如何分发Keytab? 登录翼MR管理控制台，单击“我的集群”，单击指定的集群名称，进入集群信息页面。 单击“翼MR Manager”tab，点击菜单“租户与资源 > Kerberos安全凭证”，选择要下发的Keytab，单击“分发”按钮，出现分发Keytab弹框，选择目标主机，依次输入相关字段单击确定等待下发结果即可。 如何查看集群服务监控大屏？ 登录翼MR管理控制台，单击“我的集群”，单击指定的集群名称，进入集群信息页面。 单击“翼MR Manager”tab，单击菜单“集群服务”，单击指定集群服务，进入集群服务详情页面，单击“集群大屏”tab即可查看该集群服务的监控大屏。

本节主要介绍管理企业项目 管理员可以参考以下操作分别创建企业项目projectA和projectB。 操作步骤 步骤 1 企业管理员使用天翼云帐号登录天翼云网门户。 步骤 2 单击天翼云首页顶部右侧“控制台”。 步骤 3 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 4 单击企业管理控制台左侧导航菜单“项目管理”，然后再单击右上角“＋创建企业项目”。 步骤 5 在创建企业项目对话框中，输入项目名称和描述，单击“确定”完成项目创建。 参考步骤4至步骤5的方法，依次创建企业项目projectA、projectB。

本文汇总了使用企业交换机服务时常见的通用类问题。 企业交换机支持与其他云配置二层网络通信吗？ 不支持。 企业交换机当前仅支持配置天翼云与IDC侧进行二层互通。 企业交换机创建后是否可以变更规格？ 企业交换机创建完成后，不支持修改规格，请根据业务需要选择合适的企业交换机。 什么是二层连接子网？ 二层连接子网是云上VPC与云下IDC准备建立二层互通的子网，包括本端二层连接子网和远端二层连接子网。 什么是隧道子网？ 隧道子网基于云专线或者VPN实现三层网络通信，包括本端隧道子网和远端隧道子网。企业交换机需要基于隧道子网之间的三层网络，为需要互通的云上和云下子网提供二层连接通道。

创建企业项目： 在IAM管理页面中，点击左侧菜单栏中企业项目进入企业项目管理页面 在企业项目管理页面中，点击创建企业项目按钮，在弹出框中填写企业项目名称与描述，点击确定即可 在企业项目中添加用户组： 在企业项目管理页面中，点击企业项目的查看用户组按钮进入企业项目的用户组管理页面 在企业项目的用户组管理页面中，点击设置用户组按钮，弹出设置用户组弹框 在弹出框中，选择用户组再点击>按钮加入已选用户组，最后点击确定按钮即可 对企业项目中的用户组设置策略： 在企业项目管理页面中，点击企业项目的查看用户组按钮进入企业项目的用户组管理页面 在企业项目的用户组管理页面中，点击用户组的设置策略按钮弹出设置策略弹框 在弹出框中选择对应策略，点击>按钮加入已选策略，最后点击确定按钮即可 功能权限控制 主账号可以通过给用户组授权策略实现对子账号的功能权限，策略包括系统策略和自定义策略。策略中可定义“允许”的操作和“拒绝”的操作，多个策略以”or”的关系进行评估，总体遵循Deny优先原则。 操作步骤：

本章节向您介绍如何修改企业路由器配置。 操作步骤 步骤1：登录管理控制台，进入企业路由器主页面。 步骤2：通过名称过滤，快速找到待修改配置的企业路由器。 步骤3：在目标企业路由器右上角区域，选择“更多>修改配置”，进入“修改配置”页面。 步骤4：根据界面提示，修改企业路由器的配置信息，具体如下表所示。 参数名称 参数说明 取值样例 名称 必选参数。 如果需要修改名称，请在此处输入企业路由器的新名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 ertest01 默认路由表关联 可选参数。 为了简化您后续的网络配置，此处建议您开启“默认路由表关联”功能，开启之后： 开启该功能，需要设置“关联路由表”，指定默认关联路由表。 设置完默认关联路由表后，在企业路由器中新创建连接时（比如连接A），会自动为连接A在默认关联路由表中创建关联。 开启 关联路由表 可选参数。 errtbb931 默认路由表传播 可选参数。 为了简化您后续的网络配置流程，此处建议您开启“默认路由表传播”功能，开启之后： 开启该功能，需要设置“传播路由表”，指定默认传播路由表。 设置完默认传播路由表后，在企业路由器中新创建连接时（比如连接A），会自动为连接A在默认传播路由表中创建传播。 开启 传播路由表 可选参数。 开启“默认路由表传播”功能，则需要设置“传播路由表”。设置说明如下： 您可以指定自定义路由表。 您如果不指定任何路由表，系统会自动创建名称为“defaultRouteTable”的路由表，将其作为默认传播路由表。 如果系统已有名称为“defaultRouteTable”的路由表，则不会重复创建。 errtbb931 自动接受共享连接 可选参数。 作为企业路由器的所有者，您可以将企业路由器共享给其他帐号的接受者，接受者可以在共享企业路由器中创建连接。 关闭该选项，接受者创建的连接需要所有者审批，所有者接受后才会创建。 开启该选项，接受者创建的连接会被自动接受，无需所有者审批。 开启 步骤5：基本信息设置完成后，单击“确定”，返回企业路由器列表页面。 步骤6：在企业路由器列表页面，查看企业路由器配置，该配置会立即生效。

本文向您介绍通过企业版VPN实现数据中心和VPC互通第六步：验证网络互通情况。 操作步骤 1. 登录管理控制台，单击“计算 > 弹性云主机”。 2. 登录弹性云主机。 本示例是通过管理控制台远程登录（VNC方式）。 在弹性云主机的远程登录窗口，执行以下命令，验证网络互通情况。 ping 172.16.0.100 其中，172.16.0.100为数据中心服务器的IP地址，请根据实际替换。 回显如下信息，表示网络已通。 plaintext 来自 xx.xx.xx.xx 的回复: 字节32 时间28ms TTL245 来自 xx.xx.xx.xx 的回复: 字节32 时间28ms TTL245 来自 xx.xx.xx.xx 的回复: 字节32 时间28ms TTL245 来自 xx.xx.xx.xx 的回复: 字节32 时间27ms TTL245

