参数 说明 示例 接入点 Apache RocketMQ集群broker接入点，由IP与端口号拼接而成，以逗号分隔。 172.17.0.25:9876,192.17.0.26:9876,172.17.0.27:9876 Topic topic名称。 topic1 网络配置 根据业务场景选择对应配置。 专有网络 公网网络 专有网络 VPC 网络配置选择专有网络时必填，选择集群所在的VPC。 vpc 子网 网络配置选择专有网络时必填，选择集群所在的子网。 subnet 认证模式 选择认证模式。 无需配置 ACL 用户名 ：填写用户名 密码 ：填写密码 无需配置 消息体 选择消息体（Body）的内容，更多内容请参考 全部事件 自定义属性 选择自定义属性（Properties）的内容，更多内容请参考 空 索引 选择索引（Keys）的内容，更多内容请参考 空 标签 选择标签（Tags）的内容，更多内容请参考 空

本文介绍镜像服务使用前的准备工作。 注册天翼云账号 在创建和使用镜像服务之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接创建镜像服务。 1. 打开天翼云门户网站，点击“注册”。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击“同意协议并提交” 按钮，如1分钟内手机未收到验证码，请再次点击“免费获取短信验证码”按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 如需实名认证，请参考：会员服务实名认证。 为账户充值 目前，天翼云提供的镜像中，除了个别的公共镜像，例如GPU云主机使用的Windows2019DataCenterGRID13.2镜像外，其他的公共镜像、私有镜像、共享镜像、安全产品镜像均为免费。如果用户采用镜像文件的形式导入私有镜像，用户需要先创建对象存储桶，即用户需要为对象存储付费。 因此，在使用镜像服务前，您需要确保账户有足够金额。 关于如何为账户充值，请参考：费用中心账户充值。 镜像服务计费标准，请参考：计费说明。

本文介绍企业组织常见问题 我是主账号，为什么我不能创建子账号？ 天翼云对不同渠道来源的账号做了创建子账号的限制动作。若您为电信省公司渠道账号将不允许在企业中心创建子账号，您可以通过客户经理为您创建账号，再进行邀请加入企业组织。若您为天翼云公司或天翼云省分公司后付费渠道账号，需要由客户经理在BCP完成申请动作才能在企业中心创建子账号。 邀请子账号有什么限制？ 被邀请的子账号需要完成企业实名认证，且原则上要求待被邀请的子账号实名认证信息需与主账号一致，或为关联企业。 代理商渠道账号是否允许开通企业中心功能? 暂时不支持代理商渠道账号开通企业中心。 企业组织对成员账号的授权与CTIAM授权的区别？ 企业组织对成员账号的授权是隐式拒绝权限，是范围权限，判定成员账号只能在其授权范围内，对账号下的用户进行权限管理。对某个IAM用户而言，企业组织权限判定优先级高于CTIAM。 财务托管与财务独立模式子账号的区别？ 详细请参考“关联账号”。

本节主要介绍OOS产品的优势。 地域广 对象存储（经典版）I型的资源池分布在全国多个省、市、自治区及直辖市，这些资源池均直连骨干网的数据中心，实现全国数据的低延迟访问。 带宽充足 天翼云拥有遍布全国的通信服务网络，具有强大的带宽优势，轻松应对高峰及突发流量。同时也可提供专线，满足网络延迟和安全等级要求。 稳定高效 物理层面：全方位数据保障措施，部署在8级抗震、一级耐火、一级防水、通过ISO27001认证的的数据中心内部。 传输层面：所有操作均可通过HTTPS协议进行，确保数据传输过程加密，以保证传输安全。 存储层面：所有上传数据被分片存储在不同的节点、不同的磁盘，任何节点或磁盘失效，均不影响服务的正常运行。 接入层面：提供多种鉴权和授权机制（包括签名认证、细粒度的身份与权限管控、防盗链、限制IP黑白名单访问、日志访问记录、WORM特性等），保证操作安全。 持久可用 服务设计可用性不低于99.99%。 数据设计持久性可高达99.99999999999%。 存储规模可大规模在线扩展，不影响对外服务。 支持多副本和纠删码冗余，可根据对象的重要程度选择不同的冗余方式。

本节介绍什么是SSH密钥及使用限制条件。 简介 SSH密钥对是一种安全便捷的登录认证方式，由公钥和私钥组成。 SSH密钥对通过加密算法生成一对密钥，默认采用RSA 2048位的加密方式。 要使用SSH密钥对登录Linux实例，用户必须先创建一个密钥对，并在创建实例时指定密钥对，然后使用私钥连接实例。 优势 安全性：SSH密钥对登录认证更为安全可靠。密钥对安全强度远高于常规用户口令，可以杜绝暴力破解威胁，且无法通过公钥推导出私钥。 便捷性：如果客户将公钥配置在Linux实例中，那么，在本地或者另外一台实例中，您可以使用私钥通过SSH命令或相关工具登录目标实例，而不需要输入密码，便于远程登录大量Linux实例，方便管理。如果需要批量维护多台Linux实例，推荐使用这种方式登录。 使用限制 如果使用SSH密钥对登录Linux实例，将会禁用密码登录，以提高安全性。 仅支持Linux实例。 通过控制台绑定密钥对时，一台Linux实例只能绑定一个密钥对，如果用户有使用多个密钥对登录实例的需求，可以在实例内部手动修改~/.ssh/authorizedkeys文件，添加多个密钥对。创建虚拟机实例时可选是否关联密钥对。

