和数据开发过程中的数据，并进行后续的数据开发、治理和运营等活动。DataArts Studio平台当前支持的数据湖产品请参见DataArts Studio支持的数据源。 准备好数据湖之后，您可以通过创建数据连接将DataArts Studio与数据湖底座连接起来，然后进行下方1和2的操作。1和2的操作样例可参考快速入门中的“2：准备工作”章节。

本章节主要介绍翼MR Manager的资源概览特性。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab。 4. 单击“前往翼MR Manager”。 5. 进入翼MR Manager后，点击菜单“资源概览”，进入资源概览页面。 6. 默认展示最新3小时的数据，可通过右上角时间范围选框，选择其他时间段的监控数据。 7. 主机状态数据，可以通过下拉选框，选择单台主机，查看监控数据。 资源概览展示当前平台所有主机的CPU使用率、磁盘使用率、内存使用率、网络发送速率、网络接收速率信息，以及集群下组件核心指标。如图所示：

运营商 运营商编码 :: 中国电信 001 中国联通 002 中国移动 003 中国铁通 004 教育网 005 鹏博士 006

威胁告警事件 默认“实时监控”并上报威胁告警事件，支持检测和呈现威胁告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 威胁告警事件说明： 告警名称 威胁告警说明 DDoS “实时检测”互联网主机的DDoS攻击。 共支持检测100+种子类型DDoS威胁。 网络层攻击 NTP Flood攻击、CC攻击等。 传输层攻击 SYN Flood攻击、ACK Flood攻击等。 会话层攻击 SSL连接攻击等。 应用层攻击 HTTP Get Flood攻击、HTTP Post Flood攻击等。 暴力破解 “实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。 Web攻击 “实时检测”Web恶意扫描器、IP、网马等威胁。 共支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 后门木马 “实时检测”资产系统是否存在后门木马风险，以及被后门木马程序入侵后的恶意请求行为。 共支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。 僵尸主机 “实时检测”资产被入侵后对外发起攻击的威胁。 共支持检测7种子类型的僵尸主机威胁。 对外发起SSH暴力破解 对外发起RDP暴力破解 对外发起Web暴力破解 对外发起MySQL暴力破解 对外发起SQLServer暴力破解 对外发起DDoS攻击 被入侵后安装挖矿程序 异常行为 “实时检测”资产系统异常变更和操作行为。 共支持检测21种子类型的异常行为威胁。 支持检测的异常行为威胁 包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。 接入的HSS服务上报的告警事件 包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常自启动、文件提权、进程提权、Rootkit程序。 接入的WAF服务上报的告警事件 包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。 漏洞攻击 “实时检测”资产被尝试使用漏洞进行攻击。 共支持检测2种子类型的漏洞攻击威胁。 WebCMS漏洞攻击 命令控制 “实时检测”资产可能被命令与控制服务器（C&C，Command and Control Server）远程控制，访问与恶意软件或建立与恶意软件之间的链接。 共支持检测3种子类型的命令控制威胁。 监控主机存在访问DGA域名行为 监控主机存在访问恶意C&C域名行为 监控主机存在恶意C&C通道行为

Kafka作为一款热门的消息队列中间件，具备高效可靠的消息异步传递机制，主要用于不同系统间的数据交流和传递，在企业解决方案、金融支付、电信、电子商务、社交、即时通信、视频、物联网、车联网等众多领域都有广泛应用。 异步通信 将业务中属于非核心或不重要的流程部分，使用消息异步通知的方式发给目标系统，这样主业务流程无需同步等待其他系统的处理结果，从而达到系统快速响应的目的。 如网站的用户注册场景，在用户注册成功后，还需要发送注册邮件与注册短信，这两个流程使用Kafka消息服务通知邮件发送系统与短信发送系统，从而提升注册流程的响应速度。 图 串行发送注册邮件与短信流程 图 借助消息队列异步发送注册邮件与短信流程 错峰流控与流量削峰 在电子商务系统或大型网站中，上下游系统处理能力存在差异，处理能力高的上游系统的突发流量可能会对处理能力低的某些下游系统造成冲击，需要提高系统的可用性的同时降低系统实现的复杂性。电商大促销等流量洪流突然来袭时，可以通过队列服务堆积缓存订单等信息，在下游系统有能力处理消息的时候再处理，避免下游订阅系统因突发流量崩溃。消息队列提供亿级消息堆积能力，3天的默认保留时长，消息消费系统可以错峰进行消息处理。 另外，在商品秒杀、抢购等流量短时间内暴增场景中，为了防止后端应用被压垮，可在前后端系统间使用Kafka消息队列传递请求。 图 消息队列应对秒杀大流量场景 日志同步 在大型业务系统设计中，为了快速定位问题，全链路追踪日志，以及故障及时预警监控，通常需要将各系统应用的日志集中分析处理。 Kafka设计初衷就是为了应对大量日志传输场景，应用通过可靠异步方式将日志消息同步到消息服务，再通过其他组件对日志做实时或离线分析，也可用于关键日志信息收集进行应用监控。 日志同步主要有三个关键部分：日志采集客户端，Kafka消息队列以及后端的日志处理应用。 1. 日志采集客户端，负责用户各类应用服务的日志数据采集，以消息方式将日志“批量”“异步”发送Kafka客户端。 Kafka客户端批量提交和压缩消息，对应用服务的性能影响非常小。 2. Kafka将日志存储在消息文件中，提供持久化。 3. 日志处理应用，如Logstash，订阅并消费Kafka中的日志消息，最终供文件搜索服务检索日志，或者由Kafka将消息传递给Hadoop等其他大数据应用系统化存储与分析。 图 日志同步示意图 上图中Logstash、ElasticSearch分别为日志分析和检索的开源工具，Hadoop表示大数据分析系统。

