本章节主要介绍 ALM12070 controller资源异常。 告警解释 HA每80秒周期性检测Manager的controller资源。当HA连续2次检测到controller资源异常时，产生该告警。 当HA检测到controller资源正常后，告警恢复。 controller资源为单主资源，一般资源异常会导致主备倒换，看到告警时，基本已经主备倒换，并在新主环境上启动新的controller资源，告警恢复。该告警用于提示用户，Manager主备倒换的原因。 告警属性 告警ID 告警级别 是否自动清除 12070 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Manager主备倒换。 controller进程持续重启，可能引起无法登录FusionInsight Manager。 可能原因 controller进程异常。 处理步骤 检查controller进程是否异常 1.打开FusionInsight Manager页面，在告警列表中，单击此告警所在行的，查看该告警的主机名称。 2.以root用户登录该告警的主机地址。 3.执行命令 su omm ，执行 sh ${BIGDATAHOME}/omserver/OMS/workspace0/ha/module/hacom/script/statusha.sh ，查询当前HA管理的controller资源状态是否正常（单机模式下面，controller资源为normal状态；双机模式下，controller资源在主节点为normal状态，在备节点为stopped状态。）。 是，执行步骤6。 否，执行步骤4。 4.执行命令 vi $BIGDATALOGHOME/omm/oms/ha/scriptlog/controller.log ，查看ha的controller资源日志，执行命令 vi $BIGDATALOGHOME/controller/controller.log ，查看controller运行日志，是否有关键字“ERROR”，分析日志查看资源异常原因并修复。 5.等待五分钟，查看告警是否恢复。 是，操作结束。 否，执行步骤6。

主机类型 版本 支持实例数 X86通用型 单机版2C4G 500 X86通用型 集群版2C4G3节点 4000 X86通用型 集群版4C8G3节点 7000 X86通用型 集群版8C16G3节点 14000 X86通用型 集群版16C32G3节点 25000

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到CPU高负载 动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，可以通过以下方式验证演练效果。 1、观测实例指标： 在演练运行详情 页的监控指标 页签，观测主机CPU使用率指标。 登录分布式缓存服务Redis版 控制台， 进入目标实例的性能监控 页， 观测主机CPU使用率 指标。 2、业务应用验证： 观察业务应用表现，查看对该Redis实例的读写操作是否出现失败或延迟。 如果是对主节点注入故障，查看该Redis实例的主备切换是否触发；如确认触发，查看业务应用是否连接到新的主节点。

本章节主要介绍补丁操作指导。 当您通过如下途径获知集群版本补丁信息，请根据您的实际需求进行补丁升级操作。 通过消息中心服务推送的消息获知MapReduce服务发布了补丁信息。 进入现有集群，查看“补丁信息”页面，呈现补丁信息。 安装补丁前准备 请参见执行健康检查检查集群状态，确认集群健康状态正常后再安装补丁。 您根据“补丁内容”中的补丁信息描述，确认将要安装的目标补丁。 安装补丁 1.登录MRS管理控制台。 2.选择“集群列表 > 现有集群”，选中一集群并单击集群名，进入集群基本信息页面。 3.进入“补丁管理”页面，在操作列表中单击“安装”，安装目标补丁。 说明 对于集群中被隔离的主机节点，请参见 卸载补丁 1.登录MRS管理控制台。 2.选择“集群列表 > 现有集群”，选中一集群并单击集群名，进入集群基本信息页面。 3.进入“补丁管理”页面，在操作列表中单击“卸载”，卸载目标补丁。 说明 对于集群中被隔离的主机节点，请参见

本章节主要介绍翼MR Manager的集群服务配置同步的操作。 操作场景 支持将新的配置文件或修改后的配置同步到相应主机上。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“集群服务”，进入集群服务列表页面。 5. 选择指定集群服务，单击集群服务名称进入集群服务详情页面。 6. 单击“配置管理”tab。 7. 如果配置信息存在变更需要同步生效，“同步”按钮上有数字提示待同步配置文件数。此时单击“同步”按钮，进行配置同步操作。如图所示： 8. 进入待同步配置页面，可查看待同步的配置文件、目标主机等信息。如图所示： 9. 单击“配置同步”按钮，跳转到配置同步菜单页面，点击刷新图标直到同步完成。如图所示： 10. 单击“详情”操作，进入到配置同步详情页面，查看配置同步进度。如图所示：

增强版Proxy集群实例规格Redis 6.0/7.0 注意 Proxy集群实例类型为白名单特性，暂未开放使用。 增强版Proxy集群主备只支持选择计算增强型主机。 单个分片规格性能指标如下： 规格名称 内存/单片内存（GB） 最大连接数/单片连接数 QPS参考值 最大带宽（Gbps） 基准带宽（Gbps） DB数 4GB 4 10000 270,000 15 3 1 8GB 8 10000 300,000 15 3 1 16GB 16 10000 300,000 15 3 1 32GB 32 10000 300,000 15 3 1 64GB 64 10000 300,000 20 6 1 增强版读写分离实例规格Redis 6.0/7.0 增强版读写分离只支持选择计算增强型主机。 使用限制： 读写分离实例的读请求会发送到从节点，从节点从主节点同步数据会有一定的时延。请确保业务侧能够容忍主从同步的时延。 单个分片规格性能指标如下： 规格名称 内存/单片内存（GB） 最大连接数/单片连接数 QPS参考值 最大带宽（Gbps） 基准带宽（Gbps） DB数 4GB 4 10000 270,000 15 3 256 8GB 8 10000 300,000 15 3 256 16GB 16 10000 300,000 15 3 256 32GB 32 10000 300,000 15 3 256 64GB 64 10000 300,000 20 6 256

