本文介绍如果不配置集群管理权限,是否可以使用kubectl命令。 如果不配置集群管理权限，是否可以使用kubectl命令呢？ 使用kubectl命令无需经过IAM认证，因此理论上不配置集群管理（IAM）权限是可以使用kubectl命令的。但前提是需要获取具有命名空间权限的kubectl配置文件（kubeconfig），以下场景认证文件传递过程中均存在安全泄露风险，应在实际使用中注意。 场景一：如果某IAM子用户先配置了集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。后面再删除集群管理权限（保留命名空间权限），依然可以使用kubectl来操作Kubernetes集群。因此如需彻底删除用户权限，必须同时吊销该子用户的kubeconfig文件。 场景二：如果某IAM用户拥有一定范围的集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。此时云容器引擎根据用户信息的权限判断用户对应kubeconfig文件，相当于kubeconfig中就拥有这个用户的认证信息，若其他人获取了这个kubeconfig，则可以通过这个kubeconfig文件访问集群。

本文介绍应用托管套餐。 简介 应用套餐是天翼云应用托管推出的应用、算力和模型一体化订阅服务，以额度统一计量，支持文本模型、视觉模型和多模态模型，兼容主流 AI 编程与智能体工具，助力业务调用高效、安全、稳定运行。 支持的模型 应用中可使用的模型范围如下： 注意：模型将根据实际场景适配调整，具体可使用模型以控制台实际展示为准。 模态 系列 模型 模型能力 文本模型 GLM系列 GLM5.1 文本生成 文本模型 GLM系列 GLM5.0 文本生成 文本模型 DeepSeek系列 Deepseekv4pro 深度思考、文本生成 文本模型 DeepSeek系列 Deepseekv4flash 深度思考、文本生成 文本模型 DeepSeek系列 Deepseekv3.2 文本生成 文本模型 MiniMax系列 MiniMaxM2.7 深度思考、文本生成 文本模型 MiniMax系列 MiniMaxM2.5 文本生成 多模态模型 Kimi系列 KimiK2.6 深度思考、视觉理解、文本生成 多模态模型 Kimi系列 KimiK2.5 深度思考、视觉理解、文本生成 多模态模型 Qwen系列 Qwen3.6plus 深度思考、视觉理解、文本生成 多模态模型 Qwen系列 Qwen3.5plus 深度思考、视觉理解、文本生成 多模态模型 Qwen系列 Qwen3.5397ba17b 深度思考、视觉理解、文本生成 视觉模型 豆包系列 DoubaoSeedance2.0 说明：doubaoseedance2.0 模型仅限平台内置应用内使用，不对外开放独立接口调用。 视频生成 视觉模型 豆包系列 DoubaoSeedance2.0fast 说明：doubaoseedance2.0 模型仅限平台内置应用内使用，不对外开放独立接口调用。 视频生成 视觉模型 豆包系列 DoubaoSeedance1.5pro 视频生成 视觉模型 豆包系列 DoubaoSeedream5.0lite 图片生成 套餐计费说明详情见：应用套餐计费说明 。

操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“全局Web核心防护”模块，可以选择开启/关闭防护。 6. 单击防护规则右侧的“前去配置”，进入全局Web核心防护管理页面。 7. 单击“新建规则组”，配置全局Web核心防护规则组。 参数说明如下： 配置项 说明 新增规则是否默认开启 配置完成规则组后，确认是否默认开启，默认选择为“关闭”。 规则组名称 设置规则的名称。 规则组名称用于标识当前防护规则组，建议您使用有明确含义的名称。 规则组描述 对规则组的用途进行描述。 规则 选择需要启用的内置规则及规则的使用状态，可勾选或全量启用所有规则； 使用状态说明： 观察：设置为观察状态时，只产生日志信息。 拦截：拦截此类规则的攻击。 企业项目 选择规则组生效的防护对象所在企业项目。 关联防护对象 选择规则组生效的防护对象，可多选。 规则组状态 选择规则模版整体状态。 当设置为观察状态时，所有开启的规则都只产生日志，不产生拦截。 当设置为防护状态时，按照具体的规则动作生效。 8. 单击“保存”，规则组创建成功。您可以在规则组列表中查看该规则组。

本节主要介绍怎么通过控制台下载文件。 在“存储桶列表”页面，点击对应的存储桶，进入“文件列表”，在该页面，可以下载文件。 点击操作列的“下载”，可以下载单个文件。选中一个或者多个文件，点击上方导航的“下载”，可以批量下载文件。 注意 基于安全合规要求，禁止通过OOS默认域名以匿名或者URL签名方式下载后缀为apk、ipa的文件，在Header中包含签名或者通过自定义域名方式下载此类文件不受影响。

本节介绍天翼AI云电脑(公众版)在网络流量方面的常见问题。 天翼AI云电脑使用的网络带宽和稳定的要求有多高？ AI云电脑普通办公大概5Mbit/s的带宽。对网络稳定性有一定要求，网络不稳定容易引起连接断开和卡顿，影响使用体验。因此为不影响使用，请确保网络处于良好的状态。 天翼AI云电脑会消耗我的手机流量吗? 连接天翼AI云电脑后，传输画面是需要消耗手机流量。 建议在WIFI网络环境下使用天翼AI云电脑APP，如果使用手机流量，可安装流量监控软件，以免造成流量消耗过多。 如何检测天翼AI云电脑网络状况？ 可以根据天翼AI云电脑工具栏网络状态查看网络数据，具体如下： 绿色：优良，网络时延0ms50ms，使用体验良好，无迟滞感； 黄色：一般，网络时延51ms100ms；使用体验一般，有轻微的迟滞感和卡顿； 红色：较差，网络时延101ms以上，使用体验差，有严重的迟滞和卡顿。 天翼AI云电脑可以访问互联网吗？ 天翼AI云电脑（公众版）提供配置的上网带宽，默认50M下行，2M/4M上行，可以访问互联网。 天翼AI云电脑（政企版）默认是不可以，如果需要上网需要在控制台订购带宽，进行组网配置操作。

本文介绍天翼云花卷慧办的产品定义。 产品定义 花卷慧办是一款面向现代企业的一体化协同办公平台，依托息壤算力，以多模态AI智能引擎为核心驱动为客户提供企业级智能办公平台。本产品集成了消息、日程管理、待办任务、在线会议、空间、知识库管理、防钓鱼邮件客户端和办公智能体等核心功能模块，形成一个一站式的智能办公解决方案。它采用云端架构，支持多端同步，用户可在PC、Mac、iOS、Android等设备上无缝使用，满足日常办公和远程协作需求。 云会议 提供高清流畅、便捷易用、安全可靠的会议服务，随时随地高效开会。 云空间 集成企业文档和个人文件存储，包含企业空间、协作空间、个人空间等。 防钓鱼邮件客户端 防钓鱼邮件客户端，通过本地规则引擎、云端情报、慧泽大模型等能力全面增强检测准确率，并实时反馈是否为钓鱼邮件。 知识库 实现知识的快速存储、检索和更新，方便企业随时随地访问和共享知识资源。 智能体 能主动对接办公场景中 “日程待办、会议创建、信息查询” 等多维度需求，为用户提供 “一站式、个性化、预判式” 办公支持的智能化交互模块。

本文介绍如何下载证书。 通过证书管理服务购买并签发SSL证书后，您需要将已签发的SSL证书安装至服务器，才能使SSL证书生效。 不同类型的服务器支持配置的SSL证书格式不同。为了便于您安装SSL证书，证书管理服务提供了适用于各种服务器（例如，Apache、Exchange、GlassFish、Internet Information Services,IIS、Nginx、TOMACAT））的SSL证书压缩包，供您直接下载使用（无需手动转换SSL证书格式）。 如果您已经通过证书管理服务购买并签发了SSL证书，可以执行以下步骤，将已签发的SSL证书下载到本地。 前提条件 只有证书“状态”为“已签发”、“即将过期”、“已过期”和“吊销审核中”的证书可以下载。 下载正式证书 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > SSL证书列表”。 3. 找到需要下载的证书，单击“操作”列的“证书下载”。 4. 根据您的服务器类型选择需要下载的证书，如果不确定，可以下载“ALL”。 下载测试证书 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > SSL证书列表”。 3. 选择“测试证书”页签，找到需要下载的证书，单击“操作”列的“证书下载”。 4. 根据您的服务器类型选择需要下载的证书，如果不确定，可以下载“ALL”。

本文为您介绍zosfs的主要功能和使用场景等信息。 工具简介 zosfs是一个通过FUSE技术，将天翼云对象存储ZOS的bucket（存储桶）挂载为本地目录的工具。 zosfs利用gorountine，通过异步的并发操作，实现对本地文件的高效上传、对云端对象的高效下载，同时，zosfs也优化了对目录列举的操作，提升目录列举的效率。 使用场景 zosfs主要支持模型训练、模型推理等计算密集型场景，解决密集计算对存储数据加载和写入的特殊需要。具体而言，这类场景对存储数据操作以顺序读取、随机读取、顺序（追加）写入为主。 主要功能 兼容基础的POSIX语义操作，能有效利用ZOS的服务端读写能力。 针对计算密集的数据读写需要，提供高效的大文件顺序读写能力。 适配环境 计算平台：X86计算平台、ARM计算平台 操作系统：ctyunOS 23.01、ctyunOS 2.0.1、ctyunOS 22.06 使用限制 zosfs为特定挂载场景优化，因此存在一定的使用限制，请使用前仔细阅读zosfs使用限制章节，了解工具的限制条件。 注意 我们建议您在使用zosfs工具前，了解工具的使用限制，并对工具进行使用测试，避免对您的业务产生影响。 获取zosfs 适配 X86 计算平台，点击下载工具：zosfsamd0.7.2.tar.gz 适配 ARM 计算平台，点击下载工具： zosfsarm0.7.2.tar.gz 说明 此处提供的zosfs工具包，解压后无需安装即可运行。

本节主要介绍如何下载备份数据 Redis 管理控制台支持备份数据下载。 备份完成后，您可根据需求获取公网或内网下载地址进行下载。 前提条件 只有当缓存实例处于“运行中”状态，才能执行此操作。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台右上角选择实例所在的区域。 3. 在实例列表页，单击目标实例名称进入实例详情页面。 4. 左侧菜单点击备份与恢复，进入备份管理操作页面。 5. 点击【下载】按钮，弹框展示公网和内网下载地址，根据需求获取下载地址。 6. 访问下载地址，获取备份文件。 说明 仅当备份成功后，方可下载备份数据。

使用Flink客户端（MRS 3.x及之后版本） 1.以客户端安装用户，登录安装客户端的节点。 2.执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3.执行如下命令初始化环境变量。 source/opt/hadoopclient/bigdataenv 4.若集群开启Kerberos认证，需要执行以下步骤，若集群未开启Kerberos认证请跳过该步骤。 a.准备一个提交Flink作业的用户。 b.登录Manager，下载认证凭据。 登录集群的Manager界面，具体请参见访问FusionInsight Manager（MRS 3.x及之后版本），选择“系统 > 权限 > 用户”，在已增加用户所在行的“操作”列，选择“更多 > 下载认证凭据”。 c.将下载的认证凭据压缩包解压缩，并将得到的user.keytab文件拷贝到客户端节点中，例如客户端节点的“/opt/hadoopclient/Flink/flink/conf”目录下。如果是在集群外节点安装的客户端，需要将得到的krb5.conf文件拷贝到该节点的“/etc/”目录下。 d.将客户端安装节点的业务IP、Manager的浮动IP和Master节点IP添加到配置文件“/opt/hadoopclient/Flink/flink/conf/flinkconf.yaml”中的“jobmanager.web.accesscontrolalloworigin”和“jobmanager.web.allowaccessaddress”配置项中，IP地址之间使用英文逗号分隔。 jobmanager.web.accesscontrolalloworigin: xx.xx.xxx.xxx , xx.xx.xxx.xxx ,xx.xx.xxx.xxx jobmanager.web.allowaccessaddress: xx.xx.xxx.xxx , xx.xx.xxx.xxx ,xx.xx.xxx.xxx 说明 客户端安装节点的业务IP获取方法： 集群内节点： 登录MapReduce服务管理控制台，选择“集群列表 > 现有集群”，选中当前的集群并单击集群名，进入集群信息页面。 在“节点管理”中查看安装客户端所在的节点IP。 集群外节点：安装客户端所在的弹性云主机的IP。 Manager的浮动IP获取方法： 登录MapReduce服务管理控制台，选择“集群列表 > 现有集群”，选中当前的集群并单击集群名，进入集群信息页面。 在“节点管理”中查看节点名称，名称中包含“master1”的节点为Master1节点，名称中包含“master2”的节点为Master2节点。 远程登录Master2节点，执行“ifconfig”命令，系统回显中“eth0:wsom”表示MRS Manager浮动IP地址，请记录“inet”的实际参数值。如果在Master2节点无法查询到MRS Manager的浮动IP地址，请切换到Master1节点查询并记录。如果只有一个Master节点时，直接在该Master节点查询并记录。 e.配置安全认证，在“/opt/hadoopclient/Flink/flink/conf/flinkconf.yaml”配置文件中的对应配置添加keytab路径以及用户名。 security.kerberos.login.keytab: security.kerberos.login.principal: 例如： security.kerberos.login.keytab: /opt/hadoopclient/Flink/flink/conf/user.keytab security.kerberos.login.principal: test f.参考“组件操作指南 > 使用Flink > 参考 > 签发证书样例”章节生成“generatekeystore.sh”脚本并放置在Flink的客户端bin目录下，执行如下命令进行安全加固，请参考“组件操作指南 >使用Flink > 安全加固 > 认证和加密”，password请重新设置为一个用于提交作业的密码。 sh generatekeystore.sh 该脚本会自动替换“/opt/hadoopclient/Flink/flink/conf/flinkconf.yaml”中关于SSL的值。 sh generatekeystore.sh 说明 执行认证和加密后会在Flink客户端的“conf”目录下生成“flink.keystore”和“flink.truststore”文件，并且在客户端配置文件“flinkconf.yaml”中将以下配置项进行了默认赋值： 将配置项“security.ssl.keystore”设置为“flink.keystore”文件所在绝对路径。 将配置项“security.ssl.truststore”设置为“flink.truststore”文件所在的绝对路径。 将配置项“security.cookie”设置为“generatekeystore.sh”脚本自动生成的一串随机规则密码。 默认“flinkconf.yaml”中“security.ssl.encrypt.enabled: false”，“generatekeystore.sh”脚本将配置项“security.ssl.keypassword”、“security.ssl.keystorepassword”和“security.ssl.truststorepassword”的值设置为调用“generatekeystore.sh”脚本时输入的密码。 g.客户端访问flink.keystore和flink.truststore文件的路径配置。 −绝对路径：执行该脚本后，在flinkconf.yaml文件中将flink.keystore和flink.truststore文件路径自动配置为绝对路径“/opt/hadoopclient/Flink/flink/conf/”，此时需要将conf目录中的flink.keystore和flink.truststore文件分别放置在Flink Client以及Yarn各个节点的该绝对路径上。 −相对路径：请执行如下步骤配置flink.keystore和flink.truststore文件路径为相对路径，并确保Flink Client执行命令的目录可以直接访问该相对路径。 i.在“/opt/hadoopclient/Flink/flink/conf/”目录下新建目录，例如ssl。 cd /opt/hadoopclient/Flink/flink/conf/ mkdir ssl ii. 移动flink.keystore和flink.truststore文件到“/opt/hadoopclient/Flink/flink/conf/ssl/”中。 mv flink.keystore ssl/ mv flink.truststore ssl/ iii. 修改flinkconf.yaml文件中如下两个参数为相对路径。 security.ssl.keystore: ssl/flink.keystore security.ssl.truststore: ssl/flink.truststore 5.运行wordcount作业。 须知 用户在Flink提交作业或者运行作业时，应具有如下权限： 如果启用Ranger鉴权，当前用户必须属于hadoop组或者已在Ranger中为该用户添加“/flink”的读写权限。 如果停用Ranger鉴权，当前用户必须属于hadoop组。 普通集群（未开启Kerberos认证） −执行如下命令启动session，并在session中提交作业。 yarnsession.sh nm " sessionname " flink run/opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar −执行如下命令在Yarn上提交单个作业。 flink run m yarncluster/opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 安全集群（开启Kerberos认证） −flink.keystore和flink.truststore文件路径为绝对路径时： 执行如下命令启动session，并在session中提交作业。 yarnsession.sh nm " sessionname " flink run /opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 执行如下命令在Yarn上提交单个作业。 flink run m yarncluster /opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar −flink.keystore和flink.truststore文件路径为相对路径时： 在“ssl”的同级目录下执行如下命令启动session，并在session中提交作业，其中“ssl”是相对路径，如“ssl”所在目录是“opt/hadoopclient/Flink/flink/conf/”，则在“opt/hadoopclient/Flink/flink/conf/”目录下执行命令。 yarnsession.sh t ssl/ nm " sessionname " flink run/opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 执行如下命令在Yarn上提交单个作业。 flink run m yarncluster yt ssl/ /opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 6. 作业提交成功后，客户端界面显示如下。 详见下图：在Yarn上提交作业成功 详见下图：启动session成功 详见下图：在session中提交作业成功 7. 使用运行用户进入Yarn服务的原生页面，具体操作参考“组件操作指南 >使用Flink > 查看Flink作业”，找到对应作业的application，单击application名称，进入到作业详情页面 若作业尚未结束，可单击“Tracking URL”链接进入到Flink的原生页面，查看作业的运行信息。 若作业已运行结束，对于在session中提交的作业，可以单击“Tracking URL”链接登录Flink原生页面查看作业信息。 详见下图： application

本文介绍热门分析。 功能说明 支持三个月内、最长时间跨度为一个月的热门数据统计，包括域名排行和TOP客户端IP统计。并支持数据下载导出，表格内容与页面一致。 操作指引 进入【统计分析】【热门分析】功能模块，即可查看域名排行和TOP客户端IP排行。 域名排行 域名排行可按照流量或连接数对域名的访问量进行排行。选择“流量优先”时按照流量大小排序，选择“连接数优先”时按照连接数排序，并支持表格导出。 TOP客户端IP TOP客户端IP可展示TOP客户端IP对应的流量、连接数。可选择域名、地区、流量优先或连接数优先进行查询。选择“流量优先”时按照流量大小排序，选择“连接数优先”时按照连接数排序，并支持表格导出。

说明：本章节会介绍如何在控制台下载Binlog备份文件 操作场景 用户可以下载手动和自动备份文件，用于本地存储备份或者恢复数据库。 RDS for MySQL支持用户下载Binlog备份。 下载Binlog备份文件 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 在“实例管理”页面，单击目标实例名称，进入“基本信息”页面。 在左侧导航栏，单击“备份恢复”，在“Binlog备份”子页签下，单击操作列中的“下载”。 您也可以勾选需要下载的Binlog备份，单击左上角“下载”。 下载任务执行完成后，您可在本地查看到Binlog备份文件。

本文主要介绍应用场景 镜像生命周期管理 提供镜像构建、镜像上传、下载、同步、删除等完整的生命周期管理能力。 优势 •高可靠的存储：依托专业存储服务，确保镜像存储的超高可靠性。 •更安全的存储：细粒度的授权管理，让用户更精准的控制镜像访问权限。 建议搭配使用 云容器引擎CCE

浏览器/客户端 默认加密套件 加密套件1 加密套件2 加密套件3 加密套件4 Google Chrome 63 / macOS High Sierra 10.13.2 × √ √ √ × Google Chrome 49 / Windows XP SP3 × × × × × Internet Explorer 6 / Windows XP × × × × × Internet Explorer 8 /Windows XP × × × × × Safari 6/iOS 6.0.1 √ √ × √ √ Safari 7/iOS 7.1 √ √ × √ √ Safari 7/OS X 10.9 √ √ × √ √ Safari 8/iOS 8.4 √ √ × √ √ Safari 8/OS X 10.10 √ √ × √ √ Internet Explorer 7/Windows Vista √ √ × √ √ Internet Explorer 8～10/Windows 7 √ √ × √ √ Internet Explorer 10/Windows Phone 8.0 √ √ × √ √ Java 7u25 √ √ × √ √ OpenSSL 0.9.8y × × × × × Safari 5.1.9/OS X 10.6.8 √ √ × √ √ Safari 6.0.4/OS X 10.8.4 √ √ × √ √

参数 参数类型 是否必填 说明 示例 clientToken String 是 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一 79fa97e3c48bxxxx9f466a13d8163678 regionID String 是 资源池ID 81f7728662dd11ec810800155d307d5b endpointServiceID String 是 终端节点关联的终端节点服务 endpsert3jqijb64e endpointID String 是 节点id 6442d4f9c6994305a3129d6c21d54e36 transitIPAddress String 是 中转ip地址 192.168.4.12 transitPort Integer 是 中转端口,1到65535 8080 protocol String 是 TCP:TCP协议,UDP:UDP协议 TCP targetIPAddress String 是 目标ip地址 192.168.0.5 targetPort Integer 是 目标端口,1到65535 9090

参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一，使用同一个ClientToken值，其他请求参数相同时，则代表为同一个请求。保留时间为24小时 4cf2962de92c4c009181cfbb2218636c regionID 是 String 资源池ID，您可以调用 88f8888888dd88ec888888888d888d8b instanceID 是 String 云主机ID 8d8e88888ed888b888cb888f8b8cf8fa cycleCount 是 Integer 订购时长 6 cycleType 是 String 订购周期类型 ，取值范围:[MONTH按月,YEAR按年]，最长续订周期为3年 MONTH

播放地址复制到浏览器为何无法播放？ 为进一步落实上级主管部门防范治理通信网络安全工作要求。云点播提供的播放地址限制直接通过浏览器预览播放。当用户在浏览器直接输入云点播URL播放地址，会自动下载对应视频文件。（相关政策请参考媒体存储公告。 另外，受限于版权专利等因素，浏览器预制解码器对很多视频编码格式如H.265H.266AV1等均未提供较好的解码支持，导致通用的Web前端播放器会出现解码不支持、无法播放或计算资源消耗大（仅支持CPU软解码）等问题，请用户咨询第三方解决方案。

keytab keytab 是一种用于在Kerberos 认证系统中存储主体（principal）的密钥信息的文件，包含principals和加密principal key，用于在不需要用户输入密码的情况下进行身份验证。每个密钥条目在keytab 文件中通常由以下部分组成： 主体名称：明确标识该密钥所属的主体，例如“service/host.example.com@exp.com”。 加密类型：指示用于加密密钥的算法，常见的有 AES、DES 等。 密钥值：实际的加密密钥数据。 keytab文件对于每个host是唯一的，因为key中包含hostname。由于服务器上可以访问Keytab文件即可以用principal的身份通过Kerberos的认证，所以keytab文件应该被妥善保存，确保只有少数必要用户可以访问。 服务实例 在AD域中，服务实例指的是一个特定的服务运行在特定计算机或服务器上的单个实例。服务实例通常与特定的服务账号相关联，用于管理服务的权限和身份验证。服务实例在AD中是通过服务主体名称（Service Principal Name，SPN）来标识的。 服务主体SPN 在AD域中，服务主体（Service Principal Name，SPN）用于标志一个服务实例。SPN的作用在于Kerberos身份验证过程中，将服务实例与服务登录帐户相关联。当客户端需要访问某个服务时，它会使用SPN来查询和验证服务的身份。在AD域中，服务可以运行在不同的主机上，而一个主机上也可以运行多个服务。SPN的格式包括服务类型和主机名或域名，客户端通过SPN访问某个服务实例。 工作原理 天翼云提供基于Kerberos协议的认证鉴权方式，将用户加入到AD域中，域控制器通过秘钥表（keytab）授权成员访问弹性文件服务。用户认证及访问鉴权流程如下： 1. 管理员在域控制器上生成keytab文件，详见 2. 在天翼云控制台为目标文件系统开启AD域功能，并将keytab文件上传，具体操作见加入AD域。 3. 文件服务器保存用户通过控制台上传的keytab文件，用于后续AD域内客户端认证和鉴权。 4. 用户通过AD域内云主机发起访问CIFS文件系统请求。 5. 文件服务器通过查询向云主机返回是否支持Kerberos协议鉴权。 6. 云主机向AD域控制器发起用户认证，Kerberos对用户信息进行加密。 7. 域控制器向云主机返回加密后的用户信息。 8. 云主机将用户加密信息发送给文件服务器。 9. 文件服务器根据用户上传的Keytab文件解密用户信息。 10. 认证通过后，文件服务器根据解密所得的用户权限信息提供访问服务。

本地客户端为Windowws系统 在Windows系统中，您可通过tracetcp进行端口可用性探测。tracetcp同样通过发送TCP数据包进行链路探测，以分析链路是否存在中间节点对目标端口做了阻断。 安装traceroute 1. 在WinPcap官网下载并安装WinPcap library。 2. 在tracetcp官网下载tracetcp。 3. 将下载的tracetcp解压。 4. 进入解压后的文件夹，把tracetcp.exe程序移动到：C:WindowsSystem32 目录下。 注意 如果程序不在系统目录，则需要手动修改系统环境变量，以确保指令可以直接调用。 使用方法 在Windows PowerShell或cmd命令行中输入tracetcp命令，常用tracetcp命令格式如下所示。 plaintext tracetcp : ：指目标服务器的IP地址或者域名。 ：指需要探测的目标端口。 关于更多tracetcp参数说明，您可以通过tracetcp ?命令查看帮助。 测试示例 tracetcp的示例命令和返回结果如下。 plaintext C:UsersAdministrator>tracetcp www.ctyun.cn:80 Tracing route to 171.XXX.XXX.8 on port 80 Over a maximum of 30 hops. 1 1 ms 1 ms 1 ms 192.168.XX.X [XiaoXXXX] 2 3 ms 2 ms 2 ms 192.168.X.X [192.168.X.X] 3 11 ms 6 ms 6 ms 100.XX.X.X 4 4 ms 218.XX.XXX.XXX [XXX.XXX.XX.218.broad.XX.XX.XXXXXXX.163data.com.cn] 5 4 ms 182.140.220.106 6 10 ms 7 ms 7 ms 61.XXX.X.XXX [XXX.X.XXX.61.broad.XX.XX.XXXXXXX.163data.com.cn] 7 9 ms 7 ms 7 ms 118.XXX.XX.XXX 8 Destination Reached in 8 ms. Connection established to 171.XXX.XXX.8 Trace Complete. 当相关端口在某一跳被阻断，则之后各跳均不会有返回数据，据此就可以判断出异常节点。您可以根据相应节点信息，查询IP归属运营商进行问题反馈。

本节介绍了通过管理控制台创建密钥对的操作场景、操作步骤。 操作场景 您可以通过管理控制台创建密钥对，创建完成后，公钥自动保存在系统中，私钥由用户保存在本地。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在左侧导航树中，选择“密钥对”。 5. 在“密钥对”页面，单击“创建密钥对”。 说明 密钥对包括私有密钥对和账户密钥对。私有密钥对仅限本用户使用，账户密钥对账户下其他用户也可使用。 您可以根据业务需要选择创建合适的密钥对。 6. 输入密钥名称，单击“确定”。 密钥名称由两部分组成：KeyPair4位随机数字，使用一个容易记住的名称，如KeyPairxxxxecs。 7. 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。

启动本地服务中心 1、进入本地开发工具，根据具体环境下的操作系统、CPU架构，下载对应版本的本地开发工具压缩包到本地并解压缩到安装目录。 2、启动CSE。 Linux/Unix系统，进入安装根目录，执行如下命令： nohup sh start.sh >/dev/null 2>&1 & Windows系统，进入安装根目录，双击cse.exe文件启动。 3、停止CSE。 Linux/Unix系统，进入安装根目录，执行如下命令： sh stop.sh Windows系统，关闭命令行窗口。 mesher性能损耗是多少？ 服务网格技术实际利用了网络流量劫持的方式来管理服务间流量，除了mesher本身内部的逻辑处理会耗时之外，还会引起额外的用户态和内核态间转换（CPU会有额外消耗），而前者相对于后者性能影响极小，因此性能损耗基本取决于网络中传输的payload大小。以http协议举例，影响传输速度的就是header、body等内容的大小。mesher一次端到端调用中的延迟为1ms，一个典型的用户测试过自己真实的业务调用，加上mesher后，延迟高了4ms，在用户可接受范围内。 连接服务中心提示“Version validate failed”如何解决？ 原因是使用了新版本的SDK，却连接服务中心老版本的SDK。此时应检查服务中心的版本。可以从官网下载最新版本的服务中心，或者从ServiceComb官网下载最新版本的服务中心。 连接服务中心提示“Not enough quota”如何解决? 原因是没有足够的额度增加服务实例。此时应登录云控制台，在微服务引擎页面，可以看到实例个数的额度。如果发现页面有额度，需要检查下代码配置的服务中心地址和区域信息。

本文为您介绍半托管迁移模式的使用场景和流程。 什么是半托管模式 对象存储迁移服务（ZMS，全称ZOS Migration Service）支持用户在本地设备上部署代理软件（zmsagent） ，来执行迁移任务。半托管模式具有如下特点和优势： 靠近源端部署 ：可部署在靠近源端的环境中，代理程序通过从源端内网下载数据，通过公网传输至ZOS目的端，减少源端对象存储数据流出费用。 可选分布式部署 ：采用主从架构，可部署多设备，提供分布式迁移能力。 多任务并行迁移 ：支持多个迁移任务同时执行。 控制台管控 ：支持通过天翼云官网迁移服务控制台对迁移任务进行控制。 功能丰富 ：兼容全托管模式迁移的所有功能，包括断点续传。 半托管模式的使用场景 靠近源端迁移 ：通过将代理软件和机器部署在源端内网中，实现从源端内网下载对象，节省对象流出费用。 迁移资源独享 ：相较于全托管模式的资源共享，半托管模式可高效利用部署代理的设备的网络与计算资源，实现资源独享，帮助用户快速进行对象存储数据迁移。 半托管模式的使用流程 使用半托管模式进行迁移需要您在对象存储迁移控制台和您的部署设备上分别进行操作，您可按照如下流程进行操作： 1. 创建代理：在控制台上创建代理。 2. 部署代理：在您的设备上部署代理。 3. 管理代理：在控制台上管理已部署的代理。 4. 创建半托管模式的迁移任务：在控制台上进行半托管模式迁移任务的创建与管理。

通过后台提交作业 MRS 3.x及之后版本客户端默认安装路径为“/opt/Bigdata/client”，MRS 3.x之前版本为“/opt/client”。具体以实际为准。 1.参考创建用户页面，创建一个用于提交作业的用户。 本示例创建一个用户开发场景使用的机机用户，并分配了正确的用户组（hadoop、supergroup）、主组（supergroup）和角色权限（Systemadministrator、default）。 2.下载认证凭据。 对于MRS 3.x及之后版本集群，请登录FusionInsight Manager页面选择“系统 > 权限 > 用户”，在新增用户的操作列单击“更多 > 下载认证凭据”。 对于MRS 3.x之前版本集群，请登录MRS Manager页面选择“系统设置 > 用户管理”，在新增用户的操作列单击“更多 > 下载认证凭据”。 3.将与作业相关的jar包上传到集群中，本示例使用Spark自带的样例jar包，位置在“$SPARKHOME/examples/jars”下。 4.上传步骤2创建的用户认证凭据到集群的“/opt”目录下，并执行如下命令解压。 tar –xvfMRSTestxxxxxxkeytab.tar 您将会得到user.keytab和krb5.conf两个文件。 5.在对集群操作之前首先需要执行： source /opt/Bigdata/client/bigdataenv cd $SPARKHOME 6.提交spark作业，使用的命令如下： ./bin/sparksubmitmaster yarn deploymode client conf spark.yarn.principalMRSTest conf spark.yarn.keytab/opt/user.keytab class org.apache.spark.examples.SparkPi examples/jars/sparkexamples2.112.3.2mrs2.0.jar 10 参数解释： 1.yarn的计算能力，指定使用client模式提交该作业。 2.Spark作业的配置项，这里是传入了认证文件和用户名。 3.spark.yarn.principal 第一步创建的用户。 4.spark.yarn.keytab 认证使用的keytab文件。 5.xx.jar 作业的使用的jar。

本小节介绍如何购买DDoS高防IP实例。 DDoS高防IP不支持试用。若需要使用DDoS高防IP，请参照本文订购步骤进行购买。 操作步骤 1. 使用天翼云账号登录DDoS高防IP管理控制台。 2. 单击“立即购买”进入订购页面。 3. 配置相关参数，根据需求进行购买。 参数 说明 基本信息 IP个数 默认为1个高防IP，不支持修改。 基本信息 接入方式 支持静态防护和动态防护。 静态防护：提供1个高防IP，在一个高防中心使用。 动态防护：提供1个高防IP，并且在多个高防中心使用，实现负载调度近源清洗。 基本信息 高防节点 仅“静态防护”接入方式需要选择高防节点。 当前提供了华北地区、华东地区1、华东地区2、华南地区共4个节点。 源站端口根据选择的防护节点有如下规则： 华北 1：可以选择任意端口进行转发； 华东 1：可以选择任意端口进行转发； 华东 2：可以选择任意端口进行转发； 华南 1：可以选择任意端口进行转发； 网站类业务：限定选择80、8080、8081、443、7443、8443之一。 非网站类业务：可以选择任意端口进行转发。 产品配置 业务类型 选择业务类型，支持非网站类和网站类。 网站类业务还需要填写域名个数。默认提供50个免费域名，可按需付费增加。增加步长为5个，最多支持200个域名。 产品配置 保底防护带宽 选择保底防护带宽，保底防护带宽包月计费。 注意 保底防护带宽选择100Gbps及以上时只能包年订购，支持1年~5年。 产品配置 回源业务带宽 默认赠送100Mbps回源带宽，可按需付费增加。 产品配置 端口数量 默认赠送50个端口，可按需付费增加。增加步长为5个，最多支持100个。 订购时长 可以单击加减号调整订购时长，步长为1；也可以在其中直接输入。 自动续订 支持开启“自动续订”，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为1个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 企业/用户名称 该信息仅用于建立通知与防护功能，不做他用。 4. 在页面左下角确认配置费用后，勾选“我已阅读，理解并接受《天翼云高防IP产品服务协议》”，单击“立即订购”。 5. 进入付款页面，完成付款。

本小节介绍渗透测试的服务流程，帮助您了解服务开展过程。 渗透测试服务以人工服务为主，我们的渗透测试人员在取得您的授权后，将对目标系统进行全面的渗透测试工作，总体流程如下： 1. 客户订购与需求匹配的服务规格并下单付款。 2. 客户经理会与您取得联系，协助您完成《业务需求单》及《渗透测试授权书》的填写，您需要如实填写以下内容： 域名备案信息比对，必须为真实、合法信息。 被检测的IP主机信息。 如您为天翼云托管用户，需要提供域名清单，解析后必须为天翼云主机IP，才可提供渗透测试服务。 您所提供的应用URL描述须写明功能是什么或用途是什么。 业务接口人联系方式，您需提供一个具有对渗透测试方案及渗透测试过程中出现的问题有决定权的业务接口人联系人。 如您有安全防护设备，应在渗透测试开始阶段将渗透测试所用的公网IP加入安全防护设备白名单，避免因渗透测试工作带来的告警。（如在渗透测试开始阶段客户未将渗透测试所用的公网IP加入安全防护设备白名单，由此产生的告警及对渗透测试结果的影响，我方不承担责任。） 您需签订渗透测试授权书。 3. 我们会根据您提供的信息，与您进行沟通，编写渗透测试方案，并与您确认测试细节，双方确认无误后，将进入渗透测试环境，渗透测试工作主要包含如下步骤： 明确目标：确定渗透测试的范围，如IP、域名、内外网、整站或部分模块，确定规则，如能渗透到什么程度，是发现漏洞为止还是继续利用漏洞，确定需求，如Web应用的漏洞，业务逻辑漏洞，人员权限管理漏洞。 信息收集：在信息收集阶段要尽量收集关于项目软件的各种信息，例如，对于一个Web应用程序，要收集脚本类型、服务器类型、数据库类型以及项目所用到的框架、开源软件等。 漏洞探测：进行漏洞探测，包括手动和自动探测。 漏洞验证：对探测出的漏洞进行验证，确定其真实存在。 信息分析：对收集到的信息进行分析，尝试利用漏洞获取数据。 利用漏洞获取数据：如果能够利用漏洞获取数据，则进行数据获取。 信息整理：对获取到的数据进行整理，方便后续分析。 形成报告：根据渗透测试的实际情况，形成详细、专业的报告。 4. 形成报告后，我们会将报告发送给您，您可以根据报告内容，发现系统漏洞，及时加固完善。 以上为渗透测试的基本服务流程，如您在服务过程中有任何问题，请您与客户经理联系并反馈，我们会尽快为您处理。

本章节主要介绍翼MapReduce服务如何绑定/解绑弹性IP。 背景信息 创建的翼MapReduce集群中所有的节点都会默认被分配内网IP，外网IP需要用户自己去创建。 绑定弹性IP操作步骤 1. 登录翼MapReduce控制台，在我的集群页面，点击集群具体名称，进入集群详情页。 2. 在“节点管理”页面点击“节点组名称”列的下拉按钮，展开对应的节点信息，点击“操作”列的“更多”。 3. 点击“绑定弹性IP”，在“绑定弹性IP”的弹框中，如果您账号下没有可用的弹性公网IP，需要点击“+创建弹性公网IP”按钮跳转至新页面进行创建；如果您账号下有可用的弹性公网IP，可以通过下拉“弹性IP”的选择框选择IP后，点击“确认”进行绑定。 解绑弹性IP操作步骤 1. 登录翼MapReduce控制台，在我的集群页面，点击集群具体名称，进入集群详情页。 2. 在“节点管理”页面点击“节点组名称”列的下拉按钮，展开对应的节点信息，点击“操作”列的“更多”中的“解绑弹性IP”，并在弹窗内进行二次确认，即可完成解绑。

本章节主要介绍翼MapReduce集群组件使用规则。 Kafka支持四种协议类型的访问，分别为：PLAINTEXT、SSL、SASLPLAINTEXT、SASLSSL。当前，翼MR集群默认采用Kerberos安全验证服务，Kafka协议类型建议使用SASLPLAINTEXT、SASLSSL这两种。

参数 是否必填 参数类型 说明 示例 下级对象 key 是 String 上传Object的名称。如果名称包含路径，例如cts/1.jpg，则会自动创建相应的文件夹 1.jpg policy 是（有条件） String Policy规定了请求表单域的合法性，是一段经过UTF8和Base64编码的JSON文本。不包含Policy表单域的请求被认为是匿名请求，并只能访问publicreadwrite的Bucket， 当Bucket为非publicreadwrite或者提供了AccessKeyId（或Signature）表单域时，必须提供Policy表单域 acl 否 String 在文件表单域中指定Object的访问权限。取值： private,publicread， publicreadwrite authenticatedread， bucketownerread， bucketownerfullcontrol。默认private private xamzmeta 否 String 用户指定的user meta值 xamzmetalocation CacheControl 否 String 指定该对象被下载时网页的缓存行为 请参见RFC 2616 ContentType 否 String 文件类型 image/jpeg xamzsecuritytoken 否 String 安全令牌。仅在通过STS构造POST签名时需要该参数。可以通过调用STS服务的AssumeRole接口获取安全令牌 ek+NvIdz ContentDisposition 否 String 指定该对象被下载时的名称 请参见RFC 2616 ContentEncoding 否 String 指定该对象被下载时的内容编码格式 请参见RFC 2616 Expires 否 String 过期时间 请参见RFC 2616 successactionredirect 否 String 上传成功后客户端跳转到的URL。如果未指定该表单域，返回结果由successactionstatus表单域指定。如果上传失败，返回错误码，并不进行跳转 successactionstatus 否 String 未指定successactionredirect表单域时，该表单域指定了上传成功后返回给客户端的状态码。 有效值：200、201、204（默认）。其中 200或者204，返回一个空文档和相应的状态码， 201，返回一个XML文件和201状态码，如果未设置或者设置为一个非法值，返回一个空文档和204状态码。注：如果设置为null则返回400 201 file 是 String 文件或者文本内容。一次只能上传一个文件。注意：file必须为最后一个表单域

VPN连接支持对用户操作进行审计,本文介绍相关操作说明。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 事件名称 资源类型 创建SSL服务端 SSL VPN 删除SSL服务端 SSL VPN 创建SSL客户端 SSL VPN 删除SSL客户端 SSL VPN 创建IPsec连接 IPsec VPN 删除IPsec连接 IPsec VPN 说明 仅集群模式资源池支持

协议 端口 类型 目的地址 说明 TCP 80 IPv4 100.125.0.0/16 用于从OBS桶下载Agent包到ECS或BMS中、获取ECS或BMS的元数据信息与鉴权信息。 TCP、UDP 53 IPv4 100.125.0.0/16 用于DNS解析域名，下载Agent时解析OBS地址、发送监控数据时解析云监控服务Endpoint地址。 TCP 443 IPv4 100.125.0.0/16 采集监控数据到云监控服务端。

本章节向您介绍VPC对等连接组网迁移方案概述。 应用场景 天翼云未上线企业路由器ER之前，客户通常使用VPC对等连接连通同一个区域内的不同虚拟私有云VPC。对等连接适用于简单的组网，因为每连通两个VPC，就需要创建一个对等连接。那么对于复杂的组网，大量的对等连接将会导致组网结构非常繁复冗余，不利于网络扩容，同时增加运维成本。 而企业路由器作为一个云上高性能集中路由器，可以同时接入多个VPC，实现同区域VPC互通。企业路由器连接VPC构成中心辐射性组网，网络结构简单明了，方便扩容和运维。 如果您的组网当前使用VPC对等连接构建，并且需要连通的VPC数量较多，那么推荐您将网络迁移到企业路由器上。 方案架构 VPCA、VPCB、VPCC位于区域A，通过对等连接连通三个VPC的网络，为了提升网络可扩展性、降低运维成本，现在需要将这三个VPC的网络迁移至企业路由器上。 迁移共分为迁移前、迁移中、迁移完成三个阶段，具体如下图所示。 1. 迁移前，VPCA、VPCB、VPCC，通过VPC对等连接连通网络。 2. 迁移中，VPCA、VPCB、VPCC将会同时接入对等连接和企业路由器中，通过大小网段确保对等连接和企业路由器的路由不冲突。 3. 迁移完成后，VPCA、VPCB、VPCC可以通过企业路由器实现网络互通，此时可以删除原有VPC对等连接资源。 方案优势 简化组网结构和扩展能力，降低运维成本。 如下图所示，通过VPC对等连接构建的组网复杂程度高于企业路由器，当您有6个VPC的时候，您需要创建15个对等连接，组网结构已经非常复杂。而使用企业路由器时，只需要将VPC分别接入ER即可，网络架构简洁明了，方便运维，同时具备较高的可扩展性。 约束与限制 如果您对等连接下的VPC属于不同的账号，那么迁移的时候，您可以使用企业路由器的共享功能，将不同账号下的VPC迁移至同一个企业路由器中构建组网。 由于网络组网的复杂程度不同，将VPC对等连接迁移至企业路由器时，可能会造成业务中断。 当业务VPC下存在共享型弹性负载均衡、VPC终端节点、私网NAT网关、分布式缓存服务、混合云DNS解析时，不建议直接将业务VPC接入ER。

本章主要介绍下载实例备份文件 由于自动备份和手动备份实例有一定的限制性（自动备份的文件在系统最大保留天数为7天，手动备份会占用OBS空间），您可将实例的rdb和aof备份文件下载，本地永久保存。 当前仅支持将主备、读写分离或者集群实例的备份文件下载，单机实例不支持备份恢复功能。单机实例若需要下载备份文件，可使用rediscli工具导出rdb文件。 以下仅针对主备、读写分离和集群实例： 如果是Redis 3.0，支持aof格式持久化，支持在控制台下载导出aof格式的备份文件，如果需要导出rdb，可以通过rediscli导出，使用命令： rediscli h {redisaddress} p 6379 a {password} rdb {output.rdb} 。 如果是Redis 4.0及以上版本，支持aof和rdb格式持久化，可以在控制台下载导出aof和rdb格式的备份文件。 前提条件 实例已做备份且没有过期。 操作步骤 1. 登录分布式缓存服务管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 单击左侧菜单栏的“缓存管理”，进入DCS缓存实例信息页面。 4. 在需要查看的DCS缓存实例左侧，单击实例名称，进入实例的基本信息页面。 5. 单击“备份与恢复”页签，进入备份恢复管理页面。 页面下方显示历史备份数据列表。 6. 选择需要下载的历史备份数据，单击右侧的“下载”，弹出下载备份文件窗口。 7. 选择下载方式。 包括以下两种下载方式： URL下载 a. 设置URL有效期并单击“查询”按钮。 b. 通过URL列表下载备份文件。 说明 如果复制下载链接，并在Linux系统中使用wget命令获取备份文件，则需要将下载链接使用英文引号括起来。如： wget ' 原因是URL中携带符号：&，wget命令识别URL参数会出现异常，需要使用英文引号辅助识别完整URL。 OBS下载 按照页面的下载步骤描述操作即可。