本文档为制作Windows系统私有镜像指导手册的步骤2,安装VirtIO驱动、QEMU Guest Agent。 操作场景 VirtIO驱动，用于弹性云主机识别云硬盘等存储设备，是Windows镜像必备驱动。 QEMU Guest Agent（简称qga），是天翼云平台弹性云主机执行关键功能的依赖工具。包括： 云主机重置密码 创建云主机快照 操作步骤 安装VirtIO和QEMU Guest Agent 说明 Windows虚拟机安装完成后，请检查VirtIO对应的CD驱动器下的文件。 如果CD驱动器主目录下存在virtiowinguesttools.exe文件，请直接执行此文件，按默认操作步骤执行，即可完成VirtIO驱动和QEMU Guest Agent的安装； 如果CD驱动器主目录下不存在virtiowinguesttools.exe文件，请执行主目录下的virtiowingtx64.msi文件安装VirtIO驱动，并运行/guestagent/qemugax8664.exe文件安装QEMU Guest Agent。安装过程中，请按默认操作步骤执行。 注意 如果您未按照 配置VirtIO和QEMU Guest Agent 打开PowerShell，将以下内容直接复制粘贴并执行。 StartService Name 'QEMU Guest Agent VSS Provider' StartService Name 'QEMUGA' SetService Name 'QEMU Guest Agent VSS Provider' StartupType Automatic SetService Name 'QEMUGA' StartupType Automatic

本章节主要介绍数据治理中心DataArts Studio的产品定义。 数据治理中心 DataArts Studio，是为了应对企业数据管理问题、针对企业数字化运营诉求提供的数据全生命周期管理、具有智能数据管理能力的一站式治理运营平台。 数据治理中心 DataArts Studio包含数据集成、数据开发等功能，支持行业知识库智能化建设，支持大数据存储、大数据计算分析引擎等数据底座，帮助企业快速构建从数据接入到数据分析的端到端智能数据系统，消除数据孤岛，统一数据标准，加快数据变现，实现数字化转型。

对象存储服务等级协议生效，详情请参见这里。 中国电信天翼对象存储系统服务等级协议 历史版本（2012年11月10日）。

步骤三：进入客户控制台 成功开通AOne边缘接入服务后，您可以通过以下方式进入边缘安全加速控制台。 官网页面进入控制台：进入边缘安全加速平台产品详情页，点击管理控制台。 通过控制中心进入控制台：进入天翼云控制中心，在CDN与视频分类下，点击边缘安全加速平台。 通过控制台链接直接进入。 步骤四： 添加域名/实例并配置 在客户控制台上，可以添加域名并配置。步骤详见：添加域名/实例。域名创建成功的标志是：在域名列表中，可以查到新建域名，以及CNAME地址。 为了帮忙您获得更优的加速效果，建议如下推荐配置方案： 配置 描述 回源配置 通过配置多种回源策略（择优回源、轮询回源、保持登录回源等）实现最优路径提速回源。 全网带宽控制 针对带宽成本有严格把控，同时又不希望影响客户感知情况下，可选择使用带宽控制功能，超过设置带宽后，对用户设置合理限速。 IP黑白名单 IP黑白名单的访问控制策略，主要是通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 传递用户IP回源 开启边缘接入服务，若源站需要获取真实的客户端IP地址，可以选择传递用户IP回源功能进行配置。 多路传输 开启多路传输功能后，有利于提升数据传输效率，在单条路径质量波动较大时有显著的效果。 Gzip压缩 开启Gzip压缩功能后，存在两个显著优势：一是减少存储空间，二是通过网络传输文件时，可以减少传输的时间。

人脸识别是天翼云自研AI平台提供的产品之一，通过自主研发人脸识别算法模型，提供人脸系列API服务，包括人脸检测、人脸属性识别、人脸比对等能力。通过订购天翼云人脸识别产品，可将此服务快速高效的部署到您的应用中，为开发者和企业提供高性能的在线API服务和解决方案，针对图片进行分析，可应用于人脸识别和认证、安防考勤等各种场景。 本说明提供了人脸识别产品API的描述、语法、参数说明及示例等内容。

参数名称 说明 取值样例 状态 是否开启通知。 通知主题 单击下拉列表选择已创建消息通知主题或者单击“查看通知主题”创建新的主题，用于配置接收告警通知的终端。 单击“查看通知主题”创建新主题的操作步骤如下： 1. 参见创建主题创建一个主题。 2. 配置接收告警通知的手机号码、邮件地址、函数、平台应用的终端、DMS或HTTP(S)终端，即为创建的主题添加一个或多个订阅，具体操作请参见添加订阅。 3. 确认订阅。添加订阅后，完成订阅确认。

兼容性与集成 搜索引擎的 SQL 支持可以与各种 BI 工具、数据可视化平台和 ETL 流程无缝集成。这意味着用户可以在现有的 SQL 工作流中直接利用搜索引擎，执行实时分析和报告生成。 实时分析 通过 SQL 查询，用户可以对实时索引的数据进行分析，从而在海量数据中快速提取有价值的信息。这对于需要实时监控和数据洞察的业务场景，显得尤为重要。 技术实现与应用 使用搜索引擎的 SQL 支持非常简单。用户可以通过 OpenSearch Dashboards / Kibana 提供的 SQL 工作台直接运行 SQL 查询，或通过 REST API 接口在应用程序中集成 SQL 查询。搜索引擎将这些 SQL 查询转换为原生的查询语句，并返回结果。 搜索引擎还支持 SQL 的多种格式输出，包括 JSON、CSV、TXT 等，方便用户在不同场景中使用查询结果。此外，用户可以使用 SQL 进行复杂的聚合查询和时间序列分析，充分利用搜索引擎强大的数据处理能力。 操作示例 我们以Elasticsearch为例。 创建索引： PUT employees { "mappings": { "properties": { "name": { "type": "text" }, "age": { "type": "integer" }, "position": { "type": "text" }, "department": { "type": "text" } } } } 插入数据： POST employees/doc { "name": "John Doe", "age": 30, "position": "Software Engineer", "department": "Engineering" } 使用SQL进行查询： POST opendistro/sql { "query": "SELECT FROM employees WHERE age > 25" } 返回结果： { "schema": [ { "name": "name", "type": "text" }, { "name": "position", "type": "text" }, { "name": "department", "type": "text" }, { "name": "age", "type": "integer" } ], "datarows": [ [ "John Doe", "Software Engineer", "Engineering", 30 ] ], "total": 1, "size": 1, "status": 200 } 通过支持 SQL，搜索引擎极大地扩展了其数据查询与分析的能力，使用户能够在一个平台上利用标准 SQL 语法处理大规模的非结构化数据。无论是在降低学习门槛、增强数据分析能力，还是在兼容现有 SQL 工作流与实时数据分析等方面，搜索引擎的 SQL 支持都为用户提供了一个强大而灵活的数据操作工具。

