本章节主要介绍重启集群。 操作场景 在进行某些配置修改（如关闭用户隔离等）后，需要重启集群才能生效。此时您需要进行集群重启操作。 前提条件 已创建CDM集群。 重启集群 1.登录CDM管理控制台。单击左侧导航上的“集群管理”，进入集群管理界面。集群列表详见下图 说明 “创建来源”列仅通过DataArts Studio服务进入数据集成界面可以看到。 2.选择集群操作列中的“更多 > 重启”，进入重启集群确认界面。重启集群详见下图 3.您可以选择重启CDM服务进程或重启集群VM，选择完成并点击确认后即可完成集群重启操作。 重启CDM服务进程：只重启CDM服务的进程，不会重启集群虚拟机。 重启集群VM：业务进程会中断，并重启集群的虚拟机。

部署快捷，适配广泛 集成分布式算力调度、模型并行推理和多种运算加速能力，提升模型推理性能，实现推理服务的快捷部署。同时，适配多种模型结构，灵活支持用户各类复杂推理应用需求。 集成多种AI框架 集成多种AI框架，包括国产AI框架，支持各种主流大模型。 安全可信 符合数据监管要求，不设置数据埋点，不收集存储用户的入参和出参数据，从根本上保证了用户的数据隐私安全。 卓越的客户服务 31省本地化的销售网络体系，提供“家门口”的精细化客户服务。724小时的免费运维服务，全力保障客户业务稳定运行。

业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

云主机备份(CTCSBS,Cloud Server Backup Service)提供对弹性云主机的备份保护服务,支持基于多云硬盘一致性快照技术的备份服务,并支持利用备份数据恢复弹性云主机数据,最大限度保障用户数据的安全性和正确性,确保业务安全。

安装远程桌面服务和RD授权 远程桌面服务安装和配置 1 选择“服务器管理器 > 角色 > 添加角色”。 2 勾选“远程桌面服务”，单击“下一步”。 3 单击“下一步”。 4 单击“下一步”。 5 选择“始终安装远程桌面会话主机”，单击“下一步”。 6 选择“角色服务”，勾选“远程桌面会话主机”和“远程桌面授权”，单击“下一步”。 7 单击“下一步”。 8 选择“不需要使用网络级别身份认证”，单击“下一步”。 9 选择“以后配置”，单击“下一步”。 10 界面默认显示的“Administrators”能够连接到RD会话主机服务器（如果有特别需要，请添加需要的用户或组），单击“下一步”。 11 单击“下一步”。 12 单击“下一步”。 13 选择“稍后为SSL加密选择证书”，单击“下一步”。 14 选择“以后”，单击“下一步”。 15 默认，单击“下一步”。 16 选择“角色服务”，勾选“网络策略服务器”，单击“下一步”。 17 安装IIS，单击“下一步”。 18 默认，单击“下一步”。 19 默认，单击“安装”。 20 界面显示安装过程，请等待。 21 安装完成后，单击“关闭”，弹出重启服务器提示框，选择“是”自动重启服务器，单击“下一步”。 22 服务器重启后，登录会自动弹出角色服务配置窗口，自动配置完成后单击“关闭”。 23 选择“开始 > 管理工具 > 远程桌面服务 > 远程桌面会话主机配置”，在右侧窗口中双击“限制每个用户只能进行一个会话”，在“属性”中取消勾选“限制每个用户只能进行一个会话”，单击“确定”。

CCE通过云监控服务（Cloud Eye）为您提供节点的监控，每个节点对应一台弹性云主机。 监控是保持CCE节点可靠性、可用性和性能的重要部分，通过监控，用户可以观察节点资源。您可以使用该服务监控您的节点，执行自动实时监控、告警和通知操作，帮助您更好地了解节点的各项性能指标。 表 支持的主要监控指标 监控指标 指标含义 CPU使用率 统计测量对象的CPU使用率，以百分比为单位。 磁盘读速率 统计每秒从测量对象读出数据量，以字节/秒为单位。 磁盘读操作速率 该指标用于统计每秒从弹性云主机读取数据的请求次数，以请求/秒为单位。 磁盘写速率 该指标用于统计每秒写到弹性云主机的数据量，以字节/秒为单位。 磁盘写操作速率 该指标用于统计每秒从弹性云主机写数据的请求次数，以请求/秒为单位。 带外网络流入速率 该指标用于在虚拟化层统计每秒流入弹性云主机的网络流量，以字节/秒为单位。 带外网络流出速率 该指标用于在虚拟化层统计每秒流出弹性云主机的网络流量，以字节/秒为单位。 相关操作 云监控服务（Cloud Eye）为您提供一个针对弹性云主机、带宽等资源的立体化监控平台。使您全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。

