通过模板克隆，可以快捷创建自定义告警模板. 操作场景 您可以根据实际需要，利用已创建的自定义告警模板，通过模板克隆功能快捷创建告警模板。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警模板”，进入告警模板详情页面。 5. 单击待选择的告警模板，操作“模板克隆”按钮，出现模板克隆弹窗。 6. 在模板克隆弹窗，根据页面提示填写模板名称以及描述信息。 7. 填写完成后，单击”确定“即可完成模板克隆。

介绍创建用户并授权使用Kafka 对资源进行精细访问控制 您可以使用统一身份认证（Identity and Access Management，简称IAM）服务对所拥有的Kafka服务进行精细的权限管理。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 您注册后，系统自动创建帐号，帐号是对其所拥有的资源具有完全控制权限，可以访问系统中所有的云服务。若您的团队或应用程序需要使用您的Kafka资源，您可以为员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录云服务平台。 前提条件 基于IAM服务进行权限管理控制时，您需先了解Kafka的策略管理，包含Kafka所支持的系统策略管理，以及各策略间资源粒度的授权情况。 授权流程 左侧导航栏分别包含“用户组”、“子用户”、“策略管理”、“企业项目”，用户根据个人需要进行操作资源的权限控制。 授权具体流程为：创建IAM用户 > 创建用户组并授权Kafka资源权限 > 为IAM用户授权，具体操作步骤如下： 创建IAM用户 使用天翼云网门户的用户管理功能，给员工或应用程序创建IAM子用户。 步骤 1 企业的天翼云管理员使用已注册的天翼云帐号登录天翼云网门户。 步骤 2 鼠标移动至天翼云首页右上角用户头像，在下拉列表中单击“个人中心”。 步骤 3 个人中心左侧菜单中，单击“主子账号及授权管理”。 步骤 4 在主子账号及授权管理页，单击左侧导航菜单中的“子用户”。 步骤 5 在“子用户”管理界面中，单击“创建子用户”。 步骤 6 在弹出的创建用户对话框中，输入子用户信息。 步骤 7 单击“确定”，完成IAM用户创建，返回子用户列表，将显示新创建的IAM用户。

本章节主要介绍翼MapReduce的下载客户端操作。 操作场景 MRS集群提供了默认的客户端，用户可以通过客户端执行管理操作、运行业务或进行二次开发。使用客户端前需要下载客户端软件包。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 概览 > 更多 > 下载客户端”。 界面显示“下载集群客户端”对话框。 3. 在“选择客户端类型”选择一个类型。 “完整客户端”表示下载包中包含了脚本、编译文件和配置文件。 “仅配置文件”表示下载包仅包含客户端配置文件。 一般适用于应用开发任务。例如完整客户端已下载并安装后，管理员通过Manager界面修改了服务配置，开发人员需要更新客户端配置文件的场景。 说明 平台类型包括x8664和aarch64两种，可分别在x86和TaiShan节点上安装使用。默认情况下，下载的客户端平台类型和服务端保持一致。 4. 是否在集群的节点中生成客户端软件包文件？ 是，勾选“仅保存到如下路径”，单击“确定”开始生成客户端文件。 文件生成后默认保存在主管理节点“/tmp/FusionInsightClient/”。支持修改为其他目录且omm用户拥有目录的读、写与执行权限。如果路径中已存在客户端文件，会覆盖路径下已有的客户端文件。 等待文件生成后，使用omm用户或客户端安装用户将获取的下载包复制到其他目录，例如“/opt/Bigdata/client”。 否，单击“确定”，下载客户端文件至本地。 开始下载客户端软件包，并等待下载完成。 客户端下载成功后，参考安装客户端进行客户端的安装。

VPC终端节点(VPC Endpoint)使您能够将 VPC 私密地连接到终端节点服务(天翼云服务、 用户私有服务) VPC终端节点（VPC Endpoint）使您能够将 VPC 私密地连接到终端节点服务（天翼云服务、 用户私有服务），该连接使用天翼云内部网络进行连接，不再绕行公网，为您提供性能更加强大、更加灵活的网络。 VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。 终端节点服务 终端节点服务（VPC Endpoint Service）指将云服务或用户私有服务配置为VPC终端节点支持的服务。分为“网关”和“接口”两种类型。 网关型：由系统配置的受VPC终端节点支持的云服务，用户可直接使用。 接口型：包括系统配置的云服务和用户自己创建的私有服务。 说明 云服务：指云平台上的一些服务被配置为终端节点服务，默认由系统直接配置。用户没有权限配置云服务，您在创建终端节点时可以根据区域直接选择系统中相应的云服务。 用户私有服务：指用户将自己VPC中的服务资源配置为终端节点服务，这些服务资源为增强型负载均衡或者云服务器。 终端节点服务通过专属网关，可以将 VPC 中的服务方便的提供给其它 VPC 中的资源使用，实现跨 VPC 的访问，而不必暴露服务端相关的网络信息，使您的访问更加安全、可靠。 终端节点 终端节点（VPC Endpoint）在VPC和终端节点服务之间提供连接通道。您可以在VPC中创建自己的应用程序并将其配置为终端节点服务，同一区域下的其他VPC可以通过创建在自己VPC内的终端节点访问终端节点服务。包括“接口终端节点”和“网关终端节点”两种类型。 接口终端节点：是指具备私有IP地址的弹性网络接口，作为接口型终端节点服务的通信入口。 网关终端节点：是一个网关，在其上配置路由，用于将流量指向网关型终端节点服务。

