本节主要介绍了使用IAM进行用户分权管理的场景和方法。 应用场景 某公司有多个员工需要访问、操作存储资源，由于每个员工的工作职责不同，需要的权限也不同： 将控制台登录用户和编程用户区分。 可以根据不同的职能为用户分配权限。 只有管理员可以进行较为敏感的日常操作。 不同的管理人员可以查看不同方面的保密数据。 目前该公司希望： 主管A和主管B均有保密数据的查看权限。 主管A可以在MFA认证的情况下对IAM用户进行管理和变更。 主管B可以进行操作跟踪管理，查看账户的操作记录。 员工C和员工D可以查看存储桶的文件。 编程用户可以对存储桶上传文件。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体方法 IAM用户分组及对应权限策略如下表所示。 IAM用户组 包含用户 策略说明 访问方式 ::: 保密数据权限组 主管A和主管B 查看secretBucket内的保密数据，但不可以更改。 控制台访问 IAM管理组 主管A 可以进行IAM的相关管理操作。 控制台访问 操作跟踪管理组 主管B 可以进行操作跟踪的相关管理操作，查看操作跟踪Bucket中的数据。 控制台访问 查看文件组 员工C和员工D 查看上传文件权限。 控制台访问 上传文件组 编程用户 通过API可以向指定的Bucket内写入数据。 编程访问

本节主要介绍创建网格 步骤 1 登录应用服务网格ASM控制台。 步骤 2 单击右上角“创建网格”。 步骤 3 设置如下参数，其余参数均采用默认值。 网格类型 默认为基础版。 网格名称 设置网格的名称。 Istio版本 网格支持的Istio版本。 集群 选择步骤4中创建的集群。 Istio控制面节点 如果需要高可用，建议选择两个或以上不同可用区的节点。 步骤 4 设置完成后，在右侧的配置清单中确认网格配置，单击“提交”。 创建时间预计需要1~3分钟，请耐心等待。当网格状态从“安装中”变为“运行中”，表示网格创建成功。

访问方式 天翼云提供如下方式进行云硬盘的配置和管理： 控制台：Web化的服务管理平台，即利用管理控制台来配置和管理云硬盘。 API：天翼云也支持用户通过API（Application Programming Interface）方式访问云硬盘，具体操作请参见云硬盘API参考。

访问方式 天翼云提供如下方式进行云硬盘的配置和管理： 控制台：Web化的服务管理平台，即利用管理控制台来配置和管理云硬盘。 API：天翼云也支持用户通过API（Application Programming Interface）方式访问云硬盘，具体操作请参见云硬盘API参考。

访问方式 天翼云提供如下方式进行云硬盘的配置和管理： 控制台：Web化的服务管理平台，即利用管理控制台来配置和管理云硬盘。 API：天翼云也支持用户通过API（Application Programming Interface）方式访问云硬盘，具体操作请参见云硬盘API参考。

validationrules)。 9. 服务端未知字段校验提升至 Beta版，该特性默认开启，它允许选择性地打开服务端未知字段校验。这允许删除 kubelet 的客户端校验，同时保持对未知字段请求报错的核心能力。 更多信息请参考：Kubernetes 1.25 Changelog Kubernetes 1.24 Changelog 1. Dockersmin正式从 kubelet上移除。 2. Beta APIs默认关闭，现有的 Beta APIs和其新版本将保持默认开启。 3. 支持 OpenAPI v3，该版本提供以 OpenAPI v3格式发布其 API的测试支持。 4. 存储容量和卷扩容全面可用，支持通过 CSIStorageCapacity对象暴露当前的存储容量，并通过后期绑定增强使用 CSI卷的 Pod的调度。 5. NonPreemptingPriority 提升到稳定版，此功能为 PriorityClasses增加一个新选项，可以启用和禁止 Pod抢占。 6. gRPC 探针已升级至 Beta版，该特性允许为 gRPC应用程序配置启动、存活探针和就绪探针，而无需暴露 HTTP端点或使用额外的可执行文件。 7. Kubelet 凭证提供程序进入 Beta阶段，该特性允许 kubelet 使用 exec插件动态获取容器镜像仓库的凭证，而非将凭证存储在节点的文件系统上。 8. 避免 Service IP分配发生冲突，该特性允许为 Service保留静态 IP地址范围。通过手动开启此功能，集群将从 Service IP地址池中自动分配 IP，从而降低冲突的风险。 更多信息请参考：Kubernetes 1.24 Changelog

本节介绍态势感知的应用场景。 云安全的理念是“三分建设，七分运营”，态势感知（专业版）的应用场景即是占了七分的安全运营。主要有以下几个应用场景： 日常安全运营 日常过程中，基于安全运营中关注的要素，对各个安全目标，执行各安全运营流程剧本，从而发现并消减风险，并对流程进行持续改进，避免风险再次发生。 重大保障 重大节日、假日、活动、会议期间，进行高强度724的安全保障，侧重于防攻击，保障业务可用性不因安全攻击受影响。 防护演练 国家机关单位、地方政府、企业组织的攻防演练中，进行高强度的安全防守保障，侧重于防入侵，保障不因入侵失分被问责（通报、批评等）。 安全评估 重大保障及防护演练前，信息全面的脆弱性盘点，包括白盒方式的基线评估、黑盒方式的攻击面、攻击路径探测。

