本文主要介绍CentOS操作系统停止支持计划 背景 CentOS 官方计划停止维护 CentOS Linux 项目，并于2022年01月01日停止对 CentOS 8的维护支持，CentOS 7于2024年06月30日也将停止维护。更多信息，请参见CentOS官方公告。 CentOS 各系统生命周期 操作系统 停止时间 CentOS Linux 7 20240630（已停止） CentOS Linux 8 20211231（已停止） CentOS Stream 8 20240531（已停止） CentOS Stream 9 20270531（预计） 影响 基于CentOS官方的变更计划，对CentOS操作系统的使用者产生的影响如下所述： 2021年12月31日以后，CentOS Linux 8的使用者将无法获得包括问题修复和功能更新在内的任何软件维护和支持。 2024年06月30日以后，CentOS Linux 7的使用者将无法获得包括问题修复和功能更新在内的任何软件维护和支持。 对于天翼云的公共镜像及服务支持存在一定影响： 天翼云暂不会下线CentOS 8镜像，同时已经使用CentOS 8创建的ECS实例运行不会受到影响，但将停止更新镜像。 天翼云对于CentOS操作系统的服务支持将和CentOS官方日期保持同步。2021年12月31日以后将不再对CentOS Linux 8提供服务支持；对CentOS Linux 7的服务支持将持续至2024年6月30日。

本文主要介绍云日志服务的使用建议。 云主机应用日志场景 场景描述 若您的应用部署在天翼云主机上，您可使用云日志服务进行日志的统一采集。 使用建议 日志采集方式：采用采集器方式采集日志，您需要在云主机上安装采集器，通过在云日志服务控制台创建采集规则，将云主机ECS待采集日志的路径配置到日志单元中，采集器将按照采集规则进行日志采集。采集完成后，您可以在云日志服务控制台实时查询、分析日志。具体操作请参考接入云主机文本日志。 日志项目规划建议：您可以将同一个应用系统的下日志放在一个日志项目中，可以使用应用系统的名称作为日志项目的名称，方便进行管理。 日志单元规划建议： 如果您的日志原文无固定的规则格式，无法进行结构化解析，可以将同类组件的日志采集到同一个日志单元中，例如java组件、php组件、python组件等，更方便您进行多个组件日志的管理；如果您的组件数量比较少（例如小于20个），您可以将每个组件的日志采集到不同的日志单元中以分别进行管理。 如果您的日志有固定格式，可进行结构化解析（如Nginx日志），建议您将有相同格式的日志采集到同一个日志单元，方便您后续统一使用SQL统计分析功能，实现可视化图表分析。

本文为您介绍查看预案详细信息的具体操作。 操作步骤 在您创建预案后，可以通过多活容灾服务控制台进行预案详情查看。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“预案编排”“预案管理”，进入预案管理列表页。 5. 在列表上方下拉菜单中选择需要进行预案管理操作的命名空间。 6. 点击列表中预案名称进入预案详情页。 7. 在基础信息部分可以查看当前预案名称、所属命名空间、当前任务数、涉及容灾管理中心、预计耗时、状态、预案阶段数和描述等信息。 8. 在流程视图部分，可以查看预案设计后的整体流程图。可点击具体预案阶段查看相关的任务视图。 9. 在任务列表部分，可以查看当前预案中包含的任务及相关信息，包括任务名称、类型、所属预案阶段、脚本/操作名称、目标资源类型、资源实例名、资源所属容灾管理中心、预计耗时、失败重试次数、任务参数和相关描述等。 10. 在预案阶段部分，可以查看当前预案所关联的预案阶段和相关信息，包括预案阶段名称、描述等。

本节主要介绍创建参数模板 数据库参数模板类似于数据库引擎配置值的容器，参数模板中的参数可应用于一个或多个数据库实例。 使用须知 文档数据库服务和关系型数据库不共享参数模板配额。 每个用户最多可以创建100个文档数据库服务参数模板，集群、副本集实例共享该配额。 集群 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在左侧导航树，单击“参数模板管理”。 步骤 5 在“参数模板管理”页面，单击“创建参数模板”。 步骤 6 选择数据库版本、集群实例类型和节点类型，命名参数模板，并添加参数模板的描述，单击“确定”，创建参数模板。 选择该数据库引擎参数模板所需应用的节点类型，例如：您需要创建config节点适配的参数模板，请选择“config”。 参数模板名称在1到64位之间，需要以字母开头，区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。 参数模板的描述长度不能超过256位，不能包含回车和>!<"&'特殊字符。 步骤 7 您可在“参数模板管理”页面的“集群”页签，查看并管理创建完成的参数模板。

本页介绍了文档数据库服务的告警历史。 文档数据库服务支持查看实例的历史告警数据。 查看告警历史 登录TeleDB数据库控制台。 点击“告警中心”>“告警历史”目录，可以在页面上方选择查看历史告警的时间范围。 选择具体告警，在“操作”列点击“查看详情”按钮，可以查看历史告警详情信息。

操作步骤 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击页面左侧的监控面板。 4. 选择需要删除监控视图所在的监控面板。 5. 在待删除的“监控视图”区域，鼠标滑过视图时单击区域右上角的删除图标。 在弹出的删除监控视图页面，选择“是”即可删除该监控视图。

