本文介绍告警管理功能的使用方式。 操作步骤 1. 登录ECX控制台。 2. 点击左侧栏【服务管理>告警管理】并进入。 3. 告警管理版块可以查看和管理告警配置、告警模板、告警消息。 说明 告警管理版块支持对以下类型的资源实例或场景进行监控告警：边缘虚拟机【类型请选择“边缘虚机”】、边缘虚拟机带宽、边缘裸金属带宽、NAT网关、边缘云专线实例，及边缘虚拟机带宽汇总、边缘裸金属带宽汇总。 新增告警策略 1. 登录ECX控制台， 点击【服务管理>告警管理>告警配置】，可以查看配置的告警策略。 2. 点击【+新增告警规则】，创建一个告警策略。 3. 输入策略名称、选择监控类型、输入备注信息。 4. 选择对指定资源进行告警，还是对所有资源进行告警。如果对指定资源进行告警，还需要选择具体告警对象。 5. 支持通过模板快速配置，可以在【服务管理>告警管理>告警模板】中创建和管理告警策略模板。 6. 选择告警恢复时是否需要通知。 7. 选择告警级别，支持紧急告警、警告告警、注意告警三个级别。 8. 配置告警指标，选择具体的指标、条件、阈值，当监控对象满足条件时，将会触发此告警策略、产生告警消息。 9. 设置告警通知策略：选择告警接收组，当产生告警消息时，将会通知接收组中配置的联系人。通知方式支持邮件、短信，是否支持重复通知、接收通知的周期和时间段。接收组在【服务管理>消息管理>消息接收组】中配置。

ECI已自动接入APM应用性能监控，本文介绍如何查看监控数据。 背景信息 应用性能监控（Application Performance Monitoring，APM）是天翼云可观测体系中的一款产品，帮助您进行应用性能管理。 ECI实例默认接入APM应用性能监控，自动上报ECI实例的监控指标（通过系统账号，非用户账号，无需用户承担APM应用性能监控费用），包括cAdvisor容器指标、运行时指标丰富指标。 查看监控数据 通过ECI控制台查看 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 在容器组列表中找到该实例，点击实例名称进入实例详情页面。 3. 在实例详情页面点击监控页签即可查看该实例的监控信息。参考如下图： 通过ECI OpenAPI查看 获取ECI实例监控数据，详情请参考++查询ECI监控指标++。

本章节主要介绍翼MR Manager的配置历史特性。 操作场景 用户需要查看配置历史信息。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“运维与配置 > 配置历史”。 5. 选择要查看的集群服务、配置文件，点击“查询”按钮，即可查看配置文件历史，如图所示： 说明 1. 页面上方为查询区域。 2. 支持查看不同配置文件的所有历史版本信息。 3. 支持查看配置文件不同版本的配置内容、并支持不同版本之前的内容对比。 4. 支持查看配置文件当前版本的同步详情。

本章节主要介绍翼MR Manager的查看配置组详情的操作。 操作场景 用户可以查看不同配置组的详细信息，了解该配置组所包含的主机信息。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“运维与配置 > 配置管理”。 5. 查询条件选择指定集群服务。 6. 选择要查看的配置组，鼠标移入到配置组名称上，单击右侧的“详情”图标，进入到配置组详情页面。如图所示：

云监控服务相关概念 使用云监控服务之前，请先了解一下相关概念，从而可以更好的使用云监控服务。 监控指标 监控指标是云监控服务的核心概念，通常是指云平台上某个资源的某个维度状态的量化值，如云主机的CPU使用率、内存使用率等。监控指标是与时间有关的变量值，会随着时间的变化产生一系列监控数据，帮助用户了解特定时间内该监控指标的变化。 聚合 聚合是云监控服务在特定周期内对各服务上报的原始采样数据采取平均值、最大值、最小值、求和值、方差值计算的过程。这个计算的周期又叫做聚合周期，目前云监控服务支持5分钟、20分钟、1小时、4小时、24小时共五种聚合周期。 监控面板 监控面板为用户提供自定义查看监控数据的功能，支持在一个监控面板跨服务、跨维度查看监控数据，将您关注的重点服务监控指标集中呈现，既能满足总览服务运行概况，又能满足排查故障时快速查看监控详情的需求。 主题 主题是设置告警通知是客户端订阅通知的特定事件类型，为用户提供一对多的发布订阅以及消息通知功能，支持用户实现一站式多种消息通知方式。云监控服务在监控到云服务资源发生变化时，可通过多种方式通知用户，让用户实时掌握云服务的运行状况。

