入云流量页面展示当前防火墙实例防护的互联网访问云上EIP的流量数据，数据基于会话统计，在连接期间，数据不会上报，连接结束后才会上报。 前提条件 开启弹性公网IP（EIP）防护且已有流量经过EIP，开启EIP防护的操作步骤请参见“开启互联网边界流量防护”。 查看入云流量 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“流量分析> 入云流量”，进入“入云流量”页面。 5. 查看经过防火墙的流量统计信息，支持5分钟~7天的数据。 流量看板：互联网访问内部服务器时最大流量的相关信息。 入云流量：入方向请求流量和响应流量数据，最多支持同时查询30个EIP的流量数据。 取值说明： 时间段 取值说明 近1小时 取1分钟内的平均值 近24小时 取5分钟内的平均值 近7天 取1小时内的平均值 自定义 5分钟~6小时：取1分钟内的平均值 6小时（含）~3天：取5分钟内的平均值 3天（含）~7天（含）：取30分钟内的平均值 可视化统计：查看指定时间段内入方向流量中指定参数的TOP 5 排行，参数说明请参见表350。单击单条数据查看流量详情，每个详情支持查看50条数据。 入云流量可视化统计参数说明： 参数名称 参数说明 TOP访问源IP 入方向流量的源IP地址。 TOP访问来源地区 入方向流量的源IP所属的地理位置， TOP访问目的IP 入方向流量的目的IP地址。 TOP开放端口 入方向流量的目的端口。 应用分布 入方向流量的应用信息。 IP分析：查看指定时间段内 TOP 50 的流量信息。 公开IP分析：目的IP的流量信息。 访问源IP分析：源IP的流量信息。

新建资源标签 云堡垒机系统每个用户可自定义资源标签，资源标签仅能个人帐户使用，不能被CBH系统内用户共用。 您可以在创建主机或应用资源时添加标签，也可以在资源创建完成后，在资源或运维列表的详情页添加标签。一个主机或应用默认最大拥有10个标签。 通过云堡垒机纳管主机资源或通过云堡垒机纳管应用服务器可直接配置“标签”参数。本小节主要介绍资源创建完成后，在资源或运维管理页面添加标签，以“主机管理”为操作示例。 前提条件 已获取“主机管理”、“应用发布”、“主机运维”或“应用运维”功能模块权限。 添加标签 1 登录云堡垒机系统。 2 选择“资源 > 主机管理”，进入主机管理列表页面。 3 选择需添加标签主机资源，单击“添加标签”，弹出“添加标签”窗口。 4 输入需自定义标签内容，并按“Enter”创建标签，或在“标签”下拉框选择已创建标签。 5 单击“确定”，返回主机资源管理页面或主机运维管理页面，可查看该主机资源的新建标签。 6 标签添加成功后，可在资源管理列表页的“标签”列，单击下拉框，通过选择设定的标签来检索资源。 删除资源标签 本章节指导您如何删除资源标签。 约束限制 “删除标签”将去除所选资源上的所有标签。 当创建标签不被任何资源使用时，将会自动被删除。 前提条件 已获取“主机管理”、“应用发布”、“主机运维”或“应用运维”功能模块权限。 操作步骤 已添加标签的资源，可对标签进行删除操作，以“主机管理”为操作示例。 1 登录云堡垒机系统。 2 选择“资源 > 主机管理”，进入主机管理列表页面。 主机管理列表页面 3 选择需删除标签主机资源，单击“删除标签”，确认删除提示信息，将删除该主机资源所有标签。 4 返回主机资源管理页面或主机运维管理页面，查看该主机资源标签已被删除。 说明 主机或应用资源标签的单个删除，还可单击主机或应用资源列表的“管理”，在资源基本信息编辑页面，对已有标签单个删除。 自定义系统类型 云堡垒机能管理资源系统类型，并可自定义系统类型。 默认支持14种系统类型。

本章节主要介绍客户端的安装。 前提条件 当安装客户端节点为集群外节点时，该节点必须能够与集群内节点网络互通，否则安装会失败。 待安装客户端节点必须启用NTP服务，并保持与服务端的时间一致，否则安装会失败。 在节点上安装客户端，可以使用root 用户或任意操作系统用户进行操作，要求该用户对客户端文件存放目录和安装目录具有操作权限，两个目录的权限为 775 。 需要允许用户使用密码方式登录Linux弹性云服务器（SSH方式）。 安装客户端 1. 请先在服务器上配置时间同步服务（ntpd或chronyd），并确认同步状态正常。 ps aux grep 'ntpdchronyd' 2. 服务器上需要安装好Kerberos客户端相关rpm包（krb5workstation或krb5client），如有sudo权限但未安装会自动进行安装。 说明 如果使用root用户执行安装脚本，则不需要再安装了，会自行安装。 3. 服务器上需要安装好jdk，并新建/usr/jdk64/目录，然后将/usr/jdk64/current软链到${JAVAHOME}。 执行java version确认是否已经安装jdk。如果使用的是天翼云的jdk，已经做好软链，不需要额外操作。 如何判断是否是天翼云的jdk？可以执行下面语句，如果能匹配出带有ccdp的内容则代表是天翼云的jdk；否则需要自己软链（下图表示不是天翼云的jdk）。 配置环境变量：sudo vim /etc/profile 软链：ln sf {JAVAHOME} /usr/jdk64/current 4. /etc/hosts内需要写入server端服务器的IP和主机名。 5. 将下载的clientconfig.tar.gz和CCDPclient.tar.gz两个安装包以及keytab文件放在同一目录。 6. tar zxvf CCDPclient.tar.gz解压，进入CCDPclient目录，目录下有md5文件和安装包，可用md5文件进行校验, 例子：md5sum c CCDP3.3.3x8664client.tar.gz.md5。 7. 再次tar zxvf CCDPclient.tar.gz解压，进入CCDPclient目录，可看到安装脚本install.sh与各组件目录。 8. 进入二次解压后的CCDPclient目录，执行sh install.sh安装客户端。可以直接用root用户安装。 9. krb5.conf配置文件拷贝需要root或有sudo权限的用户。若安装用户没有权限，则需提前使用root权限将krb5.conf拷贝到/etc/目录，随后使用安装用户执行sh install.sh s跳过krb5.conf配置，直接安装大数据客户端。 10. 安装运行的日志保存在/tmp/emrbigdataclientinstall.log中。 11. 使用客户端前需要执行source bigdataenv获取环境变量(要在同一个窗口，不能多个窗口)。source每次重新登录都要执行。 12. 集群默认启用Kerberos认证，执行以下命令认证当前用户。请用实际的keytab文件的路径替换/path/to/username.keytab。 kinit kt /path/to/username.keytab klist kt /path/to/username.keytab sed n 4p awk '{print $NF}' 13. 直接执行组件的客户端命令。 例如：使用HDFS客户端命令查看HDFS根目录文件，执行 hdfs dfs ls / 14. 客户端安装完成后，可参考“各组件客户端使用实践”使用客户端。 说明 操作步骤可参考软件包目录下的README.txt。 如需卸载客户端，可直接删除安装目录。

