参数 说明 定时扩缩容名称 定时扩缩容任务的名称。 目标实例数 预期想要的目标实例数。 调度周期 定时扩缩容的执行周期，支持按周、按天、按照Cron表达式三种方式配置。

本文介绍如何在分布式消息服务Kafka控制台创建元数据导入任务，将元数据迁移至分布式消息服务Kafka现有实例。 前提条件 下载JDK8 购买并部署分布式消息服务Kafka实例 背景信息 Kafka集群元数据是指Kafka集群的Topic和Group配置信息。Kafka集群元数据存储于ZooKeeper上，Kafka集群各个节点从ZooKeeper中获取最新的元数据。因此，集群的各个节点的元数据被导出时都是最新且相同的。Kafka集群元数据可以被导出成一份JSON文件，然后被导入到另一个Kafka集群，实现自建Kafka集群元数据迁移上云。 元数据迁移是指将自建Kafka集群的元数据迁移到分布式消息服务Kafka实例。您可以将自建Kafka集群元数据导出，然后导入云分布式消息服务Kafka实例，分布式消息服务Kafka会解析成功导入的元数据，并支持在创建任务时可视化配置Topic和Group，配置完成后在目标实例中创建对应的Topic和Group，实现自建Kafka集群元数据迁移上云。 步骤一：导出元数据 使用元数据导出工具导出自建Kafka集群的元数据文件。 1.下载元数据导出工具，登陆分布式消息服务Kafka控制台>集群迁移>元数据迁移>创建任务>下载工具 下载对应jar包 2.将下载好的工具上传至能连接到Kafka集群的机器上 3.运行以下命令，导出元数据。运行命令后，您将在kafkamigration.jar 同级目录下看到 名为 metadata.json 的元数据文件。 java cp kafkamigration.jar com.ctg.migration.kafka.MigrationMetadata sourceKafkaConnect (resource topic,group username password mechanism configKey ) 参数 说明 示例 sourceKafkaConnect 自建Kafka集群的IP地址和端口号。 192.168.XX.XX:9092 resource 要导出的资源，可以是topic、 group或topic,group 默认topic,group topic,group username 连接kafka用户名，如果sourceKafkaConnect为免密接入点则无需填写 admin user password 连接kafka密码，如果sourceKafkaConnect为免密接入点则无需填写 real password mechanism 对应的协议，支持PLAIN、SCRAMSHA256、SCRAMSHA512，如果sourceKafkaConnect为免密接入点则无需填写 PLAIN configKey 源集群topic配置，支持多个key，多个用半角逗号分开，all：表示所有配置(不推荐)，具体支持哪些配置可以通过(bin/kafkaconfigs.sh help)命令查看 默认值为：retention.ms retention.ms,max.message.bytes

本章节介绍媒体存储对象存储的桶策略。 桶策略的作用范围为对象存储桶和桶内的所有对象。天翼云用户可以通过设置桶策略为不同类型或不同标识的用户授权桶及桶内对象的操作访问权限。 桶策略使用场景 允许其他天翼云用户对该桶进行访问控制时，可以使用桶策略的方式授权相应的读写权限。 对于不同的用户，需要对不同的桶有不同的访问控制需求时，使用桶策略，可以简单方便地授权给用户不同的控制权限。 桶策略设置 桶策略包括效力、用户、资源、操作、条件5个桶策略基本元素共同决定。其中： 效力：允许/禁止策略中的操作。 用户：根据填写的用户类型和用户标识信息，向其他天翼云用户或所有用户（包括匿名访问者）配置策略。 资源：指定授权策略的资源范围，可选的资源范围包括整个存储桶或指定资源。 操作：配置本策略指定的具体操作，包括：存储桶操作、对象操作。具体可参考下文中的存储桶操作、对象操作。 条件：对符合特定条件的用户生效，目前支持以IP为条件配置。 存储桶操作 Action 描述 :: CreateBucket 赋予创建桶的权限 DeleteBucket 赋予删除桶的权限 DeleteBucketPolicy 赋予删除桶策略的权限 DeleteBucketWebsite 赋予删除桶静态网站配置信息的权限 GetBucketAcl 赋予获取桶ACL配置信息的权限 GetBucketCORS 赋予获取桶跨域配置信息的权限 GetBucketPolicy 赋予获取桶策略的权限 GetBucketTagging 赋予查询桶标签的权限 GetBucketVersioning 赋予查询桶版本控制配置信息的权限 GetBucketWebsite 赋予查询静态网站配置信息的权限 GetLifecycleConfiguration 赋予查询桶生命周期的权限 ListAllMyBuckets 赋予查询用户所有桶的权限 ListBucket 赋予查询桶部分或全部对象列表的权限 ListBucketMultipartUploads 赋予查询桶正在进行的分段上传的权限 ListBucketVersion 赋予查询桶所有版本控制配置信息的权限 ListMultipartUploads 赋予查询用户所有正在进行的分段上传的权限 PutBucketAcl 赋予设置桶ACL的权限 PutBucketCORS 赋予设置桶跨域配置的权限 PutBucketLogging 赋予设置桶日志信息的权限 PutBucketPolicy 赋予设置桶策略的权限 PutBucketTagging 赋予设置桶标签的权限 PutBucketVersioning 赋予设置桶版本控制配置的权限 PutBucketWebsite 赋予设置桶静态网站配置的权限 PutLifecycleConfiguration 赋予设置桶生命周期的权限

