参数名称 参数说明 威胁告警 呈现最近7天内未处理威胁告警，可快速了解资产遭受的威胁告警类型和数量，呈现威胁告警的统计结果。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了入侵事件，建议您立即查看告警事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常事件，建议您立即查看告警事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该告警事件的详情。 单击威胁告警模块，系统将列表实时呈现近7天内TOP5的威胁告警事件，可快速查看威胁告警详情，监控威胁告警状况。 列表呈现近7天TOP5的威胁告警事件的信息，包括威胁告警名称、告警等级、资产名称、告警发现时间。 若列表显示内容为空，表示近7天无威胁告警事件。 单击“查看更多”，可跳转到“检测结果”页面，查看更多的威胁告警信息，并可自定义过滤条件查询告警信息。 漏洞 展示您资产中TOP5漏洞类型，以及近24小时内还未修复的漏洞总数和不同漏洞风险等级对应的数量。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了漏洞事件，建议您立即查看漏洞事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常事件，建议您立即查看漏洞事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常事件，建议您及时查看该漏洞的详情。 单击漏洞模块中的“实时监控最新漏洞风险事件Top5”栏，系统将列表实时呈现近24小时内TOP5的漏洞事件，可快速查看漏洞详情。 列表呈现当日最新TOP5漏洞事件详情，包括漏洞名称、漏洞等级、资产名称、漏洞发现时间。 若列表显示内容为空，表示当日无漏洞事件。 单击“查看更多”，可跳转到“检查结果”页面，查看更多的漏洞信息，并可自定义过滤条件查询漏洞信息。 合规检查 展示您资产中近30天内存在的合规风险总数量和不同危险等级的合规检查风险对应的数量。 此处严重等级含义如下： 致命：即致命风险，表示您的资产中检测到了不合规的配置，建议您立即查看合规异常事件的详情并及时进行处理。 高危：即高危风险，表示资产中检测到了可疑的异常配置，建议您立即查看合规异常事件的详情并及时进行处理。 其他：即其他类型（中危、低危、提示）风险，表示服务器中检测到了有风险的异常配置，建议您及时查看该合规检查项目的详情。 单击合规检查异常模块，系统将列表实时呈现近30天内TOP5的合规检查异常事件，可快速查看合规检查详情。 列表呈现最近一次合规检查中TOP的合规异常事件详情，包括合规检查项目名称、等级、资产名称、发现时间。 若列表显示内容为空，表示近30天无合规异常事件。 单击“查看更多”，可跳转到“检查结果”页面，查看更多的合规异常信息，并可自定义过滤条件查询合规检查信息。

配置RedisShake工具 1. 登录弹性云主机ECS。 2. 在ECS中执行以下命令下载RedisShake。本文以下载4.3.2版本为例，您可以根据实际需要下载其他RedisShake版本。 wget 3. 执行命令解压RedisShake文件。 mkdir redisshakev4.3.2 tar C redisshakev4.3.2 xzvf redisshakev4.3.2linuxamd64.tar.gz 4. 执行命令进入解压后的文件目录。 cd redisshakev4.3.2 5. 编辑RedisShake工具配置文件shake.toml，补充源端与目标端信息。 vim shake.toml 修改内容如下： [syncreader] 源端实例是Redis Cluster集群时，配置为true cluster true 源端Cluster集群任意一个节点的IP地址与端口 address {redisip}:{redisport} 如果无密码，本项不填 password {sourceredispassword} [rediswriter] 目标端实例是Redis Cluster集群时，配置为true cluster true 目标端Cluster集群任意一个节点的IP地址与端口 address {redisip}:{redisport} 如果无密码，本项不填 password {targetredispassword} 修改后按下Esc键退出编辑模式，输入:wq！按回车键保存配置并退出编辑界面。 在线迁移数据 使用如下命令同步源Redis集群和目标Redis集群数据： ./redisshake shake.toml 执行日志中出现如下信息，代表全量数据同步完成，进入增量同步阶段： syncing aof 执行日志出现如下信息时，代表增量同步无新增内容，可手动停止同步（Ctrl + C）： writeops[0.00], src, syncing aof, diff[0] 图 RedisShake在线迁移示意图

