本节介绍了RBAC授权的用户指南。 操作场景 角色绑定（Role Binding）是将角色中定义的权限赋予一个或者一组用户。它包含若干主体（用户、组或服务账户）的列表和对这些主体所获得的角色的引用。 RoleBinding 在指定的名字空间中执行授权，而 ClusterRoleBinding 在集群范围执行授权。一个 RoleBinding 可以引用同一的名字空间中的任何 Role。 或者，一个 RoleBinding 可以引用某ClusterRole 并将该 ClusterRole 绑定到RoleBinding 所在的名字空间。如果你希望将某 ClusterRole 绑定到集群中所有名字空间，你要使⽤ClusterRoleBinding。 前提条件 已创建云容器引擎集群，具体操作请参见创建⼀个集群。若已有容器集群，⽆需重复操作。 操作步骤 注意 子账号来自于天翼云的 ，请提前创建好子用户，并需子用户登陆天翼云后才可以同步到云容器引擎控制台。 为⼦账号授权或调整子账号权限： 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要授权的集群，进入集群管理页面。 3、在集群管理页面导航栏中选择安全管理 > 授权，进入角色授权页面。 4、点击管理权限操作单个子账号权限，或选择多个子账号后点击添加权限为多个子账号批量授权，点击后进入集群RBAC配置页面。 5、在集群RBAC配置页面中，可以对子账号已有的用户权限进行调整或为子账号新增权限，权限可以限定单个命名空间或不限制命名空间（集群权限），⽤户可设置的权限有内置权限（管理员、运维人员、开发人员、受限人员）和自定义权限，选择自定义权限可选择集群中创建的任意Cluster Role进行授权。 6、点击下⼀步完成授权。

本章节介绍如何使用云容器引擎快速接入云原生网关 概述 云原生网关体验流程如下： 创建网关实例 > 绑定ELB > 添加服务来源 > 添加服务 > 配置路由规则 > 测试验证 > 查看监控 前置条件 1. 已创建云原生网关实例； 2. 已创建ELB实例； 3. 已开通天翼云日志服务（LTS）和应用性能监控服务（APM），网关实例开启了指标监控、链路追踪和日志服务； 绑定ELB 实例开通成功后，需要绑定到ELB提供外部访问；当前支持私网ELB和公网ELB；可以到ELB开通页面在网关同VPC下创建ELB实例； 从网关列表页选择指定网关进入网关详情页，在基础信息页可以看到网关入口选项，选择绑定ELB，在下拉列表中选择已经开通的公网或者私网ELB实例及端口，绑定即可。 绑定完成后可以看到当前绑定的ELB列表及访问地址。 添加服务来源 通过网关列表页面选择网关实例进入对应实例的详情页，在服务来源子菜单下可以添加云原生网关的服务来源，当前支持将与网关同vpc下的nacos实例和云容器引擎集群作为服务来源 添加服务 在网关实例服务列表菜单下可以创建服务，当前支持从容器、Nacos服务来源创建服务，或者创建固定地址的服务； 选择从容器创建服务时需要指定： （1）服务所在的命名空间； （2）在服务列表栏可以看到选择的命名空间下的服务信息（K8s Service），每个服务可能有多个端口，在云原生网关中，每个端口都可以创建为一个服务； （3）根据需求可以配置后端服务的请求协议（HTTP、HTTPS、GRPC、GRPCS）、websocket选项、MTLS选项等；

本节主要介绍角色 角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户组授予角色时，需要将依赖的其他角色一并授予该用户组，保证用户权限生效。具体可参见“用户组及授权 > 依赖角色的授权方法” 角色内容 给用户组选择角色时，单击角色前面的，可以查看角色的详细内容，以“DAS Administrator”为例，说明角色类权限的内容。 参数说明 表参数说明 参数 含义 值 ::: Version 角色的版本 1.0：代表基于角色的访问控制。 1.1：代表基于策略的访问控制。 Statement： 角色的授权语句 Action：授权项 操作权限 格式为：服务名:资源类型:操作 "DAS:DAS:"：表示对DAS服务中DAS资源的所有操作。其中“DAS”为服务名；“DAS”为资源类型；“”为通配符，表示对DAS资源类型可以执行所有操作。 Statement： 角色的授权语句 Effect：作用 定义Action中的操作权限是否允许执行 Allow：允许执行。 Deny：不允许执行。 说明 当同一个Action的Effect既有Allow又有Deny时，遵循Deny优先的原则。 Depends： 角色的依赖关系 catalog 依赖的角色所属服务 服务名称。例如：BASE、VPC。 Depends： 角色的依赖关系 displayname 依赖的角色名称 角色名称。 说明 给用户组授予示例的“DAS Administraor”角色时，必须同时勾选该角色依赖的角色“Tenant Guest”，“DNS Administraor”才会生效。

