本节介绍了用户指南:使用ZOS动态存储卷。 云容器引擎支持使用天翼云对象存储持久卷。cstorcsi插件支持使用对象存储动态存储卷和静态存储卷，通过将存储卷挂载到容器指定目录满足数据持久化需求。 前提条件 已创建容器集群。 已在插件市场安装存储插件cstorcsi，且插件正常运行。（建议使用>4.0的CSI版本） 容器集群所在资源池已开通对象存储服务。 使用限制 参见对象存储使用限制 通过控制台使用对象存储动态存储卷 1 、创建保密字典 进入天翼云对象存储控制台，进入Access Key管理； 查看对象存储密钥，并记录； 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“配置管理”——“保密字典”，选择命名空间，单击左上角“创建”。 输入名称、内容，内容项变量名分别是AK、SK（变量名大写），变量值分别对象上一步中获取到的密钥；点击提交； 注意 注意绿色框内，当填入AKSK内容时，需要将base64编码关闭，维持图上的状态。

关联实例 用户创建全域接入网关后，需要为其关联实例，支持关联的实例类型包括连接。 1. 进入云专线全域接入网关列表页。 2. 在全域接入网关列表中目标全域接入网关所在行的“操作”列，单击“关联实例”。 3. 在关联实例页面，选择待关联的实例类型。 此处选择“连接”。 4. 根据界面提示配置相关参数，单击“确定”。 连接关联完成后，可以单击全域接入网关名称，进入“连接”页面，查看已关联的连接信息。 删除全域接入网关 当全域接入网关被占用无法删除时，需根据提示先删除其他依赖资源，详细请参见下表： 表全域接入网关无法删除原因及处理方法 原因 处理方法 全域接入网关已关联虚拟接口 需首先删除已关联的虚拟接口资源。 全域接入网关已关联连接 需查看全域接入网关已关联的连接并删除。 1. 进入云专线全域接入网关列表页。 2. 在全域接入网关列表中，单击全域接入网关“操作”列的“删除”。 3. 在弹出的对话框中，单击“确定”，完成全域接入网关的删除。

通过本接口向云点播完成视频封面上传流程。 接口功能介绍 用户可通过本接口向云点播完成视频封面上传流程。 接口约束 本接口的单用户QPS限制为20次/秒。超过限制，API调用会被限流，这可能会影响您的业务，请合理调用。 URI POST /video/cover/upload/complete 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 videoId 是 String 必填参数，视频id。 34c71dbaf2804f5ea05ff4daed837fef 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 code 是 String 本次请求的结果码。 "0" message 是 String 错误文本信息，创建成功时，为空字符串。 "" 请求示例 请求体body json { "videoId": "34c71dbaf2804f5ea05ff4daed837fef" } 响应示例 json { "code": "0", "message": "" } 状态码 Http 状态码 状态码信息 状态码描述 0 表示业务成功 表示业务成功 400 请求参数有误 请求参数有误 403 用户鉴权失败，用户无操作权限 用户鉴权失败，用户无操作权限 404 请求的资源不存在，输入错误的URL 请求的资源不存在，输入错误的URL 500 业务执行异常 业务执行异常

此小节介绍如何设置云堡垒机运维环境。 在使用堡垒机之前，您需要先下载运维工具及配置运维工具路径。 使用本地客户端方式运维资产，需要初始化本地终端环境设置，下载并设置访问插件。 使用限制 支持的运维终端操作系统、支持的运维客户端软件，请参见使用限制。 下载访问插件 1. 使用访问用户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“运维设置”，进入“运维设置”页面。 3. 单击页面右上角的“访问插件”按钮，根据实际操作环境选择插件下载。 配置运维工具 注意 仅Windows系统需要配置客户端路径，Mac系统无需配置。 仅Xshell、SecureCRT、DBeaver、Navicat、Filezilla、WinSCP需要配置路径后才可以使用，其他客户端工具无需配置。 1.在“运维设置”页面勾选需要使用的客户端工具，并单击“保存”。 2.若您配置的工具需要配置客户端路径，则单击页面右上角的“客户端路径配置”。 3.在弹出的对话框中选择需要配置客户端，选择客户端路径。

本文主要介绍远程桌面连接Windows云主机报错:由于协议错误会话中断如何处理。 问题描述 远程桌面提示：由于协议错误，会话将会被中断，请重新连接到远程计算机。 图 协议错误 可能原因 注册表中的“Certificate”子键被损坏，导致用户无法与终端服务进行正常通信。 解决方法 1.在运行窗口输入“regedit”回车，打开注册表编辑器。 图 打开注册表 2.找到HKEYLOCALMACHINESYSTEMControlSet001ControlTerminal ServerRCM 3.删除Certificate。 图 删除Certificate 4.重启云主机。 5.打开远程桌面会话主机配置。单击“开始”，打开“管理工具 > 远程桌面服务 >远程桌面会话主机配置” 图 打开远程桌面会话主机配置 6.右键单击RDPTCP，选择“属性”，打开RDPTCP属性对话框，修改安全性中的安全层为RDP安全层。 图 RDPTCP属性