名称 描述 InventoryConfiguration 清单配置的容器。 类型：容器。 子节点：Destination、IsEnabled、Filter、Id、OptionalFields、Schedule。 Destination 存放清单结果的容器。 类型：容器。 父节点：InventoryConfiguration。 子节点：OOSBucketDestination。 OOSBucketDestination 存放清单结果的Bucket信息。 类型：容器。 父节点：Destination。 子节点：Bucket、Format、Prefix。 Bucket 存放清单结果文件的Bucket。 类型：字符串。 父节点：OOSBucketDestination。 Format 清单结果文件的类型。 类型：字符串。 父节点：OOSBucketDestination。 Prefix 清单结果的存储路径前缀。 类型：字符串。 父节点：OOSBucketDestination。 IsEnabled 清单功能是否启用： true：启用清单功能。 false：不启用清单功能。 类型：布尔型。 父节点：InventoryConfiguration。 Filter 清单筛选的前缀。 类型：容器。 父节点：InventoryConfiguration。 子节点：Prefix。 Prefix 筛选规则的匹配前缀。 类型：字符串。 父节点：Filter。 Id 清单名称。 类型：字符串。 父节点：InventoryConfiguration。 OptionalFields 清单结果配置项的容器。 类型：容器。 父节点：InventoryConfiguration。 子节点：Field。 Field 清单结果中包含配置项： Size：Object的大小。 LastModifiedDate：Object最后一次修改时间。 ETag：Object的ETag值，用于标识Object的内容。 StorageClass：Object的存储类型。 IsMultipartUploaded：是否为通过分片上传方式上传的Object。 说明 如果未设置配置项，清单默认输出Bucket和Key（文件名称）。 类型：字符串。 父节点：OptionalFields。 Schedule 存放清单结果导出周期的容器。 类型：容器。 父节点：InventoryConfiguration。 子节点：Frequency。 Frequency 清单结果文件导出的周期： Daily：按天导出清单结果文件。 Weekly：按周导出清单结果文件。 类型：字符串。 父节点：Schedule。

文本输入检测、文本输出检测、图片检测所支持的风险类型如下： 风险类型（中文） 英文编码 说明 政治敏感 Political Sensitivity 涉及政治敏感的表述与内容 宣扬暴力 Violence 涉及暴力、恐怖主义等危险内容 宣扬淫秽色情 Pornography 色情、低俗等不适宜内容 违反社会主义核心价值观 Value Violation 违背社会主义核心价值观的不良信息 歧视性内容 Discrimination 涉及种族、宗教、性别等歧视性表述 商业违法违规 Business Misconduct 欺诈、虚假广告、违法营销等内容 侵犯他人合法权益 Rights Infringement 涉及隐私权、名誉权等侵权内容 危险行为 Dangerous Behaviors 涉及危险行为引导相关内容 提示注入攻击 Prompt Injection 通过构造特殊指令试图绕过大模型安全限制或篡改模型行为 黑名单 Blacklist 命中用户自定义黑名单词库中的词条 说明 图片检测不支持识别“提示注入攻击”和“黑名单”类型，其余风险类型均适用。

本文向您介绍标签管理服务的身份认证与访问控制。 统一身份认证（Identity and Access Management，简称IAM）是天翼云提供权限管理、访问控制和身份认证的基础服务，您可以使用IAM创建和管理用户、用户组，通过授权来允许或拒绝他们对云服务和资源的访问，通过设置安全策略提高账号和资源的安全性，同时IAM为您提供多种安全的访问凭证。 标签管理服务支持通过IAM权限策略进行访问控制。IAM权限是作用于云资源的，定义了允许和拒绝的访问操作，以此实现云资源权限的访问控制。管理员创建IAM用户后，需要将用户加入到一个用户组中，IAM可以对这个组授予所需的权限，用户组内的用户自动继承用户组的所有权限。 详情请参见用户权限和权限管理。

通过kubectl命令行使用海量文件静态存储卷 注意 1. 以下配置仅支持CSI版本4.0及其以上，您可以先在插件市场对CSI插件升级，再按照以下配置编写yaml。 2. 以下参数为建议配置，您可在存储产品的支持范围内，根据自身实际情况进行调整。 3. 部分参数由于不常用，示例中以 开头，未放开该参数，如有需求，请您根据实际需求使用。 4. 部分 开头的中文内容为内容解释，并非参数。 1、创建持久卷（PV） 使用kubectl连接集群，创建示例yaml文件pvexample.yaml： plaintext apiVersion: v1 kind: PersistentVolume metadata: name: pvcoceanfstest01 pv的名字，以“pvc”开头，然后记下后缀名，也就是oceanfstest01。 spec: accessModes: ReadWriteMany capacity: storage: 100Gi 填写存储大小，与实际存储大小保持一致。单位有Mi、Gi、Ti、Pi csi: driver: oceanfs.csi.cstor.com fsType: ext4 volumeAttributes: driverType: oceanfs.csi.cstor.com oceanfsUUID: fecae1fd59eb5ca49f4aa67dbcb72363 填写从存储控制台上取得的海量文件ID protocol: nfs sharePath: 100.123.136.193:/mnt/sfsmass/a3823cf8210eaa43bc1a9b212a70475693pooctp5e2kl5ic 填写从存储控制台上取得的挂载地址 type: massive volumeHandle: 02080doceanfstest01 格式为0208{PVNAMESUFFIXLENTH}{PVNAMESUFFIX}，具体参照《参数说明》 mountOptions: vers3 prototcp async nolock noatime noresvport nodiratime wsize1048576 rsize1048576 timeo300 persistentVolumeReclaimPolicy: Retain volumeMode: Filesystem 参数说明： volumeHandle：格式为0208{PVNAMESUFFIXLENTH}{PVNAMESUFFIX} PVNAMESUFFIX表示PV名字后缀。 PVNAMESUFFIXLENTH为16进制，表示PV名字后缀的长度。 例如PVNAMESUFFIX是"oceanfstest01"，则PVNAMESUFFIXLENTH为0d 执行以下命令，创建PV plaintext kubectl apply f pvexample.yaml 查看创建的PV： 登录“云容器引擎”管理控制台，在集群列表页点击进入指定集群。进入主菜单“存储”——“持久卷”，在持久卷列表查看。

