故障处理

导入cam数据失败

故障现象

租户端导入cam数据后，服务不可见。

故障影响

无法导入预设策略。

故障处理

目前是通过白名单字段控制，如whiteKey，如果开放的话，将此字段置为空即可：

mysql> select * from cService where serviceType in ('dcdb','mariadb')\G;
*************************** 1. row ***************************
        serviceType: dcdb
        serviceName: 分布式数据库 DCDB
          isDisZone: 1
       isDisProject: 1
             isSeen: 0
          queryAddr: [{"region":"def","url":" "}]
             weight: 18
            writter: byronzhong
            addTime: 2018-04-18 11:00:48
         updateTime: 2018-11-22 18:24:36
     queryInterface:  
       synInterface:  
     isAllowDefProj: 1
      serviceEnName: DCDB
            colConf: ""
            defAddr: 
           whiteKey: dcdb_cam
defaultStrategyList: 
        arnDocument: 
*************************** 2. row ***************************
        serviceType: mariadb
        serviceName: 云数据库 MariaDB（TDSQL）
          isDisZone: 1
       isDisProject: 1
             isSeen: 0
          queryAddr: [{"region":"def","url":" "}]
             weight: 17
            writter: byronzhong
            addTime: 2018-04-18 10:56:45
         updateTime: 2018-11-22 14:30:19
     queryInterface:  
       synInterface:  
     isAllowDefProj: 1
      serviceEnName: CDB for MariaDB（TDSQL）
            colConf: ""
            defAddr: 
           whiteKey: 
defaultStrategyList: 
        arnDocument: 
2 rows in set (0.00 sec)

查询持久密钥异常

故障现象

前端页面提示qcloud.Qsecret.queryKey错误。

故障影响

无法获取持久密钥，影响服务鉴权。

故障处理

一般是 cam 临时会话服务(sts)访问出错或者云安全模块持久密钥服务访问出错。

1. 检查cam-sts 50020端口 是否可以访问，如果无法访问，检查域名解析是否故障，以及cam-sts容器是否启动。

2. 如果步骤1没有问题，检查cam-apisig的ip:port是否可以访问，联系云安全模块运维人员进行处理。

控制台身份校验失败

故障现象

前端页面提示GET_SESSIONTOKEN_FAILED check sig error。

故障影响

控制台不可用。

故障处理

出现该结果原因是cam鉴权服务校验控制台身份失败。

1. 查看STS模块日志（路径：/data/log/sts/sts/detail/）。

2. 检查cam-apisig的ip:port是否可以访问，如果访问异常，联系云安全模块运维人员进行处理，否则跳转到步骤3。

3. 检查控制台配置的conSecretId和conSecretKey是否正确，联系运维人员分配新的conSecretId和conSecretKey。

临时密钥获取异常

故障现象

前端页面提示GET_SESSIONTOKEN_FAILED system erro。

故障影响

控制台不可用。

故障处理

出现该结果原因是sts服务访问db失败或者访问cam临时秘钥模块失败。

1. 查看STS模块日志（路径：/data/log/sts/sts/detail/），如果日志显示访问访问db失败，查看db配置是否正确；

2. 如果日志显示tcp error （端口为50023），查看cam秘钥种子服务ip:port是否配置正确（配置文件路径/data/release/swoole_sts/application/config/idc/hosts_config.php 配置为REGIONINDEX），如果配置正确，查看cam-security的pod是否正常启动、网络是否正常。

云api鉴权失败

故障现象

云api返回鉴权失败，错误码为4100。

故障影响

下游服务接口调用失败

故障处理

出现结果原因是cam鉴权服务校验身份失败。

1. 检查云api模块配置的鉴权访问是否正确，正确配置为auth.cam.logical.server.console.tencentyun.com:9502。

2. 检查cam鉴权模块auth.cam.logical.server.console.tencentyun.com:9502是否可以访问。

3. 检查云安全模块ip:port是否可以访问。

4. 如果以上步骤没有问题，请检查调用方的conSecretId和conSecretKey是否正确。

策略校验异常

故障现象

绑定了相关策略，仍返回鉴权失败

故障影响

资源不可用，或服务接口请求失败。

故障处理

1.检查该账户绑定的策略是否包含该接口 2.如果已绑定相关策略，鉴权不符合预期参考2.6 3.角色鉴权问题参考“角色鉴权异常”。 错误提示为you are not authorized to perform operation。

1. 鉴权服务存在一分钟的缓存，请一分钟后再尝试。

2. 如果超过一分钟仍未生效，检查tcloud-tcenter-cam-grant-write的pod 中 crontab 状态是否正常 service crond status。未执行尝试重启pod；

角色鉴权异常

故障处理

1. 提示角色不存在，原因是因为未创建角色，云平台目前在业务侧前端创建。

2. 用角色临时秘钥访问接口提示无权限，检查业务侧代码是否有给角色绑定策略。

3. 角色临时秘钥访问资源提示无权限，需要检查创建角色时给到的资源是否正确。

手机收不到验证信息

现象描述

在进行绑定或者修改手机号码、重置密码等操作时，手机收不到验证信息。

可能原因

导致手机收不到验证信息的主要原因包括：

• 手机号码、区号填写错误。

• 手机系统根据关键词，自动隐藏了内容。

• 手机号码自身原因导致的接收异常，如欠费、网络故障等。

处理步骤

1. 请确认手机号码是否填写正确。

• 是，请执行下一步。

• 否，请 修改手机号码。

2. 请核实手机是否已停机。

• 是，请进行缴费或者更换手机号码 。

• 否，请执行下一步。

3. 请确认验证信息是否被视作垃圾短信而被拦截。

• 是，请解除应用软件的短信拦截。短信检索关键词为“腾讯云”。

• 否，请执行下一步。

4. 网络通讯异常可能会造成短信丢失，请确认网络通讯是否存在异常。

邮箱收不到验证信息

现象描述

在进行绑定或者修改邮箱、重置密码等操作时，邮箱收不到验证信息。

可能原因

导致邮箱收不到验证信息的主要原因包括：

• 邮箱地址填写错误。

• 邮箱系统根据关键词，自动隐藏了内容。

• 邮箱系统存在特殊限制，导致接收失败。例如，企业的自建邮箱禁止接收第三方邮件。

处理步骤

1. 请确认邮箱地址是否填写正确。

• 是，请执行下一步。

• 否，请 修改邮箱地址。

2. 请确认验证信息是否被视作垃圾邮件，存放在垃圾箱中。

• 是，请将腾讯云的邮箱（cloud_noreply@tencent.com）设置为白名单。

• 否，请执行下一步。

3. 网络通讯异常可能会造成邮件丢失，请确认网络通讯是否存在异常。

• 是，请重新获取或稍后再试。

• 否，请执行下一步。

4. 请确认邮箱地址是否为企业自建邮箱，且设置了禁止接收第三方邮件。