本文介绍如何创建IAM子用户并授予特定权限策略,从而控制对VPN连接资源的访问。 操作步骤 1、创建用户组和IAM用户 1、创建用户组并给用户组授权，具体配置说明详见：创建用户组和授权。 2、创建IAM用户，并使用新创建的用户登录天翼云，具体配置说明详见：创建IAM用户和登录。 2、创建自定义策略 天翼云提供了访问VPN连接资源的系统策略。如果系统策略不能满足需求，您还可以创建自定义策略，具体配置说明详见：创建自定义策略。 目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。

添加服务到网关 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择 "实例" ，并在顶部菜单栏选择地域。 3. 选择目标实例后，在左侧导航栏，选择 "服务" > "服务来源"。 4. 点击 "创建来源"，来源类型选择 "容器服务"，选择对应的容器集群，然后单击 "确定"。 5. 进入 "服务管理" > "创建服务"，选择服务所在的命名空间。 6. 选择刚部署的reviewsv1和reviewsv2服务，添加为网关服务，然后单击 "确定"。 创建路由 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择 "API" ，并在顶部菜单栏选择地域。 3. 单击 "创建API"，类型选择"HTTP API"即可。 4. 进入"API详情页" > "创建路由"，填写相应配置，所属实例&后端服务选择上述步骤所配置的服务。 蓝绿部署 蓝绿部署需要按照服务当前版本所占用的资源状况为服务新版本申请同样的资源规格，部署完毕之后将流量整体切换到服务新版本。 创建一条路由规则，先将版本v1和v2比例设置为50%、通过蓝绿发布将流量从v1整体切换至v2，仅需要修改之前创建的路由规则中的目标服务，将v2比例设置为100%，则可以做到请求全部到v2中。 A/B测试 A/B测试是基于用户请求的元信息将流量路由到新版本，也就是可以根据请求内容来动态路由。在本示例中，希望EndUser头部为jason时访问reviewsv2版本。 创建两条路由规则： 匹配Path为/version的请求访问服务版本v1。 匹配Path为/version，且EndUser头部为jason的请求访问服务版本v2。

本章节会为您指导如何配置堡垒机相关通知的发送功能。 云堡垒机支持发送以下通知内容至您设置的接收邮箱或者站内信： CPU、内存、磁盘资源使用率超过80% 账号密码剩余3天过期 用户恶意登录情况告警 访问人员执行敏感命令(字符、数据库) 达到风险等级设置发送告警。 说明 邮件通知需校验，如果没有配置邮件服务器，“邮件通知“选项为禁用状态。 对于系统状态的告警，触发后，下一次提醒间隔时长为24小时。 敏感命令告警，可展开自定义选择风险等级，默认为勾选：警告、危险、致命。 设置邮件服务器 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“系统管理 > 通知和告警”，进入“通知和告警”页面。 3. 在右侧邮件服务器模块，单击“编辑”按钮配置邮件服务器。 参数 参数说明 服务地址 填写您的邮件服务器地址。 服务端口 填写您的邮件服务器端口 安全通信 选择是否开启安全通信。安全通信支持TLS/SSL协议。 发送人账号 填写发送邮件的邮箱账号。 发送人密码 填写发送邮件的邮箱密码。 4. 单击“保存”完成邮件服务器配置。 5. 完成邮件服务配置后，单击“测试邮件服务”，在弹窗中填写发送测试邮件的邮件地址，单击“发送测试邮件”即可测试邮件是否可以正常发送。 邮件发送成功后在测试邮箱中会收到一封测试邮件，邮件服务配置正确。 若提示邮件发送失败，请检测配置的邮件服务信息，更正后再次测试。

本文介绍如何通过指定CPU和内存创建ECI Pod。 您可以通过指定vCPU和内存来创建ECI Pod，系统会尝试使用多种云主机规格来支撑您的实例，以提供比单一云主机规格更好的弹性和资源供应能力。本文将分别介绍如何指定ECI实例的容器规格和ECI Pod的规格。 规格说明 在创建ECI Pod时，如果指定的vCPU和内存大小不符合ECI支持的规格要求，系统将会进行自动规整。在规整时，系统会将申请的实例规格向最接近的可支持的规格进行调整，同时需要确保所需的资源量不超过ECI的规格限制，以获得最佳的性能和资源利用率。例如：在创建ECI实例时声明了7 vCPU，13 GiB内存，则实际创建的ECI实例为8 vCPU，16 GiB内存。 注意 如果没有指定 vCPU 和内存规格，系统将默认使用 2 vCPU 和 4 GiB 内存的规格来创建 ECI Pod。 使用示例 在创建ECI Pod时，通过定义容器中的limits，可以指定Pod内容器的vCPU和内存。 注意 在Serverless集群中，requests会被忽略。 您可以通过直接定义容器的limits来指定该容器的 vCPU 和内存。具体的配置示例如下： apiVersion: apps/v1 kind: Deployment metadata: name: nginxtest namespace: default labels: app: nginxtest spec: replicas: 2 selector: matchLabels: app: nginxtest template: metadata: labels: app: nginxtest spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 resources: limits: cpu: "1" memory: "2Gi"

本页面介绍了云数据库ClickHouse的表引擎。 表引擎 表引擎（即表的类型）决定了： 数据的存储方式和位置，写到哪里以及从哪里读取数据。 支持哪些查询以及如何支持。 并发数据访问。 索引的使用（如果存在）。 是否可以执行多线程请求。 数据复制参数。 引擎类型 MergeTree MergeTree是云数据库ClickHouse的主要存储引擎,按主键排序存储数据，支持索引、分区和复制，提供高速写入和实时分析查询。 该类型的引擎： MergeTree ReplacingMergeTree SummingMergeTree AggregatingMergeTree CollapsingMergeTree VersionedCollapsingMergeTree GraphiteMergeTree 日志 轻量级的小数据量存储，按插入顺序存储数据，无序，超高速写入，但没有索引。 该类型的引擎： TinyLog StripeLog Log 集成引擎 用于与其他的数据存储与处理系统集成的引擎。 该类型的引擎： Kafka MySQL ODBC JDBC HDFS 用于其他特定功能的引擎 该类型的引擎： Distributed MaterializedView Dictionary Merge File Null Set Join URL View Memory Buffer 虚拟列 虚拟列是表引擎组成的一部分，它在对应的表引擎的源代码中定义。 您不能在 CREATE TABLE 中指定虚拟列，并且虚拟列不会包含在 SHOW CREATE TABLE 和 DESCRIBE TABLE 的查询结果中。虚拟列是只读的，所以您不能向虚拟列中写入数据。 如果想要查询虚拟列中的数据，您必须在SELECT查询中包含虚拟列的名字。SELECT 不会返回虚拟列的内容。 若您创建的表中有一列与虚拟列的名字相同，那么虚拟列将不能再被访问。我们不建议您这样做。为了避免这种列名的冲突，虚拟列的名字一般都以下划线开头。 合并树引擎示例

