本节介绍了云数据库GaussDB 的权限管理。 如果您需要对购买的云数据库GaussDB 资源，为企业中的员工设置不同的访问权限，为达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云数据库GaussDB 服务的其它功能。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望开发人员拥有云数据库GaussDB openGauss版的使用权限，但是不希望他们拥有删除云数据库GaussDB 等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云数据库GaussDB openGauss版，但是不允许删除云数据库GaussDB openGauss版的权限，控制他们对云数据库GaussDB openGauss版资源的使用范围。 云数据库GaussDB 权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云数据库GaussDB 部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问云数据库GaussDB 时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对云数据库GaussDB 服务，管理员能够控制IAM用户仅能对某一类数据库资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 云数据库GaussDB 的所有系统权限。 策略名称 描述 类别 云数据库GaussDB FullAccess 云数据库 云数据库GaussDB 服务的所有执行权限。 系统策略 云数据库GaussDB ReadOnlyAccess 云数据库 云数据库GaussDB 服务的只读访问权限。 系统策略 云数据库GaussDB 常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 云数据库GaussDB FullAccess 云数据库GaussDB ReadOnlyAccess 创建云数据库GaussDB实例 √ x 删除云数据库GaussDB实例 √ x 查询云数据库GaussDB实例列表 √ √ 常用操作与对应授权项 操作名称 授权项 备注 创建数据库实例 gaussdb:instance:creategaussdb:param:list 界面选择VPC、子网、安全组需要配置：vpc:vpcs:listvpc:vpcs:getvpc:subnets:getvpc:securityGroups:get创建加密实例需要在项目上配置:kms:cmk:getkms:cmk:list操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 规格变更 gaussdb:instance:modifySpec 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 扩容节点 gaussdb:instance:modifySpec 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 磁盘扩容 gaussdb:instance:modifySpec 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 重启数据库实例 gaussdb:instance:restart 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 删除数据库实例 gaussdb:instance:delete 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 查询数据库实例列表 gaussdb:instance:list 无 实例详情 gaussdb:instance:list 实例详情界面展示VPC、子网、安全组，需要对应配置vpc::get和vpc::list。显示磁盘已使用大小，需要配置ces::list。 修改数据库实例密码 gaussdb:instance:modify 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 修改实例名称 gaussdb:instance:modify 无 绑定/解绑公网IP gaussdb:instance:modify 界面列出公网IP需要配置：vpc:publicIps:getvpc:publicIps:list操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 创建参数模板 gaussdb:param:creategaussdb:param:list 无 修改参数模板 gaussdb:param:modify 无 获取参数模板列表 gaussdb:param:list 无 应用参数模板 gaussdb:param:apply 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create 删除参数模板 gaussdb:param:delete 无 创建手动备份 gaussdb:backup:create 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 获取备份列表 gaussdb:backup:list 无 修改备份策略 gaussdb:instance:modifyBackupPolicy 无 删除手动备份 gaussdb:backup:delete 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 恢复到新实例 gaussdb:instance:create 界面选择VPC、子网、安全组需要配置：vpc:vpcs:listvpc:vpcs:getvpc:subnets:getvpc:securityGroups:get操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create 查询项目标签 gaussdb:tag:list 无 批量添加删除项目标签 gaussdb:instance:dealTag 无 修改配额 gaussdb:quota:modify 无

操作场景 若需要对集群中的资源进行权限控制，（例如A用户只能对某个命名空间下的应用有读写权限，B用户只能对集群下的资源有读权限等），请参照本章节操作。 操作步骤 步骤 1 若需要对集群进行权限控制，请在创建集群时的“认证方式”参数后勾选“认证能力增强”，选择“认证代理”。单击“CA根证书”后的“上传文件”，上传符合规范且合法的证书。 步骤 2 通过kubectl创建角色。 下面的例子展示了如何创建一个角色，并允许该角色读取default空间下的所有Pod。参数详细解释请参见Kubernetes官方文档。 kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: default name: podreader rules: apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] 步骤 3 通过kubectl创建角色绑定。 下面的例子给出RoleBindings赋予default命名空间下的podreader的角色给用户jane。该策略允许用户jane可以读取default命名空间下的所有pods。参数详细解释请参见Kubernetes官方文档。 kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: readpods namespace: default subjects: kind: User name: jane 的用户名 apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: podreader 创建的角色名 apiGroup: rbac.authorization.k8s.io 步骤 4 创建角色并与用户绑定成功后，请在接口请求的headers中携带用户信息以及集群创建时上传的证书访问kubernetes接口。例如调取查询pod的接口时，执行命令如下： curl k H "XRemoteUser: jane" cacert /root/tlsca.crt key /root/tls.key cert /root/tls.crt 返回200表示访问成功，返回403表示没有权限访问。 说明：为避免命令执行失败，请提前把证书上传到/root目录下。 参数解释如下： XRemoteUser: jane：请求头固定为XRemoteUser，jane为用户名。 tlsca.crt ：创建集群时上传的CA根证书。 tls.crt：与集群创建时所上传的CA根证书配套的客户端证书。 tls.key：与集群创建时所上传的CA根证书配套的客户端秘钥。 192.168.23.5:5443：为连接集群的地址，获取方式如下： 登录CCE控制台，在左侧导航栏中选择“资源管理 > 集群管理”，单击待连接集群的名称，在集群基本信息中获取“内网apiserver地址”后的IP地址和端口号。 说明 CCE支持天翼云帐号和IAM用户分别下载config文件（kubeconfig.json），IAM用户下载的config文件只有30天的有效期，而天翼云帐号下载的config文件会长期有效。该文件用户对接认证用户集群，请用户妥善保存该认证凭据，防止文件泄露后，集群有被攻击的风险。如果不幸泄露，可以通过证书更新的方式，替换认证凭据。 IAM用户下载的config文件所拥有的Kubernetes权限与CCE控制台上IAM用户所拥有的权限一致。 另外，还支持XRemoteGroup的头域：用户组名，在做RoleBinding时，可以将Role与Group进行绑定，并在访问集群时携带用户组信息。

