本文介绍存储概述。 运行于Serverless集群的工作负载常伴随数据持久化、配置存储和动态分配等存储需求。Serverless集群基于CSI插件实现了容器存储的功能，与天翼云存储服务（如云硬盘，弹性文件服务、对象存储等）深度融合，提供容器存储方案，支持对静态及动态存储卷的管理。 CSI存储卷 目前CSI驱动支持静态存储卷和动态存储卷。每种数据卷的支持情况如下： 天翼云存储 静态存储卷 动态存储卷 天翼云云硬盘 支持 支持 天翼云弹性文件 支持使用CSI驱动以PV、PVC方式挂载弹性文件静态存储卷 暂不支持 天翼云对象存储 支持使用CSI驱动以PV、PVC方式挂载对象存储静态存储卷 暂不支持 说明 针对新建集群，推荐您使用CSI插件，Serverless集群会持续更新CSI插件的各种能力。 CSI存储插件 CSI插件是当前Kubernetes社区推荐的插件实现方案。在Serverless集群的场景下，由弹性容器实例ECI提供数据卷的挂载、卸载功能。CSI插件只包含cstorcsiprovisioner部分，并以无状态负载形态部署，通过将云存储服务的功能与 Kubernetes 的存储框架无缝集成，使用户能够通过 Kubernetes API 动态创建和删除存储卷，而无需直接与云存储服务进行交互。

本文为您介绍如何创建自定义策略。 目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。 操作步骤如下： 可视化视图配置自定义策略 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“策略管理”，点击策略管理页面的“创建自定义策略”按钮，进入创建自定义策略页面。 3. 输入策略名称、策略描述等基本信息后，点击“下一步”。 4. 选择“可视化视图”。 5. 效果：选择“允许”或“拒绝”。 6. 云服务：选择需要进行权限控制的云服务。 说明 此处只能选择一个云服务，如需配置多个云服务的自定义策略，请在完成此条配置后，单击“添加权限”，创建多个服务的授权语句；或使用JSON视图配置自定义策略。 暂不支持一个自定义策略同时包含全局级云服务和资源池级云服务。如果需要同时设置全局级服务和资源池级服务的自定义策略，请创建两条自定义策略，便于授权时设置最小授权范围。 7. 选择“操作”，根据需求勾选产品权限。 8. （可选）配置特定资源，如选择“特定资源”，可以根据目前权限的关联资源路径模板，通过单击“添加资源”来指定需要授权的资源。 说明 支持为特定资源授权的云服务在资源选择中可以选择特定资源，否则代表当前服务不支持资源路径配置。 9. （可选）添加条件，单击“添加条件”，选择“条件键”，选择“运算符”，根据运算符类型填写相应的值。 10. （可选）在“策略配置方式”选择JSON视图，将可视化视图配置的策略内容转换为JSON语句进行检视和编辑，您可以在JSON视图中对策略内容进行修改。 说明 如果您修改后的JSON语句有语法错误，将无法创建策略，可以根据提示信息自行检查和修改内容。此外，如果将JSON语句重新转换到可视化视图时失败，一般是由于Statement下包含有多个不同云服务的Action，和可视化的映射规则不符合，这种情况不会影响策略的正常创建。 11. （可选）如需创建多个云服务的权限，请单击“添加权限”。 12. 单击“确定”，完成自定义策略的创建。

本节主要介绍删除或修改委托 修改委托 如果需要修改委托的权限、持续时间、描述等，可以在委托列表中，单击委托右侧的“修改”，修改委托。 说明 云服务委托支持修改云服务、持续时间、描述、权限，委托名称、类型不支持修改。 修改云服务委托权限后可能会影响该云服务部分功能的使用，请谨慎操作。 删除委托 如果不再需要使用委托，可以在委托列表中，单击委托右侧的“删除”，删除委托。 批量删除委托 如果需要删除多个委托，可在委托列表中勾选需要删除的委托，然后单击列表上方的“删除”。 说明 删除委托后，将撤销被委托方帐号的权限，被委托方将无法管理您的委托资源，对您的其他业务合作伙伴没有影响。

可信云服务可以通过IAM委托的方式访问其他云服务的资源。可信实体为天翼云服务的IAM委托，包括普通云服务委托和云服务关联委托。本文介绍事件总线EventBridge的服务内联委托。 什么是服务内联委托 在某些场景下，事件总线EventBridge为了完成自身的某个功能，需要获取其他云服务的访问权限，因此，事件总线EventBridge创建了与云服务内联委托，即服务内联委托CtyunAssumeRoleForEventBridge。 使用事件总线EventBridge，系统提供的服务内联委托及其包含的系统权限策略如下： 服务内联委托：CtyunAssumeRoleForEventBridge 系统权限策略：CtyunAssumePolicyForEventBridge CtyunAssumeRoleForEventBridge 服务内联委托CtyunAssumeRoleForEventBridge具有获取访函数列表、函数详情以及调用函数的权限；具有对分布式消息服务Kafka、分布式消息服务RocketMQ、分布式消息服务MQTT与分布式消息服务RabbitMQ的管理员权限；具有专有网络VPC、VPCE的管理员权限。 服务内联委托CtyunAssumeRoleForEventBridge被授予权限策略CtyunAssumePolicyForEventBridge，该权限策略的内容如下： plaintext { "Version": "1.1", "Statement": [ { "Action": [ "cf:inst:InvokeFunction", "cf:inst:GetFunction", "cf:inst:ListFunctions", "KAFKA::", "MQ2::", "mqtt::", "AMQP::", "vpce::", "vpc::" ], "Resource": [ "" ], "Effect": "Allow" } ] } 以下是使用事件总线EventBridge时，需要使用服务内联委托的场景： 建立函数计算规则时，需要委托事件总线EventBridge具有获取访函数列表、函数详情以及调用函数的权限。 建立消息中间件事件源与事件目标时，需要委托事件总线EventBridge具有对分布式消息服务Kafka、分布式消息服务RocketMQ、分布式消息服务MQTT与分布式消息服务RabbitMQ的管理员权限。 建立网络端点时，需要委托事件总线EventBridge具有专有网络VPC、VPCE的管理员权限。

