本文帮助您快速熟悉实例加入/移出安全组规则的操作场景和操作流程。 操作场景 安全组是一种重要的网络安全防护策略，用于管理和控制虚拟机实例或云服务实例的网络访问。当您创建好安全组后，可以将云服务器加入到该安全组，使这些实例受到安全组的保护。您可以根据业务需求随时将安全组加入/移出云服务器中。 在安全组界面管理云服务器时，主要包含以下操作： 加入安全组：将云服务器加入到指定的安全组中，原先已加入云服务器中的安全组仍正常生效。 移出安全组：将云服务器从指定的安全组中移出，解除该安全组与云服务器的绑定关系。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成弹性云主机、安全组的创建。 操作步骤 加入安全组 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要操作的安全组，单击安全组名称进入详情页； 6. 在安全组详情界面，选择安全组规则所属方向，单击“关联实例”，您可以根据需要添加相应的云资源； 7. 在“弹性云服务器”页签，单击“添加”，将一个或多个服务器加入到当前安全组中； 8. 在“辅助网卡”页签，单击“添加”，将一个或多个扩展网卡加入到当前安全组中； 9. 单击“确定”，即可调整云服务器与安全组之间的关联关系。 10. 加入完成后，该安全组中的规则将对新关联的云服务器生效。 注意 部分资源池暂不支持安全组界面关联物理机的功能，展示字段为“弹性云主机”，请根据您的需求选择。实际情况以控制台展示为准。

本节主要介绍通过负载均衡地址连接实例（推荐） 。 操作场景 本章节以Linux操作系统为例，指导您通过负载均衡地址的方式连接GeminiDB Influx实例。 使用须知 目标实例必须与弹性云主机在同一个虚拟私有云和子网内才能访问。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为 默认安全组 ，则无需设置安全组规则。 如果目标实例所属安全组 非默认安全组 ，请查看安全组规则是否允许该弹性云主机访问。具体操作请参考设置安全组规则。 前提条件 创建弹性云主机，以Linux操作系统为例。详情请参见《弹性云主机快速入门》中购买弹性云主机的内容。 下载InfluxDB客户端，以Linux 64bit为例。 SSL连接 1. 登录弹性云主机，详情请参见《弹性云主机快速入门》中登录弹性云主机的内容。 2. 将InfluxDB客户端安装包上传到弹性云主机（可通过xftp等文件传输工具上传）。 3. 解压客户端工具包。 tar xzf influxdb1.7.9staticlinuxamd64.tar.gz 4. 在“influx”工具所在目录下，连接数据库实例。 使用如下命令，进入InfluxDB目录。 cd influxdb1.7.91 连接GeminiDB Influx实例。 ./influx ssl unsafeSsl username ' ' password ' ' host port 示例： ./influx ssl unsafeSsl username 'rwuser' password ' ' host 192.xx.xx.xx port 8635 表1 参数说明 参数 说明 管理员账户名，默认为rwuser。您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“数据库信息”模块的“管理员账户名”处获取。 管理员密码。 待连接实例的负载均衡地址。负载均衡地址目前处于公测阶段，如需使用，请您联系客服申请开通。 场景一：在创建实例之前，如果您已经申请开通了负载均衡地址，您可以在创建实例页面查看到系统默认勾选负载均衡地址。待实例创建成功后，您可以单击实例名称，进入“基本信息”页面，在网络信息区域获取到“负载均衡地址”。 场景二：如果实例已创建成功，此时如果需要使用负载均衡地址，则需要联系客服帮您开通。开通成功后，您可以单击实例名称，进入“基本信息”页面，刷新页面，在网络信息区域获取到“负载均衡地址”。 实例的端口。您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“网络信息 > 负载均衡地址”处获取端口信息。 5. 出现如下信息，说明连接成功。 Connected to version 1.7.4 InfluxDB shell version：1.7.9 >

本文介绍如何配置RBI云端浏览器 适用场景 RBI云端浏览器通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯，主要针对互联网威胁（防钓鱼、防恶意勒索等）、企业内部数据安全管理提供轻量化、一站式的解决方案。 注意事项 注意 配置该能力前需先购买【RBI云端浏览器】服务，并保障零信任服务已接入，详情见 配置说明 如您需要配置使用RBI云端浏览器，请提交工单给天翼云客服，并提供以下信息，由其帮您配置。 配置需求 填写内容 备注 需求场景 提供具体需求场景 互联网安全访问 是否开启该能力 默认是否，若是是则开启互联网安全访问，则会提供一个互联网安全访问地址，通过该地址访问互联网资源（如www.ctyun.cn），则会经过云端浏览器进行处理。 否则不开启。 互联网安全访问 使用人员范围 互联网安全访问若开启，则需提供使用人员范围，默认全部。 互联网安全访问 访问管控：是否限制复制，粘贴，下载 互联网安全访问若开启，则需管控限制，默认全部不限制。 内网安全访问 配置应用资源 提供具体应用名称(即应用配置时的应用名称，仅针对web应用的入口地址有效)。 内网安全访问 使用人员范围 默认全部。 内网安全访问 访问管控：是否限制复制，粘贴，下载 默认全部不限制。