本章节主要介绍 Flink作业管理概述 。 在Flink作业管理页面可提交Flink作业。目前有以下作业类型： Flink SQL作业：使用SQL语句定义作业，可以提交到通用队列上。 Flink Jar作业：基于Flink API的自定义Jar包作业，可以运行在独享队列上。 Flink作业管理主要包括如下功能： Flink作业权限管理 创建Flink SQL作业 创建Flink Jar作业 调试Flink作业 编辑作业 启动作业 停止作业 删除作业 导出作业 导入作业 名称和描述修改 导入保存点 触发保存点 运行时配置 Flink作业详情 以及查看“使用指南”和“使用视频”。 委托权限设置 DLI执行Flink作业需要进行委托授权，可在第一次登录管理控制台时进行设置，也可在“全局配置”>“服务授权”中进行修改。 具体权限如下： Tenant Administrator(全局服务)：DLI Flink作业访问和使用OBS或者DWS数据源、日志转储（包括桶授权）、开启checkpoint、作业导入导出等，需要获得访问和使用OBS（对象存储服务）的Tenant Administrator权限。 说明 由于云服务缓存需要时间，该权限60分钟左右才能生效。 CloudTable Administrator：DLI Flink作业访问和使用CloudTable数据源，需要获得访问和使用CloudTable（表格存储服务）的CloudTable Administrator权限。 说明 由于云服务缓存需要时间，该权限3分钟左右才能生效。

参数 含义 值 Version 策略的版本。 1.0：代表基于角色的访问控制。 1.1：代表基于策略的访问控制。 Statement： 策略的授权语句 Effect：作用 定义Action中的操作权限是否允许执行。 Allow：允许执行。 Deny：不允许执行。 说明 当同一个Action的Effect既有Allow又有Deny时，遵循Deny优先的原则。 Statement： 策略的授权语句 Action：授权项 操作权限。 格式为“服务名:资源类型:操作”。授权项支持通配符号，通配符号表示所有。 示例： "obs:bucket:ListAllMybuckets"：表示查看OBS桶列表权限，其中obs为服务名，bucket为资源类型，ListAllMybuckets为操作。 您可以在对应服务的API接口资料中查看该服务所有授权项。 Statement： 策略的授权语句 Condition：条件 使策略生效的特定条件，包括条件键和运算符。 格式为“条件运算符:{条件键：[条件值1,条件值2]}”。 如果您设置多个条件，同时满足所有条件时，该策略才生效。 示例: "StringEndWithIfExists":{"g:UserName":["specialCharactor"]}：表示当用户输入的用户名以"specialCharactor"结尾时该条statement生效。 Statement： 策略的授权语句 Resource: 资源类型 策略所作用的资源。 格式为“服务名:region:domainId:资源类型:资源路径”, 资源类型支持通配符号，通配符号 表示所有。 示例： "obs: : :bucket: ": 表示所有的OBS桶。 "obs: : :object:mybucket/myobject/": 表示mybucket桶myobject目录下的所有对象。

本文介绍如何从容器镜像服务CRS拉取镜像创建实例。 默认情况下，ECI支持通过内部网络从天翼云容器镜像服务CRS拉取镜像用于实例创建。 使用限制 容器镜像服务CRS实例需要与ECI实例属于同一地域。 操作说明 下文介绍从容器镜像服务CRS拉取镜像（以nginx镜像为例）创建ECI实例的主要步骤： 1. 打开弹性容器实例产品订购页。 2. 进入容器设置，支持手动输入容器镜像地址，同时也支持从CRS选择镜像，例如点击“选择镜像”，选择nginx镜像并点击“确认”。如下图所示： 3. 点击“选择镜像版本”或者手动输入镜像版本，最后镜像拉取策略选择“总是拉取”，如下图所示： 4. 点击下一步，进入其他设置。 5. 在“镜像仓库访问凭证”处，手动输入镜像仓库地址，用户名，密码等信息后，点击“+添加参数”。当“已添加”后面看到配置的镜像访问凭证即可。 6. 点击“提交订单”，进入ECI控制台等待实例创建并Running。 7. 进入实例详情页面，查看容器镜像及容器状态。

