配置Windows服务器相关参数 1 登录Windows 10服务器。 2 启动winRM服务。 搜索“组件服务”，进入“组件服务”页面。 在左侧导航树中，选择“服务（本地）”，在右侧弹框中，找到“Windows Remote Management(WSManagement)”。 右键单击“Windows Remote Management(WSManagement)”，在弹窗中单击“启动”。 3 配置winRM。 以管理员身份运行cmd，执行以下命令： winrm qc （执行两次）回显后，根据提示输入y。 执行以下命令： winrm set winrm/config/service '@{AllowUnencrypted"true"}' 执行以下命令： winrm set winrm/config/service/auth '@{Basic"true"}' 4 （如果已是管理员，可不执行该步骤）执行以下命令，添加用户到用户组。 例如，用户名为“appuser01”。 net localgroup "Remote Management Users" appuser01 /add 5 在power shell会话框中执行以下命令，添加防火墙命令。 NewNetFirewallRule DisplayName "WinRM5985" Direction Inbound LocalPort 5985 Protocol TCP Action Allow 后续管理 改密策略创建完成后，可在策略列表页面，管理已创建策略，包括管理关联资源、删除策略、启停策略、立即执行策略等。 若需补充关联资源，可单击“关联”，快速关联资源账户、账户组。 若需删除策略，可选择目标策略，单击“删除”，立即删除策略。 若需禁用策略改密，可勾选一个或多个“已启用”状态的策略，单击“禁用”，策略状态变更为“已禁用”，策略立即失效。 若需立即修改资源账户密码，可单击“立即执行”，立即执行改密任务。 查询和修改改密策略 若改密策略有变更，例如需改密方式有变化等。可查看和修改已创建的策略配置，包括修改策略基本信息、修改改密执行方式、修改改密日期、修改改密周期、修改关联资源账户或帐户组等。 修改策略配置，且策略状态为“已启用”时，策略规则才生效。

云上资产可通过自动识别添加，线下的资产可通过手动增加自定义资产。本小节介绍安全专区资产管理服务器主机新建。 新建服务器组 1.进入【资产管理】→【添加】，新建服务器组，填写组别名称，设置排序值。 2.点击【选择服务器】，进入服务器列表，选择要分配到该组的资产服务器，点击【确定】提交。 3.点击确定按钮，则新增成功。 编辑服务器分组 选择所要编辑的服务器组，点击【操作】，可进行【编辑】、【删除】以及【刷新】操作。 自定义服务器 进入【资产管理】→【新建】，打开自定义服务器窗口，填写服务器资料，新建自定义服务器。 服务器名称：服务的名称； VPC：所属VPC； 操作系统：选择操作系统类型； 所属地域：选择服务所在区域； 内网IP：服务器IP地址。 所示模板如下，进行点击【提交】，即可创建成功。 在【新增服务器】列表中可查看到新增的服务器信息（新增的服务器有new图标标识，查看或编辑后该图标则消失）。

本文介绍了云防火墙（原生版）的产品类常见问题。 云防火墙（原生版）与Web应用防火墙（原生版）有什么区别？ Web应用防火墙（原生版）针对 Web 业务防护，对非 Web 类业务没有防护能力，且只防护由外对内的攻击。对业务的恶意主动外联没有监测和防护能力。 云防火墙（原生版）包含全部业务防护，支持对 Web 漏洞的基础防护，同时支持内对外的主动外联流量检测。支持失陷主机和恶意外联的自动拦截。 具体区别对比如下表： 类别 云防火墙 Web应用防火墙 产品定义 云防火墙（原生版）（CTCFW，Cloud Firewall）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，帮助您完成网络边界防护与等保合规。 Web应用防火墙（原生版）（CTWAF，Web Application Firewall）为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。 防护对象 IP（弹性公网IP、内网IP等） 域名 网络层级 四层 七层 应用场景 边界网络防护 Web业务安全防护 核心技术 ACL访问控制、DPI深度包检测、IPS入侵检测技术 HTTP协议解析、Web攻击检测 安全能力 支持外部访问控制和主动外联管控，能够检测攻击者对用户网络发起的攻击，同时也能对用户网络主动外联行为进行分析，阻断由内而外的恶意连接行为，保护用户的资产安全。 集成机器学习检测引擎，支持专家经验特征与语义特征，有效检测SQL注入、XSS等基于形式语言的攻击类型，对OWASP常见攻击类型进行了良好覆盖。 Web应用防火墙建议使用场景： 当用户部署了对外提供服务的Web应用时，建议用户购买Web应用防火墙，以便能够保护所部署Web服务的安全。 注意 无论所部署的Web服务是否位于天翼云上，都可以购买天翼云Web应用防火墙（原生版）对用户的Web服务提供防护，天翼云Web应用防火墙（原生版）提供全球级服务，能够为用户任意位置的Web服务提供全面的Web安全保护。 云防火墙建议使用场景： 当用户在天翼云上购买了弹性云主机时，建议购买云防火墙，以便能够保护用户云上弹性云主机的安全。 注意 天翼云云防火墙仅能保护部署在天翼云内的弹性云主机网络安全，对于在其他位置的主机和网络设备，因其网络流量未流经天翼云，故天翼云云防火墙无法保护其网络安全。

