参数 描述 DNAT类型 公网DNAT。 连接类型 所有端口 将任何访问外网IP地址的请求转发到内网目标地址上。 具体端口 对外服务端口：内网地址对外映射后服务端口。取值范围：165535。 内网端口：内网地址提供服务真实端口。取值范围：165535。 协议类型：智能网关支持的协议类型请以控制台为准。 本端私网IP DNAT转换后的IP地址。

本文主要介绍如何通过域名解析管理对企业的域名进行解析配置。 企业配置的域名应用，将默认使用对应关联连接器上的DNS配置进行解析，对于无法通过该配置解析的域名，可以使用域名解析管理功能进行配置，实现远程访问。 应用场景 对于部分企业内网域名，无法在公网进行解析，且不希望员工直接使用IP进行访问，例如不想暴露该应用对应的真实IP地址，此时可以使用域名解析管理功能进行配置，这样企业员工在登录客户端后即可使用配置的域名访问到实际的IP地址。 对于需要使用特定的DNS服务器进行解析的域名，可以为这部分域名配置统一的DNS服务器地址，远程零信任办公服务将优先使用该DNS服务器进行解析。 使用说明 企业配置的应用域名，将优先使用域名解析管理的配置进行解析，若某应用的域名无额外配置域名解析，将使用其关联连接器上配置的特定DNS服务器地址进行解析，若关联连接器无特定DNS服务器配置，则使用连接器部署机器上默认的DNS配置进行解析。 操作步骤 1.登录边缘安全加速平台控制台。 2.在左侧导航栏选择AOne零信任网络域名解析管理。 3.点击新增按钮，添加域名解析管理配置。 具体字段说明如下： 字段 说明 备注 域名 输入域名或泛域名，例如ctyun.cn，.ctyun.cn 支持一次性输入多个域名进行配置，不允许相同域名重复配置 解析模式 可选DNS、静态两种模式，DNS模式需要配置对应的DNS服务器地址，静态模式需配置对应的静态解析IP地址 DNS服务器地址 请输入DNS服务器地址，格式为xx.xx.xx.xx，多个请用回车换行，可支持输入至多10个，将按输入顺序进行轮询 请确保该域名所在的关联连接器，网络可达该DNS服务器地址 解析IP 请输入解析IP，格式为xx.xx.xx.xx，多个请用回车换行，可支持输入至多10个，将按输入的顺序作为使用优先级 操作 支持进行编辑和删除

开通专线内网探测 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>边缘云专线】，选择对应的地域，查看当前地域下已开通的专线。 3. 选择要操作的专线，单击操作栏下的【配置内网探测】，进入弹窗页。 4. 选择探测组件IP所在的子网，探测组件IP地址可选择空闲的内网IP，不填写则由系统会自动分配，单击【下一步】系统会开启VPC内网探测功能，如果已开启过VPC内网探测功能，则跳转到第5步操作。 5. 选择开启ICMP探测，设置探测周期、探测超时时间和探测目标，探测目标为用户端网段内已使用的IP地址或IP段，配置完成后单击【提交】，提示操作成功后可在专线列表查看专线探测状态为开启状态。 关闭专线内网探测 在已开启专线内网探测的情况下，如需暂时关闭专线内网探测，可选择仅关闭ICMP探测功能，而无需关闭VPC内网探测。 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>边缘云专线】，选择对应的地域，查看当前地域下已开通的专线。 3. 选择要操作的专线，单击操作栏下的【配置内网探测】，进入弹窗页，关闭ICMP探测，单击【提交】关闭专线内网探测功能。 关闭VPC内网探测 如果不再需要专线内网探测及其他内网探测功能（如有开启），可在VPC和子网列表关闭VPC内网探测，具体参考创建和管理虚拟私有云章节下的配置VPC内网探测内容。 设置专线异常告警 现支持对边缘云专线带宽出/入利用率、流出/入错包率、流出/入丢包率和专线Ping探测失败持续时间等指标进行告警，配置监控告警后，出现异常情况会收到告警通知。具体配置参考告警配置。

函数计算目前提供了标准弹性实例（CPU算力），该实例支持按需模式和预留实例模式。在按需模式下，费用根据函数实例实际运行的时长来计算，而预留实例模式则是从实例启动并准备好执行任务的那一刻起开始计费，直至实例被释放，这种模式有助于减少因冷启动而产生的影响。本文将详细介绍实例的运行模式、计费机制以及可用的实例规格等相关信息。 实例类型 弹性实例（CPU实例）：是函数计算提供的一种标准计算资源，适合处理流量突增和CPU密集计算的场景。 实例模式 弹性实例提供了两种实例模式：按需模式和预留实例模式，下面分别介绍这两种实例模式。 按需模式 基本概念 按需模式是一种由函数计算平台自动管理实例的创建和销毁的模式。平台将依据函数调用的频率自动调整实例的数量，即在请求量上升时自动新增实例，而在请求量下降时自动删除实例。这一过程是完全基于请求自动触发的。当一个实例在一段较短的时间（通常是几分钟）内没有接到任何请求时，它会被系统自动缩容。 注意 在首次执行函数调用时，可能会遇到实例的冷启动过程。 计费方式 在按需模式中，计费开始于函数调用发起、函数实例自动创建并启动任务的时刻，终止于函数实例自动销毁的时刻。在这种模式下，一个实例可以依次处理单一请求，或者同时处理多个并发请求，这取决于设置的实例并发度。有关产品定价和计费详细信息，请参考函数计算计费说明计费概述。 说明 在按需模式下，没有函数调用时不会产生任何费用，只有在函数实际执行调用并启动函数实例时，才会根据使用情况进行计费。

本文主要介绍 系统委托说明。 由于CCE在运行中对计算、存储、网络以及监控等各类云服务资源都存在依赖关系，因此当您首次登录CCE控制台时，CCE将自动请求获取当前区域下的云资源权限，从而更好地为您提供服务。服务权限包括： 计算类服务 CCE集群创建节点时会关联创建云主机，因此需要获取访问弹性云主机、物理机的权限。 存储类服务 CCE支持为集群下节点和容器挂载存储，因此需要获取访问云硬盘、弹性文件、对象存储等服务的权限。 网络类服务 CCE支持集群下容器发布为对外访问的服务，因此需要获取访问虚拟私有云、弹性负载均衡等服务的权限。 容器与监控类服务 CCE集群下容器支持镜像拉取、监控和日志分析等功能，需要获取访问容器镜像等服务的权限。 当您同意授权后，CCE将在IAM中自动创建账号委托，将帐号内的其他资源操作权限委托给CCE服务进行操作。 CCE自动创建的委托如下： cceadmintrust cceclusteragency cceadmintrust委托说明 cceadmintrust委托具有Tenant Administrator权限。Tenant Administrator拥有除IAM管理外的全部云服务管理员权限，用于对CCE所依赖的其他云服务资源进行调用，且该授权仅在当前区域生效。 如果您在多个区域中使用CCE服务，则需在每个区域中分别申请云资源权限。您可前往“IAM控制台 > 委托”页签，单击“cceadmintrust”查看各区域的授权记录。 说明 由于CCE对其他云服务有许多依赖，如果没有Tenant Administrator权限，可能会因为某个服务权限不足而影响CCE功能的正常使用。因此在使用CCE服务期间，请不要自行删除或者修改“cceadmintrust”委托。