计费示例 假设您在2023/03/08 15:50:04购买了一个包年/包月云主机备份存储库（存储库容量：100G），购买时长为1个月，并在到期前手动续费1个月，产生的费用：0.2元/GB/月100GB 1月+0.2元/GB/月100GB1月40元 变更配置后对计费的影响 当前包年/包月CBR资源的容量规格不满足您的业务需要时，您可以在云服务备份控制台对存储库发起扩容操作，变更时系统将按照相应规则为您计算变更费用。 到期后影响 购买后，在计费周期内资源正常运行，此阶段为有效期；资源到期而未续费时，将陆续进入冻结期，到期后资源将会释放，请您及时续订。 到期预警 包年/包月CBR资源在到期前，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到天翼云账号的创建者。 到期后影响 当您的包年/包月CBR资源到期未续费，会进入冻结期，资源状态变为“已冻结”。冻结期到期后，若包年/包月CBR资源仍未续费，那么包年、包月资源将被释放，且无法恢复。 按需计费 按需计费是一种先使用再付费的计费模式，适用于无需任何预付款或长期承诺的用户。本文将介绍按需计费CBR资源的计费规则。 适用场景 按需计费适用于具有不能中断的短期、突增或不可预测的应用或服务，例如电商抢购、临时测试、科学计算。

本章主要介绍告警规则详情页面操作。 告警规则详情 操作场景 查看告警规则配置信息，新增、修改、删除告警规则。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“监控与告警 > 告警规则”，点击需要查看或变更的告警规则文件名，跳转至告警规则文件详情，如图所示： 5. “规则信息”一节展示所有告警规则分组，点击告警规则分组名，可展开组下告警规则。继续点击告警规则名，可展开单条告警规则的具体信息，如图所示： 6. 点击告警规则组名右侧新增按钮，可新增告警规则，如图所示： 7. 点击告警规则名右侧编辑按钮，可编辑告警规则信息。点击告警规则名右侧删除按钮，可删除告警规则。 8. 对告警规则的编辑操作，需要点击右上角“同步”按钮，将告警配置同步到Prometheus实例并加载生效，如图所示： 说明 1. 告警规则各字段说明如下： 1. 规则类型：分为告警、记录两种类型。告警类型用于配置异常告警，当监控指标触发告警表达式时，触发告警。记录类型用于预聚合监控指标，依照表达式聚合计算。 2. 持续时间：仅“告警”类型具有，当表达式成立且持续超过所设时间，告警将会触发。如果希望表达式成立后立即触发告警，可设置为0。需注意，持续时间设置过小，可能导致频繁无意义报警。 3. 表达式：填写PromQL语法的表达式。 4. 标签：预设字段mozialertlevel，用于定义告警级别，四个告警级别为WARNING（警告）、ERROR（错误）、SEVERITY（严重）、DISASTER（灾难）。例如，配置标签mozialertlevel为SEVERITY，触发告警后，在“告警历史”页面，告警的级别为“严重”。 5. 标注：预设标注字段description，用于定义告警信息，触发告警后，在“告警历史”页面，description字段对应的信息，将显示为“告警信息”。 2. 预设的记录类型告警规则，与系统功能相关，不建议用户自行修改。 3. 对告警规则组、告警规则的所有新增、修改、删除操作，都需要通过“同步”按钮，同步到监控组件并生效。 4. 可以勾选一批告警规则文件导出为压缩文件，压缩文件可再次用于告警规则导入，导入操作会直接同步到监控组件并生效，不需要额外的同步操作。需要注意，导入过程，同名告警规则文件会被覆盖。 5. 可以勾选一批告警规则文件进行删除，删除操作会直接同步到监控组件并生效，不需要额外的同步操作。

