本节介绍分布式消息服务RocketMQ相关的产品规格,以便您正确理解和使用。 （1）以下适用于华东1、华北2、西南1、华南2、上海36、青岛20、长沙42、南昌5、武汉41、杭州7、西南2贵州、太原4、郑州5、西安7、呼和浩特3 节点。 注意 通用型规格已调整为白名单特性，如需了解该规格参数请联系技术支持。 ctgmq引擎已调整为白名单特性，如需了解该引擎请联系技术支持。 单机版实例面向用户体验和业务测试场景，无法保证性能和高可用。如果需要在生产环境使用RocketMQ实例，建议购买集群版实例。 天翼云分布式消息服务RocketMQ版产品规格由以下五个维度定义： 资源规格：定义使用的弹性云服务器的规格类型。 代理个数：即Broker数量，定义实例的规模，天翼云分布式消息RocketMQ每个Broker由一个Master节点（主节点）和一个Slave节点（备节点）组成，详细见产品架构。 存储容量：定义单个代理可以保存的存储容量。 单个代理TPS：定义单个代理的TPS性能。 单个代理消费组数上限：定义单个代理可以创建的消费组数量。 天翼云分布式消息服务RocketMQ支持的产品规格如下所示： 说明 TPS（Transaction per second）是指每秒可以生产消息和消费消息的总次数，可以理解为对应规格每秒生产消息和消费消息的总吞吐量。

本文主要介绍如何安装一键式重置密码插件(Linux) 操作场景 为了保证使用生成的镜像创建的新云主机可以实现一键式重置密码功能，建议您安装密码重置插件CloudResetPwdAgent，可以应用一键式重置密码功能，给云主机设置新密码。 操作步骤 1.下载一键式重置密码插件CloudResetPwdAgent。 说明 虚拟机需要绑定弹性公网IP才能自动更新一键式重置密码插件。 下载并解压软件包CloudResetPwdAgent.zip。 32位操作系统下载地址 64位操作系统下载地址 2.执行以下命令，解压软件包CloudResetPwdAgent.zip。 unzip o d 插件解压目录 CloudResetPwdAgent.zip 安装一键式重置密码插件对插件的解压目录无特殊要求，请自定义。例如插件解压的目录为“/home/PwdAgent/test”，则命令如下： unzip o d /home/PwdAgent/test CloudResetPwdAgent.zip 3.安装一键式重置密码插件。 a.执行以下命令，进入文件CloudResetPwdUpdateAgent.Linux。 cd CloudResetPwdAgent/CloudResetPwdUpdateAgent.Linux b.执行以下命令，添加文件setup.sh的运行权限。 chmod +x setup.sh c.执行以下命令，安装插件。 sudo sh setup.sh d.执行以下命令，检查密码重置插件是否安装成功。 service cloudResetPwdAgent status service cloudResetPwdUpdateAgent status 如果服务CloudResetPwdAgent和CoudResetPwdUpdateAgent的状态均不是“unrecognized service”，表示插件安装成功，否则安装失败。 说明 如果密码重置插件安装失败，请检查安装环境是否符合要求，并重试安装操作。

本章节主要介绍如何查看天翼云物理机的创建状态。 操作场景 用户创建物理机服务器后，可以通过“申请状态”栏查看任务的创建状态。创建物理机服务器的任务可以包括创建物理机服务器资源、绑定弹性公网IP、挂载云硬盘等子任务。 申请状态栏的任务状态包括如下两类： 处理中：指系统正在处理的请求。 处理失败：指未能成功处理的请求。对于处理失败的任务，系统会自动回退，同时在界面上直观的展示错误码，例如“（BMS.3033）创建系统卷失败。” 本节介绍如何查看物理机服务器的申请状态以及申请状态栏的提示信息说明。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 物理机服务”。进入物理机服务器页面。 3. 常用操作“开机、关机、重启、删除”的右侧即为“申请状态”，用户执行创建物理机服务器操作后，申请状态栏将显示该任务的创建状态。 图 申请状态 4. 单击“申请状态”栏对应的数字，即可查看“处理中”的任务和“处理失败”任务的详情，查看物理机服务器的创建状态。 图 申请状态详情 说明 如果用户发现申请状态栏显示创建物理机服务器的任务失败，而物理机服务器列表中显示该服务器已创建成功，关于此问题请参见

APM适合多种运维监控场景,此篇例举部分应用场景如下。 场景一：定位应用性能瓶颈与故障异常 场景说明 随着业务不断发展，业务逻辑日益复杂，导致应用性能问题分析与定位日益艰难，给监控运维带来了巨大的挑战： 应用之间的依赖关系复杂，难以梳理。 调用链路长，排查和定位群体困难。 接口调用、数据库调用关系复杂，管理难度大。APM提供了大型分布式应用的异常诊断能力，当应用出现请求失败或性能下降时，通过应用拓扑、调用链、性能指标监控等能力组合，可以帮助用户快速定位问题。 业务价值 应用拓扑展示：自动梳理业务应用，以拓扑图的方式全面展示相关应用调用关系。 丰富的指标监控：提供包括JVM、资源监控、Netty内存等基础监控；Kafka、RocketMQ等消息监控；Mysql，redis，es等数据库监控；httpClient、grpc等调用监控。 慢SQL分析：通过自定义的慢查询阈值、结合SQL的调用频次，获取导致数据库性能下降的不规范的SQL语句。 告警：针对接口响应时间、异常调用、数据库、JVM等性能指标做一定阈值的告警，先于客户之前发现并解决问题。 场景二：容器运维监控 场景说明 众所周知，Prometheus 是容器场景的最佳监控工具，但自建 Prometheus 对运维人力有限的中小企业成本过高，对业务快速发展的企业又易出现性能瓶颈。因此使用云托管 Prometheus 已成为越来越多上云企业的首选。

