方案介绍 当您购买了一台物理机后，了解其运行状态一定是您的迫切需求，天翼云物理机和云监控服务结合使用，自动收集物理机的CPU、内存、磁盘以及网络使用情况等监控指标，以便您及时了解物理机实例运行状况和性能。 本手册基于天翼云物理机和云监控服务实践所编写，指导您完成物理机的主机监控配置。 应用场景 新创建物理机场景 当您新建一台物理机时，可以利用CloudInit自动安装Agent，实现主机监控。 已有物理机场景 对于已有的物理机，您需要手动安装并配置Agent以实现主机监控。 约束和限制 Agent插件目前仅支持64位Linux操作系统的物理机实例。 用户私有镜像不在支持范围内。

本章节主要介绍翼MR Manager的集群服务查看配置历史版本的操作。 操作场景 支持用户查看指定配置文件的历史版本，不同版本的配置内容以及差异。 操作步骤 1. 登录翼MR管理控制台。 2. 在“我的集群”中，单击目标集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“运维与配置 > 配置管理”。 5. 查询条件选择指定集群服务。 6. 单击配置组，单击配置文件名称，页面右侧展示该配置的详细信息。 7. 单击“查看历史版本”。如图所示： 8. 进入到配置历史页面，配置历史页面展示当前配置的所有历史版本。如图所示：

本节介绍如何从云等保专区控制台进入安全体检控制台并使用安全体检产品。 云等保专区提供体安全体检产品的功能，可支持的场景包括高危端口开放情况、弱口令、漏洞开放情况。用户可根据需求单独购买。 更多信息请参见安全体检。 使用安全体检 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“安全体检”。 5. 单击“立即购买”或“开通试用”即可购买并使用安全体检服务，详细操作指导请参见安全体检产品文档。

操作步骤 1. 登录FusionInsight Manager，选择“系统 > 证书”。 2. 在“上传证书”右侧单击，在文件窗口中浏览已获取的证书文件tar压缩包并确认选择此文件。 3. 单击上传文件，Manager将上传压缩包并自动执行导入操作。 4. 导入完成后提示同步集群配置并重启WEB服务使新证书生效，单击“确定”。 5. 在弹出窗口输入当前登录用户密码验证身份，单击“确定”自动同步集群配置并重启WEB服务。 6. 重启完成后在浏览器地址栏中，输入并访问FusionInsight Manager的网络地址，验证能否正常打开页面。 7. 登录FusionInsight Manager。 8. 选择“集群 > 待操作集群的名称 > 概览 > 更多 > 重启”。 9. 输入当前登录的用户密码确认身份，单击“确定”。

API覆盖的功能模块。 序号 主要功能 1 边缘服务 2 虚拟机管理 3 虚拟私有云网络管理 4 子网管理 5 SSH密钥管理 6 存储管理 7 弹性公网IP管理 8 网关管理 9 安全组管理 10 负载均衡管理 11 负载均衡监听器管理 12 负载均衡后端服务器组管理 13 用户配额管理 14 SSL证书管理

枚举参数 无 请求示例 请求url GET 请求头header 无 请求体body 无 响应示例 { "returnObj": { "currentCount": 1, "totalCount": 1, "pageSize": 10, "results": [ { "migrationAgent": "agentaa", "lastOperationErrorCode": 21105, "sourceType": "ZOS", "migrationName": "cxxhkpblzbbt", "migrationStatus": "createfailed", "migrationID": "111mig76f7dc8b012xxxxf6ed082db55d08", "migrateCreateTime": "20260127 13:39:07", "migrateCompleteTime": null, "regionID": "81f7728xxxxx0155d307d5b", "migrationMode": "semimanaged", "destinationType": "ZOS", "lastOperationErrorMsg": "无法连通源端对象存储服务（ZOS），请检查您的源端参数及代理与源端对象存储服务的联通性，并重新创建任务" }, ], "pageNo": 1 }, "details": "", "message": "SUCCESS", "description": "成功", "statusCode": 800 } 状态码 请参考 状态码 错误码 请参考 错误码