步骤三：编写Dockerfile 创建Dockerfile，这里以AIO作为基础镜像，将服务代码和配置文件复制到对应目录： plaintext FROM serverlesspublicregistry.crshuanan2.ctyun.cn/sandbox/ctyunaio:v1.1 USER root 拷贝自己应用supervisord的配置文件到容器 COPY conf/echoserver.conf /etc/supervisor/conf.d/echoserver.conf RUN chmod 644 /etc/supervisor/conf.d/echoserver.conf 创建echoserver输出的日志目录 RUN mkdir p /var/log/supervisor/echoserver 设置应用要用的环境变量 ENV ECHOSERVERHOST0.0.0.0 ECHOSERVERPORT9000 拷贝自己的应用到容器 COPY ./server /home/user/server RUN chmod 777 R /home/user USER user 其他基础镜像地址： serverlesspublicregistry.crshuanan2.ctyun.cn/sandbox/ctyunbase:v1.1 serverlesspublicregistry.crshuanan2.ctyun.cn/sandbox/ctyuncodeinterpreter:v1.1 serverlesspublicregistry.crshuanan2.ctyun.cn/sandbox/ctyunaio:v1.1 步骤四：构建并测试 shell docker build platform linux/amd64 t echoserver:v0.1 . f Dockerfile docker run d p 9000:9000 echoserver:v0.1 验证 curl 预期返回: ok 步骤五：推送镜像 将构建出来的镜像，推送到天翼云容器镜像服务CRS，后续创建自定义模板可从CRS里选择该镜像。 步骤六：创建自定义模板 进入控制台>创建沙箱模板，沙箱类型选择“自定义沙箱”，并选择上一步上传的镜像。 注意事项 端口冲突：自定义服务的内部端口不能与 AIO 内置服务冲突。AIO 内置服务端口： 沙箱管理代理envd：49983 Code Interpreter：49999、8888 BrowserTool：9223、9222 VncTool：6080、5900

部署完成后，在foo命名空间下看到3个服务 不使用授权策略的情况下，验证从sleep应用访问httpbin应用没有被拦截（返回状态码200）： kubectl exec "$(kubectl get pod l appsleep n foo o jsonpath{.items..metadata.name})" c sleep n foo curl s o /dev/null w "%{httpcode}n" 200 查看外部授权服务已经启动，HTTP和gRPC授权服务分别监听8000和9000端口： kubectl logs "$(kubectl get pod l appextauthz n foo o jsonpath{.items..metadata.name})" n foo c extauthz 2023/08/14 11:26:54 Starting HTTP server at [::]:8000 2023/08/14 11:26:54 Starting gRPC server at [::]:9000 添加外部授权服务 将上面的HTTP和gRPC服务添加到服务网格的外部授权服务内。 定义授权策略&验证访问 定义如下授权策略，对httpbin应用的/headers路径的请求将被转发到第三方授权服务进行验证： apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: extauthz spec: selector: matchLabels: app: httpbin action: CUSTOM provider: The provider name must match the extension provider defined in the mesh config. You can also replace this with sampleextauthzhttp to test the other external authorizer definition. name: sampleextauthzgrpc rules: The rules specify when to trigger the external authorizer. to: operation: paths: ["/headers"] 从sleep应用请求httpbin的/headers路径，由于请求头带了"xextauthz:deny"，请求被拦截： kubectl exec "$(kubectl get pod l appsleep n foo o jsonpath{.items..metadata.name})" c sleep n foo curl " H "xextauthz: deny" s denied by extauthz for not found header xextauthz: allow in the request 修改请求，带上"xextauthz: allow"头部，请求放行： kubectl exec "$(kubectl get pod l appsleep n foo o jsonpath{.items..metadata.name})" c sleep n foo curl " H "xextauthz: allow" s { "headers": { "Accept": "/", "Host": "httpbin.foo:8000", "UserAgent": "curl/8.2.1", "XB3Parentspanid": "eb42a8165099e7db", "XB3Sampled": "1", "XB3Spanid": "cd6540ba1cfd9e8c", "XB3Traceid": "e7e15cc10dc66630eb42a8165099e7db", "XEnvoyAttemptCount": "1", "XExtAuthz": "allow", "XExtAuthzAdditionalHeaderOverride": "grpcadditionalheaderoverridevalue", "XExtAuthzCheckReceived": "source:{address:{socketaddress:{address:"10.1.0.25" portvalue:37654}} principal:"spiffe://cluster.local/ns/foo/sa/sleep"} destination:{address:{socketaddress:{address:"10.1.0.24" portvalue:80}} principal:"spiffe://cluster.local/ns/foo/sa/httpbin"} request:{time:{seconds:1692015383 nanos:990298000} http:{id:"7462237371770661564" method:"GET" headers:{key:":authority" value:"httpbin.foo:8000"} headers:{key:":method" value:"GET"} headers:{key:":path" value:"/headers"} headers:{key:":scheme" value:"http"} headers:{key:"accept" value:"/"} headers:{key:"useragent" value:"curl/8.2.1"} headers:{key:"xb3sampled" value:"1"} headers:{key:"xb3spanid" value:"eb42a8165099e7db"} headers:{key:"xb3traceid" value:"e7e15cc10dc66630eb42a8165099e7db"} headers:{key:"xenvoyattemptcount" value:"1"} headers:{key:"xextauthz" value:"allow"} headers:{key:"xforwardedclientcert" value:"Byspiffe://cluster.local/ns/foo/sa/httpbin;Hashc32db24acfa670a8bbe46f0897ebb70b9ccc0e630ee32afcd1ec037d6616e6c5;Subject"";URIspiffe://cluster.local/ns/foo/sa/sleep"} headers:{key:"xforwardedproto" value:"http"} headers:{key:"xrequestid" value:"aba7b68c6bee9d58b1637454075c6ece"} path:"/headers" host:"httpbin.foo:8000" scheme:"http" protocol:"HTTP/1.1"}} metadatacontext:{}", "XExtAuthzCheckResult": "allowed", "XForwardedClientCert": "Byspiffe://cluster.local/ns/foo/sa/httpbin;Hashc32db24acfa670a8bbe46f0897ebb70b9ccc0e630ee32afcd1ec037d6616e6c5;Subject"";URIspiffe://cluster.local/ns/foo/sa/sleep" } }