section3aef9b71341e43c4)。 非简单请求的跨域访问 注意 非简单请求的跨域访问需要在API的分组中创建一个“请求方法”为“OPTIONS”的API，作为预检请求。 预检请求API的参数设置，请参考以下说明填写。详细的使用指导可参考非简单请求。 a. 在“前端定义”中，参数填写说明如下： 请求方法：选择“OPTIONS” 请求协议：选择与已开启CORS的API相同的请求协议 请求Path：填斜杠/ b. 在“安全配置”中，安全认证选“无认证”，勾选“开启支持跨域CORS”。 c. 后端服务选择Mock 简单请求 对于简单请求，您需要开启简单跨域访问。 场景一：已开启CORS，且后端服务响应消息中未指定跨域头时，API网关接受任意域的请求，并返回“AccessControlAllowOrigin”跨域头，示例如下： 浏览器发送一个带Origin字段的请求消息： GET /simple HTTP/1.1 Host: www.test.com Orgin: ContentType: application/xwwwformurlencoded; charsetutf8 Accept: application/json Date: Tue, 15 Jan 2019 01:25:52 GMT Origin：此字段必选，表示请求消息所属源，上例中请求来源于“ 后端服务返回响应消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT ContentType: application/json ContentLength: 16 Server: apigateway {"status":"200"} API网关响应消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT ContentType: application/json ContentLength: 16 Server: apigateway XRequestId: 454d689fa69847610b3ca486458fb08b AccessControlAllowOrigin: {"status":"200"} AccessControlAllowOrigin：此字段必选，“”表示API网关接受任意域的请求。 场景二：已开启CORS，且后端服务响应消息中指定跨域头时，后端服务响应的跨域头将覆盖API网关增加的跨域头，示例如下： 浏览器发送一个带Origin字段的请求消息： GET /simple HTTP/1.1 Host: www.test.com Orgin: ContentType: application/xwwwformurlencoded; charsetutf8 Accept: application/json Date: Tue, 15 Jan 2019 01:25:52 GMT Origin：此字段必选，表示请求消息所属源，上例中请求来源于“ 后端服务返回响应消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT ContentType: application/json ContentLength: 16 Server: apigateway AccessControlAllowOrigin: {"status":"200"} AccessControlAllowOrigin：表示后端服务接受“ API网关响应消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT ContentType: application/json ContentLength: 16 Server: apigateway XRequestId: 454d689fa69847610b3ca486458fb08b AccessControlAllowOrigin: {"status":"200"} 后端服务响应消息中的跨域头覆盖API网关响应消息中的跨域头。

本文介绍如何通过ELB接入方式将网站接入WAF进行防护。 Web应用防火墙（原生版）支持接入负载均衡（ELB）实例，您可以为使用HTTP或HTTPS监听协议的ELB监听器开启WAF防护。WAF对进入监听器的应用层流量进行检测（不参与流量转发），您可根据自身应用需求设置相应的防护规则。 前提条件 该功能当前处于试用阶段，如需试用请通过天翼云控制台提工单进行申请。 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 实例支持防护的ELB监听器个数未超过配额限制，各个版本支持的配额请参见产品规格。 约束限制 目前仅支持防护性能保障型的负载均衡实例，不支持经典型实例。 目前仅支持为HTTP/HTTPS监听器开启安全防护。 目前仅支持防护“武汉41”区域的ELB监听器。 在WAF控制台开启防护 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到WAF控制台，在左侧导航栏选择“接入管理”，选择“云产品接入”页签。 5. 单击“添加防护对象”进入添加防护对象页面，配置防护对象参数。 配置项 说明 ELB（负载均衡器） 单击“选择ELB（负载均衡器）”，弹出当前所在区域的ELB实例列表，找到目标ELB，单击操作列的“选择”。 监听器 单击“选择监听器”，弹出所选ELB实例下的监听器列表，找到目标监听器，单击操作列的“选择”。 说明 仅支持选择监听协议为HTTP 、HTTPS的监听器。 防护对象名称 防护对象的名称，默认为“ELB名称 :监听器名称”，支持自定义。 域名 （可选）填写所选监听器下的域名，可添加精确域名和泛域名： 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 备注 （可选）防护对象的描述信息，可以自定义。 6. 配置完成后单击“确定”，返回云产品接入页面。 说明 ELB监听器接入WAF后，WAF防护开关默认“开启”，暂不支持在WAF控制台关闭防护。

步骤3：在云服务器上为Moltbot服务配置飞书插件 Moltbot 默认不内置飞书 Channel，需要额外安装插件。这里使用开源插件：++ %E4%B8%AD%E6%96%87++。安装流程如下： 1. 在云服务器内运行插件安装命令： plaintext clawdbot plugins install @m1hengclawd/feishu 2. 安装完成后，将飞书机器人的配置参数写入Moltbot的配置文件。 plaintext clawdbot config set channels.feishu.appId "[飞书的APP ID]" clawdbot config set channels.feishu.appSecret "[飞书的APP Secret]" clawdbot config set channels.feishu.enabled true 以上参数所在位置： 3. 配置完成后，重新启动Moltbot的Gateway服务。 plaintext clawdbot gateway restart 注意 若云主机使用的是【Moltbotv2026.1.243CtyunOS25.07】镜像，则重启Gateway服务时，需替换为以下命令执行： plaintext nohup clawdbot gateway & 4. 添加事件订阅 注意 事件订阅必须在Moltbot添加飞书配置并启动后，才可以创建，否则无法创建成功。 选择订阅方式为长连接 添加事件，具体添加项见下表： 事件 说明 im.message.receivev1 接收消息（必需） im.message.messagereadv1 消息已读回执 im.chat.member.bot.addedv1 机器人进群 im.chat.member.bot.deletedv1 机器人被移出群 配置完成后，进行发版 5. 飞书机器人已创建成功，现在可以在飞书中和机器人对话，校验Moltbot功能是否正常。

通过在服务器端安装轻量级的Agent进行安全监测和防护,监测数据由天翼云专业安全团队以报告的形式定期发送给客户,并对入侵等高危情况进行实时邮件通知,从而客户可以及时全面的了解服务器的安全状态,将安全从传统的安全事件防护变成一项持续安全响应和处理过程。功能涵盖弱口令检测、软件漏洞检测、防暴力破解、web后门、shell检测等多个维度,实现服务器安全的持续纵深保护。

本章节主要介绍翼MR Manager的集群服务编辑配置的操作。 操作场景 用户可以对配置文件进行修改。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“运维与配置 > 配置管理”。 5. 查询条件选择指定集群服务。 6. 单击配置组，单击要修改的配置名称，页面右侧展示该配置的详细信息。如图所示： 7. 修改完成后点击“保存更改”按钮。 说明 1. 服务端配置，修改后需要执行同步操作。在配置文件及同步按钮上有数字提示未同步修改。 2. client分组下配置、default分组下以vars.yaml结尾的配置，不需要同步，修改后不会有数字提示，也不需要执行同步操作。 3. 对于同步按钮，提示数字的含义为待同步配置文件的数量。 4. 对于配置文件前同步提示数字，文件级和配置项级有所区别，具体含义说明如下。 1. 展示级别为文件级：修改后且当前配置文件未同步时，配置名称前展示数字1。 2. 展示级别为配置项级：修改后且当前配置文件未同步时，配置名称前展示所修改的配置项数，所修改的配置项名称前展示修改标识。