删除手动备份 如果不再需要已经生成的手动备份，可在“备份管理”页面或“备份恢复”页签进行删除。 手动备份被删除后，将不再显示在备份列表中。 说明 备份删除后，不可恢复，请谨慎操作。 备份删除后，不可恢复，请谨慎操作。 方式一 登录管理控制台。 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 在“实例管理”页面，单击目标实例，进入实例的“基本信息”页签。 在左侧导航栏中选择“备份恢复”页签，单击目标备份对应操作列中的“删除”。 在删除备份弹出框中，确认目标备份的信息，单击“是”。 方式二 登录管理控制台。 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 在“备份管理”页面，单击目标备份对应操作列中的“删除”。 在删除备份弹出框中，确认目标备份的信息，单击“是”。

字段 填写说明 触发器类型 选择“API网关服务（APIG专享版）”。 实例 选择所属实例，若无实例，可单击“创建实例”完成创建。 API名称 您自定义的API名称，例如：APIapig。 分组 API分组相当于一个API集合，API提供方以API分组为单位，管理分组内的所有API。选择“APIGrouptest”。 发布环境 API可以同时提供给不同的场景调用，如生产、测试或开发。API网关服务提供环境管理，在不同的环境定义不同的API调用路径。选择“RELEASE”，才能调用。 安全认证 API认证方式： App： 采用Appkey&Appsecret认证，安全级别高，推荐使用。 IAM： IAM认证，只允许IAM用户能访问，安全级别中等。 None： 无认证模式，所有用户均可访问。选择“None”。 请求协议 分为两种类型： HTTP HTTPS选择“HTTPS”。 后端超时(毫秒) 输入“5000”。

本文介绍控制台用量分析与用户分析显示数据不一致的原因。 全站加速原理 全站加速的加速原理是：当用户发起请求，全球负载均衡组件会依据用户所在的区域所在运营商就近选择一个边缘节点给到用户接入全站加速平台，以此保障加速效果。那么就会存在由于没有A区域的节点，为了保障加速效果，使用就近B区域的节点去服务A区域用户的情况。详情请参见：什么是全站加速。 问题分析 控制台用量分析所统计的数据是：服务的边缘节点所在的区域的数据总和。 控制台用户分析所统计的数据是：用户IP所在的区域的数据总和。 因此就会存在用量查询与用户分析所统计的数据不一致的问题。

本章主要介绍翼MapReduce的安全声明功能。 JDK使用声明 MRS是一个大数据集群，为用户提供分布式的数据分析计算能力。本产品自带的JDK为OpenJDK，主要使用场景如下： 平台服务运行及维护使用。 Linux客户端运行时使用（主要为业务提交、应用运维等）。 JDK风险说明 系统对自带的JDK进行了权限控制，只有属于FusionInsight平台相关群组的用户才有权限访问，且平台部署在客户内网，安全风险较低。 JDK加固 JDK加固相关操作请参考加固策略的“加固JDK”部分。 Hue组件包含公网IP的说明 Hue组件使用的ipadrress，requests，Django等第三方包的测试用例及其注释包含的公网IP，组件在提供服务时不涉及这些IP，Hue组件的配置文件中不涉及公网IP。

本节介绍如何对弹性云主机进行开机操作。 操作场景 开机操作可以将弹性云主机从关机状态切换为运行状态，以便正常运行应用程序和服务。 对单台云主机进行开机的操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 在云主机列表中，使用搜索功能输入云主机的名称、ID或IP地址以定位目标云主机。 5. 选择目标云主机，点击云主机列表左上角的开机操作按钮。 6. 在弹出的提示信息中，确认操作是否正确。 注意 请注意云主机状态的说明。如果云主机在中间状态停留超过30分钟（如启动中、停止中、重启中），表示可能出现异常情况，请及时提交工单以寻求进一步处理。 对多台云主机进行开机的操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 在云主机列表中，选择需要开机的多台云主机。 5. 点击云主机列表左上角的开机操作按钮。 6. 在弹出的提示信息中，确认操作是否正确。 注意 请注意云主机状态的说明。如果云主机在中间状态停留超过30分钟（如启动中、停止中、重启中），表示可能出现异常情况，请及时提交工单以寻求进一步处理。

