本章节主要介绍翼MapReduce的主机操作。 选择“主机 > 资源概况 > 主机”，可查看主机资源概况，分为基础配置（CPU/内存）和磁盘配置两部分，如下图所示。 单击“导出数据”，可导出集群中所有主机的配置列表，包括主机名称、管理IP、主机类型、核数、平台类型、内存容量、磁盘大小等。 详见下图：主机资源概况 基础配置（CPU/内存） 鼠标放置饼图上会显示当前区域集群中各节点不同硬件配置下的配置信息及数量，格式为： 核数（平台类型）内存大小：数量 。 单击相应区域，会在下方显示相应的主机列表。 磁盘配置 横轴为节点上磁盘总容量（包含OS盘），纵轴为逻辑磁盘数量（包含OS盘）。 鼠标放置圆点上会显示处于当前配置状态下的磁盘信息，包括磁盘数量、总容量、主机数。 单击相应圆点，会在下方显示相应的主机列表。

本章节主要介绍翼MapReduce的执行角色实例主备倒换操作。 操作场景 部分服务的角色以主备高可用的模式进行部署，在需要对主实例进行维护不能提供服务，或者其他维护需要时，可以手动触发实例主备倒换。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 服务”。 3. 单击服务视图中指定的服务名称。 4. 在服务详情页面单击“更多”，选择“执行角色实例倒换”。 5. 输入当前登录的用户密码确认身份，单击“确定”。 6. 在弹出界面单击“确定”，执行角色实例主备倒换。 说明 Manager部件包支持的主备倒换角色实例的服务有：DBService。 HD部件包支持的主备倒换角色实例的服务有：HDFS、Yarn、Storm、HBase、Mapreduce。 HDFS的角色NameNode在进行主备倒换时，需要指定NameService。 Porter部件包支持的主备倒换角色实例的服务有：Loader。 其他角色实例则不支持此功能。

接口功能介绍 停止漏洞扫描检测任务 接口约束 此功能为收费功能。确认已经购买系统配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI POST /v1/vulnerability/stop 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 taskId 是 String 任务id 1saaa 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200

接口功能介绍 停止弱口令检测任务 接口约束 此功能为收费功能。确认已经购买系统配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI POST /v1/weakpw/stop 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 taskId 是 String 任务id 121311 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200

ServiceStage通过云审计服务（Cloud Trace Service，CTS）为您提供ServiceStage应用管理操作的操作记录，供您查询、审计和回溯使用。 申请云审计服务后，系统开始记录ServiceStage资源的操作，CTS控制台可以保存最近7天的操作记录。 表 云审计服务支持的ServiceStage操作 操作名称 资源类型 事件名称 创建组件 component createComponent 删除组件 component deleteComponent 升级组件 component updateComponent 启动组件 component startComponent 停止组件 component stopComponent 重启组件 component restartComponent 伸缩组件 component scaleComponent 回滚组件 component rollbackComponent 部署组件 component provisionComponent 卸载组件 component deprovisionComponent 创建应用 application createApplication 删除应用 application deleteApplication 更新应用 application updateApplication 创建环境 environment createEnvironment 删除环境 environment deleteEnvironment

本文介绍如何修改实例的主机名称(hostname)。 操作场景 您可以根据需求修改实例的主机名称（hostname）。 操作前提 云主机需处于运行中状态。 以下镜像暂不支持通过控制台手动修改hostname： CentOS 6系列 Windows Server 2008 系列 修改弹性云主机的主机名 方法一： 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 将鼠标移动至目标云主机的“操作”列。 5. 单击“更多” ，编辑“编辑云主机属性”，在输入框中修改主机名称。 参数 命名规则 主机名称 Windows系统，长度为 2～15个字符，允许使用大小写字母、数字或连字符（）。不能以连字符（）开头或结尾，不能连续使用连字符（），也不能仅使用数字。其他操作系统（Linux等），长度为 2～64个字符，允许使用点号（.）分隔字符成多段，每段允许使用大小写字母、数字或连字符（），但不能连续使用点号（.）或连字符（）。不能以点号（.）或连字符（）开头或结尾。修改主机名称需要重启生效。 6. 单击“确定”，完成弹性云主机名称修改。 方法二： 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 单击在云主机列表页需要修改主机名的云主机蓝色实例名称，进入云主机详情页。 5. 单击主机名称的编辑标识，在输入框中输入要修改的主机名称。 6. 单击“确定”后，点击右上角的“重启”使编辑的主机名（hostname）生效。 注意 重启实例必须通过控制台界面或调用RebootInstance API来完成，在操作系统内重启不能使修改后新的主机名生效。 在操作系统内部修改实例的主机名，如通过执行hostnamectl命令或编辑/etc/hostname文件等方式，不会同步到实例属性中，无法通过控制台或API得到修改后新的主机名，因此不建议通过此方式修改实例的主机名。

本章节主要向您介绍如何更换子网关联的路由表。 操作场景 更换子网已经关联的路由表为该VPC下其他的路由表。更换路由表后，子网下云资源将启用新路由表规则，请确认对业务造成的影响。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。进入虚拟有云列表页面。 3. 在左侧导航栏，选择“虚拟私有云 > 路由表”。 4. 在路由表列表中，单击路由表名称。 5. 在关联子网页签下，单击操作列的“更换路由表”，根据提示，选择新的路由表。 6. 单击“确定”，完成更换。更换路由表后，子网下资源将启用新路由表策略。

