本文主要讲解移动应用使用临时凭证直传文件的最佳实践。 实践背景 在移动互联网时代，从手机里的照片到各类文件，移动端APP需要上传到服务器的文件越来越多。开发者可以使用媒体存储来保存这些文件，媒体存储提供的SDK接口可以支持直接在移动端进行文件上传。 访问媒体存储需要使用密钥（AK/SK），但是如果在移动端直接使用长期密钥访问对象存储，遭受黑客攻击就可能会暴露长期密钥，导致对象存储中的文件泄露或被篡改，存在很大的风险。 媒体存储提供STS角色管理功能，可以为移动端颁发一个自定义时效和权限的访问凭证，无需在移动端暴露长期密钥。使用STS授权访问时，请务必按照业务情况，以最细粒度的权限原则进行授权，避免放大临时用户的权限，保证资源访问安全。 应用流程 使用临时凭证直传时，具体应用流程如下： 实践步骤 创建用于获取STS访问凭证的角色 通过媒体存储控制台，创建STS角色，并获取对应的arn信息，具体可参考 STS角色管理 。 对应角色授权并且获取STS临时密钥 具体可参照如下java示例： // STS endPoint String endPoint " "; // 在对象存储控制台访问密钥AccessKey和SecretKey。 String accessKey " "; String secretKey " "; // 填写步骤一获取的角色ARN。 String roleArn " "; // 设置临时访问凭证的名称. String roleSessionName " "; // 设置 Policy 允许上传对象 String policy "{"Version":"20121017"," + ""Statement":[" + "{"Effect":"Allow"," ""Action":["s3:PutObject"]," ""Resource":["arn:aws:s3::: /"]}" + "]}"; // 创建STS Client BasicAWSCredentials basicAWSCredentials new BasicAWSCredentials(accessKey, secretKey); AwsClientBuilder.EndpointConfiguration endpointConfiguration new AwsClientBuilder.EndpointConfiguration(endPoint, ""); AWSSecurityTokenService stsClient AWSSecurityTokenServiceClientBuilder.standard() .withCredentials(new AWSStaticCredentialsProvider(basicAWSCredentials)) .withEndpointConfiguration(endpointConfiguration) .build(); AssumeRoleRequest assumeRoleRequest new AssumeRoleRequest(); assumeRoleRequest.setRoleArn(roleArn); assumeRoleRequest.setRoleSessionName(roleSessionName); assumeRoleRequest.setPolicy(policy); AssumeRoleResult assumeRoleRes stsClient.assumeRole(assumeRoleRequest); Credentials stsCredentials assumeRoleRes.getCredentials(); System.out.println("Expiration: " + stsCredentials.getExpiration()); System.out.println("Access Key Id: " + stsCredentials.getAccessKeyId()); System.out.println("Access Key Secret: " + stsCredentials.getSecretAccessKey()); System.out.println("Security Token: " + stsCredentials.getSessionToken());

本文介绍CDN加速可以支持的TLS版本及配置方法。 功能介绍 TLS（Transport Layer Security）即安全传输层协议，及其前身安全套接层（Secure Sockets Layer，缩写作SSL）是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。最典型的应用就是HTTPS，HTTPS即HTTP over TLS，就是更安全的HTTP，运行在HTTP层之下，TCP层之上，为HTTP层提供数据加解密服务。 天翼云CDN加速产品提供TLS协议版本控制功能，您可以按需对不同加速域名配置不同的TLS协议版本，低版本的TLS协议将提供对老版本浏览器的支持，但是协议的安全性相对更差一些，高版本的TLS协议将提供更高的安全性，但是对老版本浏览器的兼容性相对差一些。 天翼云CDN加速产品支持的TLS协议版本包括TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3、GMTLSv1.1。 注意事项 1. 配置TLS协议版本前，请确保已成功配置HTTPS证书，操作方法详情请见：新增证书。 2. 默认开启 TLS v1.0、TLS v1.1、TLS v1.2、TLS v1.3、GMTLSv1.1。为保护您的数据安全，配置国际标准证书时建议选择TLS1.2、TLS1.3 。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在证书管理上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 在【TLS版本】模块，根据需求选择配置。 9. 单击【保存】，完成配置。 说明 1. 仅配置国际标准证书时，TLS版本支持选择TLSv1、TLSv1.1、TLSv1.2、TLSv1.3。 2. 仅配置国密证书时，TLS版本仅支持选择GMTLSv1.1。 3. 同时配置国际标准证书和国密证书时，TLS版本支持选择TLSv1、TLSv1.1、TLSv1.2、TLSv1.3、GMTLSv1.1。

本文介绍全站加速可以支持的TLS版本及配置方法。 功能介绍 TLS（Transport Layer Security）即安全传输层协议，及其前身安全套接层（Secure Sockets Layer，缩写作SSL）是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。最典型的应用就是HTTPS，HTTPS即HTTP over TLS，就是更安全的HTTP，运行在HTTP层之下，TCP层之上，为HTTP层提供数据加解密服务。 天翼云全站加速产品提供TLS协议版本控制功能，您可以按需对不同加速域名配置不同的TLS协议版本，低版本的TLS协议将提供对老版本浏览器的支持，但是协议的安全性相对更差一些，高版本的TLS协议将提供更高的安全性，但是对老版本浏览器的兼容性相对差一些。 天翼云全站加速产品支持的TLS协议版本包括TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3、GMTLSv1.1。 配置说明 注意事项 1. 配置TLS协议版本前，请确保已成功配置HTTPS证书，操作方法详情请见：新增证书。 2. 默认开启 TLS v1.0、TLS v1.1、TLS v1.2、TLS v1.3、GMTLSv1.1。为保护您的数据安全，配置国际标准证书时建议选择TLS1.2、TLS1.3 。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的【证书】。如果已经在证书管理上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 6. 配置【TLS版本】，配置完毕单击【保存】。 说明 1. 仅配置国际标准证书时，TLS版本支持选择TLSv1、TLSv1.1、TLSv1.2、TLSv1.3。 2. 仅配置国密证书时，TLS版本仅支持选择GMTLSv1.1。 3. 同时配置国际标准证书和国密证书时，TLS版本支持选择TLSv1、TLSv1.1、TLSv1.2、TLSv1.3、GMTLSv1.1。

