本文介绍中国电信天翼云服务协议。 天翼云应用加速产品采用《天翼云CDN服务协议》，详情请参见天翼云CDN服务协议。

本节主要介绍创建密钥 密钥（Secret）是一种用于存储应用认证信息、应用密钥等敏感信息的资源，内容由用户决定。密钥创建完成后，可在应用中作为文件或者环境变量使用。 前提条件 已创建需要使用密钥的集群。 创建混合集群，请参考“帮助中心 > 云容器引擎 > 用户指南 > 集群管理 > 创建混合集群”。 已创建密钥所在命名空间，请参考“帮助中心 > 云容器引擎 > 用户指南 > 集群管理 > 命名空间”。 创建密钥 1、登录ServiceStage控制台，选择“应用管理 > 应用配置 > 密钥”。 2、单击“创建密钥”。 3、ServiceStage支持“可视化”和“YAML”两种方式来创建密钥。 方式一：可视化。参照下表设置基本信息，其中带“”标志的参数为必填参数。 表 基本信息说明 参数 参数说明 :: 基本信息 密钥名称 新建的密钥的名称，同一个命名空间内命名必须唯一。 所在集群 使用新建密钥的集群。 单击“创建集群”，可以新建集群。 命名空间 新建密钥所在的命名空间，默认为default。 描述 密钥的描述信息。 单击“创建命名空间”，可以新建命名空间。 密钥类型 根据业务需要选择新建的密钥类型。 Opaque：一般密钥类型。当密钥配置文件中未作显式设定时，默认的密钥类型是Opaque。 kubernetes.io/dockerconfigjson：存放拉取私有仓库镜像所需的认证信息。 IngressTLS：存放7层负载均衡服务所需的证书。 其他：若需要创建其他类型的密钥，请手动输入密钥类型。 镜像仓库地址 当“密钥类型”选择kubernetes.io/dockerconfigjson时有效。输入镜像仓库的地址。 密钥数据 应用密钥的文件data字段值。 当密钥为Opaque类型时，输入键、值。其中“值”必须使用Base64编码。单击“添加更多密钥数据”，可以增加密钥数据 。 当密钥为kubernetes.io/dockerconfigjson类型时，输入“镜像仓库地址”、“用户名”和“密码”。 当密钥为IngressTLS类型时，上传“证书文件”和“私钥文件”。 当密钥为其他类型时，输入“密钥类型”及对应的“键”、“值”。 密钥标签 标签以Key/value键值对的形式附加到各种对象上（如应用、节点、服务等）。 标签定义了这些对象的可识别属性，用来对它们进行管理和选择。 单击“添加标签” 。 输入键、值。 方式二：YAML。 若需要通过上传文件的方式创建资源，请确保资源描述文件已创建。ServiceStage支持yaml格式，详情请参考Secret资源文件配置说明。 a.在“所在集群”下拉框中，选择相应的集群。 b.（可选）单击“上传文件”，选择已创建的Secret类型资源文件后，单击“打开”。 请上传小于2MB的文件。 c.在“编排内容”中写作或者修改上传的Secret资源文件。 4、配置完成后，单击“创建”。 密钥列表中会出现新创建的密钥。

设置灰度规则并引入流量 金丝雀提供两种灰度规则，分别是按比例路由和按内容路由，按比例路由指的是将指定比例的流量路由到灰度应用，按内容路由是指针对请求头、请求参数或请求体中的内容做匹配，将满足匹配规则的流量路由到灰度应用。 按比例路由 1.登录微服务治理中心控制台。 2.在左侧导航栏选择 微服务治理中心 >应用治理。 3.在应用治理页面单击目标应用卡片。 4.在左侧导航栏选择流量治理 金丝雀，点击引入流量。 5.设置灰度应用的流量比例。 按内容路由 1.登录微服务治理中心控制台。 2.在左侧导航栏选择 微服务治理中心 >应用治理。 3.在应用治理页面单击目标应用卡片。 4.在左侧导航栏选择流量治理 金丝雀，点击引入流量。 5.设置灰度应用的内容规则。 按内容灰度参数说明： 参数 说明 框架类型 Spring Cloud/Dubbo。 Path Spring Cloud为接口路径，Dubbo为接口。 条件模式 满足一个条件，或满足所有条件。 条件列表 可以设置Header、Cookie、Parameter和Body Content四种参数类型。 是否链路传递 代表开启全链路流控。

事件由事件源发出，是事件源状态变化的数据记录。本文介绍事件总线EventBridge的事件参数详情。事件源发布事件到事件总线EventBridge，需遵循CloudEvents 1.0协议。 以下是事件源发布到事件总线EventBridge的示例事件： plaintext { "id":"b5771f7648edb1bad15418c", "source":"ctyun.oss", "specversion":"1.0", "type":"my.source:events", "subject":"my.source:huadong1:{AccountId}:myproject:xxx", "time":"20240305T13:52:18.374Z", "datacontenttype":"application/json;charsetutf8", "data":{ "key":"value", "def":"xxxx" }, "ctyunaccountid":"123456789", "ctyunresourceid":"27aadda411eea6fce8b47009", "ctyuneventbusname":"default", "ctyunregion":"bb9fdb4205610002", } 事件中涉及的参数如下所示。 参数 类型 是否必选 示例值 说明 id String 是 b5771f7648edb1bad15418c 事件ID。标识事件的唯一值。发送端必须确保source +id 是唯一的，如果由于网络等原因事件被重新发送，可能会产生两个相同id 的事件。接收端会认为具有相同source 和id 的事件是重复的。事件通过规则路由到目标、事件被处理时，需要根据id跟踪事件。 source String 是 ctyun.oss 事件源唯一标识。提供事件的服务。标识事件发生的内容。一般会包含事件源的类型，发布事件的机制或生产事件的过程。发送端必须确保每个事件的source +id是唯一的。 specversion String 是 1.0 CloudEvents协议版本。 type String 是 oss:createbucket 事件类型。描述事件源相关的事件类型。该参数用于路由、事件查询和策略执行等。格式由生产者定义，且包含版本等信息。 subject String 否 ctyun.oss:huadong1:{AccountId}:bucketnamexxx 事件主体。在发布订阅模式中，订阅者通常订阅source 发出的事件，当source 中包含子结构时，只使用source 无法对具体事件进行清晰的定义，subject 参数在订阅过滤场景中对data无法解释的内容提供说明。 time Timestamp 否 20240305T13:52:18.374Z 事件产生的时间。如果无法确定事件发生的时间，事件生产者可以把time 设置为其他时间（例如当前时间），但是同一个source的所有生产者设置的值必须是一致的。 datacontenttype String 否 application/json;charsetutf8 参数data 的内容形式。datacontenttype只支持application/json格式。 data Struct 否 { "abc":"1111", "def":"xxxx" } 事件内容。JSON对象，内容由发起事件的服务决定。CloudEvents可能包含事件发生时由事件生产者给定的上下文，data中封装了这些信息。 ctyunaccountid String 否 123456789 天翼云账号ID，选填，不是CloudEvents1.0协议规定的必选字段。 ctyunuserid String 否 123456789 天翼云用户ID，选填，不是CloudEvents1.0协议规定的必选字段。 ctyunresourceid String 否 27aadda4db9411eea6fce8b47009 天翼云资源ID，选填，不是CloudEvents1.0协议规定的必选字段。 ctyuneventbusname String 是 default 接收事件的事件总线名称，必填。如：官方产品专用总线为default，亦可填写用户创建的自定义总线名。 ctyunregion String 否 bb9fdb4205610002 接收事件的地域。如华东一为：bb9fdb4205610002，选填。 事件源发布到事件总线EventBridge的事件有以下两种类型： 天翼云服务事件 天翼云服务作为事件源自动接入事件总线EventBridge，将事件投递到总线名为default的官方总线。关于事件总线EventBridge支持的所有天翼云服务事件类型，请参见天翼云官方事件源概述。 自定义应用事件 您自己的应用作为事件源接入时，需要配置自己的应用使用SDK接入事件总线EventBridge，详见SDK概述。

