本章节主要介绍管理角色实例操作。 操作场景 用户可以在MRS启动操作状态为“停止”、“停止失败”或“启动失败”角色实例，以使用该角色实例，也可以停止不再使用或异常的角色实例，或者重启异常的角色实例，以恢复角色实例功能。 前提条件 已完成IAM用户同步（在集群详情页的“概览”页签，单击“IAM用户同步”右侧的“同步”进行IAM用户同步）。 操作步骤 1.在集群详情页，单击“组件管理”。 2.单击服务列表中指定的服务名称。 3.单击“实例”页签。 4.勾选待操作角色实例前的复选框。 5.选择“更多 > 启动实例”、“停止实例”、“重启实例”或“滚动重启实例”等，执行相应操作。

本文介绍CDN行业基本概念。 加速域名 加速域名是客户提供的需要使用CDN加速服务的域名，应用于网站、流媒体访问、应用下载、直播等。 边缘节点 边缘节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。 源站 源站指客户的业务服务器，由客户运营维护，加速分发内容的源头。 DNS DNS，即Domain Name System，指域名解析服务。它的作用是把域名转换成网络可以识别的IP地址。人们习惯记忆域名，但机器间互相只认IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的ctyun.cn会自动转换成220.181.112.143（举例说明，具体IP以实际为准）。常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 CNAME域名 客户接入CDN时，在天翼云CDN控制台完成加速域名添加后，系统会为您分配一个天翼云CDN的CNAME域名，例如 .ctadns.cn，您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向 .ctadns.cn的CNAME域名，这样该域名所有的请求才会转向天翼云CDN的节点，实现加速的目的。

本文向您介绍一站式智算服务平台计费相关常见问题。 一站式智算服务平台支持哪些计费方式？ 一站式智算服务平台支持包周期计费模式、按需计费模式卡时和按需计费模式Tokens三种计费方式。 一站式智算服务平台支持退订吗？ 服务开通后7天内如未使用则支持退订，退订后即可关闭。退订地址：我的—费用中心—订单管理—退订管理。

本文带您了解该方案的具体流程。 具体流程 依据用户业务需求分析，本方案旨在通过结合云专线和VPC终端节点服务，实现云下用户数据中心与天翼云上的互通，并在不借助公网的情况下实现对云上VPC内资源和其他云服务的访问。 具体流程如下：

FILESET 提供子目录配额管理能力,本文介绍删除 FILESET 的操作步骤。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>并行文件服务 HPFS”，进入并行文件服务的控制台页面。 3. 点击目标文件系统，进入文件系统详情页，点击 FILESET 页签，即可进入 FILESET 页面。 4. 在 FILESET 列表，找到目标 FILESET，单击目标所在行的"操作"列下的"删除"。 5. 在弹出的对话框中再次确认是否删除。 6. 等待一段时间后，在列表页可以看到该 FILESET 已经不存在，即表示删除成功。 注意 禁止直接删除非空 FILESET。先清空 FILESET 下的所有数据，再删除 FILESET 目录。 如果用户在客户端强制使用 rm rf 命令删除非空 FILESET，系统会阻止删除 FILESET 文件夹操作，但由于 rm rf 的递归机制仍可能导致 FILESET 下的数据被先行清空，需谨慎操作。

本文介绍仪表盘的导出与导入功能。通过该功能，您可以将其他天翼云账号的仪表盘导入至当前账号中。 前提条件 已创建好目标仪表盘。 操作步骤 1. 使用目标仪表盘所在的账号，登录云日志服务控制台。 2. 进入目标仪表盘页面，点击右上角导出按钮。系统将自动以JSON文件格式导出当前仪表盘至本地。 3. 使用待导入仪表盘所在的账号，登录云日志服务控制台。 4. 在仪表盘菜单中，点击【创建仪表盘】。 5. 填写仪表盘名称，并选择“从文件导入”方式。 6. 根据界面引导，选择日志项目与日志单元，用于替换源仪表盘中的日志项目与日志单元。 7. 在选择文件中，从本地选择步骤2中生成的JSON文件。 8. 完成配置后，点击【开始导入】，即可完成仪表盘导入。

本节介绍漏洞扫描服务支持哪些操作系统的主机扫描。 漏洞扫描服务支持扫描的主机操作系统版本如下： 支持的Linux操作系统版本，如下表所示。 分类 支持的OS类型 EulerOS EulerOS 2.2, 2.3, 2.5, 2.8 and 2.9 64bit CentOS CentOS 6.5, 6.8, 6.9, 6.10, 7.1, 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8 and 7.9 64 bit RedHat Red Hat Enterprise Linux 6.10 and 7.5 64bit Ubuntu Ubuntu 16.04, 18.04 and 20.04 server 64bit SUSE SUSE Enterprise 11 SP4 64bit, SUSE Enterprise 12 SP1/SP2/SP3/SP4 64bit, SUSE Enterprise 15 SP1/SP2 64bit OpenSUSE OpenSUSE 13.2 and 42.2 64bit Debian Debian 8.2.0, 8.8.0, 9.0.0, 10.0.0 64bit Kylin OS Kylin OS V10 SP1 64bit 统信UOS V20 Huawei Cloud EulerOS HCE 2.0 支持的Windows操作系统版本，如下表所示。 分类 支持的Windows系统版本 Windows Server Windows Server 2012 R2，Windows Server 2016