应用场景 以托管自建数据库用户名、密码为例，为您介绍凭据管理的使用场景。 管理员角色负责在KMS凭据管理服务中存入、更新凭据值，应用程序通过集成凭据管理服务API动态获取凭据值，实现数据库登录。 1. 安全管理员在目标数据库配置应用程序访问数据库所需的用户名和口令。 2. 安全管理员在KMS凭据管理创建一个通用凭据，用来托管上述用户名和口令。 3. 当应用程序需要访问数据库时，通过集成KMS提供的API，向KMS凭据管理请求获取凭据。 4. KMS凭据管理读取到存储的凭据密文，解密后将凭据值通过接口返回给应用程序。 5. 应用程序读取并解析返回的凭据值，获取到用户名和口令，使用该账号可以访问目标数据库。 凭据的组成 凭据由元数据和凭据版本组成。 元数据 包含凭据ID、凭据名称、凭据状态、所属实例、创建时间、加密密钥等信息。 凭据版本 一个凭据可以有多个凭据版本。每个凭据版本包含凭据值、版本号、版本状态、创建时间。 凭据值：存入的凭据信息，支持通过键值对或纯文本方式录入。 版本号：在存入凭据值时自动生成，在凭据内唯一且不支持修改。 版本状态：在凭据内唯一，包含内置版本状态、自定义版本状态。一个版本号可以关联多个版本状态，但每个版本状态只能关联一个版本号。 自定义版本状态：每个凭据版本支持绑定自定义版本状态。 说明 仅通用凭据支持自定义版本状态，自定义版本状态数量最多支持设置10个。 内置版本状态： SMSCURRENT：凭据的当前版本，即最新存入的凭据值的状态。 SMSPREVIOUS：凭据当前版本的上一个版本。 说明 每个凭据最多保存20个凭据版本，当凭据版本数超过上限时，系统将滚动删除最早的凭据版本。

本小节介绍终端杀毒用户管理。 添加用户 新增用户：在用户管理标签页点击“新增“按钮，在打开的“用户管理”对话框中填写各个选项，其中用户名和密码是必填项，根据需要选择合适的“角色”，点击确定按钮。 密码复杂度：新增用户时有密码复杂度要求，要求密码必须至少包含六个字符且需要采用以下四类字符中的三类: 英文大写字符 (AZ)、英文小写字符 (az)、10 个基本数字 (09) 和非字母字符 (!、$、 、% 等)； 编辑用户：如果想要修改用户的相关参数，在用户列表中点击需要修改参数的用户名，在打开的“用户管理”对话框中修改即可； 删除用户：选中需要删除的用户，点击“删除”按钮； 搜索用户：可以根据用户名、邮箱地址和描述进行搜索，支持模糊搜索，不区分大小写。 同一账号多次登录管理： 1. 多人同时用相同账号登陆，提醒用户其他地方有人用相同账号登陆（包括先登录用户和后登录用户）； 2. 用户可以查看当前使用相同账号登录会话的信息，包括登录IP，登录在线时间； 3. 用户可以踢出已登录会话，让其强制退出登录。 角色管理 新增角色：在角色管理标签页点击“新增”按钮，在打开的“角色管理”对话框中填写角色名，并根据需要选择合适的权限，点击确定按钮； 编辑角色：如果想要修改角色的相关权限，在角色列表中点击需要修改的角色名，在打开的“角色管理”对话框中修改即可； 删除角色：选中需要删除的角色，点击“删除”按钮，不能直接删除已经被用户关联的角色，必须先删除所有关联用户，然后再删除该角色。

问题现象 在DLI上提交Flink SQL作业，作业运行失败，在作业日志中有如下报错信息： connect to DIS failed java.lang.IllegalArgumentException: Access key cannot be null 问题根因 该Flink SQL作业在配置作业运行参数时，有选择保存作业日志或开启Checkpoint，配置了OBS桶保存作业日志和Checkpoint。但是运行该Flink SQL作业的IAM用户没有OBS写入权限导致该问题。 解决方案 1.登录IAM控制台页面，单击“用户”，在搜索框中选择“用户名”，输入运行作业的IAM用户名。 2.单击查询到用户名，查看该用户对应的用户组。 3.单击“用户组”，输入查询到的用户组查询，单击用户组名称，在“授权记录”中查看当前用户的权限。 4.确认当前用户所属用户组下的权限是否包含OBS写入的权限，比如“OBS OperateAccess”。如果没有OBS写入权限，则给对应的用户组进行授权。 5.授权完成后，等待5到10分钟等待权限生效。再次运行失败的Flink SQL作业，查看作业运行状态。 Flink SQL作业读取DIS数据报Not authorized错误 问题现象 Flink SQL作业读取DIS数据，运行该作业时，语义校验失败。具体作业失败提示信息如下： Get dis channel xxx info failed. error info: Not authorized, please click the overview page to do the authorize action 问题原因 运行Flink作业前，没有对运行的用户账号授权获取DIS数据的权限。 解决方案 1.登录到DLI管理控制台，左侧导航栏选择“全局配置 > 服务授权”。 2.在服务授权管理界面，勾选“DIS Administrator”权限，单击“更新委托授权”完成对当前用户的DIS权限授权。 3.在“作业管理 > Flink作业”，单击对应的Flink SQL作业，重新启动和运行该作业。 Flink SQL作业消费Kafka后sink到es集群，作业执行成功，但未写入数据

本文主要从操作场景,约束与限制,操作步骤三个方面来为大家介绍如何为云硬盘关联自动快照策略。 操作场景 为云硬盘关联自动快照策略。已关联自动快照策略的云硬盘可以按照自动快照策略的设置周期性创建自动快照。 约束与限制 单个自动快照策略可绑定云硬盘的数量为200个。 每个云硬盘只能关联一条自动快照策略。 一个自动快照策略可以绑定同一地域下不同可用区的云硬盘。 系统盘和数据盘都支持绑定策略。 云硬盘状态为已挂载或未挂载时可以绑定策略；磁盘类型为FCSAN、SCSI的云硬盘不支持绑定自动快照策略； 自动快照策略的企业项目需要与所绑定云硬盘保持一致。 云硬盘删除后自动和其所绑定的策略解绑。 操作步骤 为云硬盘关联自动快照策略时，您可以从云硬盘页面和云硬盘自动快照策略页面两个入口进入操作界面。 云硬盘页面 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 在此页面点击待关联策略云硬盘“操作>更多>设置自动快照策略”，进入设置自动快照策略页面。 5. 在该页面，您可选择需要关联的自动快照策略，并单击“确定”，完成关联操作。若您不想继续关联策略，点击“取消”，取消执行关联策略操作。 6. 您可通过查看云硬盘列表页面的“自动快照策略”列判断自动快照策略是否关联成功，若自动快照策略名称和刚刚关联的策略名称一致，则表明关联成功。

