本文为您介绍Windows弹性云主机远程连接没有声音问题的处理方法。 故障描述 购买Windows弹性云主机后，通过MSTSC远程连接，发现没有声音。通过MSTSC远程连接的Windows弹性云主机如何播放音频？ 约束限制 本节内容适用于Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019系统的弹性云主机。 故障原因 Windows弹性云主机默认禁用音频设备，导致无法通过远程桌面的方式使用音频设备。如需播放音频、使用多媒体音频功能，可参见本节内容进行设置。 解决步骤 第1步：启动Windows Audio服务 1. 打开“运行”窗口。 2. 输入“services.msc”，打开“服务”。 3. 找到“Windows Audio”服务，并按如下方式设置。 启动类型：自动 服务状态：启动 以Windows 2016操作系统为例，如下图所示。 第2步：开启音频和视频播放功能 操作系统不同， “音频和视频播放”功能开启方法不同。 Windows 2008系统 1. 启用RDPTCP的“音频和视频播放”以及“录制音频”。 a. 打开“远程桌面会话主机配置”控制台。 打开“开始”菜单，选择“控制面板”。 单击右上角的“查看方式”下拉菜单，选择“类别”。 选择“系统和安全 > 管理工具 > 远程桌面服务 >远程桌面会话主机配置”。 b. 取消勾选“音频和视频播放”、“录制音频”。 在“连接”列表里面双击“RDPTcp”，选择“客户端设置”，取消勾选“音频和视频播放”和“录制音频”，如下图所示。 c. 单击“确定”，激活音频设备。 2. 重启弹性云主机并登录。 重启弹性云主机后，声卡的标识依旧是显示音频服务未运行。这是因为服务未开启，操作开启音频服务后如下图所示。 3. 打开网页播放音乐，即可验证播放音频成功。 以Windows 2016为例，如下所示： a. 打开“运行”窗口。 b. 输入 gpedit.msc，打开“组策略”。 c. 依次单击“计算机配置 > 管理模版 > windows 组件 >远程桌面服务 > 远程桌面会话主机 > 设备和资源 重定向”，打开“允许音频和视频播放重定向”。 d. 选择“已启用”，按“应用”确定。 e. 打开“运行”窗口，执行以下命令，刷新组策略。

接口功能介绍 将堡垒机重启运行。 接口约束 天翼云用户。 URI POST /osm/v2/console/restartInstance 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 vmId 是 String 主机id 700c065cbbd35b8aa07d551dba4a5141 响应参数 参数 参数类型 说明 示例 下级对象 error String 接口错误详情 statusCode String 接口请求状态码 00000表示成功，其他为失败 message String 请口操作结果说明 操作成功或失败说明 returnObj Object 返回对象 枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body { "vmId": "700c065cbbd35b8aa07d551dba4a5141" } 响应示例 { "statusCode": "00000", "message": "操作成功", "returnObj":{} } 状态码 请参考 状态码 错误码 请参考 错误码

接口功能介绍 将关闭运行的堡垒机启动运行。 接口约束 天翼云用户。 URI POST /osm/v2/console/startInstance 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 vmId 是 String 主机id 700c065cbbd35b8aa07d551dba4a5141 响应参数 参数 参数类型 说明 示例 下级对象 error String 接口错误详情 statusCode String 接口请求状态码 00000表示成功，其他为失败 message String 请口操作结果说明 操作成功或失败说明 returnObj Object 返回对象 枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body { "vmId": "700c065cbbd35b8aa07d551dba4a5141" } 响应示例 { "statusCode": "00000", "message": "操作成功", "returnObj":{} } 状态码 请参考 状态码 错误码 请参考 错误码

本页介绍天翼云TeleDB数据库中定期清理长事务、长时间未结束的SQL的原因和操作。 长事务、长时间未结束的SQL，对数据库危害极大，会导致表膨胀严重，垃圾回收不成功，XID回收异常，甚至会让XID耗尽而导致数据库进入只读状态。 特别注意：长事务会导致VACUUM FULL也没有办法回收空间，即使长事务的表和VACUUM FULL的表没有关系。 应定期检查并清理长事务、长时间未结束的SQL： 连接所有CN、DN主节点，执行以下SQL，查询超过1小时的会话： select pid,clientaddr,statechange,querystart,statechange,EXTRACT(EPOCH FROM (now()querystart)),query,state,usename,applicationname from pgstatactivity where EXTRACT(EPOCH FROM (now()querystart))> 3600 and state!'idle';

云主机购买成功后，是否可以更换区域？ 暂不支持。 请选择距离您业务最近的区域，并购买弹性云主机。 不同区域之间的云主机可以使用负载均衡吗？ 共享型负载均衡不支持跨区域关联后端服务器，独享型负载均衡支持跨区域、跨VPC添加后端服务器。 是否可以在不同的区域之间实施应用灾备？ 可以。 您可以将应用的主备节点部署到不同的区域，当主节点应用出现故障，备节点应用可以继续为您的客户提供服务。 公有云是否提供应用灾备的相关服务？ 暂时没有标准的灾备方案，如果您需要，请联系我们，我们将结合您的应用场景给您做定制方案。 一个应用软件是否可以将应用软件中不同的部件分散部署到不同的区域？ 可以，但是不建议这种部署方式。 建议将一个应用软件内的不同部件部署到同一个区域，这样不同部件之间的通信可以采用内网网络通信，既可以节省因采用公网网络通信带来的带宽费用，又可以保证不同部件之间的网络通信质量。

