本小节介绍云解析添加MX记录操作方法。 使用场景 邮件交换记录，用来指定由哪台邮件服务器负责接收给定域名网站的邮件，如果需要设置邮箱，让邮箱能收到邮件，就需要添加MX记录。 操作方法 1. 登录控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 2. 在域名维护页面，点击要修改的域名进入记录管理页。 3. 单击页面上方的“添加记录”按钮，系统将自动生成一条空白记录。 4. 填写以下信息。 主机记录：一般是指子域名的前缀。 邮箱配置通常会使用“mail”、“@”作为主机记录。 如需实现邮箱地址是ID加上@ctyun.cn，主机记录填写@。 如需实现邮箱地址是ID加上@mail.ctyun.cn，主机记录填写mail。 记录类型：选MX记录。 线路类型：通常选择默认（默认为必填项，否则会导致部分用户无法解析）。 记录值：可以是域名也可以是IP地址，通常由邮箱注册商提供。 MX优先级：数值越低优先级越高，通常由邮箱注册商提供。 TTL：缓存时间，默认为3600秒。 5. 单击“√”完成记录添加。

启动后处理 步骤 1 登录CCE控制台，在创建工作负载时，配置容器信息，选择“生命周期”。 步骤 2 在“启动后处理”页签，设置启动后处理的参数。 表 启动后处理参数说明 参数 说明 命令行方式 在容器中执行指定的命令，配置为需要执行的命令。 命令的格式为Command Args[1] Args[2]…（Command为系统命令或者用户自定义可执行程序，如果未指定路径则在默认路径下寻找可执行程序），如果需要执行多条命令，建议采用将命令写入脚本执行的方式。 不支持后台执行和异步执行的命令。如需要执行的命令如下： exec: command: /install.sh installagent 请在执行脚本中填写: /install installagent。这条命令表示容器创建成功后将执行install.sh。 HTTP请求方式 发起一个HTTP调用请求。 配置参数如下： 路径：请求的URL路径，可选项。 端口：请求的端口，必选项。 主机地址：请求的IP地址，可选项，默认是容器所在的节点IP。 停止前处理 步骤 1 登录CCE控制台，在创建工作负载时，配置容器信息，选择“生命周期”。 步骤 2 在“停止前处理”页签，设置停止前处理的命令。 表 停止前处理 参数 说明 命令行方式 在容器中执行指定的命令，配置为需要执行的命令。 命令的格式为Command Args[1] Args[2]…（Command为系统命令或者用户自定义可执行程序，如果未指定路径则在默认路径下寻找可执行程序），如果需要执行多条命令，建议采用将命令写入脚本执行的方式。 如需要执行的命令如下： exec: command: /uninstall.sh uninstallagent请在执行脚本中填写: /uninstall uninstallagent。这条命令表示容器结束前将执行uninstall.sh。 HTTP请求方式 发起一个HTTP调用请求。配置参数如下： 路径：请求的URL路径，可选项。 端口：请求的端口，必选项。 主机地址：请求的IP地址，可选项，默认是容器所在的节点IP。

此小节介绍天翼云数据库审计服务协议。 天翼云数据库审计服务协议

本节主要介绍如何在智能视图服务控制台管理向上级联的资源。 创建好上级平台后，可以开始添加视频资源，点击【管理资源】按钮。 在管理资源页面，左侧是下级平台向上级联的备选视频资源，中间列表是向上级联的视频资源，用户按需将左侧的视频资源添加到中间列表中。 点击右侧的【新建组/虚拟组织】即可新建目录，支持创建多级目录。 构建好向上级联的目录树后，在左侧列表中选择视频资源，支持批量选择。将左侧被选择的视频资源拖拽至目录树完成添加。 添加成功后，点击【下一步】按钮即可进入国标ID配置界面。一般场景中，向上级联的国标ID和平台设备自身的国标ID保持一致即可，但是特殊业务场景中，向上级联的国标ID与视频资源在本身平台的国标ID不一致，用户可以在该页面进行修改。 配置完成后可在国标级联页面查看向上级联的设备列表。

参数 参数类型 说明 示例 下级对象 sessionStictyMode String 会话保持模式 cookieExpire String cookie过期时间 rewriteCookieName String cookie重写名称 sourceIpTimeout String 源IP会话保持超时时间