本文主要介绍网络流量路径。 负载均衡将来自客户端的请求通过负载均衡器分发至后端主机，后端主机再将响应通过内网返回给负载均衡。负载均衡器和后端主机之间是通过内网进行通信的。 如果负载均衡器后端主机仅处理来自负载均衡的访问请求，主机可以不购买EIP或者NAT网关等服务，仅有私网IP即可。 如果负载均衡器后端主机还需要直接对公网提供服务，或者需要访问公网资源，则主机需要购买EIP服务。 入网流量路径 对于入网流量，负载均衡会根据用户配置的流量分配策略，对来自公网或者私网的访问请求进行转发和处理。 当负载均衡器使用四层协议TCP/UDP时： 四层协议TCP/UDP的流量只经过LVS集群进行转发。 LVS集群的所有节点会根据负载均衡器的流量分配策略，将接收到的访问请求直接分发到后端主机。 当负载均衡器使用七层协议HTTP/HTTPS时： 七层协议HTTP/HTTPS的流量，需要经过LVS集群先将访问请求平均分发到Nginx集群的所有节点，然后Nginx集群的节点再根据负载均衡器的转发策略，将接收到的请求最终分发到后端主机。 七层协议HTTPS的流量，在最终分发到主机前，还需要在Nginx集群内进行证书验证以及数据包的解密操作。然后通过HTTP协议将请求分发到后端主机。

本文将介绍注册配置中心实例创建时的注意事项、Spring Cloud应用和Dubbo应用开发时需要添加的服务注册中心配置等内容 概述 为了您更好的使用注册配置中心，本文将介绍实例创建时的注意事项、Spring Cloud应用和Dubbo应用开发时需要添加的服务注册中心配置等内容。 创建实例 创建实例的过程，详见本文档的创建Nacos实例、创建Zookeeper引擎和创建Eureka引擎相关章节。 注册中心使用说明 Nacos SpringCloud应用使用MSE的Nacos注册中心 增加依赖项，以maven为例： com.alibaba.cloud springcloudstarteralibabanacosdiscovery ${springcloudstarteralibaba.version} 增加配置项： spring: cloud: nacos: discovery: serveraddr: ${NACOSSERVERADDRESS} namespace: ${NACOSNAMINGNAMESPACEID} username: ${NACOSSERVERUSERNAME} password: ${NACOSSERVERPASSWORD} 注意 此处客户端配置中namespace需要填写命名空间ID Dubbo应用使用MSE的Nacos注册中心 增加依赖项，以maven依赖为例： org.apache.dubbo dubbospringbootstarter ${dubbo.version} org.apache.dubbo dubboregistrynacos ${dubbo.version} 通过application.yml 增加配置： dubbo: registry: address: nacos://Nacos访问地址 application: name: 服务名称 protocol: name: dubbo port: 22035 scan: basepackages: 扫描的包路径 provider: timeout: 30000

本章节主要介绍翼MapReduce服务中搜索引擎组件性能优化后与竞品的对比测试结果。 概述 为检验天翼云翼MapReduce服务中搜索引擎在经过多次性能优化增强后的效果，我们选取了两家国内头部竞品的相关测试报告，进行对比确认。下文中分别用代号A云和H云来代表两家竞品厂商。性能比较本身是会受各种环境配置的影响，为了能够更贴近友商的性能测试环境，更能反映出组件本身真实的性能情况，我们根据A云和H云的性能测试报告，申请了配置相同的天翼云云主机，使用相同的测试工具，并且使用相同的测试集及配置参数。 A云： 版本：8.9.1 机器规格：4u16g规格、节点数为3 数据集：httplogs 参数配置： 索引采用6个shard（默认为5个） 每次批量操作提交2000个文档。 同时执行批量索引操作的客户端数量为10个。 H云： 版本：7.6.2版本 机器规格：4u16g规格、节点数为3 数据集：geonames 参数配置： 索引采用6个shard（默认为5个） 测试结果 基于httplogs数据集对比 天翼云 天翼云完整测试结果 A云 从天翼云与A云的测试结果对比来看，天翼云翼MapReduce服务中搜索引擎整体性能快30%。

