说明：本章节会介绍在关系型数据库服务的管理控制台创建实例的过程 操作场景 本节将介绍在关系型数据库服务的管理控制台创建实例的过程。 RDS for MySQL支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击“创建数据库实例”。 步骤 5 在“服务选型”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 计费模式： 包年/包月：若选择该模式，跳过步骤6，执行步骤7。 按需计费：若选择该模式，继续执行步骤6。 表1 基本信息 参数 描述 区域 租户当前所在区域，也可在页面左上角切换。 说明 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 实例名称 实例名称长度在4个到64个字符之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 MySQL。 数据库版本 不同区域所支持的数据库版本不同，请以实际界面为准。 选用MySQL数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 实例类型+可用区 l 主备：备机提高了实例的可靠性，创建主机的过程中，同步创建备机，备机创建成功后，用户不可见。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况： − 相同，主机和备机会部署在同一个可用区。 − 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 l 单机：只创建一个主实例。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区可在创建实例时选择，后期可修改。 表2 规格与存储 参数 描述 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后可进行规格变更。 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 l 普通I/O：磁盘类型SATA，最大吞吐量90MB/s l 高I/O：磁盘类型SAS，最大吞吐量150MB/s l 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储池 只有选择“专属存储”的用户才有此选项，是购买专属分布式存储服务时确定的独享的存储池，该存储池与其他池物理隔离，安全性高。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持40GB到4000GB，用户选择容量大小必须为10的整数倍。 表3 网络 参数 描述 虚拟私有云 关系型数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 内网安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，关系型数据库服务默认为您分配内网安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤，请参见《虚拟私有云操作指导》中的“IPv4/IPv6双栈管理”章节。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 表4 数据库配置 参数 描述 管理员帐户 数据库的登录名默认为root。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入~!@

本文主要介绍了关系数据库SQL Server版扩容类型分类。 关系数据库SQL Server版配置变更能力包含实例规格扩容、扩容磁盘、备份空间扩容、实例类型升级。 变更类型 说明 :: 实例规格扩容 实例规格包含内存和cpu规格扩容。 扩容磁盘 在扩容磁盘时，最小增加量为10 GB，最大不能超过当前实例规格的存储空间限制。 备份空间扩容 在备份空间扩容时，最小增加量为10 GB，最大不能超过当前实例规格的存储空间限制。 实例类型升级 支持单机版到主备版的实例类型升级。

原因 尊敬的客户： 为了进一步提升服务质量，为您提供更稳定、高效的数据库体验，文档数据库服务计划于2025年5月30日起逐步关闭II类型资源池新实例的订购入口。 影响 资源池说明： 上海7、北京5、南京3、石家庄20、西安5、郴州2等II类型资源池； 其他II类型资源池将于2025年5月15日后陆续下线，具体以实际页面展示为准。 用户及实例范围说明： 新用户将无法在以上II类型资源池订购实例； 存量实例 仍可进行实例续订、升级等操作，但无法新订购实例 。 建议 为享受更出色的数据管理能力，助力业务快速发展，建议您在同地域I类型资源池开通新实例并管理数据库。 同时，欢迎II类型资源池的存量用户将实例数据迁移至I类型资源池，以获得更优的服务体验。 II类型资源池（关闭订购入口） 同地域I类型资源池（建议开通或迁移） 上海7 上海36 北京5 华北2 南京3 华东1 石家庄20 华北2 西安5 西安7 郴州2 长沙42

性能项目 云数据库RDS 自购服务器搭建数据库服务 服务可用性 请参见《 需要购买额外设备，自建主从，自建RAID。 数据可靠性 请参见《 需要购买额外设备，自建主从，自建RAID。 系统安全性 防DDoS攻击，流量清洗；及时修复各种数据库安全漏洞。 需要购买昂贵的硬件设备和软件服务，需要自行检测和修复安全漏洞等。 数据库备份 支持自动备份，手动备份，自定义备份存储周期。 需要购买设备，并自行搭建设置和后期维护。 软硬件投入 无需投入软硬件成本，按需购买，弹性伸缩。 数据库服务器成本相对较高，对于Microsoft SQL Server需支付许可证费用。 系统托管 无需托管。 需要自购2U服务器设备，如需实现主从，购买两台服务器，并进行自建。 维护成本 无需运维。 需要投入大量人力成本，招聘专业的DBA进行维护。 部署扩容 弹性扩容，快速升级，按需开通。 需采购和原设备匹配的硬件，需托管机房的配合，需部署设备，整体周期较长。 资源利用率 按实际结算，100%利用率。 考虑峰值，资源利用率低。

错误码：100 错误码： 100 错误信息： 无法连接软件源。 解决方案：Linux软件漏洞修复需要连接软件源获取升级包，请排查服务器与软件源的网络是否联通。 检查命令如下： plaintext yum makecache执行结果有连接错误表明无法连接软件源，请根据执行结果检查/etc/yum.repos.d/下生效的repo文件 yum makecahe apt update执行结果有连接错误表明无法连接软件源，请根据执行结果检查/etc/apt/sources.list文件 apt update 错误码：102 错误码： 102 错误信息： 软件源上没有可用包, 软件名称: XXX，软件版本: XXX。 解决方案：软件源上软件包没有可以修复漏洞的升级包，无法人为干预。CTyunOS系统的机器出现该情况请提工单寻求技术支持人员协助分析。 查看升级包命令： plaintext yum查看升级包命令 yum list 例如：yum list curl 执行结果如下，表明curl当前版本是7.29.059.el7，可升级到7.29.059.el79.1 Installed Packages curl.x8664 7.29.059.el7 @anaconda Available Packages curl.x8664 7.29.059.el79.1 updates apt查看升级包命令 apt list a installed 例如：apt list a installed git 执行结果如下，表明git当前版本是1:2.17.11ubuntu0.8，可升级到1:2.17.11ubuntu0.18 Listing... Done git/bionicupdates,bionicsecurity 1:2.17.11ubuntu0.18 amd64 [upgradable from: 1:2.17.11ubuntu0.8] git/now 1:2.17.11ubuntu0.8 amd64 [installed,upgradable to: 1:2.17.11ubuntu0.18] git/bionic 1:2.17.01ubuntu1 amd64

