企业用户可以通过对公账户打款方式进行实名认证，本文讲述了对公账户打款认证流程。 对公账户打款认证需要您提供一个公司的对公银行账号，天翼云将通过中国银联向此账号里转入随机金额，您在天翼云实名认证页面准确输入到账金额后，即可完成认证。一个企业信息最多可以认证5个天翼云账号（含已注销3个月内的账号）。 注意事项 请准备好企业的银行对公账户。 确保该账户可用，天翼云将向该账户打款。 确保您能直接或间接查询该账户打款信息，需要接收并提交到账金额。 操作步骤 1、登录天翼云官网，进入实名认证页面。 2、选择“企业认证”。 3、在企业认证方式选择页面，选择“对公账户打款认证”。 4、根据页面提示，填写企业信息和银行对公账户信息。 注意 增值税专用发票抬头默认为单位名称，请与贵公司财务人员核实，确保与在税务机关预留的登记信息保持一致，以免影响发票的后续使用。如果选择开户行时，没有找到对应的银行，说明天翼云目前尚不支持向该银行打款。 5、核实您的身份 （1）法定代表人 选择法定代表人操作时，需要填写法定代表人姓名、身份证号码。 （2）被授权人（非法定代表人） 选择被授权人操作时，需要填写法定代表人姓名、授权书、被授权人姓名及身份证号码。 6、身份信息填写无误后，勾选“确保提供的信息真实有效”，并点击下方“下一步”，系统会弹出“身份认证”二维码对话窗。 7、使用天翼云APP或手机微信扫描二维码（请扫描页面实时弹出的“身份认证”对话框中的二维码，若过期请刷新），按照提示完成验证。 8、人脸识别通过后，系统进行信息校验，根据校验情况反馈结果。 （1）法定代表人操作 校验通过，则进入下一步。 校验不通过，如信息不一致，则需要修改信息，重新提交申请。 （2）被授权人操作（非法定代表人） 校验通过，提交后需要等待人工审核，审核时间为13个工作日。 校验不通过，如信息不一致，则需要修改信息，重新提交申请。 人工审核通过，则进入下一步；人工审核不通过，可在实名认证页面查看原因，调整后重新提交申请。 9、信息提交成功后，天翼云将通过中国银联向您的对公账户转入随机金额（0.01元~0.5元，预计将在02天内到账）。 10、请您及时关注并联系对公账户管理员，通过网上银行、手机银行、银行柜台等方式查询到账金额后，您可再回到实名认证页面，输入到账金额，单击“提交认证”，若到账金额输入正确且在有效期内则验证通过，完成实名认证。 说明 随机金额打款账户信息如下： 账户名称：银联商务支付股份有限公司 开户行：银联商务备付金账户 账号：215500709 银行对公账户认证申请7天内有效，超过7天请重新提交认证信息。

本文向您介绍新建息壤智算集群,帮助您了解息壤智算集群的基本情况。 息壤智算集群是用户账号在公共算力服务创建的用户专属集群，包含托管的k8s容器集群控制面和息壤上层平台所需的业务组件。 集群创建后，无需自行连接或登录控制面，以及自行修改或安装组件，而是通过息壤上层平台来使用。 当在上层平台运行业务时，可以选择共享集群或专属集群进行使用。 此功能目前只在部分资源池提供，具体资源池信息请询问客户经理 使用前提 当前用户是主账号。 操作步骤 1. 登录公共算力服务控制台，单击左侧导航栏中的【息壤智算集群】，进入集群列表页。 2. 单击列表页上方的【创建集群】，进入创建页面。 3. 填写相应信息 1）输入集群名称、可用区、网络等基本信息。 字段名称 类型 是否必填 说明 集群名称 输入框 是 支持中英文、数字、下划线（），220个字符，不能以下划线开头。集群名称不能重复。 可用区 单选 是 根据各资源池的可用区显示。 业务节点类型 单选 是 当前仅支持裸金属，且默认选中；后续可能包括裸金属和云主机两类。 卡类型 单选 是 当节点为裸金属是：包括英伟达和昇腾两个类型，默认选中英伟达。 虚拟私有云 下拉单选 是 点击可刷新VPC列表，点击【创建VPC】新打开页面跳转至创建虚拟私有云页面。 子网 下拉单选 是 子网下的普通子网类型，点击选择VPC子网，点击【创建子网】跳转至所选VPC的添加子网页面。 安全组 显示 是 默认查询是否有对应的安全组，如有则展示，如无则需要点击自动创建按钮进行创建，管理节点的安全组名称带系统前缀，用以区分用户自用的安全组：例如cpsxxxx。可点击自动创建按钮。可点击“配置策略规则”连接，查看具体安全组策略。 调度策略 多选项 否 支持DRF，Binpack ,Gang三种调度策略，可以多选。 描述 输入框 否 2）点击 【下一步：集群控制面配置】，进入下一步配置，输入相关信息。 字段名称 类型 是否必填 说明 集群规模 单选 是 包括4种，1100节点，101300节点，301500节点，5001500节点，默认选择 1100节点。 计费模式 单选 是 目前支持包年包月计费方式。 时长 选择 是 目前支持包年包月支持选择111月，默认1个月。 续订方式 选项 是 包括自动续订，手动续订。 规格 单选 是 选择资源池可选的规格。 系统镜像 单选 是 选择管理节点的操作系统。 系统盘 单选 是 仅支持超高IO类型，最小40G，系统盘规格范围402048G。 数据盘 单选 是 选择一块数据盘，仅支超高IO类型，最小500G，数据盘规格范围50032768G。 节点数量 输入框 是 根据集群规模自动匹配。 API Server 选择 是 选择标准I型，增强I型，高阶I型，默认标准I型。可通过“了解ELB” 查看ELB文档。 3）点击【下一步，确认信息】，进行开通信息确认，勾选协议，点击【立即创建】跳转官网支付，支付完成后即完成集群的创建，后续集群管理员便可在息壤智算集群列表/详情页中对集群进行管理。

本文将为您介绍企业主账号对子账号订单管理的限制条件及操作流程。 查看企业下各账号（主账号&子账号）的订单信息。 约束与限制 1. 仅企业主账号可进入企业中心查看订单信息。 2. 财务独立子账号已接受主账号“允许主账号查看子账号的财务信息（余额/消费/成本/订单/账单等）”的权限申请。 3. 企业主账号默认有查看财务托管子账号订单的权限。 查看订单详情 1. 进入“财务管理>消费汇总与发票”页面。 2. 选择需要查看订单的账号，点击操作栏的“订单详情”。 为财务托管子账号支付订单 1. 进入“财务管理>消费汇总与发票”页面。 2. 选择需要支付订单的财务托管子账号，点击操作栏的“订单详情”。 3. 选择要支付的订单，点击操作栏的“支付”，进入支付页面。

