本节介绍了用户指南:使用LVM动态存储卷。 云容器引擎服务提供cstorcsi插件，支持通过LVM方式，基于容器集群节点上的硬盘，虚拟化成一个小型存储池，当需要特定份额的存储时，从中划分出对应份额的磁盘供业务容器使用。 使用LocalPV、HostPath都可以实现Pod对主机存储空间的访问，但均具有一定局限性，比如无法做到容量隔离、无法限制IOPS/吞吐等、无法直观了解各节点存储空间余量从而进行合理调度。基于此，云容器引擎提供LVM数据卷方案，以解决上述问题。 前提条件 已创建容器集群 该功能使用风险、限制较多，默认控制台不对外开放。如需使用，请通过工单方式联系相关人员添加功能白名单。 安装存储插件cstorcsi，插件配置参数localStorPlugins开启lvm插件。如插件已安装，可以通过“插件实例”——“cstorcsi”——“更新”，配置localStorPlugins: "lvm,localpv"，实现插件配置更新。 使用限制 cstorcsi插件安装版本要求3.4.0及以上； 如果节点池默认配置数据盘，那么新增节点的第一块数据盘（供容器运行时和Kubelet组件使用）不支持导入为存储池。 创建存储池将占用磁盘设备，必要时会进行格式化操作。为避免数据丢失，请务必确认磁盘设备存在，并可用于存储池。 存储池配置或者修改，默认10min生效，如需调整，可以更新cstorcsi插件配置参数configEffectInterval实现。 存储池不支持缩容和删除；如果删除节点上存储池的磁盘，会导致存储池异常。 LVM本地存储卷，不支持数据的跨节点迁移，不适合在高可用场景中使用。 请勿自行对节点上的本地存储资源（例如VG，PV，LV）以及插件运行需要的CRD（包括NodeStorageManager、CStorLocalStorage）进行修改或删除；

本文介绍如何通过混合备份恢复数据。 操作场景 当出现不可控因素导致数据损坏或丢失时，您可以选择指定的备份数据创进行恢复配置。 约束限制 存储库需要和安装了客户端的恢复主机在同一地域（网络可达）。 有可用的备份集才能进行恢复，若备份数据被删除则无法进行恢复。 机器处于运行状态，且客户端状态为“已激活”。 单个客户端同一时刻最多同时执行2个任务（含1个备份任务和1个恢复任务，超出该数量的任务将按时间先后排队执行）。 前提条件 已产生备份数据。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台，单击左侧“混合备份（存储版）”按钮，进入混合备份界面。 4. 单击“备份集”，选择对应的备份任务名称，点击任务名称的展开符号，点击还原按钮，进入恢复任务设置。 5. 展开备份集，选择需要恢复的具体备份版本，再点击“加载版本索引”，选择需要恢复的具体数据，点击“下一步”。 6. 选择目的主机 和 对应的还原路径，并配置恢复策略，点击“下一步”。 7. 自定义恢复任务名称，确认恢复信息无误后，点击“提交”，完成任务创建。

天翼云安全渗透测试服务各阶段时间安排? 客户确认阶段：第1周，预计一周时间供双方协商测试方案。 进行测试阶段：第23周，预计两周时间。 整改复测阶段：提交测试报告后1个月内客户可以提交复测申请，复测在1周内完成。 质保服务阶段：从报告交付日开始，为期12个月。 天翼云安全渗透测试服务网络要求？ 应用系统网络与扫描器网络可达即可提供渗透测试。Internet默认可达，内网地址需部署扫描器在内网即可。 天翼云安全渗透测试服务流程是怎样的? 渗透测试是不是相当于入侵系统？ 渗透测试和黑客入侵最大区别在于渗透测试是经过客户授权，采用可控制、非破坏性的方法和手段发现目标和网络设备中的弱点，帮助管理者知道自己网络所面临的问题。 渗透测试是一种对抗性和定制化要求都非常高的一类安全测试，安全工程师在书面授权后尽可能完整的模拟黑客可能使用的漏洞发现技术与攻击技术（与黑客攻击相比其结果是可预知性的），对目标网络、主机、数据库与应用系统的安全性做深入的探测，发现系统薄弱环节的过程。能够直观的让管理人员知道当前网络、主机、数据库与应用系统存在的安全弱点以及可能造成的影响，以便采取必要的防范措施。

