操作步骤 1. 登录天翼云控制中心。 2. 单击控制中心顶部的选择区域。 3. 在左侧导航栏选择“计算 > 镜像服务”。 4. 在“镜像”列表页面，单击右上角“创建私有镜像”。 5. 在创建私有镜像页面，镜像类型选择“系统盘镜像”，镜像源选择“云主机”，选择对应云主机的系统盘。 6. 选择最小内存、最大内存，设置最小内存和最大内存后，此镜像只适用于满足最小内存与最大内存的云主机规格。 7. 填写镜像的基本信息，如企业项目、镜像名称、描述等，单击“下一步”按钮。 说明 选择最大内存、最小内存功能只在部分资源池支持。 最小内存的范围为：不限制、1GB、2GB、4GB、8GB、16GB、32GB、64GB、128GB、256GB、512GB；最大内存的范围为：不限制、1GB、2GB、4GB、8GB、16GB、32GB、64GB、128GB、256GB、512GB。 最大内存不能小于最小内存，如果不满足条件，则对应选项置灰不能选择。 最大内存与最小内存支持修改。 最大内存与最小内存的限制涉及到的场景包括：申请云主机、重装云主机、弹性伸缩。在选择镜像的时候会根据内存范围对镜像进行过滤。 已经分享出去的镜像，再次修改最大最小内存值，接受分享的用户使用此共享镜像，使用的最大最小内存值为修改后的值，即共享出去的镜像，最大最小内存值会跟随源镜像的修改而改变。 已经创建了云主机的镜像，修改最大最小内存，修改后不影响之前创建的云主机，已经创建的云主机的操作可以不匹配最大最小内存。涉及到的操作包括：创建相同配置、变配、克隆、云主机备份申请云主机、云主机快照申请云主机、创建弹性伸缩组、创建伸缩配置。 镜像名称长度232位,只能由数字、字母、组成，不能以数字和开头、且不能以结尾。 8. 确认镜像参数，勾选“我已阅读并同意相关协议”，并单击“确认下单”按钮。

本节介绍了创建私有镜像前云主机需要完成哪些初始化配置的相关内容。 镜像源为云主机或镜像文件 云主机相关配置项 操作系统 相关配置项 参考链接 ::: Windows 设置网卡属性为DHCP 开启远程桌面连接功能 （可选）安装Windows特殊驱动 安装一键式重置密码插件 （可选）安装CloudbaseInit工具 安装Guest OS driver，包括PV driver和UVP VMtools驱动 执行Sysprep操作 通过云主机创建Windows系统盘镜像 Linux 设置网卡属性为DHCP （可选）安装Linux特殊驱动 安装一键式重置密码插件 （可选）安装CloudInit工具 清理网络规则文件 修改grub文件的磁盘标识方式为UUID 修改fstab文件的磁盘标识方式为UUID 安装原生的XEN和KVM驱动 卸载云主机的数据盘 通过云主机创建Linux系统盘镜像 表 镜像文件（用于创建云主机）相关配置项 操作系统 相关配置项 参考链接 Windows 设置网卡属性为DHCP 开启远程桌面连接功能 安装Guest OS driver，包括PV driver和UVP VMtools驱动 （可选）安装CloudbaseInit工具 （可选）开启网卡多队列 （可选）配置IPv6地址 准备镜像文件（Windows） Linux 清理网络规则文件 设置网卡属性为DHCP 安装原生的XEN和KVM驱动 修改grub文件的磁盘标识方式为UUID 修改fstab文件的磁盘标识方式为UUID 清除“/etc/fstab”中非系统盘的自动挂载信息 （可选）安装CloudInit工具 （可选）开启网卡多队列 （可选）配置IPv6地址 准备镜像文件（Linux） 说明： 使用外部镜像文件创建私有镜像时，以上相关步骤操作需要在虚拟机内部完成，强烈建议您在原平台的虚拟机实施修改后，再导出镜像。 使用Windows外部镜像文件创建私有镜像时，关于Guest OS driver，在勾选“进行后台自动化配置”后，云平台会对镜像文件进行检查，如果未添加Guest OS driver，会尽力帮助客户进行自动安装。

对各个IP地址的解释说明 购买TaurusDB实例后获得了多个IP地址，以1主1只读为例，在实例基础信息中最多共能找到4个IP，业务可以按自己的需要连接对应的IP。 说明 对于节点读内网地址，如果出现节点故障，故障恢复前IP不可访问。 对于节点读内网地址，如果出现节点故障，故障恢复前IP不可访问。 1. 主节点读内网地址（不推荐使用） IP与节点绑定，可以从内网（同VPC网络内）直接连接IP做读写操作，如果发生故障倒换，节点变为只读节点，则该IP将只能做读操作，不能做写操作。对该IP的操作实际会落到对应的节点上。 2. 只读节点读内网地址（不推荐使用） IP与节点绑定，可以从内网（同VPC网络内）直接连接IP做读操作，如果发生故障倒换，节点变为主节点，则该IP将能做读写操作。对该IP的操作实际会落到对应的节点上。 3. 读写内网地址 浮动IP，IP永远与主节点绑定，可以内网（同VPC网络内）直接连接IP做读写操作。如果发生故障倒换，该IP会浮动到新的主节点，依然可以做读写操作。对该IP的操作永远会落到当时的主节点上。 4. 读写公网地址(创建实例后需要单独绑定) 创建并绑定公网IP后，可以从公网连接IP做读写操作。与浮动IP相同，也是一直与主节点绑定，且一直可以做读写操作。对该IP的操作永远会落到当时的主节点上。 说明 故障倒换： TaurusDB默认最少为2个节点，1主（可读可写）1只读（只可读不可写），主节点仅允许有一个，只读节点可以有多个。 当主节点遇到故障时，高可用系统会迅速发现，并选择一个只读节点将其升级为主节点，并将原主节点修复为只读节点，这个过程叫故障倒换。

