您可以创建IAM子用户，为IAM用户授予不同的权限，提供给企业各部门来管理短信服务资源，避免用户共用云账号密钥，降低企业信息安全风险。 背景信息 云通信支持通过IAM创建IAM子账号，并为其授予云通信的操作或查看权限，便于多用户协同操作。 IAM支持为用户绑定自定义权限策略，需要主用户创建对应的策略机制。 权限策略 权限策略包含系统策略 和 自定义策略 ，您可以根据需求选择系统策略或自定义策略，为IAM子账号进行授权。 系统策略 系统策略权限定义如下表所示： 策略名称 作用 适用范围 SMS admin 用于管理云通信服务的权限，包含读写。 能够进入短信服务控制台，使用控制台的所有操作。 SMS viewer 用于只读云通信服务的权限，仅可查看。 仅查看控制台，不做任何操作。 自定义策略 如果系统策略无法满足您的需求，您可以自定义符合您要求的权限策略。 1.使用天翼云账号登录这里进入IAM系统。 2.在左侧导航栏点击策略管理。 3.在右上角点击创建自定义策略按钮。 为IAM子账号授权

本节主要介绍示例场景 前提条件 请确保您已拥有天翼云帐号，若您还没有帐号，请先进行注册并实名认证。 请确保您已开通企业项目管理服务EPS，如服务未开通，请首先在天翼云网门户提交申请开通工单。 创建企业项目的用户必须是管理员，或在IAM侧已被授予EPS FullAccess权限的IAM用户。 操作场景 企业项目管理支持通过配置IAM用户对云资源进行分类管理。 若您拥有多种云资源，为了方便云资源的管理和使用的安全性，可以通过创建不同的企业项目和IAM用户并授予不同云服务的管理权限，从而实现IAM用户对云资源的分类管理。 本节以一个案例让您了解如何通过企业项目管理实现IAM用户拥有独立、隔离的云资源管理权限。 操作规划 操作项目 描述 创建用户组 在IAM控制台分别创建用户组TestECSA和TestECSB。 创建IAM用户并添加至用户组 在IAM控制台分别创建用户TestUserA和TestUserB。 将用户TestUserA添加至用户组TestECSA； 将用户TestUserB添加至用户组TestECSB。 创建企业项目并将用户组添加至项目 在企业项目管理页面分别创建企业项目projectA和projectB。 将用户组TestECSA添加至企业项目projectA； 将用户组TestECSB添加至企业项目projectB。 企业项目迁入资源 在企业项目管理页面分别给企业项目projectA和projectB迁入对应的云资源。 操作流程

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云直播控制台开启HTTPS协议，将实现客户端和天翼云直播加速节点之间请求的HTTPS加密。如果想要实现全链路HTTPS传输，则需要在直播加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端以HTTPS协议请求直播加速节点。 2. 直播加速节点将相应的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则生成一个密钥，并使用公钥进行加密，再发送给直播加速节点。 4. 直播加速节点使用对应私钥进行解密，得到密钥。 5. 直播加速节点使用对应密钥对传输的数据加密。 6. 客户端使用对应密钥对直播加速节点传输的加密数据进行解密，从而获取相应数据。 注意事项 域名进行HTTPS配置前，需已在直播控制台上传域名对应的SSL证书。证书上传路径请参见：新增证书。 只有拉流域名支持配置HTTPS。 配置说明 以推拉流场景下的拉流域名为例，操作步骤如下。 1. 登录直播控制台。 2. 在域名列表页面，单击域名操作列表中的【编辑】。 3. 单击【HTTPS配置】。 4. 开启【Https开关】。 5. 选择域名对应的有效证书，并单击页面右下方的【提交保存】。 参数 说明 Https开关 停用：即关闭HTTPS。启用：即开启HTTPS，需要上传HTTPS证书。 证书备注名 选定正确的证书与所配置的域名进行关联。说明：需要先上传相关证书。 HTTPS证书上传 可单击【证书备注名】下拉框下方的【点击上传】按钮，自助添加证书。 支持的tls协议 支持自助配置tls协议。如果未配置，则默认支持所有选项中的协议。

