快速入门 场景 说明 相关文档 开通服务 开通安全与加速服务 服务开通 新增域名 添加域名 新增域名（含IPv6开关） 域名归属权验证指南 配置加速 配置源站信息、缓存、动态加速等 配置加速规则 配置防护 配置Web防护、DDoS防护、CC防护、BOT防护等 Web防护配置 DDoS防护 CC防护 BOT防护 访问控制

一级特性 二级特性 serviccombjavachassis springcloudhuawei sermant agent 备注 微服务治理 优雅上下线 √ √ √ 无损升级 √ √ √ 服务端限流 √ √ √ 客户端容错 √ √ √ 客户熔断 √ √ √ 客户端降级 √ √ √ 服务端隔离仓 √ √ √ 客户端隔离仓 √ √ √ 负载均衡策略 √ √ √ 灰度发布 √ √ √ 全链路日志追踪 √ √ × 服务治理状态上传 √ √ × 快速失败 √ √ × 故障注入 √ × √ 黑白名单 √ √ × 注册发现 本地注册发现 √ √ × 单注册CSE √ √ √ 单注册ServiceCenter √ √ √ 双注册 × × √ 双注册指同时注册到两个注册中心，当前sermant支持同时注册到cse和宿主原生注册中心。 配置中心支持 servicecomb引擎 √ √ √ 可基于配置中心下发配置,例如服务治理规则、业务配置。 Nacos引擎 √ √ √ servicecombkie √ √ √ zookeeper × × √ 轻量化配置中心（zeroconfig） √ × × apollo × × × 安全特性 安全认证 √ √ × 服务实例与注册中心以及消费端与生产端之间的认证。 开发 多协议支持 √ × × JavaChassis针对消费与生产端支持多种通信协议，如下： l 生产端：JAXRS、SpringMVC、透明RPC。 l 消费端：透明RPC、RestTemplate、InvokerUtils。 拓展 l 支持用户自定义处理链处理流量。 l 支持用户扩展流量治理。 l 支持Spring Cloud原生扩展。 l 支持用户扩展流量治理。 基于插件开发模式新增能力。

使用条件 仅未被容灾管理中心关联的云主机允许删除。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源管理”“云主机”，进入天翼云云主机列表页。 5. 在列表上方下拉菜单中选择需要进行同步云主机操作的命名空间。 6. 选中天翼云云主机列表中需删除的云主机，点击列表上方“删除”按钮，弹出删除云主机弹窗。 7. 确认需删除的云主机和相关信息后，若存在不可进行删除操作的云主机实例时，可点击“点击查看”按钮查看实例及不可删除原因。点击“确认”按钮，完成云主机实例删除操作。

本文帮助您了解海量文件服务OceanFS产品的退订。 注意 （非常重要）在删除/退订文件系统前必须先解绑文件系统所绑定的所有VPC。 按量付费（按需计费）的文件系统可随时执行删除，删除后数据无法恢复，请谨慎操作。 包年包月付费的新购资源支持7天内无理由全额退订（不包含进行了扩容、续订操作的实例），7天后退订将扣除相应的使用费用，具体请参考 操作步骤 1. 登录“控制中心”，切换到服务所在地域。 2. 进入“存储>海量文件服务OceanFS”控制台，在文件系统列表处找到需要进行退订的目标文件系统，进入文件系统详情页。 3. 逐一解绑该文件系统所绑定的所有VPC，进行下一步。 4. 退订按钮有两处入口： 1. 文件系统列表页面，找到“操作>更多>退订”，根据界面提示操作即可。 2. 点击文件系统名称，进入文件系统详情页，右上方点击“退订”，根据界面提示操作即可。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String ctyun资源池ID 81f7728662dd11ec810800155d307d5b blacklistID 是 String 告警黑名单ID 46d7bc837ac45238a9342076d0b9f9f0 name 是 String 告警黑名单名称 告警黑名单123 service 是 String 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“ ecs dimension 是 String 本参数表示告警维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“ ecs desc 否 String 描述 test devices 是 Array of Strings 本参数表示设备列表。 ['xxxaadasd', 'asdasdasgfasd'] contactGroupList 是 Array of Strings 联系组列表 ['234bee0616f65b0aadb8c0903d480a58'] metrics 否 Array of Strings 指标列表 ['cpuutil', 'memutil'] startTime 否 Integer 开始时间 1687337384 endTime 否 Integer 结束时间，结束时间必须要大于开始时间 1687338884

场景 问题 大Key 客户端执行命令的时长变慢 大Key Redis内存达到maxmemory参数定义的内存使用上限，导致操作阻塞或重要的Key被逐出，更可能引发OOM导致被操作系统杀死 大Key 对大Key频繁执行读请求，会占用大量网络带宽，导致服务变慢，同时易影响其他使用的服务 大Key 对大Key执行修改或删除，可能造成主库较长时间的阻塞，进而可能引发同步中断或主从切换 大Key 对集群版或CLUSTER版实例，容易造成内存使用不均 热Key 占用大量的CPU资源，影响其他请求响应，导致整体性能降低 热Key 对集群版或CLUSTER版实例，容易造成分片压力分配不均的情况。会导致单个分片成为性能瓶颈点 热Key 容易造成缓存击穿。可能超出缓存的承受能力，缓存处理不过来。大量业务请求可能直接访问后端数据库，数据库承受不了大量请求访问可能导致服务不可用，严重影响业务

