本节主要介绍分配委托权限（被委托方操作） 当其他帐号与您创建了委托关系，即您是被委托方，默认情况下只有较大权限的用户（帐号本身以及admin用户组中的成员）可以管理委托资源，如果您需要普通IAM用户帮助您管理委托，可以将管理委托的权限分配给IAM子用户。 如果您有多个委托关系，可以授予IAM用户较大的委托权限，即管理所有的委托，也可以授予IAM用户精细的权限，仅管理指定的委托，即IAM用户进行角色切换时，仅能切换到被授权的委托中，不能切换其他委托，您可以创建细粒度的委托权限，授权IAM用户管理指定的委托。 前提条件 已有天翼云账号与您创建了委托关系。 您已经获取到委托方的账号名称、所创建的委托名称以及委托ID。 操作步骤 步骤 1 创建用户组并授权。 1. 被委托方使用天翼云帐号登录天翼云官网。 2. 单击首页顶部控制台，在控制中心页面“管理与部署”分类中，单击“统一身份认证服务”。 3. 在统一身份认证服务左侧导航窗格中，单击“用户组”。 4. 在“用户组”界面中，单击“创建用户组”，在跳转页面中再次单击“创建用户组”。 5. 在弹出框中输入“用户组名称”、“描述”。 6. 单击“确定”，返回统一身份认证服务的用户组列表页面，用户组列表中显示新创建的用户组。 7. 单击新建用户组右侧的“授权”。 8. 创建自定义策略。 说明 如果需要授予IAM用户精细的委托权限，仅管理指定的委托，请执行以下步骤创建细粒度的委托权限。如果不需要进行精细的委托授权，授予IAM用户管理所有的委托权限，请跳过该步骤，直接执行下一步骤。 a. 在选择策略页面，单击权限列表右上角“新建策略”。 b. 输入“策略名称”。 c. “策略配置方式”选择“JSON视图”。 d. 在“策略内容”区域，填入以下内容： { "Version": "1.1", "Statement": [ { "Action": [ "iam:tokens:assume" ], "Resource": { "uri": [ "/iam/agencies/agencyTest" ] }, "Effect": "Allow" } ] } 说明 "agencyTest"需要替换为待授权委托的Name，需要提前向委托方获取，其他内容不需修改，直接拷贝即可。 本文简要讲述快速完成委托细粒度授权的必要操作，更多权限内容，详情请参考“权限管理”章节。 e. 单击“下一步”，继续完成授权。 9.选择上一步创建的自定义策略或者“Agent Operator”权限，单击“下一步”。 自定义策略：用户仅能管理指定ID的委托，不能管理其他委托。 “Agent Operator”权限：用户可以管理所有委托。 10.选择授权范围方案。 11.单击“确定”，用户组授权完成。 步骤 2 创建IAM用户并加入用户组。 1. 在统一身份认证服务左侧导航菜单中，单击“用户” 2. 在“用户”界面，单击“创建用户”。在跳转页面中再次单击“创建子用户”。 3. 在弹出的“创建子用户”对话框，输入“邮箱”、“用户名”、“手机号”等用户基本信息。 4. 在“所属用户组”的下拉框中，选择步骤1中创建的用户组。 5. 单击“创建”，完成IAM子用户创建。 说明 分配委托权限操作完成，新创建的IAM用户可以通过切换角色至委托方帐号中，帮助您管理委托资源。

本节主要介绍了STS临时授权功能的典型场景和具体使用方法。 应用场景 某企业X开发了一款移动应用（App），并使用OOS服务。App需要直连OOS上传或下载数据，但是App运行在用户自己的移动设备上，这些设备不受企业X的控制。企业X有如下要求： 直传数据：企业X不希望所有App都通过企业的服务端应用服务器（Application Server）来进行数据中转，而希望能够直连OOS上传或下载数据。 安全管控：企业X不希望将访问密钥（AccessKey）保存到移动设备中，因为移动设备是归属于用户控制，属于不可信的运行环境。 风险控制：企业X希望将风险控制到最小，每个App直连OOS时都必须拥有最小的访问权限且访问时效需要很短。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体操作 应用服务器在OOS上为每个APP创建一个IAM用户，并为每个IAM用户附加最小的访问权限（如调用STS接口、仅对自己目录下的资源有所有权，对于其他用户的目录无权限）。当移动应用（App）直连OOS上传或下载数据时，App需要向应用服务器申请访问凭证。应用服务器以该APP的IAM用户身份，调用STS API接口获取临时安全访问凭证，并将临时安全访问凭证传递给App，App使用临时安全访问凭证访问OOS。 具体步骤如下所示： 1. OOS为应用服务器创建IAM用户并附加权限策略。具体策略可参考下列示例： { "Version": "20121017", "Statement": [ { "Sid": "AllowListAllBuckets", "Effect": "Allow", "Action": [ "oos:ListAllMyBucket" ], "Resource": "" }, { "Sid": "AllowListYourselfFolder", "Effect": "Allow", "Action": [ "oos:ListBucket" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname" ], "Condition": { "StringLike": { "oos:prefix": [ "${ctyun:username}/" ] } } }, { "Sid": "AllowControleYourselfFolder", "Effect": "Allow", "Action": [ "oos:GetObject", "oos:ListMultipartUploadParts", "oos:DeleteObject", "oos:PutObject", "oos:DeleteMultipleObjects", "oos:AbortMultipartUpload" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname/${ctyun:username}/" ] }, { "Sid": "AllowCallSTS", "Effect": "Allow", "Action": [ "iam:GetSessionToken" ], "Resource": "" } ] } 2. APP向应用服务器申请临时访问凭证。 3. 应用服务器调用STS接口获取临时安全访问凭证。 请求示例 POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn xamzdate: Tue, 21 Aug 2012 17:54:50 GMT ContentMD5: 8dYiLewFWZyGgV2Q5FNI4W Authorization:AWS fad0e782cd5132563e38:xQE0diMbLRepdf3YB+FIEXAMPLE ContentLength: 445 ActionGetSessionToken&DurationSeconds129600 响应示例 HTTP/1.1 200 OK xamzrequestid: 996c76696e6727732072657175657374 Date: Mon, 1 Nov 2010 20:34:56 GMT ContentType:text/xml;charsetUTF8 ContentLength: 533 Server: CTYUN 8b2b75f5a04e458b0da3a01602e78b089528b915c2 sts.6b7fd 17b69c15f 20230427T13:52:08.282Z 62c80e3868a14804 4. 应用服务器将获取的临时安全访问凭证传递给APP。 5. APP使用临时安全访问凭证访问OOS资源，进行数据直传。 调用时输入步骤3返回的信息： AccessKeyId：sts.6b7fd SecretAccessKey：17b69c15f SessionToken：8b2b75f5a04e458b0da3a01602e78b089528b915c2 注意 由于生成的临时安全访问凭证是默认继承IAM用户的权限，所以我们在为IAM用户创建策略的时候，仅分配STS接口权限和所需操作的最小权限，不推荐分配CreateUser、CreateAccessKey、UpdateLoginProfile等权限，以防止临时安全访问凭证权限过大。