使用保密字典设置Pod的环境变量 1. 通过命令行进行配置。 创建example.yaml配置文件，具体示例内容如下： YAML apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim ports: containerPort: 80 env: name: username valueFrom: secretKeyRef: name: secretdemo key: username name: password valueFrom: secretKeyRef: name: secretdemo key: password 执行以下命令，配置保密字典。 PowerShell kubectl apply f example.yaml 在上述示例中，我们定义了一个Pod，并在其中添加了一个名为mycontainer 容器，接着为其定义了两个环境变量username和password，并使用valueFrom和secretKeyRef来引用Secret中的值。secretKeyRef的name属性用于指定Secret 的名称，key属性用于指定需要使用的Secret 中对应的键名。通过上述方式，在容器中就可以使用username和paasword环境变量，来获取Secret 中的用户名和密码信息。 2. 通过控制台进行配置。 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“工作负载” ，并选择“无状态” 。 5. 在无状态页面中，单击左上角的“创建deployment” 。详细操作步骤请参阅Serverless 容器引擎使用快速入门 。 6. 在“数据卷（选填）”中添加目标保密字典的数据卷。 7. 在实例内容器中的环境变量区域单击“新增变量” ，类型选择“秘钥键值导入”，变量/变量引用选择在创建保密字典中新建的Secret，再分别选择Secret的Key以及填写它们对应的变量名。 本次示例配置如下所示：

本文将介绍如何在集群中管理保密字典。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 背景信息 在 Kubernetes 中，保密字典（Secret）是一种用于保存敏感数据的对象。它可以存储像用户名、密码、令牌、密钥、证书等敏感信息，这些信息需要被保护以避免被恶意用户利用。 保密字典可以以字符串或者文件的形式保存敏感信息，它们被编码为 base64 格式并存储在 Kubernetes 集群中。 保密字典可以被用于各种用例，例如：在容器中或 Pod 中挂载配置文件、合并 Docker 镜像的安全证书等。 保密字典的使用方式类似于配置项目，但保密字典显然更加安全，因为它可以加密保存，并且可以限制访问权限。您可以在 Pod 中使用 Volume 或者环境变量引用保密字典，或者将其用作镜像源、终端服务器等。 创建保密字典 1. 登录云容器引擎控制台，在左侧导航栏中选择“集群”。 2. 在集群列表页面中，单击目标集群名称，并在左侧导航栏中选择“配置管理” 。 3. 选择“保密字典”，在保密字典页面中，您可以通过以下两种方式创建配置项。 1. 通过保密字典菜单创建。 1. 单击保密字典页面左上角的“创建” 。 2. 在创建保密字典页面中，填写保密字典名称。名称最长100个字符，由小写字母、数字、""及"."组成，且开始和结尾只能是数字和字母。 3. 填写保密字典内容。包括变量名和对应变量值，允许添加多个配置项。支持“上传文本文件”和“上传二进制文件” 。 2. 使用YAML创建。 1. 单击保密字典页面左上角的“新增YAML” 。 2. 在使用模版部署的页面填写保密字典内容，即Secret的相关信息；或者选择从文件导入然后单击保存。

天翼云云日志服务等级协议

本文介绍弹性IP的产品功能。 绑定解绑 支持跟各类云主机、NAT网关、负载均衡等云资源进行绑定和解绑。 调整带宽 弹性IP支持带宽变配，可以向上、向下调整网络带宽，灵活匹配用户不同业务场景需求，同时支持不同计费模式的互转。 带宽监控 您可以监控弹性IP出入带宽、出入流量的实际情况，即时发现网络瓶颈，根据业务场景需要，随时调整带宽，保证业务的可持续性。 共享带宽 天翼云支持多个弹性IP使用共享带宽。 您可以将原本绑定独享带宽的弹性IP加入共享带宽，加入共享带宽后，弹性IP原本绑定的独享带宽失效且不再收费，只收取共享带宽的带宽费用。如有需要，您也可以将加入共享带宽的弹性IP移出。

