统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他账号管理资源等。 使用前您需了解常用的基本概念，包括：帐号、IAM用户、用户组、身份凭证、授权、权限、项目、委托、身份凭证等，详细请查看：术语解释。 IAM应用场景 IAM策略主要面向对同租户帐号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如文件系统的查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的用户名和密码登录云服务平台，实现多用户协同操作时无需分享帐号的密码的安全要求。 场景实例说明请查看：入门说明。 操作步骤 关于IAM功能的操作步骤请参见快速入门统一身份认证（一类节点）。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素"Action""Effect"等更多信息。 系统策略 ：预置的系统策略，您只能使用不能修改，具体说明请查看系统策略。 弹性文件服务预置的系统策略包含如下： sfs admin：弹性文件服务的管理者权限，包含弹性文件服务所有控制权限（不包含订单类权限）。 sfs viewer：弹性文件服务的观察者权限，包含弹性文件服务的列表页与详情页页面权限。 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见创建自定义策略。

本节为您介绍如何通过云主机创建系统盘镜像,包括Linux和Windows操作系统。 操作场景 创建弹性云主机后，您可以根据业务需要安装软件、部署应用环境等，并根据该弹性云主机创建系统盘镜像。使用该镜像创建的新云主机，会包含您已配置的自定义项，节省您重复配置云主机的时间。 说明 目前Windows、Linux以云主机为镜像源创建系统盘镜像时，操作步骤一致。但Linux云主机基于云主机创建系统盘镜像时，建议先注释/etc/fstab再做镜像；否则用创建出来的私有镜像创建云主机时，会因为找不到数据盘而进入维护模式，需要再次注释或者删除/etc/fstab中挂载数据盘后再重启云主机。 前提条件 1. 已创建弹性云主机，具体操作，请参见创建弹性云主机。 2. 确保云主机为关机状态。部分资源池支持云主机开机状态创建私有镜像，运行中的云主机由于存在缓存数据未落盘的情况，制作出来的镜像数据可能会和实例数据不完全一致，推荐关机后制作镜像。 3. 如果系统盘已加密，则不支持创建系统盘镜像。 4. 云主机创建私有镜像前，请做下列检查： 检查云主机的网络配置，确保网卡属性为DHCP方式。 检查云主机中是否已安装CloudbaseInit或者Cloudinit工具。 检查云主机中是否已安装重置密码插件（qga）。 检查云主机是否安装virtio驱动，使该镜像创建的云主机实例能够启动。 5. 节省关机状态下的云主机不支持创建镜像。 注意 创建私有镜像是免费的。 请确保已删除实例中的敏感数据，避免数据安全隐患。 弹性云主机与其创建的私有镜像属于同一个地域，不能跨地域使用。 在创建镜像过程中，请勿对您所选择的云主机及其相关联资源进行其他操作。 创建系统盘镜像所需时间取决于云主机系统盘的大小，私有镜像创建完成才可以使用，请您耐心等待。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的爬虫陷阱功能。 功能介绍 即在页面里面嵌入不可见链接，正常浏览器不可见；当访问到达设定的拦截深度时，认为是爬虫行为并支持设置防护策略。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持Bot防护相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Bot防护】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力客户端风险识别【爬虫陷阱】详细设置页。 配置说明 支持配置多个防护条件，最多支持配置5条，多个条件为或关系。 注意 爬虫陷阱是通过判断响应的contenttype是否为text/html，如果是text/html，则会嵌入爬虫陷阱 基本信息 防护开关：支持拦截、告警、关闭。 统计粒度：IP/IP+UA/静态Cookie。 拦截深度：即陷阱深度，当访问到达设定的拦截深度时，认为是爬虫行为。深度越深越难触发规则，拦截深度支持配置1至5，相当于一级至五级页面链接。 处理时长：即触发规则后的惩罚时间。

配置示例 示例一： 参数名 配置示例 头部值 AccessControlAllowOrigin 跨域验证 关闭 取值 结果说明：全站加速响应头部固定响应“AccessControlAllowOrigin:”。 示例二： 参数名 配置示例 头部值 AccessControlAllowOrigin 跨域验证 开启 取值 结果说明： 1.用户请求携带的Origin头是 2.用户请求携带的Origin头是

%^&+l)。 弱口令检查。 确认密码 再次输入安全管理员密码。 审计管理员 用户命名要求如下： 只能由小写字母、数字或下划线组成。 必须以小写字母或下划线开头。 长度为6～64个字符。 用户名不能为DWS数据库的关键字。 DWS数据库的关键字，具体请参见《数据仓库服务数据库开发指南》中“SQL参考>关键字”章节。 auditadmin 密码 密码复杂度要求如下： 密码长度为8～32个字符。 不能与用户名或倒序的用户名相同。 密码至少包含大写字母、小写字母、数字和特殊字符四类中的三类，其中可输入的特殊字符为：~!@ %^&()+l[{}];:, /?。 弱口令检查。 确认密码 再次输入审计管理员密码。 5.单击“应用”。 6.在弹出的“保存配置”窗口中，选择是否勾选“立即重启集群”，然后单击“是”。 如果勾选“立即重启集群”，系统将保存“安全设置”页面的配置并立即重启集群，集群重启成功后安全设置将立即生效。 如果不勾选“立即重启集群”，系统将只保存“安全设置”页面的配置。稍后，用户需要手动重启集群才能使安全设置生效。 安全设置完成后，在“安全设置”页面，“配置状态”有如下3种状态： “应用中”：表示系统正在保存配置。 “已同步”：表示配置已保存生效。 “需重启生效”：表示配置已保存但还未生效。如需生效，需重启集群。

