本章节主要介绍DataArts Studio权限管理。 如果您需要对的DataArts Studio资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identityand Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权来控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DataArts Studio的使用权限，但是不希望他们拥有删除工作空间等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DataArts Studio服务，但是不允许删除工作空间的权限，控制他们对DataArts Studio资源的使用范围。 DataArts Studio权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DataArts Studio部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DataArts Studio时，需要先切换至授权区域。 DataArts Studio 仅支持基于系统角色的授权，不支持策略授权 。为了实现精细的权限管控，DataArts Studio提供了系统角色 + 工作空间角色授权的能力，由工作空间角色授权具体的操作权限，并支持自定义不同权限点的工作空间角色。 说明 IAM提供了以下两种授权机制。注意，DataArts Studio仅支持其中的IAM角色方式，不支持IAM策略。 IAM角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。传统的IAM角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 IAM策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如图110和表11所示，DataArts Studio的IAM系统角色包括DAYU Administrator和DAYU User；工作空间角色是基于IAM角色DAYU User进一步授予的，权限列表列出了DataArts Studio常用操作与工作空间角色的授权关系，您可以参照这些权限列表选择合适的角色。 图110 权限体系 表11 DataArts Studio系统角色 系统角色名称 描述 类别 DAYU Administrator 实例管理员，拥有对DataArts Studio实例及工作空间的所有管理权限、依赖服务权限，以及所有工作空间内的所有业务操作权限。 说明 Tenant Administrator具有除统一身份认证服务外，其他所有服务的所有执行权限。即Tenant Administrator权限的用户也拥有对DataArts Studio的所有执行权限。 系统角色 DAYU User 普通用户，具备DataArts Studio实例及工作空间的查看权限，以及依赖服务权限。普通用户需要被授予任一工作空间角色后，才能拥有对应角色的业务操作权限。 工作空间有管理员、开发者、部署者、运维者和访客五种预置角色和自定义角色，每种角色的介绍如下，具体操作权限请参见权限列表。 l 管理员：工作空间管理员，拥有工作空间内所有的业务操作权限。建议将项目负责人、开发责任人、运维管理员设置为管理员角色。 l 开发者：开发者拥有工作空间内创建、管理工作项的业务操作权限。建议将任务开发、任务处理的用户设置为开发者。 l 运维者：运维者具备工作空间内运维调度等业务的操作权限，但无法更改工作项及配置。建议将运维管理、状态监控的用户设置为运维者。 l 访客：访客可以查看工作空间内的数据，但无法操作业务。建议将只查看空间内容、不进行操作的用户设置为访客。 l 部署者：企业模式独有，具备工作空间内任务包发布的相关操作权限。在企业模式中，开发者提交脚本或作业版本后，系统会对应产生发布任务。开发者确认发包后，需要部署者审批通过，才能将修改后的作业同步到生产环境。 l 自定义角色：如果预置角色不能满足您的需求，您也可以创建自定义角色。自定义角色的权限可自由配置，实现业务操作权限最小化。 系统角色

CCE对其他云服务有诸多依赖关系，因此在您开启IAM系统策略授权后，在CCE Console控制台中的各项功能需要配置相应的服务权限后才能正常查看或使用，详细说明如下： 依赖服务的权限配置均基于您已设置了IAM系统策略授权的CCE FullAccess或CCE ReadOnlyAccess策略权限，详细设置方法请参见设置集群权限。 1.11.7r2及以上版本的集群，显示情况依赖于命名空间权限的设置情况，如果没有设置命名空间权限，则无法查看集群下的资源。 − 如果您设置了全部命名空间的view权限，则可以查看到对应集群的全部命名空间下的资源，但密钥 ( Secret )除外，密钥 ( Secret )需要在命名空间权限下设置admin或者edit权限才能查看。 − CustomedHPA与HPA策略需要配置命名空间clusteradmin权限下才能生效。 − 如果您设置的是单一命名空间的view权限，则看到的只能是指定命名空间下的资源。 依赖服务的权限设置 如果IAM用户需要在CCE Console控制台中拥有相应功能的查看或使用权限，请确认已经对该用户所在的用户组设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess策略的集群权限，再按下表增加依赖服务的角色或策略。 表CCE Console中依赖服务的角色或策略 Console控制台功能 依赖服务 需配置角色/策略 总览 应用运维管理 AOM IAM用户设置了CCE Administrator权限后，需要增加AOM FullAccess权限后才能访问总览中的数据图表。 支持设置了IAM ReadOnlyAccess和CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户直接访问总览中的数据图表。 工作负载 弹性负载均衡 ELB 应用运维管理 AOM NAT网关 NAT 对象存储服务 弹性文件服务 SFS 正常创建工作负载时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要NAT网关类型的服务，需要设置NAT Gateway Administrator权限。 如果使用对象存储，需要全局设置对象存储Administrator权限。 说明 由于缓存的存在，对用户、用户组以及企业项目授予对象存储相关的RBAC策略后，大概需要等待15分钟RBAC策略才能生效；授予对象存储相关的系统策略后，大概需要等待5分钟系统策略能生效。 如果使用文件存储，需要设置SFS FullAccess权限。 集群管理 应用运维管理 AOM 如果需要弹性扩容权限，需要设置AOM FullAccess权限。 节点管理 弹性云主机 ECS 当IAM用户权限为CCE Administrator时，如果创建和删除节点，需要配置ECS FullAccess或ECS Administrator权限，以及VPC Administrator权限。 网络管理 弹性负载均衡 ELB NAT网关 NAT 正常创建时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要NAT网关类型的服务，需要设置NAT Administrator权限。 存储管理 极速文件存储 EFS（SFS Turbo） 使用极速文件存储，需要设置SFS Turbo Admin权限 命名空间 / 无需其他依赖权限。 模板市场 / 当前仅支持帐号、设置了CCE Administrator权限的IAM用户访问。 插件管理 / 支持帐号、设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess等权限的IAM用户访问本功能。 权限管理 / 支持帐号访问。 支持设置了CCE Administrator和Security Administrator（全局级策略）权限的IAM用户访问。 支持设置了IAM ReadOnlyAccess和CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户访问。 配置中心 / 配置项 ( ConfigMap )无需其他依赖权限。 密钥 ( Secret )需要在命名空间权限下设置clusteradmin、admin或者edit权限才能查看，依赖服务需要添加DEW KeypairFullAccess或者DEW KeypairReadOnlyAccess权限。 帮助中心 / 无需其他依赖权限。 其他服务跳转 容器镜像服务 SWR 应用运维管理 AOM 云监控服务（存储管理与节点管理的“监控”跳转） 为便于您快速进入CCE相关服务的控制台，在CCE控制台中增加了其他服务的跳转链接，CCE默认没有这些服务的全部权限，如果IAM用户需要查看或使用其功能，请按照该服务的权限策略说明设置相应的权限策略。 示例流程 本章节通过为IAM用户“James”增加CCE“总览”页面监控信息的查看权限为例进行演示。 IAM用户“James”在用户组“开发人员组”，“开发人员组”仅有CCE Administrator权限。如需浏览CCE总览页面的监控信息还需要增加“AOM FullAccess”策略才能正常查看。 步骤一：验证用户当前权限 步骤 1 使用IAM用户“James”登录CCE控制台。 步骤 2 单击左侧导航栏中的“总览”，进入总览页面，可以看到该用户无权查看监控相关的模块信息。 步骤二：为用户组增加系统策略 步骤 1 IAM用户“James”退出登录，使用帐号登录CCE控制台。 步骤 2 在CCE控制台中，单击左侧导航栏中的“权限管理”，在“集群权限”页签下单击“开发人员组”后的“设置权限”。 步骤 3 在弹出的“设置权限”窗口中，单击“去设置”。 步骤 4 进入统一身份认证服务的“用户组 > 开发人员组”页面，在“用户组权限”页签下，单击“配置权限”。 步骤 5 在弹出的“配置权限”窗口中，选择作用范围。此处选择“区域级项目”，并在下拉框中选择需要授权的区域。 步骤 6 在权限列表上方的搜索框中搜索“AOM”，单击“AOM FullAccess”策略并选中，单击“确定”。 步骤 7 在“权限管理”页签下可以看到已经增加“AOM FullAccess”策略。 步骤 8 返回CCE控制台，在“权限管理”的“集群权限”页签下单击右上角的刷新图标，可以看到“AOM FullAccess”权限策略已添加成功。 步骤三：验证用户新增权限 步骤 1 使用IAM用户“James”登录CCE控制台。 步骤 2 单击左侧导航栏中的“总览”，进入总览页面，可以看到该用户已有权查看监控相关的模块信息。 步骤 3 为IAM用户“James”增加查看总览页监控相关的依赖服务权限完成，验证可正常查看。

镜像格式 介绍 备注 ZVHD 采用ZLIB压缩算法，支持顺序读写。 镜像服务底层通用格式。镜像服务导入和导出支持格式。 ZVHD2 采用ZSTD压缩算法，支持延迟加载。 镜像服务延迟加载特性专用格式。镜像服务导入支持格式。 QCOW2 QCOW2格式镜像是QEMU模拟器支持的一种磁盘镜像，是用一个文件的形式来表示一块固定大小的块设备磁盘。与普通的RAW格式镜像相比，QCOW2格式有如下几个特性： 支持更小的磁盘占用。 支持写时拷贝（CoW，CopyOnWrite），镜像文件只反映底层磁盘变化。 支持快照，可以包含多个历史快照。 支持压缩和加密，可以选择ZLIB压缩和AES加密。 镜像服务导入和导出支持格式。 VMDK VMDK是VMware创建的虚拟硬盘格式。一个VMDK文件代表VMFS（云主机文件系统）在云主机上的一个物理硬盘驱动。 镜像服务导入和导出支持格式。 VHD VHD是微软提供的一种虚拟硬盘文件格式。VHD文件格式可以被压缩成单个文件存放到宿主机的文件系统上，主要包括云主机启动所需的文件系统。 镜像服务导入和导出支持格式。 VHDX 微软在Windows Server 2012中的HyperV引入的一个新版本的VHD格式，称为VHDX。与VHD格式相比，VHDX具有更大的存储容量。它在电源故障期间提供数据损坏保护，并且优化了磁盘结构对齐方式，以防止新的大扇区物理磁盘性能降级。 镜像服务导入支持格式。 RAW RAW格式是直接给云主机进行读写的文件。RAW不支持动态增长空间，是镜像中I/O性能最好的一种格式。 镜像服务导入支持格式。 QCOW QCOW通过二级索引表来管理整个镜像的空间分配，其中第二级的索引用了内存CACHE技术，需要查找动作，这方面导致性能的损失。QCOW优化性能低于QCOW2，读写性能低于RAW。 镜像服务导入支持格式。 VDI VDI是SUN公司Virtual BOX虚拟化软件所用的硬盘镜像文件格式，支持快照。 镜像服务导入支持格式。 QED QED格式是QCOW2格式的一种改进，存储定位查询方式和数据块大小与QCOW2一样。但在实现CoW（CopyOnWrite）的机制时，QED将QCOW2的引用计数表用了一个重写标记（Dirty Flag）来替代。 镜像服务导入支持格式。

共享云硬盘的优点 多挂载点：单个共享云硬盘最多可同时挂载给16台云主机，既可以挂载至天翼云云主机，也可以挂载至天翼云物理机，灵活部署不同类型的工作负载。 高性能：高IOPS (Input/Output Operations Per Second)，低时延，满足现代应用的需求。 共享云硬盘的规格性能 共享云硬盘的规格性能与普通云硬盘规格性能一致，详情请参见产品规格。 共享云硬盘的数据共享原理 共享云硬盘本质上就是将同一块云硬盘挂载到多台云主机上。由于每一台云主机均可以在任意时刻对该云硬盘任意区域的数据进行读写，如果这些云主机之间没有相互约定读写数据的规则，将会导致这些云主机读写数据时相互干扰，以致出现不可预知的错误。 想要确保云主机在访问过程中不互相干扰，确保读写次序和读写意义，必须通过一个集群来对读写进行集中管理与调度，因此用户在实际使用过程中务必确保自行部署集群系统，如企业应用中常见的Windows MSCS集群、Linux RHCS集群和CFS集群应用等。 如果使用共享云硬盘的过程中并没有通过集群进行管理，有可能导致以下问题： 读写冲突导致数据不一致 当两台弹性云主机同时挂载了同一块共享云硬盘却没有在一个集群系统中进行管理时，这两台云主机无法感知对方的具体存储空间是否已被使用，可能导致存储空间的重复分配，最终导致空间分配冲突使得数据出错的情况。 比如，将一块共享云硬盘格式化为ext3文件系统后挂载给云主机A和云主机B，云主机A在某一时刻向云硬盘上的区域C和区域D写了文件系统的元数据，下一时刻云主机B又向区域E和区域D写了自己的元数据，则云主机A写入的数据将会被替换，随后读取区域D的元数据时即会出现错误。 数据缓存导致数据不一致 当两台弹性云主机同时挂载了同一块共享云硬盘却没有在一个集群系统中进行管理时，其中一台假定为云主机A，另一台为云主机B，云主机A将读取来的数据记录在缓存区域中，云主机A上的其他进程读取数据时，可直接去读缓存区域的数据提高效率，而云主机B若修改了缓存区域的数据，云主机A是无法感知数据变化的，此时若继续读取缓存，则会导致读取的数据不一致情况。比如，将一块共享云硬盘格式化为ext3文件系统后挂载给云主机A和云主机B，两台云主机均将文件系统的元数据进行了缓存，此后用户在云主机A中创建了一个新的文件File，但云主机B并无法感知该修改，依旧从缓存中读取数据，导致用户在云主机B中无法看到文件File。 除此之外，还可能会导致存储性能下降，读写速度变慢，响应时间延长等问题。