本节主要接受权限管理 通过IAM，您可以在云帐号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ServiceStage的使用权限，但是不希望他们拥有删除等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用ServiceStage，但是不允许删除的权限策略，控制他们对ServiceStage资源的使用范围。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ServiceStage服务的其它功能。 IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见帮助中心 > 统一身份认证服务 > 用户指南 > 产品简介。 ServiceStage权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。 ServiceStage资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ServiceStage时，需要先切换至授权区域。 根据授权精细程度分为角色和策略： 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各云服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如下表所示，包括了ServiceStage的所有系统权限。推荐使用系统策略，系统角色仅用于兼容已有的权限配置。 表 ServiceStage系统权限说明 系统角色/策略名称 描述 类别 依赖系统权限 ServiceStage FullAccess 微服务云应用平台所有权限。 系统策略 无 ServiceStage ReadOnlyAccess 微服务云应用平台只读权限。 系统策略 无 ServiceStage Developer 微服务云应用平台开发者权限。 拥有应用、组件、环境的操作权限，但无基础设施创建权限。 系统策略 无 CSE Admin 微服务引擎服务管理员权限。 系统策略 无 CSE Viewer 微服务引擎服务查看权限。 系统策略 无 ServiceStage Admin 微服务云应用平台管理员，拥有该服务下的所有权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 ServiceStage Operator 微服务云应用平台操作员，拥有该服务下的只读权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 ServiceStage Developer 微服务云应用平台开发者，拥有该服务下的所有权限。 系统角色 CCE Administrator、VPC Administrator、SWR Administrator和OBS Administrator。 如果所列的这些权限不满足实际需求，您可以参考下表，在这个基础上自定义策略。 表 ServiceStage常用操作与系统权限之间的关系 操作 ServiceStage ReadOnlyAccess ServiceStage Developer ServiceStage FullAccess 创建应用 x √ √ 修改应用 x √ √ 查询应用 √ √ √ 删除应用 x √ √ 创建组件 x √ √ 查询组件 √ √ √ 部署组件 x √ √ 维护组件 x √ √ 删除组件 x √ √ 创建构建工程 x √ √ 修改构建工程 x √ √ 查询构建工程 √ √ √ 启动构建工程 x √ √ 删除构建工程 x √ √ 创建流水线 x √ √ 修改流水线 x √ √ 查询流水线 √ √ √ 启动流水线 x √ √ 克隆流水线 x √ √ 删除流水线 x √ √ 新建仓库授权 x √ √ 修改仓库授权 x √ √ 查询仓库授权 √ √ √ 删除仓库授权 x √ √ 表 CSE常用操作与系统权限之间的关系 操作 CSE Viewer CSE Admin 创建微服务引擎 x √ 维护微服务引擎 x √ 查询微服务引擎 √ √ 删除微服务引擎 x √ 创建微服务 x √ 查询微服务 √ √ 维护微服务 x √ 删除微服务 x √ 创建微服务配置 x √ 查询微服务配置 √ √ 编辑微服务配置 x √ 删除微服务配置 x √ 创建微服务治理策略 x √ 查询微服务治理策略 √ √ 编辑微服务治理策略 x √ 删除微服务治理策略 x √

本小节介绍数据库安全背景信息。 背景信息说明 使用限制 购买数据库安全审计实例后，您需要将待审计的数据库添加到数据库安全审计实例中，并在数据库对应的数据库端或应用端安装Agent。当待审计的数据库连接到数据库安全审计实例后，数据库安全审计才能对待审计的数据库进行审计。 数据库安全审计支持对管理控制台上的云主机、物理机的自建数据库和RDS云数据库进行审计。 数据库安全审计支持数据库类型及版本为： MySQL 5.0、5.1、5.5、5.6、5.7 8.0 Oracle 11g 11.1.0.6.0 、11.2.0.1.0、11.2.0.2.0 12c 12.1.0.2.0 、12.2.0.1.0 PostgreSQL 7.4 8.0、8.1、8.2、8.3、8.4 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0、10.1、10.2、10.3、10.4、10.5 11 快速配置流程 购买数据库安全审计后，您可以参照下图所示的配置流程，快速使用数据库安全审计。操作步骤的详细说明如下表所示。 步骤 配置操作 说明 1 步骤一：添加数据库并开启审计 购买数据库安全审计后，您需要先将待审计的数据库添加到数据库安全审计实例并开启该数据库的审计功能。 2 步骤二：添加Agent 添加的数据库开启审计功能后，您需要为添加的数据库选择Agent的添加方式。数据库安全审计支持对云上的物理机/云主机的自建数据库和RDS云数据库进行审计，请根据您在管理控制台上实际部署的数据库选择Agent添加方式。 3 步骤三：安装Agent 添加Agent后，您需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent，将添加的数据库连接到数据库安全审计实例，才能使用数据库安全审计功能。 4 查看审计总览信息 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对连接数据库安全审计实例的所有数据库进行审计。安装Agent后，您可以在数据库安全审计界面查看被添加的数据库的审计结果。

本节介绍应用市场的产品简介，以便您了解应用市场。 应用市场，是一项对桌面内应用进行统一管理与全面管控的服务，既能帮助企业管理员对桌面内应用进行有效监管，也为企业统一分发应用、用户轻松获取应用提供了便捷的渠道。其由两大部分构成：天翼AI云电脑（政企版）控制台应用市场模块（以下简称控制台）、天翼AI云电脑应用市场客户端（以下简称客户端）。 控制台 企业管理员通过控制台可以进行应用上架、新增版本、推送应用等操作；也可以配置应用黑白名单集中管控桌面内应用的安装和运行；还能在日志记录中查看各管控桌面的应用阻止记录、用户申请记录，以及桌面已安装应用等数据。 客户端 桌面用户可通过客户端下载与安装天翼AI云电脑提供的免费应用以及企业上架的专属应用，还可查看管控状态下的各类阻止与申请记录。管理员也可以查看和处理其他桌面用户提交的多种申请。 如需下载应用市场客户端请前往：客户端下载页面 天翼AI云电脑应用市场用户协议生效，详情请参见这里。 天翼AI云电脑应用市场隐私政策生效，详情请参见这里。

参数 参数说明 计费模式 私网NAT网关支持按需计费、包年/包月。 名称 私网NAT网关名称。名称由数字、字母、中文、、组成，不能以数字、和开头。 可用区 选择私网NAT网关所在的可用区。 VPC 私网NAT网关所属的VPC。 VPC仅在购买NAT网关时可以选择，后续不支持修改。 子网 私网NAT网关所属的子网。 子网仅在购买私网NAT网关时可以选择，后续不支持修改；选定的所属子网会成为私网NAT网关默认的中转网段。 规格 私网NAT网关的规格。私网NAT网关共有小型、中型、大型、超大型四种规格类型，更多详情参见 描述 私网NAT网关信息描述。 创建时长（仅包年/包月模式下需要选择） 私网NAT网关购买时长。 自动续订（仅包年/包月模式下需要选择） 是否启用私网NAT网关自动续订；按月购买：自动续订周期为1个月；按年购买：自动续订周期为1年。 企业项目 私网NAT网关所属的企业项目。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。