本章节主要介绍翼MapReduce的修改健康检查配置操作。 操作场景 管理员可以启用自动健康检查减少手工操作时间。自动健康检查默认会对整个集群进行检查。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“运维 > 健康检查 > 配置”。 “定期健康检查”表示是否启用自动执行健康检查，选择“启用”表示启用，默认“不启用”表示不启用。 启用后根据运维需要选择检查周期为：“每天”、“每周”或“每月”。 3. 单击“确定”保存配置。

本文介绍如何下载根证书。 如果您的业务用户通过Java等客户端访问Web业务，您需要下载与服务端证书类型一致的根证书，并手动安装到对应的客户端，确保客户端与服务端建立HTTPS安全连接。 背景概述 根证书是建立信任链的基础。一旦客户端安装了根证书，它即可验证由该根证书签发的所有证书。这使得客户端可以信任与该根证书相关的所有服务器和应用程序，从而建立起一个完整的信任链。 如果您的业务用户通过浏览器访问您的Web业务，则您无需关注根证书和中间证书，因为根证书和中间证书已经内置在浏览器，您只需在Web服务器安装经CA签发的SSL证书，即可实现客户端与服务端的HTTPS通信。如何获取SSL证书（服务端证书），请参见购买SSL证书。 如果业务用户通过Java等客户端访问您的Web业务，由于客户端没有内置根证书和中间证书，您可能需要在对应客户端或者系统默认信任库手动安装根证书和中间证书，保证客户端能够校验服务端的加密信息。例如，服务端安装了标准版SSL证书，则客户端需要有标准版OV型根证书，才能实现客户端与服务端的HTTPS通信。 下载根证书 证书分类 下载根证书 标准版 国密标准：国密版本根证书.zip 标准版 国际标准： 2025年4月3日之后签发：国际版本根证书（20250403后）.zip 2025年1月14日2025年4月3日之间签发：国际版本根证书（2025011420250403）.zip 2025年1月14日前签发：国际版本根证书（旧）.zip SecureSite GeoTrust TrustAsia ECC算法：DigiCertGlobalRootG3root.rar SecureSite GeoTrust TrustAsia RSA算法：DigiCertGlobalRootG2root.rar GlobalSign OV证书、EV证书：GlobalSign Root CA R3.zip GlobalSign DV证书：GlobalSign Root CA R6.zip CFCA 国密标准：CFCA CS SM2 CA.zip CFCA 国际标准：CFCA EV ROOT.zip 个人证书 国密标准：个人证书根证书.zip

配置项 配置说明 AK Access Key Id。在通过“我的凭证 > 访问密钥”下载的访问密钥文件中获取。 SK Secret Access Key。在通过“我的凭证 > 访问密钥”下载的访问密钥文件中获取。 代理名称 代理（Agent）的名称，同一台主机不可以安装相同名称的代理。请根据实际情况填写。为了方便管理，命名建议清晰，建议关联代理机IP，如：10.10.10.10agent01。 代理工作空间 代理在主机上运行的工作目录，任务执行的工作空间，同一台主机的不同代理不可以使用同样的代理工作空间。请根据实际情况填写。为了方便管理，建议关联数据盘，如：/opt/cloud/agent01。

参数 类型 是否必传 名称 描述 producttype list< string> 否 产品类型列表 不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时) domain list< string> 是 域名列表 可多个域名，作为统计筛选项 starttime int 是 开始时间戳 起始时间，时间戳(秒) endtime int 是 结束时间戳 结束时间，时间戳(秒) toprank int 是 倒序取toprank条数据 取值区间[1, 100] sorttype string 否 排序指标 flow或者request，作为统计筛选项，不传默认flow

本文帮助您快速熟悉服务器的解绑的操作方法。 操作场景 当您不需要云服务器通过已绑定的虚拟IP去访问服务的话，您可以选择解除虚拟IP和云服务器之间的绑定关系。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成虚拟IP、弹性云主机的创建及绑定关系。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“子网”选项，点击虚拟IP所在的子网。 5. 进入子网详情界面，点击“虚拟IP”页签，在需要解绑云服务器的虚拟IP地址所在行的操作列下，单击：“更多”，选择“解绑服务器”。 6. 在弹窗中选择需要解绑的“服务器类型”：云主机/物理机。 7. 选定服务器类型后选择需要解绑的网卡。 8. 单击“确定”按钮。 注意 如果需要删除已绑定虚拟IP的云服务器，建议您先解绑服务器与虚拟IP的绑定关系。 请谨慎删除与虚拟IP绑定的主服务器或者网卡，有可能会导致备服务器或网卡流量不通等现象。 对于部分可用区资源池来说，如果您需要解除辅助弹性网卡与云服务器之间的关系，请先确保您已解除虚拟IP与辅助弹性网卡的绑定关系。 对于地域资源池来说，如果您要解除扩展网卡与云服务器之间的关系，解除后扩展网卡上的虚拟IP会自动从云服务器上解绑。 若虚拟IP下仅绑定了一个服务器且该虚拟IP绑定了弹性IP，需先解绑弹性IP才可解绑服务器。 部分可用区资源池暂不支持虚拟IP无序解绑云服务器，请先解绑备服务器再解绑主服务器。实际情况以控制台展示为准。

