JWT配置指南 1. 生成JWKS jwt鉴权需要用户提供有效的JWKS（JSON Web Key Set）。您可以使用在线生成工具生成，例如mkjwk.org。下文以使用mkjwk.org工具生成JWKS为例说明。 按图所示选择Key Use，Algorihm，Show X.509，点击Generate生成需要的公私钥和jwks。 2. 把public key填入jwks的keys字段里 3.使用 生成请求用的jwt，如图所示 算法选择RS256。 playload根据需要配置，但必须有iss字段，值为触发器名称。 公私钥内容根据第1步里生成的填写即可。 左侧生成的“xxx.xxx.xxx”即为合法签名后的jwt内容。 4. 配置JWT Token（必填） 在JWT Token 配置 配置项中，选择 token所在位置和 token的名称。 token位置支持Header、Cookie、Query参数（GET)。如果 token位置选择为Header，则还需为其指定前缀，函数计算在获取Token时，会删除此前缀。 5. 配置JWT Claim转换（可选） 在JWT Claim 转换配置项中，选择透传给函数的参数所在位置、参数原始名称和参数透传给函数之后的名称。注意，这里的claim的名称指的是jwt的payload里的key。 映射参数位置只支持Header，以下配置的意思是：从jwt的payload中查找MyHeader字段，并把MyHeader的具体值用新的header，这里是HewHeader，透传给目标函数。目标函数收到的请求的header中就会包含一个新的，key为NewHeader的header。

前提条件 在控制台完成AIO沙箱模板创建 在执行下文所有代码前，请先按照环境变量设置部分，完成环境变量设置 AllInOne 沙箱概述 多个单功能沙箱使用时的痛点：多个单功能沙箱（如代码执行，浏览器）迫使 Agent 通过 NAS/OSS 跨沙箱传输数据，增加了延迟与复杂度。 AIO沙箱 (AllInOne Sandbox) 是集成 Browser（无头浏览器）与Code Interpreter（代码执行） 能力的统一云端隔离环境，避免了跨沙箱数据传输。 在AIO沙箱中，您可以使用 Code Interpreter 和 Browser 两类 sandbox 的功能。 您可以在沙箱中直接操作浏览器，我们已经为您预装了 puppeteercode(nodejs) 和 playwright(python)，您可以在代码解释器中执行代码，操作内置的浏览器。 以下是AIO沙箱内置的能力： 能力 访问端口/路径 说明 代码执行 49999 兼容 E2B 协议，支持 Python / JS 等多语言 浏览器VNC 6080 浏览器VNC的websocket地址 浏览器外部代理 9223 通过代理访问浏览器CDP的地址 浏览器CDP 9222 浏览器CDP的地址，可以在沙箱内使用playwright等库直接访问 终端 & 文件系统操作 49983 文件系统与命令执行接口 AllInOne 沙箱操作 快速示例 在代码解释器中执行如下的代码，操作内置的浏览器 python from e2bcodeinterpreter import Sandbox from dotenv import loaddotenv loaddotenv() 注意：修改下面模板为您的模板名称或者模板id sandbox Sandbox.create(template"mytestaiotemplate") print(f'创建沙箱成功{sandbox}') 在沙箱里执行浏览器操作代码（沙箱里内置了playwright库） pythoncode""" import asyncio from playwright.asyncapi import asyncplaywright async def run(): async with asyncplaywright() as playwright: chromium playwright.chromium browser await chromium.connectovercdp(" 在沙箱内直接访问CDP print("连接CDP成功") context browser.contexts[0] page context.pages[0] print("获取现有上下文和页面") await page.goto(" print("导航到 title await page.title() print(f"获取页面标题: {title}") await browser.close() print("关闭连接") await run() """ sandbox.runcode( pythoncode, onstdoutlambda data: print(data), onstderrlambda data: print(data), onresultlambda data: print(data), onerrorlambda data: print(data) )

在监控c应用之前,您需要通过客户端将应用数据上报至APM服务端。本文介绍如何通过SkyWalking SDK上报c应用数据。 前提条件 完成vpce接入。 背景信息 SkyWalking是一款广受欢迎的国产APM（Application Performance Monitoring，应用性能监控）产品，主要针对微服务、Cloud Native和容器化（Docker、Kubernetes、Mesos）架构的应用。SkyWalking的核心是一个分布式追踪系统。 接入步骤 1、安装Agent plaintext dotnet add package SkyAPM.Agent.AspNetCore 2、查看接入点信息 应用列表的接入指引会根据您所在资源池提供v3版本接入点(Skywalking 8.)的ENDPOINT(天翼云vpc网络接入点)、鉴权TOKEN信息。 3、设置环境变量 plaintext ASPNETCOREHOSTINGSTARTUPASSEMBLIESSkyAPM.Agent.AspNetCore SKYWALKINGSERVICENAME 4、配置Agent属性 plaintext 安装SkyAPM.DotNet.CLI工具 plaintext dotnet tool install g SkyAPM.DotNet.CLI plaintext 生成配置文件skyapm.json plaintext dotnet skyapm config sampleapp 192.168.0.1:11800 plaintext skyapm.json文件内容如下 plaintext {   "SkyWalking": {     "ServiceName":  ,     "Namespace": "",     "HeaderVersions": [       "sw8"     ],     "Sampling": {       "SamplePer3Secs": 1,       "Percentage": 1.0     },     "Logging": {       "Level": "Information",       "FilePath": "logsskyapm{Date}.log"     },     "Transport": {       "Interval": 3000,       "ProtocolVersion": "v8",       "QueueSize": 30000,       "BatchSize": 3000,       "gRPC": {         "Servers":  ,         "Timeout": 10000,         "ConnectTimeout": 10000,         "ReportTimeout": 600000,         "Authentication": "Bearer  "       }     }   } } 属性说明： ：服务名称 ：获取的接入点 ：获取的接入点鉴权令牌 Logging：日志记录与调试。Level表示日志级别，FilePath表示日志文件保存的位置以及文件名称 运行程序时，Agent的日志会记录在Logging设置的文件中，可以参考log文件进行调试和修改。

批量写入 使用批量 API 进行写入操作，以减少网络开销。在高吞吐量写入场景中，可以适度增加 Refresh 间隔，减少索引刷新操作，提高写入性能。示例如下： POST /myindex/doc/bulk { "index": {}} { "field1": "value1" } { "index": {}} { "field2": "value2" } 索引刷新 避免频繁的索引刷新，可以适当调整 Refresh 间隔以平衡写入和查询性能。示例如下： PUT /myindex/settings { "refreshinterval": "30s" } 查询优化 查询性能 使用查询DSL进行复杂查询，以充分利用 Elasticsearch 的强大功能。 使用索引别名和索引模板来优化查询，示例如下： GET /myindex/search { "query": { "bool": { "must": [ { "match": { "productname": "apple" }}, { "range": { "price": { "gte": 100 }}} ] } } } 分页查询 使用游标（Scroll）进行大数据量分页查询，避免深度分页带来的性能问题。示例如下： POST /myindex/search?scroll5m { "query": { "matchall": {}}, "size": 100 } 硬件和监控 硬件选择 选择高性能硬件，特别是快速的磁盘和足够的内存。 使用 SSD 硬盘来提升索引和查询性能。 监控和警报 设置监控指标，如集群健康、节点状态、资源使用等。 使用监控工具持续监测集群，并设置警报以便在出现问题时能及时响应。 安全性

