主要介绍翼MapReduce服务的计费方式。 计费项 购买MRS集群的费用包含两个部分： MRS服务管理费用 IaaS基础设施资源费用（云主机、云硬盘，弹性IP/带宽等） 计费方式 MRS当前支持包年包月和按需计费两种计费方式。 包年/包月：根据集群购买时长，一次性支付集群费用。最短时长为1个月，最长时长为1年。 按需计费：节点按实际使用时长计费，计费周期为一小时。 费用计算方式 系统显示的集群费用，包括：MRS服务管理费用+云主机使用费+云硬盘使用费+其他费用（如弹性IP/带宽等）。 其中云主机、云硬盘及其他（如弹性IP/带宽等）产品的价格，请参考对应产品的价格清单。 普通版集群 普通版集群服务管理费用，按实际选择的节点规格、数量及其单价进行计算。 以创建节点数量为6的集群为例，选用通用计算型“s3.4xlarge.4”（16核64GB）规格： 按需集群：单价为0.62元/节点/小时，集群服务管理费为6x0.623.72元/小时。（此示例未包含云主机、云硬盘等其他产品费用） 包周期集群：单价为299元/节点/月，集群服务管理费为6x2991794元/月。（此示例未包含云主机、云硬盘等其他产品费用） LTS版集群 LTS集群服务管理费，以“核数”为单位计费，计费项与普通集群相同。 以购买10个规格为8核的节点集群为例： 按需集群：单价为0.052元/核/小时，集群服务管理费为 8x10x0.0524.16元/小时。（此示例未包含云主机、云硬盘等其他产品费用） 包周期集群：单价为25元/核/月，集群服务管理费为8x10x252000元/月。（此示例未包含云主机、云硬盘等其他产品费用） 计费方式变更 仅支持由按需计费转换为包周期计费，暂不支持由包周期计费转换为按需计费。 到期欠费

一体机收费模式？ 一体机目前主要根据服务器节点收费，3年服务期价格服务器标准资费台数。后续进行扩容时，同样仅对扩容的服务器数量进行独立收费。 注： 专业版超融合节点购买数量最小为3，最高为30；旗舰版最低是10节点，最高是255台。 交换机设备包含在一体机产品价格中，无需另行配置。 报价已包含基础集成服务费用和3年运维费用，后续运维由电信地市公司提供一线运维人员协助（定期巡检、简单硬件运维开关机、插拔盘等）。 报价中不包含网络带宽、IDC服务费用，不含操作系统license费用。 一体机维保费用如何收取？ 一体机维保包含软件维保和硬件维保服务。初始报价已包含前三年维保费用，不再单独收取。3年服务期结束后，客户可续订，维保费用（/年）标准资费（3年）10%。 3年服务期内是否允许退订？ 因一体机涉及硬件部分，在订购后不允许进行退订。 3年服务期后产权是否可以归属客户？ 一体机默认是以服务模式售卖，产权归属天翼云。 一体机最长能提供多久续订服务 初始服务期为3年，服务期结束后客户可继续按年续订，考虑到硬件维保问题，原则上只能续订2年，天翼云回收设备。

本章主要介绍翼MapReduce的修改admin密码功能。 操作场景 “admin”是FusionInsight Manager的系统管理员帐号，建议用户通过FusionInsight Manager定期修改密码，提高系统安全性。 操作步骤 1.登录FusionInsight Manager。 需使用“admin”登录。 2.移动鼠标到界面右上角的“Hello, admin”。 在弹出菜单中单击“修改密码”。 3.分别输入“旧密码”、“新密码”、“确认新密码”，单击“确定”完成修改。 默认密码复杂度要求： 密码字符长度为8～64位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符5种类型字符中的4种。支持的特殊字符为~!?,.;'(){}[]/<>@$%^&+。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码。 不可与最近N次使用过的密码相同，N为密码策略配置章节中“重复使用规则”的值。

本章节主要介绍翼MapReduce服务管理服务操作。 用户可以在MRS Manager： 启动操作状态为“停止”、“停止失败”或“启动失败”服务，以使用该服务。 停止不再使用或异常服务。 重启异常或配置过期的服务，以恢复或生效服务功能。 操作步骤 在MRS Manager，单击“服务管理”。 1. 在指定服务所在行，单击“启动”、“停止”和“重启”执行启动、停止和重启操作。 服务之间存在依赖关系。对某服务执行启动、停止和重启操作时，与该服务存在依赖关系的服务将受到影响。 具体影响如下： 启动某服务，该服务依赖的下层服务需先启动，服务功能才可生效。 停止某服务，依赖该服务的上层服务将无法提供功能。 重启某服务，依赖该服务且启动的上层服务需重启后才可生效。