本章节进行Ingress相关概述介绍 概述 K8s Ingress用于暴露集群内部的服务给给外部访问，作为流量入口承载所有外部进入集群内部的流量；通过K8s Ingress资源可以配置外部流量访问集群内部服务的各种规则，实现流量路由、负载均衡等丰富的流量治理策略。除了路由策略配置，还需要数据面实际承载流量，执行Ingress中指定的路由策略，这里的数据面对应K8s Ingress controller，整体架构如下： MSE云原生网关支持标准K8s Ingress，当前MSE云原生网关为虚机部署模式，通过在云容器引擎集群中部署mse ingress controller把Ingress资源转成网关配置资源并下发，整体架构如下： 组件功能说明 1. mse ingress controller：K8s controller，监听K8s Ingress及apisix Ingress资源，转成数据面配置并下发到数据面。 2. mse云原生网关：承载业务流量的数据面，接收控制台及mse ingress controller下发的配置指令。 注意 通过Ingress生成的配置不可以通过控制台修改

Logstash部署在弹性云主机上时导入数据 当Logstash部署在同一VPC的弹性云主机时，导入数据的流程说明如下图所示。 Logstash部署在弹性云主机上时导入数据示意图 1.确保已部署Logstash的弹性云主机与待导入数据的集群在同一虚拟私有云下，已开放安全组的9200端口的外网访问权限，且弹性云主机已绑定弹性IP。 说明 如果同一个VPC内有多台服务器，只要其中一台绑定了弹性IP，其他的服务器可以不需要绑定弹性IP。通过绑定弹性IP的节点跳转到部署Logstash的节点即可 。 如果有专线或者VPN，也不需要绑定弹性IP。 2.使用PuTTY登录弹性云主机。 例如此服务器中存储了需要导入的数据文件“access20181029log”，文件存储路径为“/tmp/accesslog/”，此数据文件中包含的数据如下所示： All Heap used for segments 18.6403 MB All Heap used for doc values 0.119289 MB All Heap used for terms 17.4095 MB All Heap used for norms 0.0767822 MB All Heap used for points 0.225246 MB All Heap used for stored fields 0.809448 MB All Segment count 101 All Min Throughput indexappend 66232.6 docs/s All Median Throughput indexappend 66735.3 docs/s All Max Throughput indexappend 67745.6 docs/s All 50th percentile latency indexappend 510.261 ms 3.执行如下命令在Logstash的安装目录下新建配置文件logstashsimple.conf。 cd / / vi logstashsimple.conf 在配置文件logstashsimple.conf中输入如下内容。 input { 数据所在的位置 } filter { 数据的相关处理 } output { elasticsearch{ hosts > " "} } input：指明了数据的来源。实际请根据用户的具体情况来设置。 filter：对日志进行了提取和处理，将非结构化信息转换为结构化信息。 output：指明了数据的目的地址。 为集群中节点的内网访问地址和端口号。 当集群包含多个节点时，为了避免节点故障，建议将上述命令中 替换为该集群中多个节点的内网访问地址和端口号，多个节点的内网访问地址和端口号之间用英文逗号隔开，填写格式请参见如下示例。 hosts > ["192.168.0.81:9200","192.168.0.24:9200"] 当集群只包含一个节点时，填写格式请参见如下示例。 hosts > "192.168.0.81:9200" 以步骤2中“/tmp/accesslog/”的数据文件为例，输入数据文件从首行开始，且过滤条件保持为空，即不做任何数据处理操作。需导入数据的集群，其节点内网访问地址和端口号为“192.168.0.81:9200”。导入数据的索引名称为“myindex”。配置文件的示例如下所示，配置文件按实际数据情况修改完成后，输入“:wq”保存。 input { file{ path > "/tmp/accesslog/" startposition > "beginning" } } filter { } output { elasticsearch { hosts > "192.168.0.81:9200" index > "myindex" documenttype > "mytype" } } 如果集群开启了安全模式，则需要先下载证书。 a. 在集群基本信息页面下载证书。 详见下图：下载证书 b. 将下载的证书存放到部署logstash服务器中。 c. 修改配置文件logstashsimple.conf。 以步骤2中“/tmp/accesslog/”的数据文件为例，输入数据文件从首行开始，且过滤条件保持为空，即不做任何数据处理操作。跳转主机的公网IP和端口号为“192.168.0.227:9200”。导入数据的索引名称为“myindex”，证书存放路径为“/logstash/logstash6.8/config/CloudSearchService.cer”。配置文件的示例如下所示，配置文件按实际数据情况修改完成后，输入“:wq”保存。 input{ file { path > "/tmp/accesslog/" startposition > "beginning" } } filter { } output{ elasticsearch{ hosts > [" index > "myindex" user > "admin" password > "" cacert > "/logstash/logstash6.8/config/CloudSearchService.cer" } } 说明 password：登录安全集群的密码 。 4.执行如下命令将Logstash收集的弹性云主机的数据导入到集群中。 ./bin/logstash f logstashsimple.conf 5.登录云搜索服务管理控制台。 6.在左侧导航栏中，选择“集群管理”，进入集群列表页面。 7.在集群列表页面中，单击待导入数据的集群“操作”列的“Kibana”。 8.在Kibana的左侧导航中选择“Dev Tools”，单击“Get to work”，进入Console界面。 9.在已打开的Kibana的Console界面，通过搜索获取已导入的数据。 在Kibana控制台，输入如下命令，搜索数据。查看搜索结果，如果数据与导入数据一致，表示数据文件的数据已导入成功。 GET myindex/search