如何访问文件系统？ 文件系统可以通过以下几种方式进行访问： 云内通过内网访问文件系统，将文件系统挂载至归属相同VPC的云主机、容器或者物理机上，挂载成功后，可以在云主机、容器或者物理机上访问弹性文件系统，用户可以把弹性文件系统当作一个普通的目录来访问和使用，执行读取或写入操作。 云外通过云专线访问文件系统，可以通过云专线接入弹性文件服务，实现本地数据中心与弹性文件服务的网络互通。 为何无法使用showmount e ip 查看共享文件目录？ 基于安全因素考虑，目前已禁用该命令。您可以通过登录以下两种方式查看所有的文件系统： 方式一：通过弹性文件服务控制台查看。登录天翼云官网，点击“控制中心”，在“存储”模块下点击“弹性文件服务SFS Turbo”进入控制台列表页。 方式二：通过OpenAPI查看。使用查询租户已开通文件系统列表接口即可获取。 如何避免NFS 4.0监听端口被误认为木马? 问题描述： 在通过NFSv4.0协议挂载NAS文件系统后，会出现一个随机端口（0.0.0.0）被监听的情况，并且无法通过netstat命令确定监听端口所属的进程，这可能导致误判为文件传输受到木马攻击的情况。 问题原因： 该随机端口是NFSv4.0客户端为了支持Callback而监听的。由于内核参数fs.nfs.nfscallbacktcpport默认值为0，因此NFSv4.0客户端会随机选择一个端口进行监听，而这个随机端口本身并不会带来安全风险。 解决方案： 在挂载文件系统之前，您可以通过配置参数fs.nfs.nfscallbacktcpport来指定一个非零的确定值，以固定该监听端口。 命令如下： sudo sysctl fs.nfs.nfscallbacktcpport 请将上述命令中的替换 为您希望使用的具体端口号。通过上述操作，您可以固定NFSv4.0客户端的Callback监听端口，避免随机端口的出现，从而减少误判为木马攻击的可能性。

连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云主机上，且该弹性云主机与文档数据库服务实例处于同一区域，同一VPC时，建议使用内网IP地址连接文档数据库服务实例。 安全性高。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的DDS实例在同一虚拟私有云子网内，使用内网连接。 公网连接 弹性公网IP 当应用部署在弹性云主机上，且该弹性云主机与文档数据库服务实例处于不同区域时，建议使用弹性公网IP连接文档数据库实例。 如果您使用天翼云以外的设备（例如本地设备、其他云厂商服务器等）连接文档数据库服务实例，建议使用弹性公网IP连接文档数据库服务实例。 安全性稍低。 公网连接需要购买弹性公网IP，并与文档数据库服务实例节点进行绑定。

本节介绍翼甲控制台的IPsec VPN操作。 IPsec VPN 是采用IPSec协议来实现远程接入的一种VPN技术，IPSec全称为Internet Protocol Security，是由Internet Engineering Task Force (IETF) 定义的安全标准框架，在公网上为两个私有网络提供安全通信通道，通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。 IPsec协议为IP层上的网络数据安全提供了一整套安全体系结构，包括安全协议AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange，互联网密钥交换）以及用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务， IKE协议用于密钥交换。 IPsec VPN隧道 （1）添加IPsec VPN隧道：点击“添加”可添加IPsec VPN隧道。 启用：配置完成，保存翼甲云防火墙配置后立即生效 描述：输入IPsec连接的描述。 连接类型：可选隧道模式和传输模式。 IKE版本：可选IKEv1和IKEv2。 接口：单带宽时选择外网口会自动补全外部IP，也可选择自定义外部IP。 外部IP：翼甲云防火墙外网口IP。 远程主机：对端公网IP。 本地网络：输入翼甲云防火墙侧VPC所属网段。 远程网络：输入本地网关设备侧的网段。 共享密钥：输入共享密钥，该值必须与本地网关设备的预共享密钥一致。 阶段1 IKE/ISAKMP手动配置：手动配置阶段1参数，该值必须与本地网关设备的参数一致。 阶段2 ESP手动配置：手动配置第2阶段参数，该值必须与本地网关设备的参数一致。 在创建IPsec连接页面，根据页面信息配置IPsec参数，然后点击完成。 至此翼甲云防火墙侧的IPSec vpn配置完毕。 步骤2：配置安全组 确保vpc的桌面安全组规则允许本地网络网段访问。 步骤3：配置本地网关设备侧IPSec vpn （2）刷新：点击“刷新”可刷新并查看当前IPsec VPN隧道激活情况。 （3）导出：点击“导出”，可将IPsec VPN隧道以JSON文件的形式进行导出。 （4）导入：将IPsec VPN隧道以JSON文件的格式编辑后，点击“批量删除”，可批量导入静态DNS条目。 （5）删除：点选IPsec VPN隧道并点击“批量删除”，可对所选条目进行批量删除；在单条IPsec VPN条目最右侧操作列点击“删除”可删除当前条目。 （6）编辑：在已创建隧道的最右侧操作列，点击“编辑”，可对单条内容配置进行编辑。 （7）复制：在已创建隧道最右侧操作列，点击“复制”，将会弹出复制确认框，用户可基于当前条目的字段进行二次编辑，点击确认后可创建条目。

