准备工作 注册天翼云账号 使用对象存储迁移服务ZMS，您需要先注册天翼云门户的账号。本部分将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接使用对象存储迁移服务。 1. 打开天翼云门户网站，点击“ 注册 ”。 2. 在注册页面，请填写“ 邮箱地址 ”、“ 登录密码 ”、“ 手机号码 ”，并点击“ 同意协议并提交 ” 按钮，如1分钟内手机未收到验证码，请再次点击“ 免费获取短信验证码 ”按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 进行实名认证，请参考会员服务实名认证。 开通天翼云对象存储 登录您的天翼云账号即可使用对象存储迁移服务ZMS，但天翼云对象存储ZOS需要您单独开通，具体操作可参看开通对象存储服务。 获取源端和目的端的访问密钥（AK/SK） 源端：源端为阿里云OSS，请检查您的阿里云对应账号是否已创建有访问密钥（AK/SK），并且为您的账号授权阿里云OSS的访问权限。 目的端：目的端仅为天翼云对象存储ZOS，您可参看获取访问密钥（AK/SK），获取您的访问密钥（AK/SK）。 创建目的端存储桶（bucket） 请您在迁移前创建用于存储迁移数据的对象存储桶，具体操作可参看创建桶。 注意 不同地域的对象存储ZOS bucket所支持的存储类型不一致，请您创建存储桶时，根据您的目的端存储类型需要进行创建。您可参考

重装一台轻量型云主机 接口功能介绍 该接口提供用户重装一台轻量型云主机功能，通过填写相应云主机ID、镜像ID对轻量云主机进行重装。 准备工作：   构造请求：在调用前需要了解如何构造请求，详情查看构造请求   认证鉴权：openapi请求需要进行加密调用，详细查看认证鉴权 注意事项：   异步接口：该接口为异步接口，请求过后会拿到任务ID（jobID），后续可以调用查询一个异步任务的结果来查询操作是否成功 接口约束   1. 确保当前请求资源池下，该轻量型云主机、镜像存在（即instanceID、imageID真实存在且与regionID相对应）   2. 轻量云主机需要处于关机状态（stopped），您可以调用查询轻量型云主机详细信息查询结果中的instanceStatus字段来确认当前轻量型云主机状态   3. 若当前轻量型云主机存在系统盘快照，不允许执行重装操作，您可以调用查询云硬盘快照列表输入当前云主机系统盘ID，来查询是否存在系统盘快照   4. 确保云主机上的硬盘均处于已挂载状态（inuse），您可以调用查询云硬盘详情（基于diskID）查询当前云硬盘状态   5. 重装镜像大小不可大于当前云主机系统盘，您可以分别调用查询云硬盘详情（基于diskID）和查询镜像详细信息查询当前云硬盘大小与镜像大小

本文介绍无端访问配置相关说明。 无端访问介绍 AOne 零信任无端访问（WebVPN）通过浏览器即服务的轻量化设计，兼顾便捷性与安全性，适用于需要远程访问内部资源的企业、高校、机构等场景。通过灵活选择 CNAME 或域名映射模式，配合动态权限管控和全流程加密，帮助用户构建安全、高效的零信任网络访问体系。 无端访问接入方式 目前提供两种接入方式进行服务，可按需选择具体接入模式。 CNAME 模式 适用场景 ：希望保留原有域名访问习惯，无需改变用户输入的域名。 配置方法 ： 将企业现有域名通过 DNS 解析设置 CNAME 记录，指向 Aone 提供的 CNAME 地址。 配置域名证书（HTTPS 场景），用于网关进行SSL流量处理。 访问流程 ： 1. 用户在浏览器输入原有域名（如www.ctyun.cn），DNS 解析将请求转发至 AOne 边缘网关。 2. 网关校验用户身份（未认证则跳转登录页，认证通过则继续）。 3. 网关将域名解析为内网地址，用户通过网关安全访问内部应用。 优势 ：用户无需记忆新域名，保持原有访问习惯；隐藏内网真实 IP，提升安全性。 域名映射模式 适用场景 ：需要将公网访问域名改写为指定地址，或拆分多域名配置。 配置方法 ： 平台自动生成无端访问地址（如具体应用为www.ctyun.cn，将改写为wwwtest.ctyun.cn），用户需通过该地址访问。 若涉及 HTTPS，需在网关关联证书。 访问流程 ： 1. 用户访问改写后的域名（如wwwtest.ctyun.cn），请求到达网关。 2. 网关校验身份后，将请求转换回实际内网域名（www.ctyun.cn），后续交互均基于实际域名进行。 注意事项 ： 若前端页面存在 JS 拼接 URL 或响应内容加密混淆，可能导致改写失败，需针对性适配。 建议通过 Aone 返回的应用资源页面发起访问，确保流程稳定。

免费服务为何需要限制账户余额数大于100？ 主机迁移服务本身免费，但迁移过程中会创建按量付费资源并产生少量费用。具体请参见计费说明。 在迁移过程中，是否对迁移源业务是否有影响？ 合理负载使用不影响源机业务。迁移程序仅占用较少资源，不影响业务。 但是迁移源本身负载较高情况下，您需要通过限制CMSAgent使用带宽与CPU使用率，降低CMSAgent对源机使用率，避免对源端业务影响。 迁移安装的AK/SK，与天翼云AK/SK是否一致？ 不一致。 CMS的AK/SK独立开发，位置位于迁移agent选项卡下，用于CMSAgent安装验证。 CMS AK/SK作用是什么？ AK/SK里面包含了源端注册到控制台必需的信息，包括平台的用户信息，平台的地址、授权特征码等等。 CMS AK/SK会变化吗？有时限限制吗？ 会变化。 时限为1天，每次刷新页面也会变更AK/SK码。 CMS AK/SK为什么要变化？是否可以设置AK/SK码不变化？ 出于安全角度考虑，不可以设置AK/SK码不变化。 AK/SK在本质上代表了一种身份认证，作为云上最容易泄露但同时也是最为敏感的数据，云平台通过对AK/SK进行身份认证鉴权，来确认CMSAgent是否可以注册到用户CMS服务。通过AK/SK鉴权的用户，便完成迁移源端注册上报并出现在CMS主机列表，后续可以在此查看采集到迁移源端详情及执行迁移任务。 AK/SK的泄露将会直接导致陌生设备注册到用户CMS服务上，所以需要动态AK/SK降低泄露风险。