介绍分布式消息服务MQTT实例详情。 实例详情包含基本的实例基本信息、当前性能指标信息以及各MQTT Broker节点信息。 基本信息 实例基本信息包括实例ID、实例名称、实例类型、专有网络、子网、安全组、创建时间、服务端连接地址、内网终端连接地址等，各字段释义如下： 实例ID：MQTT实例ID通常用于标识和管理不同的MQTT实例。每个MQTT实例都有一个唯一的实例ID，以确保在MQTT Broker上进行识别和区分。实例ID通常是一个字符串，由系统自动生成。 实例名称：MQTT实例名称通常用于标识和描述特定的MQTT实例。它是一个可读性高的字符串，用于方便用户在管理和监控中识别不同的MQTT实例。实例名称可以由用户自定义，也可以由MQTT服务根据用户指定的规则自动生成。通常情况下，实例名称是唯一的，以确保在一个MQTT服务中区分不同的实例。 实例类型：包含MQTT主机规格和节点数信息。 专有网络：即VPC，为分布式消息服务MQTT提供一个逻辑隔离的区域，构建一个安全可靠、可配置和管理的虚拟网络环境。 子网：构建在云基础设施上的网络分段，用于划分和管理云资源的网络连接。 安全组：网络安全控制机制，用于在云计算环境中管理虚拟机实例、容器实例或其他云资源的网络访问规则。 创建时间：购买并成功创建MQTT实例时间。 服务器连接地址：MQTT服务器的主机名或IP地址。 内网终端连接地址：在局域网或内部网络中使用的地址，用于设备之间在相同网络环境下进行通信。 内网终端SSL连接地址：内网终端之间建立SSL连接，使用MQTT over TLS/SSL（通常称为MQTTS）来保护通信。 公网IP：可以独立申请的公网 IP 地址，包括公网IP地址与公网出口带宽服务。

本文解释从天翼云CDN访问到的文件和直接回源结果不一样的原因和解决方案。 背景说明 使用天翼云CDN加速后，如用户请求的文件在节点已有缓存，则直接响应给用户；如用户请求的文件为首次访问，或文件过期，则CDN节点会回源站获取文件，缓存在节点并响应给用户。 正常情况下，用户请求CDN节点和直接访问源站，访问到的内容相同。本文主要介绍CDN节点和源站文件内容如果不一致时，可能的原因及解决方案。 详细内容 从天翼云CDN访问到的文件和直接回源结果如不一样，可从以下几方面着手进行分析： 1.CDN节点回源，会在用户请求基础上增加部分请求头，源站如对相应请求头有处理策略上的差异，可能会导致响应不同内容 用户请求至CDN节点后，CDN节点会在原始请求头基础上增加类似如下的请求头： Via: http/1.1 fjningde5xxx[aff7324a97b346daaf21ba85e1876868] (ApacheTrafficServer/xxx)；该请求头值为请求进入CDN节点后经过的节点信息。 RequestId：9011f7a06787a0fd560cd724dd9989fb；该请求头值为对应请求的唯一ID。 如果源站针对上述请求头有做特殊处理，例如，有Via时可能响应不同的值，则会导致CDN和源站响应不同内容。 解决方案：可尝试通过直接回源请求，并逐个新增携带上述请求头，对比是否与源站获取的内容一致，直到找到造成响应差异的对应请求头。此后，可通过调整源站设置，或在CDN节点配置去掉对应请求头来规避问题。目前，删除CDN内部请求头尚不支持自助，需要提交工单给天翼云客服人工处理。

