本节主要介绍Kafka业务迁移。 Kafka迁移指将生产与消费消息的客户端切换成连接新Kafka，部分还涉及将持久化的消息文件迁移到新的Kafka。主要涉及到以下2类场景： 业务上云且不希望业务有中断。 在上云过程中，连续性要求高的业务，需要平滑迁移，不能有长时间的中断。 在云上变更业务部署 单AZ部署的Kafka实例，不具备AZ之间的容灾能力。用户对可靠性要求提升后，需要迁移到多AZ部署的实例上。 迁移准备 1、配置网络环境 Kafka实例分VPC内以及公网地址两种网络连接方式。如果使用公网地址，则消息生成与消费客户端需要有公网访问权限，并配置如下安全组。 表 安全组规则 方向 协议 端口 源地址 说明 ::::: 入方向 TCP 9094 0.0.0.0/0 通过公网访问Kafka（关闭SSL加密）。 入方向 TCP 9095 0.0.0.0/0 通过公网访问Kafka（开启SSL加密）。 2、创建Kafka实例 Kafka的规格不能低于原业务使用的Kafka规格。具体请参考购买Kafka实例。 3、创建Topic 在新的Kafka实例上创建与原Kafka实例相同配置的Topic，包括Topic名称、副本数、分区数、消息老化时间，以及是否同步复制和落盘等。具体请参考创建Topic。

本章介绍开启防护时没有显示配额的原因。 未购买配额 请先在服务器所在区域购买充足的配额。 区域不正确 购买配额后，请切换到配额所在区域对服务器开启防护。 位置不正确 若您购买的是基础版/企业版/旗舰版，请在“企业主机安全 > 主机管理 > 云服务器”页面开启防护。 若您购买的是网页防篡改版，请在“网页防篡改 > 防护列表”页面开启防护。 若您购买的是容器版，请在“企业主机安全 > 容器管理 > 节点列表”页面开启防护。

区域和终端节点 当您通过API使用资源时，您必须指定其区域终端节点。请向企业管理员获取区域和终端节点信息。

本文介绍SQL Server的经典应用场景。 企业级应用 SQL Server广泛应用于各种企业级应用程序，例如企业资源计划（ERP）、客户关系管理（CRM）等。因为企业级应用程序一般对可用性、可靠性和安全性有较高的要求，而且涉及大量数据和复杂数据模型，通常伴随着复杂的数据查询和分析操作，用来支持决策制定和业务智能。 金融行业 金融行业如银行、证券、保险、基金以及新兴的互联网金融领域，通常需要处理大量的敏感数据，并且受到各种法规和监管要求的约束，对安全性、合规性和可用性具有很高的要求。SQL Server的高可用性、多层次的安全机制、内置丰富的商业智能工具等特性，让其成为金融行业数据库服务的首选。 电子商务 电子商务行业通常在处理大量用户请求和交易数据的同时要求能快速响应，并且需要及时根据市场需求，实时分析销售趋势、定制营销策略，不断更新电子商务平台。SQL Server高性能、高可用性、弹性伸缩以及丰富的数据管理和分析能力，可以为电子商务企业提供稳定高效、高性价比的解决方案。 Windows环境 SQL Server是由Microsoft公司开发的数据库管理系统，所以和Windows操作系统紧密集成。在Windows环境中，SQL Server能够发挥操作系统的特性和优势，有利于提高数据库的性能。同时充分利用Microsoft生态系统，获得更好的集成和技术支持，确保业务系统的稳定性和可用性。例如政府和公共服务、教育机构等。

本节介绍云安全中心支持的功能。 云安全中心系统主要包含安全态势、资产中心、风险管理、威胁运营、分析中心、编排响应、报表中心、集成配置以及数据源监控等功能。 安全态势 依托接入云安全中心的数据，提供统一可视化界面展示网页业务的整体安全状态。 资产中心 各类资产集中展示，全面汇集资产情况。 风险管理 资产风险信息清晰明确，定期更新资产漏洞、弱口令等信息。 威胁运营 对威胁全方位管理，提供告警概览、告警管理以及威胁检测等功能，可实现各类告警灵活定制。 分析中心 提供日志以及原始告警灵活查询，提供多种分析专题，为用户多角度呈现数据态势。 编排响应 是企业内部定制或者沉淀的知识经验，也是安全应急响应通用告警处理的“模板”。不论是自动化的编排，还是人工的编排，都可以通过“安全剧本”来进行表述。 报表中心 通过周期性的报表任务和可定制的报表模板承载各类个性化报表的展示和生成。 集成配置 数据集成一键配置，实现所配即所得。 数据源监控 为用户提供各类数据源的展示和基本信息统计。

应用性能监控(Application Performance Monitoring,APM)是天翼云可观测体系中的一款产品,能帮助您进行应用性能管理。 应用性能监控（APM）作为天翼云可观测体系中的关键产品，可以为应用、容器等不同对象提供全链路一体化的监控解决方案，帮助您实现全栈性能监控与端到端追踪诊断，为您的应用健康保驾护航。APM包含以下子能力，您在构建自己的监控体系时，可根据业务需求选择使用。 应用监控：无需修改您的应用代码，只需为应用安装探针，APM就可以为应用构建全方位监控，掌控应用运行状态，包括错、慢接口定位、性能瓶颈洞察，重现调用参数与调用链路，可帮助您大幅提升运维效率。 Prometheus监控：全面对接开源 Prometheus 生态，与云容器服务高度集成，集成丰富的容器基础监控指标，提供高可用、全托管的Prometheus监控能力，减少开发和运维成本。（目前仅华东1资源池支持Prometheus监控能力） 关键特性 可视化监控：无需配置，自动监控JVM、基础资源、URL、Exception、SQL等各类监控指标，并提供可视化图表展示。 全链路追踪：自动发现应用的上下游依赖关系，捕获计算并立体展示不同应用之间组成的调用链，进行全链路拓扑化追踪，轻松发现异常调用。 灵活告警：提供几十项告警指标配置，具备静默策略等告警收敛能力，支持短信、邮件、IM应用等多通知渠道，满足客户各场景的灵活告警诉求。 容器Prometheus监控：无缝对接天翼云云容器引擎，提供多种开箱即用的预置监控仪表盘，集成丰富的容器基础监控指标。