是否支持对本地代码进行检查、构建及部署？ 部分支持。 代码检查、编译构建服务支持代码托管、通用Git等源码源，可选择在本地搭建的网络通用标准的Git，且需本地网络能访问互联网。 部署服务所使用的软件包，需要从制品仓库服务“软件发布库”中取得，因此需要先将待部署的软件包上传到软件发布库中。 能否将本地或其它平台代码及工作项迁移到软件开发生产线上？ 能。 工作项迁移：需求管理服务提供批量上传功能。在需求管理服务中下载模板，按照模板内容填写工作项信息后上传即可。相关操作可参考“《需求管理用户指南》>Scrum项目>管理工作项”。 代码迁移：代码托管服务支持本地、线上Git仓库的迁移。相关操作可参考“《代码托管用户指南》>迁移到代码托管仓库”。 项目结束后如何回收/归档项目资料到本地 ？ 软件开发生产线中提供云端项目归档功能，归档后的项目对所有成员只读，不能进行工作项的增删改等操作。 软件开发生产线具有完备的数据安全管理机制，保证云端的数据不丢失，且随时可见。 此外，各服务提供以下项目资料下载操作，满足本地资料归档诉求。 批量导出工作项：详细操作请参考“《需求管理用户指南》>Scrum项目>管理工作项” 下载文件：详细操作请参考“《需求管理用户指南》>Dolphin知识库>文件操作” 克隆代码到本地：详细操作请参考“《代码托管用户指南》>迁移到代码托管仓库” 下载软件包：详细操作请参考“《制品仓库用户指南》>软件发布库>软件发布库基础操作” 导出测试用例：详细操作请参考“《测试计划用户指南》>测试用例>手工测试用例>迁移手工测试用例”

本节主要介绍事件监控。 事件监控简介 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。 事件即云监控服务保存并监控的GeminiDB Influx资源的关键操作，您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作，如修改实例名称、规格变更等。 事件监控为您提供上报自定义事件的接口，方便您将业务产生的异常事件或重要变更事件采集上报到云监控服务。 事件监控默认开通，您可以在事件监控中查看系统事件和自定义事件的监控详情，目前支持的系统事件请参见本章节 事件监控支持的事件说明。 查看事件监控数据 操作场景 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。 事件监控默认开通，您可以在事件监控中查看系统事件和自定义事件的监控详情。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择目标实例，在“基本信息”页面的“节点信息”区域，单击操作列的“查看监控指标”，跳转到云监控页面，查看事件监控数据。 4. 单击上方的返回云监控服务主界面。 5. 单击业务左侧导航栏的“事件监控”。 进入“事件监控”页面。在“事件监控”页面，默认展示近24小时的所有系统事件。 您也可以根据需要选择“近1小时”“近3小时”“近12小时”“近24小时”“近7天”“近30天”，分别查看不同时段的事件。 6. 展开对应的事件类型，单击具体事件右侧的操作列的“查看事件”，可查看具体事件的内容。 创建事件监控的告警通知

cloudconfig chpasswd: list: root: expire: False 创建弹性云主机成功后，您可以使用重置的密码登录弹性云主机。为了确保密码安全，建议您在第一次登录弹性云主机后修改root用户的密码。 案例2 以下是通过实例自定义数据注入来为Linux弹性云主机更新系统软件包并启动httpd服务的示例。 请按照以下示例注入实例自定义数据： !/bin/bash yum update y service httpd start chkconfig httpd on 注入成功后，您的弹性云主机将会更新系统软件包，并启动httpd服务。您可以通过访问弹性云主机的公网IP地址来使用httpd服务。请确保您的操作系统支持yum包管理器，并且已经安装了httpd服务。 案例3 以下是通过实例自定义数据注入来激活Linux弹性云主机的root用户远程登录权限的示例。 实例自定义数据注入示例： cloudconfig disableroot: false runcmd: sed i 's/^PermitRootLogin.$/PermitRootLogin withoutpassword/' /etc/ssh/sshdconfig sed i '/^KexAlgorithms.$/d' /etc/ssh/sshdconfig service sshd restart 注入成功后，您将能够使用SSH密钥方式以root帐户登录弹性云主机。该示例中的自定义数据使用cloudconfig格式，并通过runcmd字段执行了一系列命令，包括修改/etc/ssh/sshdconfig文件中的配置，重启sshd服务使更改生效。 说明 激活root用户远程登录权限可能存在安全风险，建议在完成必要的任务后再禁用root用户的远程登录权限，以提高系统的安全性。