4. 如何配置基于名称的虚拟主机？ 在 Kubernetes 的 Ingress 中，你可以通过配置基于名称的虚拟主机（Namebased Virtual Host）来根据请求的主机名将流量路由到不同的服务。下面是具体的操作步骤： 创建每个服务的 Deployment 和 Service——对于每个你想通过虚拟主机路由到的应用，你需要创建一个 Deployment 和一个 Service。在你的 Service 配置中，确保你已经开启了正确的端口。 创建 Ingress Resource——创建一个 Ingress Resource，并在其中定义你的路由规则。对于基于名称的虚拟主机，你需要在 spec.rules 中为每个主机名定义一个规则。例如： yaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: namebasedingress spec: rules: host: app1.ctyun.com http: paths: pathType: Prefix path: "/" backend: service: name: app1service port: number: 8080 host: app2.ctyun.com http: paths: pathType: Prefix path: "/" backend: service: name: app2service port: number: 8080 在此示例中，所有发往 app1.ctyun.com 的流量将被路由到 app1service，而所有发往 app2.ctyun.com 的流量将被路由到 app2service。 应用 Ingress Resource——使用 kubectl apply 命令应用你的 Ingress Resource： bash kubectl apply f namebasedingress.yaml 配置 DNS 记录——你需要在你的 DNS 服务提供商处为每个主机名创建一个 DNS 记录，将其解析到你的 Ingress 控制器的 IP 地址。 验证配置——你可以通过向每个主机名发送 HTTP 请求来验证你的配置是否正确。如果你的配置正确，你应该能看到来自正确应用的响应。

本小节介绍态势感知威胁检测。 威胁概览 在“威胁检测 > 威胁概览”页面，主要统计分析当前用户环境所面临的威胁情况，具体包括： 异常行为的总量及高危异常行为类型TOP3。 威胁行为类型：统计最近24h的异常行为类型及数量。 受影响主机排行：根据最近24h的异常行为数量，统计受影响主机TOP5，表格展示资产IP、资产归属、异常行为数。 威胁方排行：根据威胁数量统计最近24h的威胁方排行，国内、国际分别统计TOP5，表格展示威胁方IP、所在地、异常行为数。 威胁方归属地：统计异常行为数最多的威胁方所在地，国内、国际分别统计TOP10。 威胁列表 在“威胁检测 > 威胁列表”页面，详细记录了威胁事件信息。 威胁事件支持按照时间、按照事件的属性进行筛选。 威胁事件根据威胁类型和威胁明细，统计影响最多的前十类。 威胁列表展示威胁事件发生的时间、源IP、目的IP、协议、流向、威胁类型、威胁明细、严重级别、攻击阶段、来源、威胁方归属地、探针IP。

使用块存储 块存储使用可参考以下入门流程： 1. 通过块空间列表，进行新建块空间操作。具体操作可参考：新建块空间。 2. 通过控制台查看块空间详情，获取挂载信息用以后续的挂载操作，具体操作可参考：块空间管理。 3. 对块空间进行挂载操作，根据不同的操作系统，可参考如下的挂载说明： Linux主机挂载 。 Windows主机挂载 。 使用文件存储 文件存储使用可参考以下入门流程： 1. 通过文件空间或文件系统列表，进行新建文件空间操作。具体操作可参考：新建文件空间。 2. 通过控制台查看挂载点详情，获取挂载信息用以后续的挂载操作，具体操作可参考：挂载点管理。 3. 对块空间进行挂载操作，根据不同的操作系统，可参考如下的挂载说明： NFS协议挂载 。 CIFS协议挂载 。 SMB协议挂载。

关闭订阅 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“安全报告”进入安全报告概览页面。服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击目标报告的开关，使其状态为打开，表示目标报告订阅已关闭。 删除报告 注意 默认的按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板不可删除。 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“安全报告”进入安全报告概览页面。 查看安全报告 服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击目标报告的“删除”，对目标报告进行删除。

本章节主要介绍翼MapReduce服务导出服务日志。 操作场景 该任务指导用户从MRS Manager导出各个服务角色生成的日志。 前提条件 用户已经获取帐号对应的Access Key ID（AK）和Secret Access Key（SK）。 用户已经在帐号的对象存储服务（OBS）中创建了并行文件系统。 操作步骤 在MRS Manager，单击“系统设置”。 1. 单击“维护”下方的“日志导出”。 2. “服务”选择服务，“主机”填写服务所部署主机的IP，“开始时间”与“结束时间”选择对应的开始与结束时间。 3. 在“导出类型”选择一个日志保存的位置。只有启用了Kerberos认证的集群支持选择。 “下载到本地”：表示将日志保存到用户当前的本地环境。然后执行步骤8。 “上传到OBS”：表示将日志保存到OBS中。默认值。然后执行步骤5。 4. 在“OBS路径”填写服务日志在OBS保存的路径。 需要填写完整路径且不能以“/”开头，路径可以不存在，系统将自动创建。OBS的完整路径最大支持900个字节。 5. 在“桶名”输入已创建的OBS文件系统名称。 6. 在“AK”和“SK”输入用户的Access Key ID和Secret Access Key。 7. 单击“确定”完成日志下载。