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建RocketMQ实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通RocketMQ实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问RocketMQ实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：RocketMQ实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问RocketMQ实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

实例基础信息页介绍 在实例的基础信息页面，可以获取实例的内网地址，版本节点信息等等。 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在实例的详情页可查看实例的购买信息、健康情况、内网地址、和节点的服务健康情况。 1. 健康：对应OpenSearch实例健康状态为绿色（Green）时的状态，实例健康。 2. 可用：对应OpenSearch实例健康状态为黄色（Yellow）时的状态，主分片可用，部分副本缺失。 3. 异常：对应OpenSearch实例健康状态为红色（Red）时的状态，部分主分片不可用，可能已经丢失数据。 3. 右侧实例架构图中展示的为当前实例所在区域、节点数量和节点服务状态。

实例基础信息页介绍 在实例的基础信息页面，可以获取实例的内网地址，版本节点信息等等。 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在实例的详情页可查看实例的购买信息、健康情况、内网地址、和节点的服务健康情况。 1. 健康：对应Elasticsearch实例健康状态为绿色（Green）时的状态，实例健康。 2. 可用：对应Elasticsearch实例健康状态为黄色（Yellow）时的状态，主分片可用，部分副本缺失。 3. 异常：对应Elasticsearch实例健康状态为红色（Red）时的状态，部分主分片不可用，可能已经丢失数据。 3. 右侧实例架构图中展示的为当前实例所在区域、节点数量和节点服务状态。

本文为您介绍弹性云主机的定义和产品架构。 弹性云主机（CTECS，Elastic Cloud Server）是一种可随时获取、弹性可扩展的计算服务。云主机由CPU、内存、镜像、云硬盘等组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保服务持久稳定运行。 弹性云主机的开通和使用非常便捷、高效，您只需要指定CPU、内存、镜像等配置信息。开通完成后，您就可以像使用本地PC或物理服务器一样在云上使用弹性云主机，同时您也可以按需随时调整弹性云主机的规格配置。 产品架构 弹性云主机，整合了计算、存储与网络等资源，通过和其他产品、服务组合，为用户提供安全可靠、高性能、弹性可伸缩的虚拟计算服务，可覆盖各种不同量级的业务场景。 产品使用入口：您可以通过控制台、OpenAPI管理和使用弹性云主机。 计费方式：您可以按需选择弹性云主机计费方式，可选包年包月或按量计费。 地域/可用区：您可以按需选择创建云主机的地域和可用区。 云主机组：可以在创建弹性云主机时，通过加入云主机组。通过设置反亲和策略，将云主机尽量分散地部署在不同的宿主机上，以提高业务的可靠性。 操作日志：开启云审计服务后，系统会记录弹性云主机相关的操作事件，您可以在控制台操作日志界面进行查看。 配额管理：为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少台弹性云主机、多少块云硬盘。如果当前资源配额限制无法满足使用需要，您可以申请扩大配额。 访问控制：可以进行精细的权限管理，以达到不同用户之间的权限隔离。 镜像服务：镜像包含了初始系统环境、应用环境、软件配置等信息，您通过公共镜像、私有镜像、共享镜像、安全产品镜像或应用镜像批量创建弹性云主机，可以实现业务的快速部署。 快照服务：快照指的是云硬盘数据在某个时刻的完整拷贝或镜像，是一种重要的数据容灾手段，当数据丢失时，可通过快照将数据完整的恢复到快照时间点。 云硬盘：可以像物理硬盘一样分区格式化，满足大部分通用业务场景下的数据存储需求。 云备份：为弹性云主机提供简单易用的备份服务，当发生病毒入侵、人为误删除、软硬件故障等事件时，可将数据恢复到任意备份点。 虚拟私有云：通过虚拟私有云建立专属的网络环境，设置子网、安全组，并通过弹性公网IP实现外网连接。 安全组：安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云主机提供访问策略。 弹性伸缩：可以灵活调整弹性云主机数量，高效匹配业务要求。 云迁移：支持将客户云下或其他云的计算资源迁移至天翼云。 云监控：通过云监控用户可以实时观测弹性云主机的使用情况。

字段 填写说明 触发器类型 选择“云审计服务（CTS）”。 通知名称 输入您自定义的通知名称，例如：Test。 服务类型 选择“FunctionGraph”。 资源类型 所选服务下对应的资源类型，如触发器、实例、函数等。 操作名称 所选资源类型下对应的操作，如创建、删除触发器等。