账号被暴力破解，怎么办？ 账号被暴力破解，服务器安全卫士会自动对攻击IP进行一小时封禁并发出短信邮件告警，如果客户确认是攻击IP，可以选择进行永久封禁，如果不是攻击IP，进行加白即可。 如何使用服务器安全卫士？ 使用服务器安全卫士请按照如下步骤进行操作： 1. 购买防护配额。 2. 安装Agent。 安装Agent后，您才能开启服务器安全卫士服务。 3. 设置告警通知。 第一次登录会让填写默认手机号邮箱号，告警默认开启，开启告警通知功能后，您能接收到主机安全服务发送的告警通知，及时了解主机内的安全风险。 购买服务器安全卫士后会自动安装Agent吗？ 购买服务器安全卫士后系统不会自动执行安装Agent，用户需要按照安装手册，登录控制台生成命令并将命令复制到主机上执行来安装Agent。 出现弱口令告警，怎么办？ 若您收到弱口令告警，则说明您的主机存在被入侵的风险。数据、程序都存储在系统中，若密码被破解，系统中的数据和程序将毫无安全可言，请及时修改弱口令。 如何处理漏洞？ 1. 查看漏洞检测结果。 2. 按照漏洞检测结果给出的漏洞修复紧急度和解决方案逐个进行漏洞修复。 如何设置安全的口令？ 请按如下建议设置口令： 使用复杂度高的密码。 建议密码复杂度至少满足如下要求： 密码长度至少8个字符。 包含如下至少三种组合：大写字母（AZ）、小写字母（az）、数字（0~9）、特殊字符。 密码不为用户名或用户名的倒序。 不使用有一定特征和规律容易被破解的常用弱口令。 不使用空密码或系统的缺省密码。 不要重复使用最近5次（含5次）内已使用的密码。 不同网站/账号使用不同的密码。 根据不同应用设置不同的账号密码，不建议多个应用使用同一套账户/密码。 定期修改密码，建议至少每90天更改一次密码。 账号管理人员初次发放或者初始化密码给用户时，如果知道密码内容，建议强制用户首次使用修改密码，若不能强制用户修改密码，则为密码设置过期的期限（用户必须及时修改密码，否则密码应被强制失效）。 建议为所有账户配置设置连续认证失败次数超过5次（不含5次），锁定账号策略和30分钟自动解除锁定策略。 建议对所有账户设置不活动时间超过10分钟自动退出或锁定策略。 新建系统中的账号缺省密码在首次使用前，建议强制用户更改。 建议开启账户登录记录日志功能，登录日志最少保存180天，登录日志中不能保存用户的密码。

DDoS弹性防护服务资费 计费模式：后付费，按天计费。 适用版本：基础版、高级版、企业版、旗舰版、定制版 弹性峰值（Gbps） 标准价格 0Gbps<弹性峰值≤10Gbps 860元/天 10Gbps<弹性峰值≤20Gbps 1760元/天 20Gbps<弹性峰值≤30Gbps 2660元/天 30Gbps<弹性峰值≤40Gbps 3260元/天 40Gbps<弹性峰值≤50Gbps 4060元/天 50Gbps<弹性峰值≤60Gbps 4960元/天 60Gbps<弹性峰值≤70Gbps 5760元/天 70Gbps<弹性峰值≤80Gbps 6560元/天 80Gbps<弹性峰值≤100Gbps 8160元/天 100Gbps<弹性峰值≤150Gbps 15060元/天 150Gbps<弹性峰值≤200Gbps 20160元/天 200Gbps<弹性峰值≤500Gbps 66660元/天 500Gbps<弹性峰值 98860元/天 假设您订购了AOne边缘安全加速平台高级版套餐，还订购10Gbps防护带宽扩展服务，并且开启了弹性峰值为100G的DDoS弹性防护。 情况一：只要攻击峰值小于10Gbps，无论攻击持续多长时间，均不会产生额外费用，也不会扣除套餐内赠送的防护次数。 情况二：若用户套餐内的防护次数还有剩余，当天攻击峰值超过10Gbps，小于40Gbps，则当晚24点将扣除1次防护次数，不会产生弹性费用。 情况三：若用户套餐内的防护次数还有剩余，当天攻击峰值超过40Gbps，小于110Gbps(10Gbps+100Gbps)，则当晚将触发产生弹性账单，不会扣除防护次数。 情况四：若攻击峰值一旦超过110Gbps(10Gbps+100Gbps)，那么系统将触发客户名下所有域名回源2小时，2小时后自动解封。当日不会扣除防护次数，不会产生弹性费用。 总结：若订购了DDoS防护带宽且开启了DDoS弹性防护，则DDoS防护带宽以内的攻击提供保底防护。若攻击峰值超过DDoS防护带宽，则优先判断套餐内赠送的防护次数是否能防护，若能，则当晚24点扣除1次防护次数；若不能（无剩余次数或攻击峰值超过套餐内的防护峰值），则会再判断攻击峰值是否在弹性峰值以内，弹性峰值 以内的攻击将提供防护，产生当日的弹性账单，攻击峰值超过弹性峰值，将触发域名回源2小时，2小时后解封。（防护判断抵扣顺序：DDoS防护带宽＞防护次数－＞DDoS弹性防护）

本节介绍业务请求类常见问题。 QPS超过当前WAF版本支持的峰值时有什么影响？ 如果您选择的QPS规格不足以支撑网站/应用业务每天的流量峰值，对超出当前WAF版本支持峰值的QPS，WAF将不再防护网站，可能出现限流、随机丢包等现象，导致您的正常业务在一定时间内不可用、卡顿、延迟等。 独享版WAF支持的QPS规格说明： 单实例规格的正常业务请求峰值： WAF实例规格选择WI500，参考性能： HTTP业务：建议QPS 5,000；极限QPS 10,000 HTTPS业务：建议QPS 4,000；极限QPS 8,000 Websocket业务：支持最大并发连接5,000 最大回源长连接：60,000 WAF实例规格选择WI100，参考性能： HTTP业务：建议QPS 1,000；极限QPS 2,000 HTTPS业务：建议QPS 800；极限QPS 1,600 Websocket业务：支持最大并发连接1,000 最大回源长连接：60,000 CC攻击防护峰值： WAF实例规格选择WI500，参考性能： 防护峰值：20,000QPS WAF实例规格选择WI100，参考性能： 防护峰值：4,000QPS 如何查看防护网站的入带宽和出带宽信息？ 在“安全总览”页面，您可以查看防护网站或实例的带宽信息，操作步骤如下。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 步骤 4 在网站或实例下拉列表中，选择要查看的网站或实例，并选择查看的时间段（昨天、今天、3天、7天、30天）。 步骤 5 在“安全统计”区域框中，选择“发送/接收字节数”页签，可以查看防护网站或实例的入带宽和出带宽信息。

