通过代码包部署应用时，云应用引擎支持的技术栈语言和运行环境如下表，部署前需要先制作符合云应用应用引擎要求的代码包。如果以下列表不包含您使用的技术栈语言和运行环境，则需要使用镜像部署应用。 配置项 说明 示例 运行环境 目前支持Java、Python特定版本的运行环境： Java：支持 8、11、17、19 Python：支持 3.6、3.9、3.10 Go：支持1.x 如果与您的代码兼容，则可以使用代码包部署应用。 Java8 代码包 目前只支持以zip包形式上传代码包，您需要将依赖一同打包到zip包。一次部署最多只能上传一个zip包文件。 Demo.zip 代码包版本 代码包版本会作为镜像版本，可使用时间戳自动生成，也可按需指定。 1756797405250 操作指引 1. 在应用创建 基础信息设置 页面，应用部署方式 选择代码包部署 ，单击右侧的选择代码包， 2. 在弹出的设置代码包窗口，选择应用所属的技术栈语言以及应用所需的运行环境 3. 上传含有应用执行程序的Zip包 4. 设置代码包版本 ，并单击左下方的确认 5. 在设置完应用基础信息后，在下一步的页面中，设置启动命令 6. 单击创建应用 填写效果

本节主要介绍查看参数修改历史。 操作场景 您可以查看目标参数模板和当前实例的参数修改历史，以满足业务需要。 说明 用户创建或导出的新参数模板，在未进行参数修改前，无修改历史。 查看目标参数模板的参数修改历史 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“参数模板管理”页面的“自定义”页签，选择目标参数模板，单击参数模板名称。 4. 单击左侧导航栏中的“参数修改历史”，您可查看参数对应的参数名称、修改前参数值、修改后参数值、修改状态和修改时间。 图1 查看目标参数模板的参数修改历史 如果修改后参数模板未应用，请根据业务需要，参考应用参数模板，将其应用到对应实例。 查看当前实例的参数修改历史 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择指定实例，单击实例名称，进入“基本信息”页面。 4. 单击左侧导航栏中的“参数修改”，单击“参数修改历史”，您可查看参数对应的参数名称、修改前参数值、修改后参数值、修改状态和修改时间。 图2 查看当前实例的参数修改历史

本文主要介绍弹性伸缩支持审计的关键操作 弹性伸缩（Auto Scaling，以下简称AS）是根据用户的业务需求，通过策略自动调整其业务资源的服务。您可以根据业务需求自行定义伸缩配置和伸缩策略，降低人为反复调整资源以应对业务变化和高峰压力的工作量，帮助您节约资源和人力成本。 通过云审计服务，您可以记录与弹性伸缩相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的AS操作列表 操作名称 资源类型 事件名称 创建伸缩组 scalinggroup createScalingGroup 修改伸缩组 scalinggroup modifyScalingGroup 删除伸缩组 scalinggroup deleteScalingGroup 启用伸缩组 scalinggroup enableScalingGroup 停用伸缩组 scalinggroup disableScalingGroup 创建伸缩配置 scalingconfiguration createScalingConfiguration 删除伸缩配置 scalingconfiguration deleteScalingConfiguration 批量删除伸缩配置 scalingconfiguration batchDeleteScalingConfiguration 创建伸缩策略 scalingpolicy createScalingPolicy 修改伸缩策略 scalingpolicy modifyScalingPolicy 删除伸缩策略 scalingpolicy deleteScalingPolicy 启用伸缩策略 scalingpolicy enableScalingPolicy 停用伸缩策略 scalingpolicy disableScalingPolicy 执行伸缩策略 scalingpolicy executeScalingPolicy 移除伸缩组实例 scalinginstance removeInstance 批量移除实例 scalinginstance batchRemoveInstances 批量添加实例 scalinginstance batchAddInstances 批量设置实例保护 scalinginstance batchProtectInstances 批量取消实例保护 scalinginstance batchUnprotectInstances 删除标签 scalingtag deleteScalingTag 创建/更新标签 scalingtag updateScalingTag