本文介绍云搜索服务产品使用期间的能力限制。 实例与节点 每个实例数据节点最小节点数量为3，最大支持50节点，协调节点最大支持32个，冷数据节点最大支持50个，专属master最大支持3个，Logstash节点最多20个。扩容节点数量上限同上。如果需要扩大上限，请工单联系我们调整。 每个节点仅限使用一块云硬盘，限制配额最大6T。XSSD2硬盘的起订下限为512GB，其余规格为40GB。 网络访问 实例创建完成后，不支持切换VPC网络，请在开通前提前规划业务部署。 为保证数据安全，Kibana、Dashboards、Cerebro需设置密码和访问安全策略。 版本说明 云搜索服务采用类似云搜索a.b.c格式的版本号，详细说明如下： a代表版本有较大的变动。 b代表版本中一些组件的变动。 c代表版本中Bug修复，可以向前兼容；以及一些较小的变动。 云搜索服务每个版本创建的实例组件版本是固定的，创建后不会自动升级。

本章节主要介绍ALM14017 NameNode直接内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测HDFS服务直接内存使用状态，当检测到NameNode实例直接内存使用率超出阈值（最大内存的90%）时，产生该告警。 直接内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 14017 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 NameNode可用直接内存不足，可能会造成内存溢出导致服务崩溃。 可能原因 该节点NameNode实例直接内存使用率过大，或配置的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，单击告警“ALM14017 NameNode直接内存使用率超过阈值”所在行的下拉菜单，在“定位信息”中查看告警上报的角色名并确定实例的IP地址。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 实例 > NameNode（对应上报告警实例IP地址）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“NameNode内存使用详情”。查看直接内存使用情况。 3.查看NameNode使用的直接内存是否已达到NameNode设定的最大直接内存的90%(默认阈值)。 是，执行步骤4。 否，执行步骤8。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 配置 > NameNode > 全部配置”。查看“GCOPTS”参数中是否存在“XX:MaxDirectMemorySize”。 是，执行步骤5。 否，执行步骤6。 5.在“GCOPTS”中把参数“XX:MaxDirectMemorySize”删除。保存配置，并重启NameNode实例。 6.查看告警信息，是否存在告警“ALM14007 NameNode堆内存使用率超过阈值”。 是，查看“ALM14007 NameNode堆内存使用率超过阈值”进行处理。 否，执行步骤7。 7.观察界面告警是否清除。 是，处理完毕。 否，执行步骤8。

本小节介绍域名无忧实例列表。 收到申请创建成功的通知后，重新登录天翼云控制中心下的域名无忧，点击【实例列表】菜单， 页面显示客户购买的域名无忧实例。 防护实例展示了实例ID、产品类型、服务内容、监控域名、已使用、剩余可用、购买时间，到期时间以及操作。 参数 说明 实例ID 公测申请成功后系统自动分配实例ID，实例ID支持重命名。 产品类型 分为标准版和高级版。 标准版：域名30分钟监控轮询周期，域名快速刷新，5分钟恢复。 高级版：域名10分钟监控轮询周期，域名快速刷新，1分钟恢复。 服务内容 购买的内容，包括自选订购内容及套餐订购内容。 监控域名 显示监控的域名。 已使用 显示已经使用购买的服务。 剩余可用 显示剩余购买的服务。 购买时间 实例购买的时间。 到期时间 实例到期时间。 操作 续订，点击续订转跳至续订页面，选择续订时间，生成订单续订成功后，到期时间延长。 退订，点击退订转跳至退订页面，点击确认退订。

本章节主要介绍修改OMS数据库数据访问用户密码。 操作场景 该任务指导用户定期修改OMS数据库访问用户的密码，以提升系统运维安全性。 对系统的影响 修改密码需要重启OMS服务，服务在重启时无法访问。 操作步骤 在MRS Manager单击“系统设置”。 1. 在“权限配置”区域下，单击“OMS数据库密码修改”。 2. 在omm用户所在行，单击“操作”列下的“修改密码”，修改OMS数据库密码。 密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@$%^&()+[{}];:", /?中的3种类型字符。 不能与用户名或倒序的用户名相同。 不可与前20个历史密码相同。 3. 单击“确定”，等待界面提示“操作成功”后单击“完成”。 4. 在omm用户所在行，单击“操作”列下的“重启OMS服务”，重启OMS数据库。 说明 如果修改了密码但未重启OMS数据库，则omm用户的状态变为“Waiting to restart”且无法再修改密码，直到重启OMS数据库 5. 在弹出的对话框中，勾选“我已阅读此信息并了解其影响。”，单击“确定”，重新启动OMS服务。