本章节主要介绍增强型跨源连接权限管理。 操作场景 增强型跨源支持项目级授权，授权后，项目内的用户具备该增强型跨源连接的操作权。可查看该增强型跨源连接、可将创建的弹性资源池与该增强型跨源连接绑定、可自定义路由等操作。以此实现增强型跨源连接的跨项目应用。本节操作介绍对增强型跨源连接授权或回收权限的操作步骤。 说明 如果被授权的项目属于相同区域（region）的不同用户，则需使用被授权项目所属的用户帐号进行登录。 如果被授权的项目属于相同区域（region）的同一用户，则需使用当前帐号切换到对应的项目下。 应用示例 项目B需要访问项目A上的数据源，对应操作如下。 对于项目A： a.使用项目A对应的帐号登录DLI服务。 b.通过对应数据源的VPC信息在DLI服务中创建增强型跨源连接“ds”。 c.将增强型跨源连接“ds”授权给项目B。 对于项目B： a.使用项目B对应的帐号登录DLI服务。 b.对增强型跨源连接“ds”进行绑定队列操作。 c.（可选）设置主机信息，创建路由。 通过上述操作项目A的增强型跨源连接与项目B的队列创建了对等连接和路由，即可在项目B的队列上创建作业访问项目A的数据源。 操作步骤 1. 登录DLI管理控制台。 2. 在左侧导航栏中，选择“跨源管理 > 增强型跨源 ”。 3. 选择待操作的增强型跨源连接，单击操作列的“更多 > 权限管理”。 授权： a.在权限管理页面，权限设置选择“授权”。 b.输入项目ID。 c.单击“确定”，授予该项目弹性资源池的操作权限。 回收权限： a.在权限管理页面，权限设置选择“回收”。 b.输入项目ID。 c.单击“确定”，回收指定项目的弹性资源池操作权。

本章节主要介绍如何连接已开启SSL的RabbitMQ实例。 创建实例时开启SASLSSL访问，则数据加密传输，安全性更高。 DMS的RabbitMQ实例兼容开源协议，请参考RabbitMQ官网提供的不同语言的连接和使用向导：< 本节以DMS提供的demo为例，介绍VPC内访问与使用RabbitMQ的方法，假设RabbitMQ客户端部署在弹性云主机上。 前提条件 参考创建实例章节创建RabbitMQ示例，并记录创建时输入的用户名和密码。 创建完成后，单击实例名称，查看并记录实例详情中的“连接地址”。 已创建弹性云主机，并且弹性云主机的VPC、子网、安全组与RabbitMQ实例的VPC、子网、安全组保持一致。 已完成JDK安装及环境变量配置。 命令行模式连接实例 以下操作命令以Linux系统为例进行说明。 1、下载RabbitMQTutorialSSL.zip示例工程代码。 2、解压RabbitMQTutorialSSL.zip压缩包。 $ unzip RabbitMQTutorialSSL.zip 3、进入RabbitMQTutorialSSL目录，该目录下包含预编译好的jar文件。 $ cd RabbitMQTutorialSSL 4、运行生产消息示例。 $ java cp .:rabbitmqtutorialsll.jar Send host port user password 其中，host表示RabbitMQ实例的连接地址，port为RabbitMQ实例的监听端口（默认为5671），user表示RabbitMQ用户名，password表示用户名对应的密码。 图1 生产消息示例 使用Ctrl+C命令退出。 5、运行消费消息示例。 $ java cp .:rabbitmqtutorialsll.jar Recv host port user password 其中，host表示RabbitMQ实例的连接地址，port为RabbitMQ实例的监听端口（默认为5671），user表示RabbitMQ用户名，password表示用户名对应的密码。 图2 消费消息示例 如需停止消费使用Ctrl+C命令退出。

本文为您介绍如何通过mysqldump将用户自建数据库数据迁移到天翼云关系数据库MySQL。 前期准备 准备能够远程连接关系数据库MySQL的机器。 通过弹性云主机连接关系数据库MySQL，需要创建一台弹性云主机。 通过公网地址连接关系数据库MySQL，需要将关系数据库MySQL绑定公网地址。 关系数据库MySQL实例设置白名单。 在准备的弹性云主机或其他可访问关系数据库MySQL的设备上，安装MySQL客户端。 创建关系数据库MySQL账号。 说明 弹性云主机或可访问关系数据库MySQL的设备需要安装和关系数据库MySQL相同版本的数据库客户端。（如果不相同则只能够向后兼容，例如用5.7版本的mysqldump来导出5.5版本的数据库数据） 适用场景 mysqldump迁移复杂，且需要停止源数据库的应用程序，建议数据量小的场景下使用。 数据量大的场景下建议优先使用DTS迁移数据。 导出数据 需要先对源数据库进行导出，才能将其迁移到关系数据库MySQL。 1. 登录源数据库。 2. 使用mysqldump导出自建数据库的表结构和数据，命令如下： 说明 数据库迁移为离线迁移，您需要停止使用源数据库的应用程序。 下文中的自建数据库用户需要具备相关的操作权限。 若使用的mysqldump低于5.6版本，需要去掉“setgtidpurgedOFF”。 bash mysqldump h u p P databases opt defaultcharactersetutf8 hexblob singletransaction setgtidpurgedOFF skiptriggers skipevents skiproutines > /tmp/ data.sql 示例： bash mysqldump h xxx u root p P databases test opt defaultcharactersetutf8 hexblob singletransaction setgtidpurgedOFF skiptriggers skipevents skiproutines > /tmp/testdata.sql 3. 使用mysqldump导出自建数据库的触发器、事件、存储过程和函数，命令如下： 说明 如果源数据库中没有使用触发器、事件、存储过程和函数，可跳过此步骤。 bash mysqldump h u p P database opt defaultcharactersetutf8 hexblob singletransaction setgtidpurgedOFF nocreateinfo nodata routines events sed e 's/DEFINER[ ][ ][^]//' e 's/DEFINER[ ].FUNCTION/FUNCTION/' e 's/DEFINER[ ].PROCEDURE/PROCEDURE/' e 's/DEFINER[ ].TRIGGER/TRIGGER/' e 's/DEFINER[ ].EVENT/EVENT/' > /tmp/ trigger.sql 示例： bash mysqldump h xxx u root p P databases test opt defaultcharactersetutf8 hexblob singletransaction setgtidpurgedOFF nocreateinfo nodata routines events sed e 's/DEFINER[ ][ ][^]//' e 's/DEFINER[ ].FUNCTION/FUNCTION/' e 's/DEFINER[ ].PROCEDURE/PROCEDURE/' e 's/DEFINER[ ].TRIGGER/TRIGGER/' e 's/DEFINER[ ].EVENT/EVENT/' > /tmp/testtrigger.sql