本节介绍态势感知的应用场景。 资产风险管理 云上业务众多，云上资产日益庞大，以及云资产的变化频繁，大大增加了云上安全风险。 态势感知集中呈现云上所有资产安全状况，实时监控云上业务整体安全，让服务器中的漏洞、威胁和攻击情况一目了然，保障所有资产的安全，帮助企业轻松应对资产安全风险。 威胁事件告警 面对云上各类安全威胁，以及不断涌出的新型威胁类型，态势感知通过汇集全网流量数据和安全防护设备日志信息，能够实时检测和监控云上安全风险，实时呈现告警事件的统计信息，并可对各种威胁事件进行汇聚统计。 此外，针对常见的暴力破解、Web攻击、僵尸主机威胁事件，可预制的安全防护策略有效防御威胁风险，提升运维效率。 风险配置管理 支持检测云服务关键配置项，通过执行扫描任务，检查云服务基线配置风险状态，分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。

本节介绍客户侧私网网段的新增删除操作。 如果参数变更涉及隧道重建，请先在管理台变更云侧参数，再变更客户侧防火墙配置。以下操作涉及重建隧道。 新增客户侧私网网段 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面，点击“新增客户侧网络”，添加对应网段； 5.确定后，需要在客户侧防火墙上修改隧道配置并重启隧道。 删除客户侧私网网段 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在iVPN实例详情页面中的“客户侧网络”一栏，选择需要删除的网段，点击“移除”； 5.确定后，需要在客户侧防火墙上修改隧道配置并重启隧道。

参数 参数类型 是否必填 说明 示例 clientToken String 是 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一 79fa97e3c48bxxxx9f466a13d8163678 regionID String 是 资源池ID 81f7728662dd11ec810800155d307d5b endpointServiceID String 是 节点服务id endpserlj481rwlqf transitIP String 是 中转地址 192.168.0.4

本节介绍网络的用户指南：集群网络概述。 集群网络分为主机和容器两个维度，主机位于VPC中使用VPC网络，容器网络则使用容器网络插件来管理。 节点网络 VPC为集群内主机分配IP地址，订购集群时选择VPC中的子网用于集群的主机网络，子网可用IP数量直接限制了集群节点规模。 容器网络 约束条件 容器网络CNI插件为Pod分配IP地址，云容器引擎提供的CNI插件均符合kubernetes容器网络模型，具体约束如下： 1.每个Pod都拥有一个独立IP地址，Pod内容器均共享一个网络命名空间； 2.任意Pod之间均可直接通信，无需NAT； 3.任意Pod与节点间均可直接通信，无需NAT。 网络插件 当前云容器引擎提供如下CNI插件： calico容器网络：使用calico IPIP模式。该模式下，calico依旧使用BGP分发节点的容器路由信息，但在节点网络基础上通过IPIP隧道技术构建独立于节点网络平面的容器网络平面，IPIP将发给容器的IP报文封装成发给目的节点的IP报文进行隧道传输； cubecni容器网络：是云原生网络方案，直接基于VPC网络中的弹性网卡和IP资源构建容器网络。Pod通过弹性网卡资源直接分配VPC的子网IP地址，无需额外指定虚拟Pod地址段。 Cubecni和Calico对比如下： 。 对比项 Cubecni Calico隧道模式 容器网络平面 构建Underlay网络，容器和节点均在同个网络平面，支持VPC内多集群Pod直接互通及VPC内直接互通 构建Overlay网络，基于集群节点网络构建 一层覆盖网络，不支持VPC内多集群Pod直接互通及VPC内直接互通 容器网络性能 无解封包开销，整体性能优于Overlay网络，其中Cubecni独占ENI模式性能无限接近主机 有解封包损耗 节点规模 不直接限制节点规模 受限于BGP Peer连接数等限制 网络访问控制 支持网络策略Network Policy，其中Cubecni独占ENi模式支持Pod粒度安全组配置 支持网络策略Network Policy 源地址审计 Pod访问VPC网络资源，源地址是容器IP，不经节点SNAT，便于审计 Pod访问VPC网络资源，需经节点SNAT，不便于审计 地址管理 无需按节点分配地址段，随用随分配，地址无浪费 每个节点提前分配虚拟地址段 ELB 支持ELB直通Pod，性能更优 不支持ELB直通Pod，需通过NodePort转发