Nacos引擎支持命名空间关联企业项目，关系为N:1，即N个命名空间可关联到一个企业项目。 默认在创建命名空间中创建的命名空间是没有关联企业项目，可以通过编辑企业项目操作，将命名空间同企业项目进行关联。 步骤 1 登录微服务引擎控制台。 步骤 2 在左侧导航栏选择“注册配置中心”。 步骤 3 单击待操作的Nacos引擎。 步骤 4 在左侧导航栏选择“权限控制”。 步骤 5 在“控制台资源管理”页签下，单击待操作的命名空间右侧“企业项目”的，在“编辑企业项目”弹出框中，在下拉框中选择企业项目，单击“确定”，编辑成功。 说明 编辑企业项目时，只支持更换企业项目，不可将企业项目置空。

本节主要介绍对象存储迁移实施 对象存储迁移服务（Object Storage Migration Service，OMS）是RDA提供的一种数据迁移服务，帮助客户将其他云服务商对象存储服务中的数据在线迁移至天翼云的对象存储服务（ObjectStorageService，OBS）中。 说明 目前支持亚马逊云（中国）、阿里云、微软云、百度云、华为云、金山云、青云、七牛云、腾讯云平台的对象存储数据迁移到天翼云。 对象存储迁移服务可创建的迁移方式包括： 迁移任务：适用于单个桶数据量不超过3 TB或对象个数不超过500万的对象存储迁移场景。 迁移任务组：适用于单个桶数据量大于3 TB或对象个数大于500万的对象迁移场景。 对象存储迁移使用指导详情请参考云迁移工具RDA用户指南对象存储迁移 迁移前准备工作： 1、购买一台windows弹性云主机用于安装云迁移工具RDA软件。 硬件 / 软件 推荐配置 CPU 1.8GHZ及以上 Memory 4G及以上 Hard Disk 部署安装 RDA的服务器分区需要 3GB以上可用空间。RDA运行过程中，部署安装的分区需要保留 100M以上可用空间。 OS Windows Server 2012Windows Server 2012 R2 Windows Server 2016Windows Server 2019建议选用2016 浏览器 Chrome 31 及以上版本Firefox 27及以上版本 2、 购买一台或者多台linux弹性云主机用于对象存储迁移agent安装。 安装Agent的云主机必须为Linux系统，且必须与安装RDA的服务器处于同一个VPC、同一个安全组。且需要在目的端资源池。 说明 安装RDA的windows主机和agent主机都需要绑定弹性IP。 3、AK/SK：天翼云官网控制台账号我的凭证管理访问秘钥，点击新增访问秘钥，在弹窗生成的excel表中获取对应AK/SK。 4、目标端资源池对照源端创建好相应的桶。 5、对象存储迁移流程如下：

对OpenClaw云主机进行备份保护,可快速恢复至已有备份时间点,保障数据安全可靠。 云主机备份配置入口 点击Openclaw应用详情页，可查看点击“备份”页签查看云主机备份配置。 说明 1、仅服务器类型为云主机时，支持云主机备份相关配置 2、已支持云主机备份配置的资源池：西南1、武汉41、长沙42、华南2、杭州7、华东1、上海7、拉萨3 创建立即备份（一次性备份） 前提条件 云主机的状态为“运行中”或“已关机”。 云主机上挂载的云硬盘状态为“已挂载”或“未挂载”。 已创建至少一个存储库，且存储库的状态为“可用”。 使用须知 如果备份的云硬盘为加密云硬盘，则云主机备份会自动继承加密属性，创建加密的备份副本。 操作步骤 点击备份副本列表上方的“立即备份”，对云主机进行备份。 确认配置参数无误后，点击“确定”，返回备份页签页面，在备份副本列表中，您可查看备份创建的状态，待状态变为“可用”时，则表示备份创建完成。 数据恢复 方式一 使用备份恢复云主机 约束与限制 云主机备份通常支持将整个云主机（包括系统盘和所有数据盘）作为一个整体进行备份和恢复，因此备份会包含所有挂载在云主机上的云硬盘数据。目前备份系统不支持对云主机中的部分云硬盘进行备份和恢复操作。 云主机备份不支持将数据盘数据恢复到系统盘中。 仅“可用”状态的备份允许恢复。

1. 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1.1 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 1.2 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“2.1.2 创建自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。相关的系统策略包含如下： vpc Admin：弹性IP/共享流量包/IPv6服务的管理者权限，包含弹性IP/共享流量包所有控制权限（不含订单类权限）； vpc Viewer：弹性IP/共享流量包/IPv6服务的观察者权限，包含弹性IP/共享流量包服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“创建自定义策略“。