参数 描述 规格类型 x86 CPU架构下，针对不同的应用场景，可以选择不同的规格类型。 通用型（s6）。通用型的规格实例，适合平时不会持续高压力使用CPU，但偶尔需要提高计算性能完成工作负载的场景，包括但不限于：轻量级的Web服务器、开发、测试环境以及中低性能数据库等。 增强型（c3）。搭配高性能网络，综合性能及稳定性全面提升，满足对业务稳定性及计算性能要求较高的企业级应用诉求。 增强Ⅱ型（c6）。多项技术优化，计算性能强劲稳定，配套25GE智能高速网卡，提供超高网络带宽和PPS收发包能力。是高负载场景首选，对于计算与网络有更高性能要求的网站和Web应用、通用数据库及缓存服务器，中重载企业应用等更加适用。 mongos性能规格 mongos节点的CPU和内存，请参见 mongos数量 数量可选范围为2～32，创建成功后，可进行节点扩容。 mongos参数组 mongos参数组中的参数应用于mongos节点。实例创建成功后，可以变更节点的参数组，对于用户创建的参数组，支持修改参数组中参数，以确保文档数据库服务发挥出最优性能。 更多关于参数组的信息，请参见参数组设置。 shard性能规格 shard节点的CPU和内存，请参见 shard存储空间 存储空间最小10GB，最大2000GB，用户选择大小必须为10的整数倍。创建成功后可进行扩容。 shard数量 shard存储用户的数据，用户不能直接连接shard。 数量可选范围为2～32，创建成功后，可进行节点扩容。 shard参数组 shard参数组中的参数应用于shard节点。实例创建成功后，可以变更节点的参数组，对于用户创建的参数组，支持修改参数组中参数，以确保文档数据库服务发挥出最优性能。 config性能规格 config存储实例的配置信息，请参见 config存储空间 存储空间为20GB，创建成功后不可进行扩容。 config参数组 config参数组中的参数应用于config节点。实例创建成功后，可以变更节点的参数组，对于用户创建的参数组，支持修改参数组中参数，以确保文档数据库服务发挥出最优性能。

本文为知识库问答的产品优势介绍。 知识库问答支持自然语言检索与精准问答，通过多轮对话检索引擎精准解析用户需求，智能匹配最佳答案并推送关联知识片段，显著提升信息检索效率，实现知识管理效能的升级。 以下为该产品的主要亮点与优势。 端到端的 RAG 服务 提供开箱即用的 RAG 服务，降低大模型落地使用门槛。 通用 RAG 基础上，增加了查询改写、分解、以及生成结果后验等优化功能。 智能文档解析引擎 全格式适配能力： 原生支持多种办公文档格式（如 docx、pdf、pptx 等），通过动态加载器实现格式无关性的解析。 复杂场景优化： 独创多层感知架构，能够有效应对跨页表格、复杂 PPT 版式及影印文档的解析需求。 结构化转换引擎：采用 20+ 智能切片策略，实现非结构化数据到结构化数据的自动化转换，极大程度提升解析准确率。 动态对话系统 通过上下文感知技术，实现多轮对话中的语义改写，提升对话的自然性与流畅性。 精准定位技术支持 PPT 单页知识引用与文档表格的知识引用，确保信息传递的准确性。

响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码，成功：200，失败：500 200 error String 错误码，请求成功时，不返回该字段 EMR400000 message String 用来简述当前接口调用状态以及必要提示信息 请求成功 returnObj Object 返回结果 表 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 orderNo String 订单号 20221018153152727265 枚举参数 无 请求示例 请求url 请求头header 无 请求体body 数据湖请求示例： { "clustername": "sjfwtest1", "clustertype": "datalake", "components": "OpenLDAP,Kerberos,ZooKeeper,HDFS,YARN,Hive,Tez,Spark,Hudi,Iceberg,HBase,Trino,Kyuubi,Doris,Ranger,Kafka,Knox,Flink,JeekeFS,Flume", "regionid": "bb9fdb42056f11eda1610242ac110002", "availablezoneid": "cnhuadong1jsnj3Apublicctcloud", "vpcId": "vpcn83zi9vuo0", "subnetid": "subnet8hzbyype9r", "securitygroupsid": "sgzfh4pgydhe", "enableipv6": false, "noderootpassword": "Juhwqe7h!21Da.", "ostype": "CTyun", "hosttype": "ecs", "cputype": "X86", "spectype": 1, "dpstype": null, "chargeinfo": { "chargemode": "prePaid", "periodtype": "month", "periodnum": 1, "isautorenew": false }, "datasourceconfigs": [{ "type": "Hive", "properties": [{ "name": "DBHost", "value": "192.168.1.100" }, { "name": "DBPort", "value": "3306" }, { "name": "DBName", "value": "hive1" }, { "name": "DBUser", "value": "hive" }, { "name": "DBPassword", "value": "A121daDAqw2A." } ] }, { "type": "Ranger", "properties": [{ "name": "DBHost", "value": "192.168.1.100" }, { "name": "DBPort", "value": "3306" }, { "name": "DBName", "value": "ranger1" }, { "name": "DBUser", "value": "ranger" }, { "name": "DBPassword", "value": "A121daDAqw2A." } ] } ], "nodedetails": [{ "groupname": "master", "nodenum": 3, "nodesize": "physical.s5.2xlarge1", "affinitygroup": true, "diskspecifications": [{ "diskfunction": "SYSTEM", "disktype": "cloud", "iotype": "SATA", "disksize": 100, "disknum": 1 }, { "diskfunction": "DATA", "disktype": "cloud", "iotype": "SATA", "disksize": 80, "disknum": 2 } ] }, { "groupname": "core1", "nodenum": 3, "nodesize": "physical.s5.2xlarge1", "affinitygroup": true, "diskspecifications": [{ "diskfunction": "SYSTEM", "disktype": "cloud", "iotype": "SATA", "disksize": 100, "disknum": 1 }, { "diskfunction": "DATA", "disktype": "cloud", "iotype": "SATA", "disksize": 80, "disknum": 2 } ] }, { "groupname": "task1", "nodenum": 1, "nodesize": "physical.s5.2xlarge4", "affinitygroup": true, "diskspecifications": [{ "diskfunction": "SYSTEM", "disktype": "local", "raiduuid": "rwtzluqacgzzxgunnabdkpnpjew3d" }, { "diskfunction": "DATA", "disktype": "local", "raiduuid": "rqytwf9r5h0yn9x4evjkyr0n1cwyb" } ] } ] }

