天翼云Prometheus监控服务提供了Remote Write标准接口，可通过该接口远程接入开源Prometheus的监控数据，以实现在天翼云Prometheus监控平台上收集和展示其自定义数据。本文将具体介绍如何使用Remote Write地址完成数据接入。 使用限制 Remote Write接口暂不支持HTTP/2。 前提条件 已创建Prometheus实例。 远程写入的客户端网络已经与暴露接口打通。 步骤一：获取AKSK 1. 通过实名认证的账号登录天翼云。 2. 进入天翼云账号中心。 3. 点击【安全设置】进入安全设置中心。 4. 在用户AccessKey模块，可创建AKSK，或直接查看已生成的AKSK。 步骤二：获取Remote Write地址 1. 登录Prometheus监控服务控制台。 2. 在左侧导航栏点击实例列表。 3. 单击目标实例名称。 4. 在设置页签上，即可获取Remote Write地址。 步骤三：配置开源版Prometheus 1. 安装Prometheus。 2. 编辑Prometheus.yml配置文件，并在文件末尾增加以下内容，将remotewrite链接替换为上文步骤二中获取的地址，然后保存文件。 plaintext global: scrapeinterval: 15s evaluationinterval: 15sscrapeconfigs: jobname: 'prometheus' staticconfigs: targets: ['localhost:9090'] remotewrite: 替换为您的Remote Write地址。 url: " basicauth: username和password分别对应您天翼云账号的AK和SK。 username: accesskeyid password: accesskeysecret 3. 重启开源版Prometheus服务。

本节介绍了：指标告警的用户指南。 应用场景 在云容器引擎服务中，资源监控已经对接了云监控服务，并能够使用云监控提供的指标告警能力。 前提条件 已创建集群，具体操作请参见 用户指南 > 集群 > 新建集群 章节。若已有集群，无需重复操作。 集群已安装ccsemonitor插件，可参考 用户指南 > 插件 章节 创建通知组 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页面。 在集群列表中点击需要配置告警的集群，进入集群管理页面. 左侧菜单栏选择 运维管理 > 指标告警 > 通知组 进入通知组配置页面。 通知组支持联系人、翼连、WebHook集成三种通知对象，其中联系人支持手机号（短信）和邮箱（邮件）、翼连支持发送到翼连群、WebHook支持发送到用户指定的WebHook后端。 创建基础策略 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 在集群列表中点击需要配置告警的集群，进入集群管理页面。 左侧菜单栏选择 运维管理 > 指标告警 > 告警策略 进入通知策略配置页面，点击按钮创建通知策略 创建通知策略。 通知策略可以配置通知对象、通知模板、渲染API地址、通知时段，其中通知对象为用户在通知组设置的对象，邮件、短信、翼连三种告警方式支持分别独立配置模板，一般没有特殊需求使用默认模板即可。

收费方式 按量计费每一个小时整点结算一次费用，结算完毕后进入新的结算周期。 价格说明 性能保障型负载均衡按量计费方式不同规格定价如下表： 规格 价格（元 /小时） :: 标准型I 0.600 标准型II 1.200 增强型I 1.667 增强型II 2.167 高阶型I 3.000 高阶型II 4.167 超强型I 7.500 超强型II 16.667 超强型II应用型 22 超强型III 30 注意 1、按量计费的能力目前仅在部分集群模式资源池支持； 2、高阶型II、超强型I、超强型II、超强型II应用型、超强型III规格的负载均衡实例默认不支持创建。如果您在集群模式资源池需要使用高阶型II、超强型I、超强型II、超强型II应用型、超强型III规格的负载均衡实例，可以通过天翼云控制台提工单进行申请。 查看费用账单 从天翼云的费用中心查看使用弹性负载均衡的费用账单。 查看入口： 官网首页—>点击右上角账号头像显示下拉菜单—>选择费用中心，进入费用账单页面。

本章介绍如何使用主子账号体系管理子账号权限。 概述 分布式消息服务RocketMQ已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体，为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制（注意：一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中）。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

本章介绍如何使用主子账号体系管理子账号权限 概述 MSE注册配置中心已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

