函数计算权限管理通过天翼云的访问控制IAM实现。使用访问控制IAM可以让您避免与其他用户共享云账号密钥，即AccessKey（包含AccessKey ID和AccessKey Secret），按需为IAM用户分配最小权限。本文介绍函数计算的权限策略，包括系统策略、自定义策略及自定义策略示例。 策略类型 在访问控制中，权限策略是用语法和结构描述的一组权限的集合，可以精确地描述被授权的Resource（资源集）、Action（操作集）以及授权条件。函数计算包含以下权限策略： 系统策略：统一由天翼云创建，您只能使用不能修改，策略的版本更新由天翼云维护。 自定义策略：您可以自主创建、更新和删除，策略的版本更新由您自己维护。 系统策略 当您首次使用IAM用户登录函数计算控制台时，不仅需要通过天翼云账号给您的IAM用户添加访问函数计算的系统权限策略，也需要给IAM用户添加访问其他云服务的系统权限策略。成功授权后，您的IAM用户才可以正常访问函数计算服务及其他云产品服务。 系统策略包含以下类型： 权限策略名称 描述 CtyunFCReadOnlyAccess 表示允许对函数计算所有的资源进行读操作。 CtyunFCInvocationAccess 表示允许对所有函数的资源进行执行操作。 CtyunFCFullAccess 表示允许对所有函数计算资源进行所有执行操作。 自定义策略 除了函数计算默认提供的系统策略外，您也可以通过自定义策略进行更细粒度的权限管理。 Action Resource 描述 cf:inst:ListFunctions ctrn:cf:{region}:{uid}:functions/ 函数列表 cf:inst:GetFunction ctrn:cf:{region}:{uid}:functions/{functionName} 查询函数 cf:inst:CreateFunction ctrn:cf:{region}:{uid}:functions/{functionName} 创建函数 cf:inst:DeleteFunction ctrn:cf:{region}:{uid}:functions/{functionName} 删除函数 cf:inst:UpdateFunction ctrn:cf:{region}:{uid}:functions/{functionName} 更新函数 cf:inst:InvokeFunction ctrn:cf:{region}:{uid}:functions/{functionName} 调用函数 您可以通过以上自定义的权限策略设置具有调用华东1（杭州）地域下demo函数的权限，具体策略如下所示： json { "Version": "1", "Statement": [ { "Action": [ "fc:InvokeFunction" ], "Resource": "ctrn:cf:{region}:{uid}:functions/demo", "Effect": "Allow" } ] }

操作场景 某企业已经在地域A创建了天翼云VPC并在其中部署了应用服务，现在该企业希望通过天翼云SDWAN服务访问地域A的云资源。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经在地域A创建了VPC，具体操作，请参见创建虚拟私有云VPC。 您已经完成云间高速（标准版）的创建，具体操作，请参见创建云间高速（标准版）实例。 您已经将地域A的VPC加载到同一云间高速（标准版）实例中，请参见加载网络实例。 操作步骤 步骤一：购买智能网关 您可以通过天翼云官网自行购买智能网关实例，也可以联系客户经理购买智能网关实例。通过天翼云官网自行下单，操作步骤如下： 1. 登录天翼云SDWAN控制台，选择“智能网关”，在“智能网关”页面单击“创建智能网关”，选择“创建智能网关”。 2. 根据页面提示配置参数，部分参数信息可参考如下： 参数 描述 实例名称 智能网关实例名称，长度为164字符，以大小写字母或中文开头，可包含数字、“.”、 “”、“”。 区域 选择设备接入的区域。 基础带宽 该分支接入SDWAN骨干网的带宽大小。 是否购买设备 表示是否需要从天翼云购买设备。选择“是”，则天翼云会为您准备一台设备；选择“否”，则需要用户自备设备。 网关形态 可选择硬件版、软件版，这里我们选择硬件版。 设备类型 购买设备时，需要选择设备的型号。可以选择经济版、标准版、企业版、企业增强版。 使用方式 表示设备的使用方式。这里选择“单机”。 地址信息 表示设备的装机地址。请准确填写地址信息。 购买数量 默认为1。这里设置为1。 3. 单击“提交订单”。确认订单信息无误后，勾选“我已阅读并同意相关协议《天翼云SDWAN产品服务协议》”，单击“确认下单”。 4. 订单支付成功后，完成购买。

本节介绍了创建事件监控告警通知的操作场景、操作步骤等内容。 操作场景 本章节指导用户针对事件监控创建告警规则。 操作步骤 步骤 1 登录管理控制台。 步骤 2 选择“管理与监管 > 云监控服务 CES”，进入“云监控服务”信息页面。 步骤 3 在左侧导航栏选择“事件监控”，进入“事件监控”页面。 步骤 4 在事件列表页面，单击页面右上角的“创建告警规则”。 步骤 5 在“创建告警规则”界面，配置参数。 表 告警内容参数说明 参数 参数说明 名称 系统会随机产生一个名称，用户也可以进行修改。 描述 告警规则描述（此参数非必填项）。 告警类型 用于指定告警规则对应的告警类型。 事件类型 用于指定告警规则对应指标的事件类型。 事件来源 事件来源的云服务名称。 选择“关系型数据库”或者“数据库代理”。 触发规则 关联模板：所关联模板内容修改后，该告警规则中所包含策略也会跟随修改。 建议选择导入已有模板，模板中已经包含CPU使用率、内存使用率、磁盘利用率三个常用告警指标。 自定义创建：自行配置告警策略。 模板 触发规则选择关联模板时，需要选择模板。 您可以选择系统预置的默认告警模板，或者选择自定义模板。 单击 开启“发送通知”，生效时间默认为全天，若没有您想要选择的主题，可以单击下一行的“创建主题”进行添加。 表 发送通知 参数 参数说明 发送通知 配置是否发送邮件、短信、HTTP和HTTPS通知用户。 通知对象 需要发送告警通知的对象，可选择“云账号联系人”或主题。 云账号联系人：注册账号时的手机和邮箱。 主题：消息发布或客户端订阅通知的特定事件类型，若此处没有需要的主题，需先创建主题并订阅该主题。 生效时间 该告警规则仅在生效时间内发送通知消息。 如生效时间为08:0020:00，则该告警规则仅在08:0020:00发送通知消息。 触发条件 出现告警 步骤 6 配置完成后，单击“立即创建”，完成告警规则的创建。 结束

