参数 参数说明 集群名称 集群的名称，创建集群时设置。 集群状态 集群状态信息。 集群版本 集群的版本信息。 集群类型 创建集群时的集群类型。 集群ID 集群的唯一标识，创建集群时系统自动赋值，不需要用户设置。 创建时间 显示集群创建的时间。 可用区 集群工作区域下的可用区，创建集群时设置。 默认生效子网 子网信息，创建集群时所选。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 虚拟私有云 VPC信息，创建集群时所选。 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 OBS权限控制 单击“单击管理”，修改MRS用户与OBS权限的映射关系，具体请参考 数据连接 单击“单击管理”，查看集群关联的数据连接类型，具体请参考 委托 单击“管理委托”，为集群绑定或修改委托。 通过绑定委托，您可以将部分资源共享给ECS或BMS云服务来管理，例如通过配置ECS委托可自动获取AK/SK访问OBS，具体请参见 密钥对 密钥对名称，创建集群时设置。 如果创建集群时设置的登录方式为密码，则不显示。 Keberos认证 登录Manager管理页面时是否启用Kerberos认证。 说明 Kerberos认证模式不支持手动修改，集群创建成功后将无法开启和关闭此功能，需要在创建MRS服务集群的时候选择开启或者关闭Kerberos服务，建议重新创建集群。 安全组 集群的安全组名称。 数据盘密钥名称 用于加密数据盘的密钥名称。如需对已使用的密钥进行管理，请登录密钥管理控制台进行操作。 数据盘密钥ID 用于加密数据盘的密钥ID。 组件版本 集群安装各组件的版本信息。 委托 通过绑定委托，ECS或BMS云服务将有权限来管理您的部分资源。

参数 解释 虚拟私有云 您可以选择使用已有的虚拟私有云，或者单击“查看虚拟私有云”创建新的虚拟私有云。 安全组 安全组用来实现安全组内和安全组间物理机的访问控制，加强物理机的安全保护。 用户可以在安全组中定义各种访问规则，当物理机加入该安全组后，即受到这些访问规则的保护。 创建物理机时，仅支持选择一个安全组。 但是物理机创建成功后，可以为物理机关联多个安全组。 说明 物理机初始化需要确保安全组出方向规则至少满足如下要求： 协议：TCP 端口范围：80 远端地址：169.254.0.0/16 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常初始化。 默认安全组出方向规则为： 协议：Any 端口范围：Any 远端地址：0.0.0.0/16 网卡 包括主网卡和扩展网卡。您可以添加多张扩展网卡，并指定网卡（包括主网卡）的 IP 地址。 注意 主网卡用于系统的默认路由，不允许删除。 如果您选择自动分配 IP 地址，请不要在物理机发放完成后修改私有IP 地址，避免和其他物理机 IP 冲突。 为网卡分配固定 IP 地址后，不能批量创建物理机 高速网卡 物理机之间的高速互联网络，为物理机提供更高的带宽。 一台物理机最多有两块高速网卡，并且依赖于扩展网卡总带宽（可以在规格的“扩展配置”列查看）。 例如，扩展网卡总带宽为 2 10GE，如果第一块高速网卡的带宽为 2 10GE，那么您不能再添加第二块高速网卡。 说明 同一台物理机的多张高速网卡不能选择同一个高速网络 弹性 IP 弹性 IP 是指将公网 IP 地址和路由网络中关联的物理机绑定，以实现虚拟私有云内的物理机通过固定的公网 IP 地址对外提供访问服务。 您可以根据实际情况选择以下三种方式： 不使用：物理机不能与外部网络互通，仅可以在私有网络中部署业务或构建集群。 自动分配：自动为物理机分配独享带宽的弹性 IP，带宽值由您设定。 使用已有：为物理机分配已有弹性 IP。 说明 选择已有弹性 IP 后，不能批量创建物理机 规格 选择您需要的物理机规格 计费方式 弹性 IP 选择“自动分配”时，需配置该参数。 按带宽计费：指定带宽上限，按使用时间计费，与使用的流量无关。 按流量计费：按照实际使用的流量来计费。 带宽 弹性 IP 选择“自动分配”时，需配置该参数。 带宽大小，单位 Mbit/s。