本章节为您介绍数据源管理的相关内容。 本模块主要用于数据源管理。您可以在本模块手动添加或导入数据源，或者利用主动嗅探资产 和被动发现资产功能，待系统自动发现数据源后，再对数据源执行添加操作。 查看数据源列表 1.使用安全管理员账号登录数据分类分级实例。 2.在左侧导航栏选择“数据资产管理 > 数据源管理”即可进入“数据源管理”页面查看数据源列表。 数据源列表的展示字段包括：数据源名称、数据源类型、主机:端口、业务系统、部门、责任人、创建用户、创建时间、最近同步时间、最近分类分级时间、发现结果、同步状态、同步标识、分类分级状态、同步进度、操作。由于页面宽度的限制，部分字段需要拉动页面下方水平滚动条进行查看。其中： 同步状态：分为待同步、已同步、同步中、失败四种； 同步标识：分为已更新、建议重配两种；同步状态为待同步或失败的数据源，其同步标识为空； 分类分级状态：分为待执行、执行中、暂停、完成、失败五种，执行分类分级任务见“分类分级管理 > 结构化数据”页面； 发现结果：显示最近一次分类分级中发现的新增字段数和减少字段数。 新增数据源 1.使用安全管理员账号登录数据分类分级实例。 2.在左侧导航栏选择“数据资产管理 > 数据源管理”，进入“数据源管理”页面。 3.单击页面左上角的“新增”即可开始新增数据源。 参数 参数说明 填写示例 数据源类型 支持选择以下类型： StructFile类型：METADATE、FTP、SFTP、LOCAL DB类型：MYSQL、ORACLE、POSTGRESQL、UXDB、MSSQL、MARIADB、INFORMIX、SYBASE、DM、DB2、GBASE、CACHEDB、KINGBASE、OSCAR、OCEANBASE、GOLDENDB、TIDB、MYCAT、DBLE、DRDS、TELEDB、TDSQLFORMYSQL、TELEPG、REDIS、XUGUDB BigData类型：HIVE、INCEPTOR、IMPALA、MONGODB、ELASTICSEARCH、CLICKHOUSE、GREENPLUM、HBASE、ODPS、POLARDB、TERADATA、VERTICA、GAUSS100、GAUSS200、HANA、HUAWEIDLI、Doris DAM类型：DAM 说明 新增DAM类型数据源需预使用系统管理员账号在“系统管理高级配置”页面，启用“接受三方数据资产信息”。 仅MySQL、PG数据源支持IPv6 DB：MySQL 数据源名称 自定义新增的数据源名称 Test 行业模板 选择需要使用的行业模板，如何新增行业模板可参考：行业模板章节。 金融 驱动 选择当前数据源的数据库驱动版本 主机 填写数据源的主机地址，一般可填写IP地址 192.168.0.1 端口 填写数据源的主机端口 8080 库名/实例名 填写数据源的库名或实例名 Test 版本号 填写数据源的版本号 v1 账号 填写可正常访问数据源的账号 admin 密码 填写正确的密码 4.填写完毕后，单击“保存”，系统会弹出提示“是否自动同步”，根据您自身需求选择。 若选择“确定”，系统会自动同步当前数据源，获取其中数据表的表名、表注释、字段名、字段注释等信息，为后续分类分级扫描做准备；该过程不涉及字段内容的抽样。 若选择“取消”，则关闭弹框，不执行任何其他操作，用户界面停留在当前页面，新增数据源需要后续手动点击“操作”列“同步”。 说明 若您添加的为非METADATA类型的数据源，可以对数据库账号进行“获取扫描配置”。 若获取扫描配置成功，提示“测试成功”； 若获取扫描配置失败，提示“测试失败”，并且鼠标悬浮时提示具体错误信息。

本章节向您介绍在企业路由器的路由表中删除静态路由。 操作步骤 步骤1：登录管理控制台，进入企业路由器主页面。 步骤2：通过名称过滤，快速找到待创建路由的企业路由器。 步骤3：您可以通过以下两种操作入口，进入企业路由器的“路由表”页签。 在企业路由器右上角区域，单击“管理路由表”。 单击企业路由器名称，并选择“路由表”页签。 步骤4：在路由表列表中选择目标路由表，并在“路由”页签下，单击目标路由所在行的操作列下的“删除”。弹出删除确认对话框。 步骤5：确认无误后，单击“是”删除路由。返回路由列表页面，等待2~3 s，单击刷新路由列表，可以看到路由已被成功删除。 注意 路由删除后无法恢复，请谨慎操作。

本小节介绍态势感知功能特性。 基础版及通用功能 资产发现 通过主被动两种资产探测方式，实时精准地持续监控资产变化情况，可自动识别网络设备、主机、安全设备、操作系统、数据库、Web应用等。 资产管理 资产组件信息、变化趋势、端口分布、归属、操作系统分布自动化统计。可根据IP、操作系统、应用组件/服务、归属部门、硬件信息等进行资产高级检索，快速统计资产信息、根据资产特征排查安全隐患。 脆弱性检测 通过漏洞扫描完成资产脆弱性评估，漏洞库可覆盖当前网络环境中主流的操作系统、数据库、Web中间件、网络设备漏洞，同时，对接国家安全监测平台的漏洞预警、安全事件通报及漏洞检测规则，完成检测规则的更新，有效应对突发安全事件，支持以资产存在漏洞及漏洞影响资产两个维度展示脆弱性资产。 网络威胁检测 根据网络流量可识别丰富的网络应用层协议，通过协议分析、内容萃取等报告对应的异常事件，可检测勒索软件、恶意软件、信息泄露、C&C通信、扫描探测、暴力破解、系统提权、Web攻击等网络威胁。同步国家能力中心下发的恶意URL、域名等信誉数据，完成新型威胁及高级持续威胁的检测。 高级版功能

本文介绍了云防火墙（原生版）的产品定义和产品架构。 云防火墙（原生版）（CTCFW，Cloud Firewall）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，帮助您完成网络边界防护与等保合规。 产品功能 访问控制：可统一管理互联网访问控制策略（南北向），提供流量可视、访问控制、入侵防御等功能，全面保护用户的网络安全。 入侵防御：内置复合威胁检测引擎，支持对互联网上的恶意流量、DDoS攻击，漏洞利用等攻击行为进行入侵防护，并提供精准的漏洞虚拟补丁，智能阻断入侵风险。 流量可视：提供全面的用户业务流量可视化，实现网络访问可视，网络会话可视，网络行为可视，帮助用户全面感知网络情况。 日志审计：为用户全面记录入侵防御日志、访问控制日志、流量日志和操作日志，帮助用户完成等保合规要求。 产品架构 云防火墙（原生版）整体架构主要包括3个部分，分别为中央管理平台、南北向流量控制模块和日志平台。 中央管理平台：提供策略规则的编辑和下发能力，并展示安全整体情况，为您提供可视化平台。 南北向流量控制模块：主要用于实现互联网到主机间的访问控制，支持4~7层访问控制。 日志平台：存放入侵防御日志、访问控制日志、流量日志和操作日志，并提供查询分析能力。

