参数 是否必填 参数类型 说明 示例 下级对象 billMode 是 String 订购类型（仅创建单独付费计算增强型云电脑有效）。取值范围： Cycle：包周期。 osType 是 String 操作系统类型（Windows;Linux），XC型规格暂只支持Linux cycleType 否 String 周期类型（仅创建单独付费云电脑有效）。取值范围： Month：按月。（仅订购类型为包周期类型有效） cycleCnt 否 Integer 周期数（仅创建单独付费云电脑有效）。取值范围： 136。（仅订购类型为包周期类型有效） autoPay 否 Boolean 是否自动支付（仅创建单独付费云电脑有效），默认false。取值范围： true:是。（仅订购类型为包周期类型有效，需账号有足够金额） false:否。（仅订购类型为包周期类型有效） templateOid 是 String 规格模板ID processorType 否 String 处理器类型。创建XC型规格时必填。取值范围： kp：鲲鹏。 hg：海光。 imageOid 是 String 镜像ID subnetOid 是 String VPC子网ID securityGroupOid 是 String 安全组ID sysDiskType 是 String 系统盘类型（uhio超高IO） sysDiskSize 是 Integer 系统盘大小（单位：GB） 镜像系统盘大小（创建单独付费云电脑，不支持自定义大小） （创建资源包云电脑，支持自定义大小） instanceNum 是 Integer 实例数量

快速响应 配备高配GPU和CPU等硬件来支撑能力，这种高效的硬件配置可以大幅度缩短内容审核的时间，从而快速给出反馈结果。GPU的强大计算能力可以使得系统在短时间内处理大量的数据和特征，提高审核速度。除了硬件配置外，还采用算法和策略来优化审核速度。例如，采用多线程、分布式等技术实现并行处理和并发计算，进一步提高审核效率。 这种快速的反馈可以缩短用户等待时间，提升用户体验，同时也提供了更好的内容管理和监管能力。 支持跨平台部署 支持服务端和移动端，覆盖多种业务场景，可以对不同类型的内容进行审核，如文本、图片、视频等。 服务端部署：通过API接口或Web服务等方式提供内容审核服务。这种部署方式适用于需要对大量内容进行集中审核的场景，如社交媒体平台、新闻网站、视频分享网站等。 移动端部署：可以集成到移动应用程序中，提供实时内容审核功能。这种部署方式适用于需要快速审核内容的应用场景，如短视频平台、直播平台、聊天应用等。通过在移动端集成智能内容审核功能，可以提升用户体验，同时保障内容的安全和质量。

帮助您了解如何新建应急响应服务需求，获取服务序列号 操作场景 服务序列号用于唯一标识本次应急响应服务，安全服务经理在服务过程中，会向您索要服务序列号，用于标识本次服务已进入服务阶段。 前提条件 已订购应急响应服务。 操作步骤 在应急响应页面，可查看订购记录，可通过新建需求获取服务序列号。 1. 登录托管检测与响应服务（原生版）控制台。 2. 在左侧导航栏，选择“应急响应”，进入应急响应页面。 3. 找到目标规格订单，点击页面右上角的“新建需求”，弹出新建应急响应服务需求对话框。 4. 配置服务需求相关参数。 选择订单：本次应急响应需求关联的服务订单，应急响应具有多个规格，每个订单规格所含服务资产数不同，请您根据实际需要选择服务规格。 标题：本次应急响应服务主要目的。 描述：本次应急响应服务详细内容。 5. 配置完成后，单击“确定”，即可返回服务需求列表，查看服务序列号。 6. 单击“服务序列号”列的“复制”，即可复制已生成的服务序列号。

本文主要介绍调试用例 前提条件 已添加用例。 确保资源组状态为“运行中”。 确保资源组的调试节点上的32001和32003端口在安全组被开启。 确保资源组的执行节点和被压测的应用之间网络互通。 调试测试用例 新增或修改用例后，可通过调试快速发现语法或配置错误，确保该模型在任务中可用。 1、登录性能测试控制台，在左侧导航栏中选择“测试工程”。 2、在待编辑测试工程所在行，单击工程名称进入测试工程详情页面。 3、选择“测试用例”页签，在左侧“用例列表”下选择待调试的测试用例。 4、单击页面右上角的“调试”。 5、在弹出的对话框中选择资源组后单击“启动调试”。 共享资源组：无需创建即可使用，最大支持10000并发和100Mb带宽，支持外网地址压测。 私有资源组：本机创建的私有资源组。 6、 在“调试日志”页签，查看调试的操作日志。 7、调试完成后，在“结果”页签，查看测试用例调试的具体内容。 如果调试结果报错，可根据错误日志信息，修改用例后重新调试。

本章节介绍了如何创建GaussDB 的实例，用作迁移任务目标库。 1. 登录天翼云控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击左侧的服务列表图标，选择“数据库 > 云数据库GaussDB ”。 4. 在左侧导航栏选择GaussDB > 实例管理。 5. 单击“购买数据库实例”。 6. 配置实例名称和实例基本信息。 7. 选择实例规格。 本示例中为测试实例，选择较小的测试规格，实际可选规格以界面为准。 8. 选择实例所属的VPC和安全组、配置数据库端口。 9. 配置实例密码等信息。 10. 单击“立即购买”。 11. 返回实例列表。 当实例运行状态为“正常”时，表示实例创建完成。

本文带您了解NAT网关的功能特性。 使用SNAT主动访问Internet 使用NAT网关的SNAT功能，构建VPC主动访问公网出口，使VPC内没有弹性IP的资源可以直接访问公网，实现云内主机共享使用弹性IP访问Internet。 使用DNAT面向Internet提供服务 使用NAT网关的DNAT端口级转换功能，使云上资源可轻松面向Internet提供服务，同时节省大量弹性公网IP，保护云上私网网络结构。 可视化运维 结合弹性IP和NAT网关监控，可对出入网流量进行可视化主动运维。及时发现网络瓶颈，保障业务永续服务，让运维更简单。 使用私网NAT网关 SNAT实现指定地址访问IDC 使用私网NAT网关的SNAT功能，可实现云上VPC内计算实例使用统一私网中转IP地址与IDC互访，IDC网络仅需向中转IP地址开放访问权限，无需感知云上VPC内网络地址明细信息。 使用私网NAT网关 DNAT实现使用指定私网地址开放VPC私网服务 使用私网NAT网关的DNAT功能，可实现云上VPC内计算实例使用同一私网中转IP地址开放服务，避免暴露VPC真实地址，实现网络的安全隔离。