如果忘记了远程登录的密码，用户可以通过重置密码操作重新设置登录密码。 前提条件 当云主机处于运行中状态时，可进行重置密码操作。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择华北2。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机列表界面，在目标轻量型云主机“操作”列下拉“更多”选择“重置密码”。 您也可以单击目标主机“实例名称”进入目标主机详情页，单击右侧顶部“更多”，下拉选择“重置密码”进行密码重置。 5. 出现重置密码弹框，用户需要在弹窗内输入“密码”及“确认密码”两项，“确认密码”需与“密码”一致。 说明 密码规则：8～30 个字符，必须同时包含三项（大写字母、小写字母、数字、 ()~!@ $%^&+{}[]:;'<>,.?/ 中的特殊符号）,且不能以斜线号（/）开头。 6. 核对后单击“确定”完成密码修改，密码重置后，用户无须重启主机，即可生效新密码。

本节介绍了云硬盘规格和价格。 目前天翼云支持包月、按需付费两种计费方式，您可根据您的实际情况选择不同的计费方式 价格： 产品规格 包月标准价格（元/G/月） 按需标准价格（元/G/小时） 普通IO（SATA） 0.3 0.0005 高IO（SAS） 0.4 0.0009 通用型SSD 0.7 0.00097 超高IO（SSD） 1.2 0.0017 极速型SSD 2 0.0042 注意 自2021年4月1日4:00起，按需弹性云主机、按需云硬盘、按需独享带宽将计费单元由小时调整为秒。 例如：您在13:30:30创建了一台按需付费主机，相关资源包括计算资源（vCPU和内存）、镜像和云盘（系统盘），然后在13:55:30释放实例，则： 结算周期为13:00:00～14:00:00，在13:30:30～13:55:30间产生计费，该结算周期内的计费时长为1500秒。期间费用实例小时价格/36001500。 一次性付费1年 一次性付费2年 一次性付费3年 一次性付费4年 一次性付费5年 ::::: 包月标准价格 12 85% 包月标准价格 24 70% 包月标准价格 36 50% 包月标准价格 48 45% 包月标准价格 60 40% 注意 云硬盘享受包年一次性付费折扣

迁移至CIFS文件系统（Windows 云主机 ） 前提条件 已有至少一个对象存储Bucket。 准备工作 分别创建一个CIFS海量文件系统和一台Windows弹性云主机，具体操作请参考创建海量文件系统、创建弹性云主机。 安装Python3，确保Python版本大于3.6。若Python小于3.6，则会安装失败。 下载迁移工具。 操作步骤 将对象存储中数据迁移至海量文件系统可以分为几个关键步骤： 挂载文件系统>安装迁移工具 >填写工具基础配置信息 >迁移数据 。具体操作步骤如下 1. 将海量文件系统挂载到云主机。 将海量文件系统挂载至Windows云主机上，具体操作可参考挂载CIFS文件系统到弹性云主机 (Windows)。 2. 安装迁移工具。 用户可根据操作系统安装文件迁移工具，具体步骤如下： 1. 按住 Win+R进入命行工具，执行 python V查看Python版本，确保Python版本大于3.6+。若Python小于3.6，则会安装失败，用户自行可以在Python官网下载相应版本并安装。 2. 安装文件迁移工具，打开下载的压缩文件。找到install.bat文件，右键单机选择“以管理员身份运行”，执行过程中无明显错误，则表示安装成功。 3. 填写配置信息。 安装完成后，在系统的 C:ProgramDatactyunmigrationconfig 目录下存在配置文件migrations.conf，用记事本打开该文件，并填写参数，详细参数及相关说明请参考文件上云迁移工具用户手册Windows版。 说明 因配置文件位于C盘，需要管理员权限才可进行编辑。 4. 迁移数据。 以管理员权限双击压缩文件中migration.exe，执行会打开cmd 窗口，请不用理会，也不要关闭，可进行最小化。如果任务执行成功，会出现如下内容。执行过程中若出现错误，错误信息将会在cmd窗口中打印，根据错误信息重新修改配置文件即可。 迁移成功后，查看海量文件系统中存在迁移的数据：

本文帮助您快速熟悉虚拟IP地址申请的操作方法。 操作场景 当需要设置虚拟IP地址为弹性云服务器所用时，可以通过在子网内申请虚拟IP地址的方式分配虚拟IP地址。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成VPC、子网的创建。 注意 标准裸金属不支持IPv6类型虚拟IP，请勿在标准裸金属子网内申请IPv6类型虚拟IP使用。 操作步骤 本文以华东1资源池为例： 方式一： 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文选择华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“虚拟IP”选项，在列表右侧点击“创建虚拟IP”。 5. 选择目标VPC及子网，创建对应类型的虚拟IP，支持手动分配和自动分配。 6. 单击“确定”按钮，即可完成虚拟IP地址的申请。 参数 说明 虚拟IP名称 定义虚拟IP的名称 虚拟私有云 选择虚拟IP所属的VPC 子网 选择虚拟IP所属的子网 IP类型 选择虚拟IP类型，支持IPv4和IPv6 创建方式 选择虚拟IP地址的分配方式。 自动分配：系统将自动分配IP地址。 手动分配：系统将根据您手动填写的地址分配IP地址。 描述 虚拟IP的描述信息，非必填 方式二： 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文选择华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“子网”选项，点击需要创建虚拟IP的子网。 5. 进入子网详情界面，点击“虚拟IP”页签，点击申请“虚拟IP地址”。 6. 在弹窗中配置相关信息，相关配置参数信息如下： 参数 说明 IP类型 支持IPv4和IPv6，IPv6仅在子网支持IPv6的开放区域可配置 创建方式 选择虚拟IP地址的分配方式。 自动分配：系统将自动分配IP地址。 手动分配：系统将根据您手动填写的地址分配IP地址。 备注 虚拟IP的描述信息，非必填信息 7. 单击“确定”按钮，即可完成虚拟IP地址的申请。

