457 [前端]优化实例监控展示逻辑，支持更细粒度（如1小时等）查看监控，提升准确性。详见：实例计算/存储节点监控。 473 优化租户权限配置策略，实现精细化的权限控制。 481 [DBProxy]优化扩容节点时新增节点版本获取逻辑，使各节点扩容前后版本一致。 513 优化实例防火墙白名单更新策略，提升运维效率，该优化对公有云租户端不可见。 516 [管理平台]优化企业项目权限分配逻辑，精细化权限控制，该优化公有云租户端不可见。 551 优化查询执行计划的接口的传输加密策略，提升安全性，该优化租户端不可见。 问题修复 302 [GiServer]修复索引重建时出现的重复任务名称问题。 358 修复相关社区新增安全风险。 365、366 [DBProxy]修复控制台执行类似sharding @@table name'' set type' single ' 的语句，任务执行失败后无法回滚问题。 383 [DBProxy]修复在加密表中，执行INSERT操作失败问题。 400 [DBProxy]修复新创建的表名称与回收站中存在的表名称相同，导致无法通过udal show ddlJob where taskidxx命令查看建表任务进度问题。 432 [DBProxy]修复DBProxy侧执行DDL语句时，由于未设置超时时间，导致底层MySQL连接一直持续，执行的DDL语句卡住问题。

创建实例时开启SASLSSL访问，则数据加密传输，安全性更高。 由于安全问题，支持的加密套件为TLSECDHEECDSAWITHAES128CBCSHA256，TLSECDHERSAWITHAES128CBCSHA256和TLSECDHERSAWITHAES128GCMSHA256。 本节介绍如何使用开源的Kafka客户端访问开启SASL的Kafka专享实例的方法。 说明： 使用SASL方式连接Kafka实例时，为了客户端能够快速解析实例的Broker，建议在客户端所在主机的“/etc/hosts”文件中配置host和IP的映射关系。 其中，IP地址必须为实例连接地址（Broker地址），host为每个实例主机的名称（您可以自定义主机的名称，但不能重复）。 例如： 10.154.48.120 server01 10.154.48.121 server02 10.154.48.122 server03 前提条件 已配置正确的安全组。 访问开启SASL的Kafka专享实例时，支持VPC内访问。实例需要配置正确的安全组规则，具体安全组配置要求，请参考表32。 已获取连接Kafka专享版实例的地址。 使用VPC内访问，实例端口为9093，实例连接地址获取如下图。 获取VPC内访问Kafka专享实例的连接地址（实例已开启SASL） Kafka专享实例已创建Topic，否则请提前创建Topic。 已下载client.truststore.jks证书。如果没有，在控制台单击Kafka实例名称，进入实例详情页面，在“基本信息 > 高级配置 > Kafka SASLSSL”所在行，单击 。下载压缩包后解压，获取压缩包中的客户端证书文件：client.truststore.jks。 已下载Kafka命令行工具1.1.0版本或者Kafka命令行工具2.3.0版本，确保Kafka实例版本与命令行工具版本相同。 已在Kafka命令行工具的使用环境中安装Java Development Kit 1.8.111或以上版本，并完成环境变量配置。 命令行模式连接实例 以下操作命令以Linux系统为例进行说明。 解压Kafka命令行工具。 进入文件压缩包所在目录，然后执行以下命令解压文件。 tar zxf [kafkatar] 其中，[kafkatar]表示命令行工具的压缩包名称。 例如： tar zxf kafka2.111.1.0.tgz 修改Kafka命令行工具配置文件。 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 sasl.jaas.configorg.apache.kafka.common.security.plain.PlainLoginModule required username"" password""; sasl.mechanismPLAIN security.protocolSASLSSL ssl.truststore.location/opt/kafka2.111.1.0/config/client.truststore.jks ssl.truststore.passworddms@kafka ssl.endpoint.identification.algorithm 参数说明： username和password为创建Kafka专享实例过程中开启SASLSSL时填入的用户名和密码。 ssl.trustore.location配置为client.truststore.jks证书的存放路径。注意，Windows系统下证书路径中也必须使用“/”，不能使用Windows系统中拷贝路径时的“”，否则客户端获取证书失败。 ssl.truststore.password为服务器证书密码，不可更改，需要保持为dms@kafka。 ssl.endpoint.identification.algorithm为证书域名校验开关，为空则表示关闭。这里需要保持关闭状态，必须设置为空。 进入Kafka命令行工具的“/bin”目录下。 注意，Windows系统下需要进入“/bin/windows”目录下。 执行如下命令进行生产消息。 ./kafkaconsoleproducer.sh brokerlist ${连接地址} topic ${Topic名称} producer.config ../config/producer.properties 参数说明如下： 连接地址：从前提条件获取的连接地址。 Topic名称：Kafka实例下创建的Topic名称。 如下示例，Kafka实例连接地址为“10.xxx.xxx.202:9093,10.xxx.xxx.197:9093,10.xxx.xxx.68:9093”。 执行完命令后，输入需要生产的消息内容，按“Enter”发送消息到Kafka实例，输入的每一行内容都将作为一条消息发送到Kafka实例。 [root@ecskafka bin]

本节介绍了专属云（存储独享型）的应用场景。 适用于高性能、高可靠应用场景，例如企业应用、大型开发测试环境、部署分布式文件系统和数据库应用等。专属云（存储独享型）可支持的三种应用场景如下： 有高性能、数据安全和业务稳定需求的场景 可对接专属云中的弹性云主机、物理机等计算服务，适用于有高性能、稳定性以及数据安全和监管的业务诉求的场景。 产品优势： 1、高性能—搭配计算专属云，满足用户高性能需求 2、安全可靠—实现存储物理隔离，保证数据安全和业务稳定 3、高带宽—独享存储带宽，满足高性能场景带宽需求 有混合负载需求的场景 专属云（存储独享型）服务支持多并发、高带宽应用场景，可同时支持数据库、Email、OA办公、Web等多个应用混合部署。 产品优势： 1、高性能—专属存储为用户提供高IOPS，满足混合负载场景的应用需求 2、高带宽—独享存储带宽，满足高带宽需求 3、灵活扩展—支持存储资源灵活扩展，满足业务增长需求 OLAP应用场景 数据分析型应用场景，专属云支持集群应用部署，如RAC、DB2 、SAP HANA等。

本节主要介绍移除企业项目关联的用户组 操作场景 当企业业务发生变化，原用户组不再拥有企业项目的使用权限时，可将这些用户组与该企业项目的关联关系删除。 可进行单个删除和批量删除。 当用户组与企业项目的关联关系被删除后，该用户组用户将无法管理该企业项目，如需再次使用，需要重新给该用户组关联企业项目。 操作步骤 步骤 1 企业管理员登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 3 在企业项目管理页面，单击待查看的企业项目名称。 步骤 4 系统进入企业项目详情页面，在“权限管理”页签中单击“用户组授权”。 步骤 5 系统将跳转至IAM用户组页面，在“用户组”列表单击用户组名称进入用户组详情页面。 步骤 6 在“授权记录”页签中单击“企业项目视图”，选择授权主体类型为“用户组”，选择待删除关联关系的企业项目，单击右侧操作列的“ 删除”。 如需批量删除用户组关联的企业项目，可在列表中勾选多个企业项目，单击列表上方的“删除”按钮。 步骤 7 在弹出的对话框中单击“是”，完成用户组关联的企业项目授权删除。