参数 是否必填 参数类型 说明 示例 下级对象 xamzcopysource 是 String 源的桶名称和对象名称 {bucket}/{obj} xamzstorageclass 是 StorageClass 对象存储类别 GLACIER(归档), STANDARDIA(低频), STANDARD(标准，默认) Authorization 是 String 用于验证请求合法性的认证信息

对于支持IAM配置，不支持企业项目配置的操作，若没有配置过IAM权限将默认不具备相应操作权限，操作将被拦截，对于这种场景，该如何处理？ 支持IAM配置，不支持企业项目配置的操作在没有配置过IAM权限时，将默认不具备相应操作权限，操作将被拦截，如下图创建快照，前端提示权限不足，操作被拦截。此时，您需要在IAM中为此用户新增创建快照的IAM操作权限以解除限制。 操作步骤 1.登陆统一身份认证服务平台。 2.创建或修改自定义策略，在该策略中需添加创建快照的三元组“evs:snapshot:create”，具体创建或修改策略的操作请参见统一身份认证IAM中“策略管理”章节。 3.为待授权的子账号所归属的用户组配置上述具有“evs:snapshot:create”三元组的策略。具体授权策略的操作请参见统一身份认证IAM中“用户组授权”章节。 4.完成上述配置后，用已授权创建快照权限的子用户登陆天翼云控制台，创建快照操作将不再被拦截，能够进入创建快照页面。 为什么子用户订购云硬盘跳转到订单中心时，显示“抱歉，您没有访问该页面的权限”？ 若您的子用户需要实现下单类操作，如创建、扩容等，您需要为子用户所在用户组设置“订单与云网账号管理员权限”，即授权“bss admin”策略。 具体操作可参考子用户如何创建和下单一类节点资源。

同一个微服务引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的微服务引擎访问和操作权限。 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。 开启了“安全认证”的微服务引擎专享版，支持Spring Cloud、Java Chassis微服务框架正常接入。 说明： 基于RBAC的系统管理功能与IAM权限管理无关，仅是CSE内部微服务的权限管理机制。 如果您通过ServiceStage控制台操作微服务引擎，必须同时具备IAM和RBAC的操作权限，且IAM权限优先级要高于RBAC权限。 如果您通过API接口或者微服务框架操作微服务引擎，则只需具备RBAC相关权限。 当前系统管理功能仅支持微服务权限管理，暂不支持配置管理、服务治理。 1. 您可以使用关联了admin角色权限的帐号创建新帐号，根据实际业务需求把合适的角色同帐号关联。使用该帐号的用户则具有对该微服务引擎的相应的访问和操作权限。 − 创建开启了“安全认证”的微服务引擎专享版时，系统自动创建1个关联了admin角色权限的root帐号。不能编辑、删除root帐号。 − 您可以使用创建该微服务引擎的root帐号或者该微服务引擎下关联了admin角色权限的帐号创建新帐号。创建和管理帐号，请参考帐号管理。 2. 您可以使用关联了admin角色权限的帐号创建自定义角色，根据业务需求把合适的微服务引擎访问和操作权限赋予该角色。 − 系统默认内置两种角色：管理员（admin）、开发者（developer）。不能编辑、删除内置角色。 − 您可以使用创建该微服务引擎的root帐号或者该微服务引擎下关联了admin角色权限的帐号创建自定义角色。创建和管理角色，请参考角色管理。 − 角色权限说明，请参见下表。 表 角色权限说明 角色 权限说明 admin 具有该微服务引擎下所有微服务、帐号和角色的所有操作权限。 developer 具有该微服务引擎下所有微服务的所有操作权限。 自定义角色 根据实际业务需求创建角色，给角色分配相应微服务的操作权限。

Android 发布版本 发布时间 版本描述 2.8.1 20260105 内置浏览器使用优化、支持优选接入、可设置无流量自动关闭VPN，节省耗电，其他安全和缺陷问题修复。 2.7.0 20251028 支持钉钉、飞书认证源，认证源支持用户范围；传输协议优化，自定义网络模式。 2.6.1 20250925 全球加速引流增强，最近访问优化。 2.5.0 20250826 支持全球加速访问，UI改版优化，支持生物识别登录，支持移动端扫码客户端登录，支持诊断工具、设备授信、信滑动验证码。 2.1.0 20250409 支持超时注销登录配置。 2.0.2 20250310 登录逻辑优化，并新增deepseek功能。 2.0.1 20250207 全新UI更新， 体验优化。 1.14.2 20250117 内部的安全线上问题优化，解决并发数等一些缺陷，问题修复。 1.8.2 20241223 支持隐私协议撤回功能，第三方数据共享优化。 1.6.7 20240731 稳定性优化，问题修复。 1.4.0 20240530 补充定时刷新能力，问题修复。 1.3.0 20240511 支持账号、手机号、邮箱进行忘记密码，其他使用问题优化。 1.2.1 20240415 上下线能力补充、应用资源展示优化，问题修复。 1.2.0 20240329 首个版本发布。