背景 当下的云原生时代，容器逐渐成为软件部署的标准。为了提升开发效率，函数计算提供容器镜像函数，开发者可以把自己的容器镜像作为函数的运行内容。容器镜像函数具备以下优点： 低成本迁移，保持环境一致。简化分发和部署的步骤。 容器镜像具备分层缓存能力，提高镜像上传拉取效率。 基本原理 函数计算平台在创建容器镜像函数时，选择自己的CRS仓库镜像，并需要输入用户名和密码，启动实例会拉取您选择的镜像，拉取成功后，根据指定的启动命令启动您的镜像。 容器镜像需要有HTTP Server。函数计算通过配置的端口监听容器内的HTTP Server，此HTTP Server将接管函数计算的所有请求，包括通过API调用和通过HTTP调用的请求。您在开发函数具体的交互逻辑之前，一般需要确认开发的是通过API调用函数还是通过HTTP请求调用函数，原理如下所示： 使用限制 镜像大小限制 最大支持10 GB（普通实例）的未解压镜像。 镜像仓库 支持拉取天翼云容器镜像服务的镜像。 镜像访问 仅支持同账号同地域下私有镜像仓库读取。 容器内文件读写权限 容器UID默认是Root用户ID，即 UID0。如果您在Dockerfile中指定了具体的使用者，则会以指定的使用者运行该容器镜像。

本小节介绍查看容器防护配额列表。 节点列表展示了云容器引擎服务（CCE）中集群节点的防护状态、节点状态和Agent状态，帮助您实时了解节点的安全状态。 约束限制 仅支持Linux系统。 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持容器相关操作。 查看节点列表 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、在左侧导航栏中，选择“资产管理 > 容器管理”，单击“容器节点管理”。 4、选择“节点列表”页签，查看节点防护状态。节点列表参数说明如表所示。 节点列表参数 参数名称 说明 服务器名称 目标服务器名称。 容器防护状态 节点的防护状态，包括： 未防护 防护中 服务器状态 运行中 不可用 正常 Agent状态 在线 离线 未安装 查看防护配额 在“容器节点管理”界面，选择“防护配额”页签，查看防护配额详细信息。 配额信息 参数名称 参数说明 配额版本 容器安全企业版。 配额状态 正常：配额状态。 已过期：配额已到期，在此期间您仍然可以正常使用配额。 已冻结：冻结期间，HSS将不再防护您的容器；冻结期满，该配额将被彻底删除。 使用状态 使用中：该配额已被使用，下方显示“使用该配额的服务器名称”。 空闲：该配额未被使用。

本文介绍AOneMail服务能力。 什么是AOneMail 边缘安全加速平台提供防钓鱼邮箱客户端，通过本地规则引擎、云端情报库、慧泽大模型等能力，对邮件进行检测和过滤，识别并拦截可能的钓鱼邮件，以防止敏感信息的泄露和恶意软件的传播。 注意事项 AOneMail已集成至AOne2.15.4及以上版本客户端，若已订购零信任服务/终端管理，可按照零信任服务（远程办公）进行快速接入。 服务能力 功能 描述 安装与登录 AOne零信任客户端首次点击云邮箱加载完成后，会自动打开新增账户界面，可进行邮件账户与服务器信息配置来进行邮箱的登录。 邮箱设置 支持邮箱基础参数配置，如邮箱通知、账户设置、邮件读写等，个性化邮箱使用场景。 收发邮件 实现邮件接收与发送功能，可对接不同邮件服务器，实时收取新邮件并支持邮件发送至目标地址。 撰写邮件 提供邮件编辑界面，支持添加主题、收件人、附件，编辑正文内容，完成新邮件的创建与发送操作。 通讯录 用于存储联系人邮箱、姓名、电话等信息，支持分组管理，便于撰写邮件时快速选取收件人。 钓鱼检测服务 通过智能算法识别钓鱼邮件，拦截含危险链接、恶意附件的邮件，保障用户账户安全，防范钓鱼攻击。 AOneMail常见问题 汇总用户使用过程中高频问题（如登录异常、邮件收发失败等），提供对应的解决方案与操作指引，辅助用户自助排障。

本页介绍了IPv6的相关介绍和带宽绑定使用方法。 前提条件 要开通具备IPv6 连接地址的DDS实例。 VPC开启IPv6请参考开启/关闭虚拟私有云IPv6。 操作步骤 绑定带宽 文档数据库服务产品支持对可用实例进行IPv6绑定操作，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”实例的实例名称，进入到该实例详情页。 4. 在“节点信息”操作列，更多下拉框，点击“绑定带宽”，在弹窗中选择相应的带宽。或者点击“查看IPv6带宽”，去到网络控制台申请IPv6带宽进行绑定。 5. 点击“确定”完成IPv6带宽绑定。 解绑带宽 文档数据库服务产品支持对可用实例进行IPv6解绑操作，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击实例状态是“运行中”实例的实例名称，进入到该实例详情页。 4. 在“节点信息”操作列，更多下拉框，点击“解绑带宽”，并在弹窗中确认，即可解绑带宽。 说明 当前仅 当前IPv6 仅支持x86架构通用型、计算增强型、内存优化型资源。 集群版实例只支持mongos节点可以绑定解绑带宽。