由于应用服务网格CSM格控制面部署在租户的云容器引擎集群上，开通过程中会主集群安装CRD，部署相关控制面服务等，如果您在自己的云容器引擎集群上已经安装了相同的资源，可能导致资源冲突，需要您确认是否可以删除当前云容器引擎集群上的冲突资源是否可以删除，确认删除冲突资源后再重新开通服务网格。 服务网格CSM安装过程中需要新增的CRD如下： authorizationpolicies.security.istio.io customproxyconfigs.networking.istio.io destinationrules.networking.istio.io envoyfilters.networking.istio.io gateways.networking.istio.io istiooperators.install.istio.io localratelimiters.networking.istio.io peerauthentications.security.istio.io proxyconfigs.networking.istio.io requestauthentications.security.istio.io serviceentries.networking.istio.io sidecars.networking.istio.io telemetries.telemetry.istio.io trafficlabels.networking.istio.io virtualservices.networking.istio.io wasmplugins.extensions.istio.io workloadentries.networking.istio.io workloadgroups.networking.istio.io 新增资源部署如下： apiVersion Kind Namespace Name apps/v1 Deployment istiosystem istioeastwestgateway networking.istio.io/v1alpha3 Gateway istiosystem istiodgateway networking.istio.io/v1alpha3 VirtualService istiosystem istiodvs rbac.authorization.k8s.io/v1 ClusterRole istiosystem istioeastwestgatewaysds rbac.authorization.k8s.io/v1 ClusterRoleBinding istiosystem istioeastwestgatewaysds v1 Service istiosystem istioeastwestgateway v1 ServiceAccount istiosystem istioeastwestgatewayserviceaccount rbac.authorization.k8s.io/v1 ClusterRole istiosystem istiooperator rbac.authorization.k8s.io/v1 ClusterRoleBinding istiosystem istiooperator install.istio.io/v1alpha1 IstioOperator istiosystem istiocontrolplane apps/v1 Deployment istiosystem istiooperator v1 Service istiosystem istiooperator v1 ServiceAccount istiosystem istiooperator v1 Endpoints opaistio admissioncontroller v1 Service opaistio admissioncontroller admissionregistration.k8s.io/v1 MutatingWebhookConfiguration 无 opaistioadmissioncontroller

事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。事件监控不依赖于Agent插件。 事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作，如删除虚拟机、重启虚拟机等。 事件监控默认开通，您可以在事件监控中查看系统事件和自定义事件的监控详情。 事件监控为您提供上报自定义事件的接口，方便您将业务产生的异常事件或重要变更事件采集上报到云监控服务。

此小节介绍访问资产提示“登录设备失败，设备账号或密码错误”的处理方法。 访问资产提示“登录设备失败，设备账号或密码错误”，如果使用托管的账号密码，则需联系资产管理员，确认托管的账号和密码是否正确。 资产管理员需要将正确的资产账号和密码重新添加到资产，运维用户才能正常登录设备运维。 操作步骤 1、管理员登录云堡垒机实例控制台，访问角色切换为管理角色。 2、进入 资产管理>资产 页面，按资产IP或资产名搜索需要修改资产账号密码的资产。 3、点击资产数据操作栏【编辑】，在账号项选择需要修改的资产账号点击【编辑】。 4、进入 资产管理>资产账号 页面，选择需要修改的资产账号点击【编辑】。 5、更新资产账号、密码及应用的协议。

天翼云云日志服务等级协议

本节介绍了删除私有镜像的流程。 1、登录天翼云控制中心; 2、在云主机控制台，单击【镜像服务】； 3、在镜像服务列表，选择私有镜像页签，在操作列点击【更多 > 删除】 4、确定要删除的镜像服务信息，点击是，完成删除镜像。

本文将为您介绍财务管理使用的常见问题。 企业财务管理功能面向的客户范围 企业中心财务管理功能当前主要面向天翼云云公司、云省分线上/线下渠道客户，省公司线下渠道客户若想使用企业财务管理功能，需联系客户经理申请。 企业子账号与主账号的财务模式是否可转换？ 系统暂不支持直接财务独立转财务托管，或财务托管转财务独立。 是否支持邀请已有的天翼云账号成为财务托管子账号？ 暂不支持。