本节介绍网络的用户指南：LoadBalancer类型Service 云容器引擎支持将Service通过负载均衡ELB向外暴露， 云容器引擎集群内置CCM（Cloud Controller Manager）插件，当Service的类型为LoadBalancer时，CCM插件会为Service配置负载均衡，并根据Service信息配置好负载均衡的后端服务器组、健康检查和监听规则等，使得用户可以通过负载均衡访问该Service。以下是使用负载均衡的步骤指引。 使用已有负载均衡暴露服务 前提条件 用户已提前在负载均衡控制台创建ELB实例，ELB实例需要与Service所在的容器集群在同一个VPC网络下。 注意事项 不同Service可以同时复用同一个负载均衡实例，复用同一个负载均衡实例需要避免不同Service使用相同的服务端口，否则存在监听配置被覆盖的情况 不能复用由CCM自动创建的或集群ApiServer使用的负载均衡实例 当Service删除时，使用已有的负载均衡不会被删除 集群Master节点不作为负载均衡实例的后端 操作步骤 1. 登录 云容器引擎 控制台，点击进入想要操作的集群，在左侧菜单选择“网络” “服务”； 2. 如下图，点击“新建”按钮新建服务，按照参数说明配置相关的参数； 服务访问方式：选择负载均衡 负载均衡：可根据业务需要选择私网访问或公网访问，集群内或同一VPC内访问建议选择私网访问即可；选择“使用已有负载均衡”；负载均衡实例列表会根据选择的私网/公网访问方式显示出对应的实例，选择想要使用的负载均衡实例即可 标签：根据需要可以为服务配置标签 注解：根据需要可以为服务配置注解 外部流量策略：Cluster或Local。Cluster策略下，集群所有可用工作节点都会挂载到负载均衡实例；Local策略下，只有Service对应的Pod所在节点会挂载到负载均衡实例 端口映射：配置好协议、容器端口及服务端口，其中容器端口为应用本身暴露的端口，服务端口则会作为负载均衡实例的监听端口 工作负载绑定：选择服务要关联的工作负载，也可以配置自定义标签关联 3. 创建服务后，在服务列表可以看到该服务，通过服务的集群外访问地址即可以访问该服务。

此小节介绍如何进行用户角色管理。 角色概述 用户所关联的角色，赋予用户不同系统操作访问权限。 云堡垒机系统仅admin拥有自定义角色和修改角色的权限。 缺省情况下，系统中的默认角色包括部门管理员、策略管理员、审计管理员和运维员。默认角色不可删除，但可修改默认角色的权限范围。 系统默认角色说明 参数 说明 :: 部门管理员 部门的运维管理员，主要负责云堡垒机系统的管理。除用户管理和角色管理模块之外，部门管理员拥有其他全部模块的配置权限。 策略管理员 用户权限策略管理员，负责主机运维的权限策略管理。主要负责策略权限的配置，拥有用户组管理、资源组管理和访问策略管理等模块的配置权限。 审计管理员 运维结果审计管理员，查询管理系统审计数据。主要负责查阅和管理系统的审计数据，拥有实时会话、历史会话和系统日志等模块的配置权限。 运维员 访问系统的普通用户和操作人员。主要负责资源的运维，拥有主机运维、应用运维和工单授权管理的权限。 自定义角色 系统中的默认角色包括部门管理员、策略管理员、审计管理员和运维员。本章节指导您如何自定义创建角色。 约束限制 仅系统管理员admin可新建系统角色。 系统用户组和帐户组模块权限无需单独配置，通过配置用户和资源账户模块即可获取权限。 新建角色 1. 登录云堡垒机系统。 2. 在左侧导航树中，选择“用户 > 角色”，进入角色列表页面。 3. 单击“新建”，弹出角色配置窗口。 新建角色参数说明 参数 说明 :: 角色 自定义角色名称。 创建后不可修改，且系统内“角色”唯一不能重复。 管理权限 选择开启或关闭，默认关闭。 具备管理权限的用户在新建用户或资源时，能够选择当前用户的上级部门。 开启：代表该角色具备管理权限，能够查看本部门及下级部门的数据。 关闭：代表该不具备管理权限。 角色描述 （可选）对角色情况的简要描述。 4. 单击“下一步”，切换到角色的系统模块权限配置窗口。 勾选系统模块和操作选项，即具备该模块和选项的权限。 仅勾选系统模块，则仅具备相应模块查看权限。 5. 单击“确定”，返回角色列表，即可查看已创建角色。