本章节介绍如何将Spring Cloud和Dubbo框架应用无缝迁移上微服务云应用平台MSAP 概述 对于Spring Cloud和Dubbo框架的微服务应用，无需修改任何一行代码即可迁移至微服务云应用平台。该应用将拥有全生命周期管理的运维能力，监管控一体化、调用链查询和限流降级等微服务治理能力，以及金丝雀发布、离群实例摘除、无损下线和服务鉴权等微服务治理的差异化能力。 迁移方案架构 迁移优势 使用开源框架自建的微服务应用迁移至MSAP后将支持以下能力： 1. 在云原生K8s之上，以应用视角一站式完成开源微服务治理和K8s集群中应用的轻量化运维： 应用为中心视角，管理K8s的原生工作负载如Deployment、Pod等，提供多AZ实例打散的高可用部署。 提供分批发布、按流量比例、请求参数的金丝雀灰度发布，借助MSAP全维度监控的发布变更单，让您的变更记录可跟踪。 微服务云应用平台对接了主流DevOps系统，助力企业CD落地，降本增效。 2. 在开源微服务体系之上，对于使用Spring Cloud和Dubbo框架自建的微服务应用无需修改任何代码即可迁移至MSAP，支持所有应用框架的微服务治理： 支持应用发布过程中的无损下线、服务压测。 应用运行时的服务鉴权、限流降级、离群实例摘除。 应用运维的服务查询、服务测试。 3. 通过产品化的方式，实现可观测、可灰度、可回滚，让您的企业立即落地安全生产。 可观测：通过应用总览、新版发布变更记录和发布后自动生成发布报告来实现多维度全流程监控。 可灰度：支持金丝雀发布，支持应用按照流量比例或请求内容策略配置实现灰度。 可回滚：支持发布过程一键回滚，并支持已运行应用回退至某历史版本。

用户可通过本接口向云点播获取指定ID的拼接模板详情。 接口功能介绍 用户可通过本接口向云点播获取指定ID的拼接模板详情。 接口约束 本接口的单用户QPS限制为20次/秒。超过限制，API调用会被限流，这可能会影响您的业务，请合理调用。 URI POST /stitching/template/get 请求体 body 参数 参数 是否必填 参数类型 说明 示例 下级对象 templateId 是 Long 拼接模板ID 100000023685 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 code 是 Integer 本次请求的结果码。 0 message 是 String 错误文本信息，执行成功时，为空字符串。 "" data 是 Object 返回数据。 data 表 data 参数 是否必填 参数类型 说明 示例 下级对象 id 是 Long 模板ID 100000023685 name 是 String 模板名称 测试拼接模板1 head 是 Array of Objects 片头 head tail 是 Array of Objects 片尾 tail video 是 String 视频编码 video audio 是 String 音频编码 audio remark 是 String 备注 这是一个测试用的视频拼接模板 表 head 参数 是否必填 参数类型 说明 示例 下级对象 ID 是 String 视频ID af1c37d7c06740d98fb9dd6f76992435 bucket 是 String 存储桶名称 vodoriginxxxx name 是 String 视频名称 head.mp4 regionCode 是 String 视频存储的区域编码 09871 regionName 是 String 视频存储的区域名称 广东资源池1区 source 是 String 视频存储类型 VOD 表 tail 参数 是否必填 参数类型 说明 示例 下级对象 ID 是 String 视频ID af1c37d7c06740d98fb9dd6f76992435 bucket 是 String 存储桶名称 vodoriginxxxx name 是 String 视频名称 head.mp4 regionCode 是 String 视频存储的区域编码 09871 regionName 是 String 视频存储的区域名称 广东资源池1区 source 是 String 视频存储类型 VOD 表 video 参数 是否必填 参数类型 说明 示例 下级对象 follow 是 Boolean 是否跟随主视频 true bitRate 是 String 主视频视频部分预设码率 512kb height 是 Integer 主视频预设分辨率高度 1024 width 是 Integer 主视频预设分辨率宽度 768 表 audio 参数 是否必填 参数类型 说明 示例 下级对象 remove 是 Boolean 是否去除音轨。false保留音轨并按需填充空音频流，true去除音频。 false bitRate 是 String 主视频音频部分预设码率，建议从以下值选择输入 128K/192K/256K/320K，>128k,<10000k。 128kb

本节主要介绍边边网络关联和解除关联VPC网络实例。 使用说明 对应的VPC之间内网互通，其需要加入到同一个边边网络中，即由边边网络侧发起对VPC的关联。 对应地域完成了边边网络规划后，边边网络才可关联该地域下的VPC，部分地域暂无边边网络规划，请以实际开通结果为准。 边边网络关联同账号VPC网络实例 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>边边网络】，查看当前已有的边边网络实例，单击所要关联VPC网络实例的边边网络名称进入边边网络的详情页面。 3. 在详情页面中单击【关联网络实例】，在关联网络实例页面中单击【新增网络实例】进入新增网络实例的弹框。 4. 在新增网络实例的弹框中，其所属账号选择“本账号”，对应本账号下相关地域下的VPC网络实例进行选择，单击【+新增网络实例】可以一次选择多个VPC网络实例。 5. 在确认所要关联的VPC网络实例后，单击【确认】进行添加。 6. 边边网络关联同账号下的VPC网络实例时，VPC侧系统默认为同意加入，可在【边缘网络>虚拟私有云>VPC和子网】列表中查看关联VPC的“关联EEN状态”栏中的显示变成“已关联”，同时单击【已关联】可以在弹框中看到所关联的边边网络信息。 边边网络关联异账号VPC网络实例 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>边边网络】，查看当前已有的边边网络实例，单击所要关联VPC网络实例的边边网络名称进入边边网络的详情页面。 3. 在详情页面中单击【关联网络实例】，在关联网络实例页面中单击【新增网络实例】进入新增网络实例的弹框。 4. 在新增网络实例的弹框中，其所属账号选择“其他账号”，需要填入目标账号邮箱和目标账号下需要关联的VPC实例ID，单击【确认】进行添加。 5. 在边边网络关联异账号的网络实例请求后，对方账号可在【边缘网络>虚拟私有云>VPC和子网】列表查看到关联VPC的“关联EEN状态”显示“异账号关联请求（1）”，单击【异账号关联请求（1）】来确认对应的边边网络信息是否符合预期，并在弹框中单击【同意】或者【拒绝】。

