本节主要介绍怎么通过SNAT访问公网。 当多个云主机（弹性云主机、物理机）在没有绑定弹性IP的情况下需要访问公网，为了节省弹性IP资源并且避免云主机IP直接暴露在公网上，可以通过NAT网关共享弹性IP的方式访问公网，可以按照下图所示，实现无弹性IP的云主机访问公网。 图 无弹性IP的云主机访问公网流程图

本文介绍如何在函数计算控制台创建、更新和删除触发器。 在函数计算控制台，您可以在配置选项卡中创建函数计算支持的所有触发器。 前提条件 创建函数 创建触发器 创建Http触发器 创建定时触发器 创建Kafka触发器 创建RocketMQ触发器 创建日志触发器 创建对象存储触发器 更新触发器 1. 登陆函数计算控制台，点击目标函数，进入函数详情页。 2. 选择详情下顶部的配置选项卡。 3. 在配置选项卡中，选择左边的触发器选项卡，此时页面将展示当前函数配置的所有触发器。 4. 在列表中的最右侧有操作栏，点击修改 按钮，即可根据不同种类的触发器配置内容修改触发器，最后点击确定完成修改。 删除/禁用触发器 删除触发器和禁用触发器从功能上来看是一样的效果，都是停止接受新的事件，不再触发对应的函数。两者的区别是在于： 删除触发器：完全删除触发器相关的数据，不可恢复，如有需要可以重新新建。 禁用触发器：会保留触发器的元数据，可以恢复，如有需要可以通过启用触发器快速恢复触发器功能。

swr011000 l 登录指令末尾的域名为镜像仓库地址，请记录该地址，后面会使用到。 在安装容器引擎的机器中执行上一步复制的登录指令。 登录成功会显示“Login Succeeded”。 步骤 3 在安装容器引擎的机器上执行如下命令，为nginx镜像打标签。 docker tag [镜像名称1:版本名称1] [镜像仓库地址]/[组织名称]/[镜像名称2:版本名称2] 其中， 镜像名称1:版本名称1]：请替换为您所要上传的实际镜像的名称和版本名称。 [镜像仓库地址]：可在SWR控制台上查询，即步骤2中登录指令末尾的域名。 [组织名称]：请替换为您创建的组织。 [镜像名称2:版本名称2]：请替换为您期待的镜像名称和镜像版本。 示例： docker tag nginx:v1 registry.cnjssz 1 .ctyun .cn /clouddevelop/nginx:v1 步骤 4 上传镜像至镜像仓库。 docker push [镜像仓库地址]/[组织名称]/[镜像名称2:版本名称2] 示例： docker push registry.cn jssz1.ctyun.cn /clouddevelop/nginx:v1 终端显示如下信息，表明上传镜像成功。 未将弹性云服务器改为云主机 未将弹性云服务器改为云主机 里面有“云服务器”改为“云主机” 里面有“云服务器”改为“云主机” 未将弹性云服务器改为云主机 返回容器镜像服务控制台，在“我的镜像”页面，执行刷新操作后可查看到对应的镜像信息。

功能 相关服务 云服务器和文件系统归属于同一项目下，用于挂载共享路径实现数据共享。 弹性云主机（Elastic Cloud Server，ECS） VPC为弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署。 云服务器无法访问不在同一VPC下的文件系统，使用弹性文件服务时需将文件系统和云服务器归属于同一VPC下。 虚拟私有云（Virtual Private Cloud，VPC） IAM是支撑企业级自助的云端资源管理系统，具有用户身份管理和访问控制的功能。当企业存在多用户访问弹性文件服务时，可以使用IAM新建用户，以及控制这些用户帐号对企业名下资源具有的操作权限。 统一身份认证服务（Identity and Access Management, IAM） 文件系统的加密功能依赖于密钥管理服务。您可以使用密钥管理服务提供的密钥来加密文件系统，从而提升文件系统中数据的安全性。 数据加密服务（Data Encryption Workshop, DEW）的密钥管理KMS功能 当用户开通了弹性文件服务后，无需额外安装其他插件，即可在云监控查看对应服务的性能指标，包括读带宽、写带宽和读写带宽等。 云监控服务（Cloud Eye Service） 为用户提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。通过云审计服务，您可以记录与弹性文件服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务（Cloud Trace Service，CTS）

您可以将文件系统挂载至Linux云主机,本文帮助您快速上手文件系统挂载。 目录 操作场景 前提条件 操作步骤 挂载命令参数说明 相关操作 操作场景 文件系统不可独立使用，当创建文件系统后，您需要使用云主机来挂载该文件系统，以实现多个云主机共享使用文件系统的目的。若您选择使用Linux操作系统和NFS文件系统，可使用本文指导挂载操作。 注意 不推荐NFS协议的文件系统挂载至Windows，Windows系统对NFS协议文件系统兼容性较差，会出现中文乱码和无法进行重命名等问题，影响正常使用。因此推荐使用NFS文件系统挂载至Linux操作系统的计算服务上，以避免不兼容的问题。 如果仍然期望采用NFS协议的文件系统挂载至Windows的方式，请务必知晓上述风险，若采用此种挂载方式，本服务不承诺SLA。 前提条件 在同地域已创建虚拟私有云VPC，具体操作步骤参见创建虚拟私有云VPC。 已创建该VPC下的弹性云主机且操作系统为Linux，具体操作步骤参见创建弹性云主机，海量文件服务兼容的操作系统请参考使用限制。 已创建同VPC下的NFS协议文件系统，具体操作步骤参见创建文件系统。