本文主要介绍如何如何查看与升级插件版本。 1. 登录云容器引擎控制台，在左侧导航栏中选择“集群”并选择一个可用的集群。 2. 在左侧二级导航栏中选择“插件”“插件实例”。 3. 在插件实例列表中，“ctglogoperator”即为日志采集插件，可查看该插件的采集器版本 4. 若采集器版本过低，则点击“重新安装”按钮即可进行升级。

操作步骤 如需进行Redis到GeminiDB Redis的迁移，您可以在管理控制台右上角，选择“工单 > 新建工单”，联系技术支持进行处理。 迁移性能参考 环境：源端LevelDB和leveldbport部署在4U16GB的弹性云服务器上，目标端为2U8GB，3节点的GeminiDB Redis实例。 全量迁移：预置10GB数据，迁移速度约8MB/s。 增量迁移：设置value值大小为1KB，迁移速度约为7000qps。

本文介绍云容器引擎的续订处理。 续订支持以月为单位续订，也支持以年为单位续订，用户最多可续订11个月或1年的集群。 操作步骤 1.点击导航栏【资源管理】>【集群管理】，进入集群管理列表界面； 2.找到想要退订的集群列，点击【更多】>【续订】，进入集群续订界面； 3.依照页面提示，选择续订时长，并支付订单，实现集群续订。

步骤四：配置域名CNAME解析 1. 域名配置完成，生成域名CNAME，域名状态变更为【已启用】，即可以在【域名列表】进行对应防护域名配置的【查看/编辑/停用】等操作。 2. 获得域名CNAME后，需要将指定域名的DNS解析指向我们提供的CNAME，以确保访问请求能够转发到边缘云清洗节点上，操作步骤参考配置CNAME。

本章节主要介绍云搜索服务（ES）的资源池部署情况。 目前已在：苏州、广州4、上海4、福州、北京2、华北、西安2、长沙2、成都3、杭州、武汉2、芜湖、贵州、南昌、石家庄、重庆、兰州、郑州、乌鲁木齐、深圳等资源池开通，更多资源池规划部署中。 因用户权限不同，实际可选资源池请以控制台实际可见区域为准，如有疑问请咨询您的客户经理。

此小节介绍云堡垒机操作日志检索。 操作日志里admin可查看所有用户在页面上的操作的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 1.管理员登录并切换至“审计角色”，打开 “系统日志 > 操作日志审计” 2.单击“操作”列的“详情”可查看该条记录的详细信息。

Prometheus监控支持对使用用量进行统计，方便您进行对账与数据确认。 前提条件 已开通应用性能监控Prometheus监控服务。 操作步骤 1. 登录应用性能监控Prometheus监控服务控制台。 2. 左侧菜单栏点击“用量统计”。即可查看统计大盘，以下对各个模块进行说明。 快捷筛选：此处展示Prometheus实例列表，点击后可快速查看所选实例的统计数据，支持多选。 数据统计： 总写入量(单位:百万)：在所选时间范围内，Prometheus实例的数据写入量。 平均每天(单位:百万)：在所选时间范围内，平均每天2Prometheus实例的数据写入量。 x月已写入量(单位:百万)：在当前所选时间所在月份，Prometheus实例的数据写入量。 x月预测总写入量(单位:百万) ：当月预测值 当月已累积用量 + （当月剩余天数 前三天的平均值）。 写入数据量趋势图(单位:百万)：以直方图的方式展示每天Prometheus实例的数据写入量。不同颜色代表不同的Prometheus实例。 免费指标写入量：指云容器引擎的基础指标接入数据量，该部分不收取写入费用。 自定义指标写入量：除云容器引擎的基础指标外其他指标的写入量，该部分将按照计费项价格进行收费。

本章节介绍应用容灾多活的使用限制。您需要提前了解使用限制，例如组件类型和框架版本等，以便容灾服务能正常接入，以及应用程序不出现异常。 Java SDK 分类 组件 版本 微服务 org.springframework.cloud:springclouddependencies 2021.0.8 微服务 org.springframework.boot:springbootstarterweb 2.7.12 微服务 org.springframework.cloud:springcloudstarteropenfeign 3.1.8 微服务 org.apache.dubbo:dubbo 2.7.13 负载均衡 org.springframework.cloud:springcloudloadbalancer 3.1.7 微服务注册中心 com.alibaba.cloud:springcloudstarteralibabanacosdiscovery 2021.1 消息队列 org.apache.rocketmq:rocketmqclient 4.8.0 数据库 mysql:mysqlconnectorjava 5.1.40及以上版本 8.0.15及以上版本 数据库 org.postgresql:postgresql 42.5.0及以上版本 管控通道 应用容灾多活 使用注册配置中心 作为控制面与数据面分离的管控通道，您需要提前开通微服务引擎注册配置中心Nacos引擎实例，确保与应用节点网络连通，并在多活产品控制台进行集成管理。 流量网关 应用容灾多活 通过集成云原生网关 产品能力，支持多活应用流量识别、分发与纠错。您需要根据业务流量规划提前开通微服务引擎云原生网关实例，并在多活产品控制台进行集成管理。

