本文主要介绍域名DNS类问题。 一、为什么CCE集群的容器无法通过DNS解析？ 问题描述 某客户在DNS服务中做内网解析，将自有的域名绑定到DNS服务中的内网域名中，并绑定到特定的VPC中，发现本VPC内的节点（ECS）可以正常解析内网域名的记录，而VPC内的容器则无法解析。 适用场景 VPC内的容器无法进行正常DNS解析的情况。 解决方案 由于本案例涉及的是内网域名解析，按照内网域名解析的规则，需要确保VPC内的子网DNS设置成的云上DNS，具体以内网DNS服务的控制台界面提示为准。 本案例的子网中已经完成该设置，其中用户可以在该VPC子网内的节点（ECS）进行域名解析，也说明已完成该设置，如下图： 但是在容器内进行解析却提示bad address无法解析域名返回地址，如下图： 登录CCE控制台查看该集群的插件安装情况。 如果已安装插件列表中没有coredns插件，可能是用户卸载了该插件等原因导致。 安装coredns插件，并添加相应的域名及对应的DNS服务地址，即可进行域名解析。 二、如何设置容器内的DNS策略？ CCE支持通过dnsPolicy标记每个Pod配置不同的DNS策略： None： 表示空的DNS设置，这种方式一般用于想要自定义DNS配置的场景，而且，往往需要和dnsConfig配合一起使用达到自定义DNS的目的。 Default： 有人说Default的方式，是使用宿主机的方式，这种说法并不准确。 这种方式其实是让kubelet来决定使用何种DNS策略。而kubelet默认的方式，就是使用宿主机的 /etc/resolv.conf，但是kubelet是可以灵活来配置使用什么文件来进行DNS策略的，我们完全可以使用kubelet的参数：–resolvconf/etc/resolv.conf来决定您的DNS解析文件地址。 ClusterFirst： 这种方式表示Pod内的DNS使用集群中配置的DNS服务，简单来说，就是使用Kubernetes中kubedns或coredns服务进行域名解析。如果解析不成功，才会使用宿主机的DNS配置进行解析。 如果未明确指定dnsPolicy，则默认使用“ClusterFirst”： 如果将dnsPolicy设置为“Default”，则名称解析配置将从运行pod的工作节点继承。 如果将dnsPolicy设置为“ClusterFirst”，则DNS查询将发送到kubedns服务。 对于以配置的集群域后缀为根的域的查询将由kubedns服务应答。所有其他查询（例如，www.kubernetes.io）将被转发到从节点继承的上游名称服务器。在此功能之前，通常通过使用自定义解析程序替换上游DNS来引入存根域。但是，这导致自定义解析程序本身成为DNS解析的关键路径，其中可伸缩性和可用性问题可能导致集群丢失DNS功能。此特性允许用户在不接管整个解析路径的情况下引入自定义解析。 如果某个工作负载不需要使用集群内的coredns，可以使用kubectl命令或API将此策略设置为dnsPolicy: Default。

云硬盘备份(CTVBS,Volume Backup Service)是针对云主机的系统盘、数据盘提供的备份服务。用户可对存储重要数据的云硬盘进行备份,并在云硬盘故障、用户误删数据、遭到黑客攻击等情况下,使用备份快速恢复数据,最大限度保证用户数据的安全性。

本文介绍了云防火墙（原生版）产品的互联网边界规则统计功能、以及规则优先级。 约束限制 互联网边界防火墙最多支持10000条访问控制规则。 防护规则统计 对防护规则数量进行统计，包括：黑名单规则数、白名单规则数、入向规则数、出向规则数、已占用规格数/总规格。 其中，已占用规格数量入向规则数+出向规则数+黑名单规则数+白名单规则数。 规则类型 互联网边界防火墙支持如下防护规则，可以根据您的需要分别进行配置。 黑名单规则 白名单规则 入向规则 出向规则 防护规则优先级 优先级：黑名单规则 > 白名单规则 > 入向规则 > 出向规则 防护策略优先级判定顺序的设定为：优先过滤黑名单流量，其次为白名单流量，然后为访问控制策略，最后为入侵防御策略。 1. 为当用户设置黑名单后，此时系统认为黑名单流量即为垃圾流量，系统可根据用户设置的黑名单过滤掉恶意流量，以便系统后续处理非垃圾流量，保证系统处理的数据为用户的有效数据。 2. 当流量经过黑名单过滤后，剩余流量为用户可能关注的流量，在此基础上，通过用户设置的白名单规则，系统可以过滤出用户确定关注的白名单流量，以便对有效流量进行处理，过滤出白名单流量后，系统会直接放行白名单流量至入侵防御策略处进行安全检测，不再进行访问控制。 3. 对于非黑非白的流量，系统将对其进行访问控制检测，对于策略允许的流量进行放行，对于策略禁止的流量进行丢弃。放行后的流量依然需要进行安全检测。

本章节介绍人脸识别安全相关的常见问题与解答。 是否可以设置IP白名单呢？ 人脸识别是API服务，暂不支持白名单设置，您可以在自己的服务器上调用我们的服务。 调用过程中如遇到问题，可通过天翼云官网工单或者客服电话【4008109889】沟通。 人脸识别传输的数据是否经过加密呢？ 天翼云人脸识别采用天翼云官网标准EOP网关，在整个数据传输过程中，从源端到目的端，都采取了一系列的安全措施，包括身份验证、加密技术和授权机制、数据完整性保护机制和数据恢复机制等，这些措施可以确保数据传输的安全性和可靠性，提高系统的安全性。 若您的数据比较敏感、安全保密性要求高的话，可考虑使用私有化部署。 使用人脸识别服务，图片数据是否会存储？ 天翼云一直注重保护客户隐私，图片数据不会存储。 同时因相关规定限制，人脸识别公有云服务数据不落盘，用户的原始图片和识别数据均不作保留，使用人脸识别服务后，图片数据就会立即释放，不会存储。