MODULES sharedpreloadlibraries 'decoderbufs' REPLICATION wallevel logical minimal, archive, hotstandby, or logical (change requires restart) maxwalsenders 8 max number of walsender processes (change requires restart) walkeepsegments 4 in logfile segments, 16MB each; 0 disables walsendertimeout 60s in milliseconds; 0 disables maxreplicationslots 4 max number of replication slots (change requires restart) 3. 然后，重启PostgreSQL。 4. 最后，验证配置是否生效。 plaintext 创建逻辑复制，使用逻辑复制插件decoderbufs select from pgcreatelogicalreplicationslot('decoderbufsdemo', 'decoderbufs'); 对相关表进行数据操作 使用decoderbufs调试模式 SELECT data FROM pglogicalslotpeekchanges('decoderbufsdemo', NULL, NULL, 'debugmode', '1'); 使用decoderbufs获取wal变更，更新wal位置 SELECT data FROM pglogicalslotgetchanges('decoderbufsdemo', NULL, NULL, 'debugmode', '1'); 查看逻辑复制的wal位置 SELECT FROM pgreplicationslots WHERE slottype 'logical'; 删除逻辑复制 select pgdropreplicationslot("decoderbufsdemo"); 源库为天翼云及其他云PostgreSQL的情况 源库为天翼云及其他云PostgreSQL、任务包含增量迁移，且逻辑解码器选择为Decoderbufs时，源库需开启逻辑解码器输出插件Decoderbufs。 天翼云在开通PostgreSQL实例时已预置开启Decoderbufs插件，当源库为天翼云PostgreSQL时，请参照++天翼云关系数据库PostgreSQL版管理插件++相关指引查看确认Decoderbufs插件的开启情况，已开启则无需进行操作，未开启则参照指引进行Decoderbufs插件的安装。 当源库为其他云PostgreSQL时，需要查看源库对应版本是否支持并已开启Decoderbufs插件。如源库版本不支持Decoderbufs插件则无法进行其他云PostgreSQL到天翼云PostgreSQL的增量迁移；如源库版本支持Decoderbufs插件但未开启则按照文档启用插件；如已开启则无需进行操作。具体请参考其他云PostgreSQL的相关指引，例如： 华为云++支持的插件列表及插件管理++的相关指引。 阿里云++支持的插件列表及插件管理++的相关指引。

本文主要介绍什么是镜像以及镜像类型。 什么是镜像 镜像是一个包含了软件及必要配置的弹性云主机模板，至少包含操作系统，还可以包含应用软件（例如数据库软件）和私有软件。通过镜像，您可以创建弹性云主机。 镜像分为公共镜像和私有镜像，公共镜像为系统默认提供的镜像，私有镜像为用户自己创建的镜像。用户可以灵活便捷的使用公共镜像或者私有镜像申请弹性云主机。同时，用户还能通过已有的弹性云主机创建私有镜像，这样能快速轻松地启动能满足您一切需求的新弹性云主机。例如，如果您的应用程序是网站或Web服务，您的镜像可能会包含Web服务器、相关静态内容和动态页面代码。因此，您通过这个镜像创建弹性云主机之后，您的Web服务器将启动。 镜像类型 镜像类型 说明 公共镜像 常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。公共镜像具有高度稳定性，皆为正版授权，请放心使用，您也可以根据实际需求自助配置应用环境或相关软件。 私有镜像 包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。 共享镜像 由其他用户共享而来的私有镜像。

本节介绍如何在堡垒机v1.0中进行Syslog日志外发配置。 前提条件 已购买堡垒机v1.0资源，且资源状态为“运行中”。 操作步骤 1. 登录云等保专区控制台，在左侧导航栏，选择“堡垒机 > 堡垒机v1.0”，在目标资源右侧操作列单击“配置”，进入堡垒机系统。 2. 选择“管理控制台”，在导航栏选择“系统 > 服务管理 > 日志外送”。 3. 将“状态”开关打开，并配置“发送者标识”，“服务器地址+端口地址”，“发送数据”。 发送者标识：根据需求自定义填写。 服务器地址+端口地址：输入外发目的地址，可配置多个。 发送数据：默认勾选全部，可根据需求自定义勾选。 4. 配置完成后，单击“发送测试数据”，确保数据可以正常外发后，单击“保存”，完成配置。

本小节介绍云堡垒机使用限制。 网络访问限制 系统资源所属安全组必须允许实例私有IP访问，需要在实例的安全组添加“入方向”的访问规则。 注意 云堡垒机Docker0的网卡地址为：172.17.0.1，请勿占用此网桥网卡地址，否则会导致云堡垒机无法正常使用。 支持纳管的服务器限制 支持SSH、TELNET、RDP、VNC、FTP、SFTP协议类型的Windows或Linux主机。 Windows服务器版本：Windows Server 2012、2016。 支持的数据库类型及版本限制 数据库引擎 引擎版本 MySQL 5.5、5.6、5.7、8.0 说明 当前MySQL数据库审计功能基于堡垒机现有引擎架构实现，在少数复杂场景下可能存在命令日志记录不完全的情况，如需完整审计能力，请联系技术支持或关注产品动态了解新引擎上线进展。 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 金仓(Kingbase) V8、V9 万里(GreatSQL) 8.4.44 SQL Server 2016企业版 天翼云分布式关系型数据库（DRDS） 1.0 说明 建议关联MySQL5.7和8.0版本。 支持的运维终端操作系统限制 终端类型 系统版本 芯片 Windows Windows7及以上版本 Intel芯片 Mac MacOS 10.15及以上版本 Apple silicon或Intel芯片

响应示例1 plaintext HTTP/1.1 200 OK xhblockrequestid: 4b7487d492754feab5f572be3ae532f8 Connection: keepalive Date: Fri, 24 May 2024 07:01:39 GMT Server: HBlock 请求示例2 为所有服务器删除相关的Pushgateway监控配置：lable为agent、idc。 plaintext DELETE /rest/v1/system/config/monitor HTTP/1.1 Date: Fri, 24 May 2024 08:30:08 GMT ContentType: application/json; charsetutf8 Authorization: HBlock userName:signature ContentLength: 112 Host: 192.168.0.110:1443 { "pushgateway": "192.168.0.1:9091", "pushgatewayLabels": [ "agent", "idc" ] } 响应示例2 plaintext HTTP/1.1 200 OK xhblockrequestid: ba61c4c8ecf54ad89ca872faa02c8433 Connection: keepalive Date: Fri, 24 May 2024 08:30:08 GMT Server: HBlock