本章节通过简单的命名空间授权方法，将CCE服务的用户和用户组授予操作不同命名空间资源的权限，从而使用户和用户组在拥有对应的CCE集群标准权限的同时，又可以拥有对集群中命名空间的操作权限。设置流程如示例流程所示。 配置说明 您需要拥有一个帐号，有一个或若干个用户组和IAM用户。 本例将对用户和用户组授予操作不同命名空间资源的权限，在您的实际业务中，您可根据业务需求仅对用户或用户组授予不同的权限。 本例仅用于给用户或用户组在未授权过的命名空间下新增权限，已授权的用户或用户组的权限可以在“权限管理 > 命名空间权限”的列表“操作”栏中单击“编辑权限”进行修改。 当给用户或用户组添加多个权限时，多个权限会同时生效（取并集）；为用户组设置的权限将作用于用户组下的全部用户。 约束与限制 kubernetes RBAC的授权能力支持1.13及以上版本集群。 在v1.11.7r2版本的集群中默认开启RBAC功能，若需使用RBAC功能请将集群升级至v1.11.7r2或以上版本。升级方法请参见升级集群。 示例流程 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离，使得它们既可以共享同一个集群的服务，也能够互不干扰。命名空间的一个重要的作用是充当一个虚拟的集群，用于多种工作用途，满足多用户的使用需求。 本章节将沿用创建用户并授权使用CCE中创建的IAM用户“James”和用户组“开发人员组”进行示例，为IAM用户“James”和用户组“开发人员组”添加命名空间权限，可以参考如下操作： 步骤一：为IAM用户/用户组添加命名空间权限 本步骤将在CCE控制台中为IAM用户“James”以及用户组“开发人员组”授予某个集群命名空间下资源的操作权限，设置如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“权限管理”，进入权限管理页面。 步骤 2 单击“命名空间权限”页签，在命名空间权限列表右上方选择要添加授权的集群，单击“添加授权”按钮，进入添加授权页面。 步骤 3 在添加授权页面，确认集群名称，选择该集群下要授权使用的命名空间，此处选择“default”。 步骤 4 单击“添加用户权限”，为“开发人员组”增加“admin”权限，在展开的选项中进行如下配置： 用户/用户组：选择“用户组”，并在二级选项中选择“开发人员组”。 权限：选择“admin”。 单击“添加用户权限”可继续增加其他用户或用户组，并赋予相应的权限。 步骤 5 单击下方的“添加命名空间权限”，为用户“James”增加在另一个命名空间“monitoring”的权限，在展开的选项中进行如下配置： 命名空间：选择“monitoring”。 用户/用户组：选择“用户”，并在二级选项中选择“James”增加。 权限：选择“view”。 步骤 6 单击“创建”，完成以上用户和用户组在命名空间中的相应权限设置。 说明： 经过以上操作，授权结果如下： 由于“开发人员组”包含IAM用户“James”，因此IAM用户“James”也同时获得了在命名空间“default”的“admin”权限。 为IAM用户“James”增加了在命名空间“monitoring”的“view”权限。 步骤二：用户登录并验证权限 使用IAM用户“James”登录云容器引擎控制台，验证授予的命名空间权限，验证步骤如下： 步骤 1 在登录页面，单击右下角的“IAM用户登录”。 步骤 2 在“IAM用户登录”页面，输入帐号名、用户名及用户密码，使用新创建的IAM用户登录。 帐号名为该IAM用户所属帐号的名称。 用户名和密码为创建IAM用户James时输入的用户名和密码，首次登录时需要重置密码。 如果登录失败，您可以联系您的帐号主体，确认用户名及密码是否正确，或是重置用户名及密码。 步骤 3 登录成功后，进入控制台，请先切换至授权区域。 步骤 4 在“服务列表”中选择“云容器引擎 CCE”，进入CCE控制台，对IAM用户James的命名空间权限进行验证。

介绍登录媒体存储用户控制台步骤。 功能说明 媒体存储提供简单易用的Web控制台页面，用户可通过天翼云官网进入产品控制台，或直接通过控制台链接直接进入控制台。 方式一 1. 在天翼云官网，用天翼云账号登录后，在头部导航栏选择【产品视频视频服务媒体存储】。 2. 进入媒体存储产品详情页，点击【管理控制台】。 方式二 可通过媒体存储控制台链接直接进入，点击 控制台链接 进入。

DCS自定义策略 如果系统预置的DCS权限，不满足您的授权要求，可以创建自定义策略。 DCS的支持自定义策略授权项如下表所示。 DCS授权项明细 权限 授权项 IAM项目(Project) 企业项目(Enterprise Project) 创建缓存实例 dcs:instance:create √ √ 查询指定实例 dcs:instance:get √ √ 修改实例信息 dcs:instance:modify √ √ 删除实例 dcs:instance:delete √ √ 缓存实例扩容 dcs:instance:scale √ √ 查询实例列表 dcs:instance:list √ √ 查询实例配置信息 dcs:instance:getConfiguration √ √ 修改实例配置信息 dcs:instance:modifyConfigureation √ √ 重启实例或清空数据 dcs:instance:modifyStatus √ √ 修改实例密码 dcs:instance:modifyAuthInfo √ √ 备份实例数据 dcs:instance:backupData √ √ 恢复实例数据 dcs:instance:restoreData √ √ 查询备份任务 dcs:instance:getDataBackupLog √ √ 查询恢复任务 dcs:instance:getDataRestoreLog √ √ 删除备份文件 dcs:instance:deleteDataBackupFile √ √ 查询实例后台任务 dcs:instance:getBackgroundTask √ √ 删除后台任务 dcs:instance:deleteBackgroundTask √ √ 重置实例密码 dcs:instance:resetAuthInfo √ √ 下载备份文件 dcs:instance:downloadBackupData √ √ 实例数据迁移 dcs:instance:migrateData √ √ Web CLI dcs:instance:webcli √ √ 创建迁移任务 dcs:migrationTask:create √ X 修改迁移任务配置或停止迁移任务 dcs:migrationTask:modify √ X 删除迁移任务 dcs:migrationTask:delete √ X 查询迁移任务列表 dcs:migrationTask:list √ X 查询迁移任务详情 dcs:migrationTask:get √ X 诊断实例 dcs:instance:diagnosis √ √ 查询参数模板列表 dcs:template:list √ X 创建参数模板 dcs:template:create √ X 实例主备倒换 dcs:instance:swap √ √ 修改实例白名单信息 dcs:whitelist:modify √ √ 获取实例白名单列表 dcs:whitelist:list √ √ 创建实例访问帐号 dcs:aclaccount:create √ √ 删除实例访问帐号 dcs:aclaccount:delete √ √ 修改实例访问帐号信息 dcs:aclaccount:modify √ √ 获取实例访问帐号列表 dcs:aclaccount:list √ √ 查询慢日志列表 dcs:slowlog:list √ √ 查询参数模板 dcs:template:get √ X 查询任务进度 dcs:job:get √ √ 查看实例审计日志 dcs:auditlog:get √ √ 查询实例升级信息 dcs:instance:getUpgradeInfo √ √ 查询实例SSL信息 dcs:ssl:get √ √ 重建域名解析 dcs:domainname:rebuild √ √ 实例间交换IP地址 dcs:migrationTask:exchangeIp √ X 实例交换IP后回滚 dcs:migrationTask:rollbackIp √ X Kill Redis会话 dcs:clients:kill √ √ 修改参数模板 dcs:template:modify √ X 开启或关闭公网域名解析 dcs:publicdomainname:update √ √ 删除参数模板 dcs:template:delete √ X 释放历史域名解析 dcs:histroydomainname:release √ √ 升级实例版本 dcs:instance:upgrade √ √ 分析实例的大key或者热key dcs:instance:analyze √ √ 开启或关闭实例审计日志 dcs:auditlog:modify √ √ 开启或关闭客户端ip透传 dcs:clientiptrans:modify √ √ 修改实例SSL信息 dcs:ssl:modify √ √ 查询Redis会话列表 dcs:clients:list √ √ 目前云服务平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 本章为您介绍常用的DCS自定义策略样例。 说明 由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的细粒度策略后，大概需要等待5分钟细粒度策略才能生效。

