后端配置 支持定义多个策略后端，即满足一定条件后转发给指定的API后端服务，用以满足不同的调用场景。例如为了区分普通调用与特殊调用，可以定义一个“策略后端”，通过调用方的源IP地址，为特殊调用方分配专用的后端服务。 除了定义一个默认的API后端服务，一个API共可以定义5个策略后端。 步骤 1 定义默认后端。 添加策略后端前必须定义一个默认后端，当不满足任何一个策略后端的API请求，都将转发到默认的API后端。 在“后端配置”页面，选择API后端服务类型。 后端服务类型有HTTP&HTTPS和Mock，具体参数描述见下表。 说明 在后端服务还不具备的场景下，可以使用Mock模式，将预期结果固定返回给API调用方，方便调用方进行调试验证。 表 HTTP&HTTPS类型定义后端服务 信息项 描述 负载通道 是否使用负载通道访问后端服务。如果选择“使用”，您需要提前创建负载通道。 URL URL地址由请求方法、请求协议、负载通道/后端服务地址和路径组成。 l 请求方法 GET、POST、DELETE、PUT、PATCH、HEAD、OPTIONS、ANY，其中ANY表示该API支持任意请求方法。 l 请求协议 HTTP或HTTPS，传输重要或敏感数据时推荐使用HTTPS。 说明 API网关支持WebSocket数据传输，请求协议中的HTTP相当于WebSocket的ws，HTTPS相当于WebSocket的wss。 定义的后端服务协议须与用户的后端业务协议保持一致。 l 负载通道（可选） 仅在使用负载通道时，需要设置 。选择已创建的负载通道名称。 说明 负载通道中，云服务器的安全组必须允许100.125.0.0/16网段访问，否则将导致健康检查失败及业务不通。 l 后端服务地址（可选） 仅在不使用负载通道时，需要设置 。 填写后端服务的访问地址，格式：“主机:端口”。主机为后端服务的访问IP地址/域名，未指定端口时，HTTP协议默认使用80端口，HTTPS协议默认使用443端口。 如果后端服务地址中需要携带环境变量，则使用“

本章节主要介绍 恢复元数据 。 操作场景 在用户意外修改删除、数据需要找回，对元数据组件进行重大操作（如升级、重大数据调整等）后系统数据出现异常或未达到预期结果，模块全部故障完全无法使用，或者迁移数据到新集群的场景中，需要对元数据进行恢复操作。 该任务指导用户通过MRS Manager创建恢复元数据任务。只支持创建任务手动恢复数据。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的元数据。 必须使用同一时间点的OMS和LdapServer备份数据进行恢复，否则可能造成业务和操作失败。 MRS集群默认使用DBService保存Hive的元数据。 对系统的影响 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 数据恢复后，依赖DBService的组件可能配置过期，需要重启配置过期的服务。 前提条件 检查OMS和LdapServer备份文件是否是同一时间点备份的数据。 检查OMS资源状态是否正常，检查LdapServer实例状态是否正常。如果不正常，不能执行恢复操作。 检查集群主机和服务的状态是否正常。如果不正常，不能执行恢复操作。 检查恢复数据时集群主机拓扑结构与备份数据时是否相同。如果不相同，不能执行恢复操作，必须重新备份。 检查恢复数据时集群中已添加的服务与备份数据时是否相同。如果不相同，不能执行恢复操作，必须重新备份 检查DBService主备实例状态是否正常。如果不正常，不能执行恢复操作。 停止依赖MRS集群运行的上层业务应用。 在MRS Manager停止所有待恢复数据的NameNode角色实例，其他的HDFS角色实例必须保持正常运行，恢复数据后重启NameNode。NameNode角色实例重启前无法访问。 检查NameNode备份文件是否保存在主管理节点“数据存放路径/LocalBackup/”。