前言——私有知识库作用简介 大模型私有知识库是结合大语言模型技术与企业或组织自有数据的一种知识管理和应用方案，旨在为特定用户群体提供更精准、专业且安全的知识服务。 大模型私有知识库是基于大语言模型构建的，专门服务于特定组织或个人的知识存储和检索系统。它整合组织内部的专业知识、业务数据、历史文档等，形成专属知识集合，借助大模型的强大语言理解和生成能力，为用户提供高效的知识查询和问答服务。 本教程提供一种基于开源框架的私有知识库搭建方案。如果需要构建企业级服务且对数据安全有需求，则需相关企业对该服务进行定制，以完成私有知识库的搭建。 本文介绍的方法采用了开源框架自带的数据库服务，但该方法不保证相关数据在开源框架下的安全性。请务必在上传前对敏感数据进行脱敏处理。 本教程使用的GPU云主机规格如下所示，用于部署 DeepSeekr1:70b 模型，配置仅供参考。 plaintext cpu 32核  内存 128G GPU: NVIDIA A102 (48GB) 如需体验其它模型版本，请参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云自定义部署DeepSeek步骤二：规格选型，选择合适的云主机。

前言——私有知识库作用简介 大模型私有知识库是结合大语言模型技术与企业或组织自有数据的一种知识管理和应用方案，旨在为特定用户群体提供更精准、专业且安全的知识服务。 大模型私有知识库是基于大语言模型构建的，专门服务于特定组织或个人的知识存储和检索系统。它整合组织内部的专业知识、业务数据、历史文档等，形成专属知识集合，借助大模型的强大语言理解和生成能力，为用户提供高效的知识查询和问答服务。 本教程提供一种基于开源框架的私有知识库搭建方案。如果需要构建企业级服务且对数据安全有需求，则需相关企业对该服务进行定制，以完成私有知识库的搭建。 本文介绍的方法采用了开源框架自带的数据库服务，但该方法不保证相关数据在开源框架下的安全性。请务必在上传前对敏感数据进行脱敏处理。 本教程使用的GPU云主机规格如下所示，用于部署 DeepSeekr1:70b 模型，配置仅供参考。 plaintext cpu 32核  内存 128G GPU: NVIDIA A102 (48GB) 如需体验其它模型版本，请参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云自定义部署DeepSeek步骤二：规格选型，选择合适的云主机。

前言——私有知识库作用简介 大模型私有知识库，作为大语言模型技术与企业、组织自有数据深度融合的创新知识管理及应用解决方案，能够为特定用户群体提供更为精准、专业且安全的知识服务。具体来讲，它是借助大语言模型搭建而成，专门为特定组织或个人定制的知识存储与检索系统。此系统会对组织内部的专业知识、业务数据、历史文档等各类信息进行深度整合与精细化处理，从而构建出独一无二的专属知识集合。依托大模型强大的语言理解与生成能力，用户能够在此基础上实现高效的知识查询与问答交互。 在本教程中，我们将为您详细介绍一种基于开源框架的私有知识库搭建方案。利用该方案，您可以在本地便捷地搭建起相应的私有知识库，大幅提升文本检索能力。 教程使用配置说明：C7通用型云主机 plaintext cpu 8核 内存 32G 优势 知识准确性：让模型访问定制的信息，从而提高回答的准确性和可靠性。 可解释性：检索过程可以明确指出回答所依据的信息来源，增强了回答的可解释性。 减少幻觉：降低了语言模型生成无事实依据内容（即“幻觉”）的可能性。 一、DeepSeek自部署 请参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云 自定义部署DeepSeek。

方案要点 VPC内的云主机通过NAT接入公网，避免云主机直接暴露在公网； NAT入方向DNAT仅暴露龙虾服务必须的18789端口； 将弹性公网IP加入共享带宽，实现多IP共享一份公网带宽； 资源规划 VPC及子网 资源类型 名称 网段（IPv4） 用途 VPC VPC1 10.0.0.0/8 隔离的网络环境 子网 NAT网关子网 10.0.0.0/24 部署NAT网关的子网 子网 子网1 10.0.1.0/24 部署云主机的子网 云主机 云主机名称 云主机地址（IPv4） 部署子网 规格 镜像 云主机1 10.0.1.11 子网1 规格族：经济型e 规格名称：e.large.1 云镜像市场镜像：OpenClawv2026.3.13Ubuntu24.04 云主机2 10.0.1.12 子网1 规格族：经济型e 规格名称：e.large.1 云镜像市场镜像：OpenClawv2026.3.13Ubuntu24.04 云主机3 10.0.1.13 子网1 规格族：经济型e 规格名称：e.large.1 云镜像市场镜像：OpenClawv2026.3.13Ubuntu24.04 注意 本示例采用经济型e规格的云主机实例，该类支持通过公有云生态专区应用控制台页面便捷配置，详情可参考 ++使用云主机一键部署 OpenClaw（快速版）++。 NAT网关 NAT网关名称 部署子网 NAT网关1 NAT网关子网 弹性公网IP 弹性公网IP名称 IP地址（IPv4） IP1 创建后，云平台自动分配 IP2 创建后，云平台自动分配 共享带宽 共享带宽名称 带宽值 带宽1 10M