本章节主要介绍翼MapReduce服务HBase健康检查指标项说明。 运行良好的RegionServer数 指标项名称： 运行良好的RegionServer数 指标项含义 ：检查HBase集群中运行良好的RegionServer数。 恢复指导： 如果该指标项异常，请检查RegionServer的状态是否正常并处理，然后建议检查网络是否正常。 服务健康状态 指标项名称： 服务状态 指标项含义 ：检查HBase服务状态是否正常。如果状态不正常，则认为不健康。 恢复指导： 如果该指标项异常，请检查HMaster和RegionServer的状态是否正常并先处理，然后检查ZooKeeper服务的状态是否为故障并处理。使用客户端，确认是否可以正确读取HBase表中的数据，排查读数据失败的原因。最后参见告警进行处理。 检查告警 指标项名称： 告警信息 指标项含义 ：检查服务是否存在未清除的告警。如果存在，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理。

FILESET 提供子目录配额管理能力,本文介绍删除 FILESET 的操作步骤。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>并行文件服务 HPFS”，进入并行文件服务的控制台页面。 3. 点击目标文件系统，进入文件系统详情页，点击 FILESET 页签，即可进入 FILESET 页面。 4. 在 FILESET 列表，找到目标 FILESET，单击目标所在行的"操作"列下的"删除"。 5. 在弹出的对话框中再次确认是否删除。 6. 等待一段时间后，在列表页可以看到该 FILESET 已经不存在，即表示删除成功。 注意 禁止直接删除非空 FILESET。先清空 FILESET 下的所有数据，再删除 FILESET 目录。 如果用户在客户端强制使用 rm rf 命令删除非空 FILESET，系统会阻止删除 FILESET 文件夹操作，但由于 rm rf 的递归机制仍可能导致 FILESET 下的数据被先行清空，需谨慎操作。

本小节介绍终端杀毒功能特性。 恶意软件防护 支持对系统进行实时防护，定期对虚拟机进行全盘扫描，手动对虚拟机进行磁盘扫描，手动扫描支持快速、全盘、及指定目录扫描三种安全检测方式。 感染的文件在虚拟机内部隔离，非虚拟机的用户，无权限读取隔离文件，避免数据泄露问题。 优化安全操作的资源调度，以避免全系统扫描时出现常见的防病毒风暴，恶意代码特征库的自动更新，防范最新的攻击。 实时扫描 通过强大的QVM引擎进行文件安全性的实时分析，并返回杀毒控制中心文件结果。包含快速扫描项目外的在内的，所有磁盘（当前所有挂载的）目录的文件。 强力查杀 自定义查杀强度，自定义方式对终端进行扫描，支持选择启用的引擎类型，配置是否自动处理，是否扫描信任区。 终端恢复 对终端隔离区指定时间段，指定文件路径或者文件名或者病毒文件进行恢复，恢复到原始路径。 定时查杀 对终端进行定时扫描，降低管理员的工作量。云查杀是终端启用防病毒云查。每次云查杀包括终端提交一批文件MD5到云查杀引擎，云查杀引擎鉴定完毕后给于反馈。

本章节介绍应用容灾多活的消息层配置。 概述 消息层配置主要包括消息队列 和消息同步，每个单元组可以单独进行配置，不同单元的消息队列之间通过消息路由服务进行同步。 应用容灾多活通过控制面与数据面协同，对指定Topic消息进行打标与过滤。当某个单元发生故障时，可以通过切流任务将故障单元的消息在其他正常单元进行回溯接管，从而保障消息不丢失。 图 消息层配置 前提条件 已开通消息层功能模块。 已完成系统架构配置以及路由规则配置。 已为应用开通分布式消息服务RocketMQ实例。 已为不同站点的实例创建同名的Topic和Group。 配置消息队列 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 在应用系统列表中找到需要配置的应用系统，单击应用系统名称 ，进入应用系统概览页面。 4. 单击左侧导航栏容灾配置 ，在容灾配置菜单下单击消息层配置 ，进入容灾配置消息层配置页面。 5. 单击消息队列 配置列表上方创建 按钮，弹出创建消息队列配置页面。 6. 如下表示例，填写配置信息，单击确定按钮，完成配置。 7. 如需修改或删除消息队列配置，可单击所选配置操作列修改 或删除按钮，根据界面提示进行操作。 表 消息队列配置 配置项 描述 示例 消息队列名称 消息队列自定义标识。 商城北京消息队列 站点 消息队列部署所在站点。 北京站点 产品类型 消息队列技术类型： RocketMQ RocketMQ 实例类型 消息队列产品类型。 云实例 消息队列实例 消息队列对应的云实例ID。 RocketMQ810

本小节主要介绍如何添加、修改、删除个人SSH公钥。 用户个人SSH公钥是用在SSH客户端免密登录系统。 约束限制 仅支持OpenSSH公钥。 添加SSH公钥 1. 登录云堡垒机系统。 2. 选择右上角用户名，单击“个人中心”，进入个人中心管理页面。 3. 选择“SSH公钥”页签，进入个人SSH公钥管理页面。 4. 单击“添加”，弹出添加个人SSH公钥窗口。 5. 自定义公钥名称，并输入SSH公钥。 6. 单击“确定”，返回SSH公钥列表，即可查看已添加的SSH公钥。 删除SSH公钥 1. 登录云堡垒机系统。 2. 选择右上角用户名，单击“个人中心”，进入个人中心管理页面。 3. 选择“SSH公钥”页签，进入个人SSH公钥管理页面。 4. 在目标SSH公钥“操作”列，单击“删除”，弹出删除个人SSH公钥确认窗口。 5. 确认信息无误后，单击“确定”，返回SSH公钥列表，即可删除SSH公钥。 修改SSH公钥 1. 登录云堡垒机系统。 2. 选择右上角用户名，单击“个人中心”，进入个人中心管理页面。 3. 选择“SSH公钥”页签，进入个人SSH公钥管理页面。 4. 在目标SSH公钥“操作”列，单击“编辑”，弹出编辑个人SSH公钥窗口。 5. 可修改公钥名称和SSH公钥。 6. 单击“确定”，返回SSH公钥列表，即可查看已修改的SSH公钥。