本文为您介绍如何使用Logstash组件将数据导入至天翼云云搜索服务OpenSearch实例。 Logstash是一个开源的服务器端实时数据处理工具，支持从多个数据源中提取数据，经过处理后将数据导入到OpenSearch中。它非常适合处理流数据，如日志、监控数据和指标数据。 适用场景 日志数据、监控数据、流数据等。 前提条件 已经开通天翼云云搜索OpenSearch实例。 已经部署Logstash且打通和OpenSearch实例之间的网络。 Logstash配置 Logstash可以接收很多数据源，可以根据实际的需求配置。 这里使用Filebeat作为Logstash的输入。 配置 yourlogstash.conf 管道文件。 Logstash需要接收Filebeat的输出并进行处理，示例配置如下： input { beats { port > 5044 } } 对数据进行处理。 filter { mutate { removefield > ["@version"] } } 输出到OpenSearch实例。 output { OpenSearch { OpenSearch实例的访问地址。 hosts > [" " " 访问OpenSearch实例的用户名和密码，如无安全机制可不配置。 user > "" password > "" 配置写入的索引名,示例如下。 index > "filebeatlogstashos%{+YYYY.MM.dd}" } } 启动Logstash导入数据 可以使用下面的命令在命令行来启动Logstash导入数据。 ./bin/logstash f yourlogstash.conf

本章介绍主机迁移服务与其他云服务的关系。 主机迁移服务SMS与其他服务的关系参见下表。 相关服务 交互功能 位置 弹性云主机（Elastic Cloud Server，ECS） 将源端服务器的系统、应用和文件等数据迁移到天翼云弹性云主机。 创建云主机 弹性IP（Elastic IP，EIP） 创建迁移任务过程中支持采用公网迁移，要求目的端服务器配置有“弹性IP”。 申请弹性IP 虚拟私有云（Virtual Private Cloud，VPC） 在创建迁移任务前，通过虚拟私有云设置您目的端弹性云服务器所在VPC的安全组。 创建虚拟私有云 云硬盘服务（Elastic Volume Service，EVS） 迁移任务创建并启动后，主机迁移服务会创建一块临时按需计费EVS卷，迁移完成删除该临时卷。 云硬盘规格和价格 云审计服务（Cloud Trace Service，CTS） 通过云审计服务收集主机迁移服务操作记录，便于日后的查询、审计和回溯。 开通云审计服务

本文将介绍如何设置客户端IP访问域名首页次数限制。 功能介绍 频率控制：通过配置IP,URL,ARGS,HEADER,COOKIE,UA,CI等粒度，进行访问次数限制，防止客户资源被过度消耗。 通过配置频率控制能够实现客户端IP访问域名首页次数限制。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版及以上版本支持配置客户端IP访问域名首页次数限制 操作步骤 登录Web应用防火墙（边缘云版）控制台 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】 进入【访问控制】页面，【频率控制】模块 设置客户端IP访问域名首页次数限制 在新增页面，输入规则名称（如单IP访问首页次数限制），选择统计粒度（如IP），在触发条件中设置触发条件（如在59秒内，低5个请求开始执行处理动作），选择处理动作（如拦截），填写完成后，单击确定，保存规则。

本节介绍了如何获取服务返回的CNAME，并将域名或者业务的DNS解析指向天翼云提供的CNAME，这样访问的请求才能转发到边缘云节点上，达到安全防护效果。 要启用Web应用防火墙（边缘云）服务，需要您将接入域名的DNS解析指向我们提供的CNAME，这样域名的请求才能转发到天翼云边缘节点上。 操作步骤 1. 在控制台【域名管理】—【域名列表】复制域名对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。以DNSPod操作界面为例，配置如下： 3. 验证服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效；您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctdns.cn，即表示CNAME配置已经生效，功能也已生效。

本节主要介绍产品定义 API网关（API Gateway）是为企业开发者及合作伙伴提供的高性能、高可用、高安全的API托管服务，帮助企业轻松构建、管理和部署不同规模的API。借助API网关，可以简单、快速、低成本、低风险地实现内部系统集成、业务能力开放及业务能力变现。 如果您作为API提供者，您可以将成熟的业务能力（如服务、数据等）作为后端服务，在API网关中开放API，并通过线下方式提供给API调用者使用，或者发布到API市场，实现业务能力变现。 如果您作为API调用者，您可以获取并调用API提供者在API网关开放的API，减少开发时间与成本。 例如，企业A在API网关中开放了电话号码归属地查询API，并发布到API市场。企业B通过API市场调用此API，并支付调用此API所产生的费用。此时，企业A通过开放业务能力，使自身服务能力变现，企业B直接调用企业A开放的API，减少开发时间与成本，最终实现企业间的共赢。 图 API网关服务简介

本文通过图文说明新增证书的操作。 功能介绍 HTTPS为CDN的网络内容传输提供了更好的保障，客户端在极速访问内容的同时，可以更安全有效地浏览网站内容。HTTPS功能的具体介绍，详情请参见：HTTPS配置。本文主要指导客户如何新增证书。 配置说明 新增证书时，客户需要填写证书备注名、证书公钥以及证书私钥。其中公钥和私钥支持PEM格式。具体操作步骤如下： 1. 登录直播控制台。 2. 在【证书管理】页面，找到右上角的添加自有证书按键。 3. 单击【添加自有证书】。 4. 输入【证书备注名】、【证书公钥】和【证书私钥】。 注意 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便在域名配置关联证书选择时，选定正确的证书与域名进行关联。 5. 填写完成后，单击【确定】。 注意事项 请确保上传的证书还在有效期范围内。 目前只支持PEM格式，如果是其他格式，请先转换成PEM格式。

第5章 前提条件 专有云环境，客户需确认能否将业务暴漏到公网，使用天翼公有云的PTS服务，若无法发布到公网，则无法提供此服务。 客户需提前至少20个工作日申请客户资源优化服务，天翼云解决方案架构师评估客户需求可行性，确定是否提供客户资源优化服务。 客户资源优化现场服务2天起售，需提前15个工作日申请，现场服务只在客户资源优化服务的服务期内提供，客户资源优化现场服务工作时间为工作日9:00~18:00。 若已购买现场服务，客户须提供安全的办公环境，并保障天翼云驻场人员的人身安全。 客户资源优化现场服务，客户需签署客户资源优化服务进场和离场报告或签到表。 客户需审核天翼云制定的服务计划和服务方案，如无正当技术理由，不能否定双方已确认的服务计划和服务方案。 方案落地过程中，客户可能需要购买天翼云或甄选商城的第三方服务，若不购买这些服务，方案无法落地。 第6章 服务地点 客户资源优化服务为远程交付，购买现场服务的客户需提供现场服务地址。 第7章 服务内容 服务内容 服务描述 交付物 业务压测 提供压测方案并在服务期内协助客户压测 压测方案 成本优化 评估现有资源的合理性，给出优化建议 成本优化建议 实施支持 在服务期内，对压测、优化提供技术支持 专属架构师 提供专属的天翼云架构师，协助客户的资源优化工作 服务说明： 专属架构师作为天翼云客户资源优化服务的统一接口，协助的客户资源优化工作。 天翼云为客户提供资源优化服务群，可按客户习惯提供微信群、企业微信群或钉钉群。 天翼云不负责非天翼云平台（如第三方平台、软件、应用）的客户资源优化工作。