为什么事务调试总是失败？ 在使用调试功能前，要先确认如下两点： 确保资源组为运行状态。 确保资源组的调试节点和被压测的应用之间网络互通。 登录弹性云主机控制台。 在弹性云主机中分别找到调试机和执行机的节点并登录。 curl对应应用的URL查看网络是否连通。满足以上两点后，对事务进行调试，单击“结果”页签查看返回内容是否正确。 若调试功能返回内容报错，这就是使用调试功能的主要目的，需要去检查自己传入参数是否正确，检查报文配置的内容是否正确。 HTTP报文请求中，哪些头域是必填的？ 性能测试服务没有必填头域，只负责透传您定义的头域，在HTTP的行为上来看哪些头域必须携带取决于被测服务器是否会校验或者使用到这些头域。请根据压测服务器需要校验或者使用的头域来添加相关头域及内容。 压测任务执行机CPU占用率一直较高的原因？ 性能测试服务比较特殊，对处理时延要求很高，可能您发送的报文服务器响应时间很短，因此需要不断轮询以减小时延偏差，所以压测任务在运行时会出现高CPU占用。由于用于压测资源组的节点是独占的，所以不会对您的应用产生影响，也不会影响性能测试服务本身的性能。 全局变量和响应提取变量的区别 全局变量可在整个测试工程中使用，当前支持枚举类型、整数类型、文本类型和文件类型。响应提取的变量为局部变量，只支持在当前事务中或者本用例中，该请求后续的请求可使用，不支持跨事务或者跨用例使用。

合作伙伴认证简介 2015年，由ctyun推出的针对云服务软件商的认证评选活动。“天翼云合作伙伴认证”以推动云应用的发展、普及，促进软件应用与天翼云产品的融合为目的，招募软件服务商成为合作伙伴，围绕天翼云产品和服务展开多角度的服务合作。

API覆盖的功能模块。 序号 主要功能 1 边缘服务 2 虚拟机管理 3 虚拟私有云网络管理 4 子网管理 5 SSH密钥管理 6 存储管理 7 弹性公网IP管理 8 网关管理 9 安全组管理 10 负载均衡管理 11 负载均衡监听器管理 12 负载均衡后端服务器组管理 13 用户配额管理 14 SSL证书管理

本节介绍容量分配管理的操作说明。 网络共享盘容量管理 1. 进入“AI云电脑（政企版）”控制台； 2. 选择“翼共享”“翼共享管理”菜单，进入翼共享管理页面； 3.选择“网络共享盘”“容量管理”，进入容量管理页面，可查看企业、个人容量使用情况； 4.通过“调整容量分配”，可重新调整企业和个人的容量分配； 5.确认配置后，点击“确定”即可。 说明 分配个人空间容量为共享容量，不支持独享容量设置。 NAS共享盘容量管理 1. 进入“AI云电脑（政企版）”控制台； 2. 选择“翼共享”“翼共享管理”菜单，进入翼共享管理页面； 3.选择“NAS共享盘”“容量管理”，进入容量管理页面，可查看总览、企业、个人容量使用情况； 4.选择“企业容量”“容量分配”，可对企业容量进行容量分配的设定； 5.选择“个人容量管理”，可对个人容量进行分配或释放。 注意 释放容量将格式化存储空间，强烈建议先进行文件备份。

本小节介绍态势感知用户管理。 用户管理 系统支持用户分权分级管理，可以创建不同的用户，分配不同的角色，进行系统的管理。 用户管理显示登录名称、用户名称、邮箱、角色、备注、状态，支持登录用户的添加、编辑、删除、锁定。 添加用户时，填写登录名称、用户名称、邮箱、设置密码、选择用户角色（支持多选）、填写备注，点击“保存”即可。 角色管理 支持对用户角色进行添加、编辑、删除、权限管理。 系统包括三种用户角色：普通用户、系统管理员、安全管理员。 系统管理员：拥有全功能。 普通用户：只可以查看数据，没有系统设置、用户管理的功能权限。 安全管理员：只能使用安全检查功能模块。

本章节为您介绍如何配置日志告警。 添加日志告警 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 日志服务”，进入日志服务页面，选择需要管理的实例。 5. 单击添加告警，跳转至云日志服务控制台，单击“创建告警规则”。 6. 在新建告警规则页面填写相关内容。 参数 参数说明 填写示例 告警名称 自定义WAF日志的告警规则名称，限制064个字。 WAF日志告警 检查频率 支持固定频率或者固定时间进行告警： 固定频率：选择固定频率，时间频率可选择159分钟、123小时、131天。 固定时间：选择固定时间后，可选择一天中任意一个时间，时间支持精确到分钟。 固定频率：5分钟 固定时间：12:00 查询对象 选择需要告警需要查询的日志对象，WAF固定选择为：wafltsprojectSaaS，waflogunit。 wafltsprojectSaaS，waflogunit 说明 此日志项目及单元为开启投递日之后自动生成。 查询时间范围 针对目标日志单元进行检索时的时间范围，支持按分钟、小时为单位 起始时间5分钟前，结束时间1分钟前 查询执行语句 针对目标日志单元的查询分析条件，填入日志查询分析语句，点击【预览】按钮可预览检索结果，当检索结果满足触发条件时，则触发告警。关于如何填写查询分析语句，可参考日志查询语法与SQL统计语法。 (configdomain:log.ctyun.fit) 分组评估 基于最多两个字段的值，对查询统计的最终集合进行分组，分别对每个组评估与触发告警。选取字段的值尽可能为枚举，以免造成告警风暴。 标签自定义 触发条件 当目标日志单元的检索结果满足触发条件时，则触发告警通知。可同时设置多条触发条件，目前支持两类触发条件： 检索结果有数据：当检索结果有日志数据时即触发告警； 检索结果有特定条数据：当检索结果中的日志数据满足一定条件时即触发告警，可设置条件表达式。 有数据匹配：输入具体的条件表达式，当条件表达式返回为true的时候，产生告警，否则不产生告警。 有特定条数据匹配：输入具体的条件表达式，当条件表达式返回为true且满足特定条数据条件时，产生告警，否则不产生告警。 当有特定条数据>5 条时，告警等级一般。 标签 添加告警规则的标签名称和标签值。 通知策略 选择告警的通知策略，通知策略配置可参考：通知策略管理 不指定通知规则。 告警内容 告警内容将作为告警信息中的一个字段，告警内容支持插入各类变量。 租户账号ID 7. 单击“保存”，完成告警规则配置。

开启定时漏洞扫描 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 单击定时扫描右侧的“设置”，页面右侧弹出定时扫描设置窗口，可进行定时扫描设置。 4. 设置选项包括漏洞类别、漏洞等级、定期检测周期、设置生效范围，详细参数说明如下。 参数 说明 定时扫描 开启或关闭定时扫描。 漏洞类别 支持扫描“Linux软件漏洞”、“Windows系统漏洞”、“WebCMS漏洞”和“应用漏洞”。 定期检测周期 设置后会在周期选定的时间点开始定期检测。 扫描周期：选择每天、3天或7天。 扫描时间：默认为02:00，可以手动选择一天中的任一整点时间。 设置生效范围 选择扫描哪些服务器。可以选择“全部服务器”或“自选服务器”。 选择“自选服务器”时，您可以通过区域、服务器名称、服务器IP搜索需要扫描的服务器。 说明 以下服务器不能被选中执行漏洞扫描： 非“运行中”状态的服务器。 Agent状态为“离线”的服务器。 5. 单击“确定”，设置完成。