核心能力 传统平台 使用配置注册中心 RCC 高资源利用率 资源获取效率低（>1天） 资源利用率低（<30%）。 自助高效获取资源（分钟级）。 动态调整资源（伸缩）。 高效开发 架构耦合，牵一发而动全身。 只能按大颗粒系统发布版本，响应周期长。 基于契约(Open API)的开发模式，架构解耦，让微服务的开发、测试、文档、协作和管控活动标准化、自动化。 高性能REST/RPC微服务开发框架，提供开箱即用的工具，降低开发门槛。 提供SpringCloud等组件，敏捷高效；支持微服务级滚动升级。 简化配置 配置项复杂，每个环境都需进行单独的配置，易出错。 提供集中配置管理能力。 实现配置文件与环境解耦，一次维护，多个环境共用。 配置文件支持多版本，可查看历史并快速回滚。 一键发布 手动打补丁方式的方式进行发布，中断业务。 支持一键滚动升级，支持业务升级时新老实例均衡分布，业务不中断。 集中监控 无监控手段，系统出故障无法及时感知，故障难定位。 实时图形化展示应用监控指标，CPU占用、告警、节点异常、运行日志、关键事件等实时掌握。

影响和风险 当innodbflushlogattrxcommit 参数设置为非默认值1时，降低了数据安全性，在系统崩溃的情况下，可能导致数据丢失。 当syncbinlog 参数设置为非默认值1时，降低了数据安全性，在系统崩溃的情况下，可能导致binlog丢失。 操作步骤 实例数据库版本为5.7或者8.0，都可按照如下步骤设置高性能参数模板。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 参数模板，进入参数模板列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在参数模板列表中，找到高性能参数模板。 注意 高性能参数模板名称为57HighPerformance 和80HighPerformance。 4. 管理高性能参数模板： 单击操作 列的应用，可以将高性能参数模板应用到相应版本的实例。 单击操作 列的对比，可以查看两个参数模板的参数值差异。 在操作 列选择更多 > 复制，可以根据高性能参数模板创建新的参数模板。

本节介绍了安装原生的XEN和KVM驱动的方法。 操作场景 在优化Linux私有镜像过程中，需要在云主机上安装原生的XEN和KVM驱动。 注意： 如果不安装XEN驱动，弹性云主机的网络性能很差，并且安全组和防火墙也不会生效； 如果不安装KVM驱动，弹性云主机的网卡可能无法检测到，无法与外部通信。因此，请您务必安装XEN和KVM驱动。 本节介绍安装原生XEN和KVM驱动的具体方法。 前提条件 对于使用Linux系统原生的XEN和KVM驱动的Linux云主机，其内核版本必须高于2.6.24。 建议您禁用任何防病毒软件或入侵检测软件，安装原生的XEN和KVM驱动完成后，您可以再次启用这些软件。 操作步骤 请根据操作系统版本，修改不同的配置文件： CentOS/EulerOS系列操作系统 以CentOS 7.0为例，请修改“/etc/dracut.conf”文件，在adddrivers项中添加xenpv以及virtio的驱动（xenpv驱动：xenblkfront、xennetfront；virtio驱动：virtioblk、virtioscsi 、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，保存并退出“/etc/dracut.conf”文件，执行dracut f命令，重新生成initrd。 操作方法可参见下文“CentOS/EulerOS系列操作系统相关操作”。 Ubuntu/Debian系列系统 请修改“/etc/initramfstools/modules”文件，添加xenpv以及virtio的驱动（xenpv驱动：xenblkfront、xennetfront；virtio驱动：virtioblk、virtioscsi 、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，保存并退出“/etc/initramfstools/modules”文件，执行updateinitramfs u命令，重新生成initrd。 操作方法可参见“Ubuntu/Debian系列操作系统相关操作”。 SUSE和openSUSE系列系统，根据操作系统版本不同，修改不同的配置文件。 − 当操作系统版本低于SUSE 12 SP1或低于openSUSE 13时，请修改“/etc/sysconfig/kernel”文件，在INITRDMODULES""添加xenpv以及virtio的驱动（xenpv驱动：xenvnif、xenvbd、xenplatformpci；virtio驱动：virtioblk、virtioscsi 、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，执行mkinitrd命令，重新生成initrd。 − 当操作系统版本为SUSE 12 SP1时，修改“/etc/dracut.conf”文件，在adddrivers项中添加xenpv以及virtio的驱动（xenpv驱动：xenvnif、xenvbd、xenplatformpci；virtio驱动：virtioblk、virtioscsi、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，执行命令dracut f，重新生成initrd。 − 当操作系统版本高于SUSE 12 SP1或高于openSUSE 13版本时，修改“/etc/dracut.conf”文件，在adddrivers项中添加xenpv和virtio的驱动（xenpv驱动：xenblkfront、xennetfront；virtio驱动：virtioblk、virtioscsi 、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，保存并退出“/etc/dracut.conf”文件，执行dracut f命令，重新生成initrd。 操作方法可参见下文“SUSE/openSUSE系列操作系统相关操作”。 说明： SUSE系列操作系统首先应确认OS是否已经安装了xenkmp包（xenpv的驱动包），执行以下命令： rpm qa grep xenkmp 回显类似如下： xenkmpdefault4.2.2043.0.760.110.7.5 如果没有安装xenkmp的包，请到ISO装机文件中获取并安装。 如果误将builtin形式的驱动添加到initrd或initramfs文件中，不会影响云主机正常使用。