本章节主要介绍数据目录权限管理。 约束与限制 仅管理员角色的用户支持创建、删除、修改数据目录权限规则和设置数据目录权限生效状态。 开发者、运维者和访客角色的用户仅支持查看数据目录权限规则和规则列表。 管理数据目录权限规则 1. 在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据目录”模块，进入数据目录页面。 详见下图：选择数据目录 2. 选择“数据权限 > 数据目录权限”，单击“新建”，配置数据目录权限规则。 a.规则名称：设置数据权限规则的名称。 b.类型：当前支持从标签、密级和分类的维度进行过滤筛选。 c.范围：选择实际的标签、密级和分类。 d.用户：配置的数据目录权限规则所适配的用户。 e.生效：打开，表示该数据目录权限规则生效。反之，不生效。 说明 数据目录权限规则生效后，仅该数据目录权限规则所适配的用户，可管理限定标签或者分类的数据资产。例如设置类型为标签，范围选择test，用户设置为A，当开启权限规则后，A用户只可管理test标签的资产。 详见下图：新建规则 3. 在数据权限规则列表中，选择对应规则后的编辑和删除，可修改和删除数据权限规则。

监控指标 说明 入网带宽 该指标用于统计测试对象入云方向单位时间内网络消耗带宽的平均值 出网带宽 该指标用于统计测试对象出云方向单位时间内网络消耗带宽的平均值 入网流量 该指标用于统计测试对象入云方向的网络流量 出网流量 该指标用于统计测试对象出云方向的网络流量 入网带宽使用率 该指标用于统计测试对象入云方向单位时间内消耗的峰值带宽和总带宽的百分比（当最大突发流量小于2秒，可能存在使用率偏小的情况） 出网带宽使用率 该指标用于统计测试对象出云方向单位时间内消耗的峰值带宽和总带宽的百分比（当最大突发流量小于2秒，可能存在使用率偏小的情况） 入方向丢包数 该指标用于统计测试对象入云方向被丢弃数据包的个数 出方向丢包数 该指标用于统计测试对象出云方向被丢弃数据包的个数 入方向丢包率 该指标用于统计测试对象入云方向被丢弃数据包的百分比 出方向丢包率 该指标用于统计测试对象出云方向被丢弃数据包的百分比

本文为您介绍删除路由表关联转发的操作流程。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理 ”页签，单击目标云企业路由器实例名称（或者单击操作列的“配置”），进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“路由管理”页签，在页签左侧区域单击目标的路由表。 6. 在页签右侧区域，点击“关联转发”，进入关联转发页签。 7. 在关联转发页签中，找到目标网络实例名称，在操作列，单击“删除”，弹出删除确认弹窗。 8. 在删除确认弹窗中，单击“确定”，完成删除目标网络实例关联转发关系操作。

此小节介绍使用Web浏览器登录云堡垒机。 云堡垒机基于Web浏览器登录系统的方式，可通过各大主流浏览器登录，并可使用系统管理和资源运维功能。建议系统管理员admin或管理员使用Web浏览器登录进行系统管理和授权审计。 支持的登录方式包括静态密码、手机短信、手机令牌、USBKey、动态令牌等。 前提条件 已绑定弹性公网IP。 操作步骤 1 启动浏览器，在Web地址栏中输入系统登录地址，进入系统登录页面。 登录地址： 。例如， 2 选择登录方式。 3 按选择的登录方式，依次填入登录名、静态密码、动态验证码等信息。 详情请分别参见如下说明。 使用静态密码登录 1 选择“密码登录”方式。 2 依次输入用户登录名、帐户登录密码。 3 单击“登录”，验证通过后即可登录系统。 静态密码登录 使用手机短信登录 手机号码需能正常接收短信。 1 选择“手机短信”方式。 2 依次输入用户登录名、帐户登录密码。 3 单击“获取验证码”，收到短信消息后，输入6位OTP口令。 4 单击“登录”，验证通过后即可登录系统。 手机短信登录 使用手机令牌登录 手机时间必须与云堡垒机系统时间一致，精确到秒。 云堡垒机的手机令牌小程序是存储在小程序的缓存之中，手机后台可能会误清除小程序缓存，导致用户手机令牌消失。 建议您保存申请手机令牌时的二维码图片，万一出现上述情况再次扫描即可。 1 选择“手机令牌”方式。 2 依次输入用户登录名、帐户登录密码。 3 打开手机令牌客户端，获取动态口令，输入6位OTP口令。 4 单击“登录”，验证通过后即可登录系统。 使用USBKey登录 1 选择“USBKey”方式。 2 接入USBKey，自动识别已签发USBKey。 3 输入PIN码。 4 单击“登录”，验证通过后即可登录系统。

本节主要介绍NAT的约束与限制。 公网NAT网关 关于公网NAT网关的使用，您需要注意以下几点： 公共限制 同一个公网NAT网关下的多条规则可以复用同一个弹性公网IP，不同网关下的规则必须使用不同的弹性公网IP。 一个VPC支持关联多个公网NAT网关。 SNAT、DNAT可以共用同一个弹性公网IP，节省弹性公网IP资源。但是在选用全端口模式下，DNAT优先占用全部端口，这些端口不能被 SNAT 使用。因此SNAT规则不能和全端口的DNAT规则共用EIP，以免出现业务相互抢占问题。 公网NAT网关支持转换的资源类型不包括企业型VPN。 当云主机同时配置弹性公网IP服务和公网NAT网关服务时，数据均通过弹性公网IP转发。 出于安全因素考虑，部分运营商会对下列端口进行拦截，导致无法访问。建议避免使用下列端口： 协议 不支持端口 TCP 42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 4790 5554 5800 5900 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 4790 5554 9996 NAT 网关支持 TCP、UDP 和 ICMP 协议，暂不支持ALG 相关技术，且GRE 隧道和 IPSec 使用的 ESP、AH无法使用 NAT 网关，这是由NAT网关本身的特性决定的。 SNAT限制 VPC内的每个子网只能添加一条SNAT规则。 SNAT规则中添加的自定义网段，对于云专线的配置，必须是云专线侧网段，且不能与虚拟私有云侧的网段冲突。 公网NAT网关支持添加的SNAT规则的数量没有限制。 DNAT限制 一个云主机的一个端口对应一条DNAT规则，一个端口只能映射到一个EIP，不能映射到多个EIP。 公网NAT网关支持添加的DNAT规则的数量为200个。