SCHEMA隔离应用示例 示例一： Schema的owner默认拥有该Schema下对象的所有权限，包括删除权限；Database的owner默认拥有该Database下对象的所有权限，包括删除权限。因此建议对Database和Schema的创建要做比较严格的控制，一般建议使用管理员创建Database和Schema，然后把相关的权限控制赋给业务用户。 1.dbadmin在数据库testdb下把创建Schema的权限赋给普通用户user1。 testdb> GRANT CREATE ON DATABASE testdb to user1; GRANT 2.切换到普通用户user1。 testdb> SET SESSION AUTHORIZATION user1 PASSWORD ''; SET 用户user1在数据库testdb下创建名为myschema2的Schema。 testdb> CREATE SCHEMA myschema2; CREATE SCHEMA 3.切换到管理员dbadmin。 testdb> RESET SESSION AUTHORIZATION; RESET 管理员dbadmin在模式myschema2下创建表t1。 testdb> CREATE TABLE myschema2.t1(a int, b int) DISTRIBUTE BY HASH(b); CREATE TABLE 4.切换到普通用户user1。 testdb> SET SESSION AUTHORIZATION user1 PASSWORD ''; SET 普通用户user1删除管理员dbadmin在模式myschema2下创建的表t1。 testdb> drop table myschema2.t1; DROP TABLE 示例二： 因为Schema的逻辑隔离的功能，访问数据库对象实际上要通过Schema和具体对象的两层校验。 1.把表myschema.t1的权限赋给用户user1。 gaussdb> GRANT SELECT ON TABLE myschema.t1 TO user1; GRANT 2.切换到用户user1。 SET SESSION AUTHORIZATION user1 PASSWORD ''; SET 查询表myschema.t1。 gaussdb> SELECT FROM myschema.t1; ERROR: permission denied for schema myschema LINE 1: SELECT FROM myschema.t1; 3.切换到管理员dbadmin。 gaussdb> RESET SESSION AUTHORIZATION; RESET 把myschema.t1的权限赋给用户user1。 gaussdb> GRANT USAGE ON SCHEMA myschema TO user1; GRANT 4.切换到普通用户user1。 gaussdb> SET SESSION AUTHORIZATION user1 PASSWORD ''; SET 查询表myschema.t1。 gaussdb> SELECT FROM myschema.t1; a b + (0 rows)

本文为您介绍云硬盘快照的定义、优势、应用场景及使用限制。 产品定义 天翼云云硬盘快照是一种数据备份方式，云硬盘快照服务可以备份或者恢复整个云硬盘的数据，常用于数据备份、制作镜像、应用容灾等。 云硬盘快照能够记录某一块云硬盘在某个时刻的数据，通过回滚将云硬盘数据恢复至快照时间点。还可以通过快照快速创建出多个具有相同数据的云硬盘用于业务部署。 产品优势 弹性扩展：快照容量可弹性扩展，立即生效，不受存储设备性能、容量的限制。 动态收费：根据实际业务数据变化量，按照快照的实际使用容量收费。 安全：提供数据加密服务，快照的加密属性继承其源云硬盘，加密云硬盘所创建的快照也会被加密。 应用场景 数据保护和恢复：快照可以用作数据的备份和恢复手段。当云硬盘的数据发生意外删除、损坏或错误修改时，可以使用快照来恢复到之前的状态。 数据恢复测试：可以使用快照来进行数据恢复测试。在进行关键操作之前，先创建一个快照，然后在测试过程中可以随时回滚到快照状态，以确保操作的安全性和可靠性。 数据备份和归档：通过创建快照，可以定期备份云硬盘的数据，并将快照存档用于长期数据保留、合规要求或法律需求。 批量部署多个业务：通过同一个快照可以快速创建出多个具有相同数据的云硬盘，从而可以同时为多种业务提供数据资源。例如数据挖掘、报表查询和开发测试等业务。

业务场景 选型原则 推荐实例类型 Web服务器、开发测试环境以及小型数据库应用等场景。 计算、存储、内存等资源需求平衡，无特定配置要求。 通用型，推荐最小规格为2核4G通用型云主机 计算性能高且稳定的企业级应用，如大规模数据处理、在线游戏等。 对CPU 或内存等计算资源要求较高，具有性能稳定且资源独享的特点。 计算型，推荐最小规格为2核4G计算型云主机 大型数据库、高性能计算、NoSQL等场景。 内存要求较高、需要大量数据计算。 内存型，推荐最小规格为2核16G内存型云主机 在深度学习、高性能数据库、计算流体动力学、计算金融、地震分析、分子建模、基因组学等领域场景，适用于科学计算等。 采用GPU直通技术，能够提供超高的通用计算能力。选型详见： 。 GPU计算加速型，推荐最小规格为16核64G GPU计算加速型云主机 高清视频、图形渲染、远程桌面等场景。 提供图形处理器(GPU)及较高的计算性能配置，镜像默认安装GRID驱动可以适用于图形渲染要求较高的应用。选型详见： 。 GPU图形加速基础型，搭配GRID驱动，推荐最小规格为8核24G GPU图形加速基础型云主机

本章节主要介绍翼MapReduce的多租户特性。 特性简介 现代企业的数据集群在向集中化和云化方向发展，企业级大数据集群需要满足： 不同用户在集群上运行不同类型的应用和作业（分析、查询、流处理等），同时存放不同类型和格式的数据。 某些类型的用户（例如银行、政府单位等）对数据安全非常关注，很难容忍将自己的数据与其他用户放在一起。 这给大数据集群带来了以下挑战： 合理地分配和调度资源，以支持多种应用和作业在集群上平稳运行。 对不同的用户进行严格的访问控制，以保证数据和业务的安全。 多租户将大数据集群的资源隔离成一个个资源集合，彼此互不干扰，用户通过“租用”需要的资源集合，来运行应用和作业，并存放数据。在大数据集群上可以存在多个资源集合来支持多个用户的不同需求。 因此，翼MR大数据集群提供了完整的企业级大数据多租户解决方案。多租户是翼MR大数据集群中的多个资源集合（每个资源集合是一个租户），具有分配和调度资源（资源包括计算资源和存储资源）的能力。 特性优势 合理配置和隔离资源 租户之间的资源是隔离的，一个租户对资源的使用不影响其它租户，保证了每个租户根据业务需求去配置相关的资源，可提高资源利用效率。 测量和统计资源消费 系统资源以租户为单位进行计划和分配，租户是系统资源的申请者和消费者，其资源消费能够被测量和统计。