介绍关系数据库MySQL版在安全上的表现。 关系数据库MySQL版是天翼云自研的新一代高性能企业级关系数据库。MySQL 支持多种架构，同时拥有云上高可用、高可靠、高安全、扩缩容、快速备份恢复、监控等数据库关键能力，为客户提供完善的性能监控体系和多重安全防护措施，并配备专业的数据库管理平台，让用户能够轻松设置、操作和扩展关系型数据库。 为了保障操作安全、数据安全及服务运行安全，支撑客户安全有序开展业务活动，天翼云禁止运维人员删除资源时同时删除实例和备份数据，禁止运维人员未经客户书面授权，接入客户数据库实例，禁止运维人员对客户数据进行处理和转移。 MySQL 为保障租户数据库的可靠性和安全性提供了多个特性，如VPC、安全组、权限设置、SSL连接、自动/手动备份、跨可用区部署、按时间点恢复数据等功能。这些特性可以帮助租户更好地管理和保护数据库。 网络隔离 MySQL 实例运行在独立的 VPC 内，该VPC不与其他实例共享。在创建完实例后，MySQL 会为租户分配此子网的 IP 地址，用于连接数据库。MySQL 实例运行在租户独立的虚拟私有云内，可提升关系型数据库实例的安全性。 存储隔离 存储资源按照租户维度进行分配，每个租户的实例与其他租户的实例是相互独立的，并且有资源隔离，互不影响。

查看恢复任务 完成恢复操作后，您可以在基础恢复列表查看详细的恢复任务信息。 1. 在实例列表中，单击目标实例名称，进入实例基本信息 页面，然后单击备份恢复。 2. 选择基础恢复列表，可以查看所创建的恢复任务。 支持查看恢复记录、恢复源实例、目标实例开始时间和结果信息。 恢复实例Q&A 为何通过备份集不能恢复到当前实例？ 可检查当前实例的状态是否正常，如果非运行中或异常，需要等待实例为运行中才可以进行恢复到当前实例。 为何不能恢复到已有实例？ 可以从以下原因进行排查： 可检查目标实例的状态是否正常。 目标实例版本与源实例的版本是否相同，且内核版本目标实例是否大于等于当前实例内核版本，因为高内核版本的实例无法恢复到低内核版本的实例。 目标实例与源实例的lowercasetablenames参数是否相同，该参数为区分表名大小写参数，如果不同，也无法恢复。 目标实例实例与源实例若备份类型为云硬盘，则需要注意目标实例与源实例的VPC需要一致，若为对象存储，则可以跨VPC恢复。 目标实例与源实例是否在同一个企业项目，不同企业项目无法恢复。 目标实例如果为带只读的MGR实例，也无法进行恢复。 源实例具备tde功能，但是目标实例不具备，也将无法进行恢复。

本章节主要介绍集群绑定和解绑ELB。 用户使用客户端连接DWS集群时，如果用户仅连接一个CN节点地址，通过该CN节点内网IP或弹性公网IP连接时，只能连接到固定的CN节点上，存在CN单点问题。如果通过内网域名连接时，利用域名解析的轮询特点，可以解决此问题。但内网域名仅限内网使用，使用公网域名访问时，还是存在CN单点问题，同时当前也不能在CN故障时进行请求转发，因此引入了弹性负载均衡服务（Elastic Load Balance，下称ELB），解决集群访问的单点问题。 弹性负载均衡（ELB）是将访问流量根据转发策略分发到后端多台弹性云主机的流量分发控制服务，可以通过流量分发扩展应用系统对外的服务能力，提高应用程序的容错能力。了解更多，请参见：弹性负载均衡用户指南。 利用ELB健康检查机制可将集群的CN请求快速转发到正常工作的CN节点上，当有CN故障节点时，也能第一时间切换流量到健康节点上，最大化降低集群访问故障。 当前支持两种类型的ELB操作，如下： 绑定ELB 解绑ELB 说明 该特性仅8.1.1.200及以上集群版本支持。 为保证集群负载均衡和高可用，避免CN单点故障问题，客户生产业务下，要求集群创建后进行ELB绑定。

关闭IPv4公网访问（不支持修改SASL开关） 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 3. 在管理控制台左上角单击，选择“应用中间件 > 分布式消息服务Kafka”，进入分布式消息服务Kafka专享版页面。 4. 单击Kafka实例的名称，进入实例的“基本信息”页面。 5. 在“公网访问”后，单击，完成公网访问的关闭。 您可以在实例的“后台任务管理”页面，查看当前任务的操作进度。任务状态为“成功”，表示操作成功。 关闭公网访问后，需要设置对应的安全组规则（请见表2），才能通过内网成功连接Kafka。 表2 Kafka实例安全组规则（内网访问） 方向 协议 类型 端口 源地址 说明 入方向 TCP IPv4 9092 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（关闭SSL加密）。 入方向 TCP IPv4 9093 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（开启SSL加密）。 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问Kafka实例，无需添加表2的规则。

本节主要介绍删除副本集实例节点 您可以删除不再使用的节点来释放资源。 说明 目前此功能仅支持白名单用户使用，需要提交工单申请才能使用。 使用须知 删除操作无法恢复，请谨慎操作。 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高账号安全性，有效保护您安全使用云产品。关于如何开启操作保护，具体请参考《统一身份认证服务用户指南》的内容。 存在异常节点的实例不能执行删除节点操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在服务列表中选择“数据库 > 文档数据库服务DDS”。 登录文档数据库服务DDS控制台 步骤 3 在“实例管理”页面，选择目标实例，单击实例名称。 步骤 4 在“基本信息 > 节点信息”区域，单击“变更备节点”。 节点信息 步骤 5 选择节点数，单击“下一步”。 选择节点数 说明 删除节点即选择节点数时，数量少于当前节点数。例如当前实例节点数是5，删除节点时选择“三节点”。 步骤 6 单击“提交”。 步骤 7 若您已开启操作保护，在“删除节点”弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。