本章节为您介绍服务相关的内容。 服务通常指的是 API 网关要连接和转发请求的目标服务。在微服务架构中 ，这些目标服务可以是各种不同的后端服务 ， 比如数据库服务、用户服务、支付服务等。服务可以是内部的私有服务 ，也可以是外部的第三方服务。 本系统还提供服务发现、负载均衡、健康检查等功能。 创建服务 1.登录API安全网关。 2.在左侧导航栏选择“资源 > 服务”，进入服务列表页面。 3.单击页面左上方的“新增”按钮，在左侧弹出的“新增服务”对话框中填写相关内容。 字段 说明 服务名称 自定义服务名称，只能取唯一值。 大模型 选择是否使用大模型，选择开启后需要选择“模型提供方”。 应用代理 选择是否开启代理，开启后需要填写“代理端口”及“代理协议”。 描述 对新增的服务添加简要描述。 负载均衡算法 选择负责均衡算法，目前支持以下四种： 一致哈希：相同特征的请求将分配至同一个上游节点。 带权轮询：按照配置的权重比例分配请求数量至上游节点。 指数加权移动平均法：请求将更多地分配给效率高的上游节点。 最小连接数：选取当前连接数量最少的上游节点分发请求。 上游类型 节点：需要填写节点主机名、端口、权重。 服务发现：选择服务发现的类型，支持选择DNS、Consul KV、Nacos、Euereka、Kubernetes。 Host请求头 保持与客户端一致的主机名。 使用目标节点列表中的主机名或IP。 重试次数 重试机制将请求发到下一个上游节点。 值为0表示禁用重试机制，留空表示使用可用后端节点的数量。 重试超时时间 限制是否继续重试的时间，若之前的请求和重试请求花费太多时间就不再继续重试。 0代表不启用重试超时机制。 协议 服务端使用的协议类型，默认为：HTTP协议。 支持选择：HTTP、HTTPs、gRPC、gRPCs、TCP、TLS、UDP、Kafka。 连接超时 建立从请求到后端服务器的连接的超时时间，默认值6s。 发送超时 发送数据到后端服务器的超时时间，默认值6s。 接收超时 从后端服务器接收数据的超时时间，默认值6s。 连接池容量 为后端设置独立的连接池，默认值320。 连接池空闲超时时间 默认值60。 连接池请求数量 默认值1000。 健康监测 选择是否开启健康监测功能。 身份认证 选择身份认证方式，支持以下四种选择： 无认证：不开启身份认证方式。 Key认证：Key认证用于向API添加身份验证密钥。它需要与API调用者一起配合才能工作，通过API调用者将其密钥添加到查询参数或请求头中以验证其请求。 摘要签名认证：摘要签名认证可以将HMAC认证添加到服务。它需要与API调用者一起配合才能工作，通过API调用者将其密钥添加到查询参数或请求头中以验证其请求。 JWT认证：将JWT身份验证添加到服务中，通过API调用者将其密钥添加到查询字符串参数、请求头或Cookie中用来验证其请求。 4.添加完成后，单击“下一步”，进入插件配置环节，具体的插件功能请参照控制台说明，若需要启用插件单击对应插件下方的“启用”按钮即可启用。 5.完成插件配置后，单击“下一步”确认服务信息，若信息无误单击“保存”即可完成添加服务。

本章节内容主要介绍实现副本集高可用和读写分离 最佳实践概述 场景描述 DDS副本集不仅可以通过存储多份数据副本来保证数据的高可靠性，还可以通过自动主备切换机制来保证服务的高可用。通过客户端读取不同的数据副本，可以提高数据的读取性能。请使用高可用方式连接副本集实例，否则，将无法体验副本集的高可用性和高读取性能。 方案正文 副本集的主节点不是固定的，当出现副本集配置改变、主节点宕机、人为主备切换等状况，会导致主备节点切换，此时副本集可能会选举出新主节点，原来的主节点则降为备节点。如下图所示： 图1 主备切换示意图 连接副本集实例（高可用方式） DDS副本集包含主、备、隐藏节点。其中，隐藏节点对用户不可见。您需要使用一种高可用的方式（即同时连接主节点和备节点的IP和端口）连接副本集实例，从而实现副本集的读写分离和高可用。 以下主要介绍如何使用URL和Java实现高可用连接实例的方法。 方法一：通过URL连接副本集实例 您可以在实例管理页面，单击目标实例，进入基本信息页面。在“网络信息 > 高可用连接地址”获取副本集的连接地址。 图2 获取副本集连接地址 示例：mongodb://rwuser:@192.168.0.148:8635,192.168.0.96:8635/test?authSourceadmin&replicaSetreplica 其中，“192.168.0.148:8635,192.168.0.96:8635”中包含一个主节点和一个备节点的IP及端口号。即使发生主备切换而更换了主节点，客户端仍然可以成功连接副本集实例。同时，提供副本集多个IP及端口号，可以扩展整个数据库的读写性能，如下图所示： 图3 数据读写示意图 方法二：Java驱动连接副本集实例 示例代码： MongoClientURI connectionString new MongoClientURI("mongodb://rwuser:@192.168.0.148:8635,192.168.0.96:8635/test?authSourceadmin&replicaSetreplica"); MongoClient client new MongoClient(connectionString); MongoDatabase database client.getDatabase("test"); MongoCollection collection database.getCollection("mycoll"); 表1 参数说明 参数 说明 rwuser: 启动鉴权的用户名和密码。 192.168.0.148:8635,192.168.0.96:8635 副本集主、备节点的IP及端口号。 test 待连接的数据库名称。 authSourceadmin 表示鉴权时，用户名所属的数据库。 replicaSetreplica 副本集实例类型名称。 连接副本集实例（非友好方式） 通过连接地址连接副本集实例 mongodb://rwuser:@192.168.0.148:8635/test?authSourceadmin&replicaSetreplica 其中，“192.168.0.148:8635”为暂时的主节点IP及端口号。当发生主备切换而更换了主节点，客户端将无法连接到副本集实例主节点，因为客户端无法知道新选举出的主节点的IP及端口号信息，导致整个数据库服务发生故障。同时，只提供主节点IP及端口号，读写只能在固定的主机上操作，无法扩展数据库的读写性能，如图下图所示： 图4 数据读写示意图 读写分离 读写分离的相关内容请参考mongodb官方文档。