bgwriterlrumultiplier (floating point) 每一轮次要写的脏缓冲区的数目基于最近几个轮次中服务器进程需要的新缓冲区的数目。最近所需的平均值乘以bgwriterlrumultiplier可以估算下一轮次中将会需要的缓冲区数目。脏缓冲区将被写出直到有很多干净可重用的缓冲区（然而，每一轮次中写出的缓冲区数不超过bgwriterlrumaxpages）。 因此，设置为 1.0 表示一种“刚刚好的”策略，这种策略会写出正好符合预测值的数目的缓冲区。 更大大的值可以为需求高峰提供某种缓冲，而更小的值则需要服务进程来处理一些写出操作。默认值是 2.0。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。 bgwriterflushafter (integer) 不管何时后端写入器写入了超过bgwriterflushafter字节，尝试强制 OS 把这些写发送到底层存储上。这样做将限制内核页缓存中脏数据的量，降低了在检查点末尾发出一个fsync时或者 OS 在后台大批量写回数据时卡住的可能性。那常常会导致大幅度压缩的事务延迟，但是也有一些情况（特别是负载超过 sharedbuffers但小于 OS 页面高速缓存）的性能会降低。这种设置可能会在某些平台上没有效果。合法的范围在0 （禁用强制写回）和2MB之间。Linux 上的默认值是 512kB，其他平台上是0（如果BLCKSZ 不是8kB，默认值和最大值按比例缩放）。这个参数只能在postgresql.conf 文件中或者服务器命令行上设置。 较小的bgwriterlrumaxpages和bgwriterlrumultiplier可以降低由后台写入器造成的额外 I/O 开销。但更可能的是，服务器进程将必须自己发出写入操作，这会延迟交互式查询。

本文介绍创建新库后是否会自动发起对新库的全量备份。 自动新库备份 用户在SQL Server控制台或通过SQL Server客户端创建新库后，平台的定时检测机制会扫描到新库，并自动对新库做一次全量备份。 新库自动全量备份是必要的，备份数据保证数据安全，另外对于主备实例该备份可用于搭建主从镜像。 数据备份列表中有时候能看到非备份时段的多个自动全量备份，备份名称为fullagent开头的备份即为新库自动全量备份。

本文介绍什么是应用加速产品。 应用加速（IP Application Accelerator，IPA）依托天翼云CDN平台的优质节点及线路，通过智能调度、传输优化等核心技术，为基于TCP/UDP协议的各类应用提供性能优化服务，包括企业办公系统（如OA、邮箱等）、业务系统（如ERP、DMS等）、金融及游戏行业的各种动态指令及接口等，可有效解决公网链路抖动、拥塞等问题，大幅提升办公系统、业务系统、生产系统等各类应用的访问速度与稳定性。 应用加速产品架构：

