本章节指导您快速创建后端服务为FunctionGraph的API，并通过APIG安全认证中的“自定义认证”鉴权方式进行调用。 方案概述 1. 登录FunctionGraph控制台，创建函数，并将其定义为自定义认证函数。 2. 登录FunctionGraph控制台，创建一个业务函数。 3. 购买APIG专享版实例，并在其中创建一个API分组，用来存放API。 4. 创建一个鉴权方式为自定义认证且后端为FunctionGraph的API。 5. 调试API。 构建程序 创建API分组 创建函数及添加事件源之前，需要先创建一个API分组，API分组是API的管理单元，用来存放API。 1. 登录APIG控制台，右上角单击“立即购买专享版”，配置详情请参见《API网关(APIG) 快速入门》的“购买专享版实例”章节。 2. 选择已创建的APIG专享版实例，并在导航栏选择“API管理 > API分组”，单击“创建API分组”。 3. 选择直接创建，设置以下分组信息，完成后单击“确定”创建分组。 1. 输入您自定义的分组名称，例如APIGrouptest。 2. 描述：输入对分组的描述。 创建自定义认证函数 前端自定义认证指APIG利用校验函数对收到的API请求进行安全认证，如果您想要使用自己的认证系统对API的访问进行认证鉴权，您可以在API管理中创建一个前端自定义认证来实现此功能。您需要先在FunctionGraph创建一个函数，通过函数定义您所需的认证信息，函数创建成功后，即可对API网关中的API进行认证鉴权。本示例以Header中的请求参数：event["headers"]，为例进行演示。 1. 进入函数工作流控制台后，在左侧导航栏选择“函数 > 函数列表”，进入函数列表界面。 2. 单击“创建函数”，进入创建函数流程。 3. 填写函数配置信息，完成后单击“创建函数”。 1. 模板：选择“使用空白模板”。 2. 函数类型：事件函数。 3. 函数名称：输入您自定义的函数名称，例如：apigtest。 4. 委托名称：选择“未使用任何委托”。 5. 运行时语言：选择“Python 2.7”。 4. 进入函数详情页，在“代码”页签，进行代码在线编辑。 5. 配置测试事件，测试用于前端自定义认证的函数。单击“配置测试事件”，选择事件模板。根据实际情况修改后保存测试模板(本示例在"headers"中添加"auth":"abc"），完成后单击“创建”。 图 配置测试事件 6. 单击“测试”，执行结果为“成功”时，表示自定义认证函数创建成功。

本文为您介绍云迁移服务CMS如何创建资源任务。 介绍说明 您在使用云迁移服务CMS平台时，发现没有目标资源需要对资源任务进行创建，您可以进入[ 资源管理 ] 界面，通过点击【资源发现】按钮进行资源加入。 图1：云迁移服务CMS资源管理面板 操作步骤 1. 运行云迁移服务CMS平台，在[ 资源管理 ] 界面右上角点击【资源发现】按钮，进入资源创建。 2. 在[发现选择]界面中选择采集方式，这边以离线模式为例。 3. 点击【下一步】按钮，在[信息收集]界面，您需要对任务文件模板进行下载填写，这边以IDC调研模板下载为例。 4. 编辑下载好的IDC调研模板。 5. 在[信息收集]界面填写基本信息，选择第四步编辑好的模板信息，点击【文件上传】按钮。 6. 完成信息收集后，平台会进入资源确认，您需对填写资源进行确认无误后，点击【资源确认】按钮，完成资源任务创建。

本文为您介绍密钥管理服务的功能特性。 密钥生命周期管理 提供密钥全生命周期管理，包括密钥创建、自带密钥导入（BYOK）、启用/禁用、别名设置、轮转策略设置、版本设置、计划删除、取消删除等。 密钥算法 支持对称密钥算法类型为AES256、SM4。 支持非对称密钥算法类型为RSA2048、SM2。 硬件保护 通过部署托管密码机，采用由国家密码管理局批准的密码设备硬件，满足监管合规需求。 提供更高安全等级的硬件保护机制保护密钥，确保密钥的保密性、完整性和可用性。 密钥轮转 支持通过定期自动轮转或手动创建密钥版本，以加强密钥使用的安全性。 对于对称密钥，密钥版本可通过设置轮转策略，由系统根据轮转周期自动生成。 对于非对称密钥，可人工创建新的密钥版本。 密钥轮转或人工创建产生新的主版本后，KMS不会删除或禁用非主版本，使得经非主版本加密的密文仍可以正常解密。 自带密钥导入 支持导入用户自带密钥。当用户希望使用自己的密钥材料时，可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥，并将自己的密钥材料导入该用户主密钥中。 别名管理 别名是用户主密钥的可选标识，同一个用户在一个地域中的别名具有唯一性。每个别名只能指向同地域的一个用户主密钥，但是每个用户主密钥可以绑定多个别名。 用户可通过控制台创建别名、删除别名，还可以通过API进行别名的创建、更新、删除等。

步骤二：创建路由 单击目标API名称，进入API详情页，单击创建路由，在创建路由面板，配置相关参数。 1. 配置路由基本信息 必填路由名称和路径，可为该路由绑定域名。 2.所属实例&后端服务 选择对应的云原生API网关实例，使用场景选择单服务。 3.关联服务 1. 创建服务来源：进入 所属实例，选择"服务">"服务来源"，点击"创建来源"，来源类型选择"容器服务"，并选择"容器集群"。 如果需要监听K8s Ingress，则填写监听的命名空间标签选择器。 2. 创建服务：选择"服务">"服务管理"，点击"创建服务"，服务来源选择 "容器服务"，选择对应的命名空间和服务。 c.保存并发布路由。 步骤三：路由调试 1. 路由发布成功后，单击目标路由操作列的"调试"。 2. 在调试面板中输入相关接口参数，并单击"发送请求"，在右侧即可看到服务接口的返回结果。

本节介绍AccessKey的管理操作说明。 AccessKey 是调用 AIuse 云电脑 SDK 和 MCP 能力的身份凭证。调用方需要使用 AccessKey ID、AccessKey Secret 和桌面编码建立连接，并在授权范围内操作云电脑。 创建 AccessKey 操作步骤如下： 1. 登录 AIuse 云电脑控制台。 2. 进入“协同套件 AIuse 云电脑”功能专区。 3. 在服务管理页面单击“创建 AccessKey”。 4. 输入 AccessKey 名称等信息。 5. 确认创建。 创建完成后，请妥善保存 AccessKey ID 和 AccessKey Secret。AccessKey Secret 属于敏感凭证，不应通过截图、聊天工具、工单附件或公开仓库传播。 命名建议 建议 AccessKey 名称包含业务含义，便于后续管理和排查。 名称示例 说明 demodevkey 演示环境使用 projectatestkey 项目 A 测试环境使用 financebatchprodkey 财务批处理生产任务使用 关联云电脑 AccessKey 创建后，需要关联指定云电脑才可使用。 操作步骤如下： 1. 在服务管理页面找到目标 AccessKey。 2. 单击“关联云电脑”。 3. 在弹窗中搜索并选择需要绑定的云电脑。 4. 单击确认，完成绑定。 AccessKey 只能操作已关联的云电脑。若调用时返回“指定桌面不属于当前用户”或类似错误，请优先检查 AccessKey 与云电脑的关联关系。 查看与复制密钥 在 AccessKey 列表中，可以查看 AccessKey ID、AccessKey Secret 和关联云电脑数量。复制密钥时，请确认当前环境安全，避免在录屏、投屏或共享屏幕场景下展示 Secret。