本文主要介绍 云日志服务.NET SDK接入指南。 1. 前言 安装使用.NET SDK可以帮助开发者快速接入使用天翼云的日志服务相关功能，目前支持同步上传功能。 2. 使用条件 2.1. 先决条件 用户需要具备以下条件才能够使用LTS SDK .net版本： 1、购买并订阅了天翼云的云日志服务，并创建了日志项目和日志单元，获取到相应编码（logProject、logUnit）。 2、已获取AccessKey 和 SecretKey。 3、已安装C10.0 以上开发环境，推荐支持.NET 6或以上版本。 2.2. 下载及安装 项目基于.Net Standard 2.0 构建，可适用于.netcore、.net5.0以上框架使用。从官方渠道下载ctyunltsnetsdk.zip压缩包，放到相应位置后并解压。“ctyunltsnetsdk”目录中ctyunlstnetsdk 模块是SDK的逻辑代码，testnetsdk模块为SDK的使用示例代码。 1、执行以下命令构建项目，这将在bin/Debug目录下生成对应文件。如果使用的是IDE，则根据工具的特性，自行构建。 plaintext dotnet build 2、在testnetsdk 模块（或您自定义的模块）中的testnetsdk.csproj里面添加上对net sdk 的项目依赖ItemGroup。 plaintext net6.0 Exe enable enable 3、如果本地安装的.net 版本发生变动，请修改testnetsdk.csproj文件中的TargetFramework 为对应版本 plaintext Exe net6.0 enable enable ..... 3. SDK基本使用

本文将介绍如何免密拉取CRS镜像。 ECI支持从天翼云容器镜像服务CRS私有镜像仓库中免密拉取镜像，以提升效率和安全性。创建ECI实例前，需要将镜像上传到对应仓库中。本文介绍如何免密拉取CRS镜像。 背景信息 天翼云容器镜像服务CRS分为个人版和企业版。其中，企业版是企业级云原生应用制品管理平台，提供容器镜像、Helm Chart以及符合OCI规范制品的生命周期管理，适用于业务大规模部署场景，帮助企业降低交付复杂度。 创建工作负载时，如果要拉取的镜像属于CRS镜像，当使用内网地址时，ECI支持免密拉取，提升效率，同时避免密码泄露的风险，加强安全性。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 1. 登录云容器引擎控制台，在控制台的左侧导航栏中点击“集群” 。 2. 在集群列表页面中单击目标集群的名称。 3. 在左侧选择“工作负载”，选择“无状态”，在右上角单击“创建Deployment”。 4. 按需配置工作负载的信息。 5. 按需配置容器，容器信息Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 1. 容器名称：为容器命名。 2. 镜像更新策略：选择是否总是拉取镜像。 3. 镜像名称：选择容器使用的镜像，支持多种镜像来源。 4. 镜像版本：选择需要部署的镜像版本。 6. 点击选择镜像，从CRS镜像仓库选择私有镜像，选择内网地址。 7. 创建完成后，进入工作负载的无状态页面，可以看到新建的k8ssidecar应用出现在无状态列表下。

产品规格、计费单位、价格及应用场景说明,帮助您快速了解产品总体计费模式。 本产品按照服务的类型、人员数、服务周期及服务资产数进行收费。 注意 购买基础版、企业版前，应至少已订购主机安全、WAF、云防火墙安全产品。 服务项 细分项 资产数 单位 价格 应用场景 备注 基础版 基础版接入服务 元/年 40800 基础费用，包含服务接入、资源配置等 基础版 基础版资产 1 元/台/年 720 单个资产托管费用 企业版 托管基础服务 元/年 60000 基础费用，包含服务接入、资源配置等 企业版包含托管资产的应急响应服务，新购一年赠送一次资产威胁分析服务。 企业版 托管资产 1 元/台/年 1800 单个资产托管费用 企业版包含托管资产的应急响应服务，新购一年赠送一次资产威胁分析服务。 护航版 前期评估 150 元/天 10000 对资产、网络、应用进行重保前的整体安全评估，协助用户完成安全加固 最低5天 护航版 重保服务 150 元/天 12000 提供724小时不间断人工重保服务，持续进行安全监控及应急响应 护航版 防护资产扩展包 50 元/天/个 8000 扩展重保服务监控资产数量 每新增1个资产扩展包，安全检查最低天数增加1天 护航版 蓝军攻击服务（3人5天） 元/次 450000 提供3人5天的蓝军攻击服务，提供攻击报告 应急响应服务 应急响应服务 120 元/次 35000 提供远程应急响应服务，受影响范围为120个资产 应急响应服务 应急响应服务 21100 元/次 36000 提供远程应急响应服务，受影响范围为21100个资产 应急响应服务 应急响应服务 101200 元/次 39600 提供远程应急响应服务，受影响范围为101200个资产 应急响应服务 应急响应服务 201500 元/次 52000 提供远程应急响应服务，受影响范围为201500个资产 安全评估 安全评估服务 元/次 30000 对云上资产、应用、网络进行整体安全评估，提供评估报告，提供加固建议 全流量分析服务 元/月 3500 单个规格支持网络层吞吐量500Mbps，应用层吞吐量≤250Mbps，可按需叠加。 全流量分析服务 元/年 35000 单个规格支持网络层吞吐量500Mbps，应用层吞吐量≤250Mbps，可按需叠加。

