本文介绍应用托管的创建独享资源应用实例功能。 创建自定义应用实例 操作步骤 1. 登录应用托管控制台，在左侧导航栏单击【应用实例】，点击【创建应用实例】按钮。 2. 应用配置：选择自定义应用，输入实例名称。 3. 资源配置：资源类型选择【独享资源】，选择资源组进行应用部署。 4. 参数配置： 参数名称 参数说明 Helm chart地址 指定Helm Chart的存储位置。如果您的Helm Chart存放在私有仓库中，需要进行授权设置 命名空间 制定应用部署的命名空间 chart values 自定义Helm Chart的配置参数，根据实际需求调整各个参数，如镜像版本、副本数量、服务类型等 超时等待时间 定义Helm部署过程中拉取Chart的最大等待时间 5. 完成以上配置，并勾选协议点击【部署应用】后，完成实例的创建。

本文为您系统梳理使用数据库双活的标准化准备流程。 概述 数据库双活提供数据库语义级的同构数据库双活复制软件服务。采用数据库之间语义级的数据实时复制与同步；基于数据库事务日志分析技术，在数据库高并发事务场景下实现数据实时同步；于目标端同步写入时序，严格确保源端和目标端的数据库事务级最终一致性；提供了备库接管、反向同步等功能。 操作步骤 一、购买许可 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源同步”“资源同步管理”，进入资源管理模块页面。 5. 点击左侧菜单栏“数据库双活”，点击“许可”，进入许可页面。 6. 点击右上角“购买数据库双活许可”按钮，弹出购买许可弹窗。按需购买许可。 7. 填写数据库类型、购买数量和时长，勾选已阅读并同意相关协议后，点击“购买”按钮，完成许可支付。 二、安装drnode 步骤一：网络配置 场景1：若同步资源为天翼云内资源时，需手动配置其需同步资源所在的虚拟私有云（VPC），并通过部署VPC终端节点（VPCEP）实现MDR网络代理与目标VPC的安全互联。 1. 登录天翼云，进入[控制中心](

本文绍了如何查看RDSPostgreSQL实例连接信息。 操作场景 客户从内外网连接实例时需要从控制台获取实例连接信息，当前连接方式不可修改。 约束限制 当前实例创建后，内网连接IP不可修改。 操作步骤 Ⅰ类资源池的连接信息获取方式 1. 登录天翼云门户。 2. 点击【控制中心】，选择对应资源池，例如“上海7”。 3. 选择【关系数据库PostgreSQL版】，点击进入组件控制台管理页面。 4. 在“实例管理”列表中点击对应的实例进入实例信息页，其中“连接地址”即为实例的内网IP，“数据库端口”为实例的连接端口，“虚拟私有云”为对应的VPC，“安全组”为对应的安全组。 Ⅱ类资源池的连接信息获取方式 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在单个实例的管理详情页中，“ipv4地址”为天翼云内的ipv4连接地址，“ipv6地址”为天翼云内的ipv6连接地址，“弹性IP”为当前实例绑定的可公网访问的IP信息，“数据库端口”为当前实例的连接端口。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

本节主要介绍存储桶的生命周期规则。 在“存储桶列表”页面点击“属性”>“生命周期”，进入“生命周期”页面。在该页面，用户可以配置生命周期规则。 通过设置存储桶（Bucket）的生命周期规则，可以： 删除与生命周期规则匹配的文件。当文件的生命周期到期时，OOS会异步删除它们。生命周期中配置的到期时间和实际删除时间之间可能会有一段延迟。文件到期被删除后，用户将不需要为到期的文件付费。OOS删除到期文件后，会在Bucket log中记录一条日志，操作项是"OOS.EXPIRE.OBJECT"。 注意 如果文件的生命周期规则设置的是到期后删除，文件到期后将被永久删除，无法恢复。 将与生命周期规则匹配的文件由标准存储转换为低频访问存储，可以根据需要设置生命周期规则从文件最后一次修改生效，还是从文件最后一次访问时间生效。OOS转换存储类型为低频访问存储后，会在Bucket log中记录一条日志，操作项是"OOS.TRANSITIONSIA.OBJECT"。 项目 描述 :: 规则名称 生命周期规则名称。 适用范围 生命周期规则适用的范围。 规则 生命周期规则详情。 状态 生命周期规则的状态： 启用。 禁用。 操作 可以启用/禁用、编辑、删除指定的生命周期规则。 点击“添加规则”后，在弹窗中添加新的生命周期规则。 添加规则描述 项目 描述 :: 规则名称 生命周期规则名称。 文件转换策略 文件按生命周期规则转换的策略： 天数：生命周期规则在匹配文件最后一次修改时间或最后一次访问时间多少天后生效。 日期：生命周期规则生效日期，对于最后一次修改时间在此日期之前的文件执行生命周期规则。 适用范围 生命规则适用的范围： 按前缀匹配：输入生命周期规则匹配前缀，符合该前缀的文件执行生命周期规则。不符合的不执行生命周期规则。 整个存储桶：创建的生命周期规则适用该Bucket内的所有文件。 前缀 输入生命周期规则要匹配的文件名字的前缀。 前缀设置为example，表示匹配名字以example开头的所有文件，如example1.txt、example/test.png等。 前缀设置为example/，表示匹配名字以example/开头的所有文件，如example/test.png、example/abc/1.txt等。 转换到低频访问型文件 匹配生命周期规则的文件，到期后转换成低频访问型文件。 如果“文件转换策略”为“天数”，可以选择文件： 最后一次修改时间：指定在文件最后一次修改后多少天，根据生命周期规则，文件转为低频访问存储。 最后一次访问时间：指定在文件最后一次访问后多少天，根据生命周期规则，文件转为低频访问存储。 如果“文件转换策略”为“日期”，则在此日期之前修改的文件，将在此日期转换为低频访问存储。 删除文件 匹配生命周期规则的文件，到期后删除。 如果“文件转换策略”为“天数”，指定在文件最后一次修改后多少天，文件被删除。 如果“文件转换策略”为“日期”，则在此日期之前修改的文件，将在此日期被删除。 注意 如果存储桶没有配置过生命周期规则，执行该操作将创建新的生命周期规则。 如果存储桶内的生命周期规则正在执行时被修改配置，则修改后的配置并不立即生效，需等原生命周期规则执行完成后才能生效。 每个存储桶最多创建1000条生命周期规则。 同一存储桶，同一类型（到期删除或者到期转成低频访问存储）的生命周期规则不能存在叠加前缀，例如已创建到期删除文件的生命周期规则的前缀是ABC，则无法再创建前缀为ABCD或AB或A的到期删除文件的生命周期规则。 当用户为存储桶设置了生命周期规则，这些规则将同时应用于已有文件和后续新创建的文件。例如，用户今天增加了一个生命周期，指定过期时间为30天，那么OOS将会将最后修改时间在30天前的文件都加入到待删除队列中。 OOS通过将文件的最后一次修改时间或者最后一次访问时间加上生命周期时间来计算到期时间，并且将时间近似到下一天的GMT零点时间。例如，一个文件的最后修改时间为GMT 2016年1月15日10:30，生命周期为3天，那么文件的到期时间是GMT 2016年1月19日00:00。如果文件在上传之后没有修改过，则最后修改时间为该文件的上传时间。

