pf6220b4dbc3d30f9)[]( pb8235697629419dc)网络服务区域带宽定价 无 目前套餐不包含非中国内地的带宽，不提供非中国内地节点覆盖，不保证访问效果。 如需非中国内地节点覆盖可订购网络服务远程办公海外区域带宽。 账号数扩展 VPN版（SaaS）：6元/账号/月 基础版（SaaS）：25元/账号/月 企业版（SaaS）：45元/账号/月 VPN版（混合部署）：10元/账号/月 基础版（混合部署）：35元/账号/月 企业版（混合部署）：65元/账号/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 账号数仅赠送中国内地流量带宽，如需非中国内地节点覆盖则需订购全球（非中国内地）按需或者带宽扩展包。 若选择流量计费模式，VPN版的账号数扩展赠送流量为10GB/月，基础版的账号数扩展赠送流量为50GB/账号/月，企业版的账号数扩展赠送流量为100GB/账号/月（账号数扩展赠送的流量在订购当月不生效，次月生效）。 若选择带宽计费模式，VPN版的账号数扩展赠送带宽为0.1Mbps/账号/月，基础版的账号数扩展赠送带宽为0.5Mbps/账号/月，企业版的账号数扩展赠送带宽为1Mbps/账号/月。 套餐内账号数不够用时，可通过账号数扩展购买更多账号数授权，账号数指使用零信任服务的账号总人数，一个账号下同时登录多个终端，不占用额外账号数。 短信配额：VPN版本短信30条/帐号/月，基础版本短信60条/帐号/月，企业版本短信150条/帐号/月，短信配额总量所有账号可共享使用。 RBI云端浏览器 并发数计费：35元/个/月 应用计费：4200元/个/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 并发数计费和应用计费二选一： 并发数计费：则按照并发个数计费，一个终端打开一个通过RBI访问的页面则为一个并发，一般用于管控人员较少，应用不固定的场景。 应用计费：则不根据使用的并发情况，而是根据配置的应用，如配置内网系统A则为一个应用或访问互联网也为一个应用，一般用于保障的应用地址明确，用户并发数不希望进行限制的场景。 短信套餐包 中国内地 55元/个/月 无 短信按月套餐包，包含的短信数量规格为1000条/个/月，订购后资源实时生效，本月分配的短信额度若未用尽将会在月底清空，无法累计到次月，请按实际需求合理订购。 短信套餐包退订时，若退订当月套餐包内短信额度已被使用，则退订当月金额不支持退回，系统会扣除退订当月费用，退回剩余订购时长的资费。 短信资源包 中国内地 1000元/个，包含20000条短信数量，自购买起1年内有效 无 短信资源包订购超过7天后不支持退订，详细规则请参考短信服务退订说明。 短信服务按需 中国内地 0.06元/条 无 短信按需服务，开启后，当月短信发送数量超过每月可发送的短信额度时，超过的短信按每条0.06元收费，若未订购服务按需，短信超量后将不再发送短信。

参数 说明 登录审计 审计登录成功：记录登录成功的终端日志。 审计登录失败：记录登录失败的终端日志。

能力项 天翼云电脑（公众版） 目标客群 个人、家庭用户 管理台功能 是否有管理台 无 管理台功能 自定义组网 不支持 管理台功能 账户体系 支持用户手机号注册账号 管理台功能 账户层级管理 无 实例订购方式 实例订购方式 单实例 实例订购方式 实例时长限制 不限时长，客户端断开连接1小时休眠，24小时关机 实例订购方式 带宽提供方式 默认提供 镜像能力 标准镜像 Windows Server 2019 镜像能力 自定义镜像 不支持 云电脑使用 终端支持能力 1. 移动端（手机/ipad）：默认支持 云电脑使用 终端支持能力 2. PC端（Windows/Mac）：默认支持 云电脑使用 终端支持能力 3. 瘦终端（Android/Windows）：默认支持 云电脑使用 App 提供天翼云电脑App，用户登录后可看到名下所有云电脑实例

第三步：获取鉴权信息 说明 业务系统终端集成协同签名模块后，需要填写鉴权信息才可调用协同签名系统的能力，请将应用的鉴权信息提取后交付终端开发人员 1.使用管理员账号登录协同签名服务 2.在左侧导航栏选择“应用登录 > 应用管理”，进入“应用管理”页面。 3.选择需要获取鉴权信息的应用，单击“操作”列的“密码”按钮，在弹出的对话框中输入管理员密码进行认证。 4.在弹出的对话框中输入管理员密码进行认证并获取应用信息。 5.将获取的信息同步至业务系统终端开发人员，在业务系统终端人员中按照SDK集成文档将鉴权信息内置。

本文主要介绍OBS的流程简介。 OBS最基础的入门操作包括创建桶、上传对象和下载对象，通过这三个操作就能完成数据上传和下载。 以下章节介绍如何使用OBS管理控制台来完成下图中所示的任务。 1. 注册天翼云帐号，为帐号充值。 2. 除了控制台以外，通过其他方式访问OBS均需要提前获取访问密钥（AK/SK）用以鉴权。 3. 使用SDK、API和obsutil工具时需要提前获取终端节点（Endpoint）。 4. 使用工具（OBS Browser+、obsutil、obsfs）和SDK前，需要先下载对应工具或SDK源码，并进行初始化配置。 5. 桶是OBS中存储对象的容器，在上传对象前需要先创建桶。并行文件系统与OBS桶操作类似。 6. 将文件上传至OBS。并行文件系统与OBS桶操作类似。 7. 从OBS中下载文件。并行文件系统与OBS桶操作类似。 8. 为节省空间和成本，可以删除无用的文件，可以删除单个文件也可以批量删除多个文件。 9. 如果不再需要一个桶，可以将其删除。