本章节主要介绍如何启动及停止集群。 集群是包含着服务组件的集合。用户可以启动或者停止集群中所有服务。 前提条件 已完成IAM用户同步（在集群详情页的“概览”页签，单击“IAM用户同步”右侧的“同步”进行IAM用户同步）。 启动及停止集群 在集群详情页，单击页面右上角“管理操作 > 启动所有组件”或“停止所有组件”执行相应的操作。

服务保障 您在业务接入DDoS高防（边缘云版）过程中遇到任何问题，可通过工单或服务热线方式联系天翼云安全专家。 安全专家将针对您的业务特征，结合业务攻击情况进行相应评估，基于业务实际情况指导您进行防护策略配置，更好帮助您使用DDoS高防（边缘云版）保护您的网站安全。

本文介绍直播录制的范围。 直播录制目前只支持录制源流，暂不支持录制转码流。 说明 直播录制过程中，若直播推流因网络抖动等问题中断，则直播服务将中止录制。当推流重新启动时，直播服务将重新开启新的录制任务。 配置录制后，启动推流即开始录制，结束推流才可停止录制，暂无法按需停启。

本节介绍如何对DRDS实例进行删除。 前提条件 成功登录分布式数据库服务控制台。 注意 删除操作无法恢复，请谨慎操作。 操作步骤 在分布式数据库服务，实例管理列表页面，在目标实例操作栏，选择“更多”>“删除实例”。 如需删除，可在删除确认弹窗中，单击“是”。 说明 如需删除RDS for MySQL实例上的数据，请勾选“删除关联RDS实例的数据”。