本节主要介绍如何查看资产信息。 操作场景 在资产管理页面，可以查看资产的名称、类型、防护状态等信息。 前提条件 已完成资产订阅。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“资产管理 > 资产管理”，进入资产管理页面。 5. （可选）首次查看需要设置资产订阅，如果已订阅，请跳过该步骤。 态势感知（专业版）只有在开启资产订阅设置的工作空间才能同步资产相关信息。订阅后，资产信息将在每天自动晚上进行更新。 说明 仅支持订阅和同步云上资产。同时，不建议同一个区域的资产订阅至多个工作空间。 1. 在资产管理页面中，单击页面右上角“资产订阅设置”，右侧弹出订阅资产设置页面。 2. 在订阅资产设置页面中，在需要订阅资产所在的region所在行“是否开通”列开启订阅。 3. 单击页面右下角的“确认”。 订阅后，资产信息将在每天晚上自动进行更新。 6. 在资产管理页面查看资产的详细信息。 如需查看指定类型资产信息，如主机资产，请选择“主机资产”页签进行查看。当前支持分类查看的资产类别有“主机资产”、“网站”、“数据库”、“VPC”、“EIP”、“设备”。“全部资产”页签查看所有资产。 部门及业务系统：该页签汇聚了资产所对应的“部门”及“业务系统”信息。 在资产列表中下方可以查看资产总条数。其中，使用翻页查看时最多可查看10000条资产信息，如果需要查看超过10000条以外数据，请优化过滤条件筛选数据。 如果需要查看某个资产的更多详细信息，可以先选择待查看资产所属类型，然后再在对应资产类型页面中单击资产名称，进入资产详情页面进行查看。 例如，需要查看某个主机资产的详细信息，请选择“主机资产”页签，再在主机资产页面中，单击目标主机资产名称，进入目标主机资产详情页面。 在资产详情页面，可以查看资产相关的环境信息、资产信息和网络信息等信息。 在资产详情页面，可以对资产的责任人、业务系统和部门信息进行编辑，还可以绑定或解绑资产。

本章节为您介绍服务版本差异。 数据分类分级实例 数据安全专区的数据分类分级实例仅有标准版可选择。 版本 支持纳管的数据库数量 支持的数据库字段数 产品能力 标准版 4/8/16/32 3万/7万/15万/30万字段以内 提供流程化的数据分类分级能力 数据脱敏与水印实例 数据安全专区的数据脱敏与水印实例支持标准版、高级版、企业版三种规格供您选择。 版本 支持纳管的数据库数量 数据脱敏能力 水印溯源能力 基本数据库 国产数据库 大数据组件 标准版 4/8/16/32 √ √ √ × × 高级版 4/8/16/32 √ √ √ √ × 企业版 4/8/16/32 √ √ √ √ √ 数据库安全网关 数据安全专区的数据库安全网关实例仅有标准版可选择。 版本 支持纳管的资产数量 产品能力 标准版 4/8/16/32 提供数据库准入、访问控制、攻击防护、动态脱敏、 运维审批等多种能力 API安全网关 API安全网关支持标准版 、高级版 、企业版 、旗舰版。 版本 TPS指标 API全生命周期管理 API攻击防护 API访问控制 API动态脱敏 API数据水印 标准版 2000 √ √ √ √ √ 高级版 4000 √ √ √ √ √ 企业版 6000 √ √ √ √ √ 旗舰版 20000 √ √ √ √ √

本章节指导用户为企业路由器实例以及企业路由器连接创建告警规则和通知。 操作场景 告警功能为您提供监控数据的告警服务。您可以通过创建告警规则来定义告警系统如何检查监控数据，并在监控数据满足告警策略时发送报警通知。 对重要监控指标创建告警规则后，便可在第一时间得知指标数据发生异常，迅速处理故障。 操作步骤 步骤 1：登录管理控制台，进入云监控服务主页面。 步骤 2：在左侧导创建告警规则和通知航栏，选择“云服务监控 > 企业路由器”。 进入企业路由器列表页面。 步骤 3：在企业路由器列表中，分别执行以下操作，为企业路由器实例以及企业路由器连接创建告警规则和通知。 企业路由器实例 在企业路由器列表中，单击目标企业路由器所在行的操作下的“创建告警规则”。 进入“创建告警规则”页面。 在“创建告警规则”页面，根据页面提示设置参数，为企业路由器实例创建告警规则和通知。 企业路由器连接 在企业路由器列表中，单击下拉按钮展开目标企业路由器的连接列表，并单击连接所在行的操作下的“创建告警规则”。 进入“创建告警规则”页面。 在“创建告警规则”页面，根据页面提示设置参数，为企业路由器连接创建告警规则和通知。

如果您需要添加云搜索服务（CSS）、数据湖探索（DLI）和Hive的资产，可参考本章节进行操作。 前提要求 已完成大数据资产委托授权，参考云资源委托授权/停止授权进行操作。 已开通CSS和DLI服务，且CSS和DLI中已有资产，且对应子网下含有可用的IP配额。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 单击左侧导航树的，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“大数据”页签，进入大数据资产列表页面。 5. 在大数据资产列表左上角，单击“添加大数据源”。 6. 在弹出的“添加大数据源”对话框中，参考下表配置大数据源参数。 参数名称 参数说明 取值样例 资产名称 自定义参数。 区域 默认为当前帐号登录的区域。 大数据类型 选择大数据类型。 “Elasticsearch”，选择此类型时，其他参数说明请参见“Elasticsearch”参数说明。 “DLI”，选择此类型时，其他参数说明请参见“DLI”参数说明。 “Hive”，选择此类型时，其他参数说明请参见“Hive”参数说明。 Elasticsearch “Elasticsearch”参数说明： 参数名称 参数说明 取值样例 ES实例 在下拉框中选择ES实例。 版本 选择大数据类型对应的版本。 5.x 主机 大数据源服务器IP地址。 192.168.0.233 端口 大数据源服务器的端口号。 3306 索引 输入大数据源对应的index。 用户名 输入访问大数据服务器的用户名。 密码 输入访问大数据服务器的密码。 “DLI”参数说明： 参数名称 参数说明 取值样例 队列 在下拉框中选择DLI中数据源的队列名称。 default DLI数据库 选择DLI中目标队列下的数据库名称。 5.x “Hive”参数说明： 参数名称 参数说明 取值样例 虚拟私有云 在下拉框中选择虚拟私有云。 子网 选择虚拟私有云对应的子网名称。 安全组 在下拉框中选择可用的安全组。 主机 大数据源服务器IP地址。 192.168.0.233 端口 大数据源服务器的端口号。 3306 数据库名称 输入数据库名称。 7. 单击“确定”，大数据源资产添加完成。 大数据资产添加完成后，该大数据源的状态“连通性”为“检查中”，DSC会测试数据源的连通性，即测试DSC是否能够通过您配置的用户名和密码正常访问添加的大数据源。 数据安全中心DSC能正常访问已添加的大数据源，该大数据源的状态“连通性”状态为“成功”。 若数据安全中心DSC不能正常访问已添加的大数据源，该大数据源的“连通性”状态为“失败”。单击“原因”查看失败的原因并重新正确填写访问目标大数据源的用户名和密码。