本节为您介绍如何卸载集群Agent。 如果不再需要HSS为您的集群容器提供安全防护，您可以为集群卸载Agent。Agent卸载后，HSS将停止对容器的检测和防护，且已检测到的告警、漏洞信息等数据都将被删除。 CCE集群卸载Agent 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“容器服务 > 云容器引擎”，进入云容器引擎界面。 3、单击目标集群名称，进入集群详情页。 4、在左侧导航栏，选择“工作负载”，进入“工作负载”界面。 5、选择“守护进程集”页签，删除名称为“installagentds”的工作负载。在工作负载所在行的操作列，选择“更多 > 删除”，删除该工作负载。 6、在左侧导航栏，选择“安装与配置”，进入“安装与配置”界面。 7、 选择“Agent管理”页签，卸载目标CCE集群所有容器节点服务器的Agent。 自建集群卸载Agent 1、登录k8s集群环境。 2、执行以下命令删除名称为“installagentds”的工作负载。 kubectl delete ds installagentds n default 3、登录管理控制台。 4、在左侧导航栏，选择“安装与配置”，进入“安装与配置”界面。 5、选择“Agent管理”页签，卸载目标自建集群所有容器节点服务器的Agent。

参数 参数类型 是否必填 说明 示例 clientToken String 是 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一 79fa97e3c48bxxxx9f466a13d8163678 regionID String 是 资源池ID 81f7728662dd11ec810800155d307d5b endpointServiceID String 是 终端节点服务ID endpser9hzaohgug8 email String 是 账户邮箱 test@test.com

参数 参数类型 是否必填 说明 示例 clientToken String 是 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一 79fa97e3c48bxxxx9f466a13d8163678 regionID String 是 资源池ID 81f7728662dd11ec810800155d307d5b endpointServiceID String 是 终端节点服务ID endpser9hzaohgug8 email String 是 账户邮箱 test@test.com

操作场景 查看终端节点的ID、服务名称、虚拟私有云、状态等。 操作步骤 1. 登录管理控制台。 2. 单击“服务列表”，选择“网络 > VPC终端节点”，进入终端节点页面。 3. 在左侧导航栏选择“VPC终端节点 > 终端节点” 4. 单击要查看的终端节点ID，即可查看终端节点的基本信息。

配额项目 配额说明 每个虚拟私有云支持同时接入的企业路由器数量 不支持修改 每个企业路由器支持创建的路由表数量 不支持修改 每个企业路由器支持的最大路由数量 不支持修改 每个租户支持创建的流日志最大数量 不支持修改

场景说明 云原生容器引擎、FaaS函数计算引擎、智算平台根据波峰波谷按需启动ECI实例来满足用户降本增效提速的需求。 能够实现 多种计算引擎统一调度：提供 Pod级别的运行底座支撑不同计算引擎调度。 快速弹性扩缩 ：满足用户流量波峰波谷的资源快速扩缩。

本节介绍了GeminiDB Redis的查看监控指标操作场景及操作步骤。 操作场景 云监控可以对GeminiDB Redis的运行状态进行日常监控。您可以通过管理控制台，直观地查看GeminiDB Redis的各项监控指标。 由于监控数据的获取与传输会花费一定时间，因此，云监控显示的是当前时间5～10分钟前的监控状态。如果您的实例刚刚创建完成，请等待5～10分钟后查看监控数据。 前提条件 实例正常运行。 故障或已删除的实例，无法在云监控中查看其监控指标。当实例再次启动或恢复后，即可正常查看。 实例已正常运行一段时间（约10分钟）。 对于新创建的实例，需要等待一段时间，才能查看上报的监控数据和监控视图。 1、登录云数据库GeminiDB控制台。 2、在“实例管理”页面，单击目标实例名称，进入实例的“基本信息”页面。 3、在“基本信息”页面的“节点信息”区域，单击操作列的“查看监控指标”，跳转到云监控页面。 4、在监控指标页面，您可以通过选择时长，查看对应时间的监控数据。 当前页支持查看近1小时、近3小时和近12小时的监控数据。 如需查看更长时间范围监控曲线，请在监控视图中单击 进入大图模式查看。

