本章介绍如何使用主子账号体系管理子账号权限 概述 分布式消息服务RabbitMQ已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目：将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

本文介绍Redis主子账号和IAM权限管理 分布式缓存服务Redis版已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本文主要介绍分布式消息服务RabbitMQ的惰性队列最佳实践。 使用场景 默认情况下，RabbitMQ生产者生产的消息存储在内存中，当需要释放内存时，会将内存中的消息换页至磁盘中。换页操作会消耗较长的时间，且换页过程中队列无法处理消息。 如果生产速度过快（例如执行批处理任务），或者消费者由于各种原因（例如消费者下线、宕机）长时间内无法消费消息，导致消息大量堆积，使得内存使用率过高，换页频繁，可能会影响其他队列的消息收发。这种场景下，建议您启用惰性队列。 惰性队列（Lazy Queue）会尽可能的将消息存入磁盘中，在消费者消费到相应的消息时才会被加载到内存中，这样可以减少内存的消耗，但是会增加I/O的使用，影响单个队列的吞吐量。惰性对列的一个重要的设计目标是能够支持更长的队列，即支持更多的消息存储/消息堆积。 在以下情况下，推荐使用惰性队列： 队列可能会产生消息堆积 队列对性能（吞吐量）的要求不是非常高，例如TPS 1万以下的场景 希望队列有稳定的生产消费性能，不受内存影响而波动 处于以下情况时，无需使用惰性队列： RabbitMQ需要高性能的场景 队列总是很短（即队列中没有消息堆积） 设置了最大长度策略 设置惰性队列 队列具备两种模式：default和lazy，默认模式为default。lazy模式即为惰性队列的模式，可以通过调用channel.queueDeclare方法的时候在参数中设置，也可以通过Policy的方式设置。如果一个队列同时使用这两种方式设置的话，Policy的方式具备更高的优先级。 以下示例演示在Java客户端通过调用channel.queueDeclare设置惰性队列。 Map args new HashMap (); args.put("xqueuemode", "lazy"); channel.queueDeclare("myqueue", false, false, false, args); 以下示例演示在RabbitMQ的Web界面通过Policy的方式设置惰性队列。 更多关于惰性队列的说明，请参考Lazy Queues 。

本章介绍分布式缓存服务Redis命令。 如何清空Redis数据？ 注意数据清空功能为高危操作，请谨慎执行。 Redis3.0实例 Redis3.0实例不支持在DCS控制台上执行“数据清空”功能。需要使用Rediscli客户端连接实例，执行flushdb或者flushall命令进行清空。 flushall：清空整个实例的数据。 flushdb：清空当前DB中的数据。 如何在Redis中查找匹配的Key和遍历所有Key？ 查找匹配Key 在大Key和热Key分析中，不支持按照指定格式分析，如果需要查找指定前缀或者后缀格式的Key，您可以使用scan命令，根据指定格式进行匹配查找。 例如，需要查找Redis实例中包含a关键字的Key，可以使用Rediscli工具，执行以下命令： ./rediscli h {redisaddress} p {port} [a password ] scan pattern ' a ' 遍历所有Key 由于keys命令复杂度高，容易导致Redis无响应，所以禁止使用keys命令遍历实例所有的Key。如果需要在Redis实例中遍历所有的Key，可以使用Rediscli工具，执行以下命令可以遍历Redis实例的所有key。 ./rediscli h {redisaddress} p {port} [a password ] scan pattern '' scan命令的使用方法，可以参考Redis官方网站。 在WebCli执行keys命令报错“permission denied” WebCli已禁用keys 命令，请使用Rediscli执行。 高危命令如何禁用？ Redis4.0及以上版本的实例创建之后，支持重命名高危命令。当前支持重命名的高危命令有command、keys、flushdb、flushall、hgetall、scan、hscan、sscan、和zscan，Proxy集群实例还支持dbsize和dbstats命令重命名，其他命令暂时不支持。 您可以在创建实例时进行重命名以上高危命令，或在创建完成后，在缓存管理页面，选中实例，单击操作列的“更多 > 命令重命名”进行重命名以上高危命令。 说明 目前Redis不支持直接禁用命令，涉及到以上高危命令，可以使用命令重命名。关于DCS实例支持和禁用的命令请参考 命令重命名提交后，系统会自动重启实例，实例完成重启后重命名生效。 因为涉及安全性，页面不会显示这些命令，请记住重命名后的命令。

本节介绍了管理标签的相关内容。 标签是DCS实例的标识，为DCS实例添加标签，可以方便用户识别和管理拥有的DCS实例资源。 您可以在创建DCS实例时添加标签，也可以在DCS实例创建完成后，在实例的详情页添加标签，您最多可以给实例添加20个标签。另外，您还可以进行修改和删除标签。 标签共由两部分组成：“标签键”和“标签值”，其中，“标签键”和“标签值”的命名规则如下表所示。 表 标签命名规则 参数名称 规则 标签键 不能为空。 对于同一个实例，Key值唯一。 首尾字符不能为空格。 长度不超过128个字符。 可以包含任意语种的字母、数字、空格和 . : + @。 不能以sys开头。 标签值 长度不超过255个字符。 可以包含任意语种的字母、数字、空格和 . : / + @。 首尾字符不能为空格。 操作步骤 步骤 1 登录分布式缓存服务管理控制台。 步骤 2 在管理控制台左上角单击 ，选择区域和项目。 步骤 3 单击左侧菜单栏的“缓存管理”。进入缓存管理页面。 步骤 4 在需要查看的DCS缓存实例左侧，单击该实例的名称，进入该实例的基本信息页面。 步骤 5 单击“实例配置>标签”页签，进入标签管理页面。 界面显示该实例的标签列表。 步骤 6 您可以根据实际需要，执行以下操作： 添加标签 a. 单击“添加/编辑标签”，弹出“添加/编辑标签”对话框。您可以直接在“标签键”和“标签值”中输入设置标签。 如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键值对。另外，您可以单击的“查看预定义标签”，系统会跳转到标签管理服务页面，查看已经预定义的标签，或者创建新的标签。 b. 单击“确定”。为实例添加标签成功。 修改标签 单击“添加/编辑标签”，弹出“添加/编辑标签”窗口，若想修改某标签键，在“添加/编辑标签”窗口中先删除该键，再添加该键，输入想要修改的标签值，单击“添加”。 删除标签 单击标签所在行“操作”列下的“删除”，如果确认删除，在弹出的“删除标签”窗口，单击“确定”。 结束