本节包含了内存优化型弹性云主机的概述、规格和适用场景。 概述 内存优化型弹性云主机内存要求高，数据量大并且数据访问量大，同时要求快速的数据交换和处理。适用于广告精准营销、电商、车联网等大数据分析场景。 规格名称 计算 磁盘类型 网络 :::: 内存优化型M7n CPU/内存配比：1:8 vCPU数量范围：296 处理器：第三代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.4GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：850万PPS 最大内网带宽：40Gbps 内存优化型M7 CPU/内存配比：1:8 vCPU数量范围：2128 处理器：第三代英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.5GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：1200万PPS 最大内网带宽：42Gbps 内存优化型M6nl CPU/内存配比：1:8 vCPU数量范围：264 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.5GHz 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：800万PPS 最大内网带宽：40Gbps 内存优化型M6 CPU/内存配比：1:8 vCPU数量范围：264 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.4GHz 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：1000万PPS 最大内网带宽：40Gbps 内存优化型M6s CPU/内存配比：1:8 vCPU数量范围：264 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.5GHz 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：850万PPS 最大内网带宽：34Gbps 内存优化型M3 CPU/内存配比：1:8 vCPU数量范围：260 处理器：英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.4GHz 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：500万PPS 最大内网带宽：17Gbps 类型 CPU基频/睿频 CPU型号 ::: M7n 2.6GHz/3.4GHz 6348 M7 3.0GHz/3.5GHz 8378A M6nl 3.0GHz/3.5GHz 6248R M6 3.0GHz/3.4GHz 6266(88HT) M6s 2.6GHz/3.5GHz 6278C M3 3.0GHz/3.4GHz 6151(72HT) 说明 对于Linux系统的弹性云主机，当v7代系以下规格的操作系统内核为5.16及以上版本时，不支持AVX指令，如需支持AVX指令，需使用低内核版本的操作系统，或变更为v7代系及以上版本的规格。 您可以通过 uname r 命令查看操作系统内核版本，也可以参考 M7n型弹性云主机搭载第三代英特尔® 至强® 可扩展处理器 ，受益于IceLake架构，性能全面提升 。 M7型弹性云主机搭载第三代英特尔® 至强® 可扩展处理器，在性能、安全、稳定性等方面全面升级，最大核数升级至128U，内存频率升级至3200MHz，适用于高内存计算应用。 M6nl型弹性云主机搭载第二代英特尔® 至强® 可扩展处理器 ，功能使用上与C6/M6完全相同。 M6型弹性云主机搭载第二代英特尔® 至强® 可扩展处理器 ，多项技术优化，计算性能强劲稳定。配套25GE智能高速网卡，提供超高网络带宽和PPS收发包能力；提供最大512GiB基于DDR4的内存实例，适用于高内存计算应用。 M3型弹性云主机基于KVM虚拟化平台，特别适合处理内存中的大型数据集，搭载英特尔® 至强® 可扩展处理器，同时搭载全新网络加速引擎，以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更高的网络性能，提供最大512GiB基于 DDR4 的内存实例，适用于高内存计算应用。 M1型弹性云主机内存要求高，数据量大并且数据访问量大，同时要求快速的数据交换和处理。适用于广告精准营销、电商、车联网等大数据分析场景。 在售：M7n、M7、M6nl、M6、M6s。

查看风险评分 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像设置”，进入镜像设置页面。 3. 选择“风险评分”页签。可以自定义设置评分项。 总分固定为100，所有评分项目总和不得超过100，所有子扣分项的分数不得超过对应评分项目的最大扣分值。 扣分规则为发现即扣分，不考虑该风险项的数量，例如发现高危漏洞扣25分，则无论发现多少高危漏洞都只扣除25分。 在风险评分表的右侧有各个分数段的安全分值说明。 4. 配置完成后，单击“保存”。

参数 参数说明 自动同步 开启后，将按“自动同步周期”将AD认证服务器上的用户自动同步到堡垒机用户列表中。 如果需要手动导入，详情请参见新增 自动同步周期 选择自动同步的时间周期，取值范围4~168小时。 同步内容 支持同步 登录名 、 姓名 、 手机号 、 邮箱 ，登录名为必选同步项。 同步策略 同步策略内容： 同步新建用户：如果当次同步AD用户，发现有AD认证服务器上的用户不在堡垒机用户列表中，则在堡垒机新建这个用户，认证方式为“跟随系统”。 覆盖已有用户： 如果登录名重复，则刷新用户信息，如已有本地认证，保持本地密码不变。 如果登录名不重复，但手机号重复，则导入为新的用户、更新手机号等信息，同时将原来用户的手机号置为空。 同步删除用户：如果当次同步AD用户，发现有堡垒机内的AD用户不在AD认证服务器中，则在堡垒机将这个用户事件记为“AD用户源已删除”、用户状态置为“锁定”。 默认角色 同步用户后，为同步至堡垒机的用户添加角色，默认为“访问角色”。 默认用户组 同步用户后，为同步至堡垒机的用户添加用户组，默认为空。