本节介绍资产概览信息。 资产概览显示资产总数、风险资产数、服务器离线数量、Agent安装率和安装数量，操作系统分布，安装软件TOP排行（支持倒序和正序），开放端口号TOP排行（支持倒序和正序）。

主要介绍产品咨询类常见问题。 OOS支持HTTPS访问吗？ OOS支持HTTPS访问： OOS API支持 pathstyle 和 bucket virtual hosting 两种风格的请求方式，推荐使用 bucket virtual hosting 的请求风格，即 Bucket + EndPoint 的形式，如 若Bucket中带有（.），若想支持https访问，请用pathstyle方式，如 OOS文件删除或覆盖后能不能恢复？ OOS后端的冗余机制是针对服务器、硬件等出现故障进行数据恢复。OOS无法恢复经您手动删除、覆盖或者配置生命周期规则自动删除的OOS文件。为了防止数据误删或者覆盖，可以设置权限管理（Bucket Policy或IAM），详见降低恶意访问风险。 匿名用户为何无法访问非私有的文件（ Object ）？ 当您的存储桶（Bucket）读写权限设置为非私有时，默认情况下所有用户都可以访问您该存储桶下的文件（Object）。如果不能访问，请检查是否为该存储桶配置了Bucket Policy。Bucket Policy是OOS推出的针对Bucket的授权策略，您可以通过Bucket Policy禁止或允许其他用户访问您的OSS资源。所以，若您Bucket Policy设置了某些影响匿名用户访问的策略，也会导致匿名用户无法访问。 本地服务器有100T的文件，想放到对象存储OOS上，能否通过邮寄存储设备方式快速上传？ 不能，天翼云没有数据快递服务，可以使用OOS数据迁移工具，将本地数据上传至对象存储OOS，详见常用工具OOS数据迁移工具。

本文为您介绍Serverless集群的域名DNS解析异常常见问题。 域名解析失败，如何定位处理？ 问题现象：域名解析失败。 可能原因：域名解析失败可能有如下4种情况：Serverless集群内是否已经安装了coreDNS插件、coreDNS服务是否正常、集群使用的安全组是否已经放开udp规则、pod容器到coreDNS网络是否连通。 解决方法： 1. 判断当前的异常原因。 2. 检查业务Pod的DNS配置，是否已经接入CoreDNS。 3. 检查CoreDNS Pod运行状态进行诊断。 4. 检查CoreDNS运行日志进行诊断。 5. 检查pod是否能访问CoreDNS。 6. 检查安全组是否已经放开UDP协议的53端口。 CoreDNS插件已安装但是在pod内部无法解析 kubernetes等service域名 问题现象：在容器内部是可以ping通coredns pod的ip，查看容器内部的/etc/resolv.conf也是正常的，但是nslookup kubernetes就是不能解析出ip。 可能原因：在nslookup kubernetes的时候，容器先通过/etc/resolv.conf中的nameserver写的coredns的serviceIP找到dns服务器，再通过dns服务器解析内部service域名。首先得确保coredns的service正常工作，使用curl 10.96.0.10:9153测试coredns的service明显不通。 解决方法：需要排查kubeproxy是否正常。 安装CoreDNS插件后并没有修改容器内部的/etc/resolv.conf 问题现象：查看随便一个pod，进入容器内部查看cat /etc/resolv.conf，发现并没有被coredns修改。 可能原因：可能是CoreDNS工作不正常。检查coredns pod是否有事件报错健康检查失败。 解决方法：检查coredns日志是否正常，重启coreDNS。

性能项目 性能指标 服务桌面规格 WinServer2016/Win10，4C8G，200G，优先SSD 服务器架构 X86（intel、海光) 打印响应时长(数据仅供参考，实际时长与打印机型号、文件大小、文件页数、文件内容、打印方式相关） 大文件打印（50MB） 30秒左右 打印响应时长(数据仅供参考，实际时长与打印机型号、文件大小、文件页数、文件内容、打印方式相关） 小文件打印（24KB） 10秒左右 支持网络协议(网络打印机场景) TCP 支持打印机协议 RAW

参数 普通IO 高IO 通用型SSD 超高IO 极速型SSD 每GB云硬盘的IOPS 2 6 8 50 50 单个云硬盘的最大IOPS 2200 5000 20000 33000 128000 单个云硬盘的基线IOPS 500 1200 1500 1500 1800 单个云硬盘IOPS上限 min (2200, 500 +2 × 容量) min (5000, 1800 + 8 × 容量) min (20000, 1800 + 12 × 容量) min (33000, 1800 + 50 × 容量) min (128000, 1800 + 50 × 容量) 单个云硬盘的IOPS突发上限 2200 5000 8000 16000 64000 云硬盘吞吐量性能计算公式 50 MB/s min (150, 100 + 0.15 × 容量) MB/s min (250, 100 + 0.5 × 容量) MB/s min (350, 120 + 0.5 × 容量) MB/s min (1000, 120 + 0.5 × 容量) MB/s 最大吞吐量 50 MB/s 150 MB/s 250 MB/s 350 MB/s 1000 MB/s API名称 说明 此处API名称为云硬盘API接口中“volumetype”参数的取值，不代表底层存储设备的硬件类型。 SATA SAS GPSSD SSD ESSD API名称 说明 此处API名称为云硬盘API接口中“volumetype”参数的取值，不代表底层存储设备的硬件类型。 SATA SAS GPSSD SSD ESSD API名称 说明 此处API名称为云硬盘API接口中“volumetype”参数的取值，不代表底层存储设备的硬件类型。 SATA SAS GPSSD SSD ESSD 典型应用场景 适用于大容量、读写速率中等、事务性处理较少的应用场景，例如企业的日常办公应用或者小型测试等。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 单队列访问时延 5 ms ~ 10 ms 1 ms ~ 3 ms 1 ms 1 ms 亚毫秒级