本章节主要介绍翼MapReduce的Capacity Scheduler模式下清除租户非关联队列操作。 操作场景 在Yarn Capacity Scheduler模式下，删除租户的时候，只是把租户队列的容量设置为0，并且把状态设为“STOPPED”，但是队列在Yarn的服务里面仍然残留。由于Yarn的机制，无法动态删除队列，管理员可以执行命令手动清除残留的队列。 对系统的影响 脚本运行过程中会重启controller服务，同步Yarn的配置，并重启主备ResourceManager实例。 重启controller服务时，无法登录和操作FusionInsight Manager。 重启主备ResourceManager实例后，Yarn组件以及依赖Yarn的组件会出现短暂的服务不可用告警。 前提条件 已删除某个租户，但该租户对应的队列依然存在。 操作步骤 1. 确定该租户对应的队列依然存在。 在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 服务 > Yarn”。通过“ResourceManager(主)”链接进入ResourceManager WebUI界面。 单击左侧“Scheduler”界面，可以查看租户对应的队列依然存在，且状态为“STOPPED”，“Configured Capacity”值为0。 2. 以omm用户登录主管理节点。 3. 执行以下目录，执行“cleanQueuesAndRestartRM.sh”脚本。 cd ${BIGDATAHOME}/omserver/om/sbin ./cleanQueuesAndRestartRM.sh c 集群ID 说明 “集群ID”为需执行操作集群ID号，可在FusionInsight Manager的“集群 > 待操作集群的名称 > 集群属性”中查看。 在脚本运行过程中，需输入yes及管理员密码。 Running the script will restart Controller and restart ResourceManager. Are you sure you want to continue connecting (yes/no)?yes Please input admin password: Begin to backup queues ... ... 4. 脚本运行成功后，在FusionInsight Manager界面，选择“集群 > 待操作集群名称 > 服务 > Yarn”。通过“ResourceManager(主)”链接进入ResourceManager WebUI界面。 5. 单击左侧“Scheduler”界面，确认被删除租户的队列已经清除。

自定义监控展示用户所有自主定义上报的监控指标。用户可以针对自己关心的业务指标进行监控，将采集的监控数据通过使用简单的API请求上报至云监控服务进行处理和展示。 查看自定义监控 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击页面左侧的“自定义监控”。 4. 在“自定义监控”页面，可以查看当前用户通过API请求上报至云监控服务的相关数据，包括自定义上报的服务，指标等。 说明 当用户通过API添加监控数据后，云监控服务界面才会显示自定义监控数据。 5. 选择待查看的云服务资源所在行的“查看监控指标”，进入“监控指标”页面。 在这个页面，用户可以选择页面左上方的时间范围按钮，查看该云服务资源“近1小时”、“近3小时”、“近12小时”、“近1天”和“近7天”的监控原始数据曲线图，同时监控指标视图右上角会动态显示对应时段内监控指标的最大值与最小值。 添加自定义告警规则 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 在“告警 > 告警规则”界面，单击“创建告警规则”。 4. 在“创建告警规则”界面，根据界面提示配置参数。 1. 选择监控对象，根据界面提示配置参数，如表11所示。 表11 配置参数 参数 参数说明 名称 系统会随机产生一个名称，用户也可以进行修改。 取值样例：alarmb6al 描述 告警规则描述（此参数非必填项）。 归属企业项目 告警规则所属的企业项目。只有拥有该企业项目权限的用户才可以查看和管理该告警规则。 资源类型 配置告警规则监控的云服务资源名称。 取值样例：弹性云主机 维度 用于指定告警规则对应指标的维度名称 取值样例：云主机 监控范围 告警规则适用的资源范围，可选择资源分组或指定资源。 说明 ： 当选择资源分组时，该分组下任何资源满足告警策略时，都会触发告警通知。 资源分组不支持通过模板创建告警规则。 分组 当监控范围为资源分组时需配置此参数。  b. 选择监控指标，选择“自定义创建”，参照表12完成参数配置。 表12 配置参数 参数 参数说明 取值样例 选择类型 选择自定义创建。 自定义创建 指标名称 例如： CPU使用率 该指标用于统计测量对象的CPU使用率，以百分比为单位。 内存使用率 该指标用于统计测量对象的内存使用率，以百分比为单位。 CPU使用率 告警策略 触发告警的告警策略。 例如：监控周期为5分钟，连续三个周期平均值≥80% 告警级别 根据告警的严重程度不同等级，可选择紧急、重要、次要、提示。 重要 发送通知 配置是否发送邮件、短信通知用户，可以选择“是” （推荐选择）或者“否”。选择“否”，就不会发送邮件、短信通知用户，选择“是”，就需要选择已有的主题或者新建主题。 是 选择主题 消息发布或客户端订阅通知的特定事件类型，若此处没有需要的主题，需先创建主题并订阅该主题。 生效时间 该告警规则仅在生效时间内发送通知消息。 如生效时间为08:0020:00，则该告警规则仅在08:0020:00发送通知消息。 触发条件 可以选择“出现告警”、“恢复正常”两种状态，作为触发告警通知的条件。

本文主要介绍云日志服务的欠费说明。 欠费原因 在按需计费的模式下帐号的余额不足。 欠费影响 欠费后，已有的采集配置将停用，日志无法上报，且您将无法创建日志项目和日志单元等资源。 您所占用的日志存储资源仍会按照日志存储量的计费项继续扣费，因此欠费余额会累计。 当欠费超过15天，将视为您主动放弃该服务，您保存在天翼云云日志服务中的全部数据（包括已上传的日志数据）将会被销毁，销毁后数据不可恢复。因此请您及时关注账户余额并及时续费以保证您的服务不受到影响。 充值 欠费后，如果您在15天内充值补足欠款，日志数据将自动恢复上报，您可继续使用云日志服务各项功能。 为防止相关资源不被停止或者释放，请及时进行充值，为避免帐号将进入欠费状态，需要在约定时间内支付欠款，详细操作请参考费用中心资金管理余额充值。 说明 若您确认不再使用云日志服务，请务必及时删除相关日志项目、日志单元。