托管检测与响应服务（原生版）应用场景介绍，帮助您了解如何选购本产品。 日常安全运营支撑 监控用户资产安全状况，发现各类安全威胁进行及时响应；提供产品咨询、技术支持、产品联动处置问题支持、产品故障/BUG解决等服务。 安全运营托管场景 基于丰富的云安全运营经验积累，面向云环境提供持续的安全监测和全面的保护服务，有效发挥云原生安全能力，集威胁分析、攻击面梳理、漏洞管理、应急响应等功能于一体，为用户及时发现、有效分析、闭环处理安全问题，有效防护威胁，降低用户运营成本，为用户资产提供持续有效的安全保障。 关键时期重保场景 为确保重大活动期间，业务系统的平稳安全运行，政企单位需提高网络安全保障强度，开展重要时期网络安全保障工作。包括：监测分析、应急处置、攻击反制、设备布防、漏洞加固、基线评估、弱口令评估、敏感信息评估、安全意识培训、蜜罐运营等。 应急响应场景 针对网络安全事件进行应急处置，保证相关业务的连续性和可用性，同时将攻击带来的破坏程度降到最低。在客户已知或怀疑系统被攻击的情况下，可委托我方工程师对系统进行排查和处置。

本文汇总了云专线服务在使用过程之中会遇到的概念类问题。 天翼云云专线与云间高速有什么区别？ 天翼云云专线和云间高速都是中国电信天翼云推出的云计算网络服务，用于连接用户的本地网络与天翼云的数据中心，提供稳定、高速的连接，以满足企业和个人在云计算环境下的网络连接需求，两者在连接方式，路由配置等都有较大区别，具体区别请您见下表： 区别项 云专线 云间高速 概念 云专线是一种通过私有连接，将用户本地数据中心与云端的数据中心直接连接起来的服务。 云间高速是云厂商为用户提供的一种高速互联网连接服务，使用户可以通过公共互联网连接到云端的数据中心。 连接方式 天翼云云专线服务是由物理专线实现连接的，具有较高的带宽、低延迟和更可靠的连接。 通常是通过虚拟专线或优化的网络路由实现的，以提供较快的数据传输速度和相对较低的延迟。 路由配置 专线网关作为客户站点和天翼云VPC之间的虚拟路由转发设备，实现端到端的路由配置，一端绑定物理专线，一端与客户站点需要访问的VPC直连。 在云间高速中，云网关通过配置在其上的路由表进行多点互联流量转发，每个云网关包含一张默认路由表，支持创建自定义路由表，并支持通过路由表关联转发和路由学习功能定义互通、隔离，满足网络多样化的需求。 带宽配置 在配置物理专线时，可以指定带宽，实现点到点购买。 购买云间高速时，同时需要购买各个跨域网络实例的互通网络带宽，所有的跨域互通网络实例使用的带宽总和即为带宽包。 适用场景 云专线可以提供更好的隐私和安全性，适用于需要大量数据传输和对网络连接稳定性要求较高的企业。 云间高速适用于需要与云服务提供商快速连接的任务，如数据备份、应用程序部署等。

本文介绍如何配置DDoS封堵通知渠道。 注意 本文适用于天翼云所有公网资源池。所有弹性 EIP 均已纳入 DDoS 基础防护覆盖范围，平台会统一为其分配免费基础 DDoS 防护阈值。若您的 EIP 所属资源池未开放 DDoS 基础防护控制台，虽无控制台操作与查询功能，但 EIP 流量超出防护阈值被平台封堵时，系统仍会自动向账号绑定联系人发送站内信、短信及邮件通知。 引言 为确保您能及时获知弹性 EIP 的 DDoS 封堵相关信息，快速响应并保障业务平稳运行，本文将详细介绍 DDoS 封堵通知渠道的配置方法。默认情况下，当 IP 触发 DDoS 封堵时，平台会自动向您天翼云账号本身已绑定的联系人，通过短信、站内信、邮件三种方式发送封堵通知；若您需要让业务值班人员、运维人员等更多相关人员同步接收该类通知，可通过配置安全消息接收人的方式额外增加接收人，实现 DDoS 封堵信息的多人同步推送，具体配置操作将在下文逐步说明。 前提条件 用户持有天翼云弹性 EIP：所有弹性 EIP 均纳入 DDoS 基础防护覆盖范围，平台基于整体安全管控需求，为每一个弹性 EIP 统一分配 DDoS 防护阈值；若客户无公网业务需求，可无需使用该产品相关功能。 完成账号实名制认证。