本节主要介绍修改专享版实例 API网关专享版实例的部分基本信息以及配置参数，可以从控制台修改。 修改实例信息 专享版实例创建后，您可能需要调整实例的一些配置，比如调大出公网的带宽，以便支撑更高的API请求流量。 步骤 1 进入API网关控制台页面。 步骤 2 在左侧导航栏选择“实例管理”。 步骤 3 在待查看或编辑的实例上，单击“查看控制台”或 实例名称 。 步骤 4 在“实例信息”页签，找到您需要调整实例的基本信息项并进行修改。 表 专享版实例基本信息修改 可修改项 说明 :: 实例名称 填写实例的名称，根据规划自定义。 描述 填写实例的描述信息。 时间窗 指允许云服务技术支持对实例进行维护的时间段。如有维护需要，技术支持会提前与您沟通确认。 建议选择业务量较少的时间段。 安全组 安全组用于设置端口访问规则，定义哪些端口允许被外部访问，以及允许访问外部哪些地址与端口。 例如，后端服务部署在外部网络，则需要设置相应的安全组规则，允许访问后端服务地址与API调用监听端口。 说明： 更换安全组时，新的安全组须满足专享版实例的前端API调用以及访问后端服务所需出入规则。 如果开启公网入口，安全组入方向需要放开80（HTTP）和443（HTTPS）端口的访问权限。 弹性IP地址 指允许外部服务通过弹性IP地址，调用专享版实例创建的API。开启“公网入口”，需要绑定一个“弹性IP地址”。 您需要使用独立域名/子域名访问，使用子域名访问时存在单日访问次数限制。 可在创建API分组后，为分组绑定独立域名，独立域名需要解析到专享版实例的弹性IP。 出口地址 指允许专享版实例API的后端服务部署在外部网络，API网关为实例开启公网出口。公网出口可随时关闭或开启。 出公网带宽 出公网带宽可配置范围为1~2000Mbit/s，费用按小时计算，以弹性公网IP服务的价格为准。

服务器安全卫士根据购买的授权数量,按包年包月进行计费,分为基础版、企业版、旗舰版。 服务器安全卫士基础版为免费版本，企业版和旗舰版为付费版本，不同服务器支持开通不同版本功能，各版本功能见：产品规格。 各版本标准价格如下： 产品名称 规格 标准价格(元/月/台) 活动价(元/月/台) 服务器安全卫士 基础版 0 0 服务器安全卫士 企业版 60 36（6折） 服务器安全卫士 旗舰版 200 120（6折） 注意 活动价是标准价格的6折，具体以订购页面和控制台展示为准。

实例规格 CPU类型 连接数 QPS 平均延迟(ms) 95%延迟(ms) 99%延迟(ms) 基础Cluster版双副本24G(3分片) X86 1000 453905 1.833 2.615 3.439 基础Cluster版双副本24G(3分片) X86 3000 450359 5.568 8.647 9.999 基础Cluster版双副本24G(3分片) X86 10000 340147 27.503 38.303 236.159

访问方式 天翼云提供如下方式进行云硬盘的配置和管理： 控制台：web化的服务管理平台，即利用管理控制台来配置和管理云硬盘。 API：天翼云也支持用户通过API（Application programming interface）方式访问云硬盘，具体操作请参见云硬盘API参考。

本文介绍如何处理“访问Web时超时且系统日志打印kernel: nfconntrack: table full, dropping packet”故障。当您出现类似问题时可参考本文。 故障描述 客户端访问Web时出现超时(time out)；服务端的系统日志/var/log/messages打印“kernel: nfconntrack: table full, dropping packet”。 故障原因 iptables的connectiontracking模块使用一部分系统内存来跟踪表中的连接。系统日志打印的“nfconntrack: table full, dropping packet”表明连接跟踪表conntrack已满，无法为新连接创建条目并记录跟踪，进而出现“dropping packet”丢包问题。 解决步骤 解决方案是为连接跟踪表增加条目容量。 CentOS 6系列操作系统解决步骤 1. 查看连接跟踪表conntrack的容量参数nfconntrackmax。执行以下命令： sysctl net.netfilter.nfconntrackmax 2. 检查当前跟踪的连接数参数，如果该值达到nfconntrackmax值则会出现丢包现象。执行以下命令： cat /proc/sys/net/netfilter/nfconntrackcount 3. 增加连接跟踪表的容量参数（以内存为64G，net.netfilter.nfconntrackmax值2097152为例）。 4. 执行以下命令，使配置即时生效。 sysctl w net.netfilter.nfconntrackmax2097152 5. 执行以下命令，确保系统重启后配置仍生效。 echo "net.netfilter.nfconntrackmax 2097152" >> /etc/sysctl.conf 6. 如果conntrack表中容量显著增加，则还应增加存储conntrack的哈希表大小以提高效率。CentOS 6及以上版本中，计算公式是hashsize conntrackmax/4。设置哈希大小，执行以下命令： echo "options nfconntrack expecthashsize524288 hashsize524288" >> /etc/modprobe.conf 7. 重启iptables，执行以下命令： service iptables restart

关联详情 说明 点击“增加关联对象”，可以增加对应的关联卷、存储池（池的QoS策略）（仅集群版支持）、存储池（池内卷的默认QoS策略）（仅集群版支持）。点击“解除关联对象”可用解除对应的卷、存储池的QoS策略（仅集群版支持）、存储池内卷的默认QoS策略（仅集群版支持）。 关联卷的信息 项目 描述 卷名称 QoS策略关联的卷名称。 状态 卷的状态。 容量 卷容量。 存储模式 卷的存储类型： 本地模式：数据全部保留在本地。 缓存模式：本地保留部分热数据，全部数据异步存储到对象存储中。 存储模式：本地保留全部数据，并异步存储到对象存储中。 冗余模式 卷冗余模式（仅集群版支持）： 单副本。 两副本。 三副本。 EC N +M。 关联的存储池（存储池的QoS策略、存储池内的默认QoS策略）信息（仅支持集群版） 项目 描述 存储池名称 QoS策略关联的存储池名称。 状态 存储池状态： 正常。 删除中。 故障域级别 存储池故障域级别： 数据目录级别。 服务器级别。 机架级别。 机房级别。 容量 存储池总容量。 将鼠标放到进度条，可用显示存储池使用率。

