本节介绍服务器安全卫士（原生版）功能特性。 安全概览 全方位查看服务器安全数据及状态，包括服务器数量统计、服务器安全状态统计、待处理告警、服务器运行状况统计、服务器资产清点统计及排名。 资产管理 查看服务器列表信息及服务器详情信息，支持为服务器开启/关闭防护；自动清点主机内部资产如进程、端口、账号、应用等，实时掌握主机内部资产变化，为安全分析提供数据基础。 基线检测 对系统基线进行全面检查，支持一键检测和定时检测方式，可自定义基线策略，支持对基线进行白名单设置。 漏洞扫描 精准扫描Linux和Windows漏洞，支持一键扫描和定时扫描方式，可查看漏洞详细信息，并提供漏洞修复建议。 入侵检测 包括异常登录和爆破登录，和查看各类入侵防御记录及拦截结果。实时异常登录监控，发现异常IP、区域、时间等的异常登录，并发送告警通知；实时暴力破解多层次监控，支持暴力破解拦截功能，支持查看拦截记录。 弱口令检测 检测系统中的弱口令，包括常见弱口令、空口令、系统默认口令、口令中包含用户名等场景。 病毒查杀 支持对挖矿木马、蠕虫、勒索病毒等进行有效的检测，提供灵活的检测方式，支持一键检测和定时检测方式，通过简单操作即可完成对病毒的处理，支持对病毒文件进行隔离、删除和信任。

二、Shell 脚本内容 shell !/bin/bash 检查远程主机上指定服务进程是否正在运行 status$(sshpass p ${HostPwd} ssh o StrictHostKeyCheckingno o ConnectTimeout5 ${HostUser}@${HostIP} "pgrep ${serviced} > /dev/null; echo $?") 根据进程状态执行相应操作 if [ "$status" eq 0 ]; then 进程正在运行，执行重启操作 retCode$(sshpass p ${HostPwd} ssh o StrictHostKeyCheckingno ${HostUser}@${HostIP} "sudo systemctl restart ${serviced}; echo $?") else 进程未运行，执行启动操作 retCode$(sshpass p ${HostPwd} ssh o StrictHostKeyCheckingno ${HostUser}@${HostIP} "sudo systemctl start ${serviced}; echo $?") fi if [ "$retCode" eq 0 ]; then echo "0" else echo "1" fi 实现说明 1. 远程连接与命令执行 ：使用 sshpass 工具通过密码认证建立 SSH 连接，在远程主机上执行相应命令 2. 进程状态检测 ：通过 pgrep ${serviced} 命令检查指定进程是否运行 进程正在运行：返回状态码 0 进程未运行：返回状态码 1 3. 服务管理： 当检测到进程运行时，执行 systemctl restart 命令重启服务 当检测到进程未运行时，执行 systemctl start 命令启动服务 4. 返回值处理 ：通过 ${retCode} 获取命令执行结果，0 表示成功，非零值表示失败 参数配置 在"脚本参数"中需要配置以下参数： 请求参数： ${serviced}：需要监控的守护进程名称 返回参数： ${retCode}：用于捕获脚本执行结果的状态码

资产中心 对镜像、仓库、容器、主机、微服务、kubernetes配置信息等容器相关信息进行自动采集，统一可视化管理，对容器风险一目了然，时刻掌握容器资产变化，使安全不落后于业务。消除安全与运维之间的信息壁垒，使业务环境内各项资产对安全用户清晰可见。 细粒度、结构化的资产清点助力安全用户及时发现容器、集群环境中可能存在的的风险隐患，提前进行预防、修复，并在入侵事件发生时帮助安全用户及时定位受损资产信息，快速进行响应处理以免恶意事件扩散使更多资产受到感染。 资产管理类型包括容器、镜像、仓库、主机、POD等，为用户提供容器内资产的分类视图，支持对每一类资产进行数据分级聚合展示，实现容器资产的全面可视化，帮助用户更直观地了解当前系统内的资产情况。 资产管理 系统资产数据持续更新，每日及时、自动上报资产数据。基于历史清点的数据，每次只清点新启动的进程信息，极大降低对服务性能的消耗。 资产可视化 系统支持清点的资产种类包括容器、镜像、Registry、POD等，为用户提供容器内资产的分类视图，支持对每一类资产进行数据分级聚合展示，实现容器资产的全面可视化。 资产更新 用户可根据使用场景设置资产的更新周期，包括资产的范围。

本章节主要介绍ALM24003 Flume Client连接中断的告警。 告警解释 告警模块对Flume Server的连接端口状态进行监控。当Flume Client连接到Flume Server的某个端口，Client端连续3分钟未与Server端连接时，系统产生此告警。 当Flume Server收到Flume Client连接消息，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 24003 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 客户端IP Flume客户端IP地址。 客户端名称 Flume客户端的Agent名称。 sink名称 Flume Agent的sink名称。 对系统的影响 产生告警的Flume Client无法与Flume Server端进行通信，Flume Client端的数据无法传输到Flume Server端。 可能原因 Flume Client端与Flume Server端网络故障。 Flume Client端进程故障。 Flume Client端配置错误。 处理步骤 检查Flume Client与Flume Server的网络状况 1.以root用户登录到告警定位参数中描述的Flume ClientIP所在主机。 2.执行ping Flume Server IP地址命令，检查Flume Client到Flume Server的网络是否正常。 是，执行步骤3。 否，执行步骤11。 检查Flume Client端进程故障 3.以root用户登录到告警定位参数中描述的Flume ClientIP所在主机。 4.执行ps efgrep flume grep client命令，查看是否存在Flume Client进程。 是，执行步骤5。 否，执行步骤11。