本小节介绍漏洞扫描术语解释。 漏洞扫描服务 漏洞扫描服务是针对服务器进行漏洞扫描的一种安全检测服务。 扫描器 扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速准确地发现扫描目标存在的漏洞并提供给使用者扫描结果。 漏洞库 包含各种已知漏洞信息的大型数据库，用于查找和识别系统中存在的漏洞。 弱口令 密码强度低，或广泛被使用，容易被攻击者破解的口令。 开放端口（SYN扫描） 端口扫描是计算机入侵者常用的一种漏洞发现方式，攻击者可以通过它了解到主机攻击弱点，一个开放端口就是一个潜在的通信通道，也就是一个入侵通道。 弱口令检测 通过弱口令字典，检测用户SSH、RDP等服务是否使用了弱密码，及时更改弱口令有效防备暴力破解入侵。 配置脆弱性检测 配置脆弱性检测也就是基线检查，针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备的最低安全配置要求，则该最低安全配置要求就称为安全基线。

本文为您介绍统一身份认证服务的权限配置管理方式 基本介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限，具体介绍说明详见：产品定义。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素左作用（Effect）、权限集（Action）等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略： 系统策略 ：预置的系统策略，您只能使用不能修改。云间高速EC相关的系统策略包含如下： EC Admin：云间高速服务的管理者权限，包含云间高速所有控制权限； EC Viewer：云间高速服务的观察者权限，包含云间高速服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，具体配置说明详见：创建自定义策略。

本章节主要介绍数据湖探索（DLI）如何创建用户并授权使用。 如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DLI服务的其它功能。 本章节介绍创建IAM用户并授权使用DLI的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您先了解用户组可以添加的DLI权限，并结合实际需求进行选择。DLI支持的系统权限，请参见权限管理概述章节中的“DLI系统权限”。 示例流程 给用户授权DLI权限流程 1.创建用户组并授权。 在IAM控制台创建用户组，并授予DLI服务普通用户权限“DLI ReadOnlyAccess”。 2.创建用户并加入用户组。 在IAM控制台创建用户，并将其加入1中创建的用户组。 3.用户登录并验证权限。 使用新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择数据湖探索，进入DLI主界面。如果在“队列管理”页面可以查看队列列表，但是单击右上角“购买队列”，无法购买DLI队列（假设当前权限仅包含DLI ReadOnlyAccess），表示“DLI ReadOnlyAccess”已生效。 在“服务列表”中选择除数据湖探索外（假设当前策略仅包含DLI ReadOnlyAccess）的任一服务，若提示权限不足，表示“DLI ReadOnlyAccess”已生效。如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。

如果您需要对天翼云上购买的运维安全中心实例资源进行管理，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并使用策略来控制对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有运维安全中心实例的使用权限，但是不希望员工拥有创建、变更规格、升级实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用实例，但是不允许创建、变更规格、升级CBH实例的权限策略，控制员工对实例资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用运维安全中心的其它功能。 运维安全中心实例权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CBH实例部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北北京1）对应的项目（cnnorth1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CBH实例时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对运维安全中心实例，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下表所示，包括了运维安全中心实例的部分系统权限。 系统角色/策略名称 描述 类别 CBH FullAccess 运维安全中心实例的所有权限（支付权限除外）。 系统策略 CBH ReadOnlyAccess 运维安全中心实例只读权限，拥有该权限的用户仅能查看运维安全中心服务，不具备服务配置和操作权限。 系统策略 说明 您在赋予账号企业项目级的CBH FullAccess权限时，还需要授予账号IAM项目级别的CBH ReadOnlyAccess权限，这样才可以在Console控制台正常使用CBH服务的各项功能。 您在赋予账号企业项目级的CBH FullAccess权限时，还需要授予账号IAM项目级别的CBH ReadOnlyAccess权限，这样才可以在Console控制台正常使用CBH服务的各项功能。 如下表列出了CBH实例常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 CBH FullAccess CBH ReadOnlyAccess 创建运维安全中心 √ x 变更运维安全中心规格（变更规格） √ x 查询运维安全中心列表 √ √ 升级运维安全中心软件版本 √ x 查询ECS配额 √ x 绑定或解绑EIP √ x 重启运维安全中心 √ x 启动运维安全中心 √ x 关闭运维安全中心 √ x 查看运维安全中心可用区 √ x 检测当前配置是否支持创建IPv6运维安全中心 √ x 检测运维安全中心与License中心之间网络是否连通 √ x 修改运维安全中心网络，确保与License中心网络连通 √ x

本章节会介绍关系型数据库的定义以及包含哪些数据库引擎 关系型数据库（Relational Database Service，简称RDS）是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。关系型数据库支持以下引擎： MySQL PostgreSQL SQL Server 关系型数据库服务具有完善的性能监控体系和多重安全防护措施，并提供了专业的数据库管理平台，让用户能够在云中轻松的进行设置和扩展关系型数据库。通过关系型数据库服务的管理控制台，用户几乎可以执行所有必需任务而无需编程，简化运营流程，减少日常运维工作量，从而专注于开发应用和业务发展。 Microsoft SQL Server Microsoft SQL Server是老牌商用级数据库，成熟的企业级架构，轻松应对各种复杂环境。一站式部署、保障关键运维服务，大量降低人力成本。被广泛应用于政府、金融、医疗、教育和游戏等领域。云数据库SQL Server具有即开即用、稳定可靠、安全运行、弹性伸缩、轻松管理和经济实用等特点。 拥有高可用架构、数据安全保障和故障秒级恢复功能，提供了灵活的备份方案。