本章节主要介绍 配置跨集群互信 。 操作场景 集群A需要访问另一个集群B的资源前，需要管理员用户为这两个集群设置互信。 如果未配置跨集群互信，每个集群资源仅能被本集群用户访问。MRS自动为每个集群定义一个唯一且不重复的“域名”，用于表示用户的基本使用范围。 说明 该章节操作仅适用于MRS 3.x之前版本集群。 MRS3.x及之后版本集群请参考 对系统的影响 配置跨集群互信后，外部集群的用户可以在本集群中跨域使用，请根据业务与安全要求，定期检视集群中用户的权限。 安全集群配置跨集群互信，需要重启KrbServer服务，集群在重启期间无法使用。 配置跨集群互信后，互信的两个集群均会增加内部用户“krbtgt/ 本集群域名 @ 外部集群域名 ”、“krbtgt/ 外部集群域名 @ 本集群域名 ”，不支持删除。密码默认为“Crossrealm@123”。 操作步骤 在MRS管理控制台，分别查看两个集群的所有安全组。 当两个集群的安全组相同，请执行步骤3。 当两个集群的安全组不相同，请执行步骤2。 1. 在VPC管理控制台，分别为每个安全组添加规则。 规则的“协议”为“ANY”，“方向”为“入方向”。 “源地址”为“安全组”且是对端集群的安全组。 为A集群的安全组添加入方向规则，源地址选择B集群（对端集群）的安全组。 为B集群的安全组添加入方向规则，源地址选择A集群（对端集群）的安全组。 说明 未开启Kerberos认证的普通集群执行步骤1~步骤2即可完成跨集群互信配置，开启Kerberos认证的安全集群请继续执行后续步骤进行配置。 2. 参见访问MRSManager（MRS2.x及之前版本）分别登录两个集群MRS Manager，单击“服务管理”，查看全部组件的“健康状态”结果，是否全为“良好”？ 是，执行步骤4。 否，任务结束，联系支持人员检查状态。 3. 查看配置信息。 a.分别在两个集群MRS Manager，选择“服务管理 > KrbServer > 实例”，查看两个KerberosServer部署主机的“管理IP”.。 b.单击“服务配置”，将“基础配置”切换为“全部配置”并在左侧导航树上选择“KerberosServer>端口”，查看“kdcports”的值，默认值为“21732”。 c.单击“域”，查看“defaultrealm”的值。 4. 在其中一个集群的MRS Manager，修改配置参数“peerrealms”。 详见下表：相关参数 参数名 描述 “realmname” 填写互信集群的域名，即步骤4中获得的“defaultrealm”的值。 “ipport” 填写互信集群的KDC地址，参数值格式为：外部集群KerberosServer部署的节点IP 地址:kdcport。 两个KerberosServer的IP地址使用逗号分隔，例如KerberosServer部署在10.0.0.1和10.0.0.2上，则对应参数值为“10.0.0.1:21732,10.0.0.2:21732”。 说明 l 如果需要配置与多个集群的互信关系，请单击添加新项目，并填写参数值。删除多余的配置项请单击。 l 最多支持与16个集群配置互信，且本集群的不同互信集群之间默认不存在互信关系，需要另外添加。 5. 单击“保存配置”，在弹出窗口中勾选“重新启动受影响的服务或实例。”，单击“确定”重启服务。若未勾选“重新启动受影响的服务或实例。”，请手动重启受影响的服务或实例。 界面提示“操作成功”，单击“完成”，服务成功启动。 6. 退出MRS Manager，重新登录正常表示配置已成功。 7. 在另外一个集群的MRS Manager，重复步骤5到步骤7。

监控云主机 您可以使用天翼云云监控产品来监控您的弹性云主机，云监控支持自动实时监控、告警配置和告警通知，让您更好地掌握弹性云主机的运行状态和各项性能指标。 指标监控：对弹性云主机的各项运行指标进行实时监控。还可以查询历史的监控指标情况。 监控告警：通过配置告警规则，在指标发生异常的第一时间对您进行提醒。及时发现问题并处理，可以有效保障部署在的弹性云主机上的服务持续可用。 更多内容请参见云监控。 备份云主机 您可以通过天翼云云主机备份产品和云硬盘备份产品，对弹性云主机上的数据进行备份，当云主机或主机上的云硬盘出现故障，或者软件造成的数据丢失损坏以及人为错误导致的数据误删时，您可以借助备份功能自助快速恢复数据。 云主机备份 云主机备份（CTCSBS，Cloud Server Backup Service）提供对弹性云主机的备份保护服务，支持基于云硬盘快照技术的备份服务，并支持利用备份数据恢复弹性云主机数据。通过云主机备份服务，可以在发生数据丢失、系统故障、人为错误或恶意攻击等情况下，还原云主机数据，确保业务的连续性和数据的安全性。 更多内容请参见云主机备份。

本文介绍OpenClaw(原Clawdbot)持久化存储配置的内容。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw 支持持久化存储配置的内容。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw持久化存储，用户完成配置后，相关配置信息将持久化保存至存储中，实例重启后配置可完整保留不会丢失。以下为详细操作步骤。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

HPFS性能如何？ 可支持高性能100G 以太网或者 IB、RoCE 网络。 HPFS 带宽、IOPS 性能可以随用户申请的文件系统的容量线性提升，最高提供千万 IOPS 和 TBps 吞吐，同时保证亚毫秒级时延，使得数据访问更加高效。 后续会逐步推出多种性能基线的类型，您可以根据自身业务场景和需求进行选择，资源池支持性能规格的情况可查看：产品能力地图。 HPFS都在哪些资源池提供服务? HPFS已在多个资源池上线相关服务，您可以通过产品能力地图查看资源池的列表。