网络架构设计步骤 1. VPC划分与业务规划 1. VPC划分原则 1. 按业务单元划分：如 VPC生产环境、VPC测试环境、VPC部门A。 2. 按安全等级划分：如 VPC核心业务（高安全）、VPC边缘服务（对外暴露）。 2. 规划共享服务VPC，集中部署公共服务，例如： 1. NAT网关：为多个业务VPC提供统一公网出口。 2. 堡垒机：统一运维入口，避免各VPC单独暴露SSH/RDP。 3. CIDR规划 1. 每个VPC使用独立且不重叠的私有地址段（如 10.1.0.0/16、10.2.0.0/16）。 2. 子网按功能分层（Web层子网/应用层子网/数据库子网），并预留20%地址空间。 2. 跨VPC互联方案 1. 通过对等连接实现VPC内网互通 1. 指定两个VPC创建对等连接，需在双方VPC路由表中添加对端CIDR指向对等连接。 2. 限制互通范围：仅在有通信必要的VPC之间建立对等连接（如生产VPC与共享VPC）。 3. 路由与流量管理 1. 路由表配置 1. 业务 VPC的子网路由表（需要与其他VPC互通子网所关联的路由表） 1. 默认路由规则：目的端为0.0.0.0/0，下一跳指向连接共享VPC的对等连接。 2. 添加访问其他业务VPC的路由规则：目的端其他业务VPC CIDR，下一跳指向对应的对等连接。 2. 共享VPC的路由表 1. 默认路由规则：目的端为0.0.0.0/0，下一跳指向NAT网关。 2. 添加访问业务VPC的路由规则：目的端业务VPC CIDR，下一跳指向对应的对等连接。 2. NAT网关规则配置 1. SNAT规则：为需要访问互联网的VPC或子网网段配置SNAT规则。 2. DNAT规则：通过端口映射，将公网IP的特定端口转发至目标私有IP（如ELB或云主机）的端口。 3. 流量路径示例 1. 出公网：生产环境VPC > 对等连接 > 共享VPC NAT网关 > 互联网。 2. 跨VPC访问：共享VPC > 对等连接 > 生产环境VPC。 4. 安全策略设计 1. 跨VPC访问控制 1. 安全组规则：仅允许特定源IP（如共享VPC的日志服务器IP）访问目标端口。 2. 网络ACL：在子网级限制跨VPC流量（如拒绝非业务VPC的IP段）。 2. 流量加密 1. 跨VPC敏感数据使用SSL/TLS或IPSec加密（若需更高安全性）。

本节介绍服务器安全卫士(原生版)基线检测操作指南。 对服务器操作系统、数据库、关键应用软件配置等进行检测，帮助用户提前识别出可能导致安全漏洞的不安全配置项，例如不必要的服务开启、过时的软件版本、未启用的安全特性等。通过基线检测，可以及时发现并修复这些潜在的安全风险。 版本限制 仅企业版、旗舰版支持基线检测功能。 新建基线检测策略 基线检测设置分为一键检测和定时检测。当您需要进行基线检测时，先设置您需要的基线策略。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 基线检测”，进入基线检测页面。 3. 单击“策略管理”，进入策略管理页面。 该页面展示了已经设置好的基线策略，包括策略名称、检查周期、检测服务器数、创建日期、策略开关和操作。可以新建、编辑和删除基线策略。 4. 单击“新建策略”，页面右侧弹出新建基线策略窗口。 5. 设置策略名称、检查时间、选择基线名称和服务器。 6. 设置完成后，单击“确认”即可完成新建基线策略。 编辑基线检测策略 若您需要对已有的基线策略进行编辑，点击该策略操作列中的“编辑”，可以修改策略的所有信息，包括策略名称、检查时间、已选择的基线名称和服务器，修改完成后点击“确认”即可完成基线策略编辑。 删除基线检测策略 若您需要删除已有的基线策略，点击该策略操作列中的“删除”，在提示框中点击“确认”即可完成基线策略删除。

阶段 阶段描述 具体内容 责任方 计划实施时间 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍整体服务工作 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 测评内容介绍 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 确认保密管理内容 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍风险管理措施 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 讲解等保要求细则 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 输出《等保测评技术指导》 天翼云 1周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 依据等级保护要求，对客户系统进行安全自评估，进行差距分析 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全物理环境 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全通信网络 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全区域边界 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全计算环境 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 差距分析 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 输出《差距分析评估》 天翼云 2周 第三阶段：整改建议 （仅标准版提供） 根据差距分析，提供整改建议 差距分析整理，提供差距建议，输出《差距整改方案》 天翼云 2周

SSL证书或证书管理服务到期前30天,天翼云将会自动为您续期证书。对于手动验证域名的证书,您需及时验证域名。 约束与限制 手动DNS验证的域名解析只能在您的域名管理平台上进行操作，具体的解析方法以域名服务商提供的解析方法为准。 前提条件 绑定的域名须做实名认证，如果未做实名认证，请前往您的域名服务商处完成域名实名认证。 获取域名验证信息 1. 登录证书管理服务控制台。 2. 选择需要进行域名验证（“状态/申请进度”为“申请审核中待域名验证”）的证书，单击“操作”列的“证书验证”。 3. 在证书验证页面，查看并记录解析记录的记录类型 、主机记录 和记录值。 在天翼云云解析服务器上进行DNS验证 1. 下面以天翼云解析为例，演示为域名添加DNS解析记录过程。如果您域名对应的DNS域名解析服务不在天翼云，请您前往域名对应的DNS域名解析商添加解析记录。 1. 使用域名持有者所在的天翼云账号，登录云解析服务管理控制台。 2. 在需要添加DNS解析记录的域名记录操作列，单击“解析设置”。 3. 在添加记录面板，将域名认证获取到的验证信息进行添加，填写规则参见下表。 参数 填写说明 主机记录 证书的验证信息对话框，域名服务商返回的“主机记录”。 记录类型 证书的验证信息对话框，域名服务商返回的“记录类型”。 线路类型 选择“默认”。 记录值 证书的验证信息对话框，域名服务商返回的“记录值”。 MX优先级 TTL 选择默认值，不作修改。 4. 单击“√”完成记录添加。 2. 成功配置解析记录后，等待CA中心对DNS验证信息进行审核，审核通过后，证书变为“已签发”状态。

