添加VPC对等连接路由（路由表未解耦） 1. 在对等连接列表中，查找需要添加路由信息的对等连接。 2. 单击对等连接名称，进入对等连接详情页面。 3. 在VPC对等连接详情页面，单击“本端路由”。 4. 在“本端路由”页签区域，单击“添加本端路由”添加本端路由信息，参数说明参考下表。 表路由参数说明 参数 说明 取值样例 目的地址 目的地址，对端VPC或子网的网段。 192.168.2.0/24 下一跳地址 下一跳地址，即对等连接ID，默认不用配置。 d1a7863b9d5e4d278eafab14d2a9148b 5. 单击“确定”，回到对等连接详情界面。 6. 在对等连接详情界面，单击“对端路由”。 7. 在“对端路由”页签区域，单击“添加对端路由”添加对端路由信息。 8. 单击“确定”，完成添加VPC对等连接路由信息。 步骤三：验证网络互通情况 对等连接建立后，您可以使用私有IP地址在两个VPC之间进行通信。您可以使用“ping”命令检查网络两端是否连通。 对等连接路由添加完成后，执行以下操作，验证本端VPC和对端VPC的通信情况。 1. 登录本端VPC内的弹性云主机，本示例中为ECSA01。 2. 执行以下命令，验证ECSA01和RDSB01是否可以通信。 ping 对端服务器的IP地址 命令示例： ping 172.17.0.21 回显类似如下信息，表示ECSA01与RDSB01可以通过通信，VPCA和VPCB之间的对等连接创建成功。 shell [root@ecsA01 ~]

本章节为您介绍堡垒机应用资产相关内容。 用户获取应用资产访问权限后，通过应用发布服务器访问Web应用，并以视频方式全程记录用户运维操作，实现对远程应用账户的安全管理和用户远程访问应用的操作审计。 约束限制 仅企业版支持使用应用运维功能。 添加的主机和应用资源数量总和不能超过资产数。 前提条件 添加应用资产前，需已添加应用服务器，具体操作请参见应用服务器。 新增资产组 您可以通过应用资产组来管理多个应用资产，方便您在授权的时候可以一键选择。 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“资产管理 > 应用资产”，进入应用资产页面。 3. 在应用资产列表左侧资产树中，单击资产组右侧的更多图标，选择“新增子节点”或“复制”。 支持创建多级资产组，最多支持创建10级。 4. 在弹出的“新增资产组”或“资产组复制”对话框中，填写资产组信息。 参数 参数名称 资产组名称 自定义资产组的名称。 资产 在下拉框中选择需要添加至该资产组中的资产。 描述 自定义资产组的描述。 5. 填写完成后，单击“提交”完成资产组的创建。 创建完成后，您也可以根据需要对资产组进行修改或删除： 编辑资产组：选择需要修改的资产组，单击资产组右侧的更多图标，选择“编辑”，按照需求对资产组进行修改，单击“确定”完成修改操作。 删除资产组：选择需要删除的资产组，单击资产组右侧的更多图标，选择“删除”，在弹出的对话框中单击“确定”完成删除操作。

本小节介 云解析其它平台解析域名无缝迁移至云解析（平滑迁移）最佳实践。 提供域名解析的服务商都要求修改DNS，但修改DNS是存在解析中断的风险的。为了避免风险，凡计划使用云解析的用户，我们建议用户做如下操作。 准备工作 1. 联系原DNS服务商导出解析记录。 2. 从云解析平台下载《导入解析记录模板》，按模板填写要求，将整理后的解析记录类型为A、AAAA、CNAME的记录填写在模板中。 1. 登录云解析平台，在“记录管理”界面，点击页面右上方“域名设置”进入域名设置界面。界面最下方为“解析记录批量操作”功能模块。 2. 点击“下载模板”下载《导入解析记录模板》。 3. 根据模板格式填写主机名、记录类型、线路类型、记录值、TTL等信息。 操作步骤 1. 通过天翼云购买解析服务。 2. 在天翼云控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 1. 在“记录管理”界面，点击页面右上方“域名设置”进入域名设置界面。 2. 将《导入解析记录模板》数据批量导入云解析平台。点击“上传文件”将填写好的模板文件上传至平台，平台将根据操作情况反馈上传结果。 3. 手动添加无法批量导入的解析记录。 3. 检查解析记录是否同原数据一致，避免遗漏。 4. 修改DNS。解析记录设置完成后，需要到域名所在注册商处，将DNS修改为云解析指定的DNS服务器。 5. 等待解析生效。预计4872小时完成缓存刷新，这是由于各地Localdns服务器的域名缓存失效时间长短不一，需要等各地Localdns服务器主动来更新该域名最新DNS服务器地址，才可逐步实现全网生效。 6. 在缓存刷新的4872小时内，DNS解析仍有可能向原DNS发起DNS查询，所以原DNS服务商中的解析记录数据建议保留一周后删除。

支持的巡检项 检查项 描述 级别 PrivilegeEscalationAllowed 允许特权升级 紧急 CanImpersonateUser role/clusterrole 有伪装成其他用户权限 警告 CanDeleteResources role/clusterrole 有删除 kubernetes 资源权限 警告 CanModifyWorkloads role/clusterrole 有修改 kubernetes 资源权限 警告 NoCPULimits 资源没有设置 CPU 使用限制 警告 NoCPURequests 资源没有设置预留 CPU 警告 HighRiskCapabilities 开启了高危功能，例如 ALL/SYSADMIN/NETADMIN 紧急 HostIPCAllowed 开启了主机 IPC 紧急 HostNetworkAllowed 开启了主机网络 紧急 HostPIDAllowed 开启了主机PID 紧急 HostPortAllowed 开启了主机端口 紧急 ImagePullPolicyNotAlways 镜像拉取策略不是 always 警告 ImageTagIsLatest 镜像标签是 latest 警告 ImageTagMiss 镜像没有标签 紧急 InsecureCapabilities 开启了不安全的功能，例如 KILL/SYSCHROOT/CHOWN 警告 NoLivenessProbe 没有设置存活状态检查 警告 NoMemoryLimits 资源没有设置内存使用限制 警告 NoMemoryRequests 资源没有设置预留内存 警告 NoPriorityClassName 没有设置资源调度优先级 通知 PrivilegedAllowed 以特权模式运行资源 紧急 NoReadinessProbe 没有设置就绪状态检查 警告 NotReadOnlyRootFilesystem 没有设置根文件系统为只读 警告 NotRunAsNonRoot 没有设置禁止以 root 用户启动进程 警告 CertificateExpiredPeriod 将检查 ApiServer 证书的到期日期少于30天 紧急 EventAudit 事件检查 警告 NodeStatus 节点状态检查 警告 DockerStatus docker 状态检查 警告 KubeletStatus kubelet 状态检查 警告