本文将为您介绍标签管理的应用场景。 使用标签查找资源 场景说明 当账号下管理的云资源变多，想要快速的找到某一类型的云资源，可通过标签实现某一类型云资源的快速查找。 场景示意图 产品优势 基于标签进行云资源的查找，帮助提升云资源管理效率。 使用标签做成本分析 场景说明 若客户想要以自身实际的业务场景做云资源的成本分析，可通过提前定义标签并为资源绑定标签后，在费用中心成本管理成本分析选择标签维度做成本分析的可视化展示。 场景示意图 产品优势 客户可基于本身的业务诉求，通过标签管理的方式自定义成本分析维度。

本章节主要介绍使用前准备 资源准备 为了方便后续的操作，需要您提前准备好如下资源: 1. 注册天翼云帐号，并登录成功。 2. 已获取AK/SK，请参考AK/SK获取方法。 3. 创建一个虚拟私有云，请参考创建虚拟私有云和子网。 4. 创建一个CCE集群(如果只是试用场景，“集群管理规模”选择“50节点”， “控制节点数”选择“1”即可)。 集群中至少包含1个规格为8vCPUs、16GB内存或者2个规格为4vCPUs、8GB内存 的云主机节点，并通过绑定弹性公网IP或配置SNAT确保这些节点可访问公网。 创建环境 1、登录ServiceStage控制台，选择“环境管理”，单击“创建环境”。 2、设置环境信息。 1. “环境名称”：输入环境名称，例如：testenv。 2. “虚拟私有云(VPC)”：选择资源准备时创建的虚拟私有云。 3. “基础资源”：选择资源准备时创建的虚拟私有云下的CCE集群。 4. “可选资源”：选择资源准备时创建的虚拟私有云下的可用的微服务引擎。 说明 选定虚拟私有云后，会加载该虚拟私有云下的基础资源和可选资源供选择，不在该虚拟私有云下的资源无法选择。 3、单击“立即创建”，完成环境创建。 环境创建成功后，可以在“环境管理”页的资源卡片查看环境信息。 创建应用 1、登录ServiceStage控制台，选择“应用管理”> “应用列表”。 2、单击“创建应用”，设置应用基本信息。 1. “应用名称”：填写weathermap。 2. “企业项目”：使用默认default(开通企业项目后才显示该参数)。 3. “描述”(可选)：输入应用描述。 3、单击“确定”，完成应用创建。

操作步骤 步骤一：放开云主机TCP22330端口 1. 登录“控制中心”，点击“计算>弹性云主机”进入弹性云主机控制台页面。 2. 找到目标云主机，点击名称进入云主机详情页。 3. 在详情页下方，点击“安全组”页签，在该页签默认安全组下点击“添加规则”，具体操作请参考添加安全组规则。 4. 添加“入方向”规则，各参数选项如下图。添加完成之后，在默认安全组下会显示相应的规则。 5. 重复以上步骤，对四台云主机均放开22330端口。 步骤二：部署Nginx负载均衡代理服务 注意 操作都是以root账号操作，云主机中没有运行其他的进程，避免端口被占用。 在三个代理服务器的主机上挂载文件系统，安装部署Nginx。 1. 以root用户登录弹性云主机，登录方式参考登录Linux弹性云主机，执行如下命令，安装NFS客户端。 plaintext yum install nfsutils y 2. 等待安装完成，执行如下命令，安装Nginx。 plaintext yum install nginx y 3. 执行如下命令，挂载文件系统到Nginx需要代理的目录，参考挂载NFS文件系统到弹性云主机 (Linux)。挂载地址在文件系统详情页获取，参考查看文件系统。 "/usr/share/nginx/html/"是需要挂载在本地主机的目录，也是Nginx默认使用的代理目录。 plaintext mount t nfs o vers3,prototcp,async,nolock,noatime,nodiratime,noresvport,wsize1048576,rsize1048576,timeo600 挂载地址 /usr/share/nginx/html/ 4. 执行如下命令，为共享目录下编辑一个index.html。 plaintext echo "Test for CTSFS!" > /usr/share/nginx/html/index.html 5. 重复14步骤，对三台Nginx都挂载同一个NFS文件系统。 6. 执行 vi /etc/nginx/nginx.conf命令，在该文件中修改Nginx的默认端口80为22330，然后执行以下命令为每一个代理服务器启动Nginx。 plaintext systemctl restart nginx 7. 验证代理结果。若三台Nginx代理服务都可以访问index.html文件，则表示配置成功。在每一个代理服务器上使用curl命令验证如下，其中{ip}为云主机的内网ip，可以在云主机详情页“弹性网卡”页签下获取。 plaintext curl " 在云主机详情页“弹性IP”页签下找到云主机的公网地址，并在浏览器上输入“{公网IP地址}:22330"，预期结果如下： 如网页请求不通但是本地curl没有问题，那么执行以下命令关闭防火墙： plaintext systemctl stop firewalld plaintext systemctl stop iptables