数据备份与恢复 为应对数据丢失或损坏对用户业务造成不利影响，在异常情况下快速恢复系统，翼MR根据用户业务的需要提供全量备份、增量备份和恢复功能。 自动备份 翼MR对集群管理系统Manager上的数据提供自动备份功能，根据制定的备份策略可自动备份集群上的数据，包括LdapServer、DBService的数据。 手动备份 在系统进行扩容、打补丁等重大操作前，需要通过手动备份集群管理系统的数据，以便在系统故障时，恢复集群管理系统功能。 为进一步提供系统的可靠性，在将Manager、HBase上的数据备份到第三方服务器时，也需要通过手动备份。 节点可靠性 操作系统健康状态监控 周期采集操作系统硬件资源使用率数据，包括CPU、内存、硬盘、网络等资源的使用率状态。 进程健康状态监控 翼MR提供业务实例的状态以及业务实例进程的健康指标的检查，能够让用户第一时间感知进程健康状态。 硬盘故障的自动处理 翼MR对开源版本进行了增强，可以监控各节点上的硬盘以及文件系统状态。如果出现异常，立即将相关分区移出存储池；如果硬盘恢复正常（通常是因为用户更换了新硬盘），也会将新硬盘重新加入业务运作。这样极大简化了维护人员的工作，更换故障硬盘可以在线完成；同时用户可以设置热备盘，从而极大缩减了故障硬盘的修复时间，有利于提高系统的可靠性。

购买说明 适用场景 1. 红色党建 依托丰富的资源池及领先技术，天翼云实时云渲染已被应用于超高清动漫、工业制造、云会展等多个领域，服务了诸多政企客户。天翼云实时云渲染为政企用户提供高并发实时渲染能力，通过应用预热功能让上百路路节点稳定运行，实现应用秒速打开，云渲染可助力企业宣传从传统媒体升级，实现更高曝光率，增强品牌效应。 2. 线上VR 解决AR、VR等沉浸式体验需要，实现多终端实时交互，更快实现VR场景部署，XR应用访问无需终端自行购买高配置机器，通过云渲染高性能渲染节点实现流畅游玩。 3. 大算力渲染需求大场景 面向智慧城市/园区、虚拟数字人、产学研课题进行孪生渲染，实现统一维护、统一管理。主要客户画像：数字城市、 智慧工厂/园区、元宇宙服务/应用公司、虚拟数字人服务商等。 购买指引 云渲染支持官网自助开通 云渲染服务，您可以在云渲染产品详情页选择立即开通，购买可用实例。

本文介绍全站加速是否支持源站的CacheControl设置及如何配置。 问题说明 全站加速域名，没有配置任何缓存规则，则默认所有文件不缓存，不响应源站CacheControl。 若需要支持源站的CacheControl ，需在控制台上，修改缓存规则，将需要响应源站CacheControl的文件类型调整为【优先遵循源站】即可。 操作步骤 1. 登录客户控制台。 2. 在【域名列表】页面，选择目标域名，单击【编辑】。 3. 单击【缓存配置】。 4. 单击【增加规则】。 5. 选择【类型】，如后缀名、目录、首页、全部文件、全路径文件，并配置相应的内容。 6. 将需要响应源站CacheControl的缓存规则调整为【优先遵循源站】 ，点击【确定】即可。

本节介绍了常见问题:实例相关问题。 实例访问地址不通 确认使用的地址是否正确。内网地址只能在用户的VPC内的主机上访问。外网地址可以从公网访问。 个人实例和企业实例配额问题 个人版容器镜像实例不支持调整命名空间配额和仓库配额，而企业版支持通过扩容或缩容操作修改空间配额和仓库配额。

本文介绍通过无域名接入方式接入边缘接入服务IP应用加速的实例名称。 功能介绍 通过无域名方式接入边缘接入服务IP应用加速的实例新增完成后，在IP应用加速接入列表中可查看到该实例，也可以修改实例名称。 配置说明 在IP应用加速接入列表中找到您要修改的实例，点击实例名称后面的小铅笔，修改实例名称后，点击“确定”即可完成实例名称的修改。 注意 实例名称必须是不超过10位的中英文和数字的组合，且不允许和其他实例的名称相同。 配置界面

本小节介绍数据库安全运维实名操作控制及审计最佳实践。 背景 数据库资产作为企业各类经营业务数据的承载体，其重要性不言而喻。企业的核心业务数据往往是私密且敏感的，如何有效防护数据库资产安全，防止越权访问、违规操作以及进一步导致数据泄露等事件发生，成为企业在数据安全防护工程建设中重点关注的一项内容。传统数据库审计或数据库防火墙产品可审计及控制操作，但很难实名到自然人操作。 天翼云堡垒机支持数据库资产的运维管控，支持多种类型数据库运维，如MySQL、PostgreSQL、Oracle等协议类型数据库，支持自然人、数据库资源的操作关联，以满足不同用户使用需求。 数据库运维流程 管理员先将数据库纳入堡垒机进行管理，将资产访问权限分配给相关运维人员，运维人员登录系统，在资产访问页面触发“本地访问初始化”，系统会将运维访问策略下发到本地，初始化成功后，运维人员打开本地客户端连接资产进行访问运维。整个运维流程，从建立连接到资产中的操作详情，都将在堡垒机中实现管控审计。 前提条件 已在本地安装数据库访问客户端，如Navicat、DBeaver等。 已将数据库资产纳入堡垒机进行管理。 已获取相关资产访问权限。 操作步骤 管理员将数据库资产纳入堡垒机进行管理 1. 管理员登录堡垒机。 2. 左侧菜单选择“资产管理>资产”。 3. 在资产管理界面点击“新增”，弹出资产信息输入窗口，按界面各项属性引导输入相关信息后提交即可。