本文介绍当攻击发生且触发平台稳定性红线时的处理预案。 场景说明 天翼云CDN是公共的加速服务，平台承载着成千上万的域名加速业务，是一个多客户共用的加速平台，默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，CDN系统有权（根据域名业务情况、攻击影响程度等因素综合判断）将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 域名被切入隔离资源池后，天翼云CDN将不再保证服务质量，部分时段可能会出现无法服务的情况。 说明 隔离资源池是天翼云CDN的一组特殊节点，这组节点与常规节点之间相互隔离，用于隔离有风险的业务。 注意事项 因被攻击导致域名被切入隔离资源池后，用户访问带来的流量仍然会产生计费账单。 相关建议 如您的域名存在潜在被攻击风险，不希望在上述场景下被切换至隔离资源池，请在CDN加速基础上，叠加购买Web应用防火墙（边缘云版），或切换至安全类加速产品，例如：边缘安全加速平台。 相关概念： DDoS：分布式拒绝服务攻击（Distributed Denial of Service，简称DDoS）是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 CC攻击：攻击者借助代理服务器生成指向受害主机的合法请求，以实现DDoS和伪装的，称为CC(Challenge Collapsar)，CC主要是攻击页面，属于应用层攻击。

数据库迁移通用限制和约束 1. CDM以批量迁移为主，仅支持有限的数据库增量迁移，不支持数据库实时增量迁移。 2. CDM支持的数据库整库迁移，仅支持数据表迁移，不支持存储过程、触发器、函数、视图等数据库对象迁移。 3. CDM仅适用于一次性将数据库迁移到云上的场景，包括同构数据库迁移和异构数据库迁移，不适合数据同步场景，比如容灾、实时同步。 4. CDM迁移数据库整库或数据表失败时，已经导入到目标表中的数据不会自动回滚，对于需要事务模式迁移的用户，可以配置“先导入到阶段表”参数，实现迁移失败时数据回滚。极端情况下，可能存在创建的阶段表或临时表无法自动删除，也需要用户手工清理（阶段表的表名以“cdmstage”结尾，例如：cdmtetcdmstage）。 5. CDM访问用户本地数据中心数据源时（例如本地自建的MySQL数据库），需要用户的数据源可支持Internet公网访问，并为CDM集群实例绑定弹性IP。这种方式下安全实践是：本地数据源通过防火墙或安全策略仅允许CDM弹性IP访问。 6. 仅支持常用的数据类型，字符串、数字、日期，对象类型有限支持，如果对象过大会出现无法迁移的问题。 7. 仅支持数据库字符集为GBK和UTF8。 8. 字段名不可使用&和%。 关系数据库迁移权限配置 常见关系数据库迁移需要的最小权限级： MySQL：INFORMATIONSCHEMA库的读权限，以及对数据表的读权限。 Oracle：需要该用户有resource角色，并在tablespace下有数据表的select权限。 达梦：具有该schema下select any table的权限。 DWS：需要表的schema usage权限和数据表的查询权限 SQL Server：用户需要有sysadmin权限。 PostgreSQL：角色拥有数据库下schema下表的select权限。

本章节以NodeJS和Python语言为例，指导用户如何开发后端解析函数，获取上传的文件。 应用场景 端侧文件上传云主机器是Web和App应用的一类场景，例如服务运行日志的上报，Web应用图片上传等，函数可作为后端，结合APIG提供通用的API处理这类场景。 约束与限制 1. 单次请求上传文件大小不超过6MB。 2. 函数逻辑处理时间不超过15分钟。 操作步骤 1. 创建函数。 1. 登录函数工作流控制台，在左侧导航栏选择“函数 > 函数列表”，单击“创建函数”。 2. 选择“创建空白函数”，填写函数信息，完成后单击“创建函数”。选择运行时：Node.js 14.18。 3. 在“代码”页签，复制如下代码替换默认的函数代码，并单击“部署”更新函数。 const stream require("stream"); const Busboy require("busboy"); exports.handler async (event, context) > { const logger context.getLogger() logger.info("Function start run."); if (!("contenttype" in event.headers) !event.headers["contenttype"].includes("multipart/formdata")) { return { 'statusCode': 200, 'headers': { 'ContentType': 'application/json' }, 'body': 'The request is not in multipart/formdata format.', }; } const busboy Busboy({ headers: event.headers }); let buf Buffer.alloc(0); busboy.on('file', function (fieldname, file, filename, encoding, mimetype) { logger.info('filename:' + JSON.stringify(filename)) file.on('data', function (data) { logger.info('Obtains ' + data.length + ' bytes of data.') buf Buffer.concat([buf, data]); }); file.on('end', function () { logger.info('End data reception'); }); }); busboy.on('finish', function () { //这里处理数据 logger.info(buf.toString()); return { 'statusCode': 200, 'headers': { 'ContentType': 'application/json' }, 'body': 'ok', }; }); //APIG（专享版）触发器默认对数据进行Base64编码，这里解码 const body Buffer.from(event.body, "base64"); var bodyStream new stream.PassThrough(); bodyStream.end(body); bodyStream.pipe(busboy); } 2. 配置函数依赖。 1. 制作依赖包。代码中选择busboy库解析上传的文件，需要生成Node.js14.18版本对应的依赖包busboy.zip。如果您使用Node.js语言其他版本，请制作对应版本的依赖包。 2. 创建依赖包。在左侧导航栏“函数 > 依赖包”管理页面，单击“创建依赖包”，配置完成后单击“确定”。 3. 添加依赖包。进入uploadfile1函数详情页面，在“代码”页签最底部，单击“添加依赖包”。在“私有依赖包”的包源中，选择上一步创建的busboy依赖包，单击“确定”，完成依赖包的添加。 3. 配置APIG（专享版）触发器。 1. 在uploadfile1函数详情页面，单击“设置 > 触发器”，开始创建触发器。 2. 单击“创建触发器”，触发器类型可以选择“API 网关服务(APIG 专享版)”。安全认证：此处为方便测试，配置“None”，实际业务请选择更安全的认证方式，例如IAM认证等。请求协议：选择“HTTPS”。请求方法：在下拉列表中根据需求选择。后端超时（毫秒）：默认5000毫秒。 4. 端到端测试：以curl工具为例（curl F的方式主要用的是linux环境），您也可以选择postman等其他工具，在本地创建app.log文件，内容自定义。执行如下命令测试： curl iv {APIG（专享版）触发器URL} F upload@/{本地文件路径}/app.log

