本文介绍如何配置容器镜像。 ECI支持从天翼云容器镜像服务CRS，或者Docker Hub等私有镜像仓库中拉取镜像。创建ECI实例前，需要将镜像上传到对应仓库中。下面将介绍如何配置容器镜像。 注意 当拉取公网镜像时，需要为ECI实例绑定弹性公网IP。 配置说明 通过控制台创建ECI实例的过程中，为容器配置容器镜像时，可以选择个人仓库中各命名空间下的容器镜像。 当镜像位于DockerHub等私有仓库时，可手动填入容器镜像地址及镜像版本。 如果镜像是私有的，则需要在“其他设置”中添加镜像访问凭证，最后点击“+添加参数”。当用户配置了镜像访问凭证后，平台就会在ECI实例启动后，通过该访问凭证拉取相关镜像。

本节为您介绍云迁移服务CMS成本评估查看TCO分析图表功能。 1. 云迁移服务CMS 提供成本评估查看TCO分析图表功能。用户可以点击左侧导航栏选择迁移评估选项，点击【成本评估】进入[成本评估]界面。点击【查看TCO分析图表】按钮，进入[TCO分析图表]界面。如图所示。 2. 进入[TCO分析图表]界面，用户可以查看产品成本对比，并提供成本饼图账单明细功能。如图所示。 3. 点击【PDF打印】按钮，在线下载PDF文件。如图所示。

删除后端服务器组 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性负载均衡>负载均衡器】，选择对应的地域，查看当前地域下已创建的负载均衡实例。 3. 在负载均衡实例列表中选择需要删除后端服务器组的负载均衡实例并单击负载均衡实例名称进入负载均衡详情页，单击【后端服务器组】查看该负载均衡下已有的后端服务器组信息。 4. 在后端服务器组的信息列表中选中要删除的后端服务器组，并单击删除图标按钮，在删除确认弹框中单击【确认】执行删除。 配置后端服务器 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性负载均衡>负载均衡器】，选择对应的地域，查看当前地域下已创建的负载均衡实例。 3. 在负载均衡实例列表中选择需要配置后端服务器的后端服务器组的负载均衡实例并单击负载均衡实例名称进入负载均衡详情页，单击【后端服务器组】，在后端服务器组的信息列表中选中要添加后端服务器的后端服务器组，在右侧信息栏中单击【添加】。 4. 在添加后端服务器组的弹框中查看当前负载均衡所属VPC下的已有的虚拟机实例，选中要添加为后端服务器的虚拟机实例，单击【下一步】。 5. 弹框中为对应的后端服务器配置后端服务端口和权重。 配置后端服务器的参数： 参数 说明 添加端口 后端服务器的服务端口，其取值范围为165535。 权重 每个后端服务器的权重值，其取值范围为0100。 6. 在填写完成添加后端服务器的相关参数后，单击【提交】执行添加。 7. 若需要修改已有后端服务器的权重信息，则选中所要修改权重的后端服务器，然后单击【修改权重】，在弹框中修改权重值，单击【确认】执行修改，当前只支持后端服务器组的后端协议为HTTP时可执行修改权重。 8. 若需要删除已有后端服务器，则选中所要删除的后端服务器，然后单击【移除】，在弹框中单击【确认】执行删除。

升级负载均衡实例 说明 仅历史创建的4层内网负载均衡支持实例升级，新创建的负载均衡实例无需升级，支持升级的实例才允许点击“实例升级”。 内网负载均衡实例升级后能正常展示监控指标，性能也会更好，健康检查也可正常使用。 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性负载均衡>负载均衡器】，选择对应的地域，查看当前地域下已创建的负载均衡实例。 3. 选择要升级的负载均衡实例，单击操作栏下的【实例升级】，在弹出框输入二次确认字符，单击【确认】完成实例升级，升级后立即生效，且不支持回退。 注意 升级后不支持恢复，升级过程中原有的4层连接会全部中断，7层连接无影响。 删除负载均衡实例 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性负载均衡>负载均衡器】，选择对应的地域，查看当前地域下已创建的负载均衡实例。 3. 选择所要删除的负载均衡实例列表，单击对应的操作栏中的【删除】，在删除弹框中单击【确认】执行删除，需要确保该负载均衡实例没有监听器和后端服务器组才可删除。

本小节介绍云解析域名与DNS关联类常见问题。 域名更换注册商，是否会影响DNS解析？ 不影响。域名和DNS解析是独立的，域名更换注册商，并不代表DNS必须同时更换。 域名过期已完成续费，云解析是否支持快速恢复解析？ 不支持。一般域名过期续费成功后，需要等待2448小时恢复解析。 域名被注册商暂停解析，云解析DNS能解除锁定吗？ 不能。域名状态通常由注册商维护，如果您的域名状态是 Clienthold 或者 Serverhold，建议联系域名注册商处理。 备案与网站访问的关系？ ICP备案主要看您的网站等互联网信息服务解折到的服务器是否在中国内地(大陆)，如果服务器在中国内地(大陆)，必须完成ICP备案才可对外提供服务。 ICP备案与DNS解析的关系 域名解析与备案并无直接关联，网站是否备案并不影响域名解析的设置和解析的生效。但网站未备案或者备案中，会直接影响网站的访问与使用。 未备案或正在备案中，是否可以设置网站解析？ 可以。 DNS解析已生效，网站无法访问从ICP备案角度的排查方法？ 根据工信部要求，域名解析至中国内地服务器必须先完成网站备案，才能正常开通网站访问。建议尽快联系服务商备案。

云日志服务支持模拟接入日志数据，可为您自动生成各类的日志数据至指定的日志单元中。 创建模拟接入任务 1. 登录云日志服务控制台。 2. 点击左侧菜单栏“日志接入”“模拟接入”。 3. 点击【创建模拟接入】按钮，选择需要模拟的日志类型。 4. 选择日志接入的目标日志项目与日志单元后，点击下一步即可完成任务创建，稍等片刻后，将会自动往指定的日志单元中写入模拟日志数据。 说明 模拟接入默认1天后自动结束，如需提前停止，请手动操作。 删除模拟接入任务 模拟接入默认1天后自动结束，如需提前停止，可手动删除或停止模拟接入任务。 1. 登录云日志服务控制台。 2. 点击左侧菜单栏“日志接入”“模拟接入”。 3. 选择指定的模拟接入任务，在操作列中点击“删除”，即可删除该任务。点击“暂停”，即可暂停模拟日志写入，暂定后可重新恢复。 模拟接入日志类型 当前支持的日志类型以及对应的字段说明如下： Nginx日志 字段名称 字段说明 remoteaddr 客户端IP地址（IPv4格式） remoteuser 客户端用户名称 timelocal 服务器本地时间，格式为：日/月/年:时:分:秒 requestmethod HTTP请求方法 requesturi 请求URI status HTTP响应状态码 bodybytessent 发送给客户端的响应体字节数 host 请求头中的Host字段 requesttime 请求处理总时间（单位：秒） requestlength 客户端请求的总字节数 httpuseragent 客户端浏览器标识 httpreferer 请求来源页面地址 httpxforwardedfor 代理链中的客户端原始IP upstreamresponsetime 服务器响应时间