SSL证书或证书管理服务到期前30天,天翼云将会自动为您续期证书,请配合天翼云验证域名。 约束与限制 手动DNS验证的域名解析只能在您的域名管理平台上进行操作，具体的解析方法以域名服务商提供的解析方法为准。 前提条件 绑定的域名须做实名认证，如果未做实名认证，请前往您的域名服务商处完成域名实名认证。 获取域名验证信息 1. 登录证书管理服务控制台。 2. 选择需要进行域名验证（“状态/申请进度”为“申请审核中待域名验证”）的证书，单击“操作”列的“证书验证”。 3. 在证书验证页面，查看并记录解析记录的记录类型 、主机记录 和记录值。 在天翼云云解析服务器上进行DNS验证 1. 下面以天翼云解析为例，演示为域名添加DNS解析记录过程。如果您域名对应的DNS域名解析服务不在天翼云，请您前往域名对应的DNS域名解析商添加解析记录。 1. 使用域名持有者所在的天翼云账号，登录云解析服务管理控制台。 2. 在需要添加DNS解析记录的域名记录操作列，单击“解析设置”。 3. 在添加记录面板，将域名认证获取到的验证信息进行添加，填写规则参见下表。 参数 填写说明 主机记录 证书的验证信息对话框，域名服务商返回的“主机记录”。 记录类型 证书的验证信息对话框，域名服务商返回的“记录类型”。 线路类型 选择“默认”。 记录值 证书的验证信息对话框，域名服务商返回的“记录值”。 MX优先级 TTL 选择默认值，不作修改。 4. 单击“√”完成记录添加。 2. 成功配置解析记录后，等待CA中心对DNS验证信息进行审核，审核通过后，证书变为“已签发”状态。

本文简述边缘安全加速节点无需部署私钥的情况下如何加速HTTPS业务，适用场景、注意事项等。 功能介绍 通常情况下，HTTPS协议的域名，如果需要在边缘安全加速平台配置加速服务，需要将HTTPS公钥和私钥部署到边缘安全加速平台。使用HTTPS无私钥驻留加速方案后，您只需要将公钥部署到边缘安全加速平台，私钥可以由源站唯一保有，即可实现HTTPS业务的加速。 HTTPS无私钥驻留加速方案原理如上图，具体过程如下： 1A: 客户端发起https请求，与边缘加速节点进行ssl握手，边缘加速节点将相应的SSL证书公钥传送给客户端，客户端使用公钥加密客户端生成的随机密码后发往边缘加速节点。 1B: 边缘加速节点与源站的私钥服务器建连，通过双方约定的加密方式将客户端发来的公钥加密的随机密码发往源站的私钥服务器，私钥服务器使用私钥解密获取随机密码，然后再将随机密码通过双方约定的加密方式返回给边缘安全加速节点，边缘加速节点解密后获取随机密码。 2A: 边缘加速节点与客户端双方都拥有随机密码后，即可以正常通信发送加密数据了。 2B: 边缘加速节点回源请求，与源站真实服务器建立https连接获取源站内容。

本章节主要介绍如何使用Linux gsql客户端连接集群。 用户在创建好数据仓库集群，开始使用集群数据库之前，需要使用数据库SQL客户端连接到数据库。DWS提供了与集群版本配套的Linux gsql命令行客户端工具，您可以使用Linux gsql客户端通过集群的公网地址或者内网地址访问集群。 它的运行环境是Linux操作系统，在使用Linux gsql客户端远程连接DWS集群之前，需要准备一个Linux主机用于安装和运行Linux gsql客户端。如果通过公网地址访问集群，也可以将Linux gsql客户端安装在用户自己的Linux主机上，但是该Linux主机必须具有公网地址。若DWS集群没有配置公网IP，为方便起见，推荐您创建一台Linux弹性云主机（简称ECS）。 （可选）准备ECS作为gsql客户端主机 创建弹性云主机的操作步骤，请参见《弹性云主机用户指南》中的“快速入门 > 创建弹性云主机”章节。 创建的弹性云主机需要满足如下要求： 弹性云主机需要与DWS 集群具有相同的区域、可用区。 如果使用DWS 提供的gsql命令行客户端连接DWS 集群，弹性云主机的镜像必须满足如下要求： 镜像的操作系统必须是gsql客户端所支持的下列Linux操作系统： −“Redhat x8664”客户端工具支持在以下系统中使用： RHEL 6.4~7.6 CentOS 6.4~7.4 EulerOS 2.3 −“SUSE x8664”客户端工具支持在以下系统中使用： SLES 11.1~11.4 SLES 12.0~12.3 如果客户端通过内网地址访问集群，请确保创建的弹性云主机与DWS 集群在同一虚拟私有云里。 虚拟私有云相关操作请参见《虚拟私有云用户指南》中“虚拟私有云和子网”。 如果客户端通过公网地址访问集群，请确保创建的弹性云主机和DWS 集群都要有弹性IP。 创建弹性云主机时，参数“弹性IP”需设置为“自动分配”或“使用已有”。 弹性云主机对应的安全组规则需要确保能与DWS 集群提供服务的端口网络互通。 安全组相关操作请参见《虚拟私有云用户指南》中“安全组”章节。 请确认弹性云主机的安全组中存在符合如下要求的规则，如果不存在，请在弹性云主机的安全组中添加相应的规则： −方向：出方向 −协议：必须包含TCP，例如TCP、全部。 −端口：需要包含DWS 集群提供服务的数据库端口，例如，设置为“165535”或者具体的DWS 数据库端口。 −目的地址：设置的IP地址需要包含所要连接的DWS集群的地址，例如，设置为“0.0.0.0/0”或者具体的DWS 集群的连接地址。 DWS 集群的安全组规则需要确保DWS 能接受来自客户端的网络访问。 请确认DWS 集群的安全组中存在符合如下要求的规则，如果不存在，请在DWS 集群的安全组中添加相应的规则。 −方向：入方向 −协议：必须包含TCP，例如TCP、全部。 −端口：设置为DWS 集群提供服务的数据库端口，例如“8000”。 −源地址：设置的IP地址需要包含DWS 客户端主机的IP地址，例如“192.168.0.10/32”。