本章节主要介绍ALM45426 ClickHouse服务在ZooKeeper的数量配额使用率超过阈值的告警。 告警解释 告警模块按60秒周期检测ClickHouse服务在ZooKeeper的数量配额使用百分比，当检测到使用百分比超过阈值（90%），系统产生此告警。 当系统检测到使用百分比低于阈值，且告警处理完成时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 45426 重要（默认级别） 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称 服务名 产生告警的服务名称 角色名 产生告警的角色名称 主机名 产生告警的主机名 对系统的影响 ClickHouse在ZooKeeper的数量配额超过阈值后，无法通过FusionInsight Manager对ClickHouse进行集群操作，无法使用ClickHouse服务功能。 可能原因 ClickHouse在使用过程中，如表创建、插入或删除表数据等操作时，ClickHouse会在ZooKeeper的节点中创建znode，随着业务量的增加该znode实际数量可能会超过配置的阈值。 处理步骤 检查ClickHouse在ZooKeeper的znode节点创建数量 登录ZooKeeper客户端所在主机节点，执行以下命令登录ZooKeeper客户端工具。 切换到客户端安装目录。 例如：cd /opt/client 执行以下命令配置环境变量。 source bigdataenv 执行以下命令进行用户认证。(普通模式跳过此步骤) kinit 组件业务用户 执行以下命令登录客户端工具。 zkCli.sh server ZooKeeper 角色实例所在节点业务IP : ClientPort 1. 执行如下命令查看ZooKeeper上ClickHouse使用的配额情况，计算返回的结果中Output stat的count值与Output quota的count值之比是否大于0.9。 listquota /clickhouse absolute path is /zookeeper/quota/clickhouse Output quota for /clickhouse count 200000,bytes1000000000 Output stat for /clickhouse count 2667,bytes60063 如上，Output stat对应的count为：2667，Output quota的count为：200000。 是，执行步骤4。 否，等待五分钟查看告警是否清除，如果还没有清除请执行步骤5。 2. 在FusionInsight Manager首页，选择“集群 > 服务 > ClickHouse > 配置 > 全部配置”，搜索“clickhouse.zookeeper.quota.node.count”参数，将该参数的值调整为步骤2中Output stat的count值的2倍。 3. 重启告警信息对应的ClickHouse实例，等待五分钟，查看告警是否消除。 是，处理完毕。 否，再次执行步骤4，等待五分钟，查看告警是否消除，如果还没有清除请执行步骤5。

本文介绍如何卸载混合备份客户端。 操作场景 当主机不再需要备份客户端时，您可以卸载已安装的客户端。 前提条件 机器已安装客户端 机器状态为运行中，且没有备份任务、恢复任务正在执行。 操作须知 卸载客户端后，该客户端生成的历史备份数据不会被自动删除，您可通过备份集查看或删除备份数据。 操作步骤 卸载Linux版 1. 进入Linux主机内备份客户端的安装目录。 2. 执行”uninstall.sh“脚本完成卸载。 3. 卸载完成后，控制台上客户端状态变为“离线”。 卸载Windows版 1. 进入Windows主机内备份客户端的安装目录。 2. 执行”uninst.exe“程序完成卸载。 3. 卸载完成后，控制台上客户端状态变为“离线”。

监控状态报表 主页界面的右侧为图表区，包含关键监控状态的报表，例如集群中所有主机的状态、主机CPU使用率、主机内存使用率等。用户可以自定义在图表区展示的监控报表，管理监控指标请参考管理监控指标数据报表。 监控图表的数据来源可在图表的左下方查看，每个监控报表可以放大查看具体数值，也可以关闭不再显示。 告警分析 “告警分析”页面展示“Top20告警统计”表和“Top3告警分析”图。单击“Top20告警统计”中的告警名称，可以在告警分析中只展示该告警信息。该功能支持告警统计，可以展示TOP告警以及发生的时间规律，可以有针对性地解决告警，提升系统稳定性。

参数 参数类型 说明 示例 下级对象 specId String 废弃 prodPerformanceSpec String 规格名称 1C4G azList Array of Strings 该规格支持的AZ列表 specName String 主机世代完整名称 cpuType String cpu类型 generation String 主机世代缩写 minRate String 带宽下限 maxRate String 带宽上限

参数 说明 区域 终端节点服务所在区域。不同区域的资源之间内网不互通。请选择靠近您的区域，可以降低网络时延、提高访问速度。 虚拟私有云 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，此处仅支持设置为“接口”类型。 连接审批 连接审批控制的是终端节点与终端节点服务的连接是否需要审批，审批权由终端节点服务控制。可选择开启或关闭连接审批。若选择开启连接审批，则与本终端节点服务连接的终端节点需要进行审批 端口映射 终端节点服务与终端节点建立连接关系，进行通信，协议可选择TCP。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。服务端口和终端端口取值范围1～65535，单次操作最多添加50条端口映射。 说明： 通过“终端端口 → 服务端口”的方式进行访问。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。 云服务器：作为服务器使用。此处选择“弹性负载均衡”。 说明： 安全组添加的规则是白名单。终端节点服务配置的后端资源所在安全组，需要添加源地址为198.19.128.0/20的白名单入方向规则 选择负载均衡 “后端资源类型”选择为“弹性负载均衡”时，会出现该参数，在下拉列表中选择需要提供服务的负载均衡，只支持弹性负载均衡。 说明： 弹性负载均衡作为终端节点服务的后端资源后，不支持获取真实访问客户端的地址。