本文为您介绍新增备份集管理的具体操作。 备份集是一次备份数据的集合，它包含本次备份的所有备份片，记录了备份数据的相关信息，备份集根据备份的类型不同，通常可分为全量备份集，增量备份，差异备份集，备份集管理页面包含了所有备份和复制任务产生的备份集相关信息，恢复时支持按条件搜索特定的备份集实现恢复。不同备份的相关解释如下： 全量备份：针对备份对象的完整的备份，数据恢复不依赖于任何其他备份集。 增量备份：是指相较于前一个备份（全量/增量/差异）差异增量的备份。 差异备份：是指相较于前一个全量备份的差异增量的备份。 备份集管理 备份集管理分为主副本和全副本视图两个页面。 主副本视图 主副本视图具体页面及相关操作如下： 备份集搜索栏：备份集支持按备份ID、备份源、备份规则名称、备份时间范围、备份规则类型、备份服务器、目标存储单元（组）等条件进行相关备份集的搜索。 右上角显示当前页备份集数据大小及所有备份集总数据大小。 1. 备份集管理列表说明如下： 备份ID：显示该备份集对应的备份ID。 备份源：显示该备份集对应的备份源，通常为客户端节点名称。 实例名：显示该备份集对应的实例名字，仅数据库才显示。 对象：作为数据源备份集管理预留字段使用。 表空间：显示备份集对应的表空间名称，仅数据库才显示。 备份时间：显示该备份集的备份时间。 过期时间：显示该备份集过期时间（备份时间+保留时间）。 状态：显示当前备份集的状态。 正常：该备份集未过期，数据可用且没有被使用。 过期：该备份集已经过期，未启动清理。 清理：该备份集已过期，正在清理底层备份集数据。 正忙：该备份集副本正在被使用，不能删除。 无效：底层访问备份集数据时访问失败，此时，调度服务器将该备份集设置为“无效”状态。访问备份集时机为：备份集复制和恢复、界面发起备份集验证、备份集过期时删除备份集。 文件数量：显示当前备份集的文件数量。 大小：显示备份集的大小。 磁盘池：显示备份集所属的磁盘池名称。 磁带池：显示备份集所属的磁带池名称。 备份规则：现在该备份集对应的备份规则名称。 副本数：显示该备份集的副本数量。 主副本：显示该备份集是否为主副本，即第一次产生的备份副本。 备份类型：显示该备份集对应的备份类型。 备份计划：现在该备份集对应的备份计划名称。 备份服务器：显示该备份集所属的备份服务器。 存储介质：显示该备份集对应的存储介质。 磁带条形码：显示该备份集对应的磁带条形码 备份集清理次数：显示备份集过期清理的次数。 平台名称：显示备份集对应的平台名称，一般用于虚拟化备份场景。 平台类型：显示备份集对应的平台类型，一般用于虚拟化备份场景。 2. 备份集管理操作列表说明如下： 查看：查看该备份集详细信息。 恢复：恢复该备份集。 验证：通过“验证”操作，可以验证备份集是否可以访问，如果能成功访问，调度服务器会将该备份集设置为“正常/过期”状态。 强制删除：当备份集过期清理次数>备份集清理失败重试次数后，操作栏将显示“强制删除”操作，此时可强制删除清理失败的备份集，备份集清理正常情况下，不显示。 3. 操作栏说明如下： 延长期限：可以手动延长备份集的过期时间，从而设置新的备份集过期时间。 单选或者多选备份集时，不能对状态为“过期”和“清理”的备份集延长保留期限； 立即过期：将该备份集的过期时间设置为当前时间。 复制：即备份集手动复制，支持将源备份集手动复制到目标存储单元（组）并设置目标备份集保留期限。 创建手动复制任务时需要关联备份集复制规则，同时可查看备份集复制规则详细信息。 若备份集复制规则已开启传输压缩、传输加密、带宽控制等选项，则手动复制将继承其特性。 验证：通过“验证”操作，可以验证备份集是否可以访问，如果能成功访问，调度服务器会将该备份集设置为“正常/过期”状态。每一个备份集“验证”都会生成一个单独的备份集验证任务，如果一次验证包含多个备份集，则将发起多个备份集验证任务，验证任务可在“总览”>“定时任务”查看。 强制删除：可强制删除对应的备份集。 只能删除操作栏带有“强制删除”按钮的备份集，其他备份集不允许删除。 如果批量选择备份集，执行强制删除操作，将自动过滤掉不允许强制删除的备份集。 强制删除后的备份集，将进入已过期备份集记录中。

本节为您介绍云迁移服务CMS功能特性。 云迁移服务模块 服务器迁移服务模块 数据库迁移服务模块 数据迁移服务模块

导出漏洞列表 单击漏洞列表上方的“导出”，导出查询条件下的所有漏洞。 导出字段：漏洞名称、漏洞等级、漏洞类型、CVE编号、处置状态、服务器、IP、参考信息、解决方案、漏洞描述、漏洞发布时间、最后发现时间。