本节介绍“目的端虚拟机已创建场景”下将主机资源一站式迁移到天翼云的方法。 配置目的端 步骤 1 在浏览器中输入 步骤 2 单击左侧导航栏的“ 迁移实施 ”，进入迁移实施界面。 步骤 3 在“ 主机迁移 ”页签下，勾选需要迁移到天翼云的主机资源，单击“ 绑定目的端 ”。 目的端配置 步骤 4 在“ 绑定目的端 ”窗口的基础配置区域，填入要迁移的目标账号，并且选择对应的资源池和区域。会自动列出可供迁移的目标端如下图所示： 选择对应的迁移网络，下一步确认配置。 步骤 5 绑定目的端 完成后，单击“ 一站式迁移 ”，右侧弹出一站式迁移页面。 步骤 6 在一站式迁移 页面，可查看 获取迁移服务器信息 。 在其他配置区域，选择推送模式。 选择 操作 局域网 勾选创建任务（可选）勾选启动任务单击“确定” 公网 输入RDA本机公网IP，勾选创建任务（可选）勾选启动任务单击“确定” 步骤 7 开始服务器全量复制。 步骤 8 （可选）设置目的端时，持续同步选择“是”，全量复制完成后，需要手动启动目的端。 说明 “迁移实时状态”为“已完成”，说明目的端已启动，整个迁移操作已完成 相关操作 可对创建的任务进行如下操作。 如果... 那么... 启动迁移任务 勾选已创建的任务，单击“任务操作→启动迁移任务” 同步迁移任务 勾选已创建的任务，单击“任务操作→同步迁移任务” 停止迁移任务 勾选已创建的任务，单击“任务操作→停止迁移任务”说明只能对迁移中的任务进行停止。 删除迁移任务 勾选已创建的任务，单击“任务操作→删除迁移任务” 卸载Agent 勾选已创建的任务，单击“任务操作→卸载Agent” 修改迁移参数 勾选已创建的任务，单击“任务操作→修改迁移参数” 导出目的端信息 勾选已创建的任务，单击按钮，导出.xlsx格式文件。

此小节介绍云堡垒机文件操作授权管理。 文件操作授权用于控制用户访问资源时对资源内的文件操作的权限。 文件操作权限的可选范围是： 上传：允许/拒绝运维用户上传文件。 下载：允许/拒绝运维用户下载文件。 删除：允许/拒绝运维用户删除文件。 创建目录：允许/拒绝运维用户新建目录。 删除目录：允许/拒绝运维用户删除目录。 移动/重命名：允许/拒绝运维用户移动/重命名文件。 新增文件操作授权 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“授权管理 > 文件操作授权”，进入“文件操作授权”页面。 3.单击“新增”，配置文件操作授权相关内容。 参数 参数说明 取值样例 授权规则名称 自定义资产访问授权的规则名称。 Test 动作 选择此授权规则的动作，可选“允许”或“拒绝”。 允许 启用状态 选择该授权规则的启用状态，默认启用。 用户 （可选）选择需要配置访问授权的用户。 用户组 （可选）选择需要配置访问授权的用户组。 若您选择的用户和用户组存在重合，默认取最大的合集。 资产 （可选）选择需要配置访问授权的资产。 资产组 （可选）选择需要配置访问授权的资产组。 若您选择的资产和资产组存在重合，默认取最大的合集。 资产账号 选择命令授权规则生效的资产账号，添加资产账号请参见：资产账号章节。 文件 选择需要做限制的文件操作动作。可填写具体的文件或文件目录，使用正则表示填写，若填写多个使用回车分行。 若不填写文件范围，默认为全选所有文件。 说明 例如您只想限制tmp文件夹下的同层目录使用，正则表达式可填写：/tmp 例如您想限制tmp目录下所有文件及子目录的使用，正则表达式可填写：/tmp/. 授权时间 选择该规则生效的时间段。 源IP 填写用户登录的源IP地址。 0.0.0.0 风险等级 选择此授权规则的风险等级，共有5个等级可选择。 普通 说明 策略匹配顺序为：允许 > 阻断； 配置时至少需要关联至少一个授权对象，否则该条授权策略不会生效，其余未关联的表示对所有生效； 以基础设施访问授权时，账号必须拥有该基础设施访问授权的访问权限策略才会生效。

帮助用户完成SFS Turbo备份存储库的创建，快速创建SFS Turbo备份容器。 操作步骤 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份> SFS Turbo备份”。 2. 在界面右上角单击“购买SFS Turbo备份存储库”。 3. 选择计费模式。 包年包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。 按需计费是后付费模式，根据实际使用量进行计费，可以随时购买或删除存储库。费用直接从账户余额中扣除。 4. （可选）在文件系统列表中勾选需要备份的文件系统，勾选后将在已选文件系统列表区域展示，如下图所示。 图 选择文件系统 说明 所选文件系统未绑定存储库且状态必须为“可用”。 若不勾选文件系统，如需备份可在创建存储库后绑定文件系统即可。 说明 单AZ备份：备份数据仅存储在单个可用区（AZ），成本更低。 多AZ备份：备份数据冗余存储至多个可用区（AZ），可靠性更高。 5. 输入存储库容量。此容量为绑定文件系统所需的总容量。您需要提前规划存储库容量，存储库的空间不能小于备份文件系统的空间。取值范围为[10，10485760]GB。 6. 选择是否配置自动备份。 立即配置：配置后会将存储库绑定到备份策略中，整个存储库绑定的文件系统都将按照备份策略进行自动备份。可以选择已存在的备份策略，也可以创建新的备份策略。 暂不配置：存储库将不会进行自动备份。 7. 如开通了企业项目，需要为存储库添加已有的企业项目。 企业项目是一种云资源管理方式，企业项目管理提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 8. （可选）为存储库添加标签。 标签以键值对的形式表示，用于标识存储库，便于对存储库进行分类和搜索。此处的标签仅用于存储库的过滤和管理。一个存储库最多添加10个标签。 9. 输入待创建的存储库的名称。 只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于64个字符。例如：vault612c。也可以采用默认的名称，默认的命名规则为“vaultxxxx”。 10. 当计费模式为“包年/包月”时，需要选择购买时长。可选取的时间范围为1个月~5年。 可以选择是否自动续费，勾选自动续费时： 按月购买：自动续费周期为1个月。 按年购买：自动续费周期为1年。 11. 根据页面提示，完成支付。 12. 返回SFS Turbo备份页面。可以在存储库列表看到成功创建的存储库。