本节主要介绍如何新增操作连接。 含义：操作连接是安全编排流程中，每个插件节点需要使用到的连接域名和鉴权参数。 作用：用于在安全编排的流程执行过程中，每个插件节点运行时，传入需要连接的域名信息，以及在访问该域名时，需要使用到的用户鉴权信息，如用户名/密码、账号AK/SK等。 操作连接与插件的关系：每个插件在运行过程中，需要通过域名调用的方式访问其他云服务或者三方服务，调用过程中需要鉴权，因此，在插件的登录凭证参数中会定义需要的域名参数（Endpoint）和认证参数（用户名/密码、账号AK/SK等）。操作连接则是配置插件登录凭证的参数值，流程中每个插件节点绑定不同的操作连接，支持相同插件的不同节点访问不同的服务。 前提条件 已新增工作空间，具体操作请参见新增工作空间。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“操作连接”页签，进入连接管理页面。 5. 在操作连接管理页面中，单击“新增”，右侧弹出新增操作连接面板。 6. 在新增操作连接面板中，配置连接参数，参数说明如下表所示。 参数名称 说明 连接名称 输入操作连接名称。名称规则如下： 可输入英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（）。 长度不能超过64个字符。 插件 选择资产连接所需的插件。插件详细信息请参见查看插件详情。 描述 可选参数，输入资产描述，描述信息长度不能超过64个字符。 7. 单击“确认”，返回列表，即可查询已经创建的操作连接信息。

操作场景 集群内访问表示工作负载暴露给同一集群内其他工作负载访问的方式，可以通过“集群内部域名”访问。 集群内部域名格式为“ . .svc.cluster.local: ”，例如“nginx.default.svc.cluster.local:80”。 访问通道、容器端口与访问端口映射如下图所示。 图集群内访问 工作负载创建时设置 您可以在创建工作负载时通过CCE控制台设置Service访问方式，如下： 步骤 1 参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在“工作负载访问设置”步骤，单击“添加服务”。 访问类型：选择“集群内访问 ( ClusterIP )”。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问工作负载时使用，端口范围为165535，可任意指定。 步骤 2 单击“下一步”进入“高级设置”页面，直接单击“创建”。 步骤 3 单击“查看工作负载详情”，在“访问方式”页签下获取访问地址，例如10.247.74.100:8080。 工作负载创建完成后设置 您可以在工作负载创建完成后对Service进行配置，此配置对工作负载状态无影响，且实时生效。具体操作如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”，在工作负载列表页单击要设置Service的工作负载名称。 步骤 2 在“Service”页签，单击“添加Service”。 步骤 3 在“添加Service”页面，访问类型选择“集群内访问 ( ClusterIP )”。 步骤 4 设置集群内访问参数。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作负载：要添加Service的工作负载，此处不可修改。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问工作负载时使用，端口范围为165535，可任意指定。 步骤 5 单击“创建”。工作负载已添加“集群内访问 ( ClusterIP )”的服务。 验证访问方式 步骤 1 在管理控制台首页，单击“计算 > 弹性云主机”。 步骤 2 在弹性云主机页面，找到同一VPC内任意一台云服务器，并确认连接到访问地址中IP与端口的安全组是开放的。 步骤 3 登录工作负载所在集群的任意节点。 步骤 4 使用curl命令访问工作负载验证工作负载是否可以正常访问。您可以通过IP或者域名的方式来验证。 方式一：通过IP 地址验证。 curl 10.247.74.100:8080 其中10.247.74.100:8080为步骤3中获取的访问地址。 回显如下表示工作负载可正常访问。 Welcome to nginx! body { width: 35em; margin: 0 auto; fontfamily: Tahoma, Verdana, Arial, sansserif; } Welcome to nginx! If you see this page, the nginx web server is successfully installed and working. Further configuration is required. For online documentation and support please refer to Thank you for using nginx. 方式二：进入容器，在容器内通过域名验证。 curl nginx.default.svc.cluster.local:8080 其中nginx.default.svc.cluster.local为步骤3中获取的域名访问地址。 回显如下表示工作负载可正常访问。 Welcome to nginx! body { width: 35em; margin: 0 auto; fontfamily: Tahoma, Verdana, Arial, sansserif; } Welcome to nginx! If you see this page, the nginx web server is successfully installed and working. Further configuration is required. For online documentation and support please refer to Thank you for using nginx. 更新Service 您可以在添加完Service后，更新此Service的端口配置，操作步骤如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”，在Service页签下，选择对应的集群和命名空间，单击需要更新端口配置的Service后的“更新”。 步骤 2 在“更新Service”页面，访问类型选择“集群内访问 ( ClusterIP )”。 步骤 3 更新集群内访问参数。 Service 名称：您创建的Service名称，此处不可修改。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作负载：要添加Service的工作负载，此处不可修改。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问工作负载时使用，端口范围为165535，可任意指定。 步骤 4 单击“更新”，工作负载已更新Service。

本节主要介绍包年/包月。 包年/包月是一种先付费再使用的计费模式，适用于对资源需求稳定且希望降低成本的用户。通过选择包年/包月的计费模式，您可以预先购买云数据库GaussDB并获得一定程度的价格优惠。本文将介绍包年/包月云数据库GaussDB的计费规则。 适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。 适用计费项 包年/包月包含以下计费项。 表 适用计费项 计费项 说明 数据库实例 GaussDB实例对CN、DN节点进行收费，管理节点CMS、GTM不收费。 数据库存储 对数据库存储空间进行计费，包年/包月计费方式的存储空间如果超过当前容量，超出的部分将按需计费。 备份存储（可选） GaussDB提供了部分免费存储空间，用于存放您的备份数据，其总容量约为您购买存储容量的100%。备份存储用量超过数据库存储空间的100%，超出部分将按照备份计费标准收费，计费方式为按需计费（每小时扣费一次），不足一小时按照实际使用时长收费。 公网带宽 GaussDB实例支持公网访问，公网访问会产生带宽流量费；GaussDB数据库实例在云内部网络产生的流量不计费。 假设您计划购买规格为8 vCPUs 64GB、1分片、3副本、1个协调节点，存储空间为160GB的分布式版云数据库GaussDB，购买周期为一个月。在购买数据库实例页面底部，您将看到所需费用，如下图所示。 图 配置费用示例 说明 备份空间费用，使用后按照统一标准计费，购买时不包含在配置费用中。

本节介绍了:监控常见问题。 为什么容器集群监控数据异常无法显示？ 本文介绍容器集群监控数据异常无法显示的问题现象、排查步骤和解决方法。 问题现象 容器集群监控数据异常无法显示。 排查步骤 一、检查集群是否已安装最新版本ccsemonitor插件 登录云容器引擎控制台，在集群详情页中选择插件 > 插件实例 ，查看是否安装最新版本ccsemonitor插件。如无安装请先安装ccsemonitor插件。 二、检查监控相关负载是否正常 登录云容器引擎控制台，在集群详情页中选择插件 > 插件实例 ，选择ccsemonitor插件实例，进入插件实例详情页，点击资源列表tab，查看监控相关的pod是否都是Running状态。如果有pod非Runing状态可以通过pod事件进一步排查，如无法解决请提工单反馈。 三、检查指标采集器是否能正常上报数据 登录云容器引擎控制台，在集群详情页中选择工作负载 > 无状态 ，命名空间选择 kubesystem ，查看工作负载 ccseopentelemetrycollector 的日志，查看是否有报错，如有报错，请提工单反馈。

创建托管前，需先创建托管视图，本节介绍如何创建托管视图。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间托管”，进入空间托管管理页面。 4. 在“托管视图”页签中，单击“创建托管视图”，右侧弹出创建托管视图页面。 5. 配置托管视图参数。 参数名称 参数说明 托管视图名称 设置托管视图名称。 绑定空间名称 选择需要绑定的工作空间。 描述 自定义托管视图描述信息。 6. 单击“确定”。 创建成功后，可以在“空间管理”或“空间托管”页面中查看已创建的托管视图。 相关操作 编辑托管视图 1. 在待编辑托管视图所在行“操作”列，单击“编辑”。 2. 在弹出的编辑托管视图中，修改托管视图参数后，单击“确定”。 删除托管视图 1. 在待删除视图所在行“操作”列，单击“删除”。 2. 在弹出确认框中，单击“确认”。

默认ClusterRole 描述 clusteradmin 允许超级用户在平台上的任何资源的所有操作。允许对集群中以及所有命名空间中的全部资源进行完全控制。 admin 允许管理员访问权限。允许对命名空间中大多数资源进行读/写操作，包含创建角色和角色绑定（RoleBinding）的能力。但不允许对资源配额或者命名空间本身进行写操作。 edit 允许对命名空间内的大多数对象进行读/写操作，不允许查看或修改角色（Roles）或者角色绑定（RoleBinding）。 view 允许对命名空间的大多数对象进行只读操作，但不允许查看角色（Roles）或者角色绑定（RoleBinding），不允许查看Secrets，因为这类操作属于越权。

