云堡垒机的“主机网盘”是什么？ 云堡垒机“主机网盘”是系统用户的个人网盘，可作为用户传输文件的“中转站”，暂存用户上传/下载的文件。 系统用户私有个人网盘空间。网盘中内容仅用户自己可见，对系统其他用户不可见。 与系统用户直接关联。用户被删除后，个人网盘中数据将被清空，个人网盘内存将被释放。 可用内存大小为系统配置的“个人网盘空间”大小。 系统所有用户的已使用个人网盘空间，不能超过系统配置的“网盘总空间”大小。 注意 不支持用户自定义个人网盘空间大小，仅能由系统管理员设置“个人网盘空间”，为系统用户分配相同大小的个人网盘空间； 不支持查询个人网盘已使用内存大小； 不支持设置定期清理，用户仅能通过手动删除文件来清理空间。 如何清理个人网盘空间？ 云堡垒机“主机网盘”是系统用户的个人网盘，暂不支持设置定期清理。 管理员可通过手动删除过期或废弃的文件，来清理个人网盘空间。 删除某个用户所有的网盘空间 1 登录云堡垒机系统。 2 选择“系统 > 数据维护 > 存储配置”，进入系统存储配置管理页面。 3 展开网盘空间，即可查看设置的“个人网盘空间”和“网盘总空间”。 4 单击“详情”，进入网盘详情页面。 5 在目标网盘所在行的“操作”列，单击“删除网盘数据”，可以清理个人网盘空间。 勾选多个需要删除的网盘数据，单击“删除网盘数据”，可批量清理个人网盘数据。

本节介绍了怎样调整系统盘分区的操作场景、操作步骤。 操作场景 弹性云主机创建成功后，如果发现系统盘分区的容量大小和实际创建的系统盘大小不一致，可以通过手动调整系统盘分区，扩容系统盘的空白空间。 扩容的方法有如下两种： 将空白分区划分成新分区，并将新分区格式化后挂载到root根分区的某个目录下。具体方法请参见本节内容。 将扩容的空白分区直接扩容到根分区。具体方法请参见FAQ： − 如何将扩容系统盘的空白分区在线扩容到末尾的root分区？ − 如何将扩容系统盘的空白分区在线扩容到非末尾的root分区？ 操作步骤 以镜像为CentOS 7.3 64bit的弹性云主机为例，用户在创建弹性云主机时，创建了容量为60GB的系统盘，但是查询系统盘分区后，显示的容量大小仅为40GB。 为使用增加的20GB容量，需调整系统盘分区，具体操作如下： 步骤 1 查看磁盘分区 1. 登录Linux弹性云主机。 2. 执行以下命令，切换至root用户。 sudo su 3. 执行以下命令，查看云主机的磁盘详情。 fdisk l 回显类似如下，其中，“/dev/xvda”或“/dev/vda”表示系统盘。 图 查看磁盘详情 4. 执行以下命令，查看磁盘分区。 parted l /dev/xvda 图 查看磁盘分区 步骤 2 将系统盘扩容后的空间划分为一个新的分区 1. 执行以下命令，进入fdisk模式。以“/dev/xvda”为例： fdisk /dev/xvda 回显类似如下： [root@ecs8d6c ]

接口功能介绍 导出指定时间段内的云主机时序指标监控数据，导出格式为csv文件。 接口约束 regionID（资源池）、deviceUUIDList（云主机资源）、itemNameList（待查监控项名称）存在。 URI POST /v4/monitor/exportvmhistorymetricdata 请求参数 请求体body参数 参数 参数类型 是否必填 示例 说明 下级对象 regionID String 是 81f7728662dd11ec810800155d307d5b 资源池ID itemNameList Array of String 是 ["cpuutil"] 待查的监控项名称 startTime String 是 1667815639 查询起始时间戳 endTime String 是 1667817639 查询结束时间戳 deviceUUIDList Array of String 是 ["000f03221f4d8cc8bb2e1c30fb751aa5"] 查询设备ID列表 period Integer 否 300 聚合周期，单位：秒，默认300 响应参数 根据请求参数导出监控数据为csv文件。 文件内容按照设备deviceUUID分隔，不同设备的数据以栏（多个行）为单位竖向排列。 同一设备的不同指标，按照时间戳横向排列，无数据则为空。 请求失败，返回参数参考历史监控数据查询系列接口。 请求示例 POST /v4/monitor/exportvmhistorymetricdata 请求体body json { "regionID": "81f7728662dd11ec810800155d307d5b", "startTime": "1667815639", "endTime": "1667817639", "itemNameList": [ "cpuutil", "diskwritebytesrate" ], "deviceUUIDList": [ "000f03221f4d8cc8bb2e1c30fb751aa5" ] }