本章主要介绍创建并使用签名密钥。 操作场景 签名密钥用于后端服务验证API网关的身份，在API网关请求后端服务时，保障后端服务的安全。 签名密钥是由一对Key和Secret组成，签名密钥需要绑定到API才能生效。当签名密钥绑定API后，API网关向后端服务发送此API的请求时，会增加相应的签名信息，此时需要后端服务依照同样方式进行签名，通过比对签名结果和API网关传过来的Authorization头中签名是否一致来校验API的合法性。 说明 每个用户最多创建30个签名密钥。 同一个环境中一个API只能被一个签名密钥绑定，一个签名密钥可以绑定多个API。 使用流程 1. 在控制台创建签名密钥。 2. 将新创建的签名密钥绑定API。 3. API网关将签名后的请求发送到后端服务，此时Authorization头中包含签名信息。后端服务通过不同的开发语言（例如Java、Go、Python、JavaScript、C 、PHP、C++、C、Android等）进行签名，比对签名结果和API网关传过来的Authorization头中签名是否一致来校验API的合法性。 图 签名密钥流程图 创建签名密钥 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API策略”。 步骤 4 在“策略管理”页面，单击“创建策略”。 步骤 5 选择策略类型，单击“签名密钥”，弹出“创建密钥”对话框。 步骤 6 填写如表 所示信息。 表 密钥信息 信息项 描述 密钥名称 自定义名称，用于识别不同的密钥。 类型 选择签名密钥的认证类型，可选择“HMAC”、“Basic Auth”、“AES”。 签名算法 选择aes的签名算法，包含以下两种： l aes128cfb l aes256cfb Key 根据选择的密钥类型，填写不同的密钥信息。 l HMAC：填写APP认证所使用密钥对的Key。 l Basic Auth：填写basic认证所使用的用户名。 l aes：填写aes认证所使用的密钥key。 l Public Key：填写publickey认证所使用的公钥。 Secret 根据选择的密钥类型，填写不同的密钥信息。 l HMAC：填写APP认证所使用密钥对的Secret。 l Basic Auth：填写basic认证所使用的密码。 l aes：填写aes认证所使用的向量。 l Public Key：填写Public Key认证所使用的私钥。 确认Secret 填写与Secret一致的值。 步骤 7 单击“确定”，完成密钥的创建。

本章节主要介绍翼MapReduce的FusionInsight Manager操作。 概述 MRS为用户提供海量数据的管理及分析功能，快速从结构化和非结构化的海量数据中挖掘您所需要的价值数据。开源组件结构复杂，安装、配置、管理过程费时费力，使用FusionInsight Manager将为您提供企业级的集群的统一管理平台： 提供集群状态的监控功能，您能快速掌握服务及主机的运行状态。 提供图形化的指标监控及定制，您能及时的获取系统的关键信息。 提供服务属性的配置功能，满足您实际业务的性能需求。 提供集群、服务、角色实例的操作功能，满足您一键启停等操作需求。 提供权限管理及审计功能，您能设置访问控制及管理操作日志。 浏览器支持能力 Google Chrome 推荐使用Google Chrome 93～95版本。 Microsoft Edge 支持Windows 10系统自带的Microsoft Edge浏览器。 说明 推荐使用Windows平台的浏览器访问FusionInsight Manager。 系统界面简介 FusionInsight Manager提供统一的集群管理平台，帮助您快捷、直观的完成集群的运行维护。 详见下图：FusionInsight Manager系统界面 界面最上方为操作栏，中部为显示区，最下方为任务栏。 操作栏各操作入口的详细功能如下表所示。 界面操作入口功能描述 入口 功能描述 主页 提供柱状图、折线图、表格等多种图表方式展示集群的主要监控指标、主机的状态统计。您可以定制关键监控信息面板，并拖动到任意位置。系统概览支持数据自动刷新，请参见主页。 集群 提供各集群内服务监控、服务操作向导以及服务配置，帮助您对服务进行统一管理。请参见集群管理。 主机 提供主机监控、主机操作向导，帮助您对主机进行统一管理。请参见主机。 运维 提供告警查询、告警处理指导功能。帮助您及时发现产品故障及潜在隐患，并进行定位排除，以保证系统正常运行。请参见运维。 审计 提供审计日志查询及导出功能。帮助您查阅所有用户活动及操作。请参见审计。 租户资源 提供统一租户管理平台。请参见租户资源。 系统 提供对FusionInsight Manager的系统管理设置，例如用户权限设置。请参见系统设置。

