5.2 下载并编译 gpuburn plaintext 克隆gpuburn源码 git clone cd gpuburn 编译（基于系统CUDA版本自动适配） make 验证编译结果（生成gpuburn可执行文件） ls l gpuburn 5.3 执行 GPU 压力测试 plaintext 测试指令一（测试600秒，详细打印输出） ./gpuburn v 600 测试指令二（仅测试第0块GPU，持续300秒） CUDAVISIBLEDEVICES0 ./gpuburn 300 测试指令三（测试第1、3、5块GPU，持续1小时（3600秒）） CUDAVISIBLEDEVICES1,3,5 ./gpuburn 3600 测试期间可新开终端监控 GPU 状态：实时监控GPU使用率、温度、功耗（每2秒刷新一次） watch n 2 nvidiasmi 或监控关键指标（温度/使用率/功耗） nvidiasmi querygpuindex,temperature.gpu,utilization.gpu,power.draw formatcsv l 2 5.4 测试结果验证（以八卡H800为例） plaintext 83.0% proc'd: 9240 (42060 Gflop/s) 11480 (51638 Gflop/s) 11200 (51623 Gflop/s) 11200 (51528 Gflop/s) 11200 (51271 Gflop/s) 11200 (51632 Gflop/s) 11200 (51584 Gflop/s) 9240 (42053 Gflop/s) errors: 0 0 0 0 0 0 0 0 temps: 49 C 60 C 64 C 72 C 74 C 56 C 57 C 40 C Summary at: Mon Dec 22 16:37:51 CST 2025 。。。 100.0% proc'd: 11200 (42057 Gflop/s) 13720 (51631 Gflop/s) 13720 (51630 Gflop/s) 13720 (51538 Gflop/s) 13720 (51249 Gflop/s) 13720 (51639 Gflop/s) 13720 (51583 Gflop/s) 11200 (42057 Gflop/s) errors: 0 0 0 0 0 0 0 0 temps: 50 C 60 C 64 C 72 C 75 C 57 C 57 C 40 C 。。。 Tested 8 GPUs: GPU 0: OK GPU 1: OK GPU 2: OK GPU 3: OK GPU 4: OK GPU 5: OK GPU 6: OK GPU 7: OK

本节介绍了全量数据恢复：恢复到指定时间点的操作场景、约束限制、操作步骤等相关内容。 操作场景 关系型数据库服务支持使用已有的自动备份，恢复实例数据到指定时间点。 实例恢复到指定时间点，会从OBS备份空间中选择一个该时间点最近的全量备份下载到实例上进行全量恢复，再重放增量备份到指定时间点，恢复时长和实例的数据量有关，平均恢复速率为80MB/s。 功能说明 类别 说明 恢复范围 恢复整个实例。 恢复后实例数据 恢复后实例数据与用于恢复的“全备文件+增备文件”中的数据一致。 恢复到新实例会为用户重新创建一个和该时间点数据相同的实例。 恢复的时间点 可以恢复到全量备份保留时间内，最早的一个全量备份之后的任意时间点内的数据。 恢复类型 恢复到新实例 恢复到新实例各配置项 新实例的数据库引擎和数据库版本，自动与原实例相同。 其他参数需要重新配置。 恢复时长 恢复时长和实例的数据量有关，平均恢复速率为80MB/s。 约束限制 请勿在RDS for MySQL实例的生命周期内执行“reset master”命令，以免造成恢复到指定时间点功能异常。 恢复到新实例时，原实例备份存在大事务有可能会导致恢复失败，如果恢复失败请提交工单处理。 如果实例启用了“SQL限流”功能，不同恢复场景的限制如下： − 恢复到新实例：5.7版本原有的SQL限流规则都会失效，5.6和8.0会保留原实例的限流规则。 − 恢复到当前实例：当前实例的SQL限流规则都会恢复到备份所在的时间点。 − 恢复到已有实例：5.7版本目标实例的SQL限流规则全部失效，5.6和8.0原实例的规则会覆盖目标实例规则。

业务价值 天翼云应用性能监控Prometheus监控已全面对接开源Prometheus生态，将容器服务Kubernetes集群接入天翼云Prometheus监控，通过开箱即用的大盘监控主机和Kubernetes集群的众多性能指标。 低成本接入：提供全托管式服务，无需另购基础设施资源，可降低监控成本与维护成本。 开箱即用：支持一键接入天翼云云容器引擎。提供丰富的仪表大盘与告警模板，帮助业务快速发现和定位问题。 数据规模无上限：基于云上存储能力，数据存储不再受限于本地容量。通过分布式存储可进一步保障数据可靠性。

天翼云为您提供媒体存储服务协议说明，请您点击查看。 天翼云媒体存储服务协议

本文介绍VPC终端节点统一身份认证与权限管理相关配置 1.统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1.1 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 1.2 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“2.1.2 创建自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。VPC终端节点相关的系统策略包含如下： vpcep admin：VPC终端节点服务的管理者权限，包含VPC终端节点所有控制权限（不含订单类权限）； vpcep viewer: VPC终端节点服务的观察者权限，包含VPC终端节点服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“2.1.2 创建自定义策略“。

本文为您介绍统一身份认证服务的权限配置管理方式 基本介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限，具体介绍说明详见：产品定义。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素左作用（Effect）、权限集（Action）等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略： 系统策略 ：预置的系统策略，您只能使用不能修改。云间高速EC相关的系统策略包含如下： EC Admin：云间高速服务的管理者权限，包含云间高速所有控制权限； EC Viewer：云间高速服务的观察者权限，包含云间高速服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，具体配置说明详见：创建自定义策略。

本文介绍对等连接服务统一身份认证与权限管理。 1.统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1.1 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 1.2 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“2.1.2 创建自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。对等连接相关的系统策略包含如下： peering admin：对等连接服务的管理者权限，包含对等连接服务所有控制权限（不含订单类权限）； peering viewer: 对等连接服务的观察者权限，包含对等连接服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“2.1.2 创建自定义策略“。