本章节会介绍如何对数据库实例绑定公网IP。 操作场景 关系型数据库实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。关系型数据库服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 注意事项 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要将访问数据库的IP地址，或者IP段加安全组入方向的访问规则，操作请参见设置安全组规则。 公网访问会降低实例的安全性，请谨慎选择。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系型数据库在同一区域的弹性云服务器上。 绑定弹性公网IP 步骤 1 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 2 在左侧导航栏，单击“连接管理”，单击“绑定弹性公网IP”。 步骤 3 在弹出框的弹性公网IP地址列表中，选择目标弹性公网IP，单击“确定”，提交绑定任务。 如果没有可用的弹性公网IP，您可单击“查看弹性公网IP”，获取弹性公网IP。 步骤 4 在“连接管理”页面，查看绑定成功的弹性公网IP。 您也可以在“任务中心”页面，查看“实例绑定弹性公网IP”任务的执行进度及结果。

查看基线检查详情 HSS提供基线检查功能，主动检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，并针对所发现的风险为您提供修复建议，帮助您正确地处理服务器内的各种风险配置信息。 约束限制 未开启防护不支持基线相关操作。 前提条件 配置检查只有开启了防护且防护配额在企业版及以上的主机数据才会显示在列表中。 检查项列表 检查项 说明 配置检查 目前支持的检测标准及类型如下： 1、Linux系统： 云安全实践：Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、EulerOS、EulerOSext。 等保合规：Apache2、MongoDB、MySQL5、Nginx、Tomcat、CentOS6、CentOS7、CentOS8、Debian9、Debian10、Debian11、Redhat6、Redhat7、Redhat8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18。 2、Windows系统： 云安全实践：MongoDB、Apache2、MySQL、Nginx、Redis、Tomcat、Windows2008、Windows2012、Windows2016、Windows2019。 口令复杂度策略检测 检测系统帐号的口令复杂度策略。 经典弱口令检测 通过与弱口令库对比，检测帐号口令是否属于常用的弱口令。 支持MySQL、FTP及系统帐号的弱口令检测。 查看配置检查 查看配置检查的风险统计及对应的处理建议。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“配置检查”页签，查看所有服务器的配置检查风险项，参数说明如表所示。 配置检查参数说明 参数名称 参数说明 风险等级 按照基线标准匹配检测结果划分的等级。 高危 、低危、 中危 、 无风险 基线名称 检测执行的基线的名称。 标准类型 检测执行的基线所属策略的标准类型。 云安全实践 等保合规 检查项 累计检查的配置项总数。 风险项 检查项中存在风险的配置项总数。 影响服务器数 目标风险基线所影响的服务器总数。 最新检测时间 最近一次检测的时间。 描述 目标风险基线的描述说明。 6、单击列表中目标基线名称，查看基线描述、受影响服务器以及所有检查项详情。 7、单击目标检查项“操作”列的“检测详情”，查看检查项描述、审计描述和修改建议。 您需要确认检查的风险项是否是致命或需要修改的风险。 如果是，可根据修改建议对目标检查项进行修改。如果不是，可在配置检查项列表页面单击目标检查项“操作”列的“忽略”操作进行忽略。 查看检查项详情 查看口令复杂度策略检测 查看口令复杂度策略检测的风险统计及对应的处理建议。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树中，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“口令复杂度策略检测”页签，查看口令复杂度策略检测的风险统计项及修改建议，参数说明如表59所示。 口令复杂度策略检测参数说明 参数名称 参数说明 服务器名称/IP地址 被检测的服务器名称及IP地址。 口令长度 目标服务器的口令长度是否符合标准。 符合 不符合 大写字母 目标服务器的口令大写字母是否符合标准。 符合 不符合 小写字母 目标服务器的口令小写字母是否符合标准。 符合 不符合 数字 目标服务器的口令数字是否符合标准。 符合 不符合 特殊字符 目标服务器的口令特殊字符是否符合标准。 符合 不符合 建议 对目标服务器发现的口令风险的修改建议。 查看经典弱口令检测 查看经典弱口令检测的风险统计及对应的处理建议。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航树，选择“风险预防 > 基线检查”，进入基线检查页面。 5、选择“经典弱口令检测”页签，查看服务器中存在风险的弱口令帐号的统计，参数说明如表所示。 经典弱口令检测参数说明 参数名称 参数说明 服务器名称/IP地址 被检测的服务器名称及IP地址。 帐号名称 目标服务器中被检测出是弱口令的帐号。 帐号类型 帐号的类型。 弱口令使用时长（单位：天） 目标弱口令使用的时间周期。 注意 为保障您的主机安全，请您及时修改登录主机系统时使用弱口令的帐号，如SSH帐号。 为保障您主机内部数据信息的安全，请您及时修改使用弱口令的软件帐号，如MySQL帐号和FTP帐号等。 验证 ：完成弱口令修复后，建议您立即执行手动检测，查看弱口令修复结果。如果您未进行手动验证，HSS会在次日凌晨执行自动验证。 口令设置建议：设置长度超过8个字符且均包含大写字母、小写字母、数字和特殊字符。 导出基线检查报告 在基线检查页面，可对配置检查和经典弱口令检查详情进行导出，列表右上角单击 ，可将所有云服务器的配置检测风险列表下载到本地。 不支持对单个云服务器执行导出。 单次最大导出告警数为5000条。

如果已添加的数据库服务器的用户名和密码已修改或者访问数据库的用户名和密码配置有误，您可以参考本章节进行重新配置。 前提 已完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。 已添加数据库资产。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，并选择“数据库 > 已授权”，进入已授权数据库资产列表页面。 5.在需要编辑的数据库资产所在行的“操作”列，单击“编辑”。 6.在系统弹出编辑数据库对话框中，修改数据库服务器的用户名或密码。 7.点击“确定”。修改完成后，数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性，即测试DSC是否能够通过您配置的用户名和密码正常访问添加的数据库。 DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 若DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败？解决。