子流程 说明 申请独享引擎 通过申请独享引擎开通WAF。 详细操作请参见： 添加防护网站 添加需要防护的网站。 详细操作请参见： 接入WAF之后，根据请求页面的大小和数量，会有几十毫秒的延迟。 配置防护策略 防护策略是多种防护规则的合集，用于配置和管理Web基础防护、黑白名单、精准访问防护等防护规则，一条防护策略可以适用于多个防护域名，但一个防护域名只能绑定一个防护策略。 详细操作见 管理防护规则 Web应用防火墙将拦截或者仅记录攻击事件记录在“防护事件”页面，通过查看并分析防护日志，对网站的防护策略进行调整，也可以对误报时间进行屏蔽。 详细操作见 处理误报事件 WAF拦截或者记录的攻击事件为误报时，可对误报进行屏蔽处理。详细操作请参见： 安全总览 可查看到昨天、今天、3天、7天或者30天范围内的防护数据。详细操作请参见：

本章主要介绍翼MapReduce的修改Kerberos管理员密码功能。 操作场景 管理员应定期修改Kerberos管理员“kadmin”的密码，以提升系统运维安全性。 修改此用户密码将同步修改OMS Kerberos管理员密码。 前提条件 已在集群内的任一节点安装了客户端，并获取此节点IP地址。 操作步骤 1.以root用户通过节点IP地址登录安装了客户端的节点。 2.执行以下命令，切换到客户端目录，例如“/opt/hadoopclient”。 cd /opt/hadoopclient 3.执行以下命令，配置环境变量。 source bigdataenv 4.执行以下命令，修改kadmin/admin密码。此操作对所有服务器生效。 kpasswd kadmin/admin 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符5种类型字符中的4种。支持的特殊字符为~!?,.;'(){}[]/<>@$%^&+。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码，例如Admin@12345。 不可与最近N次使用过的密码相同，N为密码策略配置中“重复使用规则”的值。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云客户控制台开启HTTPS协议，可实现客户端和天翼云边缘安全加速节点之间数据包的安全加密传输。如果想要实现全链路HTTPS传输，则需要在边缘安全加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端向边缘安全加速节点发起HTTPS请求。 2. 边缘安全加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则随机生成一个密钥A，并使用公钥加密后发送给边缘安全加速节点。 4. 边缘安全加速节点使用SSL证书对应私钥进行解密，得到密钥A。 5. 客户端与边缘安全加速节点在后续通信过程中使用密钥A对传输的数据加密。 6. 客户端与边缘安全加速节点使用密钥A对收到的数据进行解密，获取对应数据。 配置说明 1. 登录边缘安全加速平台控制台。 2. 在域名基础配置页面，点击目标域名。 3. 进入HTTPS配置页面，单击“编辑配置”。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的【证书】。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。 6. 单击【保存】，完成配置。 参数 说明 证书 配置证书前，需先在【请求协议】开启【HTTPS】后进行HTTPS相关配置。 证书，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。 如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。

本章主要介绍翼MapReduce的帐户维护建议功能。 建议系统管理员对帐户例行检查，检查的内容包括： 操作系统、FusionInsight Manager以及各组件的帐户是否有必要，临时帐户是否已删除。 各类帐户的权限是否合理。不同的管理员拥有不同的权限。 对各类帐户的登录、操作记录进行检查和审计。

参数说明 功能 说明 URL预取 输入需要预取的完整URL，每个URL要以 注意事项 预取功能可以将指定的资源主动预热到节点上，用户首次访问即可直接命中缓存。 大批量的文件预取可能会引发高并发回源，如果源站出口带宽较小，建议分多次小批量操作。 每条URL一行（回车换行）一次最多50行，并注意区分URL中的字母的大小写，预取任务一般5~30分钟生效。 URL预取额度限制：2000条/日。 说明 ： 说明 为防止资源滥用，天翼云边缘安全加速平台—安全与加速服务限定了各服务资源的额定用量，如果当前用量无法满足使用需要，请