本节介绍了分布式消息服务RabbitMQ产品的计费项。 RabbitMQ包括2个计费项：RabbitMQ队列实例费用、RabbitMQ队列存储空间费用，具体费用详情可参考产品资费。 目前天翼云对分布式消息服务RabbitMQ产品支持包年包月、按需两种计费方式。 计费项 计费项说明 使用的计费模式 计费公式 实例费用 计费因子：代理规格和代理数量 包年/包月、按需计费 实例规格单价 代理数量 购买时长 存储空间费用 计费因子：云硬盘类型、容量大小 包年/包月、按需计费 云硬盘规格单价 单个代理存储大小 代理数量 购买时长

操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在左侧导航树，单击“任务中心”。 步骤 5 在“任务中心”页面，查看目标任务的执行进度和结果。 可选择查看某一时间段的任务。 可以通过任务名称和实例名称/ID确定目标任务，或在右上角的下拉框选择任务状态和任务类型来确定目标任务。

本小节介绍开启容器安全防护。 您可以为已购买的服务器开启容器版安全防护，开启后按照容器版所提供的能力对服务器进行安全防护。 开启容器节点防护时，您需为指定的节点（主机）分配一个配额，关闭容器安全防护或删除节点（主机）后，该配额可分配给其他的节点（主机）使用。 检测周期 企业主机安全每日凌晨进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能看到检测结果。 前提条件 “资产管理 > 容器管理”页面“容器节点管理”中目标服务器“Agent状态”为“在线”。 已在云容器引擎成功创建节点。 节点的“容器防护状态”为“未防护”。 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、 根据需求可选择批量开启防护和单服务器开启防护。 单服务器开启防护 a.在“节点列表”中目标服务器的“操作”列单击“开启防护”，为需要开启防护的节点开启防护。 b.在弹窗中确认信息。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 确认开启集群防护 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。 批量开启防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“开启防护”。 b.在弹窗中确认信息及选择计费模式。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。

本文汇总了弹性伸缩在使用过程中会遇到的计费类问题。 弹性伸缩服务是否收取费用？ 弹性伸缩服务本身不收取费用。但弹性伸缩组内的弹性云主机、云硬盘、弹性IP和带宽等云产品需按照相关产品计费页面公示信息收费。 注意 如果您的账号欠费，伸缩组内所有按需计费的云主机实例将被冻结，从而导致弹性伸缩健康检查判定云主机实例状态为不健康，触发移出并释放这些云主机实例。因此为保证您的正常使用，请及时充值。 伸缩组停用后实例还收费吗？ 弹性伸缩服务本身不收取费用，包括创建的伸缩组。但是您需要为伸缩组内的弹性云主机实例付费。当伸缩组停用后，如果伸缩组内的弹性云主机还存在，则需要继续为弹性云主机实例、云硬盘、弹性IP资源付费。 账号欠费后，为什么伸缩组内的实例被释放了？ 当账号处于欠费状态时，伸缩组内按需计费模式的弹性云主机实例将被冻结。若该伸缩组已开启健康检查功能，健康检查机制会对资源状态进行检测，自动将非 “运行中” 状态的资源移出伸缩组并完成释放；需注意，手动移入伸缩组的实例不会执行释放操作。

本文介绍在客户端的挂载目录页面卡死的情况下如何进行处理。 故障现象 客户端中文件系统的挂载目录页面卡死，无法执行其它命令。 可能原因 文件系统在未卸载的情况下，进行了退订/删除或解绑VPC操作，导致网络中断。 解决方法 1. 在客户端新开一个窗口。须以root用户登录云主机，参考登录Linux弹性云主机弹性云主机快速入门 天翼云， 1. 如果使用云主机控制台“远程登录”，可以在右上角“发送远程命令”中点击“Ctrl+Alt+F3”新开一个窗口登录。 2. 如果使用Xshell等工具登录，可以在当前会话右键选择“复制SSH渠道”新开一个命令窗口。 2. 执行以下命令强制卸载挂载目录。 plaintext umount f [挂载目录] 如： plaintext umount f /mnt 3. 可尝试多次执行，如果多次执行仍无法卸载掉挂载目录，请尝试重启计算服务。 4. 如果需要重新挂载文件系统，请确认在文件系统中添加上与计算服务相同VPC后，重新执行挂载操作。 参考挂载NFS文件系统到弹性云主机 (Linux)弹性文件服务快速入门挂载文件系统 天翼云。