如果您需要对天翼云上购买的运维安全中心实例资源进行管理，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并使用策略来控制对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有运维安全中心实例的使用权限，但是不希望员工拥有创建、变更规格、升级实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用实例，但是不允许创建、变更规格、升级CBH实例的权限策略，控制员工对实例资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用运维安全中心的其它功能。 运维安全中心实例权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CBH实例部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北北京1）对应的项目（cnnorth1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CBH实例时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对运维安全中心实例，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下表所示，包括了运维安全中心实例的部分系统权限。 系统角色/策略名称 描述 类别 CBH FullAccess 运维安全中心实例的所有权限（支付权限除外）。 系统策略 CBH ReadOnlyAccess 运维安全中心实例只读权限，拥有该权限的用户仅能查看运维安全中心服务，不具备服务配置和操作权限。 系统策略 说明 您在赋予账号企业项目级的CBH FullAccess权限时，还需要授予账号IAM项目级别的CBH ReadOnlyAccess权限，这样才可以在Console控制台正常使用CBH服务的各项功能。 您在赋予账号企业项目级的CBH FullAccess权限时，还需要授予账号IAM项目级别的CBH ReadOnlyAccess权限，这样才可以在Console控制台正常使用CBH服务的各项功能。 如下表列出了CBH实例常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 CBH FullAccess CBH ReadOnlyAccess 创建运维安全中心 √ x 变更运维安全中心规格（变更规格） √ x 查询运维安全中心列表 √ √ 升级运维安全中心软件版本 √ x 查询ECS配额 √ x 绑定或解绑EIP √ x 重启运维安全中心 √ x 启动运维安全中心 √ x 关闭运维安全中心 √ x 查看运维安全中心可用区 √ x 检测当前配置是否支持创建IPv6运维安全中心 √ x 检测运维安全中心与License中心之间网络是否连通 √ x 修改运维安全中心网络，确保与License中心网络连通 √ x

本章节主要介绍准备工作 在开始之前，您需要完成如下的准备工作。 步骤 1 创建虚拟私有云和子网。 虚拟私有云（Virtual Private Cloud，简称VPC）提供一个隔离的、用户自主配置和管理的虚拟网络环境，可以提升资源的安全性，简化用户的网络部署。 1. 登录虚拟私有云VPC控制台。 2. 单击右上角“创建虚拟私有云”。 3. 根据界面提示完成参数填写，单击“立即创建”。 步骤 2 创建密钥对。 新建一个密钥对，用于远程登录节点时的身份认证。 1. 登录弹性云服务器ECS控制台。 2. 选择左侧导航中的“密钥对”，单击右上角“创建密钥对”。 3. 输入密钥对名称后，单击“确定”。 4. 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 为保证安全，私钥只能下载一次，请妥善保管，否则将无法登录节点。 步骤 3 创建负载均衡。 弹性负载均衡将作为服务网格对外访问入口，被服务网格管理的应用流量，均从此实例进入并分发到后端服务。 1. 登录弹性负载均衡ELB控制台。 2. 单击右上角的“创建弹性负载均衡”。 3. 所属VPC、子网请选择步骤1中创建的虚拟私有云和子网，其他参数根据界面提示填写，单击“立即创建”。 步骤 4 创建集群。 1. 登录云容器引擎CCE控制台。 2. 选择左侧导航中的“资源管理 > 集群管理”，单击右上角“创建CCE集群”。 3. 在“服务选型”页面设置如下参数，其余参数均采用默认值。 集群名称：用户自行输入，此处设置为“cceasm”。 虚拟私有云、所在子网：选择步骤1中创建的虚拟私有云和子网。 4. 单击“下一步：创建节点”，配置添加节点的参数。除节点规格和登录方式外，其余参数保持默认。 节点规格：vCPUs为4核，内存为8GB。 说明 此规格为部署Bookinfo应用所需的最小资源。 如果在创建网格中创建的网格版本为1.3.0，则此处的节点规格需要选择8核16GB。为了保证sidecar的稳定性，1.3.0版本网格默认每个sidecar的CPU限制为1核，内存限制为512M，因此需要更多资源。 登录方式：选择步骤2中创建的密钥对，用于远程登录节点时的身份认证。 5. 单击“下一步：安装插件”，在“安装插件”步骤中选择要安装的插件。 “系统资源插件”为必装插件，“高级功能插件”可根据实际需求进行选择性安装。 6. 单击“下一步：配置确认”，阅读使用说明并勾选“我已知晓上述限制”，确认所设置的服务选型参数、规格等信息。 7. 确认订单无误后，单击“提交”，集群开始创建。 集群创建预计需要610分钟，您可以单击“返回集群管理”进行其他操作或单击“查看集群事件列表”后查看集群详情。