本章节主要介绍创建开通物理机。 1. 登录天翼云，进入控制中心。 2. 在系统首页，单击“计算 >物理机服务”。 3. 在“物理机”界面，单击“申请物理机”。 4. 选择“区域”。不同区域的云服务产品之间内网互不相通。建议您选择最靠近您业务的区域，这样可以减少网络时延、提高访问速度。 5. 选择“可用区”。可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 如果您需要提高应用的高可用性，建议您将物理机创建在不同的可用区。 如果您需要较低的网络时延，建议您将物理机创建在相同的可用区。 说明 物理机创建成功后，不可更改区域和可用区。 6. 选择“规格”。 包括规格名称、CPU、内存、本地磁盘和扩展配置。当您选择规格列表中的一个规格后，列表下方会展示该规格的名称、组网、用途等信息，以便您根据业务场景进行选择。 其中，扩展配置描述了所选机型的网卡信息。例如：2 x 210GE表示1块双网口的10GE网卡接入VPC网络，1块双网口的10GE扩展网卡支持物理机间的高速互联。 规格中的CPU、内存、本地磁盘等配置为固定值，不可更改。 不同规格的物理机带宽能力不同，请您根据实际业务慎重选择。 某些规格的物理机支持快速发放能力，选择后，界面会提供“系统盘”参数（在“磁盘”配置项中展示），物理机操作系统直接安装在云硬盘，实现快速发放。 7. 选择“镜像”。 公共镜像 常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用（SDI卡驱动、bmsnetworkconfig网络配置程序、cloudinit初始化工具等）。请根据您的实际需要自助配置应用环境或相关软件。 私有镜像 用户基于外部镜像文件或物理机创建的个人镜像，仅用户自己可见。包含操作系统、预装的公共应用以及用户的私有应用。选择私有镜像创建物理机，可以节省您重复配置物理机的时间。 共享镜像 您将接受公有云其他用户共享的私有镜像，作为自己的镜像进行使用。 8. 选择“许可类型”。 在云平台上使用操作系统或软件的许可证类型。如果您选择的镜像为免费的，则系统不会展示该参数。如果您选择的镜像为计费镜像，此时系统会展示该参数。 使用平台许可证 使用云平台提供的许可证，申请许可证需要支付一定的费用。 使用自带许可证（BYOL） 使用用户已有操作系统的许可证，无需重新申请。 9. 设置“磁盘”。 有SDI卡的物理机可以使用云硬盘，云硬盘盘包括系统盘和数据盘。您可以为物理机添加多块数据盘，系统盘大小可以根据需要自定义。 是否能为物理机挂载云硬盘，由您所选的规格和镜像共同决定，以界面提示为准。 系统盘 如果选择支持快速发放的规格，界面会提供系统盘配置项，可以根据需要设置磁盘类型和大小。 数据盘 您可以为物理机添加多块数据盘，并设置数据盘的共享功能。 注意 物理机仅支持SCSI磁盘模式。 共享盘：勾选后，数据盘为共享云硬盘。该共享盘可以同时挂载给多台物理机使用。 10. 设置“网络”，包括“虚拟私有云”、“安全组”、“网卡”等信息。 第一次使用云服务时，系统将自动为您创建一个默认的虚拟私有云，包括安全组、网卡。其中，默认虚拟私有云支持的地址范围为192.168.1.0/24，子网网关为192.168.1.1，并为子网开启DHCP功能。 参数 解释 虚拟私有云 您可以选择使用已有的虚拟私有云，或者单击“查看虚拟私有云”创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间物理机的访问控制，加强物理机的安全保护。 用户可以在安全组中定义各种访问规则，当物理机加入该安全组后，即受到这些访问规则的保护。 创建物理机时，仅支持选择一个安全组。 但是物理机创建成功后，可以为物理机关联多个安全组。 说明 物理机初始化需要确保安全组出方向规则至少满足如下要求： 协议：TCP 端口范围：80 远端地址：169.254.0.0/16 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常初始化。 默认安全组出方向规则为： 协议：Any 端口范围：Any 远端地址：0.0.0.0/16 网卡 包括主网卡和扩展网卡。您可以添加多张扩展网卡，并指定网卡（包括主网卡）的 IP 地址。 注意 主网卡用于系统的默认路由，不允许删除。 如果您选择自动分配 IP 地址，请不要在物理机发放完成后修改私有IP 地址，避免和其他物理机 IP 冲突。 为网卡分配固定 IP 地址后，不能批量创建物理机 高速网卡 物理机之间的高速互联网络，为物理机提供更高的带宽。 一台物理机最多有两块高速网卡，并且依赖于扩展网卡总带宽（可以在规格的“扩展配置”列查看）。 例如，扩展网卡总带宽为 2 10GE，如果第一块高速网卡的带宽为 2 10GE，那么您不能再添加第二块高速网卡。 说明 同一台物理机的多张高速网卡不能选择同一个高速网络 弹性 IP 弹性 IP 是指将公网 IP 地址和路由网络中关联的物理机绑定，以实现虚拟私有云内的物理机通过固定的公网 IP 地址对外提供访问服务。 您可以根据实际情况选择以下三种方式： 不使用：物理机不能与外部网络互通，仅可以在私有网络中部署业务或构建集群。 自动分配：自动为物理机分配独享带宽的弹性 IP，带宽值由您设定。 使用已有：为物理机分配已有弹性 IP。 说明 选择已有弹性 IP 后，不能批量创建物理机 规格 选择您需要的物理机规格 计费方式 弹性 IP 选择“自动分配”时，需配置该参数。 按带宽计费：指定带宽上限，按使用时间计费，与使用的流量无关。 按流量计费：按照实际使用的流量来计费。 带宽 弹性 IP 选择“自动分配”时，需配置该参数。 带宽大小，单位 Mbit/s。 11. 设置物理机登录方式。 “密钥对”方式创建的物理机安全性更高，建议选择“密钥对”方式。如果您习惯使用“密码”方式，请增强密码的复杂度，如下表所示，保证密码符合要求，防止被恶意攻击。 密钥对 指使用密钥对作为登录物理机的鉴权方式。您可以选择使用已有的密钥，或者单击“查看密钥对”创建新的密钥。 如果选择使用已有的密钥，请确保您已在本地获取该文件，否则，将影响您正常登录物理机。 密码 指使用设置初始密码方式作为物理机的鉴权方式，此时，您可以通过用户名密码方式登录物理机。Linux操作系统时为root用户的初始密码，Windows操作系统时为Administrator用户的初始密码。密码复杂度需满足要求。 注意 Windows操作系统不支持选择密码登录方式。 参数 规则 样例 : 密码 密码长度范围为8到26位。 密码至少包含以下4种字符中的3种： 大写字母小写字母数字特殊字符，包括!@%^+[]{}:,./? 密码不能包含用户名或用户名的逆序。 Windows系统的物理机，不能包含用户名中超过两个连续字符的部分。 Test12@ 12. 设置“物理机名称”。 名称可自定义，但需符合命名规则：只能由中文字符、英文字母、数字及“”、“”、“.”组成。 一次创建多台物理机，系统会自动按序增加后缀。例如：输入bms，服务器名称为bms0001，bms0002，……。再次购买多台服务器时，命名从上次最大值连续增加，例如：输入bms，已有服务器bms0010，新创服务器名称为bms0011、bms0012、……，命名达到9999时，从0001开始。 设置您创建的物理机数量，最多为24台。 设置完成后，您可以通过单击“价格计算器”，查询当前配置的费用。 说明 当配额充足时，一次最多可以创建24台物理机；若配额不足24台，一次最多可创建数量为配额余量。 在设置网络信息时，若您选择自定义网卡或高速网卡的IP地址，或者选择已有弹性IP，则一次只能创建一台物理机。 13. 单击“立即申请”。 14. 在确认规格页面，单击“提交”。 注意 开通需要拥有物理机自助开通权限，如没有自助开通权限可以联系天翼云客户经理协助开通。

本文介绍业务告警功能以及如何提交告警需求。 功能介绍 天翼云边缘安全加速平台支持自动化业务指标监控和告警功能，客户可以依据实际业务监控/告警需要，设置相关的监控与告警规则。当告警规则被触发时，天翼云监控系统会根据客户设定的手机短信、电子邮件、企业微信、钉钉等通知方式发送告警信息，通知客户及时介入并处理相关问题。 目前已支持的常用监控/告警指标，包括但不限于： 带宽/流量：上限/下限监控、突增突降监控。 请求数：上限/下限监控、突增突降监控。 状态码：异常状态码（5xx/4xx）次数监控、异常状态码（5xx/4xx）比例监控。 适用场景 如您的业务是大文件下载或音视频点播业务，经常涉及带宽/流量突增突降等，可以重点考虑设置带宽/流量相关的监控指标，并设置合适的阈值进行监控和告警。 如您的业务是静态小文件，例如，政企官网、金融证券、电子商务和新闻媒体等各类网站，更关注用户访问量及QPS的变化，可重点考虑设置请求数/QPS相关的监控指标，并设置合适的阈值进行监控和告警。 如您的业务对服务可用性比较敏感，您可以设置状态码相关的监控指标，设置合适的阈值实时监控业务的运营状态，确保异常时可及时告警并人工介入处理。