本节介绍如何处理检测结果。 当接收到检测结果后，您可标记结果处理状态。 忽略：如果确认该检测结果不会造成危害，在“忽略风险项”窗口记录“处理人”、“忽略理由”，可标记为“已忽略”状态。 标记为线下处理：如果该检测结果已在线下处理，在“标记为线下处理”窗口记录“处理人”、“处理时间”和“处理结果”，可标记为“已线下处理”状态。 说明 由于SA中的检测结果汇聚了企业主机安全（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）等安全防护服务上报的告警数据，因此，处理检测结果时须注意以下顺序： 1. 需先在SA检测结果详情页面查看来源。 2. 前往来源服务进行优先处理。 3. 处理后再到SA中来标记结果处理状态。 例如，告警显示来源产品名称为HSS，则需在HSS控制台上进行处理后，再在SA中进行标记处理。 前提条件 已接收到安全产品的检测结果。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“检测结果”，进入全部结果管理页面。 4. 筛选检测结果。 5. 批量标记检测结果。 选择一个或多个“未处理”状态的结果，单击“忽略”或“标记为线下处理”，对不同检测结果批量执行相应的处理操作。 6. 单个标记检测结果。 在结果列表对应“操作”列，单击“忽略”或“标记为线下处理”，对单个检测结果执行相应处理操作。 在结果详情窗口，右下角单击“忽略”或“标记为线下处理”，对单个检测结果执行相应处理操作。

本节介绍云等保专区产品的退订情况。 退订说明 购买云等保专区后，您可以随时退订，成功退订后将进行退款。 注意 云等保专区支持七天无理由退订，七天无理由退订仅限于新购资源的情形，若新购资源在7天内进行了续订或变更（包含但不限于规格升级、扩容、操作系统变更、按需计费转包周期），退订时按非七天无理由退订处理，需要收取相应的使用费用和退订手续费，且不退还代金券及优惠券，更多详情请阅读天翼云退订规则说明。 退订云等保专区 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在页面左侧导航栏单击“产品服务列表”图标，选择“安全 > 云等保专区”。 4. 在“资源概览”中找到需要退订的资源，单击操作列的“退订”。 5. 在退订页面，确认需要退订的资源。 说明 在“二类节点”区域（云等保专区支持的区域请参见支持的区域）购买的v1.0版本资源，退订时需同时退订相应的云主机。 6. 单击“立即退订”，即可进行退订。

单资源池跨可用区灾备（同城容灾） 主备与集群主备缓存实例支持将主备副本部署在不同的可用区内（即不同的物理机房）。不同可用区之间的电力、网络均相互隔离，具备故障隔离性，当主节点所在的机房因为电力或者网络出现故障，备节点将接管服务，客户端与备节点正常建立连接以及读写数据。 上图为主备实例跨可用区部署示意，集群主备实例与主备实例类似，每一个分片节点都跨可用区部署。在订购Redis实例时，您可以选择不同的可用区进行部署。

本文介绍镜像服务使用前的准备工作。 注册天翼云账号 在创建和使用镜像服务之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接创建镜像服务。 1. 打开天翼云门户网站，点击“注册”。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击“同意协议并提交” 按钮，如1分钟内手机未收到验证码，请再次点击“免费获取短信验证码”按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 如需实名认证，请参考：会员服务实名认证。 为账户充值 目前，天翼云提供的镜像中，除了个别的公共镜像，例如GPU云主机使用的Windows2019DataCenterGRID13.2镜像外，其他的公共镜像、私有镜像、共享镜像、安全产品镜像均为免费。如果用户采用镜像文件的形式导入私有镜像，用户需要先创建对象存储桶，即用户需要为对象存储付费。 因此，在使用镜像服务前，您需要确保账户有足够金额。 关于如何为账户充值，请参考：费用中心账户充值。 镜像服务计费标准，请参考：计费说明。

云原生网关 云原生网关是天翼云微服务引擎的子产品，将传统的流量网关和业务网关合二为一，提供全局性和独立业务域级别的流量管理策略，与后端业务紧耦合策略配置。 弹性负载均衡 弹性负载均衡（Elastic Load Balancing）是天翼云产品，通过将访问流量自动分发到多台云主机，扩展应用系统对外的服务能力，实现更高水平的应用程序容错性能。 应用服务网格 应用服务网格是天翼云产品，提供基于Sidecar技术的无侵入式服务治理能力，兼容开源istio服务网格，并基于开源实现做了功能增强，提供了丰富的流量治理、安全管控和观测能力，满足多语言、技术栈应用统一治理的需求，降低业务接入门槛。 资源池或区域 资源池或者区域指资源所在的物理位置。同一区域内可用区之间内网互通，不同区域之间内网不互通。 可用区 每个区域包含许多不同的称为“可用区”的位置，即在同一区域下，电力、网络隔离的物理区域，同一个可用区内网互通，不同可用区之间物理隔离。每个可用区都被设计成不受其他可用区故障的影响，并提供低价、低延迟的网络连接，以连接到同一区域其他可用区。 VPC 虚拟私有云(Virtual Private Cloud)为用户提供一个逻辑隔离的区域，构建一个安全可靠、 可配置和管理的虚拟网络环境。专有网络由逻辑网络设备（如虚拟路由器，虚拟交换机）组成，可以通过专线/VPN等连接方式与传统数据中心组成一个按需定制的网络环境，实现应用的平滑迁移上云。

备案成功后需长期关注信息变动、及时变更，确保备案信息准确及有效，避免备案取消接入、影响网站/App正常使用。 根据天翼云过往备案核查经验，5项常见核查问题请您参考： 1.备案信息过期/不符：单位证件资料过期、负责人证件资料过期、域名过期等；单位名称/证件号码/法人变动后与备案信息不符。 2.联系方式无效：备案信息负责人离职或者号码更换，需确保备案为本人且电话有效可拨通。 3.域名持有者或者注册商变化：域名过户给其他个人或者单位，导致与ICP备案信息不符；域名注册商更换为未批复的注册商，导致备案信息不合格。 4.网站内容不合格：个人备案开办企业网站，或者企业网站开办内容与企业备案信息不符等。 5.域名解析不准确：备案域名当前解析的IP地址，需与备案IP保持一致。

本节介绍云智助手支持企业自有大模型配置的功能。 天翼AI云电脑云智助手，提供支持企业新增自有大模型功能。用户将大模型的API地址和APIKey配置后即可在AI助手进行会话。 【操作步骤】 1.使用管理员账号登录AI云电脑，打开云智助手，点击右上角个人头像，打开“设置”功能；（如无管理员账号，请先创建账号，详见管理账号） 2.打开设置页面，点击“基础设置”，选择企业名称，点击新增，添加自己的大模型； 3.新增自有大模型，需要确认并填写以下字段： 大模型显示名称+描述：设置后将会显示在大模型切换列表，名称和描述建议体现企业元素，品牌辨识度更高。 大模型类型：支持选择“官方平台DeepSeek”、“百度平台DeepSeek”、“自有平台DeepSeek”三个选项，如有需求可联系我们拓展更多平台的DeepSeek大模型的支持。 API地址：需填写支持公网访问API地址，API地址格式推荐：{baseurl}/chat/completions。如无法公网访问，请联系天翼云售前人员提供内网解决方案。 Model名称：需填写大模型的Medel名称，可查看相关的接口文档。 APIKey：需填写大模型开放平台申请的有效的APIKey。 4.自有大模型添加后，企业用户在AI助手会话时，可选择自有大模型进行聊天，开启专属大模型智能体验。

