本文主要讲解迁移第三方云厂商数据至媒体存储的具体步骤。 部分用户有大量数据在第三方云厂商对象存储上，如果他们需要将他们的数据迁移到对媒体存储，需要先将第三方云厂商上的对象数据下载到本地，再通过控制台、客户端等工具上传，整个过程耗时又耗力，并且很容易存在漏传、误传等问题。 针对迁移第三方云厂商的对象数据至媒体存储的场景，媒体存储提供在线迁移服务。通过迁移服务，用户只需在控制台配置简单的连接参数以及迁移任务，即可把数据从第三方云厂商简单、平滑地迁移至媒体存储。 下面以阿里云OSS数据迁移到媒体存储为例。 前提条件 已在天翼云注册账号，并完成实名认证。 已开通媒体存储。 已在媒体存储中创建桶用来接收数据。 创建源端阿里云和目的端天翼云对象存储的访问密钥（AK/SK）。 源端桶对应账户需要的权限：只读访问阿里云对象存储服务（OSS）的权限。 注意： 若您源端有归档状态的数据需要迁移，则应该先解冻，待解冻完成后再进行迁移，否则这些数据会迁移失败。 源端操作 源端阿里云：检查阿里云账号是否拥有AK/SK以及只读访问对象存储服务（OSS）的权限，如果没有，参考以下步骤生成AK/SK并添加权限。 1. 登录阿里云RAM控制台。 2. 在左侧导航栏，选择身份管理 > 用户。 3. 在用户页面，单击用户名称，进入用户详情页面。 4. 在用户 AccessKey区域，单击“创建 AccessKey”，生成AccessKey ID和AccessKey Secret。 5. 添加权限：在用户页面，单击RAM用户操作列的添加权限，授予RAM用户只读访问对象存储服务（OSS）的权限。 6. 记录需要迁移的桶名以及EndPoint信息，具体获取如下图：

参数 是否必填 参数类型 说明 示例 下级对象 drillName 是 String 容灾中心名称 参考请求示例 subNetID 是 String 子网ID(查询虚拟私有云openapi接口获取) 参考请求示例 vpcID 是 String vpcID(查询虚拟私有云openapi接口获取) 参考请求示例 regionID 是 String 资源池ID 参考请求示例 vpcCidr 是 String vpc cidr(查询虚拟私有云openapi接口获取) 参考请求示例 azName 是 String 可用区名称 参考请求示例

本文为您介绍云审计产品的定义。 云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。

云应用引擎支持用户白屏化地使用Nacos注册中心，本文介绍如何通过云应用引擎控制台为应用配置内置Nacos服务注册与发现功能。 说明 云应用引擎通过自动注入相关环境变量以及借助Java Agent修改字节码的技术，支持自动修改程序的注册中心与配置中心地址。因此，您无需对程序做任何修改即可将其直接部署到云应用引擎。 功能入口 场景不同，操作入口也有所不同 使用限制 1、您的应用已经存在Nacos服务注册发现配置 2、若您使用Spring Cloud框架应用需要使用云应用引擎内置Nacos功能进行服务注册发现，推荐您的客户端使用如下的版本搭配。 Spring Cloud Alibaba Spring Cloud Spring Boot 2.2.9.RELEASE Hoxton.SR12 2.3.12.RELEASE 配置服务注册发现功能 在创建应用高级配置界面中，找到并展开服务注册发现区域，启用Nacos注册中心服务发现功能