本节主要介绍设置应用组件实例调度策略 ServiceStage支持丰富的调度策略，包括静态的全局调度策略，以及动态的运行时调度策略，您可以根据需要自由组合使用这些策略来实现业务需求。 概念阐述 应用与可用区的亲和性 亲和：决定应用组件部署在特定的可用区中。 反亲和：决定应用组件不能部署在特定的可用区中。 应用与节点间的亲和性 亲和：决定应用组件部署在某些特定的主机中。 反亲和：决定应用组件不能部署在某些特定的主机中。 应用间的亲和性 决定应用组件部署在相同或不同节点中。 亲和：用户可根据业务需求进行应用组件的就近部署，应用组件间通信就近路由，减少网络消耗。如图1所示，APP1、APP2、APP3和APP4部署在相同节点上，为亲和性部署。 图 应用间亲和 反亲和：同个应用组件的多个实例反亲和部署，减少宕机影响；互相干扰的应用反亲和部署，避免干扰。 如图所示，APP1、APP2、APP3和APP4分别部署在不同节点上，这四个应用为反亲和性部署。 图 应用间反亲和

本章节介绍如何查看主机和组件日志信息。 操作步骤 1. 登录翼MR管理控制台。 2. 选择“我的集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 在“节点管理”页选中单击Master节点，选择要进入的Master节点。 4. 单击该节点右侧的“远程连接”。 5. 根据界面提示，输入节点的用户名和密码，用户名为root。 6. 进入对应组件的日志目录，查看相关日志。

本章介绍如何解锁目的端。 操作场景 在全量复制过程中，系统默认将您的目的端锁定不可操作，迁移完成后将自动解锁目的端服务器。如您在迁移过程中，需要操作目的端，可以解锁目的端。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“迁移服务器”，进入迁移服务器列表页面。 3. 在迁移服务器列表页面选择需要解锁目的端的服务器，在“操作”列单击“更多 > 解锁目的端”。 4. 弹出“解锁目的端”窗口，单击“确定”。

部署示例 Java代码包部署示例 类型：Web 应用框架，企业级 框架：Spring Boot 4.0.2 运行环境：Java 17 启动命令：java jar target/hellocaejava0.0.1SNAPSHOT.jar 代码包：hellocaejava.zip 验证：进入终端，执行 curl Python代码包部署示例 类型：Web 应用框架，轻量级 框架：Flask 2.2.0 运行环境：python 3.9 启动命令：python3 run.py 代码包：hellocaepython.zip 验证：进入终端，执行 curl Go 代码包部署示例 类型：高性能 Web 应用框架，企业级 框架：Hertz 0.9.6 运行环境：go 1.24 启动命令： shell chmod +x hellocaegolinux ./hellocaegolinux 代码包：hellocaego.zip 验证：进入终端，执行 curl

部署示例 Java代码包部署示例 类型：Web 应用框架，企业级 框架：Spring Boot 4.0.2 运行环境：Java 17 启动命令：java jar target/hellocaejava0.0.1SNAPSHOT.jar 代码包：hellocaejava.zip 验证：进入终端，执行 curl Python代码包部署示例 类型：Web 应用框架，轻量级 框架：Flask 2.2.0 运行环境：python 3.9 启动命令：python3 run.py 代码包：hellocaepython.zip 验证：进入终端，执行 curl Go 代码包部署示例 类型：高性能 Web 应用框架，企业级 框架：Hertz 0.9.6 运行环境：go 1.24 启动命令： shell chmod +x hellocaegolinux ./hellocaegolinux 代码包：hellocaego.zip 验证：进入终端，执行 curl

部署示例 Java代码包部署示例 类型：Web 应用框架，企业级 框架：Spring Boot 4.0.2 运行环境：Java 17 启动命令：java jar hellocaejava0.0.1SNAPSHOT.jar 代码包：hellocaejava.zip 验证：进入终端，执行 curl Python代码包部署示例 类型：Web 应用框架，轻量级 框架：Flask 2.2.0 运行环境：python 3.9 启动命令：python3 run.py 代码包：hellocaepython.zip 验证：进入终端，执行 curl Go 代码包部署示例 类型：高性能 Web 应用框架，企业级 框架：Hertz 0.9.6 运行环境：go 1.24 启动命令： shell chmod +x hellocaegolinux ./hellocaegolinux 代码包：hellocaego.zip 验证：进入终端，执行 curl

本文为您介绍如何通过Python客户端访问天翼云云搜索OpenSearch实例。 概述 Python 客户端（opensearchpy）是 OpenSearch 官方提供的库，可以用来与集群交互，支持数据查询、索引管理等操作，适合快速开发和轻量级应用。 前提条件 已开通天翼云云搜索服务 OpenSearch实例。 实例已绑定公网 IP。具体可参考“实例公网访问”章节。 已在本地安装 Python 3.x 版本。 已安装 OpenSearch 官方 Python 客户端库。 操作步骤 1. 安装Python客户端库： pip install opensearchpy 2. 使用以下代码连接到OpenSearch实例： from opensearchpy import OpenSearch 连接到 OpenSearch 集群 client OpenSearch( hosts[" httpauth(" ", " ") ) 3. 创建索引操作 client.indices.create(index"myindex", ignore400) host：集群绑定的公网 IP。 user：OpenSearch 集群用户名，例如 admin。 password：用户密码，例如 admin 用户的密码。 4. 执行查询操作： response client.get(index"myindex", id1) print(response)