本节主要介绍云审计服务支持的DCS操作列表。 DCS通过云审计服务（Cloud Trace Service，简称CTS）为您提供云服务资源的操作记录，记录内容包括您从控制台或者开放API发起的的云服务资源操作请求以及每次请求的结果，供您查询、审计和回溯使用。 云审计服务支持的DCS操作列表 操作类型 资源类型 事件名称 创建实例 分布式缓存服务 createDCSInstance 提交创建实例请求 分布式缓存服务 submitCreateDCSInstanceRequest 批量删除实例 分布式缓存服务 batchDeleteDCSInstance 删除实例 分布式缓存服务 deleteDCSInstance 修改实例信息 分布式缓存服务 modifyDCSInstanceInfo 修改实例配置 分布式缓存服务 modifyDCSInstanceConfig 修改实例密码 分布式缓存服务 modifyDCSInstancePassword 重启实例 分布式缓存服务 restartDCSInstance 提交重启实例请求 分布式缓存服务 submitRestartDCSInstanceRequest 启动实例 分布式缓存服务 startDCSInstance 提交启动实例请求 分布式缓存服务 submitStartDCSInstanceRequest 清空实例 分布式缓存服务 flushDCSInstance 批量重启实例 分布式缓存服务 batchRestartDCSInstance 提交批量重启实例请求 分布式缓存服务 submitBatchRestartDCSInstanceRequest 批量启动实例 分布式缓存服务 batchStartDCSInstance 提交批量启动实例请求 分布式缓存服务 submitBatchStartDCSInstanceRequest 恢复实例数据 分布式缓存服务 restoreDCSInstance 提交恢复实例数据请求 分布式缓存服务 submitRestoreDCSInstanceRequest 备份实例数据 分布式缓存服务 backupDCSInstance 提交备份实例数据请求 分布式缓存服务 submitBackupDCSInstanceRequest 删除实例备份文件 分布式缓存服务 deleteInstanceBackupFile 删除后台任务记录 分布式缓存服务 deleteDCSInstanceJobRecord 实例规格变更 分布式缓存服务 modifySpecification 提交实例规格变更请求 分布式缓存服务 submitModifySpecificationRequest 创建实例订单 分布式缓存服务 createInstanceOrder 主备切换 分布式缓存服务 masterStandbySwitchover 重置实例密码 分布式缓存服务 resetDCSInstancePassword 提交清空实例请求 分布式缓存服务 submitFlushDCSInstanceRequest

本文介绍CDN加速应对攻击的处理机制及策略建议。 详细说明 天翼云CDN加速产品提供公共开放的加速能力，默认不提供防攻击服务。如果您的CDN加速域名受到攻击（例如DDOS攻击或CC攻击），导致CDN节点带宽或请求QPS大幅上涨，影响正常用户请求时，天翼云CDN将基于域名业务情况、攻击影响程度等综合评估，必要情况下有权将您的加速域名流量导入“隔离节点”，进入“隔离节点”的用户请求将不再保障服务质量。 如您的域名存在潜在被攻击风险，不希望在上述场景下被切换至“隔离节点”，请在CDN加速基础上，叠加购买Web应用防火墙（边缘云版），或切换至安全类加速产品、边缘安全加速平台。详情请见：边缘安全加速平台。 相关概念 DDoS：分布式拒绝服务攻击（Distributed Denial of Service，简称DDoS）是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 CC攻击：攻击者借助代理服务器生成指向受害主机的合法请求，实现DDoS和伪装就叫：CC(Challenge Collapsar)，CC主要是攻击页面，属于应用层攻击。

功能说明 GetBucketObjectLock请求获取存储桶的对象锁定配置。对象锁定功能将会应用到每一个新放入到存储桶中的对象。 请求消息样式 plaintext GET /{Bucket}?objectlock HTTP/1.1 Host: xxxx.zos.ctyun.cn AcceptEncoding: identity xamzcontentsha256: ContentSHA256 xamzdate: 20220407T022928Z Authorization: string 请求消息参数 参数名称 参数描述 类型 是否必须 Bucket 参数解释： 桶的名称。 String 是 请求消息头 该请求使用公共的请求消息头，请参见如何调用API构造请求请求消息头。 请求消息元素 该请求消息中不带消息元素。 响应消息样式 plaintext HTTP/1.1 Status Code xamzrequestid: tx00000000000000000000f00624e4c895e72default ContentType: application/xml ContentLength: 222 Date: Thu, 07 Apr 2022 02:29:45 GMT Connection: KeepAlive string integer string integer 响应消息头 该请求的响应消息使用公共的响应消息头，请参见如何调用API响应结果响应消息头。 响应消息元素 参数名称 参数描述 类型 ObjectLockConfiguration 参数解释： 桶的名称。 Container 表ObjectLockConfiguration 参数名称 参数描述 类型 ObjectLockEnabled 参数解释： 指定桶的对象锁定功能是否生效。 String Rule 参数解释： 对象锁定规则。 Container 表Rule 参数名称 参数描述 类型 DefaultRetention 参数解释： 对象锁定规则中指定的默认配置。 Container 表DefaultRetention 参数名称 参数描述 类型 Mode 参数解释： 对象锁定规则中指定的默认保留期限模式。 取值范围： GOVERNANCE：监管模式 COMPLIANCE：合规性模式 String Days 参数解释： 保留期限日期，单位：天。与Years设置只能二选一。 Long Years 参数解释： 保留期限日期，单位：年。与Days设置只能二选一。 Long