本节介绍物理服务器是否可以使用漏洞扫描服务。 当您的物理服务器为Linux操作系统，且满足以下版本要求时，如果您的物理服务器可以远程登录，则可以通过添加跳板机的方式使用漏洞扫描服务。 EulerOS：支持的最低系统版本为EulerOS 2.2。 CentOS：支持的最低系统版本为CentOS 6.5。 RedHat：支持的最低系统版本为Red Hat Enterprise Linux 6.10。 Ubuntu：支持的最低系统版本为Ubuntu 16.04 server。 SUSE：支持的最低系统版本为SUSE Enterprise 11 SP4。 OpenSUSE：支持的最低系统版本为OpenSUSE 13.2。 Debian：支持的最低系统版本为Debian 8.2.0。 Kylin OS：支持的系统版本为Kylin OS V10 SP1。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 在“添加主机”页面，单击“添加主机”，参数说明如下表所示。 参数说明： 参数名称 参数说明 配置示例 主机名称 用户需要添加的主机名称。 vsstest IP地址 添加主机的公网IP地址。 192.168.2.3 是否使用跳板机 选择“是”。 是 跳板机 可在下拉框中选择已有跳板机，或者单击“新增跳板机”，添加跳板机。 5. 新增跳板机。 1. 单击“新增跳板机”。 2. 在弹出的对话框中，设置跳板机参数，如下图所示，相关参数说明如下表所示。 跳板机配置参数说明： 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 3. 单击“确认”。 6. 单击“下一步”，添加主机完成。 7. 在添加的主机所在行的“操作”列，单击“配置授权信息”。 8. 选择SSH授权方式进行主机授权。 说明 如果需要修改已有SSH授权，单击“编辑”，进行修改。 如果需要删除已有SSH授权，单击“删除”，进行删除。 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如下图所示，参数说明如下表所示。 参数说明： 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，为了您的账号安全，您的密码会加密保存。 9. 单击“确定”，完成主机授权。

本节主要介绍创建克隆卷的前置条件。 说明 仅支持本地卷创建克隆卷。 创建克隆卷时，可以选择是否修改克隆卷的参数。如果不修改，继承源卷的参数，如果修改，可以按照下列步骤执行。 1. 在Cinder的配置文件/etc/cinder/cinder.conf中修改源卷对应的卷类型参数。支持修改的参数详见下表，如果不修改，默认与源卷的参数保持一致。 参数 描述 storpath 指定HBlock存储卷数据的数据目录（仅单机版支持）。 说明 如果创建卷时不指定数据目录，使用服务器设置的默认数据目录。 servernumbers Target所在的服务器数量（仅集群版支持）。 整数形式，取值为[2, n]，n为集群内服务器的数量。 faultdomains 卷的服务端连接位置信息。根据存储池的故障域，创建Target所在服务器的列表（仅集群版支持），以便创建LUN时，LUN关联的Target优先从该服务器列表中选择所在服务器。例如存储池为rack级别，其拓扑图涵盖rack1、rack2、rack3、rack4中的节点，且faultDomains指定rack1、rack2，那么创建LUN时，LUN关联的Target优先从rack1、rack2所包含的此存储池的服务器列表里进行选择。 注意 存储池的故障域为path级别时，不能设置该参数。 如果LUN指定了高速缓存池和最终存储池，则从高速缓存池池中选择节点列表。如果LUN只指定了最终存储池，则从最终存储池中选择节点列表。 取值：以节点的形式添加，节点的级别可以到room、rack、server。可以指定多个节点，但是节点的个数要小于等于serverNumbers。支持一个节点添加多次，但是每次只能选一个server，并且选择的server不能与前面重复。如果一个节点出现的次数过多导致节点内的全部server都被选择，则系统会忽略此节点，从后面的节点中继续选择。 cachepool 指定缓存存储池（仅集群版支持）。如果指定了缓存存储池，卷数据首先写入缓存存储池，然后再存入存储池。 注意 存储池与缓存存储池不能是同一个存储池。 highavailability 选择卷的高可用类型（仅集群版支持）： ActiveStandby：启用主备，该卷关联对应Target下的所有IQN。 Disabled：不启用主备，该卷关联对应Target下的1个IQN。 localstorageclass 卷冗余模式（仅集群版支持）。 取值： singlecopy：单副本。 2copy：两副本。 3copy：三副本。 ECN+M：纠删码模式。其中N、M为正整数，N>M，且N+M≤128。表示将数据分割成N个片段，并生成M个校验数据。 minreplica 最小副本数（仅集群版支持）。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数。对于EC卷，取值范围是[N, N+M]。 redundancyoverlap 卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。 取值：对副本模式，取值范围是[1，副本数]，默认值为1；对于EC模式，取值范围是[1，M+N]，默认值为1。 ecfragmentsize 纠删码模式分片大小（仅集群版支持）。卷冗余模式为EC模式时，此设置才生效，否则忽略。 取值：1、2、4、8、16、32、64、128、256、512、1024、2048、4096，单位是KiB。 sectorsize 设置扇区大小。 取值：512、4096，单位为Byte。 writepolicy 卷的写策略： WriteBack（wb）：回写，指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 WriteThrough（wt）：透写，指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 WriteAround（wa）：绕写，指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 2. 重启Cinder服务。 如果使用DevStack方式安装OpenStack，重启Cinder服务命令如下： plaintext systemctl restart devstack@c 如果使用Packstack安装OpenStack，重启Cinder服务命令如下： plaintext systemctl restart openstackcinder 3. 通过快照方式创建新卷或者通过卷方式创建新卷。

本文主要介绍如何修改IP地址组基本信息。 操作场景 本章节指导用户修改IP地址组。 说明 修改IP地址组，相应安全组规则和网络ACL规则的源地址范围也会随之改变。 修改IP地址组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“访问控制 > IP地址组”。 4. 在IP地址组列表页面，单击操作列的“修改”，可以对IP地址组信息进行修改，包括名称、IP地址、描述。

本节为您介绍云迁移服务CMS异构迁移组件应用程序查看详情。 1. 云迁移服务提供异构评估组件应用程序查看详情功能，您可以在左侧导航栏选择迁移评估，点击【异构评估】按钮，进入 [ 组件应用程序 ] 界面，点击【查看详情】按钮，跳转至 [ 异构评估详情] 界面。进入时系统会给出相应提示，如图所示。 2. 进入 [ 异构评估详情] 界面，主要展示异构任务信息、组件应用程序信息、待确认项、不满足项等信息。 异构任务信息 用于显示评估任务名称、源端类型、目的端区域、评估方式、工具推荐、创建时间等信息。如图所示。 组件应用程序信息 用于显示组件应用程序名称、源端CPU厂商/目的端CPU厂商、运行所需CPU/内存、可接受平均性能损耗、源码包、软件包、厂家支撑、云上替换、是否开源等信息。如图所示。 待确认项 根据您提交的材料内容，平台为您初步推荐能够实现异构迁移工具模块。下方为您需要确认的模块，请点击对应模块下方确认框(✔)后链接，通过链接或弹窗指导进行对应项确认;同一模块下所有确认框(✔)都勾选后，您所评估的组件即适合使用对应的异构迁移工具，请根据实际情况进行事项确认；如图所示。 点击【提交】按钮，进入 [ 组件应用评估报表 ] 界面，下图为您展示如图所示。 不满足项 根据您提交的源端信息文件，系统为您初步判定无法使用功能与原因，若此部分填写有误，请修改后重新提交源端信息文件。如图所示。