参数 说明 示例 名称 监听器名称。 listenerpnqy 前端协议/端口 负载分发的协议和端口。 协议选择HTTPS，端口取值范围[165535]。 HTTPS/443 云主机证书 协议类型为HTTPS时，需绑定云主机证书。 云主机证书用于SSL握手协商，需提供证书内容和私钥。 高级配置 访问策略 支持通过白名单和黑名单进行访问控制： 允许所有IP访问 黑名单 白名单 白名单 IP地址组 设置白名单或者黑名单时，必须选择一个IP地址组。如果还未创建IP地址组，需要先创建IP地址组。 ipGroupb2 安全策略 支持选择可用的安全策略。 安全策略TLS10 双向认证 一般的HTTPS业务场景只对云主机做认证，因此只需要配置云主机的证书即可。某些关键业务（如银行支付），需要对通信双方的身份都要做认证，即双向认证，以确保业务的安全性。后端云主机无需额外配置双向认证。 CA证书 双向认证开启后需要配置CA证书。详见8.4 创建/修改/删除证书。 空闲超时时间（秒） 如果在超时时间内一直没有访问请求，负载均衡会中断当前连接，直到下一次请求到来时再重新建立新的连接。 时间取值范围[04000]。 60 请求超时时间（秒） 客户端向负载均衡发起请求，如果在超时时间内客户端没有完成整个请求的传输，负载均衡将放弃等待关闭连接。 时间取值范围[1300]。 60 响应超时时间（秒） 负载均衡向后端云主机发起请求，如果超时时间内接收请求的后端云主机无响应，负载均衡会向其他后端云主机重试请求。如果重试期间后端云主机一直没有响应，则负载均衡会给客户端返回HTTP 504错误码。 时间取值范围[1300]。 说明： 当开启了会话保持功能时，响应超时时间内如果对应的后端云主机无响应，则直接会返回HTTP 504错误码。 60 描述 对于监听器描述。 字数范围：0/255。 标签 可通过配置该项使用标签功能。标签的“键”和“值”是一一对应的，其中“键”值是唯一的。

本章节向您介绍如何创建企业路由器。 操作步骤 步骤1：登录管理控制台，进入企业路由器主页面。 步骤2：单击页面右上角的“创建企业路由器”，进入“创建企业路由器”页面。 步骤3：根据界面提示，配置企业路由器的基本信息，具体如下表所示。 参数名称 参数说明 取值样例 区域 必选参数。 不同区域的云服务产品之间内网互不相通，请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 可用区 必选参数。 可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。一个区域内有多个可用区，一个可用区发生故障后不会影响同一区域内下的其它可用区。 此处建议您同时选择两个可用区，表示企业路由器将同时部署在这两个可用区内，属于双活模式，为业务容灾提供可靠保障。 两个可用区均部署企业路由器时，可用区内流量遵循本地优先原则，即优先访问同一个可用区内的企业路由器，减少时延，提升访问速率。 可用区1 可用区2 名称 必选参数。 输入企业路由器的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 ertest01 ASN 必选参数。 自治系统（AS）是一个实体管辖下拥有相同选路策略的IP网络。在边界网关协议（BGP）网络中，每个AS都被分配一个唯一的自治系统编号 (ASN)，用于区分不同的AS。 您可以使用默认ASN，也可以在6451265534或42000000004294967294范围内指定专用ASN。 对于同一个区域内的组网，您可以将其视为一个自治系统，企业路由器的ASN使用默认或者在指定范围内选择任意一个即可。 64512 默认路由表关联 可选参数。 默认开启。 为了简化您后续的网络配置，此处建议您开启“默认路由表关联”功能，开启之后： 创建企业路由器时，系统会自动创建名称为“defaultRouteTable”的路由表，将其作为默认关联路由表。 默认关联路由表支持修改，企业路由器创建完成后，您可以创建新的路由表，并将新的路由表设置为默认关联路由表。 设置完默认关联路由表后，在企业路由器中新创建连接时（比如连接A），会自动为连接A在默认关联路由表中创建关联。 开启 默认路由表传播 可选参数。 默认开启。 为了简化您后续的网络配置流程，此处建议您开启“默认路由表传播”功能，开启之后： 创建企业路由器时，系统会自动创建名称为“defaultRouteTable”的路由表，将其作为默认传播路由表。 同时开启“默认路由表关联”和“默认路由表传播”功能，则默认关联路由表和默认传播路由表为同一个路由表，均为系统创建的名称为“defaultRouteTable”的路由表。 默认传播路由表支持修改，企业路由器创建完成后，您可以创建新的路由表，并将新的路由表设置为默认传播路由表。 设置完默认传播路由表后，在企业路由器中新创建连接时（比如连接A），会自动为连接A在默认传播路由表中创建传播。 开启 自动接受共享连接 可选参数。 作为企业路由器的所有者，您可以将企业路由器共享给其他帐号的接受者，接受者可以在共享企业路由器中创建连接。 关闭该选项，接受者创建的连接需要所有者审批，所有者接受后才会创建。 开启该选项，接受者创建的连接会被自动接受，无需所有者审批。 关闭 企业项目 必选参数。 创建企业路由器时，需要将企业路由器加入已有的企业项目内。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 default 标签 可选参数。 您可以在创建企业路由器的时候为企业路由器绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 “标签键”：test “标签值”：01 描述 可选参数。 您可以根据需要在文本框中输入对该企业路由器的描述信息。 步骤4：基本信息设置完成后，单击“立即创建”。 步骤5：在产品配置信息确认页面，再次核对企业路由器信息，确认无误后，单击“提交”，返回企业路由器列表页面。 步骤6：在企业路由器列表页面，查看企业路由器状态，待状态由“创建中”变为“正常”，表示企业路由器创建完成。

连接方式 IP地址 使用场景 说明 通过内网连接实例 内网IP地址 系统默认提供内网IP地址。当应用部署在弹性云主机上，且该弹性云主机与云数据库GaussDB 实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与云数据库GaussDB 实例。 安全性高，可实现云数据库GaussDB 的较好性能。l 推荐使用内网连接。 通过公网连接实例 弹性公网IP 不能通过内网IP地址访问云数据库GaussDB 实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云主机（或公网主机）与云数据库GaussDB 实例。 降低安全性。l 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的云数据库GaussDB 实例在同一子网，使用内网连接。

本页介绍如何查看分布式融合数据库HTAP的实例信息。 操作步骤 1. 天翼云官网首页右上角选择控制中心，登录进入控制中心界面。 2. 控制中心产品概览页左上角单击管理控制台，选择区域。 3. 选择“数据库 > 分布式融合数据库HTAP”。进入分布式融合数据库HTAP控制台。 4. 点击实例管理进入实例列表界面。实例列表界面中可以看到实例ID、实例名称、版本、实例状态、连接地址、创建时间、到期时间等信息。 5. 点击操作 > 更多 > 详情 > 基础信息，可以查看实例的基础信息。 基础信息：实例ID、实例名称、平台实例ID、版本、开始时间、到期时间、部署方式、业务状态、系列、资源池编码。 费用信息：订购时长、计费方式。 实例参数：内存大小（GB）、CPU核心数、存储空间（GB）、VPC编码、VPC名称、安全组名称、subnetUuid。 6. 点击操作 > 更多 > 详情 > 部署资源，可以查看实例的部署资源信息。 全局参数：nodeExporterPort、blackboxExporterPort、deployDir 各类节点信息：主机业务IP、主机类型、占用CPU、占用内存、CPU类型、操作系统、可用区名称、可用区编码以及部署详情 部署详情包括：服务端口、其它端口、部署路径、数据存储路径、region信息等。

本文主要介绍个人实名认证和企业实名认证的区别。 个人实名认证和企业实名认证在认证信息、账号归属、适应群体等三个方面有比较大的区别。 认证方式 认证信息 账号归属 适应用户群体 个人实名认证 个人身份证、姓名、银行卡号、手机号、人脸等 个人 个人用户 企业实名认证 企业基本信息、营业执照、法定代表人身份证、企业银行对公账户、统一社会信用代码等 企业 企业、党政及国家机关、民办非企业单位、社会团体、个体工商户等

本文主要介绍分布式消息服务RabbitMQ所需的环境准备。 创建RabbitMQ实例前，您需要提前准备相关依赖资源，包括虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。每个RabbitMQ实例都部署在某个VPC中，并绑定具体的子网和安全组，通过这样的方式为RabbitMQ提供一个隔离的、用户自主配置和管理的虚拟网络环境以及安全保护策略，提升实例的安全性。 如果用户已有VPC，可重复使用，不需要多次创建。 创建VPC 1、登录管理控制台。 2、在管理控制台右上角单击，选择区域。 说明 此处请选择与您的应用服务相同的区域。 3、在管理控制台左上角单击，选择“网络 > 虚拟私有云”。 4、单击“创建虚拟私有云”，进入“创建虚拟私有云”界面。 5、根据界面提示创建虚拟私有云。如无特殊需求，界面参数均可保持默认。关于创建VPC的详细信息可以参考《虚拟私有云用户指南》。 创建虚拟私有云时，会同时创建子网，若需要额外创建子网，请参考6。如果不需要额外创建子网，请执行7。 6、在左侧导航栏，单击“子网”，进入“子网”界面。单击“创建子网”。根据界面提示创建子网。如无特殊需求，界面参数均可保持默认。 关于创建子网的详细信息可以参考《虚拟私有云用户指南》。 7、在左侧导航栏，选择“访问控制 > 安全组”，进入“安全组”界面。根据界面提示创建安全组。如无特殊需求，界面参数均可保持默认。 关于创建安全组的详细信息可以参考《虚拟私有云用户指南》。 使用RabbitMQ实例前，添加表1所示安全组规则，其他规则请根据实际需要添加。 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问RabbitMQ实例，无需添加表1的规则。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 5672 0.0.0.0/0 访问RabbitMQ实例（关闭SSL） 入方向 TCP 5671 0.0.0.0/0 访问RabbitMQ实例（开启SSL） 入方向 TCP 15672 0.0.0.0/0 访问Web界面UI地址（关闭SSL加密） 入方向 TCP 15671 0.0.0.0/0 访问Web界面UI地址（开启SSL加密）

本节主要介绍NAT的产品定义。 NAT网关可为您提供网络地址转换服务，分为公网NAT网关和私网NAT网关。 公网NAT网关 公网NAT网关（Public NAT Gateway）能够为虚拟私有云内的弹性云主机或者通过云专线/VPN接入虚拟私有云的本地数据中心的服务器，提供网络地址转换服务，使多个云主机可以共享弹性IP访问Internet或面向Internet提供服务。 公网NAT网关分为SNAT和DNAT两个功能。 SNAT功能通过绑定弹性IP，实现私有IP向公有IP的转换，可实现VPC内跨可用区的多个云主机共享弹性IP，安全，高效的访问互联网。 图 SNAT架构图 DNAT功能绑定弹性IP，可通过IP映射或端口映射两种方式，实现VPC内跨可用区的多个云主机共享弹性IP，为互联网提供服务。 图 DNAT架构图 私网NAT网关 私网NAT网关（Private NAT Gateway），能够为虚拟私有云内的云主机（弹性云主机、物理机）提供私网地址转换服务。您可以在私网NAT网关上配置SNAT、DNAT规则，可将源、目的网段地址转换为中转IP，通过使用中转IP实现VPC内的云主机与其他VPC、云下IDC互访。 私网NAT网关分为SNAT和DNAT两个功能： SNAT功能通过绑定中转IP，可实现VPC内跨可用区的多个云主机共享中转IP，访问外部数据中心或其他VPC。 DNAT功能通过绑定中转IP，可实现IP映射或端口映射，使VPC内跨可用区的多个云主机共享中转IP，为外部私网提供服务。 中转子网 中转子网相当于一个中转网络，是中转IP所属的子网。 中转IP 您可以在中转子网中创建私网IP，即中转IP，使本端VPC中的云主机可以共享该私网IP（中转IP）访问用户IDC或其他远端VPC。 中转VPC 中转子网所在VPC。 图 私网NAT网关 如上图所示： 重叠网段的VPC互访 两个本端VPC网段重叠，使用两个私网NAT网关，配置SNAT、DNAT规则，将本端VPC私网地址转换为中转IP地址，实现两个本端VPC中云主机利用中转IP互访，解决了VPC间网段重叠互访的问题。 指定IP接入远端私网 访问远端私网中的用户数据中心（IDC）和VPC被要求指定IP地址接入，远端私网中的IDC通过云专线/VPN接入中转VPC，远端私网中的VPC通过对等连接接入中转VPC。本端VPC1使用私网NAT网关，配置SNAT规则，将本端VPC私网地址转换为指定IP地址，实现本端VPC1中的云主机以指定IP地址接入远端私网。

本章节向您介绍什么是网络ACL。 网络ACL 网络ACL是一个子网级别的可选安全防护层，您可以在网络ACL中设置入方向和出方向规则，并将网络ACL绑定至子网，可以精准控制出入子网的流量。 网络ACL与安全组的防护范围不同，安全组对云主机、云容器、云数据库等实例进行防护，网络ACL对整个子网进行防护。安全组是必选的安全防护层，当您还想增加额外的安全防护层时，就可以启用网络ACL。两者结合起来，可以实现更精细、更复杂的安全访问控制。 网络ACL中包括入方向规则和出方向规则，您可以针对每条规则指定协议、来源端口和地址、目的端口和地址。 以下图为例， 如下图所示。 图 安全组与网络ACL在区域A内，某客户的虚拟私有云VPCX有两个子网，子网SubnetX01关联网络ACL FwA，SubnetX01内部署的实例面向互联网提供Web服务。子网SubnetX02关联网络ACL FwB，基于对等连接连通SubnetX02和SubnetY01的网络，通过SubnetY01内的实例远程登录SubnetX02内的实例。 FwA的规则说明： 入方向自定义规则，允许外部任意IP地址，通过TCP (HTTP)协议访问SubnetX01内实例的80端口。如果流量未匹配上自定义规则，则匹配默认规则，无法流入子网。 网络ACL是有状态的，允许入站请求的响应流量出站，不受规则限制，因此SubnetX01内实例的响应流量可流出子网。非响应流量的其他流量则匹配默认规则，无法流出子网。 FwB的规则说明： 入方向自定义规则，允许来自SubnetY01的流量，通过TCP (SSH)协议访问子网SubnetX02内实例的22端口。 出方向自定义规则，放通ICMP协议全部端口，当在SubnetX02内实例ping测试网络连通性时，允许去往SubnetY01的流量流出子网。 说明 图中提供的示例仅为您展示了网络ACL对出入子网的流量控制。在实际业务中，除了网络ACL，实例上绑定的安全组也会影响出入实例的流量。

企业用户可以通过企业证件认证快速完成账号实名认证。 企业证件认证需要提供企业证照，以及法定代表人及被授权人身份证等相关信息，并进行人脸识别。一个企业信息最多可以认证5个天翼云账号（含已注销3个月内的账号）。 注意事项 法定代表人操作需要提供企业营业执照，以及法定代表人身份证信息。 被授权人操作需提供企业营业执照、法定代表人身份证信息、被授权人身份证信息、授权书，提交后需要等待人工审核。 若系统未查询到企业信息，提交后需要等待人工审核。 注意 企业认证需上传营业执照原件。企业证件不能提供原件时，可提供加盖企业公章复印件作为原件使用，公章需加盖在企业证件文字上方，不得加盖在复印件空白处。 操作步骤 1、登录天翼云官网，进入实名认证页面。 2、选择“企业认证”。 3、在企业认证方式选择页面，选择“企业证件认证”。 4、选择企业证件类型，上传企业证件并核对信息。 注意 请务必根据上传的企业证件选择企业证件类型，若类型不匹配，可能导致认证失败。 上传后，系统会自动识别企业信息，若发现企业信息错误，可手动修改。 证件类型可选择以下几种： 5、选择操作人身份，并提供相应证件信息。 （1）法定代表人 选择法定代表人操作时，需要填写法定代表人姓名、身份证号码。 （2）被授权人（非法定代表人） 选择被授权人操作时，需要填写法定代表人姓名及身份证号码、授权书、被授权人姓名及身份证号码。 6、操作人信息填写无误后，勾选“确保提供的信息真实有效”，并点击下方“提交”，系统会弹出“身份认证”二维码对话窗。 7、使用天翼云APP或手机微信扫描二维码（请扫描页面实时弹出的“身份认证”对话框中的二维码，若过期请刷新），按照提示完成验证。 8、人脸识别通过后，系统进行信息校验，根据校验情况反馈结果。 （1）法定代表人操作 校验通过，则完成企业实名认证，跳转实名认证页面，显示已完成企业实名认证。 校验不通过，如信息不一致，则需要修改信息，重新提交校验。 若系统未查询到企业信息，可继续提交，等待人工审核，审核时间为13个工作日。 （2）被授权人操作（非法定代表人） 校验通过，提交后需要等待人工审核，审核时间为13个工作日。 校验不通过，如信息不一致，则需要修改信息，重新提交校验。 若系统未查询到企业信息，可继续提交，等待人工审核，审核时间为13个工作日。 人工审核通过，实名认证页面显示已完成企业实名认证；人工审核不通过，可在实名认证页面查看原因，调整后重新进行企业证件认证。

通过控制台修复漏洞 仅Linux软件漏洞和Windows系统漏洞支持使用控制台的漏洞修复功能。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在态势感知（专业版）管理页面选择“风险预防 > 漏洞管理”，进入漏洞管理页面。 5. 在漏洞管理界面，选择“Linux漏洞”、“Windows漏洞”任意一个页签，进入对应漏洞管理页面。 6. 在漏洞列表中，单击目标漏洞名称，右侧弹出漏洞信息页面。 7. 在漏洞信息页面中，选择“受影响资产”页签，并在资产列表中，单击待处理资产所在行“操作”列的“修复”，系统提示修复操作触发成功。 如需批量修复，可以勾选所有需要修复的资产，然后在列表左上角，单击“批量修复”。 8. 漏洞修复完成后，若修复成功，修复状态将变更为“修复成功”。若修复失败，修复状态将变更为“修复失败”。 说明 “Linux系统Kernel类的漏洞”修复完成后需要手动重启，否则系统仍可能为您推送漏洞消息。 手动修复系统软件漏洞 漏洞修复命令 进入到漏洞的基本信息页，可根据修复建议修复已经被识别出的漏洞，漏洞修复命令可参见下表。 说明 “Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启，否则系统仍可能为您推送漏洞消息。 不同的漏洞请根据修复建议依次进行修复。 若同一主机上的多个软件包存在同一漏洞，您只需修复一次即可。 漏洞修复命令： 操作系统 修复命令 CentOS/Fedora /Euler/Redhat/Oracle yum update 软件名称 Debian/Ubuntu aptget update && aptget install 软件名称onlyupgrade Gentoo 请参见漏洞修复建议。 漏洞修复方案 漏洞修复有可能影响业务的稳定性，为了防止在修复漏洞过程影响当前业务，建议参考以下两种方案，选择其中一种执行漏洞修复： 方案一：创建新的虚拟机执行漏洞修复 1. 为需要修复漏洞的ECS主机创建镜像。 2. 使用该镜像创建新的ECS主机。 3. 在新启动的主机上执行漏洞修复并验证修复结果。 4. 确认修复完成之后将业务切换到新主机。 5. 确定切换完成并且业务运行稳定无故障后，可以释放旧的主机。如果业务切换后出现问题且无法修复，可以将业务立即切换回原来的主机以恢复功能。 方案二：在当前主机执行修复 1. 为需要修复漏洞的ECS主机创建备份。 2. 在当前主机上直接进行漏洞修复。 3. 如果漏洞修复后出现业务功能问题且无法及时修复，立即使用备份恢复功能将主机恢复到修复前的状态。 说明 方案一适用于第一次对主机漏洞执行修复，且不确定漏洞修复的影响。 方案二适用于已经有同类主机执行过修复，漏洞修复方案已经比较成熟可靠的场景。

本小节介绍等保咨询服务常见问题。 本产品是否支持试用？ 等保咨询服务不支持试用。如果您需要使用等保咨询服务，可以联系客服进一步了解该服务的内容和优势。感谢您的理解和支持。 本产品下订单后是否支持退订？ 等保咨询服务一旦服务开始后便不支持退订，感谢您的理解和支持。 等保咨询服务的报价依据包含哪些方面？ 主要依据系统等级（涉及测评项不同）、服务版本（标准版或精简版）、云主机数量（涉及工作量不同）、地区（不同省份人工成本有差距）、是否首次测评（首次涉及工作量较多，如：加固建议，管理建议等）、系统行业（不同行业有不同等保标准）。 什么是等级保护？ 等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 等保咨询的服务范围包含哪些方面？ 等保咨询简化服务：按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务，并输出《差距分析评估》。 等保咨询标准服务：包含所有简化版服务内容，提供针对性的等保合规要求的整改安全方案。

本文为您介绍如何进行企业项目修改。 操作步骤 1. 管理员登录IAM控制台。 2. 管理员在IAM控制台左侧导航窗格中，点击“企业项目” 3. 点击企业项目列表操作栏中的“修改”按钮，进入企业项目修改页面。 4. 在弹出的修改企业项目对话框中，可修改企业项目名称、描述内容，点击“确定”完成企业项目信息的修改。 注意 同一个账号下的企业项目名称不可重复。

创建关系数据库MySQL版实例后，需要将IP地址添加到白名单，该IP地址所属的设备才能访问该关系数据库MySQL版实例。本文介绍如何为关系数据库MySQL版设置IP白名单。 注意 仅II类型资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 主实例，只读实例，数据库代理的白名单彼此独立，各实例需要单独设置白名单。 前提条件 源IP能够与数据库实例所在的网络相互通信。 背景信息 关系数据库MySQL版实例已经支持安全组功能，在此基础上，使用IP白名单配置，可以强化数据库的安全管理。 管理白名单分组 创建白名单分组 注意 您可以在开通实例时选择是否将VPC网段加入到实例白名单中，使同一VPC内的云主机可访问该实例（目前仅部分资源池支持，以订购页实际显示为准），如果选择否，则即使同一VPC内云主机也访问不到数据库，需要在白名单中添加指定IP才可访问。 资源池架构升级前的实例，默认白名单功能是关闭的，即所有内网IP都可以访问；资源池架构升级后的实例（2024年12月30日前后），无论内网还是外网访问，无论是否同一VPC内，都需要配置白名单，只有白名单中的IP才可以访问数据库实例。 如果实例绑定了弹性IP，需要将访问弹性IP的源端地址的公网IP配置进白名单。（源端地址的公网IP指访问弹性IP对应机器的公网出口IP，可通过搜索引擎查询IP地址获取）。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击白名单与安全组，进入白名单与安全组管理页面。 5. 单击创建白名单分组。 6. 选择协议类型为IPv4或IPv6。 如选择IPv4协议，多个IP或者IP段通过英文分号分隔。如需放开特定网段需使用星号 代替，例如“172. . . ”、“192. 168 . . ”。 如选择IPv6协议，则需要填写具体的地址，不可用星号代替。 注意 IPv4和IPv6协议总共最多设置1000个IP地址或IP段，如果IP地址较多，建议将零散的IP合并为IP段，如：192.168.1.0/24。 如果IP段设置为 . . . ，则表示对所有公网开放。 7. 填写完毕，单击确定。 8. 从源IP访问数据库确认是否有连接报错。

本文主要介绍虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称VPC）为弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户企业云中资源的安全性，简化用户的网络部署。 通过云审计服务，您可以记录与虚拟私有云相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的VPC操作列表 操作名称 资源类型 事件名称 修改Bandwidth bandwidth modifyBandwidth 创建EIP eip createEip 释放EIP eip deleteEip 绑定EIP eip bindEip 解绑定EIP eip unbindEip 创建PrivateIp privateIps createPrivateIp 删除PrivateIp privateIps deletePrivateIp 创建Security Group securitygroup createSecurityGroup 创建Subnet subnet createSubnet 删除Subnet subnet deleteSubnet 修改Subnet subnet modifySubnet 创建VPC vpc createVpc 删除VPC vpc deleteVpc 修改VPC vpc modifyVpc 创建VPN vpn createVpn 删除VPN vpn deleteVpn 修改VPN vpn modifyVpn 上表中VPC的操作，为底层（OpenStack）服务触发；部分事件名称与表68中重复，是因为这些事件采用了异步调用的模式：操作下发会产生上表中描述的事件，而操作结果响应会产生表69中描述的事件。 表 云审计服务支持的VPC操作列表（由底层服务触发） 操作名称 资源类型 事件名称 创建虚拟网络 network createNetwork 更新虚拟网络 networks updateNetwork 删除虚拟网络 networks deleteNetwork 创建虚拟子网 subnets createSubnet 更新虚拟子网 subnets updateSubnet 删除虚拟子网 subnets deleteSubnet 创建虚拟端口 ports createPort 更新虚拟端口 ports updatePort 删除虚拟端口 ports deletePort 创建浮动IP floatingips createFloatingip 更新浮动IP floatingips updateFloatingip 删除浮动IP floatingips deleteFloatingip 创建虚拟路由 routes createRouter 更新虚拟路由 routes updateRouter 删除虚拟路由 routes deleteRouter 添加虚拟路由的接口 routes addRouterInterface 删除虚拟路由的接口 routes removeRouterInterface 为当前vpcrouter添加扩展路由 routes addExtraRoute 为当前vpcrouter删除指定的扩展路由 routes removeExtraRoute 创建安全组 securitygroups createSecuritygroup 删除安全组 securitygroups deleteSecuritygroup 更新安全组 securitygroups updateSecuritygroup 创建安全组规则 securitygrouprules createSecuritygrouprule 删除安全组规则 securitygrouprules deleteSecuritygrouprule 创建一个vpnservice vpn createVpnService 更新vpnservice vpn updateVpnService 删除vpnservice vpn deleteVpnService 创建密钥交换策略 vpn createVpnIkepolicy 更新密钥交换策略信息 vpn updateVpnIkepolicy 删除租户指定ikepolicy vpn deleteVpnIkepolicy 创建一个ipsecpolicy vpn createVpnIpsecpolicy 更新指定ipsecpolicy vpn updateVpnIpsecpolicy 删除指定的ipsecpolicy vpn deleteVpnIpsecpolicy 创建一个ipsec连接 vpn createVpnIpsecsiteconnection 更新ipsec连接 vpn updateVpnIpsecsiteconnection 删除指定ipsec连接 vpn deleteVpnIpsecsiteconnection Create VPN endpoint group vpn createVpnEndpointgroup Update VPN endpoint group vpn updateVpnEndpointgroup Remove VPN endpoint group vpn deleteVpnEndpointgroup 更新代理 agent updateAgent 删除代理 agent deleteAgent 指定网络使用的DHCP Agent agent createAgentDhcpnetwork 移除网络使用的DHCP Agent agent deleteAgentDhcpnetwork 更新指定租户的配额值 quota updateQuota 重置指定租户的配额值 quota deleteQuota 创建firewall group FWaaS v2 createFirewallGroup 更新firewall group FWaaS v2 updateFirewallGroup 删除firewall group FWaaS v2 deleteFirewallGroup 创建firewall policy FWaaS v2 createFirewallPolicy 更新firewall policy FWaaS v2 updateFirewallPolicy 删除firewall policy FWaaS v2 deleteFirewallPolicy firewall policy中插入firewall rule FWaaS v2 insertFirewallPolicyRule firewall policy中移除firewall rule FWaaS v2 removeFirewallPolicyRule 创建firewall rule FWaaS v2 createFirewallRule 更新firewall rule FWaaS v2 updateFirewallRule 删除firewall rule FWaaS v2 deleteFirewallRule 创建loadbalancer loadbalancer createLBaaSLoadbalancer 更新指定的loadbalancer loadbalancer updateLBaaSLoadbalancer 删除指定的loadbalancer loadbalancer deleteLBaaSLoadbalancer 创建listener listener createLBaaSListener 更新指定的listener listener updateLBaaSListener 删除指定的listener listener deleteLBaaSlistener 创建pool pool createLBaaSPool 更新指定的pool pool updateLBaaSPool 删除指定的Pool pool deleteLbaasPool 创建Member member createLBaaSPoolMember 更新指定的Member member updateLBaaSPoolMember 删除指定的member member deleteLBaaSPoolMember 创建healthmonitor healthmonitor createLBaaSHealthMonitor 更新指定的healthmonitor healthmonitor updateLBaaSHealthMonitor 删除指定的healthmonitor healthmonitor deleteLBaaSHealthMonitor

本章介绍如何配置克隆目的端。 操作场景 启动目的端前，您可单击“克隆目的端”克隆出一台新的弹性服务器进行业务测试，测试无误后再启动目的端。克隆出的服务器必须和目的端服务器在同一可用区，但可以处于另外一个VPC中。 前提条件 只有“迁移阶段”为“持续同步”时才可克隆目的端。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“迁移服务器”，进入迁移服务器列表页面。 3. 在迁移服务器列表页面，找到已复制完成并持续同步的服务器，在“操作”列单击“更多 > 克隆目的端”，进入“克隆目的端”页面。 4. 配置相关参数，单击“开始克隆目的端”。 1. “虚拟机配置模板”选择“自动推荐”时，系统会根据目的端配置自动创建虚拟私有云、子网、安全组以及高级配置中的参数，您也可以手动调整。 2. “虚拟机配置模板”选择已有模板时，虚拟私有云、子网、安全组以及高级配置中的参数根据模板确定，您也可以手动调整。 5. 在服务器额外信息显示具体的克隆服务器名称，说明“克隆目的端”已完成。

企业路由器所有者和接受者权限说明 所有者可以对共享企业路由器执行任何操作，接受者仅可以执行部分操作，接受者支持的操作说明如下表所示。 角色 支持的操作 操作说明 接受者 查看企业路由器 接受者可以查看共享企业路由器的基本信息，和所有者的功能差异如下： 接受者的共享企业路由器名称侧标识“来自他人的共享”。 接受者 在企业路由器中添加连接：在企业路由器中添加VPC连接 接受者可以在企业路由器中创建连接，和所有者的功能差异如下： 接受者创建连接时，需要所有者接受申请后才可以创建成功。 如果企业路由器的“自动接受共享连接”功能已打开，则无需所有者审批。 接受者创建连接时，无法为连接添加标签。 接受者 查看连接 接受者可以在企业路由器中查看自己创建的连接，和所有者的功能差异如下： 接受者查看连接时，无法查看连接的标签。 接受者 修改连接基本信息 接受者可以在企业路由器中修改自己创建的连接基本信息。 接受者 删除VPC连接 接受者可以在企业路由器中删除自己创建的连接，无需所有者审批。 说明 接受者不支持查看企业路由器的“路由表”、“共享”、“流日志”以及“标签”页签的信息。 共享企业路由器连接创建流程 作为企业路由器的所有者，您可以将企业路由器共享给其他帐号的接受者，接受者可以在共享企业路由器中创建连接。 注意 “自动接受共享连接”功能关闭，接受者创建的连接需要所有者审批，所有者接受后才会创建。 “自动接受共享连接”功能开启，接受者创建的连接会被自动接受，无需所有者审批。 下表是连接创建流程说明表 步骤 角色 说明 创建共享 所有者 所有者创建共享后，接受者无需任何操作，就可以在列表中看到共享企业路由器，标识有“来自他人的共享”。 在企业路由器中添加VPC连接 接受者 企业路由器的“自动接受共享连接”功能关闭。 接受者在共享企业路由器中创建连接，此时连接状态为“待接受”，等待所有者审批。 接受连接创建申请 所有者 所有者接受连接创建申请后，连接状态由“待接受”变为“创建中”： 当连接最终状态为“正常”时，表示连接创建成功。 当连接最终状态为“失败”时，表示连接创建失败，请联系客服处理。 拒绝连接创建申请 所有者 所有者拒绝连接创建申请后，连接状态由“待接受”变为“已拒绝”，表示连接创建失败，请联系所有者咨询拒绝原因。 下图是自动接受共享连接开启时的连接创建流程。 下表是自动接受共享连接开启时的连接创建流程说明表。 步骤 角色 说明 创建共享 所有者 所有者创建共享后，接受者无需任何操作，就可以在列表中看到共享企业路由器，标识有“来自他人的共享”。 在企业路由器中添加VPC连接 接受者 企业路由器的“自动接受共享连接”功能开启。 接受者在共享企业路由器中创建连接，无需所有者审批，此时连接状态为“创建中”： 当连接最终状态为“正常”时，表示连接创建成功。 当连接最终状态为“失败”时，表示连接创建失败，请联系客服处理。

本章节向您介绍企业路由器所有者如何接受或拒绝连接创建申请。 接受连接创建申请 注意 当企业路由器的“自动接受共享连接”功能关闭时，接受者创建的连接需要所有者审批。 当企业路由器的“自动接受共享连接”功能开启时，接受者创建的连接无需所有者审批。 操作步骤 步骤1：登录管理控制台，进入企业路由器主页面。 步骤2：通过名称过滤，快速找到目标企业路由器。 步骤3：您可以通过以下两种操作入口，进入企业路由器的“连接”页签。 在企业路由器右上角区域，单击“管理连接”。 单击企业路由器名称，并选择“连接”页签。 步骤4：在连接列表中，单击目标连接所在行的操作下的“接受”，接受连接创建申请。所有者接受连接创建申请后，连接状态由“待接受”变为“创建中”： 当连接最终状态为“正常”时，表示连接创建成功。 当连接最终状态为“失败”时，表示连接创建失败，请联系客服处理。 拒绝连接创建申请 注意 当企业路由器的“自动接受共享连接”功能关闭时，接受者创建的连接需要所有者审批。 当企业路由器的“自动接受共享连接”功能开启时，接受者创建的连接无需所有者审批。 操作步骤 步骤1：登录管理控制台，进入企业路由器主页面。 步骤2：通过名称过滤，快速找到目标企业路由器。 步骤3：您可以通过以下两种操作入口，进入企业路由器的“连接”页签。 在企业路由器右上角区域，单击“管理连接”。 单击企业路由器名称，并选择“连接”页签。 步骤4：在连接列表中，单击目标连接所在行的操作下的“拒绝”，拒绝连接创建申请。所有者拒绝连接创建申请后，连接状态由“待接受”变为“已拒绝”，表示连接创建失败，请联系所有者咨询拒绝原因。

本文介绍如何设置企业标识。企业标识是企业用户登录客户端的重要凭证，建议使用企业名称或其他便于终端用户识别记忆的信息作为企业标识。设置后不支持在控制台修改，若有需要可提交工单进行配置变更。 前提条件 已开通AOne会议服务。如何开通，请参见：开通AOne会议服务。 操作步骤说明 1. 登录会议控制台。 2. 如果您是首次订购AOne会议，需先完成企业标识设置。企业标识是企业用户登录客户端的重要凭证，建议使用企业名称或其他便于终端用户识别记忆的信息作为企业标识。设置后不支持在控制台修改，若有需要可提交工单进行配置变更。若您的账号已有企业标识，则无需重复设置，可直接使用控制台功能。 3. 如果您的账号在天翼云其他产品已设置过企业标识，您可以选择复用现有企业标识。选择此方式后，企业用户与组织信息将仅在对应产品的控制台管理，AOne会议控制台的用户组织模块将仅支持查看，不支持用户组织信息的变更和管理。此外，如果对应产品服务先于AOne会议服务退订或到期，会影响该用户组织下的最终用户登录和使用AOne会议，您需要及时联系客户经理或下工单通知AOne会议平台接管该用户组织。 4. 企业标识设置完成后，在控制台概览页即可查看企业标识信息。若企业标识有变更，但页面显示未更新，可点击企业标识右侧的“刷新”按钮，进行配置更新。

本文介绍了iptables配置和使用。 CentOS7系统默认的防火墙是Firewalld。但是，仍有大量用户习惯于在CentOS7系统中使用iptables。本文以CentOS7.9为例，说明在CentOS7系统中如何安装并使用iptables。 禁止firewalld开机启动 为了防止与iptables产生冲突，您需要先禁用Firewalld开机自启 1.连接Centos7.9实例，关于如何连接实例可参考登录Linux弹性云主机 2.执行如下命令查看服务状态 bash systemctl status firewalld 3.当服务处于active状态，运行以下命令关闭Firewalld服务。 bash systemctl disable firewalld now 安装iptables 执行如下命令，安装iptables： bash yum install y iptablesservices 启动iptables并开启开机自启： bash systemctl enable iptables.service now 验证iptables是否启动成功 bash systemctl status iptables.service 查看并修改iptables默认规则 执行 iptables L命令，查看iptables默认规则，发现在默认规则下，INTPUT链允许来自任何主机的访问，可以参考如下步骤修改默认规则。 1.如果之前已经设置过规则，建议执行如下命令，备份原有的iptables文件，避免之前设置的规则丢失。 bash cp a /etc/sysconfig/iptables /etc/sysconfig/iptables.bak 2.执行如下命令，清空所有规则。 bash iptables F 3.根据业务需求添加规则，放行或者禁用端口。示例：依次执行如下命令，放行80端口和22端口。 bash iptables I INPUT p tcp dport 80 m state state NEW j ACCEPT iptables I INPUT p tcp dport 22 m state state NEW j ACCEPT 示例：依次执行如下命令，添加规则，使INPUT链拒绝所有请求，即ECS实例会拒绝所有请求。如果是线上业务请勿直接操作，会直接中断业务。 bash iptables P INPUT DROP 4.执行如下命令，确认新规则生效。 bash iptables L 5.执行如下命令，保存添加的规则。 bash iptablessave > /etc/sysconfig/iptables 6.批量导入规则 bash iptablesrestore < 文件名称

