本节介绍如何对服务器资产进行分组管理。 业务分组管理功能采用树状结构对企业组织架构进行管理，支持创建、编辑、删除、移动等操作。 说明 “全部服务器”为根目录，展示全网服务器数量，根目录不支持修改。 根目录下默认的“未分组”目录，展示没有被纳入分组的资产，“未分组”目录不可修改。 支持在根目录下创建二级分组。二级分组下最多支持创建5层级子分组（包含二级分组），同层级下创建分组数没有限制，每层级主机数没有限制。 创建分组 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. 创建二级分组：单击业务分组检索框右侧的“+”按钮，弹出新建业务组窗口。 配置业务组名称和备注，单击“确认”，完成创建。 4. 创建子分组：鼠标悬停在任意分组时，可以看到操作按钮，单击“+”按钮，弹出新建业务组窗口。 配置业务组名称和备注，单击“确认”，完成创建。 移动分组 服务器资产默认在“未分组”目录下，用户可根据实际情况对服务器所在分组进行调整。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. 找到需要移动分组的服务器，勾选服务器前的复选框，单击列表上方的“移动分组”。 4. 在弹出的移动业务分组窗口中，选择目标分组，单击“移动到此”。

OOS支持的CORS OOS支持存储桶（Bucket）级别的CORS配置，用户可以根据需求，配置CORS规则允许或者拒绝相应的跨域请求。 CORS请求的能否通过与OOS的身份验证等是相互独立的。OOS的CORS 规则仅仅是用来决定是否附加CORS相关的Header的一个规则，是否拦截该请求完全由浏览器决定。 注意 每个Bucket最多可以配置100条跨域规则。 当OOS收到一个跨域请求（或者OPTIONS请求）时，会读取Bucket对应的CORS规则，然后进行相应的权限检查。OOS会依次检查每一条规则，使用第一条匹配的规则来允许请求并返回对应的Header。如果所有规则都匹配失败，则不附加任何CORS相关的Header。 配置示例 本示例介绍使用网页从OOS获取数据的配置步骤。示例中使用的存储桶（Bucket）权限设置公共读（PublicRead），其余配置相同。以下示例中使用的存储桶名为examplebucket，存储桶访问权限为公共读，访问权限为私有的存储桶只需要在请求中附加签名。 确认文件可正常访问 上传一个testcors.txt的文本文档到examplebucket。testcors.txt的访问地址为 使用curl直接访问该文本文档，请将以下地址替换为您的文件地址： curl 返回testcors.txt 文件的内容：testcors。表示该文档可以正常访问。 [root@user~]curl testcors

排查项二：弹性云服务器是否删除或故障 步骤 1 确认集群是否可用。 登录CCE控制台，确定集群是否可用。 若集群非可用状态，如错误等，请参见当集群状态为“不可用”时，如何排查解决？。 若集群状态为“运行中”，而集群中部分节点状态为“不可用”，请执行步骤2。 步骤 2 登录ECS控制台，查看对应的弹性云服务器状态。 若弹性云服务器状态为“已删除”：请在CCE中删除对应节点，再重新创建节点。 若弹性云服务器状态为“关机”或“冻结”：请先恢复弹性云服务器，约3分钟后集群节点可自行恢复。 若弹性云服务器出现故障：请先重启弹性云服务器，恢复故障。 若弹性云服务器状态为“可用”：请参考排查项七：内部组件是否正常登录弹性云服务器进行本地故障排查。 排查项三：弹性云服务器能否登录 步骤 1 登录ECS控制台。 步骤 2 确认界面显示的节点名称与虚机内的节点名称是否一致，并且密码或者密钥能否登录。 确认界面显示的名称 确认虚机内的节点名称和能否登录 如果节点名称不一致，并且密码和密钥均不能登录，说明是ECS创建虚机时的cloudinit初始化问题，临时规避可以尝试重启节点，之后再提交工单确认问题根因。

本文主要介绍 设置环境变量。 操作场景 环境变量是指容器运行环境中设定的一个变量，环境变量可以在工作负载部署后修改，为工作负载提供极大的灵活性。 CCE中设置的环境变量与Dockerfile中的“ENV”效果相同。 注意 容器启动后，容器中的内容不应修改。如果修改配置项（例如将容器应用的密码、证书、环境变量配置到容器中），当容器重启（例如节点异常重新调度Pod）后，会导致配置丢失，业务异常。 配置信息应通过入参等方式导入容器中，以免重启后配置丢失。 环境变量支持如下几种方式设置。 自定义 配置项导入 ：将配置项中所有键值都导入为环境变量。 配置项键值导入 ：将配置项中某个键的值导入作为某个环境变量的值。例如将configmapexample这个配置项中configmapkey的值configmapvalue导入为环境变量key1的值，导入后容器中有一个名为key1的环境变量，其值为configmapvalue。 密钥导入 ：将密钥中所有键值都导入为环境变量。 密钥键值导入 ：将密钥中某个键的值导入作为某个环境变量的值。例如将secretexample这个配置项中secretkey的值secretvalue导入为环境变量key2的值，导入后容器中有一个名为key2的环境变量，其值为secretvalue。 变量/变量引用 ：用Pod定义的字段作为环境变量的值，例如Pod的名称。 资源引用 ：用Container定义的字段作为环境变量的值，例如容器的CPU限制。