前提条件 1. 已开通云容器引擎，至少有一个云容器引擎集群实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 gRPC是远程过程调用框架（RPC），有多语言的实现，底层采用HTTP2作为传输协议；由于HTTP2采用长连接机制，在负载均衡的场景下可能导致负载的不平衡，本文介绍负载不均衡的场景以及如何通过服务网格实现负载均衡。 部署gRPC server和client应用。 apiVersion: apps/v1 kind: Deployment metadata: name: grpcserverv1 labels: app: grpcserver version: v1 spec: replicas: 1 selector: matchLabels: app: grpcserver version: v1 template: metadata: labels: app: grpcserver version: v1 spec: containers: args: address0.0.0.0:8080 image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/grpcserver imagePullPolicy: Always name: grpcserver ports: containerPort: 8080 apiVersion: apps/v1 kind: Deployment metadata: name: grpcserverv2 labels: app: grpcserver version: v2 spec: replicas: 1 selector: matchLabels: app: grpcserver version: v2 template: metadata: labels: app: grpcserver version: v2 spec: containers: args: address0.0.0.0:8080 image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/grpcserver imagePullPolicy: Always name: grpcserver ports: containerPort: 8080 apiVersion: v1 kind: Service metadata: name: grpcserver labels: app: grpcserver spec: ports: name: grpcbackend port: 8080 protocol: TCP selector: app: grpcserver type: ClusterIP apiVersion: apps/v1 kind: Deployment metadata: name: grpcclient labels: app: grpcclient spec: replicas: 1 selector: matchLabels: app: grpcclient template: metadata: labels: app: grpcclient "sidecar.istio.io/inject": "true" spec: containers: image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/grpcclient imagePullPolicy: Always command: ["/bin/sleep", "3650d"] name: grpcclient 部署之后的pod列表（一个client，两个版本的server）： 通过client访问server，可以看到总是访问服务端的同一个实例。 kubectl exec it grpcclientb7499b9c45d2s n grpc /bin/greeterclient insecuretrue addressgrpcserver:8080 repeat10 为grpc client注入sidecar（打上标签"sidecar.istio.io/inject": "true"），重新部署grpcclient之后可以看到pod列表如下： 再次通过grpcclient访问grpcserver可以看到请求交替访问两个版本的grpcserver： 部署流量治理策略使70%的流量访问v2版本的grpcserver,30%的流量访问v1版本的grpcserver。 apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: name: drgrpcserver spec: host: grpcserver trafficPolicy: loadBalancer: simple: ROUNDROBIN subsets: name: v1 labels: version: "v1" name: v2 labels: version: "v2" apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: vsgrpcserver spec: hosts: "grpcserver" http: match: port: 8080 route: destination: host: grpcserver subset: v1 weight: 30 destination: host: grpcserver subset: v2 weight: 70 再次访问可以看到请求在grpcserver的两个版本之间不再是交替访问，而是大概按照7:3的比例访问：

HDFS HDFS（Hadoop Distributed File System）是Hadoop生态系统的一个重要组成部分，是Hadoop中的的存储组件。它是一个分布式文件系统，提供对应用程序数据的高吞吐量访问。 Hive Hive数据仓库软件通过SQL实现对分布式存储中的大型数据集的读写和管理。Hive提供命令行工具和JDBC驱动程序连接用户。Hive对SQL语句编译和解析，生成相应的MapReduce任务对数据进行操作。 Kafka Apache Kafka是一个优秀的分布式事件流平台，被广泛用于高性能数据管道、流分析、数据集成和任务关键型应用程序中。 Kerberos Hadoop使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos是一种计算机网络认证协议，它允许某实体在非安全网络环境下通信，向另一个实体以一种安全的方式证明自己的身份。 Kerberos是第三方认证机制，其中用户和服务依赖于第三方（Kerberos服务器）来对彼此进行身份验证。 Kibana Kibana是一个开源的数据分析和可视化平台，它被设计用于与Elasticsearch协同工作。您可以使用Kibana对Elasticsearch索引中的数据进行搜索、查看和交互操作。 Kyuubi Kyuubi是一个提供JDBC/ODBC SQL查询能力的分布式SQL引擎管理者，主要是为Spark Thrift Server提供多租户以及HA能力，同时为其他引擎（例如Flink或Trino等）提供SQL等查询服务。 OpenLDAP OpenLDAP是轻型目录访问协议（Lightweight Directory Access Protocol，LDAP），通过IP协议提供访问控制和维护分布式信息的目录信息。

操作步骤 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在页面左侧导航栏单击“产品服务列表”图标，选择“安全 > 云等保专区”。 4. 在“资源概览”中找到需要升配的资源，点击操作列的“升配”。 5. 在升配页面中，选择套餐产品购买的规格/版本，规格详细说明请参见产品版本规格。 6. 确认配置信息无误后，阅读《云等保专区服务协议》并勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“确认”进行升配。

本文为您介绍Serverless集群的API和kubectl如何连接等问题。 用户访问集群API Server的方式有哪些？ 集群API方式：集群API需要使用证书认证访问，在云容器引擎控制台集群信息 > 连接信息获取kubeconfig文件，通过kubectl直接连接集群API Server。

本文介绍如何查询虚拟节点事件。 1. 在弹性容器实例控制台左侧导航栏中选择“虚拟节点”，进入虚拟节点列表页。 2. 选择需要查询的虚拟节点，点击跳转至事件消息页。 3. 事件详细页展示的当前虚拟节点的基本事件信息。

云数据库ClickHouse已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。本文为您详细介绍云数据库ClickHouse实例的策略与权限管理。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明，请参见统一身份认证。 IAM涉及的主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

该任务指导用户通过漏洞扫描服务取消主机授权。 注意事项 取消主机授权后，将不能完全扫描出主机的安全风险，请谨慎操作。 前提条件 已获取管理控制台的登录账号与密码。 已添加主机。 已开通预置账号。 已在创建任务时授权通过网络连接到对应的主机，即已进行主机授权。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在目标主机的“操作”列，单击“更多”，在下拉框中，单击“解除授权”。解除授权后，“授权信息”的状态为“暂未配置”。 6. 单击“确定”，解除授权成功。

本章节主要介绍翼MapReduce的导出认证凭据文件操作。 操作场景 用户为安全模式集群进行应用开发的场景下，需要获取用户keytab文件用于安全认证。管理员可以通过FusionInsight Manager导出keytab文件。 说明 修改用户密码后，之前导出的keytab将失效，需要重新导出。 前提条件 下载“人机”用户的认证凭据文件前，需要使用Manager界面或者客户端修改过一次此用户的密码，否则下载获取的keytab文件无法使用。请参见修改用户密码。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在需导出文件的用户所在行，选择“更多 > 下载认证凭据”，待文件自动生成后指定保存位置，并妥善保管该文件。 认证凭据中会携带kerberos服务的“krb5.conf”文件。 解压认证凭据文件后可以获取两个文件： “krb5.conf”文件包含认证服务连接信息。 “user.keytab”文件包含用户认证信息。

本节介绍如何提升登录口令的安全性以及常见系统登录口令的修改方法。 随着互联网信息化进程的不断加深，用户服务器上运行的应用服务不断增加，而大多数服务都使用账户+口令的方式进行鉴权。黑客常以暴力破解的方式去尝试登录暴露在公网上的服务，如果您设置为弱口令登录，黑客可能会非法登录您的服务器，窃取服务器数据或破坏服务器。因此，定时检查服务器中存在的弱口令问题，并及时修改为强口令对服务器安全至关重要。 弱口令带来的危害 在服务器系统中使用弱口令可能会造成以下危害： 普通账户使用的弱口令可能会被猜解或被破解工具破解，从而泄露个人隐私信息，甚至造成财产损失。 系统管理员账户弱口令可能会导致整个系统被攻击、数据库信息被窃取、业务系统瘫痪，造成所有用户信息的泄露和巨大的经济损失，甚至可能引发群体性的网络安全危害事件。 如何避免设置弱口令 服务器安全卫士提供系统弱口令和应用弱口令两类弱口令检测，可帮您快速发现主机中存在的弱口令风险，详细操作参见弱口令检测。 若检测出弱口令，可按以下规则设置复杂口令： 密码长度不少于8位 包含大小写字母、数字及特殊字符 密码不包含用户名 密码中不含连续的字母或数字 并且建议您每隔3个月更改一次口令。