本文为您介绍H3C路由器如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK cth3c IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 以命令行方式登录H3C路由器命令行。 2. 配置IKE预共享密钥。 ike keychain ctyun presharedkey address 121...152 255.255.255.255 key simple cth3c 3. 配置IKE提议。 ike proposal 10000 sa duration 86400 authenticationalgorithm sha encryptionalgorithm aescbc128 dh group5 4. 配置IKE安全框架。 ike profile ctyun exchangemode main keychain ctyun localidentity address 49...89 proposal 10000 match remote address 121...152 5. 配置ACL，定义要保护的数据流。 acl advanced 3402 rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 rule 5 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 6. 配置IPsec安全提议。 ipsec transformset ctyun protocol esp esp encryptionalgorithm aescbc128 esp authenticationalgorithm sha1 pfs dhgroup5 7. 配置IPsec安全策略。 ipsec policy ctyun 10 isakmp sa duration timebased 3600 transformset ctyun security acl 3402 remoteaddress 121...152 ikeprofile ctyun 8. 在GigabitEthernet1/0接口上应用IPsec安全策略ctyun。 interface GigabitEthernet1/0 ipsec apply policy ctyun 9. 配置静态路由。 ip route 192.168.3.0 255.255.255.0 49...1 10. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

本章主要介绍权限管理 如果您需要对云服务平台上创建的DCS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云服务资源的访问。 通过IAM，您可以在云服务帐号中给员工创建IAM用户，并使用策略来控制IAM用户对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DCS的使用权限，但是不希望他们拥有删除DCS实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DCS，但是不允许删除DCS实例的权限策略，控制他们对DCS资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DCS服务的其它功能。 DCS权限 默认情况下，帐号管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DCS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DCS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DCS服务，帐号管理员能够控制IAM用户仅能对DCS实例进行指定的管理操作。权限策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action）。 如下表所示，包括了DCS的所有系统权限。 DCS系统策略 系统角色/策略名称 描述 类别 依赖关系 DCS FullAccess 分布式缓存服务所有权限，拥有该权限的用户可以操作所有分布式缓存服务的功能。 系统策略 无 DCS UserAccess 分布式缓存服务普通用户权限（无实例创建、修改、删除、扩容和缩容的权限）。 系统策略 无 DCS ReadOnlyAccess 分布式缓存服务的只读权限，拥有该权限的用户仅能查看分布式缓存服务数据。 系统策略 无 DCS AgencyAccess 分布式缓存服务申请创建租户委托时需要授权的操作权限。该权限为租户委托权限，用于租户在需要时委托DCS服务对租户资源做以下相关操作，与授权用户操作无关。 查询子网 查询子网列表 查询端口 查询端口列表 更新端口 创建端口 系统策略 无 由于DCS UserAccess策略和DCS FullAccess策略存在差异，如果您同时配置了这两个系统策略，由于DCS UserAccess策略存在Deny，根据Deny优先原则，您无法执行实例创建、修改、删除、扩容和缩容操作。 下表列出了DCS常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 常用操作与系统策略的关系 操作 DCS FullAccess DCS UserAccess DCS ReadOnlyAccess 修改实例配置参数 √ √ × 删除实例后台任务 √ √ × Web CLI √ √ × 修改实例运行状态 √ √ × 缓存实例扩容 √ × × 修改实例访问密码 √ √ × 修改缓存实例 √ × × 实例主备倒换 √ √ × 备份实例数据 √ √ × 分析实例的大key或者热key √ √ × 创建缓存实例 √ × × 删除实例数据备份文件 √ √ × 恢复实例数据 √ √ × 重置实例访问密码 √ √ × 迁移实例数据 √ √ × 下载备份实例数据 √ √ × 删除缓存实例 √ × × 查询实例配置参数 √ √ √ 查询实例数据恢复日志 √ √ √ 查询实例数据备份日志 √ √ √ 查询缓存实例信息 √ √ √ 查询实例后台任务 √ √ √ 查询实例列表 √ √ √ 查看实例性能监控 √ √ √ 修改参数模板 √ √ × 删除参数模板 √ √ × 创建参数模板 √ √ × 参数模板列表 √ √ √ 查询参数模板 √ √ √

本章介绍主机迁移服务的相关申明。 源端服务器数据收集声明 源端服务器上安装和配置完迁移Agent后，迁移Agent会把源端服务器信息发送给主机迁移服务校验。这些数据只用于迁移可行性判断，不做其他用途。若您使用主机迁移服务，表示您同意主机迁移服务对这些信息的收集。 License失效声明 源端服务器的系统、应用、文件等数据迁移到目的端服务器后，服务器的SID、网卡MAC地址等信息发生改变，导致OS、应用等License失效。此类问题，主机迁移服务概不负责。对于Windows License可以使用天翼云License服务器获取新License，应用License用户自行解决。 迁移过程中禁止操作说明 迁移过程中禁止对目的端服务器的系统、磁盘进行操作，包括但不限于切换操作系统、重装系统等。在迁移过程中对目的端服务器进行操作所产生的费用以及数据损坏等问题，主机迁移服务概不负责。 目的端服务器磁盘格式化说明 迁移过程中，目的端服务器的磁盘会被格式化并重新进行分区，导致目的端服务器上所有数据丢失。请迁移前做好数据备份以及确认目的端服务器磁盘可被格式化。否则造成数据丢失，主机迁移服务概不负责。 源端磁盘数据安全性声明 迁移过程中，主机迁移服务无法感知磁盘内容，需要您自行保障源端磁盘数据的安全性。如果因为源端磁盘数据中存在木马或病毒等软件，导致迁移后目的端VPC内的主机受到影响，主机迁移服务概不负责。

本文帮助您快速熟悉如何查看企业交换机的基本信息。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络>企业交换机”。 进入企业交换机页面。 3. 单击目标企业交换机名称。 进入对应的“企业交换机”页签下，可以查看企业交换机的基本信息。

本文为您介绍如何进行企业项目授权。 操作步骤 1. 管理员登录IAM控制台。 2. 管理员在IAM控制台左侧导航窗格中，点击“企业项目” 3. 点击企业项目右侧操作栏的“查看用户组”，进入查看企业项目和用户组关系页面。 4. 点击“设置用户组”，您可以使用穿梭框，在可选用户组和已选用户组中，进行该企业项目绑定用户组的设置或移除。 5. 对设置在该企业项目上的用户组，点击用户组右侧的“设置策略”，选择所需的策略，点击“确定”为用户组完成在该企业项目上的授权。 说明 若用户组只在企业项目进行授权，则该用户组只对企业项目下的资源具有权限。 在步骤5的权限设置中，选择‘Full Access’策略，可使当前用户组拥有该企业项目下资源的全部操作权限。您可以通过这种方式，取代在企业项目上勾选全部策略。