继承安装 当用户已有服务器安装过ICAgent，且该服务器“/opt/ICAgent/”路径下ICAgent安装包ICProbeAgent.zip存在，通过该方式可对远端服务器进行一键式继承安装。 步骤 1 在已安装ICAgent的服务器上执行如下命令，其中x.x.x.x表示服务器IP地址。 bash /opt/oss/servicemgr/ICAgent/bin/remoteInstall/remoteinstall.sh ip x.x.x.x 步骤 2 根据提示输入待安装ICAgent的服务器root用户密码。 说明 如果已安装ICAgent的服务器安装过expect工具，执行上述命令后，即可完成安装。如果已安装ICAgent的服务器未安装expect工具，请根据提示输入，进行安装。 请确保已安装ICAgent的服务器可以使用root用户执行SSH、SCP命令，来与待安装ICAgent的服务器进行远端通信。 当显示“ICAgent install success”时，表示安装成功，ICAgent已安装在了/opt/oss/servicemgr/目录。安装成功后，在应用运维管理左侧导航栏中选择“配置管理 > Agent管理”，查看该服务器ICAgent状态。 安装失败，请参考卸载ICAgent章节的 继承批量安装 当您已有服务器安装过ICAgent，且该服务器“/opt/ICAgent/”路径下ICAgent安装包ICProbeAgent.zip存在，通过该方式可对多个远端服务器进行一键式继承批量安装。 说明 批量安装的ECS需和已安装成功的节点保持网络互通，scp、ssh命令可用。 如果已安装的服务器使用了委托方式安装，其它批量安装的节点也需要设置委托。 批量安装脚本依赖python版本，建议在python2.x版本的机器上执行此操作，python3.x版本不支持。 iplist.cfg文件中每一行应以回车作为结尾。

本文主要介绍怎样配置Windows弹性云主机的虚拟内存? 开启弹性云主机的虚拟内存后，会导致硬盘I/O性能下降，因此，平台提供的Windows弹性云主机默认未配置虚拟内存。如果弹性云主机内存不足，建议通过“变更规格”操作来扩大内存。如果业务需要，必须开启虚拟内存，请参见本节内容进行配置。 说明 内存使用率已经非常高，同时I/O性能也不是很好的情况下，如果配置虚拟内存会起到反向效果：不仅系统性能提升较小（因为内存使用率已经非常高了），而且由于频繁的内存切换操作，会产生大量额外的I/O操作，导致I/O性能进一步降低，反而最终降低了系统总体性能。 本节内容适用于Windows 2008及以上版本操作系统的弹性云主机。 1.右键单击“计算机”，选择“属性”。 2.在左侧导航栏，选择“高级系统设置”。 系统打开“系统属性”窗口。 3.选择“高级”页签，并单击“性能”栏的“设置”。 系统打开“性能选项”窗口。 图 性能选项 4.选择“高级”页签，并单击“处理器计划”栏的“后台服务”。 5.单击“虚拟内存”栏的“更改”。 系统打开“虚拟内存”窗口。 6.根据业务需求配置虚拟内存： −自动管理所有驱动器的分页文件大小：取消勾选。 −驱动器：选择虚拟内存文件存放的驱动器。 建议您不要选择系统盘来存放虚拟内存，具体根据自己的服务器硬盘情况来选择。 −自定义大小：选择“自定义大小”，并输入“初始大小”与“最大值”。 请合理考虑系统蓝屏时产生Memory.dmp时的需求，建议初始大小16MB，最大值4096MB。 图 虚拟内存 7.单击“设置”，然后单击右下角的“确定”完成虚拟内存配置。 8.重启弹性云主机，使配置生效。

本页介绍了文档数据库服务集群版的产品资费。 说明 天翼云文档数据库服务DDS对Ⅰ类型资源池和Ⅱ类型资源池的价格有所区分。 部分Ⅰ类型资源池已加载国产化处理器，相关价格见下方说明。 具体资源池类型请见 集群价格 下表中为集群中单个Mongos、单个Shard、单个ConfigServer的资费，多个时按数量计费。 实例类型 CPU(核) 内存（G） 标准资费（元/月） 按需标准资费（元/小时） : 集群Mongos 2 4 200 0.42 集群Mongos 2 8 330 0.695 集群Mongos 2 16 340 0.708 集群Mongos 4 8 360 0.76 集群Mongos 4 16 660 1.39 集群Mongos 4 32 680 1.416 集群Mongos 8 16 700 1.46 集群Mongos 8 32 1330 2.78 集群Mongos 8 64 2246.25 4.677 集群Mongos 16 32 2419.44 5.04 集群Mongos 16 64 2660 5.56 集群Mongos 16 128 4479.88 9.328 集群Mongos 32 64 4826.25 10.06 集群Mongos 32 128 6384 13.344 集群Mongos 32 256 8947.15 18.63 集群Mongos 64 128 9652.5 20.11 集群Mongos 64 256 12768 26.688 集群Mongos 64 512 17894.3 37.259 集群Shard 2 4 600 1.25 集群Shard 2 8 1000 2.084 集群Shard 2 16 1050 2.19 集群Shard 4 8 1090 2.29 集群Shard 4 16 2000 4.168 集群Shard 4 32 2050 4.27 集群Shard 8 16 2100 4.38 集群Shard 8 32 4000 8.335 集群Shard 8 64 5978 12.46 集群Shard 16 32 7303.11 15.22 集群Shard 16 64 8000 16.67 集群Shard 16 128 11760 24.5 集群Shard 32 64 14523.56 30.43 集群Shard 32 128 19200 40.008 集群Shard 32 256 23030 47.98 集群Shard 64 128 36308.9 75.6 集群Shard 64 256 38400 80.016 集群Shard 64 512 91327.75 190.16 集群ConfigServer 2 4 570 1.2 集群ConfigServer 4 8 1368 1.38 集群ConfigServer 8 16 2736 2.75 集群实例类型包年预付费可享受一年85折、两年7折、三年5折的优惠政策。

