cycleCount: "2" 选择拓扑区域，如果是天翼云iaas的存储产品，就是对应选择可用区，value填写存储openapi里的可用区的azName 当storageClass配置了volumeBindingMode: WaitForFirstConsume或者配置了allowedTopologies时， 那么PVC使用设置了该字段的storageClass，会创建报错 topology.kubernetes.io/zone: cnhuadong1jsnj1Apublicctcloud reclaimPolicy: Delete allowVolumeExpansion: true 执行以下命令，创建StorageClass plaintext kubectl apply f scexample.yaml 查看创建的StorageClass： 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“存储”——“存储类”，在存储类列表查看。 2、创建持久卷声明（PVC） 使用kubectl连接集群，创建示例yaml文件pvcexample.yaml： plaintext apiVersion: v1 kind: PersistentVolumeClaim metadata: name: cstorpvchpfs spec: accessModes: ReadWriteOnce resources: requests: storage: 512Gi storageClassName: hpfssc 执行以下命令，创建PVC plaintext kubectl apply f pvcexample.yaml 查看创建的PVC： 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“存储”——“持久卷声明”，在列表查看。 3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "hpfstest" namespace: "default" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetest" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: "cstorpvchpfs" updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载：登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“工作负载”——“有状态”，在列表查看。

cycleCount: "2" 选择拓扑区域，如果是天翼云iaas的存储产品，就是对应选择可用区，value填写存储openapi里的可用区的azName 当storageClass配置了volumeBindingMode: WaitForFirstConsume或者配置了allowedTopologies时， 那么PVC使用设置了该字段的storageClass，会创建报错 topology.kubernetes.io/zone: cnhuadong1jsnj1Apublicctcloud reclaimPolicy: Delete allowVolumeExpansion: true 执行以下命令，创建StorageClass plaintext kubectl apply f scexample.yaml 查看创建的StorageClass： 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“存储”——“存储类”，在存储类列表查看。 2、创建持久卷声明（PVC） 使用kubectl连接集群，创建示例yaml文件pvcexample.yaml： plaintext apiVersion: v1 kind: PersistentVolumeClaim metadata: name: cstorpvchpfs spec: accessModes: ReadWriteOnce resources: requests: storage: 512Gi storageClassName: hpfssc 执行以下命令，创建PVC plaintext kubectl apply f pvcexample.yaml 查看创建的PVC： 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“存储”——“持久卷声明”，在列表查看。 3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "hpfstest" namespace: "default" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetest" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: "cstorpvchpfs" updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载：登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“工作负载”——“有状态”，在列表查看。

本文进行了云防火墙（原生版）产品的术语说明。 VPC 虚拟私有云（Virtual Private Cloud，VPC），为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 互联网边界防火墙 互联网边界防火墙主要用于检测互联网和云上资产间的通信流量，也称为南北向流量。 访问控制 是流量过滤规则的集合，通过防火墙的访问控制功能可以对内网的计算机进行访问限制，比如限制访问的Internet网站、限制使用的端口号，这样可以保证局域网的安全性。 黑名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行阻断。 白名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行放行。 五元组 包括源IP地址、目的IP地址、协议号、源端口、目的端口。 入侵防御 主动发现外部入侵与恶意外联等未知风险，在检测到可疑事件时，提供实时的防护与告警。如果检测到攻击，入侵防御会在攻击扩散到网络的其他地方之前阻止该恶意通信。 主动外联访问 主动外联访问是指云主机主动访问外部IP的行为，通过对主动外联访问防护，可以帮助您有效管理和控制主机外联行为。

本页介绍天翼云TeleDB数据库系统视图dual的内容。 视图的作用：模拟Oracle 数据库中的 DUAL 表，Oracle 中的 DUAL 表是一个特殊的表，可以用来返回一个单行单列的结果。 名称 类型 定义 dummy varchar 值是一个固定的字符串'X'

本文主要介绍云日志服务C SDK接入指南。 1. 前言 安装使用C SDK可以帮助开发者快速接入使用天翼云的日志服务相关功能，目前支持日志同步上传。 2. 使用条件 2.1. 先决条件 用户需要具备以下条件才能够使用LTS SDK C版本： 1、购买并订阅了天翼云的云日志服务，并创建了日志项目和日志单元，获取到相应编码（logProject、logUnit）。 2、已获取AccessKey 和 SecretKey。 3、已安装C 运行环境。 2.2. 下载及安装 下载ctyunltscsdk.zip压缩包，放到相应位置后并解压。“ctyunltscsdk”目录中sampleputlogs.c为SDK的使用示例代码。 2.2.1. 依赖 cmake2.8或更新版本，GCC 4.9或更新版本。以下库及其相关头文件，可在对应Linux发行版的包管理器中安装，括号中给出的是经过验证的版本。 plaintext libcurldevel(7.6.1) openssldevel (1.1.1k) protobufc(1.3.06.el8) lz4(v1.8.3) jsonc(0.13.12.el8) 对于 CentOS 安装，可用如下命令搭建依赖环境。 plaintext yum install gccc++ yum install cmake yum install libcurldevel openssldevel libuuiddevel yum install lz4devel.x8664 yum install protobufcdevel.x8664 yum install jsoncdevel.x8664 2.2.2. 编译使用 1、进入ctyunltscsdk目录下，里面有CMakelists.txt文件。 2、执行build.sh，其包含以下命令。 plaintext !bin/bash generate .pbc.c .pbc.h from .proto protocc protopath./protoc cout./ common.proto resource.proto logs.proto echo "generate 6 file (commonresourcelogs).(pbc.cpbc.h)" mkdir build cd build cmake install location is .. cmake .. DCMAKEINSTALLPREFIX.. make make install 其中make 主要做的工作有：为.proto文件生成对应的.pbc.c、.pbc.h，以及动态链接构建出库文件libltssdk.a，存放在lib目录下。 3、将ctyunltscsdk目录下的头文件，全部移动到您项目的对应目录下，（如果直接使用SDK 则可以不用移动）。 4、之后你就可以在你的项目内使用SDK了，只需要引入对应的头文件即可。 5、编译您的程序，在您目录下内编译您的程序，构建出可执行文件， 如sampleputlogs.c。 plaintext gcc sampleputlogs.c o sampleputlogs I./ L./lib/ lltssdk lssl llz4 lcurl lprotobufc lcrypto ljsonc 或者 根据主目录中的Makefile 文件。执行以下命令,也能实现上面的构建出可执行文件。 plaintext make sampleputlogs 6、执行你的可执行文件。 plaintext ./sampleputlogs 3. SDK使用设置

