云企业路由器 在云间高速（标准版）产品中，是区域（资源池）范围内的核心网络设备，承担当前区域内流量和跨域间流量的转发，同时支持自定义路由表和自定义路由策略。 网络实例 在云间高速（标准版）产品中，可以无缝接入云间高速的网络实例，包含用户购买的天翼云产品：虚拟私有云（VPC）、云专线、天翼云SDWAN、VPN连接（CTYUN4.0资源池）和云桌面网络。 跨域互联带宽包 购买云间高速（标准版）产品，同时需要购买各个跨域网络实例的互通网络带宽，所有的跨域互通网络实例使用的带宽总和即为带宽包。 跨域连接 云间高速（标准版）实例中，任意两个云企业路由器实例间建立的连接称为跨域连接。跨域连接的带宽需从互联带宽包中分配，且带宽为双向。所有跨域连接带宽的总和不得超出其所属带宽包的容量。请根据实际的业务网络需求，提前合理规划跨域连接的带宽。 路由表 云间高速（标准版）产品实例中，云企业路由器通过配置在其上的路由表进行流量转发，每个云企业路由器包含一张默认路由表，支持创建多自定义路由表和自定义路由，并支持通过路由表关联转发和路由学习功能定义互通、隔离，满足网络多样化的需求。 说明 支持自定义路由表能力的资源池：CTYUN4.0资源池。

本实践介绍如何将云主机上的文件数据跨资源池备份到另一个资源池的云备份存储库,以满足异地备份的需求。 实践场景 用户为保证数据的高可靠性，往往有将数据进行异地备份的需求，本实践以华东1的云主机的文件数据跨资源池异地备份至华北2为例，介绍如何使用云备份进行跨资源池备份。 约束与限制 云主机具备公网或其他的跨资源池网络访问能力。 操作步骤 步骤一：在备份目的端购买存储库 1. 登录云备份控制台，在备份目的端的资源池购买备份存储库，在本实践演示场景下，是将华东1的数据备份至华北2，因此选择华北2资源池。 2. 单击云备份页面左侧导航栏“存储库管理”页签，并选择上方“文件备份”模块，进入文件备份存储库界面。 3. 单击右上方“创建存储库”按钮，配置“存储库容量”、“创建时长”等参数后，确认下单并支付后完成存储库创建，具体可参考创建存储库。 步骤二：在备份目的端获取客户端信息并安装在源端云主机上 1. 在备份目的端资源池进行备份客户端的获取，在本实践演示场景下，是将华东1的数据备份至华北2，因此选择华北2资源池。 2. 进入云备份页面左侧导航栏“本地文件备份”页签，点击“客户端资源”模块左上方的“添加客户端”按钮，下载华北2资源池的客户端安装包或复制华北2的客户端安装命令。 3. 切换至华东1资源池，进入需要进行备份的云主机内，将上一步的安装包放置进华东1的云主机内进行安装，或在华东1的云主机内执行上一步所复制的安装命令，具体可参考安装本地客户端。 4. 客户端安装完成后，等待1~2分钟，再次进入华北2的云备份控制台，在“本地文件备份”页签的“客户端资源”模块，可以看到华东1的云主机的信息记录。

接口功能介绍 下载实例参数配置。 接口约束 URI GET /v1/params/downloadparam 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 请求体Query参数 参数 是否必填 参数类型 说明 示例 下级对象 prodInstId 是 Long 实例id 10 setName 是 String 实例参数配置名称 实例10的参数配置 响应参数 请求成功时，返回的是一个文件流，在浏览器可以直接下载 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码 810 message String 消息提示 请求失败 : 实例参数配置名称不能为空 returnObj Object 返回对象 请求示例 /v1/params/downloadparam?prodInstId10&setName实例10的参数配置 请求头header 请求体body 响应示例 json { "message": "请求失败 : 实例参数配置名称不能为空", "returnObj": {}, "statusCode": 810 } 错误码 访问ErrorCodes说明文档查看更多错误码。

本文为您介绍16.04及以上版本的Ubuntu操作系统弹性云主机如何设置默认启动内核,以Ubuntu20.04版本为例。 问题描述 1. Ubuntu操作系统弹性云主机在默认启动时选择的内核版本与期望使用的内核版本不一致； 2. Ubuntu操作系统弹性云主机中存在比下载的指定内核版本更高的版本，会自动成为默认内核版本，无法启动到指定内核。 操作步骤 1. 查看当前内核版本。 uname r 2. 列出系统中已安装的内核列表。 dpkg list grep linuximage 3. 选择想要默认启动的内核版本版本号，通过以下命令找到其对应的菜单名称（menuentry）。 cat /boot/grub/grub.cfg grep 5.4.067generic 4. 打开/etc/default/grub文件，将GRUBDEFAULT的值修改为上一步获得的内核名称。 5. 更新grub配置，重新生成grub配置文件。 updategrub 6. 根据warning部分提示，使用如下命令查看grub版本。 grubinstall version 7. 根据步骤6的版本号，选择步骤5 warning部分中适当的内核名称重复步骤4、5。 8. 重新启动Ubuntu系统弹性云主机，查看默认启动内核版本已修改。