接口功能介绍 本接口提供用户在专属云中批量创建按量付费的云主机的功能 准备工作：   构造请求：在调用前需要了解如何构造请求，详情查看构造请求   认证鉴权：openapi请求需要进行加密调用，详细查看认证鉴权   计费模式：确认开通云主机的计费模式，详细查看计费模式   地域选择：选择要创建云主机的专属云的资源池   产品选型：购买弹性云主机前，请先阅读规格说明了解弹性云主机的选型基本信息，并通过查询一个或多个云主机规格资源接口，获取当前资源池可用云主机规格信息   网络规划：规划云主机的网络环境，详细查看弹性云主机网络 注意事项：   成本估算：了解云主机的计费项   用户配额：确认个人在不同资源池下资源配额，可以通过用户配额查询接口进行查询   异步接口：该接口为异步接口，下单过后会拿到主订单ID（masterOrderID），后续可以调用根据masterOrderID查询云主机ID，使用主订单ID来对订单情况与开通成功后的资源ID进行查询   单台创建：当前接口只能创建单台云主机   监控安装：在云服务器创建成功后，35分钟内将完成详细监控Agent安装，即开启云服务器CPU，内存，网络，磁盘，进程等指标详细监控，若不开启，则无任何监控数据。

本章节主要介绍MRS HDFS数据迁移到OBS。 操作场景 CDM支持文件到文件类数据的迁移，本章节以MRS HDFS>OBS为例，介绍如何通过CDM将文件类数据迁移到文件中。流程如下： 1.创建CDM集群并绑定EIP 2.创建MRS HDFS连接 3.创建OBS连接 4.创建迁移作业 前提条件 已获取OBS的访问域名、端口，以及AK、SK。 已经了MRS。 拥有EIP配额。 创建CDM集群并绑定EIP 1.参考创建CDM集群，集群创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群所在VPC、子网、安全组，选择与MRS集群所在的网络一致。 2.CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问MRS HDFS。 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。 创建MRS HDFS连接 1.在CDM集群管理界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面。 2.连接器类型选择“MRS HDFS”后单击“下一步”，配置MRS HDFS链接参数。 名称：用户自定义连接名称，例如“mrshdfslink”。 Manage IP：MRS Manager的IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 用户名：选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。 从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 密码：访问MRS Manager的用户密码。 认证类型：访问MRS的认证类型。 运行模式：选择HDFS连接的运行模式。

参数 类型 描述 是否必须 lunName String 卷名称。 取值：长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 是 config.minReplica Integer 最小副本数（仅集群版支持）。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。对于EC N + M 模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值：对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；对于EC卷，取值范围是[N, N+M]。 否 config.redundancyOverlap Integer 修改卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。 取值：对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数；对于EC模式，取值范围是[1, N+M]。 否 config.writePolicy String 卷的写策略。 取值： WriteBack：回写，指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 WriteThrough：透写，指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 WriteAround：绕写，指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 否 config.serverAffinity.autoFailback Object 卷主备分布优先级设置，详见“ 表1 请求参数config.serverAffinity说明 ”。 否 cloud.compression String 是否压缩数据上传至对象存储。 取值： Enabled：压缩数据上传至对象存储。 Disabled：不压缩数据上传至对象存储。 否 cloud.accessKey String 对象存储服务的Access Key。 注意 Access Key和Secret Access Key如果要修改，必须同时修改。 否 cloud.secretKey String 对象存储服务的Secret Access Key。 注意 Access Ke和Secret Access Key如果要修改，必须同时修改。 否 cloud.endpoint String 设置对象存储服务的Endpoint。 注意 Endpoint必须与所使用的对象存储服务一一对应：若使用OOS对象存储服务，需填写OOS的Endpoint；若使用兼容S3的其他对象存储服务，则需填写它的Endpoint。 如果仅输入域名将会使用HTTPS协议进行访问。 否 cloud.signVersion String 指定上云签名认证的类型。 取值： v2：V2签名认证。 v4：V4签名认证。 否 cloud.region String 表示Endpoint资源池所在区域。 V4签名时，此项必填。 否