本节介绍网络的用户指南：NGINX Ingress Controller。 NGINX Ingress Controller是一种常见的Ingress Controller实现，它利用NGINX的高级性能和灵活性来处理服务的路由和负载均衡。当一个Ingress资源在Kubernetes集群中被创建或更新时，Ingress Controller会检测到这些变化。然后，它会根据Ingress资源定义的规则，自动生成对应的NGINX配置，以实现请求的路由和负载均衡。 NGINX配置包括如何处理进入的网络请求（例如，基于主机名或URL路径进行路由），以及如何将请求路由到后端的服务实例。NGINX Ingress Controller会定期检查Ingress资源的变化，如果检测到任何更改，它会自动更新NGINX配置以反映这些更改。此外，NGINX Ingress Controller还支持一些高级特性，如SSL终止、WebSocket、HTTP/2和更复杂的负载均衡算法。这些特性都可以通过Kubernetes Ingress资源的注解来配置。 Nginx Ingress Conftroller通过Pod部署在工作节点，因此引入了相应的组件运行和运维成本，其工作原理如图所示： 注意 1、用户提交Ingress资源后，Nginx Ingress Controller会获取该资源并解析为转发规则，写入Nginx的配置文件（nginx.conf）； 2、触发Nginx进行reload，以加载更新后的配置文件，完成Nginx转发规则的修改和更新； 3、集群外客户端可通过控制节点IP或VIP（若存在）访问Nginx，Nginx组件根据转发规则将其转发至对应的服务Service，最终转发到对应的后端Pod。

本文介绍如何进行AOne客户端安装、登录。 适用场景 进行相关配置完成后，可进行下载并安装客户端，根据提供的身份账号信息、企业标识进行登录客户端，如有问题可导出客户端日志进行分析。 注意 订购零信任服务、终端管理均采用AOne客户端进行使用，学术加速采用学术加速客户端进行服务。 客户端推送更新：支持客户端新版本时，会进行自动推送给客户端进行更新，如您需要单独管理客户端版本，可 。 客户端下载地址 访问客户端下载点击图标或扫描二维码下载对应客户端。不同套餐版本可使用的终端有差异，详见：零信任服务版本差异对比。 安装AOne客户端 1. 登录边缘安全加速控制台，选择【零信任】或者【终端管理】控制台。 2. 在底部可以看到客户端下载按钮，转发页面URL给您的员工进行访问下载。 3. 根据界面提示下载客户端安装包（不同套餐版本将会限制套餐版本使用，请下载已订阅授权的客户端），如有问题，可联系我们。 4. 双击点击安装程序AOne.exe，根据安装提示完成安装。

DRDS支持使用reload命令来动态重新加载元数据，避免数据丢失的同时，无需重启数据库进程或整个集群，可有效降低对在线服务的影响。 注意 仅V5.1.9.6020.2533及以后版本的实例，支持该功能。 背景信息 DBProxy通过ZooKeeper广播机制同步库表、参数、关联MySQL元数据信息，在网络异常或节点高负载、异地容灾场景下，DBProxy内存可能未完全加载元数据。此时，可通过动态加载元数据能力来为DBProxy重新读取并应用其参数配置或元数据，无需重启DBProxy进程，动态更新集群配置或元数据信息，最大限度地减少对在线服务的影响，避免因重启操作导致服务中断。 使用说明 支持动态加载的DRDS 元数据和对应的命令如下： 加载metadata 支持加载schema（库）、table（表）、sequence（序列）、index（切片索引）元数据 命令如下： plaintext reload metadata [where schema? [and table ?] where table in ('schema1'.'table1',...)] 参数 说明 schema 加载指定schema中所有表或指定表的元数据信息，其中zk function tablerule元数据全量加载，不区分库表。 table 表名。 使用示例： 加载更新序列（sequence） 注意 为保证序列全局唯一递增，reload后的新序列会增加一段余量，余量 2 max(1000, increment) ，即新序列起始值 集群节点序列最大值 + 余量。 命令如下： plaintext reload sequence [where schema? [and sequence?] where sequence in ('schema1'.'sequence',...)] 参数 说明 schema 库名。 sequence 序列名。 使用示例：