本文介绍云SSO用户的管理 创建用户 1. 登录云SSO控制台（++中国电信天翼云管理中心++）。 2. 左侧菜单栏点击“云SSO”用户 3. 点击右上角“创建用户” 4. 在创建用户面板，设置用户基本信息，然后单击确定 5. 选择密码初始化方式 向用户发送一封包含密码设置说明的邮件:用户可登录邮箱后自行设置密码 生成随机的一次性密码:由系统自动生成，云SSO用户创建完成后会弹窗显示 6. 为云SSO用户分配用户组； 7. 主账号进入云SSO用户的详情页，点击发送验证邮件（注意：请进入管理页面手动点击发送验证邮件）； 8. 登录云SSO用户的关联邮箱，完成云SSO用户的创建验证 9. 登录“云SSO控制台”“云SSO用户”选择该用户信息，点击“启用”按钮。 10. 完成创建。 查看用户详情 在云SSO用户页面，单击目标用户名称，可查看用户的以下信息： 用户名、用户ID、姓名、状态、邮件地址、创建时间、创建方式、更新时间等信息。 启用云SSO用户 1. 完成邮箱初始化验证的用户可以进行用户启用。 2. 主账号可进入云SSO用户详情页，点击发送验证邮件。 3. 在“云SSO控制台”“云SSO用户”选择该用户信息，点击“启用”按钮。 禁用云SSO用户 1. 在“云SSO控制台”“云SSO用户”选择该用户信息，点击“禁用”按钮 2. 禁用后，云SSO用户将无法登录组织内的成员账号。

配置项 说明 对象组 指定规则所匹配的对象组。支持“包含任一对象则满足”或“包含所有对象才满足”。 说明 对象组、数据级别、敏感数据类型间是“或”的关系，与其他规则配置是“与”的关系。 数据级别 多选项，可选一级、二级、三级、四级、五级。 敏感数据类型 多选项，可选内置类型或后续新增的类型。 支持“包含任一类型则满足”或“包含所有类型才满足”。 操作类型 指定SQL语句的操作类型，如Select、Update、Delete等。可根据DDLDMLDCL来选择。 SQL模板ID 可填多值，多个值间以逗号“,”分隔。在审计日志详情中可查看。 SQL关键字 SQL关键字：支持以正则表达式方式匹配报文。单击<正则验证>输入表达式和校验内容，单击<提交>，验证输入内容与SQL关键字中的正则表达式是否匹配。可单击“添加条件”可添加多个关键字。 条件运算逻辑表达式：SQL关键字填写后，此项为必填项。条件间的关系，支持与、或、非、括号运算(&：与；：或；~：非)。条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2 个SQL关键字条件，且两个关键字都要满足才能告警。 SQL长度 取值范围1B~64KB。 WHERE子句 是否包含WHERE，支持三个选项：不判断、有WHERE子句、没有WHERE子句。WHERE子句用于提取满足指定条件的SQL记录，语法如下： SELECT columnname,columnname; FROM tablename; WHERE columnname operator value;

本节将介绍如何配置并启用自定义版本的流程。 流程是剧本触发时响应的方式，态势感知（专业版）默认提供了“WAF一键解封”、“主机告警状态同步”、“告警指标提取”等流程。流程的初始版本（V1）系统默认启用，无需手动启用。同时，还支持对已有流程版本进行自定义编辑，使用自定义流程。 配置并启用自定义版本的流程如下： 复制流程版本 编辑并提交流程版本 审核流程版本 启用流程 此外，用户可通过复制流程实现快速新增流程，复制流程并启用该流程的步骤如下： 复制流程 编辑并提交流程版本 审核流程版本 启用流程 前提条件 在启用流程前需要确保已激活流程版本 ，具体操作请参见管理流程版本。 复制流程版本 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在目标流程“操作”列，单击“版本管理”，弹出流程版本管理页面。 6. 在流程版本管理页面中，单击“版本信息”栏中目标流程版本所在行的“操作”列的“复制”，弹出确认框。 7. 在弹出的确认框中，单击“确定”。

本页介绍天翼云TeleDB数据库存储过程开发的变量使用实例。 变量声明语法 plaintext name [ CONSTANT ] type [ COLLATE collationname ] [ NOT NULL ] [ { DEFAULT : } expression ]; 如果给定DEFAULT子句，它会指定进入该块时分配给该变量的初始值。如果没有给出 DEFAULT子句，则该变量被初始化为SQL空值。 CONSTANT选项阻止该变量在初始化之后被赋值，这样它的值在块的持续期内保持不变。 COLLATE选项指定用于该变量的一个排序规则。如果指定了NOT NULL，对该变量赋值为空值会导致一个运行时错误。所有被声明为NOT NULL的变量必须被指定一个非空默认值。等号（）可以被用来代替 PL/SQL兼容的:。 定义一个普通变量 plaintext teledb CREATE OR REPLACE PROCEDURE ordinaryvar() AS $$ DECLARE 所有变量的声明都要放在这里,建议变量以v开头,参数以a开头 vint integer : 1; vtext text; BEGIN vtext 'teledbpg'; RAISE NOTICE 'vint %',vint; RAISE NOTICE 'vtext %',vtext; END; $$ LANGUAGE plpgsql; CREATE PROCEDURE teledb CALL ordinaryvar(); NOTICE: vint 1 NOTICE: vtext teledbpg CALL teledb 定义CONSTANT 变量 plaintext teledb CREATE OR REPLACE PROCEDURE pconstant() AS $$ DECLARE vint CONSTANT integer : 1; BEGIN RAISE NOTICE 'vint %',vint; END; $$ LANGUAGE plpgsql; CREATE PROCEDURE teledb CALL pconstant(); NOTICE: vint 1 CALL CONSTANT 不能再次赋值 plaintext teledb