项目 约束 计费模式 当前只支持“按需计费”模式。 联邦名称 实例名称不可重复；实例名称长度4~40个字符，大小写字母开头，只能包含大小写字母、数字及分隔符()，大小写字母或数字结尾。 容器舰队 容器舰队可提供多集群的统一管理，包括统一的权限管理、统一的安全策略、统一的配置管理以及统一的多联邦管理、网格等能力。 舰队成员集群与联邦之间若存在跨资源池互通需求，后台默认尝试公网互联方式；若需调整，请在订购后至联邦控制台进行设置。 企业项目 可选择已有企业项目，或者在IAM创建新的企业项目。 虚拟私有云 建议联邦实例与成员集群间网络尽可能同资源池同 VPC，可最大化降低管理流量跨网跨资源池互通的成本。 所在子网 请选择虚拟私有云子网，集群的节点将部署在此子网中，并申请子网的 IP。当子网开启IPv6时，云资源（云主机、物理机）将开启 IPv4/IPv6 双栈。 ApiServer访问 请您根据需求选择合适的ELB规格，系统将据此创建一个私网ELB实例作为 APIServer 的负载均衡器，若删除该ELB实例会导致 APIServer 无法访问。 安全组 可自动生成或者选择已有安全组，需要确保联邦访问端口在虚拟私有云的子网里为放通状态。 是否使用EIP暴露ApiServer 获得您的授权，以委托方式新建 EIP 并按 EIP 实际使用量收费，未开启，无法通过公网访问 APIServer。 删除保护 防止通过控制台或API误删除联邦控制面，删除联邦控制面实例不会对用户容器集群造成任何影响，理论上也不影响已调度完成的应用。

事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

本文主要介绍了开启重点操作短信验证的操作流程。 操作说明 开启重点操作短信验证保护后，您在进行对云主机进行关机、重启、重装等重点操作的场景时，需输入验证码，以防止错误操作造成的损失和风险。 需要注意的是：短信验证功能一旦开启，所有重点操作统一开启，短信验证的有效期为 15 分钟，15 分钟内做其他操作不需要重复验证。 操作流程 1.登录天翼云账号，点击右上角头像下方的【个人中心】进入基本信息，下拉点击“安全设置”再点击“登录保护”如下图所示。 2.点击【立即修改】跳转至概览/设置敏感操作保护，选择“开启”，如下图所示。 3.选择操作用户验证，如下图所示。 4.点击“保存”，即可开启重点操作保护。

本节主要介绍使用Rediscli迁移自建Redis(RDB文件) Rediscli是Redis自带的一个命令行工具，安装Redis后即可直接使用Rediscli工具。Rediscli提供了RDB文件导出功能，如果Redis服务不支持获取AOF文件，可以尝试通过Rediscli获取RDB文件。然后再通过其他工具（如RedisShake）导入到DCS的缓存实例中。如果是需要通过OBS桶将源端备份数据迁移到DCS缓存实例，请参见使用备份文件离线迁移自建Redis。 约束与限制 建议选择业务量较少的时间段进行迁移。 源端为Redis原生集群的数据时，需要针对集群的每个节点分别导出数据，然后逐一导入数据。 前提条件 如果您还没有目标Redis，请先创建目标Redis，具体操作请参考创建实例。 如果您已有目标Redis，则不需要重复创建，为了对比迁移前后数据及预留足够的内存空间，建议在数据迁移之前清空目标实例数据，清空操作请参考清空实例数据。如果没有清空实例数据，数据迁移后，目标Redis与源Redis实例重复的数据迁移后会被覆盖，源Redis没有、目标Redis有的数据会保留。 已创建弹性云主机ECS。 自建的源Redis实例必须放通SYNC命令，否则无法使用Rediscli导出RDB文件。 导出RDB文件 1. 导出前准备 对于主备或集群实例，数据写入RDB文件有一定的时延，时延策略配置在redis.conf文件中。因此，建议先了解待迁移redis实例的RDB策略配置，然后暂停业务系统并往Redis实例写入满足数量条件的测试key，确保RDB文件为最新生成。 例如，redis.conf中对RDB的默认策略配置如下： plaintext save 900 1 //900秒内有数据变更则写入RDB文件 save 300 10 //300秒内有10条以上数据变更则写入RDB文件 save 60 10000 //60秒内有10000条以上数据变更则写入RDB文件 因此，可以参考以上数据写入RDB策略，在停止业务系统向Redis实例写入数据后，主动写入测试数据若干，触发策略并写入RDB文件，确保业务数据均已同步导RDB文件中。 测试数据可以在导入后删除。 说明 如果有某个数据库没有被业务系统使用，可以将测试数据写入该数据库，待导入DCS后，使用flushdb命令清空该库。 单机实例如果不做持久化配置，则RDB文件需要临时生成，导出耗时较主备实例相比稍多一些。 2. 登录弹性云主机。 3. 安装Rediscli客户端。该操作以客户端安装在Linux系统上为例进行说明。 a. 执行如下命令下载Redis。您也可以安装其他Redis版本。具体操作，请参见[Redis官网](

参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx desktopOid 否 String 云电脑ID，通过指定云电脑ID和云硬盘状态以获取该云电脑可挂载的云硬盘列表 diskType 否 String 云硬盘类型（uhio超高IO;hio高IO;cio普通IO） forSysDisk 否 Boolean 是否查询属性为系统盘的云硬盘。true则返回属性为系统盘的云硬盘，false则返回属性为数据盘的云硬盘，缺省则返回属性为系统盘和数据盘的云硬盘 status 否 String 云硬盘状态（CREATING创建中;AVAILABLE可用;INUSE使用中;MOUNTING挂载中;UNMOUNTING卸载中;EXTENDING扩容中;CREATESNAPSHOTING创建快照中;REVERTING回滚中;DELETING删除中） pageNum 否 Integer 页码，至少1，默认1 pageSize 否 Integer 每页数量，最大100，默认10

本节介绍智算安全专区常见问题。 Q1. 大模型安全卫士是什么？ 大模型安全卫士是一款专为大模型安全设计的一站式防护产品，提供从开发、训练、部署到运营的全生命周期安全闭环，保护用户的智算基础设施。 Q2. 开通大模型安全卫士需要哪些要求？ 大模型安全卫士需要部署在和安装大模型的云主机所在的同一个虚拟私有云（VPC）内。 Q3. 大模型安全卫士能解决智算场景下哪些安全问题？ 有效拦截大模型推理过程中的潜在违规内容，对输入和输出的语义进行深度分析和检测，防止模型被利用进行恶意攻击或生成有害内容，强化了模型推理过程中的安全保障。 代理RAG业务系统请求，解析文件进行内容检测。保障语料库及生成内容的安全性、合规性，防止恶意攻击（如数据投毒、提示注入）、敏感信息泄露及生成有害内容。 支持开启模型推理的情况下检测聊天内容中的隐私信息并脱敏。