本文介绍了查看快照使用容量的操作场景及操作步骤。 操作场景 天翼云云硬盘快照服务以云硬盘的快照使用总容量为粒度进行统计并计费。快照使用总容量为当前云硬盘中所有快照的数据块所占用的存储空间之和。您可实时查询云硬盘的快照使用容量。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 单击待查看快照使用容量的云硬盘的“云硬盘名称”，进入“云硬盘详情”页面。 5. 在“云硬盘详情”页面可实时查看该云硬盘的快照个数以及快照使用容量。

本页介绍天翼云TeleDB数据库元数据pgauditstmtconf的内容。 存储语句级别的审计策略的管理和配置。 名称 类型 定义 auditorid Oid 编写配置用户id actionid int32 需要审计的行为ID actionmode char 何时进行审计：成功时、失败时或全部 actionison bool 开启或关闭此审计配置

本文介绍如何确认CDN加速是否生效。 问题概述 本文介绍域名配置CDN加速并执行CNAME切换后，如何查看CDN加速是否生效。 验证步骤 要确认CDN加速是否生效，可通过如下步骤进行验证 ： 1. 检查域名解析：确保将您的域名解析指向天翼云CDN提供的CNAME地址。您可以使用工具如ping或dig来验证解析结果是否正确。 在Windows系统中可以通过ping的方式查看所添加的加速域名。 ping example.ctyun.cn 系统如果显示被转向cname域名，如example.ctyun.cn.ctadns.cn，并解析出访问CDN节点的IP即表示CDN加速已生效。 在Linux系统中可以通过dig的方式查看所添加的加速域名。 dig example.ctyun.cn 同Windows系统，显示域名解析被转向CNAME域名，如example.ctyun.cn.ctadns.cn，并解析出访问CDN节点的IP即表示CDN功能已生效。 2. 使用curl命令测试：在命令行中使用curl命令发送HTTP请求并查看响应头信息。可以使用CDN加速域名来进行测试。例如，执行以下命令： curl I example.ctyun.cn/xxx.jpg 如果返回的响应头包含CtlCacheStatus字段，其值表明内容是否被缓存（如HIT、MISS等），则表示CDN解析已生效。 3. 调用API接口方式，详情请见：如何验证IP地址是否属于天翼云CDN节点IP，通过API接口查看IP对应的节点是否为天翼云CDN节点。 4. 实际访问测试：通过实际访问网站或应用程序进行测试，观察加载速度和内容是否符合预期。可以尝试从不同地理位置和网络环境下进行测试，以确保CDN节点在对应加速区域内都能产生正常加速效果。 注意 执行CNAME切换后，因DNS解析生效和节点文件缓存需要一定时间，所以CDN节点要达到最佳加速效果也需要一段时间。

参数 描述 everest.io/diskvolumetype 云硬盘类型，全大写。当前支持高I/O（SAS）、超高I/O（SSD）和普通I/O（SATA）。 failuredomain.beta.kubernetes.io/region 集群所在的region。 failuredomain.beta.kubernetes.io/zone 创建云硬盘所在的可用区，必须和工作负载规划的可用区保持一致。 storage 云硬盘的容量，单位为Gi。 storageClassName 存储卷动态供应关联的k8s storage class名称。云硬盘需使用“csidisk”。 accessModes 指定读写模式，显示volume实际具有的访问模式。1.15集群版本只支持非共享卷，此字段设置为“ReadWriteOnce”。 driver 挂载依赖的存储驱动。EVS云硬盘配置为“disk.csi.everest.io”。 volumeHandle 云硬盘的volumeID。 获取方法： 在云服务器控制台中，单击左侧栏目树中的“云硬盘 > 磁盘”，单击要对接的云硬盘名称进入详情页，在“概览信息”页签下单击“ID”后的复制图标即可获取云硬盘的volumeID。 everest.io/diskmode 云硬盘磁盘模式，取值支持SCSI。

安装补丁 1.登录MRS管理控制台。 2.选择“集群列表 > 现有集群”，选中一集群并单击集群名，进入集群基本信息页面。 3.进入“补丁管理”页面，在操作列表中单击“安装”。 4.进入“警告”页面，选择是否开启“滚动补丁”。 说明 滚动安装补丁功能开启：补丁安装前不会停止服务，补丁安装后滚动重启服务来完成补丁安装，可以最大程度减少对集群业务的影响，但相比普通方式安装耗时更久。 滚动安装补丁功能关闭：补丁安装前会停止服务，补丁安装后再重新启动服务来完成补丁安装，会造成集群和服务暂时中断，但相比滚动方式安装补丁耗时更短。 少于2个Master节点和少于3个Core节点的集群不支持滚动方式安装补丁。 5.单击“是”，安装目标补丁。 6.查看补丁安装进度。 a.访问集群对应的MRS Manager，详细操作请参见访问MRS Manager（MRS 2.x及之前版本）。 b.选择“系统设置 > 补丁管理”，进入补丁管理页面即可看到补丁安装进度。 说明 对于集群中被隔离的主机节点，请参见 卸载补丁 1.登录MRS管理控制台。 2.选择“集群列表 > 现有集群”，选中一集群并单击集群名，进入集群基本信息页面。 3.进入“补丁管理”页面，在操作列表中单击“卸载”。 4.进入“警告”页面，选择是否开启“滚动补丁”。 说明 滚动卸载补丁功能开启：补丁卸载前不会停止服务，补丁卸载后滚动重启服务来完成补丁卸载，可以最大程度减少对集群业务的影响，但相比普通方式卸载耗时更久。 滚动卸载补丁功能关闭：补丁卸载前会停止所有服务，补丁卸载后再重新启动所有服务来完成补丁卸载，会造成集群和服务暂时中断，但相比滚动方式卸载补丁耗时更短。 仅通过滚动方式安装的补丁支持滚动方式卸载补丁。 5.单击“是”，卸载目标补丁。 6.查看补丁卸载进度。 a.访问集群对应的MRS Manager，详细操作请参见访问MRS Manager（MRS 2.x及之前版本）。 b.选择“系统设置 > 补丁管理”，进入补丁管理页面即可看到补丁卸载进度。 说明 对于集群中被隔离的主机节点，请参见