本页介绍天翼云TeleDB数据库设置相关参数。 wallevel (enum) wallevel决定多少信息写入到 WAL 中。默认值是logical， 它写入足够的数据以支持WAL归档和复制，包括在备用服务器上运行只读查询。 minimal删除除了从崩溃或立即关闭中恢复所需的信息之外的所有日志记录。 最后，logical会增加支持逻辑解码所需的信息。每个层次包括所有更低层次 记录的信息。这个参数只能在服务器启动时设置。在minimal级别中，某些批量操作的 WAL 日志可以被安全地跳过，这可以使那些操作更快。这种优化可以应用的操作包括：CREATE TABLE ASCREATE INDEXCLUSTERCOPY到在同一个事务中被创建或截断的表中但最少的 WAL 不会包括足够的信息来从基础备份和 WAL 日志中重建数据，因此，要启用 WAL 归档（archivemode）和流复制，必须使用replica或更高级别。在logical层，与replica相同的信息会被记录，外加上 允许从 WAL 抽取逻辑修改集所需的信息。使用级别 logical将增加 WAL 容量，特别是如果为了REPLICA IDENTITY FULL配置了很多表并且执行了很多UPDATE和DELETE 语句时。 fsync (boolean) 如果打开这个参数，数据库服务器将尝试确保更新被物理地写入到磁盘，做法是发出fsync()系统调用或者使用多种等价的方法（见walsyncmethod）。这保证了数据库集簇在一次操作系统或者硬件崩溃后能恢复到一个一致的状态。虽然关闭fsync常常可以得到性能上的收益，但当发生断电或系统崩溃时可能造成不可恢复的数据损坏。因此，只有在能很容易地从外部数据中重建整个数据库时才建议关闭fsync。能安全关闭fsync的环境的例子包括从一个备份文件中初始加载一个新数据库集簇、使用一个数据库集簇来在数据库被删掉并重建之后处理一批数据，或者一个被经常重建并却不用于失效备援的只读数据库克隆。单独的高质量硬件不足以成为关闭fsync的理由。当把fsync从关闭改成打开时，为了可靠的恢复，需要强制在内核中的所有被修改的缓冲区进入持久化存储。这可以在多个时机来完成：在集簇被关闭时或在fsync因为运行initdb synconly而打开时、运行sync时、卸载文件系统时或者重启服务器时。在很多情况下，为不重要的事务关闭synchronouscommit可以提供很多关闭fsync的潜在性能收益，并不会有的同时，关闭fsync可以提供很多潜在的性能优势，而不会有伴随着的数据损坏风险。fsync只能在postgresql.conf文件中或在服务器命令行上设置。如果你关闭这个参数，请也考虑关闭fullpagewrites。

本章节主要介绍授权相关问题中有关使用咨询的问题。 DLI细粒度授权 DLI服务不仅在服务本身有一套完善的权限控制机制，同时还支持通过统一身份认证服务（Identity and Access Management，简称IAM）细粒度鉴权，可以通过在IAM创建策略来管理DLI的权限控制。 通过IAM，您可以在云账号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DLI的使用权限，但是不希望他们拥有删除DLI等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DLI，但是不允许删除DLI的权限策略，控制他们对DLI资源的使用范围。 说明 对于新建的用户，需要先登录一次DLI，记录元数据，后续才可正常使用。 IAM是云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 如果云账号已经能满足您的需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DLI服务的其他功能。 DLI系统权限 如下表DLI系统权限所示，包括了DLI的所有系统权限。 权限类别：根据授权精程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DLI服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 系统角色/策略名称 描述 类别 DLI FullAccess 数据湖探索所有权限。 系统策略 DLI ReadOnlyAccess 数据湖探索只读权限。 只读权限可控制部分开放的、未鉴权的DLI资源和操作。例如创建全局变量、创建程序包以及程序包组、default队列提交作业、default数据库下建表、创建跨源连接、删除跨源连接等操作。 系统策略 Tenant Administrator 租户管理员。 操作权限：具有所有云服务的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色 DLI Service Admin DLI服务管理员。 操作权限：具有数据湖探索服务队列、数据的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色

本章节主要介绍MySQL数据迁移到DWS。 操作场景 CDM支持表到表的迁移，本章节以MySQL>DWS为例，介绍如何通过CDM将表数据迁移到表中。流程如下： 1.创建CDM集群并绑定EIP 2.创建MySQL连接 3.创建DWS连接 4.创建迁移作业 前提条件 已获取DWS数据库的IP地址、端口、数据库名称、用户名、密码，且该用户拥有DWS数据库的读、写和删除权限。 已获取连接MySQL数据库的IP地址、端口、数据库名称、用户名、密码，且该用户拥有MySQL数据库的读写权限。 用户已参考管理驱动，上传了MySQL数据库驱动。 创建CDM集群并绑定EIP 1.参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群所在VPC、子网、安全组，选择与DWS集群所在的网络一致。 2.CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问MySQL。 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。 创建MySQL连接 1.在CDM集群管理界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面。 2.选择“MySQL”后单击“下一步”，配置MySQL连接的参数。 单击“显示高级属性”可查看更多可选参数，具体请参见 配置常见关系数据库连接。这里保持默认，必填参数如下表“MySQL连接参数”所示。 参数名 说明 取值样例 名称 输入便于记忆和区分的连接名称。 mysqllink 数据库服务器 MySQL数据库的IP地址或域名。 192.168.1.110 端口 MySQL数据库的端口。 3306 数据库名称 MySQL数据库的名称。 sqoop 用户名 拥有MySQL数据库的读、写和删除权限的用户。 admin 密码 用户的密码。 使用本地API 使用数据库本地API加速（系统会尝试启用MySQL数据库的localinfile系统变量）。 是 使用Agent 是否选择通过Agent从源端提取数据。 是 localinfile字符集 mysql通过localinfile导入数据时，可配置编码格式。 utf8 驱动版本 适配mysql的驱动。 Agent 单击“选择”，选择连接Agent中已创建的Agent。 单次请求行数 指定每次请求获取的行数。 1000 单次提交行数 支持通过agent从源端提取数据 1000 连接属性 自定义连接属性。 useCompressiontrue 引用符号 连接引用表名或列名时的分隔符号。默认为空。 ' 单次写入行数 指定单次批量写入的行数，当写入行数累计到单次批量提交行数时提交一次，该值应当小于单次提交行数。 100 3.单击“保存”回到连接管理界面。 说明 如果保存时出错，一般是由于MySQL数据库的安全设置问题，需要设置允许CDM集群的EIP访问MySQL数据库。