本文将为您介绍如何修改云硬盘的类型,以及修改云硬盘类型的约束与限制。 操作场景 天翼云提供多种云硬盘类型，满足不同场景的存储性能和价格需求，用户可以根据业务需求变更云硬盘的类型。例如，创建云硬盘时选择了通用型SSD，但后期需要更高的IOPS，则可以将该盘变配为超高IO型云硬盘。 说明 当前云硬盘变配后，新建快照的类型与最新的磁盘类型一致，而云硬盘的存量快照类型则不会变化。 约束与限制 当前支持的变配路径如下： HDD云硬盘变配 源云硬盘类型 支持修改的目标云硬盘类型 普通IO 高IO SSD云硬盘变配 源云硬盘类型 支持修改的目标云硬盘类型 通用型SSD 超高IO XSSD云硬盘变配 源云硬盘类型 支持修改的目标云硬盘类型 备注 XSSD0 按需计费XSSD0 按需计费XSSD1 XSSD0变配为XSSD1时，云硬盘容量不可小于20GB，若不满足请在变配前扩容云硬盘。 XSSD0 按需计费XSSD0 按需计费XSSD2 XSSD0变配为XSSD2时，云硬盘容量不可小于512GB，若不满足请在变配前扩容云硬盘。 XSSD0 按需计费XSSD0 按需计费XSSD3 XSSD0变配为XSSD3时，云硬盘容量不可小于1024GB，若不满足请在变配前扩容云硬盘。 XSSD0 包年包月XSSD0 包年包月XSSD1 XSSD0变配为XSSD1时，云硬盘容量不可小于20GB，若不满足请在变配前扩容云硬盘。 XSSD0 包年包月XSSD0 包年包月XSSD2 XSSD0变配为XSSD2时，云硬盘容量不可小于512GB，若不满足请在变配前扩容云硬盘。 XSSD0 包年包月XSSD0 包年包月XSSD3 XSSD0变配为XSSD3时，云硬盘容量不可小于1024GB，若不满足请在变配前扩容云硬盘。 XSSD1 按需计费XSSD1 按需计费XSSD0 XSSD1变配为XSSD0时，云硬盘的基础IOPS+预配置IOPS之和，不可超过XSSD0的最大IOPS，若不满足请在变配前调整预配置IOPS。XSSD0的最大IOPS计算方法参见[X系列云硬盘性能计算方法](

通过VPC对等连接实现一个中心VPC的弹性云主机与两个VPC的弹性云主机对等 由于VPCB和VPCC的网段重叠，而且SubnetB01和SubnetC01子网的网段也重叠，无法同时创建VPCA和VPCB、VPCA和VPCC之间的对等连接。为了实现一个中心VPC（VPCA）的弹性云主机与两个VPC（VPCB和VPCC）的弹性云主机之间的对等连接，可以创建两个弹性云主机之间的对等连接来并实现互相通信。具体操作如下： 1. 在VPCA和VPCB之间创建一个名为PeeringAB的VPC对等连接，实现子网SubnetB01内的弹性云主机和SubnetA01内的弹性云主机的连通。 2. 在VPCA和VPCC之间创建一个名为PeeringAC的VPC对等连接,实现子网SubnetC01内的弹性云主机和SubnetA01内的弹性云主机的连通。 3. 在VPCA的路由表中添加一条路由规则，将指向弹性云主机B01所在子网私有IP地址范围的流量下一跳设置为PeeringAB。 4. 在VPCA的路由表中添加一条路由规则，将指向弹性云主机C01所在子网私有IP地址范围的流量下一跳设置为PeeringAC。 5. 在VPCB的路由表中添加一条路由规则，将指向弹性云主机A011所在子网私有IP地址范围的流量下一跳设置为PeeringAB。 6. 在VPCC的路由表中添加一条路由规则，将指向弹性云主机A012所在子网私有IP地址范围的流量下一跳设置为PeeringAC。 通过上述配置，VPCA中的弹性云主机与VPCB和VPCC中的弹性云主机可以通过对等连接进行互相通信。

本章节介绍网关基本信息和网关入口 您可以在网关详情页查看网关基本信息和网关入口。 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 在云原生网关详情页您可以查看当前网关实例的基本信息和网关入口信息； 基本信息 网关入口 查看已绑定的ELB列表，您可以进行 绑定ELB 、解绑ELB操作。操作说明请参照管理网关入口ELB。

本节介绍了搜索云主机的操作场景、搜索语法、操作步骤。 操作场景 购买弹性云主机后，可以通过管理控制台提供的搜索功能快速检索当前区域的云主机资源。本节操作介绍搜索云主机的操作步骤。当前支持使用名称、云主机ID、状态、私有IP地址、企业项目、标签以上属性进行搜索。 搜索语法 弹性云主机支持多种类型的搜索，详细的说明和示例请参考下表。 说明： 部分属性支持系统自动匹配属性搜索，但必须输入完整的属性值。 选择属性搜索时，以下属性仅支持精确搜索，需输入完整的属性值：云主机ID。 私有IP地址的网段需在以下范围内：10.0.0.0/824 ，172.16.0.0/1224，192.168.0.0/1624 。 按标签过滤时可选择键或键值对搜索。支持设置多个标签，如果键不同，则标签按“与”的关系搜索。如果键相同，值不同，则标签按“与”的关系搜索。 表 搜索语法 搜索类型 支持的属性 输入格式 示例 说明 属性值自动匹配属性 云主机ID、私有IP地址、标签（标签不支持输入多值。） 完整的属性值 云主机ID：4a79dfecf0d841819bef495b8b7220e1,私有IP地址：192.168.99.231标签：ab 使用关键字搜索时，不需要选择属性，仅输入完整的属性值，系统自动匹配属性类型进行搜索。 单属性 控制台支持的所有属性 属性：属性值 状态：运行中 选择属性后，输入/选择对应的属性信息。以下属性仅支持精确搜索，需输入完整的属性值：云主机ID。 多属性 控制台支持的所有属性 属性：取值&属性：取值 状态：运行中 名称：ecsc 支持选择多个不同的属性，搜索时多个属性为“与”的关系。以下属性仅支持精确搜索，需输入完整的属性值：云主机ID。