本章节主要向您介绍什么是企业路由器。 什么是企业路由器 企业路由器（Enterprise Router，ER）可以连接虚拟私有云（Virtual Private Cloud，VPC）或本地网络来构建中心辐射型组网，是云上大规格、高带宽、高性能的集中路由器。企业路由器支持路由学习、动态选路以及链路切换，极大的提升网络的可扩展性及运维效率，从而保证业务的连续性。 架构对比 下图为不使用企业路由器构建网络的示意图。 下图为使用企业路由器构建网络的示意图。 通过对比是否使用企业路由器，如下表格中总结了在构建云上网络时网络拓扑差异及使用企业路由器后的价值。 对比项 不使用企业路由器 使用企业路由器 企业路由器价值 同区域多个VPC互通 同区域4个VPC需要建立6个对等连接实现互通。 4个VPC路由表中各需要配置3条对端VPC的路由，共需要配置12条路由。 将同区域4个VPC接入ER中，ER可以在接入的所有VPC中路由流量。 ER可以自动学习VPC网段到路由表中，只需要在4个VPC路由表中配置到ER的路由。 免去大量的对等连接配置。 减少路由条目配置及维护工作量。 线下IDC和云上多个VPC互通 需要为每个和IDC互通的VPC建立专线。 将专线接入ER，多个VPC可以共享专线。 支持路由学习，免去繁复配置，降低维护难度。 多条链路之间联动，实现负载分担或互为主备。 可以看出，使用企业路由器构建的网络拓扑更简洁，可扩展性更高，同时网络维护工作也更简单。

本文将为您展示创建一台包年包月的云主机的模板示例。 java terraform { requiredproviders { ctyun { source "ctyunit/ctyun" version "1.2.0" } } } 支持配置资源池、可用区和企业项目，若不配置资源池，则会使用页面选定的资源池 ak/sk无需配置，会自动获取当前账号的ak/sk provider "ctyun" { regionid "bb9fdb42056f11eda1610242ac110002" azname "cnhuadong1jsnj1Apublicctcloud" env "prod" } 创建vpc resource "ctyunvpc" "vpctest" { name "vpcforecs" cidr "192.168.0.0/16" description "terraform测试使用" enableipv6 true } 在vpc下创建子网 resource "ctyunsubnet" "subnettest" { vpcid ctyunvpc.vpctest.id name "subnetforecs" cidr "192.168.1.0/24" description "terraform测试使用" dns [ "114.114.114.114", "8.8.8.8" ] enableipv6 true } 查询可用镜像 data "ctyunimages" "imagetest" { name "CentOS Linux 8.4" visibility "public" pageno 1 pagesize 10 } 查询可用规格 data "ctyunecsflavors" "ecsflavortest" { cpu 2 ram 4 arch "x86" series "C" type "CPUC7" } 导入密钥对 resource "ctyunkeypair" "keypairtest" { name "keypairforecs" publickey "sshrsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAjUnAnTid4wmVtajSmElMtH03OvOyY81ybfswbUu9Gt83DVVzDnwb3rcQW1us8SeKm/gRINkgdrRAgfXAmTKR7AorYtWWc/tzb6kcDpL2E8Qk+n6cyFAxXNoX2vXBr4kC9wz1uwjGyxoSlpHLIpscfI0Ef652gMlSyfODehAJHj3JPMr8pvtPIUqsZI3JOGTUzxaA2JVC0LxQegphYYf2TxGd9GLRUv1p/0BUAPCMg1NaITXNVEj3A11hk1nrFoJMmvIwIUkLmRuQcxuNAdxeLB7GXXVjKpnKIJL4L64dyA9GWa3Gb7gCJyRaBc5UhK4hT57wmukCrldHHtdF1IJr" } resource "ctyunecs" "ecstest" { instancename "ecsdemo" displayname "ecsdemo" flavorid data.ctyunecsflavors.ecsflavortest.flavors[0].id imageid data.ctyunimages.imagetest.images[0].id systemdisktype "sata" systemdisksize 40 vpcid ctyunvpc.vpctest.id cycletype "month" cyclecount 1 subnetid ctyunsubnet.subnettest.id keypairname ctyunkeypair.keypairtest.name isdestroyinstance true

本文介绍NAT网关—SNAT规则类相关问题。 为什么使用SNAT？ 在网络通信中，当内部网络的主机向外部网络发送数据包时，数据包的源IP地址会经过SNAT被转换为一个公共IP地址，这样外部网络就无法直接访问内部网络的真实IP地址。SNAT的主要作用是隐藏内部网络的真实IP地址，从而增强网络的安全性。 同时SNAT可以使多个内网主机通过同一个外网IP接入Internet，从而达到节省成本的目的。 什么是 SNAT连接数 ？ 由源IP地址、源端口、目的IP地址、目的端口、传输层协议这五个元素组成的集合视为一条连接。连接能够区分不同会话，并且对应的会话是唯一的。其中源IP地址和源端口指SNAT转换之后的EIP和它的端口。 当多个内部主机通过同一个外部IP地址访问外部网络时，网络设备会使用SNAT来转换源IP地址和端口号，以便外部网络可以正确识别和回复数据包。 SNAT连接数表示当前正在进行的通过SNAT技术建立的连接数量。这些连接可能是在同一时间内与外部网络建立的活动连接，也可以是已建立但尚未关闭的连接。通过跟踪SNAT连接数，可以对网络流量和负载进行监控和管理，并确保网络资源的适当分配和性能优化。 NAT网关规格为并发连接数，并发连接数为每分钟内并发连接的数量。并发连接数＝SNAT连接数＋DNAT连接数。 主机通过NAT网关访问外网，请问NAT网关的带宽是多少？在哪里设置？ 主机通过NAT网关访问外网，NAT网关的带宽即SNAT规则绑定的弹性IP带宽，可以在弹性IP页面调整带宽大小，具体操作参见弹性IP修改带宽。