本节介绍策略管理功能的使用约束与限制。 态势感知（专业版）的策略管理功能可以简化您在多个账户和资源上的管理和维护任务，支持统一展示所有策略信息、查看人工/自动化拦截记录等操作。 新增策略：策略作为告警一键阻断的止血手段，可根据告警来源选择相应的类型对攻击者进行阻断。 管理策略：介绍如何查看策略、编辑策略、删除策略。 约束与限制 策略目前仅支持CFW/WAF/VPC安全组的黑名单策略。 单用户单工作空间内容最多新增300条支持阻断老化的，全量最多新增2500条。同时，单次下发策略阻断对象数量限制如下： 当需要下发策略至CFW时，单用户单次最多可新增500个IP或域名作为阻断对象。 当需要下发策略至WAF时，单用户单次最多可新增500个IP作为阻断对象。 当需要下发策略至VPC时，单用户单次1分钟内最多可新增500个IP作为阻断对象。 将IP或IP地址段配置为黑名单后，来自该IP或IP地址段的访问，CFW/WAF/VPC将不会做任何检测，直接拦截。 为确保系统稳定性，同时执行的任务数量必须小于等于5个，若检测到已有5个任务正在执行，系统将禁止继续新增、重试或编辑操作。 基本概念 操作连接：应急策略的流程所绑定的资产连接，资产连接是流程中插件节点使用到的连接域名和鉴权参数，通过域名调用的方式可以访问其他云服务或者三方服务。

本文介绍弹性容器实例ECI的高频问题。 ECI实例如何收费？ 请参考计费说明。如果您在使用过程中关联天翼云其他云产品资源，您需要为您使用的资源付费。 如何查看vCPU的使用额？ 您可以创建的ECI的实例数依赖于对应地域您的vCPU配额（quota）和已使用量。在控制台查看配额的方法如下： 在弹性容器实例控制台左侧导航栏中选择“权益配额”进行查看。其中权益配额包含已使用量和使用上限。 如何创建GPU实例？ ECI支持指定ECS的GPU规格来创建GPU实例，具体操作，请参见指定ECS规格创建实例。 为什么ECI控制台和监控数据显示的实例规格不一致？ 问题描述 创建了一个1 vCPU、1 GiB内存的ECI实例，但是在监控数据查到的ECI实例的规格为不一致。 问题说明 上述现象是正常的，监控数据查到的实例规格是ECI实例宿主机的规格，而非ECI实例的规格。如果您购买的是1 vCPU、1 GiB内存的ECI实例，最终也只能使用对应规格的资源。 是否支持私有镜像？ 支持私有镜像，支持使用天翼云镜像仓库搭建私有镜像。 镜像缓存是否支持更新？ 支持更新。对于状态为创建完成（Ready）或者UpdateFailed（更新失败）的镜像缓存，支持调用UpdateImageCache接口来更新镜像缓存，包括更新容器镜像、保留时长、镜像仓库信息等。

本文介绍如何为ECI Pod配置独立安全组。 当用户创建ECI Pod（ECI实例）时，需要指定待绑定的安全组信息，使得ECI实例的出向和入向流量得到控制。 背景信息 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当ECI实例绑定安全组后，即受到这些访问规则的保护。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 在pod的annotations中添加注解：k8s.ctyun.cn/ecisecuritygroup，并指定需要使用的安全组。通过kubectl客户端创建nginx.yaml。 shell apiVersion: "apps/v1" kind: "Deployment" metadata: name: "nginxsg" namespace: "default" spec: replicas: 1 selector: matchLabels: name: "nginxsg" template: metadata: annotations: k8s.ctyun.cn/ecisecuritygroup: sgw9f6mehmq0 labels: name: "nginxsg" spec: containers: image: "registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim" imagePullPolicy: "IfNotPresent" name: "nginx" resources: limits: cpu: "1" memory: 1Gi 创建pod： plaintext kubectl create f nginx.yaml 在ECI控制台可以看到ECI实例开通成功，并且使用的是指定的安全组：

本页介绍天翼云TeleDB数据库分布式架构参数说明。 allowdmlondatanode (boolean) 允许在DN节点上进行DML操作。有效值：on、off、true、false、yes、no、1、0，或这些值的无歧义前缀，大小写不敏感，默认off。范围：GLOBAL。参数类型：布尔。是否动态生效：是。 enabledatanoderowtriggers (boolean) 允许DN节点上的行触发器。有效值：on、off、true、false、yes、no、1、0，或这些值的无歧义前缀，大小写不敏感，默认off。范围：GLOBAL。参数类型：布尔。是否动态生效：是。 enabledistinctoptimizer (enum) 是否将distinct下推到DN。有效值：on、off、true、false、yes、no、1、0，或这些值的无歧义前缀，大小写不敏感，默认off。范围：GLOBAL。参数类型：布尔。是否动态生效：是。 enabledistributeupdateprint (enum) 开启或禁用打印分布键更新的执行信息。有效值：on、off、true、false、yes、no、1、0，或这些值的无歧义前缀，大小写不敏感，默认off。范围 ：GLOBAL。参数类型 ：布尔。是否动态生效：是。 enableglobalindexshipping (enum) 开启或禁用通过全局索引直接向DN快速查询。有效值：on、off、true、false、yes、no、1、0，或这些值的无歧义前缀，大小写不敏感，默认on。影响范围 ：GLOBAL。是否动态生效：是。 enableshardstatistic (boolean) 打开shard数据使用频率等统计信息。参数有效值：on、off、true、false、yes、no、1、0，或这些值的无歧义前缀，大小写不敏感，默认是on。范围 ：GLOBAL。参数类型 ：布尔。是否动态生效：是。