事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控，并在事件发生时进行告警。 事件即云监控保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作，如删除虚拟机、重启虚拟机等。 事件监控默认开通，您可以在事件监控中查看系统事件和自定义事件的监控详情，目前支持的系统事件请参见事件监控支持的事件说明。 事件监控为您提供上报自定义事件的接口，方便您将业务产生的异常事件或重要变更事件采集上报到云监控服务。 查看事件监控图表 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击左侧导航栏的“事件监控”，进入“事件监控”页面。 4. 在“事件监控”页面，默认展示近24小时的所有系统事件与自定义事件。 5. 单击具体事件右侧的操作列的“查看监控图表”，可查看具体事件的监控图表。 创建告警规则 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击左侧导航栏的“事件监控”，进入“事件监控”页面。 4. 在事件列表页面，单击相应事件所在行的创建告警规则，进入创建告警规则页面。 5. 根据界面提示，配置告警规则名称、告警策略、告警通知等。 告警规则创建完成后，当事件监控指标触发设定的告警策略时，云监控服务会在第一时间通过您设置的通知方式告知您云上资源异常，以免因此造成业务损失。

通过云堡垒机纳管跨域的业务服务器 1. 登录“网络控制台”>“访问控制”>“安全组”，进入“安全组”页面，对云堡垒机所在安全组规则进行入方向、出方向配置。 2. 通过云堡垒机纳管代理服务器。登录云堡垒机系统，添加代理服务器，操作步骤请见纳管主机资源，在“主机管理”页面选择“代理服务器”，单击“新建”。 3. 对待纳管的业务服务器所在的安全组入方向规则进行配置，在步骤5中“入方向规则”页面，单击“快速添加规则”。出方向规则根据您的需要请自行添加配置。 4. 通过云堡垒机纳管业务服务器，具体操作步骤请见添加主机资源。 通过上述步骤的操作后，您可以根据云堡垒机自带的主机运维功能跨网络域运维被纳管的主机资源。类似地，可将以上做法推广到混合/异构云、线下IDC等不同网络环境，以实现跨云跨VPC线上线下统一运维。 CentOS8配置代理示例 步骤 1 执行如下命令，安装3proxy软件包 yum install y epelrelease yum install y 3proxy 步骤 2 执行如下命令，进行极简配置 nscache 65536 timeouts 1 5 30 60 180 1800 15 60 设置用户名：test、密码：test users test:CL:test daemon log /var/log/3proxy/3proxy.log logformat " +L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T" archiver gz /bin/gzip %F rotate 30 external 0.0.0.0 internal 0.0.0.0 auth strong allow test maxconn 20 socks flush 步骤 3 启动服务 systemctl start 3proxy

本文将以CentOS,Ubuntu操作系统镜像为示例,介绍Linux操作系统进入单用户模式的背景,前提,约束与步骤。 背景介绍 用户模式介绍 Linux操作系统有两种重要的用户模式，一种是多用户模式，一种是单用户模式，具体介绍如下： 多用户模式（multiuser mode）：多用户模式是Linux系统默认的运行模式。在多用户模式下，系统可以同时支持多个用户登录，并运行各种服务和进程。多用户模式提供了完整的功能和服务，包括网络服务、图形界面等。 单用户模式（singleuser mode）：单用户模式是一种特殊的启动模式，提供了一个最小化但强大的环境，允许管理员以超级用户权限进行操作。进入单用户模式后，系统只会加载最基本的服务和功能，只有一个命令行界面，不会启动图形界面和网络服务。 单用户模式应用场景 单用户模式通常应用于以下场景： 系统故障排除和修复：当系统遇到启动问题、文件系统错误、网络配置问题或其他故障时。管理员可以以超级用户权限登录，并执行诊断、修复和恢复任务，如修复文件系统、检查硬件、还原配置文件等。 系统备份和还原：单用户模式提供了对系统磁盘的完全访问权限。这使得管理员可以在单用户模式下执行备份和还原操作，包括创建和还原系统快照、复制重要数据、修复损坏的文件系统等。 系统配置和维护：单用户模式提供了一个干净且最小化的系统环境，使管理员能够进行系统配置和维护操作，而不会受到其他服务或用户的干扰。这包括更新软件包、重建启动引导程序、更改网络配置等。 安全审计：单用户模式可以用于进行安全审计。管理员可以检查系统日志、分析安全事件、查找潜在的漏洞，并采取必要的措施来加固系统和提高安全性。

