本文详细介绍终端管理的计费模式与资费标准。 计费构成 终端管理计费由以下部分构成：终端管理基础版、终端管理企业版。 套餐（必选）：目前支持购买终端管理基础版、终端管理企业版套餐。 注意 零信任服务企业版本默认包含终端管理基础版功能权益，如已订购零信任服务企业版，则无法直接购买或升级终端管理企业版。如有需求，请通过工单联系我们。 计费描述 终端管理计费详细描述如下： 计费构成 计费方式 计费项 计费描述 基础版套餐 预付费包月 端点数 按照配置的端点数进行计费，端点数授权数10个起购，每次购买步长为10，基础版10元/端点/月。 企业版套餐 预付费包月 端点数 按照配置的端点数进行计费，端点数授权数10个起购，每次购买步长为10，企业版25元/端点/月。 计费区域 不限制区域。 套餐计费 套餐标准资费 套餐规格 标准资费（元/月/端点） 套餐主要内容 套餐版本能力 基础版 10 端点数授权数10个起购，每次购买步长为10，基础版10元/端点/月 支持终端资产管理、终端防病毒、合规检测、外设管控、漏洞检测及修复、上网行为管理、效能分析、软件管理、弹窗拦截、问题软件检测能力 企业版 25 端点数授权数10个起购，每次购买步长为10，企业版25元/端点/月 支持终端资产管理、终端态势大屏、终端防病毒、合规检测、外设管控、漏洞检测及修复、上网行为管理、效能分析、软件管理、弹窗拦截、问题软件检测、威胁检测与响应、AI 安全检测、勒索专项防护、网络攻击防护能力 定价示例 如果您要为100人的团队提供终端管理服务，且每人平均2台设备。 需要购买的终端数（端点数）设备总端点数量 1002 200。

步骤说明 在目标VPC中的ECS实际中添加入方向安全组规则，用于放行私网NAT过来的访问流量。 操作步骤 具体操作参见添加安全组规则。 步骤九：测试连通性 步骤说明 我们通过验证弹性云主机是否可以通过私网NAT网关访问另一个VPC的ECS服务，来测试网络连通性。 操作步骤 1. 登录天翼云控制台，选择”计算>弹性云主机”。 2. 进入弹性云主机控制台，选择准备工作中创建的弹性云主机，点击右侧“远程登录”登录弹性云主机。 3. 登录完成，通过nc访问的云资源DNAT后的地址及端口，测试云主机是否能够通过私网NAT网关访问。 说明弹性云主机可以通过转换后的中转IP地址，实现重叠地址段的服务访问。

本章节介绍如何查看主机和组件日志信息。 操作步骤 1. 登录翼MR管理控制台。 2. 选择“我的集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 在“节点管理”页选中单击Master节点，选择要进入的Master节点。 4. 单击该节点右侧的“远程连接”。 5. 根据界面提示，输入节点的用户名和密码，用户名为root。 6. 进入对应组件的日志目录，查看相关日志。

接口功能介绍 基线检测查询所有策略列表 接口约束 无 URI GET /v1/sca/rule/query/scaruleList 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Array of Objects 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 id Integer 基线策略id 1 name String 基线策略名称 策略1 checkfrequency Integer 检测频率 1 checktime String 扫描时间,01:0002:00代表再每checkfrequency天01:0002:00之间进行扫描 01:0002:00 ruleStatus Boolean 状态 true开启 false关闭 true description String 描述 描述 createtime String 创建时间 20200101 00:00:00 isDefault Boolean 是否默认策略 true是 false否 true scope String 生效范围 OPTIONAL自选机器 ALL所有机器 OPTIONAL checkCount Integer 检测项数量 1 serverCount Integer 检测服务器数量 1

云监控对部分资源类型指标/事件提供一键告警功能，通过一键告警功能，可以实现资源池账户下所有资源的快捷告警配置。 操作场景 一键告警功能可以对指定云产品关键监控项，快捷开启告警服务，无需单个实例逐一配置。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 查看站点监控任务 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”>“一键告警”，进入一键告警功能页面。

实例规格 CPU类型 连接数 QPS 平均延迟(ms) 95%延迟(ms) 99%延迟(ms) 基础Cluster版双副本24G(3分片) X86 1000 453905 1.833 2.615 3.439 基础Cluster版双副本24G(3分片) X86 3000 450359 5.568 8.647 9.999 基础Cluster版双副本24G(3分片) X86 10000 340147 27.503 38.303 236.159