类型 微服务 普通应用 开发 每个微服务的体量相对较小，业界的two pizza团队和“2周即可全部重写全部代码”等都可以作为微服务划分的参考。 在开发时期，需注意服务接口的定义以与周边微服务进行配合，“基于契约”的开发方式是非常推荐的。 微服务开发，请参考“帮助中心 > 微服务云应用平台 > 开发指南 > 微服务开发指南 > 开发微服务应用”章节。 普通应用逻辑复杂、模块耦合、代码臃肿、修改难度大、版本迭代效率低下。 部署 微服务组成的应用系统通常比较复杂，在一次性部署的时候，需要进行编排部署。 微服务应用部署，请参考 部署组件 。 普通应用可能会比较大，构建和部署时间也相应地比较长，不利于频繁部署，阻碍持续交付。 在移动应用开发中，这个问题会显得尤为严重。 运维 在原来的指标监控、日志收集之外还非常强调治理。 其核心理念是在运行时期通过对线上系统的各种调整以达到系统整体健康度要求的效果。 应用运维，请参考 应用运维 。 普通应用线上问题修复周期长，任何一个线上问题修复都需要对整个应用系统进行全面升级。

本节主要介绍项目管理类问题 IAM与企业项目管理的区别 统一身份认证（Identity and Access Management，简称IAM）服务是提供用户身份认证、权限分配、访问控制等功能的身份管理服务。 企业项目管理是提供给企业客户的与多层级组织和项目结构相匹配的云资源管理服务。主要包括企业项目资源管理和权限管理。 与IAM相同的是，企业项目管理可以进行人员管理及权限分配；企业项目管理对资源的授权粒度比IAM的更为精细，建议中大型企业使用企业项目管理服务。 IAM和企业管理的区别 开通方式 IAM是云平台的身份管理服务，注册系统后，无需付费即可使用。 企业管理是云平台的资源管理服务，注册系统后，需提交客服工单申请开通，开通后无需付费免费使用。 资源隔离 IAM通过在每一个区域中创建项目，隔离不同区域中的资源。以项目为单位进行授权，用户可以访问指定项目中的所有资源。 企业项目管理通过创建企业项目，隔离企业不同项目之间的资源，企业项目中可以包含多个区域的资源。企业项目还可以实现对特定云资源的授权，例如：将一台特定的ECS添加至企业项目，对企业项目进行授权后，可以控制用户仅能管理这台特定的ECS。 IAM与企业管理的关系 IAM和企业管理的创建用户以及用户组功能，两边是相互同步关系。 申请开通企业项目管理服务后，使用企业项目管理的用户组授权功能时，该功能依赖IAM的策略授权。如果企业项目管理中系统预置的策略不能满足您的使用要求，需要在IAM中创建自定义策略，自定义策略会同步到企业管理中，可以在IAM或者企业项目管理中给用户组授权自定义策略。 如果在IAM和企业管理中同时给用户组授权，用户同时拥有基于IAM项目的策略和基于企业项目的策略，在发起访问请求时，系统根据用户被授权的访问策略中的Action进行鉴权判断。 如果策略中包含相同的Action，以在IAM中设置的生效，例如：用户请求创建弹性云主机，鉴权结果为IAM中定义的Deny，不能创建弹性云主机。 IAM项目策略中包含以下action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 企业项目策略中包含以下action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 如果策略中包含不同的Action，则IAM和企业管理中设置的都生效。以下示例表示用户可以创建弹性云主机以及删除弹性云主机。 IAM项目策略中包含以下action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 企业项目策略中包含以下action： { "Action": [ "ecs:cloudServers:delete" ], "Effect": "Allow" }

本节主要介绍项目管理类问题 IAM与企业项目管理的区别 统一身份认证（Identity and Access Management，简称IAM）服务是提供用户身份认证、权限分配、访问控制等功能的身份管理服务。 企业项目管理是提供给企业客户的与多层级组织和项目结构相匹配的云资源管理服务。主要包括企业项目资源管理和权限管理。 与IAM相同的是，企业项目管理可以进行人员管理及权限分配；企业项目管理对资源的授权粒度比IAM的更为精细，建议中大型企业使用企业项目管理服务。 IAM和企业管理的区别 开通方式 IAM是云平台的身份管理服务，注册系统后，无需付费即可使用。 企业管理是云平台的资源管理服务，注册系统后，需提交客服工单申请开通，开通后无需付费免费使用。 资源隔离 IAM通过在每一个区域中创建项目，隔离不同区域中的资源。以项目为单位进行授权，用户可以访问指定项目中的所有资源。 企业项目管理通过创建企业项目，隔离企业不同项目之间的资源，企业项目中可以包含多个区域的资源。企业项目还可以实现对特定云资源的授权，例如：将一台特定的ECS添加至企业项目，对企业项目进行授权后，可以控制用户仅能管理这台特定的ECS。 IAM与企业管理的关系 IAM和企业管理的创建用户以及用户组功能，两边是相互同步关系。 申请开通企业项目管理服务后，使用企业项目管理的用户组授权功能时，该功能依赖IAM的策略授权。如果企业项目管理中系统预置的策略不能满足您的使用要求，需要在IAM中创建自定义策略，自定义策略会同步到企业管理中，可以在IAM或者企业项目管理中给用户组授权自定义策略。 如果在IAM和企业管理中同时给用户组授权，用户同时拥有基于IAM项目的策略和基于企业项目的策略，在发起访问请求时，系统根据用户被授权的访问策略中的Action进行鉴权判断。 如果策略中包含相同的Action，以在IAM中设置的生效，例如：用户请求创建弹性云主机，鉴权结果为IAM中定义的Deny，不能创建弹性云主机。 IAM项目策略中包含以下action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 企业项目策略中包含以下action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 如果策略中包含不同的Action，则IAM和企业管理中设置的都生效。以下示例表示用户可以创建弹性云主机以及删除弹性云主机。 IAM项目策略中包含以下action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 企业项目策略中包含以下action： { "Action": [ "ecs:cloudServers:delete" ], "Effect": "Allow" }

使用对等连接，两端VPC的网段可以相同吗？ 使用对等连接时，两端VPC的网段可以相同。计划通过对等连接互通的VPC网段相同时，需要注意规划两个VPC之间需要互通的子网的网段不同。具体场景请参考 指向VPC子网的对等连接配置。 用对等连接进行VPC内网互通，两侧可以互相访问哪些资源？ 对等连接可以将同资源池的两个VPC内网打通，添加所需的路由后，可以访问对端VPC中的资源，云主机、物理机、网卡、虚拟IP、负载均衡、终端节点、数据库 等通过VPC内网地址提供服务的资源，不支持访问跨VPC的专线、NAT网关、VPN网关。 对等连接能否支持跨租户的VPC内网互通？ 对等连接支持同一租户或两个不同租户在同一地域的VPC之间进行内网互通。建立不同租户VPC互通的对等连接时，需要先了解对端账号的邮箱以及VPCID。跨租户VPC之间创建对等连接请参考 创建对等连接（跨账号）。 对等连接能否支持跨资源池的VPC内网互通？ 不支持，对等连接仅支持同资源池VPC之间的内网互通。如果有跨地域互通的场景，可以考虑使用云间高速产品。天翼云云间高速(标准版)（CTEC, Express Connect standard）产品是基于中国电信骨干网络，为用户提供一种高速、安全、稳定的混合组网能力，助力企业云上云下、跨区域，多网络、灵活组网，帮助用户构建一张具有企业级规模和通信能力的云上网络。请参考 云间高速产品介绍 。

本小节介绍日志审计(原生版)场景下的定位日志采集异常处理实践。 应用场景 有产生日志，但日志审计（原生版）平台未看到该日志，如何定位问题。 前提准备 通过控制台进入日志审计（原生版）实例。 日志采集涉及服务逻辑 日志采集涉及服务：logc、logp、coresvr、esinset。 日志采集涉及流程： Logc（日志采集）接收日志并通过kafka将接收的日志转发logp。 Logp（日志解析分类）接收logc转发的原始日志根据解析规则等进行解析，并通过kafka将解析后的日志发送给esinsert。 Esinsert（录入elasticsearch）将解析后的日志录入elasticsearch。 Coresvr（页面更新程序）将页面下发的规则等变更，通过kafka下发给对应的服务。 查看程序 点击“系统配置 > 系统运维”，在服务管理中，查看服务状态是否有异常。按步骤依次查看logc、logp、coresvr、esinsert等服务是否有异常信息。 查看程序日志 点击“系统配置 > 系统运维”，在服务管理中，点击“导出日志”，可导出服务日志。按流程步骤依次查看logc、logp、coresvr、esinsert等服务日志是否有异常信息。 Logc服务日志报错 Logc服务日志出现报错 ： 20230726 10:10:27 src/LogMgr.cpp:694 "handle log but can not find asset by ip 192.168.121.35" 日志分析：平台页面不存在IP为192.168.121.35的资产。 解决方法：点击菜单“资产 > 资产管理”，在查询栏查询资产IP为192.168.121.35的资产，若未查询到，则新增一条。新增后，再次查看logc服务日志。 注意 新增资产时，采集方式、资产类型、资产IP需根据实际情况填写。

一个负载均衡器是否支持绑定多个弹性IP？ 不支持，一个负载均衡实例仅支持绑定一个弹性IP。可以更换负载均衡器绑定的弹性IP，绑定新的弹性IP前，需要先将原有的弹性IP解绑，具体操作详见 负载均衡绑定/解绑弹性IP。 一个账号在单地域可创建的负载均衡数量是多少？ 一个账号在单地域可创建的免费经典型负载均衡数量是1个；一个账号在单地域可创建性能保障型负载均衡数量20个。一个负载均衡实例可添加的监听器数量是3个。一个负载均衡实例的监听器可绑定的主机数量是100个。如有需要，您可通过提工单提升配额。 是否支持绑定其他云平台的EIP使用？ 不支持。绑定了弹性IP的外网负载均衡可以对Internet提供服务，负载均衡器仅支持和天翼云同资源池的弹性IP绑定，不支持绑定其他云平台的公网IP，具体操作详见 负载均衡绑定/解绑弹性IP。 弹性负载均衡后端主机是否只能选择本天翼云的虚拟主机吗？是否支持其他厂家的主机？ 不支持其他厂商主机作为后端主机。 后端主机是指可接收和处理来自负载均衡器转发的流量的云主机实例。弹性负载均衡将传入的网络流量分发到多个后端主机进行处理，以实现负载均衡和提高应用程序的可用性、可扩展性和性能并屏蔽单点故障。弹性负载均衡支持选择同VPC的云主机作为后端主机，详见 后端主机概述。

本节介绍天翼AI云电脑（政企版）的产品定义，以便您了解云电脑。 天翼AI云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的CLINK数据安全传输协议，具备多重数据安全防护机制，实现安全高效的AI云电脑使用体验。提供一键部署、灵活可配、集中管控能力，广泛应用于办公、教育、医疗等行业使用场景。 天翼AI云电脑亦称天翼量子AI云电脑，天翼云电脑。 天翼AI云电脑（政企版） 为政企客户提供灵活的AI云电脑租赁服务，使用AI云电脑部署全部自动化处理完成，随开随用，资源使用更加灵活，具备多重数据安全防护机制，助力政企客户办公上云，提供更安全，便捷，节约成本的解决方案。 产品架构图 说明 关于天翼AI云电脑（政企版）的产品规格说明，请参考 关于天翼AI云电脑（政企版）的产品功能说明，请参考 关于天翼AI云电脑（政企版）的客户端下载，请前往

（可选）创建虚拟私有云 虚拟私有云为CCE集群提供一个隔离的、用户自主配置和管理的虚拟网络环境。 创建首个集群前，您必须先确保已存在虚拟私有云，否则无法创建集群。 若您已有虚拟私有云，可重复使用，无需重复创建。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“网络 > 虚拟私有云”。 步骤 4 单击“创建虚拟私有云”。 步骤 5 在“创建虚拟私有云”页面，根据界面提示配置虚拟私有云参数。 创建虚拟私有云时会同时创建一个默认子网，您还可以单击“添加子网”创建多个子网。 步骤 6 单击“立即创建”。 （可选）创建密钥对 云平台使用公共密钥密码术来保护您的云容器引擎节点的登录信息，密码或密钥对用于远程登录节点时的身份认证。 如果选择密钥登录方式，您需要在创建云容器引擎的集群节点时指定密钥对的名称，然后在SSH登录时提供私钥。 如果选择密码登录方式，可以跳过该任务。 说明 如果您计划在多个区域创建实例，则需要在每个区域中创建密钥对。 通过管理控制台创建密钥对 如果您尚未创建密钥对，可以通过管理控制台自行创建。步骤如下： 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“计算 > 弹性云主机”。 步骤 4 在左侧导航树中，选择“密钥对”。 步骤 5 在“密钥对”页面，单击“创建密钥对”。 步骤 6 输入密钥名称，单击“确定”。 步骤 7 密钥名称由两部分组成：KeyPair4位随机数字，使用一个容易记住的名称，如KeyPairxxxxecs。 步骤 8 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 这是您保存私钥文件的唯一机会，请妥善保管。当您创建弹性云主机时，您将需要提供密钥对的名称；每次SSH登录到弹性云主机时，您将需要提供相应的私钥。

本文指导用户在 DDoS 基础防护阈值内为 IP 调整防护策略,可按需选择定制策略或切换至低误清洗风险的默认宽松策略。 注意 本文仅适用于已开放 DDoS 基础防护控制台的资源池，用于指导用户进行控制台相关操作。已开放控制台的资源池列表如下：华北 2、杭州 7、华南 2、华东 1、内蒙 6、呼和浩特 3。 若您的弹性 EIP 所属资源池未开放 DDoS 基础防护控制台，DDoS基础防护仍会为您提供DDoS封堵通知服务，当EIP流量超过免费基础DDoS防护阈值，平台将对该EIP执行DDoS封堵，通知渠道的具体配置可参照用户指南相关章节。 引言 DDoS基础防护产品依托天翼云资源池网络，根据 IP 带宽、资产类型及资源池网络状况为公网 IP 分配免费的基础 DDoS 防护阈值，并在阈值范围内提供流量监测与防护。当 IP 入向流量峰值超出防护阈值时，为保障平台整体网络稳定，系统将对该 IP 触发 DDoS 封堵。 在DDoS防护阈值内，产品启用默认防护策略对 IP 进行 DDoS 攻击防护，避免单 IP 受攻击影响其他租户正常使用，因此默认防护策略不可取消。用户可根据业务带宽为 IP 选择其他档位DDoS 防护策略（如300Mbps业务带宽适合选择300Mbps防护策略，选择最近的防护策略即可），由系统对流量进行攻击识别与清洗；防护策略存在一定误清洗风险，部分异常业务流量可能被误判拦截（如频繁发送syn报文的业务）。 若无需单独选择特定的档位防护策略，可将 IP 恢复至默认防护策略，该策略规则较为宽松，误清洗风险更低。

本文是关于Image 文本生图API的详细描述。 接口描述 描述 接口名称 文本生图 请求路径 功能描述 基于提示创建图像 请求参数 请求头参数 参数 示例值 描述 Authorization Bearer AppKey 鉴权信息填入AppKey。 ContentType application/json 请求参数 说明：此参数为全平台模型通用，每个模型支持的参数、参数范围可能因模型不同而有所差异，详细可见模型的API文档。 参数名称 参数类型 必选 描述 model string 是 模型ID。 prompt string 是 所需图像的文本描述，最大长度1000。 negativeprompt string 否 避免生成负面图像的提示，最大长度1000。 n int 否 要生成的图像数。 一般取值为1，具体取值范围、默认值需见对应模型。 numinferencesteps int 否 去噪步骤的数量。去噪步骤越多，通常可以得到更高质量的图像，但推理速度会变慢。 一般取值范围 [1, 50]，具体取值范围、默认值需见对应模型。 quality int 否 生成图像质量。openai参数，平台未启用。 size string 否 输出的图像尺寸（高x宽）。 一般取值范围：360x640,480x640,512x512,640x360,640x480,720x1280,1024x1024, 1280x720，默认值为512x512，具体取值范围、默认值需见对应模型。 responseformat string 否 返回图像的格式。 一般取值范围url, b64json，默认值为b64json，具体取值范围、默认值需见对应模型。 style string 否 生成图像风格。 一般取值范围standard,portrait,landscape,cartoon,technology,photography,concept，默认值为standard，具体取值范围、默认值需见对应模型。 user string 否 用户唯一身份ID。

本文为知识库问答的计费模式介绍。 目前，知识库问答处于公测阶段，公测期间 0 元购买不收费。 计费方式 知识库问答在公测期间的免费资源包括两大部分，第一部分是知识库问答的免费资源点，第二部分是大语言模型的免费资源点。 其中，第一部分知识库问答采用按量付费的方式，根据用户实际消费的资源进行计费。目前产品处于公测阶段，公测期间系统按月免费发放 10 万资源点，用于抵扣实际项目中的资源消耗。第二部分大语言模型的免费资源点由息壤一体化智算平台提供，每个模型自调用日起14日内，每个账号可免费使用2500W tokens额度。超出后，可前往息壤一体化智算平台进行付费开通。 计费项与计费规则 计费项 单位 计费规则 文档解析 页 按照文档解析的页数进行资源点抵扣，1 页消耗 30 资源点。 智能调用 次 根据实际对话调用的次数进行资源点抵扣，调用 1 次消耗 25 资源点。 知识库容量 GB 产品内置 1GB 免费容量，超额部分按 2 点/GB/小时进行资源点抵扣。 计费示例 场景： 用户 A 开通了知识库问答服务 时间段 用户操作 资源点消耗 费用（元） 67 点 没有进行问答调用且知识库使用量小于 1GB 0 0 78 点 上传了一份 100 页的文档，知识库容量 2GB（假设 7 点已上传完成） 10030+(21)2 3002 0 89 点 进行了 10 次对话调用 (21)2+1025 252 0 910 点 没有进行任何操作 (21)2 2 0 1011 点 删除部分文档，知识库容量小于 1GB（假设 10 点已删除完成） 0 0

12格式：PKCS 12（PublicKey Cryptography Standards 12）是一种常见的证书格式，用于存储和传输X.509证书、相关私钥和其他关联的证书链和密码信息。PKCS 12格式的文件通常具有.pfx或.p12文件扩展名，可以包含公钥证书、私钥以及可选的密码保护。 JKS格式：JKS（Java KeyStore）是Java平台上常用的证书存储格式。它是一种二进制格式，用于存储X.509证书、私钥和可选的密码保护。JKS格式的文件通常具有.jks文件扩展名。 这些是常见的数字证书格式，用于存储和传输X.509证书及其相关信息。每种格式都具有不同的特点和适用性，取决于使用的平台、工具和应用程序。（以上格式后缀证书，天翼云均可以提供） SSL证书中包含哪些信息？ SSL证书中包含以下重要信息（以EV证书为例）： 证书颁发机构（CA）信息：证书中包含颁发该证书的CA的信息，包括CA的名称、数字签名和公钥等。这些信息用于验证证书的合法性和真实性。 证书序列号：每个证书都有一个唯一的序列号，用于标识和跟踪证书的唯一性。 证书使用者信息：证书中包含了证书所有者的信息，通常是域名所有者的信息。这些信息可能包括组织名称、组织单位、国家/地区、州/省、城市、电子邮件地址等。 证书有效期：证书中包含了证书的有效期限，即证书的开始日期和结束日期。证书在有效期内才被认为是有效的。 支持的加密算法和密钥长度：证书中包含加密算法和密钥长度等信息。

我需要自定义应用画面分辨率 平台抓流方式 应用运行后, 平台会以应用窗口的分辨率抓取视频流并传输至前端, 若运行过程中应用分辨率被中途修改, 视频流分辨率也会随之发生改变. 自定义分辨率 由于推流分辨率依赖于应用分辨率, 因此, 只需更改应用分辨率即可 在UE4中, 对于C++用户:UKismetSystemLibrary::ExecuteConsoleCommand(this, "r.setRes 1920x1080w", 0)； 但自定义分辨率会受限于机器分辨率, 例如对于2k机器, 其所允许的最大分辨率为1920x1080, 若超过此值, 则分辨率命令将会失效。 你可以利用此功能让应用变成竖屏应用, 也可以适当增加应用分辨率以提升画面清晰度, 也可以适当降低分辨率以节省带宽和降低网络需求。 动态分辨率 有些时候, 在设置固定应用分辨率并不能满足业务场景时, 例如, 客户希望应用动态适配前端设备的屏幕百分比而不必进行画面裁剪(UMG系统内置了一套纵横比自适应系统).我们可以基于此前建立的网页端与应用端的网络通信实现动态分辨率。 1. 在网页端, 你可以发送一则消息:ConsoleCommand:r.setRes 1920x1080w，随后在UE中解析此json并进行拼接即可 2. 对于C++而言, 可以监听RayvisionSocket组件的OnMessage方法, 随后进行解析: void { if(Message.StartsWith("ConsoleCommand")) { const FString ResCommand Message.RightChop(Message.Find(":")+1); } } 3. 当需要修改分辨率时, 只需要调用前端对应的emit接口即可。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的Cookie防护功能。 功能介绍 采用Cookie加密、Cookie签名等方式对Cookie字段的字进行加密或签名，防止敏感信息泄露以及防护一些使用Cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于Cookie修改的爬虫。 注意 通过浏览器本地设置的Cookie，不适用该防护方式。边缘安全加速平台安全与加速服务防护的Cookie经过代理服务器设置修改，无法对浏览器通过js设置修改的Cookie操作。 背景信息 一些利用Cookie的攻击行为 Cookie盗用攻击 黑客等待合法用户登录系统之后，从合法用户浏览器中拿到名字为JSESSIONID的Cookie，将其放入黑客自己的浏览器的Cookie中，当黑客带着盗窃来的JSESSIONID访问系统时，后端系统会根据JSESSIONID找到对应的session，将该次请求当成是认证通过的用户发送的请求，如此黑客便可以客户的身份完成一系列敏感操作。 Cookie篡改攻击 当Cookie内容明文存储时，Cookie信息存在泄露风险。例如：Cookie内明文存储用户权限，当黑客篡改权限值，且服务端未重新校验Cookie当中的用户权限是否合法时，黑客将获得一系列提权操作。 Cookie信息泄露 Cookies内容存储含有用户密码，手机号，地址等信息时，Cookie一旦泄露，黑客将获取到客户敏感身份信息。 Cookie防护工作原理 Cookie加密 Cookie加密：针对Cookie信息当中存在明文数据或可修改内容进行加密，通过反向代理服务器将Cookie值进行替换，客户端获取到的将为加密数据信息，无法进行修改。客户请求经过代理服务器时，对应Cookie值会进行解密，明文传输给源站，保证源站无切换感知。 注意：Cookie内容通过浏览器解析后需要展示在客户端时，请勿使用Cookie加密和HTTP Only选项，会导致浏览器无法识别原始Cookie内容、js服务读取Cookie值。

配置说明 缓存参数 1. 登录边缘安全加速平台。 2. 进入【安全与加速工作台】【CDN加速配置】，点击目标域名。 3. 选择“静态配置缓存参数”单击“编辑配置”。 4. 单击添加，根据您的需求，配置需要的缓存参数。 配置参数说明： 参数名 配置值 说明 类型 后缀名/目录/首页/全部文件/全路径文件 需要配置的文件类型。 内容 指定类型的具体内容 类型选择后缀名、目录、全路径文件时，需配置具体内容；例如类型为后缀名时，需在内容处指明具体的文件后缀；如类型为目录时，需在内容处指明具体的目录内容。 忽略参数 不忽略/全部忽略/保留指定参数/忽略指定参数 缓存参数配置类型。如选择不忽略，则为带参数缓存；如选择全部忽略，则为去参数缓存；如为保留指定参数，则仅携带指定参数缓存；如为忽略指定参数，则为去指定参数后缓存。 优先级 数字 缓存配置的优先级；存在多条缓存参数设置时，相同文件类型及内容，执行优先级高的缓存规则。 配置页面： 点击“添加规则”则弹出添加缓存参数： 缓存URI 1. 登录边缘安全加速平台。 2. 进入【安全与加速工作台】【CDN加速配置】，点击目标域名。 3. 选择“静态配置缓存URI”单击“编辑配置”。 4. 单击添加，根据您的需求，配置需要的缓存参数。 配置参数说明： 参数名 配置值 说明 待改写path 需改写的URI 以/开头的URI，不含 目标path 改写后URI 以/开头的URI，不含 配置页面：

本文介绍什么是关系数据库SQL Server版。 天翼云关系数据库SQL Server版（简称SQL Server）是一款基于云计算平台的在线关系型数据库产品，拥有微软正版授权许可，稳定可靠地提供云上SQL Server服务。具备即开即用、安全可靠、高可用性、弹性扩展等特性，提供实例管理、备份恢复、监控告警、日志管理、访问控制等功能，提供全套解决方案，全方位保障用户使用，适用于企业IT、政府、金融和医疗等行业。 实例类型 SQL Server支持单机版、主备版，详细实例类型说明请参见产品介绍 ​> 实例说明 ​> 实例类型。 实例规格 SQL Server提供多种实例规格，详细实例规格说明请参见产品介绍 ​> 实例说明 ​> 实例规格。 存储类型 SQL Server存储类型支持高IO、超高IO、极速型SSD存储类型，详细存储类型说明请参见产品介绍 ​> 实例说明 ​> 存储类型。 为什么选择关系型数据库SQL Server？ 安全稳定可靠 高可用性：支持主备容灾架构、自动故障切换、跨可用区容灾。 备份恢复：提供自动备份、支持异地备份、按时间点恢复等。 高安全性：支持透明数据加密（TDE）、行级安全（RLS），满足GDPR、等保2.0三级等法规要求。

本章按照数据库实例规格大小介绍收费模式。 按照版本不同分为MySQL、PostgreSQL、SQL Server。基于云计算平台，稳定可靠、可弹性伸缩、即开即用的在线数据库服务，实现数据库数据备份、智能监控、便捷迁移。资费包括主备实例、主实例、只读实例、存储和备份租用费。 收费标准（根据天翼云价格调整策略，2021年6月1日零点采用新的资费标准） 包年预付费优惠政策：一年85折，2年7折，3年享受5折优惠。 Web版单机实例 CPU(核) 内存（GB） 标准资费（元/小时） 标准资费（元/月） :::: 2 4 0.49 240 2 8 0.67 324 4 8 0.99 480 4 16 1.33 648 8 16 1.97 960 8 32 2.66 1296 16 64 5.33 2592 标准版主备实例 CPU(核) 内存（GB） 标准资费（元/小时） 标准资费（元/月） :::: 2 4 2.2 1105 2 8 6.69 3120.5 2 16 7.09 3307.73 4 8 4.19 2090 4 16 13.38 6241 4 32 13.83 6534 8 16 8.71 4180 8 32 26.78 12482 8 64 27.77 13068 16 32 15.84 7600 16 64 53.95 24963 16 128 55.53 26137 24 192 83.3 39205.5 32 256 83.14 39903.8 60 512 148.47 71250

本文主要介绍流量镜像应用场景。 网络流量检查： 当您需要进行网络入侵检测时，通过流量镜像功能可以镜像您所需的网络流量。获取到流量后，您可以使用安全软件对流量进行全面分析检查，快速查找安全漏洞，确保网络安全。 网络流量审计： 通过流量镜像功能，您可以将流量镜像到指定的平台进行审计分析，适用于金融等对安全性要求比较高的业务场景。 网络问题定位： 通过流量镜像功能，运维工程师直接查看镜像的流量来排查问题，而不用通过业务服务器抓取报文，避免了运维期间可能对业务造成的影响。

在开通和使用天翼云多活容灾服务平台之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接开通多活容灾服务平台。 1. 打开天翼云门户网站，点击"免费注册"。 2. 在注册页面，选择短信注册或账号注册，并填写相应的信息。点击获取验证码，如1分钟内手机未收到验证码，请再次点击“获取验证码”按钮。 3. 阅读并勾选协议，点击“注册” 按钮。 4. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 5. 如需实名认证，请参考会员服务实名认证。

本文介绍如何在组网配置中查看网络指标。 背景说明 AOne零信任通过分支网关将企业的分支、总部、IDC 机房或者云服务就近接入AOne网络（POP 节点），进而在云上实现企业分支网络的互联互通，则可通过网络指标来分析分支机构互联状态。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任网络组网管理，查看组网配置列表。 4. 点击需要修改的组网配置，点击网络指标。 网络指标 目前支持查看互联的时延、丢包、抖动情况。 时延 时延是指数据包从发送到接收的往返时间(RoundTrip Time,RTT)。 计算方式： 记录每个数据包的发送时间和接收时间。 计算每个数据包的RTT:RTT接收时间发送时间。 丢包 丢包率是指在发送的数据包中，未能成功接收到的数据包所占的比例。 计算方法: 记录发送的数据包总数 N。 记录成功接收到的数据包数 M。 计算丢包率:丢包率(NM)/N 100%。 抖动 抖动是指数据包传输时延的变化，通常用于衡量网络的稳定性。 计算方法: 记录每个数据包的RTT。 计算相邻数据包的RTT差值:抖动RTTi RTT(i1)。