恢复数据方式 描述 详细介绍 从回收站中恢复云硬盘 天翼云云硬盘回收站开启后，支持将删除的云硬盘资源保存至回收站中。 在7天内，您可以在回收站内恢复云硬盘数据。 以防止误删除导致的云硬盘数据丢失。 使用快照回滚云硬盘 当发生误操作或系统故障等问题时，您可以使用已创建的快照来回滚数据。 云硬盘的数据将恢复至创建快照的时刻，从而实现云硬盘数据的恢复。 使用快照创建云硬盘 您可以通过快照创建新的云硬盘，使云硬盘在初始状态就具有快照中的数据。 使用备份恢复云硬盘 当云硬盘发生故障，或者由于人为误操作导致云硬盘数据丢失时，您可以使用已经创建成功的备份恢复数据至源云硬盘。 使用备份创建云硬盘 您可以使用备份创建新的云硬盘，新建的云硬盘在初始状态就具有备份中的数据。

本章将为您介绍用户如何修改云硬盘的名称。 操作场景 云硬盘名称通常用来标识磁盘，云硬盘创建完成后，如果您需要修改云硬盘的名称，请参考本章的操作。 约束与限制 只有当云硬盘处于“已挂载”、“未挂载”状态时，支持修改云硬盘名称。 操作步骤 您可以通过以下步骤来修改云硬盘名称。 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 在云硬盘列表中，找到待修改名称的云硬盘，单击云硬盘名称旁边的图标，打开“修改名称”窗口，输入修改后的名称，点击“确认”即可完成修改。 5. 或点击云硬盘名称，进入详情页。单击云硬盘名称旁边的图标，当云硬盘名称变为可编辑状态，输入新的云硬盘名称。 6. 输入完成后，单击“确定”，在云硬盘详情页面，即可看到新的云硬盘名称，修改完毕。

本文主要介绍 Jedis监控 介绍APM采集的Jedis监控指标的类别、名称、含义等信息。 表 Jedis监控指标说明 指标类别 指标 指标名称 指标说明 单位 数据类型 默认聚合方式 ::::::: 连接池（jedisPool，连接池指标集。） pool pool 连接池唯一标示（主机名+端口） ENUM LAST 连接池（jedisPool，连接池指标集。） maxTotal maxTotal 最大连接数 INT MAX 连接池（jedisPool，连接池指标集。） maxIdle maxIdle 最大空闲数 INT MAX 连接池（jedisPool，连接池指标集。） minIdle minIdle 最小空闲数 INT MIN 连接池（jedisPool，连接池指标集。） numActive numActive 当前激活个数 INT SUM 连接池（jedisPool，连接池指标集。） numIdle numIdle 当前空闲个数 INT SUM 连接池（jedisPool，连接池指标集。） numWaiters numWaiters 等待个数 INT SUM 连接池（jedisPool，连接池指标集。） createdCount createdCount 创建个数 INT SUM 连接池（jedisPool，连接池指标集。） destroyedCount destroyedCount 销毁个数 INT SUM 连接池（jedisPool，连接池指标集。） borrowedCount borrowedCount borrow个数 INT SUM 连接池（jedisPool，连接池指标集。） maxWaitMillis maxWaitMillis 最大等待时间（单位：ms） ms INT MAX 连接池（jedisPool，连接池指标集。） maxBorrowWaitTimeMillis maxBorrowWaitTimeMillis borrow最大等待时间（单位：ms） ms INT MAX 连接池（jedisPool，连接池指标集。） meanActiveTimeMillis meanActiveTimeMillis 平均激活时间（单位：ms） ms INT SUM 连接池（jedisPool，连接池指标集。） meanBorrowWaitTimeMillis meanBorrowWaitTimeMillis 平均borrow等待时间（单位：ms） ms INT SUM 主备切换（switch，主备切换指标集。） from from 原主机 STRING LAST 主备切换（switch，主备切换指标集。） to to 目标主机 STRING LAST 主备切换（switch，主备切换指标集。） switchTimes switchTimes 切换次数 INT SUM 客户端信息（clientInfo，客户端信息指标集。） version version 客户端版本 STRING LAST 客户端信息（clientInfo，客户端信息指标集。） mode mode redis运行模式（standalone、cluster） STRING LAST 客户端信息（clientInfo，客户端信息指标集。） nodes nodes redis节点（只统计主节点） STRING LAST

