参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 0 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Boolean 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 0 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj String 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj String 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj String 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200

本章节主要介绍如何重置分布式消息服务RabbitMQ实例的密码。 操作场景 如果您忘记了创建实例时设置的密码，通过重置密码功能，重新设置一个新的密码，使用新密码连接RabbitMQ实例。 说明 只有处于“运行中”状态的RabbitMQ实例支持重置密码。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 此处请选择RabbitMQ实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”>“分布式消息服务”>“RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 步骤 4 通过以下任意一种方法，重置实例密码。 在待重置密码的实例所在行，单击“更多 > 重置密码”。 单击RabbitMQ实例名称，进入实例详情页面。单击右上角的“更多 > 重置密码”。 步骤 5 输入“新密码”和“确认密码”，单击“确定”完成密码重置。 重置密码成功，界面提示重置实例的密码成功。 重置密码失败，界面提示重置实例的密码失败，请重新尝试重置密码操作。如果多次重置失败，请联系客服处理。 说明 只有所有代理都重置密码成功，才会提示重置密码成功，否则会提示重置失败。

本文主要介绍查看实例后台任务。 . 对实例的一些操作，如修改公网访问开关、修改容量阈值策略等，会启动一个后台任务，您可以在后台任务页，查看该操作的状态等信息，同时可通过删除操作，清理任务信息。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例的名称，进入实例的“基本信息”页签。 步骤 5 单击“后台任务管理”页签，进入后台任务管理页面。 界面显示任务列表。 步骤 6 在右上角单击系统默认时间，选择开始时间和结束时间，单击“确定”，界面显示相应时间段内启动的任务。 在后台任务管理页面，您还可以执行以下操作： 单击，刷新任务状态。 单击“删除”，弹出“删除任务记录”对话框，单击“是”，清理任务信息。 说明 您只能在任务已经执行完成，即任务状态为成功或者失败时，才能执行删除操作。

本章节介绍Redis节点故障演练。 背景介绍 Redis 高可用依赖主备同步与故障切换。主/备节点进程因缺陷、配置或误操作停止时，可能触发切换或影响应用：主节点停触发主备切换，备节点停影响读能力和冗余。本演练模拟核心进程停止，验证高可用切换和客户端故障转移，帮助您评估业务影响。 基本原理 通过调用Redis停止Redis服务OpenAPI，模拟Redis节点故障，故障会触发Redis HA机制进行自动恢复。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式缓存服务Redis版 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标Redis 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式缓存服务Redis版。 添加实例 ：单击添加实例 ，勾选上一步中添加的Redis实例。 添加故障动作 ：单击立即添加 ，在列表中选择Redis节点停止动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 故障节点 ：注入故障的目标节点（主节点或备节点）。

数据备份 每天自动备份数据，上传到对象存储服务（Object Storage Service，简称OBS）。备份文件保留732天，支持一键式恢复。用户可以设置自动备份的周期，还可以根据自身业务特点随时发起备份，选择备份周期、修改备份策略。 数据恢复 支持按备份集和指定时间点的恢复。在大多数场景下，用户可以将732天内任意一个时间点的数据恢复到关系型数据库新实例或已有实例上，数据验证无误后即可将数据迁回关系型数据库主实例，完成数据回溯。 数据可靠 数据持久性高达99.9999999%，保证数据安全可靠，保护您的业务免受故障影响。 RDS与自建数据库优势对比 性能对比 性能项目 云数据库RDS 自购服务器搭建数据库服务 服务可用性 请参见《弹性云主机用户指南》。 需要购买额外设备，自建主从，自建RAID。 数据可靠性 请参见《云硬盘用户指南》。 需要购买额外设备，自建主从，自建RAID。 系统安全性 防DDoS攻击，流量清洗；及时修复各种数据库安全漏洞。 需要购买昂贵的硬件设备和软件服务，需要自行检测和修复安全漏洞等。 数据库备份 支持自动备份，手动备份，自定义备份存储周期。 需要购买设备，并自行搭建设置和后期维护。 软硬件投入 无需投入软硬件成本，按需购买，弹性伸缩。 数据库服务器成本相对较高，对于Microsoft SQL Server需支付许可证费用。 系统托管 无需托管。 需要自购2U服务器设备，如需实现主从，购买两台服务器，并进行自建。 维护成本 无需运维。 需要投入大量人力成本，招聘专业的DBA进行维护。 部署扩容 弹性扩容，快速升级，按需开通。 需采购和原设备匹配的硬件，需托管机房的配合，需部署设备，整体周期较长。 资源利用率 按实际结算，100%利用率。 考虑峰值，资源利用率低。

本小节主要介绍如何创建工单。 当运维用户不具备某些资源访问控制权限时，可主动提交工单，申请相应资源访问控制权限。 约束条件 已被纳入审批规则的用户名单内。 创建工单 1. 使用运维用户登录云堡垒机。 2. 在左侧导航栏选择“工单管理 > 工单申请”，进入工单申请页面。 3. 单击左上角的“新增”按钮，弹出“工单申请”对话框。 4. 在弹出的对话框中输入相关信息，具体填写参数可以参考下表，填写完成后单击“提交”。 参数 说明 基本信息 工单名称 输入您待提交工单的名称。 基本信息 工单类型 选择需要授权的工单类型，根据业务需求选择如下四种类型： 资产访问授权 字符命令授权 文件传输授权 数据库命令授权 资产 资产 选择您需要访问的资产或者命令，可多选。 资产 资产组 选择您需要访问的资产组，可多选。 账号 资产账号 选择您需要授权的资产账号。 注意 若选择授权的资产账号为二次登录账号（例如root），需同时授权二次登录的源账号（例如添加root资产账号时配置的二次登录源账号testuser），否则将无法完成二次登录。 协议 服务 （仅工单类型选择“资产访问授权”时需要配置）默认全部服务，也支持选择单个服务。 敏感命令 提示符正则 （仅工单类型选择“字符命令授权”时需要配置）输入待授权命令的提示符正则式。 敏感命令 命令正则式 （仅工单类型选择“字符命令授权”时需要配置）输入待授权命令的正则式。 敏感命令 文件传输 （仅工单类型选择“文件传输授权”时需要配置）选择需要授权的文件传输操作，包括上传、下载、删除等。 敏感命令 文件或目录 （仅工单类型选择“文件传输授权”时需要配置）配置策略生效的文件或目录的正则表达式，可配置多个，多个以回车进行分隔。 敏感命令 sql命令类型 （仅工单类型选择“数据库命令授权”时需要配置）选择需要授权的SQL命令类型。 授权时间 生/失效日期 配置权限生效的起始和截止日期。 支持选择1天、3天、7天、15天、长期有效，或者自定义选择日期。 授权时间 生/失效时间 配置权限生效的具体时间点。 支持选择全天、闲时（0点6点），或者自定义时间。 其他 描述 填写申请工单的相关描述。

本文介绍Web应用防火墙（边缘云版）在CC攻击常见场景推荐的防护策略和配置。 CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。以下是一些常见的CC攻击场景及WAF在不同场景下提供的具体防护策略和配置。 场景1：高频海量的虚假请求耗尽服务器资源 攻击者利用大量的虚假请求，不断向目标网站发送超过正常用户请求频率的请求，导致目标网站无法正常服务，这个最常见的一种CC攻击场景。您可以关注您的网站请求数趋势，如果请求QPS在某一时刻突然异常突增很多(比正常业务QPS突增超过10倍)，就很有可能是受到了CC攻击。 针对超过正常请求频率的攻击，最直接有效的防护方式就是配置频率控制，通过限制指定URL的访问频率，拦截超过网站正常业务请求频率的攻击。如：配置登录接口的单IP访问频率达到每分钟50次时则进行拦截，具体配置操作请参考：设置客户端IP访问域名首页次数限制。 除此之外，您还可以通过开启CC防护功能对CC攻击进行防护，设置URL达到指定阈值后则进行挑战，通过CC防护策略来校验请求是否来自于真实浏览器（注意：该功能不适用于不能执行JS的环境，如API、Native App、Websocket等） 配置示例：以下配置在阈值请求达到每5秒5000次时，则会开启CC攻击防护。更多CC防护配置请参考：设置CC防护配置。

cycleCount: "2" 选择拓扑区域，如果是天翼云iaas的存储产品，就是对应选择可用区，value填写存储openapi里的可用区的azName 当storageClass配置了volumeBindingMode: WaitForFirstConsume或者配置了allowedTopologies时， 那么PVC使用设置了该字段的storageClass，会创建报错 topology.kubernetes.io/zone: cnhuadong1jsnj1Apublicctcloud reclaimPolicy: Delete allowVolumeExpansion: true 执行以下命令，创建StorageClass plaintext kubectl apply f scexample.yaml 查看创建的StorageClass： 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“存储”——“存储类”，在存储类列表查看。 2、创建持久卷声明（PVC） 使用kubectl连接集群，创建示例yaml文件pvcexample.yaml： plaintext apiVersion: v1 kind: PersistentVolumeClaim metadata: name: cstorpvchpfs spec: accessModes: ReadWriteOnce resources: requests: storage: 512Gi storageClassName: hpfssc 执行以下命令，创建PVC plaintext kubectl apply f pvcexample.yaml 查看创建的PVC： 登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“存储”——“持久卷声明”，在列表查看。 3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "hpfstest" namespace: "default" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetest" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: "cstorpvchpfs" updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载：登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“工作负载”——“有状态”，在列表查看。

本章节主要介绍翼MapReduce的资源监控操作。 集群中部分服务提供服务级别的资源监控项，默认显示12小时的监控数据。用户可单击自定义时间区间，缺省时间区间包括：12小时、1天、1周、1月。单击可导出相应报表信息，无数据的监控项无法导出报表。支持资源监控的服务及监控项如下表所示。 登录FusionInsight Manager以后，选择“集群 > 待操作集群的名称 > 服务”后，选择待操作的服务，单击“资源”，进入资源监控页面。 服务资源监控 服务 监控指标 说明 HDFS 资源使用（按租户） l 按租户统计HDFS的资源使用情况。 l 可选择按“容量”或“文件对象数”观察。 HDFS 资源使用（按用户） l 按用户统计HDFS的资源使用情况。 l 可选择按“已使用容量”或“文件对象数”观察。 HDFS 资源使用（按目录） l 按目录统计HDFS的资源使用情况。 l 可选择按“已使用容量”或“文件对象数”观察。 l 单击配置空间监控，可以指定HDFS文件系统目录进行监控。 HDFS 资源使用（按副本） l 按副本数统计HDFS的资源使用情况。 l 可选择按“已使用容量”或“文件数”观察。 HDFS 资源使用（按文件大小） l 按文件大小统计HDFS的资源使用情况。 l 可选择按“已使用容量”或“文件数”观察。 HDFS 回收站（按用户） l 按用户统计HDFS回收站的使用情况。 l 可选择按“回收站容量”或“文件对象数”观察。 HDFS 操作数 l 统计HDFS中操作数。 HDFS 自动balance l 统计HDFS自动balancer的执行速度以及本次balancer当前迁移的总容量大小。 HDFS NameNode RPC连接数（按用户） l 按用户统计连接到NameNode的Client RPC请求中，各个用户的连接数。 HDFS 慢DataNode节点 集群中数据传输或处理慢的DataNode节点。 HDFS 慢磁盘 集群中DataNode节点上数据处理慢的磁盘。 HBase 表级别操作请求次数 所有RegionServer上的所有表中put、delete、get、scan、increment、append操作请求次数。 HBase RegionServer级别操作请求次数 RegionServer中put、delete、get、scan、increment、append操作请求次数以及所有操作请求次数。 HBase 服务级别操作请求次数 RegionServer上所有Region中put、delete、get、scan、increment、append操作请求次数。 HBase RegionServer级别HFile数 所有RegionServer中HFile数。 Hive HiveServer2BackgroundPool线程数（按IP） 周期内统计并显示Top用户的HiveServer2BackgroundPool线程数。 Hive HiveServer2HandlerPool线程数（按IP） 周期内统计并显示Top用户的HiveServer2HandlerPool数监控。 Hive MetaStore使用数（按IP） Hive周期内统计并显示Top用户的MetaStore使用数。 Hive Hive的Job数 Hive周期内统计并显示用户相关的Job数目。 Hive Split阶段访问的文件数 统计Hive周期内Split阶段访问底层文件存储系统（默认：HDFS）的文件数。 Hive Hive基本操作时间 Hive周期内统计底层创建目录（mkdirTime）、创建文件（touchTime）、写文件（writeFileTime）、重命名文件（renameTime）、移动文件（moveTime）、删除文件（deleteFileTime）、删除目录（deleteCatalogTime）所用的时间。 Hive 表分区个数 Hive所有表分区个数监控，返回值的格式为：数据库

本节主要介绍创建IAM用户并登录 步骤1已完成用户组的创建并完成了授权，本节将描述A公司使用已注册的天翼云帐号，给公司成员创建IAM用户并加入用户组的操作，使得他们拥有独立的用户和密码，可以独立登录天翼云并管理权限范围内的资源。 创建IAM用户 步骤 1 A公司管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户”。 步骤 5 在“用户”管理界面中，单击“创建用户”。 步骤 6 在创建用户界面中，输入用户名、手机号、用户组等用户信息。 用户组：在下拉菜单中选择步骤1中已创建好的用户组“开发人员组”，新用户将具备此用户组的全部权限，这一过程即给用户授权。 用户基本信息：依次输入新用户的“邮箱”、“用户名”等基本信息，并为用户设置初始登录密码。 步骤 7 单击“确定”，完成IAM用户创建，用户列表中将显示新创建的IAM用户。 参考步骤5至步骤7的方法，创建用户Charlie、Jackson和Emily，并加入对应的用户组。 IAM用户登录 通过前述步骤，A公司已在其天翼云帐号中创建了名为James、Alice、Charlie、Jackson和Emily的IAM用户。完成IAM用户创建后，A公司管理员需要将帐号名、IAM用户名及初始密码告知对应的员工，这些员工就可以使用自己的用户名及密码访问天翼云及各云服务平台。 如果IAM用户登录失败或忘记密码，IAM用户可以联系A公司管理员重置密码。 步骤 1 A公司IAM用户打开天翼云官网。 步骤 2 单击顶部右上角“登录”，在登录页面输入用户名IAM用户名（一般为邮箱地址）、密码，单击“登录”按钮，登录天翼云。

删除白名单规则 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 白名单管理”，进入白名单管理页面。 3. 搜索需要删除的白名单规则，单击“操作”列的“删除”按钮即可删除白名单规则，若您需要批量删除可勾选白名单规则，单击页面左上角的“批量删除”按钮进行删除。

参数 参数类型 说明 示例 下级对象 statusCode String 状态码 200成功 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 成功 returnObj Object 返回对象returnObj returnObj

同一个微服务引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的微服务引擎访问和操作权限。 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。 开启了“安全认证”的微服务引擎专享版，支持Spring Cloud、Java Chassis微服务框架正常接入。 说明： 基于RBAC的系统管理功能与IAM权限管理无关，仅是CSE内部微服务的权限管理机制。 如果您通过ServiceStage控制台操作微服务引擎，必须同时具备IAM和RBAC的操作权限，且IAM权限优先级要高于RBAC权限。 如果您通过API接口或者微服务框架操作微服务引擎，则只需具备RBAC相关权限。 当前系统管理功能仅支持微服务权限管理，暂不支持配置管理、服务治理。 1. 您可以使用关联了admin角色权限的帐号创建新帐号，根据实际业务需求把合适的角色同帐号关联。使用该帐号的用户则具有对该微服务引擎的相应的访问和操作权限。 − 创建开启了“安全认证”的微服务引擎专享版时，系统自动创建1个关联了admin角色权限的root帐号。不能编辑、删除root帐号。 − 您可以使用创建该微服务引擎的root帐号或者该微服务引擎下关联了admin角色权限的帐号创建新帐号。创建和管理帐号，请参考帐号管理。 2. 您可以使用关联了admin角色权限的帐号创建自定义角色，根据业务需求把合适的微服务引擎访问和操作权限赋予该角色。 − 系统默认内置两种角色：管理员（admin）、开发者（developer）。不能编辑、删除内置角色。 − 您可以使用创建该微服务引擎的root帐号或者该微服务引擎下关联了admin角色权限的帐号创建自定义角色。创建和管理角色，请参考角色管理。 − 角色权限说明，请参见下表。 表 角色权限说明 角色 权限说明 admin 具有该微服务引擎下所有微服务、帐号和角色的所有操作权限。 developer 具有该微服务引擎下所有微服务的所有操作权限。 自定义角色 根据实际业务需求创建角色，给角色分配相应微服务的操作权限。

云原生网关 云原生网关同时具备传统的流量网关和业务网关功能（Zuul、Spring Cloud Gateway等），提供全局性和独立业务域级别的流量管理策略，支持Nacos和K8s等多种服务发现方式，支持TLS加密通信和多种身份认证方式，构筑安全的流量入口。 功能模块 功能详情 相关文档 服务管理提升应用稳定性 打通Nacos、K8s等多种服务发现数据源，支持多种服务负载均衡策略，通过限流、熔断、降级等策略提升整个访问链路稳定性。 服务管理 丰富灵活的路由策略 支持多种路由策略进行多服务路由转发，从请求路径、请求方法、请求头和请求参数等维度进行规则设置，实现请求限流、重写、Header 设置、跨域等。 路由策略配置 防御鉴权保障应用安全 支持JWT，OIDC等多种鉴权方式，对用户进行身份验证，支持自定义访问控制策略，支持全局或者路由级别的黑白名单配置，最大限度控制安全风险。 安全认证配置 可观测能力快速定位问题 集成天翼云LTS、APM等可观测组件，提供网关实例监控、业务监控、日志分析、全链路追踪等功能，高效定位问题，提高应对核心链路问题的响应速度。 监控分析

如何访问文件系统？ 文件系统可以通过以下几种方式进行访问： 云内通过内网访问文件系统，将文件系统挂载至归属相同VPC的云主机、容器或者物理机上，挂载成功后，可以在云主机、容器或者物理机上访问弹性文件系统，用户可以把弹性文件系统当作一个普通的目录来访问和使用，执行读取或写入操作。 云外通过云专线访问文件系统，可以通过云专线接入弹性文件服务，实现本地数据中心与弹性文件服务的网络互通。 为何无法使用showmount e ip 查看共享文件目录？ 基于安全因素考虑，目前已禁用该命令。您可以通过登录以下两种方式查看所有的文件系统： 方式一：通过弹性文件服务控制台查看。登录天翼云官网，点击“控制中心”，在“存储”模块下点击“弹性文件服务SFS Turbo”进入控制台列表页。 方式二：通过OpenAPI查看。使用查询租户已开通文件系统列表接口即可获取。 如何避免NFS 4.0监听端口被误认为木马? 问题描述： 在通过NFSv4.0协议挂载NAS文件系统后，会出现一个随机端口（0.0.0.0）被监听的情况，并且无法通过netstat命令确定监听端口所属的进程，这可能导致误判为文件传输受到木马攻击的情况。 问题原因： 该随机端口是NFSv4.0客户端为了支持Callback而监听的。由于内核参数fs.nfs.nfscallbacktcpport默认值为0，因此NFSv4.0客户端会随机选择一个端口进行监听，而这个随机端口本身并不会带来安全风险。 解决方案： 在挂载文件系统之前，您可以通过配置参数fs.nfs.nfscallbacktcpport来指定一个非零的确定值，以固定该监听端口。 命令如下： sudo sysctl fs.nfs.nfscallbacktcpport 请将上述命令中的替换 为您希望使用的具体端口号。通过上述操作，您可以固定NFSv4.0客户端的Callback监听端口，避免随机端口的出现，从而减少误判为木马攻击的可能性。

本小节介绍配置登录白名单。 通过配置目标服务器IP、登录端IP以及登录端用户名完成登录白名单添加，添加后HSS对白名单内IP、用户名的登录、访问行为进行忽略。 注意 配置的目标服务器IP、登录端IP以及登录端用户名需同时满足白名单配置的信息，检测时才会忽略。 如果将已经产生告警的目标IP通过添加登录告警白名单方式加入白名单，加入白名单之后的检测会对目标IP进行忽略，但已经产生的告警不会自动放行，仍需对告警进行处理，处理详情请参见查看入侵告警事件。 您可以通过以下两种方式添加登录白名单： 处理告警事件时，将“帐户暴力破解”和“帐户异常登录”类型的告警事件加入到登录白名单，详细信息请参见入侵告警事件。 在“登录白名单”页面，添加登录白名单。 约束限制 需开启旗舰版、网页防篡改版、容器版任一防护版本。 添加登录告警白名单 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“入侵检测 > 白名单管理 > 登录白名单”，进入“白名单管理”页面，单击“添加”。 4、在“添加登录安全白名单”对话框中，输入“服务器IP”、“登录IP”和“登录用户名”。 添加登录安全白名单 登录安全白名单参数说明 参数名称 参数说明 取值样例 服务器IP 支持IPv4地址。 支持单个IP、IP范围、IP掩码，以英文逗号分隔。 192.168.1.1 192.168.2.1192.168.6.1 192.168.7.0/24 登录IP 登录用户名 当前登录用户名。 hsstest 5、单击“确认”，完成登录白名单的添加。

本章节介绍天翼云边缘重保服务的常见计费类问题。 边缘重保服务如何计费？ 边缘重保服务按“次”计费，每次提供1个自然日内不超出12小时（体验版为10小时）核心时段的保障服务，若需要保障的活动跨多天，或需要多人驻场支持，则需根据实际情况订购多次。详细说明见计费标准说明与示例内容。 边缘重保服务是否支持退订？ 暂不支持退订，请确认具有保障需求后，仔细对照服务版本差异一览表，选择合适的服务版本。 边缘重保服务是否支持升降配？ 暂不支持升降配，下单前请仔细对照服务版本差异一览表，选择合适的服务版本。