安装Agent（Windows操作系统） 安装Agent后，您才能开启数据库安全审计。通过本节介绍，您将了解如何在Windows操作系统的节点上安装Agent。Linux操作系统的Agent安装请参见安装Agent（Linux操作系统）。 安装Agent 1. 在Windows主机安装“Npcap”软件。 如果该Windows主机已安装“Npcap”，请执行步骤2。 如果该Windows主机未安装“Npcap”，请执行以下步骤： a. 请前往 下载npcap b.将下载好的npcap xxxx .exe软件安装包上传至需要安装agent的虚拟机。 c.双击npcap软件安装包。 d.在弹出的对话框中，单击“I Agree”，如图所示。 同意安装“Npcap” e.在弹出的对话框中，单击“Install”，不勾选安装选项，如图所示。 安装“Npcap” f.在弹出的对话框中，单击“Next”。 g.单击“Finish”，完成安装。 2. 以“Administrator”用户登录到Windows主机。 3. 将下载的Agent安装包“xxx.zip”复制到该主机任意一个目录下。 4. 进入Agent安装包所在目录，并解压缩安装包。 5. 进入解压后的文件夹，双击“install.bat”执行文件。 6. 安装成功，界面如图所示，按任意键结束安装。 7. 安装完成后，在Windows任务管理器中查看“dbssauditagent”进程。如果进程不存在，说明Agent安装失败，请尝试重新安装Agent。

此小节介绍堡垒机变更规格必知。 应用场景 随着业务量的不断增长，当使用的云堡垒机规格不能满足实际需求时，您可以选择对云堡垒机的规格进行变更规格。 本文档主要针对单机模式云堡垒机的规格变更规格场景，指导用户在云上执行变更规格操作，以及变更规格前后的注意事项和操作指导。 说明 如需变更双机模式的云堡垒机规格，请单击天翼云管理控制台右上方的“工单”，填写工单联系技术支持。 变更流程 本文涵盖系统管理员admin变更云堡垒机规格的详细过程，包括变更规格前备份系统数据、变更版本规格、变更规格后恢复系统配置，以及验证变更规格后系统配置等过程。 图 变更规格流程示意图 变更规格限制 变更规格范围涉及系统功能版本和资产规格。 功能版本：仅能从标准版升级到专业版，不能从专业版到标准版。 资产规格：涉及资产数、并发数、CPU、内存、数据盘等规格配置。仅能从低规格变更规格到高规格，不能缩容。 说明 变更规格不涉及实例绑定的EIP带宽、流量等配置； 系统盘默认为100GB，变更规格不影响系统盘，仅涉及数据盘。 变更支持的版本规格 变更规格前版本规格 变更规格后版本规格 50标准版 50专业版 100标准版、100专业版 200标准版、200专业版 500标准版、500专业版 1000标准版、1000专业版 5000标准版、5000专业版 10000标准版、10000专业版 50专业版 100专业版 200专业版 500专业版 1000专业版 5000专业版 10000专业版 100标准版 100专业版 200标准版、200专业版 500标准版、500专业版 1000标准版、1000专业版 5000标准版、5000专业版 10000标准版、10000专业版 100专业版 200专业版 500专业版 1000专业版 5000专业版 10000专业版 200标准版 200专业版 500标准版、500专业版 1000标准版、1000专业版 5000标准版、5000专业版 10000标准版、10000专业 200专业版 500专业版 1000专业版 5000专业版 10000专业版 500标准版 500专业版 1000标准版、1000专业版 5000标准版、5000专业版 10000标准版、10000专业版 500专业版 1000专业版 5000专业版 10000专业版 1000标准版 1000专业版 5000标准版、5000专业版 10000标准版、10000专业 1000专业版 5000专业版 10000专业版 5000标准版 5000专业版 10000标准版 10000专业版 5000专业版 10000专业版

本节主要介绍Pika到GeminiDB Redis的迁移方案。 Pika是一个可持久化的大容量Redis存储服务，解决了Redis由于存储数据量巨大而导致内存不够用的容量瓶颈。但其集群管理功能较为薄弱，需要使用twemproxy或者codis实现静态数据分片。同时由于数据全部存储在磁盘中，相比于社区版Redis，性能明显下降。 GeminiDB Redis是一款兼容Redis生态的云原生NoSQL数据库，基于共享存储池的多副本强一致机制，保证数据的安全可靠。GeminiDB Redis实现了冷热分离，解决了缓存（cache）与数据库（Data Base，DB）之间交互访问的问题，提高了程序可读性与程序运行效率。同时对RocksDB进行深度定制，实现秒级分裂弹性扩容，扩缩容无需搬迁数据，快速而平滑。通过proxy代理，使上层业务可以不感知内核处理扩缩容过程中的数据迁移。 迁移原理 pikaport伪装成Pika的从节点运行，通过主从复制的方式进行数据迁移。Pika主节点通过比较pikaport和自己的binlog偏移量判断做全量迁移还是增量迁移。如果需要做全量迁移，Pika主节点会将全量数据快照发送给pikaport，pikaport将解析后的快照数据发送给GeminiDB Redis。全量迁移结束后进入增量迁移，pikaport将增量数据解析后以redis命令的形式发送给GeminiDB Redis。 图 迁移原理

本章节主要介绍翼MR Manager的资源概览特性。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab。 4. 单击“前往翼MR Manager”。 5. 进入翼MR Manager后，点击菜单“资源概览”，进入资源概览页面。 6. 默认展示最新3小时的数据，可通过右上角时间范围选框，选择其他时间段的监控数据。 7. 主机状态数据，可以通过下拉选框，选择单台主机，查看监控数据。 资源概览展示当前平台所有主机的CPU使用率、磁盘使用率、内存使用率、网络发送速率、网络接收速率信息，以及集群下组件核心指标。如图所示：