自定义策略 您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“创建自定义策略”。 科研助手对应三元组权限表 如下是科研服务相关权限三元组： 备注： 1、现有部分三元组存在新旧两个版本，带 “ 新”后缀为新版并长期保留，无后缀旧版将逐步下架。使用时请优先选择含“ 新”后缀的权限项。 2、部分三元组名称相同，其中后缀标注 V2 的为科研版权限 ，无 V2 后缀为专业版权限，使用时请按实际业务版本选用对应权限。 模块 接口名称 读写 三元组权限 bc viewer 观察者 bc user 使用者 bc admin 管理者 商城 商城菜单 读 bc:shop:list ✔ ✔ ✔ 资源池/队列 创建资源池 写 bc:res:resourcePoolCreate ✔ ✔ 资源池/队列 删除资源池 写 bc:res:resourcePoolDelete ✔ ✔ 资源池/队列 批量删除资源池 写 bc:res:resourcePoolDeleteBatch ✔ ✔ 资源池/队列 创建队列 写 bc:res:queueCreate ✔ ✔ 资源池/队列 删除队列 写 bc:res:queueDelete ✔ ✔ 资源池/队列 批量删除队列 写 bc:res:queueDeleteBatch ✔ ✔ 资源池/队列 更新队列 写 bc:res:queueUpdate ✔ ✔ 资源池/队列 查询共享队列 读 bc:res:queueCheckShare ✔ ✔ ✔ 资源池/队列 查询共享队列新 读 bc:res:checkQueueShare ✔ ✔ ✔ 资源池/队列 获取队列 读 bc:res:queueGet ✔ ✔ ✔ 资源池/队列 获取队列列表 读 bc:res:queueList ✔ ✔ ✔ 资源池/队列 查询共享队列V2 读 bc:res:queueCheckShareV2 ✔ ✔ ✔ 资源池/队列 查询共享队列V2新 读 bc:res:checkQueueShareV2 ✔ ✔ ✔ 资源池/队列 创建未关联企业项目的队列 写 bc:res:createUnassignedQueue X 资源池/队列 更新未关联企业项目的队列 写 bc:res:editUnassignedQueue X 作业模块 作业列表 读 bc:job:list ✔ ✔ ✔ 作业模块 作业管理接口 写 bc:job:manage ✔ ✔ 作业模块 创建作业 写 bc:job:create ✔ ✔ 作业模块 删除作业 写 bc:job:delete ✔ ✔ 作业模块 批量删除作业 写 bc:job:deleteBatch ✔ ✔ 作业模块 获取作业详情 读 bc:job:detail ✔ ✔ ✔ 作业模块 创建模板 写 bc:job:templateCreate ✔ ✔ 作业模块 删除模板 写 bc:job:templateDelete ✔ ✔ 作业模块 获取模板列表 读 bc:job:templateList ✔ ✔ ✔ 作业模块 获取模板详情 读 bc:job:templateDetail ✔ ✔ ✔ 存储模块 创建数据集 写 bc:storage:pvcCreate ✔ ✔ 存储模块 删除数据集 写 bc:storage:pvcDelete ✔ ✔ 存储模块 扩容数据集 写 bc:storage:pvcResize ✔ ✔ 存储模块 创建存储源 写 bc:storage:resourceCreate ✔ ✔ 存储模块 删除存储源 写 bc:storage:resourceDelete ✔ ✔ 存储模块 数据集列表 读 bc:storage:pvcList ✔ ✔ ✔ 存储模块 创建数据集v2 写 bc:storage:pvcCreateV2 ✔ ✔ 存储模块 删除数据集V2 写 bc:storage:pvcDeleteV2 ✔ ✔ 存储模块 数据集列表v2 读 bc:storage:pvcListV2 ✔ ✔ ✔ 存储模块 科研存储列表 读 bc:storage:researchList ✔ ✔ ✔ 存储模块 创建科研存储 写 bc:storage:researchCreate ✔ ✔ 存储模块 删除科研存储 写 bc:storage:researchDelete ✔ ✔ 存储模块 扩容科研存储 写 bc:storage:researchResize ✔ ✔ 存储模块 获取科研存储规格 读 bc:storage:researchListSpec ✔ ✔ ✔ 存储模块 获取科研存储空间列表 读 bc:storage:researchSpaceList ✔ ✔ ✔ 存储模块 创建科研存储空间 写 bc:storage:researchSpaceCreate ✔ ✔ 存储模块 删除科研存储空间 写 bc:storage:researchSpaceDelete ✔ ✔ 存储模块 编辑科研存储空间 写 bc:storage:researchSpaceEdit ✔ ✔ 存储模块 查看科研存储详情 读 bc:storage:researchDescribe ✔ ✔ ✔ 存储模块 解除科研存储绑定 写 bc:storage:releaseStorageBinding ✔ 存储模块 数据迁移列表 读 bc:storage:listDataSyncTasks ✔ ✔ ✔ 存储模块 数据迁移详情 读 bc:storage:describeDataSyncTask ✔ ✔ ✔ 存储模块 数据迁移任务创建 写 bc:storage:createDataSyncTask ✔ ✔ 存储模块 数据迁移任务停止 写 bc:storage:stopDataSyncTask ✔ ✔ 存储模块 数据迁移任务删除 写 bc:storage:deleteDataSyncTask ✔ ✔ 存储模块 数据迁移本地盘列表 读 bc:storage:listLocalStorage ✔ ✔ 存储模块 数据迁移配置获取 读 bc:storage:getDataSyncConfig ✔ ✔ 存储模块 科研文件fsserver升级 写 bc:storage:upgradeFSServer ✔ ✔ 存储模块 科研文件fsserver重启 写 bc:storage:restartFSServer ✔ ✔ 存储模块 数据集/科研文件科研版下载文件 读 bc:storage:fileDownloadV2 ✔ ✔ ✔ 存储模块 数据集/科研文件科研版下载文件新 读 bc:storage:getFileDlBtnV2 ✔ ✔ ✔ 存储模块 数据集/科研文件专业版下载文件 读 bc:storage:fileDownload ✔ ✔ ✔ 存储模块 数据集/科研文件专业版下载文件新 读 bc:storage:getFileDlBtn ✔ ✔ ✔ 存储模块 科研文件包周期续订 写 bc:storage:researchRenew ✔ ✔ 开发机模块 保存开发机镜像 写 bc:ide:saveImage ✔ ✔ 开发机模块 停止开发环境 写 bc:ide:stop ✔ ✔ 开发机模块 创建开发环境 写 bc:ide:create ✔ ✔ 开发机模块 创建开发环境体验包 写 bc:ide:createTrial ✔ ✔ 开发机模块 删除开发环境 写 bc:ide:delete ✔ ✔ 开发机模块 删除用户开发机镜像 写 bc:ide:userImageDelete ✔ ✔ 开发机模块 变更镜像 写 bc:ide:updateImage ✔ ✔ 开发机模块 变更存储 写 bc:ide:updateVolume ✔ ✔ 开发机模块 包周期续订/解冻 写 bc:ide:renewPeriod ✔ 开发机模块 包周期订购 写 bc:ide:submitPeriod ✔ 开发机模块 包周期退订 写 bc:ide:refundPeriod ✔ 开发机模块 开发环境列表 读 bc:ide:list ✔ ✔ ✔ 开发机模块 开发环境启动 写 bc:ide:launch ✔ ✔ 开发机模块 开发环境详情 读 bc:ide:get ✔ ✔ ✔ 开发机模块 更新规格 写 bc:ide:updateSpecific ✔ ✔ 开发机模块 更新运行时长 写 bc:ide:updateActiveTime ✔ ✔ 开发机模块 获取用户开发机镜像列表 读 bc:ide:userImageList ✔ ✔ ✔ 开发机模块 获取镜像列表 读 bc:ide:imageList ✔ ✔ ✔ 开发机模块 分享镜像列表 读 bc:ide:imageShareImageList ✔ ✔ 开发机模块 镜像取消分享 写 bc:ide:imageUnshare ✔ ✔ 开发机模块 镜像取消分享新 写 bc:ide:cancelImageShare ✔ ✔ 开发机模块 镜像分享 写 bc:ide:imageShare ✔ ✔ 开发机模块 镜像分享新 写 bc:ide:startImageShare ✔ ✔ 开发机模块 镜像分享记录列表 读 bc:ide:imageShareRecord ✔ ✔ ✔ 开发机模块 镜像分享记录列表新 读 bc:ide:listImageShareRecord ✔ ✔ ✔ 开发机模块 科研助手获取镜像列表 读 bc:ide:imageListV2 ✔ ✔ ✔ 开发机模块 科研助手保存开发机镜像 写 bc:ide:saveImageV2 ✔ ✔ 开发机模块 科研助手停止开发环境 写 bc:ide:stopV2 ✔ ✔ 开发机模块 科研助手创建开发环境 写 bc:ide:createV2 ✔ ✔ 开发机模块 科研助手删除开发环境 写 bc:ide:deleteV2 ✔ ✔ 开发机模块 科研助手删除用户开发机镜像 写 bc:ide:userImageDeleteV2 ✔ ✔ 开发机模块 科研助手变更镜像 写 bc:ide:updateImageV2 ✔ ✔ 开发机模块 科研助手变更存储 写 bc:ide:updateVolumeV2 ✔ ✔ 开发机模块 包周期续订/解冻V2 写 bc:ide:renewPeriodV2 ✔ 开发机模块 包周期订购V2 写 bc:ide:submitPeriodV2 ✔ 开发机模块 包周期退订V2 写 bc:ide:refundPeriodV2 ✔ 开发机模块 科研助手开发环境启动 写 bc:ide:launchV2 ✔ ✔ 开发机模块 科研助手开发环境详情 读 bc:ide:getV2 ✔ ✔ ✔ 开发机模块 科研助手更新规格 写 bc:ide:updateSpecificV2 ✔ ✔ 开发机模块 科研助手更新运行时长 写 bc:ide:updateActiveTimeV2 ✔ ✔ 开发机模块 科研助手获取用户开发机镜像列表 读 bc:ide:userImageListV2 ✔ ✔ ✔ 开发机模块 科研助手分享镜像列表 读 bc:ide:imageShareImageListV2 ✔ ✔ ✔ 开发机模块 科研助手开发环境列表 读 bc:ide:listV2 ✔ ✔ ✔ 开发机模块 科研助手展示上墙公共框架镜像和社区镜像 读 bc:ide:overviewRecommendedImageListV2 ✔ ✔ ✔ 开发机模块 镜像分享V2 写 bc:ide:imageShareV2 ✔ ✔ 开发机模块 镜像分享V2新 写 bc:ide:startImageShareV2 ✔ ✔ 开发机模块 镜像分享记录列表V2 读 bc:ide:imageShareRecordV2 ✔ ✔ ✔ 开发机模块 镜像分享记录列表V2新 读 bc:ide:listImageShareRecordV2 ✔ ✔ ✔ 开发机模块 镜像取消分享V2 写 bc:ide:imageUnshareV2 ✔ ✔ 开发机模块 镜像取消分享V2新 写 bc:ide:cancelImageShareV2 ✔ ✔ 开发机模块 科研助手批量创建开发机 写 bc:ide:batchCreate ✔ ✔ 开发机闲时规则模块 闲时规则查询闲时规则详情 读 bc:idleRule:getIdleRuleDetailV2 ✔ ✔ ✔ 开发机闲时规则模块 闲时规则闲时规则策略列表 读 bc:idleRule:listIdleRulePolicyV2 ✔ ✔ ✔ 开发机闲时规则模块 闲时规则保存闲时规则 写 bc:idleRule:saveIdleRulelV2 ✔ 开发机闲时规则模块 闲时规则保存闲时规则新 写 bc:idleRule:saveIdleRuleV2 ✔ 开发机闲时规则模块 闲时规则保存闲时规则策略 写 bc:idleRule:saveIdleRulePolicyV2 ✔ 开发机闲时规则模块 闲时规则打开闲时规则 写 bc:idleRule:onIdleRuleV2 ✔ 开发机闲时规则模块 闲时规则打开闲时规则新 写 bc:idleRule:setIdleRule ✔ 开发机闲时规则模块 闲时规则关闭闲时规则 写 bc:idleRule:offIdleRuleV2 ✔ 开发机闲时规则模块 闲时规则关闭闲时规则新 写 bc:idleRule:unsetIdleRule ✔ 推理模块 创建推理 写 bc:infer:inferServiceCreate ✔ ✔ 推理模块 停止推理 写 bc:infer:inferServiceStop ✔ ✔ 推理模块 启动推理 写 bc:infer:inferServiceLaunch ✔ ✔ 推理模块 删除推理 写 bc:infer:inferServiceDelete ✔ ✔ 推理模块 科研服务读取用户ak,sk 读 bc:infer:inferServiceSecret ✔ ✔ ✔ 推理模块 科研服务读取用户ak,sk新 读 bc:infer:getInferServiceSecret ✔ ✔ ✔ 推理模块 获取推理列表 读 bc:infer:inferServiceList ✔ ✔ ✔ 推理模块 推理框架列表 读 bc:infer:inferServiceFrameworkList ✔ ✔ ✔ 推理模块 获取推理详情 读 bc:infer:inferServiceDetail ✔ ✔ ✔ 推理模块 上传，删除以及更新证书 写 bc:infer:inferServiceCertificate ✔ ✔ 推理模块 上传，删除以及更新证书新 写 bc:infer:updateInferServiceCertificate ✔ ✔ 推理模块 获取科研服务概览信息 读 bc:infer:inferServiceSummary ✔ ✔ ✔ 推理模块 更新科研服务白名单 写 bc:infer:inferServiceClientIpsUpdate ✔ ✔ 模型模块 获取模型框架列表 读 bc:model:modelFrameworkList ✔ ✔ ✔ 并行计算模块 并行计算列表 读 bc:trainingJob:trainingJobList ✔ ✔ ✔ 并行计算模块 并行计算详情 读 bc:trainingJob:trainingJobDescribe ✔ ✔ ✔ 并行计算模块 并行计算创建 写 bc:trainingJob:trainingJobCreate ✔ ✔ 并行计算模块 并行计算停止 写 bc:trainingJob:trainingJobStop ✔ ✔ 并行计算模块 并行计算启动 写 bc:trainingJob:trainingJobStart ✔ ✔ 并行计算模块 并行计算删除 写 bc:trainingJob:trainingJobDelete ✔ ✔ 并行计算模块 并行计算模板上墙 读 bc:trainingJob:jobRecommendedTemplateList ✔ ✔ ✔ 并行计算模块 并行计算镜像地址选择镜像分发 写 bc:trainingJob:selectCRSImage ✔ 项目空间模块 项目空间列表 读 bc:projectSpace:projectSpaceList ✔ ✔ ✔ 项目空间模块 项目空间获取未同步列表 读 bc:projectSpace:projectSpaceListUnSync ✔ ✔ ✔ 项目空间模块 项目空间获取未同步列表新 读 bc:projectSpace:listProjectSpaceUnSync ✔ ✔ ✔ 项目空间模块 项目空间编辑 写 bc:projectSpace:projectSpaceEdit ✔ 项目空间模块 项目空间创建 写 bc:projectSpace:projectSpaceCreate ✔ 项目空间模块 项目空间详情 读 bc:projectSpace:projectSpaceGet ✔ ✔ ✔ 项目空间模块 项目空间空间配置详情 读 bc:projectSpace:getConfig ✔ ✔ ✔ 项目空间模块 项目空间查询用户列表 读 bc:projectSpace:projectSpaceUsers ✔ ✔ ✔ 项目空间模块 项目空间查询用户列表新 读 bc:projectSpace:listUsers ✔ ✔ ✔ 项目空间模块 项目空间查询用户组列表 读 bc:projectSpace:projectSpaceUserGroups ✔ ✔ ✔ 项目空间模块 项目空间查询用户组列表新 读 bc:projectSpace:listUserGroups ✔ ✔ ✔ 项目空间模块 项目空间查询用户组下用户 读 bc:projectSpace:projectSpaceGroupUsers ✔ ✔ ✔ 项目空间模块 项目空间查询用户组下用户新 读 bc:projectSpace:listGroupUsers ✔ ✔ ✔ 项目空间模块 项目空间将用户移入用户组 写 bc:projectSpace:projectSpaceAttachUser ✔ 项目空间模块 项目空间将用户移入用户组新 写 bc:projectSpace:addUser ✔ 项目空间模块 项目空间将用户移出用户组 写 bc:projectSpace:projectSpaceRemoveUser ✔ 项目空间模块 项目空间将用户移出用户组新 写 bc:projectSpace:removeUser ✔ 项目空间模块 项目空间查询项目关联用户组 读 bc:projectSpace:projectSpaceProjectGroups ✔ ✔ ✔ 项目空间模块 项目空间查询项目关联用户组新 读 bc:projectSpace:listProjectGroups ✔ ✔ ✔ 项目空间模块 项目空间新建项目与用户组关联 写 bc:projectSpace:projectSpaceAttachGroup ✔ 项目空间模块 项目空间新建项目与用户组关联新 写 bc:projectSpace:addGroup ✔ 项目空间模块 项目空间移除项目与用户组关联 写 bc:projectSpace:projectSpaceRemoveGroup ✔ 项目空间模块 项目空间移除项目与用户组关联新 写 bc:projectSpace:removeGroup ✔ 项目空间模块 项目空间账单详情费用值 读 bc:projectSpace:projectBillFeeAccess ✔ 项目空间模块 项目空间消耗趋势折线图 读 bc:projectSpace:projectSpaceBudgetTrend ✔ ✔ ✔ 项目空间模块 项目空间消耗趋势折线图新 读 bc:projectSpace:getBudgetTrend ✔ ✔ ✔ 项目空间模块 项目空间项目组成员 读 bc:projectSpace:projectSpaceProjectUsers ✔ ✔ ✔ 项目空间模块 项目空间项目组成员新 读 bc:projectSpace:listProjectUsers ✔ ✔ ✔ 项目空间模块 项目空间查询账单明细 读 bc:projectSpace:projectSpaceListBillDetail ✔ ✔ ✔ 项目空间模块 项目空间查询账单明细新 读 bc:projectSpace:listBillDetail ✔ ✔ ✔ 项目空间模块 项目空间下载账单明细 读 bc:projectSpace:projectSpaceDownloadBill ✔ ✔ ✔ 项目空间模块 项目空间预警额度 读 bc:projectSpace:projectFeeRemindAccess ✔ 项目空间模块 项目空间移除 写 bc:projectSpace:projectSpaceDelete ✔ 项目空间模块 项目空间移除新 写 bc:projectSpace:deleteProject ✔ 项目空间模块 项目空间导出账单明细 读 bc:projectSpace:projectSpaceExportBill ✔ ✔ ✔ 项目空间模块 项目空间导出账单明细新 读 bc:projectSpace:getExportBill ✔ ✔ ✔ 项目空间模块 项目空间账单记录列表 读 bc:projectSpace:projectSpaceListRecord ✔ ✔ ✔ 项目空间模块 项目空间账单记录列表新 读 bc:projectSpace:listBillRecord ✔ ✔ ✔ 项目空间模块 项目空间设置用户权限策略 写 bc:projectSpace:projectSpaceSetUserPolicy ✔ 项目空间模块 项目空间设置用户权限策略新 写 bc:projectSpace:setUserPolicy ✔ 项目空间模块 项目空间设置开发机默认关停时间接口 写 bc:projectSpace:IdeDefaultDurationEdit ✔ 项目空间模块 项目空间设置专属资源池配额 写 bc:projectSpace:setUserExclusivePoolQuota ✔ 项目空间模块 项目空间查询项目用量统计 读 bc:projectSpace:projectUsage ✔ ✔ ✔ 项目空间模块 项目空间查询项目用量统计新 读 bc:projectSpace:getProjectUsage ✔ ✔ ✔ 项目空间模块 项目空间查询用户用量统计 读 bc:projectSpace:userUsage ✔ ✔ ✔ 项目空间模块 项目空间查询用户用量统计新 读 bc:projectSpace:getUserUsage ✔ ✔ ✔ 专属公网IP模块 专属公网IP获取公网IP列表 读 bc:dedicatedEip:list ✔ ✔ ✔ 专属公网IP模块 专属公网IP开通公网IP 写 bc:dedicatedEip:create ✔ ✔ 专属公网IP模块 专属公网IP退订公网IP 写 bc:dedicatedEip:delete X 批量设置白名单 批量设置白名单开启 写 bc:predefClientIPs:set ✔ ✔ 批量设置白名单 批量设置白名单关闭 写 bc:predefClientIPs:unset ✔ ✔ 批量设置白名单 批量设置白名单查询 读 bc:predefClientIPs:get ✔ ✔ ✔ 专属资源池模块 专属资源池创建专属资源池 写 bc:exclusivePool:create X 专属资源池模块 专属资源池专属资源池列表 读 bc:exclusivePool:list ✔ ✔ ✔ 专属资源池模块 专属资源池专属资源池详情 读 bc:exclusivePool:get X 专属资源池模块 专属资源池资源使用量 读 bc:exclusivePool:usage X 专属资源池模块 专属资源池资源使用量新 读 bc:exclusivePool:getUsage X 专属资源池模块 专属资源池订单子项列表 读 bc:exclusivePool:listOrderItems X 专属资源池模块 专属资源池退订订单子项 写 bc:exclusivePool:refundOrderItem X 专属资源池模块 专属资源池增订订单子项 写 bc:exclusivePool:purchaseOrderItem X 专属资源池模块 专属资源池续订订单子项 写 bc:exclusivePool:renewOrderItem X 专属资源池模块 专属资源池计费类型选项 读 bc:exclusivePool:billingTypeOption ✔ ✔ ✔ 专属资源池模块 专属资源池计费类型选项新 读 bc:exclusivePool:getBillTypeBtn ✔ ✔ ✔ 专属资源池模块 专属资源池闲时资源借用 读 bc:exclusivePool:useIdleResource ✔ ✔ ✔ 专属资源池模块 专属资源池闲时资源借用新 读 bc:exclusivePool:getIdleResBtn ✔ ✔ ✔ 专属资源池模块 专属资源池专属资源配额详情 读 bc:exclusivePool:getQuota X 专属资源池模块 专属资源池企业项目配额详情 读 bc:exclusivePool:describeProjectQuota X 专属资源池模块 专属资源池企业项目配额列表 读 bc:exclusivePool:listProjectQuota X 专属资源池模块 专属资源池企业项目配额创建 写 bc:exclusivePool:createProjectQuota X 专属资源池模块 专属资源池企业项目配额编辑 写 bc:exclusivePool:updateProjectQuota X 专属资源池模块 专属资源池删除专属资源池 写 bc:exclusivePool:delete X