本节介绍云安全中心关于等级保护测评解读。 云安全中心产品符合等级保护2.0标准体系主要标准。根据《网络安全等级保护基本要求》（GB/T 222392019），云安全中心满足第三级及以下安全要求： 等保标准章节 等保标准序号 云安全中心对应功能 功能解读 安全区域边界边界防护 8.1.3.1 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界访问控制 8.1.3.2 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界入侵防范 8.1.3.3 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处检测、防止或限制从外部/内部发起的网络攻击行为，并对这些攻击行为进行分析、记录以及提供报警。 安全区域边界恶意代码和垃圾邮件防范 8.1.3.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处对恶意代码进行检测、分析，并通过处置功能实现对相关机器访问进行限制。 安全区域边界安全审计 8.1.3.5 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息，通过威胁运营，能将单独用户行为审计和数据分析。 安全计算环境安全审计 8.1.4.3 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息。云安全中心日志通过多副本实时存储多分，保障用户日志在其存储周期内不丢失、可恢复。 安全计算环境入侵防范 8.1.4.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞，同时应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 安全计算环境恶意代码防范 8.1.4.5 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能够及时采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为。通过处置功能将其有效阻断。 安全区域边界集中管控 8.1.5.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，以及不同安全设备的处置集成，实现对分布在网络中的安全设备或安全组件进行管控。 通过内网建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。 形成对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 通过实时的日志采集，对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。 同时在应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。 通过编排响应能对网络中发生的各类安全告警进行识别、报警和分析。

工作负载即Kubernetes对一组Pod的抽象模型，用于描述业务的运行载体，包括Deployment、Statefulset、Daemonset、Job、CronJob等多种类型。 云容器引擎CCE提供基于Kubernetes原生类型的容器部署和管理能力，支持容器工作负载部署、配置、监控、扩容、升级、卸载、服务发现及负载均衡等生命周期管理。 基本概念 无状态工作负载：即kubernetes中的“Deployment”，无状态工作负载支持弹性伸缩与滚动升级，适用于实例完全独立、功能相同的场景，如：nginx、wordpress等。创建无状态工作负载请参见 创建无状态负载(Deployment)。 有状态工作负载：即kubernetes中的“StatefulSet”，有状态工作负载支持实例有序部署和删除，支持持久化存储，适用于实例间存在互访的场景，如ETCD、mysqlHA等。创建有状态工作负载请参见 创建有状态负载(StatefulSet)。 创建守护进程集：即kubernetes中的“DaemonSet”，守护进程集确保全部（或者某些）节点都运行一个Pod实例，支持实例动态添加到新节点，适用于实例在每个节点上都需要运行的场景，如ceph、fluentd、Prometheus Node Exporter等。创建守护进程集请参见 创建守护进程集(DaemonSet)。 普通任务：即kubernetes中的“Job”，普通任务是一次性运行的短任务，部署完成后即可执行。使用场景为在创建工作负载前，执行普通任务，将镜像上传至镜像仓库。创建普通任务请参见 创建普通任务(Job)。 定时任务：即kubernetes中的“CronJob”，定时任务是按照指定时间周期运行的短任务。使用场景为在某个固定时间点，为所有运行中的节点做时间同步。创建定时任务请参见 创建定时任务(CronJob)。 工作负载与容器间的关系 一个工作负载由一个或多个实例（Pod）组成。一个实例由一个或多个容器组成，每个容器都对应一个容器镜像。对于无状态工作负载，实例都是完全相同的。 工作负载与容器的关系 工作负载生命周期说明 工作负载状态说明 状态 说明 运行中 所有实例都处于运行中才是运行中。 未就绪 容器处于异常、实例数为0或pending状态时显示此状态。 升级/回滚中 触发升级或回滚动作后，工作负载会处于升级/回滚中。 可用 当多实例无状态工作负载运行过程中部分实例异常，可用实例不为0，工作负载会处于可用状态。 执行完成 任务执行完成，仅普通任务存在该状态。 已停止 触发停止操作后，工作负载会处于停止状态，实例数变为0。v1.13之前的版本存在此状态。 删除中 触发删除操作后，工作负载会处于删除中状态。 暂停中 触发暂停操作后，工作负载会处于暂停中状态。

接口功能介绍 快照策略功能请联系客户经理开通。 快照策略仅支持资源包来源的云电脑（即不支持单实例来源的云电脑）。 如果云电脑已存在快照，且上一个快照时间点到执行周期时一直关机，则不自动创建快照，当用户开机后且到下一个执行周期，再创建快照。 幂等接口，重复分配给同一个电脑会忽略并视为分配成功。 注意！若云电脑已分配快照策略，原有快照策略会被取消。 接口约束 无 URI POST /v3/snapshotPolicy/applyToDesktops 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 snapshotPolicyOid 是 String 快照策略ID。 sspgg7576hc59fkph1b3xe4y desktopOidList 是 Array of Strings 云电脑ID列表。长度限制[1,10]。 D0023092201180710 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 ok returnObj Object 返回数据结构体。 returnObj

本节介绍天翼云电脑（政企版）支持的终端列表。 天翼AI云电脑（政企版）支持的终端如下： 终端类型 终端 型号 说明 个人电脑 Windows Win7以上的台式机或者笔记本 XP系统建议重装win7 个人电脑 Mac 苹果一体机、Mac笔记本、Mac mini等 操作系统：Mac OS10.14及以上64位版本 个人电脑 Ubuntu瘦终端 天翼AI云电脑已通过适配的终端：终端适配列表 操作系统Ubuntu18.04及以上的瘦终端设备 个人电脑 安卓瘦终端 天翼AI云电脑已通过适配的终端：终端适配列表 适用Android7.0及以上版本的安卓瘦终端设备 个人电脑 国产化终端 天翼AI云电脑已通过适配的终端：终端适配列表 支持统信UOS v20，麒麟 v10系统 移动终端 安卓 各品牌4G/5G安卓手机 支持Android 7.0以上的手机和平板 移动终端 iOS 苹果手机、iPad 支持iOS 10.0系统以上设备