本文介绍如何集群管理。 云容器引擎平台提供了集群【详情】、【日志】、【监控】等查看信息。提供了【kubectl】、【续订】、【退订】等基本操作。 操作步骤 1.控制台导航页选择【资源管理】，选择【集群管理】，即可进入集群管理界面，该页面将展示用户所有集群部分信息； 2.在集群管理界面，用户可执行【命令行工具】控制、查看【日志】及集群【退订】、【续订】操作。注：七天后无法退订，集群无删除功能； 3.点击集群名称可进入集群【详情】页面，展示该集群更详细的信息，并提供【监控】及【kubectl】操作详情页。

主要功能 云容器引擎支持对容器应用的全生命周期管理，具有以下功能： 集群管理 通过控制台一键创建Kubernetes集群，支持跨可用区高可用。 一站式容器管理 容器应用全生命周期管理。 高性能容器隧道网络、VPC网络等容器网络。 云硬盘、弹性文件存储、对象存储等持久化存储支持。 资源、应用、容器多维度监控。 多样化的日志报表统计。 基于角色的权限管理。 应用市场内容 丰富的Helm chart组件。 支持自定义镜像和共享镜像。 开发者服务 提供Kubectl插件和社区原生Kubectl工具。

本章节主要介绍连接管理类问题 本地环境是否可以连接DRDS实例 本地环境可以连接DRDS实例。首先绑定弹性公网IP到DRDS实例，就可以在本地环境使用连接工具（例如：Navicat）通过EIP访问DRDS实例。 MySQL连接DRDS时出现乱码如何解决 MySQL连接的编码和实际的编码不一致，可能导致DRDS解析时出现乱码。 通过“defaultcharactersetutf8”指定客户端连接的编码即可。 如下所示： mysql h 127.0.0.1 P 5066 D database defaultcharactersetutf8 u ddmuser –p password

项 目 约束和限制 迁移源和迁移任务数量限制 每位用户可激活的迁移源数量上限为1000台；每位用户可创建迁移任务数量为1000个；每位用户可并发执行的迁移任务数量为50台。 迁移源绑定限制 每个迁移源同一时刻仅能绑定一个目标端，对应生成唯一一个"未完成"状态的迁移任务；已完成或异常的迁移任务不能作为迁移源绑定目标端。 迁移源软硬件、授权限制 未授权的应用软件、盗版软件、集群数据库、UKey等可能影响产品的使用，应避免使用。 迁移源目标端配置限制 目标机内存必须大于4GB；目标机配置建议与迁移源相同，如果迁移源内存小于4GB，迁移完成后可以根据需求进行缩扩容等修改。 迁移源目标端限制 不支持裸金属服务器。 迁移源网络限制 仅支持独享IP。 迁移盘符限制 引导位置必须在第一个盘的第一个分区。 迁移源存储服务限制 不支持共享存储。 迁移源磁盘数、容量限制 单盘容量无限制，但磁盘个数应确定在24个以下。如果超过该限制，需要对源机磁盘进行减少或通过工单进行技术咨询。 数据库与集群服务限制 Oracle RAC需要使用共享存储、部分使用ASM磁盘，CMS无法提供ASM磁盘、Oracle RAC迁移。大型库不建议使用CMS进行迁移，建议使用数据库专业迁移工具进行迁移。如果使用CMS进行迁移，在使用过程中应当在“停止增量”步骤前停止相关应用进程。 网络环境因素限制 网络环境问题可能影响迁移速率，应先测试迁移源出口带宽、目标端入流量带宽以及CMS控制台带宽限制配置；注意是否存在特殊的网络、专线以及是否具备公网环境。 复杂业务拉起、支撑限制 迁移复杂业务时，需要记录业务关联信息，并根据需求按业务系统进行迁移、切换、测试；增量迁移时，需要停止相关业务进程，以保持一致性。业务上云后，也需相关熟悉业务人员进行测试验证，以此减少业务停机时间。 特定需求限制 如果存在涉密文件、需要保持IP不变等特定需求，需要通过工单进行技术咨询，以满足相应需求。 迁移源资源与性能限制 CMS代理端部署于源机，需占用源机的CPU与内存，当源机CPU使用率或内存使用率过高时，CMS代理端会影响业务，甚至导致迁移源宕机。正常4C4G的机器能正常满足迁移所需资源。CMS需在源机agent启动后，持续对源机进行监控，并给出一定周期内CPU、内存使用情况、硬盘数据增长量等数据。用户根据给出数据对系统进行评估。若无法准确评估需找相关专业人员确认。 目标端设备规格的规格限制 目标机规格不支持GPU类相关规格，包括GPU图形加速基础型与GPU计算加速型。 操作系统 支持迁移的Windows操作系统参见Windows兼容性列表。支持迁移的Linux操作系统参见Linux兼容性列表。不支持迁移多操作系统。

课程是学习的基本单位，学员需要加入到某个课程以后才可开始学习（公开课不需要加入）。班级是一系列课程的组合，班级也是学习的单位，学员在加入某个班级后，可以学习该班级下的所有课程。 学员可以通过首页的课程推荐模块选择自己需要课程进行购买，价格为0的商品（课程/班级）将不生成订单，学员直接点击【加入学习】即可开始学习。 课程/班级购买 课程/班级详情页中展示了该课程/班级的所有相关信息，包括标题、封面、价格等，学员可在充分了解后，再决定是否要进行购买。 1) 点击【购买课程】按钮，进入下单流程。 2) 进入到下单流程后会展现订单信息页面，如果学员有平台的优惠券，可以输入优惠券码进行使用，确认优惠金额无误后，点击【提交订单】，进入支付页面。 a) 购买课程：订单信息页面会展示打折、优惠券这些优惠信息。优惠逻辑是：课程打折价乘以折扣优惠券或者课程打折减去抵价优惠券。 b) 购买班级（班级中包含学员已经购买过的课程）：优惠逻辑是将已购买课程的费用进行扣除，但是只扣除学员实际支付金额，不包含优惠券金额。例如，班级价格是1000元，学员之前购买了其中一门100元的课程，使用了50元的优惠券，实际课程支付使用了50元，则学员再购买班级时，需要支付100050950元。 付款流程 1) 若学员在购买时，通过使用各种优惠，实付金额已经变为0元，则【提交订单】后，不再进入支付流程，商品直接成功购买。 2) 若订单实付金额不为0元，则【提交订单】后，进入订单详情页面。学员在该页面查看并确认本条订单的详细信息，如果没有问题继续点击【支付订单】按钮，进入到支付环节。 点击【支付订单】按钮跳转到收银台，学员可以选择翼支付、支付宝或者微信进行支付，支付完成后，系统会自动跳转。 课程/班级学习 课程学习界面效果如下图： 1) 左侧是课程内容： 此处显示具体的课程内容，包括视频、音频、图文、PPT、PDF、DOC、Flash、作业、考试、练习、资料、讨论、直播在内的各种内容。 2) 右侧是菜单： 显示课程的学习目录，学员可以点击课时进行学习，课时显示为未学、学过、学完的三种状态。在解锁式学习的课程中，未解锁的课时将无法查看内容。此外还包括菜单目录的伸缩按钮、笔记工具的按钮、问答工具的按钮、知识点工具的按钮。 a) 笔记：学员在学习的过程中可以记录自己的想法 b) 问答：学员在学习的过程中可以就此学习内容对老师进行提问 c) 知识点：学员在学习这个课时的时，可以点击【知识点】按钮查看本课时所涵盖的知识点介绍