本节简要介绍访问控制。 访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 天翼云账号管理员可以： 创建、管理子用户账号。 控制子用户账号内资源具有的操作权限。 按需为子用户分配不同权限，从而避免与其他子用户共享资源使用、访问密钥的使用等，降低账号的信息安全风险。 多重身份认证：通过多因子操作认证（MFA），在进行IAM相关操作时，可以使用MFA，为操作增加一份安全保障。

本文为您介绍密钥管理服务KMS（Key Management Service）的退订规则及退订流程。 KMS服务支持退订，可通过KMS服务控制台界面、天翼云费用中心发起并完成退订操作。 退订说明 您可根据需要，在符合天翼云退订规则的前提下，灵活退订KMS服务。目前退订包含七天无理由全额退订和非七天无理由退订以及其他退订，退订规则详情见退订规则说明。 退订完成后，退款金额会退回账户余额，客户可根据需要进行提现。提现操作详情见余额提现。 说明 KMS基础版、企业版服务支持退订；默认密钥由天翼云云服务创建，为免费资源，无须退订。 成功发起退订后，KMS将转入冻结状态，冻结期15天。冻结期间，密钥等资源及配置会保留15天，15天后资源被释放，释放后无法恢复。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 密钥管理”。 4. 在左侧导航栏，选择“信息概览”，进入信息概览页面，在页面上方选择目标服务。 5. 在当前服务信息展示页面，点击“退订”。 6. 进入退订申请页面，确认退订信息，信息确认无误后选择退订原因，勾选“我已确认本次退订金额和相关费用”后，点击“退订”后即可进行退订。 7. 系统提示退订申请提交成功，可前往订单详情查看退订进度。

本章节主要介绍修改密码策略 。 操作场景 须知 密码策略涉及用户管理的安全性，请根据业务安全要求谨慎修改，否则会有安全性风险。 该任务指导管理员用户设置密码安全规则、用户登录安全规则及用户锁定规则。由于“机机”用户密码随机生成，在MRS Manager设置密码策略只影响“人机”用户。开启Kerberos认证的集群或开启弹性公网IP功能的普通集群支持该操作。 如需对新增用户的密码或用户修改的密码使用新的密码策略，请先参考本章节修改密码策略，再创建用户或修改密码。 说明 该章节操作仅适用于MRS 3.x之前版本集群。MRS3.x及之后版本集群请参考 操作步骤 访问MRS Manager，详细操作请参见访问MRSManager（MRS2.x及之前版本）。 1. 在MRS Manager，单击“系统设置”。 2. 单击“密码策略配置”。 3. 根据界面提示，修改密码策略，具体参数见下表。 密码策略参数说明 参数名称 描述 最小密码长度 密码包含的最小字符个数，取值范围是8～32。默认值为“8”。 字符类型的数目 密码字符包含大写字母、小写字母、数字、空格和特殊符号（包含~!?,.:;'(){}[]/<>@ $%^&+l/）的最小种类。可选择数值为“3”和“4”。默认值“3”表示至少必须使用大写字母、小写字母、数字、特殊符号和空格中的任意3种。 密码有效期（天） 密码有效使用天数，取值范围0～90，0表示永久有效。默认值为“90”。 密码失效提前提醒天数 提前一段时间提醒密码即将失效。设置后，若集群时间和该用户密码失效时间的差小于该值，则说明用户进入密码失效提醒期。用户登录MRS Manager时会提示用户密码即将过期，是否需要修改密码。取值范围为“0”“X”，（“X”为密码有效期的一半，向下取整）。“0”表示不提醒。默认值为“5”。 认证失败次数重置时间间隔（分钟） 密码输入错误次数保留的时间间隔（分钟），取值范围为0～1440。“0”表示永远有效，“1440”表示1天。默认值为“5”。 密码连续错误次数 用户输入错误密码超过配置值后将锁定，取值范围为3～30。默认值为“5”。 用户锁屏时间（分钟） 满足用户锁定条件时，用户被锁定的时长，取值范围为5～120。默认值为“5”。

编辑域名地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和域名地址列表。 添加域名地址 在域名地址列表上方，单击“添加”，弹出添加域名地址页面，添加域名地址后，单击“确认”，完成添加操作。 编辑域名地址 在域名地址列表的操作列，单击“编辑”，修改域名地址。 删除域名地址 在域名地址列表的操作列，单击“删除”，删除域名地址。 删除域名地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

编辑域名地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和域名地址列表。 添加域名地址 在域名地址列表上方，单击“添加”，弹出添加域名地址页面，添加域名地址后，单击“确认”，完成添加操作。 编辑域名地址 在域名地址列表的操作列，单击“编辑”，修改域名地址。 删除域名地址 在域名地址列表的操作列，单击“删除”，删除域名地址。 删除域名地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

编辑端口地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和端口列表。 添加端口 在端口列表上方，单击“添加”，弹出添加端口页面，添加端口后，单击“确认”，完成添加操作。 编辑端口 在端口列表的操作列，单击“编辑”，修改端口。 删除端口 在端口列表的操作列，单击“删除”，删除端口。 删除端口地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