ServiceStage怎么管理IDEA上的代码？ IDEA是本地的IDE，在IDE上编码后上传代码库，在ServiceStage上选择源码部署。 如果是基于ServiceComb框架开发的话，创建ServiceComb应用，选择源码部署，指定引擎，就可以治理了。 添加构建服务器地址到GitLab服务器安全组 背景介绍 若您的GitLab服务搭建在公有云内部网络，且公网无法直接访问，则需将构建服务的相关地址添加到您的GitLab服务器安全组中，以保证构建任务顺利执行。 操作步骤 步骤 1 将ServiceStage所在网段加到GitLab私有仓库所在节点的安全组中，构建服务使用该IP访问GitLab服务的接口。 操作方法，请参考帮助中心> 虚拟私有云 > 用户指南 > 安全性 > 安全组 > 为安全组添加安全组规则。 说明： ServiceStage所在网段，请联系技术支持工程师获取。 步骤 2 获取构建镜像的集群名称和过滤节点标签信息。 应用组件构建，请参考编辑源码构建工程，获取“构建集群”和“过滤节点标签”。 构建任务构建，请参考创建源码构建任务，获取“构建集群”和“过滤节点标签”。 图 获取集群名称和标签信息 步骤 3 获取该集群下有该标签的节点弹性IP。 应用组件构建 a. 请参考查看应用组件构建，进入构建页面。 b. 单击构建集群的名称，进入集群详情页面。 c. 单击“节点管理”，获取该集群下有该标签的节点弹性IP。 构建任务构建 a. 在ServiceStage控制台，选择“持续交付 > 构建”，进入构建页面。 b. 选择构建任务，单击该构建任务的构建集群名称，进入集群详情页面。 c. 单击“节点管理”，获取该集群下有该标签的节点弹性IP。 步骤 4 将步骤3中获取的构建镜像的运行节点添加到GitLab私有仓库所在节点的安全组中，构建时会访问GitLab服务获取代码。 操作方法，请参考帮助中心> 虚拟私有云 > 用户指南 > 安全性 > 安全组 > 为安全组添加安全组规则。

本节主要接受权限管理 通过IAM，您可以在云帐号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ServiceStage的使用权限，但是不希望他们拥有删除等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用ServiceStage，但是不允许删除的权限策略，控制他们对ServiceStage资源的使用范围。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ServiceStage服务的其它功能。 IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见帮助中心 > 统一身份认证服务 > 用户指南 > 产品简介。 ServiceStage权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。 ServiceStage资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ServiceStage时，需要先切换至授权区域。 根据授权精细程度分为角色和策略： 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各云服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如下表所示，包括了ServiceStage的所有系统权限。推荐使用系统策略，系统角色仅用于兼容已有的权限配置。 表 ServiceStage系统权限说明 系统角色/策略名称 描述 类别 依赖系统权限 ServiceStage FullAccess 微服务云应用平台所有权限。 系统策略 无 ServiceStage ReadOnlyAccess 微服务云应用平台只读权限。 系统策略 无 ServiceStage Developer 微服务云应用平台开发者权限。 拥有应用、组件、环境的操作权限，但无基础设施创建权限。 系统策略 无 CSE Admin 微服务引擎服务管理员权限。 系统策略 无 CSE Viewer 微服务引擎服务查看权限。 系统策略 无 ServiceStage Admin 微服务云应用平台管理员，拥有该服务下的所有权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 ServiceStage Operator 微服务云应用平台操作员，拥有该服务下的只读权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 ServiceStage Developer 微服务云应用平台开发者，拥有该服务下的所有权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 如果所列的这些权限不满足实际需求，您可以参考下表，在这个基础上自定义策略。 表 ServiceStage常用操作与系统权限之间的关系 操作 ServiceStage ReadOnlyAccess ServiceStage Developer ServiceStage FullAccess 创建应用 x √ √ 修改应用 x √ √ 查询应用 √ √ √ 删除应用 x √ √ 创建组件 x √ √ 查询组件 √ √ √ 部署组件 x √ √ 维护组件 x √ √ 删除组件 x √ √ 创建构建工程 x √ √ 修改构建工程 x √ √ 查询构建工程 √ √ √ 启动构建工程 x √ √ 删除构建工程 x √ √ 创建流水线 x √ √ 修改流水线 x √ √ 查询流水线 √ √ √ 启动流水线 x √ √ 克隆流水线 x √ √ 删除流水线 x √ √ 新建仓库授权 x √ √ 修改仓库授权 x √ √ 查询仓库授权 √ √ √ 删除仓库授权 x √ √ 表 CSE常用操作与系统权限之间的关系 操作 CSE Viewer CSE Admin 创建微服务引擎 x √ 维护微服务引擎 x √ 查询微服务引擎 √ √ 删除微服务引擎 x √ 创建微服务 x √ 查询微服务 √ √ 维护微服务 x √ 删除微服务 x √ 创建微服务配置 x √ 查询微服务配置 √ √ 编辑微服务配置 x √ 删除微服务配置 x √ 创建微服务治理策略 x √ 查询微服务治理策略 √ √ 编辑微服务治理策略 x √ 删除微服务治理策略 x √