应用场景 场景一：通过弹性IP访问虚拟IP。 您的应用需要具备高可用性并通过Internet对外提供服务，推荐使用弹性IP绑定虚拟IP功能。 场景二：通过VPN/云专线/对等连接访问虚拟IP。 您的应用需要具备高可用性并且需要通过Internet访问，同时需要具备安全性（VPN），保证稳定的网络性能（云专线），或者需要通过其他VPC访问（对等连接）。 约束与限制 虚拟IP与弹性IP绑定将受弹性IP相关配额限制，具体可参看弹性IP服务约束与限制内容。 不推荐在弹性云主机配置多个同子网网卡的场景下，使用虚拟IP功能。若在该场景下使用虚拟IP功能，弹性云主机内部会存在路由冲突，导致虚拟IP通信异常。 备弹性云主机需要关闭IP转发功能。确认方式如下： a. 登录弹性云主机执行如下命令，查看IP转发功能是否已开启。 cat /proc/sys/net/ipv4/ipforward 回显结果：1为开启，0为关闭，默认为0。 n 回显为1，执行b和c关闭IP转发功能。 n 回显为0，操作完成。 b. 使用vi打开“/etc/sysctl.conf”文件，修改net.ipv4.ipforward 0，按“:wq”保存退出。或使用sed命令修改，参考命令如下： sed i '/net.ipv4.ipforward/s/1/0/g' /etc/sysctl.conf c. 执行如下命令，使修改生效。 sysctl p /etc/sysctl.conf

表IPsec策略说明 参数 说明 取值样例 认证算法 认证哈希算法，支持的算法： SHA1（此算法安全性较低，请慎用） MD5（此算法安全性较低，请慎用） SHA2256 SHA2384 SHA2512 SM3。 仅国密型VPN连接选择该认证算法。 国密型VPN连接默认配置为：SM3。 非国密型VPN连接默认配置为：SHA2256。 SHA2256 加密算法 加密算法，支持的算法： 3DES（此算法安全性较低，请慎用） AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） AES128GCM16 AES256GCM16。SM4。 仅国密型VPN连接选择该加密算法。 国密型VPN连接默认配置为：SM4。 非国密型VPN连接默认配置为：AES128。 AES128 PFS PFS（Perfect Forward Secrecy）即完美前向安全功能，配置IPsec隧道协商时使用。 PFS组支持的算法： Disable（此算法安全性较低，请慎用） DH group 1（此算法安全性较低，请慎用） DH group 2（此算法安全性较低，请慎用） DH group 5（此算法安全性较低，请慎用） DH group 14（此算法安全性较低，请慎用） DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 默认配置为：DH group 15。 说明 国密型VPN连接无此参数。 国密型VPN网关和国密型对端网关创建VPN连接时，需要保证国密型对端网关关闭PFS功能，否则会导致VPN连接无法建立。 DH group 15 传输协议 IPsec传输和封装用户数据时使用的安全协议。目前支持的协议： ESP 默认配置为：ESP。 ESP 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：30~604800。 默认配置：3600。 3600 报文封装模式 默认设置为隧道（TUNNEL）模式。 TUNNEL 说明 IKE策略指定了IPsec隧道在协商阶段的加密和认证算法，IPsec策略指定了IPsec隧道在数据传输阶段所使用的协议、加密以及认证算法。VPC和数据中心的VPN连接在策略配置上需要保持一致，否则会导致VPN协商失败，进而导致VPN连接建立失败。 以下算法安全性较低，请慎用： 认证算法：SHA1、MD5。 加密算法：3DES、AES128、AES192、AES256。 出于部分对端设备不支持安全加密算法的考虑，VPN连接的默认加密算法仍为AES128。在对端设备功能支持的情况下，建议使用更安全的加密算法。 DH算法：Group 1、Group 2、Group 5、Group 14。 5. 确认VPN连接规格，单击“提交”。 6. 参见上述步骤，创建第二条VPN连接。 VPN连接的IP对应关系，请参见本指南“企业版VPN网关管理 > 创建VPN网关 > 背景信息”。

本章节主要介绍翼MapReduce服务查看及导出审计日志。 操作场景 该任务指导用户在MRS Manager查看、导出审计日志工作，用于安全事件中事后追溯、定位问题原因及划分事故责任。 系统记录的日志信息包含： 用户活动信息，如用户登录与注销，系统用户信息变更，系统用户组信息变更等。 用户操作指令信息，如集群的启动、停止，软件升级等。 操作步骤 查看审计日志 1. 在MRS Manager，单击“审计管理”，可直接查看默认的审计日志。 若审计日志的审计内容长度大于256字符，请单击审计日志展开按钮展开审计详情。 默认以“产生时间”列按降序排列，单击 操作类型 、安全级别、产生时间、用户、主机、服务、实例或操作结果可修改排列方式。 支持在“安全级别”筛选相同级别的全部告警。结果包含已清除和未清除的告警。 导出的审计日志文件，包含以下信息列： “编号”：表示MRS Manager已生成的审计日志数量，每增加一条审计日志则编号自动加1。 “操作类型”：表示用户操作的操作类型，分为“告警”、“审计日志”、“备份恢复”、“集群”、“采集日志”、“主机”、“服务”、“多租户”和“用户管理”九种场景，其中“用户管理”仅在启用了Kerberos认证的集群中支持。每个场景中包含不同操作类型，例如“告警”中包含“导出告警”，“集群”中包含“启动集群”，“多租户”包含“增加租户”等。 “安全级别”：表示每条审计日志的安全级别，包含“高危”、“危险”、“一般”和“提示”四种。 “开始时间”：表示用户操作开始的时间，且时间为CET或CEST时间。 “结束时间”：表示用户操作结束的时间，且时间为CET或CEST时间。 “用户IP”：表示用户操作时所使用的IP地址。 “用户”：表示执行操作的用户名。 “主机”：表示用户操作发生在集群的哪个节点。如果操作不涉及节点则不保存信息。 “服务”：表示用户操作发生在集群的哪个服务。如果操作不涉及服务则不保存信息。 “实例”：表示用户操作发生在集群的哪个角色实例。如果操作不涉及角色实例则不保存信息。 “操作结果”：表示用户操作的结果，包含“成功”、“失败”和“未知”。 “内容”：表示用户操作的具体执行信息。 2. 单击“高级搜索”，在审计日志搜索区域中，设置查询条件，单击“搜索”，查看指定类型的审计日志。单击“重置”清除输入的搜索条件。 说明 “开始时间”和“结束时间”表示时间范围的开始时间和结束时间，可以搜索此时间段内产生的告警。

检查集群磁盘容量是否已满 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”页面，查看是否存在“ALM14001 HDFS磁盘空间使用率超过阈值”告警。 是，执行步骤 2。 否，执行步骤 4。 2.参考“ALM14001 HDFS磁盘空间使用率超过阈值”进行处理，查看对应告警是否清除。 是，执行步骤 3。 否，执行步骤11。 3.在“运维 > 告警 > 告警”页面查看本告警是否清除。 是，处理完毕。 否，执行步骤4。 检查DataNode节点平衡状态 4.在FusionInsight Manager首页，单击“主机”，查看各个机架上的DataNode节点数目分布是否大致相等，如果差异过大，调整DataNode节点所属机架，保证各个机架上的DataNode数量大致相等。重启HDFS服务生效。 5.选择“集群 > 待操作集群的名称 > 服务 > HDFS”。 6.在“基本信息”区域，单击“NameNode(主)”，进入HDFS WebUI页面。 说明 admin用户默认不具备其他组件的管理权限，如果访问组件原生界面时出现因权限不足而打不开页面或内容显示不全时，可手动创建具备对应组件管理权限的用户进行登录。 7.在HDFS WebUI的“Summary”区域，查看“DataNodes usages”中“Max”的值是否比“Median”的值大10%。 l是，执行步骤 8。 否，执行步骤11。 8.数据倾斜，需要均衡集群中的数据。以root用户登录MRS客户端。如果集群为普通模式，执行su omm切换到omm用户。执行cd命令进入客户端安装目录，然后执行 source bigdataenv 。如果集群采用安全版本，要进行安全认证。执行kinit hdfs命令，按提示输入密码。向管理员获取密码。 9.执行以下命令，均衡数据分布： hdfs balancer threshold 10 10.等待几分钟，检查本告警是否恢复。 是，处理完毕。 否，执行步骤 11。 收集故障信息 11.在FusionInsight Manager首页，选择“运维 > 日志 > 下载”。 12.在“服务”中勾选待操作集群的“HDFS”。 13.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 14.请联系运维人员，并发送已收集的故障日志信息。

