业务场景 选型原则 推荐实例类型 Web服务器、开发测试环境以及小型数据库应用等场景。 计算、存储、内存等资源需求平衡，无特定配置要求。 通用型，推荐最小规格为2核4G通用型云主机 计算性能高且稳定的企业级应用，如大规模数据处理、在线游戏等。 对CPU 或内存等计算资源要求较高，具有性能稳定且资源独享的特点。 计算型，推荐最小规格为2核4G计算型云主机 大型数据库、高性能计算、NoSQL等场景。 内存要求较高、需要大量数据计算。 内存型，推荐最小规格为2核16G内存型云主机 在深度学习、高性能数据库、计算流体动力学、计算金融、地震分析、分子建模、基因组学等领域场景，适用于科学计算等。 采用GPU直通技术，能够提供超高的通用计算能力。选型详见： 。 GPU计算加速型，推荐最小规格为16核64G GPU计算加速型云主机 高清视频、图形渲染、远程桌面等场景。 提供图形处理器(GPU)及较高的计算性能配置，镜像默认安装GRID驱动可以适用于图形渲染要求较高的应用。选型详见： 。 GPU图形加速基础型，搭配GRID驱动，推荐最小规格为8核24G GPU图形加速基础型云主机

本文介绍弹性云主机实例创建类相关问题。 支付成功后为什么不能马上看到创建中的弹性云主机？ 支付成功后可能需要少许时间生成订单，待订单完成后即可看到创建中的弹性云主机。若您等待一段时间后仍未在云主机列表中看到云主机，可先在“天翼云官网我的费用中心订单管理我的订单”中查看是否已生成订单。 注意 如果创建后长时间看不到云主机，您可以提交工单或致电客服电话4008109889寻求技术支持。客服人员会帮助您解决问题，确保您的弹性云主机能够顺利开通并投入使用。 如何处理支付订单后云主机开通失败？ 如果您支付订单后云主机开通失败，系统会自动进行撤单，该云主机的订单状态会变为将“撤单中”，撤单完成后订单状态变为“撤单完成”，撤单完成订单费用退还至您的账户。您可在“天翼云官网我的费用中心订单管理我的订单”中查看订单详情及进度。 重启/关机弹性云主机时，长时间处于“正在重启”/“正在关机”状态，怎么办？ 如果对云主机实例执行重启/关机操作后，云主机长时间处于“正在重启”/“正在关机”状态，其可能出现的情况包括： 云主机操作系统内存在无法自动关闭的进程，导致了操作过程无法继续进行。 出现系统层面错误，导致后台操作未能正常执行。 对于这些问题，我们建议您采取以下步骤： 1. 尝试手动重启或关机：您可以尝试通过远程连接到云主机，并手动执行重启或关机命令。这可能会帮助您解决问题，或者至少提供更多关于问题的信息。 2. 查看日志：您可以查看云主机的系统日志，以了解是否有任何与重启或关机操作相关的错误信息。这些信息可以帮助您确定问题的原因。 3. 提交工单：如果以上步骤无法解决问题，您可以提交工单或致电客服电话4008109889寻求技术支持。他们将能够进行更深入的调查，并提供适当的解决方案。

创建ECS（MySQL服务器） 购买弹性云主机，用于安装MySQL社区版。 1、登录天翼云控制台。 2、单击管理控制台区域按钮，选择区域“上海4”。 3、单击左侧的服务列表图标，选择“计算 > 弹性云主机 ECS”。 4、单击“购买弹性云主机”。 5、配置弹性云主机参数 安装社区版MySQL 1、打开Xshell客户端 2、填写主机IP和账号密码等信息并登录 3、下载好社区版mysql.zip压缩包传至主机，并编辑好安装脚本 4、在弹性云主机运行数据库安装脚本，执行bash /root/im.sh后，数据库安装成功 5、通过Navicat登录主机搭建好的数据库并新建测试表格数据 6、至此，测试自建库完成搭建。 创建目的端RDS 创建RDS实例 1、登录天翼云控制台。 2、单机管理控制台区域按钮，选择区域“上海4”。 3、单机左侧的服务列表图标，选择“数据库 > 云数据库 RDS”。 4、单击“购买数据库实例”。 5、配置实例名称和实例基本信息。 采用DRS工具进行迁移

云企业路由器 在云间高速（标准版）产品中，是区域（资源池）范围内的核心网络设备，承担当前区域内流量和跨域间流量的转发，同时支持自定义路由表和自定义路由策略。 网络实例 在云间高速（标准版）产品中，可以无缝接入云间高速的网络实例，包含用户购买的天翼云产品：虚拟私有云（VPC）、云专线、天翼云SDWAN、VPN连接（CTYUN4.0资源池）和云桌面网络。 跨域互联带宽包 购买云间高速（标准版）产品，同时需要购买各个跨域网络实例的互通网络带宽，所有的跨域互通网络实例使用的带宽总和即为带宽包。 跨域连接 云间高速（标准版）实例中，任意两个云企业路由器实例间建立的连接称为跨域连接。跨域连接的带宽需从互联带宽包中分配，且带宽为双向。所有跨域连接带宽的总和不得超出其所属带宽包的容量。请根据实际的业务网络需求，提前合理规划跨域连接的带宽。 路由表 云间高速（标准版）产品实例中，云企业路由器通过配置在其上的路由表进行流量转发，每个云企业路由器包含一张默认路由表，支持创建多自定义路由表和自定义路由，并支持通过路由表关联转发和路由学习功能定义互通、隔离，满足网络多样化的需求。 说明 支持自定义路由表能力的资源池：CTYUN4.0资源池。