本章节介绍应用总览界面相关功能 概述 应用总览界面可以查看应用基本信息、访问方式、容器组、工作负载等信息。 应用总览 在左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。点击应用实例进入到应用详情界面。 基本信息 基本信息中展示了运行状态、资源池、环境、部署单元、微服务空间、K8s命名空间、集群名称、所属应用、规格等信息。部署单元可进行编辑，编辑后下次发布可选择已编辑的部署单元。规格信息可进行编辑，编辑后应用会立刻重启。 访问方式 访问方式展示了已邦定的负载均衡（公网）、负载均衡（私网）、服务（service）信息，可以通过+按钮进行新增，负载均衡需要先导入到环境才可进行绑定。 容器组 容器组列表展示了当前应用的pod信息，通过容器组列表可查看pod状态、ip、部署单元、节点等信息。通过操作栏可查看应用日志、pod事件、进入pod终端、删除pod等操作。 工作负载 容工作负载列表展示了当前应用的deployment信息，通过工作负载列表可查看负载名称、镜像、命名空间、创建时间等信息。通过操作栏可查看工作负载事件。

操作场景 本节操作以使用Mac OS系统自带的“终端（Terminal）”远程连接Linux操作系统云主机。 前提条件 云主机状态为“运行中”。 Linux 操作系统首次登录的用户名一般可以设置为 root 或 ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 弹性云主机已经绑定弹性IP。 所在安全组入方向已开放3389端口。 操作步骤 您可以通过Mac OS系统自带的终端（Terminal）登录Linux云主机： SSH密码方式 1. 打开系统自带的终端（Terminal），执行以下命令 ssh 用户名@弹性IP 说明 如果是公共镜像（包括CoreOS），用户名为“root”。 2. 输入登录密码并按下回车键，以完成登录。 SSH密钥方式 1. 打开系统自带的终端（Terminal）应用程序。 2. 在终端中执行以下命令，变更密钥文件的权限。下面的步骤以私钥文件"kp101.pem"为例进行介绍。 chmod 400 /path/kp101.pem 说明 上述命令中的"path"为密钥文件的存放路径。 3. 执行以下命令登录云主机。 ssh i /path/kp101.pem 用户名@弹性IP 说明 如果是“CoreOS”的公共镜像，用户名为“core”。 如果是“非CoreOS”的公共镜像，用户名为“root”。

获取设备基本信息，如下所示 个人信息类型 获取目的 处理方式 使用场景 收集频率 是否可选 设备系统类型 判断终端类型，用于确定AOne或认证的终端适配方案 SDK本地采集 开发者会定期分析上报的报错信息，制定解决方案，优化SDK功能体验 仅在关键功能报错时上报 必选 设备型号 判断终端类型，用于确定AOne或认证的终端适配方案 SDK本地采集 开发者会定期分析上报的报错信息，制定解决方案，优化SDK功能体验 仅在关键功能报错时上报 必选 系统版本信息 判断终端类型，用于确定AOne或认证的终端适配方案 SDK本地采集 开发者会定期分析上报的报错信息，制定解决方案，优化SDK功能体验 仅在关键功能报错时上报 必选 设备制造商 判断终端类型，用于确定AOne或认证的终端适配方案 SDK本地采集 开发者会定期分析上报的报错信息，制定解决方案，优化SDK功能体验 仅在关键功能报错时上报 必选 IP地址 关联VPN隧道相关信息 SDK本地采集 开发者会定期分析上报的报错信息，制定解决方案，优化SDK功能体验 仅在关键功能报错时上报 必选 注册用户登录账号 账号服务，用于登录时根据输入的注册登录账号进行校 验和识别匹配 加密传输处理 登录时使用注册用户登录账号 账密登录时采集 必选 注册用户登录密码 账号服务，用于登录时根据输入的注册登录账号进行校 验和识别匹配 加密传输处理 登录时使用注册用户登录密码 账密登录时采集 必选 手机号及短信验证码 使用手机号和手机验证码登录服务，在使用手机号以及 短信验证码直接登录的场景，根据输入的手机号和验证 码进行登录合法性校验 加密传输处理 开启短信验证码登录功能后使用短信验证码登录 使用手机号和手机验证码 登录服务时采集 可选 电子邮箱及邮箱验证码 使用邮箱和邮箱验证码登录服务，在使用邮箱以及邮箱 验证码直接登录的场景，根据输入的电子邮箱和邮箱验 证码进行登录合法性校验 加密传输处理 开启邮箱验证码登录功能后使用邮箱验证码登录 使用手机号和手机验证码 登录服务时采集 可选

本章节主要介绍集群使用类的问题。 如何查看集群配置信息？ 集群创建完成后在翼MR控制台单击集群名称进入基础信息页面，可以查看集群的基本配置信息，包括集群名称、创建时间、付费类型、集群版本、组件信息、VPC和安全组、节点的实例规格和存储等。其中，节点的实例规格和存储决定了该集群对数据的分析处理能力。节点实例规格越高，存储越大，集群运行速度越快，分析处理能力越强，相应的成本也越高。 点击前往翼MR Manager，跳转至“运维与配置”中的“配置管理”页面，通过选择不同的“所属集群服务”，可以查看对应集群服务完整的配置列表信息。 升级Master节点规格需要关机吗？ 翼MR服务集群的MASTER/CORE/TASK节点组在进行配置升级时，会自动触发关机操作，当升级完成后会自动触发开机操作，无需人工干预。但是需要注意的是，在配置升级之前需要先停止所有的集群服务，升级完成后再将所有集群服务手动开启。 翼MR集群中安装的组件能否删除？ 已经创建的集群中的组件不可以删除，如果不使用的话可以登录到Manager页面的集群服务页面找到对应的组件将其停止。 如何查看各组件配置文件路径？ 集群创建完成后在翼MR控制台单击集群名称进入详情后，点击“翼MR Manager”进入大数据运维管理平台。点击“运维与配置”，进入“配置管理”页面，点击页面右上角的“展开”按钮，即可以查看相应集群服务的配置文件路径。

本章节主要介绍如何查看集群基本信息。 集群创建完成后，可对集群进行监控和管理。选择“集群列表 > 现有集群”，选中一集群并单击集群名，进入集群详情页面，查看集群的基本配置信息、部署的节点信息。 说明 ECS集群和BMS集群在管理控制台操作基本一致，本文档主要以ECS集群描述为例，如有操作区别则分开描述。 在集群详情页面选择“概览”，参考下表查看集群详情概览信息参数说明。 集群基本信息 参数 参数说明 集群名称 集群的名称，创建集群时设置。单击可对集群名称进行修改。 当MRS集群为MRS 3.x之前版本时，修改集群名称后仅MRS管理控制台界面显示的集群名称修改，MRS Manager中集群名称不会同步修改。 集群状态 集群状态信息，请参见集群列表简介章节中的表：集群状态说明。 集群管理页面 Manager页面入口。 针对MRS 3.x及以后版本，具体请参见访问FusionInsight Manager（MRS 3.x及之后版本）。 针对MRS 3.x之前版本，需要根据提示绑定弹性公网IP及添加安全组规则后才能进入MRS Manager页面，具体请参见访问MRS Manager（MRS 2.x及之前版本）。 具体操作请参见访问FusionInsight Manager（MRS 3.x及之后版本）。 集群版本 MRS版本信息。 集群类型 支持以下集群类型： 分析集群：用来做离线数据分析，提供的是Hadoop体系的组件。 流式集群：用来做流处理任务，提供的是流式处理组件。 混合集群：既可以用来做离线数据分析，也可以用来做流处理任务，提供的是Hadoop体系的组件和流式处理组件。 自定义：全量自定义组件组合的MRS集群，MRS 3.x及之后版本支持此类型。 集群ID 集群的唯一标识，创建集群时系统自动赋值，不需要用户设置。 创建时间 显示集群创建的时间。 可用区 集群工作区域下的可用区，创建集群时设置。 默认生效子网 子网信息，创建集群时所选。 当子网IP不足时，单击“切换子网”切换到当前集群相同VPC下的其他子网，实现可用子网IP的扩充。切换子网不会影响当前已有节点的IP地址和子网。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 虚拟私有云 VPC信息，创建集群时所选。 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 弹性公网IP 通过将弹性公网IP与MRS集群绑定，实现使用弹性公网IP访问Manager的目的。 OBS权限控制 单击“单击管理”，修改MRS用户与OBS权限的映射关系，具体请参考配置MRS多用户访问OBS细粒度权限。 数据连接 单击“单击管理”，查看集群关联的数据连接类型，具体请参考配置数据连接。 委托 单击“管理委托”，为集群绑定或修改委托。 通过绑定委托，您可以将部分资源共享给ECS或BMS云服务来管理，例如通过配置ECS委托可自动获取AK/SK访问OBS，具体请参见配置存算分离集群（委托方式）。MRSECSDEFAULTAGENCY委托拥有对象存储服务的OBS OperateAccess权限和在集群所在区域拥有CES FullAccess（对开启细粒度策略的用户）、CES Administrator和KMS Administrator权限。 密钥对 密钥对名称，创建集群时设置。 如果创建集群时设置的登录方式为密码，则不显示。 Kerberos认证 登录Manager管理页面时是否启用Kerberos认证。 日志记录 用于收集集群创建失败及扩缩容失败的日志。 安全组 集群的安全组名称。 数据盘密钥名称 用于加密数据盘的密钥名称。如需对已使用的密钥进行管理，请登录密钥管理控制台进行操作。 数据盘密钥ID 用于加密数据盘的密钥ID。 IAM用户同步 可以将IAM侧用户信息同步至MRS集群，用于集群管理。具体请参见统一身份认证用户指南中有关同步MRS说明的章节。 说明 集群详情页的“组件管理”、“租户管理”和“备份恢复”页签需要同步用户后方可使用。MRS 3.x版本集群同步后可使用“组件管理”。 通讯安全授权 展示安全授权状态，通过可关闭和开启安全授权。关闭安全授权属于高危操作，请谨慎处理。详细信息请参考授权安全通信。 组件版本 参数 参数说明 Hadoop版本 显示Hadoop组件的版本信息。 Spark版本 显示Spark组件的版本信息，MRS 3.x之前版本集群支持。 HBase版本 显示HBase组件的版本信息。 Hive版本 显示Hive组件的版本信息。 Hue版本 显示Hue组件的版本信息。 Loader版本 显示Loader组件的版本信息。 Kafka版本 显示Kafka组件的版本信息。 Storm版本 显示Storm组件的版本信息。 Flume版本 显示Flume组件的版本信息。 Tez版本 显示Tez组件的版本信息。 Presto版本 显示Presto组件的版本信息。 KafkaManager版本 显示KafkaManager组件的版本信息。 Flink版本 显示Flink组件的版本信息。 Ranger版本 显示Ranger组件的版本信息。 Spark2x版本 显示Spark2x组件的版本信息。仅MRS 3.x及之后版本集群支持。 Oozie版本 显示Oozie组件的版本信息。仅MRS 3.x及之后版本集群支持。 ClickHouse版本 显示ClickHouse组件的版本信息。仅MRS 3.x及之后版本集群支持。 在集群详情页面选择“节点管理”，参考下表查看集群节点信息参数说明。 节点信息 参数 参数说明 配置Task节点 用于增加Task节点，请参见添加Task节点的相关任务。 对于3.x及之后版本，该操作仅适用于分析集群、流试集群和混合集群。 新增节点组 仅适用于3.x及之后版本，用于增加节点组，请参见添加节点组，仅适用自定义集群。 节点组名称 集群节点组名称。 节点类型 节点类型： Master：集群主节点，负责管理集群，协调将MapReduce可执行文件分配到核心节点。此外，还会跟踪每个作业的执行状态，监控DataNode的运行状况。 Task类型节点组是指仅部署了不存储数据的数据角色的节点组，主要包含：NodeManager、ThriftServer、Thrift1Server、RESTServer、Supervisor、Logviewer、HBaseIndexer、TagSync。 如果节点组内除以上角色外还部署了其他角色，则该节点组为Core类型节点组。 单击节点组名称前方的，显示该节点组包含的节点，单击节点名称，使用创建集群时配置的密码或者密钥对远程登录弹性云主机。节点参数说明请参见管理组件和主机监控。 节点数 对应节点组中包含的节点数量。 操作 扩容：请参见扩容集群。 缩容：请参见缩容集群。 弹性伸缩：请参见配置弹性伸缩规则。 查看角色信息：可查看所在节点组部署的角色信息。仅适用于3.x及之后版本的自定义集群。

海量文件服务OceanFS权限表 如下是本服务相关操作的权限定义，供您查看以及创建自定义策略参考。 注意 子用户使用本服务的OpenAPI也需要赋予相关操作的权限，见下方对应的OpenAPI URL或查看具体的接口文档中的接口约束说明。 如您的子账户需要进行性订单相关操作（创建/扩容/续订/退订），则需要再授权“订单与云网账号”相关权限，如bss admin策略”详细可参考子用户如何创建和下单一类节点资源。 控制台操作 OpenAPI 权限 系统策略 一级功能 二级功能 OpenAPI 权限 admin viewer 基础管理 创建文件系统 /v4/oceanfs/newsfs oceanfs:shares:create 注意 若要使用自定义策略，完整的创建功能还需要为子账号添加vpc::list 、vpce:endpoint:权限。 ✓ 基础管理 文件系统重命名 /v4/oceanfs/renamesfs oceanfs:shares:rename ✓ 基础管理 删除/退订文件系统 /v4/oceanfs/refundsfs oceanfs:shares:delete ✓ 基础管理 扩容文件系统 /v4/oceanfs/resizesfs oceanfs:shares:resize ✓ 基础管理 续订文件系统 /v4/oceanfs/renewsfs oceanfs:shares:renew ✓ 基础管理 查看文件系统列表及列表导出 /v4/oceanfs/listsfs oceanfs:shares:list ✓ ✓ 基础管理 查看文件系统详情 /v4/oceanfs/infobynamesfs oceanfs:shares:get ✓ ✓ VPC管理 添加VPC /v4/oceanfs/vpcbindpermission oceanfs:vpcs:bind ✓ VPC管理 解绑VPC /v4/oceanfs/vpcunbindpermission oceanfs:vpcs:detach 注意 若要使用自定义策略，完整解绑功能还需要为子账号添加vpc::list、vpce:endpoint:权限。 ✓ VPC管理 更换权限组 /v4/oceanfs/vpcchangepermission oceanfs:permission:change 注意 若要使用自定义策略，完整更换权限组功能还需要为子账号添加vpc::list、sfs:permission:list权限。 ✓ 跨域复制 创建复制 /v4/oceanfs/createduplicate oceanfs:duplicate:create ✓ 跨域复制 删除复制 /v4/oceanfs/deleteduplicate oceanfs:duplicate:delete ✓ 跨域复制 设置复制覆盖保护 /v4/oceanfs/setprotectswitch oceanfs:protect:set ✓ 跨域复制 查看复制详情 /v4/oceanfs/listduplicate oceanfs:duplicate:get ✓ ✓ 快照 创建快照 /v4/oceanfs/snapshot/newsnapshot oceanfs:snapshot:create ✓ 快照 删除快照 /v4/oceanfs/snapshot/deletesnapshot oceanfs:snapshot:delete ✓ 快照 查看快照列表及详情 /v4/oceanfs/snapshot/listsnapshot oceanfs:snapshot:get ✓ ✓ AD域 开启AD域 /v4/oceanfs/joinad oceanfs:ad:join ✓ AD域 修改AD域配置 /v4/oceanfs/modifyad oceanfs:ad:update ✓ AD域 关闭AD域 /v4/oceanfs/deletead oceanfs:ad:quit ✓ AD域 查看AD域 /v4/oceanfs/listad oceanfs:ad:get ✓ ✓ 说明 海量文件服务、弹性文件服务的权限组功能是共用的功能，权限组是一项更早的功能，受弹性文件服务相关的三元组控制，因此使用海量文件服务的用户在使用IAM功能的自定义策略功能时，需要为子账号赋予弹性文件服务的权限组相关的权限，具体参考下表。 一级功能 二级功能 OpenAPI 三元组 系统策略 一级功能 二级功能 OpenAPI 三元组 admin viewer 权限组 创建 /v4/oceanfs/permissiongroup/newpermissiongroup sfs:permission:create √ 权限组 修改 /v4/oceanfs/permissiongroup/modifypermissiongroup sfs:permission:update √ 权限组 删除 /v4/oceanfs/permissiongroup/deletepermissiongroup sfs:permission:delete √ 权限组 列出 /v4/oceanfs/permissiongroup/listpermissiongroup sfs:permission:list √ √ 权限组规则 创建规则 /v4/oceanfs/permissionrule/newpermissionrule sfs:rule:create √ 权限组规则 修改规则 /v4/oceanfs/permissionrule/modifypermissionrule sfs:rule:update √ 权限组规则 删除规则 /v4/oceanfs/permissionrule/deletepermissionrule sfs:rule:delete √ 权限组规则 列出规则 /v4/oceanfs/permissionrule/listpermissionrule sfs:rule:list √ √

本节介绍天翼云电脑（公众版）的产品定义，以便您了解云电脑。 天翼云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的CLINK数据安全传输协议，具备多重数据安全防护机制，实现安全高效的云电脑使用体验。即开即用，便捷访问，适配多种终端类型。 天翼AI云电脑亦称天翼量子AI云电脑，天翼云电脑。 天翼云电脑（公众版） 为个人/家庭用户提供安全、快速的云电脑使用服务，满足日常办公、娱乐、在线学习需要，多终端支持，随时随地使用智能终端一键接入云电脑。 产品架构图 说明 关于天翼云电脑（公众版）的产品规格说明，请参考 关于天翼云电脑（公众版）的产品功能说明，请参考 关于天翼云电脑（公众版）的客户端下载，请前往

代码编写及调试 可在Untitled.ipynb进行python代码调试。 资源监控 调试代码过程中，可查看资源的使用情况。 终端控制 “Console“的”python3“提供python终端可进行命令控制。 其他 “Other“一栏提供系统终端服务，普通文本文本，Markdown文本，python文本编辑。 安装外部依赖包 可在Untitled.ipynb文件内用在pip安装命令前增加“！“符号： 或者可以开启系统终端，在命令行中输入pip安装命令：

策略名称 策略描述 授权范围 配置说明 CtyunBssAdmin 控制天翼云订单、合同、标签、客户信息管理全量操作权限（包含一类、二类资源池节点）。 全局级 若子账号涉及开单、支付、订单管理等操作，需配置该策略。 ecs admin 控制天翼云云主机服务开通、管理权限。 资源池 若子账号涉及开通、管理云主机（云等保专区下单涉及开通主机），需要配置该策略。 vpc admin 控制天翼云弹性IP开通、新建、配置等管理权限。 资源池 若子账号涉及配置、新建、管理弹性网络（子网、EIP、安全组、弹性网卡、VIP、子网路由等），需要配置该策略。

策略名称 策略描述 授权范围 配置说明 CtyunBssAdmin 控制天翼云订单、合同、标签、客户信息管理全量操作权限（包含一类、二类资源池节点）。 全局级 若子账号涉及开单、支付、订单管理等操作，需配置该策略。 ecs admin 控制天翼云云主机服务开通、管理权限。 资源池 若子账号涉及开通、管理云主机（云等保专区下单涉及开通主机），需要配置该策略。 vpc admin 控制天翼云弹性IP开通、新建、配置等管理权限。 资源池 若子账号涉及配置、新建、管理弹性网络（子网、EIP、安全组、弹性网卡、VIP、子网路由等），需要配置该策略。

Web应用防御 包括防跨站、防SQL注入、防篡改、防木马、防黑客攻击等。 网页防篡改 集成网页防篡改功能，Web服务器安装防篡改客户端后由防火墙进行管理。 威胁情报 能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则。 恶意代码检测 支持远程控制木马或者病毒等恶意软件检测，能对检测到的恶意软件行为进行深入的分析，展示外部命令控制服务的交互行为和其他可疑行为。 云日志审计 云日志审计通过对用户的网络、安全、应用等系统日志进行全面的标准化处理，帮助用户及时发现各种安全威胁、异常行为事件，满足网络安全法对日志数据留存6个月以上的要求。 对安全事件重新定级。能根据统一的安全策略，按照安全设备识别名、事件类别、事件级别等所有可能的条件及各种条件的组合对事件严重级别进行重定义。 终端安全EDR 终端安全管理EDR系统，提供集中管理手段对各客户端系统进行安全事件分析、杀毒、基线核查等功能。 入侵检测 包含智防、智控、智响应模块以及服务端防护模块，Webshell检测、暴力破解检测。 基线检查 支持对指定终端/终端组进行合规性检查，对不合规的检查项提供设置建议。一键式操作，可视化展示终端的基线合规检查结果。

资源管理是用户定义SSL VPN内网的可用网络资源。本小节介绍SSL VPN的资源管理。 VPN设备提供四种类型资源，资源类型说明如下： WEB应用：支持无任何插件的Web资源，建议仅对移动终端开放。 TCP应用：支持TCP协议的业务，如果没有移动终端接入需求，大部分TCP协议的应用建议使用该类型的资源，如HTTP、FTP等。 L3VPN：使用隧道支持全IP协议，支持TCP、UDP、ICMP等应用，支持Android4.0，iOS9.0以上版本的移动终端的VPN接入，如需考虑移动终端接入，建议使用该类型资源。 远程应用：需借助Windows server搭建终端服务器，可发布服务器上的应用程序访问内网系统。 注意事项 非必要场景（无插件），不建议使用Web应用添加资源。 HTTP类型的系统，如果访问地址有带文件路径，在创建资源时，地址列表应该填写带HTTP前缀的完整路径，如下图： 创建资源 1. 在“资源管理”页面，点击“新建”按钮，VPN设备提供四种类型资源可选，为支持移动终端VPN直连业务系统，本次资源全部选择L3VPN类型。 2. 选择一种应用类型，如“L3VPN”，弹出“编辑L3VPN资源”对话框。 3. 设置资源名称，设备预定义了一些资源类型，如果没有可选择Other即可，选择协议类型以及地址，保存立即生效即可。

本节介绍策略管理功能的使用约束与限制。 态势感知（专业版）的策略管理功能可以简化您在多个账户和资源上的管理和维护任务，支持统一展示所有策略信息、查看人工/自动化拦截记录等操作。 新增策略：策略作为告警一键阻断的止血手段，可根据告警来源选择相应的类型对攻击者进行阻断。 管理策略：介绍如何查看策略、编辑策略、删除策略。 约束与限制 策略目前仅支持CFW/WAF/VPC安全组的黑名单策略。 单用户单工作空间内容最多新增300条支持阻断老化的，全量最多新增2500条。同时，单次下发策略阻断对象数量限制如下： 当需要下发策略至CFW时，单用户单次最多可新增500个IP或域名作为阻断对象。 当需要下发策略至WAF时，单用户单次最多可新增500个IP作为阻断对象。 当需要下发策略至VPC时，单用户单次1分钟内最多可新增500个IP作为阻断对象。 将IP或IP地址段配置为黑名单后，来自该IP或IP地址段的访问，CFW/WAF/VPC将不会做任何检测，直接拦截。 为确保系统稳定性，同时执行的任务数量必须小于等于5个，若检测到已有5个任务正在执行，系统将禁止继续新增、重试或编辑操作。 基本概念 操作连接：应急策略的流程所绑定的资产连接，资产连接是流程中插件节点使用到的连接域名和鉴权参数，通过域名调用的方式可以访问其他云服务或者三方服务。

介绍云电竞服务的主要应用场景。 为电竞酒店、网吧、网咖或电竞赛事提供专业的电竞游戏服务 以边缘云为基础，将游戏运行服务迁移上云端，匹配高配置的算力环境，终端客户无需再购买高配主机，仅需一台具备基础解码能力的终端即可发起串流，畅玩游戏。 大幅降低硬件投建成本，较之原方案初期投建成本降低 70%，缩短网吧投建部署周期，终端登录即用，无需部署相应环境。

本节介绍天翼云电脑电教室的功能简介。 功能概述 电教室是教育行业最典型的场景，天翼云电脑可统一控制、集中运维等优势非常适用于电教室场景。极域课堂管理系统能够协助教师进行课堂互动教学，提供多样化的课堂管理功能，从传统PC时代开始积累了大量的教育客户，是最广泛使用的课堂管理软件之一。结合电教室的使用场景，天翼云电脑推出了极域电教室方案，通过与极域联合研发，支持在云电脑中进行局域网广播、一键式批量控制终端、切换课程镜像。 功能特点 局域网广播：将教师云电脑画面通过局域网广播给学生，屏幕广播效果更加清晰、流畅。 一键式终端控制：在极域教师端一键式批量启动/关闭学生终端，终端控制更加便捷。 课程切换：在极域教师端批量切换学生课程镜像，课程切换更加简便、快捷。 使用场景 教育客户建设电教室，使用该方案进行日常教学。

参数名称 说明 取值样例 状态 是否开启通知。 通知主题 单击下拉列表选择已创建消息通知主题或者单击“查看通知主题”创建新的主题，用于配置接收告警通知的终端。 单击“查看通知主题”创建新主题的操作步骤如下： 1. 参见创建主题创建一个主题。 2. 配置接收告警通知的手机号码、邮件地址、函数、平台应用的终端、DMS或HTTP(S)终端，即为创建的主题添加一个或多个订阅，具体操作请参见添加订阅。 3. 确认订阅。添加订阅后，完成订阅确认。

本文介绍视频直播支持的功能。 模块 特性名称 详细说明 直播推流 场景 支持主播/客户采用推流工具将直播流推至视频直播边缘节点。 直播推流 协议 支持RTMP和RTMPS。 直播拉流 场景 支持用户通过播放器从视频直播边缘节点进行拉流播放直播流。 直播拉流 协议 支持RTMP、FLV和HLS。 协议转换 场景 支持将推流或回源协议通过视频直播产品转换成多种直播协议。 协议转换 协议 支持将RTMP、RTMPS、FLV协议转换成FLV、RTMP和HLS协议。 访问控制 Referer防盗链 基于HTTP请求头中Referer字段来设置访问控制规则，实现对访客的身份识别和过滤，防止资源被非法盗用。 访问控制 IP黑/白名单 通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 访问控制 UA防盗链 通过识别HTTP请求头中的UA字段，可以识别特定终端，从而限制用户行为，拦截或允许某一类用户的访问，实现防盗链、防盗刷、防攻击的目的。 访问控制 URL鉴权 通过对访问URL中的加密串及时间戳进行校验，从而有效地保护用户站点资源。 访问控制 远程鉴权 将请求转发回提前设定的鉴权源站，视频直播节点依据源站返回的鉴权结果应答用户请求，从而实现用户鉴权规则由源站全权定义。 访问控制 HTTPS HTTPS是HTTP的安全版，通过开启HTTPS协议，将实现客户端和天翼云直播加速节点之间请求的HTTPS加密。 访问控制 批量域名IP封禁 支持一次对多个域名批量进行IP黑名单配置。 媒体处理 直播转码 为适配不同用户终端或者不同网络环境，视频直播支持输出不同码率、帧率、分辨率等直播流，同时支持对原始流增加水印。 媒体处理 直播录制 支持将直播流录制为点播文件并存储在媒体存储中，实现直播转点播文件，便于客户进行二次传播。 媒体处理 直播时移 支持体育赛事/游戏赛事等直播场景下，通过时移回看精彩瞬间。 媒体处理 直播截图 支持对直播流进行截图，并将图片保存在媒体存储中。 流管理 禁推 当客户监控发现某主播推送非法内容，可通过禁推功能实时中止并封禁该直播，封禁时长支持自定义。 流管理 解禁 支持对封禁中的流进行解禁。 流管理 断流 支持通过自助操作断开正在推的直播流，但主播如果用相同流名再次推流时可以推流成功。 直播控制台 概览 展示今日或本月的流量/带宽、近七天流量/带宽趋势、证书统计、域名统计、信息中心。 直播控制台 域名管理 支持添加域名，并对域名进行编辑、停用、启用或删除等操作。 如果有开通全球（不含中国内地），支持变更加速区域。 支持HTTPS相关功能配置。 支持IP黑白名单、Referer防盗链和URL鉴权功能自助配置。 支持HLS切片配置。 直播控制台 证书管理 支持新增证书、查看证书、删除证书和替换过期证书等操作。 直播控制台 功能配置 支持自助创建转码、录制、截图和回调模板，并支持将模板绑定到域名上。 直播控制台 流管理 支持查询在线推流和历史推流。 支持禁推、解禁和断流自助操作。 直播控制台 统计分析 支持客户对日常关注的带宽流量、回源、请求数、状态码、地区运营商、在线人数等维度进行自定义查询，实时感知业务运营状态。 支持查看热门URL、域名排行、热门Referer、TOP客户端IP。 支持对转码、录制和截图使用量进行查询。 支持查看流粒度带宽、以及推流域名的平均码率和帧率。 直播控制台 日志下载 支持下载直播加速域名的访问日志。 直播控制台 计费详情 支持自助更新计费方式、查询资源包使用详情、查看历史记录和账单等相关信息。 直播控制台 地址生成器 支持自定义流名和发布点并生成URL示例；如果有配置URL鉴权，还可以生成鉴权URL示例。

本章节主要介绍使用前准备 资源准备 为了方便后续的操作，需要您提前准备好如下资源: 1. 注册天翼云帐号，并登录成功。 2. 已获取AK/SK，请参考AK/SK获取方法。 3. 创建一个虚拟私有云，请参考创建虚拟私有云和子网。 4. 创建一个CCE集群(如果只是试用场景，“集群管理规模”选择“50节点”， “控制节点数”选择“1”即可)。 集群中至少包含1个规格为8vCPUs、16GB内存或者2个规格为4vCPUs、8GB内存 的云主机节点，并通过绑定弹性公网IP或配置SNAT确保这些节点可访问公网。 创建环境 1、登录ServiceStage控制台，选择“环境管理”，单击“创建环境”。 2、设置环境信息。 1. “环境名称”：输入环境名称，例如：testenv。 2. “虚拟私有云(VPC)”：选择资源准备时创建的虚拟私有云。 3. “基础资源”：选择资源准备时创建的虚拟私有云下的CCE集群。 4. “可选资源”：选择资源准备时创建的虚拟私有云下的可用的微服务引擎。 说明 选定虚拟私有云后，会加载该虚拟私有云下的基础资源和可选资源供选择，不在该虚拟私有云下的资源无法选择。 3、单击“立即创建”，完成环境创建。 环境创建成功后，可以在“环境管理”页的资源卡片查看环境信息。 创建应用 1、登录ServiceStage控制台，选择“应用管理”> “应用列表”。 2、单击“创建应用”，设置应用基本信息。 1. “应用名称”：填写weathermap。 2. “企业项目”：使用默认default(开通企业项目后才显示该参数)。 3. “描述”(可选)：输入应用描述。 3、单击“确定”，完成应用创建。

添加DNAT规则 公网NAT网关创建后，通过添加DNAT规则，则可以通过映射方式将您VPC内的云主机对互联网提供服务。 注意 云主机/物理机使用公网NAT网关配置DNAT规则时，不建议云主机/物理机同时绑定公网IP，以免造成流量出入方向走到不同的路径。 一个云主机的一个端口对应一条DNAT规则，一个端口只能映射到一个EIP。如果您有多个云主机或一个主机的多个端口需要为互联网提供服务，则需要创建多条DNAT规则。 1. 登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>公网NAT网关”，进入公网NAT网关页面。 2. 点击需要添加规则的公网NAT网关名称，进入公网NAT网关详情页，点击DNAT标签页，在标签页中点击添加DNAT规则。 3. 根据弹出界面提示，配置DNAT规则的基本信息，配置参数如表所示： 参数 参数说明 弹性IP 用于外部公网用户进行服务访问的目的IP。 类型 选择VPC内主机或网卡：选择现有子网内云主机，选择云主机的网卡，使外部用户能够通过DNAT方式访问云主机中的应用。手动输入自定义地址：填写某个主机地址（部分资源池支持）。 云主机（仅在选择VPC内主机或网卡时） 选择DNAT规则对应的内部云主机。 网卡（仅在选择VPC内主机或网卡时） 选择DNAT规则对应的内网IP。 内网地址（仅在选择手动输入自定义地址时） 自定义主机地址（部分资源池支持）。 端口设置 具体端口：支持设置单个端口和端口段，设置端口段时公网端口段和内网端口段的数量必须一致；任意端口：任意端口属于IP映射，任何访问该弹性公网IP的请求都将转发到目标主机实例上，目标主机实例也可以使用该弹性公网IP主动访问公网。 公网端口 外部公网用户访问服务的端口，端口范围1~65535。部分资源池端口范围在1到1024之间，具体以控制台为准。 内网端口 应用在内部提供服务使用的端口，端口范围1~65535。 支持协议 TCP、UDP协议。 描述 DNAT规则信息描述。 4. 设置好对应参数后，点击“确定”，等待DNAT规则变为运行中，即完成DNAT规则的创建。

参数 说明 备注 区域 必选参数。租户所在的区域，当前区域请在界面右上方选择。 建议选择和云主机同一个区域。 可用区 必选参数。同一区域内，电力和网络互相独立的地理区域。 建议选择和云主机同一个可用区。 存储类型 必选参数。包含标准型、标准型增强版、性能型和性能型增强版。 默认为标准型。说明创建成功后不支持更换存储类型， 如需更换只能新创建另一存储类型的文件系统，请根据业务情况事先规划存储类型。 容量（GB） 单个文件系统的最大容量，当文件系统的实际使用容量达到该值时， 您将无法对文件系统执行写入操作，需要进行扩容。 暂无法直接对SFS Turbo文件系统进行缩容操作，请根据实际需要设置文件系统的容量。 支持范围： 标准型：500GB～32TB 性能型：500GB～32TB 标准型增强版和性能型增强版：10TB～320TB 协议类型 必选参数。SFS Turbo文件系统支持的共享访问协议为NFS。 默认为NFS。 选择网络 必选参数。 选择VPC及其子网。 VPC：云主机无法访问不在同一VPC下的文件系统，请选择与云主机相同的VPC。 子网：子网是VPC内的IP地址块，同一个VPC下，子网网段不会重复。通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 开启IPv6：勾选此参数表示开启IPv6，不勾选表示不开启IPv6，使用IPv4。 如果您想开启IPv6，开启IPv6前，请确保SFS Turbo文件系统所在的VPC和子网已开启IPv6配置。 开启IPv6后，SFS Turbo文件系统可在IPv6下运行，此时SFS Turbo文件系统通过IPv6进行通信。 说明 每个文件系统在创建时只可以添加一个VPC。可通过虚拟私有的VPC对等连接方式将两个或多个VPC互连，实现多VPC、跨VPC下的文件共享。 SFS Turbo文件系统支持创建文件系统的时候开启IPv6，创建完成的SFS Turbo文件系统不支持修改IPv6是否开启的策略。 首次创建IPv6文件系统，请确定“授权权限提醒”弹窗，确定授权后，SFS Turbo将在IAM下创建名称为“ServiceAgencyForSFSTurboIPv6”的委托并授权给账户opsvcefs。未授权将导致无法创建IPv6文件系统。委托创建完成后，请不要删除该委托，否则可能导致文件系统无法读写。 开启IPv6的文件系统需要使用域名挂载，不支持使用IP挂载。 安全组 必选参数。安全组起着虚拟防火墙的作用，为文件系统提供安全的网络访问控制策略。 用户可以在安全组中定义各种访问规则，当弹性文件服务加入该安全组后，即受到这些访问规则的保护。 创建SFS Turbo时，仅支持选择一个安全组。推荐SFS Turbo实例使用单独的安全组，与业务节点隔离。 安全组规则的配置会影响SFS Turbo的正常访问与使用，配置方法请参见《虚拟私有云用户指南》的“添加安全组规则”章节。 为了确保SFS Turbo能够被您的弹性云服务器访问，在成功创建SFS Turbo后，系统将自动放通SFS Turbo中NFS协议需要的安全组端口，以免文件系统挂载失败。 NFS协议所需要入方向的端口号为111、2049、2051、2052、20048。如您需要修改开放的端口，可以前往“网络控制台 > 访问控制 > 安全组”找到目标安全组进行修改即可。 名称 必选参数。用户自定义文件系统的名称。 只能由英文字母、数字和中划线“”组成， 创建的文件系统名称输入长度需大于4个字符并小于等于64个字符。

前提条件 1. 云容器引擎安装云原生工具箱插件成功 2. 云原生工具箱已经安装并绑定了公网elb 应用实例容器内的终端窗口打开，并支持容器内的文件预览和下载 1. 在云原生工具箱操作界面，点击“打开终端“，弹出一个终端窗口，输入和执行命令 2. 然后点击文件预览窗口中的文件夹，进入文件夹 3. 点击文件预览窗口中的文本文件，预览文件 4. 选择文件预览窗口中的文件或者文件夹，然后点击“下载“，下载文件

本小节介绍终端安全EDR客户端安装方法。 1.通过远程登录进入业务云主机，使用终端安全EDR内网地址，该界面登录如下图，点击客户端下载安装。 2.根据安装提示，完成客户端安装。