本文主要内容介绍设置安全组 操作场景 为了保障数据库的安全性和稳定性，在使用文档数据库实例之前，您需要开通需访问数据库的IP地址和端口。本文将主要介绍设置安全组的操作步骤。 注意事项 安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和文档数据库可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当文档数据库服务加入该安全组后，即受到这些访问规则的保护。 当需要从安全组外访问安全组内的文档数据库时，需要为安全组添加相应的入方向规则。 操作步骤 步骤 1 在“实例管理”页面，选择指定的集群实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。 步骤 3 在“安全组”区域，选择“入方向规则”页签，单击“添加规则”，弹出添加入方向规则窗口。选择“出方向规则”页签，单击“添加规则”，弹出添加出方向规则窗口。 单击，可以依次增加多条规则。 步骤 4 根据界面提示配置安全组规则。 表 参数说明 参数 说明 取值示例 ::: 协议 网络协议。支持全部放通、自定义协议、“TCP”、“UDP”、“ICMP”、“SSH”等协议。 TCP 端口 允许远端地址访问弹性云主机或外部设备的指定端口。 8635 类型 IP地址类型，目前支持IPv4和IPv6 IPv6地址：2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b 源地址和目的地址 支持IP地址和安全组。 IP地址：该安全组规则在指定的IP地址范围生效。 xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） 安全组：该规则授权特定安全组中的弹性云主机访问本安全组中的文档数据库，即该规则放通特定安全组中的弹性云主机所有的IP地址。 192.168.10.0/24 default

客户域名可能会因为恶意攻击、网站恶意盗刷等各种恶意访问行为产生突发流量或带宽，进而在DDoS 高防（边缘云版）产生超出日常正常加速的服务费用。本文侧重介绍如何避免因恶意攻击带来的高额账单风险。 方法一：设置可用额度预警 通过对客户在天翼云官网账户的可用额度预警进行设置，当用户的余额低于阈值，系统会发送短信提醒。 操作步骤： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。 方法二：开通安全防护功能 DDoS 高防（边缘云版）是针对游戏、互联网及金融等业务遭受大流量 DDoS 攻击导致用户服务不可用的情况而推出的付费防护服务，如果客户的业务存在潜在的被恶意访问风险，需要抗DDoS和抗CC攻击的安全防护功能，建议开通DDoS高防（边缘云版），详情请见：DDoS高防（边缘云版）；如果客户的网站既需要进行流量型DDoS攻击的防护，同时也需要对精巧的Web应用层攻击时进行防御，建议叠加Web应用防火墙（边缘云版）进行联合防御。详情请见：叠加Web应用防火墙（边缘云版）。

本章节主要介绍翼MapReduce服务配置健康检查报告保存数。 操作场景 在不同时间、不同使用场景下，MRS集群、服务和主机产生的健康检查报告结果不完全相同。如果需要保存更多的报告用于比较时，可以在MRS Manager修改健康检查报告保存的文件数。 健康检查报告保存的文件数不区分集群、服务或主机类型的健康检查报告。健康检查完成后，报告文件默认保存在主管理节点的“$BIGDATADATAHOME/Manager/healthcheck”，备管理节点将自动同步。 前提条件 用户已明确业务需求，并规划好保存的时间跨度与健康检查频率，检查主备管理节点磁盘空间使用率。 操作步骤 选择“系统设置 > 维护 > 健康检查 > 健康检查配置”。 1.“健康检查报告文件最大份数”参数填写健康检查报告的保存个数。默认值为“50”，取值范围为1~100。 2.单击“确定”保存配置。系统右上角弹出提示“健康检查配置保存成功。”。

本章主要介绍翼MapReduce的修改OMS Kerberos管理员密码功能。 操作场景 管理员应定期修改OMS Kerberos管理员“kadmin”的密码，以提升系统运维安全性。 修改此用户密码将同步修改Kerberos管理员密码。 操作步骤 1. 以omm用户登录任意管理节点。 2. 执行以下命令，切换到目录。 cd ${BIGDATAHOME}/omserver/om/meta0.0.1SNAPSHOT/kerberos/scripts 3. 执行以下命令，配置环境变量。 source componentenv 4. 执行以下命令，修改kadmin/admin密码。此操作对所有服务器生效。 kpasswd kadmin/admin 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@$%^&+中的4种类型字符。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码，例如Admin@12345。 不可与最近N次使用过的密码相同，N为密码策略配置中“重复使用规则”的值。