低门槛容器化，全套微服务治理 CAE 让您免运维 K8s 基础设施，秒级完成从代码包、Docker 镜像部署任意语言的在线应用（如微服务、Web 服务），并自动弹性伸缩按量计费。平台内置免费 Nacos 注册中心，支持 Spring Cloud 无侵入迁移，开箱即用服务注册发现、限流降级、无损上下线及全链路灰度等全套微服务治理能力，极简助力业务容器化转型。 开放标准，自主无忧 基于标准容器与Kubernetes生态构建，避免厂商锁定。您的应用可平滑迁移至任意兼容K8s的平台，保障业务长期发展的灵活性与自主权。 安全可靠，专注业务 底层采用安全容器技术，网络层通过VPC实现租户级强隔离，为您的应用与数据提供从基础设施到网络的双重安全保障，让您安心专注于业务创新。 生态集成，开箱即用 深度集成天翼云负载均衡（ELB）、文件存储（SFS）、对象存储（ZOS）等IaaS服务，以及微服务引擎（MSE）、应用监控（ARMS）等PaaS生态，提供一站式、高内聚的完整解决方案，大幅提升开发和运维效率。

AOne边缘安全加速平台套餐续费介绍。 避免AOne边缘安全加速平台的资源到期后，域名会自动发起停用，防护服务终止服务，您可以在资源到期前为资源手动续订，或者设置自动续订服务。针对AOne边缘安全加速平台情况，为您进行说明，请在续费前务必阅读以下内容。 续订规则 只有通过实名认证的客户，才可以执行续订操作。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 资源处于服务中且过期时长大于7天可以设置自动续订。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 成套订购的套餐类组合产品，需整体续订，非成套订购单具有挂载关系的资源可以对单资源进行续订。 需要满足续订的规则，具体规则详见续订规则说明。 手动续订 满足续订规则的资源您可以随时手动续AOne边缘安全加速平台，本文介绍手动续订操作方式。 登陆天翼云官网右上角我的产品视图中找到需要续订的产品，点击“续订”，根据需求调整续订周期后，提交续订订单。 当续订周期达到1年或以上时，续订单将可享受包年折扣。

本章节主要介绍翼MapReduce服务管理主机操作。 操作场景 当主机故障异常时，用户可能需要在MRS Manager停止主机上的所有角色，对主机进行维护检查。故障清除后，启动主机上的所有角色恢复主机业务。 操作步骤 单击“主机管理”。 1.勾选待操作主机前的复选框。 2.选择“更多 > 启动所有角色”或“停止所有角色”执行相应操作。

本页为您介绍WPS云文档天翼云版产品变更模式 该产品支持升级，可在甄选商城进行升级操作。

什么是云主机备份？ 云主机备份（CSBS，Cloud Server Backup Service）可为云主机创建备份，利用多个云硬盘一致性备份数据恢复云主机业务数据，最大限度保障用户数据的安全性和正确性，确保业务安全。 云主机备份可以实现对多块云硬盘的崩溃一致性备份，云主机内的多个云硬盘是同一时间点进行备份的，但是备份前未冻结应用和文件系统，不备份内存数据，因此不是应用一致性备份。 什么是备份策略？ 备份策略指的是对备份对象执行备份操作时，预先设置的策略。包括备份策略的名称、开关、备份任务执行的时间、周期以及备份数据的保留规则。其中备份数据的保留规则包括保存时间或保存数量。通过将云主机绑定到备份策略，可以为云主机执行自动备份。 什么是一致性备份？ 业界对备份一致性的定义包括如下三类： 不一致备份：云主机中文件或磁盘数据的备份，不在同一时间点产生。 崩溃一致性备份：云主机中文件或磁盘数据的备份，在同一时间点产生，但不会静默数据库等应用系统、不会备份内存数据，不保证应用系统备份的一致性。 应用一致性备份：文件/磁盘数据在同一时间点，并静默数据库刷新内存数据，保证应用系统备份的一致性。

镜像服务(IMS)是弹性云主机实例可选择的运行环境模板,一般包括操作系统和预装软件。镜像服务包括公共镜像、私有镜像、共享镜像、安全产品镜像、应用镜像。通过镜像用户可以在云主机实例上实现应用场景的快速部署。