本文介绍AD域功能的使用流程及使用限制。 使用流程 以下为CIFS文件系统加入AD域的使用流程： 1. 搭建AD域环境。包括创建AD域控制器、创建AD域用户、将客户端加入AD域等，参考AD域环境搭建。 2. 文件系统加入AD域。登录AD域控制器的云主机生成keytab文件，并通过弹性文件服务的控制台将keytab文件上传至文件服务器，参考文件系统加入AD域。 3. 登录普通AD域客户端，使用域用户身份挂载CIFS文件系统，参考使用域用户身份挂载访问CIFS文件系统。 4. 读写访问文件系统。 了解关于AD域的使用限制和常见问题。 使用限制 仅CIFS文件系统支持使用AD域功能。 本功能目前面向白名单用户开放，如需试用请提交工单进行申请。 CIFS版本：支持SMB2.0和SMB3.0使用AD域功能。 Windows客户端版本：与文件系统支持的Windows版本一致，参考支持的操作系统。 文件系统状态与AD域服务的关系：文件系统为“可用”时可正常使用AD域服务，文件系统为“已过期”或“已冻结”将无法正常访问，此时需要续订文件系统或给账户进行续费。 修改AD域配置或文件系统退域后建议重新挂载以保证服务正常生效。

本小节介绍SSL VPN的Windows安装客户端操作方法。 下载并安装Windows客户端 1. Windows电脑首次接入SSL VPN隧道时，在客户端电脑上打开浏览器，地址栏输入SSL VPN客户端接入地址 VPN云主机的公网IP，默认的端口是443，如果修改了默认端口，例如TCP443端口改为了4433端口，则接入地址是 2. 打开SSL VPN接入地址后会显示VPN客户端软件EasyConnect的下载，点击“下载”安装运行，如下图所示。 接入SSL VPN 1. 双击客户端图标。 2. 服务器地址输入vSSL的接入地址（以下截图中的IP为示例地址），然后点击右侧“连接”按钮。 3. 如下图中，输入SSL VPN客户端的用户名和密码信息，然后点击“登录”就可以接入SSL VPN隧道了。 4. 接入后，在电脑右下角就可以看到EasyConnect的图标，显示已连接的状态。右击图标点击“显示资源”可以看到自己的SSL用户可以访问到的资源权限。然后客户端电脑上输入天翼云业务服务器的内网私有IP地址访问即可。

本小节介绍SSL VPN的手机平板安装客户端操作方法。 安卓手机平板安装客户端 方法1 PC端访问SSL VPN客户端接入地址 （IP地址就是搭建SSL VPN 云主机的公网IP，默认的端口是443，如果TCP443端口改成了4433端口或其他端口，打开方式是 方法2 登录官网下载EasyConnect的App软件，官网下载地址见这里。 方法3 安卓手机平板上，打开浏览器输入SSL VPN客户端接入地址 VPN控制台管理页面，“系统设置 > SSL VPN选项 > 系统选项 > 接入选项”里面勾选启用http端口。 苹果iOS手机平板 下载客户端 苹果iOS手机平板上，打开苹果手机上的App Store应用市场，搜索EasyConnect，然后下载安装。 使用方法 1. 手机平板上安装EasyConnect客户端软件后，在手机平板桌面找到“EasyConnect”的图标。 2. 打开运行，输入SSL VPN客户端的接入地址 VPN的用户名和密码，点击“登录”，如下图所示。 3. 接入显示成功后，就可以在资源列表中看到自己所访问的资源权限，然后手机平板上输入天翼云业务服务器的内网私有IP地址访问即可。

无证书连接 说明 该方式不对服务端进行证书校验，用户无需下载SSL证书。 1. 通过JDBC连接MySQL数据库实例，代码中的JDBC链接格式如下： java jdbc:mysql:// : / ?useSSLfalse 变量 说明 请替换为实例的IP地址。 说明：如果通过弹性云主机连接，“instanceip”是实例的“内网地址”。您可以在该实例“基本信息”或“连接管理”页面的“连接信息”区域查看。如果通过公网连接，“instanceip”为该实例已绑定的“弹性公网IP”。您可以在该实例“连接管理”页面的“连接信息”区域查看。 请替换为实例的数据库端口，默认为13049。 说明：您可以在该实例“连接管理”页面的“连接信息”区域查看。 请替换为连接实例使用的数据库名，默认为mysql。 代码示例（连接MySQL数据库的java代码）： java import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; public class NoneCaConnTest { final public static void main(String[] args) { Connection conn null; String url "jdbc:mysql://instanceip:13049/dbtest?useSSLfalse"; try { Class.forName("com.mysql.jdbc.Driver"); String USER "xxx"; String PASSOWRD "xxx"; conn DriverManager.getConnection(url, USER , PASSOWRD ); System.out.println("Database is connected"); Statement stmt conn.createStatement(); ResultSet rs stmt.executeQuery("SELECT FROM table WHERE column 100"); while (rs.next()) { System.out.println(rs.getString(1)); } rs.close(); stmt.close(); conn.close(); } catch (Exception e) { e.printStackTrace(); System.out.println("Test no ca failed"); } finally { // 释放资源 } } }

本章节以Linux系统为例，介绍从购买到内网连接MySQL实例的操作步骤。 操作步骤一：创建MySQL实例 具体操作，请参见创建实例。 操作步骤二：创建ECS 具体操作，请参见创建弹性云主机。 操作步骤三：连接MySQL实例 1. 本地使用Linux远程连接工具登录ECS。 其中，Remote host为ECS绑定的弹性公网IP。 2. 输入创建ECS时设置的密码。 3. 下载客户端，选择客户端版本和操作系统，下载mysqlcommunityclient8.0.261.el6.x8664.rpm客户端安装包。 4. 上传客户端安装包到ECS。 5. 安装客户端。 plaintext rpm ivh nodeps mysqlcommunityclient8.0.261.el6.x8664.rpm 6. 连接MySQL实例。 plaintext mysql h 192.168.XX.XX P 3306 u root p 7. 创建数据库testdb。 plaintext create database testdb; 8. 创建表testtable。 plaintext create table testtable(id int(8), name char(32), age int(8)); 9. 向表中插入一条数据。 plaintext insert into testtable(id, name, age) values(1, 'zhujiasi', 30); 10. 查询表数据。 plaintext select from testtable; 11. 更新表中id为1的age字段值。 plaintext update testtable set age31 where id1; 12. 查询更新后的表数据。 plaintext select from testtable where id1; 13. 删除表中id为1的数据。 plaintext delete from testtable where id1; 14. 删除表结构。 plaintext drop table testtable; 15. 删除数据库。 plaintext drop database testdb;