规格 表 C1型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽 最大收发包能力 虚拟化类型 c1.medium 1 1 低 低 XEN c1.large 2 2 低 低 XEN c1.xlarge 4 4 中 中 XEN c1.2xlarge 8 8 中 中 XEN c1.4xlarge 16 16 中 中 XEN 表 C2型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽 最大收发包能力 虚拟化类型 c2.medium 1 2 低 低 XEN c2.large 2 4 低 低 XEN c2.xlarge 4 8 中 中 XEN c2.2xlarge 8 16 中 中 XEN c2.4xlarge 16 32 中 中 XEN c2.8xlarge 32 64 中 中 XEN 表 S1型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽 最大收发包能力 虚拟化类型 s1.medium 1 4 低 低 XEN s1.large 2 8 低 低 XEN s1.xlarge 4 16 中 中 XEN s1.2xlarge 8 32 中 中 XEN s1.4xlarge 16 64 中 中 XEN s1.8xlarge 32 128 中 中 XEN 表 S3型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 虚拟化类型 s3.small.1 1 1 0.3/0.06 3 1 KVM s3.medium.2 1 2 0.3/0.06 3 1 KVM s3.large.2 2 4 0.5/0.12 6 1 KVM s3.xlarge.2 4 8 1/0.25 9 1 KVM s3.2xlarge.2 8 16 1.5/0.5 12 2 KVM s3.4xlarge.2 16 32 2.5/1 18 4 KVM s3.medium.4 1 4 0.3/0.06 3 1 KVM s3.large.4 2 8 0.5/0.12 6 1 KVM s3.xlarge.4 4 16 1/0.25 9 1 KVM s3.2xlarge.4 8 32 1.5/0.5 12 2 KVM s3.4xlarge.4 16 64 2.5/1 18 4 KVM 表 S6型弹性云主机的规格 规格名称 vCPU 内存(GiB) 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 虚拟化类型 s6.small.1 1 1 0.8/0.1 10 30 1 2 KVM s6.medium.2 1 2 0.8/0.1 10 30 1 2 KVM s6.large.2 2 4 1.5/0.2 15 30 1 2 KVM s6.xlarge.2 4 8 2/0.35 25 30 1 2 KVM s6.2xlarge.2 8 16 3/0.75 50 30 2 2 KVM s6.medium.4 1 4 0.8/0.1 10 30 1 2 KVM s6.large.4 2 8 1.5/0.2 15 30 1 2 KVM s6.xlarge.4 4 16 2/0.35 25 30 1 2 KVM s6.2xlarge.4 8 32 3/0.75 50 30 2 2 KVM s6.4xlarge.2 16 32 6/2 100 50 4 2 KVM s6.4xlarge.4 16 64 6/2 100 50 4 2 KVM 表 S7n型弹性云主机的规格 规格名称 vCPU 内存(GiB) 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 辅助网卡个数上限 虚拟化类型 s7n.small.1 1 1 0.8/0.1 10 30 1 2 4 KVM s7n.medium.2 1 2 0.8/0.1 10 30 1 2 4 KVM s7n.large.2 2 4 1.5/0.2 15 30 1 2 8 KVM s7n.xlarge.2 4 8 2/0.35 25 30 1 2 16 KVM s7n.2xlarge.2 8 16 3/0.75 50 30 2 2 32 KVM s7n.4xlarge.2 16 32 6/1.5 100 30 4 2 32 KVM s7n.medium.4 1 4 0.8/0.1 10 30 1 2 4 KVM s7n.large.4 2 8 1.5/0.2 15 30 1 2 8 KVM s7n.xlarge.4 4 16 2/0.35 25 30 1 2 16 KVM s7n.2xlarge.4 8 32 3/0.75 50 30 2 2 32 KVM s7n.4xlarge.4 16 64 6/1.5 100 30 4 2 64 KVM 表 S7型弹性云主机的规格 规格名称 vCPU 内存(GiB) 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 辅助网卡个数上限 云硬盘基础带宽（Gbps） 云硬盘最大IOPS（万） 虚拟化类型 s7.large.2 2 4 1.5/0.2 15 30 1 2 8 0.4 0.8 KVM s7.xlarge.2 4 8 2/0.35 25 30 1 2 16 0.8 1.6 KVM s7.2xlarge.2 8 16 3/0.75 50 30 2 2 32 0.8 1.6 KVM s7.large.4 2 8 1.5/0.2 15 30 1 2 8 0.4 0.8 KVM s7.xlarge.4 4 16 2/0.35 25 30 1 2 16 0.8 1.6 KVM s7.2xlarge.4 8 32 3/0.75 50 30 2 2 32 0.8 1.6 KVM