本小节介绍数据库安全运维实名操作控制及审计最佳实践。 背景 数据库资产作为企业各类经营业务数据的承载体，其重要性不言而喻。企业的核心业务数据往往是私密且敏感的，如何有效防护数据库资产安全，防止越权访问、违规操作以及进一步导致数据泄露等事件发生，成为企业在数据安全防护工程建设中重点关注的一项内容。传统数据库审计或数据库防火墙产品可审计及控制操作，但很难实名到自然人操作。 天翼云堡垒机支持数据库资产的运维管控，支持多种类型数据库运维，如MySQL、PostgreSQL、Oracle等协议类型数据库，支持自然人、数据库资源的操作关联，以满足不同用户使用需求。 数据库运维流程 管理员先将数据库纳入堡垒机进行管理，将资产访问权限分配给相关运维人员，运维人员登录系统，在资产访问页面触发“本地访问初始化”，系统会将运维访问策略下发到本地，初始化成功后，运维人员打开本地客户端连接资产进行访问运维。整个运维流程，从建立连接到资产中的操作详情，都将在堡垒机中实现管控审计。 前提条件 已在本地安装数据库访问客户端，如Navicat、DBeaver等。 已将数据库资产纳入堡垒机进行管理。 已获取相关资产访问权限。 操作步骤 管理员将数据库资产纳入堡垒机进行管理 1. 管理员登录堡垒机。 2. 左侧菜单选择“资产管理>资产”。 3. 在资产管理界面点击“新增”，弹出资产信息输入窗口，按界面各项属性引导输入相关信息后提交即可。

权限说明 如果您需要对LTS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制LTS资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制其对LTS资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有LTS的使用权限，但是不希望员工拥有删除服务发现规则等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用服务发现规则，但是不允许删除服务发现规则的权限策略，控制其对服务发现规则资源的使用范围。 如果账号已经能满足您的使用需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用LTS的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见“统一身份认证服务 用户指南的产品简介章节”。 LTS权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对LTS进行操作。 LTS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问LTS时，需要先切换至授权区域。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 如[表1]所示，包括了LTS的所有系统权限。 表 1 LTS系统权限 策略名称 描述 策略类别 依赖关系 LTS FullAccess 云日志服务的所有权限，拥有该权限的用户可以操作并使用LTS。 系统策略 CCE Administrator OBS Administrator AOM FullAccess LTS ReadOnlyAccess 云日志服务的只读权限，拥有该权限的用户仅能查看LTS数据。 系统策略 CCE Administrator OBS Administrator AOM FullAccess LTS Administrator 云日志服务的管理员权限。 系统角色 Tenant Guest Tenant Administrator [表2]列出了LTS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 2 常用操作与系统权限 操作 LTS FullAccess LTS ReadOnlyAccess LTS Administrator 查询日志组 √ √ √ 创建日志组 √ × √ 修改日志组 √ × √ 删除日志组 √ × √ 查询日志流 √ √ √ 创建日志流 √ × √ 修改日志流 √ × √ 删除日志流 √ × √ 配置主机日志接入 √ × √ 查询过滤器 √ √ √ 禁用过滤器 √ × √ 启用过滤器 √ × √ 删除过滤器 √ × √ 查询告警规则 √ √ √ 创建告警规则 √ × √ 修改告警规则 √ × √ 删除告警规则 √ × √ 查看日志转储 √ √ √ 添加日志转储 √ × √ 修改日志转储 √ × √ 删除日志转储 √ × √ 开启周期性转储 √ × √ 暂停周期性转储 √ × √ 安装ICAgent √ × √ 升级ICAgent √ × √ 卸载ICAgent √ × √ 使用自定义细粒度策略，请使用管理员用户进入统一身份认证（IAM）服务，按需选择云日志服务的细粒度权限进行授权操作。 云日志服务细粒度权限依赖说明请参见[表3]。 表 3 云日志服务细粒度权限依赖说明 权限名称 权限描述 权限依赖 lts:agents:list 查询Agent列表 无 lts:buckets:get 查询指定桶 无 lts:groups:put 修改指定日志组 无 lts:transfers:create 创建日志转储 obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket lts:groups:get 查询指定日志组 无 lts:transfers:put 修改日志转储 obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket lts:resourceTags:delete 删除资源标签 无 lts:ecsOsLogPaths:list 查询指定镜像的系统日志路径 无 lts:structConfig:create 创建LTS结构化配置 无 lts:agentsConf:get 查询指定Agent配置 无 lts:logIndex:list 查询日志索引列表 无 lts:transfers:delete 删除日志转储 无 lts:regex:create 提取结构化字段 无 lts:subscriptions:delete 删除指定订阅 无 lts:overviewLogsLast:list 查询用户的最近日志 无 lts:logIndex:get 查询指定日志索引 无 lts:sqlalarmrules:create 添加告警相关 无 lts:agentsConf:create 创建Agent配置 无 lts:sqlalarmrules:get 查询告警相关 无 lts:datasources:batchdelete 批量删除datasource 无 lts:structConfig:put 修改LTS结构化配置 无 lts:groups:list 查询日志组列表 无 lts:sqlalarmrules:delete 删除告警相关 无 lts:transfers:action 启停日志转储 无 lts:datasources:post 创建datasource 无 lts:topics:create 创建日志主题 无 lts:resourceTags:get 查询资源标签 无 lts:filters:put 修改日志过滤器 无 lts:logs:list 查询日志列表 无 lts:subscriptions:create 创建订阅 无 lts:filtersAction:put 启停日志过滤器 无 lts:overviewLogsTopTopic:get 查询日志量最大的主题的数据指标 无 lts:datasources:put 修改datasource 无 lts:structConfig:delete 删除LTS结构化配置 无 lts:logIndex:delete 删除指定日志索引 无 lts:filters:get 查询指定日志过滤器 无 lts:topics:delete 删除指定日志主题 无 lts:agentSupportedOsLogPaths:list 查询Agent支持的操作系统日志的路径 无 lts:topics:put 修改指定日志主题 无 lts:agentHeartbeat:post 上传agent心跳 无 lts:logsByName:upload 根据日志组和日志主题的名字上传日志 无 lts:buckets:list 查询桶列表 无 lts:logIndex:post 创建日志索引 无 lts:logContext:list 查询日志上下文 无 lts:groups:delete 删除指定日志组 无 lts:filters:delete 删除日志过滤器 无 lts:resourceTags:put 更新资源标签 无 lts:structConfig:get 查询LTS结构化配置 无 lts:overviewLogTotal:get 查询当前用户的日志总量 无 lts:subscriptions:put 修改指定订阅 无 lts:subscriptions:list 查询订阅器列表 无 lts:datasources:delete 删除指定datasource 无 lts:transfersStatus:get 查询日志转储状态 无 lts:logIndex:put 修改指定日志索引 无 lts:sqlalarmrules:put 修改告警相关 无 lts:logs:upload 上传日志 无 lts:agentDetails:list 查询agent诊断日志 无 lts:agentsConf:put 修改Agent配置 无 lts:logstreams:list 筛选日志流资源 无 lts:subscriptions:get 查询指定订阅 无 lts:disStreams:list 查询DIS通道 无 lts:groupTopics:put 创建日志组和日志主题 无 lts:resourceInstance:list 查询资源实例 无 lts:transfers:list 查询日志转储列表 无 lts:topics:get 查询指定日志主题 无 lts:agentsConf:delete 删除指定Agent配置 无 lts:agentEcs:list 查询ECS列表 无 lts:indiceLogs:list 搜索日志 无 lts:topics:list 查询日志主题列表 无