本文主要介绍管理实例标签。 标签是Kafka实例的标识，为Kafka实例添加标签，可以方便用户识别和管理拥有的Kafka实例资源。 您可以在创建Kafka实例时添加标签，也可以在Kafka实例创建完成后，在“标签”页面添加标签，您最多可以给实例添加20个标签。另外，您还可以进行修改和删除标签。 标签共由两部分组成：“标签键”和“标签值”，其中，“标签键”和“标签值”的命名规则如下表所示。 表 标签命名规则 参数名称 规则 标签键 不能为空。 对于同一个实例，Key值唯一。 长度不超过36个字符。 不能包含“”,“”,“ ”,“”,“,”,“ 标签值 不能为空。 长度不超过43个字符。 不能包含“”,“”,“ ”,“”,“,”,“ 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 在实例所在行，单击实例名称，进入实例详情页面。 步骤 5 单击“标签”页签，进入标签管理页面。 界面显示该实例的标签列表。 步骤 6 您可以根据实际需要，执行以下操作： 添加标签 单击“创建/删除标签”，弹出“创建/删除标签”对话框。 在“标签键”和“标签值”中，输入标签的键/值，单击“添加”。如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键/值，单击“添加”。 单击“确定”，成功为实例添加标签。 删除标签 通过以下任意一种方法，删除标签。 在待删除的标签所在行，单击“删除”，弹出“删除标签”对话框。单击“是”，完成标签的删除。 单击“创建/删除标签”，弹出“创建/删除标签”对话框。在待删除的标签后，单击，然后单击“确定”，完成标签的删除。

本章节主要介绍如何设置网卡的源/目的检查。 操作场景 开启网卡的源/目的检查，系统会检查物理机服务器发送的报文中源IP地址是否正确，否则不允许物理机服务器发送该报文。这有助于防止伪装报文攻击，提升安全性。 操作步骤 1.登录管理控制台。 2.选择“计算 > 物理机服务”。 进入物理机页面。 3.单击待设置网卡的物理机的名称。 系统跳转至该物理机的详情页面。 4.选择“网卡”页签，单击待设置网卡前的图标。 5.选择打开或关闭“源/目的检查”开关。 默认情况下，“源/目的检查”状态为“ON”，系统会检查物理机发送的报文中源IP地址是否正确，否则不允许物理机发送该报文。这有助于防止伪装报文攻击，提升安全性。当物理机作为NAT服务器、路由器或防火墙时，此开关应该设置为“OFF”。

该任务指导用户通过漏洞扫描服务取消主机授权。 注意事项 取消主机授权后，将不能完全扫描出主机的安全风险，请谨慎操作。 前提条件 已获取管理控制台的登录账号与密码。 已添加主机。 已开通预置账号。 已在创建任务时授权通过网络连接到对应的主机，即已进行主机授权。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在目标主机的“操作”列，单击“更多”，在下拉框中，单击“解除授权”。解除授权后，“授权信息”的状态为“暂未配置”。 6. 单击“确定”，解除授权成功。

5. 启动数据库 1. （本步骤可选）在关系数据库MySQL版的参数管理中查看lowercasetablenames 的值，查看方法请参考参数设置，在修改自建数据库配置文件/etc/my.cnf中修改参数lowercasetablenames的值和查询结果保持一致。 shell lowercasetablenames 1 2. 修改数据目录权限为mysqld启动用户，此处以mysql为例。 shell sudo chown mysql:mysql /data/yournewdata R 3. 执行以下命令以启动mysqld服务。 shell sudo mysqld defaultsfile/etc/my.cnf usermysql datadir/data/yournewdata & 6. 连接数据库并验证 1. 执行以下命令连接数据库。 shell mysql h{自建数据库所在主机ip} P{数据库服务端口} u{源关系数据库MySQL版实例的用户名} p{对应密码} 2. 执行如下命令检查是否有源实例中的数据库。 sql show databases;

本文介绍是否可以将存储桶A的数据迁移到存储桶B。 可以，但针对不同场景，我们建议您使用不同的迁移能力。 场景一： 如果您的桶A和桶B均存储在天翼云媒体存储，您可以通过【存储桶复制】功能进行数据复制，将桶A的数据迁移复制到桶B，具体可参考：存储桶复制。 场景二： 如果您的桶A在第三方云厂商，桶B在天翼云媒体存储，您可通过媒体存储提供的数据迁移能力进行操作，将桶A的数据迁移到桶B，具体可参考：数据迁移。 注意 目前数据迁移服务暂不收取服务费用，但因迁移数据时会产生数据的上传下载以及API请求，所以会产生对应的下行流量费用以及API请求次数费用。 具体可参考： 。

本文介绍URL鉴权支持的加密算法。 应用场景 为保障直播资源不被非法盗用，避免产生不必要的带宽浪费，您可以使用视频直播的URL鉴权功能，在主播推流或播放URL中加上鉴权信息。在主播请求直播推流或观众请求播放时，CDN会对其URL带的加密信息进行合法性判断，仅校验通过的请求会予以响应，其它非法的访问将予以拒绝，从而有效地保护直播资源。 支持算法 URL鉴权支持的加密算法包括MD5HASH算法和HMACSHA256算法。更多URL鉴权信息请参见：URL鉴权。 注意 建议配置开启URL鉴权，否则域名将存在资源被恶意下载或者非法盗用风险，您需要承担因盗用产生的相关服务费用。 若要开启URL鉴权，需客户端与CDN服务侧进行配合使用。

本章节主要介绍翼MapReduce的导出认证凭据文件操作。 操作场景 用户为安全模式集群进行应用开发的场景下，需要获取用户keytab文件用于安全认证。管理员可以通过FusionInsight Manager导出keytab文件。 说明 修改用户密码后，之前导出的keytab将失效，需要重新导出。 前提条件 下载“人机”用户的认证凭据文件前，需要使用Manager界面或者客户端修改过一次此用户的密码，否则下载获取的keytab文件无法使用。请参见修改用户密码。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在需导出文件的用户所在行，选择“更多 > 下载认证凭据”，待文件自动生成后指定保存位置，并妥善保管该文件。 认证凭据中会携带kerberos服务的“krb5.conf”文件。 解压认证凭据文件后可以获取两个文件： “krb5.conf”文件包含认证服务连接信息。 “user.keytab”文件包含用户认证信息。