操作场景 CCE提供了回调函数，在容器的生命周期的特定阶段执行调用，比如容器在停止前希望执行某项操作，就可以注册相应的钩子函数。 目前提供的生命周期回调函数如下所示： 启动命令：容器将会以该启动命令启动，请参见设置容器启动命令。 启动后处理： 容器启动后触发，请参见启动后处理。 停止前处理： 容器停止前触发。设置停止前处理，确保升级或实例删除时可提前将实例中运行的业务排水。详细请参见停止前处理。 容器如何执行命令和参数 Docker的镜像拥有存储镜像信息的相关元数据，如果不设置生命周期命令和参数，容器运行时将运行镜像制作时提供的默认的命令和参数，Docker将这两个字段定义为“Entrypoint”和 "CMD"。 如果在创建工作负载时填写了容器的运行命令和参数，将会覆盖镜像构建时的默认命令 "Entrypoint"、"CMD"，规则如下： 表容器执行命令和参数 镜像 Entrypoint 镜像CMD 容器运行命令 容器运行参数 最终执行 [touch] [/root/test] 未设置 未设置 [touch /root/test] [touch] [/root/test] [mkdir] 未设置 [mkdir] [touch] [/root/test] 未设置 [/opt/test] [touch /opt/test] [touch] [/root/test] [mkdir] [/opt/test] [mkdir /opt/test] 启动命令 在默认情况下，镜像启动时会运行默认命令，如果想运行特定命令或重写镜像默认值，需要进行相应设置。设置方法请参见设置容器启动命令。 启动后处理 步骤 1 登录CCE控制台，在创建工作负载时，展开“生命周期”。 步骤 2 在“启动后处理”后，设置启动后处理的参数，如下表。 启动后处理参数说明 参数 说明 命令行方式 在容器中执行指定的命令，配置为需要执行的命令。命令的格式为Command Args[1] Args[2]…（Command为系统命令或者用户自定义可执行程序，如果未指定路径则在默认路径下寻找可执行程序），如果需要执行多条命令，建议采用将命令写入脚本执行的方式。 如需要执行的命令如下： exec: command: /install.sh installagent 请在执行脚本中填写: /install installagent。这条命令表示容器创建成功后将执行install.sh。 HTTP请求方式 发起一个HTTP调用请求。配置参数如下： 路径：请求的URL路径，可选项。 端口：请求的端口，必选项。 主机地址：请求的IP地址，可选项，默认是容器所在的节点IP。 停止前处理 步骤 1 登录CCE控制台，在创建工作负载配置生命周期过程中，选择“停止前处理”。 步骤 2 在“停止前处理”后，设置停止前处理的参数，如下表。 停止前处理参数说明 参数 说明 命令行方式 在容器中执行指定的命令，配置为需要执行的命令。命令的格式为Command Args[1] Args[2]…（Command为系统命令或者用户自定义可执行程序，如果未指定路径则在默认路径下寻找可执行程序），如果需要执行多条命令，建议采用将命令写入脚本执行的方式。 如需要执行的命令如下： exec: command: /uninstall.sh uninstallagent 请在执行脚本中填写: /uninstall uninstallagent。这条命令表示容器结束前将执行uninstall.sh。 HTTP请求方式 发起一个HTTP调用请求。配置参数如下： 路径：请求的URL路径，可选项。 端口：请求的端口，必选项。 主机地址：请求的IP地址，可选项，默认是容器所在的节点IP。 容器重启策略 Pod通过restartPolicy字段指定重启策略，重启策略类型为：Always、OnFailure和Never，默认为 Always。 restartPolicy仅指通过同一节点上的kubelet重新启动容器。 重启策略 说明 Always 当容器失效时，由kubelet自动重启该容器。 OnFailure 当容器终止运行且退出码不为0时，由kubelet自动重启该容器。 Never 不论容器运行状态如何，kubelet都不会重启该容器。 说明： 可以管理Pod的控制器有ReplicaSet Controller，Job，DaemonSet，及kubelet（静态Pod）。 RS和DaemonSet：必须设置为Always，需要保证该容器持续运行。 Job：OnFailure或Never，确保容器执行完后不再重启。 kubelet：在Pod失效的时候重启它，不论RestartPolicy设置为什么值，并且不会对Pod进行健康检查。 设置容器生命周期YAML样例 本节以nginx为例，说明kubectl命令设置容器生命周期的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 步骤 1 登录已配置好kubectl命令的弹性云主机。 步骤 2 创建一个名为nginxdeployment.yaml的描述文件。其中，nginxdeployment.yaml为自定义名称，您可以随意命名。 vi nginxdeployment.yaml 在以下配置文件中，您可以看到postStart命令在容器目录/bin/bash下写了个install.sh 命令。 preStop执行uninstall.sh命令。 apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: restartPolicy: Always

本文档为制作Windows系统私有镜像指导手册的最后一步,获取镜像文件。 操作场景 获取镜像文件后，可以通过导入镜像功能，在弹性云主机实例上使用该私有镜像。功能请参考：通过镜像文件创建系统盘镜像（导入系统盘镜像） 操作步骤 1. 关闭虚拟机 2. 获取镜像文件，在准备Windows系统虚拟机环境的创建Windows虚拟机步骤中，已在 disk参数中指定了文件的 path。您可以直接提取该镜像文件。 disk busvirtio,devicedisk,formatqcow2,path

参数 参数类型 说明 示例 下级对象 decHostStatus String 宿主机状态 up decHostName String 展示给用户的宿主机名称 host01 cpuRatio Float CPU的倍频 1 totalVMs Integer 总的虚机数量 2 usedVCPUs Integer 已用vCPU的数量 3 usedMemSize Integer 已用内存大小，单位MB 154618822656 totalMemSize Integer 总内存大小，单位MB 539182649344 totalVCPUs Object 总CPU数量 autoDeployed Boolean 是否自动部署： True ：自动部署， False ：非自动部署 true runningVMs Integer 运行中的云主机数量 2 decHostID String 宿主机UUID 417cdb4bde54e5e562dab78533a45b38 cpuInfo Object cpu信息 cpuInfo azName String 可用区名称 cnhuadong1jsnj1Apublicctcloud

CentOS 7系列操作系统解决步骤 1. 在/etc/modprobe.d/firewalldsysctls.conf中设置conntrack的哈希值，执行以下命令： echo "options nfconntrack expecthashsize131072 hashsize131072" >> /etc/modprobe.d/firewalldsysctls.conf 2. 重启firewalld，执行以下命令： systemctl restart firewalld 3. 确认参数修改成功，执行以下命令： sysctl a grep nfconntrackmax 其他说明 本文操作适用于CentOS系统，且系统已开启主机防火墙。其他Linux系统可能存在差异。 本文操作涉及修改CentOS系统内核参数。在线修改内核参数可能会使内核不稳定，建议修改后重启系统。请评估风险后再操作。 注意 .net.netfilter.nfconntrackmax并不是越高越好，通常需要根据内存大小进行设置。nfconntrackmax计算公式（64位）为：CONNTRACKMAX RAMSIZE (in bytes)/16384/2。