服务器迁移主要应用于物理机/虚拟机服务器上云迁移的场景,本节为您介绍服务器迁移的应用场景。 业务快速拓展 场景说明 业务系统需要具备快速拓展的能力，但传统的云下设备拓展能力有限，因此存在上云的需求。在迁移过程中，需要保证业务正常运行，并在上云后获得优于云下体验，同时还要支持快速的业务拓展。 场景痛点 在访问量突增的情况下，硬件负载均衡无法有效支撑业务需求； 中间件或数据库的压力过大，导致本地服务器无法承载业务； 物理机资源使用情况达到上限，无法快速扩容满足业务增长的需求。 场景架构 产品优势 选用云上资源，能够满足大部分客户需求。通过服务器迁移服务，可以快速将系统、应用、中间件、数据库等关键业务系统上云，并利用云化的高并发、可拓展性、高可用性等优势，使本地化的应用系统在上云后具备更高的活力和弹性。 搭配使用产品 在该场景实施建设时，您也可以搭配使用以下产品： 弹性云主机CTECS：用于承载迁移后的应用和业务系统。 弹性IP EIP：为迁移后的服务器提供静态公网IP，保证访问能力。 本地IDC陆续退网、业务持续上云

应用详情 1. 在Ecs应用详情左边导航栏中选择“应用监控“ 2. 在顶部菜单栏中选择“应用详情”查看相应信息 具体使用说明可参考应用性能监控>用户指南>应用详情 数据库监控 1. 在Ecs应用详情左边导航栏中选择“应用监控“ 2. 在顶部菜单栏中选择“数据库监控”查看相应信息 Rest 请求数 响应时间 慢调用次数 性能一揽 应用诊断 1. 在Ecs应用详情左边导航栏中选择“应用监控“ 2. 在顶部菜单栏中选择“应用诊断>Arthas诊断”查看相应信息 具体使用说明可参考应用性能监控>用户指南>Arthas诊断 外部调用监控 1. 在Ecs应用详情左边导航栏中选择“应用监控“ 2. 在顶部菜单栏中选择“外部调用监控”查看相应信息 请求数 响应时间 错误数 应用设置 具体使用说明可参考天翼云官网的“应用性能监控>用户指南>应用列表>应用设置”的文档 具体使用说明可参考应用性能监控>用户指南>应用设置 告警规则 1. 在Ecs应用详情左边导航栏中选择“告警规则“ 2. 在顶部菜单栏中选择“创建告警规则”，填写告警规则信息 具体使用说明可参考应用性能监控>用户指南>设置告警规则

什么是云主机备份？ 云主机备份（CSBS，Cloud Server Backup Service）可为云主机创建备份，利用多个云硬盘一致性备份数据恢复云主机业务数据，最大限度保障用户数据的安全性和正确性，确保业务安全。 云主机备份可以实现对多块云硬盘的崩溃一致性备份，云主机内的多个云硬盘是同一时间点进行备份的，但是备份前未冻结应用和文件系统，不备份内存数据，因此不是应用一致性备份。 什么是备份策略？ 备份策略指的是对备份对象执行备份操作时，预先设置的策略。包括备份策略的名称、开关、备份任务执行的时间、周期以及备份数据的保留规则。其中备份数据的保留规则包括保存时间或保存数量。通过将云主机绑定到备份策略，可以为云主机执行自动备份。 什么是一致性备份？ 业界对备份一致性的定义包括如下三类： 不一致备份：云主机中文件或磁盘数据的备份，不在同一时间点产生。 崩溃一致性备份：云主机中文件或磁盘数据的备份，在同一时间点产生，但不会静默数据库等应用系统、不会备份内存数据，不保证应用系统备份的一致性。 应用一致性备份：文件/磁盘数据在同一时间点，并静默数据库刷新内存数据，保证应用系统备份的一致性。

在数据库端或应用端的节点安装Agent后，当不需要停止审计数据库时，您可以在安装Agent的节点卸载Agent。 前提条件 已在安装节点安装了Agent程序。 在Linux操作系统上卸载Agent 1. 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录已安装Agent的节点。 2. 执行以下命令，进入Agent安装包“xxx.tar.gz”解压后所在目录。cd Agent 安装包解压后所在目录。 3. 执行以下命令，查看是否有卸载脚本“uninstall.sh”的执行权限。如果有卸载脚本的执行权限，请执行步骤4。如果没有卸载脚本的执行权限，请执行以下操作： 执行以下命令，添加卸载脚本执行权限。chmod +x uninstall.sh。 确认有安装脚本执行权限后，请执行步骤4。 4. 执行以下命令，卸载Agent。sh uninstall.sh。如果界面回显以下信息，说明卸载成功。 uninstall audit agent... exist osrelease file stopping audit agent audit agent stopped stop auditagent success service auditagent does not support chkconfig uninstall audit agent completed! 在Windows操作系统上卸载Agent 1. 进入Agent安装文件的目录。 2. 双击“uninstall.bat”执行文件，卸载Agent。 3. 验证Agent已卸载成功。 4. 打开任务管理器，查看“dbssauditagent”进程已停止。 5. 查看Agent安装目录，安装目录内容已经全部删除。

本页介绍天翼云TeleDB数据库的用户管理。 注意 用户管理模块只有DMS超级管理员才能进入，显示该组织下所有用户信息，支持编辑用户、删除用户。 1. 编辑用户 1. 选择安全中心 > 用户管理 ，进入用户列表界面。 2. 在用户信息列表右侧单击编辑 ，进入用户编辑 界面。 3. 在编辑界面可修改用户的用户名，所属团队信息。 2. 删除用户 1. 选择安全中心 > 用户管理 ，进入用户列表界面。 2. 在用户信息列表右侧单击删除 ，确认信息无误后，单击确定 即可将该用户从组织内移除。

本页介绍天翼云TeleDB数据库如何查看慢日志。 1. 单击慢查询分析 进入界面。 2. 单击时间框查询对应时间段内的慢SQL 3. 查看慢日志展示。 4. 单击全部用户 ，选择用户对应的慢SQL。 5. 单击SQL语句 ，选择慢SQL的筛选条件，并在右侧方框输入具体的筛选条件。 6. 单击查询 ，筛选出符合条件的慢SQL。 7. 单击重置 ，清空之前的筛选条件