本文介绍了扩容存储库的操作步骤,您可在存储库容量不够时,及时进行扩容。 操作场景 创建存储库后，当业务增大或备份量增多，存储库容量无法满足需求，可以考虑扩容存储库，获得更高的灵活性和可扩展性，同时确保数据的安全性。 使用须知 扩容容量为在原有基础上增加的容量。 金额计算公式为：剩余天数扩容后的单日金额差价本次收取金额。 单个存储库的容量为100GB – 1024000GB，扩容最小取值为1GB。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 在“云主机备份”页签，选择要扩容的存储库，点击操作列下的“扩容”。 6. 在弹出的弹窗中，设置需要扩容的容量，点击“确定”并完成支付，即可完成扩容。

本节介绍了如何修改云数据库TaurusDB实例的参数模板描述。 操作场景 参数模板创建成功后，用户可根据需要对自己创建的参数模板描述进行修改。 说明 默认参数模板的描述不可修改。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“参数模板管理”页面的“自定义”页签，选择一个用户创建的参数模板，单击“描述”列。 步骤 5 输入新的描述信息，单击，提交修改，单击，取消修改。 修改成功后，可在参数模板列表的“描述”列查看改后的描述信息。 参数模板的描述长度不能超过256个字符，且不能包含>!<"&'特殊字符。

本例我们以Windows Server 2012数据中心版为例。 操作步骤 1. 与本地主机操作一致，首先通过VNC或其余远程登录方式登录轻量型云主机。 2. 右键单击桌面，选择屏幕分辨率，在弹出页面，选择合适的分辨率，点击确定、应用即可。

本小节介绍云日志审计采集器配置方法。 新增采集器： 点击【日志采集】→【采集控制器】→【新增】，如下图所展示。 类型：选择"事件采集器"； 标准化策略：选择系统内置对应的模版，系统将自动关联； IP范围：填写准确IP地址以便系统能够识别。

本节介绍了专属云（存储独享型）的产品规格。 存储单元 规格 独享存储包（高IO） 起步规格：裸容量16TB（可用容量13.6TB） 独享存储包（高IO） 扩容步长:裸容量16TB 独享存储包（超高IO） 起步规格:裸容量8.5TB（可用容量7.225TB）， 独享存储包（超高IO） 扩容步长:裸容量8.5TB

本节介绍了用户指南:使用OceanFS动态存储卷(sharePath模式)。 云容器引擎支持使用天翼云海量文件存储持久卷。cstorcsi插件支持使用海量文件服务动态存储卷和静态存储卷，通过将存储卷挂载到容器指定目录下，以满足数据持久化需求。 sharePath模式是指将完整的海量文件存储作为持久卷使用。当用户挂载持久卷声明时，海量文件的根目录会被挂载到容器中。 前提条件 已创建容器集群 已在插件市场安装存储插件cstorcsi，插件版本>3.6.0，且插件正常运行。（建议使用>4.0的CSI版本） 使用限制 参见海量文件使用限制 通过控制台使用海量文件动态存储卷 1、创建存储类（StorageClass） 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“存储”——“存储类”，单击左上角“创建”； 在创建对话框，配置存储类StorageClass的相关参数。配置项说明如下： 配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、并行文件、海量文件，这里选择海量文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动 模式 新建海量文件：每次创建持久卷申明时，均创建一个新的海量文件与之对应。 新建子目录：基于某个已经存在的海量文件，每次创建持久卷申明时，在这个海量文件上创建一个子目录与之对应。 计费模式 可以选择按需计费或者包年包月 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。 如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，默认为Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 WaitForFirstConsumer模式： 该模式将延迟 PV的绑定和制备，直到使用该 PVC的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 支持扩容 默认该开关是打开的，一般也建议打开。 如果关闭该开关，则使用该存储类的pvc，无法被扩容。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。 注意 请务必在挂载时使用noresvport参数，该参数可以在网络故障时自动切换端口，保障网络连接，防止文件系统卡住。挂载参数的说明参见 查看这里 参数 存储类型：参数键为type，支持参数值如下： massive ：容量型 可用区：选择随机，或者指定具体的某个可用区。建议与存储产品确认，哪些可用区有对应的云硬盘类型，再进行选择。 存储标签：创建存储资源时，给存储资源添加对应的标签，注意，该标签不是K8S的label，而是存储侧的资源标签，需要在存储控制台或者云资源视图查看。 参数配置完成后，点击“确定”。创建成功后，可以在存储类列表查看。