本章节主要介绍翼MR Manager的集群服务配置项对比的操作。 操作场景 用户可以查看同一集群下相同配置项名称在不同配置组中的值。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“运维与配置 > 配置管理”。 5. 查询条件选择指定集群服务。 6. 单击“配置管理”tab。 7. 单击配置组，单击配置文件名称，页面右侧展示该配置的详细信息。 8. 选择要对比的配置项，单击该配置项名称右侧的“对比”按钮，出现配置项对比弹框。如图所示： 9. 配置项对比弹框中，当多个配置分组下，存在同一配置项时，支持逐条展示或合并相同值展示与编辑。如图所示，default、client分组下同一配置项具有相同的值，支持当设置为“修改单个值”或“修改相同值”，进行合并或逐条展示与编辑。

使用对等连接，两端VPC的网段可以相同吗？ 使用对等连接时，两端VPC的网段可以相同。计划通过对等连接互通的VPC网段相同时，需要注意规划两个VPC之间需要互通的子网的网段不同。具体场景请参考 指向VPC子网的对等连接配置。 用对等连接进行VPC内网互通，两侧可以互相访问哪些资源？ 对等连接可以将同资源池的两个VPC内网打通，添加所需的路由后，可以访问对端VPC中的资源，云主机、物理机、网卡、虚拟IP、负载均衡、终端节点、数据库 等通过VPC内网地址提供服务的资源，不支持访问跨VPC的专线、NAT网关、VPN网关。 对等连接能否支持跨租户的VPC内网互通？ 对等连接支持同一租户或两个不同租户在同一地域的VPC之间进行内网互通。建立不同租户VPC互通的对等连接时，需要先了解对端账号的邮箱以及VPCID。跨租户VPC之间创建对等连接请参考 申请对等连接（跨账号）。 对等连接能否支持跨资源池的VPC内网互通？ 不支持，对等连接仅支持同资源池VPC之间的内网互通。如果有跨地域互通的场景，可以考虑使用云间高速产品。天翼云云间高速(标准版)（CTEC, Express Connect standard）产品是基于中国电信骨干网络，为用户提供一种高速、安全、稳定的混合组网能力，助力企业云上云下、跨区域，多网络、灵活组网，帮助用户构建一张具有企业级规模和通信能力的云上网络。请参考 云间高速产品介绍 。

本节主要介绍使用类问题 如何处理开启了安全认证的微服务引擎专享版开启IPv6后服务注册失败？ 创建微服务引擎专享版时，当选择开启了IPv6的VPC网络时，创建引擎支持IPv6网络。当部署服务使用IPv6网段且选择容器部署时，选择的CCE集群需要开启IPv6双栈开关。如果选择的CCE集群资源没有开启IPv6开关，就会导致服务网络不通，报错“java.net.SocketException: Protocol family unavailable”。解决办法： 1、 修改部署了微服务应用的环境，添加开启了“IPv6双栈”开关的CCE集群 2、 重新部署应用 微服务和普通应用有什么不同？ 微服务是一种架构模式，其核心是将一个单体应用分成多个部分进行开发。所以微服务架构的应用程序，其本质上是一个分布式应用。 基于微服务架构构建的应用程序，可以让业务变化更快，整体系统可靠性更高。 开源 ServiceComb 与 CSE 是什么关系？ CSE Java SDK是ServiceComb的商业版本，其大部分组件来自于开源的ServiceComb，同时提供一些公有云对接的能力、安全、分布式数据一致性等商业能力。这部分开发框架代码可以免费使用但是没有开源。

第二步：配置CNAME 成功添加全站加速域名后，系统会为您分配一个CNAME域名。您需要在域名解析服务商处将服务域名的DNS解析记录指向CNAME域名，访问请求才能转发到全站加速节点上，实现全站加速。 1. 在客户控制台【域名管理】的【域名列表】中，复制域名对应的CNAME。 2. 前往您的域名解析（DNS）服务商（如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等），添加该CNAME记录。 3. 验证全站加速服务是否生效：您可以ping或dig您所添加的加速域名，验证全站加速服务是否生效。 第三步：配置加速策略（可选） 成功添加加速域名之后，您还可以按照以下建议高阶配置策略进行配置，帮您达到优质的加速体验。 场景 描述 参考链接 动静态资源加速 智能分离动静态内容，静态内容通过配置缓存提升命中率；动态内容通过动态加速配置多种回源策略（择优回源、轮询回源、保持登录回源等）实现优质路径提速回源。 缓存配置 动态回源策略 HTTPS配置 HTTPS是以安全为目标的HTTP通道，实现客户端和全站加速之间请求的HTTPS加密，保障数据传输的安全性。 HTTPS配置概述 IPv6 开启IPv6功能后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云全站加速节点。 IPv6配置 海外加速 开启海外加速，可满足出海企业本地化CDN节点覆盖当地用户的迫切需求，保障跨国网络访问的高速、稳定和安全，助力企业拓展全球化业务。 变更加速区域 性能优化 开启页面优化功能后，可有效去除页面的冗余信息，缩小文件体积，提高加速分发效率，同时也可以提升页面的可阅读性。 开启压缩功能后，能够带来两个明显的好处，一是减少存储空间，二是通过网络传输文件时，可以减少传输的时间。 html页面优化 文件压缩