了解存储资源盘活系统的使用前提。 确认使用场景 如需要存储的数据类型（存储视频类、医疗影像类还是文件类等）、单个存储文件的大小、预计数据总量 、每天产生的数据量、存储周期等业务侧场景。 确认部署位置 用户希望HBlock服务器在客户侧还是在云端，是物理机还是虚拟机，服务器是否可以通过外网访问（是否可以远程进行部署）。 确认网络环境 如安装HBlock的服务器之间的网络带宽、从客户本地到HBlock所在服务器带宽。 服务器信息 如果需要天翼云运维人员进行部署，需要准备好服务器的登录信息，如：外网IP地址、连接端口号、用户名、密码等信息，运维人员将与您确认此信息后进行部署。 安装包下载 请根据用户的服务器架构类型，从下载页面选择合适的安装包进行下载，并上传到要管理的服务器中。 安装使用 您可以直接通过产品手册进行自助安装、配置和使用，也可以参考服务端部署进行安装配置。

本节包含了内存优化型弹性云主机的概述、规格和适用场景。 概述 内存优化型弹性云主机内存要求高，数据量大并且数据访问量大，同时要求快速的数据交换和处理。适用于广告精准营销、电商、车联网等大数据分析场景。 规格名称 计算 磁盘类型 网络 :::: 内存优化型M7n CPU/内存配比：1:8 vCPU数量范围：296 处理器：第三代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.4GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：850万PPS 最大内网带宽：40Gbps 内存优化型M7 CPU/内存配比：1:8 vCPU数量范围：2128 处理器：第三代英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.5GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：1200万PPS 最大内网带宽：42Gbps 内存优化型M6nl CPU/内存配比：1:8 vCPU数量范围：264 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.5GHz 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：800万PPS 最大内网带宽：40Gbps 内存优化型M6 CPU/内存配比：1:8 vCPU数量范围：264 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.4GHz 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：1000万PPS 最大内网带宽：40Gbps 内存优化型M6s CPU/内存配比：1:8 vCPU数量范围：264 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.5GHz 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：850万PPS 最大内网带宽：34Gbps 内存优化型M3 CPU/内存配比：1:8 vCPU数量范围：260 处理器：英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.4GHz 超高IO 通用型SSD 高IO 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：500万PPS 最大内网带宽：17Gbps 类型 CPU基频/睿频 CPU型号 ::: M7n 2.6GHz/3.4GHz 6348 M7 3.0GHz/3.5GHz 8378A M6nl 3.0GHz/3.5GHz 6248R M6 3.0GHz/3.4GHz 6266(88HT) M6s 2.6GHz/3.5GHz 6278C M3 3.0GHz/3.4GHz 6151(72HT) 说明 对于Linux系统的弹性云主机，当v7代系以下规格的操作系统内核为5.16及以上版本时，不支持AVX指令，如需支持AVX指令，需使用低内核版本的操作系统，或变更为v7代系及以上版本的规格。 您可以通过 uname r 命令查看操作系统内核版本，也可以参考 M7n型弹性云主机搭载第三代英特尔® 至强® 可扩展处理器 ，受益于IceLake架构，性能全面提升 。 M7型弹性云主机搭载第三代英特尔® 至强® 可扩展处理器，在性能、安全、稳定性等方面全面升级，最大核数升级至128U，内存频率升级至3200MHz，适用于高内存计算应用。 M6nl型弹性云主机搭载第二代英特尔® 至强® 可扩展处理器 ，功能使用上与C6/M6完全相同。 M6型弹性云主机搭载第二代英特尔® 至强® 可扩展处理器 ，多项技术优化，计算性能强劲稳定。配套25GE智能高速网卡，提供超高网络带宽和PPS收发包能力；提供最大512GiB基于DDR4的内存实例，适用于高内存计算应用。 M3型弹性云主机基于KVM虚拟化平台，特别适合处理内存中的大型数据集，搭载英特尔® 至强® 可扩展处理器，同时搭载全新网络加速引擎，以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更高的网络性能，提供最大512GiB基于 DDR4 的内存实例，适用于高内存计算应用。 M1型弹性云主机内存要求高，数据量大并且数据访问量大，同时要求快速的数据交换和处理。适用于广告精准营销、电商、车联网等大数据分析场景。 在售：M7n、M7、M6nl、M6、M6s、M3。 已停售：M1。

操作场景 通过设置节点告警规则，用户可自定义监控目标与通知策略，及时了解节点运行状况，从而起到预警作用。 设置节点的告警规则包括设置告警规则名称、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数。本节介绍了设置告警规则的具体方法。 操作步骤 步骤 1 登录管理控制台。 步骤 1 单击“管理与部署 > 云监控服务”。 步骤 2 选择“告警 > 告警规则”。 步骤 3 单击“创建告警规则”。 步骤 4 在“创建告警规则”界面，根据界面提示配置参数。 1. 根据界面提示，配置规则信息参数。 图 配置规则信息 表 配置规则信息 参数 参数说明 :: 名称 系统会随机产生一个名称，用户也可以进行修改。 取值样例：alarmb6al 描述 告警规则描述（此参数非必填项）。 2. 选择监控对象，配置告警内容参数。 表12 配置告警内容 参数 参数说明 取值样例 ::: 资源类型 配置告警规则监控的服务名称。 弹性云主机 维度 用于指定告警规则对应指标的维度名称 云服务器 监控范围 告警规则适用的资源范围，可选择资源分组或指定资源。 说明 当选择资源分组时，该分组下任何资源满足告警策略时，都会触发告警通知。 选择指定资源时，勾选具体的监控对象，单击 将监控对象同步到右侧对话框。 指定资源 选择分组 当监控范围为资源分组时需配置此参数。 选择类型 根据需要可选择从模板导入或自定义创建。 说明 当监控范围为指定资源时可选择从模板导入。 自定义创建 模板 选择需要导入的模板。 告警策略 触发告警规则的告警策略。 当资源类型选择站点监控、日志监控、自定义监控、具体的云服务时，告警策略为一个周期性的动作。当资源类型选择事件监控时，具体的事件为一个瞬间的操作动作，而不是周期性动作。 例如：CPU使用率，监控周期为5分钟，连续三个周期平均值≥80% 挂载点 当监控指标为细颗粒度的磁盘类监控指标时需配置该参数。 Windows系统请输入对应的驱动器号，比如C、D或者E等，Linux系统请输入对应的挂载点，比如/dev、/opt等。 /dev 告警级别 根据告警的严重程度不同等级，可选择紧急、重要、次要、提示。 重要 3. 根据界面提示，配置告警通知参数。 表 配置告警通知 参数 参数说明 :: 发送通知 配置是否发送邮件、短信、HTTP和HTTPS通知用户。 生效时间 该告警规则仅在生效时间内发送通知消息。 如生效时间为08:0020:00，则该告警规则仅在08:0020:00发送通知消息。 主题通知 需要发送告警通知的主题名称。 当发送通知选择“是”时，需要选择已有的主题名称，若此处没有需要的主题则需先创建主题，该功能会调用消息通知服务（SMN），创建主题请参见《消息通知服务用户指南》。 触发条件 可以选择“出现告警”、“恢复正常”两种状态，作为触发告警通知的条件。 4. 配置完成后，单击“立即创建”，完成告警规则的创建。 告警规则添加完成后，当监控指标触发设定的阈值时，云监控服务会在第一时间通过消息通知服务实时告知您云上资源异常，以免因此造成业务损失。