本章节介绍内容审核安全相关的常见问题与解答。 是否可以设置IP白名单呢？ 内容识别产品提供API服务，暂不支持白名单设置，您可以在自己的服务器上调用我们的服务。 调用过程中如遇到问题，可通过天翼云官网工单或者客服电话【4008109889】沟通。 内容审核传输的数据是否经过加密呢？ 天翼云内容审核采用天翼云官网标准EOP网关，在整个数据传输过程中，从源端到目的端，都采取了一系列的安全措施，包括身份验证、加密技术和授权机制、数据完整性保护机制和数据恢复机制等，这些措施可以确保数据传输的安全性和可靠性，提高系统的安全性。 若您的数据比较敏感、安全保密性要求高的话，可考虑使用私有化部署。 使用内容审核服务，图片数据是否会存储？ 天翼云一直注重保护客户隐私，图片数据不会存储。 同时因相关规定限制，内容审核公有云服务数据不落盘，用户的原始图片和识别数据均不作保留，使用内容审核服务后，图片数据就会立即释放，不会存储。

本章节主要介绍创建连接MRS集群的SSH隧道并配置浏览器 。 操作场景 用户和MRS集群处于不同的网络中，需要创建一个SSH隧道连接，使用户访问站点的数据请求，可以发送到MRS集群并动态转发到对应的站点。 MAC系统暂不支持该功能访问MRS，请参考通过弹性公网IP访问内容访问MRS。 前提条件 准备一个SSH客户端用于创建SSH隧道，例如使用开源SSH客户端Git。请下载并安装。 已创建好集群，并准备pem格式的密钥文件或创建集群时的密码。 用户本地环境可以访问互联网。 操作步骤 1.登录MRS管理控制台，选择“集群列表 > 现有集群”。 2.单击指定名称的MRS集群。 记录集群的“安全组” 。 3.为集群Master节点的安全组添加一条需要访问MRS集群的IP地址的入规则，允许指定来源的数据访问端口“22”。 具体请参见“《虚拟私有云》帮助文档> 安全性 > 安全组 > 添加安全组规则”。 4.查询集群的主管理节点，具体请参考如何确认Manager的主备管理节点。 5.为集群的主管理节点绑定一个弹性IP地址。 具体请参见“《虚拟私有云》帮助文档”，为弹性云主机申请和绑定弹性公网IP。 6.在本地启动Git Bash，执行以下命令登录集群的主管理节点： ssh root@弹性 IP 地址或者 ssh i 密钥文件路径 root@弹性 IP 地址 7.执行以下命令查看数据转发配置： cat /etc/sysctl.conf grep net.ipv4.ipforward 系统查询到“net.ipv4.ipforward1”表示已配置转发，则请执行步骤9。 系统查询到“net.ipv4.ipforward0”表示未配置转发，则请执行步骤8。 系统查询不到“net.ipv4.ipforward”参数表示该参数未配置，则请执行以下命令后再执行步骤9。 echo "net.ipv4.ipforward 1"/etc/sysctl.conf 8.修改节点转发配置： a.执行以下命令切换root用户： sudo su root b.执行以下命令，修改转发配置： echo 1 > /proc/sys/net/ipv4/ipforward sed i "s/net.ipv4.ipforward0/net.ipv4.ipforward 1/g"/etc/sysctl.conf sysctlw net.ipv4.ipforward1 c.执行以下命令，修改sshd配置文件： vi /etc/ssh/sshdconfig 按I进入编辑模式，查找“AllowTcpForwarding”和“GatewayPorts”，并删除注释符号，修改内容如下，然后保存并退出： AllowTcpForwarding yesGatewayPorts yes d.执行以下命令，重启sshd服务： service sshd restart 9.执行以下命令查看浮动IP地址： ifconfig 系统显示的“eth0:FIHUE”表示为Hue的浮动IP地址，“eth0:wsom”表示Manager浮动IP地址，请记录“inet”的实际参数值。 然后退出登录：exit 10.在本地机器执行以下命令创建支持动态端口转发的SSH隧道： 使用命令 ssh i 密钥文件路径 v ND 本地端口地址 root@弹性IP 地址或者 ssh v ND 本地端口地址 root@弹性 IP 地址 ，然后输入创建集群时的密码。 其中，“本地端口地址”需要指定一个用户本地环境未被使用的端口，建议选择8157。 创建后的SSH隧道，通过“D”启用动态端口转发功能。默认情况下，动态端口转发功能将启动一个SOCKS代理进程并侦听用户本地端口，端口的数据将由SSH隧道转发到集群的主管理节点。 11.执行如下命令配置浏览器代理。 a.进入本地Google Chrome浏览器客户端安装目录。 b.按住“shift+鼠标右键”，选择“在此处打开命令窗口”，打开CMD窗口后输入如下命令： chrome proxyserver"socks5://localhost:8157" hostresolverrules"MAP 0.0.0.0 , EXCLUDE localhost" userdatadirc:/tmppath proxybypasslist"googlecom, gstatic.com, gvt .com, :80" 说明 8157为步骤10中配置的本地代理端口。 若本地操作系统为Windows 10，请打开Windows操作系统“开始”菜单，输入cmd命令，打开一个命令行窗口执行12中的命令。若该方式不能成功，请打开Windows操作系统“开始”菜单后，在搜索框中输入并执行11中的命令。 12.在新弹出的浏览器地址栏，输入Manager的访问地址。 Manager访问地址形式为 浮动IP 地址:28443/web 。 访问启用Kerberos认证的集群时，需要输入MRS集群的用户名和密码，例如“admin”用户。未启用Kerberos认证的集群则不需要。 第一次访问时，请根据浏览器提示，添加站点信任以继续打开页面。 13.准备站点的访问地址。 a.参考开源组件Web站点中的Web站点一览，获取Web站点的地址格式及对应的角色实例。 b.单击“服务管理”。 c.单击指定的服务名称，例如HDFS。 d.单击“实例”，查看NameNode的主角色实例“NameNode(主)”的“业务IP” 14.在浏览器输入访问Web站点真实地址并访问。 15.退出访问Web站点时，请终止并关闭SSH隧道。