此章节为您介绍如何管理云堡垒机的数据。 您可在堡垒机存储配置页查看已使用的存储空间。当存储空间可用内存不足时，建议您及时删除历史系统数据，或变更实例规格扩充数据盘大小。 查看存储空间 1. 登录云堡垒机（原生版）实例。 2. 在左侧导航栏选择“系统管理 > 数据管理”，进入“存储配置”页面。 3. 您可在“存储配置”页面查看已用的存储空间和设置自动删除的内容。 开启自动删除功能 1. 打开自动删除功能，将“自动删除”后的按钮切换至开启状态。 2. 填写需要保留数据月数，默认为6个月。 3. 勾选需要删除的内容后，单击“保存”。 管理日志备份 1. 登录云堡垒机（原生版）实例。 2. 在左侧导航栏选择“系统管理 > 数据管理”，选择“日志备份”页签。 3. 开启日志备份，并填写Syslog服务器地址。 参数 参数说明 取值样例 状态 决定是否开启备份至Syslog服务器功能 发送名称 用于标识堡垒机发送至Syslog服务器的日志。 Test 服务器IP 填写正确的Syslog服务器IP地址。 0.0.0.0 端口 填写Syslog服务器的端口地址。 80 协议 选择访问Syslog服务器的协议。 UDP 备份内容 选择您需要备份的堡垒机中的业务内容。 4. 填写完成后，单击“保存”即配置完成。

应用场景 鲲鹏通用计算增强型弹性云主机适用于对自主研发、安全隐私要求较高的政企金融场景，对网络性能要求较高的互联网场景，对核数要求较多的大数据、HPC场景，对成本比较敏感的建站、电商等场景。

本节介绍了弹性云主机的续订规则。 续订规则详情请见天翼云帮助中心费用中心续订规则说明。 自动续订规则详情请见天翼云帮助中心费用中心续订管理自动续订。

创建新模板 1. 如没有可用的模板或版本，请选择获取模板方式为 创建新模板 2. 平台将自动为您生成模板名称，支持修改 3. 在模板内容部分，请先新增一个.tf文件，建议将文件命名为“main.tf”。您可继续添加多个文件、文件夹对您的模板进行结构化定义 4. 在文件中按照 terraform语法 定义各类云资源（例如弹性云主机、虚拟私有云、弹性IP等）的增删改查语句 5. 您在此编辑的模板内容，提交后将被保存为一个新模板 步骤2 配置参数 1. 请在步骤2完成模板和资源栈的参数配置，具体见表格。 参数 是否必填 参数说明 参考样例 加密敏感参数 否 1. 如果您在模板中设置参数的“sensitive”值为“true”，平台将支持为您加密敏感参数。 2. 资源编排将使用天翼云云产品 密钥管理服务 对您的敏感参数（参数的“sensitive”值为“true”）进行加密，密钥管理服务会创建默认密钥“ros”。 如果您确认授权，请单击确认授权，继续操作，ROS将使用密钥管理服务为您设置了“sensitive”值为“true”的参数进行加密保存。 如果您不希望授权，请单击取消加密，继续操作，ROS将不再为您加密保存“sensitive”值为“true”的参数。 该默认密钥免费，请放心使用。 配置模板参数 否 如果模板中定义了自定义变量，您还需要完成变量配置，变量的配置需要符合模板中定义的校验规则。 模板示例 企业项目 是 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 指定的企业项目会传递给资源栈内所有资源，该设置会在下次部署时生效。 注意：资源栈暂不支持设置企业项目，企业项目仅会传递给资源栈内所有资源 default 资源并发量 否 指单次部署可同时变更的资源数量上限 如需提升配额，请提交工单处理 10 失败时回滚 否 默认不开启。开启失败时回滚，将在资源创建失败时，删除已成功创建的资源，资源栈回滚至上一次部署成功的状态。 不开启 删除保护 否 默认不开启。删除保护打开时，将无法手动删除资源栈，需手动关闭该配置后才可继续删除。 不开启 跳过资源预检 否 默认不开启。开启跳过资源预检，将在部署/创建执行计划/删除/回滚时跳过资源最新配置检查(refresh)，直接按模板执行，可提升操作速度 若资源曾被控制台等非 ROS 渠道修改过，开启该功能可能导致部署结果偏离预期，需谨慎操作。建议仅在资源完全由 ROS 托管、不脱离ROS控制台操作时开启。 不开启 2. 提交表单时，推荐选择单击创建执行计划，此时您还需要补充以下执行计划信息。 执行计划是一套资源栈配置的记录。部署资源栈前，您可通过浏览执行计划，提前评估部署动作对于当前资源的整体影响。 参数 是否必填 参数说明 参考样例 执行计划名称 是 自动填充默认值。 最长可输入128字符。 仅允许输入中英文、数字、下划线和中划线，且必须以字母或中文开头。 executionPlan202509281713sokRRg 执行计划说明 否 可简要说明资源栈的更新内容，最长可输入255字符 批量创建5台云主机 单击确认 ，平台将创建一个执行计划，待执行计划状态由“创建中”跳转为“创建成功，待部署”后，您可继续部署资源栈。部署资源栈前，您可在执行计划详情中，确认资源变更、价格变更、模板变更内容后，再部署资源栈。 3. 提交表单时，您还可选择单击 直接部署资源栈 ，此时平台将直接部署资源栈，而不会创建执行计划，即不会记录您本次部署的变更内容。此时您可在资源栈详情的事件页面 查看部署状态。部署资源栈请参考部署资源栈。 注意：直接部署将会立即创建资源并产生相关费用，该操作为危险操作，不建议执行，请谨慎确认后再操作。 4. 提交表单后，您可以在新创建的资源栈详情的事件列表中查看创建和部署进度 5.