您需要在部署天翼云TeleDB数据库之前，检查相关的机器、安装包、操作系统、端口等信息。 确保您的安装包与操作系统版本匹配。 检查机器之间是否存在通信问题或者拦截问题，确保主机之间网络互通。 确保已获取主机超级用户。 确保所有主机不能拥有teledbx用户，当安装或者开通实例会自动创建，无需手动创建。 若为高可用则需要配置vip，每组cn一个。 检查部署机器是否有空闲数据盘提供使用，已经挂载好磁盘不需要重新挂载。 安装之前请确保所有需要使用的服务端口未被占用。 安装的系统预先装好jdk 环境，建议 1.8.0201 版本及以上。 检查主机是否自带libaio0.3.10913.el7.x8664.rpm lz41.7.53.el7.x8664.rpmpv1.4.61.el7.x8664.rpm sshpass1.062.el7.x8664.rpm 依赖 perl 依赖。

您需要在部署天翼云TeleDB数据库之前，检查相关的机器、安装包、操作系统、端口等信息。 确保您的安装包与操作系统版本匹配。 检查机器之间是否存在通信问题或者拦截问题，确保主机之间网络互通。 确保已获取主机超级用户。 确保所有主机不能拥有teledbx用户，当安装或者开通实例会自动创建，无需手动创建。 若为高可用则需要配置vip，每组cn一个。 检查部署机器是否有空闲数据盘提供使用，已经挂载好磁盘不需要重新挂载。 安装之前请确保所有需要使用的服务端口未被占用。 安装的系统预先装好jdk 环境，建议 1.8.0201 版本及以上。 检查主机是否自带libaio0.3.10913.el7.x8664.rpm lz41.7.53.el7.x8664.rpmpv1.4.61.el7.x8664.rpm sshpass1.062.el7.x8664.rpm 依赖 perl 依赖。

本页介绍天翼云TeleDB数据库的命名规范。 1. DB object：database， schema， table， column， view， index， sequence， function， trigger 等名称。 建议使用小写字母、数字、下划线的组合。 建议不使用双引号即"包围，除非必须包含大写字母或空格等特殊字符。 长度不能超过63个字符。 不建议以pg 开头或者 pgxc（避免与系统 DB object 混淆），不建议以数字开头。 禁止使用SQL 关键字，如 type， order 等。 2. table 能包含的 column 数目，根据字段类型的不同，数目在250到1600之间。 3. 临时或备份的DB object：table、view 等，建议加上日期， 如 dbaops.b2cproductsummay20140712 (其中 dbaops 为 DBA 专用 schema)。 4. index命名规则为：普通索引为 表名列名idx，唯一索引为 表名列名uidx，如 studentnameidx，studentiduidx。

本页介绍天翼云TeleDB数据库的命名规范。 1. DB object：database， schema， table， column， view， index， sequence， function， trigger 等名称。 建议使用小写字母、数字、下划线的组合。 建议不使用双引号即"包围，除非必须包含大写字母或空格等特殊字符。 长度不能超过63个字符。 不建议以pg 开头或者 pgxc（避免与系统 DB object 混淆），不建议以数字开头。 禁止使用SQL 关键字，如 type， order 等。 2. table 能包含的 column 数目，根据字段类型的不同，数目在250到1600之间。 3. 临时或备份的DB object：table、view 等，建议加上日期， 如 dbaops.b2cproductsummay20140712 (其中 dbaops 为 DBA 专用 schema)。 4. index命名规则为：普通索引为 表名列名idx，唯一索引为 表名列名uidx，如 studentnameidx，studentiduidx。

您需要在部署天翼云TeleDB数据库之前，检查相关的机器、安装包、操作系统、端口等信息。 确保您的安装包与操作系统版本匹配。 检查机器之间是否存在通信问题或者拦截问题，确保主机之间网络互通。 确保已获取主机超级用户。 确保所有主机不能拥有teledbx用户，当安装或者开通实例会自动创建，无需手动创建。 若为高可用则需要配置vip，每组cn一个。 检查部署机器是否有空闲数据盘提供使用，已经挂载好磁盘不需要重新挂载。 安装之前请确保所有需要使用的服务端口未被占用。 安装的系统预先装好jdk 环境，建议 1.8.0201 版本及以上。 检查主机是否自带libaio0.3.10913.el7.x8664.rpm lz41.7.53.el7.x8664.rpmpv1.4.61.el7.x8664.rpm sshpass1.062.el7.x8664.rpm 依赖 perl 依赖。

本页介绍天翼云TeleDB数据库的命名规范。 DB object：database， schema， table， column， view， index， sequence， function， trigger 等名称。 建议使用小写字母、数字、下划线的组合。 建议不使用双引号即"包围，除非必须包含大写字母或空格等特殊字符。 长度不能超过63个字符。 不建议以pg 开头或者 pgxc（避免与系统 DB object 混淆），不建议以数字开头。 禁止使用SQL 关键字，如 type， order 等。 table 能包含的 column 数目，根据字段类型的不同，数目在250到1600之间。 临时或备份的DB object：table、view 等，建议加上日期， 如 dbaops.b2cproductsummay20140712 (其中 dbaops 为 DBA 专用 schema)。 index命名规则为：普通索引为 表名列名idx，唯一索引为 表名列名uidx，如 studentnameidx，studentiduidx。

本页介绍天翼云TeleDB数据库的命名规范。 DB object：database， schema， table， column， view， index， sequence， function， trigger 等名称。 建议使用小写字母、数字、下划线的组合。 建议不使用双引号即"包围，除非必须包含大写字母或空格等特殊字符。 长度不能超过63个字符。 不建议以pg 开头或者 pgxc（避免与系统 DB object 混淆），不建议以数字开头。 禁止使用SQL 关键字，如 type， order 等。 table 能包含的 column 数目，根据字段类型的不同，数目在250到1600之间。 临时或备份的DB object：table、view 等，建议加上日期， 如 dbaops.b2cproductsummay20140712 (其中 dbaops 为 DBA 专用 schema)。 index命名规则为：普通索引为 表名列名idx，唯一索引为 表名列名uidx，如 studentnameidx，studentiduidx。