本节介绍天翼云电脑电教室的功能简介。 功能概述 电教室是教育行业最典型的场景，天翼云电脑可统一控制、集中运维等优势非常适用于电教室场景。极域课堂管理系统能够协助教师进行课堂互动教学，提供多样化的课堂管理功能，从传统PC时代开始积累了大量的教育客户，是最广泛使用的课堂管理软件之一。结合电教室的使用场景，天翼云电脑推出了极域电教室方案，通过与极域联合研发，支持在云电脑中进行局域网广播、一键式批量控制终端、切换课程镜像。 功能特点 局域网广播：将教师云电脑画面通过局域网广播给学生，屏幕广播效果更加清晰、流畅。 一键式终端控制：在极域教师端一键式批量启动/关闭学生终端，终端控制更加便捷。 课程切换：在极域教师端批量切换学生课程镜像，课程切换更加简便、快捷。 使用场景 教育客户建设电教室，使用该方案进行日常教学。

本章节介绍如何使用istio资源实现版本流量路由 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎实例。产品入口：云容器引擎。 2. 开通天翼云应用服务网格实例。 3. 开通天翼云微服务引擎，并在服务网格控制面集群同VPC内创建云原生网关实例。产品入口：微服务引擎MSE。 操作步骤 部署多版本reviews服务 这里以bookinfo应用里面的reviews服务为例，使用istio资源实现对reviews服务的多版本路由，首先到云容器引擎控制台部署reviews服务的v2和v3版本，yaml如下： apiVersion: apps/v1 kind: Deployment metadata: name: reviewsv2 labels: withServiceMesh: "true" spec: replicas: 1 selector: matchLabels: name: reviewsv2 template: metadata: labels: app: reviews version: v2 name: reviewsv2 source: CCSE "sidecar.istio.io/inject": "true" csmAutoEnable: "on" annotations: "sidecar.istio.io/inject": "true" spec: containers: name: reviews image: 'registryvpccrshuadong1.cnspinternal.ctyun.cn/library/istioexamplesbookinforeviewsv2:1.16.2' imagePullPolicy: IfNotPresent env: name: LOGDIR value: "/tmp/logs" volumeMounts: name: tmp mountPath: /tmp name: wlpoutput mountPath: /opt/ibm/wlp/output volumes: name: wlpoutput emptyDir: {} name: tmp emptyDir: {} apiVersion: apps/v1 kind: Deployment metadata: name: reviewsv3 labels: withServiceMesh: "true" spec: replicas: 1 selector: matchLabels: name: reviewsv3 template: metadata: labels: app: reviews version: v3 name: reviewsv3 source: CCSE "sidecar.istio.io/inject": "true" csmAutoEnable: "on" annotations: "sidecar.istio.io/inject": "true" spec: containers: name: reviews image: 'registryvpccrshuadong1.cnspinternal.ctyun.cn/library/istioexamplesbookinforeviewsv3:1.16.2' imagePullPolicy: IfNotPresent env: name: LOGDIR value: "/tmp/logs" volumeMounts: name: tmp mountPath: /tmp name: wlpoutput mountPath: /opt/ibm/wlp/output volumes: name: wlpoutput emptyDir: {} name: tmp emptyDir: {} 通过云原生网关持续访问bookinfo应用可以看到前端页面在三种效果内跳变，分别对应reviews服务的三个版本： （1）Review内没有评分。 （2）Review内有评分信息，评分的星星颜色是黑色。 （3）Review内有评分信息，评分的星星颜色是红色。

本节介绍了文件加密服务的最佳实践介绍。 应用场景说明 翼加密是首个针对天翼AI云电脑场景的文件加密安全解决方案。通过高安全性的加密算法，对天翼AI云电脑（政企版）内的文件实时无感加密。在保证用户正常使用天翼AI云电脑（政企版）的前提下，保障企业内部的敏感和机密数据文件安全不外泄。 加密文件如被移到天翼AI云电脑外部的非加密环境，则无法正常打开。防止有意/无意的文件泄漏行为。加密文档如需外发，必须经过严格的脱密审批，并且保留审批记录，有迹可循。 翼加密的优势包括： 透明加密技术：采用高级别加密算法，文件以密文形式保存，对有权限用户透明，不影响企业正常办公和使用习惯。 严格的外发控制：无权限用户无法正常打开加密文件。加密文件如需脱密外发必须审批，有迹可循。 全面的加密管控：可通过配置加密算法、加密强度，范围等精准管控加密力度，支持多种高级加密标准算法。 前提条件 已开通天翼AI云电脑（政企版），详情请参见快速订购AI云电脑。 已开通翼加密，详情请参见开通翼加密。 已在AI云电脑内下载安装翼加密客户端，详情请参见安装加密应用。 为了保证翼加密的正常使用，在使用之前，请您务必认真阅读用户须知注意事项。详情请参见用户须知。

本文介绍如何使用验证码功能。 功能介绍 边缘安全加速平台验证码功能，为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。目前支持以下四种验证码类型： 滑动拼图 文字点选 图形点选 VTT空间语义 注意 目前控制台尚未开放验证码功能，如有防护需求请通过提交工单给天翼云客服，由其人工操作开启。 验证码调用时序图 Web客户端： 小程序客户端： 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持验证码功能。

此小节介绍企业主机安全资产指纹。 主机资产管理 查看主机资产信息 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机自启动项。通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 约束限制 需开启企业版、旗舰版、网页防篡改版或容器版中任一版本。 检测周期 帐号、开放端口：实时检测。开放端口检测结果每6小时刷新一次统计数据。 进程、Web目录管理、软件信息管理、自启动：每日凌晨自动进行一次检测。 查看所有主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、选择“资产管理>资产指纹”，进入“资产指纹”页面，查看所有主机资产。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。 根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00） 查看单服务器的主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏，选择“资产管理>主机管理”，进入“主机管理”界面，选择“云服务器”页签，进入云服务器页面。 5、单击目标服务器名称，进入目标服务器的详情页面，选择“资产指纹”页签。 6、单击指纹列表的目标指纹类型，查看对应资产信息，资产指纹类型特性如表所示。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00）