操作场景 当您需要对指定保护组下的某个保护实例开启保护时，可参考本章节执行开启保护操作。 开启保护后，指定的保护实例开始数据同步。 前提条件 保护实例的状态为“待保护”或者“开启保护失败”时，才能开启保护。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务 SDRS”。进入“存储容灾服务”页面。 3. 在“异步复制”页面，单击待开启保护的保护实例所在站点复制对的保护实例数。进入对应站点复制对的保护组页面。 4. 在左侧导航选择相应的保护组。进入保护组详情页面。 5. 在保护实例列表中，单击待开启保护的保护实例所在行操作列的“更多 > 开启保护”。如果有多个保护实例需要开启保护，可同时勾选需要开启保护的保护实例，单击保护实例列表上方的“开启保护”。 6. 在弹出的确认对话框中，确认待开启的保护实例信息后，单击“是”开启保护，保护实例状态变为“开启保护中”。 7. 开启保护执行完成后，保护实例状态变为“同步中”，继续同步差异数据。 说明 开启保护后，数据同步会先读取差异数据，并从磁盘读取数据同步至容灾端，此时会增加磁盘的读带宽，可能会造成业务影响，建议在业务低负载时开启。

本文介绍如何配置边缘接入服务IP应用加速的CNAME。 成功添加边缘接入IP应用加速域名后，系统会为您分配一个CNAME。您需要将您的应用的DNS解析记录指向该CNAME，访问请求才能转发到IP应用加速节点上，实现IP应用加速。本文介绍如何配置CNAME。 1. 登录边缘安全加速控制台，进入边缘接入控制台的【域名】【IP应用加速接入】的页面列表中复制域名/实例对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。配置CNAME完毕，CNAME配置生效后，IP应用加速服务也会立即生效。 注意 CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录生效时间取决于客户设置的TTL时间。 3. 添加时如遇添加冲突，可考虑换一个加速域名，或参考以下“解析记录互斥规则” 调整记录。 在提示冲突的时候，说明已经有对应的记录，不允许重复添加或者说不能添加对应的记录，说明如下。 在RR值相同的情况下，同一条线路下，在几种不同类型的解析中不能共存(X为不允许)： X：在相同的RR值情况下，同一条线路下，不同类型的解析记录不允许共存。如：已经设置了www.ctyun.cn的A记录，则不允许再设置 www.ctyun.cn的CNAME记录。 无限制： 在相同的RR值情况下，同一条线路下，不同类型的解析记录可以共存。如：已经设置了www.ctyun.cn的A记录，则还可以再设置 www.ctyun.cn的MX记录。 可重复： 指在同一类型下，同一条线路下，可设置相同的多条RR值。如：已经设置了www.ctyun.cn的A记录，还可以再设置 www.ctyun.cn的A记录。 4. 验证边缘接入服务IP应用加速服务是否生效。 配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录生效时间取决于客户设置的TTL时间。 您可以ping或dig您所添加的加速域名，验证IP应用加速是否生效。

问题现象 开通服务网格后控制面服务没有正常启动，报错信息如下： message: 'Internal error occurred: failed calling webhook "cosignwebhook.kubesystem.svc": failed to call webhook: Post " x509: certificate is valid for cosignwebhook, cosignwebhook.default, cosignwebhook.default.svc, not cosignwebhook.kubesystem.svc' 问题原因 由于在云容器引擎集群开启了cubesign插件，该插件会对集群中部署的镜像做签名验证，提升系统安全性。服务网格控制面组件镜像不会使用cubesign签名，因此部署会因为签名校验而失败。 解决方案 关闭云容器引擎集群cubesign插件，重新部署网格控制面服务。

参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如IAM服务在某个区域的Endpoint为“iamxxx.ctapi.ctyun.cn”。 resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如“获取用户Token”API的resourcepath为“/v3/auth/tokens”。 querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据。