本文为您介绍IAM授权与企业项目授权的区别。 IAM授权是指授权范围在具体资源池或全局的授权关系。可以在授权管理、用户组或用户中查看IAM授权关系。 企业项目授权是指在企业项目上，设置用户组和设置策略后形成的授权关系。只能在企业项目下，通过查看用户组的关联策略，查看企业项目授权关系。 IAM授权与企业项目授权的区别 支持的服务 IAM授权支持的服务，可以参考使用IAM授权的云服务。 企业项目授权支持的云服务及对应资源类型请以控制台界面显示为准。 进入“企业项目管理”页面，在企业项目列表中单击任一企业项目操作列的“查看资源”，系统进入企业项目详情页面，在“资源”页签下可查看企业项目支持的服务及其对应资源类型等信息。此处展示的服务代表支持进行企业项目授权。 资源隔离 IAM授权时，支持通过资源池隔离授权（对于作用范围时资源池级别的策略）和资源路径实现资源隔离（对于支持策略中使用资源路径“Resource”字段进行资源隔离的云服务） 企业项目授权时，支持通过创建企业项目，隔离企业不同项目之间的资源，企业项目的资源隔离效果不受物理资源池的限制，可以实现子用户仅能看到不同资源池上部分资源的效果。 授权覆盖 相同Action时，IAM授权的优先级高于企业项目授权，会表现出授权覆盖的鉴权结果。例如，用户组1在IAM中授权了允许创建云主机，在企业项目A上授权了拒绝创建云主机，那么对于一台华东1的云主机，如果这台云主机位于企业项目A下，此时用户组1的用户进行创建云主机的操作时，鉴权结果为Allow，因为IAM授权在相同Action下优先级高于企业项目授权。 用户组1在华东1资源池上的IAM授权策略中包含以下Action： plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 同理，将IAM和企业项目中的策略更换为以下的形式，在相同情境下，鉴权结果为Deny。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 此外，对于相同Action，IAM授权的范围也会覆盖企业项目的授权范围。例如，华东1资源池上有云主机a和云主机b，云主机资源a属于企业项目A，云主机资源b属于企业项目B。此时，如果用户组仅存在下列授权，没有在企业项目B上进行授权，用户组1下的子用户仍然可以看见企业项目B下的云主机b，这是因为华东1资源池上存在相同Action的读取权限，鉴权时优先判断该用户能够查看华东1上的所有资源（云主机a和云主机b），覆盖了企业项目的资源隔离效果。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ " ecs:cloudServers:list" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ " ecs:cloudServers:list" ], "Effect": "Allow" } 而如果策略中包含不同的Action，则IAM和企业项目的授权都生效，以下示例表示用户可以在企业项目A上创建云主机，也可以在华东1资源池上查看云主机安全组列表。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ " ecs:ServersGroups:list" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" }

AOF文件在什么情况下会被重写 AOF文件重写涉及到以下两个概念。 重写时间窗：目前该时间窗为凌晨1:00 4:59。 磁盘阈值：即磁盘的使用率超过50%，即认为达到阈值。 AOF文件在以下三种情况下会被重写。 如果磁盘达到阈值（无论是否处于时间窗内）： AOF文件大小 > 内存数据集大小的实例会被重写。 如果磁盘未达到阈值且是重写时间窗：AOF文件大小 > 数据集内存 1.5的实例会被重写。 如果磁盘未达到阈值且是非重写时间窗：AOF文件大小 > 最大内存 4.5的实例会被重写。 一个数据迁移能迁移到多个目标实例么？ 不能，一个迁移任务只能迁移到一个目标实例。要迁移到多个目标实例需要创建多个迁移任务。 怎么放通SYNC和PSYNC命令？ DCS云服务内部进行迁移： 自建Redis迁移至DCS，默认没有禁用SYNC和PSYNC命令； DCS的Redis之间进行迁移，如果是同一帐号相同Region进行在线迁移，在执行迁移时，会自动放通SYNC和PSYNC命令； 如果是不同Region或相同Region不同帐号进行的在线迁移，不会自动放通SYNC和PSYNC命令，无法使用控制台的在线迁移。推荐使用备份文件导入方式迁移。 其他云厂商迁移到DCS云服务： 一般云厂商都是禁用了SYNC和PSYNC命令，如果使用DCS控制台的在线迁移功能，需要联系源端的云厂商运维人员放通此命令。离线迁移，推荐使用备份文件导入方式。 如果不需要增量迁移，可以参考使用Redisshake工具在线全量迁移其他云厂商Redis进行全量迁移，该方式不依赖于SYNC和PSYNC。

参数 说明 host MySQL实例的内网地址或外网地址。 1、内网地址：当应用部署在弹性云主机上，且该弹性云主机与MySQL实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与MySQL实例。 2、外网地址：其他情况均使用外网地址。 port 根据您使用的连接地址选择对应的端口。 yourDatabase 所连接的数据库名称。 yourUserName 所访问MySQL实例的账号名称。 yourPassword 所访问MySQL实例的账号对应的密码