介绍分布式消息服务RabbitMQ监控指标详情。 监控项 分布式消息服务RabbitMQ 版监控指标支持以下监控项： 资源类型 监控项 单位 指标名 维度 实例 每秒消息流入数 个/秒 publishRate 实例 实例 每秒消息流出数 个/秒 deliverRate 实例 实例 消费者数量 个 consumers 实例 实例 连接数量 个 connections 实例 实例 通道数量 个 channels 实例 虚拟主机 每秒消息流入数 个/秒 publishRate 实例、虚拟主机 虚拟主机 每秒消息流出数 个/秒 deliverRate 实例、虚拟主机 虚拟主机 消费者数量 个 consumers 实例、虚拟主机 虚拟主机 连接数量 个 connections 实例、虚拟主机 虚拟主机 通道数量 个 channels 实例、虚拟主机 队列 每秒消息流入数 个/秒 publishRate 实例、虚拟主机、队列 队列 每秒消息流出数 个/秒 deliverRate 实例、虚拟主机、队列 队列 消费者数量 个 consumers 实例、虚拟主机、队列 队列 消息堆积量 个 messages 实例、虚拟主机、队列 交换器 每秒消息流入数 个/秒 publishRate 实例、虚拟主机、交换器 交换器 每秒消息流出数 个/秒 deliverRate 实例、虚拟主机、交换器

本文介绍了弹性文件服务的通用概念。 NAS文件系统 NAS（NetworkAttached Storage）文件系统是一种基于网络的文件系统，用于在本地网络上提供文件共享服务。与传统的本地文件系统不同，NAS文件系统是在专门的硬件设备上运行的，例如专用NAS设备、路由器或服务器。它可以通过网络连接到计算机、智能手机、平板电脑等设备，使这些设备能够访问存储在NAS文件系统中的文件和数据。文件系统通过计算节点挂载访问，以传统的目录形式进行组织和管理，支持数百甚至上千个客户端并行访问，实现数据共享。 NFS协议 NFS（Network File System）是一种用于网络共享文件和目录的协议。它可以让不同的计算机通过网络访问和共享文件，工作原理是将文件系统挂载到客户端计算机上，使客户端能够透明地访问远程服务器上的文件和目录。客户端通过NFS协议向服务器发送文件系统访问请求，服务器将文件和目录发送给客户端，客户端则可以像访问本地文件一样访问这些文件。NFS适合Linux系统使用。 CIFS协议 CIFS（Common Internet File System）是一种用于在计算机之间共享文件和打印机的网络协议。最初由微软开发，并成为Windows操作系统的默认文件共享协议。CIFS协议基于客户端/服务器模型，其中客户端通过CIFS协议向服务器请求访问共享资源。CIFS协议支持无域环境和域环境，适合Windows系统使用。 SMB协议 SMB（Server Message Block）是一种用于在计算机之间共享文件和打印机的网络协议。最初是由IBM开发，后来被微软引入到Windows操作系统中，并与CIFS协议整合在一起，因此，SMB和CIFS通常被认为是相同的协议。CIFS是微软基于SMB开发的一种特定实现。CIFS是SMB在Windows环境下的名称，而SMB是一种更通用的名称，适用于多个操作系统。

本文介绍了弹性文件服务的通用概念。 NAS文件系统 NAS（NetworkAttached Storage）文件系统是一种基于网络的文件系统，用于在本地网络上提供文件共享服务。与传统的本地文件系统不同，NAS文件系统是在专门的硬件设备上运行的，例如专用NAS设备、路由器或服务器。它可以通过网络连接到计算机、智能手机、平板电脑等设备，使这些设备能够访问存储在NAS文件系统中的文件和数据。文件系统通过计算节点挂载访问，以传统的目录形式进行组织和管理，支持数百甚至上千个客户端并行访问，实现数据共享。 NFS协议 NFS（Network File System）是一种用于网络共享文件和目录的协议。它可以让不同的计算机通过网络访问和共享文件，工作原理是将文件系统挂载到客户端计算机上，使客户端能够透明地访问远程服务器上的文件和目录。客户端通过NFS协议向服务器发送文件系统访问请求，服务器将文件和目录发送给客户端，客户端则可以像访问本地文件一样访问这些文件。NFS适合Linux系统使用。 CIFS协议 CIFS（Common Internet File System）是一种用于在计算机之间共享文件和打印机的网络协议。最初由微软开发，并成为Windows操作系统的默认文件共享协议。CIFS协议基于客户端/服务器模型，其中客户端通过CIFS协议向服务器请求访问共享资源。CIFS协议支持无域环境和域环境，适合Windows系统使用。 SMB协议 SMB（Server Message Block）是一种用于在计算机之间共享文件和打印机的网络协议。最初是由IBM开发，后来被微软引入到Windows操作系统中，并与CIFS协议整合在一起，因此，SMB和CIFS通常被认为是相同的协议。CIFS是微软基于SMB开发的一种特定实现。CIFS是SMB在Windows环境下的名称，而SMB是一种更通用的名称，适用于多个操作系统。

