本文向您介绍标签管理服务的身份认证与访问控制。 统一身份认证（Identity and Access Management，简称IAM）是天翼云提供权限管理、访问控制和身份认证的基础服务，您可以使用IAM创建和管理用户、用户组，通过授权来允许或拒绝他们对云服务和资源的访问，通过设置安全策略提高账号和资源的安全性，同时IAM为您提供多种安全的访问凭证。 标签管理服务支持通过IAM权限策略进行访问控制。IAM权限是作用于云资源的，定义了允许和拒绝的访问操作，以此实现云资源权限的访问控制。管理员创建IAM用户后，需要将用户加入到一个用户组中，IAM可以对这个组授予所需的权限，用户组内的用户自动继承用户组的所有权限。 详情请参见用户权限和权限管理。

专属云Kafka包括2个计费项：专属计费资源、专属存储（可选）。

本节介绍了专属云（存储独享型）的退订规则。 本产品不支持无理由退款、退订。

本节主要介绍示例场景 您可以根据用户职责规划用户组。使用安全管理员访问IAM并创建用户组，再根据职责赋予用户组对应的权限。 前提条件 请确保您已拥有天翼云帐号，若您还没有帐号，请先进行注册。 业务场景 A公司是一家负责网站开发的公司，公司中有三个职能团队。为了方便A公司统一创建、分配资源并管理用户，A公司的人员不需要每人都注册帐号，而是由公司的管理员注册一个帐号，在这个帐号下创建IAM用户并分配权限，然后将创建的IAM用户分发给公司的人员使用。 本节以A公司使用IAM创建用户及用户组为例，帮助您快速了解，企业如何使用IAM完成服务权限的配置。 A公司人员组成 负责管理公司的人员以及资源的管理团队（对应下图中的“admin”），进行权限分配，资源调配等。团队成员包括James和Alice。 负责开发公司网站的开发团队（对应下图中的“开发人员组”）。团队成员包括Charlie和Jackson。 对开发团队开发出的网站进行测试的测试团队（对应下图中的“测试人员组”）。团队成员包括Jackson和Emily。其中Jackson同时负责开发及测试，因此他需要同时加入“开发人员组”及“测试人员组”，以分别获得两个用户组的权限。 图 用户管理模型 A公司业务组成 admin组主要负责公司人员权限分配，需要使用IAM服务。 开发人员组在网站开发过程中，需要使用弹性云主机（ECS）、虚拟私有云（VPC）以及云硬盘（EVS）。 测试人员主要负责网站的监控及测试，需要使用云监控服务（CES）。

本章节介绍如何使用云原生网关实现后端访问签名 概述 后端访问签名功能支持您在后端服务中开启身份认证后，填写设定的一对Access Key和Secret Key，并根据选择的认证算法和加密算法，以及加密Headers列表，计算出相应的签名信息。当通过网关请求该服务时，会将该服务的签名信息设置在Header请求头中，从而后端服务对比网关的签名和服务器端计算的签名是否一致进行身份验证与鉴权。 前提 1. 已开通云原生网关实例 2. 已部署能够进行验证Header签名信息的后端服务 网关中实现后端访问签名 1. 部署服务，可选择容器部署、Nacos注册或固定地址。 2. 进入服务详情。 3. 后端访问签名栏点击编辑。 4. 打开 开启身份认证开关。 5. 选择认证算法（目前云原生网关只支持Hmac算法，后续将支持更多算法），填写加密关键信息。 6. 点击保存。 7. 为该服务创建路由。 8. 请求路由。 其中，Hmac认证算法的关键属性如下： 名称 描述 Access Key 唯一标识符。 Secret Key 与Access Key配对使用。 加密算法 支持hmacsha1，hmacsha256和hmacsha512三种加密算法。 加密Headers列表 要在加密计算中使用的headers 列表。指定后客户端请求只能在此范围内指定 headers，如果未指定，就会在所有客户端请求指定的 headers 加入加密计算。 URL参数编码 当设置为是时，将对签名中的URI参数进行编码，默认为是。

本文主要介绍怎样查询Windows弹性云主机磁盘分区与磁盘设备的对应关系? 以Windows 2008 R2 64bit为例，介绍查询Windows弹性云主机磁盘分区与磁盘设备对应关系的方法。 1.登录Windows弹性云主机。 2.单击桌面左下角的“开始”菜单。 3.选择“控制面板 > 管理工具 > 计算机管理”。 4.在左侧导航栏，选择“存储 > 磁盘管理”。 图 磁盘管理 5.以图为例，查询Disk 1对应的磁盘设备： a.右键单击“Disk 1”所在灰色区域，如图红框所示。 b.单击“属性”。 系统打开磁盘属性窗口，如下图所示。 图 磁盘属性 c.选择“详细信息”页签，并设置参数“属性”的值为“父系”。 图 详细信息 d.记录参数“值”中符号“&”后的几位数字，该值为磁盘分区对应的主从设备号，如“51776”。 e.根据表 ，查询对应的磁盘设备。“51776”对应的磁盘设备为“xvde”，即磁盘1使用的磁盘设备为xvde。 表 磁盘分区与磁盘设备的映射关系 磁盘分区对应的主从设备号 磁盘设备 51712 xvda 51728 xvdb 51744 xvdc 51760 xvdd 51776 xvde 51792 xvdf 51808 xvdg 51824 xvdh 51840 xvdi 51856 xvdj 51872 xvdk 51888 xvdl 51904 xvdm 51920 xvdn 51936 xvdo 51952 xvdp 268439552 xvdq 268439808 xvdr 268440064 xvds 268440320 xvdt 268440576 xvdu 268440832 xvdv 268441088 xvdw 268441344 xvdx

本文介绍了如何进行防火墙入侵防御配置。 云防火墙提供“网络攻击防护”，帮助您检测常见的网络攻击。 对业务的影响 调整防护模式时，建议您优先开启“观察模式”，等待业务运行一段时间排查误拦截后，再逐步更换至“拦截模式”。 调整IPS防护模式拦截网络攻击 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“攻击防御> 入侵防御”，进入“入侵防御”界面，保持“基础防御”右侧开关开启。 5. 选择合适的防护模式。 观察模式：仅对攻击事件进行检测并记录到“攻击事件日志”中，不做拦截。 拦截模式：在发生明确攻击类型的事件和检测到异常IP访问时，将实施自动拦截操作。 拦截模式宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。 拦截模式中等：防护粒度中等。满足大多数场景下的防护需求。 拦截模式严格：防护粒度精细，全量拦截攻击请求。 说明 建议您优先开启“观察模式”，等待业务运行一段时间后，再逐步更换至“拦截模式”，查看攻击事件日志，请参见“攻击事件日志”。 如果存在误拦截情况，可对基础防御规则库的单条防御规则进行动作修改。具体操作请参见“IPS规则管理”。

本节介绍云防火墙的计费项、计费模式、以及续费退订等信息。 云防火墙标准版支持包年/包月（预付费）计费方式。 计费项 CFW根据您的CFW服务版本、购买时长和购买的计费项目计费。 版本 计费模式 计费项目 计费说明 标准版 包年/包月 基础套餐 提供包年和包月的购买模式。 标准版 包年/包月 防护公网IP数（可选） 按购买的个数计费。 标准版 包年/包月 防护互联网边界流量峰值（可选） 按购买的流量值计费。 专业版 包年/包月 基础套餐 提供包年和包月的购买模式。 专业版 包年/包月 防护公网IP数（可选） 按购买的个数计费。 专业版 包年/包月 防护互联网边界流量峰值（可选） 按购买的流量值计费。 专业版 包年/包月 防护VPC数（可选） 按购买的个数计费 标准资费 云防火墙实例的计费模式为包月和包年，购买时长越久越便宜。 购买1年，在总价基础上享受85折优惠，购买2年享受7折优惠，购买3年享受5折优惠。对于长期用户，推荐包年购买。 版本 规格 标准资费 单位 标准版 标准版基础套餐 2800 元/月 标准版 防护公网IP数扩展 50 元/个/月 标准版 防护互联网边界流量峰值扩展 50 元/Mbps/月 专业版 专业版基础套餐 9600 元/月 专业版 防护公网IP数扩展 50 元/个/月 专业版 防护互联网边界流量峰值扩展 50 元/Mbps/月 专业版 防护VPC扩展 2000 元/个/月

本文介绍网站提示证书存在风险的相关场景及解决方案。 背景说明 网站已经在天翼云DDoS高防（边缘云版）控制台开启了HTTPS功能，并配置对应证书，但是用户使用浏览器访问该网站时提示证书存在风险。本文主要介绍可能的原因及应对方案。 可能原因及方案 场景一：域名配置的对应证书已过期 处理方式：您可以前往DDoS高防（边缘云版）控制台更换新的证书。具体操作时，可先上传新的证书，再在【域名接入】【网站配置】【请求协议】中选择新证书对应的备注名，单击【保存】即可。 场景二：配置了自签名HTTPS证书 自签名证书是由个人或企业自行签署的证书，而不是由受信任的证书机构签发的证书。此类证书容易被伪造、安全系数低、有效期不稳定，各大浏览器基本都不信任此类证书。 处理方式：通过正规证书机构购买相应证书，购买后到DDoS高防（边缘云版）控制台重新上传证书并关联对应域名。 场景三：系统时间错误 请检查浏览器系统时间是否准确。如果系统时间不在ssl证书开始截止日期之内，则可能导致浏览器提示ssl证书过期或不生效。 处理方式： 更新浏览器本地系统时间。 场景四：使用了过低的TLS版本 处理方式：天翼云默认开启了TLS 1.0/1.1/1.2/1.3，目前公认的安全性更高的协议是TLSv1.2和TLSv1.3，您可选择关闭TLS 1.0/1.1，只开启 TLSv1.2 和 TLSv1.3。

本文将向您介绍安全分析报表模块，在此模块可以查看WAF安全报表与CC安全报表的攻击数据，帮助您了解站点的安全情况。 功能介绍 可以通过安全报表，可以查询Web安全、CC安全两个维度的攻击数、攻击趋势、威胁类型分布、攻击IP TOP 10、TOP攻击URL等报表，并且支持导出报表。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 新增域名后，边缘云WAF将会自动为域名开启域名防护规则功能，一旦识别到攻击行为，将产生攻击日志，并将攻击数据统计在安全报表中 查看安全报表 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【安全分析】模块 2. 根据您的安全数据查看需求，选择WAF攻击报表或者CC攻击报表页面 Web安全报表说明 数据指标 说明 请求数 展示所选域名的请求数 攻击数 展示所选域名的攻击请求数 攻击源 展示所选域名的攻击来源个数 攻击网站数 展示所选域名中被攻击的域名个数 攻击趋势 展示所选域名的受攻击次数趋势 威胁类型分布 展示所选域名被攻击的类型的分布，包括：SQL注入、代码执行等 攻击地域来源TOP 10 展示所选域名攻击来源分布最多的10个地区 攻击IP TOP 10 展示所选域名收到攻击最多的10个IP

本页面介绍云数据库ClickHouse控制台提供的账户管理功能。 账号类型及权限描述 根据账号类型的不同，您可以为用户分配适当的权限，以确保他们在操作云数据库ClickHouse时具备所需的权限级别和能力。 账号类型 权限描述 普通账号 普通账号具备 SHOW、SELECT、INSERT、ALTER、CREATE、DROP、TRUNCATE、OPTIMIZE、KILL QUERY 和 SYSTEM 权限， 这些权限允许其执行各种操作，包括查看数据、查询数据、插入数据、修改表结构、创建表、删除表、清空表、优化表、终止查询和执行系统级操作。 管理员账号 管理员账号拥有 ALL 权限，具备最高级别的权限，可以执行所有操作，包括对数据库和表的管理、数据的操作和系统级别的操作。 创建账号 1. 登录云数据库ClickHouse控制台，并选择实例所在地域。 2. 在实例列表页面，点击目标实例ID所在行的"管理"按钮进入详细信息页面。 3. 在实例详细信息页面上方导航栏中，选择"账号管理"选项。 4. 点击右上角的"创建账号"按钮。 5. 根据页面提示，填写以下参数配置。 6. 点击"确定"按钮完成账号创建。 7. 创建成功后，您可以在账号管理页面查看已创建的数据库账号，并进行进一步的管理和操作。 参数 描述 名称 需要创建的数据库账号的账号名。 只能以字母开头不能包含除以外的特殊字符。 密码 数据库账号的密码。 密码长度为8到32个字符。 密码必须包含大写字母、小写字母、数字和特殊字符中的至少三种类型。 特殊字符包括以下符号：!@

本节主要介绍CCM私有证书配置。 操作场景 GeminiDB Influx支持使用云证书管理服务（CCM）创建的证书进行数据库实例连接，既支持创建实例的时候选择证书，也支持实例创建成功后重置证书。 本章节主要介绍如下两种方式将CCM私有证书应用到数据库实例中： a.创建实例时选择证书功能。 b.实例创建成功后使用重置证书功能。 使用须知 实例状态为“正常”。 前提条件 已创建CCM私有证书。若未创建CCM私有证书，请参见《云证书管理服务用户指南》中“申请私有证书”章节先创建证书。 注意 创建证书时需要将待连接的数据库IP信息添加到证书中，即“配置证书的AltName信息”。若不配置该信息，则会导致数据库连接失败。 若您在创建实例时选择证书功能，此处“证书的AltName信息”只能添加弹性公网IP，因为此时待连接的数据库实例尚未创建成功，无对应的内网IP地址生成，故无法将内网IP地址添加到证书的AltName信息处。 若您是在创建实例成功后，使用重置证书的功能来切换证书信息，此处“证书的AltName信息”可以添加数据库实例所有节点的内网IP地址或者弹性公网IP地址。 图 创建CCM私有证书 场景一：创建实例时配置私有证书 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在“实例管理”页面，单击“购买数据库实例”，进入“服务选型”页面。 4. 在“服务选型”页面，填写并选择实例相关信息后，单击“立即购买”。 SSL安全连接选择“启用”，证书信息选择已创建好的CCM私有证书。若无可用证书，请先参见上文前提条件中的方法创建证书。 图 选择证书 其余参数配置请参见3.2.1 购买集群实例章节进行设置即可。 5. 待实例创建成功后，单击实例名称，进入“基本信息”页面，在“数据库信息”区域的“证书”处，可以查看到证书状态为“正常”。 图 查看证书状态 6. 下载证书。 单击“证书”处的“下载”按钮，跳转至“云证书管理服务”页面，选择“Nginx”页签，单击“下载证书”。 图 下载证书

点此预览：《云搜索服务等级协议》

本文介绍如何在AI网关中停用和删除消费者。如需删除消费者请先停用消费者。 停用消费者 操作步骤 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择 "AI网关消费者"。 3. 在消费者列表页操作栏中点击 "停用"，在弹出提示框中点击 "确认"。 4. 或进入目标消费者详情页，在基本信息栏的状态 点击 "停用"，在弹出提示框中点击 "确认"。 删除消费者 注意 删除消费者前请先停用消费者。 操作步骤 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择 "AI网关消费者"。 3. 在消费者列表页面，单击目标消费者的操作列下的"删除"，然后在确认删除对话框中输入当前的消费者名称，然后单击"删除"。

本文为您介绍IAM的产品功能。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号或者云服务管理资源等。 精细的权限管理 使用IAM，您可以将帐号内不同的资源按需分配给创建的IAM用户，实现精细的权限管理。 安全访问 您可以使用IAM为用户或者应用程序生成身份凭证，不必与其他人员共享您的帐号密码，系统会通过身份凭证中携带的权限信息允许用户安全地访问您帐号中的资源。 通过用户组批量管理用户权限 您不需要为每个用户进行单独的授权，只需规划用户组，并将对应权限授予用户组，然后将用户添加至用户组中，用户就继承了用户组的权限。如果用户权限变更，只需在用户组中移除用户或将用户添加进其他用户组，就可以实现快捷的用户授权。 委托其他帐号或者云服务管理资源 通过委托信任功能，您可以将自己的操作权限委托给其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限代替您进行日常工作。

本章节介绍微服务治理相关的入门概述 要使用微服务治理中心，用户可以参考“ECS微服务应用接入MSE治理中心”或“云容器引擎应用接入微服务治理中心”，在云主机或云容器引擎中安装微服务治理组件，即可将部署的SpringCloud应用或Dubbo应用接入微服务治理中心，然后使用微服务治理中心的治理功能。 微服务治理中心支持Springcloud、Dubbo框架的微服务应用。功能列表如下所示： 模块 SpringCloud&Dubbo 服务查询 支持查看服务列表和服务契约。 接口详情 支持查看接口列表和接口监控数据。 节点详情 支持查看节点列表和节点监控数据。 流量治理 支持无损上下线、标签路由、离群摘除、服务鉴权等治理规则。 流量防护 支持流量控制、熔断降级、自适应控制、Web防护等防护能力。 开发测试治理 支持服务测试、自动化回归、服务Mock等测试能力。 数据库治理 支持Sql监控、数据库灰度、数据库读写路由、连接池治理等数据库治理能力。 全链路灰度 支持按泳道对应用分组，并按泳道对流量进行路由。 微服务应用接入微服务治理中心后，即可支持服务查询、接口详情、节点详情，其他治理能力需要在控制台创建规则，启用规则后才会生效。

本节介绍天翼云手机在数据存储方面的常见问题。 数据信息是否可以长期保持？ 已购的天翼云手机会保留数据。切换天翼云手机的使用平台，或重装APP均不影响，用户的文档和相关设置等数据信息在付费情况下是可以长期保持。如果退订天翼云手机或者欠费拆机，数据将不再保留且无法恢复。 云手机内的个人信息和数据安全吗？ 云手机内个人信息和数据存在云端，不落地，传输经过多重加密，有效防止被恶意泄露或窃取，提供云上安全防护保障。

参 数 说明 取值样例 域名 内网域名，可以自定义，支持创建顶级域，但需符合域名命名规范：由多个以点分隔的字符串组成,可包含字母、数字中划线，中划线不能在开头或末尾，单个字符串不超过63个字符，域名总长度不超过254个字符。 example.com VPC 内网域名关联的VPC，只有此VPC中的云主机才能解析创建的内网域名。 选择一个VPC。如果选框为空，请前往 描述 可选参数，域名描述。

本文介绍爬虫陷阱功能的相关配置。 功能介绍 即在页面里面嵌入不可见链接，正常浏览器不可见；当访问到达设定的拦截深度时，认为是爬虫行为并支持设置防护策略。 注意 目前控制台尚未开放爬虫陷阱功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见Bot管理计费。 配置介绍 支持最多配置5个条件，多个条件为或关系。 配置项 说明 防护开关 支持拦截、告警、关闭 处理动作持续时间 即触发规则后的惩罚时间 统计粒度 IP/IP+UA/静态cookie 防护范围 支持配置您要防护的请求范围，支持匹配字段为PATH、REQUESTURI、URI 相关操作 设置Bot策略白名单 设置爬虫情报规则 设置IP情报规则

支持针对已维护的IDC IP情报库，从IDC出口厂商的维度进行IP封禁。 功能介绍 支持针对已维护的IDC IP情报库，从IDC出口厂商的维度进行IP封禁。 注意 目前控制台尚未开放IDC IP防护功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明。 设置IDC IP防护规则 支持通过IDC出口厂商维度针对IDC IP进行监控或拦截的操作，支持配置多条防护规则 配置项 说明 IDC厂商 厂商类型 IDC网络描述 描述IDC IP的来源相关信息 处理动作 支持配置拦截或监控 拦截：对IP访问请求进行拦截处理 监控：不对请求拦截，但是会生成攻击日志 相关操作 设置爬虫情报规则 设置Bot防护策略

本文汇总了使用弹性IP产品时常见的弹性IP申请、分配和找回类问题。 为什么控制台找不到也不显示已购买的弹性IP？ 为什么无法访问弹性IP？ 为什么购买弹性IP时提示”资源池IP配额不足“？ 新申请的弹性IP的分配策略是什么？ 弹性IP支持指定地址或找回曾经使用的地址吗？ 为什么控制台找不到也不显示已购买的弹性IP？ 弹性IP的创建需要一定的时间，您可以先查看购买的资源池和控制台弹性IP列表，从订单页面找到购买记录，查看购买可用区。 若一段时间后还未显示相应弹性IP，可查看订单记录，确认该订单是否已完成，若存在资源池弹性IP资源不足等原因，订单将会失败。 为什么无法访问弹性IP？ 如果您无法访问弹性IP，可能是因为弹性IP没有绑定到云资源或弹性IP已欠费。 如果弹性IP加入了共享带宽，请您查看共享带宽是否已欠费。 如果您的资源费用情况为正常，且弹性IP绑定了云主机仍无法访问，此时需要检查云主机是否配置了安全策略，您可查看主机的安全组和ACL策略，是否将该公网IP地址拒绝访问。

基于VirtualBox使用ISO制作镜像的操作流程 本文指导用户基于VirtualBox使用ISO文件制作镜像，操作流程如下图所示： 图 操作流程 1、安装VirtualBox：用户首先需要准备一台宿主机，建议使用Windows 64位操作系统，然后在该宿主机上安装VirtualBox。安装前的准备工作及详细的安装流程参见安装VirtualBox。 2、创建虚拟机：在VirtualBox上创建一台空虚拟机，作为镜像的原始框架。具体操作参见创建空虚拟机。 3、安装操作系统：通过挂载ISO文件的方式为空虚拟机安装操作系统，您希望最终的镜像是什么系统，就要在这一步准备什么系统的ISO文件。具体操作参见安装Linux操作系统。 4、安装软件和插件：为保证最终制作的镜像可以成功发放弹性云主机，并且弹性云主机运行正常，那么在制作时必须在虚拟机中安装所依赖的软件和插件，包括原生的XEN和KVM驱动、CloudInit、一键式重置密码插件等。具体操作参见配置虚拟机。 5、获取镜像文件：在VirtualBox上导出vhd格式的镜像文件，具体操作参见导出镜像文件。 6、注册私有镜像：将导出的vhd镜像文件上传至OBS桶，并注册为私有镜像。这样，您在创建弹性云主机时，就可以使用该私有镜像了。具体操作参见上传镜像文件并注册镜像。

本小节介绍安全专区计费类常见问题。 本产品下订单后是否支持退订？ 不支持退订。因产品交付后，授权文件下发不可回收。如无法自行评估所需产品数量，下单前请咨询客服，我们会安排售前工程师跟进。 为满足客户云下一代防火墙高可用性需求，双机怎么计费？ 在原套餐单台防火墙的基础上增加一台热备防火墙，资费按照两台防火墙计算（价格包括虚机资源和防火墙授权）。 安全专区价格折扣是怎样的？ 安全专区2023年提供全年6折促销，可在购买页面根据自身需求选购，购买页面自动计算价格为6折折扣，详情可参考计费说明。 安全专区收费标准？ 可在官网安全安全专区资费详情中查看。安全专区分为二级入门版、二级基础版、三级高级版、三级旗舰版及自定义套餐。可根据等保需求选择相应套餐，均可满足等保安全防护要求。具体价格请参考计费说明，或联系客服会有专业售前工程师为您解答。 我已经购买了安全专区产品，是否意味着已开启安全防护？ 不是。购买成功后还需要一系列的配置才能开启安全防护，例如云防火墙安全策略配置、添加云堡垒机资产、日志审计采集器配置、终端安全EDR安装等操作。

本文为您介绍基于DNS的服务发现。 本文主要介绍Kubernetes集群中DNS域名解析原理和在Serverless集群中安装DNS服务器CoreDNS。 背景信息 DNS为Kubernetes集群内的工作负载提供域名解析服务。CoreDNS是Kubernetes集群中负责DNS解析的组件，能够支持解析集群内部自定义服务域名和集群外部域名。CoreDNS具备丰富的插件集，在集群层面支持自建DNS、自定义hosts、CNAME、rewrite等需求。与Kubernetes一样，CoreDNS项目由 CNCF托管，关于CoreDNS的更多信息，可浏览CoreDNS的官网。Serverless集群使用CoreDNS负责集群的服务发现，您可以根据不同使用场景配置CoreDNS及使用CoreDNS提升集群DNS QPS性能。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 步骤一：安装CoreDNS插件 1. 登录容器服务控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏选择“插件”下的“插件市场”，安装CoreDNS插件。 3. 提交“安装插件”，稍后会在集群中创建2个coredns pod，集群会根据Pod内的配置，将域名请求发往集群DNS服务器获取结果。 4. 查看coredns是否正常运行。 步骤二：创建Nginx工作负载，以及service 1. 创建无状态工作负载，参考如下： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "nginxdeploy" namespace: "default" spec: replicas: 2 selector: matchLabels: name: "nginxdeploy" template: metadata: labels: name: "nginxdeploy" source:"CCSE" spec: containers: image: "registryvpccrshuadong1.ctyun.cn/opensource/nginx:1.25alpineamd64" imagePullPolicy: "IfNotPresent" name: "nginx" 2. 查看nginx pod是否正常运行，从eci控制台进入pod容器内部。 kubectl get po ndefault grep nginx 查看Pod内的DNS域名解析配置文件为/etc/resolv.conf，文件内容如下： nameserver 10.96.0.10 search kubesystem.svc.cluster.local svc.cluster.local cluster.local options ndots:5 3. 创建service，参考如下： apiVersion: v1 kind: Service metadata: name: nginxdeploy namespace: default spec: ports: name: tcp80 port: 30002 protocol: TCP targetPort: 80 selector: name: nginxdeploy type: ClusterIP

本章介绍函数工作流如何创建HTTP函数。 概述 HTTP函数专注于优化 Web 服务场景，用户可以直接发送 HTTP 请求到 URL 触发函数执行，从而使用自己的Web服务。 说明 HTTP函数当前不区分编程语言，函数执行入口必须在bootstrap文件中设置，用户直接写启动命令，端口统一开放成8000，绑定IP为127.0.0.1。 bootstrap文件是HTTP函数的启动文件，HTTP函数仅支持读取bootstrap 作为启动文件名称，其它名称将无法正常启动服务。 HTTP函数支持多种开发语言。 用户函数需要返回一个合法的http响应报文。 该章节均以java 为样例，若需要使用其他语言，则更换语言路径即可，代码包路径无需更换。 前提条件 1. 准备一个java的jar包。 2. 准备一个bootstrap启动文件，作为HTTP函数的启动文件。 示例： bootstrap文件内容如下 /opt/function/runtime/java8/rtsp/jre/bin/java jar Dfile.encodingutf8 /opt/function/code/gsondemo0.0.1SNAPSHOT.jar /opt/function/runtime/java8/rtsp/jre/bin/java：表示java所在路径。 Dfile.encodingutf8：JVM参数，添加此参数，可以避免中文乱码。 /opt/function/code：表示函数代码包所在路径 gsondemo0.0.1SNAPSHOT.jar：示例jar包，提供的服务路径为“/user/get”。 若需要使用其他语言，则参见下表更换语言路径，代码包路径无需更换。 多语言路径说明 语言 路径 Java8 /opt/function/runtime/java8/rtsp/jre/bin/java Java11 /opt/function/runtime/java11/rtsp/jre/bin/java Node.js6 /opt/function/runtime/nodejs6.10/rtsp/nodejs/bin/node Node.js8 /opt/function/runtime/nodejs8.10/rtsp/nodejs/bin/node Node.js10 /opt/function/runtime/nodejs10.16/rtsp/nodejs/bin/node Node.js12 /opt/function/runtime/nodejs12.13/rtsp/nodejs/bin/node Node.js14 /opt/function/runtime/nodejs14.18/rtsp/nodejs/bin/node Python2.7 /opt/function/runtime/python2.7/rtsp/python/bin/python Python3.6 /opt/function/runtime/python3.6/rtsp/python/bin/python3 Python3.9 /opt/function/runtime/python3.9/rtsp/python/bin/python3

介绍云电竞服务的关键用量，如需查询计费信息，请前往天翼云官网个人中心查询。 数据概览 访问云电竞租户控制台，首页即为【数据概览】页面，展示用于计费的关键数据，并对实时的服务用量做概览展示，指标包括： 使用中实例 包括包周期实例及按需服务实例，包周期实例付费后不再产生新的资费，按需实例根据实际用量计费，每五分钟更新一次计费话单。 剩余可用实例 您的包周期订单剩余可用实例，分子为可用数量，分母为总数量。 按需使用中实例 按需服务正在使用中的实例数量。 今日按需服务已使用时长 当天按需服务总使用时长。

混合云一体机推理基础版用户协议

本章节介绍如何配置追踪器。 操作场景 云审计服务管理控制台支持对已创建的数据类追踪器增加OBS转储、LTS转储等相关配置。 用户可以选择是否将已记录的事件发送到OBS桶永久保存。 配置追踪器完成后，系统立即以新的规则开始记录操作。 本节介绍如何配置数据类事件追踪器。 前提条件 已开通云审计服务，且已创建一个数据类事件追踪器。 配置数据类事件追踪器 1. 登录管理控制台。 2. 在管理控制台右上角单击图标，选择区域和项目。 3. 单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务详情页面。 4. 单击左侧导航树的“追踪器”，进入追踪器信息页面。 5. 在数据类追踪器信息右侧，单击操作下的“配置”。 6. 在选择追踪对象页面，设置相关参数，参数详情见表 选择转储事件参数表，单击“下一步”。 7. 在配置转储页面可以修改该追踪器的转储信息。用户通过云审计控制台只能查询最近7天的操作记录，如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或配置转储到云日志服务（LTS）。具体参数说明参见表 配置转储到OBS参数列表和表 配置转储到LTS参数列表。 8. 单击“下一步 > 配置”，完成配置数据类事件追踪器。 追踪器配置成功后，您可以在追踪器信息页面查看配置的追踪器的详细信息。 说明 因为CTS所存储的事件是周期性转储到OBS桶的，因此当您配置了追踪器所对应的OBS桶后，当前转储周期内（通常为数分钟）已收到事件会转储到配置后的OBS桶中。例如当前转储周期为12:00~12:05，用户在12:02分修改了当前追踪器对应的OBS桶，那么12:00~12:02分之间收到的事件会在12:05分时转储到新配置的OBS桶中。 9. （可选）在追踪器页面，单击标签列下的，可以为该追踪器添加标签。 标签以键值对的形式表示，用于标识追踪器，便于对追踪器进行分类和搜索。此处的标签仅用于追踪器的过滤和管理。一个追踪器最多添加20个标签。 如果您的组织已经设定云审计服务的相关标签策略，则需按照标签策略规则为追踪器添加标签。详情参考表 标签说明。 表 选择转储事件参数表 参数名称 参数说明 数据事件来源 数据事件的存储容器，默认为OBS桶。 OBS桶名称 默认为您创建数据类追踪器时设置的OBS桶名称，不可以修改。 事件操作类型 数据操作类型分为“读操作”和“写操作”，读操作指的是从OBS桶中获取或下载对象数据，写操作指的是向OBS桶中上传或写入对象数据。 勾选“读操作”后，CTS只会记录读操作类型的数据事件。 勾选“写操作”后，CTS只会记录写操作类型的数据事件。 您可以在OBS服务的页面的“表2 云审计服务支持的OBS数据事件操作列表”中，查看当前支持云审计的全部OBS操作数据事件，以及查看具体有哪些读操作类型事件和写操作类型事件。 表 配置转储到OBS参数列表 参数名称 参数说明 转储到OBS 当“转储到OBS”开关打开时，您可以选择已存在的OBS桶，并配置事件文件前缀。 如果“转储到OBS”开关关闭时，则无需配置相应参数。 选择OBS 选择已有OBS桶：选择当前区域已创建的OBS桶。 OBS桶名称 当“选择OBS”选择“新建OBS桶”时，直接新建OBS桶名称。OBS桶名称不能为空，仅支持小写字母、数字、“”和“.”，且长度范围为363个字符。禁止两个“.”相邻（如“my..bucket”），禁止“.”和“”相邻（如“my.bucket”和“my.bucket”），禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时，可以选择已存在的OBS桶。 保存周期 转储至OBS桶中日志的保存周期。该配置会修改被选择桶的桶策略，影响范围为桶内的所有文件。不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求，建议设置保存周期不低于180天。 数据类事件追踪器：保存周期支持设置为30天、60天、90天、180天、三年和沿用OBS配置。 事件文件名前缀 用于标识被转储的事件文件，该字段支持用户自定义，会自动添加在转储事件文件的文件名前端，方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线（）、中划线（）和小数点（.）组成，且长度范围为064个字符。 表 配置转储到LTS参数列表 参数名称 参数说明 转储到LTS 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。 日志组名称 当“转储到LTS”开关打开时，日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时，则无需配置该参数。 表 标签说明 参数 说明 举例 标签键 输入标签的键，同一个追踪器标签的键不能重复。键可以自定义，也可以选择预先在标签服务（TMS）创建好的标签的键。 键命名规则如下： 长度范围为1到128个字符。 可以包含任意语种字母、数字、空格和.:+@，但首尾不能含有空格，不能以sys开头。 Key0001 标签值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 长度范围为0到255个字符。 可以包含任意语种字母、数字、空格和.:/+@。 Value0001

本节介绍如何进入Web应用防火墙v2.0版本控制台，及如何使用Web应用防火墙v2.0。 Web应用防火墙v2.0 版本由Web应用防火墙（原生版）提供服务。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“Web应用防火墙 > Web应用防火墙v2.0”，跳转到Web应用防火墙（原生版）控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”，进入Web应用防火墙（原生版）控制台。 使用Web应用防火墙v2.0 请参见Web应用防火墙（原生版）。

操作场景 云容器引擎（CCE）与云监控服务无缝集成，可以实时查看每个集群工作节点的资源使用情况，您可以使用该服务监控您的节点，执行自动实时监控、告警和通知操作，帮助您更好地了解节点的各项性能指标。 云监控服务可以对节点运行状态进行日常监控。您可以通过CCE控制台或云监控服务控制台，直观地查看节点的各项监控指标。 由于监控数据的获取与传输会花费一定时间，因此，云监控显示的是当前时间5～10分钟前的节点状态。如果您的节点刚刚创建完成，请等待5～10分钟后查看监控数据。 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点管理”。 步骤 2 在列表右上角选择所需的集群，在该集群下选择所需的节点。 步骤 3 单击节点名称后的“监控”，在云监控服务中可查看监控信息。 步骤 4 在弹出节点监控窗口中，可查看该节点的基本监控信息，包括CPU使用率、内存使用率、磁盘使用率、CPU/内存/磁盘使用记录、上行速率、下行速率、网络监控等指标。 监控指标 指标含义 CPU使用率 该指标为从物理机层面采集的CPU使用率，数据准确性低于从弹性云主机内部采集的数据。 内存使用率 该指标用于统计节点的内存使用率。 磁盘使用率 节点的磁盘使用率，统计对象是使用率最大的磁盘，而非所有磁盘的平均使用率； 节点的磁盘剩余容量，统计对象是剩余容量最大的磁盘，而非所有磁盘的剩余容量之和。 CPU/内存/磁盘使用记录 可查看一小时内的CPU使用率、内存使用率和磁盘使用率的曲线。 下行速率 一般指从网络下载数据到节点的速度，单位KB/S。 上行速率 一般指从节点上传网络的速度，单位KB/S。 网络监控 可查看一小时内的下行速率、上行速率的曲线。

本页为您介绍WPS云文档天翼云版的使用限制 本产品为商用产品。

本节主要介绍OBS权限相关问题。 如何对OBS进行访问权限控制？ 您可以使用以下几种机制来控制对OBS的访问权限。 IAM策略 IAM策略是作用于云资源的，IAM策略定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。 推荐使用IAM策略的场景：对同一帐号内的子用户授权。 IAM策略的实现机制如下： a. 创建用户组，为用户组设定IAM权限集。 b. 创建IAM用户，用户加入用户组以获取相关的权限。 桶策略 桶策略是作用于所配置的OBS桶及桶内对象的。OBS桶拥有者通过桶策略可为IAM用户或其他帐号授权桶及桶内对象的操作权限。 访问控制列表(ACL) ACL是基于帐号级别的读写权限控制，权限控制细粒度不如桶策略和IAM策略。一般情况下，建议使用IAM策略和桶策略进行访问控制。 IAM策略和桶策略访问控制有什么区别？ IAM策略是作用于云资源的，IAM的OBS策略是作用于OBS的所有桶和对象的。 桶策略是作用于配置桶策略的单个桶的。 桶策略和对象策略之间有什么关系？ 对象策略即为桶策略中针对对象的策略，区别是对象策略只针对一个对象，桶策略中针对对象的策略可以配置多个对象或桶中所有对象。