本节简要介绍访问控制基本信息。 用户身份管理和访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 您只需为您在天翼云账户中的资源付费，无需为IAM单独付费。 注意 OOS的IAM能力和天翼云官网的IAM能力不互通。 功能特性 只要您拥有一个天翼云账号，即可拥有IAM功能，天翼云账号管理员可以： 创建、管理子用户账号。 控制子用户账号内资源具有的操作权限。 按需为用户分配不同权限，从而避免与其他用户共享资源使用、访问密钥的使用等，降低账号的信息安全风险。 多重身份认证：通过多因子操作认证（MFA）,在进行IAM相关操作时，可以使用MFA，为操作增加一份安全保障。 应用场景 用户管理与分权 企业中有不同的员工，各自职责不同，权限不同。有的员工需要进行上传下载对象的操作，有的员工只需要查看统计信息，有的员工只需要查看日志信息。通过IAM，可以为不同的员工分配不同的操作权限。 基本概念 根用户 ：用户首次创建CTYUN账户时，最初使用的是一个对账户中所有服务和资源有完全访问权限的登录身份，此身份称为根用户。 IAM用户： IAM用户是OOS中的一个实体，该实体代表使用它与OOS进行交互的人员或应用程序，由CTYUN账户在OOS中创建的用户，也称为子用户。默认情况下，新用户无权执行任何OOS操作或访问任何OOS资源。 用户组 ：用户组是用户的集合，IAM可以将IAM用户添加到对应的用户组，通过对用户组进行授权管理IAM用户，用户组的权限会影响用户组内的IAM用户。建议具备相同权限的IAM用户添加到同一用户组，方便管理。同一个IAM用户可以同时加入多个用户组。 MFA ：多因子认证（MultiFactor Authentication，简称MFA）是一种简单安全的二次认证方式，为用户增加了一层安全保护。仅子用户支持MFA。 授权 ：通过给用户组和用户添加策略，用户就能获得策略中定义的权限，这一过程称为授权。 策略 ：策略是以JSON格式描述权限信息的集合，可以精确地描述被授权的资源集、操作集以及授权条件。支持系统策略和自定义策略： 系统策略：OOS预先创建好的策略，用户可以根据自身需求，直接引用。对于系统策略，用户只能使用，不能修改。 自定义策略：用户自己创建的策略，用户可以对该类型策略进行修改和删除。

当您在云应用引擎上进行应用部署、启动、扩容/缩容等生命周期操作后，可以查看变更记录的创建时间、执行耗时、操作人等关键信息。 功能入口 1. 在云应用引擎控制台左侧导航栏选择应用管理 > 应用列表。 2. 在应用列表页面，单击目标应用名称，进入应用基本信息页。 3. 在左侧导航栏中单击变更记录，即可查看应用的历史变更操作。

本节介绍了云容器引擎的最佳实践：ELB访问控制配置。 应用场景 云容器引擎实例支持通过EIP+ELB暴露APIServer服务，用户可通过配置ELB的访问控制限制访问APIServer的入口流量。 注意事项 若配置ELB访问控制白名单，请放通以下流量，确保CCE控制台正常访问集群。 端口 协议 源地址 说明 全部 TCP 198.19.128.0/20 VPCE内网地址段，控制台通过VPCE访问APIServer

进入控制台 1. 登录云等保专区控制台。 2. 在左侧导航选择“主机安全 > 主机安全v1.0”，进入主机安全v1.0资源列表页面。 3. 单击目标资源操作列的“配置”，跳转到主机安全v1.0控制台。 使用主机安全v1.0 了解更多主机安全v1.0相关操作内容，请下载阅读《云等保专区主机安全 v1.0 用户指南》。

参数 参数类型 说明 示例 下级对象 vpcFlowMax Long vpc峰值带宽 vpcFlowProcessingCapacity Integer 带宽规格 percentage Double 百分比 vpcPeerProtectCount Integer 对等连接已防护数量 vpcPeerUnProtectCount Integer 对等连接未防护数量 cdaProtectCount Integer 云专线已防护数量 cdaUnProtectCount Integer 云专线未防护数量 ecProtectCount Integer 云间高速已防护数量 ecUnProtectCOunt Integer 云间高速未防护数量 vpcUsedQuotaCount Integer vpc配额已使用数量 vpcUnUsedQuotaCount Integer vpc配额未使用数量 vpcQuotaCount Integer vpc配额数量

云通信能力技术服务协议为使用通信能力技术服务，您应当阅读并遵守《云通信能力技术服务协议》（以下简称“本协议”）。在接受本协议之前，请您务必仔细阅读本协议的全部内容，特别是免除或者限制责任的条款以及管辖法院 自2022年7月4日起，新版服务协议生效，详情请参见[](

本节介绍了如何在控制台导出端口接入规则。 使用场景 您可以在控制台导出所有的端口接入配置。 前提条件 已开通DDoS高防（边缘云版）。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【端口接入】页面。 3.点击右上角【导出】按钮。 4.系统将自动导出“端口转发规则.xls”文件，文件中将包含：转发协议、转发端口、源站端口、回源转发模式、源站信息。

本文主要介绍 在使用专属分布式存储的过程中，不扩容可能存在哪些风险 在使用专属云（存储独享型）的过程中，若“已使用容量（GB）”/“总可用容量（GB）”比率达到75%时，建议用户进行扩容。如果容量使用率一直保持较高状态，当使用率达到100%时将触发存储池写保护，导致数据无法写入云硬盘，影响用户的正常业务。所以，在使用率达到75%以后，建议用户进行扩容。