查看全局task脚本 单击全局task脚本首页操作列的【查看】，可进入“查看全局task脚本”页面，可查看全局task脚本的名称和脚本内容。单击【返回】可回到全局task脚本首页。 编辑全局task脚本 单击全局task脚本首页操作列的【编辑】，可进入“编辑全局task脚本”页面，可修改全局task脚本内容，脚本名称不允许修改。单击【取消】可返回全局task脚本首页，单击【确认提交】可提交部署。 删除全局task脚本 单击全局task脚本首页操作列的【删除】，可删除对应行的全局task脚本，在删除之前会有二次确认弹窗提醒，单击【确定】后会删除对应的全局task脚本。如删除失败，可单击操作列的【失败重试】进行重试，直到删除成功为止。

集群权限（IAM授权）与命名空间权限（Kubernetes RBAC授权）的关系 拥有不同集群权限（IAM授权）的用户，其拥有的命名空间权限（Kubernetes RBAC授权）不同。下表给出了不同用户拥有的命名空间权限详情。 表 不同用户拥有的命名空间权限 用户类型 1.13及以上版本的集群 拥有Tenant Administrator权限的用户（例如账号） 全部命名空间权限 拥有CCE Administrator权限的IAM用户 全部命名空间权限 拥有CCE FullAccess或者CCE ReadOnlyAccess权限的IAM用户 按Kubernetes RBAC授权 拥有Tenant Guest权限的IAM用户 按Kubernetes RBAC授权 kubectl权限说明 您可以通过kubectl访问集群的Kubernetes资源，那kubectl拥有哪些Kubernetes资源的权限呢？ kubectl访问CCE集群是通过集群上生成的配置文件（kubeconfig.json）进行认证，kubeconfig.json文件内包含用户信息，CCE根据用户信息的权限判断kubectl有权限访问哪些Kubernetes资源。即哪个用户获取的kubeconfig.json文件，kubeconfig.json就拥有哪个用户的信息，这样使用kubectl访问时就拥有这个用户的权限。而用户拥有的权限就是上表所示的权限。 IAM支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。 说明 “√”表示支持，“x”表示暂不支持。 云容器引擎（CCE）支持的自定义策略授权项如下所示： 表 Cluster 权限 对应API接口 授权项（Action） IAM项目 (Project) 企业项目 (Enterprise Project) 获取指定项目下的集群 GET /api/v3/projects/{projectid} /clusters cce:cluster:list √ √ 获取指定的集群 GET /api/v3/projects/{projectid} /clusters/{clusterid} cce:cluster:get √ √ 创建集群 POST /api/v3/projects/{projectid} /clusters cce:cluster:create √ √ 更新指定的集群 PUT /api/v3/projects/{projectid} /clusters/{clusterid} cce:cluster:update √ √ 删除集群 DELETE /api/v3/projects/{projectid} /clusters/{clusterid} cce:cluster:delete √ √ 升级集群 POST /api/v2/projects/:projectid/clusters /:clusterid/upgrade cce:cluster:upgrade √ √ 唤醒集群 POST /api/v3/projects/{projectid}/clusters /{clusterid}/operation/awake cce:cluster:start √ √ 休眠集群 POST /api/v3/projects/{projectid}/clusters /{clusterid}/operation/hibernate cce:cluster:stop √ √ 变更集群规格 POST /api/v2/projects/{projectid} /clusters/:clusterid/resize cce:cluster:resize √ √ 获取集群证书 POST /api/v3/projects/{projectid} /clusters/{clusterid}/clustercert cce:cluster:get √ √ 表 Node 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 获取集群下所有节点 GET /api/v3/projects/{projectid} /clusters/{clusterid}/nodes cce:node:list √ √ 获取指定的节点 GET /api/v3/projects/{projectid} /clusters/{clusterid}/nodes/{nodeid} cce:node:get √ √ 创建节点 POST /api/v3/projects/{projectid} /clusters/{clusterid}/nodes cce:node:create √ √ 更新指定的节点 PUT /api/v3/projects/{projectid} /clusters/{clusterid}/nodes/{nodeid} cce:node:update √ √ 删除节点 DELETE /api/v3/projects/{projectid} /clusters/{clusterid}/nodes/{nodeid} cce:node:delete √ √ 表 Job 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 获取任务信息 GET /api/v3/projects/{projectid}/jobs/{jobid} cce:job:get √ √ 列出所有任务 GET /api/v2/projects/{projectid} /jobs cce:job:list √ √ 删除所有任务或删除单个任务 DELETE /api/v2/projects/{projectid} /jobsDELETE /api/v2/projects/{projectid}/jobs/{jobid} cce:job:delete √ √ 表 Nodepool 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 获取集群下所有 节点池 GET /api/v3/projects/{projectid} /clusters/{clusterid}/nodepools cce:nodepool:list √ √ 获取节点池 GET /api/v3/projects/{projectid} /clusters/{clusterid}/nodepools/{nodepoolid} cce:nodepool:get √ √ 创建节点池 POST /api/v3/projects/{projectid} /clusters/{clusterid}/nodepools cce:nodepool:create √ √ 更新节点池信息 PUT /api/v3/projects/{projectid} /clusters/{clusterid}/nodepools/{nodepoolid} cce:nodepool:update √ √ 删除节点池 DELETE /api/v3/projects/{projectid} /clusters/{clusterid}/nodepools/{nodepoolid} cce:nodepool:delete √ √ 表 Chart 权限 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 更新模板 PUT /v2/charts/{id} cce:chat:update √ × 上传模板 POST /v2/charts cce:chat:upload √ × 列出所有模板 GET /v2/charts cce:chat:list √ × 获取模板信息 GET /v2/charts/{id} cce:chat:get √ × 删除模板 DELETE /v2/charts/{id} cce:chat:delete √ × 表 Release 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 更新升级模板实例 PUT /v2/releases/{name} cce:release:update √ √ 列出所有模板实例 GET /v2/releases cce:release:list √ √ 创建模板实例 POST /v2/releases cce:release:create √ √ 获取模板实例信息 GET /v2/releases/{name} cce:release:get √ √ 删除模板实例 DELETE /v2/releases/{name} cce:release:delete √ √ 表 Storage 权限 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 创建PersistentVolumeClaim POST /api/v1/namespaces/{namespace}/cloudpersistentvolumeclaims cce:storage:create √ √ 删除PersistentVolumeClaim DELETE /api/v1/namespaces/{namespace}/cloudpersistentvolumeclaims/{name} cce:storage:delete √ √ 列出所有磁盘 GET /storage/api/v1/namespaces/{namespace}/listvolumes cce:storage:list √ √ 表 Addon 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 创建插件实例 POST /api/v3/addons cce:addonInstance:create √ √ 获取插件实例 GET /api/v3/addons/{id}?clusterid{clusterid} cce:addonInstance:get √ √ 列出所有插件实例 GET /api/v3/addons?clusterid{clusterid} cce:addonInstance:list √ √ 删除插件实例 DELETE /api/v3/addons/{id}?clusterid{clusterid} cce:addonInstance:delete √ √ 更新升级插件实例 PUT /api/v3/addons/{id} cce:addonInstance:update √ √ 表 Quota 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询配额详情 GET /api/v3/projects/{projectid}/quotas cce:quota:get √ √