本章节会为您指导如何配置堡垒机相关通知的发送功能。 云堡垒机支持发送以下通知内容至您设置的接收邮箱或者站内信： CPU、内存、磁盘资源使用率超过80% 账号密码剩余3天过期 用户恶意登录情况告警 访问人员执行敏感命令(字符、数据库) 达到风险等级设置发送告警。 说明 邮件通知需校验，如果没有配置邮件服务器，“邮件通知“选项为禁用状态。 对于系统状态的告警，触发后，下一次提醒间隔时长为24小时。 敏感命令告警，可展开自定义选择风险等级，默认为勾选：警告、危险、致命。 设置邮件服务器 1.使用“管理角色”账号登录云堡垒机。 2.在左侧导航栏选择“系统管理 > 告警和通知”，进入“告警和通知”页面。 3.在左侧邮件服务器模块，单击“编辑”按钮配置邮件服务器。 参数 参数说明 服务器地址 填写您的邮件服务器地址。 服务端口 填写您的邮件服务器端口 安全通信 选择是否开启安全通信。 安全通信支持TLS/SSL协议。 发送人账号 填写发送邮件的邮箱账号。 发送人密码 填写发送邮件的邮箱密码。 4.单击“保存”完成邮件服务器配置。 后续操作 完成邮件服务配置后，单击“测试邮件服务”，在弹窗中填写发送测试邮件的邮件地址，单击“发送测试邮件”即可测试邮件是否可以正常发送。 邮件发送成功后在测试邮箱中会收到一封测试邮件，邮件服务配置正确； 若提示邮件发送失败，请检测配置的邮件服务信息，更正后再次测试。

云工作流支持创建标准和快速两种模式的工作流。 本文主要介绍快速工作流和标准工作流的特点和差异， 用户可根据这些内容的介绍针对业务流程选择不同模式的工作流。 基本概念 标准（Standard）工作流具备执行步骤状态的持久化存储，支持运行长时间的工作流执行状态流转，适用于传统意义上的离线业务流程编排执行场景 快速（Express）工作流适用于流程结构简单、需要低延迟执行的工作流场景， 适用于常见的在线业务流程编排和准实时业务流程编排场景，例如微服务API编排、流式数据处理等低延迟和大负载业务场景。 工作流模式对比 执行指标 标准工作流 快速工作流 最长执行时长 365天 5分钟 执行语义 异步执行，遵循至少执行一次（At least once）语义，支持持久化，但是在特殊条件下可能会导致数据被重复处理。 同步执行 执行历史 可通过API查询指定工作流执行历史、工作流执行详情。 可通过API查询指定工作流执行历史、工作流执行详情。 服务集成 云服务集成调用模式支持如下三种集成模式。更多信息，请参见服务集成模式。 请求响应模式（RequestComplete） 等待系统回调（WaitForSystemCallback） 等待任务令牌（WaitForTaskToken） 仅支持请求响应模式（RequestComplete）

section175000605919 " ")。 当密钥为kubernetes.io/dockerconfigjson类型时，输入私有镜像仓库的帐号和密码。 当密钥为IngressTLS类型时，上传证书文件和私钥文件。 说明 1、证书是自签名或CA签名过的凭据，用来进行身份认证。 2、证书请求是对签名的请求，需要使用私钥进行签名。 密钥标签 标签以Key/value键值对的形式附加到各种对象上（如工作负载、节点、服务等）。 标签定义了这些对象的可识别属性，用来对它们进行管理和选择。 1. 单击“添加标签” 。 2. 输入键、值。 步骤 4 方式二：基于YAML文件创建密钥。 说明： 若需要通过上传文件的方式创建资源，请确保资源描述文件已创建。CCE支持json或yaml格式，详细请参见Secret资源文件配置说明.docx section187197531454 " ")。 您可以导入或直接编写文件内容，格式为YAML或JSON。 方式一：导入编排文件。 单击“添加文件”，导入格式为YAML或JSON的文件。编排内容中可直接展示编排内容。 方式二：直接编排内容。 在编排内容区域框中，输入YAML或JSON文件内容。 步骤 5 配置完成后，单击“创建”。 密钥列表中会出现新创建的密钥。 Secret资源文件配置说明 本章节主要介绍Secret类型的资源描述文件的配置示例。 例如现在有一个工作负载需要获取帐号密码，可以通过Secret来实现： yaml文件格式 定义的Secret文件secret.yaml内容如下。其中Value需要用Base64，Base64编码方法请参见如何进行Base64编码.docx

天翼云AOne iOS版本 第三方信息共享清单及SDK目录 名称 使用场景 使用目的 信息名称 信息类型 共享方式 开发者/公司 第三方隐私和信息处理规则/开发者协议链接 企业微信登录SDK 关联账号登录 企业微信账号授权登录 无 无 无 深圳市腾讯计算机系统有限公司 腾讯企业微信SDK隐私和信息处理规则 飞书登录SDK 关联账号登录 飞书账户授权登录 设备信息与日志信息：操作系统版本号、服务日志 个人常用设备信息 SDK本机采集 北京飞书科技有限公司 飞书登录 SDK 隐私政策 钉钉登录SDK 关联账号登录 钉钉账户授权登录 无 无 无 钉钉科技有限公司 钉钉登录SDK隐私政策 SDWebImage 图片的加载缓存 图片的加载缓存 无 无 无 社区开源项目 < AFNetworking 和后端的接口交互 进行接口的数据请求 无 无 无 社区开源项目 FMDB 本地数据的存储 数据库的管理 无 无 无 社区开源项目 SSZipArchive 分享文件时压缩文件 文件的压缩与解压 无 无 无 社区开源项目 < CocoaLumberjack 日志打印 日志打印到本地文件 无 无 无 社区开源项目 < SVGKit svg格式图片的显示 svg格式图片的显示 无 无 无 社区开源项目 < openim IM/通知号 IM通信和服务号通知 正在运行的应用安装列表、存储外部存储目录、 读取外部存储目录、存储目录管理、发送语音、拍照 个人设备信息 SDK本机采集 社区开源项目 OpenIM隐私政策 mailcore2 邮箱 获取邮箱、邮箱收发服务 无 无 SDK本机采集 < RZRichTextView 富文本 富文本编辑显示功能 无 无 无 < TZImagePickerController 相册选择 邮箱获取相册图片服务 无 无 无 < SQLCipher 邮箱数据库加班 邮箱数据库加密服务 无 无 无 <