本章介绍通过内网使用弹性云主机连接云数据库GaussDB 实例。 准备工作 云数据库GaussDB 提供gsql工具帮助您在命令行下连接数据库，您需要提前创建一台弹性云主机用于安装gsql工具。具体请参见《弹性云主机用户指南》。 须知 操作系统需要选择Euler操作系统。gsql支持的操作系统版本如下： X86：EulerOS V2.0SP5。 设置安全组规则 在访问数据库前，您需要将访问数据库的IP地址，或者IP段加入安全组入方向的访问规则，操作请参见设置安全组规则。 远程连接数据库 步骤 1 登录申请的弹性云主机。 步骤 2 在申请的弹性云主机上，上传客户端工具包并配置gsql的执行环境变量。 1. 以root用户登录客户端机器。 2. 创建“/tmp/tools”目录。 mkdir /tmp/tools 3. 获取云数据库GaussDB 软件包并解压。 unzip GaussDBopengaussclienttools.zip 4. 根据申请的弹性云主机的操作系统架构进入不同目录，获取“GaussDBKernelxxxEULER64bitgsql.tar.gz”，并上传到申请的弹性云主机“/tmp/tools”路径下。 说明 软件包相对位置为安装时所放位置，根据实际情况填写。 5. 解压文件。 cd /tmp/tools tar zxvf GaussDBKernelxxxEULER64bitgsql.tar.gz xxx为版本号，请根据实际情况替换。 6. 设置环境变量。 打开“~/.bashrc”文件。 vi ~/.bashrc 按下i键进入INSERT模式，在其中输入如下内容后，单击“ESC”退出编辑模式，使用“:wq!”命令保存并退出。 export PATH/tmp/tools/bin:$PATH export LDLIBRARYPATH/tmp/tools/lib:$LDLIBRARYPATH 使环境变量配置生效。 source ~/.bashrc 步骤 3 执行如下指令，根据提示输入密码，连接数据库。 数据库创建成功后，会默认生成名称为postgres的数据库，此处以postgres库为例。 gsql d postgres h 10.0.0.0 U root p 8000 Password for user root: postgres为需要连接的数据库名称，10.0.0.0分布式为CN的IP地址，主备版为主DN的IP地址，root为登录数据库的用户名，8000为CN的端口号。

接口功能介绍 调用此接口可创建通知模板。 接口约束 1. 同一服务和维度下，通知模板数量至多10个。 2. 同一服务和维度下，自定义默认通知模板只能设置一个。3. 其他参见请求参数说明。 URI POST /v4/monitor/createnoticetemplate 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 name 是 String 通知模板名称 ，长度240个字符。 xsZSu service 是 String 本参数表示服务。取值范围： ecs：云主机。 evs：云硬盘。 pms：物理机。 ... 云监控服务，具体服务参见云监控：查询服务维度及监控项 ecs dimension 是 String 本参数表示告警维度。取值范围： ecs：云主机。 disk：磁盘。 pms：物理机。 ... 云监控服务，具体服务参见云监控：查询服务维度及监控项 ecs contents 是 Array of Objects 通知模板 content isDefault 否 Boolean 是否为自定义默认通知模板，默认值为false false 表 content 参数 是否必填 参数类型 说明 示例 下级对象 content 是 String 通知模板内容， 长度不能超过400个字符。 this is content notifyType 是 String 本参数表示通知方式。取值范围： sms：短信。 email：邮件。 根据以上范围取值。 sms

接口功能介绍 调用此接口可创建通知模板。 接口约束 1. 同一服务和维度下，通知模板数量至多10个。 2. 同一服务和维度下，自定义默认通知模板只能设置一个。3. 其他参见请求参数说明。 URI POST /v4/monitor/createnoticetemplate 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 name 是 String 通知模板名称 ，长度240个字符。 xsZSu service 是 String 本参数表示服务。取值范围： ecs：云主机。 evs：云硬盘。 pms：物理机。 ... 云监控服务，具体服务参见云监控：查询服务维度及监控项 ecs dimension 是 String 本参数表示告警维度。取值范围： ecs：云主机。 disk：磁盘。 pms：物理机。 ... 云监控服务，具体服务参见云监控：查询服务维度及监控项 ecs contents 是 Array of Objects 通知模板 content isDefault 否 Boolean 是否为自定义默认通知模板，默认值为false false 表 content 参数 是否必填 参数类型 说明 示例 下级对象 content 是 String 通知模板内容， 长度不能超过400个字符。 this is content notifyType 是 String 本参数表示通知方式。取值范围： sms：短信。 email：邮件。 根据以上范围取值。 sms

连接类型 路由学习内容 创建传播的方法 图示说明 虚拟私有云（VPC） VPC的网段 自动创建：开启“默认路由表传播”功能，并指定默认传播路由表，系统会自动在默认传播路由表中为新接入的连接创建传播。 手动创建：您可以选择任意一个路由表，并在路由表中为连接创建传播。 一个连接可以在多个路由表中创建传播。 自动创建传播：自动在ER默认传播路由表中创建传播，比如VPC1连接 、VPC2连接。 手动创建传播：手动在ER自定义路由表中创建传播，比如VPC1连接。 不创建传播：不使用传播路由，手动在ER自定义路由表中创建静态路由，比如VPC3连接、VPC4连接。