本页介绍天翼云TeleDB数据库文件位置相关参数。 datadirectory (string) 指定用于数据存储的目录。这个选项只能在服务器启动时设置。 configfile (string) 指定主服务器配置文件postgresql.conf。这个参数只能在postgres命令行上设置。 hbafile (string) 指定基于主机认证配置文件pghba.conf。 这个参数只能在服务器启动的时候设置。 identfile (string) 指定用于用户名称映射的配置文件pgident.conf。 这个参数只能在服务器启动的时候设置。 externalpidfile (string) 指定可被服务器创建的用于管理程序的额外进程ID（PID）文件。这个参数只能在服务器启动的时候设置。 在默认安装中不会显式设置以上参数。相反，命令行参数D或者环境变量PGDATA指定数据目录，并且上述配置文件都能在数据目录中找到。 不建议更改上述参数默认值。

本页介绍天翼云TeleDB数据库的命名规范。 DB object：database， schema， table， column， view， index， sequence， function， trigger 等名称。 建议使用小写字母、数字、下划线的组合。 建议不使用双引号即"包围，除非必须包含大写字母或空格等特殊字符。 长度不能超过63个字符。 不建议以pg 开头或者 pgxc（避免与系统 DB object 混淆），不建议以数字开头。 禁止使用SQL 关键字，如 type， order 等。 table 能包含的 column 数目，根据字段类型的不同，数目在250到1600之间。 临时或备份的DB object：table、view 等，建议加上日期， 如 dbaops.b2cproductsummay20140712 (其中 dbaops 为 DBA 专用 schema)。 index命名规则为：普通索引为 表名列名idx，唯一索引为 表名列名uidx，如 studentnameidx，studentiduidx。

本页介绍天翼云TeleDB数据库如何查询站内消息。 在消息中心模块，提供了站内消息和消息订阅的功能。站内消息包括服务订阅、系统消息、产品消息和告警消息四大类消息。 消息查询：在消息查询中可以通过消息类型的精确匹配和消息标题或消息内容的模糊匹配对消息进行过滤查询。 消息详情：单击消息标题可以查看具体消息的详情，在查看具体消息详情之后，会将推送的消息置灰。 除此之外，还能够站内消息进行删除和批量删除以及全部删除操作。当您在消息列表上方单击全部标为已读按钮时，所有消息都将置灰。

本章节介绍应用容灾多活的消息层配置。 概述 消息层配置主要包括消息队列 和消息同步，每个单元组可以单独进行配置，不同单元的消息队列之间通过消息路由服务进行同步。 应用容灾多活通过控制面与数据面协同，对指定Topic消息进行打标与过滤。当某个单元发生故障时，可以通过切流任务将故障单元的消息在其他正常单元进行回溯接管，从而保障消息不丢失。 图 消息层配置 前提条件 已开通消息层功能模块。 已完成系统架构配置以及路由规则配置。 已为应用开通分布式消息服务RocketMQ实例。 已为不同站点的实例创建同名的Topic和Group。 配置消息队列 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 在应用系统列表中找到需要配置的应用系统，单击应用系统名称 ，进入应用系统概览页面。 4. 单击左侧导航栏容灾配置 ，在容灾配置菜单下单击消息层配置 ，进入容灾配置消息层配置页面。 5. 单击消息队列 配置列表上方创建 按钮，弹出创建消息队列配置页面。 6. 如下表示例，填写配置信息，单击确定按钮，完成配置。 7. 如需修改或删除消息队列配置，可单击所选配置操作列修改 或删除按钮，根据界面提示进行操作。 表 消息队列配置 配置项 描述 示例 消息队列名称 消息队列自定义标识。 商城北京消息队列 站点 消息队列部署所在站点。 北京站点 产品类型 消息队列技术类型： RocketMQ RocketMQ 实例类型 消息队列产品类型。 云实例 消息队列实例 消息队列对应的云实例ID。 RocketMQ810

本节主要介绍云存储网关的功能特性。 接口适配 支持SAN网络存储类型，即通过标准iSCSI协议支持块存储。 访问加速 采用分布式双控架构，提升读写性能，延迟极低。同时也实现了本地缓存和云端存储的冷热数据分离，提高了数据访问速度。 统一管理 提供统一管理功能，支持单机和集群部署，并可以集中管理服务器和存储卷。 支持系统监控和报警，可以监控服务器CPU、内存、数据读写速度等信息，系统运行异常时立即发出告警。 自动部署 支持部署在通用硬件服务器上，支持一键自动化软件部署、滚动升级，运维简单、易用、高效。 通过在线增加服务器或者磁盘进行扩容，且在扩容过程中，不影响用户业务，数据平滑迁移。 数据保护 支持多副本和纠删码数据冗余保护机制，可以提高空间的利用效率并获得较好的数据保护效果，保证了海量数据的存储可靠性和持续可用性。 支持数据完整性校验、传输加密，确保数据安全可靠，同时利用了OOS独有的原子操作，能够真正确保云上数据的一致性。 上云能力 支持多种数据上云方式，本地既可只缓存热数据，又可以保留全量数据，数据自动同步到云端，实现存储空间弹性扩展。 云存储网关功能特性 功能模块 功能特性 安装部署 支持单机版、集群版部署具备安装、初始化、密码修改、升级、卸载功能。 基础服务 卷：创建、查询、删除、启用、禁用、扩容、修改。 基础服务 iSCSI Target：创建、查询、删除、修改。 基础服务 服务器：添加、查询、移除、修改、启动、停止、重启、还原。 基础服务 数据目录：添加、移除。 系统设置 邮件通知：启用、禁用、查询、删除。 系统设置 远程协助：启用、禁用、查询、删除。 系统设置 备份配置：启用、禁用、查询、删除、执行备份。 系统设置 系统信息：查询部署信息、状态信息、版本信息。 监控 CPU使用率、内存使用率、各数据目录的磁盘使用率和使用量、数据传输情况（当天写入量，当前读取量，当天写请求成功率，当天读请求成功率，累计写入量，累计读取量）。