物理机服务(CTDPS,Dedicated Physical Server)为用户提供独享的云上物理机服务器。天翼云物理机具有卓越的计算、存储性能,满足核心应用对高性能及稳定性的需求。同时,可实现与弹性云主机混合组网,为用户提供灵活的业务部署方案。

本页介绍了ECS和文档数据库服务署在不同的VPC，网络不通怎么办如何处理。 请参考弹性云主机用户指南网卡切换虚拟私有云，将ECS的虚拟私有云切换为与文档数据库服务相同的虚拟私有云。

本节介绍如何添加域名监控。 域名监控可帮助监测多个站点的HTTPS业务状态，并及时发现站点上的SSL证书安全问题，方便统一维护多站点HTTPS。 说明 每个用户免费拥有1个域名监控配额，您可以通过该配额体验域名监控服务。 若需要持续监控多个域名，您可以购买更多配额，具体操作请参见购买域名监控服务。 操作步骤 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > 域名监控服务”。 3. 在域名列表上方，单击“添加域名”。 4. 在右侧弹出的“添加域名”窗口中根据提示配置参数。 参数说明如下： 参数 说明 当前可监控 显示当前剩余监控域名数量。如果配额不足，单击“前往扩容”可进行购买。 域名/IP 填写需要被监控的域名或IP地址。单次只能输入一个域名或IP。 注意 添加域名后，域名或IP地址不支持修改，请确保配置的域名或IP地址正确且有效。 端口 端口号，默认为443。 开启监控 添加域名时，监控开关默认开启。开启监控后，将对域名所使用证书的状态和有效期进行持续监控。 5. 配置完成后，单击“确定”。 添加完成后，将立即对域名进行扫描，“状态”为“扫描中”。添加域名后有效期为365天，“监控剩余天数”从添加域名成功后开始计时。

防护效果 假如已添加域名“www.example.com”。可参照以下步骤验证防护效果： 步骤1 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。 不能正常访问，参照章节：网站接入WAF 。 能正常访问，执行步骤2。 步骤2 参照本节的操作步骤，将您的客户端IP来源地配置为拦截。 步骤3 清理浏览器缓存，在浏览器中访问“ 步骤4 返回Web应用防火墙控制界面，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，查看防护域名拦截日志，您也可以：下载防护事件数据 。

OpenClaw云电脑开机后一直停留在黑色页面，没有进度。 这个黑框是后台服务，不要关闭，请点击桌面的 “OpenClaw进入应用” 打开聊天页面。 OpenClaw的后台服务打开后闪退 OpenClaw执行指令时误删除了系统文件，如无重要数据建议重装系统恢复。 如果云电脑是内网，不能访问外网可以用吗？ 不可以，必须要能访问公网。 云电脑OpenClaw默认打开谷歌浏览器，这个默认浏览器可以修改吗？ OpenClaw只是打开系统的默认浏览器，将您需要的浏览器设置为默认浏览器即可。 提问OpenClaw没有回答，后台进程显示“403 Forbidden”字样的报错信息。 风控要求对OpenClaw云电脑出口ip进行白名单管控。您的云电脑出口ip不在后台的白名单中，请联系运维人员进行ip加白。若加白后仍无法正常问答，请按以下指引操作： 1. 按下win+r ，输入 ncpa.cpl； 2. 右键选中网络适配器的属性； 3. 取消勾选 Internet协议版本6 (TCP/IPv6)，确认并保存。 OpenClaw提示：已断开与网关的连接，device identity required 建议通过系统重装升级到最新镜像。升级方法同重装操作系统一致，参考下方链接中“已有云电脑用户，切换OpenClaw镜像体验”。 < 小程序的AI云电脑的界面进入不了云电脑，显示订购页面 当前账号没有云电脑，可以参加活动领取一台，或新购一台云电脑。方法见快速入门（必看）中，新用户免费体验。

本节介绍在云电脑中使用OpenClaw的常见问题。 如何获取云电脑系统密码？ 在开通云电脑时，会通过短信发送系统密码，请注意查收短信。如未收到短信，请通过云电脑客户端→设置→立即报障，进行处理。 OpenClaw云电脑开机后一直停留在黑色页面，没有进度。 这个黑框是后台服务，不要关闭，请点击桌面的 “OpenClaw进入应用” 打开聊天页面。 OpenClaw的后台服务打开后闪退 OpenClaw执行指令时误删除了系统文件，如无重要数据建议重装系统恢复。 如果云电脑是内网，不能访问外网可以用吗？ 不可以，必须要能访问公网。 云电脑OpenClaw默认打开谷歌浏览器，这个默认浏览器可以修改吗？ OpenClaw只是打开系统的默认浏览器，将您需要的浏览器设置为默认浏览器即可。 提问OpenClaw没有回答，后台进程显示“403 Forbidden”字样的报错信息。 风控要求对OpenClaw云电脑出口ip进行白名单管控。您的云电脑出口ip不在后台的白名单中，请联系运维人员进行ip加白。若加白后仍无法正常问答，请按以下指引操作： 1. 按下win+r ，输入 ncpa.cpl； 2. 右键选中网络适配器的属性； 3. 取消勾选 Internet协议版本6 (TCP/IPv6)，确认并保存。 OpenClaw提示：已断开与网关的连接，device identity required 建议通过系统重装升级到最新镜像。升级方法同重装操作系统一致，参考下方链接中“已有云电脑用户，切换OpenClaw镜像体验”。 <