本文带您熟悉删除备份策略的操作步骤,您可删除不需要的备份策略。 操作场景 根据需要，用户可删除已有的备份策略。 注意 删除策略后，其绑定的磁盘将无法按照策略继续执行备份。 前提条件 已创建至少1个备份策略。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 选择“备份策略”页签，在需要删除的备份策略所在行点击“更多>删除”按钮。 5. 在弹出的页面，确认删除信息，点击“确定”，完成删除备份策略的操作。

本章介绍如何删除目的端配置。 操作场景 当目的端设置错误或因业务需求需要修改目的端配置时，可以参考本章节删除目的端配置，然后重新设置目的端。 删除目的端配置后，服务器列表会保留迁移任务，但目的端信息会被清除，无法进行同步。可以重新设置目的端，将源端所有数据重新迁移。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“迁移服务器”，进入迁移服务器列表页面。 3. 在迁移服务器列表页面选择需要删除目的端配置的服务器，在“操作”列单击“更多 > 删除目的端配置”。或勾选需要删除目的端配置的服务器，单击服务器名称/ID列上方的“更多 > 删除目的端配置”。 4. 在弹出的“删除目的端配置”窗口，单击“确定”。

本节介绍云容器引擎的最佳实践:使用hostAliases配置Pod /etc/hosts。 使用场景 DNS配置不满足要求时，可以通过配置 hostAliases 向pod的“/etc/hosts”文件中添加域名解析条目。 操作步骤 进入云容器引擎集群控制台 选择工作负载>无状态>创建Deployment 点击高级配置，设置主机别名配置 远程登录pod查看配置的 hostAliases 是否正常，执行如下命令：

poweroff Connection closed by foreign host. Disconnected from remote host at 11:08:54. Type help´ to learn how to use Xshell prompt. r. 用此新私有镜像发放云主机，系统盘指定100GB为例，重新登录以后，执行以下命令查看/dev/xvda磁盘分区情况。 parted l /dev/xvda 回显信息如下所示，确认root分区已完成扩容，此时扩容后的root分区大小为107GB。 Model: Xen Virtual Block Device (xvd) Disk /dev/xvda: 107GB Sector size (logical/physical): 512B/512B Partition Table: msdos Disk Flags: Number Start End Size Type File system Flags 1 1049kB 107GB 107GB primary ext4 boot 说明： 回显信息中Size的大小为扩容后的大小。

本节介绍漏洞扫描的优势。 扫描全面 涵盖多种类型资产扫描，支持云内外网站、主机漏洞，智能关联各资产，自动发现资产指纹信息，避免扫描盲区。 简单易用 配置简单，一键全网扫描。可自定义扫描事件，分类管理资产安全，让运维工作更简单，风险状况更清晰了然。 高效准确 采用Web2.0智能爬虫技术，内部验证机制不断自测和优化，提高检测准确率。 时刻关注业界紧急CVE爆发漏洞情况，自动扫描，快速了解资产安全风险。 报告全面 清晰简洁的扫描报告，多角度分析资产安全风险，多元化数据呈现，将安全数据智能分析和整合，使安全现状清晰明了。

云堡垒机可以跨区域或跨VPC网络管理主机吗？ 不建议。 云堡垒机仅支持直接管理同一VPC内资源，即可直接访问同一VPC内资源。 虽跨区域或跨VPC可通过云服务构建网络连接，但受限于网络的不稳定性，不建议跨区域或跨VPC使用云堡垒机纳管资源。 云堡垒机支持在专属云上使用吗？ 支持。 专属云（Dedicated Cloud）是面向企业、政府、金融等客户，提供计算、存储资源池以及网络、管控多级隔离的综合解决方案。用户独享专属资源池，与公有云资源物理隔离，满足特定性能、应用及安全合规等要求。

参数 参数类型 是否必填 示例 说明 下级对象 deviceType String 否 vm 本参数表示设备类型。默认值为所有类型。取值范围：vm：云主机。baremetal：裸金属。disk：云磁盘。scaling：弹性伸缩。traffic：共享带宽。eip：弹性IP。elb：负载均衡。listener：监听器。cstorsfs：弹性文件。sitemonitor：站点监控。natgw：NAT网关。zosbucket：对象存储存储桶。zosuser：对象存储用户。vnetmonitorendpointstatistic：VPC终端节点。vnetendpointservicestatistic：VPC终端节点服务。根据以上范围取值。

参 数 说明 取值样例 域名 内网域名，可以自定义，支持创建顶级域，但需符合域名命名规范：由多个以点分隔的字符串组成,可包含字母、数字中划线，中划线不能在开头或末尾，单个字符串不超过63个字符，域名总长度不超过254个字符。 example.com VPC 内网域名关联的VPC，只有此VPC中的云主机才能解析创建的内网域名。 选择一个VPC。如果选框为空，请前往 描述 可选参数，域名描述。

