本章节主要介绍ALM14024 租户空间使用率超过阈值的告警。 告警解释 系统每小时周期性检测租户所关联的每个目录的空间使用率（每个目录已使用的空间大小/每个目录分配的空间大小），并把每个目录实际的空间使用率和该目录设置的阈值相比较。当检测到租户所关联的目录空间使用率高于该目录设置的阈值时，产生该告警。 当上报告警的目录的空间使用率小于或等于该目录设置的阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 14024 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名称。 租户名 产生告警的租户名称。 目录名 产生告警的目录名称。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 当监控的租户目录空间使用率超过用户自定义设置的阈值时触发该告警，但不影响对该目录继续写入文件。一旦超过该目录分配的最大存储空间，则HDFS写入数据会失败。 可能原因 告警阈值配置不合理。 租户分配的空间容量不合理

本章节主要介绍 ALM26053 Storm Slot使用率超过阈值的告警。 告警解释 系统每60秒周期性检测Slot使用率，并把实际Slot使用率和阈值相比较。当检测到Slot使用率高于阈值时产生该告警。 用户可通过“运维 > 告警 > 阈值设置”修改阈值。 当Slot使用率小于或等于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 26053 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 用户无法执行新的Storm任务。 可能原因 集群中Supervisor处于异常状态。 集群中Supervisor的状态正常，但是处理能力不足。 处理步骤 检查Supervisor状态 1. 选择“集群 > 待操作集群的名称 > 服务 > Storm > 实例”，进入Storm实例管理页面。 2. 查看是否存在状态为“故障”或者是“正在恢复”的Supervisor实例。 是，执行步骤3。 否，执行步骤5。 3. 勾选状态为“故障”或者“正在恢复”的Supervisor角色实例，选择“更多 > 重启实例”，查看是否重启成功。 是，执行步骤4。 否，执行步骤10。 4. 等待一段时间，检查该告警是否恢复。 是，处理完毕。 否，执行步骤5。

本章节主要介绍 ALM14000 HDFS服务不可用。 告警解释 系统每60秒周期性检测NameService的服务状态，当检测到所有的NameService服务都异常时，就会认为HDFS服务不可用，此时产生该告警。 至少一个NameService服务正常后，系统认为HDFS服务恢复，告警清除。 告警属性 告警ID 告警级别 是否自动清除 14000 紧急 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 无法为基于HDFS服务的HBase和MapReduce等上层部件提供服务。用户无法读写文件。 可能原因 ZooKeeper服务异常。 所有NameService服务异常。 处理步骤 检查ZooKeeper服务状态 1. 在FusionInsight Manager首页，选择“运维 > 告警 > 告警”页面，查看系统是否上报“ALM13000 ZooKeeper服务不可用”告警。 是，执行步骤 2。 否，执行步骤 4。 2. 参考“ALM13000 ZooKeeper服务不可用”对ZooKeeper服务状态异常进行处理，然后查看ZooKeeper服务的运行状态是否恢复为“良好”。 是，执行步骤 3。 否，执行步骤7。 3. 在“运维 > 告警”页面，查看本告警是否恢复。 是，处理完毕。 否，执行步骤 4。

本文通过图文说明新增证书的操作步骤及注意事项等。 功能介绍 HTTPS为全站加速的网络内容传输提供了更好的保障，客户端在极速访问内容的同时，可以更安全有效地浏览网站内容。HTTPS功能的具体介绍，详情请见：HTTPS相关配置。本文主要指导客户如何新增证书。 配置说明 新增证书时，客户需要填写证书备注名、证书公钥以及证书私钥。其中公钥和私钥支持PEM格式。具体操作步骤如下： 1. 登录客户控制台。 2. 在【证书管理】【证书列表】页面，找到左上角的【添加自有证书】按键。 3. 单击【添加自有证书】。 4. 选择证书类型。国际标准证书，请输入证书备注名、证书公钥和证书私钥；国密证书，请输入证书备注名、签名证书公钥、签名证书私钥、加密证书公钥、加密证书私钥。填写完成后，单击【确定提交】。 注意 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便在域名配置关联证书选择时，选定正确的证书与域名进行关联。 参数说明 证书类型 参数 说明 国际标准证书 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 国际标准证书 证书公钥 指国际标准证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国际标准证书 证书私钥 指国际标准证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。 国密证书 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 国密证书 签名证书公钥 指国密签名证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国密证书 签名证书私钥 指国密签名证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。 国密证书 加密证书公钥 指国密加密证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国密证书 加密证书私钥 指国密加密证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。

本文介绍零信任服务日志投递功能。 功能背景 AOne日志投递功能将分散在各个功能模块的日志数据进行自动采集、可信传输，最终投递到客户指定目标服务器，实现AOne日志的全生命周期管理。可对接企业统一态势平台，将原始日志转化为可观测分析的数字化资产，服务于运维监控、安全审计、业务决策等场景。 操作步骤 1、登录边缘安全加速平台控制台。 2、在首页产品栏目，选择零信任进入工作台。 3、在左侧导航栏AOne零信任日志日志投递，查看和配置相应功能。 4、根据业务需求进行相关配置。 日志投递列表和配置 管理您创建的日志投递策略，展示日志投递信息，具体字段如下： 字段 字段说明 策略名称 投递策略名称，可设置便于您记忆和辨识的相关策略名称。 策略描述 投递策略描述，用于记录相应策略信息，增加对应描述和备注。 投递方式 投递的方式，目前支持：Kafka、Syslog服务器（可选TCP或UDP协议）、SLS（天翼云）。 投递日志类型 每个投递策略只能投递一种日志类型，若您需要投递多个日志类型，则可创建多个日志投递策略。当前可投递日志类型为：内网审计日志、终端登录日志、平台操作日志、网关防护日志、策略处置记录。 投递设置 设置投递方式的详细配置，具体参数如下： 1、Kafka：需设置Kafka服务器地址、Topic（Kafka事件流主体）、认证方式（可选：无、SASL/PLAIN），若选择认证方式，则需提供用户名、密码。 2、Syslog服务器：需设置Syslog服务器地址，投递协议可选：TCP、UDP。 3、SLS（天翼云）：需设置云日志服务访问地址、accessKey、secretkey、日志项目编码、日志单元编码。 说明 天翼云sls的日志投递方式受限于天翼云sls（云日志服务）产品对不同服务区域的功能限制，部分服务区域不支持公网方式传输，具体查看更多。 内网访问 可选开启内网访问，使用连接器内网通道安全投递，减少投递服务器的公网暴露面，确保数据安全。 若您的Syslog服务器位于内网，请勾选并配置连接器集群，内网访问不支持域名方式访问。 勾选内网访问后，需选择关联的连接器集群，用于走该连接器的网络通道，将投递日志传输到您接收投递日志的相应服务器，请确保连接器集群到服务器地址网络可达。 策略状态 投递策略可选开启和关闭。 时间 展示更新时间、创建时间。 操作 详情：查看投递策略详情。 修改：修改投递策略配置，不支持修改投递方式。 删除：删除投递策略。