凭据管理服务提供凭据的创建、检索、更新、删除等全生命周期管理，同时依托KMS密钥实现加密存储，轻松实现敏感凭据的中心化管理及安全保护。应用程序可以快速集成凭据服务API接口动态获取凭据值，有效规避程序硬编码或明文配置等风险问题。 使用凭据管理的必要性 在企业复杂的应用系统中，数据库密码、服务器口令、SSH Key、访问密钥等凭据是应用程序、自动化脚本及运维工具访问核心资源的“数字钥匙”。现实情况中，凭据往往被硬编码在代码中、分散在配置文件内或以明文形式在团队内口头传递，这种凭据管理方式成为了企业面临的最严重的威胁之一，一旦凭据因代码泄露、人员疏忽或外部攻击而泄露，攻击者可以轻松获取企业敏感、核心数据。 为了降低数据泄露带来的安全风险，执行安全有效凭据管理非常关键。使用KMS的凭据管理功能可以为您轻松搭建专业的凭据管理能力。 支持集中管理凭据并加密保存，提供专业的中心化管理手段，实现规模化管理，提升安全性。 提供便捷的集成方式，应用程序可以动态获取凭据，替代凭据硬编码，有效规避凭据明文泄露问题。 凭据管理依托KMS密钥实现加密，KMS底层支持使用经过国家密码管理局认证的硬件安全模块（HSM）来生成并保护密钥，符合监管合规要求。 具备应急处置能力，若发现当前凭据存在泄露风险时，可立即进行凭据值更新，应用程序无需进行改造。

本章节介绍边缘重保服务在热门游戏上线保障场景下的最佳实践案例。 客户简介 客户是天翼云存量头部CDN客户，作为一家极具创新活力的全球化科技企业，始终坚守 “科技普惠” 的美好愿景，不断在前沿科技领域探索深耕，构建起丰富多元且极具竞争力的产品生态。 在手机业务方面，该企业凭借强大的研发实力与创新精神，在影像、快充、芯片性能优化等关键技术领域成果斐然。旗下手机产品全面覆盖各类细分市场，从追求极致性价比的入门机型，到性能卓越、配置顶尖的高端旗舰，产品线丰富且布局合理。 在全球智能手机市场格局中，该企业长期稳居头部阵营，凭借出众的产品体验与高性价比优势，收获全球海量用户的信赖与喜爱。在国内市场，更是深受消费者追捧，引领着国产手机行业的创新发展潮流。 重保背景 2024年12月19日，热门手游《航海王：壮志雄心》正式发行上线，并计划正式上线前2个工作日完成多平台安装包的分发部署工作。据官方市场调研预估，首发阶段通过应用商店进行游戏下载的终端用户预计突破50万人次，项目前期流量峰值预计在上线后五日内达到1PB级别。 鉴此，客户正式向我司提出重大业务保障专项服务需求，全面确保游戏首发期间业务系统平稳运行，资源分发链路保持最优响应时延，并针对可能出现的突发性负载压力，建立7×24小时多级应急预案响应机制。