本文介绍弹性容器实例ECI的高频问题。 ECI实例如何收费？ 请参考计费说明。如果您在使用过程中关联天翼云其他云产品资源，您需要为您使用的资源付费。 如何查看vCPU的使用额？ 您可以创建的ECI的实例数依赖于对应地域您的vCPU配额（quota）和已使用量。在控制台查看配额的方法如下： 在弹性容器实例控制台左侧导航栏中选择“权益配额”进行查看。其中权益配额包含已使用量和使用上限。 如何创建GPU实例？ ECI支持指定ECS的GPU规格来创建GPU实例，具体操作，请参见指定ECS规格创建实例。 为什么ECI控制台和监控数据显示的实例规格不一致？ 问题描述 创建了一个1 vCPU、1 GiB内存的ECI实例，但是在监控数据查到的ECI实例的规格为不一致。 问题说明 上述现象是正常的，监控数据查到的实例规格是ECI实例宿主机的规格，而非ECI实例的规格。如果您购买的是1 vCPU、1 GiB内存的ECI实例，最终也只能使用对应规格的资源。 是否支持私有镜像？ 支持私有镜像，支持使用天翼云镜像仓库搭建私有镜像。 镜像缓存是否支持更新？ 支持更新。对于状态为创建完成（Ready）或者UpdateFailed（更新失败）的镜像缓存，支持调用UpdateImageCache接口来更新镜像缓存，包括更新容器镜像、保留时长、镜像仓库信息等。

本文以CentOS7.6操作系统为例,介绍如何为云主机安装VNC Server,以及如何使用VNC Viewer连接云主机。 背景介绍 Linux云主机一般采用SSH连接方式，使用密钥对进行安全地无密码访问。但是SSH连接一般都是字符界面，有时我们需要使用图形界面进行一些复杂操作。 VNC Viewer是一款免费，并且开源的远程控制软件，可以实现批量管理，远程监控，批量打开链接，操作一台等于同时操作N台，使用起来十分便捷。 准备工作 1. 已创建一台CentOS7.6操作系统的弹性云主机，并且为云主机绑定弹性公网IP，确保可以连接互联网，具体操作参见弹性云主机创建弹性云主机。 2. 已在本地PC安装VNC Viewer客户端。 给CentOS 7.6云主机安装gnome桌面环境 1. 使用SSH工具或控制台远程登录云主机。账号：root；密码：您在创建云主机时设置的密码。 2. 执行如下命令，安装图形化界面。 plaintext yum groupinstall "GNOME Desktop" "Graphical Administration Tools" y 3. 执行以下命令，设置默认启动图形化界面。 plaintext ln sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.targ 4. 执行以下命令，重启云主机。 plaintext reboot 5. 通过天翼云控制台远程登录方式登录云主机，详情请参见登录Linux 弹性云主机。 登录云主机后查看可视化界面即表示搭建成功，根据界面提示进行配置进入桌面后，可按需进行相关操作。如图所示：

介绍配置策略管理的具体步骤。 适用场景 策略管理是基于用户的授权策略，您可以通过策略管理控制子用户可以访问您名下资源的权限。 说明 媒体存储自2024年11月13日与天翼云统一身份认证IAM（简称CTIAM）主子用户体系互通，但媒体存储尚未实现与CTIAM自定义策略对接，天翼云CTIAM侧目前对媒体存储只生效【媒体存储产品侧授权】该条产品侧全局权限，如您需对媒体存储新增自定义策略并进行授权，需至媒体存储控制台进行操作。 新增策略 1. 进入媒体存储控制台，进入【策略管理】菜单。 2. 系统已预置部分策略，如需自定义策略，请点击【新增策略】进行操作。 3. 在新增策略页面中，填写策略名称、策略描述与策略内容后，点击【保存】。 修改策略 注意 仅用户自定义策略支持修改操作。 1. 选择【策略管理】菜单，点击对应策略的【管理】按钮，进入修改页面。 2. 点击【修改策略内容】按钮，在语句编辑框修改策略，修改完成后，点击【保存】按钮来完成策略修改。 3. 修改策略后，如需对已授权的用户使用新策略，则点选【授权管理】标签页，点击【更新授权】按钮，更新已授权用户的策略。

本小节介绍服务器安全卫士的Agent管理操作方法。 登录天翼云云平台，进入控制中心“服务器安全卫士”界面，点击订单中的“控制台”，进入服务器安全卫士控制台，选择“通用功能 > 服务工具 > Agent管理”，进入Agent管理界面，即可管理Agent运行状态。 在排查问题的过程中，可设置Agent运行级别，下载日志和运行报告。 设置运行级别 正常：Agent拥有完整能力，执行服务器的任务。 降级：是一种保护模式，Agent不再接受服务器下发的任务，直至恢复为非"降级"状态。 停用：停止Agent业务功能，只保留基本通信能力和任务执行能力（如：卸载，恢复在线）。 设置日志级别 下载日志 下载运行报告 下载Agent运行情况的报告。 重启Agent 重新启动Agent，不改变原"主机状态"和"运行级别"。

通过在服务器端安装轻量级的Agent进行安全监测和防护,监测数据由天翼云专业安全团队以报告的形式定期发送给客户,并对入侵等高危情况进行实时邮件通知,从而客户可以及时全面的了解服务器的安全状态,将安全从传统的安全事件防护变成一项持续安全响应和处理过程。功能涵盖弱口令检测、软件漏洞检测、防暴力破解、web后门、shell检测等多个维度,实现服务器安全的持续纵深保护。