“云通信产品”（简称“本产品”）由天翼云科技有限公司（简称“我们”）创建和运营，我们的注册地址为：北京市东城区青龙胡同甲1号、3号2幢2层20532室。为方便用户（简称“您”）使用本产品的服务，我们可能会处理您的相关数据和个人信息（统称“信息”或“用户信息”）。我们将通过《云通信产品隐私政策》（简称“本隐私政策”）向您说明我们如何处理您的个人信息，请您在注册和使用本产品之前认真阅读、充分理解本隐私政策，尤其是划线和加粗的内容。如果您对本隐私政策有疑问的，请通过本隐私政策约定的方式询问，我们将向您解释本隐私政策内容。 云通信产品隐私政策声明 版本生效日期：20220223 “云通信产品”（简称“本产品”）由天翼云科技有限公司（简称“我们”）创建和运营，我们的注册地址为：北京市东城区青龙胡同甲1号、3号2幢2层20532室。为方便用户（简称“您”）使用本产品的服务，我们可能会处理您的相关数据和个人信息（统称“信息”或“用户信息”）。我们将通过《云通信产品隐私政策》（简称“本隐私政策”）向您说明我们如何处理您的个人信息，请您在注册和使用本产品之前认真阅读、充分理解本隐私政策，尤其是划线和加粗的内容。如果您对本隐私政策有疑问的，请通过本隐私政策约定的方式询问，我们将向您解释本隐私政策内容。 如您为未满18周岁的未成年人，请在法定监护人陪同下阅读本协议，并特别注意未成年人使用条款。 定义： 本隐私政策中涉及的个人信息，是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 本隐私政策中涉及的个人敏感信息，主要是涉及在自助订购时的交易信息及财产信息。此类信息经过组合、关联和分析后可能产生高敏感程度的信息，遭到未经授权的查看或未经授权的变更，会对个人信息安全与财产安全造成严重危害。 本政策将帮助您了解以下内容： 一、隐私政策适用范围 二、我们如何收集和使用您的个人信息 三、信息使用 四、信息存储 五、信息共享、转移、公开披露 六、信息保护 七、信息管理 八、我们如何保护未成年人的信息 九、隐私政策的修订 十、联系方式 一、隐私政策的适用范围 本隐私政策适用于我们为您提供的短信服务。需要特别说明的是，本协议不适用于第三方向您提供的服务或产品。 二、个人信息的收集 短信业务功能的运行需要您向我们提供或允许我们收集以下信息，我们仅会出于本政策所述的以下目的，收集和使用您的个人信息，收集过程中我们将遵循合法、正当、必要、最小化的原则。 我们的角色：我们是您的数据的控制者。我们知道您关心如何使用和分享您的数据，同时我们感谢您的信任，我们将谨慎且理智地做到这一点。 2.1短信订购 为了能让您使用短信订购功能，我们将在你进行交易时记录您的交易信息（包括订单号、资源ID、订单创建时间、支付总金额、支付金额、支付状态、支付时间）及财产信息（包括优惠券ID）。如果不提供前述信息，可能无法使用本产品。 2.2操作日志 为了能让您使用操作日志功能，我们将在你进行短信操作时记录您的操作任务、资源名称、资源ID、操作时间、操作用户、地域。如果不提供前述信息，可能无法使用本产品。 2.3随着短信业务功能进一步丰富，后续新增功能如涉及获取用户授权权限时，我们将明确提示并在您授权同意后才会获取该功能所需权限。如未取得您的授权，我们将不会收集和使用相关信息。 2.4您充分知晓，以下情形中，我们收集、使用个人信息无需征得您的授权同意： • 为订立、履行个人作为一方当事人的合同所必需； • 为履行法定职责或者法定义务所必需； • 为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需； • 为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息； • 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息； • 法律、行政法规规定的其他情形。 三、信息使用 3.1 为更好地向您提供服务，在严格按照法律法规遵循必要性原则基础上，我们将收集的信息用于以下目的和用途： （1）为您提供服务，包括但不限于应您的要求进行账号管理、变更；以及提供技术支持和客户服务； （2）开展内部审计、研究和分析，改善本平台和产品服务； （3）遵从和执行适用的法律法规要求，相关的行业标准或我们的政策； （4）其他为向您提供服务而需要使用您用户信息的情形。 四、信息存储 4.1 短信产品收集有关您的信息将保存在中华人民共和国境内（为本隐私政策之目的，不含香港、澳门、台湾地区）的服务器上。 4.2 对于所收集的信息，我们将在法律规定的最短期限内保存。在您的信息已经不再需要用于实现本隐私政策规定的目的和用途，也无需根据相关法律法规的规定保存时，我们将采取合理步骤以安全的方式销毁个人信息或使进行匿名化处理使其不可识别并不可被再次编辑、修改、使用。 4.3 当您自主删除个人信息或注销账户，我们将按照法律、法规规定的最短期限保留您的现有个人信息，在法律法规要求的最短保存期限内，我们将不再对您的个人信息进行商业化使用。当您的个人信息超出上述保存期限，我们将会对其进行删除或者匿名化处理。 五、信息共享、转移、公开披露 5.1 共享 未经您事先同意，我们不会与任何第三方共享您的信息，但以下情形除外： （1）在获取明确同意的情况下共享：经您事先明确同意，我们会与其他方共享您的信息； （2）根据相关法律法规的规定，或者行政、司法机关的要求，向行政以及司法机关披露您的信息； （3）对我们与之共享您的信息的组织和个人，我们会与其签署严格的保密协定，要求他们按照我们的说明、本隐私政策以及其他任何相关的保密和安全措施来处理您的信息。 5.2 转移 我们不会将您的个人信息转移给任何公司、组织和个人，但以下情况除外： （1）在获取明确同意的情况下转让：获得您的明确同意后，我们会向其他方转移您的个人信息； （2）在涉及合并、收购或破产清算时，如涉及到个人信息转让，我们会要求新的持有您的信息的公司、组织继续受此隐私政策的约束，否则我们将要求该公司、组织重新向您征求授权同意。 5.3 公开披露 我们仅会在以下情况下，公开披露您的个人信息： （1）获得您明确同意后； （2）基于法律的披露：在法律、法律程序、诉讼或政府主管部门强制性要求的情况下，我们可能会公开披露您的个人信息。 六、信息保护 6.1 我们对用户信息的保护 我们非常重视您的信息安全。我们采用适当的物理、管理和技术保障措施来防止您的信息遭到未经授权访问、披露、使用、修改、损坏或丢失。 例如，我们会使用混合加密技术提高信息的保密性；我们会使用受信赖的保护机制防止您的信息遭到恶意攻击；我们会部署访问控制机制，确保只有授权人员才可访问用户信息；我们会举办安全和培训，加强员工对于保护用户信息重要性的认识。 但请您理解，由于技术的限制以及可能存在的各种恶意手段，在互联网环境下，即便竭尽所能加强安全措施，也不可能始终保证信息百分之百的安全。若不幸发生信息泄露等安全事件，我们会立即启动应急预案，阻止事件扩大，及时采取补救措施，并推送通知、公告等多种形式告知您。 6.2 用户对信息的保管 尽管有前述安全措施，但请您妥善保管您的账户、密码及其他信息，避免您的个人信息泄露。如果您发现您的账号、密码或其他信息被他人非法使用或有使 用异常的情况的，应及时通知我们，我们将采取相应安全保障措施。 七、 信息管理 由于云通信产品不具备对用户信息进行管理功能，您需要使用天翼云官网对您的个人信息进行管理。 7.1 查询 您可以在天翼云APP我的账户管理模块查询、管理您向我们提交的基本信息，或者登录天翼云门户官网（ 7.2 变更或者修正错误信息 您可以登录天翼云APP，在我的账户管理模块修改您的个人资料，或者登录天翼云门户官网的管理中心进行修改；如果您要变更实名认证信息，您可以通过在天翼云门户提交工单、联系业务受理渠道等方式要求我们对相关信息予以更正。验证身份和权限后，我们将会在5个工作日内为您完成实名认证信息变更。 7.3 删除 若您发现我们未按照法律法规的规定或者本隐私政策约定收集和使用您的信息，您可以通过工单、邮件等方式联系我们对相关信息（包含副本、数据备份）进行删除。验证身份和权限后，我们将会在5个工作日内为您完成信息删除。 7.4 改变或撤回您的授权信息 对于您已经授权同意我们收集和使用的终端设备权限信息，您可以通过在终端设备进行设置、改变或撤回您的授权同意；您改变或撤回授权同意后，可能无法使用相应的功能服务。 7.5 注销账户 您可以登录天翼云门户，在天翼云门户官网个人中心基本信息页面进行账户注销，或天翼云APP管理工具账户注销中提请工单要求注销账户。 在您仔细阅读《天翼云账号注销条款》（ 7.6 个人信息副本获取权 如您需要您的个人信息的副本，您可以通过本隐私政策文末提供的方式联系我们，在核实您的身份后，我们将向您提供您在我们的服务中的个人信息副本（包括基本资料、身份信息），但法律法规另有规定的或本政策另有约定的除外。 7.7为保障安全，您申请查询、变更、删除您的信息或注销账户时，可能需要提供书面请求，或以其他方式证明您的身份。我们可能会先要求您验证自己的身份，然后再处理您的请求。 7.8 如果我们停止运营某一产品或者服务，我们将及时停止收集和使用该产品或服务所需的您的信息，同时将停止运营的通知通过天翼云门户进行发布，同时以短信、电话、邮件、站内信、APP消息推送等渠道告知您。对于该产品或服务运营期间已经收集的您的个人信息，我们将依法保存，并在保存期限届满后进行匿名化处理或删除。 7.9 如果我们发生合并、分立、收购、重组等变更，会将变更信息通过天翼云门户进行发布。变更后我们会继续履行信息保护的责任和义务，如果信息使用目的有所变化，我们将明确提示并在您授权同意后才会获取权限，如未取得您的授权，我们将不会收集和使用相关信息。 7.10 尽管有上述约定，但按照法律法规要求，在以下情形下，我们可能无法响应您的请求： （1）与国家安全、国防安全有关的； （2）与公共安全、公共卫生、重大公共利益相关的； （3）与犯罪侦查、起诉和审判等有关的； （4）有充分证据表明您存在主观恶意或滥用权利的； （5）响应您的请求将导致其他个人、组织的合法权益受到严重损害的。 7.11如您需要将您的个人信息转移至您指定的其他个人信息处理者，您可以随时联系我们。在符合相关法律规定且技术可行的前提下的，我们将根据您的要求向您提供转移的途径。 八、我们如何保护未成年人的信息 8.1 我们期望父母或监护人指导未成年人使用我们的服务。我们将根据国家相关法律法规的规定保护未成年人的信息的保密性及安全性。 8.2 如您为未成年人，建议请您的父母或监护人阅读本政策，并在征得您父母或监护人同意的前提下使用我们的服务或向我们提供您的信息。对于经父母或监护人同意而收集您的信息的情况，我们只会在受到法律允许、父母或监护人明确同意或者保护您的权益所必要的情况下使用或公开披露此信息。如您的监护人不同意您按照本政策使用我们的服务或向我们提供信息，请您立即终止使用我们的服务并及时通知我们，以便我们采取相应的措施。 8.3 如您为未成年人的父母或监护人，当您对您所监护的未成年人的信息处理存在疑问时，请通过上文中的联系方式联系我们。 九、隐私政策的修订 9.1 基于为您提供更好的服务的目的，并根据电信业务的发展或法律法规及监督政策变化的要求，我们可能会适时修订本隐私政策，对于本隐私政策的重大改动，我们会请您重新授权同意。 十、联系方式 10.1 如您对本隐私政策或您个人信息的相关事宜有任何问题、意见、建议或申诉，您可以通过天翼云门户端的在线客服、在线反馈留言、拨打我们的客服电话 4008109889 等多种方式与我们取得联系，您还可通过发送邮件至service@chinatelecom.cn，与短信产品的个人信息保护负责人进一步沟通。 10.2 一般情况下，我们将会在3个工作日内回复，特殊情形下，最长将在不超过15个工作日做出答复。