本节介绍如何退订WAF独享版实例。 购买独享型实例后，在实例到期被删除前，您可以随时在WAF控制台退订实例。 操作步骤 1. 登录Web应用防火墙（原生版）控制台。 2. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“独享型”页签。 3. 单击目标实例操作列的“查看产品详情”。 4. 单击“退订”，进入退订页面。 5. 确认退订信息后，单击“立即退订”。 退订“二类节点”区域的独享版实例时，实例绑定的云主机默认需要一起退订。 6. 系统提示退订申请提交成功，可前往订单详情查看退订进度。

背景信息 当出现实例网络异常或者实例状态异常等情况时，文件上传会呈现不同的执行状态与执行结果。您可以通过控制台或API查看执行结果中的错误信息、诊断并修复问题。 操作步骤 1. 登录 弹性云主机控制台 或 物理机控制台 ，选择左侧导航栏中的运维工具。 2. 展开运维工具下云助手标签页，选择执行记录标签页，如下图所示： 3. 选择需要查看的文件上传结果，点击右侧查看按钮，可查看执行列表、执行信息，如下图所示： 4. 点击实例名称左侧的箭头可以查看文件上传的输出信息或上传失败的报错信息。

本文主要介绍远程桌面连接Windows云主机报错:没有远程登录的权限怎么操作。 问题描述 远程桌面连接时提示需要具有通过远程桌面服务进行登录的权限。 图 缺失远程登录权限 处理方法 1.打开cmd运行窗口，并输入“gpedit.msc”。 2.单击“确定”，打开“本地组策略编辑器”。 3.选择“计算机配置 > Windows设置 > 安全设置 > 本地策略 > 用户权限分配”。 a.查找并双击“允许通过远程桌面服务登录”。确保已添加“Administrators”和“Remote desktop users”。 图 允许通过远程桌面服务登录 b.查找并双击“拒绝通过远程桌面服务登录”。如果里面有Administrator账号，请删除。 图 拒绝通过远程桌面服务登录

本文主要介绍通过自定义脚本实现MySQL一致性备份。 准备工作 本章节以SuSE 11 SP3操作系统下MySQL 5.5单机版为例，介绍如何通过自定义脚本来冻结、解冻MySQL数据库，以实现对于MySQL数据库的应用一致性备份。 场景介绍 某企业购买了云主机，并在云主机中安装了MySQL 5.5数据库用于存放业务数据。随着数据量的增加，之前的崩溃一致性保护已经满足不了RTO、RPO的要求，决定采用应用一致性备份，减小RTO与RPO。 数据准备 数据准备 准备项 说明 示例 MySQL用户名 连接MySQL数据库时使用的用户名 root MySQL密码 连接MySQL数据库时使用的密码 Example@123 详细步骤 步骤1、加密MySQL密码，供自定义脚本使用 登录MySQL服务器，输入cd /home/rdadmin/Agent/bin/ ，进入Agent目录。 执行 /home/rdadmin/Agent/bin/agentcli encpwd ，回显如下： Enter password: 输入MySQL密码，并按“Enter”，屏幕上就会打印出加密后的密码，将其拷贝到剪贴板中。 步骤2、执行cd /home/rdadmin/Agent/bin/thirdparty/ebkuser ，进入自定义脚本目录，然后执行 vi mysqlfreeze.sh， 打开MySQL示例冻结脚本。 步骤3、将下图所示的MYSQLUSER 与MYSQLPASSWORD 修改为实际值，其中MYSQLPASSWORD为步骤1的屏幕输出。 也可以使用sed命令来直接进行修改： sed i 's/^MYSQLPASSWORD./MYSQLPASSWORD" XXX "/' mysqlfreeze.sh mysqlunfreeze.sh ，其中XXX为步骤1中打印出的密码。 此操作会同时修改冻结解冻脚本，所以无需再执行步骤3。 步骤4、执行 vi mysqlunfreeze.sh ，打开MySQL示例解冻脚本，修改此脚本中的用户名和密码。 mysqlunfreeze.sh 与mysqlfreeze.sh脚本实现了基本的数据库冻结与解冻操作，如果你在冻结、解冻时有其它额外步骤需要执行，可以自行在其中进行修改。 注意 MySQL的冻结是通过FLUSH TABLES WITH READ LOCK指令来实现的，此指令不会触发bin log刷盘操作，如果开启了bin log，且syncbinlog参数不为1，则可能出现保存的备份映像中部分SQL操作未记录到bin log的情况，如果bin log也需要完整保护，请设置syncbinlog1。