插件简介 Prometheus是一套开源的系统监控报警框架。它启发于Google的borgmon监控系统，由工作在SoundCloud的Google前员工在2012年创建，作为社区开源项目进行开发，并于2015年正式发布。2016年，Prometheus正式加入Cloud Native Computing Foundation，成为受欢迎度仅次于Kubernetes的项目。 在云容器引擎CCE中，支持以插件的方式快捷安装Prometheus。 插件官网： 开源社区地址： 插件特点 作为新一代的监控框架，Prometheus具有以下特点： 强大的多维度数据模型： a. 时间序列数据通过metric名和键值对来区分。 b. 所有的metrics都可以设置任意的多维标签。 c. 数据模型更随意，不需要刻意设置为以点分隔的字符串。 d. 可以对数据模型进行聚合，切割和切片操作。 e. 支持双精度浮点类型，标签可以设为全unicode。 灵活而强大的查询语句（PromQL）：在同一个查询语句，可以对多个metrics进行乘法、加法、连接、取分数位等操作。 易于管理：Prometheus server是一个单独的二进制文件，可直接在本地工作，不依赖于分布式存储。 高效：平均每个采样点仅占 3.5 bytes，且一个Prometheus server可以处理数百万的metrics。 使用pull模式采集时间序列数据，这样不仅有利于本机测试而且可以避免有问题的服务器推送坏的metrics。 可以采用push gateway的方式把时间序列数据推送至Prometheus server端。 可以通过服务发现或者静态配置去获取监控的targets。 有多种可视化图形界面。 易于伸缩。 需要指出的是，由于数据采集可能会有丢失，所以Prometheus不适用对采集数据要100%准确的情形。但如果用于记录时间序列数据，Prometheus具有很大的查询优势，此外，Prometheus适用于微服务的体系架构。 约束与限制 1.11及以上版本的CCE集群支持此插件功能。 安装插件 步骤 1 在CCE控制台中，单击左侧导航栏的“插件管理”，在“插件市场”页签下，单击Prometheus下的“安装插件”按钮。 步骤 2 在安装插件页面，选择安装的集群和插件版本，单击“下一步：规格配置”。 步骤 3 在“规格配置”步骤中，配置以下参数： 表Prometheus配置参数说明 参数 参数说明 插件规格 根据业务需求，选择插件的规格，包含如下选项： 演示规格（100容器以内）：适用于体验和功能演示环境，该规模下prometheus占用资源较少，但处理能力有限。建议在集群内容器数目不超过100时使用。 小规格（2000容器以内）：建议在集群中的容器数目不超过2000时使用。 中规格（5000容器以内）：建议在集群中的容器数目不超过5000时使用。 大规格（超过5000容器）：建议集群中容器数目超过5000时使用此规格。 实例数 选择上方插件规格后，显示插件中的实例数，此处仅作显示。 容器 选择插件规格后，显示插件容器的CPU和内存配额，此处仅作显示。 监控数据保留期 自定义监控数据需要保留的天数，默认为15天。 存储 按照界面提示配置如下参数： 类型：支持云硬盘。 可用区：请根据业务需要进行选择。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 子类型：支持普通IO、高IO和超高IO三种类型。 容量：请根据业务需要输入存储容量，默认10G。 说明： 若命名空间monitoring下已存在pvc，将使用此存储作为存储源。 步骤 4 单击“安装”。 待插件安装完成后，单击“返回”，在“插件实例”页签下，选择对应的集群，可查看到运行中的实例，这表明该插件已在当前集群的各节点中安装。 步骤 5 在CCE控制台中，单击左侧导航栏的“插件管理”，在“插件实例”中，单击“Prometheus”进入详情页，可以查看插件实例的详细情况。 升级插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击“Prometheus”下的“ 升级”。 说明： 如果升级按钮处于冻结状态，则说明当前插件版本是最新的版本，不需要进行升级操作。 升级“Prometheus”插件时，会替换原先节点上的旧版本的“Prometheus”插件，安装最新版本的“Prometheus”插件以实现功能的快速升级。 步骤 2 在基本信息页面选择插件版本，单击“下一步”。 步骤 3 参考安装插件中参数说明配置参数后，单击“升级”即可升级“Prometheus”插件。 卸载插件 步骤 1 在CCE控制台中，单击左侧导航栏的“插件管理”，在“插件实例”页签下，选择对应的集群，单击Prometheus下的“卸载”。 步骤 2 在弹出的窗口中，单击“是”，可卸载该插件。 参考资源 Prometheus概念及详细配置请参阅Prometheus 官方文档 Node exporter安装请参考nodeexporter github 仓库

本文向您介绍如何创建统一的标签键。 当需要为搜索结果列表中所有资源统一添加拥有同样标签“键”的标签时，您可以使用创建标签键功能。 创建完成后，此标签键将显示在标签展示列中，该“键”列下的所有“值”的默认状态为“无标签”，即默认不会有具体的标签与云资源关联。您可以根据需求在列表中为云资源添加具体的标签“值”，标签即可生效。 操作步骤 1. 登录管理控制台，选择“管理与部署 > 标签管理服务”，进入标签管理服务界面。 2. 选择“资源配置标签”页签。 3. 设置资源搜索条件。 搜索云资源具体操作步骤可参见搜索云资源。 4. 单击“搜索”。 5. 单击搜索结果列表上方的“创建标签键”，进入添加标签键页面。 6. 设置标签的“键”。 键的长度最大36字符，由英文字母、数字、下划线、中划线、中文字符、“@”组成。 7. 单击“确定”。 标签键创建完成，此标签键将显示在标签展示列中。 标签键创建完成后如果没有与任何云资源关联，在刷新页面后，所创建的标签键将失效，不在资源搜索列表显示。 相关操作 在已有标签键的情况下为资源添加标签的步骤如下： 1. 单击搜索结果区域的“编辑”。 切换云资源标签列表为可编辑状态。 2. 单击待添加标签的云资源所在行的“＋”号。 3. 输入标签“值”。 4. 单击。 资源标签修改完成，后续可按照新的标签管理该云资源。

本节主要介绍参数调优 数据库参数是数据库系统运行的关键配置信息，设置不合适的参数值可能会影响业务。本文列举了一些重要参数说明。更多参数的详细说明请参见MongoDB官网。 如需通过控制台界面修改参数值，请参见编辑参数模板。 enableMajorityReadConcern 该参数表示读取数据时，是否需要从大多数节点获取一致的数据后才返回结果。 默认值为 “ false ” ， 表示读取数据时，不需要从大多数节点获取一致数据后返回结果，即从单个节点上读取数据就可以返回结果。 该参数设为true的时候，表示读取数据时，需要从大多数节点获取一致数据后才返回结果。该操作会导致LAS文件过大，进而造成CPU过高和磁盘占用大。 在DDS中，不支持设置majority级别的readConcern。对于需要majorityReadConcern的场景，可以将WriteConcern设置为majority，表示数据写入到大多数节点了，这样也就保证了大多数节点的数据一致了。然后通过读取单个节点的数据，就能保证用户读到的数据已经写入到大多数节点，而这样的数据不会发生回滚，避免了脏读的问题。 说明 MongoDB可以通过writeConcern来定制写策略，通过readConcern来定制读策略。 当指定readConcern级别为majority时，能保证用户读到的数据已经写入到大多数节点，而这样的数据不会发生回滚，避免了脏读的问题。 failIndexKeyTooLong 默认值为 “ true ” 。 该参数不支持修改，避免过长索引Key。 net.maxIncomingConnections 该参数表示mongos或mongod可接受的最大同时连接数量。该参数依赖于实例的规格，实例规格不同对应其默认值也不同。因此，此参数在用户未设置前显示为“default”，表示该参数随内存规格变化。 security.javascriptEnabled 默认值为 “ false ” 。 该参数表示是否允许mongod上执行JavaScript脚本。为了安全考虑，默认值为“false”，表示不允许mongod上执行JavaScript脚本，mapreduce、group等命令也将无法使用。 disableJavaScriptJIT 默认值为 “ true ” 。 该参数表示是否禁用JavaScriptJIT编译技术。JavaScriptJIT编译技术实现了即时 (JIT) 编译以提高运行脚本时的性能。 “disableJavaScriptJIT”默认值为“true”，表示禁用JavaScriptJIT编译技术。如果需要启用JavaScriptJIT编译技术，可以将“disableJavaScriptJIT”的值设置为“false”。 operationProfiling.mode 默认值为 “ slowOp ” 。 该参数表示数据库分析器的级别。 该参数支持如下取值： 1. 默认值为“slowOp”，表示对于耗时超过慢查询阈值的操作，采集器采集数据。 2. 取值为“off”，表示分析器关闭，不收集任何数据。 3. 取值为“all”，表示采集器采集所有操作的数据。 operationProfiling.slowOpThresholdMs 默认值为 “ 500 ” ，单位为ms。 该参数表示慢查询的时间阈值，单位为毫秒，超过该阈值的操作将被认为是慢操作。 如无特殊需求，建议使用默认值500ms。 maxTransactionLockRequestTimeoutMillis 默认值“5”，取值范围为5~100，单位为ms。 该参数表示事务等待获取锁的时间，超过该时间则事务回滚。