此小节介绍云堡垒机产品类常见问题。 天翼云堡垒机支持纳管所有region上服务器吗？ 取决于云堡垒机到服务器的网络是否可达。 不同region的服务器，如果网络可达，云堡垒机可直接纳管。如果网络不可达，则需要分别开通天翼云堡垒机。 使用云堡垒机时需要配置哪些端口？ 推荐开放18443，18000，8765端口的入方向规则，其他端口根据运维场景需要按需进行配置。云堡垒机使用端口用途详见下表： 端口 用途 说明 18443 门户端口，及H5运维端口 访问堡垒机门户页面时需开放该端口的入方向规则（并可支持H5方式运维资产） 18000 字符资产访问端口 需通过堡垒机维护字符类协议资产时，需开放该端口的入方向规则 19000 图形资产访问端口 需通过堡垒机使用mstsc客户端维护图形类协议资产时，需开放该端口的入方向规则 20000 图形资产访问端口 需通过堡垒机使用vncview客户端维护图形类协议资产时，需开放该端口的入方向规则 6003 数据库资产访问端口 需通过堡垒机维护数据库协议资产时，需开放该端口的入方向规则 8765 本地初始化获取配置端口 需通过客户端工具运维时，需开放该端口的入方向规则

本章节帮助用户完成云主机备份任务的创建,快速完成云主机数据保护。 帮助用户完成云主机备份任务的创建，快速完成云主机数据保护。 前提条件 启用数据库服务器备份特性前，已成功安装客户端。该能力仅在部分资源池支持。 如果您想使用弹性云主机的备份创建镜像，请确保弹性云主机在备份前已完成如下操作： Linux弹性云服务器优化并安装Cloudinit工具 Windows弹性云服务器优化并安装Cloudbaseinit工具 注意 建议在业务量较小的时间段执行应用一致性备份。 操作步骤 1. 登录天翼云官网，注册天翼云账号。 2. 登录云主机备份管理控制台。 1. 登录管理控制台。 2. 选择“存储 > 云主机备份”。 3. 在界面右上角单击“创建云主机备份”。 4. 在服务器列表中勾选需要备份的主机以及或磁盘，勾选后将在已勾选服务器列表区域展示，如下图所示。 注意 考虑到恢复后数据的一致性问题，我们推荐您对整个服务器进行备份。若您希望选择部分磁盘备份以节省成本，请尽量确保这些磁盘的数据不受其他未备份磁盘的数据影响，否则可能会导致数据不一致问题。例如，Oracle应用的数据分散在不同磁盘上，如果只备份了部分磁盘，会导致恢复后数据不一致（已备份磁盘恢复到历史时间点数据，未备份磁盘仍保留当前数据），甚至导致应用无法启动。 图 选择服务器 说明 所选云主机的状态必须为“运行中”或“已停止”。 5. 在下方的“备份配置”区域为已选择的云主机配置备份方式，如下图所示。 图 配置备份方式

参数名称 参数说明 安装探针 选择安装探针。目前只支持“APM探针”。 探针类型 选择探针的版本类型。 探针升级策略 探针升级的方式、策略。默认为“重启自动升级”。 重启自动升级：每次都尝试重新下载镜像。 重启手动升级：如果本地有该镜像，则使用本地镜像，本地不存在时下载镜像。 APM环境 输入APM环境名称，该参数为选填。 APM业务 选择一个已有的APM应用。 子业务 输入APM子应用，该参数为选填。 接入密钥 将会自动获取APM服务的密钥信息。

本页为您介绍WPS云文档天翼云版产品退订模式 该产品不支持退订，如遇特殊情况，可联系服务商或者官方客服进行解决。

本文介绍零信任办公组网。 什么是办公组网 办公组网为边缘安全加速平台网络服务中的一个产品能力，依托中国电信优质的节点资源，是旨在为企业提供安全、高效、智能的网络连接，满足企业分支互访、多云互联等多种场景。 办公组网可以解决什么问题 全球组网 深度融合“零信任安全架构”与CDN全球化网络能力，为企业提供安全高效的组网及加速一体化解决方案，助力企业无缝连接全球业务节点，优化跨境访问体验，保障数据传输的安全性与合规性。 其中，天翼云AOne零信任服务以“安全无界、加速无阻”为核心，为企业全球化发展构建智能、可靠的新型网络基础设施，实现跨境业务安全与效率的双重突破。 云间互联互通 AOne零信任服务支持混合云组网，轻松构建企业分支、私有云、公有云不同地域VPC 、用户IDC 等多云互联。同时天翼云拥有全球2800+个节点，TB级网络，保证大带宽和低时延通信。只需要在私有云或者公有云之间部署连接器，全程数据加密，多路负载均衡，提供云间安全、高速、稳定的专用网络。 办公组网功能优势

本文介绍零信任控制台上的日志分析功能。 日志分析 零信任控制台提供以下日志服务，详见下面： 功能 描述 终端登录日志 终端登录日志将记录并展示每一次终端登录的信息。 内网审计日志 零信任网关检测存在安全威胁时将实时进行处置，您可通过对应防护日志进行查询处置情况。 内网日志下载 在您的员工使用零信任服务客户端访问企业内网时，我们将对您员工的内网访问行为进行日志存储并提供离线日志文件下载功能，方便您进行审计，查询，统计分析。目前仅保存近一个月的离线日志查询和下载，查询时间范围当前限定为近一个月内，日志文件每隔一天生成一次。 策略处置记录 处置记录展示企业配置的零信任策略规则和终端管理合规检测的实时处置记录，以便于企业对异常登录、访问等行为的观察和处置。 平台操作日志 提供并展示30天内全部的平台操作审计日志。

介绍通过XstorBrowser任务管理的具体操作。 功能说明 用户可通过XstorBrowser管理上传或下载任务，支持任务状态筛选，对指定任务进行暂停或删除操作。 操作步骤 1.登录XstorBrowser。 2.点击窗口右上角的传输按钮，打开任务管理弹窗。 3.可通过切换【上传任务】或【下载任务】标签页查看相应的任务列表，支持按照任务状态进行筛选。 4.用户可对上传中或下载中的任务进行暂停操作。 5.暂停后的任务可通过点击按钮或点击【继续】按钮，继续运行该任务。 6.用户可通过任务管理对任务进行删除操作，支持同时选择多个任务进行删除。如删除进行中的任务，则该任务会被强制结束并执行删除操作。

本文主要介绍使用DDoS高防（边缘云版）后出现访问异常如何初步排查。 问题概述 当使用DDoS高防（边缘云版）后出现访问异常如何初步排查是天翼云节点造成的异常还是源站自身异常导致的。 排查步骤 步骤一：确认客户端网络环境是否正常 例如，通过浏览器访问百度页面，或者使用在线诊断工具，确认客户端自身网络环境是否正常。 可以通过搜索引擎搜索在线诊断工具，来获取方便定位客户端自身信息的工具。如客户端网络环境正常，则继续查看下一步。 步骤二：确认是否为边缘节点异常 通过浏览器F12开发者工具，我们可以轻松得到访问到的节点IP。 得到节点IP后，可提交工单给天翼云客服，确认IP是否属于天翼云。 如果IP不属于天翼云，进一步判断域名解析是否正常：可以通过nslookup（Windows）或者dig（Linux）来验证域名解析是否正常。 如果解析不符合预期情况且您域名的DNS配置无误，那么大概率遭遇DNS劫持。推荐您使用公共的DNS规避此问题。 如果IP归属于天翼云，那么进一步确认源站情况是否正常。

本文为您介绍查询弹性云主机使用的密钥对的操作。 问题描述 当用户创建了多个密钥对时，可能会混淆登录云主机使用的密钥对，因此需要查询弹性云主机使用的密钥对是哪个。 操作步骤 1. 打开天翼云官网，登录并点击“控制中心”，进入云主机控制台。 2. 选择区域，进入云主机列表页。 图1 区域选择 3. 在云主机列表页中，选择需要查看密钥对的云主机，点击“实例名称”一列，进入云主机详情页即可查看该云主机所使用的密钥对。 图2 云主机详情页

本节介绍如何进入主机安全v2.0版本控制台，及如何使用主机安全v2.0。 主机安全v2.0 版本由服务器安全卫士（原生版）提供服务。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“主机安全 > 主机安全v2.0”，跳转到服务器安全卫士（原生版）控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 服务器安全卫士（原生版）”，进入服务器安全卫士（原生版）控制台。 使用主机安全v2.0 请参见服务器安全卫士（原生版）。

本文介绍热门分析及操作指引。 功能说明 支持三个月内、最长时间跨度为一个月的热门数据统计，包括热门URL、热门URL（回源）、热门Referer、域名排行、TOP客户端IP、热门UA，可根据访问次数优先和流量优先两种维度进行排序。并支持数据下载导出，表格内容与页面一致。 操作指引 登录天翼云客户控制台，进入【数据分析】【全站加速用量】【热门分析】功能模块，即可选择加速类型、标签、域名、状态码、时间范围等条件，按照【流量优先】或【访问次数优先】的策略查询热门排行。 热门URL 热门URL支持客户按加速类型、标签、域名、状态码、流量优先、访问次数优先、时间等搜索条件，查询用户访问的热门URL、URL对应的流量、流量占比、访问次数、访问占比。选择【流量优先】时按照流量大小排序，选择【访问次数优先】时按照访问次数排序，并支持表格导出。 热门URL(回源) 热门URL（回源）支持客户按加速类型、标签、域名、状态码类型、流量优先、访问次数优先、时间等搜索条件，查询全站加速节点回客户源站的热门URL、URL对应的流量、流量占比、访问次数、访问占比。选择【流量优先】时按照流量大小排序，选择【访问次数优先】时按照访问次数排序，并支持表格导出。

本节主要介绍如何通过Nginx反向代理访问OBS。 背景 一般情况下，用户会通过OBS提供的桶访问域名（例如 但在某些场景下，用户需要通过固定的IP地址访问OBS，例如：某些企业出于安全考虑，对于可访问的外部地址需要设置黑白名单，而这个时候对于OBS的访问则需要一个固定的IP地址。同样出于安全考虑，天翼云OBS桶访问域名通过DNS解析的IP地址是会发生变化的，所以用户无法获取某个桶长期有效的固定IP地址。 此时，可以通过在ECS上搭建Nginx反向代理服务器，来实现通过固定IP地址访问OBS。 原理介绍 本实践将Nginx部署在ECS上，搭建Nginx反向代理服务器。用户对代理无感知，只需要将请求发送到反向代理服务器，然后由反向代理服务器向OBS获取数据，再返回给用户。反向代理服务器和OBS对外看做一个整体，仅暴露代理服务器的IP地址，隐藏了OBS真实的域名或IP地址。 图通过Nginx反向代理访问OBS原理 前置条件 已明确OBS桶所在区域和桶的访问域名，如苏州区域的桶：nginxobs.obs.cnjssz1.ctyun.cn。查看桶的信息 已在同区域购买Linux操作系统的ECS，本文以CentOS系统为例。 ECS已绑定EIP，EIP用于从公网下载必要的Nginx安装包。

本章节介绍边缘重保服务在热门游戏上线保障场景下的最佳实践案例。 客户简介 客户是天翼云存量头部CDN客户，作为一家极具创新活力的全球化科技企业，始终坚守 “科技普惠” 的美好愿景，不断在前沿科技领域探索深耕，构建起丰富多元且极具竞争力的产品生态。 在手机业务方面，该企业凭借强大的研发实力与创新精神，在影像、快充、芯片性能优化等关键技术领域成果斐然。旗下手机产品全面覆盖各类细分市场，从追求极致性价比的入门机型，到性能卓越、配置顶尖的高端旗舰，产品线丰富且布局合理。 在全球智能手机市场格局中，该企业长期稳居头部阵营，凭借出众的产品体验与高性价比优势，收获全球海量用户的信赖与喜爱。在国内市场，更是深受消费者追捧，引领着国产手机行业的创新发展潮流。 重保背景 2024年12月19日，热门手游《航海王：壮志雄心》正式发行上线，并计划正式上线前2个工作日完成多平台安装包的分发部署工作。据官方市场调研预估，首发阶段通过应用商店进行游戏下载的终端用户预计突破50万人次，项目前期流量峰值预计在上线后五日内达到1PB级别。 鉴此，客户正式向我司提出重大业务保障专项服务需求，全面确保游戏首发期间业务系统平稳运行，资源分发链路保持最优响应时延，并针对可能出现的突发性负载压力，建立7×24小时多级应急预案响应机制。

本文将为您介绍边缘云WAF提供的人机识别策略，精准命中爬虫流量，拦截各类恶意爬虫，守护网站业务安全。 功能介绍 边缘云WAF提供的人机识别支持Cookie挑战、跳转挑战、人机挑战等一系列反爬能力，帮助客户及时且精准地识别并拦截虚假流量，保障网站不受恶意爬虫攻击。 注意 目前控制台尚未开放人机识别功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见Bot管理计费。 人机识别功能说明 Cookie基础检测 注意 客户端标识检测：客户端标识检测是人机识别第一检测策略，将先一步校验Cookie挑战、人机挑战以及跳转挑战下发的cookie个数和完整性。无客户端标识、客户端标识缺失、客户端标识解析失败三种情况都需要配置。 无客户端标识。即针对请求没有cookie的情况进行处理 处理动作：拦截/告警/跳转/放行 拦截：拦截请求 告警：仅记录请求 跳转：GET请求启动302跳转策略，POST请求启动307跳转策略 放行：不对该异常做处理，另外不会再校验其他的BOT防护规则 统计粒度：静态cookie/IP+UA/IP 触发条件：达到触发条件的请求将对其执行处理动作，并支持配置处理动作持续时长（触发规则后的惩罚时间） 客户端标识缺失。即针对请求带回cookie个数小于下发的个数（最多会下发四个）进行处理 客户端标识解析失败。即针对失败解析cookie的情况下进行处理 其他字段： 客户端标识过期时间：默认15天,单位天,最大值365天 白名单：即例外条件，符合条件的请求不进行功能检测

本文主要介绍使用MirrorMaker跨集群数据同步。 应用场景 在以下场景，使用MirrorMaker进行不同集群间的数据同步，可以确保Kafka集群的可用性和可靠性。 备份和容灾：企业存在多个数据中心，为了防止其中一个数据中心出现问题，导致业务不可用，会将集群数据同步备份在多个不同的数据中心。 集群迁移：当今很多企业将业务迁移上云，迁移过程中需要确保线下集群和云上集群的数据同步，保证业务的连续性。 方案架构 使用MirrorMaker可以实现将源集群中的数据镜像复制到目标集群中。其原理如图1所示，MirrorMaker本质上也是生产消费消息，首先从源集群中消费数据，然后将消费的数据生产到目标集群。如果您需要了解更多关于MirrorMaker的信息，请参见Mirroring data between clusters。 图 MirrorMaker 原理图 约束与限制 源集群中节点的IP地址和端口号不能和目标集群中节点的IP地址和端口号相同，否则会导致数据在Topic内无限循环复制。 使用MirrorMaker同步数据，至少需要有两个或以上集群，不可在单个集群内部使用MirrorMaker，否则会导致数据在Topic内无限循环复制。 实施步骤 1、 购买一台弹性云主机，确保弹性云主机与源集群、目标集群网络互通。具体购买操作，请参考购买弹性云主机。 2、 登录弹性云主机，安装Java JDK，并配置JAVAHOME与PATH环境变量，使用执行用户在用户家目录下修改“.bashprofile”，添加如下行。其中“/opt/java/jdk1.8.0151”为JDK的安装路径，请根据实际情况修改。 export JAVAHOME/opt/java/jdk1.8.0151 export PATHJAVAHOME/bin:PATH 执行source .bashprofile命令使修改生效。 说明 弹性云主机默认自带的JDK可能不符合要求，例如OpenJDK，需要配置为Oracle的JDK，可至Oracle官方下载页面

本节主要介绍如何在智能视图服务控制台管理资源包。 提供用户查看订购的视频包、AI包、上行带宽包以及下行带宽包的详细信息，可以点击【查看绑定关系】查询目标资源包与设备的绑定关系。 天翼云智能视图服务包含四种资源包，分别是视频包、AI包、上行带宽包、下行带宽包，四种资源包支持单独订购、续订等。 视频包为前置资源包，必须购买，否则无法开通其他三种资源包。 AI包只针对于有AI需求的客户，用户通过新增AI应用，将AI应用绑定到特定的设备。 上行带宽包只针对于互联网用户，用户在创建业务组的时候，接入网络类型为互联网的话，必须订购上行带宽包，否则视频流无法正常接入平台。 下行带宽包只针对于互联网用户，用户在创建业务组的时候，播放网络类型为互联网的话，必须订购下行带宽包，否则实时预览、录像回放、下载等功能无法正常工作。 视频包 进入设备管理页面，配置资源包，选择视频资源包。 AI包 进入设备管理页面，配置资源包，选择AI资源包。 上行带宽包 进入设备管理页面，配置资源包，选择上行带宽包。

本节主要介绍如何在智能视图服务用户控制台对设备进行批量管理。 批量导入 用户可以通过批量导入的方式同时添加多个设备。 下载模板 点击左侧导航栏的【设备管理】，点击设备列表上方的【下载模板】按钮下载导入模板，根据模板内容填写需要批量导入的设备信息。 导入 点击【导入】按钮，选择填写好的导入模板并导入。 导入完成后会显示总计、成功及失败的导入条数，点击【确定】后即可在设备列表查看到成功导入的设备。 批量导出 用户可以通过批量导出的方式将设备列表的详细信息导出至表格，支持导出当前目录下所有分页、当前页或选定项（暂不支持GA1400设备信息导出）。 批量操作 在当前目录下的设备列表中勾选设备后，可以点击【批量操作】对所选设备进行批量移动、启用流、停用流或删除操作。

本章节为您介绍如何在Apache服务器上部署SSL证书 前提条件 已在当前服务器中安装配置 Apache 服务。 已购买证书并且已获取到证书相关文件。 安装前准备文件 在证书管理服务控制台的证书管理页选择您需要安装的证书，选择“证书下载”。 在弹出的 “证书下载” 窗口中，服务器类型选择 Apache，单击“下载”并解压缩包至本地，文件内包含下述3个文件： Cert证书公钥：XXXX.cncert.pem Chain证书链：XXXX.cnchain.pem 私钥文件：XXXX.cnkey.key 操作步骤 1. 启用SSL和443端口：将“modaviable”文件夹中的“ssl.conf”和“ssl.load”这两个配置文件，复制到“modenable”文件夹中。 2. 启用443端口的vhost：将“siteaviable”中的defaultssl配置，加载到“siteenable”文件中。 3. （此处环境仅做参考，具体以实际操作环境为准）替换Cert证书公钥文件，路径参考：SSLCertificateFile/xxxx/server.crt。 替换Chain证书链文件，路径参考：SSLCertificateChainFile/xxxx/ca.crt。 替换私钥文件，路径参考：SSLCertificateKeyFile/xxxx/server.key。 4. 重启apache2服务，即可完成证书导入。

操作场景 容器组（Pod）是Kubernetes中最小的可部署单元。一个Pod（容器组）包含了一个应用程序容器（某些情况下是多个容器）、存储资源、一个唯一的网络IP地址、以及一些确定容器该如何运行的选项。Pod容器组代表了Kubernetes中一个独立的应用程序运行实例，该实例可能由单个容器或者几个紧耦合在一起的容器组成。 Kubernetes集群中的Pod存在如下两种使用途径： 一个Pod中只运行一个容器。"onecontainerperpod" 是Kubernetes中最常见的使用方式。此时，您可以认为Pod容器组是该容器的 wrapper，Kubernetes通过Pod管理容器，而不是直接管理容器。 一个Pod中运行多个需要互相协作的容器。您可以将多个紧密耦合、共享资源且始终在一起运行的容器编排在同一个Pod中，可能的情况有： − Content management systems, file and data loaders, local cache managers等 − log and checkpoint backup, compression, rotation, snapshotting等 − data change watchers, log tailers, logging and monitoring adapters, event publishers等 − proxies, bridges, adapters等 − controllers, managers, configurators, and updaters 您可以在云容器引擎CCE中方便的管理容器组（Pod），如编辑YAML、监控、删除等操作。 编辑YAML 可通过在线YAML编辑窗对容器组（Pod）的YAML文件进行修改和下载。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击实例列表中后的“编辑YAML”，在弹出的“编辑YAML”窗中可对当前容器组（Pod）的YAML文件进行修改。 步骤 3 单击“修改”，在弹出的提示框中单击“确定”，完成修改。 说明：如果实例由其他工作负载创建，暂不支持在容器组（Pod）中单独修改。 步骤 4 （可选）在“编辑YAML”窗中，单击“下载”，可下载该YAML文件。 实例监控 您可以通过CCE控制台查看工作负载实例的CPU、内存使用情况以及网络上行和下行速率、磁盘的读写速率，以确定需要的资源规格。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击实例列表中后的“监控”，可查看相应实例的CPU使用率、内存使用率以及网络上行和下行速率、磁盘的读写速率。 说明：实例处于非运行状态时，无法查看实例的监控数据。 删除实例 若实例无需再使用，您可以将其删除。实例删除后，将无法恢复，请谨慎操作。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击待删除实例后的“删除”。 请仔细阅读系统提示，删除操作无法恢复，请谨慎操作。 步骤 3 单击“是”，即可删除该实例。 说明： 若Pod所在节点不可用或者关机，负载无法删除时可以在详情页面实例列表选择强制删除。 请确保要删除的存储没有被其他负载使用，导入和存在快照的存储只做解关联操作。 相关链接 []( " ")The Distributed System Toolkit: Patterns for Composite Containers []( " ")Container Design Patterns

请参见天翼云运维安全中心（云堡垒机）服务等级协议。

本文主要介绍授权管理 操作场景 如果您需要对容器镜像服务进行权限管理，您需要使用统一身份认证服务IAM对操作用户配置权限，当您具有SWR Admin或者Tenant Administrator系统权限时，您就拥有了SWR的管理员权限，可以在SWR中为其他IAM用户进行授权。 说明 拥有SWR管理员权限的用户，默认拥有所有组织下的镜像管理权限，即使该用户不在组织的授权用户列表中。 如果您没有SWR的管理员权限，就需要已拥有SWR管理员权限的用户在SWR中进行授权管理，为您添加对某个镜像的权限或对某个组织中所有镜像的权限。 场景示例： 示例一：我是拥有ServiceStage Developer权限（SWR只读权限）的IAM用户，想要下载SWR管理员所创建的“group”组织下的“nginx”镜像。 示例二：我是SWR管理员，需要给公司内部员工授权一个组织的镜像上传权限。 策略：您在组织详情“用户”页签下为该员工授予“编辑”权限。 授权方法 容器镜像服务中给IAM用户添加权限有如下两种方法： 在镜像详情中添加授权： 授权完成后，IAM用户享有读取/编辑/管理该镜像的权限。 在组织中添加授权： 使IAM用户对组织内所有镜像享有读取/编辑/管理的权限。 图 用户权限 容器镜像服务中为用户添加的权限有如下三种类型： 读取：只能下载镜像，不能上传。 编辑：下载镜像、上传镜像、编辑镜像属性以及添加触发器。 管理：下载镜像、上传镜像、删除镜像或版本、编辑镜像属性、添加授权、添加触发器以及共享镜像。 说明 页面上传镜像功能要求具备组织的编辑或管理权限，在镜像详情中添加的编辑或管理权限不支持页面上传镜像。

本文介绍如何进行身份管理。 为确保您的天翼云账号及云资源使用安全，如非必要都应避免直接使用天翼云账号（即主账号）来访问ECI。推荐的做法是使用IAM身份（即IAM用户）来访问ECI。 IAM用户 IAM用户需要由天翼云账号（即主账号）或拥有管理员权限的IAM用户来创建，且必须在获得授权后才能登录控制台或使用API访问天翼云账号下的资源。 对于IAM用户的使用，建议您： 使用天翼云账号创建一个IAM用户，并为IAM用户授予管理员权限，后续使用有管理员权限的IAM用户创建并管理其他IAM用户。 将人员用户和程序用户分离。 创建IAM用户时，支持设置控制台访问和OpenAPI调用访问两种访问方式。控制台用户使用账号密码访问云产品控制台，API用户使用访问密钥AK（AccessKey）调用API访问云资源。建议您将两个不同的使用场景分离，避免误操作导致服务受到影响。 按需为IAM用户分配最小权限。 最小权限是指授予用户执行某项任务所需的权限，不授予其他无需用到的权限。最小授权可以避免用户操作权限过大，提高数据安全性，减少因权限滥用导致的安全风险。 不要把IAM用户的AccessKey ID和AccessKey Secret保存在工程代码中，否则可能导致AK泄露，威胁您账号下所有资源的安全。 IAM用户相关操作 创建用户 查看用户详情 重置密码

调整监控阈值 6.在FusionInsight Manager界面，选择“运维 > 告警 > 阈值设置 > 待操作集群的名称 > Yarn > 任务 > 正在挂起的任务”，根据实际需要，适当增加该告警的监控阈值。 7.等待5分钟，查看该告警是否消除。 是，处理完毕。 否，执行步骤8。 收集故障信息 8.在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 9.在“服务”中勾选待操作集群的“Yarn”。 10.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 11.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

全量更新主Master节点的原始客户端 场景描述 用户创建集群时，默认在集群所有节点的“/opt/client”目录安装保存了原始客户端。以下操作以“/opt/Bigdata/client”为例进行说明。 MRS普通集群，在console页面提交作业时，会使用master节点上预置安装的客户端进行作业提交。 用户也可使用master节点上预置安装的客户端来连接服务端、查看任务结果或管理数据等。 对集群安装补丁后，用户需要重新更新master节点上的客户端，才能保证继续使用内置客户端功能。 操作步骤 1.登录MRS Manager页面，具体请参见访问MRSManager（MRS2.x及之前版本），然后选择“服务管理”。 2.单击“下载客户端”。 “客户端类型”选择“完整客户端”，“下载路径”选择“服务器端”，单击“确定”开始生成客户端配置文件，文件生成后默认保存在主管理节点“/tmp/MRSclient”。文件保存路径支持自定义。 3.查询并登录主Master节点。 4.在弹性云服务器，切换到root用户，并将安装包复制到目录“/opt”。 sudo su root cp /tmp/MRSclient/MRSServicesClient.tar /opt 5.在“/opt”目录执行以下命令，解压压缩包获取校验文件与客户端配置包。 tar xvf MRSServicesClient.tar 6.执行以下命令，校验文件包。 sha256sum c MRSServicesClientConfig.tar.sha256 界面显示如下： MRSServicesClientConfig.tar: OK 7.执行以下命令，解压“MRSServicesClientConfig.tar”。 tar xvf MRSServicesClientConfig.tar 8.执行以下命令，移走原来老的客户端到/opt/Bigdata/clientbak目录下 mv /opt/Bigdata/client /opt/Bigdata/clientbak 9.执行以下命令，安装客户端到新的目录，客户端路径必须为“/opt/Bigdata/client”。 sh /opt/MRSServicesClientConfig/install.sh /opt/Bigdata/client 查看安装输出信息，如有以下结果表示客户端安装成功： Compon ents client installation is complete. 10.执行以下命令，修改/opt/Bigdata/client目录的所属用户和用户组。 chown omm:wheel /opt/Bigdata/client R 11.执行以下命令配置环境变量： source /opt/Bigdata/client/bigdataenv 12.如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 kinit MRS 集群用户 例如, kinit admin 13.执行组件的客户端命令。 例如，执行以下命令查看HDFS目录： hdfs dfs ls /

本文介绍如何防止对象被未经授权下载。 您可参考以下操作指引进行设置，防止对象未经授权的下载： 1. 可以将存储桶以及对象的ACL权限设置为私有，您成为桶以及对象资源的所有者，当其他账号需要对桶或对象进行读写时，您可以把读写权限开放给该用户。 具体操作可参考配置权限管理。 2. 可以通过防盗链设置白名单限制名单外的域名访问存储桶的默认访问地址。如用户根据Referer进行防盗链配置，媒体存储会根据浏览器访问请求附带的Referer与用户配置的规则来判断允许或拒绝此请求，如果校验一致，则将允许该请求的访问；如果不一致，则将拒绝该请求的访问。 具体操作可参考配置防盗链。

操作步骤 1. 登录天翼云控制中心。 2. 单击管理控制台左上角的，选择区域或项目。 3. 在左侧导航树中，单击左上方的“服务列表”，选择“安全与合规 > 云防火墙”，进入云防火墙的概览页面。 4. 在界面右上角，单击“续费”。 5. 在“续费管理”界面，根据页面提示完成续费。 如何退订云防火墙？ 退订后原CFW配置数据将不能保存且无法找回，建议您退订前导出防护策略，重购后导入防护策略，以便CFW更好的为您防护。有关导入导出策略的详细操作，请参见导入/导出防护策略。 操作步骤 1. 登录天翼云控制中心。 2. 单击管理控制台左上角的，选择区域或项目。 3. 在左侧导航树中，单击左上方的“服务列表”，选择“安全与合规 > 云防火墙”，进入云防火墙的概览页面。 4. 鼠标悬停在页面左上角上角版本处，单击“退订”。 5. 在弹出的对话框中，勾选需要退订的资源，单击“确认”。 6. 确认信息无误后，勾选“我已确认本次退订金额和相关费用。” 7. 单击“下一步”，完成退订操作。

本文向您介绍 宿主机故障时,弹性云主机是否能自动恢复 宿主机故障时，弹性云主机可以自动恢复。 虽然天翼云提供了多种机制来保障系统的可靠性、容错能力和高可用性，但宿主机仍存在故障的可能性，如电源等部件因不可抗力损坏。 弹性云主机是运行在宿主机上的，当宿主机无法正常运行时，天翼云会自动将弹性云主机迁移至正常的宿主机，以疏散或者热迁移的方式迅速恢复，最坏情况为弹性云主机重启，将宿主机宕机的影响降到最小。

本节介绍了容器镜像服务的产品介绍。 容器镜像服务是一种支持容器镜像全生命周期管理的服务，提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。容器镜像服务与云容器引擎无缝集成，帮助企业降低交付复杂度，打造云原生应用一站式解决方案。 个人版功能 功能项 说明 镜像仓库管理 支持Linux、ARM等多架构的容器镜像管理，支持设置容器镜像的公开/私有权限 命名空间管理 通过命名空间组织、管理镜像仓库 镜像安全扫描 支持对容器镜像进行安全扫描，展示漏洞编号、漏洞位置、漏洞等级等详细信息 企业版功能（包含个人版的所有功能） 功能项 说明 存储隔离 每个用户的容器镜像、Helm Chart等存放于用户的对象存储中，实现存储隔离 Helm Chart管理 支持Helm Chart的管理、分发 镜像加速 支持加速镜像转换，部署业务工作负载时使用加速镜像，实现镜像数据免全量下载和在线解压，大幅度提升应用分发效率，缩短容器启动时间 镜像同步 支持跨资源池同步镜像 版本不可变 支持配置镜像版本不可变，保证相同版本的镜像仅被成功推送一次，可有效避免因误操作引起的版本覆盖问题 版本保留 支持配置版本保留规则，让用户自定义需要保留的镜像版本，实现镜像版本清理 镜像分享 支持将私有镜像分享给指定用户 操作审计 支持记录用户在容器镜像服务控制台内所进行的操作，为行为分析、安全分析等提供依据 访问控制 支持配置公网白名单