本文向您介绍新建息壤智算集群,帮助您了解息壤智算集群的基本情况。 息壤智算集群是用户账号在公共算力服务创建的用户专属集群，包含托管的k8s容器集群控制面和息壤上层平台所需的业务组件。 集群创建后，无需自行连接或登录控制面，以及自行修改或安装组件，而是通过息壤上层平台来使用。 当在上层平台运行业务时，可以选择共享集群或专属集群进行使用。 此功能目前只在部分资源池提供，具体资源池信息请询问客户经理 使用前提 当前用户是主账号。 操作步骤 1. 登录公共算力服务控制台，单击左侧导航栏中的【息壤智算集群】，进入集群列表页。 2. 单击列表页上方的【创建集群】，进入创建页面。 3. 填写相应信息 1）输入集群名称、可用区、网络等基本信息。 字段名称 类型 是否必填 说明 集群名称 输入框 是 支持中英文、数字、下划线（），220个字符，不能以下划线开头。集群名称不能重复。 可用区 单选 是 根据各资源池的可用区显示。 业务节点类型 单选 是 当前仅支持裸金属，且默认选中；后续可能包括裸金属和云主机两类。 卡类型 单选 是 当节点为裸金属是：包括英伟达和昇腾两个类型，默认选中英伟达。 虚拟私有云 下拉单选 是 点击可刷新VPC列表，点击【创建VPC】新打开页面跳转至创建虚拟私有云页面。 子网 下拉单选 是 子网下的普通子网类型，点击选择VPC子网，点击【创建子网】跳转至所选VPC的添加子网页面。 安全组 显示 是 默认查询是否有对应的安全组，如有则展示，如无则需要点击自动创建按钮进行创建，管理节点的安全组名称带系统前缀，用以区分用户自用的安全组：例如cpsxxxx。可点击自动创建按钮。可点击“配置策略规则”连接，查看具体安全组策略。 调度策略 多选项 否 支持DRF，Binpack ,Gang三种调度策略，可以多选。 描述 输入框 否 2）点击 【下一步：集群控制面配置】，进入下一步配置，输入相关信息。 字段名称 类型 是否必填 说明 集群规模 单选 是 包括4种，1100节点，101300节点，301500节点，5001500节点，默认选择 1100节点。 计费模式 单选 是 目前支持包年包月计费方式。 时长 选择 是 目前支持包年包月支持选择111月，默认1个月。 续订方式 选项 是 包括自动续订，手动续订。 规格 单选 是 选择资源池可选的规格。 系统镜像 单选 是 选择管理节点的操作系统。 系统盘 单选 是 仅支持超高IO类型，最小40G，系统盘规格范围402048G。 数据盘 单选 是 选择一块数据盘，仅支超高IO类型，最小500G，数据盘规格范围50032768G。 节点数量 输入框 是 根据集群规模自动匹配。 API Server 选择 是 选择标准I型，增强I型，高阶I型，默认标准I型。可通过“了解ELB” 查看ELB文档。 3）点击【下一步，确认信息】，进行开通信息确认，勾选协议，点击【立即创建】跳转官网支付，支付完成后即完成集群的创建，后续集群管理员便可在息壤智算集群列表/详情页中对集群进行管理。

本章节指导用户在快照列表页面,选择快照用来创建云硬盘。除此之外,您还可以在创建云硬盘时,通过参数“从快照创建”来指定相应快照创建云硬盘。 约束与限制 对于未开启极速可用功能的标准快照，快照状态为“可用”时，才可以使用该快照创建云硬盘。 开启极速可用功能的标准快照，标准快照在数据上传中时，支持使用该快照创建单个云硬盘，但云硬盘的模式（SCSI或VBD）、加密属性、可用区、云硬盘类型必须和快照源云硬盘保持一致。 标准快照数据完成上传后，支持批量创建云硬盘。 标准快照数据在上传完成后，通过控制台创建的云硬盘的模式（SCSI或VBD）、加密属性、可用区、云硬盘类型和快照源云硬盘不需要保持一致。 通过快照创建云硬盘时，容量大小不能低于快照大小。当您未指定云硬盘的容量时，当快照大小容量低于10GiB，默认容量为10GiB，当快照大小高于10GiB，默认容量和快照大小保持一致。 说明 快照状态列可查看快照数据的上传进度，当存在进度条的时候代表正在上传中，当进度条消失后代表上传完成。 使用快照创建云硬盘 1. 登录管理控制台。 2. 单击页面左上角“”，选择“存储 > 云硬盘”。进入云硬盘页面。 3. 在左侧导航栏，选择“云硬盘 > 快照”。进入“快照”页面。 4. 在快照列表中，找到指定快照并单击快照所在行的“操作”列下的“创建磁盘”。 5. 设置云硬盘的各项参数。 说明 当您需要创建比快照更大的云硬盘时，在“磁盘规格”处配置云硬盘容量即可。 6. 单击“立即申请”。 7. 在“详情”页面，您可以再次核对云硬盘信息。 确认无误后，单击“提交”，开始创建云硬盘。 如果还需要修改，单击“上一步”，修改参数。 8. 确认磁盘信息，单击“提交”。 9. 如果您购买的是包年/包月的云硬盘，请根据界面提示付款，单击“确认付款”。返回“云硬盘”主页面。 10. 在“云硬盘”主页面，查看云硬盘状态。待云硬盘状态变为“可用”时，表示创建成功。

名称 二级节点 三级节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object pageNum Integer 当前页 pageSize Integer 页大小 pageTotal Integer 页码总数 total Integer 总记录数 list Array 记录 id Long 标签id labelName String 标签名称 labelValue String 标签值 prodInstId Long 实例id labelType Integer 资源标签分类标识，1主机，2实例 remark String 标签描述