本文主要介绍如何使用第三方镜像。 操作场景 CCE支持拉取第三方镜像仓库的镜像来创建工作负载。 通常第三方镜像仓库必须经过认证（帐号密码）才能访问，而CCE中容器拉取镜像是使用密钥认证方式，这就要求在拉取镜像前先创建镜像仓库的密钥。 前提条件 使用第三方镜像时，请确保工作负载运行的节点可访问公网。 通过界面操作 步骤 1 创建第三方镜像仓库的密钥。 单击集群名称进入集群，在左侧导航栏选择“配置项与密钥”，在右侧选择“密钥”页签，单击右上角“创建密钥”，密钥类型必须选择为kubernetes.io/dockerconfigjson，如下图所示。详细操作请参见创建密钥。 此处的“用户名”和“密码”请填写第三方镜像仓库的帐号密码。 图 添加密钥 步骤 2 创建工作负载时，可以在“镜像名称”中直接填写私有镜像地址，填写的格式为domainname/namespace/imagename:tag，并选择步骤1中创建的密钥。 步骤 3 填写其他参数后，单击“创建工作负载”。

本章节主要介绍锁定用户 。 该任务指导管理员用户将MRS集群中的用户锁定。用户被锁定后，不能在Manager重新登录或在集群中重新进行安全认证。开启Kerberos认证的集群或开启弹性公网IP功能的普通集群支持该操作。 可通过以下两种方式锁定用户，锁定后的用户需要管理员手动解锁或者等待锁定时间结束才能恢复使用： 自动锁定：通过设置密码策略中的“允许输入错误次数”，将超过登录失败次数的用户自动锁定。具体操作请参见修改密码策略。 手动锁定：由管理员通过手动的方式将用户锁定。 说明 该章节操作仅适用于MRS 3.x之前版本集群。MRS3.x及之后版本集群请参考 以下将具体介绍手动锁定。不支持锁定“机机”用户。 操作步骤 访问MRS Manager，详细操作请参见访问MRSManager（MRS2.x及之前版本）。 1. 在MRS Manager，单击“系统设置”。 2. 在“权限配置”区域，单击“用户管理”。 3. 在要锁定用户所在行，单击“锁定用户”，锁定用户。 4. 在弹出的提示窗口，单击“确定”完成锁定操作。

本节主要介绍通过kubectl操作CCE集群。 操作场景 本文将以CCE集群为例，介绍如何通过kubectl操作CCE集群。 使用kubectl操作集群 背景信息 若您需要从客户端计算机连接到kubernetes集群，请使用kubernetes命令行客户端kubectl。 前提条件 CCE支持“VPC网络内访问”和“互联网访问”两种方式访问集群。 VPC网络内访问：您需要在ECS控制台购买一台云服务器，并确保和当前集群在同个VPC内。 互联网访问：您需要准备一台能连接公网的云服务器。 注意 通过“互联网访问”方式访问集群，集群的kubeapiserver将会暴露到互联网，存在被攻击的风险，建议对kubeapiserver所在节点的EIP配置DDoS高防服务。 下载kubectl 您需要先下载kubectl以及配置文件，拷贝到您的客户端机器，完成配置后，即可以使用访问kubernetes集群。 请到kubernetes版本发布页面下载与集群版本对应的或者更新的kubectl。 安装和配置kubectl 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 集群管理”，单击待连接集群下的“命令行工具 > kubectl”。 步骤 2 在集群详情页中的“kubectl”页签下，请参照界面中的提示信息完成集群连接。 说明 您可以在“kubectl”页签下方便的下载kubectl配置文件（kubeconfig.json），CCE支持帐号和IAM用户分别下载该配置文件，IAM用户下载的配置文件只有30天的有效期，而天翼云帐号下载的配置文件会长期有效。该文件用于对接认证用户集群，请用户妥善保存该认证凭据，防止文件泄露后，集群有被攻击的风险。如果不幸泄露，可以通过证书更新的方式，替换认证凭据。 由于EIP无法固定，所以服务器端证书无法预置EIP，若从互联网访问则无法开启客户端校验服务器端。如需开启客户端校验服务器端，请使用VPC访问方式。 IAM用户下载的配置文件所拥有的Kubernetes权限与CCE控制台上IAM用户所拥有的权限一致。

配置项 说明 节点名称 请根据节点hostname输入节点名称 节点IP 提供能够通过通道SSH登录节点的IP地址 端口号 SSH登录节点的端口号，默认是22 认证方式 密码：登录节点使用密码方式，需提供用户名和密码 密钥：登录节点使用密钥方式，需提供用户名和密钥文件