本文向您介绍如何使用TMS的自定义策略。 如果系统预置的TMS权限，不满足您的授权要求，可以创建自定义策略。 目前云服务平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参考创建自定义策略。本章为您介绍常用的TMS自定义策略样例。 TMS自定义策略样例 示例1：授权用户查看预定义标签列表 plaintext { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "tms:predefineTags:list" ] } ] } 示例2：拒绝用户删除预定义标签 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予TMS FullAccess的系统策略，但不希望用户拥有TMS FullAccess中定义的删除预定义标签权限，您可以创建一条拒绝删除预定义标签的自定义策略，然后同时将TMS FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对TMS执行除了删除预定义标签外的所有操作。拒绝策略示例如下： plaintext { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "tms:predefineTags:delete" ] } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： plaintext { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "tms:predefineTags:create", "tms:predefineTags:delete" ] }, { "Effect": "Allow", "Action": [ "obs:bucket:ListAllMyBuckets", "obs:bucket:ListBucket" ] } ] }

本文主要介绍 DMS for Kafka自定义策略。 如果系统预置的DMS for Kafka权限，不满足您的授权要求，可以创建自定义策略。 目前云服务平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：《统一身份认证服务用户指南》的“创建自定义策略”章节。本章为您介绍常用的DMS for Kafka自定义策略样例。 说明 DMS for Kafka的权限与策略基于分布式消息服务DMS，因此在IAM服务中为DMS for Kafka分配用户与权限时，请选择并使用“DMS”的权限与策略。 由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的细粒度策略后，大概需要等待5分钟细粒度策略才能生效。 DMS自定义策略样例 示例1：授权用户删除实例和重启实例 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dms:instance:modifyStatus", "dms:instance:delete" ] } ] } 示例2：拒绝用户删除实例 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予DMS FullAccess的系统策略，但不希望用户拥有DMS FullAccess中定义的删除实例权限，您可以创建一条拒绝删除实例的自定义策略，然后同时将DMS FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对DMS for Kafka执行除了删除实例外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "dms:instance:delete" ] } ] }

模板名称 被授权用户 资源范围 模板动作 只读模式 待指定 系统自动指定为已选对象，无需修改 允许指定用户对当前对象执行以下动作： GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） RestoreObject（恢复归档存储对象） 读写模式 待指定 系统自动指定为已选对象，无需修改 允许指定用户对当前对象执行以下动作： PutObject（PUT上传，POST上传，上传段，初始化上传段任务，合并段） GetObject（获取对象内容、获取对象元数据） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） ModifyObjectMetaData（修改对象元数据） ListMultipartUploadParts（列举已上传段） AbortMultipartUpload（取消多段上传任务） GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL） PutObjectAcl（设置对象ACL） RestoreObject（恢复归档存储对象） 公共读 匿名用户（表示所有互联网用户） 系统自动指定为已选对象，无需修改 允许匿名用户（所有互联网用户）对当前对象执行以下动作： GetObject（获取对象内容、获取对象元数据） RestoreObject（恢复归档存储对象） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） 公共读写 匿名用户（表示所有互联网用户） 系统自动指定为已选对象，无需修改 允许匿名用户（所有互联网用户）对当前对象执行以下动作： PutObject（PUT上传，POST上传，上传段，初始化上传段任务，合并段） GetObject（获取对象内容、获取对象元数据） ModifyObjectMetaData（修改对象元数据） ListMultipartUploadParts（列举已上传段） AbortMultipartUpload（取消多段上传任务） RestoreObject（恢复归档存储对象） GetObjectVersion（获取指定版本对象内容、获取指定版本对象元数据） PutObjectAcl（设置对象ACL）GetObjectVersionAcl（获取指定版本对象ACL） GetObjectAcl（获取对象ACL）

本节介绍了日志管理的操作场景、注意事项、批量配置访问日志等内容。 操作场景 配置访问日志后，RDS实例新生成的日志记录会上传到云日志服务（Log Tank Service，简称LTS）进行管理。 注意事项 确保与RDS实例相同region下的LTS服务已有日志组和日志流。 批量配置访问日志 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在左侧导航栏选择“日志配置管理”，选择“PostgreSQL”引擎。 步骤 5 选择一个或多个实例，单击“配置访问日志”。 步骤 6 在下拉框分别选择LTS日志组和日志流，单击“确定”。 说明 错误日志和慢日志不能使用同一个日志流。 配置完成后不会立即生效，存在10分钟左右的时延，请知悉。 步骤 7 如需解除LTS配置，选择一个或多个实例，单击“解除配置”。 步骤 8 在弹框中，单击“确定”。 结束

OOS会不会扫描我的数据用于其他用途？ 系统对数据做的扫描仅限于判断数据块是否存在或被损坏（如有损坏，会启动修复），不会读取具体的内容。 后台工程师能否导出我存在OOS中的数据？ 后台工程师无法导出用户数据。 使用数据迁移工具，可以迁移哪些数据至OOS？ 数据迁移工具支持下列场景的数据迁移至OOS： 搬迁本地数据至OOS。 迁移第三方云厂商数据至OOS，如阿里云、腾讯云、华为云、AmazaonS3。 OOS之间数据迁移（跨帐号、跨资源池以及同资源池内数据迁移）。 OOS是否支持数据冗余存储？ 支持。OOS支持多种冗余存储方式，包括Erasure Code（EC，纠删码）和多副本。在保证数据安全性的情况下，OOS会选择最优冗余存储方案进行数据存储。 使用OOS时，出现RequestTimeTooSkewed的报错信息，怎么处理？ 出于安全目的，OOS会校验客户端与OOS服务端的时间差，当两者相差大于15分钟时，OOS服务器会拒绝您的请求，并给出报错信息RequestTimeTooSkewed。此时，请检查发送请求设备的系统时间，并根据时区调整到正确时间。OOS的系统时间采用UTC/GMT时间，您的设备的系统时间需要调整到UTC时间，或与其相对应的时区时间。UTC是零时区的区时，即世界标准时间。