SaaS模式和混合部署模式套餐版本差异 混合部署模式下，不支持使用天翼云边缘节点安全能力，如：不具备waf，抗D、全局离线AI分析、就近接入加速等能力，接入点由企业自行暴露。 混合部署模式支持VPN版、基础版、企业版，各版本能力和SaaS能力一致。 但部分功能在使用上存在差异：日志投递不支持使用内网通道传输，不支持开启无端访问能力。 独享网关安装步骤 需准备安装的机器： 服务器选型说明，需满足以下规格的软硬件的服务器、虚拟机、弹性云主机： 操作系统：请在 Centos 7.x（7.9以下）版本安装。目前在部分Centos 8.x，Centos 9.x的系统存在不兼容情况。 CPU：至少 2 核。 内存：至少 4 G。 CPU架构：支持X86、ARM64架构。 说明 独享网关安装后，将在机器上部署Docker组件，独享网关实际运行在容器环境中，若客户的操作系统为其他类型操作系统（指基于linux内核的其他操作系统），可在实际安装时，根据CPU架构选择不同的安装命令进行尝试安装。独享网关不适配WIndows类型操作系统。 网络配置要求： 可访问公网，如果存在防火墙且出入方向流量存在限制，则部署机器至少需放行或通过NAT方式开放以下端口流量： 出方向需放行访问零信任中心的流量：TCP协议，端口号443；UDP协议，端口号：53。 部署机需分配公网IP，且入方向需向客户端接入区域开放独享网关的VPN接入点，UDP协议，端口号：该端口号按控制台页面提示的端口号。

无证书连接 说明 该方式不对服务端进行证书校验，用户无需下载SSL证书。 1. 通过JDBC连接MySQL数据库实例，代码中的JDBC链接格式如下： java jdbc:mysql:// : / ?useSSLfalse 变量 说明 请替换为实例的IP地址。 说明：如果通过弹性云主机连接，“instanceip”是实例的“内网地址”。您可以在该实例“基本信息”或“连接管理”页面的“连接信息”区域查看。如果通过公网连接，“instanceip”为该实例已绑定的“弹性公网IP”。您可以在该实例“连接管理”页面的“连接信息”区域查看。 请替换为实例的数据库端口，默认为13049。 说明：您可以在该实例“连接管理”页面的“连接信息”区域查看。 请替换为连接实例使用的数据库名，默认为mysql。 代码示例（连接MySQL数据库的java代码）： java import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; public class NoneCaConnTest { final public static void main(String[] args) { Connection conn null; String url "jdbc:mysql://instanceip:13049/dbtest?useSSLfalse"; try { Class.forName("com.mysql.jdbc.Driver"); String USER "xxx"; String PASSOWRD "xxx"; conn DriverManager.getConnection(url, USER , PASSOWRD ); System.out.println("Database is connected"); Statement stmt conn.createStatement(); ResultSet rs stmt.executeQuery("SELECT FROM table WHERE column 100"); while (rs.next()) { System.out.println(rs.getString(1)); } rs.close(); stmt.close(); conn.close(); } catch (Exception e) { e.printStackTrace(); System.out.println("Test no ca failed"); } finally { // 释放资源 } } }

本章节以Linux系统为例，介绍从购买到内网连接MySQL实例的操作步骤。 操作步骤一：创建MySQL实例 具体操作，请参见创建实例。 操作步骤二：创建ECS 具体操作，请参见创建弹性云主机。 操作步骤三：连接MySQL实例 1. 本地使用Linux远程连接工具登录ECS。 其中，Remote host为ECS绑定的弹性公网IP。 2. 输入创建ECS时设置的密码。 3. 下载客户端，选择客户端版本和操作系统，下载mysqlcommunityclient8.0.261.el6.x8664.rpm客户端安装包。 4. 上传客户端安装包到ECS。 5. 安装客户端。 plaintext rpm ivh nodeps mysqlcommunityclient8.0.261.el6.x8664.rpm 6. 连接MySQL实例。 plaintext mysql h 192.168.XX.XX P 3306 u root p 7. 创建数据库testdb。 plaintext create database testdb; 8. 创建表testtable。 plaintext create table testtable(id int(8), name char(32), age int(8)); 9. 向表中插入一条数据。 plaintext insert into testtable(id, name, age) values(1, 'zhujiasi', 30); 10. 查询表数据。 plaintext select from testtable; 11. 更新表中id为1的age字段值。 plaintext update testtable set age31 where id1; 12. 查询更新后的表数据。 plaintext select from testtable where id1; 13. 删除表中id为1的数据。 plaintext delete from testtable where id1; 14. 删除表结构。 plaintext drop table testtable; 15. 删除数据库。 plaintext drop database testdb;