监控说明 当需要查看特定NAT网关的某个监控指标下后端实例对应的该监控指标情况，可以使用监控明细进行查看。 操作步骤 1. 登录天翼云控制中心，选择目标区域节点。选择“管理与部署>云监控”，进入云监控页面。 2. 点击左侧导航栏云服务监控下拉菜单中的NAT网关监控，在待查看的NAT网关操作栏点击“查看监控图表”。 3. 进入监控详情页，根据需求选择监控周期、监控指标。 4. 在下方监控明细TOP20可以展示NAT网关后端云主机的内网IP监控明细数据，支持按照监控指标进行排序。

本文介绍弹性文件服务安全监控告警方面的内容。 云监控服务是天翼云针对云网资源的一项监控服务，弹性文件通过云监控服务提供监控和告警能力。通过查看文件系统的监控数据，您可以了解到文件系统的使用情况。通过设置告警规则可以监控文件系统实例异常情况，保障业务正常进行。 关于弹性文件服务支持的监控指标，以及如何创建监控告警规则等内容，请参见监控。

本文将向您介绍如何查询您的网站业务统计分析报表。 功能介绍 可以通过安全报表，可以查询Web安全、CC安全两个维度的攻击数、攻击趋势、威胁类型分布、攻击IP TOP 10、TOP攻击URL等报表，并且支持导出报表。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 新增域名后，边缘云WAF将会自动为域名开启域名防护规则功能，一旦识别到攻击行为，将产生攻击日志，并将攻击数据统计在安全报表中 查看安全报表 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【统计分析】模块 2. 根据您的站点业务数据查看需求，选择业务分析报表或者热门分析报表页面 业务分析报表说明 业务分析模块可为客户提供带宽流量、请求数、状态码等指标。 通过筛选项进行组合查询带宽流量、请求数、状态码等指标。筛选项包括域名、运营商、地区、时间。 带宽流量。界面中展示的是您所选范围、域名、运营商、地区、时间范围内的带宽和流量统计图表，可通过切换“带宽”和“流量”的按钮查看带宽和流量图，同时会给出查询时间范围内每日总流量、带宽峰值、峰值时间点。 请求数。界面中展示的是您所选范围、域名、运营商、地区、时间范围内的请求数和QPS统计图表，可通过切换“请求数”和“QPS”的按钮查看请求数和QPS图，请求数图表中包括了总请求数、动态http请求数、动态https请求数、静态http请求数、静态https请求数。 天粒度数据统计说明： 没有开启WAF防护：防护请求数0，总请求数静态http请求数+静态https请求数+动态请求数+动态https请求数。 开启WAF防护：动态请求数0，总请求数静态http请求数+静态https请求数+防护请求数。 状态码。界面中展示的是您所选域名、运营商、地区、时间范围内的状态码统计图表，可通过切换“所有状态码”、“2XX”、“3XX”、“4XX”、“5XX”的按钮查看不同状态码的图表，并显示查询时间范围内的总状态码量，同时展示状态码占比表和状态码占比饼图。