产品功能 功能详情 视图接入 设备接入：支持GB28181/GB35114/GA1400/RTMP/RTSP/EHOME等多种标准协议设备直接接入。 平台接入：支持下级GB28181平台级联接入，支持下级GA1400视图库接入。 网关接入：支持局域网内设备通过边缘网关批量上云，支持主流视频厂商私有SDK协议、Onvif标准协议设备接入。 视图存储 录制模板：支持配置录像存储天数、自动录制、按需录制等。 视频存储：支持视频流实时全量存储，按需存储。 图片存储：支持抓拍机/AI设备等多种设备抓拍上传存储。 存储优势：支持纠删码方式进行分布式存储，具备流直存能力。 视图分发 直播分发协议：支持输出RTMP/FLV/HLS/WebRTC协议。 点播分发协议：支持输出HLS协议，MP4录像文件下载。 视频共享：支持向上级GB/T28181平台共享设备视频数据，支持向上级GA/T 1400视图库共享图片数据。 视图分析 算法仓库：支持算法仓库管理，高效的GPU算力资源调度、算法编排，算法与设备灵活绑定。 场景API：支持人脸识别、人体属性检测、车牌识别、城市治理多场景API。 告警回调：支持将分析结果通过回调配置，同步给其他平台。 访问管理 访问控制：管理员可以根据用户职责，创建不同的IAM用户并分配不同的访问权限，包括分配不同的设备访问资源和设备操作权限。 跨账号资源访问：支持委托信任的天翼云账号安全共享设备资源，支持灵活分配共享的资源权限范围。 开放平台 具备OpenAPI接口：平台所有原子化能力可以通过OpenAPI接口提供给应用平台。 具备API Explorer能力：可以通过API Explorer在线调试OpenAPI接口。 视频调阅 实时预览：支持多分屏、云台控制、电子缩放、语音对讲、实时截图。 录像回放：支持多分屏、倍速、同步/异步放像、电子缩放、录像截图、录像下载。 视图查看：支持视图数据查询及基本信息查看。 电子地图：支持平面/3D/卫星地图模式切换、支持多种点位汇聚模式。

适用场景 众所周知，将传统的单体应用拆分为一个个微服务固然带来了各种好处，包括更好的灵活性、可伸缩性、重用性，但微服务也同样面临着特殊的安全需求，如下所示： 为了抵御中间人攻击，需要用到流量加密。 为了提供灵活的服务访问控制，需要用到TLS和细粒度访问策略。 为了决定哪些人在哪些时间可以做哪些事，需要用到审计工具。 面对这些需求应用服务网格提供全面的安全解决方案，包括身份验证策略，透明的TLS加密以及授权和审计工具。 价值 默认的安全性：无需修改即可保证应用程序代码和架构的安全性。 纵深防御：与现有的安全系统结合并提供多层防御。 零信任网络：在不受信任的网络上构建安全解决方案。 优势 非侵入安全：应用服务网格是以一种安全基础设施的方式向用户提供透明的安全能力，让不涉及安全问题的代码安全运行，让不太懂安全的人可以开发和运维安全的服务，不用修改业务代码就能提供服务访问安全。应用服务网格提供了一个透明的分布式安全层，并提供了底层安全的通信通道，管理服务通信的认证、授权和加密，提供Pod到Pod、服务到服务的通信安全。开发人员在这个安全基础设施层上只需专注于应用程序级别的安全性。 细粒度授权：在认证的基础上，就可以进行服务间的访问授权管理，可以控制某个服务，或者服务的一个特定接口进行授权管理。如只开放给特定的一个Namespace下的服务，或者开放给某个特定的一个服务。源服务和目标服务可以在不同的集群，甚至源服务的不同实例在不同的集群，目标服务的不同实例在不同的集群。 服务运行监控

本文主要介绍 prometheus。 插件简介 Prometheus是一套开源的系统监控报警框架。它启发于Google的borgmon监控系统，由工作在SoundCloud的Google前员工在2012年创建，作为社区开源项目进行开发，并于2015年正式发布。2016年，Prometheus正式加入Cloud Native Computing Foundation，成为受欢迎度仅次于Kubernetes的项目。 在云容器引擎CCE中，支持以插件的方式快捷安装Prometheus。 插件官网： 开源社区地址： 约束与限制 CCE提供的Prometheus插件仅支持1.21及以下版本的集群。 插件特点 作为新一代的监控框架，Prometheus具有以下特点： 强大的多维度数据模型： 时间序列数据通过metric名和键值对来区分。 所有的metrics都可以设置任意的多维标签。 数据模型更随意，不需要刻意设置为以点分隔的字符串。 可以对数据模型进行聚合，切割和切片操作。 支持双精度浮点类型，标签可以设为全unicode。 灵活而强大的查询语句（PromQL）：在同一个查询语句，可以对多个metrics进行乘法、加法、连接、取分数位等操作。 易于管理：Prometheus server是一个单独的二进制文件，可直接在本地工作，不依赖于分布式存储。 高效：平均每个采样点仅占3.5 bytes，且一个Prometheus server可以处理数百万的metrics。 使用pull模式采集时间序列数据，这样不仅有利于本机测试而且可以避免有问题的服务器推送坏的metrics。 可以采用push gateway的方式把时间序列数据推送至Prometheus server端。 可以通过服务发现或者静态配置去获取监控的targets。 有多种可视化图形界面。 易于伸缩。 需要指出的是，由于数据采集可能会有丢失，所以Prometheus不适用对采集数据要100%准确的情形。但如果用于记录时间序列数据，Prometheus具有很大的查询优势，此外，Prometheus适用于微服务的体系架构。

随着越来越多的数据源持续、快速地产生数据，此类流式数据急需被系统分析和处理。事件流适用于端到端的流式数据处理场景，对源端产生的事件实时抽取、转换和分析并加载至目标端，帮助您轻松处理流式数据。 事件流总体架构 事件流作为更轻量、实时端到端的流式事件通道，提供轻量流式数据的过滤和转换的能力，在不同的数据仓库之间、数据处理程序之间、数据分析和处理系统之间进行数据同步，连接不同的系统与服务。 如下图所示，事件源与事件目标之间无需定义事件总线，事件通过事件流这个通道在源端和目标端之间进行流转。 事件源：事件的来源，可将天翼云服务如分布式消息Kafka的业务数据作为事件流中的事件提供方。 事件过滤：事件流通过事件模式过滤事件并将事件路由到事件目标，事件模式必须和匹配的事件具有相同的结构。 事件转换：可选择天翼云函数计算作为事件转换器，您可以通过编写函数代码对事件进行更复杂、更加定制化的处理。 事件目标：消费事件消息。 功能优势 实时高效 事件流支持实时从事件源获取、过滤与转换事件，并加载至事件目标。无需定义事件总线，您可以更快地访问事件。 轻量集成 只需在控制台简单创建任务或者一次调用，即可建立实时端到端的流式事件通道，避免了复杂繁琐的操作，便于快速集成。 指标监控 事件流提供多个指标，您可以使用这些指标监控数据流的运行状况，出现异常时及时运维，确保数据流正常运行。 节约成本 按量计费，按照数据量进行计费，不使用则不收费。