本文主要介绍如何记录弹性伸缩。 操作场景 弹性伸缩支持使用云审计记录服务资源操作。云审计记录的操作类型有三种，通过云平台帐户登录管理控制台执行的操作，通过云服务支持的API执行的操作，以及系统内部触发的操作。 如果用户开通了云审计，AS服务的API被调用时，调用信息将会上报到云审计，云审计会将操作信息定时的转储到用户指定的对象存储桶。通过云审计服务，您可以记录与弹性伸缩相关的操作事件，便于日后的查询、审计和回溯。 Cloud Trace Service中的AS信息 在您的应用系统中启用云审计服务后，将在日志文件记录对弹性伸缩执行的API调用的操作。您可以在云审计服务管理控制台查询近7天内的操作记录。如果需要保存7天之前的操作记录，您可以通过对象存储服务（Object Storage Service，以下简称OBS），将操作记录实时同步保存至OBS。 云审计服务支持的AS操作列表如下表所示。 表 云审计服务支持的AS操作列表 操作名称 资源类型 事件名称 创建伸缩组 scalinggroup createScalingGroup 修改伸缩组 scalinggroup modifyScalingGroup 删除伸缩组 scalinggroup deleteScalingGroup 启用伸缩组 scalinggroup enableScalingGroup 停用伸缩组 scalinggroup disableScalingGroup 操作伸缩组 scalinggroup operateScalingGroup 创建伸缩配置 scalingconfiguration createScalingConfiguration 删除伸缩配置 scalingconfiguration deleteScalingConfiguration 批量删除伸缩配置 scalingconfiguration batchDeleteScalingConfiguration 创建伸缩策略 scalingpolicy createScalingPolicy 修改伸缩策略 scalingpolicy modifyScalingPolicy 删除伸缩策略 scalingpolicy deleteScalingPolicy 启用伸缩策略 scalingpolicy enableScalingPolicy 停用伸缩策略 scalingpolicy disableScalingPolicy 执行伸缩策略 scalingpolicy executeScalingPolicy 操作伸缩策略 scalingpolicy operateScalingPolicy 批量启用伸缩策略 scalingpolicy batchEnableScalingPolicies 批量停用伸缩策略 scalingpolicy batchDisableScalingPolicies 移除实例 scalinginstance removeInstance 批量移除实例 scalinginstance batchRemoveInstances 批量添加实例 scalinginstance batchAddInstances 批量操作实例 scalinginstance batchOperateInstance 批量设置实例保护 scalinginstance batchProtectInstances 批量取消实例保护 scalinginstance batchUnprotectInstances 批量转入实例备用 scalinginstance batchEnterStandbyInstances

天翼云关系数据库MySQL版服务支持的IOPS大小取决于云硬盘（Elastic Volume Service，简称EVS）的类型。 天翼云关系数据库MySQL版服务支持的IOPS取决于云硬盘的IO性能，具体请参见 产品规格 中"各类型云硬盘规格"的内容。

本文主要介绍如何开通云日志服务。 在使用天翼云云日志服务前，您需要先开通服务。开通服务不收取任何费用，开通后将根据实际用量进行计费，计费详情请查看计费说明。 前提条件 具备已通过实名认证的天翼云账号 账号中需要有100元及以上的余额 已支持开通的资源池 华东1、南昌5、杭州7、长沙42、华南2、西安7、西南1、西南2贵州、华北2、郑州5、太原4 操作步骤 1. 登录天翼云官网，进入控制中心。 2. 在控制中心选择目标资源池。 3. 在云原生可观测分类中，选择云日志服务，点击购买图标。您也可以直接点击此处进行开通。 4. 在订购开通页中点击【下一步】，并提交订单。 5. 提交后稍等片刻，待页面提示开通成功后，即可进入云日志服务控制台。您也可直接点击此处进入云日志服务控制台。

本文将为您介绍云专线适用的主要应用场景。 场景一：异地容灾高可用、可扩展的大型网络架构 场景说明 企业用户的业务对网络高可用性、稳定性、可扩展性有极高要求，建议使用多链路聚合口、多接入点的网络架构方案，减少当物理电路因光纤损坏、设备功能故障或接入点中断等故障导致的连通性中断风险，并提供入云业务带宽的弹性扩容能力。 产品优势 通过异地容灾接入能力，提供网络架构的高可用方案； 通过多链路聚合口能力，实现接入点带宽的弹性扩容，保证大带宽接入能力。 搭配使用 云企业路由器、虚拟私有云。 场景二：异地容灾高可用的中、大型网络架构 场景说明 企业用户的业务对网络高可用性、稳定性有极高要求，建议使用多接入点的网络架构方案，减少当物理电路因光纤损坏、设备功能故障或接入点中断等故障导致的连通性中断风险。 产品优势 通过异地容灾接入能力，提供网络架构的高可用方案。 搭配使用 云企业路由器、虚拟私有云。 场景三：非核心业务的中、小型网络架构