我可以通过天翼云控制台手动修改由资源栈创建的云服务器（ECS）吗？ 强烈不建议这样做！ 手动修改会导致“配置漂移”，即资源的实际状态与资源栈中记录的状态不一致。当您下次通过资源栈更新或修改该资源时，系统可能会根据模板定义覆盖您的手动更改，导致非预期的结果。所有资源变更都应通过更新模板并重新更新资源栈来完成。 如何进行IAM权限及用户组管理？ 详见文档IAM权限及用户管理 导入资源，预览资源栈生成结果发现除了导入还有别的操作类型？ 点击「详情」可查看参数原始值与目标值的差异： 操作类型包含更新与替换：请修改模板，使其与原始值保持一致。 操作类型为更新：需注意敏感字段处理：标注为 (sensitive value) 的字段，如果模板中有，需从导入的 resource 中删除。该类字段无法获取真实值，会被系统误判为需要更新。 操作类型为删除：检查是否删除了原资源栈的资源，需在原有模板基础上补充导入的资源信息，避免误删原有资源。 导入资源，匹配云资源中没有返回可导入的资源？ 请检查模板，是否resource的名称已经在资源里了，同类型同资源名的资源不允许导入，请修改资源名。例如resource "ctyunvpc" "vpctest" 中的"vpctest"。 导入资源，预览资源不符合预期？ 检查模板中provider 版本需 ≥ 2.1.0，未声明则默认使用最新版本 模板中请勿包含敏感字段(sensitive true)、或在云资源中本身就是敏感无法获取的字段（如密码），否则可能导入失败 如有报错，可根据报错信息返回步骤”选择模板“修改模板字段，依次按照步骤再次尝试

我可以通过天翼云控制台手动修改由资源栈创建的云服务器（ECS）吗？ 强烈不建议这样做！ 手动修改会导致“配置漂移”，即资源的实际状态与资源栈中记录的状态不一致。当您下次通过资源栈更新或修改该资源时，系统可能会根据模板定义覆盖您的手动更改，导致非预期的结果。所有资源变更都应通过更新模板并重新更新资源栈来完成。 如何进行IAM权限及用户组管理？ 详见文档IAM权限及用户管理 导入资源，预览资源栈生成结果发现除了导入还有别的操作类型？ 点击「详情」可查看参数原始值与目标值的差异： 操作类型包含更新与替换：请修改模板，使其与原始值保持一致。 操作类型为更新：需注意敏感字段处理：标注为 (sensitive value) 的字段，如果模板中有，需从导入的 resource 中删除。该类字段无法获取真实值，会被系统误判为需要更新。 操作类型为删除：检查是否删除了原资源栈的资源，需在原有模板基础上补充导入的资源信息，避免误删原有资源。 导入资源，匹配云资源中没有返回可导入的资源？ 请检查模板，是否resource的名称已经在资源里了，同类型同资源名的资源不允许导入，请修改资源名。例如resource "ctyunvpc" "vpctest" 中的"vpctest"。 导入资源，预览资源不符合预期？ 检查模板中provider 版本需 ≥ 2.1.0，未声明则默认使用最新版本 模板中请勿包含敏感字段(sensitive true)、或在云资源中本身就是敏感无法获取的字段（如密码），否则可能导入失败 如有报错，可根据报错信息返回步骤”选择模板“修改模板字段，依次按照步骤再次尝试

云服务 日志描述 日志 日志生命周期范围 Web应用防火墙（Web Application Firewall，WAF） 攻击日志 wafattack 7~30 天 Web应用防火墙（Web Application Firewall，WAF） 访问日志 wafaccess 7~30 天 态势感知（专业版） 合规基线日志 secmasterbaseline 7~10 天 对象存储服务（Object Storage Service，OBS） 访问日志 obsaccess 7~15 天 入侵防御系统（Intrusion Prevention System，IPS） 攻击日志 nipattack 7~180 天 统一身份认证（Identity and Access Management，IAM） 审计日志 iamaudit 7~180 天 企业主机安全（Host Security Service，HSS） 主机安全告警 hssalarm 7~180 天 企业主机安全（Host Security Service，HSS） 主机漏洞扫描结果 hssvul 7 天 企业主机安全（Host Security Service，HSS） 主机安全日志 hsslog 7~15 天 数据安全中心（Data Security Center，DSC） 告警日志 dscalarm 7~180 天 AntiDDoS流量清洗（AntiDDoS） 攻击日志 ddosattack 7~180 天 数据库安全服务（Database Security Service，DBSS） 告警日志 dbssalarm 7~180 天 云审计服务（Cloud Trace Service，CTS） 云审计服务日志 ctsaudit 7~180 天 云防火墙（Cloud Firewall，CFW） 访问控制日志 cfwblock 7~30 天 云防火墙（Cloud Firewall，CFW） 流量日志 cfwflow 7~15 天 云防火墙（Cloud Firewall，CFW） 攻击事件日志 cfwrisk 7~180 天 API网关（API Gateway） 访问日志 apigaccess 7~180 天

如何关闭ZooKeeper的SASL认证？ 1. 登录翼MR Manager。 2. 选择“集群服务 > ZooKeeper > 配置管理 ”。 3. 在左侧导航栏选择“配置组 > zoo.cfg”，然后，选择该配置文件右上角的“+”号，添加参数名称：zookeeper.sasl.disable，再添加参数值：false。 4. 在左侧导航栏选择“配置组 > 同步”，执行配置同步工作。 5. 重启ZooKeeper服务。 在翼MR集群外客户端中执行kinit报错“Permission denied”如何处理？ 问题现象 在翼MR集群外节点上安装了客户端后并执行kinit命令报错如下： bash kinit Permission denied 执行java命令正常如下： bash: /xxx/java: Permission denied 执行 ll / java安装路径 /JDK/jdk/bin/java命令查看该文件执行权限信息正常。 原因分析 执行mount column t查看挂接的分区状态，发现java执行文件所在的挂载点的分区状态是“noexec”。当前环境中将安装翼MR客户端所在的数据盘配置成“noexec”，即禁止二进制文件执行，从而无法使用java命令。 解决方法 1. 以root用户登录翼MR客户端所在节点。 2. 移除“/etc/fstab”文件中翼MR客户端所在的数据盘的配置项“noexec”。 3. 执行umount 命令卸载数据盘，然后再执行mount a重新挂载数据盘。