创建APIG（专享版）触发器 说明 函数流APIG触发器目前仅支持IAM认证方式。 前提条件：需要预先创建APIG专享版实例。 1. 登录FunctionGraph控制台，进入“函数流”页面。 2. 在“函数流”流程列表页面，选择需要创建触发器的流程，单击“编辑”，进入编辑页面。 3. 单击“开始”节点，在右侧弹出的属性页面添加触发器，触发器类型选择“APIG触发器(专享版）”。 4. 填写触发器配置信息。如下表，带参数为必填项。 APIG触发器（专享版）信息 字段 填写说明 实例 专享版APIG实例名称 分组 API分组相当于一个API集合，API提供方以API分组为单位，管理分组内的所有API。 选择“APIGrouptest”。 发布环境 API可以同时提供给不同的场景调用，如生产、测试或开发。 API网关服务提供环境管理，在不同的环境定义不同的API调用路径。选择“RELEASE”，才能调用。 API类型 API类型： 路径 接口请求的路径。格式如：/users/projects 请求方式 接口调用方式：GET、POST、DELETE、PUT、PATCH、HEAD、OPTIONS、ANY 其中ANY表示该API支持任意请求方法。 5.单击“创建”，完成APIG（专享版）触发器创建。

套餐超出资费说明 如果套餐内用量用尽，高级版支持按需付费，免费版不支持。如果请求数较多，请直接订购高级版。相关资费见下表： 计费方式 说明 生效区域 规格 费用（元/百万次） 函数请求数按需 您业务实际请求数超过了套餐用量，可开通按需。 中国内地 10ms 1 函数请求数按需 您业务实际请求数超过了套餐用量，可开通按需。 中国内地 50ms 3 函数请求数按需 您业务实际请求数超过了套餐用量，可开通按需。 中国内地 100ms 5 计费示例 定价示例：网站请求个性化定制 您在CDN加速的域名，需要针对请求响应进行个性化定制。 假设您每月试用的函数请求数为2601百万次，且您的终端用户都在中国内地。 推荐订购开发者平台高级版套餐，其中高级版套餐包含100万次函数请求数。按照您的使用量，请求数将会超过100万次，超出套餐的请求数会自动按照按需计费。 计费项目 用量 费用计算（元/月） 每月总费用（元/月） 开发者平台高级版套餐 高级版套餐包含100万次函数请求数（支持10ms/50ms/100ms） 40 40 50ms规格的函数请求数超量 2600百万次 326007800 7800 总计 7840

本节介绍了为业务同时部署DDoS高防（边缘云版）和CDN加速的操作步骤。 使用场景 如果您的网站既需要进行流量型DDoS攻击的防护，同时也有对内容分发的加速需求，您可以在DDoS高防（边缘云版）的基础上，叠加CDN加速进行使用。 天翼云CDN加速（CDN，Content Delivery Network），即内容分发网络，是基于天翼云遍布全球的网络节点提供的内容分发加速服务。它将源站内容分发至最接近用户的节点，使用户可就近获取所需内容，解决因跨运营商、跨地域、服务器带宽及性能瓶颈带来的访问延迟问题，提高用户访问的响应速度和成功率。 配置前提 已分别开通DDoS高防（边缘云版）及CDN加速。 已完成天翼云CDN加速域名接入。 业务流程 由于DDoS高防（边缘云版）及CDN加速，采用统一的边缘云网络架构和底座，无需重复进行网站接入配置，并且也无需考虑不同产品串联时网络层转发的顺序问题。 （非统一架构的产品叠加，需确定不同产品之间网络层转发顺序，如先经过DDoS高防再经过CDN加速，那么DDoS的高防的回源地址需与CDN加速的接入地址相匹配，而不能直接配置为源站地址。非统一架构的产品叠加会增加网络配置复杂度。） 配置步骤 以先配置CDN加速，再配置DDoS高防（边缘云版）为例。 1. 完成CDN的域名接入配置，详细配置步骤，请参考添加加速域名。 2. 进入DDoS高防（边缘云版）控制台，在左侧导航中，点击【业务接入】【域名接入】。 3. 点击右上角【新增域名】，并填入域名信息，此时会弹窗提示"您的域名已经在CDN加速(中国内地)产品控制台新增，产品关联后才能同步网站通用配置，请确认是否关联"。 4. 点击确认后，系统会自动获取并完成网站配置，点击【确定】即可完成配置。 注意 DDoS高防（边缘云版）叠加天翼云CDN加速产品，域名需先在CDN控制台添加完成后，再在DDoS高防（边缘云版）控制台上新增。目前暂不支持先在DDoS高防（边缘云版）控制台上新增域名后，再叠加CDN加速产品。 DDoS高防（边缘云版）叠加天翼云CDN加速产品后，域名CNAME地址直接使用CDN加速提供的CNAME地址即可，无需调整。