本页介绍了如何使用python访问和操作文档数据库服务。 访问DataBase database client["testdb"] 访问集合 collection database["testcollection"] 显示的创建一个集合 goldmemberconllection database.createcollection("goldmember") 插入数据 document {"name": "ff", "age": 30, "email": "ff11@ctyun.com"} goldmemberconllection.insertone(document) 删除数据 result collection.deleteone({'name': 'ff'}) 删除collection database.dropcollection("test") 读数据 query {"name": "ff"} result collection.findone(query) print(result) 运行命令 database.command("collstats","test") database.command("buildinfo") 计数 count goldmemberconllection.find().count() 排序 results goldmemberconllection.find().sort('name',1) 创建索引 resultdatabase[goldmemberconllection].createindex([('name',1)])

本节主要介绍服务列表功能 概览 本节主要介绍服务列表，可查看kubernetes服务的版本标签，以及对其进行sidecar代理的注入和移除 操作步骤 1. 登录应用应用服务网格控制台，单击应用服务网格的名称，进入网格详情页面 2. 在左侧导航栏选择“集群与工作负载 ”，单击“kubernetes服务管理” 3. 点击右上角下拉框选择服务所在的命名空间 4. 进行服务注入或移除代理 说明 服务注入代理 在需要注入代理的服务右侧，单击“注入sidecar” 在注入Sidecar弹窗中，点击关联部署下拉框可以选择对服务的哪个版本（deployment）进行代理注入 在注入Sidecar弹窗中的Sidecar资源配置，单击“修改”可配置代理的相关CPU和内存资源限制 服务移除代理 在需要移除代理的服务右侧，单击“移除sidecar” 在移除Sidecar弹窗中，点击关联部署下拉框可以选择对服务的哪个版本（deployment）进行代理移除 5. 配置完成后，单击“确定”。 注意 注入或移除sidecar都会对pod进行重启操作，生产环境下需谨慎 6. 注入或移除sidecar完成后，可前往“网格状态”页面，查看代理的运行情况

私网NAT网关支持SNAT规则和DNAT规则共用一个中转IP吗？ 支持，SNAT规则、DNAT规则可以共用同一个中转IP，实现服务开放和主动访问使用同一私网地址。 私网NAT网关是否支持网络ACL？ 私网NAT网关本身不支持ACL，可以通过配置私网NAT后端的主机安全组和ACL来进行访问控制。 网络ACL：可以通过网络ACL来配置子网出入流量的规则，限制特定协议、端口或IP地址的访问，具体操作步骤请参见创建ACL。 安全组：安全组是一种虚拟防火墙，可以在弹性云主机中配置。通过安全组，可以定义允许和拒绝的流量规则，限制特定协议、端口或IP地址的访问，具体操作步骤请参见创建安全组。 私网NAT网关配置完成后，网络不通如何处理？ 私网NAT网关配置完成后，网络不通可以通过以下步骤进行处理： 1. 检查私网NAT网关状态是否处于运行中，如果不是运行中，可以通过以下方法解除异常。 1. 私网NAT网关到期，显示已到期，可以点击续订，让私网NAT网关恢复正常。再次进行连接测试。 2. 私网NAT网关按需欠费后，会处于冻结状态，可以进行续费处理，让私网NAT网关恢复正常。再次进行连接测试。 2. 检查SNAT规则和DNAT规则配置是否正确。 1. 在SNAT规则配置页面确认SNAT规则是否已经配置生效，且确认弹性云主机在SNAT规则子网内，或源访问地址在SNAT规则的源地址段内。如果SNAT规则未配置正确则无法访问公网。如何配置SNAT规则，具体操作步骤请参见管理SNAT规则。 2. 在DNAT规则配置页面确认DNAT规则已经配置生效，DNAT规则配置未生效会访问不通。关于如何配置DNAT规则，具体操作步骤请参见管理DNAT规则。 3. 检查是否由于VPC路由表配置错误引起的，可以通过以下方法重新配置VPC路由表。 1. 找到VPC对应的子网关联的路由表。 2. 查看路由表是否有到私网NAT网关的路由，如果不包含，请添加对应的路由。具体操作步骤请参见管理私网NAT网关，再次进行连接测试。 4. 检查云主机安全组配置，如果安全组没有放通弹性云主机访问和对外提供服务使用的端口，需要在对应的安全组中添加放行该端口。 1. 点击云主机名称，进入云主机详情页，选择安全组页签，展开安全组规则。 2. 出方向放通所有端口，地址为0.0.0.0/0，入方向端口放通DNAT绑定的应用端口，具体操作步骤请参加添加安全组规则。再次进行连接测试。 5. 检查网络ACL设置，如果VPC的业务子网关联了网络ACL，可能导致网络不同。 1. 点击子网名称，进入子网详情页，选择ACL页签，查看是否有绑定网络ACL，检查入方向规则和出方向规则是否添加了放通子网流量的规则。 2. 如果未添加放通子网流量的规则，请添加入方向、出方向规则放通子网流量或者将网络ACL与子网取消关联。再次进行连接测试。 6. 检查私网NAT网关业务量是否超过规格上限。 1. 在云监控云服务监控中找到私网NAT网关名称，点击查看监控指标，查看私网NAT网关业务指标情况。 2. 如果超过上限，可以点击私网NAT网关操作栏的“变配”，变更私网NAT网关的规格。再次进行连接测试。 7. 检查弹性云主机端口，以CentOS为例可使用以下命令行查看端口监听是否正常。 1. netstat ntulp grep 云主机端口。 2. 如果端口没有被正常监听，请重新开启弹性云主机端口。 8. 如果上述排查后，网络依然不通，可以提交工单，联系技术支持人员帮助解决。