本章节主要提供故障排除文档的预览和下载。 点此预览、下载：《数据仓库服务故障排除》

背景介绍 为避免过期版本实例存在的安全和稳定性风险，同时保证您业务的连贯性，应用服务网格CSM支持对实例进行金丝雀升级，您可以在升级过程中仅变更部分数据面进行效果验证。验证符合预期后再进行全量升级，如果不符合预期，CSM支持对此次升级进行回滚。 相关概念 概念 说明 金丝雀升级 通过先运行一个金丝雀部署的新控制平面来完成 Istio 的升级，从而允许您在将所有流量迁移到新版本之前以一小部分工作负载监视升级的效果。金丝雀升级过程中支持回退。 控制平面 控制平面（Control Plane）是一组系统服务，这些服务配置网格或者网格的子网来管理工作负载实例之间的通信。 单个网格中控制平面的所有实例共享相同的配置资源。 数据平面 数据平面（Data Plane）当前常见的Sidecar模式， 通常是与主应用程序一起运行以提供附加功能的容器。 在 Istio 中，它同时运行一个Envoy代理 Pod，可以进行流量治理，安全策略管理，可观测上报等，无需对业务进行侵入性修改。 升级时机 istio开源社区在不断迭代，天翼云应用服务网格会不定期跟进社区的功能更新和漏洞修复。服务网格实例版本过于落后时，可能会存在安全和稳定性风险，建议您及时进行升级操作。 大版本的更新需要您主动进行升级，及时升级可以： 降低安全和稳定性风险：CSM版本的迭代，会及时跟进修复社区已知的安全及稳定性漏洞，给你的业务带来安全和稳定性的提升。 享受更好的维护支持：对于落后太多的实例版本（往往是3个大版本以上），CSM不再提供维护和技术支持，使用新版本能够让您享受更好的技术支持和答疑服务。 使用新版本的前沿功能：随着社区Istio版本的演进，新版本包含新的功能和改进，CSM也将适配新版本，可以使用更丰富的功能，跟进最新的性能优化也有助于您减少资源消耗。

对比维度 SFS Turbo备份 文件备份 备份/恢复对象 弹性文件服务中的SFS Turbo文件系统 云上服务器和用户数据中心虚拟机或服务器中的单个或多个文件 备份粒度 SFS Turbo文件系统 文件 存储库类型 SFS Turbo备份存储库 混合云服务备份存储库 推荐场景 需要对SFS Turbo文件系统的数据进行保护，备份数据与文件系统分开存放，可以使用备份创建新的文件系统 需要对云上服务器和用户数据中心虚拟机或服务器中的单个或多个文件进行单独备份，能够在云上进行备份和恢复。

类型 参数 说明 子流程 选择子流程 选择已创建的函数流任务。 子流程 是否等待子流程完成 默认选择“是”。 子流程 输入过滤表达式(JSONPath) 基于上一个流程的json输出参数，可以使用JSONPath格式来选择性的过滤出当前流程的输入参数。 子流程 输出过滤表达式(JSONPath) 基于当前流程的json输出参数，可以使用JSONPath格式来选择性的过滤出下一流程的输出参数。 并行分支 分支执行完成条件 所有分子执行完成：2个或2个以上分支时选择该条件 一个分支执行完成：只有1个分支时选择该条件 指定数目分支执行完成：2个或2个以上分支时其中某个分支可以选择该条件 并行分支 输入过滤表达式(JSONPath) 基于上一个流程的json输出参数，可以使用JSONPath格式来选择性的过滤出当前流程的输入参数。 并行分支 输出过滤表达式(JSONPath) 基于当前流程的json输出参数，可以使用JSONPath格式来选择性的过滤出下一流程的输出参数。 并行分支 指定分支执行完成数目 当“分支执行完成条件”选择指定数目分支执行完成时，支持自定义执行完成的数目。 并行分支 结果输出路径 输入并行分支执行结果输出位置，输入值作为key，并行分支执行结果作为value，以json形式输出。若未填写，默认输出路径为：result。 开始节点 加入触发器 用于标识流程的开始，一个流程只能有一个开始节点。如何创建函数流触发器，请参见 异常处理 是否重试 默认关闭，开启后可以控制函数执行失败后的下一步流程。 重试条件(JSONPath)：例如: $.status 500 重试间隔(130秒)：默认重试间隔1S 最大重试次数(18)：默认重试次数3次 循环节点 遍历数组路径（JSONPath） 需要遍历的数组类型变量地址。 循环节点 迭代变量名称 每次循环迭代，引用数组中元素的参数名称。 循环节点 结果输出路径（JSONPath） 指定全部迭代分支执行结果数组的输出位置。 循环节点 并发迭代数目 并发运行迭代分支的数目，限制0100, 0代表并发拉起的数目无限制。 循环节点 并发迭代时间间隔（秒） 每次迭代间隔的时间。 循环节点 输入过滤表达式（JSONPath） 基于上一个流程的json输出参数，可以使用JSONPath格式来选择性的过滤出当前流程的输入参数。 循环节点 输出过滤表达式（JSONPath） 基于当前流程的json输出参数，可以使用JSONPath格式来选择性的过滤出下一流程的输出参数。 时间等待 延迟时间（秒） 默认1000秒。 服务节点 执行模式 定义服务节点中函数的执行顺序。 串行模式：服务中的函数节点按照连线顺序依次执行，可以严格保证函数的执行顺序 并行模式：服务中的函数节点并行执行，不保证内部函数节点的执行顺序 服务节点 输入过滤表达式 通过JSONPath表达式对节点的输入信息进行过滤。 服务节点 输出过滤表达式 通过JSONPath表达式对节点的输出信息进行过滤。 条件分支 分支类型 条件分支 默认分支 当一个分支选择条件分支时，必须要有一个分支选择默认分支。 条件分支 表达式 选择“条件分支”，需要输入JSONPath类型表达式。 条件分支 输入过滤表达式 通过JSONPath表达式对节点的输入信息进行过滤。 条件分支 输出过滤表达式 通过JSONPath表达式对节点的输出信息进行过滤。 结束节点 流程结束的标志 后面不能接任何节点。