采用防护手段、甚至业务不运行为什么仍触发DDoS封堵？ DDoS 基础防护主要针对从公网发往 IP 所在资源池的 DDoS 攻击进行防护。若您在资源池内部署了防火墙、安全组等具备一定防护能力的产品，其防护作用范围仅限于资源池内部，无法抵御来自公网的 DDoS 攻击对 IP 所在的资源池公网网络造成的影响。 即使 EIP 绑定的 ECS 云主机关机，只要 IP 已在公网暴露，仍可能因业务竞争等原因遭受来自公网的 持续DDoS 攻击。上述资源池内部防护措施均无法拦截攻击者从公网直接针对 IP 及资源池发起的 DDoS 攻击，因此无法避免 IP 触发 DDoS 封堵。 若 DDoS 基础防护提供的免费基础DDoS防护阈值无法满足业务需求，您可选择天翼云或其他第三方DDoS高防产品防护您在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类 DDoS 高防产品的防护节点部署在 IP 所在资源池外部，可将流量在资源池外的其他地域的高防资源池进行清洗，将清洗后的干净流量回注业务 IP及其所在资源池，从而不会影响资源池网络稳定，不会因超出DDoS防护阈值触发封堵，以此实现更高级别的攻击防护。

采用防护手段、甚至业务不运行为什么仍触发DDoS封堵？ DDoS 基础防护主要针对从公网发往 IP 所在资源池的 DDoS 攻击进行防护。若您在资源池内部署了防火墙、安全组等具备一定防护能力的产品，其防护作用范围仅限于资源池内部，无法抵御来自公网的 DDoS 攻击对 IP 所在的资源池公网网络造成的影响。 即使 EIP 绑定的 ECS 云主机关机，只要 IP 已在公网暴露，仍可能因业务竞争等原因遭受来自公网的 持续DDoS 攻击。上述资源池内部防护措施均无法拦截攻击者从公网直接针对 IP 及资源池发起的 DDoS 攻击，因此无法避免 IP 触发 DDoS 封堵。 若 DDoS 基础防护提供的免费基础DDoS防护阈值无法满足业务需求，您可选择天翼云或其他第三方DDoS高防产品防护您在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类 DDoS 高防产品的防护节点部署在 IP 所在资源池外部，可将流量在资源池外的其他地域的高防资源池进行清洗，将清洗后的干净流量回注业务 IP及其所在资源池，从而不会影响资源池网络稳定，不会因超出DDoS防护阈值触发封堵，以此实现更高级别的攻击防护。

接口功能介绍 基线检测查询应用凭证列表 接口约束 无 URI POST /v1/appProof/queryList 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 currentPage 是 Integer 分页当前页码 1 pageSize 是 Integer 每页大小 10 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 total Integer 总数 100 list Array of Objects 结果集 list pageNum Integer 当前页 1 pageSize Integer 每页的数量 10 表 list 参数 参数类型 说明 示例 下级对象 agentGuids Array of Strings guid列表，effectScopeOPTIONAL自选时必填 ["111111"] effectScope String 作用范围 ALL全选 OPTIONAL自选 ALL user String 用户名 test password String 密码 密文 asasdaa port String 端口 3306 appType String {MYSQLMYSQL} MYSQL id String 编辑时传输主键 AP10201230131 status Integer 状态，1启用 0未启用 1 privateIp String 私有ip 192.168.1.1 publicIp String 公有ip 131.168.1.12 custName String 主机名称 ecmhostname hostName String 主机名称 ecmhostname displayName String 实例名称 ecmdisplayname osType String 操作系统类型 Linux count Integer 机器数量 5

了解存储资源盘活系统软件计费方式。 HBlock提供30天试用期，到期后请联系HBlock软件供应商获取软件许可证，获取的时候需要提供HBlock序列号（可以通过命令./stor info serialid 获取）。取得软件许可证后，执行./stor license add { k key } KEY导入软件许可证。 注意 试用期过期，无法再使用命令行、API或者Web页面执行HBlock的管理操作。 存储资源盘活系统通过购买软件许可证的方式进行计费，软件许可证类型分为订阅模式和永久许可模式。 注意 软件许可证一经交付，立即生效，不支持退订。 软件许可证有效期内提供远程维保服务，解决用户在使用HBlock过程中遇到的问题，如安装、使用、故障排查等。如果需要进行现场专家支持、定期巡检等服务，需要额外购买。 订阅模式 控制产品提供的本地卷的存储容量以及有效时长，按照容量和时长收费，到期后管理功能不可用，即无法再使用命令行、API或者Web页面执行HBlock的管理操作。 订阅模式可以选择自定义容量计费和固定容量包计费。 说明 订阅模式包年优惠政策：1年8.5折扣，2年7折，3年至5年5折。 续订方法：支持续订，续订支持的周期、价格、包年优惠政策与新购一致。您可以在“费用中心”>“订单管理”>“续订管理”中进行续订。

场景举例： 安全组默认拒绝所有来自外部的请求，创建好弹性云主机后，您可以使用ping程序测试弹性云主机之间的通讯状况，则您需要添加安全组规则放通ICMP协议端口。 安全组配置方法： IP版本 授权策略 协议 方向 端口范围 源地址 IPv4 允许 ICMP 入方向 Any 0.0.0.0/0 弹性云主机做Web服务器 场景举例： 如果您在弹性云主机上部署了网站，即弹性云主机作Web服务器用，希望用户能通过HTTP或HTTPS服务访问到您的网站，您需要在弹性云主机所在安全组中添加以下安全组规则。 安全组配置方法： IP版本 授权策略 协议 方向 端口范围 源地址 IPv4 允许 TCP 入方向 80（HTTP） 0.0.0.0/0 IPv4 允许 TCP 入方向 443（HTTPS） 0.0.0.0/0 弹性云主机做DNS服务器 场景举例： 如果您将弹性云主机设置为DNS服务器，则必须确保TCP和UDP数据可通过53端口访问您的DNS服务器。您需要在弹性云服务器所在安全组中添加以下安全组规则。 安全组配置方法： IP版本 授权策略 协议 方向 端口范围 源地址 IPv4 允许 TCP 入方向 53 0.0.0.0/0 IPv4 允许 UDP 入方向 53 0.0.0.0/0 使用FTP上传或下载文件