本文介绍如何在组网配置中查看网络指标。 背景说明 AOne零信任通过分支网关将企业的分支、总部、IDC 机房或者云服务就近接入AOne网络（POP 节点），进而在云上实现企业分支网络的互联互通，则可通过网络指标来分析分支机构互联状态。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任网络组网管理，查看组网配置列表。 4. 点击需要修改的组网配置，点击网络指标。 网络指标 目前支持查看互联的时延、丢包、抖动情况。 时延 时延是指数据包从发送到接收的往返时间(RoundTrip Time,RTT)。 计算方式： 记录每个数据包的发送时间和接收时间。 计算每个数据包的RTT:RTT接收时间发送时间。 丢包 丢包率是指在发送的数据包中，未能成功接收到的数据包所占的比例。 计算方法: 记录发送的数据包总数 N。 记录成功接收到的数据包数 M。 计算丢包率:丢包率(NM)/N 100%。 抖动 抖动是指数据包传输时延的变化，通常用于衡量网络的稳定性。 计算方法: 记录每个数据包的RTT。 计算相邻数据包的RTT差值:抖动RTTi RTT(i1)。

本章介绍如何创建元数据采集任务。此功能处于公测阶段，公测阶段可免费使用 前提要求 已完成数据库资产委托授权，参考云资产委托授权/停止授权进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产管理 > 元数据任务”，进入“元数据采集任务”页面。 5. 在“元数据采集任务”页面，单击“新建”，进入“新建采集任务 > 数据源配置”页面，具体参数说明如下表所示。 参数名 参数说明 选择数据源 选择数据来源。可选择“MySQL”、“PostgreSQL”、“DMDBMS”、“KingBase”、“OpenGuass”、“DWS”、“Hive”、“MRSHIVE”、“TDSQL”。 数据库实例 选择支持的数据库实例。 6. 单击“下一步”，进入“子任务配置”页面： 选择开启或关闭“扫描用户表”。 选择开启或关闭“扫描系统表”。 选择开启或关闭“扫描列约束”。 选择开启或关闭“扫描视图”。 选择开启或关闭“扫描列注释”。 选择开启或关闭“扫描权限”。 7. 单击“下一步”，进入“任务信息配置”页面，配置任务信息，参数说明请参见下表。 参数名称 参数说明 任务信息 任务名称：必填项， 您可以自定义采集任务的名称。 任务描述：非必填项，对您的采集任务进行描述。 任务配置 选择开启或关闭“删除联通性失败的元数据”。 执行计划 识别周期：您可以选择“单次”、“每日”、“每周”或“每月”。 执行计划：您可以选择“立即执行”或“定时启动”。 8. 单击“下一步”，进入“配置确认”页面，确认您已经配置好的参数。 9. 确认无误后单击“完成”，即可成功创建一个新的元数据采集任务。

本文为您介绍通知渠道相关内容。 功能说明 通知渠道用于配合通知方式，目前短信通知渠道默认为系统内置短信网关，支持企业配置其他短信网关接入。目前支持阿里云短信网关。适用场景主要为客户已有短信网关时，可补充套餐内短信不够用的情况，或是客户需要使用自定义短信签名的场景。 操作步骤 1.登录边缘安全加速控制台，选择相应的控制台【AOne零信任】； 2.在左侧导航栏，选择消息通知》通知渠道，进入相关页面进行操作； 3.通知渠道目前支持自助配置短信通知渠道，默认使用系统内置短信网关，使用默认短信签名。 阿里云短信服务 支持接入阿里云短信网关作为您企业使用AOne零信任产品过程中发送短信的短信网关。 请点击页面编辑按钮，切换到阿里云短信服务卡片，输入对应参数字段。其中签名名称需要您在短信网关供应商处完成认证方可使用。 在以下短信发送场景中，若您配置了自有短信网关，则将使用您的短信网关进行发送。 目前仅支持使用系统内置的默认模板发送短信，需由企业将以下短信模板添加到短信服务商平台进行审核，请在完成审核后配置短信模版ID并验证短信服务连通性。

接口描述：调用本接口查询域名的频率控制规则配置内容 请求方式：post 请求路径：/waf/accessratelimit/queryaccessratelimit 使用说明： 查询前，您需要先开通安全加速产品； 单个用户一分钟限制调用10000次，并发不超过100； 请求参数说明（json）： 参数名 类型 是否必填 名称 说明 domain string 是 域名 单次调用支持一个域名查询 pageSize int 否 查询每页的数量 不传默认10条 pageIndex int 否 查询的页数 不传默认第一页 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 data list 否 查询结果 1）data参数 参数 类型 是否必传 名称及描述 results 对象 是 响应码，返回数据 mod String 是 总开关； 1、ON：开启 2、CLOSE：关闭 total int 是 总数 2)results参数 参数名 类型 是否必传 名称及描述 ruleId int 是 规则Id domain string 是 域名 mod string 是 开关状态 1、开启 2、关闭 act string 否 处理动作 1、告警：LOG 2、拦截：BLOCK 3、人机跳转：CC 4、丢弃：DROP priority int 是 优先级 ruleName string 是 规则名 ruleDesc string 否 规则描述 noKey string 是 粒度缺失限速 limitTime int 是 触发条件时间，单位s maxNumber int 是 最多允许多少个请求 durationTime int 是 处理动作持续时间，单位s accessRateLimitCondition List 是 防护条件 countGranularity list 是 统计粒度