云点播产品割接IAM情况说明 综述 云点播自2024年11月13日起，从原先CDN+IAM切换至天翼云统一身份认证服务（以下简称“CTIAM”）。 通过CTIAM用户可以在统一的主子账号体系下对云点播产品的资源、权限进行管理，降低管理员维护的成本，保持天翼云账号权限管理的一致性。由于两者在使用习惯上存在一定的差异，无法做到无感知平移切换，特对两者的差异和割接后的注意事项说明。 割接升级公告 关于2024年11月13日媒体存储、云点播产品功能变更的公告 相关术语说明 增量子用户：自2024年11月13日后从CTIAM统一认证管理平台新增的子用户。 存量子用户：自2024年11月13日前主账号通过原CDN+IAM创建的子用户。 CDN+IAM和CTIAM的使用差异 CDN+IAM CTIAM 登陆入口 主、子账号登陆入口不同。主账号通过天翼云CTIAM登陆，子账号通过CDN+IAM入口登陆。 主子账号均通过CTIAM入口登陆。 登录凭证 CDN+IAM配置的虚拟邮箱，或手机号码登陆。手机号码在平行工作区内保持唯一性。 使用在天翼云CTIAM配置的认证邮箱、手机号码登陆。手机、邮箱在当前组织（企业）内保持唯一性。 存量子用户在迁移完成后，默认填入虚拟手机号码，该号码需修改为真实号码方可使用。 创建子用户 在CDN+IAM控制台创建。CDN+IAM控制台支持多个平行的组织（工作区），在不同组织创建的子用户权限不互通。 在CTIAM控制台创建。同一个主账号仅支持一个组织。 删除子用户 子用户在云点播的权限配置会被全量清理，且无法恢复。 子用户在云点播的权限配置会被全量清理，且无法恢复。 撤销子用户权限 无对应逻辑。 子用户在云点播的权限配置会被全量清理，且无法恢复。 冻结子用户 无对应逻辑。 子用户在云点播的权限配置会被冻结，相关权限信息保留，暂不清理。 主账号AK/SK 不接受CDN+IAM产生的AK/SK，用户使用云点播原生AK/SK调用接口。最多允许5组原生AK/SK。 仅接受CTIAM产生的AK/SK，云点播不再自行产生原生AK/SK密钥对。存量AK/SK仍然可用。CTIAM最多支持创建2组AK/SK。 子账号AK/SK 无子用户AK/SK。子用户使用主账号AK/SK操作API接口。 由CTIAM产生子用户的AK/SK，子用户在CTIAM控制台查看各自的密钥对。 子用户授权 无实体权限与CDN+IAM对接。 与CTIAM权限体系对接，后续会持续新增权限策略。

本文为您介绍查看路由表下的路由条目的操作流程。 用户配置完后，可以在云企业路由器中查看路由表的路由条目信息。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理 ”页签，单击目标云企业路由器实例名称（或者单击操作列的“配置”），进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“路由管理”页签，在左侧单击目标的路由表。 6. 在右侧，选择“路由条目”页签下，查看当前路由表的路由条目信息。

本文主要介绍弹性伸缩服务相关术语解释。 最大或最小实例数 当伸缩策略条件满足时，根据最大实例数和最小实例数自动调整需要添加或移除的云主机数量。例如，按照伸缩策略要求，需要将云主机数量增加到 10 台，但最大实例数是 8，那么系统会按照 8 台云主机数量进行弹性伸缩活动。 期望实例数 默认的云主机数量，当没有伸缩规则满足时，系统保留的云主机数量。手工修改该值，会触发一次弹性伸缩活动。 伸缩组 伸缩组是具有相同属性和应用场景的云服务器和伸缩策略的集合。伸缩组是启停伸缩策略和进行伸缩活动的基本单位。 伸缩配置 伸缩配置即伸缩活动中添加的云服务器的规格。 伸缩策略 触发伸缩活动的条件和执行的动作，当满足条件或者执行的动作时，会触发一次伸缩活动。 伸缩活动 伸缩活动是指在伸缩组内由于伸缩条件满足而触发的云服务器实例数量变更的活动，可能是增加或减少几台云服务器实例。 冷却时间 冷却时间是指冷却伸缩活动的时间，在每次触发伸缩活动之后，系统开始计算冷却时间。伸缩组在冷却时间内，会拒绝由告警策略触发的伸缩活动。其他类型的伸缩策略（如定时策略和周期策略等）触发的伸缩活动不受限制。