本章节主要介绍如何创建MRS操作用户。 如果您需要对您所拥有的MapReduce服务（MapReduce Service）进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用MRS资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将MRS资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用MRS服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的MRS权限，并结合实际需求进行选择。 示例流程 详见下图： 给用户授权MRS权限流程 1.创建用户组并授权 在IAM控制台创建用户组，并授予MRS服务对应权限。 2.创建用户并加入用户组 在IAM控制台创建用户，并将其加入上述创建用户组并授权中创建的用户组。 3.用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： −在“服务列表”中选择MRS服务，进入MRS主界面，单击右上角“创建集群”，尝试创建MRS集群，如果无法创建MRS集群（假设当前权限仅包含MRS ReadOnlyAccess），表示“MRS ReadOnlyAccess”已生效。 −在“服务列表”中选择除MRS服务外（假设当前策略仅包含MRS ReadOnlyAccess）的任一服务，若提示权限不足，表示“MRS ReadOnlyAccess”已生效。

本实践介绍了通过控制台访问对象存储的操作场景、前提条件与操作步骤。 操作场景 通过控制台访问ZOS提供了一个直观、易于使用的界面，您可以通过简单的图形化操作完成对对象存储的管理，无需编写代码或使用命令行工具，即可快速上手并轻松完成创建、上传、下载等操作，以及管理文件的读写权限和元数据。 前提条件 所属地域已开通ZOS服务。 准备工作 在通过控制台访问ZOS之前，您需要完成以下几项准备工作： 注册天翼云帐号。如果您已有一个天翼云帐号，请跳到下一个步骤。具体操作请参考天翼云账号注册流程。 实名认证。完成注册后登录并进行实名认证。 帐号充值。天翼云ZOS为客户提供按量计费和资源包计费两种模式。如果您采用按量计费使用ZOS，在登录账号后，您可以点击页面右上角的“管理中心”，然后点击“充值”按钮为您的账号充值，具体充值说明可参考账户充值。 开通对象存储服务。天翼云ZOS需开通服务后才可以使用，具体操作可参考开通对象存储服务。 操作步骤 第一步：创建桶 您可以通过ZOS控制台创建桶。桶是ZOS中存储文件的容器。您需要先创建一个桶，然后才能在ZOS中存储数据。 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表页面点击“创建Bucket”。 5. 填写基础配置（包括地域、Bucket名称、企业项目、读写权限）。 6. 点击下一步，填写高级配置（包括数据冗余策略、存储类型、服务端加密、合规保留等）。 参数 说明 地域 桶所在的地域。存储桶一旦创建成功，地域不能修改。 bucket名称 桶的名称，注意以下命名规则: 桶名称全局唯一，在任何集群，都不能与已有的任何桶名称重复，包括其他用户创建的桶。 存储桶一旦创建成功，名称不能修改且不支持重命名。 长度范围为3到63个字符，支持小写字母、数字、中划线（）、英文句号（.）。 禁止两个英文句号（.）或英文句号（.）和中划线（）相邻，禁止以英文句号（.）和中划线（）开头或结尾。 禁止使用IP地址。 如果名称中包含英文句号（.），访问桶或对象时可能会进行安全证书校验。 存储类型 桶的存储类型，可选标准存储/低频存储/归档存储。部分资源池暂不支持低频或归档存储。 读写权限 桶的读写权限控制。 私有：仅桶的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该桶的读权限，为确保您的数据安全，不推荐此配置。 数据冗余策略 单AZ存储：选择单AZ，数据会存储在一个可用区。单AZ存储支持标准存储、低频存储、归档存储三种存储类型。 多AZ存储：选择多AZ存储，数据会存储在同一地域的多个可用区中，可用性更高。多AZ采用相对较高的计费标准。多AZ存储仅支持标准或低频存储类型。 请根据业务情况提前规划数据冗余存储策略，桶一旦创建成功，数据冗余存储策略后续无法更改。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务将统一的云资源按项目管理。 为桶选择所属的企业项目，从而将桶与企业项目进行关联。在选择“企业项目”的下拉列表中，将显示用户在企业项目服务中已创建的项目。 系统还内置了一个缺省的企业项目“default”，如果用户没有为桶创建企业项目，将使用缺省项目“default”。您也可参考创建企业项目完成企业项目创建。 服务端加密 开启服务端加密功能，上传的对象将以加密的方式存储在ZOS中。下载对象时，ZOS会自动将加密文件解密后再提供给用户。选择加密方式，取值范围如下： 关闭 :不启用服务器端加密。 ZOS完全托管 : 使用ZOS托管的密钥进行加密。 KMS: 使用KMS默认托管的CMK或指定CMK ID进行加解密操作 。 2种加密方式的对比见服务端加密。 合规保留 开启合规保留后，允许用户以“不可删除、不可篡改”方式保存和使用数据。 是否编辑桶标签 为指定存储桶设置标签，用来标记不同用途的存储桶并进行分类管理。 7. 点击下一步，确认配置后点击“确认”，完成Bucket创建。

云监控提供默认的系统告警模板，同时您也可将相应产品的告警规则保存在自定义告警模板中。可以直接通过模板创建告警规则时，节省配置时效。 操作场景 如果您拥有大量云资源，可以通过系统默认告警模板及自定义告警模板，快捷创建告警规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 查看模板 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控服务”，进入监控概览页面。 4. 选择“告警服务>告警模板”菜单，即可进入告警模板页面，默认为系统默认告警模板。