本节介绍了管理云硬盘过户的操作场景、约束与限制、操作步骤。 操作场景 通过云硬盘过户功能把一个帐号的云硬盘过户给另一个帐号，过户成功后，该云硬盘就属于接受过户的帐号。 云硬盘过户当前只支持数据盘。当前需要使用API接口来使用云硬盘过户功能，如有需要，请提交工单进行咨询。 约束与限制 包周期的云硬盘不支持过户。 冻结的云硬盘不支持过户。 加密的云硬盘不支持过户。 云硬盘有对应的备份和快照时不支持过户。 云硬盘有备份策略时不支持过户。 DSS的云硬盘不支持过户。 云硬盘不支持跨区域过户。 操作步骤 以将帐号A的云硬盘过户给帐号B为例。用户A属于帐号A，用户B属于帐号B。由用户A创建过户记录，用户B通过云硬盘过户记录ID（transferid）和云硬盘过户的身份认证密钥（authkey）接受过户，接受成功后即完成过户，基本流程如下图所示。 说明 ● transferid：云硬盘过户记录ID，每个云硬盘过户记录对应一个transferid，用户B需要通过transferid接受待过户的云硬盘。 ● authkey：云硬盘过户的身份认证密钥，每个云硬盘过户记录对应一个authkey，用户B在接受云硬盘过户时需要使用authkey进行身份认证。 图 云硬盘过户操作流程 步骤 1 用户A创建云硬盘过户记录。 云硬盘过户记录创建成功后会返回transferid和authkey。 步骤 2 （可选）用户A可以查看云硬盘过户记录。如果创建了多个云硬盘过户记录，还可以查询过户记录列表。 步骤 3 用户A将返回的transferid和authkey传递给用户B。 步骤 4 用户B是否接受云硬盘过户？ ● 是，请执行步骤5。 ● 否，任务结束。 对于未被接受的云硬盘过户，用户A可以进行删除。 步骤 5 用户B接受transferid和authkey。 步骤 6 用户B通过transferid和authkey接受云硬盘过户。

本文介绍如何创建子账号及相关规定 前提条件 完成企业中心的开通，开通方式参考“开通企业中心”。 只有企业中心管理员账号及主账号可以创建/邀请子账号。 子账号关联模式 子账号分“财务托管”与“财务独立”两种关联模式 财务托管：指主账号对子账号的财务纳入统一管控，包括资金代付，发票代开等。子账号无独立的商务，账单/订单由主账号支付，子账号专注于业务层面的资源使用与管理。 财务独立：指子账号具备自主处理自身财务事务的核心权限，同时主账号可按需进行辅助管理。 更多规则与介绍，请参考“ 创建子账号”“ 邀请子账号”。 附1：各渠道账号关联账号支持规则 关联模式/账号渠道 天翼云公司 天翼云省分公司 电信省公司 线上预付费账号 线下后付费账号 线上预付费账号 线下后付费账号 线上预付费账号 线下后付费账号 创建子账号 财务独立模式 支持 支持（需客户经理完成申请） 支持 支持（需客户经理完成申请） 不支持 不支持 创建子账号 财务托管模式 支持 支持（需客户经理完成申请） 支持 支持（需客户经理完成申请） 不支持 不支持 邀请子账号 （跨渠道账号之间不能邀请） 财务独立模式 支持 支持 支持 支持 支持 支持 邀请子账号 （跨渠道账号之间不能邀请） 财务托管模式 不支持 不支持 不支持 不支持 不支持 不支持 说明 1. 后付费客户账号若要创建子账号，需要联系客户经理，由客户经理或客服人员在BCP系统完成申请后，才能创建子账号。省公司渠道账号暂时不允许创建子账号。 2. 由主账号创建出来的子账号，其实名认证以及渠道信息继承主账号信息。 3. 由主账号邀请加入的子账号，原则上要求子账号必须与主账号实名认证信息一致，或为关联母子公司。 4. 同一个实名认证主体，当前天翼云最多允许存在五个天翼云账号，若需要提高限额，需联系客户经理申请。

本文介绍Python版本的RabbitMQ客户端连接指导，包括RabbitMQ客户端安装，以及生产、消费消息。 使用前请参考收集连接信息收集RabbitMQ所需的连接信息。 准备环境 1. 安装Python3 2. 安装kombu pip3 install kombu 生产消息 SSL认证方式 import ssl import sys from kombu import Connection, Exchange, Producer def Main(argv): cacertfile "certscacertificate.pem" certfile "certsclientrabbitmqcertificate.pem" privatekey "certsclientrabbitmqkey.pem" conn Connection('amqp://XXX:xxx/', loginmethod'EXTERNAL', ssl{ 'cacerts': cacertfile, 'keyfile': privatekey, 'certfile': certfile, 'certreqs': ssl.CERTREQUIRED, 'sslversion': ssl.PROTOCOLTLSv12, }) channel conn.channel() exchange Exchange("exampleexchange", type"direct") producer Producer(exchangeexchange, channelchannel, routingkey"testkey") message "Hello Rabbimtq" producer.publish(message, retryTrue) print('send message: %s' % message) if name 'main': Main(sys.argv) 非SSL认证方式 import sys from kombu import Connection, Exchange, Producer def Main(argv): rabbitmqurl 'amqp://USERNAME:PASSWORD@XXX:xxx/' conn Connection(rabbitmqurl, loginmethod'PLAIN') channel conn.channel() exchange Exchange("exampleexchange", type"direct") producer Producer(exchangeexchange, channelchannel, routingkey"testkey") message "Hello Rabbimtq" producer.publish(message, retryTrue) print('send message: %s' % message) if name 'main': Main(sys.argv) 消费消息 SSL认证方式 import sys import ssl from kombu import Connection, Exchange, Queue, Consumer def Main(argv): cacertfile "certscacertificate.pem" certfile "certsclientrabbitmqcertificate.pem" privatekey "certsclientrabbitmqkey.pem" conn Connection('amqp://XXX:xxx/', loginmethod'EXTERNAL', ssl{ 'cacerts': cacertfile, 'keyfile': privatekey, 'certfile': certfile, 'certreqs': ssl.CERTREQUIRED, 'sslversion': ssl.PROTOCOLTLSv12, }) exchange Exchange("exampleexchange", type"direct") queue Queue(name"examplequeue", exchangeexchange, routingkey"testkey") def processmessage(body, message): print("receive message: %s" % format(body)) message.ack() with Consumer(conn, queuesqueue, callbacks[processmessage], accept["text/plain"]): conn.drainevents(timeout2) if name 'main': Main(sys.argv)