开头的中文内容为内容解释，并非参数。 1、创建存储类（StorageClass） 使用kubectl连接集群，创建示例yaml文件scexample.yaml： plaintext apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: cstorcsioceanfsmassivescsubpath provisioner: oceanfs.csi.cstor.com parameters: mode: subPath 协议类型，当前仅支持nfs protocol: nfs oceanfs的ID 指定子目录不是在storageClass中指定，用户需要在PVC的注解上指定subpath，如果不指定或者指定为/，则使用pv的名字作为子目录。 oceanfsUUID: b70995c84c9b5b6f188d635e801db034 子目录回收策略，仅适用于subPath模式，注意与K8S原生的存储类里的reclaimPolicy区分。 只有K8S原生的存储类里的reclaimPolicy为Delete时，该字段recyclePolicy才会真正意义上生效 RetainSubPath：保留子目录策略，删除PVC，PV会被删除，但PV关联的子目录会被保留。 DeleteSubPath：删除子目录策略，删除PVC，PV及其关联的子目录均会被删除。 不写该字段默认为RetainSubPath recyclePolicy: RetainSubPath 是否使用VPCE网络的文件系统，不写该字段默认为false，表示不使用 isVpce: "false" reclaimPolicy: Delete allowVolumeExpansion: true mountOptions: mountOptions 支持nfs的相关配置 vers3 prototcp async nolock noatime noresvport nodiratime wsize1048576 rsize1048576 timeo300 执行以下命令，创建StorageClass plaintext kubectl apply f scexample.yaml 查看创建的StorageClass： 登录“云容器引擎”管理控制台，在集群列表页点击进入指定集群。进入主菜单“存储”——“存储类”，在存储类列表查看。

本小节介绍Web应用防火墙黑白名单配置操作方法。 Web应用防火墙支持全局黑白名单，可以选择一个防护域即一级域名（选择防护域后，系统会关联这个域下面的所有域名）进行防护黑、白名单配置。 黑名单：配置了黑名单的访问源，所有访问全部屏蔽。 白名单：配置了白名单的访问源，所有访问全部放行。 新增黑白名单 1. 进入Web应用防火墙控制台。 2. 在左侧导航栏，选择“黑白名单配置”，进入黑白名单配置页面。 3. 单击“新增”，进入新增配置页面。 4. 配置黑白名单参数，具体参数说明见下表。 参数名称 参数说明 配置类型 选择“黑名单”或“白名单”。 防护域 选择一个防护域，即一级域名。如www.ctyun.com、mail.ctyun.com的防护域为ctyun.com。 防护域名 选择防护域后，系统会关联这个域下面的所有域名，黑白名单将对关联的黑白名单生效。 用户可以对关联的子域名进行手动删除/增加，精确实现对防护域下面的指定子域名进行黑白名单配置。 黑白名单类型 黑白名单类型包括IP、Referer、URL、UserAgent四种类型。 黑白名单内容 根据所选黑白名单的类型，填写黑白名单内容： IP黑白名单：输入公网IP地址，如10.10.10.10。 URL黑白名单：如访问URL为

开头的中文内容为内容解释，并非参数。 1、创建存储类（StorageClass） 使用kubectl连接集群，创建示例yaml文件scexample.yaml： plaintext apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: cstorcsioceanfsmassivescsubpath provisioner: oceanfs.csi.cstor.com parameters: mode: subPath 协议类型，当前仅支持nfs protocol: nfs oceanfs的ID 指定子目录不是在storageClass中指定，用户需要在PVC的注解上指定subpath，如果不指定或者指定为/，则使用pv的名字作为子目录。 oceanfsUUID: b70995c84c9b5b6f188d635e801db034 子目录回收策略，仅适用于subPath模式，注意与K8S原生的存储类里的reclaimPolicy区分。 只有K8S原生的存储类里的reclaimPolicy为Delete时，该字段recyclePolicy才会真正意义上生效 RetainSubPath：保留子目录策略，删除PVC，PV会被删除，但PV关联的子目录会被保留。 DeleteSubPath：删除子目录策略，删除PVC，PV及其关联的子目录均会被删除。 不写该字段默认为RetainSubPath recyclePolicy: RetainSubPath 是否使用VPCE网络的文件系统，不写该字段默认为false，表示不使用 isVpce: "false" reclaimPolicy: Delete allowVolumeExpansion: true mountOptions: mountOptions 支持nfs的相关配置 vers3 prototcp async nolock noatime noresvport nodiratime wsize1048576 rsize1048576 timeo300 执行以下命令，创建StorageClass plaintext kubectl apply f scexample.yaml 查看创建的StorageClass： 登录“云容器引擎”管理控制台，在集群列表页点击进入指定集群。进入主菜单“存储”——“存储类”，在存储类列表查看。