云服务分类 云服务名称 产品控制台创建资源时是否支持绑定标签 产品控制台列表是否支持绑定和解绑标签 标签字符长度限制 标签字符内容限制 单实例默认可绑定标签个数 计算 弹性云主机 是 是 128位 首尾不包含空格 50 计算 GPU云主机 是 是 128位 首尾不包含空格 50 计算 物理机 是 是 128位 首尾不包含空格 50 计算 镜像服务 是 是 128位 首尾不包含空格 50 计算 弹性伸缩服务 是 是 128位 首尾不包含空格 50 计算 云主机快照 是 是 128位 首尾不包含空格 50 计算 SSH秘钥对 是 是 128位 首尾不包含空格 50 存储 云硬盘 是 是 128位 开头不包含空格 50 存储 弹性文件服务 否 是 128位 首尾不包含空格 50 存储 对象存储 是 是 128位 首尾不包含空格 50 存储 并行文件服务HPFS 是 是 128位 首尾不包含空格 50 存储 海量文件服务OceanFS 是 是 128位 首尾不包含空格 50 存储 云硬盘备份 是 是 128位 开头不包含空格 50 存储 云主机备份 是 是 128位 开头不包含空格 50 网络 弹性负载均衡 是 是 128位 首尾不包含空格 50 网络 共享流量包 否 是 128位 首尾不包含空格 50 网络 VPC终端节点 是 是 128位 首尾不包含空格 50 网络 NAT网关 是 是 128位 首尾不包含空格 50 网络 网关负载均衡 是 是 128位 首尾不包含空格 50 网络 内网DNS 否 是 128位 首尾不包含空格 50 网络 弹性IP 否 是 128位 首尾不包含空格 50 网络 共享带宽 否 是 128位 首尾不包含空格 50 网络 虚拟私有云 否 是 128位 首尾不包含空格 50 网络 流量镜像 否 是 128位 首尾不包含空格 50 网络 对等连接 是 是 128位 首尾不包含空格 50 网络 云间高速（标准版） 否 是 128位 首尾不包含空格 50 网络 VPN连接 否 是 128位 首尾不包含空格 50 网络 云专线CDA 是 是 128位 首尾不包含空格 50 专属云 专属云（计算独享型） 是 是 128位 首尾不包括空格 50 云原生 云容器引擎 是 是 128位 首尾不包含空格 50 云原生 容器镜像服务 否 是 128位 首尾不包含空格 50 云原生 云日志服务 否 是 128位 首尾不包含空格 50 云原生 应用性能监控 否 是 128位 首尾不包含空格 20 云原生 微服务云应用平台MSAP 否 是 128位 首尾不包含空格 50 云原生 微服务引擎API网关 否 是 128位 首尾不包含空格 20 云原生 微服务引擎微服务治理 否 是 128位 首尾不包含空格 20 云原生 微服务引擎注册配置中心 否 是 128位 首尾不包含空格 20 云原生 服务网格 否 是 128位 首尾不包含空格 50 云原生 分布式缓存服务Redis版 是 是 128位 首尾不包含空格 50 云原生 分布式消息队列RocketMQ 是 是 128位 首尾不包含空格 50 云原生 分布式消息队列RabbitMQ 是 是 128位 首尾不包含空格 50 云原生 分布式消息队列Kafka 是 是 128位 首尾不包含空格 50 云原生 分布式消息队列MQTT 是 是 128位 首尾不包含空格 50 云原生 弹性容器实例ECI 否 是 128位 首尾不包含空格 50 云原生 分布式容器云平台CCE ONE 是 是 128位 首尾不包含空格 20 云原生 Serverless容器引擎 是 是 128位 首尾不包含空格 50 云原生 函数计算 否 是 128位 首尾不包含空格 50 安全及管理 Web应用防火墙（原生版） 否 是 无限制 首尾不包含空格 50 安全及管理 服务器安全卫士（原生版） 否 是 128位 首尾不包含空格 10 安全及管理 云等保专区 否 是 128位 首尾不包含空格 50 安全及管理 数据库审计 否 是 128位 首尾不包含空格 10 安全及管理 云堡垒机（原生版） 否 是 128位 首尾不包含空格 10 安全及管理 日志审计（原生版） 否 是 128位 首尾不包含空格 10 安全及管理 秘钥管理 否 是 128位 首尾不包含空格 10 安全及管理 云密评专区 否 是 128位 首尾不包含空格 10 数据库 文档数据库服务 是 是 128位 首尾不包含空格 50 数据库 分布式关系型数据库 是 是 128位 首尾不包含空格 10 数据库 关系数据库PostgreSQL版 是 是 128位 首尾不包含空格 50 数据库 关系数据库MySQL版 是 是 128位 首尾不包含空格 50 数据库 云数据库ClickHouse版 是 是 128位 首尾不包含空格 50 数据库 关系数据库SQL Server版 是 是 128位 首尾不包含空格 50 数据库 数据传输服务DTS 否 是 128位 首尾不包含空格 50

本文为您介绍云监控IAM权限策略。 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1、身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 2、权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等信息。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ： 预置的系统策略，您只能使用不能修改，具体说明请查看系统策略。 其中云监控服务相关的系统策略包含如下： 云监控管理者(admin) ：云监控服务的管理者权限，包含云监控服务的所有控制权限； 云监控查看者（viewer）:云监控服务的查看者权限，包含资源列表、告警规则列表查看等权限； 自定义策略 ： 您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见创建自定义策略。

本页介绍天翼云分布式融合数据库HTAP服务等级协议。 天翼云分布式融合数据库HTAP服务等级协议（SLA）获取地址：天翼云分布式融合数据库HTAP服务等级协议。

本节帮助您了解如何查看QoS策略。 操作场景 创建QoS策略后，您可以查看该策略中的规则和关联的设备。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成QoS策略的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“QoS策略”，单击目标QoS策略的名称，进入策略详情页。 5. 在策略详情页的“规则”、“关联实例”页签下，分别可以查看该策略的规则详情和关联实例。

本节介绍应用组删除的操作步骤。 操作场景 用户将创建好的自定义应用组删除。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 待删除的应用组中不包含应用。 应用组没有关联QoS策略。 系统应用组不可删除。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“应用管理”，单击“应用组管理”。 5. 单击目标应用组“操作”列的“删除”。 6. 单击“确定”，完成自定义应用组删除。