本页介绍什么是关系数据库MySQL版。 MySQL是全球流行的开源关系型数据库管理系统之一，具有良好的跨平台能力。天翼云关系数据库MySQL版（CTRDS MySQL）是一款基于云计算平台的在线关系型数据库服务，完全兼容MySQL 5.7、MySQL 8.0，提供单机、主备、一主两备和只读四种实例类型，并具备完善的安全防护措施和性能监控体系，提供了专业的数据库管理控制台，方便用户使用数据库。通过关系数据库MySQL版服务的管理控制台，用户可以方便快捷地执行所有必需任务，有效降低运营难度和运维成本，只需专注开发应用和业务发展。关系数据库MySQL版优势如下： 资源弹性调度：支持根据业务需求对实例资源进行弹性调度。用户可以根据需要进行升级或降级，以满足不同业务场景下的需求，提高资源的利用效率。 管理简单：通过简单易用的控制台和API，提供丰富的管理功能，包括备份和恢复、性能监控、访问控制等，为用户提供高效的管理体验。 高可扩展性：支持只读实例，从而将读请求分担到只读实例上，提高服务的可扩展性。 高可用性和容错性：支持主备架构，保证数据的备份和在主库故障情况下的无缝切换，提高服务的可用性和容错性。 安全可靠：提供全面的安全性支持，包括数据加密和网络隔离等，保障数据的安全可靠。 当前关系数据库MySQL版支持版本，请参见存储引擎和版本。

本章节主要介绍翼MapReduce服务的API概览。 翼MapReduce提供以下相关API接口。 集群 API标题 API概述 根据id查询集群信息 提供查询用户根据id查询集群信息功能，系统接收用户输入的查询条件，返回符合条件的集群详细信息。 集群信息分页查询 提供查询用户集群信息功能，系统接收用户输入的查询条件，返回用户输入的资源池下符合条件的集群详细信息，不会返回已删除的集群信息。 创建集群 提供创建集群功能，系统接收用户输入的请求参数，返回创建结果。 扩容集群 提供扩容集群功能，系统接收用户输入的请求参数，返回扩容结果。 退订集群 提供退订集群功能，系统接收用户输入的请求参数，返回退订结果。 节点组 API标题 API概述 查询集群节点组详情 提供查询用户集群节点组详情功能，系统接收用户输入的查询条件，返回符合条件的集群节点组信息。 获取节点组信息 提供查询用户集群节点组信息功能，系统接收用户输入的查询条件，返回符合条件的集群节点组详细信息。 元数据 API标题 API概述 元数据概览 提供获取集群元数据概览功能，系统接收用户输入的查询条件，返回集群的库总数、表总数、总存储量、总文件数等概览信息。 元数据信息查询 提供查询集群下指定表的元数据的功能，用户输入集群id、时间戳、Hive库名、Hive表名，返回集群的该表的文件数、存储大小、分区数等元数据。

批量导出防护规则操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击左上方的，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。 4. 单击“下载模板”，下载导入规则模板到本地。 5. 单击“导出规则”，导出规则到本地。

镜像服务(CTIMS,Image Management Service)是弹性云主机实例可选择的运行环境模板,一般包括操作系统和预装软件。镜像服务包括公共镜像、私有镜像、共享镜像、安全产品镜像、应用镜像。通过镜像用户可以在云主机实例上实现应用场景的快速部署。

当您使用浏览器登录邮箱发送邮件失败时,可以参考本文。 问题描述 在使用浏览器登录邮箱时直接使用 HTTP 协议，其端口号默认为 80，邮件主机之间还是使用邮件发送协议：SMTP 协议。通过浏览器发送邮件，则需要开放 TCP 出方向端口为 80。 处理方法 1. 在弹性云主机页面找到对应的安全组，单击安全组“ID”，进入“安全组”页面。 2. 在安全组界面，单击“添加规则”。 3. 在弹出的窗口，选择“出方向”，协议为“TCP”，设置端口为“80”单击“确定”完成添加。 在使用邮件客户端收发邮件时，邮件收发使用不同的协议： 发件协议一般使用 SMTP 协议，其端口号为 25； 收件协议使用 POP3 协议，其端口号为 110。 具体操作请参见 1～3。 说明 ：需要添加“入方向”：协议为“TCP”； 端口为“110”和“出方向”：协议为“TCP”，端口 为“25”的规则。