功能介绍 敏感词防护功能支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等）。您可以根据实际需要设置敏感词防护规则，满足数据安全保护和等保合规需求。 注意 防护敏感信息泄露功能目前只支持识别中华人民共和国境内（中国香港特别行政区、中国澳门特别行政区、中国台湾暂不支持）的身份证号、手机号、银行卡号、邮箱。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为基础版及以上版本，支持防护敏感信息泄露相关功能。 背景信息 个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。根据《GBT 352732017信息安全技术个人信息安全规范》解读：个人敏感信息包括：身份证号码，个人生物识别信息，银行账号，通信记录和内容，财产信息，征信信息，行踪轨迹，住宿信息，健康信息，交易信息，14岁以下（含）儿童的个人信息等。防护敏感信息泄露功能对网站的敏感内容脱敏处理，避免重要数据泄露带来的风险。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！

本章节主要介绍翼MapReduce服务的产品优势。 MRS服务拥有强大的Hadoop内核团队，基于FusionInsight大数据企业级平台构筑。历经行业数万节点部署量的考验，提供多级用户SLA保障。 MRS具有如下优势： 高性能 MRS支持自研的CarbonData存储技术。CarbonData是一种高性能大数据存储方案，以一份数据同时支持多种应用场景，并通过多级索引、字典编码、预聚合、动态Partition、准实时数据查询等特性提升了IO扫描和计算性能，实现万亿数据分析秒级响应。同时MRS支持自研增强型调度器Superior，突破单集群规模瓶颈，单集群调度能力超10000节点。 低成本 基于多样化的云基础设施，提供了丰富的计算、存储设施的选择，同时计算存储分离，提供了低成本海量数据存储方案。MRS可以按业务峰谷，自动弹性伸缩，帮助客户节省大数据平台闲时资源。MRS集群可以用时再创建、用时再扩容，用完就可以销毁、缩容，确保成本最优。 高安全 MRS服务拥有企业级的大数据多租户权限管理能力，拥有企业级的大数据安全管理特性，支持按照表/按列控制访问权限，支持数据按照表/按列加密。 易运维 MRS提供可视化大数据集群管理平台，提高运维效率。并支持滚动补丁升级，可视化补丁发布信息，一键式补丁安装，无需人工干预，不停业务，保障用户集群长期稳定。

本文介绍从开通边缘函数服务到使用边缘函数的全流程,便于您快速上手边缘函数。 开通开发者平台边缘函数服务 AOne开发者平台提供事件驱动的全托管 Serverless 边缘函数计算服务。 您无需关注服务部署区域、无需搭建和维护基础设施，只需一键部署代码，即可天翼云边缘节点上即时生效，就近响应终端用户或设备的请求。 您可以将您的自定义JavaScript代码，部署到AOne边缘节点，扩展您当前CDN加速域名的边缘计算功能。 开发者平台边缘函数限时免费期间，提供受限额度： 函数数量：20个 函数调用次数：10万次 函数执行时长：10ms 使用边缘函数，您需要： 1. 开通 AOne安全与加速任意套餐，并配置启用CDN域名。 2. 提交工单申请试用边缘函数。 3. 工单通过后，可以通过控制台自助进行函数配置下发。 创建函数并关联您的域名 1. 登录AOne控制台； 2. 单击 开发者平台>函数管理； 3. 单击 右上角 创建函数； 参数 说明 函数名称 请输入函数名称，目前只支持小写字母、数字、下划线，开头结尾只允许小写字母和数字。名称长度264字符。函数名创建后无法修改。 规格 函数代码单次执行过程中，CPU运行时间最大值。目前公测期间免费提供10ms规格。 语言类型 当前支持JavaScript，后续会继续扩展更多编程语言。 触发器 边缘函数需要域名作为入口供客户端访问，域名使用AOne安全与加速上的加速域名。 函数模板 当前根据常见客户场景提供预制代码，帮助您快速体验并为您的CDN域名扩展自定义功能。 选择函数模板部署完成后，您可以从函数详情>版本与发布>快速编辑 进行代码开发、测试与部署。