Logstash部署在弹性云主机上时导入数据 当Logstash部署在同一VPC的弹性云主机时，导入数据的流程说明如下图所示。 Logstash部署在弹性云主机上时导入数据示意图 1.确保已部署Logstash的弹性云主机与待导入数据的集群在同一虚拟私有云下，已开放安全组的9200端口的外网访问权限，且弹性云主机已绑定弹性IP。 说明 如果同一个VPC内有多台服务器，只要其中一台绑定了弹性IP，其他的服务器可以不需要绑定弹性IP。通过绑定弹性IP的节点跳转到部署Logstash的节点即可 。 如果有专线或者VPN，也不需要绑定弹性IP。 2.使用PuTTY登录弹性云主机。 例如此服务器中存储了需要导入的数据文件“access20181029log”，文件存储路径为“/tmp/accesslog/”，此数据文件中包含的数据如下所示： All Heap used for segments 18.6403 MB All Heap used for doc values 0.119289 MB All Heap used for terms 17.4095 MB All Heap used for norms 0.0767822 MB All Heap used for points 0.225246 MB All Heap used for stored fields 0.809448 MB All Segment count 101 All Min Throughput indexappend 66232.6 docs/s All Median Throughput indexappend 66735.3 docs/s All Max Throughput indexappend 67745.6 docs/s All 50th percentile latency indexappend 510.261 ms 3.执行如下命令在Logstash的安装目录下新建配置文件logstashsimple.conf。 cd / / vi logstashsimple.conf 在配置文件logstashsimple.conf中输入如下内容。 input { 数据所在的位置 } filter { 数据的相关处理 } output { elasticsearch{ hosts > " "} } input：指明了数据的来源。实际请根据用户的具体情况来设置。 filter：对日志进行了提取和处理，将非结构化信息转换为结构化信息。 output：指明了数据的目的地址。 为集群中节点的内网访问地址和端口号。 当集群包含多个节点时，为了避免节点故障，建议将上述命令中 替换为该集群中多个节点的内网访问地址和端口号，多个节点的内网访问地址和端口号之间用英文逗号隔开，填写格式请参见如下示例。 hosts > ["192.168.0.81:9200","192.168.0.24:9200"] 当集群只包含一个节点时，填写格式请参见如下示例。 hosts > "192.168.0.81:9200" 以步骤2中“/tmp/accesslog/”的数据文件为例，输入数据文件从首行开始，且过滤条件保持为空，即不做任何数据处理操作。需导入数据的集群，其节点内网访问地址和端口号为“192.168.0.81:9200”。导入数据的索引名称为“myindex”。配置文件的示例如下所示，配置文件按实际数据情况修改完成后，输入“:wq”保存。 input { file{ path > "/tmp/accesslog/" startposition > "beginning" } } filter { } output { elasticsearch { hosts > "192.168.0.81:9200" index > "myindex" documenttype > "mytype" } } 如果集群开启了安全模式，则需要先下载证书。 a. 在集群基本信息页面下载证书。 详见下图：下载证书 b. 将下载的证书存放到部署logstash服务器中。 c. 修改配置文件logstashsimple.conf。 以步骤2中“/tmp/accesslog/”的数据文件为例，输入数据文件从首行开始，且过滤条件保持为空，即不做任何数据处理操作。跳转主机的公网IP和端口号为“192.168.0.227:9200”。导入数据的索引名称为“myindex”，证书存放路径为“/logstash/logstash6.8/config/CloudSearchService.cer”。配置文件的示例如下所示，配置文件按实际数据情况修改完成后，输入“:wq”保存。 input{ file { path > "/tmp/accesslog/" startposition > "beginning" } } filter { } output{ elasticsearch{ hosts > [" index > "myindex" user > "admin" password > "" cacert > "/logstash/logstash6.8/config/CloudSearchService.cer" } } 说明 password：登录安全集群的密码 。 4.执行如下命令将Logstash收集的弹性云主机的数据导入到集群中。 ./bin/logstash f logstashsimple.conf 5.登录云搜索服务管理控制台。 6.在左侧导航栏中，选择“集群管理”，进入集群列表页面。 7.在集群列表页面中，单击待导入数据的集群“操作”列的“Kibana”。 8.在Kibana的左侧导航中选择“Dev Tools”，单击“Get to work”，进入Console界面。 9.在已打开的Kibana的Console界面，通过搜索获取已导入的数据。 在Kibana控制台，输入如下命令，搜索数据。查看搜索结果，如果数据与导入数据一致，表示数据文件的数据已导入成功。 GET myindex/search

本章节会介绍针对MySQL数据库的参数调优建议。 数据库参数是数据库系统运行的关键配置信息，设置不合适的参数值可能会影响业务。本文列举了一些重要参数说明，更多参数详细说明，请参见MySQL官网。 修改敏感参数 若干参数相关说明如下： “lowercasetablenames” 云数据库默认值：“1”。 作用：该参数表示创建数据库及表时，表存储是否大小写敏感。设置为默认值“1”，表示创建数据库及表时，默认小写，不区分大小写，设置为“0”时，则存储与查询均区分大小写。 说明 8.0版本不支持修改该参数。 影响：修改数据库主实例默认参数值时，用户需要手动同步修改只读实例、通过备份恢复至目标实例的参数。当主实例区分大小写，而只读实例、通过备份恢复至目标实例不区分大小写时，比如主实例先后创建两张表，表名分别为 “abc”、“Abc ”时，会导致数据同步、数据恢复异常，原因为“abc”表名已存在。 “innodbflushlogattrxcommit” 云数据库默认值：“1”。 作用：该参数控制提交操作在严格遵守ACID合规性和高性能之间的平衡。设置为默认值“1”，是为了保证完整的ACID，每次提交事务时，把事务日志从缓存区写到日志文件中，并刷新日志文件的数据到磁盘上；当设为“0”时，每秒把事务日志缓存区的数据写入日志文件，并刷新到磁盘；如果设为“2”，每次提交事务都会把事务日志从缓存区写入日志文件，每隔一秒左右会刷新到磁盘。 影响：参数设置为非默认值“1”时，降低了数据安全性，在系统崩溃的情况下，可能导致数据丢失。 “syncbinlog” 云数据库默认值：“1”。 作用：该参数控制MySQL服务器将二进制日志同步到磁盘的频率。设置为默认值“1”，表示MySQL每次事务提交，binlog同步写入磁盘，是最安全的设置；设置为“0”时，表示MySQL不控制binlog的刷新，由文件系统自己控制其缓存的刷新。此时的性能最好，但风险最大，因为一旦断电或操作系统崩溃，在“binlogcache”中的所有binlog信息都会被丢失。 影响：参数设置为非默认值“1”时，降低了数据安全性，在系统崩溃的情况下，可能导致binlog丢失。

