参数 说明 区域集群 集群所在的区域。 硬件配置 集群所有节点MASTER、CORE、TASK（如有）的硬件信息。 企业项目 集群所属的企业项目。 虚拟私有云（VPC） 集群所使用的虚拟私有云（VPC），单击 复制VPC ID，单击内容可以跳转并查看该VPC详细信息。 安全组 集群所使用的安全组，单击 复制安全组ID，单击内容可以跳转并查看安全组详细信息。支持安全组切换能力。 子网 集群所使用的子网，单击 复制子网ID，单击内容可以跳转并查看子网详细信息。 操作系统 集群所用的操作系统。 主机类型 集群所用主机的类型。 CPU类型 集群所用主机的CPU类型。 IPv6访问 V2.15版本起，支持展示集群是否开启IPv6访问能力。

连接类型 网络实例 虚拟私有云（VPC） 虚拟私有云VPC。 云防火墙（CFW） 云防火墙。 全域接入网关（DGW） 云专线DC的全域接入网关。

什么是终端节点？ VPC终端节点（VPC Endpoint）是一种能够将VPC私密地连接到终端节点服务（如云日志服务）的解决方案。通过使用云日志服务终端节点，VPC中的云资源无需使用弹性IP就可以直接访问云日志服务，从而提高了访问效率。 您必须要在目标VPC中创建云日志服务终端节点，创建后，该VPC下的云主机、云容器引擎才可正常上报日志数据。 更多关于终端节点产品介绍，请参考VPC终端节点产品文档。 如何创建云日志服务VPC终端节点？ 1. 登录VPC终端节点控制台。 2. 点击右上角“创建终端节点” 3. 在“选择服务”中，选择“cn.ctyun.cnhuadong1.lts”。 4. 选择目标的虚拟私有云VPC。 5. 在高级配置中，打开私网域名开关。 6. 点击下一步，提交订单即可。 说明 云日志服务终端节点不收取任何费用，请放心使用。 7. 创建完成后，即可在VPC终端节点列表中看到该终端节点信息。 注意 云日志服务终端节点创建成功后，请勿修改其配置或删除节点，否则可能导致日志数据无法上报。

操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 4. 设置安全组规则。 在“基本信息 > 网络信息”处，单击“内网安全组”后面的安全组名称，进入安全组页面。 图1 内网安全组 5. 添加入方向规则。 在安全组详情页面，选择“入方向规则”页签。 图2 入方向规则 单击“添加规则”，弹出添加入方向规则窗口。 图3 添加规则 根据界面提示配置安全组规则。 表2 入方向安全组规则参数说明 参数 说明 取值示例 协议端口 网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。 端口：允许远端地址访问弹性云主机指定端口，取值范围为：1～65535。 TCP 类型 IP地址类型。开通IPv6功能后可见。 IPv4 IPv6 IPv4 源地址 源地址：可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。 例如： xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） sgabc（安全组） 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“ ”。 6. 单击“确定”。

本文帮助您了解对象存储接入管理( VPC)功能的操作步骤。 操作场景 通过在接入管理（VPC）功能中添加子网，您可以实现同一资源池中的云主机通过内网访问ZOS。 约束与限制 需进行接入管理的资源池 ：上海7、南京3、南京5、杭州2、合肥2、九江、广州6、武汉4、福州25、厦门3、郴州2、海口2、北京5、雄安2、石家庄20、内蒙6、晋中、辽阳1、西安5、乌鲁木齐4、乌鲁木齐27、中卫5、兰州2、西宁2、拉萨3、昆明2、重庆2、成都4、贵州3、上海33、宁波边缘云。以上资源池内网默认不互通，故需要通过接入管理配置与对象存储内网互通的云主机所在的VPC和子网。 无需进行接入管理的资源池 ：华东1、上海36、南昌5、青岛20、武汉41、长沙42、长沙37、南宁23、北京行业云20、华北2、西南1、上海32。以上资源池云主机默认与对象存储内网互通，无需接入管理即可实现内网访问。 添加子网后，请重启云主机或网卡。 如果没有可用的VPC，需先创建VPC。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择广东广州6。 3. 在控制台首页，选择“存储>对象存储”。 4. 在ZOS控制台右上角点击“接入管理(VPC)”。 5. 点击“添加VPC”，选择需要与对象存储内网互通的云主机所在的VPC和子网，点击“确定”。 6. 添加成功后，控制台可查看已经添加过的VPC和子网。 7. 添加VPC和子网后，重启云主机网卡，便可通过内网地址访问ZOS。

本文帮助您更快了解如何规划子网网段和数量。 相关描述 子网是虚拟私有云内的IP地址块，可以将虚拟私有云的网段分成若干块，子网划分可以帮助您合理规划IP地址资源。虚拟私有云中的所有云资源都必须部署在子网内。同一个虚拟私有云下，子网网段不可重叠。 默认情况下，同一个VPC的所有子网内的云主机均可以进行内网通信，不同VPC的云主机不能进行内网通信。 注意： 子网创建成功后，不支持修改网段，请提前合理规划好子网网段。 VPC支持的网段为10.0.0.0/829、172.16.0.0/1229、192.168.0.0/1629，子网的网段须在VPC网段范围内，且子网的掩码范围为：子网所在VPC掩码~29。 不同子网之间网段不能相同、不能有交集。 如何通过业务用途划分子网 建议在同一个VPC下的业务内可按照业务模块分别划分子网，例如子网1用于Web层，子网2用于逻辑层，子网3用于数据层，有利于结合网络ACL进行访问控制和过滤。 如果只是VPC的子网规划，不涉及和本地IDC的网络通信，则可以使用VPC网段中的子网段进行新建子网。 如果要通过VPN/云专线与线下IDC进行互通，本端网段（子网网段）和对端网段（您的IDC侧子网网段）不能重叠，请合理规划VPC及子网网段。 在划分网段时还应考虑该网段的IP容量，即有多少可用的IP数。

本文帮助您更快了解如何规划子网网段和数量。 相关描述 子网是虚拟私有云内的IP地址块，可以将虚拟私有云的网段分成若干块，子网划分可以帮助您合理规划IP地址资源。虚拟私有云中的所有云资源都必须部署在子网内。同一个虚拟私有云下，子网网段不可重叠。 默认情况下，同一个VPC的所有子网内的云主机均可以进行内网通信，不同VPC的云主机不能进行内网通信。 注意： 子网创建成功后，不支持修改网段，请提前合理规划好子网网段。 VPC支持的网段为10.0.0.0/829、172.16.0.0/1229、192.168.0.0/1629，子网的网段须在VPC网段范围内，且子网的掩码范围为：子网所在VPC掩码~29。 不同子网之间网段不能相同、不能有交集。 如何通过业务用途划分子网 建议在同一个VPC下的业务内可按照业务模块分别划分子网，例如子网1用于Web层，子网2用于逻辑层，子网3用于数据层，有利于结合网络ACL进行访问控制和过滤。 如果只是VPC的子网规划，不涉及和本地IDC的网络通信，则可以使用VPC网段中的子网段进行新建子网。 如果要通过VPN/云专线与线下IDC进行互通，本端网段（子网网段）和对端网段（您的IDC侧子网网段）不能重叠，请合理规划VPC及子网网段。 在划分网段时还应考虑该网段的IP容量，即有多少可用的IP数。

本小节介绍云防火墙（原生版）双向访问控制最佳实践。 背景信息 云防火墙（原生版）作为云计算环境的边界网络安全，符合等级保护要求条例中边界安全访问控制要求项，能够实现内外网访问控制隔离等要求。 前期准备 用户需按业务需求整理好业务内外访问控制需求，整理点包含但不限于以下内容： 访问互联网业务的云主机信息，内网IP地址。 访问互联网业务是否存在限制，是否需要记录上网行为审计。 对外发布业务云主机信息，内网IP及对应公网IP。 对外发布业务云主机的业务端口信息，使用协议，域名信息等。 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问。 配置流程 云计算边界扩展针对云·边界安全有如下要求，要求边界安全能够实现访问控制、恶意代码防范、入侵防范等能力，以下配置流程可实现以上边界安全需求。 配置流程说明： 序号 子流程 配置内容 1 梳理业务映射关系 1. 访问互联网业务的云主机信息，内网IP地址，详情参考《云墙上线信息收集表》。 2. 访问互联网业务是否存在限制，是否需要记录上网行为审计。 3. 对外发布业务云主机信息，内网IP及对应公网IP。 4. 对外发布业务云主机的业务端口信息，使用协议，域名信息等。 5. 对外业务或端口是否需要限制源地址访问，例如运维端口仅放行运维人员访问。 6. 是否有WAF/CDN业务访问，提供源站白名单。 2 配置网络接口 按照平台已添加的网卡进行网卡接口配置，登录云墙【网络】→【接口】→【接口配置】。 3 配置基础准备环境 按需配置对象薄、地址薄等信息，登录云墙【对象】→【服务薄】/【地址薄】。 4 配置出向NAT策略 确认需要访问互联网的云主机，进行SNAT配置【策略】→【NAT】→【源NAT】。 5 配置入向NAT策略 确认需要访问互联网的云主机，进行SNAT配置【策略】→【NAT】→【目的NAT】。 6 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置【策略】→【安全策略】→【新建】。 7 配置出向路由和平台路由 确认内网访问互联网的出接口地址，配置出向路由【网络】→【路由】→【源路由】。 8 配置业务割接 将弹性IP从云主机上解绑至云墙网卡即可。

本文主要介绍天翼云ECS实例间的迁移场景和操作步骤。 简介 当需要把不同天翼云账号下的主机资源整合到一个天翼云账号下时，可以采用主机迁移服务实现ECS实例间的快速迁移。主机迁移服务支持同一区域或者不同区域的源端到目的端的迁移。 操作步骤 1. 获取目的端服务器所在账号的AK/SK。 1. 如果您需要直接使用账号来进行主机迁移，具体步骤请参见获取AK/SK（账号）。 2. 如果您在此账号中创建了IAM用户，授予此IAM用户对应的权限后使用此IAM用户创建AK/SK，具体步骤请参见获取AK/SK（IAM用户）。 2. 在源端服务器上安装迁移Agent，具体步骤请参见在源端上安装迁移Agent。 3. 安装完成后，双击SMSAgent，打开迁移Agent，在迁移Agent中填写1中获取的AK/SK，并启动迁移Agent。 说明 迁移Agent启动成功后会自动收集源端服务器信息并发送给主机迁移服务，主机迁移服务会自动校验源端服务器信息合法性以及是否可迁移。 4. 迁移Agent启动成功后，使用目的端服务器所在的账号，登录主机迁移管理控制台，在“迁移服务器”页面的服务器列表中，查看源端服务器信息。 5. 创建并启动迁移任务，具体步骤请参见设置迁移目的端，开始服务器复制并启动目的端。如果源端和目的端在天翼云的同一个VPC里面，“网络类型”可以私网，迁移时会使用目的端的私有IP建立数据连接，目的端不需要配置弹性IP。迁移完成后目的端服务器的登录方式与源端服务器的登录方式保持一致。 说明 源端和目的端处于同一账号、同一region、不同VPC下时，需要创建同一帐户下的对等连接，然后“迁移网络类型”可以选择私网。 源端和目的端处于不同账号、同一region、不同VPC下时，需要创建不同帐户下的对等连接，然后“迁移网络类型”可以选择私网。 （可选）启动目的端后，如果您的源端服务器有增量数据，您可以使用同步功能，同步源端增量数据。单击操作列的“同步”，单击“是”，开始进行增量数据同步。

本章节主要介绍物理机的网络安全类的问题。 不同帐号下物理机内网是否可以互通？ 不同帐号，即不同租户的物理机内网是不通的。 我申请的物理机是否在同一子网？ 由于您可以自定义网络，所以无论是对于普通网络还是高速网络，物理机是否在一个子网，完全由您来控制。 我申请物理机可以和同VPC内的弹性云主机通信吗？ 可以。 您创建的VPC，可能存在多个子网，物理机和弹性云主机在同一个子网时进行二层通信，在不同网段时进行三层通信，不在同一个vpc内不能直接通信。 此外，物理机和弹性云主机可以在同一个子网中，并且物理机与弹性云主机通信时必须配置安全组规则。 如物理机有多个vpc网卡，则需要在物理机系统内配置策略路由。 在只能使用SSH登录物理机的情况下，如何修改物理机的网络配置或重启网络？ 由物理机自动分配的网络是禁止修改的，在只有SSH登录的情况下修改，有可能会导致物理机无法连接。如果物理机存在自定义vlan网络网卡，您可以配置或修改该网卡的网络。 物理机可以绑定多个弹性公网IP吗？ 一个网卡只能绑定一个EIP。您需要多个EIP时，可以将EIP绑定到扩展网卡，但扩展网卡绑定EIP以后，需要在物理机内根据实际网络情况做相应的操作，例如：增加策略路由或者命名空间等，来保证网络通信正常。

内网DNS支持更改主机DNS的操作,本文为您介绍如何更改主机DNS并使内网DNS配置生效。 为实现内网域名在 VPC 上的正常解析，用户需要将云主机内的 DNS 改成内网 DNS 服务地址。 查看内网DNS地址 1. 在内网 DNS 的列表中，可以看到如下红框内的提示。 2. 点击“查看列表”，可以看到内网DNS地址。 修改Linux云主机内DNS地址 1. 登录Linux弹性云主机。 2. 执行以下命令，打开resolv.conf文件。 vi /etc/resolv.conf 3. 按“i”键进入编辑模式。 4. 将“nameserver”修改为当前云主机所在VPC的内网DNS IP地址，按“ESC”后输入“：wq”保存配置。 修改Windows云主机内DNS地址 以Windows server 2016操作系统为例，以用户名Administrator，登录Windows弹性云主机。 1. 在任务栏的右下角，右击网络连接的图标，单击“打开网络和共享中心”。 2. 在左侧导航栏，单击“更改适配器设置”。 3. 双击“本地连接”。 4. 单击左下角的“属性”。 5. 选择“Internet 协议版本（TCP/IP）”，并单击“属性”。 6. 选择“使用下面的DNS服务器地址”，并根据界面提示填写当前云主机所在VPC的内网DNS IP地址。

私网NAT网关 关于私网NAT网关的使用，您需要注意以下几点： 公共限制 用户需要在VPC下手动添加私网路由，即通过创建对等连接或开通云专线/VPN连接远端私网。 中转IP和目的IP不能在同一个VPC中。 私网NAT网关支持添加的DNAT规则和SNAT规则的数量如下： 小型：DNAT规则和SNAT规则的总数不超过20个。 中型：DNAT规则和SNAT规则的总数不超过50个。 大型：DNAT规则和SNAT规则的总数不超过200个。 超大型：DNAT规则和SNAT规则的总数不超过500个。 SNAT限制 VPC内的每个子网只能添加一条SNAT规则。 DNAT限制 DNAT的全端口模式不能和具体端口模式共用同一个中转IP。 说明 私网NAT网关已在广州4、贵州、西安2、华北、苏州、杭州、深圳、长沙2资源池商用上线。

本文帮助您快速熟悉弹性网卡基本知识。 弹性网卡是虚拟私有网络VPC中的虚拟网络接口，用于连接ECS与私有网络。 每个弹性网卡可以包含以下主要属性： 专有网络VPC、子网信息 VPC子网的IPv4地址范围内的一个主要私有IPv4地址 VPC子网的IPv4地址范围内的一个或者多个辅助私有IPv4地址 和一个公网IPv4地址绑定，将网卡的私网IP NAT成为公网IP 一个或者多个IPv6地址 一个MAC地址 一个或多个安全组 网卡类型 网卡类型包括主网卡和辅助网卡。随着云主机、物理机服务器等实例一起创建的网卡称为主网卡。VPC网络中的每个实例都有默认的主网卡，您无法独立创建和从实例卸载主网卡。您可以创建并额外绑定到实例上的网卡，称为辅助网卡，辅助网卡可以灵活的和实例解绑、绑定。 私有IPv4地址 每个弹性网卡都有一个子网地址范围内的私有IPv4地址，称为主私网地址。您可以在创建辅助弹性网卡时指定主私网地址，如果不指定，我们将为您随机分配。此外，您还可以为弹性网卡分配一个或者多个辅助私有IPv4地址，辅助私有IP地址在取消分配后可以回收，然后再分配给其他弹性网卡。 IPv6地址 如果虚拟私有网络VPC和子网开通了IPv6网段，您可以为弹性网卡分配一个或多个IPv6地址。IPv6地址在取消分配后可以回收。VPC内的IPv6地址支持VPC内网通信和公网通信，网卡绑定IPv6带宽或者加入共享带宽后，可以使用IPv6来访问公网或被公网访问。

参数 说明 取值样例 区域 子网必须归属于某个VPC，请选择目标VPC所在的区域。 广州4 虚拟私有云 请选择待创建子网的VPC。 vpctest 子网名称 输入子网的名称。要求如下： 长度范围为164位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 subnet01 子网IPv4网段 设置子网的IPv4网段范围，子网是VPC内的IP地址块，可以将VPC的网段分成若干块。 10.0.0.0/24 子网IPv6网段 开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。该功能一旦开启，将不能关闭。 关联路由表 路由表由一系列路由规则组成，用于控制VPC内出入子网的流量走向。创建VPC时会创建一个默认路由表，子网自动关联至默认路由表。默认路由表可以确保VPC内子网之间网络互通。 高级配置 网关 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 子网的网关，如果没有特殊需求，建议保持系统默认设置。 高级配置 DNS服务器地址 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 此处默认填写天翼云的DNS服务器地址，可实现云主机在VPC内直接通过内网域名互相访问。同时，还支持不经公网，直接通过内网DNS访问云上服务。 若您由于业务原因需要指定其他DNS服务器地址，您可以修改默认的DNS服务器地址。如果您删除默认的DNS服务器地址，可能会导致您无法访问云上其他服务，请谨慎操作。 您也可以通过“DNS服务器地址”右侧的“重置”将DNS服务器地址恢复为默认值。 DNS服务器地址最多支持2个IP，请以英文逗号隔开。 高级配置 域名 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 此处填写DNS域名后缀，支持填写多个域名，不同的域名之间以空格分隔，单个域名长度不超过63个字符，并且域名总长度不超过254个字符。 访问某个域名时，只需要输入域名前缀，子网内的云主机会自动匹配设置的域名后缀。 域名设置完成后，子网内新创建的云主机会自动同步该配置。 子网内的存量云主机，需要更新DHCP配置使域名生效，您可以重启云主机、重启DHCP Client服务或者重启网络服务。 test.com 高级配置 NTP服务器地址 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 如果您需要为当前子网新增NTP服务器地址，则需要填写该地址。此处填写的地址不会影响默认NTP服务器地址。 新增或修改原有子网的NTP服务器地址后，需要子网内的ECS重新获取一次DHCP租约，或者重启ECS，才能生效。 清空NTP服务器地址时，需要子网内的ECS重新获取一次DHCP租约，重启ECS无法生效。 192.168.2.1 高级配置 IPv4 DHCP租约时间 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以设置IPv4地址的DHCP租约时间。 DHCP租约时间是指DHCP服务器自动分配给客户端的IP地址的使用期限。超过租约时间，IP地址将被收回，需要重新分配。 期限租约：设置DHCP租约期限，单位为天或者小时。 无限租约：设置DHCP不过期。 DHCP租约时间修改后，对于子网内的实例（比如ECS）来说，当实例下一次续租时，新的租约时间将会生效。实例续租分为自动更新租约和手动更新租约两种，续租不会改变实例当前的IP地址。如果需要DHCP租约立即生效，请在实例中手动更新租约或者重启实例。 高级配置 标签 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以在创建子网的时候为子网绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 键：subnetkey1 值：subnet01 高级配置 描述 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以根据需要在文本框中输入对该子网的描述信息。描述信息内容不能超过255个字符，且不能包含“<”和“>”。

本文将带您简要了解同地域“同帐号”的多个VPC中的云资源实现跨VPC通信的操作场景和具体流程。 操作场景 通过VPC终端节点，同地域“同帐号”的多个VPC中的云资源可实现跨VPC通信。 通常情况下，不同VPC中的云资源是相互隔离的，无法通过私有IP地址进行访问。通过使用VPC终端节点，您可以在两个VPC之间使用私有IP地址进行通信，就好像这两个VPC在同一个网络中一样。 在同一帐号、同一地域的情况下，如果您希望VPC1中的弹性云主机（CTECS）实例通过私网IP访问VPC2中的ELB，实现了跨VPC的私网通信，可以通过以下方式： 1. 在VPC2中，将您希望VPC1中的资源访问的后端资源（例如内网负载均衡ELB）创建为终端节点服务。 2. 在VPC1中，购买终端节点，通过“按名称查找服务”关联VPC2中已创建的终端节点服务。 操作流程

本文帮助您了解对等连接的基本概念。 虚拟私有云（VPC） 虚拟私有云为弹性云主机、物理机、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。 路由表 路由表是指虚拟私有云上管理路由条目的列表。 系统路由表：创建VPC后，系统会默认创建一张系统路由表来控制VPC的路由，VPC内所有子网默认使用系统路由表。系统路由表不能创建也不能删除，但可以在系统路由表中创建自定义路由条目。 自定义路由表：支持创建VPC内自定义路由表，将自定义路由表和子网绑定，可更灵活地进行VPC网络管理。 对等连接 对等连接是两个VPC之间的网络连接，可以通过VPC对等连接，实现两个VPC之间私网互通。用户可以在自己帐号下同一资源池的VPC之间创建对等连接，也可以在自己账号的VPC与同一资源池内其他帐号的VPC之间创建对等连接。

本节介绍了区域与可用区的相关内容。 什么是可用区，怎样用可用区？ 什么是可用区 可用区是同一服务区内，电力和网络互相独立的地理区域，一般是一个独立的物理机房，这样可以保证可用区的独立性。 一个区域内有多个可用区，一个可用区发生故障后不会影响同一区域内下的其它可用区。 可用区间通过内网访问。 怎样选择可用区 在购买弹性云主机时，您可以根据需要购买不同可用区的云主机，单可用区故障不会影响其他可用区云主机的正常运行。在选择可用区时，需了解以下几点： 如果某地区只有一个可用区可选，那么该地区暂时只有唯一可用区。 已购买的弹性云主机不支持更换可用区。 同一个区域内的可用区内网互通。 如何选择区域？ 区域是一个地理区域的概念。我国地域面积广大，由于带宽的原因，不可能只建设一个数据中心为全国客户提供服务。因此，我们根据地理区域的不同将全国划分成不同的区域。 选择区域时通常根据就近原则进行选择，这样可以减少访问服务的网络时延，提高访问速度。 区域之间是否存在产品差异？ 暂时存在。 我们会将成熟的产品服务部署在各个区域，新产品则会在部分区域做试点发布。 可用区之间的数据传输是否需要收费？ 同一区域下的可用区不收费，跨区域的可用区则需要收费。

本文汇总了使用虚拟私有云产品时常见的使用连接类问题。 VPN支持将两个VPC互连吗？ 如果两个VPC位于同一区域内，可以使用VPC对等连接互连。 如果两个VPC位于不同区域，可以通过VPN连接，分别把这两个VPC的CIDR作为本端子网和远端子网。 弹性云服务器有多个网卡时，为何无法通过域名访问公网网站及云中的内部域名？ 拥有多个网卡的弹性云服务器，如果每个网卡对应的子网中的DNS服务器地址配置不一致时，通过该弹性云服务器将无法访问公网网站或云中的内部域名。 请确保虚拟私有云的多个子网中的DNS服务器地址配置一致。您可以通过以下步骤，修改虚拟私有云子网的DNS服务器。 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏选择“虚拟私有云”。 4. 在虚拟私有云列表中，单击需要修改子网的虚拟私有云名称。 5. 在“子网”列表待修改子网所在行，单击“修改”，根据界面提示修改子网DNS服务器地址。 6. 单击“确定”，完成修改。 对等连接有哪些限制？ 配置对等连接时，不建议两端VPC的网段（CIDR）存在重叠，可能会造成路由冲突，导致配置不生效。 对等连接创建完成后，可以使用“ping”命令检查本端网络是否连通，不支持通过“ping”命令检查对端子网网关是否连通。 如果两个VPC的CIDR有重叠，建立对等连接时，只能针对子网建立对等关系。如果两个VPC下的子网网段有重叠，那么该对等关系可能不生效。建立对等连接时，请确保对等连接两端不包含重叠的子网。 VPC A与VPC B、VPC C分别建立对等连接，如果VPC B和VPC C的网段有重叠，那么VPC A中无法添加具有相同目的网段的路由。 两个VPC之间不能同时建立多个VPC对等连接。 不同区域的VPC不能创建对等连接。 跨租户申请VPC对等连接，需要对端租户接受后，才能生效。同租户申请对等连接默认已接受。 为了安全起见，请不要接受来自未知帐号的对等连接申请。 对等连接双方帐号都有权限删除对等连接，一方删除对等连接后，对等连接的所有信息会被立刻删除，包括对等连接关联的路由信息。 对等连接建立后，需要在本端VPC、对端VPC分别添加对方子网的路由才能通信。 VPC对等连接路由存在时，VPC无法被删除。

云服务 产线分类 云服务名称 作用范围 系统策略名称 当前状态 历史系统策略描述 最新系统策略描述 计算 弹性伸缩服务 全局 as admin 正常使用 弹性伸缩全读写访问权限 计算 弹性伸缩服务 资源池 as viewer 正常使用 弹性伸缩服务只读访问权限 计算 弹性伸缩服务 全局 scaling admin 计划下线 弹性伸缩服务（AS）全读写访问权限 计算 弹性伸缩服务 全局 scaling admin 正常使用 弹性伸缩服务管理员权限 弹性伸缩服务（AS）全读写访问权限 计算 弹性伸缩服务 全局 scaling viewer 计划下线 viewer不可操作 弹性伸缩服务（AS）只读访问权限 计算 弹性伸缩服务 全局 scaling viewer 计划下线 弹性伸缩服务（AS）只读访问权限 计算 弹性伸缩服务 全局 scaling viewer 正常使用 弹性伸缩服务观察者权限 弹性伸缩服务（AS）只读访问权限 计算 弹性伸缩服务 全局 scalingproject 计划下线 计算 镜像服务 资源池 image admin 计划下线 计算 镜像服务 资源池 image viewer 计划下线 计算 镜像服务 资源池 ims admin 正常使用 镜像服务管理者权限 镜像服务（IMS）全读写访问权限 计算 镜像服务 资源池 ims viewer 正常使用 镜像服务观察者权限 镜像服务（IMS）只读访问权限 计算 镜像服务 资源池 shareImages Admin 正常使用 共享镜像服务使用者权限 共享镜像服务全读写访问权限 计算 物理机 资源池 dps admin 正常使用 物理机服务管理者权限 物理机服务（DPS）全读写访问权限 计算 物理机 资源池 dps viewer 正常使用 物理机服务观察者权限 物理机服务（DPS）只读访问权限 计算 云硬盘 全局 vbs viewer 正常使用 云硬盘备份观察者权限 云硬盘备份（VBS）只读访问权限 计算 云主机 全局 csbs admin 正常使用 云主机备份管理者权限 云主机备份（CSBS）全读写访问权限 计算 云主机 资源池 ecs admin 正常使用 云主机服务管理者权限 云主机服务（ECS）全读写访问权限 计算 云主机 资源池 ecs user 计划下线 云主机服务使用者权限 云主机服务使用者权限 计算 云主机 资源池 ecs viewer 正常使用 云主机服务观察者权限 云主机服务（ECS）只读访问权限 计算 云主机 资源池 ServersGroups Admin 正常使用 云主机组管理者权限 云主机组（ServersGroups）全读写访问权限 计算 云主机 资源池 ServersGroups Viewer 正常使用 云主机组观察者权限 云主机组（ServersGroups）只读访问权限 计算 云助手 资源池 cas admin 正常使用 云助手admin权限 云助手（CAS）全读写访问权限 计算 云助手 资源池 cas user 计划下线 云助手user权限 云助手user权限 计算 云助手 资源池 cas viewer 正常使用 云助手viewer权限 云助手（CAS）只读访问权限 人工智能 ai网关 全局 CtyunAssumeRoleForAgwAccessISuite 正常使用 ai网关访问智算套件接口策略 人工智能 慧聚平台 全局 huijuOutAdmin 正常使用 管理员 人工智能 慧聚平台 全局 huijuOutCommon 正常使用 人工智能 慧聚平台 全局 huijuOutOps 正常使用 人工智能 慧聚平台 全局 huijuOutSLAdmin 正常使用 二级管理员 二级管理员 人工智能 科研助手 全局 bc admin 正常使用 批量计算服务管理者权限（最高权限） 科研助手管理者权限（最高权限，具备科研助手所有功能的读写权限） 人工智能 科研助手 全局 bc user 正常使用 批量计算服务使用者权限（读写权限） 科研助手使用者权限（科研助手部分读写访问权限，包含主流功能模块的创建、使用、删除等读写功能，不包括权限的配置、核心策略规则等写入权限） 人工智能 科研助手 全局 bc viewer 正常使用 批量计算服务观察者权限（只读权限） 科研助手观察者权限（仅可访问受控范围内的只读权限，部分权限类功能无法访问。） 人工智能 云算网一体化 全局 CtyunAssumeRoleForYswPolicy 正常使用 用于云算网一体化调度平台服务内联委托的授权策略 用于云算网一体化调度平台服务内联委托的授权策略 人工智能 云骁智算 全局 cwai developer 计划下线 云骁智算平台算法工程师访问策略 云骁智算平台算法工程师访问策略 人工智能 云骁智算 全局 cwai maintainer 计划下线 云骁智算平台业务运维工程师访问策略 云骁智算平台业务运维工程师访问策略 人工智能 云骁智算 全局 CWAI 云骁服务委托专用策略 计划下线 CWAI 云骁服务委托专用策略 CWAI 云骁服务委托专用策略 人工智能 智能体引擎 全局 CtyunAGEFullAccess 正常使用 本策略定义了使用智能体引擎的全部权限。 本策略定义了使用智能体引擎的全部权限。 人工智能 智能体引擎 全局 CtyunAGEReadOnlyAccess 正常使用 本策略定义了只读访问智能体引擎的权限。 本策略定义了只读访问智能体引擎的权限。 人工智能 智能体引擎 全局 CtyunAssumeRolePolicyForAGE 正常使用 用于CtyunAssumeRoleForAGE的服务委托授权策略 用于CtyunAssumeRoleForAGE的服务委托授权策略 存储 并行文件服务 资源池 并行文件查看者 正常使用 并行文件查看者 并行文件服务（HPFS）只读访问权限 存储 并行文件服务 资源池 并行文件管理者 正常使用 并行文件管理者 并行文件服务（HPFS）全读写访问权限 存储 存储容灾服务 全局 CtyunAssumeRolePolicyForADTS 正常使用 容灾多活管理员权限 容灾多活管理员权限 存储 存储容灾服务 资源池 snapshotpolicy Admin 正常使用 快照策略服务管理者权限 快照策略服务（snapshotpolicy）全读写访问权限 存储 存储容灾服务 全局 snapshotpolicy Viewer 正常使用 快照策略服务观察者权限 快照策略服务（snapshotpolicy）只读访问权限 存储 弹性文件 全局 sfsadmin 正常使用 弹性文件服务管理者权限 弹性文件服务（SFS Turbo）全读写访问权限 存储 弹性文件 全局 sfsviewer 正常使用 弹性文件服务观察者权限 弹性文件服务（SFS Turbo）只读访问权限 存储 弹性文件 全局 sfspermission admin 计划下线 弹性文件权限组/权限组规则（无企业项目属性） 弹性文件权限组/权限组规则（无企业项目属性） 存储 弹性文件 全局 sfspermission viewer 计划下线 弹性文件权限/权限组规则（无企业项目属性） 弹性文件权限/权限组规则（无企业项目属性） 存储 对象存储 全局 zos admin 正常使用 对象存储服务管理者权限 对象存储服务（ZOS）全读写访问权限 存储 对象存储 全局 zos viewer 正常使用 对象存储服务观察者权限 对象存储服务（ZOS）只读访问权限 存储 海量文件服务 资源池 海量文件服务OceanFS观察者权限（viewer） 正常使用 海量文件服务OceanFS只读权限 海量文件服务（OceanFS）只读访问权限 存储 海量文件服务 资源池 海量文件服务OceanFS管理者权限（admin） 正常使用 海量文件服务OceanFS全部权限 海量文件服务（OceanFS）全读写访问权限 存储 云备份 全局 CtyunCBRFullAccess 正常使用 云备份管理者（admin）权限 云备份（CBR）全读写访问权限 存储 云备份 全局 CtyunCBRReadOnlyAccess 正常使用 云备份查看者（viewer）权限 云备份（CBR）只读访问权限 存储 云容灾 全局 CtyunCDRFullAccess 正常使用 云容灾管理者权限 云容灾（CDR）服务全读写访问权限 存储 云容灾 全局 CtyunCDRReadOnlyAccess 正常使用 云容灾查看者权限 云容灾（CDR）只读访问权限 存储 云硬盘 资源池 evs admin 正常使用 云硬盘服务管理者权限 云硬盘服务（EVS）全读写访问权限 存储 云硬盘 资源池 evs viewer 正常使用 云硬盘服务观察者权限 云硬盘服务（EVS）只读访问权限 存储 云硬盘 全局 vbs admin 正常使用 云硬盘备份管理者权限 云硬盘备份（VBS）全读写访问权限 存储 云硬盘 全局 云硬盘备份观察者权限 计划下线 云硬盘备份观察者（viewer）权限 云硬盘备份观察者（viewer）权限 存储 云硬盘 全局 云硬盘备份管理者权限 计划下线 云硬盘备份管理者（admin）权限 云硬盘备份管理者（admin）权限 存储 云主机备份 全局 csbs viewer 正常使用 云主机备份观察者权限 云主机备份（CSBS）只读访问权限 网络 NAT网关 资源池 nat admin 正常使用 NAT网关管理者权限 NAT网关（NAT）全读写访问权限 网络 NAT网关 资源池 nat viewer 正常使用 NAT网关观察者权限 NAT网关（NAT）只读访问权限 网络 SDWAN 全局 sdwan admin 正常使用 SDWAN管理者权限 SDWAN全读写访问权限 网络 SDWAN 全局 sdwan viewer 正常使用 SDWAN观察者权限 SDWAN只读访问权限 网络 SDWAN 全局 SDWAN流日志admin 正常使用 SDWAN流日志管理员权限 SDWAN流日志全读写访问权限 网络 SDWAN 全局 SDWAN流日志viewer 正常使用 SDWAN流日志查看者权限 SDWAN流日志只读访问权限 网络 VPN 资源池 vpn admin 正常使用 VPN服务管理者权限 VPN服务全读写访问权限 网络 VPN 资源池 vpn viewer 正常使用 VPN服务观察者权限 VPN服务只读访问权限 网络 VPN 全局 添加VPN网关 正常使用 VPN网关添加权限 VPN网关添加权限 网络 弹性负载均衡 全局 alb admin 正常使用 alb 管理员权限 应用型负载均衡（ALB）全读写访问权限 网络 弹性负载均衡 全局 alb viewer 正常使用 alb 观察者权限 应用型负载均衡（ALB）只读访问权限 网络 弹性负载均衡 全局 elb admin 正常使用 弹性负载均衡（ELB）全读写访问权限 弹性负载均衡（ELB）全读写访问权限 网络 弹性负载均衡 全局 elb viewer 正常使用 负载均衡观察者权限 弹性负载均衡（ELB）只读访问权限 网络 弹性负载均衡 全局 gwlb admin 正常使用 gwlb 管理员权限 网关型负载均衡（GWLB）全读写访问权限 网络 弹性负载均衡 全局 gwlb viwer 正常使用 gwlb 查看者角色权限 网关型负载均衡（GWLB）只读访问权限 网络 共享流量包 全局 flowPackage admin 正常使用 共享流量包管理者权限 共享流量包全读写访问权限 网络 共享流量包 全局 flowPackage viewer 正常使用 共享流量包观察者权限 共享流量包只读访问权限 网络 内网DNS 全局 idns admin 正常使用 内网DNS管理者 内网DNS（CTIDNS）全读写访问权限 网络 内网DNS 全局 idns viewer 正常使用 内网DNS查看者 内网DNS（CTIDNS）只读访问权限 网络 虚拟私有云 资源池 ipv6 admin 计划下线 ipv6 admin ipv6 admin 网络 虚拟私有云 资源池 ipv6 viewer 计划下线 ipv6 viewer ipv6 viewer 网络 虚拟私有云 资源池 IPv6带宽admin 正常使用 IPv6带宽默认的管理员权限 IPv6带宽全读写访问权限 网络 虚拟私有云 资源池 IPv6带宽viewer 正常使用 IPv6带宽默认的查看用户权限 IPv6带宽只读访问权限 网络 虚拟私有云 资源池 IPv6网关admin 计划下线 IPv6网关默认的管理员权限 IPv6网关全读写访问权限 网络 虚拟私有云 资源池 IPv6网关viewer 计划下线 IPv6网关默认的查看用户权限 IPv6网关只读访问权限 网络 虚拟私有云 资源池 mirrorFilter admin 计划下线 流量镜像筛选条件管理者权限 流量镜像筛选条件（mirrorFilter）全读写访问权限 网络 虚拟私有云 资源池 mirrorFilter user 计划下线 流量镜像筛选条件使用者权限 流量镜像筛选条件（mirrorFilter）只读访问权限 网络 虚拟私有云 资源池 mirrorFilter viewer 计划下线 流量镜像筛选条件观察者权限 流量镜像筛选条件（mirrorFilter）只读访问权限 网络 虚拟私有云 全局 peering admin 计划下线 对等连接管理者权限 对等连接管理者权限 网络 虚拟私有云 全局 peering admin 计划下线 对等连接管理者权限 对等连接管理者权限 网络 虚拟私有云 全局 peering viewer 计划下线 对等连接查看者权限 对等连接查看者权限 网络 虚拟私有云 全局 peering viewer 计划下线 对等连接查看者权限 对等连接查看者权限 网络 虚拟私有云 资源池 securityGpRules Admin 计划下线 安全组规则管理者服务 安全组规则全读写访问权限 网络 虚拟私有云 资源池 securityGpRules Viewer 计划下线 安全组规则观察者权限 安全组规则只读访问权限 网络 虚拟私有云 资源池 securityGroup admin 计划下线 安全组管理者权限 安全组全读写访问权限 网络 虚拟私有云 资源池 securityGroup user 计划下线 安全组使用者权限 安全组查看和管理规则访问权限 网络 虚拟私有云 资源池 securityGroup viewer 计划下线 安全组观察者权限 安全组只读访问权限 网络 虚拟私有云 资源池 ServerNics Admin 计划下线 弹性网卡管理者权限 弹性网卡管理者权限 网络 虚拟私有云 资源池 ServerNics Viewer 计划下线 弹性网卡观察者权限 弹性网卡观察者权限 网络 虚拟私有云 资源池 trafficMirror admin 计划下线 流量镜像镜像会话管理者权限 流量镜像（trafficMirror）全读写访问权限 网络 虚拟私有云 资源池 trafficMirror user 计划下线 流量镜像镜像会话使用者权限 流量镜像（trafficMirror）查看、启停、变更镜像源和目的的访问权限 网络 虚拟私有云 资源池 trafficMirror viewer 计划下线 流量镜像镜像会话观察者权限 流量镜像（trafficMirror）只读访问权限 网络 虚拟私有云 资源池 vpc admin 正常使用 虚拟私有云管理者权限 虚拟私有云（VPC）全读写访问权限 网络 虚拟私有云 资源池 vpc viewer 正常使用 虚拟私有云观察者权限 虚拟私有云（VPC）只读访问权限 网络 虚拟私有云 全局 vpcep admin 正常使用 VPC终端节点管理者权限 VPC终端节点管理者权限 网络 虚拟私有云 全局 vpcep viewer 正常使用 VPC终端节点查看者权限 VPC终端节点查看者权限 网络 虚拟私有云 资源池 vpcRoute Admin 计划下线 路由表管理者权限 路由表全读写访问权限 网络 虚拟私有云 资源池 vpcRoute Viewer 计划下线 路由表观察者权限123 路由表只读访问权限 网络 虚拟私有云 资源池 VPC流日志 admin 计划下线 本策略定义了VPC流日志的管理员权限（全部权限） 网络 虚拟私有云 资源池 VPC流日志 viewer 计划下线 本策略定义了VPC流日志的查看者权限（可读访问） 网络 虚拟私有云 资源池 链路检测admin 计划下线 链路检测管理员 链路检测管理员 网络 虚拟私有云 资源池 链路检测viewer 计划下线 链路检测只读用户 链路检测只读用户 网络 云间高速 全局 CtyunZNETAdmin 正常使用 云间高速管理者权限 云间高速（EC）全读写访问权限 网络 云间高速 全局 CtyunZNETViewer 正常使用 云间高速查看者权限 云间高速（EC）只读访问权限 网络 云专线 全局 cda admin 计划下线 云专线服务管理者权限 计划隐藏 网络 云专线 全局 cda viewer 计划下线 云专线服务观察者权限 计划隐藏 网络 云专线 全局 云专线查看者 正常使用 云专线查看者视图 云专线（CDA）只读访问权限 网络 云专线 全局 云专线管理者 正常使用 云专线管理者视图 云专线（CDA）全读写访问权限 云终端 天翼云电脑（政企版） 全局 ecpcadmin 正常使用 云电脑管理员权限 云电脑全读写访问权限 云终端 天翼云电脑（政企版） 全局 ecpcviewer 正常使用 云电脑观察者权限 云电脑只读访问权限 云终端 天翼云手机 全局 云手机只读管理员 正常使用 云手机观察者权限 云手机只读访问权限 云终端 天翼云手机 全局 云手机admin管理员 正常使用 云手机管理员权限 云手机全读写访问权限 CDN与边缘 CDN 全局 cdn api admin 正常使用 CDN API管理员权限 CDN API的专属管控权限，支持CDN业务接口调用、接口权限管理及接口使用数据查询等全部操作能力 CDN与边缘 CDN 全局 cdn console admin 正常使用 CDN控制台管理员权限 CDN控制台全读写访问权限 CDN与边缘 CDN 全局 cdn console viewer 正常使用 CDN控制台观察者权限 CDN控制台只读访问权限 CDN与边缘 边缘安全加速平台 全局 accessone console admin 正常使用 边缘安全加速平台Aone安全与加速管理员权限 边缘安全加速平台Aone安全与加速全读写访问权限 CDN与边缘 边缘安全加速平台 全局 accessone console viewer 正常使用 边缘安全加速平台Aone安全与加速只读权限 边缘安全加速平台Aone安全与加速只读访问权限 容器与中间件 弹性容器实例 全局 CtyunECIFullPolicy 正常使用 ECI 完全访问权限系统策略 弹性容器实例（ECI）全读写访问权限 容器与中间件 弹性容器实例 全局 CtyunECIReadOnlyPolicy 正常使用 ECI 只读权限系统策略 弹性容器实例（ECI）只读访问权限 容器与中间件 分布式容器云平台 全局 cceone委托策略 正常使用 cceone委托策略 用于CtyunAssumeRoleForCCEONE的服务委托授权策略 容器与中间件 分布式容器云平台 全局 分布式容器云平台CCE Oneadmin 正常使用 分布式容器云平台CCE One默认管理员策略，拥有所有权限（适用于一类节点资源池） 分布式容器云平台（CCE One）全读写访问权限 容器与中间件 分布式容器云平台 全局 分布式容器云平台CCE Oneuser 正常使用 分布式容器云平台CCE One默认使用者策略，对应用拥有治理权限（适用于一类节点资源池） 仅用于管理分布式容器云平台（CCE One）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式容器云平台 全局 分布式容器云平台CCE Oneviewer 正常使用 分布式容器云平台CCE One默认查看者策略，对应用仅拥有只读权限（适用于一类节点资源池） 分布式容器云平台（CCE One）只读访问权限 容器与中间件 分布式消息服务 全局 KAFKA admin 正常使用 自研分布式消息服务Kafka CTIAM 产品默认管理员策略 分布式消息服务Kafka全读写访问权限 容器与中间件 分布式消息服务 全局 KAFKA user 正常使用 自研分布式消息服务Kafka CTIAM 产品默认使用者策略 仅用于管理分布式消息服务Kafka控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式消息服务 全局 KAFKA viewer 正常使用 自研分布式消息服务Kafka CTIAM 产品默认浏览者策略 分布式消息服务Kafka只读访问权限 容器与中间件 分布式消息服务 全局 lnlineDelegationRolePolicyKafka 正常使用 分布式消息KAFKA内联委托角色策略 用于lnlineDelegationRolePolicyKafka的服务委托授权策略 容器与中间件 分布式消息服务 全局 MQ2 admin 正常使用 自研分布式消息服务rocketmq CTIAM 产品默认管理员策略 分布式消息服务RocketMQ全读写访问权限 容器与中间件 分布式消息服务 全局 MQ2 user 正常使用 自研分布式消息服务rocketmq CTIAM 产品默认使用者策略 仅用于管理分布式消息服务RocketMQ控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式消息服务 全局 MQ2 viewer 正常使用 自研分布式消息服务rocketmq CTIAM 产品默认浏览者策略 分布式消息服务RocketMQ只读访问权限 容器与中间件 分布式消息服务 全局 MQTT只读管理员 正常使用 分布式消息服务MQTT只读访问权限 分布式消息服务MQTT只读访问权限 容器与中间件 分布式消息服务 全局 MQTT普通管理员 正常使用 仅用于管理分布式消息服务MQTT控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 仅用于管理分布式消息服务MQTT控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式消息服务 全局 MQTT超级管理员 正常使用 分布式消息服务MQTT全读写访问权限 分布式消息服务MQTT全读写访问权限 容器与中间件 分布式消息服务 全局 RabbitMQ4.0 默认浏览者 正常使用 自研分布式消息服务RabbitMQ CTIAM 产品默认浏览者策略 分布式消息服务RabbitMQ只读访问权限 容器与中间件 分布式消息服务 全局 RabbitMQ4.0普通使用者 正常使用 自研分布式消息服务RabbitMQCTIAM 产品默认使用者策略 仅用于管理分布式消息服务RabbitMQ控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式消息服务 全局 RabbitMQ4.0超级管理员 正常使用 自研分布式消息服务RabbitMQ CTIAM 产品超级管理员策略 分布式消息服务RabbitMQ全读写访问权限 容器与中间件 分布式消息服务 全局 RocketMQMQ2 admin 正常使用 分布式消息服务RocketMQMQ2管理权限 分布式消息服务RocketMQ全读写访问权限 容器与中间件 分布式消息服务 全局 RocketMQMQ2 user 正常使用 分布式消息服务RocketMQ 普通用户权限策略 仅用于管理分布式消息服务RocketMQ控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式消息服务 全局 RocketMQMQ2 viewer 正常使用 只读访问分布式消息服务RocketMQMQ2的权限 分布式消息服务RocketMQ只读访问权限 容器与中间件 函数计算 全局 CtyunFcDefaultDelegateRolePolicy 正常使用 函数计算服务委托 用于CtyunFcDefaultDelegateRole的服务委托授权策略 容器与中间件 函数计算 全局 CtyunFcFullPolicy 正常使用 管理函数计算（FC）服务的权限 函数计算（FC）全读写访问权限 容器与中间件 函数计算 全局 CtyunFcInvocationPolicy 正常使用 调用函数计算（FC）服务的权限 函数计算（FC）产品提供的函数调用权限 容器与中间件 函数计算 全局 CtyunServiceInlineDelegateRolePolicyForFC 正常使用 函数计算内联委托 用于CtyunServiceDelegateRoleForFC的服务委托授权策略 容器与中间件 全局事务服务 资源池 GTS普通用户策略 计划下线 GTS普通用户，可使用事务分组设置相关正常功能 GTS普通用户，可使用事务分组设置相关正常功能 容器与中间件 全局事务服务 资源池 GTS管理员策略 计划下线 GTS管理员用户，拥有所有功能权限 GTS管理员用户，拥有所有功能权限 容器与中间件 容器镜像服务 全局 CRS LTS委托策略 正常使用 容器镜像服务CRS委托调用LTS策略，用于用户委托调用LTS相关接口 用于CtyunLTSAssumeRoleForCRS的服务委托授权策略 容器与中间件 容器镜像服务 全局 CRS委托策略 正常使用 用于CRS委托调用VPCE、内网DNS的委托策略 用于CtyunAssumeRoleForCRS的服务委托授权策略 容器与中间件 容器镜像服务 全局 CtyunAssumeRolePolicyForCRSAccessZOS 正常使用 容器镜像服务CRS委托调用ZOS策略，用于用户委托调用ZOS相关接口 容器镜像服务CRS委托调用ZOS策略，用于用户委托调用ZOS相关接口 容器与中间件 容器镜像服务 全局 CtyunAssumeRolePolicyForCRSOpenZOS 正常使用 容器镜像服务CRS委托开通ZOS策略，用于用户委托开通ZOS服务 容器镜像服务CRS委托开通ZOS策略，用于用户委托开通ZOS服务 容器与中间件 容器镜像服务 全局 容器镜像服务CRS admin 正常使用 容器镜像服务CRS管理员权限策略，拥有CRS所有资源的读写权限 容器镜像服务（CRS）全读写访问权限 容器与中间件 容器镜像服务 全局 容器镜像服务CRS user 正常使用 容器镜像服务CRS普通用户权限策略，拥有除了订单相关操作之外的所有读写权限 仅用于管理容器镜像服务（CRS）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 容器镜像服务 全局 容器镜像服务CRS viewer 正常使用 容器镜像服务CRS只读用户权限策略，对CRS所有资源拥有只读权限 容器镜像服务（CRS）只读访问权限 容器与中间件 事件总线 全局 CtyunAssumePolicyForEbByCloudflow 正常使用 事件总线获取工作流执行权限的服务内联委托角色策略 用于CtyunAssumeRoleForEbByCloudflow的服务委托授权策略 容器与中间件 事件总线 全局 CtyunAssumePolicyForEventBridge 正常使用 事件总线默认服务内联委托策略 用于CtyunAssumeRoleForEventBridge的服务委托授权策略 容器与中间件 事件总线 全局 CtyunServicelnlineDelegationPolicyForEb 正常使用 事件总线默认服务内联委托策略(仅同步函数实例时使用) 用于CtyunServicelnlineDelegationRoleForEb的服务委托授权策略 容器与中间件 事件总线 全局 CtyunServicelnlineDelegationRolePolicyForEb 正常使用 事件总线服务内联委托角色策略(仅同步函数实例时使用) 用于CtyunServicelnlineDelegationRoleForEb的服务委托授权策略 容器与中间件 事件总线 全局 CtyunServicelnlineDelegationRolePolicyForEventBridge 正常使用 事件总线默认服务内联委托角色策略 用于CtyunAssumeRoleForEventBridge的服务委托授权策略 容器与中间件 事件总线 全局 EventBridge admin 正常使用 超级管理员权限策略，拥有事件总线EventBridge所有资源的读写权限 事件总线（EventBridge）全读写访问权限 容器与中间件 事件总线 全局 Eventbridge publisher 正常使用 仅拥有事件总线EventBridge事件的发送权限 事件总线（EventBridge）事件发送权限 容器与中间件 事件总线 全局 EventBridge user 正常使用 普通用户策略，拥有事件总线EventBridge除订单相关操作之外对其他资源拥有读写权限 仅用于管理事件总线（EventBridge）控制台的资源操作，但不包含退订等订单类相关操作 容器与中间件 事件总线 全局 EventBridge viewer 正常使用 管理员权限策略，拥有事件总线EventBridge所有资源的只读权限 事件总线（EventBridge）只读访问权限 容器与中间件 微服务引擎 全局 微服务引擎微服务治理中心MSGCadmin 正常使用 微服务引擎微服务治理中心MSGC默认管理者策略，对应用拥有管理权限（适用于一类节点资源池） 微服务引擎微服务治理中心（MSGC）全读写访问权限 容器与中间件 微服务引擎 全局 微服务引擎微服务治理中心MSGCuser 正常使用 微服务引擎微服务治理中心MSGC默认使用者策略，对应用拥有治理权限（适用于一类节点资源池） 仅用于管理微服务引擎微服务治理中心（MSGC）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 微服务引擎 全局 微服务引擎微服务治理中心MSGCviewer 正常使用 微服务引擎微服务治理中心MSGC默认查看者策略，对应用仅拥有只读权限（适用于一类节点资源池） 微服务引擎微服务治理中心（MSGC）只读访问权限 容器与中间件 微服务引擎 全局 微服务引擎云原生网关CGWadmin 正常使用 微服务引擎云原生网关CGW默认管理者策略，拥有所有权限（适用于一类节点资源池） 微服务引擎云原生网关（CGW）全读写访问权限 容器与中间件 微服务引擎 全局 微服务引擎云原生网关CGWuser 正常使用 微服务引擎云原生网关CGW默认使用者策略，拥有实例（不可订购、退订等生命周期管理操作）的使用权限（适用于一类节点资源池） 仅用于管理微服务引擎云原生网关（CGW）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 微服务引擎 全局 微服务引擎云原生网关CGWviewer 正常使用 微服务引擎云原生网关CGW默认查看者策略，拥有实例的只读权限（适用于一类节点资源池） 微服务引擎云原生网关（CGW）只读访问权限 容器与中间件 微服务引擎 全局 微服务引擎注册配置中心RCCadmin 正常使用 微服务引擎注册配置中心RCC默认管理者策略，拥有所有权限（适用于一类节点资源池） 微服务引擎注册配置中心（RCC）全读写访问权限 容器与中间件 微服务引擎 全局 微服务引擎注册配置中心RCCuser 正常使用 微服务引擎注册配置中心RCC默认使用者策略，拥有实例的使用权限，无订购、扩缩容、退订等管理权限（适用于一类节点资源池） 仅用于管理微服务引擎注册配置中心（RCC）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 微服务引擎 全局 微服务引擎注册配置中心RCCviewer 正常使用 微服务引擎注册配置中心RCC默认只读策略，拥有实例的所有查询权限，无编辑、删除、新增等管理权限（适用于一类节点资源池） 微服务引擎注册配置中心（RCC）只读访问权限 容器与中间件 微服务引擎 全局 微服务治理委托授权 正常使用 微服务治理委托授权 用于CtyunAssumeRoleForvpcemsgc的服务委托授权策略 容器与中间件 微服务云应用平台 全局 CtyunAssumeRolePolicyForMSAP 正常使用 用于CtyunAssumeRoleForMSAP的服务委托授权策略 用于CtyunAssumeRoleForMSAP的服务委托授权策略 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAP系统管理员 正常使用 微服务云应用平台MSAP系统管理员策略，拥有MSAP系统所有权限（适用于一类节点资源池） 微服务云应用平台（MSAP）全读写访问权限 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAP应用管理员 正常使用 微服务云应用平台MSAP系统应用管理员策略，负责与应用相关的管理员权限（适用于一类节点资源池） 微服务云应用平台（MSAP）应用管理策略，包含环境、项目模块的只读访问权限，以及应用、应用实例、应用监控、服务治理模块的全读写权限 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAP应用运维人员 正常使用 微服务云应用平台MSAP系统应用运维策略，负责与应用相关的运维权限（适用于一类节点资源池） 微服务云应用平台（MSAP）应用运维策略，包含环境、项目、应用、应用监控、服务治理模块的只读访问权限，以及应用实例模块的全读写权限 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAP资源管理员 正常使用 微服务云应用平台MSAP系统资源管理员策略，负责与环境、集群相关的管理员权限（适用于一类节点资源池） 微服务云应用平台（MSAP）资源管理策略，包含环境、项目的全读写管理权限以及应用、应用监控、服务治理的只读访问权限 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAP资源运维人员 正常使用 微服务云应用平台MSAP系统资源运维策略，负责与环境、集群相关的运维权限（适用于一类节点资源池） 微服务云应用平台（MSAP）资源运维策略，包含环境、项目、应用、应用监控、服务治理模块的只读访问权限 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAPviewer 正常使用 微服务云应用平台MSAP默认查看着策略，拥有只读权限（适用于一类节点资源池） 微服务云应用平台（MSAP）只读访问权限 容器与中间件 应用服务网格 资源池 CtyunCsmAdminTrust 正常使用 服务网格在用户委托授权后，得到的日志服务权限。 用于CtyunCsmAdminTrust的服务委托授权策略 容器与中间件 应用服务网格 资源池 CtyunCsmAdminTrust2 计划下线 获得用户委托授权后，操作VPC资源 获得用户委托授权后，操作VPC资源 容器与中间件 应用服务网格 资源池 CtyunCsmAdminTrustVpcOper 计划下线 获得用户委托授权后，操作VPC资源 获得用户委托授权后，操作VPC资源 容器与中间件 应用服务网格 全局 应用服务网格CSMadmin 正常使用 应用服务网格CSM默认管理员策略，拥有所有权限（适用于一类节点资源池） 应用服务网格（CSM）全读写访问权限 容器与中间件 应用服务网格 全局 应用服务网格CSMviewer 正常使用 应用服务网格CSM默认使用者策略，拥有实例的只读权限（适用于一类节点资源池） 应用服务网格（CSM）只读访问权限 容器与中间件 应用高可用 全局 应用高可用故障演练平台委托授权管理员权限 正常使用 应用高可用故障演练平台委托授权管理员权限 用于adtsChaosAdmin的服务委托授权策略 容器与中间件 应用高可用 全局 应用高可用委托授权管理员权限 正常使用 应用高可用委托授权管理员策略 用于adtsadmin的服务委托授权策略 容器与中间件 应用性能监控 全局 应用性能监控授权事件总线策略 正常使用 应用性能监控服务在用户委托授权后，得到的事件总线服务权限 用于apmDeliverEventbrige的服务委托授权策略 容器与中间件 应用性能监控 全局 应用性能监控与vpce委托授权策略 正常使用 应用性能监控服务在用户委托授权后，得到的vpce服务权限。 用于apmVpceAdmintrust的服务委托授权策略 容器与中间件 应用性能监控 全局 应用性能监控APMadmin 正常使用 应用性能监控APM默认管理员策略，拥有所有权限（适用于一类节点资源池） 应用性能监控（APM）全读写访问权限 容器与中间件 应用性能监控 全局 应用性能监控APMuser 正常使用 应用性能监控APM默认使用者策略，拥有产品（不可订购、退订等管理操作）的使用权限（适用于一类节点资源池） 仅用于管理应用性能监控（APM）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 应用性能监控 全局 应用性能监控APMviewer 正常使用 应用性能监控APM默认查看着策略，拥有只读权限（适用于一类节点资源池） 应用性能监控（APM）只读访问权限 容器与中间件 云工作流 全局 CtyunCloudflowDefaultDelegateRolePolicy 正常使用 云工作流(Cloudflow)的默认服务委托角色策略 用于CtyunCloudflowDefaultDelegateRole的服务委托授权策略 容器与中间件 云工作流 全局 CtyunCloudflowInlineDelegateRolePolicy 正常使用 云工作流(CloudFlow)的内联委托角色策略 用于CtyunCloudflowInlineDelegateRole的服务委托授权策略 容器与中间件 云日志服务 全局 CtyunFcReadOnlyPolicy 正常使用 只读访问函数计算（FC）服务的权限 函数计算（FC）只读访问权限 容器与中间件 云日志服务 全局 云日志服务通用委托授权策略 计划下线 云日志服务在用户委托授权后，使用该策略调用第三方服务 云日志服务在用户委托授权后，使用该策略调用第三方服务 容器与中间件 云日志服务 全局 云日志服务与ecs委托授权策略 正常使用 云日志服务在用户委托授权后，得到的ecs服务权限。 用于ltsEcsAdmintrust的服务委托授权策略 容器与中间件 云日志服务 全局 云日志服务与kafka委托授权策略 正常使用 云日志服务在用户委托授权后，得到的kafka服务权限。 用于ltsKafkaAdmintrust的服务委托授权策略 容器与中间件 云日志服务 全局 云日志服务LTSadmin 正常使用 云日志服务LTS默认管理员策略，拥有所有权限（适用于一类节点资源池） 云日志服务（LTS）全读写访问权限 容器与中间件 云日志服务 全局 云日志服务LTSviewer 正常使用 云日志服务LTS默认查看者策略，拥有日志数据的只读权限（适用于一类节点资源池） 云日志服务（LTS）只读访问权限 容器与中间件 云容器引擎 资源池 apmprometheus与it的委托授权策略 计划下线 apmprometheus服务在用户委托授权后，得到的获取it的aksk权限。 用于apmItAdmintrust的服务委托授权策略 容器与中间件 云容器引擎 全局 CCSE viewer 计划下线 作废，不可用 作废，不可用 容器与中间件 云容器引擎 全局 云容器引擎CCE admin 正常使用 云容器引擎ccse管理员策略，对容器所有资源拥有读写权限 云容器引擎（CCE）全读写访问权限 容器与中间件 云容器引擎 全局 云容器引擎CCE user 正常使用 云容器引擎ccse普通用户策略，除订单相关操作之外对其他资源拥有读写权限 仅用于管理云容器引擎（CCE）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 云容器引擎 全局 云容器引擎CCE viewer 正常使用 云容器引擎ccse只读用户策略，对容器所有资源仅拥有只读权限 云容器引擎（CCE）只读访问权限 容器与中间件 云容器引擎 全局 云容器引擎CCE服务委托策略 正常使用 云容器引擎CCE服务委托专用策略 用于cceadmintrust的服务委托授权策略 容器与中间件 云容器引擎 全局 云容器引擎CCE资源委托策略 正常使用 云容器引擎CCE资源委托专用策略 用于ecsadmintrust、ebmadmintrust的资源委托授权策略 容器与中间件 云应用引擎 全局 CtyunCAEFulPolicy 正常使用 云应用引擎(CAE)的管理员权限 云应用引擎(CAE)全读写访问权限 容器与中间件 云应用引擎 全局 CtyunCAEReadOnlyPolicy 正常使用 云应用引擎(CAE)的只读访问权限 云应用引擎(CAE)只读访问权限 容器与中间件 云应用引擎 全局 CtyunCAEReadWritePolicy 正常使用 云应用引擎(CAE)的读写访问权限 仅用于管理云应用引擎(CAE)控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 云应用引擎 全局 CtyunCAEServiceDefaultDelegateRolePolicy 正常使用 云应用引擎(CAE)的服务委托权限 用于CtyunCAEServiceDefaultDelegateRole的服务委托授权策略 容器与中间件 云应用引擎 全局 CtyunCAEServicelnlineDelegationRolePolicy 正常使用 云应用引擎(CAE)的内联委托权限 用于CtyunCAEServiceInlineDelegateRole的服务委托授权策略 容器与中间件 云原生网关 全局 云原生网关与日志委托授权策略 计划下线 云原生网关在用户委托授权后，得到的日志服务权限。 云原生网关在用户委托授权后，得到的日志服务权限。 容器与中间件 云原生网关 全局 云原生API网关AGWadmin 正常使用 云原生API网关（AGW）全读写访问权限 云原生API网关（AGW）全读写访问权限 容器与中间件 云原生网关 全局 云原生API网关AGWviewer 正常使用 云原生API网关（AGW）只读访问权限 云原生API网关（AGW）只读访问权限 容器与中间件 云原生API网关 全局 CtyunAssumeRolePolicyForAgw 正常使用 云原生网关在用户委托授权后，得到的日志、应用性能监控和ELB等服务权限。 用于CtyunAssumeRoleForAgw的服务委托授权策略 容器与中间件 云原生API网关 全局 CtyunCgwAdminTrust 正常使用 云原生网关在用户委托授权后，得到的日志和应用性能监控服务权限。 用于CtyunCgwAdminTrust的服务委托授权策略 容器与中间件 云原生API网关 全局 云原生API网关AGWuser 正常使用 仅用于管理云原生API网关（AGW）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 仅用于管理云原生API网关（AGW）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 数据库 分布式关系型数据库 全局 CtyunDRDSFullAccess 正常使用 分布式关系型数据库（DRDS）默认管理员策略。仅对一类节点生效。 分布式关系型数据库（DRDS）全读写访问权限,仅对一类节点生效。 数据库 分布式关系型数据库 全局 CtyunDRDSReadOnlyAccess 正常使用 分布式关系型数据库（DRDS）默认查看者策略。仅对一类节点生效。 分布式关系型数据库（DRDS）只读访问权限,仅对一类节点生效。 数据库 分布式关系型数据库 全局 CtyunDRDSUserAccess 正常使用 分布式关系型数据库（DRDS）默认用户策略，仅对一类节点生效。 分布式关系型数据库（DRDS）默认用户策略，支持DRDS控制台可见的主要功能的使用，但对关联RDS、分组、对弹性IP、用户、角色、用户权限、schema、序列实际新增、修改或删除权限做了限制，仅对一类节点生效。 数据库 分布式缓存 全局 CtyunServicelnlineDelegationRolePolicyCache 正常使用 分布式缓存内联委托角色策略 用于dcsadmintrust的服务委托授权策略 数据库 分布式缓存服务 全局 分布式缓存Redis admin 正常使用 【分布式缓存服务Redis】管理用户策略，对实例资源拥有管理维护权限 分布式缓存服务Redis版全读写访问权限 数据库 分布式缓存服务 全局 分布式缓存Redis user 正常使用 【分布式缓存服务Redis】使用用户策略，对实例资源拥有应用使用权限 仅用于管理分布式缓存服务Redis版控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 数据库 分布式缓存服务 全局 分布式缓存Redis viewer 正常使用 【分布式缓存服务Redis】只读用户策略，对实例资源仅拥有只读权限 分布式缓存服务Redis版只读访问权限 数据库 分布式融合数据库 全局 HTAPadmin 正常使用 分布式融合数据库HTAP产品管理员权限 分布式融合数据库（HTAP）全读写访问权限 数据库 分布式融合数据库 全局 HTAPuser 正常使用 分布式融合数据库HTAP产品普通用户权限 分布式融合数据库（HTAP）部分读写访问权限，支持实例用户密码修改、数据库创建、实例用户创建。 数据库 分布式融合数据库 全局 HTAPviewer 正常使用 分布式融合数据库HTAP产品只读用户权限 分布式融合数据库（HTAP）只读访问权限 数据库 关系数据库 全局 MySQLadmin 正常使用 自研关系数据库MySQL版 CTIAM 产品默认管理员策略 关系数据库MySQL版（MySQL）全读写访问权限 数据库 关系数据库 全局 MySQLreviewer 正常使用 自研关系数据库MySQL版 CTIAM 产品默认 浏览者 策略 关系数据库MySQL版（MySQL）只读访问权限 数据库 关系数据库 全局 MySQLuser 正常使用 自研关系数据库MySQL版 CTIAM 产品默认使用者 策略 关系数据库MySQL版（MySQL）该权限禁止用户做修改密码、重启实例、删除数据库等高权限动作，但允许用户进行其他基础操作； 数据库 关系数据库 全局 PostgreSQL只读用户 正常使用 PostgreSQL只读用户，仅支持查看实例等信息，不支持操作与修改 关系数据库PostgreSQL版（RDS POSTGRESQL）只读访问权限，支持查看实例等信息，不支持操作与修改已有实例。 数据库 关系数据库 全局 PostgreSQL普通用户 正常使用 PostgreSQL普通用户，支持部分常规实例操作权限及实例查看权限 关系数据库PostgreSQL版（RDS POSTGRESQL）部分读写访问权限，支持操作、查看已有实例。 数据库 关系数据库 全局 PostgreSQL管理员 正常使用 PostgreSQL管理员，拥有租户下全部权限 关系数据库PostgreSQL版（RDS POSTGRESQL）全读写访问权限 数据库 关系数据库 全局 RDS2 admin 正常使用 超级管理员 关系数据库MySQL版（RDS MySQL）管理员策略。该策略拥有租户下全部权限。 数据库 关系数据库 全局 RDS2 user 正常使用 普通管理员 关系数据库MySQL版（RDS MySQL）普通用户策略。该策略允许您操作、查看已有实例。 数据库 关系数据库 全局 RDS2 viewer 正常使用 只读管理员 关系数据库MySQL版（RDS MySQL）只读用户策略。该策略仅支持查看实例等信息，不支持操作与修改已有实例。 数据库 关系数据库 资源池 SQLServer admin 正常使用 SQLServer admin系统策略 关系数据库SQL Server版（RDS SQL Server）全读写访问权限 数据库 关系数据库 资源池 SQLServer viewer 正常使用 SQLServer viewer系统策略 关系数据库SQL Server版（RDS SQL Server）只读访问权限，支持查看实例等信息，不支持操作与修改已有实例。 数据库 数据传输服务 全局 DTSadmin 正常使用 DTS admin系统策略 数据传输服务（DTS）全读写访问权限 数据库 数据传输服务 全局 DTSuser 正常使用 DTS user系统策略 数据传输服务（DTS）部分读写访问权限，不包含获取分布式数据库分片信息、释放任务操作 数据库 数据传输服务 全局 DTSviewer 正常使用 DTS viewer系统策略 数据传输服务（DTS）只读访问权限 数据库 数据管理服务 全局 DMSadmin 正常使用 DMSadmin系统策略 数据管理服务（DMS）全读写访问权限。 数据库 数据库审计 全局 数据库审计安全员策略 正常使用 数据库审计安全员策略 该策略是用于数据库审计（DBA）安全管理的权限，包含配置数据库与规则、查看各类告警报告的权限 数据库 数据库审计 全局 数据库审计审计员策略 正常使用 数据库审计审计员策略 该策略是用于数据库审计（DBA）审计管理的权限，包含查看其他用户的操作日志、管理审计的权限 数据库 数据库审计 全局 数据库审计系统管理员策略 正常使用 数据库审计系统管理员策略 该策略是用于数据库审计（DBA）系统管理的权限，包含系统权限的配置和维护 数据库 数据库审计 全局 数据库审计admin策略 正常使用 数据库审计admin策略 数据库审计（DBA）全读写访问权限 数据库 文档数据库 全局 dds admin 正常使用 文档数据库服务DDS CTIAM 产品默认管理员策略 文档数据库服务（DDS）全读写访问权限 数据库 文档数据库 全局 dds user 正常使用 文档数据库服务DDS CTIAM 产品默认使用者 策略 文档数据库服务（DDS）部分读写访问权限，支持查看实例等信息，不支持禁止用户修改密码、重启实例、删除账户。 数据库 文档数据库 全局 dds viewer 正常使用 文档数据库服务DDS CTIAM 产品默认 浏览者 策略 文档数据库服务（DDS）只读访问权限 数据库 云数据库 资源池 clickhouse admin 正常使用 clickhouse admin 云数据库ClickHouse全读写访问权限 数据库 云数据库 资源池 clickhouse user 正常使用 clickhouse user 仅用于云数据库ClickHouse控制台的资源操作，但不包含创建账号、更新用户权限、重置用户密码、删除用户账号、解绑用户账号权限 数据库 云数据库 资源池 clickhouse viewer 正常使用 clickhouse viewer 云数据库ClickHouse只读访问权限 大数据 datawings 全局 datawings admin 计划下线 datawings主账号权限 datawings主账号权限 大数据 datawings 全局 datawings user 计划下线 datawings普通用户权限，仅可查询资源组，不可续订 datawings普通用户权限，仅可查询资源组，不可续订 大数据 翼MapReduce 全局 EMRLogDeliveryAccess 正常使用 MapReduce服务上报日志专属策略 用于CtyunOpenSearchLogDeliveryAccess的服务委托授权策略 大数据 翼MapReduce 全局 翼MapReduce 管理员 正常使用 具备翼MapReduce的用户管理权限 翼MapReduce读写访问权限，适用于翼MR控制台，可进行IAM同步、新建角色、编辑角色、删除角色、删除集群操作 大数据 翼MapReduce 全局 翼MapReduce 用户 正常使用 具备翼MapReduce的普通用户权限 翼MapReduce只读访问权限 大数据 云搜索服务 全局 csx admin 正常使用 云搜索服务一类节点管理者权限 云搜索服务（CSX）全读写访问权限 大数据 云搜索服务 全局 csx user 正常使用 云搜索服务一类节点使用者权限 云搜索服务（CSX）只读访问权限 大数据 云搜索服务 全局 OpenSearchLogDeliveryAccess 正常使用 云搜索服务上报日志专属策略 用于CtyunOpenSearchLogDeliveryAccess的服务委托授权策略 安全及管理 web应用防火墙 全局 ctwaf admin 正常使用 ctwaf admin策略 ctwaf admin策略 安全及管理 web应用防火墙 全局 ctwaf viewer 正常使用 ctwaf viewer策略 ctwaf viewer策略 安全及管理 安全体检 全局 安全体检查看者viewer 正常使用 安全体检（NSC）的只读权限 安全体检（NSC）只读访问权限 安全及管理 安全体检 全局 安全体检管理者admin 正常使用 安全体检（NSC）的全部权限 安全体检（NSC）全读写访问权限 安全及管理 安全专区 资源池 dszAudAdmin 正常使用 审计管理员 该策略是用于数据安全专区（DSZ）审计管理的权限，包含系统操作审计的查看与管理权限 安全及管理 安全专区 全局 数据安全专区订单业务员 正常使用 支持数据安全专区购买、续订、退订、升配、降配权限 支持数据安全专区购买、续订、退订、升配、降配权限 安全及管理 服务器安全卫士 全局 ctcsscn admin 正常使用 服务器安全卫士(admin)权限 服务器安全卫士（CTCSS）全局读写权限 安全及管理 服务器安全卫士 全局 ctcsscn viewer 正常使用 服务器安全卫士(viewer)权限 服务器安全卫士（CTCSS）只读访问权限 安全及管理 服务器安全卫士 全局 服务器安全卫士配额查看权限 正常使用 服务器安全卫士配额查看权限 服务器安全卫士（CTCSS）配额管理只读访问权限 安全及管理 服务器安全卫士 全局 服务器安全卫士配额购买续订退订升配权限 正常使用 服务器安全卫士配额购买续订退订升配权限 该策略用于服务器安全卫士（CTCSS）订购、续订、退订、变配操作权限 安全及管理 服务器安全卫士 全局 服务器安全卫士委托授权策略 正常使用 服务器安全卫士委托授权策略 服务器安全卫士（CTCSS）风险助手全读写权限 安全及管理 密钥管理 全局 kms admin 正常使用 kms admin 密钥管理（KMS）全局读写访问权限 安全及管理 密钥管理 全局 kms viewer 正常使用 kms viewer 密钥管理（KMS）只读访问权限 安全及管理 云堡垒机 全局 ctcbh admin 正常使用 云堡垒机(原生版)管理员策略 云堡垒机（CBH）全读写访问权限 安全及管理 云堡垒机 全局 ctcbh viewer 正常使用 云堡垒机(原生版)查看策略 云堡垒机（CBH）只读访问权限 安全及管理 云等保专区 全局 云等保安全体检 正常使用 用于云等保专区 安全体检 权限控制 云等保专区（CTYDB)安全体检全读写访问权限 安全及管理 云等保专区 全局 云等保堡垒机 正常使用 用于云等保专区 堡垒机 权限控制 云等保专区（CTYDB)堡垒机全读写访问权限 安全及管理 云等保专区 全局 云等保风险助手 正常使用 用于云等保专区 风险助手 权限控制 云等保专区（CTYDB)风险助手全读写访问权限 安全及管理 云等保专区 全局 云等保漏洞扫描 正常使用 用于云等保专区 漏洞扫描 权限控制 云等保专区（CTYDB)漏洞扫描全读写访问权限 安全及管理 云等保专区 全局 云等保日志审计 正常使用 用于云等保专区 日志审计 权限控制 云等保专区（CTYDB)日志审计全读写访问权限 安全及管理 云等保专区 全局 云等保商用管理员 正常使用 用于云等保专区 管理员 所有权限控制 云等保专区（CTYDB)全读写访问权限，同时包含资源下单权限 安全及管理 云等保专区 全局 云等保数据库审计 正常使用 用于云等保专区 数据库审计 权限控制 云等保专区（CTYDB)数据库审计全读写访问权限 安全及管理 云等保专区 全局 云等保下一代防火墙 正常使用 用于云等保专区 下一代防火墙 权限控制 云等保专区（CTYDB)下一代防火墙全读写访问权限 安全及管理 云等保专区 全局 云等保业务管理员 正常使用 用于云等保专区 业务管理员 权限控制 仅用于管理云等保专区（CTYDB）控制台的资源操作，但不包含新购、续订、变配、退订相关操作 安全及管理 云等保专区 全局 云等保云安全中心 正常使用 用于云等保专区 云安全中心 权限控制 云等保专区（CTYDB)云安全中心全读写访问权限 安全及管理 云等保专区 全局 云等保主机安全 正常使用 用于云等保专区 主机安全 权限控制 云等保专区（CTYDB)主机安全全读写访问权限 安全及管理 云等保专区 全局 云等保WEB应用防火墙 正常使用 用于云等保专区 WEB应用防火墙 权限控制 云等保专区（CTYDB)Web应用防火墙全读写访问权限 安全及管理 云防火墙 全局 CFW admin 正常使用 云防火墙(admin)权限 云防火墙（CFW）全读写访问权限 安全及管理 云防火墙 全局 CFW viewer 正常使用 云防火墙(viewer)权限 云防火墙（CFW）只读访问权限 安全及管理 云防火墙 全局 CFW订购 正常使用 cfw订购策略 仅用于云防火墙（CFW）订购、续订、退订、升配操作权限。 安全及管理 云监控 全局 cm admin 正常使用 云监控服务管理员权限 云监控服务（CM）全读写访问权限 安全及管理 云监控 全局 cm viewer 正常使用 云监控服务观察者权限 云监控服务（CM）只读访问的基础权限.仅可查看监控资源（包括：监控面板、资源分组、站点监控、告警服务等） 安全及管理 云监控 全局 云监控查看者（viewer） 正常使用 云监控服务（CM）只读访问权限 云监控服务（CM）只读访问权限 安全及管理 云监控 全局 云监控管理者(admin) 正常使用 云监控服务（CM）全读写访问权限 云监控服务（CM）全读写访问权限 安全及管理 云密评专区 全局 云密评专区管理者 正常使用 云密评专区管理者策略 云密评专区（CTCSZ）全读写访问权限 安全及管理 云审计 全局 cloudauditadmin 正常使用 云审计管理员 云审计（CLOUDAUDIT）全读写访问权限 安全及管理 云审计 全局 cloudauditauditor 正常使用 云审计（CLOUDAUDIT）只读访问权限 云审计（CLOUDAUDIT）只读访问权限 安全及管理 云审计 全局 cloudauditviewer 正常使用 云审计普通用户策略 云审计（CLOUDAUDIT）只读访问权限 安全及管理 云审计 全局 lasadmin 正常使用 日志审计（LAS）全读写访问权限 日志审计（LAS）全读写访问权限 安全及管理 云审计 全局 lasbusiness 正常使用 日志审计 业务管理员 权限 该策略是用于日志审计（LAS）业务管理的权限，包含登录管理实例的权限，但是无法再进行订购、续订等订单操作 安全及管理 云审计 全局 数据库审计业务管理员策略 正常使用 数据库审计业务管理员策略 该策略是用于数据库审计（DBA）业务管理的权限，包含登录管理实例的权限，但是无法再进行订购、续订等订单操作 安全与管理 web应用防火墙 全局 ctwaf monitor 正常使用 ctwaf运营人员策略 ctwaf运营人员策略 安全与管理 故障演练 全局 CtyunAssumeRolePolicyForADTSChaos 正常使用 故障演练服务管理员权限 故障演练服务管理员权限 安全与管理 故障演练 全局 演练观察员 正常使用 拥有故障演练服务查看权限 拥有故障演练服务查看权限 安全与管理 故障演练 全局 演练管理员 正常使用 拥有故障演练服务演练任务管理权限 拥有故障演练服务演练任务管理权限 安全与管理 故障演练 全局 演练系统管理员 正常使用 拥有故障演练服务所有功能读写权限 拥有故障演练服务所有功能读写权限 安全与管理 日志审计 全局 lasaudit 正常使用 审计管理员 该策略是用于日志审计（LAS）审计管理的权限，包含首页，资产管理，日志审计，风险分析事件策略、报表管理，操作日志的菜单权限 安全与管理 日志审计 全局 lassecurity 正常使用 安全管理员 该策略是用于日志审计（LAS）安全管理的权限，包含首页，资产管理，日志审计，风险分析，风险处置的菜单权限 安全与管理 数据安全专区 资源池 dszApproveAdmin 正常使用 审批管理员 该策略是用于数据安全专区（DSZ）审批管理的权限，包含任务查询与审核权限 安全与管理 数据安全专区 资源池 dszAuthAdmin 正常使用 权限管理员 该策略是用于数据安全专区（DSZ）权限管理的权限，包含权限增删改查权限等操作 安全与管理 数据安全专区 资源池 dszSecAdmin 正常使用 安全管理员 该策略是用于数据安全专区（DSZ）安全管理的权限，包含任务管理、资源管理、数据源管理等权限 安全与管理 数据安全专区 资源池 dszSysAdmin 正常使用 系统管理员 该策略是用于数据安全专区（DSZ）系统管理的权限，包含安全设置、用户管理、系统管理、插件管理等权限 安全与管理 云等保专区 全局 云等保数据分类分级 正常使用 云等保专区（CTYDB)数据分类分级读写访问权限 云等保专区（CTYDB)数据分类分级读写访问权限 安全与管理 云等保专区 全局 云等保数据脱敏与水印 正常使用 云等保专区（CTYDB)数据脱敏与水印读写访问权限 云等保专区（CTYDB)数据脱敏与水印读写访问权限 安全与管理 云密评专区 全局 云密评专区查看者 正常使用 云密评专区查看者策略 云密评专区（CTCSZ）只读访问权限 安全与管理 云日志服务 全局 云日志服务与ebm委托授权策略 正常使用 云日志服务在用户委托授权后，得到的ebm服务权限。 用于ltsEbmAdmintrust的服务委托授权策略 安全与管理 智算安全专区 资源池 aisec admin 正常使用 本策略定义了智算安全专区的管理员权限（全部权限） 本策略定义了智算安全专区的管理员权限（全部权限） 安全与管理 智算安全专区 资源池 aisec user 正常使用 本策略定义了智算安全专区的使用者权限（普通操作） 本策略定义了智算安全专区的使用者权限（普通操作） 安全与管理 智算安全专区 资源池 aisec viewer 正常使用 本策略定义了智算安全专区的查看者权限（可读访问） 本策略定义了智算安全专区的查看者权限（可读访问） 企业应用 证书 全局 ccms admin 正常使用 ccms admin策略 证书管理服务(CCMS)全读写访问权限 企业应用 证书 全局 ccms viewer 正常使用 ccms viewer策略 证书管理服务(CCMS)只读访问权限 迁移与管理 资源编排 全局 ros admin 正常使用 ros管理者权限 资源编排（ROS）全读写访问权限 迁移与管理 资源编排 全局 ros no execute 正常使用 排除 资源栈/执行计划部署+资源栈删除+取消部署权限 资源编排（ROS）部分读写访问权限，不包含资源栈/执行计划部署、资源栈删除、取消部署权限 迁移与管理 资源编排 全局 ros viewer 正常使用 ros观察者权限 资源编排（ROS）只读访问权限 视频 AOne 全局 aonemeeting console admin 正常使用 AOne会议控制台管理员权限 AOne会议控制台全读写访问权限 视频 AOne 全局 aonemeeting console viewer 正常使用 AOne会议控制台观察者权限 AOne会议控制台只读访问权限 视频 媒体存储 全局 媒体存储产品侧授权 正常使用 媒体存储产品侧授权 媒体存储（CTXStor）产品主子账号功能的虚拟策略。配置本策略则开启媒体存储主子账号功能，删除本策略则关闭主子账号功能。 视频 视频直播 全局 ctlvdn admin 正常使用 直播控制台管理者权限 直播控制台全读写访问权限，涵盖视频直播域名添加、业务配置、运维、查询及子账号管理全部操作能力 视频 视频直播 全局 ctlvdn viewer 正常使用 直播控制台观察者权限 直播控制台只读权限，可浏览查询视频直播业务数据与配置状态，无任何编辑修改操作权限 视频 云点播 全局 云点播产品侧授权 正常使用 云点播产品侧授权 云点播（CTXVOD）产品主子账号功能的虚拟策略。配置本策略则开启云点播主子账号功能，删除本策略则关闭主子账号功能 其他 标签 全局 CtyunLABELFullAccess 正常使用 管理标签（LABEL）的全部权限 标签服务（LABEL）全读写访问权限，适用于资源标签管理，可创建、编辑、删除标签和解绑/绑定资源 其他 标签 全局 CtyunLABELReadOnlyAccess 正常使用 只读访问标签（LABEL）的权限 标签服务（LABEL）只读访问权限，适用于资源标签查询，可查看标签列表、标签详情和标签绑定资源信息 其他 订单 全局 CtyunOrderAdmin 正常使用 天翼云订单类全量操作权限（包含一类、二类资源池节点） 费用中心全读写访问权限，适用于费用中心订单管理和资源列表查询，可管理我的订单、待支付订单、续订订单、退订订单，以及查看资源视图的资源列表 其他 订单 全局 CtyunOrderViewer 正常使用 天翼云订单类查询权限（包含一类、二类资源池节点） 费用中心只读访问权限，适用于费用中心订单和云资源列表，可查看我的订单、待支付订单、续订订单、退订订单，以及资源视图的资源列表 其他 活动与券 全局 mkt admin 正常使用 优惠券 管理者权限 卡券管理全读写访问权限 其他 客服工单 全局 工单及客户支持计划管理策略 正常使用 客服系统可读可写 工单及客户支持计划可读可写 其他 客服工单 全局 工单及客户支持计划只读策略 正常使用 客服系统只允许查看角色 工单及客户支持计划只读 其他 企业组织 全局 CtyunOrgAdmin 正常使用 天翼云企业组织信息管理权限 企业中心全读写访问权限，可查看并操作组织管理、组织策略管理、财务管理、资源管理相关功能 其他 企业组织 全局 CtyunOrgViewer 正常使用 企业中心只读访问权限，可查看组织管理、组织策略管理、财务管理、资源管理相关信息 企业中心只读访问权限，可查看组织管理、组织策略管理、财务管理、资源管理相关信息 其他 通用 全局 cust admin 正常使用 云网账号管理员权限，包含对合同、标签、收货地址的管理权限 天翼云账号部分读写访问权限，适用于合同管理、账号中心地址管理、标签管理 其他 通用 资源池 Iaas产品无企业项目属性 正常使用 无企业项目属性资源Iaas（权限集合） 无企业项目属性的Iaas基础资源管理权限，包含了不支持企业项目的IaaS资源管理权限，用于管理镜像、弹性负载均衡、VPC网络、安全组、弹性云服务器、弹性公网IP、文件存储等资源的查看及管理 其他 统一身份认证 全局 ctiam admin 正常使用 统一身份认证管理员权限 统一身份认证服务（IAM）全读写访问权限 其他 统一身份认证 全局 ctiam viewer 正常使用 统一身份认证观察者权限 统一身份认证服务（IAM）只读访问权限 其他 消息管理 全局 msg admin 正常使用 消息中心管理员权限 消息中心全读写访问权限 其他 业务 全局 CtyunBssAdmin 正常使用 天翼云订单、合同、标签、客户信息管理全量操作权限（包含一类、二类资源池节点） 费用中心全读写权限，适用于费用中心订单管理、合同管理、客户信息管理、和资源列表查询，以及资源标签的查询、绑定和解绑 其他 云市场 全局 CtyunMarketFullAccess 正常使用 云市场管理员权限 云市场（Market）全读写访问权限 其他 云市场 全局 CtyunMarketReadOnlyAccess 正常使用 云市场只读权限 云市场（Market）只读访问权限 其他 云通信 全局 SMS admin 正常使用 拥有云通信主账号的所有权限 云通信（SMS）全读写访问权限 其他 云通信 全局 SMS viewer 正常使用 拥有云通信控制台的只读权限 云通信（SMS）控制台只读访问权限 其他 账务 全局 CtyunAcctAdmin 正常使用 天翼云账务类（如成本、账单、发票等）全量操作权限（包含一类、二类资源池节点） 费用中心账务类读写权限，适用于费用中心资金管理、账单管理、发票管理、成本管理，可操作余额充值、提现、账单查询、发票申请等 专属云与混合云 专属云 资源池 ctdss admin 正常使用 ctdss admin 专属云（存储独享型）（DSS）全读写访问权限 专属云与混合云 专属云 资源池 ctdss viewer 正常使用 ctdss viewer 专属云（存储独享型）（DSS）只读访问权限

负载均衡器可以跨资源节点关联后端云主机么？ 共享型负载均衡不支持跨资源节点关联后端云主机。 独享型负载均衡器支持跨资源节点、跨VPC添加后端云主机。 公网负载均衡的后端云主机要不要绑定EIP？ 负载均衡实例都是通过私网转发访问请求，不需要后端云主机绑定EIP。 如何检查后端云主机网络状态？ 确认虚拟机主网卡已经正确分配到IP地址。 登录云主机内部。 执行ifconfig命令或ip address查看网卡的IP信息。 说明 Windows云主机可以在命令行中执行ipconfig查看。 从云主机内部ping所在子网的网关，确认基本通信功能是否正常。 通常网关地址结尾为.1，可以在VPC详情页面中确认，切换“子网”页签，查看“网关”列，显示网关地址。 执行ping命令，观察能否ping通即可。若无法ping通网关则需首先排查二三层网络问题。 如何检查后端云主机网络配置？ 确认云主机使用的网卡安全组配置是否正确。 在弹性云主机详情页面查看网卡使用的安全组。 检查安全组规则是否放通了对应的网段： 对于独享型负载均衡，检查后端云主机所在的安全组入方向是否放通ELB所在VPC的网段。如果没有放通，请在安全组入方向规则中添加ELB所在VPC网段。 对于共享型负载均衡，检查客户后端服务安全组入方向是否放通了100.125.0.0/16网段。如果没有放行，请添加100.125.0.0/16网段的入方向规则。 注意 共享型实例四层监听器开启“获取客户端IP”功能后，后端云主机的安全组规则和网络ACL规则均无需放通100.125.0.0/16网段及客户端IP地址。 独享型实例四层监听器未开启“跨VPC后端”功能时，后端云主机安全组规则和网络ACL规则均无需放通ELB后端子网所在的VPC网段。 确认云主机使用网卡子网的网络ACL不会对流量进行拦截。 在虚拟私有云页面左侧导航栏，单击“网络ACL”，确认涉及的子网已放通。

简介 操作场景 VPC终端节点支持同一区域云资源的跨VPC通信。 不同VPC内的云资源互相隔离，不支持通过私网IP访问。通过VPC终端节点，您可以使用私有IP地址在两个VPC之间进行通信，就像两个VPC在同一个网络中一样。 这两个VPC既可以属于同一帐号，也可以属于不同帐号，本章节以“同一帐号”的跨VPC通信为例进行介绍。 例如，VPC1和VPC2属于同一帐号，为VPC1创建终端节点，并将VPC2中待访问的后端资源ELB创建为终端节点服务，实现VPC1的ECS通过私网IP访问VPC2的ELB，如下图所示。 图 跨VPC通信的终端节点 说明 如图所示，仅支持终端节点到终端节点服务所在后端资源的单向访问。 若两个VPC属于不同帐号，请参考2.3 配置跨VPC通信的终端节点（不同帐号）。 操作流程 配置同一帐号下的跨VPC通信，具体操作流程如下图所示。 图 操作流程 步骤一：创建终端节点服务 操作场景 为实现跨VPC通信，您需要将VPC内的云资源（即后端资源）创建为终端节点服务，以便于同一区域其他VPC的终端节点通过私网IP访问该终端节点服务。 本节以“弹性负载均衡”作为后端资源为例，指导您创建终端节点服务。

开启防护后，云防火墙默认放行所有流量，配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控，防止内部威胁扩散，增加安全战略纵深。 访问控制策略类型 访问控制策略分为“防护规则”和“黑/白名单”两类功能，区别如下表所示，流量命中某一条策略时，执行该策略的动作，各功能的防护顺序请参见“云防火墙的防护顺序是什么”。 防护规则和黑/白名单的区别如下： 类型 支持的防护对象 网络类型 防护后的动作 应用场景&特点 配置方式 防护规则 五元组 IP地址组 地理位置（地域） 域名和域名组 公网IP 私网IP 设置为“阻断”：流量直接拦截。 设置为“放行”：流量被“防护规则”功能放行后，再经过入侵防御（IPS） 功能检测。 通过具体的特征识别指定流量，适用于需要精细化控制特定流量的情况；例如通过协议类型、端口号、应用等特征配置规则。 通过添加防护规则拦截/放行流量 黑名单 五元组 IP地址组 公网IP 私网IP 直接拦截流量。 快速拦截已识别的安全威胁，适用于已知恶意流量数据的情况。 通过添加黑白名单拦截/放行流量 白名单 五元组 IP地址组 公网IP 私网IP 流量被云防火墙放行，不再经过其它功能检测。 快速放行可信流量，适用于明确可信IP地址的情况。 通过添加黑白名单拦截/放行流量

本文为您提供指向VPC内弹性云主机的对等连接的配置指导。 操作场景 如果要在具有重叠网段的多个VPC之间创建对等连接，并确保路由正确转发，建议根据组网要求缩小对等连接的范围，例如配置不同弹性云主机之间的对等连接。您可以根据需要在不同VPC内的特定弹性云主机之间建立对等连接，而不是直接使用网段来配置路由。这样可以避免路由冲突和不正确的转发。 约束与限制 每个对等连接支持的本端路由数和对端路由数均为100条。如果您计划建立多个VPC之间的对等连接，请考虑这一限制，在规划组网时做出相应调整。 系统路由为系统默认创建，用于VPC内部通信，您不能修改系统路由。您在默认路由表或者自定义路由表中手动创建的路由规则称为自定义路由。同一张路由表下，自定义路由规则之间的目的网段不能相同；自定义路由规则和系统路由规则目的相同时，系统路由规则优先级低于自定义路由规则，默认优先匹配自定义路由规则。要了解更多关于路由表的信息，请参考路由表概述。 配置一个中心VPC的云主机与两个VPC的云主机对等 在一个拥有中心VPC和其他两个VPC的场景中，其中两个VPC之间存在网段及子网重叠，并且希望实现其他两个VPC与中心VPC之间的资源互访，而其他两个VPC之间需要保持隔离。 为了避免中心VPC内出现路由冲突，可以采用以下方案：缩小对等连接范围，创建不同VPC内的弹性云主机之间的对等连接，确保有效避免路由冲突问题，并确保正确的转发。

本章节介绍如何通过弹性云主机通过内网连接数据库实例。 准备工作 步骤1. 准备弹性云主机 通过内网连接关系型数据库实例，您需要创建一台弹性云主机。 创建并连接弹性云主机。 该弹性云主机与目标实例必须处于同一VPC、子网内。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为默认安全 组 ， 则无需设置安全组规则。 如果目标实例所属安全组 非默认安全组 ，请查看安全组规则是否允许该弹性云主机访问。 （1）登录管理控制台。 （2）单击管理控制台左上角的，选择区域和项目。 （3）选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 （4）在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 （5）在“连接信息”模块的“内网安全组”处，单击安全组名称，进入安全组页面，查看安全组规则。 如果安全组规则允许弹性云主机访问，即可连接实例。 如果安全组规则不允许弹性云主机访问，则需添加安全组规则 步骤2 安装MicrosoftSQLServer客户端 在步骤1 中的弹性云主机或可访问关系型数据库实例的设备上，安装Microsoft SQL Server客户端。 普通连接 步骤1 登录弹性云主机或可访问关系型数据库实例的设备。 步骤2 启动SQLServerManagementStudio客户端。 步骤3 选择“连接 > 数据库引擎”，在“连接到服务器”弹出框中输入登录信息。 图 连接到服务器 “服务器名称”是目标实例的主机IP和数据库端口（IP和数据库端口之间请使用英文半角逗号）。例如：x.x.x.x,8080 主机IP为“基本信息”页签中，“连接信息”模块的“内网地址”。 端口为“基本信息”页签中，“连接信息”模块的“数据库端口”。 “身份验证”是认证方式，选择“SQLServer身份验证”。 “登录名”即待访问的关系型数据库帐号，默认管理员帐号为rdsuser。 “密码”即待访问的数据库帐号对应的密码。 步骤4 单击“连接”，连接实例。 若连接失败，请确保各项准备工作正确配置后，重新尝试连接。

本文为您介绍如何使用虚拟IP和keepalived搭建主备双机,实现业务高可用。 虚拟IP（VIP）主要用于弹性云服务器的主备切换，达到高可用性的目的。如果主ECS实例发生故障，备用ECS实例会自动调用自身的接管程序，接管主ECS实例的虚拟IP资源及服务，实现业务高可用。 前提准备 实例镜像及vm实例已创建且能登录互通。 配置步骤 本场景整体操作流程如下： 步骤一：创建虚拟IP 虚拟IP是一种可以独立创建和释放的私网IP资源。弹性云服务器绑定虚拟IP后，弹性云服务器可以通过使用ARP协议进行该IP的宣告。 本文以可用区资源池华东1为例： 1、登录管理控制台。 2、选择“服务列表 > 网络 > 虚拟私有云”。 3、在左侧导航栏选择“子网”。 4、在“子网”列表中，单击子网名称。 5、在“虚拟IP”页签中，单击“申请虚拟IP地址”，根据界面提示配置参数。 步骤二：申请所需云资源 1、登录管理控制台。 2、选择“服务列表 > 计算 > 弹性云主机”，购买弹性云服务器。 3、选择“服务列表 > 网络 > 弹性IP”申请EIP（根据是否有访问公网业务需求来购买）。 步骤三：在主备弹性云服务器上安装keepalived 本示例介绍如何部署keepalived 和nginx进程。 1、登录ECS1实例。具体操作，请参见弹性云主机。 2、在portnouqagnspx 所在的实例中启动keepalived服务。 > 2.1 安装keepalived > yum install y keepalived > 2.2 修改配置文件，并启动服务。 > 1. vi /etc/keepalived/keepalived.conf > 2. 清除文件内容 > 3. 每个server填入各自配置 server1： ! Configuration File for keepalived globaldefs { routerid myrouter vrrpgarpinterval 3 vrrpgnainterval 3 } vrrpinstance VI1 {

参数 说明 区域集群 集群所在的区域。 硬件配置 集群所有节点MASTER、CORE、TASK（如有）的硬件信息。 企业项目 集群所属的企业项目。 虚拟私有云（VPC） 集群所使用的虚拟私有云（VPC），单击 复制VPC ID，单击内容可以跳转并查看该VPC详细信息。 安全组 集群所使用的安全组，单击 复制安全组ID，单击内容可以跳转并查看安全组详细信息。支持安全组切换能力。 子网 集群所使用的子网，单击 复制子网ID，单击内容可以跳转并查看子网详细信息。 操作系统 集群所用的操作系统。 主机类型 集群所用主机的类型。 CPU类型 集群所用主机的CPU类型。 IPv6访问 V2.15版本起，支持展示集群是否开启IPv6访问能力。

稳定可靠的高可用架构 多资源池分散部署，异地容灾机制安全可靠；运营商级带宽扩容能力，可支持高并发业务接入防护；采用集群+冗余高可用模式，消除单点故障；全面满足各场景下的高可用需求。 满足等保合规要求 与云原生安全产品深度融合，针对云上云下资产，形成纵深防护体系以及融合防护视角，支持ELB/ALB/ECS等云产品一键接入，与证书管理服务、云安全中心、云防火墙（原生版）等原生安全产品协同联动，一站式完成云上安全统一监控和管理，助力企业安全合规建设；深度兼容IPv6双栈协议，满足等保2.0、GDPR等国内外合规要求，针对政务、金融等强监管行业，提供数据本地化、审计日志隔离存储等专项方案，助力客户通过安全审查与合规验收。

本文汇总了使用对等连接产品时常见的问题。 对等连接是否收费？ 对等连接免费提供服务。如果您在使用对等连接的同时使用了云主机、弹性IP等其他云产品，需要按照各云产品的计费规则支付费用，具体请详见各产品的计费说明；例如：弹性云主机计费规则请参考 计费项及其计费方式。 为什么对等连接建立成功，但两端VPC仍然不能正常通信？ 请按以下步骤进行故障排除： 1. 检查对等连接的两个VPC是否已创建对等连接，主要检查对等连接的VPC ID。 2. 检查对等连接下的两个VPC是否都已添加到对端的路由信息。 3. 检查对等连接下的路由信息是否正确，当两个VPC网段重叠时，要配置对端子网的路由。 4. 检查对等连接的两个VPC的所有子网网段，是否有重叠的。 5. 检查对等连接两端要互通的弹性云主机是否开放了安全组规则，弹性云主机的iptables或防火墙是否加了限制规则。 6. 如果添加对等连接路由时，报错“路由已存在”，请检查：对等连接等路由的目的地址是否已存在。 7. 对等连接的路由目的地址有重叠，此时路由有可能失效。 8. 如果以上问题均已排除，请联系客服。 每个用户可申请多少个对等连接？ 在默认情况下，每个用户每个资源池最多可拥有50个对等连接，如果您有更多数量的对等连接的需求，可以提工单申请扩大配额。除了对等连接数量限制外，对等连接还有本端路由和对端路由数量的限制，即每个对等连接可创建本端路由数量限制 100 条，每个对等连接可创建对端路由数量限制 100 条。

本文汇总了使用对等连接产品时常见的问题。 对等连接是否收费？ 对等连接免费提供服务。如果您在使用对等连接的同时使用了云主机、弹性IP等其他云产品，需要按照各云产品的计费规则支付费用，具体请详见各产品的计费说明；例如：弹性云主机计费规则请参考 计费项及其计费方式。 为什么对等连接建立成功，但两端VPC仍然不能正常通信？ 请按以下步骤进行故障排除： 1. 检查对等连接的两个VPC是否已创建对等连接，主要检查对等连接的VPC ID。 2. 检查对等连接下的两个VPC是否都已添加到对端的路由信息。 3. 检查对等连接下的路由信息是否正确，当两个VPC网段重叠时，要配置对端子网的路由。 4. 检查对等连接的两个VPC的所有子网网段，是否有重叠的。 5. 检查对等连接两端要互通的弹性云主机是否开放了安全组规则，弹性云主机的iptables或防火墙是否加了限制规则。 6. 如果添加对等连接路由时，报错“路由已存在”，请检查：对等连接等路由的目的地址是否已存在。 7. 对等连接的路由目的地址有重叠，此时路由有可能失效。 8. 如果以上问题均已排除，请联系客服。 每个用户可申请多少个对等连接？ 在默认情况下，每个用户每个资源池最多可拥有50个对等连接，如果您有更多数量的对等连接的需求，可以提工单申请扩大配额。除了对等连接数量限制外，对等连接还有本端路由和对端路由数量的限制，即每个对等连接可创建本端路由数量限制 100 条，每个对等连接可创建对端路由数量限制 100 条。

本文主要介绍如何添加或移除后端云主机(独享型) 在使用负载均衡服务时，确保至少有一台后端云主机在正常运行，可以接收负载均衡转发的客户端请求。如果请求的需求流量上升，用户需要向负载均衡器添加更多后端云主机处理需求。 移除负载均衡器绑定的后端云主机，后端云主机将不再收到负载均衡器转发的需求，但不会对云主机本身产生任何影响，只是解除了后端主机和负载均衡器的关联关系。您可以在业务增长或者需要增强可靠性时再次将它添加至后端云主机组中。 若要使用跨VPC后端功能，请先正确配置VPC路由，确保后端可达。跨VPC后端支持添加通过以VPC对等连接、VPN连接与专线连接互通的后端云主机。 添加后端云主机 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要添加后端云主机的负载均衡名称。 5. 切换到“后端主机组”页签，单击目标后端主机组名称。 6. 单击右侧页面中的“添加云主机”、“添加跨VPC后端”。 7. 根据需要添加的后端类型选择相应的操作。 添加普通后端：在“添加云主机”界面选择后端云主机所在的子网，勾选需要添加的后端云主机，并选择“私网IP地址”，然后单击下一步，设置后端端口和云主机的权重，单击“完成”，完成添加。 添加跨VPC后端：在“添加跨VPC后端”界面设置业务端口和云主机的权重等配置，单击“确定”，完成添加。

本节介绍了公网IP相关问题与处理方法。 场景排查 1. 检查安全组规则。 2. 检查“ 网络ACL”规则。 3. 相同区域主机进行ping测试。 解决方案 1. 检查安全组规则。 登录管理控制台。 单击管理控制台右上角的，选择Region。 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在“网络信息”模块的“内网安全组”处，单击安全组名称，进入安全组页面。 检查弹性云主机网卡对应的安全组是否放通了“入方向”的“ICMP”规则。 表 安全组规则 放向 类型 协议和端口 原地址 入方向 IPv4 Any：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 入方向 IPv4 ICMP：Any 0.0.0.0/00.0.0.0/0表示所有IP地址 2. 检查“ 网络ACL”规则。 排查“网络ACL”是否放通。查看“网络ACL”状态，查看当前是开启状态还是关闭状态。 检查“弹性IP”绑定的网卡是否在“网络ACL”关联的子网下。 若“网络ACL”为“开启”状态，需要添加ICMP放通规则进行流量放通。 说明 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 3. 相同区域主机进行ping测试。 在相同区域的弹性云主机去ping没有ping通的弹性公网IP，如果可以正常ping通说明虚拟网络正常，请联系客服获取技术支持。

内网是否需要做等级测评？ 需要。所有非涉密系统都属于等级保护范畴，和系统在外网还是内网没有关系。 而且，在内网的系统往往其网络安全技术措施相对薄弱，甚至不少系统长期“带病运行”，对等级测评的需求同样甚至更加紧迫。 等级保护测评多久做一次？ 根据《网络安全等级保护条例》（征求意见稿）第二十三条规定：第三级以上网络的运营者应当每年开展一次网络安全等级测评。二级信息系统建议每两年开展一次测评，部分行业是明确要求每两年开展一次测评。 如何选择等级保护备案所在地？ 建议根据被测评业务系统的经营主体与法人注册地优先向当地公安网警（公共信息网络安全监察局）备案并找本地测评机构测评。或可选择IT运维团队所在地进行备案与测评。与业务系统在云上的资源物理节点的地点无关。 系统在云上，还要做等保吗？ 要做。业务上云有多种情况，如在公有云、私有云、专有云等不同属性的云上，并采用IaaS、PaaS、SaaS、IDC托管等不同服务，虽然安全责任边界发生了变化，但网络运营者的安全责任不会转移。 因此，根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则，应承担网络安全责任进行等级保护工作。