本文为您介绍华为路由器如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK cthuawei IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 以命令行方式登录华为路由器命令行。 2. 配置IKE安全提议。 ike proposal 10 sa duration 86400 authenticationalgorithm sha1 encryptionalgorithm aes128 dh group5 authenticationmethod preshare 3. 配置IKE对等体、预共享密钥和对端ID等信息。 ike peer ctyun presharedkey simple cthuawei ikeproposal 10 localaddress 123...23 remoteaddress 121...152 exchangemode main 4. 配置ACL，定义要保护的数据流。 acl 3402 rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 rule 5 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 5. 配置IPsec安全提议。 ipsec proposal ctyun esp authenticationalgorithm sha1 esp encryptionalgorithm aes128 6. 配置IPsec安全策略。 ipsec policy ctyun 10 isakmp security acl 3402 ikepeer ctyun proposal ctyun 7. 在GigabitEthernet1/0/1接口上应用IPsec安全策略ctyun。 interface GigabitEthernet1/0/1 ipsec policy ctyun 8. 配置静态路由。 ip routestatic 192.168.3.0 255.255.255.0 123...1 9. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

参数 说明 名称 用户自定义 系统类型 按实际使用系统类型选择 IP 主机IP 凭证名称 用户自定义 账号 主机实际登录账号 密码 主机实际登录密码

本节介绍主机扫描是否可以关闭基线检查。 主机扫描不能关闭基线检查。如果您确认基线检查扫描出的检查项不会对主机造成危害，您可以在目标检查项所在行的“操作”列，单击“忽略”，忽略该检查项，相应的检查项统计结果将发生变化，扫描报告中也不会出现该检查项。

此小节介绍云堡垒机功能特性。 产品提供标准版、企业版、高级版，不同版本支持的功能及差异如下： 产品功能 描述 标准版（一类节点） 企业版（一类节点） 高级版（二类节点） 部署方式 主备版 购买主备版后会创建两台堡垒机，通过双机热备机制，提升服务高可用性。 √ √ × 资产管理 主机管理 支持Windows、Linux操作系统的服务器资产管理 √ √ √ 资产管理 数据库管理 支持Mysql、PostgreSQL、Oracle等类型数据库资产管理及运维 × √ √ 资产管理 自动导入天翼云上ECS资产 支持自动导入账号下所拥有的天翼云上ECS资产 √ √ × 资产管理 应用管理 支持纳管应用服务器，并且可以直接纳管Chrome、IE、Firefox、SecBrowser等应用 × √ √ 资产管理 资产组管理 支持资产分组管理，按组管理资产，统一授权 √ √ √ 资产管理 资产账密管理 支持资产特权账号、密码集中加密存储和托管，运维整个过程不暴露资产账密 √ √ √ 资产管理 账户改密 支持预设策略，对一个或多个主机资源账户的密码进行手动、定时或周期性的修改 √ √ √ 用户管理 双因子认证 支持账密+手机令牌认证方式登录堡垒机 √ √ √ 用户管理 用户管理 统一管理运维访问用户、管理员、审计员，支持定义用户账号安全策略 √ √ √ 用户管理 用户组管理 支持用户分组管理，统一为分组内用户授权 √ √ √ 用户管理 账号安全策略 支持设置全局账号安全策略、密码策略 √ √ √ 授权管理 资产访问授权 支持设置用户、资产、资产账号的访问授权及管控 √ √ √ 授权管理 字符命令授权 支持对用户、用户组敏感命令的授权及管控 √ √ √ 授权管理 文件操作授权 支持对用户操作文件命令授权及管控 √ √ √ 授权管理 数据库授权 支持设置用户访问数据库授权及管控 × √ √ 资产运维 字符运维（SSH、Telnet） 支持Xshell、SecureCRT、Putty等客户端工具登录堡垒机运维资产 √ √ √ 资产运维 图形运维（RDP、VNC） 支持MSTSC、VNC等客户端工具登录堡垒机运维主机资产 √ √ √ 资产运维 文件运维（SFTP、FTP） 支持使用本地WinSCP、Filezila等SFTP客户端工具登录堡垒机进行文件运维 √ √ √ 资产运维 数据库运维 支持Navicat、DBeaver等客户端工具登录堡垒机进行数据库运维 × √ √ 资产运维 Web直接运维服务器 支持通过浏览器直接SSH运维字符资产和RDP图形资产 × √ √ 资产运维 资产访问运维免账密登录 支持通过堡垒机账密单点登录到主机资产，运维人员无需掌握服务器资产的账密 √ √ √ 运维管控 资产访问控制 支持对用户访问资产、协议、资产账号的访问管控，用户仅可运维自己已授权资产 √ √ √ 运维管控 运维命令管控 支持根据字符命令授权对用户允许和拒绝的操作命令进行管控，支持自定义常用命令组 √ √ √ 运维管控 文件操作控制 支持根据文件授权对用户文件操作进行管控，超出授权范围无法操作文件 √ √ √ 运维管控 自动运维 支持依照既定步骤自行执行命令和运维脚本，对多个目标进行自动化运维管理 × √ √ 工单管理 运维访问审批 运维用户在运维过程中，遇到需运维资源而无权限情况，可提交系统工单申请资源控制权限 √ √ √ 工单管理 运维命令审批 运维用户在运维过程中，遇到命令使用无权限情况，可提交系统工单申请资源字符使用权限 √ √ √ 审计 日志审计 支持对用户登录日志、系统管理操作日志进行审计 √ √ √ 审计 会话审计 支持对字符操作、图形运维、文件操作及传输、数据库运维产生的会话日志统一审计 √ √ √ 审计 文件传输审计 支持文件传输会话（ftp、sftp）、账号数据角色产生的文件管理操作、个人目录文件操作，支持文件操作记录查看 √ √ √ 审计 数据库审计 支持查看sql指令，会话详情 × √ √ 审计 审计录像及回放 支持对字符、图形运维操作全程审计录像及回放 √ √ √