弹性负载均衡支持对证书进行修改,可修改证书名称,替换证书。本文带您快速熟悉修改证书的相关操作。 使用须知 服务器证书的证书内容和私钥必须同时替换修改，可复制粘贴到输入框替换现有证书，或通过上传证书内容替换，不可编辑修改当前证书内容，否则将引起证书认证失败故障。 操作步骤 1. 在系统首页，选择“网络>弹性负载均衡>证书管理”。 2. 在证书列表页面，操作字段点击“修改”可修改证书。 3. 在弹出的证书修改页面，依据负载均衡证书修改说明，填写相关参数并点击“确定”，完成证书修改。 负载均衡证书修改说明 参数 说明 名称 自定义修改证书名称，只能由数字、字母、组成，不能以数字和开头、以结尾,且长度为263字符。 证书类型 不可修改。 证书标准 不可修改。 证书内容 支持粘贴证书到内容框，或点击上传证书内容。证书包含证书的公钥和签名等信息，证书扩展名为".pem"或".crt"，您可直接输入证书内容或上传证书文件。 （1）通过Root CA机构颁发的证书，证书是唯一的一份，不需要额外的证书，配置的站点即可被浏览器等访问设备认为可信。Root CA证书格式必须符合如下要求：以BEGIN CERTIFICATE, END CERTIFICATE开头和结尾。每行64个字符，最后一行长度可以不足64个字符。证书内容不能包含空格。 （2）通过中级CA机构颁发的证书，证书文件包含多份证书，需要将服务器证书与中级证书合并在一起上传。证书链格式必须符合如下要求：BEGIN CERTIFICATEEND CERTIFICATEBEGIN CERTIFICATEEND CERTIFICATEBEGIN CERTIFICATEEND CERTIFICATE服务器证书放第一位，中级证书放第二位，中间不能有空行。证书内容不能包含空格。证书之间不能有空行，并且每行64字节。符合证书的格式要求。一般情况下，证书机构在颁发证书时会有对应说明，证书要符合证书机构的格式要求。 描述 填写负载均衡器相关描述，自定义修改。

操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单，选择任意一个域名。 3. 在API资产列表右侧，点击【标签管理】按钮，进行API标签管理页面。 4. 在【API标签管理】模块进行标签配置。 新增自定义标签 点击【新增标签】按钮，可自定义标签名称及内容。 配置项 是否必填 说明 标签名称 是 新增标签名称，如所属部门、使用范围等。 描述 否 对标签名称进行表述，明确标签的含义。 标签内容 是 设置标签名称下可选的标签内容。 编辑自定义标签 如需调整标签名称下的描述信息及标签内容，可对应标签名称的操作栏点击【编辑】按钮。 注意 修改或删除标签内容之前，请先取消API资产对于该标签内容的关联。 删除自定义标签 如需删除整个标签名称可在对应标签操作栏中点击【删除】按钮。 注意 删除标签名称，请选取消API资产对于该标签下所有标签内容的关联。 启用/停用敏感信息标签 敏感信息标签，用于标记API资产传输的敏感信息。开启标签识别，将在自学习过程中自动识别API接口是否携带对应敏感信息。

项目 内容 请求 URL 请求方式 POST ContentType application/json 请求参数详解 所有检测服务共用同一接口，通过checkService字段区分检测类型。 公共必填参数： 字段 类型 是否必填 说明 checkService String 必填 检测服务类型，取值：textinputcheck、textoutputcheck、imagesecuritycheck reqId String 必填 请求唯一ID，用于日志追踪与问题排查，建议使用 UUID 文本输入检测（checkService textinputcheck）专属参数： 字段 类型 是否必填 说明 prompt String 必填 需要检测的用户输入文本内容（Prompt） 文本输出检测（checkService textoutputcheck）专属参数： 字段 类型 是否必填 说明 answerContent String 必填 大模型生成的回复内容，支持分片传入 seqId Integer 必填 分片序号，从1开始，每个分片递增,取值范围最大不超过2,147,483,647 isEnd Integer 必填 是否为最后一个分片：1表示是，0表示否 分片检测说明：大模型通常以流式（Streaming）方式输出内容。文本输出检测支持将流式输出内容分批传入，seqId标识每个分片的序号，isEnd1表示最后一片内容已发送完毕，系统将综合所有分片内容给出最终检测结论。 图片检测（checkService imagesecuritycheck）专属参数： 字段 类型 是否必填 说明 imageUrl String 与imageBase64二选一 图片的公网可访问 URL imageBase64 String 与imageUrl二选一 图片的 Base64 编码字符串，支持 JPEG、PNG 等常见格式

本节介绍了分区和文件系统扩展前准备的相关内容。 扩展磁盘分区和文件系统前，请先检查磁盘的分区形式和文件系统，并根据磁盘的分区形式选择对应的操作指导。 1. 检查磁盘分区形式，请参见： 1. 方法一：使用fdisk命令查看分区形式和文件系统 2. 方法二：使用parted命令查看分区形式和文件系统 2. 选择操作指导，请参见下表。 表 分区和文件系统扩展场景说明 磁盘 场景 方法 ::: 系统盘 为扩容部分的云硬盘分配新的MBR分区 新增MBR分区 系统盘 将扩容部分的容量划分至已有的MBR分区内 扩大已有MBR分区（内核版本高于3.6.0） 系统盘 扩大已有MBR分区（内核版本低于3.6.0） 数据盘 为扩容部分的云硬盘分配新的MBR分区 新增MBR分区 数据盘 将扩容部分的容量划分至已有的MBR分区内 扩大已有MBR分区 数据盘 为扩容部分的云硬盘分配新的GPT分区 新增GPT分区 数据盘 将扩容部分的容量划分至已有的GPT分区内 扩大已有GPT分区 SCSI数据盘 为扩容部分的云硬盘分配新的MBR分区 新增MBR分区 SCSI数据盘 将扩容部分的容量划分至已有的MBR分区内 扩大已有MBR分区 说明 MBR分区支持的磁盘最大容量为2 TB，超过2 TB的部分无法使用。 如果当前磁盘采用MBR分区形式，并且需要将该磁盘扩容至2 TB以上投入使用。则必须将磁盘分区形式由MBR切换成GPT，期间会中断业务，并且更换磁盘分区形式时会清除磁盘的原有数据，请在扩容前先对数据进行备份。

客户端打开后要求输入的企业标识如何获取？ 企业认证标识是登录客户端的重要凭证，建议采用自身公司身份相关的进行定义。 可登录边缘安全加速平台对应控制台企业服务进行获取。 问题故障分析 部署连接器后，仍然显示连接器“未激活”，如何定位排查？ 确认是否连接器能对外联网。 确认连接器是否对外网络出方向有进行防火墙限制，若有，需放开对应端口的网络出口访问。 客户端网络正常，但是客户端访问内部系统失败可能是什么原因？ 访问失败存在很多场景，以下列举几种常见情况，如未找到有效解决方式，请联系我们。 检查客户端是否处于在线状态，若非在线状态，则隧道连接已断开，无法访问内部系统。 检查应用是否针对该用户已授权，若未授权，则无法进行访问。 检查应用类型是否选择错误，如ssh 协议选择Web类型应用，则可能导致访问出现异常。 查询内网审计日志，判断是否被零信任网关拦截。 检查应用与连接器是否处于连通状态，可通过连接器机器telnet对应的应用ip和端口，确认是否是连接器与应用无法连通导致。 客户端短信验证码收不到如何解决？ 若您选择将手机号直接设置为登录账号，发送账号新增通知时，短信会携带手机号则短信存在被运营商拦截的风险，可能导致您无法正常接收。这是因为运营商为防范诈骗风险，会对含 "手机号”的短信进行严格校验，易触发拦截规则。 其他情况下若未收到短信，您可按以下方式排查： 检查平台手机号填写准确性，若填写错误可修正后尝试； 检查手机系统的「骚扰拦截箱」或「垃圾短信箱」（如华为手机在【安全中心 骚扰拦截】中查看，小米手机在【手机管家 骚扰拦截】中查询）； 查看第三方安全软件（如手机管家）的拦截记录，确认是否存在误拦截情况； 联系手机号所属运营商（移动 10086 / 联通 10010 / 电信 10000）查询短信发送状态。

本文将介绍如何自定义控制台创建您的用户与组织列表,用于您的企业员工登录零信任客户端进行身份认证。 背景说明 企业员工在登录客户端时需要进行身份认证，本文主要介绍服务控制台创建用户与组织信息。 注意 如果已订购零信任服务或终端管理，可使用该功能进行创建用户，适用于登录AOne客户端；如果已订购“学术加速企业版”，可使用该功能创建用户，适用于登录学术加速客户端。 功能介绍 支持通过手动创建进行用户与组织关系构建。 支持通过表格模板批量导入进行用户与组织关系构建。 用户与组织列表管理，支持对用户重置密码，禁用账号，查看用户具备的应用系统权限等。 完成企业用户与组织信息构建后 ，您可以基于用户与组织关系进行差异化的应用权限管理和零信任策略下发。 操作步骤 1. 登录边缘安全加速控制台。 2. 在AOne零信任、AOne终端管理，AOne学术加速三个工作台进行操作。 3. 在左侧导航栏身份用户与组织，查看并处理用户与组织配置。 用户配置 用户信息字段说明 注意 建议账号不与手机号、邮箱重复，若重复，则以账号为主（如账号A为手机号1 , 账号B的手机号也为手机号1，则登录时采用手机号1则以账号A进行身份认证）。 字段 字段说明 备注 姓名 非必填，可填写员工姓名用于身份标识。 账号 必填，用于登录和唯一标识的账号，不可修改，可包含数字、符号（仅支持“” 、“·”），不允许企业内账号重复。 归属组织 勾选归属组织，默认位置为您的根组织节点，组织信息来源于组织分页管理的组织列表。 若使用批量导入用户功能，则此字段需要填写组织全路径，不同级别组织之间使用“”分隔，例如xx一级组织xx二级组织。 状态 用户状态分为正常、禁用和锁定。 若被锁定，则用户账号状态显示为“锁定”，若想将用户进行解锁正常登陆，请点击更多的解锁按钮 。 用户组 非必填，勾选适合的用户组，用户组信息来源于用户组管理栏目配置的用户组列表。 手机号 非必填，默认不允许企业内员工手机号重复，手机号可设置直接登录认证，或用于开启二次认证功能后的校验码接收。 邮箱 非必填，默认不允许企业内员工邮箱重复，邮箱可设置直接登录认证，或用于开启二次认证功能后的校验码接收。 初始密码 非必填，支持自定义填写密码，也支持点击自动生成按钮随机生成密码。若未设置则默认初始化密码，设置的密码均需满足登录策略密码策略配置的要求。 出于安全考虑，首次采用初始化密码必须修改密码，建议可采用“忘记密码”直接重置密码。 若使用批量导入用户功能，则无此字段，系统会根据密码策略自动生成用户初始密码。 是否审批负责人 非必填，定义其是否为审批负责人，仅定义是审批负责人的人员，才可被其他员工选中为其审批负责人。 审批负责人 非必填，主要用于权限申请环节，若配置需要审批负责人审核，则员工对应的审批负责人将进行审批。 员工属性 非必填，可定义员工属性，如外协、正式，其他。 备注 非必填，填写用户备注的一些信息。 账号有效期 非必填，若未选择，则默认是永久有效，可选择账号到期时间，在到期时间之后，该账号将被设置为禁用状态，被禁用的账号在登录后将进行拦截，需重新设置有效期，其账号状态才变成启用。若是被手动禁用的账号，在账号有效期过期后，除重新设置有效期外，还需手动进行账号启用。 通知方式 注意 目前该能力需提交工单或联系专属运营进行操作。 批量新增用户或单用户新增时刻进行选择是否通知用户。 目前仅支持短信通知，若未配置手机号则不进行发送通知。 通知内容：出于安全考虑可以默认仅通知账号，员工可通过“忘记密码”进行重置密码后登录；若同时勾选密码，则会发送初始密码+账号，首次登录将强制要求进行修改密码。

本文将介绍如何自定义控制台创建您的用户与组织列表,用于您的企业员工登录花卷慧办客户端进行身份认证。 背景说明 企业员工在登录客户端时需要进行身份认证，本文主要介绍服务控制台创建用户与组织信息。 功能介绍 支持通过手动创建进行用户与组织关系构建。 支持通过表格模板批量导入进行用户与组织关系构建。 用户与组织列表管理，支持对用户重置密码，禁用账号，查看用户具备的应用系统权限等。 完成企业用户与组织信息构建后 ，您可以基于用户与组织关系进行差异化的应用权限管理和零信任策略下发。 操作步骤 登录花卷慧办控制台。 在左侧导航栏身份用户与组织，查看并处理用户与组织配置。 用户与组织 用户配置 用户信息字段说明 注意 建议账号不与手机号、邮箱重复，若重复，则以账号为主（如账号A为手机号1 , 账号B的手机号也为手机号1，则登录时采用手机号1则以账号A进行身份认证）。 若您选择将手机号直接设置为登录账号，账号新增时发送短信存在被运营商拦截的风险，可能导致您无法正常接收。这是因为运营商为防范诈骗风险，会对含“手机号”的短信进行严格校验，易触发拦截规则。 字段 字段说明 备注 姓名 非必填，可填写员工姓名用于身份标识。 账号 必填，用于登录和唯一标识的账号，不可修改，可包含数字、符号（仅支持“” 、“.”、“”、“·”），不允许企业内账号重复。 归属组织 勾选归属组织，默认位置为您的根组织节点，组织信息来源于组织分页管理的组织列表。 若使用批量导入用户功能，则此字段需要填写组织全路径，不同级别组织之间使用“”分隔，例如xx一级组织xx二级组织。 状态 用户状态分为正常、禁用和锁定。 若被锁定，则用户账号状态显示为“锁定”，若想将用户进行解锁正常登录，请点击更多的解锁按钮 。 用户组 非必填，勾选适合的用户组，用户组信息来源于用户组管理栏目配置的用户组列表。 手机号 非必填，默认不允许企业内员工手机号重复，手机号可设置直接登录认证，或用于开启二次认证功能后的校验码接收。 邮箱 非必填，默认不允许企业内员工邮箱重复，邮箱可设置直接登录认证，或用于开启二次认证功能后的校验码接收。 初始密码 非必填，支持自定义填写密码，也支持点击自动生成按钮随机生成密码。若未设置则默认初始化密码，设置的密码均需满足登录策略密码策略配置的要求。 出于安全考虑，首次采用初始化密码必须修改密码，建议可采用“忘记密码”直接重置密码。 若使用批量导入用户功能，则无此字段，系统会根据密码策略自动生成用户初始密码。 是否审批负责人 非必填，定义其是否为审批负责人，仅定义是审批负责人的人员，才可被其他员工选中为其审批负责人。 审批负责人 非必填，主要用于权限申请环节，若配置需要审批负责人审核，则员工对应的审批负责人将进行审批。 员工属性 非必填，可定义员工属性，如外协、正式，其他。 备注 非必填，填写用户备注的一些信息。 账号有效期 非必填，若未选择，则默认是永久有效，可选择账号到期时间，在到期时间之后，该账号将被设置为禁用状态，被禁用的账号在登录后将进行拦截，需重新设置有效期，其账号状态才变成启用。若是被手动禁用的账号，在账号有效期过期后，除重新设置有效期外，还需手动进行账号启用。 通知方式 批量新增用户或单用户新增时可进行选择是否通知用户。 目前仅支持短信通知，若未配置手机号则不进行发送通知。 通知内容：出于安全考虑可以默认仅通知账号，员工可通过“忘记密码”进行重置密码后登录；若同时勾选密码，则会发送初始密码+账号，首次登录将强制要求进行修改密码。

本文内容主要介绍设置安全组 操作场景 为了保障数据库的安全性和稳定性，在使用文档数据库实例之前，您需要开通需访问数据库的IP地址和端口。本文将主要介绍设置安全组的操作步骤。 注意事项 安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和文档数据库可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当文档数据库服务加入该安全组后，即受到这些访问规则的保护。 当需要从安全组外访问安全组内的文档数据库时，需要为安全组添加相应的入方向规则。 操作步骤 步骤 1 在“实例管理”页面，选择指定的副本集实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。 步骤 3 在“安全组”区域，选择“入方向规则”页签，单击“添加规则”，弹出添加入方向规则窗口。选择“出方向规则”页签，单击“添加规则”，弹出添加出方向规则窗口。 单击，可以依次增加多条规则。 步骤 4 根据界面提示配置安全组规则。 参数说明 参数 说明 取值示例 ::: 协议 网络协议。支持全部放通、自定义协议、“TCP”、“UDP”、“ICMP”、“SSH”等协议。 TCP 端口 允许远端地址访问弹性云主机或外部设备的指定端口。 8635 类型 IP地址类型，支持IPv4和IPv6。 IPv6地址：2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b 源地址和目的地址 支持IP地址和安全组。 IP地址：该安全组规则在指定的IP地址范围生效。 xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） 安全组：该规则授权特定安全组中的弹性云主机访问本安全组中的文档数据库，即该规则放通特定安全组中的弹性云主机所有的IP地址。 192.168.10.0/24 default 步骤 5 单击“确定”。

本节主要介绍步骤四：对比同步项 对比实时同步项可以清晰反馈出源数据库和目标数据库的数据是否存在差异。为了尽可能减少业务的影响和业务中断时间，实时同步场景提供了对象级对比和数据级对比功能，帮助您确定合适的业务割接时机。 对象级对比：支持对数据库、索引、表、视图、表的排序规则等对象进行对比。 数据级对比：支持对表的行数和内容进行对比。 说明 全量同步中的任务无法进行数据级对比。 如果单独对目标库进行数据修改操作，有可能数据检验不准确。 前提条件 已登录数据库复制服务控制台。 操作步骤 1、在“实时同步管理”界面，选中指定同步任务，单击任务名称，进入“基本信息”页签。 2、单击“同步对比”页签，进入“同步对比”信息页面。 3、对比同步项。 创建对象级对比：选择“对象级对比”页签，单击“开始对比”后稍等一段时间再单击，观察源数据库和目标数据库的各个对比项结果是否一致。若需要查看结果详情，可单击指定对比项操作列的“详情”按钮。 图 同步对象对比 创建数据级对比：选择“数据级对比”页签，单击“创建对比任务”，选择“对比类型”、“对比方式”、“对比时间”和“对象选择”，单击“是”提交对比任务。 图 创建数据对比任务 对比类型：分为行数对比和内容对比。 行数对比：用于对比源和目标端的表的行数是否相等。 说明 任务进入增量阶段后，用户可以创建行对比任务。 Oracle>GaussDB(for openGauss)同步任务，当全量任务结束的时候会自动触发行对比任务。 内容对比：用于对比源和目标端的表的数据是否一致。 说明 任务进入增量阶段后，用户可以创建内容对比任务。全量同步完成后，源库数据不能发生变更，否则内容对比结果会不一致。 由于内容对比功能目前只支持带有单字段主键或单字段唯一索引的表，不支持内容对比的表可以使用行数对比功能。所以数据级对比功能需要结合业务场景，选用行数对比或者内容对比。 对比方式：分为静态对比和动态对比两种。 静态对比：对源数据库和目标数据库进行一次全量内容对比，内容对比完成后对比任务结束，适用于无数据变化的非业务时间。 动态对比：先对源数据库和目标数据库进行一次全量内容对比，对比任务完成后进入增量对比阶段，实时比对源数据库和目标数据库的增量数据，适用于有数据变化的业务时间。 说明 目前仅MySQL引擎支持对比方式选择。 对比时间：可设置为“立即启动”和“稍后启动”。由于同步具有轻微的时差，在数据持续操作过程中进行对比任务，可能会出现符合实际情况的少量数据不一致对比结果，推荐结合对比定时功能，选择在业务低峰期进行对比，得到更为具有参考性的对比结果。 对象选择：可根据具体的业务场景选择需要进行对比的对象。 4、对比任务提交成功后，返回“数据级对比”页签，单击刷新列表，可以查看到所选对比类型的对比结果。 图 同步数据对比 由于内容对比功能目前只支持带有单字段主键或单字段唯一索引的表，不支持内容对比的表可以使用行数对比功能。所以数据级对比功能需要结合业务场景，选用行数对比或者内容对比。 若需要查看行数对比或者内容对比详情，可单击指定对比类型操作列的“查看对比报表”，页面将跳转至新的窗口，可观察对比结果的详细情况。 图 数据级对比详情 说明 已取消的对比任务也支持查看对比报表。