本文为您介绍验证/变更/停用/编辑脚本的具体操作。 验证脚本 使用条件 验证脚本时，若目标资源为主机，仅支持远程连接开启的非天翼云主机。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“脚本管理”“脚本库”，进入脚本库列表页。 5. 点击脚本列表操作列中的“验证”按钮，弹出验证脚本弹窗。 6. 选择验证脚本相关信息，各配置项说明如下： 参数 是否必填 配置说明 目标资源 √ 选择目标资源，若为主机脚本，展示远程连接开启的非天翼云云主机列表。若为数据库脚本，展示已配置连接信息的所有数据库实例列表。 支持按资源的实例名及IP进行搜索。 脚本请求参数 √ 填写脚本创建时定义的请求参数名。 7. 确认信息填写完毕后，点击“确认”按钮，进行脚本验证后，跳转至脚本详情页。 变更脚本

对比项 本地自建存储 云上对象存储 优先选择 存储空间 受硬盘容量限制，需人工扩容。 不限制存储空间大小，理论上可无限扩容。 对象存储 存储成本 需要购买硬件设备、并考虑维护费用、托管费用等。 无需购买硬件设备，按需付费，节省成本。 对象存储 存储性能 可提供高性能、低延迟的数据访问，适合对I/O要求较高的应用场景。 相比本地自建，数据访问性能和延迟有一定损耗，需要考虑网络带宽，但通过专线访问可达到本地自建一样的效果。同时支持缓存热点文件，具备提供高性能、高吞吐量数据访问服务的能力。 两者均可 存储可靠性 受限于硬件持久性，易出问题，一旦出现磁盘坏道，容易出现不可逆转的数据丢失。 提供多重冗余架构设计，为数据持久存储提供可靠保障，服务可用性不低于99.995%，数据持久性不低于99.9999999999% (十二个9)。 对象存储 存储安全性 需要单独购买安全设备，需要单独实现安全机制。 提供企业级多层次安全防护，包括服务端加密、客户端加密、防盗链、IP黑白名单访问、细粒度权限管控、STS和URL鉴权和授权机制、合规保护、日志审计等。 对象存储 存储易用性 不支持数据生命周期管理，仅支持挂载方式接入。 支持数据生命周期管理，提供标准的RESTful API接口、丰富的SDK包、客户端工具、控制台等。 对象存储 存储灵活性 难以适应不同类型和规模的数据存储需求，需要预先规划好存储架构和资源分配。 支持多种存储类型和访问模式，如标准存储、低频存储、归档存储等，可以根据数据的访问频率进行动态调整。 对象存储 存储兼容性 难以与其他平台或云服务进行集成和协作，需要进行额外的开发和适配工作。 支持多种云服务或平台的接入和使用，如支持S3协议，与CDN进行内容分发，与云主机进行集成以实现弹性计算等。 对象存储

本文介绍NAT网关—SNAT规则类相关问题。 为什么使用SNAT？ 在网络通信中，当内部网络的主机向外部网络发送数据包时，数据包的源IP地址会经过SNAT被转换为一个公共IP地址，这样外部网络就无法直接访问内部网络的真实IP地址。SNAT的主要作用是隐藏内部网络的真实IP地址，从而增强网络的安全性。 同时SNAT可以使多个内网主机通过同一个外网IP接入Internet，从而达到节省成本的目的。 什么是 SNAT连接数 ？ 由源IP地址、源端口、目的IP地址、目的端口、传输层协议这五个元素组成的集合视为一条连接。连接能够区分不同会话，并且对应的会话是唯一的。其中源IP地址和源端口指SNAT转换之后的EIP和它的端口。 当多个内部主机通过同一个外部IP地址访问外部网络时，网络设备会使用SNAT来转换源IP地址和端口号，以便外部网络可以正确识别和回复数据包。 SNAT连接数表示当前正在进行的通过SNAT技术建立的连接数量。这些连接可能是在同一时间内与外部网络建立的活动连接，也可以是已建立但尚未关闭的连接。通过跟踪SNAT连接数，可以对网络流量和负载进行监控和管理，并确保网络资源的适当分配和性能优化。 NAT网关规格为并发连接数，并发连接数为每分钟内并发连接的数量。并发连接数＝SNAT连接数＋DNAT连接数。 主机通过NAT网关访问外网，请问NAT网关的带宽是多少？在哪里设置？ 主机通过NAT网关访问外网，NAT网关的带宽即SNAT规则绑定的弹性IP带宽，可以在弹性IP页面调整带宽大小，具体操作参见弹性IP修改带宽。