本节介绍云下一代防火墙变更配置。 云下一代防火墙变更配置仅支持从单节点升配为主备部署和增加可选功能，不支持变更版本，也不支持去勾选可选功能： 主备部署模式变更 云下一代防火墙支持从单节点升配为主备部署，主备部署的防火墙可形成高可用，避免单点故障风险。 在实例监控页面点击升配按钮。 在升配页面的主备部署模式选择“主备部署”即可。 注意 云一代防火墙升配为主备部署模式会自动部署一套防火墙，如有需要可提工单联系售后人员完成相关网络配置。 云下一代防火墙升配主备模式后不可恢复，升级前请核实需求。 增加可选功能模块 云下一代防火墙支持补充订购扩展功能模块，扩展功能订购做功能升级处理，资费按照每月每功能模块计算。 1.在实例监控页面，点击升配按钮。 2.在升配页面，勾选需要增加的可选功能模块即可。

MRS的Storm集群提交任务时如何指定日志路径？ 客户可以根据自己的需求，修改MRS的流式Core节点上的/opt/Bigdata/MRSXXX /1XX Supervisor/etc/worker.xml文件，将标签filename的值设定为客户需要的路径，然后在Manager页面重启对应实例。 建议客户尽量不要修改MRS默认的日志配置，可能会造成日志系统异常。 如何检查Yarn的ResourceManager配置是否正常？ 本案例适用于MRS 3.x之前版本。 登录MRS Manager页面，选择“服务管理 > Yarn > 实例”。 1.分别单击两个ResourceManager名称，选择“更多 > 同步配置”，并选择不勾选“重启配置过期的服务或实例。”。 2.单击“是”进行配置同步。 3.以root用户分别登录Master节点。 4.执行 cd /opt/Bigdata/MRSCurrent/ ResourceManager/etcUPDATED/ 命令进入etcUPDATED目录。 5.执行grep '.queues' capacityscheduler.xml A2找到配置的所有队列，并检查队列和Manager页面上看到的队列是否一一对应。 rootdefault在Manager页面隐藏，在页面看不到属于正常现象。 6.执行grep '.capacity' capacityscheduler.xml A2找出各队列配置的值，检查每个队列配置的值是否和Manager上看到的一致。并检查所有队列配置的值的总和是否是100。 是，则说明配置正常。 否，则说明配置异常，请执行后续步骤修复。 7.登录MRS Manager页面，选择“主机管理”。 8.查找主Master节点，主机名称前带实心五角星的Master节点即为主Master节点。 9.以root用户登录主Master节点。 10.执行su omm切换到omm用户。 11.执行sh /opt/Bigdata/om0.0.1/sbin/restartcontroller.sh重启Controller。 请在Manager页面没有其他操作后重启Controller，重启Controller对大数据组件业务无影响。 12.重新执行步骤1~步骤7同步ResourceManager的配置并检查配置是否正常。 配置同步完成后Manager页面可能显示配置过期，该显示不影响业务，是由于组件没有加载最新的配置，待后续组件重启的时会自动加载。

源库为天翼云及其他云PostgreSQL的情况 源库为天翼云及其他云PostgreSQL、任务包含增量迁移，且逻辑解码器选择为Decoderbufs，源库需开启逻辑解码器输出插件Decoderbufs。 天翼云在开通PostgreSQL实例时已预置开启Decoderbufs插件，当源库为天翼云PostgreSQL时，请你参照天翼云关系数据库PostgreSQL版管理插件相关指引查看确认Decoderbufs插件的开启情况，已开启则无需进行操作，未开启则参照指引进行Decoderbufs插件的安装。 当源库为其他云PostgreSQL时，需要查看源库对应版本是否支持并已开启Decoderbufs插件。如源库版本不支持Decoderbufs插件则无法进行其他云PostgreSQL到天翼云PostgreSQL的增量同步；如源库版本支持Decoderbufs插件但未开启则按照文档启用插件；如已开启则无需进行操作。具体请参考其他云PostgreSQL的相关指引，例如： 华为云支持的插件列表及插件管理的相关指引。 阿里云支持的插件列表及插件管理的相关指引。 操作需知 DTS同步过程一般包含四个阶段：预检查阶段、结构同步阶段、全量阶段、增量阶段。为了确保数据同步各个阶段的平顺，在创建同步任务前，请务必阅读以下使用须知。