本文介绍Windows AD的认证源创建方式。 功能介绍 Windows AD 是 Microsoft 提供的本地化用户目录管理服务。在花卷慧办中配置AD认证源，可实现用户使用AD的账户密码登录的功能。本文介绍如何使用AD作为认证源。 注意 目前该能力暂未全面开放至控制台，若想要进行该能力配置，可联系我们进行开启。 客户端集成AD认证源版本为：PC客户端版本（Windows、macOS）为1.3.0及以上版本，移动端（安卓、IOS）为2.9.0及以上版本。 操作步骤 管理员创建AD认证源 即AD当作认证源，其管理登录认证验证，花卷慧办客户端登录时进行转发给AD进行认证，因花卷慧办需要针对用户、组织进行精细化授权，建议采用AD同步提前将用户信息导入，配置对应权限。 1. 添加认证源 登录花卷慧办工作台，进入扩展认证源列表，点击“添加认证源”，进行AD认证源添加。 2. 选择认证源类型 选择AD 认证源类型。输入配置参数，完成AD认证源配置。 配置参数说明： 参数 说明 认证源名称 必填，默认值“AD”，输入限制为16个字。 服务器地址 必填，分为连接方式、服务器地址和端口三个部分： 下拉选择域名为ldap:// 或者 ldaps://。 输入服务器地址。 输入端口号。 同步密码到 AD 时必须开启 StartTLS 或 ldaps，非同步密码场景也推荐开启，可以有效提高数据传输的安全性。一般使用 389 或 636 端口。 管理员账户 必填，请输入登录名，如admin@example.com。支持DN格式，并请确保该账户至少拥有全部节点的读取权限；如需同步账户或密码到 AD，还需分配写入权限。 管理员密码 必填，该账户的登录密码。 User DN 必填，AD服务器的根目录，通常是DN（Distinguished Name）的路径。例如：dctest,dclocal。 查询条件 必填，无特殊情况一般为objectclass，查询User DN下所有的对象。 此处也可定义搜索条件，确定哪些条目（Entry）符合查询要求，例如： (objectClassperson)：查找所有对象类为“person”的条目。 (cnJohn Doe)：查找常见名称（cn）为“John Doe”的条目。 (uid)：查找所有具有“uid”属性的条目。 &（和）、（或）、!（非）等逻辑运算符可以用来组合多个条件。 用户登录标识 必填， 会同步至AOneId的username（账号）字段，也是用户使用AD登录时账号字段。 用户信息映射规则 必填，同步AD数据至AOneId的映射关系，支持多个，目前AOneId仅支持配置name、mobile、email、nickname 4个字段的映射规则。 例如：namedisplayName;mobilehomePhone;emailmail; nicknamegivenName。 注意： AOneId中的name（姓名）同步AD中的displayName字段 AOneId中的mobile（手机号）同步AD中的homePhone字段 AOneId中的email（邮箱）同步AD中的mail字段 AOneId中的nickname（昵称）同步AD中的givenName字段 登录模式 必填，目前支持登录注册。 适用范围 必填，目前支持PC端和移动端。 Logo 非必填，用于在认证源列表展示的Logo。

Demo上传 1. 将ctyunmsedemo.tar.gz文件下载、上传至云主机。 2. 执行命令tar –zxvf ctyunmsedemo.tar.gz，解压ctyunmsedemo文件。 3. 执行命令cd quickstart，解压后进入quickstart文件夹。quickstart文件夹信息： appa ：appa服务文件夹 appb ：appb服务文件夹 appc ：appc服务文件夹 logs ：项目启动后日志存放路径 simpledemo ：快速上手demo zuul ：网关服务 ctyunmsedemo.config ：启动配置文件 Demo启动 1. 启动simpledemo，快速体验接入流程。 编辑配置文件ctyunmsedemo.config，修改simpledemo端口（可选），mseagentpath、mselicenseKey和msemscendpoint参数。 simpledemoserverport：simpledemo默认启动端口为26150 mseagentpath：前置条件、agent上传云主机存放路径 mselicenseKey：前置条件、控制台生成licenseKey msemscendpoint：前置条件、控制台获取msemscendpoint 执行命令cd simpledemo，进入simpledemo文件夹。 执行命令sh startsimple.sh，启动脚本startsimple.sh。 执行命令more ../logs/simpledemoinfo.log,查看logs文件中的info.log文件是否启动成功。 查看应用治理或者网关治理，确认您的应用已经接入到微服务治理中心。 启动appa、appb、appc和zuul，快速体验微服务治理能力。 编辑配置文件ctyunmsedemo.config，修改应用A、B、C端口信息（可选）、注册中心Nacos相关配置、mseagentpath、mselicenseKey、msemscmendpoint等信息。配置详情如下： appaserverport：设置A服务端口：默认26160 appbserverport：设置B服务端口：默认26165 appcserverport：设置C服务端口：默认26170 zuulserverport：设置zuul服务端口：默认26180 nacosserveraddr：前置条件、nacos服务器地址 nacosserverusername：前置条件、 nacos服务器用户名 nacosserverpassword：前置条件、nacos服务器密码 nacosnamespace：前置条件、nacos服务器命名空间 mseagentpath：前置条件、agent上传云主机存放路径 mselicenseKey：前置条件、控制台生成licenseKey msemscendpoint：前置条件、控制台获取msemscendpoint 启动appa服务 1. 执行命令cd appa，进入文件夹。 2. 执行命令sh startappa.sh，启动脚本。 3. 执行命令more ../logs/appainfo.log，查询日志。 4. 查看应用治理或者网关治理，确认您的应用已经接入到微服务治理中心。 启动appb服务 1. 执行命令cd appb，进入文件夹。 2. 执行命令sh startappb.sh，启动脚本。 3. 执行命令more ../logs/appbinfo.log，查询日志。 4. 查看应用治理或者网关治理，确认您的应用已经接入到微服务治理中心。 启动appc服务 1. 执行命令cd appc，进入文件夹。 2. 执行命令sh startappc.sh，启动脚本。 3. 执行命令more ../logs/appcinfo.log，查询日志。 4. 查看应用治理或者网关治理，确认您的应用已经接入到微服务治理中心。 启动zuul 1. 执行命令cd zuul，进入文件夹。 2. 执行命令sh startzuul.sh，启动脚本。 3. 执行命令more ../logs/zuulinfo.log，查询日志。 4. 查看应用治理或者网关治理，确认您的应用已经接入到微服务治理中心。