本文带您了解如何使用资源分组。 操作场景 资源分组支持您从业务角度集中管理业务涉及到的云主机、云硬盘、弹性IP、带宽等资源，帮助您按业务来管理不同类型的资源、告警规则、告警记录，可以迅速提升运维效率。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成云资源的创建。 说明 资源分组功能当前为受限开放阶段，仅支持部分资源池，如有需要可以联系客户经理提单开通。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“资源分组”，进入资源分组界面，查看资源组列表。 5. 单击页面右上角“创建资源分组”按钮，进入“创建资源分组”界面。 6. 根据提示配置参数后，点击下方“确定”按钮，完成资源分组创建。具体参数配置如下： 参数 参数说明 云服务 所关注资源对应的服务名称。 维度 所关注资源的维度名称。 资源 所关注的监控对象。可支持一次勾选多个监控对象。 添加云服务 可以一次性添加多个云服务。 名称 资源分组名称。

本节主要介绍验证结果 通过前述步骤，已创建了企业项目、用户组及IAM子用户，接下来这些用户即可使用自己的用户名及密码访问天翼云。 如果IAM用户登录失败或忘记密码，IAM用户可以联系企业管理员重置密码。 操作步骤 步骤 1 IAM子用户打开天翼云网门户首页。 步骤 2 单击顶部右上角“登录”，在登录页面输入用户名IAM用户名（一般为邮箱地址）、密码，单击“登录”按钮，登录天翼云。 步骤 3 单击顶部“控制台”，并进入各云服务的管理控制台，检查是否可看到云资源及相应操作权限。

步骤五：配置客户端 按照以下操作，配置Android客户端。 1. 下载客户端，选择“Android 12.0及以上版本”，单击“立即下载”，下载客户端软件并安装客户端软件。 2. 安装完成，打开CTCloudConnect客户端软件。 3. 点击首页下方的“+”蓝色图标，进入新增VPN配置页面。根据服务端的配置，输入连接信息。 其中，网关IP及端口号分别填写步骤一中记录的VPN网关IP地址和步骤二中配置的端口；若开启证书认证，则需要上传步骤四获取的证书文件。单击“完成”，完成连接创建。 步骤六：连接并测试连通性 按照以下操作，测试Android客户端与VPC的连通性。 1. 打开CTCloudConnect客户端软件，在主页面中，选中该连接，进入连接详情页。点击“连接”，进行内网连接。 2. 若已开启密码认证，需在登录页面中，输入客户端密码；若还开启短信认证，还需在登录页面中，输入短信验证码。单击“提交”，完成信息提交。 3. 经测试，Andriod客户端可以正常连接VPC。

安装并启动Agent 1.在Agent管理页面，找到已成功创建的Agent。如下图所示，下载Agent。 详见下图：下载Agent 2.准备部署Agent的主机。该主机对vCPUs、内存、磁盘等规格无特殊要求，但须满足以下条件： 需要已安装64位版本java 8并配置java环境变量。 授予Ruby用户（若无Ruby用户则需手动创建）在/tmp目录下的写权限。 3.将下载的Agent压缩包，上传至部署Agent的主机上。 4.解压安装包后执行如下命令安装Agent。 sh sbin/install.sh 5.如果需要通过Agent连接关系数据库，则需要将对应的驱动（参考 管理驱动）上传至Agent安装目录下的/server/jdbc，并修改同目录下properties文件里对应数据库驱动的版本号。 6.安装完成后，执行如下命令启动Agent。 su Ruby sh sbin/start.sh 7.执行如下命令检查Agent进程是否启动。 ps ef grep agent 如果命令执行完成后返回了正在运行的Agent进程，说明Agent进程已启动。 连接Agent 1.在Agent管理页面，找到已成功创建的Agent。如下图所示，连接Agent。 2.Agent连接成功后，即可在创建连接中选择Agent。

存储 服务 说明 相关文档 云硬盘 云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以为弹性云主机和弹性裸金属服务器提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景 云硬盘产品定义 弹性文件服务 弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储（NAS），可为云上多个弹性云主机提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持 弹性文件服务产品定义 对象存储 对象存储（简称ZOS，Zettabyte Object Storge）是天翼云为客户提供的一种海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，通过S3协议和标准的服务接口，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务 对象存储产品定义 其他 服务 说明 相关文档 云日志服务 云日志服务是天翼云打造的一款云原生日志观测分析平台产品，可为应用的海量日志数据提供大规模、低成本、集中式的平台化服务，具备一站式的日志采集、加工、查询分析、可视化、告警等能力，全面满足应用研发、运维、服务监控与业务分析等应用场景 云日志服务产品定义 弹性伸缩 弹性伸缩服务（CTAS，Auto Scaling）是根据用户的业务需求，通过策略自动调整其弹性计算资源的一种管理服务。该服务能够根据预设规则自动调整伸缩组内的云主机数量，在业务需求上升时自动增加云主机实例，业务需求下降时自动减少云主机实例，降低人为反复调整资源以应对业务变化和高峰压力的工作量，帮助用户节约资源和人力成本 弹性伸缩服务产品定义

本文将为您介绍天翼云SDWAN统一身份认证与权限管理。 基本介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限，具体介绍说明详见：产品定义。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素左作用（Effect）、权限集（Action）等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略： 1. 系统策略 ：预置的系统策略，您只能使用不能修改。云专线相关的系统策略包含如下： sdwan admin：天翼云SDWAN服务的管理者权限，包含天翼云SDWAN服务所有控制权限； sdwan viewer：天翼云SDWAN服务的观察者权限，包含天翼云SDWAN服务的列表页与详情页面权限； 2. 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，具体配置说明详见：创建自定义策略。