本节为您介绍激活智能网关的操作流程。 操作场景 用户购买智能网关实例后，需要激活才能使用。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 激活过程中需保持智能网关通电且已连通网络，且“设备状态”为“在线”（注：设备状态可在“目标智能网关详情页面基本信息”标签下查看）。 如果智能网关为硬件版，还需要提前配置链路，具体操作，详见链路设置章节。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关“操作”列的“更多激活”。 5. 根据页面提示，选择设备接入方式，并配置网络。 6. 单击“确定”，开始激活操作。 7. 激活成功后，业务状态变为“已激活”。 8. 激活智能网关后，可进一步将智能网关绑定到天翼云SDWAN实例中。绑定到天翼云SDWAN实例后，可以实现设备互联，访问云上资源。具体操作步骤，请参考绑定天翼云SDWAN实例页面。 说明 如需天翼云人员协助上门安装，请购买装维服务。购买服务后，装维人员将联系您上门协助完成智能网关安装、激活等操作。

本章节介绍媒体存储桶清单概述。 使用场景 媒体存储提供桶清单功能，可以通过桶清单获得Bucket中指定对象的数量、大小、存储类型、最新更新时间以及ETag等。配置清单规则后，媒体存储将根据规则，每周生成桶清单文件。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 使用说明 每个存储桶最多设置10个清单。 生成周期：用户设置完成后，根据创建时间，按T+1生成第一份清单报告，T+1+7生成第二份，以此类推。 桶清单配置的源桶和目标桶必须归属同一个帐号、在同一个区域。 桶清单将根据所填前缀筛选对象或者列出所有对象。 清单报告存储路径 清单报告及其相关文件会上传至目标存储桶中，具体路径如下： plaintext /（目标存储桶桶名） └── /（清单报告目录，如无则省略） └── /（源桶同名） └── /（清单任务名称） ├── YYYYMMDDTHH/ (扫描开始的日期) ├── manifest.json (清单任务的元数据文件) └── manifest.checksum (manifest.json 文件的 MD5) └── inventoryFile/（清单文件） └── timestamptask1.csv（timastamp为清单任务开始的时间戳） └── timestamptask2.csv 说明 发起清单任务后，当源桶内文件很多时，清单结果会逐步更新。 待清单目录下的 manifest.json 文件生成之后，清单结果才会完全生成。

本章节为您介绍如何申请个人证书。 个人证书是由CA机构核验身份后颁发的数字凭证，用于强身份认证、电子签名和加密通信等场景，12个工作日签发证书。 成功购买个人证书后，您需要申请证书，即提交证书申请人的详细信息审核。所有信息通过审核后，证书颁发机构才签发证书。 在申请证书时，您可以参考SSL证书申请常见问题。 前提条件 已成功购买证书并且在控制台的“证书状态”为“待申请”，如何购买证书请参考：购买个人证书。 准备工作 申请个人证书时，需要在人工验证阶段上传证书申请表，您可以提前下载个人证书申请表模版，申请表需填写个人签名和日期。 服务类型 加密标准 下载审核材料模板 个人证书 国密标准 个人证书申请表模版.xlsx 操作步骤 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“个人证书管理 > 个人证书列表”。 3. 选择需要申请的个人证书，单击“操作”列的“证书申请”按钮，开始申请个人证书。 4. 在右侧弹出的窗口中填写联系人信息。 说明 目前个人证书仅支持国密算法。 5. 填写完后，单击“确定”，进入验证环节，根据页面提示填写申请表并上传。 6. 上传完成后，等待CA签发机构完成验证，若验证通过则可以在控制台下载个人证书。

本节介绍设置安全的口令。 请按如下建议设置口令： 使用复杂度高的密码 建议密码复杂度至少满足如下要求： 密码长度至少8个字符。 包含如下至少三种组合： 大写字母（AZ） 小写字母（az） 数字（0~9） 特殊字符 密码不为用户名或用户名的倒序。 不使用有一定特征和规律容易被破解的常用弱口令 生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份 数字或字母连排或混排，常用彩虹表中的密码、滚键盘密码 短语密码 公司名称、admin、root等常用词汇 说明 不使用空密码或系统的缺省密码。 不要重复使用最近5次（含5次）内已使用的密码。 不同网站/账号使用不同的密码。 根据不同应用设置不同的账号密码，不建议多个应用使用同一套账户/密码。 定期修改密码，建议至少每90天更改一次密码。 账号管理人员初次发放或者初始化密码给用户时，如果知道密码内容，建议强制用户首次使用修改密码，若不能强制用户修改密码，则为密码设置过期的期限（用户必须及时修改密码，否则密码应被强制失效）。 建议为所有账户配置设置连续认证失败次数超过5次（不含5次），锁定账号策略和30分钟自动解除锁定策略。 建议对所有账户设置不活动时间超过10分钟自动退出或锁定策略。 新建系统中的账号缺省密码在首次使用前，建议强制用户更改。 建议开启账户登录记录日志功能，登录日志最少保存180天，登录日志中不能保存用户的密码。