云日志服务（LTS）目前支持5种日志结构化方式，分别是正则分析、JSON、分隔符、Nginx和结构化模板。您可以根据日志内容的实际场景进行选择。 正则分析 正则分析是使用正则表达式提取字段。 1. 选择示例日志：应选择一条比较典型的日志作为示例日志。 从已有日志中选择：单击“从已有日志中选择”，在弹出框中根据业务需求选择待操作的日志，单击“确定”。通过选择不同时间段筛选日志。 从剪切板中粘贴：单击“从剪切板中粘贴”，可直接自动将您剪切的日志内容复制到示例日志框中。 说明 时间范围有三种方式，分别是相对时间、整点时间和自定义。您可以根据自己的实际需求，选择时间范围。 1. 相对时间：表示查询距离当前时间1分钟、5分钟、15分钟等时间区间的日志数据。例如当前时间为19:20:31，设置相对时间1小时，表示查询18:20:31~19:20:31的日志数据。 2. 整点时间：表示查询最近整点1分钟、15分钟等时间区间的日志数据。例如当前时间为19:20:31，设置整点时间1小时，表示查询18:00:00~19:00:00的日志数据。 3. 自定义：表示查询指定时间范围的日志数据 2. 字段提取。包括自动生成和手动输入两种方式，可将选择的日志提取为以一个示例字段对应一个字段名称的格式的日志解析结果。 自动生成：当用户选择自动生成时，可以用鼠标选中示例日志中待结构化的日志内容，在弹出的对话框中为选中内容设置一个名称，名称必须以字母开始，且仅包含字母和数字，单击“添加”。 手动输入：当用户选择手动输入时，可以在输入框中输入正则表达式，单击“生成字段”来进行字段提取。正则表达式通过分组来捕获字段，分组指用圆括号"()"括起来的正则表达式，匹配出的内容就表示一个分组，分组包含如下三种形式： (exp)：把括号内的正则作为一个分组，系统自动分配组号，规则为从正则表达式的左边开始，第一个左括号”(”对应第一个分组，第二个”(”对应第二个分组，依次类推，组号从1开始，从左向右，依次累加。 (? exp)：表示命名分组，分组的正则表达式为exp，分组名为name。分组名必须以字母开始，且仅包含字母和数字，可以通过分组名或分组号引用该分组。 (?:exp)：表示不捕获分组，该分组只在当前位置匹配文本，在该分组之后，无法引用该分组，因为该分组没有分组名，没有分组号，也不会占用分组编号。 说明 在手工输入方式中，正则表达式的长度不能超过5000个字符，不强制要求用户在输入正则表达式时对分组进行命名，单击“生成字段”会以命名分组中的分组名作为字段名称，对于非命名分组会提取出对应的字段，并给字段名称默认命名field1、field2、field3……。 3. 单击“保存”，完成日志结构化配置，初次设置完成后将不能对字段类型编辑修改。

本文介绍产品增值与定制内容申请的相关内容。 如果您有增值/定制的需求，您可以联系客户经理或天翼云客服，提交您的需求。 也可以进入官网以工单的形式提交您的需求。 工单提交流程： 第一步，登陆天翼云官网，点击用户菜单下的“工单管理“； 工单管理页面 第二步，进入“提交工单”页面，在安全加速业务处点击“提问”； 提交工单页面 第三步，根据您的需求，选择“问题分类”，或“创建工单” 问题分类和创建工单页面

导出源库数据 步骤 1 登录到已准备的弹性云服务器或可访问源数据库的设备。 步骤 2 使用mongoexport，将源数据库转储至JSON文件。 此处以SSL连接方式为例进行说明，如果选择普通连接方式，去掉命令中对应的“ssl sslAllowInvalidCertificates”即可。 ./mongoexport host port ssl sslAllowInvalidCertificates type json authenticationDatabase u db collection out DBADDRESS为数据库地址。 DBPORT为数据库端口。 AUTHDB为存储DBUSER信息的数据库，一般为admin。 DBUSER为数据库用户。 DBNAME为要迁移的数据库名称。 DBCOLLECTION为要迁移的数据库集合。 DBPATH为存储数据JSON文件所在的路径。 出现如下提示时，输入数据库管理员对应的密码： Enter password: 示例如下，命令执行完会生成“exportfile.json”文件： ./mongoexport host 192.168.1.21 port 8635 ssl sslAllowInvalidCertificates type json authenticationDatabase admin u rwuser db test02 collection Test out /tmp/mongodb/export/exportfile.json 步骤 3 查看导出结果。 输出内容显示如下，说明迁移成功。其中，“x”表示转储数据的记录条数。 exported x records 步骤 4 压缩导出的JSON文件。 gzip exportfile.json 压缩是为了方便网络传输，压缩后生成“exportfile.json.gz”文件。 将数据导入至目标DDS 步骤 1 登录到已准备的弹性云服务器或可访问文档数据库的设备。 步骤 2 将要导入的数据上传到弹性云服务器或可访问文档数据库的设备。 根据不同的平台选择相应的上传方法。 Linux下可参考命令： scp @ : − IDENTITYFILE为存储“exportfile.json.gz”的文件目录，该文件目录权限为600。 − REMOTEUSER为弹性云服务器的操作系统用户。 − REMOTEADDRESS为弹性云服务器的主机地址。 − REMOTEDIR为将“exportfile.json.gz”上传到弹性云服务器的文件目录。 Windows平台下，请使用传输工具上传“exportfile.json.gz”至弹性云服务器。 步骤 3 解压数据包。 gzip d exportfile.json.gz 步骤 4 将转储文件导入到文档数据库。 此处以SSL连接方式为例进行说明，如果选择普通连接方式，去掉命令中对应的“ssl sslAllowInvalidCertificates”即可。 ./mongoimport host port ssl sslAllowInvalidCertificates type json authenticationDatabase u db collection file DBADDRESS为数据库实例的IP地址。 DBPORT为数据库端口。 AUTHDB为DBUSER进行权限验证的数据库，一般为admin。 DBUSER为数据库管理员帐号名。 DBNAME为要导入的数据库。 DBCOLLECTION为要导入的数据库中的集合。 DBPATH为转储数据JSON文件所在的路径。 出现如下提示时，输入数据库管理员对应的密码： Enter password: 示例如下： ./mongoimport host 192.168.1.21 port 8635 ssl sslAllowInvalidCertificates type json authenticationDatabase admin u rwuser db test02 collection Test file /tmp/mongodb/export/exportfile.json 步骤 5 查看迁移结果。 输出内容显示如下，说明迁移成功。其中，“x”表示转储数据的记录条数。 imported x records