系统角色 角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 IAM中预置的CCE系统角色为 CCEAdministrator ，给用户组授予该系统角色权限时，必须同时勾选该角色依赖的其他策略才会生效，例如Tenant Guest、Server Administrator、ELB Administrator、OBS Administrator、SFS Administrator、SWR Admin、APM FullAccess。 系统策略 IAM中预置的CCE系统策略当前包含CCEFullAccess 和CCEReadOnlyAccess两种策略： CCE FullAccess ：系统策略，CCE服务集群相关资源的普通操作权限，不包括集群（启用Kubernetes RBAC鉴权）的命名空间权限，不包括委托授权、生成集群证书等管理员角色的特权操作。 CCE ReadOnlyAccess： 系统策略，CCE服务集群相关资源的只读权限，不包括集群（启用Kubernetes RBAC鉴权）的命名空间权限。 表 CCE FullAccess策略主要权限 操作（Action） Action详情 说明 cce:: cce:cluster:create 创建集群 cce:: cce:cluster:delete 删除集群 cce:: cce:cluster:update 更新集群，如后续允许集群支持RBAC，调度参数更新等 cce:: cce:cluster:upgrade 升级集群 cce:: cce:cluster:start 唤醒集群 cce:: cce:cluster:stop 休眠集群 cce:: cce:cluster:list 查询集群列表 cce:: cce:cluster:get 查询集群详情 cce:: cce:node:create 添加节点 cce:: cce:node:delete 删除节点/批量删除节点 cce:: cce:node:update 更新节点，如更新节点名称 cce:: cce:node:get 查询节点详情 cce:: cce:node:list 查询节点列表 cce:: cce:nodepool:create 创建节点池 cce:: cce:nodepool:delete 删除节点池 cce:: cce:nodepool:update 更新节点池信息 cce:: cce:nodepool:get 获取节点池 cce:: cce:nodepool:list 列出集群的所有节点池 cce:: cce:release:create 创建模板实例 cce:: cce:release:delete 删除模板实例 cce:: cce:release:update 更新升级模板实例 cce:: cce:job:list 查询任务列表（集群层面的job） cce:: cce:job:delete 删除任务/批量删除任务（集群层面的job） cce:: cce:job:get 查询任务详情（集群层面的job） cce:: cce:storage:create 创建存储 cce:: cce:storage:delete 删除存储 cce:: cce:storage:list 列出所有磁盘 cce:: cce:addonInstance:create 创建插件实例 cce:: cce:addonInstance:delete 删除插件实例 cce:: cce:addonInstance:update 更新升级插件实例 cce:: cce:addonInstance:get 获取插件实例 cce:: cce:addonTemplate:get 获取插件模板 cce:: cce:addonInstance:list 列出所有插件实例 cce:: cce:addonTemplate:list 列出所有插件模板 cce:: cce:chart:list 列出所有模板 cce:: cce:chart:delete 删除摸板 cce:: cce:chart:update 更新模板 cce:: cce:chart:upload 上传模板 cce:: cce:chart:get 获取模板信息 cce:: cce:release:get 获取模板实例信息 cce:: cce:release:list 列出所有模板实例 cce:: cce:userAuthorization:get 获取CCE用户授权 cce:: cce:userAuthorization:create 创建CCE用户授权 ecs:: ECS（弹性云主机）服务的所有权限。 evs:: EVS（云硬盘）的所有权限。 可以将云硬盘挂载到云主机，并可以随时扩容云硬盘容量 vpc:: VPC（虚拟私有云，包含二代ELB）的所有权限。 创建的集群需要运行在虚拟私有云中，创建命名空间时，需要创建或关联VPC，创建在命名空间的容器都运行在VPC之内。 sfs::get SFS（弹性文件存储服务）资源详情的查看权限。 sfs:shares:ShareAction SFS（弹性文件存储服务）资源的扩容共享。 aom::get AOM（应用运维管理）资源详情的查看权限。 aom::list AOM（应用运维管理）资源列表的查看权限。 aom:autoScalingRule: AOM（应用运维管理）自动扩缩容规则的所有操作权限。 apm:icmgr: APM（应用性能管理服务）操作ICAgent权限。 lts:: LTS（云日志服务）的所有权限。 表 CCE ReadOnlyAccess策略主要权限 操作（Action） 操作（Action） 说明 cce::get cce:cluster:get 查询集群详情 cce::get cce:node:get 查询节点详情 cce::get cce:job:get 查询任务详情（集群层面的job） cce::get cce:addonInstance:get 获取插件实例 cce::get cce:addonTemplate:get 获取插件模板 cce::get cce:chart:get 获取模板信息 cce::get cce:nodepool:get 获取节点池 cce::get cce:release:get 获取模板实例信息 cce::get cce:userAuthorization:get 获取CCE用户授权 cce::list cce:cluster:list 查询集群列表 cce::list cce:node:list 查询节点列表 cce::list cce:job:list 查询任务列表（集群层面的job） cce::list cce:addonInstance:list 列出所有插件实例 cce::list cce:addonTemplate:list 列出所有插件模板 cce::list cce:chart:list 列出所有模板 cce::list cce:nodepool:list 列出集群的所有节点池 cce::list cce:release:list 列出所有模板实例 cce::list cce:storage:list 列出所有磁盘 cce:kubernetes: 操作所有kubernetes资源。 ecs::get ECS（弹性云主机）所有资源详情的查看权限。 CCE中的一个节点就是具有多个云硬盘的一台弹性云主机 ecs::list ECS（弹性云主机）所有资源列表的查看权限。 bms::get BMS（物理机）所有资源详情的查看权限。 bms::list BMS（物理机）所有资源列表的查看权限。 evs::get EVS（云硬盘）所有资源详情的查看权限。可以将云硬盘挂载到云主机，并可以随时扩容云硬盘容量 evs::list EVS（云硬盘）所有资源列表的查看权限。 evs::count vpc::get VPC（虚拟私有云，包含二代ELB）所有资源详情的查看权限。 创建的集群需要运行在虚拟私有云中，创建命名空间时，需要创建或关联VPC，创建在命名空间的容器都运行在VPC之内 vpc::list VPC（虚拟私有云，包含二代ELB）所有资源列表的查看权限。 sfs::get SFS（弹性文件服务）服务所有资源详情的查看权限。 sfs:shares:ShareAction SFS（弹性文件服务）资源的扩容共享。 aom::get AOM（应用运维管理）服务所有资源详情的查看权限。 aom::list AOM（应用运维管理）服务所有资源列表的查看权限。 aom:autoScalingRule: AOM（应用运维管理）服务自动扩缩容规则的所有操作权限。 lts::get LTS（云日志服务）的所有资源详情的查看权限。 lts::list LTS（云日志服务）的所有资源列表的查看权限。