防盗链设置 在【实例管理】的页面选择特定的点播实例，点击设置权限可进入该点播实例的【防盗链设置界面】，默认防盗链状态为：关闭。 防盗链设置说明 类型：白名单（只允许Referer列表域名进行访问）、黑名单（不允许Referer列表域名进行访问）。当需要设置防盗链配置时，此选项需要选择其一。 是否允许空Referer：允许、拒绝。当需要设置防盗链配置时，此选项需要选择其一。 Referer列表：填写域名或IP地址，以 。 注意 1. 拒绝空Referer会导致点播部分功能无法正常使用，请谨慎使用！ 2. 当设置了Referer防盗链后，访问存储桶的文件时，相应HTTP请求需要在header头部的Referer字段添加相应的防盗链信息，否则访问请求会被拒绝。 3. 以上Referer配置，仅针对云点播的三个存储桶有效。 4. 如用户在使用云点播服务时同时叠加了CDN加速服务，请务必确认CDN的回源请求符合云点播侧的防盗链要求，否则相应的回源请求可能被拒绝。 跨域访问CORS配置 云点播默认全部自带存储桶的跨域访问CORS设置为： 配置 可用值 AllowedMethod GET PUT HEAD AllowedOrigin AllowedHeader 如有其他跨域配置需求，可发送工单联系产品后台处理。 注意 1. 如您在集成播放平台时，遇到跨域问题，请先确认CDN服务商（如有）是否将HTTP头部的Origin字段携带透传回云点播存储桶。 2. 部分场景下，浏览器可能会将其他错误报为跨域问题，请开发者认真甄别。

概述 JWT全称为 JSON Web Token，是一种开放标准（RFC 7519），它定义了一种在通信各方之间以JSON对象形式安全传输信息的方式。JWT可以使用HMAC、RSA、ECDSA等算法签名；在应用中，JWT可以用于用户身份认证和访问鉴权。云原生网关作为微服务的访问入口，是实现认证鉴权的理想节点，当前云原生网关支持JWT认证方式，交互流程如下： 1. JWT签发阶段，云原生网关对这类接口访问不做认证，将请求透传到业务授权服务。 2. 业务授权服务认证成功后签发JWT并返回给客户端，在后续的请求中客户端会带上JWT。 3. 云原生网关收到正常的业务请求时提取JWT并校验签名信息，校验通过则放过请求，否则返回401状态码。 JWT策略配置 云原生网关支持全局的JWT策略配置，在 安全认证 > 认证鉴权 菜单下，选择创建鉴权，鉴权类型选择JWT，填写相关参数即可创建JWT认证策略，JWT配置参数说明如下： 配置 说明 鉴权名称 唯一标识一个JWT鉴权配置，只能包含大小写字母、数字和‘’，且不能以‘’开头或者结尾。 加密算法 支持HS256、HS512、RS256。 密钥 选择HS256/ HS512算法时填写，需要指定是否base64编码，并提供密钥。 RSA密钥 选择RS256算法时填写，需要提供RSA算法公钥和私钥。 JWT Token配置 网关从请求获取JWT Token的位置，支持指定header、query和Cookie的key。 过期时间 JWT Token过期时间，默认86400秒。

请参见天翼云运维安全中心（云堡垒机）服务等级协议。

本文主要介绍应用服务网格日志采集。 应用服务网格支持采集控制面（control plane）、数据面（sidecar）日志以及应用服务网格网关日志，您可以在控制台日志中心查看日志。 前提条件 1. 天翼云账号已经开通了云日志服务，如果没有开通可以通过服务网格控制台>网格实例>自定义配置>创建云日志服务。 2. 网格控制面和数据面集群已经安装了日志采集插件logoperator。可以通过ccse控制台>插件>插件市场安装。 启用服务网格日志采集 1. 登录服务网格控制台，在左侧的导航栏中选择网格实例>自定义配置。 2. 选择启用日志服务，可以选择已有的日志项目或者新建日志项目，支持为数据面、控制面和网关分别创建日志单元，您可以参考云日志服务管理日志项目查看已有的项目。如果需要新建项目，应用服务网格控制台会自动为您创建对应名称的项目。 日志中心日志查询 您可以在日志服务控制台查询服务网格控制面和数据面的日志，更多详情可参考云日志服务日志查询。 数据面日志输出格式 目前服务网格的数据面日志访问格式采用Envoy默认格式： plaintext [%STARTTIME%] "%REQ(:METHOD)% %REQ(XENVOYORIGINALPATH?:PATH)% %PROTOCOL%" %RESPONSECODE% %RESPONSEFLAGS% %BYTESRECEIVED% %BYTESSENT% %DURATION% %RESP(XENVOYUPSTREAMSERVICETIME)% "%REQ(XFORWARDEDFOR)%" "%REQ(USERAGENT)%" "%REQ(XREQUESTID)%" "%REQ(:AUTHORITY)%" "%UPSTREAMHOST%"n 以下是一个日志格式的例子： plaintext [20160415T20:17:00.310Z] "POST /api/v1/locations HTTP/2" 204 154 0 226 100 "10.0.35.28" "nsq2http" "cc21d9b0cf5c432b8c7e98aeb7988cd2" "locations" "tcp://10.0.2.1:80" 以下是日志样式字段的说明： 参数 描述 STARTTIME 请求开始时间。 REQ(:METHOD) 请求方法。 REQ(XENVOYORIGINALPATH?:PATH) 请求的原始路径，若无则使用标准路径。 PROTOCOL 请求所使用的协议。 RESPONSECODE 服务器对请求的响应状态码。 RESPONSEFLAGS 响应的标志，提供关于响应的特性信息。 BYTESRECEIVED 接收到的字节数，指示请求消息的大小。 BYTESSENT 发送出去的字节数，指示响应消息的大小。 DURATION 请求处理的持续时间，包括接收到请求到发送响应的时间。 RESP(XENVOYUPSTREAMSERVICETIME) 上游服务的响应时间，表示上游服务处理请求所花费的时间。 REQ(XFORWARDEDFOR) 请求的xff头部。 REQ(USERAGENT) 请求的用户代理，标识发起请求的软件。 REQ(XREQUESTID) 请求的唯一标识符，用于跟踪请求的生命周期。 REQ(:AUTHORITY) 请求的主机名，在HTTP/2中对应请求的authority字段。 RESPONSEFLAGS说明： 完整名称 短名 说明 NoHealthyUpstream UH 没有健康的上游服务，返回503状态码。 UpstreamConnectionFailure UF 连接上游失败，返回503状态码。 UpstreamOverflow UO 上游服务被熔断，返回503状态码。 NoRouteFound NR 找不到路由或者找不到过滤器链，返回404状态码。 UpstreamRetryLimitExceeded URX 超过上游重试次数。 NoClusterFound NC 找不到上游集群。 DurationTimeout DT 请求超时。 DownstreamConnectionTermination DC 下游连接中断。 FailedLocalHealthCheck LH 集群健康检查失败，返回503状态码。 UpstreamRequestTimeout UT 上游服务超时，返回504状态码。 LocalReset LS 连接被本地重置，返回503状态码。 UpstreamRemoteReset UR 连接被上游重置，返回503状态码。 UpstreamConnectionTermination UC 上游连接中断，返回503状态码。 DelayInjected DI 请求被注入了延迟。 FaultInjected FI 请求被注入了错误。 RateLimited RL 请求被限流，返回429错误码。 UnauthorizedExternalService UAEX 请求被外部授权服务拒绝。 RateLimitServiceError RLSE 由于限流服务报错导致请求被拒绝。 InvalidEnvoyRequestHeaders IH 请求头部异常，返回400错误码。 StreamIdleTimeout SI 请求空闲超时，返回408或者504错误。 DownstreamProtocolError DPE 下游请求HTTP协议错误。 UpstreamProtocolError UPE 上游返回的HTTP协议错误。 UpstreamMaxStreamDurationReached UMSDR 请求上游超时。 ResponseFromCacheFilter RFCF 请求通过envoy缓存插件支撑。 NoFilterConfigFound NFCF 由于没有在时间期限内收到filter配置导致请求被中断。 OverloadManagerTerminated OM 请求被过载管理器中断。 DnsResolutionFailed DF DNS解析失败。 DropOverload DO 请求被上游过载保护机制中断，返回503状态码。

本章节主要介绍云搜索服务针对安全集群如何配置公网访问。 针对安全集群，云搜索服务的集群支持配置公网访问，配置完成后，通过提供的公网IP，您可以在外网接入安全集群。 创建集群时配置公网访问 1.登录云搜索服务管理控制台。 2.在创建集群页面，开启“安全模式”。 6.5.4及之后版本的集群支持开启“安全模式”。 3.“公网访问”选择“自动绑定”，配置公网访问相关参数。 公网访问参数说明 参数 说明 带宽 设置公网访问的带宽。 访问控制开关 如果关闭访问控制开关，则允许任何IP通过公网IP访问集群。如果开启访问控制开关，则只允许白名单列表中的IP通过公网IP访问集群。 白名单 设置允许访问的IP地址或网段，中间用英文逗号隔开。 已有集群公网访问管理 您可以对已经创建集群的公网访问进行修改，查看，解绑，也可以配置公网访问。 1.登录云搜索服务管理控制台。 2.在集群管理页面，单击需要配置公网访问的集群名称，进入集群基本信息页面。 配置公网访问 如果创建集群时，未配置公网访问，集群配置成功后，可以在集群基本信息页面配置公网访问。 单击“公网访问”参数右侧的“绑定”，设置访问带宽后，单击“确定”。 如果绑定失败，用户可以等待几分钟后，再次尝试重新绑定公网访问。 修改 对已经配置了公网访问的集群，可以通过单击“带宽”参数右侧的“修改”，修改带宽大小，也可以通过单击“访问控制”右侧的“设置”，设置访问控制开关和访问白名单。 查看 在“基本信息”页面，可以查看当前集群绑定的公网IP地址。 解绑 对于已经绑定的公网IP，可以通过单击“公网访问”参数右侧的“解绑”，解绑公网IP。

天翼云智能体引擎作为Agent Infra领域产品，提供Agent托管运行、安全隔离、运维监控的全生命周期管理能力，确保Agent从测试体验迈向大规模生产可用。 通用兼容 支持多语言/多框架的各类型智能体托管，一键部署、轻松运行 强安全隔离 自研虚机级安全容器沙箱，智能体运行相互隔离权限可控，全面保障系统安全性 高弹性高可用 基于高性能Serverless底座统一调度资源，提供稳定、高效、安全的算力保障 生态拓展 内置工具库和服务，支持集成云服务API，全面拓展业务边界

本文介绍数据采集常见问题。 云日志服务可以采集哪类日志？ 云主机应用日志。容器应用日志，包括容器标准输出日志与文件日志。 如何在云主机上安装采集器？ 云日志服务控制台提供采集器安装命令，您需要在目标云主机中执行该命令安装采集器。详情请查看采集器安装。 配置数据采集时支持哪种分词方式？ 日志的结构化解析指日志数据将以 keyvalue 对的形式存储在云日志服务平台上。日志数据结构化后，您可以在云日志服务控制台根据指定的键值进行日志检索、分析与加工。目前采集器提供多种解析方式，详情如下： 解析方式 说明 单行全文 单行全文是指一条日志仅包含一行的内容，在采集的时候，将使用换行符来作为一条日志的结束符，即在日志文件中，以换行符分隔两条日志。日志数据本身不再进行日志结构化处理，也不会提取日志字段。每条日志都会存在一个默认的字段message，采集器会将日志内容存放在message中。详情请参考单行全文模式。 多行全文 多行全文日志是指一条完整的日志数据可能跨占多行，您需要指定首行正则以进行匹配，当某行日志匹配上预先设置的正则表达式，就认为是一条日志的开头，而下一个行首出现则作为该条日志的结束标识符。日志内容同样也会存放在message字段中。详情请参考多行全文模式。 单行正则 单行正则模式用于处理结构化的日志，针对包含一行内容的日志，您需要指定一个正则表达式，采集器按照正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考单行正则模式。 多行正则 多行正则模式用于处理结构化的日志，针对包含多行内容的日志，您需要指定一个行首正则表达式用于匹配日志的开头，并指定一个正则表达式用于提取多个值，采集器按照该正则表达式将一条完整日志提取为多个 keyvalue 键值。详情请参考多行正则模式。 单行分隔符 单行分隔符模式支持通过配置的分隔符将一条日志分割成多个 keyvalue 键值，从而实现结构化处理，该模式仅适用于单行日志，每条完整的日志以换行符为结束标识符。详情请参考单行分隔符模式。 JSON 支持解析Object类型的JSON日志，提取JSON日志内容作为KeyValue对，即Object首层的键作为Key，Object首层的值作为Value。详情请参考JSON模式。

本文带您快速入门多活容灾服务。 使用条件 1. 已经注册并开通天翼云账号。 2. 当前账号已开通多活容灾服务，拥有使用多活容灾服务的权限。 3. 已经完成实名认证。 使用流程 多活容灾服务使用流程如图所示。 1. 开通多活容灾服务。 2. 若生产中心为三方数据中心时，需新增三方数据中心。 3. 创建命名空间。在控制台命名空间页面创建命名空间，用户可以创建多个命名空间，用于逻辑隔离不同的资源。 4. 同步/纳管资源。在多活容灾服务平台使用相关资源之前，用户需通过资源管理模块对资源进行同步或新增操作，以便MDR侧能够实现资源的统一管理。 5. 创建容灾管理中心。用户可以根据业务需要使用一个或若干个容灾管理中心，容灾管理中心与命名空间为一对十绑定关系。 6. 接入应用（可选）。应用接入可帮助用户对容灾管理中心的云主机资源进行流量配比与健康检查监控，云主机资源健康情况可在监控大盘中查看。同时，可以帮助用户进一步将容灾管理中心的资源（如云主机、存储、数据库）按应用维度进行细粒度划分，提升资源管理便捷性。 7. 预案编排。预案编排涵盖预案阶段和预案管理两方面。预案阶段模块中，帮助用户以任务为单位进行串行或并行编排成预案阶段。预案管理模块中，用户可根据多个预案阶段互相衔接组成整体预案流程，预案流程为后续灾备演练和应急切换提供整体流程方案。 8. 容灾演练。容灾演练旨在确保灾难发生后能够快速恢复业务而进行的一系列的演练任务，涉及的演练任务来源于相应的预案流程，演练时演练任务为实战演练。 9. 应急切换。应急切换用于灾难发生后为了快速恢复业务而进行的一系列切换或恢复任务，涉及的演练任务来源于相应的预案流程。故障切换场景下可根据预设的切换预案流程拉起依次数据库、存储、灾备云主机等相关服务；故障回切场景下可根据预设的回切预案流程执行数据库、存储、容灾云主机的回切操作，以确保业务正常运行。

本文主要介绍如何转储日志数据至分布式消息服务Kafka。 云日志服务采集到数据后，支持将数据转储至对天翼云分布式消息服务kafka，用于实时流计算等场景。 前提条件 已创建日志项目和日志单元 已开通天翼云分布式消息服务kafka 已采集到日志 创建日志转储任务 1. 登录云日志服务控制台。 2. 左侧点击【日志转储】菜单，进入日志转储页面。 3. 在页面上方选择“kafka”。 4. 点击【创建转储任务】。 5. 在创建转储任务功能面板，配置如下参数，然后单击确定，完成转储任务创建。 参数 说明 日志项目名称 选择源日志所在的日志项目。 日志单元名称 选择源日志所在的日志单元。 转储任务名称 转储任务的名称。 kafka实例 选择转出目标的kafka实例。 Topic 选择当前kafka的topic。（当前仅支持转储至公有 Topic） 转储时间范围 1、某时间开始：指定转储任务的开始时间，从该时间点开始进行数据转储，直到您手动停止转储任务。(开始时间不得早于当前时间，早于当前时间则以当前时间为准) 2、特定时间范围：指定转储任务的起止时间，转储任务将执行到您指定的结束时间后自动停止。(开始时间不得早于当前时间，早于当前时间则以当前时间为准)

前提条件 用户持有天翼云弹性 EIP：所有弹性 EIP 均纳入 DDoS 基础防护覆盖范围，平台基于整体安全管控需求，为每一个弹性 EIP 统一分配 DDoS 防护阈值；若客户无公网业务需求，可无需使用该产品相关功能。 完成账号实名制认证。 用户已登录DDoS基础防护控制台，若不知道如何登录，请参照快速入门。 操作步骤 1.进入告警中心页面。 2.新增告警联系组，配置机器人通知凭证。 3. 新增告警策略，选择需要告警的事件类型和要接收告警的告警联系组。

本实践介绍了跨可用区使用云主机备份的操作步骤,您可按照需要跨可用区迁移主机备份数据。 场景描述 用户可通过云主机备份服务实现整机数据备份与恢复，支持通过主机备份申请新的云主机，快速创建具有同样数据的云主机，可在申请新主机时选择不同可用区，按需进行主机配置，实现主机数据的跨可用区迁移。 当前仅具备多个可用区的地域，例如华东一，支持跨可用区创建新云主机。 方案优势 整机备份可以提供全面的数据备份，快速帮助您搭建相同规格的云主机。 方便用户实现主机数据迁移，完成业务切换，为用户节省了时间和精力，提高操作的简便性和效率。 前提条件 已购买备份存储库，存储库为“可用”状态。 已存在一个备份，并且备份的备份状态为“可用”。 操作步骤 步骤一：创建云主机备份 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 在“云主机备份”页签，选择相应的存储库，点击操作列下的“创建备份”。 5. 在弹出的“创建云主机备份”页面，选择需要备份的主机至右侧“已选云主机”列表。 6. 选择“立即备份”，即时完成目标主机备份的创建，点击“下一步”。 7. 跳转至云主机备份资源详情页面，确认资源配置，勾选我已阅读并同意相关协议“《天翼云云主机备份服务协议》”，点击“确认下单”。 8. 查看“备份副本”列表，等待创建的备份副本的状态变为“可用”，即完成备份的创建。

参数 描述 例子 实例名称 长度为164字符，以大小写字母或中文开头，可包含数字、"."、""、""。 Test01 区域 所属位置信息。 中国内地 基础带宽 带宽大小。 5Mbps 网关形态 可选择硬件版、软件版。 硬件版 是否购买设备 是否需要购买天翼云设备。 是 设备类型 智能网关硬件版本分为四种型号：经济版、标准版、企业版、企业增强版。不同型号的规格详情请参考 经济版 地址信息 请准确填写地址信息，提交订单后不支持更改。 请准确填写您的地址信息 增值业务 包括5G服务、WIFI服务、LTE服务。 根据实际需求进行选择 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 default

操作审计功能，需要用户自主开通云审计服务，开通后可对普通用户操作数据集，开发机，训练任务，代码包，我的模型，服务部署模块事件进行跟踪 注：此功能目前仅在杭州7资源池支持

本节介绍了容器镜像安全扫描(个人版)的用户指南。 容器镜像服务CRS支持所有基于Linux的容器镜像安全扫描，识别镜像中所有已知的漏洞信息，并对漏洞信息进行风险评估。本文介绍如何指定镜像版本扫描和指定目标命名空间的容器镜像扫描，如何获取镜像漏洞信息。 概述 在云原生平台中，容器镜像安全是云原生应用交付安全的重要一环，为了保障部署的服务安全性，防止服务因镜像漏洞被恶意攻击， 容器镜像服务CRS提供了对镜像进行安全扫描功能，不仅提升了容器整体的安全性，保护服务的安全。您可以在容器镜像服务页面中触发扫描，安全扫描的时长主要取决于镜像的大小，一般情况下扫描一个镜像可以在三分钟之内完成。当前镜像安全扫描服务基于开源Trivy 方案，相关漏洞信息来自官方漏洞库，并定期保持同步。 注意 受扫描引擎限制，建议镜像单层大小不要超过3GB，否则可能出现扫描失败。 操作步骤 1. 进入容器镜像服务控制台。 2. 点击已开通个人版实例名称。 3. 左侧导航栏点击镜像仓库。 4. 在镜像仓库页面点击目标仓库名，进入镜像版本列表页面。 5. 点击需要扫描的镜像版本右侧的安全扫描按钮，后台会创建一个扫描任务。 6. 等待扫描完成后，可在漏洞栏查看扫描结果。 7. 点击镜像版本 Digest 名称，可在镜像详情页中查看漏洞的具体信息。

本节介绍了容器镜像安全扫描(企业版)的用户指南。 容器镜像服务CRS支持所有基于Linux的容器镜像安全扫描，识别镜像中所有已知的漏洞信息，并对漏洞信息进行风险评估。本文介绍如何指定镜像版本扫描和指定目标命名空间的容器镜像扫描，并获取镜像漏洞信息。 概述 在云原生平台中，容器镜像安全是云原生应用交付安全的重要一环，为了保障部署的服务安全性，防止服务因镜像漏洞被恶意攻击， 容器镜像服务CRS提供了对镜像进行安全扫描功能，不仅提升了容器整体的安全性，保护服务的安全。您可以在容器镜像服务页面中触发扫描，安全扫描的时长主要取决于镜像的大小，一般情况下扫描一个镜像可以在三分钟之内完成。当前镜像安全扫描服务基于开源Trivy 方案，相关漏洞信息来自官方漏洞库，并定期保持同步。 注意 受扫描引擎限制，建议镜像单层大小不要超过3GB，否则可能出现扫描失败。 操作步骤 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "容器镜像" "镜像仓库"。 4. 在镜像仓库页面点击目标仓库名，进入镜像版本列表页面。 5. 点击需要扫描的镜像版本右侧的安全扫描按钮，后台会创建一个扫描任务。 6. 等待扫描完成后，可在漏洞栏查看扫描结果。 7. 点击镜像版本 Digest 名称，可在镜像详情页中查看漏洞的具体信息。

本节主要介绍云数据库GeminiDB的权限管理。 如果您需要对购买的云数据库 GeminiDB资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并授权控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有云数据库 GeminiDB的使用权限，但是不希望他们拥有删除云数据库 GeminiDB等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云数据库 GeminiDB，但是不允许删除云数据库 GeminiDB的权限策略，控制他们对云数据库 GeminiDB资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云数据库 GeminiDB服务的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 关于IAM的详细介绍，请参见《IAM产品介绍》。 云数据库 GeminiDB权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云数据库 GeminiDB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如广州4）对应的项目（cngdgz1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问云数据库 GeminiDB时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 如表1所示，包括了云数据库 GeminiDB的所有系统权限。 表1 云数据库 GeminiDB系统权限 策略名称/系统角色 描述 类别 依赖关系 GeminiDB FullAccess 云数据库 GeminiDB服务所有权限。 系统策略 创建包周期实例需要配置CBC权限： bss:balance:view bss:balance:update bss:order:view bss:order:pay bss:order:update bss:renewal:view bss:renewal:update 退订包周期实例需要配置CBC权限： bss:unsubscribe:update GeminiDB ReadOnlyAccess 云数据库 GeminiDB服务只读权限。 系统策略 无 表2列出了云数据库 GeminiDB常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 GeminiDB FullAccess GeminiDB ReadOnlyAccess 创建实例 √ x 查询实例列表 √ √ 查询实例详情 √ √ 查询任务列表 √ √ 删除实例 √ x 重启实例 √ x 重置密码 √ x 变更实例安全组 √ x 修改数据库端口 √ x 绑定/解绑公网IP √ x 磁盘扩容 √ x 规格变更 √ x 节点扩容 √ x 节点缩容 √ x 修改备份策略 √ x 重命名实例 √ x 创建手动备份 √ x 查询备份列表 √ √ 恢复到新实例 √ x 删除备份 √ x 创建参数模板 √ x 查询参数模板列表 √ √ 修改参数模板 √ x 删除参数模板 √ x 查询企业项目配额管理列表 √ √ 修改企业项目配额 √ x 切换SSL开关 √ x 停止备份 √ x 表3列出了云数据库 GeminiDB常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表3 常用操作与对应的授权项 操作 授权项 授权范围 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建页需要查询对应的VPC、子网、安全组。 创建实例 nosql:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询实例详情 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 查询任务列表 nosql:task:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例 nosql:instance:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例需要同时删除数据侧IP地址。 重启实例 nosql:instance:restart 支持： IAM项目(Project) 企业项目(Enterprise Project) 重置密码 nosql:instance:modifyPasswd 支持： IAM项目(Project) 企业项目(Enterprise Project) 变更实例安全组 nosql:instance:modifySecurityGroup 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改数据库端口 nosql:instance:modifyPort 支持： IAM项目(Project) 企业项目(Enterprise Project) 绑定公网IP nosql:instance:bindPublicIp 支持： IAM项目(Project) 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 解绑公网IP nosql:instance:unbindPublicIp 支持： IAM项目(Project) 不支持企业项目 不支持细粒度 磁盘扩容 nosql:instance:modifyStorageSize 支持： IAM项目(Project) 企业项目(Enterprise Project) 规格变更 nosql:instance:modifySpecification 支持： IAM项目(Project) 企业项目(Enterprise Project) 节点扩容 nosql:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 节点缩容 nosql:instance:reduceNode 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除集群节点。 修改备份策略 nosql:instance:modifyBackupPolicy 支持： IAM项目(Project) 企业项目(Enterprise Project) 重命名实例 nosql:instance:rename 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建手动备份 nosql:backup:create 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询备份列表 nosql:backup:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 下载备份文件 nosql:backup:download 支持： IAM项目(Project) 企业项目(Enterprise Project) 恢复到新实例 nosql:backup:restoreToNewInstance vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 加密实例需要在项目上配置KMS Administrator权限。 备份恢复到已有实例 nosql:backup:restoreToExistInstance 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除备份 nosql:backup:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建参数模板 nosql:param:create 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询参数模板列表 nosql:param:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改参数模板中的参数值 nosql:param:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) 变更实例下节点的参数配置 nosql:instance:modifyParameter 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除参数模板 nosql:param:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 标签操作 nosql:instance:tag tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 标签列表 nosql:tag:list tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询企业项目配额管理列表 nosql:quota:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改企业项目配额 nosql:quota:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换审计日志开关 nosql:instance:switchAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 下载审计日志 nosql:instance:downloadAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除审计日志 nosql:instance:deleteAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 更新慢日志明文开关 nosql:instance:modifySlowLogPlaintextSwitch 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换SSL开关 nosql:instance:switchSSL 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改内网IP nosql:instance:modifyPrivateIp 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换主备节点 nosql:instance:switchover 支持： IAM项目(Project) 企业项目(Enterprise Project) 数据库补丁升级 nosql:instance:upgradeDatabaseVersion 支持： IAM项目(Project) 企业项目(Enterprise Project) 停止备份 nosql:backup:stop 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询日志配置组 lts:groups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询日志配置流 lts:topics:get 支持： IAM项目(Project) 企业项目(Enterprise Project)

本节主要介绍产品定义 微服务引擎（Cloud Service Engine，CSE），是用于微服务应用的云中间件，支持开源到Apache社区的注册配置中心Servicecomb引擎和开源增强的注册配置中心Nacos引擎。用户可结合其他云服务，快速构建云原生微服务体系，实现微服务应用的快速开发和高可用运维。 开源开放 微服务核心框架ServiceComb已在Apache开源，提供Spring Cloud、Service Mesh商业版。 可靠稳定 核心业务CloudNative转型基础底座，经终端业务亿级用户考验。 专业服务 与100多家行业合作伙伴联合提供微服务技术、工具和流程转型的咨询服务。 多语言 提供Java、Go、.NET、Node.js等多语言微服务解决方案。 Nacos引擎 CSE Nacos是基于开源Nacos 2.x版本开发的一款微服务注册发现、配置管理平台。支持多种开发语言、框架的接入使用，具有基于DNS的服务发现能力。 Nacos的关键特性包括： 表 Nacos支持特性 功能 特性 实例管理 创建实例。 实例管理 查看实例规格。 实例管理 查看实例列表。 实例管理 查看实例详情。 实例管理 实例删除。 实例管理 按需转包周期。 实例管理 企业项目。 实例管理 扩容变更。 连接管理 内网访问，通过ip和域名访问。 命名空间管理 查看命名空间清单。 命名空间管理 查看命名空间详情。 命名空间管理 创建命名空间。 命名空间管理 编辑命名空间。 命名空间管理 删除命名空间。 命名空间管理 命名空间数量限制。 说明 一共可创建50个命名空间。 服务管理 过滤命名空间。 服务管理 搜索服务。 服务管理 过滤空服务。 服务管理 查看服务清单。 服务管理 创建服务。 服务管理 查看服务提供者。 服务管理 查看服务订阅者。 服务管理 实例按集群区分。 服务管理 提供者支持按元数据过滤。 服务管理 支持服务节点上下线。 服务管理 支持服务节点权重编辑 配置管理 创建配置。 配置管理 导入配置。 配置管理 编辑配置。 配置管理 删除配置。 配置管理 配置灰度发布。 配置管理 单命名空间配置数量限制。 配置管理 搜索配置。 配置管理 查看配置清单。 配置管理 查看配置详情。 配置管理 查看历史版本。 配置管理 回滚到历史版本。 配置管理 配置内容对比。 配置管理 配置监听查询。

本文介绍ECI实例如何绑定安全组。 当用户创建ECI实例时，需要指定待绑定的安全组信息，使得ECI实例的出向和入向流量得到控制。 背景信息 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当ECI实例绑定安全组后，即受到这些访问规则的保护。 配置说明 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页。 3. 当用户打开弹性容器实例的订购页面时，可以通过下拉列表选择待绑定安全组。如果用户未创建过安全组，也可以通过点击跳转链接进行安全组创建，待安全组创建并配置完成后，点击刷新按钮即可重新完成选择。

本文向您介绍怎样禁用通过SSH密码访问云主机的连接方式。 操作场景 安全性方面，SSH密钥连接方式的安全性高于密码连接方式。选择密钥方式连接云主机后，可以禁用密码连接云主机的方式。 说明 该设置方法仅适用于SSH远程连接操作，控制台登录过程仍然使用密码登录，请妥善保存云主机登录密码，如果密码丢失可执行重置密码操作。 操作步骤 1. 登录Linux云主机，执行以下命令打开sshdconfig文件的编辑界面。 vi /etc/ssh/sshdconfig 编辑SSH连接方式，把PasswordAuthentication yes改为PasswordAuthentication no。 2. 重启sshd服务后使更新后的配置生效，无报错则为重启成功。 CentOS6/ubuntu执行： service sshd restart CentOS7/CtyunOS执行： systemctl restart sshd 3. 重启该云主机后，使用SSH密码方式访问云主机，如果提示“Disconnected:No supported authentication methods available”，说明已成功禁用SSH密码连接方式。

本文中可查看天翼云关系型数据库服务等级协议。 自2021年11月11日起，新版关系型数据库服务等级协议生效。详情请参见[](

本节主要介绍应用组件部署 部署方式说明 云容器引擎（Cloud Container Engine，简称CCE）提供高度可扩展的、高性能的企业级Kubernetes集群，支持运行Docker容器。借助云容器引擎，您可以在云平台上轻松部署、管理和扩展容器化应用程序。 如果创建的组件未开启构建，则不支持容器部署。 部署组件 本节介绍如何将静态组件部署到对应的环境上。 新建应用组件时，也可以选择“创建并部署”，部署操作与本节介绍步骤相同。 前提条件 1. 已经创建应用组件或者正在创建应用组件并完成了静态组件配置，请参考新建应用组件。 2. 已经完成环境创建，请参考环境管理。 3. 如果您基于软件包或者镜像包部署组件，需要将软件包或者镜像包上传： 将软件包上传至OBS对象存储中 将镜像包上传至镜像仓库，请参考上传镜像。 操作步骤 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、选择已经创建的应用，单击应用名称，进入应用“概览”页。 3、在“组件列表”选择已经创建的组件，单击“操作”栏“部署”。 4、设置基本配置，其中带“”标志的参数为必填参数。 参数 参数说明 :: 环境 选择已创建的环境。 部署版本 组件版本号，例如：1.0.0。 描述 组件的描述信息。 部署系统 支持云容器引擎。 详情请参见部署方式说明。 基础资源 会自动加载所选环境包含的基础资源，根据实际业务需要进行选择。 实例数量 组件可以有一个或多个实例，用户可以设置具体实例个数。 设置多个实例主要用于实现高可靠性，当某个实例故障时，应用组件还能正常运行。 资源配额 组件无法调度到剩余资源小于申请值的节点上，配置方法请参考资源限制指南。 可以根据需要自定义“CPU配额”和“内存配额”。 组件状态 根据需要设置组件状态。 5、单击“下一步 组件配置”，配置组件。 “组件类型”为“通用”且运行时为“Docker”的组件，执行以下操作： a.选择镜像。支持多容器，可以单击“添加容器”增加镜像。 b.设置“镜像版本”。 c.输入“容器名称”。 d.（可选）设置“资源配额”。组件无法调度到剩余资源小于申请值的节点上。可以根据需要自定义“CPU配额”和“内存配额”。 e.（可选）设置“高级设置” 展开“高级设置> 组件配置”，可以设置“环境变量”，请参考设置应用环境变量。 展开“高级设置 > 部署配置”： 设置“启动命令”、“生命周期”，请参考设置应用生命周期。 设置“数据存储”，请参考设置数据存储。 展开“高级设置 > 运维监控”： 设置“日志采集”，请参考配置应用日志策略。 设置“健康检查”，请参考设置应用健康检查。 f.（可选）开启“公网访问” i.设置“公网ELB” 选择已经创建的负载均衡。 若不存在，请单击“新增ELB”创建新的负载均衡。 ii.（可选）设置“HTTPS” 若开启HTTPS，单击“使用已有”选择已经创建的证书。 若证书不存在，请单击“新创建”创建新的服务器证书。 iii.设置“域名” 在输入框中输入自定义域名。详情请参考配置域名映射。 iv.设置“监听端口” 设置应用进程的监听端口。 g.（可选）设置“数据库” 选择已经创建的缓存实例。 h.（可选）设置“时区” 修改容器节点的时区，默认和容器节点所在Region的时区一致。 i.（可选）设置“调度策略”，请参考设置应用组件实例调度策略。 j.（可选）设置“升级策略”，请参考设置应用组件实例升级策略。 k.（可选）设置“性能管理”，请参考设置应用性能管理。 其他类型的组件，执行以下操作： a.设置“镜像” 应用来源为软件包，会加载已经配置的组件静态信息。 组件运行时为Docker，需要从SWR镜像仓库选择镜像包。 b.（可选）开启“公网访问” i.设置“公网ELB” 选择已经创建的负载均衡。 若不存在，请单击“新增ELB”创建新的负载均衡，详情请参考“帮助中心 > 弹性负载均衡 > 用户指南 > 负载均衡器 > 创建负载均衡器”创建增强型负载均衡器。 ii.（可选）设置“HTTPS” 若开启HTTPS，单击“使用已有”选择已经创建的证书。 若证书不存在，请单击“新创建”创建新的服务器证书。创建服务器证书请参考“帮助中心 > 弹性负载均衡 > 用户指南 > 证书管理 > 创建证书”创建证书。 iii.设置“域名” 在输入框中输入自定义域名。详情请参考配置域名映射。 iv.（可选）设置“监听端口” 应用进程的监听端口，对于Tomcat8运行时，默认为8080，也支持自定义。 c.（可选）设置“JVM” 组件运行时为“Java8”、“Tomcat8”时需要设置。 输入JVM参数，如Xms256m Xmx1024m，多个参数以空格间隔，不填则使用默认值。 d.（可选）设置“Tomcat配置” 组件运行时为“Tomcat8”时需要配置。 i.勾选“配置参数”，弹出“Tomcat配置”对话框。 ii.单击“使用示例模板”，根据业务要求编辑模板文件。 iii.单击“确定”。 e.（可选）设置“微服务引擎” 微服务类型组件需要设置该参数。 默认选择环境中添加的微服务引擎，创建微服务引擎请参考创建微服务引擎专享版。 f.（可选）设置“数据库” 选择已经创建的缓存实例。 g.（可选）设置“时区” 修改容器的时区，默认和容器节点所在Region的时区一致。 h.（可选）设置“高级设置” 部署系统选择虚机部署时，只能设置“环境变量”。 展开“高级设置> 组件配置”，可以设置“环境变量”，请参考设置应用环境变量。 展开“高级设置 > 部署配置”： 设置“启动命令”、“生命周期”，请参考设置应用生命周期。 设置“数据存储”，请参考设置数据存储。 设置“调度策略”，请参考设置应用组件实例调度策略。 设置“升级策略”，请参考设置应用组件实例升级策略。 展开“高级设置 > 运维监控”： 设置“日志采集”，请参考配置应用日志策略。 设置“健康检查”，请参考设置应用健康检查。 设置“性能管理”，请参考设置应用性能管理。 设置“自定义监控指标”，请参考设置应用组件自定义指标监控。 6、单击“下一步 规格确认”，确认规格无误后，单击“部署”。 组件部署完成后，在应用“概览”页的“环境视图”可查看组件状态。

依据业务端口信息，配置端口开放策略薄，便于后期策略调用。本小节介绍云下一代防火墙配置服务对象薄。 操作方法 1.打开【对象→服务薄→服务】，新建自定义端口策略。 2.自定义端口策略及名称，可放行单个端口或端口组。 3.配置完成后，端口策略如下：

本节主要接受权限管理 通过IAM，您可以在云帐号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ServiceStage的使用权限，但是不希望他们拥有删除等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用ServiceStage，但是不允许删除的权限策略，控制他们对ServiceStage资源的使用范围。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ServiceStage服务的其它功能。 IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见帮助中心 > 统一身份认证服务 > 用户指南 > 产品简介。 ServiceStage权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。 ServiceStage资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ServiceStage时，需要先切换至授权区域。 根据授权精细程度分为角色和策略： 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各云服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如下表所示，包括了ServiceStage的所有系统权限。推荐使用系统策略，系统角色仅用于兼容已有的权限配置。 表 ServiceStage系统权限说明 系统角色/策略名称 描述 类别 依赖系统权限 ServiceStage FullAccess 微服务云应用平台所有权限。 系统策略 无 ServiceStage ReadOnlyAccess 微服务云应用平台只读权限。 系统策略 无 ServiceStage Developer 微服务云应用平台开发者权限。 拥有应用、组件、环境的操作权限，但无基础设施创建权限。 系统策略 无 CSE Admin 微服务引擎服务管理员权限。 系统策略 无 CSE Viewer 微服务引擎服务查看权限。 系统策略 无 ServiceStage Admin 微服务云应用平台管理员，拥有该服务下的所有权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 ServiceStage Operator 微服务云应用平台操作员，拥有该服务下的只读权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 ServiceStage Developer 微服务云应用平台开发者，拥有该服务下的所有权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 如果所列的这些权限不满足实际需求，您可以参考下表，在这个基础上自定义策略。 表 ServiceStage常用操作与系统权限之间的关系 操作 ServiceStage ReadOnlyAccess ServiceStage Developer ServiceStage FullAccess 创建应用 x √ √ 修改应用 x √ √ 查询应用 √ √ √ 删除应用 x √ √ 创建组件 x √ √ 查询组件 √ √ √ 部署组件 x √ √ 维护组件 x √ √ 删除组件 x √ √ 创建构建工程 x √ √ 修改构建工程 x √ √ 查询构建工程 √ √ √ 启动构建工程 x √ √ 删除构建工程 x √ √ 创建流水线 x √ √ 修改流水线 x √ √ 查询流水线 √ √ √ 启动流水线 x √ √ 克隆流水线 x √ √ 删除流水线 x √ √ 新建仓库授权 x √ √ 修改仓库授权 x √ √ 查询仓库授权 √ √ √ 删除仓库授权 x √ √ 表 CSE常用操作与系统权限之间的关系 操作 CSE Viewer CSE Admin 创建微服务引擎 x √ 维护微服务引擎 x √ 查询微服务引擎 √ √ 删除微服务引擎 x √ 创建微服务 x √ 查询微服务 √ √ 维护微服务 x √ 删除微服务 x √ 创建微服务配置 x √ 查询微服务配置 √ √ 编辑微服务配置 x √ 删除微服务配置 x √ 创建微服务治理策略 x √ 查询微服务治理策略 √ √ 编辑微服务治理策略 x √ 删除微服务治理策略 x √

本节介绍容器迁移。 基于 CCE One 容器迁移能力，帮助业务将本地IDC或三方云上的Kubernetes容器集群，迁移到天翼云云容器引擎服务；迁移过程安全、可靠、灵活、高效，无需停机，热迁移、对业务零影响。 工作原理 将应用从一个环境迁移到另一个环境是一项具有挑战性的任务，因此仔细的规划和准备至关重要。天翼云CCE One的容器迁移服务通过以下五个阶段为您提供全流程迁移指导： 1. 集群评估：在此阶段，您需要评估源集群的规模以决定目标集群的类型和资源规模。 2. 依赖数据迁移：在这个阶段，基于天翼云上的云迁移、云备份等标准云产品服务，您将迁移镜像以及依赖服务的相关数据。 3. 元数据迁移：在此阶段，您需要通过容器备份/恢复功能或集群联邦方式，将应用元数据从源集群迁移到目标集群，从而让应用在目标集群中正常运行起来。 4. 应用迁移：在这个阶段，您可以通过特定方式进行流量调度，例如智能DNS+单集群LB或多集群Ingress、多集群Service等，将业务流量逐步从源集群迁移到目标集群。 5. 业务验证：流量迁移过程中及流量迁移完成后，您可以对迁移后业务允许情况进行验证，以确保服务运行符合预期。 通过遵循天翼云CCE One容器迁移服务的全流程迁移指导，您可以更顺利地将应用从一个环境迁移到另一个环境。

本章节会介绍备份迁移的方案概览。 以下节点支持备份迁移：贵州、杭州、广州4、苏州、上海4、青岛、西安2、长沙2、武汉2、哈尔滨、内蒙3、芜湖、福州、深圳、华北、北京2、石家庄、兰州、西宁、重庆、南昌、成都3、天津、海口、郑州。 由于安全原因，数据库的IP地址有时不能暴露在公网上，但是选择专线网络进行数据库迁移，成本又高。这种情况下，您可以选用数据复制服务提供的备份迁移，通过将源数据库的数据导出成备份文件，并上传至对象存储服务，然后恢复到目标数据库。备份迁移可以帮助您在云服务不触碰源数据库的情况下，实现数据迁移。 常用场景：云下数据库迁移上云。 特点：云服务无需碰触源数据库，实现数据迁移。 表 迁移方案 备份文件版本 目标数据库版本 相关文档 ::: RDS for Microsoft SQL Server全量备份文件 RDS for Microsoft SQL Server 创建RDS备份迁移任务 本地及其他云Microsoft SQL Server数据库备份文件 RDS for Microsoft SQL Server 创建OBS自建桶备份迁移任务

本实践介绍了云主机整机备份的操作步骤,帮助您保护主机整机数据。 场景描述 天翼云为您提供基于快照技术的整机备份服务，同一时间为您保存系统盘、数据盘的数据，当云主机出现故障待机或人为损坏，可通过备份副本，实现一键恢复主机数据，快速回退到备份点数据，恢复业务运行环境。 方案优势 提供了灵活、便捷、可靠的数据恢复解决方案，保障业务的连续性和数据的安全性。 为用户应对病毒入侵、黑客破坏等突发场景，保护云主机数据完整。 相较于传统本地备份方式，云主机备份使用更加简便，且统一托管，安全可信。 备份数据具有一致性，主机云硬盘同一时间进行备份，不存在因备份创建时间差带来的数据不一致问题。 前提条件 已购买备份存储库，且存储库为“可用”状态。 执行数据恢复前需关闭云主机。 备份状态需为“可用”。 操作步骤 步骤一：创建云主机备份 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 在“云主机备份”页签，选择相应的存储库，点击操作列下的“创建备份”。 5. 在弹出的“创建云主机备份”页面，选择需要备份的主机至右侧“已选云主机”列表。 6. 选择“立即备份”，即时完成目标主机备份的创建，点击“下一步”。 7. 跳转至云主机备份资源详情页面，确认资源配置，勾选“我已阅读并同意相关协议《天翼云云主机备份服务协议》”，点击“确认下单”。 8. 查看“备份副本”列表，等待创建的备份副本的状态变为“可用”，即完成备份的创建。