介绍分布式消息服务MQTT实例列表内容。 操作说明 1、 进入控制台查看已购买的实例列表，若列表为空，可点击右上角【订购实例】进入购买页面，创建实例详情见具体操作步骤。 2、 支持按照实例名称查询，输入查询内容，点击【查询】按钮即可展示需要的实例数据。 3、 查看实例基本信息，包括实例ID、规格、计费模式、创建时间、到期时间、状态。其中状态说明见下文。 运行状态 1、 登录管理控制台。 2、 进入MQTT管理控制台。 3、 当前页面会列出所购买的MQTT实例，并查看状态，状态说明如下 状态 说明 运行中 MQTT实例正常运行状态。在这个状态的实例可以运行您的业务。 已关闭 MQTT实例处于故障的状态。 变更中 MQTT实例正在进行规格变更操作。 变更失败 MQTT实例处于规格变更失败状态。 暂停 MQTT实例处于已冻结状态，用户可以在“更多”中续费开启冻结的MQTT实例。 注销 MQTT实例已经过期并关闭，需要重新购买实例。 回收站 1、实例退订后，在回收站可查看已退订实例。 2、回收站实例销毁。 点击回收站实例列表“销毁”，进入实例销毁页面，提交订单。

本文主要介绍分布式消息服务RabbitMQ的权限管理。 如果您需要对云服务平台上购买的DMS for RabbitMQ资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DMS for RabbitMQ的使用权限，但是不希望他们拥有删除RabbitMQ实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DMS for RabbitMQ，但是不允许删除RabbitMQ实例的权限策略，控制他们对DMS for RabbitMQ资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DMS for RabbitMQ服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 DMS for RabbitMQ权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DMS for RabbitMQ部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DMS for RabbitMQ时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DMS for RabbitMQ服务，管理员能够控制IAM用户仅能对实例进行指定的管理操作。 说明 DMS for RabbitMQ的权限与策略基于分布式消息服务DMS，因此在IAM服务中为RabbitMQ分配用户与权限时，请选择并使用“DMS”的权限与策略。 如表1所示，包括了DMS for RabbitMQ的所有系统权限。 表1 DMS for RabbitMQ系统权限 系统角色/策略名称 描述 类别 依赖关系 DMS FullAccess 分布式消息服务管理员权限，拥有该权限的用户可以操作所有分布式消息服务的功能。 系统策略 无 DMS UserAccess 分布式消息服务普通用户权限（没有实例创建、修改、删除、扩容）。 系统策略 无 DMS ReadOnlyAccess 分布式消息服务的只读权限，拥有该权限的用户仅能查看分布式消息服务数据。 系统策略 无 DMS Administrator 分布式消息服务的管理员权限。 系统角色 依赖Tenant Guest和VPC Administrator。 表2列出了DMS for RabbitMQ常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表2 常用操作与系统策略的关系 操作 DMS FullAccess DMS UserAccess DMS ReadOnlyAccess 创建实例 √ × × 按需转包周期 √ × × 修改实例 √ × × 删除实例 √ × × 变更实例规格 √ × × 重启实例 √ √ × 查询实例信息 √ √ √

本章节主要介绍数据治理中心DataArts Studio如何添加工作空间成员和角色。 对于DAYU User账号权限的IAM用户而言，DataArts Studio工作空间角色决定了其在工作空间内的权限，当前有管理员、开发者、部署者、运维者和访客这几种预置角色可被分配，角色的权限说明请参见产品介绍中的“DataArts Studio权限列表”章节。 如果预置角色可以满足您的使用需求，则您可以跳过本章节；否则，请您按照本章节描述创建自定义角色。 背景信息 DAYU Administrator 或Tenant Administrator账号可以在工作空间中创建自定义角色。 约束与限制 由于鉴权缓存机制的限制，自定义角色的权限发生变更后，绑定该角色的工作空间成员权限不会直接生效。需要绑定该角色的工作空间成员暂停访问DataArts Studio控制台并等待6分钟后，才能使该工作空间成员的权限变更生效。 对于工作空间管理员角色，即使自定义角色与其权限点相同，也无法进行某些需要校验管理员角色的操作。例如全量导出数据服务API等。 操作步骤 步骤 1 参考 访问DataArts Studio实例控制台，以DAYU Administrator 或Tenant Administrator账号登录DataArts Studio管理控制台。 步骤 2 在“角色管理”页签，单击“新建”，弹出“创建自定义角色”对话框。 角色名称：标识自定义角色的唯一标识。建议您按照该角色的使用场景等进行命名，避免无意义的描述。 角色描述：补充对该角色的相关说明，如与预置角色的关键权限差异等。 角色类型：由于简单模式与企业模式下角色权限有所差异，因此需要根据该角色的使用场景来选择角色类型。企业模式的相关介绍请参见4.2.2.1 DataArts Studio企业模式概述。 − 当该角色在简单模式空间下使用时，选择为“开发&生产模式，自定义角色”。 − 当该角色在企业模式空间下的开发环境下使用时，选择为“开发模式，自定义角色”。 − 当该角色在企业模式空间下的生产环境下使用时，选择为“生产模式，自定义角色”。 复用预置角色：如果您只需对预置角色权限进行微调即可满足需求，则可以使用“复用预置角色”功能，直接在预置角色权限的基础上进行调整；否则，您可以在空白权限的基础上勾选该角色所需权限。 说明 创建/编辑角色时，如果您当前账号已具备DAYU Administrator或Tenant Administrator权限，但系统仍然返回报错“您无权限进行该操作”，这可能是由于网络限制导致的，建议您切换到其他网络后重试。 图1 创建自定义角色 步骤 3 自定义角色的角色名称、类型、权限等配置完成后，单击“确定”即可新增自定义角色。 步骤 4 自定义角色完成后，请您参考 添加工作空间成员和角色，将IAM用户设置为自定义角色。