本文介绍全站加速是否支持源站的CacheControl设置及如何配置。 问题说明 全站加速域名，没有配置任何缓存规则，则默认所有文件不缓存，不响应源站CacheControl。 若需要支持源站的CacheControl ，需在控制台上，修改缓存规则，将需要响应源站CacheControl的文件类型调整为【优先遵循源站】即可。 操作步骤 1. 登录客户控制台。 2. 在【域名列表】页面，选择目标域名，单击【编辑】。 3. 单击【缓存配置】。 4. 单击【增加规则】。 5. 选择【类型】，如后缀名、目录、首页、全部文件、全路径文件，并配置相应的内容。 6. 将需要响应源站CacheControl的缓存规则调整为【优先遵循源站】 ，点击【确定】即可。

参数 说明 状态码 例如：302。 待改写的Path 以/开头的path，不含 目标Path 以协议://域名开头的path，其中协议可为http/https（scheme），支持PCRE正则表达式，比如常用$1,$2来捕获待改写Path中圆括号内的字符串，目标Path值可设置为例如：$scheme://www.ctyun.cn/videos/$1。

此小节介绍云堡垒机产品类常见问题。 天翼云堡垒机支持纳管所有region上服务器吗？ 取决于云堡垒机到服务器的网络是否可达。 不同region的服务器，如果网络可达，云堡垒机可直接纳管。如果网络不可达，则需要分别开通天翼云堡垒机。 使用云堡垒机时需要配置哪些端口？ 推荐开放18443，18000，8765端口的入方向规则，其他端口根据运维场景需要按需进行配置。云堡垒机使用端口用途详见下表： 端口 用途 说明 18443 门户端口，及H5运维端口 访问堡垒机门户页面时需开放该端口的入方向规则（并可支持H5方式运维资产） 18000 字符资产访问端口 需通过堡垒机维护字符类协议资产时，需开放该端口的入方向规则 19000 图形资产访问端口 需通过堡垒机使用mstsc客户端维护图形类协议资产时，需开放该端口的入方向规则 20000 图形资产访问端口 需通过堡垒机使用vncview客户端维护图形类协议资产时，需开放该端口的入方向规则 6003 数据库资产访问端口 需通过堡垒机维护数据库协议资产时，需开放该端口的入方向规则 8765 本地初始化获取配置端口 需通过客户端工具运维时，需开放该端口的入方向规则

本文介绍零信任办公组网。 什么是办公组网 办公组网为边缘安全加速平台网络服务中的一个产品能力，依托中国电信优质的节点资源，是旨在为企业提供安全、高效、智能的网络连接，满足企业分支互访、多云互联等多种场景。 办公组网可以解决什么问题 全球组网 深度融合“零信任安全架构”与CDN全球化网络能力，为企业提供安全高效的组网及加速一体化解决方案，助力企业无缝连接全球业务节点，优化跨境访问体验，保障数据传输的安全性与合规性。 其中，天翼云AOne零信任服务以“安全无界、加速无阻”为核心，为企业全球化发展构建智能、可靠的新型网络基础设施，实现跨境业务安全与效率的双重突破。 云间互联互通 AOne零信任服务支持混合云组网，轻松构建企业分支、私有云、公有云不同地域VPC 、用户IDC 等多云互联。同时天翼云拥有全球2800+个节点，TB级网络，保证大带宽和低时延通信。只需要在私有云或者公有云之间部署连接器，全程数据加密，多路负载均衡，提供云间安全、高速、稳定的专用网络。 办公组网功能优势

本文主要介绍虚拟私有云服务协议。 自2021年11月11日起，新版虚拟私有云产品服务协议生效。详情请参见这里。 天翼云虚拟私有云服务协议 历史版本（20121111）

rpm ivh dto包名.rpm 安装完成后，确认当前DTO版本信息与安装包名的版本是否一致： rpm qa grep dto 编辑system.conf文件（安装包安装的默认位置为：/usr/drbksoft/dto/conf/）来指定与控制机通信的DTO主机IP地址，具体添加内容如下： rpcip 0.0.0.0 说明：如果要求必须指定具体IP地址，则需要填写DTO主机网卡的实际IP地址；如果DTO主机有多个IP地址时，则需要配置控制机（Webconsole主机）能够访问的DTO主机IP地址。 2. 进入到DTO的安装路径下，本例为默认安装路径： cd /usr/drbksoft/dto/ DTO安装后需要使用命令如下设置密码（exampleuser用户的密码），在控制台上注册DTO主机认证时使用： /usr/drbksoft/dto/jdk/bin/java jar /usr/drbksoft/dto/lib/dto.jar resetPasswd 同时需要生成对应的认证码用于在控制台上注册。 /usr/drbksoft/dto/jdk/bin/java jar /usr/drbksoft/dto/lib/dto.jar ccproxyConfig 填写代理主机地址（nodeproxymdr），提示success说明连接成功。 3. 重启drdto： systemctl restart drdto b）DTO启动与停止 DTO有两种启停方式：服务方式和脚本方式，选择其中一种方式进行启/停操作即可，推荐使用脚本方式。不同方式的适用场景如下： 1. 服务方式：备份服务器和DTO在同一台机器上，如本地/NAS存储与对象存储间数据同步场景。 2. 脚本方式：备份服务器和DTO在不同机器上，如对象存储与对象存储间数据同步场景。 服务方式：DTO和备份服务器在一起时，配置内存建议是16~24G。服务方式使用系统命令进行DTO的启动和停止，相关命令如下： 1. 进入到dto的安装路径下，本例为默认安装路径：

参数 参数类型 说明 示例 下级对象 workOrderNo String 工单号 20240719152808491958 resourceId String 资源id e736f6cd1649442893d7b205fe7d95de brand String 品牌方 TRUSTASIA origin String 证书来源 PURCHASE type String 证书种类 OV certificateId String 证书id aHz0Djw7 status String 证书当前状态 REVOKEAUDITING fingerprint String 证书指纹 45324B2FD17DBAA0808FFFE6547D2E83DD5ACD52 issueTime String 证书签发时间 20240719T08:00:00Z expireTime String 证书过期时间 20250719T08:00:00Z serviceBeginTime String 服务开始时间 20240719T00:00:00Z serviceEndTime String 服务结束时间 20250719T00:00:00Z domainType String 域名类型 WILDCARD domainName String 域名 .test.cn singleDomainNum Integer 单域名数量 0 wildcardDomainNum Integer 通配符域名数量 1 orderingDurationUnit Integer 购买时长单位 5 orderingDurationValue Integer 购买时长 1 encryptionStandard String 加密标准类型 INTERNATIONAL encryptionAlgorithm String 加密算法 RSA csrId String CSR id 51951c6edfe64caf9f7c6f95d59fb840 csr String CSR证书签名请求 BEGIN CERTIFICATE REQUEST MIIC1TCCAb0CAQAwaDELMAkGA1UEBhMCQ04xEjAQBgNVBAgMCeWkqea0peW4gjES MBAGA1UEBwwJ5aSp5rSl5biCMRAwDgYDVQQDDAd0ZXN0LmNuMQ0wCwYDVQQKDARh YWFhMRAwDgYDVQQLDAdzZGFkcXdkMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB CgKCAQEAs7inXHHqxxamBtnYMVM+7XBsbdFgddeEE/cU85N/+D/1RfSGp6cy/KV1 UnT7+irDbaWDDUiY+tLrB/ndaKFkpTomqEkItAcXmSVcMcJ7TppClo6WukaWv/qz cg+tLFOWbQmwrgziNg4M1Z2fyCGOCyy/Tzq5++rREwqXwMTP+uUOZDTxiODEmt7v BtNs/S50GD8ymGs8JiGkL2F2+Og1B59aJt6h3i9OBPRmpcKJslDRSxyVS5GBvoju 6NdGyJMKeSIUicuvKWe8j4AbQls8secptMplXKaBtWgU0VU97aw61UfOe8EBQA/s KwHu20oXLznLa0+BVPHcoMTOm+qnjQIDAQABoCgwJgYJKoZIhvcNAQkOMRkwFzAV BgNVHREBAf8ECzAJggdhYmMuY29tMA0GCSqGSIb3DQEBCwUAA4IBAQCaFI8SRhpl NAjTWnz9QjOBJJUV1EfVedIWC8C4TiguZDQa3uYjUkFYdX3lEzNYBhAUeYyJGqNZ 2qM8v8HJ1cm+FTGaWrqcaJIWsdRSLRTVVkt0svqe0HzWtBQYlkUa+GrY9qZ+XmNo E6nbeLtUrz/6y4yFKHiZsztqIXH4VdI6KQ4WiXPE16ZMPdziN6AXNmcu+8o6PpF9 P7yenMUq05lIFQ174M8wzWX1r7GiD/ren3tJLJ3W4FK/CtdAC/TR95IFkZr4eMf2 5LZeAPmsagmeSUus2WynqPr+XRgZCOOgkb1meV5XwUIwqgXifvSZoiFCLqcv8IOb P5FiphJf13tU END CERTIFICATE REQUEST companyId String 公司id aaf7148728a613aef96a5b9944291657 contactId String 联系人id 34a97e72db3cad6b6dd1841233314698 contactName String 联系人名称 李四 firstName String 第一位名称 李 lastName String 第二位名称 四 email String 邮箱地址 sss@qq.com telephone String 联系电话 1315555

本节为您介绍权限管理的概念。 在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用 统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。关于IAM的详细介绍，请参见IAM产品介绍。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。云助手相关的系统策略包含如下： Admin：云助手的管理者权限，包含云助手所有控制权限（不含订单类权限）。 Viewer:云助手的观察者权限，包含云助手的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的爬虫陷阱功能。 功能介绍 即在页面里面嵌入不可见链接，正常浏览器不可见；当访问到达设定的拦截深度时，认为是爬虫行为并支持设置防护策略。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持Bot防护相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Bot防护】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力客户端风险识别【爬虫陷阱】详细设置页。 配置说明 支持配置多个防护条件，最多支持配置5条，多个条件为或关系。 注意 爬虫陷阱是通过判断响应的contenttype是否为text/html，如果是text/html，则会嵌入爬虫陷阱 基本信息 防护开关：支持拦截、告警、关闭。 统计粒度：IP/IP+UA/静态Cookie。 拦截深度：即陷阱深度，当访问到达设定的拦截深度时，认为是爬虫行为。深度越深越难触发规则，拦截深度支持配置1至5，相当于一级至五级页面链接。 处理时长：即触发规则后的惩罚时间。

本文介绍Web客户端如何接入验证码。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持验证码功能。 需先完成验证码配置。暂时未开放控制台，请通过提交工单给天翼云客服，由其人工操作开启。 代码示例 以下代码示例，单击打开验证码，激活验证码，并弹窗展示验证结果。点击携带 ticket 发请求，能够验证拦截情况 html 滑块验证接入demo .container { maxwidth: 400px; margin: 0 auto; padding: 20px; backgroundcolor: fff; borderradius: 5px; boxshadow: 0 0 10px rgba(0, 0, 0, 0.1); margintop: 100px; } h1 { textalign: center; } input[type"text"], input[type"password"] { width: 95%; padding: 10px; marginbottom: 10px; border: 1px solid ccc; borderradius: 5px; } .btclick { width: 100%; padding: 10px; marginbottom: 10px; border: none; borderradius: 5px; cursor: pointer; } .btclickcaptcha { position: relative; background:

本文介绍视频直播加速服务中推流地址的生成规则。 前提条件 已开通视频直播服务。 已添加推流域名，详细信息请参见添加加速域名。 已配置CNAME。 推流地址生成规则 生成规则 天翼云视频直播支持RTMP(S)格式的直播推流，对应推流地址的生成规则如下所示： RTMP(S)格式：rtmp(s)://推流域名/AppName/StreamName 字段 说明 推流域名 在直播控制台添加的推流域名。 AppName 发布点，即直播的应用名，是指直播流媒体文件的存放路径。默认为“live”，可根据实际需要自定义。AppName支持大小写字母、数字、下划线和中划线。 StreamName 流名，通常与域名和发布点一起唯一标识一路流。StreamName支持大小写字母、数字、下划线和中划线。 示例 假设推流域名为"push.ctyun.cn"、AppName为"live"、StreamName为"ctyun1"，则推流地址为：rtmp(s)://push.ctyun.cn/live/ctyun1 说明 如果需要在推流URL中携带相应的鉴权参数，请参见URL鉴权。 您可以在地址生成器中生成URL示例，详细信息请参见地址生成器。

系统采用智能流量与威胁数据抽样统计技术,即使在处理海量日志时,也能兼顾查询准确性与响应效率。 功能介绍 实时分析您的域名请求量级智能判定您的域名是否符合抽样条件，当抽样系统判定您的域名符合抽样条件时，会进行流量与威胁日志数据抽样，触发规则如下： 访问日志过去1小时请求量级达 1000 万次以上，按10%抽样； 攻击日志过去1小时请求量级达 100 万次以上，按10%抽样； 全量日志过去1小时请求量级达 100 万次以上，按10%抽样； 达到访问日志/攻击日志/全量日志任意一种抽样条件条件后，则触发对应日志的抽样，若您的域名请求量级持续下降，安全与加速将自动为您取消抽样机制。 说明 AOne安全与加速会根据平台日志数据的规模和用户的使用需求，持续调整优化抽样策略。如果您对安全与加速提供的流量与威胁分析查询结果有任何疑问，请通过提交工单给天翼云客服进行处理。 应用抽样数据统计模块 AOne安全与加速运用智能流量与威胁日志数据抽样技术来适应不同用户的日志数据量级，确保数据分析的准确性和效率。在以下数据查询场景中，AOne安全与加速控制台相关页面所展示的数据可能会经过抽样处理： 在安全攻击日志、日志分析您看到的数据可能是抽样结果，在这种情况下，可能会存在无法检索到部分请求ID 对应日志的情况； 在总览、安全防护分析、态势大屏、报告订阅、告警管理、API安全的业务监测，您看到的数据也可能是抽样结果。这是因为当用户在使用总览、报表等数据时，引用预计算结果，帮助用户快速得到精确的统计结果。但是当用户需要按照某些特定维度分析明细数据时，多维下钻分析需实时扫描海量明细数据，通过抽样机制来降低计算负载，为用户实现高效查询响应； 在API资产列表您看到的来自API自发现的API资产数据和活跃度标签可能是抽样结果，可能会存在无法查看到对应API资产的情况； 在异常行为智能识别进行智能算法和大数据行为分析，分析客户业务流量的特征也可能是抽样结果； 通过调用OpenAPI统计访问日志、攻击日志、全量日志也可能是抽样结果。

步骤2：进行快照备份 自动快照备份 注意 由于快照备份的数据都是存在云硬盘存储库中的，所以进行快照备份需要先开通云硬盘备份的存储库。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，然后单击备份策略页签。 5. 单击快照备份策略右侧的编辑图标。 在备份策略中设置保留天数（1180天）、备份周期、备份开始时间和存储库等。 选择已创建的存储库，打开备份配置开关。 注意 备份配置开关是开启自动快照备份的开关，如果关闭，依然可以进行手动的快照备份。 6. 单击确定。 手动快照备份 注意 由于快照备份的数据都是存在云硬盘存储库中的，所以进行快照备份需要先开通云硬盘备份的存储库。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，进入基础备份列表页面。 5. 单击左上角的创建备份。 6. 配置如下备份参数，然后单击确定。 备份类型 ：选择快照备份。 备份名称：设置备份文件名称。 描述：设置备份操作描述信息。

本节介绍了云硬盘的退订规则。 退订规则详情请参考天翼云帮助中心费用中心退订规则说明（<

在【通知管理】中查看通知管理列表，可以查看已添加的域名对应通知邮箱、手机号码，和对应操作修改或删除。 通知方式可以通过新增按钮增加，点击【新增】，弹窗出现如下所示，可以将涉及的域名、邮箱、和手机号输入，这里邮箱和手机号支持多个输入。

本章节主要介绍翼MapReduce服务Spark健康检查指标项说明 。 服务健康状态 指标项名称： 服务状态 指标项含义 ：检查Spark服务状态是否正常。如果状态不正常，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警ALM28001进行处理。 检查告警 指标项名称： 告警信息 指标项含义 ：检查服务是否存在未清除的告警。如果存在，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理。

本章节主要介绍翼MapReduce服务DBService健康检查指标项说明。 服务健康检查 指标项名称： 服务状态 指标项含义 ：检查DBService服务状态是否正常。如果状态不正常，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警ALM27001进行处理。 检查告警 指标项名称： 告警信息 指标项含义 ：检查主机是否存在未清除的告警。如果存在，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理。

本章主要介绍翼MapReduce的密码维护建议。 用户身份验证是应用系统的门户。用户的帐户和密码的复杂性、有效期等需根据客户的安全要求进行配置。 对密码的维护建议如下： 1. 专人保管操作系统密码。 2. 密码需要满足一定的强度要求，例如密码最少字符数、混合大小写等。 3. 密码传递时注意加密，尽量避免通过邮件传递密码。 4. 密码需要加密存储。 5. 系统移交时提醒企业用户更改密码。 6. 定期修改密码。

本章节主要介绍翼MapReduce的解锁用户操作。 操作场景 在用户输入错误密码次数大于允许输入错误次数，造成用户被锁定的场景下，管理员可以通过FusionInsight Manager为锁定的用户解锁。仅支持解锁使用FusionInsight Manager创建的用户。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在要解锁用户所在行，单击“解锁”。 4. 在弹出的窗口勾选“我已阅读此信息并了解其影响。”，单击“确定”完成解锁操作。

本文介绍云备份的产品定义及架构。 云备份CTCBR（Cloud Backup&Recovery）是一个简单易用、经济高效、安全可靠的一键式备份产品。通过集中管理界面，为用户的云主机、本地主机相关的数据库、硬盘、虚拟机、文件数据等资源提供统一数据保护。 面向需要数据备份的企业，云备份提供简单易用的备份能力。当软件错误、病毒入侵、人为删除等事件发生时，可将数据恢复到任意备份点，减轻经济损失。 支持备份的数据类型 数据类型 数据源 对应的备份存储库类型 文件目录 本地数据中心、天翼云ECS、天翼云物理机 文件备份存储库 数据库 本地数据中心、天翼云ECS、天翼云物理机 混合备份存储库 磁盘 本地数据中心 混合备份存储库 VMware 本地数据中心 混合备份存储库 产品架构 云备份主要由存储库、备份计划和备份副本等组成。 存储库 存储库用于存储您备份在云上的数据。创建备份前，需要先创建至少一个存储库，产生的备份副本将存放至对应的存储库中，云备份目前提供2种备份存储库类型，请根据具体需要选择购买相应的备份存储库。 文件备份存储库：适用于ECS文件备份、物理机文件备份、本地文件备份功能，进行文件/目录的备份。 混合备份存储库：适用于混合备份（存储版）功能，进行数据库、磁盘、VMware的备份。

本章介绍如何更新证书。 添加防护网站时，如果“对外协议”选择“HTTPS”协议，您需要上传证书使证书绑定到防护网站。 如果您的证书即将到期，为了不影响网站的使用，建议您在到期前重新使用新的证书，并在WAF中同步更新网站绑定的证书。 如果您需要更新网站绑定证书的信息，可以在WAF中为网站绑定新的证书。 前提条件 已添加防护网站。 防护网站的“对外协议”使用了HTTPS协议。 约束条件 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，则只能在WAF中按照单域名的方式逐条添加域名进行防护。 WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请将证书转换为PEM格式，再上传。 系统影响 证书过期后，对源站的影响是覆灭性的，比主机崩溃和网站无法访问的影响还要大，且会造成WAF的防护规则不生效，故建议您在证书到期前及时更新证书。 更新证书不会影响业务，更换过程中会使用旧证书，更新成功后，自动切为新证书，新证书立刻生效。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 步骤6 在证书所在行的证书名称后，单击编辑按钮，在弹出的“更新证书”对话框中，上传新证书或者选择已有证书。 “更新方式”选择“上传证书”时，在对话框中输入“证书名称”，并将证书内容和私钥内容粘贴到对应的文本框中。 说明 Web应用防火墙将对私钥进行加密保存，保障证书私钥的安全性。 WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考下表在本地将证书转换为PEM格式，再上传。 格式类型 转换方式 CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 提取私钥命令，以“cert.pfx”转换为“key.pem”为例。 openssl pkcs12 in cert.pfx nocerts out key.pem nodesl 提取证书命令，以“cert.pfx”转换为“cert.pem”为例。 openssl pkcs12 in cert.pfx nokeys out cert.pem P7B 1. 证书转换，以“cert.p7b”转换为“cert.cer”为例。 openssl pkcs7 printcerts in cert.p7b out cert.cer 2. 将“cert.cer”证书文件直接重命名为“cert.pem”。 DER 提取私钥命令，以“privatekey.der”转换为“privatekey.pem”为例。 openssl rsa inform DER outform PEM in privatekey.der out privatekey.peml 提取证书命令，以“cert.cer”转换为“cert.pem”为例。 openssl x509 inform der in cert.cer out cert.pem 说明 执行openssl命令前，请确保本地已安装openssl。如果本地为Windows操作系统，请进入“命令提示符”对话框后，再执行证书转换命令。 “更新方式”选择“选择已有证书”时，在“证书选择”的下拉框中选择已有的证书。 步骤7 单击“确定”，证书更新完成。

权限名称 权限描述 权限依赖 应用场景 cse:engine:list 列出所有引擎 无 查看引擎列表。 cse:engine:get 查看引擎信息 cse:engine:list 查看引擎详情，仅微服务引擎专享版支持。 cse:engine:modify 修改引擎 cse:engine:listl cse:engine:get 修改引擎的操作包括：开启/关闭公网访问操作、开启/关闭安全认证操作、引擎失败任务重试操作，仅微服务引擎专享版支持。 cse:engine:upgrade 升级引擎 cse:engine:listl cse:engine:get 升级引擎的操作包括：引擎版本升级操作，仅微服务引擎专享版支持。 cse:engine:delete 删除引擎 cse:engine:list 删除引擎，仅微服务引擎专享版支持。 cse:engine:create 创建引擎 cse:engine:getl cse:engine:listl ecs:cloudServerFlavors:getl vpc:vpcs:getl vpc:vpcs:listl vpc:subnets:getl vpc:ports:getl vpc:ports:create 创建引擎的操作包括：创建引擎操作，引擎备份/恢复任务创建操作，仅微服务引擎专享版支持。 cse:config:modify 服务配置管理修改 cse:engine:listl cse:engine:getl cse:config:get 全局配置功能与治理功能涉及的配置修改。 cse:config:get 服务配置管理查看 cse:engine:listl cse:engine:get 查看服务的配置。 cse:governance:modify 服务治理中心修改 cse:engine:listl cse:engine:getl cse:config:getl cse:config:modifyl cse:registry:getl cse:registry:modifyl cse:governance:get 创建与修改服务治理。 cse:governance:get 服务治理中心查看 cse:engine:listl cse:engine:getl cse:config:getl cse:registry:get 查看服务治理功能。 cse:registry:modify 服务注册管理修改 cse:engine:listl cse:engine:getl cse:registry:get 服务修改。 cse:dashboard:modify dashboard管理修改 cse:engine:listl cse:engine:getl cse:registry:getl cse:dashboard:getl cse:registry:modify 仪表盘修改。 cse:dashboard:get dashboard管理查看 cse:engine:listl cse:engine:getl cse:registry:get 仪表盘查看。 cse:registry:get 服务注册管理查看 cse:engine:listl cse:engine:get 服务目录查看。

JWT是一种基于令牌的便捷请求认证鉴权解决方案。用户状态信息存储在token中，由客户端提供，服务端无需保存，适合Serverless环境。通过用户绑定在自定义域名上的Public JWKS，函数计算可以实现对到达该域名的请求进行JWT认证。根据域名配置，将claims作为参数传递给函数，函数无需实现鉴权逻辑，请求会在网关里校验，成功才转发到后端函数。 简介 JSON Web Token (JWT)是一种开放标准（RFC 7519），定义了一种紧凑且自包含的方式，用于安全地在各方之间传输信息，以JSON对象的形式。这些信息可以被验证和信任，因为它们是数字签名的。JWT可以使用密钥（使用HMAC算法）或使用RSA或ECDSA的公钥/私钥对进行签名。 使用限制： 函数计算通过JWT认证配置的JWKS来校验请求中的JWT。 支持配置多个JWK。 支持从Header，query参数，cookies中读取Token。 支持将claims作为header转发给函数。 目前函数计算的JWT支持如下算法。 签名算法 alg取值 RSASSAPKCS1V15 RS256 配置JWT认证 前提条件 创建自定义域名，且认证方式选择“JWT认证”。 操作步骤 1. 登录控制台，在左上角选择目标地域。 2. 在最左的菜单栏中选择高级功能 > 域名管理。 3. 在创建域名 页面，展开认证设置。 1. 认证方式选择JWT认证 2. 配置jwks jwt鉴权需要用户提供有效的JWKS（JSON Web Set）。您可以使用在线生成工具生成，例如mkjwk.org。下文以使用mkjwk.org工具生成JWKS为例说明。 按图所示选择Key Use，Algorihm，Show X.509，点击Generate生成需要的公私钥和jwks。 3. 把public key填入jwks的keys字段里。 4. 使用 生成请求用的jwt，如图所示。 算法选择RS256 playload根据需要配置，但必须有iss字段，值为用户填的自定义域名（全小写） 公私钥内容根据b步骤里生成的填写即可 左侧生成的“xxx.xxx.xxx”即为合法签名后的jwt内容 5. 配置JWT Token（必填） 在JWT Token 配置 配置项中，选择 token所在位置和 token的名称。 token位置支持Header、Cookie、Query参数（GET)。如果 token位置选择为Header，则还需为其指定前缀，函数计算在获取Token时，会删除此前缀。 6. 配置JWT Claim转换（可选） 在JWT Claim 转换配置项中，选择透传给函数的参数所在位置、参数原始名称和参数透传给函数之后的名称。注意，这里的claim的名称指的是jwt的payload里的key。 映射参数位置只支持Header，以下配置的意思是：从jwt的payload中查找MyHeader字段，并把MyHeader的具体值用新的header，这里是HewHeader，透传给目标函数。目标函数收到的请求的header中就回包含一个新的，key为NewHeader的header。 4. 测试验证 bash curl v location request POST ' header 'Accept: /' header 'Host: mytest.domain.com' header 'Connection: keepalive' header "JwtHeader: MyJwt eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCIsIk15SGVhZGVyIjoiaC12YWx1ZSJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwiTXlIZWFkZXIiOiJKb2huIERvZSIsImFkbWluIjp0cnVlLCJpc3MiOiJtb3p5Lm16eWNoYWNvLmVtYWlsIn0.RwbPlMzgIPixrMN5o9Xw8q4QYA7R8V6UPMC6iBW3NCzadYmXk469g50QNItVXxoDuk7a1VR7M6IHnhrUJX5x5IZsDg7QzKSwVkyn3Gj0pXJnj41Bthcqw82iQbUhfzlZpcLcMN4C0vPLqh9sHAPOHoe1BkysadNSaGe6b08I34S6IEbBVHunDswJcVqWk8SjxSDyeVUBumZ8Qf6Z4qqNjjfFvzI4v6J4fLTNA2LCv16c0VDSufnFekkQUrvZEjxIetJ1KgEtBYheylGtuCGeBWEVlhARAUqCT1AqM2KC28O74mSXpxSljiFLBLuouAFWIvWl29w" 如果不传jwt，函数会返回 Jwt is missing。 如果jwt有误，函数会返回 Jwt verification fails。 一切正常，函数会正常返回。

弹性云主机(CTECS,Elastic Cloud Server)属于天翼云弹性计算服务,由CPU、内存、镜像、云硬盘组成,是一种可随时获取、即开即用、可弹性扩展的计算服务器。帮助您搭建安全稳定环境及应用,并根据需求动态弹性扩展资源,使您简单上云,更专注于自身业务发展。

本页介绍天翼云TeleDB数据库中透明存储加密。 透明存储加密方式（Transparent Data Encryption, TDE）是一种保护数据库中静态数据的加密技术，使数据在存储时自动加密，有助于防止未授权访问和数据泄露。透明存储加密的特点是数据在加密和解密过程对应用程序透明，该过程中应用程序无需进行任何修改，从而简化了实施流程。加密操作（函数调用）与业务侧解耦合，业务只负责传递原始数据到数据库内核，后续的加密计算在数据库内部完成，从而业务侧操作上无感知。 透明加密的方案 透明加密是由自动加密与解密和加密密钥管理两部分机制组成。 自动加密与解密：当数据写入磁盘，TDE会自动对数据进行加密。当数据从磁盘读取时, TDE会自动对数据进行解密。整个加密与解密过程，用户和应用程序将不会感知。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起到保护文件内容的效果。 加密密钥管理：TDE通常使用对称加密算法（如AES）。加密密钥被存储在数据库管理系统外部或安全位置，加密算法的由数据库维护，包括加密算法的选择、秘钥管理，都可以由安全员独立操作完成，以确保数据安全。 开启透明存储加密 TeleDB数据库支持提供TDE功能。当用户需要对磁盘上存储的数据进行加密和解密来实现对数据的保护时，可以对该功能进行开启。 注意 TDE功能仅能在实例开通时开启，且开启后无法关闭。 支持加密功能的内核版本为：5.1.5。 您可参考如下操作开启透明加密。 管控侧操作： 1. 以用户名和密码登录TeleDBDCP管理控制台。 2. 进入TeleDBDCP控制台管理页面，开通实例。您可参考《安装部署》中实例服务初始化及实例开通章节开通实例。 3. 在实例开通页面，填写基本信息页面，打开KMS开关，选择KMS机器。 说明 KMS开启后无法关闭，选择后无法更改。 数据库侧操作： 说明 用户可以通过函数创建加密算法，之后可以通过函数将创建的算法绑定到schema，表和列上，实现加密算法和数据库对象建⽴关联。同时⽀持，将已经绑定的算法从schema，表和列上解绑，从⽽取消加密算法和数据库对象之间的关联关系。 1. 创建加密算法 SELECT MLSTRANSPARENTCRYPTCREATEALGORITHM(algoname, password) 2. 注销加密算法 SELECT MLSTRANSPARENTCRYPTDROPALGORITHM(algoid) 3. 加密算法绑定 (1) 绑定到Schema SELECT MLSTRANSPARENTCRYPTALGORITHMBINDSCHEMA(schemaname, algoid) (2) 绑定到表 SELECT MLSTRANSPARENTCRYPTALGORITHMBINDTABLE(schemaname, tablename, algoid) (3) 绑定到列 SELECT MLSTRANSPARENTCRYPTALGORITHMBINDTABLE(schemaname, tablename, attrname, algoid) 4. 加密算法解绑 SELECT MLSTRANSPARENTCRYPTALGORITHMUNBINDSCHEMA(schemaname) SELECT MLSTRANSPARENTCRYPTALGORITHMUNBINDTABLE(schemaname, tablename, needcascade) 使用示例 创建管理插件 CREATE EXTENSION teledbxmls; 切换为安全管理员⽤⼾ c mlsadmin 注册内置的加密算法和对应密钥（此处使⽤国测sm4加密算法进⾏注册），获得对应的algo id select MLSTRANSPARENTCRYPTCREATEALGORITHM('SM4','0123456789012345'); select MLSTRANSPARENTCRYPTCREATEALGORITHM('AES128','0123456789012345'); c xieyuecreate table t1(id int,content int); c mlsadmin 将加密算法绑定到表上 select MLSTRANSPARENTCRYPTALGORITHMBINDTABLE('public','t1',1); insert into t1 values(1,0), (2,0), (3,0); insert into t1 values(7, 0), (8,0), (9,0);

混合云一体机推理基础版收费模式？ 混合云一体机推理基础版目前主要根据一体机规格数量不同收费，3年服务期价格服务器标准资费台数。 注意 报价已包含基础集成服务费用和3年运维费用，后续运维由电信地市公司提供一线运维人员协助（定期巡检、简单硬件运维开关机、插拔盘等）。 报价中不包含网络带宽、IDC服务费用，不含操作系统license费用。 混合云一体机推理基础版维保费用如何收取？ 一体机维保包含软件维保和硬件维保服务。初始报价已包含前三年维保费用，不再单独收取。3年服务期结束后，客户可续订，维保费用（/年）标准资费（3年）10%。 3年服务期内是否允许退订？ 因一体机涉及硬件部分，在订购后不允许进行退订。 3年服务期后产权是否可以归属客户？ 一体机默认是以服务模式售卖，产权归属天翼云。 一体机最长能提供多久续订服务? 初始服务期为3年，服务期结束后客户可继续按年续订，考虑到硬件维保问题，原则上只能续订2年，天翼云回收设备。

本文为您介绍查询弹性云主机使用的密钥对的操作。 问题描述 当用户创建了多个密钥对时，可能会混淆登录云主机使用的密钥对，因此需要查询弹性云主机使用的密钥对是哪个。 操作步骤 1. 打开天翼云官网，登录并点击“控制中心”，进入云主机控制台。 2. 选择区域，进入云主机列表页。 图1 区域选择 3. 在云主机列表页中，选择需要查看密钥对的云主机，点击“实例名称”一列，进入云主机详情页即可查看该云主机所使用的密钥对。 图2 云主机详情页

入门指引 容器镜像服务是一种支持容器镜像全生命周期管理的服务， 提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。本文档将帮助您学习如何安装容器引擎以及如何使用容器引擎客户端上传镜像到容器镜像仓库。 说明 上传镜像仅适用于管理控制台操作。 图 入门流程图 准备工作 在使用容器镜像服务前，您需要完成天翼云注册并实名认证的准备工作。 本文以一个2048应用为例，讲述根据该应用编写Dockerfile文件构建镜像并上传至容器镜像服务的操作。您可以编写一个Dockerfile文件，以alpine:3.7为基础镜像，来构建一个2048容器镜像。 前提条件 已安装Docker 已获取2048应用，并将该镜像下载至本地。 构建镜像 步骤1： 使用root用户登录虚拟机。 步骤2： 创建2048demo目录。 mkdir 2048demo 步骤3 ：下载2048源码至2048demo目录中。 该应用源码地址为： ，详细命令可参考< t 2048demo:v1：指定镜像的名称和版本。 .：指定Dockerfile所在目录，镜像构建命令会按照Dockerfile的内容构建镜像。 步骤7 ：执行以下命令，可查看到已成功构建的2048demo镜像，版本为v1。 docker images grep 2048demo 查看已构建的2048demo镜像 创建组织 组织用于隔离镜像，并为租户下用户指定不同的权限（读取、编辑、管理）。 读取：只能下载镜像，不能上传。 编辑：下载镜像、上传镜像、编辑镜像属性以及创建触发器。 管理：下载镜像、上传镜像、删除镜像或版本、编辑镜像属性、添加授权、以及共享镜像。 步骤1 ：登录容器镜像服务控制台。 步骤2 ：在左侧菜单栏选择“组织管理”，单击右侧“创建组织”，在弹出的页面中填写“组织名称”，然后单击“确定”。 客户端上传镜像 docker客户端上传镜像，是指使用docker命令将镜像上传到容器镜像服务的镜像仓库。 本章节以2048demo:v1镜像为例，介绍如何上传镜像。上传成功后，在“我的镜像”中显示已上传成功的镜像。 注意 使用客户端上传镜像，镜像的每个layer大小不能超过10G。 上传镜像的Docker客户端版本必须为1.11.2及以上。 步骤1：连接容器镜像服务。 a. 登录容器镜像服务控制台。 b. 在左侧菜单栏选择“我的镜像”，单击右侧“客户端上传”，在弹出的页面中单击“生成临时docker login指令”，单击 复制docker login指令。docker login指令末尾的域名即为当前镜像仓库地址，记录该地址。 说明 此处获取的docker login指令有效期为24小时，若需要长期有效的docker login指令，请参见 获取了长期有效的登录指令后，在有效期内的临时登录指令仍然可以使用。 c.在安装Docker的机器中执行上一步复制的docker login指令。 登录成功会显示“login succeeded”。 步骤2：在安装docker的机器给2048demo:v1镜像打标签。 docker tag [镜像名称:版本名称] [镜像仓库地址]/[组织名称]/[镜像名称:版本名称] 说明 镜像名称不支持多级目录格式，例如：镜像名称可命名为“2048demo”，不可命名为“2048demo/test”。 样例如下： docker tag 2048demo:v1 {Public image address}/group/2048demo:v1 其中： {Public image address}为容器镜像服务的镜像仓库地址。获取该地址的方式：单击“我的镜像”，单击镜像列表中的镜像名称，在“Pull/Push指南”页签中的“1. 本镜像地址”下可以看到镜像仓库地址。 group为组织名称，如果该组织还没有创建，容器镜像服务会根据组织名称自动创建一个组织。 2048demo:v1 为镜像名称和版本号。 步骤3：上传镜像至镜像仓库。 docker push [镜像仓库地址]/[组织名称]/[镜像名称:版本名称] 样例如下： docker push {Public image address}/group/2048demo:v1 终端显示如下信息，表明push镜像成功。 6d6b9812c8ae: Pushed 695da0025de6: Pushed fe4c16cbf7a4: Pushed v1: digest: sha256:eb7e3bbd8e3040efa71d9c2cacfa12a8e39c6b2ccd15eac12bdc49e0b66cee63 size: 948 返回系统，在“我的镜像”页面，执行刷新操作后可查看到对应的镜像信息。