本文主要介绍DRDS退订操作。 如果您有退订DRDS产品的需求，可以登录天翼云管理中心或DRDS产品控制台进行退订操作。天翼云目前支持7天无理由全额退订和非七天无理由退订以及其他退订，详细规则请参考退订规则说明 。 通过订单管理退订 1. 登录天翼云官网，进入【费用中心】>【订单管理】>【退订管理】页面。 2. 选择要退订的资源，点击退订，进入退订详情页面。天翼云目前支持单个退订和批量退订。 3. 退订前仔细阅读退订须知，然后确认退订资源信息，包括产品名称、资源ID、规格、时间及可退订金额。 4. 信息确认无误后勾选协议，点击退订并再次确认，确认后即可完成退订。退订后资金退回账户余额。 通过产品控制台退订 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在目标实例的【操作】列，选择【更多】>【退订】。 4. 在退订页面，单击【提交】进行退订操作。

本节介绍云电脑支持对虚拟机创建备份策略，实现定时备份云电脑数据盘、系统盘的数据。 AI云电脑（政企版）支持对虚拟机创建备份策略，实现定时备份AI云电脑数据盘、系统盘的数据。 说明 1、备份策略仅支持资源包创建的桌面，不支持单实例创建的桌面。 2、备份功能按所选系统盘、数据盘容量的50%消耗存储包。 新建备份策略 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“策略管理”，点击“备份策略管理”，进入“备份策略管理”页面； 3.填写策略名称； 4.根据备份需求备份内容“系统盘“、”数据盘”； 5.根据需求选择执行周期、备份时间、保留规则等配置。 6.点击“提交”，即完成备份策略的创建。 分配备份策略 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“策略管理”，点击“备份策略管理”，进入“备份策略管理”页面； 3.选择需分配的备份策略所在行，点击“分配” 4.在“分配备份策略”窗口，选择需要执行备份策略的AI云电脑； 5.根据备份需求备份内容“系统盘“、”数据盘”； 6.根据需求选择执行周期、备份时间、保留规则等配置。 7.点击“确定”，即可以把备份策略分配到对应的AI云电脑。

本节介绍 Web应用防火墙（独享版） CC攻击防护规则类问题。 如何配置CC防护规则？ 当业务接口被HTTP Flood攻击时，可以通过Web应用防火墙Console界面设置CC防护规则，从而缓解业务压力。用户可根据业务类型，配置CC防护规则，可配置以下内容： 每个Web访问者在规定时间内允许访问的次数。 根据IP、Cookie或者Referer字段区分Web访问者。 当访问超过限制时，对其访问进行阻断或者发送验证码验证。 具体的配置规则请参见配置CC攻击防护规则章节。 在什么情况下使用Cookie区分用户？ 在配置CC防护规则时，当IP无法精确区分用户，例如多个用户共享一个出口IP时，用户可以使用Cookie区分用户。 用户使用Cookie区分用户时，如果Cookie中带有用户相关的“session”等“key”值，直接设置该“key”值作为区分用户的依据。 CC规则里“限速频率”和“放行频率”的区别？ “限速频率”是单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，WAF将根据配置的CC攻击防护规则“防护动作”来处理。例如，“限速频率”设置为“10次/60秒”，“防护动作”设置为“阻断”，则表示60秒只能有10次访问请求，一旦在60秒内访问请求超过10次，WAF就直接阻断该Web访问者访问目标URL。 配置CC防护规则时，如果选择了“高级”工作模式，且“防护动作”配置为“动态阻断”，则除了需要配置“限速频率”外，还需要配置“放行频率”。 如果在一个限速周期内，访问的请求频率超过“限速频率”触发了拦截，那么，在下一个限速周期内，拦截阈值将动态调整为“放行频率”。且“放行频率”为0时，表示上个周期发生拦截后，下一个周期所有满足规则条件的请求都会被拦截。 区别： “放行频率”和“限速频率”的限速周期一致。 “放行频率”小于等于“限速频率”，且“放行频率”可为0。

操作场景 若需要对集群中的资源进行权限控制，（例如A用户只能对某个命名空间下的应用有读写权限，B用户只能对集群下的资源有读权限等），请参照本章节操作。 操作步骤 步骤 1 若需要对集群进行权限控制，请在创建集群时的“认证方式”参数后勾选“认证能力增强”，选择“认证代理”。单击“CA根证书”后的“上传文件”，上传符合规范且合法的证书。 步骤 2 通过kubectl创建角色。 下面的例子展示了如何创建一个角色，并允许该角色读取default空间下的所有Pod。参数详细解释请参见Kubernetes官方文档。 kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: default name: podreader rules: apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] 步骤 3 通过kubectl创建角色绑定。 下面的例子给出RoleBindings赋予default命名空间下的podreader的角色给用户jane。该策略允许用户jane可以读取default命名空间下的所有pods。参数详细解释请参见Kubernetes官方文档。 kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: readpods namespace: default subjects: kind: User name: jane 的用户名 apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: podreader 创建的角色名 apiGroup: rbac.authorization.k8s.io 步骤 4 创建角色并与用户绑定成功后，请在接口请求的headers中携带用户信息以及集群创建时上传的证书访问kubernetes接口。例如调取查询pod的接口时，执行命令如下： curl k H "XRemoteUser: jane" cacert /root/tlsca.crt key /root/tls.key cert /root/tls.crt 返回200表示访问成功，返回403表示没有权限访问。 说明：为避免命令执行失败，请提前把证书上传到/root目录下。 参数解释如下： XRemoteUser: jane：请求头固定为XRemoteUser，jane为用户名。 tlsca.crt ：创建集群时上传的CA根证书。 tls.crt：与集群创建时所上传的CA根证书配套的客户端证书。 tls.key：与集群创建时所上传的CA根证书配套的客户端秘钥。 192.168.23.5:5443：为连接集群的地址，获取方式如下： 登录CCE控制台，在左侧导航栏中选择“资源管理 > 集群管理”，单击待连接集群的名称，在集群基本信息中获取“内网apiserver地址”后的IP地址和端口号。 说明 CCE支持天翼云帐号和IAM用户分别下载config文件（kubeconfig.json），IAM用户下载的config文件只有30天的有效期，而天翼云帐号下载的config文件会长期有效。该文件用户对接认证用户集群，请用户妥善保存该认证凭据，防止文件泄露后，集群有被攻击的风险。如果不幸泄露，可以通过证书更新的方式，替换认证凭据。 IAM用户下载的config文件所拥有的Kubernetes权限与CCE控制台上IAM用户所拥有的权限一致。 另外，还支持XRemoteGroup的头域：用户组名，在做RoleBinding时，可以将Role与Group进行绑定，并在访问集群时携带用户组信息。