本文介绍如何配置DDoS封堵通知渠道。 注意 本文适用于天翼云所有公网资源池。所有弹性 EIP 均已纳入 DDoS 基础防护覆盖范围，平台会统一为其分配免费基础 DDoS 防护阈值。若您的 EIP 所属资源池未开放 DDoS 基础防护控制台，虽无控制台操作与查询功能，但 EIP 流量超出防护阈值被平台封堵时，系统仍会自动向账号绑定联系人发送站内信、短信及邮件通知。 引言 为确保您能及时获知弹性 EIP 的 DDoS 封堵相关信息，快速响应并保障业务平稳运行，本文将详细介绍 DDoS 封堵通知渠道的配置方法。默认情况下，当 IP 触发 DDoS 封堵时，平台会自动向您天翼云账号本身已绑定的联系人，通过短信、站内信、邮件三种方式发送封堵通知；若您需要让业务值班人员、运维人员等更多相关人员同步接收该类通知，可通过配置安全消息接收人的方式额外增加接收人，实现 DDoS 封堵信息的多人同步推送，具体配置操作将在下文逐步说明。 前提条件 用户持有天翼云弹性 EIP：所有弹性 EIP 均纳入 DDoS 基础防护覆盖范围，平台基于整体安全管控需求，为每一个弹性 EIP 统一分配 DDoS 防护阈值；若客户无公网业务需求，可无需使用该产品相关功能。 完成账号实名制认证。

本文为您介绍如何使用ECI快速部署Tensorflow。 背景信息 TensorFlow是一个开源的机器学习框架，由Google开发和维护。它提供了一个灵活的编程环境，可以用于构建和训练各种机器学习模型，包括神经网络。TensorFlow使用图形计算的方式来表示计算任务，并通过优化技术来实现高效的计算。它支持多种编程语言，包括Python和C++，并且可以在各种硬件平台上运行，包括CPU、GPU和TPU。TensorFlow已经成为机器学习和深度学习领域最受欢迎的框架之一，被广泛应用于各种领域，如图像识别、自然语言处理、推荐系统等。 前期准备 已开通天翼云弹性容器实例服务。 已开通天翼云弹性文件或对象存储服务，用于存储tensorflow训练结果。 准备工作 准备训练数据和容器镜像。 训练数据：本文以Github的一个TensorFlow训练任务为例。 容器镜像：在最佳实践中，ECI已准备好适用的示例镜像，示例镜像已上传到天翼云容器镜像仓库中。 创建镜像缓存。 在ECI控制台的镜像缓存页面手动创建镜像缓存，如下图所示： 创建镜像缓存时需拉取镜像，受镜像大小和网络的影响，需要一定时间。可通过镜像缓存列表页或者镜像缓存详情页查看进度。镜像缓存状态显示ready时，表示镜像缓存已经创建成功。

本文为您介绍算力专网的计费项和计费组成等相关信息。 如需开通算力专网服务，请联系专属客户经理咨询具体价格及计费方式，客户经理会与您沟通商务内容。签署合同后，客户经理将协助您开通算力专网业务，并跟进后续算力专网业务的变更和退订等相关业务。 算力专网产品收费项目分为网络使用费和路由条目增强服务费： 收费项目 收费标准 备注 网络使用费 按客户站点收费 按月收取，必选 网络使用费 按天翼云站点收费 按月收取，必选 网络使用费 按第三方站点收费 按月收取，必选 路由条目增强服务费 20元/条/月 超出部分，按月收取 网络使用费 网络使用费分为三类：一是客户站点网络使用费，二是天翼云资源池站点网络使用费，三是第三方云资源池站点网络使用费。 客户站点网络使用费 接入方式：IPRAN 客户站点网络使用费按照单、双路由区分收取。当客户采用双路由IPRAN方式接入CN2时，根据其接入模式来确定IPRAN双接入线路的网络使用费，具体如下： IPRAN双接入模式 网络使用费 :: 主备接入 主线路按IPRAN单路由接入方式标准资费收取；备用线路按照IPRAN单路由接入方式标准资费的40%收取； 负载分担 每条接入线路均按IPRAN单路由接入方式标准资费收取。