设备端应该配置定码率还是变码率？ 定码率（CBR，Constant Bit Rate）和变码流（VBR，Variable Bit Rate）都是视频编码中的比特率控制方式。 定码率（CBR）：摄像头每秒传输的数据量是固定的，视频内容发生变化，视频码率不变； 变码率（VBR）：摄像头根据视频内容的复杂程度自动调整码率。 选择依据： 网络带宽：网络带宽有限，并且需要确保视频传输的稳定性和一致性，则可以选择配置定码率（CBR）。CBR会以恒定的码率传输视频，不受场景复杂度的影响，因此会占用较稳定的带宽； 视频质量：对视频质量有较高的要求，且希望视频在复杂场景下具有更好的清晰度和细节表现，则可以选择配置变码率（VBR）。VBR会根据场景的复杂度和运动情况，动态调整视频码率，使得静态部分的码率较低，而动态部分的码率较高，以提高图像的质量和细节展示； 存储空间：存储空间有限，则可以选择配置变码率（VBR）。VBR 在静止（低复杂度）的画面上使用较低的码率，从而节省存储空间，而在动态的画面上使用较高的码率，以保持图像质量。 说明 一般情况下一天24小时内，摄像头静止（低复杂度）画面的时长远远超过动态（高复杂度）画面的时长。 如果对视频传输稳定性和带宽使用有较高要求，选择配置定码率（CBR）；如果对视频质量和存储空间有较高要求，选择配置变码率（VBR）。

本节介绍如何创建并管理容器进程访问策略。 添加进程阻断策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 进程控制”，进入进程控制页面。 3. 单击“添加策略”，进入添加策略页面。 4. 在添加策略页面输入策略名称（必填）和描述信息（非必填），选择或输入目标对象（支持通配符），选择策略规则。 5. 单击“保存”按钮，系统提示保存成功，安全策略设置完毕。 管理进程阻断策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 进程控制”，进入进程控制页面。 3. 查找策略：搜索框支持按策略名称、启用状态查找目的策略。 4. 策略管理：在策略列表内，支持对已添加策略进行编辑、删除、开启、关闭。

本文主要介绍 Helm模板检查 检查项内容 当前检查当前HelmRelease记录中是否含有目标集群版本不支持的K8S废弃API，可能导致升级后helm模板不可用。 解决方案 将HelmRelease记录中K8S废弃API转换为源版本和目标版本均兼容的API。 说明 该检查项解决方案已在升级流程中自动兼容处理，此检查不再限制。您无需关注并处理。

状态码 错误码 描述 200 操作成功 400 InvalidBucketName 请求中设置桶的名字不合法 400 InvalidObjectName 请求中设置对象的名字不合法 400 InvalidTag 设置标签数量太多或者标签内容长度超出限制 403 AccessDenied 用户没有权限执行操作 404 NoSuchBucket 请求参数中设置的桶不存在 404 NoSuchKey 请求参数中设置的对象key或者版本Id不存在

开发Python脚本 1. 在“数据开发 > 脚本开发”模块中创建一个Python脚本，脚本名称为“pythontest”。 2. 在编辑器中编辑Python语句并选择主机连接，单击“提交并解锁”。 说明 脚本开发区为临时调试区，关闭脚本页签后，开发区的内容将丢失。 主机连接：建立主机数据连接中创建的连接。 3. 单击“运行”执行Python语句。 4. 查看脚本运行结果。

REST API生命周期管理 在微服务架构中，API 是系统集成与对外服务的关键接口。云原生 API 网关通过提供标准 REST API，支持从 API 设计到发布再到下线的全流程管理，使开发、测试、运维等各角色都能以统一方式高效管理接口。 WebSocket流量代理 WebSocket 协议支持客户端与服务器之间的持续、双向通信，具备连接持久性强、延迟低的优势。在K8s集群外部访问WebSocket服务时，云原生API网关作为入口，负责接收外部请求，进行认证鉴权、安全防护、流量管控等一系列自定义扩展处理，并根据预定义的路由规则将流量转发至对应的后端服务。 提供丰富的认证鉴权能力，降低安全接入成本 在云原生架构中，API网关作为统一入口，需要对所有外部请求进行身份认证和权限校验。云原生API网关支持 WT、HMAC、API Key、Basic等多种认证方式，并可对接OAuth2等外部认证服务，适配不同接入方的安全需求。 AI 代理 随着人工智能技术的快速发展，越来越多的企业开始将AI应用于各个业务场景，以提升效率、优化决策并创造新的价值。然而，企业在应用AI的过程中也面临着诸多挑战，例如模型管理复杂、数据安全风险等。AI网关是企业应用AI的桥梁，它充当着连接企业应用与AI模型、算法和数据的中间层，为企业提供安全、高效、可扩展的AI能力接入和管理服务。

启用产品集成，并接入安全产品数据后，您可以管理集成列表，并可查看从产品接收的统计结果数量。 查看产品集成列表 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版） > 安全产品集成”，进入产品集成管理页面。 3. 选择“集成类型”和“探测状态”。 集成类型分为“检测结果类产品集成”、“调查分析类产品集成”。 探测状态分为“探测正常”、“探测异常”、“从未探测”、“停止探测”。 4. 选择“产品名称”、“产品类型”或“公司名称”筛选条件。 5. 在搜索框输入关键字，单击搜索按钮，即可查看到满足条件的产品。 查看产品集成结果 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版） > 安全产品集成”，进入产品集成管理页面。 3. 查询目标产品。 选择“已集成”、集成类型和探测状态，查找符合条件的产品。更多查询方式请参见查看产品集成列表。 4. 查看接收结果数量。 在目标产品列框，可查看从该产品的接收的全部和近一小时接收的结果数量。 单击“查看”，可跳转到“全部结果”管理页面，呈现该产品的检测结果列表。更多检测结果说明，请参见查看全部检测结果。