操作（Action） 操作（Action） 说明 cce::get cce:cluster:get 查询集群详情 cce::get cce:node:get 查询节点详情 cce::get cce:job:get 查询任务详情（集群层面的job） cce::get cce:addonInstance:get 获取插件实例 cce::get cce:addonTemplate:get 获取插件模板 cce::get cce:chart:get 获取模板信息 cce::get cce:nodepool:get 获取节点池 cce::get cce:release:get 获取模板实例信息 cce::get cce:userAuthorization:get 获取CCE用户授权 cce::list cce:cluster:list 查询集群列表 cce::list cce:node:list 查询节点列表 cce::list cce:job:list 查询任务列表（集群层面的job） cce::list cce:addonInstance:list 列出所有插件实例 cce::list cce:addonTemplate:list 列出所有插件模板 cce::list cce:chart:list 列出所有模板 cce::list cce:nodepool:list 列出集群的所有节点池 cce::list cce:release:list 列出所有模板实例 cce::list cce:storage:list 列出所有磁盘 cce:kubernetes: 操作所有kubernetes资源，具体权限请在15.3 命名空间权限中配置。 ecs::get ECS（弹性云主机）所有资源详情的查看权限。 CCE中的一个节点就是具有多个云硬盘的一台弹性云主机 ecs::list ECS（弹性云主机）所有资源列表的查看权限。 evs::get 云硬盘所有资源详情的查看权限。可以将云硬盘挂载到云服务器，并可以随时扩容云硬盘容量 evs::list 云硬盘所有资源列表的查看权限。 evs::count vpc::get VPC（虚拟私有云，包含二代ELB）所有资源详情的查看权限。 创建的集群需要运行在虚拟私有云中，创建命名空间时，需要创建或关联VPC，创建在命名空间的容器都运行在VPC之内 vpc::list VPC（虚拟私有云，包含二代ELB）所有资源列表的查看权限。 sfs::get SFS（弹性文件服务）服务所有资源详情的查看权限。 sfs:shares:ShareAction SFS（弹性文件服务）资源的扩容共享。 aom::get AOM（应用运维管理）服务所有资源详情的查看权限。 aom::list AOM（应用运维管理）服务所有资源列表的查看权限。 aom:autoScalingRule: AOM（应用运维管理）服务自动扩缩容规则的所有操作权限。

连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云主机上，且该弹性云主机与文档数据库实例处于同一区域、可用区、虚拟私有云子网内，建议单独使用内网IP通过弹性云主机连接文档数据库实例。 文档数据库服务和弹性云主机在不同的安全组默认不能访问，需要在文档数据库服务所属安全组添加一条“入”的访问规则。 文档数据库服务默认端口：8635，需要手动修改才能访问其它端口。 安全性高，可实现DDS的较好性能。 公网连接 弹性IP 当应用部署在弹性云主机上，且该弹性云主机与文档数据库实例处于不同区域时，建议单独使用弹性IP通过弹性云主机连接文档数据库实例。 当应用部署在其他云服务的系统上时，建议单独使用弹性IP通过弹性云主机连接文档数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的DDS实例在同一虚拟私有云子网内，使用内网连接。

本文主要介绍 云日志服务PHP SDK接入指南。 1. 前言 安装使用PHP SDK可以帮助开发者快速接入使用天翼云的日志服务相关功能，目前支持同步上传等功能。 2. 使用条件 2.1. 先决条件 用户需要具备以下条件才能够使用LTS SDK PHP版本： 1、购买并订阅了天翼云的云日志服务，并创建了日志项目和日志单元，获取到相应编码（logProject、logUnit）。 2、已获取AccessKey 和 SecretKey。 3、已安装PHP 7.2及以上 运行环境。 2.2. 下载及安装 下载ctyunltsphpsdk.zip压缩包，放到相应位置后并解压。“ctyunltsphpsdk/example”目录中samplePutlogs.php为SDK的使用示例代码。 2.2.1. 编译使用 1、php sdk 使用前需安装composer。 2、从 getcomposer.org 下载 Composer 的安装脚本，并通过 PHP 执行它。下载完成后，你通常会看到一个名为 composer.phar 的文件。为了全局访问 Composer，你可以将它移动到 /usr/local/bin/ 目录下，并给它重命名为 composer： plaintext sudo mv composer.phar /usr/local/bin/composer 3、这样你您就可以在任何地方通过 composer 命令来访问 Composer 了。 plaintext composer version 4、进行项目文件，在composer.json的目录，执行安装命令。 plaintext composer install 5、更新依赖。 plaintext composer update 之后，进入example目录，运行samplePutlogs.php。 plaintext php samplePutlogs.php 3. SDK使用设置 3.1. 基本使用 使用 SDK访问云日志服务，需要设置正确的 AccessKey、SecretKey 和endpoint，所有的服务可以使用同一 key 凭证来进行访问，但不同的服务地区需要使用不同的 endpoint 进行访问，详情参考天翼云官网SDK接入概述。在调用前SDK，需要已知以下参数： 云日志服务访问地址。详情请查看访问地址（Endpoint）。 key凭证：accessKey和secretKey 。详情请查看如何获取访问密钥（AK/SK）。 日志项目编码：logProject，在使用SDK前，需要确保您有至少一个已经存在的日志项目。 日志单元编码：logUnit，在使用SDK前，需要确保日志项目中有至少一个已经存在的日志单元。 待上传的日志：logItem，在使用SDK前，需要确保日志已按照特定格式组织。 参数 参数类型 描述 是否必须 endpoint string 域名 是 accessKey string AccessKey，简称ak 是 secretKey string SecretKey ，简称sk 是 logProject string 日志项目编码 是 logUnit string 日志单元编码 是 示例代码：SDK使用示例 plaintext contentsPushBack("contentint", 123456); $logItem>contentsPushBack("contentmessage", "php sdk"); $logItem>contentsPushBack("contentdouble", 3.1415); $logItem>labelsPushBack("usertag", "string"); $logItems[] $logItem; } $accessKey "your accessKey"; $secretKey "your secretKey"; $endpoint "endpoint"; $logProject "your logProject"; $logUnit "your logUnit"; try{ $logClient new LogClient($accessKey, $secretKey, $endpoint); for($i 0; $i putLogs($logProject, $logUnit, $logItems); printf(strval($i) . ",statusCpde:%s , message:%s , errorCode:%s n", $logResponse>getStatusCode(), $logResponse>getMessage(), $logResponse>getErrorCode() ); } }catch(LogException $e){ printf("putLogs failed, code:%d, message:%sn", $e>getCode(), $e>getMessage() ); }