本章介绍 Agent安装失败处理方法。 若为首次安装Agent出现安装失败，需根据命令安装、脚本安装不同的安装方式来分别做处理。 使用安装命令安装Agent失败 问题现象 使用命令安装失败，安装Agent后，控制台防护列表页面仍然显示“未安装”。 可能原因 解决方案 1、确认是否已关闭主机Selinux防火墙。 已关闭：请执行2。 未关闭：请关闭Selinux防火墙后重新安装。 2、确认主机是否已绑定弹性IP。 是：请执行3。 否：请绑定弹性IP后重新安装。 3、请根据主机所在区域、主机操作系统，确认安装命令是否正确。 ① 正确地选择主机所在的区域。 ② 根据主机操作系统复制正确的安装命令。 主机中32位的系统，只能使用32位系统对应的操作命令。 主机中64位的系统，只能使用64位系统对应的操作命令。 是：请执行4。 否：请使用正确的命令重新安装。 4、确认安装帐号是否为root帐号。 是：请执行5。 否：请使用root帐号重新安装。 5、使用root帐号如何卸载Agent？后强制安装。 安装成功：结束操作。 安装失败：请联系技术支持。

本章节主要介绍ALM12064 主机随机端口范围配置与集群使用端口冲突。 告警解释 系统每一个小时检查一次主机随机端口配置范围是否与集群使用端口范围冲突，如果有冲突，则发送此告警。待客户重新修改该主机的随机端口范围配置到正常范围，该告警会自动清除。 告警属性 告警ID 告警级别 是否自动清除 12064 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 集群系统默认端口被占用，导致某些进程启动失败。 可能原因 随机端口范围配置被修改。 处理步骤 检查系统当前的随机端口范围 1.打开FusionInsight Manager页面，在告警列表中，单击此告警所在行的，查看该告警的主机地址。 2.以root用户登录告警所在主机。 3.执行命令 cat /proc/sys/net/ipv4/iplocalportrange ，获取该主机的随机端口范围配置，查看最小值是否小于32768。 是，执行步骤4。 否，执行步骤7。 4.执行命令 vim /etc/sysctl.conf ，修改配置项net.ipv4.iplocalportrange 的值为 32768 61000 ， 如果没有该配置项，则新增net.ipv4.iplocalportrange 32768 61000。 5.执行命令sysctl p /etc/sysctl.conf使修改的配置生效。 6.配置完成后等待1小时后，查看告警列表中，该告警是否已清除。 是，处理完毕。 否，执行步骤7。

天翼云监控支持使用告警联系组设置告警通知对象，本文为您介绍该应用场景下的操作步骤。 应用背景 当云主机监控产生告警时，云监控服务将通知告警联系人。您需要先创建告警联系人和告警联系组，并将告警联系人添加到告警联系组。在进行告警规则的创建时，选择相应的告警联系组，即可实现通过告警联系组来接收告警通知的目的。 步骤一：创建告警联系组 1.登录管理控制台。 2.单击“管理与部署 > 云监控”。 3.单击左侧“告警服务”下拉菜单，选择“告警联系人/组”，进入告警联系人管理界面。 4.选择“告警联系组”，点击下方“添加联系组”。 5.在新建联系组中操作相关联系人，点击确定，完成创建。 步骤二：设置告警规则 1.登录管理控制台。 2.单击“管理与部署 > 云监控”。 3.单击左侧“告警服务”下拉菜单，选择“告警规则”，进入告警规则管理界面。 4.单击右上方“创建告警规则”，进入“创建告警规则”界面。 5.在“选择告警联系组”中，选择接收该告警规则下告警通知的联系人组。当监控指标触发设定的阈值时，此联系人组内的联系人将在第一时间收到相应的告警通知。