本文为您介绍验证/变更/停用/编辑脚本的具体操作。 验证脚本 使用条件 验证脚本时，若目标资源为主机，仅支持远程连接开启的非天翼云主机。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“脚本管理”“脚本库”，进入脚本库列表页。 5. 点击脚本列表操作列中的“验证”按钮，弹出验证脚本弹窗。 6. 选择验证脚本相关信息，各配置项说明如下： 参数 是否必填 配置说明 目标资源 √ 选择目标资源，若为主机脚本，展示远程连接开启的非天翼云云主机列表。若为数据库脚本，展示已配置连接信息的所有数据库实例列表。 支持按资源的实例名及IP进行搜索。 脚本请求参数 √ 填写脚本创建时定义的请求参数名。 7. 确认信息填写完毕后，点击“确认”按钮，进行脚本验证后，跳转至脚本详情页。 变更脚本

本章节主要介绍作业配置管理。 CDM作业管理界面的“配置管理”页签，主要操作如下： CDM作业最大抽取并发数 CDM作业定时备份/恢复 CDM作业参数的环境变量 CDM作业最大抽取并发数 最大抽取并发数取值范围为1300，用于限制作业运行的总抽取并发数。如果当前所有作业总并发数超过限制，超过部分将排队等待。请您参考各单作业抽取并发数估算最大总抽取并发数。 单作业的抽取并发量配置原则如下： CDM迁移作业的抽取并发数，与集群规格和表大小有关。并发抽取数取值范围为1300，若配置过大，则以队列的形式进行排队。 建议每1CUs（1CUs1核4G）配置为4，如下表所示，您也可以根据实际情况进行调整。另外，每行数据大小为1MB以下的可以多并发抽取，超过1MB的建议单线程抽取数据。 说明 迁移的目的端为文件时，CDM不支持多并发，此时应配置为单进程抽取数据。 单作业的抽取并发数，受到作业“配置管理”中所配置的“最大抽取并发数”影响。“最大抽取并发数”配置的是抽取并发总数。 表 抽取并发数参考配置 CDM集群规格 vCPUs/内存 抽取并发数参考配置 cdm.large 8核16GB 16 cdm.xlarge 16核32GB 32 cdm.4xlarge 64核128GB 128

本章节主要介绍数据仓库服务的告警规则。 概述 阈值告警相关概念： 告警规则：告警规则由告警规则名称，告警规则描述，规则绑定集群列表，告警策略触发关系，告警策略项构成。一条告警规则可绑定某个指定集群或所有集群，拥有一个或多个告警策略。其中，告警策略之间组合关系由“策略触发关系”选项描述。告警规则的阈值触发和抑制条件由每条告警策略描述。 告警策略：为某个告警指标指定的触发条件，抑制条件，告警级别的组合称为告警策略。 告警指标：数据库集群的某个指标项，一般是一个时间序列数据，例如：节点CPU使用率，查询触发下盘量等。 告警规则分类： 默认规则：DWS阈值告警模块的最佳实践。 自定义规则：用户可自由选择或组合监控指标形成个性化的告警规则。目前版本仅支持用户自定义schema使用率告警规则。 告警规则操作： 修改：修改告警规则的选项。所有告警规则都可以修改编辑，但默认告警规则只能修改部分选项，而自定义告警规则可以修改全部选项。 启用/停用：启用或停用告警规则。所有的告警规则都可以启用/停用，启用后告警规则会被告警引擎纳入检查列表，可以正常触发。停用后的告警规则将被告警引擎移出检查列表，不会触发该规则检查。 删除：删除告警规则。只有自定义告警规则可以被删除，用户无法删除默认告警规则。

本节主要介绍Redis实例如何通过rediscli连接 rediscli是原生Redis自带的命令行工具，您可以在ECS实例或本地设备上通过rediscli连接分布式缓存Redis版，进行数据管理。 前提条件 1. 设置Redis账号密码。可选择以下任意方式： 设置Redis默认账号的密码，具体操作请参考重置缓存实例密码。 创建新的账号密码，具体操作请参考创建与管理账号。 2. 获取Redis连接信息。 使用专有网络连接：在Redis控制台，获取该实例的专有网络连接地址，具体操作请参考查看连接地址。 使用公网连接时：在Redis控制台，绑定并获取该实例的公网IP，具体操作请参考绑定公网IP。 说明 说明：Redis实例默认仅提供专有网络连接地址，通过公网连接时您需要手动申请公网连接地址，具体操作请查看 操作步骤 1. 登录安装rediscli的设备，例如天翼云弹性云主机实例或本地设备。 2. 进入rediscli安装目录下。 Windows：打开命令行窗口，进入rediscli所属的目录。 Linux：进入..redissrc所属的目录，例如cd /home/redis5.0.5/src。 3. 获取连接信息并执行下述命令连接Redis实例： rediscli h ip p port 各参数说明如下： 参数 说明 获取方式 ip Redis实例的连接地址 参见查看连接地址 port Redis实例的端口号 端口号。 4. 执行下述命令完成密码验证： AUTH password

本节介绍印刷文字识别的相关术语解释。 OCR Optical Character Recognition，光学字符识别，一种通过扫描后将文本转换为可编辑数字文本的技术。通过使用图像处理和机器学习等技术，OCR可以将印刷文本转换为计算机可读的数字文本，从而实现对文本的数字化处理和自动化识别。 分段 Segmentation，图像预处理的一个步骤，将文本块从整个图像中分离出来。 二值化 Binarization，将文本图像转换为只包含黑色和白色像素的图像。这种处理方法的优点是能够简化图像处理过程，提高处理效率。 切割 Snapping，将图像中的字符切割成单独的字符，方便后续的字符识别和处理。 识别率 Recognition rate，OCR系统正确识别字符的比率。识别率的计算公式为：（正确识别的字符数 / 总字符数） × 100%。识别率越高，说明OCR系统的性能越好，识别效果越准确。在实际应用中，识别率是评价OCR系统性能的重要标准之一，也是用户选择OCR系统的重要依据之一。 特征提取 Feature extraction，指从原始图像中提取出一些具有代表性的特征，这些特征可以用于描述图像的内容和结构。在文本图像识别中，特征提取是关键步骤之一，它可以帮助机器更好地理解和识别文本信息。 文本框检测 Text frame detection，在图像中识别和定位文本框的位置和大小的过程，可以帮助确定需要识别的文本区域，使OCR只检测感兴趣区域，从而减少OCR系统的计算量和误差。