本节主要介绍与其它服务的关系。 云原生架构模式下，完成业务功能需要很多服务相互配合： CSE一般和数据库、缓存和消息中间件同时使用，完成业务功能的开发。 AOM、APM、LTS等工具，则为业务提供运维能力，帮助检测业务故障、分析故障原因。 以Spring Cloud为例，典型的云原生架构和技术选型如下： 云原生架构和DevOps通常是密不可分的，配合使用ServiceStage，可以实现云原生环境的管理、部署流水线，简化微服务应用部署到容器CCE的流程。

云数据库ClickHouse可提供包年/包月的计费方式 说明：本章会介绍云数据库ClickHouse包年包月的收费模式 1、收费方式 （1）预付费方式：用户需先登录天翼云用户中心进行充值，系统会根据用户选购的实际资源对用户云账户中的金额进行扣除。 （2）计费周期：按月计费，以自然月为计费单位。 2、升级规则 数据库升级时间不满整月的，升级后配置按当月实际发生天数计费。 3、续订规则 续订数据库，续费按原订购模式按月方式进行续费。 4、退订规则 退订云数据库，不满整月的按当月实际发生天数收费费用。 退订云数据库后实例会进入冻结状态，冻结周期为15天，冻结期过后如不续费会删除实例。 5、提醒/通知规则 （1）到期通知：服务到期前7天、3天邮件通知，到期前1天、当天邮件通知和短信提醒。 （2）超期通知：服务超期1天邮件通知，超期3天、7天邮件通知和短信提醒。

主机及存储类型 CPU:Memory 实例规格 threads recordcount OPS c7 超高IO 1 : 2 2C4G 16 2000000 14996 c7 超高IO 1 : 2 4C8G 32 4000000 32396 c7 超高IO 1 : 2 8C16G 64 8000000 50393 c7 超高IO 1 : 4 2C8G 16 4000000 15371 c7 超高IO 1 : 4 4C16G 32 8000000 29677 c7 超高IO 1 : 4 8C32G 64 16000000 47426 c7 超高IO 1 : 4 16C64G 128 32000000 63362 c8 XSSD1 1 : 2 2C4G 16 2000000 17034 c8 XSSD1 1 : 2 4C8G 32 4000000 34826 c8 XSSD1 1 : 2 8C16G 64 8000000 69327 c8 XSSD1 1 : 4 2C8G 16 4000000 17512 c8 XSSD1 1 : 4 4C16G 32 8000000 29895 c8 XSSD1 1 : 4 8C32G 64 16000000 67629 c8 XSSD1 1 : 4 16C64G 128 32000000 63224

操作 MRS FullAccess MRS CommonOperations MRS ReadOnlyAccess MRS Administrator 创建集群 √ x x √ 调整集群 √ x x √ 升级节点规格 √ x x √ 删除集群 √ x x √ 查询集群详情 √ √ √ √ 查询集群列表 √ √ √ √ 设置弹性伸缩策略 √ x x √ 查询主机列表 √ √ √ √ 查询操作日志 √ √ √ √ 创建并执行作业 √ √ x √ 停止作业 √ √ x √ 删除单个作业 √ √ x √ 批量删除作业 √ √ x √ 查询作业详情 √ √ √ √ 查询作业列表 √ √ √ √ 新建文件夹 √ √ x √ 删除文件 √ √ x √ 查询文件列表 √ √ √ √ 批量操作集群标签 √ √ x √ 创建单个集群标签 √ √ x √ 删除单个集群标签 √ √ x √ 按照标签查询资源列表 √ √ √ √ 查询集群标签 √ √ √ √ 访问Manager页面 √ √ x √ 查询补丁列表 √ √ √ √ 安装补丁 √ √ x √ 卸载补丁 √ √ x √ 运维通道授权 √ √ x √ 运维通道日志共享 √ √ x √ 查询告警列表 √ √ √ √ 订阅告警消息提醒 √ √ x √ 提交SQL语句 √ √ x √ 查询SQL结果 √ √ x √ 取消SQL执行任务 √ √ x √

天翼云微服务云应用平台服务等级协议（SLA），详情请参见这里。

云租户为什么需要单独做等保？ 根据“ 谁运营谁负责，谁使用谁负责，谁主管谁负责 ” 的原则，系统的责任主体还是属于网络运营者自己，所以云租户还是得承担相应的网络安全责任。由于天翼云平台本身就已经通过等保，所以在做等保的过程中，云租户无需再关注物理环境和网络环境，只需关本身业务系统合规即可。 等保2.0建设流程是什么？ 整个等保2.0的建设流程分为五个步骤，分别是： 1. 定级：确定定级对象，初步确定安全保护等级，专家评审，主管部门审核、公安机关备案审查。 2. 备案：持定级报告和备案表到当地公安机关网安部门进行备案，获取备案证明。 3. 建设整改：参照网络安全等级保护相关标准及规范要求，对信息系统进行整改加固。 4. 等级测评：委托具备测评资质的测评机构对信息系统进行等级测评，形成正式的测评报告。 5. 监督检查：向当地公安机关网安部门提交测评报告，配合完成对信息安全等级保护实施情况的检查。 公有云云等保是否有等保测评报告，如何获取？ 有，公有云等保测评报告属于敏感信息，不对外提供，如有需要，请联系客户经理获取。

本节介绍如何使用多账号管理能力。 说明 多账号管理为公测免费功能，请通过官网工单联系工程师开放此功能。 多账号管理是云防火墙（原生版）为企业级用户打造的功能，支持通过可信服务统一管理多个账号的网络资产（含弹性IP、公网NAT、弹性负载均衡等）实现企业网络安全的集中化、规范化运维，适用于多部门协作、多业务线独立运营的企业场景，有效降低跨账号管理复杂度，提升安全防护效率。 前提条件 拥有云防火墙（原生版）的账号为组织管理员或者委托管理员。 已在云防火墙控制台启用“多账号管理”功能（路径：云防火墙（原生版）> 设置中心 > 多账号管理 > 启用）。 企业中心中已添加至少2个有效账号（账号需完成身份验证与权限授权）。 全账号资产数量低于云防火墙（原生版）开通时可防护的配额上限。 使用前须知 资产同步频率：系统默认每24小时自动同步1次，若需实时获取资产变更，可手动触发“立即同步”（手动同步无次数限制）。 引流路由依赖：删除账号前，需确认该账号的引流路由无业务依赖（可通过“流量分析”页面查看路由的流量情况），避免删除后影响正常业务流量。如需进一步帮助，可联系天翼云客服热线或在控制台提交“工单支持”，天翼云将提供1对1技术指导。

概述 云原生网关支持API维度的监控。支持QPS、请求成功率、平均延迟等指标。如果要查看API监控，需要先开通应用性能监控产品。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > API列表，进入要查看的API详情。 4. 在上面导航栏，选择API监控，即可查看。

分布式消息服务RabbitMQ引擎类型云原生引擎调整为白名单特性，更多了解请查看快速入门购买实例引擎类型说明。 调整时间 2024年7月5日 影响范围 所有区域 调整影响 新用户默认不开放云原生引擎订购开通，如需要该特性，请联系技术支持开通后使用。 已购买云原生引擎实例的用户，原实例仍可正常使用，续费、扩容等操作不受影响。

与云点播功能关联的云产品。 若您需要使用云点播实现主子账号分权管理、CDN分发等功能，您还需要开通其它依赖服务，如下表所示。 交互功能 相关服务 相关链接 主子账号功能 CTIAM 主子账号体系 CDN加速 CDN加速 CDN加速

如您选择使用云点播原生接口接入（推荐）： 1.天翼云注册账号。能力使用者于天翼云门户( 2.获取AK/SK信息。能力使用者登录云点播控制台，进入【开发配置】>【密钥管理】>【原生密钥】，即可获取AK/SK，作为调用云点播原生接口的凭证使用。

本文介绍如何通过CSI插件为CCSE容器挂载天翼云弹性文件服务作为数据卷。 基础信息 云容器引擎（简称CCSE）提供高度可扩展的、高性能的Kubernetes集群、一站式容器服务；获得信通院可信云《全栈容器云解决方案》认证，其整合了镜像、监控、日志、负载均衡、灰度/蓝绿、多种弹性策略、高效调度、集群插件、模板市场等基础能力，帮助企业快速构建和运行可弹性扩展的应用。本文介绍如何通过CSI插件为CCSE容器挂载天翼云弹性文件服务作为数据卷。 注意事项 CCSE引擎挂载弹性文件系统依赖cstorcsi插件，该插件在创建云容器引擎完成后通过插件市场进行配置。 云容器引擎和弹性文件系统须属于同一个VPC和子网下。 操作步骤 步骤一：创建云容器引擎CCSE 从天翼云官网创建一个云容器引擎CCSE，详细步骤参见云容器引擎CCSE订购集群。 步骤二：安装cstorcsi插件 1. 进入购买的CCSE集群，在“插件>插件市场”中选择“cstorcsi”插件进行安装。 2. 安装时需要在yaml文件中填入用户天翼云的AK、SK信息，并点击底部的“安装”按钮： 注意 安装过程中需提供用户AK/SK，获取方式参考

本节介绍如何为Web应用防火墙v1.0开启/切换IPv6防护。 子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 Web应用防火墙设备开通 在设备成功开通后，默认一张网卡设定为管理网卡，以供单点登录设备时使用；需新增一张网卡专门用于业务操作。 Web应用防火墙开通 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”。 4. 在资源概览页面右上角，单击“立即购买”。 5. 在购买页面配置基础信息（包括区域 、虚拟私有云 、子网、可用区 和CPU分类 ），套餐选择自定义中的Web应用防火墙、并进行产品规格配置。 6. 选择购买时长后，勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“立即购买”。完成购买后等待资源开通成功。 新增业务网卡 1. 创建弹性网卡 在天翼云控制中心服务列表页，选择“网络 > 虚拟私有云”；在网络控制台左侧导航栏，选择“弹性网卡”，单击弹性网卡页面右上角的“创建弹性网卡”，配置弹性网卡的区域、名称、VPC、子网、安全组等信息，点击“确定”。 2. 绑定网卡 在云等保专区左侧导航栏，选择“Web应用防火墙”，在开通的设备右侧操作列点击“更多 > 绑定网卡”，选中上一步创建的弹性网卡，点击“确定”。 3. 重启Web应用防火墙系统 在云等保专区左侧导航栏，选择“Web应用防火墙”，在开通的设备右侧操作列点击“更多 > 重启”。 登录Web应用防火墙界面 在云等保专区左侧导航栏，选择“Web应用防火墙”，在目标资源右侧操作列单击“配置”，进入Web应用防火墙界面。 开启IPv6防护 开通Web应用防火墙v1.0后，还需要配置网络才能开启IPv6防护，请提交工单联系技术支持进行配置。

本章节主要介绍 ALM12081 ommdba用户过期。 告警解释 系统每天零点开始，每8小时检测当前系统中ommdba用户是否过期，如果用户过期，则发送告警。 当系统中ommdba用户过期的期限重置，当前状态为正常，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12081 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 ommdba用户过期，OMS数据库无法管理，数据不能访问。 可能原因 该主机ommdba用户过期。 处理步骤 检查系统中ommdba用户是否过期 1.以root用户登录集群故障节点。 执行chage l ommdba命令查看当前ommdba用户密码设置信息。 2.查找“Account expires”对应值，查看用户设置是否过期。 说明 如果参数值为“never”，则代表永不过期；如果为日期值，则查看是否过期。 是，执行步骤3。 否，执行步骤4。 3.执行 chage E 'yyyyMMdd' ommdba命令设置ommdba 用户过期的期限，等待8小时，观察告警是否自动清除。 是，操作结束。 否，执行步骤4。 收集故障信息 4.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 5.在“服务”中勾选“NodeAgent”，单击“确定”。 6.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分，单击“下载”。 7.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本章节主要介绍 ALM12005 OKerberos资源异常 。 告警解释 告警模块对Manager中的Kerberos资源的状态按80秒周期进行监控，当连续6次监控到Kerberos资源异常时，系统产生此告警。 当Kerberos资源恢复时，且告警处理完成时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12005 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Manager中的Kerberos资源异常，组件WebUI认证服务不可用，无法对Web上层服务提供安全认证功能，可能引起无法登录FusionInsight Manager和组件的WebUI。 可能原因 Okerberos依赖的OLdap资源异常。 处理步骤 检查Manager中的OKerberos依赖的OLdap资源是否异常 1.以omm用户登录到集群中Manager所在节点主机。 通过登录FusionInsight Manager浮动IP节点，执行sh ${BIGDATAHOME}/omserver/om/sbin/statusoms.sh脚本来查看当前Manager的双机信息。 2.执行 sh ${BIGDATAHOME}/omserver/OMS/workspace0/ha/module/hacom/script/statusha.sh ，查询当前HA管理的OLdap资源状态是否正常（单机模式下面，OLdap资源为Activenormal状态；双机模式下，OLdap资源在主节点为Activenormal状态，在备节点为Standbynormal状态。）。 是，执行步骤4。 否，执行步骤3。 3.参考ALM12004OLdap资源异常的处理步骤进行处理，OLdap资源状态恢复后，观察当前OKerberos资源状态是否恢复正常。 是，操作结束。 否，执行步骤4。