如果您不再需要使用事件总线EventBridge服务，直接删除所有的自定义事件总线、事件流与事件规则即可，无需额外退订事件总线EventBridge服务。

部署路径 proxysqlNormPkgproxysql2.5.3el7.x8664.tar.gz proxyDependNormPkgproxysqldependency2.5.3el7.x8664.tar.gz [backup] httpport2284 端口 backupSvcDir 部署路径 backupPkgdataGenius2023.q4.1.x8664.tar.gz syncerPkgbinlogTool2023.q4.1.x8664.tar.gz backupDbbackuprecovery [private] dcpzkString 127.0.0.1:2181 填写 ZK 的 URL 信息 dcpzkroot/dcp/service 填写注册进入 zk 信息路径 5. 组件部署 执行如下命令进行组件部署。 进入telemonitorcloud/consoledeploy 目录。 cd telemonitorcloud/consoledeploy 执行mysql、agent部署脚本，安装mysql、agent组件。 sh main.sh 1 出现如下回显信息，表示mysql、agent组件安装成功。 set / acl /teledb/os success 执行zk部署脚本，安装ZK组件。 sh main.sh 2 出现如下回显信息，表示ZK组件安装成功。 install zookeeper success 执行keeper部署脚本，安装Keeper组件。 sh main.sh 3 出现如下回显信息，表示Keeper组件安装成功。 deploy keeper success 卸载服务 1. 执行ps ef grep mysqld查询服务进程。 2. 执行kill命令停止服务进程。

本文为您介绍云监控产品的定义、产品架构和功能特性。 云监控服务面向云主机、云硬盘、弹性IP等产品提供监控服务，提供性能指标监控、自动告警、历史信息查询等功能。云监控服务默认开通，免费使用，使您全面了解天翼云上的资源使用情况、业务的健康状况，并及时收到异常报警，保证应用程序顺畅运行。 产品架构 功能特性 云监控支持的功能特性如下表所示。 功能 说明 监控面板 为您提供自定义查看监控数据的功能，您可以自定义添加监控指标，用于在一个视图中同时查看不同资源、不同维度的监控指标。 资源分组 资源分组支持对不同类型的云产品进行分组，从而方便用户按组对云产品进行统一管理、设置告警规则、查看状态等，提高运维效率。 主机监控 主机监控分为云主机监控和物理机监控。无论您使用的是弹性云主机还是物理机，都可以使用主机监控进行服务器资源使用情况监控和排查故障时的监控数据查询。 云服务监控 云服务监控是对天翼云的云硬盘、弹性IP、负载均衡、NAT网关等产品进行监控，可以查看各产品中资源的监控项。 事件监控 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控，并在事件发生时进行告警。 站点监控 通过站点监控的探测点，模拟最终用户的访问行为，可以获得全国各地到目标地址的访问数据。您可以针对分析探测结果，得出自己的网站站点的质量分析。 告警服务 用户可灵活配置自定义告警模板、告警规则和告警联系人/组，及时了解实例资源运行状况和性能，避免因为资源问题造成业务损失。

限制项 限制说明 创建专有宿主机的用户限制 完成天翼云账号注册与实名认证。 专有宿主机及其上云主机的计费方式 专有宿主机：支持包年包月与按量两种计费方式。 其上云主机：专有宿主机上云主机的计算资源（vCPU和内存）不计费，与云主机一同创建的云盘、IP等资源按量计费。 专有宿主机上云主机的配额 专有宿主机上云主机的配额与共享宿主机上云主机的配额均占用“云主机服务配额”，若云主机服务配额不足，请前往服务配额中心申请扩大配额。

本章节为您介绍API安全网关总览页面。 总览主要展示本系统统计到的数据信息，包括以下展示区域：数据统计 、流量分布 、访问趋势。 服务数量：当前API安全网关纳管的服务总数量。 API数量：当前API安全网关纳管的API总数量。 日访问量：当日内服务及API总访问量。 说明 当日API访问Top5支持切换展示API访问top5和API访问上游top5。 当日访问趋势支持切换查看最近 7 天、最近 14 天、最近 30 天。

尊敬的天翼云客户： 您好！ 因业务调整，天翼云计划终端杀毒产品自2025年4月30日00:00起将停止服务，您将无法订购、续订、扩容终端杀毒产品，您可通过订购服务器安全卫士（原生版）产品（ 停止服务影响范围： 新增客户：2025年4月30日00:00起，您将无法订购终端杀毒产品。 存量客户：2025年4月30日00:00起，您将无法续订、扩容终端杀毒产品，但将持续提供产品服务至您当前订单周期结束。 同时天翼云可免费为存量客户退订终端杀毒产品替换为服务器安全卫士（原生版）产品，如需要迁移技术支持，可随时通过在线工单、客服热线（4008109889）联系我们，也可联系您的客户经理获取帮助，天翼云服务团队将全程配合您完成迁移工作，为您的业务顺利迁移保驾护航。 感谢您对天翼云一如既往的支持与理解！ 天翼云服务团队

低门槛容器化，全套微服务治理 CAE 让您免运维 K8s 基础设施，秒级完成从代码包、Docker 镜像部署任意语言的在线应用（如微服务、Web 服务），并自动弹性伸缩按量计费。平台内置免费 Nacos 注册中心，支持 Spring Cloud 无侵入迁移，开箱即用服务注册发现、限流降级、无损上下线及全链路灰度等全套微服务治理能力，极简助力业务容器化转型。 开放标准，自主无忧 基于标准容器与Kubernetes生态构建，避免厂商锁定。您的应用可平滑迁移至任意兼容K8s的平台，保障业务长期发展的灵活性与自主权。 安全可靠，专注业务 底层采用安全容器技术，网络层通过VPC实现租户级强隔离，为您的应用与数据提供从基础设施到网络的双重安全保障，让您安心专注于业务创新。 生态集成，开箱即用 深度集成天翼云负载均衡（ELB）、文件存储（SFS）、对象存储（ZOS）等IaaS服务，以及微服务引擎（MSE）、应用监控（ARMS）等PaaS生态，提供一站式、高内聚的完整解决方案，大幅提升开发和运维效率。

本章对主机迁移服务的计费相关进行说明。 主机迁移服务本身不收费，但是在迁移过程中会产生少量其他服务费用： 云硬盘费用 主机迁移服务在迁移过程中会在目的端服务器临时创建并挂载一个容量为40 GB的磁盘，用于辅助迁移，该磁盘会在迁移结束后自动删除。迁移期间，请勿对该磁盘进行删除操作或将计费模式转为包周期操作，否则会导致迁移失败。 有关云硬盘的收费标准，以云硬盘价格说明为准。 比如迁移使用高IO磁盘，迁移持续了10个小时，那么产生的云硬盘费用为：0.00049（元/每GB每小时） 40GB 10小时 0.196元 云硬盘快照费用 主机迁移服务涉及的快照包括：割接快照、同步快照、克隆快照。 云硬盘快照目前免费使用，仅供参考，具体费用以云硬盘快照相关收费说明为准。 流量费用 在迁移过程中会产生一些流量，流量的费用计算如下： 如果是公网迁移，且您源端是固定带宽的，那么流量将不会产生额外费用。 如果是公网迁移，且您源端是按量付费的，那么流量费用为：流量单价（元/GB） 迁移量（GB）。关于流量单价，请咨询源端服务器公网IP的提供商。关于迁移量，为您源端服务器磁盘的实际使用量。 假设弹性公网IP按流量收费，单价为 0.8元/GB，磁盘大小500GB，磁盘占用了300GB，那么流量费用为 0.8元/GB 300GB 240元。需要注意该费用为您源端服务器弹性公网IP的提供商收取。 如果是云专线或VPN，具体的流量费用以云专线或VPN的费用为准，无其他额外的流量费用。 说明 以上费用仅为示例说明，仅供您迁移前评估迁移费用，具体迁移费用以实际收费为准。 迁移过程中，请确保天翼云账户余额大于100元，否则会导致迁移失败。

Demo下载 1. Demo下载地址：微服务治理中心控制台>应用治理>应用接入>云容器引擎 15分钟快速体验导航。 2. ctyunmsedemo.tar.gz项目介绍。 quickstart文件夹 ：提供simpledemo、appa、appb、appc和zuul的启动jar包和一键启动脚本，简单配置即可快速接入微服务治理中心。 springcloud文件夹 ：appa、appb和appc的项目源码。 simpledemo文件夹 ：simpledemo的项目源码。 Demo镜像打包 demo镜像制作并上传云容器引擎镜像仓库。（需提前制作jdk镜像包） 1. 通过jar文件和dockerfile文件制作镜像。 FROM jdk8 ADD ./appa.jar /usr/local WORKDIR /usr/local RUN cd /usr/local && ls CMD [“java”, “jar”, “/usr/local/appa.jar”] 2. 通过容器镜像服务创建镜像仓库，镜像服务>实例列表>镜像仓库>创建仓库 进入云容器引擎控制台，点击容器镜像服务。 在实例列表页面，选择容器镜像服务实例。 进入镜像仓库菜单，点击创建仓库。 选择命名空间，设置仓库名称，点击创建。 3. demo上传至云容器引擎镜像仓库。 执行docker build f ./Dockerfilea t msgcappa:1.1 .命令，构建demo镜像。 docker build f ./Dockerfilea t msgcappa:1.1 . 登录容器镜像服务实例。 docker login username{user} registrycrs{regionCode}.ctyun.cn 推送镜像。 docker tag registryvpccrs{regionCode}.ctyun.cn/msgctest/ : docker push registryvpccrs{regionCode}.ctyun.cn/msgctest/ :

本章节内容主要介绍数据库复制产品简介 数据库复制服务（简称DRS）是一种易用、稳定、高效、用于数据库实时迁移和数据库实时同步的云服务。 数据库复制服务围绕云数据库，降低了数据库之间数据流通的复杂性，有效减少数据传输成本。 数据库复制服务提供了实时迁移、备份迁移、实时同步等多种功能。 实时迁移 实时迁移是指在数据库复制服务器能够同时连通源数据库和目标数据库的情况下，只需要配置迁移的源、目标数据库实例及迁移对象即可完成整个数据迁移过程，再通过多项指标和数据的对比分析，帮助确定合适的业务割接时机，实现最小化业务中断的数据库迁移。 实时迁移支持多种网络迁移方式，如：公网网络、VPC网络、VPN网络和专线网络。通过多种网络链路，可快速实现跨云平台数据库迁移、云下数据库迁移上云或云上跨区域的数据库迁移等多种业务场景迁移。 特点：通过增量迁移技术，能够最大限度允许迁移过程中业务继续对外提供使用，有效的将业务系统中断时间和业务影响最小化，实现数据库平滑迁移上云，支持全部数据库对象的迁移。 备份迁移 由于安全原因，数据库的IP地址有时不能暴露在公网上，但是选择专线网络进行数据库迁移，成本又高。这种情况下，您可以选用数据库复制服务提供的备份迁移，通过将源数据库的数据导出成备份文件，并上传至对象存储服务，然后恢复到目标数据库。备份迁移可以帮助您在云服务不触碰源数据库的情况下，实现数据迁移。 常用场景：云下数据库迁移上云。 特点：云服务无需碰触源数据库，实现数据迁移。

本章节主要介绍翼MapReduce服务同步角色实例配置。 操作场景 当用户发现角色实例的“配置状态”为“过期”或“失败”时，可以在MRS Manager尝试使用同步配置功能，同步角色实例的配置数据与后台配置数据，以恢复配置状态。 对系统的影响 同步配置角色实例后需要重启配置过期的角色实例。重启时对应的角色实例不可用。 操作步骤 在MRS Manager，单击“服务管理”，选择服务名称。 1. 单击“实例”页签。 2. 在角色实例列表中，单击指定角色实例名称。 3. 在角色实例状态及指标信息上方，选择“更多 > 同步配置”。 4. 在弹出窗口勾选“重启配置过期的服务或实例。”，并单击“确定”重启角色实例。 界面提示“操作成功。”，单击“完成”，角色实例成功启动。

本文为您介绍如何创建VPN自定义权限策略。 如果系统预置的VPN权限，不满足您的授权要求，可以创建自定义策略。 目前云服务平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：《统一身份认证服务用户指南》的“创建自定义策略”章节。本章为您介绍常用的VPN自定义策略样例。 VPN自定义策略样例 示例1：授权用户删除VPN网关 plaintext { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "vpn:vpnGateways:delete" ] } ] } 示例2：拒绝用户删除VPN连接 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予VPN FullAccess的系统策略，但不希望用户拥有VPN FullAccess中定义的删除VPN连接权限，您可以创建一条拒绝删除VPN连接的自定义策略，然后同时将VPN FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对VPN执行除了删除VPN连接外的所有操作。拒绝策略示例如下： plaintext { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "vpn:vpnGateways:delete" ] } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： plaintext { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "vpn:vpnGateways:create", "vpn:vpnConnections:create", "vpn:customerGateways:create" ] }, { "Effect": "Deny", "Action": [ "vpn:vpnGateways:delete", "vpn:vpnConnections:delete", "vpn:customerGateways:create" ] }, { "Effect": "Allow", "Action": [ "vpc:vpcs:list", "vpc:subnets:get" ] } ] }

扩展配置 针对以下不同场景，可以扩展CoreDNS的配置： 开启日志服务 在corefile里加上log以开启Log插件，打印CoreDNS域名解析日志，示例配置如下： Corefile: .:53 { errors log health { lameduck 15s } ready kubernetes cluster.local inaddr.arpa ip6.arpa { pods insecure fallthrough inaddr.arpa ip6.arpa ttl 30 } prometheus :9153 forward . /etc/resolv.conf { preferudp } cache 30 loop reload loadbalance } 特定域名使用自定义DNS服务器 例如对.example.com类型后缀的域名需要经过自建DNS服务解析，可为域名配置一个单独的服务块，示例配置如下： example.com:53 { errors cache 30 forward . 10.10.0.10 { preferudp } } Corefile: .:53 { errors health { lameduck 15s } ready kubernetes cluster.local inaddr.arpa ip6.arpa { pods insecure fallthrough inaddr.arpa ip6.arpa ttl 30 } prometheus :9153 forward . /etc/resolv.conf { preferudp } cache 30 loop reload loadbalance } example.com:53 { errors cache 30 forward . 10.10.0.10 { preferudp } } 外部域名完全使用自建DNS服务器 可以选择让所有集群外部域名都使用自建DNS服务器，示例配置如下： Corefile: .:53 { errors health { lameduck 15s } ready kubernetes cluster.local inaddr.arpa ip6.arpa { pods insecure fallthrough inaddr.arpa ip6.arpa ttl 30 } prometheus :9153 forward . 10.10.0.10 10.10.0.20 { preferudp } cache 30 loop reload loadbalance }

资源预览界面显示当前分组中包含的资源类型、每个类型下包含的资源总数、。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 单击“服务列表 > 云监控服务”。 4. 单击页面左侧的“资源分组”，进入“资源分组”页面。 5. 单击资源分组列表中的其中一个分组名，进入分组资源概览界面。