名词 说明 子网（subnet）是指在一个大的网络范围内，为了更好地进行资源管理，而将网络划分成的小型网络。每个子网有一个唯一的IP地址序列，可用于分配给该子网中的主机和其他网络设备。子网是虚拟私有云中的一个IP地址段，虚拟私有云中的所有资源都必须部署在子网上。 可用区资源池：路由表用于控制虚拟私有云的流量走向，路由表分为默认路由表和自定义路由表两种类型。默认路由表随着VPC自动创建，所有新建子网与默认路由表关联，不能创建也不能删除默认路由表，但可以在默认路由表中创建自定义路由规则。地域资源池：分为VPC级路由表和子网级路由表，VPC级路由表用于控制整个VPC粒度的网络流量，子网路由表和子网关联后用于控制子网粒度的网络流量。 虚拟IP（Virtual IP Address，简称VIP）是一个从子网中分配的一个内网IP地址，没有分配给真实弹性云主机网卡。虚拟IP地址拥有私有IP地址同样的网络接入能力，用户也可以像主私网IP地址一样通过虚拟IP去访问弹性云主机。您可以通过将虚拟IP与主备弹性云主机绑定，根据是否需要访问公网可以为虚拟IP绑定一个弹性IP，配合高可用软件（例如Keepalived）使用，实现业务的高可用。 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同防护需求的弹性云主机、物理机提供安全访问策略。安全组创建后，用户可以根据业务需求自定义防护规则，当弹性云主机、物理机加入该安全组后，即受到这些访问规则的保护。 网络ACL是一个子网级别的流量防护规则，您可以自定义配置网络ACL规则，并将网络ACL与子网关联，通过出方向/入方向规则管理出入子网的流量，实现对子网中云服务器实例流量的访问控制。安全组对云主机、物理机等实例进行防护，网络ACL对子网进行防护，两者结合起来，可以实现更精细、更复杂的安全访问控制。 流量镜像（Traffic Mirror）功能可以将网络流量从一个或多个源端口复制到一个目标端口，以便进行分析、监控和调试。流量镜像主要是复制网卡上的流量并筛选出符合条件的报文，因此它可以在不影响网络性能的情况下，捕获和记录网络流量，帮助管理员诊断网络故障、检测网络攻击和优化网络性能。 IPv4网关是连接虚拟私有云和公网的网络组件。虚拟私有云访问IPv4公网的流量经过IPv4网关，由IPv4网关实现路由转发以及私网地址到公网地址的转换，最终实现对公网的访问。对于地域资源池，没有IPv4网关产品概念。 弹性网卡是虚拟私有网络VPC中的虚拟网络接口，用于连接ECS与私有网络。弹性网卡可以灵活的绑定/解绑云服务器，实现云服务器和网络的解耦。 NAT网关（NAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云内的计算实例提供网络地址转换，天翼云NAT网关分为SNAT和DNAT两个功能，通过SNAT可使多个弹性云主机共享使用弹性IP访问Internet。通过DNAT可使多个弹性云主机提供互联网服务。 对等连接（VPC Peering Connection）是指两个同一区域内的VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行内网通信，就像两个VPC在同一个网络中一样。用户可以在自己帐号的VPC之间创建对等连接，也可以在自己账号的VPC与同一区域内其他帐号的VPC之间创建对等连接。 VPC终端节点（VPC Endpoint，CTVPCEP）使您能够将 VPC 私密地连接到终端节点服务（天翼云服务、 用户私有服务），该连接使用天翼云内部网络进行连接，不再绕行公网，为您提供性能更加强大、更加灵活的网络。VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。

本章介绍处理配置风险的方案。 主机安全服务对主机执行配置检测后，您可以根据检测结果中的相关信息，修复主机中含有风险的配置项或忽略可信任的配置项。 修改有风险的配置项 查看检测规则对应的详情信息，您可以根据审计描述验证检测结果，根据修改建议处理主机中的异常信息。 建议您及时优先修复威胁等级为“高危”的关键配置，根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置。 忽略可信任的配置项 1、 单击云服务器名称，查看服务器的详细信息，选择“基线检查 > 配置检查”。 2、 单击目标风险项前的展开检查项，单击目标风险项“操作”列的“忽略”进行单个忽略。也可以勾选多个检测规则单击界面上方的“忽略”进行批量忽略。 对于已经忽略的检测规则，单击已忽略页签可“取消忽略”，也可以批量选中想要取消忽略的规则“取消忽略”。 修复验证 完成配置项的修复后，建议您在“风险预防 > 漏洞管理”页面单击“漏洞检测”立即执行手动检测，查看配置项修复结果。

如果您精通K8s，且需要在应用容器启动前或者关闭前执行相关操作，例如运行前部署资源或者停止前优雅下线应用，可以设置应用生命周期管理。本文主要介绍如何在CAE应用中配置PostStart、PreStop和TerminationGracePeriodSeconds。 功能介绍 Pod hook（容器钩子）是由Kubernetes管理的kubelet组件发起的机制，用于在容器的生命周期的关键阶段执行自定义任务。这些阶段包括容器进程启动前（preStart）和终止前（preStop）。钩子的引入使Kubernetes能够更加灵活和精细地管理容器的生命周期。 启动后处理（PostStart设置）：是容器生命周期中的一种钩子，该钩子在容器被创建后立刻触发，通知容器它已经被创建。该钩子不需要向其所对应的hook handler传入任何参数。如果该钩子对应的hook handler执行失败，则该容器会被关闭，并根据该容器的重启策略决定是否重启该容器。 停止前处理（PreStop设置）：是容器生命周期中的一种钩子，该钩子在容器终止前触发，通常用于执行清理操作或优雅地关闭服务。其对应的hook handler必须在Kubernetes向容器发送终止信号（如 SIGTERM）之前完成。无论hook handler的执行结果如何，一旦其完成，Kubernetes将向容器发送SIGTERM信号以终止容器，并根据配置等待一段时间后强制删除容器。 优雅下线超时设置（TerminationGracePeriodSeconds）：其主要作用是为容器的优雅终止提供时间保障，确保应用能够在被强制停止之前完成必要的清理和关闭操作。这不仅有助于提升系统的稳定性和可靠性，还能避免因强制终止导致的数据丢失、请求失败和服务不可用等问题。结合 PreStop钩子可以实现完整的优雅下线流程。