HTTP status 错误码 错误信息 描述 400 CanNotConnectToServer Can not connect to the server IP [: port ]. 无法连接服务器。 400 ExceedMaxValue Value value at 'number' failed to satisfy constraint: Argument must be less than or equal to value . 超过最大值。 400 ExceedThreshold The number of operation cannot exceed value. 超出了系统允许的最大个数，无法执行该操作。 400 InsufficientServerSpace This method is not allowed because the free space of directory must be greater than or equal to value for server serverId[, serverId...] . 存储空间不足。 400 InvalidDirectory The argument must be a directory specified with an absolute path. 输出路径必须是带有绝对路径的目录。 400 InvalidEnumValue Value value at ' argument ' failed to satisfy constraint: Argument must satisfy enum value set: [ value1, value2 ... ] 枚举参数不合法。 400 InvalidPositiveInteger Value value at ' number ' failed to satisfy constraint: Argument must be positive integer. 取值必须为正整数。 400 InvalidTime The end time must be later than the start time. 结束时间必须晚于开始时间。 400 InvalidTimeFormat Value value at ' argument ' failed to satisfy constraint: Argument must conform to Format format. 时间格式不合法。 400 StandaloneModeNotAllowed ' operation ' is not supported by standalone mode of HBlock. 单机版本HBlock不支持该操作。 400 TooLargeFile The file is too large. It is recommended to narrow the query range. 日志文件过大，建议缩小查询范围。 403 PermissionDenied Failed to action because user has no permission. 权限不足，无法执行该操作。 404 NoSuchLog The log with ID ID does not exist. 日志文件不存在。 409 InvalidLogStatus The status of log collection task with ID ID is ' status ', the request is invalid. 日志状态冲突，无法执行该操作。

Agent API 专为无缝对接智能体平台的智能体(Agent)应用而设计。通过 Agent API,您可以安全、高效地将各类智能体能力集成至现有业务系统,快速实现智能对话、流程自动化等创新场景,助力企业构建智能化应用生态。 创建Agent API 1. 登录云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" ，进入实例概览。 3. 在左侧导航栏，选择"Agent API"。 4. 单击左上角按钮 "创建Agent API"， 配置以下基本信息，并单击确定。 配置项 描述 API名称 自定义Agent API名称 域名 选择您计划创建Agent API的域名 BasePath 自定义API的基本路径，BasePath会转发给后端服务 协议 目前支持阿里云百炼和自定义协议 阿里云百炼应用：阿里云百炼推出的大模型应用，智能体、工作流与智能体编排，可扩展了大模型的应用范围 自定义：适用于您自定义的其他Agent服务 描述 Agent API的描述信息 编辑Agent API 1. 登录云原生API网关控制台，在顶部菜单栏选择资源池。 2. 在左侧导航栏，选择 "AI网关实例" ，进入目标实例概览。 3. 在左侧导航栏，选择"Agent API"。 4. 单击目标Agent API操作列的"编辑"，在编辑Agent API面板中修改域名、BasePath和描述，然后单击确定。