共享盘管理 共享盘名称修改 1. 进入“AI云电脑（政企版）”控制台； 2. 选择“翼共享”“翼共享管理”菜单，进入翼共享管理页面； 3.选择需要修改名称的所在行，点击修改图标，进行名称修改。 共享盘扩容 1. 进入“AI云电脑（政企版）”控制台； 2. 选择“翼共享”“翼共享管理”菜单，进入翼共享管理页面； 3.选择需要扩容的所在行，点击“扩容”； 4.选择需要扩容到的容量，确认配置信息，点击“确认”即可。 共享盘退订 1. 进入“AI云电脑（政企版）”控制台； 2. 选择“翼共享”“翼共享管理”菜单，进入翼共享管理页面； 3.选择需要退订的所在行，点击“退订”； 4.在退订窗口，点击“确认退订”即可。 注意 直接退订翼共享盘可能导致文件丢失无法找回，共享盘实例将删除。强烈建议退订翼共享盘前先进行文件迁移备份。删除后，相关资源将在30天后被释放。

本章节向您介绍VPN连接故障排查的常规检查项，帮助您快速定位并解决连接问题。 用户在使用VPN连接经典版过程中，可能会出现由于配置错误（云侧或用户侧协商策略、防火墙、路由表、域间策略、NAT配置、安全组等信息配置）而导致连接故障或无法PING通。 检查VPN两侧协商信息 确认PSK共享密钥是否一致。 确认IKE策略、IPsec策略协商参数是否一致。 确认两侧的本地子网和远端子网配置是否互为镜像。 检查客户防火墙ACL和云端安全组配置 确认放行去往天翼云VPC子网的数据流。 确认放行来自天翼云VPC子网的数据流。 检查防火墙路由表 确认存在目标地址为天翼云VPC子网的路由信息： 确认配置去往天翼云目标网络的路由信息，路由表或VPN路由表中存在路由信息。 确认路由转发表状态正常。 注意 路由易错配置： 目的网段与天翼云VPC网段不一致，导致前往天翼云的流量无法路由到配置IPsec策略的公网口。 配置静态路由时指定出接口，而非指定下一跳。在ethernet类型的网络中，出接口会因为无法学习到对端的ARP信息而导致路由转发失败。 将路由的下一跳地址指定为天翼云端的VPN网关地址。部分友商设备会因为路由信息无法自动迭代而不可行；由于VPN流量是要从公网口发出的，因此下一跳地址必须是运营商提供的网关地址。 检查客户防火墙域间策略 trust到untrust：放行本地VPC到云上VPC子网访问策略。 untrust到trust：放行云上VPC到本地VPC子网访问策略。

本节介绍了操作系统更新的相关内容。 云数据库 TaurusDB实例需要适时进行操作系统更新，以提高数据库性能和数据库的整体安全状况。 实例内核版本升级时，云数据库 TaurusDB会根据操作系统的实际情况，决定是否更新以及更新适合的操作系统冷补丁版本。 操作系统更新不会更改数据库实例的版本或数据库实例信息。 此外，云数据库 TaurusDB会在用户设置的运维时间段内，通过热补丁方式及时修复影响重大的操作系统漏洞。

天翼云为您提供云间高速(标准版)产品服务协议,请您点击查看。 天翼云云间高速（标准版）服务协议

本节介绍云智助手的产品介绍。 产品介绍 云智助手（原AI应用中心）是天翼AI云电脑3.0推出全系统级AI应用，全面接入DeepSeek大模型，并基于星辰大模型和合作伙伴大模型能力，提供一系列场景化AI能力，升级全场景智能化体验。通过AI赋能，重塑AI云电脑使用体验，让AI云电脑更智能、更简单、更好用。 应用场景 云智助手通过打造了AI助手、AI空间两大功能模块，赋能办公、教育、创作、生活等场景，提升工作、生活效率。 使用说明 使用范围 （1）公有云：所有天翼AI云电脑（公众版）、天翼AI云电脑（政企版）均可使用云智助手； （2）私有云：可联系天翼云客服、大区、售前经理了解私有化部署要求。 获取方式 （1）已在AI云电脑镜像中预装，在桌面找到“云智助手”点击即可直接使用； （2）如未在桌面找到或已卸载，可前往AI云电脑应用市场，搜索“云智助手”下载。 使用条件 （1）云智助手当前支持Windows、UOS等各类操作系统； （2）天翼AI云电脑客户端建议升级至v2.4.3及以上版本； （3）移动端可以通过下载天翼云云电脑APP（3.1.1以上版本）使用云智助手。