本文主要简述如何通过控制台添加服务域名。 前提条件 已经订购WAF服务，并且套餐支持的域名数量未超过限制。 域名需要完成ICP备案，才可以接入WAF。 操作步骤说明 1、登录Web应用防火墙（边缘云版）控制台，选择【域名管理】【域名列表】，您可以在该页面查看已添加的域名信息，包括域名、CNAME、状态、创建时间、开启/关闭IPv6访问。单击左上角【新增域名】。 2、您需要填写网站信息、网站安全配置。 在网站信息页面，您需要完成基本信息、源站设置、Https配置及证书上传等，单击【下一步】。 配置项说明： 配置项 说明 域名 填写需要接入WAF的域名，包括精确域名（例如www.ctyun.cn）或者泛域名（例如.ctyun.cn1）。域名需要完成ICP备案并且域名需要进行域名归属权校验。 源站 支持IP或域名，支持配置多个源站地址。 IPv6开关 新增域名时，IPv6开关默认开启，如您不需要IPv6可选择关闭。开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云边缘云节点，如果要解决IPv6天窗问题（提升二、三级链接IPv6支持度）需要订购基础版以上版本，通过提交工单，由天翼云客服人工配置。 请求协议 支持选择HTTP和HTTPS，如果是HTTPS协议，需要上传HTTPS证书。添加证书页面如下： 服务端口 http协议默认服务端口为80，https协议默认服务端口为443，专业版和旗舰版支持配置服务特殊端口。 回源协议 指边缘云节点回源站请求资源时使用的协议。配置该功能后，边缘云节点将根据指定的协议回源。 HTTP：边缘云节点以HTTP协议回源。 HTTPS：边缘云节点以HTTPS协议回源。 跟随协议：客户端以HTTP或HTTPS协议请求边缘云节点，边缘云节点跟随客户端的协议请求源站（源站需要同时支持HTTP协议和HTTPS协议，否则可能会造成回源失败）。 回源HOST 回源HOST决定了回源请求访问到源站的哪个站点，默认值为加速域名。自定义配置时，请确保您的源站有配置相应的HOST。 HTTP回源端口 当源站同时服务多个站点，且回源站点与服务域名不同时，您需要配置回源HOST，天翼云WAF产品在回源时会根据配置的回源HOST信息去访问对应站点。源站和回源HOST的区别： 源站：指您的业务所部署的服务器地址，回源时会访问该服务器地址获取资源。 回源HOST：指全站加速回源请求头携带的回源HOST信息，回源请求会访问回源HOST对应的具体站点。注意事项： 对于普通域名（精准域名），回源HOST默认为加速域名。 对于泛域名，回源HOST默认为实际访问的子域名。例如，泛域名是 .ctyunexample.com1，如果通过example.ctyunexample.com1访问时，回源HOST即为example.ctyunexample.com1。 跟随请求端口回源 如果跟随请求端口回源开关开启，则使用请求服务端口回源。 配置项 说明 3、填写完网站信息，您需要填写网站安全配置。 在网站安全配置页面，您可以根据您实际的业务情况选择问题答案，如果您不想选择，也可以选择单击【跳过】，系统将会默认为您域名开启监控模式。 配置项说明： 配置项 说明 网站防护模式 您可以设置域名全局防护模式。 拦截：仅当防护模式为拦截时，处理动作拦截才能生效。 告警：若防护模式为告警，处理动作拦截会采用告警处理。 漏洞防护配置 天翼云WAF内置多种规则引擎模板，您可以根据您业务情况选择合适的模板。 全量防护规则集：适用于重保等级高，且允许一定程度误报的业务场景。该漏洞规则集防护包含全量规则，绝大部分规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），容易出现误报，请谨慎选择；敏感防护规则集：适用于常规网站，且允许少量误报的业务场景。该漏洞规则集防护等级较为严格，容易误报的规则处理动作为告警，其他规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），存在一定误报可能性。 宽松防护规则集：适用于常规网站，允许存在一定漏报的业务场景。该漏洞规则集防护等级较为宽松，关闭容易产生误报的规则，则可能存在一定漏报，接入后请及时关注。 PHP防护规则集：适用于后台开发语言为PHP的网站业务。该漏洞规则集主要针对后台语言为PHP进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 JAVA防护规则集：适用于后台开发语言为JAVA的网站业务。该漏洞规则集主要针对后台语言为JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 非PHP和JAVA防护集：适用于后台开发语言明确非PHP和JAVA网站业务。该漏洞规则集主要针对后台语言为非PHP和JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注。 下载类业务规则集：适用于下载类业务，即包含zip、rar、tar、gz等下载类后缀的业务网站。该漏洞规则集主要针对下载类业务进行设定规则，关闭其他容易产生误报的规则，接入后请及时关注。 填写完安全配置后，单击【提交】，出现添加完成页面。 4、完成新增域名操作后，可通过【域名列表】查看该域名配置是否完成，通过域名的状态字段判断： 当域名状态为“配置中”时，表示域名配置没有完成，正在配置流转中。 当域名状态为“已启用”时，表示域名配置已经完成，您可以通过域名列表获取CNAME，需要将指定域名的DNS解析指向我们提供的CNAME，以确保访问请求能够转发到边缘云节点上，操作步骤参考配置CNAME。 如果您需要需要设置回源白名单，请参考设置回源白名单

如何使用CTIAM创建子账号进行分权管理。 场景说明 有些客户在开通天翼云云点播产品后，出于分工管理或者多部门共用的需要，希望可以开通多个子用户共同使用云点播。其中的角色分工可能包含管理员、各项目的运营方等。其中各角色的主要职能如下： 管理员：拥有全局管理权利。 运营方：负责配置转码工作流，上传媒资内容，并获取播放链接地址发布在点播网站上。但运营方只能操作自己存储桶的文件，配置自己的专属工作流，不能修改其他运营方的转码配置。 多人开发如果使用同样的权限和账号密码，很容易造成误删、误操作的动作影响整体的业务安全。同时多人分享账号密码也容易造成密码泄露。因此需要有一套主子账号机制，给每个角色分配不同的权限，以实现各自职能并保障安全。 前提条件 已经在天翼云完成实名注册认证，获得了天翼云账号。 已经开通天翼云云点播产品。 当前配置人员具备主账号权限。 总体实施步骤 总体实施步骤一共分为三步： 1. 创建资源。 2. 创建子用户。 3. 为子用户赋予相对应的权限。 创建资源 1. 首先，具备主账号权限的管理员（以下简称“管理员”）需要首先登录云点播控制台。新建一个点播实例。 创建子用户 1. 打开统一身份认证服务，使用您在天翼云官网注册的登录凭证作为主账号进行登录。如下图所示： 2. 在进入CTIAM控制台后，在左侧的导航页内找到【用户】页。点击【创建用户】可创建一个新的子用户。如下图所示： 说明 CTIAM创建的子用户同时可能拥有多个产品的操作权限。因此，您可以为每个子用户配置多个天翼云产品的管理权限，而无需按照为每个产品的单独设置一个子用户。 3. 在创建用户的页面，您可根据界面提示设置子用户的名称、联系方式等。需要注意的是：（1）如您需要后续授权该子用户使用云点播控制台，则应将【控制台访问】的选项选中。（2）子用户可使用手机号码、邮箱（如有）作为登录凭证，请确保这两项凭证在当前天翼云租户下的唯一性。（3）云点播尚未对接CTIAM的用户组能力，建议在创建新的子用户时，暂不要将该子用户纳入用户组，以免造成后续不可预知的问题。相关要点如下图所示： 4. 至此，您已在CTIAM下创建了一个新的子用户。但该子用户尚未具备云点播产品的任何权限，因此无法登录和使用云点播任何能力。您还需对该子用户赋予云点播相关权限，详情可查看本文【子用户授权】章节。 5. 关于创建子用户的更多详细操作可以查看教程创建IAM用户。