本文为您介绍密钥管理服务的开通流程。 密钥管理服务（KMS）包周期版提供基础版、企业版两个规格，本章为您介绍如何购买KMS服务。 前提条件 已经注册天翼云账号并完成实名认证。 规格限制 基础版提供软件保护等级服务，支持客户构建专属的密钥库，具备高度可扩展性；同时提供极简的密码运算接口能力，满足应用的安全快速集成。 企业版提供硬件保护等级服务，底层对接使用经国家密码管理局认证的密码机硬件，提供更高安全与合规等级保证的资源管理及密码运算服务，满足监管机构的检测认证要求。 基础版、企业版单基础实例计算性能（应用接入点）默认为2000QPS。 基础版、企业版单基础实例最多可创建2000个密钥、1000个证书。 操作步骤 1. 进入天翼云门户并登录，在产品导航栏，定位到“安全与管理”分类，找到密钥管理，点击进入。 2. 进入密钥管理产品详情页，单击“立即开通”。 3. 进入到密钥管理服务订购页面，选择云服务区、服务版本、实例数量、扩展资源数量，设置订购时长，确认参数配置后，阅读《天翼云密钥管理服务协议》，并勾选“我已阅读并同意《天翼云密钥管理服务协议》”，点击“立即购买”。 4. 进入订单详情 页面，确认支付金额，点击 立即支付 。 5. 完成订单支付，可在订单详情页查看订单状态，状态更新为“已完成”后代表服务已开通。 6. 服务开通后，您可进入密钥管理服务控制台创建资源。

本文介绍AOneMail邮箱登录教程。 安装AOneMail 目前AOneMail已集成至AOne2.15.4及以上版本客户端，访问AOne客户端点击下载AOne 零信任客户端，点击“云邮箱”即可打开。 新建邮箱账户 如您想添加您的邮箱账号，您可以参考以下步骤来来进行新建。 1、配置邮件账户信息 您的姓名：你可以在此为账户起名字，该名字会显示在你发出邮件的发件人栏。 电子邮件地址：典型的电子邮件地址格式为username@example.com，用于发送和接收电子邮件。 密码：用于邮箱客户端登录的密码，若您的邮箱已开启安全登录需前往【网页端登录邮箱>设置】中获取邮箱客户端专用授权码。 填写姓名、电子邮箱地址、密码，并勾选隐私协议后，点击“继续”与邮箱服务器进行账密验证。 2、通用服务器设置 除了点击“继续”进行自动校验外，您也可以选择手动配置自定义进行服务器设置，以下为通用服务器设置： 1、POP3/SMTP协议： 接收邮件服务器：pop.example.com ，使用SSL，端口号995。 发送邮件服务器：smtp.example.com ，使用SSL，端口号465。 2、IMAP/SMTP协议： 接收邮件服务器：imap.example.com ，使用SSL，端口号993。 发送邮件服务器：smtp.example.com ，使用SSL，端口号465。 备注：可根据您的邮箱服务器实际情况进行填写。

云原生API网关通过插件市场提供可扩展能力,集成传输协议转换、精细化流量管控、多层次安全防护等标准化插件,支持用户根据业务需求对网关功能进行模块化定制与弹性扩展。本文主要介绍如何安装和卸载插件。 安装插件 安装插件是指将云原生API网关插件市场 中的插件安装到具体的网关实例的过程。有两种方式可以安装插件： 操作步骤1：在插件市场安装 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择"插件"，并在顶部菜单栏选择地域。 3. 在插件市场页面的快捷导航栏处，选择插件类型或者搜索插件名称，单击插件卡片上的"安装"，在弹出的安装插件框中选择需要使用此插件的网关实例，单击"确定"。 操作步骤2：在网关实例中安装 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择"实例"，并在顶部菜单栏选择地域。 3. 在实例页面，单击目标网关实例名称。 4. 在左侧导航栏，选择"插件"，并在顶部菜单栏选择地域。 5. 单击"安装插件"，在安装插件页面的快捷导航处，选择要安装的插件类型或者搜索插件名称，单击"插件"卡片，在弹出的安装插件框中，单击"安装并配置"。 卸载插件 当您想要将插件彻底从网关上删除时，您可以选择卸载插件。有两种方式可以卸载插件： 注意 卸载插件时，如果存在启用的插件规则，请先停用插件再卸载；如果插件未启用，卸载插件会将配置的插件规则一并删除。

服务名称 交互功能 相关内容 虚拟私有云VPC 创建弹性负载均衡时，需要指定弹性负载均衡关联的VPC和子网 弹性云主机 弹性负载均衡的后端主机组，关联开启后端的主机实例 物理机 弹性负载均衡的后端主机组，关联开启后端的主机实例 弹性IP 创建公网弹性负载均衡时，需要绑定公网IP来做公网服务的流量分发 弹性伸缩 弹性伸缩服务可以与弹性负载均衡集成，根据实际的负载情况自动调整云主机实例的数量。 云监控服务 云监控服务可以监控弹性伸缩的性能指标，如请求数、连接数、响应时间等。