本文向您介绍如何使用大模型学习机的文本生成模型微调。 说明 模型训练涉及到较多的专业知识, 这里以Llama 2的LoRA微调为例给出一版示例。 1. 模型微调简介 由于基础大模型参数量极多, 训练需要的资源量极大, 因此基于基础大模型进行微调的小模型应运而生。 LoRA技术便是其中最主流的一种。 LoRA小模型无法独立使用, 需要在加载完基础大模型后再进行加载, 对基础大模型的能力进行扩展。 已有LoRA模型如何加载可参考文本生成模型使用最佳实践。 (1) 准备训练数据 支持多种格式, 主要分为格式化数据与原始文本数据。 格式化数据以alpacachatformat为例, 数据以json方式进行组织, 每条数据分为instruction,input, output三个部分。 原始文本数据直接将文章或对话的原文作为输入, 框架自动进行切分和训练。 下面以普通txt文本文件为例, 介绍后续训练过程。 (2) 上传数据到云主机 windows系统使用命令提示符, macos/linux系统使用终端, 执行scp命令将数据文件上传到云主机的/root/textgenerationwebui/training/datasets目录下。 scp [本机文件路径] root@[ip]:/root/textgenerationwebui/training/datasets

本章介绍添加登录白名单后,为什么还有异地登录告警的原因。 HSS提供的“SSH登录IP白名单”、“登录白名单”和“异地登录”功能，功能差异如下表所示。 功能名称 实现机制 屏蔽告警 SSH登录IP白名单 将IP加入SSH登录IP白名单，只允许白名单内的IP通过SSH登录指定服务器。 须知 启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中。 登录白名单 将IP加入登录白名单，用于忽略由该IP登录指定主机发生的帐户暴力破解告警事件。 在“入侵检测>白名单管理>登录白名单”将IP加入登录白名单，HSS将不会对该IP的“帐户暴力破解”登录事件进行告警。 异地登录 当不是来自“常用登录地”或者“常用登录IP”的登录行为时，将会进行异地登录告警。 提醒您有新的IP登录您的主机。 在“安装与配置>安全配置”中，将登录地与登录IP添加到“常用登录地”与“常用登录IP”，HSS将不会对来自“常用登录地”和“常用登录IP”的登录行为进行异地告警。

四、工作流集成 云工作流实现了天翼云在OpenAPI门户的几乎所有产品的API集成。在云工作流中编排使用天翼云产品OpenAPI主要有两种集成方式：普通集成和优化集成。 普通集成 普通集成是指允许云工作流直接调用云产品的OpenAPI服务接口，不对这些服务接口做任何包装处理和实现优化，共计可使用多达上万条API服务接口。更多信息，请参见普通集成。 优化集成 优化集成是指对部分高频使用的云产品服务接口进行包装和优化处理，简化接口使用难度，方便用户在云工作流中编排使用。更多信息，请参见集成简介。 在云工作流下可以按照三种集成模式去进行调用集成其他云服务，只有在标准工作流下可以选择不同的集成模式去调用云服务， 快速工作流只能是请求响应模式去调用其他云服务： 请求响应模式（RequestComplete） 调用其他云服务后， 同步等待响应返回后方可进行下一个执行状态。 等待系统回调（WaitForSystemCallback） 指定等待系统回调后， 工作流会进入到TaskSubmitted状态， 工作流系统自身会查询到目标调用集成服务的执行状态（成功或者失败）从而将工作流从TaskSubmitted等待状态转换为TaskSuccess状态或者TaskFailed状态， 继续工作流执行执行下一个状态。 等待任务令牌（WaitForTaskToken） 指定等待任务令牌后， 工作流会进入到TaskSubmitted状态。用户可通过OpenAPI在用户自定义的业务逻辑中回调通知工作流当前任务的执行结果（成功或者失败）从而工作流从TaskSubmitted等待状态转换为TaskSuccess状态或者TaskFailed状态， 继续工作流执行下一个状态。可以理解的一个场景是业务审批场景， 在业务审批节点通过或者拒绝后， 审批流程继续执行或者终止执行。

操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 云等保专区仅资源控制台的相关操作对接云审计服务。 关键操作列表 服务名称 事件动作 云等保专区 获取原子能力列表 云等保专区 概览页 云等保专区 根据资源id更新资源名称 云等保专区 获取可分配eip列表 云等保专区 绑定eip 云等保专区 解绑eip 云等保专区 查询可关联子网 云等保专区 关联绑定子网 云等保专区 解绑子网 云等保专区 绑定havip 云等保专区 解绑havip 云等保专区 绑定网卡 云等保专区 解绑网卡 云等保专区 查询可绑定havip 云等保专区 查询可绑定网卡 云等保专区 查询当前实例已绑定网卡 云等保专区 获取子网路由规则列表 云等保专区 创建子网路由规则 云等保专区 创建安全路由规则 云等保专区 删除入向安全路由规则 云等保专区 获取安全组列表 云等保专区 删除子网路由规则 云等保专区 重启服务 云等保专区 切换子网 云等保专区 产品是否已购买 云等保专区 原子能力免登录URL接口 云等保专区 获取安全能力权限列表 云等保专区 批量订购、续订、升级、退订 云等保专区 过期时间更新