配置Service负载均衡的注意事项 多个Service使用同个负载均衡的同个监听端口 CCM版本v1.0.7之前，若不同Service监听同个负载均衡的同个监听端口，会导致监听配置相互覆盖的问题。CCMv1.0.7及之后版本，后创建的Service默认会配置失败，可通过设置Service注解“service.beta.kubernetes.io/ctyunloadbalanceroverridelisteners”为“true”指定强制覆盖已有监听。 存量集群请检查好CCM版本（通过查看kubesystem命名空间下的工作负载ccsecloudcontrollermanager使用的镜像版本可知），将CCM版本升级到v1.0.7或以上。 LoadBlance类型Service流量走向 访问LoadBlance类型Service，流量走向主要和外部流量策略及网络插件类型有关。如下所示： 外部流量策略为cluster 当外部流量策略为cluster时，业务LoadBlance类型Service会把集群所有工作节点添加到LoadBlance实例后端。此时访问LoadBlance的流量，将均衡到各个工作节点的NodePort，随后二次转发到对应的Pod后端，如下图所示： 外部流量策略为local，网络插件为calico 当外部流量策略为local，网络插件为calico时，只有Pod所在节点才会加入LoadBlance实例后端，访问LoadBlance的流量将均衡到Pod所在节点，不做SNAT处理直接二次转发到节点上的Pod后端，如下图所示： 外部流量策略为local，网络插件为cubecni cubecni网络插件为Pod分配VPC地址时，Pod直接加入LoadBlance实例后端组，访问LoadBlance的流量将直接发送到Pod，不经过Service二次转发，性能较优，如下图所示：

内网DNS可实现后端服务器故障，其他服务器接管此服务，本节帮助您了解后端服务器故障，其他服务器接管此服务的解决方案。 操作场景 当该网站在运行过程中，因ECS1故障，需要将业务切换到备份的云主机ECS2时，若云主机没有配置内网域名，则需要通过修改主业务节点ECS的代码来重新设置云主机的内网IP地址。该操作需要中断业务并重新发布网站，耗时耗力。 解决方案 为ECS1提供的服务创建一个内网域名，这样当ECS1故障时，通过修改内网DNS的域名解析记录即可切换为ECS2. 无需中断业务，也不需要重新发布网站。 表1内网域名配置详情： 设备 内网域名 关联VPC 内网IP 记录集类型 说明 ECS1 main.finance.test vpcfinance 10.0.0.4 A 公共接口ECS ECS2 vpcfinance 10.0.0.5 A 备份公共接口ECS RDS1 main.db.test vpcfinance 10.0.1.1 A 数据库，用于存储业务数据 RDS2 vpcfinance 10.0.1.2 A 备份数据库 操作步骤 1. 登录到内网DNS控制中心页面。 2. 单击控制中心顶部的，选择“地域”，此处我们选择华东1。 3. 单击“创建内网域名”。 4. 在“创建内网域名”弹窗，参考“表1内网域名配置详情”创建内网域名finance.test 和db.test。 5. 在创建好的内网域名，单击“管理记录集>添加记录集”创建A记录。 6. 参考“表1 内网域名配置详情”，完成内网域名及记录集创建配置。 7. 设置云主机的DNS服务地址为内网DNS地址。具体步骤可参见更改主机DNS使内网DNS配置生效。 8. 当ECS1故障时，在内网域名的记录集下修改记录集的IP地址为ECS2的地址。这样用户的程序和接口均不需要变化既可以替换到备用云主机继续提供服务。

本节介绍了云容器引擎的使用限制，便于用户使用前注意事项。 使用前限制 使用容器实例之前需要注意以下一些限制： 购买实例之前需要实名认证。 实例创建之后，暂不支持以下项：变更集群VPC；变更集群网络插件。 配额限制 集群类型 租户限制集群数量 单集群管理节点数量 单节点最大Pod数 例外申请方式 专有版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 智算版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版单实例集群 2 10 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版高可用集群 2 几个档次可选：50/200/1000/2000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 注意 智算版集群只加载智算资源池，如有需求，请联系客户经理或者通过工单咨询。 网络插件支持多子网 cubecni 1.0.7版本支持配置多个子网，若需升级到该版本，请提工单申请。

本节介绍了云容器引擎订购类常见问题。 支持Docker容器运行时吗? 目前只有Kubernetes 1.23版本支持Docker容器运行时，其他高版本只支持Containerd。如需订购集群选择Docker运行时请提工单申请。 集群订购会配置特殊安全组规则吗？ 因为集群订购涉及开通云主机等iaaS资源，系统默认为您的集群内置一条优先级为99的不可见安全组，以确保节点之间能正常通信。您可等集群开通成功后，为安全组设置更高级别的安全组规则，突破此互通安全组的限制。 VPC所在子网与Pod子网有什么区别? Cubecni网络插件件使用VPC资源构建underlay容器网络，为Pod创建一个单独的子网，一般建议选择网段掩码不大于19的子网。详细可查看：Cubecni网络插件介绍 集群订购是否必须配置Snat，由容器购买Nat网关？ 非必须，用户如有集群访问公网诉求，可后续直接订购Nat网关，详细可查看：Pod联网案例 集群订购是否必须购买eip，用于通过公网访问apiserver? 非必须，用户如有公网访问apiserver诉求，可后续直接订购eip。如果由容器代客户购买，默认下单5m带宽的弹性ip，由弹性ip产品按量收费。

终端安全EDR 终端检测和响应是一种主动式终端安全解决方案，通过记录终端与网络事件（例如用户，文件，进程，注册表，内存和网络事件），并将这些信息本地存储在终端或集中数据库，结合已知的攻击指示器（Indicators of Compromise，IOCs）、行为分析的数据库来连续搜索数据监测任何可能的安全威胁，并对这些安全威胁做出快速响应，还有助于快速调查攻击范围，并提供响应能力。对应等级保护安全计算环境技术要求。 云数据库审计 云数据库审计（简称DBAudit）能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警。它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高资产安全。对应等级保护集中审计技术要求。 云日志审计 云日志审计全面收集安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志（包括运行、告警、操作、消息、状态等）并进行存储、监控、审计、分析、报警和报告的系统。对应等级保护集中审计技术要求。 云堡垒机 云堡垒机为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为以便集中报警、及时处理及审计定责。对应等级保护集中审计技术要求。