示例： 请求路径： 示例1： 请求： 返回结果： json { "code": 100000, "message": "success", "domain": "aaa.ctyun.cn", "productcode": "001", "areascope": 1, "httpsstatus": "off", "httpsbasic": { "httpsforce": "off", "forcestatus": "302", "originprotocol": "http", "httpforce": "off" }, "recordnum": "京ICP证030173号1", "recordstatus": "true", "insertdate": "1657177732000", "statusdate": "0", "cname": "aaa.ctyun.cn.ctdns.cn", "status": 4, "ipv6enable": 2, "originhosttype": 0, "basicconf": { "follow302": 0, "usehttp2": 0, "httporiginport": 80, "httpsoriginport": 8080 }, "filetypettl": [ { "mode": 0, "filetype": "php,ashx,aspx,asp,jsp,do", "cachetype": 3, "priority": 10, "ttl": 0, "cachewithargs": 0 } ], "origin": [ { "protocol": "http", "role": "master", "port": 80, "origin": "1.1.1.1", "weight": 10 }, { "role": "master", "port": 80, "origin": "test.hnoss.xstore.ctyun.cn", "weight": 10 } ], "xosoriginis": 1, "xosorigin": { "origin": "test.hnoss.xstore.ctyun.cn", "ak": "akxxx", "sk": "skxxx" }, "entrylimits": [ { "id": "123abc", "limitelement": "entrylimits", "frequencythreshold": 0, "frequencytimerange": 3600, "forbiddenduration": 1000, "forbiddendurationunit": "s", "forbiddencode": 0, "whiteipcontrol": [ "1.1.1.11", "58.14.0.0/15", "240e:94a:4001::3007" ], "priority": 100 }, { "id": "456abc", "limitelement": "entrylimits", "frequencythreshold": 1000, "frequencytimerange": 3000, "forbiddenduration": 1000, "forbiddendurationunit": "millis", "forbiddencode": 123, "whiteipcontrol": [ "192.168.1.1", "58.14.0.0/15", "240e:94a:4001::3007" ], "priority": 1 } ], "entrylimitscondition": { "123abc": [ { "mode": 1, "content": "/test1,/test2" } ], "456abc": [ { "mode": 4, "content": "/test3$,/test4" } ] }, "gzip": { "id": "gzip", "minlength": "1K", "filetype": "tar", "type": 1 }, "gzipcondition": { "gzip": [ { "mode": 1, "content": "?/test1,/test2" } ] }, "cusgzip": [ { "id": "123abc", "minlength": "1K", "filetype": "tar", "type": 1, "httpversion": "1.1", "vary": "on", "maxlength": "1M" }, { "id": "123abcd", "minlength": "1M", "filetype": "zip", "type": 0, "httpversion": "1.0", "vary": "off", "maxlength": "1000M" } ], "cusgzipcondition": { "123abc": [ { "mode": 1, "content": "/test1,/test2" } ], "123abcd": [ { "mode": 4, "content": "/test3,/test4" } ] }, "cachekeyargs": [ { "id": "cachekeyargs1234561231", "ignore": 0, "iswithargs": 1, "mode": 1, "args": " ", "priority": 10, "ignoreargs": "xxx", "subject": "xxx", "pattern": "xxx", "replace": "xxx" }, { "id": "cachekeyargs123456abd@12" } ], "cachekeyargscondition": { "cachekeyargs123456abd@12": [ { "mode": 2, "content": "/" } ] } } 错误码请参考：参数code和message含义

消息创建时间在哪设置？ 消息创建时间是在生产消息时由生产客户端设置。 RabbitMQ是否支持跨Region部署？ 不支持跨Region部署。 如何清空队列数据？ （1）进入“分布式消息服务RabbitMQ”控制中心； （2）在“实例列表”页面点击对应的RabbitMQ实例； （3）在“队列管理”页面点击要清空的队列； （4）在“清除消息”页面点击清空队列。 RabbitMQ支持升级CPU和内存吗？ RabbitMQ支持扩容规格。 如何设置Message ID？ 如需追踪和识别消息，可以在分布式消息服务RabbitMQ的Producer客户端设置Message ID属性，为每条消息设置唯一标识符。 在分布式消息服务RabbitMQ的Producer客户端设置Basic.Properties的messageid属性。示例代码如下： AMQP.BasicProperties props newAMQP.BasicProperties.Builder().messageId("messageid").build(); channel.basicPublish("ExchangeName","RoutingKey",true, props,("消息发送Body").getBytes()); Message ID（消息标识符）是消息的可选属性，类型为String。Message ID在业务上通常被设置为唯一，适用于追踪和识别销售单、工单等需要保证消息唯一的场景。分布式消息服务RabbitMQ服务端不会对消息进行幂等处理。如需实现消息幂等，即如果消息重试多次，消费者端对该重复消息消费多次与消费一次的结果是相同的，并且多次消费没有对系统产生副作用，在为每条消息设置唯一Message ID的基础上，还需要在分布式消息服务RabbitMQ的Consumer客户端对消息进行幂等处理。

应用场景 本文主要介绍如何使用Linux操作系统云主机手工安装宝塔面板。宝塔面板是一款服务器管理软件，支持Windows和Linux系统，可以通过Web端轻松管理服务器，提升运维效率。例如：创建管理网站、FTP、数据库，拥有可视化文件管理器、可视化软件管理器，以及可视化CPU、内存、流量监控图表、计划任务等功能。同时，宝塔面板还提供了简单直观的用户界面，使得初学者也能够轻松地管理自己的服务器。本文以CentOS 7.2 64位操作系统为例，介绍安装宝塔Linux面板过程。 前提条件 云主机资源配置和操作系统要求： 云主机规格最低1核1G（软件要求内存最低512MB，推荐768MB以上，纯面板约占系统60MB内存）。 云硬盘：任意空间大小（软件要求300M以上可用硬盘空间，纯面板约占20M磁盘空间）。 架构：支持x8664架构（ARM架构不完整兼容，面板环境安装慢，部分软件可能无法安装，请谨慎尝试）。 宝塔Linux6.0版本基于Centos7开发，建议使用Centos 7.x系统。 云主机全新且环境干净，未安装过Apache、Nginx、php、MySQL。 安装宝塔面板操作流程 Linux实例手工安装宝塔面板的具体操作步骤如下： 1. 安装宝塔面板。 2. 修改云主机所在安全组规则。 3. 登录宝塔面板。

本节介绍态势感知相关概念。 安全风险 安全风险是对资产安全状况的综合评估，反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值，便于用户理解目前资产的安全状况，数值大小并不代表资产的绝对安全或危险，仅作为资产遭受攻击严重程度的参考。 威胁告警 广义的威胁告警是指由于自然因素、人为因素或软硬件本身的原因，对信息系统造成危害的事件，或对社会造成负面影响的威胁。对于态势感知来讲，威胁告警泛指根据大数据分析检测出的，对用户资产产生威胁的安全事件。 云服务基线 云服务基线是应用在云场景下，帮助用户检测云产品上存在的风险配置项，并提供修复建议。 攻击类型 暴力破解 暴力破解法是一种密码分析方法，基本原理是在一定条件范围内对所有可能结果进行逐一验证，直到找出符合条件的结果为止。攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制。 Web攻击 Web攻击是针对用户上网行为或网站服务器等设备进行攻击的行为。常见的Web攻击方式包括SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击等。

