参数类型 参数 说明 基础配置 计费模式 实例目前仅支持包年/包月模式，Logstash实例与关联的Elasticsearch或OpenSearch实例保持一致，续费会一并延期。 基础配置 订购周期 Logstash实例订购时间与关联的Elasticsearch或OpenSearch实例保持一致，可独立退订。 基础配置 当前区域 与关联的Elasticsearch或OpenSearch实例保持一致，不可更改。 基础配置 可用区 选择实例所在工作区域下关联的可用区，目前Logstash仅支持单可用区。 网络配置 虚拟私有云 网络配置遵循关联的Elasticsearch或OpenSearch实例保持一致，不可更改。 网络配置 子网 网络配置遵循关联的Elasticsearch或OpenSearch实例保持一致，不可更改。 网络配置 安全组 网络配置遵循关联的Elasticsearch或OpenSearch实例保持一致，不可更改。 配置实例 实例名称 您可自定义实例名称，可输入的字符范围为长度为0~32个字符，只能包含数字、字母、中划线（）和下划线（ ），且不以下划线（ ）或连字符（）开头。 配置实例 实例类型 Logstash加装页面仅提供Logstash组件。 配置实例 实例版本 选择所需的实例版本，支持的版本以页面可选项为准。 选购节点 实例节点数 实例中需要部署节点数。 选购节点 CPU架构 目前支持X86类型。 选购节点 单节点规格 实例的节点规格可按需选购，同一实例仅支持一种规格，请确认后下单。 选购节点 单节点存储 您可根据业务数据容量评估，选购合适的单节点存储量，创建完成后，不支持缩容节点存储容量，请基于业务量合理选择容量。

本文介绍天翼云APP支持的管理工具 天翼云APP提供包括业务服务、财务工具、会员账号、开发运维等四类服务/工具，用户可根据分类选择需要使用的服务/工具 更多服务/工具正在接入中，敬请期待 管理常用工具 天翼云APP支持设置常用工具，用户可根据日常使用需要，添加常用工具入口，快速启动工具。 1、点击【更多应用】查看全部服务/工具 2、点击【编辑】按钮，添加或删除常用工具 3、点击【+】即可添加至常用工具，常用工具可点击【】删除，常用工具支持通过拖拽调整顺序

1. 验证备案类型 登录天翼云备案系统并填写信息，系统将根据您所填写的主体和域名信息，自动识别对应的备案类型并生成备案订单。 2. 填写备案信息 根据系统提示填写相关的主体信息和网站/APP信息，上传证件照片等备案材料，并完成真实性核验。确认信息无误后，提交至天翼云进行初审。 3. 天翼云初审 天翼云将1个工作日内进行初审，审核期间我们会拨打您备案信息中的联系电话进行沟通，请保持电话畅通。 4. 短信核验 天翼云将您的备案订单提交管局后，工信部系统会自动下发短信验证码（发信号码为12381），您需在24小时内，点击短信中的链接进行短信核验。 5. 管局审核 管局将在20个工作日内对您的备案资料进行审核。 6. 审核结果 备案完成审核通过以后，会发送邮件至您主体负责人邮箱；天翼云也会通知网站负责人，告知管局审核结果；您也可以登录备案系统查看已备案具体信息。

本节介绍如何创建并管理容器防篡改策略。 添加文件防篡改策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 文件防篡改”，进入文件防篡改页面。 3. 单击“添加策略”，进入添加策略页面。 4. 在新建策略页面输入策略名称（必填）和描述信息（非必填），选择或输入目标对象（支持通配符），设置监控路径。 5. 单击“保存”按钮，系统提示保存成功，安全策略设置完毕。 管理文件防篡改策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 文件防篡改”，进入文件防篡改页面。 3. 查找策略：搜索框支持按策略名称、启用状态查找目的策略。 4. 策略管理：在策略列表内，支持对已添加策略进行查看、编辑、删除、开启、关闭。

本章节介绍如何创建敏感数据识别任务。 数据安全中心DSC将根据您创建的识别任务，自动识别敏感数据并生成识别数据和结果，自动识别的范围在选定的OBS桶、数据库、大数据或MRS。 在创建任务时，可以选择多个场景的规则组，实现为同一资产配置多个场景的扫描任务。 前提条件 已添加OBS、数据库或大数据源资产，具体操作请参见资产列表。 已创建敏感数据规则组，具体操作请参见新增敏感数据规则组。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中，选择“敏感数据识别 > 识别任务”，进入“识别任务”页面。 4. 在敏感数据任务列表的左上角，单击“新建任务”。 5. 在弹出的“新建任务”对话框中，配置任务基本信息，相关参数说明如下表所示。 参数 参数说明 取值样例 开启任务 是否开启敏感数据识别任务，系统默认开启任务。 任务名称 您可以自定义敏感数据识别任务名称。 任务名称需要满足以下要求： 1~255个字符。 字符可由中文、英文字母、数字、下划线或中划线组成。 任务名称不能与已有的任务名称重复。 数据类型 选择识别的数据类型。可多选。 OBS，添加OBS资产，参考添加OBS资产章节。 数据库，添加云数据库资产，参考添加云数据库章节。 大数据，添加大数据源资产，参考添加大数据源资产章节。 MRS，添加Hive资产，参考添加MRS资产。 数据库 识别规则组 选择识别任务需要使用的规则组，可多选。可参考新增敏感数据规则组章节创建规则组。 识别模式 选择检测任务的扫描模式： 快速识别：根据规则组进行扫描，实现数据分布快速识别。 全量识别：在规则组的基础上加入自然语义处理NLP能力，扫描速度相对较慢，识别率更高。 快速扫描 识别周期 选择任务的识别周期： 单次：根据设置的执行计划，在设定的时间执行一次该识别任务。 每天：选择该选项，需要设置“启动时间”，即在每天的固定时间执行该识别任务。 每周：选择该选项，需要设置“启动时间”，即在设定的时间以及每周这一时间点执行该识别任务。 每月：选择该选项，需要设置“启动时间”，即在设定的时间以及每月这一时间点执行该识别任务。 单次 执行计划 “扫描周期”选择“单次”时，显示该参数。 立即执行：选择该选项，保存后，可以在当前立即执行一次该识别任务。 定时启动：在指定时间执行一次该识别任务。 立即执行 启动时间 “扫描周期”选择“每天”、“每周”、“每月”时，显示该参数。 设置识别任务的具体启动时间。设置后，会在指定时间以及每天或者每周或者每月的该时间点执行一次识别任务。 通知主题 单击下拉列表选择已创建消息通知主题或者单击“查看通知主题”创建新的主题，用于配置接收告警通知的终端。 告警通知的具体操作请参见告警通知。 6. 单击“确定”，完成敏感数据识别任务的创建。

本文帮助您快速熟悉虚拟私有云VPC的创建。 操作场景 当需要为您的弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境时，首先要申请虚拟私有云。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在“虚拟私有云列表”界面，单击“创建虚拟私有云”。 5. 在“申请虚拟私有云”页面，根据界面提示配置参数。 参数 说明 取值样例 资源类型 创建VPC支持两种资源类型： （1）VPC：包含VPC、子网、网关等基本网络要素配置 （2）VPC和扩展选项：除了VPC基本网络要素配置之外还可以创建ZOS终端节点、关联DHCP选项集。通过ZOS终端节点可以实现内网对ZOS的便捷访问。 VPC 名称 VPC名称 VPC001 VPC网段(IPv4) VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。建议使用网段：10.0.0.0/828、172.16.0.0/1228、192.168.0.0/1628。如果要使用其他网段，请参考VPC网段和扩展网段。 192.168.0.0/16 VPC网段（IPv6） 是否分配虚拟私有云VPC的IPv6地址，仅部分可用区资源池支持为VPC开启IPv6，不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 开启 IPv6地址类型 开启IPv6的情况下，显示此选项，默认仅支持中国电信单线。 中国电信单线 VPC IPv6地址段 开启IPv6的情况下，显示此选项。 自动分配: 系统会在客户选定的IPv6地址类型中自动分配一个56位的可用网段。 手动分配：您可以输入十进制数字，来自定义VPC的IPv6网段。 IPv6地址类型为中国电信单线时，仅支持自动分配。 自动分配 企业项目 可以为VPC实例关联企业项目 project1 VPC描述 备注信息 测试VPC 子网配置 子网类型 普通子网：默认选项，此类子网中可以用于创建除标准裸金属服务器外的资源，推荐选择； 标准裸金属子网：仅支持创建标准裸金属服务器和虚拟IP，仅部分可用区资源池支持此选项；不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 普通子网 子网名称 子网的名称 Subnet001 子网网段(IPv4) 子网的地址范围，需要在VPC的地址范围内 192.168.0.0/24 网关(IPv4) 子网的网关，默认为子网内第一个可用IP。 对于可用区资源池，网关地址默认为.1,不可以指定其他地址（部分可用区资源池指定其他地址；不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准）。 对于地域资源池，网关地址默认为.1,可以指定其他地址。 192.168.0.1 DHCP(IPv4) 子网的DHCP地址，仅部分可用区资源池支持指定；不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 192.168.0.2 子网IPv6网段 开启IPv6功能后，将自动为子网分配IPv6网段，但您不能选择IPv6地址范围 开启 子网IPv6地址段 子网开启IPv6的情况下，显示此选项。 自动分配: 系统会在客户选定的IPv6地址类型中自动分配一个56位的可用网段。 手动分配：您可以输入十进制数字，来自定义VPC的IPv6网段。 IPv6地址类型为中国电信单线时，仅支持自动分配。 仅部分可用区资源池支持此选项；不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 自动分配 DNS服务器地址 部分可用区资源池默认值为100.95.0.1，该地址为天翼云DNS服务的地址，支持解析内网域名和公网域名；其他资源池默认值为114.114.114.114、8.8.8.8 100.95.0.1 子网描述 备注信息 测试子网

迁移工具说明 工具/命令/服务 特点 说明 DCS控制台数据迁移功能 操作简单，同时支持全量同步+增量同步 数据迁移涉及到SYNC/PSYNC命令，当源Redis实例开放了SYNC/PSYNC命令时， 支持全量同步+增量同步，否则仅支持全量同步 Rediscli Redis自带命令行工具，支持将RDB文件、AOF文件整库导入 RedisShake 在线迁移和离线迁移均支持的一款开源工具。 自行开发迁移脚本 灵活，可根据实际场景进行定制化适配 迁移方案 说明 自建Redis，指的是在天翼云以外的服务器搭建的Redis实例。 在线迁移能力目前为白名单特性，如需要使用该特性，请联系技术支持开通后使用。 迁移场景 工具 方案 迁移说明 自建Redis迁移至DCS DCS控制台数据迁移功能 使用在线迁移自建Redis 不同Region，可开通云间高速，打通网络 同Region不同VPC，可开通对等连接，打通网络 自建Redis迁移至DCS Rediscli 使用Rediscli迁移自建Redis（AOF文件） 自建Redis迁移至DCS Rediscli 使用Rediscli迁移自建Redis（RDB文件） 自建Redis迁移至DCS RedisShake 使用RedisShake工具迁移自建Redis Cluster集群 其他云厂商Redis服务迁移至DCS DCS控制台数据迁移功能 使用在线迁移其他云厂商Redis 其他云厂商Redis服务迁移至DCS RedisShake 使用RedisShake工具离线迁移其他云厂商Redis Cluster集群 DCS实例间迁移 DCS控制台数据迁移功能 低版本Redis迁移至高版本Redis实例。 如网络互通，建议使用在线迁移功能迁移Redis实例数据 如网络不通，建议打通网络后，再使用在线迁移功能迁移Redis实例数据 1、网络连通 不同Region，可开通云间高速，打通网络 同Region不同VPC，可开通对等连接，打通网络 2、高版本Redis迁移至低版本Redis实例 不建议，否则极易出现命令兼容问题，导致迁移中断 DCS实例间迁移 DCS控制台数据迁移功能 不同Region的Redis实例迁移，建议打通网络后，再使用在线迁移功能迁移Redis实例数据 1、网络连通 不同Region，可开通云间高速，打通网络 同Region不同VPC，可开通对等连接，打通网络 2、高版本Redis迁移至低版本Redis实例 不建议，否则极易出现命令兼容问题，导致迁移中断 DCS实例间迁移 DCS控制台数据迁移功能 不同账号的Redis实例迁移，建议使用在线迁移功能迁移Redis实例数据 1、网络连通 不同Region，可开通云间高速，打通网络 同Region不同VPC，可开通对等连接，打通网络 2、高版本Redis迁移至低版本Redis实例 不建议，否则极易出现命令兼容问题，导致迁移中断 DCS实例间迁移 DCS控制台数据迁移功能 同Region不同VPC下的Redis实例迁移，建议打通网络后，再使用在线迁移功能迁移Redis实例 1、网络连通 不同Region，可开通云间高速，打通网络 同Region不同VPC，可开通对等连接，打通网络 2、高版本Redis迁移至低版本Redis实例 不建议，否则极易出现命令兼容问题，导致迁移中断 DCS实例迁移下云 DCS控制台数据迁移功能 DCS实例迁移下云 建议打通网络后，使用线迁移功能进行数据迁移

查看弹性负载均衡使用流量 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 在控制中心页面，依次选择“管理与部署>云监控”。 4. 在云监控左侧列表，选择“云服务监控 > 负载均衡监控”。 5. 在负载均衡监控页面，找到需要查看的负载均衡名称，点击“查看监控图表”，进入到负载均衡监控详情页。 6. 在负载均衡监控详情页，可以查看新建连接数、并发连接数、网络流入速率、网络流出速率等，并且可以支持查看“1小时”、“3小时”、“12小时”、“24小时”、“7天”、“15天”的数据。

本文主要介绍如何通过对象存储导入日志 本文主要介绍如何将天翼云对象存储的数据导入到云日志服务，实现数据的查询分析、加工等操作。 注意 当前功能为白名单试用阶段，仅在华北2资源池开放。 创建数据导入任务 1. 登录云日志服务控制台。 2. 左侧菜单栏点击“日志接入”，进入接入管理页面 3. 在“数据导入”模块中，点击“对象存储ZOS数据导入” 4. 选择目标日志项目和日志单元，单击下一步。 5. 设置接入配置，配置如下参数，确认无误后，单击下一步。 参数 说明 接入配置名称 导入任务的唯一标识 ZOS存储桶 待导入的文件所在的存储桶 文件路径前缀过滤 可通过文件路径前缀过滤对象存储文件，用于准确定位待导入的文件。比如待导入的文件都在nginx/目录下，则可以指定前缀为nginx/。 如果不设置该参数，则遍历整个对象存储的存储桶。 文件路径正则过滤 通过文件路径的正则表达式过滤对象存储文件，用于准确定位待导入的文件。当对象存储的文件名（包含文件路径）匹配该正则表达式的文件才会导入到日志服务中。默认为空，表示不过滤。 文件修改时间过滤 通过文件修改时间过滤对象存储文件，用于准确定位待导入的文件。 所有：表示将导入所有符合条件的文件 某时间开始：只导入某个时间点后修改过的文件 特定时间范围：只导入某个时间范围内修改过的文件 压缩格式 待导入的对象存储文件的压缩格式，云日志服务根据对应格式进行解压，并读取数据。 检查新文件周期 若目标对象存储中的文件路径中有新文件持续不断产生，可以设置检查新文件周期。设置后，导入任务会一直在后台运行，自动周期性地发现并读取新文件。 若目标对象存储文件路径中不再产生新文件，可设置为永不检查，即导入任务读取完所有符合条件的文件后，将自动退出。 文件编码 选择待导入的对象存储文件的编码格式，仅支持UTF8和GBK。 数据格式 设置日志文件的解析格式： 单行文本：将对象存储文件中的每一行解析为一条日志。 跨行文本：多行模式，需要设置行首正则表达式解析日志。 单行JSON：将逐行读取对象存储文件，并将每一行作为一个JSON对象进行解析。解析后，JSON中的各个字段将映射为日志的各个字段。 6. 创建索引。默认开启全文索引，您也可以根据需要手动创建字段索引用于字段查询。 7. 点击完成，即可完成导入任务创建。等待1分钟左右，在查询日志界面能查询到日志，则说明导入成功。

本节主要介绍了STS临时授权功能的典型场景和具体使用方法。 应用场景 某企业X开发了一款移动应用（App），并使用OOS服务。App需要直连OOS上传或下载数据，但是App运行在用户自己的移动设备上，这些设备不受企业X的控制。企业X有如下要求： 直传数据：企业X不希望所有App都通过企业的服务端应用服务器（Application Server）来进行数据中转，而希望能够直连OOS上传或下载数据。 安全管控：企业X不希望将访问密钥（AccessKey）保存到移动设备中，因为移动设备是归属于用户控制，属于不可信的运行环境。 风险控制：企业X希望将风险控制到最小，每个App直连OOS时都必须拥有最小的访问权限且访问时效需要很短。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体操作 应用服务器在OOS上为每个APP创建一个IAM用户，并为每个IAM用户附加最小的访问权限（如调用STS接口、仅对自己目录下的资源有所有权，对于其他用户的目录无权限）。当移动应用（App）直连OOS上传或下载数据时，App需要向应用服务器申请访问凭证。应用服务器以该APP的IAM用户身份，调用STS API接口获取临时安全访问凭证，并将临时安全访问凭证传递给App，App使用临时安全访问凭证访问OOS。 具体步骤如下所示： 1. OOS为应用服务器创建IAM用户并附加权限策略。具体策略可参考下列示例： { "Version": "20121017", "Statement": [ { "Sid": "AllowListAllBuckets", "Effect": "Allow", "Action": [ "oos:ListAllMyBucket" ], "Resource": "" }, { "Sid": "AllowListYourselfFolder", "Effect": "Allow", "Action": [ "oos:ListBucket" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname" ], "Condition": { "StringLike": { "oos:prefix": [ "${ctyun:username}/" ] } } }, { "Sid": "AllowControleYourselfFolder", "Effect": "Allow", "Action": [ "oos:GetObject", "oos:ListMultipartUploadParts", "oos:DeleteObject", "oos:PutObject", "oos:DeleteMultipleObjects", "oos:AbortMultipartUpload" ], "Resource": [ "arn:ctyun:oos::2hlo7dkswa22t:bucketname/${ctyun:username}/" ] }, { "Sid": "AllowCallSTS", "Effect": "Allow", "Action": [ "iam:GetSessionToken" ], "Resource": "" } ] } 2. APP向应用服务器申请临时访问凭证。 3. 应用服务器调用STS接口获取临时安全访问凭证。 请求示例 POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn xamzdate: Tue, 21 Aug 2012 17:54:50 GMT ContentMD5: 8dYiLewFWZyGgV2Q5FNI4W Authorization:AWS fad0e782cd5132563e38:xQE0diMbLRepdf3YB+FIEXAMPLE ContentLength: 445 ActionGetSessionToken&DurationSeconds129600 响应示例 HTTP/1.1 200 OK xamzrequestid: 996c76696e6727732072657175657374 Date: Mon, 1 Nov 2010 20:34:56 GMT ContentType:text/xml;charsetUTF8 ContentLength: 533 Server: CTYUN 8b2b75f5a04e458b0da3a01602e78b089528b915c2 sts.6b7fd 17b69c15f 20230427T13:52:08.282Z 62c80e3868a14804 4. 应用服务器将获取的临时安全访问凭证传递给APP。 5. APP使用临时安全访问凭证访问OOS资源，进行数据直传。 调用时输入步骤3返回的信息： AccessKeyId：sts.6b7fd SecretAccessKey：17b69c15f SessionToken：8b2b75f5a04e458b0da3a01602e78b089528b915c2 注意 由于生成的临时安全访问凭证是默认继承IAM用户的权限，所以我们在为IAM用户创建策略的时候，仅分配STS接口权限和所需操作的最小权限，不推荐分配CreateUser、CreateAccessKey、UpdateLoginProfile等权限，以防止临时安全访问凭证权限过大。

本页重点介绍通过天翼云官网门户退订数据迁移实例的过程。 操作步骤 1、登入天翼云门户。 登录天翼云 2、进入数据传输服务DTS控制台。 在天翼云门户首页顶部菜单栏，点击“控制中心”进入【控制中心】页面。 在【控制中心】页面顶部的资源池下拉列表框中选择相应资源池（目前仅支持上海36/华东1/西南1 ），找到页面中的“数据库”服务列表，选择“数据传输服务DTS”，进入DTS控制台。 在控制台左侧菜单栏点击“数据迁移”，进入【数据迁移】实例列表页面。 3、在实例列表，选择目标实例，点击“更多”>“退订”。 在【数据迁移】实例列表页面中，点击需要退订的迁移实例的操作列中的“更多”下拉菜单，点击“退订”，跳转到【退订】页面。 注意 当实例状态为“开通中”和“续订中”时，退订菜单不能点击。 当实例为其他状态时“退订”菜单可点击。 4、点击确认，完成退订。 在【退订】页面，点击“确认”按钮，页面提示退订中。 过程需要消耗一段时间，退订成功后，原有实例将被“冻结”，退订后底层数据保留固定时间（以天为单位）。

本节介绍人脸识别产品快速入门的入门前的准备工作。 步骤一：成为天翼云用户 注册天翼云账号 打开天翼云官网，点击右上角【免费注册】按照操作提示完成账号注册。 天翼云账号实名认证 天翼云账号需要进行实名认证后，才可以购买和使用产品，请务必完成实名认证操作。 进入账号中心页面，在左侧导航栏，点击【实名认证】，按照操作提示完成账号实名认证。 如果您是企业用户，推荐进行企业认证，以便获取更多便利。更多实名认证操作信息，请参见实名认证。 步骤二：产品购买 产品购买详细步骤请查看产品购买。 步骤三：创建应用及开通应用 创建应用及开通应用操作步骤请查看创建应用及开通应用。

本节介绍如何接入产品日志。 打开云安全中心的设置>集成配置，在集成配置中选择需要接入的日志类型。部分日志支持直接转告警，可以直接打开转告警开关，云安全中心会根据内置转告警规则进行转告警配置。 接入流程如下： 1. 登录云安全中心控制台。 2. 选择“设置 > 数据源监控”，打开数据源监控页面。 3. 在操作列点击“启用”，确保数据源监控处于启用状态。 4. 选择“设置 > 集成配置”，打开数据集成配置页面。 5. 选择需要接入的日志，并打开日志接入开关。 6. 选择需要转告警的日志，并打开自动转告警的开关。 说明 系统默认会接入部分日志，用户如有需要，可以自行关闭。 需要先在数据源监控页面启用开关后，才可以在集成配置页面中开启日志和告警配置。 选择需要接入的日志时，只能针对您已经购买的云产品。 选择需要转告警的日志，只能针对已经选择接入的日志进行。

相关操作 编辑白名单策略 如果创建策略完成后，您需要修改策略模式、防护动作或防护的服务器，您可以编辑白名单策略。 1、在目标策略所在行的操作列，单击“编辑”。 2、在编辑策略弹窗中完成信息修改后，单击“确认”。 删除白名单策略 如果不再需要企业主机安全为您的某个策略中关联的所有服务器提供应用进程控制防护，且无需保留企业主机安全已学习到的应用进程信息，您可以删除白名单策略。删除后，如果后续再次开启应用进程控制，企业主机安全需要重新学习服务器，请谨慎操作！ 1、在目标策略所在行的操作列，单击“删除”。 2、在弹窗中，单击“确认”。 确认学习结果 企业主机安全学习完白名单策略关联的服务器后，输出的学习结果中可能存在一些特征不明显的可疑进程需要再次进行确认，您可以手动或设置系统自动将这些可疑进程确认并分类标记为可疑、恶意或可信进程。 学习结果确认方式，在创建白名单策略时可设置： “学习结果确认方式”选择的“自动确认可疑进程”：系统将根据应用进程情报自动对可疑进程进行分类标记。 “学习结果确认方式”选择的“手动确认可以进程”：您需要手动对可疑进程进行分类标记。具体操作您可以参考本章节。 前提条件 已完成策略创建，且策略状态为“学习完成，未生效”。具体操作请参见创建白名单策略。

本文介绍如何在组网配置中如何查看和分析网络拓扑。 背景说明 AOne零信任网络通过分支网关将企业的分支、总部、IDC 机房或者云服务就近接入AOne网络（POP 节点），进而在云上实现企业分支网络的互联互通，分支机构互联情况则可以通过网络拓扑进行直观的分析和处理。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任网络组网管理，查看组网配置列表。 4. 点击需要修改的组网配置，点击网络拓扑。 网络拓扑 可选择图形或地图，并选择对应的分支机构，来查看分支机构的网络拓扑。

托管检测与响应服务（原生版）具备724小时检测响应、SOAR、威胁感知、护航保障等核心能力。 724小时威胁检测与响应 全天候提供威胁检测与响应，通过汇聚云上安全产品数据，集中检测分析，及时发现威胁，快速处置。 SOAR自动处置 通过编排处置能力，秒级响应安全事件，并通过剧本库，持久化安全场景。 高级别威胁感知 通过集成漏洞库、威胁情报，实时感知高危漏洞开放及国内外APT攻击。 护航保障 提供护航保障服务，解决重要时期网络安全保障需求。

本文介绍边缘接入服务里的DDoS与安全与加速服务里的DDoS高防的区别。 边缘接入服务中的DDoS防护，是通过四层接入，因此DDoS防护支持TCP、UDP、ICMP网络协议防护，如SYN Flood、ACK Flood、空连接等；但不提供七层防护能力，如CC防护。 而安全与加速服务中的DDoS防护，是通过七层接入，因此DDoS防护支持L37层防护能力。

违法信息 指涉及电信诈骗、胡乱发布新闻、淫秽色情、未经授权的仇恨性言论等违反法律法规、伦理道德和公序良俗的信息，会对个人和社会造成负面影响。 垃圾信息 指无用的、欺诈性的、骚扰性的或与特定上下文无关的信息。这些信息可能通过短信、电话、电子邮件、社交媒体等方式传播，给人们的生活带来不必要的麻烦和困扰。 国家敏感信息 指涉及国家机密、秘密，或对国家利益、公共利益有重大影响的信息，包括但不限于军事、国防、外交、经济等方面的信息。这些信息的泄露或未经授权的访问可能会对国家的安全和利益造成严重威胁。 稳定信息 指与社会和谐、国家政治稳定等相关的内容。稳定信息关乎社会的稳定和国家的政治安全，需要进行严格的审核和监管。 安全信息 指与网络安全、个人信息安全相关的内容，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露。 法律信息 指与法律相关的内容，包括各种法律法规、判例、法律解释、法律理论、法律实践等方面的信息。 社会事件 指在社会生活中发生的、对社会发展产生重大影响的、具有新闻价值和历史意义的重要事件。社会事件可能涉及政治、经济、文化、科技、体育等多个领域，并具有广泛的关注度和影响，如灾害、事故、社会安全等。

本小节介绍态势感知应用场景，态势感知主要用于边界安全应用场景。 重点行业信息系统 能源、金融、交通、教育、医疗、市政、电信与互联网、政府部门等支撑关键业务的信息系统。态势感知将通过监控网络资产状态，结合威胁情报、脆弱性检测、威胁检测及时有效地发现网络资产是否存在挖矿勒索系统后门及告警网络攻击，通过漏洞扫描与基线扫描，直观地了解自身的安全状况，同时动态实时地监控管理业务资产。 电子政务和门户 各级党政军门户网站，教育类网站，重大活动及会议保障， 重点新闻网站等。态势感知将通过监控网络资产状态，结合威胁情报、脆弱性检测、威胁检测及时有效地发现网络资产是否存在挖矿勒索系统后门及告警网络攻击，通过漏洞扫描与基线扫描，直观地了解自身的安全状况，同时动态实时地监控管理业务资产。 大型互联网平台 注册用户、订单额或交易额较大，一旦发生网络安全事故，产生较严重影响，如敏感信息泄露、基础数据泄露等。态势感知将通过监控网络资产状态，结合威胁情报、脆弱性检测、威胁检测及时有效地发现网络资产是否存在挖矿勒索系统后门及告警网络攻击信息泄露安全事件，通过漏洞扫描与基线扫描，直观地了解自身的安全状况，同时动态实时地监控管理业务资产。

本节介绍如何创建 VLLM 前缀匹配智能路由。 前置条件 前缀缓存匹配依赖分布式缓存服务 Redis 做为 KVCache 分布信息元数据存储服务，因此需要针对智算套件集群创建对应的 Redis 服务，并放开白名单和内网访问端口。 1. 通过控制台查看智算套件集群资源信息，包括“虚拟专有网络 VPC”、“安全组”、“集群子网”等。 如果集群 VPC 包含多个子网，可通过查看“虚拟专有网络 VPC”详情获取多个子网网段，后续创建 Redis 服务需要用到子网网段信息，如下： 2. 前往“分布式缓存服务Redis版”控制台，创建集群对应的 Redis 服务实例。 实例需求： a. Redis 版本大于等于 6.0； b. Redis 和智算集群处于同一 VPC 其它创建参数请结合集群业务需求进行修改。 3. 等待 Redis 服务创建成功，点击实例详情，并设置安全组和白名单，确保集群内服务可以访问 Redis 实例。 实例需求： a. Redis 实例安全组需要放开入方向 6379 端口流量； b. Redis 实例需要将集群子网网段添加到白名单； 1）点击查看实例详情 2）添加集群子网网段到 Redis 白名单 3）查看 Redis 实例安全组，并前往网络控制台修改安全组规则，添加放开入方向 6379 端口规则 点击修改可以查看安全组编码，复制并前往网络控制台 通过搜索查询到对应的 Redis 实例的安全组，并添加规则 至此，创建前缀缓存匹配路由所需的 Redis 实例创建并配置完毕。

事件由事件源发出，是事件源状态变化的数据记录。本文介绍事件总线EventBridge的事件参数详情。事件源发布事件到事件总线EventBridge，需遵循CloudEvents 1.0协议。 以下是事件源发布到事件总线EventBridge的示例事件： plaintext { "id":"b5771f7648edb1bad15418c", "source":"ctyun.oss", "specversion":"1.0", "type":"my.source:events", "subject":"my.source:huadong1:{AccountId}:myproject:xxx", "time":"20240305T13:52:18.374Z", "datacontenttype":"application/json;charsetutf8", "data":{ "key":"value", "def":"xxxx" }, "ctyunaccountid":"123456789", "ctyunresourceid":"27aadda411eea6fce8b47009", "ctyuneventbusname":"default", "ctyunregion":"bb9fdb4205610002", } 事件中涉及的参数如下所示。 参数 类型 是否必选 示例值 说明 id String 是 b5771f7648edb1bad15418c 事件ID。标识事件的唯一值。发送端必须确保source +id 是唯一的，如果由于网络等原因事件被重新发送，可能会产生两个相同id 的事件。接收端会认为具有相同source 和id 的事件是重复的。事件通过规则路由到目标、事件被处理时，需要根据id跟踪事件。 source String 是 ctyun.oss 事件源唯一标识。提供事件的服务。标识事件发生的内容。一般会包含事件源的类型，发布事件的机制或生产事件的过程。发送端必须确保每个事件的source +id是唯一的。 specversion String 是 1.0 CloudEvents协议版本。 type String 是 oss:createbucket 事件类型。描述事件源相关的事件类型。该参数用于路由、事件查询和策略执行等。格式由生产者定义，且包含版本等信息。 subject String 否 ctyun.oss:huadong1:{AccountId}:bucketnamexxx 事件主体。在发布订阅模式中，订阅者通常订阅source 发出的事件，当source 中包含子结构时，只使用source 无法对具体事件进行清晰的定义，subject 参数在订阅过滤场景中对data无法解释的内容提供说明。 time Timestamp 否 20240305T13:52:18.374Z 事件产生的时间。如果无法确定事件发生的时间，事件生产者可以把time 设置为其他时间（例如当前时间），但是同一个source的所有生产者设置的值必须是一致的。 datacontenttype String 否 application/json;charsetutf8 参数data 的内容形式。datacontenttype只支持application/json格式。 data Struct 否 { "abc":"1111", "def":"xxxx" } 事件内容。JSON对象，内容由发起事件的服务决定。CloudEvents可能包含事件发生时由事件生产者给定的上下文，data中封装了这些信息。 ctyunaccountid String 否 123456789 天翼云账号ID，选填，不是CloudEvents1.0协议规定的必选字段。 ctyunuserid String 否 123456789 天翼云用户ID，选填，不是CloudEvents1.0协议规定的必选字段。 ctyunresourceid String 否 27aadda4db9411eea6fce8b47009 天翼云资源ID，选填，不是CloudEvents1.0协议规定的必选字段。 ctyuneventbusname String 是 default 接收事件的事件总线名称，必填。如：官方产品专用总线为default，亦可填写用户创建的自定义总线名。 ctyunregion String 否 bb9fdb4205610002 接收事件的地域。如华东一为：bb9fdb4205610002，选填。 事件源发布到事件总线EventBridge的事件有以下两种类型： 天翼云服务事件 天翼云服务作为事件源自动接入事件总线EventBridge，将事件投递到总线名为default的官方总线。关于事件总线EventBridge支持的所有天翼云服务事件类型，请参见天翼云官方事件源概述。 自定义应用事件 您自己的应用作为事件源接入时，需要配置自己的应用使用SDK接入事件总线EventBridge，详见SDK概述。

本文为您介绍修改自定义告警模板的操作场景、前提条件和操作步骤。 操作场景 当您业务发生变更或告警模板不能满足业务需求时，您可以在控制台修改自定义的告警模板。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成自定义告警模板的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警模板”，进入告警模板详情页面。 5. 单击“自定义告警模板”页签，单击目标告警模板所在行的“修改”选项，进入“修改自定义告警模板”页面。 6. 在“修改自定义告警模板”页面，可以对告警规则、模板信息进行修改，也可以单击“添加”按钮，添加新的告警规则。 7. 单击“下一步”，对模板信息进行修改。 8. 单击“确认”按钮，完成修改。

本文介绍事件总线EventBridge的功能特性。 功能集 功能 功能描述 参考文档 事件总线 事件源 事件源是事件的来源，将天翼云服务、自定义应用、SaaS应用等应用程序产生的事件消息投递至事件总线。 事件总线EventBridge支持天翼云官方事件源与自定义事件源。 事件源概述 天翼云官方事件源 管理自定义事件源 事件总线 事件规则 事件规则用于匹配特定类型的事件。当事件成功匹配时，事件会被路由到与事件规则关联的事件目标。 事件模式 事件内容转换 管理事件规则 事件流 事件流 事件流适用于端到端的流式数据处理场景，对源端产生的事件实时抽取、转换和分析并加载至目标端。 管理事件流 网络管理 网络端点 通过访问端点，您可以推送用户用户自定义事件至事件总线EventBridge。 访问端点

本节为您介绍删除智能选路策略的操作场景、前提条件、操作步骤。 操作场景 用户的智能选路策略不再使用时，可以在智能选路页签删除创建好的智能选路策略。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成智能选路规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关实例名称，进入智能网关实例详情页。 5. 单击“智能选路”，单击目标选路策略“操作”列的“删除”。 6. 单击“确定”，删除该策略。 说明 支持批量删除智能选路策略，勾选待删除的目标选路策略，单击列表上方的“批量删除”，弹出“删除提示”，单击“确定”，即可删除选中的所有选路策略。

本节将为您介绍如何创建QoS策略。 操作场景 用户新建QoS策略。要使QoS策略生效，需要创建两条分别针对不同带宽类型（即分别保障SDWAN带宽和互联网带宽）的QoS策略，并将它们关联到同一个智能网关实例上。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成智能网关硬件版的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“QoS策略”，单击“创建QoS策略”按钮，进入创建QoS策略页面。 5. 根据页面提示填写策略参数：针对每条策略，需要设置带宽保障规则，针对每个规则，需要设置限速类型和流规则类型。不同的规则可设置不同的流规则类型。 6. 单击“确定”，完成QoS策略创建。

本节将为您介绍如何注册账号以及进行实名认证。 操作场景 在创建和使用天翼云物理机之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您已拥有天翼云的账号，登录后即可直接创建物理机。目前天翼云账号注册支持“账号注册”和“短信注册”两种方式 账号注册 1. 登录天翼云官网www.ctyun.cn，单击右上角“免费注册”按钮。 2. 选择“账号注册”，填写登录名，设置登录密码，并通过手机验证。 3. 确认协议内容，勾选协议，点击注册，即可完成账号注册。 4. 如需实名认证，请参考账号中心实名认证。 短信注册 1. 登录天翼云官网www.ctyun.cn，点击右上角“免费注册”按钮。 2. 选择“短信注册”，填写手机号，并通过手机验证。 3. 确认协议内容，勾选协议，点击注册，即可完成账号注册。 4. 如需实名认证，请参考账号中心实名认证。

云监控服务插件会每分钟统计一次消耗 CPU Top5的进程，Top5的进程不固定，进程列表中会展示出最近24小时内所有消耗CPU Top5的进程。 查询进程CPU使用率与内存使用率的命令：top 查询当前进程打开文件数命令：lsof或ls /proc/ pid /fd wc l ，其中pid需要替换为待查询的进程ID。 当某个进程占用多个CPU时，由于采集结果为多个CPU的总使用率，因此会出现CPU使用率超过100%的现象。 TOP5进程不固定，进程列表中展示的是近24小时内按一分钟统计周期进入过TOP5的进程。 只有近24小时内进入过TOP5的进程并开启了监控开关的进程才会采集CPU使用率、内存使用率和打开文件数。如满足上述条件的进程已被关闭时，则不会展示此进程的相关数据。 列表中的时间表示该进程创建的时间。 客户端浏览器的时间如果和被监控弹性云主机的时间不一致，可能会出现监控图表无指标数据的情况，请调整本地时间和主机时间保持一致。 查询Top CPU进程数据的操作步骤 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击页面左侧的“主机监控”，进入“主机监控”页面。 4. 在“主机监控”页面，单击资源所在行的“监控状态”开关，开启“操作系统监控”功能。 5. 单击资源所在行的“查看监控指标”，进入“操作系统监控”页面。 6. 单击“操作系统监控”右侧的“进程监控”，进入“进程监控”页面。 7. 单击“监控进程列表”右侧的，进入TOP进程列表。 8. 在TOP进程列表中打开您要开启的进程的“监控开关”，单击确定。 在“监控进程列表”页面，系统会默认勾选状态为“运行中”的进程，在下方的监控图表中显示出当前进程的“近1小时”CPU使用率的原始监控数据曲线图。 您也可以勾选需要显示的进程，在下方的监控图表中显示出当前进程的“近1小时”CPU使用率的原始监控数据曲线图。 单击监控图表上方的CPU 使用率、内存使用率、打开文件数可查看当前进程的不同指标的数据曲线图，相关指标说明请参见下表。 表 进程监控相关指标说明 指标名称 指标含义 取值范围 采集方式（Linux） 采集方式（Windows） ::::: 运行中进程数 该指标用于统计测量对象处于运行状态的进程数。 ≥ 0 测量对象：云主机或物理机通过统计 /proc/pid/status 中Status值获取每个进程的状态，进而统计各个状态进程总数。 不支持 空闲进程数 该指标用于统计测量对象处于空闲状态的进程数。 ≥ 0 测量对象：云主机或物理机通过统计 /proc/pid/status 中Status值获取每个进程的状态，进而统计各个状态进程总数。 不支持 僵死进程数 该指标用于统计测量对象处于僵死状态的进程数。 ≥ 0 测量对象：云主机或物理机通过统计 /proc/pid/status 中Status值获取每个进程的状态，进而统计各个状态进程总数。 不支持 阻塞进程数 该指标用于统计测量对象被阻塞的进程数。 ≥ 0 测量对象：云主机或物理机通过统计 /proc/pid/status 中Status值获取每个进程的状态，进而统计各个状态进程总数。 不支持 睡眠进程数 该指标用于统计测量对象处于睡眠状态的进程数。 ≥ 0 测量对象：云主机或物理机通过统计 /proc/pid/status 中Status值获取每个进程的状态，进而统计各个状态进程总数。 不支持 系统进程数 该指标用于统计测量对象的总进程数。 ≥ 0 测量对象：云主机或物理机通过统计 /proc/pid/status 中Status值获取每个进程的状态，进而统计各个状态进程总数。 测量对象：云主机或物理机通过psapi.dll系统进程状态支持模块得到进程总数。 9. 在监控指标视图右上角，单击可查看监控指标视图详情。 页面左上方提供查看“近1小时”、“近3小时”、“近12小时”、“近24小时”、“近7天”和“近30天”6个固定时长的监控周期，同时也支持以通过“自定义时间段”选择查看近六个月内任意时间段的历史监控数据。 选择页面左上方的“设置”按钮，进入“聚合”设置页面，对监控数据的聚合方法进行更改。

本文介绍推流域名是否有限制直播流推流路数。 天翼云视频直播服务对推流域名对应的直播流数未做限制。 默认情况下，推流域名不计费，但当推流域名带宽与拉流域名带宽比例大于1:50时，推流域名会产生费用。 注意 推流域名并发流数如果突发过高，建议

本节介绍了云数据库GaussDB 的备份概述。 云数据库GaussDB 支持数据库实例的备份和恢复，以保证数据可靠性。备份目前将以未加密的方式存储。 备份的作用 当数据库或表被恶意或误删除，虽然云数据库GaussDB 支持高可用，但备机数据库会被同步删除且无法还原。因此，数据被删除后只能依赖于实例的备份保障数据安全。 全量备份 全量备份（Full Backup）表示对所有目标数据进行备份，包含备份时刻点上数据库的全量数据，耗时时间长（和数据库数据总量成正比），自身即可恢复出完整的数据库。全量备份总是备份所有选择的目标，即使从上次备份后数据没有变化。 差量备份 差量备份（Differential Backup）只包含从指定时刻点之后的增量修改数据，耗时时间短（和增量数据成正比，和数据总量无关），但是必须要和全量备份数据一起才能恢复出完整的数据库。云数据库GaussDB 默认自动每30分钟对上一次自动备份后更新的数据进行备份，支持修改备份周期为最小15分钟，最大1440分钟。 自动备份 云数据库GaussDB 会在数据库实例的备份时段中创建数据库实例的自动备份。系统根据您指定的备份保留期保存数据库实例的自动备份。如果需要，您可以将保存的备份恢复。 手动备份 用户还可以创建手动备份对数据库进行备份，手动备份是由用户启动的数据库实例的全量备份，会一直保存，直到用户手动删除。

影响和风险 当innodbflushlogattrxcommit 参数设置为非默认值1时，降低了数据安全性，在系统崩溃的情况下，可能导致数据丢失。 当syncbinlog 参数设置为非默认值1时，降低了数据安全性，在系统崩溃的情况下，可能导致binlog丢失。 操作步骤 实例数据库版本为5.7或者8.0，都可按照如下步骤设置高性能参数模板。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 参数模板，进入参数模板列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在参数模板列表中，找到高性能参数模板。 注意 高性能参数模板名称为57HighPerformance 和80HighPerformance。 4. 管理高性能参数模板： 单击操作 列的应用，可以将高性能参数模板应用到相应版本的实例。 单击操作 列的对比，可以查看两个参数模板的参数值差异。 在操作 列选择更多 > 复制，可以根据高性能参数模板创建新的参数模板。

对比维度 云服务备份 镜像服务 概念 备份是将云主机或者云硬盘某一时间节点的状态、配置和数据信息保存下来，以供故障时进行恢复，其目的是为了保证数据安全，提升高可用性。 镜像相当于云主机的“装机盘”，它提供了启动云主机所需的所有信息，其目的是为了创建云主机，批量部署软件环境。系统盘镜像包含运行业务所需的操作系统、应用软件，数据盘包含业务数据。整机镜像是系统盘镜像和数据盘镜像的总和。 使用方式 数据存储位置：与主机/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建备份的云硬盘删除，对应的备份不会被同时删除。 操作对象：保存云主机/磁盘指定时刻的数据，可以设置自动备份和过期自动删除。 用途：备份可以恢复数据至原主机/磁盘中，也可以直接创建新的磁盘或整机镜像。 是否可以导出至本地：否。 数据存储位置：与主机/磁盘数据分开存储，存储在对象存储（OBS）中。如果将创建镜像的主机/磁盘删除，对应的镜像不会被同时删除。 操作对象：可以将主机的系统盘和数据盘制作为私有镜像，也可以通过外部镜像文件制作私有镜像。 用途：系统盘镜像或整机镜像可以创建新的主机，数据盘镜像可以创建新的磁盘，实现业务迁移。 是否可以导出至本地：部分可以，整机镜像不支持导出至本地，详见 应用场景 适用场景： 数据备份与恢复 业务快速部署和迁移 适用场景： 服务器上云或云上迁移 部署特定软件环境 批量部署软件环境 服务器运行环境备份 优势 支持自动备份，可以定时定量保留服务器/磁盘某一时间节点的数据。 可以备份系统盘。可以将本地或者其他云平台的服务器数据盘镜像文件导入至镜像服务中。导入后，可使用该镜像创建新的云硬盘。

本节介绍了用户指南： 使用HostPath存储卷。 HostPath存储卷能将主机节点文件系统上的文件或目录挂载直接挂载到业务Pod 中。由于该方式存在诸多安全风险，且不适用于高可用场景，一般业务应用不推荐使用。 背景信息 云容器引擎服务兼容kubernetes原生HostPath本地挂载方案，关于HostPath特定场景使用用法及注意点参见：Kubernetes官方 使用限制 HostPath 存储卷可能会暴露特权系统凭据（例如 Kubelet）或特权 API（例如容器运行时套接字），可用于容器逃逸或攻击集群的其他服务； 具有相同配置（例如基于同一 PodTemplate 创建）的多个 Pod 会由于节点上文件的不同而在不同节点上有不同的行为； 主机节点上特定文件或目录只能由 root 用户写入。如需访问这些文件，需要在特权容器中以 root 身份运行进程，或者修改主机上的文件权限以便容器能够写入 hostPath 卷。 挂载模式 HostPath支持以下几种挂载模式： 类型 描述 空字符串（默认）用于向后兼容，这意味着在安装 hostPath 卷之前不会执行任何检查。 DirectoryOrCreate 如果在给定路径上什么都不存在，那么将根据需要创建空目录，权限设置为 0755，具有与 kubelet 相同的组和属主信息。 Directory 在给定路径上必须存在的目录。 FileOrCreate 如果在给定路径上什么都不存在，那么将在那里根据需要创建空文件，权限设置为 0644，具有与 kubelet 相同的组和所有权。 File 在给定路径上必须存在文件。