计费说明 天翼云远程证明服务本身不收费，但您需要对使用远程证明服务的云主机进行付费。

计费说明 天翼云远程证明服务本身不收费，但您需要对使用远程证明服务的云主机进行付费。

本文介绍在客户端的挂载目录页面卡死的情况下如何进行处理。 故障现象 客户端中文件系统的挂载目录页面卡死，无法执行其它命令。 可能原因 文件系统在未卸载的情况下，进行了退订/删除或解绑VPC操作，导致网络中断。 解决方法 1. 在客户端新开一个窗口。须以root用户登录云主机，参考登录Linux弹性云主机弹性云主机快速入门 天翼云， 1. 如果使用云主机控制台“远程登录”，可以在右上角“发送远程命令”中点击“Ctrl+Alt+F3”新开一个窗口登录。 2. 如果使用Xshell等工具登录，可以在当前会话右键选择“复制SSH渠道”新开一个命令窗口。 2. 执行以下命令强制卸载挂载目录。 plaintext umount f [挂载目录] 如： plaintext umount f /mnt 3. 可尝试多次执行，如果多次执行仍无法卸载掉挂载目录，请尝试重启计算服务。 4. 如果需要重新挂载文件系统，请确认在文件系统中添加上与计算服务相同VPC后，重新执行挂载操作。 参考挂载NFS文件系统到弹性云主机 (Linux)弹性文件服务快速入门挂载文件系统 天翼云。

本文为您介绍云容灾的产品优势。 简单易用 集中管理：系统自动安装容灾客户端，保护组、受保护云主机、复制任务集中配置管理。 配置简单：支持容灾演练、一键切换，轻松完成云主机容灾管理。 经济高效 数据持续保护：采用CDP（Continue Data Protection）技术，提供IO级复制，RPO可达秒级。 业务连续性保护：支持通过任意恢复点进行容灾演练以及切换，容灾云主机快速拉起，RTO可达分钟级。 高性价比：利用公有云弹性优势构建容灾中心，初始投资低、建设周期短。 安全可靠 安全合规：秒级RPO、分钟级RTO，可满足国标容灾等级5级要求。 稳定可靠：首次全量数据复制支持断点续传，保证复制任务可靠性。 灵活的故障切换 可针对生产中心出现的中断或者针对意外灾难执行故障切换操作，可以在云上迅速恢复业务。 在不中断业务的情况下进行容灾演练 在不影响正常业务的情况进行容灾演练。当真实故障发生时，通过预案快速恢复业务，提高业务连续性。

本文介绍使用专属云（计算独享型）过程中涉及相关产品的基本概念，方便您查询和了解相关概念。 云主机 专属云（计算独享型）产品提供物理隔离的公有云虚拟化环境，在已购买的专属云中可创建云主机来部署应用服务。 云硬盘 专属云（计算独享型）产品中，云主机使用的云硬盘为公有云中的云硬盘，类型包括普通IO、高IO、超高IO三种类型。这三种类型跟公有云云硬盘产品规格参数保持一致。若您同时购买了专属云（存储独享型）产品，创建的云硬盘为物理独享的云硬盘，具体云硬盘类型取决于购买类型。 虚拟私有云 虚拟私有云是通过逻辑方式为您提供一个完全隔离的网络环境。您可以在VPC中定义与传统网络无差别的子网，同时提供弹性IP、安全组、带宽、VPN等网络服务。

接口描述：调用本接口查询域名在指定时间段的攻击概况 请求方式：post 请求路径：/waf/statistics/queryattackinfo 使用说明： 修改域名之前，您需要先开通对应产品类型的服务，且服务有效； 支持查询最近30天数据 单个用户一分钟限制调用10000次，并发不超过100 支持查询WAF攻击类型的数据 请求参数说明： 参数名 类型 是否必填 名称 说明 domain string 是 域名 单次调用仅支持一个域名查询 startTime string 是 开始时间 格式为：YYYYMMDDThh: mm:ssZ 支持最近30天的数据 endTime string 是 结束时间 格式为：YYYYMMDDThh: mm:ssZ 支持最近30天的数据 pageSize int 否 查询每页的数量 不传默认30，pageSize以及pageNumber的乘积不得超过2000 pageNumber int 否 查询的页数 不传默认30，pageSize以及pageNumber的乘积不得超过2000 返回参数说明： 参数 类型 是否必传 名称及描述 code string 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 data overviewData 否 查询结果以及域名对应状态 1） overviewData参数 参数 类型 是否必返回 名称及描述 bandwidth string 是 业务带宽 flow string 是 业务流量 requestsNumber string 是 请求数 peakAttack string 是 攻击峰值 domain string 是 安全加速域名