弹性IP是否支持过户？ 不支持。弹性IP暂不支持指定或过户。 弹性IP释放后，就可能被其他用户申请。 但其他用户申请时的分配方式是随机分配，不能保证申请到其他用户刚刚释放的IP地址。 同时释放后的弹性IP不支持找回。 弹性IP加入共享带宽后，还会收取带宽或流量费吗？ 不收费。 弹性IP加入共享带宽后，弹性 IP 的带宽费和流量费都不会再收取，弹性IP的带宽峰值也会变为共享带宽的带宽峰值。 此时，弹性IP的IP保有费与是否加入共享带宽无关，仅与弹性IP是否绑定云资源有关。

本文主要介绍应用场景。 使用ELB为高访问量业务进行流量分发 对于业务量访问较大的业务，可以通过ELB设置相应的分配策略，将访问量均匀的分到多个后端主机处理。例如大型门户网站，移动应用市场等。 使用ELB消除单点故障 对可靠性有较高要求的业务，可以在负载均衡器上添加多个后端云主机。负载均衡器会通过健康检查及时发现并屏蔽有故障的云主机，并将流量转发到其他正常运行的后端云主机，确保业务不中断。例如官网，计费业务，Web业务等。

若您需要连接集群,需要给管理节点绑定弹性IP才能访问公网,本文带您了解创建并绑定弹性IP的详细操作步骤。 操作场景 若您需要使用天翼云弹性高性能计算运行您的作业，需要给管理节点绑定弹性IP才能访问公网。 方法一：创建集群时可直接自动分配或使用已有弹性IP。 方法二：若创建完集群时未绑定弹性IP，可在详情页弹性点击绑定弹性IP，跳转至管理节点详情页，绑定弹性IP，具体步骤可参考 弹性IP具体创建步骤请参考申请弹性IP。 弹性IP具体绑定步骤请参考绑定与解绑云资源。

本章节介绍应用服务网格CSM对接Nacos注册中心 概述 天翼云应用服务网格CSM对接Nacos架构如下图所示，控制面通过xDS协议从nacos发现服务，通过xDS协议下发到数据面中。 注意 服务网格对接Nacos注册中心前需要您已经订购了微服务引擎注册配置中心实例（Nacos内核）。 开通网格实例时添加Nacos注册中心 在网格开通页面可以选择添加Nacos注册服务，选择已经开通的同VPC下的Nacos注册中心实例即可。 访问Nacos中注册的服务 访问服务网格中从Nacos注册中心发现的服务格式如下： ${服务名}.${nacos分组名}.${nacos命名空间id}.nacos

本页主要介绍关系数据库MySQL版产品部分接口下线的原因、影响和建议。 原因 由于旧版本的相关架构不能适应组件发展，且在功能使用方面有一定的局限性。天翼云决定于2025年1月7日起更新II类型资源池的审计日志和标签类相关接口。以v2接口替换具体的接口调用可参考"建议”。 影响 下线接口范围： 标签类：II类型资源池中查询标签列表、为指定的RDS实例解绑标签等v1接口； 日志：II类型资源池中日志中审计日志相关v1接口。 建议 建议使用标签和审计日志类v2相关接口。具体可参见API使用说明中相关内容。

本章节为您简单介绍数据安全运营中心内容。 天翼云数据安全运营中心是一个针对大数据汇聚、流动及交换共享过程中产生的数据安全风险推出的数据全流域安全管控方案，管控平台利用复杂系统建模方法和大数据智能分析，提供流动数据风险治理、数据安全合规监管能力。从数据、接口、人员三个视角建立规则模型，对数据归集、处理、共享、交换场景下的数据风险进行全域治理和合规监管，对发现的网络风险和数据安全风险进行及时预警和通报，建立适应数据动态流动的安全管控机制。 以管控平台为基础工具，可以建立数据层面从【资产识别】→【风险分析】→【监测预警】→【响应处置】→【工单管理】的数据安全监督管控闭环。

本文介绍如何使用coredump分析实例程序异常。 核心转储（Core Dump）是操作系统在程序异常终止（如崩溃）时，自动生成的一个包含程序崩溃时内存状态的文件（通常命名为 core 或 core.pid）。它记录了程序崩溃时的完整运行环境，用于后续的调试和分析。 使用限制 仅支持状态为运行中（Running）的 ECI 实例。 仅支持将 corefiles 文件等保存到持久化存储(云硬盘,弹性文件,对象存储)中, 因此 ECI 实例需要有挂载持久化存储卷。 操作步骤 天翼云弹性容器实例ECI支持用户通过OpenAPI创建coredump运维任务，详细使用方法参考创建coredump运维任务。

本文介绍如何使用标签管理ECI实例。 背景说明 标签是由一组Key:Value组成的键值对，主要用来绑定到ECI实例上，方便用户管理和维护ECI实例。 使用限制 同一ECI实例下，标签的键必须唯一。 单个ECI实例最多支持绑定20个标签。 配置说明 当用户通过天翼云弹性容器实例订购页面创建ECI实例时，当完成基础设置后，点击“下一步”进入其他设置，可以填入标签。 标签由键值对组成，每填入一组标签，点击“+添加参数”后，可在已添加后方看到该标签，表示该标签配置完成。如下图所示，该ECI实例仅添加成功一组标签"MODE:prod"。

检查内网DNS地址与安全组配置 如您未对DNS进行修改，可使用root或Administrator账号登录相应云主机，输入如下命令： ping ces.{项目}.ctyun.cn 二类节点各资源池项目值可通过控制台“我的凭证”查询。 以苏州为例， ping ces.cnjssz1.ctyun.cn 如可正常连通，说明DNS地址正确可正常访问。 如无法连通，请按照如下操作指导进行配置修改。 修改DNS与添加安全组（Linux） 修改DNS与添加安全组（Windows） 如需获取二类节点各资源池内网DNS地址，可通过天翼云提供的内网DNS地址是多少？获取。