本节介绍开通翼甲卫士的操作说明。 操作步骤： 1.登录AI云电脑（政企版）控制台，点击“协同套件”菜单栏，找到翼甲卫士点击开通。 2.根据用户实际需求，选择开通翼甲卫士所需的资源进行开通。 防护的VPC/带宽：每台翼甲只能绑定一个VPC，支持对同一VPC下的多个带宽进行防护。 上网行为管理：支持对用户访问网站的行为进行管控审计。 费用扣减：目前翼甲卫士仅支持资源包方式订购。 扣费结构为：翼甲卫士费用主机费用（必须）+防火墙日志存储费用（可选）+短信告警服务费用（可选）。其它部分自费信息参照下表： 性能项目 性能指标 价格 备注 标准版 包含1台8C16G防火墙主机 支持网络访问规则控制 支持IPsecVPN 支持入侵防御、病毒防护 支持防护200Mbps带宽 750元/套/月 此项为计算资源和存储资源收费，若配置了防火墙高可用，资源2 增强版 包含1台16C32G防火墙主机 支持网络访问规则控制 支持IPsecVPN 支持入侵防御、病毒防护 支持上网行为管理 支持防护400Mbps带宽 1400元/套/月 此项为计算资源和存储资源收费，若配置了防火墙高可用，资源2 防火墙日志存储 高IO 8元/100GB/月 短信告警服务 / 0.2元/条

配置项 说明 标签 用于对 PV 对象进行标记和分类的元数据属性，可以赋予 PV 以自定义的属性或标识。 持久卷类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择云盘。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动。 访问模式 单机读写（ReadWriteOnce）：卷可以被一个节点以读写方式挂载。 多机只读（ReadOnlyMany）：卷可以被多个节点以只读方式挂载。 多机读写（ReadWriteMany）：卷可以被多个节点以读写方式挂载。 说明：如果使用非共享盘存储，访问模式不能为ReadWriteMany或者ReadOnlyMany。仅PVC为块设备模式（Block）时，才可以使用共享盘，访问模式才可以为ReadWriteMany或者ReadOnlyMany。 挂载类型 当前支持ext4、xfs。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。 比如设置挂载参数为： discard：表示在挂载文件系统时指定 discard 参数，文件系统中删除文件后会自动触发 discard 操作，通知块设备释放掉未使用的 Block 。 卷模式 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 这类卷以块设备的方式交给 Pod 使用，其上没有任何文件系统。 这种模式对于为 Pod 提供一种使用最快可能方式来访问卷而言很有帮助， Pod 和卷之间不存在文件系统层。 说明：如果使用共享盘存储，卷模式仅支持块设备（Block）。 名称 PV的名称，以pvc开头。 已有存储类 选择存储类功能在静态存储卷场景下较少使用。 仅当已存在带有存储类声明的持久卷申明（PVC）时，才需在此处配置匹配的存储类以实现绑定。 云盘ID 选择已有云盘实例。单击会弹出选择云盘会话，会话中会展示可使用的云盘信息，可使用条件包括： 云盘所在可用区与集群节点可用区相同。 磁盘模式为VBD、磁盘为非加密盘。 磁盘为非系统盘 及非云主机成套资源 。 磁盘状态可用。 如磁盘为非共享盘，磁盘需未被挂载。 注意 同一个云硬盘不能导入到两个持久卷中使用，这样会造成一些K8S的使用问题。用户需要辨别哪些云硬盘已经被pv使用，需要避免出现两个持久卷指向同一个云硬盘的情况。