本页主要介绍企业项目迁移的相关步骤。 操作场景 该功能支持实例迁移到不同的企业项目，在不释放实例的情况下进行转换，方便企业进行管理相关实例。 操作步骤 1. 登陆天翼云官网，右上角点击“我的”，选择“帐号中心”。 2. 进入到帐号中心管理页面，左侧边栏点击“统一身份认证”。 3. 选择“企业项目”，并点击想要迁移的项目右侧的“查看资源”。 4. 选择想要迁出的资源所在的资源池以及产品类型，可以在右侧“资源名称”进行搜索。 5. 选择完毕，点击“迁出”，并选择要目标企业项目。需要注意，若当前资源与其他资源间存在绑定关系，迁移此资源，可能影响部分子用户下相关资源无法查看。 6. 回到管理控制台，右上角选择目标企业项目，可以查看到以上步骤中迁出的实例。

本节介绍云下一代防火墙功能特性,包括应用识别、监控统计等。 功能介绍 产品功能 功能解释 应用识别 在进行分析报文头的基础上，结合不同的应用协议特征库综合判断所属的应用 监控统计 对设备数据进行统计，并以柱状图、折线图、表格、报表、日志等方式呈现出来，帮助用户通过统计数据掌握设备状况，排查问题 用户认证 对用户进行识别，通过认证的用户可以访问对应的管理资源 访问控制 划分安全区域和非安全区域，区域之间的访问基于安全策略进行控制 攻击防护 暴力破解，DDoS攻击，泛洪攻击等多种攻击方式监测与拦截 入侵防御 实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作 病毒过滤 探测各种病毒威胁，例如恶意软件、恶意网站等，并且根据配置对发现的病毒进行处理。 数据安全 文件级数据安全防护，根据文件格式和传输协议探测文件数据安全 僵尸网络防护 外连网络安全监测，可以识别内网失陷主机，拦截挖矿等外连服务 IP信誉库 国家地址位置IP信誉识别，识别风险IP双向流量，定期更新特征库 云沙箱 未知威胁风险文件模拟运行环境，动态静态双模式识别 页面访问控制 针对不同用户的权限对页面的访问进行区别 带宽管理 能够管理和优化网络带宽，提高用户的网络体验和带宽资源利用率 高可用性 在通信线路或设备产生故障时提供备用方案，从而保证数据通信的畅通，有效增强网络的可靠性 IPV6 全面适配IPV6环境，支持IPV4与IPV6双栈网络 授权管理 集中管理功能授权并可进行不同种类授权的统一下发 REST API 标准restAPI接口，特殊用户需求可进行联调开发 VPN 支持IPSEC VPN和SSL VPN功能配置

规格名称 版本 服务内容 交付物 收费方式 标准价格 等保咨询等保二级 简化版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务。 《等保测评技术指导》 按次计费 20000元/次 等保咨询等保二级 简化版 提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务。 《差距分析评估》 按次计费 20000元/次 等保咨询等保二级 标准版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。 《等保测评技术指导》 按次计费 120000元/次 等保咨询等保二级 标准版 提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务，并输出《差距分析评估》。 《差距分析评估》 按次计费 120000元/次 等保咨询等保二级 标准版 提供针对性的等保合规要求的整改安全方案。 《差距整改方案》 按次计费 120000元/次 等保咨询等保三级 简化版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务。 《等保测评技术指导》 按次计费 30000元/次 等保咨询等保三级 简化版 提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务。 《差距分析评估》 按次计费 30000元/次 等保咨询等保三级 标准版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务。 《等保测评技术指导》 按次计费 180000元/次 等保咨询等保三级 标准版 提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务。 《差距分析评估》 按次计费 180000元/次 等保咨询等保三级 标准版 提供针对性的等保合规要求的整改安全方案。 《差距整改方案》 按次计费 180000元/次 扩展包 超过20台云主机或者所处行业监管要求特殊的客户，请选择扩展包，具体需要增加多少请与天翼云安全专家沟通后确定 按次计费 5000元/个

本节主要介绍为企业项目迁入资源 当资源需要按照企业业务进行分组管理或当资源分组发生变化时，可以对资源进行迁入或迁出操作，实现资源管理权限的重新分配。 企业项目管理支持跨资源节点将资源迁入到同一企业项目授权管理。 操作步骤 步骤 1 企业管理员使用已注册的天翼云帐号登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”，在企业管理控制台左侧导航菜单中，单击“项目管理”。 步骤 3 在企业项目管理页中的项目列表，单击企业项目名称，在企业项目详情页中，单击“资源”页签。 步骤 4 在“资源”页签，单击“迁入”，弹出迁入资源对话框。 系统显示“迁入资源”页面。 步骤 5 选择“迁入方式”。 单资源迁入：将每个资源作为独立资源迁入，并且可以同时迁入多个资源。 如果是除ECS外的其他资源时，那么必须选择此项。 如果资源是ECS，可以选择此项，表示只迁入ECS，不迁入ECS的关联资源，例如该ECS绑定的云硬盘和弹性IP。 ECS关联迁入：只需选择ECS资源，其关联的资源将自动同时迁入。 仅当资源是ECS，才可以选择此项，目前仅支持ECS及其关联资源云硬盘、弹性IP同时迁入。 步骤 6 在资源列表上方的筛选框中对“服务”、“区域”和“企业项目”进行筛选，或者在搜索框中直接输入资源名称进行精确搜索。 步骤 7 单击列表中资源类型列的，对“资源类型”进行筛选。 下方展示符合条件的资源。 迁入方式为“ECS关联迁入”时，不支持对“服务”和“资源类型”进行筛选。 步骤 8 勾选待迁入资源，单击“确定”。 资源迁入完成，在当前企业项目的资源列表中即可查看迁入的资源。