本小节介绍证书管理服务证书部署类常见问题。 SSL证书对服务器端口是否有限制？ 证书签发前：证书签发前的域名验证阶段，如使用的是文件验证，必须通过http 80端口/https 443 端口 来完成文件验证。 证书签发后：部署证书阶段对服务器端口没有限制，证书只匹配域名，不限制端口。 注意 证书部署在 https 443的默认端口，则 域名加端口的形式去访问 SSL证书支持在哪些服务器上部署？ SSL证书不限制部署环境，只要对应web服务器运行的中间件支持ssl模块来部署证书即可。 说明 常见的部署环境比如：支持在云防护平台、WAF、VPN、F5等设备上使用该证书，支持包括Apache、Nginx、IIS、Tomcat等主流web服务器 SSL证书支持在哪些地域部署？ 证书签发后会获取一对证书公私钥文件，只要部署环境的域名与证书域名一致，即可使用。 如何验证部署的SSL证书是否生效？ 直接浏览器访问对应网址，访问到的证书是匹配的证书即可。步骤如下：

本节介绍如何查看服务器安全卫士（原生版）资产概览信息。 资产概览页面为您提供服务器资产概况、服务器防护情况、服务器资源池分布、服务器资产指纹等统计信息，可以帮助您了解资产的分布情况、防护状态及安全风险。 查看资产概览 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 概览”，进入资产概览页面。 3. 查看资产统计信息。 防护情况统计 为您展示全部服务器数量、免费版防护服务器数量、企业版防护服务器数量、旗舰版防护服务器数量；Agent在线率、在线Agent数量、离线Agent数量。 资产指纹统计 展示服务器开放端口、账号、服务器运行进程、服务器运行软件、自启动项的数量，以及Top5信息。 单击对应模块的数字，会跳转至对应的“资产指纹”页面。 说明 基础版仅支持查看端口、账户资产指纹信息，如需查看其他指纹信息，需要购买或升级到企业版、旗舰版，具体操作请参见 资产分布 展示各个区域主机资产的分布情况。 防护版本 展示使用基础版（免费版）、企业版、旗舰版防护服务器数量。 Agent状态 展示Agent在线和离线状态的服务器数量。 操作系统 展示服务器操作系统分布情况，包括Linux和Windows系统。

本文向您介绍如何配置独享型负载均衡器的保护模式。 您可以对负载均衡器开启修改保护和删除保护功能，防止因误操作导致负载均衡器的配置被修改或负载均衡器被删除。 删除保护 ：开启删除保护，防止因误操作导致负载均衡器被删除。如果您需要删除负载均衡器，请确认关闭删除保护开关。 修改保护 ：开启修改保护，防止因误操作导致负载均衡器的配置被修改。如果您需要修改负载均衡器的配置或删除负载均衡器，请确认关闭修改保护开关。 开启或关闭删除保护 1. 进入弹性负载均衡列表页面。 2. 在弹性负载均衡列表页面，单击需要配置删除保护的负载均衡器名称。 3. 切换到负载均衡实例的“基本信息”页签，开启或关闭“删除保护”开关。 注意 如果您的负载均衡实例由云容器引擎服务（CCE）管理，修改负载均衡实例的配置将会影响集群的运行，请您谨慎操作。 4. 删除保护开启后，您将无法删除该负载均衡实例，其余操作不受影响。 开启或关闭修改保护 1. 进入弹性负载均衡列表页面。 2. 在弹性负载均衡列表页面，单击需要配置修改保护的负载均衡器名称。 3. 切换到负载均衡实例的“基本信息”页签，单击修改保护右侧的“设置”。 4. 在设置修改保护的弹窗中，开启或关闭“修改保护开关”。 建议您填写“添加修改保护原因”。 注意 如果您的负载均衡实例由云容器引擎服务（CCE）管理，修改负载均衡实例的配置将会影响集群的运行，请您谨慎操作。 5. 单击“确定”。 修改保护开启后，您将无法修改负载均衡实例的配置且无法删除该负载均衡实例，其余操作不受影响。

本文介绍SQL Server任务列表的功能和操作方法。 背景信息 SQL Server控制台提供任务列表的功能，旨在为用户提供便捷的任务管理操作，提供运维效率。任务列表提供任务列表，能够实时查看任务类型、进度、时间等关键信息，同时能够根据任务状态快速筛选匹配任务。 在任务列表管理的任务类型具体如下： 创建实例 重启实例 应用参数模板 修改参数 主备切换 备份数据 恢复数据 数据空间扩容 实例规格扩容 备份空间扩容 退订实例 续订实例 实例类型扩容 启动实例节点 停止实例节点 删除手动备份 修改端口 删除跨域备份 实例规格缩容 冻结对象存储备份 解冻对象存储备份 存储空间自动扩容任务提交 实例规格自动扩容任务提交 实例规格自动缩容任务提交 开启SSL 关闭SSL 迁移可用区 按需转包周期 包周期转按需 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 任务列表】，进入任务中心页面。然后在顶部菜单栏，选择区域和项目。 3. 在任务列表上方，选择任务开始时间、关键字（任务ID、任务类型、实例ID）、任务状态等筛选条件可以查询出符合条件的目标任务。 4. 对于筛选出的符合条件的目标任务，将在页面上显示其对应的任务类型、资源ID、任务状态、任务进度、任务开始时间及任务结束时间。