本文主要介绍CCE控制台的权限依赖。 CCE对其他云服务有诸多依赖关系，因此在您开启IAM系统策略授权后，在CCE Console控制台的各项功能需要配置相应的服务权限后才能正常查看或使用，详细说明如下： 依赖服务的权限配置均基于您已设置了IAM系统策略授权的CCE FullAccess或CCE ReadOnlyAccess策略权限，详细设置方法请参见集群权限（IAM授权）。 1.11.7r2及以上版本的集群，显示情况依赖于命名空间权限的设置情况，如果没有设置命名空间权限，则无法查看集群下的资源。 如果您设置了全部命名空间的view权限，则可以查看到对应集群的全部命名空间下的资源，但密钥 ( Secret )除外，密钥 ( Secret )需要在命名空间权限下设置admin或者edit权限才能查看。 CustomedHPA与HPA策略需要配置命名空间clusteradmin权限下才能生效。 如果您设置的是单一命名空间的view权限，则看到的只能是指定命名空间下的资源。 依赖服务的权限设置 如果IAM用户需要在CCE Console控制台拥有相应功能的查看或使用权限，请确认已经对该用户所在的用户组设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess策略的集群权限，再按下表增加依赖服务的角色或策略。 说明 企业项目能够实现企业不同项目间资源的分组和管理，重在资源隔离，而IAM可以实现细粒度授权，因此强烈推荐您使用IAM实现权限管理。 若您使用企业项目设置子用户权限，会有如下功能限制： 在CCE控制台，集群监控获取AOM监控的接口暂不支持企业项目，因此企业项目子用户将无法查看监控相关数据。 在CCE控制台，由于创建节点时的密钥对查询接口不支持企业项目，因此企业项目子用户将无法使用“密钥对”登录方式，您可以选择使用“密码”登录方式。 为企业项目设置CCE FullAccess 权限后，需要在IAM控制台界面中再配置ecs:availabilityZones:list权限，企业项目子用户创建节点才可以正常显示并创建，否则将提示没有ecs:availabilityZones:list权限。 CCE支持细粒度的权限设置，但有如下限制说明： AOM不支持资源级别细粒度：当通过IAM集群资源细粒度设置特定资源操作权限之后，IAM用户在CCE控制台的总览界面查看集群监控时，将显示非细粒度关联集群的监控信息。 在IAM页面设置CCE FullAccess 或者CCE ReadOnlyAccess权限后，需要配置 sfsturbo::权限才能使用极速文件存储卷，否则IAM用户在集群下查询极速文件存储卷将失败。 CCE Console中依赖服务的角色或策略 Console控制台功能 依赖服务 需配置角色/策略 总览 应用运维管理AOM IAM用户设置了CCE Administrator权限后，需要增加AOM FullAccess权限后才能访问总览中的数据图表。 支持设置了IAM ReadOnlyAccess和CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户直接访问总览中的数据图表。 工作负载 弹性负载均衡ELB 应用运维管理AOM NAT网关 NAT 对象存储服务OBS 弹性文件服务SFS 正常创建工作负载时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要使用Java探针，需要设置AOM FullAccess权限。 如果需要NAT网关类型的服务，需要设置NAT Gateway Administrator权限。 如果使用对象存储，需要全局设置OBS Administrator权限。说明由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后， 大概需要等待13分钟RBAC策略才能生效；授予OBS相关的系统策略后，大概需要等待5分钟系统策略能生效。l 如果使用文件存储，需要设置SFS FullAccess权限。 集群管理 应用运维管理AOM 如果需要弹性扩容权限，需要设置AOM FullAccess权限。 节点管理 弹性云主机ECS 当IAM用户权限为CCE Administrator时，如果创建和删除节点，需要配置ECS FullAccess或ECS Administrator权限，以及VPC Administrator权限。 网络管理 弹性负载均衡ELBNAT网关 NAT 正常创建时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要NAT网关类型的服务，需要设置NAT Administrator权限。 存储管理 对象存储服务OBS弹性文件服务SFS 如果使用对象存储，需要全局设置OBS Administrator权限。 说明br由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后，大概需要等待13分钟RBAC策略才能生效；授予OBS相关的系统策略后，大概需要等待5分钟系统策略能生效。 如果使用文件存储，需要设置SFS FullAccess权限。 如果使用极速文件存储，需要设置SFS Turbo Admin权限导入存储的功能需要设置CCE Administrator权限。 命名空间 / 无需其他依赖权限。 模板市场 / 当前仅支持帐号、设置了CCE Administrator权限的IAM用户访问。 插件管理 / 支持帐号、设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess等权限的IAM用户访问本功能。 权限管理 / 支持帐号访问。 支持设置了CCE Administrator和Security Administrator（全局级策略）权限的IAM用户访问。 支持设置了CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户访问。 配置中心 / 配置项( ConfigMap )无需其他依赖权限。 密钥( Secret )需要在命名空间权限下设置clusteradmin、admin或者edit权限才能查看，依赖服务需要添加DEW KeypairFullAccess或者DEW KeypairReadOnlyAccess权限。 帮助中心 / 无需其他依赖权限。 其他服务跳转 容器镜像服务SWR应用运维管理AOM 为便于您快速进入CCE相关服务的控制台，在CCE控制台增加了其他服务的跳转链接，CCE默认没有这些服务的全部权限，如果IAM用户需要查看或使用其功能，请按照该服务的权限策略说明设置相应的权限策略。

操作步骤 1. 登录IAM控制台。 2. 点击左侧导航窗格的“策略管理”，点击策略管理页面的“创建自定义策略”按钮，进入创建自定义策略页面。 3. 输入策略名称、策略描述等基本信息后，点击“下一步”。 4. 选择“可视化视图”。 5. 效果：选择“允许”或“拒绝”。 6. 云服务：选择“微服务引擎注册配置中心”。 7. 选择“操作”，根据需求勾选相关的产品权限。 8. 资源：选择“特定资源”，单击“添加资源”可以根据目前权限的关联资源路径模板来指定需要授权的资源。 9. 单击“确定”，完成自定义策略的创建。 10. 将创建好的自定义策略授予给用户。 自定义策略示例 示例1：给用户授予的所有命名空间的权限 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "rcc:inst:querynacosserviceinfo", "rcc:inst:querynacosconfiginfo", "rcc:inst:querynacosnamespaceinfo", "rcc:inst:nacosservicemanage", "rcc:inst:nacosnamespacemanage", "rcc:inst:nacosconfigmanage" ], "Resource": [ "ctrn:rcc:::nacos//namespaceId/" ] } ] } 示例2：给用户授予实例特定命名空间的权限 示例表示用户可以访问命名空间ID以test开头的命名空间 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "rcc:inst:querynacosserviceinfo", "rcc:inst:querynacosconfiginfo", "rcc:inst:querynacosnamespaceinfo", "rcc:inst:nacosservicemanage", "rcc:inst:nacosnamespacemanage", "rcc:inst:nacosconfigmanage" ], "Resource": [ "ctrn:rcc:::nacos//namespaceId/test" ] } ] } 示例3：给用户授予禁止访问实例特定命名空间的权限 示例表示禁止用户访问所有Nacos实例中命名空间ID以prod开头的命名空间 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "rcc:inst:querynacosserviceinfo", "rcc:inst:querynacosconfiginfo", "rcc:inst:querynacosnamespaceinfo", "rcc:inst:nacosservicemanage", "rcc:inst:nacosnamespacemanage", "rcc:inst:nacosconfigmanage" ], "Resource": [ "ctrn:rcc:::nacos//namespaceId/prod" ] } ] } 注意 由于权限策略同步存在一定的延迟，在授予相关的权限后，可能需要等待5~10分钟权限才能生效，请您耐心等候。

本节介绍如何查看基线检查结果。 操作场景 检查计划设置完成后，如果需尽快查看检查结果，可以在基线检查页面，执行立即检查。执行完成后，约10分钟后将可以在检查结果页面进行查看，立即检查相关操作请参见立即执行基线检查。 如果未执行立即检查，系统将按照已设置的检查计划，在指定时间内执行检查，例如，默认每隔3天检查一次，每次在00:00~06:00执行。检查完成后，将可以在检查结果页面中进行查看。 前提条件 已进行云服务基线扫描。 仅态势感知（专业版）专业版支持“操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包，需要提前在态势感知（专业版）接入企业主机安全HSS的“主机安全基线”日志且打开“主机安全基线”日志对应的“自动转告警”按钮。接入日志数据详细操作请参见接入日志数据。 操作步骤 查看某工作空间中所有检查项的检查结果。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. （可选）在左侧导航栏选择“日志审计> 云服务接入”，进入云服务日志接入成页面后，在态势感知（专业版）所在行的“审计相关日志”列，开启合规基线日志设置。 每个Region的首个工作空间可自动加载当前Region所有数据，无需手动处理。后续新增的用于自定义运营的工作空间，不会自动加载数据，需要用户自定义接入。 本步骤介绍手动接入操作指导。 设置完成后，如果需尽快查看检查结果，可以在基线检查页面，执行立即检查。执行完成后，约10分钟后将可以在检查结果页面进行查看，立即检查相关操作请参见立即执行基线检查。 如果未执行立即检查，系统将按照已设置的检查计划，在指定时间内执行检查，例如，默认每隔3天检查一次，每次在00:00~06:00执行。检查完成后，将可以在检查结果页面中进行查看。 5. 在左侧导航栏选择“风险预防> 基线检查”，默认进入检查结果页面。 6. 在检查结果页面中，查看检查项的检查结果，参数说明如下所示： 参数名称 参数说明 风险资源及风险等级 最近一次支持基线检查的检查结果中，风险资源总数、不同风险等级的不合格检查项目数据和对应的风险资源的数量。 风险等级分为：致命、高危、中危、低危、提示几个级别。 策略扫描情况 对各个云服务的资产扫描后，合格、不合格以及检查失败数据信息。 安全包遵从状态 最近一次执行基线检查后，各个安全遵从包中合格、不合格以及检查失败数据和不合格检查项目所占比例。 检查结果合格率 最近一次执行基线检查的基线合格率。 检查结果合格率 基线检查合格项 / (合格项 + 不合格项 + 检查失败项) 100%，不涉及的检查项将不会计算在内。 安全遵从包及检查结果列表 展示所有遵从包以及检查结果列表。 如果需要查看某个遵从包的检查结果，可以在左侧选择需要查看的检查规范，右侧列表中将会展示该遵从包中的检查项的检查结果详情。 单击检查结果列表右上角的设置按钮，可以对列表展示（例如，是否换行、是否固定操作列等）进行设置。 如需查看某个基线检查项详情，可以单击待查看检查项名称，进入检查项目详情页面。 在检查项目详情页面，查看检查项目的详细描述、检查过程、检查结果和对应的检查资源等详细信息。