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 cpp Aws::String ak " "; Aws::String sk " "; Aws::String endPoint " "; ​ Aws::Auth::AWSCredentials cred(ak, sk); Aws::Client::ClientConfiguration cfg; cfg.endpointOverride endPoint; cfg.scheme Aws::Http::Scheme::HTTP; cfg.verifySSL false; stsclient new Aws::STS::STSClient(cred, cfg); 获取临时token cpp const Aws::String roleArn "arn:aws:iam:::role/xxxxxx"; const Aws::String roleSessionName " "; const Aws::String bucketname " "; const Aws::String policy "{"Version":"20121017"," ""Statement":" "{"Effect":"Allow"," ""Action":["s3:"]," // 允许进行 S3 的所有操作。如果仅需要上传，这里可以设置为 PutObject ""Resource":["arn:aws:s3:::" + bucketname + "","arn:aws:s3:::" + bucketname + "/"]"// 允许操作默认桶中的所有文件，可以修改此处来保证操作的文件 "}}"; Aws::STS::Model::AssumeRoleRequest request; request.SetPolicy(policy); request.SetRoleArn(roleArn); request.SetRoleSessionName(roleSessionName); std::cout AssumeRole(request); if (outcome.IsSuccess()) { auto& cred outcome.GetResult().GetCredentials(); std::cout << "ak:" << cred.GetAccessKeyId() << std::endl; std::cout << "sk:" << cred.GetSecretAccessKey() << std::endl; std::cout << "token:" << cred.GetSessionToken() << std::endl; return true; } else { auto err outcome.GetError(); std::cout << "Error: AssumeRole: " << err.GetExceptionName() << ", " << err.GetMessage() << std::endl; return false; }

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 php require '/path/to/autoload.php'; use AwsStsStsClient; use AwsExceptionAwsException; use AwsCredentialsCredentials; ​ const endpoint ' '; // e.g. or const accesskey ' '; const secretkey ' '; ​ $credentials new Credentials(accesskey, secretkey); ​ $this>stsClient new StsClient([ 'region' > 'ctyun', // region固定填ctyun 'version' > '20110615', // sts接口版本号，固定填20110615 'credentials' > $credentials, 'endpoint' > endpoint, ]); 获取临时token php public function AssumeRole() { $bucket ' '; $arn ' '; ​ $roleSessionName ' '; $roleArn "arn:aws:iam:::role/$arn"; $policy "{"Version":"20121017","Statement":{"Effect":"Allow","Action":["s3:"],"Resource":["arn:aws:s3:::$bucket","arn:aws:s3:::$bucket/"]}}"; ​ try { $res $this>stsClient>assumeRole([ 'Policy' > $policy, 'RoleArn' > $roleArn, 'RoleSessionName' > $roleSessionName, ]); vardump($res>get('Credentials')); } catch (AwsStsExceptionStsException $e) { echo "Exception: $e"; } } 参数说明： 参数 类型 描述 是否必要 RoleArn String 角色的ARN，在控制台创建角色后可以查看 是 Policy String 角色的policy，需要是json格式，限制长度1~2048 是 RoleSessionName String 角色会话名称，此字段为用户自定义，限制长度2~64 是 DurationSeconds Integer 会话有效期时间，默认为3600s 否

云产品名称 产品说明 计费说明 弹性容器实例ECI 用于部署Serverless容器引擎集群应用及插件，更多信息，请参见 虚拟私有云VPC 用于构建集群网络环境和路由规则，更多信息，请参见 弹性负载均衡ELB 用于为集群创建负载均衡，更多信息，请参见 容器镜像服务CRS 用于容器镜像的安全托管和全生命周期管理，更多信息，请参见 NAT网关 用于为集群开启公网访问和公网镜像拉取，更多信息，请参见 弹性IP 用于云资源与公网通信，更多信息，请参见