本章节主要介绍翼MR Manager的集群服务配置的查看操作。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“集群服务”，进入集群服务列表页面。 5. 选择指定集群服务，单击集群服务名称进入集群服务详情页面。 6. 单击“配置管理”tab，即可查看该集群服务的所有配置。如图所示： 7. 对于隐私配置项，默认将加密展示，点击文本框右侧查看按钮，输入配置主密码即可查看。如果当前集群开通后未设置过主密码，请参考用户手册的配置管理主密码设置，设置主密码后，进行查看。 说明运维变量配置 在服务的default分组下，以vars.yaml后缀结尾的配置文件，为运维变量配置文件。运维变量配置文件不是服务本身的配置文件，而是存放Manager运维操作变量的文件，每个运维变量的含义如下表。 组件 运维变量名 是否建议修改 含义说明 HDFS activenamenode 否 部署时使用，在这台机器上执行format操作。 HDFS kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 HDFS ldapGuestPassword 否 部署和扩容时使用，连接ldap的guest用户密码，此权限只能查看用户，不能创建用户。 HDFS ldapuri 否 部署和扩容时使用，配置ldap的连接地址。 HDFS dfsclusterId 否 部署时使用，ns的默认值。 HDFS pipelinejobretrytimes 是 流水线重试次数。 HDFS jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 YARN 无 共享HDFS运维变量。 ZooKeeper kerberosRealm 否 部署时使用，配置kerberos的realm的信息。 ZooKeeper kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 ZooKeeper zksuperuser 否 部署和扩容时使用，配置zk的超级用户。 ZooKeeper zksuperuserpasswd 否 部署和扩容时使用，配置超级用户的密码。 ZooKeeper componentuser 否 暂未使用。 ZooKeeper dataLogDir 否 部署时使用，需要通过ansbile创建目录。 ZooKeeper dataDir 否 部署时使用，需要通过ansbile创建目录。 Kerberos kerberosRealm 否 部署时使用，配置kerberos的realm的信息。 Kerberos kdcmaster 否 部署时使用，指定master节点，执行master节点的操作。 Kerberos kdcslave 否 部署时使用，指定slave节点，执行slave节点的操作。 Kerberos kerberosdatabasepasswd 否 部署时使用，配置kerberos的数据库密码。 Kerberos kerberosadminuser 否 部署时使用，配置kerberos的admin用户。 Kerberos kerberosadminpasswd 否 部署时使用，配置kerberos的admin用户密码。 OpenLDAP ldapmasterhostname 否 部署时使用，指定master节点，执行master节点的操作。 OpenLDAP ldapslavehostname 否 部署时使用，指定slave节点，执行slave节点的操作。 OpenLDAP olcRootDN 否 部署时使用，服务配置。 OpenLDAP olcSuffix 否 部署时使用，服务配置。 OpenLDAP ldapAdminPwd 否 部署时使用，admin用户的密码。 OpenLDAP ldapGuestPwd 否 部署时使用，guest用户的密码。 OpenLDAP ldapuri 否 部署时使用，ldap的连接信息。 OpenLDAP ldapBaseUgDN 否 部署时使用，服务配置。 OpenLDAP pipelinejobretrytimes 是 流水线重试次数。 OpenLDAP jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 HBase kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 HBase pipelinejobretrytimes 是 流水线重试次数。 HBase jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Spark kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Spark ldapmaster 否 部署时使用，ldap的master节点。 Spark eventlogdir 否 部署时使用，通过ansible创建目录。 Spark sparkhome 否 部署时使用，通过ansible创建目录。 Hive kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Hive ldapmaster 否 部署时使用，ldap的master节点。 Hive databasepass 否 部署时使用，hive使用的数据库密码，需要用户填写。 Kafka kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 Kafka kerberosrealm 否 kerberos的realm的信息。 Kafka logdirs 否 （目前不再使用，通过从配置文件中渲染来创建目录）部署和扩容时使用，通过ansible创建目录。 Kafka pipelinejobretrytimes 是 流水线重试次数。 Kafka jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Kyuubi kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Kyuubi ldapmaster 否 部署时使用，ldap的master节点。 Kyuubi kyuubilogdir 否 目录。部署时使用，通过ansible创建。 Kyuubi kyuubieventlogdir 否 目录。部署时使用，通过ansible创建。 Kyuubi kyuubiworkdir 否 目录。部署时使用，通过ansible创建。 Kyuubi adminuser 否 目录的属主。 Kyuubi usergroup 否 目录的属组。 Kyuubi pipelinejobretrytimes 是 流水线重试次数。 Kyuubi jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Flink kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Flink ldapmaster 否 部署时使用，ldap的master节点。 Flink logDir 否 目录。部署时使用，通过ansible创建。 Flink HistoryServerDir 否 目录。部署时使用，通过ansible创建。 Flink pipelinejobretrytimes 是 流水线重试次数。 Flink jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Elasticsearch CERTNODE 否 部署时使用，指定证书节点，在节点上执行生成证书的操作。 Elasticsearch ESDATADIRS 否 目录。部署时使用，通过ansible创建。 Elasticsearch ESDEFAULTPASSWORD 否 部署时使用。默认的密码，随机密码。 Doris FEDEFAULTLEADERHOSTNAME 否 部署和扩容时使用，指定leader节点，在上面执行leader的相关操作。 Doris FEDEFAULTPASSWORD 是 部署时随机生成的Doris组件root密码。节点扩容需要使用该密码，如用户已修改，需要设置正确的值，否则会影响扩容操作。 Doris FEHTTPPORT 否 服务端口，不推荐修改。 Doris FEQUERYPORT 否 服务端口，不推荐修改。 Doris FEEDITLOGPORT 否 服务端口，不推荐修改。 Doris BESTORAGEROOTPATH 否 服务端口，不推荐修改。 Doris BEHEARTBEATSERVICEPORT 否 服务端口，不推荐修改。 Doris BROKERIPCPORT 否 服务端口，不推荐修改。 Trino datadir 否 目录。部署和扩容时使用，通过ansible创建。 Trino kerberosrealm 否 kerberos的realm的信息。 Trino kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Trino ldapmaster 否 部署时使用，ldap的master节点。 Trino coordinator 否 部署和扩容时使用，指定主节点，在上面执行主节点的相关操作。 Trino uiuser 否 ui的用户。 Trino uipassword 否 ui的密码，部署时随机生成。 Trino serveruser 否 server的用户。 Trino serverpassword 否 server的密码，部署时随机生成。 Trino pipelinejobretrytimes 是 流水线重试次数。 Trino jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Ranger dbhost 否 外置数据库信息，需要用户填写。 Ranger dbname 否 外置数据库信息，需要用户填写。 Ranger dbuser 否 外置数据库信息，需要用户填写。 Ranger dbpassword 否 外置数据库信息，需要用户填写。 Ranger dbrootuser 否 部署时使用，ranger使用的外置数据库信息。 Ranger dbrootpassword 否 部署时使用，ranger使用的外置数据库信息。 Ranger rangerpassword 否 ranger admin用户密码。 Ranger SYNCLDAPBINDPASSWORD 否 部署时使用，ranger访问ldap的密码。 Ranger SYNCSOURCE 否 用户同步方式，ldap。 Ranger kerberosrealm 否 kerberos的realm的信息。 Ranger kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Ranger SYNCLDAPURL 否 ldap相关信息。 Ranger POLICYMGRURL 否 ranger admin url信息。 Ranger separatedbamode 否 是否单独执行DBA，默认true，表示需要提前创建ranger使用的数据库和用户，并授权，不推荐修改。 Ranger pipelinejobretrytimes 是 流水线重试次数。 Ranger jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Knox kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Logstash pipelinejobretrytimes 是 流水线重试次数。 Logstash jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 JeekeFS kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 KafkaUI kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 KafkaUI ldapGuestPassword 否 部署时使用，Openldap的guest用户密码。 Pushgateway PUSHGATEWAYPASSWORD 否 部署时使用，Pushgateway服务的密码。 Pushgateway PUSHGATEWYUSERNAME 否 部署时使用，Pushgateway服务的用户名。 TezUI pipelinejobretrytimes 是 流水线job最大重试次数。 TezUI jobretrybasedonpipelinetypes 否 基于的流水线类型。

本节简单介绍WAF和CC攻击。 什么是Web应用防火墙？ Web应用防火墙（Web Application Firewall，简称WAF），针对Web攻击进行防护，例如 ：XSS（跨站脚本攻击）、SQL注入、Webshell上传等，除此之外，还提供了CC攻击的防护，CC攻击是攻击者借助代理服务器生成指向受害主机的合法请求，是拒绝服务攻击的一种类型。 如何判断是否遭受CC攻击？ 当客户发现网站处理速度下降，网络带宽占用过高时，很有可能已经遭受CC攻击，此时可查看Web服务器的访问日志或网络连接数量，如果访问日志或网络连接数量显著增加，则可确定遭受CC攻击，可以按照以下策略进行配置，利用WAF阻断CC攻击，保障网站业务的正常运行。 说明 WAF防护应用层流量的拒绝服务攻击，适合防御HTTP Get攻击等。 WAF服务并不提供针对四层及以下流量的防护，例如：ACK Flood、UDP Flood等攻击，这类攻击建议使用DDoS及IP高防服务进行防护。

本文主要介绍登录节点。 约束与限制 SSH方式登录时要求该节点（弹性云主机 ECS）已绑定弹性公网IP。 只有运行中的弹性云主机才允许用户登录。 Linux操作系统用户名为root。 登录方式概述 登录节点（弹性云主机ECS）的方式有如下两种： 管理控制台远程登录（VNC方式） 未绑定弹性公网IP的弹性云主机可通过管理控制台提供的远程登录方式直接登录。 详细操作请参考：Linux云主机远程登录（VNC方式）。 SSH方式登录 仅适用于Linux弹性云主机。您可以使用远程登录工具（例如PuTTY、Xshell、SecureCRT等）登录弹性云主机。如果普通远程连接软件无法使用，您可以使用云主机ECS管理控制台的管理终端连接实例，查看云主机操作界面当时的状态。 说明 SSH方式登录包括SSH密钥和SSH密码两种方式。 本地使用Windows操作系统登录Linux节点时，输入的镜像用户名（Autologin username）为：root。 CCE控制台不提供针对节点的操作系统升级，也不建议您通过yum方式进行升级，如果您在节点上通过yum update升级了操作系统，会导致容器网络的组件不可用。