云应用引擎创建完成后，还需不断迭代升级，如果升级的版本出现问题，需要回退至所需的历史版本。 说明 系统仅保留已发布成功最新的至多十个历史版本配置信息 功能入口 1. 在 CAE 控制台左侧导航栏选择应用管理 > 应用列表。 2. 在应用列表 页面，单击目标应用名称，进入应用基本信息页。 3. 在基础信息 页面，单击回退历史版本。 4. 在回退历史版本 页面，选择回退历史版本 ，并配置升级方式。 5. 单击确定，即可进行回退操作。

本章节介绍数据安全相关实践。 媒体存储深知数据安全对用户的重要性。在媒体存储中，我们致力于为您提供可靠、安全的数据存储解决方案，并积极推动数据安全的最佳实践。 我们将通过本文为您介绍媒体存储数据安全的最佳实践，帮助您保护和管理存储在我们平台上的数据。我们将分享一系列有效的措施，旨在确保数据的机密性、完整性和可用性。 我们将从访问控制，数据加密，数据备份和灾难恢复，数据完整性检查，安全审计和监控等几个方面，介绍天翼云媒体存储的数据安全实践。 访问控制 正确使用天翼云媒体存储为您提供的访问控制能力，通过细粒度的访问控制策略，可以有效保护您的数据不被泄露和破坏。 建议不同管理员分别使用不同子账号，通过子账号来控制不同管理员的资源访问和管理权限，避免单一账号访问权限过高，导致数据泄露和误操作而产生的风险。 主账号管理员可以结合自己的业务和实际需求，分别创建不同的子用户，然后对子用户授权不同的权限。这样做可以更好的对不同管理员进行权限隔离和管理。详情参考：主子账号。 对临时用户，建议使用STS发放最小权限的临时访问凭证，让您的资源访问更加安全。临时访问凭证无需透露您的长期密钥，具有一定的时间有效期限，所以针对某些临时需要访问您数据的业务场景或者临时用户，推荐您使用STS发放最小权限临时访问凭证，降低潜在的攻击面和数据泄露风险。同时定期审查STS角色的权限设置，确保角色权限与用户或服务的实际需求保持一致。如果用户或服务不再需要特定的权限，应立即撤销相应的角色访问权限。对于特权角色，进行更频繁的审查和严格的权限管理。详情参考：STS角色管理。 利用好桶的权限配置功能，有效保护您的数据不被异常访问和操作。天翼云媒体存储提供了存储空间访问策略（Bucket Policy）、存储空间访问控制列表（Bucket ACL）和对象访问控制列表（Object ACL）等方式，通过它，您可以限制其他用户访问您数据的操作权限，避免您的数据被破坏和泄露。详情参考：访问权限概述。 利用好防盗链配置，通过可以设置黑白名单，限制资源的可见性，能有效避免资源被盗用的风险。天翼云媒体存储提供了防盗链机制，可以防止其他网站或未经授权的第三方使用您的存储资源，防止资源盗链和滥用。只有经过授权的来源网站才能访问和显示您的资源，提高资源的安全性和保密性。详情参考：防盗链。 建议将需要公共读写的对象和私有资源对象进行分桶存储，以便简化您的访问控制策略。推荐将公开访问的对象数据使用公有桶存储，私有资源对象采用私有桶存储。同时请切勿将敏感数据放入公共桶存储，将私有桶错授权为公共读写权限，这样容易造成数据泄露风险。详情参考：访问权限ACL。 数据对象临时的访问，建议使用临时URL访问数据对象。为了有效避免数据泄露的风险性，针对数据对象的临时访问场景，建议您生成一个临时的URL给访问者，同时在生成临时URL的时候，设置URL的有效期，过期自动失效。详情参考：访问方式。 利用好合规保留功能，可以降低您数据被误删和篡改的可能。对于一些私密敏感数据，一经上传，就需要对其进行锁定，防止被他人误删除或者篡改。天翼云媒体存储提供了合规保留功能，开启合规保留后，处于合规保留期的对象均“不可删除、不可篡改”。详情参考：合规保留。

功能 云容器引擎 自建Kubernetes 集群管理 通过控制台一键创建集群，支持创建跨AZ高可用的集群 提供容器优化的OS镜像，提供稳定测试和安全加固的Kubernetes和Docker版本 支持多集群管理，支持跨AZ高可用集群，支持集群联邦管理 用户手动部署集群并自行开发 用户自行探索和开发 应用管理 支持灰度发布，支持蓝绿发布 支持应用监控、应用弹性伸缩 内置模板市场，支持Helm应用一键部署；支持服务目录，简化云服务集成 用户自行探索和开发 网络管理 提供针对天翼云优化的高性能VPC/ENI网络插件，性能优于普通网络方案 支持容器访问策略和容器带宽限制 需要挑选社区网络插件进行适配 用户自行探索和开发 存储管理 支持天翼云盘挂载，提供标准的CSI、FlexVolume驱动 支持存储卷自动创建、迁移 用户自行探索和开发 运维管理 支持Kubernetes新版本一键升级，支持集群组件生命周期管理 支持集群手动和自动弹性伸缩 提供高性能日志采集Agent，自动实现日志服务集成 用户手动运维控制面 服务保障 天翼云专业容器团队作为技术支持，为集群提供及时的稳定性和安全响应 需要组建专门团队 安全管理 支持镜像扫描/镜像签名 支持容器运行时安全检测 用户自行构建安全能力

本页介绍了网络安全。 文档数据库服务采取了哪些措施来确保数据安全 文档数据库服务是虚拟私有云，从而确保实例与其它业务实现网络安全隔离。 为什么在虚拟私有云中使用文档数据库服务 安全性：在虚拟私有云中部署文档数据库服务可以提供更高的安全性。VPC 提供了网络隔离和访问控制，可以限制数据库实例只对特定的私有网络或子网可见，从而降低了公网暴露的风险。 性能：在虚拟私有云中部署文档数据库服务可以获得更好的性能。VPC 提供了低延迟的网络连接，使得应用程序可以快速地与数据库实例进行通信，从而提高了响应速度和吞吐量。 隔离：使用虚拟私有云可以将文档数据库服务实例隔离在私有网络中，这样其他云资源或虚拟机不会直接访问数据库，避免了资源竞争和干扰，提高了数据库的稳定性和可靠性。 在虚拟私有云中运行文档数据库服务时，如何确保其安全性 网络隔离将文档数据库服务部署在私有网络中，限制数据库实例只对特定的私有网络或子网可见，避免公网暴露，减少外部攻击的风险。 文档数据库服务是否支持选择创建IPV6子网 目前不支持选择IPV6网段的子网，建议您在使用时创建并选择IPV4网段的子网。 怎样在Windows和Linux操作系统中导入根证书 导入Windows操作系统 登陆文档数据库服务控制台，点击实例管理，点击需要证书的实例id进入基本信息，点击下载证书即可。