专属云下购买云容器引擎与非专属云下购买云容器引擎有什么不同？ 专属云下购买云容器引擎，首先需要用户开通专属云，容器引擎的管理节点直接使用专属云计算/存储算资源，如用户的专属计算/存储资源不足，则不能继续创建云容器引擎。 专属云中可以使用云硬盘作为集群或节点的存储吗？ 可以，用户在开通集群/节点时，可选择使用专属存储或云硬盘。 专属云容器引擎中哪些资源是物理独享的？ 专属云容器引擎中，计算资源全部是物理独享的，包括集群管理节点、工作节点；存储资源如果用户选择了专属存储则也是物理独享的。

场景描述 方向 协议/应用 端口 通过Web浏览器登录云堡垒机（HTTPS） 入方向 TCP 22333 通过MSTSC客户端登录云堡垒机 入方向 TCP 53389 通过SSH客户端登录云堡垒机 入方向 TCP 2222 通过FTP客户端登录云堡垒机 入方向 TCP 20~21 通过云堡垒机的SSH协议远程访问Linux云服务器 出方向 TCP 22 通过云堡垒机的RDP协议远程访问Windows云服务器 出方向 TCP 3389 通过云堡垒机访问Oracle数据库 入方向 TCP 1521 通过云堡垒机访问Oracle数据库 出方向 TCP 1521 通过云堡垒机访问MySQL数据库 入方向 TCP 33306 通过云堡垒机访问MySQL数据库 出方向 TCP 3306 通过云堡垒机访问SQL Server数据库 入方向 TCP 1433 通过云堡垒机访问SQL Server数据库 出方向 TCP 1433 通过云堡垒机访问DB数据库 入方向 TCP 50000 通过云堡垒机访问DB数据库 出方向 TCP 50000 同一安全组内通过SSH客户端登录云堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS域名解析 出方向 UDP 53

本章节介绍如何使用备份策略绑定云硬盘,解绑云硬盘。 创建好备份策略后，可将云硬盘绑定至备份策略。绑定云硬盘后，系统会根据备份策略设置的时间点，对绑定的云硬盘执行备份任务。若不再需要云硬盘进行自动备份，将云硬盘从相应的备份策略进行解绑即可。 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 云硬盘备份”。 3. 在“云硬盘备份”界面，单击“策略”页签，进入管理备份策略页面。 4. 选中已创建的备份策略，单击，该策略下“绑定的云硬盘”页签下显示已绑定的云硬盘列表。在列表上方，单击“绑定”。或者选择所选备份策略“操作”列下“绑定磁盘”。 5. 弹出“绑定磁盘”对话框，显示云硬盘列表。勾选需要绑定到该备份策略的云硬盘（“过户”、“扩容失败”、“恢复失败”、“回滚失败”、“错误”和“删除失败”的磁盘不能绑定备份策略），可勾选多个云硬盘进行绑定。 6. 确认勾选的云硬盘后，选中的云硬盘将显示到右边的“已选磁盘”列表中。确认无误后，单击“确定”，完成绑定。 7. 解绑云硬盘。 8. 在已绑定的云硬盘列表中，找到需要解除绑定的云硬盘，在“操作”栏单击“解绑”。 9. 弹出“解绑磁盘”对话框。确认解绑云硬盘信息后，单击“确定”。

本页介绍RDSPostgreSQL通过备份文件恢复实例数据。 全量恢复是指将全量历史数据恢复至当前实例、已有实例或新实例。 操作场景 RDSPostgreSQL支持使用已有的自动备份和手动备份文件，将实例数据恢复到备份被创建时的状态。全量恢复所需要的恢复时长与实例的数据量以及备份空间存储类型有关。 限制条件 目前支持恢复到当前实例、已有实例和新实例。 需要确保被恢复的实例机器有足够的磁盘空间。 若开通实例时选择的备份空间为“云硬盘”，则恢复到新实例时，新实例需要和源实例处于同一个vpc下；若选择的为“对象存储”，则没有这个限制。 若选择恢复到已有实例，且当前实例开通时选择的备份空间为“云硬盘”，则要求目标实例和源实例处于同一个vpc下。 恢复至已有实例、新实例需要求实例大版本一致。 操作步骤 1. 登录天翼云官网。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击指定的实例，进入单个实例管理详情页。 6. 点击“备份恢复”页签，进入备份恢复功能页面。 7. 在基础备份列表中，选择想要恢复的目标备份，点击“恢复”按钮。 8. 在弹出的页面中，选择“当前实例“，则会将数据恢复到本实例，需要注意的是：此操作会删除实例的数据，请提前做好备份；选择“已有实例”，则会将数据恢复到选择的目标实例，需要注意的是，此操作会删除目标实例的数据，请提前做好备份；选择“新实例”，则会跳到开通实例页面，选配好新实例的配置之后，即可进行实例的开通和数据的恢复。 9. 查看结果，在“备份恢复”页面左上角点击“操作记录”该按钮，可以看到自动备份、手动备份、删除手动备份、恢复备份等任务的进度。 10. 恢复完成后，实例状态会变成运行中。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，操作步骤有细微差异，请以实际界面为准，功能加载情况详见