本节介绍等保合规的检查项是否可以忽略。 可以。 如果您确认扫描出的检查项不会对主机造成危害，您可以在目标检查项所在行的“操作”列，单击“忽略”，忽略该检查项，后续执行扫描任务会扫描出该漏洞，但相应的检查项统计结果将发生变化，扫描报告中也不会出现该检查项。 VSS目前仅企业版用户支持等保合规检测，如果您需要对您的主机进行等保合规检测，请购买企业版。

ODBC驱动 选择相应的版本，然后单击“下载”可以下载与集群版本匹配的ODBC驱动。如果同时拥有不同版本的集群，单击“下载”时会下载与集群最低版本相对应的ODBC驱动。如果当前没有集群，单击“下载”时将下载到低版本的ODBC驱动。DWS 集群可向下兼容低版本的ODBC驱动。 单击“历史版本”可根据操作系统和集群版本下载相应版本的ODBC驱动，建议按集群版本进行下载。 ODBC驱动支持在以下系统中使用： “Microsoft Windows”驱动支持在以下系统中使用： Windows 7及以上。 Windows Server 2008及以上。 Euler Kunpeng64”驱动支持在以下系统中使用： EulerOS 2.8。 “RedhatKunpeng64”驱动支持在以下系统中使用： CentOS 7.5,7.6。 NeoKylin 7.6。 ”Redhat x8664”驱动支持在以下系统中使用： RHEL 6.4~7.6。 CentOS 6.4~7.4。 EulerOS 2.3。 ”SUSE x8664”驱动支持在以下系统中使用： SLES 11.1~11.4。 SLES 12.0~12.3。 说明 Windows驱动只支持32位版本，可以在32或64位操作系统使用，但是应用程序必须为32位。 使用JDBC连接数据库 DWS 支持在Linux或Windows环境下使用JDBC应用程序连接数据库。应用程序可以在云平台环境的弹性云主机中，或者互联网环境连接数据库。 用户通过JDBC连接DWS 集群时，可以选择是否采用SSL认证方式。SSL认证用于加密客户端和服务器之间的通讯数据，为敏感数据在Internet上的传输提供了一种安全保障手段。DWS 管理控制台提供了自签的证书供用户下载。使用该证书，用户需要配置客户端程序，使证书可用，此过程依赖于openssl工具以及java自带的keytool工具。 说明 SSL模式安全性高于普通模式，建议在使用JDBC连接DWS 集群时采用SSL模式。 JDBC接口的使用方法，请自行查阅官方文档。

本小节介绍渗透测试的服务流程，帮助您了解服务开展过程。 渗透测试服务以人工服务为主，我们的渗透测试人员在取得您的授权后，将对目标系统进行全面的渗透测试工作，总体流程如下： 1. 客户订购与需求匹配的服务规格并下单付款。 2. 客户经理会与您取得联系，协助您完成《业务需求单》及《渗透测试授权书》的填写，您需要如实填写以下内容： 域名备案信息比对，必须为真实、合法信息。 被检测的IP主机信息。 如您为天翼云托管用户，需要提供域名清单，解析后必须为天翼云主机IP，才可提供渗透测试服务。 您所提供的应用URL描述须写明功能是什么或用途是什么。 业务接口人联系方式，您需提供一个具有对渗透测试方案及渗透测试过程中出现的问题有决定权的业务接口人联系人。 如您有安全防护设备，应在渗透测试开始阶段将渗透测试所用的公网IP加入安全防护设备白名单，避免因渗透测试工作带来的告警。（如在渗透测试开始阶段客户未将渗透测试所用的公网IP加入安全防护设备白名单，由此产生的告警及对渗透测试结果的影响，我方不承担责任。） 您需签订渗透测试授权书。 3. 我们会根据您提供的信息，与您进行沟通，编写渗透测试方案，并与您确认测试细节，双方确认无误后，将进入渗透测试环境，渗透测试工作主要包含如下步骤： 明确目标：确定渗透测试的范围，如IP、域名、内外网、整站或部分模块，确定规则，如能渗透到什么程度，是发现漏洞为止还是继续利用漏洞，确定需求，如Web应用的漏洞，业务逻辑漏洞，人员权限管理漏洞。 信息收集：在信息收集阶段要尽量收集关于项目软件的各种信息，例如，对于一个Web应用程序，要收集脚本类型、服务器类型、数据库类型以及项目所用到的框架、开源软件等。 漏洞探测：进行漏洞探测，包括手动和自动探测。 漏洞验证：对探测出的漏洞进行验证，确定其真实存在。 信息分析：对收集到的信息进行分析，尝试利用漏洞获取数据。 利用漏洞获取数据：如果能够利用漏洞获取数据，则进行数据获取。 信息整理：对获取到的数据进行整理，方便后续分析。 形成报告：根据渗透测试的实际情况，形成详细、专业的报告。 4. 形成报告后，我们会将报告发送给您，您可以根据报告内容，发现系统漏洞，及时加固完善。 以上为渗透测试的基本服务流程，如您在服务过程中有任何问题，请您与客户经理联系并反馈，我们会尽快为您处理。