云应用引擎 CAE（Cloud App Engine）具有广泛的应用场景，帮助您的企业极速上云、从容应对突发性流量洪流和灵活启停应用环境，降低资源成本。 应用托管 在企业生产环境中，通过合理拆分微服务，将每个微服务应用压缩为 ZIP 包、Docker 镜像存储在天翼云镜像仓库。您只需基于 Spring Cloud 或 Dubbo 等框架开发规范迭代每个微服务应用，由 CAE 提供底层资源调度、部署、灰度发布、微服务治理和监控诊断等能力。同时提供丰富的高级应用配置项，实现业务快速迁移上云。 零改造：CAE 能够平滑迁移应用，零改造地完成 Spring Cloud 或 Dubbo 应用快速上云。 免运维：CAE 能够免运维底层基础设施，例如 IaaS、K8s、微服务组件和 APM 组件等，无需自建注册中心，极大降低开发运维成本。 低门槛：CAE 能够一站式开箱使用全套微服务能力，提供自动构建镜像、灰度发布、流量控制、环境隔离、应用监控等企业级高级特性。 任务托管 聚焦于泛互联网、新零售、电商、文化传媒、制造、 IoT、物流、金融证券、医疗卫健和保险等行业。主要场景如下： 定时任务：定时拉取数据、爬虫。 批处理数据：数据清洗、转换、分析，对实时性要求低。 异步执行解耦：异步状态刷新以及离线查询。 微服务架构：与原有的微服务架构进行调用通信、流程解耦。 相比开源的分布式框架，其优点在于全托管免运维的用户体验，开箱即用的完备功能以及白屏化管控，任务运行完立即释放资源，不会浪费闲置资源成本。

如果您在部署应用时需要区分开发环境、测试环境和生产环境，您可以为每套环境创建一个命名空间。同一命名空间的应用之间可以通过内网实现方法调用，不同命名空间的应用可以实现相互隔离。 方案概览 本文将指引您创建dev、test、prod三个命名空间，分别用于开发、测试和生产环境。将应用部署到一个命名空间后，您可以将应用复制到其他命名空间并灵活更改应用的配置。您可以批量启停开发、测试或生产环境中的应用，以提升运维效率。 操作指引 1. 创建命名空间 1. 登录 CAE 控制台，在顶部菜单栏选择应用部署的地域，本文以华东1为例。 2. 同一地域中可以创建多个命名空间。我们首先创建dev命名空间。在左侧导航栏选择命名空间 ，单击创建命名空间 。命名空间名称 设置为dev。 3. 我们将为dev命名空间创建并关联一个VPC。单击创建 VPC ，跳转到专有网络管理控制台 。确认专有网络的地域 为应用部署的地域，名称 设置为devvpc。您可以根据需求配置VPC的网段，详见创建和管理专有网络。 VPC 是应用所在的专有网络，一个命名空间只能关联一个 VPC，这意味着同一命名空间中的应用将处于同一 VPC 内部。 4. 应用必须部署在子网内。我们将在devvpc中创建2个子网，以提高应用的可用性。您可以自定义子网的名称 、可用区 、IPv4网段 ，详见创建和管理子网。然后单击+添加 来创建另一个子网。单击确定。 同一 VPC 内的不同子网之间内网互通。 5. 返回 CAE 控制台 的创建命名空间 面板，选择上一步中创建的 VPC 作为专有网络VPC 。单击确定。 至此，您已成功创建dev命名空间。您可以重复上述步骤创建test、prod命名空间。 如果要实现不同命名空间中的应用相互隔离，您需要为每个命名空间分别创建并关联不同的 VPC。否则，不同命名空间中的应用可以通过 VPC 内网互通，可能造成相互干扰。