此小节介绍企业主机安全权限管理。 如果您需要对HSS资源为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制对其资源的访问范围。例如您的员工中有负责软件开发的人员，您希望其拥有HSS的使用权限，但是不希望拥有删除HSS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用HSS服务，但是不允许删除HSS的权限，控制其对HSS资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用HSS的其它功能。 HSS权限 默认情况下，管理员创建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 HSS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效，如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问HSS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对HSS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如表所示，包括了HSS的所有系统权限。 系统角色/策略名称 描述 类别 依赖关系 HSS Administrator 主机安全服务（HSS）管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest角色。 Tenant Guest：全局级角色，在全局项目中勾选。 HSSFullAccess 主机安全所有权限。 系统策略 无 HSSReadOnlyAccess 主机安全的只读访问权限。 系统策略 无 系统默认提供两种权限：用户管理权限和资源管理权限。用户管理权限可以管理用户、用户组及用户组的权限。资源管理权限可以控制用户对云服务资源执行的操作。

本章节向您介绍企业路由器的路由定义。 路由简介 路由表中存在多条路由，路由是网络报文转发的依据，包含目的地址、下一跳以及路由类型等信息。 您可以通过创建传播从而自动学习连接的路由，或者手动在路由表中配置连接的静态路由。 路由优先级 如果路由表中存在多条路由目的地址相同，则优先级从高到低排序如下： 静态路由＞“虚拟私有云（VPC）”连接的传播路由。 说明 静态路由是用户自定义，同一个路由表中，静态路由的目的地址不允许重复。 传播路由是系统自动学习，同一个路由表中，不同传播路由的目的地址可能相同。 同一个路由表中，静态路由和传播路由的目的地址可能相同。

问题描述 使用TightVNC登陆windows2019vGPU操作系统的PI7规格GPU云主机，运行Display Changer，通过dc64.exe width1920 height1080 refresh60 force命令修改分辨率为19201080，但实际不生效，分辨率仍为12801024。 如下图： 可能原因 通过TightVNC登录时默认选择的是显示器1，需要在执行Display Changer命令修改分辨率时指定为显示器2（在Nvidia A10上）。 解决方法 1. 执行如下命令修改分辨率并指定Monitor。 dccmd.exe monitor".DISPLAY2" width1920 height1080 2. 执行命令查看分辨率修改成功。 from win32api import GetSystemMetrics 注意 NIDIA Virtual Applications许可证类型最大支持的分辨率仅为 12801024，若要修改分辨率为19201080需要确保许可证类型为NVIDIA RTX Virtual Workstation。

本文主要介绍权限管理 通过企业项目对用户和用户组进行授权 APM使用企业项目管理控制用户对APM资源的访问范围。您在云帐号中给员工创建IAM用户组后，可以在企业管理服务控制台创建企业项目，并在企业项目中为用户组授予相应的权限，实现人员授权及权限控制。企业项目可将企业分布在不同区域的资源按照企业项目进行统一管理，同时可以为每个企业项目设置拥有不同权限的用户组。 通过IAM为企业中的用户和用户组进行授权 如果您需要对您所拥有的APM进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用APM资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将APM资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用APM服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的APM权限，并结合实际需求进行选择，APM支持的系统权限。 示例流程 使用IAM授权的云服务 图 给用户授权APM权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予APM只读权限“APM ReadOnlyAccess”。 2. 创建IAM用户 在IAM控制台创建用户，并将其加入[1](

本节主要介绍创建委托（委托方操作） 通过创建委托，可以将资源共享给其他帐号，或委托更专业的人或团队来代为管理资源。被委托方使用自己的帐号登录后，切换到委托方帐号，即可管理委托方委托的资源，避免委托方共享自己的安全凭证（密码/密钥）给他人，确保帐号安全。 操作步骤 步骤 1 委托方使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击首页顶部控制台，在控制中心页面“管理与部署”分类中，单击“统一身份认证服务”。 步骤 3 在统一身份认证服务管理页面，单击左侧功能菜单“委托”。 步骤 4 在“委托”页面，单击“＋创建委托”。 步骤 5 在“创建委托”页面，输入“委托名称”，“委托类型”选择“普通帐号”，在“委托的帐号”中输入需要建立委托关系的其他帐号的帐号名。 说明 普通帐号：将资源共享给其他帐号或委托更专业的人或团队来代为管理帐号中的资源。委托的帐号只能是帐号，不能是IAM用户名。 云服务：授权指定云服务使用其他云服务。详情请参见“委托其他云服务管理资源” 步骤 6 设置“持续时间”及“描述”信息。 步骤 7 单击“下一步”，进入给委托授权页面。 步骤 8 勾选需要授予委托的权限，单击“下一步”，选择权限的作用范围。 说明 给委托授权即给其他帐号授权，给用户组授权即给帐号中的IAM用户授权，两者操作方法相同，仅可选择的权限个数不同，授权操作请参见“给用户组授权”。 为了保障您的帐号安全，委托将不能添加Security Administrator权限，建议您按照业务场景为委托授予最小权限。 步骤 9 单击“确定”，委托创建完成。 说明 委托方操作完成，将自己的帐号名称、创建的委托名称、委托ID以及委托的资源权限告知被委托方后，被委托方可以通过切换角色至委托方帐号中管理委托资源。

控制台权限 权限三元组 IAM（资源池/全局） 企业项目（资源组） 导入镜像 ims:serverImages:create √ √ 创建私有镜像 ims:serverImages:create √ √ 申请云主机 ecs:cloudServers:create √ √ 导出公共镜像 ims:serverImages:export √ 导出私有镜像 ims:serverImages:export √ √ 删除（私有镜像） ims:serverImages:delete √ √ 共享（私有镜像） ims:serverImages:share √ √ 取消共享（私有镜像） ims:serverImages:noshare √ √ 接受（共享镜像） ims:serverImages:accept √ √ 拒绝（共享镜像） ims:serverImages:deny √ 复制镜像（共享镜像） ims:sharedImages:copy √ √ 查询共享镜像列表 ims:sharedImages:list √ 查询已拒绝镜像（共享镜像） ims:denyimages:list √ 弃用（私有镜像） ims:serverImages:deprecated √ √ 取消弃用（私有镜像） ims:serverImages:undeprecated √ √ 修改（私有镜像） ims:serverImages:change √ √ 复制镜像（私有镜像） ims:serverImages:copy √ √ 镜像列表获取（私有镜像） ims:serverImages:list √ √ 镜像详情获取 ims:serverImages:get √ √