本文主要介绍主机网络hostNetwork。 背景信息 Kubenetes支持Pod直接使用主机/节点的网络，对于需要直接访问主机网络的场景有一定的用途。 配置说明 Pod使用主机网络只需要在配置中添加hostNetwork: true即可，如下所示。 apiVersion: apps/v1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: hostNetwork: true containers: image: nginx:alpine name: nginx imagePullSecrets: name: defaultsecret 部署后可以看到Pod的IP与节点的IP相同，说明Pod直接使用了主机网络。 $ kubectl get pod owide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES nginx6fdf99c8b6wwft 1/1 Running 0 3m41s 10.1.0.55 10.1.0.55 hostNetwork使用注意事项 Pod直接使用主机的网络会占用宿主机的端口，Pod的IP就是宿主机的IP，使用时需要考虑是否与主机上的端口冲突，因此一般情况下除非您知道需要某个特定应用占用宿主机上的特定端口时，不建议使用主机网络。 由于使用主机网络，访问Pod就是访问节点，要 注意放通节点安全组端口 ，否则会出现访问不通的情况。 另外由于占用主机端口，使用Deployment部署hostNetwork类型Pod时，要注意 Pod的副本数不要超过节点数量 ，否则会导致一个节点上调度了多个Pod，Pod启动时端口冲突无法创建。例如上面例子中的nginx，如果服务数为2，并部署在只有1个节点的集群上，就会有一个Pod无法创建，查询Pod日志会发现是由于端口占用导致nginx无法启动。 注意 请避免在同一个节点上调度多个使用主机网络的Pod，否则在创建ClusterIP类型的Service访问Pod时，会出现访问ClusterIP不通的情况。 $ kubectl get deploy NAME READY UPTODATE AVAILABLE AGE nginx 1/2 2 1 67m $ kubectl get pod NAME READY STATUS RESTARTS AGE nginx6fdf99c8b6wwft 1/1 Running 0 67m nginx6fdf99c8brglm7 0/1 CrashLoopBackOff 13 44m $ kubectl logs nginx6fdf99c8brglm7 /dockerentrypoint.sh: /dockerentrypoint.d/ is not empty, will attempt to perform configuration /dockerentrypoint.sh: Looking for shell scripts in /dockerentrypoint.d/ /dockerentrypoint.sh: Launching /dockerentrypoint.d/10listenonipv6bydefault.sh 10listenonipv6bydefault.sh: info: Getting the checksum of /etc/nginx/conf.d/default.conf 10listenonipv6bydefault.sh: info: Enabled listen on IPv6 in /etc/nginx/conf.d/default.conf /dockerentrypoint.sh: Launching /dockerentrypoint.d/20envsubstontemplates.sh /dockerentrypoint.sh: Launching /dockerentrypoint.d/30tuneworkerprocesses.sh /dockerentrypoint.sh: Configuration complete; ready for start up 2022/05/11 07:18:11 [emerg] 1

本节为您介绍如何查看历史任务及迁移报告。 历史任务检索 CMSSMS可以展示用户所有历史任务信息；当用户迁移任务完成后，会生成相应的历史任务，包括历史任务的任务号、任务类型、系统类型、迁移源IP地址、目标机IP地址、创建日期、任务状态、进度等。 左侧导航栏单击“历史任务”后，可单击"查看"跳转详情页面，查看具体任务信息。 删除迁移任务记录 CMSSMS可以展示用户所有历史任务信息；当用户迁移任务完成后，会生成相应的历史任务，您可删除迁移任务记录。 完成报告生成 当迁移任务完成时或者迁移任务取消时，平台能自动生成报告。 CMSSMS能生成单迁移、多迁移任务完成报告。单迁移任务报告包含各个迁移步骤的总耗时、数据量大小、操作系统版本、源机IP信息、目标机IP信息、任务状态、任务具体配置等。多任务迁移报告包含迁移台数、平均完成时间以及每台源机迁移任务的具体信息。

本文介绍公网VIP的绑定、解绑等操作指导。 公网VIP暂不支持自助购买，如需使用，请联系您的客户经理或线上咨询或拨打客服热线电话，热线电话：4008109889转1。 使用说明 因公网VIP免费提供，未绑定实例的公网VIP仅允许保留7天，超过时限后系统将自动释放，释放前后会有邮件提醒。 绑定了公网VIP的虚拟机网卡产生的流量统一计入同网卡绑定的公网IP关联的带宽实例中。 公网VIP仅允许绑定至虚拟机直通网卡。 查看公网VIP实例 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>虚拟IP>公网VIP】。 3. 选择列表上方的地域即可查看指定地域的公网VIP列表，列表展示有公网VIP地址、VIP适用可用区、绑定实例数等信息。 绑定公网VIP 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>虚拟IP>公网VIP】。 3. 选择列表上方的地域切换至指定地域，选择需要操作的公网VIP，单击操作栏下的【绑定】，在弹窗页，选择需要绑定的虚拟机实例，只有虚拟机实例所在可用区和VIP适用可用区相同时才能绑定，单击【提交】完成公网VIP绑定；亦可以选中后，单击列表上方的【绑定】进行绑定。 4. 绑定成功后还需手动在虚拟机直通网卡上配置对应的公网VIP地址，只有将公网VIP先绑定到虚拟机实例，网卡配置公网VIP后才生效。