本章节主要介绍连接类问题 权限不足导致数据库实例连接失败怎么办 1. 报错信息：您的权限不足。策略不允许执行das:connections:xxx 。 报错原因：您的帐号没有添加DAS FullAccess权限。 2. 报错信息：您没有执行此操作的权限，请联系您的管理员为您开通权限。 报错原因：您的帐号没有添加DAS FullAccess权限。 3. 报错信息：您当前登录的帐号仅具有只读权限，不能执行此操作。为确保您顺利使用DAS，请添加DAS Administrator权限。 报错原因：您的帐号没有添加DAS FullAccess权限。 RDS for MySQL实例连接失败怎么办 1. 报错信息：Access denied for user 'username'@'100.xxx.xx.xx' (using password: YES)。 a. 报错原因：RDS实例用户名或密码不对。 解决方法：请确认数据库用户名和密码是否正确，如果您不确认密码是否正确，可以在RDS控制台重置实例密码。 须知 修改密码可能会影响业务，请谨慎操作。 如果确认帐户名和密码正确，可以通过客户端或命令行工具登录数据库，执行select from mysql.user where user 'username'命令查看用户信息，如果存在100.%网段的用户，则DAS只能通过100.%网段的数据库用户去连接数据库。username @%与username @100.%是两个用户，其密码和权限都是独立的，请确认输入的密码是否是username @100.%用户的密码。 b. 报错原因：DAS服务器的IP地址不在您输入用户的白名单中。 解决方法：使用客户端或命令行工具登录到数据库，创建DAS可以访问的数据库用户。 create user 'username'@'100.%' identified by 'password'; grant select on . to 'username'@'100.%'; 说明 lDAS服务器IP地址所在网段为100.%，请根据实际使用需要添加白名单。 l请根据实际使用需要给username@100.%用户赋予权限。 c. 报错原因：使用SSL用户登录，服务端没有开启SSL功能。 解决方法：请执行如下语句查询用户是否是SSL用户，如果是，则在RDS实例详情页面，将SSL开关打开。其中，ssltype字段有值即表示此用户是SSL用户。 select user, host, ssltype from mysql.user where user 'username'; 2. 报错信息：Trying to connect with ssl, but ssl not enabled in the server 报错原因：使用SSL用户登录，服务端没有开启SSL功能。 解决方法：请执行如下语句查询用户是否是SSL用户，如果是，则在RDS实例详情页面，将SSL开关打开。其中，ssltype字段有值即表示此用户是SSL用户。 select user, host, ssltype from mysql.user where user 'username'; 3. 报错信息：Client does not support authentication protocol requested by server. plugin type was 'sha256password' 报错原因：DAS暂不支持密码的加密方式为sha256password的数据库用户连接登录。 解决方法：请执行如下语句将密码的加密方式改为mysqlnativepassword。 alter user 'username'@'%' identified with mysqlnativepassword by 'password'; 4. 报错信息：Communications link failure The last packet sent successfully to the server was 0 milliseconds ago. The driver has not received any packets from the server 报错原因：DAS服务器与实例网络不通。 解决方法：请联系技术支持协助处理。 5. 报错信息：Instance connect timeout, please login again. 报错原因：DAS服务器连接超时。 解决方法：请联系技术支持协助处理。

SQL审计 1、登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 单击页面左上角的，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 在产品概览中单击“进入DBA智能运维”。 选择目标实例，单击“详情”，进入DBA智能运维总览页面。 单击“全量SQL洞察”，进入全量SQL洞察页面。 单击SQL审计页签。 在“SQL审计”页签中，查看SQL审计任务。 您可以通过选择数据起止时间、任务创建时间、节点等查询条件获取当前实例SQL审计任务。 单击“新增SQL审计任务”按钮，可自选时间范围添加SQL审计任务。DAS支持添加实例级别和节点级别的SQL审计任务，您可根据业务需求自行选择添加。添加完成的SQL审计任务会显示在下方列表栏。 单击操作栏的“查看详情”，可查看SQL审计详情。您可以通过选择时间范围、用户、关键字、数据库等SQL查询条件单击“查询”，获取当前实例所执行过的SQL信息。选择时间范围时不可以超出新增SQL审计时的时间范围。 SQL诊断 您可以通过SQL诊断功能诊断SQL语句并查看SQL语句优化建议。 使用须知 仅支持MySQL InnoDB引擎。 仅支持select/insert/update/delete语句诊断，其中insert必须带select子句。 暂不支持查询informationschema、test、mysql 等保留库的语句。 暂不支持使用视图的语句。 SQL诊断功能会获取相关表结构和数据分布信息（非原始数据），该信息仅用于诊断逻辑，不会存储到DAS服务器。 获取表结构和数据分布信息的过程中，可能会对实例带来额外负载，但对性能影响甚微。 SQL诊断历史是唯一存储在DAS服务器上的数据，如果执行删除操作后，也将彻底从服务器上删除。 格式化用于提高SQL语句易读性，只是转换SQL语句的显示形式，不会修改SQL的执行逻辑和语义。 格式化是对整个SQL窗口内所有SQL语句进行格式化，暂不支持选中多条语句中的某一条进行格式化。

数据库审计是否支持备份行为的过滤，具体是怎样实现的？ 可以通过设计规则来实现，如源IP是主数据库，目的IP是备数据库，这类命令全部过滤，不审计。 数据库审计Agent在服务器上生成的日志包含哪些内容？ 数据库审计Agent在服务器上生成的日志只是Agent的运行日志，且日志的容量有上限，50M7350M，存7天，循环覆盖，单日最大是50M。 数据库审计是否支持报表导出ofd格式？ 不支持。 在数据库所在服务器上，用数据库工具对数据库进行操作能审计到吗？ 对应本地审计功能，通过安装Agent的方式是可以的。 用户的数据库有区分主库和备库，这种情况占用几个授权？ 数据库审计对授权占用是按照“业务IP+端口”这个组合来确定的，每一个这样的组合会占用一个授权，可以结合实际主库和备库对外“业务IP+端口”的数量来确定需要的授权数。 数据库审计是否支持对于某个数据库的日志单独设置保存时长，或者单独设置日志外送？ 不支持单独设置某个库的日志存留时间，但是可以对某个库单独设置日志外送任务，在外送任务建立之后，会实时转发每一条日志，但是对于设置日志外送任务之前的日志，则无法单独外送。 加密的数据库，没有密钥，是否有审计数据？ 无密钥，就没有审计记录。 SSH远录登陆审计与本地审计是否支持？ SSH远程登录审计指的是，在远程通过SSH登录数据库本地的情况下，可以审计到远程的设备的IP，并不会因为此次行为的本质是数据库本地操作而止步数据库IP作为源IP。 SSH远程登录，源头IP被审计到之后，下一步会流转到本地回环审计或本地审计： 本地回环审计，会产生网络流量，会有审计日志，审计日志中的源IP会显示为远程登录的设备的IP，对所有支持的数据库协议都可用。 本地审计，无网络流量，这种情况要看数审目前支持的本地审计的矩阵，矩阵之内的，可以审计到，并且有审计日志，在矩阵之外的，审计不到，没有审计日志。