全站加速产品支持的QUIC类型 目前，天翼云全站加速产品同时支持IETF QUIC和GOOGLE QUIC，以方便不同的客户接入。 GOOGLE QUIC支持的版本号为Q043、Q046、Q050。 IETF QUIC支持的版本号为h329和h3v1，IETF QUIC是互联网标准版本，强烈建议您使用IETF QUIC。 适用场景 图片业务：可降低图片加载时间。 短视频业务：可提升视频秒开率，并且降低弱网环境卡顿率。 直播业务：可提升播放稳定性，降低因网络波动带来的卡顿率。 如何验证已在全站加速上开启QUIC功能 QUIC协议暂不支持客户自助开启，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 QUIC属于双边协议，需要客户端同步支持。如您已开通QUIC功能，可以使用Chrome浏览器或者基于Chrome内核的浏览器来访问对应网站域名，并在浏览器开启开发者工具进行抓包验证。目前较新版本的chrome浏览器已默认开启QUIC。 一般情况下，Chrome浏览器和服务器端协商使用QUIC协议要经过如下步骤： 1. 首次访问，客户端会先发起正常的TCP请求。 2. 服务端如果支持QUIC，会通过响应头部返回altsvc信息告知客户端自己支持QUIC及对应版本（如下图），其含义是服务器在443端口开启了QUIC，最大缓存时间是2592000秒（30天），支持的QUIC版本IQUIC。 3. 下次访问，客户端会同时发起TCP连接和QUIC连接进行竞速。 4. 一旦QUIC竞速连接获胜，则后续会采用QUIC协议发送请求，如果在浏览器进行抓包（快捷键F12打开开发者工具），可在Protocol列查看其具体的协议，如下图所示，这里显示的h3即表示采用的是IQUIC。 注意 如果没有Protocol列，右键点击Header Options，勾选Protocol列即可。 5. 如遇网络或服务器不支持QUIC，客户端标记QUIC为broken。 6. 传输中的QUIC请求立即用TCP进行重发。 7. 5min后尝试重试QUIC，下一次尝试增大到10min。 8. 一旦再次成功采用QUIC，会把broken标记取消。

本页介绍天翼云TeleDB数据库Oracle语法中的二进制操作函数。 emptyclob 需要加载插件teledbxoraclepackagefunction create extension teledboraclepackagefunction; 初始化CLOB 字段。 teledb select emptyclob(); emptyclob (1 row) teledb create table t1 (f1 int,f2 clob); CREATE TABLE teledb insert into t1(f1,f2) values (1,emptyclob()); INSERT 0 1 teledb

本文介绍如何管理入侵检测策略。 容器的入侵行为主要是对命令执行、读写文件、网络活动、主机异常等类型进行监测。 平台支持多类检测规则，对黑客的攻击行为进行检测防护，且支持预设策略的方式，将入侵行为在事件发生的第一时间对容器进行暂停并支持对容器所在的Pod进行隔离或重启。 默认策略 平台内置默认策略的启用状态默认为“启用”，且仅支持查看、编辑，不支持删除。 编辑默认策略时，支持选择应用对象、自定义规则等操作。 默认策略包含的检测规则请参见系统内置规则。 添加策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页签，单击“添加策略”，进入添加策略页面。 4. 配置基本信息。 5. 选择策略应用的对象。 6. 配置策略规则，包括使用哪些规则，配置规则处置方式等。 每条入侵行为下，有相关的行为描述和开启建议，用户可进行参考设置。 说明 可以为单个规则修改处置方式，也可以批量为规则修改处置方式： 单个规则：规则启用后才支持修改处置方式。 批量设置：勾选规则前的复选框，选择要启动报警的内置策略，在列表上方的报警“处置方式”下拉框中批量设置报警处理方式。 处置方式包含只报警、报警且隔离Pod、报警且重启Pod、报警且暂停容器这四种处理方式。 仅系统内置策略支持配置“主机异常”规则： 7. 参数配置完成后，单击“保存”。

本页介绍天翼云TeleDB数据库PL/pgsql函数的返回值。 返回值可以是一个简单数据类型、复合类型、RECORD、已经存在的表行类型、表字段类型、游标、另外还可以返回一个记录集、如果不需要返回值，则可以用RETURN void。返回值的字段名及类型可以在参数OUT、INOUT模式中声明。

本页介绍天翼云TeleDB数据库PL/pgsql函数的返回值。 返回值可以是一个简单数据类型、复合类型、RECORD、已经存在的表行类型、表字段类型、游标、另外还可以返回一个记录集、如果不需要返回值，则可以用RETURN void。返回值的字段名及类型可以在参数OUT、INOUT模式中声明。

策略名称 描述 类别 云数据库GaussDB FullAccess 云数据库 云数据库GaussDB 服务的所有执行权限。 系统策略 云数据库GaussDB ReadOnlyAccess 云数据库 云数据库GaussDB 服务的只读访问权限。 系统策略