证书重颁发,是指在证书仍然有效时,由于某些特殊原因,用户需要获取一张新证书。 操作场景 通常在下述场景下，需要重颁发证书： 密钥泄露或丢失：为了网站的安全，建议重颁发一张新证书。 域名删减：原有的证书将不再适用，需要重颁发证书以匹配新域名。 密钥算法升级：通过密钥算法升级，可优化安全性、性能、合规性，系统性地提升安全防护能力并优化资源效率。 约束限制 适用产品：SSL证书、私有（内网）证书 适用品牌：CFCA、GlobalSign、标准版、DigiCert（SecureSite、GeoTrust、TrustAsia） 适用算法：国际、国密 重颁发次数限制：单张证书在有效期内（199天 ）最多可申请3次重颁发，第3次申请后，重颁发按钮置灰。 重颁发后新证书的有效期： CFCA、GlobalSign：原证书剩余时间，仅在证书到期前30天内重颁发时将获得199天续期证书。 标准版、DigiCert（SecureSite、GeoTrust、TrustAsia）：199天。 操作步骤 1. 登录证书管理服务控制台。 2. 选择“SSL证书管理 > SSL证书列表”或“私有证书管理 > 私有证书列表”。 3. 选择需要进行重颁发的证书，单击“操作”列的“重颁发”。 4. 填写证书申请的相关信息。 参数 说明 证书绑定域名 第一个域名将作为证书通用域名名称（不可修改）。只可删减其他域名。 密钥算法 可选择“RSA”、“ECC”或“SM2”。 证书请求文件 CSR是一个包含网站、服务、国家、组织、域名、公钥和签名的编码文件，用于从可信的证书颁发机构（CA）获取证书。 支持“系统生成”或“手动生成”两种方式： 系统生成：根据用户所配置的信息，系统自动生成一个CSR。为保障您的证书顺利申请，建议您使用系统生成CSR的方式，避免因内容不正确而导致的审核失败。 手动生成：在下拉框中选择已手动创建的CSR，使用已创建的CSR申请证书。 注意 请不要在证书签发完成前删除CSR。 手动生成将无法署到天翼云产品。 私钥文件 填写您的CSR私钥。 您可以单击“上传”并选择存储在本地计算机的证书私钥文件，将文件内容上传到文本框，或者使用文本编辑工具打开KEY格式的证书私钥文件，复制其中的内容并粘贴到该文本框。 5. 单击“确定”，提交申请。 证书状态更新为“申请审核中重颁发”。申请通过后，证书状态将更新为“已签发”。 新证书签发后，原证书吊销说明： 品牌 是否吊销 吊销说明 CFCA 是 原证书将在3天内吊销。 GlobalSign 否 原证书与新证书可同时使用。 标准版、DigiCert（SecureSite、GeoTrust、TrustAsia） 吊销的场景：仅当申请重颁发时删减域名，原证书将在新证书签发3 天后吊销。 不吊销的场景：其他场景不吊销原证书。

本文为您介绍创建轻量型云主机的相关操作。 前提条件 完成账号注册与实名认证。 操作步骤 1. 登录天翼云官网，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择华北2。后续您也可以在创建页面对“地域”进行修改。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机界面，单击“创建轻量型云主机”。 5. 选择计费模式，轻量型云主机目前仅支持包年/包月计费模式。 6. 根据业务需求选择“规格套餐”。 套餐类型 说明 基础型 提供合适的云资源能力，适用于小型网站软件及应用，如官网页面、论坛、测试环境等。 进阶型 提供常用的云资源能力，适用于中小型网站，软件、应用及系统，如电商。 随心购 您可以根据业务的实际需要自行搭配各项云资源规格。 关于轻量云主机规格的详细说明，具体可参见实例套餐。 7. 根据业务需求选择“镜像”，天翼云提供包括CentOS、Ubuntu、Windows三种类型的系统镜像。关于各类镜像的详细说明及支持的镜像版本，具体可参见支持的镜像。 8. 您可根据业务需求购买数据盘（可选）。 说明 数据盘非套餐内资源，单独进行收费。 可挂载数量：单台轻量型云主机最多支持5块数据盘。 数据盘类型：普通IO、高IO、通用SSD、超高IO高类型。 云盘容量大小范围为：1032768（GB）。 9. 在“创建密码”单击“立即创建”进行密码设置。您也可以保持默认的“稍后创建”选项，后续再进行“重置密码”操作，重新设置密码。 说明 密码规则：8～30 个字符，必须同时包含三项（大写字母、小写字母、数字、 ()~!@