Web应用防火墙（边缘云版）什么版本可以支持云虚拟主机吗？ Web应用防火墙（边缘云版）的所有版本都支持云虚拟主机。 云虚拟主机是基于云计算技术提供的虚拟化的主机服务，它可以在同一物理服务器上同时运行多个虚拟主机实例。Web应用防火墙（边缘云版）可以与云虚拟主机结合使用，为虚拟主机提供网络安全防护。通过配置和管理规则，可以检测和过滤针对虚拟主机的恶意请求，保护应用程序和数据的安全性。 Web应用防火墙（边缘云版）什么版本支持非标准化端口？ Web应用防火墙（边缘云版）目前支持标准化端口HTTP（80和8080端口）、HTTPS（443和8443端口），也支持非标准化的端口，但因WAF产品的版本不同有所限制：体验版、基础版、标准版仅支持标准化端口；专业版可支持10个特殊端口；旗舰版可支持50个特殊端口。具体套餐信息请参见套餐和版本说明。 如果您对支持非标准化端口有需求，可以通过客服工单系统提单联系我们咨询。 功能模块 描述 体验版 基础版 标准版 专业版 旗舰版 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × × √，10个特殊端口转发 √，50个特殊端口转发

本章节主要介绍翼MapReduce服务的退订操作。 您可以根据业务需要，手动退订集群来释放资源。在申请退订翼MapReduce集群前，请做好数据备份工作。 注意 1. 退订翼MapReduce集群会导致集群所有数据都被删除，且不可恢复，请谨慎操作。 2. 具体涉及到退订的费用以及规则，详细请参见费用中心 方法一、通过订单管理退订 1. 登录天翼云官网，进入“费用中心订单管理退订管理”页面。 2. 选择要退订的资源，点击退订，天翼云目前支持单个退订和批量退订。 3. 退订前仔细阅读退订须知，然后确认退订资源信息。 4. 信息确认无误后勾选协议，点击退订并再次确认，确认后即刻完成退订。退订后资金退回账户余额，可以通过“余额提现”进行提现，提现详细操作请参考余额提现。 方法二、通过翼MR控制台退订 1. 进入翼MR控制台我的集群页面。 2. 选择需要退订的集群，在操作列点击退订按钮。 3. 进入到所选集群的退订管理页面，按照提示步骤完成退订操作即可。

计费统计粒度 函数计算服务各类型实例运行时长的计费计量粒度如下： 实例类型 按量实例模式 预留实例模式 弹性实例 计费统计粒度为 1 毫秒 计费统计粒度为 10 秒，不足 10 秒的按 10 秒计量； 例如一个预留实例运行时长为 13 秒，则按照 20 秒计量计费 GPU实例 计费统计粒度为 1 秒，不足 1 秒的按 1 秒计量； 例如一个GPU按量实例模式运行时长为 9.5 秒则按照 10 秒计量计费 计费统计粒度为 10 秒，不足 10 秒的按 10 秒计量； 例如一个预留实例运行时长为 13 秒，则按照 20 秒计量计费 实例模式说明 函数计算提供了按量和预留两种实例使用模式，两种模式的执行时长统计方式不同。更多信息详见 实例类型及使用模式。 按量模式：系统自动为函数分配和释放实例，函数执行时长的计量从请求执行函数开始，到请求执行完毕结束。 预留模式：函数实例由您自行分配、释放和管理，函数执行时长的计量从函数计算系统启动预留函数实例开始，到您主动释放为止。 出账周期 函数计算服务用量按小时结算，费用账单出账时间通常在当前计费周期结束后 1 小时左右，具体以费用中心实际出账时间为准。 资源用量费用会自动从您的账户扣款，您可以前往 费用中心 查看账单明细。

密钥自动轮转周期的可设置范围是什么？ 对称密钥支持设置自动轮转周期，周期最短为7天，最长为730天（2年）。 对称密钥支持设置自动轮转，系统根据自动轮转周期自动生成新的密钥版本，并将最新的版本设置为主版本，原密钥版本作为非主版本保存在KMS中，KMS不会删除或禁用非主版本，它们需要被用作解密数据。 非对称密钥是否支持自动轮转？ 非对称密钥不支持设置自动轮转，可以手动创建新的版本。 由于公私钥使用场景的特殊性，KMS不支持对非对称的用户主密钥进行自动轮转。可在指定用户主密钥中人工创建新的密钥版本，生成全新的一对公钥和私钥。 除此之外，和对称类型的用户主密钥不同，非对称的用于主密钥没有主版本（PrimaryKeyVersion）的概念，因此使用非对称密码运算的接口除需指定用户主密钥标志符（或别名）之外，还需指定密钥版本。 什么情况下需要导入外部密钥？ 当用户拥有自己的密钥材料，需要继续使用该密钥材料实现数据加解密，比如用户需要将本地加密数据迁移到云上时，云上云下共用同一个密钥材料，此时可以将密钥材料导入至KMS中进行托管，便于后续使用。 当您选择密钥材料来源为外部，使用您自己导入的密钥材料时，需要注意以下几点： 请确保您使用了符合安全要求的随机源生成密钥材料； 在使用导入密钥时，需要对自己密钥材料的可靠性负责； 请保存密钥材料的原始备份，以便在意外删除密钥材料时，能及时将备份的密钥材料重新导入KMS。

本节介绍翼加密的加密策略管理的流程，以及相关配置项的说明。 创建加密策略 开通翼加密后，通过AI云电脑控制台菜单找到“文件加密”——“加密策略管理”，点击“新建”即可创建加密策略。 加密策略配置项说明如下表所示： 策略内容 说明 工作场景 安全办公场景：加密范围文档文件全选加密强度。标准金融财务办公：加密范围文档文件全选加密强度。最高自定义设置：不预设加密范围和加密强度，完全由管理员自定义选择。 加密范围 自定义配置加密管控的应用进程，以及加密的文件格式类型。 剪切板控制 开启后加密管控进程打开的文件无法复制粘贴内容到非加密管控进程。比如用WPS打开的word文档内的文字图片无法复制到微信，保证加密数据安全无泄漏。加密管控进程之间的复制粘贴操作正常，如WPS打开的多个word文档之间允许复制粘贴。 加密强度 国密算法（旗舰版）：SM4，适用于有国密加密安全要求的政企部门或组织。最高（旗舰版）：AES256，安全系数最高，适用对文件安全性要求高的场景。高（旗舰版）：AES192，安全系数高，适用于对文件安全性有较高要求的场景。标准（标准版）：AES128，基础的安全加密等级，能有效加密文件，防止文件数据外泄。