本节介绍了容器镜像服务:通过内网域名跨地域或从IDC环境访问容器镜像服务。 操作场景 当您需要跨地域或从IDC环境通过内网域名访问容器镜像服务时，可按以下步骤操作。 操作步骤 1.参考 内网访问 创建容器镜像服务的VPCE和对象存储的VPCE（容器镜像文件存储再对象存储，拉取镜像需要访问对象存储） 示例说明（域名和IP仅用来说明，请以实际为准）： 在华东1的VPC中为容器镜像服务创建VPCE，内网域名testregistryhuadong1.crsinternal.ctyun.cn解析至VPCE IP 192.168.0.11 为对象存储创建VPCE，内网域名huadong1internal.zos.ctyun.cn解析至VPCE IP 192.168.0.21 2.使用云间高速或云专线等产品打通网络，确保源资源池或者IDC环境能访问目标资源池的容器镜像服务 VPCE IP和对象存储的VPCE IP。注意：拉取镜像和访问对象存储都是使用域名，需要确保在访问侧可以解析容器镜像和对象存储的内网域名。 通过专线/VPN打通与华东1 VPC的网络 配置本地DNS，将容器镜像服务内网域名指向192.168.0.11，对象存储内网域名指向192.168.0.21 3.验证与使用 执行nslookup testregistryhuadong1.crsinternal.ctyun.cn确认域名解析正确 在Docker配置中指定内网镜像地址即可正常拉取镜像

.+?,!:/()[]{}组成，只能由/开头。${path}表示与源路径相同。 查询字符串：只能包含英文字母、数字额特殊字符!$'()+,./:;?@&^'，&仅支持作为分隔符使用。 返回码：可以选择“301”、“302”、“303”、“307”、“308”。 说明 协议、域名、端口和路径至少设置一条。 协议：HTTP 域名：www.example1.com 端口：8081 路径：/index.html 查询字符串：localezhcn 返回码：301 动作 返回固定响应 如果满足转发策略条件，则返回固定响应。 用户访问ELB实例后，ELB直接返回响应，不向后端云主机继续转发，返回响应的状态码和内容可以自定义。 需要设置如下参数： 返回码 ：只能由数字组成，默认以2、4、5开头，且总长度为3个字符。 ContentType ：可以选择“text/plain”、“text/css”、“text/html”、“application/javascript”、“application/json”。 响应正文：非必填项。 返回码：200 ContentType：text/plain 响应正文：云主机访问正常 一个监听器可以添加多个转发策略，多个转发策略之间可以通过排序来设置优先级。 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要修改转发策略的负载均衡器名称。 5. 切换到监听器页签，单击需要修改转发策略的监听器名称。 6. 单击转发策略右侧“设置”入口，选择“设置转发策略”。 7. 在右侧“转发策略”子页签中，单击上方的“排序”。 8. 单击转发策略右上角的“上移”或“下移”。 9. 单击“保存”。

参数 说明 示例 后端主机组 把具有相同特性的后端主机放在一个组。说明：使用已有后端主机组时，请确保此后端主机组未被使用。 并且只能选择前端协议匹配的后端主机组。例如前端协议是TCP时，后端协议只能是TCP。 新创建 名称 后端主机组名称。 servergroupsq4v 后端协议 云主机开通的协议。前端协议为UDP时，后端协议默认为UDP，不支持修改。 UDP 分配策略类型 负载均衡采用的算法。说明：用户可以根据自身需求选择相应的算法来分配用户访问流量，提升负载均衡能力。 对于加权轮询算法和加权最少连接，当主机的权重为“0”时，将不会被分发访问请求。 加权轮询算法 会话保持 开启会话保持后，弹性负载均衡将属于同一个会话的请求都转发到同一个主机进行处理。 说明：当分配策略类型为“加权轮询算法”时，可配置会话保持。 会话保持类型 TCP和UDP协议仅支持源IP地址类型。 源IP地址 会话保持时间（分钟） 当分配策略类型选择“加权轮询算法”或“加权最少连接”，会话保持开启后，需添加会话保持时间。 四层会话保持的会话保持时间取值范围为[1，60]。七层会话保持的会话保持时间取值范围为[1，1440]。 20 描述 后端主机组的描述。字数范围：0/255。

参数 说明 示例 后端主机组 把具有相同特性的后端主机放在一个组。说明：使用已有后端主机组时，请确保此后端主机组未被使用。 并且只能选择前端协议匹配的后端主机组。例如前端协议是TCP时，后端协议只能是TCP。 新创建 名称 后端主机组名称。 servergroupsq4v 后端协议 云主机开通的协议。前端协议为TCP时，后端协议默认为TCP，不支持修改。 TCP 分配策略类型 负载均衡采用的算法。说明：用户可以根据自身需求选择相应的算法来分配用户访问流量， 提升负载均衡能力。对于加权轮询算法和加权最少连接，当主机的权重为“0”时，将不会被分发访问请求。 加权轮询算法 会话保持 开启会话保持后，弹性负载均衡将属于同一个会话的请求都转发到同一个主机进行处理。 说明：当分配策略类型为“加权轮询算法”或"加权最少连接”时，可配置会话保持。 会话保持类型 TCP和UDP协议仅支持源IP地址类型。 源IP地址 会话保持时间（分钟） 当分配策略类型选择“加权轮询算法”或“加权最少连接”，会话保持开启后， 需添加会话保持时间。四层会话保持的会话保持时间取值范围为[1，60]。 七层会话保持的会话保持时间取值范围为[1，1440]。 20 描述 后端主机组的描述。字数范围：0/255。