配置项 说明 账号名 填写需要添加的账号名。 账号类型 选择账号所管理的资产类型，包含数据库、应用服务。 关联资产 选择账号所管理的资产。 使用人 选择使用人。 账号标签 选择该账号所属标签，单击“新建标签”可以自定义增加标签类型。 其他 填写账号的其他描述信息。

绑定AD 绑定AD功能支持管理员自主配置和管理企业的身份提提供方Active Directory(以下简称 AD)。 操作场景 身份管理可以打破身份孤岛，实现统一访问控制，允许企业成员使用一个账号畅游所有应用。 操作步骤 1. 进入“天翼AI云电脑（政企版）”管理控制台； 2. 展开“身份管理”菜单栏，选择“身份提供方”，点击“绑定AD”，进入“绑定AD”页面； 第一步：连接AD 在第一步中，您需要在绑定AD中填写以下信息： 显示名称： 说明：管理员查看AD配置及相关操作日志时显示。 AD 域名： 说明：您的 Active Directory 域的全称。 格式：符合 DNS 命名规范（例如：example.com）。 示例：corp.yourcompany.com 主域控制器 DNS： 说明：主域控制器（Primary Domain Controller）的 IP 地址或可解析的主机名。 示例：192.168.1.10 或 dc01.corp.yourcompany.com 备域控制器 DNS (可选)： 说明：备域控制器（Secondary Domain Controller）的 IP 地址或可解析的主机名。 示例：192.168.1.11 或 dc02.corp.yourcompany.com AD 认证账号： 说明：用于绑定和查询 AD 的管理员账号。此账号必须对整个 AD 目录至少拥有读取权限。 格式：支持以下格式： UPN 格式：username@domainname (例如：admin@corp.yourcompany.com) DN 格式：CNUsername, OUSomeOU, DCcorp, DCyourcompany, DCcom (例如：CNsvcbind, OUService Accounts, DCcorp, DCyourcompany, DCcom) 权限要求： 必须拥有对整个 AD 目录结构（所有域节点）的只读访问权限。 AD 认证密码： 说明：上述认证账号对应的密码。 安全提示：输入密码通常以掩码显示。 用户组织单元 (OU)： 说明： 指定需要同步或管理的 AD 用户账户所在的组织单元 (OU) 路径。此为必填项。 格式：使用 LDAP 可分辨名称 (Distinguished Name)。 示例：OUEmployees, DCcorp, DCyourcompany, DCcom 云电脑加入的 OU： 说明：指定云电脑在加入 AD 域时将被放置的组织单元 (OU) 路径。 格式：使用 LDAP 可分辨名称 (Distinguished Name)。 示例：OUCloud PCs, DCcorp, DCyourcompany, DCcom 必填条件：仅在需要对云电脑执行加域操作时，此项为必填项。 共享公网出口 IP： 地址： 182.42.7.245 作用： 此 IP 是天翼云电脑服务访问您本地 Active Directory 的源地址。 网络要求： 若您的本地网络防火墙或安全设备配置了 IP 白名单（允许列表），您必须将此 IP (182.42.7.245) 添加到白名单中。 防火墙端口要求： 目的： 允许云服务通过指定的协议端口与您的域控制器通信。 必需操作： 在您的防火墙白名单中，同时允许上述出口 IP (182.42.7.245) 访问您域控制器的以下端口： LDAP (明文/StartTLS)： 端口 389 (TCP) LDAPS (SSL/TLS 加密)： 端口 636 (TCP) 注意： 具体需要开放的端口取决于您选择的认证协议（见下文）。 目录访问协议： 可选协议： LDAP： 标准轻型目录访问协议。默认使用端口 389。 StartTLS 扩展： 它在已建立的 LDAP 连接 (389) 上协商 TLS 加密，显著提升通信安全性。启用需要在您的 AD 域控制器上配置并部署有效的 SSL/TLS 证书。 LDAPS： 基于 SSL/TLS 加密的 LDAP。强制使用端口 636。 提供全程加密通信。启用同样需要在 AD 域控制器上配置并部署有效的 SSL/TLS 证书。 域控制器服务器地址： 说明：提供您的 Active Directory 域控制器 (Domain Controller) 的可访问地址。 格式：IP地址:端口 或 完整域名(FQDN):端口 要求： 主域控制器地址： (必填) 备域控制器地址： (可选) 端口选择： 如果选择 LDAP (无 StartTLS)，端口填 389。 如果选择 LDAP + StartTLS 或 LDAPS，端口填 636。 关键说明： 服务器地址必须填写其公网可路由的 IP 地址或可被公网 DNS 解析的 FQDN。 示例 (使用公网IP)： 主：203.0.113.10:636 (假设使用 LDAPS) 备：203.0.113.11:636 示例 (使用FQDN)： 主：dc01.corp.example.com:636 备：dc02.corp.example.com:636 重要提示： 请勿使用内网地址 (如 127.0.0.1, 192.168.x.x, 10.x.x.x) 或仅在内网解析的域名。 云服务无法直接访问您的内网地址。 第二步：选择场景 在第二步中，选择希望和AD实现的场景能力。 登录未关联用户配置： 企业账号经过企业认证通过后，如果还没有同步用户，选择登录失败则返回失败； 选择自动创建用户则创建用户并登录成功 增量同步：从所选择的时间点开始进行同步 数据同步时间：从所选择的时间点开始进行同步 同步时间间隔：从同步时间开始，每隔 X 小时执行一次同步 委托认证高可用：开启后，如果域控服务器访问失败，可以使用本地密码较验 用户ObjectClass：如果您自定义了AD 中对象的 ObjectClass，可以在此处配置。例如将 ObjectClassuser 的对象视作AD 中的用户。 用户登录标识：可使用;对属性进行分割，此时为或关系 用户Filter过滤：可以使用LDAP语法对需要判断的用户进行过滤 第三步：字段映射 如果需要和AD用户或组织进行绑定，例如将AD用户的用户名作为天翼云电脑账户的账户名，则需要在第三步配置字段映射。如需使用映射标识能力，需手动设置为同步标识，如下图的用户名字段。 配置其它AD 用于管理虚拟桌面加入域的操作（即“加域”过程），限制最多配置两个企业AD。最多只能配置两个其它AD。 配置系统：Windows 系统 、银河麒麟、中标麒麟 其它配置项参考绑定AD