场景四：URL违规问题 当CDN对某资源下发封禁任务后，用户再访问该资源，CDN会响应403。以及当客户开启CDN内容审核增值服务，在平台发现违规资源时，CDN会自动下发封禁任务，此时如果客户对该域名配置启用了URL封禁的策略，此时也会响应403。这两类均归结为URL违规问题。当因为URL违规而进行封禁出现403时，DenyReason响应头可能会出现如下几种：deny by blockcatchkeyignoreurl、deny by blockfullurl、deny by blockignoreurl、deny by blockcatchkeyplusurl。具体报错示例如下： 解决方案：针对URL违规引起的403，对违规的内容进行整改，确保整改后内容为合法。 场景五：防盗链问题 防盗链包含时间戳防盗链、Referer防盗链等，防盗链问题引起的403，通常表现为请求的方式不符合域名配置的防盗链规则，引起403错误。具体报错如下： 解决方案：针对防盗链引起的403问题，详情请见：防盗链异常导致访问资源返回403问题排查。

本节介绍了DDoS高防（边缘云版）常见术语及其解释。 CNAME记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当DNS系统在查询CNAME 左面的名称的时候，都会转向CNAME右面的名称再进行查询，一直追踪到最后的PTR或A名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用docs.cytun.cn访问，您又希望通过documents.ctyun.cn也能访问该服务器，那么就需要在您的DNS解析服务商添加一条CNAME记录，将documents.ctyun.cn指向docs.cytun.cn，添加该条CNAME记录后，所有访问documents.ctyun.cn的请求都会被转到docs.cytun.cn，获得相同的内容。 CNAME域名 控制台添加完域名后，您会得到一个给您分配的CNAME域名（该CNAME域名假如是. ctyun.cn）， 您需要在您的DNS解析服务商添加CNAME记录，将自己的域名指向这个. ctyun.cn的CNAME域名，这样该域名所有的请求才会都将转向天翼云清洗的节点，达到清洗效果。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址存在对应关系，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。

本节介绍了安装ICAgent的注意事项和操作步骤。 ICAgent是云日志服务的日志采集工具，运行在需要采集日志的云主机中。首次使用云日志服务采集主机的日志时，需要安装ICAgent。 如果在使用其他云服务时已经安装了ICAgent，不再需要重复安装ICAgent，请跳过该步骤。 前提条件 安装ICAgent前，请确保本地浏览器的时间、时区与主机的时间、时区一致。 安装ICAgent 1. 在云日志服务管理控制台，单击“主机管理”。 2. 在主机管理页面，单击右上角“安装ICAgent”。 3. “安装系统”选择“Linux”。 4. “安装方式”选择“获取AK/SK凭证”。 AK/SK（Access Key ID/Secret Access Key）即访问密钥，在“我的凭证”控制台获取，步骤如下： 1. 单击页面右上角的用户名，选择“我的凭证”。 2. 在“我的凭证”页面中选择“访问密钥”页签。 3. 单击“新增访问密钥”，输入验证码或密码。 4. 单击“确定”，下载访问密钥，并妥善保管。 5. 在文本框中输入获取的AK/SK，生成ICAgent安装命令。 6. 单击“复制命令”，复制ICAgent的安装命令。 7. 使用PuTTY等远程登录工具，以root用户登录待安装ICAgent的服务器，执行ICAgent安装命令进行安装。 当显示“ICAgent install success”时，表示安装成功，ICAgent已安装在了/opt/oss/servicemgr/目录。安装成功后，在云日志服务左侧导航栏中选择“主机管理 > 主机”，查看该服务器ICAgent的状态。

为已有权限的用户或项目修改权限 某用户或项目已具备此数据库的一些权限时，可为此用户或项目赋予或取消权限。 说明 当“权限设置”中的选项为灰色时，表示对应帐号不具备修改此数据库的权限。可以向管理员用户、数据库所有者等具有赋权权限的用户申请数据库的“赋权”和数据库权限的“回收”权限。 1. 在“用户权限信息”列表中找到需要设置权限的用户： 若用户为子用户，可进行“权限设置”。 若用户为管理员用户，只能查看“权限信息”。 在“项目权限信息”列表中找到需要设置权限的项目，进行“权限设置”。 2. 在子用户或项目的“操作”栏中单击“权限设置”，可弹出数据库“权限设置”对话框。 数据库用户或项目详细的权限描述请参考上表。 3. 单击“确定”，完成权限设置。 回收某用户或项目具备的所有权限 回收某用户具备的所有权限，或回收某项目具备的所有权限。 在“用户权限信息”区域的用户列表中，选择需要回收权限的子用户，在“操作”栏中单击“回收”，在“回收用户权限”对话框中单击“确定”后，此用户将不具备数据库的任意权限。 说明 用户为管理员用户时，“回收”为灰色，表示不可回收该用户的权限。 在“项目权限信息”区域的项目列表中，选择需要回收权限的项目，在“操作”栏中单击“回收”，在“回收项目权限”对话框中单击“确定”后，此项目将不具备数据库的任意权限。