本节介绍云智助手的产品介绍。 产品介绍 云智助手（原AI应用中心）是天翼AI云电脑3.0推出全系统级AI应用，全面接入DeepSeek大模型，并基于星辰大模型和合作伙伴大模型能力，提供一系列场景化AI能力，升级全场景智能化体验。通过AI赋能，重塑AI云电脑使用体验，让AI云电脑更智能、更简单、更好用。 应用场景 云智助手通过打造了AI助手、AI空间两大功能模块，赋能办公、教育、创作、生活等场景，提升工作、生活效率。 使用说明 使用范围 （1）公有云：所有天翼AI云电脑（公众版）、天翼AI云电脑（政企版）均可使用云智助手； （2）私有云：可联系天翼云客服、大区、售前经理了解私有化部署要求。 获取方式 （1）已在AI云电脑镜像中预装，在桌面找到“云智助手”点击即可直接使用； （2）如未在桌面找到或已卸载，可前往AI云电脑应用市场，搜索“云智助手”下载。 使用条件 （1）云智助手当前支持Windows、UOS等各类操作系统； （2）天翼AI云电脑客户端建议升级至v2.4.3及以上版本； （3）移动端可以通过下载天翼云云电脑APP（3.1.1以上版本）使用云智助手。

在部署天翼云TeleDB数据库前，您需要先获取软件包。 获取软件包 请在软件安装开始前，提前获取云服务必要的插件包和软件包。 注意 您下载获取的软件包的MD5值需与对应版本软件包MD5进行核对，确保其一致才可以确认为正确的软件包。 您可在服务器中执行md5sum 软件包名命令查找MD5。 版本号 软件包名称 软件包说明 获取方式 V5.1.5.20.3 5.1.5.20.3x86centos.tar 该软件包是指5.1.5.20.3版本中X86架构软件包，包括内核包、管控包和DCP软件包。 请您按实际版本获取对应的软件包。您可访问天翼云网盘链接下载。 说明 天翼云网盘上软件包分享链接和提取密码，请您提交工单获取。 V5.1.5.20.3 5.1.5.20.3armkylin.tar.gz 该软件包是指5.1.5.20.3版本中arm架构软件包，包括内核包、管控包和DCP软件包。 请您按实际版本获取对应的软件包。您可访问天翼云网盘链接下载。 说明 天翼云网盘上软件包分享链接和提取密码，请您提交工单获取。 V5.1.5.20.3 5.1.5.20.3loongarchkylin.tar 该软件包是指5.1.5.20.3版本中loongarch架构软件包，包括内核包、管控包和DCP软件包。 请您按实际版本获取对应的软件包。您可访问[天翼云网盘链接](

本章介绍如何使用主子账号体系管理子账号权限 概述 分布式消息服务MQTT已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

本章介绍如何使用主子账号体系管理子账号权限 概述 分布式消息服务RabbitMQ已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目：将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

术语 说明 主账号 用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体，为了确保账号安全，建议创建子用户来进行日常管理工作。 子账号 主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 企业项目 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 策略 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。策略中可定义“允许”的操作和“拒绝”的操作，“拒绝”的优先级大于“允许”。 系统策略 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 数据权限 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 功能权限 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 功能权限授权 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。具体授权请参考：用户组授权统一身份认证。