本章节主要介绍下线/删除API。 操作场景 已发布的API因为其他原因需要停止对外提供服务，可以将API从相关环境中下线，相关操作请参见下线API。 下线后的API如果要继续使用，需要重新进行发布操作，但需注意下线API不会保留原有的授权信息。 下线后的API如果确认不再提供服务，可以将API删除，相关操作请参见删除API。 说明 下线API不会保留原有的授权信息。 下线将导致此API在指定的时间无法被访问，请确保已经告知使用此API的用户。 删除API导致此API无法恢复，请确认后谨慎操作。 前提条件 已创建API。 API已发布到该环境。 下线API 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据服务”模块，进入数据服务页面。 详见下图： 选择数据服务 2.在左侧导航栏选择服务版本（例如：专享版），进入总览页。 3.单击“开发API > API管理”，进入到API管理信息页面。 4.在待下线的API所在行，单击“更多 >下线”，弹出“下线API”对话框。 5.选择API需要下线的时间，单击“确定”，完成API定时下线。 删除API 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据服务”模块，进入数据服务页面。 详见下图： 选择数据服务 2.在左侧导航栏选择服务版本（例如：专享版），进入总览页。 3.在左侧选择“API目录”，进入API列表页，勾选需要删除的API，单击“删除”。 4.单击“确定”，完成API删除。 说明 如果需要批量删除API，则勾选待删除的API，单击“删除”。最多同时删除1000个API。

本节为您介绍物理机监控最佳实践的场景及能力。 场景介绍 在您购买物理机后，合理使用监控能减轻云上业务的运维成本和压力，云监控服务面向物理机等产品提供监控服务，自动收集物理机的CPU、内存、磁盘、系统平均负载、GPU显卡以及网络使用情况等相关监控指标，提供性能指标监控、自动告警、历史信息查询等功能，以便您及时了解云资源使用情况。 能力介绍 天翼云物理机和云监控服务结合使用，自动收集物理机的CPU、内存、磁盘、系统平均负载、GPU显卡以及网络使用情况等监控指标，以便您及时了解物理机实例运行状况和性能。

本章节主要介绍翼MR Manager的新增配置的操作。 操作场景 用户可以根据不同的分组标准，对集群服务中的主机进行分组，一个配置分组下的主机共享一套配置。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“运维与配置 > 配置管理”。 5. 查询条件选择指定集群服务，查询指定集群配置信息，如图所示： 6. 新增配置操作，同集群服务新增配置。

本节介绍了如何获取服务返回的CNAME，并将域名或者业务的DNS解析指向我们提供的CNAME，这样访问的请求才能转发到边缘云清洗节点上，达到清洗效果。 操作步骤 要启用DDoS高防（边缘云）服务，需要您将接入域名的DNS解析指向我们提供的CNAME，这样域名的请求才能转发到天翼云边缘节点上。 1. 在控制台【业务接入】的域名列表或者端口列表中复制域名或端口对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。 3. 验证服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效；您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctdns.cn，即表示CNAME配置已经生效，功能也已生效。 注意 1. 配置CNAME完毕，CNAME配置生效后，DDoS高防（边缘云版）服务生效。 2. CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录需要最多72小时生效时间。