本文为您介绍如何批量下单轻量型云主机。 操作场景 当用户需要创建多个具有相同配置、相同数据盘挂载量、相同订购时长的轻量型云主机时，可以使用批量下单功能一次性创建多个轻量服务器。 用户批量购买多台轻量型云主机后，系统将会在用户原本设定的主机名称上默认添加序号后缀，如“01”“02”，帮助用户对批量购买的主机进行有序的名称。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择上海36。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机界面，单击“创建轻量型云主机”。 5. 按业务需求进行选配后，在“购买量”输入栏手动调整购买数量。 注意 “购买量”为必选项，默认数量为1，最大数量为10。您可根据下方提示创建约束范围数量的轻量型云主机。 6. 单击“立即购买”，进入订单确认页面。在订单页面确认购买信息，并完成支付。 7. 返回控制台，可在列表中查看主机开通情况。

本文介绍了分布式融合数据库HTAP产品的IPv6协议使用设置。 功能介绍 分布式融合数据库HTAP已经支持接收IPv6协议的请求，创建实例时，选择开启IPv6的虚拟私有云后，当用户处于IPv6环境时，可以通过IPv6协议访问该实例。 注意事项 分布式融合数据库目前仅支持内网访问， 支持使用IPv6协议的内网请求，暂不支持公网访问。使用虚拟私有云IPv6创建实例之后，在实例使用过程中， 无法关闭IPv6。 操作步骤 1、进入分布式融合数据库HTAP的产品详情页，点击【立即开通】。 2、在网络模块，选择开启IPv6功能的虚拟私有云及其子网和安全组。如果没有创建好的虚拟私有云， 点击下方【网络控制台】，进行虚拟私有云的创建，详情请参考创建虚拟私有云VPC。虚拟私有云IPv6的设置，详情请参考开启/关闭虚拟私有云IPv6。 3、填写实例创建的相关信息配置，完成支付，创建好HTAP实例。 4、在IPv6环境下， 详情请参考连接实例，通过IPv6协议对该实例进行访问。

本文为您介绍云防火墙（原生版）的权限管理能力，支持通过IAM实现对云防火墙（原生版）的访问控制、权限分配。 云防火墙（原生版）通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云防火墙（原生版）服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 IAM策略说明 天翼云为云防火墙（原生版）提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 CFW admin 管理员，拥有云防火墙（原生版）全部操作权限。 系统策略 全局级 CFW viewer 仅拥有云防火墙（原生版）查看权限。 系统策略 全局级

本文主要介绍远程桌面连接Windows云主机报错:无法验证此远程计算机的身份如何处理。 问题描述 由于在安全软件中设置了安全登录限制，导致远程桌面连接Windows云主机报错：无法验证此远程计算机的身份。需要再次登录输入密码。 图 协议错误 可能原因 云主机安装了安全软件，防止有未知IP登录云主机。 解决方法 卸载安全软件。 登录安全软件，将登录安全等级修改为系统默认登录方式。

算力专网产品的开放范围是？ 算力专网的业务开放范围为中国境内（港澳台除外），支持多云接入（含天翼云资源池站点和第三方公有云资源池站点）。 客户组网的站点中必须有天翼云站点才能使用算力专网产品吗？ 不是。算力专网的站点支持总部/分支等普通站点，天翼云资源池站点和第三方云站点。 算力专网支持多云接入吗？支持哪些云商？ 算力专网支持多云接入，支持阿里云、腾讯云、华为云、AWS和微软云等。

什么是整机镜像？ 整机镜像是包含云主机操作系统、应用软件和业务数据的镜像。一般适用于云主机数据整体搬迁，例如： 将区域A的云主机迁移至区域B 将老旧云主机上的数据迁移至新云主机 为什么创建整机镜像时需要选择存储库？需要多支付费用吗？ 使用云服务备份创建整机镜像时，必须选择一个存储库，这个存储库相当于存储容器，镜像、备份都存放在该容器中。用户需要为存储库付费。 创建成功的整机镜像在哪里查看数据盘信息？ 整机镜像创建成功后，镜像列表和详情中只显示系统盘信息（即“磁盘容量”参数），数据盘信息可以在云主机备份或云服务备份中查看。究竟在云主机备份中查看，还是在云服务备份中查看，取决于整机镜像的创建方式。 以在云服务备份中查看为例，方法如下： 在私有镜像列表中，单击整机镜像名称，进入镜像详情页面。 找到“来源”参数，单击其后的备份ID。 进入云服务备份详情页面，单击“磁盘级备份”页签，列表中展示了系统盘和数据盘的详细信息。 整机镜像有哪些使用限制？ 整机镜像不支持导出。 整机镜像不支持区域内复制及跨区域复制。