本节主要介绍权限管理 如果您需要对已购买的软件开发生产线资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制员工对资源的访问范围。例如对于负责软件开发的员工，您希望他们拥有软件开发生产线控制台的使用权限，但是不希望他们拥有购买开通软件开发生产线等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能查看软件开发生产线资源使用量，但是不允许购买开通软件开发生产线的权限，控制开发人员对软件开发生产线资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用软件开发生产线的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见IAM帮助中心。 软件开发生产线控制台权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 软件开发生产线部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问软件开发生产线时，需要先切换至授权区域。 软件开发生产线控制台权限采用细粒度授权方式（即策略）。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对软件开发生产线服务，管理员能够控制IAM用户仅能对软件开发生产线资源进行指定的管理操作。 如下表所示，包括了软件开发生产线控制台的所有系统权限。 表 软件开发生产线控制台系统权限 策略名称 描述 类别 DevCloud Console FullAccess 软件开发生产线控制台管理员权限，拥有该权限的用户可以购买软件开发生产线资源。 系统策略 DevCloud Console ReadOnlyAccess 软件开发生产线控制台只读权限，拥有该权限的用户仅能查看软件开发生产线资源使用情况。 系统策略 下表列出了软件开发生产线控制台常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 操作 DevCloud Console FullAccess DevCloud Console ReadOnlyAccess 在控制台查看需求管理资源列表详情 √ √ 在控制台查看代码托管资源列表详情 √ √ 在控制台查看编译构建资源列表详情 √ √ 在控制台查看代码检查资源列表详情 √ √ 在控制台查看测试计划测试管理资源列表详情 √ √ 在控制台查看制品仓库资源列表详情 √ √

本节主要介绍权限管理 如果您需要对已购买的软件开发生产线资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制员工对资源的访问范围。例如对于负责软件开发的员工，您希望他们拥有软件开发生产线控制台的使用权限，但是不希望他们拥有购买开通软件开发生产线等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能查看软件开发生产线资源使用量，但是不允许购买开通软件开发生产线的权限，控制开发人员对软件开发生产线资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用软件开发生产线的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见IAM帮助中心。 软件开发生产线控制台权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 软件开发生产线部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问软件开发生产线时，需要先切换至授权区域。 软件开发生产线控制台权限采用细粒度授权方式（即策略）。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对软件开发生产线服务，管理员能够控制IAM用户仅能对软件开发生产线资源进行指定的管理操作。 如下表所示，包括了软件开发生产线控制台的所有系统权限。 表 软件开发生产线控制台系统权限 策略名称 描述 类别 DevCloud Console FullAccess 软件开发生产线控制台管理员权限，拥有该权限的用户可以购买软件开发生产线资源。 系统策略 DevCloud Console ReadOnlyAccess 软件开发生产线控制台只读权限，拥有该权限的用户仅能查看软件开发生产线资源使用情况。 系统策略 下表列出了软件开发生产线控制台常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 操作 DevCloud Console FullAccess DevCloud Console ReadOnlyAccess 在控制台查看需求管理资源列表详情 √ √ 在控制台查看代码托管资源列表详情 √ √ 在控制台查看编译构建资源列表详情 √ √ 在控制台查看代码检查资源列表详情 √ √ 在控制台查看测试计划测试管理资源列表详情 √ √ 在控制台查看制品仓库资源列表详情 √ √

推荐搭配 弹性伸缩服务、弹性负载均衡、对象存储。 场景架构图 应用场景：游戏部署 场景说明 游戏业务对服务器性能、可靠性、网络、弹性伸缩能力要求极高。 场景痛点 服务器性能不足会造成卡顿、停服等严重问题，影响玩家游戏体验，引起用户流失； 无法准确预估开发周期、玩家数量和增长速度，易造成资源不足或者资源浪费。 应用推荐 使用弹性云主机为游戏业务提供高可靠、高性能、高稳定，低时延的算力支撑，给玩家顺畅游戏体验； 根据游戏业务对资源的需求快速弹性扩容，合理利用计算资源，节约成本。 产品优势 多节点多可用区，有助于游戏业务快速实现大范围布局； 根据需求快速弹性扩容，合理利用资源，节约成本； 专业的GPU虚拟化技术，进程层面资源调度，每台服务器提供更大的并发，降低上云成本； 先进的编解码协议，结合优化的网络传输，保证更低的时延和体验效果。 推荐搭配 弹性伸缩服务、弹性负载均衡、云数据库。

配置版本 本文介绍智能体的版本配置。 智能体版本是当前智能体代码及配置的一个快照。版本的作用是固化智能体代码和配置，形成一个稳定的智能体服务。在当前智能体的阶段性功能开发验证完毕后，您可以创建一个版本来发布您的智能体服务，同时可以继续修改你的代码来进行后续的智能体开发，而不会影响已发布的版本。 发布智能体版本 智能体的版本可以通过以下入口创建： 版本与灰度 版本管理 +发布版本 发布版本时，按需输入版本描述。版本号将自动分配。 智能体版本有以下几个需要注意的特性： 版本一旦创建后内容将不可变更，仅可删除。 版本号是一个单调递增的数字，从1开始。删除版本时，所分配的版本号也会一并删除，且不会复用。 LATEST版本是一个特殊版本，其对应的智能体快照不固定，指向最新的智能体代码和配置。 LATEST版本无需用户发布，当智能体创建后，会自动默认发布一个唯一的LATEST版本，且不允许删除。