本小节介绍服务器安全卫士通用功能IP组管理。 用户可根据自己需求，对产品中有特定作用和含义的 IP 或者 IP 段，设置为 IP 组进行统一管理，包括： 自定义内网 IP 组 ：可自定义设置某些"IP 或 IP 段"为内网，则在产品使用中，属于该 IP 组的 IP 会显示为内网 IP； 安全外网 IP 组 ：可自定义设置某些"IP 或 IP 段"为安全外网； 自定义 IP 组 ：用户可以自定义 IP 组，以结合自身需求灵活使用。 分组管理 可自定义 IP 分组，并对其进行编辑和删除，如下图所示。 添加 IP 或 IP 段 选择分组后，点击“添加 IP 或 IP 段”，弹出添加界面，输入信息，点击“确定”后，可将该 IP 或 IP 组加入该分组。 编辑/删除 IP 和 IP 段 分组内已添加的 IP 或 IP 段，希望对其进行编辑或删除，可点击操作。

用户主密钥（Customer Master Key，CMK），是用户或云服务通过密钥管理创建的密钥，是一种密钥加密密钥，主要用于加密并保护数据加密密钥。一个用户主密钥可以加密多个数据加密密钥。

源端配置： 数据源类型 选定为SQL Server，可迁移版本范围内的SQL Server数据库 服务器IP 待迁移源端数据库的连接IP 端口号 待迁移源端数据库的端口 用户名 用于连接待迁移源端数据库的用户名称 密码 用于连接待迁移源端数据库的用户的密码 数据库 要迁移的源端数据库名 模式 源端实际用于迁出数据的模式（schema）名称

源端配置： 数据源类型 选定为PostgreSQL，可迁移版本范围内的PostgreSQL数据库 服务器IP 待迁移源端数据库的连接IP 端口号 待迁移源端数据库的端口 用户名 用于连接待迁移源端数据库的用户名称 密码 用于连接待迁移源端数据库的用户的密码 数据库 要迁移的源端数据库名 模式 源端实际用于迁出数据的模式（schema）名称

本章节为媒体存储入门流程。 本教程将指引用户快速了解、使用媒体存储。 登录控制台 1. 注册并登录天翼云，需完成实名认证。 2. 通过【产品视频视频服务】进入媒体存储产品详情页，点选“立即开通”。 3. 进入媒体存储产品开通页，点击“立即开通”。 4. 进入媒体存储控制台页面，点选“订购管理 ”，点击【新增存储区域】进行新增存储区域操作。 说明 天翼云官网目前仅支持对象存储（标准型）能力的按需计费开通，其它能力（如文件存储、块存储等）暂不面向线上预付费客户开放。 目前天翼云官网仅支持开通海南资源池2区。 目前仅通过天翼云门户订购的用户可通过控制台新建存储区域，非自助开通的用户无此按钮。 如资源池售罄，或用户需开通其他产品类型或存储类型，可联系客户经理或天翼云客服进行开通。 使用对象存储 对象存储使用可参考以下入门流程： 1. 如用户通过XstorBrowser、API或SDK访问对象存储，需先获取访问密钥，具体操作可参考：密钥管理。 2. 如用户通过XstorBrowser访问媒体存储时，用户需指定区域节点访问。具体可参考：资源池与区域节点。 3. 进行创建存储桶操作，支持多种使用方式，具体操作可参考：创建存储桶。 4. 完成创建存储桶后，即可进行上传对象操作，具体可参考：上传对象。 5. 下载对象，支持通过控制台、API、SDK等方式下载对象，具体可参考：下载对象。 6. 对象存储支持多种访问方式进行访问获取对象，具体可参考：访问方式。

本节为您介绍数据库迁移工具中 MySQL源库配置。 数据库账号的权限要求 “用户名”对应的账号需具备root权限或者具备以下全部权限：SELECT, SHOW VIEW, TRIGGER, PROCESS 数据源类型 选定为MySQL，可评估版本范围内的MySQL数据库 服务器IP 待评估源端数据库的连接IP 端口号 待评估源端数据库的端口 用户名 用于连接待评估源端数据库的用户名称 密码 用于连接待评估源端数据库的用户的密码 数据库 实际要评估的MySQL数据库名

功能介绍支持配置暴力破解防护策略防范攻击者通过撞库盗取用户的信息。 功能介绍 支持配置暴力破解防护策略，防范攻击者通过暴力破解盗取用户的信息。 暴力破解是什么？ 暴力破解是指攻击者通过脚本等方式实现原有的尝试登录流程，不断重复尝试登录的一个过程，从理论上来看只要时间足够，所有的账号都有被暴力破解找到口令的可能，对普通用户爆破可以造成个人的财产损失，对网站管理员的账号爆破则可以危害公司资产。 暴力破解的防护原理 边缘云WAF主要通过爆破行为监控来防护。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为基础版及以上版本，支持暴力破解防护相关功能。 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 2. 进入【账号安全防护】页面； 3. 进入新增暴力破解防护规则页面。 暴力破解防护配置说明 配置项 说明 开关 可以选择开启或者关闭暴力破解防护策略 处理动作 设置触发暴力破解策略的处理动作，可以选择拦截或告警 登录页URL 设置登录页面的URL 登录页数据请求URL 先单击键盘F12或者抓包，点击登录按钮，获取登录数据请求的url地址。（所获地址与登录页面URL可能是同一个，但是一般情况下动静态页面是分离的，所以大概率是不同的页面） 登录失败跳转URI 设置登录失败后需要跳转的URI 触发条件 在【防护统计频率】内的【作用域】的请求数，请求次数超过【拦截阈值】次数，则执行【处理动作】，处理动作持续时间【拦截时间】。其中，作用域支持CI、IP+UA、IP （1）CI:客户端ID，订购扩展服务BOT管理后支持该作用域 （2）IP+UA：客户端IP与客户端UA （3）IP：客户端IP 白名单 针对误拦设置白名单，可选粒度：IP、IPS、IPR等多个粒度，支持配置多条白名单规则，多个粒度为“且”的逻辑，多个范围为“或”的关系

本章节介绍如何配置WEB行为 配置WEB行为 在Web行为分析中，可以对Web类型的埋点资源进行监控，以便在满足某种规则时触发自定义处理行为。例如，如果某个Web接口触发了流控规则，则可以返回"Blocked by Sentinel"的提示文本。 新增行为 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 进入应用之后，在左侧导航栏，单击流量防护，在流量防护 防护配置 行为管理，单击新增行为，在新增行为对话框中完成以下配置，然后单击新建。 修改或删除行为 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 进入应用之后，在左侧导航栏，单击流量防护，在流量防护 防护配置 行为管理。 5. 行为列表页，您可以查看各个行为的具体描述，修改或删除行为。 关联行为 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 在左侧导航栏选择规则管理，在流控规则页签单击新增流控规则，然后在弹出的对话框中配置规则信息。 5. 完成选择防护场景和配置防护规则后，在配置限流行为区域，完成下列设置： 选择接口类型为Web；在关联行为的下拉列表中选择目标行为进行关联，或单击新增行为来创建新的行为进行关联。