本节主要介绍搜索日志 当需要通过日志来分析和定位问题时，使用日志搜索功能可帮您快速在海量日志中查询到所需的日志，您还可结合日志的来源信息和上下文原始数据一起辅助定位问题。 操作步骤 步骤 1 在AOM左侧导航栏中选择“日志 > 日志搜索”。 步骤 2 在“日志搜索”页面中选择日志页签（即组件、系统、主机）并按照界面提示设置日志查询条件。 步骤 3 查看日志搜索结果。 搜索结果中，关键词会高亮显示，同时会根据日志的采集时间对搜索结果进行排序，以方便您查看。您可单击“时间”列的进行切换排序。 为默认排序，为按时间正序排序（即时间最新的日志显示在最后方），为时间倒序排序（即时间最新的日志显示在最前方） 1、单击日志列表左侧的箭头，可进一步查看该条日志的详细信息。 2、AOM支持查看上下文信息，您不用在原始日文文件中上下翻页查找日志，单击“操作”列的“上下文”，即可查看该日志的前若干条（即上文）或后若干条（即下文）的日志，方便您定位问题。 在“上下文显示行数”下拉列表框中，可设置该条日志的上下文原始数据显示行数。 说明 例如，设置“上下文显示行数”为“200”。 若该日志之前已打印的日志条数 ≥100，该日志之后已打印的日志条数 ≥99，则该日志之前的100条和之后的99条日志会被作为上下文显示。 若该日志之前已打印的日志条数 <100（例如，已打印90条日志），该日志之后已打印的日志条数 <99（例如，已打印80条日志），则该日志之前的90条和之后的80条日志会被作为上下文显示。 单击“导出本页”，可将已显示的日志上下文原始数据导出到本地。 说明 为了保障租户主机和组件的正常运行，租户的主机上会运行部分系统提供的组件（例如，kubedns）。查询租户日志时也会查询到这些组件的日志。 步骤 4 （可选）单击“”，选择导出格式，将搜索结果导出到本地。 导出的日志内容已按步骤3中您选择的排序方式进行了排序，且最多导出已排序的前5000条日志。例如，搜索结果中总共有6000条日志，已选择的排序方式是倒序，则只能导出时间最近的前5000条日志。 支持以CSV格式和TXT格式导出日志，您可根据需求灵活选择。CSV格式可导出日志的内容、主机IP、来源等详细信息。TXT格式只能导出日志的内容，每行为一条日志，如果单条日志内容较多时建议使用Notepad++编辑器打开。 以CSV格式导出日志 以TXT格式导出日志

Dockerfile基本语法 FROM： 指定待扩展的父级镜像（基础镜像）。除注释之外，文件开头必须是一个FROM指令，后面的指令便在这个父级镜像的环境中运行，直到遇到下一个FROM指令。通过添加多个FROM命令，可以在同一个Dockerfile文件中创建多个镜像。 MAINTAINER： 声明创建镜像的作者信息：用户名、邮箱，非必须参数。 RUN： 修改镜像的命令，常用来安装库、安装程序以及配置程序。一条RUN指令执行完毕后，会在当前镜像上创建一个新的镜像层，接下来的指令会在新的镜像上继续执行。RUN 语句有两种形式： RUN yum update ：在/bin/sh路径中执行的指令。 RUN ["yum", "update"] ：直接使用系统调用exec来执行。 RUN yum update && yum install nginx ：使用&&符号将多条命令连接在同一条RUN语句中。 EXPOSE： 指明容器内进程对外开放的端口，多个端口之间使用空格隔开。 运行容器时，通过设置参数 P （大写）即可将EXPOSE里所指定的端口映射到主机上其他的随机端口，其他容器或主机可以通过映射后的端口与此容器通信。 您也可以通过设置参数 p （小写）将Dockerfile中EXPOSE中没有列出的端口设置成公开。 ADD： 向新镜像中添加文件，这个文件可以是一个主机文件，也可以是一个网络文件，也可以是一个文件夹。 第一个参数：源文件（夹）。 如果是相对路径，必须是相对于Dockerfile所在目录的相对路径。 如果是URL，会将文件先下载下来，然后再添加到镜像里。 第二个参数：目标路径。 如果源文件是主机上的zip或者tar形式的压缩文件，容器引擎会先解压缩，然后将文件添加到镜像的指定位置。 n 如果源文件是一个通过URL指定的网络压缩文件，则不会解压。 VOLUME： 在镜像里创建一个指定路径（文件或文件夹）的挂载点，这个容器可以来自主机或者其它容器。多个容器可以通过同一个挂载点共享数据，即便其中一个容器已经停止，挂载点也仍可以访问。 WORKDIR： 为接下来执行的指令指定一个新的工作目录，这个目录可以是绝对目录，也可以是相对目录。根据需要，WORKDIR可以被多次指定。当启动一个容器时，最后一条WORKDIR指令所指的目录将作为容器运行的当前工作目录。 ENV： 设置容器运行的环境变量。在运行容器的时候，通过设置e参数可以修改这个环境变量值，也可以添加新的环境变量。 例如： docker run e WEBAPPPORT8000 e WEBAPPHOSTwww.example.com ... CMD： 用来设置启动容器时默认运行的命令。 ENTRYPOINT： 用来指定容器启动时的默认运行的命令。区别在于：运行容器时添加在镜像之后的参数，对ENTRYPOINT是拼接，CMD是覆盖。 若在Dockerfile中指定了容器启动时的默认运行命令为 ls l ，则运行容器时默认启动命令为 ls l ，例如： ENTRYPOINT [ "ls", "l"] ：指定容器启动时的程序及参数为 ls l 。 docker run centos ：当运行centos容器时，默认执行的命令是docker run centos ls l docker run centos a ：当运行centos容器时拼接了a参数，则默认运行的命令是docker run centos ls l a 若在Dockerfile中指定了容器启动时的默认运行命令为 entrypoint ，则在运行容器时如果需要替换默认运行命令，可以通过添加entrypoint参数来替换Dockerfile中的指定。例如： docker run gutianlangyu/test entrypoint echo "hello world" USER： 为容器的运行及RUN、CMD、ENTRYPOINT等指令的运行指定用户或UID。 ONBUILD： 触发器指令。构建镜像时，容器引擎的镜像构建器会将所有的ONBUILD指令指定的命令保存到镜像的元数据中，这些命令在当前镜像的构建过程中并不会执行。只有新的镜像使用FROM指令指定父镜像为当前镜像时，才会触发执行。 使用FROM以这个Dockerfile构建出的镜像为父镜像，构建子镜像时： ONBUILD ADD . /app/src ：自动执行ADD . /app/src