本节主要介绍创建用户组并授权 A公司的团队分为管理组（admin）、开发人员组和测试人员组。由于系统默认内置了admin组，用于拥有帐号所有资源的使用及管理权限，因此A公司的团队只需要在IAM中再创建开发人员组及测试人员组即可。 创建用户组 步骤 1 A公司管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户组”。 步骤 5 在“用户组”管理界面中，单击右上方的“创建用户组”。 步骤 6 输入“用户组名称”和“描述”，单击“确定”。 返回用户组列表页，用户组列表中将显示新创建的用户组。 依照以上流程，分别创建“开发人员组”和“测试人员组” 给用户组授权 A公司的开发人员需要使用的云服务为ECS、VPC及云硬盘，需要为“开发人员组”授予这些服务的管理员权限。测试人员需要使用云服务CES，需要为“测试人员组”授予此服务的权限。完成用户组的授权后，用户组中的用户才可以使用这些云服务。 步骤 1 A公司管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击首页顶部控制中心，在控制中心首页“管理与部署”类中，单击“统一身份认证服务”。 步骤 3 在统一身份认证服务控制台页面，单击左侧功能菜单“用户组”，找到已创建的“开发人员组”用户组，单击右侧 “授权”。 步骤 4 在用户组权限管理页面，勾选需要授予用户组的服务权限，如在本例中，为“开发人员组”添加ECS Admin、VPC Admin和EVS Admin三个策略授权，然后单击“下一步”。 步骤 5 选择授权范围方案为“指定区域项目资源”，并选择要授权的区域项目，即资源池，然后单击“确定”。完成设置后，开发人员组仅在授权的区域有操作权限，其它区域将提示没有权限。 步骤 6 单击“确定”，完成用户组的权限授权。 参考步骤3至步骤5的方法，为“测试人员组”授予“CES Administrator ”的权限。

本文主要介绍通用类问题。 容灾和备份的区别是什么？ 容灾和备份具有以下区别： 容灾主要针对火灾、地震等重大自然灾害，因此生产站点和容灾站点之间必须保证一定的安全距离；备份主要针对人为误操作、病毒感染、逻辑错误等因素，用于业务系统的数据恢复，数据备份一般是在同一数据中心进行。 容灾系统不仅保护数据，更重要的目的在于保证业务的连续性；而数据备份系统只保护不同时间点版本数据的可恢复。一般首次备份为全量备份，所需的备份时间会比较长，而后续增量备份则在较短时间内就可完成。 容灾的最高等级可实现RPO0；备份可设置一天最多24个不同时间点的自动备份策略，后续可将数据恢复至不同的备份点。 故障情况下（例如地震、火灾），容灾系统的切换时间可降低至几分钟；而备份系统的恢复时间可能几小时到几十小时。 存储容灾有哪些功能 ？ 存储容灾服务具有以下主要功能： 便捷的业务恢复方案 存储容灾服务提供集中的控制台，您可以通过管理控制台配置和管理服务器复制，执行切换和故障切换等操作。 服务器复制 您可以创建从生产站点至容灾站点的复制。 不感知应用 运行在服务器上的任何应用都支持被复制。 在不中断的情况下执行容灾演练 可轻松地运行容灾演练，不会影响正在进行的复制。 灵活的故障切换 可针对生产站点预期会出现的中断执行切换操作，确保不丢失任何数据；或者针对意外灾难执行故障切换操作，尽快恢复业务。 高性价比 业务正常情况下，容灾站点的服务器处于关机状态，不产生计算资源消耗，可大幅降低容灾TCO。

配置示例 示例一： 参数名 配置示例 头部值 AccessControlAllowOrigin 跨域验证 关闭 取值 结果说明：全站加速响应头部固定响应“AccessControlAllowOrigin:”。 示例二： 参数名 配置示例 头部值 AccessControlAllowOrigin 跨域验证 开启 取值 结果说明： 1.用户请求携带的Origin头是 2.用户请求携带的Origin头是

修改后端主机组 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要修改的后端主机组的负载均衡名称。 5. 切换到“后端主机组”页签，单击需要修改的后端主机组名称右侧“修改”入口。 6. 修改参数，单击“确定”。 删除后端主机组 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要删除的后端主机组的负载均衡名称。 5. 切换到“后端主机组”页签，单击需要删除的后端主机组名称右侧“删除”操作。 6. 单击“是”。

应用场景 开启域名监控后，可帮助用户监测多个站点的HTTPS业务状态，及时发现站点上的SSL证书安全问题，方便统一维护多站点HTTPS。 说明 每个用户免费拥有1个域名监控配额，您可以通过该配额体验域名监控服务，具体操作请参见添加域名。 若需要持续监控多个域名，您可以购买更多配额，具体操作请参见购买域名监控服务。 功能优势 域名监控服务操作简单，无需花费大量时间和精力维护已有证书。 支持证书到期预警，不用担心证书到期而影响业务。 配额及有效期说明 每添加1个域名，消耗1个域名监控配额。添加域名后有效期为365天，“监控剩余天数”从添加域名成功后开始计时。 每续期1个配额，消耗1个域名监控配额。每个配额可续期365天，续期的天数将累加至原“监控剩余天数”。 监控指标 监控指标 说明 证书到期预警 按证书到期时间统计域名证书： 已到期证书 到期时间 30天 证书未知：统计未绑定证书的域名、域名信息配置错误的域名数量。 SSL漏洞扫描 支持统计如下类型的漏洞： 高风险漏洞 中风险漏洞 低风险漏洞 合规检测 统计ATS和PCI DSS合规情况： ATS（应用程序安全传输，App Transport Security）为Apple ATS规范，是苹果在iOS 9中首次推出的隐私安全保护功能。从2017年1月1日起，所有提交到App Store的App必须强制开启ATS。启用ATS后，它会屏蔽明文HTTP资源加载，强制App通过HTTPS连接网络服务，对传输数据进行加密，保障用户数据安全。 PCI DSS（支付卡协会数据安全标准，Payment Card Industry Data Security Standard）为支付卡行业安全标准，是目前广受国际认可的数据安全标准。PCI DSS要求在开放的公共网络上传输持卡人数据，需使用高强度加密算法对数据进行保护。 域名安全等级分布 共支持如下9个等级，A+为最高级。