步骤说明 私网NAT网关创建成功后，您需要创建SNAT规则。通过创建SNAT规则，您可以将选择子网下的计算实例通过中转IP地址访问其他云资源。 操作步骤 1. 登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>私网NAT网关”，进入私网NAT网关页面。 2. 点击需要添加中转IP地址的私网NAT网关名称，进入私网NAT网关详情页，下拉至SNAT规则标签页，点击添加SNAT规则。 3. 在弹出页面选择配置： 1. 源网段类型：选择VPC内子网 2. 子网/源网段：选择云主机所在子网 3. 中转IP：选择步骤三中创建的中转IP地址 说明：选择多个中转IP时，业务连接会通过轮询方式分配到多个中转IP，由于每个连接的流量不同，可能会出现多中转IP业务流量不均匀的情况；并且同一个内网IP访问单一目的IP，可能使用不同的中转IP。访问单一目标的并发连接数过多时，会造成端口分配失败，需持续监控SNAT源端口溢出丢包数。 4. 单击”确定”，完成SNAT规则的添加。 5. 等待SNAT规则状态变为运行中，即完成SNAT规则配置。 步骤六：测试连通性 步骤说明 我们通过验证弹性云主机是否可以通过私网NAT网关访问云下IDC资源，来测试网络连通性。 操作步骤 1. 登录天翼云控制台，选择”计算>弹性云主机”。 2. 进入弹性云主机控制台，选择准备工作中创建的弹性云主机，点击右侧“远程登录”登录弹性云主机。 3. 登录完成，通过ping待访问的云下资源地址，测试连通性。 可以ping通，说明网络已经连通。

场景说明 针对安全性要求较高的业务或核心业务，通过天翼云的专属云进行部署，而有互联网访问要求的业务，可以采用公有云进行部署。通过在专属云和公有云的VPC之间建立对等连接，从而实现两个VPC之间的内网互通。在保障安全性的情况下，最大限度降低企业成本投入。 场景特点 核心关键业务部署在专属云，有互联网访问需求的业务部署在公有云，业务上需要专属云和公有云进行互访。 产品优势 通过对等连接打通专属云、公有云，实现不同形态云环境的互联互通。 配置简单、灵活，可以设置互访的网段，将有安全需求的业务，不提供对外访问。 通过对等连接实现两个VPC资源的内网互通，扩展了资源和网络架构。 场景示意图如下：

支持绑定负载均衡 支持非负载均衡场景和负载均衡场景下的弹性伸缩服务。 支持健康检查 天翼云弹性伸缩服务提供健康检查功能，保证使用健康云主机负载业务。 支持云主机健康检查和负载均衡健康检查两种检查方式，自动替换不健康实例。 支持查看伸缩数据 用户可按照图形或表格的方式查看伸缩组的云主机实例数量变化情况，并能看到伸缩组内所有云主机实例的资源利用情况平均值变化曲线。

本文帮助您快速熟悉虚拟IP删除的操作方法。 操作场景 当您的业务不再需要虚拟IP时，您可以选择删除虚拟IP。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成虚拟IP的创建。 删除虚拟IP前，您需要先解绑与虚拟IP绑定的资源，例如云主机、弹性IP等。具体操作方法请参考“解绑服务器”页面，“解绑弹性IP”页面。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“子网”选项，点击虚拟IP所在的子网。 5. 进入子网详情界面，点击“虚拟IP”页签，在需要删除的虚拟IP所在行的操作列下，点击“更多”，选择“删除”。 6. 删除虚拟IP前，用户必须先解绑弹性IP、云主机、物理机，处于未绑定状态后才可以删除。 7. 在弹窗中确认信息无误后，点击“确定”。

本章节为您介绍告警日志的相关内容 当系统检测到违反安全策略或预定义规则的行为时，会生成对应等级的告警日志 ，以警示用户可能面临的安全隐患。 为了增强查询的便捷性和效率 ，系统还支持根据时间、特定字段、告警等级以及规则名称等多种条件进行精确筛选 ，确保用户能够迅速定位并处理潜在的安全风险。 检索告警日志 1.在左侧菜单栏选择“查询分析 > 告警日志”进入告警日志页面。 2.设置查询条件（如时间范围、资产、操 作类型等） ，单击“搜索”即可查询相关告警日志。 3.可单击查询条件下方的“更多条件”，在更多条件对话框中勾选需要的查询条件 ，单击“确认”即可添 加相应的查询条件 ，单击“恢复默认”可以恢复至默认查询条件。 查看告警日志详情 1.在左侧菜单栏选择“查询分析 > 告警日志”进入告警日志页面。 2.在告警日志列表中，单击日志条目右侧的“详情”可以查看该告警记录的详细信息，包括告警记录的基本信息、客户端信息、服务端信息、 请求详情、返回详情。 3.单击告警日志详情窗口右下角的“上一条”或“下一条”可切换查看临近的告警日志。 4.在日志详细中 ，单击“取证”即可弹出下载框 ，等待文件生成成功后 ，单击“下载”即可下载.png 图片格式的告警日志详情文件。