前提条件 已获取管理控制台的登录帐号与密码。 已经配置好安全组。 弹性云服务器的“Agent状态”为“未安装”。 通过IE浏览器访问时需要将用到的网站加入受信任的站点。 安装Linux版本客户端（方式一） 步骤1、登录云服务备份管理控制台。 1. 登录管理控制台。 2. 单击管理控制台右上角的，选择区域和项目。 3. 选择“存储 > 云服务备份”。选择对应备份的页签。 步骤2、选择“安装Agent”页签，进入“安装Agent”页面。 步骤3、在方式一中，根据需要选择相应的Agent版本，并将步骤二的安装命令复制下来。 步骤4、前往“弹性云服务器”界面，选择目标服务器，单击“操作”列下的“远程登录”，登录该弹性云服务器。 步骤5、将步骤二的安装命令粘贴至该服务器，以root权限执行。若执行失败，请先使用命令yum install y bindutils进行dig模块安装；若使用该命令安装仍旧失败，再使用安装Linux版本客户端（方式二）进行安装。 步骤6、Linux系统客户端安装完成后，即表示Agent已在正常工作。后续请参考最佳实践中修改或编写自定义脚本，来实现MySQL或SAP HANA等数据库的一致性备份。 安装Linux版本客户端（方式二） 步骤1、登录云服务备份管理控制台。 1. 登录管理控制台。 2. 单击管理控制台右上角的，选择区域和项目。 3. 选择“存储 > 云服务备份”。选择对应备份的页签。 步骤2、选择“安装Agent”页签，进入“安装Agent”页面。 步骤3、在方式二中，单击“点击下载”。在弹出的“下载客户端”，根据目标弹性云服务器的操作系统类型，选择需要下载的版本，单击“确定”。 步骤4、将客户端下载至本地任意目录后，使用文件传输工具（例如：“Xftp”、“SecureFX”、“WinSCP”），将下载的客户端安装包上传到待安装客户端的弹性云服务器。 步骤5、上传完毕后，前往“弹性云服务器”界面，选择目标服务器，单击“操作”列下的“远程登录”，登录该弹性云服务器。 步骤6、执行tar zxvf命令，将客户端安装包解压至任意目录，执行以下命令，进入解压后目录中的bin目录。 cd bin 执行以下命令，运行安装脚本。 sh agentinstallebk.sh 系统提示客户端安装成功。 步骤7、若弹性云服务器中已经安装了MySQL或SAP HANA数据库，需要执行以下命令加密MySQL或HANA数据库登录密码。 /home/rdadmin/Agent/bin/agentcli encpwd 步骤8、使用上一个步骤中的加密密码替换/home/rdadmin/Agent/bin/thirdparty/ebkuser/目录下脚本里的数据库登录密码。 步骤9、Linux系统客户端安装完成后，即表示Agent已在正常工作。后续请参考最佳实践中修改或编写自定义脚本，来实现MySQL或SAP HANA等数据库的一致性备份。

本页介绍天翼云TeleDB数据库的表填充因子设计规范。 对于更新（update/delete）频繁的表，要设置合适的填充因子，通常建议50～70%（默认100%），预留一部分页空间用于数据更新，这样可以减少或避免因部分字段更新而导致的索引更新问题（索引字段没有更新，但如果没有预留页空间，索引仍需要更新），而且并发性能更好。 可以设置表的填充因子，例如： alter table teledb1 set (fillfactor70); ALTER方式设置的填充因子，对于存量数据不会重新调整填充率，新写入的数据会按填充因子预留页空间；可以通过数据导出导入的方式更新存量数据填充率。 也可以在创建表时，指定填充因子，例如： create table teledb1(id int) with (fillfactor70);

本页介绍天翼云TeleDB数据库的同步复制机制。 TeleDB主从节点支持同步复制和异步复制。同步复制是指一种数据复制技术，它确保所有从节点备用数据在写操作完成后保持同步更新。您可以根据业务需求选择需要同步复制的从节点数量。如果您设置为同步复制模式，当业务请求发生后，需要DN从节点写入WAL日志成功，DN主节点确认写入成功，然后再将结果返回CN，CN再将结果返回给业务，从而确保主从节点的数据在任意时刻都保持一致。同步复制模式可以在所有节点级别进行设置，保证每个节点的主从数据一致，是整个容灾体系的基础。 同步复制机制如图所示:

本文主要介绍如何绑定弹性网卡到虚拟IP。 操作场景 通过将弹性网卡与虚拟IP绑定，使用户可以通过绑定的虚拟IP访问该弹性网卡绑定的服务器。 未绑定云主机实例的弹性网卡不能绑定虚拟IP。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在弹性网卡列表页，单击操作列的“更多 > 绑定虚拟IP”。进入虚拟IP列表页。 5. 在需要绑定的虚拟IP操作列，单击“绑定服务器”。 6. 选择服务器及网卡，单击“确定”。