本节主要介绍OpenStack Cinder驱动插件。 OpenStack和Cinder驱动插件 OpenStack是一个开源的云计算管理平台项目，目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。Cinder为OpenStack的管理块设备，主要功能是为虚拟机实例提供虚拟磁盘管理服务。Cinder本身不是块设备源，当虚拟机需要块设备时，询问Cinder去哪里获取具体的块设备。它的插件驱动架构有利于块设备的创建和管理，如创建卷、删除卷、在实例上挂载和卸载卷。OpenStack Cinder Driver是部署在OpenStack Cinder模块上的一个插件程序，遵循了OpenStack的driver架构。通过安装和HBlock适配的Cinder Driver驱动（以下简称stor Driver），并进行配置资源对接，实现和OpenStack Cinder 和HBlock存储系统资源连通，通过iSCSI协议向OpenStack中的虚拟机提供HBlock的逻辑卷功能。本文档仅为插件的安装和使用提供建议。 stor Driver与OpenStack的块存储（Cinder）和计算（Nova）组件集成，为OpenStack提供高性能，可扩展，高可靠的持久化存储。 HBlock Cinder驱动插件 上图为HBlock对接OpenStack的架构图，其中： stor Driver：OpenStack Cinder接入HBlock的驱动程序，使用https协议和HBlock的API server进行交互，完成卷的创建、删除、查询、扩容等操作。 novacompute节点：完成iSCSI协议的接入，建立iSCSI卷后，通过virsh命令挂载到VM实例。

您可以采用SSH、VNC方式登录Linux弹性云主机,本文介绍其操作流程。 只有运行中的弹性云主机才允许用户登录，登录Linux弹性云主机的方式有：SSH方式登录、VNC方式登录。 SSH方式登录：仅适用于Linux弹性云主机。包括密码方式和密钥方式两种，您可以使用远程登录工具（例如PuTTY），登录弹性云主机。此时，需要该弹性云主机绑定弹性IP。 VNC方式登录：未绑定弹性IP的弹性云主机可通过控制中心提供的远程登录方式直接登录。 说明 首次登录使用用户名可以设置为root或ecsuser。root和ecsuser说明如下： root： root用户为Linux系统的超级用户，在系统安装时默认创建，拥有操作系统的所有权限，不可被删除。 ecsuser(推荐)： ecsuser用户为Linux系统的一个普通用户， 没有系统级的权限，只能执行被授权的操作，若涉及系统敏感的操作需要通过sudo命令临时获得root权限执行操作。比如：使用systemctl命令重启服务，使用mount命令挂载磁盘设备等，需要在命令前加入sudo进行提权。 使用root用户登录可能会导致云主机安全风险，基于云主机安全考虑，我们建议您创建云主机时选择“立即创建”，并设置ecsuser作为初始登录用户；若您在创建云主机时选择稍后创建，则默认会使用root用户登录云主机。 密钥对方式登录 前提条件 1. 已获取该弹性云主机的密钥文件，获取方式参见通过管理控制中心创建密钥对； 2. 弹性云主机已经绑定弹性IP； 3. 已配置安全组入方向的访问规则。例如，默认的22端口没有被防火墙屏蔽； 4. 使用的登录工具（如PuTTY）与待登录的弹性云主机之间网络连通。

适用场景 众所周知，将传统的单体应用拆分为一个个微服务固然带来了各种好处，包括更好的灵活性、可伸缩性、重用性，但微服务也同样面临着特殊的安全需求，如下所示： 为了抵御中间人攻击，需要用到流量加密。 为了提供灵活的服务访问控制，需要用到TLS和细粒度访问策略。 为了决定哪些人在哪些时间可以做哪些事，需要用到审计工具。 面对这些需求应用服务网格提供全面的安全解决方案，包括身份验证策略，透明的TLS加密以及授权和审计工具。 价值 默认的安全性：无需修改即可保证应用程序代码和架构的安全性。 纵深防御：与现有的安全系统结合并提供多层防御。 零信任网络：在不受信任的网络上构建安全解决方案。 优势 非侵入安全：应用服务网格是以一种安全基础设施的方式向用户提供透明的安全能力，让不涉及安全问题的代码安全运行，让不太懂安全的人可以开发和运维安全的服务，不用修改业务代码就能提供服务访问安全。应用服务网格提供了一个透明的分布式安全层，并提供了底层安全的通信通道，管理服务通信的认证、授权和加密，提供Pod到Pod、服务到服务的通信安全。开发人员在这个安全基础设施层上只需专注于应用程序级别的安全性。 细粒度授权：在认证的基础上，就可以进行服务间的访问授权管理，可以控制某个服务，或者服务的一个特定接口进行授权管理。如只开放给特定的一个Namespace下的服务，或者开放给某个特定的一个服务。源服务和目标服务可以在不同的集群，甚至源服务的不同实例在不同的集群，目标服务的不同实例在不同的集群。 服务运行监控

输出示例 kubeadm join 192.168.XXX:6443 token v47flx.o9vqap6 discoverytokencacerthash sha256:069f7f63f13c44ba61dcb10b2127f91cc79b732c 获取CRS内网地址，添加到示例脚本环境变量REGISTRYURL中 kubectl get deploy nkubesystem cceoneclusteragent o jsonjq r '.spec.template.spec.containers[0].image' awk F/ '{print $1}' 输出示例 registryxxx.crsinternal.ctyun.cn 2. 前提条件 1. 脚本需要访问公网以下载对应软件工具。如需指定软件工具版本和地址，请确保地址能访问通且可下载，如containerd、kubelet、kubeadm、kubelet等。 2. 示例脚本仅支持基于yum软件包管理系统的操作系统。 containerd运行时示例 shell !/bin/bash export KUBEADMJOINCMD export RUNTIMEVERSION 如：1.6.28 export KUBEVERSION 如 v1.31.6 export REGISTRYURL 各资源池CRS镜像仓库内网地址，如：registryxxx.crsinternal.ctyun.cn export CRURL 127.0.0.1：5000 nodeip$(hostname I awk '{print $1}') rootdir"/data" 节点创建过程中，将自动格式化第一块数据盘，并挂载到此路径作为kubelet、容器运行时的数据目录 ARCH$(uname m) case $ARCH in x8664) ARCHTYPE"amd64" ;; aarch64arm64) ARCHTYPE"arm64" ;; ) ARCHTYPE"unknown" ;; esac 获取第一块数据盘，用于挂载运行时存储目录，没有则使用系统盘 devices$(lsblk d n o NAME grep v NAME)