本文介绍RDSPostgreSQL如何保障EIP安全性。 用户使用EIP（弹性公网IP）访问RDSPostgreSQL数据库服务时，由于业务数据会在公网传输，有数据泄露风险，因此建议采用SSL链路加密技术对公网传输数据。 除此之外，用户也可以通过云专线或虚拟专用网络保障数据传输安全。

构造请求 本节介绍REST API请求的组成，以调用云主机产品的"根据regionID查询用户资源"举例说明如何调用该API。 请求示例 POST ContentType:application/json ctyuneoprequestid:0ffb9b07d5a84e19b3ce12dfb9705a1d EopAuthorization:4a4bdc57e06542199b5f98d4cd107be2 Headersctyuneoprequestid;eopdate Signatureb2WEo4nh9ewn6SWOP0ii5g8L0z9CT5gprpDWntlCX9I Eopdate:20221107T093029Z 请求URI {URIscheme}://{Endpoint}/{resourcepath}?{querystring} 参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn” resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources” querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据 示例： 云主机根据regionID查询用户资源，则需使用云主机产品在对应区域的Endpoint（ctecsxxx.ctapi.ctyun.cn），并在"根据regionID查询用户资源"的URI部分找到resourcepath（/v4/region/customerResources），拼接起来如下所示。 < 说明： 为方便查看，在每个具体API的URI部分，只给出resourcepath部分，并将请求方法写在一起。这是因为URIscheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 {resourcepath}资源路径，使用编码的规范URI示例： 前： /v4/region/customerResources api/code 后： /v4/region/customerResources%20api/code 说明： 资源路径{resourcepath}是从HTTP Host结束到查询字符串参数（如果有）的问号字符（“?”）中间的部分。 需要根据RFC 3986标准化URI路径规范移除冗余和相对路径部分。路径中每个部分都必须进行URI编码。 {querystring}查询参数，使用规范查询字符串示例： 前： prodInstId11&startTime20210404T06:01:46Z 后： prodInstId11&startTime20210404T06%3A01%3A46Z 说明： {querystring}为键值对，使用等号字符()拼接。值需进行URI编码，同样需要满足RFC 3986关于URL编码规范的定义要求。键则不需要。对没有值的参数使用空字符串。 在每个参数值后追加与字符(&)，列表中最后一个值除外。 使用 %XY 对所有其他字符进行百分比编码，其中“X”和“Y”为十六进制字符（09和大写字母AF）。例如，空格字符必须编码为 %20（不像某些编码方案那样使用“+”)，扩展UTF8字符必须采用格式 %XY%ZA%BC。 RFC 3986规范的具体要求： 字符AZ、az、09 以及字符、、.、不编码。 对其它ASCII码字符进行编码。编码格式为%加上16进制的ASCII码。例如半角双引号（"）将被编码为%22。空格编码成%20，而不是加号（+）。 非ASCII码通过UTF8编码。