本文帮助您快速熟悉修改二层连接名称的操作方法。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络>企业交换机”。 进入企业交换机页面。 3. 单击目标企业交换机名称。 进入对应的企业交换机详情页面。 4. 在企业交换机详情页面下方，找到待修改名称的二层连接。 根据界面提示，单击二层连接名称旁的，输入对应的信息。 5. 单击，完成信息修改。

企业路由器是一个支持路由学习的高性能集中路由器，本章节为您介绍企业路由器的优势。 高性能 企业路由器采用集群部署，独享资源确保高性能，满足大规模组网的业务负荷。 高可用 企业路由器可同时部署在多个可用区，打造双活模式，无缝实时切换，确保业务连续性。 管理简单 企业路由器可以实现多VPC互联，在接入的所有网络实例之间路由流量，可以简化网络拓扑，降低网络管理难度，提升网络运维效率。可以减少的工作说明如下： 对于VPC互通，不再需要您频繁创建多个VPC对等连接，维护每个VPC路由表。 企业路由器支持路由学习，能够自动进行路由信息的更新和同步，当网络拓扑变更时，能够自动收敛，无需手工配置、变更繁琐的路由条目。

本文帮助您了解如何创建云企业路由器实例。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，单击“创建云企业路由器”，进入创建云企业路由器页面。 5. 在云企业路由器页面，根据提示，填写参数，单击“确定”，完成创建。 参数 说明 大区域 选择大区域（单选），目前仅支持“中国大陆”、“亚太” 资源池 选择资源池（区域） 名称 输入云企业路由器名称 描述 云企业路由器描述

本节介绍了磁盘脱机怎么办的问题描述、问题原因、处理方法。 问题描述 Windows操作系统的云主机由于管理员设置的策略，该磁盘处于脱机状态，提示：由于管理员设置的策略，该磁盘处于脱机状态，如下图所示。 图 磁盘脱机 问题原因 Windows操作系统SAN策略分为三种类型：OnlineAll，OfflineShared，OfflineInternal 表 Windows操作系统SAN策略类型 类型 说明 OnlineAll 表示所有新发现磁盘都置于在线模式。 OfflineShared 表示所有共享总线上（比如FC, ISCSI）的新发现磁盘都置于离线模式，非共享总线上的磁盘都置于在线模式。 OfflineInternal 表示所有新发现磁盘都置于离线模式。 对于部分版本的Windows操作系统（如Windows 2008/2012 企业版、数据中心版），默认是共享离线OfflineShared模式。 处理方法 使用DiskPart磁盘分区管理工具来查询、设置云主机的SAN策略，将其修改为OnlineAll类型。 1. 登录Windows云主机。 2. 按快捷键“Win+R”，运行cmd.exe。 3. 执行以下命令，进入DiskPart。 diskpart 4. 执行以下命令，查看云主机当前的SAN策略。 san − 如果SAN策略为OnlineAll，请执行exit命令退出DiskPart。 − 否，请执行5。 5. 执行以下命令，修改云主机SAN策略为OnlineAll。 san policyonlineall 6. （可选）如需永久生效，您可以将修改过SAN策略的云主机制作为私有镜像。由该私有镜像创建的云主机，添加的磁盘只需执行初始化操作，磁盘默认是联机状态。

本小节介绍渗透测试的服务流程，帮助您了解服务开展过程。 渗透测试服务以人工服务为主，我们的渗透测试人员在取得您的授权后，将对目标系统进行全面的渗透测试工作，总体流程如下： 1. 客户订购与需求匹配的服务规格并下单付款。 2. 客户经理会与您取得联系，协助您完成《业务需求单》及《渗透测试授权书》的填写，您需要如实填写以下内容： 域名备案信息比对，必须为真实、合法信息。 被检测的IP主机信息。 如您为天翼云托管用户，需要提供域名清单，解析后必须为天翼云主机IP，才可提供渗透测试服务。 您所提供的应用URL描述须写明功能是什么或用途是什么。 业务接口人联系方式，您需提供一个具有对渗透测试方案及渗透测试过程中出现的问题有决定权的业务接口人联系人。 如您有安全防护设备，应在渗透测试开始阶段将渗透测试所用的公网IP加入安全防护设备白名单，避免因渗透测试工作带来的告警。（如在渗透测试开始阶段客户未将渗透测试所用的公网IP加入安全防护设备白名单，由此产生的告警及对渗透测试结果的影响，我方不承担责任。） 您需签订渗透测试授权书。 3. 我们会根据您提供的信息，与您进行沟通，编写渗透测试方案，并与您确认测试细节，双方确认无误后，将进入渗透测试环境，渗透测试工作主要包含如下步骤： 明确目标：确定渗透测试的范围，如IP、域名、内外网、整站或部分模块，确定规则，如能渗透到什么程度，是发现漏洞为止还是继续利用漏洞，确定需求，如Web应用的漏洞，业务逻辑漏洞，人员权限管理漏洞。 信息收集：在信息收集阶段要尽量收集关于项目软件的各种信息，例如，对于一个Web应用程序，要收集脚本类型、服务器类型、数据库类型以及项目所用到的框架、开源软件等。 漏洞探测：进行漏洞探测，包括手动和自动探测。 漏洞验证：对探测出的漏洞进行验证，确定其真实存在。 信息分析：对收集到的信息进行分析，尝试利用漏洞获取数据。 利用漏洞获取数据：如果能够利用漏洞获取数据，则进行数据获取。 信息整理：对获取到的数据进行整理，方便后续分析。 形成报告：根据渗透测试的实际情况，形成详细、专业的报告。 4. 形成报告后，我们会将报告发送给您，您可以根据报告内容，发现系统漏洞，及时加固完善。 以上为渗透测试的基本服务流程，如您在服务过程中有任何问题，请您与客户经理联系并反馈，我们会尽快为您处理。