云原生API网关支持对API和接口级进行添加策略,提高API和接口的安全性和可维护性。 操作步骤 1. 登录云原生API网关控制台。顶部菜单栏选择 "地域"，然后再左侧导航栏选择 "API"。 2. 单击目标API，您可以在下拉框中选择需要添加策略的实例。 3. 您可以进行API级或接口级进行策略与插件配置： 1. API级：单击 "API策略配置" 标签页，此标签页将针对全部接口进行API级策略与插件配置，然后单击 "启用策略/插件" 。 2. 接口级：在 "API设计" 标签页 "接口列表" 栏单击目标接口，单击 "策略与插件配置" ，然后单击 "启用策略/插件" 。 4. 策略配置 策略名称 描述 限流 通过配置限流策略，您可以在指定时间窗口内的配置请求数量，那么在时间窗口内超出阈值的请求将被阻止，以此来确保后端服务始终可用。 重写 通过配置重写策略，网关可以在请求被网关转发至目标服务之前修改请求路径和主机域，确保请求被正确路由到合适的服务或端点。 Header设置 通过配置Header设置，网关可以在请求转发至目标后端服务之前修改原始请求的头信息，或者在后端服务的响应返回给客户端之前修改响应的头信息。 跨域 通过配置跨域策略，可以在服务端启用跨域资源共享（CORS，CrossOrigin Resource Sharing），允许Web应用服务器进行跨域访问控制，实现安全的数据传输。 ProxyCookie设置 该配置支持对上游响应SetCookie头部重写，当前支持对SetCookie头部里的Domain和Path进行重写。 Query参数设置 您可以设置请求Query参数的新增、修改和删除三种修改方式，并配置具体的参数名和参数值。网关将对原始请求的Query参数进行新增或修改或删除后，转发到后端目标服务中。 外部认证授权 该配置支持通过第三方外部服务进行身份认证与授权。当身份认证失败时，可以实现自定义错误或者重定向到认证页面的场景。 熔断设置 该配置支持在触发上游服务不健康状态时进行熔断，从而保护上游业务服务。 黑白名单 云原生网关支持通过配置IP黑名单和白名单的方式限制客户端访问网关；黑白名单不能同时开启，同时只有一种能生效。 防重放 通过验证请求的唯一性（如时间戳、序列号等）防止攻击者重复发送已截获的合法请求，避免重复操作或数据异常。

本节介绍云容器引擎的最佳实践:使用等保加固版本CTyunOS镜像。 云容器引擎提供了CTyunOS的等保2.0标准三级版操作系统镜像，该版本操作系统镜像实现了国家信息安全部发布的《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分三级安全要求，其中主要安全加固模块有：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范。用户可以为节点池的工作节点选择实现了等保加固的CTyunOS操作系统。 使用方式 开通新集群在节点池订购页面选择CTyunOS加固版操作系统镜像。 新建节点池选择CTyunOS加固版操作系统镜像并扩容。 升级节点池功能中勾选更换操作系统并选择加固版操作系统镜像。 使用须知 CTyunOS等保加固版本镜像实现了《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分第三级安全要求，但这并不代表该加固版操作系统一定能通过第三方的操作系统等保加固标准测试，相关通过标准和风险需要用户自行评估。 如需禁用root通过ssh登录并创建管理员账号进行系统管理请用户运行/root/extraenhance.py文件按指引执行。 部分未执行的加固项需要用户根据实际需求自行完成，详细见/root/extraenhance.py文件输出。 虽然等保加固版本的操作系统在性能上与普通版本的操作系统没有显著差距，但是加固项的引入会增加后期用户的维护成本（如密码管理、文件权限管理、日志审计等），因此，如无特殊需要仍建议用户使用普通版本CTyunOS镜像。 CTyunOS等保加固版本镜像对账户密码做了一定的限制，用户在使用过程中需要根据这些限制留意密码的管理和维护，其中包括： 1、密码有效期为90天，密码到期后需要进行密码重置以更新密码的有效期。 2、密码长度至少为8位，并且至少包含一个大写字母、一个小写字母、一个特殊字符以及一个数字字符，在云主机控制台进行密码重置时务必确认输入的密码符合该要求，否则密码重置会失败，如密码test@2025会重置失败，而Test@2025可以重置成功。 3、密码重用次数最大为五次，重用次数超过五次将导致密码重置失败。 4、输入密码错误次数超过五次时将锁定账户禁止登录，锁定时长为900秒。