本文介绍了关系数据库PostgreSQL版的通用型性能测试结果。 压测场景 压测分两个场景进行，您可以根据自身数据量判断使用哪种场景。 最高性能：数据复制方式采用异步复制模式，适合数据持久性要求不高的场景，响应速度最快。 最高可用性（默认）：数据复制方式采用半同步模式，兼顾数据持久性和响应速度。 压测指标 压力测试的指标包括TPS和QPS。 关系数据库PostgreSQL版支持的IOPS取决于云硬盘的IO性能，具体请参见《云硬盘产品简介》中“产品规格”的内容。参考链接：云硬盘产品规格。 测试结果 以下测试结果仅供参考，建议开通实例进行实际测试。 最高性能模式 表1 CPU：内存1：2 CPU（core） 内存 TPS QPS 2 4 648 12960 4 8 1187 23755 8 16 1704 34083 表1 CPU：内存1：4 CPU（core） 内存 TPS QPS 2 8 716 14319 4 16 1234 24673 8 32 1725 34513 最高可用性模式 表1 CPU：内存1：2 CPU（core） 内存 TPS QPS 2 4 604 12080 4 8 1096 21929 8 16 1472 29445 表1 CPU：内存1：4 CPU（core） 内存 TPS QPS 2 8 657 13136 4 16 1129 22588 8 32 1450 28997

本节主要介绍云数据库GeminiDB的典型应用。 游戏应用 游戏应用可以将一些游戏数据，如用户装备、用户积分等存储其中。游戏玩家活跃高峰期，对并发能力要求较高，可以快速灵活添加计算节点以应对高并发场景。 优势： 灵活： 游戏开服6小时内需多次扩容，GeminiDB计算节点增加，扩容性能倍数提升，可灵活轻松应对。 数据恢复快： 表级时间点恢复，支持游戏快速回档。 稳定扩容： 扩容期间性能稳定，不影响游戏体验。 物联网/车联网行业 云数据库 GeminiDB拥有超强写入性能，专为密集写入而设计。它适用于各种不同的行业，例如物联网、车联网、商业智能、应用运维监控等，无论传感器类型如何，都能够很好地处理传入数据，并为进一步的数据分析提供了可能。 优势： 超强写入： 相比于其他NoSQL服务，拥有超强的写入性能。 弹性扩展： 基于计算存储分离的分布式架构，分钟级计算节点扩容，应对业务高峰期；秒级存储扩容应对724不间断的大数据量写入。 互联网应用 云数据库 GeminiDB快速读写和高可扩展特性使其适用于具有产品目录、推荐、个性化接口等功能的电子商务网站和娱乐网站，可用于存储访问者的活动，有利于分析工具快速访问数据，为用户生成推荐。

本文为您介绍如何用curl命令接入OpenSearch实例。 概述 使用 Curl 是最简单直接的方式访问 OpenSearch 实例。它允许用户通过命令行发送 HTTP/HTTPS请求与实例进行交互，例如创建索引、查询集群状态等操作。 前提条件 已开通天翼云云搜索服务OpenSearch实例。 实例已绑定公网IP，具体可参考“实例公网访问”章节。 本地已按照Curl工具。 操作步骤 实例使用HTTP协议访问OpenSearch实例 plaintext curl u : " user：OpenSearch实例用户名，比如admin。 password：该用户密码，比如用户配置的OpenSearch实例admin用户密码。 host：主机IP，即实例绑定的公网IP。 port：端口号，一般是9200。 实例使用HTTPS协议访问OpenSearch实例 方式一：忽略证书校验（适用于自签名证书或快速测试） 在使用自签名证书时，可以使用k 或 insecure 参数跳过安全校验： plaintext curl u k : " 方式二：指定证书访问（推荐生产环境） 为了保证通信的绝对安全，推荐通过cacert 参数指定根证书的绝对路径来进行访问： plaintext curl u : " cacert /path/to/your/ca.pem 证书可以从云搜索服务控制台 “安全设置”页面下载。

参数 是否必填 参数类型 说明 示例 下级对象 instanceID 是 String 后端服务主机 id xxxxxxxxxx protocolPort 是 Integer 后端服务监听端口，165535 80 instanceType 是 String 后端服务主机类型，仅支持vm类型 vm weight 是 Integer 后端服务主机权重: 1 256 1 address 是 String 后端服务主机主网卡所在的 IP 192.168.0.1

本小节介绍解绑配额。 您可将解绑后的空闲配额分配给其他主机继续使用或退订无需使用的配额，避免造成配额资源的浪费。 前提条件 主机已绑定配额。 解绑主机配额 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧选择“资产管理>主机管理”页面，选择“防护配额”页签，进入防护配额列表页面，点击目标选项可进行筛选查看。 进入防护配额页面 5、在防护配额列表页面，单击“解除绑定”，解除绑定的配额。 解除绑定操作页面 说明 解绑配额后，HSS将无法检测您主机存在的潜在风险，请谨慎操作。 6、在弹出的解绑配额对话框中，单击“确定”，解除绑定。