本章节介绍如何为应用设置公网访问 概述 应用发布到K8s集群后，无法直接被外部访问，可为应用添加公网负载均衡来实现应用的公网访问。 设置公网访问 前提条件 已订购开通公网弹性负载均衡实例（需与应用所发布环境相同VPC），并导入到环境。 添加负载均衡(公网)访问方式 左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。点击需要设置公网的应用实例，进入应用实例详情页面，左下角访问方式配置出，添加负载均衡（公网）。 服务名称：输入合法名称即可 选择ELB：选择订购成功的公网ELB 外部流量策略：建议选择Cluster流量策略，网络插件cubecni的云容器引擎不支持Local流量策略。

本节介绍了文档数据库服务的权限管理说明。 如果您需要对云上购买的DDS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在云账号中给员工创建IAM用户，并授权控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DDS的使用权限，但是不希望他们拥有删除DDS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DDS，但是不允许删除DDS的权限策略，控制他们对DDS资源的使用范围。 如果云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DDS服务的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 DDS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DDS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DDS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DDS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如表所示，包括了DDS的所有系统权限。 DDS系统权限 策略名称/系统角色 描述 类别 依赖关系 DDS FullAccess 文档数据库服务所有权限。 系统策略 无 DDS ReadOnlyAccess 文档数据库服务资源只读权限，拥有该权限的用户仅能查看文档数据库服务数据。 系统策略 无 DDS ManageAccess 文档数据库服务除删除操作外的DBA权限。 系统策略 无 DDS Administrator 文档数据库服务（DDS）管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest和Tenant Administrator角色，在同项目中勾选依赖的角色。 下表列出了DDS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 DDS FullAccess DDS ReadOnlyAccess DDS ManageAccess DDS Administrator 创建实例 √ x √ √ 查询实例列表 √ √ √ √ 删除实例 √ x x √ 重启实例 √ x √ √ 主备倒换 √ x √ √ 修改端口 √ x √ √ 重置密码 √ x √ √ 修改SSL √ x √ √ 修改安全组 √ x √ √ 绑定/解绑公网IP √ x √ √ 磁盘扩容 √ x √ √ 规格变更 √ x √ √ 节点扩容 √ x √ √ 删除扩容失败节点 √ x × √ 修改备份策略 √ x √ √ 重命名实例 √ x √ √ 修改内网IP地址 √ x √ √ 变更实例下节点绑定的参数模板 √ x √ √ 切换慢日志明文显示开关 √ x √ √ 切换审计日志开关 √ x √ √ 下载审计日志 √ x √ √ 删除审计日志 √ x × √ 下载备份文件 √ x √ √ 创建手动备份 √ x √ √ 查询备份列表 √ √ √ √ 恢复到新实例 √ x √ √ 恢复到已有实例 √ x √ √ 删除备份 √ x × √ 创建参数模板 √ x √ √ 查询参数模板列表 √ √ √ √ 修改参数模板 √ x √ √ 删除参数模板 √ x × √ 任务中心列表 √ x √ √ 下表列出了DDS常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表 常用操作与对应的授权项 操作 授权项 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 创建页需要查询对应的VPC、子网、安全组。 创建实例 dds:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 dds:instance:list 查询实例详情 dds:instance:list 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 导出实例列表 dds:instance:list 如果需要导出VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 删除实例 dds:instance:deleteInstance 删除实例需要同时删除数据侧IP地址。 重启实例 dds:instance:reboot 主备倒换 dds:instance:switchover 修改端口 dds:instance:modifyPort 重置密码 dds:instance:resetPasswd 修改SSL dds:instance:modifySSL 修改安全组 dds:instance:modifySecurityGroup 绑定公网IP dds:instance:bindPublicIp 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 解绑公网IP dds:instance:unbindPublicIp 不支持企业项目 不支持细粒度 磁盘扩容 dds:instance:extendVolume 规格变更 dds:instance:modifySpec 节点扩容 dds:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 删除扩容失败节点 dds:instance:extendNode 如果IP地址已经创建完成，但后续流程失败，需要同时删除数据侧IP地址。 修改备份策略 dds:instance:modifyBackupPolicy 重命名实例 dds:instance:modify 修改内网IP地址 dds:instance:modifyVIP vpc:subnets:get vpc:ports:get 修改内网IP地址，需要预先查询出可用的IP地址，再进行修改。 变更实例下节点绑定的参数模板 dds:instance:modifyParameter 切换慢日志明文显示开关 dds:instance:modifySlowLogPlaintextSwitch 切换审计日志开关 dds:instances:modifyAuditLogSwitch 下载审计日志 dds:instances:downloadAuditLog 删除审计日志 dds:instance:deleteAuditLog 下载备份文件 dds:backup:download 创建手动备份 dds:instance:createManualBackup 查询备份列表 dds:backup:list 恢复到新实例 dds:backup:createInstanceFromBackup vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 加密实例需要在项目上配置KMS Administrator权限。 恢复到已有实例 dds:backup:refreshInstanceFromBackup 删除备份 dds:backup:delete 创建参数模板 dds:param:create 查询参数模板列表 dds:param:list 修改参数模板 dds:param:modify 删除参数模板 dds:param:delete 任务中心列表 dds:task:list

