本文带您了解云监控产品相关术语及其基本概念。 名词 解释 云服务监控 云服务监控是对天翼云的云产品进行监控。查看当前天翼云账号下各云产品中资源的监控项。支持查看云主机、云硬盘、弹性IP等云产品的监控项。 云服务 云服务是天翼云提供的云产品和云服务的总称，例如：云主机ECS、云硬盘和云监控等。 告警服务 客户对云服务监控中的产品实例的监控项设置告警规则。当监控项满足告警规则时，及时发送告警通知。 监控项 云服务具体产品实例的监控指标类型。例如：云主机ECS的CPU使用率、内存使用率、磁盘使用率等。 监控面板 客户关键业务需要重点关注的场景，在监控首页设置监控面板和视图。 告警规则 告警规则是监控项的告警条件。当监控项达到该告警条件时，客户会收到告警通知。 沉默时间 在自定义告警规则时，需要设定沉默时间。沉默时间指告警发生后，如果未恢复正常，间隔多久重复发送一次告警通知。 告警联系人 告警通知的实际接收人。 告警组 告警联系人组。一组告警联系人，可以包含一个或多个告警联系人。在创建告警规则和应用分组时，需要向告警组中的联系人发送告警通知。告警系统根据预先设定的告警方式，在达到告警阈值时向告警组中的联系人发送告警通知。 通知方式 发送报警通知的方式。包括：邮箱、短信。 告警回调 通过接口回调，云监控将推送告警信息至您已有的运维系统或消息通知系统。当告警策略被触发或恢复时，均会通过接口回调各推送一次告警消息。告警回调的重试策略为3次，超时时间为5秒。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。

本文介绍事件总线EventBridge中的基本概念。 CloudEvents 1.0 CloudEvents 1.0 是一个用于以标准方式描述事件数据的开源规范，旨在简化事件声明及跨服务、跨平台的消息投递。 事件 事件源状态变化的数据记录。 事件源 事件的来源，负责生产事件。事件源包括以下类型： 天翼云官方事件源：作为事件源与事件总线EventBridge对接的其他天翼云服务。 自定义事件源：自定义应用或者存量消息数据作为事件源将事件主动拉取到自定义总线。 事件总线 负责接收来自事件源的事件。事件总线包括以下类型： 云服务专用事件总线：一个无需创建与不可修改的内置官方事件总线，用于接收天翼云官方事件源的事件。天翼云官方事件源的事件只能发布到云服务专用事件总线。 自定义事件总线：需要您自行创建并管理的事件总线，用于接收自定义应用的事件。自定义应用事件只能发布到自定义事件总线。 事件规则 用于监控、路由与转换特定类型的事件。当发生匹配事件时，事件会被路由到与事件规则关联的事件目标。规则可以与一个或多个事件目标关联。事件规则包括： 事件模式 事件转换 事件目标 事件模式 对事件进行过滤的模块。事件模式支持对符合CloudEvents协议的事件对除data外的字段进行过滤。事件模式采用JSON格式进行描述。 事件转换 对事件内容进行转换，在事件被路由到事件目标前转换事件内容。事件转换器支持以下类型： 完整事件：将全部的事件内容路由到目标。 部分事件：通过JSONPath提取事件中的数据，将指定的事件内容路由到目标。 常量：不管事件内容是什么，都将常量路由到目标。 模板：自定义一个模板并定义模板里需要的变量，通过JSONPath提取事件中的数据，按照模板定义的形式进行转换。

存储区域（Region） 存储区域表示媒体存储数据存储的物理位置。用户可以根据业务需求情况、请求来源等选择合适的存储区域开通服务，一般情况下，建议就近选择靠近业务请求的存储区域。 用户创建块空间、文件空间或存储桶时，需选择存储区域，一旦指定区域后不可变更，文件均存储在对应的存储区域。目前不支持设置文件级别的存储区域。 访问域名 天翼云媒体存储为每个桶提供一个默认的访问域名，通过该域名，可以直接访问桶内的对象资源。 访问域名的构造方法为： BucketName.Endpoint 。其中BucketName为桶名称，Endpoint为桶所在区域的终端节点。例如：终端节点为gdoss.xstore.ctyun.1cn，桶名为image，则该桶的访问域名为image.gdoss.xstore.ctyun.1cn。 除了桶访问域名外，下表列出了与天翼云媒体存储相关的其他域名的结构、协议类型等信息示例，方便用户对天翼云媒体存储域名有全面的了解。 域名类型 域名结构 说明 协议类型 区域域名 Endpoint 【示例】 gdoss.xstore.ctyun.cn 不同的区域对应各自的域名，即各区域的终端节点。 各区域的终端节点详情请参见资源池与区域节点。 HTTPS HTTP 桶访问域名 BucketName.Endpoint 【示例】 bucketname.gdoss.xstore.ctyun.cn 桶创建成功后，可以使用桶访问域名来访问。用户可以根据访问域名结构自行拼接，也可以通过在管理控制台或XstorBrowser上获取桶基本信息。 HTTPS HTTP 对象访问域名 BucketName.Endpoint/ObjectName 【示例】 bucketname.gdoss.xstore.ctyun.cn/image.jpg 对象上传到桶中后，可以使用对象访问域名来访问桶中的指定对象。用户可以根据访问域名结构自行拼接，也可以通过在管理控制台或XstorBrowser查看对象属性获取。 HTTPS HTTP