本章节主要介绍ALM44006 Presto Worker进程垃圾收集时间超出阈值的告警。 告警解释 系统每30s周期性采集Presto Worker进程的垃圾收集（GC）时间，当检测到GC时间超出阈值（连续3次检测超过5s）时产生该告警。用户可在FusionInsight Manager中通过“运维 > 阈值配置 > 服务 > Presto > 集群状态 > Worker进程GC时间”修改阈值。当 Worker进程GC时间小于或等于告警阈值时，告警清除。 告警属性 告警ID 告警级别 可自动清除 44006 严重 是 告警参数 参数名称 参数含义 ServiceName 产生告警的服务名称。 RoleName 产生告警的角色名称。 HostName 产生告警的主机名。 对系统的影响 Worker进程GC时间过长，会影响Worker进程运行的性能，甚至造成Worker进程不可用。 可能原因 该节点Worker进程堆内存使用率过大，或配置的堆内存不合理，导致进程GC频繁。 处理步骤 检查GC时间 1.登录MRS集群详情页面，选择“告警管理”。 2.选中“告警ID”为“44006”的告警，查看“定位信息”中的角色名并确定实例的IP地址。 3.单击“组件管理 > Presto > 实例 > Worker（对应上报告警实例IP地址） > 定制 > Presto进程GC时间”。单击“确定”，查看GC时间。 4.查看Worker进程的GC时间是否大于5秒。 是，执行步骤5。 否，执行步骤2。 5.单击“组件管理 > Presto > 服务配置 > 全部配置 > Presto > Worker”。将“JAVAOPTS”参数中的最大堆内存Xmx值根据实际情况调大。 6.观察界面告警是否清除。 是，处理完毕。 否，执行步骤2。

参数 参数类型 说明 示例 下级对象 targetID String 后端服务ID targetxxxx

本文介绍云SSO开通与使用协议 企业中心服务协议

购买步骤（二类节点） 购买实例 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在服务列表选择“安全 > 日志审计（原生版）”，进入日志审计（原生版）实例列表界面。 4. 在界面右上角，单击“立即购买”，进入订购页面。 5. 配置基础信息和资产规格。 参数 参数说明 地区/可用区域 选择日志审计（原生版）需要部署的区域和可用区，实际可选择地区请根据购买页选择。 CPU分类 根据您需要部署日志审计（原生版）主机的CPU规格选择。 实例名称 输入您的实例名称。 版本及资产规格 选择日志审计（原生版）的版本及规格，资产规格请您根据自身业务的每秒事件指标（Evert Per SecondEPS）进行选择，具体可参考规格说明。 6. 选择配套的弹性云主机规格。具体云主机规格需求可参考规格说明。 云主机规格默认选择最低规格，您可在下拉框中选择主机规格或者输入规格名称进行搜索（支持模糊搜索）。 系统盘和数据盘默认选择最低规格，您可根据业务实际需求进行适量提升。 说明 在选定资产规格的情况下，若您的EPS值高于当前规格支持的最高EPS值，请您根据实际业务需求提升主机的规格。 若您需要将旧合作产品的日志审迁移至日志审计（原生版）服务，并且需要将数据也同步迁移，选购云主机时内存至少选择64G。 7. 配置日志审计（原生版）实例的网络信息。 参数 参数说明 虚拟私有云 选择日志审计（原生版）所属的虚拟私有云。 请您确保需要进行审计的设备和日志审计处于同一VPC下，若不在需确保和日志审计所在的VPC网络互通。 子网 选择日志审计（原生版）所属的子网。 安全组 选择日志审计（原生版）所属的安全组。 注意 安全组规则需要放通如下端口，请您在选择安全组的时候注意是否已放通该端口。 TCP协议“10443”的入方向端口。 UDP协议“514”的入方向端口。 弹性IP 为日志审计（原生版）实例绑定弹性IP。 8. 选择“购买时长”。支持开启“到期自动续费”，当服务到期前，系统会自动按照默认的续订周期生成续费订单并进行续费，无须用户手动续费。 说明 若您未勾选“到期自动续费”，在日志审计（原生版）到期后需要手动续费，且需要同步去云主机服务页面续费配套的弹性云主机。 9. 确认参数配置无误后，阅读并同意相关协议，单击“提交订单”。 10. 在订单详情页确认内容是否正确，确认无误后单击“立即支付”，在后续跳转页中完成支付即成功购买日志审计（原生版）服务。 说明 日志审计（原生版）实例在您购买后会自动启用，若您的实例未正常启用，请参考[手动启用实例](