本节介绍了管理诊断日报的操作场景等相关内容。 操作场景 RDS for MySQL实例支持发起实例诊断以及订阅诊断报告。 发起实例诊断：对当前实例进行整体健康诊断，查看当前诊断报告和历史诊断报告。 订阅诊断报告：消息通知服务会直接将异常的诊断报告发送到您输入的邮箱中，方便您实时知晓实例的整体健康情况。 发起实例诊断 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏选择“智能DBA助手 > 历史诊断”。 步骤 6 选择“诊断日报”页签。 步骤 7 单击“发起诊断”，选择诊断的起止时间，时间跨度一天以内，在该时间段内对当前实例发起诊断。 说明 如果需要邮件接收诊断异常的报告，请参见订阅诊断报告。 步骤 8 在“报告分析维度概览”模块，单击“慢SQL分析”、“全量SQL分析”或者“性能 & 磁盘分析”，查看诊断报告详情。 步骤 9 您也可以查看历史诊断报告或者下载报告到本地查看。 在页面右上角单击“查看历史诊断报告”，在“诊断报告列表”中查看历史诊断报告。 在页面右上角单击“下载”，将诊断报告下载到本地查看。 结束

编辑域名地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和域名地址列表。 添加域名地址 在域名地址列表上方，单击“添加”，弹出添加域名地址页面，添加域名地址后，单击“确认”，完成添加操作。 编辑域名地址 在域名地址列表的操作列，单击“编辑”，修改域名地址。 删除域名地址 在域名地址列表的操作列，单击“删除”，删除域名地址。 删除域名地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

编辑域名地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和域名地址列表。 添加域名地址 在域名地址列表上方，单击“添加”，弹出添加域名地址页面，添加域名地址后，单击“确认”，完成添加操作。 编辑域名地址 在域名地址列表的操作列，单击“编辑”，修改域名地址。 删除域名地址 在域名地址列表的操作列，单击“删除”，删除域名地址。 删除域名地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

编辑端口地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和端口列表。 添加端口 在端口列表上方，单击“添加”，弹出添加端口页面，添加端口后，单击“确认”，完成添加操作。 编辑端口 在端口列表的操作列，单击“编辑”，修改端口。 删除端口 在端口列表的操作列，单击“删除”，删除端口。 删除端口地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

集成云上服务 ECI提供了与天翼云其它服务紧密集成的功能，这使得您可以使用一体化控制台高效操作。除了可以无缝集成到Serverless容器引擎SCE外，ECI还支持与其他云服务进行集成包括但不限于： 镜像：支持使用天翼云容器镜像服务产品来管理您的容器镜像。 网络：支持通过弹性负载均衡、NAT网关和弹性IP来连接公网。 存储：支持使用云盘、弹性文件服务和对象存储来实现容器数据的持久化存储。 日志：支持将ECI容器的日志采集到云日志服务中。

本文介绍了云防火墙（原生版）的购买类常见问题。 云防火墙（原生版）可以按天购买吗？ 不支持，目前只支持包月和包年购买。 云防火墙的流量带宽和防护IP数支持升降吗？ 支持。但在降配时，每次只支持降级一个参数，即防护互联网边界的流量峰值、防护互联网边界公网IP数若都要降配，需要分两个订单完成。 支持同时防护公网的IP不够怎么办？ 高级版可通过弹性扩展提升规格，可按照您的需要进行IP升配。

本页面介绍云数据库ClickHouse的集群的可维护时间设置。 功能简介 设置可维护时间功能允许用户设置已有云数据库ClickHouse集群的可维护时间，以便天翼云运维团队合理安排运维操作。 操作步骤 1. 登录云数据库ClickHouse控制台 2. 在实例列表处点击对应实例的 "更多" 选项。 3. 在下拉列表中选 "编辑可维护时间"。 4. 选择需要设置时间，点击 "确定" 按钮。 5. 在收到编辑成功的响应后，可以在实例列表的页面中查看刚才编辑的可维护时间。

源库为天翼云及其他云PostgreSQL的情况 源库为天翼云及其他云PostgreSQL、任务包含增量迁移，且逻辑解码器选择为Decoderbufs时，源库需开启逻辑解码器输出插件Decoderbufs。 天翼云在开通PostgreSQL实例时已预置开启Decoderbufs插件，当源库为天翼云PostgreSQL时，请你参照天翼云关系数据库PostgreSQL版管理插件相关指引查看确认Decoderbufs插件的开启情况，已开启则无需进行操作，未开启则参照指引进行Decoderbufs插件的安装。 当源库为其他云PostgreSQL时，需要查看源库对应版本是否支持并已开启Decoderbufs插件。如源库版本不支持Decoderbufs插件则无法进行其他云PostgreSQL到天翼云PostgreSQL的增量迁移；如源库版本支持Decoderbufs插件但未开启则按照文档启用插件；如已开启则无需进行操作。具体请参考其他云PostgreSQL的相关指引，例如： 华为云支持的插件列表及插件管理的相关指引。 阿里云支持的插件列表及插件管理的相关指引。 源库要求 源数据库的分区表触发器不可以设置为disable。 全量同步支持源库备机状态，但需要设置hotstandbyfeedback为on；增量同步不支持源库备机状态。 同步对象依赖和关联的对象也须一起同步，否则可能导致任务失败。 若要做增量同步，源数据库的“pghba.conf” 文件中包含如下的配置： host replication all 0.0.0.0/0 md5源数据库参数wallevel必须配置为logical； 如果配置任务时逻辑解码指定为Decoderbufs，源数据库需提前安装Decoderbufs插件； 源数据库中无主键表的replica identity属性必须为full； 源数据库的maxreplicationslots参数值必须大于当前已使用的复制槽数量； 源数据库的maxwalsenders参数值必须等于或大于maxreplicationslots参数值； 源数据库中表的主键列toast属性为main、external、extended时，其replica identity属性必须为full。 同步对象依赖和关联的对象也须一起同步，否则可能导致任务失败。