本文主要介绍CCE控制台的权限依赖。 CCE对其他云服务有诸多依赖关系，因此在您开启IAM系统策略授权后，在CCE Console控制台的各项功能需要配置相应的服务权限后才能正常查看或使用，详细说明如下： 依赖服务的权限配置均基于您已设置了IAM系统策略授权的CCE FullAccess或CCE ReadOnlyAccess策略权限，详细设置方法请参见集群权限（IAM授权）。 1.11.7r2及以上版本的集群，显示情况依赖于命名空间权限的设置情况，如果没有设置命名空间权限，则无法查看集群下的资源。 如果您设置了全部命名空间的view权限，则可以查看到对应集群的全部命名空间下的资源，但密钥 ( Secret )除外，密钥 ( Secret )需要在命名空间权限下设置admin或者edit权限才能查看。 CustomedHPA与HPA策略需要配置命名空间clusteradmin权限下才能生效。 如果您设置的是单一命名空间的view权限，则看到的只能是指定命名空间下的资源。 依赖服务的权限设置 如果IAM用户需要在CCE Console控制台拥有相应功能的查看或使用权限，请确认已经对该用户所在的用户组设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess策略的集群权限，再按下表增加依赖服务的角色或策略。 说明 企业项目能够实现企业不同项目间资源的分组和管理，重在资源隔离，而IAM可以实现细粒度授权，因此强烈推荐您使用IAM实现权限管理。 若您使用企业项目设置子用户权限，会有如下功能限制： 在CCE控制台，集群监控获取AOM监控的接口暂不支持企业项目，因此企业项目子用户将无法查看监控相关数据。 在CCE控制台，由于创建节点时的密钥对查询接口不支持企业项目，因此企业项目子用户将无法使用“密钥对”登录方式，您可以选择使用“密码”登录方式。 为企业项目设置CCE FullAccess 权限后，需要在IAM控制台界面中再配置ecs:availabilityZones:list权限，企业项目子用户创建节点才可以正常显示并创建，否则将提示没有ecs:availabilityZones:list权限。 CCE支持细粒度的权限设置，但有如下限制说明： AOM不支持资源级别细粒度：当通过IAM集群资源细粒度设置特定资源操作权限之后，IAM用户在CCE控制台的总览界面查看集群监控时，将显示非细粒度关联集群的监控信息。 在IAM页面设置CCE FullAccess 或者CCE ReadOnlyAccess权限后，需要配置 sfsturbo::权限才能使用极速文件存储卷，否则IAM用户在集群下查询极速文件存储卷将失败。 CCE Console中依赖服务的角色或策略 Console控制台功能 依赖服务 需配置角色/策略 总览 应用运维管理AOM IAM用户设置了CCE Administrator权限后，需要增加AOM FullAccess权限后才能访问总览中的数据图表。 支持设置了IAM ReadOnlyAccess和CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户直接访问总览中的数据图表。 工作负载 弹性负载均衡ELB 应用运维管理AOM NAT网关 NAT 对象存储服务OBS 弹性文件服务SFS 正常创建工作负载时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要使用Java探针，需要设置AOM FullAccess权限。 如果需要NAT网关类型的服务，需要设置NAT Gateway Administrator权限。 如果使用对象存储，需要全局设置OBS Administrator权限。说明由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后， 大概需要等待13分钟RBAC策略才能生效；授予OBS相关的系统策略后，大概需要等待5分钟系统策略能生效。l 如果使用文件存储，需要设置SFS FullAccess权限。 集群管理 应用运维管理AOM 如果需要弹性扩容权限，需要设置AOM FullAccess权限。 节点管理 弹性云主机ECS 当IAM用户权限为CCE Administrator时，如果创建和删除节点，需要配置ECS FullAccess或ECS Administrator权限，以及VPC Administrator权限。 网络管理 弹性负载均衡ELBNAT网关 NAT 正常创建时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要NAT网关类型的服务，需要设置NAT Administrator权限。 存储管理 对象存储服务OBS弹性文件服务SFS 如果使用对象存储，需要全局设置OBS Administrator权限。 说明br由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后，大概需要等待13分钟RBAC策略才能生效；授予OBS相关的系统策略后，大概需要等待5分钟系统策略能生效。 如果使用文件存储，需要设置SFS FullAccess权限。 如果使用极速文件存储，需要设置SFS Turbo Admin权限导入存储的功能需要设置CCE Administrator权限。 命名空间 / 无需其他依赖权限。 模板市场 / 当前仅支持帐号、设置了CCE Administrator权限的IAM用户访问。 插件管理 / 支持帐号、设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess等权限的IAM用户访问本功能。 权限管理 / 支持帐号访问。 支持设置了CCE Administrator和Security Administrator（全局级策略）权限的IAM用户访问。 支持设置了CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户访问。 配置中心 / 配置项( ConfigMap )无需其他依赖权限。 密钥( Secret )需要在命名空间权限下设置clusteradmin、admin或者edit权限才能查看，依赖服务需要添加DEW KeypairFullAccess或者DEW KeypairReadOnlyAccess权限。 帮助中心 / 无需其他依赖权限。 其他服务跳转 容器镜像服务SWR应用运维管理AOM 为便于您快速进入CCE相关服务的控制台，在CCE控制台增加了其他服务的跳转链接，CCE默认没有这些服务的全部权限，如果IAM用户需要查看或使用其功能，请按照该服务的权限策略说明设置相应的权限策略。