天翼云为您提供NAT网关产品服务等级协议，请您点击查看。 NAT网关服务等级协议

本小节介绍终端杀毒功能特性。 恶意软件防护 支持对系统进行实时防护，定期对虚拟机进行全盘扫描，手动对虚拟机进行磁盘扫描，手动扫描支持快速、全盘、及指定目录扫描三种安全检测方式。 感染的文件在虚拟机内部隔离，非虚拟机的用户，无权限读取隔离文件，避免数据泄露问题。 优化安全操作的资源调度，以避免全系统扫描时出现常见的防病毒风暴，恶意代码特征库的自动更新，防范最新的攻击。 实时扫描 通过强大的QVM引擎进行文件安全性的实时分析，并返回杀毒控制中心文件结果。包含快速扫描项目外的在内的，所有磁盘（当前所有挂载的）目录的文件。 强力查杀 自定义查杀强度，自定义方式对终端进行扫描，支持选择启用的引擎类型，配置是否自动处理，是否扫描信任区。 终端恢复 对终端隔离区指定时间段，指定文件路径或者文件名或者病毒文件进行恢复，恢复到原始路径。 定时查杀 对终端进行定时扫描，降低管理员的工作量。云查杀是终端启用防病毒云查。每次云查杀包括终端提交一批文件MD5到云查杀引擎，云查杀引擎鉴定完毕后给于反馈。

参数 说明 名称 监听器的名称，创建监听器时用户自定义，可以单击监听器列表中的修改按钮对名称进行修改。 ID 创建完监听器后，系统自动生成的ID，其为监听器全局唯一的ID。 前端协议/端口 监听器的前端协议和对应的端口。 后端服务器组 该监听器对应的后端服务器组。 创建时间 创建监听器的时间。 服务器证书 监听器的前端协议选择HTTPS时，需要为监听器添加已有的SSL服务器证书。 描述 监听器的描述信息。

对象存储服务、云硬盘和镜像服务借助KMS实现了加密特性。 使用KMS加密的云服务列表 服务名称 如何使用 对象存储服务 对象存储服务支持普通方式和服务端加密方式上传和下载对象。当用户使用服务端加密方式上传对象时，数据会在服务端加密成密文后安全地存储在对象存储服务中；用户下载加密对象时，存储的密文会先在服务端解密为明文，再提供给用户。对象存储服务支持KMS托管密钥的服务端加密方式（即SSEKMS加密方式），该加密方式是通过KMS提供密钥的方式进行服务端加密。 云硬盘 在创建云硬盘时，用户启用云硬盘的加密功能，系统将使用用户主密钥产生的数据密钥对磁盘进行加密，则在使用该云硬盘时，存储到云硬盘的数据将会自动加密。 镜像服务 用户通过外部镜像文件创建私有镜像时，可启用私有镜像加密功能，选择KMS提供的用户主密钥对镜像进行加密。 弹性文件服务 用户通过弹性文件服务创建文件系统时，选择KMS提供的用户主密钥对文件系统进行加密，当使用该文件系统时，存储到文件系统的文件将会自动加密。 关系型数据库 在购买数据库实例时，用户启用数据库实例的磁盘加密功能，选择KMS提供的用户主密钥对数据库实例的磁盘进行加密，选择磁盘加密后会提高数据的安全性。 文档数据库服务 在购买文档数据库实例时，用户启用文档数据库实例的磁盘加密功能，选择KMS提供的用户主密钥对文档数据库实例的磁盘进行加密，选择磁盘加密后会提高数据的安全性。

本文介绍了MySQL主备复制原理。 MySQL主备复制原理说明 MySQL复制是基于复制源服务器在其二进制日志(下称binlog)中跟踪对其数据库的所有更改(增、删、改等)。binlog作为从服务器启动那一刻起修改数据库结构或内容(数据)的所有事件的书面记录。通常，SELECT不记录语句是因为它们既不修改数据库结构也不修改数据本身。 连接到源的每个副本都请求binlog的副本。也就是说，它从源中拉取数据，而不是源将数据推送到副本。副本还执行它接收到的binlog中的事件。这具有重复原始更改的效果，就像它们在源上所做的一样。创建表或修改其结构，并根据最初在源上所做的更改插入、删除和更新数据。 因为每个副本都是独立的，所以来自源的binlog的更改的重播独立发生在连接到源的每个副本上。此外，因为每个副本仅通过从源请求它来接收binlog的副本，副本能够按照自己的节奏读取和更新数据库的副本，并且可以随意启动和停止复制过程而不会影响在源端或副本端更新到最新数据库状态的能力。 主备复制流程说明： 1. 主库节点中每当有数据进行DML操作时，事务会按照binlog格式将DML操作以event的形式写入到主节点的binlog中。DML包括：Insert, Delete, Update等。 2. 备库节点连接主库节点时，有多少个备节点就会创建多少个binlog dump线程。 3. 当主库节点的binlog发生变化时，binlog dump线程会通知备节点(若多个备库则通知所有备节点)，并将相应的binlog内容推送给备库节点。 4. 备库节点的I/O thread进程收到binlog后，会将日志包含的内容写入本地中继日志(下称relay log)。 5. 备库节点的SQL thread会读取I/O thread写入的relay log并根据relay log中记录的event内容生成相应的DML语句，回放入备库中，完成整个主备复制流程。 主要源码说明： / The pseudo code to compute SecondsBehindMaster: 信息来自源码sql/rplreplica.cc if (SQL thread is running) //如果SQL thread启动 { if (SQL thread processed all the available relay log) ​ //当IO thread拉取主库binlog的位置和SQL thread应用的relay log相对于主库binlog的位置相等时 ​ { ​ if (IO thread is running) ​ //如果IO thread启动，设置延迟为0 ​ print 0; ​ else ​ //如果未启动，设置延迟为NULL ​ print NULL; ​ } ​ else ​ //如果SQL thread没有应用完所有IO thread写入的event时，需要计算SecondsBehindMaster ​ compute SecondsBehindMaster; } else ​ //如果SQL thread也没启动，则设置为NULL ​ print NULL; / SecondsBehindMaster的计算公式：SecondsBehindMaster time(0) lastmastertimestamp clockdiffwithmaster。 公式变量解释： 1. time(0)：当前备库节点服务器的系统时间。 2. lastmastertimestamp：备库节点在回放relay log中的event过程中的计算和更新，该变量可理解为备库节点SQL thread处理中事务在主库节点中的执行时间。 3. clockdiffwithmaster：备库节点的系统时间和主库节点服务器系统时间的差值，一般为0。如果主备节点系统时间不一致，那计算出的备库节点复制时延会不准确。 综上所述：SecondsBehindMaster 当前备库节点服务器的系统时间 备库节点SQL线程处理中事务在主库节点的执行时间 备库节点的系统时间和主库节点服务器系统时间的差值。