本节为您介绍对象存储迁移的使用场景。 各环境迁移至天翼云 场景说明 业务在不同环境中运行，包括天翼云不同区域或者其他云服务平台上。需要将这些不同环境中的业务数据迁移至天翼云平台。 场景痛点 不同区域之前无权限操作 各主流云服务平台类型不同难兼容 云下组件业务功能与云上不一致迁移困难 产品架构 产品优势 平行迁移：实现将源平台的数据平行迁移至目标平台，减少业务系统改动，使迁移过程更加顺畅。 可视化界面：迁移工具提供可视化界面，使得一键迁移变得简单，降低了迁移的难度。 应用兼容性：调用第三方服务的接口进行切换，最大程度将主机上的应用与云上兼容。 多家云平台兼容：具有良好的天翼云、阿里云、华为云等多家云计算厂商跨云迁移的兼容性，支持不同云平台之间的迁移。 搭配使用产品 在该场景实施建设时，您也可以搭配使用以下产品： 对象存储CTZOS：用于承载迁移后的应用和业务系统。 弹性IP EIP：为迁移后的对象存储提供静态公网IP，保证访问能力。

准备资源 要求 创建指导 VPC和子网 不同的RocketMQ实例可以重复使用相同的VPC和子网，也可以使用不同的VPC和子网，请根据实际需要进行配置。在创建VPC和子网时应注意如下要求：·创建的VPC与使用的分布式消息服务RocketMQ应在相同的区域。·创建VPC和子网时，如无特殊需求，配置参数使用默认配置即可。 创建VPC和子网的操作指导请参考创建虚拟私有云和子网，若需要在已有VPC上创建和使用新的子网，请参考为虚拟私有云创建新的子网。 安全组 不同的RocketMQ实例可以重复使用相同的安全组，也可以使用不同的安全组，请根据实际需要进行配置。在创建安全组时应注意如下要求：·创建安全组时，“模板”选择“自定义”。·创建安全组后，请保留系统默认添加的入方向“允许安全组内的弹性云服务器彼此通信”规则和出方向“放通全部流量”规则。·使用分布式消息服务RocketMQ必须添加表2所示安全组规则，其他规则请根据实际需要添加。 创建安全组的操作指导请参考创建安全组，为安全组添加规则的操作指导请参考添加安全组规则。

步骤四：在Kafka控制台绑定弹性公网IP地址 步骤 1 在管理控制台左上角单击，选择“应用服务 > 分布式消息服务 Kafka”，进入分布式消息服务Kafka专享版页面。 步骤 2 单击Kafka实例名称，进入实例详情页面。 步骤 3 在“基本信息”页面的“高级配置”区域，单击“修改”。 步骤 4 将“advertised.listeners IP/域名”改为DNAT规则中的弹性公网IP，内网连接地址和弹性公网IP的对应关系与添加DNAT规则中记录的对应关系保持一致，单击“保存”。 图修改advertised.listeners IP（使用DNAT访问） 步骤五：验证接口连通性 参考连接未开启SASL的Kafka实例或者连接已开启SASL的Kafka实例，测试是否可以生产和消费消息。 测试接口连通性时，注意以下几点： 连接Kafka实例的地址为“advertised.listeners IP:9011”，以上图为例，连接Kafka实例的地址为“124.xxx.xxx.167:9011,124.xxx.xxx.174:9011,124.xxx.xxx.57:9011”。 在Kafka实例安全组的入方向规则中放通9011端口。 连接Kafka实例的客户端已开启公网访问功能。

通过设置命名空间级别的资源配额，实现多团队或多用户在共享集群资源的情况下限制团队、用户可以使用的资源总量，包括限制命名空间下创建某一类型对象的数量以及对象消耗计算资源（CPU、内存）的总量。 前提条件 您已成功创建一个Kubernetes集群，参见购买混合集群。 您已成功创建一个命名空间，参见创建命名空间。 背景信息 默认情况下，运行中的Pod可以无限制的使用Node节点上的CPU和内存，这意味着任意一个Pod都可以无节制地使用集群的计算资源，某个命名空间的Pod可能会耗尽集群的所有资源。 kubernetes在一个物理集群上提供了多个虚拟集群，这些虚拟集群被称为命名空间。命名空间可用于多种工作用途，满足多用户的使用需求，通过为每个命名空间配置资源额度可以有效限制资源滥用，从而保证集群的可靠性。 您可为命名空间配置包括CPU、内存、Pod数量等资源的额度，更多信息请参见Resource Quotas。 其中，不同的集群规模对应的Pod数量推荐值如下： 维度 集群规模 Pod数量推荐值 规格 50节点 2500 Pod实例 规格 200节点 1W Pod实例 规格 1000节点 3W Pod实例 规格 2000节点 5W Pod实例 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 命名空间”。 步骤 2 在“集群”下拉框中，选择命名空间所在的集群。 步骤 3 单击对应命名空间后的“配额管理”，单击“编辑配额”。 系统级别的命名空间kubesystem、kubepublic默认不支持设置资源配额。 步骤 4 设置资源配额，单击“确定”。 CPU（Core）：限制命名空间下工作负载实例（Pod）能申请CPU资源的最大值。单位为“核”。 内存（MiB）：限制命名空间下工作负载实例能申请内存资源的最大值。单位为MiB。 有状态工作负载（StatefulSet）：限制命名空间下能创建有状态负载的最大数量。 无状态工作负载（Deployment）：限制命名空间下能创建无状态负载的最大数量。 普通任务（Job）：限制命名空间下能创建普通任务的最大数量。 定时任务（CronJob）：限制命名空间下能创建定时任务的最大数量。 实例（Pod）：限制命名空间下能创建实例的最大数量。 服务（Service）：限制命名空间下能创建服务的最大数量。 须知： 命名空间设置了CPU或内存资源配额后，创建工作负载时，必须指定CPU或内存的请求值（request）和约束值（limit），否则CCE将拒绝创建实例。若设置资源配额值为0，则不限制该资源的使用。 配额累计使用量包含CCE系统默认创建的资源，如default命名空间下系统默认创建的kubernetes服务（该服务可通过后端kubectl工具查看）等，故建议命名空间下的资源配额略大于实际期望值以去除系统默认创建资源的影响。