如何使用CTIAM创建子账号进行分权管理。 场景说明 有些客户在开通天翼云云点播产品后，出于分工管理或者多部门共用的需要，希望可以开通多个子用户共同使用云点播。其中的角色分工可能包含管理员、各项目的运营方等。其中各角色的主要职能如下： 管理员：拥有全局管理权利。 运营方：负责配置转码工作流，上传媒资内容，并获取播放链接地址发布在点播网站上。但运营方只能操作自己存储桶的文件，配置自己的专属工作流，不能修改其他运营方的转码配置。 多人开发如果使用同样的权限和账号密码，很容易造成误删、误操作的动作影响整体的业务安全。同时多人分享账号密码也容易造成密码泄露。因此需要有一套主子账号机制，给每个角色分配不同的权限，以实现各自职能并保障安全。 前提条件 已经在天翼云完成实名注册认证，获得了天翼云账号。 已经开通天翼云云点播产品。 当前配置人员具备主账号权限。 总体实施步骤 总体实施步骤一共分为三步： 1. 创建资源。 2. 创建子用户。 3. 为子用户赋予相对应的权限。 创建资源 1. 首先，具备主账号权限的管理员（以下简称“管理员”）需要首先登录云点播控制台。新建一个点播实例。 创建子用户 1. 打开统一身份认证服务，使用您在天翼云官网注册的登录凭证作为主账号进行登录。如下图所示： 2. 在进入CTIAM控制台后，在左侧的导航页内找到【用户】页。点击【创建用户】可创建一个新的子用户。如下图所示： 说明 CTIAM创建的子用户同时可能拥有多个产品的操作权限。因此，您可以为每个子用户配置多个天翼云产品的管理权限，而无需按照为每个产品的单独设置一个子用户。 3. 在创建用户的页面，您可根据界面提示设置子用户的名称、联系方式等。需要注意的是：（1）如您需要后续授权该子用户使用云点播控制台，则应将【控制台访问】的选项选中。（2）子用户可使用手机号码、邮箱（如有）作为登录凭证，请确保这两项凭证在当前天翼云租户下的唯一性。（3）云点播尚未对接CTIAM的用户组能力，建议在创建新的子用户时，暂不要将该子用户纳入用户组，以免造成后续不可预知的问题。相关要点如下图所示： 4. 至此，您已在CTIAM下创建了一个新的子用户。但该子用户尚未具备云点播产品的任何权限，因此无法登录和使用云点播任何能力。您还需对该子用户赋予云点播相关权限，详情可查看本文【子用户授权】章节。 5. 关于创建子用户的更多详细操作可以查看教程创建IAM用户。

本页介绍了文档数据库服务的产品定义。 文档数据库服务（Document Database Service，后文简称：CTDDS、DDS）是一款基于云计算平台的在线非关系型数据库服务，具有即开即用、稳定可靠、安全运行、弹性伸缩等特点。其完全兼容MongoDB协议，在容灾、备份、恢复、监控、告警等方面提供全套数据库解决方案。可降低管理维护成本，使用户能专注于应用开发和业务发展。文档数据库服务有如下基础特性： 文档数据库服务是一种非关系型数据库，它采用文档型的方式来存储数据，每个文档都是一个JSON格式的数据结构，可以包含任意数量和类型的字段。这种方式比传统的关系型数据库更加灵活，可以适应不同类型和规模的数据。 提供高可用性、高性能和可扩展性，支持从单节点部署到分布式集群的不同场景。它采用了分布式的数据存储和查询方式，可以水平扩展集群规模，提高系统的负载能力和容错性。同时，文档数据库服务还支持数据复制和故障恢复，确保数据的可靠性和持久性。 在查询方面提供了多种方式，包括基本的CRUD操作、聚合框架、文本搜索、地理空间查询等。这些功能可以满足各种不同的查询需求，使得文档数据库服务在数据分析和处理领域得到广泛应用。 文档数据库服务提供多项性能监控指标及告警功能，以及数据库性能可视化管理。 文档数据库服务支持灵活的部署架构，提供单节点、副本集（支持三节点、五节点、七节点共三种副本集类型）、分片集群三种实例类型，副本集实例类型还提供只读从节点的扩展服务，能够满足不同的业务场景。 单节点实例：单节点适用于开发、测试及其他非企业核心数据存储的场景。 副本集实例：副本集的高可用架构，提供了数据冗余与高可靠性的节点集合。副本集之间数据自动同步，保证数据的高可靠性。并支持自动容灾切换。 集群实例：分片集群架构，提供了副本集具备的数据冗余与高可靠的特性，同时拥有数据分片存储与处理能力，轻松适用于高并发场景。