本节主要介绍了STS临时授权功能的典型场景和具体使用方法。 应用场景 某企业X开发了一款移动应用（App），并使用OOS服务。App需要直连OOS上传或下载数据，但是App运行在用户自己的移动设备上，这些设备不受企业X的控制。企业X有如下要求： 直传数据：企业X不希望所有App都通过企业的服务端应用服务器（Application Server）来进行数据中转，而希望能够直连OOS上传或下载数据。 安全管控：企业X不希望将访问密钥（AccessKey）保存到移动设备中，因为移动设备是归属于用户控制，属于不可信的运行环境。 风险控制：企业X希望将风险控制到最小，每个App直连OOS时都必须拥有最小的访问权限且访问时效需要很短。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体操作 应用服务器在OOS上为每个APP创建一个IAM用户，并为每个IAM用户附加最小的访问权限（如调用STS接口、仅对自己目录下的资源有所有权，对于其他用户的目录无权限）。当移动应用（App）直连OOS上传或下载数据时，App需要向应用服务器申请访问凭证。应用服务器以该APP的IAM用户身份，调用STS API接口获取临时安全访问凭证，并将临时安全访问凭证传递给App，App使用临时安全访问凭证访问OOS。 具体步骤如下所示： 1. OOS为应用服务器创建IAM用户并附加权限策略。具体策略可参考下列示例： { "Version": "20121017", "Statement": [ { "Sid": "AllowListAllBuckets", "Effect": "Allow", "Action": [ "oos:ListAllMyBucket" ], "Resource": "" }, { "Sid": "AllowListYourselfFolder", "Effect": "Allow", "Action": [ "oos:ListBucket" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname" ], "Condition": { "StringLike": { "oos:prefix": [ "${ctyun:username}/" ] } } }, { "Sid": "AllowControleYourselfFolder", "Effect": "Allow", "Action": [ "oos:GetObject", "oos:ListMultipartUploadParts", "oos:DeleteObject", "oos:PutObject", "oos:DeleteMultipleObjects", "oos:AbortMultipartUpload" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname/${ctyun:username}/" ] }, { "Sid": "AllowCallSTS", "Effect": "Allow", "Action": [ "iam:GetSessionToken" ], "Resource": "" } ] } 2. APP向应用服务器申请临时访问凭证。 3. 应用服务器调用STS接口获取临时安全访问凭证。 请求示例 POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn xamzdate: Tue, 21 Aug 2012 17:54:50 GMT ContentMD5: 8dYiLewFWZyGgV2Q5FNI4W Authorization:AWS fad0e782cd5132563e38:xQE0diMbLRepdf3YB+FIEXAMPLE ContentLength: 445 ActionGetSessionToken&DurationSeconds129600 响应示例 HTTP/1.1 200 OK xamzrequestid: 996c76696e6727732072657175657374 Date: Mon, 1 Nov 2010 20:34:56 GMT ContentType:text/xml;charsetUTF8 ContentLength: 533 Server: CTYUN 8b2b75f5a04e458b0da3a01602e78b089528b915c2 sts.6b7fd 17b69c15f 20230427T13:52:08.282Z 62c80e3868a14804 4. 应用服务器将获取的临时安全访问凭证传递给APP。 5. APP使用临时安全访问凭证访问OOS资源，进行数据直传。 调用时输入步骤3返回的信息： AccessKeyId：sts.6b7fd SecretAccessKey：17b69c15f SessionToken：8b2b75f5a04e458b0da3a01602e78b089528b915c2 注意 由于生成的临时安全访问凭证是默认继承IAM用户的权限，所以我们在为IAM用户创建策略的时候，仅分配STS接口权限和所需操作的最小权限，不推荐分配CreateUser、CreateAccessKey、UpdateLoginProfile等权限，以防止临时安全访问凭证权限过大。

本节介绍通过管理员激活方式的用户管理。 操作场景 通过管理员激活方式的用户，您可以查看用户已有云手机数，也可以对已创建的用户进行修改用户信息、数据导出、重置密码、解锁帐户、删除账户等操作。 创建用户 1.进入“云手机”控制台； 2.点击“组织管理”，选择“用户管理”，进入“用户管理”页面； 3.点击“创建用户”，进入“创建用户”页面； 4.选择“管理员激活”； 5.填写用户的“用户账号”和“密码“，可批量导入； 6点击“确定”，完成用户的创建。 修改用户信息 1.进入“云手机”控制台； 2.点击“组织管理”，选择“用户管理”，进入“用户管理”页面； 3.在需要修改用户名的用户所在行，点击“修改”，弹出“修改用户信息”对话框； 4.在“用户名”文本框输入修改后的用户名； 5.可以在通知邮箱输入框填写邮箱（填写通知邮箱后，重置密码操作则需要把邮件发送至用户的预留邮箱）； 6.点击“确定”，完成云手机用户信息的修改。 重置密码 1.进入“云手机”控制台； 2.点击“组织管理”，选择“用户管理”，进入“用户管理”页面； 3.在需要重置密码的用户所在行，点击“更多”，在下拉菜单中点击“重置密码”，弹出“重置密码”的弹窗； 4.在输入框重置密码，并确认密码； 5.点击”确定“，即可完成密码重置。 解锁账户 当用户连续输入错误密码导致账户被锁定时，可执行该操作解锁用户。 1.进入“云手机”控制台； 2.点击“组织管理”，选择“用户管理”，进入“用户管理”页面； 3.在需要解锁账户的用户所在行，点击“更多”，下拉菜单中点击“解锁账户”，即可解锁账户。

本文将为您介绍天翼云云通信的应用场景，方便您了解短信服务。 短信验证码 随着移动互联网的发展，各类APP不断涌出，出现爆发性的登录、验证需求，验证码业务需求日益广泛。短信验证码是企业给消费者（用户）的一个凭证，通过短信验证码注册和验证身份，降低了非法注册数量，提高了用户质量。 在移动互联网的大潮形势下，国内的各行各业，包括银行、大型互联网、电子商务等都已经相继采用了短信验证码的形式来保障用户安全。短信验证码已应用于APP、网站的注册； 登录账户、异地登录的安全提示； 找回密码的安全验证； 支付认证、身份校验、手机绑定等多种场景。 系统信息推送（短信通知） 随着无纸化办公时代的到来，各类通知的需求日益增加，如会议通知、短信公文 、故障预警与人员调度、信用卡或借记卡查询、帐务变动提醒、客户关怀、节日问候等等。 向注册用户下发系统相关信息，其中包含： 服务开通、升级或维护、价格变更、 订单确认、物流快递情况、消费确认和支付提醒等短信。