本章节主要介绍如何查看集群基本信息。 集群创建完成后，可对集群进行监控和管理。选择“集群列表 > 现有集群”，选中一集群并单击集群名，进入集群详情页面，查看集群的基本配置信息、部署的节点信息。 说明 ECS集群和BMS集群在管理控制台操作基本一致，本文档主要以ECS集群描述为例，如有操作区别则分开描述。 在集群详情页面选择“概览”，参考下表查看集群详情概览信息参数说明。 集群基本信息 参数 参数说明 集群名称 集群的名称，创建集群时设置。单击可对集群名称进行修改。 当MRS集群为MRS 3.x之前版本时，修改集群名称后仅MRS管理控制台界面显示的集群名称修改，MRS Manager中集群名称不会同步修改。 集群状态 集群状态信息，请参见集群列表简介章节中的表：集群状态说明。 集群管理页面 Manager页面入口。 针对MRS 3.x及以后版本，具体请参见访问FusionInsight Manager（MRS 3.x及之后版本）。 针对MRS 3.x之前版本，需要根据提示绑定弹性公网IP及添加安全组规则后才能进入MRS Manager页面，具体请参见访问MRS Manager（MRS 2.x及之前版本）。 具体操作请参见访问FusionInsight Manager（MRS 3.x及之后版本）。 集群版本 MRS版本信息。 集群类型 支持以下集群类型： 分析集群：用来做离线数据分析，提供的是Hadoop体系的组件。 流式集群：用来做流处理任务，提供的是流式处理组件。 混合集群：既可以用来做离线数据分析，也可以用来做流处理任务，提供的是Hadoop体系的组件和流式处理组件。 自定义：全量自定义组件组合的MRS集群，MRS 3.x及之后版本支持此类型。 集群ID 集群的唯一标识，创建集群时系统自动赋值，不需要用户设置。 创建时间 显示集群创建的时间。 可用区 集群工作区域下的可用区，创建集群时设置。 默认生效子网 子网信息，创建集群时所选。 当子网IP不足时，单击“切换子网”切换到当前集群相同VPC下的其他子网，实现可用子网IP的扩充。切换子网不会影响当前已有节点的IP地址和子网。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 虚拟私有云 VPC信息，创建集群时所选。 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 弹性公网IP 通过将弹性公网IP与MRS集群绑定，实现使用弹性公网IP访问Manager的目的。 OBS权限控制 单击“单击管理”，修改MRS用户与OBS权限的映射关系，具体请参考配置MRS多用户访问OBS细粒度权限。 数据连接 单击“单击管理”，查看集群关联的数据连接类型，具体请参考配置数据连接。 委托 单击“管理委托”，为集群绑定或修改委托。 通过绑定委托，您可以将部分资源共享给ECS或BMS云服务来管理，例如通过配置ECS委托可自动获取AK/SK访问OBS，具体请参见配置存算分离集群（委托方式）。MRSECSDEFAULTAGENCY委托拥有对象存储服务的OBS OperateAccess权限和在集群所在区域拥有CES FullAccess（对开启细粒度策略的用户）、CES Administrator和KMS Administrator权限。 密钥对 密钥对名称，创建集群时设置。 如果创建集群时设置的登录方式为密码，则不显示。 Kerberos认证 登录Manager管理页面时是否启用Kerberos认证。 日志记录 用于收集集群创建失败及扩缩容失败的日志。 安全组 集群的安全组名称。 数据盘密钥名称 用于加密数据盘的密钥名称。如需对已使用的密钥进行管理，请登录密钥管理控制台进行操作。 数据盘密钥ID 用于加密数据盘的密钥ID。 IAM用户同步 可以将IAM侧用户信息同步至MRS集群，用于集群管理。具体请参见统一身份认证用户指南中有关同步MRS说明的章节。 说明 集群详情页的“组件管理”、“租户管理”和“备份恢复”页签需要同步用户后方可使用。MRS 3.x版本集群同步后可使用“组件管理”。 通讯安全授权 展示安全授权状态，通过可关闭和开启安全授权。关闭安全授权属于高危操作，请谨慎处理。详细信息请参考授权安全通信。 组件版本 参数 参数说明 Hadoop版本 显示Hadoop组件的版本信息。 Spark版本 显示Spark组件的版本信息，MRS 3.x之前版本集群支持。 HBase版本 显示HBase组件的版本信息。 Hive版本 显示Hive组件的版本信息。 Hue版本 显示Hue组件的版本信息。 Loader版本 显示Loader组件的版本信息。 Kafka版本 显示Kafka组件的版本信息。 Storm版本 显示Storm组件的版本信息。 Flume版本 显示Flume组件的版本信息。 Tez版本 显示Tez组件的版本信息。 Presto版本 显示Presto组件的版本信息。 KafkaManager版本 显示KafkaManager组件的版本信息。 Flink版本 显示Flink组件的版本信息。 Ranger版本 显示Ranger组件的版本信息。 Spark2x版本 显示Spark2x组件的版本信息。仅MRS 3.x及之后版本集群支持。 Oozie版本 显示Oozie组件的版本信息。仅MRS 3.x及之后版本集群支持。 ClickHouse版本 显示ClickHouse组件的版本信息。仅MRS 3.x及之后版本集群支持。 在集群详情页面选择“节点管理”，参考下表查看集群节点信息参数说明。 节点信息 参数 参数说明 配置Task节点 用于增加Task节点，请参见添加Task节点的相关任务。 对于3.x及之后版本，该操作仅适用于分析集群、流试集群和混合集群。 新增节点组 仅适用于3.x及之后版本，用于增加节点组，请参见添加节点组，仅适用自定义集群。 节点组名称 集群节点组名称。 节点类型 节点类型： Master：集群主节点，负责管理集群，协调将MapReduce可执行文件分配到核心节点。此外，还会跟踪每个作业的执行状态，监控DataNode的运行状况。 Task类型节点组是指仅部署了不存储数据的数据角色的节点组，主要包含：NodeManager、ThriftServer、Thrift1Server、RESTServer、Supervisor、Logviewer、HBaseIndexer、TagSync。 如果节点组内除以上角色外还部署了其他角色，则该节点组为Core类型节点组。 单击节点组名称前方的，显示该节点组包含的节点，单击节点名称，使用创建集群时配置的密码或者密钥对远程登录弹性云主机。节点参数说明请参见管理组件和主机监控。 节点数 对应节点组中包含的节点数量。 操作 扩容：请参见扩容集群。 缩容：请参见缩容集群。 弹性伸缩：请参见配置弹性伸缩规则。 查看角色信息：可查看所在节点组部署的角色信息。仅适用于3.x及之后版本的自定义集群。