本节介绍数据缓存亲和性调度。 Fluid提供了数据缓存亲和性调度优化能力，根据数据集排布的Pod调度策略，支持通过webhook机制将调度信息注入到业务Pod中，从而实现将业务Pod优先调度到有数据缓存能力的节点。 在智算场景下，创建训练任务指定数据集时，通过调度优化策略将训练任务优先调度到缓存数据节点，可以提高数据同节点访问概率，获取最大程度访问效率。 前提条件 已完成AI套件安装，弹性数据集组件运行正常。 已创建数据集并开启加速。 数据集加速状态为已加速或已预热。 功能介绍 基于Mutating Webhook机制，Fluid可以在 业务Pod 创建时拦截，检测是否使用 Fluid PVC，从而为应用Pod注入所需数据缓存的亲和性信息（fluid.io/s{namespace}{dataset}）。当Kubernetes调度器调度应用Pod时，可以优先选择有缓存数据的节点。 注意 如果应用Pod在spec.affinity或spec.nodeSelector中自定义了与fluid调度相关的亲和性信息，此时以应用Pod自身配置为准，Fluid不会注入相关的亲和性调度配置信息。 操作步骤 1、创建数据集并开启数据加速 2、训练任务使用加速数据集 登录云容器引擎管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 智算套件 > AI应用列表 > 离线训练 > 创建AI应用； 进入离线训练应用创建页面，在“基本信息”栏添加标签： 标签名为：fuse.serverful.fluid.io/inject 标签值为：true 进入离线训练应用创建页面，进行相关信息配置，详细参考创建训练任务； 配置训练数据： 点击“选择数据集”，在弹出页面选择“私有数据集”，选择已加速的数据集名称： 点击“选择数据集版本”，在弹出页面选择“私有数据集”，选择已加速的数据集名称： 继续其他配置，完成训练应用创建。 查看训练任务调度信息 进入主菜单 > 工作负载 > 容器组，查看训练任务pod对应的yaml信息，已经注入缓存节点调度信息： 进入主菜单 > 工作负载 > 容器组，可以看到训练任务pod 所在节点与fluid数据节点一致。

本节介绍数据缓存亲和性调度。 Fluid提供了数据缓存亲和性调度优化能力，根据数据集排布的Pod调度策略，支持通过webhook机制将调度信息注入到业务Pod中，从而实现将业务Pod优先调度到有数据缓存能力的节点。 在智算场景下，创建训练任务指定数据集时，通过调度优化策略将训练任务优先调度到缓存数据节点，可以提高数据同节点访问概率，获取最大程度访问效率。 前提条件 已完成AI套件安装，弹性数据集组件运行正常。 已创建数据集并开启加速。 数据集加速状态为已加速或已预热。 功能介绍 基于Mutating Webhook机制，Fluid可以在 业务Pod 创建时拦截，检测是否使用 Fluid PVC，从而为应用Pod注入所需数据缓存的亲和性信息（fluid.io/s{namespace}{dataset}）。当Kubernetes调度器调度应用Pod时，可以优先选择有缓存数据的节点。 注意 如果应用Pod在spec.affinity或spec.nodeSelector中自定义了与fluid调度相关的亲和性信息，此时以应用Pod自身配置为准，Fluid不会注入相关的亲和性调度配置信息。 操作步骤 1、创建数据集并开启数据加速 2、训练任务使用加速数据集 登录云容器引擎管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 智算套件 > AI应用列表 > 离线训练 > 创建AI应用； 进入离线训练应用创建页面，在“基本信息”栏添加标签： 标签名为：fuse.serverful.fluid.io/inject 标签值为：true 进入离线训练应用创建页面，进行相关信息配置，详细参考创建训练任务； 配置训练数据： 点击“选择数据集”，在弹出页面选择“私有数据集”，选择已加速的数据集名称： 点击“选择数据集版本”，在弹出页面选择“私有数据集”，选择已加速的数据集名称： 继续其他配置，完成训练应用创建。 查看训练任务调度信息 进入主菜单 > 工作负载 > 容器组，查看训练任务pod对应的yaml信息，已经注入缓存节点调度信息： 进入主菜单 > 工作负载 > 容器组，可以看到训练任务pod 所在节点与fluid数据节点一致。

本小节介绍开启容器安全防护。 您可以为已购买的服务器开启容器版安全防护，开启后按照容器版所提供的能力对服务器进行安全防护。 开启容器节点防护时，您需为指定的节点（主机）分配一个配额，关闭容器安全防护或删除节点（主机）后，该配额可分配给其他的节点（主机）使用。 检测周期 企业主机安全每日凌晨进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能看到检测结果。 前提条件 “资产管理 > 容器管理”页面“容器节点管理”中目标服务器“Agent状态”为“在线”。 已在云容器引擎成功创建节点。 节点的“容器防护状态”为“未防护”。 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、 根据需求可选择批量开启防护和单服务器开启防护。 单服务器开启防护 a.在“节点列表”中目标服务器的“操作”列单击“开启防护”，为需要开启防护的节点开启防护。 b.在弹窗中确认信息。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 确认开启集群防护 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。 批量开启防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“开启防护”。 b.在弹窗中确认信息及选择计费模式。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。

产品规格、计费单位、价格及应用场景说明，帮助您快速了解产品总体计费模式。 本产品按照服务的类型、人员数、服务周期及服务资产数进行收费。 注意 购买基础版、企业版前，应至少已订购主机安全、WAF、云防火墙安全产品。 服务项 细分项 资产数 单位 价格 应用场景 备注 基础版 基础版接入服务 元/年 40800 基础费用，包含服务接入、资源配置等 基础版 基础版资产 1 元/台/年 720 单个资产托管费用 企业版 托管基础服务 元/年 60000 基础费用，包含服务接入、资源配置等 企业版包含托管资产的应急响应服务，新购一年赠送一次资产威胁分析服务。 企业版 托管资产 1 元/台/年 1800 单个资产托管费用 企业版包含托管资产的应急响应服务，新购一年赠送一次资产威胁分析服务。 护航版 前期评估 150 元/天 10000 对资产、网络、应用进行重保前的整体安全评估，协助用户完成安全加固 最低5天 护航版 重保服务 150 元/天 12000 提供724小时不间断人工重保服务，持续进行安全监控及应急响应 护航版 防护资产扩展包 50 元/天/个 8000 扩展重保服务监控资产数量 每新增1个资产扩展包，安全检查最低天数增加1天 护航版 蓝军攻击服务（3人5天） 元/次 450000 提供3人5天的蓝军攻击服务，提供攻击报告 应急响应服务 应急响应服务 120 元/次 35000 提供远程应急响应服务，受影响范围为120个资产 应急响应服务 应急响应服务 21100 元/次 36000 提供远程应急响应服务，受影响范围为21100个资产 应急响应服务 应急响应服务 101200 元/次 39600 提供远程应急响应服务，受影响范围为101200个资产 应急响应服务 应急响应服务 201500 元/次 52000 提供远程应急响应服务，受影响范围为201500个资产 安全评估 安全评估服务 元/次 30000 对云上资产、应用、网络进行整体安全评估，提供评估报告，提供加固建议 全流量分析服务 元/月 3500 单个规格支持网络层吞吐量500Mbps，应用层吞吐量≤250Mbps，可按需叠加。 全流量分析服务 元/年 35000 单个规格支持网络层吞吐量500Mbps，应用层吞吐量≤250Mbps，可按需叠加。