本节介绍了无公网IP的弹性云主机访问Internet的操作场景、前提条件、Linux操作系统的代理主机。 操作场景 为保证安全和节省公网IP资源，通常只为特定的弹性云主机配置公网IP，可直接访问Internet，其他弹性云主机只配置私网IP，无法直接访问Internet。因此，当只配置了私网IP的弹性云主机需要访问Internet，执行软件升级、给系统打补丁或者其它需求时，可选择一台绑定了公网IP的弹性云主机作为代理弹性云主机，为其他无公网IP的云主机提供访问通道，正常访问Internet。 说明 优先推荐您使用NAT（NAT Gateway）网关服务。NAT网关能够为VPC内的弹性云主机提供SNAT和DNAT功能，通过灵活简易的配置，即可轻松构建VPC的公网出入口。 前提条件 已拥有一台绑定了公网IP的弹性云主机作为代理弹性云主机。 代理弹性云主机和其他需要访问Internet的弹性云主机均处于同一网段，并且在同一安全组内。 Linux操作系统的代理主机 本节操作中，以代理弹性云主机的操作系统是CentOS 6.5为例。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云主机列表页，输入代理云主机名称进行搜索。 5. 单击代理弹性云主机的名称，查看详情。 6. 在代理弹性云主机详情页面，选择“弹性网卡”页签，并展开，将“源/目的检查”选项设置为“OFF”。 默认情况下，“源/目的检查”状态为“启用”，系统会检查弹性云主机发送的报文中源IP地址是否正确，否则不允许弹性云主机发送该报文。这有助于防止伪装报文攻击，提升安全性。但在该场景中，这种保护机制会导致报文的发送者无法接收到返回的报文。因此，需设置“源/目的检查”状态为禁用。 7. 登录代理弹性云主机。 详细操作方法请参见Linux弹性云主机登录方式概述。 8. 执行以下命令，检测代理弹性云主机是否可以正常连接Internet。 ping www.baidu.com 回显包含类似如下信息时，表示代理弹性云主机可正常连接Internet。 检测是否可以正常连接Internet 9. 执行以下命令，查看代理弹性云主机的IP转发功能是否开启。 cat /proc/sys/net/ipv4/ipforward − 回显为“0”表示关闭，请执行10。 − 回显为“1”表示开启，请执行16。 10. 执行以下命令，打开IP转发功能配置文件。 vi /etc/sysctl.conf 11. 按“i”，进入编辑模式。 12. 修改如下参数的值。 将参数“net.ipv4.ipforward ”的值修改为“1”。 说明：如果“sysctl.conf”文件中不存在参数“net.ipv4.ipforward ”，执行以下命令进行添加： echo net.ipv4.ipforward1 >> /etc/sysctl.conf 13. 按“Esc”，输入 :wq ，按“Enter”。 保存设置并退出vi编辑器。 14. 执行以下命令，使配置文件修改生效。 sysctl p /etc/sysctl.conf 15. 执行以下命令，清除原有iptables规则。 iptables F 16. 执行以下命令，配置SNAT，使代理弹性云主机所在的网段内其他弹性云主机可通过代理弹性云主机访问Internet。 iptables t nat A POSTROUTING o eth0 s subnet/netmaskbits j SNAT to natinstanceip 假设代理弹性云主机所在的网段为192.168.125.0，子网掩码为24位，私网IP地址为192.168.125.4，则执行如下命令。 iptables t nat A POSTROUTING o eth0 s 192.168.125.0/24 j SNAT to 192.168.125.4 为了确保重启后上述规则不丢失，可以执行vi /etc/rc.local 编辑rc.local 文件，将步骤16中的规则复制到rc.local文件，按“ESC”退出编辑模式，输入“:wq”保存并退出。 17. 执行以下命令，保存iptables的配置并设置开机自启动。 service iptables save chkconfig iptables on 18. 执行以下命令，查看SNAT配置是否成功。 iptables t nat list 回显类似如下图所示时，表示SNAT配置成功。 图 SNAT配置成功 19. 添加自定义路由。 1. 登录管理控制台。 2. 选择“网络 > 虚拟私有云”。 3. 选择需要添加路由表的虚拟私有云，在“路由表”页面，单击“添加路由”。 4. 根据界面提示，填写路由信息。 目的地址：是目的网段，默认是0.0.0.0/0。 下一跳地址：是代理弹性云主机的私有IP地址。 您可以在弹性云主机页面，查看该弹性云主机的私有IP地址。 20. 如需删除添加的iptables规则，需执行以下命令： iptables t nat D POSTROUTING o eth0 s subnet/netmaskbits j SNAT to natinstanceip 假设代理弹性云主机所在的网段为192.168.125.0，子网掩码为24位，私网IP地址为192.168.125.4，则执行如下命令。 iptables t nat D POSTROUTING o eth0 s 192.168.125.0/24 j SNAT to 192.168.125.4