管理员配置手机短信认证 1. 管理员登录云堡垒机系统。 2. 选择“用户 > 用户管理”，进入用户管理页面。 3. 找到目标用户，单击用户登录名，进入用户详情页面。 4. 在“用户配置”区域，单击“编辑”，弹出用户的登录配置窗口。 5. 勾选“手机短信”多因子认证项。 6. 单击“确定”，完成用户配置。用户再次登录系统时，手机短信登录认证生效。 配置手机令牌登录 手机令牌是可用来生成动态口令的手机客户端软件，云堡垒机系统支持通过手机令牌动态密码对用户登录身份进行认证。配置手机令牌认证后，登录系统需同时输入静态密码和6位手机令牌动态密码，才能通过身份认证。 admin帐户若要使用多因子认证方式登录，需先配置手机令牌，否则admin帐户将无法使用多因子认证方式登录系统。 目前云堡垒机系统可选择两种手机令牌绑定方式“内置手机令牌”和“RADIUS手机令牌”。 内置手机令牌：微信小程序手机令牌。 RADIUS手机令牌：APP版手机令牌Google Authenticator和FreeOTP。 约束限制 admin用户必须先绑定手机令牌，再配置多因子认证方式。否则admin用户将无法登录系统。 系统时间与手机时间必须一致，精确到秒，否则可能提示绑定失败。 绑定失败后，请先修改系统时间与手机时间一致，刷新页面重新生成二维码绑定。 用户绑定手机令牌 1. 用户通过静态密码方式登录云堡垒机系统。 2. 选择右上角用户名，单击“个人中心”，进入个人中心管理页面。 3. 选择“手机令牌”页签，进入个人手机令牌配置页面。 按照界面提示信息依次执行操作。 4. 后续若需要解除手机令牌绑定，可在“手机令牌”页签，单击“解除”。

删除规则 删除云主机时，云主机的CPU、内存、GPU的费用停止计费，其他未删除的关联资源继续计费。 云主机删除后，数据不会保留，会立即释放资源。 账户欠费 如用户账户出现欠费，账户一旦充值，系统将会自动优先扣除欠费金额。 提醒/通知规则 提醒及通知方式：邮件、短信、站内信。 充值成功通知：当用户充值成功后，会发送1次充值成功通知。 余额不足通知：当用户账户余额不足100元，或不足以支付当前所有按量资源1天费用时，会发送1次余额不足提醒。 账户欠费通知：当用户欠费时，会向用户发送1次欠费提醒。 资源销毁通知：当用户的云主机销毁后，会向用户发送1次销毁通知。

本文介绍如何使用云硬盘动态存储卷。 使用云盘动态存储卷，即无需预先创建云硬盘和PV，只需创建PVC时指定存储类（StorageClass），存储插件cstorcsi就会自动创建云盘实例及对应PV资源。 该模式为推荐使用，您可以更关注工作负载本身的存储需求，无需预先手动创建和配置存储资源，降低底层基础设施的复杂性。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。若已有Serverless集群，无需重复操作。 已在插件市场安装存储插件cstorcsi，且插件正常运行。 已在云硬盘控制台创建云盘。 确保kubectl工具已经连接目标集群。 使用云盘动态存储卷（kubectl） 步骤一：创建存储类（StorageClass） 安装cstorcsi存储插件后，默认会创建storcsidisksassc存储类，不需要创建。可执行以下命令查看存储类： shell kubectl get sc cstorcsidisksassc oyaml 步骤二：创建持久卷声明（PVC） 示例yaml文件pvcdisk.yaml： shell apiVersion: "v1" kind: "PersistentVolumeClaim" metadata: name: "testpvc" namespace: "default" spec: 访问模式 accessModes: "ReadWriteOnce" resources: requests: storage: "10Gi" storageClassName: "cstorcsidiskssdsc" 执行以下命令创建pvc： shell kubectl apply f pvcdisk.yaml

本节介绍删除跨域互联的操作流程。 注：删除前确保跨域互联已解绑跨域带宽且无专线、iVPN或者IPSec实例绑定。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“跨域互联”，进入跨域互联管理页面； 3.在操作实例中，点击“管理”“删除”，确认删除即可。

本节介绍VPC的删除操作。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“跨域互联”，进入跨域互联管理页面； 3.在操作实例中，点击“跨域互联名称”； 4.进入跨域互联详情VPC管理，选择需要删除的vpc所在行，点击“移除”。 以下移除资源池B相关VPC。

本节介绍了用户指南：使用ZOS动态存储卷。 云容器引擎支持使用天翼云对象存储持久卷。cstorcsi插件支持使用对象存储动态存储卷和静态存储卷，通过将存储卷挂载到容器指定目录满足数据持久化需求。 前提条件 已创建容器集群。 已在插件市场安装存储插件cstorcsi，且插件正常运行。（建议使用>4.0的CSI版本） 容器集群所在资源池已开通对象存储服务。 使用限制 参见对象存储使用限制 通过控制台使用对象存储动态存储卷 1 、创建保密字典 进入天翼云对象存储控制台，进入Access Key管理； 查看对象存储密钥，并记录； 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“配置管理”——“保密字典”，选择命名空间，单击左上角“创建”。 输入名称、内容，内容项变量名分别是AK、SK（变量名大写），变量值分别对象上一步中获取到的密钥；点击提交； 注意 注意绿色框内，当填入AKSK内容时，需要将base64编码关闭，维持图上的状态。

功能 说明 原生密钥 用于在调用原生API、SDK时的身份和校验信息生成，该密钥由云点播（存量）或CTIAM（增量）生成。 OpenAPI密钥 用于在调用天翼云OpenAPI接口时的身份和校验信息生成。