本节介绍如何处理暴力破解告警事件。 暴力破解是一种常见的入侵攻击行为，攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制，严重危害资产的安全。 态势感知联动企业主机安全服务（HSS），接收HSS检测到的暴力破解行为，集中呈现和管理告警事件，提升运维效率。 处理告警事件 HSS通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，对发起攻击的源IP进行拦截，并上报告警事件。 当接收到来源于HSS的告警事件时，请登录HSS管理控制台确认并处理告警事件。 若您的主机被爆破成功，检测到入侵者成功登录主机，账户下所有云服务器可能已被植入恶意程序，建议参考如下措施，立即处理告警事件，避免进一步危害主机的风险。 1. 请立即确认登录主机的源IP的可信情况。 2. 请立即修改被暴力破解的系统账户口令。 3. 请立即执行检测入侵风险账户，排查可疑账户并处理。 4. 请及时执行恶意程序云查杀，排查系统恶意程序。 若您的主机被暴力破解，攻击源IP被HSS拦截，请参考如下措施，加固主机安全。 1. 请及时确认登录主机的源IP的可信情况。 2. 请及时登录主机系统，全面排查系统风险。 3. 请根据实际需求升级HSS防护能力。 4. 请根据实际情况加固主机安全组、防火墙配置。

参数 说明 区域 下拉菜单中选择目的端服务器所在区域。 区域与默认迁移参数模板设置的区域相同，您可以根据业务要求，选择具体的区域。 项目 下拉菜单中选择目的端所在区域的项目。 选择区域后，才能选择项目。 虚拟私有云 选择“迁移时创建”是指在设置目的端时再进行配置。 若源端IP是192.168.X.X，则推荐创建的VPC网段是192.168.0.0/16，同时创建一个子网，网段也是192.168.0.0/16。 若源端IP是172.16.X.X，则推荐创建的VPC网段是172.16.0.0/12，同时创建一个子网，网段也是172.16.0.0/12。 若源端IP是10. X .X.X，则推荐创建的VPC网段是10.0.0.0/8，同时创建一个子网，网段也是10.0.0.0/8。 子网 选择“迁移时创建”是指在设置目的端时再进行配置。子网网段与虚拟私有云网段相同。 安全组 选择“迁移时创建”是指在设置目的端时再进行配置。 Windows系统开放8899端口、8900端口和22端口。 Linux系统，块级迁移开放8900端口和22端口，文件级迁移只开放22端口。 以上端口，建议只对源端服务器开放。 防火墙开放端口与操作系统开放端口保持一致。 可用区 默认随机分配，也可手动选择。 数据盘 包括普通IO、高IO、超高IO可选。

本章节介绍通用制品库相关功能 概述 通用制品库页面展示不同应用的发布包相关信息。在该页面，您可以管理应用发布包。 制品列表 制品列表分页展示不同应用的发布包信息。分成名称、版本、应用、大小、创建人、创建时间以及操作列。 点击左侧导航栏的应用管理制品库通用制品库即可进入制品列表页面。 上传制品 制品的版本号在同一个应用下相同名称中要求唯一，同应用下同名程序包相同版本会覆盖。如果上传失败则不会生成新的制品。您可以在制品库上传制品，然后在容器应用实例或ECS应用实例选择部署包来源已有程序包并使用上传的制品。 在制品列表页面，点击上传制品按钮进入上传制品配置流程。在上传制品对话框，选择所属应用、选择上传包、输入制品版本，点击确定等待上传完成。 下载制品 您可以在制品列表页面，点击操作列的下载按钮将制品下载到本地。

本文主要介绍 云日志服务C++ SDK接入指南。 1. 前言 安装使用C++ SDK可以帮助开发者快速接入使用天翼云的日志服务相关功能。 2. 使用条件 2.1. 先决条件 用户需要具备以下条件才能够使用LTS SDK C++版本： 1、购买并订阅了天翼云的云日志服务，并创建了日志项目和日志单元，获取到相应编码（logProject、logUnit）。 2、已获取AccessKey 和 SecretKey。 3、已安装c++ 运行环境，推荐安装c++11或以上版本。 2.2. 下载及安装 从官方渠道下载ctyunltscppsdk.zip压缩包，放到相应位置后并解压。“ctyunltscppsdk”目录中sampleputlogs.cpp为SDK的使用示例代码。 2.1.1. 依赖 cmake2.8或更新版本，GCC 4.9或更新版本。以下库及其相关头文件，可在对应Linux发行版的包管理器中安装，括号中给出的是经过验证的版本。 plaintext libcurldevel (7.6.1) openssldevel (1.1.1) protobuf (3.5.0) lz4 (v1.8.3) boost (1.66.0) 对于 CentOS 安装，可用如下命令搭建依赖环境 plaintext yum install gcc gccc++     yum install cmake yum install libcurldevel openssldevel libuuiddevel yum install lz4devel.x8664 yum install protobufdevel.x8664 yum install boostdevel.x8664 2.1.2. 编译使用 1、进入ctyunltscppsdk目录下，里面有CMakelists.txt文件。 2、执行以下命令： plaintext mkdir build cd build cmake .. DCMAKEINSTALLPREFIX.. make make install 其中make 主要做的工作有：为.proto文件生成对应的.pb.cc、.pb.h，以及编译出静态库文件libltssdk.a。 3、将ctyunltscppsdk的include目录下的头文件，全部移动到您项目的include目录下，（如果直接使用SDK 则可以不用移动）。 4、之后就可以在您的项目内使用SDK了，只需要引入对应的头文件即可。 5、编译您的程序，在您目录下内编译您的程序，构建出可执行文件。 如sampleputlogs.cpp： plaintext g++ sampleputlogs.cpp I./include L./lib/ lcurl lcrypto llz4 lprotobuf lltssdk 或者 根据主目录中的Makefile 文件。执行以下命令,也能实现上面的构建出可执行文件。 plaintext make sampleputlogs 6、执行可执行文件。 plaintext ./sampleputlogs 3. SDK使用设置

本章主要介绍翼MapReduce的修改组件数据库用户密码功能。 操作场景 建议管理员定期修改组件数据库用户的密码，以提升系统运维安全性。 对系统的影响 修改密码需要重启服务，服务在重启时无法访问。 操作步骤 1.在FusionInsight Manager选择“集群 > 待操作的集群名称 > 服务”。 2.确定修改哪个组件数据库用户密码。 修改DBService数据库omm用户密码，参考修改DBService数据库omm用户密码章节进行操作，修改其他组件数据库用户密码，需要先停止服务再执行3。 3.单击待修改数据库用户密码的服务，选择“更多 > 修改数据库密码”，在弹出窗口中输入当前登录的用户密码确认身份，单击“确定”。 4.根据界面信息，输入新旧密码。 密码复杂度要求： 组件数据库用户密码字符长度为8～32。 至少需要包含大写字母、小写字母、数字、特殊字符~!@$%^&()+[{}];", /?中的3种类型字符。 不可和用户名相同或用户名的倒序字符相同。 不可与前20个历史密码相同。 5.勾选“我已阅读此信息并了解其影响”，单击“确定”。 6.密码修改完成后，选择“更多 > 重启服务”，在弹出窗口中输入当前登录的用户密码，单击“确定”，勾选“同时重启上层服务。”，单击“确定”开始重启服务。