本节介绍iVPN app的用户管理。 iVPN app禁用用户 若管理员在使用过程中想禁止一个或多个用户使用iVPN app加密接入AI云电脑，可以进行以下操作。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“iVPN app”，进入iVPN app管理页面； 3.在操作实例中，点击“管理”，选择“用户管理”，进入iVPN app 用户管理页面； 4.在iVPN app 用户管理页面，操作用户中点击“禁用”，即可禁用该用户，也可以勾选多个用户，在“批量操作”中选择“批量禁用”即可同时禁用多个用户。 iVPN app启动用户 若管理员在使用过程中想对已经禁止的一个或多个用户恢复使用iVPN app接入AI云电脑，可以进行以下操作。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“iVPN app”，进入iVPN app管理页面； 3.在操作实例中，点击“管理”，选择“用户管理”，进入iVPN app 用户管理页面； 4.在iVPN app 用户管理页面，已被禁用的用户中点击“启用”，即可恢复该用户使用iVPN app，也可以勾选多个用户，在“批量操作”中选择“批量启用”即可同时启用多个用户。

参数名 数据类型 应用类型 默认值 Agent支持的起始版本 Agent支持的终止版本 描述 参数解析 radio JAVA false 2.0.0 是否解析redis参数和返回值。 参数长度 integer JAVA 1000 2.0.0 参数解析长度限制。 端口区分 radio JAVA false 2.0.0 是否区分redis端口。

DCS实例配置建议 连接池配置 说明 以下计算方式只适用于一般业务场景，建议根据业务情况做适当调整适配。 连接池的大小没有绝对的标准，建议根据业务流量进行合理配置，一般连接池大小的参数计算公式如下： 最小连接数（单机访问Redis QPS）/（1000ms / 单命令平均耗时） 最大连接数（单机访问Redis QPS）/（1000ms / 单命令平均耗时） 150% 举例：某个业务应用的QPS为10000左右，每个请求需访问Redis10次，即每秒对Redis的访问次数为100000次，同时该业务应用有10台机器，计算如下： 单机访问Redis QPS 100000 / 10 10000 单命令平均耗时 20ms（Redis处理单命令耗时为510ms，遇到网络抖动按照1520ms来估算） 最小连接数 （10000）/（1000ms / 20ms） 200 最大连接数 （10000）/（1000ms / 20ms） 150% 300

本节介绍云电脑（政企版）创建角色以及角色授权等操作。 创建角色 通过角色管理，您可以对登录AI云电脑管理台的子账号配置管理台菜单权限，实现不同角色的管理员拥有不同的菜单权限。 1.进入“AI云电脑（政企版）”控制台； 2.点击“组织管理”，选择“角色管理”，进入“角色管理”页面； 3.选择需要创建角色的所在行，点击“新建角色”； 4.填写“角色名称”和“描述”，完成角色创建。 角色授权 可对角色进行授权管理台的菜单权限和对应的功能权限。而绑定该角色的子账号则可以使用对应的角色权限。 1.进入“AI云电脑（政企版）”控制台； 2.点击“组织管理”，选择“角色管理”，进入“角色管理”页面； 3.选择需要编辑角色的所在行，点击“授权”； 4.进入角色授权页面，可对该角色进行授权菜单以及相应的功能权限； 5.根据您的需要，对角色配置“AI云电脑（政企版）”控制台菜单权限。 编辑角色 可以编辑角色的名称，以及设置角色的状态为有效或无效。 1.进入“AI云电脑（政企版）”控制台； 2.点击“组织管理”，选择“角色管理”，进入“角色管理”页面； 3.选择需要编辑角色的所在行，点击“编辑”； 4.可对角色的名称以及设置角色的状态为有效或无效； 5.点击“确定”，则完成角色基本信息的修改。

概述 服务网格支持使用opentelmetry方式接入应用性能监控链路追踪能力，本章节介绍如何开启和使用链路追踪。 开启条件 需要开通APM应用性能监控，可参考开通应用性能监控应用性能监控快速入门 天翼云 (ctyun.cn) 需要在网格实例所属VPC下开通APM相关的终端节点（VPCE） 开启方式 登录服务网格控制台，网格实例 > 网格配置 > 自定义配置 > 启用链路追踪 开启即可。 开启时，您需要设置采样里，取值1100。 如果您还未开通应用性能监控服务及链路追踪数据上报需要的VPCE等资源，您可以授权服务网格组件一键开通相关资源。 链路追踪接入示例 概述 本节展示服务网格接入链路追踪的操作流程及效果，首先确认已经开启了链路追踪功能开关并将采样率配置为100%。演示架构如下图所示 其中ELB和Ingress Gateway作为接入层，业务层包括app1、app2、app3三个服务（分别都注入了网格sidecar），业务代码中也通过opentelemetry方式接入了链路追踪，触发数据面访问后，预期会上报链路数据到APM，完整覆盖网格数据面和应用。 部署测试程序 创建demo命名空间并配置好相关注入标签，保证sidecar注入；部署应用及服务，如下 注意 1. 本示例使用的镜像地址是华南2资源池，如果您在其他资源池体验，请替换镜像地址 2. 本示例采用go语言+opentelemetry方式接入链路追踪，您可以参考应用性能监控go语言接入链路追踪的文档将Deployment中的token和endpoint环境变量替换成您看到的值 html apiVersion: apps/v1 kind: Deployment metadata: name: app1base namespace: demo labels: app: app1 csmtraffictag: base spec: replicas: 1 selector: matchLabels: app: app1 name: app1 csmtraffictag: base template: metadata: labels: sidecar.istio.io/inject: "true" app: app1 name: app1 source: CCSE csmtraffictag: base spec: containers: name: default image: registryvpccrshuanan2.cnspinternal.ctyun.cn/library/tracedemo:otel imagePullPolicy: Always env: name: token value: yourapmlicence name: endpoint value: apmhuanan2.cnspinternal.ctyun.cn:27141 name: version value: base name: app value: app1 name: upstreamurl value: " ports: containerPort: 8000 apiVersion: apps/v1 kind: Deployment metadata: name: app2base namespace: demo labels: app: app2 csmtraffictag: base spec: replicas: 1 selector: matchLabels: app: app2 name: app2 csmtraffictag: base template: metadata: labels: sidecar.istio.io/inject: "true" app: app2 name: app2 source: CCSE csmtraffictag: base spec: containers: name: default image: registryvpccrshuanan2.cnspinternal.ctyun.cn/library/tracedemo:otel imagePullPolicy: Always env: name: token value: yourapmlicence name: endpoint value: apmhuanan2.cnspinternal.ctyun.cn:27141 name: version value: base name: app value: app2 name: upstreamurl value: " ports: containerPort: 8000 apiVersion: apps/v1 kind: Deployment metadata: name: app3base namespace: demo labels: app: app3 csmtraffictag: base spec: replicas: 1 selector: matchLabels: app: app3 name: app3 csmtraffictag: base template: metadata: labels: sidecar.istio.io/inject: "true" app: app3 name: app3 source: CCSE csmtraffictag: base spec: containers: name: default image: registryvpccrshuanan2.cnspinternal.ctyun.cn/library/tracedemo:otel imagePullPolicy: Always env: name: token value: yourapmlicence name: endpoint value: apmhuanan2.cnspinternal.ctyun.cn:27141 name: version value: base name: app value: app3 ports: containerPort: 8000 apiVersion: apps/v1 kind: Deployment metadata: name: app1test namespace: demo labels: app: app1 csmtraffictag: test spec: replicas: 1 selector: matchLabels: app: app1 name: app1 csmtraffictag: test template: metadata: labels: sidecar.istio.io/inject: "true" app: app1 name: app1 source: CCSE csmtraffictag: test spec: containers: name: default image: registryvpccrshuanan2.cnspinternal.ctyun.cn/library/tracedemo:otel imagePullPolicy: Always env: name: token value: yourapmlicence name: endpoint value: apmhuanan2.cnspinternal.ctyun.cn:27141 name: version value: test name: app value: app1 name: upstreamurl value: " ports: containerPort: 8000 apiVersion: apps/v1 kind: Deployment metadata: name: app2test namespace: demo labels: app: app2 csmtraffictag: test spec: replicas: 1 selector: matchLabels: app: app2 name: app2 csmtraffictag: test template: metadata: labels: sidecar.istio.io/inject: "true" app: app2 name: app2 source: CCSE csmtraffictag: test spec: containers: name: default image: registryvpccrshuanan2.cnspinternal.ctyun.cn/library/tracedemo:otel imagePullPolicy: Always env: name: token value: yourapmlicence name: endpoint value: apmhuanan2.cnspinternal.ctyun.cn:27141 name: version value: test name: app value: app2 name: upstreamurl value: " ports: containerPort: 8000 apiVersion: apps/v1 kind: Deployment metadata: name: app3test namespace: demo labels: app: app3 csmtraffictag: test spec: replicas: 1 selector: matchLabels: app: app3 name: app3 csmtraffictag: test template: metadata: labels: sidecar.istio.io/inject: "true" app: app3 name: app3 source: CCSE csmtraffictag: test spec: containers: name: default image: registryvpccrshuanan2.cnspinternal.ctyun.cn/library/tracedemo:otel imagePullPolicy: Always env: name: token value: yourapmlicence name: endpoint value: apmhuanan2.cnspinternal.ctyun.cn:27141 name: version value: test name: app value: app3 ports: containerPort: 8000 apiVersion: v1 kind: Service metadata: name: app1 labels: app: app1 service: app1 spec: ports: port: 8000 name: http selector: app: app1 apiVersion: v1 kind: Service metadata: name: app2 labels: app: app2 service: app2 spec: ports: port: 8000 name: http selector: app: app2 apiVersion: v1 kind: Service metadata: name: app3 labels: app: app3 service: app3 spec: ports: port: 8000 name: http selector: app: app3