三、 复杂型多层级组织架构 复杂型多层级组织架构一般为四级，即存在一级组织总管平台，具备平台全部权限，同时二级组织所使用的资源数量需要由一级组织进行分配。二级组织下有多个产品线，每个产品线下又有多个项目，同时需要能够查看每个产品线总体的资源用量(即下属项目总的资源使用情况)，此时可以参照该模式进行多级资源管理，进行AI作业，组织层级及各层级角色与功能关系如下图： 一级组织：一级组织可以视为客户内部使用天翼云训推平台最高管理人员，将其账号赋予“admin”用户组(即管理员角色)，其将拥有平台全部权限(参见《准备工作章节》)。一级组织(管理员)进行资源层面的管控，可以给二级组织(二级管理员)分配专属集群资源，具体业务的执行由二级组织及其下级组织执行。一级组织(管理员)给二级组织(二级管理员)分配专属集群资源的操作步骤详见《成员管理章节》。 二级组织：二级组织可以视为客户内部具体的业务部门，将二级组织负责人的账号赋予“二级管理员”用户组(即二级管理员角色)，其可拥有平台内仅次于管理员的权限(与管理员的区别主要在于资源使用权，二级组织负责人(二级管理员)需要由一级组织(管理员)为其分配资源后，才可使用被分配的资源)。二级组织负责人(二级管理员)基于一级组织(管理员)为其分配的资源，可以将这些资源用于组织内部AI作业。二级组织内部可能存在多个产品线，每个产品线下有多个项目，故为了便于将每个产品线下的项目进行区分，训推平台引入了“工作空间”概念，即使用训推平台进行AI作业时，需要在工作空间内进行；在空间内，项目所有成员之间，数据、资源共享，各个空间之间数据和资源是互相隔离的。故若二级组织下有多个产品线，每个产品线下有多个项目，可以由二级组织负责人(二级管理员)为每个项目创建一个工作空间，并将产品线负责人、项目负责人授予工作空间管理员权限，以及为每个工作空间创建专属的资源配额，供下级组织成员使用。工作空间的创建、工作空间成员的添加详见《工作空间章节》，资源配额的创建详见《资源配额章节》。 三级组织：三级组织是一个虚拟层级，对应二级组织下的下一级组织，如果二级组织下有多个产品线，每个产品线下有多个项目，并且在产品线层面希望看到其下属的多个项目的资源使用情况，只需要在创建工作空间时进行标签设置，标签设置为三级组织或产品线名称，即可在用量统计页面通过标签搜索的方式查看下属多个项目的资源使用情况。 四级组织：如果二级组织下有多个产品线，每个产品线下有多个项目，此时，四级组织即为具体使用训推平台进行AI作业的项目团队，每个项目具备一个单独的工作空间(由二级组织负责人(二级管理员)创建)，二级组织负责人(二级管理员)可以设置项目负责人为此工作空间的管理员，项目负责人(工作空间管理员)可以将项目其他成员添加进工作空间，并赋予其工作空间内的角色(如算法开发、运维角色)，若二级组织负责人(二级管理员)未给工作空间添加资源配额，则项目负责人(工作空间管理员)可以自己为工作空间添加资源配额(只有为工作空间添加资源配额后，工作空间成员在进行AI作业时才能正常使用资源)。工作空间成员可以基于工作空间关联的资源配额进行AI作业，如模型开发、模型训练，推理部署等。工作空间成员的添加、以及为工作空间添加资源配额详见《工作空间章节》。

本文介绍登录数据管理服务DMS的账号。 本文介绍登录数据管理服务账号的方法。 登录方式 目前数据管理服务仅支持使用天翼云账号登录控制台。 前提条件 具备天翼云账号（主账号/子账号）。 注意 天翼云子账号进入DMS前，需确保该子账号对应的天翼云主账号已登录过DMS。 功能介绍 您可以使用天翼云账号登录、跳转，使用数据管理服务。 在开始使用数据管理服务之前，您需要先注册一个天翼云账号。请访问我们的官方网址并点击右上角“免费注册”按钮。在注册页面中，您需要填写您的个人信息，包括电子邮箱、密码、手机号码等。请确保您填写的信息真实有效，以便我们能够及时向您提供服务。注册成功后，您可以使用注册时填写的电子邮箱或其他可用的登录方式登录天翼云。在登录过程中，系统将验证您的账号信息。如果验证通过，您将成功登录到天翼云官网。 在天翼云官网页面，您可以通过产品 > 数据库 > 数据库生态工具 > 数据管理服务的层次树进入数据管理服务产品详情页。 您在数据管理服务产品详情页上首次点击“立即开通”或“管理控制台”按钮均可进入产品订购页。根据指引完成订购后，再次点击“管理控制台”即可跳转至数据管理服务控制台执行操作。 注意事项 输入正确的信息：仔细核对输入的邮箱和密码，确保无误。如果输入错误的信息导致登录失败，可以重新填写正确的信息进行尝试。 保持登录状态：成功登录数据管理服务后，您将保持登录状态，直到主动退出或关闭服务。请注意保护个人隐私和数据安全，避免在公共场合使用时泄露敏感信息。 定期更新密码：为了确保账户安全，建议定期更新您的账号密码。避免使用容易猜到的密码，如生日、姓名等。同时，也建议定期更换密码复杂的随机密码以提高安全性。 注意账户活动：如果发现有异常的账户活动或操作，请立即联系我们的客服支持团队以获取帮助和解决方案。我们会对您的账户活动进行监控和管理以确保您的数据安全。

此小节介绍天翼云数据库审计服务等级协议。 天翼云数据库审计服务等级协议

您可以在天翼云费用中心查询VPN网关产品的账单。 操作步骤 1.登录天翼云费用中心。 2.在导航栏中，选择账单管理>账单详情。 3.在账单详情页面，将“统计维度”选择为“产品”，“计费模式”选择为“包周期”，可以支持以按账期或按天的统计方式查看VPN网关产品的消费情况。 4.在账单管理>账单概览页面，支持按产品类型、企业项目或计费模式对产品账单进行汇总展示。

本文带您了解弹性高性能计算产品相关术语及其基本概念。 集群 集群指运行高性能计算的节点集合，可以提供单节点不能提供的强大计算能力，拥有高性能、弹性扩展、稳定可靠等优点。 节点 登录节点：登录节点需要绑定弹性IP，您可通过远程登录该节点、使用命令行操作集群。 管理节点：管理节点是用于管理整个集群的节点，能够进行作业调度。 计算节点：计算节点用于运行高性能计算作业，计算节点的硬件配置选择是影响高性能计算集群整体性能的关键点。 当前版本仅支持管理节点和计算节点，管理节点兼备登录节点的功能，您需要将管理节点绑定弹性IP。 作业 作业指用户提交到高性能计算集群进行高性能计算的基本工作单元，包括Shell脚本、可执行文件等。 用户 普通权限组：普通用户只可以进行提交作业、查看作业等操作。 sudo权限组：sudo权限组的用户是管理集群的管理员，不仅可以提交作业、查看作业，还可以执行sudo命令。 调度器 调度器指集群上调度作业的软件，当前版本仅支持Slurm。