根据《天翼云网站服务条款》、《云平台安全规则》等天翼云规范性文件要求，若您使用天翼云产品发布、存储、传播以下信息和内容，天翼云除有权根据相关服务条款采取通知限期整改、屏蔽信息、中止服务、终止服务的措施，有权限制您账户如登录、新购产品或服务、续费、支付、提现等部分或全部功能，并有权限限制您同一主体认证新账号、冻结同一账号/主体下的部分/全部资源。 违规类型说明 安全违规信息类型说明，请参见：《安全违规信息类型说明》 安全违规行为类型说明，请参见：《安全违规行为类型说明》 违规管控分级说明 说明 一般违规行为、严重违规行为、特别严重行为将根据监管部门要求、同一用户违规次数、是否配合监管部门/天翼云的安全措施要求、是否可能导致大量违规信息/行为的产生、违规信息是否造成大量传播、是否情节严重、是否造成严重后果等，由天翼云基于一般常识综合判定。 违规信息类 各违规类型的通用违规管控规则： 违规类型 对应的违规管控 一般违规行为 根据产品分类，执行对应的违规管控 严重违规行为 封禁违规客户账号及账号下的全部资源、封禁实名 特别严重违规行为 封禁同一主体证件下的全部账号及资源、封禁实名 各产品一般违规行为的违规管控规则： 产品分类 一般违规行为的违规管控 计算产品 (ECS/物理云主机/GPU云主机/轻量化云主机等） 包括但不限于：通知限期整改、阻断域名、实例关停、冻结违规资源 网络产品 (SLB/弹性公网IP等) 包括但不限于：通知限期整改、阻断域名、网络实例停用、冻结违规资源 对象存储（ZOS、OOS、OBS、媒体存储） 包括但不限于：通知限期整改、文件冻结、文件限制访问、冻结bucket、冻结违规资源 CDN 包括但不限于：通知限期整改、停止加速、加速域名下线、冻结违规资源 域名 包括但不限于：通知限期整改、域名暂停解析、域名暂停解析并禁止转移、禁用域名信息模板、冻结违规资源 云解析 DNS 包括但不限于：通知整改、锁定解析记录、域名暂停解析、冻结违规资源 智能边缘云 包括但不限于：通知限期整改、阻断url/域名、节点实例关停、冻结违规资源 DDoS 防护 包括但不限于：通知限期整改、停止防护域名的流量转发、停止防护实例的流量转发、冻结违规资源 Web应用防火墙 包括但不限于：通知限期整改、阻断url/域名、冻结违规资源 其他产品 包括但不限于：冻结违规资源

本章介绍如何卸载Agent。 提供一键卸载和手动本地卸载两种方式。 操作场景 Agent包选择错误，需要卸载Agent后重新安装。 安装命令复制错误（如在32位的主机中安装64位的Agent），需要卸载Agent后重新安装。 主机安全升级Agent失败，需要排查执行Agent卸载。 前提条件 云服务器的“Agent状态”为“在线”。 控制台一键卸载Agent 用户可以通过主机安全控制台直接卸载Agent，方便用户操作。 说明 卸载Agent后主机安全服务将无法为该服务器提供任何防护。 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航中，选择“安装与配置”，进入“安装与配置”界面。 5、选择“Agent管理 > Agent在线”，在需要卸载Agent的云服务器所在行的“操作”列，单击“卸载Agent”。 6、在弹出的卸载Agent对话框中，单击“确认”。 云服务列表“Agent状态”显示为“离线”，卸载Agent成功。 卸载Agent成功 主机本地卸载 用户在不需要使用主机安全服务或需要重新安装Agent时，可从本地卸载版本Agent。 说明 卸载Agent后主机安全服务将无法为该服务器提供任何防护。

本章节介绍Redis节点主机宕机故障演练。 背景介绍 Redis 高可用性依赖主备切换机制，以应对主节点突发故障。当承载主节点的物理机或虚拟机宕机（如硬件故障、电源中断）时，服务能否快速恢复取决于备用节点能否迅速升级为新主节点。本演练模拟主机宕机场景，检验 Redis 实例的自动高可用切换能力，并验证客户端应用在灾难情况下的韧性。 基本原理 通过关闭节点主机，模拟节点宕机。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式缓存服务Redis版 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标Redis 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式缓存服务Redis版。 添加实例 ：单击添加实例 ，勾选上一步中添加的Redis实例。 添加故障动作 ：单击立即添加 ，在列表中选择主机宕机动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点 ：注入故障的目标节点（主节点或备节点）。

虚拟私有云功能支持管理员自主配置和管理云电脑的虚拟网络环境。 操作场景 虚拟私有云可以为您的桌面构建隔离的，管理员可自主配置和管理的虚拟网络环境。AI云电脑如果需要上网，需配置虚拟私有云（VPC）、业务子网及上网带宽。VPC可在开通电脑服务时同步创建，也可单独管理。 创建虚拟私有云 1.进入“AI云电脑（政企版）”管理控制台； 2.单击“网络管理”，选择“虚拟私有云”，进入虚拟私有云管理页面； 3.点击“创建虚拟私有云”按钮； 4.配置虚拟私有云的“网段”、“名称”、“子网名称”、“子网网络地址”等信息； 5.确认配置信息后，点击“立即创建”，即完成电脑虚拟私有云及子网的创建。 创建IPv6桌面 当虚拟私有云开启了IPv6的功能后，创建桌面在网络模块配置时，选择开启IPv6功能的子网后，桌面则同样可以选择是否开启IPv6，具体操作如下。 1.在创建虚拟私有云时，子网 IPv6网段选择“开启IPv6”； 2.创建桌面时，网络模块选择绑定开启IPv6的业务子网，然后选择“开启IPv6”； 3.桌面其他信息完成配置后，点击“开通桌面”，即完成IPv6的桌面创建。