本文带您了解什么是网络ACL,以及网络ACL的基本特性。 网络ACL定义 网络ACL是一个子网级别的流量防护策略，您可以自定义设置网络ACL规则，并将网络ACL与子网绑定，实现对子网中云服务器实例流量的访问控制。通过出方向/入方向规则控制出入子网的流量数据。 地域资源池和可用区资源池的网络ACL存在部分区别，如表1所示： 表1 地域资源池和可用区资源池的网络ACL的区别 对比项 地域资源池 可用区资源池 是否存在默认规则 不存在默认规则。 存在，每个ACL出/入方向各存在两条默认规则。 具体信息可参考“ACL默认规则”。 创建ACL时是否需要指定子网 创建时需要指定子网。 创建时无需指定子网，可创建后再关联子网。 ACL与子网之间的对应关系 一个子网支持关联一个ACL。 一个ACL支持关联一个子网。 一个子网支持关联一个ACL。 一个ACL支持关联多个子网。 是否支持自定义源/目的地址 入方向规则不支持自定义目的地址。 出方向规则不支持自定义源地址。 出/入方向规则均支持自定义源/目的地址。 网络ACL基本信息 ACL创建后，您可以添加ACL规则自定义访问控制策略，对于多可用区资源池来说，当ACL中没有明确的自定义规则时，系统会采用默认的规则。关联子网后，基于默认安全原则，网络ACL会默认拒绝所有出入子网的流量，直至添加放通规则。对于地域资源池来说，不存在默认规则，当不匹配规则时默认放通全部流量。 基本特性如下： 针对可用区资源池，网络ACL与子网之间是一对多的关系，即一个网络ACL可以对多个子网生效，而一个子网同一时间只能关联一个网络ACL。 针对地域资源池，ACL与子网是一对一的关系，即一个网络ACL只能对一个子网生效，而一个子网同一时间只能关联一个网络ACL。 网络ACL只能在子网级别生效，不能对同一子网内的云主机实例间的流量实现过滤。 网络ACL支持多种策略，如允许、拒绝。 ACL规则的优先级数字越小则优先级越高。 对于可用区资源池来说，创建网络ACL后，自动创建出默认规则，它会拒绝所有未明确被允许的访问请求。默认规则为最低优先级，创建自定义规则后，按照优先级顺序执行规则。默认规则不支持修改、删除、启用/停用等操作。 对于可用区资源池来说，每个新创建的网络ACL最初都为未激活状态，直到您将ACL与子网关联后才可生效ACL内的规则，实现子网内的流量防控。 网络ACL是无状态的，即设置入方向规则的允许请求后，需要同时设置相应的出方向规则，否则可能会导致请求无法响应。您可以根据实际需求进行灵活的设置。 不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。

Console控制台功能 依赖服务 需配置角色/策略 总览 应用运维管理AOM IAM用户设置了CCE Administrator权限后，需要增加AOM FullAccess权限后才能访问总览中的数据图表。 支持设置了IAM ReadOnlyAccess和CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户直接访问总览中的数据图表。 工作负载 弹性负载均衡ELB 应用运维管理AOM NAT网关 NAT 对象存储服务OBS 弹性文件服务SFS 正常创建工作负载时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要使用Java探针，需要设置AOM FullAccess权限。 如果需要NAT网关类型的服务，需要设置NAT Gateway Administrator权限。 如果使用对象存储，需要全局设置OBS Administrator权限。说明由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后， 大概需要等待13分钟RBAC策略才能生效；授予OBS相关的系统策略后，大概需要等待5分钟系统策略能生效。l 如果使用文件存储，需要设置SFS FullAccess权限。 集群管理 应用运维管理AOM 如果需要弹性扩容权限，需要设置AOM FullAccess权限。 节点管理 弹性云主机ECS 当IAM用户权限为CCE Administrator时，如果创建和删除节点，需要配置ECS FullAccess或ECS Administrator权限，以及VPC Administrator权限。 网络管理 弹性负载均衡ELBNAT网关 NAT 正常创建时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要NAT网关类型的服务，需要设置NAT Administrator权限。 存储管理 对象存储服务OBS弹性文件服务SFS 如果使用对象存储，需要全局设置OBS Administrator权限。 说明br由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后，大概需要等待13分钟RBAC策略才能生效；授予OBS相关的系统策略后，大概需要等待5分钟系统策略能生效。 如果使用文件存储，需要设置SFS FullAccess权限。 如果使用极速文件存储，需要设置SFS Turbo Admin权限导入存储的功能需要设置CCE Administrator权限。 命名空间 / 无需其他依赖权限。 模板市场 / 当前仅支持帐号、设置了CCE Administrator权限的IAM用户访问。 插件管理 / 支持帐号、设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess等权限的IAM用户访问本功能。 权限管理 / 支持帐号访问。 支持设置了CCE Administrator和Security Administrator（全局级策略）权限的IAM用户访问。 支持设置了CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户访问。 配置中心 / 配置项( ConfigMap )无需其他依赖权限。 密钥( Secret )需要在命名空间权限下设置clusteradmin、admin或者edit权限才能查看，依赖服务需要添加DEW KeypairFullAccess或者DEW KeypairReadOnlyAccess权限。 帮助中心 / 无需其他依赖权限。 其他服务跳转 容器镜像服务SWR应用运维管理AOM 为便于您快速进入CCE相关服务的控制台，在CCE控制台增加了其他服务的跳转链接，CCE默认没有这些服务的全部权限，如果IAM用户需要查看或使用其功能，请按照该服务的权限策略说明设置相应的权限策略。