本节主要介绍自定义策略。 如果系统预置的云数据库GeminiDB权限，不满足您的授权要求，可以创建自定义策略。 目前天翼云支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 本章为您介绍常用的云数据库GeminiDB自定义策略样例。 自定义策略样例 示例1：授权用户创建云数据库 GeminiDB实例 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "nosql:instance:create" ] } ] } 示例2：拒绝用户删除云数据库 GeminiDB数据库实例 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循 Deny优先原则 。 如果您给用户授予GaussDB NoSQLFullAccess的系统策略，但不希望用户拥有GaussDB NoSQLFullAccess中定义的删除云数据库 GeminiDB实例权限，您可以创建一条拒绝删除云数据库 GeminiDB实例的自定义策略，然后同时将GaussDB NoSQLFullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对云数据库 GeminiDB执行除了删除云数据库 GeminiDB实例外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny" "Action": [ "nosql:instance:delete" ], } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Action": [ "nosql:instance:create", "nosql:instance:rename", "nosql:instance:delete", "vpc:publicIps:list", "vpc:publicIps:update" ], "Effect": "Allow" } ] }

针对ingressgateway网关，对访问路径/ratelimit限制每秒最多10次，其他路径限制每秒100次 rateLimitConfigs: limit: requestsperunit: 100 unit: second limit: requestsperunit: 10 unit: second match: name: :path exactmatch: /ratelimit matchsource: HEADER GlobalRateLimiter配置说明如下： 字段 类型 必选 说明 workloadSelector WorkloadSelector no 一组标签keyvalue对，用于选中需要执行限流的数据面 context PatchContext no 数据面生效的场景，支持四种类型： SIDECARINBOUND：sidecar入流量方向生效 SIDECAROUTBOUND：sidecar出流量方向生效 GATEWAY：网关处生效 ANY：匹配所有 默认为ANY RateLimitService RateLimitService no 全局限流服务定义，默认为ratelimit.default.svc.cluster.local服务，8081端口，超时时间为10秒 Configs []GlobalConfig no 限流配置 RateLimitService定义： 字段 类型 必选 说明 ClusterName string no istio中的全局限流服务名称，如outbound8081ratelimit.default.svc.cluster.local FailureModeDeny bool no 调用全局限流服务失败时的行为控制，设置为true时如果调用全局限流服务失败，则请求会被拦截；默认为false Timeout string no 调用全局限流服务的超时时间，默认为10s GlobalConfig定义： 字段 类型 必选 说明 RouteConfig RouteConfigurationMatch no 对应EnvoyFilter中的configPatches.match.routeConfiguration，用于实现virtual host和route匹配 RateLimitConfigs []GlobalRateLimit no 匹配到虚拟主机和路由后执行的限流策略 RouteConfigurationMatch定义： 字段 类型 必选 说明 Vhost RouteConfigurationMatchVirtualHostMatch no istio中的全局限流服务名称，如outbound8081ratelimit.default.svc.cluster.local RouteConfigurationMatchVirtualHostMatch定义： 字段 类型 必选 说明 Name string no 匹配的虚拟主机名称 Route RouteConfigurationMatchRouteMatch no 路由匹配条件 RouteConfigurationMatchRouteMatch定义： 字段 类型 必选 说明 Name string no 匹配的路由名称 GlobalRateLimit定义： 字段 类型 必选 说明 Limit GlobalRateLimitConfig no 限流值配置 Match []GlobalRateLimitMatcher no 限流匹配条件配置，多个条件之间是AND关系 GlobalRateLimitConfig定义： 字段 类型 必选 说明 RequestsPerUnit uint32 no 限流值 Unit string no 限流时间单位，用于定义限流统计时间窗口，如second，minute GlobalRateLimitMatcher定义： 字段 类型 必选 说明 Name string no 匹配字段名称 RegexMatch string no 正则匹配，对头部和query匹配生效 ContainsMatch string no 包含匹配，对头部和query匹配生效 ExactMatch string no 精确匹配，对头部、query和IP匹配生效 PrefixMatch string no 前缀匹配，对头部和query匹配生效 SuffixMatch string no 后缀匹配，对头部和query匹配生效 PresentMatch bool no 存在匹配，仅对头部匹配生效，如果为true，目标头部存在则匹配 InvertMatch bool no 反向匹配，基于前面的匹配结果取反作为最终匹配的结果 MatchSource string no 匹配数据源，支持HEADER，QUERY、IP 注意 任何一个匹配规则只能选择一种匹配策略。

查看连接信息 单击连接信息页签，可以获取公网以及内网环境下的KubeConfig文件的配置内容，用于配置Kubectl客户端对集群的访问。 查看集群资源 单击集群资源页签，可以查看集群的虚拟专有网络VPC以及安全等信息。