本文将为您说明标签管理的使用限制。 因不同云服务的特殊业务场景，目前不同云服务间管理标签的限制不完全统一，具体限制内容如下： 序号 云服务分类 云服务名称 产品控制台创建资源时是否支持绑定标签 产品控制台列表是否支持绑定和解绑标签 标签字符长度限制 标签字符内容限制 单实例默认可绑定标签个数 1 计算 弹性云主机 是 是 128位 首尾不包含空格 50 2 计算 GPU云主机 是 是 128位 首尾不包含空格 50 3 计算 物理机 是 是 128位 首尾不包含空格 50 4 计算 镜像服务 是 是 128位 首尾不包含空格 50 5 计算 弹性伸缩服务 是 是 128位 首尾不包含空格 50 6 存储 对象存储ZOS 是 是 128位 首尾不包含空格 50 7 存储 云硬盘 是 是 128位 开头不包含空格 50 8 存储 弹性文件服务 否 是 128位 首尾不包含空格 50 9 存储 并行文件服务HPFS 是 是 128位 首尾不包含空格 50 10 存储 海量文件服务OceanFS 是 是 128位 首尾不包含空格 50 11 存储 云硬盘备份 是 是 128位 开头不包含空格 50 12 存储 云主机备份 是 是 128位 开头不包含空格 50 13 存储 云备份 是 是 128位 首尾不包含空格 50 14 网络 弹性负载均衡 是 是 128位 首尾不包含空格 50 15 网络 共享流量包 否 是 128位 首尾不包含空格 50 16 网络 VPC终端节点 是 是 128位 首尾不包含空格 50 17 网络 NAT网关 是 是 128位 首尾不包含空格 50 18 网络 内网DNS 否 是 128位 首尾不包含空格 50 19 网络 弹性IP 否 是 128位 首尾不包含空格 50 20 网络 共享带宽 否 是 128位 首尾不包含空格 50 21 网络 虚拟私有云 否 是 128位 首尾不包含空格 50 22 网络 对等连接 是 是 128位 首尾不包含空格 50 23 网络 云间高速（标准版） 否 是 128位 首尾不包含空格 50 24 网络 VPN连接 否 是 128位 首尾不包含空格 50 25 网络 云专线CDA 是 是 128位 首尾不包含空格 50 26 专属云 专属云（计算独享型） 是 是 128位 首尾不包括空格 50 27 专属云 专属云（存储独享型） 是 是 128位 首尾不包括空格 50 28 云原生 云容器引擎 是 是 128位 首尾不包含空格 50 29 云原生 容器镜像服务 否 是 128位 首尾不包含空格 50 30 云原生 云日志服务 否 是 128位 首尾不包含空格 50 31 云原生 应用性能监控 否 是 128位 首尾不包含空格 20 32 云原生 微服务云应用平台MSAP 否 是 128位 首尾不包含空格 50 33 云原生 微服务引擎 否 是 128位 首尾不包含空格 20 34 云原生 应用服务网格 否 是 128位 首尾不包含空格 50 35 云原生 分布式缓存服务Redis版 是 是 128位 首尾不包含空格 50 36 云原生 分布式消息队列RocketMQ 是 是 128位 首尾不包含空格 50 37 云原生 分布式消息队列RabbitMQ 是 是 128位 首尾不包含空格 50 38 云原生 分布式消息队列Kafka 是 是 128位 首尾不包含空格 50 39 云原生 分布式消息队列MQTT 是 是 128位 首尾不包含空格 50 40 云原生 弹性容器实例ECI 否 是 128位 首尾不包含空格 50 41 云原生 分布式容器云平台CCE ONE 是 是 128位 首尾不包含空格 20 42 云原生 函数计算 否 是 128位 首尾不包含空格 50 43 安全及管理 Web应用防火墙（原生版） 否 是 无限制 首尾不包含空格 50 44 安全及管理 服务器安全卫士（原生版） 否 是 128位 首尾不包含空格 10 45 安全及管理 云等保专区 否 是 128位 首尾不包含空格 50 46 安全及管理 数据库审计 否 是 128位 首尾不包含空格 10 47 安全及管理 云堡垒机（原生版） 否 是 128位 首尾不包含空格 10 48 安全及管理 日志审计（原生版） 否 是 128位 首尾不包含空格 10 49 安全及管理 秘钥管理 否 是 128位 首尾不包含空格 10 50 安全及管理 云密评专区 否 是 128位 首尾不包含空格 10 51 数据库 文档数据库服务 是 是 128位 首尾不包含空格 50 52 数据库 分布式关系型数据库 是 是 128位 首尾不包含空格 10 53 数据库 关系数据库PostgreSQL版 是 是 128位 首尾不包含空格 50 54 数据库 关系数据库MySQL版 是 是 128位 首尾不包含空格 50 55 数据库 云数据库ClickHouse版 是 是 128位 首尾不包含空格 50 56 数据库 关系数据库SQL Server版 是 是 128位 首尾不包含空格 50 57 数据库 数据传输服务DTS 否 是 128位 首尾不包含空格 50 58 人工智能 人脸检测 否 是 128位 首尾不包含空格 50 59 人工智能 人脸实名认证 否 是 128位 首尾不包含空格 50 60 人工智能 人脸属性识别 否 是 128位 首尾不包含空格 50 61 人工智能 动作活体识别 否 是 128位 首尾不包含空格 50 62 人工智能 人脸活体检测 否 是 128位 首尾不包含空格 50 63 人工智能 人脸对比 否 是 128位 首尾不包含空格 50 64 人工智能 通用型OCR 否 是 128位 首尾不包含空格 50 65 人工智能 营业照识别 否 是 128位 首尾不包含空格 50 66 人工智能 车牌识别 否 是 128位 首尾不包含空格 50 67 人工智能 身份证识别 否 是 128位 首尾不包含空格 50 68 人工智能 驾驶证识别 否 是 128位 首尾不包含空格 50 69 人工智能 行驶证识别 否 是 128位 首尾不包含空格 50 70 人工智能 语音合成 否 是 128位 首尾不包含空格 50