参数 说明 使用场景 在云间NAT网关高速访问互联网的场景下，此处选择云专线。 表示通过云专线方式接入虚拟私有云的本地数据中心中的服务器，将通过DNAT的方式为公网提供服务。 端口类型 分为所有端口和具体端口两种类型。 所有端口：属于IP映射方式。此方式相当于为服务器配置了一个弹性IP，任何访问该弹性IP的请求都将转发到目标服务器实例上。 具体端口：属于端口映射方式。公网NAT网关会将以指定协议和端口访问该弹性IP的请求转发到目标服务器的指定端口上。 支持协议 协议类型分为TCP和UDP两种类型。 端口类型为具体端口时，可配置此参数，端口类型为所有端口时，此参数默认设置为All。 弹性IP 弹性IP地址。 这里只能选择没有被绑定的弹性IP，或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性IP， 或者被绑定到当前公网NAT网关中SNAT规则上的弹性IP。 公网端口 弹性IP的端口。当端口类型为具体端口时，需要配置此参数，取值范围为165535。公网端口为具体的数值，例如80。 私网IP 用户本地数据中心中服务器的IP地址或者用户的私有IP地址。 表示通过云专线接入到虚拟私有云的本地数据中心端的此私有IP服务器，可以通过DNAT方式为公网提供服务。 端口类型为具体端口时，需要配置私网IP的端口。表示此IP地址的云主机将通过DNAT方式为公网提供服务。 私网端口 在使用DNAT为云主机面向公网提供服务场景下，指云主机的端口号。 当端口类型为具体端口时，需要配置此参数，取值范围为165535。私网端口为具体的数值，例如80。

参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 路径名 异常的文件路径或者名称。

本节主要介绍如何使用API 批量修改服务器属性。 此操作用来批量修改服务器属性。 说明 后续新增的数据服务端口会从修改后的端口范围中选择，已使用的端口值不变。 注意 修改端口范围（portRange）时，请避免和Linux系统的本地临时端口（iplocalportrange）范围重合，否则可能会导致HBlock服务所用的端口被占用。使用命令行cat /proc/sys/net/ipv4/iplocalportrange可以查看本地临时端口范围。 下列情况，修改HBlock可使用内存（maxMemoryRatio或maxMemorySize）后，必须重启对应服务器上的HBlock服务cs、ps才能生效；HBlock可使用的内存由小于8 GiB调整为大于等于8 GiB，或反之，还需重启对应服务器上的HBlock服务ms： 若修改指定服务器的HBlock可使用内存，重启该服务器的对应服务。 若修改所有服务器（all）的HBlock可使用的内存，重启所有服务器上的对应服务。 请求语法 plaintext PUT /rest/v1/system/server HTTP/1.1 Date:date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization:authorization { "action": "setProperties", "serverIds": [serverId1, serverId2, … ], "targetPortalIP": { "ips":[ { "ip": ip, "port": port, } ], "status": status }, "defaultPath": defaultPath, "portRange": port1port2, "maxMemoryRatio": maxMemoryRatio, "maxMemorySize": maxMemorySize } 请求参数 参数 类型 描述 是否必须 action String 操作动作。 取值： setProperties：服务器配置。 是 serverIds Array of string 指定需要设置的服务器。 取值： SERVERID：需要修改的服务器ID。 all：指定修改所有HBlock服务器配置。 default：指定后续加入集群节点的HBlock默认占用内存和端口范围。 默认修改所有服务器的配置。 说明 一次可用指定多个参数。 否 targetPortalIP.ips Array of ip iSCSI目标门户IP属性集合，详见“表1 请求参数targetPortalIP.ip说明”。 说明 若服务器与客户端不在同一网段（如服务器位于内网，客户端位于外网），通过NAT设备（如路由器）进行连接，则需要将NAT设备的外网地址和端口添加到服务器，从而使得外网的客户端可以正常与该服务器的target建立iSCSI连接。 注意 指定目标门户时，建议仅指定一个服务器ID。 否 targetPortalIP.status String 是否启用iSCSI目标门户IP。 取值： Enabled：启用。 Disabled：禁用。 是 defaultPath String 设置默认的数据目录（仅单机版本支持）。 数据目录必须是已经添加到HBlock系统中，并且状态为Normal的数据目录。 否 portRange String 指定端口范围，用于相关服务。 取值：取值范围为[1, 65535]，port1 为端口范围最小值，port2 为端口范围最大值，且port1

来自：

帮助文档

存储资源盘活系统

API参考

服务器管理

批量修改服务器属性

本章节介绍了云服务备份产品CBR的用户权限管理。 如果您需要对创建的CBR资源，设置不同的访问权限，以达到不同用户之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 系统默认提供两种用户权限：用户管理权限和资源管理权限。 用户管理权限可以管理用户、用户组及用户组的权限。 资源管理权限可以控制用户对云服务资源执行的操作。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有CBR的使用权限，但是不希望他们拥有删除CBR等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CBR，但是不允许删除CBR的权限策略，控制他们对CBR资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CBR服务的其它功能。 IAM是天翼云提供权限管理的基础服务，关于IAM的详细介绍，请参见IAM产品帮助中心。 CBR权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CBR部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CBR时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下表所示，包括了CBR的所有系统权限。 表 CBR系统权限 策略名称 描述 策略类别 CBR FullAccess 云备份管理员权限，拥有该权限的用户可以操作并使用所有存储库、备份和策略。 系统策略 CBR BackupsAndVaultsFullAccess 云备份普通用户权限，拥有该权限的用户可以创建、查看和删除存储库和备份等，无法创建、更新和删除策略。 系统策略 CBR ReadOnlyAccess 云备份只读权限，拥有该权限的用户仅能查看云备份数据。 系统策略 下表列出了CBR常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统策略的关系 操作 CBR FullAccess CBR BackupsAndVaultsFullAccess CBR ReadOnlyAccess 查询存储库 √ √ √ 创建存储库 √ √ × 列举存储库 √ √ √ 更新存储库 √ √ × 删除存储库 √ √ × 绑定资源 √ √ × 解绑资源 √ √ × 创建策略 √ × × 更新策略 √ × × 绑定策略 √ √ × 解绑策略 √ √ × 删除策略 √ × × 执行备份 √ √ × 更新订单 √ √ × 查询agent状态 √ √ × 删除备份 √ √ × 使用备份恢复数据 √ √ × 挂载存储库 √ √ × 批量添加删除存储库标签 √ √ × 添加存储库标签 √ √ × 修改标签 √ √ ×