说明 1. 若租户需要接入日志服务（传入了日志参数），ECI会通过ITIAM创建名为eciAgentAlsDelegate的委托，拿到临时AKSK，并持续续约，直至该租户在该资源池所有ECI实例都退订。 2. 若用户需要接入日志服务（传入了日志参数），ECI会检查该租户在该资源池是否订购了云日志服务，若没有订购，ECI会替租户订购该资源池的云日志服务。 3. 每个容器可以有多组 Ctyunlogseci{key}，对应不同的日志采集路径。 4. 若租户传入的 Ctyunlogseci{key} 中的key在云日志已经存在，ECI不会再创建采集规则，请确保采集规则内容正确。 5. ECI创建的日志资源在退订ECI实例时不会回收，请租户自行回收避免额外日志计费。 6. 若传入的环境变量命名不符合上述规范，ECI将忽略该环境变量创建对应的默认日志资源。 7. 任何不提供Ctyunlogseci{key}的输入组都会被忽略，比如提供了Ctyunlogseci{key}project 但没有提供Ctyunlogseci{key}，ECI将会忽略该组值，因为ECI不知道采集路径。 示例 1. 容器container1采集标准输出日志。 shell containers: env: name: Ctyunlogseciecialsdefaultlogrulestdoutyfgw9480 value: stdout image: registrytest.crsinternal.ctyun.cn/opensource/tomcat:9.0jdk8corretto name: container1 2. 容器container2采集标准输出日志并指定日志项目、日志单元。 shell containers: env: name: Ctyunlogseciecialsdefaultlogrulestdoutyfgw9480 value: stdout name: Ctyunlogseciecialsdefaultlogrulestdoutyfgw9480project value: myproject name: Ctyunlogseciecialsdefaultlogrulestdoutyfgw9480unit value: myunit image: registrytest.crsinternal.ctyun.cn/opensource/tomcat:9.0jdk8corretto name: container2 3. 容器container3采集容器内指定文件日志。 shell containers: env: name: Ctyunlogseciecialsdefaultlogrulefilesvba7129 value: /var/log/.log image: registrytest.crsinternal.ctyun.cn/opensource/tomcat:9.0jdk8corretto name: container3 4. 容器container4采集容器内指定文件日志并指定日志项目、日志单元。 shell containers: env: name: Ctyunlogseciecialsdefaultlogrulefilesvba7129 value: /var/log/.log name: Ctyunlogseciecialsdefaultlogrulefilesvba7129project value: someproject name: Ctyunlogseciecialsdefaultlogrulefilesvba7129unit value: someunit image: registrytest.crsinternal.ctyun.cn/opensource/tomcat:9.0jdk8corretto name: container4 5. 容器container5同时采集标准输出日志和指定文件日志。 shell containers: env: name: Ctyunlogseciecialsdefaultlogrulestdoutyxrw9035 value: stdout name: Ctyunlogseciecialsdefaultlogrulefileyxrw9035 value: /var/log/.log image: registrytest.crsinternal.ctyun.cn/opensource/tomcat:9.0jdk8corretto name: container5

本文介绍算力市场。 概述 算力市场是基于容器化技术的GPU算力服务平台，专注于为需要大规模、高性能算力的企业与研究机构提供垂直优化的AI算力资源池与开放兼容的接入生态。作为底层智算生态算力的核心构建者，算力市场将强大的AI算力转化为如同“水电煤”一样的可按需取用的基础设施，支撑大模型训练推理、前沿AI研发等核心场景，驱动AI技术创新与产业落地。 功能特性 按需计费 提供秒级计费、稳定可靠的GPU算力服务，支持按需创建释放，无需预先准备底层资源。 开箱即用 支持通过模版快捷创建智算容器实例，从而实现服务的一键部署。 多框架AI开发支持 全面兼容Deepseek等主流AI框架，提供开箱即用的AI开发环境。 多层次GPU资源配置 支持多种类型的智算容器实例，适于不同应用场景下的不同业务规模。