云硬盘设备名称与操作系统内块设备名称是否一致？ 本地系统盘场景 物理机在详情页面显示的云硬盘设备名称与操作系统内部的设备名称不一致。为防止设备名称变化对业务造成影响，建议通过UUID的方式使用云硬盘，特别是/etc/fstab的写入，最好使用UUID,不然重启机器时可能导致无法正常启动，查看磁盘UUID命令为blkid。 当携带云硬盘创建物理机完成后，物理机详情界面的云硬盘名称从/dev/sdb开始进行显示，操作系统内部的云硬盘名称在本地硬盘名称之后，按照字母顺序依次增加，操作系统内部设备名称如下图所示。 物理机创建完成后进行挂载云硬盘，物理机详情界面的云硬盘名称为挂载云硬盘时指定的名称；卸载云硬盘后，详情界面将不再显示该云硬盘，同时释放该云硬盘对应的设备名称。 而物理机创建完成后进行卸载云硬盘，操作系统中云硬盘名称跟操作系统是否重启有关。 若操作系统为未重启，挂载云硬盘时操作系统会选择一个可用的、字母序中最小的盘符名称，比如/dev/sda和/dev/sdc已被使用，将会分配dev/sdb；卸载云硬盘时操作系统会将云硬盘对应的设备名称释放。 若操作系统重启，操作系统内部的云硬盘名称会根据设备挂载时间以及本地磁盘个数重新生成，挂载云硬盘重启前后的现象，如图1所示；卸载云硬盘重启前后的现象如图2所示。 图1 挂载云硬盘 图2 卸载云硬盘 云系统盘场景 物理机在详情页面显示的云硬盘设备名称与操作系统内部的设备名称可能不一致。 当携带云硬盘创建物理机完成后，物理机详情界面的云硬盘名称从/dev/sda开始进行显示，操作系统内部的云硬盘名称和本地硬盘名称取决于系统的扫描顺序，整体按照字母顺序依次增加，可能存在以下两种情况，其中云系统盘始终为云硬盘盘符最小的一个，操作系统内部设备名称如图3和图4所示。 图3操作系统内部设备名称（一） 图4操作系统内部设备名称（二） 物理机创建完成后进行挂载云硬盘，物理机详情界面的云硬盘名称为挂载云硬盘时指定的名称；卸载云硬盘后，详情界面将不再显示该云硬盘，同时释放该云硬盘对应的设备名称。 而物理机创建完成后进行卸载云硬盘，操作系统中云硬盘名称跟操作系统是否重启有关。 若操作系统未重启，挂载云硬盘时操作系统会选择一个可用的、字母序中最小的盘符名称，比如/dev/sda和/dev/sdc已被使用，将会分配dev/sdb；卸载云硬盘时操作系统会将云硬盘对应的设备名称释放。 若操作系统重启，操作系统内部的云硬盘名称会根据设备挂载时间以及本地磁盘个数重新生成，挂载云硬盘重启前后的现象，如图5和图6所示；卸载云硬盘重启前后的现象如图7和图8所示。 图5挂载云硬盘（重启前） 图6挂载云硬盘（重启后） 图7卸载云硬盘（重启前） 图8卸载云硬盘（重启后） 说明 登入物理机操作系统后，通过lsscsi命令，查看卷类型为“VBS fileIO”的盘即为云硬盘。

此小节介绍云堡垒的续费。 为保证用户正常使用云堡垒机服务，在云堡垒机许可证到期前或使用许可到期后，用户可通过“续费”操作增加授权使用期限。 在云堡垒机到期前，可以通过“续费”操作延长到期时间。 在云堡垒机到期后，可以通过“续费”操作继续使用云堡垒机。若未及时续费，则进入“保留期”，将冻结云堡垒机，不能登录云堡垒机系统。“保留期”到期仍未续订或充值，存储在云堡垒机中的数据将被删除、资源将被释放。 前提条件 已获取管理控制台的登录帐号与密码。 已“一键放通”云堡垒机网络限制。 云堡垒机所在安全组允许访问出方向9443端口。 云堡垒机所在子网未关联防火墙ACL，或关联的防火墙ACL为“开启”状态且允许访问出方向9443端口。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，单击，进入云堡垒机实例界面。 实例列表 5. 单击待续费的实例，“操作”列的“更多 > 续费”，进入“续费”配置页面。 6. 根据需要选择续费时长。 7. 单击“去支付”，在支付页面完成付款。 8. 返回云堡垒机实例列表页面，在“计费模式”列查看授权后最新到期时间。 9. 大约5分钟后可正常登录云堡垒机系统。续费后，新的License许可证大约需5分钟自动下发授权并部署，请耐心等待。

天翼公有云×DeepSeek 产品架构和技术优势 天翼公有云智算底座主推产品 天翼公有云×DeepSeek方案 返回DeepSeek专题导航。

本文介绍如何变更安全加速套餐。 您如果有变更套餐的需求，您可以登录天翼云官网，在订单管理产品中找到您的订单，点击“订购”提交您的变更需求。目前套餐变更只支持升级套餐，不支持降级套餐的操作。 产品变更页面

本文向您介绍如何通过云监控检索云专线监控数据。 监控是保持云专线可靠性、可用性和性能的重要部分，通过监控，用户可以观察云专线资源。为使用户更好地掌握自己的云专线运行状态，您可以使用云监控服务CES监控您的云专线，执行自动实时监控、告警和通知操作，帮助您更好地了解云专线的各项性能指标。 说明 目前仅对部分资源池自动化开通的云专线支持监控，请以云专线控制台实际显示为准。 完成云专线创建后，如需对云专线进行监控，请联系客服人员协助开通云专线的监控功能。 支持的监控指标 功能说明 本节定义了云专线服务上报云监控服务的监控指标的命名空间，监控指标列表和维度定义，用户可以通过云监控服务提供的管理控制台或API接口检索云专线服务产生的监控指标。 命名空间 plaintext SYS.DCAAS 监控指标 表云专线支持的监控指标 指标 指标名称 含义 取值范围 测试对象 监控周期 networkincomingbitsrate 网络流入带宽 云专线连接侧入站数据的比特率。 单位：bit/s ≥0 bits/s 物理连接和历史物理连接 1分钟 networkoutgoingbitsrate 网络流出带宽 云专线连接侧出站数据的比特率。 单位：bit/s ≥0 bits/s 物理连接和历史物理连接 1分钟 networkincomingbytes 网络流入流量 云专线连接侧入站数据的字节数。 单位：byte ≥0 bytes 物理连接和历史物理连接 1分钟 networkoutgoingbytes 网络流出流量 云专线连接侧出站数据的字节数。 单位：byte ≥0 bytes 物理连接和历史物理连接 1分钟 networkincomingpacketsrate 网络流入包速率 云专线连接侧入站数据包速率。 单位：Packet/s ≥ 0 packets/s 物理连接和历史物理连接 1分钟 networkoutgoingpacketsrate 网络流出包速率 云专线连接侧出站数据包速率。 单位：Packet/s ≥ 0 packets/s 物理连接和历史物理连接 1分钟 networkincomingpackets 网络流入包量 云专线连接侧入站数据包数。 单位：Packet ≥ 0 packets 物理连接和历史物理连接 1分钟 networkoutgoingpackets 网络流出包量 云专线连接侧出站数据包数。 单位：Packet ≥ 0 packets 物理连接和历史物理连接 1分钟 networkstatus 端口状态 云专线物理连接的端口状态。 0DOWN 1UP 物理连接和历史物理连接 1分钟 bgpreceiveroutenumv4 接收到的IPV4路由条目数 虚拟接口通过BGP协议学习到的IPV4的路由条目数。 ≥0 个 虚拟接口 1分钟 bgpreceiveroutenumv6 接收到的IPV6路由条目数 虚拟接口通过BGP协议学习到的IPV6的路由条目数。 ≥0 个 虚拟接口 1分钟 bgppeerstatusv4 IPv4 BGP PEER状态 IPv4 BGP PEER状态 0DOWN 1ACTIVE 虚拟接口 1分钟 bgppeerstatusv6 IPv6 BGP PEER状态 IPv6 BGP PEER状态 0DOWN 1ACTIVE 虚拟接口 1分钟 inerrors 网络流入错误包量 云专线连接侧入站错误数据包数 0232 物理连接 1分钟