服务网格支持托管您的证书并下发到网关数据面，实现TLS加密通信，本文介绍网关管理相关操作。 操作 进入服务网格控制台 > 网关 > 证书管理，您可以创建、查看、更新、删除证书配置，证书相关配置说明如下 配置项 说明 名称 证书的名称 命名空间 证书存储所在的命名空间 公钥证书 证书内容，当前仅支持PEM格式 私钥 证书私钥 是否启用mTLS 启用mTLS的证书可用于配置实现mTLS通信 CA证书 mTLS通信时用于验证客户端证书有效性的CA证书 使用证书管理实现网关mTLS访问 1. 首先使用以下脚本生成客户端和服务端证书 !/bin/bash domain$1 openssl genpkey algorithm RSA out ca.key openssl req new x509 key ca.key out ca.crt subj "/CCN/STGD/LGZ/ODX/OUTYY" days 3650 openssl genpkey algorithm RSA out server.key openssl req new key server.key out server.csr subj "/CCN/STGD/LGZ/OTYY/OUMS/CN$domain" openssl x509 req in server.csr CA ca.crt CAkey ca.key CAcreateserial out server.crt days 3650 openssl genpkey algorithm RSA out client.key openssl req new key client.key out client.csr subj "/CCN/STGD/LGZ/OTYY/OUMS/CN$domain" openssl x509 req in client.csr CA ca.crt CAkey ca.key CAcreateserial out client.crt days 3650 将生成的server.crt填入公钥证书，server.key填入私钥，开启mTLS开关，将ca.crt填入CA证书 2. 创建ingress网关，部署httpbin测试服务并通过网关访问httpbin服务 httpbin服务部署（华南2资源池） apiVersion: v1 kind: ServiceAccount metadata: name: httpbin apiVersion: v1 kind: Service metadata: name: httpbin labels: app: httpbin service: httpbin spec: ports: name: http port: 8000 targetPort: 80 selector: app: httpbin apiVersion: apps/v1 kind: Deployment metadata: name: httpbin spec: replicas: 1 selector: matchLabels: app: httpbin version: v1 template: metadata: labels: app: httpbin version: v1 spec: serviceAccountName: httpbin containers: image: registryvpccrshuanan2.cnspinternal.ctyun.cn/library/httpbin:stable imagePullPolicy: IfNotPresent name: httpbin ports: containerPort: 80 创建Ingress网关并配置VirtualService资源 apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: httpbin namespace: demo spec: gateways: cceforcsmdefaultingressgatewaytestgw hosts: foo.com http: route: destination: host: httpbin port: number: 8000 访问HTTP端口验证

本文带您了解弹性云主机的cloudbaseinit相关内容。 CloudbaseInit是一个开源的系统初始化工具，用于云环境中的虚拟机和物理机初始化。它支持在不同的云平台上进行自动配置和自定义操作，包括创建用户、安装软件包、配置网络和安全等。 在Windows上使用CloudbaseInit 如果你需要在Windows上使用CloudbaseInit，可以按照以下步骤进行安装和配置： 1. 下载最新版本的CloudbaseInit安装包（msi文件）。 2. 执行安装包，按照提示完成安装过程。 3. 在安装目录下的配置文件（cloudbaseinit.conf）中，配置需要的参数，如用户名、密码、网络配置等。你可以根据需要进行自定义配置。 4. 在Windows服务中，启动并设置CloudbaseInit服务为自动启动。 5. 重启系统，CloudbaseInit将会在系统启动时自动运行，并根据配置文件进行初始化。 在Linux上使用CloudInit 如果你需要在Linux上使用CloudInit，可以按照以下步骤进行安装和配置： 1. 使用相应的包管理工具，如yum或aptget，安装CloudInit软件包。 2. 在配置文件（cloudinit.conf）中，进行必要的参数配置，如用户名、密码、网络配置等。你可以根据需要进行自定义配置。 3. 启动CloudInit服务，可以使用命令systemctl start cloudinit（适用于systemd系统）或service cloudinit start（适用于init系统）。 4. 重启系统，CloudInit将会在系统启动时自动运行，并根据配置文件进行初始化。