本文介绍了云防火墙（原生版）产品的使用限制。 C100使用限制 扩展包上限 防护互联网边界的流量峰值： 高级版：10Mbps~2000Mbps。 企业版：50Mbps~2000Mbps 防护互联网边界公网IP数： 高级版：20个~1000个。 企业版：50个~1000个。 访问控制规则上限 互联网边界防火墙和VPC边界防火墙分别支持10000条访问控制规则。 规避架构风险 使用限制条款 合规落地措施 违规风险 公网ELB 和后端云主机在不同子网 部署时通过控制台校验：公网ELB 选择 “公共子网”，后端 ECS 选择 “业务子网” 流量可能绕开云防火墙，导致防护失效；单点故障时影响范围扩大 绑定EIP 的 ECS 与 NAT 访问的 ECS 在不同子网 1. 绑定 EIP 的 ECS 仅部署在 “公共子网”，NAT 访问的 ECS 仅部署在 “业务子网”； 2. 通过 VPC 路由表隔离：公共子网无指向 NAT 网关的路由，业务子网无直接指向互联网的路由 出访流量路径混乱，无法通过NAT 网关或云防火墙统一管控与审计 子网专项需求（NAT 子网 28 位、公共子网按需、2 个引流子网 28 位） 1. 子网创建时严格按规格配置，禁止随意扩大 / 缩小网段； 2. 通过子网名称规范化标识（如 “NATGWSubnet10.0.1.0/28”“GWLBEInboundSubnet10.10.0.0/28”） 子网地址耗尽；引流子网规格不匹配导致GWLBE 无法正常接收流量 安全产品单独在一个子网 1. 安全产品（如等保专区）仅部署在 “安全产品子网”； 2. 安全产品子网的安全组仅开放与云防火墙的通信端口，禁止其他子网直接访问 安全产品被业务流量干扰；安全产品自身被攻击风险升高

后续管理 若需修改认证信息、关闭认证等，可单击“编辑”，在弹出的RADIUS配置窗口重新配置。 配置Azure AD远程认证 云堡垒机与Azure AD平台对接，认证登录系统的用户身份。 本小节主要介绍如何配置Azure AD认证模式。 前提条件 用户已获取“系统”模块管理权限。 已在Azure AD创建用户和添加企业应用程序，并获取Azure AD平台配置的相关信息。 操作步骤 1. 登录云堡垒机系统。 2. 选择“系统 > 系统配置 > 认证配置”，进入远程认证配置管理页面。 3. 在“Azure AD认证配置”区域，单击“编辑”，弹出Azure AD认证配置窗口。 Azure AD域认证参数说明 参数 说明 :: 状态 选择开启或关闭Azure AD远程认证，默认开启。 关闭表示开启Azure AD认证。在配置信息有效情况下，登录系统时呈现Azure AD认证入口。 开启表示关闭Azure AD认证。 标识符（实体ID） 输入企业名称或URL。 回复URL 自动填写，默认为返回当前云堡垒机的跳转链接。 当云堡垒机IP或域名变更，需同时修改此链接中IP或域名。 应用联合元数据URL 输入在Microsoft Azure中配置SAML签名证书后生成的应用联合元数据URL。 登录URL 输入在Microsoft Azure中配置SAML单一登录后生成的登录URL。 Azure AD标识符 输入在Microsoft Azure中配置SAML单一登录后生成的Azure AD标识符。 4. 单击“确认”，提交配置数据验证可达后，返回Azure AD认证服务器表中，即可查看和管理的Azure AD认证配置信息。

该任务用于指导软件工程师安装部署teledb管控服务。 该任务用于指导软件工程师安装部署teledb管控服务。 前提条件 已初始化环境，包括创建teledb用户，挂载磁盘，并给于sudo权限。 操作步骤 以下操作以x86安装包为例： 1. 创建根目录提供给挂载盘/data使用，并给于sudo权限。 plaintext mkdir p /data mount /dev/vdb /data echo "UUID"blkid /dev/vdbcut d '"' f2" /data xfs defaults 0 0" sudo tee a /etc/fstab 2. 上传并解压安装包 plaintext cd /app 上传teledbdeployx86centos.zip和teledbxossxxxi.x8664.rpm至app目录下。 unzip teledbdeployx86centos.zip cd teledbdeployx86centos/teledbxmirror/pgxzm cp teledbxossxxxi.x8664.rpm 3. 安装dos2unix 执行如下命令 plaintext cd /app/teledbdeployx86centos/teledbxmirror/deploy/utils/ rpm ivh dos2unix6.0.34.el7.x8664.rpm 出现如下回显信息。 plaintext cd /app chmod R 755 teledbdeployx86centos chown R teledb:teledb /app 4. 修改配置文件role.info和ossinit.conf。 执行如下命令修改role.info配置文件。 plaintext su teledb cd /app/teledbdeployx86centos/teledbxmgr/conf vim role.info 您可按照如下模版修改配置文件内容： 需要修改的就是主机ip、ssh端口、ssh连接用户（teledb）、用户密码

该任务用于指导软件工程师安装部署teledb管控服务。 该任务用于指导软件工程师安装部署teledb管控服务。 前提条件 已初始化环境，包括创建teledb用户，挂载磁盘，并给于sudo权限。 操作步骤 本次操作以安装X86安装包为例。 1. 创建根目录提供给挂载盘/data使用，并给于sudo权限。 plaintext mkdir p /data mount /dev/vdb /data echo "UUID"blkid /dev/vdbcut d '"' f2" /data xfs defaults 0 0" sudo tee a /etc/fstab 2. 上传并解压安装包 plaintext cd /app 上传teledbdeployx86centos.zip和teledbxossxxxi.x8664.rpm至app目录下。 unzip teledbdeployx86centos.zip cd teledbdeployx86centos/teledbxmirror/pgxzm cp teledbxossxxxi.x8664.rpm 3. 安装dos2unix 执行如下命令 plaintext cd /app/teledbdeployx86centos/teledbxmirror/deploy/utils/ rpm ivh dos2unix6.0.34.el7.x8664.rpm 出现如下回显信息。 plaintext cd /app chmod R 755 teledbdeployx86centos chown R teledb:teledb /app 4. 修改配置文件role.info和ossinit.conf 执行如下命令修改role.info配置文件。 plaintext su teledb cd /app/teledbdeployx86centos/teledbxmgr/conf vim role.info 您可按照如下模版修改配置文件内容： 需要修改的就是主机ip、ssh端口、ssh连接用户（teledb）、用户密码