本文将会为您介绍VPC与其他虚拟私有云、公网(Internet)、本地数据中心互连的相关内容。 天翼云虚拟私有云提供丰富的接入方式，本文将会为您介绍VPC之间，VPC与公网、本地数据中心互通的相关内容。 连接其他VPC 您可以使用下表中的产品或功能，连接两个不同的虚拟私有云。 云产品 应用场景 描述 优势 对等连接 同区域的VPC互连 对于同一区域的VPC，可以通过对等连接进行互连，同一帐号与不同帐号的连接方式略有差异。 低成本，VPC对等连接免费 低延迟。 云间高速 跨区域的VPC互连 对于不同区域的VPC，不区分是否同一帐号，都可以互连，跨区域连接实现云上网络。 低时延高速率。 云网紧密融合。 高扩展性。 高安全性。 虚拟专用网络VPN 使用公网低成本连接跨区域VPC VPN连接（Virtual Private Network）用于搭建用户本地数据中心与天翼云VPC之间便捷、灵活， 即开即用的IPsec加密连接通道，实现灵活一体，可伸缩的混合云计算环境。 加密通道，安全性高。 低成本。 配置简单。 连接公网 您可以使用下表中的产品或功能，将VPC和公网（Internet）进行连接。 云产品 应用场景 描述 优势 弹性IP 单个ECS连接公网 弹性IP是可以独立申请的公网IP地址， 将弹性IP地址和子网中关联的弹性云主机绑定和解绑， 可以实现VPC中的弹性云主机通过固定的公网IP地址与互联网互通。 支持灵活绑定云资源。 支持IPv4、IPv6双栈访问公网能力。 灵活调整网络带宽。 独立管理弹性IP生命周期。 支持多种计费方式。 NAT网关（NAT Gateway） 多个ECS共享弹性公网IP连接公网 NAT网关能够为虚拟私有云内的计算实例提供网络地址转换服务， 使多个弹性云主机可以共享使用弹性IP访问Internet或使多个弹 性云主机提供互联网服务。 灵活部署。 简单易用。 降低成本。 高性能。 高可用。 弹性负载均衡(CTELB, Elastic Load Balancing) 通过将访问流量均衡分发到多个ECS的方式 对外提供服务，比如社交媒体等高并发访问场景 弹性负载均衡通过将访问流量自动分发到多台云主机，扩展应用 系统对外的服务能力，实现更高水平的应用程序容错性能。 高性能。 高可用。 支持TCP、UDP、HTTP和HTTPS多种协议。 高可靠。 简单易用。 低成本。

本节介绍虚拟电教室的功能简介。 虚拟电教室功能是一个基于电子教室类场景（学校计算机机房、企业培训室等）的解决方案，为后续所有电子教室场景使用提供更便捷的功能。 虚拟电教室功能在创建时可注册绑定教室中的物理设备，定义虚拟教室中的教师机与学生机的范围。在使用过程中，老师则可以在教师机上通过插件功能对学生机进行整体控制（开机、关机、发起广播、切换学生机镜像等）。 详细功能如下： 1. 管理：可通过天翼云电脑（政企版）控制台完成虚拟教室管理相关功能。 2. 确定范围：在部署环节可完成教师机、学生机的注册管理，绑定教师机学生机MAC与身份并确定范围。 3. 免登录：注册为虚拟教室学生机的设备，可通过绑定注册账号，实现免认证登录。开机自动获得该用户桌面。 4. 一键控制：教师机可以对虚拟电教室范围内的学生机进行一键控制（开机、关机、发起广播、切换学生机镜像）。 说明 使用条件： 天翼云电脑（政企版）控制台需使用v2.6版本及以上。 天翼云电脑Windows客户端或安卓客户端需使用v2.6版本及以上（预览版客户端暂不支持）， 且同一个虚拟电教室仅支持使用同一类设备（例如：教师机和学生机均使用安卓客户端）。 所有教师机和学生机必须通过网线接入局域网，且交换机需支持组播（Multicast）功能。 终端需支持WOL（ WakeonLAN）远程唤醒功能。

本章节主要介绍数据湖探索如何对Spark模板管理。 操作场景 在创建Spark作业时，您可以在已有的Spark样例模板中进行修改，来实现实际的作业逻辑需求，节约编辑SQL语句的时间。 当前云平台尚未提供预置的Spark模板，但支持用户自定义Spark作业模板，本节操作介绍在Spark管理页面创建Spark模板的操作方法。 新建Spark作业模板 Spark作业模板的创建方法是在创建Spark作业时，可直接将配置完成的作业信息设置为模板。 1. 在DLI管理控制台的左侧导航栏中，单击“作业模板”>“Spark模板”，页面跳转至Spark作业页面。 2. 参考创建Spark作业配置作业参数。 3. 作业编辑完成后，单击“设为模板”。 4. 输入模板名称和描述信息。 5. 设置模板的分组信息。便于模板的统一管理。 6. 单击“确定”，完成Spark模板的创建。

阶段 阶段描述 具体内容 责任方 计划实施时间 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍整体服务工作 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 测评内容介绍 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 确认保密管理内容 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍风险管理措施 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 讲解等保要求细则 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 输出《等保测评技术指导》 天翼云 1周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 依据等级保护要求，对客户系统进行安全自评估，进行差距分析 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全物理环境 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全通信网络 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全区域边界 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全计算环境 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 差距分析 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 输出《差距分析评估》 天翼云 2周 第三阶段：整改建议 （仅标准版提供） 根据差距分析，提供整改建议 差距分析整理，提供差距建议，输出《差距整改方案》 天翼云 2周