如果您精通K8s，且需要在应用容器启动前或者关闭前执行相关操作，例如运行前部署资源或者停止前优雅下线应用，可以设置应用生命周期管理。本文主要介绍如何在CAE应用中配置PostStart、PreStop和TerminationGracePeriodSeconds。 功能介绍 Pod hook（容器钩子）是由Kubernetes管理的kubelet组件发起的机制，用于在容器的生命周期的关键阶段执行自定义任务。这些阶段包括容器进程启动前（preStart）和终止前（preStop）。钩子的引入使Kubernetes能够更加灵活和精细地管理容器的生命周期。 启动后处理（PostStart设置）：是容器生命周期中的一种钩子，该钩子在容器被创建后立刻触发，通知容器它已经被创建。该钩子不需要向其所对应的hook handler传入任何参数。如果该钩子对应的hook handler执行失败，则该容器会被关闭，并根据该容器的重启策略决定是否重启该容器。 停止前处理（PreStop设置）：是容器生命周期中的一种钩子，该钩子在容器终止前触发，通常用于执行清理操作或优雅地关闭服务。其对应的hook handler必须在Kubernetes向容器发送终止信号（如 SIGTERM）之前完成。无论hook handler的执行结果如何，一旦其完成，Kubernetes将向容器发送SIGTERM信号以终止容器，并根据配置等待一段时间后强制删除容器。 优雅下线超时设置（TerminationGracePeriodSeconds）：其主要作用是为容器的优雅终止提供时间保障，确保应用能够在被强制停止之前完成必要的清理和关闭操作。这不仅有助于提升系统的稳定性和可靠性，还能避免因强制终止导致的数据丢失、请求失败和服务不可用等问题。结合 PreStop钩子可以实现完整的优雅下线流程。

网络传输加密 天翼云支持通过 VPN 连接和 HTTPS 协议对数据进行加密传输。 天翼云VPN连接（CTVPN，Virtual Private Network）是一款基于Internet的网络连接服务，通过互联网加密通道的方式实现企业数据中心、企业办公网络、客户终端与客户云上专有网络建立安全可靠的连接。根据使用的加密协议不同，VPN连接可以提供IPsec VPN和SSL VPN两种连接方式。 IPsec VPN 通过使用加密算法在不同的网络之间建立加密的安全隧道。默认情况下，在VPC中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用IPsec VPN功能。 SSL VPN 基于互联网线路，通过SSL加密通道将用户终端与天翼云VPC建立安全可靠连接的服务，满足客户便捷接入VPC的需求。 HTTPS是基于TLS/SSL协议对HTTP传输数据进行加密，能够有效防止数据被监听、截取和篡改。天翼云云主机默认支持使用HTTPS进行加密传输，并提供256位密钥的传输加密强度，满足敏感信息加密的传输要求。 计算环境加密 天翼云的可信计算技术为用户提供了一个安全的计算环境。可信计算是实现云租户计算环境高级安全的重要功能之一。通过可信虚拟化技术（vTPM），天翼云构建了一个从系统启动到运行阶段的全方位可信保障机制。这种技术可以有效防止恶意软件和攻击者对计算环境的篡改，确保数据在处理过程中的机密性和完整性。 数据可用性 数据可用性是指数据在需要时能够被快速、准确地访问和恢复。天翼云通过以下措施与功能确保数据的可用性。

当Linux操作系统云主机/etc/passwd文件损坏时,可参考此文进行修复 操作场景 本节操作适用于Linux操作系统云主机，出现因/etc/passwd文件损坏导致云主机无法登录的问题。 说明 本节操作为紧急恢复系统方法，需要在单用户模式下会将系统备份初始备份/etc/passwd文件替换已损坏的/etc/passwd文件，该操作会造成自行添加的用户丢失（包括应用运行的用户，可以参考/etc/shadow文件添加其他账号）。 本节操作涉及重启云主机操作，重启云主机会造成业务中断，请谨慎操作。 问题描述 Linux系统中多个服务启动失败：Failed to start Login service 、Filed to start Authorization service。 待系统启动后登录，提示密码错误。 根因分析 /etc/passwd和/etc/shadow文件记录所有的用户信息，每个用户都有一个对应的记录行，如果该文件损坏或者误删除会导致登录服务（systemdlogind.service）启动失败，因此用户无法登录。 处理方法 1. 使用控制台提供的远程登录方式登录云主机。单击远程登录操作面板上方的“发送CtrlAltDel”按钮，重启虚拟机。 2. 确认开始重启后，立即反复单击上下键，阻止系统继续启动，在出现内核选项时按字母键e进入内核编辑模式。 3. 找到linux16行末尾，删除不需要加载的参数（ro参数开始到末尾）。修改ro为rw，以读写方式挂载根分区。并添加rd.break，然后执行Ctrl+X。 4. 执行以下命令切换至/sysroot目录。

身份与访问控制是云平台安全的关键组成部分,它确保只有经过授权的用户才能访问特定的资源和服务。天翼云提供了一系列身份与访问控制功能,帮助用户实现细粒度的访问管理,保护云资源的安全。 身份认证安全 严控主账号凭证：天翼云主账号是资源归属与计费的核心主体，拥有全量资源访问权限。建议仅使用密码登录控制台，不创建主账号访问密钥（AK/SK） ，减少因密钥泄露导致的全局风险；若需通过 API/SDK 调用服务，请勿直接将访问密钥嵌入到代码中，减少访问密钥被泄露的风险。 启用多因素认证（MFA）：MFA是一种非常简单的安全实践方法，建议您给天翼云帐号以及您帐号中具备较高权限的用户开启MFA功能，它能够在用户名和密码之外再额外增加一层保护。启用MFA后，用户登录控制台时，系统将要求用户输入用户名和密码（第一安全要素），以及来自其MFA设备的验证码（第二安全要素）。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 创建单独的IAM用户:天翼云统一身份认证（IAM）允许用户创建多个子用户，并为每个子用户分配不同的权限策略。如果有任何人需要访问您天翼云帐号中的资源，请不要将帐号的密码共享给他们，而是在您的帐号中给他们创建单独的IAM用户并分配相应的权限，同时，作为天翼云帐号主体，建议您不使用帐号访问天翼云，而是为自己创建一个IAM用户，并授予该用户管理权限，以使用该IAM用户代替帐号进行日常管理工作，保护帐号的安全。