前提条件 已购买KMS实例及凭据配额。 已在KMS实例中创建用于加密凭据的对称密钥。若未创建，可使用系统为凭据管理设置的默认密钥。 创建通用凭据 创建通用凭据，KMS会为该凭据自动设置版本号，并绑定内置版本状态。 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏选择服务所在的区域。 3. 进入“凭据管理”页面，在页面上方切换目标KMS服务。 4. 点击“创建凭据”，在弹出的创建凭据对话框，完成各项配置。 配置项 说明 凭据名称 自定义凭据名称。凭据名称在当前地域内唯一。 设置凭据值 录入您要托管的凭据内容。可根据数据类型选择键/值或纯文本方式。凭据总长度不超过32768字节（32KB）。 KMS主密钥 选择用于加密凭据值的密钥。 说明 密钥和凭据需要属于同一个KMS服务实例，且密钥类型位对称密钥。 支持使用默认密钥作为当前凭据的加密主密钥，您也可以前往KMS服务页面创建用户密钥，使用自定义加密密钥。 描述 凭据的描述信息。 5. 单击“确认”，完成凭据创建。您可以在凭据列表查看凭据ID/名称、凭据类型、凭据状态、创建时间等信息。

本节主要介绍微服务治理 业务场景 ServiceStage中的微服务引擎CSE，可提供负载均衡、降级、限流、容错、熔断、错误注入、黑白名单等服务治理策略。 用户可以根据实际的业务场景提前配置相应的治理策略，灵活应对业务需求变化，保障应用的稳定运行。 降级：在本实践中，假设前台请求剧增，导致系统响应缓慢甚至可能崩溃，在这样的场景下，我们可以在fusionweather对forecast使用降级策略，对forecast 进行降级处理，只请求比较重要的实时天气weather的数据，保障重要业务功能的正常运行，等流量洪峰过去再进行复原。 体验微服务降级 ServiceStage支持从界面上设置按微服务或接口粒度降级。 以对forecast微服务降级为例，操作步骤如下。 1、登录ServiceStage控制台，选择“基础设施 > 微服务引擎 CSE”。 2、选择在实践“使用ServiceStage托管微服务应用”中创建环境时选择的微服务引擎，单击“查看控制台”。 3、单击“服务治理”，进入服务治理页面。 4、单击创建应用时创建的应用名称（例如weathermap）。 5、配置降级策略： 1. 选择fusionweather微服务。 2. 选择“降级”。 3. 单击“新增”。 4. “降级对象”选择“forecast”和“所有方法”。 5. “降级策略”设置为“开启”。 单击“确定”。 6、配查看效果。 在浏览器中访问应用，原天气预报页面右侧天气预测部分显示空白。 7、单击，删除降级策略，以免对后续体验造成影响。

本文介绍弹性文件服务安全文件系统加密方面的内容。 在创建文件系统时可以根据实际需要选择是否开启加密服务，无须授权，选择开启即可对新创建的文件系统进行加密。 加密文件系统使用的是密钥管理服务（KMS）提供的密钥，无需您自行构建和维护密钥管理基础设施，安全便捷。 当用户希望使用自己的密钥材料时，可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥，并将自己的密钥材料导入该用户主密钥中。 文件系统加密具体操作步骤请参见加密。

本章主要介绍最佳实践概述 场景描述 本手册基于天翼云API网关实践所编写，用于指导您开放并调用API。 应用场景范围：基于天翼云API网关开放容器应用服务。 云容器引擎（CTCCE，Cloud Container Engine，简称CCE）中的工作负载，以及微服务，可通过API网关将服务能力以API形式对外开放。 方案优势 借助API网关开放CCE容器应用，具有如下优势： 无需设置弹性公网IP，节省网络带宽成本 API网关支持建立VPC通道，访问CCE中工作负载的地址。 提供多种认证方式，增加访问安全性 提供访问流量控制策略，增加后端服务的安全性 与直接访问容器应用相比，API网关提供流量控制，确保后端服务稳定运行。 支持多实例负载均衡，合理利用资源，增加系统可靠性 流程图 本手册介绍如何通过API网关访问CCE中的工作负载。 图1通过API网关访问CCE工作负载（由实例组成）