技术亮点 与之前发布的 Qwen1.5 等最先进的开源语言模型相比，Qwen2总体上超越了大多数开源模型，并在语言理解、语言生成、多语言能力、编码、数学、推理等一系列基准测试中表现出了与专有模型的竞争力。 Qwen2是一个语言模型系列，包括不同模型大小的解码器语言模型。对于每种大小，都发布了基本语言模型和对齐的聊天模型。它基于Transformer架构，具有SwiGLU激活、注意力QKV偏差、组查询注意力等。此外，还改进了分词器，可适应多种自然语言和代码。 Qwen272BInstruct 支持高达 131,072 个令牌的上下文长度，从而能够处理大量输入。 版本列表 版本列表 版本说明 Qwen272BInstruct Qwen272BInstruct是Qwen系列中指令微调模型的一种，基于Qwen1.5版本升级，能够在128K tokens的上下文长度上进行指令微调，支持多种语言和多项能力。 相关资源及引用 相关资源 模型许可。除Qwen272B依旧使用Qianwen License外，其余模型，包括Qwen20.5B、Qwen21.5B、Qwen27B以及Qwen257BA14B在内，均采用Apache 2.0的许可。 有关如何部署 Qwen2 处理长文本的详细说明，请参阅此处。 有关更多详细信息，请参阅博客、GitHub和文档。 有关 vLLM 的更多使用说明，请参阅 Github。

本文内容介绍专属云文档数据库计费方式 专属云文档数据库计费公式为：总价∑单价内存实例个数;以购买副本集实例（4 核 16G）为例，每小时产生的服务费0.14（单价）16（内存） ￥2.24 元/小时；以购买集群实例（2 个 2 核 4G 的mongos，3个4核8G的shard，2核4G的 config）为例，每小时产生的服务费0.14（mongos 单价）4（内存）2（个数）+0.14（shard单价8（内存）3（个数）+0.14（config单价）4（内存）1（个数）￥5.04元/小时 按需计费 说明：本章节会介绍专属云文档数据库按需计费的模式 1、收费方式 （1）预存后付费方式：提前充值现金到天翼云账户中，现金账户余额不低于100元，之后系统按照用户实际使用量进行结算。 （2）计费周期：按小时计费，以自然小时为计费单位（均以北京时间为准），不满一小时按照一小时计费。费用从用户账户现金余额中扣费。开通时间建议整点开通，开通不足一个自然小时，按一小时收费。提前删除也按照自然小时收费。 例如：如果您在1点01分开通，那么时间到2点就算做一个自然小时；如果您在1点58分开通，那么时间到2点也算做一个自然小时，都是按照1个小时收费。所以为了避免您的时间损失，建议您整点后几分钟内开通，在整点前几分钟删除。 2、删除规则 （1）删除数据库时，数据库的CPU、内存的费用停止计费，其他关联资源继续计费。 （2）数据库删除后，数据不会保留会立即释放资源。 3、账户欠费 如用户账户出现欠费，账户一旦充值，系统将会自动优先扣除欠费金额。 4、提醒/通知规则 （1）账户欠费通知：当用户欠费时，系统会向用户发送1次欠费提醒，并在欠费的第2天、第4天、第6天各发送1次欠费提醒。 （2）提醒及通知方式：以邮件和短信方式告知用户，请及时关注您的短信及邮件。

本文为您介绍策略内容。 在“策略管理”页面，以及在IAM授权和企业项目授权中选择策略时，您可以单击策略名称右侧的“查看”，查看策略的详细内容，以系统策略“ecs admin”为例。 { "Version": "1.1", "Statement": [ { "Action": [ "ecs::", "evs::", "vpc::", "ims::" ], "Effect": "Allow" } ] }

双因子认证 双因子认证是指结合密码以及验证码两种条件对用户登录行为进行认证的方法。 网页防篡改 网页防篡改为用户的文件提供保护功能，避免指定目录中的网页、电子文档、图片等类型的文件被黑客、病毒等非法篡改和破坏。 集群 集群是同一个子网中一个或多个弹性云主机（又称：节点）通过相关技术组合而成的计算机群体，为容器运行提供计算资源池。 节点 在容器中，每一个节点对应一台弹性云主机（Elastic Cloud Server，ECS），容器运行在节点上。 镜像 镜像（Image）是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数。镜像不包含任何动态数据，其内容在构建之后也不会被改变。 容器 容器（Container）是镜像的实例，容器可以被创建、启动、停止、删除、暂停等。 安全策略 安全策略是指容器运行时需要遵循的安全规则，如果容器违反了安全策略，容器安全服务控制台的“运行时安全”页面会显示容器异常。 防护配额 目标主机开启检测防护需要绑定的对象，即防护配额。 在主机安全服务购买的不同版本的数量在控制台中是以防护配额的描述呈现。 示例： 购买了1个企业版，即企业版可用防护配额数量为1个，只能绑定任意1台主机； 购买了10个旗舰版，即旗舰版可用防护配额数量为10个，可分配至10台不同主机进行分别绑定；

本章节介绍如何使用K8s配置项替换配置文件 概述 当您选择使用Kubernetes进行容器化部署时，可以使用配置项去保存一些不需要加密的配置信息，如JVM堆内存、JVM属性参数等，在创建或者部署应用时，系统会自动将配置信息直接注入到容器中。 在微服务云应用平台场景下，这种配置管理方式变得更加灵活和强大。微服务云应用平台不仅支持上述的配置注入，还允许您将配置项以文件的形式直接挂载到容器内的指定目录。这意味着，除了能够动态调整应用的运行参数外，您还可以确保这些配置信息以文件的形式存在，这不仅方便了日常的管理和维护工作，也使得在需要时更新配置或进行故障排查变得更为直观和高效，从而显著提升了整体的运维体验和工作效率。 前提条件 1. 您已开通微服务云应用平台 2. 您已订购一个云容器引擎实例 常用使用场景 覆盖目录下已经存在的文件 这里以常用的nginx镜像举例，在官方的nginx镜像中，/etc/nginx目录下的nginx.conf文件是需要配置的，并且在不同的环境下，该文件内容也不相同。此时，可以使用将配置项以文件形式挂载到容器指定目录下，覆盖原文件，来实现不同环境使用不同配置的效果。 首先需要创建K8s配置项，左侧导航栏，选择容器应用实例 > Kubernetes配置，进入到配置列表，点击左上角创建配置项。需要注意的是：配置项下的键值对映射，键是文件名称，值为文件内容。 挂载配置项，左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。在应用实例列表选择需要覆盖的应用，进入应用详情界面，点击上方新增版本按钮，进入应用配置界面，在配置管理模块下配置文件挂载。 在配置管理中，可以通过挂载文件的方式，向容器中注入配置信息。需要注意的是，在挂载文件路径中，需要填写到文件名称。如下图所示： 参数 描述 配置类型 目前只支持配置项。 挂载类型 挂载到文件。 挂载源 挂载到应用容器文件系统中的配置项的名称。 挂载主目录 设置容器的挂载主目录，必须以斜杠（/）开头。 文件挂载方式 保留原文件：保留原目录下的文件，添加本次挂载文件。注意，相同文件名将保留本次挂载文件，隐藏原目录重名文件。 挂载配置 要挂载的Key：需要挂载到应用容器文件系统中的配置项指定的Key。挂载文件路径：相对挂载主目录的子路径。

