参数 是否必填 参数类型 说明 示例 下级对象 instanceId 是 String 实例ID f04e47d9b48747958c9f4516cf1a8d82 namespaceName 是 String 命名空间名称 myns createRepoAuto 否 Boolean 是否允许直接通过推送镜像创建仓库 false defaultRepoPublic 否 Boolean 通过推送镜像创建的仓库的类型是否为公开。只有在设置createRepoAuto为true时该参数才生效 false accelerate 否 Boolean 是否开启镜像加速。用户需要开通云容器引擎集群后才能设置为true，并且仅对企业版实例生效 false

端口配置 说明 不建议暴露安全产品管理端口到公网，存在一定安全风险，请使用安全组进行防护。 案例：安全组防护态势感知管理端口18443。 1. 登录控制台的云主机实例详情页面，选择【安全组】功能。这里您可以创建和管理安全组规则。 2. 点击【配置规则】下的【入方向规则】。在规则配置中，选择【添加入方向规则】，限制源地址为您日常登录使用的IP或IP段，例如限制为您公司办公网络。

计费项 计费说明 实例费用 对您选择的实例规格计费，具体请参见表2。 RocketMQ实例提供包年包月、按需两种计费方式。 存储空间费用 对您选择的实例存储空间计费（每个实例规格您都可以选择高IO和超高IO两种不同的云硬盘类型以满足您的业务需求）。 存储空间范围见表2，步长100GB。 ·实例存储提供包年包月、按需两种计费方式。

本文主要介绍删除中转子网 操作场景 当您不需要某个中转子网时，可以进行删除操作。 删除中转子网后，对应VPC下云服务器将无法通过私网NAT网关进行访问或对外提供服务。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入NAT网关页面。 3. 在NAT网关页面，单击“NAT网关> 私网NAT网关”。 4. 在“中转子网”页签中，单击目标中转子网操作列的“删除”。 5. 单击“是”。

本章介绍如何通过IAM创建用户并授权的方法。 创建用户并授权使用SMS 本章节为您介绍对IAM用户授权的方法。 管理员帐号拥有SMS迁移所需要的所有权限，使用管理员帐号进行迁移时，不需要进行授权。如果您需要对您所拥有的SMS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的天翼云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用SMS。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将SMS委托给更专业、高效的其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 前提条件 给用户组授权之前，请您了解用户组可以添加的SMS权限，并结合实际需求进行选择，SMS支持的系统权限，请参见：SMS系统权限。若您需要对除SMS之外的其它服务授权，IAM支持服务的所有权限请参见权限策略。 示例流程 操作步骤 1. 创建用户组并授权： 1. 系统策略：如果IAM用户需要主机迁移服务(SMS)的所有操作权限，则为IAM用户授予系统策略。在IAM控制台创建用户组，并授予“SMS FullAccess”、"OBS OperateAccess"、“ECS FullAccess”、“VPC FullAccess”。 2. 自定义策略：如果IAM用户只需要拥有主机迁移服务(SMS)的部分操作权限，则使用自定义策略。自定义策略相比于系统策略，粒度更细，更安全。 2. 创建用户并加入用户组，在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 3. 用户登录并验证权限，新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“迁移>主机迁移服务”，进入主机迁移服务界面，在迁移服务器列表页面找到待迁移的服务器，在“目的端”列下单击“设置目的端”，设置目的端服务器。若可以设置目的端服务器，表示授予的权限已生效。 在“服务列表”中选择除主机迁移服务和依赖服务外的任一服务，若提示权限不足，表示授予的权限已生效。

视频点播的播放地址过期如何解决。 视频点播的播放地址过期。 云点播底层依赖于对象存储的相关签名机制对文件访问权限进行保护。 如果将相关存储桶的权限默认设置为私有，任何访问请求需要经过签名校验才能通过。出于安全性考虑，该签名的有效期最长不超过7天（控制台生成的签名地址有效期为24小时），因此当携带签名的地址对外暴露超过7天后需要重新签名才可正常访问。用户可使用SDK或通过API接口对视频文件进行签名获取新的签名。

添加弹性IP到共享带宽实例后,您可以将弹性IP绑定到云资源上,复用共享带宽中的带宽,节省公网带宽使用成本。 前提条件 您已经申请了弹性IP，且弹性IP已经添加到共享带宽实例中。 操作步骤 1. 登录网络控制台。 2. 在顶部菜单栏，选择地域。 3. 在左侧导航栏共享带宽，在共享带宽实例列表，单击目标共享带宽，进入共享带宽实例详情页。 4. 在下方列表中找到目标弹性IP实例的操作列，单击“绑定”。 5. 在绑定弹性IP对话框，选择要绑定的资源类型，然后单击“确定”。