syslogfacility (enum) 当启用了向syslog记录时，这个参数决定要使用的syslog“设备”。你可以在LOCAL0、LOCAL1、LOCAL2、LOCAL3、LOCAL4、 LOCAL5、LOCAL6、LOCAL7中选择，默认值是LOCAL0。还请参阅系统的syslog守护进程的文档。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。 syslogident (string) 当启用了向syslog记录时，这个参数决定用来标识syslog中的TeleDB消息的程序名。默认值是postgres。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。 syslogsequencenumbers (boolean) 当日志被记录到syslog并且这个设置为 on （默认）时，每一个消息会被加上一个增长的序号作为前缀（例如 [2]）。这种行为避开了很多 syslog 实现默认采用的 “ 上一个消息重复 N 次 ”形式。在现代 syslog 实现中， 抑制重复消息是可以配置的（例如rsyslog 中的$RepeatedMsgReduction），因此这个参数可能不是必需的。 此外，如果你真的想抑制重复消息，你可以把这个参数设置为 off。这个参数只能在postgresql.conf文件或者服务器命令行上设置。 syslogsplitmessages (boolean) 当启用把日志记录到syslog时，这个参数决定消息如何送达 syslog。当设置为 on（默认）时，消息会被分成行， 并且长的行也会被划分以便能够放到 1024 字节中， 这是传统 syslog 实现一种典型的尺寸限制。当设置为 off 时，TeleDB服务器日志消息会被原样送达 syslog 服务， 而处理可能的大体量消息的任务由 syslog 服务负责。如果 syslog 最终被记录到一个文本文件中，那么两种设置的效果是一样的， 但最好设置为 on，因为大部分 syslog 实现要么不能处理大型消息， 要么需要做特殊的配置以处理大型消息。但是如果 syslog 最终写入到某种其他媒介，有必要让消息保持逻辑上的整体性（也更加有用）。这个参数只能在postgresql.conf文件或者服务器命令行上设置。

本章节介绍了如何创建分布式消息服务RocketMQ实例的用户。 操作场景 RocketMQ实例支持ACL权限控制功能，通过创建多个用户并为其赋予不同的Topic和消费组权限，以达到用户之间的权限隔离。 前提条件 已购买RocketMQ实例。 步骤一：开启ACL访问控制 1. 登录分布式消息服务RocketMQ控制台。 2. 单击RocketMQ实例的名称，进入实例详情页面。 3. 在“连接信息”区域，单击“ACL访问控制”后的，开启ACL访问控制。 图1 开启ACL访问控制 须知： 仅2021年8月21号后购买的实例，支持设置ACL访问控制。 开启ACL访问控制会导致没有配置认证信息的客户端连接中断。 步骤二：创建用户 1. 在左侧导航栏，单击“用户管理”，进入“用户管理”页面。 2. 单击“创建用户”，弹出“创建用户”对话框。 3. 参考表1，填写用户名称和配置信息。 表1 用户参数说明 参数 说明 名称 自定义用户名称，用于识别不同的用户。 用户名创建成功后，不可修改。 IP白名单 如果请求的来源IP为IP白名单中的地址，不需要校验用户密钥是否正确，且具有所有Topic和消费组的发布+订阅权限。 IP白名单可以配置为具体的IP地址，如：192.168.1.2,192.168.2.3。也可以配置为网段，如192...。 说明 这里网段的写法，需要以192...方式写，暂不支持 192.168.0.0/24的写法。 管理员 开启管理员时，具有所有Topic和消费组的发布+订阅权限。 默认Topic权限 默认的Topic权限。 如果为指定Topic设置特殊权限，特殊权限会覆盖默认权限，此Topic的实际权限为特殊权限。例如：默认权限为订阅，指定Topic的特殊权限为发布+订阅，则此Topic实际权限为发布+订阅。 默认消费组权限 默认的消费组权限。 如果为指定消费组设置特殊权限，特殊权限会覆盖默认权限，此消费组的实际权限为特殊权限。例如：默认权限为订阅，指定消费组的权限为发布+订阅，则此消费组实际权限为发布+订阅。 密钥 设置用户的密钥。 4. 单击“确定”，完成用户的创建。

本章节介绍了如何变更分布式消息服务RocketMQ实例规格，以及扩容存储空间、扩容代理个数。 操作场景 RocketMQ实例创建成功后，您可以根据业务需要，扩容存储空间和代理个数。不支持同时扩容存储空间和代理个数，如果需要可以分别进行扩容。 当前只支持扩容，不支持缩容 。扩容存储空间有次数限制，只能扩容20次。扩容代理个数，可以扩大总分区数。 前提条件 已创建RocketMQ实例，且实例状态为“运行中”。 操作步骤 1. 登录分布式消息服务RocketMQ控制台。 2. 通过以下任意一种方法，变更实例规格。 在待变更规格的实例所在行，单击“更多 > 变更规格”。 单击RocketMQ实例名称，进入实例详情页面。单击右上角的“更多 > 变更规格”。 3. 根据实际情况选择扩容存储空间或者代理个数。 不支持同时扩容存储空间和代理个数，如果需要可以分别进行扩容。 图1 变更实例规格 扩容存储空间。 在“变更方式”中，选择“存储扩容”，在“单个代理存储空间”中，选择扩容后的单个代理的存储空间大小，单击“下一步”。确认扩容信息无误后，单击“提交”。 在实例列表页面的“可用存储空间”中查看扩容后的总存储空间大小（即扩容后的单个代理的存储空间代理个数）。 说明： 扩容存储空间不会影响业务。 可用存储空间实际存储空间用于存储日志的存储空间格式化磁盘的损耗。 例如，实际扩容存储空间到700GB，用于存储日志的存储空间为100GB，格式化磁盘损耗7GB，那么扩容后的可用存储空间为593GB。 扩容代理个数。 在“变更方式”中，选择“代理扩容”，在“代理个数”中，选择扩容后的代理个数，单击“下一步”。确认扩容信息无误后，单击“提交”。 在实例列表页面的“规格”中查看扩容后的代理个数。 说明： 扩容代理个数不会影响原来的代理，业务也不受影响。 新创建的Topic才有可能创建在新代理上，原来Topic还分布在原有代理上，如果需要使用新扩容的代理，可以通过新建Topic来实现。 已开启公网访问，且设置了弹性IP地址的实例，在扩容代理个数时，需要为新扩容的代理设置弹性IP地址。

虚拟私有云 虚拟私有云为分布式缓存服务Redis版实例提供一个逻辑隔离的区域，构建一个安全可靠、 可配置和管理的虚拟网络环境。更多信息请参见虚拟私有云产品定义。 弹性云主机 分布式缓存服务Redis版订购后，默认按照用户选择的实例规格开通弹性云主机，云主机由 CPU、内存、镜像、云硬盘组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保分布式缓存服务Redis持久稳定运行。更多信息请参见弹性云主机产品定义。 云硬盘 分布式缓存服务Redis版订购后，默认按照一定的存储大小开通云硬盘。云硬盘是一种可弹性扩展的块存储设备，可以为分布式缓存服务Redis提供高性能、高可靠的块存储服务。更多信息请参见云硬盘产品定义。 弹性IP 弹性IP是可以独立申请的公网 IP 地址，包括公网IP地址与公网出口带宽服务。可以与分布式缓存服务Redis动态绑定和解绑，实现云资源的互联网访问。针对需要公网访问分布式缓存服务Redis版实例的需求，用户可开通弹性IP后，在Redis实例开通页面进行绑定。更多信息请参见绑定公网IP。

安装依赖 plaintext pip3 install pahomqtt 代码示例 python import ssl import random from paho.mqtt import client as pahoclient 填入您在mqtt控制台创建的ACL账号密码。 USERNAME "yourusername" AUTHPASSWORD "yourpassword" 是否使用tls加密传输 isTls True class MQTTClient: def init(self): 填写mqtt云消息服务的接入点，去掉:{端口号}部分 self.broker "tcp://localhost" 指定连接客户端的id self.clientid "ctgmqttclienttest" self.client None def onconnect(self, client, userdata, flags, rc): 连接建立成功 if rc 0: print("Connected to MQTT Broker!") else: print(f"Failed to connect, return code {rc}") def ondisconnect(self, client, userdata, rc): 连接丢失 print(f"Disconnected with result code {rc}") 可以在这里添加重连逻辑 def onmessage(self, client, userdata, msg): 收到消息的回调 print(f"Received {msg.payload.decode()} from {msg.topic} topic") def onpublish(self, client, userdata, mid): 成功发送消息到服务端 print(f"Message {mid} published successfully") def connectmqtt(self): 创建客户端实例 self.client pahoclient.Client(clientidself.clientid) self.client.usernamepwset(USERNAME, AUTHPASSWORD) 设置回调函数 self.client.onconnect self.onconnect self.client.ondisconnect self.ondisconnect self.client.onmessage self.onmessage self.client.onpublish self.onpublish 设置TLS if isTls: 创建不验证证书的SSL上下文 context ssl.createdefaultcontext() context.checkhostname False context.verifymode ssl.CERTNONE self.client.tlssetcontext(context) 设置其他连接选项 self.client.connect(self.broker.replace("tcp://", "").replace("ssl://", ""), port8883 if isTls else 1883) self.client.loopstart()

本章节将介绍mongodump和mongorestore工具的使用方法 mongodump和mongorestore是MongoDB客户端自带的备份恢复工具。您可以在本地设备或ECS中安装MongoDB客户端，通过mongodump和mongorestore工具将自建MongoDB数据库或其他云数据库MongoDB迁移至天翼云DDS实例。 使用须知 mongodump和mongorestore工具仅支持全量数据迁移。为保障数据一致性，迁移操作开始前请停止源数据库的相关业务，并停止数据写入。 建议您尽量选择在业务低峰期迁移数据，避免在迁移过程中对业务造成影响。 不支持迁移系统库admin和local。 确保源库中系统库admin和local没有创建业务集合，如果已经有业务集合，必须在迁移前将这些业务集合从admin和local库中迁移出来。 导入数据之前，确保源端有必要的索引，即在迁移前删除不需要的索引，创建好必要的索引。 如果选择迁移分片集群，必须在目标库创建好要分片的集合，并配置数据分片。同时，迁移前必须要创建好索引。 如果使用mongodump工具备份失败（示例：备份进度至97%时报错），建议您尝试增大虚拟机磁盘空间，预留部分冗余空间，再重新执行备份。 客户侧使用的是rwuser帐号，仅支持操作客户业务库表。所以，在使用时建议指定库和表，仅对业务数据执行导入导出。不指定库表，全量进行导入导出，可能会遇到权限不足的问题。 前提条件 准备弹性云服务器或可访问DDS的设备。 − 通过内网连接文档数据库实例，需要创建并登录弹性云服务器，请参见创建弹性云服务器和登录弹性云服务器。 − 通过公网地址连接文档数据库实例，需具备以下条件。 为实例中的节点绑定公网地址，保证本地设备可以访问文档数据库绑定的公网地址。 在已准备的弹性云服务器或可访问DDS的设备上，安装数据迁移工具。 安装数据迁移工具，请参见如何安装MongoDB客户端。 说明 MongoDB客户端会自带mongodump和mongorestore工具。 MongoDB客户端版本须和实例相匹配，若版本不匹配则会有兼容性问题出现。