本文介绍如何通过UA黑白名单实现访问控制。 通过UA进行黑白名单限制。 示例代码 javascript //放行UserAgent:Mozilla/5.0的请求 function uaverify(ua){ let regex /Mozilla/5.0/ return regex.test(ua) } async function handle(request) { //401表示鉴权不通过 let statuscode 401 let result 'Verification failed!' try { //解析Request对象中的UA let myHeaders new Headers(request.headers) //封禁空UA if(!myHeaders.get('UserAgent')){ throw new Error('UA is empty!') } //精确匹配，不忽略大小写 if(uaverify(myHeaders.get('UserAgent'))){ statuscode 200 result "Verification succeeded!" } } catch (error) { result result + error } return new Response(result, { "status": statuscode }); } addEventListener('fetch', event > { event.respondWith(handle(event.request)) }) 示例预览 通过火狐浏览器访问，返回鉴权成功。 相关参考 运行时API：addEventListener 运行时API：Response 运行时API：FetchEvent 运行时API：Web Standard 运行时API：Fetch

本文介绍如何使用边缘函数修改客户端请求。 根据特殊分支场景，修改用户请求内容。 示例代码 javascript async function handleRequest(request) { // 修改当前请求的地址的 host 指向别的域名 const url new URL(request.url) url.hostname "www.ctyun.cn" url.protocol "https" // 继承原始请求的头、请求方法等参数 let newheaders request.headers newheaders.delete("Host") const requestInit { method: request.method, newheaders, } const newreq new Request(url, requestInit) // 访问 yourdomain/path 即请求 ctyun.cn/path return fetch(newreq) } addEventListener("fetch", event > { event.respondWith(handleRequest(event.request)) }) 示例预览 请求内容被修改，根据用户修改后的请求响应其他内容。 相关参考 运行时API：addEventListener 运行时API：Response 运行时API：FetchEvent 运行时API：Web Standard 运行时API：Fetch 运行时API：Request

本文介绍如何通过UA进行黑白名单限制。 通过UA进行黑白名单限制。 示例代码 javascript //放行UserAgent:Mozilla/5.0的请求 function uaverify(ua){ let regex /Mozilla/5.0/ return regex.test(ua) } async function handle(request) { //401表示鉴权不通过 let statuscode 401 let result 'Verification failed!' try { //解析Request对象中的UA let myHeaders new Headers(request.headers) //封禁空UA if(!myHeaders.get('UserAgent')){ throw new Error('UA is empty!') } //精确匹配，不忽略大小写 if(uaverify(myHeaders.get('UserAgent'))){ statuscode 200 result "Verification succeeded!" } } catch (error) { result result + error } return new Response(result, { "status": statuscode }); } addEventListener('fetch', event > { event.respondWith(handle(event.request)) }) 示例预览 通过火狐浏览器访问，返回鉴权成功。 相关参考 运行时API：addEventListener 运行时API：FetchEvent 运行时API：Web Standards 运行时API：Fetch 运行时API：Response

本文介绍如何使用边缘函数修改客户端请求。 根据特殊分支场景，修改用户请求内容。 示例代码 javascript async function handleRequest(request) { // 修改当前请求的地址的 host 指向别的域名 const url new URL(request.url) url.hostname "www.ctyun.cn" url.protocol "https" // 继承原始请求的头、请求方法等参数 let newheaders request.headers newheaders.delete("Host") const requestInit { method: request.method, newheaders, } const newreq new Request(url, requestInit) // 访问 yourdomain/path 即请求 ctyun.cn/path return fetch(newreq) } addEventListener("fetch", event > { event.respondWith(handleRequest(event.request)) }) 示例预览 请求内容被修改，根据用户修改后的请求响应其他内容。 相关参考 运行时API：addEventListener 运行时API：FetchEvent 运行时API：Web Standards 运行时API：Fetch 运行时API：Request 运行时API：Response

本节介绍如何处理暴力破解告警事件。 暴力破解是一种常见的入侵攻击行为，攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制，严重危害资产的安全。 态势感知（专业版）联动企业主机安全（HSS），接收HSS检测到的暴力破解行为，集中呈现和管理告警事件，提升运维效率。 处理告警事件 HSS通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，对发起攻击的源IP进行拦截，并上报告警事件。 当接收到来源于HSS的告警事件时，请登录HSS管理控制台确认并处理告警事件。 若您的主机被爆破成功，检测到入侵者成功登录主机，账户下所有云服务器可能已被植入恶意程序，建议参考如下措施，立即处理告警事件，避免进一步危害主机的风险。 请立即确认登录主机的源IP的可信情况。 请立即修改被暴力破解的系统账户口令。 请立即执行检测入侵风险账户，排查可疑账户并处理。 请及时执行恶意程序云查杀，排查系统恶意程序。 若您的主机被暴力破解，攻击源IP被HSS拦截，请参考如下措施，加固主机安全。 请及时确认登录主机的源IP的可信情况。 请及时登录主机系统，全面排查系统风险。 请根据实际需求升级HSS防护能力。 请根据实际情况加固主机安全组、防火墙配置。

本文主要介绍如何通过kafka导入日志。 本文主要介绍如何将天翼云分布式消息服务Kafka的数据导入到云日志服务，实现数据的查询分析、加工等操作。 注意 当前功能为试用阶段，仅在华北2资源池开放。 创建数据导入任务 1. 登录云日志服务控制台。 2. 左侧菜单栏点击“日志接入”，进入接入管理页面 3. 在“数据导入”模块中，点击“分布式消息服务Kafka数据导入” 4. 选择目标日志项目和日志单元，单击下一步。 5. 设置接入配置，配置如下参数，确认无误后，单击下一步。 参数 说明 接入配置名称 导入任务的唯一标识 Kafka 实例 选择kafka实例作为数据源 Topic 列表 选择Kafka主题，当前仅支持导入公有Topic 消费组 选择kafka中的消费组， 起始位置 选择开始导入数据的位置。 最早：从已有的第一条Kafka数据开始导入 最晚：从最近生成的Kafka数据开始导入 数据格式 待导入数据的格式。若您选择JSON字符串，导入任务会将原始数据解析为keyvalue对格式，只解析到第一层。 编码格式 选择导入数据的编码格式（即字符集），目前仅支持UTF8和GBK。 6. 创建索引。默认开启全文索引，您也可以根据需要手动创建字段索引用于字段查询。 7. 点击完成，即可完成导入任务创建。等待1分钟左右，在查询日志界面能查询到日志，则说明导入成功。

本节主要介绍配置域名映射 对于开启了公网访问的应用组件，除了在ServiceStage定义域名外，还需在域名服务提供商处进行域名映射。 前提条件 自动生成的域名仅7天有效期，在域名有效期（ 7天）过后，需修改为自定义域名。 对于已创建的应用，状态需为“运行中”才可修改域名。 已在域名提供者处获取域名。 已获取应用组件绑定的ELB的弹性公网IP。 操作步骤 1、登录ServiceStage控制中心，选择“应用管理 > 应用列表”，可查看到所有应用。 2、单击应用名称，进入应用“概览”页。 3、在“环境视图”页签，选择“环境”，可以看到已经部署在该环境下的应用组件。 4、单击应用组件名称，进入应用组件实例“概览”页。 5、设置域名： 选择“访问方式 > 设置域名”，输入已获取的“应用域名”。 （可选）设置“对外协议” 选择“ HTTP”，会存在安全风险，建议优先选择使用安全的“ HTTPS”方式。 选择“ HTTPS”，单击“使用已有”选择已经创建的证书。 若证书不存在，请单击“新创建”创建新的服务器证书。在域名提供者处进行域名映射配置。 这里以使用DNS服务为例，具体操作请参考添加记录集。