本文主要介绍如何开启/关闭超线程。 操作场景 购买弹性云主机时，您可以通过设置“CPU选项”，开启或关闭超线程。若不设置，则默认开启超线程。 超线程HT（HyperThreading）技术，允许在CPU的每个物理内核上公开两个执行上下文，即一个物理内核包含两个虚拟的“逻辑内核”，可以处理不同的软件线程。vCPU（virtual CPU）即为虚拟的“逻辑内核”。 x86架构的弹性云主机实例支持超线程技术： 开启超线程：适用于需要CPU内核在同一时间并行处理更多的信息和后台任务的场景，开启多线程可以大幅提升计算体验。 关闭超线程：适用于计算密集型，且关闭超线程时性能优于开启超线程的场景，例如风机荷载、材料计算等HPC场景。 约束与限制 弹性云主机购买完成后无法修改超线程状态，需要通过变更规格的方式修改ECS实例的超线程状态。 该操作不涉及收费。 支持开启或关闭超线程的规格，请参见实例规格（X86）、实例规格（鲲鹏）中各类云主机的概述介绍。 目前除海口资源池外，均已支持此功能。 开启/关闭超线程（购买时） 1、登录控制台，进入购买弹性云主机页面。 根据业务需要，完成基础配置、网络配置以及高级配置。详细内容，请参见创建弹性云主机。 2、勾选“现在配置”，展开“高级选项”。 3、勾选“指定CPU选项”。 4、设置“每核心线程数”。 当勾选“指定CPU选项”时，显示该参数。在“每核心线程数”下拉框进行设置。 关闭超线程 开启超线程，默认开启 5、单击“下一步：确认配置”，确认参数并完成弹性云主机的购买。

第二步：上传文件 您可以将本地文件直接通过Internet上传至ZOS指定的位置。待上传的文件可以是任何类型：文本文件、图片、视频等。 1. 在ZOS控制台，点击特定桶进入“概览”页面。 2. 选择“文件管理”页面，点击“上传文件”。 3. 选择拖拽或选择要上传到对象存储的本地文件或文件夹到指定位置。 4. 点击“确定”，完成上传。 第三步：下载文件 您可以通过ZOS控制台将存储在ZOS中的文件下载到本地。 1. 在对象存储桶列表，点击Bucket名称进入“概览”页面。 2. 点击“文件管理”页面，选中要下载的文件，点击“下载”按钮。 3. 点击“确定”，完成文件下载。

本文主要介绍超高IO型实例类型总览 超高I/O型弹性云主机使用高性能NVMe SSD本地磁盘，提供高存储IOPS以及低读写时延，您可以通过管理控制台创建挂载有高性能NVMe SSD盘的弹性云主机。 在售：Ir7n、Ir3、I3、Ir7 规格名称 计算 磁盘类型 网络 :::: 超高I/O型Ir7n CPU/内存配比：1:4 vCPU数量范围：264 处理器：第三代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.4GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：600万PPS 最大内网带宽：40Gbps 超高I/O型Ir7 CPU/内存配比：1:4 vCPU数量范围：264 处理器：第三代英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.5GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：600万PPS 最大内网带宽：40Gbps 最大网络连接数：500万 超高I/O型Ir3 CPU/内存配比：1:4 vCPU数量范围：232 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.5GHz 高IO 超高IO 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：450万PPS 最大内网带宽：30Gbps 超高I/O型I3 CPU/内存配比：1:8 vCPU数量范围：864 处理器：英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.4GHz 高IO 超高IO 通用型SSD 极速型SSD 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：500万PPS 最大内网带宽：25Gbps