本文主要介绍云日志服务如何为日志不存在的字段填充默认值。 在日志加工中，部分 DSL表达式函数对输入的参数有一定要求，如果不满足，数据加工窗口会报错或返回默认值。当日志中存在必要而残缺字段时，您可以在oplen函数中填充默认值。注意传递默认值给后续的函数时可能会进一步报错，因而需要及时处理函数返回的异常。 示例： 原始日志 datalen: 1024 加工规则 eset("datalen", oplen(v("data", default""))) 加工结果 data: 0 datalen: 0

使用VNC方式登录Windows云主机时，播放音频文件没有声音，是因为VNC方式不具备音频调用能力。 操作步骤 1. 本地计算机伸缩框内输入“mstsc”，回车，系统打开“远程桌面连接”窗口。 2. 点击“显示选项”，展开弹窗。 3. 选择“本地资源”页签，在“远程音频”单击“设置”。 4. 根据需求进行远程音频设置，这里我们选择“在此计算机上播放”。

本节为您介绍云迁移服务CMS数据迁移工具添加目标节点操作。 1. 进入“数据迁移工具”，点击“数据源管理”界面。 2. 点击 “添加数据源”按钮，进入“添加数据源”界面，选择“目标节点”。 3. 输入数据源名称，选择数据源类型，输入数据源对应的连接方式 。 4. 填写信息完成后，点击“添加数据源”按钮，完成添加，平台显示“添加成功”。

本文将介绍如何在控制台如何查看Serverless集群的容器组。 操作步骤 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群管理页面的左侧导航栏中，选择“工作负载”。 4. 点击“容器组” ，在容器组页面下可以查看所有创建的容器。 5. 点击想要查看的实例名称 ，即可进入查看该容器组的详细信息。包括查看容器组的事件、日志以及监控等。

构造请求 本节介绍REST API请求的组成，以调用云主机产品的"根据regionID查询用户资源"举例说明如何调用该API。 请求示例 POST ContentType:application/json ctyuneoprequestid:0ffb9b07d5a84e19b3ce12dfb9705a1d EopAuthorization:4a4bdc57e06542199b5f98d4cd107be2 Headersctyuneoprequestid;eopdate Signatureb2WEo4nh9ewn6SWOP0ii5g8L0z9CT5gprpDWntlCX9I Eopdate:20221107T093029Z 请求URI {URIscheme}://{Endpoint}/{resourcepath}?{querystring} 参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn” resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources” querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据 示例： 云主机根据regionID查询用户资源，则需使用云主机产品在对应区域的Endpoint（ctecsxxx.ctapi.ctyun.cn），并在"根据regionID查询用户资源"的URI部分找到resourcepath（/v4/region/customerResources），拼接起来如下所示。 < 说明： 为方便查看，在每个具体API的URI部分，只给出resourcepath部分，并将请求方法写在一起。这是因为URIscheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 {resourcepath}资源路径，使用编码的规范URI示例： 前： /v4/region/customerResources api/code 后： /v4/region/customerResources%20api/code 说明： 资源路径{resourcepath}是从HTTP Host结束到查询字符串参数（如果有）的问号字符（“?”）中间的部分。 需要根据RFC 3986标准化URI路径规范移除冗余和相对路径部分。路径中每个部分都必须进行URI编码。 {querystring}查询参数，使用规范查询字符串示例： 前： prodInstId11&startTime20210404T06:01:46Z 后： prodInstId11&startTime20210404T06%3A01%3A46Z 说明： {querystring}为键值对，使用等号字符()拼接。值需进行URI编码，同样需要满足RFC 3986关于URL编码规范的定义要求。键则不需要。对没有值的参数使用空字符串。 在每个参数值后追加与字符(&)，列表中最后一个值除外。 使用 %XY 对所有其他字符进行百分比编码，其中“X”和“Y”为十六进制字符（09和大写字母AF）。例如，空格字符必须编码为 %20（不像某些编码方案那样使用“+”)，扩展UTF8字符必须采用格式 %XY%ZA%BC。 RFC 3986规范的具体要求： 字符AZ、az、09 以及字符、、.、不编码。 对其它ASCII码字符进行编码。编码格式为%加上16进制的ASCII码。例如半角双引号（"）将被编码为%22。空格编码成%20，而不是加号（+）。 非ASCII码通过UTF8编码。

构造请求 本节介绍REST API请求的组成，以调用云主机产品的"根据regionID查询用户资源"举例说明如何调用该API。 请求示例 POST ContentType:application/json ctyuneoprequestid:0ffb9b07d5a84e19b3ce12dfb9705a1d EopAuthorization:4a4bdc57e06542199b5f98d4cd107be2 Headersctyuneoprequestid;eopdate Signatureb2WEo4nh9ewn6SWOP0ii5g8L0z9CT5gprpDWntlCX9I Eopdate:20221107T093029Z 请求URI {URIscheme}://{Endpoint}/{resourcepath}?{querystring} 参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn” resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources” querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据 示例： 云主机根据regionID查询用户资源，则需使用云主机产品在对应区域的Endpoint（ctecsxxx.ctapi.ctyun.cn），并在"根据regionID查询用户资源"的URI部分找到resourcepath（/v4/region/customerResources），拼接起来如下所示。 < 说明： 为方便查看，在每个具体API的URI部分，只给出resourcepath部分，并将请求方法写在一起。这是因为URIscheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 {resourcepath}资源路径，使用编码的规范URI示例： 前： /v4/region/customerResources api/code 后： /v4/region/customerResources%20api/code 说明： 资源路径{resourcepath}是从HTTP Host结束到查询字符串参数（如果有）的问号字符（“?”）中间的部分。 需要根据RFC 3986标准化URI路径规范移除冗余和相对路径部分。路径中每个部分都必须进行URI编码。 {querystring}查询参数，使用规范查询字符串示例： 前： prodInstId11&startTime20210404T06:01:46Z 后： prodInstId11&startTime20210404T06%3A01%3A46Z 说明： {querystring}为键值对，使用等号字符()拼接。值需进行URI编码，同样需要满足RFC 3986关于URL编码规范的定义要求。键则不需要。对没有值的参数使用空字符串。 在每个参数值后追加与字符(&)，列表中最后一个值除外。 使用 %XY 对所有其他字符进行百分比编码，其中“X”和“Y”为十六进制字符（09和大写字母AF）。例如，空格字符必须编码为 %20（不像某些编码方案那样使用“+”)，扩展UTF8字符必须采用格式 %XY%ZA%BC。 RFC 3986规范的具体要求： 字符AZ、az、09 以及字符、、.、不编码。 对其它ASCII码字符进行编码。编码格式为%加上16进制的ASCII码。例如半角双引号（"）将被编码为%22。空格编码成%20，而不是加号（+）。 非ASCII码通过UTF8编码。

表对等连接关系说明一个中心VPC与两个VPC的重叠子网对等(IPv4) VPC对等关系 对等连接名称 本端VPC 对端VPC VPCA和VPCB的子网SubnetB02对等 PeeringAB VPCA VPCB VPCA和VPCC的子网SubnetC02对等 PeeringAC VPCA VPCC 对等连接创建完成后，您在本端和对端VPC路由表中，如果按照下表添加路由，那么会导致响应流量无法正确返回，具体说明如下： 1. VPCB子网SubnetB02中的云服务器ECSB02向VPCA发送请求流量，通过rtbVPCB路由表中PeeringAB对应的路由将流量转发到VPCA。 2. VPCA收到来自云服务器ECSB02的请求流量，期望的结果是将响应流量返回到ECSB02。但是在rtbVPCA路由表中，目的地址为10.0.1.167/32时，只能匹配到PeeringAC的路由，因此响应流量被错误的返回到VPCC。 3. 此时VPCC的子网SubnetC02中存在云服务器ECSC02，与ECSB02私有IP地址相同，均为10.0.1.167/32，则响应流量最终错误的返回到ECSC02，ECSB02无法收到响应流量。 表VPC路由表配置说明一个中心VPC与两个VPC的重叠子网对等(IPv4) 路由表 目的地址 下一跳 路由类型 路由说明 rtbVPCA 172.16.0.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 rtbVPCA 10.0.1.0/24 (SubnetC02) PeeringAC 自定义 在VPCA的路由表中，添加目的地址为SubnetC02的网段，下一跳指向PeeringAC的路由。 rtbVPCB 10.0.0.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 rtbVPCB 10.0.1.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 rtbVPCB 172.16.0.0/16 (VPCA) PeeringAB 自定义 在VPCB的路由表中，添加目的地址为VPCA的网段，下一跳指向PeeringAB的路由。 rtbVPCC 10.0.0.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 rtbVPCC 10.0.1.0/24 Local 系统路由 Local路由是系统自动添加的，用于VPC内部通信。 rtbVPCC 172.16.0.0/16 (VPCA) PeeringAC 自定义 在VPCC的路由表中，添加目的地址为VPCA的网段，下一跳指向PeeringAC的路由。 对于存在重叠子网的情况，为了避免流量被错误转发，路由配置建议如下： 建议1：在rtbVPCA路由表中，添加下一跳为PeeringAB的路由，目的地址为ECSB02的私有IP地址。这样遵循路由的最长匹配原则，会优先匹配10.0.1.167/32这条路由，确保VPCA会将响应流量送达ECSB02。关于更多指向ECS的对等连接配置，请参见“连通VPC内ECS网络的对等连接配置示例”。

操作步骤 1. 登录云通信控制台。 2. 在左侧导航栏中单击 资质管理 。 3. 在资质管理 页签下的搜索框中输入企业名称，并单击 查询标志 ，找到指定资质。 4. 单击对应操作 列中的 删除 。 5. 在弹出对话框中单击 确定 删除 。 注意事项 审核中的资质不允许修改或删除，但可以更新。

本节介绍如何配置全局精准访问控制规则。 防护对象接入Web应用防火墙后，您可以选择开启全局精准访问控制功能，并配置精准访问控制规则。 全局精准访问控制支持对全局域名或单个域名生效。 全局精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“精准访问控制”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入全局精准访问控制页面。 7. 单击“新建防护规则”，配置全局精准访问控制规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置全局精准访问控制规则对象所在的企业项目。 接入对象 设置精准访问控制规则的作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局精准访问控制不支持独享版和监听器防护对象。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 8. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文为您介绍Web基础防护模块的规则白名单功能及配置方式。 网站接入云WAF后，您可以通过设置全局白名单规则，让满足指定特征的请求不经过Web基础防护引擎的检测，一般用于放行因触发Web基础防护相关规则被误拦截的特殊业务请求。 前提条件 已开通了Web应用防火墙，且实例版本为标准版及以上版本。 已完成网站接入。具体操作，请参见添加域名。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防护白名单”模块，点击防护规则右侧的“前去配置”。 7. 进入“白名单”页面，可以查看当前已创建的白名单规则列表。 8. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：规则防护引擎包含的全部规则。选择该项，表示触发匹配条件的请求不受任何防护模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持BOT防护和Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，在模块右侧的下拉框，选择不检测的规则ID。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则，并根据需要禁用、编辑或删除规则。

本文为您介绍如何将您的网站通过域名接入WAF实例进行防护。 开通云WAF SaaS版实例后，需要将您需要防护的网站域名接入WAF，使网站的访问流量全部流转到WAF进行检测并转发，实现恶意流量的拦截。 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。 WAF SaaS版提供CNAME接入方式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 CNAME接入流程 在WAF控制台添加需要防护的网站域名后，通过修改域名的DNS解析设置，将网站流量解析到WAF，使访问网站的流量经过WAF并受到WAF的防护。WAF将过滤和处理后的请求转发回该域名的源站服务器。接入流程如下： 1. 添加域名 ：配置域名、协议、源站等相关信息，详情请参见添加域名。 2. 放行WAF回源IP段 ：WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时，您需要设置源站服务器的安全软件或访问控制策略，放行WAF回源IP段的入方向流量，详情请参见放行WAF回源IP段。 3. 本地验证 ：添加域名后，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常，详情请参见本地验证。 4. 修改域名DNS ：若域名在接入WAF前未使用代理，则需要到该域名的DNS服务商处，修改域名的DNS解析配置，将网站的流量解析到WAF；若域名在接入WAF前使用了代理（DDoS高防、CDN等），则需要将使用的代理类服务（DDoS高防、CDN等）的回源地址修改为的目标域名的“CNAME”值，详情请参见修改域名DNS。 说明 完成接入流程后，网站访问流量将经过WAF转发检测。WAF包含多种防护检测模块，帮助网站应对不同类型的安全威胁，其中Web基础防护模块默认开启，用于防御常见的Web应用攻击（例如SQL注入、XSS跨站、Webshell上传等），其他防护模块需要您手动开启并配置具体防护规则。

本章节为您介绍如何快速部署证书至天翼云服务上。 证书管理服务支持将已签发的证书一键部署至天翼云服务上，减少您去手动部署证书的相关操作，提升业务的便捷性。 约束条件 当前支持将证书一键部署到如下产品： 产品 说明 支持的证书 Web应用防火墙（原生版） 单次最多可部署5个资源。 国际证书 弹性负载均衡 仅支持部分资源池，请以控制台提示为准。 单次最多可部署5个资源。每次部署会自动为您在弹性负载均衡平台中创建一个证书。 每个用户在弹性负载均衡平台的证书限制为10个，如果超出限制请访问弹性负载均衡平台手动删除多余证书。 国际证书 CDN相关产品 “CDN相关产品”服务为集成产品，一键部署证书将同时生效于其包含的 CDN、Aone边缘安全加速平台、Web应用防火墙（边缘云版）。 单次最多可部署5个资源。 国际证书、国密证书 综合安全网关 单次最多可部署5个资源。 国际证书、国密证书 若您使用的子账号进行一键部署，需要在IAM给相关子账号配置default企业项目权限。 部署“证书管理服务签发的证书”至天翼云服务 前提条件 已在证书管理服务中申请SSL证书且状态为“已签发”。

OOS会不会扫描我的数据用于其他用途？ 系统对数据做的扫描仅限于判断数据块是否存在或被损坏（如有损坏，会启动修复），不会读取具体的内容。 后台工程师能否导出我存在OOS中的数据？ 后台工程师无法导出用户数据。 使用数据迁移工具，可以迁移哪些数据至OOS？ 数据迁移工具支持下列场景的数据迁移至OOS： 搬迁本地数据至OOS。 迁移第三方云厂商数据至OOS，如阿里云、腾讯云、华为云、AmazaonS3。 OOS之间数据迁移（跨帐号、跨资源池以及同资源池内数据迁移）。 OOS是否支持数据冗余存储？ 支持。OOS支持多种冗余存储方式，包括Erasure Code（EC，纠删码）和多副本。在保证数据安全性的情况下，OOS会选择最优冗余存储方案进行数据存储。 使用OOS时，出现RequestTimeTooSkewed的报错信息，怎么处理？ 出于安全目的，OOS会校验客户端与OOS服务端的时间差，当两者相差大于15分钟时，OOS服务器会拒绝您的请求，并给出报错信息RequestTimeTooSkewed。此时，请检查发送请求设备的系统时间，并根据时区调整到正确时间。OOS的系统时间采用UTC/GMT时间，您的设备的系统时间需要调整到UTC时间，或与其相对应的时区时间。UTC是零时区的区时，即世界标准时间。

本节介绍什么是云安全中心。 云安全中心（CTCSC，Cloud Security Center，简称云CSC）作为用户侧的安全中心，通过对各个主机资产、安全设备告警日志等数据的采集对数据进行应用，通过安全数据的统一汇聚进行安全数据的统一融合化处理，通过平台整体整合形成数据汇聚、威胁检测、告警响应的业务能力，对业务进行应急处置和统计分析，满足态势感知、响应处置拦截、威胁预警和攻击行为溯源等目标，最终实现统一的前台展示，帮助用户实现威胁检测、溯源、响应的自动化安全运营闭环。 云安全中心系统主要包含应用中心、安全分析中心、安全数据汇聚以及安全响应中心四大模块。 应用中心：提供各类安全数据的展示、资产以及风险管理，对各类安全指标进行统计分析，出具安全运营报告，实现安全系统数据的统一管理、统一运营。 安全分析中心：实现安全分析和数据分析，构建各类威胁模型，深度检测安全威胁，智能分析辅助安全决策，感知整体安全态势。 安全数据汇聚：实现各类数据源的数据收集，实现数据服务、数据存储、数据处理以及数据采集等。 安全响应中心：实现工单、剧本以及插件工具的管理，安全编排与自动化响应处置，提升安全威胁检测能力和处置效率。

可以通过添加多个VPC实现跨VPC访问，但仅支持同地域内跨VPC访问。例如，华东1的文件系统仅能添加华东1的VPC，无法添加呼和浩特3的VPC。单文件系统可添加20个VPC，将执行访问的云主机所属VPC添加至文件系统处即可进行跨VPC访问。

本小节介绍终端安全EDR客户端安装方法。 1.通过远程登录进入业务云主机，使用终端安全EDR内网地址，该界面登录如下图，点击客户端下载安装。 2.根据安装提示，完成客户端安装。

源端 目的端 目的端类型 可能故障 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service ELB 公网IP 集群流量负载均衡入口 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service ELB 私网IP 集群流量负载均衡入口 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Ingress ELB 公网IP 集群流量负载均衡入口 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Ingress ELB 私网IP 集群流量负载均衡入口 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service Node Port 公网IP 集群流量入口 kube proxy配置覆盖，该故障已在升级流程适配 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service Node Port 私网IP 集群流量入口 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service Cluster IP Service网络平面 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 非Service NodePort 节点单口 节点容器网络 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 跨节点Pod 容器网络平面 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 同节点Pod 容器网络平面 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 Service域名、Pod域名等，基于CoreDNS解析 域名解析 未有记录 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 外部网站域名，基于CoreDNS hosts配置解析 域名解析 coredns插件升级后配置被覆盖，该故障已在插件升级流程适配 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 外部网站域名，基于CoreDNS 上游服务器解析 域名解析 coredns插件升级后配置被覆盖，该故障已在插件升级流程适配 集群内Pod 集群内节点 集群外同VPC下节点 天翼云外 外部网站域名，不通过CoreDNS解析 域名解析 未有记录

本章节主要描述私有镜像。 私有镜像为用户自己创建的镜像，包含操作系统或业务数据、预装的公共应用以及用户的私有应用，仅用户个人可见。您可以通过以下方式创建私有镜像： 通过物理机服务器创建私有镜像 说明 当前仅支持快速发放型物理机服务器（操作系统安装在云硬盘中）来创建私有镜像。 通过外部镜像文件创建私有镜像 用户可以上传外部镜像文件并将镜像注册到云平台上，成为自己的私有镜像。目前支持的外部镜像文件格式包括：VMDK、VHD、QCOW2、RAW、VHDX、QED、VDI、QCOW、ZVHD2和ZVHD。 说明 其他格式的镜像文件需要预先使用工具转换镜像格式后，才能运行在物理机服务器。当您成功创建私有镜像后，镜像的状态为“正常”。此时，您可以使用该镜像新建物理机服务器实例，也可以将其共享给其他用户，还可以复制到您帐号下的其他区域。

本节主要介绍查看监控指标。 操作场景 云监控可以对的运行状态进行日常监控。您可以通过管理控制台，直观地查看GeminiDB Influx的各项监控指标。 由于监控数据的获取与传输会花费一定时间，因此，云监控显示的是当前时间5～10分钟前的监控状态。如果您的实例刚刚创建完成，请等待5～10分钟后查看监控数据。 使用须知 实例正常运行。 故障或已删除的实例，无法在云监控中查看其监控指标。当实例再次启动或恢复后，即可正常查看。 实例已正常运行一段时间（约10分钟）。 对于新创建的实例，需要等待一段时间，才能查看上报的监控数据和监控视图。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，单击目标实例名称，进入实例的“基本信息”页面。 4. 在“基本信息”页面的“节点信息”区域，单击操作列的“查看监控指标”，跳转到云监控页面。 图1 查看监控指标 5. 在监控指标页面，您可以通过选择时长，查看对应时间的监控数据。 当前页支持查看近1小时、近3小时、近12小时、近24小时和近7天的监控数据。 如需查看更长时间范围监控曲线，请在监控视图中单击进入大图模式查看。

本文介绍IPv6的相关介绍和带宽绑定使用方法。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 操作场景 适用于子网开启了IPv6的网段的用户，可用IPv6地址访问数据库实例。且可以绑定带宽和解绑，具体条件限制和操作步骤见下方。 前提条件 要开通具备IPv6 连接地址的实例，请在订购关系数据库MySQL版实例时，选择已经开启IPv6的VPC（虚拟私有云），系统将自动分配IPv6连接地址。 VPC开启IPv6，具体操作，请参见开启/关闭虚拟私有云IPv6。 开启了IPv6后，需要在白名单和安全组中放通用户IP，否则无法连接。 内核版本需要升级至最新版，可参考升级数据库内核小版本。 连接数据库 内网连接 通过IPv6的连接地址及数据库端口访问数据库，请确保客户端所在机器本身具备IPv6。 外网连接 通过公网访问IPv6地址连接数据库，请确保MySQL实例IPv6地址已经绑定IPv6带宽，IPv6带宽需要购买，具体操作，请参见购买IPv6带宽。 绑定IPv6带宽前，请创建IPv6网关，否则IPv6无法公网访问且无法绑定带宽，具体操作，请参见创建IPv6网关。 请确保客户端所在机器本身具备IPv6且能够访问公网IPv6。 操作步骤

需求确认 客户联系专属客户经理或者拨打天翼云客服电话4008109889或者点击新建业务需求单下单，客户经理与客户确定项目需求，最终确定项目配置方案和交付时间，并完成下单。 环境勘测 一体机安装对客环境要求包括：机房环境(空间、电力、散热等)、网络环境（网段分配）、公网ip、运维通道、安防等。具体需求确定后，进行现场工勘并提供工勘报告。 交付验收 天翼云公司完成项目设计、软硬件集成、测试验收系列工作后，输出网络集成规范、系统集成方案、测试用例等，并现场上电、通网、现场系统测试、系统交付检查。最后由客户进行智算一体机全方位验收，验收通过后即进入计费周期，客户可以开始进行大模型训练或者推理。

本章节向您介绍VPC对等连接组网迁移实施步骤。 步骤一：创建云服务资源 1. 创建迁移过程中验证ER和VPC通信情况的子网。在每个待迁移的VPC内，各创建一个新的子网。 2. 在迁移验证子网内，创建ECS。在每个待迁移的子网内，各创建一个ECS。 3. 创建1个企业路由器。本示例中，对等连接两端的VPC网段不重叠，因此创建企业路由器时，同时开启“默认路由表关联”和“默认路由表传播”。 注意 如果VPC对等连接两端的VPC网段存在重叠，则不能开启企业路由器的“默认路由表传播”功能。由于该功能是将整个VPC网段学习到ER路由表中用作目的地址，那么VPC网段重叠时，会导致ER路由表内路由冲突。此时，您需要手动在ER路由表中添加指向VPC连接的路由。 步骤二：在企业路由器中添加VPC连接及路由 1. 将3个待迁移的VPC分别接入企业路由器中。添加连接时，不开启“配置连接侧路由”功能，添加“虚拟私有云（VPC）”连接。 2. 检查ER路由表中指向VPC的路由。本示例中，ER开启了“默认路由表关联”和“默认路由表传播功能”功能，那么在ER中添加“虚拟私有云（VPC）”连接时，系统会自动添加ER指向VPC的路由，无需手动添加，只需要检查即可。 说明 开启“配置连接侧路由”功能后，会自动VPC路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。迁移时，需要手动在VPC路由表中添加规划的大网段路由，不能使用自动添加的路由。 如果您未开启“默认路由表传播”功能，则需要手动在ER路由表中添加指向VPC的路由。 步骤三：验证VPC和ER之间的网络通信情况 1. 在接入ER的VPC的路由表中，添加指向ER的迁移验证路由。 2. 在弹性云主机的远程登录窗口，执行以下步骤，验证VPC和ER的网络通信情况。 登录ecsA02，验证vpcA与vpcB是否可以通过ER通信。 登录ecsA02，验证vpcA与vpcC是否可以通过ER通信。 登录ecsB02，验证vpcB与vpcC是否可以通过ER通信。 3. 验证完成后，删除迁移验证相关的路由、ECS和子网。 步骤四：在VPC路由表中添加路由 在VPCA、VPCB和VPCC的路由表中，依次添加路由。 1. 添加指向任意VPC对等连接的临时通信路由。此路由确保迁移过程中，删除原有VPC对等连接路由时流量不中断。 在vpcA的路由表中，添加1.1.1.1/32路由。 在vpcB的路由表中，添加1.1.1.2/32路由。 在vpcC的路由表中，添加1.1.1.3/32路由。 2. 添加指向ER的大网段路由。该路由的目的地址即需要覆盖待迁移的所有VPC网段，又不能被其他业务占用。 在vpcA的路由表中，添加172.16.0.0/14路由。 在vpcB的路由表中，添加172.16.0.0/14路由。 在vpcC的路由表中，添加172.16.0.0/14路由。

本章主要介绍翼MapReduce的修改集群组件鉴权配置开关功能。 操作场景 集群部署为安全模式或者普通模式时，HDFS和ZooKeeper默认会对访问服务的用户进行鉴权，没有权限的用户无法访问HDFS和ZooKeeper中的资源。集群部署为普通模式时，HBase和Yarn默认不会对访问用户进行鉴权，所有用户可以访问HBase和Yarn中的资源。 管理员可以根据业务实际需要，在普通模式集群中配置开启HBase和Yarn鉴权，或关闭HDFS和ZooKeeper鉴权。 对系统的影响 修改开关后服务的配置将过期，需要重启对应的服务使配置生效。 开启HBase鉴权 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > HBase > 配置”。 3.单击“全部配置”。 4.搜索参数“hbase.coprocessor.region.classes”、“hbase.coprocessor.master.classes”和“hbase.coprocessor.regionserver.classes”。 将协处理器参数“org.apache.hadoop.hbase.security.access.AccessController”添加到以上参数原有参数值末尾，使用英文逗号与原有协处理器分隔。 5.单击“保存”，单击“确定”。 等待界面提示操作完成。 关闭HBase鉴权 关闭HBase鉴权后，原有的权限数据会继续保留。如果需要删除权限信息，请在关闭鉴权后，进入hbase shell删除表hbase:acl。 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > HBase > 配置”。 3.单击“全部配置”。 4.搜索参数“hbase.coprocessor.region.classes”、“hbase.coprocessor.master.classes”和“hbase.coprocessor.regionserver.classes”。 将协处理器参数“org.apache.hadoop.hbase.security.access.AccessController”去除。 5.单击“保存”，单击“确定”。 等待界面提示操作完成。

本章主要介绍翼MapReduce的修改LDAP管理帐户密码功能。 操作场景 建议管理员定期修改集群LDAP管理帐户“cnkrbkdc,ouUsers,dchadoop,dccom”和“cnkrbadmin,ouUsers,dchadoop,dccom”的密码，以提升系统运维安全性。 对系统的影响 修改密码后需要重启KrbServer服务。 修改密码后需要确认LDAP管理帐户“cnkrbkdc,ouUsers,dchadoop,dccom”和“cnkrbadmin,ouUsers,dchadoop,dccom”是否被锁定，在集群主管理节点上执行如果下命令查看krbkdc是否被锁定（krbadmin用户方法类似）： 说明 oldap端口查询方法： 1. 登录FusionInsight Manager，选择“系统 > OMS > oldap > 修改配置”； 2. “Ldap服务监听端口”参数值即为oldap端口。 ldapsearch H ldaps://OMSFLOAT IP地址:OLdap端口 LLL x D cnkrbkdc,ouUsers,dchadoop,dccom W b cnkrbkdc,ouUsers,dchadoop,dccom e ppolicy 输入LDAP管理帐户krbkdc的密码，出现如下提示表示该用户被锁定，则需要解锁用户，具体请参见解锁LDAP用户和管理帐户。 ldapbind: Invalid credentials (49); Account locked 前提条件 已确认主管理节点IP地址。 操作步骤 1.以omm用户通过管理节点IP登录主管理节点。 2.执行以下命令，切换到目录。 cd ${BIGDATAHOME}/omserver/om/meta0.0.1SNAPSHOT/kerberos/scripts 3.执行以下命令，修改LDAP管理帐户密码。 ./okerberosmodpwd.sh 输入旧密码后，再输入两次新密码。 密码复杂度要求： 密码字符长度为16～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@

本章节主要介绍翼MapReduce的角色管理操作。 操作场景 FusionInsight Manager最大支持5000个角色（包括系统内置角色，不包括租户自动创建的角色）。根据不同业务场景需要，管理员使用FusionInsight Manager创建并管理不同角色，通过角色对Manager和组件进行授权管理。 前提条件 管理员已明确业务需求。 登录FusionInsight Manager。 添加角色 1. 选择“系统 > 权限 > 角色”。 2. 单击“添加角色”，然后在“角色名称”和“描述”输入角色名字与描述。 “角色名称”由数字、字母、或下划线组成，长度为3～50位，不能与系统中已有的角色名相同。 3. 在“配置资源权限”列表，选择待增加权限的集群，为角色选择服务权限。 在设置组件的权限时，可通过右上角的“搜索”框输入资源名称，然后单击搜索图标显示搜索结果。 搜索范围仅包含当前权限目录，无法搜索子目录。搜索关键字支持模糊搜索，不区分大小写。 说明 对于已启用Ranger授权的组件（HDFS与Yarn除外），Manager上非系统默认角色的权限将无法生效，需要通过配置Ranger策略为用户组赋权。 HDFS与Yarn的资源请求在Ranger中的策略条件未能覆盖的情况下，组件ACL规则仍将生效。 设置组件的权限时，每次最大支持1000条权限。 4. 单击“确定”完成。 修改角色信息 在要修改信息角色所在的行，单击“修改”。 导出角色信息 单击“导出全部”，可一次性导出所有角色信息，可导出“TXT”或者“CSV”格式文件。 角色信息包含以下几个字段：角色名、描述、是否默认角色。