创建流程本文以创建一个执行 HTTP 请求的简单流程为例,介绍如何通过云工作流控制台创建流程。概述云工作流的流程(Cloudflow)用于定义业务逻辑和流程执行所需的通用信息。例如,一个订单管理流程可 创建流程 本文以创建一个执行 HTTP 请求的简单流程为例，介绍如何通过云工作流控制台创建流程。 概述 云工作流的流程（Cloudflow）用于定义业务逻辑和流程执行所需的通用信息。例如，一个订单管理流程可能包含：创建订单、处理支付、预留库存、配送商品和通知等。流程创建完成后，您可以多次执行该流程，每次执行时输入内容可能不同（如每次下单时输入订单信息）。云工作流支持丰富的控制原语，包括串行、并行、选择性执行任务，以及针对数据集的批量并行任务。 操作步骤 1. 登录 云工作流控制台，在顶部菜单栏选择地域。 2. 在 工作流列表 页面，点击 创建工作流。 3. 在弹出的 创建工作流 对话框中，选择 使用空白画布 ，选择 工作流模式 ，设置 工作流名称 和 描述 ，然后点击 创建。 本文以创建快速模式的工作流为例。关于不同工作流模式的说明，请参见 标准工作流 和 快速工作流。 4. 在 CloudFlow Studio 页面，选择状态浏览区的常用节点 Http，长按鼠标左键拖动至画布，出现横线或竖线时松开鼠标，将节点放入流程。 5. 单击选中 Http 节点，设置其基本配置、输入配置、输出配置和错误处理。 基本配置 重点项如下，其余可保持默认。输入、输出和错误配置详见输入和输出和错误处理。 6. 输入配置 重点项如下： 配置项 说明 示例值 节点名称 当前节点的名称 Req 请求方法 选择 HTTP 请求方法，如 GET POST 请求 URL 填写完整的 HTTP 服务 URL < 下一个状态 选择下一个节点，无则选 End End 1. （可选）点击 工作流配置 页签，设置流程角色信息。依次点击 保存 和 退出。 若已创建 IAM 委托角色，可直接选择现有 IAM 委托角色，执行角色相关详细看控制台操作执行角色说明。 本文示例为调用 HTTP 请求，无需配置委托角色。若流程涉及集成云产品服务，需配置具备相应权限策略的角色。

层为您提供了发布和部署自定义内容的能力,包括公共依赖库、运行时环境和函数扩展等。为了减少在部署或更新函数时的代码包体积,您可以将函数依赖的公共库提取到层中,或者使用函数计算官方的公共层。本文将介绍层的功能原理、各运行时中使用层的说明,以及如何构建层的ZIP包和创建、删除自定义层。 功能原理 在构建层时，需将所有内容打包成ZIP文件。函数计算的运行时会将层的内容解压并部署到/opt目录下。 当函数配置了多个层时，这些层的内容会按照层配置的逆序合并到/opt目录。如果某个文件与其他层中的文件同名，先配置的层中的该文件会覆盖后配置层中的同名文件。 说明 为某函数配置了第1层和第2层，函数实例启动时，会先加载第1层，再加载第2层，并将它们解压到/opt目录。在/opt目录中，第2层的内容在前，第1层的内容在后。如果第1层和第2层中存在同名文件，那么第2层中的文件会覆盖第1层中的文件。 如果层中的代码依赖二进制库或可执行文件，需要使用Linux系统进行编译构建层，推荐使用Debian 10。 函数计算的运行时基于x8664架构，如果层中的依赖库对指令集有依赖，需使用x8664架构的机器，或通过交叉编译方式确保依赖库与函数计算的运行时兼容。 创建自定义层 创建层时，需要将所有内容打包到ZIP文件中。函数计算运行时会将层的内容解压并部署在函数的/opt目录下。

本文介绍弹性文件服务的产品规格。 规格类型 参数 SFS Turbo标准型 SFS Turbo性能型 最大带宽 1.5GB/s 2GB/s 最高IOPS 5000 30000 时延 10ms 3ms 容量 500GB起步，默认32TB上限，可提交工单申请扩大上限至320TB。 500GB起步，默认32TB上限，可提交工单申请扩大上限至320TB。 扩容步长 1GB 1GB 优势 低成本 低时延 应用场景 适用于大容量、低时延的业务，如代码存储、日志存储、Web服务、虚拟桌面等。 适用于海量小文件、随机IO密集型以及时延敏感型业务，如高性能计算、文件共享、内容管理等。 说明 提交工单后，在资源余量和网关余量满足的情况下可为您扩大单文件系统配额。 提交工单时须同时申请扩大单用户弹性文件系统总容量和单文件系统容量上限 两个配额项至所需配额。 规格说明 多台云主机可达到上述最大带宽，测试时建议使用多台云主机。 最大IOPS、最大带宽两个参数的值均为读写总和。比如最大IOPSIOPS读+IOPS写。 带宽大小与容量相关，但是由于有缓存，所以容量和性能的比例不容易体现。 IOPS大小与容量非线性相关。容量越大，性能越好，取决于实际压力情况。 时延是指低负载情况下的最低延迟，非稳定时延。时延与容量无关。

本文介绍弹性文件服务的产品规格。 规格类型 参数 SFS Turbo标准型 SFS Turbo性能型 最大带宽 1.5GB/s 2GB/s 最高IOPS 5000 30000 时延 10ms 3ms 容量 500GB起步，默认32TB上限，可提交工单申请扩大上限至320TB。 500GB起步，默认32TB上限，可提交工单申请扩大上限至320TB。 扩容步长 1GB 1GB 优势 低成本 低时延 应用场景 适用于大容量、低时延的业务，如代码存储、日志存储、Web服务、虚拟桌面等。 适用于海量小文件、随机IO密集型以及时延敏感型业务，如高性能计算、文件共享、内容管理等。 说明 提交工单后，在资源余量和网关余量满足的情况下可为您扩大单文件系统配额。 提交工单时须同时申请扩大单用户弹性文件系统总容量和单文件系统容量上限 两个配额项至所需配额。 规格说明 多台云主机可达到上述最大带宽，测试时建议使用多台云主机。 最大IOPS、最大带宽两个参数的值均为读写总和。比如最大IOPSIOPS读+IOPS写。 带宽大小与容量相关，但是由于有缓存，所以容量和性能的比例不容易体现。 IOPS大小与容量非线性相关。容量越大，性能越好，取决于实际压力情况。 时延是指低负载情况下的最低延迟，非稳定时延。时延与容量无关。

本文为您介绍算力专网的计费项和计费组成等相关信息。 如需开通算力专网服务，请联系专属客户经理咨询具体价格及计费方式，客户经理会与您沟通商务内容。签署合同后，客户经理将协助您开通算力专网业务，并跟进后续算力专网业务的变更和退订等相关业务。 算力专网产品收费项目分为网络使用费和路由条目增强服务费： 收费项目 收费标准 备注 网络使用费 按客户站点收费 按月收取，必选 网络使用费 按天翼云站点收费 按月收取，必选 网络使用费 按第三方站点收费 按月收取，必选 路由条目增强服务费 20元/条/月 超出部分，按月收取 网络使用费 网络使用费分为三类：一是客户站点网络使用费，二是天翼云资源池站点网络使用费，三是第三方云资源池站点网络使用费。 客户站点网络使用费 接入方式：IPRAN 客户站点网络使用费按照单、双路由区分收取。当客户采用双路由IPRAN方式接入CN2时，根据其接入模式来确定IPRAN双接入线路的网络使用费，具体如下： IPRAN双接入模式 网络使用费 :: 主备接入 主线路按IPRAN单路由接入方式标准资费收取；备用线路按照IPRAN单路由接入方式标准资费的40%收取； 负载分担 每条接入线路均按IPRAN单路由接入方式标准资费收取。

参数 说明 策略配置方式 可视化视图 策略名称 自定义 策略内容 允许/拒绝 允许 策略内容 被授权用户 授权用户：当前帐号 子用户：选择需要授权的IAM用户 用户策略：包含以上用户 策略内容 资源 资源范围：同时选择当前桶和桶内对象，桶内对象选择所有对象 资源策略：包含以上资源 策略内容 动作 选择动作：ListBucket和PutObject 操作策略：包含以上动作 说明 本例对象动作仅授予上传对象权限。可以根据业务需要选择多个动作，同时授予其他操作权限。“”代表所有操作。