本文向您介绍天翼云Windows云主机远程连接时出现报错“您的连接已丢失”时的解决方案。 问题描述 远程桌面连接Windows云主机时候报错：“您的远程桌面会话已结束，另一用户已连接到此远程计算机，因此您的连接已丢失。” 解决方法 1. 使用管理控制台VNC方式登录弹性云主机。 2. 点击“开始 > 运行”，输入“gpedit.msc”，打开“本地组策略编辑器”。 3. 依次选择“计算机配置 > 管理模板>Windows组件 > 远程桌面服务>远程桌面会话主机 > 连接”。 4. 点击“将远程桌面服务用户限制到单独的远程桌面服务会话”，修改配置为“已禁用”，单击“确定”保存，在命令窗口执行 gpupdate /force，更新组策略。 5. 在命令窗口执行 gpupdate /force，更新组策略。

本文介绍权限集配置方式 权限集概述 权限集是由客户自行在系统配置的访问权限集合。可以勾选需要的系统策略组合，也可以创建自定义权限策略。 权限集与云SSO用户（组）、待访问账号（组织成员），三者共同组成一个访问配置实例。 创建权限集 1. 进入“权限集”界面，点击“创建权限集” 1. 填入基本信息，点击“下一步”，请注意权限集命名不能重复。 2. 为权限集分配系统权限，您也可以自定义配置权限集的授权。 3. 确认后点击“保存” 4. 查看与修改已创建的权限集 2. 进入“权限集”界面，根据名称与描述选择对应的权限集，点击“编辑”进入编辑界面。 3. 在编辑界面可查看与修改之前配置的权限集合。 复制已创建的权限集 进入“权限集”界面，根据名称与描述选择对应的权限集，点击“复制”，可快速创建相同配置的权限集，请注意修改权限集命名。 删除已创建的权限集 进入“权限集”界面，根据名称与描述选择对应的权限集，点击“删除”，可对权限集进行删除。 删除前，请确保该权限集已经从云SSO用户及成员账号中进行解绑，否则无法删除。

本文带您规避Intel处理器芯片存在的Meltdown和Spectre安全漏洞可能带来的问题。 问题描述 2018年1月3日，Intel处理器芯片被曝出存在严重的Meltdown和Spectre安全漏洞，漏洞详情如下： 漏洞名称：Intel处理器存在严重芯片级漏洞 漏洞编号：CVE20175753、CVE20175715、CVE20175754 漏洞级别：严重 漏洞描述：攻击者可以利用Meltdown （CVE20175754） 和Spectre （CVE20175715/CVE20175753） 绕过内存安全隔离机制，越权访问操作系统和其他程序的核心数据，造成敏感信息泄露。 问题影响 该漏洞不会引起不同弹性云主机之间的攻击，但可能会引起如下问题： 弹性云主机内多个应用之间，可能存在攻击。 对于同一弹性云主机，多个帐号之间可能存在攻击。 使用公共镜像的弹性云主机，云平台会对公共镜像依次修复，不会对您的业务带来影响。 使用私有镜像的弹性云主机，请根据漏洞影响评估是否更新补丁，以规避风险，更新补丁的具体操作请参见本节内容。 前提条件 为避免发生意外，修复漏洞前，建议进行充分测试，并完成弹性云主机的数据备份操作，避免发生意外。 Windows弹性云主机处理方法 1. 登录弹性云主机。 2. 更新补丁。 方式一：使用Windows自动更新功能安装补丁。 a. 打开Windows Update，并单击“检查更新”。 b. 根据需要下载安装相关安全补丁。 方式二：手动下载补丁并安装。 下载官方发布的补丁进行安装，如KB4078130。 3. 重启弹性云主机，使补丁生效。 4. 验证是否升级成功。 a. 检查系统运行情况是否正常。 b. 检查已安装的补丁清单是否满足微软官方的要求。

本节介绍服务器安全卫士（原生版）的产品定义和产品架构。 产品定义 服务器安全卫士（原生版）（CTCSS，Cloud Security System）是一款全方位保障云上服务器安全的产品，能全面识别并管理服务器中的信息资产、实时监测服务器风险并阻止非法入侵行为，当发现服务器出现安全问题时，第一时间向您发出告警通知。主要包括资产清点、漏洞扫描、入侵检测、基线检查、弱口令检测、病毒查杀、文件防勒索等功能，帮助您构建服务器安全防护体系。 产品架构 服务器安全卫士（原生版）整体架构主要包括3个部分，分别为统一管理平台、数据汇总节点和服务器客户端Agent。 统一管理平台 客户管理员通过统一管理平台，查看所有的服务器信息和安全状态，并下发安全策略配置信息。 资源池数据汇总节点 服务器客户端Agent从被监控服务器中采集系统信息，上报给相应的数据汇总节点。 服务器客户端Agent 使用服务器安全卫士（原生版）产品时，每台服务器需要安装一个Agent。

本文介绍创建及管理内网访问内容。 功能概述 内网访问用于管理接入应用托管的VPC终端节点，已完成VPC接入的云资源，可通过内网访问域名连接应用托管中的应用，保障访问安全性。 操作步骤 步骤 1：进入内网访问页面 1. 登录天翼云应用托管控制台，在左侧导航栏选择网络 → 内网访问，进入内网访问管理页面。 步骤 2：接入 VPC 1. 委托授权（首次操作需执行，为平台授权）： 弹出「创建委托」弹窗，展示所需授予的权限： VPC 终端节点：查询、创建、删除等权限； 虚拟私有云：查询 VPC、子网等权限； 内网 DNS：查询、创建、删除 DNS 记录等权限。 点击【确认授权】，平台自动创建名为 CtyunAssumeRoleForAPP 的委托。 注意：请勿删除或修改此委托，否则会导致内网访问功能异常。 2. 完成委托授权后，点击【接入 VPC】按钮，弹窗【VPC终端节点配置】完成以下内容配置并提交，VPC即接入成功。 选择 可用区； 选择 虚拟私有云（下拉框展示当前账号下可用 VPC），若需新的虚拟私有云，请点击【去创建】； 点击【确认配置】提交。