云资源审计 弹性云主机已接入天翼云云审计供您免费使用，为您提供统一的云资源配置历史追踪、配置合规审计，帮助您支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 云审计可检测当前天翼云账号和所有 IAM 用户的操作记录，可记录通过天翼云控制台、OpenAPI访问和使用云上产品和服务的日志数据。具体支持的云服务审计事件，请参见++支持审计的云产品及关键操作列表++。 云审计默认为您记录最近7天的事件。如需保存更长时间的日志，则需要创建跟踪，将产生的时间记录到日志审计（原生版）或对象存储ZOS。详细操作，请参见云审计++配置事件追踪器++ 当您将事件投递到日志审计（原生版）或对象存储ZOS后，可以通过日志审计（原生版）或对象存储ZOS查询或分析事件。 流日志和流量镜像作用 流量镜像（Traffic Mirror）功能可以将网络流量从某一云服务器的网卡镜像到其他指定的云服务器的网卡上，以便于应用到内容检查、监控分析、问题排查等场景。流量镜像主要是镜像并筛选出符合条件的流量，因此它可以在不影响网络性能的情况下，捕获和记录网络流量，帮助管理员诊断网络故障、检测网络攻击等。更多信息，请参见++流量镜像概述++ 。

本节主要介绍为IAM用户授权 如果管理员在创建IAM用户时，没有将其加入任何用户组， 则新创建的IAM用户不具备任何权限，不能对云服务进行操作 ，管理员可以在IAM控制台或天翼云官网将其加入用户组，为其授予所属用户组的权限策略。授权后，用户即可根据用户组权限使用帐号中的云服务资源。 基于用户组授权 步骤 1 管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户组”。 步骤 5 找到计划加入的用户组，单击右侧的“用户组管理”。 步骤 6 选择IAM子用户，单击“确认”，将IAM用户加入用户组，加入用户组后，IAM用户将拥有所属用户组的所有权限。 说明 如果将IAM用户加入默认用户组“admin”，则IAM用户为管理员，可以对所有云服务执行任意操作。 当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即取多个用户组权限的全集。 所有使用IAM授权的云服务的系统策略，请参见：权限集。 如果您开通了企业管理，将不能创建IAM项目，请谨慎操作。 基于企业项目授权 步骤 1 管理员登录IAM控制台。 步骤 2 管理员在用户列表中，单击用户名称，进入IAM用户详情页面。 步骤 3 在IAM用户详情页面，单击“授权记录”页签，然后单击“授权”，可 直接给用户授权（适用于企业项目授权） ，直接给IAM用户授予云服务权限，勾选对应的云服务权限后，单击“下一步”。 说明 该授权方式仅在您开通企业项目后支持。 步骤 4 在“设置最小授权范围”页面，选择授权IAM用户使用的企业项目。 步骤 5 单击“确定”，完成IAM用户授权。 授权完成后，管理员可以在“权限管理>授权管理”页面查看、修改该IAM用户的权限。

参数 参数类型 说明 示例 下级对象 type String 类型 statisticalPeriod String 统计周期 20251112 00:00:0023:59:59 createTime String 基础信息生成时间 20251112 00:00:00 userAccount String 用户账号 testaccount hostRange Object 主机范围 hostRange module String 报表统计功能模块，多个空格分割 BASELINE基线检测 VULSCAN漏洞扫描 WEBTAMPER网页防篡改 VIRUS病毒检测 INTRUSIONDETECTION入侵检测 BASELINE INTRUSIONDETECTION VULSCAN WEBTAMPER VIRUS digestHostsCount Integer 主机总数 100 digestRiskCount Integer 发现风险总数 100 digestAlarmCount Integer 入侵告警总数 100 agentChart Array of Objects agent状态分布 [{"count":100,"name":"ONLINE","percent":50.1,"nameCode":1},{"count":100,"name":"OFFLINE","percent":50.1,"nameCode":2},{"count":100,"name":"UNACTIVATED","percent":50.1,"nameCode":3},{"count":100,"name":"ERROR","percent":50.1,"nameCode":4}] agentChart offlineAgentList Array of Objects 离线主机列表 最多展示10条 offlineAgentList riskDiscoverInfo Object 风险数据统计 riskDiscoverInfo vulRiskInfo Object 漏洞扫描 风险信息 vulRiskInfo baseRiskInfo Object 基线扫描 风险信息 baseRiskInfo weakPwRiskInfo Object 弱口令风险 weakPwRiskInfo severityEvent Object 安全事件 severityEvent 表 severityEvent

操作步骤 1. 进入“组织策略管理>全部组织策略”页面。 2. 在策略列表选择已有策略，点击右侧操作栏的“编辑”按键，进入策略编辑页面。 3. 根据需要，编辑策略名称、策略描述后，点击“下一步”。 4. 选择“可视化视图”或“JSON视图”编辑自定义策略内容，策略内容的编辑详见策略语法。点击“保存”完成编辑。 删除企业组织策略 约束与限制 您只能对自定义策略进行删除，删除自定义策略前，请解除该策略在用户组、用户上的授权关系。 操作步骤 1. 进入“组织策略管理>全部组织策略”页面。 2. 点击策略管理列表操作栏的“删除”。 3. 在弹出的二次确认提示框中，点击“确认”即可删除成功。 绑定/解绑企业组织策略 绑定企业组织策略 1. 进入“组织策略管理>组织对应策略”页面。 2. 选择组织后，点击“绑定策略”。 3. 可在弹窗页面搜索选择策略，点击“确认”后则绑定成功，该组织应用的策列列表显示该策略信息。 解绑企业组织策略 1. 进入“组织策略管理>组织对应策略”页面。 2. 选择组织后，可查看组织绑定的策略，选择待解绑的策略，点击操作列的“取消绑定”。 3. 在弹出的二次确认提示框中，点击“确认”后则解绑成功，该组织应用的策列列表清除该策略信息。

参数 说明 名称 输入函数流名称。 企业项目 选择企业项目。 日志记录 创建快速函数流，保存时需要选择此参数。 ALL：为所有事件启用日志记录 ERROR：仅启用错误日志记录 NONE：关闭日志记录 合并参数 将上一个节点的输出与下一个节点的输入合并为输入。 描述 输入函数流的简要描述。

本文介绍终端管理控制台上的日志分析功能。 背景说明 终端管理提供日志分析和查询功能，企业可根据日志记录情况对员工终端情况进行统计、审计等操作，满足企业终端管理常态化运营需求。 功能说明 终端管理控制台提供以下日志服务，详见下面： 功能 描述 终端登录日志 终端登录日志将记录并展示每一次终端登录的信息。 平台操作日志 提供并展示180天内全部的平台操作审计日志。