加载modrpaf模块 RPAFenable On RPAFsethostname On RPAFproxyips 127.0.0.1 RPAFheader XForwardedFor 修改Apache的配置文件http.conf文件获取客户IP地址相关配置日志字段LogFormat，可将LogFormat中%a（远程IP地址），替换成%{XForwardedFor}i eg： LogFormat "%{XForwardedFor}i %l %u %t "%r" %>s %b "%{Referer}i" "%{UserAgent}i"" combined IIS场景 如果您的源站部署的是IIS 6服务器，您可以通过安装“F5XForwardedFor.dll”插件，并做配置从而让IIS 6服务器记录的访问日志获取客户端真实的IP地址。 下载F5XForwardedFor模块。 根据您服务器的操作系统版本将“x86Release”或者“x64Release”目录中的“F5XForwardedFor.dll”文件拷贝至指定目录（例如，“C:ISAPIFilters、C:ISAPIFiltersx86、C:ISAPIFiltersx64”），务必确保IIS进程对该目录有读取权限。 打开IIS管理器，找到当前开启的网站，在该网站上右键选择“属性”，打开“属性”页面。 在“属性”页面，切换至“ISAPI筛选器”，单击“添加”，在弹出的窗口中，配置如下信息： “筛选器名称”：“F5XForwardedFor”。 “可执行文件”：“F5XForwardedFor.dll”的完整路径，例如：“C:ISAPIFiltersF5XForwardedFor.dll、C:ISAPIFiltersx86F5XForwardedFor.dll、C:ISAPIFiltersx64F5XForwardedFor.dll”。 单击“确定”。 重启IIS 6服务器。重启完成后，IIS 6服务器记录的访问日志中的客户端ip就是XForwardedFor传递的对应的客户端真实IP。 如果您的源站部署的是IIS 7服务器，您可以通过安装“F5XForwardedFor”模块，并做配置从而让IIS 7服务器记录的访问日志获取客户端真实的IP地址。 下载F5XForwardedFor模块。 根据您服务器的操作系统版本将“x86Release”或者“x64Release”目录中的“F5XFFHttpModule.dll”和“F5XFFHttpModule.ini”文件拷贝至指定目录（例如，“C:ISAPIFilters、C:ISAPIFiltersx86、C:ISAPIFiltersx64”），务必确保IIS进程对该目录有读取权限。 在IIS服务器的选择项中，双击“模块”，进入“模块”界面。 单击“配置本机模块”，在弹出的对话框中，单击“注册”。 弹出的对话框中填入：（名称可以自己取，路径取决于步骤二文件存放的路径）。举例如下： 第一种：名称：xforwardedfor。路径：“C:ISAPIFiltersF5XFFHttpModule.dll”。 第二种：名称：xforwardedforx86。路径：“C:ISAPIFiltersx86F5XFFHttpModule.dll”。 第三种：名称：xforwardedforx64。路径：“C:ISAPIFiltersx64F5XFFHttpModule.dll”。 注册完成后，勾选新注册的模块（“xforwardedforx86”或“xforwardedforx64”）并单击“确定”。 在“ISAPI和CGI限制”中，按操作系统添加已注册的DLL文件，并将其“限制”改为“允许”。 重启IIS 7服务器。重启完成后，IIS 7服务器记录的访问日志中的客户端ip就是XForwardedFor传递的对应的客户端真实IP。

本节介绍如何更改日志存储时长。 默认存储日志的时间为7天，存储时间可以在1～365天之间进行设置，超出存储时间的日志数据将会被自动删除，对于需要长期存储的日志数据（日志持久化），LTS提供转储功能，可以将日志转储至对象存储服务（OBS）中长期保存。 更改日志存储时长 1. 将日志转储至LTS，操作步骤请参见“配置日志”。 2. 登录管理控制台。 3. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 4. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 5. 在左侧导航树中，选择“日志审计> 日志管理”，进入“日志管理”页面，单击“修改存储时长”。 说明 支持1365天存储，超出设置时长的日志会被自动删除。 存储时长越长，占用存储容量越大，如需转储至其它云服务中长期保存，请参见“云日志服务用户指南> 日志转储”。

本章节介绍了云主机备份产品的相关计费说明,包含产品规格和价格,以及对应的使用说明。 说明 该服务目前仅提供给部分存量用户使用，云服务备份（CBR）服务融合了云主机备份（CSBS），新用户请前往 资源节点 当前已在如下资源池节点支持，具体包括： 贵州、福州、杭州、深圳、广州4、苏州、郑州、青岛、西安2、上海4、芜湖、南宁、长沙2、南昌、成都3、乌鲁木齐、昆明、海口、重庆、武汉2、兰州、西宁、石家庄、中卫、长春、天津、北京2、哈尔滨、内蒙3，沈阳3节点 详情参考：天翼云产品服务资源看板 产品价格 适用于贵州、福州、杭州、深圳、广州4、苏州、郑州、青岛、西安2、上海4、芜湖、南宁、长沙2、南昌、成都3、乌鲁木齐、昆明、海口、重庆、武汉2、兰州、西宁、石家庄、中卫、长春、天津、北京2、哈尔滨、内蒙3，沈阳3节点 订购须知： 只有开通了云主机备份服务后，才能使用资源包；开通云主机备份服务需满足账号余额大于100; 购买的资源包在生效期内，扣费方式是先扣除已购买的资源包内的额度后，超出部分以按量付费方式进行结算。 资源包请按节点购买，同一节点下同一类型的多个资源包可以累加后进行费用抵扣； 备份功能费按照备份云主机的系统盘、数据盘空间总和进行收取，可根据本节点下所有待备份云主机的磁盘空间进行资源包大小评估；存储资源费用根据备份数据实际占用的存储空间收费。 说明 上海 4/ 苏州（ AZ1 ） / 苏州（ AZ2 ） / 苏州（ AZ3 ） / 杭州（ AZ1 ） / 杭州（ AZ2 ） / 芜湖 / 福州（ AZ1 ） / 福州（ AZ2 ） / 深圳 / 广州 4/ 长沙 2 （ AZ1 ） / 长沙 2 （ AZ2 ） / 武汉 2 （ AZ1 ） / 武汉 2 （ AZ2 ） / 西安 2 （ AZ1 ） / 西安 2 （ AZ2 ） / 西安 2 （ AZ3 ） / 贵州 / 成都 3/ 北京 2/华北， 功能升级完成。备份策略的执行不再校验账号的按需权限（账户余额大于100元），备份策略会正常执行，以最大限度保障您的数据安全性，确保业务安全。

本文介绍自动化策略工具(PolicyEditor)的使用方法。 使用方式 使用地址：自动化策略工具 使用方法 自动化策略工具（PolicyEditor）由若干条策略组成。使用自动化策略工具，可以在界面上逐条添加或删除策略，并自动生成策略的JSON文本。 自动化策略工具中，每条策略需要设置其效果、授权账号、授权资源、授权操作： 效果（Effect） 指定这条策略是允许访问（Allow）还是禁止访问（Deny）。 授权账号 可选所有账号或指定账号，授权多个用户，输入对象存储userID并以英文逗号隔开。对象存储userID可通过提交工单的方式查询。 授权资源（Resource） 可授权桶及桶内对象，可输入桶名称或对象目录及名称，多个资源以英文逗号隔开。常见场景如下： a. 表示某个Bucket：buckettest b. 表示某个Bucket下所有文件：buckettest/ c. 表示某个Bucket下某个目录：buckettest/2023 d. 表示某个Bucket下某个目录下所有文件：buckettest/2023/ e. 表示某个Bucket下某个目录下某个文件：buckettest/2023/1120.txt 授权操作（Action） 指定访问资源的动作，可以选择多项。一般来说用户使用提供的通配动作就足够了： s3:：表示允许所有动作。 s3:Get：表示允许所有的读动作。 s3:Put：表示允许所有的写动作。 s3:List：表示允许所有的列举动作。 s3:DeleteBucketPolicy：表示允许删除桶策略。 s3:DeleteBucket：表示允许删除桶。 s3:DeleteBucketWebsite：表示允许删除桶的静态网站信息。 s3:GetBucketAcl：表示允许获取桶的访问控制信息。 s3:GetBucketCORS：表示允许获取桶的跨域资源共享策略。 s3:GetBucketEncryption：表示允许获取桶的服务端加密配置。 s3:GetBucketLogging：表示允许获取桶的日志信息。 s3:GetBucketPolicy：表示允许获取桶策略。 s3:GetBucketTagging：表示允许获取桶标签。 s3:GetBucketVersioning：表示允许获取桶的版本信息。 s3:GetBucketWebsite：表示允许获取桶的静态网站信息。 s3:GetLifecycleConfiguration：表示允许获取桶的生命周期配置。 s3:GetBucketObjectLockConfiguration：表示允许获取桶对象的锁定信息。 s3:GetReplicationConfiguration：表示允许获取桶的数据复制规则。 s3:ListAllMyBuckets：表示允许列举所有桶。 s3:ListBucketMultipartUploads：表示允许列举所有执行中的Multipart Upload事件。 s3:ListBucket：表示允许列举用户创建的所有桶。 s3:ListBucketVersions：表示允许列举桶的版本。 s3:PutBucketAcl：表示允许配置桶的访问控制信息。 s3:PutBucketCORS：表示允许配置桶的跨域资源共享策略。 s3:PutBucketEncryption：表示允许配置桶的服务端加密配置。 s3:PutBucketLogging：表示允许配置桶的日志信息。 s3:PutBucketNotification：表示允许配置桶通知。 s3:PutBucketPolicy：表示允许配置桶策略。 s3:PutBucketTagging：表示允许配置桶标签。 s3:PutBucketVersioning：表示允许配置桶的版本信息。 s3:PutBucketWebsite：表示允许配置桶静态网站信息。 s3:PutLifecycleConfiguration：表示允许配置桶的生命周期。 s3:PutBucketObjectLockConfiguration：表示允许配置桶对象的锁定信息。 s3:PutReplicationConfiguration：表示允许配置桶的数据复制规则。 s3:AbortMultipartUpload：表示允许终止执行中的Multipart Upload事件。 s3:DeleteObject：表示允许删除对象。 s3:DeleteObjectVersion：表示允许删除对象版本。 s3:DeleteObjectTagging：表示允许删除对象标签。 s3:DeleteObjectVersionTagging：表示允许删除对象版本标签。 s3:DeleteReplicationConfiguration：表示允许删除数据复制规则。 s3:GetObjectAcl：表示允许获取对象的访问控制信息。 s3:GetObject：表示允许获取对象。 s3:GetObjectVersion：表示允许获取带版本的对象信息。 s3:GetObjectVersionAcl：表示允许获取对象版本的访问控制信息。 s3:GetObjectTagging：表示允许获取对象的标签。 s3:GetObjectVersionTagging：表示允许获取对象版本的标签。 s3:GetObjectRetention：表示允许获取对象的保留信息。 s3:GetObjectLegalHold：表示允许获取对象的合规保留信息。 s3:ListMultipartUploadParts：表示允许获取对象执行中的Multipart Upload事件信息。 s3:PutObjectAcl：表示允许配置对象的访问控制信息。 s3:PutObject：表示允许配置对象信息。 s3:PutObjectVersionAcl：表示允许配置对象版本的访问控制信息。 s3:PutObjectTagging：表示允许配置对象的标签。 s3:PutObjectVersionTagging：表示允许配置对象版本的标签。 s3:PutObjectRetention：表示允许配置对象的保留信息。 s3:PutObjectLegalHold：表示允许配置对象的合规保留信息。 s3:BypassGovernanceRetention：表示允许绕过合规保留。 s3:RestoreObject：表示允许解冻对象。 授权条件 指定授权访问时应该满足的条件，可以指定多个。 键：需要设置的条件类型的名称，例如CurrentTime为当前时间。 条件运算符：设置当前键的运算符，例如等于、不等于、布尔运算等。 值：根据当前键和条件运算符决定，可输入时间、数值等。 示例说明 授权Buckettest及其文件所有权限示例如下： 注意 点击“生成授权策略”后，左侧数据会自动清空。

本章节主要介绍物理机的网络安全类的问题。 不同帐号下物理机内网是否可以互通？ 不同帐号，即不同租户的物理机内网是不通的。 我申请的物理机是否在同一子网？ 由于您可以自定义网络，所以无论是对于普通网络还是高速网络，物理机是否在一个子网，完全由您来控制。 我申请物理机可以和同VPC内的弹性云主机通信吗？ 可以。 您创建的VPC，可能存在多个子网，物理机和弹性云主机在同一个子网时进行二层通信，在不同网段时进行三层通信，不在同一个vpc内不能直接通信。 此外，物理机和弹性云主机可以在同一个子网中，并且物理机与弹性云主机通信时必须配置安全组规则。 如物理机有多个vpc网卡，则需要在物理机系统内配置策略路由。 在只能使用SSH登录物理机的情况下，如何修改物理机的网络配置或重启网络？ 由物理机自动分配的网络是禁止修改的，在只有SSH登录的情况下修改，有可能会导致物理机无法连接。如果物理机存在自定义vlan网络网卡，您可以配置或修改该网卡的网络。 物理机可以绑定多个弹性公网IP吗？ 一个网卡只能绑定一个EIP。您需要多个EIP时，可以将EIP绑定到扩展网卡，但扩展网卡绑定EIP以后，需要在物理机内根据实际网络情况做相应的操作，例如：增加策略路由或者命名空间等，来保证网络通信正常。

本节介绍了如何创建云数据库GaussDB 数据库的用户、以及如何授权。 如果您需要对您所拥有的云数据库GaussDB 进行精细的权限管理，您可以使用（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用云数据库GaussDB 资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将云数据库GaussDB 资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用云数据库GaussDB 服务的其它功能。 本章节为您介绍对用户授权的方法。 前提条件 给用户组授权之前，请您了解用户组可以添加的云数据库GaussDB 系统策略，并结合实际需求进行选择。 示例流程 给用户授权云数据库GaussDB 权限流程 1. 在IAM控制台创建用户组，并授予关系型数据库只读权限“云数据库GaussDB ReadOnlyAccess”。 2. 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 并验证权限 4. 新创建的用户登录控制台，切换至授权区域，验证权限： − 在“服务列表”中选择云数据库 云数据库GaussDB ，进入云数据库GaussDB 主界面，在左侧导航栏选择云数据库GaussDB > 实例管理。单击右上角“购买数据库实例”，尝试购买数据库实例，如果无法购买（假设当前权限仅包含云数据库GaussDB ReadOnlyAccess），表示“云数据库GaussDB ReadOnlyAccess”已生效。 − 在“服务列表”中选择除云数据库 云数据库GaussDB 外（假设当前策略仅包含云数据库GaussDB ReadOnlyAccess）的任一服务，若提示权限不足，表示“云数据库GaussDB ReadOnlyAccess”已生效。

介绍如何调用驾驶证能力。 接口描述 针对驾驶证主页图片，进行OCR检测，返回检测到的驾驶证号、姓名、性别、国籍、住址、出生日期、初次领证日期、准驾车型、有效期限。 驾驶证识别只支持主页识别，不支持电子驾驶证的识别。 支持0度、90度、180度、270度四个方向文字的识别。 备注：接口只允许单张图片请求，不允许图片list。 请求方法 POST 接口要求 目前仅支持 base64 编码方式请求，一次请求仅支持一条数据。 图片格式限制：目前仅支持 jpg、jpeg、png、bmp 格式。 图片大小限制：base64 编码后，图片大小不超过 7 MB。 图片尺寸限制：图片像素尺寸应不小于 32x32，不大于 5000x5000。 请求URI /v1/aiop/api/3131mkjqbqck/driverlisence/ocr/detect 请求参数 1.请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String json 格式 application/json Authorization 是 String 平台应用APIkey Bearer $APIKEY 2.请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 Action 是 String 算法名称，固定值“DriversLicense” DriversLicense ImageData 是 String 图片 Base64 编码数据，图片需要使用常规 safe base64 编码方式，不包含前缀 "data:img/jpg;base64," 9j4AAQSkZJRgA... 请求代码示例 plaintext Curl X POST " H "ContentType: application/json" H "Authorization: Bearer $APIKEY" data '{"Action": "DriversLicense","ImageData": "9j4AAQSkZJRgA..."}' 返回值说明

本节介绍了如何获取服务返回的CNAME，并将域名或者业务的DNS解析指向天翼云提供的CNAME，这样访问的请求才能转发到边缘云节点上，达到安全防护效果。 要启用Web应用防火墙（边缘云）服务，需要您将接入域名的DNS解析指向我们提供的CNAME，这样域名的请求才能转发到天翼云边缘节点上。 操作步骤 1. 在控制台【域名管理】—【域名列表】复制域名对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。以DNSPod操作界面为例，配置如下： 3. 验证服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效；您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctdns.cn，即表示CNAME配置已经生效，功能也已生效。

本章节主要介绍DCS Redis5.0命令的兼容性，包括支持命令列表，禁用命令列表。命令的具体详细语法，请前往Redis官方网站查看。 DCS Redis5.0基于开源5.0.14版本进行开发，兼容开源的协议和命令。 本章节主要介绍DCS Redis5.0命令的兼容性，包括支持命令列表，禁用命令列表。命令的具体详细语法，请前往Redis官方网站查看。 DCS Redis缓存实例支持Redis的绝大部分命令，任何兼容Redis协议的客户端都可以访问DCS。 因安全原因，部分Redis命令在分布式缓存服务中被禁用，具体请见Redis5.0禁用的命令。 DCS集群实例支持多个key，但不支持跨slot访问的Redis命令列表，如实例受限使用命令所示。 部分Redis命令使用时有限制，具体请见部分命令使用限制。 Redis5.0支持的命令 下表列举了Redis 5.0单机、主备、Cluster集群实例支持的命令。 下表列举了Redis 5.0 proxy集群支持的命令。 下表列举了Redis 5.0读写分离支持的命令。 说明 Redis高版本的命令，在低版本中不被兼容。判断DCS Redis是否支持某个命令，可通过在Rediscli执行该命令，如果得到（error）ERR unknown command ‘xxx’的提示，则说明不支持该命令。 Redis 5.0 Cluster版本集群实例使用pipeline时，要确保管道中的命令都能在同一分片执行。 表 Redis5.0 单机、主备、Cluster集群支持命令清单 [Keys](

通过云审计服务，您可以对DRDS关键操作进行审计。本文为您介绍DRDS关键操作和查询步骤。 背景信息 DRDS关键操作审计已对接天翼云云审计服务，云审计服务提供对DRDS关键操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 注意 若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，具体计费信息，请参考计费说明。 通过云审计能查询到多久前的操作事件：7天。 操作后多久可以通过云审计查询到数据：5分钟。 更多云审计的限制信息，请参见使用限制。

操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 读写类型 删除告警规则 写事件 创建告警规则 写事件 修改告警规则 写事件 开启一键告警 写事件 批量修改一键告警 写事件 任务中心任务下载 写事件 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表中，选择事件来源为“云监控”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

删除黑/白名单 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 访问策略管理”，进入“访问策略管理”界面。切换防护对象页签后，选择“黑名单”或“白名单”页签。 5. 在需要删除的规则所在行的“操作”列，单击“删除”。 6. 在弹出的“删除黑名单”或“删除白名单”界面，确认删除的信息无误后，输入“DELETE”，单击“确定”，完成删除。 注意 删除名单后无法恢复，请谨慎操作。

尊敬的AOne安全与加速、开发者服务的客户： 您好！ 感谢您长期以来对天翼云安全与加速、开发者服务的关注与支持！为进一步优化产品服务质量，提升新用户体验，结合产品运营规划，计划对安全与加速、开发者服务的免费版订购规则进行调整。现将具体事宜说明如下： 【调整时间】 2026.4.10起。 【原服务说明】 本次调整前，天翼云安全与加速、开发者服务提供免费版服务，用户可长期使用免费版功能，部分高级功能受限制。 【新购规则调整内容】 安全与加速、开发者服务免费版订购入口进行下线处理，届时您将无法新订购安全与加速、开发者服务免费版。 【其他说明】 2026年4月08日0时前已订购并使用安全与加速、开发者服务免费版的用户，可继续使用至当前服务周期结束，服务权益不受本次调整影响。为了给您提供更全面的功能支持、更稳定的服务保障及专属技术支持，我们诚挚建议您升级至付费版本，付费版将涵盖更多高级功能、更长服务周期及优先问题响应等增值权益，更好地满足您的业务安全需求。 若您在订购过程中遇到问题，或需了解产品功能详情、升级方案等信息，可随时联系我们。 本次规则调整旨在更好地平衡产品服务资源，为用户提供更精准的服务支持。如有其他疑问，欢迎随时与我们联系。 再次感谢您的理解与支持！我们将持续迭代优化产品，为您提供更优质的安全与加速、开发者服务。

本节介绍翼甲卫士的产品简介。 翼甲卫士是一款针对天翼AI云电脑平台的自研防火墙。提供开箱即用、功能丰富的安全防护服务，具备入侵防御 、病毒过滤、上网行为管理以及VPN等丰富功能。 开箱即用 即开即用、多种防御，一键式快速构建网络安全防护体系。 行为审计 支持对用户AI云电脑上网行为进行监测，并实时生成审计数据。 VPN隧道 支持 IPSec VPN 搭建云网互联企业内网，低成本拉通安全隧道；支持 IPSec VPN 实现AI云电脑和企业内部服务安全互访。

本页面主要介绍天翼云数据传输服务DTS对接的云审计服务使用和查看方法。 操作场景 数据传输服务DTS现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 操作事件 字段 创建实例 dtsCreateInstance 删除实例 dtsDeleteInstance 任务启动 dtsStartJob 任务暂停 dtsStopJob 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表页，根据需要选择时间段、设置筛选条件，如：读写类型、事件级别、操作用户、事件来源、资源类型、资源名称、事件名称等。点击查询即可。 4. 在审计事件查询结果列表右侧操作列点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

本章节主要介绍ALM19015 在ZooKeeper上的数量配额使用率超过阈值的告警。 告警解释 系统每120秒周期性检测HBase服务的znode使用情况，当检测到HBase服务的znode数量使用率超出告警的阈值（默认75%）时产生该告警。 当znode的数量使用率小于告警的阈值时，告警恢复。 说明 若集群启用了多实例功能且安装了多个HBase服务，请根据“定位信息”的“服务名”值来确定具体产生告警的HBase服务。例如“定位信息”中显示服务名HBase1，处理步骤中的操作对象也应由HBase调整为HBase1。 告警属性 告警ID 告警级别 是否自动清除 19015 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Threshold 产生告警的阈值。 对系统的影响 产生该告警表示HBase服务的znode的数量使用率已经超过规定的阈值，如果不及时处理，可能会导致问题级别升级为紧急，影响数据写入。 可能原因 HBase配置了容灾并且容灾存在数据同步失败或者同步速度慢； HBase集群存在大量的WAL文件在进行split。 处理步骤

本章节主要介绍ALM19017 在ZooKeeper上的容量配额使用率超过阈值的告警。 告警解释 系统每120秒周期性检测HBase服务的znode使用情况，当检测到HBase服务的znode容量使用率超出告警的阈值（默认75%）时产生该告警。 当znode的容量使用率小于告警的阈值时，告警恢复。 说明 若集群启用了多实例功能且安装了多个HBase服务，请根据“定位信息”的“服务名”值来确定具体产生告警的HBase服务。例如“定位信息”中显示服务名HBase1，处理步骤中的操作对象也应由HBase调整为HBase1。 告警属性 告警ID 告警级别 是否自动清除 19017 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Threshold 产生告警的阈值。 对系统的影响 产生该告警表示HBase服务的znode的容量使用率已经超过规定的阈值，如果不及时处理，可能会导致问题级别升级为紧急，影响数据写入。 可能原因 HBase配置了容灾并且容灾存在数据同步失败或者同步速度慢。 HBase集群存在大量的WAL文件在进行split。 处理步骤

本章节主要介绍 ALM38001 Kafka磁盘容量不足的告警。 告警解释 系统按60秒周期检测Kafka磁盘空间使用率，并把实际磁盘使用率和阈值相比较。磁盘使用率默认提供一个阈值范围。当检测到磁盘使用率高于阈值时产生该告警。 用户可通过“运维 > 告警 > 阈值设置”，在服务列表下面，选择“Kafka > 磁盘 > Broker磁盘使用率 (Broker)”修改阈值。 平滑次数为1，Kafka磁盘使用率小于或等于阈值时，告警恢复；平滑次数大于1，Kafka磁盘使用率小于或等于阈值的90%时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 38001 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 设备分区名 产生告警的磁盘分区。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 磁盘容量不足会导致Kafka写入数据失败。 可能原因 用于存储Kafka数据的磁盘配置（如磁盘数目、磁盘大小等），无法满足当前业务数据流量，导致磁盘使用率达到上限。 数据保存时间配置过长，数据累积达到磁盘使用率上限。 业务规划不合理，导致数据分配不均，使部分磁盘达到使用率上限。

本章节主要介绍ALM19019 HBase容灾等待同步的HFile文件数量超过阈值的告警。 告警解释 系统每30秒周期性检测每个HBase服务实例RegionServer等待同步的HFile文件数量。该指标可以在RegionServer角色监控界面查看，当检测到某个RegionServer上的等待同步HFile文件数量超出阈值（默认连续20次超过默认阈值128）时产生该告警。用户可通过“运维 > 告警 > 阈值设置 > 待操作集群 > HBase”来修改阈值。当等待同步的HFile文件数量小于或等于阈值时，告警消除。 告警属性 告警ID 告警级别 是否自动清除 19019 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 RegionServer等待同步的HFile文件数量超出阈值，会影响HBase使用的znode超出阈值，影响HBase服务状态。 可能原因 网络异常。 RegionServer的Region分布不均匀。 备集群HBase服务规模过小。 处理步骤 查看告警定位信息 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，选择“告警ID”为“19019”的告警，查看“定位信息”中产生该告警的服务实例和主机名。

本文为您介绍IAM的产品定义。 什么是IAM？ 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理和授权认证的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 产品优势 IAM可为您提供身份认证、权限管理和用户授权等统一身份认证服务。 精细的权限管理 您可以通过IAM控制不同用户具备不同的权限。例如：控制某些用户可以配置弹性云主机参数，而让另外一些用户只能读取弹性云主机参数。 便捷的用户授权 使用IAM完成用户授权仅需要两步： 1. 按照用户职责规划用户组，并将对应职责的权限授予用户组。 2. 将用户加入已授权的用户组。 为其他服务提供认证和鉴权功能 使用IAM认证后的用户可以根据权限使用天翼云中的其他服务，如关系型数据库、云主机、对象存储等。 委托第三方账号或者云服务管理资源 通过委托信任机制，天翼云用户可以将自己的操作权限委托给其它天翼云账号或者云服务，该账号或者云服务可以代替用户进行资源的运维和管理工作。

接口功能介绍 定时检测弱口令配置设置。 接口约束 此功能为收费功能。确认已经购买系统配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI POST /v1/vulnerability/checkConf 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 status 是 Integer 状态 0关闭 1开启 1 day 是 Integer 扫描频率 1每天 3每3天 7每7天 1 date 是 String 扫描时间，08:00表示每day天的点开始执行 08:00 agentGuidList 否 Array of Strings 作用guid列表 ["testguid"] scopeType 是 String 作用范围 ALL全部主机 OPTIONAL自选主机 ALL vulType 是 Array of Strings 漏洞类型 LINUXlinux漏洞，WINDOWSwindows漏洞, EMERGENCYVUL应急漏洞,APPLICATION应用漏洞,WEBCMSwebcms漏扫 ["LINUX", "WINDOWS"] 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200

请参见天翼云漏洞扫描（专业版）服务等级协议。

本文主要介绍如何通过天翼云云容器引擎使用虚拟节点以及使用ECI作为Pod的运行资源。 云容器引擎集群（混合ECS和ECI） 当已经创建了云容器引擎集群，可以通过使用虚拟节点（基于 VK）来使用ECI 的功能。利用虚拟节点，可以根据业务流量进行弹性扩缩容，从而减少集群扩容成本。 在云容器引擎集群中，首先需要部署虚拟节点，之后才可以在虚拟节点上创建ECI Pod，虚拟节点上的Pod均基于ECI运行在安全隔离的容器运行环境中，每个Pod对应一个ECI实例。 管理工具 通过VK将ECI以虚拟节点的方式接入Kubernetes集群后，可以通过以下方式管理Kubernetes集群及ECI实例的运行情况： 方式一：通过弹性容器实例控制台 1. 登录弹性容器实例控制台。 2. 在顶部左侧资源池列表选择对应资源池。 3. 在容器组页面，查看当前资源池已经创建的ECI实例。 方式二：通过云容器引擎控制台 1. 登录云容器引擎控制台。 2. 在顶部左侧资源池列表选择对应资源池。 3. 在左侧菜单栏选择集群页面，进一步选择对应的集群。 4. 在左侧菜单栏选择工作负载，可以查看对应的ECI Pod。

本小节介绍DDoS攻击缓解最佳实践。建议客户通过以下方式缓解DDoS攻击带来的影响。 缩小暴露面 隔离资源和不相关的业务，降低被攻击的风险。 配置安全组，尽量避免将非业务必须的服务端口暴露在公网上，从而避免与业务无关的请求和访问。通过配置安全组可以有效防止系统被扫描或者意外暴露。 优化业务架构 利用公共云的特性设计弹性伸缩和灾备切换的系统。 科学评估业务架构性能 在业务部署前期或运营期间，技术团队应该对业务架构进行压力测试，以评估现有架构的业务吞吐处理能力，为DDoS防御提供详细的技术参数指导信息。 优化DNS解析 通过智能解析的方式优化DNS解析，可以有效避免DNS流量攻击产生的风险。同时，建议您将业务托管至多家DNS服务商，并可以从以下方面考虑优化DNS解析。 屏蔽未经请求发送的DNS响应信息 丢弃快速重传数据包 启用TTL 丢弃未知来源的DNS查询请求和响应数据 丢弃未经请求或突发的DNS请求 启动DNS客户端验证 对响应信息进行缓存处理 使用ACL的权限 利用ACL、BCP38及IP信誉功能 服务器安全加固 提升服务器自身的连接数等性能。 对服务器上的操作系统、软件服务进行安全加固，减少可被攻击的点，增大攻击方的攻击成本。 确保服务器的系统文件是最新的版本，并及时更新系统补丁。 对所有服务器主机进行检查，清楚访问者的来源。 过滤不必要的服务和端口。例如，对于WWW服务器，只开放80端口，将其他所有端口关闭，或在防火墙上设置阻止策略。

本章节介绍如何创建一个Eureka引擎实例 概述 Eureka是一个Java体系的服务发现组件，用于实现服务的自动注册与发现即客户端完成微服务向Eureka注册，采用心跳续约策略，而服务端作为注册中心，通过接受心跳保持服务健康状态。本文将介绍如何创建一个Eureka引擎实例。 操作步骤 1. 进入微服务引擎控制台，并在左上方选中您需要开通产品的资源池。点击“注册配置中心”页签，进入“实例列表”页签； 2. 点击页面左上方的“创建实例”按钮，进入实例开通页面； 3. 选择开通配置，配置项详细说明如下： 计费模式：目前可选择“包年包月”或“按需付费”，具体计费模式和规则可点击右侧的“查看产品定价”查看； 系列：目前可选择“单机版”或“集群版”，推荐您开通集群版，以保障实例的高可用性； 引擎类型：若您需要开通Eureka引擎，则选中“Eureka”； 实例名称：输入该实例的名称，实例名称是帮助您区分不同实例的重要标识； 实例规格：可选择将实例搭载在指定CPU、内存规格的机器上； 节点数量：可选择开通实例的节点数，节点数越大，实例越高可用； 部署模式和可用区：可选择将多节点实例部署在不同可用区，进一步提高可用性； 虚拟私有云：选择将实例开通在指定的虚拟私有云（VPC）下； 所在子网：选择将实例开通在该虚拟私有云指定的子网下； 安全组：为该实例绑定指定的安全组规则； 购买时长和自动续期：若您选择“包年包月”，则需要选择您购买的周期，并选中到期时是否自动续期； 4. 配置确认后，点击右下方的“下一步”按钮，进入开通配置确认页面，确认无误后，点击“提交订单”，进入订单结算页面。完成支付后，等待5至10分钟，即可完成开通； 5. 开通完成后，您可以在微服务引擎控制台的“注册配置中心”页签下找到您开通的实例。

本文介绍一站式智算服务平台使用前的准备工作。 注册主账号 在开通和使用一站式智算服务平台之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后使用一站式智算服务平台。 1. 打开天翼云门户网站，点击【注册】。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击【同意协议并提交】 按钮，如1分钟内手机未收到验证码，请再次点击【免费获取短信验证码】按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 如需实名认证，请参考会员服务实名认证。 5. 主账号默认就是IAM管理员角色，具有平台所有权限。 为账户充值 1. 使用一站式智算服务平台之前，请保证您的账户有充足的余额，账户余额需要大于100元。 2. 关于如何为账户充值，请参考费用中心在线充值。 3. 一站式智算服务平台支持包周期预付费。 创建子账号 前置条件 通过主账号或角色为IAM管理员的子账号登录到一体化智算服务平台 创建子账号操作步骤 1. 将鼠标放置在右上角用户登录信息处，会显示一个下拉菜单，点击【基本信息】会进入到【账号中心】页面 2. 在【账号中心】页面，点击进入【统一身份认证】页面，即【IAM】页面 3. 在【IAM】页面，再次进入【用户】页面，在页面右上角点击【创建用户】按钮，进入到【创建用户】页面，按步骤填写相关信息即可创建子用户 需要特别说明的是，在为子用户添加【用户组】时，如果选择“admin”用户组(即IAM管理员角色)，则子用户拥有所有权限，希望子用户不拥有全部权限，则可以不分配用户组，或者自定义创建用户组，此时子账号的角色为IAM普通用户 当需要将子账号从某个用户组移除时，可进入到【用户组】页面，进行移除操作，移除后，子账号将不再具有对应用户组的权限

本节介绍了弹性云主机XEN实例停止售卖说明及常见问题。 1、XEN实例为什么要停止售卖？ 由于天翼云使用的XEN虚拟化平台所有版本都已经停止更新，天翼云无法获取补丁更新和社区支持，发现新的安全风险后，无法继续向用户提供补丁修复和技术支持，会导致用户业务出现安全风险。 2、继续使用XEN实例会有哪些影响？ XEN虚拟化平台停止服务后，天翼云将无法对新发现的安全风险提供补丁更新修复和技术支持，这会导致用户的业务出现安全风险。 无法使用XEN实例的备份创建新的XEN实例，使用XEN实例的备份创建KVM实例无法正常启动。 无法对XEN实例进行规格变更，只能XEN实例变更为KVM实例。 除上述影响外，基础能力不变（包括：重置密码、开关机、切换操作系统、重装操作系统等等常规操作） 3、KVM与XEN虚拟化平台的区别？ 相对于XEN，KVM可以提供更多的功能、较高的稳定性，并能显著提高性能。KVM实例相较于XEN实例，有如下优点： 具备一定的故障预测能力 支持热迁移能力 支持异地HA（High Availability）能力，更高的可靠性 总体而言，KVM可以更好地满足云计算的诉求。 4、当前使用的XEN实例怎么办？ 当前对于存量客户（已购买XEN实例客户）可结合自身业务需求进行规格变更，即使用控制台提供的“变更规格”将XEN实例变更为KVM实例，将XEN实例迁移至KVM实例。 5、变更规格前后费用一致吗？ 变更规格会引起费用的变化，费用变化主要源自于实例类型和规格的变更。 变更规格过程中，如果您遇到需要补齐差价等费用问题，可提交工单或咨询服务热线（4008109889）。 6、XEN主机包括哪些实例？ 天翼云XEN虚拟化实例主要为c1、c2、m1、s1。 7、XEN主机涉及哪些资源池？ 深圳、苏州、广州4、上海4、杭州、咸阳（西安2）、福州、芜湖、贵州1、青岛、南宁、郑州、成都3、南昌、海口、长沙2、乌鲁木齐、昆明、重庆、北京2、武汉2、兰州、太原、西宁 8、XEN迁移KVM推荐表 若客户有XEN迁移KVM的需求，现推荐XEN实例规格变更后的KVM实例规格请参考下表。考虑到不同资源池内可售弹性云主机规格不一，具体变更后规格实例选择，以您所在区域的具体实例为准。 XEN规格 KVM规格（推荐1） KVM规格（推荐2） c1.small s7n.small.1 s6.small.1 c1.large s7n.large.2 s6.large.2 c1.xlarge s7n.xlarge.2 s6.xlarge.2 c1.2xlarge s7n.2xlarge.2 s6.2xlarge.2 c1.4xlarge s7n.4xlarge.2 s6.4xlarge.2 c2.medium s7n.medium.2 s6.medium.2 c2.large s7n.large.2 s6.large.2 c2.xlarge s7n.xlarge.2 s6.xlarge.2 c2.2xlarge s7n.2xlarge.2 s6.2xlarge.2 c2.4xlarge s7n.4xlarge.2 s6.4xlarge.2 c2.8xlarge c7n.8xlarge.2 c6.8xlarge.2 m1.medium s7n.large.4 s6.large.4 m1.large m7n.large.8 s6.xlarge.4 m1.xlarge m7n.xlarge.8 s6.2xlarge.4 m1.2xlarge m7n.2xlarge.8 s6.4xlarge.4 m1.4xlarge m7n.4xlarge.8 m6.6xlarge.8 s1.medium s7n.medium.4 s6.medium.4 s1.large s7n.large.4 s6.large.4 s1.xlarge s7n.xlarge.4 s6.xlarge.4 s1.2xlarge s7n.2xlarge.4 s6.2xlarge.4 s1.4xlarge s7n.4xlarge.4 s6.4xlarge.4 s1.8xlarge c7n.8xlarge.4 c6.8xlarge.4 9、XEN实例变更为KVM实例的过程对业务有什么影响？ 变更前，需要您确保Windows弹性云主机已安装了PV driver和UVP VMTools以及Linux弹性云主机安装xenpv驱动、virtio驱动。 变更时，需要您暂时将ECS关机，暂停业务，待切换完成后重新开机恢复业务正常运行。 变更后，仅仅是底层虚拟化平台由XEN移到KVM，对业务没有影响。 10、怎样将XEN实例变更为KVM实例？ XEN迁移KVM操作，具体操作步骤参见规格变更（XEN实例变更为KVM实例）