此小节介绍云堡垒机功能特性。 云堡垒机不仅拥有传统4A安全管控的基本功能特性，包括身份认证、账户管理、权限控制、操作审计四大功能。还拥有高效运维、工单申请等特色功能。 身份认证 采用多因子认证和远程认证技术，加强用户身份认证管理。 引用多因子认证技术，包括手机短信、手机令牌、USBKey、动态令牌等方式，安全认证登录用户身份，降低用户帐号密码风险。 对接第三方认证服务或平台，包括AD域、RADIUS、LDAP、Azure AD远程认证，支持远程认证用户身份，防止身份泄露。并支持一键同步AD域服务器用户，复用原有用户部署结构。 账户管理 集中管理系统用户和资源帐号信息，对帐号全生命周期建立可视、可控、可管运维体系。 用户帐号管理 系统用户帐号全生命周期管理，用户使用唯一帐号登录系统，解决共享帐号、临时帐号、滥用权限等问题。 批量导入 通过同步第三方服务器用户，以及批量导入用户，支持一键同步并导入已有用户信息，无需重复创建用户。 用户组 用户帐号按属性分组管理，可实现对同类型用户按用户组赋予权限。 批量管理 支持批量管理用户帐号，包括删除、启用、禁用、重置密码、修改用户基本配置等。 权限控制 集中管控用户访问系统和资源的权限，对系统和资源的访问权限进行细粒度设置，保障了系统管理安全和资源运维安全。 系统访问权限 从单个用户帐号属性出发，控制用户登录和访问系统权限。 用户角色 通过为每个用户帐号分配不同的角色，赋予用户访问系统不同模块的权限，对系统用户身份进行分权。系统支持自定义角色，自定义角色中可以自选添加系统模块，实现角色多样化模式。 组织部门 通过为每个用户划分部门，采用部门组织树形结构，不限制部门层级，可将用户按部门分层级管理。 登录限制 通过设置用户登录配置，从登录有效期、登录时间、多因子认证、登录IP限制、登录MAC限制等维度，赋予用户登录系统的权限。 资源访问权限 按照用户、用户组与资源账户、账户组之间的关联关系，建立用户对资源的控制权限。 访问控制 通过设置访问控制权限，从访问有效期、登录时间、IP限制、上传/下载、文件传输、剪切板、显示水印等维度，赋予用户访问资源的权限。通过设置双人或多人授权审核，需要授权人实时授权才能访问资源，保障敏感核心资源绝对安全。 命令拦截 通过设置命令控制策略或数据库控制策略，对服务器或数据库中敏感、高危操作，强制阻断、告警及二次复核，加强对关键操作的管控。

本实践介绍了跨可用区使用云主机备份的操作步骤,您可按照需要跨可用区迁移主机备份数据。 场景描述 用户可通过云主机备份服务实现整机数据备份与恢复，支持通过主机备份申请新的云主机，快速创建具有同样数据的云主机，可在申请新主机时选择不同可用区，按需进行主机配置，实现主机数据的跨可用区迁移。 当前仅具备多个可用区的地域，例如华东一，支持跨可用区创建新云主机。 方案优势 整机备份可以提供全面的数据备份，快速帮助您搭建相同规格的云主机。 方便用户实现主机数据迁移，完成业务切换，为用户节省了时间和精力，提高操作的简便性和效率。 前提条件 已购买备份存储库，存储库为“可用”状态。 已存在一个备份，并且备份的备份状态为“可用”。 操作步骤 步骤一：创建云主机备份 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 在“云主机备份”页签，选择相应的存储库，点击操作列下的“创建备份”。 5. 在弹出的“创建云主机备份”页面，选择需要备份的主机至右侧“已选云主机”列表。 6. 选择“立即备份”，即时完成目标主机备份的创建，点击“下一步”。 7. 跳转至云主机备份资源详情页面，确认资源配置，勾选我已阅读并同意相关协议“《天翼云云主机备份服务协议》”，点击“确认下单”。 8. 查看“备份副本”列表，等待创建的备份副本的状态变为“可用”，即完成备份的创建。

本文介绍仪表盘的导出与导入功能。通过该功能，您可以将其他天翼云账号的仪表盘导入至当前账号中。 前提条件 已创建好目标仪表盘。 操作步骤 1. 使用目标仪表盘所在的账号，登录云日志服务控制台。 2. 进入目标仪表盘页面，点击右上角导出按钮。系统将自动以JSON文件格式导出当前仪表盘至本地。 3. 使用待导入仪表盘所在的账号，登录云日志服务控制台。 4. 在仪表盘菜单中，点击【创建仪表盘】。 5. 填写仪表盘名称，并选择“从文件导入”方式。 6. 根据界面引导，选择日志项目与日志单元，用于替换源仪表盘中的日志项目与日志单元。 7. 在选择文件中，从本地选择步骤2中生成的JSON文件。 8. 完成配置后，点击【开始导入】，即可完成仪表盘导入。