本文介绍在应用托管中搭建Dify和部署MCP Server,以及在Dify中集成基于部署的MCP Server。 概述 Dify介绍 Dify 是一站式大模型应用开发平台。它能便捷接入各类数据并管理，支持模型微调与多模型调用。通过可视化界面和低代码工具，用户无需深厚技术背景，就能快速搭建如聊天机器人、智能客服等应用。可用于客户服务、内容创作等场景，具有降低开发门槛、提升效率、灵活可扩展等优势，助力企业高效落地大模型应用。 前置说明 1. 本文档旨在指导用户如何通过应用托管控制台，体验将MCP Server集成至Dify。 2. 本产品中的模型由第三方主体提供，尽管云公司已尽最大努力进行识别和维护，但仍无法保证模型的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 使用前准备 1. 天翼云账号注册：使用应用托管平台须具备天翼云官网账号。已有天翼云账号的直接登录即可，如无天翼云账号需先注册，注册流程可参考：注册账号。 2. 使用前提：如需使用服务请先完成实名认证，请参考账号中心实名认证。如需使用按需服务，请确认账号余额≥100 元。

Dify介绍 Dify 是一站式大模型应用开发平台。它能便捷接入各类数据并管理，支持模型微调与多模型调用。通过可视化界面和低代码工具，用户无需深厚技术背景，就能快速搭建如聊天机器人、智能客服等应用。可用于客户服务、内容创作等场景，具有降低开发门槛、提升效率、灵活可扩展等优势，助力企业高效落地大模型应用。 前置说明 1. 该文档为应用托管控制台通过应用市场体验Dify+DeepSeekR1模型搭建私有知识库的说明，通过应用托管控制台，打开应用市场，创建对应的Dify应用，使用 Dify构建本地知识库。 2. 本产品中的模型由第三方主体提供，尽管云公司已尽最大努力进行识别和维护，但仍无法保证模型的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 使用前准备 1. 天翼云账号注册：使用应用托管平台须具备天翼云官网账号。已有天翼云账号的直接登录即可，如无天翼云账号需先注册，注册流程可参考：注册账号。 2. 使用前提：如需使用服务请先完成实名认证，请参考账号中心实名认证。如需使用按需服务，请确认账号余额≥100 元。

本节介绍如何解除数据集加速。 当不再需要使用加速数据时，可以通过解除加速来释放存储资源。 解除加速后，将同步删除数据源配置资源（Dataset）、加速引擎资源（Runtime）、预热资源（DataLoad），本地缓存数据将自动清理。 前提条件 已完成AI套件安装，弹性数据集组件运行正常 确保存储插件cstorcsi运行正常 数据集已开启数据加速 确认已没有业务资源在使用加速数据集 约束与限制 解除加速将清理缓存数据，业务无法再使用加速功能，请谨慎操作 解除加速前请确认已没有业务资源在使用加速数据集，否则无法执行解除 操作步骤 1、解除加速 登录云容器引擎管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 智算套件 > AI应用管理 > 数据集 > 私有数据集，选择数据集； 进入数据集详情页 > 版本： 数据集版本列表中，对于已加速数据集，开放“解除加速”入口。点击“解除加速”，将开启清理操作。 解除加速完成，数据集加速状态将置为“未加速”。 2、解除加速失败 Cannot decelerate, pods [XXX] are using PVC fluiddsXXX 该错误由于检查当前仍有应用在使用加速数据集导致。可根据提示pod确认是否要解除加速，如仍需解除，需首先释放占用资源，再重试解除即可。

本文介绍什么是RBI云端浏览器。 什么是远程浏览器隔离（RBI） Web浏览器是整个网络环境中最广泛应用的软件之一，因浏览器漏洞导致的网络安全事件层出不穷，同时浏览器漏洞的存在是难免的，往往是通过事后修补都方式，都依赖人员意识。远程浏览器隔离（RBI）主要解决Web浏览器访问问题，它可以在云服务器上加载网页并执行相关代码，远离用户的本地设备以及企业的内部网络。在结束网页浏览后会删除用户浏览会话记录，因此，与会话相关的恶意 cookie 或下载内容都会被清除。 RBI云端浏览器 RBI云端浏览器是基于零信任网络+远程浏览器隔离技术，以“不让数据流出去、不让坏数据流进来”为宗旨，通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯。 当用户使用浏览器访问网页时，Web隔离系统利用RBI技术，将网页内容加载到远端浏览器上，在远端的浏览器上执行渲染后，将渲染的结果以图像的方式传到用户端浏览器上显示。 可管控限制用户在浏览器内执行有风险的操作，包括限制下载、上传、复制粘贴、键盘输入和打印功能。 零信任可安全连通内网进行身份认证、权限管控，提供完整链路访问。

本节将介绍如何对已添加的MRS资产进行删除的操作。删除已添加的MRS资产后，该资产在数据安全中心DSC服务里建立的相关内容都将被删除，包括任务模板以及扫描任务结果报告，且无法恢复。 前提要求 已完成MRS资产委托授权，参考云资源委托授权/停止授权进行操作。 待删除的数据资产未被应用在敏感数据检测任务中。 约束条件 如果需要删除的数据资产已被应用在敏感数据检测任务中，请先解绑资产或者删除任务，再参照本章节删除资产。 删除操作无法恢复，删除后，资产相关的任务模板、任务结果、报表都将被删除，请谨慎操作。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，并选择“MRS > 待授权”，进入待授权MRS资产列表页面，如下图所示。 待授权MRS资产列表 5.在MRS资产列表中，在需要删除的MRS资产所在行的“操作”列，单击“删除”。 6.在弹出的删除资产提示框中，单击“确定”。