本文为您介绍如何对天翼云云搜索实例进行索引管理。 功能简介 天翼云云搜索提供了高级的索引管理功能，通过该插件可以可视化查看并管理索引、创建索引策略、创建rollup作业，通过Kibana和Opensearch Dashboards可视化对索引进行管理。 使用示例 我们以Opensearch Dashboards的索引管理界面来进行演示。 登录Dashboards点击左侧菜单进入索引管理页面，菜单如下： 索引相关信息的查看和基本操作 如图所示，支持以下几种管理方式： 显示索引相关的信息。 还提供了一些界面化的高阶操作，比如reindex、clear、cache、delete等指令，基本就是替代了直接查看的一些指令。 还可以直接创建索引，常规操作。 可以查看索引是否被某些策略控制。 使用索引策略来对索引进行管理 我们以自动清理索引策略为例子，进行演示。 1. 如图，我们创建了一个索引策略叫autodeleteindextest，其中索引策略的配置和解释如下： 2. 我们创建一个mytest01索引，格式符合索引模板的名称。创建好后，可以看到该索引被索引策略所纳管。 3. 当一段时间过后，索引符合了被删除的策略，状态变为了todeletestate状态，如图所示： 4. 后台的策略执行完后，我们再次查看，索引最终被删除了。

本节介绍网络的用户指南:节点维度的网络配置。 使用场景 Cubecni网络插件会为节点额外添加网卡，用来构建容器网络。这些网卡，如eth1，默认使用配置项cubecniconfig配置的Pod子网和安全组，其中Pod子网为订购时选择的子网，安全组为订购时委托自动创建或用户选择的安全组。 可通过创建新的配置项，为特定节点或节点池配置单独的Pod子网和安全组，实现节点维度的容器网络配置。 如下场景，为特定节点配置独立的子网和安全组，以实现节点C的Pod独享NAT出口IP和带宽： 使用限制 1. 仅新建 的网卡会使用新配置的Pod子网和安全组，已创建的ENI会继续使用原有配置。若需配置节点维度Pod子网和安全组，建议为新节点 或节点池配置; 2. 该特性要求Cubecni版本不低于v1.1.6，且集群已配置资源委托。 操作步骤 1. 在命名空间kubesystem中创建名称为foo的ConfigMap。 a. 登录云容器引擎控制台，左侧导航栏选择集群； b. 在集群列表页面，单击目标集群名称，进入集群管理页面； c. 左侧导航栏，选择配置管理 > 配置项； d. 在配置项页面，命名空间选择kubesystem，单击创建配置项; e. 创建页面，配置项名称设置为foo，单击添加配置项，变量名设置为nodeconfig.json，变量值填入以下内容，将iaassubnets和securitygroups参数替换为实际值： plaintext { "action": "override", "iaassubnets": ["subnetjin7fmxxxx"], "securitygroups": ["sg6hxh19xxxx"] } 参数名 说明 action 值固定为override，默认为override，即子网/安全组配置会覆盖cubecniconfig的配置 iaassubnets 值为VPC子网ID列表。若配置多个子网，优先使用可用IP最多的子网；如无需修改，则无需配置iaassubnets，或值配置为null securitygroups 值为安全组ID列表。用于配置新建的Pod共享ENI，最多可配置5个；若无需修改，则无需配置securitygroups，或值配置为null 2. 节点配置标签 新建节点配置标签 创建节点池时添加节点标签，键设置为cubecniconfig，值设置为foo。新建节点池，详见节点池管理。 注意 节点池新增节点会使用foo指定的配置，不会更新存量节点已创建的网卡的安全组。 已有节点配置标签 a. 集群管理页面左侧导航栏，选择节点>标签 ，点击右侧对应节点的设置标签。 b. 在设置节点标签页面，选择自定义标签 ，点击添加标签。 c. 标签名设置为cubecniconfig，标签值值设置为foo，点击确认。 添加标签后，需重建cubecni插件： a. 集群管理页面左侧导航栏，选工作负载>守护进程。 b. 命名空间 选择kubesystem ，找到cubecni服务，点击右侧的重新部署。 c. 选择滚动重启 或快速重启 ，点击确认，当运行/期望Pod数量相等，说明重启成功。 注意 对于存量节点，不会更新已创建的网卡的安全组。 3. 检查配置是否生效 登录弹性云主机控制台，进入云主机实例详情页，可见弹性网卡配置的子网和安全组信息。

本章节介绍云主机DNS篡改故障演练。 背景介绍 DNS 篡改是一种常见的攻击手段或配置错误，它会导致域名被错误地解析到非预期的IP地址，从而引发流量劫持、服务中断或数据泄露等风险。本演练通过模拟 DNS 篡改场景，帮助您检验系统的安全防护机制、验证监控告警的有效性，并评估业务在域名解析被劫持时的表现。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的域名。 映射IP：将目标域名解析到该IP地址。

重新绑定委托 4. 登录MapReduce服务管理控制台。 5. 选择“集群列表 > 现有集群”，单击集群名称，进入集群概览页面，查看集群是否绑定委托。 是，执行步骤7。 否，执行步骤6。 6. 单击“委托管理”，重新绑定委托，等待几分钟后查看告警是否恢复。 是，操作结束。 否，执行步骤7。 7. 联系运维人员。

微服务云应用平台MSAP是一个应用托管和微服务管理的云原生PaaS平台,集成了云容器引擎、微服务引擎、应用性能监控服务等云服务能力,提供微服务应用开发、部署、监控、运维和服务治理的一站式解决方案。支持SpringCloud,Dubbo等微服务框架,帮助企业应用快速上云。