概述 天翼云数据迁移功能，目前支持[共享模式] 与[独立模式]，其中独立模式内部使用的是：数据同步服务进行支撑； 相比于[共享模式]，数据同步服务会单独新开云主机运行迁移任务，不占据业务实例资源，适用于高OPS下的数据同步场景。 计费模式 目前数据同步服务供包周期（包年/包月）、按需两种计费模式供您灵活选择，使用越久越便宜。 实例规格 规格 VCPU（核） 内存（GB） 最大带宽（GBbps） 基准带宽（GBbps） migration.large.2 2 4 4 0.8 migration.xlarge.2 4 8 8 1.6 migration.2xlarge.2 8 16 15 3 migration.4xlarge.2 16 32 20 6 功能说明 1. 订购 该产品总共有两个订购途径，分别是： 数据迁移>数据同步服务>创建同步服务 数据迁移>数据迁移任务>创建任务>选择独立模式>创建服务 2. 退订 仅数据同步服务处于空闲状态时才支持退订（如退订前数据迁移任务仍然在运行中，请先停止任务，再进行退订操作），操作途径： 数据迁移>数据同步服务>退订 3. 发起在线迁移 登录 ++Redis管理控制台++ 在管理控制台左上角选择实例所在的区域 进入数据迁移>数据迁移任务页面 点击创建任务，任务模式选择：独立模式，选择数据同步服务 填写源库和目标库的实例信息 点击创建任务，创建后后台自动进行数据迁移操作

本文主要介绍安全容器与普通容器。 安全容器和普通容器相比，它最主要的区别是每个容器（准确地说是pod）都运行在一个单独的微型虚拟机中，拥有独立的操作系统内核，以及虚拟化层的安全隔离。因为云容器引擎CCE的容器安全隔离比独立拥有私有Kubernetes集群有更严格的要求。通过安全容器，不同容器之间的内核、计算资源、网络都是隔离开的，保护了Pod的资源和数据不被其他Pod抢占和窃取。 CCE Turbo集群下单节点支持普通容器和安全容器，您可以根据业务需求选择使用，两者的区别如下： 分类 安全容器 Docker普通容器 Containerd普通容器 容器所在节点类型 物理机 虚拟机 虚拟机 容器引擎 Containerd Docker Containerd 容器运行时 Kata runC runC 容器内核 独占内核 与宿主机共享内核 与宿主机共享内核 容器隔离方式 轻量虚拟机 Cgroups和Namespace Cgroups和Namespace 容器引擎存储驱动 Device Mapper OverlayFS2 OverlayFS Pod Overhead 内存：100MiBCPU：0.1CorePod Overhead为安全容器本身资源占用。比如Pod申请的limits.cpu 0.5Core和limits.memory 256MiB，那么该Pod最终会申请0.6Core的CPU和356MiB的内存。 无 无 最小规格 内存：256MiBCPU：0.25Core安全容器的CPU核数（单位为Core）与内存（单位为GiB）配比建议在1:1至1:8之间。例如CPU为0.5Core，则内存范围建议在512MiB4GiB间。 无 无 容器引擎命令行 crictl docker crictl Pod的计算资源 CPU和内存的request和limit必须一致 CPU和内存的request和limit可以不一致 CPU和内存的request和limit可以不一致 hostnetwork 不支持 支持 支持