参数 是否必填 参数类型 说明 示例 下级对象 hostnum 是 Integer 节点数： MASTER 最小为3，最大为50； EXCLUSIVEMASTER 最大为3； COORDINATE 最大为32； COLD 最大为50； ３ iotype 是 String IO类型： SSDgenric（通用型SSD）、SAS（高IO）、SSD（超高IO）、XSSD0、XSSD1 MASTER 节点可选：SSDgenric、SAS、SSD EXCLUSIVEMASTER 节点可选：SSDgenric、SSD COORDINATE 节点可选：SSDgenric、SSD COLD 节点可选：SSDgenric、SAS、SSD 海光、飞腾类型的主机不支持超高IO磁盘 仅海光4、增强型主机可以使用XSSD系列磁盘 SSDgenric volume 是 Integer 存储容量： MASTER 节点可选：40 6144GB EXCLUSIVEMASTER 节点可选：固定 40 GB COORDINATE 节点可选：固定 40 GB COLD 节点可选：40 6144GB 40 iaasvmspeccode 是 String 实例规格code 每个资源池可用区下可选择的机型，参考订购页面展示的机型信息 规格code参考“概述”文档中的 s7.2xlarge.4 nodegrouptype 是 String 节点组类型： MASTER（数据节点）/EXCLUSIVEMASTER（专属master节点）/COORDINATE（专属协调节点）/COLD（冷数据节点） MASTER

地域 容灾管理中心 容灾演练 主机高可用 持续数据保护 数据库双活 文件存储数据灾备 对象存储数据灾备 数据定时灾备 华东1 √ √ √ √ √ √ √ √ 西南1 √ √ √ √ √ √ √ √ 华南2 √ √ √ √ √ √ √ √ 西南2 √ √ √ √ √ √ √ √ 华北2 √ √ √ √ √ √ √ √ 芜湖4 √ √ √ √ √ √ √ √ 长沙42 √ √ √ √ √ √ √ √