本文为您介绍数据表规范。 1. 首先明确规定所有逻辑业务上实现，禁用存储过程，函数，触发器，视图。 2. 统一使用InnoDB存储引擎，系统已指定默认存储引擎为innodb，所以创建表时无需再指定存储引擎。InnoDB存储引擎是事务型的存储引擎，支持行锁、MVCC、崩溃恢复、具有更高效的IO，更先进的缓引和写策略。 3. 创建表时要明确定义主键，推荐为int/bigint类型的字段作为主键，如果是自增ID则更为完美。 MySQL INNODB为索引组织表，如果没有显式定义主键，InnoDB会使用表上的唯一索引作为主键，如果这个索引特别长，性能会特别差；如果表上没有唯一索引，MySQL会创建一个6个字节的整型作为隐含的主键，存在被写完而不被察觉的风险，而且性能也不佳。 如果没有显式设置主键，则很多工具无法使用（如online ddl），会让日常的维护工作变得复杂。 自增ID可以用来做分页优化。 自增ID可以减少复制延时。 4. 数据表设计时必须包含日期字段，createitme 和lastupdatetime。 每个表的update语句，必须包含对UpdateTime的更新。 5. 每个数据表中字段数量尽可能少。当表的字段数较多时，建议将表分成两张表，一张作为条件查询表，一张作为详细内容表。 6. 数据表记录数尽可能少，线上单表数据建议不超过2000万行，可以通过分库、分表方式实现。 7. 创建表时，所有表名、字段名都需要添加注释，示例如下： plaintext 创建名为 exampletable 的表 CREATE TABLE exampletable ( id INT AUTOINCREMENT PRIMARY KEY, 主键ID，自增 username VARCHAR(50) NOT NULL, 用户名，不能为空 email VARCHAR(100) UNIQUE, 邮箱，唯一约束 age INT, 年龄，可以为空 createdat TIMESTAMP DEFAULT CURRENTTIMESTAMP 创建时间，默认当前时间 ) ENGINEInnoDB DEFAULT CHARSETutf8mb4; 8. 表字符集统一使用utf8mb4，核对规则为utf8mb4bin，不允许其它字符编码。也不允许在字段里边自己定义字符集，以下为违规示例： plaintext 错误示例：使用 utf8 字符集 CREATE TABLE exampletablewrong ( id INT AUTOINCREMENT PRIMARY KEY, username VARCHAR(50) NOT NULL ) ENGINEInnoDB DEFAULT CHARSETutf8; 错误示例：在字段级别定义字符集 CREATE TABLE exampletablewrong ( id INT AUTOINCREMENT PRIMARY KEY, username VARCHAR(50) CHARACTER SET utf8mb4 COLLATE utf8mb4bin NOT NULL );

本文介绍Windows AD的认证源创建方式。 功能介绍 Windows AD 是 Microsoft 提供的本地化用户目录管理服务。在花卷慧办中配置AD认证源，可实现用户使用AD的账户密码登录的功能。本文介绍如何使用AD作为认证源。 注意 目前该能力暂未全面开放至控制台，若想要进行该能力配置，可联系我们进行开启。 客户端集成AD认证源版本为：PC客户端版本（Windows、macOS）为1.3.0及以上版本，移动端（安卓、IOS）为2.9.0及以上版本。 操作步骤 管理员创建AD认证源 即AD当作认证源，其管理登录认证验证，花卷慧办客户端登录时进行转发给AD进行认证，因花卷慧办需要针对用户、组织进行精细化授权，建议采用AD同步提前将用户信息导入，配置对应权限。 1. 添加认证源 登录花卷慧办工作台，进入扩展认证源列表，点击“添加认证源”，进行AD认证源添加。 2. 选择认证源类型 选择AD 认证源类型。输入配置参数，完成AD认证源配置。 配置参数说明： 参数 说明 认证源名称 必填，默认值“AD”，输入限制为16个字。 服务器地址 必填，分为连接方式、服务器地址和端口三个部分： 下拉选择域名为ldap:// 或者 ldaps://。 输入服务器地址。 输入端口号。 同步密码到 AD 时必须开启 StartTLS 或 ldaps，非同步密码场景也推荐开启，可以有效提高数据传输的安全性。一般使用 389 或 636 端口。 管理员账户 必填，请输入登录名，如admin@example.com。支持DN格式，并请确保该账户至少拥有全部节点的读取权限；如需同步账户或密码到 AD，还需分配写入权限。 管理员密码 必填，该账户的登录密码。 User DN 必填，AD服务器的根目录，通常是DN（Distinguished Name）的路径。例如：dctest,dclocal。 查询条件 必填，无特殊情况一般为objectclass，查询User DN下所有的对象。 此处也可定义搜索条件，确定哪些条目（Entry）符合查询要求，例如： (objectClassperson)：查找所有对象类为“person”的条目。 (cnJohn Doe)：查找常见名称（cn）为“John Doe”的条目。 (uid)：查找所有具有“uid”属性的条目。 &（和）、（或）、!（非）等逻辑运算符可以用来组合多个条件。 用户登录标识 必填， 会同步至AOneId的username（账号）字段，也是用户使用AD登录时账号字段。 用户信息映射规则 必填，同步AD数据至AOneId的映射关系，支持多个，目前AOneId仅支持配置name、mobile、email、nickname 4个字段的映射规则。 例如：namedisplayName;mobilehomePhone;emailmail; nicknamegivenName。 注意： AOneId中的name（姓名）同步AD中的displayName字段 AOneId中的mobile（手机号）同步AD中的homePhone字段 AOneId中的email（邮箱）同步AD中的mail字段 AOneId中的nickname（昵称）同步AD中的givenName字段 登录模式 必填，目前支持登录注册。 适用范围 必填，目前支持PC端和移动端。 Logo 非必填，用于在认证源列表展示的Logo。

第四步：使用加速域名访问对象存储 通过浏览器访问ZOS时，将文件URL的Endpoint字段替换为您的加速域名，例如 通过zosutil或S3 Browser等客户端工具访问ZOS时，将账户的Endpoint设置为您的加速域名。 通过SDK或API访问ZOS时，在构造请求时将Endpoint参数设置为您的加速域名。

参数 描述 企业项目 企业项目是对主账号下的资源进行统一分配管理的工具，不同企业项目下的资源相互逻辑隔离，但不影响业务关联。 在不同企业项目下的用户组，相互间无法看到彼此资源。 同一个用户组可以绑定多个企业项目。用户组通过绑定企业项目实现资源的逻辑隔离，策略通过绑定用户组，实现不同用户组的权限分配。 RDSPostgreSQL产品已支持企业项目迁移功能，具体操作详见

结合云计算特性的云原生特点 云原生，是基于分布部署和统一运管的分布式云，以容器、微服务、DevOps等技术为基础建立的一套云技术产品体系。 在云计算环境中，云平台自身提供了多种技术手段，来提高整体系统的稳定性、扩展性来提高性能，这些技术手段与云计算环境密切相关，并且更具有云原生特点，领用这些技术特性解决特定的问题，会更加适应云环境。 云下一代防火墙通过与云计算平台的紧密结合，云平台监控设备的运行状态，当性能不足时，可通过增加虚拟化设备或提高设备使用的虚机资源，实现设备的弹性伸缩，保障业务网络不遇到性能瓶颈。 提供多种自动化部署方案 云下一代防火墙适合在公有云和私有云中部署，可为公有云和私有云客户提供自动化的网络安全解决方案，抵御外部的网络攻击。借助云计算的优势特性，云下一代防火墙可按需自动化部署和扩展安全服务资源，并可与现有的云计算管理平台进行紧密整合，将管理和安全防护能力直接深入到云计算架构中，可伴随着客户或虚拟业务资源的需求增长和缩减。 可为具有开发能力的客户提供完成初始化部署的方案，并提供二次开发对接接口。可为OpenStack的客户提供替换源Th vRouter以及FWaaS的整体交付方案；可为致力于方案解耦的客户提供符合国际化标准的开源开放NFV集成方案。

部署OpenClaw应用 1. 登录应用托管控制台，选择左侧菜单【应用市场】，点击进入对应页面。 2. 在应用市场页面，选择“OpenClaw知识库问答”应用，点击【开启应用】，进入应用部署页面。  3. 填写获取的天翼云息壤Token服务APP KEY、设置OpenClaw的网关密码（用于连接OpenClaw网关）、输入获取的天翼云知识库租户ID、天翼云AK、天翼云SK，选择访问策略，勾选同意用户协议，点击【部署应用】，即可完成OpenClaw应用服务部署。  4.提交表单后进入应用实例列表页面，点击操作栏【访问】按钮，点击下拉访问链接，进入OpenClaw使用界面。  在OpenClaw中测试知识库能力 1. 通过访问链接进入OpenClaw使用界面，选中左侧的【Overview】菜单， 输入部署应用时设置的网关密码，点击【Connect】按钮。  如果忘记网关密码，可在应用托管应用实例详情配置详情中查询。  2.连接成功后，状态更新为“Connected”。  3. 点击左侧【Chat】菜单，即可与OpenClaw进行交互，可获取到天翼云知识库问答中的信息。 4. 集成通讯软件后（如飞书、企业微信）等，可通过通讯软件与OpenClaw协同工作。

本节介绍了 通过DAS连接Microsoft SQL Server实例（推荐）的相关内容。 操作场景 通过数据管理服务（Data Admin Service，简称DAS）这款可视化的专业数据库管理工具，可获得执行SQL、高级数据库管理、智能化运维等功能，做到易用、安全、智能的管理数据库。关系型数据库服务默认开通DAS连接权限。推荐使用DAS连接实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，在操作列单击“登录”，进入数据管理服务实例登录界面。 您也可以在“实例管理”页面，单击目标实例名称，进入基本信息页面，在页面右上角单击“登录”，进入数据管理服务实例登录界面。 步骤 5 正确输入数据库用户名和密码，单击“登录”，即可进入您的数据库并进行管理。 结束

本节介绍了通过SQL命令转储与还原升级大版本的相关内容。 操作场景 升级RDS for PostgreSQL引擎大版本，能让您享受到RDS for PostgreSQL新版本带来的功能、性能、安全的提升。但大版本升级可能存在向后不兼容的数据变更，可能导致现有业务运行不兼容。因此需要用户使用目标版本测试确保业务能够正常运行后，再执行大版本升级。 本章节中“源数据库”表示待升级的低版本RDS for PostgreSQL数据库，“目标数据库”表示待升级到的高版本RDS for PostgreSQL数据库。 RDS for PostgreSQL版本号说明 RDS for PostgreSQL v10及其以上版本的版本号由major.minor组成。其中，major表示大版本号，minor表示小版本号。大版本升级是指major部分增加，比如：11.x升级到12.x。 RDS for PostgreSQL v10之前的版本号由major.major.minor组成。其中，major.major表示大版本号，minor表示小版本号。大版本升级是指如major.major部分增加，比如：从9.5.x升级到9.6.x或者从9.x.x升级到10.x。 准备工作 1. 查看待升级的云数据库 RDS for PostgreSQL实例信息。 a. 在“实例管理”页面，单击待升级实例名称，进入待升级实例基本信息页面。 b. 在“基本信息”页面中，可以查看到实例所属区域、可用区、虚拟私有云、子网、安全组。 2. 准备弹性云主机。 通过弹性云主机连接关系型数据库实例，需要创建一台弹性云主机。 该弹性云主机的区域、可用区、虚拟私有云、子网、安全组与待升级RDS for PostgreSQL实例相同。 3. 在2中的弹性云主机上，安装PostgreSQL客户端。 说明 该弹性云主机需要安装和RDS for PostgreSQL数据库服务端相同版本的数据库客户端，PostgreSQL数据库或客户端会自带pgdump、pgrestore和psql工具。 4. 参考通过内网连接RDS for PostgreSQL实例（Linux方式）连接源数据库，在每一个数据库上执行如下sql，获取已使用列表。 select extname from pgextension; 5. 根据查看的已使用列表，选择一个包含当前所有插件的目标升级版本。 RDS for PostgreSQL各版本支持的插件，参考支持的插件列表。 6. 参考创建参数模板，创建一个兼容待升级实例参数的目标版本参数模板。 7. 创建目标版本RDS for PostgreSQL实例。 − 创建RDS for PostgreSQL实例，请参见步骤一：购买实例。 − 目标版本RDS for PostgreSQL实例所属区域、可用区、虚拟私有云、子网、安全组与源实例相同。 8. 在2中的弹性云主机上，参考通过内网连接RDS for PostgreSQL实例（Linux方式），确认目标实例连接正常。

本节介绍OpenSSH用户枚举漏洞修复最佳实践。 漏洞编号 CVE201815473 漏洞名称 OpenSSH 用户枚举漏洞 漏洞描述 OpenSSH（OpenBSD Secure Shell）是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具, 该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击; OpenSSH 7.7及之前版本中存在用户枚举漏洞，该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应，攻击者可通过发送特制的请求利用该漏洞枚举用户名称。 影响范围 OpenSSH 7.7及之前版本 官方解决方案 应用补丁可以修复此漏洞，需要重新编译，补丁获取链接：< 新版本OpenSSH7.8已经修复这个安全问题，请到厂商的主页下载，下载链接： < < 检测与修复建议 服务器安全卫士（原生版）已支持对对该漏洞的检测与修复。需要在服务器安装部署Agent，并已开启安全防护。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“漏洞扫描”，进入漏洞扫描页面。 3. 在漏洞扫描页面点击“一键扫描”按钮，进入一键扫描设置页面，勾选相应参数设置进行漏洞扫描。 4. 在漏洞扫描详情页面， Windows系统漏洞列表中已检测出主机存在的OpenSSH漏洞。 5. 检测完成后，可点击“查看详情”，跳转到详情页面，可以根据修复建议修复漏洞。 6. 修复过程需要花费一段时间，修复完成后，请重启云主机使补丁生效。 7. 重启云主机后，再次单击“一键扫描”，验证该漏洞是否修复成功。