本文介绍当攻击发生且触发平台稳定性红线时的处理预案。 场景说明 天翼云CDN是公共的加速服务，平台承载着成千上万的域名加速业务，是一个多客户共用的加速平台，默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，CDN系统有权（根据域名业务情况、攻击影响程度等因素综合判断）将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 域名被切入隔离资源池后，天翼云CDN将不再保证服务质量，部分时段可能会出现无法服务的情况。 说明 隔离资源池是天翼云CDN的一组特殊节点，这组节点与常规节点之间相互隔离，用于隔离有风险的业务。 注意事项 因被攻击导致域名被切入隔离资源池后，用户访问带来的流量仍然会产生计费账单。 相关建议 如您的域名存在潜在被攻击风险，不希望在上述场景下被切换至隔离资源池，请在CDN加速基础上，叠加购买Web应用防火墙（边缘云版），或切换至安全类加速产品，例如：边缘安全加速平台。 相关概念： DDoS：分布式拒绝服务攻击（Distributed Denial of Service，简称DDoS）是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 CC攻击：攻击者借助代理服务器生成指向受害主机的合法请求，以实现DDoS和伪装的，称为CC(Challenge Collapsar)，CC主要是攻击页面，属于应用层攻击。

创建密钥版本 由于公私钥使用场景的特殊性，KMS不支持对非对称的用户主密钥进行自动轮转。可在指定用户主密钥中人工创建新的密钥版本，生成全新的一对公钥和私钥。 除此之外，和对称类型的用户主密钥不同，非对称的用于主密钥没有主版本（PrimaryKeyVersion）的概念，因此使用非对称密码运算的接口除需指定用户主密钥标志符（或别名）之外，还需指定密钥版本。 不适用范围 KMS管理的以下类型的密钥不支持多个版本： 云产品的默认密钥：特定云产品托管在KMS上的、用于加密保护您的数据的默认密钥。这类密钥由特定云产品为用户代为管理，为您的数据提供最基本的加密保护。 用户自带密钥（BYOK）：您导入到KMS中的密钥。这类CMK的Origin属性为External，KMS不负责为用户生成密钥材料，无法自动发起轮转行为。更多信息，请参见导入密钥材料。 操作步骤 设置自动轮转（对称密钥） 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏的资源池下拉列表，选择密钥所在的区域。 3. 在左侧导航栏，单击 密钥管理服务 ，进入 密钥列表 。 4. 定位到待设置的对称密钥，点击 密钥ID ，进入 密钥详情页 。 5. 在密钥版本区域，点击 设置轮转策略 。 6. 在设置轮转策略对话框，选择轮转周期， 30天 、 90天 、 180天 ，或 自定义天数 。 7. 设置了自动轮转策略后，将显示密钥下次轮转时间，点击确定完成设置。 8. 可通过相同的步骤更改轮转周期，也可取消轮转策略。

本文为您介绍密钥管理服务与其他云服务的关系，以及对应密钥的区分。 KMS与其他云服务的加密关系 KMS集成天翼云产品提供服务端加密能力，实现云上原生数据提供加密保护，有效提升默认安全能力。在创建云产品资源时开启加密功能，您可以自定义加密密钥，支持选择默认密钥和您在KMS中自行创建的用户主密钥。 服务端加密优势 提升云产品内生安全性 加密过程中使用的密钥由用户自定义选择，集中托管在KMS服务中，KMS已通过国家密码管理局审查，获得商用密码产品认证，合规性得到有效保障。 降低研发成本 使用云产品服务端加密能力，您无需自行构建和维护密钥管理基础设施，无需考虑自研数据加密能力所涉及的密钥管理安全及合理性、加密算法的研发等一系列复杂的工程，大幅度降低开发成本。 加密过程透明无感知 服务端加密为您提供内嵌至云服务中的加密方案，您无需关注底层数据加密的细节，只需一键开启加密功能，即可实现数据加密。 支持服务端加密的云产品 云硬盘 对象存储 弹性文件 关系型数据库MySQL版 关系型数据库PostgreSQL版 文档数据库服务 功能详情详见云产品服务端加密。 KMS与云审计服务的关系 已对接天翼云云审计服务，可通过云审计服务查看资源操作的记录，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至日志审计等产品实现永久保存。 KMS与云监控服务的关系 已对接天翼云云监控服务，可通过云监控服务查看实例节点的相关监控指标，并可以设置相关指标的告警规则及通知策略。

参数 说明 是否必要 accesskey 用户账号 access key 是 secretkey 用户账号 secret key 是 endpoint 天翼云资源池的地址，必须指定http或https前缀 是

本页介绍天翼云TeleDB数据库元数据pgsubscriptiontable的内容。 存储发布订阅中的表信息。 名称 类型 定义 srsubid Oid 订阅（subscription）的 OID srrelid Oid 表（table）的 OID pubname NameData 发布（publication）的名称

功能 说明 原生密钥 用于在调用原生API、SDK时的身份和校验信息生成，该密钥由云点播（存量）或CTIAM（增量）生成。 OpenAPI密钥 用于在调用天翼云OpenAPI接口时的身份和校验信息生成。

参数 是否必填 参数类型 说明 示例 下级对象 startTime 否 Integer 创建通知起始时间，精确到毫秒 1690428579920 endTime 否 Integer 创建通知截止时间，精确到毫秒（截止时间与起始时间间隔不超过30天） 1690855839000

本文介绍视频直播的用量查询。 天翼云提供用量查询模块，通过用量查询客户可查看带宽、流量等信息。 您可以通过客户控制台查询或导出数据用量和明细，详见：用量查询。

本页介绍关系型数据库的服务等级协议。 天翼云关系型数据库服务等级协议获取地址：关系数据库服务等级协议。

天翼云为您提供弹性文件服务使用手册,请您点击下载查看。 天翼云弹性文件服务用户使用指南251126.pdf

1、登录天翼云官网，点击右上角”我的>工单管理>新建工单“。 2、在”配额类“点击”提问“，进入配额相关页面，点击”配额申请“，按页面要求填写工单信息即可。

参数 参数类型 说明 示例 下级对象 pubUserOid String 用户ID orgOid String 部门ID email String 通知邮箱 gender String 性别 telephone String 固定电话 position String 职位 userName String 用户名 desktopNums Integer 云电脑数量 status Byte 状态（1有效，3待确认） loginAccount String 登录账户 userAccount String 用户账户 lockStatus Byte 锁定状态(0未锁定;1锁定) desktopAdminPriv String 账号权限(DesktopUser普通权限;DesktopAdmin本地管理员权限)

本章节主要介绍如何卸载天翼云物理机重置密码插件。 1. 登录物理机，进入“C:CloudResetPwdUpdateAgentbin”目录。 2. 双击“UninstallAppNT.bat”。 3. 删除“C:CloudResetPwdUpdateAgent”。 4. 进入“C:CloudResetPwdAgentbin”目录。 5. 双击“UninstallAppNT.bat”。 6. 删除“C:CloudResetPwdAgent”。

参数名 参数解释 保留天数 设置自动创建的快照的保留天数，可设置范围为1~31天。 说明 用户不允许手动删除自动创建的快照，自动快照保留天数超期后，系统会自动删除。

天翼云为你提供产品使用手册,您可以点击下载查看。 物理机用户使用手册

后续操作 被委托方帐号或分配了委托权限的IAM用户登录天翼云后，均可以“切换角色”至委托方帐号中，查看并根据权限使用委托资源。

本章主要介绍翼MapReduce的备份恢复简介。 概述 FusionInsight Manager提供对集群内的用户数据及系统数据的备份恢复能力，备份功能按组件提供。系统支持备份Manager的数据、组件元数据及业务数据。 备份功能支持将数据备份至本地磁盘（LocalDir）、本端HDFS（LocalHDFS）、远端HDFS（RemoteHDFS）、NAS（NFS/CIFS）、SFTP服务器（SFTP）、OBS，具体操作请参考备份数据。 对于支持多服务的组件，支持同服务多个实例的备份恢复功能且备份恢复操作与自身服务实例一致。 说明 MRS 3.1.0及之后版本才支持备份数据到OBS。 备份恢复任务的使用场景如下： 用于日常备份，确保系统及组件的数据安全。 当系统故障导致无法工作时，使用已备份的数据完成恢复操作。 当主集群完全故障，需要创建一个与主集群完全相同的镜像集群，可以使用已备份的数据完成恢复操作。 根据业务需要备份Manager配置数据 备份类型 备份内容 备份目录类型 OMS 默认备份集群管理系统中的数据库数据（不包含告警数据）以及配置数据。 l LocalDir l LocalHDFS l RemoteHDFS l NFS l CIFS l SFTP l OBS 根据业务需要备份组件元数据或其他数据 备份类型 备份内容 备份目录类型 DBService 备份DBService管理的组件（Loader、Hive、Spark、Oozie、Hue）的元数据。对于安装了多服务的集群，包含多个Hive和Spark服务实例的元数据。 l LocalDir l LocalHDFS l RemoteHDFS l NFS l CIFS l SFTP l OBS Kafka Kafka的元数据。 l LocalDir l LocalHDFS l RemoteHDFS l NFS l CIFS l OBS NameNode 备份HDFS元数据。添加多个NameService后，支持不同NameService的备份恢复功能且备份恢复操作与默认实例“hacluster”一致。 l LocalDir l RemoteHDFS l NFS l CIFS l SFTP l OBS Yarn 备份Yarn服务资源池相关信息。 l LocalDir l RemoteHDFS l NFS l CIFS l SFTP l OBS HBase HBase系统表的tableinfo文件和数据文件。 l LocalDir l RemoteHDFS l NFS l CIFS l SFTP l OBS 根据业务需要备份特定组件业务数据 备份类型 备份内容 备份目录类型 HBase 备份表级别的用户数据。对于安装了多服务的集群，支持多个HBase服务实例的备份恢复功能且备份恢复操作与HBase服务实例一致。 l RemoteHDFS l NFS l CIFS l SFTP HDFS 备份用户业务对应的目录或文件。 说明 加密目录不支持备份恢复。 l RemoteHDFS l NFS l CIFS l SFTP Hive 备份表级别的用户数据。对于安装了多服务的集群，支持多个Hive服务实例的备份恢复功能且备份恢复操作与Hive服务实例一致。 l RemoteHDFS l NFS l CIFS l SFTP 需要特别说明的是，部分组件不提供单独的数据备份与恢复功能： Kafka支持副本特性，在创建主题时可指定多个副本来备份数据。 Mapreduce和Yarn的数据存放在HDFS上，故其依赖HDFS提供备份与恢复即可。 ZooKeeper中存储的业务数据，其备份恢复能力由各上层组件按需独立实现。

本章主要介绍翼MapReduce的使用普通模式集群用户在非集群节点登录。 操作场景 集群安装为普通模式时，各组件客户端不支持安全认证且无法使用kinit命令，所以集群外的节点默认无法使用集群中的用户，可能导致在这些节点访问某个组件服务端时用户鉴权失败。 如果需要在集群外节点以组件用户身份访问集群资源，管理员需为集群外节点设置同名用户可通过SSH协议登录节点的功能，并以登录操作系统用户身份连接集群各组件服务端。 前提条件 集群外的节点需要与集群的业务平面是连通的。 集群的KrbServer服务运行状态正常。 获取集群外的节点root用户密码。 集群已规划并添加“人机”用户，并获取认证凭据文件。请参见创建用户和导出认证凭据文件。 操作步骤 1.以root用户登录到需要添加用户的节点。 2.执行以下命令： rpm qa grep pam和rpm qa grep krb5client 界面一共显示以下rpm包： pamkrb532bit2.3.147.12.1 pammodules32bit111.22.1 yast2pam2.17.30.5.211 pam32bit1.1.50.10.17 pammount32bit0.4713.16.1 pamconfig0.792.5.58 pamkrb52.3.147.12.1 pamdoc1.1.50.10.17 pammodules111.22.1 pammount0.4713.16.1 pamldap184147.20 pam1.1.50.10.17 krb5client1.6.3 3.检查操作系统实际是否已安装清单中的rpm包？ 是，执行5。 否，执行4。 4.从操作系统镜像中获取缺少的rpm包，并上传文件到当前目录，然后执行以下命令安装rpm包： rpm ivh .rpm 说明 安装的RPM包可能带来安全风险，请用户对操作系统进行加固时考虑安装这些RPM包所带来的风险。 安装完成后执行5。 5.执行以下命令，配置pam使用Kerberos认证。 pamconfig add krb5 说明 如果需要在非集群节点取消Kerberos认证与系统用户登录，以“root”用户执行pamconfig delete krb5命令。 6.解压认证凭据文件得到“krb5.conf”，并使用WinSCP将此配置文件上传到集群外节点的“/etc”目录，执行以下命令设置权限使其他用户可以访问，例如“604”： chmod 604 /etc/krb5.conf 7.以root用户继续在连接会话中执行以下命令为“人机”用户添加对应的操作系统用户，并指定用户主组为“root”。 此操作系统用户密码与在Manager创建“人机”用户时设置的初始密码相同。 useradd 用户名 m d /home/admintest g root s /bin/bash 例如，“人机”用户名为“admintest”，执行以下命令： useradd admintest m d /home/admintest g root s /bin/bash 说明 第一次使用新添加的操作系统用户通过SSH协议登录节点时，首次输入用户密码系统提示密码过期，第二次输入用户密码后系统提示修改密码。请输入一个同时满足节点操作系统及集群密码复杂度的新密码。

本章节主要介绍翼MapReduce的配置SNMP北向参数操作。 操作场景 如果用户需要在统一的运维网管平台查看集群的告警、监控数据，管理员可以在FusionInsight Manager使用SNMP服务将相关数据上报到网管平台。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 对接 > SNMP”。 3. 单击“SNMP服务”右侧的开关。 “SNMP服务”默认为不启用，开关显示为表示启用。 4. 根据下表所示的说明填写对接参数。 对接参数 参数名称 参数说明 版本 SNMP协议版本号，取值范围： V2C：低版本，安全性较低。 V3：高版本，安全性更高。推荐使用V3版本。 本地端口 本地端口，默认值“20000”，取值范围“1025”到“65535”。 读团体名 该参数仅在设置“版本”为v2c时可用，用于设置只读团体名。 写团体名 该参数仅在设置“版本”为v2c时可用，用于设置可写团体名。 安全用户名 该参数仅在设置“版本”为v3时可用，用于设置协议安全用户名。 认证协议 该参数仅在设置“版本”为v3时可用，用于设置认证协议，推荐选择SHA。 认证密码 该参数仅在设置“版本”为v3时可用，用于设置认证密钥。 确认认证密码 该参数仅在设置“版本”为v3时可用，用于确认认证密钥。 加密协议 该参数仅在设置“版本”为v3时可用，用于设置加密协议，推荐选择AES256。 加密密码 该参数仅在设置“版本”为v3时可用，用于设置加密密钥。 确认加密密码 该参数仅在设置“版本”为v3时可用，用于确认加密密钥。 说明 “安全用户名”中禁止出现以64的公因子（1、2、4、8等）为单位长度的重复字符串，例如abab，abcdabcd。 “认证密码”和“加密密码”密码长度为8到16位，至少需要包含大写字母、小写字母、数字、特殊字符中的3种类型字符。两个密码不能相同。两个密码不可和安全用户名相同或安全用户名的倒序字符相同。 使用SNMP协议从安全方面考虑，需要定期修改“认证密码”和“加密密码”密码。 使用SNMP v3版本时，安全用户在5分钟之内连续鉴权失败5次将被锁定，5分钟后自动解锁。 5. 单击“添加Trap目标”，在弹出的“添加Trap目标”对话框中填写以下参数： 目标标识：Trap目标标识，一般指接收Trap的网管或主机标识。长度限制1～255字节，一般由字母或数字组成。 目标IP模式：目标IP的IP地址模式，可选择“IPV4”或者“IPV6”。 目标IP：目标IP，要求可与管理节点的管理平面IP地址互通。 目标端口：接收Trap的端口，要求与对端保持一致，取值范围“0～65535”。 Trap团体名：该参数仅在设置版本为V2C时可用，用于设置主动上报团体名。 单击“确定”，设置完成，退出“添加Trap目标”对话框。 6. 单击“确定”，设置完成。

本章节主要介绍翼MapReduce的动态资源操作。 简介 Yarn是大数据集群中的分布式资源管理服务，大数据集群为Yarn分配资源，资源总量可配置。Yarn内部为任务队列进一步分配和调度计算资源。对于Mapreduce、Spark、Flink和Hive的任务队列，计算资源完全由Yarn来分配和调度。 Yarn任务队列是计算资源分配的基本单位。 对于租户，通过Yarn任务队列申请到的资源是动态资源。用户可以动态创建并修改任务队列的配额，可以查看任务队列的使用状态和使用统计。 资源池 现代企业IT经常会面对纷繁复杂的集群环境和上层需求。例如以下业务场景： 集群异构，集群中各个节点的计算速度、存储容量和网络性能存在差异，需要把复杂应用的所有任务按照需求，合理地分配到各个计算节点上。 计算分离，多个部门需要数据共享，但是需要把计算完全分离在不同的计算节点上。 这就要求对计算资源的节点进一步分区。 资源池用来指定动态资源的配置。Yarn任务队列和资源池关联，可实现资源的分配和调度。 一个租户只能设置一个默认资源池。用户通过绑定租户相关的角色，来使用该租户资源池的资源。若需要使用多个资源池的资源，可通过绑定多个租户相关的角色实现。 调度机制 Yarn动态资源支持标签调度（Label Based Scheduling）策略，此策略通过为计算节点（Yarn NodeManager）创建标签（Label），将具有相同标签的计算节点添加到同一个资源池中，Yarn根据任务队列对资源的需求，将任务队列和有相应标签的资源池动态关联。 例如，集群中有40个以上的节点，根据各节点的硬件和网络配置，分别用Normal、HighCPU、HighMEM、HighIO为四类节点创建标签，添加到四个资源池中，资源池中的各节点性能如下表所示。 不同资源池中的各节点性能 标签名 节点数 硬件和网络配置 添加到 关联 Normal 10 一般 资源池A 普通的任务队列 HighCPU 10 高性能CPU 资源池B 计算密集型的任务队列 HighMEM 10 大量内存 资源池C 内存密集型的任务队列 HighIO 10 高性能网络 资源池D IO密集型的任务队列 任务队列只能使用所关联的资源池里的计算节点。 普通的任务队列关联资源池A，使用硬件和网络配置一般的Normal节点。 计算密集型的任务队列关联资源池B，使用具有高性能CPU的HighCPU节点。 内存密集型的任务队列关联资源池C，使用具有大量内存的HighMEM节点。 IO密集型的任务队列关联资源池D，使用具有高性能网络的HighIO节点。 Yarn任务队列与特定的资源池关联，可以更有效地使用资源，保证节点性能充足且互不影响。 FusionInsight Manager中最多支持添加50个资源池。系统默认包含一个默认资源池。

本文简述天翼云边缘安全加速平台安全与加速服务产品支持的TLS协议版本和配置方法。 功能介绍 TLS（Transport Layer Security）即安全传输层协议，及其前身安全套接层（Secure Sockets Layer，缩写作SSL）是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。最典型的应用就是HTTPS，HTTPS即HTTP over TLS，就是更安全的HTTP，运行在HTTP层之下，TCP层之上，为HTTP层提供数据加解密服务。 天翼云边缘安全加速平台安全与加速服务提供TLS协议版本控制功能，您可以按需对不同加速域名配置不同的TLS协议版本，低版本的TLS协议将提供对老版本浏览器的支持，但是协议的安全性相对更差一些，高版本的TLS协议将提供更高的安全性，但是对老版本浏览器的兼容性相对差一些。 天翼云边缘安全加速平台安全与加速服务支持的TLS协议版本包括TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3，不同TLS协议版本对浏览器的支持如下： 协议 说明 支持的主流服务器 TLSv1.3 RFC8446，2018年发布，最新的TLS版本，支持0RTT模式（更快），只支持完全前向安全性密钥交换算法（更安全）。 Chrome 70+ Firefox 63+ TLSv1.2 RFC5246，2008年发布，目前广泛使用的版本。 IE 11+ Chrome 30+ Firefox 27+ Safri 7+ TLSv1.1 RFC4346，2006年发布，修复TLSv1.0若干漏洞。 IE 11+ Chrome 22+ Firefox 24+ Safri 7+ TLSv1.0 RFC2246，1999年发布，基于SSLv3.0，该版本易受各种攻击（如BEAST和POODLE），除此之外，支持较弱加密，对当今网络连接的安全已失去应有的保护效力。不符合PCI DSS合规判定标准。 IE6+ Chrome 1+ Firefox 2+

参数名 说明 生效日期 调度任务的生效时间段。 调度周期 选择调度任务的执行周期，并配置相关参数。 分钟 小时 天 周 间隔时间 调度任务的间隔时间。 调度时间 设置调度任务的起始时间和结束时间。

漫游盘创建 1. 进入“AI云电脑（政企版）”控制台； 2. 点击“策略管理”，进入“漫游盘管理”页面； 3. 点击“新建漫游盘”，进入漫游盘创建页面； 4.根据实际需求设置“漫游盘名称”； 5.选择“桌面系统”，指漫游盘应用的AI云电脑操作系统类型，支持Windows、UOS、Kylin 、Ubuntu、Centos桌面操作系统； 6. 选择“漫游盘类型”，仅支持数据盘； 7.支付方式选择“单实例”或“资源包”； （1）单实例开通：管理员可以通过付费开通漫游盘，选择”购买时长“和”自动续订“； （2）资源包开通：管理员通过已订购资源包，通过抵扣存储包的方式开通漫游盘。 8.选择“漫游盘容量”，默认1GB，根据需求设置漫游盘容量； 9.漫游盘的使用对象“选择用户”，管理员选择多少个用户，则创建多少个漫游盘，如漫游盘容量1GB，选择10个用户，实际共消耗存储10GB，每个用户下面用一个1GB的漫游盘； 10.点击“确定”，完成漫游盘创建。 编辑漫游盘 1.管理员创建漫游盘后，在“漫游盘管理”页面，找到对应的漫游盘，点击“编辑”，进入漫游盘编辑页面； 2.漫游盘编辑只允许“漫游盘名称”、“重新选择用户”修改； 3.桌面系统、漫游盘类型、漫游盘容量不支持编辑。 注意 漫游盘容量调整，建议选择漫游盘扩容方式，调整漫游盘大小。

天翼云提供统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。 您通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对KMS资源的访问控制、权限分配等。 说明 IAM 权限作用于KMS产品控制台的功能访问以及KMS服务的OpenAPI接口调用。 权限管理 默认情况下，主账号创建的IAM用户没有任何权限，需要将其加入特定的用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略），授权后IAM用户就能获得策略中定义的KMS产品的使用权限。 KMS产品支持企业项目管理，若您需要对KMS服务中的资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 权限配置 IAM权限管理：进入天翼云IAM权限配置界面，可以进行IAM用户及用户组的创建，并在用户组列表中点击“授权”，为用户组添加KMS产品对应的权限策略。KMS权限策略分为系统策略和自定义策略，系统策略默认提供，您也可以在“策略管理”界面创建自定义策略。用户组授权记录均可在“授权管理”界面查看并管理。 企业项目管理：进入天翼云IAM权限 配置界面，在“企业项目”界面可以创建并管理企业项目，创建企业项目后可进行资源的迁入迁出，绑定用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略）。

本节介绍集群元数据备份与恢复。 CCE One 提供备份恢复功能，能对已被分布式容器云平台纳管的集群应用进行备份，并在线上其他 CCE集群恢复，从而快速完成线下应用向线上环境的迁移。本文详细介绍了如何使用备份能力将已接入注册集群的线下自建集群中的应用高效迁移至天翼云容器引擎 CCE集群中来。 前提条件 已开通对象储存（CTZOS）服务，并开通公网访问。具体操作，请参考对象储存。 将自建Kubernetes集群通过注册集群的方式接入分布式容器云平台CCE One。具体操作，请参见将本地Kubernetes接入注册集群。 注意 若源/目标集群无法注册到天翼云CCE One注册集群时（公网/内网均不具备打通条件），可考虑手工向成员集群部署ccsebackup插件以及YAML配置方式进行相关操作，相对前端操作方式会比较繁琐。若有需要，可联系天翼云售前同学咨询。 适用场景 实现业务快速上云，应用备份迁移一体化。 参考指引 本文以nginx应用为例，在线下集群中部署应用后进行备份，然后在线上天翼云注册集群中进行恢复。 步骤一：在自建Kubernetes集群部署应用 执行以下命令，创建对应的nginx deployment： plaintext apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: nginx:latest imagePullPolicy: IfNotPresent ports: containerPort: 80 apiVersion: v1 kind: Service metadata: name: nginxservice labels: app: nginx spec: selector: app: nginx ports: protocol: TCP port: 80 targetPort: 80 预期结果：

接口功能介绍 查询病毒查杀配置 接口约束 无 URI GET /v1/virus/query/virusAndRealTimeConf 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 id Integer 病毒查询定时任务配置id 1 day Integer 检测频率 1：每天 3：每3天 7：每7天 1 checkModel Integer 检测模式，1：快速检测，2：全盘扫描，3：自定义扫描， 1 path String 扫描路径 checkModel3时使用，多个路径逗号分割，字符串反转后进行base64编码,如/abc,/def，变成 fed/,cba/后，用base64编码 bWl2L25pYi9yc3Uv agentGuid String agentGuid testagentguid virusHandleType String 处理方式 AUTO：自动隔离 HANDLE：手动处理 AUTO periodicAgentGuidList Array of Strings 定时检测的guid列表 [] realTimeAgentGuidList Array of Strings 实时检测的guid列表 [] periodicEnableScope String 定时检测作用范围 OPTIONAL自选主机 ALL所有主机 ALL realTimeEnableScope String 实时检测作用范围 OPTIONAL自选主机 ALL所有主机 ALL realTimeStatus Integer 实时检测开关 开启：1 关闭：0 1 periodicConfStatus Integer 定时检测开关 开启：1 关闭：0 1 localCheckStatus Integer 本地检测开关 开启：1 关闭：0 1 hour Integer 定时检测时间小时，每da天的hour小时minute分钟执行 0 minute Integer 定时检测时间分钟，每da天的hour小时minute分钟执行 0

概述 目前天翼云支持包周期、按量付费两种计费方式，您可根据您的实际情况选择不同的计费方式。天翼云支持计费方式相互转换，即包周期计费可以转换成按量付费，按量付费可以转换为包周期计费。 说明 当前支持物理机服务按量付费的资源池为华东1、杭州7、西南2、华北2、上海15、华南2、西南1、武汉41、芜湖4、北京9、沈阳8、长沙42、西安7、呼和浩特3。 按量付费转换为包周期计费 按量转包周期指的是按量付费转为包周期计费模式，客户进行按量转包周期操作后，立即生效，原来按量付费的资源即转为包周期计费。 1. 在物理机控制台列表页面，点击按量付费实例的“更多”，在下拉菜单中选择“转包周期”。 2. 在弹出的转包周期对话框中，选择“确定”按钮。 3. 进入支付页面，点击“去支付”完成支付操作。按量转换为包周期计费完成。 包周期转换为按量付费 包周期转按量指的是包周期转换为按量付费计费模式，客户进行转按量操作后，在资源到期时生效，计费模式转换为按量付费。 1. 在物理机控制台列表页面，点击包周期实例的“更多”，在下拉菜单中选择“到期转按量”。 2. 在弹出的对话框中，选择“确定”按钮。进入支付页面，点击“去支付”完成支付操作。包周期转换为按量付费完成。 注意 若距离实例到期时间不足1天，无法进行包周期转按量付费操作。 说明 资源到期前可取消“转按量”设置，操作入口在费用中心订单管理续订管理下的“到期转按需”页面进行操作。

本节主要介绍创建用户并授权。 如果您需要对您所拥有的云数据库GeminiDB进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的天翼云账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用云数据库 GeminiDB资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将云数据库GeminiDB资源委托给更专业、高效的其他天翼云账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用云数据库 GeminiDB服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图1所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的云数据库GeminiDB权限，并结合实际需求进行选择，云数据库 GeminiDB支持的系统权限。 示例流程 图1 给用户授权云数据库 GeminiDB权限流程 1、创建用户组并授权 在IAM控制台创建用户组，并授予云数据库 GeminiDB权限“GeminiDB FullAccess”。 2、创建用户并加入用户组 在IAM控制台创建用户，并将其加入创建的用户组。 3、用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择云数据库 GeminiDB服务，进入云数据库 GeminiDB主界面，单击右上角“购买数据库实例”，尝试购买云数据库 GeminiDB实例，若可以正常购买数据库实例，则表示所需权限策略均已生效。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的Bot人机识别功能。 功能介绍 边缘安全加速平台安全与加速服务提供的人机识别模块支持Cookie挑战、跳转挑战、人机挑战等一系列反爬能力，帮助客户及时且精准地拦截爬虫流量，保障网站业务安全。 注意 目前控制台尚未开放人机识别功能，如有防护需求请通过 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持Bot防护相关功能。 人机识别功能 Cookie基础检测 客户端标识检测：客户端标识检测是Bot防护第一检测策略，校验下发的Cookie个数和完整性，无客户端标识、客户端标识缺失、客户端标识解析失败都需要配置。 无客户端标识：针对请求没有Cookie的情况进行处理。 处理动作：拦截/告警/跳转/放行。 拦截：拦截请求。 告警：仅记录请求。 跳转：GET请求启动302跳转策略，POST请求启动307跳转策略。 放行：不对该异常做处理，另外不会再校验其他的BOT防护规则。 统计粒度：静态Cookie/IP+UA/IP。 触发条件：达到触发条件的请求将对其执行处理动作，并支持配置处理动作持续时长（触发规则后的惩罚时间）。 客户端标识缺失：针对请求带回Cookie个数小于下发的个数（最多会下发四个）进行处理。 客户端标识解析失败：针对失败解析Cookie的情况下进行处理。 其他字段： 客户端标识过期时间：默认15天，单位天，最大值365天。 白名单：即例外条件，符合条件的请求不进行功能检测。