我能否自己安装或者升级操作系统？ 可以，GPU云主机支持用户重装操作系统。您可以重装至其他公有镜像，也可上传私有镜像，重装至目标私有镜像。详细请参见重装操作系统。 为什么Windows操作系统不支持DirectX等功能？ 由于Windows自带的远程连接（RDP）协议本身并不支持DirectX、OpenGL等相关应用。因此，您需要自行安装TightVNC服务和客户端，或其它支持PCOIP、XenDesktop HDX 3D等协议的远程连接客户端。 如何在GPU云主机和普通弹性云主机间传输数据？ GPU云主机除GPU加速能力外，与普通弹性云主机使用体验一致。同一安全组内的GPU云主机和弹性云主机之间默认内网互通，无需特别设置。 普通弹性云主机实例规格族是否支持升级或变更为GPU云主机实例规格族？ 目前不支持该功能。如果您需要使用GPU则请购买GPU云主机或GPU物理机。 如何查询GPU显卡的详细信息？ 如果您的GPU云主机安装了Linux操作系统，您可以执行命令nvidiasmi，查询GPU显卡的详细信息。 如果您的GPU云主机安装了Windows操作系统，您可以在设备管理器中查看GPU显卡的详细信息。 为什么购买GPU云主机后，执行命令nvidiasmi找不到GPU显卡？ 当您执行命令nvidiasmi 无法找到GPU显卡时，通常是由于您的未成功安装NVIDIA驱动。请根据您所购买的GPU云主机的规格选择对应的操作指引来安装驱动，请参见NVIDIA驱动安装指引。

本文介绍如何卸载ECS客户端。 操作场景 云备份服务需要搭配备份客户端一同使用，当不再需要备份客户端时，您可以卸载已安装的客户端。 前提条件 已安装客户端且该客户端不在使用中。 操作步骤 ECS客户端卸载 1. 登录控制中心。 2. 在控制中心左上角点击，选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。 4. 在云备份页面，单击左侧导航栏“ECS文件备份”页签，您可进入ECS文件备份页面。 5. 单击“ECS资源”，进入ECS资源页面，您可查看当前地域下所有ECS资源的备份客户端等信息。 6. 单击待卸载客户端的ECS所在行“操作>更多>卸载客户端”，进入“卸载客户端”弹窗。 7. 确认信息无误后，单击“确定”，系统将自动卸载该ECS中的备份客户端。 8. 在ECS资源页面，查看该ECS资源的备份客户端状态，由“已激活”变为“未安装”，表示客户端卸载成功。 注意 若您想卸载v1.0系列旧版本客户端（如v1.4、v1.5）后再安装新版本的v2.0系列客户端（如v2.0、v2.1），由卸载前的v1.0系列客户端产生的备份副本将只能恢复到安装有v1.0系列客户端的ECS，创建恢复任务时选择“恢复到原目录”将会恢复失败。针对此场景，建议您直接进行备份客户端升级操作，升级后的客户端可同时支持v1.0系列和v2.0系列客户端产生的备份副本的“恢复到原目录”能力。

本文解答源站域名是否可以和加速域名一致的问题。 源站域名和CDN加速域名不能一致。原因是：用户访问加速域名的网站资源，当CDN节点上没有缓存对应的内容时，CDN节点会回到源站获取，然后再返回给用户。如果源站域名与加速域名一致，将会造成访问请求回环到CDN节点，导致CDN节点无法拉取到正常内容。 天翼云CDN加速产品支持将IP或域名设置为源站，如设置的源站为域名形式，请确保源站域名非加速域名。

名称 类型 描述 system.status String HBlock服务状态： Upgrading：升级中。 Uninstalling：卸载中。 Working：运行中。 system.licenseStatus String 软件许可证状态： Expired：软件许可证已过期。 Effective：软件许可证已生效。 Invalid：软件许可证无效。 None：还未导入软件许可证。 server.status Object 服务器的状态，详见“ 表1 响应参数server.status说明 ”。 disk.status Object 磁盘的状态（仅单机版支持），详见“ 表2 响应参数disk.status说明（仅单机版支持） ”。 disk.usage Object HBlock数据目录使用情况，详见“ 表3 响应参数disk.usage说明（仅单机版支持） ”。 lun.status Object 卷状态，详见“ 表4 响应参数lun.status说明 ”。 lun.data Object 卷数据信息，详见“ 表5 响应参数lun.data说明 ”。 storagePool.number Integer 存储池个数（仅集群版支持）。 storagePool.basePool Sring 基础存储池名称（仅集群版支持）。 storagePool.basePoolDetail Object 基础存储池详情（仅集群版支持），详见“ 表6 响应参数storagePool.basePoolDetail说明（仅集群版支持） ”。

本页为您介绍WPS云文档天翼云版产品变更模式 该产品支持升级，可在甄选商城进行升级操作。

本节介绍如何购买网页防篡改配额。 网页防篡改功能为付费的增值服务，需要单独购买。 首次使用网页防篡改功能时，请按如下步骤开通网页防篡改功能。 操作步骤 1. 登录网页防篡改（原生版）控制台。 2. 在左侧导航栏，选择“网页防篡改 > 防护状态”，在页面右上角单击“购买配额”。 首次使用网页防篡改功能时，进入如下页面，单击“立即升级”。 3. 在订购页面配置购买数量和购买时长。 配置“购买数量”：购买数量需大于等于1。 支持开启“自动续订”，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为1个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 选择“购买时长”，可拖动时间轴设置购买时长。 4. 确认配置参数和配置费用，阅读《天翼云网页防篡改（原生版）服务协议》，并勾选“我已阅读并同意相关协议《天翼云网页防篡改（原生版）服务协议》“，单击“立即购买”。 5. 进入“付款”页面，完成付款。 购买完成后，即可进入防护配额页面，查看已购买的配额。