本章节主要介绍开发脚本的开发Python脚本。 对Python脚本进行在线开发、调试和执行，开发完成的脚本也可以在作业中执行（请参见开发作业）。 前提条件 已新增Python脚本，请参见新建脚本。 已新建主机连接，该主机配有用于执行Python脚本的环境。新建主机连接请参见下表。 当前用户已锁定该脚本，否则需要通过“抢锁”锁定脚本后才能继续开发脚本。新建或导入脚本后默认被当前用户锁定，详情参见下方编辑锁定功能。 约束限制 Python脚本暂不支持脚本参数及作业参数。 操作步骤 1. 登录DataArts Studio控制台。选择实例，点击“进入控制台”，选择对应工作空间的“数据开发”模块，进入数据开发页面。 详见下图：选择数据开发 2. 在数据开发主界面的左侧导航栏，选择“数据开发 > 脚本开发”。 3. 在脚本目录中，双击脚本名称，进入脚本开发页面。 4. 在编辑器上方，配置执行Python脚本的主机连接。 5. 在编辑器中编辑Python语句。为了方便脚本开发，数据开发模块提供了如下能力： − 脚本编辑器支持使用如下快捷键，以提升脚本开发效率。 Ctrl + /：注释或解除注释光标所在行或代码块 Ctrl + S：保存 Ctrl + Z：撤销 Ctrl + Y：重做 Ctrl + F：查找 Ctrl + Shift + R：替换 Ctrl + X：剪切，光标未选中时剪切一行 Alt + 鼠标拖动：列模式编辑，修改一整块内容 Ctrl + 鼠标点选：多列模式编辑，多行缩进 Shift + Ctrl + K：删除当前行 Ctrl + →或Ctrl + ←：向右或向左按单词移动光标 Ctrl + Home或Ctrl + End：移至当前文件的最前或最后 Home或End：移至当前行最前或最后 Ctrl + Shift + L：鼠标双击相同的字符串后，为所有相同的字符串添加光标，实现批量修改 − 支持设置脚本责任人 单击编辑器右侧的“脚本基本信息”，可设置脚本的责任人和描述信息。 6. 在编辑器上方，单击“运行”。Python语句运行完成后，在编辑器下方可以查看脚本的执行历史和执行结果。 说明 对于执行结果支持如下操作： 重命名：可通过双击执行结果页签的名称进行重命名，也可通过右键单击执行结果页签的名称，单击“重命名”。重命名不能超过16个字符。 可通过右键单击执行结果页签的名称关闭当前页签、关闭左侧页签、关闭右侧页签、关闭其它页签、关闭所有页签。 7. 在编辑器上方，单击，保存脚本。 如果脚本是新建且未保存过的，请配置如下表所示的参数。 保存脚本 参数 是否必选 说明 脚本名称 是 脚本的名称，只能包含字符：英文字母、数字、中文、中划线、下划线和点号，且长度小于等于128个字符。 描述 否 脚本的描述信息。 选择目录 是 选择脚本所属的目录，默认为根目录。 说明 如果脚本未保存，重新打开脚本时，可以从本地缓存中恢复脚本内容。

本节介绍如何查看基线检查结果。 操作场景 检查计划设置完成后，如果需尽快查看检查结果，可以在基线检查页面，执行立即检查。执行完成后，约10分钟后将可以在检查结果页面进行查看，立即检查相关操作请参见立即执行基线检查。 如果未执行立即检查，系统将按照已设置的检查计划，在指定时间内执行检查，例如，默认每隔3天检查一次，每次在00:00~06:00执行。检查完成后，将可以在检查结果页面中进行查看。 前提条件 已进行云服务基线扫描。 仅态势感知（专业版）专业版支持“操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包，需要提前在态势感知（专业版）接入企业主机安全HSS的“主机安全基线”日志且打开“主机安全基线”日志对应的“自动转告警”按钮。接入日志数据详细操作请参见接入日志数据。 操作步骤 查看某工作空间中所有检查项的检查结果。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. （可选）在左侧导航栏选择“日志审计> 云服务接入”，进入云服务日志接入成页面后，在态势感知（专业版）所在行的“审计相关日志”列，开启合规基线日志设置。 每个Region的首个工作空间可自动加载当前Region所有数据，无需手动处理。后续新增的用于自定义运营的工作空间，不会自动加载数据，需要用户自定义接入。 本步骤介绍手动接入操作指导。 设置完成后，如果需尽快查看检查结果，可以在基线检查页面，执行立即检查。执行完成后，约10分钟后将可以在检查结果页面进行查看，立即检查相关操作请参见立即执行基线检查。 如果未执行立即检查，系统将按照已设置的检查计划，在指定时间内执行检查，例如，默认每隔3天检查一次，每次在00:00~06:00执行。检查完成后，将可以在检查结果页面中进行查看。 5. 在左侧导航栏选择“风险预防> 基线检查”，默认进入检查结果页面。 6. 在检查结果页面中，查看检查项的检查结果，参数说明如下所示： 参数名称 参数说明 风险资源及风险等级 最近一次支持基线检查的检查结果中，风险资源总数、不同风险等级的不合格检查项目数据和对应的风险资源的数量。 风险等级分为：致命、高危、中危、低危、提示几个级别。 策略扫描情况 对各个云服务的资产扫描后，合格、不合格以及检查失败数据信息。 安全包遵从状态 最近一次执行基线检查后，各个安全遵从包中合格、不合格以及检查失败数据和不合格检查项目所占比例。 检查结果合格率 最近一次执行基线检查的基线合格率。 检查结果合格率 基线检查合格项 / (合格项 + 不合格项 + 检查失败项) 100%，不涉及的检查项将不会计算在内。 安全遵从包及检查结果列表 展示所有遵从包以及检查结果列表。 如果需要查看某个遵从包的检查结果，可以在左侧选择需要查看的检查规范，右侧列表中将会展示该遵从包中的检查项的检查结果详情。 单击检查结果列表右上角的设置按钮，可以对列表展示（例如，是否换行、是否固定操作列等）进行设置。 如需查看某个基线检查项详情，可以单击待查看检查项名称，进入检查项目详情页面。 在检查项目详情页面，查看检查项目的详细描述、检查过程、检查结果和对应的检查资源等详细信息。