本章节主要介绍配置常见关系数据库源端参数。 常见关系数据库作为源端包括数据仓库服务（DWS）、云数据库 MySQL、云数据库 PostgreSQL、云数据库 SQLServer、FusionInsight LibrA、PostgreSQL、Microsoft SQL Server、SAP HANA。 从以上数据库导出数据时，源端作业参数如下表所示。 表 常见关系数据库作为源端时的作业参数 参数类型 参数名 说明 取值样例 基本参数 使用SQL语句 导出关系型数据库的数据时，您可以选择使用自定义SQL语句导出。 否 SQL语句 “使用SQL语句”选择“是”时，您可以在这里输入自定义的SQL语句，CDM将根据该语句导出数据。 说明 SQL语句只能查询数据，支持join和嵌套写法，但不能有多条查询语句，比如select from table a; select from table b。 不支持with语句。 不支持注释 ，比如""，“/”。 不支持增删改操作，包括但不限于以下操作： load data delete from alter table create table drop table into outfile select id,name from sqoop.user; 模式或表空间 “使用SQL语句”选择“否”时，显示该参数，表示待抽取数据的模式或表空间名称。单击输入框后面的按钮可进入模式选择界面，用户也可以直接输入模式或表空间名称。 如果选择界面没有待选择的模式或表空间，请确认对应连接里的帐号是否有元数据查询的权限。 说明 该参数支持配置通配符（），实现导出以某一前缀开头或者以某一后缀结尾的所有数据库。例如： 表示导出所有以“SCHEMA”开头的数据库。 表示导出所有以“SCHEMA”结尾的数据库。 表示数据库名称中只要有“SCHEMA”字符串，就全部导出。 SCHEMAE 表名 “使用SQL语句”选择“否”时，显示该参数，表示要抽取的表名。单击输入框后面的按钮可进入表的选择界面，用户也可以直接输入表名称。 如果选择界面没有待选择的表，请确认表是否已经创建，或者对应连接里的帐号是否有元数据查询的权限。 该参数支持配置为时间宏变量，且一个路径名中可以有多个宏定义变量。使用时间宏变量和定时任务配合，可以实现定期同步新增数据。 说明 表名支持配置通配符（），实现导出以某一前缀开头或者以某一后缀结尾的所有表（要求表中的字段个数和类型都一样）。例如： 表示导出所有以“table”开头的表。 表示导出所有以“table”结尾的表。 表示表名中只要有“table”字符串，就全部导出。 table 抽取分区字段 “使用SQL语句”选择“否”时，显示该参数，表示抽取数据时使用该字段进行数据切分，CDM依据此字段将作业分割为多个任务并发执行。一般使用数据均匀分布的字段，例如以自然增长的序号字段作为分区字段。 单击输入框后面的按钮可进入字段选择界面，用户也可以直接输入抽取分区字段名。 说明 抽取分区字段支持CHAR、VARCHAR、LONGVARCHAR、TINYINT、SMALLINT、INTEGER、BIGINT、REAL、FLOAT、DOUBLE、NUMERIC、DECIMAL、BIT、BOOLEAN、DATE、TIME、TIMESTAMP类型，建议该字段带有索引。 当选择CHAR、VARCHAR、LONGVARCHAR抽取分区字段类型时，字段值不支持ASCII字符代码表之外的字符，不支持中文字符。 id Where子句 “使用SQL语句”选择“否”时，显示该参数，表示配置抽取范围的Where子句，不配置时抽取整表。 该参数支持配置为时间宏变量，实现抽取指定日期的数据。 DS'${dateformat(yyyyMMdd,1,DAY)}' 分区字段是否允许空值 是否允许分区字段包含空值。 是 作业拆分字段 使用该字段将作业拆分为多个子作业并发执行。 拆分字段最小值 表示抽取数据时“作业拆分字段”的最小值。 拆分字段最大值 表示抽取数据时“作业拆分字段”的最大值。 子作业个数 根据“作业拆分字段”的最小值和最大值限定的数据范围，将作业拆分为多少个子作业执行。 按表分区抽取 从MySQL导出数据时，支持从分区表的各个分区并行抽取数据。启用该功能时，可以通过下面的“表分区”参数指定具体的MySQL表分区。 该功能不支持非分区表。 仅支持源端数据源为云数据库PostgreSQL/云数据库MySQL时配置该参数。 数据库用户需要具有系统视图dbatabpartitions 和dbatabsubpartitions 的SELECT权限。 否

本章节列举了使用云主机备份过程中的通用类问题,以及相对应的解答。 如何在保留镜像的情况下删除已创建镜像的备份？ 可以使用镜像创建新的云主机。再使用云主机创建新的镜像，删除原镜像后，即可删除原备份。 在云硬盘备份界面上的显示的云主机备份有什么用途？ 云主机备份实际上是对其中的每一个磁盘进行备份，这些磁盘的备份均会同时在云硬盘备份的备份列表展示，您可以直接在云硬盘备份使用这些备份恢复磁盘。 备份出现异常该如何处理？ 目前异常状态主要为备份状态异常。当处于这些状态时，请参考下面处理建议。 异常状态 建议 错误 您可以删除错误状态的备份后，再重新创建。 删除失败 请重新删除，若重新删除后仍然出现删除失败，请联系技术支持解决。 备份对虚机的磁盘io有没有影响？ 没有影响。 备份和恢复服务器需要多长时间？ 服务器备份首次为全量备份，后续均为增量备份。因此第一次备份时间较长，后续备份时间较短。例如：备份一个已有数据为100GB的云服务器，首次全量备份需要30分钟左右；假设下次备份前新产生或变化数据量为15GB时，增量备份需要6分钟左右。 云主机备份支持即时恢复，恢复100GB数据，大约只需要几分钟左右。 为什么备份中文件系统容量和备份大小不一致？ 常见的现象为，在云主机中存放了文件并进行了备份，新增或删除文件后进行再次进行备份，前后备份的大小并没有变化。ECS创建的备份比文件系统查询到的磁盘占用空间大。 以下原因可能造成上述文件系统与备份大小不一致： • 文件系统的元数据会占用磁盘空间。 • 磁盘进行了格式化操作，例如Windows系统正常格式化操作后，全盘数据有写入操作，备份软件需要备份全盘的数据，备份软件会对这种情况优化，全0的数据会进行压缩处理。 • 备份软件是通过监控存储I/O的写入来确定哪些数据产生了变化需要备份。系统中的文件删除后也会被记录为变化的数据，也会被备份。

本页介绍了文档数据库服务的计费模式。 文档数据库服务提供了灵活的计费方式。 包年包月 包年包月是一种预付费方式，用户需先登录天翼云用户中心进行充值，系统会根据用户选购的实际资源对用户云账户中的金额进行扣除。 包年包月的计费周期是按月计费，以自然月为计费单位，包年享受官网对应的折扣。 按需计费 按需计费是一种预存后付费方式，提前充值现金到天翼云账户中，现金账户余额不低于100元，之后系统按照用户实际使用量进行结算。 按需计费的计费周期是按小时计费，以自然小时为计费单位（均以北京时间为准），不满一小时按照一小时计费。费用从用户账户现金余额中扣费。开通时间建议整点开通，开通不足一个自然小时，按一小时收费。提前删除也按照自然小时收费。 计费项 文档数据库服务计费项由实例规格、数据存储容量和备份存储容量组成，实例规格包含CPU、内存、存储空间、备份空间组成。 其中数据存储空间用于存放您的数据，备份存储空间用于存放您的备份数据，数据存储空间和备份存储空间订购时按照1:1进行购买，后期可以对储存空间、备份空间进行扩容。

本文介绍文档数据库的计费说明。 （一）、收费项目 文档数据库服务，完全兼容 MongoDB 协议，提供安全、高可用、高可靠、弹性伸缩和易用的数据库服务，同时提供一键部署、弹性扩容、容灾、备份、恢复、监控和告警等功能。 文档数据库服务的资费由数据库实例、存储空间、备份空间、公网流量（可选）等部分组成，详细如下： 计费项 计费项说明 适用的计费模式 计费公式 数据库实例 vCPU、内存和节点数量，不同规格的实例类型提供不同的计算和存储能力。 文档数据库实例，支持X86和鲲鹏两种CPU平台。 包年/包月、按需 实例规格单价 购买时长 存储空间 存储空间大小，按产品资费标准进行计费。 包年/包月、按需 存储空间单价 存储容量 购买时长 备份空间 备份空间大小，按产品资费标准进行计费。 DDS提供了与存储空间同等大小的免费备份空间，用于存放您的备份数据。超出的备份空间开始收费。 备份收费容量：超过免费备份空间之外的备份空间大小。 计费时长：备份超过免费空间大小的使用时长。 按需 备份空间单价 备份收费容量 计费时长 公网流量（可选） 如有互联网访问需求，您需要购买弹性IP。具体可参考弹性IP价格说明。 文档数据库实例在云内网络产生的流量不计费。 包年/包月、按需 弹性IP价格说明

本文介绍如何回收混合备份存储库空间。 操作场景 当混合存储库需要立即释放已过期版本的备份数据所占用的使用空间时，可以对存储库进行回收操作。 前提条件 已成功创建混合备份存储库。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。 4. 在云备份页面，单击左侧“混合备份（存储版）”按钮，进入混合备份控制台。 5. 在存储库页面，单击待回收存储库所在行的“操作>回收”按钮。 6. 在弹出页面确认是否进行回收操作，单击“确定”后，回到存储库页面，可以看到存储库已用容量更新，则表明回收操作成功。

本文为您介绍设计预案阶段的具体操作。 使用条件 若预案阶段设计需要脚本任务，需要预先在脚本库中新建脚本并发布。 操作场景 在您创建预案阶段后，可以通过多活容灾服务控制台进行预案阶段中任务的编排。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“预案编排”“预案阶段”，进入预案阶段列表页。 5. 在列表上方下拉菜单中选择需要进行预案阶段操作的命名空间。 6. 点击预案阶段列表中的“预案阶段设计”按钮。 1. 若当前预案阶段状态为草稿，直接进入预案阶段设计页面。 2. 若当前预案阶段状态为已启用，且未被预案关联，直接进入预案阶段设计页面。 3. 若当前预案阶段状态为已启用，且存在被草稿/已启用/已停用状态关联的预案，弹出预案阶段设计提示弹窗，用户确认已知晓相关信息后，点击确认按钮后，进入预案阶段设计页面。不同状态的预案与预案阶段的关联情况如下： 1. 若当前预案阶段已被草稿状态的预案关联，对预案阶段重新设计后，对应预案将自动关联最新的预案阶段。 2. 若当前预案阶段已被启用状态的预案关联，对预案阶段重新设计后，对应预案状态将更新为“待重新启用”，需重新启用预案。 3. 若当前预案阶段已被停用状态的预案关联，对预案阶段重新设计后，对应预案状态不改变，启用预案时自动关联最新预案。 7. 在预案阶段设计页面，用户可拖拽普通任务、条件任务、开始节点和结束节点至画布中，同时可点击任务节点进行任务配置。 流程绘制说明如下： 1. 普通任务：通过关联自定义脚本或平台内置能力对单个资源执行预期操作。 2. 条件任务：在普通任务基础上支持根据条件任务的执行结果（正常/异常）分别配置后续工作，配置条件任务在配置自身任务信息外，需对后面的箭线配置执行条件，条件任务后只能有2条箭线。 3. 任务并行编排通过任务间的箭线决定，一条箭线两端的任务为串行执行顺序，一个任务后有多条普通箭线（非条件判断箭线）代表此任务执行完成后需并行执行其后的任务。 8. 用户拖拽普通任务至画布后，点击“普通任务”，弹出编辑任务弹窗，可对普通任务进行任务编辑。任务类型分为脚本任务、人工任务、内置任务。 1. 当任务类型为脚本任务时，各配置项说明如下： 参数 是否必填 配置说明 任务名称 √ 填写任务名称。任务名称需要在命名空间范围内唯一。 长度为263字符。 任务类型 √ 选择任务类型为脚本任务。任务类型可选脚本任务、人工任务、内置任务。 脚本名称 √ 选择脚本名称，下拉数据源为脚本库中“已发布”状态脚本的脚本名称。 目标资源 √ 选择容灾管理中心，下拉数据源为当前命名空间下所有运行的容灾管理中心。 选择目标资源，下拉数据源为所选容灾管理中心下相应资源。其中： 若所选脚本的资源类型为“主机”：下拉数据源为对应操作系统类型的开启了远程连接的非天翼云主机。 若所选脚本的资源类型为“数据库”：下拉数据源为对应数据库类型的配置连接信息的数据库实例。 请求参数名 √ 选择参数类型，可选自定义、参数引用。 参数类型为自定义时，由用户自定义设置参数值。 参数类型为参数引用时，引用任务下拉框为画布中排在当前任务前的所有任务，引用参数下拉框为所选任务的所有返回参数名。 预计耗时 √ 填写预计耗时时间（单位：s）。预计耗时不影响任务执行，仅作为切换整体进度的参数。 取值范围为17200s。 失败重试次数 √ 填写失败重试次数。 取值范围为15次。 描述 × 填写预案阶段描述。 长度为0100个字符。 2. 当任务类型为人工任务时，各配置项说明如下： 参数 是否必填 配置说明 任务名称 √ 填写任务名称。任务名称需要在命名空间范围内唯一。 长度为263字符。 任务类型 √ 选择任务类型为内置任务。任务类型可选脚本任务、人工任务、内置任务。 目标资源 × 选择容灾管理中心，下拉数据源为当前命名空间下容灾管理中心。 选择目标资源，下拉数据源为所选容灾管理中心下资源类型的资源实例。 预计耗时 √ 填写预计耗时时间（单位：s）。预计耗时不影响任务执行，仅作为切换整体进度的参数。 取值范围为17200s。 描述 × 填写预案阶段描述。 长度为0100个字符。 3. 当任务类型为内置任务时，各配置项说明如下： 参数 是否必填 配置说明 任务名称 √ 填写任务名称。任务名称需要在命名空间范围内唯一。 长度为263字符。 任务类型 √ 选择任务类型为内置任务。任务类型可选脚本任务、人工任务、内置任务。 任务目的 √ 选择任务目的，可选资源操作、流程控制。 操作名称 √ 选择操作名称。 任务目的为资源操作时：可选云主机关机、云主机重启、云主机开机、MySQL/Redis/PostgreSQL/MongoDB主备切换、ELB流量切换、ELB流量调节、ELB流量回切。 任务目的为流程控制时：可选等待。 等待时长 √ 仅任务目的为流程控制时可见，填写等待时长时间（单位：s）。 取值范围为17200s。 目标资源 √ 选择容灾管理中心： 1. 任务为非流量配置相关的任务时：可选当前命名空间下所有运行中的容灾管理中心。 2. 任务为流量配置相关的任务时：可选当前命名空间下配置了ELB的运行中的容灾管理中心。 选择目标资源，下拉数据源为所选容灾管理中心下相应资源： 1. 主机相关任务：资源所选容灾管理中心下的云上云主机 2. 数据库相关任务：资源为所选容灾管理中心下的云上数据库 3. 流量相关任务：资源为所选容灾管理中心下接入成功的且流量配比进行过初始配置的应用 请求参数名 √ 选择参数类型，可选自定义、参数引用。 参数类型为参数引用时，引用任务下拉框为画布中排在当前任务前的所有任务，引用参数下拉框为所选任务的所有返回参数名。 预计耗时 √ 任务目的为资源操作时：填写预计耗时时间（单位：s）。 任务目的为流程控制时：与等待时长一致，不可编辑。 失败重试次数 √ 仅任务目的为资源操作时可见，填写失败重试次数。 取值范围为15次。 描述 × 填写预案阶段描述。 长度为0100个字符。 9. 编辑任务完毕后，点击弹窗底部“确定”按钮。若存在参数引用的相关配置，用户确认知晓提示内容后，点击“已确认”。 10. 条件任务按上方基础任务配置后，需对后面的箭线配置执行条件。点击箭线后，弹出条件配置弹窗。条件判定可选择正常或异常，选择完毕后，点击“确认”按钮，完成条件配置，配置结果显示在箭线上。 11. 整体预案阶段设计完毕后，检查是否符合预案阶段设计流程规则，如下： 1. 有且必须有一个开始节点； 2. 有且必须有一个结束节点； 3. 至少有一个普通任务或条件任务节点，且所有任务节点均不能为空； 4. 所有节点必须通过箭线连接； 5. 条件任务节点后必须跟2条箭线，且箭线上需配置判定条件，同时两条箭线的判定条件不能相同； 6. 两个节点间只能有1条箭线（不区分箭头方向）； 7. 开始节点不能有入方向箭线，结束节点不能有出方向箭线。 12. 确认符合规则后，点击画布上方“保存”按钮，保存当前预案阶段设计。