操作步骤 一、安装agent(Linux) 1. 使用root账号，登录服务器。 2. 执行如下命令，确认Agent安装情况。 systemctl status ctcmagent 如果返回 Unit ctcmagent.service could not be found，则为主机未安装监控插件。 3. 按照“Agent插件获取”章节下载对应版本agent插件，并上传至服务器目录下。 4. 通过命令解压agent文件包，并进入解压目录下。 5. 执行如下命令，完成Agent安装与启动。 bash install.sh 二、安装agent(Windows) 1. 使用具有“管理员”权限的账号（例如administrator）登录服务器。 2. 在浏览器地址栏输入“Agent插件获取”章节的下载路径，下载并保存安装包。 3. 将ctcm文件夹拷贝到C:Windows目录下。 4. 将 Python27 拷贝至C盘 c:Python27 （“无需python依赖版本”可略过此步骤 ） 在cmd执行命令设置环境变量 set PYTHONHOMEc:Python27 set PYTHONPATHc:Python27Lib set PATH%PYTHONHOME%;%PATH% 5. 修改配置文件C:Windowsctcmconfctcmagentd.conf 注意 安装时需要修改配置文件中的“Hostname”，配置成机器的uuid，获取方式见README.md文件中“注意事项”章节第5条，注意所有字母要求全部小写。 6. 管理员模式，执行install.bat，完成agent安装与启动。 说明 Linux 版本ctcmagent安装方法，参见 “Agent插件获取”章节链接所下载压缩包中readme.txt文件。 windows版本ctcmagent安装方法，参见 “Agent插件获取”章节链接所下载压缩包中README.md文件。 Agent插件配置完成后，因监控数据暂未上报，插件状态仍显示“未安装”，需等待35分钟，刷新后即可查看监控数据。 安装Agent插件后如长时间数据异常，可参考最佳实践案例排查问题 注意 1. 如果用户使用了k8s等相关虚拟化软件，软件可能会自动创建大量挂载盘或网卡。这种情况下会影响ctcmagent采集监控数据的效率，可能会导致云监控控制台无监控数据情况的发生。