本节主要介绍部署HBlock集群版。 部署HBlock的步骤主要步骤为： 1. 安装前准备：在每台服务器上准备一个或多个目录作为HBlock数据目录，用来存储HBlock数据。 说明 为了避免相互影响，建议数据目录不要与操作系统共用磁盘或文件系统。 2. 解压缩安装包，并进入解压缩后的文件夹路径。 3. 安装并初始化HBlock。 4. 获取软件证书并加载。 5. 创建iSCSI Target并查询。 6. 创建卷并查询。 说明 下面以x86服务器的HBlock安装部署举例，ARM服务器、龙芯服务器的安装部署与x86服务器的安装部署相同。 详细步骤 1. 请先完成以下准备工作：在每台服务器上准备一个或多个目录作为HBlock数据目录（每台服务器上的目录可以不同），用来存储HBlock数据，如：/mnt/storage01，/mnt/storage02。 2. 将安装包放到服务器欲安装HBlock的目录下并解压缩，进入解压缩后的文件夹（以HBlock 4.0.0为例）。 说明 建议安装目录不要与数据目录共用磁盘或文件系统。 plaintext unzip CTYUNHBlockPlus4.0.0x64.zip cd CTYUNHBlockPlus4.0.0x64 3. 安装并初始化HBlock： 1. 安装HBlock。 注意 安装HBlock和执行HBlock管理操作的应该属于同一用户。 在每台服务器上安装HBlock。 ./stor install [ { a apiport } APIPORT ] [ { w webport } WEBPORT ] APIPORT ：指定API端口号，默认端口号为1443。 WEBPORT ：指定WEB端口号，默认端口号为2443。 2. 初始化HBlock。 初始化HBlock具体命令行详见初始化HBlock。 ./stor setup { n storname } STORNAME [ { u username } USERNAME ] { p password } PASSWORD { { s serve r } { SERVERIP [:PORT ][:PATH] & } & topologyfile TOPOLOGYFILE } [ {C clusternetwork } CIDR ] [ { P publicnetwork } CIDR ] [ faultdomain FAULTDOMAIN ] [ iscsiport ISCSIPORT ] [portrange PORT1PORT2 ] [ dataport 1 DATAPORT1 ] [ managementport1 MANAGEMENTPORT1 ] [ managementport2 MANAGEMENTPORT2 ] [ managementport3 MANAGEMENTPORT3 ] [ managementport4 MANAGEMENTPORT4 ] [ managementport5 MANAGEMENTPORT5 ] [ managementport6 MANAGEMENTPORT6 ] [ metadataport1 METADATAPORT1 ] [ metadataport2 METADATAPORT2 ] [ metadataport3 METADATAPORT3 ] [ metadataport4 METADATAPORT4 ] [ metadataport5 METADATAPORT5 ] [ metadataport6 METADATAPORT6 ] [ metadataport7 METADATAPORT7 ] [ metadataport8 METADATAPORT8 ] [ cs SERVERIP,SERVERIP,SERVERIP ] [ mdm SERVERIP,SERVERIP ] [ ls SERVERIP,SERVERIP,SERVERIP ] 说明 可以通过web、命令行和API进行初始化HBlock。可以在已经安装的HBlock的任一台服务器上执行初始化。 3. 查询服务器。 ./stor server ls [ { n server } SERVERID ] [ port ] 4. 获取软件许可证并加载。 HBlock软件提供30天试用期，过期后仅部分功能可用，详见软件许可证到期（试用期或订阅模式）后仍可用的功能。您可以通过下列步骤获取软件许可证。 1. 获取HBlock序列号： ./stor info { S serialid } 2. 联系HBlock软件供应商获取软件许可证，获取的时候需要提供HBlock序列号。 3. 获取软件许可证后，执行加载。 ./stor license add { k key } KEY 5. 创建iSCSI Target并查询。 1. 创建iSCSI Target。 创建iSCSI Target命令行详见创建iSCSI Target。 ./stor target add { n name } TARGETNAME [ maxsessions MAXSESSIONS ] [ { c chapname } CHAPNAME { p password } CHAPPASSWORD { s status } STATUS ] [ num SERVERNUMBER ] [ server SERVERID & ] 说明 如果允许iSCSI Target下的IQN建立多个会话，可以通过配置参数maxsessions MAXSESSIONS 来实现。 2. 查询iSCSI Target。 ./stor target ls [ c connection ] [ { n name } TARGETNAME ] 6. 创建卷并查询 1. 创建卷 创建卷命令行详见创建卷。 本地卷 ./stor lun add { n name } LUNNAME { p capacity } CAPACITY { t target } TARGETNAME [ pool POOL ] [ cachepool CACHEPOOL ] [ { a ha } HIGHAVAILABILITY ] [ { c localstorageclass } LOCALSTORAGECLASS ] [ minreplica MINREPLICA ] [ ecfragmentsize ECFRAGEMENTSIZE ] [ { o sectorsize } SECTORSIZE ] [ { w writepolicy } WRITEPOLICY ] [ { m mode } STORAGEMODE ] 上云卷 ./stor lun add { n name } LUNNAME { p capac ity } CAPACITY { t target } TARGETNAME [ pool POOL ] [ cachepool CACHEPOOL ] [ { a ha } HIGHAVAILABILITY ] [ { c localstorageclass } LOCALSTORAGECLASS ] [ minreplica MINREPLICA ] [ ecfragmentsize ECFRAGEMENTSIZE ] [ { o sectorsize } SECTORSIZE ] [ { w writepolicy } WRITEPOLICY ] { m mode } STORAGEMODE { B bucket } BUCKETNAME { A ak } ACCESSKEY { S sk } SECRETKEY [ { C cloudstorageclass } CLOUDSTORAGECLASS ] { E endpoint } ENDPOINT [ signversion VERSION ] [ region REGION ] [ { M cloudcompression } CLOUDCOMPRESSION ] [ { O objectsize } OBJECTSIZE ] [ { X prefix } PREFIX ] 2. 查询卷 ./stor lun ls [ { n name } LUNNAME ]

对比维度 云硬盘EVS 弹性文件服务SFS 对象存储OBS 极速文件存储SFS Turbo 概念 云硬盘（Elastic Volume Service）可以为云主机提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务，可满足不同场景的业务需求，适用于分布式文件系统、开发测试、数据仓库以及高性能计算等场景。 SFS为用户提供一个完全托管的共享文件存储，能够弹性伸缩至PB规模，具备高可用性和持久性，为海量数据、高带宽型应用提供有力支持。适用于多种应用场景，包括HPC、媒体处理、文件共享、内容管理和Web服务等。 对象存储服务（Object Storage Service，OBS）提供海量、安全、高可靠、低成本的数据存储能力，可供用户存储任意类型和大小的数据。适合企业备份/归档、视频点播、视频监控等多种数据存储场景。 SFS Turbo为用户提供一个完全托管的共享文件存储，能够弹性伸缩至320TB规模，具备高可用性和持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。适用于多种应用场景，包括高性能网站、日志存储、压缩解压、DevOps、企业办公、容器应用等。 存储数据的逻辑 存放的是二进制数据，无法直接存放文件，如果需要存放文件，需要先格式化文件系统后使用。 存放的是文件，会以文件和文件夹的层次结构来整理和呈现数据。 存放的是对象，可以直接存放文件，文件会自动产生对应的系统元数据，用户也可以自定义文件的元数据。 存放的是文件，会以文件和文件夹的层次结构来整理和呈现数据。 访问方式 只能在ECS/BMS中挂载使用，不能被操作系统应用直接访问，需要格式化成文件系统进行访问。 在ECS/BMS中通过网络协议挂载使用。需要指定网络地址进行访问，也可以将网络地址映射为本地目录后进行访问。 可以通过互联网或专线访问。需要指定桶地址进行访问，使用的是HTTP和HTTPS等传输协议。 提供标准的文件访问协议NFS（仅支持NFSv3），用户可以将现有应用和工具与SFS Turbo无缝集成。 静态数据卷 支持 支持 支持 支持 动态数据卷 支持 支持 支持 不支持 主要特点 非共享存储，每个云盘只能在单个节点挂载。 共享存储，可提供高性能、高吞吐存储服务。 共享存储，用户态文件系统。 高性能、高带宽、共享存储。 应用场景 HPC高性能计算、企业核心集群应用、企业应用系统和开发测试等。说明高性能计算：主要是高速率、高IOPS的需求，用于作为高性能存储，比如工业设计、能源勘探等。 HPC高性能计算、媒体处理、内容管理和Web服务、大数据和分析应用程序等。说明高性能计算：主要是高带宽的需求，用于共享文件存储，比如基因测序、图片渲染等。 大数据分析、静态网站托管、在线视频点播、基因测序、智能视频监控、备份归档、企业云盘（网盘）等。 高性能网站、日志存储、DevOps、企业办公等。 容量 TB级别 PB级别 EB级别 TB级别 时延 1~2ms 3~20ms 10ms 1~2ms IOPS/TPS 单盘33K 2K 千万级 100K 带宽 MB/s级别 GB/s级别 TB/s级别 GB/s级别