该任务用于指导软件工程师安装部署teledb管控服务。 该任务用于指导软件工程师安装部署teledb管控服务。 前提条件 已安装dcp。 已初始化环境，包括创建teledb用户，挂载磁盘，并给于sudo权限。 操作步骤 本次操作以安装X86安装包为例。 1. 创建根目录提供给挂载盘/data使用，并给于sudo权限。 plaintext mkdir p /data mount /dev/vdb /data echo "UUID"blkid /dev/vdbcut d '"' f2" /data xfs defaults 0 0" sudo tee a /etc/fstab 2. 上传并解压安装包。 plaintext cd /app 上传teledbdeployx86centos.zip和teledbxossxxxi.x8664.rpm至app目录下。 unzip teledbdeployx86centos.zip cd teledbdeployx86centos/teledbxmirror/pgxzm cp teledbxossxxxi.x8664.rpm 3. 安装dos2unix 执行如下命令 plaintext cd /app/teledbdeployx86centos/teledbxmirror/deploy/utils/ rpm ivh dos2unix6.0.34.el7.x8664.rpm 出现如下回显信息。 plaintext cd /app chmod R 755 teledbdeployx86centos chown R teledb:teledb /app 4. 修改配置文件role.info、ossdcp.conf和ossinit.conf。 执行如下命令修改role.info配置文件。 plaintext su teledb cd /app/teledbdeployx86centos/teledbxmgr/conf vim role.info 您可按照如下模版修改配置文件内容： 需要修改的就是主机ip、ssh端口、ssh连接用户（teledb）、用户密码

本文介绍应用托管的产品优势。 一键部署，快捷使用 通过应用市场，实现一键部署，提供公网便捷访问，分钟级完成应用上线，为用户降本增效。 丰富生态，轻松扩展 应用市场汇聚多行业场景应用，支持便捷搜索选用，提供OpenClaw、短剧制作、智能导购等应用，助力企业业务部署。 应用套餐，成本可控 提供应用+算力+Token套餐，实现从智能体到Token的一站式使用，一价全含，高效管控成本。 项目空间，灵活管理 为企业和团队提供统一的资源管控及人员权限管理，可用于不同环境的资源隔离，支持灵活资源分配与团队协作。 标准化交付，高效协作 提供独立项目空间与灵活算力，可将测试完成的应用打包为应用模板，减少不同环境下的人工操作，降低成本。

注意事项 仅当开通CDN加速全球（不含中国内地）服务时，支持开通高性能网络增值服务。具体的开通流程，详情请见：高性能网络开通。 该功能为增值服务，涉及产生相应的费用。具体计费规则，详情请见：高性能网络计费。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在域名列表中，找到目标域名，开启高性能网络的开关。 4. 根据域名的业务需要，选择使用的场景，点击【确定】。

本节主要介绍产品定义 应用编排服务（Application Orchestration Service，简称CTAOS）为企业提供应用上云的自动化能力，支持编排云上的主流云服务，实现在云上一键式的应用创建及云服务资源开通，提供高效的一键式云上应用复制和迁移能力。 通过AOS部署应用上云流程非常简单，您只需要编写好模板，并基于该模板创建堆栈。同时，AOS还提供了应用生命周期管理能力，如启动、变更、删除等。 图 AOS使用流程： 表 AOS使用流程说明 步骤 说明 :: 1. 编写模板 模板是一种遵循AOS语法规范的文本文件，描述了应用属性、云服务配置、应用与云服务之间的依赖关系。 支持自定义编写模板，您可以使用JSON或YAML格式来写作模板。自定义编写模板有两种方式，一种是直接在界面手动输入；另一种是在本地编辑，编辑完之后通过上传文件传到系统中。 通过 “自定义编写模板”编排部署资源YAML语法不支持使用Tab键，层次关系需要使用空格来对齐（空格个数为2的整数倍，如2、4、6、8等）。初次使用时，请注意避免此类错误。 2.创建堆栈 堆栈是应用程序、云服务资源的集合。堆栈将应用、云服务作为一个整体来进行创建、升级、删除等。

一、环境准备 1.1 基础环境要求 本次部署需基于以下环境开展： 操作系统镜像：CTyunOS CTyunOS 23.01.2@GalaxyComputeNPU25.0.rc1.1 64 位 物理机实例：天翼云昇腾910B物理机（套餐规格：physical.Icas910b.2xlarge11） 1.2 NVMe 磁盘挂载配置 为提升模型存储与服务运行性能，需将节点的nvme1n1和nvme0n1两块 NVMe 盘分别挂载至/mnt/nvme1n1和/mnt/nvme0n1目录。可通过以下脚本实现自动化挂载及开机自动挂载配置： plaintext !/bin/bash 设备列表 devices("/dev/nvme0n1" "/dev/nvme1n1") mountpoints("/mnt/nvme0n1" "/mnt/nvme1n1") fstype"xfs" 确保 root 权限 if [[ $EUID ne 0 ]]; then echo "请使用 root 运行此脚本！" exit 1 fi for i in "${!devices[@]}"; do device"${devices[$i]}" mountpoint"${mountpoints[$i]}" 创建挂载目录 mkdir p "$mountpoint" 获取设备的文件系统类型 currentfs$(blkid s TYPE o value "$device") if [[ z "$currentfs" ]]; then echo "设备 $device 没有文件系统，正在格式化为 $fstype..." mkfs.xfs f "$device" else echo "$device 已格式化为 $currentfs，跳过格式化" fi 确保设备未被挂载后再尝试挂载 umount "$device" 2>/dev/null mount t "$fstype" "$device" "$mountpoint" if [[ $? ne 0 ]]; then echo "错误：无法挂载 $device 到 $mountpoint，请检查设备或文件系统！" exit 1 fi echo "$device 已成功挂载到 $mountpoint"