步骤说明 此处我们需要购买两个NAT网关，NAT网关不支持批量创建。 操作步骤 1. 登录天翼云控制中心。 2. 在系统首页，单击“网络>NAT网关”。 3. 选择付费方式，填写名称，选择可用区，VPC选择环境准备中的创建的VPC，选择规格，点击“下一步”。 4. 确认规格，选择我已阅读并同意相关协议，单击“确认下单”，完成NAT网关的创建。 5. 重复上述操作，创建第二个NAT网关实例 “NAT网关2”。 步骤三：添加路由规则 步骤说明 两个路由表配置不同的公网路由，指向不同的NAT网关。 操作步骤 1. 登录天翼云控制中心，选择“网络>虚拟私有云”。 2. 在虚拟私有云页面，单击“路由表”，进入路由表列表页。 3. 单击“创建路由表”，进入路由表创建，分别创建路由表1和 路由表2。 4. 进入路由表1，关联子网1，然后添加一条新的路由，根据界面提示，配置路由相关参数： IP类型 : 选择IPV4 目的地址 : 0.0.0.0/0 下一跳类型: 选择NAT网关 NAT网关：NAT网关1 5. 配置好相关参数后，点击“确定”即完成路由添加。 6. 进入路由表2，关联子网2，然后添加一条新的路由，根据界面提示，配置路由相关参数： IP类型 : 选择IPV4 目的地址 : 0.0.0.0/0 下一跳类型: 选择NAT网关 NAT网关：NAT网关2 7. 配置好相关参数后，点击“确定”即完成路由添加。 步骤四：配置SNAT规则

是否支持跨Region访问？ Kafka可以跨Region访问，但是跨Region目前只能通过公网访问或者拉专线的方式。 Kafka实例是否支持跨VPC访问？ Kafka实例支持跨VPC访问，您可以通过以下方式实现跨VPC访问： 创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问。具体步骤请参考《虚拟私有云用户指南》的“VPC对等连接”章节。 Kafka实例是否支持不同的子网？ 支持。 客户端与实例在相同VPC内，可以跨子网段访问。同一个VPC内的子网默认可以进行通信。 Kafka是否支持Kerberos认证，如何开启认证？ Kafka支持SASL客户端认证、调用接口支持Token和AK/SK两种认证，Kerberos认证目前不支持。 如果使用SASL认证方式，则在开源客户端基础上使用分布式消息服务Kafka提供的证书文件。具体操作参考连接已开启SASL的Kafka实例。 Kafka实例是否支持无密码访问？ 支持，连接未开启SASL的Kafka实例时，无需密码。具体操作，请参考连接未开启SASL的Kafka实例。 开启公网访问后，在哪查看公网IP地址？ 在Kafka控制台，单击Kafka实例名称，进入实例详情页面。在“基本信息”页签，查看公网IP地址（即“公网连接地址”）。 如果您需要连接Kafka实例，请参考连接Kafka。

使用须知 对于“包年/包月”模式的数据库实例，您需要进行订单退订才可删除实例。 删除实例后，该实例上的数据以及相关的自动备份将全部被清除，且不可恢复，请谨慎操作。 文档数据库服务默认保留所有手动备份，实例删除后，可用来恢复。 开启操作保护的用户，在进行敏感操作时，通过进行二次认证再次确认您的身份，进一步提高帐号安全性，有效保护您安全使用云产品。关于如何开启操作保护，具体请参考《统一身份认证服务用户指南》中敏感操作的内容。 操作步骤 步骤 6 登录管理控制台。 步骤 30 单击管理控制台左上方的，选择区域和项目。 步骤 31 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 32 在“实例管理”页面，选择指定的实例，选择“更多 > 删除实例”。 步骤 33 若您已开启操作保护，在“删除实例”弹出框，单击“去验证”，跳转至验证页面，单击“免费获取验证码”，正确输入验证码并单击“认证”，页面自动关闭。 步骤 34 在弹出框中，单击“是”，删除实例。 回收站 设置回收站策略 （待测试） 文档数据库服务支持将退订后的包年/包月实例和删除的按需实例，加入回收站管理。

本章节会介绍如何查看或下载数据库错误日志。 操作场景 关系型数据库服务的日志管理功能支持查看数据库级别的日志，包括数据库主库和从库运行的错误信息，以及运行较慢的SQL查询语句，有助于您分析系统中存在的问题。 错误日志记录了数据库运行的实时日志，您可以通过错误日志分析系统中存在的问题，您也可以下载错误日志进行业务分析。 目前支持查看近1个月的错误日志。 查看日志明细 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏单击“日志管理”，在“错误日志”页签下，查看错误日志的详细信息。 您可单击页面右上角的级别筛选框查看不同级别的日志记录。 说明 云数据库MySQL实例支持查看以下级别的错误日志： ALL ERROR WARNING NOTE 目前支持查询2000条错误日志明细。如需查询更多错误日志，请联系客服申请。 您还可单击右上角的选择时间区域，查看不同时间段内的错误日志。 对于无法完全显示的“描述”，鼠标悬停查看完整信息。 结束