本节主要介绍概述 库管理功能面介绍 库管理 功能面编号说明 功能名称 说明 :: 库信息 显示当前库名称、IP地址、字符集和可跳转的SQL窗口。 Schema列表 通过不同的Schema，在同一数据库下设置不同的模式管理数据。 对象列表 包括表、视图、存储过程、触发器和序列五部分。 元数据采集 允许DAS仅自动采集实例中的库名、表名、字段名等结构定义数据（不包含您的表里的实际数据）。 说明 实例表过多时，系统不会发起元数据采集，也不加载表列表，避免对数据库性能产生影响。 列表详情 各对象的实际操作区域。 说明 进入库管理页面有2种方式： 您可从顶部导航菜单栏，单击“库管理”进入管理页面。 您也可从首页数据库列表操作栏中，单击“库管理”进入管理页面。 对象列表 PostgreSQL数据库主要对表、视图、存储过程、触发器和序列等对象进行管理。本数据库不提供可视化的窗口创建对象，若您想新建对象，请直接在SQL窗口中创建。 表管理具体操作指导，请参考表管理。 视图管理具体操作指导，请参考视图管理。 存储过程管理具体操作指导，请参考存储过程管理。 触发器管理具体操作指导，请参考触发器管理。 序列管理具体操作指导，请参考序列。

本文带您了解VPC终端节点的功能特性。 VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。 终端节点服务 终端节点服务（VPC Endpoint Service）指将云服务或用户私有服务配置为VPC终端节点支持的服务。终端节点服务通过专属网关，可以将 VPC 中的服务方便的提供给其它 VPC 中的资源使用，实现跨 VPC 的访问，而不必暴露服务端VPC内部的的网络信息，使您的访问更加安全、可靠。当前支持“接口”类型终端节点服务。 用户可通过创建“接口”类型终端节点服务，实现在指定的白名单用户间服务私有共享。 终端节点服务允许用户快速将其服务发布到内部网络，通过白名单授权管理，确保在确保安全的前提下，能够灵活地管理可访问的用户。这种方式可以使用户能够方便地通过内部网络共享服务。 终端节点 终端节点（VPC Endpoint）在VPC和终端节点服务之间提供连接通道。您可以使用终端节点连接在VPC中自己创建终端节点服务后端应用程序，也可以通过终端节点连接天翼云提供原生服务，天翼云终端节点支持“接口”和“反向”两种类型终端节点 。 “接口”类型终端节点：是具备私有IP地址的弹性网络接口，“接口”类型终端节点可作为VPC用户访问云服务入口，为VPC提供主动访问云服务能力，"接口"类型终端节点可连接自建服务，也可以连接天翼云云提供的原生服务。 "反向"类型终端节点：同样是具备私有IP地址的弹性网络接口，"反向"类型终端节点为服务主动访问用户VPC资源的出口，服务可通过此类型终端节点主动访问VPC内的资源。

对于有些网站，源IP无法精准获取。例如：存在未在header中插入“XForwardedFor”字段的Proxy或其他原因，建议使用配置Cookie字段实现用户标识并开启“全局计数”。 攻击案例 竞争对手控制数台主机，与大多普通访客一样，共用同一IP，或通过代理频繁更换源IP，持续向网站“www.example.com”发起HTTP Post请求，网站并无较大的负载能力，网站连接数、带宽等资源均被该攻击者大量占用，正常用户无法访问网站，最终竞争力急剧下降。 防护措施 步骤1 根据服务访问请求统计，判断网站是否有大量同一IP请求发生，如果有则说明网站很有可能遭受了CC攻击。 步骤2 登录管理控制台，将您的网站成功接入Web应用防火墙。关于域名接入的具体操作请参见网站接入WAF。 步骤3 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面，确认“CC攻击防护”的“状态”为“开启”。 步骤4 开启WAF的“CC攻击防护”后，添加CC防护规则，配置“用户限速”模式，输入用户标识，即Cookie字段中的变量名。为了更加有效的标识用户，建议使用“sessionid”或“token”这类标识网站后台颁发给用户的唯一标识字段。 说明 “防护模式”选择“阻断”模式，设置“阻断时长”，能够在攻击被拦截后，攻击者需额外等待一段时间， 该设置能进一步对攻击者行为进行限制，建议对安全要求非常高的用户设置。 添加CC防护规则 限速模式：选择“源限速”、“用户限速”，根据Cookie键值区分单个Web访问者。 用户标识：为了更加有效的标识用户，建议使用“sessionid”或“token”这类标识网站后台颁发给用户的唯一标识字段。 限速频率：单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将暂停该Web访问者的访问。 防护动作：选择“阻断”模式。该模式可设置“阻断时长”，在攻击被拦截后，攻击者需额外等待一段时间才能访问正常的网页， 该设置能进一步对攻击者行为进行限制，建议对安全要求非常高的用户设置。 人机验证：表示在指定时间内访问超过次数限制后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。 阻断：表示在指定时间内访问超过次数限制将直接阻断。 仅记录：表示在指定时间内访问超过次数限制将只记录不阻断。 阻断页面：可选择“默认设置”或者“自定义”。

本文为您详细介绍Baichuan 2 模型。 模型简介 Baichuan 2 是百川智能推出的新一代开源大语言模型，在多个权威的中文和英文基准测试（benchmark）上均取得了同尺寸模型中的最佳效果。此次发布，Baichuan 2 提供了7B和13B的Base版本以及Chat版本，同时，为了提升部署效率和降低资源消耗，还特别为Chat版本提供了4bit量化的版本。 使用场景 在实际应用方面，Baichuan 2在垂直领域如医学和法律方面表现突出。 这种规模的模型可以更加人性化地执行各种自然语言任务，如问答、翻译、摘要生成等。 此外，Baichuan 2还可以应用于智能客服 、智能助手等场景，提高用户体验和满意度。 评测效果 百川智能在通用、法律、医疗、数学、代码理解以及多语言翻译这六个领域的中英文权威数据集上，对Baichuan 2模型进行了全面的测试。更多详细的测评结果，请访问GitHub上的相关仓库进行查看。 技术亮点 在预训练方面，Baichuan 2采用了广泛的数据来源，并注重数据频率和质量。通过构建大规模去重和聚类系统，Baichuan 2实现了高效的数据处理，确保每个token都得到充分训练。此外，Baichuan 2的分词器也进行了优化，实现了高压缩率和适当大小的词汇表，以提高模型的推理效率和训练效果。 在应用方面，Baichuan 2支持多种任务类型，包括文本生成、文本分类、实体识别等。通过监督预训练和强化学习从人类反馈中获得的方法，Baichuan 2实现了模型对齐，获得了Baichuan 27BChat和Baichuan 213BChat两个会话模型，进一步提升了模型在自然语言处理任务中的性能。

概念 说明 容器（Container） 容器是轻量的、可执行的独立软件包，是镜像运行的实体 容器组（Container Group） 容器组是一组可以被调度到同一台宿主机上的容器集合。这些容器共同构成了容器组的生命周期，并共享容器组的网络和存储资源。一个容器组即一个ECI实例，其概念与Kubernetes的Pod概念类似 镜像（Image） 镜像是一个特殊的文件系统，包含容器应用运行所需的程序、库文件、配置等。Docker镜像是容器应用打包的标准格式，在部署容器化应用时，您需要指定镜像，该镜像可以来自于Docker Hub、天翼云容器镜像服务CRS或者您的私有Registry 镜像缓存（ImageCache） 镜像缓存用于加速拉取镜像，减少ECI实例启动耗时。受网络、镜像大小等因素影响，镜像拉取是ECI实例启动的主要耗时，提前制作镜像缓存可以加速拉取镜像 数据卷（Volume） 数据卷是容器组的共享存储资源。您可以将外部数据卷挂载到指定的容器组，容器组中声明的数据卷由容器组中的所有容器共享 标签（Tag） 标签是附加在容器组上的一系列Key/Value键值对。标签需要在创建容器组时设置，每个容器组最多可以拥有20个标签，其中key值必须唯一。标签的概念与Kubernetes的Label概念类似 虚拟节点（Virtual Node） 基于Kubernetes社区的Virtual Kubelet技术，ECI可以通过虚拟节点的方式接入到Kubernetes集群中，即ECI实例并不会运行在一个集中式的真实节点上，而是会被打散分布在整个天翼云的资源池中

本章节主要介绍翼MapReduce的多租户功能。 定义 多租户是MRS集群中的多个资源集合（每个资源集合是一个租户），具有分配和调度资源的能力。资源包括计算资源和存储资源。 背景 现代企业的数据集群在向集中化和云化方向发展，企业级大数据集群需要满足： 不同用户在集群上运行不同类型的应用和作业（分析、查询、流处理等），同时存放不同类型和格式的数据。 某些类型的用户（例如银行、政府单位等）对数据安全非常关注，很难容忍将自己的数据与其他用户的放在一起。 这给大数据集群带来了以下挑战： 合理地分配和调度资源，以支持多种应用和作业在集群上平稳运行。 对不同的用户进行严格的访问控制，以保证数据和业务的安全。 多租户将大数据集群的资源隔离成一个个资源集合，彼此互不干扰，用户通过“租用”需要的资源集合，来运行应用和作业，并存放数据。在大数据集群上可以存在多个资源集合来支持多个用户的不同需求。 对此，MRS企业级大数据集群提供了完整的企业级大数据多租户解决方案。 优势 合理配置和隔离资源 租户之间的资源是隔离的，一个租户对资源的使用不影响其他租户，保证了每个租户根据业务需求去配置相关的资源，可提高资源利用效率。 测量和统计资源消费 系统资源以租户为单位进行计划和分配，租户是系统资源的申请者和消费者，其资源消费能够被测量和统计。 保证数据安全和访问安全 多租户场景下，分开存放不同租户的数据，以保证数据安全；控制用户对租户资源的访问权限，以保证访问安全。