CC防护 业务正常运行时，建议采用“常规”防护模式。 由于CC防护的“紧急”防护模式可能产生一定量的误拦截，如果您的业务为App业务或Web API服务，不建议您开启“紧急”防护模式。如果使用CC安全防护的正常模式仍发现误拦截现象，建议您使用“精准访问控制”功能放行特定类型请求。 说明 业务接入WAF防护一段时间后（一般为23天），可以通过分析业务日志数据（例如，访问URL、单个IP访问QPS情况等）评估单个IP的请求QPS峰值，提前通过自定义CC防护策略配置限速策略，避免遭受攻击后的被动响应和临时策略配置。 BOT防护 当您的业务经常受到爬虫骚扰或面临数据泄露、被篡改的风险，针对防护需求，建议您为网站开启BOT防护功能。BOT防护设置支持公开类型、自定义会话策略两大类防护策略。 公开类型：云WAF提供已知公开的BOT大类，包括Web爬虫、扫描器、语言库等爬虫类型，用户可以根据自身需求对公开BOT类型设置防护状态及防护动作，WAF将对命中公开类型的BOT请求进行相应处理。 自定义会话策略：提供自定义协议特征、自定义会话特征两类防护策略，每种类型特征包含多个判定维度，用户可以根据实际业务情况设置协议特征规则状态、自定义会话策略，WAF将对命中防护策略的请求进行处理。

本节介绍了从快照创建云硬盘的操作场景、约束与限制、操作步骤。 操作场景 本章节指导用户在快照列表页面，选择快照用来创建云硬盘。除此之外，您还可以在创建云硬盘时，通过参数“从快照创建”来指定相应快照创建云硬盘，具体请参见购买云硬盘。 约束与限制 ● 通过快照创建云硬盘时，磁盘模式和快照源云硬盘保持一致。 ● 通过快照创建云硬盘时，云硬盘加密属性和快照源云硬盘保持一致。 ● 一个快照最多支持创建128个云硬盘。 ● 从快照创建云硬盘时，不支持批量创建，数量只能为“1”。 ● 开头为“autobksnapshotvbs”、“manualbksnapshotvbs”、“autobksnapshotcsbs”、“manualbksnapshotcsbs”的快照，是创建备份时系统自动生成的快照。该快照仅支持查看详细信息，无法用于创建云硬盘。 操作步骤 步骤 1 登录管理控制台。 步骤 2 选择“存储 > 云硬盘”。 步骤 3 在左侧导航栏，选择“云硬盘 > 快照”。 进入“快照”页面。 步骤 4 在快照列表中，找到指定快照并单击快照所在行的“操作”列下的“创建磁盘”。 步骤 5 设置云硬盘的各项参数，具体请参见购买云硬盘中的参数说明和操作。 说明 ● 一个快照最多支持创建128个云硬盘。 ● 通过快照创建云硬盘时，容量大小不能低于快照大小。当您未指定云硬盘的容量时，当快照大小容量低于10GB，默认容量为10GB，当快照大小高于10GB，默认容量和快照大小保持一致。 步骤 6 单击“立即申请”。 步骤 7 在“详情”页面，您可以再次核对云硬盘信息。 ● 确认无误后，单击“提交”，开始创建云硬盘。 ● 如果还需要修改，单击“上一步”，修改参数。 步骤 8 根据界面提示付款，单击“确认付款”。 返回“云硬盘”主页面。 步骤 9 在“云硬盘”主页面，查看云硬盘状态。 待云硬盘状态变为“可用”时，表示创建成功。

参数 是否必填 参数类型 说明 示例 下级对象 quotaId 否 String 配额ID abdeasaaas quotaStatus 否 Integer 配额状态 1未绑定 2绑定中 4已过期 8已冻结 16已退订 32已销毁 0无效 3正常(1和2状态一起查询) 1 serverName 否 String 主机名称 testservername serverIp 否 String 防护服务器IP 192.168.1.1

本文介绍云SSO用户的管理 创建用户 1. 登录云SSO控制台（++中国电信天翼云管理中心++）。 2. 左侧菜单栏点击“云SSO”用户 3. 点击右上角“创建用户” 4. 在创建用户面板，设置用户基本信息，然后单击确定 5. 选择密码初始化方式 向用户发送一封包含密码设置说明的邮件:用户可登录邮箱后自行设置密码 生成随机的一次性密码:由系统自动生成，云SSO用户创建完成后会弹窗显示 6. 为云SSO用户分配用户组； 7. 主账号进入云SSO用户的详情页，点击发送验证邮件（注意：请进入管理页面手动点击发送验证邮件）； 8. 登录云SSO用户的关联邮箱，完成云SSO用户的创建验证 9. 登录“云SSO控制台”“云SSO用户”选择该用户信息，点击“启用”按钮。 10. 完成创建。 查看用户详情 在云SSO用户页面，单击目标用户名称，可查看用户的以下信息： 用户名、用户ID、姓名、状态、邮件地址、创建时间、创建方式、更新时间等信息。 启用云SSO用户 1. 完成邮箱初始化验证的用户可以进行用户启用。 2. 主账号可进入云SSO用户详情页，点击发送验证邮件。 3. 在“云SSO控制台”“云SSO用户”选择该用户信息，点击“启用”按钮。 禁用云SSO用户 1. 在“云SSO控制台”“云SSO用户”选择该用户信息，点击“禁用”按钮 2. 禁用后，云SSO用户将无法登录组织内的成员账号。