本文主要介绍什么是访问控制策略。 共享型和独享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 访问流量的IP先通过白名单或黑名单访问控制，然后负载均衡转发流量，通过安全组安全规则限制，所以安全组的规则设置是不会影响负载均衡的白名单或黑名单设置访问控制。 访问控制只限制实际业务的流量转发，不限制ping命令操作，被限制的IP仍可以ping通后端主机。 配置了白名单，但是不在白名单的IP也能访问后端主机，可能的原因是该连接为长连接。需要客户端或后端主机断开该长连接。访问控制策略对新建的连接是实时生效的。 天翼云部分二类节点正在升级，以支持访问控制策略的IP地址组能力，敬请客户随时关注。 设置访问控制策略 1. 登录管理控制台。 2. 在管理控制台左上角单击 图标，选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击负载均衡名称，进入监听器管理界面。 5. 在需要添加访问控制策略的监听器基本信息页面，单击访问控制右侧“设置访问控制”按钮，配置访问控制策略。 访问控制参数说明表 参数 说明 样例 访问策略 可以选择允许所有IP访问、白名单和黑名单。 允许所有IP访问：不进行访问控制，允许所有IP访问负载均衡监听器。 白名单：仅允许IP地址组中的IP访问负载均衡监听器。黑名单：不允许IP地址组中的IP访问负载均衡监听器。 黑名单 IP地址组 设置白名单或者黑名单时，必须选择一个IP地址组。 如果还未创建IP地址组，需要先创建IP地址组。 ipGroupb2 访问控制开关 当访问策略选择白名单或者黑名单时，可以开启或者关闭访问控制开关。 开启：开启访问控制开关，设置的白名单和黑名单才会生效。 关闭：关闭访问控制开关，设置的白名单和黑名单不生效。 6. 配置完成，点击“确定”。

本文为您介绍山石防火墙如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置项 示例值 IKE 认证算法 SHA256 IKE 加密算法 3DES IKE DH分组 Group14 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK aa123bb IPsec 认证算法 SHA256 IPsec 加密算法 3DES IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 登录防火墙Web页面，在网络>VPN>IPsec VPN页面，在右上角的相关配置中选择P1提议，进入P1提议页面。 2. 在P1提议页面，单击“新建”，进入阶段1提议配置页面。 3. 在阶段1提议配置页面，根据天翼云IPsec连接中的配置信息进行配置，单击“确定”， 完成配置。 4. 在右上角的相关配置中选择P2提议，进入阶段2提议页面。 5. 在P2提议页面，单击“新建”，进入阶段2提议配置页面。 6. 在阶段2提议配置页面，根据天翼云IPsec连接中的配置信息进行配置，单击“确定”， 完成配置。 7. 在IPsec VPN页面， 单击“新建”，进入IPsec VPN配置页面。 8. 在IPSec VPN配置页面，展开“对端选择”下拉框，单击，进入VPN对端配置页面。 9. 在VPN对端配置页面，根据天翼云IPsec连接中的配置信息进行配置，单击“确定”，完成配置。 10. 在IPsec VPN配置页面，选择创建好的对端体，并根据天翼云IPsec连接中的配置信息完成隧道配置，单击“确定”。 11. 配置完成后，可以在IPsec VPN页面查看相关配置信息。 12. 在网络>安全域页面，单击“新建”按钮新建安全域。在安全域名称页面，输入安全域的名称，并在类型中选择三层安全域。 13. 在网络>接口页面，单击“新建”隧道接口，在隧道接口配置页面，根据提示输入配置接口名称、安全域、IP配置、绑定隧道配置（选择IPSec VPN及VPN名称）等，单击“确定”，完成配置。 14. 在策略>安全策略页面，单击“新建”，进入安全策略页面。根据提示输入配置，单击“确定”，配置完成。 15. 在网络>路由页面，单击“新建”分别添加上行和下行路由。 上行路由：目的地址为天翼云VPC的网段，下一跳为新建的隧道接口。 下行路由：如果目的网段非本地直连路由，请按需添加下行路由。 16. 测试连通性。 可以利用您的云主机和您的数据中心主机进行连通性测试。

参数 参数类型 说明 示例 下级对象 agentGuid String agentGuid testagentGuid custName String 主机名称 testcustName publicIp String 公网ip 192.168.1.1 displayName String 实例名称 testdisplayName agentIp String 私有ip 192.168.1.1 status String 状态 已关机 运行中 其他 osType String 操作系统类型 Windows Linux Windows statusCode Integer 服务器状态 4已关机 5运行中 40其他 5 isCurrentHost Boolean 是否是当前机器

以旗舰版为例,风险发现模块主要包含安全补丁、漏洞检测、弱密码、应用风险、系统风险和账号风险六大功能。 通用功能介绍 下面以安全补丁界面为例，进行通用功能介绍，各功能详情，请登录服务器安全卫士控制台进行查看。 1.视图转按钮：包括资产视图、主机视图。点击 按钮，可切换至“主机视图”； 2.条件筛选框 3.状态统计图按钮：点击 按钮，收起/展开统计图区域； 4.检查/导出按钮 立即检查：对单独项目进行扫描；导出：导出单项检查结果； 5.更多设置按钮：点击 按钮，显示全部； 6.排序按钮：鼠标移入列名，点击按钮对数据进行排序，点击 按升序排列， 按降序排列； 设置显示列按钮：点击 ，可设置显示列，控制列表中的数据显示/隐藏。