本文介绍如何进行端口映射的配置。 做端口映射时，请确保安全组、防火墙已放通对应的端口。 Windows云主机（2012） 打开cmd窗口执行命令。 netsh interface portproxy add v4tov4 listenaddress本机内网IP connectport源端口 connectaddress映射主机内网IP listenport映射端口 Linux云主机（CentOS 7.6） 以登录为例，登录“弹性云主机1”的1080端口自动跳转访问“弹性云主机2”的22端口。 1. 登录Linux弹性云主机。执行如下命令，修改文件。 vi /etc/sysctl.conf 在文件中添加“net.ipv4.ipforward 1”。 执行如下命令，完成修改。 sysctl p /etc/sysctl.conf 2. 在“iptables”的“nat”表中添加规则，执行如下命令，通过弹性云主机1的1080端口映射到弹性云主机2的22端口。 iptables t nat A PREROUTING d 弹性云主机1私网IP p tcp dport 1080 j DNAT todestination 弹性云主机2私网IP:22 iptables t nat A POSTROUTING d 弹性云主机2私网IP p tcp dport 22 j SNAT to 弹性云主机1私网IP 3. 验证配置是否生效，执行如下命令，登录弹性云主机1的1080端口。 ssh p 1080 弹性云主机1公网IP 4. 输入yes及弹性云主机2的密码后，登录到弹性云主机2。

企业项目视图 在企业项目视图下，您可以选择如下过滤条件查看对应授权记录。 策略名 ：权限的名称。单击权限名称可以查看权限详情。 如需查看指定权限的授权记录，选择过滤条件为“策略名”，输入指定权限名称，查看该权限的授权记录。 用户名/用户组名/委托名 ：IAM用户、用户组、委托的名称。 如需查看指定IAM用户/用户组的企业项目授权记录，选择过滤条件为“用户名”、“用户组名”，输入指定对应名称，查看其授权记录。 说明 企业项目不支持委托功能，请选择过滤条件为“用户名”、“用户组名”。 基于企业项目授权，最小授权单位为用户，查看企业项目视图下指定IAM用户授权记录时，显示该IAM用户及其所属用户组的授权记录。 企业项目 ：企业项目的名称，即权限的作用范围。查看指定企业项目的授权记录，选择区域过滤条件为“企业项目”，输入企业项目名称，查看基于该企业项目的所有授权记录。 主体类型 ：授权对象类型，可以选择用户、用户组、委托3种。企业项目视图下，可以选择主体类型为“用户”、“用户组”；如果选择“委托”，筛选结果为空。 项目区域： IAM项目或区域。如果您在企业项目视图下，选择“项目区域”为过滤条件，并选择指定项目，将自动切换至IAM项目视图。

本文档帮助您了解如何申请企业交换机并建立大二层链接通道。 企业交换机基于VPN或者云专线网络，在云下IDC和云上VPC之间建立二层网络。企业交换机配置流程如下图所示。 图企业交换机配置流程图 表构建同区域VPC互通组网流程说明 序号 步骤 说明 1 步骤一：使用云专线或VPN连通三层网络 企业交换机建立二层通信网络时，依赖云下IDC和云上VPC之间的三层网络。本章节指导用户使用云专线或者VPN，建立本端隧道子网和远端隧道子网之间的三层网络通信。 2 步骤二：购买企业交换机 本章节指导用户购买企业交换机，企业交换机可以基于VPN或者云专线网络，在云下IDC和云上VPC之间建立二层网络通信。 3 步骤三：创建二层连接 企业交换机购买完成后，您还需要创建二层连接，建立本端二层连接子网和远端VXLAN交换机之间的二层网络通信。本章节指导用户创建二层连接。 4 步骤四：配置远端隧道网关 本指导用户在云下IDC侧的VXLAN隧道交换机上配置隧道网关，建立远端二层连接子网在IDC侧的VXLAN隧道。

本章节向您主要介绍企业路由器的使用限制。 配额说明 企业路由器的配额说明如下表所示。 配额项目 配额说明 每个虚拟私有云支持同时接入的企业路由器数量 不支持修改 每个企业路由器支持创建的路由表数量 不支持修改 每个企业路由器支持的最大路由数量 不支持修改 每个租户支持创建的流日志最大数量 不支持修改 规格说明 企业路由器的规格说明如下表所示。 规格项目 默认规格 申请提升规格 每个租户支持创建的企业路由器数量 1个 请您提交工单申请 每个企业路由器支持的最大转发能力 100 Gbps 请您提交工单申请 约束与限制 企业路由器不支持和VPC的虚拟IP一同使用，如果您的组网中存在VPC的虚拟IP，请提交工单，由技术人员对组网方案进行评估。 当您的VPC和ER组网存在以下情况时，则不建议您在VPC路由表中将下一跳为ER的路由配置成默认路由0.0.0.0/0，那样会导致部分业务流量无法转发至ER。 VPC被ELB、NAT网关、VPCEP、DCS服务占用。 VPC内的ECS绑定了EIP。 当前VPC路由表中不支持添加目的地址为100.64.x.x网段，且下一跳指向ER的路由。

本文将为您介绍基于企业财务管理做企业资金统一管理的流程。 企业财务管理中，可通过创建财务托管子账号的方式来实现资金统一管理，若为财务独立子账号，则可通过企业主账号为财务独立子账号做资金拨款的方式实现资金统一管理，以下是具体的操作流程： 1. 首先天翼云账号需完成企业中心开通流程，具体见开通企业中心。 2. 进入企业中心组织管理，通过创建/邀请账号的形式完成企业主子账号关联，具体见创建子账号和邀请子账号。 3. 企业主账号为财务独立子账号（限制主子账号实名认证一致）做现金拨款，为财务托管子账号做订单支付。