本节介绍了使用专属云（存储独享型）过程中的故障处理和影响。 第一种情况 服务器或者磁盘出现故障后，被踢出存储池，对外呈现的“总可用容量”会变小，故障处理后，“总可用容量”恢复原状。 第二种情况 服务器或者磁盘出现故障后，未被踢出存储池，则存储池降级，不影响存储池使用，故障处理后，存储池恢复正常。 说明 存储池降级指的是，存储池中部分数据由三副本变为两副本，并且在没有人工处理故障的情况下无法自动恢复成三副本。 第三种情况 服务器或者磁盘出现故障后，可能会中断业务。比如存储池已使用98%，此时服务器或者磁盘出现故障，被踢出存储池，由于“总可用容量”变小，导致“已使用容量”/“总可用容量”达到将近100%，存储池写保护，用户业务中断，中断时间为用户写满数据后，到故障处理结束。

本节介绍了云数据库TaurusDB产品咨询相关问题。 使用TaurusDB要注意些什么 1. 实例的操作系统，对用户都不可见，这意味着，只允许用户使用应用程序访问数据库对应的IP地址和端口。 2. 对象存储服务（Object Storage Service，简称OBS）上的备份文件以及TaurusDB服务使用的弹性云主机（Elastic Cloud Server，简称ECS），都对用户不可见，它们只对TaurusDB服务的后台管理系统可见。 3. 查看实例列表时请确保与实例选择的区域一致。 4. 申请TaurusDB后，您还需要做什么。 申请TaurusDB实例后，您不需要进行数据库的基础运维（比如高可用、安全补丁等），但是您还需要重点关注以下事情： a. TaurusDB实例的CPU、内存等资源是否足够，如果资源不足需及时变更规格。 b. TaurusDB实例的数据存储空间是否足够，如资源不足需及时扩容。（超出时会自动扩容，但超出部分是按需收费，价格比自行扩容贵）。 c. TaurusDB实例是否存在性能问题，是否有大量的慢SQL，SQL语句是否需要优化，是否有多余的索引或者缺失的索引等。 为何使用了TaurusDB后网站登录较慢 推荐您做如下两个处理： 通过TaurusDB服务的管理控制台查看TaurusDB实例的性能情况。 与应用程序有很大关系，使用命令查看当前数据库连接状态，比较本地数据库和TaurusDB的差异。 TaurusDB如何自动进行故障切换 创建TaurusDB实例时，除主节点外，默认创建了一个只读节点。当主节点故障时，系统会自动切换到只读节点，只读节点提升为主节点，原来故障的主节点也会自动恢复为只读节点。

此小节介绍云堡垒机的账户组。 多个资源账户加入一个“帐户组”形成帐户群组，通过对帐户组授权可对资源账户进行批量授权、批量帐户验证。 仅系统管理员admin或拥有“帐户组”管理权限用户，可管理帐户组，包括新建帐户组、维护帐户组资源，管理帐户组信息、删除帐户组等。 帐户组与部门挂钩，不属于个人。当前登录用户新建的帐户组默认放在登录用户部门下，不支持修改部门。上级部门拥有“帐户组”管理权限用户可查看下级部门的所有帐户组信息，反之不能，同级之间的帐户组可相互查看。 上级部门管理员为下级部门帐户组添加资源账户时，可将上级部门的资源账户添加到下级部门的帐户组，但是下级部门拥有“帐户组”管理权限用户操作帐户组时，只能查看资源账户列表，不能查看上级部门资源账户的详情信息。 下级部门拥有“帐户组”管理权限用户将当前帐户组中的上级部门资源账户移除后，将不能添加移除的上级部门资源账户。 一个资源账户可加入多个帐户组。 新建帐户组 本章节指导您如何创建帐户组。 前提条件 已获取“资源账户”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“资源 > 帐户组”，进入帐户组列表页面。 3 单击“新建”，弹出新建帐户组窗口，配置帐户组基本信息。 新建帐户组 参数 说明 :: 帐户组 自定义组名称，系统唯一。 帐户组描述 （可选）自定义对帐户组的简要描述。 4 单击“确定”，返回帐户组列表页面，查看新建的帐户组，并可将资源账户加入帐户组。

本文介绍如何使用公共镜像或私有镜像创建云主机。 操作场景 您可以通过使用公共镜像或私有镜像来完成云主机创建，无论您选择使用哪种镜像类型，都能为您提供快速、可靠和灵活的云主机部署。 公共镜像为您提供了广泛的操作系统和预配置环境选项，使您能够迅速启动云主机并开始应用部署。 私有镜像则允许您根据自身需求定制和管理云主机的镜像，确保您的应用环境与业务需求完美契合。 使用须知 使用公共镜像和私有镜像创建云主机的区别是： 公共镜像：创建的云主机包含所需操作系统和预装的公共应用，需要您自行安装应用软件。 私有镜像：创建的云主机包含操作系统、预装的公共应用以及用户的私有应用。 操作步骤 1. 登录控制中心。 2. 单击“左侧导航栏>服务列表”，选择"计算>镜像服务"。 3. 单击"公共镜像"或"私有镜像"，进入相应的镜像列表。 4. 在公共镜像所在行右侧的"操作"列下，单击"申请云主机"，或在私有镜像操作下点击"申请云主机"。 5. 填写云主机配置信息，包括云主机名称、网络、数量等。 6. 单击"立即购买"。 7. 单击"提交申请"。 8. 返回云主机列表页，点击云主机列表右上角的刷新按钮，查看云主机的创建情况。