为了保证用户数据的安全，OOS提供以下安全策略来保障用户数据的安全性：用户签名验证、Bucket权限控制、访问控制、Bucket Policy安全策略、合规保留。详见API参考 安全策略。 在用户访问层面，所有针对OOS的数据请求都需要进行签名验证，OOS提供全方位的访问控制策略，使文件的拥有者对该文件有灵活的访问控制权。 在数据传输层面，不论是通过Web门户还是REST接口，用户的数据访问和操作都可以通过HTTPS协议进行，以确保数据传输中没有安全死角。 在数据存储层面，OOS将用户数据自动切片，进行分布式保存，并且对每片数据进行签名，即使数据被盗，没有用户的账号信息依然无法对数据进行破解，这样就充分保证了数据在存储层面的安全性。 在OOS系统的运维层面，通过利用天翼云的“虚拟云桌面”技术，运维人员无法直接访问生产系统，而必须一个可录像的“虚拟桌面”才能访问，运维人员的一举一动都将被记录在案。 在数据中心的运维层面，天翼云具备全球最先进的数据中心管理和运营能力。OOS部署在8级抗震、一级耐火、一级防水、通过ISO27001认证的的数据中心内部，与中国电信通信枢纽数据中心（武警守卫）同级别，具备完善的门禁制度、人员访控制度、设备巡检制度，确保物理层面的万无一失。

检查与DBService连接的网络是否正常 8.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 服务 > Hue > 实例”，记录主Hue的IP地址。 9.登录主Hue的IP地址。 10.执行ping命令，查看主Hue所在主机与DBService服务所在主机的网络连接是否正常。（获取DBService服务IP地址的方式和获取主Hue IP地址的方式相同。） 是，执行步骤13。 否，执行步骤11。 11.联系网络管理员恢复网络。 12.等待几分钟。检查“Hue服务不可用”告警是否恢复。 是，处理完毕。 否，执行步骤13。 收集故障信息 13.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 14.在“服务”框中勾选如下节点信息。 Hue Controller 15.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 16.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 服务 > Hue”。 17.选择“更多 > 重启服务”，单击“确定”。 18.检查该告警是否恢复。 是，处理完毕。 否，执行步骤19。 19.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

参数 是否必填 参数类型 说明 示例 下级对象 scaRuleId 是 Integer 基线策略id 1 agentGuid 否 String agentGuid testagentguid custName 否 String 主机名称 testcustname agentIp 否 String 服务器IP 192.168.0.1 scaId 是 Integer 基线模板id 1

计费项 计费说明 资产配额 按购买的资产配额数计费，包括主机资产配额数和网站资产配额数。 按包周期购买计费 提供包月和包年的购买模式。 按需购买计费 即开即停，按小时结算。

参数 是否必填 参数类型 说明 示例 下级对象 agentStateCode 否 String agent状态 12在线 13离线 12 custName 否 String 主机名称 testhostname type 否 String 服务器类型：vm 虚机；pm 物理机 vm agentIp 否 String 服务器ip 192.168.1.1

引擎类型 适用业务场景 可用区CPU架构 集群 集群模式部署，主机级容灾，高可用。 x86 单机 单节点部署，不支持容灾，非高可用。 须知“单机”类型的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境。 x86

高质量网络保障 依托中国电信骨干网和智能调度系统，AOne会议可实现毫秒级音视频传输延迟、动态网络调优，并具备自动线路切换与QoS保障机制，为用户提供高流畅、低延迟的会议体验。 完善的售后服务体 31省本地化的销售网络体系，提供“家门口”的精细化客户服务。 724小时的运维服务，全力保障客户业务稳定运行。 大客户、政企客户专属客服，提供定制化开发和服务。 天翼云开发者社区，提供给客户自由讨论的专属空间，实现知识互通共享。

本节主要介绍导入资源信息 您可以参考本章节导入主机、数据库等资源，以供后续迁移使用。 前提条件 已完成配置系统相关的信息。 操作步骤 步骤1 在浏览器中输入 步骤2 单击左侧导航栏的“ 资源发现 ”，进入资源发现界面。 步骤3 单击界面右上角的“ 一键导入 ”，进入一键导入界面。 一键导入 步骤4 选择导入类型，如“ 批量添加模板 ”。 步骤5 下载模板，根据模板填入 主机名 、 OS类型 、 IP地址 、 凭证名 、 用户名 、用户密码 后导入文件，单击“ 导入 ”。 选择导入类型