本文为您介绍如何在控制台修改Elasticsearch.yml文件中的部分参数。 云搜索服务支持您在控制台修改Elasticsearch.yml文件中的部分参数。 操作步骤 1. 登录云搜索服务管理控制台，在左侧导航栏，选择对应的实例类型，进入管理列表页面。 2. 点击实例名称进入对应实例详情，并选择“配置管理”。 3. 点击“修改配置”进入编辑状态，对所需的参数进行修改，修改时请关注填写规则和样例。 4. 修改完成后，点击“提交”，并在弹出的窗口中核对修改信息，需要知晓并勾选重启过程中可能会导致服务短暂不可用，确认后等待对应参数修改记录变为成功，即为已生效。若为失败，则未成功修改，参数仍为改前值。 5. 您可在下方参数修改记录中查看近10次的修改记录和状态。 6. 如果有需要修改的参数不在列表内，请提报工单申请，由工程师为您修改。 指标分类 参数名称 填写说明 跨域访问 http.cors.enabled true表示启用跨域资源访问，false表示不启用 跨域访问 http.cors.alloworigin 支持 host/IP 和 port 组合、域名或号，例如node1:9200,127.0.0.1:9200，限制1100个，逗号隔开；号表示全部放开 跨域访问 http.cors.maxage 浏览器默认缓存时间。如果超过设置的时间后，缓存将自动清除。数值，取值范围[01728000]，单位秒 跨域访问 http.cors.allowcredentials 响应中是否允许返回allowcredentials取值true/false 跨域访问 http.cors.allowheaders 跨域访问允许的headers，XRequestedWith,ContentType,ContentLength中的任意一个或多个 跨域访问 http.cors.allowmethods 跨域访问允许的方法OPTIONS,HEAD,GET,POST,PUT,DELETE中的任意一个或多个 审计日志 opendistrosecurity.audit.type 审计日志，默认关闭，开启后，系统会记录Elasticsearch实例对应的操作产生的日志 Reindex索引迁移 reindex.remote.whitelist 添加远程集群的访问地址白名单，支持host/IP 和 port 组合，例如 node1:9200，127.0.0.1:9200，port必填。限制1100个，逗号隔开 索引自动创建、通配删除 action.destructiverequiresname 删除索引是否需要声明完整索引名 true：需要声明完整索引名 false：不需要声明完整索引名 自定义查询缓存 action.autocreateindex 是否允许自动根据文档创建索引 线程池 threadpool.forcemerge.size forcemerge场景下队列的大小 读写集群的线程池设置 threadpool.write.queuesize 写阈值线程池大小，整数类型，取值范围1100000 读写集群的线程池设置 threadpool.search.queuesize 读阈值线程池大小，整数类型，取值范围1100000 fielddata的堆内cache indices.fielddata.cache.size fielddata的cache size，百分比，取值范围1%39% 查询相关限制 indices.query.bool.maxclausecount 查询的bool语句允许的子语句大小，整数类型，取值范围11024

本文将介绍如何在AOne中配置第三方认证源,即第三方应用账号体系当作认证源,其管理登录认证验证,企业员工登录客户端时将账号密码进行转发给第三方应用进行身份认证。 认证源接入方式 目前提供丰富的第三方认证源接入方式，可根据客户实际情况进行选择。 接入方式 说明 Windows AD认证 Windows AD是本地化用户目录管理服务，Windows AD认证接入，即AD当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给AD进行认证。 企业微信认证 企业微信认证接入，即企业微信当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给企业微信进行认证。 企业微信支持认证时新建账号或与自定义用户与组织进行关系绑定（即企业微信的用户账号与自定义用户组织的账号进行关系绑定）。 钉钉认证 钉钉认证接入，即钉钉当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给钉钉进行认证。 钉钉支持认证时新建账号或与自定义用户与组织进行关系绑定（即钉钉的用户账号与自定义用户组织的账号进行关系绑定）。 飞书认证 飞书认证接入，即飞书当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给飞书进行认证。 飞书支持认证时新建账号或与自定义用户与组织进行关系绑定（即飞书的用户账号与自定义用户组织的账号进行关系绑定）。 Gitee认证 Gitee认证接入，即Gitee当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给Gitee进行认证。 Gitee支持认证时新建账号或与自定义用户与组织进行关系绑定（即Gitee的用户账号与自定义用户组织的账号进行关系绑定）。 Github认证 Github认证接入，即Github当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给Github进行认证。 Github支持认证时新建账号或与自定义用户与组织进行关系绑定（即Github的用户账号与自定义用户组织的账号进行关系绑定）。 OAuth 2.0认证 OAuth 2.0接入后，AOne使用支持OAuth 2.0认证的第三方登录应用作为身份源进行登录认证。 OAuth 2.0支持认证时新建账号或与自定义用户与组织进行关系绑定（即OAuth 2.0的用户账号与自定义用户组织的账号进行关系绑定）。 OIDC认证 OIDC接入后，AOne使用支持OIDC认证的第三方登录应用作为身份源进行登录认证。 OIDC支持认证时新建账号或与自定义用户与组织进行关系绑定（即OIDC的用户账号与自定义用户组织的账号进行关系绑定）。 极狐（GitLab）认证 极狐（GitLab）认证接入，即极狐（GitLab）当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给极狐（GitLab）进行认证。 极狐（GitLab）支持认证时新建账号或与自定义用户与组织进行关系绑定（即极狐（GitLab）的用户账号与自定义用户组织的账号进行关系绑定）。

名词 说明 负载均衡服务 天翼云提供的一种网络负载均衡服务，提供四层和七层负载均衡服务。 负载均衡实例 负载均衡实例是一个运行的负载均衡服务。要使用负载均衡服务，必须先创建一个负载均衡实例。 监听器 监听器负责监听负载均衡器上的请求，规定了如何将请求转发给后端云主机处理。 后端服务器组 一组处理负载均衡分发的前端请求的云主机实例。 后端服务器 处理前端请求的云主机实例。 弹性公网带宽 弹性公网带宽是指对外提供服务，可以访问网络，网络其他计算机可以访问主机的流量。 负载均衡器协议/端口 指协议支持四层的TCP和七层的HTTP。端口可根据业务需求在165535 范围内任意设定。如需要使用80、8080、443、8443备案端口，请提前进行备案。4个备案端口默认是关闭状态，备案完成后将开通。 云主机协议/端口 用于指定与负载均衡绑定的云主机的协议及端口，协议支持四层的TCP和七层的HTTP。端口可根据业务需求在165535范围内任意设定。云主机端口不受备案限制。 会话保持 用户可以选择打开或关闭会话保持功能。如果打开会话保持，针对7层（HTTP）服务，提供基于Cookie的会话保持；针对4层（TCP）服务，提供基于IP地址的会话保持。 健康检查 健康检查用于检查后端主机的状态。用户可自定义健康检查方式和频率，负载均衡根据预设的健康检查规则定时检查后端云主机是否正常运行，一旦检测到云主机为非健康状态，则不会将访问流量分派到这些非健康云主机实例。 负载方式 负载方式即负载均衡算法，支持轮询、最小连接数和源地址三种算法。 轮询算法 轮询算法是依据后端主机的权重，将请求轮流发送给后端云主机，常用于短连接服务，例如HTTP等服务。 最小连接数算法 最小连接数算法是优先将请求发给拥有最小连接数的后端云主机，常用于长连接服务，例如数据库连接等服务。 源算法 源算法是将请求的源地址进行hash运算，并结合后端的云主机的权重派发请求至某匹配的云主机，这可以使得同一个客户端IP的请求始终被派发至某特定的云主机。该方式适合负载均衡无Cookie功能的TCP协议。 默认配额 默认配额是指每个用户在每个区域节点资源的数量，如默认配额无法满足用户需求，可通过控制台申请调整配额。