本文帮助您快速熟悉服务器的解绑的操作方法。 操作场景 当您不需要云服务器通过已绑定的虚拟IP去访问服务的话，您可以选择解除虚拟IP和云服务器之间的绑定关系。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成虚拟IP、弹性云主机的创建及绑定关系。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“子网”选项，点击虚拟IP所在的子网。 5. 进入子网详情界面，点击“虚拟IP”页签，在需要解绑云服务器的虚拟IP地址所在行的操作列下，单击：“更多”，选择“解绑服务器”。 6. 在弹窗中选择需要解绑的“服务器类型”：云主机/物理机。 7. 选定服务器类型后选择需要解绑的网卡。 8. 单击“确定”按钮。 注意 如果需要删除已绑定虚拟IP的云服务器，建议您先解绑服务器与虚拟IP的绑定关系。 请谨慎删除与虚拟IP绑定的主服务器或者网卡，有可能会导致备服务器或网卡流量不通等现象。 对于部分可用区资源池来说，如果您需要解除辅助弹性网卡与云服务器之间的关系，请先确保您已解除虚拟IP与辅助弹性网卡的绑定关系。 对于地域资源池来说，如果您要解除扩展网卡与云服务器之间的关系，解除后扩展网卡上的虚拟IP会自动从云服务器上解绑。 若虚拟IP下仅绑定了一个服务器且该虚拟IP绑定了弹性IP，需先解绑弹性IP才可解绑服务器。 部分可用区资源池暂不支持虚拟IP无序解绑云服务器，请先解绑备服务器再解绑主服务器。实际情况以控制台展示为准。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的IP情报库功能。 功能介绍 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据。 注意 注意：目前控制台尚未开放IP情报规则功能，如有防护需求请通过 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持IP情报库相关功能。 背景信息 目前天翼云边缘安全加速平台安全团队通过大数据分析技术，并基于内置的评分机制对历史攻击数据进行威胁评定，生成IP信誉库，其中恶意IP包含了漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件13种威胁类型，统计IP数量接近120万。 设置IP情报规则 支持通过威胁类型维度针对恶意IP进行监控或拦截的操作，支持配置多条防护规则。 配置项 说明 开关 控制规则为开启/关闭状态 处理动作 支持配置拦截或监控 拦截：对IP访问请求进行拦截处理 监控：不对请求拦截，但是会生成攻击日志 规则名称 支持设置规则名称 防护范围 将通过选择IP可信度、严重级别、威胁类型来配置IP情报防护规则，对同时满足三个配置的IP处理 可信度：即情报的可信度，针对已收录的IP情报，边缘云WAF安全团队将基于内置评分机制进一步验证，根据验证结果评定可信程度为高、中、低 严重级别：恶意IP的严重级别，有严重、高、中、低 威胁类型：漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件，支持多选

本节为您介绍迁移完成后MySQL业务启动与数据核验的相关步骤。 源机绑定目标机 1. 进入云主机控制台，选择目标端云主机，点击远程登陆。 2. 输入账号密码，检查账号密码等软件配置均和源机一致。 3. 检查目标机磁盘空间使用率是否与源机基本一致。 注意：迁移工具会自动将磁盘中的碎文件进行重新写入和重组，因此磁盘的占用大小将略低于源机，而迁移后的文件大小总量是同源机一致的。 执行命令：df TH 4. 查看数据库服务状态，如果数据库为关闭状态则开启数据库。 启动数据库：systemctl start mysqld 5. 检查增量数据是否同步。 登录并查看源端数据库中的数据情况，table1表中的记录数为6769000条。 登录并查看目标机启动的数据库，查看数据库中的数据情况，table1表中的记录数为6769000条，与源机相同。 6. 检查数据库版本是否一致。 检查源机数据库系统版本： 检查目标机数据库系统版本，同源机一致： 7. 检查操作系统版本是否一致。 检查源机操作系统版本： 检查目标机操作系统版本，同源机一致： 8. 检查数据库文件总数是否一致。 检查源机Mysql数据库所在挂载点的文件总数: 检查目标机Mysql数据库所在挂载点的文件总数,同源机一致:

本节为您介绍迁移完成后Oracle业务启动与数据核验的相关步骤。 源机绑定目标机 1. 进入云主机控制台，选择目标端云主机，点击远程登陆。 2. 输入账号密码，检查账号密码等软件配置均和源机一致。 3. 检查目标机磁盘空间使用率是否与源机基本一致 注意：迁移工具会自动将磁盘中的碎文件进行重新写入和重组，因此磁盘的占用大小将略低于源机，而迁移后的文件大小总量是同源机一致的。 执行命令：df TH 4. 查看数据库服务状态，如果数据库为关闭状态则开启数据库。 启动容器服务： systemctl stop docker.socket 启动数据库：docker start oracle 5. 检查增量数据是否同步登录并查看源端数据库中的数据情况，mytable表中的记录数为1100条。 登录并查看目标机启动的数据库，查看数据库中的数据情况，mytable表中的记录数为1100条，与源机相同。 6. 检查数据库版本是否一致。 检查源机数据库系统版本： 检查目标机数据库系统版本，同源机一致： 7. 检查操作系统版本是否一致。 检查源机操作系统版本： 检查目标机操作系统版本，同源机一致： 8. 检查数据库文件总数是否一致。 检查源机oracle数据库所在挂载点的文件总数: 检查目标机oracle数据库所在挂载点的文件总数,同源机一致:

如何访问文件系统？ 文件系统可以通过以下几种方式进行访问： 云内通过内网访问文件系统，将文件系统挂载至归属相同VPC的云主机、容器或者物理机上，挂载成功后，可以在云主机、容器或者物理机上访问弹性文件系统，用户可以把弹性文件系统当作一个普通的目录来访问和使用，执行读取或写入操作。 云外通过云专线访问文件系统，可以通过云专线接入弹性文件服务，实现本地数据中心与弹性文件服务的网络互通。 为何无法使用showmount e ip 查看共享文件目录？ 基于安全因素考虑，目前已禁用该命令。您可以通过登录以下两种方式查看所有的文件系统： 方式一：通过弹性文件服务控制台查看。登录天翼云官网，点击“控制中心”，在“存储”模块下点击“弹性文件服务SFS Turbo”进入控制台列表页。 方式二：通过OpenAPI查看。使用查询租户已开通文件系统列表接口即可获取。 如何避免NFS 4.0监听端口被误认为木马? 问题描述： 在通过NFSv4.0协议挂载NAS文件系统后，会出现一个随机端口（0.0.0.0）被监听的情况，并且无法通过netstat命令确定监听端口所属的进程，这可能导致误判为文件传输受到木马攻击的情况。 问题原因： 该随机端口是NFSv4.0客户端为了支持Callback而监听的。由于内核参数fs.nfs.nfscallbacktcpport默认值为0，因此NFSv4.0客户端会随机选择一个端口进行监听，而这个随机端口本身并不会带来安全风险。 解决方案： 在挂载文件系统之前，您可以通过配置参数fs.nfs.nfscallbacktcpport来指定一个非零的确定值，以固定该监听端口。 命令如下： sudo sysctl fs.nfs.nfscallbacktcpport 请将上述命令中的替换 为您希望使用的具体端口号。通过上述操作，您可以固定NFSv4.0客户端的Callback监听端口，避免随机端口的出现，从而减少误判为木马攻击的可能性。

本节主要介绍如何对SFS Turbo进行性能测试。 场景介绍 客户购买弹性文件服务后，如何验证弹性文件服务的性能指标呢？可以使用fio工具对SFS进行吞吐量和IOPS的性能测试。fio是一个开源的I/O压力测试工具。 说明：测试性能依赖client和server之间的网络带宽及文件系统的容量大小。 前提条件 创建一台与SFS Turbo同VPC内的云主机CTECS 已购买SFS Turbo服务并挂载给主机ECS，挂载步骤见官网介绍。 已在云服务器上安装fio工具。fio可从官网或GitHub下载。 操作步骤 安装I/O压测工具fio 以Linux CentOS系统为例说明： 1. 在官网下载fio。 yum install fio 2. 安装libaio引擎。 yum install libaiodevel 3. 查看fio版本。 fio version 文件系统性能数据 SFS Turbo文件系统的性能主要有IOPS和吞吐量等指标，具体各指标数据参见下表。 参数 SFS Turbo标准型 SFS Turbo性能型 最大容量 32TB 32TB 最大IOPS 5000 20000 最大吞吐量 150 MB/s 350 MB/s IOPS性能计算公式 IOPS min (5000, 1200 + 6 × 容量) IOPS min (20000, 1500 + 20 × 容量) IOPS性能计算公式举例说明： 单个文件系统IOPS性能 “最大IOPS”与“基线IOPS + 每GB文件系统的IOPS × 文件系统容量”的最小值。 以SFS Turbo性能型文件系统为例，单个SFS Turbo性能型文件系统的最大IOPS为20000。 假如SFS Turbo性能型文件系统容量为500 GB，则该文件系统IOPS性能 min (20000, 1500 + 20 × 500 )，取20000与11500中的最小值，即该文件系统的IOPS性能为11500。 假如SFS Turbo性能型文件系统容量为1000 GB，则该文件系统IOPS性能 min (20000, 1500 + 20 × 1000 )，取20000与21500中的最小值，即该文件系统的IOPS性能为20000。 标准版增强版和性能型增强版的文件系统无性能计算公式。标准版增强版文件系统的IOPS性能为15K，性能型增强版文件系统的IOPS性能为100K。

本节介绍分布式缓存产品规格API参数 本节介绍分布式缓存Redis产品订购、扩缩容、增减分片数、增减副本数、变配以及对应询价接口API参数，包括版本类型、实例类型、版本号、主机类型、分片规格、分片数、规格、副本数、磁盘类型等。 具体参数范围可能因为不同资源池配置上线的产品有所差异，可通过 资源池可创建规格 接口查询，具体可参照下表 API参数对照表。 资源池、可用区、虚拟私有云ID、所在子网ID、安全组ID、实例名称、实例密码参数为产品订购必填参数，本节不作详细说明。 基础版API参数 参数说明 参数取值 标准版 Cluster集群 Proxy集群 读写分离 版本类型 version BASIC BASIC BASIC BASIC 实例类型 edition StandardDual DirectCluster ClusterOriginalProxy OriginalMultipleReadLvs 版本号 engineVersion 5.0 6.0 7.0 5.0 6.0 7.0 5.0 6.0 7.0 5.0 6.0 7.0 主机类型 hostType X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 分片规格 shardMemSize 1 2 4 8 16 32 64 1 2 4 8 16 32 64 1 2 4 8 16 32 64 1 2 4 8 16 32 64 分片数 shardCount 不填 3~256 3~256 不填 规格 capacity 不填 不填 不填 不填 副本数 copiesCount 1~10（默认值：2） 1~10（默认值：2） 1~10（默认值：2） 2~10（默认值：2） 磁盘类型 dataDiskType SSD（默认）：超高IO SAS：高IO SSD（默认）：超高IO SAS：高IO SSD（默认）：超高IO SAS：高IO SSD（默认）：超高IO SAS：高IO