云主机其它类问题 天翼云主机的默认grub密码是多少？ 默认grub没有密码。 服务器上安装Web服务，外网可以直接访问吗？ 如搭建的web服务使用的端口为80端口，需要在天翼云进行备案才可以访问。 any端口入方向是否需要开放？ 出方向any默认全部允许，这个必须要放通，不然主机无法上网，入方向只需要您放通您所需访问主机的端口即可，不建议放通any，放通any主机可能会有安全隐患。 香港节点主机能否访问外网，如谷歌，推特？ 可以访问外网。谷歌、推特可以访问。 使用云资源如何优化成本？ 相比自建数据中心，使用云资源时无须投入硬件、物理环境人力等成本，单位资源成本相对线性，所有资源按需取用，交付便利。除此之外，云资源支持多种付费模式，方便进一步优化成本。 针对使用云资源如何优化成本，我们给出以下建议： 追踪成本 从费用账单了解消费情况，追踪成本并确定如何优化；使用标签等功能分类资源，以便统计相应成本。 优化资源 首先，监控资源使用情况 ，监控资源利用率，评估当前配置是否过高。例如CPU、内存、云盘、带宽等资源的利用率。监控闲置的资源，避免浪费。例如升配但未挂载的云盘、未关联的弹性IP等。监控资源使用周期。如果长期使用按量付费实例、云盘等资源，考虑以更实惠的方式购买，例如包年包月、资源包等。监控资源生命周期，了解包年包月资源的到期日，及时续费。例如包年包月实例、存储容量单位包等。 其次，选择合适规格， 根据业务场景选择最佳性价比的实例规格，并调整合适的数量，在满足业务需求的同时追求高资源利用率，可参考选型最佳实践。 第三，组合付费模式 ，不同类型的业务对资源使用周期有不同要求。为每一类业务确定合适的付费模式，灵活组合达到最优效果。如业务负载稳定使用包年包月方式，业务负载动态变化使用按量付费方式。 树立节约意识 按需取用是云计算最大的一个特点，您可以将成本优化融入到日常工作中，如：定期盘点资源使用情况，明确闲置资源的通知和处置流程；定期和成本相关方（例如财务、研发等团队）评审预算执行情况，改进优化策略；按时续费，提前申请包周期预算，避免到期释放后重新购买部署增加额外成本。

本文介绍全局字典的添加、查看、编辑、删除等操作。 全局字典是客户粒度的，客户的多个域名可共享全局字典。 添加全局字典 1. 单击全局字典首页右上角的【添加全局字典】来添加全局字典。 2. 进入添加全局字典页面后，输入字典名称和字典大小。最多添加5个全局字典，每个全局字典的大小不超过100MB。全局字典的名称为264位的小写字母、数字、下划线的结合，开头结尾只允许小写字母和数字，多个全局字典的名称不允许相同。添加完成后，单击【确认提交】后进行全局字典的部署。 3. 提交后，会自动跳转到全局字典首页，展示字典部署状态，总共有等待部署、部署中、部署成功、部署失败四种状态，部署失败的可单击操作列的【失败重试】重新部署。部署成功后，可查看、编辑、删除全局字典。 查看全局字典 单击全局字典首页操作列的【查看】，可进入“查看全局字典”页面，可查看每个全局字典的名称和大小。单击【返回】可回到全局字典首页。

建议您开启风险告警，配置了风险告警后，当数据库访问触发了审计规则时，DBSS才能及时将风险通知给您。 场景一：核心资产数据库表的异常访问、告警 示例：某电商网站后台分为多个微服务，分别为订单管理服务、用户管理服务、商品搜索服务等，各服务部署在不同的服务节点上，有不同IP地址，如图所示。 服务器部署拓扑图 绿色箭头为正常访问路径，如果订单管理服务或商品搜索服务两个节点被攻陷，攻击者会从这两个节点去访问数据库的用户信息表，意图窃取用户信息，就属于数据库的异常访问。 在DBSS中可通过如下规则设置来检测数据库异常访问情况： 添加数据库异常访问 如图所示填写的规则表示从192.168.1.1或192.168.3.3上发起的所有针对userinfo表的操作都是“高风险”。 设置该规则后，所有异常访问或窃取表userinfo的行为都会被审计，并且触发风险告警。 添加“操作对象”时，单击“添加操作对象”，填写“目标数据库”和“目标表”，单击“确认”，完成添加。 场景二：利用DBSS进行应用程序的SQL语句性能优化 示例：某应用上线之后发现当用户执行某些操作时总会出现界面长时间卡顿。经定位，发现后台应用访问数据库时出现好几秒的时延，但未定位到具体是哪些语句导致。 此时可利用DBSS的“数据库慢SQL检测”规则进行辅助定位，帮助开发人员进行性能优化。 操作步骤如下： 1. 登入DBSS控制台，进入风险操作页面。进入风险操作页面 2. 单击“数据库慢SQL检测”项“操作”列的“编辑”，在编辑页面的底部设置执行时长规则设置为大于1000毫秒。设置执行时长 3. 单击“确认”，完成设置。 4. 设置完成后，待运行一段时间，在语句页面下的规则名称搜索框中填入“数据库慢SQL检测”对检测情况进行检索。 说明 您可对检索的结果进行分析，对可进行优化的SQL进行优化。 若需要进行多轮优化，您可对规则中的“执行时长”字段进行修改，逐步缩小时间，直到达成性能提升的目标。

背景说明 授权管理功能可以帮助管理员便捷掌握授权状态、可用功能及额度情况，实现对终端安全管理系统授权的高效监控与分发管理。 操作步骤 1. 登录边缘安全加速控制台，选择相应的控制台【终端管理】； 2. 在左侧导航栏，选择【授权管理】，进入相关页面； 版本功能说明 1. 展示用户当前授权版本、可用授权额度 、总授权额度、授权有效期、授权包含的功能模块，并提供 “获取额度” 跳转功能，用户点击可前往购买授权额度，灵活应对终端设备数量增加或功能扩展需求，确保系统正常使用。 2. 终端管理授权，包括基础版授权和企业版授权。 授权分发管控 授权概览 1、直观呈现当前版本（如基础版）的授权额度、有效期，帮助管理员快速掌握授权资源状态。 授权分发规则 终端授权分发策略卡片 1、支持通过用户、设备类型、IP 范围、设备名称等条件配置授权规则，实现批量、精准的授权分配，满足不同场景的终端管理需求。

前提条件 已购买DBSS实例。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“管理与监管 > 云监控服务 CES”。 3. 在左侧导航树栏，选择“告警 > 告警规则”，进入“告警规则”页面。 4. 在页面右上方，单击“创建告警规则”，进入“创建告警规则”界面。 5. 设置告警规则名称，选择告警规则“归属企业项目”。 6. 在“资源类型”下拉列表框中选择“数据库安全服务”，选择“维度”、“监控范围”，设置告警模板、是否发送通知，如图所示。 设置DBSS监控告警规则 7. 单击“立即创建”，在弹出的提示框中，单击“确定”， 告警规则创建成功。 查看监控指标 您可以通过管理控制台，查看DBSS的相关指标，及时了解数据库安全状况，并通过指标设置防护策略。 前提条件 DBSS已对接云监控，即已在云监控页面设置监控告警规则。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“管理与监管 > 云监控服务 CES”。 3. 在左侧导航树栏，选择“云服务监控 > 数据库安全服务”，进入“云服务监控”页面。 4. 在目标DBSS实例所在行的“操作”列中，单击“查看监控指标”，查看对象的指标详情。