消息超过老化时间，消息仍存在的原因 问题现象： 消息超过设置的老化时间（如果Topic已经设置了老化时间，此时“配置参数”中的log.retention.hours值将不对此Topic生效。仅在Topic中未设置老化时间时，“配置参数”中的log.retention.hours值才会对此Topic生效。），消息仍存在。 可能原因1： Topic的每个分区都是由多个大小相同的segment文件组成，每个segment文件的大小为500MB，当segment文件存储的消息大小到达500MB后，才会新建下一个segment文件。Kafka删除消息是删除segment文件，而不是删除一条消息。Kafka要求至少保留一个segment文件用来存储消息，如果正在使用的segment文件中包含超过老化时间的消息，由于此时segment文件不会被删除，所以超过老化时间的消息也不会被删除。 处理方法： 等待segment文件被使用完，或者删除超过老化时间的消息所在的Topic。 可能原因2： Topic中存在一条create time为未来时间的消息（例如当前时间为1月1日，create time设置成了2月1日），此消息在72小时后，并不会被老化，导致在此消息后创建的其他消息都不会被老化。 处理方法： 删除create time为未来时间的消息所在的Topic。 Kafka实例是否支持延迟消息？ 不支持延迟消息。 如何查看堆积消息数？ 通过以下任意一种方法，查看堆积消息数。 在Kafka控制台的“消费组管理”页面，单击待查看堆积消息的消费组名称，进入消费组详情页。在“消费进度”页签，查看消费组中每个Topic的总堆积数。具体步骤，请参考查询消费组信息。 在Kafka控制台的“监控”页面的“消费组”页签中，“消费组”选择待查看堆积消息数的消费组名称，“队列”选择“全部队列”，“消费组可消费消息数”表示此消费组中所有Topic的堆积消息数之和。查看监控数据的具体步骤，请参考查看监控数据。 在云监控页面的“消费组”页签中，“消费组”选择待查看堆积消息数的消费组名称，“队列”选择“全部队列”，“消费组可消费消息数”表示此消费组中所有Topic的堆积消息数之和。查看监控数据的具体步骤，请参考查看监控数据。 在Kafka客户端，在“/{命令行工具所在目录}/kafka{version}/bin/”目录下，通过 kafkaconsumergroups.sh bootstrapserver {kafka连接地址} describe group {消费组} 命令查看消费组中每个Topic的堆积消息数。“LAG”表示每个Topic的总堆积数。 图 查看每个Topic的总堆积数 说明 如果Kafka实例开启SASL认证，则以上命令还需要增加SASL认证的“consumer.properties”配置文件参数： commandconfig {SASL认证的consumer.properties配置文件} ，“consumer.properties”配置文件参考开启SASL认证的Kafka命令行连接说明。

云原生网关 云原生网关同时具备传统的流量网关和业务网关功能（Zuul、Spring Cloud Gateway等），提供全局性和独立业务域级别的流量管理策略，支持Nacos和K8s等多种服务发现方式，支持TLS加密通信和多种身份认证方式，构筑安全的流量入口。 功能模块 功能详情 相关文档 服务管理提升应用稳定性 打通Nacos、K8s等多种服务发现数据源，支持多种服务负载均衡策略，通过限流、熔断、降级等策略提升整个访问链路稳定性。 服务管理 丰富灵活的路由策略 支持多种路由策略进行多服务路由转发，从请求路径、请求方法、请求头和请求参数等维度进行规则设置，实现请求限流、重写、Header 设置、跨域等。 路由策略配置 防御鉴权保障应用安全 支持JWT，OIDC等多种鉴权方式，对用户进行身份验证，支持自定义访问控制策略，支持全局或者路由级别的黑白名单配置，最大限度控制安全风险。 安全认证配置 可观测能力快速定位问题 集成天翼云LTS、APM等可观测组件，提供网关实例监控、业务监控、日志分析、全链路追踪等功能，高效定位问题，提高应对核心链路问题的响应速度。 监控分析