本文主要介绍模版管理概述。 CCE提供了管理Helm Chart（模板）的控制台，能够帮助您方便的使用模板部署应用，并在控制台上管理应用。CCE使用的Helm版本为v3.8.2，支持上传Helm v3语法的模板包，具体请参见通过模板部署应用。 您也可以直接使用Helm客户端直接部署应用，使用Helm客户端部署应用不受版本控制，可以使用Helm v2或v3，具体请参见通过Helm v2客户端部署应用及通过Helm v3客户端部署应用。 Helm Helm是Kubernetes的包管理器，主要用来管理Charts。Helm Chart是用来封装Kubernetes原生应用程序的一系列YAML文件。可以在您部署应用的时候自定义应用程序的一些Metadata，以便于应用程序的分发。对于应用发布者而言，可以通过Helm打包应用、管理应用依赖关系、管理应用版本并发布应用到软件仓库。对于使用者而言，使用Helm后不用需要编写复杂的应用部署文件，可以以简单的方式在Kubernetes上查找、安装、升级、回滚、卸载应用程序。 Helm和Kubernetes之间的关系可以如下类比： Helm Kubernetes Apt Ubuntu Yum CentOS Pip Python Helm的整体架构如下图： Kubernetes的应用编排存在着一些问题，Helm可以用来解决这些问题，如下： 管理、编辑与更新大量的Kubernetes配置文件。 部署一个含有大量配置文件的复杂Kubernetes应用。 分享和复用Kubernetes配置和应用。 参数化配置模板支持多个环境。 管理应用的发布：回滚、diff和查看发布历史。 控制一个部署周期中的某一些环节。 发布后的测试验证。

本节介绍退订。 如果您有退订的需求，可以进行登录 天翼云管理中心 或 分布式容器云平台 控制台进行退订操作。天翼云目前支持7天无理由全额退订和非七天无理由退订以及其他退订，详细规则请参考文档 费用中心退订。 退订注册集群 登录分布式容器云平台控制台，进入“集群管理” 页面。选择要退订的集群资源，弹窗确认无误后，点击“确认”即可完成退订。 退订集群通道 登录分布式容器云平台控制台，进入“通道管理” 页面。选择要退订的通道资源，弹窗确认无误后，点击“确认”即可完成退订。 退订集群联邦 登录分布式容器云平台控制台，进入“联邦管理” 页面。选择要退订的联邦资源，弹窗确认无误后，点击“确认”即可完成退订。

本节为您介绍认证证书相关内容。 合规证书 天翼云拥有众多合规资质（ISO/SOC/PCI等），按照国内国际和行业的合规要求，为用户提供合规、高效、稳定的安全云服务。您可在信任中心合规资质进行查看。 隐私保护 天翼云建立数据安全管理制度，采用适当的物理、管理和技术保障措施来防止您的信息遭到未经授权访问、披露、使用、修改、损坏或丢失。您可以在隐私中心进行查看。

本节介绍了云容器引擎的最佳实践：Nginx Ingress实现灰度发布和蓝绿发布。 Nginx Ingress可以通过业务流量切分的方式，实现应用的灰度/蓝绿发布。Nginx Ingress支持三种流量切分策略，分别是基于Header、基于Cookie和基于服务权重。这三种策略可以归纳为两种场景： 将匹配的业务流量切分到新版本 将指定比例的流量切分到新版本 接下来本文将按照Nginx Ingress配置说明 、前提条件、应用场景和操作步骤的顺序进行介绍。 Nginx Ingress配置说明 为实现灰度/蓝绿发布，应用前提： 配置两个Ingress资源：一个为常规Ingress，一个为Canary Ingress。这两个Ingress通过域名（host）和路径（path）关联。Canary Ingress需带有注解nginx.ingress.kubernetes.io/canary: "true"。 通过注解为Canary Ingress配置流量切分策略，将流量路由到Canary Ingress定义的Service上，即可实现灰度发布、蓝绿发布、A/B测试等各种业务场景。 Nginx Ingress支持的流量切分策略注解如下： nginx.ingress.kubernetes.io/canarybyheader 基于Header切分流量，用于灰度发布。如果请求头中包含指定的header key，且值为“always”，则将请求切分到Canary Ingress定义的Service上。如果值为“never”，则将请求转发到常规Ingress定义的Service上。如果为其他值，则忽略该注解规则，并通过优先级将请求流量分配到其他规则。 nginx.ingress.kubernetes.io/canarybyheadervalue 与 canarybyheader 一起使用，可自定义header value。如果请求头命中自定义值，则将请求切分到Canary Ingress定义的Service上。如果为其他值，则忽略该注解规则，并通过优先级将请求流量分配到其他规则。 nginx.ingress.kubernetes.io/canarybyheaderpattern 与 canarybyheadervalue 工作方式类似，支持通过正则表达式匹配header value。请注意，当设置了 canarybyheadervalue 时，此注解规则将被忽略。 nginx.ingress.kubernetes.io/canarybycookie 基于Cookie切分流量，用于灰度发布，与canarybyheader相似。Cookie value仅支持“always”和“never”。 nginx.ingress.kubernetes.io/canaryweight 基于服务权重切分流量，用于灰度发布或蓝绿发布。权重取值范围为[0100]，表示Canary Ingress所切分到的流量百分比。 以上策略的优先级顺序为： canarybyheader > canarybycookie > canaryweight 。更多内容请参阅官方文档Annotations。

本章节主要介绍翼MapReduce服务LdapServer健康检查指标项说明。 SlapdServer服务可用性检查 指标项名称： SlapdServer服务可用性 指标项含义： 系统对SlapdServer服务状态进行检查。如果检查结果不正常，则SlapdServer服务不可用。 恢复指导： 如果该指标项检查结果不正常，原因可能是SlapdServer服务所在节点故障或者SlapdServer进程故障。操作人员进行SlapdServer服务恢复时，请尝试如下操作： 检查SlapdServer服务所在节点是否故障。详细操作请参见告警ALM12006处理。 检查SlapdServer进程是否正常。详细操作请参见告警ALM12007处理。 服务健康状态 指标项名称： 服务状态 指标项含义 ：系统对LdapServer服务状态进行检查。如果检查结果不正常，则LdapServer服务不可用。 恢复指导： 如果该指标项检查结果不正常，原因可能是主LdapServer服务所在节点故障或者主LdapServer进程故障。详细操作请参见告警ALM25000处理。 检查告警 指标项名称： 告警信息 指标项含义 ：系统对LdapServer服务的告警信息进行检查。如果存在告警信息，则LdapServer服务可能存在异常。 恢复指导： 如果该指标项检查结果不正常，建议根据告警内容，查看对应的告警资料，并进行相应的处理。