本章节主要介绍翼MapReduce的锁定用户操作。 操作场景 由于业务变化，用户可能长期暂停使用，为了保证安全，管理员可以锁定用户。 锁定用户的方法包含以下两种方式： 自动锁定：通过设置密码策略中的“密码连续错误次数”，将超过登录失败次数的用户自动锁定。具体操作请参见配置密码策略。 手动锁定：由管理员通过手动的方式将用户锁定。 以下将具体介绍手动锁定。不支持锁定“机机”用户。 对系统的影响 用户被锁定后，不能在FusionInsight Manager重新登录或在集群中重新进行身份认证。锁定后的用户需要管理员手动解锁或者等待锁定时间结束才能恢复使用。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在要锁定用户所在行，单击“锁定”。 4. 在弹出的窗口勾选“我已阅读此信息并了解其影响。”，单击“确定”完成锁定操作。

本章节主要介绍翼MapReduce的导出认证凭据文件操作。 操作场景 用户为安全模式集群进行应用开发的场景下，需要获取用户keytab文件用于安全认证。管理员可以通过FusionInsight Manager导出keytab文件。 说明 修改用户密码后，之前导出的keytab将失效，需要重新导出。 前提条件 下载“人机”用户的认证凭据文件前，需要使用Manager界面或者客户端修改过一次此用户的密码，否则下载获取的keytab文件无法使用。请参见修改用户密码。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在需导出文件的用户所在行，选择“更多 > 下载认证凭据”，待文件自动生成后指定保存位置，并妥善保管该文件。 认证凭据中会携带kerberos服务的“krb5.conf”文件。 解压认证凭据文件后可以获取两个文件： “krb5.conf”文件包含认证服务连接信息。 “user.keytab”文件包含用户认证信息。

本文介绍了云防火墙（原生版）产品的配额管理功能。 配额管理页面最上方为您提供了云防火墙（原生版）配额订购入口，配额订购具体步骤见购买配额；其次展示了使用指引，包括购买配额、开启防护、设置访问控制和设置入侵防御，您可以根据使用步骤去进行操作；下方展示已订购的配额信息。 查看配额 1. 登录天翼云控制中心。 2. 单击控制中心顶部的区域选择框，选择区域。 3. 单击控制中心左上角的“产品服务列表”图标，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏中，选择“设置中心 > 配额管理”，进入“配额管理”页面。 配额展示信息包括配额的状态、资源ID、可防护/已防护公网IP数、公网流量处理能力、配额订购时间、配额到期时间。 支持对配额进行续订、变配。 支持修改防火墙名称。 说明 只有配额状态为“正常”的才可以进行所有操作。 配额状态为“已到期”的可以进行续订。 续订 配额状态为“正常”时才可以执行续订操作。 变配 配额状态为“正常”时才可以执行变配操作。

本文介绍如何修改云堡垒机（原生版）实例的默认路由。 云堡垒机（原生版）实例的默认路由指向用户VPC的默认网关，若用户需要临时修改默认路由，可参考本文进行操作。 注意 本操作仅用于临时修改实例的默认路由，重启实例后修改的默认路由会失效，恢复原有路由。 约束限制 仅v2.12及以上版本支持修改默认路由。若实例版本较低，请参见升级实例版本进行升级。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 4. 选择需要修改默认路由的堡垒机实例，单击“更多 > 修改默认路由”。 5. 进入修改默认路由页面，单击“下一跳网关（仅内网）”列的按钮，在弹出的窗口中配置内网IP地址后，单击“确定”。 6. 单击“是否生效”列的开关，开关开启，修改的默认路由才生效。 7. 配置完成后，单击“确定”。

背景信息 本文介绍如何使用IPsec VPN在两个VPC之间建立安全连接，实现两个VPC内的资源互访。 场景示例 以本文图中场景为例。某企业在华东1地域创建了一个vpc1，在青岛20地域创建了vpc2。两个VPC均已使用弹性云主机部署了业务，企业因后续发展，现在需要将vpc1和vpc2中的业务实现互相访问。 出于网络安全环境考虑，企业计划使用VPN网关，在两个VPC之间建立IPsec VPN连接，使用国密算法对数据进行加密传输，实现资源的安全互访。 前提条件 已经在天翼云华东1地域创建了vpc1，在青岛20地域创建了vpc2，两个VPC中均使用弹性云主机部署了相关业务。 VPC实例名称 VPC实例所属地域 VPC实例的网段 VPC实例ID 弹性云主机实例名称 弹性云主机实例IP地址 vpc1 华东1 192.168.0.0/16 vpctooedro7nb ecm371c 192.168.0.3 vpc2 青岛20 10.0.0.0/16 vpcr8jw6vfdnk ecm99df 10.0.0.62 您已经了解两个VPC中弹性云主机实例所应用的安全组规则，并确保安全组规则允许两个弹性云主机实例互访。