注意事项 客户原有 XPack 相关功能（如 Watcher、ML、RBAC、License 校验等）需替换为OpenSearch插件或重写业务逻辑。 Kibana的仪表盘、图表迁移需适配OpenSearch Dashboards（部分图表可能不兼容）。 是否安装第三方插件，以及插件的不同版本功能使用上是否存在差异。 API兼容性与客户端适配 SDK需要使用OpenSearch官方提供的SDK。不过OpenSearch也兼容Elasticsearch的Java HighLevel Rest Client，只需要修改少量的代码（具体可以参考《Elasticsearch与OpenSearch的Java Client代码差异》章节）。 注意事项 建议更换为OpenSearch官方SDK。 如用Elasticsearch 8.x SDK，需回退使用兼容 Elasticsearch 7.10 的版本（否则会因header校验失败）。 安全配置差异 安全能力 Elasticsearch(XPack) OpenSearch 用户认证 基于License的角色控制 内置OpenSearch Security插件 多租户隔离 XPack支持Spaces OpenSearchDashboards 支持 Multitenancy 注意事项 需重新配置： 用户角色映射 (roles.yml, tenants.yml)； Dashboards多租户视图； API Token/LDAP/SAML集成方式。 访问控制策略语法和行为有区别，尤其是fieldlevel和documentlevel安全控制。 迁移与数据恢复 常见迁移方式包括 1. 使用快照迁移 优点：简洁、可靠；可保留索引、映射、分片结构和设置。 适用场景：客户使用的ES 版本 ≤ 7.10.2，数据量较大，迁移时可接受短暂停机或只读窗口。 限制/注意事项：ES 8.x 快照不可恢复至 OpenSearch。 2. 使用Logstash迁移 优点：支持数据加工/转换，迁移时可进行字段清洗、格式转换。 适用场景：想要“边迁移边清洗”，或者只迁移部分数据字段；或ES源版本较新（7.11+） 限制/注意事项：需部署Logstash，性能较低，不保留原mapping设置；需要重建索引结构。 3. Reindex from Remote 优点：操作简单、无需额外工具，实时迁移部分数据或索引。 适用场景：只需迁移部分索引、文档数量不大、源ES支持reindexremote。 限制/注意事项：源和目标集群需网络可通；不能迁移mapping和setting，需手动创建索引结构；不支持向量数据迁移。 4. 逐节点原地迁移（InPlace Rolling Upgrade） 优点：无需拷贝数据，保留分片布局、设置、集群UUID，最完整地保留原集群状态。 适用场景：客户源ES为OSS版本且版本号≤7.10.2，不想重建集群或数据迁移成本较高。 限制/注意事项：源集群和目标集群必须是兼容版本（≤7.10.2）；需停掉每个节点依次切换为OpenSearch，较复杂；不支持ES 8.x。 额外限制：目前天翼云云搜索服务为全托管服务，不支持自助逐节点原地迁移。客户可以通过这种方式将数据先迁移到天翼云云主机，然后再逐步迁移到天翼云云搜索服务。

本章介绍如何修改迁移参数模板。 操作场景 当保存的模板不再符合您的业务要求时，您可以登录管理控制台修改模板。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“公共配置”，进入公共配置页面。 3. 在迁移参数模板区域左侧的模板列表中，单击需要修改的模板名称。在迁移参数模板区域右侧，单击“迁移参数模板名称”和“迁移参数模板配置”后的按钮，可修改模板描述和模板参数。 4. 修改完成后，单击“确定”。

本小节介绍安全专区资产管理服务器主机资产风险分析。 功能说明 资产风险分析页面把所筛选的资产相关的未处理的告警、漏洞、基线、补丁、病毒五类安全数据整合在一个页面展示，方便安全管理员分析。 配置方法 1.进入【资产管理】→【服务器】，点击【资产风险分析】，可查询分析指定服务器的各类安全漏洞、威胁、报警。 在左侧分组选定需要分析的指定服务器分组及服务器，进行资产信息筛选。页面右边栏实时同步更新所选择资产的展示，其中根据告警分析、安全告警、系统漏洞、基线合规、系统补丁及病毒感染等几大模块。 安全告警模块，实时更新服务器所出现问题，展示服务器IP地址、出现告警的问题、出现问题的服务设施以及告警的风险等级。 2.点击右上角【详情】，即进入【告警中心】，可查询更详细的告警信息。 3.系统漏洞展示具体IP地址所发生的具体漏洞信息，分类漏洞等级情况。点击【详情】，即进入【威胁分析】→【待办告警】进行详细处理。 4.基线合规、系统补丁及病毒感染等模块都展示了系统风险状态、漏洞所属类型、漏洞所属风险等级。 5.点击【基线合规】→【详情】，即页面跳转进入【风险分析】→【基线合规】进行分析、处理。 6.点击【系统补丁】→【详情】，即页面跳转进入【风险分析】→【补丁漏洞】进行分析、处理。 7.点击【系统补丁】→【详情】，即页面跳转进入【风险分析】→【主机漏洞】进行分析、处理。