本节介绍了什么是DDoS高防（边缘云版）。 产品定义 DDoS 高防（边缘云版）是针对游戏、互联网及金融等业务遭受大流量 DDoS 攻击导致用户服务不可用的情况而推出的付费防护服务。该产品依托于丰富的边缘云清洗节点，采用自主研发的高性能负载均衡服务，可实现网络层、CC等应用层防护，保障客户在大规模流量攻击的同时业务稳定、安全运行。 产品架构 DDoS 高防（边缘云版）采用的是分布式架构，将防护能力赋能于更下沉的边缘节点，使用云原生为内核，结合智能调度，可以实现边缘就近清洗，动态扩容，可以满足业务突发、大规模流量攻击。 支持大规模流量清洗，清洗能力达到T级以上。 支持从网络层/传输层（L3/4）到应用层（L7）DDoS攻击的防护。 依托强大的自研防护集群优势，结合 AI 智能引擎持续优化防护策略、IP 画像、行为模式分析、Cookie 挑战等多维算法，实现大数据联动防护。 提供可视化管理界面，结合云原生、智能调度能力，实现资源动态扩容，满足三网防护需求。

服务名称 功能相关 参考文档链接 关系数据库MySQL版 DTS可支持关系数据库MySQL版进行迁移、同步操作，包括：MySQL到MySQL、PostgreSQL及ClickHouse的迁移，MySQL到MySQL的单向、双向同步。 关系数据库PostgreSQL版 DTS可支持关系数据库PostgreSQL版进行迁移、同步操作，包括：PostgreSQL到PostgreSQL、MySQL的迁移，PostgreSQL到PostgreSQL的单向、双向同步。 关系数据库SQL Server版 DTS可支持关系数据库SQL Server版进行迁移、同步操作，包括：SQL Server到SQL Server、PostgreSQL的迁移，SQL Server到SQL Server的同步。 文档数据库（DDS） DTS可支持文档数据库（DDS）进行迁移、同步操作，包括：MongoDB/DDS 到MongoDB/DDS的迁移和同步。 云数据库ClickHouse DTS可支持将MySQL数据库迁移到ClickHouse。 虚拟私有云 虚拟私有云，为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。 弹性IP 弹性IP是可以独立申请的公网IP地址，将弹性IP和DTS实例绑定，可使用DTS进行公网数据库迁移、同步。 数据管理服务 使用数据管理服务，通过专业优质的可视化操作界面，提高数据管理工作的效率和安全。 云审计 对接云审计服务，对DTS关键操作记录提供收集、存储和查询功能，可用于支撑合规审计、安全分析、资源跟踪和问题定位等常见应用场景。 标签管理 对接标签管理，对DTS实例绑定标签，便于对实例进行查找与筛选，实现更快捷的管理。

查看详细信息 操作场景 在您创建了物理机后，可以通过控制中心查看和管理您的物理机。本节介绍如何查看物理机的详细信息，包括实例名称/主机名称、镜像、网卡、本地磁盘、弹性IP、监控等信息。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”，此处我们选择内蒙6。 3. 单击“左侧导航栏>服务列表”，选择“计算 > 物理机”。 4. 在目标物理机所在行，您可以查看物理机的常用信息。 5. 将鼠标移动至目标物理机的“实例名称/ID”列，单击实例名称进入详情页。 6. 您可以在页面上方查看物理机配置信息，如CPU、内存、镜像、ID等。您也可以单击下方“网卡、本地磁盘、弹性IP、监控”页签，对“VPC、弹性IP”等内容做修改。另外，“监控“页签支持对指定时段内“CPU使用率、内存使用率”指标查看。 说明 其他指标监控需在对应服务安装Agent插件采集后开放。 导出物理机列表 操作场景 在使用物理机时，有时您可能需要将当前账号下的所有物理机信息导出到本地进行记录或进一步处理。 您可以将当前帐号下拥有的所有物理机信息，以CSV文件的形式导出至本地。该文件记录了物理机的ID、私有IP地址、弹性IP等。

本节介绍了主备复制时延瞬间飚高回落的相关内容。 场景描述 只读实例的CES监控上，出现只读复制时延会在某个瞬间升高并回落，如下图： 原因分析 此类问题与复制时延（SecondsBehindMaster）的计算方式相关，关于复制时延的计算方式，详见MySQL主备复制原理简介。 出现复制时延尖峰是因为：只读节点IO线程刚好接收到了一个新的Binlog文件，而其SQL线程还没开始回放新的Binlog。导致计算复制时延的lastmastertimestamp值还停留在上一个Binlog事务在主机的执行时间，与当前只读节点系统时间time(0)存在时间差，从而出现复制时延尖峰。当SQL线程开始解析新的Binlog时，复制时延立刻回落。 此类问题为偶现现象，不影响实际业务。 下载复制时延飚高回落时间段的Binlog，会发现如下现象： 新的Binlog的第一个事务执行时间与上一个Binlog最后一个事务的结束时间刚好与突增回落的时间差匹配。 解决方案 无需解决。该场景为RDS for MySQL主备复制机制中的正常行为，为偶现现象。