在备份任务正在执行或完成后，可以通过各种筛选条件在备份列表查看备份详情。 在备份任务正在执行或完成后，可以通过各种筛选条件在备份列表查看备份详情。 前提条件 备份任务已创建。 查看备份详情 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份”。选择对应的备份目录。 2. 在任一备份页面，选择“备份副本”页签，通过筛选条件查看备份。 通过备份列表右上角的状态查询备份。备份的状态取值如下表。 状态 状态属性 说明 所有状态 显示所有备份。 可用 稳定状态 备份完成之后的稳定状态。该状态下可以执行各种操作。 正在创建 中间状态 从开始备份到备份完成中间的状态。在任务列表中，可以看到该状态下会有进度条提示备份的完成情况，如果进度条长时间不变，则说明出现异常，需要联系客服处理。 正在恢复 中间状态 使用备份恢复数据的中间状态。在任务列表中，可以看到该状态下会有进度条提示备份恢复的完成情况，如果进度条长时间不变，则说明出现异常，需要联系客服处理。 正在删除 中间状态 删除备份到删除完成中间的状态。在任务列表中，可以看到该状态下会有进度条提示备份删除的完成情况，如果进度条长时间不变，则说明出现异常，需要联系客服处理。 错误 稳定状态 当执行过程中出现异常情况时，备份的“备份状态”会变成“错误”。此状态下的备份不能用来恢复，需要手动删除。如果手动删除无法完成，需要联系客服处理。 通过备份列表右上角的高级搜索查询备份。可以通过备份状态，备份名称、备份ID、存储库ID、服务器名称、服务器ID、服务器类型或复制，以及创建时间段的交集进行搜索。 通过备份列表上方的企业项目查询备份。 通过备份列表右上角的图标导出云服务备份列表。 3. 单击备份名称，可以查看备份的详情。

云间高速(标准版)产品广泛应用于多种场景,本文带您更快了解云间高速(标准版)经典应用场景。 场景一：跨资源池分布式组网 场景说明 客户在多个天翼云资源池购买云资源，部署分布式架构的企业应用，通过云间高速为客户创建一个专用网络，可以为客户提供更稳定、更灵活、更安全的网络环境，满足企业应用部署的需求。 产品优势 基于电信骨干网络快速转发，多点分布，内网访问。 场景二：跨区域数据传输 场景说明 客户需要频繁地在不同资源节点之间传输大量数据，或者进行数据迁移，以确保数据的安全性和稳定性。通过云间高速产品在节点之间建立安全稳定的高速网络通道，让数据可以在该通道上进行安全、稳定的内网传输。 产品优势 基于电信骨干网络快速转发，大带宽，弹性伸缩。 场景三：本地数据中心与云上VPC混合组网 场景说明 云间高速云网关具有强大的接入功能，能够与多种网络实例无缝连接，包括虚拟私有网络（VPC）、云专线以及天翼云SDWAN等。通过云网关，客户可以实现不同接入网络的自由切换，实现云端与本地网络的混合组网。这种灵活的接入方式使得客户可以根据自身需求，自由选择最佳的网络连接方式，从而实现高效的网络互联互通。

本文档为制作Linux系统私有镜像指导手册的步骤2,安装Linux系统软件包。 操作场景 本操作将引导您安装云平台功能直接或间接依赖的软件包。 注意 以下命令均须以root身份执行； 以下命令可直接复制执行。 Linux系列的划分说明 本文中基于Linux操作系统软件包管理命令的不同，分为Red Hat系列镜像和Debian系列镜像： Red Hat系列镜像基于Red Hat Enterprise Linux（RHEL），包括RHEL本身以及与之兼容的发行版，包括CTyunOS以及常见操作系统，如CentOS、Anolis、openEuler、KylinOS、UnionTechOS、Rocky Linux、AlmaLinux、Fedora等。这些系统默认使用 dnf/ yum 和 rpm 相关命令来管理软件包。此手册暂不适用于基于/兼容 RHEL 6 及更早版本的系统（如 CentOS Linux 6）。 Debian系列镜像基于Debian GNU/Linux，包括Debian本身以及基于Debian的发行版，如Ubuntu。这些系统默认使用 apt/aptget 和 dpkg 相关命令来管理软件包。 确认源配置 注意 安装软件包前，建议您先确认仓库源是否已正确配置。如果遇到镜像已停止维护（EOL）可能存在官方源发生变化的情况，则会安装失败。 Red Hat系列镜像的配置文件主要是 /etc/yum.repos.d/ 目录下的各个 REPO 文件。 Debian系列镜像的配置文件主要是 /etc/apt/sources.list 文件。 任何修改前建议复制备份原配置文件。 Red Hat系列镜像使用如下命令