本节介绍如何导出告警列表。 支持导出的告警：基线检测、漏洞扫描、弱口令检测、异常登录、暴力破解、后门检测、可疑操作、反弹shell、进程提权、Webshell、端口蜜罐、病毒查杀、文件防勒索、文件完整性保护等告警。 支持导出的格式：支持“.csv”格式。 操作步骤 如下以导出异常登录告警为例，介绍导出告警的详细步骤。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 异常登录”，进入异常登录页面。 3. 单击告警列表右上角的“导出”图标，导出告警列表。 若只需要导出某一类告警或某一段时间内的告警，可以先筛选告警，再进行导出。支持按照告警类型、时间、状态、登录源IP、登录账号、服务器名称、服务器IP进行筛选。 4. 页面右上角会显示导出状态，当导出完成后，单击“下载”，将告警列表下载到本地。 注意 若“关闭”页面，此时告警列表还未下载到本地，若需要下载，则需要重新导出。

帐户及密码过期检查 指标项名称 ：帐户及密码过期检查 指标项含义 ：该指标项检查MRS的两个操作系统用户omm和 ommdba 。对操作系统用户，同时检查帐户及密码的过期时间。如果帐户或密码有效期小于等于15天，则认为不健康。 恢复指导 ：如果帐户或密码有效期小于等于15天，建议及时联系运维人员处理。

接口功能介绍 创建云硬盘。 接口约束 创建云盘规格单位需要注意单位与数量。 URI POST /v3/disk/createCloudDisk 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 nodeCode 是 String 边缘池id，可通过查看区域集群编码列表接口获取。 cnguangzhou3 disks 是 Array of Objects 云盘信息。 disks vmOpt 是 Object 磁盘操作。 vmOpt 表 disks 参数 是否必填 参数类型 说明 示例 下级对象 diskIOType 是 String 磁盘IO类型，可选值为：NORMAL(高IO)，HIGH(通用型SSD)， ULTRA(超高IO) ，ULTRAFAST(极速IO)，ALLIOTYPE(所有类型)，列表接口默查所有类型。 HIGH diskSize 是 Integer 磁盘容量大小。单位为G，云盘大小范围为10GB～32TB。 100 offerId 是 Integer 销售品规格Id。 100 count 是 Integer 云盘块数。 2 bus 是 String 存储驱动类型， 支持Virtio和SCSI两种，均支持在线挂载/卸载。 SCSI 表 vmOpt 参数 是否必填 参数类型 说明 示例 下级对象 opt 否 String 不挂载:UNMOUNT，挂载:MOUNT, 不传则默认不操作。 MOUNT vmName 否 String 虚拟机id。 evmass

本页介绍RDSPostgreSQL数据库审计功能。 应用场景 您可以通过RDSPostgreSQL的数据库审计功能查看SQL明细，定期审计SQL。 注意 开通审计功能后，实例性能有所损耗。 审计功能需要内核版本为12.20P2、13.16P2、14.13P2、15.8P2、16.4及其以上的版本。 审计功能需要安装插件pgaudit、pgauditlogtofile到默认数据库postgres下，插件安装参考 数据库审计默认保存时间为1天，最长保存3天。 数据库审计默认关闭。 开启数据审计后，会有510分钟的延迟才可以看到审计日志。 清理过期日志频率为1天一次。 查询开始时间和查询结束时间间隔不能大于30天。 若开通实例时选择的备份空间为对象存储，则支持将审计文件存储到对象存储上，保留时间为1180天；审计文件也支持下载（注意：审计文件存储的对象存储和备份数据的是同一个对象存储，若空间紧张，请减少审计文件的保留时间）。 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见 操作步骤 1. 登录天翼云官网。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 点击“数据库审计”，进入到审计日志页面，可以查看实例的审计日志。 7. 可以根据时间、数据库名称、执行语句账号、SQL关键字进行筛选。

参数 是否必填 参数类型 说明 示例 下级对象 addressGroupName 是 String 地址簿名称 name description 否 String 地址簿描述 描述 addressType 是 String 地址簿类型v4;v6;port v4 addressContent 是 Array of Strings 地址簿ips或者ports ["1.1.1.1"]

参数 参数类型 说明 示例 下级对象 instacneID String 主机ID。推荐使用instanceID参数，该参数后续即将下线 34d33b5ef401aa1336bb748564cd9542 instanceID String 主机ID 34d33b5ef401aa1336bb748564cd9542 instacneIps Array of Strings 主机ip。推荐使用instanceIps参数，该参数后续即将下线 ["192.168.0.26"] instanceIps String 主机Ips ["192.168.0.26"] backupClientID String 备份客户端ID fc8c4fbb5ff84d408c7cfe5f299672bf backupClientName String 主机/客户端名称 fhcloudcomputer backupClientVersion String 备份客户端版本 backupClientStatus String 备份客户端状态 InstallFail backupClientDesc String 备份客户端状态描述 安装失败 backupClientUpdateNeed Boolean 备份客户端是否需要升级 false backupClientEnableInstall Boolean 备份客户端是否可安装 false imageName String 主机镜像名称 Ctyunos2.0.1yunyix8664221222 osType String 主机操作系统 linux backupClientType Integer 客户端类型，0:云上 1:本地 3:物理机 0

参数 参数类型 说明 示例 下级对象 custName String 主机名称 test1 agentGuid String 主机guid 1111 publicIp String 公网ip 192.168.1.1 agentIp String 私有ip 192.168. eventAction String 事件编码 BASESCACOLLECTION基线风险 VULNERABILITY漏洞风险 WEAKPWMONGODBCOLLECTION弱口令风险 MONGOWEBPAGECHECK网页防篡改 VIRUSMONGODBCOLLECTION病毒文件 PROCESSABNORMALBEHAVIOR进程异常行为 MALICIOUSSOFTWARE恶意软件 USERABNORMALBEHAVIOR用户异常行为 MALICIOUSNETWORKCONNECTION恶意网络连接 FILEABNORMALMODIFY文件异常篡改 INSUOTHER入侵检测其他行为 BASESCACOLLECTION eventActionValue String 事件名称 基线风险 createTime String 创建时间 20200101 00:00:00 displayName String 实例名称 test1