本页介绍了文档数据库服务的默认权限机制。 文档数据库服务在与社区原生版本MongoDB相比时，针对不断增长的安全挑战进行了一系列的增强措施。与社区原生版本不同，文档数据库服务采用的默认的安全策略，要求连接数据库时必须进行鉴权，否则无法使用数据库。这种改进确保了文档数据库服务的安全性。 带鉴权的连接url： mongodb:// : @ : / ?authSourceadmin 不带鉴权的连接url： mongodb:// : / 数据库实例创建后，系统会创建默认的管理员用户root，但是需要客户指定密码，并满足密码复杂度要求。

本小节介绍渗透测试的服务流程，帮助您了解服务开展过程。 渗透测试服务以人工服务为主，我们的渗透测试人员在取得您的授权后，将对目标系统进行全面的渗透测试工作，总体流程如下： 1. 客户订购与需求匹配的服务规格并下单付款。 2. 客户经理会与您取得联系，协助您完成《业务需求单》及《渗透测试授权书》的填写，您需要如实填写以下内容： 域名备案信息比对，必须为真实、合法信息。 被检测的IP主机信息。 如您为天翼云托管用户，需要提供域名清单，解析后必须为天翼云主机IP，才可提供渗透测试服务。 您所提供的应用URL描述须写明功能是什么或用途是什么。 业务接口人联系方式，您需提供一个具有对渗透测试方案及渗透测试过程中出现的问题有决定权的业务接口人联系人。 如您有安全防护设备，应在渗透测试开始阶段将渗透测试所用的公网IP加入安全防护设备白名单，避免因渗透测试工作带来的告警。（如在渗透测试开始阶段客户未将渗透测试所用的公网IP加入安全防护设备白名单，由此产生的告警及对渗透测试结果的影响，我方不承担责任。） 您需签订渗透测试授权书。 3. 我们会根据您提供的信息，与您进行沟通，编写渗透测试方案，并与您确认测试细节，双方确认无误后，将进入渗透测试环境，渗透测试工作主要包含如下步骤： 明确目标：确定渗透测试的范围，如IP、域名、内外网、整站或部分模块，确定规则，如能渗透到什么程度，是发现漏洞为止还是继续利用漏洞，确定需求，如Web应用的漏洞，业务逻辑漏洞，人员权限管理漏洞。 信息收集：在信息收集阶段要尽量收集关于项目软件的各种信息，例如，对于一个Web应用程序，要收集脚本类型、服务器类型、数据库类型以及项目所用到的框架、开源软件等。 漏洞探测：进行漏洞探测，包括手动和自动探测。 漏洞验证：对探测出的漏洞进行验证，确定其真实存在。 信息分析：对收集到的信息进行分析，尝试利用漏洞获取数据。 利用漏洞获取数据：如果能够利用漏洞获取数据，则进行数据获取。 信息整理：对获取到的数据进行整理，方便后续分析。 形成报告：根据渗透测试的实际情况，形成详细、专业的报告。 4. 形成报告后，我们会将报告发送给您，您可以根据报告内容，发现系统漏洞，及时加固完善。 以上为渗透测试的基本服务流程，如您在服务过程中有任何问题，请您与客户经理联系并反馈，我们会尽快为您处理。

购买DBSS服务后添加的数据库不在同一子网有什么影响？ 购买DBSS服务后添加的多个数据库不在同一子网，但只要在同一VPC，添加的所有数据库可进行正常审计，不受子网影响。 DBSS服务审计实例网关IP有限制吗？ 用户主机不可占用DBSS审计实例的网关IP地址，其余并无限制。

本节主要介绍应用场景。 场景一：企业架构转型 场景特点： 传统应用架构复杂，牵一发而动全身。企业用云化、容器化应用替代传统应用，实现单一架构解耦拆分为多个容器服务，系统更灵活，轻松应对市场变化。 推荐使用多控制节点云容器引擎，搭配云容器镜像服务，实现容器化微服务的独立部署、独立扩展。同时体验云的弹性伸缩和自动化。 场景优势： 松耦合 将单体式应用从不同纬度拆分成多个微服务，每个微服务的内容使用一个容器镜像管理 易维护 在功能不变的情况，应用拆分成多个可管理的服务，每个单体服务容易理解、开发和维护，充分体现云的弹性伸缩和自动化 场景二：互联网应用快速上线 场景特点： 适用对于互联网应用所需敏捷快速上线的场景，实现容器镜像贯穿从开发到运维各环节，统一环境配置，业务快速上线。 推荐使用多控制节点云容器引擎，搭配云容器镜像服务，实现应用构建在云上，使平均负载维持较高水平，提升资源利用率，每分钱都真正支持企业发展。

本节介绍如何在漏洞扫描中进行Syslog日志外发配置。 前提条件 已购买漏洞扫描资源，且资源状态为“运行中”。 操作步骤 1. 登录云等保专区控制台，在左侧导航栏，选择“漏洞扫描”，在目标资源右侧操作列单击“配置”，进入漏洞扫描系统。 2. 在漏洞扫描左侧导航栏，选择“系统管理 > 配置”，选择“系统配置”页签，找到“syslog同步设置”。 3. 配置syslog同步设置参数，配置完成后，单击“确定”，即可完成Syslog外送配置。 状态：设置为“开启”。 syslog ip：配置外送目的地IP。 syslog端口：配置目的地端口。

本文介绍视频直播支持的访问控制策略。 天翼云视频直播支持如下访问控制策略： Referer防盗链和UA防盗链：根据HTTP请求头中的Referer字段或UserAgent字段对请求来源的域名及其他信息进行黑白名单控制，从而实现对用户身份的识别和过滤。Referer防盗链支持控制台自助操作，如需配置请参见：Referer防盗链。UA防盗链暂不支持自助操作，如需配置请提交工单。 IP黑白名单：通过设置黑白名单对来源IP进行相应限制。IP黑白名单支持控制台自助操作，如何配置请参见：IP黑白名单。 区域访问控制：通过允许或者拒绝指定区域的用户访问，实现访问控制。区域访问控制暂不支持自助操作，如需配置请提交工单。 时间戳防盗链：在主播推流或观众播放的URL中加上鉴权信息。主播请求直播推流或观众请求播放时，视频直播会对请求进行时效性判断，并对URL中携带的鉴权信息进行合法性判断，仅校验通过的请求予以响应，其它非法的访问将予以拒绝，从而有效地保护直播资源。更多详细信息请参见：URL鉴权。URL鉴权暂不支持自助操作，如需配置请提交工单。 远程鉴权：如果希望更安全的访问控制策略，您可通过远程鉴权实现。即由您自行搭建鉴权中心，视频直播将接收到的请求，转发到您搭建的鉴权中心进行鉴权，鉴权通过的才可以允许播放，不通过的则拒绝。更多详细信息请参见：远程鉴权。 HTTPS访问：您可以配置HTTPS证书，用户请求时通过HTTPS访问，从而使用户和直播节点之间使用HTTPS加密传输。HTTPS支持控制台自助操作，如何配置请参见：HTTPS配置。