参数 参数说明 插件规格 根据业务需求，选择插件的规格，包含如下选项： 演示规格（100容器以内）：适用于体验和功能演示环境，该规模下prometheus占用资源较少，但处理能力有限。建议在集群内容器数目不超过100时使用。 小规格（2000容器以内）：建议在集群中的容器数目不超过2000时使用。 中规格（5000容器以内）：建议在集群中的容器数目不超过5000时使用。 大规格（超过5000容器）：建议集群中容器数目超过5000时使用此规格。 实例数 选择上方插件规格后，显示插件中的实例数，此处仅作显示。 容器 选择插件规格后，显示插件容器的CPU和内存配额，此处仅作显示。 监控数据保留期 自定义监控数据需要保留的天数，默认为15天。 存储 按照界面提示配置如下参数： 类型：支持云硬盘。 可用区：请根据业务需要进行选择。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 子类型：支持普通IO、高IO和超高IO三种类型。 容量：请根据业务需要输入存储容量，默认10G。 说明： 若命名空间monitoring下已存在pvc，将使用此存储作为存储源。

如何在云智助手购买算力 云电脑现阶段提供有限免费算力，可通过云智助手AI算力模块购买更多算力。 注意 需云智助手升级至2.6.0及以上版本支持购买。 1. 云电脑桌面进入【云智助手】，在侧边栏找到【AI算力】模块； 2. 点击【购买Tokens】，进入购买页面，选择所需套餐，支持按月Coding Plan和按量购买两周方式。计费详情见购买页； 3. 在购买页面完成支付，跳转收银台并选择支付方式； 4. 支付完成后，返回AI算力页面，可查看订单记录与用量信息。 如何购买息壤的算力 获取息壤模型调用APIKey 1. 访问天翼云模型推理服务地址：++ 2. 左侧菜单栏进入【服务接入】，点击【创建服务组】； 3. 填写服务信息，勾选需要的模型（如 GLM5、Qwen3.5、DoubaoSeed2.0pro 等），提交创建，同时获取对应“模型接口请求地址”和“服务名称/ID”； 4. 在服务接入页面获取APIKey。点击【查看详情】获取“模型接口请求地址”和“服务名称/ID”。

防护规则 说明 Web基础防护规则 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。

为保证内网DNS产品正常使用，在使用之前，请您务必仔细阅读以下使用限制。 使用限制 内网域名的数量上限为10个。 每个域名可以设置的记录集数量上限为500个。 每个记录集中可以包含的记录值数量上限为8个。 如果您需要超过上述限制，可以通过提交工单申请提升额度。 资源池说明 内网DNS在不同资源池中具有不同的能力，具体可分为地域资源池和可用区资源池。 地域资源池是一个没有可用区概念的资源池，在地域资源池中，内网DNS的能力可能是局限于单个数据中心，并且不支持跨可用区的功能。 可用区资源池分单可用区资源池和多可用区资源池。 单可用区资源池的网络结构类似于地域资源池，但在一个可用区内托管资源，内网DNS的能力可能仍然局限于单个可用区，不支持跨可用区的功能。 多可用区资源池允许您在一个地域内跨多个可用区托管资源，内网DNS产品具备跨可用区的功能，可以实现不同可用区之间的连接和解析。 按资源池区分 具体资源池信息如下： 可用区资源池 华东地区： 上海36/华东1/南昌5/杭州7 华南地区： 南宁23/武汉41/长沙42/华南2 西北地区： 西安7/庆阳2/乌鲁木齐7 西南地区： 西南1/西南2贵州 北方地区： 青岛20/华北2/郑州5/太原4/呼和浩特3 地域资源池 华南地区： 广州6/海口2 西南地区： 昆明2 北方地区： 北京5/内蒙6/辽阳1