参数 说明 示例 实例 选择分布式消息RocketMQ实例。 instancexxx Topic 选择RocketMQ实例的Topic。 topic1 消息体 选择消息体（Body）的内容，更多内容请参考 全部事件 自定义属性 选择自定义属性（Properties）的内容，更多内容请参考 空 索引 选择索引（Keys）的内容，更多内容请参考 空 标签 选择标签（Tags）的内容，更多内容请参考 空

本文主要介绍云日志服务如何添加可视化图表至仪表盘。 支持将查询分析结果通过图表形式保存至仪表盘中进行长期监控。 前提条件 已完成日志采集接入，可成功采集到日志数据 日志内容已完成结构化配置 已完成仪表盘创建 操作步骤 1. 登录云日志服务控制台。 2. 在日志管理页面的日志项目列表中，点击已创建的日志单元名称，进入日志单元详情页面。 3. 在日志单元详情页面中，即可查看当前日志单元中的日志数据。 4. 在语句搜索模式下，输入查询语句与SQL分析语句，具体语法请参考SQL统计分析章节。 5. 点击【查询】按钮，结果将默认以表格形式呈现。 6. 点击右侧的图标类型，即可将表格转换为其他图表类型。 7. 点击【添加到仪表盘】按钮。可选择已创建的仪表盘，或新增仪表盘。点击确定后，即可将当前图表添加到仪表盘中。

本文主要介绍云日志服务如何进行通知策略管理。 通知策略包含通知对象、通知模板与通知时段，当告警触发时，只要不符合静默策略，就会根据所配置的通知策略在对应渠道发送告警信息给对应的通知对象。本文介绍如何创建通知策略。 前提条件 已完成通知组配置，详情请查看通知组管理。 操作步骤 1. 登录云日志服务控制台。 2. 左侧导航栏点击告警管理通知策略模块。 3. 点击【创建通知策略】。 4. 在页面中输入通知策略名称。 5. 点击【添加通知对象】，可添加联系人、联系人组、翼连、webhook四种类型的通知对象，每种类型下可添加具体通知对象。 6. 检查通知模板，您可根据实际情况修改不同渠道的通知模板内容。 7. 设置通知时段，告警信息只在您配置的时段进行通知，不配置默认全天通知时段。 8. 点击【确定】，完成通知策略创建。

本文介绍访问DDoS高防（边缘云版）内容响应403状态码可能的原因及解决方案。 问题现象 请求DDoS高防（边缘云版）域名资源时，边缘节点响应403状态码，无法访问资源。 可能原因及解决方案 场景一：加速域名在DDoS高防（边缘云版）控制台上未配置 若域名未在DDoS高防（边缘云版）平台进行配置，该域名请求访问到边缘节点时，边缘节点会直接响应403。具体报错如下： 解决方案：针对加速域名未在DDoS高防（边缘云版）控制台配置的情况，可以将需要加速的域名在DDoS高防（边缘云版）控制台上配置，配置完成后，进行对应的CNAME ，再重新请求对应的资源。 场景二：源站响应403问题 当用户端对该资源发起请求，边缘节点转发回源，源站如果响应403状态码给边缘节点，边缘节点会将403响应给用户端。具体报错如下： 解决方案：针对源站响应的403，需要源站排查对应原因，源站修改对应响应后，用户端再重新发起请求。 场景三：防护策略拦截 若在DDoS高防（边缘云版）控制台上配置访问控制、频率控制、CC防护，当请求触发拦截策略时，边缘节点会响应403。具体报错如下： 解决方案：如果IP为正常请求IP，可以在DDoS高防（边缘云版）控制台调整防护策略，配置生效后，再重新发起请求。

步骤三： 飞书配置机器人事件并发布应用 注意 进行步骤三配置前，请确保已完成以上配置流程，并确保 OpenClaw Gateway 在正常运行状态，否则可能导致配置失败 1. 配置事件订阅方式。登录飞书开放平台，进入需要配置的机器人详情页，从左侧导航中进入“事件与回调”页，配置订阅方式。 点击编辑按钮，在展开的表单中，选择“使用 长连接 接收事件”并保存。 2. 添加事件。点击“添加事件”按钮，在弹窗中，以“应用身份”，选择并添加以下事件：“接收消息”、“消息已读”、“机器人进群”、“机器人被移出群”。 添加好后，可在列表中查看已添加的已添加的事件。 3. 配置回调订阅方式。进入“回调配置”Tab页签，点击订阅方式编辑按钮。 在展开的菜单中选择“使用 长连接 接收回调”并保存。 4. 发布应用。从左侧导航中，进入“版本管理与发布页”，点击创建版本按钮。 填写版本详情后，点击底部“保存”按钮，申请发布应用。 管理员用户在飞书管理后台中，进行应用审核并通过后，即完成应用发布。 说明 若需要使用多Agent，请重复步骤三中的操作，每个机器人应用都需要进行事件配置。