本文档基于天翼云（CTyunOS）生态环境，针对昇腾910B物理机实例，提供MinerU2.1服务从环境准备、服务启停到API调用的完整操作指南。通过遵循本文档步骤，可在天翼云CTyunOS镜像环境中高效部署MinerU2.1服务，充分利用昇腾910B的算力优势，满足模型推理等AI服务需求。 1 环境准备 1.1 前置条件 操作系统镜像：使用天翼云官方提供的CTyunOS CTyunOS 23.01.2@GalaxyComputeNPU25.0.rc1.1 64位镜像，该镜像已针对天翼云算力环境优化，适配昇腾硬件。 云服务器实例：选用天翼云昇腾910B物理机实例，套餐规格为physical.Icas910b.2xlarge11，确保具备满足MinerU2.1服务运行的算力与硬件资源。 1.2 本地NVME分区 需将节点的nvme1n1和nvme0n1两块NVME盘分别挂载至/mnt/nvme1n1和/mnt/nvme0n1目录（后续MinerU2.1的模型、容器镜像存储及服务启动将依赖这两个挂载点），执行以下脚本完成分区挂载与开机自动挂载配置： plaintext !/bin/bash 设备列表 devices("/dev/nvme0n1" "/dev/nvme1n1") mountpoints("/mnt/nvme0n1" "/mnt/nvme1n1") fstype"xfs"

本节介绍云等保专区产品的专用术语。 术语 说明 :: cURL cURL是一个利用URL语法在命令行下工作的文件传输工具，可用于检测系统是否可以访问目标站点。 Dig Dig是一个在类Unix命令行模式下查询DNS信息（包括NS记录、A记录、MX记录等）的工具。 基线核查 基线核查是指对主机操作系统、数据库、软件和容器的配置进行安全检测，并提供检测结果说明和加固建议。 基线核查可以帮您进行系统安全加固，降低入侵风险并满足安全合规要求。 漏洞扫描 漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。 引擎 本文的“引擎”为扫描核心技术，即最终进行漏洞扫描工作的服务。 资产 即扫描器所扫描的主机、数据库、网站等。 DDoS 分布式拒绝服务攻击（Distributed Denial of Service Attack，DDoS）是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。 EDR 端点检测与响应（Endpoint Detection & Response，EDR）是一种主动的安全方法，可以实时监控端点，并搜索渗透到防御系统中的威胁。EDR是一种新兴的技术，可以更好地了解端点上发生的事情，提供关于攻击的上下文和详细信息。 认证 是一种信用保证形式。按照国际标准化组织（ISO）和国际电工委员会（IEC）的定义，由国家认可的认证机构证明一个组织的产品、服务、管理体系符合相关标准、技术规范（TS）或其强制性要求的合格评定活动。 虚拟机 虚拟机（Virtual Machine）指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。 在实体计算机中能够完成的工作在虚拟机中都能够实现。 在计算机中创建虚拟机时，需要将实体机的部分硬盘和内存容量作为虚拟机的硬盘和内存容量。每个虚拟机都有独立的CMOS、硬盘和操作系统，可以像使用实体机一样对虚拟机进行操作。 AES 密码学中的高级加密标准（Advanced Encryption Standard，AES），又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES（Data Encryption Standard），已经被多方分析且广为全世界所使用。 Apache Apache是一款Web服务器软件。它可以运行在几乎所有广泛使用的计算机上，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。 CC攻击 CC攻击（Challenge Collapsar Attack，挑战黑洞攻击）是DDoS攻击的一种类型，使用代理服务器向受害服务器发送大量假冒合法的请求，造成被攻击服务器资源耗尽，一直到宕机崩溃。 DES DES（Data Encryption Standard，数据加密标准）是一种使用密钥加密的块算法，1977年被美国联邦政府的国家标准局确定为联邦资料处理标准（FIPS），并授权在非密级政府通信中使用，随后该算法在国际上广泛流传开来。 HA 高可靠性（High Availability，简称HA）能够在通信线路或设备发生故障时提供备用方案，防止由于单个产品故障或链路故障导致网络中断，保证网络服务的连续性。 LACP LACP（Link Aggregation Control Protocol，链路聚合控制协议）是一种基于IEEE802.3ad标准的协议。 LACP协议通过LACPDU（Link Aggregation Control Protocol Data Unit，链路聚合控制协议数据单元）与对端交互信息。链路聚合往往用在两个重要节点或繁忙节点之间，既能增加互联带宽，又提供了连接的可靠性。 LDAP LDAP（Lightweight Directory Access Protocol，是轻量目录访问协议）是互联网上目录服务的通用访问协议。 LDAP服务可以有效解决众多网络服务的用户账户问题，LDAP服务器是用于查询和更新LDAP目录的服务器，包括用户账号目录。 MTU 最大传输单元（Maximum Transmission Unit，MTU）用来通知对方所能接受服务单元的最大尺寸，说明发送方能够接受的有效荷载大小。 SSL SSL（Secure Sockets Layer，安全套接字协议）及TLS（Transport Layer Security，继任者传输层安全）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。 VRRP 虚拟路由冗余协议（Virtual Router Redundancy Protocol，简称VRRP）是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议，它是一种路由容错协议，也可以叫做备份路由协议。 WebShell Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称为一种网页后门。 黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器Web目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。 Kafka Kafka是一种高吞吐量的分布式发布订阅消息系统，可以处理消费者规模的网站中所有动作流数据。这些数据通常由于吞吐量要求而通过处理日志和日志聚合来解决。 SNMP SNMP（Simple Network Management Protocol，简单网络管理协议）是标准IP网络管理协议，支持目前主流的网络管理系统。 SQL SQL（Structured Query Language，结构化查询语言）是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统；同时也是数据库脚本文件的扩展名。 Syslog Syslog是一种行业标准的协议，可用来记录设备的日志。 Syslog日志消息既可以记录在本地文件中，也可以通过网络发送到接收Syslog的服务器。服务器可以对多个设备的Syslog消息进行统一的存储，或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。