安装Agent（Windows操作系统） 安装Agent后，您才能开启数据库安全审计。通过本节介绍，您将了解如何在Windows操作系统的节点上安装Agent。Linux操作系统的Agent安装请参见安装Agent（Linux操作系统）。 安装Agent 1. 在Windows主机安装“Npcap”软件。 如果该Windows主机已安装“Npcap”，请执行步骤2。 如果该Windows主机未安装“Npcap”，请执行以下步骤： a. 请前往 下载npcap b.将下载好的npcap xxxx .exe软件安装包上传至需要安装agent的虚拟机。 c.双击npcap软件安装包。 d.在弹出的对话框中，单击“I Agree”，如图所示。 同意安装“Npcap” e.在弹出的对话框中，单击“Install”，不勾选安装选项，如图所示。 安装“Npcap” f.在弹出的对话框中，单击“Next”。 g.单击“Finish”，完成安装。 2. 以“Administrator”用户登录到Windows主机。 3. 将下载的Agent安装包“xxx.zip”复制到该主机任意一个目录下。 4. 进入Agent安装包所在目录，并解压缩安装包。 5. 进入解压后的文件夹，双击“install.bat”执行文件。 6. 安装成功，界面如图所示，按任意键结束安装。 7. 安装完成后，在Windows任务管理器中查看“dbssauditagent”进程。如果进程不存在，说明Agent安装失败，请尝试重新安装Agent。

本节介绍等保合规的检查项是否可以忽略。 可以。 如果您确认扫描出的检查项不会对主机造成危害，您可以在目标检查项所在行的“操作”列，单击“忽略”，忽略该检查项，后续执行扫描任务会扫描出该漏洞，但相应的检查项统计结果将发生变化，扫描报告中也不会出现该检查项。 VSS目前仅企业版用户支持等保合规检测，如果您需要对您的主机进行等保合规检测，请购买企业版。

运营商 运营商编码（string型） 中国电信 001 中国联通 002 中国移动 003 中国铁通 004 教育网 005 鹏博士 006

本节问您介绍自建Oracle迁移至中国电信TelePG任务配置。 目标端配置请参照自建Oracle迁移至自建PostgreSQL。

SSL连接 步骤 1. 登录管理控制台。 步骤 2. 单击管理控制台左上角的，选择区域和项目。 步骤 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4. 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的，下载根证书或捆绑包。 步骤 5. 将根证书导入弹性云主机Linux操作系统。 说明 关系型数据库服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 关系型数据库服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 步骤 6. 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 表2 参数说明 参数 说明 目标实例的弹性IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password: 说明 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。

服务阶段 实施任务 实施内容 交付物 购买阶段 购买安全评估服务 请您根据实际需求及服务团队沟通建议购买安全评估服务，购买指引请参见 购买阶段 发起安全评估服务需求 在控制台创建安全评估服务需求，详细操作请参见 准备阶段 确定评估范围、评估人员、评估工具及计划 确定安全评估范围，评估人员及评估工具，制定评估计划，按照计划时间开展评估工作 评估阶段 资产脆弱性扫描 利用用户漏洞扫描产品进行资产扫描，同时整合托管运营平台的脆弱性分析，从主动和被动识别两个维度进行业务资产现存漏洞问题的交叉识别，输出《业务资产安全漏洞清单》，安全服务专家对扫描出来的漏洞进行威胁分析和重要程度排序。漏洞扫描范围包含云主机、Web业务系统、数据库 《业务资产安全漏洞清单》 评估阶段 业务资产脆弱性分析 云端安全专家结合服务资产的业务特征和托管运营平台所采集的流量分析日志，综合分析业务资产存在的弱密码和明文传输等脆弱性问题，并执行脆弱性风险分析，对脆弱性问题进行排序，整合《业务资产安全漏洞清单》输出《业务资产脆弱性问题清单》 《业务资产脆弱性问题清单》 验收阶段 验收 汇总漏洞及业务脆弱性问题，提交安全评估服务报告 《安全评估服务报告》

本页为您介绍数据库专家服务产品涉及的相关术语。 数据库专家服务 数据库专家服务是由天翼云数据库专家团队为客户提供的数据库安装部署、健康巡检、应急响应、性能调优、架构规划设计、数据迁移咨询、备份恢复咨询等各类数据库专业服务，解决客户的数据库各类问题，为客户的数据库系统保驾护航。 数据库安装部署 天翼云数据库专家服务团队为客户提供的数据库安装部署服务，具体包含如下内容： 合理安装数据库、中间件软件（其中安装主机、软件安装包需要您提供）。 根据应用系统创建合适的数据库。 根据应用系统的要求分配数据空间。 设置合理的数据库运行参数。 检查和设置数据库用户的安全性和访问的安全性。 设置数据库的监听程序。 提供完善的数据库、中间件安装报告。 根据实际情况提供数据库、中间件的配置调整。 数据库健康巡检 天翼云数据库专家服务团队针对客户数据库和相关组件运行健康状况提供的检查服务，对数据库和中间件系统的性能情况进行深度分析，及时发现生产数据库已经存在的或潜在的问题；根据巡检结果，提交巡检报告和改善建议，并配合完成改善工作。 数据库应急响应 天翼云数据库专家服务团队针对客户数据库紧急故障提供的服务，服务内容包括：对紧急故障进行故障原因分析，制定故障解决方案，并最终排除故障。对于故障处理，遵循记录、分析、处理、解决的闭环处理方法，以找到故障根源、避免或预防二次故障为最终解决的标准。