MySQL是否支持多帐号 MySQL支持多帐号，用户可以自己使用授权命令给这些帐号分配不同的权限以便控制访问不同的表。各个表之间相互独立。 Microsoft SQL Server 2017 企业版主备实例的登录名权限如何同步到只读实例 主实例创建的登录名（Login Name）会每分钟自动同步到只读实例，需要等待1分钟，同步完成后只读实例上才可以使用创建的登录名（Login Name）或修改密码权限。 在只读实例上可以添加、删除、修改登录名（Login Name）权限，因为主实例创建的登录名（Login Name）会每分钟自动同步到只读实例，所以只读实例上多余登录名（Login Name）以及多余的权限将不会完全删除，可以在只读实例上移除多余的登录名（Login Name）权限。 只读实例上的帐号如果在主实例上存在，主实例的密码会同步到只读实例，在只读实例上修改这类登录名（Login Name）的密码将不会生效。 Microsoft SQL Server中主实例的帐号删除重建后，权限是否会自动同步 Microsoft SQL Server中主实例的帐号删除重建后，主实例中的权限及其他修改会自动同步到备实例和只读数据库中。 本地客户端连接实例后如何查看已授权的数据库 使用本地客户端连接数据库后，执行以下命令授权后可正常查看数据库，其中ip表示本地IP地址。 show grants for root@' ip '; show grants for root@'%';

MySQL是否支持多帐号 MySQL支持多帐号，用户可以自己使用授权命令给这些帐号分配不同的权限以便控制访问不同的表。各个表之间相互独立。 Microsoft SQL Server 2017 企业版主备实例的登录名权限如何同步到只读实例 主实例创建的登录名（Login Name）会每分钟自动同步到只读实例，需要等待1分钟，同步完成后只读实例上才可以使用创建的登录名（Login Name）或修改密码权限。 在只读实例上可以添加、删除、修改登录名（Login Name）权限，因为主实例创建的登录名（Login Name）会每分钟自动同步到只读实例，所以只读实例上多余登录名（Login Name）以及多余的权限将不会完全删除，可以在只读实例上移除多余的登录名（Login Name）权限。 只读实例上的帐号如果在主实例上存在，主实例的密码会同步到只读实例，在只读实例上修改这类登录名（Login Name）的密码将不会生效。 Microsoft SQL Server中主实例的帐号删除重建后，权限是否会自动同步 Microsoft SQL Server中主实例的帐号删除重建后，主实例中的权限及其他修改会自动同步到备实例和只读数据库中。 本地客户端连接实例后如何查看已授权的数据库 使用本地客户端连接数据库后，执行以下命令授权后可正常查看数据库，其中ip表示本地IP地址。 show grants for root@' ip '; show grants for root@'%';

本文介绍如何为IPsec连接配置健康检查。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“IPsec VPN”，进入IPsec VPN页面。 5. 单击“IPsec连接”，进入“IPsec连接”页签。 6. 在IPsec连接页面，在目标IPsec连接的健康检查列单击“配置”。 7. 在健康检查对话框，配置健康检查信息。 参数 说明 取值样例 启用 是否启用健康检查。 启用 目的IP 云上通过IPSec连接可以访问的线下IDC的IP地址。 192.168.0.1 源IP 线下IDC通过IPSec连接可以访问云上的IP地址。 10.0.0.1 探测间隔 健康检查ping包发送的时间间隔，取值范围：1120（秒）。 5秒 探测次数 一个健康检查周期内的发包数量，取值范围：150。 3 异常阈值 一个健康检查周期内的丢包率，取值范围：1100（%）。 30% 关联路由状态 健康检查失败后是否使关联该连接的路由条目失效。如未配置主备路由，不建议开启。 未启用 8. 单击“确定”关闭对话框，完成健康检查配置。 说明 功能暂以白名单形式开放，如有功能需要，请提供资源池及账号信息于工单，由产品经理打开功能开关。