本文介绍天翼云云搜索服务OpenSearch实例系统默认插件支持情况。 系统默认插件为天翼云云搜索服务预置的插件，不支持卸载。 默认预设的插件列表功能版本如下: OpenSearch 2.19.1 插件名 描述 版本 analysishanlp 优化过的HanLP中文分词插件 2.19.1.0 flowcontrol 自研流量控制插件，可进行流控管控、限流等 2.19.1.0 opensearchanalisyspinyin 拼音分词插件 2.19.1.0 opensearchanalisysstconvert STConvert插件，支持中文简体和中文繁体相互转换 2.19.1.0 opensearchanalysisik ik中文分词插件，支持自定义词典 2.19.1.0 opensearchasynchronoussearch 异步搜索插件 2.19.1.0 opensearchcrossclusterreplication 跨集群复制插件 2.19.1.0 opensearchgeospatial geospatial插件 2.19.1.0 opensearchindexmanagement 索引管理插件 2.19.1.0 opensearchjobscheduler 任务调度插件 2.19.1.0 opensearchknn 向量检索引擎插件，可支撑图像搜索、语音识别和商品推荐等向量检索场景的需求 2.19.1.0 opensearchnotifications 消息通知插件 2.19.1.0 opensearchnotificationscore 消息通知core插件 2.19.1.0 opensearchsecurity 安全插件 2.19.1.0 opensearchsql sql查询插件 2.19.1.0 prometheusexporter Opensearch的prometheus exporter插件 2.19.1.0 repositoryhdfs Hadoop分布式文件系统HDFS（Hadoop Distributed File System）存储库插件，提供了对HDFS存储库的支持 2.19.1.0 repositorys3 支持将数据存入天翼云对象存储ZOS的插件 2.19.1.0 ingestattachement 支持多格式文件的全文检索插件 2.19.1.0 opensearchreportsscheduler 报告生成插件 2.19.1.0 opensearchalerting 告警管理插件 2.19.1.0 opensearchanomalydetection 基于机器学习的时序数据异常模式识别插件 2.19.1.0 opensearchcustomcodecs 自定义编码器插件，支持zstd压缩算法 2.19.1.0 opensearchflowframework 可视化数据管道编排插件 2.19.1.0 opensearchltr 基于机器学习的搜索相关度排序插件 2.19.1.0 opensearchml 机器学习插件 2.19.1.0 opensearchneuralsearch 基于神经网络的语义检索插件 2.19.1.0 opensearchobservability 全栈监控工具插件 2.19.1.0 opensearchperformanceanalyzer 性能分析插件 2.19.1.0 opensearchskills 提供机器学习agent框架工具 2.19.1.0 opensearchsystemtemplates 系统模板仓库插件 2.19.1.0 analysisicu 提供 ICU（International Components for Unicode） 支持的分词和字符归一化功能，尤其适合多语言处理 2.19.1.0 analysiskuromoji 日语分词器插件 2.19.1.0 analysisnori 韩语分词器插件 2.19.1.0 OpenSearch 3.5.0 插件名 描述 版本 analysisicu 提供ICU（International Components for Unicode）支持的分词和字符归一化功能，尤其适合多语言处理 3.5.0 analysisik ik中文分词插件，支持自定义词典 3.5.0 analysispinyin 拼音分词插件 3.5.0 opensearchalerting 告警管理插件 3.5.0.0 opensearchanomalydetection 基于机器学习的时序数据异常模式识别插件 3.5.0.0 opensearchasynchronoussearch 异步搜索插件 3.5.0.0 opensearchcrossclusterreplication 跨集群复制插件 3.5.0.0 opensearchcustomcodecs 自定义编码器插件，支持zstd压缩算法 3.5.0.0 opensearchflowframework 可视化数据管道编排插件 3.5.0.0 opensearchgeospatial geospatial插件 3.5.0.0 opensearchindexmanagement 索引管理插件 3.5.0.0 opensearchjobscheduler 任务调度插件 3.5.0.0 opensearchknn 向量检索引擎插件，可支撑图像搜索、语音识别和商品推荐等向量检索场景的需求 3.5.0.0 opensearchltr 基于机器学习的搜索相关度排序插件 3.5.0.0 opensearchml 机器学习插件 3.5.0.0 opensearchneuralsearch 基于神经网络的语义检索插件 3.5.0.0 opensearchnotifications 消息通知插件 3.5.0.0 opensearchnotificationscore 消息通知core插件 3.5.0.0 opensearchobservability 全栈监控工具插件 3.5.0.0 opensearchperformanceanalyzer 性能分析插件 3.5.0.0 opensearchreportsscheduler 报告生成插件 3.5.0.0 opensearchsearchrelevance 评估、比对和微调搜索结果的准确度插件 3.5.0.0 opensearchsecurity 安全插件 3.5.0.0 opensearchsecurityanalytics 安全分析/SIEM插件 3.5.0.0 opensearchskills 提供机器学习agent框架工具插件 3.5.0.0 opensearchsql sql查询插件 3.5.0.0 opensearchsystemtemplates 系统模板仓库插件 3.5.0.0 opensearchubi 收集和存储用户在客户端的真实搜索行为插件 3.5.0.0 prometheusexporter Opensearch的prometheus exporter插件 3.5.0.0 queryinsights 查询洞察插件 3.5.0.0 repositorys3 支持将数据存入天翼云对象存储ZOS的插件 3.5.0

管理规则集 为简化添加大量数据库规则的繁琐操作，可通过创建规则集并添加规则。 云堡垒机预置29种常见数据库操作命令，包括ALTER、TRUNCATE、EXECUTE、INSERT、DELETE、UPDATE、SELECT、GRANT、REVOKE、HANDLER、DEALLOCATE、SET、COMMIT、ROLLBACK、PREPARE、CREATEINDEX、DROPINDEX、CREATEFUNCTION、DROPFUNCTION、CREATEVIEW、DROPVIEW、CREATEDATABASE、DROPDATABASE、CREATEPROCEDURE、DROPPROCEDURE、DROPPROCEDURE、CREATETABLE、DROPTABLE、CALL、ACCESS。 本小节主要介绍如何新建关联规则集、查看规则集、修改规则集、删除复制集。 前提条件 已获取“数据库控制策略”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“策略 > 数据库控制策略 > 规则集”，进入规则集列表页面。 规则集列表 3 创建规则集。 单击“新建”，弹出规则集基本信息配置窗口。 配置规则集名称和选择协议。 系统内“规则集名称”不能重复。 目前仅支持选择MySQL和Oracle两种数据库协议类型，且选定后不可修改。 单击“确定”，返回规则集列表页面，查看新建的规则集。 新建规则集 4 添加规则。 在目标规则集行，单击“操作”列的“添加规则”，弹出添加规则窗口。 添加规则集的库、表和命令规则。 添加规则参数说明 参数 说明 库 可选项，支持正则表达式匹配库名。 缺省状态下表示将会拦截所有使用该命令的sql语句。 表 可选项，支持正则表达式匹配表名。 缺省状态下表示将会拦截所有使用该命令的sql语句。 命令 必选项，必须选择一条预置命令。 目前支持选择29种命令，同时可选择多条命令。 单击“确定”，规则添加完成。 添加规则