本章节介绍天翼云边缘重保服务的常见通用类问题。 如何获得天翼云边缘重保服务？ 请联系专属客户经理提交服务开通申请，或者拨打天翼云客服电话4008109889进行订购，天翼云将根据您在天翼云上的产品及业务类型进行审核确认。 天翼云边缘重保服务具体针对哪些产品提供服务？ 天翼云边缘重保服务目前覆盖的产品范围为：CDN 加速、视频直播、全站加速、边缘安全加速平台、安全加速、Web 应用防火墙（边缘云版）、DDoS 高防（边缘云版）、智能边缘云，不同服务版本可支持产品差异详见服务版本差异一览表。 天翼云边缘重保服务目前提供哪些服务版本？不同服务版本之间有何差异？ 天翼云边缘重保服务提供体验版、基础护航服务、尊享护航服务、安全护航服务、尊享安全护航服务五个服务版本，不同版本差异详见服务版本差异一览表。 若某场需要重保的活动中，同时使用了边缘安全加速平台和视频直播产品，是否需要重复订购不同版本的边缘重保服务？ 无需重复订购， 每一个服务版本均可支持其所覆盖范围中的一款或多款产品，请根据实际保障方式和需要保障的产品列表按需选择对应版本进行订购即可。

本节介绍插件市场用户指南。 概述 分布式容器云平台提供了多种类型的插件，方便用户安装使用，满足集群特定的功能需求，类型包括：核心组件、存储、网络、应用管理、监控、安全等。 插件介绍 插件名称 插件类型 插件简介 cubeschedulerplugins 核心组件 自定义调度插件 cubenodelocaldns 网络 DNS缓存和加速DNS解析 nginxingresscontroller 网络 Ingress控制器 multus 网络 Pod多网卡CNI whereabouts 网络 为Pod分配IP地址 cstorcsi 存储 支持天翼云存储的CSI（容器存储接口） cubemetricsserver 监控 基础资源指标 cubemetricsadapter 监控 自定义指标 cubecronhpa 应用管理 定时伸缩 cubeverticalpodautoscaler 应用管理 Pod垂直伸缩 cubevolcano 应用管理 批处理调度 cubeopenkruis 应用管理 提供工作负载的增强功能 argoworkflow 应用管理 工作流 cubesecurity 安全 安全管理策略 certmanager 安全 k8s服务域证书管理 nodeproblemdetector 其它 节点问题检测 cubelxcfsplugin 其它 提供容器的资源相关信息

本章节主要介绍操作类问题中有关集群创建的问题。 如何使用自定义安全组创建MRS集群？ 使用自定义安全组创建MRS集群有以下两种方式： 用户购买集群时，选择使用自己创建的安全组时，需要放开9022端口。 用户购买集群时，安全组选择“自动创建”。 创建MRS集群时，为什么找不到HDFS、Yarn、MapReduce组件？ HDFS、Yarn和MapReduce组件包含在Hadoop组件中，当创建MRS集群时无法看到HDFS、Yarn和MapReduce组件，勾选Hadoop组件并等待集群创建完成后即可在“组件管理”页签看到HDFS、Yarn和MapReduce组件。 创建MRS集群时，为什么找不到ZooKeeper组件？ 创建MRS 3.x之前版本集群时，ZooKeeper组件为默认安装的组件，不在创建集群的界面上显示。 集群创建完成后可在集群“组件管理”页签看到ZooKeeper组件。 创建MRS 3.x及之后版本集群时，可以在创建集群的界面看到ZooKeeper组件，并默认勾选。

产品名称 规格/版本 说明 综合安全网关 标准版 每个服务支持1000并发，可叠加，最多支持购买10个，建议搭配EIP使用 密钥管理 企业版 提供安全、可靠的密钥管理服务。 密钥管理购买后保存的密钥请在 数据加密网关 标准版 提供重要数据的加密和解密服务，满足密评中对重要数据传输和存储的机密性要求。 协同签名服务 标准版 每个服务支持1000并发，可叠加，最多支持购买10个。 数字证书认证系统 标准版 支持1万证书签发，5个CA，兼容RSA、ECC、SM2算法。 时间戳服务 标准版 为信息系统提供精准、安全和可信时间认证服务。

云间高速（CTEC，Express Connect）产品是指依托于中国电信建设的资源池互联专网，将天翼云资源池连为一体，为客户提供跨地域云资源之间的安全、高速、便捷的网络互联通道。云间高速产品分为两个子产品：云间高速（标准版）和云间高速（尊享版）。 云间高速（标准版）产品承载于资源池互联专网上的MPLS VPN专网，采用Overlay网络解决方案，通过VxLAN技术实现网络间隔离，为客户实现安全、稳定的跨域天翼云资源池间的私网互联。 云间高速（尊享版）产品承载于资源池互联专网，采用Underlay网络解决方案，每个客户专项独占MPLS VPN，可自定义跨域多资源池组网的网络拓扑，实现安全、稳定、灵活的私网互联。

介绍分布式消息服务MQTT实例列表内容。 操作说明 1、 进入控制台查看已购买的实例列表，若列表为空，可点击右上角【订购实例】进入购买页面，创建实例详情见具体操作步骤。 2、 支持按照实例名称查询，输入查询内容，点击【查询】按钮即可展示需要的实例数据。 3、 查看实例基本信息，包括实例ID、规格、计费模式、创建时间、到期时间、状态。其中状态说明见下文。 运行状态 1、 登录管理控制台。 2、 进入MQTT管理控制台。 3、 当前页面会列出所购买的MQTT实例，并查看状态，状态说明如下 状态 说明 运行中 MQTT实例正常运行状态。在这个状态的实例可以运行您的业务。 已关闭 MQTT实例处于故障的状态。 变更中 MQTT实例正在进行规格变更操作。 变更失败 MQTT实例处于规格变更失败状态。 暂停 MQTT实例处于已冻结状态，用户可以在“更多”中续费开启冻结的MQTT实例。 注销 MQTT实例已经过期并关闭，需要重新购买实例。 回收站 1、实例退订后，在回收站可查看已退订实例。 2、回收站实例销毁。 点击回收站实例列表“销毁”，进入实例销毁页面，提交订单。