本章主要介绍翼MapReduce的备份NameNode数据功能。 操作场景 为了确保NameNode日常数据安全，或者系统管理员需要对NameNode进行重大操作（如升级或迁移等），需要对NameNode数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 系统管理员可以通过FusionInsight Manager创建备份NameNode任务。支持创建任务自动或手动备份数据。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“ 数据存放路径 /LocalBackup/”是否有充足的空间。 如果数据要备份至NAS中，需要提前部署好NAS服务端。 如果数据要备份至OBS中，需要当前集群已对接OBS，并具有访问OBS的权限。 操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 2.单击“创建”。 3.在“任务名称”填写备份任务的名称。 4.在“备份对象”选择待操作的集群。 5.在“备份类型”选择备份任务的运行类型。 “周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 周期备份参数 参数名称 描述 开始时间 任务第一次启动的时间。 周期 任务下次启动，与上一次运行的时间间隔，支持按“小时”或按“天”。 备份策略 仅支持“每次都全量备份”。 说明 备份Manager数据和组件元数据时不支持增量备份，仅支持“每次都全量备份”。 如果“路径类型”要使用NFS或CIFS，不能使用增量备份功能。因为在NFS或CIFS备份时使用增量备份时，每次增量备份都会刷新最近一次全量备份的备份数据，所以不会产生新的恢复点。 6.在“备份配置”，勾选“NameNode”。 7.在“NameNode”的“路径类型”，选择一个备份目录的类型。 备份目录支持以下类型： “LocalDir”：表示将备份文件保存在主管理节点的本地磁盘上，备管理节点将自动同步备份文件。默认保存目录为“ 数据存放路径 /LocalBackup/”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “RemoteHDFS”：表示将备份文件保存在备集群的HDFS目录。选择此参数值，还需要配置以下参数： “目的端NameService名称”：填写备集群的NameService名称。可以输入集群内置的远端集群的NameService名称（haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4），也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “目的端NameNode IP地址”：备集群NameNode的业务平面IP地址。 “目的端路径”：备份文件存放的位置。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “队列名称”：填写备份任务执行时使用的YARN队列的名称。需和集群中已存在且状态正常的队列名称相同。 “NFS”：表示将备份文件通过NFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “CIFS”：表示将备份文件通过CIFS协议保存在NAS中。选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “SFTP”：表示将备份文件通过SFTP协议保存到服务器中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写备份数据的服务器IP地址。 “端口号”：填写SFTP协议连接备份服务器使用的端口号，默认值为“22”。 “用户名”：填写使用SFTP协议连接服务器时的用户名。 “密码”：填写使用SFTP协议连接服务器时的密码。 “服务器共享路径”：SFTP服务器上的备份路径。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “OBS”：表示将备份文件保存在OBS中。 选择此参数值，还需要配置以下参数： “目的端路径”：填写保存备份数据的OBS目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 说明 MRS 3.1.0及之后版本才支持备份数据到OBS。 8.单击“确定”保存。 9.在备份任务列表中已创建任务的“操作”列，选择“更多 > 即时备份”，开始执行备份任务。 备份任务执行完成后，系统自动在备份目录中为每个备份任务创建子目录，目录名为 “备份任务名任务创建时间 ”，用于保存数据源的备份文件。 备份文件的名称为“ 版本号数据源任务执行时间 .tar.gz”。

系统角色 角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 IAM中预置的CCE系统角色为 CCEAdministrator ，给用户组授予该系统角色权限时，必须同时勾选该角色依赖的其他策略才会生效，例如Tenant Guest、Server Administrator、ELB Administrator、OBS Administrator、SFS Administrator、SWR Admin、APM FullAccess。 系统策略 IAM中预置的CCE系统策略当前包含CCEFullAccess 和CCEReadOnlyAccess两种策略： CCE FullAccess ：系统策略，CCE服务集群相关资源的普通操作权限，不包括集群（启用Kubernetes RBAC鉴权）的命名空间权限，不包括委托授权、生成集群证书等管理员角色的特权操作。 CCE ReadOnlyAccess： 系统策略，CCE服务集群相关资源的只读权限，不包括集群（启用Kubernetes RBAC鉴权）的命名空间权限。 表 CCE FullAccess策略主要权限 操作（Action） Action详情 说明 cce:: cce:cluster:create 创建集群 cce:: cce:cluster:delete 删除集群 cce:: cce:cluster:update 更新集群，如后续允许集群支持RBAC，调度参数更新等 cce:: cce:cluster:upgrade 升级集群 cce:: cce:cluster:start 唤醒集群 cce:: cce:cluster:stop 休眠集群 cce:: cce:cluster:list 查询集群列表 cce:: cce:cluster:get 查询集群详情 cce:: cce:node:create 添加节点 cce:: cce:node:delete 删除节点/批量删除节点 cce:: cce:node:update 更新节点，如更新节点名称 cce:: cce:node:get 查询节点详情 cce:: cce:node:list 查询节点列表 cce:: cce:nodepool:create 创建节点池 cce:: cce:nodepool:delete 删除节点池 cce:: cce:nodepool:update 更新节点池信息 cce:: cce:nodepool:get 获取节点池 cce:: cce:nodepool:list 列出集群的所有节点池 cce:: cce:release:create 创建模板实例 cce:: cce:release:delete 删除模板实例 cce:: cce:release:update 更新升级模板实例 cce:: cce:job:list 查询任务列表（集群层面的job） cce:: cce:job:delete 删除任务/批量删除任务（集群层面的job） cce:: cce:job:get 查询任务详情（集群层面的job） cce:: cce:storage:create 创建存储 cce:: cce:storage:delete 删除存储 cce:: cce:storage:list 列出所有磁盘 cce:: cce:addonInstance:create 创建插件实例 cce:: cce:addonInstance:delete 删除插件实例 cce:: cce:addonInstance:update 更新升级插件实例 cce:: cce:addonInstance:get 获取插件实例 cce:: cce:addonTemplate:get 获取插件模板 cce:: cce:addonInstance:list 列出所有插件实例 cce:: cce:addonTemplate:list 列出所有插件模板 cce:: cce:chart:list 列出所有模板 cce:: cce:chart:delete 删除摸板 cce:: cce:chart:update 更新模板 cce:: cce:chart:upload 上传模板 cce:: cce:chart:get 获取模板信息 cce:: cce:release:get 获取模板实例信息 cce:: cce:release:list 列出所有模板实例 cce:: cce:userAuthorization:get 获取CCE用户授权 cce:: cce:userAuthorization:create 创建CCE用户授权 ecs:: ECS（弹性云主机）服务的所有权限。 evs:: EVS（云硬盘）的所有权限。 可以将云硬盘挂载到云主机，并可以随时扩容云硬盘容量 vpc:: VPC（虚拟私有云，包含二代ELB）的所有权限。 创建的集群需要运行在虚拟私有云中，创建命名空间时，需要创建或关联VPC，创建在命名空间的容器都运行在VPC之内。 sfs::get SFS（弹性文件存储服务）资源详情的查看权限。 sfs:shares:ShareAction SFS（弹性文件存储服务）资源的扩容共享。 aom::get AOM（应用运维管理）资源详情的查看权限。 aom::list AOM（应用运维管理）资源列表的查看权限。 aom:autoScalingRule: AOM（应用运维管理）自动扩缩容规则的所有操作权限。 apm:icmgr: APM（应用性能管理服务）操作ICAgent权限。 lts:: LTS（云日志服务）的所有权限。 表 CCE ReadOnlyAccess策略主要权限 操作（Action） 操作（Action） 说明 cce::get cce:cluster:get 查询集群详情 cce::get cce:node:get 查询节点详情 cce::get cce:job:get 查询任务详情（集群层面的job） cce::get cce:addonInstance:get 获取插件实例 cce::get cce:addonTemplate:get 获取插件模板 cce::get cce:chart:get 获取模板信息 cce::get cce:nodepool:get 获取节点池 cce::get cce:release:get 获取模板实例信息 cce::get cce:userAuthorization:get 获取CCE用户授权 cce::list cce:cluster:list 查询集群列表 cce::list cce:node:list 查询节点列表 cce::list cce:job:list 查询任务列表（集群层面的job） cce::list cce:addonInstance:list 列出所有插件实例 cce::list cce:addonTemplate:list 列出所有插件模板 cce::list cce:chart:list 列出所有模板 cce::list cce:nodepool:list 列出集群的所有节点池 cce::list cce:release:list 列出所有模板实例 cce::list cce:storage:list 列出所有磁盘 cce:kubernetes: 操作所有kubernetes资源。 ecs::get ECS（弹性云主机）所有资源详情的查看权限。 CCE中的一个节点就是具有多个云硬盘的一台弹性云主机 ecs::list ECS（弹性云主机）所有资源列表的查看权限。 bms::get BMS（物理机）所有资源详情的查看权限。 bms::list BMS（物理机）所有资源列表的查看权限。 evs::get EVS（云硬盘）所有资源详情的查看权限。可以将云硬盘挂载到云主机，并可以随时扩容云硬盘容量 evs::list EVS（云硬盘）所有资源列表的查看权限。 evs::count vpc::get VPC（虚拟私有云，包含二代ELB）所有资源详情的查看权限。 创建的集群需要运行在虚拟私有云中，创建命名空间时，需要创建或关联VPC，创建在命名空间的容器都运行在VPC之内 vpc::list VPC（虚拟私有云，包含二代ELB）所有资源列表的查看权限。 sfs::get SFS（弹性文件服务）服务所有资源详情的查看权限。 sfs:shares:ShareAction SFS（弹性文件服务）资源的扩容共享。 aom::get AOM（应用运维管理）服务所有资源详情的查看权限。 aom::list AOM（应用运维管理）服务所有资源列表的查看权限。 aom:autoScalingRule: AOM（应用运维管理）服务自动扩缩容规则的所有操作权限。 lts::get LTS（云日志服务）的所有资源详情的查看权限。 lts::list LTS（云日志服务）的所有资源列表的查看权限。

本节介绍了:云容器引擎发布 Kubernetes 1.25版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.25 Changelog 1. PodSecurityPolicy 弃用，Pod Security Admission 升级为稳定版本，迁移指引可参见从 PodSecurityPolicy迁移到内置的 PodSecurity Admission控制器。 2. 临时容器升级为稳定版本，临时容器是在 Pod中存在有限时长的容器。临时容器可用于排障，特别是检查另一个容器的时候，该容器已奔溃无法使用 kubectl exec进入。 3. 对 cgroups v2的支持达到稳定状态，cgroups v2相对于 cgroups v1 进行了多项改进，更多信息请参阅cgroup v2。 4. Windows 支持得到了改进。 5. SeccompDefault 升级为 Beta，清参阅教程使用 seccomp限制容器系统调用。 6. 网络策略（NetworkPolicy）中的 endPort GA，该特性支持设置端口范围。请注意，endPort依赖网络策略提供商支持。 7. CSI 临时卷升级到稳定状态，该功能允许在 Pod spec中为临时用例直接指定 CSI卷。它们可用于注入配置、密钥、身份标志、变量等类似信息。 8. CRD 校验表达式语言升级到 Beta版，该特性允许使用通用表示式语言（CEL）声明式地验证自定义资源。更多信息见[校验规则指南](

操作步骤 1. 单击左上角选择需要安装或升级的云主机所在的地域。 2. 单击“管理与部署>云监控”，进入“主机监控>云主机监控”菜单。 3. 选中需要安装或升级的云主机，点击“安装/更新Agent”。 也可选中多台需要升级的云主机，进行批量升级云主机监控Agent操作，单次最大允许批量操作50台云主机。 4. 当云主机监控列表监控状态为“正常”时，即代表监控Agent安装成功。 手动为云主机安装、升级监控Agent 前提条件 请确保云主机可正常访问objectStorageIP以获取监控Agent安装包。 Linux系统操作步骤 1. 以root用户登录待安装Agent的云主机。 2. 执行以下监控Agent安装命令： plaintext curl o updateagent.sh chmod +x updateagent.sh ./updateagent.sh 1 注意 每个资源池objectStorageIP存在差异，可参考监控概览支持安装监控Agent的地区及Agent安装包地址查询。 3. 执行以下命令查询监控安装状态： plaintext systemctl status telegraf

本节介绍应用市场客户端的应用安装、升级、卸载等功能。 应用管理 搜索应用 支持通过应用名称等关键字搜索相关应用，也可以根据分类与行业快速检索所需应用。 安装应用 用户找到想要安装的应用后，可点击安装按钮安装，或进入应用详情页中下载安装。 安装方式 应用的安装方式可分为“一键安装”（静默安装）和“手动安装”两种。 “一键安装”，用户无需对应用进行设置，应用将直接下载并安装至虚机系统盘； “手动安装”，需要用户根据应用的安装指引进行安装。 注：可一键安装的应用，也支持手动安装。 应用升级 当已安装的应用有新版本可更新时，“我的应用”菜单将出现红点提示，可选择指定应用升级或全部升级。 应用卸载 我的应用菜单中，还可以选择“应用卸载”。应用卸载列表中展示的是桌面内已安装的应用（和控制面板中相同）。点击“卸载”按钮，将拉起桌面内应用的卸载程序。卸载完成后，应用将从列表中消失。

本节介绍企业主机安全病毒查杀功能。 病毒查杀概述 病毒查杀功能使用特征病毒检测引擎，支持扫描服务器中的病毒文件，扫描文件类型覆盖可执行文件、压缩文件、脚本文件、文档、图片、音视频文件；用户可根据自身需要，自主对服务器执行“快速查杀”、“全盘查杀”、“自定义查杀”扫描任务，并及时处置检测到的病毒文件，增强业务系统的病毒防御能力。 使用约束 使用病毒查杀功能须满足以下条件： 服务器已开启HSS企业版、旗舰版、网页防篡改版或容器版防护。 服务器已安装Agent的版本为以下版本，升级Agent的操作，请参见升级Agent章节。 Linux：3.2.9及以上版本。 Windows：4.0.20及以上版本。 服务器已开启AV检测策略，详细操作请参见策略管理概述章节。 扫描病毒 静态病毒文件一旦启动就可能化身恶意进程，成为服务器的巨大安全隐患，因此提前查杀静态病毒文件是防护服务器安全的关键之一。HSS的病毒查杀功能，支持扫描服务器上的病毒文件，并提供以下三种病毒扫描方式供您扫描病毒： 快速查杀：节约时间成本的快速病毒扫描任务，查杀预置的系统关键文件和目录。 全盘查杀：比较耗费时间的全磁盘病毒扫描任务，全面清扫服务器中的病毒文件。 自定义查杀：您可以根据自身需求自定义病毒扫描任务。