本文介绍视频直播支持的功能。 模块 特性名称 详细说明 直播推流 场景 支持主播/客户采用推流工具将直播流推至视频直播边缘节点。 直播推流 协议 支持RTMP和RTMPS。 直播拉流 场景 支持用户通过播放器从视频直播边缘节点进行拉流播放直播流。 直播拉流 协议 支持RTMP、FLV和HLS。 协议转换 场景 支持将推流或回源协议通过视频直播产品转换成多种直播协议。 协议转换 协议 支持将RTMP、RTMPS、FLV协议转换成FLV、RTMP和HLS协议。 访问控制 Referer防盗链 基于HTTP请求头中Referer字段来设置访问控制规则，实现对访客的身份识别和过滤，防止资源被非法盗用。 访问控制 IP黑/白名单 通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 访问控制 UA防盗链 通过识别HTTP请求头中的UA字段，可以识别特定终端，从而限制用户行为，拦截或允许某一类用户的访问，实现防盗链、防盗刷、防攻击的目的。 访问控制 URL鉴权 通过对访问URL中的加密串及时间戳进行校验，从而有效地保护用户站点资源。 访问控制 远程鉴权 将请求转发回提前设定的鉴权源站，视频直播节点依据源站返回的鉴权结果应答用户请求，从而实现用户鉴权规则由源站全权定义。 访问控制 HTTPS HTTPS是HTTP的安全版，通过开启HTTPS协议，将实现客户端和天翼云直播加速节点之间请求的HTTPS加密。 访问控制 批量域名IP封禁 支持一次对多个域名批量进行IP黑名单配置。 媒体处理 直播转码 为适配不同用户终端或者不同网络环境，视频直播支持输出不同码率、帧率、分辨率等直播流，同时支持对原始流增加水印。 媒体处理 直播录制 支持将直播流录制为点播文件并存储在媒体存储中，实现直播转点播文件，便于客户进行二次传播。 媒体处理 直播时移 支持体育赛事/游戏赛事等直播场景下，通过时移回看精彩瞬间。 媒体处理 直播截图 支持对直播流进行截图，并将图片保存在媒体存储中。 流管理 禁推 当客户监控发现某主播推送非法内容，可通过禁推功能实时中止并封禁该直播，封禁时长支持自定义。 流管理 解禁 支持对封禁中的流进行解禁。 流管理 断流 支持通过自助操作断开正在推的直播流，但主播如果用相同流名再次推流时可以推流成功。 直播控制台 概览 展示今日或本月的流量/带宽、近七天流量/带宽趋势、证书统计、域名统计、信息中心。 直播控制台 域名管理 支持添加域名，并对域名进行编辑、停用、启用或删除等操作。 如果有开通全球（不含中国内地），支持变更加速区域。 支持HTTPS相关功能配置。 支持IP黑白名单、Referer防盗链和URL鉴权功能自助配置。 支持HLS切片配置。 直播控制台 证书管理 支持新增证书、查看证书、删除证书和替换过期证书等操作。 直播控制台 功能配置 支持自助创建转码、录制、截图和回调模板，并支持将模板绑定到域名上。 直播控制台 流管理 支持查询在线推流和历史推流。 支持禁推、解禁和断流自助操作。 直播控制台 统计分析 支持客户对日常关注的带宽流量、回源、请求数、状态码、地区运营商、在线人数等维度进行自定义查询，实时感知业务运营状态。 支持查看热门URL、域名排行、热门Referer、TOP客户端IP。 支持对转码、录制和截图使用量进行查询。 支持查看流粒度带宽、以及推流域名的平均码率和帧率。 直播控制台 日志下载 支持下载直播加速域名的访问日志。 直播控制台 计费详情 支持自助更新计费方式、查询资源包使用详情、查看历史记录和账单等相关信息。 直播控制台 地址生成器 支持自定义流名和发布点并生成URL示例；如果有配置URL鉴权，还可以生成鉴权URL示例。

本文介绍RDSPostgreSQL实例数据被损坏的可能场景。 主机损坏或异常 在数据盘损坏的场景下，实例数据库可能会被损坏以至数据丢失。 数据库主机服务器断电，可能会导致数据页损坏，可能会导致数据库发生异常。 数据遭恶意篡改 在一些安全漏洞被利用的场景下，可能数据会遭到恶意篡改。为了防止这种情况发生，建议严格权限管理，避免非授权用户操作数据库。

项目 描述 Status 是否开启邮件通知功能： Enabled：开启邮件通知功能。 Disabled：禁用邮件通知功能。 SMTP server SMTP服务器。 SMTP port SMPT端口号。 Sender Email 发件箱。 Enable SSL(Yes/No) 是否开启SSL功能： Yes：开启SSL功能。 No：禁用SSL功能。 Receiver Email 收件箱。

模块名称/角色名称 租户系统管理员 租户安全管理员 租户运维管理员 租户审计管理员 总览 √ √ √ 系统管理 用户管理 √ 白名单 √ 操作日志管理 √ √ √ 资产管理 √ √ √ 总览 √ √ √ 服务器 √ √ √ 域名 √ √ √ 运营管理 √ √ √ 安全报告 √ √ √ 组件管理 √ √ √ 安全组件 √ √ √ 威胁分析 √ √ √ 风险分析 √ √ √ 主机漏洞 √ √ √ 网站漏洞 √ √ √ 补丁漏洞 √ √ √ 基线合规 √ √ √ 病毒 √ √ √ 设置 √

Service 与 kubeproxy Service是Kubernetes抽象出来的网络组件，它对外提供统一的IP，屏蔽后端 Pod 的变化，将请求负载到后端的容器 Pod。 kubeproxy是 Kubernetes 的核心组件之一，负责维护节点上 Service 到 Pod 的网络规则。云容器引擎的 kubeproxy 支持 iptables 和 IPVS 两种模式。 iptables iptables 是 Linux 用于过滤和处理数据包的内核功能，其原理是通过 Hook 机制挂载的一系列规则对路径上的数据包进行处理。在使用 iptables 模式时，kubeproxy 会为每一个 Service 添加一条 iptables 规则。通过这些规则流向 Service 的数据包将被随机转发到后端的容器 Pod上。适用的场景： 成熟稳定的kubeproxy代理模式，性能一般，适用于Service数量较少（小于3000）的场景 随机平等的负载均衡算法能满足需求的场景 IPVS IPVS（IP Virtual Server）是构建在传输层上的负载均衡，其原理是将客户端的 TCP 和 UDP 请求根据预设的调度算法分配到后端的真实服务器上，从而实现服务器集群的负载均衡。采用 IPVS 模式时，kubeproxy 会使用 IPVS 提供的高效查找算法将请求转发到后端的容器 Pod上，且处理效率与集群规模无关。适用的场景： 高性能的kubeproxy代理模式，适用于集群规模较大或Service数量较多的场景 有轮询、最短期望延迟、最少连接以及各种哈希方法等负载均衡算法需求的场景

Service 与 kubeproxy Service是Kubernetes抽象出来的网络组件，它对外提供统一的IP，屏蔽后端 Pod 的变化，将请求负载到后端的容器 Pod。 kubeproxy是 Kubernetes 的核心组件之一，负责维护节点上 Service 到 Pod 的网络规则。云容器引擎的 kubeproxy 支持 iptables 和 IPVS 两种模式。 iptables iptables 是 Linux 用于过滤和处理数据包的内核功能，其原理是通过 Hook 机制挂载的一系列规则对路径上的数据包进行处理。在使用 iptables 模式时，kubeproxy 会为每一个 Service 添加一条 iptables 规则。通过这些规则流向 Service 的数据包将被随机转发到后端的容器 Pod上。适用的场景： 成熟稳定的kubeproxy代理模式，性能一般，适用于Service数量较少（小于3000）的场景 随机平等的负载均衡算法能满足需求的场景 IPVS IPVS（IP Virtual Server）是构建在传输层上的负载均衡，其原理是将客户端的 TCP 和 UDP 请求根据预设的调度算法分配到后端的真实服务器上，从而实现服务器集群的负载均衡。采用 IPVS 模式时，kubeproxy 会使用 IPVS 提供的高效查找算法将请求转发到后端的容器 Pod上，且处理效率与集群规模无关。适用的场景： 高性能的kubeproxy代理模式，适用于集群规模较大或Service数量较多的场景 有轮询、最短期望延迟、最少连接以及各种哈希方法等负载均衡算法需求的场景