本文介绍天翼云花卷慧办的产品定义。 产品定义 花卷慧办是一款面向现代企业的一体化协同办公平台，依托息壤算力，以多模态AI智能引擎为核心驱动为客户提供企业级智能办公平台。本产品集成了消息、日程管理、待办任务、在线会议、空间、知识库管理、防钓鱼邮件客户端和办公智能体等核心功能模块，形成一个一站式的智能办公解决方案。它采用云端架构，支持多端同步，用户可在PC、Mac、iOS、Android等设备上无缝使用，满足日常办公和远程协作需求。 云会议 提供高清流畅、便捷易用、安全可靠的会议服务，随时随地高效开会。 云空间 集成企业文档和个人文件存储，包含企业空间、协作空间、个人空间等。 防钓鱼邮件客户端 防钓鱼邮件客户端，通过本地规则引擎、云端情报、慧泽大模型等能力全面增强检测准确率，并实时反馈是否为钓鱼邮件。 知识库 实现知识的快速存储、检索和更新，方便企业随时随地访问和共享知识资源。 智能体 能主动对接办公场景中 “日程待办、会议创建、信息查询” 等多维度需求，为用户提供 “一站式、个性化、预判式” 办公支持的智能化交互模块。

本章节为您介绍容器的安装与配置 为集群安装Agent 企业主机安全支持防护云CCE集群，本章节为您介绍如何为这些资产安装Agent。 背景信息 HSS在提供“容器安装与配置”功能之前，提供了“集群Agent管理”功能实现集群容器资产接入HSS，但通过“集群Agent管理”功能接入HSS的集群资产，无法使用部分容器相关功能，例如容器防火墙、容器集群防护等。 因此HSS在Linux Agent 3.2.12及以上版本、Windows Agent 4.0.23及以上版本提供“容器安装与配置”功能，替代“集群Agent管理”功能，以实现将集群资产完全接入HSS，并能使用HSS提供的所有容器相关功能。 如果您此前使用“集群Agent管理”功能接入了集群资产，为了您能够享受到更好的容器安全防护服务，建议您为集群卸载Agent，再通过本章节提供的接入方式，重新接入集群资产。 ANPAgent说明 非CCE集群安装HSS Agent过程中涉及集群连接组件（ANPAgent），集群连接组件（ANPAgent）的作用是用于打通企业主机安全到集群的通信，和HSS Agent是两个独立的组件，因此请您注意区分。 为云CCE集群安装Agent 操作场景 本指导适用于在云CCE集群上安装Agent，按照本指导配置完成后，HSS将自动在集群节点上安装Agent，并能够随集群扩容自动为新节点安装Agent，在集群缩容时同步卸载Agent。

本节介绍如何配置API安全的策略，包括自定义业务用途规则、自定义API生命周期判定标准。 配置业务用途 业务用途用于标识API的用途，您可以根据业务需要，创建自定义业务用途，并对策略状态进行管理。 新增业务用途规则 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > 策略配置”，进入API策略配置页面。 5. 在“业务用途”模块，单击右下角的“配置”，进入业务用途配置页面。 6. 在业务用途配置页面，单击“新增策略配置”，进入新建业务用途规则页面。 7. 在新建业务用途规则页面，配置业务用途规则参数，配置完成后，单击“确定”。 业务用途规则参数说明如下： 参数 说明 业务用途 自定义业务用途的名称，长度为210字符。名称不允许重复，不允许以“默认”命名。 匹配条件 支持输入匹配条件对特征进行匹配： 匹配字段：支持请求路径、请求参数、请求HOST、请求方法、响应内容类型五个字段。 逻辑符：支持“正则匹配”。 最多支持5个条件，多个条件之间为或关系。 优先级 请输入1~100的整数，数字越大，代表这条规则的优先级越高。若配置的优先级数字相同，则创建时间越晚，优先级越高。

配置说明 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请您提供如下信息： IPv4和IPv6用户与IPv4和IPv6源站对应关系；如存在IPv4或IPv6用户有多个源站，请说明不同源站的主备和权重关系。 不在指定范围内的用户，具体回哪个源站；如存在多个源站，请说明不同源站的主备和权重关系。

本小节为云防火墙故障排查类常见问题。 配置CFW防护策略后，业务无法访问怎么办？ 问题描述 当您在CFW上配置防护策略后，业务流量出现异常，例如： EIP无法访问公网 无法访问某个服务器 无法访问指定域名 排查思路 序号 可能原因 处理措施 1 非CFW造成的流量中断 解决方法请参考“原因一：非CFW造成的流量中断”。 2 防护策略阻断流量 解决方法请参考“原因二：防护策略阻断流量”。 3 入侵防御阻断流量 解决方法请参考“原因三：入侵防御阻断流量”。 原因一：非CFW造成的流量中断 可以在云防火墙控制台，关闭防护，观察业务情况，如果业务仍未恢复，说明非CFW造成的流量中断。 关闭防护的方式如下： EIP流量故障：关闭CFW对业务中断的EIP的防护，请参见“关闭EIP防护”。 SNAT或VPC间访问不通：关闭VPC边界防火墙的防护，请参见“开启/关闭VPC边界防火墙并确认流量经过云防火墙”。 如果业务仍未恢复，可参考常见的故障原因： 网络故障：路由配置错误，网元故障。 策略拦截：其它安全服务、网络ACL或安全组配置错误导致的误拦截。

本节介绍了修复节点操作系统CVE漏洞的用户指南。 节点操作系统中的CVE漏洞可能导致集群出现远程代码执行、数据泄露与篡改、服务中断等问题，威胁集群的安全性、稳定性、和合规性。使用操作系统（OS）CVE漏洞修复功能，扫描节点上的安全漏洞，获取修复建议和方法，快速修复出现的漏洞威胁。 本文主要介绍如何使用修复节点操作系统CVE漏洞功能。 前提条件 本功能是天翼云服务器安全卫士（原生版）提供的高级功能，使用时需要开通服务器安全卫士（原生版）的企业版或旗舰版，且保证配额大于或等于集群节点数量。云容器引擎不额外收取费用。具体操作，请参见开通服务器安全卫士（原生版）、计费模式。 因节点修复漏洞需要拉取外部软件源，所以请确保在修复前节点有公网访问能力。开通公网能力可参考使用SNAT访问公网或绑定弹性IP。 约束与限制 CVE的兼容性由服务器安全卫士（原生版）保证，请自行检查集群应用与CVE的兼容性。 如果您的CVE漏洞修复时需要通过重启节点来实现，请在重启节点前将业务Pod调度到其他节点。 同一时间段内，一个节点池中仅支持一个CVE漏洞修复任务运行。

云环境配置 菜单项进入配置管理云环境配置，点击添加，参考如下示例填入对应信息：名称，区域ID，服务节点域名，Agent桶域名（天翼云目标端云环境的agent桶在贵州资源池，域名为obs.cngz1.ctyun.cn/smsagent20rda），对应资源池模板信息可参考云环境配置模板。 示例图：杭州资源池 点击确定，完成云环境添加。 云账号配置 菜单项进入配置管理云环境配置，点击添加，参考如下示例填入对应信息 点击确定，完成云账号创建。

本文主要介绍VPC流日志功能及使用限制。 使用场景 使用VPC流日志功能，可以帮您采集指定VPC内网络实例的流量信息，包括入方向和出方向的流量。创建流日志后，您可以在配置的日志组中查看流日志记录。 通过流日志功能，可以满足以下业务场景的需求： 监控安全组和网络ACL的流量，帮您优化安全组和网络ACL的控制规则。 监控网络实例的流量情况，可以进行网络攻击分析等。 用于判断网络接口上出入流量的方向。 系统采集流日志数据不会影响您实际网络的吞吐量或者时延等，您可以根据需求创建或者删除流日志，不会对实际运行的网络造成任何风险。 注意 VPC流日志功能本身是免费的，但需要为使用过程中用到的其他云资源付费。例如，流日志数据存储在云日志服务中，将按云日志服务的标准收费，详情请参考云日志服务用户指南。 说明 VPC流日志功能支持区域： 华北华北，广东广州4，北京北京2，江苏苏州, 重庆重庆，陕西西安2，上海上海4，贵州贵州，湖南长沙2，福建福州，浙江杭州，湖北武汉2，四川成都3，江西南昌 VPC流日志数据说明 您可以为网卡、子网、虚拟私有云创建流日志。如果流日志的采集对象是子网或者虚拟私有云，则会监控子网或者虚拟私有云内的每个网络接口。 被监控的网络接口的流量将会被采集，生成流日志数据，流日志数据中包括流量的网卡ID，源地址、目的地址、源端口、目标端口以及数据包大小等字段。