手动安装dto 使用条件 1. 无法使用自动安装时，可通过手动安装dto。 操作步骤 步骤一：网络配置 场景1：若同步资源为天翼云内资源时，需手动配置其需同步资源所在的虚拟私有云（VPC），并通过部署VPC终端节点（VPCEP）实现MDR网络代理与目标VPC的安全互联。 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择资源所在区域。 3. 在服务列表选择“网络”“VPC终端节点”，进入网络控制台。 4. 点击右上角“创建终端节点”按钮，进入创建VPC终端节点页面。 5. 在进行节点添加之前，需要把云主机所在的VPC，进行终端节点连接配置，截图如下： 服务类型选择“按服务实例ID查找服务”。其中，可用服务处填写MDR在不同资源池内的代理VPC终端节点服务ID（为MDR侧提供固定ID，不同资源池ID不同）。不同资源池对应的代理VPC终端节点服务ID如下： 资源池名称 终端节点服务ID 华东1 endpserbjs8nmhm5m 西南1 endpserfnc13o1uao 华南2 endpserx6xhocvz79 西南2 endpserikzxim4cpv 华北2 endpserlmmnp90xgx 虚拟私有云选择需要添加的ECS节点所在的VPC。 注意：此链接对于租户侧不收费，费用都在终端节点服务端侧（MDR）结算。 6. 租户配置终端节点成功后，点击详情页可查看节点IP。此节点IP就是后续安装drnode客户端时，需要进行配置填写的IP。 场景2：云下、其他 1. 云下或者其他场景，需要联系技术专家针对客户实际场景进行方案解决。 2. 主要网络打通方案参考： 1. 云下通过公网与MDR打通 2. 云下通过专线 3. 云下通过VPN 4. 云下通过SDWAN 步骤二：安装dto客户端 1） RHEL/CentOS（Linux）系统安装DTO a）安装DTO 当安装DTO的同步主机操作系统为el7.2及以上版本时，可以采用软件包方式安装DTO。 1. DTO软件程序可以部署在物理主机或虚拟机上，在Linux操作系统下安装DTO，用户需要准备适配的操作系统，支持的Linux操作系统版本详见上方“软硬件环境要求”章节，安装步骤如下： 将DTO安装包上传到服务器，执行DTO安装包的安装命令进行安装，访问安装包下载页面：

通过后台提交作业 MRS 3.x及之后版本客户端默认安装路径为“/opt/Bigdata/client”，MRS 3.x之前版本为“/opt/client”。具体以实际为准。 1.登录MRS客户端。 2.执行如下命令初始化环境变量。 source /opt/Bigdata/client/bigdataenv 3.若集群开启Kerberos认证，需要执行以下步骤，若集群未开启Kerberos认证请跳过该步骤。 a.准备一个提交Flink作业的用户。 b.使用新创建的用户登录Manager页面。 MRS 3.x之前版本，登录集群的Manager界面，选择“系统设置 > 用户管理”，在已增加用户所在行的“操作”列，选择“更多 > 下载认证凭据”。 MRS 3.x及之后版本，登录集群的Manager界面，选择“系统 > 权限 > 用户”，在已增加用户所在行的“操作”列，选择“更多 > 下载认证凭据”。 c.将下载的认证凭据压缩包解压缩，并将得到的user.keytab文件拷贝到客户端节点中，例如客户端节点的“/opt/Bigdata/client/Flink/flink/conf”目录下。如果是在集群外节点安装的客户端，需要将得到的krb5.conf文件拷贝到该节点的“/etc/”目录下。 d.MRS 3.x及之后版本，安全模式下需要将客户端安装节点的业务IP以及Manager的浮动ip追加到“/opt/Bigdata/client/Flink/flink/conf/flinkconf.yaml”文件中的“jobmanager.web.allowaccessaddress”配置项中，ip之间使用英文逗号分隔。 e.配置安全认证，在“/opt/Bigdata/client/Flink/flink/conf/flinkconf.yaml”配置文件中的对应配置添加keytab路径以及用户名。 security.kerberos.login.keytab: security.kerberos.login.principal: 例如： security.kerberos.login.keytab: /opt/Bigdata/client/Flink/flink/conf/user.keytab security.kerberos.login.principal: test f.在Flink的客户端bin目录下，执行如下命令进行安全加固，password请重新设置为一个用于提交作业的密码。 sh generatekeystore.sh 该脚本会自动替换“/opt/Bigdata/client/Flink/flink/conf/flinkconf.yaml”中关于SSL的值，针对MRS 3.x之前版本，安全集群默认没有开启外部SSL，用户如果需要启用外部SSL，进行配置后再次运行该脚本即可，配置参数在MRS的Flink默认配置中不存在，用户如果开启外部连接SSL，则需要添加下表中参数。 参数描述 参数 参数值示例 描述 security.ssl.rest.enabled true 打开外部SSL开关。 security.ssl.rest.keystore ${path}/flink.keystore keystore的存放路径。 security.ssl.rest.keystorepassword 123456 keystore的password，“123456”表示需要用户输入自定义设置的密码值。 security.ssl.rest.keypassword 123456 ssl key的password，“123456”表示需要用户输入自定义设置的密码值。 security.ssl.rest.truststore ${path}/flink.truststore truststore存放路径。 security.ssl.rest.truststorepassword 123456 truststore的password，“123456”表示需要用户输入自定义设置的密码值。 说明 针对MRS 3.x之前版本，generatekeystore.sh脚本无需手动生成。 会将生成的flink.keystore、flink.truststore、security.cookie自动填充到“flinkconf.yaml”对应配置项中。 针对MRS 3.x及之后版本，“security.ssl.keypassword”、“security.ssl.keystorepassword”和“security.ssl.truststorepassword”的值需要使用Manager明文加密API进行获取： curl k i u : X POST HContenttype:application/json d '{"plainText":" "}' 'https:// x.x.x.x :28443/web/api/v2/tools/encrypt' ；其中 要与签发证书时使用的密码一致，x.x.x.x为集群Manager的浮动IP。 g.客户端访问flink.keystore和flink.truststore文件的路径配置。 绝对路径：执行该脚本后，在flinkconf.yaml文件中将flink.keystore和flink.truststore文件路径自动配置为绝对路径“/opt/Bigdata/client/Flink/flink/conf/”，此时需要将conf目录中的flink.keystore和flink.truststore文件分别放置在Flink Client以及Yarn各个节点的该绝对路径上。 相对路径：请执行如下步骤配置flink.keystore和flink.truststore文件路径为相对路径，并确保Flink Client执行命令的目录可以直接访问该相对路径。 i.在“/opt/Bigdata/client/Flink/flink/conf/”目录下新建目录，例如ssl。 ii. 移动flink.keystore和flink.truststore文件到“/opt/Bigdata/client/Flink/flink/conf/ssl/”中。 iii. 针对MRS 3.x及之后版本，修改flinkconf.yaml文件中如下两个参数为相对路径。 security.ssl.keystore: ssl/flink.keystore security.ssl.truststore: ssl/flink.truststore iv. 针对MRS 3.x之前版本，修改flinkconf.yaml文件中如下两个参数为相对路径。 security.ssl.internal.keystore: ssl/flink.keystore security.ssl.internal.truststore: ssl/flink.truststore h.如果客户端安装在集群外节点，请在配置文件（如：“ /opt/Bigdata/client/Flink/fink/conf/flinkconf.yaml ”） 中增加如下配置值，其中xx.xx.xxx.xxx请替换为客户端所在节点的IP。 web.accesscontrolalloworigin: xx.xx.xxx.xxx jobmanager.web.allowaccessaddress: xx.xx.xxx.xxx 4.运行wordcount作业。 普通集群（未开启Kerberos认证） −执行如下命令启动session，并在session中提交作业。 yarnsession.sh nm "sessionname" flink run /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar −执行如下命令在Yarn上提交单个作业。 flink run m yarncluster /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar 安全集群（开启Kerberos认证） −flink.keystore和flink.truststore文件路径为绝对路径时： 执行如下命令启动session，并在session中提交作业。 yarnsession.sh nm "sessionname" flink run /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar 执行如下命令在Yarn上提交单个作业。 flink run m yarncluster /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar −flink.keystore和flink.truststore文件路径为相对路径时： 在“ssl”的同级目录下执行如下命令启动session，并在session中提交作业，其中“ssl”是相对路径，如“ssl”所在目录是“opt/Bigdata/client/Flink/flink/conf/”，则在“opt/Bigdata/client/Flink/flink/conf/”目录下执行命令。 yarnsession.sh t ssl/ nm "sessionname" flink run /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar 执行如下命令在Yarn上提交单个作业。 flink run m yarncluster yt ssl/ /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar

7、增加Sdk的初始化方法 在用户同意隐私协议后，进入登录页面，需要在Activity的OnCreate方法中获取Intent，并通过intent的getQueryParameter的方法，获取到授权回调回来的idtoken字段的值，这个值就是AoneId授权成功回来的token，传入SdkInit的入参，完成Sdk的初始化方法，步骤如下： 在登录页的onCreate方法中增加获取AOne网页授权回来的token的方法，如下所示： / 这个方法是Aone网页授权回调后,获取到SdkInit的所需要的token的方法 调用线程：主线程 / public void aoneAuthBack() { // 获取 Intent 中的数据 Intent intent getIntent(); if (intent ! null && Intent.ACTIONVIEW.equals(intent.getAction())) { Uri data intent.getData(); if (data ! null) { String idToken data.getQueryParameter("idtoken"); Log.i(TAG, "[AOne] idtoken:" + idToken); Map params new HashMap<>(); params.put(Const.INITPARAMS.AONEIDTOKEN, idToken); SdkInit(this,params); } else { Toast.makeText(MainActivity.this, getText(R.string.ushouldauthbywebfirst), Toast.LENGTHSHORT).show(); } } else { Toast.makeText(MainActivity.this, getText(R.string.ushouldauthbywebfirst), Toast.LENGTHSHORT).show(); } } 把这个token传入SdkInit方法中，注意这里有获取ip的行为，需要在用户同意隐私协议后才能调用。 初始化接口会回调你们一个 token ， 需要拿着这个token 下次来初始化，如果在有效期内， 初始化成功， 会在返回给你们一个新的 token ，如果有效期过期， 会通过回调告诉你们有效期过期了， 重新走登录流程。 / 方法名：SdkInit 描述：这个方法用于Sdk初始化，入参只需要AOneId网页授权回调回来的token 使用前置条件：AoneId网页授权成功后,获取到token,然后传入这个方法，注意这里有获取ip的行为，需要在用户同意隐私协议后才能调用 使用线程: 主线程 回调线程: 主线程 使用方法: Map params new HashMap<>(); params.put(Const.INITPARAMS.AONEIDTOKEN, idToken); SdkInit(this,params); 参数说明: @param context 当前的Activity @param params map类型的入参，这里只需要往map里面传入一个参数,key是Const.INITPARAMS.AONEIDTOKEN,value是AoneId授权成功后的token 接口回调数据: 回调后的数据类型是map类型, 成功回调示例: {code"0x00000", data{"aoneSdkToken":"aoneSdk的token"}, message成功} 失败回调示例:{code"0x00999", data{}, message未知错误} 接口回调数据字段说明: code: 状态码, data: 数据, message: 消息 / private void SdkInit(MainActivity context,Map params) { AOneSdkClient.Companion.SdkInit(context, params, new AOneSdkClient.Companion.SdkCallBack() { @Override public void onResponse(@NonNull Map map) { Log.i(TAG, "[init] response: " + map); String code map.get(Const.RESPONSE.CODE); String message map.get(Const.RESPONSE.MESSAGE); if (ResultCode.SUCCESS.getValue().equals(code)) { String data map.get(Const.RESPONSE.DATA); if (!TextUtils.isEmpty(data)) { Map dataMaps GsonUtils.Companion.GsonToMaps(data); if (dataMaps ! null) { String aoneSdkToken dataMaps.get(Const.DATA.AoneSdkToken); if (TextUtils.isEmpty(aoneSdkToken)){ return; } Log.i(TAG, "[init] 这里需要保存aoneSdkToken 下次自动登录的时候回传给sdk: " + aoneSdkToken); Toast.makeText(MainActivity.this, getText(R.string.initsuccess), Toast.LENGTHSHORT).show(); } } } else { findViewById(R.id.aOneAccountLogin).setEnabled(true); findViewById(R.id.aOneWebViewLogin).setEnabled(true); Toast.makeText(MainActivity.this, message, Toast.LENGTHSHORT).show(); } } }); }

查询轻量型云主机列表 接口功能介绍 该接口提供用户多台轻量型云主机信息查询功能，用户可以根据此接口的返回值得到多轻量型台云主机信息。 URI POST /v4/ecs/lite/list 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID，您可以调用regionID查看最新的天翼云资源池列表 888888c8888888e8a8888888ac888888 pageNo 否 Integer 页码 ，默认值:1 1 pageSize 否 Integer 每页记录数目 ，取值范围:[1~50]，默认值:10，单页最大记录不超过50 10 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码(800为成功，900为失败) 800 errorCode String 业务细分码，为product.module.code三段式码，详见错误码说明 Openapi.PatternCheck.NotValid message String 失败时的错误描述，一般为英文描述 SUCCESS description String 失败时的错误描述，一般为中文描述 成功 returnObj Object 成功时返回的数据 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 currentCount Integer 当前页记录数目 1 totalCount Integer 总记录数 10 totalPage Integer 总页数 1 results Array of Objects 分页明细 results 表 results 参数 参数类型 说明 示例 下级对象 resourceID String 云主机资源ID f88bc88a88a888e8a88bf88888888888 instanceID String 云主机ID 88f888ea88ff88eca8bc888888888fe8 displayName String 云主机显示名称 xxx8888 instanceName String 云主机名称 xxx8888 osType Integer 操作系统类型，取值范围：1: linux，2: windows，3: redhat，4: ubuntu，5: centos，6: oracle 5 instanceStatus String 云主机状态，取值范围：backingup: 备份中，creating: 创建中，expired: 已到期，freezing: 冻结中，rebuild: 重装，restarting: 重启中，running: 运行中，starting: 开机中，stopped: 已关机，stopping: 关机中，error: 错误，snapshotting: 快照创建中 running expiredTime String 到期时间 20230419T09:37:53Z createdTime String 创建时间 20221019T09:37:53Z addresses Object 网络地址信息 addresses image Object 镜像信息 image flavor Object 规格信息 flavor bandwidth Integer 带宽 2 bootDiskSize Integer 系统盘大小 40 表 addresses 参数 参数类型 说明 示例 下级对象 addressList Array of Objects 网络地址列表 addressList 表 image 参数 参数类型 说明 示例 下级对象 imageID String 镜像ID b88888b8ff888888b88f8c8fbc888b88 imageName String 镜像名称 CentOS7.5.v120210303 表 flavor 参数 参数类型 说明 示例 下级对象 flavorID String 规格ID 8f8ba88888e8ea88ea8b888888dded88 flavorName String 规格名称 s7.medium.2 flavorCPU Integer VCPU 1 flavorRAM Integer 内存 2048 表 addressList 参数 参数类型 说明 示例 下级对象 addr String 地址 192.168.0.62 version Integer IP版本 4 type String 网络类型 fixed

本节介绍企业主机安全应用进程控制功能。 应用进程控制概述 应用进程控制功能支持管控应用进程运行，通过学习服务器中运行的应用进程特征，将应用进程划分为可信进程、恶意进程和可疑进程，允许可疑、可信进程正常运行，对恶意进程运行进行告警，帮助用户构建安全的应用进程运行环境，避免服务器遭受不受信或恶意应用进程的破坏。 使用约束 使用应用进程控制功能须满足以下条件： 服务器已开启HSS旗舰版、网页防篡改版或容器版防护。 服务器已安装Agent的版本为以下版本，升级Agent的操作，请参见升级Agent章节。 − Linux：3.2.7及以上版本。 − Windows：4.0.19及以上版本。 应用进程控制使用流程 创建白名单策略 在开启应用进程控制防护前，您需要为服务器创建白名单策略，设置HSS学习服务器应用进程特征的学习天数、学习结果确认方式和对可疑或恶意进程的防护动作等；HSS后续将根据策略设置为服务器提供相应的应用进程控制防护能力。 操作步骤 1、登录管理控制台。 2、在左侧导航栏，选择“主动防御 > 应用进程控制”，进入“应用进程控制”界面。 3、选择“白名单策略”页签，单击“创建策略”。 4、在“创建策略”弹窗中，设置策略参数，相关参数说明请参见下表。 参数名称 参数说明 策略模式 应用进程控制防护策略模式。 默认配置下日常运营模式允许可信、可疑进程运行，仅对恶意进程进行告警。 白名单策略名称 系统默认会生成白名单策略名称，建议您自定义修改，后续方便区分和管理。 智能学习天数 企业主机安全学习服务器应用进程的天数。学习天数越多，学习结果越准确。 学习结果确认方式 当企业主机安全学习完策略关联的服务器后，对于特征不明显可疑进程的确认方式。 自动确认可疑进程：HSS根据应用进程特征库，自动确认并标记特征不明显的可疑应用进程。 手动确认可疑进程：您在“应用进程控制 > 白名单策略”页面，单击策略名称，进入策略详情页，选择“进程文件”页签，筛选“待确认状态”的进程，根据实际业务情况确认并手动标记特征不明显的可疑进程。 策略生效方式 当企业主机安全学习完策略关联的服务器后，开启应用进程控制的方式。 学习完成后自动开启：系统自动开启策略关联的服务器的应用进程控制。 学习完成后手动开启：您根据业务情况手动开启应用进程控制。 防护动作 当发现恶意进程后的防护动作。对恶意进程进行告警。 选择服务器 选择需要防护的服务器。当服务器的防护状态为“防护中”时，才会在列表中呈现。 5、单击“确认”，完成创建。 您策略列表中可以查看已创建的策略及策略当前状态。 说明 创建白名单策略完成后，HSS会自动开始对策略关联的服务器进行学习，学习服务器中的应用进程特征。待策略状态变更为“学习完成，未生效”表示学习完成。

接口功能介绍 安全告警统计 接口约束 传参规范 URI GET /vfw/v2alarmstatics 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 firewallId 是 String 防火墙id c7cfe772fd3f482da630132e6548a19a startTime 是 String 开始时间不为空 20241023T08:31:25Z finishTime 是 String 结束时间不为空 20241023T08:31:25Z 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj Object 接口返回结果 AlarmStaticsView 表 AlarmStaticsView 参数 参数类型 说明 示例 下级对象 runMode String 告警模式 1 alarmOverview Object 告警统计 AlarmOverview attackTypes Object 攻击类型统计 AttackTypes attackLevel Object 攻击等级统计 AttackLevels 表 AlarmOverview 参数 参数类型 说明 示例 下级对象 alarmCount Integer 告警次数 1 dropCount Integer 已拦截次数 1 alertCount Integer 仅告警次数 1 attackIpCount Integer 攻击IP数 1 affectedIpCount Integer 受影响IP数 2 表 AttackTypes 参数 参数类型 说明 示例 下级对象 InformationDisclosure Integer 扫描数 1 Malware Integer 木马数 1 Malwaretraffic Integer 暴力破解数 1 Dos Integer ddos数 1 Networkmonitor Integer webshell数 2 Protocolexception Integer Protocolexception数 1 Vulnerability Integer 漏洞数 2 Other Integer 其他 1 表 AttackLevels 参数 参数类型 说明 示例 下级对象 serious Integer 严重数 1 high Integer 高危数 1 middle Integer 中危数 1 low Integer 低危数 1

本文主要介绍存储管理类问题。 一、CCE支持的存储在持久化和多节点挂载方面的区别是怎样的？ 容器存储是为容器工作负载提供存储的组件，支持多种类型的存储，同一个工作负载（pod)可以使用任意数量的存储。 当前云容器引擎CCE支持本地磁盘存储、云硬盘存储卷、文件存储卷、对象存储卷和极速文件存储卷。 各类存储的区别和对比如下： 各类存储的区别和对比 存储类型 持久化存储 伴随容器自动迁移 多节点挂载 本地磁盘存储 支持 不支持 不支持 云磁盘存储卷（EVS） 支持 支持 不支持 对象存储卷（OBS） 支持 支持 支持，可由多个节点或工作负载共享 文件存储卷（SFS） 支持 支持 支持，可由多个节点或工作负载共享 极速文件存储卷（SFS Turbo） 支持 支持 支持，可由多个节点或工作负载共享 CCE存储类型选择 创建工作负载时，可以使用以下类型的存储。建议将工作负载pod数据存储在云存储上。若存储在本地磁盘上，节点异常无法恢复时，本地磁盘中的数据也将无法恢复。 本地硬盘：将容器所在宿主机的文件目录挂载到容器的指定路径中（对应Kubernetes的HostPath），也可以不填写源路径（对应Kubernetes的EmptyDir），不填写时将分配主机的临时目录挂载到容器的挂载点，指定源路径的本地硬盘数据卷适用于将数据持久化存储到容器所在宿主机，EmptyDir（不填写源路径）适用于容器的临时存储。配置项（ConfigMap）是一种用于存储工作负载所需配置信息的资源类型，内容由用户决定。密钥（Secret）是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型，内容由用户决定。 云硬盘存储卷：CCE支持将EVS创建的云硬盘挂载到容器的某一路径下。当容器迁移时，挂载的云硬盘将一同迁移。这种存储方式适用于需要永久化保存的数据。 文件存储卷：CCE支持创建SFS存储卷并挂载到容器的某一路径下，也可以使用底层SFS服务创建的文件存储卷，SFS存储卷适用于多读多写的持久化存储，适用于多种工作负载场景，包括媒体处理、内容管理、大数据分析和分析工作负载程序等场景。 对象存储卷：CCE支持创建OBS对象存储卷并挂载到容器的某一路径下，对象存储适用于云工作负载、数据分析、内容分析和热点对象等场景。 极速文件存储卷：CCE支持创建SFS Turbo极速文件存储卷并挂载到容器的某一路径下，极速文件存储具有按需申请，快速供给，弹性扩展，方便灵活等特点，适用于DevOps、容器微服务、企业办公等应用场景。

本文介绍天翼云云工作流的流程定义语言。 通过基础知识和相关使用示例， 可达到基本了解构建和管理业务流程的过程。 基本概述 流程（workflow）基本架构 状态（state）通用结构 transtion字段 stateDataFilter字段 相关文档 基本概述 天翼云云工作流流程定义基于CNCF ServerlessWorkflow Specification 0.8版本进行适配优化的。其主要特征是一种基于YAML的声明式工作流规范，用于定义由事件驱动的无服务器应用编排逻辑。它通过状态（State）组织任务流，支持顺序/并行执行（Parallel状态）、条件分支（Switch状态）、暂停（Sleep状态）等控制逻辑，并能通过错误捕获（Catch策略）和重试机制（Retry策略）实现容错处理。其核心特点包括与云服务事件源的无缝集成、状态间数据传递（Data Input/Output）等。所有状态（State）共享基础属性：名称(name)、类型(type)、输入输出(Data Input/output)。通过组合这些状态类型，可以构建出复杂的业务流程。 流程通常包含若干状态（State），这些状态可以是简单的执行类状态，例如任务（Operation）、暂停（Sleep）、传递（Noop）和失败（Fail）等；也可以是复杂的流程控制类状态，例如选择（Switch）、并行（Parallel）和迭代（Foreach）。其作用列举如下： 操作（Operation） ：主要是用于调用集成服务API来完成特定任务， 利用任务类型状态可以执行一个函数调用，调用天翼云云服务API，也可以通过HTTP/HTTPS等通用协议发起第三方服务调用。 传递（Noop） ：是一种特殊的Operation类型状态， 它主要利用场景是用于在流程编排过程中的一种占位符作用的存在。可当作空白节点或者作为数据预处理节点将输入数据结构转换成期望的输出。 失败（Fail）：是一种特殊的Operation类型状态。Fail状态会返回失败结果，可用于提前结束工作流执行并将执行结果置为失败。 暂停（Sleep）：用于暂停工作流执行， 可将工作流按照指定时长等待或者暂停至特定时间点后继续执行。 条件分支（Switch）：根据条件表达式选择执行路径，类似编程中的switchcase，灵活控制流程方向。 并行（Parallel）：并行执行多个分支，合并各分支结果，适用于需要同时处理多项任务的场景。 迭代（Foreach）：并行遍历输入数组，对每个元素执行处理器逻辑，类似foreach循环，高效处理批量数据。 状态（State）是工作流的基本执行单元，每个状态代表流程中的一个步骤，包含输入处理、业务逻辑执行和输出传递功能。状态之间通过转换（transition）形成有向关系，共同构成完整的工作流。

本章节向您介绍如何克隆安全组与复制安全组规则。 克隆安全组 操作场景 VPC支持同区域或者跨区域克隆安全组，方便您将相同的安全组规则快速应用到不同区域的弹性云主机上。 当您遇到如下场景时，推荐您使用克隆安全组功能： 假设您已经在区域A创建了一个安全组sgA，此时您需要为区域B内的弹性云主机使用与sgA完全相同的规则，您可以直接将sgA克隆到区域B，而不需要在区域B重新创建安全组。 如果您的业务需要执行新的安全组规则，您可以克隆原有的安全组作为备份。 如果您需要修改当前业务使用的安全组规则，建议您可以克隆一个测试安全组，在测试环境调测成功后，再修改运行的业务安全组。 约束与限制 同一个区域内克隆安全组时，可以克隆安全组内的全部规则。 跨区域克隆安全组时，仅支持克隆源/目的地址是IP地址或者本安全组的规则，不支持克隆源/目的地址是其他安全组和IP地址组的规则。 克隆安全组功能是克隆安全组及安全组规则，不支持克隆此安全组关联的实例。 克隆安全组支持在同一个账号内使用，如果您需要跨账号快速创建安全组，则推荐您使用导入/导出安全组规则功能。 操作步骤 1. 登录管理控制台，进入“虚拟私有云>访问控制>安全组”。 2. 在安全组列表中，单击目标安全组所在行的操作列的“克隆”。 3. 根据界面提示，选择新克隆安全组所在的区域，名称等参数。 4. 参数设置完成后，单击“确定”，完成安全组克隆，您可以在对应区域的安全组列表中，查看克隆成功的安全组。 复制安全组规则

本页为您介绍WPS云文档天翼云版的功能特性 多人协作 多人随时随地在不同设备上针对同一份文档进行协作编辑，资料实时同步更新，在线评论文档，高效沟通无忧，协作痕迹留存，可查看可还原。 文档共享 文档外链一键分享功能，在与企业外部的客户或合作伙伴共享大文件时，以外链的形式一键发送，提高传输速度，避免因邮件限制文件大小而收发不到，同时还可以减小企业带宽压力。 文档存储 企业资料上云，云端统一存储，让文档不再零散存放。 文档安全 后台实现企业成员的统一管理，明确各人职能权限，事前架构制定、事中权限分级、事后水印追溯， 全方位保障企业信息安全。 小工具 强大 PDF 功能，支持批量完美转换，支持 PDFWord 互转、PDF 合并、提取等功能，满足企业所需的 PDF 操作需求。一键识别图片文字，轻轻一扫，即可一键将图片中的文字转换为文本，极大限度提高办公效率。日历待办、统计表单、流程图&思维导图等轻工具助力企业高效安排每日工作。

计费项 APM提供特惠包以及按需计费模式，计费项仅包含探针。 产品规格 计费方式 特惠包名称 规格 价格 计费单价 有效期 ::::::: 企业版 特惠包 初级特惠包 150个探针天 (包含资源可供150个探针使用1天，或5个探针使用30天） 700元 4.67元/探针天 1年 企业版 特惠包 中级特惠包 1200个探针天 (包含资源可供1200个探针使用1天，或40个探针使用30天） 4,200元 3.5元/探针天 1年 企业版 特惠包 高级特惠包 9600个探针天 (包含资源可供9600个探针使用1天，或320个探针使用30天） 25,200元 2.616元/探针天 1年 企业版 特惠包 黄金特惠包 36500个探针天（包含资源可供100个探针使用365天） 66,838元 1.8312/探针天 1年 企业版 特惠包 铂金特惠包 109500个探针天（包含资源可供300个探针使用365天） 174,000元 1.5696/探针天 1年 企业版 特惠包 顶级特惠包 182500个探针天（包含资源可供500个探针使用365天） 238,710元 1.308/探针天 1年 企业版 按需计费 4.8元/探针天（相当于0.2元/探针小时） 免费 体验版 完全免费，最多可接入10个探针在线