本章节主要介绍如何绑定/解绑队列。 约束限制 绑定跨源的DLI队列网段和数据源网段不能重合。 不支持绑定系统预置的default队列。 绑定队列 使用增强型跨源连接之前必须绑定队列且对等连接的状态是“active”。 方式一 在“增强型跨源”页面，选择一条连接，单击该连接“操作”列中的“更多 > 绑定队列”，在弹出的对话框中，选择要绑定的队列（支持多选），单击“确定”。 方式二 单击选择的连接名称，进入该连接的“ 详情”页面。单击左上角的“创建”，在弹出的对话框中，选择要绑定的队列（支持多选），单击“确定”。 查看绑定队列详情 在“增强型跨源”页面，选中一条连接，单击选中的连接名称，可以查看绑定队列相关信息。 跨源连接队列详情列表参数 参数 参数说明 对等连接ID 增强型跨源在该队列所在集群中创建的对等连接ID。 说明 每一个增强型跨源对每一个绑定的队列都会创建一个对等连接。该对等连接用于实现跨VPC通信，请确保数据源使用的安全组开放了DLI队列网段的访问，并且在使用跨源过程中不要删除该对等连接。 名称 已绑定的队列名称。 连接状态 跨源连接的状态信息，包括以下三种状态： 创建中 已激活 已失败 说明 当连接状态显示为“已失败”时，单击左边对应的 ，可查看详细的错误信息。 更新时间 每个连接的更新时间，可按更新时间顺序或倒序显示连接列表。 操作 解绑队列：用于解除跨源连接与队列之间的绑定关系。

本节介绍应用迁移的操作步骤。 操作场景： 用户将一个应用组中的应用迁移到其他应用组中。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“应用管理”，单击“应用组管理”。 5. 单击目标应用组“操作”列的“应用迁移”。 6. 根据页面提示选择当前应用组中需要迁移的应用（支持多选），以及待迁移的目标应用组。 7. 单击“确定”，完成应用迁移。

本文为您介绍删除站点监控的操作场景、前提条件和操作步骤。 操作场景 站点监控不需要使用时，您可以在控制台进行删除操作。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成站点监控的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“站点监控”，进入“站点监控”列表页。 5. 单击站点监控所在行“操作”列的“删除站点监控”，在弹出的“删除站点监控”界面，单击“确定”，可以删除站点监控。 6. 或勾选站点监控前的复选框，单击“删除”，在弹出的“删除站点监控”界面，单击“确定”，可以删除多个站点监控。

依据您所设定的告警规则，当告警发生后，您可以在告警记录查看告警历史，信息包括：发生时间、实例信息、告警规则等。 操作场景 适用于已经配置告警规则，在对应实例指标/事件信息触发告警规则，会对应产生告警记录。告警记录模块包含：告警总览、活动告警、历史告警。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 查看告警记录 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控服务”，进入监控概览页面。 4. 选择“告警服务>告警记录”菜单，即可进入告警记录页面，默认为告警总览信息。 5. 切换至“活动告警”、历史告警”，可以查看当前时间活动告警/历史告警记录。

时间粒度 可查询历史数据时间范围 数据延迟 单次可查询的时间跨度 1m 最近7天 5分钟 1小时 5m 最近186天 20分钟 5小时 1h 最近186天 20分钟 1天 24h 最近186天 20分钟 31天

本文介绍如何创建IAM子用户并授予特定权限策略,从而控制对VPN连接资源的访问。 操作步骤 1、创建用户组和IAM用户 1、创建用户组并给用户组授权，具体配置说明详见：创建用户组和授权。 2、创建IAM用户，并使用新创建的用户登录天翼云，具体配置说明详见：创建IAM用户和登录。 2、创建自定义策略 天翼云提供了访问VPN连接资源的系统策略。如果系统策略不能满足需求，您还可以创建自定义策略，具体配置说明详见：创建自定义策略。 目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。

本文为您介绍停用告警规则的操作场景、前提条件和操作步骤。 操作场景 当您的告警规则临时需要停用时，您可以在控制台停用此告警规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成告警规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则详情页面。 5. 在“告警规则”界面，单击告警规则所在行“操作”列的“停用”，在弹出的“停用”界面，单击“确定”按钮，可以停用告警规则。 6. 或在“告警规则”界面，可勾选多个告警规则，单击批量“停用”，在弹出的“停用”界面，单击“确定”按钮，可以批量停用多个告警规则。

本文为您介绍删除告警规则的操作场景、前提条件和操作步骤。 操作场景 当您业务发生变更或告警规则不需要使用时，您可以删除该告警规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成告警规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则详情页面。 5. 在“告警规则”界面，单击告警规则所在行“操作”列的“删除”，在弹出的“删除告警规则”界面，单击“确定”，可以删除告警规则。 6. 或在“告警规则”界面，可勾选多个告警规则，单击“删除”，在弹出的“删除告警规则”界面，单击“确定”，可以删除多个告警规则。

查看监控图表 1. 登录天翼云控制中心。 2. 在产品服务列表中“管理与部署 > 云监控服务”，进入云监控服务主页面。 3. 在左侧导航栏，选择“云服务监控”，单击“日志审计（原生版）”产品。 4. 在日志审计（原生版）监控列表中选择目标的实例，单击操作列的“查看监控图表”，进入监控详情页。 5. 在监控详情页，可以查看实例详情和监控图表。 切换不同的时间周期，查看不同周期内监控指标的情况。