本节主要介绍如何挂载文件系统到Linux云主机。 CIFS类型的文件系统不支持使用Linux操作系统的云主机进行挂载。本章节以Linux系统为例进行NFS类型的文件系统的挂载。 前提条件 确定云主机操作系统类型，不同操作系统安装NFS客户端的命令不同； 已完成创建文件系统，并获取到文件系统的共享路径； 选择与文件系统所属VPC相同的云主机进行挂载； 云主机上已配置了用于解析文件系统域名的DNS服务器的IP地址； 如果云主机需要通过IPv6地址挂载SFS Turbo文件系统，需要选择支持IPv6的云主机类型 约束与限制 说明 该约束仅针对本地挂载路径（即挂载点），不影响其他文件或目录。 暂不支持修改本地挂载路径（即挂载点）的元数据，即不支持对挂载点的元数据做如下操作： touch：更新文件的访问时间和修改时间 rm：删除文件或目录 cp：复制文件或目录 mv：移动文件或目录 rename：重命名文件或目录 chmod：修改文件或目录的权限 chown：修改文件或目录的所有者 chgrp：修改文件或目录的所属组 ln：创建硬链接 link：创建硬链接 unlink：删除硬链接 本地挂载路径（即挂载点根目录）的atime、ctime和mtime属性是当前时间，每次查询根目录属性返回的都是服务端当时时间的值。 操作步骤 1、以root用户登录弹性云主机； 2、安装NFS客户端： a) 查看系统是否安装NFS软件包； − CentOS、Red Hat、Oracle Enterprise Linux、SUSE、Euler OS、Fedora或OpenSUSE系统下，执行如下命令： rpm qagrep nfs − Debian或Ubuntu系统下，执行如下命令： dpkg l nfs 不同操作系统回显会有所不同，如果回显如下类似信息，说明已经成功安装NFS软件包，执行步骤3，如未显示，执行步骤2.2。 − CentOS、Red Hat、Euler OS、Fedora或Oracle Enterprise Linux系统下，回显如下类似信息： libnfsidmap nfsutils − SUSE或OpenSUSE系统下，回显如下类似信息： nfsidmap nfsclient − Debian或Ubuntu系统下，回显如下类似信息： nfscommon b) 如果查看到未安装，根据不同的操作系统，执行不同命令。执行以下命令前要求云主机已连接到互联网，否则安装NFS客户端失败； − CentOS、Red Hat、Euler OS、Fedora或Oracle Enterprise Linux系统下，执行如下命令： sudo yum y install nfsutils − Debian或Ubuntu系统下，执行如下命令： sudo aptget install nfscommon − SUSE或OpenSUSE系统下，执行如下命令： zypper install nfsclient 3、执行如下命令，查看是否能解析文件系统共享路径中的域名： nslookup文件系统域名 说明 文件系统域名仅为域名，如：sfsnas1.xxxx.com。文件系统域名请从文件系统的共享路径中获取，不需要输入整个共享路径。 无法使用nslookup命令时，需要先安装bindutils软件包。（可通过执行yum install bindutils命令安装） a) 解析成功，执行步骤4； b) 解析失败，请先完成DNS服务器IP地址的配置再执行挂载文件系统的操作，具体配置操作请参见《如何配置DNS》。 4、执行如下命令，创建用于挂载文件系统的本地路径。 mkdir本地路径 5、执行如下命令，将文件系统挂载到云主机上。文件系统目前仅支持NFS v3协议挂载到云主机，其中变量说明见下表： mount t nfs o vers3,timeo600,noresvport,nolock,tcp 挂载地址 本地路径 注意 1. 已挂载文件系统的云主机重启后，该云主机上的挂载信息将会丢失，您可以通过在fstab文件中配置自动挂载来保证云主机重启时自动挂载文件系统。 2. 在网络切换时，文件系统可能会发生阻塞，可能需要几分钟才会自动恢复连接，更严重时甚至需要重启ECS才能恢复。强烈建议使用noresvport参数，这可以保障网络发生故障恢复事件后文件系统服务不会中断。 参数 说明 vers 文件系统版本，目前只支持NFSv3。取值：3。 timeo NFS客户端重传请求前的等待时间(单位为0.1秒)。建议值：600。 noresvport 指定NFS客户端向NFS服务端重新发起建立连接时使用新的TCP端口。 lock/nolock 选择是否使用NLM协议在服务器上锁文件。当选择nolock选项时，锁对于同一主机的应用有效，对不同主机不受锁的影响。建议值：nolock。如不加此参数，则默认为lock，就会发生其他服务器无法对此文件系统写入的情况。 挂载地址 SFS容量型文件系统的格式为：文件系统域名:/路径，例如：example.com:/sharexxx。如图1所示。 SFS Turbo标准型、标准型增强版、性能型、性能型增强版文件系统的格式为：文件系统IP:/，例如192.168.0.0:/。如图2所示。 SFS Turbo 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB文件系统的格式为：域名地址:/，例如xxx.sfsturbo.internal:/。如图3所示。 x是数字或字母。 本地路径 云主机上用于挂载文件系统的本地路径，例如“/localpath”。 图1 SFS容量型文件系统挂载地址 图2 SFS Turbo文件系统（标准型）挂载地址 图3 SFS Turbo文件系统（20MB/s/TiB类型）挂载地址 6、挂载完成后，执行如下命令，查看已挂载的文件系统： mount l 如果回显包含如下类似信息，说明挂载成功。 example.com:/sharexxx on /localpath type nfs (rw,vers3,timeo600,nolock,addr) 7、挂载成功后，用户可以在云主机上访问文件系统，执行读取或写入操作。 说明 SFS容量型支持写入的单个文件最大容量为240TB。 SFS Turbo标准型和性能型文件系统支持写入的单个文件系统最大容量为32TB，SFS Turbo标准型增强版和性能型增强版文件系统支持写入的单个文件系统最大容量为320TB，SFS Turbo 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB和1000MB/s/TiB等类型的文件系统支持写入的单个文件系统最大容量为1PB。 8、如果需要取消挂载，执行命令umount 本地路径。执行取消挂载命令时，请先结束所有与这个文件系统相关的读写操作，并退出本地路径目录，再执行取消命令，不然会返回失败。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b service 是 String 本参数表示产品名称。取值范围：ecs：云主机。evs：云硬盘。...详见“[一键告警：产品列表]”接口返回。 ecs alarmType 是 String 本参数表示告警类型。 取值范围：series：时序指标。event：事件。 根据以上范围取值。 series

注意事项 1. 请勿直接在用户组中进行授权，这会导致子账号对所有企业项目都有权限，造成企业项目隔离失效。 2. 每个主账号最多只可创建50个子账号，如需提高上限需提交工单申请调整。 3. 子账号无法购买套餐包和周期包，如需开放购买权限，请在策略管理中创建自定义策略并增加购买权限并在用户组授权中增加该自定义权限策略。 用户SSO的配置 如您想基于其他身份供应商登录天翼云，可参考如下配置教程：用户SSO概览

本节介绍内容审核产品快速入门的操作步骤。 内容审核是天翼云自主研发的具有文本、图片等多媒体风险识别与拦截的审核能力，对网络中产生的文本、图片内容进行涉黄、涉政、涉暴恐等敏感内容进行识别，帮助用户控制业务的违规风险，并大幅降低人工审核的人力成本。 用户订购文本审核和图片审核产品后，无需进行模型开发，仅需API接口对接，即可便捷、高效、准确地对文本和图片内容进行风险识别，大幅减少违法违规内容的出现。 步骤流程