参数名称 参数说明 威胁告警 呈现 近7天内 本账号所有工作空间内未处理威胁告警，可快速了解资产遭受的威胁告警类型和数量，呈现威胁告警的统计结果。统计信息更新频率为每5分钟更新一次。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了入侵事件，建议您立即查看告警事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常事件，建议您立即查看告警事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该告警事件的详情。 单击威胁告警模块，系统将列表实时呈现近7天内TOP5的威胁告警事件，可快速查看威胁告警详情，监控威胁告警状况。 列表呈现近7天TOP5的威胁告警事件的信息，包括威胁告警名称、告警等级、资产名称、告警发现时间。 若列表显示内容为空，表示近7天无威胁告警事件。 单击“查看更多”，可跳转到“告警管理”页面，查看更多的威胁告警信息，并可自定义过滤条件查询告警信息。 漏洞 展示当前工作空间中您资产中TOP5漏洞类型，以及近7天内还未修复的漏洞总数和不同漏洞风险等级对应的数量。统计信息更新频率为每5分钟更新一次。 此处严重等级含义如下： 高危：即高危风险，表示资产中检测到了漏洞事件，建议您立即查看漏洞事件的详情并及时进行处理。 中危：即中危风险，表示资产中检测到了可疑的异常事件，建议您立即查看漏洞事件的详情并及时进行处理。 其他：即其他类型（低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该漏洞的详情。 单击漏洞模块中的“漏洞类型Top5”栏，系统将列表呈现TOP5（根据某个漏洞影响的主机数量进行排序）的漏洞类型。 此处的TOP等级是根据某个漏洞影响的主机数量进行排序，受影响主机数量越多排名越靠前。 仅当主机中Agent版本为2.0时，才会在“漏洞类型Top5”中显示对应数据。如未显示数据或需要查看TOP5漏洞类型，请将主机将Agent1.0升级至Agent2.0。 单击漏洞模块中的“实时监控最新漏洞风险事件 Top5”栏，系统将列表实时呈现近7天内TOP5的漏洞事件，可快速查看漏洞详情。 列表呈现当日最新TOP5漏洞事件详情，包括漏洞名称、漏洞等级、资产名称、漏洞发现时间。 若列表显示内容为空，表示当日无漏洞事件。 单击“查看更多”，可跳转到“漏洞管理”页面，查看更多的漏洞信息，并可自定义过滤条件查询漏洞信息。 合规检查 展示当前工作空间中您资产中存在的合规风险总数量和不同危险等级的合规检查风险对应的数量。统计信息更新频率为每5分钟更新一次。仅统计近30天的合规检查结果。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了不合规配置，建议您立即查看合规异常事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常配置，建议您立即查看合规检查事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常配置，建议您及时查看该合规检查项目的详情。 单击合规检查异常模块，系统将列表实时呈现近30天内TOP5的合规检查异常事件，可快速查看合规检查详情。 列表呈现最近一次合规检查中TOP的合规异常事件详情，包括合规检查项目名称、等级、受影响资产数量、发现时间。 若列表显示内容为空，表示近30天无合规异常事件。 单击“查看更多”，可跳转到“基线检查”页面，查看更多的合规异常信息，并可自定义过滤条件查询合规检查信息。

参数 参数类型 说明 示例 下级对象 serverName String 主机名称 testhostname displayName String 实例名称 testinstancename osType String 操作系统类型 Linux/Windows Windows agentGuid String agentGuid 1234567890 vulCount Integer 漏洞数量 0 lastFoundTime String 最后发现时间 20200101 00:00:00 privateIp String 内网IP 192.168.1.1 beginTime String 开始扫描时间 20200101 00:00:00 endTime String 结束扫描时间 20200101 00:00:00

本文为您介绍使用海量文件服务OceanFS产品时的相关限制,请您务必仔细阅读后使用。 目录 产品使用限制 操作系统限制 注意事项 支持文件系统挂载的操作系统 产品规格限制 产品使用限制 本服务不支持跨地域挂载访问。 因存在兼容性问题本服务不支持交叉挂载，即不支持Linux挂载CIFS文件系统，也不支持Window挂载NFS文件系统。 操作系统限制 注意事项 大部分标准操作系统都具备NFS客户端，即支持NFS协议的文件系统挂载。若您选择的镜像中不具备NFS客户端，需连接公网自行下载，后续会逐渐支持。 若是定制操作系统须具备NFS客户端方可支持标准的NFS协议海量文件挂载。 支持文件系统挂载的操作系统 海量文件服务OceanFS已通过兼容性测试的操作系统如下表，请选择适合的云主机进行挂载，否则可能导致挂载失败。 注意 部分公共镜像已经停止维护，不推荐使用，相关操作系统维护情况请参考操作系统维护周期镜像服务。 对于未在下方列表中的操作系统镜像，挂载文件系统时可能会存在一些未知缺陷，建议使用下方通过兼容性测试的操作系统进行挂载。 类型 操作系统版本 CTyunOS CTyunOS 2.0.1 CentOS（均停止维护） CentOS6.8 64位 CentOS（均停止维护） CentOS7.0 64位 CentOS（均停止维护） CentOS7.2 64位 CentOS（均停止维护） CentOS7.3 64位 CentOS（均停止维护） CentOS7.4 64位 CentOS（均停止维护） CentOS7.5 64位 CentOS（均停止维护） CentOS7.7 64位 CentOS（均停止维护） CentOS7.8 64位 CentOS（均停止维护） CentOS8.0 64位 CentOS（均停止维护） CentOS8.1 64位 CentOS（均停止维护） CentOS8.2 64位 CentOS（均停止维护） CentOS8.4 64位 Ubuntu Ubuntu 16.04 64位（停止维护） Ubuntu Ubuntu 18.04 64位（停止维护） Ubuntu Ubuntu 20.04 64位 Ubuntu Ubuntu 22.04 64位 Windows Windows Server 2008 R2（停止维护） Windows Windows Server 2016 Datacenter Windows Windows Server 2012 R2 Standard（停止维护） Windows Windows server 2012 数据中心版 R2 64位 Windows Windows server 2012 标准版 R2 64位 Windows Windows server 2016 数据中心版 64位 Windows Windows server 2019 数据中心版 64位