规格扩容 当现有的规格已经不足以支撑生产计划，可选择规格扩容满足生产要求。同时计费也会相应增加。 说明 当实例进行CPU/内存规格变更时，该实例不可被删除。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 找到目标实例，然后在操作 列选择更多 > 规格扩容 ，进入规格变更页面。 4. 选择所需修改的性能规格，单击提交。 5. 查看变更结果。 任务提交成功后，单击返回实例列表 ，在实例管理页面，可以看到实例状态为规格变更中 。稍后即可在实例的基本信息页面，查看实例规格，检查修改是否成功。 规格缩容 当现有的规格已经超出生产计划，可选择规格缩容以节省开支。同时也会产生相应退费。 说明 当实例进行CPU/内存规格变更时，该实例不可被删除。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 找到目标实例，然后在操作 列选择更多 > 规格缩容 ，进入规格缩容页面。 4. 选择所需修改的性能规格，左下角会显示需要退还的费用，单击提交。 5. 查看变更结果。 任务提交成功后，单击返回实例列表 ，在实例管理页面，可以看到实例状态为规格缩容中 。稍后即可在实例的基本信息页面，查看实例规格，检查修改是否成功。 注意 如果您有其他计费疑问，您可以联系客户经理或天翼云客服4008109889，提交您的变更需求。

本章节主要介绍使用Flume客户端 。 操作场景 Flume支持将采集的日志信息导入到Kafka。 前提条件 已创建启用Kerberos认证的流集群。 已在日志生成节点安装Flume客户端，例如安装目录为“/opt/Flumeclient”，客户端安装请参见“组件操作指南 > 使用Flume > 安装Flume客户端”。以下操作的客户端目录只是举例，请根据实际安装目录修改。 已配置网络，使日志生成节点与流集群互通。 使用Flume客户端（MRS 3.x之前版本） 说明 普通集群不需要执行步骤1步骤5。 1. 将Master1节点上的认证服务器配置文件，复制到安装Flume客户端的节点，保存到Flume客户端中“Flume客户端安装目录/fusioninsightflumeFlume 组件版本号 /conf”目录下。 文件完整路径为${BIGDATAHOME}/MRSCurrent/1 X KerberosClient/etc/kdc.conf。 其中“X”为随机生成的数字，请根据实际情况修改。同时文件需要以Flume客户端安装用户身份保存，例如root用户。 2. 查看任一部署Flume角色节点的“业务IP”。 登录集群详情页面，选择“集群>组件管理 >Flume > 实例”，查看任一部署Flume角色节点的“业务IP”。 说明 若集群详情页面没有“组件管理”页签，请先完成IAM用户同步（在集群详情页的“概览”页签，单击“IAM用户同步”右侧的“同步”进行IAM用户同步）。 3. 将此节点上的用户认证文件，复制到安装Flume客户端的节点，保存到Flume客户端中“Flume客户端安装目录/fusioninsightflumeFlume 组件版本号 /conf”目录下。 文件完整路径为${BIGDATAHOME}/MRS XXX /install/FusionInsightFlumeFlume 组件版本号 /flume/conf/flume.keytab。 其中“XXX”为产品版本号，请根据实际情况修改。同时文件需要以Flume客户端安装用户身份保存，例如root用户。 4. 将此节点上的配置文件“jaas.conf”，复制到安装Flume客户端的节点，保存到Flume客户端中“conf”目录。 文件完整路径为${BIGDATAHOME}/MRSCurrent/1 X Flume/etc/jaas.conf。 其中“X”为随机生成的数字，请根据实际情况修改。同时文件需要以Flume客户端安装用户身份保存，例如root用户。 5. 登录安装Flume客户端节点，切换到客户端安装目录，执行以下命令修改文件： vi conf/jaas.conf 修改参数“keyTab”定义的用户认证文件完整路径即步骤3中保存用户认证文件的目录：“Flume客户端安装目录/fusioninsightflumeFlume 组件版本号 /conf”，然后保存并退出。 6. 执行以下命令，修改Flume客户端配置文件“flumeenv.sh”： vi Flume 客户端安装目录 / fusioninsightflume Flume 组件版本号 /conf/flumeenv.sh 在“XX:+UseCMSCompactAtFullCollection”后面，增加以下内容： Djava.security.krb5.conf Flume 客户端安装目录 /fusioninsightflume1.9.0/conf/kdc.conf Djava.security.auth.login.configFlume 客户端安装目录 /fusioninsightflume1.9.0/conf/jaas.conf Dzookeeper.request.timeout120000 例如： "XX:+UseCMSCompactAtFullCollection Djava.security.krb5.conf/opt/FlumeClient / fusioninsightflume Flume 组件版本号 /conf/kdc.conf Djava.security.auth.login.config/opt/FlumeClient / fusioninsightflume Flume 组件版本号 /conf/jaas.conf Dzookeeper.request.timeout120000" 请根据实际情况，修改“Flume客户端安装目录”，然后保存并退出。 7. 执行以下命令，重启Flume客户端： cd Flume 客户端安装目录 /fusioninsightflume Flume 组件版本号 /bin ./flumemanage.shrestart 例如： cd /opt/FlumeClient/fusioninsightflume Flume 组件版本号 /bin./flumemanage.shrestart 8. 执行以下命令，根据实际业务需求，在Flume客户端配置文件“properties.properties”中配置并保存作业。 vi Flume 客户端安装目录 /fusioninsightflume Flume 组件版本号 /conf/properties.properties 以配置SpoolDir Source+File Channel+Kafka Sink为例：

本章主要介绍翼MapReduce的 配置受信任IP访问LDAP功能。 操作场景 默认情况下，部署在OMS和集群中的LDAP服务允许任意IP访问。如果需要只允许受信任的IP地址访问LDAP服务，可以配置iptables过滤列表的INPUT策略。 对系统的影响 配置受信任IP访问LDAP以后，未配置的IP无法访问LDAP。扩容前，新增加的IP需要配置为受信任的IP。 前提条件 根据安装规划，收集集群内全部节点的管理平面IP、业务平面IP和所有浮动IP。 获取集群内节点的root用户和密码。 操作步骤 配置OMS LDAP信任的IP地址 1.确定管理节点IP地址，请参见登录管理节点。 2.登录FusionInsight Manager，请参见登录管理系统。 3.选择“系统 > OMS”，在“服务”选择“oldap > 修改配置”，查看OMS LDAP端口号，即“Ldap服务监听端口”参数值。默认为“21750”。 4.以root用户通过主管理节点的IP地址登录主管理节点。 5.执行以下命令，查看iptables过滤列表中INPUT策略。 iptables L 例如未配置任何规则时，INPUT策略显示如下： Chain INPUT (policy ACCEPT) target prot opt source destination 6.执行以下命令，将集群使用的所有IP地址配置为受信任的IP。每个IP需要添加一次。 iptables A INPUT s 受信任IP地址 p tcp dport 端口号 j ACCEPT 例如，将10.0.0.1配置为受信任的IP，可以访问端口21750，执行： iptables A INPUT s 10.0.0.1 p tcp dport 21750 j ACCEPT 7.执行以下命令，将全部IP地址配置为不受信任的IP。已配置为信任IP不受此规则影响。 iptables A INPUT p tcp dport 端口号 j DROP 例如，配置全部IP不能访问端口21750，执行： iptables A INPUT p tcp dport 21750 j DROP 8.执行以下命令，查看iptables过滤列表中修改后INPUT策略。 iptables L 例如配置一个受信任IP后，INPUT策略显示如下： Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp 10.0.0.1 anywhere tcp dpt:21750 DROP tcp anywhere anywhere tcp dpt:21750 9.执行以下命令，查看iptables过滤列表中存在的规则及相对应的编号。 iptables L n linenumber Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP tcp 0.0.0.0/0 0.0.0.0/0 tcp dpt:21750 10.根据实际需求，可执行以下命令，删除iptables过滤列表中的规则。 iptables D INPUT 待删除的编号 例如，删除编号为1的规则，执行： iptables D INPUT 1 11.以root用户通过备管理节点的IP地址登录备管理节点，并重复5到10。

本文帮助您了解对象存储数据回源配置相关的操作步骤。 操作场景 您可以通过ZOS控制台，对存储桶设置回源规则，当您请求的对象在存储桶中不存在或者需要对特定的请求进行重定向时，您可以通过回源规则访问到对应的数据。设置回源主要用于数据的热迁移、特定请求的重定向等场景，您可以按照自身实际需要进行设置。 约束与限制 数据回源支持的区域请参见产品能力地图。 镜像回源将源站数据保存至 ZOS 中，不支持指定存储类型（默认为标准存储，详情参考 修改文件存储类型），不支持设置文件读写权限（默认为私有，详情参考 文件读写权限文档） 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择上海上海36。 3. 在控制台首页，选择“存储>对象存储”。 4. 在ZOS控制台，单击Bucket名称进入“概览”页面。 5. 找到“基础设置”分页下的“数据回源”部分，点击“设置”按钮。 6. 在数据回源的模块中，点击“创建规则”，在弹出的数据回源规则窗口中按参数说明进行配置。数据回源规则配置说明如下： 参数 说明 回源类型 根据需求场景选择镜像回源或重定向回源： 镜像回源：镜像回源会从回源规则指定的源站抓取对应资源，转发给客户端，同时在后台生成回源任务，将源站数据保存至ZOS中。 重定向回源：重定向回源对用户的请求根据回源规则生成新的url后进行重定向，由客户端对重定向的url进行访问，不会将源站数据保存至ZOS中。 回源条件 触发回源需同时满足下列两个条件： HTTP状态码：404 文件名前缀：设置请求的文件名前缀 回源地址规则 选择添加前缀/添加前后缀/替换文件名前缀。 回源地址 选择https/http，填入域名或 IP 地址。 跟随重定向 可选开启或关闭。开启后ZOS会跟踪源站的3xx重定向请求，前往重定向的目标获取资源，并将资源保存到ZOS。关闭时ZOS会透传3xx响应，不会前往重定向的目标获取资源。 7. 配置完后点击“确定”，创建成功，系统将根据创建的先后顺序为规则分配优先级，您也可以通过点击“调整优先级”来重新调整规则的优先级。

在监控Go应用之前,您需要通过客户端将应用数据上报至APM服务端。本文介绍如何通过SkyWalking SDK上报Go应用数据。 接入步骤 1. 添加SkyWalking Go依赖。 plaintext package main import ( "context" "flag" "fmt" "github.com/SkyAPM/go2sky" httpPlugin "github.com/SkyAPM/go2sky/plugins/http" "github.com/SkyAPM/go2sky/reporter" "io/ioutil" "log" "net/http" "time" ) 2. 查看接入点信息。 应用列表的接入指引会根据您所在资源池提供v3版本接入点(Skywalking 8.)的ENDPOINT(天翼云vpc网络接入点)、鉴权TOKEN信息。 3. 初始化SkyWalking Go SDK。 注意 需将token和endpoint替换成相应地域的接入点信息。 使用gRPC协议上报数据。 plaintext serverPort : flag.String("port", "9891", "server port") token : flag.String("token", " ", "token") // 鉴权信息 endpoint : flag.String("endpoint", " ", "endpoint") // grpc端口 authMap : map[string]string{ "xctgauthorization": token, } flag.Parse() report, err : reporter.NewGRPCReporter(endpoint, reporter.WithAuthHeader(authMap)) //report, err : reporter.NewLogReporter() tracer, err : go2sky.NewTracer(service, go2sky.WithReporter(report), go2sky.WithInstance("clientaddr")) //填写您的客户端地址 4. client端上报例子。 plaintext func do(tracer go2sky.Tracer, serverPort string, client http.Client) { for { time.Sleep(5time.Second) doClient(tracer, client, "client", " + serverPort + "/helloserver") } } func doClient(tracer go2sky.Tracer, client http.Client, spanName string, url string) { clientReq, err1 : http.NewRequest(http.MethodGet, url, nil) parentSpan, newCtx, : tracer.CreateLocalSpan(context.Background()) parentSpan.SetOperationName(spanName) defer parentSpan.End() clientReq clientReq.WithContext(newCtx) res, err1 : client.Do(clientReq) if err1 ! nil { fmt.Println(err1, "send req error") return } defer res.Body.Close() body, err1 : ioutil.ReadAll(res.Body) fmt.Println(string(body)) } 5. 服务端上报例子。 plaintext route : http.NewServeMux() route.HandleFunc("/helloserver", func(writer http.ResponseWriter, request http.Request) { upstreamURL : " client, err : httpPlugin.NewClient(tracer) clientReq, err1 : http.NewRequest(http.MethodGet, upstreamURL, nil) if err1 ! nil { writer.WriteHeader(http.StatusInternalServerError) log.Printf("unable to create http request error: %v n", err) return } subSpan, newCtx, : tracer.CreateLocalSpan(request.Context()) subSpan.SetOperationName("server2") defer subSpan.End() clientReq clientReq.WithContext(newCtx) res, err1 : client.Do(clientReq) if err1 ! nil { writer.WriteHeader(http.StatusInternalServerError) log.Printf("unable to do http request error: %v n", err) return } defer res.Body.Close() body, err1 : ioutil.ReadAll(res.Body) if err1 ! nil { writer.WriteHeader(http.StatusInternalServerError) log.Printf("read http response error: %v n", err) return } writer.WriteHeader(res.StatusCode) , writer.Write(body) }) sm, err : httpPlugin.NewServerMiddleware(tracer) if err ! nil { log.Fatalf("create server middleware error %v n", err) } err http.ListenAndServe(":" + serverPort, sm(route)) if err ! nil { log.Fatal(err) } 6. 通过以上步骤，最后就在APM控制台的应用列表页面选择目标应用，查看监控数据。

操作场景 节点访问 ( NodePort )是指在每个节点的IP上开放一个静态端口，通过静态端口对外暴露服务。节点访问 ( NodePort )会路由到ClusterIP服务，这个ClusterIP服务会自动创建。通过请求 : ，可以从集群的外部访问一个NodePort服务。 约束与限制 “节点访问 ( NodePort )”默认为VPC内网访问，如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 创建service后，如果服务亲和从集群级别切换为节点级别，连接跟踪表将不会被清理，建议用户创建service后不要修改服务亲和属性，如需修改请重新创建servcie。 同一个节点内的容器不支持访问externalTrafficPolicy为local的service。 工作负载创建时设置 您可以在创建工作负载时通过控制台设置Service访问方式，本节以nginx为例进行说明。 步骤 1 参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在“工作负载访问设置”步骤，单击“添加服务”。 访问类型：选择“节点访问 ( NodePort )”。 说明： 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载实际监听的端口，取值范围为165535。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 2 完成配置后，单击“确定”。 步骤 3 单击“下一步：高级设置”进入高级设置页面，直接单击“创建”。 步骤 4 单击“查看工作负载详情”，在访问方式页签下获取访问地址，例如“192.168.0.160:30358”。 工作负载创建完成后设置 您可以在工作负载创建完成后对Service进行配置，此配置对工作负载状态无影响，且实时生效。具体操作如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”，在工作负载列表页单击要设置Service的工作负载名称。 说明： 如果当前Service被关联到Ingress，则更新Service的端口信息后Ingress将不可用，需要删除重建。 步骤 2 在“Service”页签，单击“添加Service”。 步骤 3 在“添加Service”页面，访问类型选择“节点访问 ( NodePort )”。 说明： 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 步骤 4 设置节点访问参数： Service 名称：自定义服务名称，可与工作负载名称保持一致。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作 负载：要添加Service的工作负载，此处不可修改。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 5 单击“创建”。工作负载已添加“节点访问 ( NodePort )”的服务。 验证访问方式 步骤 1 在管理控制台首页，单击“计算 > 弹性云主机”。 步骤 2 在弹性云主机页面，找到同一VPC内任意一台云服务器，并确认连接到访问地址中IP与端口的安全组是开放的。 步骤 3 单击“远程登录”，弹出登录页面，输入用户密码登录。 步骤 4 使用curl命令访问工作负载验证工作负载是否可以正常访问。 说明： 节点访问(NodePort)会在集群内节点上分配一个虚拟IP，即可以在集群内部通过虚拟IP的验证方式验证。其中，虚拟IP访问端口默认与容器端口一致。 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 curl 192.168.0.160:30358 其中“192.168.0.160:30358”为步骤4中获取到的访问地址，即节点虚拟IP+访问端口。 回显如下表示访问成功。 Welcome to nginx! body { width: 35em; margin: 0 auto; fontfamily: Tahoma, Verdana, Arial, sansserif; } Welcome to nginx! If you see this page, the nginx web server is successfully installed and working. Further configuration is required. For online documentation and support please refer to Thank you for using nginx. 更新Service 您可以在添加完Service后，更新此Service的端口配置，操作步骤如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”，在Service页签下，选择对应的集群和命名空间，单击需要更新端口配置的Service后的“更新”。 步骤 2 在更新Service页面，访问类型选择“节点访问 ( NodePort )”。 步骤 3 更新节点访问参数： Service 名称：您创建的Service名称，此处不可修改。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作负载：要添加Service的工作负载，此处不可修改。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 4 单击“更新”。工作负载已更新Service。

欺诈类 包括但不限于以下违规内容的信息： 以网站链接提示虚假的中奖信息，以奖金/奖物的中奖信息诱惑用户等； 为诈骗APP、应用程序提供分发服务下载链接； 发布钓鱼网站、伪造仿冒正规网站，盗取用户相关信息，诱使用户上当受骗蒙受损失； 运营、介绍、讲解、分析、推销、支持被官方认定为网络传销的虚拟货币； 散播传销、电信诈骗等信息； 虚假金融投资、虚假信用卡待办、网络赌博诈骗等，导致用户出现资金损失； 以虚假交易、交友（杀猪盘）、兼职刷单等手段在网上骗取他人财物； 以非法占有为目的，用虚构事实或者隐瞒真相的方法，骗取款额较大的公私财物的行为； 为电信网络诈骗活动提供支持或者帮助的其他行为。 相关法律法规参考：《最高人民法院、最高人民检察院关于办理诈骗刑事案件具体应用法律若干问题的解释》、《中华人民共和国刑法》、《中华人民共和国反电信网络诈骗法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》。 色情低俗类 包括但不限于以下违规内容的信息： 以音像、图文内容等方式发布含有色情的内容，包括但不限于情色电影、视频、直播、三级片、动漫、读物、漫画、写真、音频等；直接或隐晦表现性行为、具有挑逗性或者侮辱性内容，或以带有性暗示、性挑逗的语言描述性行为、性过程、性方式的其他色情低俗内容。 发布含有色情信息的软件或服务，包括但不限于提供聊天、交友、招嫖、一夜情、性伴侣相关的软件，提供色情内容下载工具（如色情电影种子、搜索工具等）； 发布色情论坛、成人论坛、含有情色低俗内容的资源站点，以及与其相关的账号、链接、邀请码等。 传播非法性药品、性保健品、性用品和性病营销信息等相关内容。 《全国整治互联网低俗之风专项行动工作方案》中公布的低俗内容界定标准： （1）表现或隐晦表现性行为、令人产生性联想、具有挑逗性或者侮辱性的内容。 （2）直接暴露和描写人体性部位的内容。 （3）对性行为、性过程、性方式的描述或者带有性暗示、性挑逗的内容。 （4）对性部位描述、暴露，或者只用很小遮盖物的内容。 （5）全身或者隐私部位未着衣物，仅用肢体掩盖隐私部位的内容。 （6）带有侵犯个人隐私性质的走光、偷拍、漏点等内容。 （7）以庸俗和挑逗性标题吸引点击的。 （8）相关部门禁止传播的色情、低俗小说，音视频内容，包括一些电影的删节片段。 （9）传播一夜情、换妻、SM 等不正当交友信息。 （10）情色动漫。 （11）宣扬血腥暴力、恶意谩骂、侮辱他人等内容。 （12）非法“性药品”广告和性病治疗广告等相关内容。 （13）未经他人允许或利用“人肉搜索”恶意传播侵害他人隐私信息。 相关法律法规参考：《中华人民共和国治安管理处罚法》、《中华人民共和国刑法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》等相关法律法规

本文介绍如何停用域名和删除域名。 背景说明 如果客户的网站因业务变更需要停止加速服务，客户可以通过边缘安全加速控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”。3天内，天翼云将加速域名的CNAME解析至客户源站地址。 注意：对域名进行停用操作后，边缘节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。 删除域名 对域名进行删除操作后，天翼云边缘节点会直接删除加速域名在边缘节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至边缘节点，则会响应403。 注意事项 停用加速域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云CDN入口，调整为解析至其他CNAME或A记录。该调整完成后，客户可以通过边缘安全加速控制台统计分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。

本文将向您介绍创建终端节点服务的步骤,以便您根据实际需求进行操作。 操作场景 终端节点服务是将云服务或用户私有服务配置为VPC终端节点支持的服务。目前支持"接口"类型的终端节点服务的创建。 约束及限制 单个VPC可以创建终端节点服务实例数为20个。 单个终端节点服务可连接终端节点实例数为500个。 单个终端节点只能连接1个终端服务节点实例。 前提条件 在同一VPC内已创建了后端资源。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“网络>VPC终端节点”，进入“终端节点”页面。 4. 在左侧导航栏选择“终端节点服务”，点击“创建终端节点服务”。 5. 在“创建终端节点服务”页面根据“接口型”终端节点服务配置说明配置参数，点击“确定”完成创建。 “接口型”终端节点服务配置说明 参数 说明 地域 终端节点服务所在地域，页面左上角可切换地域。不同地域的资源之间内网不互通，为了最优化的性能，请选择靠近您的地域，以降低网络时延并提高访问速度。 名称 终端节点服务的名称。名称由数字、字母、中文、、组成，不能以数字、和开头。 VPC 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，当前支持“接口”类型终端节点服务。 IP地址类型 服务IP地址类型，IPV4：仅自持IPV4类型终端节点连接，实现IPV4地址私网访问服务，双栈：支持IPV4和IPV6类型终端节点连接，实现IPV4和IPV6地址的私网访问服务。选择双栈类型时，挂载的后端服务资源池必须也是双栈类型资源。 是否自动接收连接 是否自动接收终端节点与终端节点服务的连接，审核权由终端节点服务控制。 可选择“是”或“否”。选择“否”不自动接受连接，则创建的终端节点为“待审核”状态，需要终端节点服务审核后方可使用。 服务计费 是否开启服务计费，可选择“是”或“否”。 默认连接服务的终端节点费用有终端节点创建账户支付，如服务开启服务计费后，则连接服务的终端节点费用将由服务所在账户支付，功能仅创建时指定，服务创建后不可修改。 端口映射 终端节点服务与终端节点建立连接，支持通过TCP/UDP协议进行通信。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。 服务端口和终端端口取值范围1～65535，单次操作最多可添加20条端口映射。 访问终端节点服务时，通过"终端端口 → 服务端口"的方式进行数据传输和通信。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 云主机：作为服务器使用。 物理机：作为服务器使用。 虚拟IP：适用于需要主备高可靠的业务。 内网负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。此处选择“内网负载均衡”。 说明：终端节点服务配置的后端资源所在安全组，安全组添加的规则是白名单，需要添加源地址为198.19.128.0/20的白名单入方向规则，详细操作请参考《虚拟私有云用户指南》中的添加安全组规则。 后端资源子网 选择后端资源所属的子网。 描述（可选） 可添加终端节点服务相关的描述。

本文介绍模型推理服务使用前的准备工作。 注册天翼云账号 在开通和使用模型推理服务平台之前，您需要先注册天翼云账号。 1. 注册账号，请参考账号中心注册账号 2. 如需实名认证，请参考账号中心实名认证。 充值主账户 使用息壤模型推理服务平台之前，请保证您的账户有充足的余额，账户余额需要大于100元。 请前往费用充值为账户充值。 平台支持按卡时后计费、包周期预付费和按tokens用量计费。

本文主要介绍如何设置天翼云账号的“收件地址”。 操作步骤 1、在天翼云官网首页点击“我的账号中心”进入账号中心的“基本信息“页面，点击详细资料； 2、点击“基本信息”页面的“地址管理”页签； 3、在“地址管理”页面，点击“新增收货地址”按钮，填写“收件人姓名”、“所在地区”、“详细地址”、“邮政编码”、“手机号码”等信息，点击“保存”； 4、支持在列表中修改、删除地址，以及将地址设置为默认收件地址。

在监控Node.js应用之前,您需要通过客户端将应用数据上报至APM服务端。本文介绍了如何通过SkyWalking将Node.js应用接入APM。 前提条件 完成vpce接入。 接入步骤 1.引入相关依赖。 plaintext npm install save express nodefetch skywalkingbackendjs 2.查看接入点信息。 应用列表的接入指引会根据您所在资源池提供“通过 HTTP 上报数据”和“通过 gRPC 上报数据”的ENDPOINT(天翼云vpc网络接入点)、鉴权TOKEN信息。 3.server 端上报示例。 编写以下 server 端代码，保存为 nodejsdemoserverskywalking.js 文件。 请将url和token替换成第2步中获取的接入点信息。 plaintext // nodejsdemoserverskywalking.js const express  require('express') const app  express() const port  3000 app.get('/', (req, res) > {   console.log('received request')   res.send('Hello World!') }) app.listen(port, () > {   console.log(server running at  }) const {default: agent}  require('skywalkingbackendjs') agent.start({   serviceName: 'nodejsdemoserverskywalking',   collectorAddress: ' ',   authorization: 'Bearer  ',   sqlTraceParameters: true, }) 运行 server 端代码。 plaintext node ./nodejsdemoserverskywalking.js 4.client端上报示例。 编写以下 client 端代码，保存为 nodejsdemoclientskywalking.js 文件。 plaintext // nodejsdemoclientskywalking.js import('nodefetch').then(async ({ default: fetch }) > {   const response  await fetch('   const data  await response.text()   console.log(data) }) 运行 client 端代码。 plaintext node ./nodejsdemoclientskywalking.js 5.通过以上步骤即可在控制台查看接入的Node.js应用。

在监控Python应用之前,您需要通过客户端将应用数据上报至APM服务端。本文介绍如何通过SkyWalking SDK上报Python应用数据。 前提条件 完成vpce接入。 此方案支持Python3.73.9版本。 接入步骤 1.安装依赖。 plaintext pip install apacheskywalking pip install flask 2.查看接入点信息。 应用列表的接入指引会根据您所在资源池提供“通过 HTTP 上报数据”和“通过 gRPC 上报数据”的ENDPOINT(天翼云vpc网络接入点)、鉴权TOKEN信息。 3.示例程序。 创建TestController.py。 请将代码中的token和endpoint替换成第2步中获取的接入点信息。 plaintext import argparse from flask import Flask from skywalking import config, agent app  Flask(name) @app.route('/', methods['GET']) def hello():     return ' hello world ' config.init(     agentcollectorbackendservices' ',     agentprotocol'grpc',      agentauthentication'Bearer  ',     agentname'skywalkingpython',     agentmeterreporteractiveFalse,     agentlogreporteractiveFalse) agent.start() if name  'main':     parser  argparse.ArgumentParser()     parser.addargument("host", typestr, default"127.0.0.1")     parser.addargument("port", typeint, default8888)     args  parser.parseargs()     app.run(debugFalse, hostargs.host, portargs.port) 4.启动程序。 plaintext python TestController.py 5.接入验证。 启动Python应用后，通过8888端口访问对应的接口，在APM控制台应用列表将展示接入的应用。 plaintext

为确保DRDS高效、稳定运行，需对应用可能运行的SQL语句进行审计，找出不符合规范的语句，拒绝语句执行或者对用户提示警告，即通过DML审计规则可以实现SQL黑名单的功能。除默认常用的DML审计规则外，您还可以根据实际情况新增DML审计规则。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 在左侧目录单击数据库安全 ，然后单击数据库审计 页签，进入DML审计页面。 您可以在审计日志列表中查看目标分组和分片的审计日志，包括时间、数据库、语句、用户、客户端、审计方式和审计信息。 5. 选中目标分组，单击查看或修改审计 规则，进入DML审计规则面板。 6. 在审计规则列表上方，单击新增DML审计配置。 7. 在对话框中，配置审计规则参数，然后单击确定。 参数 说明 DML审计规则 审计规则的名称。 审计类型 审计匹配规则，取值范围： 参数化sql匹配 原始sql匹配 正则式匹配 SQL 当审计类型 设置为参数化sql匹配 或原始sql匹配时，需要输入审计的SQL语句。 正则表达式 当审计类型 设置为正则式匹配时，需要输入审计的正则表达式。 审计方式 支持配置为拒绝 或警告。 注意 对于审计方式 为拒绝 的审计规则，DRDS实例直接向前端提示报错信息，拒绝语句执行。 对于审计方式 为警告的审计规则，DRDS实例会将语句的相关信息记录到审计日志中，该日志可提供给开发人员对SQL语句进行参考优化，您可以在审计日志中查看相关信息。

介绍鉴权管理具体步骤。 功能说明 用户在连接文件系统时，需要获取鉴权信息进行相应的鉴权操作。 产品控制台系统鉴权信息管理，用户可通过控制台完成相关操作。 根据资源池不同，操作有所不用，请根据具体的资源池参考相关操作。 前提条件 已注册天翼云账号。 已登录媒体存储控制台。 已完成文件空间新建操作。 以下操作除天津资源池2区、天津资源池3区外适用 CIFS资源通过资源连接时的账号密码进行控制，在创建后可以通过控制台对密码进行修改，操作步骤如下： 1.登录媒体存储控制台，进入文件空间界面，找到需要修改CIFS密码的存储文件空间，点击【修改CIFS密码】。 2.根据弹窗指引，输入原密码、新密码并确认密码，点击【保存】，完成修改CIFS密码操作。 以下操作适用于天津资源池2区、天津资源池3区 NFS协议 1. 进入文件系统列表操作栏，选择对应NFS文件空间，点击【 管理 】进入页面。 2. 进入页面后，选择对应的挂载点，点击【 管理权限组 】。 3. 在弹窗页面，对权限和用户客户端的映射更改，然后保存点击【确认】。 用户映射说明如下表： 选项 映射说明 nosquash 使用root用户访问文件系统映射为root用户。 rootsquash 以root用户身份访问时，映射nfsnobody用户，其他用户映射为对应用户。 allsquash 无论以何种用户身份访问，均映射为nfsnobody用户。 用户映射说明配置建议如下： nfsnobody用户是Linux系统的默认用户，只能访问服务器上的公共内容，具有低权限，高安全性的特点。 选择rootsquash与allsquash可减少root用户或其他用户误操作带来的问题。 若安全需求较低，为减少出现无读写权限的问题，建议配置 nosquash。

天翼云为您提供弹性负载均衡产品服务协议,请您点击查看。 天翼云弹性负载均衡服务协议

天翼云为您提供DDoS基础防护服务协议说明，请您点击查看。 天翼云DDoS基础防护服务协议

天翼云为您提供媒体存储服务等级协议说明，请您点击查看。 天翼云媒体存储服务等级协议

本节主要介绍OOS合规保留功能。 OOS提供合规保留功能，即开启Bucket合规保留功能后，任何用户（包括根用户）都不能对此Bucket内处于合规保留期的文件进行修改和删除。 可以根据需求，对Bucket级别开启合规保留功能，以天（Days）或者以年（Years）为单位设置合规保留时长，1年365天。 注意 合规保留一旦开启，不能关闭，不能缩短合规保留时长，但可以延长合规保留时长。 合规保留的时间精确到秒，例如对Bucket A设置合规保留时长为10天，文件A1属于Bucket A，A1的最后更新时间为201931 12:00:00，该文件会在2019311 12:00:01过合规保留期。 任何用户（包括根用户）都不能修改、覆盖、删除处于合规保留期的文件。 处于合规保留期的文件，无法通过调用API、控制台修改文件的存储类型，只能通过设置的生命周期规则修改存储类型。 文件处于合规保留期：如果生命周期规则为修改文件存储类型，则生命周期规则可以生效；如果生命周期规则为到期删除文件，则文件必须过了合规保留期后，生命周期规则才能生效。

个人用户可通过“身份证认证”（扫码认证）的方式快速完成个人实名认证。 个人用户可通过“身份证认证”的方式快速完成个人实名认证。同一证件最多可以认证5个天翼云账号（含已注销3个月内的账号）。 注意事项 请提前准备好您的个人证件（仅支持大陆居民身份证）。 使用手机扫码进行实名认证。 操作步骤 1、登录天翼云官网，进入实名认证页面。 2、选择“个人认证”。 3、选择“身份证认证”，系统会弹出二维码对话窗。 4、使用天翼云APP或手机微信扫描二维码（请扫描页面实时弹出的“身份证认证”对话框中的二维码，若过期请刷新）。 5、根据手机端页面提示，填写个人证件信息，上传本人身份证，并进行活体验证，完成实名认证。 说明 在手机端实名认证成功后，PC端刷新页面即可查看最新认证结果 如果扫码认证失败，系统支持重新实名认证且重新认证信息直接覆盖原来的信息。

本章节针对不同规模团队给到用户权限管理的最佳实践 概述 微服务云应用平台权限管理是由统一身份认证（IAM）纳管。子账号登陆并访问微服务云应用平台前需要被管理员授权对应的微服务云应用平台系统权限后才可以正常使用。 小团队使用微服务云应用平台 建议小团队用户使用IAM权限鉴权，简单易上手。 1. 登陆天翼云官网并访问IAM控制台，选择需要授权的子账号。 2. 查看用户，选择所属用户组，添加用户组。如未创建所需用户组，请参考系统管理主子账号创建用户组并给用户组授权微服务云应用平台权限策略。 3. 选择目标用户组，点击确定即可。 IAM场景1 租户是小团队，只区分功能权限（常用场景） 1. 进入IAM控制台 2. 创建自定义策略 选择策略管理，创建自定义策略。 测试策略内容，仅供参考，MSAP1.6后支持通配符策略。 { "Version": "1.1", "Statement": [ { "Action": [ "msap:inst:" ], "Resource": [ "" ], "Effect": "Allow" } ] } 3. 选择用户组，创建用户组。 4. 选择用户，查看需要授权子账号，在所属用户组TAB栏，添加目标用户组。 完成以上配置后，即完成了IAM策略授权操作了！

本章介绍初始化Windows数据盘(Windows 2016)的方法。 操作场景 本文以服务器的操作系统为“Windows Server 2016 Standard 64bit”为例，提供云硬盘的初始化操作指导。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。关于磁盘分区形式的更多介绍，请参见初始化数据盘场景及磁盘分区形式介绍。 不同服务器的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的服务器操作系统的产品文档。 前提条件 已登录物理机。 已挂载数据盘至物理机，且该数据盘未初始化。 操作指导 1. 在物理机桌面，单击左下方开始图标。弹出Windows Server窗口。 2. 单击“服务器管理器”。弹出“服务器管理器”窗口，如图1所示。 图1 服务器管理器 3. 在左侧导航树中，选择“文件和存储服务”。进入“服务器”页面，如图2所示。 图2 服务器 4. 在左侧导航栏单击“磁盘”。进入磁盘页面，如图3所示。 图3 磁盘 5. 在页面右侧可以查看磁盘列表，若新增磁盘处于脱机状态，需要先进行联机，再进行初始化。 1. 选中新增磁盘，右键单击菜单列表中的“联机”。弹出“使磁盘联机”对话框，如图4所示。 2. 在弹出的对话框中，单击“是”，确认联机操作。 3. 单击界面右上方，刷新磁盘信息。当磁盘状态由“脱机”变为“联机”，表示联机成功，如图5所示。 图4 使磁盘联机 图5 联机成功 6. 联机成功后，初始化新增磁盘。 1. 选中新增磁盘，右键单击菜单列表中的“初始化”。弹出“初始化磁盘”对话框，如图6所示。 2. 在弹出的对话框中，单击“是”，确认初始化操作。 3. 单击界面右上方，刷新磁盘信息。当磁盘分区由“未知”变为“GPT”，表示初始化完成，如图7所示。 图6 初始化磁盘（Windows 2016） 图7 初始化完成 7. 单击界面左下方的“若要创建卷，请启动新建卷向导”超链接，新创建卷。弹出“新建卷向导”窗口，如图8所示。 图8 新建卷向导 8. 根据界面提示，单击“下一步”。进入“选择服务器和磁盘”页面，如图9所示。 图9 选择服务器和磁盘 9. 选择服务器和磁盘，系统默认选择磁盘所挂载的服务器，您还可以根据实际需求指定服务器，此处以保持系统默认配置为例，单击“下一步”。进入“指定卷大小”页面，如图10所示。 图10 指定卷大小（Windows 2016） 10. 指定卷大小，系统默认卷大小为最大值，您还可以根据实际需求指定卷大小，此处以保持系统默认配置为例，单击“下一步”。进入“分配到驱动器号或文件夹”页面，如图11所示。 图11 分配到驱动器号或文件夹 11. 分配到驱动器号或文件夹，系统默认为磁盘分配驱动器号，驱动器号默认为“D”，此处以保持系统默认配置为例，单击“下一步”。进入“选择文件系统设置”页面，如图12所示。 图12 选择文件系统设置 12. 选择文件系统设置，系统默认的文件系统为NTFS，并根据实际情况设置参数，此处以保持系统默认设置为例，单击“下一步”。进入“确认选择”页面，如图13所示。 说明 不同文件系统支持的分区大小不同，请根据您的业务需求选择合适的文件系统。 图13 确认选择 13. 根据界面提示，确认卷位置、卷属性以及文件系统设置的相关参数，确认无误后，单击“创建”，开始新建卷。当出现如图14所示界面，表示新建卷完成。 图14 新建卷完成 14. 新建卷完成后，单击，在文件资源管理器中查看是否有新建卷，此处以“新建卷（D:）”为例。 1. 若如图15所示，可以看到“新建卷（D:）”，表示磁盘初始化成功，任务结束。 2. 若无法看到“新建卷（D:）”，请执行以下操作，为新建卷重新添加驱动器号或文件夹。 1. 单击，输入cmd，单击“Enter”，弹出管理员窗口。 2. 在管理员窗口，执行diskmgmt命令。弹出“磁盘管理”窗口，如图16所示。 3. 在磁盘1右侧“新建卷”区域，右键单击菜单列表中“更改驱动器号和路径”。弹出“更改新建卷的驱动器号和路径”对话框，如图17所示。 4. 单击“添加”。弹出“添加驱动器号和路径”对话框，如图18所示。 5. 选择“分配以下驱动器号（A）”，重新为磁盘分配驱动器号，此处以分配驱动号D为例，并单击“确定”。分配完成后，即可在文件资源管理器中看到“新建卷（D:）”。 说明 此处选择请与步骤11中的配置保持一致。 图15 文件资源管理器 图16 磁盘管理（Windows 2016） 图17 更改新建卷的驱动器号和路径 图18 添加驱动器号和路径

托管检测与响应服务（原生版）护航版服务内容及购买操作步骤说明。 服务内容 1. 提供定制化护航保障方案。 2. 提供安全检查，包括安全产品策略、资产基线配置、协助开展安全加固。 3. 持续监控云上安全状态，提供护航日报。 4. 提供应急响应服务。 5. 提供关键业务渗透测试服务。 6. 提供724小时云端专家团队值守。 7. 服务1年内有效，订购后不支持退订。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 点击护航版“立即购买”按钮，跳转到护航版购买页面。 3. 在护航版服务购买详情页面，【产品配置】栏，按需求选择护航前安全检查、护航时长、防护资产扩展包、蓝军攻击服务。 护航前安全检查： 必选项，单位为天，最低选购时长为5天，每增加50个资产需要增加一天服务时长。 护航时长： 必选项，单位为天，最低选购时长为1天，用户可根据实际护航天数选购护航时长。 防护资产扩展包： 可选项，单位为个，每超过50个资产，需要购买一个扩展包，用户根据防护资产数量选择对应扩展包数量。 蓝军攻击服务： 可选项，单位为次，每次提供3人5天蓝军攻击服务，用户根据自身需求选购次数。 4. 确认配置信息无误后，阅读并接受相关服务协议、服务等级协议，单击右下角“立即购买”，跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回托管检测与响应服务（原生版）控制台，查看订购状态。 7. 订购完成后，24小时内，我们的服务经理会与您联系。

操作步骤 1. 登录媒体存储控制台，进入【对象存储Bucket列表】菜单。 2. 选择需要设置合规保留的Bucket，进入【基础配置】标签页。 3. 找到【合规保留】设置项，点击【添加规则】。 4. 在规则弹窗填写【保留时间】，单位为“天”。保留时间支持1~3650天。 注意 规则创建后，默认未启用，仍可延长、缩短保留时间，或删除规则。 5. 规则创建后，如需启用，在操作列点击【启用】，在确认弹窗点击【确定】后，规则立即生效。 注意 规则启用后，规则不可禁用、不可删除，且无法缩短保护时间，只可延长保护时间。

操作场景 用户根据网络规划，配置BGP路由规则。 前提条件 您的链路设置中没有配置MPLS链路。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关实例名称，进入实例详情页面。 5. 单击“BGP路由”页签，单击“添加”，进入配置BGP路由协议规则界面。 6. 在配置BGP协议页面，根据页面提示配置参数，参数信息可参考下表： 7. 单击“确定”，完成对当前智能网关实例的BGP路由规则配置。 8. 完成BGP路由配置后，您可以进一步创建设备间的连接关系，建立BGP邻居。 参数 描述 本端AS 网关设备所属自治系统编号。取值范围：165535 Router ID 智能接入网关BGP进程路由器ID。 格式为IPv4地址格式，例如192.168.1.1。