云搜索服务已接入云审计服务。通过云审计服务,您可以查询云搜索服务相关的操作事件,便于日后的查询、审计和回溯。 云搜索服务默认接入云审计服务，云审计服务是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 前提条件 开通云搜索服务实例对应资源池的云审计服务。 开通云审计服务建议您从官网对应资源池“控制中心”>“管理与部署”>“云审计”进入开通。 操作步骤 您可通过云审计控制台查看云搜索服务近7天的相关操作。具体查看方法参见查看审计事件。 当前已纳入云审计的关键操作列表 操作名称 资源类型 创建实例 instance 查询实例详情 instance 修改实例密码 instance 扩容实例 instance 扩容存储容量 instance 扩容专属节点 instance 实例规格升配 instance 安全模式修改 instance 下载安全证书 instance 重启实例 instance 开启日志服务 instance 关闭日志服务 instance 开启审计日志 instance 关闭审计日志 instance 开启实例公网访问 instance 修改实例公网访问 instance 关闭实例公网访问 instance 开启Kibana&Cerebro公网访问 instance 修改Kibana&Cerebro公网访问 instance 关闭Kibana&Cerebro公网访问 instance 开启快照能力 snapshot 关闭快照能力 snapshot 开启自动快照 snapshot 关闭自动快照 snapshot 手动创建快照 snapshot 恢复快照 snapshot 删除指定快照 snapshot 修改参数配置 instance 安装插件 instance 卸载插件 instance 获取参数配置列表 instance 绑定ELB instance 解绑ELB instance 启用自定义词库 instance 停用自定义词库 instance 更新自定义词库 instance 缩容实例 instance

本节介绍如何配置全局精准访问控制规则。 防护对象接入Web应用防火墙后，您可以选择开启全局精准访问控制功能，并配置精准访问控制规则。 全局精准访问控制支持对全局域名或单个域名生效。 全局精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“精准访问控制”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入全局精准访问控制页面。 7. 单击“新建防护规则”，配置全局精准访问控制规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置全局精准访问控制规则对象所在的企业项目。 接入对象 设置精准访问控制规则的作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局精准访问控制不支持独享版和监听器防护对象。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 8. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文为您介绍Web基础防护模块的规则白名单功能及配置方式。 网站接入云WAF后，您可以通过设置全局白名单规则，让满足指定特征的请求不经过Web基础防护引擎的检测，一般用于放行因触发Web基础防护相关规则被误拦截的特殊业务请求。 前提条件 已开通了Web应用防火墙，且实例版本为标准版及以上版本。 已完成网站接入。具体操作，请参见添加域名。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防护白名单”模块，点击防护规则右侧的“前去配置”。 7. 进入“白名单”页面，可以查看当前已创建的白名单规则列表。 8. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：规则防护引擎包含的全部规则。选择该项，表示触发匹配条件的请求不受任何防护模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持BOT防护和Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，在模块右侧的下拉框，选择不检测的规则ID。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则，并根据需要禁用、编辑或删除规则。

本文为您介绍如何将您的网站通过域名接入WAF实例进行防护。 开通云WAF SaaS版实例后，需要将您需要防护的网站域名接入WAF，使网站的访问流量全部流转到WAF进行检测并转发，实现恶意流量的拦截。 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。 WAF SaaS版提供CNAME接入方式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 CNAME接入流程 在WAF控制台添加需要防护的网站域名后，通过修改域名的DNS解析设置，将网站流量解析到WAF，使访问网站的流量经过WAF并受到WAF的防护。WAF将过滤和处理后的请求转发回该域名的源站服务器。接入流程如下： 1. 添加域名 ：配置域名、协议、源站等相关信息，详情请参见添加域名。 2. 放行WAF回源IP段 ：WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时，您需要设置源站服务器的安全软件或访问控制策略，放行WAF回源IP段的入方向流量，详情请参见放行WAF回源IP段。 3. 本地验证 ：添加域名后，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常，详情请参见本地验证。 4. 修改域名DNS ：若域名在接入WAF前未使用代理，则需要到该域名的DNS服务商处，修改域名的DNS解析配置，将网站的流量解析到WAF；若域名在接入WAF前使用了代理（DDoS高防、CDN等），则需要将使用的代理类服务（DDoS高防、CDN等）的回源地址修改为的目标域名的“CNAME”值，详情请参见修改域名DNS。 说明 完成接入流程后，网站访问流量将经过WAF转发检测。WAF包含多种防护检测模块，帮助网站应对不同类型的安全威胁，其中Web基础防护模块默认开启，用于防御常见的Web应用攻击（例如SQL注入、XSS跨站、Webshell上传等），其他防护模块需要您手动开启并配置具体防护规则。