本文介绍存储资源盘活系统的软件许可证订购操作。 软件许可证订购途径 1. 天翼云官网：在存储资源盘活系统产品详情页点击“订购软件”，进入订购存储资源盘活系统页面，进行订购。本节仅介绍此种订购方式。 2. 中国电信数字化原子能力平台：请在平台帮助指引下进行操作。 前提条件 您已经成功安装存储资源盘活系统，执行命令./stor info，获取HBlock序列号，用于进行软件许可证的申请。 注意 生成的软件许可证仅能用于该序列号对应的HBlock系统，不能在其他环境中使用。 操作步骤 1. 在存储资源盘活系统产品详情页点击“订购软件”，进入订购存储资源盘活系统页面，进行订购。 2. 在“订购存储资源盘活系统”页面中，选择许可证类型，输入序列号，设置容量和订购时长等信息。 订购参数 描述 许可证类型 许可证类型： 订阅模式：控制产品提供的本地卷的存储容量以及有效时长，按照容量和时长收费，到期后管理功能不可用，即无法再使用命令行、API或者Web页面执行HBlock的管理操作。 永久模式：控制产品提供的本地卷的存储容量以及维保时间，按照容量和维保收费，到期后软件可以正常使用，但是不再提供售后支持。 具体详见计费模式。 HBlock序列号 用于生成软件许可证的HBlock环境信息。 说明 请确保已完成HBlock安装，执行./stor info命令可查询HBlock序列号。生成的软件许可证仅能用于该序列号对应的HBlock系统，不能在其他环境中使用。 HBlock名称 HBlock环境的描述信息。 容量设置 控制软件许可证可以支持的所有本地卷的总的存储容量。 说明 支持通过“自定义容量”和“容量包”叠加的方式进行设置。最后按照“总容量”进行软件许可证的生成。 有效时长 仅针对订阅模式。到期后管理功能不可用，即无法再使用命令行、API或者Web页面执行HBlock的管理操作。 维保时长 仅针对永久模式。到期后软件可以正常使用，但是不再提供售后支持。 3. 确认无误后勾选“我已阅读，理解并同意《天翼云存储资源盘活系统服务协议》”，再单击“立即购买”，完成支付，等待天翼云工作人员和您联系，确认许可证的信息，并进行许可证的交付。

本章介绍如何创建元数据采集任务。此功能处于公测阶段，公测阶段可免费使用 前提要求 已完成数据库资产委托授权，参考云资产委托授权/停止授权进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产管理 > 元数据任务”，进入“元数据采集任务”页面。 5. 在“元数据采集任务”页面，单击“新建”，进入“新建采集任务 > 数据源配置”页面，具体参数说明如下表所示。 参数名 参数说明 选择数据源 选择数据来源。可选择“MySQL”、“PostgreSQL”、“DMDBMS”、“KingBase”、“OpenGuass”、“DWS”、“Hive”、“MRSHIVE”、“TDSQL”。 数据库实例 选择支持的数据库实例。 6. 单击“下一步”，进入“子任务配置”页面： 选择开启或关闭“扫描用户表”。 选择开启或关闭“扫描系统表”。 选择开启或关闭“扫描列约束”。 选择开启或关闭“扫描视图”。 选择开启或关闭“扫描列注释”。 选择开启或关闭“扫描权限”。 7. 单击“下一步”，进入“任务信息配置”页面，配置任务信息，参数说明请参见下表。 参数名称 参数说明 任务信息 任务名称：必填项， 您可以自定义采集任务的名称。 任务描述：非必填项，对您的采集任务进行描述。 任务配置 选择开启或关闭“删除联通性失败的元数据”。 执行计划 识别周期：您可以选择“单次”、“每日”、“每周”或“每月”。 执行计划：您可以选择“立即执行”或“定时启动”。 8. 单击“下一步”，进入“配置确认”页面，确认您已经配置好的参数。 9. 确认无误后单击“完成”，即可成功创建一个新的元数据采集任务。

本页面主要介绍为主帐号创建子帐号，创建用户组，并为子帐号授权的操作说明及步骤。（适用于I类型资源池） 用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 注意 本文仅适用于内蒙6、重庆2、拉萨3这些Ⅰ类型资源池配置主子账号以及相关权限，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。Ⅱ类型资源池的子账号配置请参见主子账号使用手册Ⅱ类型资源池。 操作步骤 创建子帐号以及为该子帐号授权相关企业项目的步骤总体分为： 创建子账户并加入用户组 在企业项目中为用户组授权 创建子账户并加入用户组 为主帐号添加子帐号以及将子帐号加入到用户组，步骤如下： 1. 进入天翼云官网，通过主账号登录，登入后，右上角选择“我的”，点击“个人中心”，进入个人中心界面。 2. 在左侧导航栏点击“统一身份认证”，进入统一认证服务IAM。 3. 选择“用户”页签，点击右上角创建用户。 4. 填写子账号的相关信息，包含用户名、邮箱、手机号等，并设置密码。设置完成点击右下角下一步。 5. 如无用户组请先创建用户组，如有可点击添加，添加进该用户组之后，会自动显示在右侧“已选用户组”窗口。如后续从用户组删除该用户，可点击移除。 admin用户组为拥有所有操作权限的用户组，您可根据需要加入此用户组或者加入自定义创建的用户组。 6. 加入用户组后，点击右下角下一步，将会显示创建成功。点击返回用户列表，可以看到创建的子账户。

本文主要介绍消息队列 Kafka 通过SSL接入的最佳实践，从而帮助您更好的使用该产品。 文中的最佳实践基于消息队列 Kafka 的 Java 客户端；对于其它语言的客户端，其基本概念与思想是通用的，但实现细节可能有差异，仅供参考。 背景 云消息队列 Kafka 版实例如果选择SASLSSL接入时，可能会出现性能较差的情况。可以通过在客户端指定密码套件的方式，手动选择性能和安全性都较高的套件进行TLS通讯。 SSL握手时客户端发送Hello Client 并带上客户端支持的密码套件，服务端收到握手请求后，获取客户端带来的密码套件和服务端支持的密码套件取交集。密码套件加载顺序受客户端jdk版本影响，不同jdk版本，密码套件顺序不一样，可能会导致性能和安全性等无法保证。因此为了保证性能，SSL连接时客户端可以指定密码套件。 推荐的性能和安全性较高的密码套件 TLSECDHERSAWITHAES256GCMSHA384 TLSECDHERSAWITHAES128GCMSHA256 步骤 1.先按照SASLSSL协议接入Kafka，SASLSSL接入可参考文档 SASLSSL接入点接入 2.在此基础上增加 ssl.cipher.suites 配置 客户端关键参数 java Properties props new Properties(); props.put(ProducerConfig.BOOTSTRAPSERVERSCONFIG, BROKERADDR); props.put(ProducerConfig.VALUESERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(ProducerConfig.KEYSERIALIZERCLASSCONFIG, StringSerializer.class.getName()); props.put(CommonClientConfigs.SECURITYPROTOCOLCONFIG, "SASLSSL"); props.put("sasl.mechanism", "SCRAMSHA512"); props.put(SaslConfigs.SASLJAASCONFIG, "org.apache.kafka.common.security.scram.ScramLoginModule required username"testuser" password"f6eca4dbc78df78d63fba980e448185f";");//注：上面的密码f6eca4dbc78df78d63fba980e448185f，为用户管理里面创建用户时填入的密码进行md5的结果，md5取32位小写 props.put("ssl.truststore.location","/kafka/client.truststore.jks"); props.put("ssl.truststore.password","sJses2tin1@23"); props.put("ssl.endpoint.identification.algorithm",""); props.put("ssl.cipher.suites","TLSECDHERSAWITHAES256GCMSHA384,TLSECDHERSAWITHAES128GCMSHA256");//密码套件支持多个，用半角逗号分开