本文介绍使用CDN加速后访问URL时出现空白页面的问题原因及解决方案。 问题现象 使用天翼云CDN加速网站后，访问特定URL时出现空白页面，即页面没有任何内容显示。 问题原因 1. 域名解析问题：可能是由于域名解析存在异常，导致无法正确访问到CDN节点并获取有效的内容。详情请见： 如何确认域名CNAME解析是否正常。 2. 缓存问题：可能是由于CDN的缓存未及时更新或清除，导致访问的URL返回了空白的缓存页面。 3. 源站异常：可能是源站出现故障或配置错误，导致CDN无法正确获取内容并回源给用户。定位方法，详情请见：如何确认访问异常是CDN节点问题还是源站问题。 解决方案 1. 域名解析问题解决方案： 检查CNAME是否有配置错误。解决方案，详情请见：如何处理CNAME解析不生效问题。 如无CNAME配置错误，可等待一段时间，重新尝试访问URL，以确保域名解析已经生效。 2. 缓存问题解决方案： 手动刷新CDN缓存，您可在CDN控制台的【刷新预取 】模块中创建【URL刷新 】任务，将对应的URL进行缓存刷新，刷新任务一般5~10分钟生效。 3. 源站异常解决方案： 方案一：检查源站服务器是否正常运行，并修复可能存在的故障或配置错误。 方案二：检查源站对应URL文件是否正常，并更换为正常的URL 文件。 如果以上方案还是无法解决您的问题，请提交工单联系天翼云客服协助处理。

本章节介绍了如何创建自定义的授权策略。 如果系统预置的DMS for RocketMQ权限，不满足您的授权要求，可以创建自定义策略。自定义策略中可以添加的授权项（Action）请参考细粒度策略支持的授权项。 目前天翼云支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：创建自定义策略。本章为您介绍常用的DMS for RocketMQ自定义策略样例。 说明：DMS for RocketMQ的权限与策略基于分布式消息服务DMS，因此在IAM服务中为DMS for RocketMQ分配用户与权限时，请选择并使用“DMS”的权限与策略。 DMS for RocketMQ自定义策略样例 示例1：授权用户删除实例和重启实例 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ " dms:instance:delete dms:instance:modifyStatus " ] } ] } 示例2：拒绝用户删除实例 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予DMS FullAccess的系统策略，但不希望用户拥有DMS FullAccess中定义的删除实例权限，您可以创建一条拒绝删除实例的自定义策略，然后同时将DMS FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对DMS for RocketMQ执行除了删除实例外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "dms:instance:delete" ] } ] }

数据安全 针对海量用户数据，提供如下措施保障客户数据的机密性、完整性和可用性。 容灾：翼MR产品当前数据存放在天翼云云硬盘产品中，云硬盘采用三副本冗余机制，保障上层翼MR服务数据的高容灾型。 备份：翼MR产品当前数据存放在天翼云云硬盘产品中，云硬盘具备定期备份、数据恢复等特性。 数据完整性 通过数据校验，保证数据在存储、传输过程中的数据完整性。 用户数据保存在HDFS上，HDFS默认采用CRC32C校验数据的正确性。 HDFS的DataNode节点负责存储校验数据，如果发现客户端传递过来的数据有异常（不完整）就上报异常给客户端，让客户端重新写入数据。 客户端从DataNode读数据的时候会同步检查数据是否完整，如果发现数据不完整，尝试从其它的DataNode节点上读取数据。 数据保密性 天翼云大数据平台 翼MapReduce产品中的分布式文件系统采用Apache Hadoop 3.3.3版本，提供对文件内容的加密存储功能，避免敏感数据明文存储，提升数据安全性。业务应用只需对指定的敏感数据进行加密，加解密过程业务完全不感知。在文件系统数据加密基础上，Hive实现表级加密，HBase实现列族级加密，在创建表时指定采用的加密算法，即可实现对敏感数据的加密存储。 从数据的存储加密、访问控制来保障用户数据的保密性。 HBase支持将业务数据存储到HDFS前进行压缩处理，且用户可以配置AES和SMS4算法加密存储。 各组件支持本地数据目录访问权限设置，无权限用户禁止访问数据。 所有集群内部用户信息提供密文存储。

简述天翼云全站加速产品的HTTPS相关功能及配置方法。 什么是HTTPS？ HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。HTTPS相当于在HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。它是一个URI scheme（抽象标识符体系），句法类同HTTP体系。用于安全的HTTP数据传输。 HTTPS也叫安全的超文本传输协议，使用TCP端口443，他的数据会用PKI中的公钥进行加密，这样抓包工具捕获到的数据包也没有办法看到包中的内容，安全性大大提高，要解密数据的话就要用到PKI中的私钥。所以一些安全性比较高的网站如：网上银行，电子商务网站都需要用HTTPS访问。 HTTPS配置概述 HTTPS配置模块主要介绍如何配置HTTPS证书，如何开启HTTPS服务、HTTP2.0、强制跳转、OCSP Stapling、HSTS、如何选择TLS协议版本，以及HTTPS Keyless加速方案和全站加速支持哪些国密算法、批量配置HTTPS证书、支持的SSL/TLS加密套件。 相关功能 功能 说明 []( 简述HTTPS定义及配置方法。 []( 简述全站加速支持的国密算法及配置方法。 HTTP2.0配置 简述HTTP2.0的定义和配置方法。 []( 简述强制跳转的场景及配置方法。包括HTTP强制跳转HTTPS，HTTPS强制跳转HTTP。 []( Stapling 简述OCSP Stapling功能的概念、使用前提和配置方法。 HSTS 简述HSTS功能和配置方法。 []( 简述天翼云全站加速产品支持的TLS协议版本和配置方法。 []( 简述全站加速节点无需部署私钥的情况下如何加速HTTPS业务。 []( 天翼云全站加速产品支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 加密套件 介绍天翼云全站加速支持的加密套件及对应套件支持的最低版本的SSL/TLS协议。 双向认证 双向认证，顾名思义，即客户端与服务器双方均需认证对方的身份，在确认对方身份后才可以建立HTTPS连接。

云容器引擎控制台创建Kubernetes自定义授权策略 注意 本步骤展示创建自定义ClusterRole，过程和创建Role类似。您可以根据实际的场景调整相应操作。 第一步：登录天翼云，进入到云容器引擎控制台，在左侧导航栏选择集群。 第二步：在集群管理界面，点击目标集群名称，然后在左侧导航栏，选择安全管理 > 角色。 第三步：在角色页面，点击Cluster Role页签，然后点击创建Cluster Role。 第四步：当点击创建Cluster Role后，会弹出一个YAML面板，您需要在面板上输入自定义策略的YAML内容，点击确定即可创建成功。 第五步：在左侧导航栏，选择安全管理 >授权，进入授权页面，选择子账号下面的用户，点击添加权限。 第六步：进入集群RBAC配置，点击添加权限，选择命名空间，选择自定义，然后选择里之前创建好的Cluster Role，点击下一步。 第七步：授权成功。 第八步：验证。 首先按照下图获取到对应的config，登录到集群主机保存test.config文件中。 查询集群的Pod。 kubectl get pod kubeconfigtest.config 没有权限查看集群的Service，提示forbidden。 kubectl get services kubeconfigtest.config 注意 当前云容器引擎授权管理仅支持自定义Cluster Role角色与集群内RABAC权限的绑定，暂不支持自定义Role角色与集群内RBAC权限的绑定。

本节介绍了ETCD备份保存到对象存储的用户指南。 进入云容器引擎的集群，在左侧菜单点击“插件”>“插件市场”，搜索“ccsebackup”插件，点击“安装”。 在弹出界面的参数设置部分，有以下这样的一段配置 本插件支持将备份包保存到对象存储或本地。默认地会使用本地存储，且将保存到“/home/docker/backup”目录下，如需要更替备份目录，可直接修改该字段的内容。 另外如果想把备份包存储到对象存储，则将上述配置修改，oss.provider需要改成 s3，另外OSS相关参数也需要填上，类似下面形式： oss: provider: "s3" accesskeyId: "yourossak" accesskeySecret: "yourosssk" bucket: "yourossbucket" endpoint: "yourossendpoint" local: path: "" 配置完成后，点击“安装”，界面会自动切换到“插件实例”，稍等片刻后，待插件安装完毕，即可开始使用。