本节介绍了云硬盘备份与快照的区别。 云硬盘备份以及快照为存储在云硬盘中的数据提供冗余备份，确保高可靠性，两者的主要区别如下表所示。 表 备份和快照的区别 指标 存储方案 数据同步 容灾范围 业务恢复 ::::: 备份 与云硬盘数据分开存储，存储在对象存储（OBS）中，可以实现在云硬盘存储损坏情况下的数据恢复 保存云硬盘指定时刻的数据，可以设置自动备份。如果将创建备份的云硬盘删除，那么对应的备份不会被同时删除 与云硬盘位于同一个AZ内 通过恢复备份至云硬盘，或者通过备份创建新的云硬盘，找回数据，恢复业务。数据持久性高。 快照 与云硬盘数据存储在一起 备份由于数据搬迁会耗费一定的时间，创建快照和回滚快照数据的速度比备份快。 保存云硬盘指定时刻的数据。如果将创建快照的云硬盘删除，那么对应的快照也会被同时删除。重装操作系统或切换操作系统后，系统盘快照会自动删除；数据盘快照不受影响，可以照常使用 与云硬盘位于同一个AZ内 通过回滚快照至云硬盘，或者通过快照创建新的云硬盘，找回数据，恢复业务。

本章节向您介绍在企业路由器的路由表中创建路由。 操作步骤 步骤1：登录管理控制台，进入企业路由器主页面。 步骤2：通过名称过滤，快速找到待创建路由的企业路由器。 步骤3：您可以通过以下两种操作入口，进入企业路由器的“路由表”页签。 在企业路由器右上角区域，单击“管理路由表”。 单击企业路由器名称，并选择“路由表”页签。 步骤4：在路由表列表中选择目标路由表，并在“路由”页签下，单击左侧区域的“创建路由”。弹出“创建路由”对话框。 步骤5：根据界面提示，配置路由的基本信息，如下表所示。 参数名称 参数说明 取值样例 目的地址 必选参数。 目的地址一般为网络实例的地址，以“虚拟私有云（VPC）”连接为例，可以是虚拟私有云网段、子网网段。 如果此处选择的“虚拟私有云（VPC）”连接已开启IPv6，则目的地址支持填写IPv6地址。 192.168.2.0/24 黑洞路由 可选参数。 开启黑洞路由，则无需配置路由的“连接类型”和“下一跳”。如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。 连接类型 如果不开启黑洞路由，则该项是必选参数。 如果开启黑洞路由，则该项无需填写。 “虚拟私有云（VPC）”：表示接入的网络实例是虚拟私有云。 虚拟私有云 （VPC） 下一跳 如果不开启黑洞路由，则该项是必选参数。 如果开启黑洞路由，则该项无需填写。 在下拉列表中，选择目标连接。 erattach01 描述 可选参数。 您可以根据需要在文本框中输入对该静态路由的描述信息。 步骤6：基本信息设置完成后，单击“确定”。返回路由列表页面，等待2~3 s，单击刷新路由列表，可以看到创建的静态路由。 如果系统提示“您选择的连接未开启IPv6”，则请先开启连接的IPv6功能，再重新添加IPv6路由。

本文为您介绍云主机热变配的规则、限制及注意事项等。 热变配，即开机变配，是指云主机在运行中状态下进行变更规格的操作。热变配规则如下： 仅支持热升配，不支持热降配。 仅支持vCPU在32C及以上的规格进行热升配。 仅支持7代机/6代机/3代机进行同代热升配，即变更为同代系更大规格。例如，支持s3.8xlarge.2热变配为s3.8xlarge.4，不支持s3.8xlarge.2热变配为s6.8xlarge.4。 仅支持S类型之间、C/M类型之间进行同类型热升配，不支持跨类型热升配。例如，支持c3.8xlarge.2热变配为c3.8xlarge.4，支持c3.8xlarge.2热变配为m3.8xlarge.8，不支持s6.8xlarge.2热变配为c6.8xlarge.4。 支持热变配的镜像列表： 系统 版本 CentOS CentOS 7.2 64位 CentOS CentOS 7.3 64位 CentOS CentOS 7.4 64位 CentOS CentOS 7.5 64位 CentOS CentOS 7.6 64位 CentOS CentOS 7.7 64位 CentOS CentOS 7.8 64位 CentOS CentOS 8.0 64位 CentOS CentOS 8.1 64位 CentOS CentOS 8.2 64位 CTyunOS CTyunOS 2.0.121.06.4 64位 CTyunOS CTyunOS 2.0.121.06.4 64位 ARM版 CTyunOS CTyunOS 323.01 64位 存量云主机，即在热变配功能上线前已开通的云主机，不支持热变配。 已加入云主机组的云主机不支持热变配。 注意 热变配过程约在15~60秒，并且可能对业务有一定影响，例如可能造成读业务性能下降约10%，持续时间不超过5秒。规格跨度越大变配耗时越久、业务影响越大，请您根据自身业务情况谨慎操作。 请勿连续进行热变配操作，建议两次热变配操作至少间隔五分钟。 部分资源池由于版本问题可能不支持热变配，如遇相关问题可联系天翼云客服。

接口功能介绍 单个/批量服务器配额绑定。 接口约束 确认已经购买系统配额。 URI POST /v1/quota/update 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 isMulti 是 Boolean 是否是批量切换 true批量切换 false单台切换 true quotaId 否 String 防护配额ID isMultifalse,且quotaVersion2,3必填 6c8caaa32418441c8c164e3f43d76791 quotaVersion 是 Integer 配额版本 1基础版 2企业版 3旗舰版 1 agentGuidList 是 Array of Strings agentGuid列表 ["testagentguid"] 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200

接口功能介绍 单个/批量服务器配额绑定。 接口约束 确认已经购买系统配额。 URI POST /v1/quota/update 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 isMulti 是 Boolean 是否是批量切换 true批量切换 false单台切换 true quotaId 否 String 防护配额ID isMultifalse,且quotaVersion2,3必填 6c8caaa32418441c8c164e3f43d76791 quotaVersion 是 Integer 配额版本 1基础版 2企业版 3旗舰版 1 agentGuidList 是 Array of Strings agentGuid列表 ["testagentguid"] 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200