本小节介绍解绑配额。 您可将解绑后的空闲配额分配给其他主机继续使用或退订无需使用的配额，避免造成配额资源的浪费。 前提条件 主机已绑定配额。 解绑主机配额 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧选择“资产管理>主机管理”页面，选择“防护配额”页签，进入防护配额列表页面，点击目标选项可进行筛选查看。 进入防护配额页面 5、在防护配额列表页面，单击“解除绑定”，解除绑定的配额。 解除绑定操作页面 说明 解绑配额后，HSS将无法检测您主机存在的潜在风险，请谨慎操作。 6、在弹出的解绑配额对话框中，单击“确定”，解除绑定。

配置项 配置说明 自动安装JDK 主机需要具备JAVA8+环境。开启此开关后，将为主机自动安装JDK。安装的版本为jdk1.8.0202，指定安装目录为“/usr/local”。若关闭此开关，则需手动安装。 如何安装JAVA8+？ 自动安装Git 主机需要具备Git环境。开启此开关后，将为主机自动安装Git。自动安装使用 yum y install git 或 aptget install git 命令安装，需要用户确认安装主机是否有适合的yum源。若关闭此开关，则需手动安装。 如何安装Git？ 自动安装Docker 主机需要具备Docker环境。开启此开关后，将为主机自动安装Docker。安装的版本为docker18.06.1ce，指定安装目录为“/usr/local”。安装完成后将自动注册服务并启动docker服务。若关闭此开关，则需手动安装。 如何安装Docker？

参数名称 参数说明 告警名称 告警事件名称。单击告警名称，可查看告警详情。 告警等级 告警威胁等级，蜜罐防护事件分为以下两个等级： 高危：远端主机多次连接蜜罐端口。 中危：远端主机连接了蜜罐端口。 告警摘要 告警事件关键信息摘要，您可以根据这些信息了解可能失陷的主机和该主机与蜜罐端口建立的连接行为。 影响资产 失陷主机连接的动态端口蜜罐服务器。 告警发生时间 告警发生的时间。 状态 告警处理状态，分为“已处理”和“待处理”。 操作 您可以对告警事件进行“处置”操作。

参数名称 参数说明 告警名称 告警事件名称。单击告警名称，可查看告警详情。 告警等级 告警威胁等级，蜜罐防护事件分为以下两个等级： 高危：远端主机多次连接蜜罐端口。 中危：远端主机连接了蜜罐端口。 告警摘要 告警事件关键信息摘要，您可以根据这些信息了解可能失陷的主机和该主机与蜜罐端口建立的连接行为。 影响资产 失陷主机连接的动态端口蜜罐服务器。 告警发生时间 告警发生的时间。 状态 告警处理状态，分为“已处理”和“待处理”。 操作 您可以对告警事件进行“处置”操作。

本文简述日志下载模块的操作方法、日志延迟时间、日志文件命名规则、日志字段释义。 功能介绍 日志下载模块，支持客户下载接入域名的访问日志。日志记录了域名请求的详细信息，是用户做业务分析的重要参考。 日志文件延迟时间：一般情况下延迟在24小时之内，但是也有可能超过24小时。日志每隔一小时生成一次。具体分割成的文件数量根据该小时产生的日志量动态调整。客户可以下载最近15天的日志数据。 日志命名规则：log接入域名年月日时开始时间结束时间，例如：logwww.ctyun.cn202001010100005959.gz。 日志示例：1.1.1.1 www.ctyun.cn [20200101013524] "GET http/1.1" 200 1360598 "VLC/2.0.6 LibVLC/2.0.6" 日志字段释义： 编号 字段 描述 1 1.1.1.1 用户IP 2 www.ctyun.cn 访问域名 3 文件类型 4 [20200101013524] 请求时间 5 GET HTTP请求方式 6 请求URL 7 http/1.1 HTTP协议 8 200 HTTP状态码 9 1360598 响应大小，单位byte 10 Referer 11 "VLC/2.0.6 LibVLC/2.0.6" User Agent

参数名称 告警事件状态说明 时间范围 支持选择固定周期，支持自定义查询告警的时间范围，自定义只能选择30天范围内的查询。 固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 说明 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。

协议服务提供标准 NFS 协议访问HPFS文件系统的能力,本文介绍删除协议服务的场景说明和操作步骤。 场景说明 当用户不再使用协议服务时，可以删除相应的协议服务。需要注意，删除协议服务会导致云主机实例无法通过协议服务挂载访问 HPFS，删除协议服务不会删除文件系统内的数据，但会立即中断当前正在通过协议服务访问此目录的所有 I/O，请谨慎操作。删除后可以通过创建新的协议服务访问原有数据。 注意 如您需要删除文件系统，需先删除文件系统下的所有协议服务。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>并行文件服务 HPFS”，进入并行文件服务的控制台页面。 3. 点击目标文件系统，进入文件系统详情页，点击协议服务页签，即可进入协议服务页面。 4. 在协议服务列表，找到目标协议服务，单击目标所在行的"操作"列下的"删除"。 5. 在弹出的对话框中再次确认是否删除。 6. 等待一段时间后，在列表页可以看到该协议服务已经不存在，即表示删除成功。