本节介绍态势感知（专业版）支持接入的日志。 态势感知（专业版）支持集成多种云产品的日志数据。集成后，可以检索并分析所有收集到的日志。 支持接入的日志： 云服务 日志描述 日志 日志生命周期范围 Web应用防火墙（Web Application Firewall，WAF） 攻击日志 wafattack 7~30 天 Web应用防火墙（Web Application Firewall，WAF） 访问日志 wafaccess 7~30 天 态势感知（专业版） 合规基线日志 secmasterbaseline 7~10 天 对象存储服务（Object Storage Service，OBS） 访问日志 obsaccess 7~15 天 入侵防御系统（Intrusion Prevention System，IPS） 攻击日志 nipattack 7~180 天 统一身份认证（Identity and Access Management，IAM） 审计日志 iamaudit 7~180 天 企业主机安全（Host Security Service，HSS） 主机安全告警 hssalarm 7~180 天 企业主机安全（Host Security Service，HSS） 主机漏洞扫描结果 hssvul 7 天 企业主机安全（Host Security Service，HSS） 主机安全日志 hsslog 7~15 天 数据安全中心（Data Security Center，DSC） 告警日志 dscalarm 7~180 天 AntiDDoS流量清洗（AntiDDoS） 攻击日志 ddosattack 7~180 天 数据库安全服务（Database Security Service，DBSS） 告警日志 dbssalarm 7~180 天 云审计服务（Cloud Trace Service，CTS） 云审计服务日志 ctsaudit 7~180 天 云防火墙（Cloud Firewall，CFW） 访问控制日志 cfwblock 7~30 天 云防火墙（Cloud Firewall，CFW） 流量日志 cfwflow 7~15 天 云防火墙（Cloud Firewall，CFW） 攻击事件日志 cfwrisk 7~180 天 API网关（API Gateway） 访问日志 apigaccess 7~180 天

本文站在新手的角度，从了解WAF基本概念开始，到基础的开通和域名接入，再深入到安全策略配置，递进式指引帮助零基础用户快速上手和使用WAF。 WAF基本概念 面向对象：首次使用Web应用防火墙（边缘云）版服务的客户。 初识WAF 说明 相关文档 ::: 什么是Web应用防火墙（边缘云版）？ 通过介绍Web应用防火墙（边缘云版），主要功能和应用场景，帮助首次使用WAF服务的客户全面认识WAF。 产品概述 为什么需要Web应用防火墙（边缘云版）？ 通过详细介绍产品优势和应用场景，帮助客户全面了解Web应用防火墙（边缘云版）能解决的业务问题。 产品优势 WAF如何计费？ 详细介绍天翼云Web应用防火墙（边缘云版）支持的计费方式，指导客户如何选择合适的计费方式。 产品计费 相关术语 为帮助客户在浏览相关文档时能更快更准确理解相关功能及流程，专门提炼CDN相关专业术语并提供解释说明。 基本概念

操作步骤：为子账号授权或调整子账号权限。 注意 请提前创建好子用户，并需子用户登陆天翼云后才可以同步到云容器引擎控制台。 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要授权的集群，进入集群管理页面。 3、在集群管理页面导航栏中选择安全管理 > 授权，进入角色授权页面。 4、点击管理权限操作单个子账号权限，或选择多个子账号后点击添加权限为多个子账号批量授权，点击后进入集群RBAC配置页面。 5、在集群RBAC配置页面中，可以对子账号已有的用户权限进行调整或为子账号新增权限，权限可以限定单个命名空间或不限制命名空间（集群权限），子账号可设置的权限有内置权限（管理员、运维人员、开发人员、受限人员）和自定义权限，选择自定义权限可选择集群中创建的任意Cluster Role进行授权。 6、点击下⼀步完成授权。