本节介绍数据加密的权限管理说明。 如果您需要对云服务平台上购买的数据加密（以下简称DEW）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制员工对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望这些开发人员拥有DEW的使用权限，但是不希望开发人员拥有删除DEW等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DEW，但是不允许删除DEW的权限策略，控制员工对云资源的使用范围。 如果系统帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DEW的其它功能。 数据加密权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DEW部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问KMS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对KMS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action）。 DEW系统权限 系统角色/策略名称 描述 类别 KMS Administrator 加密密钥的管理员权限。 系统角色 KMS CMKFullAccess 加密密钥所有权限。 系统策略 下表列出了DEW常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 KMS Administrator KMS CMKFullAccess 创建密钥 √ √ 启用密钥 √ √ 禁用密钥 √ √ 计划删除密钥 √ √ 取消计划删除密钥 √ √ 修改密钥别名 √ √ 修改密钥描述 √ √ 创建随机数 √ √ 创建数据密钥 √ √ 创建不含明文数据密钥 √ √ 加密数据密钥 √ √ 解密数据密钥 √ √ 获取密钥导入参数 √ √ 导入密钥材料 √ √ 删除密钥材料 √ √ 创建授权 √ √ 撤销授权 √ √ 退役授权 √ √ 查询授权列表 √ √ 查询可退役授权列表 √ √ 加密数据 √ √ 解密数据 √ √ 查询密钥实例 √ √ 查询密钥标签 √ √ 查询项目标签 √ √ 批量添加删除密钥标签 √ √ 添加密钥标签 √ √ 删除密钥标签 √ √ 查询密钥列表 √ √ 查询密钥信息 √ √ 查询实例数 √ √ 查询配额 √ √ 系统默认提供两种权限策略：系统策略和自定义策略。系统策略是IAM预置的策略，用户只能使用不能修改。若系统策略不满足授权要求，用户可以创建自定义策略，自由搭配需要授予的权限集。 用户组配置权限策略后，将用户加入用户组中，可以使该用户获得权限策略中定义的操作权限。

操作场景 为生产站点与容灾站点建立绑定关系。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务 SDRS”。进入“存储容灾服务”页面。 3. 在“异步复制”页面右上角，单击“创建站点复制对”。 4. 选择需要创建的站点复制对类型，根据界面提示配置参数，参数说明表如下表所示 1. 跨可用区：生产站点和容灾站点位于同区域内不同可用区 2. 跨区域：生产站点和容灾站点位于不同区域 3. IDC上云：生产站点为本地数据中心。 表 参数说明 参数 说明 取值样例 类型 选择需要创建的站点复制对类型。 跨可用区 复制场景 选择需要创建的复制场景。当前支持类型：H2C（IDC容灾到云平台）。仅当创建“IDC”类型的复制对时，需要设置复制场景。 H2C 名称 站点复制对名称。 名称只能由中文字符、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 Sitereplication001 生产站点 说明 仅当创建“跨区域”和“跨可用区”类型的复制对时，需要设置生产站点。 区域 生产站点所在的区域。 说明 仅当创建“跨区域”类型的复制对时，需要设置区域。 生产站点 说明 仅当创建“跨区域”和“跨可用区”类型的复制对时，需要设置生产站点。 可用区 生产站点服务器所在的可用区。 说明 当创建“跨区域”和“跨可用区”类型的复制对时，需要设置可用区。 AZ1 生产站点 说明 仅当创建“跨区域”和“跨可用区”类型的复制对时，需要设置生产站点。 网络 生产站点服务器所在的VPC。 VPC01 容灾站点 区域 容灾站点所在的区域。 选择搭建云上容灾专有网络时选择的区域。 说明 仅当创建“IDC上云”和“跨区域”类型的复制对时，需要设置区域。 容灾站点 可用区 容灾站点服务器所在的可用区。 AZ2 容灾站点 网络 容灾站点服务器所在的VPC。 VPC02

3.查看DeepSeek状态 可通过slurm命令squeue，查看作业运行信息： plaintext $ squeue JOBID PARTITION NAME USER ST TIME NODES NODELIST(REASON) 7 batch deepseek root R 5:13:46 2 compute001,master001 注意 可在/home/deepseek/logds目录中查看当前作业的日志文件。 4.DeepSeek服务停止 仅需一条命令即可停止deepseek服务： plaintext scancel me