本章节主要介绍云搜索服务（ES）的购买类常见问题。 天翼云都有哪些资源池可订购云搜索服务（ES）？ 目前云搜索服务（ES）已在苏州、广州4、上海4、福州、北京2、华北、西安2、长沙2、成都3、杭州、武汉2、芜湖、贵州、南昌、石家庄、重庆、兰州、郑州、乌鲁木齐、深圳等，详情请见控制中心可用资源池。 如您的目标资源池暂未部署云搜索服务（ES），请您就近选择已部署该服务的资源池，或联系客户经理反馈需求，我们会尽快进行产品部署可行性评估。 云搜索服务（ES）支持哪个Elasticsearch版本？ 云搜索服务中Elasticsearch搜索引擎目前支持Elasticsearch 7.10.2和7.6.2版本，OpenSearch支持1.3.6版本。 云搜索服务中Logstash目前支持7.10.0版本。 如何退订云搜索服务集群？ 如您开通了按需计费集群，可进入产品控制台，在“集群管理”页面找到需要删除的集群并直接删除即可。 如您开通了包年/包月计费集群，请参考产品帮助文档中的退订章节进行相关操作。 云搜索服务的包周期资源如何续费？ 按需计费模式下无需续订，只需保持账号内余额充足即可。请参考产品帮助文档中的续订章节中有关“按需续费”的内容进行相关操作。 包年/包月计费集群续订，请参考产品帮助文档中的续订章节中有关“包年包月续订”的内容进行相关操作。

本章节主要介绍云搜索服务的安全模式集群。 当前我们提供的Elasticsearch 6.5.4及之后版本集群为您增加了安全模式功能，当您开启后，安全模式将会为您提供身份验证、授权以及加密等功能。 以下功能介绍以kibana可视化界面操作为例。 说明 安全模式只能在创建集群时开启。集群创建成功后，不支持开启或者关闭安全模式。 基本名词解释 安全模式名词解释 名词 描述 Permission 单个动作，例如创建索引（例如indices:admin/create）。 Action group操作组 一组权限。例如，预定义的SEARCH操作组授权角色使用search和msearchAPI。 Role角色 角色定义为权限或操作组的组合，包括对集群，索引，文档或字段的操作权限。 Backend role后端角色 （可选）来自授权后端的其他外部角色（例如LDAP / Active Directory）。 User用户 用户可以向Elasticsearch集群发出操作请求。用户具有凭证（例如，用户名和密码）、零个或多个后端角色以及零个或多个自定义属性。 Role mapping角色映射 用户在成功进行身份验证后会担任角色。角色映射，就是将角色映射到用户（或后端角色）。例如，kibanauser（角色）到jdoe（用户）的映射意味着John Doe在获得kibanauser身份验证后获得了所有权限。同样，allaccess（角色）到admin（后端角色）的映射意味着具有后端角色admin（来自LDAP / Active Directory服务器）的任何用户都获得了allaccess身份验证后的所有权限。您可以将每个角色映射到许多用户和/或后端角色。

本文为您介绍密钥管理服务KMS（Key Management Service）的退订规则及退订流程。 KMS服务支持退订，可通过KMS服务控制台界面、天翼云费用中心发起并完成退订操作。 退订说明 您可根据需要，在符合天翼云退订规则的前提下，灵活退订KMS服务。目前退订包含七天无理由全额退订和非七天无理由退订以及其他退订，退订规则详情见退订规则说明。 退订完成后，退款金额会退回账户余额，客户可根据需要进行提现。提现操作详情见余额提现。 说明 KMS基础版、企业版服务支持退订；默认密钥由天翼云云服务创建，为免费资源，无须退订。 成功发起退订后，KMS将转入冻结状态，冻结期15天。冻结期间，密钥等资源及配置会保留15天，15天后资源被释放，释放后无法恢复。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 密钥管理”。 4. 在左侧导航栏，选择“信息概览”，进入信息概览页面，在页面上方选择目标服务。 5. 在当前服务信息展示页面，点击“退订”。 6. 进入退订申请页面，确认退订信息，信息确认无误后选择退订原因，勾选“我已确认本次退订金额和相关费用”后，点击“退订”后即可进行退订。 7. 系统提示退订申请提交成功，可前往订单详情查看退订进度。

本文介绍虚机网卡修改IP操作。 应用场景 虚拟机已用IP需改为他用，或虚拟机之间需要交换IP等场景。 使用说明 桥接网卡不支持在公网IP列表解绑和绑定，如需修改IP，请参考直通网卡修改IP操作。 VPC网卡如需修改关联的公网IP，请前往公网IP列表解绑IP再绑定新的公网IP。 前提条件 已开通VPC网卡或直通网卡虚拟机。 虚拟机已关机。 直通网卡虚拟机修改IP时需先购买一个空闲公网IP。 VPC网卡修改内网IP 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏，点击列表上方的地域可以切换不同地域，选择需要操作的实例，单击实例名称。 3. 进入虚拟机详情页，单击【网卡】页签，展开要操作的VPC网卡详情，在网卡基础信息栏，点击“内网IPv4地址”右侧的编辑按钮。 4. 在编辑内网IP的弹窗页，手动配置内网IP地址，IP地址必须是在子网网段范围内且并未使用的内网IP，点击【查看已使用IP地址】可查看已使用的IP地址及其用途。 5. 点击【确认】，返回操作成功后表示内网IP已修改完成。 6. 在网卡基础信息栏，查看内网IPv4地址已变更。 7. 修改VPC网卡内网IPv4地址时，会同步修改已分配的IPv6地址，当IPv6地址绑定带宽实例时，需先前往IPv6网关或共享带宽解绑带宽实例后方可修改内网IPv4地址，详情参见[VPC IPv6地址取消公网访问能力](