通过kubectl命令行使用并行文件动态存储卷 注意 1. 以下配置仅支持CSI版本4.0及其以上，您可以先在插件市场对CSI插件升级，再按照以下配置编写yaml。 2. 以下参数为建议配置，您可在存储产品的支持范围内，根据自身实际情况进行调整。 3. 部分参数由于不常用，示例中以 开头，未放开该参数，如有需求，请您根据实际需求使用。 4. 部分 开头的中文内容为内容解释，并非参数。 1、创建存储类（StorageClass） 使用kubectl连接集群，创建示例yaml文件scexample.yaml： plaintext apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: cstorcsihpfsperfsc provisioner: hpfs.csi.cstor.com parameters: HPFS的产品类型，性能型 type: hpfsperf 挂载协议，不填默认为hpfs protocol: hpfs 集群名称，可不填，默认不填则为随机选择集群 使用前咨询并行文件产品，是否该资源池开启该功能 clusterName: nm0001 性能基线（MB/s/TB），可不填，默认的性能基线咨询并行文件产品 使用前咨询并行文件产品，是否该资源池开启该功能 baseline: "200" 包年包月的类型，当为year表示以年为单位，为month表示以月为单位，只能填写year或者month 如果没有这个字段，则默认为按需计费 cycleType: year 包年包月的周期数，例如当cycleType为year，那么cycleCount为2则表示2年，只能填写正整数 当配置了cycleType，那么cycleCount才会生效

define OBS sink server.sinks.obssink.type hdfs server.sinks.obssink.hdfs.path obs://esdkctestpfs1/testFlumeOutput server.sinks.obssink.hdfs.filePrefix %[localhost] server.sinks.obssink.hdfs.useLocalTimeStamp true set file size to trigger roll server.sinks.obssink.hdfs.rollSize 0 server.sinks.obssink.hdfs.rollCount 0 server.sinks.obssink.hdfs.rollInterval 5 server.sinks.obssink.hdfs.threadsPoolSize 30 server.sinks.obssink.hdfs.fileType DataStream server.sinks.obssink.hdfs.writeFormat Text server.sinks.obssink.hdfs.fileCloseByEndEvent false define channel server.channels.c1.type memory server.channels.c1.capacity 1000 transaction size server.channels.c1.transactionCapacity 1000 server.channels.c1.byteCapacity 800000 server.channels.c1.byteCapacityBufferPercentage 20 server.channels.c1.keepalive 60 server.sources.r1.channels c1 server.sinks.obssink.channel c1 说明 参数“server.sinks.obssink.hdfs.path”中的值为步骤2中新建的OBS文件系统。 b.使用root用户登录安装Flume客户端的节点。 c.新建“/opt/flumeInput”目录，并在该目录下新建一个内容自定义的txt文件。 d.登录FusionInsight Manager。 e.选择“集群 > 待操作集群的名称 > 服务 > Flume>配置”，在参数“flume.config.file”的“值”中单击“上传文件”，上传步骤3中“a.在本地准备“properties.properties”内容文件”准备的“properties.properties”文件，单击“保存”。 4.在OBS系统中查看结果。 a.登录OBS控制台。 b.单击“并行文件系统”，进入步骤2中创建的并行文件系统中的文件夹查看结果。

镜像与ISO的区别？ 镜像与ISO的区别， 可以理解为ISO安装光盘和电脑C盘的差别。从ISO安装系统及应用到C盘中，最终得到镜像文件。 基于ISO制作虚机镜像，首先需要创建一块虚拟磁盘，利用boot loader从ISO中的vmlinuz和initrd.img引导操作系统，然后对这块虚拟磁盘建立磁盘分区表、格式化分区、依次挂载分区，最后将ISO中的软件包安装到虚拟磁盘中即完成镜像的制作。 可以裁剪镜像吗？ 裁剪镜像是指去除镜像中不必要的组件、文件和功能，以减小镜像的大小并提高性能。然而，需要谨慎进行裁剪，因为过度裁剪可能会导致系统无法正常工作或缺少某些必要的组件。 在导入外部镜像文件时，建议尽量使用操作系统官方的发行版本，以减少可能出现的兼容性和稳定性问题。避免过度的裁剪和高度定制可以确保镜像的可靠性和可维护性。 如果您确实需要裁剪镜像，以下是一些建议： 1. 备份原始镜像： 在进行裁剪之前，务必备份原始镜像，以防出现问题时可以恢复到原始状态。 2. 了解裁剪内容： 在裁剪之前，了解您要删除的组件、文件或功能对系统的影响。确保不会删除必要的系统组件或关键文件。 3. 测试裁剪后的镜像： 在进行生产环境之前，建议在测试环境中测试裁剪后的镜像，确保它仍然能够正常运行并满足您的需求。 4. 记录裁剪内容： 记录您对镜像进行的裁剪操作，以便在需要时进行排查和维护。

图片水印参数 参数名称 参数用途 取值 是否必须 image 指定作为图片水印对象的名称 水印图片需要和原图存放在相同存储桶 Base64编码后的字符串 编码后的字符串应该将’/’替换为’’，将‘+’替换为‘’ 水印图片可以直接作为水印附在原图，也可以进行预处理操作 是 示例 进行图片水印处理后，设置通用的透明度t为50。 直接处理 假设作为图片水印的图片为原图所在bucket下的shuiyin.png。则需要编码的内容为shuiyin.png，编码后的字符串为c2h1aXlpbi5wbmc。具体请求则是： image/watermark,imagec2h1aXlpbi5wbmc,t50 预处理水印 使用shuiyin.png图片，如果想对水印进行缩放50%加旋转180度的操作，应对 shuiyin.png?xzosprocessimage/resize,p50/rotate,180进行base64编码操作，编码后结果为： c2h1aXlpbi5wbmc/eC16b3MtcHJvY2Vzcz1pbWFnZS9yZXNpemUscF81MC9yb3RhdGUsMTgw 将上述结果中的’/’替换为’’。最终的具体请求是： image/watermark,imagec2h1aXlpbi5wbmceC16b3MtcHJvY2Vzcz1pbWFnZS9yZXNpemUscF81MC9yb3RhdGUsMTgw,t50 文字水印参数 参数名称 参数用途 取值 是否必须 text 指定文字水印内容 Base64编码后的字符串，编码结果字符串中‘/’要替换为‘’，‘+’替换为‘’ 是 color 指定文字水印的颜色 RGB颜色值 默认：FFFFFF（白色） 否 size 指定文字水印的字体大小 默认值：40 否 type 指定文字水印的字体类型 支持英文字体，如Airal 支持中文字体包括yahei(微软雅黑)，heiti(黑体)，kaishu（楷书）,youyuan(幼圆) 默认值：kaishu（楷书） 否 rotate 指定文字水印顺时针旋转角度 [0, 360] 默认值：0 否