本节介绍翼甲卫士的基础管理功能。 用户开通翼甲卫士后，可在AI云电脑（政企版）控制台安全防护进入翼甲管理界面。 绑定/解绑/更换带宽 点击“操作”后可在下拉菜单点击对应选项，对带宽绑定状态进行变更，支持解绑、更换、绑定（操作生效期间会导致关联AI云电脑35分钟无法上网）。 扩容 点击“操作”后可在下拉菜单点击扩容，对各项配置进行扩容，支持公网流量处理能力、日志容量、短信告警配置扩容。

1. 引言 服务网格接入虚机是为了让传统应用在不改造架构的前提下，也能获得服务网格的治理能力，例如统一的服务发现、流量控制、故障治理与安全通信，从而支撑平滑上云和系统演进。 2. 架构 3. 准备工作 3.1 创建网格实例 确保在控制面中已创建好可用的 服务网格实例，并确认网格状态为 Running。 后续步骤中的虚拟机将加入此网格实例以实现统一流量管理与安全控制。 注意 确保目标虚拟机和网格实例之间网络互通。 3.2. 创建接入网格的虚拟机 准备一台或多台计划纳入网格的虚拟机； 说明 权限要求：具备 root 或具有 sudo 权限的用户； 网络要求：可以访问到 容器集群 API Server 的地址； 3.3 上传 istioctl 与 kubectl 工具 下载并将以下二进制文件上传至虚拟机（例如存放于 /usr/local/bin）： istioctl kubectl 执行以下命令添加到系统环境变量： plaintext export PATH$PATH:/usr/local/bin 验证： plaintext kubectl version client istioctl version 3.4 配置 kubeconfig 文件 将容器集群的 kubeconfig 文件拷贝至虚拟机，使 kubectl 可正常访问主集群。 文件路径： ～/.kube/config 验证连接是否成功 kubectl get ns 若能列出命名空间列表，说明连接正常。 3.5 创建istioproxy用户 在虚拟机中创建 istioproxy 用户及用户组，用于运行 Sidecar 代理进程。 sudo useradd r M s /sbin/nologin istioproxy r 表示创建系统用户； M 不创建 home 目录； s /sbin/nologin 表示该用户不可直接登录； Sidecar 启动将以该用户身份运行。

函数计算与弹性云主机的应用场景对比 函数计算： 无服务器架构：函数计算抽象了底层基础设施，用户无需运维具体的服务器或操作系统，只需要编写代码，专注业务逻辑。 自动伸缩与负载均衡：函数计算平台会根据流量大小自动处理用户服务的弹性伸缩和负载均衡，确保高并发下的稳定性和可用性。 按需付费：用户只需为实际消耗的计算资源付费。 全面监控与日志：函数计算提供了强大的监控和日志功能，帮助用户快速定位问题。 弹性云主机： 高度可定制：弹性云主机提供了丰富的配置选项，允许用户根据需求定制操作系统、网络环境、安全策略等。 完全控制权：用户对弹性云主机拥有完全的控制权，可以自由安装软件、配置环境以及管理服务。 端到端解决方案：弹性云主机支持构建完整的软件栈解决方案，从前端Web服务器到后端数据库，用户可以一站式部署和管理。

天翼云支持云硬盘快照功能,用以快速恢复数据,确保业务稳定运行。 什么是云硬盘快照 云硬盘快照是云硬盘数据在特定时间点的完整副本或镜像。作为一种主要的灾难恢复方法，用户可以使用快照将数据完全恢复到创建快照时的时间点。用户可以通过管理控制台或者API接口创建云硬盘快照。 说明 当前支持云硬盘快照的资源池为华东1和华北2。 云硬盘快照原理 快照分为全量快照和增量快照。 云硬盘的第一个快照为不包含空数据块的全量快照。后续快照是增量快照，仅存储自前一个快照以来发生更改的数据块。 具体原理如下图所示： 云硬盘快照计费说明 天翼云云硬盘快照采用按需付费的方式计费，先使用，后付费，按照您实际使用容量收取快照存储费用。具体收费标准请参见云硬盘快照计费说明。 云硬盘快照使用场景 数据保护和恢复：快照可以用作数据的备份和恢复手段。当云硬盘的数据发生意外删除、损坏或错误修改时，可以使用快照来恢复到之前的状态。 数据恢复测试：可以使用快照来进行数据恢复测试。在进行关键操作之前，先创建一个快照，然后在测试过程中可以随时回滚到快照状态，以确保操作的安全性和可靠性。 数据备份和归档：通过创建快照，可以定期备份云硬盘的数据，并将快照存档用于长期数据保留、合规要求或法律需求。 批量部署多个业务：通过同一个快照可以快速创建出多个具有相同数据的云硬盘，从而可以同时为多种业务提供数据资源。例如数据挖掘、报表查询和开发测试等业务。

本文介绍了实例的风险监控相关说明。 RDSPostgreSQL提供多维度的监控指标和敏感操作保护，帮助您监控安全风险。 监控指标 RDSPostgreSQL提供基于云监控服务的资源监控能力，帮助您实时监控数据库实例，及时发现异常并自动告警或通知相关运维人员。 帮助您实时掌握实例运行过程中产生的运行指标和存储用量等信息，方便您预判风险及时处理。 关于RDSPostgreSQL支持的监控指标，以及如何创建监控告警规则等内容，请参见支持的监控指标。 敏感操作保护 RDSPostgreSQL管理控制台支持敏感操作保护，开启后执行删除数据库敏感操作时，系统会进行二次确认，进一步保证数据库实例配置和数据的安全性。

配置项 说明 状态 开启或关闭无线网络 SSID 配置无线网络名称，用于区分不同的WiFi网络 SSID广播 开启SSID广播，设备在搜索WiFi时会显示SSID 安全认证 支持WPA2PSK(强安全性)、WPAPSK(弱安全性)、无加密(开放网络) 密码 当安全认证选择WPA2PSK(强安全性)、WPAPSK(弱安全性)时，需要配置密码

使用redisexporter出错怎么办？ 通过在命令行启动redisexporter，根据界面输出，查看是否存在错误，根据错误描述，进行问题排查。 [root@ecsswk /]./redisexporter redis.addr 192.168.0.23:6379 INFO[0000] Redis Metrics Exporter V0.15.0 build date:2018011904:08:01 sha1: a0d9ec4704b4d35cd08544d395038f417716a03a Go:go1.9.2 INFO[0000] Providing metrics at :9121/metrics INFO[0000] Connecting to redis hosts: []string{192.168.0.23:6379} INFO[0000] Using alias:[]string{""} Redis的安全加固方面有哪些建议？ 在众多开源缓存技术中，Redis无疑是目前功能最为强大，应用最多的缓存技术之一，但是原生Redis版本在安全方面非常薄弱，很多地方不满足安全要求，如果暴露在公网上，极易受到恶意攻击，导致数据泄露和丢失。 针对DCS的Redis实例，您在使用过程中，可参考如下建议： 网络连接配置 a. 敏感数据加密后存储在Redis实例。 对于敏感数据，尽量加密后存储。 b. 对安全组设置有限的、必须的允许访问规则。 安全组与VPC均是用于网络安全访问控制的配置，以端口最少放开原则配置安全组规则，降低网络入侵风险。 c. 客户端应用所在ECS设置防火墙。 客户端应用所在的服务器建议配置防火墙过滤规则。 d. 设置实例访问密码。 e. 配置实例白名单。 Rediscli使用 f. 隐藏密码 安全问题：通过在rediscli指定a参数，密码会被ps出来，属于敏感信息。 解决方案：修改Redis源码，在main方法进入后，立即隐藏掉密码，避免被ps出来。 g. 禁用脚本通过sudo方式执行 安全问题：rediscli访问参数带密码敏感信息，会被ps出来，也容易被系统记录操作日志。 解决方案：改为通过API方式（Python可以使用redispy）来安全访问，禁止通过sudo方式切换到dbuser帐号使用rediscli。

事件类别 事件名称 事件级别 事件 管理 createClusterFail 警告 集群创建失败 管理 createClusterSuccess 正常 集群创建成功 管理 createCluster 正常 开始创建集群 管理 extendCluster 正常 开始扩容集群 管理 extendClusterSuccess 正常 集群扩容成功 管理 extendClusterFail 警告 集群扩容失败 管理 deleteClusterFail 警告 集群删除失败 管理 deleteClusterSuccess 正常 集群删除成功 管理 deleteCluster 正常 开始删除集群 管理 restoreClusterFail 警告 集群恢复失败 管理 restoreClusterSuccess 正常 集群恢复成功 管理 restoreCluster 正常 开始恢复集群 管理 restartClusterFail 警告 集群重启失败 管理 restartClusterSuccess 正常 集群重启成功 管理 restartCluster 正常 开始重启集群 管理 configureMRSExtDataSources 正常 开始配置集群的MRS外部数据源 管理 configureMRSExtDataSourcesFail 警告 配置集群的MRS外部数据源失败 管理 configureMRSExtDataSourcesSuccess 正常 配置集群的MRS外部数据源成功 管理 deleteMRSExtDataSources 正常 开始删除集群MRS外部数据源 管理 deleteMRSExtDataSourcesFail 警告 删除集群MRS外部数据源失败 管理 deletedMRSExtDataSourcesSuccess 正常 删除集群MRS外部数据源成功 管理 bindEipToCluster 正常 集群绑定EIP 管理 bindEipToClusterFail 警告 集群绑定EIP失败 管理 unbindEipToCluster 正常 集群解绑EIP 管理 unbindEipToClusterFail 警告 集群解绑EIP失败 管理 refreshEipToCluster 正常 集群刷新EIP 管理 refreshEipToClusterFail 警告 集群刷新EIP失败 安全 resetPasswordFail 警告 集群密码重置失败 安全 resetPasswordSuccess 正常 集群密码重置成功 安全 updateConfiguration 正常 开始更新集群安全参数 安全 updateConfigurationFail 警告 更新集群安全参数失败 安全 updateConfigurationSuccess 正常 更新集群安全参数成功 监控 repairCluster 正常 节点故障，开始修复集群 监控 repairClusterFail 警告 集群修复失败 监控 repairClusterSuccess 正常 集群修复成功

本文为您介绍VPN连接服务的权限管理。 如果您需要对云服务平台上创建的VPN资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制员工对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有VPN的使用权限，但是不希望他们拥有删除VPN等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用VPN，但是不允许删除VPN的权限，控制他们对VPN资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用VPN服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见统一身份认证服务用户指南。 VPN权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VPN部署时通过物理区域划分，为项目级服务。授权时，“授权范围”需要选择“指定区域项目资源”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果“授权范围”选择“所有资源”，则该权限在所有区域项目中都生效。访问VPN时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对VPN服务，管理员能够控制IAM用户仅能对某一类VPN资源进行指定的管理操作。

本文介绍云SSO各模块的基本概念 概念 说明 企业组织 企业组织是多账号下的成员关系管理服务，可以通过创建或者邀请账号加入，构建多账号的企业中心环境。 主账号 是企业组织中的管理员账号，可以统筹管理企业组织关系内各成员账号的资源、操作权限、财务关系等。 子账号 是通过被主账号创建或者邀请加入的成员账号。 云SSO用户/用户组 是主账号创建的虚拟用户，该用户可以通过云SSO门户登录到企业组织内的成员账号中，对成员账号进行访问管理。 权限集 主账号可以为云SSO实例自定义分配指定的权限集合。 绑定权限集 为云SSO用户（组）在指定账号范围内，绑定权限集。 云SSO登录门户 云SSO用户登入URL地址： 身份同步 云SSO支持基于SCIM协议的用户和用户组同步，称为身份同步，也可以称其为身份部署或身份推送等。使用身份同步，您只需在您的企业身份管理系统中管理身份，而不必在云SSO中手工管理用户、用户组及其成员关系，提升管理效率和安全性。 单点登录（SSO） 云SSO支持基于SAML 2.0的单点登录SSO（Single Sign On）。天翼云是服务提供商（SP），而企业自有的身份管理系统则是身份提供商（IdP）。通过单点登录，企业员工可以使用IdP中的用户身份以云SSO用户身份访问天翼云。

本章节将为您介绍云主机备份入门的基本流程,主要包括场景说明,控制台快速创建云主机备份的操作,帮助您快速上手云主机备份。 入门指引 您还可以通过API方式创建云主机备份，查看和恢复等。 场景说明 云主机备份提供两种配置方式，一次性备份和周期性备份。一次性备份是指用户手动创建的一次性备份任务。周期性备份是指用户通过创建备份策略并绑定云主机的方式创建的周期性备份任务。 云主机备份的两种配置方式对比如下表，可根据实际情况选择适合的配置方式。 对比项 一次性备份 周期性备份 备份策略 不需要 需要 备份次数 手动执行一次性备份 根据备份策略进行周期性备份 单次可备份的云主机数目 1个 ≤64个 备份名称 支持自定义 系统自动生成 备份方式 首次全量备份，非首次增量备份 云主机备份支持从任意一个备份恢复云服务器的全量数据，无论这个备份是全量还是增量。 首次全量备份，非首次增量备份 云主机备份支持从任意一个备份恢复云服务器的全量数据，无论这个备份是全量还是增量。 建议使用场景 云主机进行操作系统补丁安装、升级，应用升级等操作之前，以便安装或者升级失败之后，能够快速恢复到变更之前的状态。 云主机的日常备份保护，以便发生不可预见的故障而造成数据丢失时，能够使用邻近的备份进行恢复。 另外，用户也可以根据业务情况将两种方式混合使用。例如，根据云主机中存放数据的重要程度不同，可以将所有的云主机加入到一个备份策略中进行日常备份保护。其中个别保存有非常重要的数据的云主机，根据需要不定期的执行一次性备份，保证数据的安全性。

查看镜像详情 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 选择“仓库镜像”或“节点镜像”页签，进入对应镜像列表页面。 4. 单击镜像列表中的“镜像名称”，进入镜像详情页面查看镜像的基本信息、关联信息、漏洞、软件、文件、环境变量、安全溯源等相关信息。 查看镜像安全概览 镜像安全概览页面可以查看镜像的基本信息、风险分数、安全问题、镜像命中的安全策略、安全建议等信息。 查看镜像关联容器 在“关联容器”页面，可查看与镜像相关联的容器的信息，包括容器名称、容器所在Pod名称、所属集群名称、运行所在节点的名称。 查看镜像漏洞详情 在“漏洞”页面，可查看该镜像中各个危险级别的漏洞统计情况，单击漏洞列表中的“漏洞编号”，可以查看漏洞的详细信息，包括漏洞介绍、漏洞评分、来源信息等。 单击漏洞详情中的“命中安全策略”，可以查看漏洞命中的安全策略。 单击漏洞详情操作列的“加入白名单”可忽略此漏洞。添加完成后，扫描该镜像将不再展示已加入白名单的漏洞。

本文介绍如何使用ECX部署OpenClaw企业微信机器人。 注意 配置企业微信机器人之前，请先确保已经购买ECX虚拟机并配置大模型服务。具体操作步骤，可参考指引：使用ECX部署OpenClaw。 创建企业微信机器人并获取配置 1、登录++企业微信管理后台++，使用有企业管理员权限的账号登录。 2、创建机器人。 在企业微信管理后台进入安全管理管理工具，点击智能机器人。 录入对应配置，选择API模式创建。 填写名称、简介、可见范围、URL、Token、EncodingAESKey。其中URL输入 此时先不点击保存创建，待登录虚拟机完成机器人Channel配置后再保存。 安装企业微信插件 1、登录虚拟机，克隆企业微信插件项目。 plaintext cd ~/ plaintext git clone 2、进入项目目录。 plaintext cd openclawwecomchannel 3、安装依赖。 plaintext npm install 4、安装插件（使用link方式）。 plaintext openclaw plugins install link wecom 5、重启 Gateway使配置生效。 plaintext openclaw gateway restart

验证与调整 当您完成选型并开始使用弹性云主机实例后，建议您根据一段时间的性能监控信息，验证所选实例规格是否合适。 假设您选择了s7.2xlarge.2，通过监控发现实例CPU使用率一直较高，建议您登录实例检查CPU的具体情况，还可以根据具体情况调整处理器与内存的大小，以满足业务需求。具体操作请参见云监控服务快速入门。 相关搭配产品推荐 弹性伸缩服务 弹性伸缩服务（CTAS，Auto Scaling）是根据您的业务需求，通过策略自动调整计算资源的管理服务。该服务能够根据预设规则自动调整伸缩组内的弹性云主机数量，在业务需求上升时自动增加弹性云主机实例，业务需求下降时自动减少弹性云主机实例。 弹性文件服务 弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可为云上多个弹性云主机、容器、物理机提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。 云硬盘备份 云硬盘备份（CTVBS，Volume Backup Service）是针对弹性云主机的系统盘、数据盘提供的备份服务。您可对存储重要数据的磁盘进行备份，并在弹性云主机磁盘故障、误删数据、遭到黑客攻击等情况下，将备份的数据快速恢复到源盘，最大限度保证数据的安全性。

本文解答开通IP应用加速的前提条件。 是的。边缘接入服务提供IP应用加速能力以及DDoS防护能力。客户想要使用IP应用加速，需要先订购边缘接入服务，才可开通IP应用加速并进行配置。 订购边缘接入服务操作步骤详见：启用边缘接入服务。 如何进行IP应用加速配置操作步骤详见：IP应用加速配置。 边缘接入服务，基于优质的边缘网络资源和应用安全能力，可以为企业构造一张性能和安全兼具的边缘接入网络。 通过多样、灵活的接入方式，可以将任意用户请求安全接入至边缘网络的三网节点。实现全球范围内高速、稳定、安全的数据传输，适用应用加速、上网加速等多种业务场景。 提供低时延、高可靠的四层网络传输服务，支持多协议加速，可以解决跨运营商网络不稳定、单线源站、突发流量、网络拥塞等诸多因素导致的延迟高、服务不稳定的问题。提升传输性能和用户体验。 同时无惧安全威胁，可实现业务透明转发，提供网络层安全防护能力，解除DDoS攻击的后顾之忧。

本文介绍如何进入安全加速控制台。 1.打开天翼云官网 2.选择控制台； 3.下拉选择CDN产品，点击对应的加速服务进入安全客户控制台； 图 控制中心安全加速页面

什么是云助手？ 天翼云云助手（CTCA， Cloud Assistant）是专门为云服务器打造的原生自动化运维工具，免密码、免登录、无需使用跳板机，即可批量执行命令（Shell、PowerShell、Bat、Python等），完成运行自动化运维脚本、轮询进程、安装卸载软件、启动或停止服务、安装补丁或安装安全更新等任务。 如何使用云助手？ 您可以通过弹性云主机、物理机控制台创建及执行命令，详情请参见 云助手产品介绍 。 可以修改已经创建的命令吗？ 可以。云助手支持修改命令基本信息中的所有内容，具体步骤如下： 1. 登录 弹性云主机控制台 或 物理机控制台 ，选择左侧导航栏中的运维工具。 2. 展开运维工具下云助手标签页，选择我的命令标签页。 3. 在命令列表中选择需要修改的命令，点击修改命令按钮。 4. 在弹出的“修改命令”窗口中，编辑后单击保存即可。 为什么返回结果中显示乱码？ 云助手支持中文。出现乱码可能有以下原因： 您输入的命令内字符编码方式非 UTF8 编码，请确保采用 UTF8 编码。 您执行的命令本身输出了二进制内容等非 UTF8 编码字符，该情况与您直接在终端执行命令是同样的效果。例如，tail n4 /usr/bin/ls 命令的输出一定是包含乱码的。

本章节主要介绍翼MapReduce服务在不同场景下的应用。 大数据在人们的生活中无处不在，在IoT、电子商务、金融、制造、医疗、能源和政府部门等行业均可以使用云MRS服务进行大数据处理。 海量数据分析场景 海量数据分析是现代大数据系统中的主要场景。通常企业会包含多种数据源，接入后需要对数据进行ETL（ExtractTransformLoad）处理形成模型化数据，以便提供给各个业务模块进行分析梳理，这类业务通常有以下特点： 对执行实时性要求不高，作业执行时间在数十分钟到小时级别。 数据量巨大。 数据来源和格式多种多样。 数据处理通常由多个任务构成，对资源需要进行详细规划。 例如在环保行业中，可以将天气数据存储在OBS，定期转储到HDFS中进行批量分析，在1小时内MRS可以完成10TB的天气数据分析。 详见下图：环保行业海量数据分析场景 该场景下MRS的优势如下所示。 低成本：利用OBS实现低成本存储。 海量数据分析：利用Hive实现TB/PB级的数据分析。 可视化的导入导出工具：通过可视化导入导出工具Loader，将数据导出到DWS，完成BI分析。 海量数据存储场景 用户拥有大量结构化数据后，通常需要提供基于索引的准实时查询能力，如车联网场景下，根据汽车编号查询汽车维护信息，存储时，汽车信息会基于汽车编号进行索引，以实现该场景下的秒级响应。通常这类数据量比较庞大，用户可能保存1至3年的数据。 例如在车联网行业，某车企将数据储存在HBase中，以支持PB级别的数据存储和毫秒级的数据详单查询。 详见下图：车联网行业海量数据存储场景 该场景下MRS的优势如下所示。 实时：利用Kafka实现海量汽车的消息实时接入。 海量数据存储：利用HBase实现海量数据存储，并实现毫秒级数据查询。 分布式数据查询：利用Spark实现海量数据的分析查询。 实时数据处理 实时数据处理通常用于异常检测、欺诈识别、基于规则告警、业务流程监控等场景，在数据输入系统的过程中，对数据进行处理。 例如在梯联网行业，智能电梯的数据，实时传入到MRS的流式集群中进行实时告警。 详见下图：梯联网行业低时延流式处理场景 该场景下MRS的优势如下所示。 实时数据采集：利用Flume实现实时数据采集，并提供丰富的采集和存储连接方式。 海量的数据源接入：利用Kafka实现万级别的电梯数据的实时接入。

本文介绍函数运行时中的Web标准API。 运行时提供了以下标准化API，供边缘运行的用户函数使用。 JavaScript标准内置对象 JavaScript内置对象都可使用。但下面这些例外： 注意 eval() 出于安全原因，不允许使用。 uneval() 出于安全原因，不允许使用。 new Function 出于安全原因，不允许使用。 值属性 这些全局属性返回一个简单值，这些值没有自己的属性和方法。 globalThis Infinity NaN undefined 函数属性 全局函数可以直接调用，不需要在调用时指定所属对象，执行结束后会将结果直接返回给调用者。 eval()（出于安全原因，不允许使用。） uneval()（出于安全原因，不允许使用。） isFinite() isNaN() parseFloat() parseInt() decodeURI() decodeURIComponent() encodeURI() encodeURIComponent() 基本对象 顾名思义，基本对象是定义或使用其他对象的基础。基本对象包括一般对象、函数对象和错误对象。 Object Function （new Function出于安全原因，不允许使用。） Boolean Symbol 错误对象 错误对象是一种特殊的基本对象。它们拥有基本的Error类型，同时也有多种具体的错误类型。 Error RangeError ReferenceError SyntaxError TypeError URIError AggregateError InternalError 数字和日期对象 用来表示数字、日期和执行数学计算的对象。 Number BigInt Math Date 字符串 用来表示和操作字符串的对象。 String RegExp 可索引的集合对象 这些对象表示按照索引值来排序的数据集合，包括数组和类型数组，以及类数组结构的对象。 Array Int8Array Uint8Array Uint8ClampedArray Int16Array Uint16Array Int32Array Uint32Array Float32Array Float64Array BigInt64Array BigUint64Array

本文介绍了API业务监测的相关功能。 功能介绍 API业务监测功能帮助用户实时查看API的业务运行数据包括QPS趋势图、源站状态码响应趋势图、天翼云节点状态码响应趋势图、响应时长趋势图、QPS峰值排行、响应时长排行，同时帮助用户发现和分析业务异常。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单，并在左侧域名列表选择您要管理的域名。 3. 您可以在资产列表中选择具体一项API资产，在操作栏中点击【业务监测】跳转查看单一API粒度的业务监测数据；也可以在API资产表头右侧点击【业务监测】查看域名粒度业务监测数据。

本节主要介绍CCE发布Kubernetes 1.28版本 云容器引擎（CCE）严格遵循社区一致性认证，现已支持创建Kubernetes 1.28集群。本文介绍Kubernetes 1.28版本的变更说明。 重要说明 在Kubernetes 1.28版本，调度框架发生变化，减少无用的重试，从而提高调度程序的整体性能。 在Kubernetes 1.28 版本，Ceph FS 树内插件已在 v1.28 中弃用，并计划在 v1.31 中删除（社区没有计划进行 CSI 迁移）。 建议使用 Ceph CSI 第三方存储驱动程序作为替代方案。 在Kubernetes 1.28 版本，Ceph RBD 树内插件已在 v1.28 中弃用，并计划在 v1.31 中删除（社区没有计划进行 CSI 迁移）。建议使用 RBD 模式的 Ceph CSI 第三方存储驱动程序作为替代方案。 新增特性及特性增强 社区特性的Alpha阶段默认禁用、Beta阶段一般默认启用、GA阶段将一直默认启用，且不能禁用（会在后续版本中删除这个开关功能）。CCE对新特性的策略与社区保持一致。 版本偏差策略扩展至3个版本 从1.28控制平面/1.25 工作节点开始，Kubernetes版本偏差策略将支持的控制平面/工作节点偏差扩展到 3 个版本。 这使得节点的年度次要版本升级成为可能，同时保持受支持的次要版本。 可追溯的默认StorageClass 进阶至 GA 在Kubernetes 1.28版本，可追溯默认 StorageClass 赋值现已进阶至GA。 这项增强特性极大地改进了默认的StorageClasses为PersistentVolumeClaim (PVC) 赋值的方式。 PersistentVolume (PV) 控制器已修改为：当未设置 storageClassName 时，自动向任何未绑定的 PersistentVolumeClaim 分配一个默认的 StorageClass。此外，API 服务器中的 PersistentVolumeClaim 准入验证机制也已调整为允许将值从未设置状态更改为实际的 StorageClass 名称。 原生边车容器（Alpha） 在Kubernetes 1.28版本，原生边车容器以Alpha版本正式发布。其在 Init 容器中添加了一个新的 restartPolicy 字段， 该字段在 SidecarContainers 特性门控启用时可用。需要注意的是，原生边车容器目前仍有些问题需要解决，因此K8S社区建议仅在 Alpha 阶段的短期测试集群中使用边车功能。 混合版本代理（Alpha） 在Kubernetes 1.28版本，发布了用于改进集群安全升级的新机制（混合版本代理）。该特性为Alpha特性。 当集群进行升级时，集群中不同版本的 kubeapiserver 为不同的内置资源集（组、版本、资源）提供服务。在这种情况下资源请求如果由任一可用的 apiserver 提供服务，请求可能会到达无法解析此请求资源的 apiserver 中，导致请求失败。该特性能解决该问题。（主要注意的是，CCE本身提供的升级能力即可做到无损升级，因此不存在该特性涉及的场景）。 节点非体面关闭特性达到GA 在Kubernetes 1.28版本，节点非体面关闭特性达到GA阶段。当一个节点被关闭但没有被 Kubelet 的 Node Shutdown Manager 检测到时，StatefulSet 的 Pod 将会停留在终止状态，并且不能移动到新运行的节点上。当用户确认该节点已经处于不可恢复的情况下，可以手动为Node打上outofservice的污点，以使得该节点上的StatefulSet的Pod和VolumeAttachments被强制删除，并在健康的Node上创建相应的Pod。 NodeSwap特性达到Beta 在Kubernetes 1.28版本，NodeSwap能力进阶至Beta版本。目前仍然处于默认关闭状态，需要使用NodeSwap门控打开。该特性可以为Linux节点上运行的Kubernetes工作负载逐个节点地配置内存交换。需要注意的是，该特性虽然进阶至Beta特性，但仍然存在一些需要增强的问题和安全风险。 Job相关特性 在Kubernetes 1.28版本，增加了Pod更换策略和基于带索引Job的回退限制两个alpha特性。 Pod更换策略 默认情况下，当Pod 进入终止（Terminating）状态（例如由于抢占或驱逐机制）时，Kubernetes 会立即创建一个替换的 Pod，因此这时会有两个 Pod 同时运行。在Kubernetes 1.28版本中可以使用JobPodReplacementPolicy 来启用该特性。可以在Job的Spec中定义podReplacementPolicy，目前仅可设置为Failed。在设置为Failed之后，Pod 仅在达到 Failed 阶段时才会被替换，而不是在它们处于终止过程中（Terminating）时被替换。此外，您可以检查 Job 的 .status.termination 字段。该字段的值表示终止过程中的 Job 所关联的 Pod 数量。 带索引Job的回退限制 默认情况下，带索引的Job（Indexed Job）的 Pod 失败情况会被记录下来，受 .spec.backoffLimit 字段所设置的全局重试次数限制。这意味着，如果存在某个索引值的 Pod 一直持续失败，则会 Pod 会被重新启动，直到重试次数达到限制值。 一旦达到限制值，整个 Job 将被标记为失败，并且对应某些索引的 Pod 甚至可能从不曾被启动。在Kubernetes 1.28版本中，可以通过启用集群的 JobBackoffLimitPerIndex 特性门控来启用此特性。开启之后，允许在创建带索引的 Job（Indexed Job）时指定 .spec.backoffLimitPerIndex 字段。当某个Job的失败次数超过设定的上限时，将不再进行重试。 CEL相关特性 在Kubernetes 1.28版本，CEL能力进行了相应的增强。 CRD 使用 CEL 进行 Validate 的特性进阶至Beta 该特性在v1.25版本就已经升级为Beta版本。通过将 CEL 表达式直接集成在 CRD 中， 可以使开发者在不使用 Webhook 的情况下解决大部分对 CR 实例进行验证的用例。在未来的版本，将继续扩展 CEL 表达式的功能，以支持默认值和 CRD 转换。 基于CEL的准入控制进阶至Beta 基于通用表达式语言(CEL) 的准入控制是可定制的，对于 kubeapiserver 接受到的请求，可以使用 CEL 表达式来决定是否接受或拒绝请求，可作为 Webhook 准入控制的一种替代方案。在 v1.28 中，CEL 准入控制被升级为 Beta，同时添加了一些新功能，包括但不限于： ValidatingAdmissionPolicy 类型检查现在可以正确处理 CEL 表达式中的 “authorizer” 变量。 ValidatingAdmissionPolicy 支持对 messageExpression 字段进行类型检查。 kubecontrollermanager 组件新增 ValidatingAdmissionPolicy 控制器，用来对 ValidatingAdmissionPolicy 中的 CEL 表达式做类型检查，并将原因保存在状态字段中。 支持变量组合，可以在ValidatingAdmissionPolicy 中定义变量，然后在定义其他变量时使用它。 新增CEL 库函数支持对 Kubernetes 的 resource.Quantity 类型进行解析。 其它特性说明 在Kubernetes 1.28版本，ServiceNodePortStaticSubrange 特性为beta，允许保留静态端口范围，避免与动态分配端口冲突。 在Kubernetes 1.28版本，增加了alpha特性ConsistentListFromCache，允许kubeapiserver从缓存中提供一致性列表，Get和List请求可以从缓存中读取数据，而不需要从etcd中获取。 在Kubernetes 1.28版本，kubelet能够配置dropin目录（alpha特性）。该特性允许向kubelet添加对“configdir”标志的支持，以允许用户指定一个插入目录，该目录将覆盖位于/etc/kubernetes/kubelet.conf位置的Kubelet的配置。 在Kubernetes 1.28版本，ExpandedDNSConfig 升级至GA，默认会被打开。该参数用于允许扩展DNS的配置。 在Kubernetes 1.28版本，提供Alpha特性CRD Validation Ratcheting。该特性允许Patch或者Update请求没有更改任何不合法的字段，将允许CR验证失败。 在Kubernetes 1.28版本，kubecontrollermanager添加了concurrentcronjobsyncs flag用来设置cron job controller的workers数。

本文介绍容器安全卫士管理类常见问题。 容器安全卫士有哪些注意事项？ 安全探针仅支持三种容器运行时，包括：docker、containerd、crio。 安全探针在运行时会挂载k8s node宿主机的 /data（非crio）和 /root（crio）目录，请确保目录的权限正常。 安全探针需要跟中心通信，请确保您的k8s集群允许出网策略TCP端口：31080、30432、32345。 接入容器安全卫士对现有业务和服务器运行有影响吗？ 接入容器安全卫士不需要中断现有业务，不会影响服务器的运行状态，即不需要对其进行任何操作（例如关机或重启）。 防护探针本身需要占用宿主机一定资源，可能会对宿主机产生一定影响。不过请放心，容器安全卫士对防护探针做了资源监控和降级处置，来保障业务稳定、安全。

本文将介绍针对平台操作审计日志进行介绍。 您通过控制台或API进行相关平台操作时，会实时记录操作内容，用于后续追溯、审计。 注意事项 进行平台相关操作时，如新增域名、修改配置等，均会进行记录到操作日志以供查询，目前该服务能力仅支持【零信任服务】【安全与加速】模块的操作相关记录。 建议查询近6个月数据，若有长时间存储日志需求，可联系我们。 以下是【零信任服务】的操作相关说明，如需查询【安全与加速服务】的操作日志，请参考操作日志。 操作步骤 1. 登录边缘安全加速控制台，进入零信任工作台。 2. 在左侧导航栏，选择日志>平台操作日志，可针对需求进行查询相关日志情况。 字段说明 字段 字段说明 操作时间 用户操作的时间。 操作模块 支持记录操作日志的模块名称。 操作内容 操作内容的具体信息。 操作类型 支持查询、新增、修改、删除相关操作动作。 操作状态 成功、失败。其中成功仅意味当下操作成功下发到后端，并不代表配置实际生成成功。 操作人 操作的帐号名称。 零信任支持操作日志的模块 以下是零信任服务支持记录日志的模块： 菜单 操作模块 总览 效能分析 待办事项 权限审批 待办事项 问题反馈 日志 策略处置记录 身份 用户与组织用户 身份 用户与组织组织 身份 用户组管理 身份 同步身份源 身份 扩展认证源 身份 账户安全登录管理 身份 账户安全密码管理 身份 账户安全个人信息管理 应用 应用配置 应用 应用授权 网络 连接器管理 网络 域名解析管理 终端资产 终端列表 终端资产 设备策略用户新设备激活 终端资产 设备策略设备共享 终端资产 设备策略设备授信策略 终端资产 设备策略设备授信策略 终端资产 设备策略设备授信策略 安全 动态授权 安全 访问控制 设置 客户端设置客户端限速 设置 客户端设置超时注销登录 设置 客户端设置客户端自保护 设置 网络配置 设置 企业服务状态 设置 企业认证标识 日志 终端登录日志 日志 内网审计日志内网访问审计 日志 内网审计日志网关防护日志 日志 内网日志下载 日志 平台操作日志

本文介绍Web客户端如何接入验证码。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持验证码功能。 需先完成验证码配置。暂时未开放控制台，请通过提交工单给天翼云客服，由其人工操作开启。 代码示例 以下代码示例，单击打开验证码，激活验证码，并弹窗展示验证结果。点击携带 ticket 发请求，能够验证拦截情况 html 滑块验证接入demo .container { maxwidth: 400px; margin: 0 auto; padding: 20px; backgroundcolor: fff; borderradius: 5px; boxshadow: 0 0 10px rgba(0, 0, 0, 0.1); margintop: 100px; } h1 { textalign: center; } input[type"text"], input[type"password"] { width: 95%; padding: 10px; marginbottom: 10px; border: 1px solid ccc; borderradius: 5px; } .btclick { width: 100%; padding: 10px; marginbottom: 10px; border: none; borderradius: 5px; cursor: pointer; } .btclickcaptcha { position: relative; background:

创建发布 步骤 1 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 2 在左侧导航栏选择“发布订阅”。 步骤 3 在“发布”页签下，单击“创建发布”。 步骤 4 在创建发布页面，设置发布信息后，单击“确认”。 填写发布名称、选择发布数据库，以及发布数据。 设置发布表/字段的筛选器：单击“设置筛选器”，设置筛选条件，将按照筛选条件发布表/字段。 全量快照：选择立即创建，发布创建完成后，将会在分发服务器上立即触发一次全量快照。若不选择立即创建，则当添加新订阅时自动生成全量快照。订阅服务器必须等待快照代理完成，才能实现同步。 增量快照策略：支持按天、按周、按月自定义策略，在分发服务器生成增量快照。 步骤 5 查看已创建的发布。 添加订阅功能，请参见添加订阅服务器。 单击“查看监控”，查看“数据更改延迟后时长”和“事务数”监控数据。 选择“更多 > 修改发布”，可以重新选择发布表/字段，以及增量快照策略。 选择“更多 > 删除”，删除发布。 添加订阅服务器 步骤 3 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 12 在左侧导航栏选择“发布订阅”。 步骤 13 在“发布”页签下，在已创建的发布上，单击“添加订阅”。 步骤 14 单击“添加订阅服务器”。 步骤 15 在弹出页面，设置订阅服务器信息后，单击“确定”。 服务器来源：云数据库RDS for SQL Server。 目标数据库：勾选1个或多个RDS for SQL Server订阅实例及目标数据库，单击同步到右侧，即从当前实例同步数据到已勾选的目标数据库。 当前实例作为发布实例，发布实例与订阅实例需要在同一VPC或建立了对等连接的不同VPC，若不在同一安全组则需配置安全组规则。 订阅方式：推送订阅 同步策略：选择数据订阅的同步方式，支持按天、按周、按月自定义策略。 服务器来源：其他服务器。 填写服务器名称、IP、端口号、登录用户名及密码，以及目标数据库。 订阅方式：推送订阅 同步策略：选择数据订阅的同步方式，支持按天、按周、按月自定义策略。 步骤 16 在已创建的发布上，单击订阅数据库列的个数，查看订阅详情。 创建订阅

本文介绍边缘接入服务里的应用加速与安全与加速服务里的加速是否叠加计费。 首先，需要按照客户实际需求开通对应的服务。 情况一 当客户的域名同时有全站加速及应用加速需求，可以仅开通边缘接入的IP应用加速即可同时满足基于TCP/UDP协议、HTTP/HTTPS协议的加速需求，此时仅收取边缘接入服务的费用。 详情参见：边缘接入计费概述。 情况二 如客户的A、B域名有全站加速的需求，C、D域名有应用加速的需求，也可以A、B域名开通安全与加速服务，C、D域名开通边缘接入服务，此时分别收取安全与加速、边缘接入服务的费用。 详情参见：安全与加速计费概述。

本文介绍如何开启企业级安全会议。 使用前提 下载安装各类终端：Windows客户端、macOS客户端、iOS客户端、Android客户端。 预定会议时，进行“更多安全设置”。 注意事项 敏感会议建议启用水印功能。 高风险会议可启用“会议锁定”或者限定“入会范围”。 应用场景说明 适用于涉及敏感信息、客户隐私、公司战略的场景： 法务、财务、内控审计类会议。 战略汇报、高管决策会议。 涉密技术讨论与客户合作方案评审。 通过多层次安全控制，保障会议内容仅在授权范围内传播，避免泄密和信息风险。 操作步骤 会前，会议创建者在“预定会议”时可设置“入会密码”，并进行“更多安全设置”。 会中，主持人/联席主持人可点击“安全”>“会议管理”、“安全”>“参会者权限”进行锁定会议、限制入会范围、开启会议水印等管控操作。 会中，主持人/联席主持人可实时关注“成员管理”列表，密切关注参会成员，并对参会人员进行管控。 会后，会议创建者可通过“历史会议”>“详情”列表查看参会人进行审计。