本文为您介绍使用taskset命令让进程运行在指定CPU上的具体操作。 操作描述 taskset命令可用于在Linux系统上查看或设定某个进程或线程的CPU亲和性。使用此命令可实现让云主机内的某个进程或线程仅在与之绑定的CPU核心上运行。此操作指导将以CtyunOS 323.01 64位操作系统为例，介绍如何使用 taskset 命令让进程运行在指定CPU上。 操作步骤 1. 通过执行如下命令，查看云主机的 CPU 核数。 cat /proc/cpuinfo 您会看到类似下图的输出内容。 其中，“processor”参数表示对应CPU处理器标号，而“cpu cores”参数表示对应CPU处理器的核心数。上图示例展示了标号为1且核心数为1的CPU处理器。注意：从此图可判断此云主机至少有2个CPU处理器，因为CPU处理器标号是从0开始的，了解这个信息对后续步骤的执行很关键。 2. 假设有一个 tasksettest.sh 进程，通过执行如下命令，查看该进程的信息。 ps aux grep tasksettest.sh 上图示例中 tasksettest.sh 进程的 PID 是 3943。 3. 通过执行如下命令，查看指定进程的 CPU 亲和性。 taskset p 以第 2 步中获取的 PID 为例： 上图示例中显示的十进制数字3转换为二进制数字11，每个1对应一个CPU，最低两个是1表示该进程运行在两个CPU上。 4. 通过执行如下命令，设定指定进程运行在第1个CPU（CPU0）上。 taskset pc 0 以第 2 步中获取的 PID 为例： 可以重复第 3 步来对比变化： 上图示例中显示的十进制数字1转换为二进制数字01（与第 3 步中对应），最低一个是1表示此步设定成功。 此外，仍以设定运行在第 1 个 CPU 上为例，可使用如下命令在启动程序时绑定 CPU 核心： taskset c 0 bash tasksettest.sh

本节介绍云容器引擎的最佳实践:使用等保加固版本CTyunOS镜像。 云容器引擎提供了CTyunOS的等保2.0标准三级版操作系统镜像，该版本操作系统镜像实现了国家信息安全部发布的《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分三级安全要求，其中主要安全加固模块有：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范。用户可以为节点池的工作节点选择实现了等保加固的CTyunOS操作系统。 使用方式 开通新集群在节点池订购页面选择CTyunOS加固版操作系统镜像。 新建节点池选择CTyunOS加固版操作系统镜像并扩容。 升级节点池功能中勾选更换操作系统并选择加固版操作系统镜像。 使用须知 CTyunOS等保加固版本镜像实现了《GB/T222392019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分第三级安全要求，但这并不代表该加固版操作系统一定能通过第三方的操作系统等保加固标准测试，相关通过标准和风险需要用户自行评估。 如需禁用root通过ssh登录并创建管理员账号进行系统管理请用户运行/root/extraenhance.py文件按指引执行。 部分未执行的加固项需要用户根据实际需求自行完成，详细见/root/extraenhance.py文件输出。 虽然等保加固版本的操作系统在性能上与普通版本的操作系统没有显著差距，但是加固项的引入会增加后期用户的维护成本（如密码管理、文件权限管理、日志审计等），因此，如无特殊需要仍建议用户使用普通版本CTyunOS镜像。 CTyunOS等保加固版本镜像对账户密码做了一定的限制，用户在使用过程中需要根据这些限制留意密码的管理和维护，其中包括： 1、密码有效期为90天，密码到期后需要进行密码重置以更新密码的有效期。 2、密码长度至少为8位，并且至少包含一个大写字母、一个小写字母、一个特殊字符以及一个数字字符，在云主机控制台进行密码重置时务必确认输入的密码符合该要求，否则密码重置会失败，如密码test@2025会重置失败，而Test@2025可以重置成功。 3、密码重用次数最大为五次，重用次数超过五次将导致密码重置失败。 4、输入密码错误次数超过五次时将锁定账户禁止登录，锁定时长为900秒。