授权并激活远程桌面服务 前提条件 已提前申购企业许可号码，并获取相关信息。 已获取服务器管理员帐号与密码。 操作步骤 1 打开服务器管理器，选择“所有服务器 >选择服务器名称”，鼠标右键选择“RD授权管理器”，打开RD授权管理器界面。 2 选择未激活的目标服务器，鼠标右键选择“激活服务器”。 激活服务器 3 打开服务器激活向导界面，根据界面引导操作。 打开服务器激活向导 4 选择自动连接方式。 选择自动连接 5 输入公司名称和用户姓名。 输入相关信息 6 （可选）输入公司详细通讯信息。 输入公司详细信息 7 确认安装启动许可证安装向导。 确认许可证安装向导 启用许可证安装向导 8 许可证计划选择“企业协议”。 9 输入企业协议号码。 输入协议号码 10 选择服务器版本为“Windows server 2012 R2”，选择许可证类型为“RDS每用户CAL”，选择许可证数为100。 选择服务器版本 11 完成许可证安装，激活服务器，返回RD授权管理页面，查看服务器已激活。 成功安装许可证

背景说明 随着生成式AI工具的普及，员工为提升效率普遍绕过IT监管私自使用AI工具，导致企业面临数据泄露与知识产权流失、漏洞与攻击面扩大等安全风险。AI 应用漏洞检测功能 通过自动化扫描、多维度风险分析、全流程漏洞管理 ，帮助企业精准识别 AI 组件漏洞，构建从 “发现 响应 标记” 的闭环管理体系，解决传统安全工具对 AI 资产 “看不见、管不住” 的核心痛点。 功能说明 支持超过 30+ 种 AI 应用组件漏洞检测，通过多视图查看及标记能力实现漏洞高效管理，帮助用户掌握 AI 应用漏洞风险状况。 ⚠️注意：1、已订购终端管理企业版套餐用户。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏点击【AI 安全检测】【AI应用漏洞检测】，查看 AI 应用漏洞检测功能。 3. 可根据业务需求进行相关扫描和漏洞标记。 AI 漏洞扫描 1. 在 “AI 风险概况” 模块，点击【下发扫描】按钮，可针对组织、用户组、用户、设备主动触发对终端 AI 应用的漏洞扫描，获取最新漏洞数据。 2. 扫描完成后，“最新扫描时间” 将更新为本次扫描时间。

本节为您介绍准备CMSSMS迁移环境的相关步骤。 开通目标端云主机 1. 在控制中心切换到目标端所在资源池，点击弹性云主机。 2. 点击创建云主机。 3. 按照规划输入基础配置。 付费方式：按量付费 地域：福建福州25 实例名称：cmssms 主机名称：cmssms 规格：8核16G 镜像类型：公共镜像 镜像：CMSPELINUXV2mini(2GB) 存储：系统盘40G 购买数量：1 说明 规格：在使用 CMSSMS 迁移工具进行迁移时，建议目标机与源机的配置尽量保持一致。为了确保迁移程序的正常运行，源端主机应预留约 12GB 的内存用于迁移程序的占用。本文中源端主机的规格为 8 核 16GB 内存，因此目标主机选取相同规格的配置进行开通。 镜像：源机为Ubuntu操作系统，属于Linux类型的操作系统，此处目标机镜像选择“CMSPELINUXV2mini(2GB)”即可。 4. 配置完成，单击下一步：网络配置。 网卡：defaultnetwork(10.0.0.0/24) 内网IP地址（IPV4）：自动分配内网Ipv4地址 安全组：default安全组 弹性IP：自动分配 IP版本： Ipv4 宽带：10M 5. 配置完成，单击下一步：高级配置。 登录方式：密码 创建密码：立即创建 6. 配置完成，单击下一步：确认配置后，单击立即购买。

本节为您介绍准备CMSSMS迁移环境的相关步骤。 开通目标端云主机 1. 在控制中心切换到目标端所在资源池，点击弹性云主机。 2. 点击创建云主机。 3. 按照规划输入基础配置。 付费方式：按量付费 地域：福建福州25 实例名称：cmssms 主机名称：cmssms 规格：8核16G 镜像类型：公共镜像 镜像：CMSPELINUXV2mini(2GB) 存储：系统盘40G 购买数量：1 说明 规格：在使用 CMSSMS 迁移工具进行迁移时，建议目标机与源机的配置尽量保持一致。为了确保迁移程序的正常运行，源端主机应预留约 12GB 的内存用于迁移程序的占用。本文中源端主机的规格为 8 核 16GB 内存，因此目标主机选取相同规格的配置进行开通。 镜像：源机为Ubuntu操作系统，属于Linux类型的操作系统，此处目标机镜像选择“CMSPELINUXV2mini(2GB)”即可。 4. 配置完成，单击下一步：网络配置。 网卡：defaultnetwork(10.0.0.0/24) 内网IP地址（IPV4）：自动分配内网Ipv4地址 安全组：default安全组 弹性IP：自动分配 IP版本： Ipv4 宽带：10M 5. 配置完成，单击下一步：高级配置。 登录方式：密码 创建密码：立即创建 6. 配置完成，单击下一步：确认配置后，单击立即购买。