本节内容为您介绍快捷开通并使用天翼云手机的流程，帮助您快速上手。 本节内容为您提供快捷开通并使用天翼云手机（政企版）的流程。 准备工作： 使用天翼云手机前，请确保您已经开通了天翼云账号并完成实名认证。相关操作参考如下： 注册天翼云账号 实名认证 使用流程： 下面以控制台订购天翼云手机（政企版）为例，介绍天翼云手机的开通使用流程，帮助您快速上手。使用的流程如下。 1、开通云手机服务（可选） 在创建并管理云手机之前，需由管理员首先开通云手机服务。 2、订购云手机 根据需求选择云手机配置，并把云手机分配到个人用户，支付成功则完成云手机的快速订购。 3、用户账号激活 完成开通云手机后，用户邮箱会收到天翼云手机政企版开通提醒邮件，根据流程激活账户即可。 4、登录连接云手机 下载并安装客户端后，您可以使用云手机账号登录客户端，然后连接使用云手机。

在开启OBS权限控制功能时各组件访问OBS的说明 以root用户登录集群任意一个节点，密码为用户创建集群时设置的root密码。 1. 配置环境变量（MRS 3.x及之后版本客户端默认安装路径为“/opt/Bigdata/client”，MRS 3.x之前版本为“/opt/client”。具体以实际为准。）。 source /opt/Bigdata/client/bigdataenv 2. 如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 kinit MRS集群用户 例如, kinit admin 3. 如果当前集群未启用Kerberos认证，执行如下命令登录执行操作的用户，该用户需要属于supergroup组，创建用户可参考创建用户，将XXXX替换成用户名。 mkdir/home/XXXX chownXXXX /home/XXXX su XXXX 4. 访问OBS。无需再配置AK、SK和endpoint。OBS路径格式：obs://buckname/XXX。 例如：hadoop fs ls"obs://obsexample/job/hadoopmapreduceexamples3.1.2.jar" 说明 如需使用hadoop fs删除OBS上文件，请使用hadoop fs rm skipTrash来删除文件。 sparksql、sparkbeeline在创建表时，若不涉及数据导入，则不会访问OBS。即若在一个无权限的OBS目录下创建表，CREATE TABLE仍会成功，但插入数据会报403 AccessDeniedException。 在IAM服务创建策略及委托 在IAM服务创建策略及委托 1. 登录IAM服务控制台。 2. 单击“权限 > 创建自定义策略”。 3. 参考下表填写参数。 策略参数 参数 说明 策略名称 只能包含如下字符：大小写字母、中文、数字、空格和特殊字符（.,）。 作用范围 选择全局级服务，OBS为全局服务。 配置策略方式 选择可视化视图。 策略内容 1. “允许”选择“允许”。 2. “云服务”选择“对象存储服务(OBS)”。 3. “操作”勾选所有“写”、“列表”和“只读”权限。 4. “特定资源”选择： a. “object”选择“通过资源路径指定”，并单击“添加资源路径”分别输入路径obsbucketname /tmp/和 obsbucketname /tmp/ 。此处以 /tmp目录为例，如需其他目录权限请参考该步骤添加对应目录及该目录下所有对象的资源路径。 b. “bucket”选择“通过资源路径指定”，并单击“添加资源路径”输入路径 obsbucketname。 5. （可选）请求条件，暂不添加。 策略描述 可选，对策略的描述。 各个组件的写数据操作若通过rename的方式实现时，写数据时要配置删除对象的权限。 4. 单击“确定”保存策略。 5. 在IAM服务创建委托。 6. 登录IAM服务控制台。 7. 单击“委托 > 创建委托”。 8. 参考下表填写参数。 委托参数 参数 说明 委托名称 只能包含如下字符：大小写字母、中文、数字、空格和特殊字符（.,）。 委托类型 选择普通帐号。 委托的帐号 填写本用户的云帐号，即使用手机号开通的帐号，不能是联邦用户或者IAM用户。 持续时间 请根据需要选择。 描述 可选，对委托的描述。 权限选择 1. 在“项目”列对应的“对象存储服务”行，单击“操作”列的“修改”。 2. 勾选步骤1中创建的策略，使之出现在“已选择策略中”。 3. 单击“确定”。 4. 单击“确定”保存委托。 说明 当使用该委托访问过OBS后，再修改该委托及其绑定的策略时，最长需要等待15分钟，修改的内容才能生效。

如何快速接入 下载对应AOne客户端并输入【企业认证标识】+【用户登录信息】进行客户端登录，用于识别企业+用户信息，具体安装并登录详见：安装并登录AOne客户端。客户端将根据订购产品服务以及客户配置情况进行自适应提供能力。

名称 描述 是否必选 示例 ContentType 消息体的类型 是 application/json ctyuneoprequestid 流水号 是 0ffb9b07d5a84e19b3ce12dfb9705a1d EopAuthorization 签名认证信息 是 4a4bdc57e06542199b5f98d4cd107be2 Headersctyuneoprequestid;eopdate Signatureb2WEo4nh9ewn6SWOP0ii5g8L0z9CT5gprpDWntlCX9I Eopdate 时间，15分钟有效期 是 20221107T093029Z regionId 资源池标识 是 60a39fca876e11ea91cf0242ac110002

本文介绍组织管理术语解释 主账号 在天翼云注册的独立账号，且完成了企业实名认证的实体账号。在该账号下申请开通的企业中心功能，主账号是企业中心管理员账号，是唯一可以访问且管理企业中心平台功能的账号。 子账号（成员账号） 在天翼云注册的独立账号，且完成了企业实名认证的实体账号。通过主账号邀请或者创建，成为了主账号下的关联账号，子账号（成员账号）无法登录企业中心，资源/权限/财务等受到主账号管理。 组织 “组织”是企业中心账号间的虚拟归属关系，将子账号划分到归属的组织，便于统一操作与管理。企业中心当前最多支持三层组织架构。 一个组织由管理账号、成员账号、组织单元组成。一个组织有且仅有一个管理账号，若干个成员账号，以及由一个根组织单元和多层级组织单元组成的树状结构。成员账号可以关联在任一层级的组织单元。 组织策略 可以为组织绑定权限策略，绑定后的策略对组织内所有成员账号中的IAM用户生效。 创建/邀请 主账号可以创建或邀请子账号，但受一定约束条件，满足条件的账号才可以进行邀请或者创建，共同组成企业中心下的组织单元。

本节为您介绍认证证书相关内容。 合规证书 天翼云拥有众多合规资质（ISO/SOC/PCI等），按照国内国际和行业的合规要求，为用户提供合规、高效、稳定的安全云服务。您可在信任中心合规资质进行查看。 隐私保护 天翼云建立数据安全管理制度，采用适当的物理、管理和技术保障措施来防止您的信息遭到未经授权访问、披露、使用、修改、损坏或丢失。您可以在隐私中心进行查看。

云服务名称 区域 支持IAM 支持企业项目 支持IAM 支持企业项目 系统策略 账务 全局 是 否 否 否 有 订单与支付 全局 是 否 否 否 有 云网账号 全局 是 否 否 否 有 统一身份认证 全局 是 否 否 否 有 客服工单 全局 是 否 否 否 有 活动与券 全局 是 否 否 否 有 消息管理 全局 是 否 否 否 有 企业组织 全局 是 否 否 否 有

透明代理的作用是在客户端与大模型防护系统之间建立一个隧道，在终端直接访问原请求大模型的请求，将转发到大模型防护系统上，由代理服务判定输入内容合规后再转发到真正的大模型接口，并按照配置决定是否对大模型返回的响应进行合规性检测。适用于自建大模型，并用主机安全检测需求的用户场景，终端适用于Linux服务器。 内容安全代理 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 模型代理 > 透明代理”，单击“添加代理”。 3. 在弹出的窗口中配置代理参数。 参数 说明 代理名称 按照个人习惯填写语义化文本。 代理类型 内容安全请选择“大语言模型”。 协议适配器插件 在下拉框中选择协议适配器插件。 后端地址 根据实际情况填写被代理模型的地址。 策略名称 根据终端所需在选择策略，管理主机策略相关，更多关于策略的内容见主机策略。 强制启用API Key （可选）按需选择是否启用大模型防护系统启动的API认证机制。 API Key标签 当启用API Key时，还需配置API Key标签。API Key标签为模型认证配置中配置的标签。

在应用性能监控告警管理模块内完成钉钉机器人创建后，您可在通知策略中绑定目标钉钉群组作为告警接收方。当通知策略的匹配条件触发时，系统将自动向该钉钉群组推送告警通知；钉钉群接收通知后，即可在钉钉端内对相关告警进行后续管理与处置。 前提条件 已在钉钉客户端创建用于接收告警通知的钉钉群。 已添加自定义钉钉机器人并获取Webhook地址，具体操作，请参见【获取钉钉机器人Webhook地址】。 创建告警通知钉群 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 通知对象。 2. 单击钉钉/飞书/企微 页签，然后单击钉钉。 3. 在弹出的面板设置以下参数，然后单击确定。 参数 说明 名称 自定义钉钉机器人的名称。 签名密钥 可选，如配置了密钥则会通过加签的方式进行钉钉认证。如果没有配置密钥，默认使用关键字白名单的方式进行认证，白名单关键字为告警。 机器人地址 输入钉钉机器人的Webhook地址。 告警模板 可编辑告警模板内容，告警触发时将根据模板内容进行发送。 恢复模板 可编辑告警模板内容，告警恢复时将根据模板内容进行发送。