此小节介绍如何进行用户角色管理。 角色概述 用户所关联的角色，赋予用户不同系统操作访问权限。 云堡垒机系统仅admin拥有自定义角色和修改角色的权限。 缺省情况下，系统中的默认角色包括部门管理员、策略管理员、审计管理员和运维员。默认角色不可删除，但可修改默认角色的权限范围。 系统默认角色说明 参数 说明 :: 部门管理员 部门的运维管理员，主要负责云堡垒机系统的管理。除用户管理和角色管理模块之外，部门管理员拥有其他全部模块的配置权限。 策略管理员 用户权限策略管理员，负责主机运维的权限策略管理。主要负责策略权限的配置，拥有用户组管理、资源组管理和访问策略管理等模块的配置权限。 审计管理员 运维结果审计管理员，查询管理系统审计数据。主要负责查阅和管理系统的审计数据，拥有实时会话、历史会话和系统日志等模块的配置权限。 运维员 访问系统的普通用户和操作人员。主要负责资源的运维，拥有主机运维、应用运维和工单授权管理的权限。 自定义角色 系统中的默认角色包括部门管理员、策略管理员、审计管理员和运维员。本章节指导您如何自定义创建角色。 约束限制 仅系统管理员admin可新建系统角色。 系统用户组和帐户组模块权限无需单独配置，通过配置用户和资源账户模块即可获取权限。 新建角色 1. 登录云堡垒机系统。 2. 在左侧导航树中，选择“用户 > 角色”，进入角色列表页面。 3. 单击“新建”，弹出角色配置窗口。 新建角色参数说明 参数 说明 :: 角色 自定义角色名称。 创建后不可修改，且系统内“角色”唯一不能重复。 管理权限 选择开启或关闭，默认关闭。 具备管理权限的用户在新建用户或资源时，能够选择当前用户的上级部门。 开启：代表该角色具备管理权限，能够查看本部门及下级部门的数据。 关闭：代表该不具备管理权限。 角色描述 （可选）对角色情况的简要描述。 4. 单击“下一步”，切换到角色的系统模块权限配置窗口。 勾选系统模块和操作选项，即具备该模块和选项的权限。 仅勾选系统模块，则仅具备相应模块查看权限。 5. 单击“确定”，返回角色列表，即可查看已创建角色。

本文介绍扩容海量文件服务的具体操作。 操作场景 当用户认为文件系统的容量不足时，可以通过执行扩容操作来增加文件系统的容量。 注意 目前文件系统仅支持扩容操作，暂不支持缩容，可购置小容量新文件系统后进行文件迁移。 单用户单地域的海量文件服务初始容量配额500TB，该账号下开通的所有文件系统共享该配额，因此扩容规则为：扩容后的文件系统的总容量 海量文件服务OceanFS”，进入OceanFS文件系统列表页面。 3. 在待扩容的文件系统操作栏，点击“更多>扩容”。 4. 在弹出的“扩容”对话框中，按实际需要进行容量规格选择。 5. 完成容量设置后，包年/包月模式下点击“确认”进行支付；按量付费模式下在弹出界面点击“确定”完成扩容。 6. 等待扩容完成，可在文件系统详情页看到扩容后的容量。

创建项目 登录微服务治理中心控制台。 在控制台左侧栏选择应用治理。 在应用治理页面点击左上角“应用接入”标签，进入应用接入导航页。 在应用接入导航的云容器引擎或ECS集群页面点击“新增项目”。 在“新增项目”弹窗填写项目名称、项目代号等信息，点击确定完成创建。 项目参数说明： 参数 说明 项目名称 应用所属项目的名称。 项目代号 应用所属项目的代号。 描述 项目的描述。 创建分组 登录微服务治理中心控制台。 在控制台左侧栏选择应用治理。 在应用治理页面点击左上角“应用接入”标签，进入应用接入导航页。 在应用接入导航的云容器引擎或ECS集群页面，选择指定分组后，再点击“新增分组”。 在“新增分组”弹窗填写分组名称、分组代号和描述，点击确定完成创建。 分组参数描述： 参数 说明 分组名称 应用所属分组的名称。 分组代号 应用所属分组的代号。 描述 分组的描述。

微隔离防火墙以镜像方式提供服务,用户需要一台云主机安装产品镜像,然后申请最大资产数和使用时间的授权。本小节介绍微隔离防火墙计费模式和价格。 计费模式 微隔离防火墙按照用户保护的最大终端数量定义了最大资产数，分为三档依次为20L、50L、100L、200L、400L、800L。 各档最大资产数对应管理中心云主机配置要求参照下表： 序号 最大资产数 管理中心主机配置 1 20 1核2G，60G数据盘 2 50 1核4G，100G数据盘 3 100 2核4G，200G数据盘 4 200 2核4G，200G数据盘 5 400 4核8G，300G数据盘 6 800 8核16G，400G数据盘 价格 产品规格（防护主机台数） 标准价格（元/月） 20 1700 50 4200 100 8300 200 16600 400 29900 800 59800 说明 针对一次性包年付费服务，标准价格按照如下优惠政策进行操作，且在订购期间不允许退订服务。 一次性付费1年 一次性付费2年 一次性付费3年 包月标准价格1285% 包月标准价格2485% 包月标准价格3685%