本文向您介绍经典版VPN的收费方式与价格。 经典版VPN收费方式 经典版VPN包括VPN网关带宽与VPN连接两个计费项。 经典版VPN连接服务目前处于公测阶段，如您需要使用，请提交工单申请公测权限，工单中请描述需要使用的资源池与VPN连接数量。某些资源池由于资源余量影响，可能不再支持申请公测权限或更多VPN连接数量。具体还请提交工单或联系客户经理了解详情。 经典版VPN网关带宽收费，账单详情可在“云主机带宽”出账中查看。VPN网关带宽支持的计费方式与资源池情况，可查看“VPN网关带宽计费说明”章节。 经典版VPN连接目前暂不收费。 经典版VPN网关带宽计费说明 经典版VPN连接服务目前处于公测阶段，VPN网关带宽支持按需计费方式的资源池有：哈尔滨、长春、沈阳3、内蒙3、天津、石家庄、华北、北京2、太原、郑州、青岛、西安2、中卫、西宁、乌鲁木齐、兰州、上海4、杭州、南昌、芜湖、广州4、深圳、海口、南宁、福州、武汉2、长沙2、昆明、重庆、成都3、贵州。 VPN网关带宽收费价格与接入带宽支持值如下。 按需按带宽方式 按需按流量方式 VPN网关带宽计费方式 15Mbps：0.056元/Mbps/小时 6Mbps以上：0.1元/Mbps/小时 0.36元/GB VPN网关带宽支持档位 5Mbps、10Mbps、20Mbps、50Mbps、100Mbps、200Mbps、300Mbps 5Mbps、10Mbps、20Mbps、50Mbps、100Mbps、200Mbps、300Mbps

本文为您介绍VPC终端节点产品的定义、产品架构及其访问方式。 VPC终端节点（VPC Endpoint）是一种能够将VPC私密地连接到终端节点服务（云服务、用户私有服务）的解决方案。通过使用VPC终端节点，VPC中的云资源无需使用弹性IP就可以直接访问终端节点服务，从而提高了访问效率。这种灵活、安全的组网方式为用户提供了更高效的连接方式，保障了数据的安全性和隐私。 产品架构 VPC终端节点由两种资源实例组成：终端节点服务和终端节点。 终端节点服务：将云服务或用户私有服务配置为VPC终端节点支持的服务，允许终端节点连接和访问这些服务。 终端节点：用于建立VPC和终端节点服务之间便捷、安全、私密的连接通道。 通过访问已连接到服务的终端节点的地址，服务使用方主机可方便地访问该终端节点连接的服务，同时利用私有网络通信的优势来确保数据的安全性和隔离性。 如何访问VPC终端节点 VPC终端节点提供了方便的Web化管理控制台，供用户直接使用。同时，也提供了API方式，以便用户可以将终端节点集成到自己的系统中进行二次开发和自动化管理。 控制台方式：用户可以直接登录管理控制台来访问VPC终端节点。 如果用户已经注册了帐户，可以直接登录管理控制台，并从主页选择“网络 > VPC终端节点”来访问。 如果用户尚未注册，需要先在天翼云官网进行注册，然后再登录管理控制台。 API方式： 如果用户需要将VPC终端节点集成到第三方系统，以进行二次开发，可以使用API方式访问VPC终端节点。具体可参考VPC终端节点API参考。 这种方式允许用户通过基于HTTPS的请求来管理VPC终端节点，从而实现对终端节点的各种操作。

ODBC驱动 选择相应的版本，然后单击“下载”可以下载与集群版本匹配的ODBC驱动。如果同时拥有不同版本的集群，单击“下载”时会下载与集群最低版本相对应的ODBC驱动。如果当前没有集群，单击“下载”时将下载到低版本的ODBC驱动。DWS 集群可向下兼容低版本的ODBC驱动。 单击“历史版本”可根据操作系统和集群版本下载相应版本的ODBC驱动，建议按集群版本进行下载。 ODBC驱动支持在以下系统中使用： “Microsoft Windows”驱动支持在以下系统中使用： Windows 7及以上。 Windows Server 2008及以上。 Euler Kunpeng64”驱动支持在以下系统中使用： EulerOS 2.8。 “RedhatKunpeng64”驱动支持在以下系统中使用： CentOS 7.5,7.6。 NeoKylin 7.6。 ”Redhat x8664”驱动支持在以下系统中使用： RHEL 6.4~7.6。 CentOS 6.4~7.4。 EulerOS 2.3。 ”SUSE x8664”驱动支持在以下系统中使用： SLES 11.1~11.4。 SLES 12.0~12.3。 说明 Windows驱动只支持32位版本，可以在32或64位操作系统使用，但是应用程序必须为32位。 使用JDBC连接数据库 DWS 支持在Linux或Windows环境下使用JDBC应用程序连接数据库。应用程序可以在云平台环境的弹性云主机中，或者互联网环境连接数据库。 用户通过JDBC连接DWS 集群时，可以选择是否采用SSL认证方式。SSL认证用于加密客户端和服务器之间的通讯数据，为敏感数据在Internet上的传输提供了一种安全保障手段。DWS 管理控制台提供了自签的证书供用户下载。使用该证书，用户需要配置客户端程序，使证书可用，此过程依赖于openssl工具以及java自带的keytool工具。 说明 SSL模式安全性高于普通模式，建议在使用JDBC连接DWS 集群时采用SSL模式。 JDBC接口的使用方法，请自行查阅官方文档。

事后：损失最小化，被勒索后“及时恢复” 当前勒索攻击发展迅速，任何工具都无法提供100%防护。若不幸失陷，备份恢复能够将损失最小化。通过云备份服务快速恢复业务，保障业务安全运行。 备份数据恢复业务：首先还原业务关键型系统，请在还原之前再次验证备份是否正常。 勒索防护配置说明 当前勒索病毒频繁升级、变种，主机安全可支持对勒索病毒的检测及系统风险项的识别，但无法做到百分百的病毒防护能力，需要通过配置CBR备份服务进一步提升勒索病毒防护能力、消减勒索带来的影响。仅配置CBR备份服务，可能出现备份副本到勒索攻击时间节点间的业务无法恢复，需要同步配置HSS勒索病毒防护功能实时检测勒索病毒，减小业务受损范围。 云安全事件数据表明，HSS与CBR对勒索综合防御能力均具有影响，为使您的业务环境处于最佳勒索防御状态，强烈建议开通HSS旗舰版勒索防护策略，开通并配置小时级别永久保存的CBR备份： 企业主机安全HSS服务状态 云备份 CBR服务状态 被加密概率 加密后恢复概率 防御勒索病毒侵害的综合得分（0~100） 开通版本 勒索防护策略 配置状态 最短备份周期（推荐） 被加密概率 加密后恢复概率 防御勒索病毒侵害的综合得分（0~100） 非常高（90%） 0% 0 基础版 不支持 非常高（90%） 0% 0 企业版 不支持 非常高（85%） 0% 10 旗舰版 未配置 中（50%） 0% 15 基础版/未开通 不支持 已配置 天 非常高（90%） 50% 20 企业版 不支持 已配置 天 非常高（85%） 50% 30 基础版/未开通 不支持 已配置 小时 非常高（90%） 90% 30 旗舰版 未配置 已配置 天 中（50%） 50% 35 企业版 不支持 已配置 小时 非常高（85%） 90% 40 旗舰版 未配置 已配置 小时 中（50%） 90% 45 旗舰版 已配置 非常低（<10%） 0% 60 旗舰版 已配置 已配置 天 非常低（<10%） 50% 80 旗舰版 已配置 已配置 小时 非常低（<10%） 90% 90 旗舰版 已配置 已配置 小时（永久备份） 非常低（<10%） 90% 99（推荐）

为保障实例的稳定及安全，建议您在操作前仔细阅读本文为您介绍的天翼云关系型数据库MySQL实例级别的使用规范。 数据库实例类型选择 主备： 一主一备、一主多备的经典高可用架构。适用于政企、金融、医疗等大中型企业的生产数据库。 备机提高了实例的可靠性，主机与备机同步创建，备机具备数据备份、灾备等功能。 当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 单机： 具有较高性价比，与主流的主备实例相比，单机只包含一个节点。 适用于个人学习、测试，及微小型公司的生产环境。 单机无灾备功能，出现故障后无法进行切换。 只读： 单机版只读实例，推荐开启数据库代理功能，并购买冗余的单机版只读实例。当单个只读故障后，数据库代理可以将流量分担到其他只读节点。 天翼云官方推荐两种架构，以供参考： 1. 主实例下包含2个及以下只读实例时，高可用只读作用比较好。 2. 两个以上只读实例，建议开启数据库代理，获得更好的性价比。 说明 更多实例类型信息，请参见实例类型。 数据库实例规格选择 主机类型：目前提供四种主机类型（可能出现部分主机类型售罄，导致主机类型不存在）如下表： 主机类型 类型说明 2系列 提供基本水平的vCPU性能、平衡的计算、内存和网络资源，在主机负载较轻时，可以提供较高的计算能力，在主机负载较重时无法保证实例计算性能的稳定，但是性价比更高。 适用于对成本比较敏感、对性能抖动容忍度较高的场景。 3系列 采用第一代英特尔® 至强® 可扩展处理器 （Sky Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套10GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如小型网站、轻量级研发测试环境、中小型数据库等。 6系列 采用第二代英特尔® 至强® 可扩展处理器 （Cascade Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有一定要求的场景，如通用数据库及缓存服务器、中重载企业应用等。 7系列 采用第三代英特尔® 至强® 可扩展处理器 （Ice Lake）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更强劲稳定的计算性能、更高网络带宽和PPS收发包能力。 适用于对计算与网络有更高性能要求的Web应用、电商平台、短视频平台、在线游戏、保险金融等各类中重载企业应用。 规格： 目前提供的CPU内存规格有：1C4G、2C4G、2C8G、2C16G、4C8G、4C16G、4C32G、8C16G、8C32G、8C64G、16C32G、16C64G、16C128G、32C64G（可能出现部分规格售罄，导致部分规格不存在）。

本文介绍CCE容器集群拉取本地私有仓库镜像权限不足问题。 问题背景 用户自己搭建了一套harbor镜像仓库，并购买了天翼云的容器引擎产品。用户需要cce集群能够使用用户本地搭建的harbor镜像仓库中的镜像。 操作前提 保证该harbor仓库所在网络与cce容器引擎集群的网络是联通的 解决方案 准备好仓库的ca.crt文件 在初期进行harbor私有仓库搭建的时候，为了保证对于harbor的安全使用，对harbor的https访问进行配置，为了能够使cce集群拉取harbor的镜像，我们需要搭建harbor仓库时所使用的CA证书。证书通常存放在Harbor主机上的docker 证书目录：/etc/docker/certs.d/harbor域名/中，在/etc/docker/certs.d/harbor域名/ 中存放着我们所需要的文件：ca.crt 在cce集群上创建存放证书的文件夹 执行以下命令，创建文件夹，用于存放证书文件： mkdir p /etc/docker/certs.d/harbor域名/ 拷贝证书文件到指定文件夹 登陆本地harbor主机，将CA文件拷贝到集群主机指定文件夹下，执行以下命令： scp r /etc/docker/certs.d/harbor域名/ca.crt root@集群主机IP:/etc/docker/certs.d/harbor域名/ 验证 登陆集群节点，再集群节点上进行操作。 方法一：重新部署相关服务，验证是否能够正常拉取镜像。 方法二：通过登陆harbor仓库，执行拉取镜像操作： docker login harbor域名 docker pull 仓库名/镜像名:镜像tag

本节介绍天翼AI云电脑（政企版）的产品优势。 统一管理，维护便捷 无需设立专门的前端维护人员，桌面维护全部在管理台进行可视化操作，一键完成开通桌面、重装系统、镜像升级等操作，并通过自动化批量方式，实现快速大规模的部署。 强化安全，自主可控 网络访问使用VPC、安全组、ACL、主机防火墙进行网络隔离及访问控制，通过防火墙实施安全审计与监控。 规格丰富，配置灵活 提供灵活多样的AI云电脑规格，支持资源包方式开通使用，灵活选择系统版本，网络可配置，并可使用池化桌面提高桌面利用率。 自主领先，畅游云端 自研的CLINK安全传输协议，低延时、高画质、带宽占用少，弱网环境下也可畅快使用。 随时随地，便捷访问 用户通过终端AI云电脑应用即可快速访问调取云端资源，随时随地享受数据共享、移动办公、休闲娱乐等功能。 说明 关于天翼AI云电脑（政企版）的产品规格说明，请参考 关于天翼AI云电脑（政企版）的产品功能说明，请参考 关于天翼AI云电脑（政企版）的客户端下载，请前往

事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 IP地址冲突 IPConflict 重要 L2互联场景：一般是由于线上（本端子网）与线下（远端网段）存在相关IP地址的主机导致。 通过查看ARP、交换机信息等措施，排查出具体IP冲突的主机， 根据业务场景调整IP避免冲突。 可能导致冲突IP相关网络通信异常。

运营商 运营商编码 中国电信 001 中国联通 002 中国移动 003 中国铁通 004 教育网 005 鹏博士 006

本小节介绍续费。 续费概述 购买的HSS配额到期后，您可以进行续费以延长配额的有效期，也可以设置到期自动续费。 包年/包月企业主机安全服务到期后会影响主机安全防护效果。如果您想继续使用，需要在指定的时间内为企业主机安全服务续费，否则企业主机安全服务资源会自动释放，数据丢失且不可恢复。 续费操作仅适用于包年/包月企业主机安全服务，按需计费企业主机安全服务不需要续费，只需要保证帐户余额充足即可。 企业主机安全服务在到期前续费成功，所有资源得以保留，且主机安全防护不受影响。企业主机安全服务到期后的状态说明，请参见到期与欠费。 手动续费 在企业主机安全服务控制台续费 1、登录管理控制台。 2、单击管理控制台左上方选择区域。 3、单击页面左上角，选择“安全 > 企业主机安全 ”。 4、进入主机防护配额列表页面： 在左侧导航栏中，选择“资产管理 > 主机管理 ”。 在主机管理页面，选择“防护配额”页签。 5、手动续费配额。在待续费配额所在行，单击操作列的“更多 > 续费 ”。 6、进入支付页面，选择支付方式，确认付款，支付订单后即可完成续费。 在费用中心续费 1、登录管理控制台。 2、在界面右上角，选择“ 费用 > 续费管理 ”，进入 “续费管理”页面。 3、在手动续费页签，手动续费企业主机安全服务配额。 单个续费：在待续费的企业主机安全服务配额所在行，单击操作列的“续费”。 批量续费：勾选所有需要续费的企业主机安全服务配额，单击列表左上角的“批量续费”。 4、进入支付页面，选择支付方式，确认付款，支付订单后即可完成续费。 自动续费

检查阈值设置是否合理 1.在FusionInsight Manager，选择“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 网络写信息 > 写吞吐率”，查看该告警阈值是否合理（默认80%为合理值，用户可以根据自己的实际需求调节）。 是，执行步骤4。 否，执行步骤2。 2.根据实际服务的使用情况在“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 网络写信息 > 写吞吐率”，单击“操作”列的“修改”更改告警阈值。 如下图所示： 3.等待5分钟，检查该告警是否恢复。 是，处理完毕。 否，执行步骤4。 检查网口速率是否满足需求 4.打开FusionInsight Manager页面，在实时告警列表中，单击此告警所在行的，获取告警所在主机地址及网口。 5.以root用户登录告警所在主机。 6.执行命令ethtool 网口名称 ，查看当前网口速率最大值Speed。 说明 对于虚拟机环境，通过命令可能无法查询到网口速率，建议直接联系系统管理确认网口速率是否满足需求。 7.若网络写吞吐率超过阈值，直接联系系统管理员，提升网口速率。 8.检查该告警是否恢复。 是，处理完毕。 否，执行步骤9。 收集故障信息 9.在主集群的FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 10.在“服务”中勾选“OMS”，单击“确定”。 11.设置“主机”为告警所在节点和主OMS节点。 12.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后30分钟，单击“下载”。 13.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

检查阈值设置是否合理 1.在FusionInsight Manager，选择“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 网络读信息 > 读吞吐率”，查看该告警阈值是否不合理（默认80%为合理值，用户可以根据自己的实际需求调节）。 是，执行步骤2。 否，执行步骤4。 2.根据实际服务的使用情况在“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 网络读信息 > 读吞吐率”，单击“操作”列的“修改”更改告警阈值。 3.等待5分钟，检查该告警是否恢复。 是，处理完毕。 否，执行步骤4。 检查网口速率是否满足需求 4.打开FusionInsight Manager页面，在实时告警列表中，单击此告警所在行的，获取告警所在主机地址及网口名称。 5.以root用户登录告警所在主机。 6.执行命令ethtool 网口名称 ，查看当前网口速率最大值Speed。 说明 对于虚拟机环境，通过命令可能无法查询到网口速率，建议直接联系系统管理确认网口速率是否满足需求。 7.若网络读吞吐率超过阈值，直接联系系统管理员，提升网口速率。 8.检查该告警是否恢复。 是，处理完毕。 否，执行步骤9。 收集故障信息 9.在主集群的FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 10.在“服务”中勾选“OMS”，单击“确定”。 11.设置“主机”为告警所在节点和主OMS节点。 12.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后30分钟，单击“下载”。 13.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本节为您介绍天翼游戏云电脑的:① 计费模式; ② 订购、续订、加时、套餐升级操作指引。 订购方式 支持三种订购方式： 1. 移动端订购：通过"天翼云电脑"或"天翼云"APP内"订购云电脑"功能直接购买。 2. 天翼云官网订购：通过登录天翼云官网，进入++天翼AI云电脑（公众版）++订购。 3. 线下营业厅订购：请前往当地中国电信营业厅咨询办理。 说明 各订购方式的详细操作流程请参考 ++订购操作指引++。订购完成后即可登录使用游戏云电脑，详细操作请参考 ++登录操作指引++。 计费模式说明 游戏云电脑为包月型（预付费）产品。包月周期从购买成功时起，至下月同一日期同一时刻结束（若下月无对应日期，则按当月最后一天计算）。有效期内，系统将按秒累计实际开机时长（关机不计费）。每个新周期开始时，可用总时长将自动重置，未使用时长不累积。 例如：在5月1日 11:00:00 订购一台游戏云电脑，选择： 使用时段：晚间 计费套餐：包月15小时 购买时长：2个月 可用情况如下： 周期 包月有效期 可使用总时长 可开机时段 1 5月1日 11:00:00 6月1日 11:00:00 15 小时 每天19时至次日7时 2 6月1日 11:00:00 7月1日 11:00:00 15 小时 每天19时至次日7时 说明 单个用户每自然月（每月1日至月末最后一天）最多可订购 5台 游戏云电脑，次月1日自动重置。

天翼AI云电脑是不是和正常电脑用起来一样的？ 天翼AI云电脑和正常电脑的使用体验接近，使用天翼云电脑客户端登录您的帐号，可以快速登录使用了，所有软件及文件数据存在云端，更安全便捷。 其他运营商的网络能否接入？ 只要能接入互联网，不管是手机、宽带、WIFI都可以接入，但是建议您优先使用中国电信的网络，质量和体验更有保障。 是否可以设置计算机账户和密码？ 您可以在天翼AI云电脑“控制面板”中的“用户帐户”中设置计算机账户和密码。但天翼AI云电脑连接时默认选择administrator帐户登录。 移动客户端APP是否支持指纹识别安全登录？ 可以在“我”页面中的“账号与安全”，进入账号与安全页面。 开通指纹识别的设置后，退出应用后再次打开则需要指纹识别安全登录。 天翼AI云电脑的单台出口带宽不够，感觉什么也干不了？ 天翼AI云电脑（政企版）的上行带宽是通过用户自行开通或分配带宽大小，默认提供300M下行带宽，购买超过300M上行带宽时上下行对称。 天翼AI云电脑登录提示"无法连接服务器，请稍后再试"怎么办？ 排查方法： 1. 若为互联网登录请检查本地外网访问是否正常。 2. 若为专线接入，请telnet 专线接入地址 8810是否通，如专线接入地址：10.125.78.16 ，可以使用Windows系统下的“命令提示符”软件，输入“telnet 10.125.78.16 8810” 确认结果是否是否通，若不通请排查网络。