本节介绍了分布式消息服务RabbitMQ续费、到期与欠费内容。 到期前续费 手动续订：对于包年/包月订购的分布式缓存服务，用户在资源到期前进行续费操作，可以延长原有资源到期时间，避免资源到期后冻结或超过保留期后被系统回收。详细操作请参考费用中心续订管理手动续订。 自动续订：自动续订仅针对采用包月、包年计费模式的资源，详细操作请参考费用中心续订管理自动续订。 到期处理 到期后，分布式消息服务RabbitMQ进入保留期，您将不能正常访问及使用天翼云分布式消息服务RabbitMQ服务，已开通的实例资源将予以保留。 若您在到期后15天内续费，自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用； 若到期15天后您仍未续费，RabbitMQ实例资源将被释放。 欠费原因 在按需计费的模式下帐号的余额不足。 按需欠费资源冻结规则 欠费后，资源进入保留期，您将不能正常访问及使用分布式消息服务RabbitMQ，已开通的实例资源将予以保留。 若您在保留期内充值，充值后系统会自动扣减欠费金额。 若保留期到期您仍未充值，RabbitMQ实例资源将被释放。

本文介绍如何使用边缘函数部署时间戳防盗链。 通过时间戳进行请求防盗链。 示例代码 javascript / 示例url: / addEventListener('fetch', event > { event.respondWith(handleRequest(event.request)) }) async function handleRequest(request){ //401表示鉴权不通过 let statuscode 401 let result 'TimeStamp verification failed!' try { if(verifyTimeStamp(request.url) true){ statuscode 200 result "TimeStamp verification succeeded!" // 返回请求内容 } } catch (error) { result error } return new Response(result, { "status": statuscode }) } function verifyTimeStamp(url){ //"url": " let currentTime new Date().getTime() let myURL new URL(url) let searchParams new URLSearchParams(myURL.search) let timeStamp parseInt(searchParams.get('time')) let token searchParams.get('token') // 校验时间戳：如果时间戳距离当前时间没有过期，则进行 token 检查 if (currentTime timeStamp < 60000) { // 校验token return tokenCheck(token) } return false } function tokenCheck(token){ // 此处可替换为自定义的复杂加解密算法 return token "abcabc" } 示例预览 访问请求传入未过期时间、鉴权token，鉴权通过。 相关参考 运行时API：addEventListener 运行时API：FetchEvent 运行时API：Web Standards 运行时API：Fetch 运行时API：Response

注意事项 当同时配置多个告警指标时，平台支持“任意”或“所有”条件满足时告警，提交工单时，请明确告知。 如您对自有业务的特点不甚了解，您可以先按经验提交一个阈值方案，业务运营同事会帮您做一些基础的判断和建议，先试运行。之后，可结合线上实际运营情况，后期再提工单优化，直至找到适合的监控指标及阈值。 告警示例 告警需求提交示例： 1. 告警名称：带宽突增与可用性告警。 2. 监控范围：test.ctyun.cn（单个域名）。 3. 监控指标：18:00到22:00满足“任意”条件时触发告警。 条件1：域名边缘带宽增长率（%）＞50。 条件2：域名5xx占比（%）≥2。 4. 触发条件： 持续时间：10分钟。 连续触发次数：5次。 5. 告警沉默周期：30分钟。 6. 告警渠道：企业微信机器人。 7. 告警联系人： 王五 186XXXXXXXX。 8. 告警内容：系统默认。 企业微信告警信息示例： [alert]test.ctyun.cn:带宽突增与可用性告警： 王五。 客户邮箱：XXXX。 domain[test.ctyun.cn]。 告警通知IDXXXXXXXXXXXXXXXXXXXXX。 发生了[带宽突增与可用性告警]告警客户级。 当前值为[域名5xx占比（%）3]。 触发条件[域名5xx占比（%） 超过 2]。 故障持续XXX分钟。 开始时间：20231120 06:25:01。 最近一次告警时间为：20231120 11:30:04。 期间告警X次恢复X次。

本文介绍如何通过边缘函数实现签名摘要。 使用HMAC和SHA0256算法签署和验证请求或者返回403。 示例代码 javascript // 准备一个 key 用于加密和解密 const encoder new TextEncoder() const secretKeyData encoder.encode("secretkey") function byteStringToUint8Array(byteString) { const ui new Uint8Array(byteString.length) for (let i 0; i { event.respondWith(handleRequest(event.request)) }) 示例预览 使用导入的secretKeyData，验证请求内容。

本章节为您介绍如何快速启用数据加密网关。 基于透明化服务理念，业务应用无需改造即可实现数据库中敏感数据的保护，支持国密算法，保证存储过程的机密性和完整性，满足应用和数据安全的合规要求。 启用流程 数据加密网关启用流程大致可参考下图： 步骤一：创建数据库代理 1. 使用运维账号登录数据加密网关。 2. 在左侧导航栏选择“数据库管理 > 数据库列表”，进入“数据库列表”页面。 3. 单击页面左上角的“新增”按钮，进入“新增代理实例”页面。 4. 填写数据库实例代理相关内容，填写完成后单击“提交”，即可完成数据库代理配置。 步骤二：添加数据库实例 1. 使用运维账号登录数据加密网关。 2. 在左侧导航栏选择“数据库管理 > 数据库列表”，进入“数据库列表”页面。 3. 单击“操作”列的“新增实例”按钮，跳转至“新增实例”页面。 4. 填写相关参数，将实例纳管至数据库代理中。 步骤三：配置加密规则 1. 选择需要配置加密规则的数据库，单击“操作”列的“配置加密”。 2. 在“表名”下拉框中选择需要配置加密规则的数据库表。 3. 单击“加密配置”，选择需要加密的字段开始配置。 步骤四：启用数据加密服务 配置完成后，单击对应数据库实例的“加密洗数”即可开始使用数据加密服务。