本节介绍如何在数据目录页面查看不同业务域或不同类型数据的统计信息。 前提条件 完成数据库资产委托授权，并添加数据库资产。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产管理 > 资产目录”，进入“资产目录”页面。 5. 在“业务域”或“数据类型”页签查看已经添加的数据资产信息，相关参数说明如下表。 您可以在业务域页签左侧导航栏，选择分组展示您想要查看的数据资产，或在数据类型页签左侧导航栏选择数据类型展示您想要查看的数据资产。 参数名称 参数说明 统计信息 单击“查看详情”，在“敏感数据统计详情”界面，分别从“敏感数据分类维度”、“密级维度”以及“数据库维度”三个维度展示统计信息。 敏感数据库/总库占比：统计敏感数据库在所有数据库中的占比。 敏感数据表/总表占比：统计敏感数据表在所有数据表中的占比。 敏感数据列/总列占比：统计敏感数据列在所有数据列中的占比。 说明 “周同比”表示同比上周数据发生的变化。 数据列密级等级占比 体现不同密级敏感数据列在数据列总量中占比的饼状图。 单击“查看详情”，在“敏感数据统计详情”界面，分别从“敏感数据分类维度”、“密级维度”以及“数据库维度”三个维度展示统计信息。 分类结果TOP5 分类结果占比最高的TOP5类型。 单击“查看详情”，在“分类结果详情”界面，查看统计信息。 数据量变化 体现数据量随时间变化的曲线图。 单击“查看详情”，在“敏感数据统计详情”界面，分别从“敏感数据分类维度”、“密级维度”以及“数据库维度”三个维度展示统计信息。 库量级表 数据库实例：数据库实例名称 实例ID：实例ID 主机端口：主机端口号 用户：用户名

您可以在控制台查看关系数据库MySQL版的慢日志，并根据实际情况，导出慢日志或对慢日志进行分析。 背景信息 关系数据库MySQL版的慢日志功能将记录执行时间超过当前慢日志阈值“longquerytime”的语句，通过对慢日志的查看和分析，可以找出执行效率低的语句，以便进行优化。 注意事项 慢日志采集频率为每20分钟，如果执行迁移可用区会导致该时间段的日志丢失。 采集时超过64K长度的SQL语句会被忽略。 查看日志明细 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击日志管理 ，进入错误日志页签。 5. 单击慢日志页签。 6. 在日志列表中，查看慢日志的详细信息。 慢日志功能支持查看指定时间范围的慢日志记录。 针对当前的慢日志功能， 可以设置阈值参数“longquerytime”，当SQL执行时间超过该值时将生成一条慢日志记录（只会影响新增的记录）。比如慢日志阈值参数为1s时，上报了超过1s的慢日志记录，后续调整为0.1s， 原有上报的日志仍然会展示。 说明 目前支持查询并保存7天内的慢日志明细。 对于无法完全显示的“执行语句”，鼠标悬停查看完整信息。 下载慢日志仅支持备份类型为对象存储的情况。公网链接下载时会产生流量费用，具体资费参考备份。内网链接仅适用于在云主机使用。 如选择内网下载，则将链接复制，使用wget ' 公网下载方式的临时下载地址链接有效时间为1小时。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b name 是 String 规则名 告警规则示例 service 是 String 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“ ecs dimension 是 String 本参数表示告警维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“ ecs conditions 是 Array of Objects 具体告警匹配策略 condition desc 否 String 规则描述 规则描述 repeatTimes 否 Integer 重复告警通知次数，默认为0 0 silenceTime 否 Integer 告警接收策略静默时间，多久重复通知一次，单位：秒 300 recoverNotify 否 Integer 本参数表示恢复是否通知。默认值0。取值范围：0：否。1：是。根据以上范围取值。 0 notifyType 否 Array of Strings 本参数表示告警接收策略。取值范围：email：邮件告警。sms：短信告警。根据以上范围取值。 ['email','sms'] contactGroupList 否 Array of Strings 告警联系组 ['fe7f0cdc469255168d3ab06355482090'] notifyWeekdays 否 Array of Integers 本参数表示通知周期。默认值[0,1,2,3,4,5,6]。取值范围：0：周日。1：周一。2：周二。3：周三。4：周四。5：周五。6：周六。根据以上范围取值。 [0,1,2,3,4,5,6] notifyStart 否 String 通知起始时段，默认为00:00:00 00:00:00 notifyEnd 否 String 通知结束时段，默认为23:59:59 23:59:59 webhookUrl 否 Array of Strings webhook消息推送url ['www.ctyun.cn'] resGroupID 否 String 资源分组ID，与resources字段互斥。 1.以资源分组为资源对象的告警规则，不需要传入resources。2.非资源分组为资源对象的告警规则，resources为必填项。 eec4a76a35ba57b891c6c4fd923351d6 resources 是 Array of Objects 具体告警匹配资源 resources projectID 否 String 项目ID 0 conditionType 否 Integer 本参数表示告警策略触发类型。默认值0。取值范围：0：或，任一条件触发。1：全部条件满足触发。根据以上范围取值。 0 0