变量名 ”的形式将环境变量添加到后端服务地址中，如 ipaddress 。支持添加多个环境变量，如 ipaddress test。 l 路径 后端服务的路径，即服务的uri，可以包含路径参数，以{路径参数}形式表示，比如/getUserInfo/{userId}。 如果请求路径中含有环境变量，则使用变量名的方式将环境变量定义到请求路径中，如/path。支持创建多个环境变量，如/path request 。 自定义host头域 仅在使用负载通道时，可设置 。 在请求被发送到负载通道中主机前，允许您自定义请求的host头域，默认将使用请求中原始的host头域。 后端超时(ms) 后端服务请求的超时时间，可填写范围1ms~60000ms。 如果在API调试过程中，遇到后端响应超时之类的错误，请适当调大后端超时时间，以便排查原因。 说明 如果当前的超时时间范围不能满足实际业务需求，请在实例配置参数中修改超时时间上限，可修改范围为1ms~600000ms。如果您修改了超时时间上限，需要同步修改此处的超时时间。 重试次数 后端服务请求失败后的重试次数，默认值为0，取值范围1~10。 l 值为1时，表示不开启重试功能，但除POST和PATCH外的其他请求类型会默认重试1次。 l 值为010时，表示开启重试功能，并根据设置的值执行重试。当值为0时，不重试。 使用负载通道时 ，重试次数应小于负载通道中已启用的后端服务器个数。 TLS双向认证 仅在协议为“HTTPS ”时，可设置。 选择是否在API网关和后端服务间启用双向认证，如果选择“使用backendclientcertificate配置的证书做客户端认证”，您需在实例的“配置参数”中提前配backendclientcertificate证书。 后端认证 当您的后端服务需要对API调用增加自己的认证，则开启后端认证。 后端认证需要先添加一个自定义认证，自定义认证通过函数服务实现，在函数服务中编写一个函数，实现您的认证鉴权流程，或者使用函数调用您的统一鉴权服务。 说明 后端认证依赖函数服务，此功能仅在部分区域开放。 表 Mock类型定义后端服务 信息项 描述 Mock自定义返回码 选择API响应的HTTP状态码。 Mock返回结果 Mock一般用于开发调试验证。在项目初始阶段，后端服务没有搭建好API联调环境，可以使用Mock模式，将预期结果固定返回给API调用方，方便调用方进行项目开发。 后端认证 选择相关的后端认证。 添加header参数 自定义API响应的header参数。 单击“添加header参数”，并填写参数名、参数值和参数描述。 说明 在URL中配置了变量标识后，在API调试页面将无法调试。 如果在URL中设置变量，那么必须在待发布环境上配置变量名和变量值，否则变量无法赋值，API将无法正常调用。 变量名严格区分大小写。 步骤 2 （可选）配置默认后端的后端服务参数，将调用API时传入的请求参数映射到后端服务请求的对应位置。如未定义请求参数，可直接跳过此步骤。 1. 在“后端服务参数”下，可通过以下任意一种方法添加后端服务参数。 单击“导入入参定义”，把所有已定义的API请求参数添加到后端服务参数。 单击“添加后端参数映射”，按需逐个添加后端服务参数。 2. 根据后端服务实际的参数名称和参数位置修改映射关系，如下图 所示。 图 配置后端服务参数 a. 后端参数在“PATH”位置，那么参数名称需要和“路径”中的名称相同。 b. 调用API的请求参数名称、位置可以与后端参数名称、位置不同。 说明 参数名不能是xapig 、xsdk开头，不区分大小写。 参数名不能是xstage，不区分大小写。 参数位置为HEADER时，参数名不区分大小写，也不支持下划线开头。 c. 如上图，test01和test03在调用API时分别配置于PATH和QUERY位置，后端服务通过映射，将在HEADER位置接收test01和test03的值。test02在调用API时配置于HEADER位置，后端服务通过映射，将在PATH位置以参数名test05来接收test02的值。 假设test01为aaa，test02为bbb，test03为ccc。 API调用请求： curl ik H 'test02:bbb' X GET 后端服务请求： curl ik H 'test01:aaa' H 'test03:ccc' X GET 步骤 3 （可选）配置默认后端的常量参数。如果后端服务需要接收固定的常量信息，可以通过设置常量参数来实现。API网关向后端服务发送请求时，将常量参数添加到请求的指定位置，然后将请求发送给后端服务。 在“常量参数”下，单击“添加常量参数”，添加后端服务请求的常量参数。 注意 常量参数会明文展示，为防止信息泄露，请谨慎配置。 表 常量参数配置 信息项 描述 常量参数名 填写常量参数的名称。“参数位置”为“PATH”时，参数名需要与“路径”中的参数名称一致。 说明 参数名不能以xapig 、xsdk开头，不能是xstage，不区分大小写。 参数位置为HEADER时，参数名不支持下划线开头，不区分大小写。 参数位置 选择常量参数在后端服务请求中的位置，可选择“PATH”、“HEADER”和“QUERY”。 参数值 填写常量参数的值。 描述 填写常量参数的描述信息。 说明 API网关将包含常量参数的请求发送给后端服务前，会对特殊参数值进行百分号编码，请确保后端服务支持百分号编码。例如，参数值[api]，在百分号编码后变为%5Bapi%5D。 对于PATH位置的参数值，API网关会对如下字符进行百分号编码：ASCII码为0到31的字符、?、>、<、/、%、

天翼云AOne iOS版本 第三方信息共享清单及SDK目录 名称 使用场景 使用目的 信息名称 信息类型 共享方式 开发者/公司 第三方隐私和信息处理规则/开发者协议链接 企业微信登录SDK 关联账号登录 企业微信账号授权登录 无 无 无 深圳市腾讯计算机系统有限公司 腾讯企业微信SDK隐私和信息处理规则 飞书登录SDK 关联账号登录 飞书账户授权登录 设备信息与日志信息：操作系统版本号、服务日志 个人常用设备信息 SDK本机采集 北京飞书科技有限公司 飞书登录 SDK 隐私政策 钉钉登录SDK 关联账号登录 钉钉账户授权登录 无 无 无 钉钉科技有限公司 钉钉登录SDK隐私政策 SDWebImage 图片的加载缓存 图片的加载缓存 无 无 无 社区开源项目 < AFNetworking 和后端的接口交互 进行接口的数据请求 无 无 无 社区开源项目 FMDB 本地数据的存储 数据库的管理 无 无 无 社区开源项目 SSZipArchive 分享文件时压缩文件 文件的压缩与解压 无 无 无 社区开源项目 < CocoaLumberjack 日志打印 日志打印到本地文件 无 无 无 社区开源项目 < SVGKit svg格式图片的显示 svg格式图片的显示 无 无 无 社区开源项目 < openim IM/通知号 IM通信和服务号通知 正在运行的应用安装列表、存储外部存储目录、 读取外部存储目录、存储目录管理、发送语音、拍照 个人设备信息 SDK本机采集 社区开源项目 OpenIM隐私政策 mailcore2 邮箱 获取邮箱、邮箱收发服务 无 无 SDK本机采集 < RZRichTextView 富文本 富文本编辑显示功能 无 无 无 < TZImagePickerController 相册选择 邮箱获取相册图片服务 无 无 无 < SQLCipher 邮箱数据库加密 邮箱数据库加密服务 无 无 无 <