参数 参数类型 是否必填 示例 说明 下级对象 regionID String 是 81f7728662dd11ec810800155d307d5b ctyun资源池ID azName String 是 可用区1 填写可用区名称或者 default。您可以调用 searchKey String 否 contactGroupName 本参数表示搜索关键词。取值范围： contactGroupName：联系人组名，模糊查询。 triggerID：监控平台规则ID，精确查询。 instanceName：实例名，模糊查询。 name：告警规则名称，模糊查询。 根据以上范围取值。 searchValue String 否 test 配合searchKey使用，对应的值 status Integer 否 0 本参数表示状态。取值范围： 0：正常。 1：告警。 根据以上范围取值。 service String 否 ecs 本参数表示告警服务。取值范围： ecs：云主机。 evs：云硬盘。 pms：物理机。 ... 详见“ page Integer 否 1 页码，默认为1 pageSize Integer 否 10 页大小，默认为20

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String ctyun资源池ID 81f7728662dd11ec810800155d307d5b status 是 Integer 本参数表示状态。取值范围：0：正在告警。1：告警历史。根据以上范围取值。 0 resourceGroupID 否 String 资源分组ID。 3c9362ccbd9555c68b5f66b4b712dcfb searchKey 否 String 本参数表示搜索关键词。取值范围：alarmRuleID：告警规则ID，精确查询。name：告警规则名称，模糊查询。根据以上范围取值。 name searchValue 否 String 配合searchKey使用，对应的值 test service 否 Array of Strings 本参数表示告警服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“告警规则：获取告警服务列表”接口返回。 ['ecs', 'evs'] startTime 否 Integer 查询状态为告警历史（参数status1）时的起始时间戳， 默认值：24小时前时间戳，startTime和endTime需同时传或同时不传 1667815639 endTime 否 Integer 查询状态为告警历史（参数status1）时的结束时间戳，默认值：当前时间戳， 配合startTime一起使用 1667817639 pageNo 否 Integer 页码，默认为1 1 page 否 Integer 页码，默认为1，建议使用pageNo，该参数后续会下线 1 pageSize 否 Integer 页大小，默认为10 10

参数 是否必填 参数类型 说明 示例 下级对象 backupSnapID 是 String 备份快照ID 16ea563392e24d068290722bc4bf4638 regionID 是 String 资源池ID 41f64827f25f468595ffa3a5deb5d15d backupTgtInstanceID 否 String 要恢复到的主机ID。可以为空，默认恢复至原主机 1d5a7adbd4e84fb0aefef247b7ed44f8 backupTgtDir 否 String 恢复目标目录。可以为空，默认恢复至原目录，路径不存在会自动创建 / backupExistFileMode 否 Integer 恢复目录存在重名文件时（默认为0）：0：覆盖恢复目录重名文件，1：跳过文件，2：保留最新版本文件 0 backupRestoreFuncType 否 Integer 指定恢复功能类型：0：包括所有文件，1：恢复指定路径，2：排除指定路径 1 backupRestoreFileList 否 Array of Strings 指定文件列表，当backupRestoreFuncType为1或2时必填，最多可填写十条路径 ["/var/log/application"] backupRestoreIncludeSysDirs 否 Boolean 原目录恢复时是否包含系统目录（默认为false） false isCloud 否 Boolean 是否是云上资源(默认true)，true：弹性云主机，false：本地客户主机。推荐使用sourceType参数，该参数后续即将下线 true sourceType 否 String 产品服务类型(默认CTECS)，CTECS：弹性云主机，CTDPS：裸金属物理机，CTLS：本地客户主机 CTDPS

操作步骤 为虚拟私有云设置安全组访问规则 1. 登录管理控制台。 2. 在系统首页，选择网络 > 虚拟私有云。 3. 在左侧导航栏，选择访问控制 > 安全组。 4. 在安全组界面，单击操作 列的配置规则，进入安全组详情界面。 5. 在安全组详情界面，单击添加规则 ，弹出添加规则窗口。 6. 根据界面提示配置安全组规则。 7. 单击确定。 为关系数据库MySQL版添加安全组 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击白名单与安全组 ，进入白名单设置页签。 5. 单击安全组 页签，点击左上角的添加安全组，即可在弹窗中选到以上步骤中创建的安全组。 6. 单击确定即可绑定。 7. 如果需要解绑，则点击对应安全组右侧的解绑即可。 说明 支持一个实例绑定多个安全组，每条安全组重复以上操作即可。

本章介绍通过DAS连接RDS for MySQL实例。 操作场景 数据管理服务（Data Admin Service，简称DAS）是一款专业的简化数据库管理工具，提供优质的可视化操作界面，大幅提高工作效率，让数据管理变得既安全又简单。您可以通过数据管理服务连接并管理实例。云数据库RDS服务默认为您开通了远程主机登录权限，推荐您使用更安全便捷的数据管理服务连接实例。 操作步骤 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、单击页面左上角的，选择“数据库 > 云数据库 RDS”，进入RDS信息页面。 4、在“实例管理”页面，选择目标实例，单击操作列的“登录”，进入数据管理服务实例登录界面。 图1 登录实例 您也可以在“实例管理”页面，单击目标实例名称，在页面右上角，单击“登录”，进入数据管理服务实例登录界面。 图2 登录实例 5、正确输入数据库用户名和密码，单击“登录”，即可进入您的数据库并进行管理。 图3 登录界面

本章节主要介绍翼MapReduce服务如何新增节点组。 当存量core或task节点组的计算或存储资源无法满足您的业务需求时，您可以使用新增节点组功能增加实例数量。 背景信息 1. V2.16版本起，数据湖、数据分析、数据服务、实时数据流与自定义场景支持新增节点组功能。 2. V2.17版本起，云搜索场景支持新增节点组功能。 3. 当前数据湖、数据服务、实时数据流与自定义业务场景支持新增core与task节点组，数据分析与云搜索场景支持新增core节点组。 4. 仅支持对状态为“运行中”的集群进行新增节点组操作。 操作步骤 1. 登录翼MapReduce管理控制台。 2. 从“我的集群”中 ，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 选择“节点管理”，点击“新增节点组”按钮。 4. 选择新增节点组的配置并完成支付后，可在“节点管理”的节点信息中，查看新增节点组结果。当新增节点组状态从变为“运行中”，表示新增成功。

本节介绍托管检测与响应服务（原生版）全流量分析服务的购买步骤。 购买须知 您需要提供单独的具备互联网访问权限的云主机，用于部署全流量分析服务探针；本服务需要在您的业务云主机上部署代理，用于分析主机网卡流量。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 在左侧导航栏，选择“全流量分析服务”，进入全流量分析服务页面。 3. 点击“立即购买”，进入全流量分析服务订购页面。 4. 在“产品配置”模块配置“订购规格数量”。 单个规格支持500Mbps网络层吞吐量授权，250Mbps应用层吞吐量授权。 5. 配置订购时长。支持购买1个月~1年。 6. 确认配置信息无误后，阅读并接受相关服务协议、服务等级协议，单击右下角“立即购买”，跳转到支付页面。 7. 在“支付”页面，请选择付款方式进行付款。 8. 付款成功后，返回托管检测与响应服务（原生版）控制台，查看订购状态。 9. 订购完成后，24小时内，我们的服务经理会与您联系。

本页介绍关系数据库MySQL版的各项产品特性。 关系数据库MySQL版具有丰富的产品特性，能够适用各种需求。 关系数据库MySQL版是托管型数据库，为用户提供的主要产品特性包括： 支持MySQL（5.7、8.0）。 支持通过内网IP地址及端口访问数据库实例，处在同一VPC内的云主机和数据库实例可相互访问。 支持为实例绑定公网IP，通过公网IP访问数据库实例。 支持单机实例、一主一备实例、一主两备实例和只读实例（最多5个只读实例），主备实例和只读实例满足反亲和部署。 支持对实例进行CPU/内存、存储空间、备份空间的扩容。 支持根据业务需求指定数据自动备份策略（针对备份空间选择云硬盘的实例最多支持保留7天，选择对象存储的实例最多支持保留180天），也可进行手动备份及备份恢复。 支持对数据库参数的调整。 支持查看实例运行的系统资源监控指标，如CPU、内存使用率等，还可查看MySQL数据库指标，如QPS/TPS。 支持longtext和longblob类型最大可以到4GB。 支持数据库审计日志、切换日志、错误日志及SQL慢日志查询。

本节介绍服务器安全卫士（原生版）如何快速掌握服务器安全态势。 服务器安全卫士（原生版）是一个用于保障主机整体安全的安全服务，能实时监测主机中的风险并阻止非法入侵行为、一键核查漏洞及基线、全面识别主机中的信息资产，帮助您管理主机的安全状态。 查看风险统计数据 在左侧导航栏选择“安全概览”，进入安全概览界面，可查看已开启防护的服务器风险统计，包括最近7日待处理风险、防护状态、风险趋势和实时动态，帮助您实时了解云主机的安全状态和存在的安全风险。 风险统计 说明 最近7日待处理风险 您可以查看入侵检测、病毒文件、漏洞风险、安全基线、网页防篡改及对应的风险主机情况。 防护状态 您可以查看用户资产情况，包括主机总数、企业版防护、基础版防护、防护中、已关闭、已离线、未安装客户端的云主机台数。 风险趋势 您可以查看近7天、14天、30天的风险趋势图。 实时动态 您可以查看当前最新发现的风险事件详情。