本页介绍了关系数据库MySQL版实例规格。 CPU类型 关系数据库MySQL版支持不同规格CPU，以满足不同性能需求，您可根据需要选择所需的CPU规格。关系数据库MySQL版支持创建实例后变更CPU规格。 关系数据库MySQL版实例支持的数据库存储引擎和版本，请参见存储引擎和版本 。 关系数据库MySQL版实例的CPU类型支持X86架构和ARM架构，同时部分资源池也支持了国产化架构，所有资源池都支持非国产化架构，具体国产化加载情况见表1。 表1 国产化架构资源池加载情况 架构 加载资源池 X86海光 华南2、西南1、西安7 ARM鲲鹏 华东1、西南1、广州x节点xc可用区、广州4、芜湖4、华北2、西安7、乌鲁木齐7、南昌5 性能类型 国产化架构和非国产化架构都支持如下性能类型：通用型、计算增强型和内存优化型，详见表2。 表2 关系数据库MySQL版支持的云主机对应规格类型 规格 说明 适用场景 通用型 共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。 适用于不会经常或始终用尽vCPU性能的场景，如小型网站、轻量级研发测试环境、小型数据库等。 计算增强型 独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能，提供更大规格的CPU和内存组合。 适用于计算密集型业务等场景，如大型网站、电商营销等。 内存优化型 独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能，CPU和内存配比可达1:8。 适用于高内存计算应用，如大数据分析、核心数据库等。 由于每个资源池销售情况不同，每个资源池可用的主机型号，请在对应资源池订购页确认。

本节介绍等级保护测评合规最佳实践。 等级保护测评背景 网络安全等级保护测评是按照GB/T 222392019网络安全等级保护要求对各行业单位网络信息系统进行等级测评，以满足相关等级安全要求。云服务器需满足等级保护测评中安全计算环境要求，服务器安全卫士（原生版）提供相关安全能力，满足客户合规需求。 安全计算环境要求 服务器安全卫士（原生版）在等级保护测评（三级）“安全计算环境”中可满足项： 等保测评项 满足情况 对应能力说明 身份鉴别 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 满足 服务器安全卫士（原生版）通过基线检测功能帮助用户检测密码策略相关满足情况，协助用户完成策略配置；通过弱口令检测功能保障口令复杂度满足管理情况。 身份鉴别 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 满足 服务器安全卫士（原生版）通过基线检测功能帮助检测实现账户锁定策略相关满足情况，协助用户完成策略配置。 入侵防范 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。 满足 服务器安全卫士（原生版）通过扫描功能能够发现可能存在的已知漏洞，且能够出具修补建议帮助用户修补漏洞。 入侵防范 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。 满足 服务器安全卫士（原生版）通过异常登录、暴力破解、后门检测、可疑操作、反弹Shell等功能对主机进行实时监控，发现入侵行为进行告警。 恶意代码防范 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。 满足 服务器安全卫士（原生版）通过病毒查杀功能可对恶意代码进行查杀，满足该项要求。 说明 其余测评项需用户通过云主机操作系统本身的策略设置满足，服务器安全卫士（原生版）可通过基线检测功能协助客户进行策略检测。

查看需紧急修复的漏洞 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 单击“需紧急修复的漏洞”下方的数字，页面下方漏洞列表将筛选出修复优先级为“高”，待处理的漏洞。 修复漏洞 注意 主机系统在进行漏洞修复过程中，无论修复成功或者失败，都有一定风险将导致应用业务中断，因此建议您在修复漏洞前为云主机手动创建快照并进行测试，快照支持系统回滚，可进行恢复。 执行漏洞修复前，请确认对应操作系统发行版的软件源已配置好（如 yum、zypper、aptget 或 emerge 等包管理工具对应的软件源）。 内核漏洞修复成功后，需要重启服务器使新内核生效。针对Linux软件漏洞、Windows系统漏洞，可根据漏洞公告前的标签进行判断，若有“需要重启”标签，表示漏洞修复成功后，还需要重启云服务器。 一键自动修复 注意 购买企业版或旗舰版后，才支持一键自动修复漏洞。 WebCMS漏洞、应用漏洞暂不支持一键修复，请手动修复相关漏洞。 当漏洞处理状态为“未修复”、“修复失败”时，可执行“修复”操作。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 勾选漏洞列表中所有需要修复的漏洞，单击漏洞列表左上角的“批量修复”，一键批量修复漏洞。 4. 在修复对话框中，选择修复所需软件源、确认待修复的漏洞数量和影响资产数量。 软件源支持清华软件源、华为云软件源、阿里云软件源，也可以自配置软件源。若选择自配置软件源，请务必确认已在服务器上配置好对应操作系统发行版的软件源（如 yum、zypper、aptget 或 emerge 等包管理工具对应的软件源）。 您可以在修复对话框中查看漏洞公告、查看影响服务器数量。 5. 单击“确定”，开始自动修复漏洞。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的IP情报规则功能。 功能介绍 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据。 注意 目前控制台尚未开放IP情报规则功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明 背景信息 目前天翼云WAF通过大数据分析技术，并基于内置的评分机制对历史攻击数据进行威胁评定，生成IP信誉库，其中恶意IP包含了漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件13种威胁类型，统计IP数量接近120万。 设置IP情报规则 支持通过威胁类型维度针对恶意IP进行监控或拦截的操作，支持配置多条防护规则 配置项 说明 开关 控制规则为开启/关闭状态 处理动作 支持配置拦截或监控 拦截：对IP访问请求进行拦截处理； 监控：不对请求拦截，但是会生成攻击日志 规则名称 支持设置规则名称 防护范围 将通过选择IP可信度、严重级别、威胁类型来配置IP情报防护规则，对同时满足三个配置的IP处理 可信度：即情报的可信度，针对已收录的IP情报，边缘云WAF安全团队将基于内置评分机制进一步验证，根据验证结果评定可信程度为高中低； 严重级别：恶意IP的严重级别，有严重、高、中、低； 威胁类型：漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件，支持多选