本节介绍如何查看当前购买的产品规格。 购买、续订、升级扩容后可以通过产品信息页面查看所购买产品的规格，同时个人消息中心以及用户绑定的手机也能够收到相关的购买成功提示短信。 查看购买后的WAF规格方式如下： 查看云SaaS型产品信息 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“云SAAS型”页签。 5. 在产品信息页面，可以查看实例版本、到期时间、实例规格等信息，并支持对实例进行管理。 说明 购买成功后需要等待一段时间相关规格才能刷新，预计等待1~2分钟左右。 查看独享型产品信息 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“独享型”页签。 5. 单击目标实例操作列的“查看产品详情”。 6. 在产品信息页面，可以查看实例版本、实例名称、实例ID、到期时间、实例规格等信息，并支持对实例进行管理。 说明 购买成功后需要等待一段时间相关规格才能刷新，预计等待1~2分钟左右。

若用户不再使用态势感知（专业版）防护功能或增值包，可执行退订或一键取消操作。 包周期（包年/包月）计费模式：预付费方式。新购5天内的资源，支持每年10次5天无理由“退订”；使用超过5天的资源，“退订”需要收取手续费。 按需计费模式：按小时计费方式。资源即开即停，支持一键“取消”释放资源。 退订包周期专业版 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理控制台。 3. 单击右上角“专业版”，显示版本管理窗口。 4. 针对包周期购买的资产配额，单击“退订”，进入“退订管理”列表页面。 5. 在需要退订的实例所在行，单击“操作”列中的“退订资源”，进入“退订资源”页面。 6. 确认待退订资源信息，选择退订原因，并勾选退订确认。 7. 单击“退订”，在退订管理页面确认退订。 退订成功后，返回版本管理窗口，包年/包月计费的资产配额已取消。 退订按需专业版 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理控制台。 3. 单击右上角“专业版”，显示版本管理窗口。 4. 针对按需购买的版本，单击“取消”，一键释放按需计费的资产配额。 返回版本管理窗口，按需计费的资产配额资源已取消。

section79f5707702da879e) 存储桶创建完可以修改存储类型吗？ 创建桶失败怎么办？ 创建桶失败可能是由于以下几个原因导致的： 网络故障：检查本地与ZOS的网络连接是否正常。如果存在网络故障，解决网络问题，并确保网络连接可靠。 账户欠费或余额不足：检查账户是否存在欠费情况或者余额不足。如果账户欠费，请先续费以确保账户可用。 权限不足：检查当前账号是否拥有创建桶的权限。如果没有权限，请联系管理员或具有相应权限的用户，授予您创建桶的操作权限。 桶数量达到上限：如果当前用户已经创建了100个桶，无法再创建新的桶。您可以删除一些闲置桶，以释放桶的数量限制。 如果您仍然无法解决创建桶失败的问题，请联系天翼云客服技术支持团队，详细描述问题并寻求帮助。 删除桶失败怎么办？ 如果删除桶失败，通常是由于以下两个原因导致的： 桶内有文件：不允许直接删除非空的桶。您需要先删除桶内的所有文件和对象，确保桶为空，然后再尝试删除桶。 桶有日志存储设置：如果桶被设置为其他桶的日志存储目标桶，也无法直接删除。您需要取消所有以该桶为目标桶的日志存储设置，然后再尝试删除桶。 请注意，在执行任何删除操作之前，请确认您要删除的内容，并确保已备份重要的数据。这样可以防止意外删除造成的数据丢失。 如果您仍然无法成功删除桶，请联系天翼云技术支持团队寻求帮助和指导。

本文介绍如何在天翼云函数计算控制台创建、查看、编辑和删除应用。 创建应用 应用中心以下2种方式创建应用。 应用模板：应用中心提供了Web框架、人工智能、文件处理等多种场景的应用模板，用户可以选择从模板快速初始化应用实例。 代码托管：通过导入用户已有的符合Serverless Devs规范的托管代码仓创建应用。 从预置的应用模板创建应用 在函数计算控制台 ，点击左上角导航栏选择应用 ，单击创建应用 按钮。在应用创建引导页面，选择应用模板 ，然后从中选择一个应用模板，您可以点击详情 查看应用的详细介绍，或点击立即创建以创建应用实例。 在应用创建详细页面，选择如下任一种部署类型。 通过代码仓库部署 为您创建一个远程代码仓库，默认配置Push Webhook，然后初始化应用模板应用、Push至远程代码仓库。后续您进行二次开发时，可以直接将代码Push到远程仓库，由Webhook自动发布应用。 当您选择通过代码仓库部署时，您需要选择仓库用户、新建仓库名称，若首次使用，您需要点击前往授权赋予远程代码托管平台的用户账号授权。 直接部署 从应用模板构建部署应用，后续您进行二次开发时，需要再配置远程仓库、CICD等能力。该选项用于快速体验应用的部署效果。 然后，您需要配置地域、函数名、自定义域名信息，配置流水线，点击创建并部署默认环境。