本文介绍基础配置所涉及的配置，包括：验证域名归属权、选定加速类型、选定加速区域、IPv6开关。 概述 添加加速域名、验证域名归属权、选定合适的加速类型、选定正确的加速区域，是您使用天翼云CDN服务最基础且关键的一步。 功能简介 功能 说明 对应说明文档 域名名称 1.即加速域名，为需要使用加速服务的域名，支持泛域名。 2.在添加加速域名环节，需您先通过域名归属权验证，证明您拥有该域名的使用权，才能完成域名添加。 1.添加加速域名 2.验证域名归属权 CNAME 完成加速域名添加后，系统会为您分配一个天翼云CDN的CNAME域名， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向CNAME域名，这样该域名所有的请求才会转向天翼云CDN的节点，实现加速的目的。 配置CNAME 域名状态 状态分类：已启用、配置中、已停用。 1.当域名状态为【已启用】时，可以在【域名管理>域名列表】对域名配置进行【查看】、【编辑】、【停用】操作。 2.当域名状态为【配置中】时，可以在【域名管理>域名列表】对域名配置进行【查看】操作。 3.当域名状态为【已停用】时，可以在【域名管理>域名列表】对域名配置进行【查看】、【启用】操作。 —— 加速类型 依据业务特性，选取合适的加速类型。 加速类型 加速区域 切换加速区域，变更CDN的服务范围。 加速区域 创建时间 显示该域名在平台首次创建成功的时间。 —— IPv6开关 开启IPv6功能后，您可以在客户端通过IPv6协议访问CDN节点。 IPv6配置

本章节向您介绍如何管理虚拟私有云标签。 操作场景 标签用于标识云资源，您可以通过标签实现对虚拟私有云资源的分类和搜索。您可以参考以下操作管理虚拟私有云标签： 添加虚拟私有云标签 修改虚拟私有云标签 删除虚拟私有云标签 如您的组织已经设定虚拟私有云的相关标签策略，则需按照标签策略规则为虚拟私有云添加标签。标签如果不符合标签策略的规则，则可能会导致虚拟私有云创建失败，请联系组织管理员了解标签策略详情。 下表是虚拟私有云标签命名规则。 参数 规则 样例 键 对于云资源，每个“标签值”都必须是唯一的，每个“标签键”只能有一个“标签值”。 不能为空。 最大长度不超过128个字符。 由任意语种字母、数字、空格、“”、“:”、“”、“+”、“”、“@”组成。 首尾不能含有空格、不能以sys开头。 vpckey1 值 可以为空。 最大长度不超过255个字符。 由任意语种字母、数字、空格、“” 、“.”、“:”、“/”、“”、“+” 、“”、“@”组成。 首尾不能含有空格。 vpc01 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 打开服务列表，选择“网络 > 虚拟私有云”，进入虚拟私有云列表页面。 4. 在虚拟私有云列表中，单击目标虚拟私有云名称超链接，进入虚拟私有云详情页面。 5. 选择“标签”页签，在标签列表左上方，单击“编辑标签”，进入“编辑标签”页面。 6. 根据需要，参考以下步骤对标签执行对应的操作。 添加标签：单击“增加”按钮，在文本框中输入标签键和标签值对应的取值，并单击“确定”。 修改标签：单击目标标签键或者标签值后方的“删除”按钮，删掉原有取值，输入新的取值，并单击“确定”。 删除标签：单击目标标签后方的“删除”，并单击“确定”。

安装补丁 登录MRS管理控制台。 1. 选择“集群列表 > 现有集群”，选中一集群并单击集群名，进入集群基本信息页面。 2. 进入“补丁信息”页面，在操作列表中单击“安装”。 3. 进入“警告”页面，选择是否开启“滚动补丁”。 说明 滚动安装补丁功能开启：补丁安装前不会停止服务，补丁安装后滚动重启服务来完成补丁安装，可以最大程度减少对集群业务的影响，但相比普通方式安装耗时更久。 滚动安装补丁功能关闭：补丁安装前会停止服务，补丁安装后再重新启动服务来完成补丁安装，会造成集群和服务暂时中断，但相比滚动方式安装补丁耗时更短。 少于2个Master节点和少于3个Core节点的集群不支持滚动方式安装补丁。 4. 单击“确定”，安装目标补丁。 5. 查看补丁安装进度。 a.访问集群对应的MRS Manager，详细操作请参见访问MRS Manager（MRS2.x及之前版本）。 b.选择“系统设置 > 补丁管理”，进入补丁管理页面即可看到补丁安装进度。 说明 对于集群中被隔离的主机节点，请参见 卸载补丁 登录MRS管理控制台。 1. 选择“集群列表 > 现有集群”，选中一集群并单击集群名，进入集群基本信息页面。 2. 进入“补丁信息”页面，在操作列表中单击“卸载”。 3. 进入“警告”页面，选择是否开启“滚动补丁”。 说明 滚动卸载补丁功能开启：补丁卸载前不会停止服务，补丁卸载后滚动重启服务来完成补丁卸载，可以最大程度减少对集群业务的影响，但相比普通方式卸载耗时更久。 滚动卸载补丁功能关闭：补丁卸载前会停止所有服务，补丁卸载后再重新启动所有服务来完成补丁卸载，会造成集群和服务暂时中断，但相比滚动方式卸载补丁耗时更短。 少于2个Master节点和少于3个Core节点的集群不支持滚动方式卸载补丁。 4. 单击“确定”，卸载目标补丁。 5. 查看补丁卸载进度。 a.访问集群对应的MRS Manager，详细操作请参见访问MRS Manager（MRS2.x及之前版本）。 b.选择“系统设置 > 补丁管理”，进入补丁管理页面即可看到补丁卸载进度。 说明 对于集群中被隔离的主机节点，请参见