本章节介绍创建MRS服务的方式。 快速创建Hadoop分析集群：快速创建Hadoop分析集群为您提高了配置效率，可以在几分钟之内快速创建Hadoop集群，更加方便快捷的进行海量数据分析与查询。 快速创建HBase查询集群：快速创建HBase查询集群为您提高了配置效率，可以在几分钟之内快速创建HBase集群，更加方便快捷的进行海量数据存储以及分布式计算。 快速创建Kafka流式集群：快速创建Kafka流式集群为您提高了配置效率，可以在几分钟之内快速创建Kafka集群，更加方便快捷的进行流式数据采集，实时数据处理存储等。 快速创建ClickHouse集群：快速创建一个ClickHouse集群，ClickHouse是一个用于联机分析的列式数据库管理系统，具有极致压缩率和极速查询性能。 快速创建实时分析集群：快速创建一个实时分析集群为您提高了配置效率，可以在几分钟之内快速创建实时分析集群，更加方便快捷的进行海量的数据采集、数据的实时分析和查询。 创建自定义集群：自定义创建可以灵活地选择配置项，针对不同的应用场景，可以选择不同规格的弹性云主机，全方位贴合您的业务诉求。

本节介绍什么是漏洞扫描服务。 漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对网站、主机进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周期管理服务。 工作原理 漏洞扫描服务具有Web网站扫描和主机扫描两种扫描能力。 Web网站扫描 采用网页爬虫的方式全面深入的爬取网站url，基于多种不同能力的漏洞扫描插件，模拟用户真实浏览场景，逐个深度分析网站细节，帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可有效避免用户网站业务受到影响。 主机扫描 经过用户授权（支持账密授权）访问用户主机，漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置，实时同步官网更新的漏洞库匹配漏洞特征，帮助用户及时发现主机安全隐患。

本节主要介绍开启性能采集 评估数据可以在对应主机详情中查看，可以被用来进行方案推荐。 前提条件 已参考0添加资源信息或0导入资源信息添加或导入资源信息。 操作步骤 步骤1 在浏览器中输入 步骤2 单击左侧导航栏的“ 资源发现 ”，进入资源发现界面。 步骤3 在“ 主机 ”页签下，勾选要采集的资源，单击“ 性能及关联关系采集 > 开启 ”。 您可根据主机名称、发现状态、主机状态、平台名、标签名称快速查找您需要的主机。 开启性能采集 步骤4 将鼠标放到状态列的图标上，显示“ 采集中 ”，则已开启性能采集。

本章节主要介绍添加资源池。 操作场景 在MRS集群中，用户从逻辑上对YARN集群的节点进行分区，使多个NodeManager形成一个YARN资源池。每个NodeManager只能属于一个资源池。系统中默认包含了一个名为“Default”的资源池，所有未加入用户自定义资源池的NodeManager属于此资源池。 该任务指导用户通过MRS Manager添加一个自定义的资源池，并将未加入自定义资源池的主机加入此资源池。 操作步骤 在MRS Manager，单击“租户管理”。 1. 单击“资源池”页签。 2. 单击“添加资源池”。 3. 在“添加资源池”设置资源池的属性。 “名称”：填写资源池的名称。不支持创建名称为“Default”的资源池。 资源池的名称，长度为1到20位，可包含数字、字母和下划线，且不能以下划线开头。 “可用主机”：在界面左边主机列表，选择指定的主机名称，单击，将选中的主机加入资源池。只支持选择本集群中的主机。资源池中的主机列表可以为空。 4. 单击“确定”保存。 5. 完成资源池创建后，用户可以在资源池的列表中查看资源池的“名称”、“成员”、“类型”、“虚拟核数”与“内存”。已加入自定义资源池的主机，不再是“Default”资源池的成员。