本文主要介绍 存储类StorageClass。 StorageClass描述了集群中的存储类型“分类”，在创建PVC/PV均需要指定StorageClass。目前CCE默认提供csidisk、csinas、csiobs等StorageClass，在声明PVC时使用对应StorageClassName，就可以自动创建对应类型PV，并自动创建底层的存储资源。 执行如下命令即可查询CCE提供的默认StorageClass。您可以使用CCE提供的CSI插件自定义创建StorageClass，但从功能角度与CCE提供的默认StorageClass并无区别，这里不做过多描述。 kubectl get sc NAME PROVISIONER AGE csidisk everestcsiprovisioner 17d 云硬盘 StorageClass csinas everestcsiprovisioner 17d 文件存储 1.0 StorageClass csisfs everestcsiprovisioner 17d 文件存储 3.0 StorageClass csiobs everestcsiprovisioner 17d 对象存储 StorageClass csisfsturbo everestcsiprovisioner 17d 极速文件存储 StorageClass csilocaltopology everestcsiprovisioner 17d 本地持久卷 定义了StorageClass后，就可以减少创建并维护PV的工作，PV变成了自动创建，作为使用者，只需要在声明PVC时指定StorageClassName即可，这就大大减少工作量。 除了使用CCE提供的StorageClass外，您还可以自定义StorageClass，使用自定义StorageClass有时能为使用带来一定的方便。下面将详细介绍这些的应用现状、解决方案以及自定义StorageClass的方法等。 应用现状 CCE中使用存储时，最常见的方法是创建PVC时通过指定StorageClassName定义要创建存储的类型，如下所示，使用PVC申请一个SAS（高I/O）类型云硬盘/块存储。 apiVersion: v1 kind: PersistentVolumeClaim metadata: name: pvcevsexample namespace: default annotations: everest.io/diskvolumetype: SAS spec: accessModes: ReadWriteOnce resources: requests: storage: 10Gi storageClassName: csidisk 可以看到在CCE中如果需要指定云硬盘的类型，是通过everest.io/diskvolumetype: SAS字段指定，这里SAS是云硬盘的类型，代表高I/O，还有SSD（超高I/O）可以指定。 这种写法在如下几种场景下存在问题： 部分用户觉得使用everest.io/diskvolumetype指定云硬盘类型比繁琐，希望只通过StorageClassName指定。 部分用户是从自建Kubernetes或其他Kubernetes服务切换到CCE，已经写了很多应用的YAML文件，这些YAML文件中通过不同StorageClassName指定不同类型存储，迁移到CCE上时，使用存储就需要修改大量YAML文件或Helm Chart包，这非常繁琐且容易出错。 部分用户希望能够设置默认的StorageClassName，所有应用都使用默认存储类型，在YAML中不用指定StorageClassName也能按创建默认类型存储。

事后：损失最小化，被勒索后“及时恢复” 当前勒索攻击发展迅速，任何工具都无法提供100%防护。若不幸失陷，备份恢复能够将损失最小化。通过云备份服务快速恢复业务，保障业务安全运行。 备份数据恢复业务：首先还原业务关键型系统，请在还原之前再次验证备份是否正常。 勒索防护配置说明 当前勒索病毒频繁升级、变种，主机安全可支持对勒索病毒的检测及系统风险项的识别，但无法做到百分百的病毒防护能力，需要通过配置CBR备份服务进一步提升勒索病毒防护能力、消减勒索带来的影响。仅配置CBR备份服务，可能出现备份副本到勒索攻击时间节点间的业务无法恢复，需要同步配置HSS勒索病毒防护功能实时检测勒索病毒，减小业务受损范围。 云安全事件数据表明，HSS与CBR对勒索综合防御能力均具有影响，为使您的业务环境处于最佳勒索防御状态，强烈建议开通HSS旗舰版勒索防护策略，开通并配置小时级别永久保存的CBR备份： 企业主机安全HSS服务状态 云备份 CBR服务状态 被加密概率 加密后恢复概率 防御勒索病毒侵害的综合得分（0~100） 开通版本 勒索防护策略 配置状态 最短备份周期（推荐） 被加密概率 加密后恢复概率 防御勒索病毒侵害的综合得分（0~100） 非常高（90%） 0% 0 基础版 不支持 非常高（90%） 0% 0 企业版 不支持 非常高（85%） 0% 10 旗舰版 未配置 中（50%） 0% 15 基础版/未开通 不支持 已配置 天 非常高（90%） 50% 20 企业版 不支持 已配置 天 非常高（85%） 50% 30 基础版/未开通 不支持 已配置 小时 非常高（90%） 90% 30 旗舰版 未配置 已配置 天 中（50%） 50% 35 企业版 不支持 已配置 小时 非常高（85%） 90% 40 旗舰版 未配置 已配置 小时 中（50%） 90% 45 旗舰版 已配置 非常低（<10%） 0% 60 旗舰版 已配置 已配置 天 非常低（<10%） 50% 80 旗舰版 已配置 已配置 小时 非常低（<10%） 90% 90 旗舰版 已配置 已配置 小时（永久备份） 非常低（<10%） 90% 99（推荐）

本文介绍CCE容器集群拉取本地私有仓库镜像权限不足问题。 问题背景 用户自己搭建了一套harbor镜像仓库，并购买了天翼云的容器引擎产品。用户需要cce集群能够使用用户本地搭建的harbor镜像仓库中的镜像。 操作前提 保证该harbor仓库所在网络与cce容器引擎集群的网络是联通的 解决方案 准备好仓库的ca.crt文件 在初期进行harbor私有仓库搭建的时候，为了保证对于harbor的安全使用，对harbor的https访问进行配置，为了能够使cce集群拉取harbor的镜像，我们需要搭建harbor仓库时所使用的CA证书。证书通常存放在Harbor主机上的docker 证书目录：/etc/docker/certs.d/harbor域名/中，在/etc/docker/certs.d/harbor域名/ 中存放着我们所需要的文件：ca.crt 在cce集群上创建存放证书的文件夹 执行以下命令，创建文件夹，用于存放证书文件： mkdir p /etc/docker/certs.d/harbor域名/ 拷贝证书文件到指定文件夹 登陆本地harbor主机，将CA文件拷贝到集群主机指定文件夹下，执行以下命令： scp r /etc/docker/certs.d/harbor域名/ca.crt root@集群主机IP:/etc/docker/certs.d/harbor域名/ 验证 登陆集群节点，再集群节点上进行操作。 方法一：重新部署相关服务，验证是否能够正常拉取镜像。 方法二：通过登陆harbor仓库，执行拉取镜像操作： docker login harbor域名 docker pull 仓库名/镜像名:镜像tag