高安全性 利用SASL机制对用户身份进行认证，并利用SSL对通道进行加密传输，确保数据在传输过程中不被窃取或篡改，保证您的数据安全。还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 Kafka是一个分布式流处理平台，为了保证数据的高安全性，它提供了以下几个方面的功能和特性： 认证与授权：Kafka支持基于SSL认证，可以验证客户端和服务器之间的身份。同时也支持基于ACL（访问控制列表）的细粒度授权，可以控制哪些用户可以读写指定的topic。 SSL加密传输：Kafka可以通过SSL对消息进行加密传输，确保数据在网络传输过程中的机密性和完整性。 完全控制数据的访问：对于每个topic，可以定义不同的ACL，限制不同用户或者用户组的读写权限。这样可以确保只有授权的用户能够访问指定的数据。 可靠性 Kafka通过持久化存储、复制机制、可配置的数据保留策略、故障检测和自动恢复、缓存机制以及节点间数据同步等功能，提供了高度可靠的消息传递和存储机制。 持久化存储：Kafka使用日志数据结构来存储消息，并将消息写入磁盘上的文件中。这种持久化存储方式确保了消息在发生故障或崩溃时不会丢失。一份消息多份落盘存储，允许海量消息堆积。 复制机制：Kafka通过复制机制提供高可用性和容错能力。它使用主题分区的副本来在多个服务器上复制消息。当其中一个服务器出现故障时，副本可以继续为消费者提供服务。 可配置的数据保留策略：Kafka允许根据特定的需求配置数据保留策略。您可以设置消息在特定时间段或特定大小后删除，或者保留所有消息。这使得您可以根据存储资源和业务需求来管理数据。 故障检测和自动恢复：Kafka具有内置的故障检测和自动恢复机制。当发生故障时，Kafka可以自动检测到并尝试重新连接断开的节点，确保整个集群的正常运行。 缓存机制：Kafka使用缓存来提高读写性能。消息首先被写入内存中的缓存，然后批量写入磁盘。这种缓存机制可以提高吞吐量，并减少对磁盘的频繁访问。 节点间数据同步：Kafka使用分布式的数据同步协议来保证消息在副本之间的一致性。这确保了在故障和服务恢复期间的数据完整性。

本文带您了解AI Store四大类服务的应用场景。 算力服务 智能算力 聚焦人工智能、大模型训练、科研仿真等“高并发、高浮点、高宽带”的需求，提供GPU/TPU/NPU等异构加速资源，助力AI创新从“可用”走向“好用”。 主要面向客户：大模型预训练、AIGC、多模态理解等AI企业与算法公司，高校与科研院所，自动驾驶团队以及医疗影像AI厂商等客户。 通用算力 面向Web服务、ERP、数据库、开发测试、办公协同等常规业务，以“按需付费、秒级开通”模式提供高性价比的基础算力。 主要面向客户：中小企业、初创团队、政府及事业单位（如一网通办、公共数据平台、政务云开发测试环境）等客户。 模型服务 模型推理 提供高性能的模型调用服务，可以通过标准的API接口将平台提供的大模型服务集成到自己的业务系统中，提供模型推理一站式部署服务。 主要面向用户：各种软件开发商，特别是行业软件开发商，以及科研院所、大专院校和教育机构、政府、金融机构、工业企业、科技单位、医院等行业客户。 模型应用 大模型与插件工具的结合能够有效拓展其在复杂任务中的实用性，支持接入私有知识库增强领域应答，集成联网搜索获取实时信息。 主要面向用户：需要组合模型和工具提供智能办公、智能客服、智能运维能力以及业务主要为知识密集型场景和特定内容生成的企业。 AI应用服务 搭建专属的智能体应用：基于应用广场筛选快速定位所需行业应用，一键部署，简化传统应用安装与配置的复杂流程。实现应用部署、运维和治理的全生命周期管理能力。 主要面向客户：需要快速集成AI能力形成垂直SaaS服务的行业服务集成商，电商/新媒体运营团队，初创公司与个人开发者等客户。 MCP服务 MCP（Model Context Protocol）即模型上下文协议，它为应用程序与大语言模型（LLM）之间的数据、工具和上下文交互提供了统一的接口和标准。 AI Store的MCP市场涵盖内容生成、网页搜索、效率工具等多种类型，全面支撑企业各类智能应用场景。以网页搜索为例，智能体可借助MCP网页搜索功能，通过自然语言提问，就能获取最新的网络信息。 主要面向客户：AI开发者、企业用户、科研人员和普通个人用户等，更有效的利用AI大模型完成各种任务。