本文主要介绍基于VirtualBox使用ISO创建Linux镜像如何安装VirtualBox 安装前准备 安装VirtualBox的主机需满足以下条件。 推荐使用64位的Windows操作系统的主机安装VirtualBox。 建议主机内存不低于4 GB，且使用双核处理器，例如：主机规格为8U16G。 建议剩余硬盘空间不低于20 GB。 设置主机CPU支持硬件虚拟化（Intel VTx或AMDV虚拟化），设置方法参见设置主机CPU支持硬件虚拟化。 说明： 安装VirtualBox更多信息请参考VirtualBox官方文档： Intel Virtual Technology”，按“Enter”确定。 3、将光标移动至“Enabled”处，按“Enter”确定。 4、此时“Intel Virtual Technology”选项将变为“Enabled”，按“F10”保存并退出即完成开启硬件虚拟化功能。 图 设置Intel Virtual Technology选项为Enabled 操作步骤 1、下载VirtualBox安装包。 VirtualBox官方下载地址： 2、解压VirtualBox安装包，以VirtualBox5.2.0版本为例，右键单击“VirtualBox5.2.0118431Win.exe”，并选择“以管理员身份运行”，根据界面提示完成安装。 图 VirtualBox安装提示 3、在安装路径选择页面，选择VirtualBox安装路径，单击“Next”。 图 选择VirtualBox安装路径 4、根据实际情况，设置个性化需求，单击“Next”。 图 设置VirtualBox个性化需求 5、单击“Finish”完成安装。

本文主要介绍基于VirtualBox使用ISO创建Windows镜像的安装VirtualBox 安装前准备 安装VirtualBox的主机需满足以下条件。 推荐使用64位的Windows操作系统的主机安装VirtualBox。 建议主机内存不低于4 GB，且使用双核处理器，例如：主机规格为8U16G。 建议剩余硬盘空间不低于20 GB。 设置主机CPU支持硬件虚拟化（Intel VTx或AMDV虚拟化），设置方法参见设置主机CPU支持硬件虚拟化。 说明 安装VirtualBox更多信息请参考 设置主机CPU支持硬件虚拟化 Intel主机BIOS开启硬件虚拟化可参考如下操作步骤。 说明 不同主机操作步骤略有不同，请根据实际界面提示开启硬件虚拟化。 1、在开机时按住对应的键进入BIOS，请根据具体的主机品牌选择进入BIOS的键。 2、进入BIOS，选择“Configuration > Intel Virtual Technology”，按“Enter”确定。 3、将光标移动至“Enabled”处，按“Enter”确定。 4、此时“Intel Virtual Technology”选项将变为“Enabled”，按“F10”保存并退出即完成开启硬件虚拟化功能。 图 设置Intel Virtual Technology选项为Enabled 操作步骤 1、下载VirtualBox安装包。 VirtualBox官方下载地址 2、解压VirtualBox安装包，以VirtualBox5.2.0版本为例，右键单击“VirtualBox5.2.0118431Win.exe”，并选择“以管理员身份运行”，根据界面提示完成安装。 图 VirtualBox安装提示 3、在安装路径选择页面，选择VirtualBox安装路径，单击“Next”。 图 选择VirtualBox安装路径 4、根据实际情况，设置个性化需求，单击“Next”。 图 设置VirtualBox个性化需求 5、单击“Finish”完成安装。

本章节主要介绍授权相关问题中有关使用咨询的问题。 DLI细粒度授权 DLI服务不仅在服务本身有一套完善的权限控制机制，同时还支持通过统一身份认证服务（Identity and Access Management，简称IAM）细粒度鉴权，可以通过在IAM创建策略来管理DLI的权限控制。 通过IAM，您可以在云账号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DLI的使用权限，但是不希望他们拥有删除DLI等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DLI，但是不允许删除DLI的权限策略，控制他们对DLI资源的使用范围。 说明 对于新建的用户，需要先登录一次DLI，记录元数据，后续才可正常使用。 IAM是云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 如果云账号已经能满足您的需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DLI服务的其他功能。 DLI系统权限 如下表DLI系统权限所示，包括了DLI的所有系统权限。 权限类别：根据授权精程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DLI服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 系统角色/策略名称 描述 类别 DLI FullAccess 数据湖探索所有权限。 系统策略 DLI ReadOnlyAccess 数据湖探索只读权限。 只读权限可控制部分开放的、未鉴权的DLI资源和操作。例如创建全局变量、创建程序包以及程序包组、default队列提交作业、default数据库下建表、创建跨源连接、删除跨源连接等操作。 系统策略 Tenant Administrator 租户管理员。 操作权限：具有所有云服务的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色 DLI Service Admin DLI服务管理员。 操作权限：具有数据湖探索服务队列、数据的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色

本节介绍配置主机授权时，是否必须使用加密密钥。 在创建SSH授权登录（Linux主机）时，为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。