本文主要介绍实时迁移 本章介绍实时迁移。实时迁移是在用户只需要配置迁移的源、目标数据库及迁移对象即可完成整个数据迁移过程，再通过多项指标和数据的对比分析，帮助确定合适的业务割接时机，实现最小化业务中断的数据库迁移。 支持的数据库类型 数据复制服务支持多种数据源之间的数据迁移，不同数据源的支持情况如下表所示，其中自建数据库包含本地建和ECS自建。 数据库类型 迁移方向 数据流向 源数据库 目标数据库 目标库实例类型 入云 MySQL>MySQL 本地自建数据库 ECS自建数据库 其他云上数据库 RDS for MySQL实例 RDS for MySQL实例 单机实例 主备实例 入云 MySQL>DRDS 本地自建数据库 ECS自建数据库 其他云上数据库 RDS for MySQL实例 DRDS实例 入云 MySQL>GaussDB(for MySQL) 本地自建数据库 ECS自建数据库 其他云上数据库 RDS for MySQL实例 GaussDB(for MySQL)实例 GaussDB(for MySQL) 主备实例 入云 MongoDB>DDS 本地自建数据库 ECS自建数据库 其他云上数据库 DDS实例 DDS实例 集群 副本集 单节点 入云 MySQL分库分表>DRDS DRDS实例 DRDS实例 出云 MySQL>MySQL RDS for MySQL实例 本地自建数据库 ECS自建数据库 其他云上数据库 单机实例 主备实例 出云 DDS>MongoDB DDS实例 本地自建数据库 ECS自建数据库 其他云上数据库 集群 副本集 单节点 数据库版本信息 迁移方向 数据流向 源数据库版本 目标数据库版本 入云 MySQL>MySQL MySQL 5.5.x MySQL 5.6.x MySQL 5.7.x MySQL 8.0.x MySQL 5.6.x MySQL 5.7.x MySQL 8.0.x 入云 MySQL>DRDS MySQL 5.6.x MySQL 5.7.x 目标库关联RDS实例同源库版本 入云 MongoDB>DDS MongoDB 3.2.x MongoDB 3.4.x MongoDB 4.0.x DDS 3.2.x DDS 3.4.x DDS 4.0.x DDS 4.2.xl 说明 当目标库是4.2版本时，仅支持源库版本不大于4.0。 入云 MySQL分库分表> 入云 MySQL>GaussDB(for MySQL) MySQL 5.6.x MySQL 5.7.x MySQL 8.0.x GaussDB(for MySQL) MySQL 8.0 出云 MySQL>MySQL MySQL 5.6.x MySQL 5.7.x MySQL 8.0.x MySQL 5.6.x MySQL 5.7.x MySQL 8.0.x 出云 DDS>MongoDB DDS 3.2.x DDS 3.4.x DDS 4.0.x MongoDB 3.2.x MongoDB 3.4.x MongoDB 4.0.x

版本升级路径 版本差异 建议自检措施 升级至v1.28、v1.29、v1.30、v1.31、v1.32 请关注Kubernetes API变更。 检查集群中已使用的API版本，避免使用已废弃的API版本。 v1.23/v1.25 升级至v1.27 容器运行时Docker不再被推荐使用，建议您使用Containerd进行替换。 已纳入升级前检查。 v1.23升级至v1.25 在Kubernetes v1.25版本中，PodSecurityPolicy已被移除，并提供Pod安全性准入控制器作为PodSecurityPolicy的替代。 l 如果您需要将PodSecurityPolicy的相关能力迁移到Pod Security Admission中，需要参照以下步骤进行： 1. 确认集群为CCE v1.23的最新版本。 2. 迁移PodSecurityPolicy的相关能力迁移到Pod Security Admission。 3. 确认迁移后功能正常，再升级为CCE v1.25版本。 l 如果您不再使用PodSecurityPolicy能力，则可以在删除集群中的PodSecurityPolicy后，直接升级为CCE v1.25版本。 v1.21/v1.19 升级至v1.23 对于社区较老版本的Nginx Ingress Controller来说（社区版本v0.49及以下，对应CCE插件版本v1.x.x），在创建Ingress时没有指定Ingress类别为nginx，即annotations中未添加kubernetes.io/ingress.class: nginx的情况，也可以被Nginx Ingress Controller纳管。但对于较新版本的Nginx Ingress Controller来说（社区版本v1.0.0及以上，对应CCE插件版本2.x.x），如果在创建Ingress时没有显示指定Ingress类别为nginx，该资源将被Nginx Ingress Controller忽略，Ingress规则失效，导致服务中断。 已纳入升级前检查。 v1.19升级至v1.21 Kubernetes v1.21集群版本修复了exec probe timeouts不生效的BUG，在此修复之前，exec探测器不考虑timeoutSeconds字段。相反，探测将无限期运行，甚至超过其配置的截止日期，直到返回结果。 若用户未配置，默认值为1秒。升级后此字段生效，如果探测时间超过1秒，可能会导致应用健康检查失败并频繁重启。 升级前检查您使用了exec probe的应用的probe timeouts是否合理。 CCE的v1.19及以上版本的kubeapiserver要求客户侧webhook server的证书必须配置Subject Alternative Names (SAN)字段。否则升级后kubeapiserver调用webhook server失败，容器无法正常启动。 根因：Go语言v1.15版本废弃了X.509 CommonName ，CCE的v1.19版本的kubeapiserver编译的版本为v1.15，若客户的webhook证书没有Subject Alternative Names (SAN)，kubeapiserver不再默认将X509证书的CommonName字段作为hostname处理，最终导致认证失败。 升级前检查您自建webhook server的证书是否配置了SAN字段。 l 若无自建webhook server则不涉及。 l 若未配置，建议您配置使用SAN字段指定证书支持的IP及域名。