数据库增值服务包 天翼云针对客户有长期需求的项目，提供由专家服务团队负责全面技术运维工作的长期服务，确保客户数据库在服务期间稳定运行，服务内容包括但不限于： 定期健康巡检。 故障诊断分析及处理。 7 24小时微信工作群和电话支持服务。 数据库管理员 数据库管理员简称DBA，是从事管理和维护数据库管理系统（DBMS）相关工作人员的统称。DBA负责的工作可能涉及：容量规划、安装、配置、数据库设计、迁移、性能监测、安全性、故障排除，以及备份和数据恢复等。 数据库上云 数据库上云是指将企业IT系统使用的本地自建数据库迁移到云数据库，企业数据库上云后，比之使用本地自建数据库具有运维简单、可弹性扩容、服务稳定性好、容灾方案灵活等优势，可以让企业将更多的精力放在业务上。 数据库迁移 数据库迁移指数据库随着应用业务从一个环境迁移到另一个环境，例如，从本地 IDC 迁移到云上，或者从某个云迁移到另一个云上。

本节主要介绍创建自定义策略 如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。 目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 可视化视图配置自定义策略 步骤 1 登录IAM控制台。 步骤 2 在统一身份认证服务，左侧导航窗格中，选择“权限管理>权限”页签，单击右上方的“创建自定义策略”。 步骤 3 输入“策略名称”。 步骤 4 “策略配置方式”选择“可视化视图”。 步骤 5 在“策略内容”下配置策略。 1. 选择“允许”或“拒绝”。 2. 选择“云服务”。 说明 此处只能选择一个云服务，如需配置多个云服务的自定义策略，请在完成此条配置后，单击“添加权限”，创建多个服务的授权语句；或使用JSON视图配置自定义策略。 暂不支持一个自定义策略同时包含全局级云服务和项目级云服务。如果需要同时设置全局级服务和项目级服务的自定义策略，请创建两条自定义策略，便于授权时设置最小授权范围。 3. 选择“操作”，根据需求勾选产品权限。 4. （可选）选择资源类型，如选择“特定资源”可以单击“通过资源路径指定”来指定需要授权的资源。 说明 支持为特定资源授权的云服务目前仅包括对象存储服务（OBS）、分布式消息服务（DMS） 表 资源类型 类型 说明 特定资源 授予IAM用户特定资源的相应权限。如授予IAM用户以TestBucket命名开头的桶相应权限，需将bucket设置为通过资源路径指定，添加资源路径：OBS:: :bucket:TestBucket。 说明 指定桶资源：【格式】OBS:: :bucket:桶名称 对于桶资源，IAM自动生成资源路径前缀 “ obs:::bucket: ” 。通过桶名称 指定具体的资源路径，支持通配符。例如：obs:: :bucket:表示任意OBS桶。指定对象资源：【格式】OBS: ::object: 桶名称 / 对象名称 对于对象资源，IAM自动生成资源路径前缀 “obs: ::object:” 。 通过 桶名称 / 对象名称指定具体的资源路径，支持通配符 。 例如：obs:::object:mybucket/myobject/表示mybucket桶下myobject目录下的任意对象。 所有资源 授予IAM用户所有资源的相应权限。 5. （可选）添加条件，单击“添加条件”，选择“条件键”，选择“运算符”，根据运算符类型填写相应的值。 表 条件参数 参数名称 参数说明 条件键 条件键表示策略语句的Condition 元素中的键值。分为全局条件键和服务级条件键。全局级条件键（前缀为g:）适用于所有操作；服务级条件键（前缀为服务缩写，如obs:）仅适用于对应服务的操作，详情请参见对应云服务的用户指南。 运算符 与条件键、条件值一起使用，构成完整的条件判断语句。 值 与条件键、运算符一起使用，当运算符需要某个关键字时，需要输入关键字的值，构成完整的条件判断语句。 表 全局级请求条件 全局条件键 条件类型 说明 g:CurrentTime 时间 接收到鉴权请求的时间。以ISO 8601 格式表示，例如：20121111T23:59:59Z。 g:DomainName 字符串 帐号名称。 g:MFAPresent 布尔值 是否使用MFA多因素认证方式获取Token。 g:MFAAge 数值 通过MFA多因素认证方式获取的Token的生效时长。该条件需要和g:MFAPresent一起使用。 g:ProjectName 字符串 项目名称。 g:ServiceName 字符串 服务名称。 g:UserId 字符串 IAM用户ID。 g:UserName 字符串 IAM用户名。 步骤 6 （可选）在“策略配置方式”选择JSON视图，将可视化视图配置的策略内容转换为JSON语句，您可以在JSON视图中对策略内容进行修改。 说明 如果您修改后的JSON语句有语法错误，将无法创建策略，可以自行检查修改内容或单击界面弹窗中的“重置”，将JSON文件恢复到未修改状态。 步骤 7 （可选）如需创建多条自定义策略，请单击“添加权限”；也可在已创建的策略最右端单击“+”，复制此权限。 步骤 8 输入“策略描述”（可选）。 步骤 9 单击“确定”，自定义策略创建完成。 步骤 10 将新创建的自定义策略授予用户组，使得用户组中的用户具备自定义策略中的权限。 说明 给用户组授予自定义策略与系统策略操作一致，详情请参考“用户组及授权”