本文带您了解什么是网络ACL,以及网络ACL的基本特性。 网络ACL定义 网络ACL是一个子网级别的流量防护策略，您可以自定义设置网络ACL规则，并将网络ACL与子网绑定，实现对子网中云服务器实例流量的访问控制。通过出方向/入方向规则控制出入子网的流量数据。 地域资源池和可用区资源池的网络ACL存在部分区别，如表1所示： 表1 地域资源池和可用区资源池的网络ACL的区别 对比项 地域资源池 可用区资源池 是否存在默认规则 不存在默认规则。 存在，每个ACL出/入方向各存在两条默认规则。 具体信息可参考“ACL默认规则”。 创建ACL时是否需要指定子网 创建时需要指定子网。 创建时无需指定子网，可创建后再关联子网。 ACL与子网之间的对应关系 一个子网支持关联一个ACL。 一个ACL支持关联一个子网。 一个子网支持关联一个ACL。 一个ACL支持关联多个子网。 是否支持自定义源/目的地址 入方向规则不支持自定义目的地址。 出方向规则不支持自定义源地址。 出/入方向规则均支持自定义源/目的地址。 网络ACL基本信息 ACL创建后，您可以添加ACL规则自定义访问控制策略，对于多可用区资源池来说，当ACL中没有明确的自定义规则时，系统会采用默认的规则。关联子网后，基于默认安全原则，网络ACL会默认拒绝所有出入子网的流量，直至添加放通规则。对于地域资源池来说，不存在默认规则，当不匹配规则时默认放通全部流量。 基本特性如下： 针对可用区资源池，网络ACL与子网之间是一对多的关系，即一个网络ACL可以对多个子网生效，而一个子网同一时间只能关联一个网络ACL。 针对地域资源池，ACL与子网是一对一的关系，即一个网络ACL只能对一个子网生效，而一个子网同一时间只能关联一个网络ACL。 网络ACL只能在子网级别生效，不能对同一子网内的云主机实例间的流量实现过滤。 网络ACL支持多种策略，如允许、拒绝。 ACL规则的优先级数字越小则优先级越高。 对于可用区资源池来说，创建网络ACL后，自动创建出默认规则，它会拒绝所有未明确被允许的访问请求。默认规则为最低优先级，创建自定义规则后，按照优先级顺序执行规则。默认规则不支持修改、删除、启用/停用等操作。 对于可用区资源池来说，每个新创建的网络ACL最初都为未激活状态，直到您将ACL与子网关联后才可生效ACL内的规则，实现子网内的流量防控。 网络ACL是无状态的，即设置入方向规则的允许请求后，需要同时设置相应的出方向规则，否则可能会导致请求无法响应。您可以根据实际需求进行灵活的设置。 不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。

本文主要介绍了云日志服务产品优势。 海量日志管理 云日志服务支持每天百TB级日志的接入，十亿级日志秒级搜索。 多种结构化解析 支持JSON、分隔符、nginx、正则和云服务（ELB/VPC/CTS等日志）格式结构化解析。

接口功能介绍 资产概览页查询主机资产地域分布数据 接口约束 无 URI GET /v1/index/assertDistribution 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Array of Objects 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 name String 名称 root count Integer 数量 1 枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {}

接口功能介绍 服务器详情修改主机显示名称 接口约束 无 URI POST /v1/host/editDisplayName 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 displayName 是 String 实例名称 test agentGuid 是 String agentGuid 11111111 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {"displayName": "test", "agentGuid": "11111111"}

Apache Log4j远程代码执行漏洞攻击，云防火墙如何启用检测和防御？ Apache Log4j2存在一处远程代码执行漏洞（CVE202144228），在引入Apache Log4j2处理日志时，会对用户输入的内容进行一些特殊的处理，攻击者可以构造特殊的请求，触发远程代码执行。目前POC已公开，风险较高。 12月16日，官方披露低于2.16.0版本除了存在拒绝服务漏洞外，还存在另一处远程代码执行漏洞（CVE202145046）。 Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。天翼云提醒使用Apache Log4j2的用户尽快安排自检并做好安全加固。 云防火墙CFW已支持检测和拦截Apache Log4j2 远程代码执行漏洞。 漏洞名称 Apache Log4j 远程代码执行漏洞。 影响范围 影响版本：2.0beat9 < Apache Log4j 2.x < 2.16.0（2.12.2 版本不受影响）。 已知受影响的应用及组件：springbootstarterlog4j2/Apache Solr/Apache Flink/Apache Druid。 安全版本： Apache Log4j 1.x 不受影响。 Apache Log4j 2.16.0。 防护建议 登录CFW控制中心，在CFW页面建议操作如下： 1. 需要购买云防火墙CFW服务的标准版，详细操作请参考购买云防火墙。 2. 启用入侵防御的基础防御功能，并开启拦截模式，详细操作请参考配置入侵检测策略。 Spring Framework远程代码执行漏洞攻击，云防火墙如何启用检测和防御？ Spring是一款主流的Java EE轻量级开源框架，面向服务器端开发设计。近日，Spring框架被曝出可导致RCE远程代码执行的漏洞（CVE202222965），该漏洞攻击面较广，潜在危害严重，对JDK 9及以上版本皆有影响。 云防火墙CFW已支持检测和拦截Spring Framework远程代码执行的漏洞攻击。