构造请求 本节介绍REST API请求的组成，以调用云主机产品的"根据regionID查询用户资源"举例说明如何调用该API。 请求示例 POST ContentType:application/json ctyuneoprequestid:0ffb9b07d5a84e19b3ce12dfb9705a1d EopAuthorization:4a4bdc57e06542199b5f98d4cd107be2 Headersctyuneoprequestid;eopdate Signatureb2WEo4nh9ewn6SWOP0ii5g8L0z9CT5gprpDWntlCX9I Eopdate:20221107T093029Z 请求URI {URIscheme}://{Endpoint}/{resourcepath}?{querystring} 参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn” resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources” querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据 示例： 云主机根据regionID查询用户资源，则需使用云主机产品在对应区域的Endpoint（ctecsxxx.ctapi.ctyun.cn），并在"根据regionID查询用户资源"的URI部分找到resourcepath（/v4/region/customerResources），拼接起来如下所示。 < 说明： 为方便查看，在每个具体API的URI部分，只给出resourcepath部分，并将请求方法写在一起。这是因为URIscheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 {resourcepath}资源路径，使用编码的规范URI示例： 前： /v4/region/customerResources api/code 后： /v4/region/customerResources%20api/code 说明： 资源路径{resourcepath}是从HTTP Host结束到查询字符串参数（如果有）的问号字符（“?”）中间的部分。 需要根据RFC 3986标准化URI路径规范移除冗余和相对路径部分。路径中每个部分都必须进行URI编码。 {querystring}查询参数，使用规范查询字符串示例： 前： prodInstId11&startTime20210404T06:01:46Z 后： prodInstId11&startTime20210404T06%3A01%3A46Z 说明： {querystring}为键值对，使用等号字符()拼接。值需进行URI编码，同样需要满足RFC 3986关于URL编码规范的定义要求。键则不需要。对没有值的参数使用空字符串。 在每个参数值后追加与字符(&)，列表中最后一个值除外。 使用 %XY 对所有其他字符进行百分比编码，其中“X”和“Y”为十六进制字符（09和大写字母AF）。例如，空格字符必须编码为 %20（不像某些编码方案那样使用“+”)，扩展UTF8字符必须采用格式 %XY%ZA%BC。 RFC 3986规范的具体要求： 字符AZ、az、09 以及字符、、.、不编码。 对其它ASCII码字符进行编码。编码格式为%加上16进制的ASCII码。例如半角双引号（"）将被编码为%22。空格编码成%20，而不是加号（+）。 非ASCII码通过UTF8编码。

本页介绍天翼云TeleDB数据库的部署架构和操作流程。 部署架构 TeleDB采用分布式集群架构， 该架构为分布式无共享(share nothing)模式，节点之间相互独立，各自处理自己的数据，处理后的结果会向上层汇总或在节点间流转，各处理单元之间通过网络协议进行通信。它的优点是SQL兼容能力好，扩展能力高、业务迁移成本低。为客户提供更可靠的数据库云服务。 操作流程 您可按照如下流程安装部署TeleDB。 您可参照如下流程进行安装： 1. TeleDB公共库安装部署 2. 数据库资源与生命周期管理服务安装部署 3. TeleDB管控服务安装部署 4. 实例服务初始化及实例开通

本页介绍天翼云TeleDB数据库的部署架构和操作流程。 部署架构 TeleDB采用分布式集群架构， 该架构为分布式无共享(share nothing)模式，节点之间相互独立，各自处理自己的数据，处理后的结果会向上层汇总或在节点间流转，各处理单元之间通过网络协议进行通信。它的优点是SQL兼容能力好，扩展能力高、业务迁移成本低。为客户提供更可靠的数据库云服务。 操作流程 您可按照如下流程安装部署TeleDB。 您可参照如下流程进行安装： 1. TeleDB公共库安装部署 2. 数据库资源与生命周期管理服务安装部署 3. TeleDB管控服务安装部署 4. 实例服务初始化及实例开通

为了节省成本，您可以在业务需要时手动启用已停止的应用。 前提条件 应用处于停止状态。 功能入口 1. 在云应用引擎控制台左侧导航栏选择应用管理 > 应用列表。 2. 在应用列表页面，单击目标应用名称，进入应用基本信息页。 3. 在目标应用的基础信息页面，单击启动应用。 4. 弹出的对话框中进行二次确定即可启动。