本小节介绍渗透测试术语解释。 后门 攻击者为了对主机进行长期的控制，在机器上终止的一段程序或留下的一个“入口”。 WebShell 通过Web入侵后留下的后门工具，可以在受感染的Web服务器上创建一个命令执行环境，从而允许攻击者在受感染的服务器上执行各种操作。 Exp 即Exploit，漏洞利用程序的简称。漏洞利用程序，简单讲就是一段可以发挥漏洞价值的程序，比如：目标存在一个SQL注入漏洞，然后被你知道了，然后你编写了一个程序，通过这个SQL注入漏洞，拿到了目标的权限，那么这个程序就是所谓的Exp了。当然，如果你没有使用这个漏洞，它就这么放着，那么这个漏洞，对你来说可以认为是没有价值的。 Payload 指攻击载荷，指成功exploit之后，真正在目标系统执行的代码或指令。 POC 即Proof of Concept（概念验证），用于验证漏洞的存在代码。 0day 指尚未公开披露的漏洞，攻击者可以利用它来渗透系统。 1day 指已经被公开披露但未被厂商修补的漏洞，攻击者可以尝试利用它来渗透系统。 nday 指已经公开披露并且已经被厂商修补的漏洞。 提权 指攻击者通过利用漏洞或其他手段从低权限提权系统管理员权限。

本页为您介绍数据库专家服务产品涉及的相关术语。 数据库专家服务 数据库专家服务是由天翼云数据库专家团队为客户提供的数据库安装部署、健康巡检、应急响应、性能调优、架构规划设计、数据迁移咨询、备份恢复咨询等各类数据库专业服务，解决客户的数据库各类问题，为客户的数据库系统保驾护航。 数据库安装部署 天翼云数据库专家服务团队为客户提供的数据库安装部署服务，具体包含如下内容： 合理安装数据库、中间件软件（其中安装主机、软件安装包需要您提供）。 根据应用系统创建合适的数据库。 根据应用系统的要求分配数据空间。 设置合理的数据库运行参数。 检查和设置数据库用户的安全性和访问的安全性。 设置数据库的监听程序。 提供完善的数据库、中间件安装报告。 根据实际情况提供数据库、中间件的配置调整。 数据库健康巡检 天翼云数据库专家服务团队针对客户数据库和相关组件运行健康状况提供的检查服务，对数据库和中间件系统的性能情况进行深度分析，及时发现生产数据库已经存在的或潜在的问题；根据巡检结果，提交巡检报告和改善建议，并配合完成改善工作。 数据库应急响应 天翼云数据库专家服务团队针对客户数据库紧急故障提供的服务，服务内容包括：对紧急故障进行故障原因分析，制定故障解决方案，并最终排除故障。对于故障处理，遵循记录、分析、处理、解决的闭环处理方法，以找到故障根源、避免或预防二次故障为最终解决的标准。

本文介绍开通媒体存储的具体步骤。 订购须知 天翼云门户目前仅支持媒体存储中标准型对象存储能力的按需计费开通，其它能力（如文件存储、块存储等）暂不面向线上预付费客户开放。 存储区域：目前支持海南资源池2区。 开通流程 说明 预付费客户订购媒体存储，需具备已通过实名认证的天翼云账号且确保现金余额+可用信用额度+通用代金券不低于100元。 1. 登录天翼云官网。 2. 进入媒体存储产品详情页，点选“立即开通”。 3. 进入媒体存储产品开通页，勾选“我已阅读，理解并接受 《天翼云媒体存储系统服务协议》”，点击“立即开通”。 4. 在跳转的订单页面完成支付，订单状态为【已完成】，即成功开通媒体存储。 5. 访问媒体存储控制中心：进入媒体存储产品详情页，点选“管理控制台”。 6. 进入控制台页面后，点选“订购管理 ”，点击【新增存储区域】进行新增存储区域操作。 注意 目前仅通过天翼云门户订购的用户可通过控制台新建存储区域，非自助开通的用户无此按钮。 7. 区域新增完成后，点选【对象存储】菜单，即可开始使用对象存储服务。具体可参考：控制台使用指南对象存储。

天翼云为您提供海量文件服务OceanFS产品服务协议，请您点击查看。 天翼云海量文件服务OceanFS服务协议

查看监控图表 1. 登录天翼云控制中心。 2. 在产品服务列表中“管理与部署 > 云监控服务”，进入云监控服务主页面。 3. 在左侧导航栏，选择“云服务监控”，单击“日志审计（原生版）”产品。 4. 在日志审计（原生版）监控列表中选择目标的实例，单击操作列的“查看监控图表”，进入监控详情页。 5. 在监控详情页，可以查看实例详情和监控图表。 切换不同的时间周期，查看不同周期内监控指标的情况。