MODULES sharedpreloadlibraries 'decoderbufs' REPLICATION wallevel logical minimal, archive, hotstandby, or logical (change requires restart) maxwalsenders 8 max number of walsender processes (change requires restart) walkeepsegments 4 in logfile segments, 16MB each; 0 disables walsendertimeout 60s in milliseconds; 0 disables maxreplicationslots 4 max number of replication slots (change requires restart) 3. 然后，重启PostgreSQL。 4. 最后，验证配置是否生效。 plaintext 创建逻辑复制，使用逻辑复制插件decoderbufs select from pgcreatelogicalreplicationslot('decoderbufsdemo', 'decoderbufs'); 对相关表进行数据操作 使用decoderbufs调试模式 SELECT data FROM pglogicalslotpeekchanges('decoderbufsdemo', NULL, NULL, 'debugmode', '1'); 使用decoderbufs获取wal变更，更新wal位置 SELECT data FROM pglogicalslotgetchanges('decoderbufsdemo', NULL, NULL, 'debugmode', '1'); 查看逻辑复制的wal位置 SELECT FROM pgreplicationslots WHERE slottype 'logical'; 删除逻辑复制 select pgdropreplicationslot("decoderbufsdemo"); 源库为天翼云及其他云PostgreSQL的情况 源库为天翼云及其他云PostgreSQL、任务包含增量迁移，且逻辑解码器选择为Decoderbufs时，源库需开启逻辑解码器输出插件Decoderbufs。 天翼云在开通PostgreSQL实例时已预置开启Decoderbufs插件，当源库为天翼云PostgreSQL时，请参照++天翼云关系数据库PostgreSQL版管理插件++相关指引查看确认Decoderbufs插件的开启情况，已开启则无需进行操作，未开启则参照指引进行Decoderbufs插件的安装。 当源库为其他云PostgreSQL时，需要查看源库对应版本是否支持并已开启Decoderbufs插件。如源库版本不支持Decoderbufs插件则无法进行其他云PostgreSQL到天翼云PostgreSQL的增量迁移；如源库版本支持Decoderbufs插件但未开启则按照文档启用插件；如已开启则无需进行操作。具体请参考其他云PostgreSQL的相关指引，例如： 华为云++支持的插件列表及插件管理++的相关指引。 阿里云++支持的插件列表及插件管理++的相关指引。

本节介绍通过业务Cookie和HWWAFSESID联合配置限制恶意抢购、下载等的最佳实践。 业务场景 场景一： 限制同一个账号切换IP、终端的恶意请求（抢购、下载等）。 防护措施：使用业务 Cookie（或者用户id）基于路径配置CC限速。 场景二： 限制恶意人员在同一个PC多个账号不停切换的恶意请求（抢购、下载等）。 防护措施：使用HWWAFSESID基于路径配置CC限速。 使用业务Cookie（或者用户id）基于路径配置CC限速 步骤 1 登录管理控制台，将您的网站成功接入到WAF。独享模式添加域名的方法：网站接入WAF。 步骤 2 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤 3 在“CC攻击防护”配置框中，确认“CC攻击防护”的“状态”为“开启”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤 4 在“CC攻击防护”规则配置页面左上角，单击“添加规则”。 步骤 5 根据业务情况，使用业务Cookie（或者用户id）基于路径配置CC限速。根据实际情况配置参数。 步骤 6 单击“确认”，完成配置。 使用HWWAFSESID基于路径配置CC限速 步骤 1 登录管理控制台，将您的网站成功接入到WAF。独享模式添加域名的方法：网站接入WAF。 步骤 2 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤 3 在“CC攻击防护”配置框中，确认“CC攻击防护”的“状态”为“开启”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤 4 在“CC攻击防护”规则配置页面左上角，单击“添加规则”。 步骤 5 根据业务情况，使用HWWAFSESID基于路径配置CC限速。 “用户标识”：选择“Cookie”，配置为“HWWAFSESID”。 其他参数根据业务实际情况进行配置。 步骤 6 单击“确认”，完成配置。

项目 描述 当日统计 当日的存储容量，包括标准存储和低频访问存储。 当日流量 当日的流量统计，可以选择互联网下行流量（下载量）、互联网上行流量（上传量）。 当日请求次数 当日的请求次数，可以选择： 全部：包括所有的Put类请求和Get类请求。 Put类请求。 Get类请求。 昨日关键数据 统计时间范围为北京时间当前时刻的前一天00:0024:00的数据。 数据位置 存放文件的位置。 标准存储（峰值） 标准存储类型的文件的容量峰值。 低频访问存储（峰值） 低频访问存储类型的文件的容量峰值。 互联网下行流量 从互联网下载文件的数据流量。 请求次数 统计产生的GET请求、HEAD请求、PUT请求、POST请求、DELETE请求、OTHERS的次数，以及所有请求的次数总和。统计产生返回码200、204、206、403、404、4xx的次数，以及所有返回码返回次数的总和。 数据取回 低频访问存储类型的文件在查看和下载时产生的从OOS服务端读取数据的数据量。