API接口中使用了公共响应头（Http Response Headers），这些公共响应头可以被所有的短信服务请求使用。 返回示例 除业务参数之外，短信服务还会返回以下公共参数： { 'ctyuneoprequestid': '87cee26aa8b64e26816c8530182e2312', } 返回参数 名称 类型 描述 ::: ctyuneoprequestid String 请求流水号。无论调用接口成功与否，都会返回，与请求流水号对应。

本节介绍了如何创建云数据库GaussDB 数据库的用户、以及如何授权。 如果您需要对您所拥有的云数据库GaussDB 进行精细的权限管理，您可以使用（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用云数据库GaussDB 资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将云数据库GaussDB 资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用云数据库GaussDB 服务的其它功能。 本章节为您介绍对用户授权的方法。 前提条件 给用户组授权之前，请您了解用户组可以添加的云数据库GaussDB 系统策略，并结合实际需求进行选择。 示例流程 给用户授权云数据库GaussDB 权限流程 1. 在IAM控制台创建用户组，并授予关系型数据库只读权限“云数据库GaussDB ReadOnlyAccess”。 2. 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 并验证权限 4. 新创建的用户登录控制台，切换至授权区域，验证权限： − 在“服务列表”中选择云数据库 云数据库GaussDB ，进入云数据库GaussDB 主界面，在左侧导航栏选择云数据库GaussDB > 实例管理。单击右上角“购买数据库实例”，尝试购买数据库实例，如果无法购买（假设当前权限仅包含云数据库GaussDB ReadOnlyAccess），表示“云数据库GaussDB ReadOnlyAccess”已生效。 − 在“服务列表”中选择除云数据库 云数据库GaussDB 外（假设当前策略仅包含云数据库GaussDB ReadOnlyAccess）的任一服务，若提示权限不足，表示“云数据库GaussDB ReadOnlyAccess”已生效。

本节介绍了如何查看云数据库GaussDB 的追踪事件。 操作场景 在您开通了云审计服务后，系统开始记录云服务资源的操作。云审计服务管理控制台保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看最近7天的操作记录。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击左侧导航树的“事件列表”，进入事件列表信息页面。 步骤 3 事件列表支持通过筛选来查询对应的操作事件。详细信息如下： 事件来源、资源类型和筛选类型：在下拉框中选择查询条件。其中筛选类型选择资源ID时，还需选择或者手动输入某个具体的资源ID。 操作用户：在下拉框中选择某一具体的操作用户。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可通过选择时间段查询操作事件。 步骤 4 选择查询条件后，单击“查询”。 步骤 5 在需要查看的记录左侧，单击展开该记录的详细信息。 步骤 6 在需要查看的记录右侧，单击“查看事件”，在弹出框中显示该操作事件结构的详细信息。 步骤 7 单击右侧的“导出”，将查询结果以CSV格式的文件导出，该CSV文件包含了云审计服务记录的七天以内的操作事件的所有信息。 关于事件结构的关键字段详解，请参见《云审计服务用户指南》的“事件结构”和“事件样例”章节。

本章节为您介绍升级日志存储容量。 Web应用防火墙（原生版）开通日志分析务后，请实时关注日志存储容量，如果您的日志存储容量已接近或达到饱和状态，为了避免新的日志数据无法写入日志库，请及时升级日志存储容量。 升级容量 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 日志分析”，进入日志分析页面。 5. 单击“升级容量”按钮，跳转至升配页面。 6. 填写需要扩容的存储大小，确认参数配置无误后，阅读《天翼云Web应用防火墙（原生版）服务协议》，并勾选“我已阅读，理解并接受《天翼云Web应用防火墙（原生版）服务协议》“，单击“立即购买”。 7. 进入“付款”页面，完成付款。