本文介绍弹性文件服务安全监控告警方面的内容。 云监控服务是天翼云针对云网资源的一项监控服务，弹性文件通过云监控服务提供监控和告警能力。通过查看文件系统的监控数据，您可以了解到文件系统的使用情况。通过设置告警规则可以监控文件系统实例异常情况，保障业务正常进行。 关于弹性文件服务支持的监控指标，以及如何创建监控告警规则等内容，请参见监控。

通过任务中心，可以查看您所创建的数据导出任务，并下载相关数据文件到本地。 操作场景 在产品监控列表页创建数据导出任务，可以在任务中心下载数据文件到本地。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 查看任务中心 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控服务”，进入监控概览页面。 4. 选择“任务中心”菜单，即可任务中心列表页面。

漏洞描述 Sudo是一套用于类Unix操作系统下并允许用户通过安全的方式使用特殊的权限执行命令的程序。 Sudo存在缓存区溢出漏洞，该漏洞由于Sudo错误地在参数中转义了反斜杠导致堆缓冲区溢出，允许攻击者通过sudoedit s和以单个反斜杠字符结尾的命令行参数将权限提升为root。并非所有存在漏洞的Sudo版本都能利用成功，glibc>2.27只能说明漏洞利用难度较小，低版本的glibc也能利用成功，只是漏洞利用难度增加。 基本信息 · CVE编号：CVE20213156 · 漏洞类型：本地提权 · 危险等级：高危 · 检测方式：POC验证 · 是否加入全局：是 · 公布时间： 20210126 · 风险特征：存在EXP本地提权 · CVSS评分： 7 · CVSS详情： AV:L/AC:L/Au:N/C:C/I:C/A:C 漏洞利用链接 修复建议 1.Sudo系统软件包安装的参照以下修复命令进行升级： CentOS/RHEL/Oracle Linux : sudo yum update y sudo SUSE : sudo zypper update y sudo Ubuntu/Debian : sudo aptget update && sudo aptget install onlyupgrade y sudo 2.Sudo源码编译安装的将 Sudo 升级到 1.9.5p2 及以上版本，下载地址：

本章节介绍开源组件Fastjson远程代码执行漏洞的最佳实践。 漏洞介绍 开源组件Fastjson存在远程代码执行漏洞，此漏洞为2017年Fastjson 1.2.24版本反序列化漏洞的延伸利用，可直接获取服务器权限，危害严重。 影响的版本范围 漏洞影响的产品版本包括：Fastjson 1.2.51以下的版本，不包括Fastjson 1.2.51版本。 安全版本 Fastjson 1.2.51版本及以上的版本。 官方解决方案 建议用户将开源组件Fastjson升级到1.2.51版本或者最新的1.2.58版本。 防护建议 Web应用防火墙内置的防护规则支持对该漏洞的防护，参照以下步骤进行防护： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入域名。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

了解什么是存储资源盘活系统。 HBlock是中国电信天翼云自主研发的存储资源盘活系统（Storage Resource Reutilization System，简称SRRS），是一款轻量级存储集群控制器，实现了全用户态的软件定义存储，将通用服务器及其管理的闲置存储资源转换成高可用的虚拟磁盘，通过标准 iSCSI 协议提供分布式块存储服务，挂载给本地服务器（或其他远程服务器）使用，实现对资源的集约利用。同时，产品拥有良好的异构设备兼容性及场景化适配能力，支持数据上传到对象存储，提供软件和一体机两种产品形态。 在非联网模式下，HBlock软件可被视为本地盘阵的替代品，用于本地数据存储；在联网模式下，HBlock软件还可以作为本地与云端存储之间的桥梁，将全量数据自动同步到对象存储中，本地仅保留热数据以节省本地存储空间，或者保留全量数据以保障本地I/O性能，实现混合云存储。

本节介绍主机扫描是否可以关闭基线检查。 主机扫描不能关闭基线检查。如果您确认基线检查扫描出的检查项不会对主机造成危害，您可以在目标检查项所在行的“操作”列，单击“忽略”，忽略该检查项，相应的检查项统计结果将发生变化，扫描报告中也不会出现该检查项。