帮助您了解如何生成护航版服务序列号及服务序列号的作用。 操作场景 服务序列号用于唯一标识本次服务，安全服务经理在服务过程中，会向您索要服务序列号，用于标识本次服务已进入服务阶段。 前提条件 已订购护航版服务。 操作步骤 在服务概览页面，可查看订购记录，可以生成并查看服务序列号。 1. 登录托管检测与响应服务（原生版）控制台。 2. 在左侧导航栏，选择“服务概览”，进入服务概览页面。 3. 选择“护航版”页签，找到目标订单，点击“生成”按钮，可生成服务序列号。 4. 单击“服务序列号”列的“复制”，即可复制已生成的服务序列号。

本章节主要介绍数据治理中心的约束与限制。 浏览器限制 您需要使用支持的浏览器版本登录DataArts Studio。 表1 浏览器兼容性 浏览器版本 建议版本 建议操作系统 备注 Google Chrome 115，114，113 Windows 10 分辨率最佳可视范围为最小1366768px，最大为19201080px。其中19201080px为最佳显示分辨率，界面自适应为最优显示。 使用限制 使用DataArts Studio前，您需要认真阅读并了解以下使用限制。 表2 DataArts Studio使用限制一览表 组件 约束限制 公共 DataArts Studio基于数据湖底座提供数据一站式集成、开发、治理等能力，本身不具备存储和计算的能力，需要配合数据湖底座使用。 每个企业项目下最多绑定一个DataArts Studio实例。当企业项目下已绑定实例时，再次创建实例会失败。 DataArts Studio各组件对不同数据源的支持程度不一，您需要按照您的业务需求来选择数据湖底座。DataArts Studio平台当前支持的数据湖产品请参见“DataArts Studio用户指南 > 管理中心 > DataArts Studio支持的数据源”。 管理中心 由于管理中心的限制，数据治理各组件（如数据架构、数据质量、数据目录等）暂不支持包含中文和“.”字符的库表名。 建议为管理中心数据连接的Agent和CDM迁移作业规划相互独立的CDM集群，避免双方使用同一集群，导致业务高峰期时资源抢占引起业务不可用。 CDM集群作为管理中心数据连接Agent时，单集群无法连接多个MRS安全集群。建议您按照业务情况规划多个Agent与MRS安全集群一一映射。 CDM集群作为管理中心数据连接Agent时，单集群的并发活动线程最大为200。即当多个数据连接共用同一Agent时，通过这些数据连接提交SQL脚本、Shell脚本、Python脚本等任务的同时运行上限为200，超出的任务将排队等待。建议您按照业务量情况规划多个Agent分担压力。 单工作空间允许创建的数据连接个数最多200个。 管理中心相关开放API并发限制为100qps。 数据集成 CDM作业支持自动备份和恢复，将备份数据存储到OBS中，该功能需要您手动开启。详情请参见用户指南中“数据集成 > 管理作业 > 作业配置管理”章节。 CDM作业本身无配额限制，但建议作业数不超过CDM集群的vCPU核数2，否则作业运行性能可能会受到一定影响。 数据集成CDM集群为单集群部署，集群故障可能会导致业务、数据损失。建议您使用数据开发作业CDM Job节点调用CDM作业，并选择两个CDM集群以提升可靠性。详情请参见用户指南中“数据开发 > 节点参考 > CDM Job”章节。 当所连接的数据源发生变化（如MRS集群扩容等情况）时，您需要重新编辑并保存该连接。 在驱动更新场景下，上传驱动后必须在CDM集群列表中重启集群才能更新生效。 单作业的抽取并发数取值范围为1300，集群的总抽取并发数取值范围为11000。其中集群最大抽取并发数的设置与CDM集群规格有关，并发数上限建议配置为vCPU核数2，作业的抽取并发数建议不超过集群的总抽取并发数，过高的并发数可能导致内存溢出，请谨慎修改。 关于数据集成中的更多约束限制，请参考用户指南中“数据集成> 约束与限制”章节。 数据开发 数据开发脚本、作业等资产支持备份管理，将备份数据存储到OBS中，该功能需要您手动开启。详情请参见用户指南中“数据开发 > 运维调度 > 备份管理”章节。 脚本、作业或节点的历史运行记录依赖于OBS桶，如果未配置测试运行历史OBS桶，则无法查看历史运行的详细信息。 上传资源时，如果资源位置为HDFS，则只支持MRS Spark，MRS Flink Job，MRS MapReduce节点使用该资源。 单工作空间允许创建的脚本个数最多1万个，脚本目录最多5000个，目录层级最多为10层。 单工作空间允许创建的作业个数最多1万个，作业目录最多5000个，目录层级最多为10层。 RDS SQL、DWS SQL、HIVE SQL、SPARK SQL、DLI SQL脚本执行结果页面展示最多1千条，且数据量少于3MB。超过1千条数据可以使用转储功能，转储最多支持1万条。 实例监控、补数据监控只能展示最近6个月的数据。 通知记录只能展示最近30天的数据。 下载中心的下载记录会每7天做老化处理，老化时下载中心记录和已转储的OBS数据会同时被删除。 数据架构 数据架构当前支持关系建模和维度建模（仅支持星形模型）这两种建模方式。 数据架构支持最大导入文件大小为4Mb；支持最大导入指标个数为3000个；支持一次最大导出500张表。 码表和数据标准的根目录下禁止直接创建码表和数据标准。 单工作空间中创建各类对象的配额如下： l主题5000个。 l数据标准目录500条，个数20000个。 l业务指标100000个。 l原子指标、衍生指标、复合指标各5000条。 配置中心中各类对象的自定义项配额如下： l主题自定义项10条。 l表自定义项30条。 l属性自定义项10条。 l业务指标自定义项50条。 数据质量 数据质量作业执行时长依赖数据引擎，如果底层数据引擎资源不足，可能会导致运行速度变慢。 单个数据质量作业最多可以配置50条规则，如有需要可拆分为多个质量作业。 单个数据连接上的质量作业关联SQL的并发数默认为1000，如果超出则等待排队执行。可配置范围101000。 单Region内的质量作业关联SQL的并发数为10000，如果超出则等待排队执行。 业务指标监控模块总览中的实例运行状态和实例告警状态支持按照7天展示，告警趋势、业务看板、指标看板支持按照7天、15天和30天展示。 数据质量监控模块总览中的变化趋势支持按照30天展示，质量告警分类趋势和规则数量趋势支持按照7天展示。 质量报告采用T+1日定时批量生成，质量报告数据保留90天。 导出质量报告至OBS，会将质量报告导出到工作空间中配置的作业日志OBS路径中，导出记录保留3个月。 数据目录 单工作空间中元数据采集任务最多创建100个。 元数据采集任务通过执行引擎相关的DDL SQL获取，不建议单个任务采集超过1000张表。如有需要可拆分为多个采集任务，另外调度时间和频次也需要根据业务需要进行合理设置，避免对引擎造成较大的访问和连接压力，设置建议如下： l若业务对元数据时效性要求为1天，则设置调度周期max(1天，单次采集周期时间)，其他情况同理。 l若业务压力集中在白天，则设置调度时间在夜间，其他情况同理，选择数据源压力最小的时间段。 数据血缘的产生依赖于数据开发中调度运行的作业，测试运行的作业不会产生血缘。 元数据采集模块总览中的数据连接历史统计支持按照7天、15天和30天展示。 数据服务 数据服务共享版仅供开发测试使用，专享版性能优于共享版，推荐使用数据服务专享版。 DataArts Studio实例下最多支持创建5个数据服务专享版集群，且集群需要与某个工作空间绑定，不能多空间共用同一集群。 数据服务专享版集群创建后暂不支持修改规格或升级版本。 DataArts Studio实例下支持创建的专享版API最大数量由数据服务专享版API总分配配额（默认为5000）和当前实例下集群的API规格总和共同决定，取较小的作为限制。例如，某DataArts Studio实例下的数据服务专享版API总分配配额为5000，已分别创建了API规格为500和2000的两个集群，则当前实例下支持创建的专享版API最大数量为2500。 单工作空间下支持创建的专享版API最大数量由数据服务专享版API已分配配额（通过编辑工作空间信息分配）和当前空间下集群的API规格总和共同决定，取较小的作为限制。例如，某工作空间下的数据服务专享版API已分配配额为800，当前工作空间下已创建了API规格为500的两个集群，则当前工作空间下支持创建的专享版API最大数量为800。 单工作空间下支持创建的应用数量为1000。 单工作空间下支持创建的流控策略数量为500。 数据服务支持跟踪并保存事件。对于每个事件，数据服务会报告事件发生日期、说明、时间源（某个集群）等信息，事件保存时长为30天。 数据服务专享版日志信息仅查询集群最近100条访问记录，均分至集群全部所属节点中获取。 总览中的调用趋势、发布趋势、调用比率 top5、调用时间 top5和调用次数 top5支持按照近12小时、近1天、近7天和近30天展示，总调用数为前7天数据总和（不含当天）。