数据类型 说明 采集和存储方式 数据用途 服务工单数据 技术类、业务类工单清单。 工单的编号、描述、问题分类、创建时间、解决时间等工单信息。 经自动化工具调用工单API查询结果，中途不存储数据，月报结果按照租户隔离存储。 自动化统计分析，生成月报“服务工单”内容。 云服务资源实例数据 客户创建的资源列表，各资源数量。 资源id、名称、状态、规格、创建时间、IP地址、使用量及服务资源相关的基本配置信息。 经自动化工具调用云服务API查询结果，中途不存储数据，月报结果按照租户隔离存储。 自动化统计分析，生成月报“资源概况”内容。 资源负载监控数据 CPU使用率、内存使用率、磁盘使用率、磁盘读写速率、 IP出口带宽、IP入口带宽、并发连接数、新建连接数、网络延迟、网络丢包率等资源监控指标。 经自动化工具调用云服务API查询结果，中途不存储数据，月报结果按照租户隔离存储。 自动化统计分析，生成月报“资源概况”内容。

此章节为您介绍数据库审计如何查询审计日志。 审计日志概述 天翼云数据库审计通过对双向数据包进行解析、识别以及还原，不仅可以对数据库操作请求进行实时审计，还可对数据库系统返回结果进行完整的还原和审计。包括SQL报文、数据库命令执行时长、执行的结果集、客户端工具、客户端IP地址、服务端端口、数据库账号、对象、执行状态、数据库类型以及报文长度等内容。 搜索审计日志 1.在菜单栏选择“查询分析 > 审计日志”进入“审计日志”页面。 2.选择“审计日志”页签，设置查询条件（时间范围、报文、资产、数据库账号、客户端IP、服务端IP、操作类型、执行状态等），单击“搜索”即可查询相关审计日志。 后续操作 导出审计日志 单击界面右上角的图标，即可将查询结果导出至本地。 查看审计日志详情 在查询结果列表中，在“操作”列下单击“详情”，可查看审计日志的详细信息。

什么是云助手？ 天翼云云助手（CTCA， Cloud Assistant）是专门为云服务器打造的原生自动化运维工具，免密码、免登录、无需使用跳板机，即可批量执行命令（Shell、PowerShell、Bat、Python等），完成运行自动化运维脚本、轮询进程、安装卸载软件、启动或停止服务、安装补丁或安装安全更新等任务。 如何使用云助手？ 您可以通过弹性云主机、物理机控制台创建及执行命令，详情请参见 云助手产品介绍 。 可以修改已经创建的命令吗？ 可以。云助手支持修改命令基本信息中的所有内容，具体步骤如下： 1. 登录 弹性云主机控制台 或 物理机控制台 ，选择左侧导航栏中的运维工具。 2. 展开运维工具下云助手标签页，选择我的命令标签页。 3. 在命令列表中选择需要修改的命令，点击修改命令按钮。 4. 在弹出的“修改命令”窗口中，编辑后单击保存即可。 为什么返回结果中显示乱码？ 云助手支持中文。出现乱码可能有以下原因： 您输入的命令内字符编码方式非 UTF8 编码，请确保采用 UTF8 编码。 您执行的命令本身输出了二进制内容等非 UTF8 编码字符，该情况与您直接在终端执行命令是同样的效果。例如，tail n4 /usr/bin/ls 命令的输出一定是包含乱码的。

本文为您介绍按量付费的计费方式。 计费说明 一种后付费模式，即先使用再付费。可0元开通和扩容资源，根据所选择的存储配置按小时计费。 如果账户欠费，资源将进入15天保留期，需要在保留期完成缴费，超过保留期，所使用资源将被关停并收回资源。 注意 根据天翼云服务开通规则，开通按量付费资源需保证账户余额大于100元。 适用场景 业务发展有较大波动性，且无法进行准确预测。 资源使用有临时性和突发性特点。 产品价格 请参考产品价格。 计费项 根据存储类型按照配置的容量空间大小计费，并非按照实际使用量计费。 注意 按量付费的文件系统在开通完成后即开始计费。 计费周期 按量付费的弹性文件服务每小时结算一次费用。 计费公式 弹性文件服务按照存储容量大小和时长计费，存储容量费用的价格单位为元/GB/小时，每小时存储费用计算公式为： 每小时存储费用 每小时单价 配置容量空间大小 实际使用时长。 例如：用户A创建完成一个500GB 标准型文件系统实例，则每次扣除的费用500（GB）0.000625（元/GB/小时） 0.3125 元。 扩容后计费 当您将已创建的按量付费的文件系统扩容之后，将按照新的扩容订单完成时间和新的文件系统容量大小进行计费，原订单失效。

本文向您介绍如何使用Debian系列弹性云主机安装图形化界面。 操作场景 为给用户提供纯净的云主机系统，目前使用的Debian系列弹性云主机默认没有安装图形化界面，若有相关需要，详见本篇内容进行安装。 约束与限制 本文所用系统为Debian 9.0.0 64位。 安装图形化界面前请确保云主机内存不小于2GB，以免出现安装失败等问题。 操作步骤 1. 远程登陆云主机后，执行以下命令对软件库进行更新和升级。 apt update apt upgrade 2. 若没有安装tasksel执行以下命令进行安装。 apt install tasksel 3. 执行以下命令使用tasksel安装gnome图形化界面并等待其安装完成。 tasksel install desktop gnomedesktop 4. 执行以下命令设置图形化界面为默认启动。 systemctl setdefault graphical.target 5. 图形化桌面安装后系统禁止root用户登陆，需要新添加子账号用于登陆图像化桌面，此处以user001为例。 adduser user001 除密码外后续信息均可回车跳过，最后输入“Y”确定。 6. 执行reboot命令重启云主机并使用步骤5中创建的子账号登陆即可完成。

使用场景 大模型API提供了接口以便用户更好地进行DeepSeek管理和应用开发。用户在开通天翼云DeepSeek云主机后，利用Open WebUI API即可实现对外提供API调用，同时也可以非常方便的实现外部大模型API接入使用。 本教程使用的GPU云主机规格如下所示，用于部署DeepSeekr1:7b模型，配置仅供参考。 plaintext cpu 16核  内存 64G GPU: NVIDIA A101 (24GB) 如需体验其它模型版本，请参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云自定义部署DeepSeek步骤二：规格选型，选择合适的云主机。 准备 参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云快速体验DeepSeek ，准备相关设备及模型资源。 认证 OpenWebUI 使用Bearer Token认证保证客户端请求的合法性，其Token为APIKEY中JWT令牌(Json Web Token)。获取API key方式如下： 1. 登录Open WebUI。 2. 选择设置>账户，选择获取或者新建API KEY。