本节介绍天翼云印刷文字识别产品的优势。 识别精度高 通过海量标注样本训练，配合国内领先的人工智能算法，针对文字识别的特点，能够快速、准确地处理输入的图像数据，提取出关键的文字信息，满足不同业务场景下的文字识别需求，识别精度高。 数据安全 天翼云印刷文字识别通过先进的算法和训练模型，大大减少了人工干预，能够自动处理和纠正一些常见的误识问题，同时降低隐私风险，保护数据资产。此外在文字识别过程中，采用了一系列加密和安全传输措施，确保用户数据在传输和存储过程中的安全。 快速高效 传统的文字识别方法往往依赖于人工操作，不仅效率低下，而且容易出错。天翼云印刷文字识别产品提供24小时全天候服务，无论白天还是夜晚，都可以随时上传图像进行文字识别。这种不间断的服务模式确保了用户在任何时间都能获得及时的响应，大大提高了工作效率。 使用便捷 为了满足不同用户的需求，我们提供了标准API接口，使用户可以轻松地将印刷文字识别集成到现有的业务流程或系统中。这种便捷的集成方式降低了技术门槛，减少了开发成本，使产品能够快速适应各种应用场景。 使用场景丰富 印刷文字识别产品在各个行业和领域中都有广泛的应用。根据客户需求，精心设计了车牌识别、身份证识别、营业执照识别等使用场景，以满足不同领域的文字识别需求，提供高效、准确的文字识别解决方案。

本文介绍天翼云全站加速节点下线优化措施。 节点说明 天翼云全站加速，在中国内地拥有1800+节点，覆盖多运营商和31个省份区域，大量节点位于省会及一二线主要城市。在海外、中国香港、中国澳门和中国台湾拥有500+节点，遍布亚洲、美洲、欧洲、非洲等大洲主要国家和城市。全网业务承载能力达150Tbps。 天翼云会不定期进行节点设备升级、版本更新、线路割接甚至节点下线等等的操作。为了确保全网节点稳定、可靠运行，天翼云采取完善的运维措施来保障节点下线可能导致的影响。 运维措施 为了保障服务可用性，节点运维是CDN厂商均会进行的常规维护操作。例如： 节点监测及实时调度：当节点出现线路故障或者承载过大时，天翼云实时调度系统根据内部处理规范，会将该节点进行剔除，实时将流量调度解析至临近的正常节点上提供服务，最大限度保障用户的访问体验。 节点运维时间：通常运维时间选择在业务低峰期，一般是凌晨进行操作，避免对客户业务造成影响。 节点运维量级：节点运维的频率较低，且有一整套严格的下线流程及应急措施，平滑调度，客户无感知。 用户侧建议措施 但是存在一种情况：本地运营商、客户端的DNS缓存会导致部分用户仍然访问到已下线的节点，导致访问失败。此时建议用户采取以下方法降低影响： 清理客户端的DNS缓存。 联系本地运营商清理DNS缓存。

本节介绍API网关的产品规格。 专享版规格 专享版API网关QPS（Query Per Second，每秒查询率）吞吐受应答大小、是否开启HTTPS、是否开启gzip等多种因素影响。下表是API网关处于30%CPU安全水位下的QPS参考值，参考场景为无认证和单机流控模式。 安全水位，指能够在突发流量增长至双倍的情况下，API网关系统依然维持高吞吐量和低延迟性能。 表1 QPS性能参考 实例规格 基础版 专业版 企业版 铂金版 连接类型 应答字节数（KBytes） 是否使用HTTPS 是否使用gzip CPU处于安全水位的QPS参考 短连接 1 否 否 1,600 3,600 9,000 55,000 短连接 1 是 否 1,000 1,100 2,800 16,000 长连接 1 否 否 2,500 4,200 13,000 79,000 长连接 1 是 否 2,000 4,000 11,000 67,000 长连接 10 否 否 2,200 4,000 10,000 67,000 长连接 10 是 否 1,800 3,800 9,500 65,000 不同实例规格的带宽 和内网连接数都不同，建议参考下表数据将带宽和连接数控制在有效范围内。 表2 带宽和连接数参考 实例规格 带宽 内网每秒新建连接数 基础版 单AZ：50Mbit/s 双AZ及以上：100Mbit/s 1,000 专业版 单AZ：100Mbit/s 双AZ及以上：200Mbit/s 1,000 企业版 单AZ：200Mbit/s 双AZ及以上：400Mbit/s 1,000 铂金版 单AZ：400Mbit/s 双AZ及以上：800Mbit/s 1,000

本文介绍全站加速产品欠费说明、关停服务、恢复服务及预警说明等。 客户天翼云账户中没有余额并欠款的情况下，天翼云会关停客户的全站加速服务，并通过短信通知客户充值。 关停服务 关停客户的全站加速服务，天翼云会立即将加速域名的CNAME入口解析至客户源站地址，控制台上域名状态变更为“已停止”，1天后将加速域名的CNAME解析至不可用地址。 恢复服务 对域名进行停用操作后，节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行【启用】操作，全站加速产品即可恢复服务。操作步骤如下： 1. 登录客户控制台。 2. 单击【域名列表】，找到【已停止】的域名，单击【启用】。 3. 对弹出的【启用确认】框，单击【确认启用】。 预警设置 为避免欠费情况的产生，可通过对客户在天翼云官网账户的可用额度进行预警设置，当用户的余额低于阈值，系统会发送短信提醒。 操作步骤： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。