对等连接支持接受和拒绝跨账户对等连接请求,本文帮助您快速熟悉如何接受对等连接请求。 使用场景 不同账户创建对等连接时，由于本端账户没有对端账户权限，要使对等连接生效，需对端账户接受对等连接。 操作步骤 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 点击已创建对等连接列表上方的“待处理消息”，查看需要接受的对等连接的名称。 5. 点击要接受的对端连接所在行的“操作”列的“接受请求”。 6. 在弹出的对话框中，点击“确定”。 7. 返回对等连接列表，可查看该对等连接的状态变为“已接受”。

本文为您介绍加载云专线(CDA)网络实例的操作流程。 限制说明 当云企业路由器和云专线（CDA）实例属于同一主账号时，必须确保二者处于同一企业项目下。 当前云企业路由器所属的云间高速获得CDA得跨账号授权。 CDA专线网关没有绑定任何VPC网络。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理”页签，找到目标云企业路由器，单击目标云企业路由器名称，进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“加载本地网络实例”，进入加载本地网络实例页面。 6. 在加载本地网络实例页面，根据页面提示，填写参数，单击“确定”，完成网络实例加载。 参数 说明 云间高速 请选择已经创建的云间高速实例。 云企业路由器（区域） 请选择已经创建的云企业路由器实例。 资源归属 请选择资源归属类型“本账号”/“跨账号”。 关联路由表 请选择关联的路由表。 实例类型 请选择类型：【云专线】。 网络实例 请选择已经创建的【云专线】实例。 权重 （可选）配置链路路由权重，可输入类范围（0~255）。 链路冗余 （可选）是否启用冗余模式，若启用，需指定目标冗余组进行加入。同一冗余组内的网络实例默认隔离路由传播。 高级配置（自动路由学习） 自动传播网络实例系统路由至云企业路由器路由表（默认开启）。 高级配置（自动路由同步） 自动同步本侧云企业路由器关联路由表中的路由 （默认开启）。

本文向您介绍怎样禁用通过SSH密码访问云主机的连接方式。 操作场景 安全性方面，SSH密钥连接方式的安全性高于密码连接方式。选择密钥方式连接云主机后，可以禁用密码连接云主机的方式。 说明 该设置方法仅适用于SSH远程连接操作，控制台登录过程仍然使用密码登录，请妥善保存云主机登录密码，如果密码丢失可执行重置密码操作。 操作步骤 1. 登录Linux云主机，执行以下命令打开sshdconfig文件的编辑界面。 vi /etc/ssh/sshdconfig 编辑SSH连接方式，把PasswordAuthentication yes改为PasswordAuthentication no。 2. 重启sshd服务后使更新后的配置生效，无报错则为重启成功。 CentOS6/ubuntu执行： service sshd restart CentOS7/CtyunOS执行： systemctl restart sshd 3. 重启该云主机后，使用SSH密码方式访问云主机，如果提示“Disconnected:No supported authentication methods available”，说明已成功禁用SSH密码连接方式。

添加对端路由信息 1. 对端账户登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在对等连接列表，选择指定的对等连接名称，进入对等连接详情页面。 5. 在对等连接详情页面，选择“对端路由”页签，根据界面提示，点击“路由表”超链接，进入对端VPC路由表的详情页面。 6. 在路由表详情页面，选择“路由规则”页签，点击“创建”按钮。 7. 根据页面提示，添加对端路由信息。 参数 说明 IP类型 根据实际情况选择使用IPv4还是IPv6。 目的地址 目的地址，本端vpc或子网的网段。 下一跳类型 选择“对等连接网关”。 对等连接网关 选择当前对等连接的名称。 描述 路由的描述信息，非必填项。 8. 路由信息设置完成后，点击“确定”。 9. 返回路由列表，即可看到刚添加的路由。

本章节介绍Nacos访问鉴权 概述 MSE中Nacos引擎默认开启鉴权功能，限制未认证或者未授权的用户访问实例。本节介绍Nacos访问鉴权。 Nacos鉴权默认支持JWT认证，通过用户、密码、角色、权限共同作用来赋予用户权限。 前提条件 1. 已开通微服务引擎MSE 2. 已开通Nacos实例并且状态正常 用户管理 在控制台查看、创建、修改和删除用户。用户可以用来访问Nacos实例。 操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表。 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 4. 选择权限控制> 用户管理页面，查看当前实例的用户列表。 5. 点击左上角创建用户，填入用户名、密码和确认密码，点击确定，即可创建。 6. 点击用户列表目标行操作列的编辑按钮，可以修改密码。 7. 点击用户列表目标行操作列的删除按钮，可以删除用户。 角色管理 在控制台查看、创建、删除角色。角色可以和用户绑定，这样用户就拥有了该角色的权限。 操作步骤 1. 进入权限控制> 角色管理页面，查看当前实例的用户列表； 2. 点击左上角添加角色，填入角色名，选择用户，即可创建； 3. 右上角输入框可以根据用户名搜索角色信息； 4. 点击角色列表目标行操作列的删除按钮，可以删除角色； 5. 点击右侧操作列“绑定用户”，可以给用户绑定该角色，通过角色的方式来赋予用户权限； 6. 点击角色列表行角色名前方的横向箭头，可以在展开的抽屉列表查看当前角色已经绑定成功的用户，并且在操作列可以删除已经绑定的用户； 权限管理 在控制台可以添加删除角色权限。角色可以和用户绑定，这样用户就实现了用户权限的控制。