本文带您快速入门多活容灾服务。 使用条件 1. 已经注册并开通天翼云账号。 2. 当前账号已开通多活容灾服务，拥有使用多活容灾服务的权限。 3. 已经完成实名认证。 使用流程 多活容灾服务使用流程如图所示。 1. 开通多活容灾服务。 2. 若生产中心为三方数据中心时，需新增三方数据中心。 3. 创建命名空间。在控制台命名空间页面创建命名空间，用户可以创建多个命名空间，用于逻辑隔离不同的资源。 4. 同步/纳管资源。在多活容灾服务平台使用相关资源之前，用户需通过资源管理模块对资源进行同步或新增操作，以便MDR侧能够实现资源的统一管理。 5. 创建容灾管理中心。用户可以根据业务需要使用一个或若干个容灾管理中心，容灾管理中心与命名空间为一对十绑定关系。 6. 接入应用（可选）。应用接入可帮助用户对容灾管理中心的云主机资源进行流量配比与健康检查监控，云主机资源健康情况可在监控大盘中查看。同时，可以帮助用户进一步将容灾管理中心的资源（如云主机、存储、数据库）按应用维度进行细粒度划分，提升资源管理便捷性。 7. 预案编排。预案编排涵盖预案阶段和预案管理两方面。预案阶段模块中，帮助用户以任务为单位进行串行或并行编排成预案阶段。预案管理模块中，用户可根据多个预案阶段互相衔接组成整体预案流程，预案流程为后续灾备演练和应急切换提供整体流程方案。 8. 容灾演练。容灾演练旨在确保灾难发生后能够快速恢复业务而进行的一系列的演练任务，涉及的演练任务来源于相应的预案流程，演练时演练任务为实战演练。 9. 应急切换。应急切换用于灾难发生后为了快速恢复业务而进行的一系列切换或恢复任务，涉及的演练任务来源于相应的预案流程。故障切换场景下可根据预设的切换预案流程拉起依次数据库、存储、灾备云主机等相关服务；故障回切场景下可根据预设的回切预案流程执行数据库、存储、容灾云主机的回切操作，以确保业务正常运行。

本文简述如何查询指定IP是否为天翼云IP。 功能介绍 天翼云应用加速产品提供一种IP地址检测工具，您可以使用该工具检测某IP地址是否为天翼云节点IP，同时获取IP所属城市、运营商、机房地址、节点层级等信息。 应用场景 场景一：配置应用加速产品后，可通过该工具验证客户端的请求是否成功到达天翼云节点IP。如果不是天翼云节点IP，则代表应用加速配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的应用访问异常时，可通过该工具查询用户访问的IP是否为天翼云节点IP，来排查应用异常的原因。如果IP地址是天翼云IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 使用方法 您可以使用查询IP所属城市，运营商，机房地址，节点层级接口检测IP是否属于天翼云IP。

参数 是否必填 参数类型 说明 示例 下级对象 sourceType 否 String 迁移源类型，默认为S3，①S3：AWS及S3适配；②OSS：阿里云OSS；③COS：腾讯云COS；④OBS：华为云OBS；⑤OOS：天翼云OOS；⑥ZOS：天翼云对象存储ZOS S3 sourceEndpoint 是 String 迁移资源池地址，支持输入IP或域名，以 sourceBucket 是 String 迁移源桶，输入限制不超过1024字符 bucketkpblz sourceAccessKey 是 String 迁移源资源池ak，输入限制不超过1024字符 7Hj9Kp2QXXXm5Nv3RfX sourceSecretKey 是 String 迁移源资源池sk，输入限制不超过1024字符 bL8yT4wXXXG6dS1xE9P sourceBucketType 否 String 源资源池迁移模，默认为Bucket。①Bucket：整桶迁移；②Folder：文件夹迁移；③Files：文件迁移；④Prefix：前缀迁移 Bucket migrateFolder 否 Array of Strings 指定源资源池迁移的文件夹列表，仅当sourceBucketType为Folder时有效，当前仅支持指定单个文件夹，单个文件夹名输入限制不超过1024字符 ["folder1"] migrateFiles 否 Array of Strings 指定源资源池迁移的文件名列表，仅当sourceBucketType为Files时有效，当前指定文件上限为100个，单个对象名输入限制不超过1024字符 ["files1","files2"] migratePrefix 否 Array of Strings 指定源资源池迁移的前缀列表，仅当sourceBucketType为Prefix时有效，当前只支持指定单个前缀，单个前缀名输入限制不超过1024字符 ["prefix1"]