全量更新主Master节点的原始客户端 场景描述 用户创建集群时，默认在集群所有节点的“/opt/client”目录安装保存了原始客户端。以下操作以“/opt/Bigdata/client”为例进行说明。 MRS普通集群，在console页面提交作业时，会使用master节点上预置安装的客户端进行作业提交。 用户也可使用master节点上预置安装的客户端来连接服务端、查看任务结果或管理数据等。 对集群安装补丁后，用户需要重新更新master节点上的客户端，才能保证继续使用内置客户端功能。 操作步骤 1.登录MRS Manager页面，具体请参见访问MRSManager（MRS2.x及之前版本），然后选择“服务管理”。 2.单击“下载客户端”。 “客户端类型”选择“完整客户端”，“下载路径”选择“服务器端”，单击“确定”开始生成客户端配置文件，文件生成后默认保存在主管理节点“/tmp/MRSclient”。文件保存路径支持自定义。 3.查询并登录主Master节点。 4.在弹性云服务器，切换到root用户，并将安装包复制到目录“/opt”。 sudo su root cp /tmp/MRSclient/MRSServicesClient.tar /opt 5.在“/opt”目录执行以下命令，解压压缩包获取校验文件与客户端配置包。 tar xvf MRSServicesClient.tar 6.执行以下命令，校验文件包。 sha256sum c MRSServicesClientConfig.tar.sha256 界面显示如下： MRSServicesClientConfig.tar: OK 7.执行以下命令，解压“MRSServicesClientConfig.tar”。 tar xvf MRSServicesClientConfig.tar 8.执行以下命令，移走原来老的客户端到/opt/Bigdata/clientbak目录下 mv /opt/Bigdata/client /opt/Bigdata/clientbak 9.执行以下命令，安装客户端到新的目录，客户端路径必须为“/opt/Bigdata/client”。 sh /opt/MRSServicesClientConfig/install.sh /opt/Bigdata/client 查看安装输出信息，如有以下结果表示客户端安装成功： Compon ents client installation is complete. 10.执行以下命令，修改/opt/Bigdata/client目录的所属用户和用户组。 chown omm:wheel /opt/Bigdata/client R 11.执行以下命令配置环境变量： source /opt/Bigdata/client/bigdataenv 12.如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 kinit MRS 集群用户 例如, kinit admin 13.执行组件的客户端命令。 例如，执行以下命令查看HDFS目录： hdfs dfs ls /

本节介绍天翼AI云电脑快速体验OpenClaw、配置QQ主流即时通讯软件,以及OpenClaw的典型场景介绍。 快速体验OpenClaw 新用户限时免费体验 存量用户切换镜像体验 接入飞书、钉钉、QQ等主流即时通讯软件 配置飞书 配置钉钉 配置QQ 完整指南 典型场景 上传小龙虾使用案例 快速体验OpenClaw 新用户限时免费体验 1. 微信小程序搜索“天翼AI云电脑”、扫描小程序二维码、云电脑APP，免费领取AI云电脑小龙虾openclaw助手； 2. 支持Ubuntu、Windows、妙逸AIOS，每个用户仅限领取一次； 3. 教程链接：++ 存量用户切换镜像体验 1. 支持镜像：Ubuntu 24.04 OpenClaw 64位、Windows Server 2022 OpenClaw、妙逸AIOS OpenClaw； 注意 切换镜像不支持跨系统操作，具体限制如下： · Windows 不支持切换至 Ubuntu 和妙逸 AIOS。 · Ubuntu 不支持切换至 Windows 和妙逸 AIOS。 · 妙逸 AIOS 不支持切换至 Windows 和 Ubuntu。 2. 支持微信小程序、云电脑App、PC客户端切换OpenClaw镜像； 3. 用户切换镜像路径：登录云电脑>工具栏>设置>系统重装>更换系统，选择OpenClaw镜像 ； 4. 教程链接：< 接入飞书、钉钉、QQ等主流即时通讯软件

云备份服务协议 天翼云云备份服务协议

参数 是否必填 参数类型 说明 示例 下级对象 cycleType 是 String 周期类型（仅创建单独付费云电脑有效）。取值范围： Month：按月。（仅订购类型为包周期类型有效） cycleCnt 是 Integer 周期数（仅创建单独付费云电脑有效）。取值范围： 136。（仅订购类型为包周期类型有效） desktopOidList 是 Array of Strings 计算增强型云电脑ID列表，可设置一个或多个，最多10个。

本章节为您介绍云安全态势感知基本功能 云安全态势感知页面默认为每天进行扫描并展示最新的扫描结果，其中包括通过率、已通过检查项、全部检查项。 策略管理 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“风险管理 > 云安全态势管理”。 3. 在页面右上角中，选择“策略管理”。 4. 在页面右侧弹出的对话框中，根据业务需求选择策略管理内容。 5. 策略配置完成后，单击“保存”即可完成策略配置。 检查项扫描 您可以通过人工方式定期执行安全检查项，对云端资产进行全面安全扫描。 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“风险管理 > 云安全态势管理”。 3. 选择需要执行的检查项，单击“操作”列的“扫描”按钮，在弹出的对话框中，单击“确定”即可开始扫描。 4. 开始扫描后，对应检查项的状态会变为“处理中”。 5. 扫描完成后，状态会变为“已通过”或“未通过”，可单击“操作”列的“详情”查看检查结果。

参数 是否必填 参数类型 说明 示例 下级对象 billMode 是 String 订购类型（仅创建单独付费云电脑有效）。取值范围： Cycle：包周期。 OnDemand：按需。 cycleType 否 String 周期类型（仅创建单独付费云电脑有效）。取值范围： Month：按月。（仅订购类型为包周期类型有效） cycleCnt 否 Integer 周期数（仅创建单独付费云电脑有效）。取值范围： 136。（仅订购类型为包周期类型有效） autoPay 否 Boolean 是否自动支付（仅创建单独付费云电脑有效），默认false。取值范围： true:是。（仅订购类型为包周期类型有效，需账号有足够金额） false:否。（仅订购类型为包周期类型有效） templateOid 是 String 规格模板ID processorType 否 String 处理器类型。创建XC型规格时必填。取值范围： kp：鲲鹏。 hg：海光。 ft：飞腾。 zx：兆芯。 Intel：Intel。 imageOid 是 String 镜像ID subnetOid 是 String VPC子网ID pubUserOidList 是 Array of Strings 用户ID列表，可设置一个或多个，最多50个 sysDiskType 是 String 系统盘类型（普通云电脑：hio高IO，GPU、XC云电脑：uhio超高IO） sysDiskSize 是 Integer 系统盘大小（单位：GB），需为10的倍数，范围：[max{镜像系统盘大小,80},200] dataDiskList 否 Array of Objects 数据盘列表，可设置最多5个 dataDiskList

服务功能 功能模块 功能概述 基础版 专业版 安全概览 安全评分 集中呈现资产安全风险评分和风险等级分布，同时展示当前风险防御能力。 √ √ 安全概览 安全监控 实时呈现展示待处理威胁告警、待修复漏洞、基线异常问题的安全监控统计数据 √ √ 安全概览 安全趋势 展示近7天内您的整体资产安全健康得分的趋势。 √ √ 资源管理 资源安全状况 同步资源信息，集中呈现资源整体安全状况。 × √ 威胁告警 告警列表 集中呈现威胁告警事件统计信息，导出告警事件。 √ √ 威胁告警 告警列表 通过将告警忽略、标记为线下处理，标识告警事件。 × √ 威胁告警 威胁分析 根据“攻击源”的IP查询被攻击的资产信息，亦可根据“被攻击的资产”的IP查询威胁攻击来源信息。 × √ 基线检查 云服务基线 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。 × √ 基线检查 云服务基线 通过一键扫描云服务基线，分类呈现云服务配置项检测结果信息。支持查看检测结果详情，并提供相应修复建议。 × √ 检测结果 全部结果 集中呈现安全产品的检测结果，可导出结果、标识结果等。 √ √ 日志管理 日志管理 通过授权OBS存储SA日志，满足日志审计和容灾需求。 × √ 产品集成 安全产品集成 通过集成安全产品，接入安全产品检测结果，管理检测结果的数据来源。 √ √