本章节主要介绍更新客户端（3.x及之后版本）。 集群提供了客户端，可以在连接服务端、查看任务结果或管理数据的场景中使用。用户如果在Manager修改了服务配置参数并重启了服务，已安装的客户端需要重新下载并安装，或者使用配置文件更新客户端。 更新客户端配置 方法一： 1.访问FusionInsight Manager（MRS 3.x及之后版本），在“集群”下拉列表中单击需要操作的集群名称。 2.选择“更多 > 下载客户端 > 仅配置文件”。 此时生成的压缩文件包含所有服务的配置文件。 3.是否在集群的节点中生成配置文件？ 是，勾选“仅保存到如下路径”，单击“确定”开始生成客户端文件，文件生成后默认保存在主管理节点“/tmp/FusionInsightClient”。支持自定义其他目录且omm用户拥有目录的读、写与执行权限。然后执行步骤4。 否，单击“确定”指定本地的保存位置，开始下载完整客户端，等待下载完成，然后执行步骤4。 4.使用WinSCP工具，以客户端安装用户将压缩文件保存到客户端安装的目录，例如“/opt/hadoopclient”。 5.解压软件包。 例如下载的客户端文件为“FusionInsightCluster1ServicesClient.tar”执行如下命令进入客户端所在目录，解压文件到本地目录。 cd /opt/hadoopclient tar xvf FusionInsightCluster1ServicesClient.tar 6.校验软件包。 执行sha256sum命令校验解压得到的文件，检查回显信息与sha256文件里面的内容是否一致，例如： sha256sum c FusionInsightCluster1ServicesClientConfigConfigFiles.tar.sha256 FusionInsightCluster1ServicesClientConfigConfigFiles.tar:OK 7.解压获取配置文件。 tar xvf FusionInsightCluster1ServicesClientConfigConfigFiles.tar 8.在客户端安装目录下执行如下命令，使用配置文件更新客户端。 sh refreshConfig.sh 客户端安装目录 配置文件所在目录 例如，执行以下命令： sh refreshConfig.sh /opt/hadoopclient /opt/hadoopclient/FusionInsightCluster1ServicesClientConfigConfigFiles 界面显示以下信息表示配置刷新更新成功： Succeed to refresh components client config.

本文档为制作Windows系统私有镜像指导手册的步骤3,安装CloudbaseInit。 操作场景 CloudbaseInit是用于Windows操作系统在创建弹性云主机过程执行信息初始化的工具，主要支持以下关键能力： Windows云主机的主机名、用户名、密码等信息的初始化； Windows云主机用户数据的注入以及自动化配置。 操作步骤 下载最新稳定版CloudbaseInit： 64 位Windows操作系统请通过此链接下载：CloudbaseInitSetup最新稳定版64位系统版本。 32 位Windows操作系统请通过此链接下载：CloudbaseInitSetup最新稳定版32位版本系统。 安装CloudbaseInit 下方截图步骤，请按截图配置操作，其它界面默认即可。 Username: Administrator； 勾选Run CloudbaseInit service as LocalSystem。 配置CloudbaseInit。 1. 打开PowerShell，将以下内容直接复制粘贴并执行。 $content @' [DEFAULT] usernameAdministrator groupsAdministrators injectuserpasswordtrue bsdtarpathC:Program FilesCloudbase SolutionsCloudbaseInitbinbsdtar.exe mtoolspathC:Program FilesCloudbase SolutionsCloudbaseInitbin verbosetrue debugtrue logdirC:Program FilesCloudbase SolutionsCloudbaseInitlog logfilecloudbaseinit.log defaultloglevelscomtypesINFO,sudsINFO,iso8601WARN,requestsWARN loggingserialportsettingsCOM1,115200,N,8 localscriptspathC:Program FilesCloudbase SolutionsCloudbaseInitLocalScripts allowreboottrue metadataservicescloudbaseinit.metadata.services.configdrive.ConfigDriveService,cloudbaseinit.metadata.services.httpservice.HttpService pluginscloudbaseinit.plugins.common.sethostname.SetHostNamePlugin,cloudbaseinit.plugins.common.networkconfig.NetworkConfigPlugin,cloudbaseinit.plugins.windows.extendvolumes.ExtendVolumesPlugin,cloudbaseinit.plugins.common.setuserpassword.SetUserPasswordPlugin,cloudbaseinit.plugins.common.localscripts.LocalScriptsPlugin,cloudbaseinit.plugins.common.userdata.UserDataPlugin netbioshostnamecompatibilityfalse activatewindowstrue firstlogonbehaviourno '@ $content OutFile Encoding ASCII FilePath 'C:Program FilesCloudbase SolutionsCloudbaseInitconfcloudbaseinit.conf' 2. 添加自定义脚本，确保 configdrive CD 设备能自动卸载。 $content @'

功能集 功能 功能描述 参考文档 应用生命周期管理 创建/部署/更新/查看/启动/停止/删除应用 创建/部署/更新/查看/启动/停止/删除应用。 微服务治理 无损上线 在应用启动过程中，无损上线为应用提供服务延迟注册、服务就绪检查和服务小流量预热的保护能力 微服务治理 无损下线 在应用执行部署、停止、回滚、缩容和重置时，通过无损下线来保证应用正常关闭 微服务治理 金丝雀灰度 对于部署在 CAE 的 Spring Cloud 或 Dubbo 微服务应用，为了确保升级操作的安全性，您可以通过启用灰度发布（即金丝雀发布）的灰度规则进行小规模验证，验证通过后再全量升级 微服务治理 限流降级 CAE 支持使用微服务引擎 MSE 实现应用的限流降级，全面保障应用的可用性 微服务注册中心 使用 CAE 内置注册中心 CAE 为用户提供免费的内置 Nacos 注册中心，在无需购买或自建注册中心的情况下即可部署微服务应用到 CAE 平台 微服务注册中心 使用自建 Nacos 注册中心 CAE 支持使用自建 Nacos 注册中心实现服务的注册与发现功能 运维管理 基础监控 CAE 对应用所运行设备的 CPU、负载、内存、网络和磁盘进行数据采集与分析，并以动态图的方式展示，方便实时、直观地了解应用所运行设备地状态 运维管理 应用监控 CAE 为多种语言和框架提供无侵入的应用监控能力 运维管理 一键启停 CAE 为应用提供了一键启停按钮，方便用户进行运维操作，同时还支持批量启停操作 运维管理 日志管理 日志管理提供应用实时日志查询功能。 弹性伸缩 手动扩缩 在应用的实例负载过高时以手动方式添加新应用实例，在应用闲置时减少应用实例，能够高效利用应用资源、降低成本 弹性伸缩 自动扩缩 在分布式应用管理中，弹性伸缩能够感知应用内各个实例的状态，并根据实例状态自动增加或减少实例数量，即扩容或缩容 应用访问 基于 ELB 实现应用公网及私网访问 在 CAE 中部署应用后，可以通过添加公网 ELB 实现公网访问应用，也可以添加私网 ELB 实现同 VPC 内私网访问应用 配置管理 配置项（ConfigMap） 配置项是一种存储应用所需配置信息地资源类型，它可以作为容器运行环境中的环境变量，便于应用部署后灵活变更容器配置，也可以通过挂载配置文件的方式向容器中注入配置信息 配置管理 保密字典（Secret） 保密字典是一种用于存储和管理密钥、证书等敏感信息的资源类型。为避免敏感数据暴露到镜像或应用与任务部署参数中，推荐您使用 CAE 命名空间级别的保密字典 高级设置 设置启动命令 CAE 会根据预设的启动参数来启动容器 高级设置 设置环境变量 应用在系统中运行更需要配置特定的环境变量 高级设置 设置 Hosts 绑定 CAE 支持应用级别的实例，通过绑定 Hosts 对主机名进行解析，方便应用实例通过主机名进行访问 高级设置 设置持久化日志 CAE 集成了云日志服务的日志收集功能，支持将业务文件日志（容器内日志文件）、容器标准输出日志（stdio）无限制行数地收集至 ALS，便于您聚合分析。 高级设置 设置 NAS 存储 将 NAS 挂载至 CAE 应用实例，可以有效解决应用数据地持久化存储需求，并实现应用实例之间地数据共享 高级设置 设置 OSS 存储 OSS 适用于读多写少地场景，例如挂载配置文件或者前端静态文件等 高级设置 设置应用生命周期管理 如果您精通 K8s，且需要在应用容器启动前或者关闭前执行相关操作，例如运行前部署资源或者停止前优雅下线应用，可以设置应用生命周期管理 高级设置 设置配置项 配置项能够将环境配置信息和容器镜像解耦，方便您修改应用配置 版本管理 版本回退 应用修改配置并部署后，会自动生成一个基于时间点的应用版本，您可以查看对应时间点应用版本的配置，也可以操作版本回退到指定时间点的应用版本

本节介绍了初始化Windows数据盘（Windows 2016）的相关内容。 操作场景 本文以云主机的操作系统为“Windows Server 2016 Standard 64bit”为例，提供磁盘的初始化操作指导。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。具体操作请参见“初始化容量大于2TB的Windows数据盘（Windows 2008）”。关于磁盘分区形式的更多介绍，请参见“初始化数据盘场景及磁盘分区形式介绍”。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 注意 首次使用磁盘时，如果您未参考本章节对磁盘执行初始化操作，主要包括创建分区和文件系统等操作，那么当后续扩容磁盘时，新增容量部分的磁盘可能无法正常使用。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 弹性云主机请参见《弹性云主机用户指南》。 物理机服务器请参见《物理机用户指南》。 操作指导 1.在云主机桌面，单击左下方开始图标。弹出Windows Server窗口。 2.单击“服务器管理器”。弹出“服务器管理器”窗口，如下图所示。 图 服务器管理器 3.“服务器管理器”页面右上方选择“工具 > 计算机管理”。弹出“计算机管理”窗口，下图所示。 图 计算机管理 4.选择“存储 > 磁盘管理”。 进入磁盘列表页面，存在未初始化的磁盘时，系统会自动弹出“初始化磁盘”对话框，如下图所示。 图 磁盘列表 5.在“初始化磁盘”对话框中显示需要初始化的磁盘，此处以选择“GPT（GUID分区表）”为例，单击“确定”。返回“计算机管理”窗口，如下图所示。 图 计算机管理(Windows 2016) 注意 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，当前数据盘支持的最大容量为32 TB，如果您需要使用大于2 TB的磁盘容量，分区形式请采用GPT。 当磁盘已经投入使用后，此时切换磁盘分区形式时，磁盘上的原有数据将会清除，因此请在磁盘初始化时谨慎选择磁盘分区形式。 6.在磁盘1右侧的未分配的区域，右键单击选择“新建简单卷”。弹出“新建简单卷向导”窗口，如下图所示。 图 新建简单卷向导(Windows 2016) 7.根据界面提示，单击“下一步”。进入“指定卷大小”页面，如下图所示。 图 指定卷大小(Windows 2016) 8.指定卷大小，系统默认卷大小为最大值，您还可以根据实际需求指定卷大小，此处以保持系统默认配置为例，单击“下一步”。进入“分配驱动器号和路径”页面，如下图所示。 图 分配驱动器号和路径(Windows 2016) 9.分配到驱动器号和路径，系统默认为磁盘分配驱动器号，驱动器号默认为“D”，此处以保持系统默认配置为例，单击“下一步”。进入“格式化分区”页面，如下图所示。 图 格式化分区(Windows 2016) 10.格式化分区，系统默认的文件系统为NTFS，并根据实际情况设置其他参数，此处以保持系统默认设置为例，单击“下一步”。进入“完成新建卷”页面，如下图所示。 图 完成新建卷(Windows 2016) 注意 不同文件系统支持的分区大小不同，请根据您的业务需求选择合适的文件系统。 11.单击“完成”。需要等待片刻让系统完成初始化操作，当卷状态为“状态良好”时，表示初始化磁盘成功，如下图所示。 图 初始化磁盘成功(Windows 2016) 12.新建卷完成后，单击下方任务栏中，在文件资源管理器中查看是否有新建卷，此处以“新建卷（D:）”为例。单击“此电脑”，若下图所示，可以看到“新建卷（D:）”，表示磁盘初始化成功，任务结束。 图 文件资源管理器(Windows 2016)

密钥对的使用限制 仅支持Linux实例。 仅支持的RSA密钥对，支持的长度：1024、2048和4096。 一台Linux实例只能拥有一个密钥对。如果您的实例已绑定密钥，绑定新的密钥会替换原来的密钥。 密钥对的生成方式 通过管理控制台创建密钥对。 说明 在首次生成密钥对时，务必下载并妥善保存私钥。 通过PuTTYgen等工具创建密钥对，并导入天翼云的物理机服务中。 具体生成方式可参考操作指南中的密钥与密码介绍。

应用接入点是KMS提供的一种身份认证和访问控制机制,当应用需要使用密钥进行加解密时,可通过应用接入点对应用进行身份认证和行为管控。 说明 应用接入点权限作用于KMS服务SDK中的接口调用，即当您的应用通过集成KMSSDK访问KMS服 务接口，服务将依旧应用接入点的权限策略进行身份认证和行为鉴权。 权限管理 应用接入点可配置对应的权限，包括可使用的密钥、证书等资源范围以及接口级操作权限。 允许访问的资源：应用允许访问的密钥、证书。 操作权限：应用允许使用的功能点。 权限配置 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏选择服务所在的区域。 3. 进入“应用接入点”页面，在页面上方切换至目标KMS服务实例。 4. 找到目标应用接入点，点击配置权限。 5. 在权限策略配置页签，配置对应的权限。 配置 说明 权限规则开关 应用接入点创建成功后，权限规则开关默认关闭，即允许访问当前账 权限规则开关 号下的所有资源及操作。若您需要为应用接入点配置特定权限，请开启开关并配置。 允许访问的资源 可选： 密钥 证书 请勾选应用通过应用接入点需要访问的密钥或证书资源。 效果 默认为允许，即您当前的规则为允许当前应用访问的资源及接口。 操作 选择允许应用访问的功能点。 6. 配置完成后，点击确认，页面提示“权限配置成功”表示权限控制已经生效。