本章节主要介绍安装客户端。 操作场景 该操作指导安装工程师安装MRS集群所有服务（不包含Flume）的客户端。MRS针对不同服务提供了Shell脚本，供开发维护人员在不同场景下登录其对应的服务维护客户端完成对应的维护任务。 说明 通过Manager界面修改服务端配置或系统升级后，建议重新安装客户端，否则客户端与服务端版本将不一致。 前提条件 安装目录可以不存在，会自动创建。但如果存在，则必须为空。目录路径不能包含空格。 客户端节点为集群外部服务器时，必须能够与集群业务平面网络互通，否则安装会失败。 客户端必须启用NTP服务，并保持与服务端时间一致，否则安装会失败。 对于下载所有组件客户端的情况，HDFS与Mapreduce是合一目录（“ 客户端目录 /HDFS/”）。 安装和使用客户端可以使用任意用户进行操作，用户名和密码请从管理员处获取，本章节以“userclient”进行举例。要求“userclient”用户为服务器文件目录（如“/opt/Bigdata/client”）和客户端安装目录（如“/opt/Bigdata/hadoopclient”）的“owner”，两个目录的权限为“755”。 使用客户端需要已从管理员处获取“组件业务用户”（默认用户或新增用户）和“密码”。 使用omm 和root以外的用户安装客户端时，若“/var/tmp/patch”目录已存在，需将此目录权限修改为“777”，将此目录内的日志权限修改为“666”。 操作步骤 1. 获取软件包。 登录FusionInsight Manager，具体请参考访问FusionInsight Manager（MRS 3.x及之后版本），在“集群”下拉列表中单击需要操作的集群名称。 选择“更多 > 下载客户端”，弹出“下载集群客户端”信息提示框。 详见下图：下载客户端 说明 在只安装单个服务的客户端的场景中，选择“集群 > 待操作集群的名称 > 服务 > 服务名称 > 更多 > 下载客户端”，弹出“下载客户端”信息提示框。 2. 选择客户端类型”中选择“完整客户端”。 “仅配置文件”下载的客户端配置文件，适用于应用开发任务中，完整客户端已下载并安装后，管理员通过Manager界面修改了服务端配置，开发人员需要更新客户端配置文件的场景。 平台类型包括x8664和aarch64两种： x8664：可以部署在x86平台的客户端软件包。 aarch64：可以部署在TaiShan服务器的客户端软件包。 说明 集群支持下载x8664和aarch64两种类型客户端，但是客户端类型必须和待安装节点的架构匹配，否则客户端会安装失败。 3. 是否在集群的节点中生成客户端文件？ 是，勾选“仅保存到如下路径”，单击“确定”开始生成客户端文件，文件生成后默认保存在主管理节点“/tmp/FusionInsightClient”。支持自定义其他目录且omm用户拥有目录的读、写与执行权限。单击“确定”，等待下载完成后，使用omm用户或root用户将获取的软件包复制到将要安装客户端的服务器文件目录，例如“/opt/Bigdata/client”。然后执行步骤5。 说明 当用户无法获取root用户权限，需要用omm用户操作。 否，单击“确定”指定本地的保存位置，开始下载完整客户端，等待下载完成，执行步骤4。 4. 上传软件包。 使用WinSCP工具，以准备安装客户端的用户（如“userclient”），将获取的软件包上传到将要安装客户端的服务器文件目录，例如“/opt/Bigdata/client”。 客户端软件包名称格式为：“FusionInsightCluster ServicesClient.tar”。 后续步骤及章节以FusionInsightCluster1ServicesClient.tar进行举例。 说明 客户端所在主机可以是集群内节点，也可以是集群外节点。当该节点为集群外部服务器时，必须能够与集群网络互通，并启用NTP服务以保持与服务端时间一致。 例如可以为外部服务器配置与集群一样的NTP时钟源，配置之后可以执行ntpq np命令检查时间是否同步。 如果显示结果的NTP时钟源IP地址前有“”号，表示同步正常，如下： remote refid st t when poll reach delay offset jitter 10.10.10.162 .LOCL. 1 u 1 16 377 0.270 1.562 0.014 如果显示结果的NTP时钟源IP前无“”号，且“refid”项内容为“.INIT.”，或者回显异常，表示同步不正常，请联系技术支持。 remote refid st t when poll reach delay offset jitter 10.10.10.162 .INIT. 1 u 1 16 377 0.270 1.562 0.014 也可以为外部服务器配置与集群一样的chrony时钟源，配置之后可以执行chronyc sources命令检查时间是否同步。 如果显示结果的主OMS节点chrony服务IP地址前有“”号，表示同步正常，如下： MS Name/IP address Stratum Poll Reach LastRx Last sample ^10.10.10.162 10 10 377 626 +16us[ +15us] +/ 308us 如果显示结果的主OMS节点NTP服务IP前无“”号，且“ Reach ”项内容为“0”，表示同步不正常。 MS Name/IP address Stratum Poll Reach LastRx Last sample ^? 10.1.1.1 0 10 0 +0ns[ +0ns] +/ 0ns 5. 以userclient用户登录将要安装客户端的服务器。 6. 解压软件包。 进入安装包所在目录，例如“/opt/Bigdata/client”。执行如下命令解压安装包到本地目录。 tar xvf FusionInsightCluster1ServicesClient.tar 7. 校验软件包。 执行sha256sum命令校验解压得到的文件，检查回显信息与sha256文件里面的内容是否一致，例如： sha256sum c FusionInsightCluster1ServicesClientConfig.tar.sha256 FusionInsightCluster1ServicesClientConfig.tar: OK 8. 解压获取的安装文件。 tar xvf FusionInsightCluster1ServicesClientConfig.tar 9. 配置客户端网络连接。 a.确保客户端所在主机能与解压目录下“hosts”文件（例如“/opt/Bigdata/client/FusionInsightCluster ServicesClientConfig/hosts”）中所列出的各主机在网络上互通。 b.当客户端所在主机不是集群中的节点时，需要在客户端所在节点的“/etc/hosts”文件（更改此文件需要root用户权限）中设置集群所有节点主机名和业务平面IP地址映射，主机名和IP地址请保持一一对应，可执行以下步骤在hosts文件中导入集群的域名映射关系。 切换至root用户或者其他具有修改hosts文件权限的用户。 su root 进入客户端解压目录。 cd /opt/Bigdata/client/FusionInsightCluster1ServicesClientConfig 执行 cat realm.ini >>/etc/hosts ，将域名映射关系导入到hosts文件中。 说明 当客户端所在主机不是集群中的节点时，配置客户端网络连接，可避免执行客户端命令时出现错误。 如果采用yarnclient模式运行Spark任务，请在“ 客户端安装目录 /Spark/spark/conf/sparkdefaults.conf”文件中添加参数“spark.driver.host”，并将参数值设置为客户端的IP地址。 当采用yarnclient模式时，为了Spark WebUI能够正常显示，需要在Yarn的主备节点（即集群中的ResourceManager节点）的hosts文件中，配置客户端的IP地址及主机名对应关系。 10. 进入安装包所在目录，执行如下命令安装客户端到指定目录（绝对路径），例如安装到“/opt/hadoopclient”目录。 cd /opt/Bigdata/client/FusionInsightCluster1ServicesClientConfig 执行./install.sh /opt/hadoopclient命令，等待客户端安装完成（以下只显示部分屏显结果）。 The component client is installed successfully 说明 如果已经安装的全部服务或某个服务的客户端使用了“/opt/hadoopclient”目录，再安装其他服务的客户端时，需要使用不同的目录。 卸载客户端请删除客户端安装目录。 如果要求安装后的客户端仅能被该安装用户（如“userclient”）使用，请在安装时加“o”参数，即执行./install.sh /opt/hadoopclient o命令安装客户端。 如果安装NTP服务器为chrony模式，请在安装时加“chrony”参数，即执行./install.sh /opt/hadoopclient ochrony命令安装客户端。 由于HBase使用的Ruby语法限制，如果安装的客户端中包含了HBase客户端，建议客户端安装目录路径只包含大写字母、小写字母、数字以及?.@+字符。 客户端节点为集群外部服务器且此节点无法与主oms节点的业务平面IP互通时或者无法访问主节点的20029端口时，客户端可以正常安装成功，但无法注册到集群中，无法在界面上进行展示。 a.执行cd /opt/hadoopclient命令进入客户端安装目录。 b.执行source bigdataenv命令配置客户端环境变量。 c.如果集群为安全模式，执行以下命令，设置kinit认证，输入客户端用户登录密码；普通模式集群无需执行用户认证。 kinit admin Password for admin@HADOOP.COM:

本节主要介绍DRDS 。 SQL 慢SQL 该模块提供指定时间段内的慢SQL分析功能。从用户、IP、SQL模板等进行多维统计，展示统计结果并支持指定排序，识别慢SQL的精准来源，方便用户快速优化业务。 查看慢日志 1、登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 单击页面左上角的，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 选择目标实例，单击“详情”，进入DBA智能运维总览页面。 单击“慢SQL”，进入慢日志页面。 选择需要查看的时间段，查看该时间段内慢日志趋势、慢日志统计和慢日志明细。 慢日志趋势 在慢日志趋势图中单击某个时间点，查看该时间点的慢日志。 慢日志明细 在慢SQL页面下方查看慢日志明细。慢日志明细提供了当前时间段的慢日志详情，包含执行时间、SQL语句、库名、客户端、用户、执行耗时、锁等待耗时、扫描行、返回行等信息。 单击导出，将慢日志明细导出到指定OBS进行存储。慢日志明细导出成功后，可以单击“查看导出列表”，查看慢日志明细导出记录，也可以通过下载将慢日志明细下载到本地进行查看。 说明 导出及查看导出列表功能仅支持付费实例使用，免费实例暂不支持。 慢日志统计 单击SQL模板操作列的“样本”，查看当前SQL模板的样本信息 。 在慢日志统计页面，单击“导出”将慢日志导出到指定的OBS进行存储。慢日志导出成功后，可以单击“查看导出列表”，查看慢日志导出记录，也可以通过下载将慢日志下载到本地进行查看。 说明 导出及查看导出列表功能仅支持付费实例使用，免费实例暂不支持。