本文介绍应用托管相关协议。 天翼云为您提供应用托管服务协议，请您点击查看。

接口功能介绍 创建后端服务 接口约束 无 URI POST /v4/elb/createtarget 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性, 长度 1 64 79fa97e3c48bxxxx9f466a13d8163678 regionID 是 String 区域ID 81f7728662dd11ec810800155d307d5b targetGroupID 是 String 后端服务组ID tgxxx description 否 String 支持拉丁字母、中文、数字, 特殊字符：~!@ $%^&()+ <>?:'{},./;'[,]·！@ ￥%……&（） —— +{},《》？：“”【】、；‘'，。、，不能以 http: / https: 开头，长度 0 128 desc instanceType 是 String 实例类型。取值范围：VM、BM、ECI、IP、IDC VM instanceID 是 String 实例ID，非IDC类型时必传，IP类型传网卡id xxxx protocolPort 是 Integer 协议端口。取值范围：165535 2000 weight 否 Integer 权重。取值范围：1256，默认为100 256 instanceVpc 否 String 当 instanceType 为 IDC 时，必须传 vpcxxxx instanceIP 否 String 后端服务IP，当 instanceType 为 IDC 时，必须传，当 instanceType 为IP类型且指定网卡IP 时，传入指定的IP 192.2.22.2

步骤二：产生对象存储事件 1. 登录对象存储管理控制台。 2. 单击前提条件中您已打开的桶名，点击文件管理，点击上传文件，等待文件上传完成，如图1。 图1 在对象存储管理控制台上传文件 步骤三：查看官方事件源事件示例 1. 登陆事件总线EventBridge管理控制台。 2. 点击default 总线，进入云服务专用事件总线详情页，单击左侧事件源按钮。 3. 单击名为ctyun.zos的事件源，查看事件示例，如图2。 图2 查看对象存储官方事件源的事件列表 步骤四：结果验证 1. 登录分布式消息服务Kafka管理控制台。 2. 在左侧导航栏，单击实例列表，选择目标实例。 3. 在左侧导航栏点击消息查询页面，点击按位点查询，查看事件内容与步骤三中查看的示例是否相符。 图3 查看分布式消息服务Kafka管理控制台中的消息详情

操作连接 操作连接是安全编排流程中，每个插件节点需要使用到的连接域名和鉴权参数。用于在安全编排的流程执行过程中，每个插件节点运行时，传入需要连接的域名信息，以及在访问该域名时，需要使用到的用户鉴权信息，如用户名/密码、账号AK/SK等。 操作连接与插件的关系 每个插件在运行过程中，需要通过域名调用的方式访问其他云服务或者三方服务，调用过程中需要鉴权，因此，在插件的登录凭证参数中会定义需要的域名参数（Endpoint）和认证参数（用户名/密码、账号AK/SK等）。操作连接则是配置插件登录凭证的参数值，流程中每个插件节点绑定不同的操作连接，支持相同插件的不同节点访问不同的服务。 实例监控 当剧本/流程执行完成后，实例管理列表中会生成剧本/流程实例，即实例监控。实例监控列表每条记录是一个实例，可呈现实例的历史实例任务列表，以及历史实例任务的运行情况。

云硬盘支持加密功能,可确保数据安全,以防用户隐私数据泄露。 什么是云硬盘加密？ 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 用户主密钥云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

云硬盘支持加密功能,可确保数据安全,以防用户隐私数据泄露。 什么是云硬盘加密？ 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 用户主密钥云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照