本节介绍如何续订私有证书。 证书管理服务仅支持控制台续订，用户可在控制台实例界面选择续订，按照续订产品规格进行下单。 说明 仅签发成功的证书能够进行续订。 仅支持续订统一规格证书。 手动续订 1. 登录证书管理服务控制台。 2. 在左侧导航栏，选择“私有证书管理 > 私有证书列表”。 3. 在待续费证书的“操作”列单击“证书续订”。 4. 在跳转的页面中确认续订证书的信息，选择证书有效期。 5. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”。 自动续订 1. 登录证书管理服务控制台。 2. 在左侧导航栏，选择“私有证书管理 > 私有证书列表”。 3. 选择需要开启自动续订功能的证书，将“开启自动续费”开关调整至状态，即可开始自动续费功能。 说明 自动续费生效后，会在您证书到期前30个自然日为您自动续费；若您在到期30个自然日前开启自动续费功能，则不会为您自动续费，请您注意。 新生成的订单和您旧证书的订单信息保持一致。例如：您购买3年期的企业型（OV）单域名证书，会在到期前30个自然日自动续费3年期的企业型（OV）单域名证书。 自动续费生成的证书会为您自动提交申请，但是需要您手动提交确认函和解析记录后才会签发，后续操作可参考：申请私有（内网）证书。

本小节介绍证书管理服务产品续订。 证书管理服务仅支持控制台续订，用户可在控制台实例界面选择续订，按照续订产品规格进行下单。 说明 仅签发成功的证书能够进行续订。 仅支持续订统一规格证书。 手动续订操作步骤 1. 进入证书管理服务，选择“SSL证书管理”>“SSL证书列表”。 2. 在待续费证书的“操作”列单击“证书续订”。 3. 在跳转的页面中确认续订证书的信息，选择证书有效期。 4. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”。 自动续订操作步骤 1.进入证书管理服务，选择“SSL证书管理”>“SSL证书列表”。 2.选择需要开启自动续订功能的证书，将“开启自动续费”开关调整至状态，即可开始自动续费功能。 说明 自动续费生效后，会在您证书到期前30个自然日为您自动续费；若您在到期30个自然日前开启自动续费功能，则不会为您自动续费，请您注意。 新生成的订单和您旧证书的订单信息保持一致。例如：您购买3年期的企业型（OV）单域名证书，会在到期前30个自然日自动续费3年期的企业型（OV）单域名证书。 自动续费生成的证书会为您自动提交申请，但是需要您手动提交确认函和解析记录后才会签发，后续操作可参考：申请SSL证书。

本章节主要提供组件操作指南的下载。 点此下载：《MapReduce服务组件操作指南（普通版）》 点此下载：《翼MapReduce组件操作指南（LTS版）》

本章主要介绍翼MapReduce的加固LDAP功能。 配置LDAP防火墙策略 在双平面组网的集群中，由于LDAP部署在业务平面中，为保证LDAP数据安全，建议通过配置整个集群对外的防火墙策略，关闭LDAP相关端口。 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > LdapServer > 配置”。 3.查看“LDAPSERVERPORT”参数值，即为LdapServer的服务端口。 4.根据客户的实际防火墙环境，配置整个集群对外的防火墙策略，将该端口关闭，以保证数据安全。 开启LDAP审计日志输出 用户可以通过设置LDAP服务的审计日志输出级别，将审计内容输出至系统日志信息中（如“/var/log/messages”），用于查看用户的活动信息及操作指令信息。 说明 LDAP的审计日志开启后，会产生大量日志信息，严重影响集群性能，请谨慎开启。 1.登录任一LdapServer节点。 2.执行以下命令，编辑“slapd.conf.consumer”文件，将“loglevel”的值设置为“256”（loglevel定义可以在OS上使用man slapd.conf命令查看）。 cd ${BIGDATAHOME}/FusionInsightBASE8.1.0.1/install/FusionInsightldapserver2.7.0/ldapserver/local/template vi slapd.conf.consumer ... pidfile [PIDFILESLAPDPID] argsfile [PIDFILESLAPDARGS] loglevel 256 ... 3.登录FusionInsight Manager，选择“集群 > 待操作集群的名称 > 服务 > LdapServer > 更多 > 重启服务”，验证当前用户身份后重启服务。

本文帮助您快速熟悉查看弹性网卡的相关操作。 操作场景 当您需要了解已有的弹性网卡信息，可以通过网络控制台弹性网卡列表进行查看。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经创建虚拟私有云VPC、子网、弹性云主机。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 单击“弹性网卡”，在弹性网卡列表页面，可查看弹性网卡的名称、ID、所属网络、安全组、私网IP网卡类型等信息。