参数名称 说明 名称 只能包含中文、英文字母、数字、左右括号、中划线和下划线，且以中文或英文字母开头。 英文名称 只能包含英文字母、数字、下划线，且以英文字母开头。 编码 逻辑属性的编码，当逻辑实体为自定义编码时，逻辑属性可以自定义编码，也可以自动编码。 数据类型 设置属性的数据类型。如果在下拉列表中未找到所需要的数据类型，您可以参考 数据标准 如果您已创建数据标准，单击 按钮可以选择一个数据标准与逻辑实体属性相关联。在“配置中心>功能配置”页面中的“模型设计业务流程步骤>创建质量作业”勾选的情况下，将逻辑实体属性关联数据标准后，逻辑实体发布上线后，就会自动生成一个质量作业，每个关联了数据标准的逻辑实体会生成一个质量规则，基于数据标准对属性进行质量监控，您可以前往DataArts Studio数据质量模块的“质量作业”页面进行查看。 如果您还未创建数据标准，请参见 主键 选中时为主键。 分区 选中时为分区字段。 不为空 是否限制该字段不为空。 标签 单击 按钮可以为逻辑实体属性添加标签。 在弹出框中可以选择一个或多个已有的标签。如果尚未添加标签，您也可以前往DataArts Studio数据目录模块的“标签管理”页面添加新的标签。 在弹出框中，您也可以输入一个新的标签名称然后按回车键。标签名称只能包含中文、英文字母、数字和下划线，且不能以下划线开头。 描述 描述信息。

本节主要介绍创建用户组并授权 管理员可以创建用户组，并给用户组授予策略或角色，然后将用户加入用户组，使得用户组中的用户获得相应的权限。IAM预置了各服务的常用权限，例如管理员权限、只读权限，管理员可以直接使用这些系统权限给用户组授权，授权后，用户就可以基于权限对云服务进行操作。 创建用户组 步骤 1 管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户组”。 步骤 5 在“用户组”管理界面中，单击“创建用户组”。 步骤 6 输入“用户组名称”和“描述”，单击“确定”。 返回用户组列表页，用户组列表中将显示新创建的用户组。 给用户组授权 以下步骤仅适用于给用户组新增权限。如需移除权限，请参见移除用户组权限。 步骤 1 企业管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击首页顶部控制台，在控制中心页面“管理与部署”类中，单击“统一身份认证服务”。 步骤 3 在统一身份认证服务管理页面，单击左侧功能菜单“用户组”，单击待添加授权用户组右侧的 “授权”。 步骤 4 用户组选择策略页面中，勾选需要授予用户组的权限。单击“下一步”。 如果系统策略不满足授权要求，可以单击权限列表右上角的“新建策略”创建自定义策略，并勾选新创建的策略来进行精细的权限控制，自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略。 步骤 5 选择权限的作用范围。系统会根据您所选择的策略，自动推荐授权范围方案，便于为用户选择合适的授权作用范围，下表为IAM提供的所有授权范围方案。 表 授权范围方案 可选方案 方案说明 所有资源 IAM用户可以根据权限使用帐号中所有的区域项目、全局服务资源。 指定企业项目资源 选择指定企业项目，IAM用户可以根据权限使用该企业项目中的资源。 仅开通企业项目后可选。 如果您暂未开通企业项目，将不支持基于企业项目授权。 指定区域项目资源 选择指定区域项目，IAM用户可以根据权限使用该区域项目中的资源。如果选择作用范围为“区域项目”，且所勾选的策略包含全局服务权限，系统自动将全局服务权限的作用范围设置为所有资源，勾选的区域项目权限的作用范围仍为指定区域项目。 全局服务资源 IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时，不需要切换区域，如对象存储服务（OBS）等。 如果选择作用范围为“全局服务”，且所勾选的策略包含项目级服务权限，系统自动将项目权限作用范围设置为所有资源，勾选的全局服务权限的作用范围仍为全局服务。 步骤 6 单击“确定”，完成用户组授权。

本文介绍了修改实例端口功能。 操作场景 当用户根据业务需要需要对数据库访问端口进行修改时，可在RDSPostgreSQL界面中调整。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在数据库端口属性点击【修改】按钮进行操作。 约束限制及注意事项 仅Ⅱ类资源池支持修改实例端口。 端口可修改范围为[20006543]。 如实例有只读实例，只读实例端口也会被修改。 只读实例不支持单独修改访问端口。 修改实例端口会重启实例，且修改端口的实例需为运行中状态。 修改实例访问端口后，请及时修改安全组规则，否则可能无法通过新端口访问实例。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

批量续订 用户可以一次性手动续订多个包月包年且未退订、未释放资源，最多一次性续订50个资源。 批量续订方式：进入天翼云官网右上角我的费用中心订单管理续订管理页面，通过筛选资源到期时间、筛选产品类型等，找到并勾选所需续订的多个资源，点击“批量续订”。 下单前如需确认资源详情，可点击右侧的下拉键查看资源ID、配置等。 批量续订的多个资源续订周期相同，如需对不同资源续订不同周期，需要分别下不同的续订订单。

参数 配置说明 路径映射 用户选择主节点的文件系统目录和从节点的文件系统目录实现数据同步，后续可以在复制规则列表页面查询。 创建时启动复制规则 若启用，提交规则后自动启动主节点到从节点的复制规则。 若不启用，提交规则后用户需手动启动主节点到从节点的复制规则。默认不启用。 进入复制状态才允许切换 默认为启用。应用切换的前提是两端数据的同步，如果当前状态下的主节点数据文件尚未完全同步到从节点，那么在这个时间点如果进行应用切换让从节点接管服务，会导致两端的数据不一致。不论是前一页配置“自动切换”是否勾选，仅当所配置的数据复制规则处于复制状态，主机高可用切换才会运行执行。但极端情况下，比如生产中心遭受自然灾害整体被摧毁，而且同时假设刚好有生产数据因为网络因素尚未完成到异地的同步，那么这种小概率事件发生的情况下，生产数据无法从生产中心恢复，用户就需要在页面上单击“强制切换”操作，触发异地的应用服务执行接管。页面会弹出警告信息要求用户再次确认后才会执行切换。 反向规则 若勾选，提交规则后会自动创建由从节点到主节点的复制规则，若不勾选，则不会创建。默认不勾选。 自动启动复制规则 若勾选时，规则发生切换后，会自动启动相应的复制规则； 若不勾选，规则发生切换后，用户需手动启动相应的复制规则。

本文介绍如何退订资源包。 资源包退订说明 天翼云用户可根据需要，在符合天翼云退订规则的前提下，灵活退订资源。当前CDN加速支持退订的资源包包括下行流量包和静态HTTPS请求包。只要资源包用量未用尽或者有效期未到期，均可按照天翼云的退订规则完成退订操作。 资源包退订步骤 CDN加速产品同时支持在天翼云官网的费用中心和CDN控制台发起资源包退订。 退订方式1 1. 登录天翼云官网，单击右上角的用户名，进入【费用中心】。 2. 单击【订单管理】【退订管理】。勾选要退订的资源包资源，单击【退订】，进入退订详情页面。 3. 退订前，建议查阅【退订须知】，再次确认要退订的资源信息，确认无误后，选择退订原因并勾选【我已确认本次退订金额和相关费用】，单击【退订】完成退订操作。 退订方式2 1. 通过天翼云官网购买CDN加速产品的客户，登录CDN控制台，单击左侧导航栏的【计费详情】【CDN加速】，支持参照如下页面在CDN加速计费详情页发起CDN加速资源包退订。 2. 退订前，建议查阅【退订须知】，再次确认要退订的资源信息，确认无误后，选择退订原因并勾选【我已确认本次退订金额和相关费用】，单击【退订】完成退订操作。

参数 参数类型 说明 示例 下级对象 id String 集群id 00c3a04292996955752f073c995a1cc6 managerClusterId Integer manager定义的集群id 1 iaasType String 平台 公有云 regionId String 资源池id bb9fdb42056f11eda1610242ac110002 regionName String 资源池名称 华东1 availableZoneId String 可用区id cnhuadong1jsnj1Apublicctcloud availableZoneName String 可用区名称 可用区1 clusterName String 集群名称 test1218 payType String 付费类型 包年包月 clusterType String 集群类型 云搜索 clusterTypeVersion String 产品版本 翼MR2.12.0 clusterPlanCode String 集群规划编码 cloudsearch componentNameList String 组件名称列表 [{componentTitle:ElasticSearch,version:7.10.2},{componentTitle:Kibana,version:7.10.2}]] datasourceConfigs String 数据源信息 [] vpcId String vpc id vpc0k5xl6w5 subnetId String 子网id subneti2ys8sp securityGroupId String 安全组id [sg4h7w9cl1] loginType String 登录方式 PASSWORD clusterDueTime Integer 集群到期时间 1709193751000 userId String 用户id ba14c8e729e447d69698f81ac7d55555 accountId String 账号id ed24e4b414a048b0a9cb995f59cc85jj clusterCreateTime Integer 集群创建时间 1706515357000 clusterState String 集群状态 运行中 managerVersion String manager版本号 2.15.1 enableIpv6 String Ipv6是否开启(OPEN:打开, CLOSE:关闭, NOTDISPLAY:不展示,null:不展示) OPEN createTime Integer 创建时间 1706515356000 updateTime Integer 更新时间 1706515356000 autoRenewStatus Integer 是否开启自动续订的状态(0:不自动续订,1:自动续订) 1 clusterRunningSeconds Long 集群运行时间 0 pathMap Map of String 组件名称:组件链接 { "Kibana": "1,1", "ElasticSearch": "1,1" }

迁移准备 1.权限准备： 当使用 DRS 将本地数据库的数据迁移到本云云数据库MySQL 实例时，在不同迁移类型情况下，对源数据库和目标数据库的帐号权限要求如表所示： 表1 迁移账号权限 迁移类型 全量迁移 全量+增量迁移 源数据库 SELECT、SHOW VIEW、EVENT。 SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。 目标数据库 SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、WITH GRANT OPTION。 SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、WITH GRANT OPTION。 源数据库的权限设置： 需要确保源数据库MySQL的帐号具备表1的权限，若权限不足，需要在源数据库端创建高权限的帐号。 目标数据库的权限设置： 本云云数据库MySQL使用初始帐号即可。 2.网络准备： 源数据库的网络设置： 本地MySQL数据库实时迁移至本云云数据库MySQL的场景，一般可以使用VPN网络和公网网络两种方式进行迁移，您可以根据实际情况为本地MySQL数据库开放公网访问或建立VPN访问。一般推荐使用公网网络进行迁移，该方式下的数据迁移过程较为方便和经济。 目标数据库的网络设置：若通过VPN访问，请先开通天翼云VPN服务，确保源数据库MySQL和目标端本云云数据库MySQL的网络互通。 若通过公网网络访问，本云云数据库MySQL实例不需要进行任何设置。 3.安全规则准备： 源数据库的安全规则设置：若通过公网网络进行迁移，源数据库MySQL需要将DRS迁移实例的弹性IP添加到其网络白名单内，使源数据库与本云的网络互通。在设置网络白名单之前，需要获取DRS迁移实例的弹性IP，具体方法如下： DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的弹性IP。 图4 迁移实例EIP 若通过VPN网络进行迁移，源数据库MySQL需要将DRS迁移实例的私有IP添加到其网络白名单内，使源数据库与本云的网络互通。DRS迁移实例创建成功后，可在“源库及目标库”页面获取DRS迁移实例的私有IP。 以上白名单是为了进行迁移针对性设置的，迁移结束后可以删除。 目标数据库安全规则设置： 目标数据库默认与DRS迁移实例处在同一个VPC，网络是互通的，DRS可以直接写入数据到目标数据库，不需要进行任何设置。 4.其他事项准备 DRS支持部分与业务和性能强相关的参数迁移，具体参数列表请参见参数列表。若涉及其他参数需要根据用户具体的业务进行手动设置。