本节主要介绍添加DNAT规则的操作步骤。 操作场景 NAT网关创建后，通过添加DNAT规则，则可以通过映射方式将您VPC内的云主机对互联网提供服务。 一个云主机的一个端口对应一条DNAT规则，一个端口只能映射到一个EIP，不能映射到多个EIP。如果您有多个云主机需要为互联网提供服务，则需要创建多条DNAT规则。 操作前提 已成功创建NAT网关。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。 3. 在NAT网关页面，单击需要添加DNAT规则的NAT网关名称。 4. 在NAT网关详情页面中，单击“DNAT规则”页签。 5. 在DNAT规则页签中，单击“添加DNAT规则”。 说明 配置DNAT规则后，需要放通对应的安全组规则，否则DNAT规则不能生效。 根据界面提示，配置添加DNAT规则参数，详情请参见下表。 参数 说明 使用场景 虚拟私有云表示虚拟私有云中的云主机将通过DNAT的方式共享弹性IP，为公网提供服务。 云专线表示通过云专线方式接入虚拟私有云的本地数据中心中的服务器，将通过DNAT的方式为公网提供服务。 端口类型 分为所有端口和具体端口两种类型。 所有端口：属于IP映射方式。 此方式相当于为云主机配置了一个弹性IP，任何访问该弹性IP的请求都将转发到目标云服务器实例上。 具体端口：属于端口映射方式。 公网NAT网关会将以指定协议和端口访问该弹性IP的请求转发到目标云主机实例的指定端口上。 支持协议 协议类型分为TCP和UDP两种类型。端口类型为具体端口时，可配置此参数，端口类型为所有端口时， 此参数默认设置为All。 弹性IP 弹性IP地址。这里只能选择没有被绑定的弹性IP， 或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性IP， 或者被绑定到当前公网NAT网关中SNAT规则上的弹性IP。 公网端口 弹性IP的端口。当端口类型为具体端口时，需要配置此参数，有效数值为165535。 公网端口为具体的数值，例如80。 私网IP 当使用场景为虚拟私有云时，指云主机的IP地址。表示此IP地址的云主机将通过DNAT方式为公网提供服务。 当使用场景为云专线时，指用户本地数据中心中服务器的IP地址或者用户的私有IP地址。 表示通过云专线接入到虚拟私有云的本地数据中心端的此私有IP服务器，可以通过DNAT方式为公网提供服务。 端口类型为具体端口时，需要配置私网IP的端口。 私网端口 在使用DNAT为云主机面向公网提供服务场景下，指云主机的端口号。 当端口类型为具体端口时，需要配置此参数，有效数值为165535。私网端口为具体的数值，例如80。 6. 配置完成后，单击“确定”，可在DNAT规则列表中查看详情，若“状态”为“运行中”，表示创建成功。 说明 配置DNAT规则后，需在对应的云主机中放通对应的安全组规则，否则DNAT规则不能生效。

本文主要介绍 安装Agent（Linux） 操作场景 本章节主要介绍如何在ECS或BMS中手动安装Agent，为用户提供主机的系统级、主动式、细颗粒度的监控服务。 前提条件 确保操作步骤中的安装目录都有读写权限，并且安装成功后的Telescope进程不会被其他软件关闭。 已配置委托。 已参考修改DNS与添加安全组（Linux）完成DNS与安全组配置。 确保可获取Agent安装脚本，可在云监控控制台获取或参考下表。 表 获取Linux镜像的Agent安装脚本 区域 regionID 下载路径 北京2 cnbj1 < 太原 cnsxty1 < 中卫 cnnxyc1 < 兰州 cngslz1 < 南宁 cngxnn1 < 南昌 cnjxnc1 < 石家庄 cnhesjz1 < 郑州 cnhazz1 < 重庆 cncq1 < 成都3 cnsccd1 < 芜湖 cnahwh1 < 华北 cnnorth1 < 西安2 cnsnxy1 < 广州4 cngdgz1 < 贵州 cngz1 < 海口 cnhihk1 < 西宁 cnqhxn1 < 内蒙3 cnnmhh1 < 乌鲁木齐 cnxjcj1 < 昆明 cnynkm1 < 长沙2 cnhncs1 < 青岛 cnsdqd1 < 武汉2 cnhbwh1 < 福州 cnfz1 < 上海4 cnsh1 < 杭州 cnhz1 < 深圳 cnsz1 < 苏州 cnjssz1 <

场景架构图 应用场景：大数据分析 场景说明 大数据分析场景处理大容量数据，需要高I/O能力和快速的数据交换处理能力。例如MapReduce 、Hadoop计算密集型。 场景痛点 业务数据量不断增大，对计算资源需求较大，造成企业成本压力； 数据处理具有周期性，业务波动变化频繁，需要灵活调度资源。 应用推荐 使用本地盘云主机，在保证海量存储空间、高存储性能的前提下，可以为云端的Hadoop集群、Spark集群提供更高的网络性能。 产品优势 使用本地盘云主机，提供高可靠存储资源，便于安全存储数据、文件和应用程序； 对于重点保护数据，可通过对象存储的多副本冗余功能，实现异地数据容灾； 可按需在线弹性扩展，不需要迁移数据，满足大容量、高并发请求的挑战。 推荐搭配 弹性伸缩服务、弹性负载均衡、对象存储。 场景架构图 应用场景：图形渲染 场景说明 工业设计工具、视频渲染、图形处理等场景需要强大计算能力，追求极致性能体验，以及超高性价比。

开启健康检查 操作场景 用户可以配置运行状况检查，这些检查可用来监控后端云主机的运行状况，以便负载均衡器只将请求发送到正常运行的后端云主机。而当该故障云主机恢复正常运行时，负载均衡会将其自动恢复到对外或对内的服务中。 注意 健康检查支持协议TCP、UDP、HTTP。TCP协议监听器只可选TCP，UDP协议监听器只可选UDP。 HTTP协议/HTTPS协议监听器可选HTTP或TCP。 只支持在添加监听器操作过程中开启健康检查。 弹性负载均衡使用100.89.0.0/16（IPv4）、100:0:0:2:0:0:6459:0/112（IPv6）来对后端云主机做健康检查，如果开启健康检查功能需要在安全组时需要放通此网段。 操作步骤 1. 登录弹性负载均衡控制台。 2. 在顶部右侧选择弹性负载均衡所属区域，本文选择华东华东1。 3. 打开监听器配置向导创建监听器，在监听器负载方式&健康检查页面开启“健康检查”选项，并点击“立即创建”，则完成监听器健康检查功能开启。

支持对后端主机进行健康检查 支持用户自定义健康检查方式和频率，负载均衡根据预设的健康检查规则定时检查后端主机组运行情况，一旦检测到云主机为非健康状态，则不会将访问流量分派到这些非健康云主机实例。 支持IPv4 和 IPv6 双栈方案 兼容IPv4和IPv6地址，并且能够同时处理IPv4和IPv6流量。用户可以将IPv4和IPv6的流量通过负载均衡器进行负载均衡，并将其分发到后端的IPv4和IPv6云主机上，满足不同网络环境和要求下的负载均衡需求。 支持访问控制功能 通过设置黑、白名单等措施，对负载均衡器的访问进行灵活控制。黑名单是指禁止特定的IP访问负载均衡，白名单是指允许特定的IP访问负载均衡。通过对黑、白名单的设置，实现对系统的安全保护和访问控制。 支持跨可用区容灾 支持用户将后端服务节点部署在不同的可用区，通过负载均衡服务将流量分发到这些节点上。如果某个可用区出现故障，负载均衡服务可以自动将流量切换到其他正常的可用区，从而实现跨可用区容灾。