IAM控制台创建自定义策略 1.使用天翼云账号登入IAM控制台。 2.在左侧导航栏，选择 "策略管理" "创建自定义策略"。 3.输入策略名称，输入策略描述（可选），点击下一步。 4.设置策略内容，本文介绍使用可视化视图的方式设置，如果需要使用更灵活的JSON视图，请参考IAM文档。 效果：允许（允许策略中配置的权限），拒绝（拒绝策略中配置的权限） 云服务：搜索关键字“容器镜像服务” 操作：根据需求勾选需要配置的操作（即权限） 资源：具体见资源权限管控内容 条件：该配置参考具体IAM文档。 5. 点击保存，完成自定义策略的创建。 为子账户设置自定义权限策略 1. 使用天翼云账号登入IAM控制台。 2. 在左侧导航栏，选择用户授权子账户。 3. 选择操作 查看，进入用户界面，选择权限管理标签页，选择个人权限的新增权限。 4. 搜索框输入上一步设置的自定义权限策略名称，勾选上一步创建的自定义权限策略。 5. 点击“下一步”，由于CRS自定义权限为全局服务资源，无需设置资源池。 6. 点击 “确定”，即可完成为子账户授权。 CRS资源权限管控 使用IAM的JSON视图创建自定义策略时，可以通过设置资源字段来实现细粒度的资源权限管控。

数据淘汰功能 SFS Turbo文件系统绑定OBS桶之后，可以使用数据淘汰功能。淘汰时会释放数据内容，仅保留元数据，释放后不占用SFS Turbo文件系统上的存储空间。再次访问该文件时，将重新从OBS中加载文件数据内容。 按时间淘汰 SFS Turbo文件系统绑定OBS桶之后，支持数据按时间淘汰功能。设定时间内没有被访问过的文件会被淘汰。 按时间淘汰功能支持设置（冷）数据淘汰时间，设置步骤请参考以下操作。 1. 进入SFS Turbo文件系统列表页面。 2. 在文件系统列表中，单击创建的SFS Turbo文件系统名称，进入文件系统详情页面。 3. 在“基本信息”页签，设置（冷）数据淘汰时间。 按容量淘汰 SFS Turbo文件系统绑定OBS桶后，支持数据按容量淘汰功能。 容量达到95%及以上按照30分钟淘汰时间进行淘汰，淘汰至容量低于85%。 说明 淘汰规则：按时间淘汰和按容量淘汰哪个先达到就先按哪个淘汰。 数据淘汰默认开启，淘汰时间默认为60小时。 如果SFS Turbo文件系统存储空间写满，会影响业务运行，建议在云监控服务CES上配置SFS Turbo已用容量的监控告警。 当触发容量阈值告警时请手动缩短数据淘汰时间，例如从60小时配置成40小时，加速（冷）数据淘汰，或者对SFS Turbo存储空间进行扩容。 建议在需要高性能场景下适当延长数据淘汰周期，避免淘汰后需要从OBS中加载冷数据而产生的高时延。

自动跨账号实例同步 1. 登录容器镜像控制台。 2. 在顶部菜单栏，选择所需资源池。 3. 在实例页面中选择需要同步的实例。 4. 在企业版实例管理页面的左侧菜单上选择"分发管理" "实例同步"，选择自动同步规则选项卡，点击左上角的创建规则。 5. 在“创建规则”对话框中，配置同步规则（同步场景选择"跨账号"），然后点击确定按钮，实现规则创建，各配置参数说明如下： 参数 说明 名称 自定义同步规则的名称 描述 自定义同步规则的补充描述信息，备注信息等 同步内容 同步的内容，可选择“镜像”或“Chart” 源实例 固定为当前实例 源命名空间 选择源实例中的命名空间，此项为必填 源仓库 选择源命名空间下的镜像仓库，可为空，为空时则包含命名空间下的所有镜像仓库 源版本 选择需要同步的镜像版本，可为空，为空时则同步所有版本的镜像 同步场景 同账号同步或跨账号同步 目标实例 选择目标实例所在的资源池并填写实例ID，此项必填 目标命名空间 选择要同步到的命名空间 覆盖 遇到同一镜像仓库下、同一版本的镜像时，是否进行覆盖，可选是或否 6. 当有新的容器镜像推送到符合上述规则的仓库中，会自动触发同步任务。 7. 在企业版实例管理页面的左侧菜单上选择 "分发管理" "实例同步"，选择自动同步规则的选项卡，点击对应的同步规则，在规则详情页的下方查看任务执行情况。