本节为您介绍如何对已购物理机进行实例名称修改、重置密码及重装系统操作。 物理机重装系统 操作场景 物理机操作系统无法正常启动，操作系统中毒，或物理机系统运行正常，但需要对系统进行优化，使其在最优状态下工作时，用户可以使用物理机的重装系统功能。 前提条件 物理机状态为关机状态。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”，此处我们选择内蒙6。 3. 单击“左侧导航栏>服务列表”，选择“计算 > 物理机服务”。 4. 将鼠标移动至目标物理机的“操作”列，在“更多 > 重装系统”，进入“一键重装”界面。 5. 在“重装选择”下拉框中，选中所需的操作系统及版本。如下图所示： 6. “主机名称”默认为原名称，同时也支持修改。 7. 如果此实例带本地盘，则可配置“磁盘RAID是否重置”： (1) 若选择不重置，则在系统重装过程中不会重置RAID。 (2) 若选择重置，则在系统重装过程中会重置RAID。即使您选择的RAID方式与重装前的RAID方式一致，也会重置RAID。RAID的相关概念、特性及如何构建RAID，可参见文档配置RAID。 8. 对“密码”进行配置后，单击“确定”进行系统重装。 说明 密码长度限制8到30个字符 必须包含大小写字母，同时必须包含一个数字或者特殊字符(()~!@

本章节进行API网关整体介绍 概述 API网关是API 托管服务，提供 API 的完整生命周期管理，包括创建、维护、发布、运行、下线、运维监测、安全管控等阶段。通过API网关服务，可以将您的数据、业务逻辑或功能安全可靠的开放出来，以快速建设以API为核心的系统架构，为业务系统、合作伙伴提供连接。 消费者 消费者通常是网关的调用方，比如可以是客户端程序等，所以通常也可以称为应用；当消费者请求路由到网关时，网关会对消费者进行识别。网关要判断这个调用者有没有访问当前路由的权限，如果没有，网关就会拒绝当前请求，否则就会通过路由请求并对请求进行进一步的处理。识别过程我们叫做鉴权，那么鉴权之前，为确保具有路由请求的权限，以允许对应消费者访问路由，会给目标路由进行授权，也即是消费者授权或者叫做应用授权。 摘要签名认证 当前网关支持的认证鉴权方式为摘要签名认证方式。API网关提供前端签名及验签能力，前端签名及验签主要两点用途： 1. 验证客户端请求的合法性，确认请求中携带授权后的AK生成的签名。 2. 防止请求数据在网络传输过程中被篡改。 API的拥有者可以在网关控制台的应用管理页面生成APP，每个APP会携带一对签名密钥（APP Key和APP Secret），API拥有者将API授权给指定的APP（APP可以是API拥有者颁发或者API调用者所有）后，API调用者就可以用APP的签名密钥来调用相关的API了。

参数 是否必填 参数类型 说明 示例 下级对象 concurrency 否 Integer IstioProxy线程数 2 enableCoreDump 否 Boolean 核心转存 false enableDnsCapture 否 Boolean 是否开启istio内置dns false enableElegantTermination 否 Boolean 是否开启优雅终止 false excludeIPRanges 否 String 不拦截对外访问的地址范围 127.0.0.1 excludeInboundPorts 否 String 设置端口使入口流量免于经过Sidecar代理 80,8080 excludeOutboundPorts 否 String 设置端口使出口流量免于经过Sidecar代理 80,8080 holdApplicationUntilProxyStarts 否 Boolean 生命周期管理 true includeIPRanges 否 String 拦截对外访问的地址范围 192.168.0.0/16 includeInboundPorts 否 String 设置端口使入口流量经过Sidecar代理 443 includeOutboundPorts 否 String 设置端口使出口流量经过Sidecar代理 443 interceptionMode 否 String Sidecar对入向流量的拦截策略，REDIRECT：默认的拦截策略，Sidecar将使用重定向方式拦截入向流量。TPROXY：透明代理拦截策略，Sidecar将以透明代理的方式拦截入向流量。NONE:不拦截流量 REDIRECT lifecycleStr 否 String Sidecar代理生命周期JSON字符串 logLevel 否 String 日志等级，如果不设置则为warning info outboundTrafficPolicy 否 String 出向流量策略。取值：ALLOWANY：允许访问所有外部服务。REGISTRYONLY：只能访问注册到网格内的服务。 ALLOWANY proxyMetadata 否 Map of String 环境变量 proxyStatsMatcher 否 Object 统计相关指标 CustomProxyConfigProxyStatsMatcher selector 否 Map of String workload的标签选择器 sidecarProxyInitResourceLimit 否 Object Sidecar代理初始化容器资源限制 ResourcesLimitReq sidecarProxyInitResourceRequest 否 Object Sidecar代理初始化容器资源最低申请额度 ResourcesRequestReq sidecarProxyResourceLimit 否 Object Sidecar代理容器资源限制 ResourcesLimitReq sidecarProxyResourceRequest 否 Object Sidecar代理容器资源最低申请额度 ResourcesRequestReq terminationDrainDuration 否 String Istio Proxy终止等待时长 5s

容器可写层存储空间限制 容器产生的数据大小限制为512 MB或10 GB（同函数高级配置项中的磁盘大小一致） 解释 容器可写层数据会随着容器被销毁而删除。如果需要持久化存储，可以考虑使用函数计算挂载NAS或者ZOS。可以在函数配置 >存储中配置。 镜像架构限制 目前函数计算仅支持AMD64镜像架构，因此，针对ARM架构的机器(比如搭载M系列芯片的Mac电脑），构建镜像时需要指定镜像的编译平台为Linux/Amd64。参考命令如 docker build platform linux/amd64 t $IMAGENAME .。 解释 构建完成后，可执行 docker inspect进行检查。如果返回内容包含 "Architecture" : "amd64"，则表示构建的镜像正确。 HTTP Server配置要求 容器镜像启动的服务必须要监听函数配置的监听端口。 函数配置的监听端口默认是9000。如果容器镜像使用默认的监听端口，那么实现的 HTTP Server监听的端口也必须是9000。 同理，如果监听端口是8080，那么实现的HTTP Server监听的端口也必须是8080。 公共请求头 容器镜像函数的公共请求头和自定义运行时函数的公共请求头一致。更多信息，请参见自定义运行时上下文。 日志格式 容器镜像函数中所有打印到标准输出（Stdout）的日志会自动收集到您指定的日志服务中。关于配置日志功能的具体操作，请参见配置日志。 容器镜像函数的日志格式与自定义运行时函数的日志格式一致。更多信息，请参见函数日志格式。