参数名称 说明 取值样例 添加方式 您可以选择Agent的添加方式。 选择已有Agent 当某个应用端连接了多个数据库时，如果该应用端的一个数据库已经在应用端添加了Agent。其他数据库在添加Agent时，只需要选择“选择已有Agent”添加方式。 创建Agent 如果待添加Agent的数据库需要创建Agent，请创建新的Agent。 创建Agent 安装节点类型 当“添加方式”选择“创建Agent”时，需配置该参数。 审计RDS关系型数据库，需要选择“应用端”。 应用端 安装节点IP “安装节点类型”选择“应用端”时，需配置该参数。安装节点IP只能填写一个，每个Agent安装节点IP不同。 IP地址为应用端内网IP地址。 IP必须为内网IP地址，支持IPv4和IPv6格式。 须知 当审计RDS关系型数据库且应用端在云下时，代理端将作为应用端，此时，“安装节点IP”需要配置为代理端的IP地址。 192.168.1.1 审计网卡名称 可选参数。“安装节点类型”选择“应用端”时，可以配置该参数。 指待审计的应用端节点的网卡名称。 CPU阈值(%) 可选参数。“安装节点类型”选择“应用端”时，可以配置该参数。 指待审计的应用端节点的CPU阈值，缺省值为“80”。 须知 当服务器的CPU超过设置的阈值，为了保证您业务的正常运行，Agent将自动关闭，停止运行。 80 内存阈值(%) 可选参数。“安装节点类型”选择“应用端”时，可以配置该参数。 指待审计的应用端节点的内存阈值，缺省值为“80”。 须知 当服务器上的内存超过设置的阈值，为了保证您业务的正常运行，Agent将自动关闭，停止运行。 80 操作系统 可选参数。“安装节点类型”选择“应用端”时，可以配置该参数。 指待审计的应用端节点的操作系统，可以选择“LINUX64”或“WINDOWS64”。 LINUX64

本节介绍了导入密钥对的操作场景、操作步骤。 操作场景 以下两种场景，需要执行导入密钥对的操作： 通过puttygen.exe工具新建密钥对，需要将密钥对导入系统才能正常使用。 如果本地已有密钥对（例如，使用PuTTYgen工具生成的密钥对），可以在管理控制台导入密钥对公钥，由系统维护您的公钥文件。 如果已有密钥对的公钥文件是通过puttygen.exe工具的“Save public key”按钮保存的，该公钥文件不能直接导入管理控制台。 如需继续使用该密钥对作远程身份验证，请参见通过puttygen.exe工具创建的密钥对，导入管理控制台失败怎么办。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在左侧导航树中，选择“密钥对”。 5. 在“密钥对”页面，单击“导入密钥对”。 6. 导入密钥对的方式有如下两种： 选择文件方式：将本地已有的可用密钥，导入到系统中。 在管理控制台“导入密钥对”页面，单击“选择文件”，选择本地保存的公钥文件（例如，通过puttygen.exe工具创建密钥对的步骤3中保存的“.txt”格式文件）。 说明 执行“导入密钥对”操作时，请确认导入的是公钥文件，否则会导入失败。 单击“确定”，导入公钥。公钥导入成功后，您可以修改公钥名称。 复制公钥文件内容方式：将“.txt”格式文本文档中的公钥内容粘贴至对话框，导入到系统中。 复制文本文档中保存的公钥文件内容，并将其粘贴在“公钥内容”的空白区域。 单击“确定”，导入公钥。

本节介绍了导出镜像的流程。 1、登录天翼云控制中心; 2、在云主机控制台，单击【镜像服务】； 3、在私有镜像列表中，在需要导出的镜像所在行，单击操作列的“更多 > 导出”。 4、在“导出镜像”对话框中，填写对应参数。 快速导出：大于128GB的镜像必须勾选“使用快速导出”，勾选后将无法指定导出格式，只能为zvhd2格式。 格式：目前支持qcow2、vmdk、vhd、zvhd格式，请根据需要进行选择。 名称：输入一个方便您识别的名称。 存储路径：单击展开桶列表，选择一个用来存储镜像的OBS桶。 5、单击“确定”。 在私有镜像列表上方可以查看镜像导出任务进程。 6、完成镜像导出。

1、填写基础信息 在天翼云备案页面单击开始备案，按页面提示填写主办单位信息和网站/APP信息，系统会自动校验您是否具备备案条件。 详细操作指导请参见备案操作手册。 2、填写主办者信息 填写ICP备案主办单位的真实信息，操作步骤请参见备案操作手册。 3、填写网站或APP信息 网站请参见网站备案操作手册。 APP请参见APP备案操作手册。 4、上传资料及真实性核验 上传资料及真实性核验，详细操作指导请参见备案操作手册。 5、信息确认 ICP备案申请提交前，请仔细核对主体、网站或APP等所有信息，确认无误后提交订单。 信息确认注意事项 a、主办者信息 姓名：需填写真实的主体负责人姓名，ICP备案审核过程中和ICP备案成功后，天翼云会联系此负责人确认其是否为主体负责人。 手机号码：需填写真实有效的主体负责人联系方式，ICP备案审核过程中和ICP备案成功后，天翼云会通过此联系方式联系并确认其是否为主体负责人。 b、网站/APP信息 网站名称：要求三个及三个以上汉字，且网站名称需与主办单位名称有关联性。 负责人姓名：需填写真实的网站/APP负责人姓名，ICP备案审核过程中和ICP备案成功后，天翼云会联系此负责人确认其是否为网站/APP负责人。 手机号码：需填写真实有效的网站/APP负责人联系方式，ICP备案审核过程中和ICP备案成功后，天翼云会通过此联系方式联系对应负责人，保障备案信息的真实性。 c、上传ICP备案资料 请仔细查看上传的资料是否清晰、正确。全部信息确认完成后，选中同意相关协议，单击提交备案，您的ICP备案订单将进入天翼云初审阶段。

操作场景 带宽伸缩策略可用于对您的弹性公网IP带宽、共享带宽进行灵活的调整。天翼云支持创建以下3种类型的带宽伸缩策略： 告警策略：通过对带宽的性能指标的监控，来确认其是否到达预设的告警条件，来自动增加或减少带宽。 定时策略：根据业务实际情况设置一个时间点，在此时间点自动增加或减少带宽值。 周期策略：根据业务实际情况设置一段时间段，在此时间段内按照周期（按天、按周、按月）来重复执行自动增减带宽值。 创建带宽伸缩策略 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 在左侧菜单选择“带宽伸缩”，进入带宽伸缩管理页。 5. 单击页面右上角“创建带宽伸缩策略”，进入创建带宽伸缩策略页面。 说明 带宽伸缩目前仅在以下资源池开放：芜湖4。 若您在其他资源池有使用需求，请提交工单咨询。 6. 在创建带宽伸缩策略月面，填写伸缩策略基本信息，如伸策略名称、策略类型、监控周期等，具体参数说明见下表： 参数 是否必填 参数说明 策略名称 是 带宽伸缩策略的名称，用户可自定义，也可以选择保持系统默认分配名称。 带宽类型 是 需要管理的带宽类型，支持选择“独享带宽”、“共享带宽”。 弹性公网IP 是 当带宽类型为独享带宽时，需配置。可指定需要管理的IP资源。 带宽资源 是 当带宽类型为共享带宽时，需要配置。可指定需要管理的共享带宽资源。 策略类型 是 支持配置告警策略、定时策略、周期策略。