第6章 服务地点 高可用与故障演练服务为远程交付，购买现场服务的客户需提供现场服务地址。 第7章 服务内容 服务内容 服务描述 交付物 现状调研 业务现状、业务架构、客户目标调研 需求分析 客户业务目标和现有架构梳理及分析 高可用方案输出 提供高可用方案，包括应用高可用、数据库高可用、存储高可用等。 高可用方案 故障演练方案输出 提供故障演练方案，包括演练环境创建、故障注入、业务切换等。 故障演练方案 技术支持 在交付期内，为高可用架构落地和故障演练实施提供技术支持 服务说明： 专属架构师作为天翼云高可用与故障演练服务的统一接口，对接客户的高可用与故障演练工作。 天翼云为客户提供高可用与故障演练服务群，可按客户习惯提供微信群、企业微信群或钉钉群中的一种。 天翼云不负责非天翼云平台（如第三方平台、软件、应用）的高可用与故障演练工作。 第8章 服务规格 高可用与故障演练服务规格列表如下： 产品规格 服务方式及时间 电信标准价 高可用与故障演练服务 远程支持，工作日9:0018:00 20000/天/人 现场服务（可选） 现场支持，工作日9:0018:00 15000/天/人（应在高可用与故障演练服务期内） 实例数020，2天以上；实例数20100，10天以上；实例数100200，15天以上；实例数200500，30天以上；实例数500以上，50天以上。

任务中心 数据导出任务：文件下载 接口功能介绍 调用此接口可下载数据导出任务decsv文件。 接口约束 资源池ID、任务ID不为空。 URI POST /v4/monitor/taskcenter/download 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b taskID 是 String 任务ID TASKtacd8b6b4610b97d202306301808 响应参数 根据请求参数导出监控数据为csv文件。 文件内容按照设备deviceUUID分隔，不同设备的数据以栏（多个行）为单位竖向排列。 同一设备的不同指标，按照时间戳横向排列，无数据则为空。 请求失败，返回参数参考历史监控数据查询系列接口。 请求示例 请求url /v4/monitor/taskcenter/download 请求头header 无 请求体body json { "regionID": "81f7728662dd11ec810800155d307d5b", "taskID": "TASKtacd8b6b4610b97d202306301808" } 响应示例 csv文件内容： region,Host,ItemName,Type,Clock,Value,Unit neimengaz03,0031461b016fc0540fce1219faa3bf9a,cpuutil,avg,20231011 13:40:00,0.059180,% neimengaz03,0031461b016fc0540fce1219faa3bf9a,cpuutil,avg,20231011 13:45:00,0.059980,% neimengaz03,0031461b016fc0540fce1219faa3bf9a,cpuutil,avg,20231011 13:50:00,0.058320,% neimengaz03,0031461b016fc0540fce1219faa3bf9a,cpuutil,avg,20231011 13:55:00,0.056660,% neimengaz03,0031461b016fc0540fce1219faa3bf9a,cpuutil,avg,20231011 14:00:00,0.055000,% neimengaz03,0031461b016fc0540fce1219faa3bf9a,cpuutil,avg,20231011 14:05:00,0.054980,%

本章节主要介绍云搜索服务（ES）的购买类常见问题。 天翼云都有哪些资源池可订购云搜索服务（ES）？ 目前云搜索服务（ES）已在苏州、广州4、上海4、福州、北京2、华北、西安2、长沙2、成都3、杭州、武汉2、芜湖、贵州、南昌、石家庄、重庆、兰州、郑州、乌鲁木齐、深圳等，详情请见控制中心可用资源池。 如您的目标资源池暂未部署云搜索服务（ES），请您就近选择已部署该服务的资源池，或联系客户经理反馈需求，我们会尽快进行产品部署可行性评估。 云搜索服务（ES）支持哪个Elasticsearch版本？ 云搜索服务中Elasticsearch搜索引擎目前支持Elasticsearch 7.10.2和7.6.2版本，OpenSearch支持1.3.6版本。 云搜索服务中Logstash目前支持7.10.0版本。 如何退订云搜索服务集群？ 如您开通了按需计费集群，可进入产品控制台，在“集群管理”页面找到需要删除的集群并直接删除即可。 如您开通了包年/包月计费集群，请参考产品帮助文档中的退订章节进行相关操作。 云搜索服务的包周期资源如何续费？ 按需计费模式下无需续订，只需保持账号内余额充足即可。请参考产品帮助文档中的续订章节中有关“按需续费”的内容进行相关操作。 包年/包月计费集群续订，请参考产品帮助文档中的续订章节中有关“包年包月续订”的内容进行相关操作。

本节介绍了实时灾备链路规格的说明。 注意事项 文中提供的性能指标仅用于提供参考的测试数据，实际环境会受源或目标数据库性能、网络带宽、数据模型、业务模型等因素影响。 规格说明 实时灾备根据链路的性能上限，定义了四种规格：极小、小、中、大，各个规格的同步性能上限如下表。 表 规格性能上限 规格名称 性能上限（行/秒）参考 极小 300 小 3000 中 7500 大 10000 说明 规格的线上运行性能受网络环境、灾备数据库和业务数据库的性能、延迟等因素影响，实际的性能值会有差异，表中性能上限值仅供参考。 DRS规格：DRS为用户提供的不同性能的链路规格，以灾备初始化（不限速）和灾备性能为衡量标准。 性能上限（行/秒）：表示每秒同步的事务数，包括BEGIN、COMMIT 、DML语句（INSERT、DELETE、UPDATE）及DDL语句。 目前，DRS灾备仅支持引擎为MySQL>MySQL、MySQL>TaurusDB、TaurusDB>TaurusDB灾备任务升级实例规格，不支持降低规格， 对于支持内容对比的链路，如果创建任务时可以选择实例规格，那么仅支持大规格进行内容对比。 支持多规格链路 目前DRS实时灾备仅支持部分链路在创建的时候进行规格选择。 表 灾备支持多规格的链路 灾备方向 数据流向 规格选择 升级规格 本云为备 MySQL>MySQL 支持 支持 本云为主 MySQL>MySQL 支持 支持 本云为备 TaurusDB>TaurusDB 支持 支持 本云为主 TaurusDB>TaurusDB 支持 支持 双主灾备 MySQL>MySQL 支持 支持