项目 内容 请求 URL 请求方式 POST ContentType application/json 请求参数详解 所有检测服务共用同一接口，通过checkService字段区分检测类型。 公共必填参数： 字段 类型 是否必填 说明 checkService String 必填 检测服务类型，取值：textinputcheck、textoutputcheck、imagesecuritycheck reqId String 必填 请求唯一ID，用于日志追踪与问题排查，建议使用 UUID 文本输入检测（checkService textinputcheck）专属参数： 字段 类型 是否必填 说明 prompt String 必填 需要检测的用户输入文本内容（Prompt） 文本输出检测（checkService textoutputcheck）专属参数： 字段 类型 是否必填 说明 answerContent String 必填 大模型生成的回复内容，支持分片传入 seqId Integer 必填 分片序号，从1开始，每个分片递增,取值范围最大不超过2,147,483,647 isEnd Integer 必填 是否为最后一个分片：1表示是，0表示否 分片检测说明：大模型通常以流式（Streaming）方式输出内容。文本输出检测支持将流式输出内容分批传入，seqId标识每个分片的序号，isEnd1表示最后一片内容已发送完毕，系统将综合所有分片内容给出最终检测结论。 图片检测（checkService imagesecuritycheck）专属参数： 字段 类型 是否必填 说明 imageUrl String 与imageBase64二选一 图片的公网可访问 URL imageBase64 String 与imageUrl二选一 图片的 Base64 编码字符串，支持 JPEG、PNG 等常见格式

恶意文件检测 1、单击“恶意文件检测”，弹出“恶意文件检测”策略详情界面。 2、在弹出的恶意文件检测界面中，修改“策略内容”，参数说明如表所示。 修改恶意文件检测策略 恶意文件检测策略内容参数说明 参数 说明 反弹shell忽略的进程文件路径 反弹shell忽略的进程文件的路径。 文件路径以“/”开头，不能以“/”结尾。多个路径通过回车换行分隔且名称中不能包含空格。 反弹shell扫描周期（秒） 反弹shell扫描的周期，可配置范围为“3086400”。 Audit检测增强 选择是否开启Audit检测增强，建议开启。 进程打开文件上限 进程打开文件的上限数，可配置范围为“10300000”。 反弹shell检测 选择是否开启反弹shell检测，建议开启。 异常shell检测 选择是否开启异常shell检测，建议开启。 3、确认无误，单击“确认”，完成修改。 进程异常行为 1、单击“进程异常行为”，弹出“进程异常行为”策略详情界面。 2、在弹出的进程异常行为管理界面中，修改“策略内容”，参数说明如表所示。 修改进程异常行为检测策略 进程异常行为策略内容参数说明 参数 说明 取值样例 检测扫描周期（秒） 检测主机运行程序的时间周期，可配置范围为“301800”。 1800 上报分值阈值 上报分值阈值。可配置范围为“1100”。 3 3、确认无误，单击“确认”，完成修改。 root提权 1 、单击“root提权”，弹出“root提权”策略详情界面。 2 、在弹出的root提权界面中，修改“策略内容”，参数说明如表所示。 修改root提权策略 root提权策略内容参数说明 参数 说明 忽略的进程文件路径 忽略的进程文件的路径。文件路径以“/”开头，不能以“/”结尾。多个路径通过回车换行分隔且名称中不能包含空格。 检测时间间隔（秒） 进程文件检测时间间隔，可配置范围为“5~3600”。 3、确认无误，单击“确认”，完成修改。

本节介绍用户创建、使用自定义策略。如果系统预置的DEW权限，不满足您的授权要求，可以创建自定义策略。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择策略内容，可自动生成策略。创建KMS自定义策略时： “云服务”：数据加密服务（KMS）。 “操作”：根据您的需求进行选择。 “选择资源（可选）”：“资源”选择“特定资源”，“KeyId”选择“通过资源路径指定”时，“路径”为创建密钥时生成的ID。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 DEW自定义策略样例 示例：授权用户创建密钥 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:cmk:create", "kms:cmk:getMaterial", "kms:cmkTag:create", "kms:cmkTag:batch", "kms:cmk:importMaterial" ] } ] } 示例：授权用户使用密钥 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:dek:crypto", "kms:cmk:get", "kms:cmk:crypto", "kms:cmk:generate", "kms:cmk:list" ] } ] } 示例：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "rds:task:list" ] }, { "Effect": "Allow", "Action": [ "kms:dek:crypto", "kms:cmk:get", "kms:cmk:crypto", "kms:cmk:generate", "kms:cmk:list" ] } ] }

参数 说明 策略配置方式 可视化视图 策略名称 自定义 策略内容 允许/拒绝 允许 策略内容 被授权用户 授权用户：匿名用户 用户策略：包含以上用户 策略内容 资源 资源范围：桶内对象，选择所有对象 资源策略：包含以上资源 说明 本示例仅配置桶内资源的权限，如果还需要配置桶的权限（如列举桶内对象），则需要再额外创建一条配置到当前桶的自定义桶策略 策略内容 动作 选择动作： （表示所有动作） 操作策略：包含以上动作 说明 配置所有权限可能有资源被删除的风险，如果想规避此风险，建议配置动作名称为“Get ”，表示所有读权限。 策略内容 条件 条件1： −条件运算符：DateGreaterThan − 键：CurrentTime − 值：20190326T12:00:00Z（取值为UTC格式） 条件2： − 条件运算符：DateLessThan − 键：CurrentTime − 值：20190326T15:00:00Z（取值为UTC格式）

操作步骤 本实践操作步骤分为以下三大步： 步骤一：购买存储库并安装备份客户端 1. 登录云备份控制台，左上角单击，选择西南1地域。 2. 在云备份页面，单击左侧导航栏“存储库”页签，进入存储库页面。 3. 单击左侧“存储库”按钮，进入存储库控制台，单击右上角“创建存储库”，在弹出页面配置如下内容： 参数 参数说明 参考取值 ::: 地域 需要在页面左上角切换地域。 西南1 付费方式 目前云备份仅支持包年包月。 包年包月是一种先付费后使用的计费模式，按年/月购买或续订存储库。 包年包月 存储库名称 自定义填写存储库名称，长度范围在 2 到 63 之间，只能由数字、字母、组成，不能以数字和开头、且不能以结尾。 test 存储库容量 根据需求选择存储库容量，取值范围为1001024000 GB，可选择增减步长为10GB。 当备份总容量超过存储库容量，备份将会失败，建议存储库容量大于待备份文件/目录的大小。 100GB 创建时长 根据需求选择存储库使用时长。 1个月 4. 配置完成后，勾选天翼云云备份服务协议，并单击“下一步”。 5. 确认配置，勾选云备份服务协议，单击“确认下单”，在支付界面完成支付。 6. 回到云备份存储库界面，等待存储库的状态变为可用，即完成存储库的创建。 7. 单击左侧“ECS文件备份”按钮，进入文件备份控制台。 8. 单击“ECS资源”按钮，可以看到现有的ECS资源，选择待安装客户端的弹性云主机，单击操作栏下的“安装客户端”。 9. 等待客户端状态变为已激活，即可使用客户端为云主机进行备份。