本节介绍购买漏洞扫描服务的操作流程。 操作场景 该任务指导用户首次使用VSS时，如何购买漏洞扫描服务的专业版、高级版和企业版扫描功能。 注意 仅支持从专业版升级至高级版，当您是专业版用户时，如果需要将专业版扫描配额包中的二级域名配额升级为一级域名配额，可以直接将专业版升级到高级版。 不支持多个版本同时存在。 不支持从专业版或高级版直接升级至企业版，当您是专业版或高级版用户时，如果需要使用企业版，请直接购买企业版。为保证您的权益，请您购买企业版后，提工单退订专业版或高级版。 购买漏洞扫描服务或配额后，不支持直接修改配额，仅支持升级规格，请谨慎操作。 前提条件 已获取管理控制台的登录帐号与密码。 购买步骤 1. 登录管理控制台。 2. 在页面上方选择区域或项目后，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理界面。 首次使用VSS，您可以在页面左侧，单击“立即购买”，进入VSS购买页面。 如果您已经体验了VSS基础版，请在页面的右上角，单击“升级规格”，进入VSS购买页面。 3. 在购买漏洞扫描服务界面，进行服务选型配置。 “计费模式”选择“包年/包月”，参数配置完成后，请执行步骤4。 说明 使用基础版的用户，可以继续使用基础版的功能，每个用户可添加的域名个数不超过5个。 当用户在使用中需要增加专业版/高级版/企业版域名扫描配额，购买的数量不能小于已购买的数量，到期时间不变。 计费模式包年/包月（专业版）： 计费模式包年/包月（高级版）： 计费模式包年/包月（企业版）： 服务选型参数说明： 参数 参数说明 规格选择 漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 规格说明 对应版本支持的功能介绍。 购买时长 专业版：可以选择1个月～3年的时长。 高级版：可以选择1个月～3年的时长。 企业版：支持“1个月”、“3个月”、“1年”的购买时长。 扫描配额包 选择“专业版”时，需要配置购买的域名扫描配额包数量。 Web漏扫：包含1个二级域名或IP:端口，每个公网IP支持的端口号不限。 主机漏扫：包含20个IP地址。 购买的“扫描配额包”不能少于资产列表的网站数量。 选择“高级版”时，需要配置购买的域名扫描配额包数量。 Web漏扫：默认包含1个一级域名（不限制二级域名个数）/IP（不限制端口个数），每个公网IP支持的端口号不限。 主机漏扫：不限制IP地址个数。 选择“企业版”时，每个配额包包含如下： Web漏扫：默认包含5个一级域名（不限制二级域名个数）/IP（不限制端口个数），每个公网IP支持的端口号不限。 主机漏扫：不限制IP地址个数。 若默认的域名配额数量不能满足您的要求，您可以通过配置扫描配额包的数量，增加域名配额。 计费模式选择“按需计费”，如下图所示。 创建任务时，保持升级开关关闭，开始扫描后默认享受单次基础版扫描服务。 创建任务时，开启升级开关，开始扫描后享受单次专业版扫描服务。扫描开始后进行一次性扣费，请保障您的账户余额充足。 基于基础版创建主机扫描时，每次扫描最多20台主机，扫描开始后进行一次性扣费，请保障您的账户余额充足。 计费模式按需计费： 请参照以下操作步骤完成一次扫描任务： 1. 单击“立即体验”回到“资产列表”界面。 说明 如果没有域名，请先添加域名并完成域名认证，再在创建任务界面进行单次按需购买。 2. 单击“扫描”，进入“创建任务”界面，相关设置如图所示。 您可以打开“是否将本次扫描升级为专业版规格”开关，将本次扫描升级为专业版。 设置完成后，用户可以根据需要选择定时扫描或者立即扫描，在弹出的“付费提醒”界面，单击“同意并扫描”。 4. 参数设置完毕后，在页面右下角，单击“立即购买”。 5. 确认订单详情无误后，单击“去支付”。 如果订单填写有误，用户可以单击“上一页”，回到服务选型页面修改配置信息后再继续购买。 6. 在“付款”页面，选择付款方式进行付款。

本节介绍了有状态服务的用户指南。 基本概念 有状态工作负载：即kubernetes中的“StatefulSet”，有状态工作负载支持实例有序部署和删除，支持持久化存储，适用于实例间存在互访的场景，如ETCD、mysqlHA等。 操作场景 在运行过程中会保存数据或状态的工作负载称为“有状态工作负载（statefulset）”。例如Mysql，它需要存储产生的新数据。 因为容器可以在不同主机间迁移，所以在宿主机上并不会保存数据，这依赖于云容器引擎提供的高可用存储卷，将存储卷挂载在容器上，从而实现有状态工作负载的数据持久化。 前提条件 在创建容器工作负载前，您需要存在一个可用集群。若没有请参照集群开通中内容创建。 若工作负载需要被外网访问，请确保集群中至少有一个节点已绑定弹性IP，或已购买负载均衡实例。 创建多个工作负载时，请确保容器使用的端口不冲突 ，否则部署会失败。 操作步骤及说明 创建StatefulSet与创建Deployment的过程类似，但主要有以下几个方面的差异，需要注意： 数据卷 除了Deployment能够使用的六种类型的数据卷之外，StatefulSet还多了新建PVC这种类型的数据卷挂载，而且这种类型的数据卷仅StatefulSet能够使用。一般情况下，如果我们使用StatefulSet来做数据的持久化，即可使用新建PVC这种数据卷。 使用这种数据卷挂载的时候，我们需要提前创建好存储类，然后点击上面的新建pvc。 新建pvc时的参数需要留意，只有同时满足下述条件，新建PVC才能成功绑定到我们提前创建的持久存储卷上： 名称可以任意填写 StorageClass；名称要选择我们提前创建好的持久存储类。 所需容器：不能超过我们提前创建好的持久存储卷的容量。 访问模式：要和我们提前创建的持久存储卷的访问模式一致。

本节介绍云容器引擎的最佳实践:操作系统升级。 操作系统升级指允许对集群中的工作节点进行操作系统版本升级。 升级方式 开通新集群 新建节点池并扩容 更换节点池操作系统 使用须知 通过更换节点池操作系统方式来升级操作系统采用节点重置方式实现，节点重置有关注意事项如下： 重置节点将对节点操作系统进行重置安装，节点上已运行的工作负载业务将会中断，请在业务低峰期操作。 节点重置后系统盘，挂载kubelet、containerd的数据盘将会被清空，重置前请事先备份重要数据。 用户节点如果有自行挂载了数据盘，重置完后会清除挂载信息，请事先备份重要数据，重置完成后请重新执行挂载行为，数据不会丢失。 节点上的工作负载实例的IP会发生变化，但是不影响容器网络通信。 操作过程中，后台会把当前节点设置为不可调度状态。 节点重置会清除用户单独添加的K8S标签和污点（通过节点池编辑功能添加的标签、污点不会丢失），可能导致与节点有绑定关系的资源（本地存储，指定调度节点的负载等）无法正常使用。请谨慎操作，避免对运行中的业务造成影响。 重置节点会导致与节点关联的localpv类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用。重置节点时使用了本地持久存储卷的Pod会从重置的节点上驱逐，并重新创建Pod，Pod会一直处于 pending状态，因为Pod使用的PVC带有节点标签，由于冲突无法调度成功。节点重置完成后，Pod可能调度到重置好的节点上，此时Pod会一直处于creating状态，因为PVC对应的底层逻辑卷已经不存在了。 重置节点使用的相关配置是节点所在节点池的最新配置。 更多升级节点池和节点重置相关内容请参见升级节点池 、节点重置。