本章节为您介绍标识相关内容。 标识管理界面，在该界面可进行新增，编辑，查看，管理标识。 添加的用户是自动注册到标识列表上，包括绑定的手机号和邮箱地址。 标识状态有两种：已激活，未激活。 当用户的邮箱地址符合机构域名时，则会自动激活。 查看标识信息 1. 使用管理员账号登录协同签名服务。 2. 在左侧导航栏选择“标识管理”，跳转至“标识管理”页面。 3. 选择需要查看的标识，单击“操作”列的“查看”按钮，即可查看标识信息。 说明 查看列表上记录标识的安全属性，如初始服务月数，私钥下载次数，是否自动延期，服务起始时间，结束时间等。 记录私钥标识的下载记录，下载时间，下载的密钥类型，绑定的设备信息，对应的密码机等信息。 设备管理 1. 使用管理员账号登录协同签名服务。 2. 在左侧导航栏选择“标识管理”，跳转至“标识管理”页面。 3. 选择需要进行设备管理的标识，单击“操作”列的“设备管理”按钮，即可查看绑定的设备信息。 说明 这里记录的是下载私钥标识的设备信息。 当标识开启设备认证时，一旦绑定了设备，其他设备就无法下载该标私钥，点击解绑后，则私钥标识可以到其他设备上去下载。

本文介绍如何重启XClaw。 概述 XClaw 设置功能提供了一系列系统管理选项，包括重启、自动修复、恢复出厂设置、打开终端和配置模型等。本文主要介绍如何使用【重启】功能来重启您的 XClaw 服务。 功能项 说明 重启 重新启动 XClaw 服务 自动修复 自动诊断并修复常见问题 恢复出厂设置 将 XClaw 恢复到初始状态 打开终端 访问系统命令行终端 配置模型 设置 AI 模型参数 说明 重启过程预计需要 1～3 分钟 重启期间服务将暂时不可用 确认重启前请保存未完成的工作 入口 登录应用托管控制台，进入【XClaw】菜单，点击界面右上角的【设置】按钮，即可打开设置侧边栏。 操作步骤 1. 点击右上角的【设置】按钮，打开设置侧边栏，在设置列表中找到并点击【重启】选项。 2. 系统将弹出确认对话框，显示提示信息：重启过程中服务不可用，预计 1～3 分钟。 3. 确认无误后，点击【确认重启】按钮。 4. 等待系统完成重启过程（约 1～3 分钟），重启完成后，服务将自动恢复可用状态 。 5. 注意 • 重启过程中，XClaw 服务将暂时不可用，请耐心等待。 • 建议在重启前保存当前会话中的重要内容。 • 如果服务长时间未恢复，可尝试刷新页面或联系技术支持。 • 重启不会影响您的历史会话记录和配置数据。

本章节介绍如何配置熔断规则 配置熔断规则 熔断规则可以监控应用程序内部或下游依赖的响应时间或异常情况，并在达到指定的阈值时立即降低下游依赖的优先级。在指定的时间内，系统将不会调用该不稳定的资源，以确保应用程序的高可用性。当指定时间过后，再重新恢复对该资源的调用。这样可以保证应用程序的稳定性和可靠性。 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 进入应用之后，新建熔断规则：在左侧导航栏，单击流量防护，在流量防护 规则管理 熔断规则页，单击新增熔断规则按钮。 5. 在新增熔断规则或新增规则的对话框中配置规则信息。 使用场景 常用场景 1 ：慢调用熔断示例 为了保证当前接口的性能，如果出现第三方服务的响应时间过慢，则会对其进行熔断操作。 常用场景 2 ：异常熔断示例 为了保证更好的用户体验，如果第三方内容展示出现异常，且异常比例较高，则会对其进行熔断操作。 常用场景 3 ：熔断个数 如第三方异常个数达到指定数量，则会对其进行熔断操作。

本文帮助您了解对象存储复制文件的相关操作步骤。 操作场景 您可以通过ZOS控制台，对上传到存储桶中的对象进行复制，将对象从源路径复制到目标路径。 约束与限制 仅支持复制文件到本桶或同地域其他桶。 复制文件选择的粘贴目的路径如已有相同文件，不支持多版本覆盖，需修改路径或文件内容。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称进入“概览”页面。 5. 点击“文件管理”页面，选中要复制的文件，点击文件所在行的“更多”按钮。 6. 点击更多下拉选项中的“复制”按钮。 7. 在弹出的页面，参考复制文件参数说明，选择粘贴目的桶，输入粘贴目的路径。 参数 说明 粘贴目的桶 文件粘贴的目的桶，可选本桶或同地域其他桶。 粘贴目的路径 文件粘贴目的路径，可为空。 不允许使用表情符，请使用符合要求的UTF8字符。 路径不能以斜杠（/）或（）开头或结尾。 不能包含两个以上相邻的斜杠（/）。 粘贴目的路径最多输入1000个字符。 8. 点击“确定”，完成文件复制。