本章节以NodeJS和Python语言为例，指导用户如何开发后端解析函数，获取上传的文件。 应用场景 端侧文件上传云主机器是Web和App应用的一类场景，例如服务运行日志的上报，Web应用图片上传等，函数可作为后端，结合APIG提供通用的API处理这类场景。 约束与限制 1. 单次请求上传文件大小不超过6MB。 2. 函数逻辑处理时间不超过15分钟。 操作步骤 1. 创建函数。 1. 登录函数工作流控制台，在左侧导航栏选择“函数 > 函数列表”，单击“创建函数”。 2. 选择“创建空白函数”，填写函数信息，完成后单击“创建函数”。选择运行时：Node.js 14.18。 3. 在“代码”页签，复制如下代码替换默认的函数代码，并单击“部署”更新函数。 const stream require("stream"); const Busboy require("busboy"); exports.handler async (event, context) > { const logger context.getLogger() logger.info("Function start run."); if (!("contenttype" in event.headers) !event.headers["contenttype"].includes("multipart/formdata")) { return { 'statusCode': 200, 'headers': { 'ContentType': 'application/json' }, 'body': 'The request is not in multipart/formdata format.', }; } const busboy Busboy({ headers: event.headers }); let buf Buffer.alloc(0); busboy.on('file', function (fieldname, file, filename, encoding, mimetype) { logger.info('filename:' + JSON.stringify(filename)) file.on('data', function (data) { logger.info('Obtains ' + data.length + ' bytes of data.') buf Buffer.concat([buf, data]); }); file.on('end', function () { logger.info('End data reception'); }); }); busboy.on('finish', function () { //这里处理数据 logger.info(buf.toString()); return { 'statusCode': 200, 'headers': { 'ContentType': 'application/json' }, 'body': 'ok', }; }); //APIG（专享版）触发器默认对数据进行Base64编码，这里解码 const body Buffer.from(event.body, "base64"); var bodyStream new stream.PassThrough(); bodyStream.end(body); bodyStream.pipe(busboy); } 2. 配置函数依赖。 1. 制作依赖包。代码中选择busboy库解析上传的文件，需要生成Node.js14.18版本对应的依赖包busboy.zip。如果您使用Node.js语言其他版本，请制作对应版本的依赖包。 2. 创建依赖包。在左侧导航栏“函数 > 依赖包”管理页面，单击“创建依赖包”，配置完成后单击“确定”。 3. 添加依赖包。进入uploadfile1函数详情页面，在“代码”页签最底部，单击“添加依赖包”。在“私有依赖包”的包源中，选择上一步创建的busboy依赖包，单击“确定”，完成依赖包的添加。 3. 配置APIG（专享版）触发器。 1. 在uploadfile1函数详情页面，单击“设置 > 触发器”，开始创建触发器。 2. 单击“创建触发器”，触发器类型可以选择“API 网关服务(APIG 专享版)”。安全认证：此处为方便测试，配置“None”，实际业务请选择更安全的认证方式，例如IAM认证等。请求协议：选择“HTTPS”。请求方法：在下拉列表中根据需求选择。后端超时（毫秒）：默认5000毫秒。 4. 端到端测试：以curl工具为例（curl F的方式主要用的是linux环境），您也可以选择postman等其他工具，在本地创建app.log文件，内容自定义。执行如下命令测试： curl iv {APIG（专享版）触发器URL} F upload@/{本地文件路径}/app.log

本章节主要介绍添加网关 服务网关在微服务实践中可以做到统一接入、流量管控、安全防护、业务隔离等功能。 前提条件 服务网关使用弹性负载均衡服务（ELB）的负载均衡器提供网络访问，因此在添加网关前，请提前创建负载均衡。 创建负载均衡时，需要确保所属VPC与集群的VPC一致。 操作步骤 步骤 1 登录应用服务网格控制台，单击服务网格的名称，进入网格详情页面。 步骤 2 在左侧导航栏选择“网关管理”，单击“添加网关”。 步骤 3 配置网关参数。 网关名称 请输入网关的名称。由小写字母、数字和中划线（）组成，且必须以小写字母开头，小写字母或数字结尾，长度范围为4~59个字符。 集群选择 选择网关所属的集群。 负载均衡配置 服务网关使用弹性负载均衡服务（ELB）的负载均衡器提供网络访问，支持共享型和独享型规格，且支持公网和私网。 负载均衡实例需与当前集群处于相同VPC。 监听器配置 服务网关为负载均衡器配置监听器，监听器对负载均衡器上的请求进行监听，并分发流量。 对外协议 请根据业务的协议类型选择。支持HTTP、GRPC、TCP、TLS及HTTPS五种协议类型的选择。 对外端口 开放在负载均衡服务地址的端口，可任意指定。 TLS终止 配置TLS协议时，可选择开启/关闭TLS终止。开启TLS终止时需要绑定证书，以支持TLS数据传输加密认证；关闭TLS终止时，网关将直接转发加密的TLS数据。 密钥证书 配置TLS协议并开启TLS时，需要绑定证书，以支持TLS数据传输加密认证。 配置HTTPS协议时，需要绑定密钥证书。 TLS最低版本/TLS最高版本 配置TLS协议并开启TLS终止时，提供TLS最低版本/TLS最高版本的选择。 步骤 4（可选）配置路由参数。 请求的访问地址与转发规则匹配（转发规则由域名+URL组成，域名置空时，默认为ELB IP地址）时，此请求将被转发到对应的目标服务处理。单击图标，弹出“添加路由”对话框。 域名 请填写组件对外发布域名。不填时访问地址默认为负载均衡实例IP地址。如果您开启了TLS终止，则必须填写证书内认证域名，以完成SNI域名校验。 URL匹配规则 前缀匹配：例如映射URL为/healthz，只要符合此前缀的URL均可访问。例如/healthz/v1、/healthz/v2。 完全匹配：只有完全匹配上才能生效。例如映射URL为/healthz，则必须为此URL才能访问。 URL 服务支持的映射URL，例如/example。 命名空间 服务网关所在的命名空间。 目标服务 添加网关的服务，直接在下拉框中选择。 配置诊断失败的服务无法选择，需要先根据 手动修复项或 自动修复项进行修复。 访问端口 仅显示匹配对外协议的端口。 重写 重写HTTP URI和Host/Authority头，于转发前执行。默认关闭。 步骤 5 配置完成后，单击“确定”。 网关添加完成后，可前往“服务管理”页面，获取服务外网访问地址。

此章节为您介绍子CA的相关内容。 子CA证书是由根证书授权的次级证书颁发机构颁发的数字证书 。 新增子CA证书 1. 使用管理员账号登录数字证书认证系统。 2. 在左侧导航栏选择“机构管理 > 子CA管理”，进入“子CA管理”页面。 3. 单击“新增”开始新增子CA证书。 4. 单击“上传文件”上传证书文件并且选择所属的CA证书。 5. 根据需求选择是否使用模板，选择完成后单击“提交”即可完成子CA证书的新增。 后续操作 下载子CA证书：选择需要下载的子CA证书，单击“操作”列的“下载”按钮，即可下载子CA证书信息。 注销子CA证书：选择需要注销的子CA证书，单击“操作”列的“注销”按钮，即可注销子CA证书信息。

本文介绍科研助手的约束与限制。 开通限制 首先，您的账户需要通过实名认证；其次，如果您的账户是预付费模式，账户需要有100元现金余额或者代金券，否则无法开通科研助手服务。 区域限制 当前共享资源池仅支持在华南一区区域，其他区域请持续关注。 配额限制 使用科研助手时，需注意默认区域有配额限制，具体如下表所示。如果默认区域或者配额不能满足业务使用，可通过工单申请或联系客户经理调整区域和配额。 分类 限制数量 单位 CPU 500 核 内存 1000 GB GPU 100 块 SFS存储 500 GB

限制项 限制说明 创建专有宿主机的用户限制 完成天翼云账号注册与实名认证。 专有宿主机及其上云主机的计费方式 专有宿主机：支持包年包月与按量两种计费方式。 其上云主机：专有宿主机上云主机的计算资源（vCPU和内存）不计费，与云主机一同创建的云盘、IP等资源按量计费。 专有宿主机上云主机的配额 专有宿主机上云主机的配额与共享宿主机上云主机的配额均占用“云主机服务配额”，若云主机服务配额不足，请前往服务配额中心申请扩大配额。

限制项 限制说明 创建专有宿主机的用户限制 完成天翼云账号注册与实名认证。 专有宿主机及其上云主机的计费方式 专有宿主机：支持包年包月与按量两种计费方式。 其上云主机：专有宿主机上云主机的计算资源（vCPU和内存）不计费，与云主机一同创建的云盘、IP等资源按量计费。 专有宿主机上云主机的配额 专有宿主机上云主机的配额与共享宿主机上云主机的配额均占用“云主机服务配额”，若云主机服务配额不足，请前往服务配额中心申请扩大配额。

本页介绍天翼云TeleDB数据库登录操作。 未登录状态，只能看到TeleDB资源全生命周期管理模块首页，当单击操作按钮会跳转到登录页，资源全生命周期管理模块登录方式有两种，常规登录和LDAP登录。常规登录是资源全生命周期管理模块自身用户体系，可新建租户、用户、角色权限，还可基于通用LDAP协议做用户登录认证。登录需要填写用户账号、密码及验证码，登录后默认为最新创建的租户，可在头部菜单栏进行租户切换。

参数示例 参数填写说明 参数举例 DDMSERVERADDRESS DRDS实例所在IP地址。 192.168.0.200 DDMSERVERPORT DRDS实例连接端口。 5066 DDMUSER DRDS实例账号。 dbuser01 DDMDBNAME DRDS实例逻辑库名，选填。 defaultcharactersetutf8 指定字符编码为UTF8，选填。 当MySQL连接编码和实际编码不一致，导致DRDS解析出现乱码时请配置该参数。 defaultauthmysqlnativepassword 默认使用密码认证插件，选填。 ssl 使用SSL加密连接，需要先开启SSL，选填。

优势 概括词 简介文案 丰富 域名种类丰富 天翼云域名服务提供了丰富的域名种类供用户注册，可以提供中文、英文等几十种域名类型。 实时 实时注册 天翼云域名服务在注册时直连注册管理机构API，实现实时的注册和查询服务。 管理 完善的域名管理 在域名管理中心您可看到域名注册日期、到期日期、DNS配置、实名认证、域名证书信息等 安全 安全可信 天翼云域名服务提供一个安全可信的域名服务平台，保障用户个人隐私数据安全 性价比 高性价比 天翼云域名服务致力于让用户花最少的钱，为用户提供最好的产品和最优质的服务。

本节介绍如何删除QoS策略。 操作场景 用户删除已创建的QoS策略。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成QoS策略的创建，且QoS策略没有关联智能网关实例。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“QoS策略”，单击目标QoS策略“操作”列的“删除”。 5. 单击“确定”，完成QoS策略删除。

本节主要介绍AK/SK获取方法 操作步骤 1、登录天翼云控制台。 2、鼠标移动到右上角用户名，在下拉菜单选择“我的凭证”。 3、在导航栏，单击“管理访问密钥”页签。 4、单击“新增访问密钥”，通过身份认证后成功创建AK/SK。 5、单击“立即下载”。 下载成功后，在credentials文件中获取AK和SK信息: Access Key Id的值即为AK。 Secret Access Key的值即为SK。 注意 • 每个用户仅允许保留2个有效的访问秘钥。 • 为保证访问密钥的安全，访问密钥仅在初次生成时自动下载，后续不可再次通过管理控制台界面获取。请妥善保管访问密钥。

本章节为您介绍证书密钥恢复的相关内容。 按照CA标准规范要求，CA需要提供加密证书密钥对恢复功能。安全的恢复加密密钥对到安全存储介质，例如USBKey。 密钥恢复功能有密钥恢复申请和密钥恢复审核组成。其中，密钥恢复申请需要注册操作员权限，密钥恢复审核需要审核操作员权限。 注意 密钥恢复暂不支持ECDSA算法。 操作步骤 1. 使用操作员账户登录数字证书认证系统。 2. 在左侧导航栏选择“密钥恢复 ”，根据您自身的需求选择“有效证书密钥恢复”、“过期证书密钥恢复”或“注销证书密钥恢复”。 3. 进入对应的密钥恢复页面，选择需要恢复密钥的证书，单击“操作”列的“恢复”按钮。 4. 根据弹窗提示插入UKEY设备，选择UKEY类型并输入口令，恢复成功后加密密钥将保存到UKEY中。

前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 已创建路径分析实例。 操作步骤 1. 登录控制中心，进入网络控制台页面。 2. 在控制中心页面左上角选择对应区域，本文我们选择庆阳2。 3. 在左侧导航栏，选择“路径分析”选项，进入路径分析列表页。 4. 在路径分析列表页面，选定要删除的路径分析实例，点击“删除”按钮，即可删除对应路径分析实例。 注意 删除路径分析实例时，会同步删除路径分析实例下所有的路径分析报告，且无法恢复。

参数 参数说明 节点规格 重置节点时不支持修改节点规格。 容器引擎 CCE集群支持Docker，1.23起CentOS、Ubuntu支持Containerd。 操作系统 公共镜像：请选择节点对应的操作系统。 登录方式 密码 用户名默认为“root”，请输入登录节点的密码，并确认密码。登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 密钥对 选择用于登录本节点的密钥对，支持选择共享密钥。密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。

本章介绍云监控的权限管理。 如果您需要对云服务平台上的云监控服务资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云服务资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制他们对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有云监控服务的使用权限，但是不希望他们拥有删除其他云服务资源等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云监控服务，但是不允许删除其他云服务资源的权限策略，控制他们对其他云服务资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云监控服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见《统一身份认证服务》。 云监控服务权限 默认情况下，新建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云监控服务部署时通过物理区域划分，为项目级服务，需要在各区域对应的项目中设置策略，并且该策略仅对此项目生效，如果需要所有区域都生效，则需要在所有项目都设置策略。访问云监控服务时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对云监控服务，管理员能够控制IAM用户仅能对某一类云监控资源进行指定的管理操作。 如下表所示，包括了云监控服务的所有系统权限。 表 云监控服务系统权限 系统角色/策略名称 描述 类别 依赖关系 CES FullAccessPolicy 云监控服务的全部权限，拥有该权限可以操作云监控服务的全部权限。 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用，支持细粒度授权的云服务列表请参考:统一身份认证帮助中心中“使用IAM授权的云服务”章节。 告警通知：依赖SMN服务的SMN FullAccess。 配置数据转储：依赖OBS服务的OBS OperateAccess。 CES ReadOnlyAccessPolicy 云监控服务的只读权限，拥有该权限仅能查看云监控服务的数据。 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用 CES AgentAccess CES Agent正常运行所需的必要权限。 系统策略 无。 CES Administrator 云监控服务的管理员权限。 系统角色 依赖Tenant Guest策略。 Tenant Guest：全局级策略，在全局项目中勾选。 CES FullAccess 云监控服务的全部权限，拥有该权限可以操作云监控服务的全部权限。 说明 CES FullAccess不满足权限最小化原则，后续不推荐使用，建议使用CES FullAccessPolicy 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用统一身份认证帮助中心中“使用IAM授权的云服务”章节。 告警通知：依赖SMN服务的SMN FullAccess。 配置数据转储：依赖OBS服务的OBS OperateAccess。 CES ReadOnlyAccess 云监控服务的只读权限，拥有该权限仅能查看云监控服务的数据。 说明 CES ReadOnlyAccess不满足权限最小化原则，后续不推荐使用，建议使用CES ReadOnlyAccessPolicy 系统策略 云服务监控功能涉及需要查询其他云服务的实例资源，该策略中已包含部分云服务的资源查询权限，如在使用中遇到权限问题，需要配置涉及服务的细粒度授权特性，才可以正常使用统一身份认证帮助中心中“使用IAM授权的云服务”章节。 下表列出了云监控服务常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 功能 操作 CES FullAccessPolicy CES ReadOnlyAccessPolicy CES Administrator （需同时添加Tenant Guest策略） Tenant Guest 监控概览 查看监控概览 √ √ √ √ 监控概览 查看监控大屏 √ √ √ √ 监控大盘 创建监控大盘 √ × √ × 监控大盘 查看监控大盘 √ √ √ √ 监控大盘 查看监控大屏 √ √ √ √ 监控大盘 添加监控视图 √ × √ × 监控大盘 查看监控视图 √ √ √ √ 监控大盘 修改监控视图 √ × √ × 监控大盘 删除监控视图 √ × √ × 监控大盘 调整监控视图位置 √ × √ × 监控大盘 删除监控大盘 √ × √ × 我的看板 创建我的看板 √ × √ × 我的看板 查看监控大屏 √ √ √ √ 我的看板 查看我的看板 √ √ √ √ 我的看板 删除我的看板 √ × √ × 我的看板 添加监控视图 √ × √ × 我的看板 查看监控视图 √ √ √ √ 我的看板 修改监控视图 √ × √ × 我的看板 删除监控视图 √ × √ × 我的看板 调整监控视图位置 √ × √ × 资源分组 创建资源分组 √ × √ × 资源分组 查看资源分组列表 √ √ √ √ 资源分组 查看资源分组（资源概览） √ √ √ √ 资源分组 查看资源分组（告警规则） √ √ √ √ 资源分组 修改资源分组 √ × √ × 资源分组 删除资源分组 √ × √ × 告警规则 创建告警规则 √ × √ × 告警规则 修改告警规则 √ × √ × 告警规则 启用告警规则 √ × √ × 告警规则 停用告警规则 √ × √ × 告警规则 删除告警规则 √ × √ × 告警规则 导出告警规则 √ √ √ × 告警规则 查看告警规则列表 √ √ √ √ 告警规则 查看告警规则详情 √ √ √ √ 告警规则 查看监控图表 √ √ √ √ 告警记录 查看告警记录 √ √ √ √ 告警记录 查看监控详情 √ √ √ √ 告警记录 屏蔽告警 √ × √ × 告警记录 手动恢复告警记录 √ × √ × 告警模板 查看默认告警模板 √ √ √ √ 告警模板 查看自定义告警模板 √ √ √ √ 告警模板 创建自定义告警模板 √ × √ × 告警模板 修改自定义告警模板 √ × √ × 告警模板 删除自定义告警模板 √ × √ × 主机监控 查看主机列表 √ √ √ √ 主机监控 查看主机监控指标 √ √ √ √ 主机监控 安装Agent √（需同时拥有ECS FullAccess权限） × √（需同时拥有ECS FullAccess权限） × 主机监控 修复插件配置 √（需同时拥有Security Administrator、ECS FullAccess权限） × √（需同时拥有Security Administrator、ECS FullAccess权限） × 主机监控 卸载Agent √（需同时拥有ECS FullAccess权限） × √（需同时拥有ECS FullAccess权限） × 主机监控 配置进程监控 √ × √ × 主机监控 配置自定义进程监控 √ × √ × 云服务监控 查看云服务列表 √（涉及云服务需要支持细粒度授权特性，参考：《统一身份认证用户指南》中“使用IAM授权的云服务”章节） √（涉及云服务需要支持细粒度授权特性，参考：《统一身份认证用户指南》中“使用IAM授权的云服务”章节） √ √ 云服务监控 查看云服务监控指标 √ √ √ √ 自定义监控 添加自定义监控数据 √ × √ × 自定义监控 查看自定义监控列表 √ √ √ √ 自定义监控 查看自定义监控数据 √ √ √ √ 事件监控 添加自定义事件 √ × √ × 事件监控 查看事件列表 √ √ √ √ 事件监控 查看事件详情 √ √ √ √ 数据转储到DMS Kafka 创建数据转储任务 √ × √ × 数据转储到DMS Kafka 查询数据转储任务列表 √ √ √ √ 数据转储到DMS Kafka 查询指定数据转储任务 √ √ √ √ 数据转储到DMS Kafka 修改数据转储任务 √ × √ × 数据转储到DMS Kafka 启动数据转储任务 √ × √ × 数据转储到DMS Kafka 停止数据转储任务 √ × √ × 数据转储到DMS Kafka 删除数据转储任务 √ × √ × 其他 配置数据转储 √（需同时拥有OBS Bucket Viewer权限） × √（需同时拥有Tenant Administrator权限） × 其他 导出监控数据 √ √ √ × 其他 发送告警通知 √ × √ ×

退订服务器是否影响现有程序运行？ 问题描述 退订服务器是否影响现有程序运行？ 解决方法 容器部署，退订服务器后服务实例将会在CCE集群内重新调度。 如何处理开启了安全认证的微服务引擎专享版开启IPv6后服务注册失败？ 问题描述 基于Java Chassis开发的微服务注册到开启了安全认证的微服务引擎专享版，微服务的注册发现地址使用微服务引擎服务注册发现的IPv4地址，可以注册成功并正常启动。 如果修改微服务的注册发现地址为微服务引擎注册发现的IPv6地址后，注册失败并报错“java.net.SocketException: Protocol family unavailable”。 可能原因 创建微服务引擎专享版时，当选择开启了IPv6的VPC网络时，创建引擎支持IPv6网络。当部署服务使用IPv6网段且选择容器部署时，选择的CCE集群需要开启IPv6双栈开关。 如果选择的CCE集群资源没有开启IPv6开关，就会导致服务网络不通，报错“java.net.SocketException: Protocol family unavailable”。 解决方法 步骤 1 修改部署了微服务应用的环境，添加开启了“IPv6双栈”开关的CCE集群。 修改环境，请参考。 步骤 2 重新部署应用，请参考。 如何处理操作微服务引擎专享版时遇到非微服务引擎本身错误？ 问题描述 在对微服务引擎专享版执行创建、删除、变更规格、升级等操作时，可能会遇到非微服务引擎本身的错误。 例如，在创建微服务引擎专享版时，集群部署失败，报错如下： {"errorcode":"SVCSTG.00500400","errormessage":"{"kind":"Status","apiVersion":"v1","metadata":{},"status":"Failure","code":400,"errorCode":"CCE.01400013","errorMessage":"Insufficient volume quota.","errorcode":"CCECM.0307","errormsg":"Volume quota is not enough","message":"volume quota checking failed as [60/240] insufficient volume size quota","reason":"QuotaInsufficient"}"} 解决方法 页面上展示的错误信息中已经包含相应服务的错误码，根据错误码和错误信息联系相应服务的技术支持工程师提供支持。

产品名称 功能简述 版本 资产数/性能指标 月付价格（元/月） 年付价格（元/年） 数据分类分级 提供流程化、开放化的数据分类分级能力 标准版 4资产 4000 40000 数据分类分级 提供流程化、开放化的数据分类分级能力 标准版 8资产 7600 76000 数据分类分级 提供流程化、开放化的数据分类分级能力 标准版 16资产 14800 148000 数据分类分级 提供流程化、开放化的数据分类分级能力 标准版 32资产 29200 292000 数据脱敏与水印 提供数据脱敏与水印溯源能力，仅允许脱敏基本数据库类型 标准版 4资产 3000 30000 数据脱敏与水印 提供数据脱敏与水印溯源能力，仅允许脱敏基本数据库类型 标准版 8资产 5800 58000 数据脱敏与水印 提供数据脱敏与水印溯源能力，仅允许脱敏基本数据库类型 标准版 16资产 11400 114000 数据脱敏与水印 提供数据脱敏与水印溯源能力，仅允许脱敏基本数据库类型 标准版 32资产 22600 226000 数据脱敏与水印 提供数据脱敏与水印溯源能力，允许脱敏基本数据库+国产数据库 高级版 4资产 4500 45000 数据脱敏与水印 提供数据脱敏与水印溯源能力，允许脱敏基本数据库+国产数据库 高级版 8资产 8900 89000 数据脱敏与水印 提供数据脱敏与水印溯源能力，允许脱敏基本数据库+国产数据库 高级版 16资产 17700 177000 数据脱敏与水印 提供数据脱敏与水印溯源能力，允许脱敏基本数据库+国产数据库 高级版 32资产 35300 353000 数据脱敏与水印 提供数据脱敏与水印溯源能力，允许脱敏基本数据库、国产数据库、大数据组件 企业版 4资产 6000 60000 数据脱敏与水印 提供数据脱敏与水印溯源能力，允许脱敏基本数据库、国产数据库、大数据组件 企业版 8资产 11600 116000 数据脱敏与水印 提供数据脱敏与水印溯源能力，允许脱敏基本数据库、国产数据库、大数据组件 企业版 16资产 22800 228000 数据脱敏与水印 提供数据脱敏与水印溯源能力，允许脱敏基本数据库、国产数据库、大数据组件 企业版 32资产 45200 452000 数据库安全网关 提供数据库准入、访问控制、攻击防护、动态脱敏、 运维审批等多种能力 标准版 4资产 6000 60000 数据库安全网关 提供数据库准入、访问控制、攻击防护、动态脱敏、 运维审批等多种能力 标准版 8资产 11600 116000 数据库安全网关 提供数据库准入、访问控制、攻击防护、动态脱敏、 运维审批等多种能力 标准版 16资产 22800 228000 数据库安全网关 提供数据库准入、访问控制、攻击防护、动态脱敏、 运维审批等多种能力 标准版 32资产 45200 452000 API安全网关 提供API的创建、维护、监控、发布、参数校验等API生命周期管理功能和API的攻击防护、访问控制、动态脱敏、数据水印、身份认证等API安全防护能力 标准版 2000TPS 2950 29500 API安全网关 提供API的创建、维护、监控、发布、参数校验等API生命周期管理功能和API的攻击防护、访问控制、动态脱敏、数据水印、身份认证等API安全防护能力 高级版 4000TPS 7950 79500 API安全网关 提供API的创建、维护、监控、发布、参数校验等API生命周期管理功能和API的攻击防护、访问控制、动态脱敏、数据水印、身份认证等API安全防护能力 企业版 6000TPS 11950 119500 API安全网关 提供API的创建、维护、监控、发布、参数校验等API生命周期管理功能和API的攻击防护、访问控制、动态脱敏、数据水印、身份认证等API安全防护能力 旗舰版 20000TPS 57000 570000 API风险监测 自动分析业务系统API中可被利用的脆弱性，实时监测用户异常访问数据行为，并且支持在泄漏发生时进行溯源分析，全方面守护API数据安全 标准版 2000TPS 2950 29500 API风险监测 自动分析业务系统API中可被利用的脆弱性，实时监测用户异常访问数据行为，并且支持在泄漏发生时进行溯源分析，全方面守护API数据安全 高级版 4000TPS 7950 79500 API风险监测 自动分析业务系统API中可被利用的脆弱性，实时监测用户异常访问数据行为，并且支持在泄漏发生时进行溯源分析，全方面守护API数据安全 企业版 6000TPS 11950 119500 API风险监测 自动分析业务系统API中可被利用的脆弱性，实时监测用户异常访问数据行为，并且支持在泄漏发生时进行溯源分析，全方面守护API数据安全 旗舰版 20000TPS 57000 570000 数据安全运营中心 全面了解敏感数据的分类和分级，监控数据的流向和路径，集中管理数据安全策略，实现对数据分布、流转和访问过程中的态势呈现和风险识别 标准版 / 10000 100000

示例 示例1 单机版本地卷：创建卷lun1，容量为10 GiB，Target为target1，卷数据存储在数据目录/mnt/storage01上。 plaintext [root@hblockserver CTYUNHBlockPlus3.7.0x64] ./stor lun add n lun1 t target1 p 10 P /mnt/storage01 Created LUN lun1 successfully. 示例2 集群版本地卷：创建卷lun1，容量为10 GiB，Target为target1，卷冗余模式为3copy。 plaintext [root@hblockserver CTYUNHBlockPlus3.7.0x64] ./stor lun add n lun1 t target1 p 10 c 3copy Created LUN lun1 successfully. 示例3 集群版本地卷：创建卷lun01a，容量为100 GiB，Target为target01，卷冗余模式为EC 2+1，分片为32 KiB。 plaintext [root@hblockserver CTYUNHBlockPlus3.7.0x64] ./stor lun add n lun01a t target01 c EC 2+1 ecfragmentsize 32 p 100 Created LUN lun01a successfully. 示例4 单机版上云卷：创建卷luna2，容量为110 GiB，Target为targeta，卷的存储类型为Storage，使用V4签名认证，存储前缀为hblock。 plaintext [root@hblockserver CTYUNHBlockPlus3.7.0x64] ./stor lun add n luna2 t targeta p 110 m Storage B hblocktest3 E ooscn.ctyunapi.cn A cb22b08b1f9229f85874 S signversion v4 region cn X hblock Created LUN luna2 successfully. 示例5 集群版上云卷：创建卷lun03a，容量为1000 GiB，Target为target03，卷冗余模式为EC 2+1，分片为32 KiB，卷的存储类型为Cache，使用V4签名认证。 plaintext [root@hblockserver CTYUNHBlockPlus3.7.0x64] ./stor lun add n lun03a t target03 c EC 2+1 ecfragmentsize 32 p 1000 m Cache B hblocktest1 E ooscn.ctyunapi.cn A 9fe711b8b89ad73c2a46 S signversion v4 region cn Created LUN lun03a successfully.

分布式消息Kafka使用SASL 认证协议来实现身份验证的能力，加密的主题需要经过身份校验才能正常地消费和生产消息。 1. 创建用户并配置用户权限 进入应用用户管理界面，新建用户，并给用户添加主题和消费组的权限，并且下载密钥。详细操作可以查看用户指南创建应用用户。 2. 运行生产者客户端 如下是Java客户端代码示例，注意修改内容（用户、密码、接入地址、主题名称）。 3. 运行消费者客户端 如下是Java客户端代码示例，注意修改内容（用户、密码、接入地址、消费组名称、主题名称）。

本页介绍了如何创建数据库账户。 文档数据库服务产品支持在管理控制台直接创建数据库账户。 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”菜单，进入实例列表页。 3. 选择需要创建数据库账户的实例，点击该实例的实例ID，进入实例详情页。 4. 点击“账户管理”进入到账户管理页。 5. 点击左上角的“创建账户”按钮，会弹出“创建账户”弹窗页。 6. 在“创建账户”弹窗页中，用户可以根据实际业务，依次对账户名、认证库、密码、赋予权限等选项进行补充。 7. 需要创建的账户信息确认后，点击弹窗页的“确定”按钮，即可完成数据库账户的创建。

本节将为您介绍如何删除已创建的访问控制。 操作场景 用户删除已创建的访问控制。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成访问控制的创建，且访问控制没有关联智能网关实例。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“访问控制”，单击目标访问控制“操作”列的“删除”。 5. 单击“确定”完成删除。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 dmslink 服务类型 选择DMS Kafka版本，目前只有专享版。 专享版 Kafka Broker Kafka专享版实例的地址，格式为host:port。 Kafka SASLSSL 选择是否打开客户端连接Kafka专享版实例时SSL认证的开关。 开启Kafka SASLSSL，则数据加密传输，安全性更高，但性能会下降。 是 用户名 开启Kafka SASLSSL时显示该参数，表示连接DMS Kafka的用户名。 密码 开启Kafka SASLSSL时显示该参数，表示连接DMS Kafka的密码。

对已有子账户授权并使用 如果您已提前创建好子账户，希望通过子账户创建开通实例并进行账户的权限控制，可按照如下步骤进行： 操作步骤 1. 进入天翼云官网，通过主账号登录，登入后，右上角选择【我的】，点击【账号中心】，进入个人中心界面。 2. 在左侧导航栏点击【统一身份认证】，进入统一认证服务IAM。 3. 在左侧导航栏点击【用户】页签，在用户列表中找到目标子用户，点击操作列的【查看】按钮。 4. 点击【所属用户组】页签，可查看当前子用户所属用户组。 5. 点击【添加到用户组】按钮，在列表中找到目标用户组，点击【添加】按钮，可在【已选用户组】中看到选择的用户组，点击【移除】按钮可进行移除。点击【确定】按钮，完成添加到用户组操作。 6. 将子用户添加到用户组之后，同样需要将用户组添加到企业项目中，并对用户组设置策略。参考上文中步骤7步骤11。 注意 新建子用户后，需要将子用户添加至用户组，并将用户组添加至企业项目中，对企业项目中用户组设置策略，才可进行权限控制与使用。

本文主要介绍如何开启使用AOne会议服务。 前提条件 已开通AOne会议服务。如何开通，请参见：开通AOne会议服务。 操作步骤 按照以下步骤完成初始配置，即可开始使用AOne会议： 步骤 操作内容 操作指引 1 登录会议控制台 进入客户控制台 2 设置企业标识。首次订购使用AOne会议或订单已销毁后重新订购，需要先设置企业标识。企业标识为登录客户端的重要标识，建议使用企业名称等方便企业办公终端用户记忆的信息作为企业认证标识，暂不允许控制台修改，若有需要可提交工单进行配置。 设置企业标识 3 添加用户和组织。为确保企业登录AOne会议客户端人员身份合法性，以及提升企业办公安全性，企业员工在登录AOne会议客户端时需要进行身份认证。因此需要先创建用户与组织信息，在该列表的用户才可登录使用AOne会议。 用户管理 4 提交工单完成会议配置。完成用户组织添加后，请提交工单联系我们的技术团队，以完成会议配置的下发。 —— 5 设置高级账号和云录制空间配额。步骤3中新增的用户默认为免费账号，仅可加入会议，不支持发起会议。若用户需要发起会议，请在资源管理模块为其分配高级账号与云录制空间配额。若高级账号用户的云空间配额为0，则其发起的会议将无法使用云录制功能。 资源管理 6 登录使用AOne会议。在导入列表中的用户，属于企业用户，可直接下载AOne会议客户端并登录使用。没有在导入列表中的用户如果需要加入会议，则需要自行注册个人用户账号后再登录。 下载登录AOne会议 免费注册个人用户账号

将testuser加入wheel组 usermod aG wheel testuser 刷新组 newgrp wheel su 4. 填写完成后单击“提交”即成功新增资产账号。 导入资产账号 1. 使用“管理角色”账户登录云堡垒机系统。 2. 在左侧导航栏选择“资产管理 > 资产账号”，进入“资产账号”页面。 3. 单击“导入”按钮，在弹出的对话框中下载导入文件模板。 4. 在导入文件模板中填写内容，填写完成后保存文件。 模版参数说明： 分类 参数 参数说明 取值样例 资产信息 资产名称 填写需添加资产账号的资产名（资产名需和堡垒机控制台上显示的一致），请确保待添加的账号可以正常登录该资产。 多个资产用英文逗号“,”隔开。 Test 账号信息 账号名 填写可登录资产的账号名，例如：Administrator。 root 账号信息 密码 （可选）输入正确的账号密码。若不输入密码，则在登录资产时需要填写正确的密码才可登录。 账号信息 协议 （可选）请选择资产的协议，支持填写：SSH、TELNET、SFTP、FTP、X11、RDP和数据库。 多个协议用英文逗号“,”隔开。 账号信息 状态 （可选）选择账号当前的状态，支持“正常”和“冻结”，导入模板时若不填写该项，默认为“冻结”状态 正常 账号信息 私钥 （可选）若账户登录需要使用私钥验证，你上传的私钥认证优先级高于密码认证。 多层登入配置 二次登录 该功能主要用于配置不允许直接登录的特权账号（例如 root），实现免密提权。 开启二次登录，并配置源账号名、切换命令，可将源账号提权为特权账号。 说明 仅ssh、telnet协议支持配置二次登录。 是 多层登入配置 源账号名 选择已配置的资产账号作为源账号（例如 testuser），二次登录场景将由该源账号提权为特权账号。 testuser 5. 单击“选取文件”，上传已填写完成的导入文件。若文件已加密，还需填写文件解密密码。 6. 单击“提交”，完成资产账号导入。