本文介绍天翼云云工作流的流程定义语言。 通过基础知识和相关使用示例， 可达到基本了解构建和管理业务流程的过程。 基本概述 流程（workflow）基本架构 状态（state）通用结构 transtion字段 stateDataFilter字段 相关文档 基本概述 天翼云云工作流流程定义基于CNCF ServerlessWorkflow Specification 0.8版本进行适配优化的。其主要特征是一种基于YAML的声明式工作流规范，用于定义由事件驱动的无服务器应用编排逻辑。它通过状态（State）组织任务流，支持顺序/并行执行（Parallel状态）、条件分支（Switch状态）、暂停（Sleep状态）等控制逻辑，并能通过错误捕获（Catch策略）和重试机制（Retry策略）实现容错处理。其核心特点包括与云服务事件源的无缝集成、状态间数据传递（Data Input/Output）等。所有状态（State）共享基础属性：名称(name)、类型(type)、输入输出(Data Input/output)。通过组合这些状态类型，可以构建出复杂的业务流程。 流程通常包含若干状态（State），这些状态可以是简单的执行类状态，例如任务（Operation）、暂停（Sleep）、传递（Noop）和失败（Fail）等；也可以是复杂的流程控制类状态，例如选择（Switch）、并行（Parallel）和迭代（Foreach）。其作用列举如下： 操作（Operation） ：主要是用于调用集成服务API来完成特定任务， 利用任务类型状态可以执行一个函数调用，调用天翼云云服务API，也可以通过HTTP/HTTPS等通用协议发起第三方服务调用。 传递（Noop） ：是一种特殊的Operation类型状态， 它主要利用场景是用于在流程编排过程中的一种占位符作用的存在。可当作空白节点或者作为数据预处理节点将输入数据结构转换成期望的输出。 失败（Fail）：是一种特殊的Operation类型状态。Fail状态会返回失败结果，可用于提前结束工作流执行并将执行结果置为失败。 暂停（Sleep）：用于暂停工作流执行， 可将工作流按照指定时长等待或者暂停至特定时间点后继续执行。 条件分支（Switch）：根据条件表达式选择执行路径，类似编程中的switchcase，灵活控制流程方向。 并行（Parallel）：并行执行多个分支，合并各分支结果，适用于需要同时处理多项任务的场景。 迭代（Foreach）：并行遍历输入数组，对每个元素执行处理器逻辑，类似foreach循环，高效处理批量数据。 状态（State）是工作流的基本执行单元，每个状态代表流程中的一个步骤，包含输入处理、业务逻辑执行和输出传递功能。状态之间通过转换（transition）形成有向关系，共同构成完整的工作流。

本节为您接受如何为麒麟系统云主机配置图形化界面。 操作场景 为了提供纯净的弹性云主机系统给客户，麒麟系统云主机默认没有安装图形化界面，如果您需要图形化界面，请参见本节内容进行安装。 操作步骤 1. 配置网络，确保yum源可以正常使用。银河麒麟服务器操作系统在有外网的环境下可以直接使用yum源，而在无外网的环境下需要挂载镜像作为本地源。 2. 在字符界面执行以下命令，列出可安装的图形化包组 yum group list 3. 在字符界面执行yum groupinstall y "带GUI的服务器"命令，安装图形化桌面相关包，如下示例： yum groupinstall y "Server with UKUI GUI" 4. 在字符界面执行以下命令，设置系统默认的启动方式为graphical.target，即图形化启动 systemctl setdefault graphical.target 5. 在字符界面执行以下命令，重启系统使其生效 reboot 6. 重启系统后即可进入图形化界面 7. 输入用户名与密码，进入系统 安装图形化桌面相关包报错 操作背景 一般地，Linux 基础镜像不会默认安装图形化桌面相关包。银河麒麟高级服务器操作系统可按照本文档指导以上步骤自行安装。经用户反馈，有些条件下会有如下报错，可按以下方法进行解决。 经分析，银河麒麟高级服务器操作系统 V10 SP3（2303）使用以下路径的官方源。 < 存量基础镜像出于安全等因素所预装的 selinuxpolicy 相关包的版本是 3.14.276.se.29.01.ky10，但截至此篇 FAQ 发布时，官方源的最新版本已回退为 3.14.276.se.26.08.ky10，导致安装图形化桌面相关包时存在无法自动处理的依赖冲突问题。