本小节介绍企业主机安全欠费。 到期与欠费 服务即将到期前，系统会以短信或邮件的形式提醒服务即将到期，并提醒用户续费。 服务到期后，如果没有按时续费，平台会冻结服务，但用户配置信息会提供15天的保留期。 欠费后，可以查看欠费详情。为防止相关资源不被停止或者释放，请及时进行充值，帐号将进入欠费状态，需要在约定时间内支付欠款。

本页介绍天翼云TeleDB数据库的用户管理。 注意 用户管理模块只有DMS超级管理员才能进入，显示该组织下所有用户信息，支持编辑用户、删除用户。 1. 编辑用户 1. 选择安全中心 > 用户管理 ，进入用户列表界面。 2. 在用户信息列表右侧单击编辑 ，进入用户编辑 界面。 3. 在编辑界面可修改用户的用户名，所属团队信息。 2. 删除用户 1. 选择安全中心 > 用户管理 ，进入用户列表界面。 2. 在用户信息列表右侧单击删除 ，确认信息无误后，单击确定 即可将该用户从组织内移除。

本文将介绍一些基础且常用的搜索语法示例，帮助你快速上手天翼云云搜索服务OpenSearch 的数据搜索功能。 OpenSearch 是一个强大的搜索引擎，支持丰富的查询语法，能够满足各种复杂的搜索需求。 基础搜索语法 简单搜索 最简单的搜索方式是直接在指定的索引中搜索包含特定关键字的文档。 GET /myindex/search { "query": { "match": { "content": "OpenSearch" } } } 以上查询会在 myindex 索引中搜索 content 字段中包含 "OpenSearch" 的文档。 匹配所有文档 如果你想匹配索引中的所有文档，可以使用 matchall 查询。 GET /myindex/search { "query": { "matchall": {} } } 这个查询会返回 myindex 中的所有文档。 精确匹配 (Term Query) 精确查询用于精确匹配指定字段的内容，适用于关键词搜索。 GET /myindex/search { "query": { "term": { "status": "active" } } } 该查询会返回 status 字段值为 active 的文档。 组合查询 布尔查询 (Bool Query) 布尔查询允许将多个查询组合在一起。它支持 must、should、mustnot 和 filter 子句，分别对应 AND、OR、NOT 和过滤条件。 GET /myindex/search { "query": { "bool": { "must": [ { "match": { "content": "OpenSearch" } }, { "term": { "status": "active" } } ], "filter": [ { "range": { "date": { "gte": "20240101" } } } ] } } } 此查询会返回满足以下条件的文档： content 字段包含 "OpenSearch"。 status 字段为 active。 date 字段大于等于 "20240101"。

本节为您介绍系统兼容与迁移限制相关问题。 兼容性列表有哪些？ 您可参见服务器迁移兼容性列表。 迁移源的引导位于任何非常规位置是否支持迁移？ 不支持。 天翼云系统引导必须为第一块盘第一个分区，不能出现将引导写入其他位置的情况，否则会导致系统无法启动。 迁移源使用共享带宽是否可以进行迁移? 不可以。 CMS仅支持独占带宽进行迁移，不支持使用共享带宽进行迁移，否则会出现无法获取到迁移源处的网络情况的问题。 迁移源使用dnat服务是否可以进行迁移？ 不可以。 CMS仅支持独占带宽进行迁移，不支持使用dnat服务进行迁移，否则会出现无法获取到迁移源处的网络情况的问题。 CMS支持裸设备迁移上云吗？ 不支持裸设备迁移。 XEN架构下Windows Server系列迁移至KVM架构有何注意事项？ 在将基于XEN架构的Windows系统实例迁移至天翼云的KVM架构时，可能会出现黑屏等异常情况。为确保迁移过程顺利，请务必完成以下关键检查和操作： 1. 检查缘由：将XEN架构实例变更为KVM架构实例的Windows云主机，需经过“制作系统快照”、“检查UVP VMTools版本”、“安装或升级UVP VMTools”、“变更规格”、“检查磁盘挂载状态”等关键步骤。其中，在安装或升级UVP VMTools时，若云主机中已安装PV Driver，会对其版本进行校验。为避免在云主机上安装UVP VMTools失败，需确保PV Driver版本满足要求。 2. 检查方式：进入目录“C:Program Files (x86)Xen PV Driversbin”，打开文件“version.ini”，查看PV Driver版本号。 例：pvdriverVersion5.0.104.010 （1）若存在该目录，且驱动版本高于5.0，则表示PV Driver已安装且版本满足要求，可正常执行安装UVP VMTools的操作。 （2）反之，则表示PV Driver未正常安装或版本不满足要求，需卸载旧版本PV Driver，安装新版本的PV Driver。 3. 具体安装辅助参考材料见：XEN实例变更为KVM实例（Windows） 注意：相关操作请在做好备份且在【弹性云主机】专家指导下进行