使用建议： 如果您对您的域名并不熟悉，不熟悉域名的带宽、流量信息、遭受攻击数量等情况时，建议您在域名接入配置时选择监控模式（推荐模式），或者在网站防护模式中选择告警模式，先观察一段时间（推荐两周）的流量、攻击特征，收集到一定的域名信息特征和攻击日志后结合业务场景选择是否切换到拦截模式。 您可以分析根据以下情况进行调整： 如果攻击日志中未发现正常的业务请求被误拦截，攻击日志内容中记录的都是非法请求的情况下，建议您将域名总开关、域名规则开关均切换到拦截模式，开始对您的网站进行域名规则防护。 如果发现攻击日志中存在正常业务流量日志内容，如果您有一定的网站安全基础，您可以手动配置访问控制、关闭误拦截的域名规则等方式减少误报，再切换至拦截模式。 如果发现攻击日志中存在正常业务流量日志内容，您也可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。 域名的业务请求中应当注意内容： 在常规的业务请求中，尽量不要直接以原始SQL语句、代码作为参数进行传递，可能会遭受到攻击篡改和域名规则的误拦截，比如/ap1/v1/update?contentselect from t where 在常规的业务请求中，要注意不要泄露服务器敏感信息(比如直接将含有数据库连接的错误堆栈内容返回浏览器)。服务器敏感信息泄露可能会被攻击者获取用于入侵，同时有服务器敏感信息泄露风险的请求也很可能被WAF拦截。

本节介绍了共享镜像的流程等内容。 共享镜像概述 共享镜像是将自己已经创建好的私有镜像共享给其他用户使用。共享后，接受者可以使用该共享镜像快速创建运行同一镜像环境的云主机。 约束与限制 镜像支持共享到对方租户相同区域内。 每个镜像最多可以共享给128个租户，整机镜像最多可以共享给10个租户。 加密镜像不支持共享。 只有通过云服务备份，或者云主机（未通过旧版CSBS服务生成备份）创建的整机镜像，才支持共享。 共享过程 用户A作为共享镜像提供者，用户B作为共享镜像接受者时，用户A将私有镜像共享给用户B的具体流程如下： 1. 用户B提供自己的账号名给用户A。 如果用户B是专属云用户或多项目用户，除提供账号名外，还需要额外提供项目名称。 2. 用户A共享指定的镜像给用户B。 3. 用户B确认接受用户A的共享镜像。 用户B可以使用用户A共享的镜像，完成创建云主机等操作。 相关问题 还有其他关于共享镜像的疑问，请参考镜像共享类。 获取账号名和项目名称 操作场景 用户A将私有镜像共享给用户B之前，用户B将自己的账号名提供给用户A。如果用户B为专属云用户或多项目用户，还需要额外提供项目名称。本节指导用户B获取账号名和项目名称。 操作步骤 1. 用户B登录控制台。 2. 选择“镜像服务”。 进入镜像服务页面。 3. 单击右上角的用户名，选择下拉列表中的“我的凭证”。 在“我的凭证”页面的项目列表中查看账号名和项目名称（即“项目”列取值）。

更新日期 更新内容 20201211 第一次正式发布。 20221025 第二次正式发布。本次更新说明如下：修改API文档格式。 20231221 第三次正式发布。本次更新说明如下：修改API文档内容。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建RabbitMQ实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通RabbitMQ实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问RabbitMQ实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：RabbitMQ实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问RabbitMQ实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Kafka实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通Kafka实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Kafka实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Kafka实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Kafka实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Redis实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通redis实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Redis服务端口（6379）。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的Redis实例将无法被同VPC内的云主机访问。 应对措施 如需VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Redis的服务端口(如：6379）。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Redis服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建MQTT实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通MQTT实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问MQTT实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：MQTT实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问MQTT实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

参数 说明 示例 实例 选择分布式消息服务RocketMQ实例。 instancexxx Topic 选择RocketMQ实例的Topic。 topic1 消息体 选择消息体（Body）的内容，更多内容请参考 完整事件 自定义属性 选择自定义属性（Properties）的内容，请参考 空 索引 选择索引（Keys）的内容，更多的内容，请参考 空 标签 选择标签（Tags）的内容，更多的内容，请参考 空