本节介绍如何配置全局白名单。 防护对象接入Web应用防火墙后，您可以选择开启全局白名单功能，并配置白名单规则。 可用于放行具有指定特征的请求，使请求不经过全部（包含 Web 基础防护、CC 防护、BOT 防护、精准访问控制）或特定防护模块（Web基础防护）的检测。 也可用于处理误报事件，对于误报的事件可进行规则级别的加白，将单次拦截放通。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“防护白名单”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入白名单页面。 7. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置白名单实例所在的企业项目。 接入对象 设置白名单作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局白名单不支持独享版和监听器防护对象。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：选择该项，表示触发匹配条件的请求不受Web 基础防护、CC 防护、BOT 防护、精准访问控制模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，支持Web基础防护。在模块右侧的下拉框，选择不检测的规则ID。 8. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本章节主要介绍翼MapReduce的其他任务管理说明操作。 操作场景 FusionInsight Manager还支持对备份恢复进行不同的维护管理功能。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“运维 > 备份恢复 > 备份管理”或“运维 > 备份恢复 > 恢复管理”。 3. 在任务列表指定任务的“操作”列，选择需要执行的操作。 更多维护管理功能 操作入口 说明 “配置” 修改备份任务的参数。 “恢复” 部分业务数据的备份任务执行成功后，可以直接使用此功能快速恢复数据。 “更多 > 即时备份” 立即运行备份任务。 “更多 > 停止” 可以停止正在运行的任务。 “更多 > 删除”或“删除” 删除任务。 “更多 > 挂起” 禁用自动备份任务。 “更多 > 重新执行” 启用自动备份任务。 “更多 > 查询历史”或“查询历史” 打开任务运行日志窗口，查看运行详细情况以及备份路径。 “查看” 检查恢复任务的参数设置。 “执行” 运行恢复任务。

本节介绍等级保护测评合规最佳实践。 等级保护测评背景 网络安全等级保护测评是按照GB/T 222392019网络安全等级保护要求对各行业单位网络信息系统进行等级测评，以满足相关等级安全要求。云服务器需满足等级保护测评中安全计算环境要求，服务器安全卫士（原生版）提供相关安全能力，满足客户合规需求。 安全计算环境要求 服务器安全卫士（原生版）在等级保护测评（三级）“安全计算环境”中可满足项： 等保测评项 满足情况 对应能力说明 身份鉴别 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 满足 服务器安全卫士（原生版）通过基线检测功能帮助用户检测密码策略相关满足情况，协助用户完成策略配置；通过弱口令检测功能保障口令复杂度满足管理情况。 身份鉴别 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 满足 服务器安全卫士（原生版）通过基线检测功能帮助检测实现账户锁定策略相关满足情况，协助用户完成策略配置。 入侵防范 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。 满足 服务器安全卫士（原生版）通过扫描功能能够发现可能存在的已知漏洞，且能够出具修补建议帮助用户修补漏洞。 入侵防范 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。 满足 服务器安全卫士（原生版）通过异常登录、暴力破解、后门检测、可疑操作、反弹Shell等功能对主机进行实时监控，发现入侵行为进行告警。 恶意代码防范 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。 满足 服务器安全卫士（原生版）通过病毒查杀功能可对恶意代码进行查杀，满足该项要求。 说明 其余测评项需用户通过云主机操作系统本身的策略设置满足，服务器安全卫士（原生版）可通过基线检测功能协助客户进行策略检测。

本节介绍了创建私有镜像的流程。 1、登录天翼云控制中心; 2、在云主机控制台，单击【计算 > 镜像服务】； 3、在【镜像服务】界面，单击【创建私有镜像】； 4、在【创建私有镜像】界面，填写镜像类型和来源、配置信息，点击立即创建； 5、私有镜像创建成功。

本章节主要介绍翼MapReduce的恢复租户数据操作。 操作场景 租户默认在Manager和集群组件中保存相关数据，在组件故障恢复或者卸载重新安装的场景下，所有租户的部分配置数据可能状态不正常，管理员需要通过FusionInsight Manager手动恢复配置数据。 操作步骤 1. 登录FusionInsight Manager，单击“租户资源”。 2. 在左侧租户列表，单击某个租户节点。 3. 检查租户数据状态。 在“概述”，查看“租户资源状态”，绿色表示租户可用，灰色表示租户不可用。 单击“资源”，查看“Yarn”或者“HDFS存储”左侧的圆圈，绿色表示资源可用，灰色表示资源不可用。 单击“服务关联”，查看关联的服务表格的“状态”列，“良好”表示组件可正常为关联的租户提供服务，“故障”表示组件无法为租户提供服务。 任意一个检查结果不正常，需要恢复租户数据，请执行步骤4。 4. 单击，在弹出的确认窗中输入当前登录的用户密码确认身份，单击“确定”。 5. 在“恢复租户资源数据”窗口，选择一个或多个需要恢复数据的组件，单击“确定”，等待系统自动恢复租户数据。

本章节主要介绍翼MapReduce的恢复租户数据操作。 操作场景 租户默认在Manager和集群组件中保存相关数据，在组件故障恢复或者卸载重新安装的场景下，所有租户的部分配置数据可能状态不正常，管理员需要通过FusionInsight Manager手动恢复配置数据。 操作步骤 1. 登录FusionInsight Manager，单击“租户资源”。 2. 在左侧租户列表，单击某个租户节点。 3. 检查租户数据状态。 在“概述”，查看“租户资源状态”，绿色表示租户可用，灰色表示租户不可用。 单击“资源”，查看“Yarn”和“HDFS存储”左侧的圆圈，绿色表示资源可用，灰色表示资源不可用。 单击“服务关联”，查看关联的服务表格的“状态”列，“良好”表示组件可正常为关联的租户提供服务，“故障”表示组件无法为租户提供服务。 任意一个检查结果不正常，需要恢复租户数据，请执行步骤4。 4. 单击，在弹出的确认窗中输入当前登录的用户密码确认身份，单击“确定”。 5. 在“恢复租户资源数据”窗口，选择一个或多个需要恢复数据的组件，单击“确定”，等待系统自动恢复租户数据。

如何查看云主机备份中的数据？ 您可以通过以下步骤进行查看： 1. 使用云主机备份创建新的云主机，具体操作请参考使用备份申请云主机。 2. 登录新的云主机，即可查看云主机中的数据。 备份会保存多久？ 备份的保留时间取决于备份的类型和您所设置的保留规则。 手动备份一般由用户手动创建，可以使用类似“Manualxxxx”或自定义的名称来标识。这些备份数据会一直保留，直到以下情况发生之一： 您手动删除了备份。 您的账户余额不足，且您未及时补充欠款，导致系统自动释放备份数据。这些被释放的备份数据将无法恢复。 自动备份通常以 “autoxxxx”的名称进行标识。备份的保留时间取决于您设置的保留规则。如果您在备份策略中规定了保留规则，备份将按照这些规则进行保留和自动删除。如果在策略执行期间修改了保留规则，可能会导致备份未能按照新规则自动删除。这可能是因为系统需要一些时间来应用新的策略或出现了其他操作问题。 如何对资源进行周期性全量备份？ 可以在备份策略中进行定期全量备份配置。 天翼云的备份策略默认对一个新的资源第一次进行全量备份，后续进行永久增量备份。即使第一个全量备份被删除后，您也可以从任意一个增量备份恢复所有数据，第一个增量备份会自动变为全量备份。如果有周期性全量备份的需要，可以在备份策略中设置定期全量备份，会按照配置频次执行全量备份，具体请见创建备份策略。

本节主要介绍修改卷的上云配置。 在“卷管理”页面，选择需要修改的上云卷，点击“操作”>“修改上云配置”，一次可以修改多个上云卷的上云配置。 图1 修改卷上云配置 项目 描述 卷名称 卷名称。 对象存储服务 对象存储服务名称（此项不能修改）： OOS：天翼云对象存储经典版I型。 S3：兼容S3的其他对象存储。 Endpoint 修改对象存储的Endpoint。 注意 Endpoint必须与所使用的对象存储服务一一对应：若使用OOS对象存储服务，需填写OOS的Endpoint；若使用兼容S3的其他对象存储服务，则需填写它的Endpoint。 如果仅输入域名将会使用HTTPS协议进行访问。 签名版本 修改上云签名认证的类型： v2：V2签名认证。 v4：V4签名认证。 区域 Endpoint资源池所在区域。 V4签名时，此项必填。V2签名时，此项不显示。 AS/SK 对象存储服务的Access Key和Secret Access Key。 压缩 是否压缩数据上传至对象存储： 启用：压缩数据上传至对象存储。 禁用：不压缩数据上传至对象存储。

本文介绍如何添加和解绑文件系统的VPC。 操作场景 文件系统必须通过添加VPC，挂载在弹性云主机上，才能实现文件共享。海量文件服务支持配置多个VPC，以使归属于不同VPC的云主机也能共享访问同一个文件系统。 说明 一个文件系统最多可以添加20个可用的VPC。 添加VPC操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>海量文件服务OceanFS”进入OceanFS文件系统列表页面。 3. 在目标文件系统操作栏或者点击目标文件系统名称进入详情页，点击“添加VPC”。 4. 在弹出的添加VPC对话框中可以在下拉列表中选中待绑定VPC及权限组，如果没有可用的VPC需先申请，点击右侧“创建虚拟私有云”。 5. 点击“确定”，完成添加。 6. 添加完成后，可以在详情页VPC页签下看到绑定的VPC。可以点击操作栏下方的“更改权限组”，更改VPC绑定的权限组。 解绑VPC操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>海量文件服务OceanFS”，进入OceanFS文件系统列表页面。 3. 点击目标文件系统的名称，进入详情页。 4. 在文件系统详情页的VPC页签下，点击待解绑的VPC操作栏下的“解绑”。 5. 在弹出页面，点击“确定”，完成VPC的解绑。

步骤二：创建智能体（Agent）并配置工作目录。 1. 登录天翼云计算控制台，找到已部署OpenClaw的云主机，在更多操作中，点击“重置密码”，设置登录密码。 2. 登录目标云主机。点击“远程登录”。 天翼云提供的镜像为Linux系统，因此本文以Linux系统为例，在管理终端页面中，输入用户名（默认为root）及密码，登录云主机。 3. 创建 Agent 。在云主机中输入以下命令创建Agent，支持创建多个Agent。 plaintext openclaw agents add agentId workspace ~/.openclaw/workspace/agentId 命令末尾参数 [agentId] 支持自定义配置，可根据机器人业务场景灵活命名。 示例： 在OpenClaw云主机内，创建3个Agent，分别命名为“planningbot”“drawingbot”及“codingbot”负责不同的类型的任务，命令及部分执行结果如下： plaintext openclaw agents add planningbot workspace ~/.openclaw/workspace/planningbot openclaw agents add drawingbot workspace ~/.openclaw/workspace/drawingbot openclaw agents add codingbot workspace ~/.openclaw/workspace/codingbot 4. 将飞书机器人注册到OpenClaw。 在云主机中，继续执行以下命令： plaintext openclaw config set channels.feishu.accounts.accoundId '{"appId":"appIdxxxxx","appSecret":"appSecretxxxxx"}' strictjson 其中，命令中的参数及填写说明如下： 参数 说明 示例 accountId 支持自定义，可命名为与agentID关联的名称以便于管理。 planning appIdxxxxx 飞书App ID，可飞书进入“凭证与基础信息”页中获取。 clia9496 appSecretxxxxx 飞书App Secret，可飞书进入“凭证与基础信息”页中获取。 S88C1 示例： 上一步创建的“planningbot”“drawingbot”及“codingbot”都需注册，命令及部分执行结果如下： plaintext openclaw config set channels.feishu.accounts.planning '{"appId":"clia94","appSecret":"Eop"}' strictjson openclaw config set channels.feishu.accounts.drawing '{"appId":"clia94","appSecret":"tSU"}' strictjson openclaw config set channels.feishu.accounts.coding '{"appId":"clia94","appSecret":"XEE"}' strictjson 5. 配置路由。继续在云主机中执行以下命令，配置通道（飞书）accountId 与 agent 之间的路由关系： plaintext openclaw agents bind agent agentId bind feishu:accountId 命令中，[accountId] 与 [agentId] 为前置操作中定义的名称。 示例： 如上文操作中，策划Agent [accountId ] 为“planning”， [agentId] 为“planningbot”，剩余两个Agent配置同理，命令及部分执行结果如下： plaintext openclaw agents bind agent planningbot bind feishu:planning openclaw agents bind agent drawingbot bind feishu:drawing openclaw agents bind agent codingbot bind feishu:coding 6. 若需要配置多个 Agent ，重复步骤2中创建 Agent > 将机器人注册到 OpenClaw 中 > 配置路由 操作即可。完成 Agent 配置后，需重启 OpenClaw 应用。在云主机中执行以下命令： plaintext openclaw gateway restart

主机通过公网NAT网关访问外网，请问公网NAT网关的带宽是多少？在哪里设置？ 公网NAT网关的SNAT功能通过绑定弹性公网IP，实现云主机私有IP到公网IP的转换。云主机通过公网NAT网关访问外网时，其带宽大小和您申请弹性公网IP时选择的带宽大小有关。 NAT网关丢包或连接不通该如何处理？ 通过NAT网关上网的服务器出现丢包或连接不通的情况时，可以通过云监控查看NAT网关的SNAT连接数。若SNAT连接数超过NAT网关规格上限，则会导致使用NAT网关的服务器出现丢包或者连接不通的现象。如果超过NAT网关规格上限，可修改NAT网关规格，增大NAT网关规格数。 NAT网关里的网段设置与SNAT规则里的网段有什么关联与区别？ NAT网关里的网段是在创建NAT网关时必须指定NAT网关所在VPC及子网网段。此网段仅用于系统后台使用，并非SNAT使用的网段。 创建SNAT规则且当场景是虚拟私有云时，需要配置对应VPC的子网网段，使该网段中的云主机通过SNAT方式进行访问。 创建SNAT规则且当场景是云专线时，需要配置云专线对应的本地数据中心的某个网段或另一VPC的网段，使该网段中的云主机通过SNAT方式进行访问。

本章节主要介绍翼MR Manager的主机详情页面。 进入到翼MR Manager以后，点击菜单“主机”，进入主机列表页面。 单击指定主机IP或主机名称进入到主机详情页面。如图所示： 详情页面下方依次为该主机的：主机状态、实例列表、告警历史信息。

本文对计算专属云的价格做出说明。 计算单元 计算宿主机根据可用容量进行包周期收费，购买宿主机之后专属云开通云主机不再收取vCPU和内存的费用，计算宿主机享受包年85折优惠，定价如下： 业务单元 CPU型号 规格 包月标准价格（元/月） 备注 通用型/内存优化型2代系 第二代英特尔®至强®可扩展处理器 2.3GHZ 16 core（cascade lake) 50核/445GB内存 8736 由于实际部署的主机网络功能的软件版本差异，宿主机的可售核数与内存可用量可能有些许差异。实际差异值会根据具体机型、软件版本动态优化，具体可用量以实际部署为准。 通用型/计算增强型/内存优化型3代系 第二代英特尔®至强®可扩展处理器2.3GHZ 16 core（cascade lake) 第二代英特尔®至强®可扩展处理器2.1GHZ 20 core(cascade lake) 40核/456GB内存 56核/444GB内存 10056 11364 由于实际部署的主机网络功能的软件版本差异，宿主机的可售核数与内存可用量可能有些许差异。实际差异值会根据具体机型、软件版本动态优化，具体可用量以实际部署为准。 通用型/计算增强型/内存优化型6代系 第二代英特尔®至强®可扩展处理器3.0GHZ 24 core(cascade lake) 72核/673GB内存 14351.57 由于实际部署的主机网络功能的软件版本差异，宿主机的可售核数与内存可用量可能有些许差异。实际差异值会根据具体机型、软件版本动态优化，具体可用量以实际部署为准。 通用型/计算增强型/内存优化型7代系 第三代英特尔®至强®可扩展处理器 2.8GHZ 38 core(ice lake) 128核/885GB内存 21442 由于实际部署的主机网络功能的软件版本差异，宿主机的可售核数与内存可用量可能有些许差异。实际差异值会根据具体机型、软件版本动态优化，具体可用量以实际部署为准。 通用型/计算增强型/内存优化型海光系列 Hygon 7285，2.0GHz Hygon 7380，2.2GHz 104核/651GB内存 104核/399GB内存 16605.12 13487.04 由于实际部署的主机网络功能的软件版本差异，宿主机的可售核数与内存可用量可能有些许差异。实际差异值会根据具体机型、软件版本动态优化，具体可用量以实际部署为准。 通用型/计算增强型/内存优化型鲲鹏系列 鲲鹏920，2.6GHz 110核/664GB内存 110核/408GB内存 12908 10476 由于实际部署的主机网络功能的软件版本差异，宿主机的可售核数与内存可用量可能有些许差异。实际差异值会根据具体机型、软件版本动态优化，具体可用量以实际部署为准。 通用型/计算增强型/内存优化型飞腾系列 飞腾S2500，2.1GHz 104核/408GB内存 13487.04 由于实际部署的主机网络功能的软件版本差异，宿主机的可售核数与内存可用量可能有些许差异。实际差异值会根据具体机型、软件版本动态优化，具体可用量以实际部署为准。 说明 通用型/计算增强型/内存优化型3代系 由于实际部署的主机网络功能的软件版本差异，可售核数调整。 其他代系由于实际部署的主机网络功能的软件版本差异，宿主机的可售核数与内存可用量可能有些许差别。

本章节为您介绍如何新购及开通WAF日志分析。 订购WAF日志服务 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 日志分析”，根据页面提示订购日志分析。 说明 您也可在扩容SaaS实例页面订购日志分析。 日志分析订购后不可单独退订，并且扩展包不支持缩容，请确认完后再订购。 开启WAF日志投递 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 日志分析”，进入日志服务页面，选择需要管理的实例。 5. 单击右上方的“投递管理”，跳转至“日志分析投递管理”页面，选择需要开启日志投递的防护对象，打开日志投递服务开关。 6. （可选）开启投递后，可进行字段配置，单击“操作”列的“字段配置”按钮，在弹出的对话框中配置存储的日志类型及采样比例。 7. 开启投递后，WAF会在云日志服务中自动生成日志项目及日志单元，名称分别为wafltsprojectSaaS 和waflogunit。

步骤二：在自建Kubernetes集群备份应用 由于本地集群已接入分布式容器云平台CCE One注册集群，因此可在控制台上进行备份任务操作，具体步骤如下： 1. 在CCE One集群管理页面，找到对应的本地注册集群，点击进入云上单集群控制台； 2. 进入【运维管理】>【备份】，然后按需选择【集群备份】； 3. 首次进入该页面，将检查ccsebackup插件的安装情况，若当前该插件还未安装，会有对应流程提示；请参考流程指引，部署并配置ccsebackup插件的运行参数； 4. 创建集群备份任务，等待备份任务执行完成； 具体操作，请参考云容器引擎集群备份 步骤三：在线上CCE集群中恢复应用 若只是本集群按需恢复，则可以在对应备份任务操作中，点击【还原】并再次点击确认即可； 若需要在天翼云上的其他CCE注册集群中恢复应用，则可以参考如下步骤： 1. 将天翼云CCE集群关联到CCE One注册集群中来； 2. 进入天翼云CCE注册集群控制台，选择【运维管理】>【备份】>【集群备份】>【上传】，将源集群中备份下载的副本，上传到目标集群的集群备份列表中； 3. 点击操作中的【还原】，并按需选择命名空间重命名和数据清洗配置； 跨集群数据恢复场景，建议通过【数据清洗】配置，快速完成镜像地址、PVC StorageClass等差异化配置的替换； 等待以上【还原】任务执行完成后，进度目标集群中检查workload运行状态。预期输出如下： 设置kubectl proxy，尝试访问服务： 验证目标集群中应用服务访问正常，应用迁移完成。

sectioncee6df8fa1da56d5)。 6. 索引配置。（可选项） 具体查看索引配置。 7. 登录要采集Syslog的弹性云主机服务器，完成rsyslog转发配置。 1. 在syslog所在云主机上修改rsyslog的配置文件 /etc/rsyslog.conf，并且需要在配置文件的最后一行，添加转发规则，rsyslog会将syslog转发至指定IP地址和端口。端口与采集配置中配置的端口保持一致。例如以下配置表示将所有的日志都通过TCP转发至127.0.0.1:9000 . @@127.0.0.1:9000 2. 执行以下命令重启rsyslog，使日志转发规则生效： sudo service rsyslog restart 8. 接入成功后，可以点击【返回接入配置列表】查看日志接入，也可单击【查询日志】查看该日志单元下的日志数据。 采集配置 字段 字段说明 采集规则名称 自定义采集规则名称 网络类型 选择UDP或TCP网络类型 解析协议 默认为auto，将自动选择合适的解析协议 监听地址 指定采集器插件监听地址和端口 [ip]:[port]

弹性公网IP地址 弹性网卡绑定弹性公网IP，用于公网通信。使用弹性IP时会将网卡的私网IP NAT成为公网IP，以此来访问公网或者被公网访问。 多队列 网卡多队列是指实例规格支持的最大网卡队列数。单台ECS实例vCPU处理网络中断存在性能瓶颈时，您可以将实例中的网络中断分散给不同的vCPU处理，从而提升性能。 修改内网IP/切换VPC 云主机、物理机的主网卡提供以下能力：修改为同子网下其他IP、切换同VPC下的其他子网、切换至其他VPC。 您可以通过修改云主机、物理机服务器的主网卡IP，或者切换VPC及子网，来实现迁移功能。当网络规划存在冲突或需要隔离某个服务器时，可使用此功能。 注意 弹性网卡仅适用于可用区资源池，不同资源池列表见