用户管理 1.登录AI云电脑（政企版）控制台； 2.点击“桌面池管理”，选择“池化桌面管理”； 3.选择需要管理桌面的所在行，点击“管理”“用户管理”； 4.在用户管理页面，可对池化桌面的用户进行移除，导入的操作。 规格变更 1.登录AI云电脑（政企版）控制台； 2.点击“桌面池管理”，选择“池化桌面管理”； 3.选择需要管理桌面的所在行，点击“管理”“规格变更”； 4.选择变更后的规格，点击“确认”，即完成池化桌面的规格变更。 切换镜像 1.登录AI云电脑（政企版）控制台； 2.点击“桌面池管理”，选择“池化桌面管理”； 3.选择需要管理桌面的所在行，点击“管理”“切换镜像”； 4.根据需求选择需要切换的镜像； 5.选择执行时间； 立即执行：桌面立即进行系统重装，执行切换镜像的程序。 暂不执行：用户或管理员选择系统重装操作时，桌面才执行切换镜像的程序。 6.点击“确认”，即完成池化桌面的镜像切换。 如需更多的镜像选择，可前往镜像管理创建镜像。 注意 切换镜像提供以用户选择的镜像进行重装系统的功能。将系统重装至初始状态，安装在系统盘的程序、数据将清除，数据盘的数据将保留，如非AI云电脑故障，一般情况下不建议使用。

本节主要介绍迁移服务器上的基础服务命令。 ./stor server set { i item } service { n server } SERVERID destserver DESTSERVERID migrate SERVICE [ metadir METADIR ] 此命令用来迁移HBlock服务器上的基础服务，包括：mdm（元数据管理服务）、ls（日志服务）、cs（协调服务）。 应用场景：基础服务所在的服务器出现损坏、宕机等时，为了不影响HBlock服务，可以迁移服务器上的基础服务。 说明 可以通过命令行./stor server ls { n server } SERVERID查询基础服务的状态。一次只能迁移一个基础服务，如果有正在迁移的基础服务进程，必须等待迁移完成，才可以执行其他服务迁移操作。 注意 迁移ls服务的时候，要确保两个mdm服务和其他两个ls服务都是up状态，除了源服务器之外的所有的其他节点的ms服务（管理服务）正常，服务状态可以通过查询服务器命令获取。 迁移mdm服务的时候，要确保另一个mdm服务是up，除了源服务器之外的所有的其他节点的ps服务（协议解析服务）和ms服务（管理服务）正常，服务状态可以通过查询服务器命令获取。 迁移cs服务的时候，要确保其他两个cs服务都up，除了源服务器之外的所有的其他节点的ps服务（协议解析服务）和ms服务（管理服务）正常，服务状态可以通过查询服务器命令获取。 参数 参数 描述 i service 或 item service 迁移服务器上的基础服务。 n SERVERID 或 server SERVERID 源HBlock服务器的ID。 destserver DESTSERVERID 目的服务器ID。 migrate SERVICE 需要迁移的基础服务。 取值： mdm：元数据管理服务。 ls：日志服务。 cs：协调服务。 metadir METADIR 迁移服务的数据目录，用于存储基础服务的相关数据信息。 说明 为了提升读写性能，建议各基础服务的数据目录、安装目录、存储数据的数据目录相互独立。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。

当服务器中的磁盘发生故障、或者由于人为误操作导致服务器数据丢失时，可以使用已经创建成功的备份恢复服务器。 当云主机中的磁盘发生故障、或者由于人为误操作导致云主机数据丢失时，可以使用已经创建成功的备份恢复原云主机。恢复云主机的过程中会关闭云主机，请在业务空闲时操作。 如果希望将数据恢复至其他云主机上，可以使用云主机备份创建镜像后，再创建一台新的云主机。 背景信息 备份的数据盘的数据，不能恢复到系统盘中。 不支持恢复到状态处于“故障”的云主机。 暂不支持批量恢复数据操作。 前提条件 需要恢复的云主机中的磁盘运行状态正常。 需要恢复的云主机至少存在一个备份，并且需要恢复的云主机的备份的“备份状态”为“可用”。 操作步骤 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份”。选择对应的备份目录。 2. 选择“备份副本”页签，找到存储库和云主机所对应的备份。 3. 单击备份所在行的“恢复数据”，如下图所示。恢复云主机数据之后将导致备份时间点的数据覆盖云主机数据，一旦执行，无法回退，请提前知晓。 图 恢复云主机 4. （可选）取消勾选“恢复后立即启动云主机”。如果取消勾选“恢复后立即启动云主机”，则恢复云主机操作执行完成后，需要手动启动云主机。恢复云主机的过程中会关闭云主机，请在业务空闲时操作。 5. 在指定的磁盘下拉菜单中选择备份需要恢复到的磁盘。 说明 如果云主机只有一个磁盘，则默认恢复到该磁盘。 如果云主机存在多个磁盘，默认将备份恢复到原来的磁盘。也可以通过在“指定的磁盘”下拉菜单中重新选择磁盘的操作将备份恢复到备份云主机中的其他磁盘中。但是指定的磁盘容量不能小于之前的磁盘容量。 备份的数据盘的数据，不能恢复到系统盘中。 注意 如果当前恢复的云主机磁盘数量大于备份时刻的磁盘数量时，需要考虑数据的一致性问题，谨慎执行恢复操作。 例如，Oracle应用的数据分散在被恢复及未被恢复的目标磁盘上，在恢复后可能导致数据不一致（被恢复的磁盘还原到历史数据，未被恢复的磁盘仍保留当前数据），甚至导致应用无法启动。 6. 单击“确定”，并确认备份恢复是否成功。 您可以在备份列表中，查看备份恢复的执行状态。直到备份的“备份状态”恢复为“可用”，并且“任务状态”中没有新增失败的恢复任务时，表示恢复成功。恢复成功的资源数据将于备份时间点保持一致。 查看恢复失败的任务请参见处理任务。 注意 当您使用云主机备份恢复逻辑卷组（LVM）时，恢复完成后需手动重新挂载。 当您恢复的云主机为Windows操作系统时，由于操作系统自身原因，恢复完成后可能无法显示数据盘。如果您遇到此情况，需要手动将数据盘置为联机状态。具体操作，请参见

本页介绍如何下载关系数据库MySQL版实例的SSL CA证书。 操作场景 为了提高关系数据库MySQL版的链路安全性，您可以启用SSL（Secure Sockets Layer）加密，并安装SSL CA证书到需要的应用服务。SSL在传输层对网络连接进行加密，能提升通信数据的安全性和完整性，同时会增加网络连接响应时间。 约束限制 数据库版本： 5.7，8.0 实例类型为：单机版，一主一备、一主两备、数据库代理实例。 实例的SSL状态需要为开启状态。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击数据安全 ，并选择SSL加密 页签，查看SSL开关状态。 单击SSL设置 ，进入SSL设置 对话框。然后单击SSL链路加密 右侧的图标，单击确定，开启SSL加密。 注意 如果是数据库代理实例，请于代理实例页面的连接地址区域查看。 5. 单击服务器证书 右侧下载证书。

方向 协议应用 端口 源地址 入方向 SSH（22） 22 例如：192.168.20.2/32