本章节主要介绍ALM38004 Kafka直接内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测Kafka服务直接内存使用状态，当连续10次检测到Kafka实例直接内存使用率超出阈值（最大内存的80%）时，产生该告警。 平滑次数为1，直接内存使用率小于或等于阈值时，告警恢复；平滑次数大于1，直接内存使用率小于或等于阈值的90%时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 38004 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 Kafka可用直接内存不足，可能会造成内存溢出导致服务崩溃。 可能原因 该节点Kafka实例直接内存使用率过大，或配置的直接内存大小不合理，导致使用率超过阈值。 处理步骤 检查Kafka实例直接内存使用率 在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > Kafka直接内存使用率超过阈值 > 定位信息”。查看告警上报的实例的主机名。 1. 在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Kafka > 实例”，选择上报告警实例主机名对应的角色。单击图表区域右上角的下拉菜单，选择“定制 > 进程 > Kafka直接内存使用率”，单击“确定”。 2. 查看Kafka使用的直接内存是否已达到Kafka设定的最大直接内存的80%。 是，执行步骤4。 否，执行步骤7。

本文介绍了备案管家的到期说明。 备案管家为一次性服务产品，未使用长期有效；备案成功后，则单次服务到期失效。

本文为您介绍编辑脚本黑名单的具体操作。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“脚本管理”“脚本黑名单”，进入脚本黑名单列表页。 5. 点击脚本黑名单列表操作列中的“编辑”按钮，弹出编辑黑名单弹窗。 6. 填写脚本黑名单相关信息。各配置项说明与创建黑名单各配置项相同。 7. 填写配置信息完毕后，点击“确认”按钮，完成黑名单编辑。

可以考虑如下方案： 结合使用镜像的跨区域复制及共享，即：将云主机制作为私有镜像，迁移至另一个账号的其他区域，然后使用私有镜像创建新的云主机。私有镜像迁移有两种方式。 方法一： 1. 跨区域复制到同账号的另一个区域，再共享给另一个账号。目前支持系统盘镜像和数据盘镜像跨区域复制的区域：西安2支持单向复制到华北、西安2支持单向复制到贵州、华北和贵州支持双向复制、广州和苏州支持双向复制；对于整机镜像，不支持跨区域复制。 2. 将私有镜像共享给另一个账号，另一个账号接受后将其复制为私有镜像，再复制到其他区域。 方案二：使用主机迁移服务。 主机迁移服务是一种P2V（Physical to Virtual）或V2V（Virtual to Virtual）迁移服务，可以帮您把x86物理服务器或者私有云、公有云平台上的虚拟机迁移到天翼云弹性云主机上。

本节为您介绍云迁移服务CMS的使用限制。 项目 约束和限制 迁移评估 TCO分析表只支持源端到天翼云端资源成本分析，并给出成本对比，成本分析饼图。 TCO分析表仅支持计算资源、数据库资源、对象存储资源、中间件RDS资源。 资源采集 资源采集分为离线、在线采集，其中离线采集通过调研模板填写源端资源真实信息，进行资源映射管理。 迁移组创建 每个待迁移资源在资源添加完成后都需进行迁移组的创建，便于后续迁移管理。 迁移计划创建 迁移计划建立在迁移组创建成功后，对待迁移资源进行选择。 迁移计划优先级 迁移计划优先级仅用于列表展示顺序进行标识。 迁移管理工具 目前仅支持服务器迁移服务（CMSSMS）、数据库迁移服务（CMSDMS）、数据迁移工具（CMSZMS）以及相应异构迁移工具。 特定需求限制 如果存在涉密文件、需要保持IP不变等特定需求，需要通过工单进行技术咨询，以满足相应需求。

项目 描述 对象存储服务 对象存储服务名称： OOS ： 天翼云对象存储经典版I型 S3：兼容S3的其他对象存储。 默认值为OOS。 Endpoint 设置对象存储的Endpoint。 注意 Endpoint必须与所使用的对象存储服务一一对应：若使用OOS对象存储服务，需填写OOS的Endpoint；若使用兼容S3的其他对象存储服务，则需填写它的Endpoint。 如果仅输入域名将会使用HTTPS协议进行访问。 OOS Endpoint详见 。 存储桶 存储桶信息。输入已存在的存储桶的名称和前缀名称，设置前缀名称后，卷数据会存在存储桶以前缀命名的类文件夹中。如果未指定前缀，则直接存储在以卷名称命名的类文件夹中。 前缀取值：字符串形式，长度范围是1~256。 注意 请勿开启Bucket的生命周期设定和合规保留。 签名版本 指定上云签名认证的类型： v2：V2签名认证。 v4：V4签名认证。 默认值为v2。 区域 Endpoint资源池所在区域。 OOS区域详见 。 V4签名时，此项必填。 存储类型 设置OOS的存储类型： 标准存储。 低频访问存储。 默认为标准存储。 AK/SK 对象存储服务的Access Key和Secret Access Key。 对象大小 数据存储在对象存储的大小。 取值：128 KiB、256 KiB、512 KiB、1 MiB、2 MiB、4 MiB、8 MiB。默认值为1 MiB。 压缩 是否压缩数据上传至对象存储： 启用：压缩数据上传至对象存储。 禁用：不压缩数据上传至对象存储。 默认值为启用。

配置外到内的访问策略 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。 4.单击“添加规则”，在弹出“添加防护规则”对话框，配置防护规则。 添加放行的防护规则。在“添加防护规则”对话框，配置源地址和目的地址，协议选择TCP或者特定协议，填写源端口和目的端口，动作选择放行。源地址和目的地址可设置为IP地址或者IP地址组。 源：可设置为IP地址或者IP地址组 目的：ANY 服务：ANY 动作：放行 添加全局阻断。在“添加防护规则”对话框，配置0.0.0.0/0，动作选择阻断，始终保持该条规则优先级最低。 源：ANY 目的：ANY 服务：ANY 动作：阻断 配置内到外的访问策略 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。 4.单击“添加规则”，在弹出“添加防护规则”对话框，配置防护规则。 在“添加防护规则”对话框，配置源地址和目的地址，协议选择TCP或者特定协议，填写源端口和目的端口，动作选择放行。源地址和目的地址可设置为IP地址或者IP地址组。 在“添加防护规则”对话框，配置源地址和目的地址，目的类型选择“域名”，服务选择TCP或特定协议，配置源端口和目的端口，动作选择放行。CFW支持基于域名的访问控制策略。 在“添加防护规则”对话框，配置源地址和目的地址，服务选择TCP或特定协议，配置源端口和目的端口，动作选择阻断。

本章节介绍防护的主机切换操作系统,HSS配额是否会发生变化。 不会变化。在切换主机操作系统前，请您先确认企业主机安全服务的Agent是否支持待切换的操作系统。不支持的操作系统，与Agent可能存在兼容性问题，建议您重装或者选择为Agent支持的操作系统版本，以便获得企业主机安全更好的服务体验。 企业主机安全服务的Agent可运行在CentOS、EulerOS等Linux系统以及Windows 2012、Windows 2016等Windows系统的主机上。 注意 已停止服务的Linux系统版本或者Windows系统版本，与Agent可能存在兼容性问题，建议重装或者升级为Agent支持的操作系统版本，以便获得企业主机安全更好的服务体验。 主机安全服务支持的云主机Linux系统、Windows版本如下边三个表所示： 说明 部分操作系统版本下的个别子版本存在不支持的情况，会陆续上线支持，感谢您的理解与支持。 HCE 2.0当前暂不支持漏洞检测和配置检测功能，将在之后的版本迭代上线。 Linux系统版本（X86架构） 序号 支持的OS类型 1 CentOS: 7.4，7.5，7.6，7.7，7.8，7.9，8.0，8.1，8.2 and 9 (64bit) 2 Debian: 9，10，11.0.0 and 11.1.0 (64bit) 3 EulerOS: 2.2，2.3，2.5，2.7 and 2.9 (64bit) 4 Fedora: 28 (64bit) 5 OpenSUSE: 15.3 (64bit) 6 Ubuntu: 16，18，20.03，20.04 and 22.04 (64bit) 7 RedHat: 7.4，8.0 and 8.7 (64bit) 8 OpenEuler：20.03 LTS，22.03 SP3 LTS and 22.03 (64bit) 9 AlmaLinux: 9.0 (64bit) 10 Rocky Linux：8.4，8.5 and 9.0 (64bit)

本节介绍了安装ICAgent的注意事项和操作步骤。 ICAgent是云日志服务的日志采集工具，运行在需要采集日志的云主机中。首次使用云日志服务采集主机的日志时，需要安装ICAgent。 如果在使用其他云服务时已经安装了ICAgent，不再需要重复安装ICAgent，请跳过该步骤。 前提条件 安装ICAgent前，请确保本地浏览器的时间、时区与主机的时间、时区一致。 安装ICAgent 1. 在云日志服务管理控制台，单击“主机管理”。 2. 在主机管理页面，单击右上角“安装ICAgent”。 3. “安装系统”选择“Linux”。 4. “安装方式”选择“获取AK/SK凭证”。 AK/SK（Access Key ID/Secret Access Key）即访问密钥，在“我的凭证”控制台获取，步骤如下： 1. 单击页面右上角的用户名，选择“我的凭证”。 2. 在“我的凭证”页面中选择“访问密钥”页签。 3. 单击“新增访问密钥”，输入验证码或密码。 4. 单击“确定”，下载访问密钥，并妥善保管。 5. 在文本框中输入获取的AK/SK，生成ICAgent安装命令。 6. 单击“复制命令”，复制ICAgent的安装命令。 7. 使用PuTTY等远程登录工具，以root用户登录待安装ICAgent的服务器，执行ICAgent安装命令进行安装。 当显示“ICAgent install success”时，表示安装成功，ICAgent已安装在了/opt/oss/servicemgr/目录。安装成功后，在云日志服务左侧导航栏中选择“主机管理 > 主机”，查看该服务器ICAgent的状态。

本节为您介绍云迁移服务CMS 成本评估任务列表查看。 云迁移服务CMS平台可以查看当前用户发起的成本评估任务基本信息，如任务编号、任务名称、源端类型、目标端区域、任务状态、调研方式、创建时间、操作等信息。如图所示。

如果您需要对您所拥有的FunctionGraph进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用FunctionGraph资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将FunctionGraph资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用FunctionGraph服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的FunctionGraph权限，并结合实际需求进行选择。 实例流程 1. 在IAM控制台创建用户组，并授予FunctionGraph查询及调用权限“FunctionGraph Invoker”。 2. 在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 3. 新创建的用户登录管理控制台，验证FunctionGraph的函数查询权限。 1. 在“服务列表”中选择“函数工作流 FunctionGraph”，进入“函数 > 函数列表”，单击“创建函数”进入到创建函数界面，发现无法创建函数，表示“FunctionGraph Invoker”已生效。 2. 在“服务列表”中选择除FunctionGraph外的任一服务，若提示权限不足，表示“FunctionGraph Invoker”已生效。

如果系统预置的CBR权限，不满足您的授权要求，可以创建自定义策略。 目前云平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见《统一身份认证服务用户指南》的“创建自定义策略”章节。 本章为您介绍常用的CBR自定义策略样例。 CBR自定义策略样例 示例1：授权用户创建、修改和删除存储库 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cbr::get", "cbr::list", "cbr:vaults:update", "cbr:vaults:delete", "cbr:vaults:create" ] } ] } 示例2：拒绝用户删除存储库和备份 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予CBR FullAccess的系统策略，但不希望用户拥有CBR FullAccess中定义的删除存储库权限，您可以创建一条拒绝删除存储库和备份的自定义策略，然后同时将CBR FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对CBR执行除了删除存储库和备份外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cbr:backups:delete", "cbr:vaults:delete" ] } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cbr:vaults:create", "cbr:vaults:update", "cbr:vaults:delete" ] }, { "Effect": "Allow", "Action": [ "sfs:shares:createShare" ] } ] }

本章介绍如何卸载Agent。 提供一键卸载和手动本地卸载两种方式。 操作场景 Agent包选择错误，需要卸载Agent后重新安装。 安装命令复制错误（如在32位的主机中安装64位的Agent），需要卸载Agent后重新安装。 主机安全升级Agent失败，需要排查执行Agent卸载。 前提条件 云服务器的“Agent状态”为“在线”。 控制台一键卸载Agent 用户可以通过主机安全控制台直接卸载Agent，方便用户操作。 说明 卸载Agent后主机安全服务将无法为该服务器提供任何防护。 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航中，选择“安装与配置”，进入“安装与配置”界面。 5、选择“Agent管理 > Agent在线”，在需要卸载Agent的云服务器所在行的“操作”列，单击“卸载Agent”。 6、在弹出的卸载Agent对话框中，单击“确认”。 云服务列表“Agent状态”显示为“离线”，卸载Agent成功。 卸载Agent成功 主机本地卸载 用户在不需要使用主机安全服务或需要重新安装Agent时，可从本地卸载版本Agent。 说明 卸载Agent后主机安全服务将无法为该服务器提供任何防护。

本节介绍购买漏洞扫描服务的操作流程。 操作场景 该任务指导用户首次使用VSS时，如何购买漏洞扫描服务的专业版、高级版和企业版扫描功能。 注意 仅支持从专业版升级至高级版，当您是专业版用户时，如果需要将专业版扫描配额包中的二级域名配额升级为一级域名配额，可以直接将专业版升级到高级版。 不支持多个版本同时存在。 不支持从专业版或高级版直接升级至企业版，当您是专业版或高级版用户时，如果需要使用企业版，请直接购买企业版。为保证您的权益，请您购买企业版后，提工单退订专业版或高级版。 购买漏洞扫描服务或配额后，不支持直接修改配额，仅支持升级规格，请谨慎操作。 前提条件 已获取管理控制台的登录帐号与密码。 购买步骤 1. 登录管理控制台。 2. 在页面上方选择区域或项目后，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理界面。 首次使用VSS，您可以在页面左侧，单击“立即购买”，进入VSS购买页面。 如果您已经体验了VSS基础版，请在页面的右上角，单击“升级规格”，进入VSS购买页面。 3. 在购买漏洞扫描服务界面，进行服务选型配置。 “计费模式”选择“包年/包月”，参数配置完成后，请执行步骤4。 说明 使用基础版的用户，可以继续使用基础版的功能，每个用户可添加的域名个数不超过5个。 当用户在使用中需要增加专业版/高级版/企业版域名扫描配额，购买的数量不能小于已购买的数量，到期时间不变。 计费模式包年/包月（专业版）： 计费模式包年/包月（高级版）： 计费模式包年/包月（企业版）： 服务选型参数说明： 参数 参数说明 规格选择 漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 规格说明 对应版本支持的功能介绍。 购买时长 专业版：可以选择1个月～3年的时长。 高级版：可以选择1个月～3年的时长。 企业版：支持“1个月”、“3个月”、“1年”的购买时长。 扫描配额包 选择“专业版”时，需要配置购买的域名扫描配额包数量。 Web漏扫：包含1个二级域名或IP:端口，每个公网IP支持的端口号不限。 主机漏扫：包含20个IP地址。 购买的“扫描配额包”不能少于资产列表的网站数量。 选择“高级版”时，需要配置购买的域名扫描配额包数量。 Web漏扫：默认包含1个一级域名（不限制二级域名个数）/IP（不限制端口个数），每个公网IP支持的端口号不限。 主机漏扫：不限制IP地址个数。 选择“企业版”时，每个配额包包含如下： Web漏扫：默认包含5个一级域名（不限制二级域名个数）/IP（不限制端口个数），每个公网IP支持的端口号不限。 主机漏扫：不限制IP地址个数。 若默认的域名配额数量不能满足您的要求，您可以通过配置扫描配额包的数量，增加域名配额。 计费模式选择“按需计费”，如下图所示。 创建任务时，保持升级开关关闭，开始扫描后默认享受单次基础版扫描服务。 创建任务时，开启升级开关，开始扫描后享受单次专业版扫描服务。扫描开始后进行一次性扣费，请保障您的账户余额充足。 基于基础版创建主机扫描时，每次扫描最多20台主机，扫描开始后进行一次性扣费，请保障您的账户余额充足。 计费模式按需计费： 请参照以下操作步骤完成一次扫描任务： 1. 单击“立即体验”回到“资产列表”界面。 说明 如果没有域名，请先添加域名并完成域名认证，再在创建任务界面进行单次按需购买。 2. 单击“扫描”，进入“创建任务”界面，相关设置如图所示。 您可以打开“是否将本次扫描升级为专业版规格”开关，将本次扫描升级为专业版。 设置完成后，用户可以根据需要选择定时扫描或者立即扫描，在弹出的“付费提醒”界面，单击“同意并扫描”。 4. 参数设置完毕后，在页面右下角，单击“立即购买”。 5. 确认订单详情无误后，单击“去支付”。 如果订单填写有误，用户可以单击“上一页”，回到服务选型页面修改配置信息后再继续购买。 6. 在“付款”页面，选择付款方式进行付款。

参数 参数说明 中转IP 用于私网用户进行服务访问的目的IP。 类型 选择VPC内主机或网卡：选择现有子网内云主机，选择云主机的网卡，使外部用户能够通过DNAT方式访问云主机中的应用。手动输入自定义地址：填写某个主机地址（部分资源池支持）。 选择服务器（仅在选择VPC内主机或网卡时） 选择DNAT规则对应的内部云主机。 网卡（仅在选择VPC内主机或网卡时） 选择DNAT规则对应的内网IP。 内网地址（仅在选择手动输入自定义地址时） 自定义主机地址（部分资源池支持）。 中转端口 外部公网用户访问服务的端口。支持端口范围1~65535。 内网端口 应用在内部提供服务使用的端口，端口范围1~65535。 支持协议 TCP、UDP协议。 描述 DNAT规则信息描述。

本章节列举了使用云主机备份过程中的概念类问题,以及相对应的解答。 备份和镜像的区别是什么？ 云主机备份和镜像服务有很多功能交融的地方，有时需要搭配一起使用。镜像有时也可用来备份云服务器运行环境，作为备份来使用。 云主机备份和镜像服务区别主要有以下几点： 对比维度 云主机备份 镜像服务 概念 备份是将云主机或者云硬盘某一时间节点的状态、配置和数据信息保存下来，以供故障时进行恢复，其目的是为了保证数据安全，提升高可用性。 镜像相当于云服务器的“装机盘”，它提供了启动云服务器所需的所有信息，其目的是为了创建云服务器，批量部署软件环境。系统盘镜像包含运行业务所需的操作系统、应用软件，数据盘包含业务数据。整机镜像是系统盘镜像和数据盘镜像的总和。 使用方式 数据存储位置：与服务器/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建备份的云硬盘删除，对应的备份不会被同时删除。 操作对象：保存云服务器/磁盘指定时刻的数据，可以设置自动备份和过期自动删除。 用途：备份可以恢复数据至原服务器/磁盘中，也可以直接创建新的磁盘或整机镜像。 是否可以导出至本地：否。 数据存储位置：与服务器/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建镜像的服务器/磁盘删除，对应的镜像不会被同时删除。 操作对象：可以将服务器的系统盘和数据盘制作为私有镜像，也可以通过外部镜像文件制作私有镜像。 用途：系统盘镜像或整机镜像可以创建新的服务器，数据盘镜像可以创建新的磁盘，实现业务迁移。 应用场景 数据备份和恢复 服务器上云或云上迁移 部署特定软件环境 批量部署软件环境 服务器运行环境备份 优势 支持自动备份，可以定时定量保留服务器/磁盘某一时间节点的数据 可以备份系统盘。可以将本地或者其他云平台的服务器数据盘镜像文件导入至镜像服务中。导入后，可使用该镜像创建新的云硬盘。 云主机备份和镜像服务的联系主要有以下几点： 通过云主机备份可以创建整机镜像。 为云主机创建整机镜像时，需要先对目标云主机进行备份。 使用备份创建镜像时，镜像会对备份进行压缩，所以产生的镜像可能会比备份小。

此小节介绍数据库审计与其他服务的关联。 与统一身份认证服务的关系 统一身份认证服务（Identity and Access Management，简称IAM）为数据库审计提供了权限管理的功能。

本章节主要介绍在YARN服务进行Master扩容后，对其他相关服务的修改建议。 前置条件 1. YARNResourceManager完成扩容与配置生效操作。 2. 集群状态正常。 相关服务修改建议 Spark 请前往翼MR Manager重启SparkHistoryServer所有的实例。 Flink 1. 如$FLINKHOME/conf目录下不存在yarnsite.xml 文件，无需对Flink进行操作。 2. 如$FLINKHOME/conf目录下存在指向yarnsite.xml 文件的软链，需确认该软链指向更新后的yarnsite.xml文件并且内容一致。 3. 如$FLINKHOME/conf目录下存在yarnsite.xml 文件，需使用更新后的yarnsite.xml文件替换此文件。 4. 请前往翼MR Manager页面重启FlinkHistoryServer所有实例（需使用该文件作为依赖项或资源的客户Flink作业）。

查看容器服务日志 日志采集路径配置成功后，若已配置的路径下存在日志文件，则ICAgent会从已配置的路径中采集日志文件，采集大概需要1分钟，请您耐心等待。待采集完成后，您可执行如下操作： 查看容器服务日志文件： 在左侧导航栏中选择“日志 > 日志文件”，在“组件”页签的下拉列表框中选择对应的集群和命名空间，左边的列表展示了在已选命名空间下该集群的组件，单击某个组件，即可查看其日志文件。 查看容器服务日志并进行分析 在左侧导航栏中选择“日志 > 日志搜索”，在“组件”页签中选择对应的集群与命名空间，选择某个组件及已配的文件名称，查看采集到的日志并进行分析。

在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，限制不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Admin：弹性伸缩服务的管理者权限，包含弹性伸缩所有控制权限（不含订单类权限）。 Viewer:弹性伸缩服务的观察者权限，包含弹性伸缩服务的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

本文将介绍弹性伸缩的具体使用流程。 弹性伸缩服务是根据您的业务需求，通过策略自动调整其弹性计算资源的一种管理服务。该服务能够根据预设规则自动调整伸缩组内的云主机数量，弹性伸缩服务的主要使用流程如下图： 1. 准备工作：首先进行准备工作，注册天翼云，确保账户余额，具体流程参见准备工作。 2. 创建伸缩组：创建弹性伸缩首先需要创建伸缩组，伸缩组是具有相同属性和应用场景的云主机实例和伸缩策略的集合。创建伸缩组的基本信息，包括配置最大实例数、最小实例数和关联的负载均衡服务等，具体操作请参见创建伸缩组。 3. 创建伸缩配置：在创建完伸缩组后，可以创建伸缩配置，伸缩配置即伸缩活动中添加的云主机的规格。通常为一个伸缩组内添加云主机实例规格的配置模板，包括云主机的类型、vCPU、内存等。一个伸缩组支持创建一个伸缩配置。具体操作请参见创建伸缩配置。 4. 确认伸缩启用状态：在创建伸缩策略之前，需要确认伸缩组是否处于启用状态，只有伸缩组启用状态为“已启用” 的伸缩组，系统才会监控该伸缩组的伸缩策略，才可能触发伸缩活动。伸缩组创建成功后，状态默认为“已启用”。仅当伸缩组状态为“已停用”才可以启用伸缩组。具体操作步骤请参见启用伸缩组。 5. 创建伸缩策略：确认伸缩组为启用状态，用户可以创建伸缩策略。天翼云弹性伸缩服务支持创建6种策略，分别为告警策略、定时策略、周期策略、目标追踪策略、智能预测策略、简单策略，可以根据业务实际需求来创建对应的策略。具体操作请参见创建伸缩策略。

参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Local DBService HA Name 本地DBService HA名称。 Peer DBService HA Name 对端DBService HA名称。

操作场景 切回完成后，数据不会自动同步（生产站点到容灾站点），保护实例处于停止保护状态，如需开始数据同步，需要进行重保护操作。 前提条件 需要待重保护的生产站点服务器已完成预配置；如果还未进行预配置，请参考配置生产站点服务器进行配置。 保护实例状态为“切回完成”或者“重保护失败”。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务 SDRS”。进入“存储容灾服务”页面。 3. 在“异步复制”页面，单击待重保护的保护实例所在站点复制对的保护实例数。进入对应站点复制对的保护组页面。 4. 在左侧导航选择相应的保护组。进入保护组详情页面。 5. 在保护实例列表中，单击待重保护的保护实例所在行操作列的“更多 > 重保护”。 6. 进入重保护页面，单击“提交”开始重保护。 7. 保护实例状态变为“重保护中”，等待操作完成。 8. 操作完成后，保护实例状态更改为“同步中”，并显示剩余待同步数据量以及预估剩余时间。 说明 切回成功后，原容灾站点服务器将自动删除。