约束限制 目前仅支持北京CA、龙脉科技和吉大正元三家厂商的USB Key。 更改USBKey厂商配置后，已签发的其他厂商USB Key将不能被识别。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 1. 登录云堡垒机系统。 2. 选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3. 在“USB Key配置”区域，单击“编辑”，弹出系统USB Key厂商配置窗口。 4. 选择USBKey厂商。 5. 单击“确定”，返回安全配置管理页面，查看当前系统USB Key厂商。 配置僵尸用户禁用策略（V3.3.30.0及以上版本） 僵尸用户策略功能，支持对僵尸用户进行判定并自定义设置判定时间，即超过判定时间未登录的用户会被判定为僵尸用户，系统将自动禁用这些用户，至到管理员解除禁用。默认判定时间为30天，如果时间设置为0，则所有用户会立即被禁用。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 1. 登录云堡垒机系统。 2. 选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3. 在“用户禁用配置”模块的右侧，单击“编辑”，进入“用户禁用配置”页面。 禁用僵尸用户：默认为关闭状态，打开后的状态为。 僵尸用户判定时间：有效值0~10080，默认为30天，如果设置为0，则所有用户会立即被禁用，直到管理员解除禁用。解除禁用的相关操作请参考6.2.2 启停用户章节。 4. 单击“确定”。 配置RDP资源客户端代理（3.3.26.0及以上版本） 本小节主要介绍如何配置RDP资源客户端代理。

本节为您介绍物理机监控最佳实践的场景及能力。 场景介绍 在您购买物理机后，合理使用监控能减轻云上业务的运维成本和压力，云监控服务面向物理机等产品提供监控服务，自动收集物理机的CPU、内存、磁盘、系统平均负载、GPU显卡以及网络使用情况等相关监控指标，提供性能指标监控、自动告警、历史信息查询等功能，以便您及时了解云资源使用情况。 能力介绍 天翼云物理机和云监控服务结合使用，自动收集物理机的CPU、内存、磁盘、系统平均负载、GPU显卡以及网络使用情况等监控指标，以便您及时了解物理机实例运行状况和性能。

本节介绍如何在云审计服务事件列表查看日志审计(原生版)控制台操作事件。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶或日志审计（原生版）服务中。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 若您使用云审计提供的转储至对象存储服务（ZOS）功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 若您使用云审计提供的转储至日志审计（原生版）功能，需要开通日志审计（原生版）服务并支付产生的费用，该费用以日志审计（原生版）产品的计费为准，参考计费说明日志审计（原生版）。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。

本节介绍如何通过云审计服务查询实例相关操作。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶或日志审计（原生版）服务中。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 若您使用云审计提供的转储至对象存储服务（ZOS）功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 若您使用云审计提供的转储至日志审计（原生版）功能，需要开通日志审计（原生版）服务并支付产生的费用，该费用以日志审计（原生版）产品的计费为准，参考计费说明日志审计（原生版）。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。

本文为您介绍Serverless集群创建失败的解决方法。 Serverless集群创建失败的原因多为两类：订购集群订单时提交失败，集群订单已支付但开通失败。 订购集群时无法提交订单 问题的提示：校验失败apiserver ELB的6443端口已被监听。 可能原因：选择的弹性负载均衡ELB的6443端口已经被绑定。 解决方法：建议您重新选择另一个ELB或者创建ELB。 订购集群订单时提交失败 问题的提示：系统异常，请稍后重试。 可能原因：网路异常或天翼云官网异常。 解决方法：建议您刷新几次，如恢复正常则可，否则提交客服工单处理。 问题的提示：询价异常，请刷新重试。 可能原因：网路异常或天翼云订单模块异常。 解决方法：建议您刷新几次，如恢复正常则可，否则提交客服工单处理。 问题的提示：错误码是404或900。 可能原因：资源获取异常。 解决方法：提交客服工单处理。 集群订单已支付但开通失败 问题的提示：云容器引擎控制台显示“开通中”状态，并且集群开通超过15分钟仍未能正常开通。 可能原因：容器产品依赖组件较多，部署准备工作时间久，依赖底层资源创建失败。 解决方法：建议稍等几分钟，如持续未能正常开通，保留页面截图和记录订单号后联系天翼云客服工单处理。

本文旨在为您介绍云原生API网关如何查看网关监控数据、资源监控数据、在云原生API网关开启日志和链路追踪、以及如何通过云原生API网关查看REST API、接口和路由的监控数据。这些功能将帮助您更高效地管理和优化接口性能,同时提升整体服务质量。 查看网关监控数据 操作步骤 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择 "概览"。 3. 在实例监控模块，右上角下拉列表可选择实例。 4. 在实例监控页面，可看到该实例最近时刻的QPS，请求成功率，节点CPU使用率和已使用内存的指标信息。 查看网关资源监控数据 操作步骤 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择 "实例"，并在顶部菜单栏选择地域。 3. 进入实例详情页，在左侧导航栏中，选择 "观测分析"。 4. 选择"监控分析"，可看到该实例最近时刻的流量监控，请求监控和延迟监控等指标信息。 5. 选择"资源监控"，可看到该实例每个节点最近时刻的CPU使用率，内存使用率，磁盘和网络等指标信息。 开启网关日志采集 云原生网关对接天翼云日志服务（LTS）实现了访问日志采集、上报和查询能力。开启日志采集后，您可以通过分析云原生API网关的访问日志了解客户端用户行为，以便排查问题。