天翼云云解析平台提供网站可用性监测和自动切换服务。监测服务依托平台在各大运营商部署的探测节点，通过采集、分析探测数据帮助用户及时了解网站可用性情况。当网站不可用时，平台提供“暂停解析”、“切换IP”等处置策略。启用“切换IP”策略时，平台将根据策略信息自动将域名解析切换至可用IP，确保用户网站安全、稳定运行。 监控原理 监控任务下所有探测节点向用户监控任务中的IP发送http请求，当且仅当所有探测节点连续两次无法接收到应答时，平台判定服务器宕机，从而执行监控任务中的处置策略。 监控规则 目前仅支持对A记录的监测。 新增或变更监控任务生效时间为一小时。 基础版与高级版域名可支持配置10条监控任务，旗舰版域名可支持配置20条监控任务。 故障处置策略 平台提供三种处理策略，分别是不响应、暂停解析、切换记录。 不响应：平台不做任何处理。 暂停解析 故障IP是分线路智能解析记录，若同主机名下仍有默认线路解析记录，暂停故障记录。 故障IP是默认线路解析记录，若同主机名下有其它可用的默认线路解析记录，暂停故障记录。 故障IP是默认线路解析记录，若同主机名下无可用默认线路解析记录，平台不做任何处理。 切换记录：用户配置监控任务时对监控记录设置一个备用IP，故障时切换到可用的备用IP。若切换时备用IP不可用，平台不做任何处理。

此小节介绍监控服务。 DBSS监控指标说明 功能说明 本节定义了数据库安全服务上报云监控服务的监控指标的命名空间，监控指标列表和维度定义，用户可以通过云监控服务提供管理控制台或API接口来检索数据库安全服务的监控指标和告警信息。 命名空间 SYS.DBSS 说明 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离。使得它们既可以共享同一个集群的服务，也能够互不干扰。 监控指标 数据库安全服务支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） cpuutil CPU使用率 该指标用于统计测量对象的CPU利用率。 单位：百分比 采集方式：100%减去空闲CPU占比 0～100 % 值类型：Float 数据库审计实例 1分钟 memutil 内存使用率 该指标用于统计测量对象的内存利用率。 单位：百分比 采集方式：100%减去空闲内存占比 0～100 % 值类型：Float 数据库审计实例 1分钟 diskutil 磁盘使用率 该指标用于统计测量对象的磁盘利用率。 单位：百分比 采集方式：100%减去空闲磁盘占比 0～100 % 值类型：Float 数据库审计实例 1分钟 设置监控告警规则 通过设置DBSS告警规则，用户可自定义监控目标与通知策略，设置告警规则名称、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数，帮助您及时了解数据库安全状况，从而起到预警作用。

本节介绍数据加密与其他云服务的关系。 与对象存储服务的关系 对象存储服务（Object Storage Service，OBS）是一个基于对象的海量存储服务，为客户提供海量、安全、高可靠、低成本的数据存储能力。KMS为OBS提供用户主密钥管理控制能力，应用于对象存储服务的服务端加密功能（SSEKMS加密方式）。 与云硬盘的关系 云硬盘（Elastic Volume Service，EVS）可以为云服务器提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务，可满足不同场景的业务需求，适用于分布式文件系统、开发测试、数据仓库以及高性能计算等场景。KMS为EVS提供用户主密钥管理控制能力，应用于云硬盘的加密功能。 与镜像服务的关系 镜像服务（Image Management Service，IMS）提供镜像的生命周期管理能力。KMS为IMS提供用户主密钥管理控制能力，应用于镜像服务的私有镜像加密功能。 与弹性文件服务的关系 弹性文件服务（Scalable File Service，SFS）提供按需扩展的高性能文件存储（NAS）。KMS为SFS提供用户主密钥管理控制能力，应用于弹性文件服务的文件系统加密功能。 与关系型数据库的关系 关系型数据库是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线云数据库服务。KMS为关系型数据库提供用户主密钥管理控制能力，应用于云数据库的磁盘加密功能。

本章节主要介绍 ALM12066 节点间互信失效。 告警解释 系统每一个小时检查一次主OMS节点和其他Agent节点间的互信是否正常，如果存在互信失效的节点，则发送告警。待客户修复改问题，该告警会自动清除。 告警属性 告警ID 告警级别 是否自动清除 12066 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 可能会导致管理面的一些操作异常。 可能原因 /etc/ssh/sshdconfig配置文件被破坏。 omm密码过期。 处理步骤 查看/etc/ssh/sshdconfig配置文件状态 1.打开FusionInsight Manager页面，在告警列表中，单击此告警所在行的，查看告警详情中涉及的主机列表。 2.以omm用户登录主OMS管理节点。 3.依次在告警详情中的节点执行ssh 命令：ssh host2 （host2为告警详情中OMS节点之外的其它节点），看是否连接失败。 是，执行步骤4。 否，执行步骤6。 4.打开host2主机上的“/etc/ssh/sshdconfig”配置文件，查看另外节点是否配置在AllowUsers 、DenyUsers等白名单或者黑名单中。 是，执行步骤5。 否，联系OS专家处理。 5.修改白名单或者黑名单设置，保证omm用户在白名单中或者不在黑名单中。然后持续一段时间观察告警是否清除。 是，操作结束。 否，执行步骤6。