本章节主要介绍Logstash集群配置中心的相关操作。 Logstash类型的集群支持通过配置中心，修改logstash的配置文件，从不同的数据源（input）迁移数据到不同的目的端（output）。 连通性测试 在使用Logstash集群迁移数据时，可以先测试下数据源和Logstash集群的网络是否连通。用户也可以输入数据输出端（output）的IP地址或域名和端口号，测试该Logstash集群和数据输出端的网络是否连通。 1.登录云搜索服务管理控制台。 2.在“集群管理”页面，选择Logstash类型集群，单击需要配置数据导入导出文件的集群名称，进入集群基本信息页面，选择“配置中心”，或者直接单击目标集群操作列的“配置中心”，进入配置中心页面。 3.在配置中心页面，选择“连通性测试”。 4.输入数据来源的IP地址或域名和端口号，单击“测试”。 连通性测试 说明 连通性测试最多可一次性测试10个IP地址或域名。您可以单击“继续添加”，添加多个IP地址或域名，然后单击“批量测试”，进行一次性测试多个IP地址或域名的连通性。 创建配置文件 1.登录云搜索服务管理控制台。 2.在“集群管理”页面，选择Logstash类型集群，单击需要配置数据导入导出文件的集群名称，进入集群基本信息页面，选择“配置中心”页签，进入配置中心页面；或者直接单击目标集群操作列的“配置中心”，进入配置中心页面。 3.单击右上角“创建”，进入创建配置文件页面。 您可以选择系统模板或者自定义模板方式创建，也可以直接进行创建配置文件。 −如果选择模板方式，可以直接单击对应的模板操作列的“应用”，然后在“名称”、“配置文件内容”和“隐藏内容列表”中进行命名和修改。 目前支持的系统模板类型有： elasticsearch：从Elasticsearch类型集群导入数据到Elasticsearch类型集群。 −如果直接创建配置文件，在“名称”和“配置文件内容”参数中直接输入对应内容即可。创建的配置文件内容大小不能超过100k。支持创建配置文件个数不超过50个。 −隐藏内容列表：输入需要隐藏的敏感字串列表，按Enter创建；配置隐藏字符串列表后，在返回的配置内容中，会将所有在列表中的字串隐藏为（列表最大支持20条，单个字串最大长度512字节）。 4.配置完成后，单击“下一页”，配置参数。 配置文件在迁移数据时管道中的配置。 参数说明 参数 说明 pipeline.workers 并行执行管道的Filters+Outputs阶段的工作线程数，默认值为CPU核数，建议取值为120之间。 pipeline.batch.size 单个工作线程在尝试执行其Filters和Outputs之前将从inputs收集的最大事件数，该值较大通常更有效，但会增加内存开销，默认为125。 pipeline.batch.delay 创建管道事件批时，在将过小的批调度到管道工作线程之前，等待每个事件的时间（以毫秒为单位），默认值为50。 queue.type 用于事件缓冲的内部队列模型。memory为基于内存的传统队列，persisted为基于磁盘的ACKed持久化队列，默认值为memory。 queue.checkpoint.writes 如果使用持久化队列，则表示强制执行检查点之前写入的最大事件数，默认值为1024。 queue.maxbytes 如果使用持久化队列，则表示持久化队列的总容量，确保磁盘的容量大于该值，默认值为1024。 单位：MB。 5.配置完成后，单击“创建”。 在配置中心页面可以看到创建的配置文件，状态为“可用”，表示创建成功。您还可以在操作列对创建的配置文件进行编辑、添加到自定义模板、删除等操作。 −编辑：单击操作列的“编辑”，可以修改配置文件的内容及配置参数。 −添加到自定义模板：可以将当前创建的配置文件，作为模板添加到自定义模板中，方便下次创建配置文件时使用。 −删除：如果不需要此配置文件，可以通过操作列进行删除。 说明 您也可以单击“操作记录”或“运行日志”，查看配置文件的相关操作记录和运行日志信息。

对于支持IAM配置，不支持企业项目配置的操作，若没有配置过IAM权限将默认不具备相应操作权限，操作将被拦截，对于这种场景，该如何处理？ 支持IAM配置，不支持企业项目配置的操作在没有配置过IAM权限时，将默认不具备相应操作权限，操作将被拦截，如下图创建快照，前端提示权限不足，操作被拦截。此时，您需要在IAM中为此用户新增创建快照的IAM操作权限以解除限制。 操作步骤 1.登陆统一身份认证服务平台。 2.创建或修改自定义策略，在该策略中需添加创建快照的三元组“evs:snapshot:create”，具体创建或修改策略的操作请参见统一身份认证IAM中“策略管理”章节。 3.为待授权的子账号所归属的用户组配置上述具有“evs:snapshot:create”三元组的策略。具体授权策略的操作请参见统一身份认证IAM中“用户组授权”章节。 4.完成上述配置后，用已授权创建快照权限的子用户登陆天翼云控制台，创建快照操作将不再被拦截，能够进入创建快照页面。 为什么子用户订购云硬盘跳转到订单中心时，显示“抱歉，您没有访问该页面的权限”？ 若您的子用户需要实现下单类操作，如创建、扩容等，您需要为子用户所在用户组设置“订单与云网账号管理员权限”，即授权“bss admin”策略。 具体操作可参考子用户如何创建和下单一类节点资源。

本文帮助您快速熟悉对等连接编辑标签的操作。 操作场景 当您的云环境中存在多个对等连接时，使用标签可以帮助您对其进行分类分组管理，提高资源的管理效率。 在为对等连接编辑标签时，通常需要指定标签键和标签值来标识和分类对等连接。标签键用于描述标签的分类或属性，而标签值则用于具体区分不同的对等连接。 说明 该功能仅白名单用户可见，请以实际控制台页面为准。 使用须知 每个资源可以最多添加10个标签。 标签的“键”和“值”是一一对应的，其中“键”值是唯一的。 添加标签 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方单击图标，选择区域。 3. 在系统首页，选择“网络>对等连接”。 4. 在“对等连接”列表页面，单击对等连接所在行的“编辑标签”。 5. 输入标签键和标签值，点击“确定”。 6. 在对等连接列表，还支持对已创建的对等连接批量编辑标签/批量解绑标签。 修改标签 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方单击图标，选择区域。 3. 在系统首页，选择“网络>对等连接”。 4. 在“对等连接”列表页面，单击对等连接所在行的“编辑标签”。 5. 在弹出的标签页，输入修改的“键”和“值”。 6. 点击“确定”，完成标签修改。