说明退订流程。 自助退订 如果您的资源实例确认不再需要，可以在 "费用中心>订单管理>退订管理" ，自助释放删除名下的云电竞实例，也可以联系客户经理进行释放删除。 资源实例一旦被释放，将无法恢复，请提前导出、备份您的资源，避免造成损失。 资源到期 包年包月资源订购时长到期后，您名下绑定的资源将被冻结，无法正常使用，并在15天后自动释放，具体以客户收到的邮件或短信提示为准。为避免影响您的正常使用，请及时续订。 账户欠费 按需服务中，若客户账户欠费，将无法继续使用云电竞服务，具体以客户收到的邮件或短信提示为准。为避免影响您的正常使用，请确保账户余额充足。 如遇欠费，请及时充值，欠款缴清后，云电竞服务将恢复可用状态。 包年包月资源为预付费，不受账户欠费影响。

操作场景 客户需更高级别的响应时间或专属服务权益等。 操作步骤 1、登录天翼云管理中心，点击支持支持计划，进入“支持计划详情”页面。 2、点击“更多 > 变配”，进入变更客户支持计划页面。 3、在变更客户支持计划页面，选择要变更的支持计划级别，查看补交的费用，勾选我已阅读并接受《天翼云客户支持计划服务协议》，点击“支持计划变更”。 4、进入支付页面，选择优惠券、代金券相关信息，点击“立即支付”。 5、支付完成后，在控制台可查看升配后客户支持计划等级和专属服务权益。

本节主要介绍怎么进入OOS控制台。 您具备已通过实名认证的天翼云账号，且已开通对象存储（经典版）I型服务。可以通过“控制中心”或者“对象存储（经典版）I型”>“帮助中心”进入OOS控制台。 通过控制中心进入控制台 1. 在“控制中心”，点击进入“对象存储（经典版）I型”，进入OOS控制台。 2. 进入对象存储经典版I型（OOS）控制台，开始使用对象存储服务。 通过对象存储（经典版）I型帮助中心进入控制台 1. 登录OOS帮助中心，点击“管理控制台”，进入OOS控制台。 2. 进入对象存储经典版I型（OOS）控制台，开始使用对象存储服务。

本文介绍批量配置HTTPS证书的方法。 功能介绍 天翼云CDN支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 适用场景 该功能适用于多域名需同时开启HTTPS服务的场景。 注意事项 批量HTTPS证书配置一次最多能关联100个域名，筛选范围仅包含域名状态为已启用且无在途工单的域名。 域名绑定证书后会开启域名HTTPS功能。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【证书管理】【证书列表】。 3. 在【证书列表】页面，单击左上角【添加自有证书】，并上传证书。 4. 证书上传完可开始【绑定域名】。 5. 选择需绑定该证书的域名，单击【提交绑定】即可。

本文简述天翼云边缘安全加速平台安全与加速服务产品支持的TLS协议版本和配置方法。 功能介绍 TLS（Transport Layer Security）即安全传输层协议，及其前身安全套接层（Secure Sockets Layer，缩写作SSL）是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。最典型的应用就是HTTPS，HTTPS即HTTP over TLS，就是更安全的HTTP，运行在HTTP层之下，TCP层之上，为HTTP层提供数据加解密服务。 天翼云边缘安全加速平台安全与加速服务提供TLS协议版本控制功能，您可以按需对不同加速域名配置不同的TLS协议版本，低版本的TLS协议将提供对老版本浏览器的支持，但是协议的安全性相对更差一些，高版本的TLS协议将提供更高的安全性，但是对老版本浏览器的兼容性相对差一些。 天翼云边缘安全加速平台安全与加速服务支持的TLS协议版本包括TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3，不同TLS协议版本对浏览器的支持如下： 协议 说明 支持的主流服务器 TLSv1.3 RFC8446，2018年发布，最新的TLS版本，支持0RTT模式（更快），只支持完全前向安全性密钥交换算法（更安全）。 Chrome 70+ Firefox 63+ TLSv1.2 RFC5246，2008年发布，目前广泛使用的版本。 IE 11+ Chrome 30+ Firefox 27+ Safri 7+ TLSv1.1 RFC4346，2006年发布，修复TLSv1.0若干漏洞。 IE 11+ Chrome 22+ Firefox 24+ Safri 7+ TLSv1.0 RFC2246，1999年发布，基于SSLv3.0，该版本易受各种攻击（如BEAST和POODLE），除此之外，支持较弱加密，对当今网络连接的安全已失去应有的保护效力。不符合PCI DSS合规判定标准。 IE6+ Chrome 1+ Firefox 2+