本节介绍网页防篡改（原生版）产品操作相关常见问题。 如何使用网页防篡改（原生版）？ 首先需要根据所需防护的服务器上的网站情况，订购网页防篡改（原生版）配额，每台服务器需订购1个配额。订购成功后，根据您的网站情况进行防护策略的配置，即可开启网页防篡改（原生版）防护服务。 如何绑定网页防篡改防护配额？ 1. 购买成功防护配额后，可在防护配额管理页面查看配额的使用状态、绑定服务器、开通时间、到期时间等信息。 2. 在防护管理页面对需要防护的服务器进行防护设置，在防护设置页面选择防护配额，即可进行绑定。详细操作请参见防护管理。 为什么要添加防护目录？ 通常攻击者对网站发起攻击都会恶意篡改网页目录中的文件，因此需要添加网站防护目录，网页防篡改（原生版）才能实时监控，发现篡改行为后可以立即告警并自动恢复。 设置防护目录操作步骤如下： 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“网页防篡改（原生版） > 防护管理”，进入防护管理页面。 3. 在列表中选择要进行防护设置的服务器，单击操作列的“防护设置”，进入防护设置页面。 4. 绑定防护配额：选择需要绑定的配额后，单击“配置防护策略”。 若已经绑定防护配额，可直接进入篡改防护设置页面。 5. 篡改防护设置：包括配置防护目录、设置特权进程、设置远端备份。 配置防护目录：防护目录分为添加白名单和添加黑名单两种模式，可根据实际使用场景进行配置。 白名单模式：会对添加的防护目录和文件类型进行保护。 黑名单模式：会防护目录下所有未排除的子目录、文件类型和指定文件。 其他配置 ：请参见防护管理。 完成防护设置后，用户即可对服务器开启网页防篡改防护。