本节介绍了什么是磁盘模式、SCSI磁盘的常见使用场景和建议、使用SCSI类型磁盘需要安装驱动吗。 什么是磁盘模式 根据是否支持高级的SCSI命令来划分磁盘模式，分为VBD(虚拟块存储设备 , Virtual Block Device)类型和SCSI (小型计算机系统接口, Small Computer System Interface) 类型。 VBD类型：磁盘模式默认为VBD类型。VBD类型的磁盘只支持简单的SCSI读写命令。 SCSI类型：SCSI类型的磁盘支持SCSI指令透传，允许云主机操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的磁盘还可以支持更高级的SCSI命令。 磁盘模式在购买磁盘时配置，购买完成后无法修改。 SCSI磁盘的常见使用场景和建议 SCSI磁盘：物理机仅支持使用SCSI磁盘，用作系统盘和数据盘。 SCSI共享盘：当您使用共享盘时，需要结合分布式文件系统或者集群软件使用。由于多数常见集群需要使用SCSI锁，例如Windows MSCS集群、Veritas VCS集群和CFS集群，因此建议您结合SCSI使用共享盘。 如果将SCSI共享盘挂载至ECS时，需要结合云主机组的反亲和性一同使用，SCSI锁才会生效，关于更多共享盘的内容，请参见共享云硬盘及使用方法。

漏洞描述 polkit是一个在类 Unix操作系统中控制系统范围权限的组件。通过定义和审核权限规则，实现不同优先级进程间的通讯。 polkit存在本地权限提升漏洞，由于pkexec无法正确处理调用参数计数，攻击者可利用该漏洞通过精心设计环境变量诱导pkexec执行任意代码，具有低权限的攻击者可以利用此漏洞绕过pkexec自带的安全保护措施，获取目标机器的ROOT权限。 基本信息 · CVE编号：CVE20214034 · 漏洞类型：本地提权 · 危险等级：高危 · 检测方式：版本对比 · 是否加入全局：是 · 公布时间： 20220125 · 风险特征：存在EXP本地提权 · CVSS评分： 7 · CVSS详情： AV:L/AC:L/Au:N/C:C/I:C/A:C 漏洞利用链接 修复建议 将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上，补丁修复可能存在docker网络断开风险，修复需谨慎，建议测试验证无误后进行升级操作。 参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级： CentOS/RedHat/Oracle Linux : sudo yum update y 需要升级的软件包名(参考检测结果) SUSE : sudo zypper update y 需要升级的软件包名(参考检测结果) Ubuntu/Debian : sudo aptget update && sudo aptget install onlyupgrade y 需要升级的软件包名(参考检测结果) 例：若漏洞的检测结果中主机系统为CentOS 7，软件包名称为 polkit，当前安装版本为 0.11226.el7，对应漏洞修复版本为 0.11226.el79.1，则漏洞修复命令为 sudo yum update y polkit

本文介绍如何添加以及停用域名。 1.进入SCDN客户控制台，选择【域名管理】，这个页面您可以查看已添加的域名的信息，包括加速域名、CNAME、域名状态、创建时间、和产品类型等信息。 2.点击右上角【新增域名】； 图 域名管理页面 3.填写加速域名信息，并选择产品类型【安全加速】； 图 添加安全加速域名页 4.根据您的需求，选择您加速域名的【源站设置】、【缓存设置】、【访问控制】功能，并填写您的安全加速域名加速部分的相关配置； 图 域名配置信息页 可以选择填写需要配置的源站信息、HTTPS证书访问、缓存以及访问控制等配置； 5.完成域名加速部分的填写后，需要配置安全配置。 图 安全配置页面 可根据需求进行配置WAF、CC防护，先开启开关后进行对应的相关配置 6.域名配置填写和确认无误后，点击【新增域名】按钮提交您的加速域名配置； 7.完成新增域名操作后，可通过【工单列表】或直接点击查看进度，查看该域名配置过程中所处状态；后台人员审核并执行相关配置，配置最久需要3个工作日； 8.完成新增域名操作后，即域名状态为已完成，可通过【域名列表】查看该域名配置详情；

步骤五：创建独享型ELB并为其添加HTTP监听器和后端云主机组 1. 选择“网络 > 弹性负载均衡”。 2. 单击“购买弹性负载均衡”。 3. 根据上表创建独享型负载均衡ELBTest，根据需要设置相关参数。 1. 实例规格类型：独享型。 2. 跨VPC后端：开启。 3. 所属VPC：VPCTest01。 4. 名称：ELBTest。 5. 其他参数根据需要设置。 4. 独享型ELB创建成功后，在ELBTest中添加HTTP监听器和后端云主机组。 步骤六：将ECS添加至ELB后端云主机组 1. 单击上述创建的独享型负载均衡ELBTest名称。 2. 切换到“监听器”页签，单击上述所创建的HTTP监听器。 3. 切换至“后端云主机组”页签，单击“跨VPC后端”。 4. 单击“添加跨VPC后端”，设置相关参数，完成后单击“确定”。 1. 跨VPC后端IP：172.17.0.145（ECSTest的私网IP）。 2. 后端端口：填写业务端口。 3. 权重：根据需要设置。 步骤七：验证跨VPC添加后端云主机是否成功 1. 单击上述创建的独享型负载均衡ELBTest操作列的“更多”。 2. 选择“绑定IPv4公网IP”，给ELBTest绑定一个弹性公网IP。 3. 使用浏览器访问以上绑定的弹性公网IP地址，如正常反馈nginx部署内容，说明本次访问请求被ELB实例转发到后端云主机“ECSTest”上，“ECSTest”正常处理请求并返回请求的页面。