本文为您介绍创建告警规则的操作场景、前提条件和操作步骤。 操作场景 云监控支持灵活的创建告警规则。您既可以根据实际需要对某个特定的监控指标设置自定义告警规则，同时也能够使用告警模板为多个资源或者云服务批量创建告警规则。 在您使用告警模板创建告警规则之前，云监控已经根据各个云服务的应用属性，为各个云服务量身定做了默认使用的告警模板，供您选择使用。同时云监控为用户提供了自定义创建告警模板的功能，您可以选择在默认模板推荐的监控指标上进行修改，或自定义添加告警指标完成自定义告警模板的添加。 注意 系统事件不支持告警规则配置，仅支持事件通知，入口：云监控服务>系统事件>事件订阅。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则列表页面。 5. 在“告警规则”列表界面，单击“创建告警规则”按钮。 6. 在“创建告警规则”页面，根据界面提示配置参数。 7. 配置参数如下： 模块 参数 参数说明 配置示例 备注 选择监控对象 规则类型 选择规则的类型，指标监控（包括站点监控）。 指标监控 自定义监控、自定义事件目前仅支持部分资源池 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云主机 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 云主机 选择监控对象 监控对象类型 具体实例/资源分组 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 定义告警策略 选择类型 自定义创建/从模板导入。 自定义创建 定义告警策略 策略 满足全部/任一策略，检查频率为设定值，其中策略信息包括：指标、数据类型（原始值、最大值、最小值、平均值）、判断条件（>、≥、 0%,连续1个检测周期，检测频率为60s 同一告警规则下，告警条件最多支持添加20条 配置告警通知 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 是 配置告警通知 告警联系组 配置发生告警通知的用户组。 配置告警通知 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 出现告警 配置告警通知 通知方式 配置告警通知的通知方式，支持邮箱及短信。 邮箱 配置告警通知 重复告警 指告警发生后如果未恢复正常，将重复发送告警通知次数。 不重复 配置告警通知 通知周期 配置告警通知的周期时间。 星期天、星期一、星期二、星期三、星期四、星期五、星期六 配置告警通知 通知时段 配置告警通知的时间段。 00:00:0023:59:59 配置告警通知 告警回调 配置告警通知webhook地址。 规则信息 名称 该告警规则的自定义名称。 规则信息 企业项目 选择告警规则适用的企业项目。 规则信息 描述 添加对该告警规则描述（此参数非必填项）。 说明 告警规则添加完成后，当监控指标触发设定的阈值时，云监控会在第一时间通过邮件实时告知您云上资源异常，以免因此造成业务损失。 关于如何使用回调接口，请参见使用告警回调。 说明 针对监控无数据状态，可配置三种处理策略。 不做处理 逻辑说明：当监控指标在指定周期内没有产生数据时，云监控不会触发任何告警动作，也不会对该情况进行特殊标记或通知。相当于忽略无数据的情况，继续按照正常的告警逻辑，等待后续有数据时再进行判断 。 适用场景：适用于监控指标偶尔会因为业务特性、网络波动等原因出现短暂无数据，但这种无数据情况不会对业务运行产生实质性影响，且频繁发送无数据告警会干扰运维人员的场景。 视为告警 逻辑说明：一旦监控指标在设定的时间周期内没有接收到新的数据，如用户配置告警通知渠道，云监控就会按照预先配置的方式（如短信、邮件等）发送告警信息，提示相关人员当前指标出现无数据的情况。 适用场景：适用于对数据连续性要求较高的业务场景，即无数据本身就可能意味着业务出现异常或者数据采集链路出现故障的情况。 视为恢复 逻辑说明：当监控指标之前处于触发告警的状态，而在后续某个周期内出现无数据的情况时，云监控会将这种无数据状态视为告警已经恢复，自动将告警状态更新为恢复，并按照配置的通知方式发送告警恢复的通知。但如果指标从未触发过告警，单纯出现无数据，不会发送恢复通知 。 适用场景：适用于那些依赖数据来判断告警状态，且无数据可以被认为是问题已解决的场景。 注意 告警规则创建>定义告警策略模块，“检测频率”如需支持修改，请联系客户经理开放功能。 检测频率，即每次告警数据检测任务间隔的时间，默认为1分钟。如云资源监控数据频率为1min，调整告警规则检测频率为30s，则连续两个检测周期，查询获取的数据可能为同一数据点。

本章节主要介绍解绑/绑定集群的EIP。 操作场景 CDM集群创建完成后，支持解绑或绑定EIP。 如果CDM需要访问本地数据源、Internet的数据源，或者跨VPC的云服务，则必须要为CDM集群绑定一个弹性IP，或者使用NAT网关让CDM集群与其他弹性云主机共享弹性IP访问Internet。 EIP的异常通知，需要先在IAM控制台创建对应Region的VPC策略委托才能生效。也可以在CDM集群管理界面选择“弹性IP检测授权 > 创建委托”来创建。 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。 前提条件 已创建CDM集群。 已拥有EIP配额，才能绑定EIP。 操作步骤 1.登录CDM管理控制台。单击左侧导航上的“集群管理”，进入集群管理界面。集群列表详见下图 说明 “创建来源”列仅通过DataArts Studio服务进入数据集成界面可以看到。 2.对相应需要操作的集群可以进行绑定EIP或解绑EIP的操作。 绑定EIP：单击集群操作列中的“绑定弹性IP”，进入EIP选择界面。 解绑EIP：选择“更多 > 解绑弹性IP”。 3.单击“确定”绑定或解绑EIP。

本节介绍如何对您所拥有的DEW进行精细的权限管理。 如果您需要对您所拥有的DEW进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DEW资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DEW资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DEW服务的其它功能。 前提条件 给用户组授权之前，请您了解用户组可以添加的DEW权限，并结合实际需求进行选择，DEW支持的系统权限如表所示。 系统角色/策略名称 描述 类别 KMS Administrator 加密密钥的管理员权限。 系统角色 KMS CMKFullAccess 加密密钥所有权限。 系统策略 示例流程 步骤 1 在IAM控制台创建用户组，并授予加密密钥所有权限“KMS CMKFullAccess”。 步骤 2 在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 步骤 3 新创建的用户登录控制台，切换至授权区域，验证权限。 在“服务列表”中选择除数据加密服务外的任一服务，若提示权限不足，表示“KMS CMKFullAccess”已生效。

使用场景 当您的DHCP选项集不再使用时，可以将DHCP选项集删除。 前提条件 已经完成创建DHCP选项集。 已完成DHCP选项集和VPC解除关联，DHCP选项集未关联任何VPC。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，本文我们以某可用区资源池为例。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在网络控制台界面，选择DHCP选项集，单击进入DHCP选项集列表页。 5. 找到对应的DHCP选项集，点击操作中“删除”选项，进入删除DHCP选项集弹窗；点击“确定”后即可删除。 注意 DHCP关联VPC时无法删除，请确保目标DHCP选项集已无关联的VPC。