迁移方案的关键操作 配置“ 同名文件是否覆盖 ”选项：创建任务时，配置按 最后修改时间（Lastmodified） 的处理方式，来进行迁移。 根据源端业务的增量情况，多次使用“开始”操作启动迁移任务进行增量的迁移。 操作流程 该方案通过多次迁移实现对源端增量数据的迁移，具体流程如下： 准备工作 注册天翼云账号 使用对象存储迁移服务ZMS，您需要先注册天翼云门户的账号。本部分将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接使用对象存储迁移服务。 1. 打开天翼云门户网站，点击“ 注册 ”。 2. 在注册页面，请填写“ 邮箱地址 ”、“ 登录密码 ”、“ 手机号码 ”，并点击“ 同意协议并提交 ” 按钮，如1分钟内手机未收到验证码，请再次点击“ 免费获取短信验证码 ”按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 进行实名认证，请参考会员服务实名认证。 开通天翼云对象存储 登录您的天翼云账号即可使用对象存储迁移服务ZMS，但天翼云对象存储ZOS需要您单独开通，具体操作可参看开通对象存储服务。

本页介绍了如何创建实例用户账号。 文档数据库服务支持通过多种不同方式创建用户帐号，此处列举通过shell命令创建用户帐号以及管理控制台创建用户帐号。 通过shell命令创建用户帐号 操作步骤 1. 通过shell连接至实例，请参见文档数据库服务快速入门连接文档型数据库服务实例教程。 2. 选择admin库。 use admin 3. 以创建testUser用户为例，在shell中输入以下创建用户命令。 db.createUser({user: "testUser", pwd: "", passwordDigestor:"server", roles:[{role: "root", db: "admin"}]}) user: 填写需要创建用户的名称。 pwd: 填写用户密码。 passwordDigestor: 固定填写。 roles: 填写用户所属角色。 4. 查看是否创建成功。 如果执行创建用户命令后结果如下则代表用户创建成功。 Successfully added user: { "user" : "testUser", "passwordDigestor" : "server", "roles" : [ { "role" : "root", "db" : "admin" } ] } 通过控制台创建用户账号 操作步骤 1. 进入到TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”，选中需要创建账号的实例，点击“账号管理”栏。 3. 点击“创建账号”按钮，按照指引填写必要信息后，点击“确认”按钮即可完成帐号创建。 说明 账号名：创建账号的用户名。 认证库：设置账号的认证库，默认为admin。 密码：创建账号的密码。 赋予权限：选择赋予账户特定库的特定权限，在添加权限项进行添加。

本文介绍企业中心常用术语 主账号 在天翼云注册的独立账号，且完成了企业实名认证的实体账号。在该账号下申请开通的企业中心功能，主账号是企业中心管理员账号，是唯一可以访问且管理企业中心平台功能的账号。 子账号 在天翼云注册的独立账号，且完成了企业实名认证的实体账号。通过主账号邀请或者创建，成为了主账号下的关联账号，无法登录企业中心，资源/权限/财务等受到主账号管理。 组织 “组织”是企业中心账号间的虚拟归属关系，将子账号划分到归属的组织，便于统一操作与管理。企业中心当前最多支持三层组织架构。 一个组织由管理账号、成员账号、组织单元组成。一个组织有且仅有一个管理账号，若干个成员账号，以及由一个根组织单元和多层级组织单元组成的树状结构。成员账号可以关联在任一层级的组织单元。 组织策略 可以为组织绑定权限策略，绑定后的策略对组织内所有成员账号中的IAM用户生效。 创建/邀请 主账号可以创建或邀请子账号，但受一定约束条件，满足条件的账号才可以进行邀请或者创建，共同组成企业中心下的组织单元。

参数 说明 示例 接入点 Apache RocketMQ集群broker接入点，由IP与端口号拼接而成，以逗号分隔。 172.17.0.25:9876,192.17.0.26:9876,172.17.0.27:9876 Topic topic名称。 topic1 网络配置 根据业务场景选择对应配置。 专有网络 公网网络 专有网络 VPC 网络配置选择专有网络时必填，选择集群所在的VPC。 vpc 子网 网络配置选择专有网络时必填，选择集群所在的子网。 subnet 认证模式 选择认证模式。 无需配置 ACL 用户名 ：填写用户名 密码 ：填写密码 无需配置 消息体 选择消息体（Body）的内容，更多内容请参考 全部事件 自定义属性 选择自定义属性（Properties）的内容，更多内容请参考 空 索引 选择索引（Keys）的内容，更多内容请参考 空 标签 选择标签（Tags）的内容，更多内容请参考 空

步骤三：校验域名解析结果 在第2步添加解析记录的操作完成后，等待DNS解析生效（建议10分钟）后，即可进行解析验证。在Linux系统执行命令：dig dnsverify.ctcdn.cn txt。 如果解析出来的TXT值和天翼云CDN控制台返回的TXT记录值一致，则表示配置正确。 步骤四：验证域名归属权 在第3步中，确认配置正确后，回到天翼云CDN控制台，在【认证域名归属权】界面，单击【验证】，即可完成域名归属权验证。验证通过即可继续进行【添加域名】的操作。 方法二：文件验证 以加速域名www.ctcdn.cn为例，为您介绍如何通过文件验证方式来验证域名归属权。 步骤一：生成TXT记录值 前往天翼云CDN控制台，单击左侧导航栏【域名管理】【域名列表】，单击右上角【添加域名】，在【加速域名】输入www.ctcdn.cn（待验证的域名）后，单击【进入验证环节】，在弹出的【认证域名归属权】界面中，选择【文件验证】，根据提示复制需创建的文件内容，例如：202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt。