枚举参数 无 请求示例 请求url 请求头header 无 请求体body 无 响应示例 请求成功示例： { "statusCode": 200, "message": "success", "returnObj": [ { "id": "1848620195079360514", "clusterId": "e7afb3bd9d7117d116893c03a352f4e3", "payType": 1, "nodeGroupType": "MASTER", "nodeGroupName": "master", "imageId": "35e905b296f3449da56989bad1b419c5", "hostNum": 3, "computeSpecificationId": 98, "iaasVmSpecCode": "s7.2xlarge.4", "cpuNum": 8, "memory": 32, "diskSpecificationList": "[{"diskFunction":"SYSTEM","diskFunctionName":"系统盘","diskType":"cloud","diskTypeName":"云硬盘","ioType":"SATA","ioTypeName":"普通IO","volume":80,"diskNum":1},{"diskFunction":"DATA","diskFunctionName":"数据盘","diskType":"cloud","diskTypeName":"云硬盘","ioType":"SATA","ioTypeName":"普通IO","volume":80,"diskNum":1}]", "createTime": 1729580375000, "updateTime": 1730021300000, "mountPublicIp": false, "iaasVmSpecId": "b307034dcbc327bb24f7a97565814236", "highest": null }, { "id": "1848620195091943425", "clusterId": "e7afb3bd9d7117d116893c03a352f4e3", "payType": 1, "nodeGroupType": "CORE", "nodeGroupName": "core1", "imageId": "35e905b296f3449da56989bad1b419c5", "hostNum": 3, "computeSpecificationId": 98, "iaasVmSpecCode": "s7.2xlarge.4", "cpuNum": 8, "memory": 32, "diskSpecificationList": "[{"diskFunction":"SYSTEM","diskFunctionName":"系统盘","diskType":"cloud","diskTypeName":"云硬盘","ioType":"SATA","ioTypeName":"普通IO","volume":80,"diskNum":1},{"diskFunction":"DATA","diskFunctionName":"数据盘","diskType":"cloud","diskTypeName":"云硬盘","ioType":"SATA","ioTypeName":"普通IO","volume":80,"diskNum":1}]", "createTime": 1729580375000, "updateTime": 1730021300000, "mountPublicIp": false, "iaasVmSpecId": "b307034dcbc327bb24f7a97565814236", "highest": null }, { "id": "1848620195100332034", "clusterId": "e7afb3bd9d7117d116893c03a352f4e3", "payType": 1, "nodeGroupType": "TASK", "nodeGroupName": "task1", "imageId": "35e905b296f3449da56989bad1b419c5", "hostNum": 1, "computeSpecificationId": 98, "iaasVmSpecCode": "s7.2xlarge.4", "cpuNum": 8, "memory": 32, "diskSpecificationList": "[{"diskFunction":"SYSTEM","diskFunctionName":"系统盘","diskType":"cloud","diskTypeName":"云硬盘","ioType":"SATA","ioTypeName":"普通IO","volume":80,"diskNum":1},{"diskFunction":"DATA","diskFunctionName":"数据盘","diskType":"cloud","diskTypeName":"云硬盘","ioType":"SATA","ioTypeName":"普通IO","volume":80,"diskNum":1}]", "createTime": 1729580375000, "updateTime": 1730021300000, "mountPublicIp": false, "iaasVmSpecId": "b307034dcbc327bb24f7a97565814236", "highest": null } ] } 验签失败示例： { "statusCode": 500, "error": "EMR401000", "message": "OpenAPI认证失败", "returnObj": {} } 请求参数值无效示例： { "statusCode": 500, "error": "EMR401002", "message": "请求参数值无效", "returnObj": "{"clusterId":"不能为空"}" } 查询无权限的集群示例： { "statusCode": 500, "error": "EMR401004", "message": "非法操作", "returnObj": {} } 非运行集群无法查看示例： { "statusCode": 500, "error": "EMR401006", "message": "非运行中集群无法查看信息", "returnObj": {} }

客户端打开后要求输入的企业标识如何获取？ 企业认证标识是登录客户端的重要凭证，建议采用自身公司身份相关的进行定义。 可登录边缘安全加速平台对应控制台企业服务进行获取。 问题故障分析 部署连接器后，仍然显示连接器“未激活”，如何定位排查？ 确认是否连接器能对外联网。 确认连接器是否对外网络出方向有进行防火墙限制，若有，需放开对应端口的网络出口访问。 客户端网络正常，但是客户端访问内部系统失败可能是什么原因？ 访问失败存在很多场景，以下列举几种常见情况，如未找到有效解决方式，请联系我们。 检查客户端是否处于在线状态，若非在线状态，则隧道连接已断开，无法访问内部系统。 检查应用是否针对该用户已授权，若未授权，则无法进行访问。 检查应用类型是否选择错误，如ssh 协议选择Web类型应用，则可能导致访问出现异常。 查询内网审计日志，判断是否被零信任网关拦截。 检查应用与连接器是否处于连通状态，可通过连接器机器telnet对应的应用ip和端口，确认是否是连接器与应用无法连通导致。 客户端短信验证码收不到如何解决？ 若您选择将手机号直接设置为登录账号，发送账号新增通知时，短信会携带手机号则短信存在被运营商拦截的风险，可能导致您无法正常接收。这是因为运营商为防范诈骗风险，会对含 "手机号”的短信进行严格校验，易触发拦截规则。 其他情况下若未收到短信，您可按以下方式排查： 检查平台手机号填写准确性，若填写错误可修正后尝试； 检查手机系统的「骚扰拦截箱」或「垃圾短信箱」（如华为手机在【安全中心 骚扰拦截】中查看，小米手机在【手机管家 骚扰拦截】中查询）； 查看第三方安全软件（如手机管家）的拦截记录，确认是否存在误拦截情况； 联系手机号所属运营商（移动 10086 / 联通 10010 / 电信 10000）查询短信发送状态。

本文介绍如何购买云防火墙。 前提条件 已注册天翼云账号并完成实名认证。 操作步骤 1. 在天翼云官网首页选择“产品 > 安全及管理 > 网络安全 > 云防火墙”，进入云防火墙产品详情页，单击“立即开通”，进入云防火墙产品购买页面。 或登录天翼云控制中心，在产品服务列表页选择“网络安全 > 云防火墙”，进入云防火墙概览页面，单击“购买云防火墙”，进入云防火墙产品购买页面。 2. 配置购买相关参数。 参数名称 参数说明 扩展防护公网IP数 选择需扩展的防护公网IP数，可选择范围：0~2000个。 说明 此处为套餐外购买数量，例如标准版防护公网IP数默认20个（套餐内费用包含），如果您的公网IP是65个，那么只需要填写45个。 扩展防护流量峰值 选择需扩展的防护流量峰值，可选择范围：0~2000Mbps/月（需为5的整数倍）。 说明 此处为套餐外购买流量值，例如标准版防护互联网边界流量峰值默认10Mbps/月（套餐内费用包含），如果您的防护流量是200Mbps/月，那么只需要填写190Mbps/月。 扩展防护流量峰值是所有EIP防护带宽叠加的峰值。 防火墙名称 设置当前防火墙的名称。 命名规则如下： 可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）、空格和特殊字符（）。 长度支持148个字符。 购买时长 自主选择购买时长。 选择时长后，可勾选“自动续费”，若您勾选“自动续费”，则在服务到期前，系统会自动按照购买周期生成续费订单并进行续费，无需手动续费。 3. 点击“立即购买”，进入付款订单确认页面。 4. 确认订单详情。您需要确认区域、防护公网IP数、公网流量处理能力、购买时长和总价等信息，确认后单击“确认订购”后即可完成订购。若未确认则单击“上一步”返回订购页面重新选择。 订购成功后即可在“配额管理”页面查看已购买的云防火墙配额。

这节主要介绍Account、Service、Bucket、Object的概念。 对象存储（经典版）Ⅰ型的主要概念有： Account（账户）：用户登录时OOS使用的账户。 Service（服务）：OOS为注册成功用户提供的服务。 Object（文件）：用户存储在OOS上的每个文件都是一个Object。 Bucket（存储桶）：存储Object的容器。 它们之间的关系如下所示。 在使用OOS之前，首先需要在天翼云网站www.ctyun.cn注册一个Account（账户）。注册成功之后，联系天翼云客服工作人员开通OOS服务，OOS会为该账户提供服务（Service），在该服务下，用户可以创建1个或多个Bucket（存储桶），每个存储桶中可以存储不限数量的Object（文件）。 Account 在使用OOS之前，需要在天翼云网站www.ctyun.cn注册一个Account（账户）。注册时邮箱、密码和手机号码是必填项。正确填写所需信息并进行实名认证之后，联系天翼云客服人员（客服电话：4008109889）申请开通OOS服务。开通OOS服务成功之后，用户可以用该账户登录并使用OOS服务。 Service Service是OOS为注册成功用户提供的服务，该服务为用户提供弹性可扩展的存储空间，用户可以根据自己的业务需要建立1至10个的存储桶（Bucket）。 Bucket 存储桶（Bucket）是存储文件（Object）的容器。对象存储的每个文件（Object）都必须包含在一个存储桶中。对象存储提供的是基于桶和文件的扁平化存储方式，桶中的所有文件都处于同一逻辑层级，去除了文件系统中的多层级树形目录结构。 您可以设置存储桶的属性，用来控制数据存储位置、访问权限、生命周期等，这些属性设置直接作用于该存储桶内的所有文件，因此您可以通过灵活的属性设置，来创建不同的存储桶，完成不同的管理功能。每个用户最多可以建立10个存储桶。用户只有对Bucket拥有相应的权限，才可以对其进行操作，这样保证了数据的安全性，防止非授权用户的非法访问。

本节介绍智算容器使用限制。 约束与限制 购买智算版容器集群实例之前需要在天翼云完成实名认证。 天翼云官网支持：集群订购、退订、续订、节点扩容。 创建节点过程中会使用域名方式从OBS下载软件包，需要能够使用云上内网DNS解析OBS域名，否则会导致创建不成功。为此，节点所在子网需要配置为内网DNS地址，从而使得节点使用内网DNS。在创建子网时DNS默认配置为内网DNS，如果您修改过子网的DNS，请务必确保子网下的DNS服务器可以解析OBS服务域名，否则需要将DNS改成内网DNS。 集群一旦创建以后，不支持变更以下项： 变更集群类型。 变更集群的控制节点数量。 变更控制节点可用区。 变更集群的网络配置，如所在的虚拟私有云VPC、子网、容器网段、服务网段、IPv6、kubeproxy代理（转发）模式。 变更网络模型，例如“容器隧道网络”更换为“VPC网络”。 资源池限制 资源池类型 已加载资源池 L1 资源池 华北2、华南2、西南1、西南2 L2 资源池 上海15、杭州7、武汉41、西安7、长沙42、沈阳8、芜湖4 配额限制 集群类型 租户限制集群数量 单集群管理节点数量 单节点最大Pod数 例外申请方式 专有版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 智算版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版单实例集群 2 10 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版高可用集群 2 几个档次可选：50/200/1000/2000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 说明 1. 智算版容器集群依赖底座弹性裸金属资源，如：昇腾910B，需IaaS智算资源支持，申请资源需提交咨询工单或联系对应产品经理。 2. 智算版容器集群目前已经适配了昇腾910B、800I A2，NVIDIA H800、L40S等，适配详情可提交咨询工单或联系对应产品经理。

敏感数据梳理场景 数据自动发现 基于网络嗅探技术，自动发现网络环境中数据源，并结合通过内置的70+的敏感数据识别算法快速、准确的梳理出核心重要数据，同时在数据库漏洞、数据库配置、账号权限等方面进行全面风险梳理，并给出加固建议。 丰富的敏感数据识别算法 包括正则表达式、关键字典、机器学习、NLP、文档指纹等先进AI技术创建识别规则、实体识别模型，支持对复合字段进行识别。 智能推荐模型 产品包含使用 Apriori 或 FPgrowth 关联规则等算法，训练出的推荐模型，针对命中多个规则与分级分类包的情况，给出分类分级推荐。 智能聚类梳理 产品基于聚类算法对相似表、相似字段进行分析，汇总信息后进行展示，并进行批量确认，通过具智能梳理向导功能减少总工作量，大幅提升梳理效率。 敏感数据访问活动重点监测 对数据库中的对象可被哪些用户访问的情况进行归纳总结，特别是对包含了敏感列的表或者敏感度评分较高的对象，着重监测其访问情况。 图表分类显示 对敏感数据的分布情况进行图形化分类显示，直观、快速掌握家底 数据库访问数据安全 防外部攻击 提供数据库“虚拟补丁”，对数据库漏洞利用行为进行检测，结合内置安全规则，实现数据库的防护。 账号权限管理 建立唯一数据库运维通道，提供账号准入、多重认证能力； 提供独立于数据库账号权限以外的第三方权控能力，回收、限制部分特权用户权限，防越权操作. 内部恶意数据篡改泄漏 提供细粒度访问控制能力，从访问源、访问目标、访问行为、访问结果集等多维度限制数据库风险操作、误操作等行为； 提供系统表、敏感表、敏感字段防护能力，防止敏感数据泄漏、篡改； 提供动态脱敏能力，防止运维过程造成敏感数据泄漏； 提供风险运维审批能力，当运维人员必须进行某些危险性操作或者访问敏感数据时，提交临时授权工单，由安全管理员进行逐级审批后方可进行操作。

logcheckpoints (boolean) 导致检查点和重启点被记录在服务器日志中。一些统计信息也被包括在日志消息中，包括写入缓冲区的数据和写它们所花的时间。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。默认值是关闭。 logconnections (boolean) 导致每一次尝试对服务器的连接被记录，客户端认证的成功完成也会被记录。只有超级用户在会话开启时可以改变这个参数，并且在所有会话中不能改变。缺省是off。注意某些客户端程序（例如telesql）在要求密码时会尝试连接两次，因此重复的“收到连接”消息并不一定表示一个错误。 logdisconnections (boolean) 记录会话终止原因。日志输出提供信息类似于logconnections，以及会话持续时间。只有超级用户在会话开启时可以改变这个参数，并且在所有会话中不能改变。缺省是off。 logduration (boolean) 导致每一个完成的语句的持续时间被记录。默认值是off。只有超级用户可以改变这个设置。对于使用扩展查询协议的客户端，解析、绑定和执行步骤的持续时间将被独立记录。注意设置这个选项和设置logmindurationstatement为零之间的区别是，超过logmindurationstatement强制查询的文本被记录，但这个选项不会。因此，如果logduration为on并且logmindurationstatement为正值，所有持续时间都将被记录，但是只有超过阈值的语句才会被记录查询文本。这种行为有助于在高负载安装中收集统计信息。 logerrorverbosity (enum) 控制为每一个被记录的消息要写入到服务器日志的细节量。有效值是TERSE、DEFAULT和VERBOSE，每一个都为显示的消息增加更多域。TERSE排除记录DETAIL、HINT、QUERY和CONTEXT错误信息。VERBOSE输出包括SQLSTATE错误码以及产生错误的源代码文件名、函数名和行号。只有超级用户能够更改这个设置。

智能网关硬件版可以帮您连接本地网络至天翼云，且还能够实现两个地域的分支机构与企业总部互通。本节带您了解如何购买智能网关硬件版。 操作场景 您可以在天翼云官网创建智能网关实例，进一步通过绑定天翼云SDWAN实例，实现网络互联、入云。您也可以联系客户经理开通智能网关。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 单击“智能网关”，在智能网关列表页面，单击“创建智能网关”按钮，进入创建智能网关页面。 5. 根据页面提示配置参数，参数信息可参考如下： 参数 描述 例子 实例名称 长度为164字符，以大小写字母或中文开头，可包含数字、"."、""、""。 Test01 区域 所属位置信息。 中国内地 基础带宽 带宽大小。 5Mbps 网关形态 可选择硬件版、软件版。 硬件版 是否购买设备 是否需要购买天翼云设备。 是 设备类型 智能网关硬件版本分为四种型号：经济版、标准版、企业版、企业增强版。不同型号的规格详情请参考产品介绍页面。 经济版 地址信息 请准确填写地址信息，提交订单后不支持更改。 请准确填写您的地址信息 增值业务 包括5G服务、WIFI服务、LTE服务。 根据实际需求进行选择 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 default 6. 单击“提交订单”。 7. 确认订单信息无误后，勾选“服务协议”，单击“确认下单”。 8. 订单支付成功后，完成购买。

负载均衡 3.以root用户登录HBase客户端所在节点。进入客户端安装目录，设置环境变量： cd 客户端安装目录 source bigdataenv 如果集群采用安全版本，要进行安全认证。执行kinit hbase命令，按提示输入密码（向管理员获取密码）。 4.执行以下命令进入hbase shell，查看目前负载均衡功能是否打开： hbase shell balancerenabled 是，执行步骤6。 否，执行步骤5。 5.在hbase shell，中执行命令打开负载均衡功能，并执行命令查看确认成功打开： balanceswitch true balancerenabled 6.执行balancer命令手动触发负载均衡。 说明 建议打开和手动触发负载均衡操作在业务低峰期进行。 7.FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HBase”，单击“HMaster(主)”，打开该HBase实例的WebUI，刷新页面查看Region分布是否均衡。 是，执行步骤8。 否，执行步骤21。 8.观察该告警是否清除。 是，处理完毕。 否，执行步骤9。 清理无用HBase表 说明 在清理过程中，请谨慎操作，确保删除数据的准确性。 9.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HBase”，单击“HMaster(主)”，打开该HBase实例的WebUI，查看该HBase服务实例上存储的表并记录可删除的无用表。 10.在hbase shell中，执行disable和drop命令，确认删除无用表，以减少Region数： disable '待删除表名' drop '待删除表名' 11.在hbase shell中，执行命令查看目前负载均衡功能是否打开： balancerenabled 是，执行步骤13。 否，执行步骤12。 12.在hbase shell中，执行命令打开负载均衡功能并确认成功打开： balanceswitch true balancerenabled 13.在hbase shell中，执行balancer命令手动触发负载均衡。 14.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HBase”，单击产生该告警的HBase服务实例，单击“HMaster(主)”，打开该HBase实例的WebUI，刷新页面查看Region分布是否均衡。 是，执行步骤15。 否，执行步骤21。 15.观察该告警是否清除。 是，处理完毕。 否，执行步骤16。

检查集群磁盘容量是否已满 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”页面，查看是否存在“ALM14001 HDFS磁盘空间使用率超过阈值”告警。 是，执行步骤 2。 否，执行步骤 4。 2.参考“ALM14001 HDFS磁盘空间使用率超过阈值”进行处理，查看对应告警是否清除。 是，执行步骤 3。 否，执行步骤11。 3.在“运维 > 告警 > 告警”页面查看本告警是否清除。 是，处理完毕。 否，执行步骤4。 检查DataNode节点平衡状态 4.在FusionInsight Manager首页，单击“主机”，查看各个机架上的DataNode节点数目分布是否大致相等，如果差异过大，调整DataNode节点所属机架，保证各个机架上的DataNode数量大致相等。重启HDFS服务生效。 5.选择“集群 > 待操作集群的名称 > 服务 > HDFS”。 6.在“基本信息”区域，单击“NameNode(主)”，进入HDFS WebUI页面。 说明 admin用户默认不具备其他组件的管理权限，如果访问组件原生界面时出现因权限不足而打不开页面或内容显示不全时，可手动创建具备对应组件管理权限的用户进行登录。 7.在HDFS WebUI的“Summary”区域，查看“DataNodes usages”中“Max”的值是否比“Median”的值大10%。 l是，执行步骤 8。 否，执行步骤11。 8.数据倾斜，需要均衡集群中的数据。以root用户登录MRS客户端。如果集群为普通模式，执行su omm切换到omm用户。执行cd命令进入客户端安装目录，然后执行 source bigdataenv 。如果集群采用安全版本，要进行安全认证。执行kinit hdfs命令，按提示输入密码。向管理员获取密码。 9.执行以下命令，均衡数据分布： hdfs balancer threshold 10 10.等待几分钟，检查本告警是否恢复。 是，处理完毕。 否，执行步骤 11。 收集故障信息 11.在FusionInsight Manager首页，选择“运维 > 日志 > 下载”。 12.在“服务”中勾选待操作集群的“HDFS”。 13.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 14.请联系运维人员，并发送已收集的故障日志信息。

本章主要介绍翼MapReduce的恢复Hive业务数据功能。 操作场景 在用户意外修改、删除或需要找回数据时，系统管理员对Hive进行重大操作（如升级、重大数据调整等）后，系统数据出现异常或未达到预期结果，模块全部故障无法使用，或者迁移数据到新集群的场景中，需要对Hive进行恢复数据操作。 系统管理员可以通过FusionInsight Manager创建恢复Hive任务并恢复数据。只支持创建任务手动恢复数据。 Hive备份恢复功能不支持识别用户的Hive表、索引、视图等对象在业务和结构上存在的关联关系。用户在执行备份恢复任务时，需要根据业务场景管理统一的恢复点，防止影响业务正常运行。 须知 只支持进行数据备份时的系统版本与当前系统版本一致时的数据恢复。 当业务正常时需要恢复数据，建议手动备份最新管理数据后，再执行恢复数据操作。否则会丢失从备份时刻到恢复时刻之间的Hive数据。 对系统的影响 恢复过程中会停止用户认证，用户无法开始新的连接。 数据恢复后，会丢失从备份时刻到恢复时刻之间的数据。 数据恢复后，需要重新启动Hive的上层应用。 前提条件 如果需要从远端HDFS恢复数据，需要准备备集群。如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 规划好恢复数据保存表的数据库，数据表在HDFS的保存位置，以及访问恢复数据的用户清单。 检查Hive备份文件保存路径。 停止Hive的上层应用。 登录FusionInsight Manager，请参见登录管理系统。

本章节主要介绍翼MapReduce的配置私有属性操作。 操作场景 admin用户或绑定Manageradministrator角色的管理员用户，可以在FusionInsight Manager配置私有属性功能开关，用于支持用户（集群中所有业务用户）设置或取消自己的私有（Independent）属性。 开启私有属性开关后，需要业务用户登录后设置Independent属性，完成用户私有属性配置。 限制约束 管理员不能设置或取消业务用户的Independent属性。 管理员不能获取私有用户的认证凭据。 前提条件 已获取要求权限的管理员用户和密码。 操作步骤 配置私有属性开关 1. 以admin用户或绑定Manageradministrator角色的用户登录FusionInsight Manager。 2. 选择“系统 > 权限 > 安全策略 > 配置Independent”。 3. 打开或关闭Independent属性，根据提示输入密码，单击“确认”完成身份验证。 4. 身份验证通过后，等待修改OMS配置完成，单击“完成”结束操作。 说明 关闭Independent属性功能后： 已拥有这个属性的业务用户可以在右上角用户名下取消Independent属性，取消后无法重新设置。取消后已创建的私有表继续保持私有属性，取消后无法继续创建私有表。 没有这个属性的业务用户无法在右上角用户名下进行设置和取消操作。 配置用户私有属性 5. 以业务用户登录FusionInsight Manager。 须知 设置Independent属性后，管理员不能初始化私有用户（业务用户设置了Independent属性后，即为私有用户）的密码；如果忘记此用户密码，密码将无法找回。 admin用户无法设置Independent属性。 6. 移动鼠标到界面右上角的用户名。 7. 在弹出的菜单栏中单击“设置Independent”或“取消Independent”。 说明 私有属性功能开关已开启，业务用户当前已设置私有属性时，菜单栏显示“取消Independent”。 私有属性功能开关已开启，业务用户当前已取消私有属性时，菜单栏显示“设置Independent”。 私有属性功能开关已关闭，业务用户当前已设置私有属性时，菜单栏显示“取消Independent”。 私有属性功能开关已关闭，业务用户当前已取消私有属性时，菜单栏不显示。 8. 根据界面提示，输入密码，单击“确定”完成身份验证。 9. 身份验证通过后，在确认对话框中单击“确定”。

本章节主要介绍IAM用户同步MRS说明。 IAM用户同步是指将绑定MRS相关策略的IAM用户同步至MRS系统中，创建同用户名、不同密码的帐号，用于集群管理。同步之后，用户可以使用IAM用户名（密码需要Manager的管理员admin重置后方可使用）登录Manager管理集群。也可以在开启Kerberos认证的集群中，通过界面方式提交作业。 IAM用户权限策略及同步MRS后权限对比请参考下表，Manager对应默认权限说明请参考MRS集群中的用户与权限。 IAM权限策略与MRS权限同步映射 策略类别 IAM策略 同步后用户在MRS对应默认权限 是否有权限执行同步操作 是否有权限提交作业 细粒度 MRS ReadOnlyAccess Managerviewer 否 否 细粒度 MRS CommonOperations lManagerviewer default launcherjob 否 是 细粒度 MRS FullAccess Manageradministrator Managerauditor Manageroperator Managertenant Managerviewer Systemadministrator default launcherjob 是 是 RBAC MRS Administrator Manageradministrator Managerauditor Manageroperator Managertenant Managerviewer Systemadministrator default launcherjob 否 是 RBAC Server Administrator、Tenant Guest和MRS Administrator Manageradministrator Managerauditor Manageroperator Managertenant Managerviewer Systemadministrator default launcherjob 是 是 RBAC Tenant Administrator Manageradministrator Managerauditor Manageroperator Managertenant Managerviewer Systemadministrator default launcherjob 是 是 自定义 Custom policy（自定义策略） Managerviewer default launcherjob 自定义策略以RBAC策略为模板则参考RBAC策略。 自定义策略以细粒度策略为模板则参考细粒度策略，建议使用细粒度策略。 是 说明 为了更方便进行用户权限管理，请尽可能使用细粒度策略，减少RBAC策略的使用，细粒度策略判断action时以deny优先原则。 只有具有Tenant Administrator或同时具有Server Administrator、Tenant Guest、MRS Administrator角色才在MRS集群中拥有同步IAM用户的权限。 只要拥有action:mrs:cluster:syncUser策略就在MRS集群中拥有同步IAM用户的权限。

本文主要介绍VPN连接的约束与限制。 开通限制 目前经典版VPN连接服务处于公测阶段，如您需要获取公测权限，请您提交工单申请VPN连接配额。 由于经典版VPN连接服务处于公测阶段，可能存在部分资源池无法开通VPN网关的问题，该问题主要由于VPN连接服务的IP地址资源不足导致，如您遇到此问题，建议您在其它节点开通此服务。 VPN网关限制 表VPN网关限制 VPN网关类型 资源 默认限制 企业版VPN 每租户在每区域支持创建的VPN网关数量 50 如果您只有一个VPC，则该VPC最大创建50个VPN网关。 如果您有多个VPC，则多个VPC创建的VPN网关数量最大为50个。 企业版VPN 每VPN网关支持配置的VPN连接组数量 100 如果VPN网关支持非固定IP接入，则该VPN网关支持配置的非固定IP接入、固定IP接入的VPN连接组数量合计最多为100个。 企业版VPN 每VPN网关支持配置的本地子网数量 50 企业版VPN 每VPN网关支持通过每连接接收对端网关发布的BGP路由数量 100 经典版VPN 每租户在每区域支持创建的VPN网关数量 2 每个VPC最多创建1个VPN网关。 VPN网关TCP协议的最大报文长度默认设置为1300字节。 对端网关限制 表对端网关限制 VPN网关类型 资源 默认限制 企业版VPN 每租户在每区域支持创建的对端网关数量 100 对端网关必须开启NAT穿越。 对端网关必须使能DPD(Dead Peer Detection，失效对等体检测)。 对端网关必须支持IPSec Tunnel接口，并使能对应的安全策略。 静态路由模式连接开启NQA时，对端网关的IPSec Tunnel接口必须配置IP地址，并响应ICMP请求。 对端网关TCP协议的最大报文段长度建议设置为小于1399，避免因增加IPSec认证头开销导致分片的问题。 VPN连接限制

本文主要介绍了更换手机号的操作流程和方法。 用户可通过“账号中心安全设置”页面更换手机号。 操作步骤 1、登录天翼云官网，在首页点击“我的账号中心”进入账号中心的“安全设置”页面，在基本设置 绑定手机右侧点击“立即修改“。 2、提供3种修改方式供选择：通过短信验证码修改、通过邮箱验证码修改、通过活体人脸识别修改。 注意 若邮箱未验证，则无法提供“通过邮箱验证码修改”的方式。 3、身份验证通过后，需要设置新手机号码并输入短信验证码，验证手机号可正常接收使用。 特殊情况处理 如果手机号或邮箱都无法验证身份， 可以进入工单页面，选择 “新建工单>会员账号 >账号相关问题”，提交工单处理。 （1）请在工单中上传如下材料： 企业客户 1. 请填写天翼云邮箱手机修改授权委托书（天翼云邮箱手机修改授权委托书.docx），并加盖企业公章。 2. 法定代表人与被授权人所需材料任选一种上传即可。 1. 法定代表人：企业证件、法定代表人身份证正反面及手持身份证照片 2. 被授权人：企业证件、加盖企业公章的授权书（授权委托书.docx）、被授权人身份证正反面及手持身份证照片 个人客户 1. 请填写天翼云邮箱手机修改授权委托书（天翼云邮箱手机修改授权委托书.docx），并签字。 2. 个人身份证件正反面及手持身份证照（个人身份证件信息需与实名认证的身份证件信息一致）。 （2）经天翼云审核通过后，天翼云会将原来绑定的手机号替换成工单中填写的新手机号。您可以在登录页面，单击忘记密码，然后使用新绑定的手机号重置密码。 （3）如果您提供的账户情况特殊，天翼云客服人员会根据实际情况进一步核实，请按客服回复提供所需资料。

本文介绍国密证书的使用场景和使用方法。 功能介绍 密码算法是保障信息安全的核心技术，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 ::: 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 序列加密/流加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出数字签名与验证算法及其相应的流程。并提供相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》。 规范国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》。 1. 将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3。 2. 并且新增GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3。 3. 以及基于RSA证书的算法套件： RSASM4CBCSM3 RSASM4GCMSM3 RSASM4CBCSHA256 RSASM4GCMSHA256 2021年：IETF工作组正式发布国际标准《rfc8998》。 该标准在TLS1.3上定义使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3。 使用ECDHESM2密钥协商算法，取消Client证书的要求和server双证书要求。 天翼云CDN加速产品支持的国密算法套件 支持GBT386362020 ECCSM2WITHSM4CBCSM3（GMT 00242014 ECCSM4SM3）。 支持GBT386362020 ECDHESM2WITHSM4CBCSM3 （GMT 00242014 ECDHESM4SM3）。 支持GBT386362020 ECCSM2WITHSM4GCMSM3。 支持GBT386362020 ECDHESM2WITHSM4GCMSM3。

本文介绍国密证书的使用场景和使用方法。 功能介绍 密码算法是保障信息安全的核心技术，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 ::: 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 序列加密/流加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出数字签名与验证算法及其相应的流程。并提供相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》。 规范国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》。 1. 将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3。 2. 并且新增GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3。 3. 以及基于RSA证书的算法套件： RSASM4CBCSM3 RSASM4GCMSM3 RSASM4CBCSHA256 RSASM4GCMSHA256 2021年：IETF工作组正式发布国际标准《rfc8998》。 该标准在TLS1.3上定义使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3。 使用ECDHESM2密钥协商算法，取消Client证书的要求和server双证书要求。 天翼云CDN加速产品支持的国密算法套件 支持GBT386362020 ECCSM2WITHSM4CBCSM3（GMT 00242014 ECCSM4SM3）。 支持GBT386362020 ECDHESM2WITHSM4CBCSM3 （GMT 00242014 ECDHESM4SM3）。 支持GBT386362020 ECCSM2WITHSM4GCMSM3。 支持GBT386362020 ECDHESM2WITHSM4GCMSM3。

本节主要介绍弹性负载均衡的证书管理功能。 使用须知 同一个证书在负载均衡器上只需上传一次，可以使用在多个负载均衡器实例中。 目前SLB不支持对证书有效期等进行检查。 SLB不会自动选择未过期的证书，如果您有证书过期了，需要手动更换或者删除证书。 更换证书时，服务器证书的证书内容和私钥必须同时替换修改，可复制粘贴到输入框替换现有证书，或通过上传证书内容替换，不可编辑修改当前证书内容，否则将引起证书认证失败故障。 删除证书时，如果证书关联HTTPS监听，则无法删除，需先解除HTTPS关联证书，再删除证书。 创建证书 1. 登录公共算力服务控制台。 2. 点击左侧导航栏【网络>弹性负载均衡>证书管理】，在证书管理页面，单击“创建证书”，进入证书创建页面。 3. 参考服务器证书管理配置说明，点击“确定”，完成证书创建。 参数说明： 参数 说明 名称 证书名称，只能由数字、字母、、组成,以字母开通,且长度为264字符。 证书类型 仅可选择服务器证书。服务器证书：在使用HTTPS协议时，服务器证书用于SSL握手协商，需提供证书内容和私钥。 签名证书 （1）支持粘贴证书到内容框，或点击上传证书内容。证书包含证书的公钥和签名等信息，证书扩展名为".pem"或".crt"，您可直接输入证书内容或上传证书文件。 （2）证书格式以“BEGIN CERTIFICATE”开头， 以“END CERTIFICATE”结尾。 （3）通过中级CA机构颁发的证书，证书文件包含多份证书，需服务器证书与中间证书一起上传，格式如下： BEGIN CERTIFICATE 网站证书 END CERTIFICATE BEGIN CERTIFICATE CA 中间证书机构 END CERTIFICATE BEGIN CERTIFICATE CA 根证书机构 END CERTIFICATE 签名私钥 （1）证书格式以 “BEGIN CERTIFICATE”开头， 以“END CERTIFICATE”结尾。 （2）通过中级CA机构颁发的证书，证书文件包含多份证书，需服务器证书与中间证书一起上传，格式如下： BEGIN CERTIFICATE 网站证书 END CERTIFICATE BEGIN CERTIFICATE CA 中间证书机构 END CERTIFICATE BEGIN CERTIFICATE CA 根证书机构 END CERTIFICATE 描述 填写证书相关描述，可选。

本文详细介绍零信任远程办公服务计费模式资费。 零信任服务适用场景 零信任服务即员工访问企业内网，基于零信任安全架构、身份管理实现实员工无需到传统办公场所，而是通过网络在异地完成工作任务的办公模式，通过购买“零信任服务”来提供零信任远程办公产品服务能力。 零信任服务远程办公计费概述 计费模式：混合计费 【计费项说明】 计费方式 描述 说明 套餐计费 按照购买的套餐使用量进行计费 套餐为预付费 不同套餐版本提供能力不一致，具体套餐版本功能对比详情见：零信任服务版本差异对比 扩展服务 根据购买的功能进行计费 扩展服务的有效期与套餐服务有效期一致，套餐服务失效，扩展产品自动关停 按需计费 流量/带宽/短信用量超过已购买量时进行计费 按需使用则会出对应账单，开启按需后，支持关闭按需，可通过计费详情栏目，点击减项更多按钮进行按需服务的退订 套餐含保底流量或者业务带宽，保底账号数等，按月付费。如果保底用量不能满足需求，可以购扩展服务，当用量超出购买套餐+扩展服务时，会进行服务限制。其中套餐内包含的流量或者带宽是企业内多个账号共同的享用总用量。 计费区域：中国内地、全球（默认套餐仅包含中国内地带宽/流量，若需订购非中国内地带宽/流量，可选择计费区域为：全球，并订购非中国内地带宽/流量，或者直接叠加订购网络服务远程办公海外区域带宽）。 计费周期：按月结算。 注意 零信任用于内网连接打通，提供远程办公服务，则需要部署连接器，AOne零信任服务提供连接器软件部署方式，您需要准备用于部署连接器软件的虚机或服务器，若您无可用的机器资源，则需自行购买虚机或服务器用于部署，连接器使用以及规格推荐见 涉及登录认证、企业应用相关或其他定制化需求需额外付费，详细资费可

本文介绍Kubernetes 1.31版本的变更说明。 云容器引擎（CCE）严格遵循社区一致性认证，现已支持Kubernetes 1.31集群版本特性。 新增特性及特性增强 StatefulSet起始序号（GA） 在Kubernetes 1.31中，StatefulSetStartOrdinal特性进阶至GA。默认情况下，StatefulSet中Pod的序号是从0开始，该特性引入后允许用户自定义Pod的起始序号。 弹性索引Job（GA） 在Kubernetes 1.31中，ElasticIndexedJob特性进阶至GA。该特性允许用户在索引Job创建后修改其.spec.completions和.spec.parallelism字段，使之具备弹性伸缩能力。 Pod失效策略（GA） 在Kubernetes 1.31中，JobPodFailurePolicy特性进阶至GA。该特性允许用户根据Pod失效的原因来分别指定处理方式（重试或者忽略），以优化避免不必要的Pod重启带来的运行成本。 Pod干扰状况（GA） 在Kubernetes 1.31中，PodDisruptionConditions特性进阶至GA。该特性在Pod的Condition中新增了DisruptionTarget类型，表示Pod失效的原因，例如被高优先级的Pod抢占、因节点删除而被清理、被kubelet终止等。若Pod是Job或者CronJob控制器创建的，可以与Pod失效策略一起使用，通过该Condition定义失效时的行为。 定制资源的可选择字段（Beta） 在Kubernetes 1.31中，CustomResourceFieldSelectors特性进阶至Beta。该特性支持对CRD配置selectableFields，并支持使用Field Selectors过滤List、Watch和DeleteCollection请求，方便用户定位或管理符合特定条件的CRD资源。 Job成功策略（Beta） 在Kubernetes 1.31中，JobSuccessPolicy特性进阶至Beta。该特性允许用户基于成功的Pod个数为Job配置成功策略。 podAffinity中的matchLabelKeys（Beta） 在Kubernetes 1.31中，MatchLabelKeysInPodAffinity特性进阶至Beta。该特性在podAffinity和podAntiAffinity中引入了更为精细的配置字段matchLabelKeys和mismatchLabelKeys，以解决调度器在Deployment滚动更新期间无法区分新老Pod，继而导致调度结果不符合亲和性和反亲和性预期的问题。 ServiceAccountTokenNodeBinding（Beta） 在Kubernetes 1.31中，ServiceAccountTokenNodeBinding特性进阶至Beta。该特性支持创建绑定到节点的ServiceAccount Token：在Token中包含节点信息的声明，并在使用Token时验证节点的存在，若节点被删除，则Token将会失效。

蓝军攻击服务与红蓝对抗的区别？ 红蓝对抗演习是一种用攻防思想来解决机构威胁隐患的模式，通过接近实景的攻防演练，磨练安全运营人员应对安全威胁的能力。红蓝对抗是通过红蓝军围绕防守目标的基于实战化的攻防演练服务项目。 蓝军是演习中专注于“攻击”组织系统、IT基础设施和提供的IT服务的一只队伍。在军事活动中，早已有了特种部队之称，用于检验、提升传统的队伍，更好的适应实战，验证指定的业务系统和人员在重要时期的安全防护强度。 护航版的主要服务内容有哪些？ 为确保重大活动期间，业务系统的平稳安全运行，政企单位需提高网络安全保障强度，开展重要时期网络安全保障工作。安全服务团队重保服务从前、中、后三个阶段，以梳理筹备、摸底评估、布防加固、模拟演练、值守保障、整改优化的工作步骤，密切关注重点网络基础设施和业务系统，通过明确的职责分工与协作，提供一体化保障体系，协助政企单位圆满完成安全重保任务，有效提升整体安全防护能力。 托管检测与响应服务（原生版）如何保护企业的隐私？ 主要采取以下措施保护企业隐私： 建立严格的信息安全规范：通过信息安全规范，规范信息共享、网络管理以及技术安全等方面的行为。明确信息的收集、存储、传输和使用等方面的要求，以及员工和第三方合作伙伴的保密义务。 采取隐私保护技术：我们已经建立隐私保护机制，采取加密、安全传输等技术手段，确保用户的隐私信息不被泄漏、不被恶意利用。 签订隐私协议：天翼云隐私协议，明确数据的使用功能、权限和保护措施，明确双方的责任和义务，确保用户数据的安全性和隐私性。

使用ZOS软件开发工具包 下面展示JAVA SDK的使用案例： > 使用SDK需要您在您的机器上配置好java以及Maven等环境，具体操作请参考JAVA SDK文档 您可以使用setBucketCrossOriginConfiguration 设置跨域规则，并分别通过 getBucketCrossOriginConfiguration 、deleteBucketCrossOriginConfiguration方法获取或删除您桶上的跨域访问规则。 java import com.amazonaws.ClientConfiguration; import com.amazonaws.auth.AWSCredentials; import com.amazonaws.auth.AWSStaticCredentialsProvider; import com.amazonaws.auth.BasicAWSCredentials; import com.amazonaws.client.builder.AwsClientBuilder; import com.amazonaws.services.s3.AmazonS3; import com.amazonaws.services.s3.AmazonS3ClientBuilder; import com.amazonaws.Protocol; import com.amazonaws.services.s3.model.; import java.util.ArrayList; import java.util.List; public class CORS { public static String ACCESSKEY "AK";//此处请改成您的AK public static String SECRETKEY "SK";//此处请改成您的SK public static String ENDPOINT "EndPoint";//此处请改成您桶对应的EndPoint public static String BUCKETNAME "bucketff177"; public static void main(String[] string){ AmazonS3 s3Client null; try { // 当使用HTTPS协议且采用自签名认证时，需关闭证书检查 // System.setProperty("com.amazonaws.sdk.disableCertChecking", "true"); // 使用凭据和配置建立连接 AWSCredentials credentials new BasicAWSCredentials(ACCESSKEY, SECRETKEY); ClientConfiguration awsClientConfig new ClientConfiguration(); // 使用V2签名时，采用"S3SignerType" awsClientConfig.setSignerOverride("S3SignerType"); // 使用V4签名时，采用"AWSS3V4SignerType" ; // 连接默认使用HTTPS协议，使用HTTP协议连接时需要显式指定 awsClientConfig.setProtocol(Protocol.HTTP); s3Client AmazonS3ClientBuilder.standard() .withCredentials(new AWSStaticCredentialsProvider(credentials)) .withClientConfiguration(awsClientConfig) .withEndpointConfiguration(new AwsClientBuilder.EndpointConfiguration(ENDPOINT, "")) .disableChunkedEncoding() .build(); System.out.print("connect successn"); }catch (Exception e) { System.out.print("request failn"); System.out.print(e.getMessage()); } // setBucketCrossOriginConfiguration CORSRule rule new CORSRule(); rule.setId("test1"); rule.setAllowedMethods(CORSRule.AllowedMethods.GET,CORSRule.AllowedMethods.PUT); List orgs new ArrayList(); orgs.add(""); rule.setAllowedOrigins(orgs); BucketCrossOriginConfiguration config new BucketCrossOriginConfiguration(); List lr new ArrayList (); lr.add(rule); config.setRules(lr); SetBucketCrossOriginConfigurationRequest req new SetBucketCrossOriginConfigurationRequest(BUCKETNAME,config); s3Client.setBucketCrossOriginConfiguration(req); // getBucketCrossOriginConfiguration GetBucketCrossOriginConfigurationRequest req1 new GetBucketCrossOriginConfigurationRequest(BUCKETNAME); BucketCrossOriginConfiguration config1 s3Client.getBucketCrossOriginConfiguration(req1); // deleteBucketCrossOriginConfiguration DeleteBucketCrossOriginConfigurationRequest req2 new DeleteBucketCrossOriginConfigurationRequest(BUCKETNAME); s3Client.deleteBucketCrossOriginConfiguration(req2); } }

功能说明 浏览器操作能力用于在 Agent 沙箱中启动浏览器实例，并通过自动化调试地址完成页面访问和程序化控制。 典型应用场景 页面自动化测试：在隔离沙箱中执行页面打开、点击、输入、断言等操作。 任务流程编排：在业务流程中通过代码驱动浏览器完成网页访问与信息采集。 可视化调试排障：通过控制台的 VNC 调试观察浏览器状态，复现和定位问题。 前提条件 已完成 SDK 运行环境与环境变量配置。 已在 Agent 沙箱服务控制台创建可用的浏览器沙箱模板，并记录模板 templateid。 本地已安装 Python 及 Playwright 依赖，并具备网络访问目标页面的权限。 使用限制 template 参数必须填写已创建且可用的浏览器沙箱 templateid。 cdpurl 依赖访问令牌，请妥善保管，避免泄露。 浏览器实例的可用时长受沙箱生命周期和配额策略限制。 当页面需要额外认证（如登录态、验证码）时，自动化脚本可能需要配套处理逻辑。 操作步骤 步骤一：在控制台创建浏览器沙箱模板并记录 templateid 登录 Agent 沙箱服务控制台创建浏览器沙箱模板，创建完成后记录该模板的 templateid，用于代码中创建实例。 步骤二：运行代码并通过 VNC 监控浏览器 运行下列代码后，在 Agent 沙箱控制台进入对应实例，打开 VNC 调试 查看浏览器实时画面；代码中使用 cdpurl 进行自动化操作。 python from e2b import Sandbox from playwright.syncapi import syncplaywright 请替换为您在控制台记录的templateid templateid "4xxxx3e9xxxxxxxxxxxf22xxx50xxxx" 创建浏览器沙箱实例 sandbox Sandbox.create(templatetemplateid) 拼接 cdp url，用于通过 Playwright 操作浏览器 cdpurl f" print("cdpurl:", cdpurl) with syncplaywright() as playwright: 连接到沙箱浏览器实例 browser playwright.chromium.connectovercdp( cdpurl, headers{"XAccessToken": str(sandbox.envdaccesstoken)} ) 获取第一个上下文与页面并访问目标站点 context browser.contexts[0] page context.pages[0] page.goto(" 输出页面标题，确认操作成功 print("title:", page.title())

功能说明 浏览器操作能力用于在 Agent 沙箱中启动浏览器实例，并通过自动化调试地址完成页面访问和程序化控制。 典型应用场景 页面自动化测试：在隔离沙箱中执行页面打开、点击、输入、断言等操作。 任务流程编排：在业务流程中通过代码驱动浏览器完成网页访问与信息采集。 可视化调试排障：通过控制台的 VNC 调试观察浏览器状态，复现和定位问题。 前提条件 已完成 SDK 运行环境与环境变量配置。 已在 Agent 沙箱服务控制台创建可用的浏览器沙箱模板，并记录模板 templateid。 本地已安装 Python 及 Playwright 依赖，并具备网络访问目标页面的权限。 使用限制 template 参数必须填写已创建且可用的浏览器沙箱 templateid。 cdpurl 依赖访问令牌，请妥善保管，避免泄露。 浏览器实例的可用时长受沙箱生命周期和配额策略限制。 当页面需要额外认证（如登录态、验证码）时，自动化脚本可能需要配套处理逻辑。 操作步骤 步骤一：在控制台创建浏览器沙箱模板并记录 templateid 登录 Agent 沙箱服务控制台创建浏览器沙箱模板，创建完成后记录该模板的 templateid，用于代码中创建实例。 步骤二：运行代码并通过 VNC 监控浏览器 运行下列代码后，在 Agent 沙箱控制台进入对应实例，打开 VNC 调试 查看浏览器实时画面；代码中使用 cdpurl 进行自动化操作。 python from e2b import Sandbox from playwright.syncapi import syncplaywright 请替换为您在控制台记录的templateid templateid "4xxxx3e9xxxxxxxxxxxf22xxx50xxxx" 创建浏览器沙箱实例 sandbox Sandbox.create(templatetemplateid) 拼接 cdp url，用于通过 Playwright 操作浏览器 cdpurl f" print("cdpurl:", cdpurl) with syncplaywright() as playwright: 连接到沙箱浏览器实例 browser playwright.chromium.connectovercdp( cdpurl, headers{"XAccessToken": str(sandbox.envdaccesstoken)} ) 获取第一个上下文与页面并访问目标站点 context browser.contexts[0] page context.pages[0] page.goto(" 输出页面标题，确认操作成功 print("title:", page.title())

本章介绍如何使用主子账号体系管理子账号权限 概述 分布式消息服务MQTT已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

本章介绍如何使用主子账号体系管理子账号权限 概述 分布式消息服务RabbitMQ已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目：将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

参数 参数说明 集群名称 请确认您要升级的集群名称。 当前版本 请确认待升级集群的版本。 升级后版本 请确认升级后的目标版本。 节点升级策略 重置升级：用户节点采用重置安装方式，节点操作系统将会被重装，系统盘和数据盘的数据均会被清空，请谨慎使用。 说明 本集群的节点及工作负载生命周期管理功能暂不可用。 API访问功能暂不可用。 由于升级过程节点进行重置安装，用户已运行的工作负载业务将会中断。 用户节点的系统盘和数据盘将会被清空，升级前请事先备份重要数据。 用户节点上挂载的非LVM管理的数据盘，升级后需要重新挂载，盘中数据不会丢失。 云硬盘的配额需大于0。 容器的IP地址会发生变化，但是不影响容器间的网络通信。 用户节点的自定义标签将不会保留。 集群升级时间约为12分钟。 滚动升级 ：用户节点采用节点池滚动升级，适用于集群下节点均采用节点池创建的场景。 说明 本集群的节点及工作负载生命周期管理功能暂不可用。 API访问功能暂不可用。 用户已运行的工作负载业务不会中断。 集群升级时间约为12分钟。 重置节点镜像 仅支持物理机节点。物理机节点支持在升级时替换操作系统镜像，可指定节点使用新的镜像，在升级时会使用新镜像重装操作系统。如不指定则默认使用原有镜像重装操作系统。 登录方式 密码 用户名默认为“root”，请输入登录节点的密码，并确认密码。登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。选择用于登录本节点的密钥对，支持选择共享密钥。密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 集群备份 对集群的Master节点进行整机备份， 需要用户手动确认 ，备份过程会使用云备份服务，备份通常耗时在20分钟左右， 若当前局点云备份任务排队较多时，备份时间可能同步延长，推荐用户使用进行整机备份。 节点升级优先级 可选择优先升级的节点。

本教程将详细介绍如何借助天翼云 SDWAN 实现 DeepSeek 访问海外资源时，进行定向加速。 应用场景 企业在云上部署私有化DeepSeek平台，进行企业知识库、智能问答等大模型开发工作，在此过程中会使用到ollama、huggingface、github等境外开发工具或平台实现大模型高效迭代优化。 天翼云SDWAN通过优化对合规境外网站的访问过程，可以为客户提供更加流畅的海外资源访问体验。用户只需在云上DeepSeek主机业务环境中部署SDWAN软件CPE(vCPE)，即实现可对定向海外资源的加速访问。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经创建了云主机用于部署DeepSeek服务，并通过网络配置将其加入到VPC子网中。 操作步骤 本教程的配置流程如下： 步骤一：部署 vCPE 1. 创建并配置云主机 ：在天翼云控制台创建一台用于部署天翼云 SDWAN vCPE 的云主机，为其创建和绑定弹性公网 IP（EIP），并通过网络配置将其加入到创建的VPC子网中，请参考创建弹性云主机。 2. 创建vCPE资源，并部署到云主机中：您可通过以下两种方式开通 vCPE 资源。 天翼云官网自助开通：若选择通过天翼云官网自行下单，具体操作步骤如下： 1. 登录天翼云 SDWAN 控制台，在界面中选择“智能网关”选项，随后在“智能网关”页面点击“创建智能网关”按钮。 2. 按照页面给出的提示，选择“软件版”vCPE和接入带宽等关键业务配置。 3. 参数配置完毕后，点击“提交订单”。在确认订单信息准确无误后，勾选产品服务协议，接着点击“确认下单”。 4. 完成订单支付，支付成功即完成 vCPE 资源的购买。 客户经理协助开通：您也可以直接联系客户经理，由其协助完成 vCPE 资源的开通。 购买完成后，及时联系 SDWAN 客户经理进行交付。届时，天翼云 SDWAN 交付团队会协助您将创建好的 vCPE 实例资源部署到云主机上，并接入天翼云 SDWAN 网络。

本节为您介绍创建智能选路策略的操作场景、前提条件、操作步骤。 操作场景 天翼云SDWAN提供智能选路服务，用户可根据业务需求，结合“过载保护”设置，为指定流量设置转发规则。当检测到链路过载时，五元组应用流量将根据智能选路策略进行转发，从而保证业务的稳定性和高可用性。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云SDWAN实例、智能网关实例的创建与配置。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关实例名称，进入智能网关实例详情页。 5. 在智能网关实例详情页，单击“智能选路>增加策略”。 6. 根据页面提示，填写智能选路策略参数。具体参数配置如下： 参数 描述 策略名称 长度为163字，以大小写字母或中文开头，可包含数字、"."、""、""。 策略优先级 输入1~500之间的整数，优先级高的策略先生效，1为最高优先级，各策略间优先级不可重复。 选路方式 可选择按链路优先级选路、按链路权重选路、按链路质量选路三种方式。 协议类型 配置源/目的端口范围时，请先指定协议类型（TCP或UDP）；协议类型为ICMP时，无需配置源/目的端口范围。 源地址 CIDR网段格式，如：192.168.10.0/24。 源端口范围 端口号（例如88）或端口段（例如68，小数在前，表示端口6、7、8），“1/1”代表不限制端口，可输入端口范围是065535。 目的地址 CIDR网段格式，如：192.168.10.0/24。 目的端口范围 端口号（例如88）或端口段（例如68，小数在前，表示端口6、7、8），“1/1”代表不限制端口，可输入端口范围是065535。 应用/应用组 可分别选择单个应用或应用组，总数限制最多可选255个应用，非必填。 7. 单击“确定”，完成策略创建。

此小节介绍避免勒索 事前举措 由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性， 解决勒索攻击的首要是构建“安全能力前置”，提升自身的“免疫力” 。 建议按照如下加固方式开展事前勒索防护： 收敛互联网暴露面： 定期扫描外部端口，保证公开范围最小化。 减少系统风险入口： 定期开展漏洞扫描及系统风险配置参数扫描，第一时间修复漏洞及风险项，减小系统风险等级。同时，应关注软件厂商发布的安全漏洞信息和补丁信息，及时做好漏洞管理和修复工作。 加强网络访问控制： 各企业应具有明确的网络安全区域划分、访问限制规则，最小化开放访问权限，及时更新访问控制规则。 关键数据备份： 加强重要数据备份工作，可靠的数据备份可以最小化勒索软件带来的损失。需要主动加密存储和定期备份关键业务数据，并合理设置备份保留策略，确保被勒索攻击后存在有效副本可以恢复数据。 加强帐号权限管控： 通过身份管理、细粒度权限控制等访问控制规则为企业不同角色分配帐号并授权，同时应提升特权账户的安全性。在另一方面，企业关键业务资产，需要妥善设置并保存帐号及口令信息。关键资产上，配置双因素认证鉴别登录人员身份，可有效防范系统爆破风险。 搭建高可靠业务架构： 采用集群模式的云服务部署模式。当某一个节点发生紧急问题，业务切换至备用节点，提升业务系统可靠性能力，也可防止数据丢失。在资源允许的条件下，企业或组织可以搭建同城或异地容灾备份系统，当主系统出现发生勒索事件后，可以快速切换到备份系统，从而保证业务的连续性。 制定安全事件应急预案： 建立应对勒索病毒攻击等网络安全突发事件的应急组织体系和管理机制，明确工作原则、职责分工、应急流程、关键措施等。一旦发生勒索病毒攻击事件，立即启动内部网络安全应急预案，标准化开展应急处置工作来减轻、消除勒索病毒攻击影响。 加强企业员工安全意识： 通过培训、演练等方式提高员工网络安全意识，明确国家网络安全法令及公司网络安全规范，能够识别网络钓鱼等常见的网络安全攻击，具备一定的事件处理能力，知晓安全事件带来的后果和影响。

错误码（Code） 错误信息（Message） OK OK 99999 系统内部错误 10001 包头ctyuneopak错误 10002 包头ctyuneopak错误 10003 包头ctyuneopak错误 10004 IP禁止访问（白名单） 10005 IP禁止访问（黑名单） 10006 包头ctyuneopak错误 10007 包头ctyuneopak错误 10008 签名验签失败（MD5环节） 10009 签名验签失败（HMAC环节） 10012 流控限制 10013 签名验签失败（RSA) 10015 触发熔断 10018 eopdate过期 30001 param error 30003 鉴权失败 30004 没有记录 30005 已经有记录，请勿重复提交 30006 URL错误，或者响应状态码不是200x 30007 图片太大 30008 变量名不合法 30009 变量名与模板定义不一致 30010 缓存错误 30011 不支持的图片扩展 30012 错误的BASE64编码 30013 签名不存在或者未审核通过 30014 模板不存在或者未审核通过 30015 用户不存在或者没有开通短信业务 30016 黑名单不存在 30017 通道不存在 30018 导出记录不存在 30019 区域码不存在 30020 白名单不存在 30021 资源包没有余量 30022 欠费或者未开通短信业务 30023 短链无记录或者删除 30024 签名不存在或者未审核 30025 签名为空 30026 签名已审核通过，不能删除 30027 扩展码已经被其他签名使用 30028 当签名选择为他用时，上传凭证至少2个 30029 手机号码为空 30030 手机号码错误 30031 黑名单用户 30032 模板编号为空 30033 模板没有记录 30034 变量不是JSON字符串 30035 变量错误 30036 模板已被审核 30037 超过设定日限制发送量 30038 超过设定月限制发送量 30039 超过单个手机号码日发送量 30040 超过单个手机号码每小时发送量 30041 超过单个手机号码每分钟发送量 30042 区域码错误 30043 时间错误 30044 发送短信接口每秒调用次数上限，超过频率限制 30045 文件错误 30046 角色错误 30047 管理后台菜单错误 30048 没有权限 30049 接口鉴权失败 30050 IAM权限验证错误 30051 该省无发送权限 30061 资质证明文件数量错误 30062 无该资质的记录 30063 资质已审核通过 30064 资质未审核或审核不通过 30065 已审核通过的资质不允许删除 30066 已提交该企业的资质记录 40001 个人用户，请重新认证为企业用户 40002 已订购免费套餐

本文介绍OCSP装订（OCSP Stapling）功能的使用方法。 功能介绍 OCSP（Online Certificate Status Protocol，在线证书状态协议），是由数字证书颁发机构CA（Certificate Authority）提供的一个在线证书查询接口，它建立一个可实时响应的机制，客户端发送查询证书请求到CA服务器，然后CA服务器实时响应验证证书是否合法有效。 客户端会在TLS握手时去实时查询OCSP接口，并在获得查询结果前会阻塞后续流程，在网络不佳时会造成较长时间的页面空白，降低HTTPS性能，严重影响用户体验。 开启OCSP装订（OCSP Stapling）功能后，由CDN进行OCSP信息查询并将查询结果缓存到服务器中。当客户端向服务器发起TLS握手请求时，CDN服务器将证书的OCSP信息和证书一起发送到客户端，供用户验证，无需用户再向数字证书认证机构（CA）发送查询请求。极大地提高TLS握手效率，提升HTTPS性能。 由于OCSP响应是无法伪造的，因此这一过程也不会产生额外的安全问题。 适用场景 开启HTTPS功能后希望提升TLS握手效率，提升HTTPS性能，使网站访问速度更快，用户体验更好。 注意事项 1. 使用OCSP Stapling功能前需先勾选【请求协议】中的【HTTPS】。 2. OCSP Stapling功能默认关闭。 3. OCSP Stapling功能默认缓存1个小时，缓存过期后第一个访问请求OCSP Stapling不生效。 4. 客户端需支持OCSP扩展字段，如果客户端不支持OCSP扩展字段，则该功能无法生效。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 在【OCSP Stapling】模块，开启功能。 9. 单击【保存】，完成配置。 参数名 说明 OCSP Stapling 默认关闭，即不开启OCSP Stapling功能。开启OCSP Stapling功能之前，需要先完成HTTPS证书配置。