本节介绍天翼AI云电脑（政企版）产品支持集中管控、安全管理、数据安全以及更多扩展功能的内容介绍。 集中管控 统一业务管理台，应用软件、操作系统等一键升级，快速批量创建桌面，实现桌面标准化，降低工作量。 集中管理：支持用户管理、AI云电脑资源管理和计费管理。 策略管理：可配置盘类设备的读写权限，避免企业敏感信息泄密。 集中存储：防止数据用户泄密。终端故障率低，免维护，省时省力。 安全管理 AI云电脑提供多种安全管理使用能力，满足不同用户级别、不同场景的安全需要，给你安全、干净、高效的办公桌面。 管理安全：分权分域控制，按角色分类控制管理员的权限，且按部门控制管理员可管理的桌面，对管理员操作生成审计日志。 登录日志：记录用户登录AI云电脑，包括终端设备信息、开始连接时间和结束连接时间，实现对异常使用AI云电脑情况可追溯。 安全水印：显性水印，防软件截图，防拍照泄密，事前威慑，事后追踪泄密来源。 安全组：具备状态检测和数据包过滤能力，用于在云端划分安全域。 异常处理：在发现使用AI云电脑存在异常情况，如用户在做非法行为，可立刻锁住该桌面，及时制止。

前提条件 已获取管理控制台的登录账号与密码。 已使用的数据安全专区，需停止系统所有操作，解绑EIP。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 数据安全专区（原生版）”，进入数据安全专区实例管理页面。 3. 选择待退订的实例，单击所在行“操作”列的“更多 > 退订”，弹出的退订实例对话框。 4. 确认实例信息无误后，单击“确定”，进入控制中心>退订管理>退订申请，选择退订原因，勾选确认退订金额，点击退订按钮完成退订。 到期与欠费 包周期资源开通成功后，如果没有按时续费，云平台会提供一定的保留期。 保留期 ：指宽限期到期后客户的包年/包月资源仍未续订或按需资源仍未缴清欠款，将进入保留期。保留期内客户不能访问及使用云服务，但对客户存储在云服务中的数据仍予以保留。 云服务进入保留期后，天翼云将会通过邮件、短信等方式向您发送提醒，提醒您续订或充值。保留期到期仍未续订或充值，存储在云服务中的数据将被删除、云服务资源将被释放。 欠费后，可以查看欠费详情。为防止相关资源被停止或者释放，请及时进行充值，账号将进入欠费状态，需要在约定时间内支付欠款。

参数 参数类型 说明 示例 下级对象 desktopOid String 云电脑ID XXXXXXXXXXXXX6925 desktopName String 云电脑名称 nickname String 云电脑别名 osType String 操作系统类型（Windows;Linux） status String 运行状态（Creating创建中;Stopped已关机;Starting启动中;Running运行中;Rebooting重启中;Rebuilding重装中;Stopping关闭中;Deleting删除中;Deleted已删除;Unhealthy异常;RollingBack回滚中;Resizing变更中;Evacuating迁移中;Rescuing救援中;BackingUp备份中;DeletingBackup删除备份中;Regaining恢复中;Hibernating休眠中;Hibernated已休眠;WakingUp唤醒中） flavorType String 规格类型。可能值：[Common通用型, GpuGPU型, XcXC型]。 flavorSubtype String 规格子类型。仅对Linux通用型规格云电脑有意义。取值范围：[Desktop桌面版, Server服务器版]。 cpuArch String CPU架构。仅对XC型规格有意义。可能值：[arm, x86]。 processorType String 处理器类型。仅对XC型规格有意义。可能值： kp：鲲鹏。 hg：海光。 ft：飞腾。 zx：兆芯。 Intel：Intel。 kp cpu Integer CPU个数 memory Integer 内存大小（单位：GB） gpuMemory Integer 显存大小（单位：GB）。仅对GPU规格云电脑有意义。 sysDisk Object 系统盘 sysDisk dataDisks Array of Objects 数据盘 dataDisks imageOid String 镜像ID osName String 操作系统名称 org Object 归属部门 org vpcOid String VPC ID vpcName String VPC名称 subnets Array of Objects 所在子网集合 subnets eipAddress Object 弹性IP eipAddress pubUserOid String 分配用户ID（当且仅当用户与云电脑绑定成功时返回） userName String 分配用户名称（当且仅当用户与云电脑绑定成功时返回） desktopPool Object 归属桌面池。为空时代表不是桌面池的云电脑。 desktopPool chargeType String 计费方式。枚举值范围：[PrePaid包年包月, ResourcePack资源包] createTime String 创建时间。以ISO 8601为标准，并使用UTC+0时间，格式为yyyyMMddTHH:mm:ssZ。 expireTime String 到期时间。以ISO 8601为标准，并使用UTC+0时间，格式为yyyyMMddTHH:mm:ssZ。 表 sysDisk

本文介绍为组织或成员分配权限的方式 创建自定义策略 目前组织策略管理支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。 可视化视图配置自定义策略 1. 进入“组织策略管理>全部策略”页面。 2. 点击“创建自定义策略”按键，进入创建自定义策略页面。 3. 输入策略名称、策略描述等基本信息后，点击“下一步”。 4. 选择“可视化视图”，按页面提示进行选择。 效果：选择“允许”或“拒绝”。 云服务：选择需要进行权限控制的云服务。 说明 1. 此处只能选择一个云服务，如需配置多个云服务的自定义策略，请在完成此条配置后，点击“添加权限”。 2. 暂不支持一个自定义策略同时包含全局级云服务和资源池级云服务。如果需要同时设置全局级服务和资源池级服务的自定义策略，请创建两条自定义策略，便于授权时设置最小授权范围。 3. 操作：根据需求勾选产品的操作权限。 4. 资源：默认配置所有资源。若选择“特定资源”，可以根据目前权限的关联资源路径模板，通过单击“添加资源”来指定需要授权的资源。 5. （可选）选择“JSON视图”，将可视化视图配置的策略内容转换为JSON语句进行检视和编辑，您可以在JSON视图中对策略内容进行修改。 如果您修改后的JSON语句有语法错误，将无法创建策略，可以根据提示信息自行检查并修改内容。 此外，如果将JSON语句重新转换到可视化视图时失败，一般是由于Statement下包含多个不同云服务的Action，和可视化的映射规则不符合，这种情况不会影响策略的正常创建。 6. 点击“保存”，完成自定义策略的创建。