套餐版本 免费版 标准版 旗舰版 价格 0 78元/月/账号 129元/月/账号 适用场景 企业免费体验 适用于中小企业基本办公，高性价比 适用于中大企业办公，全能力开放 高级账号可购数量 15个 19999个 19999个 云会议室容量 10人 100人 300人 单场会议时长 不限时（单场会议时长不超过724小时） 不限时（单场会议时长不超过724小时） 不限时（单场会议时长不超过724小时） 云录制空间 1GB高级账号数 100GB高级账号数 600GB高级账号数 企业可导入用户数 固定为10个 10个高级账号数 10个高级账号数 每月赠送短信数 固定为30条 50条高级账号数 50条高级账号数 智能录制 每月两次/高级账号 不限次数 不限次数

前提条件 对于Windows弹性云主机，需保证C盘可写入，且剩余空间大于300MB。 对于Linux弹性云主机，需保证根目录可写入，且剩余空间大于300MB。 对于Linux弹性云主机，若开启了selinux，请关闭selinux禁用selinux。 使用SUSE 11 SP4镜像创建的弹性云主机，内存需要大于等于4GiB时才能支持一键式重置密码功能。 弹性云主机使用的VPC网络DHCP不能禁用。 弹性云主机网络正常通行。 弹性云主机安全组出方向规则满足如下要求： 协议：TCP 端口范围：80 远端地址：169.254.0.0/16 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常初始化。默认安全组出方向规则为： 协议：ANY 端口范围：ANY 远端地址：0.0.0.0/16 Linux弹性云主机插件安装方法 步骤 1 提供如下两种方法，供您检查弹性云主机是否已安装一键式重置密码插件。 方法一：登录控制台查询 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 选中待检查的弹性云主机，并选择“操作”列下的“更多 > 重置密码”。 如果界面弹窗出现输入新密码的提示，表示已安装一键式重置密码插件，结束。 已安装插件重置密码 如果界面弹窗提示下载重置密码脚本，表示未安装一键式重置密码插件，请继续执行如下操作进行安装。 未安装插件重置密码 方法二：登录弹性云主机查询 1. 以root用户登录弹性云主机。 2. 执行以下命令，查询是否已安装CloudResetPwdAgent和CloudResetPwdUpdateAgent。 ls lh /Cloud 查询是否已安装一键式重置密码插件 检查结果是否如图查询是否已安装一键式重置密码插件所示。 是，表示已安装一键式重置密码插件，结束。 否，表示未安装一键式重置密码插件，请继续执行如下操作进行安装。 步骤 2 请参考获取并校验一键式重置密码插件完整性（Linux），下载对应的一键式重置密码插件CloudResetPwdAgent.zip并完成完整性校验。 安装一键式重置密码插件对插件的具体放置目录无特殊要求，请您自定义。 步骤 3 执行以下命令，解压软件包CloudResetPwdAgent.zip。 安装一键式重置密码插件对插件的解压目录无特殊要求，请您自定义。 unzip o d 插件解压目录 CloudResetPwdAgent.zip 示例： 假设插件解压的目录为/home/linux/test，则命令行如下： unzip o d /home/linux/test CloudResetPwdAgent.zip 步骤 4 安装一键式重置密码插件。 1. 执行以下命令，进入文件CloudResetPwdAgent.Linux。 cd CloudResetPwdAgent/CloudResetPwdAgent.Linux 2. 执行以下命令，添加文件setup.sh的运行权限。 chmod +x setup.sh 3. 执行以下命令，安装插件。 sudo sh setup.sh 4. 执行以下命令，检查密码重置插件是否安装成功。 service cloudResetPwdAgent status 如果服务CloudResetPwdAgent的状态均不是“unrecognized service”，表示插件安装成功，否则安装失败。 说明 您也可以根据步骤1，检查密码重置插件是否安装成功。 如果密码重置插件安装失败，请检查安装环境是否符合要求，并重试安装操作。 步骤 5 修改重置密码插件的文件权限。 chmod f 640 /CloudrResetPwdAgent/logs/.log chmod 700 /CloudrResetPwdAgent/bin/cloudResetPwdAgent.script chmod 700 /CloudrResetPwdAgent/bin/wrapper chmod 600 /CloudrResetPwdAgent/lib/

本节介绍网络的用户指南:节点维度的网络配置。 使用场景 Cubecni网络插件会为节点额外添加网卡，用来构建容器网络。这些网卡，如eth1，默认使用配置项cubecniconfig配置的Pod子网和安全组，其中Pod子网为订购时选择的子网，安全组为订购时委托自动创建或用户选择的安全组。 可通过创建新的配置项，为特定节点或节点池配置单独的Pod子网和安全组，实现节点维度的容器网络配置。 如下场景，为特定节点配置独立的子网和安全组，以实现节点C的Pod独享NAT出口IP和带宽： 使用限制 1. 仅新建 的网卡会使用新配置的Pod子网和安全组，已创建的ENI会继续使用原有配置。若需配置节点维度Pod子网和安全组，建议为新节点 或节点池配置; 2. 该特性要求Cubecni版本不低于v1.1.6，且集群已配置资源委托。 操作步骤 1. 在命名空间kubesystem中创建名称为foo的ConfigMap。 a. 登录云容器引擎控制台，左侧导航栏选择集群； b. 在集群列表页面，单击目标集群名称，进入集群管理页面； c. 左侧导航栏，选择配置管理 > 配置项； d. 在配置项页面，命名空间选择kubesystem，单击创建配置项; e. 创建页面，配置项名称设置为foo，单击添加配置项，变量名设置为nodeconfig.json，变量值填入以下内容，将iaassubnets和securitygroups参数替换为实际值： plaintext { "action": "override", "iaassubnets": ["subnetjin7fmxxxx"], "securitygroups": ["sg6hxh19xxxx"] } 参数名 说明 action 值固定为override，默认为override，即子网/安全组配置会覆盖cubecniconfig的配置 iaassubnets 值为VPC子网ID列表。若配置多个子网，优先使用可用IP最多的子网；如无需修改，则无需配置iaassubnets，或值配置为null securitygroups 值为安全组ID列表。用于配置新建的Pod共享ENI，最多可配置5个；若无需修改，则无需配置securitygroups，或值配置为null 2. 节点配置标签 新建节点配置标签 创建节点池时添加节点标签，键设置为cubecniconfig，值设置为foo。新建节点池，详见节点池管理。 注意 节点池新增节点会使用foo指定的配置，不会更新存量节点已创建的网卡的安全组。 已有节点配置标签 a. 集群管理页面左侧导航栏，选择节点>标签 ，点击右侧对应节点的设置标签。 b. 在设置节点标签页面，选择自定义标签 ，点击添加标签。 c. 标签名设置为cubecniconfig，标签值值设置为foo，点击确认。 添加标签后，需重建cubecni插件： a. 集群管理页面左侧导航栏，选工作负载>守护进程。 b. 命名空间 选择kubesystem ，找到cubecni服务，点击右侧的重新部署。 c. 选择滚动重启 或快速重启 ，点击确认，当运行/期望Pod数量相等，说明重启成功。 注意 对于存量节点，不会更新已创建的网卡的安全组。 3. 检查配置是否生效 登录弹性云主机控制台，进入云主机实例详情页，可见弹性网卡配置的子网和安全组信息。

本章节介绍在云原生API网关中通过HTTP API访问容器服务中的应用 概述 当您的容器服务中的应用需要通过外部访问时，可以通过创建HTTP API并配置路由，实现应用的互联网访问。本文以容器服务CCE为例，介绍如何通过云原生API网关实现微服务的外部访问。 前提条件 1. 已具备云容器引擎CCE实例，参见创建一个CCE应用集群。 2. 部署微服务demo到云容器引擎CCE实例，参见创建工作负载及服务或者使用容器镜像服务发布容器应用。 方案概览 通过创建云原生API网关实例，将云原生API网关与需要暴露的容器服务进行关联，在网关中设置API的路由规则，确保请求能够正确地路由到对应的容器服务，配置完成后，客户端即可通过API网关访问容器中的应用。 1. 新建云原生API网关实例：根据已有微服务环境，创建云原生API网关实例。 2. 创建服务来源：在云原生API网关中添加服务来源，根据实际情况选择云容器引擎CCE。 3. 添加服务：云原生API网关能够根据云容器引擎CCE来源获取服务的命名空间，将已有的服务添加到云原生API网关，作为备选服务。 4. 创建HTTP API：为网关实例创建HTTP API。 5. 创建路由：为该服务添加路由策略并发布。 6. 路由调试：测试微服务路由功能。

本文介绍天翼AI云电脑(政企版)产品功能发布和对应的文档动态。 2025年3月 时间节点 功能名称 功能描述 相关文档 2025.03.17 云智助手AI协同 AI协同板块提供了各种AI智能体应用。对比通用的AI助手对话，AI智能体配置了特定的角色要求、任务目标和回复规则，使得生成内容更精准，可用于创意文案、客户服务等特定场景。 AI协同 2025.03.11 云智助手专属智库 企业专属智库打造专属知识空间，赋能企业智慧升级。支持知识的灵活增删与高效管理，精准检索助力知识快速定位。 专属智库 2025年2月 时间节点 功能名称 功能描述 相关文档 2025.02.24 安全云应用 安全云应用是一种基于天翼云托管的应用程序流式传输服务，通过天翼云自研的clink传输协议，将音视频、图像、外设等信息传输到用户的远程设备上，实现跨平台、安全、易用的应用程序访问。 安全云应用

Linux没有ROOT权限能否进行迁移？ 不可以。 若不使用root用户启动迁移agent进行迁移，agent执行迁移操作时会因权限问题无法访问或读取系统相关文件，导致迁移无法进行。 CMS会收集迁移源哪些信息？ 为了给您提供更准确、更优质的服务，可能会以如下方式，采集并使用您提供的信息，平台侧在使用信息时会遵守用户隐私协议。 隐私数据采集：从服务的基本要求出发，平台在此环节会采集的主机信息，包括以下几点： 采集项 采集内容 基本信息 上线时间 Agent信息 主机类型、Agent版本 主机信息 主机名、固件类型、主机存活时间、主机系统、系统类型、系统版本、内核版本、cpu架构、用户权限、系统目录、文件系统。 IP信息 网卡信息、网卡名、网卡ipv4 、网卡ipv6 处理器信息 处理器名、处理器内核总数、处理器频率、处理器缓存 硬盘信息 磁盘名、磁盘分区格式、已用空间、磁盘大小（MB） 内存信息 总内存（MB）、剩余内存（MB）、内存使用率 如何选择迁移目标端镜像？ 在创建云主机或重装系统时，选择Linux/Windows云迁移专用镜像（云迁移专用镜像在云镜像市场而非公共镜像中）。

本章节介绍授权策略 概述 授权策略（AuthorizationPolicy）提供全局、命名空间级工作负载级别的访问控制，支持工作负载之间及终端用户对网格内的工作负载的访问控制策略。 授权策略配置粒度 授权策略支持三种配置粒度，全局、命名空间和工作负载级； 1. 当策略的命名空间为系统命名空间时（默认为istiosystem），策略为全局生效； 2. 当策略命名空间不是系统命名空间，且没有选择工作负载，策略将只在当前命名空间生效并覆盖全局策略； 3. 当策略在非系统命名空间，且选择了工作负载，则只对指定工作负载生效。 下面的配置定义了对foo命名空间下的服务的授权策略： 1. 请求方的service account是cluster.local/ns/default/sa/sleep或者命名空间是test。 2. 只能对foo命名空间下的GET /info接口或者POST /data接口。 3. 请求必须经过jwt认证，且iss必须是 4. 其他情况全部拒绝访问。 apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: httpbin namespace: foo spec: action: ALLOW rules: from: source: principals: ["cluster.local/ns/default/sa/sleep"] source: namespaces: ["test"] to: operation: methods: ["GET"] paths: ["/info"] operation: methods: ["POST"] paths: ["/data"] when: key: request.auth.claims[iss] values: ["

自定义策略 您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“创建自定义策略”。 科研助手对应三元组权限表 如下是科研服务相关权限三元组： 备注： 1、现有部分三元组存在新旧两个版本，带 “ 新”后缀为新版并长期保留，无后缀旧版将逐步下架。使用时请优先选择含“ 新”后缀的权限项。 2、部分三元组名称相同，其中后缀标注 V2 的为科研版权限 ，无 V2 后缀为专业版权限，使用时请按实际业务版本选用对应权限。 模块 接口名称 读写 三元组权限 bc viewer 观察者 bc user 使用者 bc admin 管理者 商城 商城菜单 读 bc:shop:list ✔ ✔ ✔ 资源池/队列 创建资源池 写 bc:res:resourcePoolCreate ✔ ✔ 资源池/队列 删除资源池 写 bc:res:resourcePoolDelete ✔ ✔ 资源池/队列 批量删除资源池 写 bc:res:resourcePoolDeleteBatch ✔ ✔ 资源池/队列 创建队列 写 bc:res:queueCreate ✔ ✔ 资源池/队列 删除队列 写 bc:res:queueDelete ✔ ✔ 资源池/队列 批量删除队列 写 bc:res:queueDeleteBatch ✔ ✔ 资源池/队列 更新队列 写 bc:res:queueUpdate ✔ ✔ 资源池/队列 查询共享队列 读 bc:res:queueCheckShare ✔ ✔ ✔ 资源池/队列 查询共享队列新 读 bc:res:checkQueueShare ✔ ✔ ✔ 资源池/队列 获取队列 读 bc:res:queueGet ✔ ✔ ✔ 资源池/队列 获取队列列表 读 bc:res:queueList ✔ ✔ ✔ 资源池/队列 查询共享队列V2 读 bc:res:queueCheckShareV2 ✔ ✔ ✔ 资源池/队列 查询共享队列V2新 读 bc:res:checkQueueShareV2 ✔ ✔ ✔ 资源池/队列 创建未关联企业项目的队列 写 bc:res:createUnassignedQueue X 资源池/队列 更新未关联企业项目的队列 写 bc:res:editUnassignedQueue X 作业模块 作业列表 读 bc:job:list ✔ ✔ ✔ 作业模块 作业管理接口 写 bc:job:manage ✔ ✔ 作业模块 创建作业 写 bc:job:create ✔ ✔ 作业模块 删除作业 写 bc:job:delete ✔ ✔ 作业模块 批量删除作业 写 bc:job:deleteBatch ✔ ✔ 作业模块 获取作业详情 读 bc:job:detail ✔ ✔ ✔ 作业模块 创建模板 写 bc:job:templateCreate ✔ ✔ 作业模块 删除模板 写 bc:job:templateDelete ✔ ✔ 作业模块 获取模板列表 读 bc:job:templateList ✔ ✔ ✔ 作业模块 获取模板详情 读 bc:job:templateDetail ✔ ✔ ✔ 存储模块 创建数据集 写 bc:storage:pvcCreate ✔ ✔ 存储模块 删除数据集 写 bc:storage:pvcDelete ✔ ✔ 存储模块 扩容数据集 写 bc:storage:pvcResize ✔ ✔ 存储模块 创建存储源 写 bc:storage:resourceCreate ✔ ✔ 存储模块 删除存储源 写 bc:storage:resourceDelete ✔ ✔ 存储模块 数据集列表 读 bc:storage:pvcList ✔ ✔ ✔ 存储模块 创建数据集v2 写 bc:storage:pvcCreateV2 ✔ ✔ 存储模块 删除数据集V2 写 bc:storage:pvcDeleteV2 ✔ ✔ 存储模块 数据集列表v2 读 bc:storage:pvcListV2 ✔ ✔ ✔ 存储模块 科研存储列表 读 bc:storage:researchList ✔ ✔ ✔ 存储模块 创建科研存储 写 bc:storage:researchCreate ✔ ✔ 存储模块 删除科研存储 写 bc:storage:researchDelete ✔ ✔ 存储模块 扩容科研存储 写 bc:storage:researchResize ✔ ✔ 存储模块 获取科研存储规格 读 bc:storage:researchListSpec ✔ ✔ ✔ 存储模块 获取科研存储空间列表 读 bc:storage:researchSpaceList ✔ ✔ ✔ 存储模块 创建科研存储空间 写 bc:storage:researchSpaceCreate ✔ ✔ 存储模块 删除科研存储空间 写 bc:storage:researchSpaceDelete ✔ ✔ 存储模块 编辑科研存储空间 写 bc:storage:researchSpaceEdit ✔ ✔ 存储模块 查看科研存储详情 读 bc:storage:researchDescribe ✔ ✔ ✔ 存储模块 解除科研存储绑定 写 bc:storage:releaseStorageBinding ✔ 存储模块 数据迁移列表 读 bc:storage:listDataSyncTasks ✔ ✔ ✔ 存储模块 数据迁移详情 读 bc:storage:describeDataSyncTask ✔ ✔ ✔ 存储模块 数据迁移任务创建 写 bc:storage:createDataSyncTask ✔ ✔ 存储模块 数据迁移任务停止 写 bc:storage:stopDataSyncTask ✔ ✔ 存储模块 数据迁移任务删除 写 bc:storage:deleteDataSyncTask ✔ ✔ 存储模块 数据迁移本地盘列表 读 bc:storage:listLocalStorage ✔ ✔ 存储模块 数据迁移配置获取 读 bc:storage:getDataSyncConfig ✔ ✔ 存储模块 科研文件fsserver升级 写 bc:storage:upgradeFSServer ✔ ✔ 存储模块 科研文件fsserver重启 写 bc:storage:restartFSServer ✔ ✔ 存储模块 数据集/科研文件科研版下载文件 读 bc:storage:fileDownloadV2 ✔ ✔ ✔ 存储模块 数据集/科研文件科研版下载文件新 读 bc:storage:getFileDlBtnV2 ✔ ✔ ✔ 存储模块 数据集/科研文件专业版下载文件 读 bc:storage:fileDownload ✔ ✔ ✔ 存储模块 数据集/科研文件专业版下载文件新 读 bc:storage:getFileDlBtn ✔ ✔ ✔ 存储模块 科研文件包周期续订 写 bc:storage:researchRenew ✔ ✔ 开发机模块 保存开发机镜像 写 bc:ide:saveImage ✔ ✔ 开发机模块 停止开发环境 写 bc:ide:stop ✔ ✔ 开发机模块 创建开发环境 写 bc:ide:create ✔ ✔ 开发机模块 创建开发环境体验包 写 bc:ide:createTrial ✔ ✔ 开发机模块 删除开发环境 写 bc:ide:delete ✔ ✔ 开发机模块 删除用户开发机镜像 写 bc:ide:userImageDelete ✔ ✔ 开发机模块 变更镜像 写 bc:ide:updateImage ✔ ✔ 开发机模块 变更存储 写 bc:ide:updateVolume ✔ ✔ 开发机模块 包周期续订/解冻 写 bc:ide:renewPeriod ✔ 开发机模块 包周期订购 写 bc:ide:submitPeriod ✔ 开发机模块 包周期退订 写 bc:ide:refundPeriod ✔ 开发机模块 开发环境列表 读 bc:ide:list ✔ ✔ ✔ 开发机模块 开发环境启动 写 bc:ide:launch ✔ ✔ 开发机模块 开发环境详情 读 bc:ide:get ✔ ✔ ✔ 开发机模块 更新规格 写 bc:ide:updateSpecific ✔ ✔ 开发机模块 更新运行时长 写 bc:ide:updateActiveTime ✔ ✔ 开发机模块 获取用户开发机镜像列表 读 bc:ide:userImageList ✔ ✔ ✔ 开发机模块 获取镜像列表 读 bc:ide:imageList ✔ ✔ ✔ 开发机模块 分享镜像列表 读 bc:ide:imageShareImageList ✔ ✔ 开发机模块 镜像取消分享 写 bc:ide:imageUnshare ✔ ✔ 开发机模块 镜像取消分享新 写 bc:ide:cancelImageShare ✔ ✔ 开发机模块 镜像分享 写 bc:ide:imageShare ✔ ✔ 开发机模块 镜像分享新 写 bc:ide:startImageShare ✔ ✔ 开发机模块 镜像分享记录列表 读 bc:ide:imageShareRecord ✔ ✔ ✔ 开发机模块 镜像分享记录列表新 读 bc:ide:listImageShareRecord ✔ ✔ ✔ 开发机模块 科研助手获取镜像列表 读 bc:ide:imageListV2 ✔ ✔ ✔ 开发机模块 科研助手保存开发机镜像 写 bc:ide:saveImageV2 ✔ ✔ 开发机模块 科研助手停止开发环境 写 bc:ide:stopV2 ✔ ✔ 开发机模块 科研助手创建开发环境 写 bc:ide:createV2 ✔ ✔ 开发机模块 科研助手删除开发环境 写 bc:ide:deleteV2 ✔ ✔ 开发机模块 科研助手删除用户开发机镜像 写 bc:ide:userImageDeleteV2 ✔ ✔ 开发机模块 科研助手变更镜像 写 bc:ide:updateImageV2 ✔ ✔ 开发机模块 科研助手变更存储 写 bc:ide:updateVolumeV2 ✔ ✔ 开发机模块 包周期续订/解冻V2 写 bc:ide:renewPeriodV2 ✔ 开发机模块 包周期订购V2 写 bc:ide:submitPeriodV2 ✔ 开发机模块 包周期退订V2 写 bc:ide:refundPeriodV2 ✔ 开发机模块 科研助手开发环境启动 写 bc:ide:launchV2 ✔ ✔ 开发机模块 科研助手开发环境详情 读 bc:ide:getV2 ✔ ✔ ✔ 开发机模块 科研助手更新规格 写 bc:ide:updateSpecificV2 ✔ ✔ 开发机模块 科研助手更新运行时长 写 bc:ide:updateActiveTimeV2 ✔ ✔ 开发机模块 科研助手获取用户开发机镜像列表 读 bc:ide:userImageListV2 ✔ ✔ ✔ 开发机模块 科研助手分享镜像列表 读 bc:ide:imageShareImageListV2 ✔ ✔ ✔ 开发机模块 科研助手开发环境列表 读 bc:ide:listV2 ✔ ✔ ✔ 开发机模块 科研助手展示上墙公共框架镜像和社区镜像 读 bc:ide:overviewRecommendedImageListV2 ✔ ✔ ✔ 开发机模块 镜像分享V2 写 bc:ide:imageShareV2 ✔ ✔ 开发机模块 镜像分享V2新 写 bc:ide:startImageShareV2 ✔ ✔ 开发机模块 镜像分享记录列表V2 读 bc:ide:imageShareRecordV2 ✔ ✔ ✔ 开发机模块 镜像分享记录列表V2新 读 bc:ide:listImageShareRecordV2 ✔ ✔ ✔ 开发机模块 镜像取消分享V2 写 bc:ide:imageUnshareV2 ✔ ✔ 开发机模块 镜像取消分享V2新 写 bc:ide:cancelImageShareV2 ✔ ✔ 开发机模块 科研助手批量创建开发机 写 bc:ide:batchCreate ✔ ✔ 开发机闲时规则模块 闲时规则查询闲时规则详情 读 bc:idleRule:getIdleRuleDetailV2 ✔ ✔ ✔ 开发机闲时规则模块 闲时规则闲时规则策略列表 读 bc:idleRule:listIdleRulePolicyV2 ✔ ✔ ✔ 开发机闲时规则模块 闲时规则保存闲时规则 写 bc:idleRule:saveIdleRulelV2 ✔ 开发机闲时规则模块 闲时规则保存闲时规则新 写 bc:idleRule:saveIdleRuleV2 ✔ 开发机闲时规则模块 闲时规则保存闲时规则策略 写 bc:idleRule:saveIdleRulePolicyV2 ✔ 开发机闲时规则模块 闲时规则打开闲时规则 写 bc:idleRule:onIdleRuleV2 ✔ 开发机闲时规则模块 闲时规则打开闲时规则新 写 bc:idleRule:setIdleRule ✔ 开发机闲时规则模块 闲时规则关闭闲时规则 写 bc:idleRule:offIdleRuleV2 ✔ 开发机闲时规则模块 闲时规则关闭闲时规则新 写 bc:idleRule:unsetIdleRule ✔ 推理模块 创建推理 写 bc:infer:inferServiceCreate ✔ ✔ 推理模块 停止推理 写 bc:infer:inferServiceStop ✔ ✔ 推理模块 启动推理 写 bc:infer:inferServiceLaunch ✔ ✔ 推理模块 删除推理 写 bc:infer:inferServiceDelete ✔ ✔ 推理模块 科研服务读取用户ak,sk 读 bc:infer:inferServiceSecret ✔ ✔ ✔ 推理模块 科研服务读取用户ak,sk新 读 bc:infer:getInferServiceSecret ✔ ✔ ✔ 推理模块 获取推理列表 读 bc:infer:inferServiceList ✔ ✔ ✔ 推理模块 推理框架列表 读 bc:infer:inferServiceFrameworkList ✔ ✔ ✔ 推理模块 获取推理详情 读 bc:infer:inferServiceDetail ✔ ✔ ✔ 推理模块 上传，删除以及更新证书 写 bc:infer:inferServiceCertificate ✔ ✔ 推理模块 上传，删除以及更新证书新 写 bc:infer:updateInferServiceCertificate ✔ ✔ 推理模块 获取科研服务概览信息 读 bc:infer:inferServiceSummary ✔ ✔ ✔ 推理模块 更新科研服务白名单 写 bc:infer:inferServiceClientIpsUpdate ✔ ✔ 模型模块 获取模型框架列表 读 bc:model:modelFrameworkList ✔ ✔ ✔ 并行计算模块 并行计算列表 读 bc:trainingJob:trainingJobList ✔ ✔ ✔ 并行计算模块 并行计算详情 读 bc:trainingJob:trainingJobDescribe ✔ ✔ ✔ 并行计算模块 并行计算创建 写 bc:trainingJob:trainingJobCreate ✔ ✔ 并行计算模块 并行计算停止 写 bc:trainingJob:trainingJobStop ✔ ✔ 并行计算模块 并行计算启动 写 bc:trainingJob:trainingJobStart ✔ ✔ 并行计算模块 并行计算删除 写 bc:trainingJob:trainingJobDelete ✔ ✔ 并行计算模块 并行计算模板上墙 读 bc:trainingJob:jobRecommendedTemplateList ✔ ✔ ✔ 并行计算模块 并行计算镜像地址选择镜像分发 写 bc:trainingJob:selectCRSImage ✔ 项目空间模块 项目空间列表 读 bc:projectSpace:projectSpaceList ✔ ✔ ✔ 项目空间模块 项目空间获取未同步列表 读 bc:projectSpace:projectSpaceListUnSync ✔ ✔ ✔ 项目空间模块 项目空间获取未同步列表新 读 bc:projectSpace:listProjectSpaceUnSync ✔ ✔ ✔ 项目空间模块 项目空间编辑 写 bc:projectSpace:projectSpaceEdit ✔ 项目空间模块 项目空间创建 写 bc:projectSpace:projectSpaceCreate ✔ 项目空间模块 项目空间详情 读 bc:projectSpace:projectSpaceGet ✔ ✔ ✔ 项目空间模块 项目空间空间配置详情 读 bc:projectSpace:getConfig ✔ ✔ ✔ 项目空间模块 项目空间查询用户列表 读 bc:projectSpace:projectSpaceUsers ✔ ✔ ✔ 项目空间模块 项目空间查询用户列表新 读 bc:projectSpace:listUsers ✔ ✔ ✔ 项目空间模块 项目空间查询用户组列表 读 bc:projectSpace:projectSpaceUserGroups ✔ ✔ ✔ 项目空间模块 项目空间查询用户组列表新 读 bc:projectSpace:listUserGroups ✔ ✔ ✔ 项目空间模块 项目空间查询用户组下用户 读 bc:projectSpace:projectSpaceGroupUsers ✔ ✔ ✔ 项目空间模块 项目空间查询用户组下用户新 读 bc:projectSpace:listGroupUsers ✔ ✔ ✔ 项目空间模块 项目空间将用户移入用户组 写 bc:projectSpace:projectSpaceAttachUser ✔ 项目空间模块 项目空间将用户移入用户组新 写 bc:projectSpace:addUser ✔ 项目空间模块 项目空间将用户移出用户组 写 bc:projectSpace:projectSpaceRemoveUser ✔ 项目空间模块 项目空间将用户移出用户组新 写 bc:projectSpace:removeUser ✔ 项目空间模块 项目空间查询项目关联用户组 读 bc:projectSpace:projectSpaceProjectGroups ✔ ✔ ✔ 项目空间模块 项目空间查询项目关联用户组新 读 bc:projectSpace:listProjectGroups ✔ ✔ ✔ 项目空间模块 项目空间新建项目与用户组关联 写 bc:projectSpace:projectSpaceAttachGroup ✔ 项目空间模块 项目空间新建项目与用户组关联新 写 bc:projectSpace:addGroup ✔ 项目空间模块 项目空间移除项目与用户组关联 写 bc:projectSpace:projectSpaceRemoveGroup ✔ 项目空间模块 项目空间移除项目与用户组关联新 写 bc:projectSpace:removeGroup ✔ 项目空间模块 项目空间账单详情费用值 读 bc:projectSpace:projectBillFeeAccess ✔ 项目空间模块 项目空间消耗趋势折线图 读 bc:projectSpace:projectSpaceBudgetTrend ✔ ✔ ✔ 项目空间模块 项目空间消耗趋势折线图新 读 bc:projectSpace:getBudgetTrend ✔ ✔ ✔ 项目空间模块 项目空间项目组成员 读 bc:projectSpace:projectSpaceProjectUsers ✔ ✔ ✔ 项目空间模块 项目空间项目组成员新 读 bc:projectSpace:listProjectUsers ✔ ✔ ✔ 项目空间模块 项目空间查询账单明细 读 bc:projectSpace:projectSpaceListBillDetail ✔ ✔ ✔ 项目空间模块 项目空间查询账单明细新 读 bc:projectSpace:listBillDetail ✔ ✔ ✔ 项目空间模块 项目空间下载账单明细 读 bc:projectSpace:projectSpaceDownloadBill ✔ ✔ ✔ 项目空间模块 项目空间预警额度 读 bc:projectSpace:projectFeeRemindAccess ✔ 项目空间模块 项目空间移除 写 bc:projectSpace:projectSpaceDelete ✔ 项目空间模块 项目空间移除新 写 bc:projectSpace:deleteProject ✔ 项目空间模块 项目空间导出账单明细 读 bc:projectSpace:projectSpaceExportBill ✔ ✔ ✔ 项目空间模块 项目空间导出账单明细新 读 bc:projectSpace:getExportBill ✔ ✔ ✔ 项目空间模块 项目空间账单记录列表 读 bc:projectSpace:projectSpaceListRecord ✔ ✔ ✔ 项目空间模块 项目空间账单记录列表新 读 bc:projectSpace:listBillRecord ✔ ✔ ✔ 项目空间模块 项目空间设置用户权限策略 写 bc:projectSpace:projectSpaceSetUserPolicy ✔ 项目空间模块 项目空间设置用户权限策略新 写 bc:projectSpace:setUserPolicy ✔ 项目空间模块 项目空间设置开发机默认关停时间接口 写 bc:projectSpace:IdeDefaultDurationEdit ✔ 项目空间模块 项目空间设置专属资源池配额 写 bc:projectSpace:setUserExclusivePoolQuota ✔ 项目空间模块 项目空间查询项目用量统计 读 bc:projectSpace:projectUsage ✔ ✔ ✔ 项目空间模块 项目空间查询项目用量统计新 读 bc:projectSpace:getProjectUsage ✔ ✔ ✔ 项目空间模块 项目空间查询用户用量统计 读 bc:projectSpace:userUsage ✔ ✔ ✔ 项目空间模块 项目空间查询用户用量统计新 读 bc:projectSpace:getUserUsage ✔ ✔ ✔ 专属公网IP模块 专属公网IP获取公网IP列表 读 bc:dedicatedEip:list ✔ ✔ ✔ 专属公网IP模块 专属公网IP开通公网IP 写 bc:dedicatedEip:create ✔ ✔ 专属公网IP模块 专属公网IP退订公网IP 写 bc:dedicatedEip:delete X 批量设置白名单 批量设置白名单开启 写 bc:predefClientIPs:set ✔ ✔ 批量设置白名单 批量设置白名单关闭 写 bc:predefClientIPs:unset ✔ ✔ 批量设置白名单 批量设置白名单查询 读 bc:predefClientIPs:get ✔ ✔ ✔ 专属资源池模块 专属资源池创建专属资源池 写 bc:exclusivePool:create X 专属资源池模块 专属资源池专属资源池列表 读 bc:exclusivePool:list ✔ ✔ ✔ 专属资源池模块 专属资源池专属资源池详情 读 bc:exclusivePool:get X 专属资源池模块 专属资源池资源使用量 读 bc:exclusivePool:usage X 专属资源池模块 专属资源池资源使用量新 读 bc:exclusivePool:getUsage X 专属资源池模块 专属资源池订单子项列表 读 bc:exclusivePool:listOrderItems X 专属资源池模块 专属资源池退订订单子项 写 bc:exclusivePool:refundOrderItem X 专属资源池模块 专属资源池增订订单子项 写 bc:exclusivePool:purchaseOrderItem X 专属资源池模块 专属资源池续订订单子项 写 bc:exclusivePool:renewOrderItem X 专属资源池模块 专属资源池计费类型选项 读 bc:exclusivePool:billingTypeOption ✔ ✔ ✔ 专属资源池模块 专属资源池计费类型选项新 读 bc:exclusivePool:getBillTypeBtn ✔ ✔ ✔ 专属资源池模块 专属资源池闲时资源借用 读 bc:exclusivePool:useIdleResource ✔ ✔ ✔ 专属资源池模块 专属资源池闲时资源借用新 读 bc:exclusivePool:getIdleResBtn ✔ ✔ ✔ 专属资源池模块 专属资源池专属资源配额详情 读 bc:exclusivePool:getQuota X 专属资源池模块 专属资源池企业项目配额详情 读 bc:exclusivePool:describeProjectQuota X 专属资源池模块 专属资源池企业项目配额列表 读 bc:exclusivePool:listProjectQuota X 专属资源池模块 专属资源池企业项目配额创建 写 bc:exclusivePool:createProjectQuota X 专属资源池模块 专属资源池企业项目配额编辑 写 bc:exclusivePool:updateProjectQuota X 专属资源池模块 专属资源池删除专属资源池 写 bc:exclusivePool:delete X

操作步骤 1. 登录IAM控制台。 2. 点击左侧导航窗格的“策略管理”，点击策略管理页面的“创建自定义策略”按钮，进入创建自定义策略页面。 3. 输入策略名称、策略描述等基本信息后，点击“下一步”。 4. 选择“可视化视图”。 5. 效果：选择“允许”或“拒绝”。 6. 云服务：选择“微服务引擎注册配置中心”。 7. 选择“操作”，根据需求勾选相关的产品权限。 8. 资源：选择“特定资源”，单击“添加资源”可以根据目前权限的关联资源路径模板来指定需要授权的资源。 9. 单击“确定”，完成自定义策略的创建。 10. 将创建好的自定义策略授予给用户。 自定义策略示例 示例1：给用户授予的所有命名空间的权限 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "rcc:inst:querynacosserviceinfo", "rcc:inst:querynacosconfiginfo", "rcc:inst:querynacosnamespaceinfo", "rcc:inst:nacosservicemanage", "rcc:inst:nacosnamespacemanage", "rcc:inst:nacosconfigmanage" ], "Resource": [ "ctrn:rcc:::nacos//namespaceId/" ] } ] } 示例2：给用户授予实例特定命名空间的权限 示例表示用户可以访问命名空间ID以test开头的命名空间 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "rcc:inst:querynacosserviceinfo", "rcc:inst:querynacosconfiginfo", "rcc:inst:querynacosnamespaceinfo", "rcc:inst:nacosservicemanage", "rcc:inst:nacosnamespacemanage", "rcc:inst:nacosconfigmanage" ], "Resource": [ "ctrn:rcc:::nacos//namespaceId/test" ] } ] } 示例3：给用户授予禁止访问实例特定命名空间的权限 示例表示禁止用户访问所有Nacos实例中命名空间ID以prod开头的命名空间 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "rcc:inst:querynacosserviceinfo", "rcc:inst:querynacosconfiginfo", "rcc:inst:querynacosnamespaceinfo", "rcc:inst:nacosservicemanage", "rcc:inst:nacosnamespacemanage", "rcc:inst:nacosconfigmanage" ], "Resource": [ "ctrn:rcc:::nacos//namespaceId/prod" ] } ] } 注意 由于权限策略同步存在一定的延迟，在授予相关的权限后，可能需要等待5~10分钟权限才能生效，请您耐心等候。

镜像格式 介绍 备注 QCOW2 QCOW2格式镜像是QEMU模拟器支持的一种磁盘镜像，是用一个文件的形式来表示一块固定大小的块设备磁盘。与普通的RAW格式镜像相比，QCOW2格式有如下几个特性： 支持更小的磁盘占用。 支持写时拷贝（CoW，CopyOnWrite），镜像文件只反映底层磁盘变化。 支持快照，可以包含多个历史快照。 支持压缩，可以选择ZLIB压缩和AES加密。 镜像服务导入和导出支持格式。 VMDK VMDK是VMware创建的虚拟硬盘格式。一个VMDK文件代表VMFS（云主机文件系统）在云主机上的一个物理硬盘驱动。 镜像服务导入和导出支持格式。 VHD VHD是微软提供的一种虚拟硬盘文件格式。VHD文件格式可以被压缩成单个文件存放到宿主机的文件系统上，主要包括云主机启动所需的文件系统。 镜像服务导入和导出支持格式。 RAW RAW格式是直接给云主机进行读写的文件。RAW不支持动态增长空间，是镜像中I/O性能较好的一种格式。 镜像服务导入和导出支持格式。

功能 使用限制 部署 数据库实例所部署的弹性云主机，用户不可见，只允许应用程序通过IP和端口访问数据库。 数据库访问 对于没有开通公网访问的数据库实例，只能通过同一个虚拟私有云内的弹性云主机进行访问。 弹性云主机必须处于目标RDSPostgreSQL实例所属安全组允许访问的范围内。 弹性云主机或连接发起公网IP必须处于目标RDSPostgreSQL实例所属白名单允许的范围内。 当数据库实例与弹性云主机处于不同的安全组时，系统会默认禁止访问，需要在数据库实例的安全组中添加“入站”访问规则进行授权。 数据库只读实例必须与主实例在同一子网内创建。 数据库实例的默认访问端口默认为6543，暂不支持修改端口。 数据库引擎 不同资源池支持的版本不同，具体支持版本请参见 数据库的root权限 当前提供高级账号权限给用户，不提供超级管理员权限。 修改数据库参数设置 通过管理控制台可以修改大部分数据库参数。（ 说明 ：部分参数可能要重启才能生效，请谨慎操作。） 数据迁入 可以使用psql命令行工具方式迁入数据。 故障切换 对于主备实例，当主节点出现故障时，RDSPostgreSQL实例会自动切换到备节点。切换过程中有30秒左右的连接闪断，需要您设置好程序的自动重连，避免因为切换导致服务不可用。 搭建数据库复制 RDSPostgreSQL本身提供主备复制架构的双节点集群，无需用户手动搭建。其中主备复制架构集群的备节点不对用户开放，用户应用不可直接访问。 插件 RDSPostgreSQL为用户预置了多种扩展插件，用户需要通过命令行对插件进行安装和卸载，具体参见 重启实例 无法通过命令行重启，必须通过RDSPostgreSQL服务的管理控制台操作重启实例。 数据恢复 建议您在数据恢复前备份好重要数据，以免导致数据丢失。 建议您通过创建新的临时实例或恢复到新实例，验证临时实例或新实例的数据后，再把需要的数据迁移到生产实例。 存储空间 如果实例的存储空间已满，该实例会被自动锁定，变成只读状态。建议您定期检查存储空间的使用情况。 说明：如果存储空间使用率过高，请在控制台执行存储空间扩容，具体参见 性能优化 请检查实例是否存在性能问题，例如是否有大量的慢SQL，SQL语句是否需要优化，是否有多余的索引或者缺失的索引等。

“态势总览”页面实时呈现当前工作空间中资源整体安全评估状况。 “态势总览”页面实时呈现当前工作空间中资源的整体安全评估状况，包括资产的安全评估结果、安全监控和安全趋势等信息，可以全面了解资产的安全情况。 态势感知（专业版）支持查看所有工作空间的整体安全评估结果，以及单个工作空间的安全评估结果，其中： 总览：总览页面实时呈现态势感知（专业版）所有工作空间的整体安全评估结果，查看方法请参见查看总览。 态势总览：目标工作空间的“态势感知 > 态势总览”页面呈现当前单个工作空间的安全评估结果，查看方法请参见本章节操作步骤。 查看态势总览 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“态势感知 > 态势总览”，进入态势总览页面。 5. 在态势总览页面查看您的资产安全总览情况，并进行相关操作。“态势总览”分为以下几个板块： [安全评分](