本文介绍Windows AD的同步任务创建方式。 功能介绍 Windows AD 是 Microsoft 提供的本地化用户目录管理服务。在花卷慧办配置AD同步任务并开启 Windows AD 服务商的企业登录，即可实现将AD中的用户和组织信息同步，通过花卷慧办进行认证管理帮助用户实现登录功能。 本文介绍如何创建AD同步任务。 操作步骤 管理员创建同步任务 仅将AD的用户与组织信息进行同步到花卷慧办，花卷慧办进行认证管理（即密码由花卷慧办管理）。 1. 登录花卷慧办控制台。 2. 支持在花卷慧办工作台进行操作。 3. 在左侧导航栏身份第三方组织，选择同步身份源菜单。 4. 点击“添加同步任务”，按需选择同步任务，完成任务配置。 注意 目前该能力暂未全面开放至控制台，若想要进行该能力配置，可联系我们进行开启。 1. 添加同步任务 进入同步身份源列表，点击“添加同步任务”，进行AD身份源添加。 2. 选择同步任务 选择“AD 同步机构任务”。 3. 配置任务 输入配置参数，完成AD身份源同步任务配置。 配置参数说明： 参数 说明 服务器地址 必填，输入AD服务器的地址，格式通常为IP地址加端口号，例如：ldap://127.0.0.1:389。 服务器根目录 必填，输入AD服务器的根目录，通常是DN（Distinguished Name）的路径。 管理员账户 必填，输入AD服务器的管理员账户名， 用于进行同步操作的认证。 管理员密码 必填，输入与管理员账户对应的密码。 同步任务名称 非必填，支持自定义同步任务名称。 字段映射 必填，配置AD和AOneId之间的字段映射规则，因为不同的系统可能会使用不同的字段来存储用户信息，目前AOneId仅支持配置username（必须）、name、mobile、email、nickname、orgName（必须） 6个字段的映射规则。 例如：userNamecn;namename;mobiletelephoneNumber;emailmail;nicknamegivenName;orgNameou。 注意 AOneId中的userName（账号）同步AD中的cn字段，其中该字段不填默认为AD中的cn字段，这个字段非常重要，需保证每个账号唯一。 AOneId中的name（姓名）同步AD中的name字段，其中该字段不填默认为AD中的name字段 。 AOneId中的mobile（手机号）同步AD中的telephoneNumber字段，其中该字段不填默认为AD中的telephoneNumber字段， 该字段会根据您在用户池的字段唯一性设置，校验唯一性。 AOneId中的email（邮箱）同步AD中的mail字段，其中该字段不填默认为AD中的mail字段，该字段会根据您在用户池的字段唯一性设置，校验唯一性。 AOneId中的nickname（昵称）同步AD中的givenName字段，其中该字段不填默认不同步数据。 AOneId中的orgName（组织名称）同步AD中的ou字段，其中该字段不填默认为AD中的ou字段。 同步至AOneId机构 必填，选择要同步到的AOneId机构。 同步方式 必填，可选择“手动”或者“定时同步”。 手动：启用同步同步任务后，可手动执行同步任务。 定时同步：设置“同步时间”与“同步周期”，启用同步任务后，自动按照定时执行同步任务，期间不可手动执行。

本文介绍Windows AD的同步任务创建方式。 功能介绍 Windows AD 是 Microsoft 提供的本地化用户目录管理服务。在花卷慧办配置AD同步任务并开启 Windows AD 服务商的企业登录，即可实现将AD中的用户和组织信息同步，通过花卷慧办进行认证管理帮助用户实现登录功能。 本文介绍如何创建AD同步任务。 操作步骤 管理员创建同步任务 仅将AD的用户与组织信息进行同步到花卷慧办，花卷慧办进行认证管理（即密码由花卷慧办管理）。 1. 登录花卷慧办控制台。 2. 支持在花卷慧办工作台进行操作。 3. 在左侧导航栏身份第三方组织，选择同步身份源菜单。 4. 点击“添加同步任务”，按需选择同步任务，完成任务配置。 注意 目前该能力暂未全面开放至控制台，若想要进行该能力配置，可联系我们进行开启。 1. 添加同步任务 进入同步身份源列表，点击“添加同步任务”，进行AD身份源添加。 2. 选择同步任务 选择“AD 同步机构任务”。 3. 配置任务 输入配置参数，完成AD身份源同步任务配置。 配置参数说明： 参数 说明 服务器地址 必填，输入AD服务器的地址，格式通常为IP地址加端口号，例如：ldap://127.0.0.1:389。 服务器根目录 必填，输入AD服务器的根目录，通常是DN（Distinguished Name）的路径。 管理员账户 必填，输入AD服务器的管理员账户名， 用于进行同步操作的认证。 管理员密码 必填，输入与管理员账户对应的密码。 同步任务名称 非必填，支持自定义同步任务名称。 字段映射 必填，配置AD和AOneId之间的字段映射规则，因为不同的系统可能会使用不同的字段来存储用户信息，目前AOneId仅支持配置username（必须）、name、mobile、email、nickname、orgName（必须） 6个字段的映射规则。 例如：userNamecn;namename;mobiletelephoneNumber;emailmail;nicknamegivenName;orgNameou。 注意 AOneId中的userName（账号）同步AD中的cn字段，其中该字段不填默认为AD中的cn字段，这个字段非常重要，需保证每个账号唯一。 AOneId中的name（姓名）同步AD中的name字段，其中该字段不填默认为AD中的name字段 。 AOneId中的mobile（手机号）同步AD中的telephoneNumber字段，其中该字段不填默认为AD中的telephoneNumber字段， 该字段会根据您在用户池的字段唯一性设置，校验唯一性。 AOneId中的email（邮箱）同步AD中的mail字段，其中该字段不填默认为AD中的mail字段，该字段会根据您在用户池的字段唯一性设置，校验唯一性。 AOneId中的nickname（昵称）同步AD中的givenName字段，其中该字段不填默认不同步数据。 AOneId中的orgName（组织名称）同步AD中的ou字段，其中该字段不填默认为AD中的ou字段。 同步至AOneId机构 必填，选择要同步到的AOneId机构。 同步方式 必填，可选择“手动”或者“定时同步”。 手动：启用同步同步任务后，可手动执行同步任务。 定时同步：设置“同步时间”与“同步周期”，启用同步任务后，自动按照定时执行同步任务，期间不可手动执行。