本节介绍服务器安全卫士(原生版)产品规格。 根据支持功能不同，服务器安全卫士（原生版）分为基础版、企业版、旗舰版和增值服务。 不同规格功能差异为： 基础版包含安全概览、资产管理、入侵检测（异常登录、暴力破解）、系统漏洞扫描等功能。 企业版包含安全概览、资产管理、入侵检测（异常登录、暴力破解、后门检测、可疑操作、反弹Shell、进程提权、Webshell检测）、漏洞扫描、基线管理、病毒查杀等功能。 旗舰版包含安全概览、资产管理、入侵检测（异常登录、暴力破解、后门检测、可疑操作、反弹Shell、进程提权、Webshell检测、端口蜜罐）、漏洞扫描、基线管理、病毒查杀、文件完整性保护、勒索诱饵防护等全部功能。 增值服务目前提供了网页防篡改（原生版）服务。 说明 基础版只支持部分基础功能的检测能力和防护能力。 若需对服务器进行全面防护，您需购买企业版或旗舰版防护。 若需要对云上网站提供网页防篡改防护，您需购买网页防篡改（原生版）增值服务。增值服务可单独购买或者与其他版本共同购买。 功能 功能概述 基础版 企业版 旗舰版 增值服务 安全概览 多维度统计待处理风险、防护状态、风险趋势与实时动态，通过可视化直观呈现整体安全态势 ✓ ✓ ✓ 资产概览 清点主机资产，统计资产分布、Agent 状态、资产指纹等信息，实现资产全局掌控 仅支持资产清点 ✓ ✓ 资产管理 集中查看主机资产与风险资产，支持检索筛选、防护启停、版本切换，高效管理服务器 ✓ ✓ ✓ 资产指纹 采集账号、端口、进程、软件应用、自启动项、Web服务等关键指纹信息 采集2种指纹信息 采集14种资产指纹 支持记录资产指纹变更历史 采集14种资产指纹 支持记录资产指纹变更历史 基线检测 对服务器操作系统、数据库、关键应用软件配置等进行检测，帮助用户提前识别出可能导致安全漏洞的不安全配置项 × ✓ ✓ 漏洞扫描 支持扫描Linux软件漏洞、Windows系统漏洞、WebCMS漏洞、应用漏洞、应急漏洞，并提供漏洞的修复建议和一键修复功能 仅支持扫描Win/Linux漏洞，不支持配置扫描策略，不支持一键修复 ✓ ✓ 弱口令检测 通过与弱口令库对比，检测系统账号和应用账号口令是否属于常用的弱口令，提示用户修改不安全的口令 × ✓ ✓ 入侵检测 实时监测入侵行为，识别暴力破解、异常登录、进程提权、恶意命令执行等攻击并告警 仅支持系统暴力破解、异常登录告警 ✓ ✓ 白名单管理 提供告警白名单配置能力，用户可自定义信任规则，过滤误报安全事件 × ✓ ✓ 网页防篡改 对网站目录下的文件进行实时监测，发生异常篡改行为实时告警，并通过备份自动恢复被篡改的文件或目录 × × × ✓ 病毒查杀 融合本地 + 云端双引擎检测技术，精准识别挖矿木马、蠕虫、勒索病毒等各类恶意程序 × ✓ ✓ 文件完整性保护 实时监控主机上的文件，对创建文件、修改文件、删除文件及文件提权操作进行监测和告警 × × ✓ 勒索诱饵防护 在系统关键位置投放诱饵文件，实时捕捉勒索行为，阻止勒索病毒对数据的加密 × × ✓ 主动防御 自动隔离恶意文件、封禁恶意 IP，提供精准 / 全面双防御模式 × × ✓ 端口蜜罐 通过部署蜜罐，监听攻击者对蜜罐端口的扫描行为，记录攻击者的扫描行为 × × ✓ 检测规则管理 自定义检测规则，异常行为命中自定义规则实时告警 × ✓ ✓ 配额管理 展示配额使用的情况 ✓ ✓ ✓ 告警通知 发生入侵实时发送告警通知 ✓ ✓ ✓ 报表管理 周期性自动生成安全风险报告 仅周报 ✓ ✓ 数据外发 告警外发至Syslog服务器或日志服务 ✓ ✓ ✓

本节介绍了安装ICAgent的注意事项和操作步骤。 ICAgent是云日志服务的日志采集工具，运行在需要采集日志的云主机中。首次使用云日志服务采集主机的日志时，需要安装ICAgent。 如果在使用其他云服务时已经安装了ICAgent，不再需要重复安装ICAgent，请跳过该步骤。 前提条件 安装ICAgent前，请确保本地浏览器的时间、时区与主机的时间、时区一致。 安装ICAgent 1. 在云日志服务管理控制台，单击“主机管理”。 2. 在主机管理页面，单击右上角“安装ICAgent”。 3. “安装系统”选择“Linux”。 4. “安装方式”选择“获取AK/SK凭证”。 AK/SK（Access Key ID/Secret Access Key）即访问密钥，在“我的凭证”控制台获取，步骤如下： 1. 单击页面右上角的用户名，选择“我的凭证”。 2. 在“我的凭证”页面中选择“访问密钥”页签。 3. 单击“新增访问密钥”，输入验证码或密码。 4. 单击“确定”，下载访问密钥，并妥善保管。 5. 在文本框中输入获取的AK/SK，生成ICAgent安装命令。 6. 单击“复制命令”，复制ICAgent的安装命令。 7. 使用PuTTY等远程登录工具，以root用户登录待安装ICAgent的服务器，执行ICAgent安装命令进行安装。 当显示“ICAgent install success”时，表示安装成功，ICAgent已安装在了/opt/oss/servicemgr/目录。安装成功后，在云日志服务左侧导航栏中选择“主机管理 > 主机”，查看该服务器ICAgent的状态。