签名的使用 signature hmacsha256(base64.b64decode(kdate), presignature.encode("utf8")) 将数据整合得到真正的header中的内容 signheader "{0} Headersappkey;ctyuneoprequestid;eopdate Signature{1}".format(ak, signature.decode()) 返回requestid eopdate和signheader return requestid, eopdate, signheader 向服务发送请求 def dopost (url, headers, params): response requests.post(url, datajson.dumps(params), headersheaders) try: print (response.statuscode) print (response.json()) except AttributeError: print ("请求失败") if name 'main': 请求地址 requesturl " 官网accessKey ctyunak accessKey 官网securityKey ctyunsk 'securityKey' 控制台我的应用中获取的appKey aiappkey 'appKey' body内容从本地文件中获取 打开图片文件 f open (r'test.jpeg', 'rb') imgbase64 base64.b64encode(f.read()).decode() body内容 params {"imageContent": imgbase64} 调用getsignature方法获取签名 requestid, eopdate, signheader getsignature(ctyunak, ctyunsk, aiappkey, params) 生成请求header 请求header headers { 'ContentType': 'application/json;charsetUTF8', 'ctyuneoprequestid': requestid, 'appkey': aiappkey, 'EopAuthorization': signheader, 'eopdate': eopdate, 'host': 'aiglobal.ctapi.ctyun.cn' } print ("请求头部:") print (headers) 执行post请求 dopost(requesturl, headers, params)

概述 Nacos引擎支持IAM权限管理实现控制面细粒度鉴权，通过创建IAM自定义策略，用户可以实现对Nacos引擎命名空间及其资源访问及操作权限的控制。本文介绍如何通过IAM自定义策略为Nacos配置细粒度鉴权。 IAM权限简介 如果需要对Nacos资源进行精细的权限管理，可以使用统一身份认证（Identity and Access Management，简称IAM）服务。IAM是一种基于用户的授权策略。通过设置IAM自定义策略，您可以控制用户访问您名下哪些资源的权限，例如限制您的用户只拥有对某一个命名空间的读权限等。 默认情况下，天翼云主账号拥有对资源的完全控制权限，而主账号创建的IAM用户没有任何权限。主账号将IAM用户加入用户组，并给用户组授予策略或角色之后，IAM用户获得相应的权限，这一过程称为授权。授权后，IAM用户就可以基于被授予的权限对云服务进行操作。 IAM策略 在向用户组授权时，需要选择授权策略。授权策略有两种：系统策略和自定义策略。 微服务引擎注册配置中心服务预置了RCCadmin、RCCuser和RCCviewer三个系统策略： RCCadmin拥有微服务引擎注册配置中心（RCC）全读写访问权限； RCCuser仅用于管理微服务引擎注册配置中心（RCC）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作； RCCviewer拥有微服务引擎注册配置中心（RCC）只读访问权限； 为了实现Nacos命名空间级别的权限控制，在授权时，需要创建自定义策略并授权，目前支持以下两种方式创建自定义策略： 可视化视图：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源等策略内容，可自动生成策略。 JSON视图：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 关于创建自定义策略的详细介绍，请参考IAM关于创建自定义策略的介绍。

常用命令 本文相关操作命令以CentOS 7.2 64位操作系统为例。其它版本的Linux操作系统命令可能有所差异，具体情况请参阅相应操作系统的官方文档。 Linux云主机查看CPU使用率等性能相关问题时的常用命令如下： ps aux ps ef top CPU占用率高问题定位 1. 使用VNC功能登录云主机。 2. 执行如下命令查看当前系统的运行状态。 top 系统回显样例如下： 3. 查看显示结果。 − 命令回显第一行：20:56:02 up 37 days，1 user, load average: 0.00, 0.01, 0.05的每个字段含义如下： 系统当前时间为20:56:02，该云主机已运行37天，当前共有1个用户登录， 最近1分钟、最近5分钟和最近15分钟的CPU平均负载。 − 命令回显第三行：CPU资源总体使用情况。 − 命令回显第四行：内存资源总体使用情况。 − 回显最下方显示各进程的资源占用情况。 说明 在top页面，可以直接输入小写“q”或者在键盘上按“Ctrl+C”退出。 除了直接输入命令，您还可以单击VNC登录页面屏幕右上角的“复制命令输入”，在弹出的对话框中粘贴或者输入相应命令，单击“发送”。 在top运行中常用的内容命令如下： s：改变画面更新频率。 l：关闭或开启第一部分第一行top信息的表示。 t：关闭或开启第一部分第二行Tasks和第三行Cpus信息的表示。 m：关闭或开启第一部分第四行Mem和 第五行Swap信息的表示。 N：以PID的大小的顺序排列进程列表。 P：以CPU占用率大小的顺序排列进程列表。 M：以内存占用率大小的顺序排列进程列表。 h：显示命令帮助。 n：设置在进程列表所显示进程的数量。 2. 通过ll /proc/PID/exe命令可以查看每个进程ID对应的程序文件。

本节介绍了如何配置应用层CC告警策略。 使用场景 业务接入DDoS高防（边缘云版）后，您可以设置告警策略，当攻击事件触发告警策略时，则产生告警记录并发送告警邮件（如配置），帮助您及时掌握业务的安全状态。 前提条件 已开通DDoS高防（边缘云版）。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【告警管理】【告警策略】页面。 新增告警策略 点击【新增】按钮，在弹框中配置策略内容，完成后点击左下角【新增】。 配置说明： 配置项 说明 告警名称 自定义告警名称 告警类型 选择应用层CC告警 域名 选择应用层CC告警时，需要关联域名。域名为单选。 告警条件 应用层CC告警支持配置： 持续XX分钟，则产生告警 在XX分钟内，产生XX次攻击，则产生告警 攻击峰值QPS超过XX，则产生告警 支持勾选多条告警条件，当满足任一条件均会产生告警。 告警通知间隔 为避免告警策略被频繁触发，可设置告警通知间隔。当告警策略被触发后，在告警通知间隔事件内，若再次被触发，将不会产生告警记录。 勿扰时间 选填，在配置的勿扰事件范围内，将不会产生告警记录。 告警邮箱 接收告警的邮箱，支持配置多个邮箱，以分号隔开。 告警状态 是否启用该告警策略。若关闭，则告警策略不生效。 编辑告警策略 在策略列表操作栏，点击【编辑】按钮，可修改策略配置。 修改告警状态 您有两种方式可以修改告警状态： 1）点击【编辑】按钮，在编辑框中修改告警状态。 2）在策略列表，告警状态栏，直接开启或关闭告警状态。 删除规则 在策略列表操作栏，点击【删除】按钮，可删除策略配置。 注意 若告警策略的状态为开启，需先关闭后才能删除策略。