本章节主要介绍队列相关问题中有关运维指导的问题。 查看DLI队列负载 场景概述 如果需要确认DLI队列的运行状态，决定是否运行更多的作业时需要查看队列负载。 操作步骤 1. 在控制台搜索“云监控服务 CES”。 2. 进入CES后，在页面左侧“云服务监控”列表中，单击“数据湖探索”。 3. 选择队列进行查看。 如何判断当前DLI队列中的作业是否有积压？ 问题描述 需要查看DLI的队列中作业状态为“提交中”和“运行中”的作业数，判断当前队列中的作业是否有积压。 解决方案 可以通过“云监控服务 CES”来查看DLI队列中不同状态的作业情况，具体操作步骤如下： 1. 在控制台搜索“云监控服务 CES”，进入云监控服务控制台。 2. 在左侧导航栏选择“云服务监控 > 数据湖探索”，进入到云服务监控页面。 3. 在云服务监控页面，“名称”列对应队列名称，单击对应队列名称，进入到队列监控页面。 4. 在队列监控页面，分别查看以下指标查看当前队列的作业运行情况。 a.“提交中作业数”：展示当前队列中状态为“提交中”的作业数量。 b.“运行中作业数”：展示当前队列中状态为“运行中”的作业数量。 c.“已完成作业数”：展示当前队列中状态为“已成功”的作业数量。 如何将老版本的Spark队列切换成通用型队列 当前DLI服务包括“SQL队列”和“通用队列”两种队列类型。 其中，“SQL队列”用于运行SQL作业，“通用队列”兼容老版本的Spark队列，用于运行Spark作业和Flink作业。 通过以下步骤，可以将老版本的“Spark队列”转换为新的“通用队列”。 1. 重新购买“通用队列”。 2. 将在旧的“Spark队列”中的作业迁移到新的“通用型队列”中，即在提交Spark作业时指定新的队列。 3. 释放旧的“Spark队列”，即删除或退订队列。

本页介绍了使用Java如何连接文档数据库服务。 使用SSL证书连接 1. 您可以在“实例管理”页面，单击实例名称进入“基本新消息”页面，确认开启了SSL后，单击“实例信息”模块“SSL”处的，下载证书。 2. 通过Java连接文档数据库服务，代码中的Java链接格式如下： 1. 连接到单节点： mongodb:// : @ : / ?authSourceadmin&ssltrue 2. 连接到副本集： mongodb:// : @ : / authSourceadmin&replicaSetreplica&ssltrue 3. 连接到集群： mongodb:// : @ : / ?authSourceadmin&ssltrue 参数 说明 username 当前用户名。 password 当前用户的密码。 instanceip 如果通过弹性云服务器连接，“instanceip”是主机IP，即“基本信息”页面该实例的“内网地址”。 如果通过连接了公网的设备访问，“instanceip”为该实例已绑定的“弹性公网IP”。 instanceport 端口，默认8030，当前端口，参考“基本信息”页面该实例的“数据库端口”。 databasename 数据库名，即需要连接的数据库名。 authSource 鉴权用户数据库，取值为admin。 ssl 连接模式，值为true代表是使用ssl连接模式。 3. 连接文档数据库服务的Java代码，可参考以下示例： import com.mongodb.MongoClient; import com.mongodb.MongoClientOptions; import com.mongodb.MongoCredential; import com.mongodb.ServerAddress; ​ import javax.net.ssl.SSLContext; import javax.net.ssl.TrustManagerFactory; import java.io.FileInputStream; import java.security.KeyStore; import java.security.cert.CertificateFactory; import java.security.cert.X509Certificate; ​ public class MongoDBSSLExample { public static void main(String[] args) throws Exception { //用户名 String username ""; //数据库 String databaseName ""; //密码 String password ""; //证书路径 String certPath ""; //连接地址 String host ""; //端口 int port 8030; // 创建MongoCredential对象 MongoCredential credential MongoCredential.createCredential(username, databaseName, password.toCharArray()); // 加载证书 CertificateFactory certificateFactory CertificateFactory.getInstance("X.509"); X509Certificate certificate (X509Certificate) certificateFactory.generateCertificate(new FileInputStream(certPath)); // 创建SSL上下文 SSLContext sslContext SSLContext.getInstance("TLS"); KeyStore keyStore KeyStore.getInstance(KeyStore.getDefaultType()); keyStore.load(null, null); keyStore.setCertificateEntry("mongodbcert", certificate); TrustManagerFactory trustManagerFactory TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); trustManagerFactory.init(keyStore); sslContext.init(null, trustManagerFactory.getTrustManagers(), null); ​ // 创建MongoClient实例 MongoClientOptions options MongoClientOptions.builder() .sslEnabled(true) .sslInvalidHostNameAllowed(true) .sslContext(sslContext) .build(); MongoClient mongoClient new MongoClient(new ServerAddress(host, port), credential, options); } }

本页介绍了关系数据库MySQL版如何设置SSL数据加密。 关系数据库MySQL版设置SSL数据加密指引如下。 操作场景 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 认证用户和服务器，确保数据发送到正确的客户端和服务器。 加密数据以防止数据中途被窃取。 维护数据的完整性，确保数据在传输过程中不被改变。 前提条件 只有数据库状态为运行中的实例才可以执行设置SSL数据加密。 操作步骤 开启SSL加密 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 选择数据安全 二级目录，选择SSL加密页签，点击SSL设置按钮。 若开关关闭，单击图标，在提示框中，单击确定，开启SSL加密。 5. 单击服务器证书右侧的下载证书，下载ca.pem。 6. 将根证书（ca.pem）上传到ECS（弹性云主机）或本地机器。 7. 在ECS或本地机器上执行以下命令连接MySQL实例。 a. mysql h P u p sslca 参数 说明 1.如果在关系数据库MySQL版同资源池同vpc下开通了ECS主机，通过ECS主机连接数据库，则hostName为连接地址。 2.如果在关系数据库MySQL版同个资源池下未开通ECS主机，则需要绑定弹性IP，hostName为目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 b. 使用root用户SSL连接数据库实例，示例如下： mysql h P 13049 u root p sslcaca.pem 8. 出现如下提示时，输入数据库帐号对应的密码： Enter password: