本文主要介绍如何创建弹性网卡。 操作场景 主弹性网卡随实例默认创建，您可以参考以下操作，在弹性网卡控制台创建扩展弹性网卡。 约束与限制 通过管理控制台创建的扩展弹性网卡，必须和其绑定的实例属于同一个虚拟私有云，可以属于不同安全组。 说明 此限制仅针对管理控制台，通过API创建扩展弹性网卡可以与其绑定的实例属于不同的虚拟私有云。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 单击“创建弹性网卡”。 5. 配置弹性网卡参数，如下表所示。 表 参数说明 参数 参数说明 取值样例 名称 弹性网卡的名称，必填项。弹性网卡的名称只能由中文、英文字母、数字、下划线、中划线、点组成，且不能有空格，长度不能大于64个字符。 networkInterface891e 虚拟私有云 选择弹性网卡归属的VPC，必填项。 vpc001 子网 选择弹性网卡归属的子网，必填项。 subnet001 私有IP地址 选择是否自动分配私有IP地址。 安全组 选择弹性网卡所属安全组。 sg001 6. 单击“确定”，完成创建。

本页面介绍云数据库ClickHouse的计划重启时间设置。 功能简介 该功能允许用户预约云数据库ClickHouse集群内所有ClickHouse节点和Zookeeper节点的重启时间，以规避业务高峰期。 操作步骤 1. 登录控制台,在实例列表页面选择对应实例，点击“更多”下的“编辑重启时间”。 2. 选择预约日期和具体时间，或者取消重启计划。 3. 确认无误后点击“确认”提交。 4. 回到实例列表页面检查编辑结果。 注意事项 如果取消计划重启时间时与计划重启时间的时间间隔过近，有取消失败的可能。 重启期间禁止写操作,读操作可能受影响。

日志 表 日志 高危操作 导致后果 误操作后解决方案 删除宿主机/tmp/ccslogcollector/pos目录 日志重复采集 无 删除宿主机/tmp/ccslogcollector/buffer目录 日志丢失 无 云硬盘 表 云硬盘 高危操作 导致后果 误操作后解决方案 备注 控制台手动解挂EBS Pod写入报io error 删掉node上mount目录，重新调度Pod Pod里面的文件记录了文件的采集位置 节点上umount磁盘挂载路径 Pod写入本地磁盘 重新mount对应目录到Pod中 Buffer里面是待消费的日志缓存文件 节点上直接操作EVS Pod写入本地磁盘 无 无

本节为您介绍激活智能网关的操作流程。 操作场景 用户购买智能网关实例后，需要激活才能使用。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 激活过程中需保持智能网关通电且已连通网络，且“设备状态”为“在线”（注：设备状态可在“目标智能网关详情页面基本信息”标签下查看）。 如果智能网关为硬件版，还需要提前配置链路，具体操作，详见链路设置章节。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关“操作”列的“更多激活”。 5. 根据页面提示，选择设备接入方式，并配置网络。 6. 单击“确定”，开始激活操作。 7. 激活成功后，业务状态变为“已激活”。 8. 激活智能网关后，可进一步将智能网关绑定到天翼云SDWAN实例中。绑定到天翼云SDWAN实例后，可以实现设备互联，访问云上资源。具体操作步骤，请参考绑定天翼云SDWAN实例页面。 说明 如需天翼云人员协助上门安装，请购买装维服务。购买服务后，装维人员将联系您上门协助完成智能网关安装、激活等操作。

时间点 作业B（小时调度，开始时间00:00，间隔时间10小时） 作业A（天调度，每天02:00执行） 第1天00:00 执行 第1天02:00 检查 [第0天00:00:00, 第1天00:00:00) 区间，无作业B实例运行，不执行 第1天10:00 执行 第1天20:00 执行 第2天00:00 执行 第2天02:00 检查[第1天00:00:00, 第2天00:00:00) 区间，有作业B实例运行完成，执行作业A 第2天10:00 执行 第2天20:00 执行 ... ... ...

本文介绍如何使用ECX部署OpenClaw企业微信机器人。 注意 配置企业微信机器人之前，请先确保已经购买ECX虚拟机并配置大模型服务。具体操作步骤，可参考指引：使用ECX部署OpenClaw。 创建企业微信机器人并获取配置 1、登录++企业微信管理后台++，使用有企业管理员权限的账号登录。 2、创建机器人。 在企业微信管理后台进入安全管理管理工具，点击智能机器人。 录入对应配置，选择API模式创建。 填写名称、简介、可见范围、URL、Token、EncodingAESKey。其中URL输入 此时先不点击保存创建，待登录虚拟机完成机器人Channel配置后再保存。 安装企业微信插件 1、登录虚拟机，克隆企业微信插件项目。 plaintext cd ~/ plaintext git clone 2、进入项目目录。 plaintext cd openclawwecomchannel 3、安装依赖。 plaintext npm install 4、安装插件（使用link方式）。 plaintext openclaw plugins install link wecom 5、重启 Gateway使配置生效。 plaintext openclaw gateway restart

本节主要介绍闲时抢占型虚拟机的特点、优势、使用限制及开通方法。 概述 闲时抢占型虚拟机，是ECX提供的一种按需计费的边缘云主机实例，其具有以下的特点： 当库存充足时，支持用户开通闲时抢占型虚拟机。 用户购买成功后，保护期为1小时，即确保用户稳定使用1小时。 当库存不足时，有可能会被驱逐释放。 不支持升配、按需转包周期等操作。 CPU、内存及GPU价格仅为标准价格虚拟机的20%，存储及带宽资源维持标准价格，具体参考：价格。 优势 高性价比，价格折扣幅度大。 有保护周期，至少可以稳定使用1小时。 使用限制 由于系统中断机制，不建议运行对稳定性要求极高的服务或有状态的应用，如数据库服务。 实例被释放时数据不保留，需要用户自行备份。 不支持实例规格变更及按需转包周期。 注意 目前仅部分资源池支持开通闲时抢占型虚拟机，如需开通，请联系客户经理咨询。 适用场景 适合非生产环境的计算任务，如开发、测试等。 适合对稳定性要求不高的计算任务，如爬虫、非实时图像渲染等。 适合分布式容错应用程序、无状态应用程序及非紧急或高度并行化的工作负载。

本页介绍天翼云TeleDB数据库集群监控。 操作场景 集群监控页面展示整个集群监控指标，可以从实例的整体全局上了解实例的运行状态。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树单击实例监控 ，选择集群监控页签。 2. 选择需要查看的时间范围。 集群监控页面包含了以下指标信息： 容量占用率：所有节点数据目录大小之和 / 所有节点磁盘总量之和。 总请求数：所有DN节点总请求数之和。 读请求数：所有DN节点读请求数之和。 写请求数：所有DN节点写请求数之和。 其他请求数：所有DN节点其他请求数之和。 总连接数：所有DN节点连接数之和。

本页介绍天翼云TeleDB数据库集群监控。 操作场景 集群监控页面展示整个集群监控指标，可以从实例的整体全局上了解实例的运行状态。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树单击实例监控 ，选择集群监控页签。 2. 选择需要查看的时间范围。 集群监控页面包含了以下指标信息： 容量占用率：所有节点数据目录大小之和 / 所有节点磁盘总量之和。 总请求数：所有DN节点总请求数之和。 读请求数：所有DN节点读请求数之和。 写请求数：所有DN节点写请求数之和。 其他请求数：所有DN节点其他请求数之和。 总连接数：所有DN节点连接数之和。

本页介绍天翼云TeleDB数据库集群监控。 操作场景 集群监控页面展示整个集群监控指标，可以从实例的整体全局上了解实例的运行状态。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树单击实例监控 ，选择集群监控 页签。 2. 选择需要查看的时间范围。 集群监控页面包含了以下指标信息： 容量占用率：所有节点数据目录大小之和 / 所有节点磁盘总量之和。 总请求数：所有DN节点总请求数之和。 读请求数：所有DN节点读请求数之和。 写请求数：所有DN节点写请求数之和。 其他请求数：所有DN节点其他请求数之和。 总连接数：所有DN节点连接数之和。

自定义应用发现规则 步骤 1 在左侧导航栏中选择“配置管理 > 应用发现”。 步骤 2 单击“添加自定义应用发现规则”，配置应用发现规则。 步骤 3 选择预探测主机。 1. 自定义一个规则规则名称（例如，ruletest）。 2. 选择一个典型的主机（例如，hhhhhh27465），用于在应用发现规则配置过程中预验证规则的有效性，最终在哪些主机上执行本规则，将会在步骤6进行配置。完成后单击“下一步”。 步骤 4 设置应用发现规则。 1. 单击“添加检查项”，使满足检查项的进程能被AOM发现。 AOM将发现满足检查项的进程，例如，命令行参数包含“ovsvswitchd unix:”，且环境变量中包含“SUDOUSERpaas”的进程。 说明 为了能精准的探测到符合您预期的进程，建议您在添加检查项时，填写进程的独有特征，即填写更容易识别出预期进程的关键字作为检查项。 您至少要添加一条检查项，检查项您最多可添加5条。当有多条检查项时，所有检查项同时满足，AOM才能发现进程。 2. 添加检查项完成后，单击“开始探测”，查找符合的进程。 如果20s后未探测到符合条件的进程，您需要修改发现规则后继续探测；如果探测到符合的进程，将可进入下一步的操作，否则不能进入后续操作。 步骤 5 设置组件名称。 1. 设置组件名称。 在“组件名称设置”下单击“添加命名项”，为已发现的进程设置组件名。例如，添加固定文字"apptest"拼接起来作为组件名。 说明 若您未设置组件名，则组件名默认为unknownapplicationname。 当添加了多条命名项时，所有命名项将拼接在一起作为进程的组件名，同名组件的指标将被汇聚在一起。 2. 预览组件名称。 若不符合要求，您可在“组件名称预览”表中单击对其重新命名。 步骤 6 设置优先级和探测范围。 1. 设置优先级：优先级即当有多个规则时，优先使用哪个规则发现组件。您可输入1~9999，数字越小优先级越高，例如，1优先级最高，9999优先级最小。 2. 配置探测范围：选择可探测的主机，即已配置规则将会在哪个主机上执行。如果不选任何主机，规则将会在所有主机上执行，包含后续新增的主机。 步骤 7 单击“添加”，完成配置。AOM会采集进程的指标数据。 步骤 8 等待大约两分钟后，您可在左侧导航栏中选择“监控 > 组件监控”，在集群下拉列表框中选择主机（例如，hhhhhh27465），找到已被监控的组件（例如，/openvswitch/）。

此小节介绍运维用户客户端无法访问用户资产的处理方法。 运维用户客户端无法访问服务器、数据库等用户资产需要排查客户端到云堡垒机以及云堡垒机到运维资产的网络通路，重点排查安全组配置。 注意 请先确认以下配置均已正确配置： 运维终端已正确安装访问插件，并配置访问路径； 用户拥有访问及运维资产的授权。 排查步骤 1. 检查客户端到云堡垒机网络是否能连通。 在您的客户端使用ping命令测试客户端与堡垒机的网络是否连通，如果连接失败，请您登录堡垒机控制台，查看堡垒机EIP是否正常，检查云堡垒机实例安全组策略是否正确配置，确认IP和端口是否正确开放，具体请查阅安全策略配置方法。 2. 检查堡垒机到运维资产网络是否能连通。 检查云堡垒机实例到运维资产的网络和端口是否开放，需要检查运维资产所属安全组的安全端口访问策略限制，是否允许云堡垒机实例访问运维资产。

问题描述 云日志服务控制台原始日志页签下无内容。 可能原因 未安装ICAgent日志采集工具。 采集路径配置错误。 LTS控制台上的“配置中心 > 日志采集开关”未开启 当前账号欠费，故采集器停止采集。 日志流写入速率和单行日志长度超出使用限制。 日志请求量较大，浏览器处理过慢。 解决办法 安装ICAgent，方法请参见：安装ICAgent。 采集路径如果配置的是目录，示例：/var/logs/，则只采集目录下后缀为“.log”、“.trace”和“.out”的文件；如果配置的是文件名，则直接采集对应文件，只支持文本类型的文件。 登录LTS控制台，在“配置中心 > 日志采集开关”页签，将采集开关置于“开启”状态。 更换Google Chrome 或Firefox 浏览器查询日志。

请求示例 请求url /v4/monitor/querycustomitems?regionID81f7728662dd11ec810800155d307d5b&nameCPU使用率&pageNo1&pageSize10 请求头header 无 请求体body 无 响应示例 json { "statusCode": 800, "errorCode":"", "message": "Success", "msgDesc": "成功", "returnObj": { "customItemList": [ { "regionID": "81f7728662dd11ec810800155d307d5b", "customItemID": "ITEM793d5923652be6ce202306291409", "name": "我的CPU使用率", "unit": "%", "interval": 60, "dimensions": [ { "name": "uuid", "description": "主机的唯一标识" }, { "name": "usage", "description": "主机用途" } ] }, { "regionID": "81f7728662dd11ec810800155d307d5b", "customItemID": "ITEM233d5923652be6ce202306291409", "name": "新的CPU使用率", "unit": "%", "interval": 300, "dimensions": [ { "name": "uuid", "description": "主机的唯一标识" }, { "name": "host", "description": "主机所在宿主机" } ] } ], "totalCount": 2, "totalPage": 1, "currentCount": 2 } } 状态码 状态码 描述 200 请求成功 错误码 errorCode 描述 其他 参见公共错误码说明

本章节主要介绍翼MapReduce的管理实例配置操作。 操作场景 每个单独的角色实例可以修改配置参数在迁移实例到新集群场景或者重新部署相同服务的场景下，管理员可以在FusionInsight Manager中将某服务所有配置数据导入或者导出，实现配置结果的快速复制。 FusionInsight Manager支持管理单个角色实例的配置参数，修改配置参数、导出实例配置或导入实例配置时不影响其他实例。 对系统的影响 修改角色实例配置后，如果实例状态为“配置过期”，则需要重启此实例。重启时对应的实例不可用。 修改实例配置 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作的集群名称 > 服务”。 3. 单击服务视图中指定的服务名称，并选择“实例”页签。 4. 单击指定的实例，选择“实例配置”。 默认显示“基础配置”，如果需要修改更多参数，请选择“全部配置”，界面上将显示该实例支持的所有参数分类。 5. 在导航树选择指定的参数分类，并在右侧修改参数值。 不确定参数的具体位置时，支持在右上角输入参数名，Manager将实时进行搜索并显示结果。 6. 单击“保存”，并在确认对话框中单击“确定”。 等待界面提示“操作成功”，单击“完成”，配置已修改。 说明 角色实例配置参数修改后，如果实例状态为“配置过期”则需要重启此实例，可在“实例”页面勾选“配置过期”的实例，选择“更多 > 重启实例”。 导出导入实例配置 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 服务”。 3. 单击服务视图中待操作的服务名称，并选择“实例”页签。 4. 单击待操作的实例，选择“实例配置”。 5. 单击“导出”，导出配置参数文件到本地。 6. 在实例配置页面单击“导入”，在弹出的配置文件选择框中定位到实例的配置参数文件，即可导入所有配置。

本章节主要介绍翼MapReduce的管理实例组操作。 操作场景 FusionInsight Manager支持对多个实例组的管理功能，即用户可以按照具有相同硬件配置的节点或者其他原则将同一角色内的多个实例进行分组。针对实例组进行的配置参数修改，将同时对组内所有的实例生效。 在大集群场景中，通过实例组将提升大集群下异构环境批量实例的管理能力，分配好实例组后，后续可反复配置，减少实例配置项的冗余，提升系统性能。 创建实例组 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 服务”。 3. 单击服务视图中待操作的服务名称。 4. 选择“实例组”。 单击，按照界面提示填写参数。 实例组配置参数 参数名 说明 组名称 实例组名称只能包含字母、数字、下划线（）、中划线（）和空格，仅以字母、数字、下划线（）或中划线（）开头，只能在中间包含空格，并且不能超过99个字符。 角色 表示实例组包含哪个角色的实例。 复制源 指从指定的实例组复制配置值到新组，若为空，则新组对应的各配置值为系统默认值。 描述 只可以包含汉字、英文字母、数字、中英文逗号、中英文句号、下划线（）、空格和换行符，并且不能超过200个字符。 说明 每个实例必须且只能属于一个实例组，实例首次安装时默认属于的实例组为“ 角色名 DEFAULT”。 多余或者不再使用的实例组可以删除，删除前需要将组内的实例全部迁移至其他实例组，然后参照下方“删除实例组”对实例组进行删除，系统默认的实例组不可删除。 5. 单击“确定”完成创建实例组。

本章节主要介绍翼MapReduce的管理租户目录操作。 操作场景 管理员通过FusionInsight Manager管理指定租户使用的HDFS存储目录，能根据业务需求对租户添加目录、修改目录文件数量配额、修改存储空间配额和删除目录。 前提条件 已添加具有HDFS存储资源的租户。 查看租户目录 1. 在FusionInsight Manager，单击“租户资源”。 2. 在左侧租户列表，单击目标的租户。 3. 单击“资源”页签。 4. 查看“HDFS存储”表格。 指定租户目录的“文件目录数上限”列表示文件和目录数量配额。 指定租户目录的“存储空间配额 ”列表示租户目录的存储空间大小。 添加租户目录 1. 在FusionInsight Manager，单击“租户资源”。 2. 在左侧租户列表，单击需要修改HDFS存储目录的租户。 3. 单击“资源”页签。 4. 在“HDFS存储”表格，单击“添加目录”。 “父目录”，表示当前租户对应父租户的存储目录。 说明 当前租户不是子租户则不显示此参数。 “路径”，填写租户目录的路径。 说明 当前租户不是子租户则新路径将在HDFS的根目录下创建。 “文件目录数上限”填写文件和目录数量配额。 文件数阈值配置（%），只有设置了“文件目录数上限”才会生效。表示当已使用的文件数超过了设置的“文件目录数上限”的百分数后将会产生告警。不设置则不会根据实际使用情况上报告警。 说明 当前已使用的文件数的数据采集周期为1个小时，因此超过文件数阈值的告警上报会存在延迟。 “存储空间配额”，填写租户目录的存储空间大小。 存储空间阈值配置（%），表示已使用存储空间超过了设置的“存储空间配额”的百分数后将会产生告警。不设置则不会根据实际使用情况上报告警。 5. 单击“确定”完成租户目录添加。

本章节介绍如何进行域名管理配置 关联域名 云原生网关提供域名配置能力，支持配置协议、证书、路由配置。本文介绍如何关联域名。 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 单击左侧导航栏 域名管理 ； 6. 单击左上角按钮 关联域名 ； 7. 在关联域名面板填写域名相关配置，单击左下角确定按钮； 域名配置说明如下： 参数 描述 域名 自定义域名填写，如mse.ctyun.com，同时支持泛域名如.ctyun.com。 协议 支持HTTP和HTTPS协议，HTTPS协议需上传证书。 证书名称 选择HTTPS时填入，自定义填写证书名称。 证书文件 选择HTTPS时需上传证书文件，支持pem、cer, crt, key格式。 私钥文件 选择HTTPS时需上传私钥文件，支持pem、cer, crt, key格式。 结果验证 在域名管理列表页可以查看新关联的域名信息，且状态显示已发布 ，则说明域名关联成功。 变更域名 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 单击左侧导航栏 域名管理 ； 6. 单击域名管理页操作列编辑按钮； 7. 在编辑域名面板编辑协议、证书等信息，单击左下角确定按钮；

参数名称 参数说明 填写样例 数据源名称 自定义需要导入的数据源名称 Test 源or目标 仅支持填写“输入源”或“输出目标”。 输入源 数据源类型 填写需要新增的数据源类型 MYSQL 主机 填写数据源所在主机IP地址 192.168.0.1 端口 填写数据源所在主机的端口 3377

接口功能介绍 快照策略功能请联系客户经理开通。 快照策略仅支持资源包来源的云电脑（即不支持单实例来源的云电脑）。 如果云电脑已存在快照，且上一个快照时间点到执行周期时一直关机，则不自动创建快照，当用户开机后且到下一个执行周期，再创建快照。 接口约束 无 URI POST /v3/snapshotPolicy/modify 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 d8bbd132b53a11e9b0e40242ac110002 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 snapshotPolicyOid 是 String 快照策略ID。 sspzf13as8ds7ccqb86z8s57 snapshotPolicyName 是 String 快照策略名称。只能包含中文、数字、英文字母、下划线、中划线，长度限制164个字符。 AS116 snapshotType 是 String 快照类型。枚举值范围：sys系统盘;data数据盘;all系统盘和数据盘，其中data和all是数据盘相关的快照类型，请联系客户经理开通。 sys snapshotTimePoints 是 Array of Strings 快照时间点集合。使用UTC+8时间。任意2个时间差必须大于等于1小时。时间点数量范围[1,24]。时间点格式：HH:mm。 cycleType 是 String 快照的周期类型。枚举值范围：Week按周;Day按天。 Day daysOfWeek 否 Array of Strings 一个星期中需要快照的天。快照周期为按周时必填。取值范围[1,7]，数量限制[1,7]，不允许重复值。 [2,7] cycleDayCnt 否 Integer 快照周期天数。快照周期为按天时必填。取值范围[1,10000]。 3 retentionRule 是 String 保留规则。枚举值范围：Month按月;Day按天;Quantity按数量;Forever永久保留。 Day retentionMonthCnt 否 Integer 保留月数。retentionRule为Month时必填。取值范围[1,12]。 2 retentionDayCnt 否 Integer 保留天数。retentionRule为Day时必填。取值范围[1,99999]。 1 retentionCnt 否 Integer 保留数量。retentionRule为Quantity时必填。取值范围[1,99999]。 4 autoDelete 否 Boolean 是否自动删除。retentionRule为Quantity时需要填写，默认为true。 autoDelete description 是 String 描述。字符数限制[0,254]。 0

阶段 阶段描述 具体内容 责任方 计划实施时间 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍整体服务工作 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 测评内容介绍 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 确认保密管理内容 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍风险管理措施 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 讲解等保要求细则 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 输出《等保测评技术指导》 天翼云 1周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 依据等级保护要求，对客户系统进行安全自评估，进行差距分析 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全物理环境 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全通信网络 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全区域边界 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全计算环境 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 差距分析 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 输出《差距分析评估》 天翼云 2周 第三阶段：整改建议 （仅标准版提供） 根据差距分析，提供整改建议 差距分析整理，提供差距建议，输出《差距整改方案》 天翼云 2周

通过告警黑名单功能，可以对相关指标的告警进行屏蔽。 操作场景 通过配置告警黑名单策略，您可以对特定指标、时段、联系组的告警进行屏蔽。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 说明 告警黑名单功能当前为受限开放阶段，仅支持部分资源池，如有需要可以联系客户经理提单开通。 查看告警记录 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控服务”，进入监控概览页面。 4. 选择“告警服务>告警黑名单”菜单，即可进入告警黑名单页面。

本章节介绍故障演练服务的委托授权相关功能。 概述 故障演练服务 需要与分布式缓存服务Redis版 、分布式消息服务Kafka 等其他云产品 协同工作。为实现这一目标，当您首次使用本服务时，系统会请求您授权创建一个服务内联委托 ，以便平台能够安全地访问和管理您在其他云产品中的相关资源。 权限说明 为完成故障注入 等功能，故障演练平台 需要获得访问其他云服务 的权限。为此，系统需要您授权创建一个名为 CtyunAssumeRoleForADTSChaos 的服务内联委托。 此委托将绑定一个名为 CtyunAssumeRolePolicyForADTSChaos 的系统权限策略，可在统一身份认证 中的策略管理查看到该策略的授权范围。 服务内联委托说明 当您首次登录故障演练平台 控制台时，系统会自动检查 CtyunAssumeRoleForADTSChaos 委托 是否存在。若不存在，系统会弹出授权提示。在您确认后，系统将自动为您创建该委托及关联的权限策略。 验证方法： 您可以在 IAM 控制台的角色管理 页面，或通过API/CLI调用 ListDelegates，查看已创建的服务内联委托。 一个更简单的验证方法是：刷新或重新登录故障演练平台 控制台，如果所有功能均可正常使用且不再弹出授权提示，则表示委托已成功创建。 注意 如果没有CtyunAssumeRoleForADTSChaos服务内联委托权限，可能会因为某个服务权限不足而影响系统功能的正常使用。 请不要自行删除或者修改CtyunAssumeRoleForADTSChaos 委托以及CtyunAssumeRolePolicyForADTSChaos策略，这可能导致故障演练服务无法正常工作。

本节介绍如何查看云安全中心审计事件。 支持审计的操作列表 事件名称 读写类型 资产管理资产导入模板下载 写类型 资产管理资产导入 写类型 告警管理工单处置小结上传文件 写类型 资产管理资产导出 读类型 分析中心图表分析导出 读类型 告警管理工单处置小结下载文件 读类型 查看云审计事件 1. 登录云审计产品控制台，默认进入云审计事件列表页面。 2. 事件来源 选择“安全”，资源类型选择“云安全中心”，单击“查询”，筛选云安全中心事件。 3. 在需要查看的事件左侧，单击展开该事件的详细信息。 4. 在需要查看的事件右侧，单击操作列的“查看详情”，弹出一个窗口显示该操作事件结构的详细信息。 关于事件详情中字段详解，请参见审计服务事件参考。

体检IP管理说明，包括添加、删除、搜索、刷新等功能。 体检IP是您在天翼云上订购的，且已绑定云主机的弹性IP（EIP），您可以根据资源池选择弹性IP，并添加到体检IP列表，后续每次体检任务，将检测体检IP列表的所有IP的安全状况。 添加体检IP 1. 点击体检IP列表右上角“添加”按钮，打开添加体检IP对话框。 2. 选择资源池，等待系统自动获取EIP信息。 注意 已在体检IP列表中且未完成绑定的EIP信息不在此显示。 资源池：选择资源池时，如果您通过下拉无法快速选择到目标资源池，您可通过输入资源池名称，快速检索所有资源池。比如您希望选择北京1资源池，则输入“北”，则可快速检索出“北XXX”资源池。 IP地址：如果您所选资源池内含有大量EIP信息，无法快速定位，同样可通过搜索功能快速检索EIP信息，搜索功能支持模糊搜索。点击“刷新”按钮，可立即刷新当前选定资源池下的EIP信息。 3. 您根据业务需求，选择需要添加至体检IP列表内的IP地址，点击“确定”，即可完成添加。 删除体检IP 单个删除：点击每条IP地址操作列的删除图标，删除一条体检IP。 批量删除：多选IP地址后，选择右上角“批量删除”按钮，快速删除多条体检IP。删除多条IP地址时，需要二次确认，点击确定后，即可完成删除操作。

介绍挂载点管理相关操作。 功能说明 产品控制台提供挂载点管理功能，用户可以便捷地管理文件空间的挂载点信息。 前提条件 已注册天翼云账号。 已登录媒体存储控制台。 已完成文件空间新建操作。 使用说明 目前天津资源池2区、天津资源池3区支持挂载点管理操作。其他资源池挂载点信息可以参考文件空间管理。 NFS协议 添加挂载点 1. 登录控制台，选择文件系统菜单，进入【文件系统列表】，选择对应文件系统协议类型为【 NFS 】，在文件系统列表操作栏点击【 管理 】进入页面。 2. 进入文件空间管理页面后，点击【 添加挂载点 】。 3. 填写挂载点信息和权限管理，目前一个文件空间仅支持添加一个挂载点。填写完成后点击【确定】，完成添加操作。 用户映射说明 nosquash：使用root用户访问文件系统映射为root用户。 rootsquash：以root用户身份访问时，映射nfsnobody用户，其他用户映射为对应用户。 allsquash：无论以何种用户身份访问，均映射为nfsnobody用户。 nfsnobody用户是Linux系统的默认用户，只能访问服务器上的公共内容，具有低权限，高安全性的特点，选择rootsquash与allsquash可减少root用户或其他用户误操作带来的问题。若安全需求较低，为减少出现无读写权限的问题，建议配置 nosquash。 管理挂载点 1. 在管理页面可查看挂载点名称、挂载点信息、状态、创建时间等信息，包括对挂载点【管理权限组】、【禁用】操作。 2. 点击【禁用】，确认对该挂载点禁用后，用户将无法使用该NFS文件资源。 SMB协议

介绍创建存储桶快速入门步骤。 功能说明 媒体存储控制台提供创建存储桶操作，用户可通过控制台便捷地完成操作。 在上传文件（Object）之前，需要创建一个用于存储文件的存储空间（Bucket）。存储空间具有各种配置属性，包括访问权限、生命周期等。 前提条件 已注册天翼云账号。 已开通媒体存储并创建存储区域。具体可参考：订购指引。 Bucket命名规范 长度范围为3~63个字符。 支持小写字母、数字和短划线（）。 必须以小写字母或数字作为开头和结尾。 操作步骤 1. 登录进入媒体存储控制台，进入【对象存储Bucket列表】菜单，点击【新建Bucket】。 2. 单击【新建Bucket】后，在弹窗填写名称、区域并选择权限，点击【保存】完成Bucket的新建。 配置参数 参数 参数说明 Bucket名称 长度范围为3~63个字符。 支持小写字母、数字和短划线（）。 必须以小写字母或数字作为开头和结尾。 存储区域 根据已开通的存储区域，选择存储桶所属存储区域。创建存储桶成功后，存储区域无法变更。 权限 私有：只有该Bucket的拥有者或被授权者可以对该存储桶内的对象进行读写操作。 公共读：可以通过匿名身份直接读取您Bucket中的数据，存在较高的安全风险，不推荐此配置，建议您选择私有。 公共读写：可以通过匿名身份直接读取/写/删除您Bucket中的数据，存在较高的安全风险，不推荐此配置，建议您选择私有。 服务端加密方式 选择服务端加密方式，表示上传Object时进行加密的方式，可选【无】或【XOS完全托管】。目前仅部分资源池支持此能力，具体可参考服务端加密。

参数项 说明 所属团队 实例添加成功后的归属团队。 实例名称 实例在DMS中展示的别名。 自动同步实例名称 勾选后开启，可同步实例控制台侧的实例名称。 环境 环境标识，例如开发、测试、预发、生产等。 数据来源 实例的来源，如云数据库，公网/直连数据库 数据库类型 数据类型，如MySQL、PostgreSQL、SQL Server、DRDS、DDS。 地域/资源池 云数据库的所属资源池。 云数据库 云数据库的基本信息，含IP、端口，可勾选隐藏实例地址。 数据库账号 用于登录该实例的数据库账号。 数据库密码 登录账号的密码。 管控规则 仅限组织为企业版时显示，可设置当前实例的管控规则。 SQL规范 仅限组织为企业版时显示，可设置当前实例的SQL规范。 最大连接数 可设置当前用户能获取到的数据库最大连接数。

固定地址 1. 打开AI网关控制台实例页面，在顶部菜单栏选择目标实例所在地域，并单击目标实例ID。 2. 在左侧导航栏，单击服务，然后单击创建服务。 3. 配置基本信息。 ● 在弹窗中先选择服务来源为“固定地址”，随后编辑其余配置。 ● 服务名称： 自定义服务名称。 ● 服务地址：单击添加， 输入后端节点主机地址和端口，支持同时添加多个服务地址。存在多个服务地址时，优先路由到优先级高的服务地址，若优先级相同，则按照权重按比例路由到服务地址。 ● 请求协议：转发至后端服务的请求协议，支持HTTP、HTTPS、GRPC、GRPCS和DUBBO。 4. 配置完成后单击确定，完成服务创建。 函数计算 1. 打开AI网关控制台实例页面，在顶部菜单栏选择目标实例所在地域，并单击目标实例ID。 2. 在左侧导航栏，单击服务，然后单击创建服务。 3. 配置基本信息。 在弹窗中先选择服务来源为“函数计算”，随后编辑其余配置。 ● 函数：从函数列表中选择函数。 ● 版本/别名：选择函数的版本或别名。 ● 请求协议：函数的请求协议，支持HTTP。 4. 配置完成后单击确定，完成服务创建。 DNS域名 1. 打开AI网关控制台实例页面，在顶部菜单栏选择目标实例所在地域，并单击目标实例ID。 2. 在左侧导航栏，单击服务，然后单击创建服务。 3. 配置基本信息。 ● 在弹窗中先选择服务来源为“DNS域名”，随后编辑其余配置。 ● 服务名称： 自定义服务名称。 ● 域名： 后端服务的域名地址。 注意：如果指定的是外网地址，需要配置NAT网关。 ● 端口： 后端服务的端口。 ● 请求协议： 后端服务的请求协议，支持HTTP、HTTPS、GRPC、GRPCS和DUBBO。

本文介绍了RDSPostgreSQL产品的为客户节省成本的优势，主要体现为：即开即用、弹性伸缩、全面兼容、可视化运维。 即开即用 RDSPostgreSQL是天翼云提供的一项优质服务，您不需要自行搭建和配置环境，仅需通过官网控制台快速生成目标实例，通过内网连接RDSPostgreSQL能够有效节省公网流量并降低响应时间，服务提供图形化操作界面，能够提高运维效率。 弹性伸缩 您可以根据业务情况对数据库实例资源进行弹性伸缩，按需计费，帮助您有效节省成本。配合监控信息监测数据库压力和数据存储量的变化，您可以灵活调整实例规格和存储空间。具体支持变更实例规格方式可查看规格变更。 全面兼容 无需再次学习，RDSPostgreSQL支持各种原生PostgreSQL数据库引擎的操作方法，让您能够快速上手。此外，RDSPostgreSQL还兼容现有的程序和工具，您不必担心兼容性问题。 可视化运维 RDSPostgreSQL提供了全面的日常维护和管理，包括软硬件故障处理等工作，确保数据库运转正常。专业的数据库管理控制平台，提供一键式的功能，如重启、重置密码、参数修改、查看错误日志和慢查询日志、数据备份恢复等。此外，云服务能够实时监控实例的CPU利用率、TPS/QPS、连接数、磁盘空间等，帮助您随时了解实例的动态情况。 注意 不同资源池支持能力不同，具体详见

本章节将介绍申请证书的详细操作。 成功购买证书后，您需要申请证书，即为证书绑定域名或IP、填写证书申请人的详细信息并提交审核。所有信息通过审核后，证书颁发机构才签发证书。 在申请证书时，您可以参考SSL证书申请常见问题。 前提条件 已成功购买证书并且在控制台的“证书状态”为“待申请”。如何购买证书请参考：购买SSL证书。 约束限制 如果您申请的DV证书，绑定的域名含有edu、gov、bank、live或品牌相关的敏感词，可能无法通过安全审核，建议选择OV或EV证书。 操作步骤 1. 登录“证书管理服务”控制台，在左侧导航栏选择“SSL证书管理 > SSL证书列表”，随后在顶部导航栏选择“可申请”，进入“证书管理”页面。 2. 选择“域名型 (DV) SSL”证书，单击“操作”列的“证书申请”按钮，进行SSL证书申请。 3. 在右侧弹出的窗口中填写证书申请的相关信息。 填写参数 参数说明 证书绑定域名 第一个域名将作为证书通用域名名称（不可修改）。 注意 若您在申请单域名规格证书时，填写的域名为4级及以上子域名，请加上“www”，否则不会包含主域名。例如：申请www.aaa.bbb.ctyun.cn，会包含aa.bbb.ctyun.cn这个备用域名，若直接申请aaa.bbb.ctyun.cn，则不会包含www.aaa.bbb.ctyun.cn这个备用域名。 若您的域名为中文域名，可使用Punycode编码转换工具将中文域名编码为Punycode填入域名栏。 域名验证方式 可选“文件验证”、“手工DNS验证”、“代理文件验证”、“代理DNS验证”。 “手工DNS验证”、“代理DNS验证”：不支持GlobalSign版本的证书验证。 “文件验证”、“代理文件验证”：目前仅支持绑定IP方式的OV证书验证，不支持通配符域名类型的证书验证。 说明 申请提交后，不支持更改域名验证方式，请谨慎选择。若已经提交申请，只能撤回申请后重新提交申请。 证书管理服务有效时长内包含多张SSL证书。每张张证书到期前30天，天翼云将会自动为您续期证书，此处的“域名验证方式”建议选择“代理文件验证”或“代理DNS验证”，每次续期证书将无需手动验证域名。 联系人 选择联系人，如何新建联系人请参考信息管理章节。 所在地 选择公司实际所在地区。（目前仅支持选择中国地区） 密钥算法 可选择“RSA”、“ECC”或“SM2”（根据购买证书页面所选的加密标准选择） CSR生成方式 CSR是一个包含网站、服务、国家、组织、域名、公钥和签名的编码文件，用于从可信的证书颁发机构（CA）获取SSL证书。 支持“系统生成”或“手动生成”两种方式： 系统生成：根据用户所配置的信息，系统自动生成一个CSR。为保障您的证书顺利申请，建议您使用系统生成CSR的方式，避免因内容不正确而导致的审核失败。 手动生成：在下拉框中选择已手动创建的CSR，使用已创建的CSR申请证书。 注意 请不要在证书签发完成前删除CSR。 手动生成将无法署到天翼云产品。 提醒事件管理 说明 证书过期将影响业务正常运行，因此，建议设置证书临期提醒，联系人建议填写运维人员。 联系人 建议填写运维人员。如果需要新增联系人，请参见联系人管理。 提醒方式 可选择“邮件方式”、“短信方式”。 提醒内容 支持多选： 30天到期提醒 15天到期提醒 证书验证提醒 证书下载提醒 4. 填写完后，单击“提交审核”。 提交审核后，CA颁发机构将对您提交的申请进行处理并给您填写的邮箱发送一封验证邮件。您需要按照要求进行域名验证。 5. 配置域名验证信息，配置域名信息操作可参考域名验证。配置后完成等待审核签发证书。 6. 若证书已成功签发，可返回到“已签发”页签查看签发成功的证书。

操作场景 若需要对集群中的资源进行权限控制，（例如A用户只能对某个命名空间下的应用有读写权限，B用户只能对集群下的资源有读权限等），请参照本章节操作。 操作步骤 步骤 1 若需要对集群进行权限控制，请在创建集群时的“认证方式”参数后勾选“认证能力增强”，选择“认证代理”。单击“CA根证书”后的“上传文件”，上传符合规范且合法的证书。 步骤 2 通过kubectl创建角色。 下面的例子展示了如何创建一个角色，并允许该角色读取default空间下的所有Pod。参数详细解释请参见Kubernetes官方文档。 kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: default name: podreader rules: apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] 步骤 3 通过kubectl创建角色绑定。 下面的例子给出RoleBindings赋予default命名空间下的podreader的角色给用户jane。该策略允许用户jane可以读取default命名空间下的所有pods。参数详细解释请参见Kubernetes官方文档。 kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: readpods namespace: default subjects: kind: User name: jane 的用户名 apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: podreader 创建的角色名 apiGroup: rbac.authorization.k8s.io 步骤 4 创建角色并与用户绑定成功后，请在接口请求的headers中携带用户信息以及集群创建时上传的证书访问kubernetes接口。例如调取查询pod的接口时，执行命令如下： curl k H "XRemoteUser: jane" cacert /root/tlsca.crt key /root/tls.key cert /root/tls.crt 返回200表示访问成功，返回403表示没有权限访问。 说明：为避免命令执行失败，请提前把证书上传到/root目录下。 参数解释如下： XRemoteUser: jane：请求头固定为XRemoteUser，jane为用户名。 tlsca.crt ：创建集群时上传的CA根证书。 tls.crt：与集群创建时所上传的CA根证书配套的客户端证书。 tls.key：与集群创建时所上传的CA根证书配套的客户端秘钥。 192.168.23.5:5443：为连接集群的地址，获取方式如下： 登录CCE控制台，在左侧导航栏中选择“资源管理 > 集群管理”，单击待连接集群的名称，在集群基本信息中获取“内网apiserver地址”后的IP地址和端口号。 说明 CCE支持天翼云帐号和IAM用户分别下载config文件（kubeconfig.json），IAM用户下载的config文件只有30天的有效期，而天翼云帐号下载的config文件会长期有效。该文件用户对接认证用户集群，请用户妥善保存该认证凭据，防止文件泄露后，集群有被攻击的风险。如果不幸泄露，可以通过证书更新的方式，替换认证凭据。 IAM用户下载的config文件所拥有的Kubernetes权限与CCE控制台上IAM用户所拥有的权限一致。 另外，还支持XRemoteGroup的头域：用户组名，在做RoleBinding时，可以将Role与Group进行绑定，并在访问集群时携带用户组信息。