本文介绍使用RedisShake工具迁移自建Redis Cluster集群 RedisShake是一个开源的Redis迁移工具，可以用于在线迁移和离线迁移（通过备份文件导入）。当你需要迁移部署在其他云厂商上的 Redis集群数据时，如果无法进行在线迁移，你可以选择离线迁移的方式。 在线迁移 在线迁移主要适用于自建Redis Cluster集群迁移到DCS Redis的场景，且两端集群实例能够网络连通，或者有一台中转服务器能够连通两端集群实例。 在线迁移有多种模式，如果SYNC、PSYNC命令未被禁用，建议采用syncreader模式，否则可使用scanreader模式，具体见RedisShake官方社区。 1、在DCS控制台创建Redis实例。 注意 新创建的Redis实例容量不能小于源端Redis实例的实际使用容量。 2、准备一台云服务器，并安装RedisShake。 RedisShake需既能访问源端缓存实例，也能访问目标端DCS 缓存，需要绑定弹性公网IP 3、获取源集群和目标集群的ip地址。 如果源实例或者目标实例是proxy模式架构，则获取proxy ip即可。 4、编辑RedisShake配置文件。 编辑redisshake工具配置文件shake.toml，补充迁移双方信息，及迁移模式。 [syncreader] cluster false set to true if source is a redis cluster address "ip:port" when cluster is true, set address to one of the cluster node username "" keep empty if not using ACL password "" keep empty if no authentication is required tls false syncrdb true set to false if you don't want to sync rdb syncaof true

个人信息类型 可选/必选 处理目的/功能场景 处理方式 获取IP 必选 用于网络变化的时候重新解析DNS获取ip 仅读取，不保存到本地，也不上传服务器

物理机服务(CTDPS,Dedicated Physical Server)为用户提供独享的云上物理机服务器。天翼云物理机具有卓越的计算、存储性能,满足核心应用对高性能及稳定性的需求。同时,可实现与弹性云主机混合组网,为用户提供灵活的业务部署方案。

参数 参数说明 虚拟私有云 默认为集群所在VPC，不可修改。 节点子网 节点子网默认使用创建集群时的子网配置，也可以选择其他子网。 l 多个子网：可选择同一VPC下的多个子网作为节点可用网段，扩容节点会优先消耗排序靠前的子网IP资源。 l 单个子网：当节点池关联的单个子网IP资源较为紧张时，推荐配置多个子网，否则可能会出现节点池扩容失败的问题。 节点IP 支持随机分配。 弹性公网IP 未绑定弹性公网IP的云服务器无法直接访问外网。若需要进行外网访问，您可以为云服务器绑定一个弹性公网IP。 默认为“暂不使用”，如果需要创建请选择“自动创建”。 关联安全组 指定节点池创建出来的节点使用哪个安全组。最多选择5个安全组。 创建集群时会默认创建一个节点安全组，名称为{ 集群名}ccenode{ 随机ID} ，默认会使用该安全组。 节点安全组需要放通一些端口以保障节点通信，如选择其他安全组，需要放通这些端口。 说明 节点池创建完成后，关联安全组不可修改。

本文介绍CentOS 7系列操作系统的云主机安装图像化界面的操作流程。 约束与限制 弹性云主机安装图形化界面前，请确保云主机内存不小于2GB，否则可能出现图像化界面安装失败，或安装后无法启动的问题。 操作步骤 本文操作以CentOS7.9 64位弹性云主机为例。 1. 登录弹性云主机。 2. 执行以下命令，安装图形桌面组件。 yum groupinstall "Server with GUI" 说明 说明：安装前请确保云服务器可以连通互联网，可以通过申请并绑定弹性IP连通互联网。 安装完成示例： 3. 安装完成后，执行以下命令设置默认启动级别为 graphical.target。 systemctl setdefault graphical.target 设置命令示例： 4. 执行以下命令启动graphical.target。 systemctl start graphical.target 5. 重启服务器。 通过控制台提供的远程登录方式连接云主机，并按照桌面启动的提示设置语言、时区、用户名及密码等。 连接成功后，设置示例： 配置成功示例：

本文帮助您快速熟悉修改安全组规则的操作场景和操作流程。 操作场景 当安全组规则创建成功后，针对不满足当前业务需求的访问控制规则，您可以选择修改规则操作，保障云服务器的安全及正常业务运行。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组、安全组规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要复制规则的安全组，单击安全组名称进入详情页，进入安全组详情页。 6. 在“安全组”详情界面，选择安全组规则所属方向，找到需要修改的安全组规则所在行。 7. 单击操作列的“修改”，根据页面提示信息进行修改。安全组规则参数的详细介绍，请参见添加安全组规则页面。 8. 点击“确定”按钮。修改完成后，安全组中的云服务器将根据修改后的规则进行业务流量控制。

步骤二：上传keytab文件 1. 登录弹性文件服务控制台，进入文件系统列表页。 2. 找到目标文件系统并点击名称，进入文件系统详情页。 3. 在文件系统详情页下方“访问控制”页签，打开“开启AD域对接”的开关。 4. 设置“是否允许匿名访问”：若如果允许匿名访问文件系统，则普通非AD域用户也可以挂载文件此文件系统，挂载后用户身份为Nobody。默认不开启，只能AD域用户挂载。 5. 点击按钮上传Keytab文件。选择步骤一生成的Keytab文件，选择后文件服务器会对keytab文件进行验证，验证通过后“确定”按钮变为可用。 6. 点击“确定”，文件服务器将会把文件系统加入到AD域中。 说明 若关闭了“开启AD域对接”开关，文件系统便会退出AD域，若要重新加入须要重新上传配置。 若要修改AD域配置，如“是否允许匿名访问”或者重新上传其它的keytab文件需要点击“确定”才能生效。 若文件在系统在加入AD域之前已经被挂载，当设置加入AD域后需要重新挂载才会在客户端上生效。 加入AD域是异步操作，在点击“确定”后，需要等待3~5分钟可以使用域用户身份挂载访文件系统。