本文介绍创建及管理内网访问内容。 功能概述 内网访问用于管理接入应用托管的VPC终端节点，已完成VPC接入的云资源，可通过内网访问域名连接应用托管中的应用，保障访问安全性。 操作步骤 步骤 1：进入内网访问页面 1. 登录天翼云应用托管控制台，在左侧导航栏选择网络 → 内网访问，进入内网访问管理页面。 步骤 2：接入 VPC 1. 委托授权（首次操作需执行，为平台授权）： 弹出「创建委托」弹窗，展示所需授予的权限： VPC 终端节点：查询、创建、删除等权限； 虚拟私有云：查询 VPC、子网等权限； 内网 DNS：查询、创建、删除 DNS 记录等权限。 点击【确认授权】，平台自动创建名为 CtyunAssumeRoleForAPP 的委托。 注意：请勿删除或修改此委托，否则会导致内网访问功能异常。 2. 完成委托授权后，点击【接入 VPC】按钮，弹窗【VPC终端节点配置】完成以下内容配置并提交，VPC即接入成功。 选择 可用区； 选择 虚拟私有云（下拉框展示当前账号下可用 VPC），若需新的虚拟私有云，请点击【去创建】； 点击【确认配置】提交。

配置示例四：同时配置VPC终端节点策略与桶策略后，再授权其他云服务访问桶 场景描述： 当同时设置了VPC1的终端节点策略与桶mybucket的桶策略后，由于双端固定的限制，其它云服务包括OBS就无法访问桶mybucket。如果想要授权其它云服务能够访问桶mybucket，可以通过委托授权的方式。 其中VPC1的ID为：4dad1f7503614aa4ac751ffdda3a0fec。 配置方法： 1. 配置VPC1的终端节点策略如下： 只允许VPC1内的服务器上传/下载桶mybucket中的对象。 入口：服务列表 > VPC终端节点 > 单击对应VPC终端节点ID（OBS双端固定的终端节点） > 策略 > 编辑 [ { "Action": [ "obs:object:GetObject", "obs:object:PutObject" ], "Resource": [ "obs:::object:mybucket/" ], "Effect": "Allow" } ] 2. 创建IAM委托，委托其它云服务访问桶mybucket。例如，委托OBS，绑定系统策略OBS FullAccess，也可以创建自定义策略并绑定该委托。 3. 配置桶mybucket的桶策略如下： 只允许桶mybucket中的对象被VPC1内的服务器或者委托名为testAgencyName所对应授权的云服务访问桶mybucket中的对象。其中委托名以2实际创建的IAM委托名称为准。 { "Statement": [ { "Effect": "Allow", "Principal": {"ID": [""]}, "Action": [""], "Resource": ["mybucket/"], "Condition": { "StringEquals": { "SourceVpc": ["4dad1f7503614aa4ac751ffdda3a0fec"] } } }, { "Effect": "Allow", "Principal": {"ID": [""]}, "Action": [""], "Resource": ["mybucket/"], "Condition": { "StringEquals": { "ServiceAgency": ["testAgencyName"] } } } ] } 同时，桶策略也可按如下配置达到同样的效果： { "Statement": [ { "Effect": "Deny", "Principal": {"ID": [""]}, "Action": [""], "Resource": ["mybucket/"], "Condition": { "StringNotEquals": { "SourceVpc": ["4dad1f7503614aa4ac751ffdda3a0fec"], "ServiceAgency": ["testAgencyName"] } } } ] }

本节介绍如何查看漏洞扫描结果。 漏洞扫描完成后，可以在漏洞扫描页面查看服务器中存在的漏洞信息。 前提条件 已完成漏洞扫描。详细操作请参见扫描漏洞。 查看漏洞列表 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 在漏洞扫描页面查看漏洞相关信息。 查看漏洞扫描结果统计信息 页面上方展示漏洞扫描的统计情况和漏洞扫描设置，统计情况包括需紧急修复的漏洞、存在漏洞的服务器、待处理的漏洞、已支持漏洞统计。 参数 说明 操作 需要紧急修复的漏洞 展示需要紧急修复的漏洞数量。 单击“需要紧急修复的漏洞”下方的数字，页面下方漏洞列表将筛选出修复优先级为“高”，待处理的漏洞。 存在漏洞的服务器 展示存在漏洞的服务器数量。 单击“存在漏洞的服务器”下方的数字，可以快速查看存在漏洞的服务器列表。 待处理的漏洞 展示所有未处理的漏洞数量。 单击“待处理的漏洞”下方的数字，页面下方漏洞列表将筛选出所有待处理的漏洞。 已支持漏洞统计 展示漏洞库支持的漏洞数量。 查看最近一次扫描结果 扫描完成后，最近一次扫描结果展示在“上一次扫描详情”处，如下图所示。 单击“详情”，可以查看上一次扫描的统计情况和基于主机展示的漏洞列表。 在统计情况中，可以查看漏洞风险数、风险主机/目标检测主机、扫描类别、漏洞类别、开始时间、结束时间。 在基于主机展示的漏洞列表中，为您展示服务器、操作系统、检测状态、检测开始时间、检测结束时间和漏洞数量。 页面下方展示漏洞列表。 漏洞扫描页面下方的漏洞列表中展示本次扫描的漏洞情况，按照漏洞类别分页签展示，包括漏洞公告、CVE编号、修复优先级、影响服务器数量、处理详情、最后发现时间。 列表默认按照最后发现时间排序，最新发现的漏洞位于最上方。漏洞列表可按照业务分组、修复后是否需要重启、修复优先级、漏洞是否已处理、服务器名称、服务器IP、漏洞公告、CVE编号进行搜索。 说明 仅Linux软件漏洞、Windows系统漏洞支持按照“修复重启”进行筛选，漏洞公告前若有“需要重启”标记，表示修复漏洞后，需要重启云服务器后才生效。