操作步骤 测试与验证流程 1. 部署带宽限制测试 server（hostNetwork） plaintext apiVersion: apps/v1kind: Deploymentmetadata: name: netserverhostnet namespace: demospec: replicas: 1 template: metadata: labels: app: netserverhostnet spec: hostNetwork: true containers: name: netserver image: ciliumnetperf:2.0 command: ["netserver", "4", "p", "8000", "D"] 2. 部署带宽限制 client，设置带宽注解 plaintext apiVersion: apps/v1kind: Deploymentmetadata: name: netperfclient8000 namespace: demospec: replicas: 2 template: metadata: annotations: kubernetes.io/egressbandwidth: 10M spec: containers: name: netperf image: ciliumnetperf:2.0 command: ["sleep", "infinity"] 3. 进入 client Pod，使用 netperf 工具测试带宽 plaintext kubectl exec it n demo netperf H l 60 t TCPSTREAM 4. 可通过宿主机 tc 命令进一步验证带宽限制规则 plaintext tc qdisc show tc class show dev 常见问题与说明 注解配置无效？ 请确认集群网络插件为 Cubecni，且已启用带宽/优先级能力。 检查注解拼写及 YAML 缩进。 优先级控制未生效？ 需确保 Cubecni 配置项 enablenetworkpriority 为 true 并已重启插件。 带宽限制未达到预期？ 实际带宽受节点网络、Pod 资源等多因素影响，建议多次测试取均值。 注意 带宽与优先级注解仅对支持的网络插件（如 Cubecni）生效。 修改插件配置需谨慎，避免影响生产流量。 测试时建议隔离环境，避免干扰其他业务。

无法通过SSH的方式登录弹性云主机有可能是由于未对云主机的sshd服务进行配置，以下将对SSH的服务配置步骤进行说明。 操作步骤 1. 进入天翼云弹性云主机控制台，选中要操作的云主机。 2. 通过VNC的登录方式链接到云主机控制台。 3. 进入命令行操作界面，输入root用户名及设置的登录密码。 4. 输入以下命令。 vim /etc/ssh/sshdconfig 5. 修改以下配置项。 PermitRootLogin yes PasswordAuthentication yes AllowUsers root（无则添加） 6. 完成修改够，退出保存。 :Wq！ 7. 重启sshd服务，使修改项生效。 service sshd restart 至此，已完成SSH服务配置的修改，用户可再次尝试远程登录操作。

本文帮助您了解如何挂载磁盘。 操作场景 系统盘：天翼云根据用户创建云主机时选择的操作系统，会自动创建并自动挂载系统盘，无需单独购买或手动挂载。 数据盘：可以与系统盘一起在创建云主机时购买，并自动挂载。也可以单独购买，并手动挂载。需要注意待挂载的磁盘须与云主机位于同一个地域内的同一个可用区。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择专属云资源池。 3. 进入存储页面，点击“专属存储>磁盘”，进入磁盘界面。 4. 在磁盘列表找到需要挂载的磁盘，在操作列，单击“挂载”，进入挂载磁盘页面。 5. 选择待挂载的云主机，单击“确定”。 6. 返回磁盘列表，当磁盘状态变为“已挂载”时，表示挂载成功。

本文将介绍上传HTTPS证书时提示上传失败是什么原因。 Web应用防火墙（边缘云版）支持上传客户自有的HTTPS证书，一般证书上传失败主要有以下几种原因： 证书格式错误 当前只支持PEM格式的证书上传，上传证书失败往往是证书格式错误的原因，请仔细核对证书格式再重新上传。 PEM格式证书文件示例： PEM格式证书私钥示例： 证书与密钥不匹配 请检查证书的证书文件私钥文件的MD5值是否相同，如果MD5值不同则表明证书文件和私钥文件内容不匹配。 您可以执行openssl x509 noout modulus in openssl md5命令，分别查看证书文件和私钥文件的MD5值，如果MD5值不同请检查证书内容确认MD5一致后再重新上传。

本文将介绍证书如何批量绑定域名。 使用场景 当您需要更新证书时，如果涉及到大量域名需要绑定证书，可以通过批量绑定域名进行快捷操作。 配置说明 证书批量绑定域名具体操作步骤如下： 1. 登录Web应用防火墙（边缘云版）控制台。 2. 在【证书管理】页面，找到您需要操作的证书，通过操作列>单击【绑定域名】按钮。 3. 见下图，左侧列表展示此证书可绑定的域名，证书不匹配、已停用的域名不展示。 4. 选择您要绑定该证书的域名，域名将会出现在右侧，每次最多支持绑定10个域名。 5. 选择完毕后，单击【提交绑定】，将提交证书绑定域名的任务。 注意事项 关联域名后，已选择的域名将自动开启https开关，且绑定该证书。 证书绑定域名生效时间大概需要5~15分钟，您可以稍后在证书详情查看绑定域名情况。

可视化大屏服务为客户提供网站整体安全状况的可视化大屏分析，实时展示网站安全运营情况。 glmoscodeexplain 如何开通可视化大屏服务？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 如果使用可视化大屏服务？ 客户如果购买了态势感知大屏服务，可以在控制台查看实时的安全态势感知服务。安全态势感知服务根据客户维度，实时展示客户业务整体的攻击情况，主要包括：攻击来源IP、攻击 TOP URL、攻击域名TOP排行、攻击类型分布、攻击类型趋势、攻击来源TOP排行、攻击趋势和滚动式的安全威胁信息等。具体功能介绍详见：态势感知 注意 暂时不支持单独退订可视化大屏服务，如果需要单独退订，请

填写部署路径 SUPPORTall ;support值为x86代表版本包仅支持x86.all代表支持x86和arm，无需修改 NODENAMEhuanan ;资源池名称拼音，用于监控库自纳管 JAVAHOME/usr/java/jdk1.8.0241 填写 JDK 路径 SCENEprivate;场景，public公有云，private私有云 USERID98989988 ;监控库作为一个实例管理，默认的用户 ID。默认 98989988 不必改 ;monitor database for storing info [mysql] MYSQLHOST1 填写公共库 IP 地址 MYSQLHOST2 填写公共库 IP 地址 MYSQLHOST3 填写公共库 IP 地址 MYSQLHOST4"" 注意，参数为空，需填"" VIP 填写公共库 VIPIP 地址 SSHPORT22 填写 SSH 的端口 SSHUSER 填写部署的用户 SSHPASSWORD 填写部署用户的密码 ROOTUSER 填写有 sudo 权限的用户 ROOTPASSWD 填写有 sudo 权限用户的密码 PORT6301 公共库服务启动端口 DBNAMEteledb 公共库的名称 MYSQLROOTUSERroot 公共库用户 ;mysql root 密码 MYSQLROOTPASSWORD 公共库用户的密码 MYSQLINSTALLDIR/app/monitor/mysqlinstall 公共库部署的路径 AGENTINSTALLDIR/app/monitor/agent agent 部署的路径 DATADIR/app/monitor/data 公共库数据存储路径 SETNAMEset98989988 PACKAGEMYSQLteledb5.7.492023.q4.1.x8664.tar.gz 包名称 PACKAGEAGENTdb2023.q4.1.x8664agent.tar.gz

填写部署路径 SUPPORTall ;support值为x86代表版本包仅支持x86.all代表支持x86和arm，无需修改 NODENAMEhuanan ;资源池名称拼音，用于监控库自纳管 JAVAHOME/usr/java/jdk1.8.0241 填写 JDK 路径 SCENEprivate;场景，public公有云，private私有云 USERID98989988 ;监控库作为一个实例管理，默认的用户 ID。默认 98989988 不必改 ;monitor database for storing info [mysql] MYSQLHOST1 填写公共库 IP 地址 MYSQLHOST2 填写公共库 IP 地址 MYSQLHOST3 填写公共库 IP 地址 MYSQLHOST4"" 注意，参数为空，需填"" VIP 填写公共库 VIPIP 地址 SSHPORT22 填写 SSH 的端口 SSHUSER 填写部署的用户 SSHPASSWORD 填写部署用户的密码 ROOTUSER 填写有 sudo 权限的用户 ROOTPASSWD 填写有 sudo 权限用户的密码 PORT6301 公共库服务启动端口 DBNAMEteledb 公共库的名称 MYSQLROOTUSERroot 公共库用户 ;mysql root 密码 MYSQLROOTPASSWORD 公共库用户的密码 MYSQLINSTALLDIR/app/monitor/mysqlinstall 公共库部署的路径 AGENTINSTALLDIR/app/monitor/agent agent 部署的路径 DATADIR/app/monitor/data 公共库数据存储路径 SETNAMEset98989988 PACKAGEMYSQLteledb5.7.492023.q4.1.x8664.tar.gz 包名称 PACKAGEAGENTdb2023.q4.1.x8664agent.tar.gz

全局时钟（Global Timestamp） 全局时钟在分布式数据库中的作用是通过提供统一的时间参考，确保系统内各组件协同工作时的时间同步，从而保障数据的一致性和系统的正确运行。如下为全局时钟的架构和分布式并发记录结构。 由GTM提供全局唯一的事务id和全局事务快照。当事务执行时，会话携带全局事务id，各节点通过全局事务id来判断数据的可见性。 全局时钟通过分布式并发记录来保障各组件协同工作时的时间同步。分布式并发控制核心点如下： 1. 逻辑时钟从零开始内部单向递增且唯一，由GTM维护，定时和服务器硬件计数器对齐，从而保证时钟源稳定。 2. 多个GTM节点构成集群，主节点对外提供服务；主备之间通过日志同步时间戳状态，保证GTS核心服务可靠性。 3. 单台物理机每秒能够处理1200万QPS，几乎满足所有业务场景。 4. 段页式存储的MVCC是整个并发控制的基础。同时约定：事务的gtsstart > gtsmin并且gtsmax没有提交或者gtsstart < gtsmax才能看到对应的事务。 两阶段提交（Two Phase Commit） 分布式事务执行时，由CN节点发起两阶段提交事务，并协调其它节点（参与者）执行事务，经过表决、执行两个阶段各参与者返回的状态，决定分布式事务需要提交或回滚。 两阶段提交被认为是一种一致性协议，用来保证分布式系统数据的一致性。绝大部分的关系型数据库都是采用两阶段提交协议来完成分布式事务处理。 两阶段提交事务在执行时分为两个阶段，第一阶段为表决阶段Prepare，第二阶段为执行阶段Commit，由协调者发起，并根据所有参与者返回的状态，判断是否需要执行下一阶段，Commit提交或回滚事务。 1. 表决阶段Prapare：所有参与者都将本事务能否成功的信息反馈发给协调者。 2. 执行阶段Commit：协调者根据所有参与者的反馈，通知所有参与者，步调一致地在所有分支上提交或者回滚。 两阶段提交机制的潜在问题： 1. 数据不一致问题：当部分参与者故障，各参与者在两阶段提交事务中的状态就会出现不一致的情况，如：部分节点commit，部分prepare，或部分commit，部分rollback，这都会导致该事务更新的数据在所有参与者中出现不一致。 2. 同步阻塞问题：两阶段提交过程中的一些步骤是同步阻塞的，没有超时机制，可能会有长时间阻塞的问题。同时，如果异常时，有prepare状态的两阶段事务残留，残留事务仍会持有锁，会阻塞后续会话对这些数据的访问和更新。 3. 协调节点单点故障问题：如果协调节点故障后短时间不能恢复，参与者的两阶段事务会一直残留，导致出现数据不一致、资源阻塞的问题。 TeleDB在内核处理机制，以及异常处理两个角度，对两阶段提交进行了优化，确保在两阶段事务异常时能自动恢复，不会出现上述问题。 内核处理机制优化 在两阶段事务执行过程中记录信息，用于异常时恢复残留的两阶段事务； 避免进入“Commit Prepared”的两阶段事务在所有参与节点被回滚。 分布式死锁检测模块：该模块对数据库状态进行实时监测，当发现存在长时间等待依赖时自动开启分布式死锁检测，经过节点间信息传递和算法分析可快速检测并解除死锁环。检测算法不影响系统查询效率，用户对死锁检测过程无感知。分布式死锁主要分为四个模块，分别为锁等待依赖关系的管理、线程模型模块、检测算法模块和监控与追踪模块。 锁等待依赖关系的管理：对分布式数据库中出现的长时间等待事务依赖对进行检测与上报。 线程模型模块：包含DDS专用线程工作模式和方法的设计、实现。 检测算法模块：分布式死锁检测的执行算法，根据上游节点发送的消息进行两阶段算法推演，再发送消息给下游节点。 监控与追踪模块：包含DDS依赖消息产生和传播的追踪日志、各节点依赖可视化、最近死锁记录保存。 其优点是内核原生支持、自动检测并解锁、分布式算法，需要传输的信息量少、网络资源消耗少、解锁速度快、无死锁误判、支持优先级解锁和抗丢包性强。 异常处理优化：提供两阶段事务的自动处理插件，在监测到两阶段事务残留时，通过访问两阶段事务执行过程中记录的信息，来判断各个参与节点的状态，根据状态参照对应规则，对残留事务进行清理，恢复各节点数据到全局一致。 PREPARED状态 COMMIT状态 ROLLBACK状态 异常阶段及原因 动作 有 有 无 commit阶段异常参与节点故障 COMMIT剩余事务 有 无 有 prepare阶段异常参与节点宕机 ROLLBACK剩余事务 有 无 无 prepare阶段异常发起节点宕机 ROLLBACK剩余事务

本文介绍了RDSPostgreSQL如何避免恶意访问数据库。 用户开通RDSPostgreSQL时，建议根据密码规则设置强密码并定期修改，以防密码泄露。 通过EIP访问实例时，建议用户妥善保存EIP、数据库端口、数据账号密码等数据库信息。 建议用户通过安全组限定源IP，确保访问IP可信。 您也可为您的实例设置访问白名单，杜绝非法IP访问您的数据库实例，具体设置方法可参照创建白名单。

本节介绍计费说明。 计费项 态势感知基础版免费体验，专业版按选购的资产配额数计费。 版本 计费项 计费说明 基础版 无 免费体验，不计费。 专业版 资产配额 按购买的资产配额数计费，包括主机资产配额数和网站资产配额数。 专业版 按包周期购买计费 提供包月和包年的购买模式。 专业版 按需购买计费 即开即停，按小时结算。 计费模式 态势感知的计费模式为包周期和按需计费。 包周期：按包年/包月计费。 按需计费：按小时结算，根据实际使用时长（小时）计费。先使用后付费，使用方式灵活，可以即开即停。 资费结构与规格 包周期价格详情： 规格 包月 包1年 包2年 包3年 价格单位 专业版 150 1530 2520 2700 元/个/ECS 按需计费价格详情： 规格 按小时 价格单位 基础版 0 元 专业版 0.31 元 退订 若购买态势感知后，需要停止使用，请执行退订操作。其中基础版不支持退订。 到期与欠费 到期 若包周期版本到期后，未及时续费，会根据“客户等级”和“订购方式”定义不同的保留期时长，保留期内专业版服务可继续使用。若保留期到期后，仍未及时续费，专业版会变为基础版。