云硬盘备份与快照的区别 云硬盘备份以及快照为存储在云硬盘中的数据提供冗余备份，确保高可靠性，两者的主要区别如下表所示。 指标 存储方案 数据同步 容灾范围 业务恢复 备份 与云硬盘数据分开存储，数据存储在对象存储（OBS）中，可以实现在云硬盘存储损坏情况下的数据恢复。 保存云硬盘指定时刻的数据，可以设置自动备份。如果将创建备份的云硬盘删除，那么对应的备份不会被同时删除。 与云硬盘位于不同AZ内 通过恢复备份至云硬盘，或者通过备份创建新的云硬盘，找回数据，恢复业务。数据持久性高。 存量快照 快照存放在云硬盘所在的物理存储磁盘中，不会占用云硬盘的空间。 说明 备份由于数据搬迁会耗费一定的时间，创建快照和回滚快照数据的速度比备份快。 保存云硬盘指定时刻的数据。如果将创建快照的云硬盘删除，那么对应的快照也会被同时删除。重装操作系统或切换操作系统后，系统盘快照会自动删除；数据盘快照不受影响，可以照常使用。 与云硬盘位于同一个AZ内 通过回滚快照至云硬盘，或者通过快照创建新的云硬盘，找回数据，恢复业务。 标准快照 与云硬盘数据分开存储，数据存储在对象存储（OBS）中，可以实现在云硬盘存储损坏情况下的数据恢复。 保存云硬盘指定时刻的数据，如果将创建快照的云硬盘删除，对应的快照不会被同时删除。 与云硬盘位于不同AZ内 通过回滚快照至云硬盘，或者通过快照创建新的云硬盘，找回数据，恢复业务。数据持久性高。

可能原因 NameNode节点的CPU性能不足，导致NameNode无法及时处理消息。 NameNode所设置的内存太小，频繁Full GC造成JVM卡顿。 NameNode配置参数不合理，导致NameNode无法充分利用机器性能。 HDFS的业务访问量太大，超过了NameNode的负载能力。 处理步骤 获取该告警的信息 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，在告警列表中找到该告警。 2.单击该告警，查看下面的告警详情。从“产生时间”可知该告警的触发时间；从“定位信息”中的“主机名”信息可知发出该告警的NameNode节点主机名；从“定位信息”中的NameServiceName信息可知发出该告警的NameService名称。 查看是否阈值设置过低 3.查看依赖于HDFS的业务的运行状态是否正常运行。查看是否存在运行慢、执行任务超时的情况。 是，执行步骤8。 否，执行步骤4。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS”，单击图表区域右上角的下拉菜单，单击“定制”，在弹出的对话框中选择“主NameNode RPC队列平均时间”，单击“确定”。 5.查看“主NameNode RPC队列平均时间”监控中，获取发出告警的NameService的当前的监控值。 6.在FusionInsight Manager首页，选择“运维 > 告警 > 阈值设置 > 待操作集群的名称 > HDFS”，找到“主NameNode RPC队列平均时间”，单击default规则中“操作”栏中的“修改”，修改“阈值”为当前监控值的150%。单击“确定”，保存新阈值。 7.等待1分钟，查看该告警是否自动消除。 是，处理结束。 否，执行步骤8。

审计分析 对实时动态分析的日志进行归并处理和监测，可及时发现高危安全事件，如用户违规行为、数据泄露、攻击利用和主机通信异常。 关联分析策略是系统中的核心功能之一，主要关注各类日志之间的逻辑关联关系。它不仅支持以预定义规则进行事件关联，还能基于状态、时序和归并等方式发现关联。 系统可审计以下不同类型日志或事件（需结合相关设备，如防火墙和IPS等）：网络攻击、有害代码、漏洞、用户访问存取、系统运行、设备故障、配置状态、网络连接和数据库操作等。 关联事件的结果将在关联事件中显示，如果符合关联策略，将以告警形式在实时监控模块呈现给用户。用户可以对告警进行处理，以确保及时应对潜在的安全问题。 数据展示 提供可视化的总体概览，通过仪表板可以直观地展示日志数据的统计和分析结果，帮助用户快速了解系统的运行状态和问题。用户可以自定义展示安全事件以及各类审计分析信息，提供实时的审计分析可视化界面。 全局监视仪表板，可展示不同设备类型、不同安全区域的实时日志流曲线、统计图，以及网络整体运行态势、待处理告警信息等。 风险报表 用户可以根据自己的需求，自由选择需要包含在报表中的指标和数据，以便更好地满足特定的业务需求。系统还提供了对预置报表模板的选择和预览功能。用户可以浏览系统中已经存在的报表模板，并选择其中的一个进行生产。这有助于用户快速生成符合自己需求的报表，节省了手动设计和生成报表的时间和工作量。 在报表中，系统以柱状图、曲线图和饼状图的方式统计安全报警和原始日志情况。这种可视化的报表展示方式使得数据更加直观易懂，用户可以更轻松地分析和理解报表中的信息。报表格式方面，系统支持PDF、Word等文件格式的导出。用户可以根据需要选择合适的文件格式，以便将报表分享给其他人或保存到本地进行进一步分析。 此外，系统还支持周期性生成报表并通过邮件推送给用户。用户可以设置报表的生成周期，例如每天、每周或每月定期生成报表，并通过电子邮件将其发送给用户。这样，用户可以及时获得最新的安全报警和日志信息，以便及时采取相应的措施。

参数 参数类型 说明 示例 下级对象 hostname String 实例名称 testdisplayname custName String 主机名称 testservername agentGuid String agentGuid 111111111111 agentIp String 私有ip 192.168.1.1 osType String 操作系统 Linux/Windows Linux status Integer 服务器运行状态 5:运行中 其他为已关机 5 vpcName String vpc名称 testvpcname vpcId String vpcId testvpcid