本文将介绍天翼云弹性伸缩的主要应用场景。 弹性伸缩服务有广泛的业务场景，本文主要介绍三种典型的应用场景。 场景一：非周期波动场景 场景说明 社交平台、新闻网站会因为某个突发热点事件，访问量激增，在激增过后，访问量又下降回归正常数值，此类波动通常无法提前预测，且业务访问量变化无规律可循，无法设置定时或周期策略，用户可通过以下两种方式应对此类场景： 当业务访问量突增或突减时，手动对云主机实现增减。但此方法很难做到及时且完善的增减，不推荐。 设置告警策略，通过观测云主机的性能指标数据（CPU和内存的使用率等）动态变化，来确认是否增减云主机。推荐此方法。 场景示例 以下是为此场景设置告警策略的示例： 示例：可以设置2个告警策略，一个告警策略设置为伸缩组内实例的CPU使用率平均值超过70%时，自动增加n台实例；另一个告警策略设置为伸缩组内实例的CPU使用率平均值低于30%时，自动减少n台实例。 产品优势 使用弹性伸缩设置告警策略，可以自动调整云主机实例资源，精准扩缩容，避免资源的浪费与冗余。 可在确保计算能力满足需求的前提下最大程度的节省资源与人力成本。 场景二：周期波动场景

仅允许特定IP地址远程连接弹性云主机 场景举例： 为了防止弹性云主机被网络攻击，用户可以修改远程登录端口号，并设置安全组规则只允许特定的IP地址远程登录到弹性云主机。 安全组配置方法： 以仅允许特定IP地址（例如，192.168.20.2）通过SSH协议访问Linux操作系统的弹性云主机的22端口为例，安全组规则如下所示。 方向 协议/应用 端口 源地址 :::: 入方向 SSH（22） 22 IPv4 CIDR或者另一个安全组的ID。 例如：192.168.20.2/32 SSH远程连接Linux弹性云主机 场景举例： 创建Linux弹性云主机后，为了通过SSH远程连接到弹性云主机，您可以添加安全组规则。 说明 默认安全组中已经配置了该条规则，如您使用默认安全组，无需重复配置。 安全组配置方法： 方向 协议/应用 端口 源地址 入方向 SSH（22） 22 0.0.0.0/0 RDP远程连接Windows弹性云主机 场景举例： 创建Windows弹性云主机后，为了通过RDP远程连接弹性云主机，您可以添加安全组规则。 说明 默认安全组中已经配置了该条规则，如您使用默认安全组，无需重复配置。 安全组配置方法： 方向 协议/应用 端口 源地址 入方向 RDP（3389） 3389 0.0.0.0/0

本节介绍如何退订云安全中心。 云安全中心支持退订，可通过云安全中心控制台界面、天翼云管理中心发起并完成退订操作。 退订说明 云安全中心退订后，主资源及扩展资源将一同退订；扩展资源不支持单独退订。 成功发起退订后，实例资源将转入冻结状态，冻结期15天。冻结期间，用户配置数据会保留15天， 用户配置的各类数据会继续生效，但用户无法访问云安全中心，15天后资源被释放，释放后无法恢复。 操作步骤 1. 进入天翼云“费用中心 > 订单管理 > 退订管理”页面，找到相应订单，点击“退订”。 2. 进入退订申请页面，确认退订信息，选择退订原因，信息确认无误后勾选“我已确认本次退订金额和相关费用”，点击“退订。 3. 系统提示退订申请提交成功，可前往“订单管理 > 我的订单”，在订单详情页面查看退订进度。 4. 当状态变为退订完成时，订单完成退订。

步骤 说明 创建网格实例 使用应用服务网格CSM的服务治理能力之前首先要创建一个网关实例。 部署应用 部署测试应用到网格实例中。 配置网关访问 通过云原生网关实现外部访问网格内的服务。 体验流量治理能力 使用istio资源体验服务网格的流量治理能力。

本章节向您介绍安全组的使用限制。 为了确保良好的网络性能体验，建议一个实例最多关联5个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 默认情况下，一个云服务器或扩展网卡最多只能被添加到5个安全组中，安全组规则取并集生效。 建议一个安全组关联的实例数量不应超过6000个，否则有可能引起安全组性能下降，甚至造成安全组策略失效。 在一个安全组中，对于入方向规则来说，源地址是安全组的规则数量+源地址是IP地址组的规则数量+端口是不连续端口号的规则数量≤120条，否则超过数量的安全组规则将不生效。当同时存在IPv4和IPv6类型的安全组规则时，两种类型的安全组规则单独计算，即IPv4规则和IPv6规则可以各有120条。对于安全组出方向规则来说，目的地址和端口存在一样的限制。以安全组SgA的入方向IPv4规则为例，下表中提供了部分符合限制条件的规则供您参考。其中，当一条安全组规则同时符合多个限制时，比如规则A02既使用了不连续端口，又使用了安全组作为源地址，此时只占用一条配额。 规则编号 策略 类型 协议端口 源地址 规则A01 允许 IPv4 全部 当前安全组：SgA 规则A02 允许 IPv4 TCP: 22,25,27 其他安全组：SgB 规则A03 允许 IPv4 TCP: 8082 IP地址组：ipGroupA 规则A04 允许 IPv4 TCP: 2224,25 IP地址: 192.168.0.0/16 当您的组网中，ELB实例的监听器开启“获取客户端IP”功能时，来自ELB的流量将不受网络ACL和安全组规则的限制。比如规则已明确拒绝来自ELB实例的流量进入后端云主机，此时该规则无法拦截来自ELB的流量，流量依然会抵达后端云主机。

天翼云云防火墙（原生版）服务等级协议