本页面介绍云数据库ClickHouse实例管理方面的常见问题。 云数据库ClickHouse实例开通后的管理类常见问题总结： 实例开通后能否扩容? 是的,云数据库ClickHouse实例开通后支持以下三种扩容方式: 存储空间扩容 用户可以在选择相应实例,进入“扩容”页面提交扩容申请。系统会在后台扩充数据盘,实现用户数据存储能力的扩展。 计算节点CPU/内存升级 用户可以选择将实例进行升级，将内存容量升级大一倍等。系统会在后台对选定计算节点进行硬件资源的扩充升级。 增加计算节点数量 当数据量或并发访问压力增大时，用户可以通过在添加更多计算节点的方式来扩充整体处理能力。系统会自动完成新节点的部署与旧数据同步。 以上三种扩容均需在控制台上提交申请,系统后台会根据申请内容完成自动化处理，存储和计算资源的扩充能有效满足业务规模的扩张。 实例扩容对运行中实例的影响有哪些? 存储空间扩容过程中: 数据访问速度会短期下降,读写性能受到一定影响。 计算节点CPU/内存升级过程中: 相关节点会进入升级流程，此期间读写操作会失败。 增加计算节点过程中： 不对现有数据进行迁移，故影响最小，线上业务无感知，仅同步数据库中已有结构及元数据到新节点。 计算资源不足时,应该选择哪种扩容方式? 当实例计算资源(如CPU、内存)不足导致查询性能下降时,可以考虑以下扩容方式: 对已有计算节点进行升级：仅影响该节点短暂下线,对其他节点和业务整体影响小，扩充节点计算能力,提升实例整体处理性能，成本相对较低,是第一选择。 增加计算节点数量：新节点随即上线,不影响线上业务，性能上升程度受新节点规格限制，成本随增加节点数成比例增长。 所以,计算资源不足时,优先考虑对现有节点进行升级,其次增量增加计算节点数量。两种方式结合还可获得最大利益。

根据《天翼云网站服务条款》、《云平台安全规则》等天翼云规范性文件要求，若您使用天翼云产品发布、存储、传播以下信息和内容，天翼云除有权根据相关服务条款采取通知限期整改、屏蔽信息、中止服务、终止服务的措施，有权限制您账户如登录、新购产品或服务、续费、支付、提现等部分或全部功能，并有权限限制您同一主体认证新账号、冻结同一账号/主体下的部分/全部资源。 违规类型说明 安全违规信息类型说明，请参见：《安全违规信息类型说明》 安全违规行为类型说明，请参见：《安全违规行为类型说明》 违规管控分级说明 说明 一般违规行为、严重违规行为、特别严重行为将根据监管部门要求、同一用户违规次数、是否配合监管部门/天翼云的安全措施要求、是否可能导致大量违规信息/行为的产生、违规信息是否造成大量传播、是否情节严重、是否造成严重后果等，由天翼云基于一般常识综合判定。 违规信息类 各违规类型的通用违规管控规则： 违规类型 对应的违规管控 一般违规行为 根据产品分类，执行对应的违规管控 严重违规行为 封禁违规客户账号及账号下的全部资源、封禁实名 特别严重违规行为 封禁同一主体证件下的全部账号及资源、封禁实名 各产品一般违规行为的违规管控规则： 产品分类 一般违规行为的违规管控 计算产品 (ECS/物理云主机/GPU云主机/轻量化云主机等） 包括但不限于：通知限期整改、阻断域名、实例关停、冻结违规资源 网络产品 (SLB/弹性公网IP等) 包括但不限于：通知限期整改、阻断域名、网络实例停用、冻结违规资源 对象存储（ZOS、OOS、OBS、媒体存储） 包括但不限于：通知限期整改、文件冻结、文件限制访问、冻结bucket、冻结违规资源 CDN 包括但不限于：通知限期整改、停止加速、加速域名下线、冻结违规资源 域名 包括但不限于：通知限期整改、域名暂停解析、域名暂停解析并禁止转移、禁用域名信息模板、冻结违规资源 云解析 DNS 包括但不限于：通知整改、锁定解析记录、域名暂停解析、冻结违规资源 智能边缘云 包括但不限于：通知限期整改、阻断url/域名、节点实例关停、冻结违规资源 DDoS 防护 包括但不限于：通知限期整改、停止防护域名的流量转发、停止防护实例的流量转发、冻结违规资源 Web应用防火墙 包括但不限于：通知限期整改、阻断url/域名、冻结违规资源 其他产品 包括但不限于：冻结违规资源

本文概括介绍刷新预取功能的使用场景及功能价值。 概述 为了确保用户获取到的内容始终为最新的，天翼云CDN支持刷新和预取功能，在不同使用场景确保用户能以最短的耗时获得最新的内容。 功能简介 刷新预取模块主要包括内容刷新、内容预取、以及相关任务提交后的任务查看和跟进的功能。具体说明如下： 功能 说明 创建任务 客户控制台支持自助创建不同类型（URL刷新、目录刷新、正则刷新）的刷新任务和预取任务。 查看任务 支持客户自定义查询刷新或预取任务的执行状态。

本文介绍分布式消息服务RocketMQ入门指引的环境准备内容。 概述 在创建天翼云分布式消息服务RocketMQ实例之前，您需要做一些准备工作。 首先，您需要设置一个虚拟私有云（VPC），这是一个隔离的网络环境，用于托管RocketMQ实例。 接下来，您需要创建一个子网，它是VPC内部的一个子网络，用于划分不同的部分和区域。 最后，您需要配置一个安全组，用于控制入站和出站的流量规则，以保证RocketMQ实例的安全性。 每个分布式消息服务RocketMQ实例都会被部署在特定的VPC中，并与特定的子网和安全组相关联。这种方式可以让您自主配置和管理RocketMQ实例的网络环境，并提供安全保护策略。如果您已经有了现成的VPC、子网和安全组，可以重复使用它们，无需重复创建。这样可以节省时间和资源，并确保一致性和可靠性。 VPC和子网 VPC和子网可重复使用，您也可以使用不同的VPC和子网来配置RocketMQ实例，您可根据实际需要进行配置。在创建VPC和子网时应注意如下要求： VPC与使用的天翼云分布式消息服务RocketMQ服务应在相同的区域。 如无特殊需求，创建VPC和子网的配置参数使用默认配置即可。 创建VPC和子网的操作请参考虚拟私有云创建VPC、子网搭建私有网络。 若需要在已有VPC上创建和使用新的子网，请参考虚拟私有云子网管理创建子网。 要注意的是： 如果用户需要创建ipv4实例，则VPC子网只需配置ipv4子网。 如果用户需要创建ipv6实例，则vpc子网只需配置ipv4/ipv6双栈子网。

告警模板 告警模板：创建 接口功能介绍 调用此接口可创建告警模板。 接口约束 告警模板内容不能为空。 URI POST /v4/monitor/createalarmtemplate 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String ctyun资源池ID 81f7728662dd11ec810800155d307d5b name 是 String 告警模板名称 xsZSu service 是 String 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“告警规则：获取告警服务列表”接口返回。 ecs dimension 是 String 本参数表示告警维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“告警规则：获取告警服务维度关系”接口返回。 ecs desc 否 String 告警模板描述 test conditions 否 Array of Objects 告警规则 condition 表 condition 参数 是否必填 参数类型 说明 示例 下级对象 evaluationCount 否 Integer 持续次数，当规则执行结果持续多久符合条件时报警（防抖），默认值：2 2 metric 否 String 监控指标，说明有condition参数时，metric是必填项 cpuutil fun 否 String 本参数表示采用算法。默认值：min。取值范围：last：原始值。avg：平均值。max：最大值。min：最小值。sum：总和。根据以上范围取值。 min operator 否 String 本参数表示比较符。默认值：le。取值范围：eq：等于。gt：大于。ge：大于等于。lt：小于。le：小于等于。ne：不等于。rg：环比上升。cf：环比下降。rc：环比变化。根据以上范围取值。 le value 否 String 告警阈值，整数型或小数点型字符串， 默认值：80。 如果是小数点型字符串，小数点位数不能超过2位。 80 period 否 String 本参数表示算法统计周期。默认值：5m。参数fun为last时不可传。参数fun为avg、max、min、sum均需填此参数。本参数格式为“数字+单位”。单位取值范围：m：分钟。h：小时。d：天。根据以上范围取值。 5m unit 否 String 本参数表示单位. 默认值：空字符。 KB/s