本文介绍应用市场部署Qwen3推理api服务 概述 概述 阿里巴巴开源的新一代通义千问模型Qwen2.5，在部分公开基准测试中表现优异。其创新的“混合推理”架构，将“快思考”与“慢思考”集成于同一个模型。对于简单问题，模型可以低算力快速响应；对于复杂问题，则可启动多步骤深度思考，旨在实现算力消耗与回答质量的平衡。 本最佳实践将指导您如何在应用托管平台的应用市场中，快速部署应用，并对外提供API调用服务，方便您即刻体验，开箱即用。 前置说明 1. 该文档为应用托管平台控制台通过应用市场以推理api形态体验 Qwen3的说明，通过应用托管平台控制台，打开应用市场，创建对应的Qwen3推理api应用，使用 web 界面和 Qwen3 推理对话，Qwen3推理api应用支持8b、14b、32b不同参数量的模型体验。 2. 本产品中的模型由第三方主体提供，尽管云公司已尽最大努力进行识别和维护，但仍无法保证模型的可用性。请客户按照该产品的服务协议使用该产品，做好甄别并对自行选择的服务负责。 使用前准备 1. 天翼云账号注册：使用应用托管平台须具备天翼云官网账号。已有天翼云账号的直接登录即可，如无天翼云账号需先注册，注册流程可参考：注册账号。 2. 使用前提：如需使用服务请先完成实名认证，请参考账号中心实名认证。如需使用按需服务，请确认账号余额≥100 元。

执行docker tag并推送镜像 plaintext docker tag nginx:stablealpine <容器镜像服务实例地址>/mydemons/nginx:stablealpine docker login <容器镜像服务实例地址> docker push <容器镜像服务实例地址>/mydemons/nginx:stablealpine 推送成功后，可以在创建的nginx镜像仓库看到镜像的版本。 云容器引擎中创建镜像拉取凭证（可选） 如果上一步骤推送的镜像仓库属性为公共的，则不需要进行此操作，否则需要按以下步骤创建镜像拉取凭证： 1、登录云容器引擎控制台。 2、左侧导航栏点击集群，在集群管理页面点击已有集群名称。 3、进入集群信息页面，左侧导航栏点击命名空间，并点击页面的创建按钮创建命名空间（可选：也可以直接使用已经创建好的命名空间）。 4、左侧导航栏点击【配置管理 >镜像拉取凭证】 ，并点击页面中的新增按钮，填写创建镜像拉取凭证的相关信息，点击提交完成创建。 云容器引擎中发布工作负载 1、登录云容器引擎控制台。 2、左侧导航栏点击集群，在集群管理页面点击已有集群名称进入集群信息页面。 3、左侧导航栏点击【工作负载>无状态】 ，并点击页面中的新增按钮，在新建页面实例内容器里点击选择镜像 ，选择之前已推送的镜像。 4、在新建页面里点击显示高级设置 ，在镜像拉取凭证栏点击添加，并选择之前已新建的镜像拉取凭证。 完成其他相关配置后，点击提交即可发布工作负载。

创建SQL PATCH 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例的名称，进入实例详情页面。 步骤 5 单击“诊断优化 > SQL诊断”。 步骤 6 在“慢SQL”页签，获取慢SQL列表。 步骤 7 在“操作”列单击“更多 > SQL PATCH”，显示“SQL PATCH详情”页面。 如果没创建SQL PATCH，输入PATCH名称、PATCH内容，单击“创建”，则可创建SQL PATCH。 如果已创建SQL PATCH，则显示SQL PATCH信息。 − 状态：单击 ，可开启或关闭SQL PATCH。关闭SQL PATCH，状态显示未生效，开启SQL PATCH，状态显示生效中。 − 单击“删除”，则可删除SQL PATCH。 结束 查询表定义 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 在页面左上角单击 ，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例的名称，进入实例详情页面。 步骤 5 单击“诊断优化 > SQL诊断”。 步骤 6 在“慢SQL”页签，选择“指定节点”以及“时间范围”，单击“查询”获取慢SQL列表。 步骤 7 单击“操作”列的“更多 > 表定义”。在“表定义”页面，查看“识别到的表”。 如未识别到表，请单击“添加识别到的表”填写表名后进行表定义查询。如识别结果有误，请单击“编辑”进行修改并保存后再进行表定义查询。 步骤 8 单击指定表名前的 进行表定义的查询。 步骤 9 单击表定义中的SQL语句查看具体的表定义信息。 结束