本页介绍了文档数据库服务如何创建并登录弹性云主机。 创建并登录弹性云主机，请参见弹性云主机快速入门创建弹性云主机和弹性云主机快速入门登录弹性云主机。 该弹性云主机用于连接文档数据库实例，需要与待连接的实例处于同一虚拟私有云子网内。 创建弹性云主机时，要选择操作系统，例如centos7.6，并为其绑定EIP。 正确配置安全组，使弹性云主机可以直接连接文档数据库服务。

本章节为您解决数据安全专区产品相关的问题。 数据安全专区支持哪些计费方式？ 目前数据安全专区的产品套餐（包括数据分类分级、数据脱敏与水印）为包周期，包年8.33折，服务套餐（数据分类分级服务、数据安全咨询规划服务）为一次性计收计费，注意不支持退订。 数据安全专区是否支持试用？ 产品套餐（包括数据分类分级、数据脱敏与水印）支持试用730天，服务套餐（数据分类分级服务、数据安全咨询规划服务）不支持试用。 购买数据安全产品是否还要额外购买云主机、弹性IP？ 数据分类分级、数据脱敏与水印不需要额外购买云主机和弹性IP，开通成功后点击管理即可使用产品。 数据脱敏可以应用于哪些场景？ 数据共享交换：灵活策略 为了确保数据安全，数据提供方需要按照需求方的实际用途对数据进行脱敏处理并添加水印信息。在数据开放时，提供方需要筛选出可开放字段，对不可开放字段进行脱敏处理。可通过数据脱敏与水印系统基于用户业务情况制定不同的脱敏策略，灵活遮蔽、清洗各类敏感数据。 开发测试环境：规避风险 在业务系统开发测试过程中，为确保数据质量存在直接引用生产数据的情况。可通过数据脱敏与水印系统一致性脱敏算法，将生产数据经过脱敏处理后导入开发测试环境，在保证数据的“真实性”的同时规避生产数据泄漏的风险。 共享数据泄漏：溯源追责 当数据被共享给第三方后，第三方有责任对数据进行有效保护。可通过数据脱敏与水印系统将三方单位信息、共享时间等信息以数据水印的方式嵌入到共享数据中。一旦发生数据泄漏，用户只需提供少量的泄漏数据样本就可以通过嵌入的水印信息溯源泄漏源头，明确责任方并采取相应的追责措施。 数据分析计算：隐私保护 数据脱敏与水印系统支持保留计算特征的脱敏方式，在剔除数据敏感性的同时最大程度保留AI建模相关数据的可用性。可通过数据脱敏与水印系统对个人识别信息进行脱敏处理，可完成数据去标识化且不影响统计分析结果，确保个人隐私安全。

本章节介绍为Spring Cloud应用构建服务注册中心的方案 版本和依赖 SpringBoot、SpringCloud Alibaba、OpenFeign等存在版本对应关系，版本不匹配可能会出现问题。以如下以来的版本为例说明如何接入Nacos。 com.alibaba.cloud springcloudstarteralibabanacosconfig com.alibaba.nacos nacosclient com.alibaba.nacos nacosclient 2.1.0 com.alibaba.cloud springcloudstarteralibabanacosdiscovery org.springframework.boot springbootstartertest test org.springframework.cloud springcloudstarteropenfeign 3.0.6 org.springframework.cloud springcloudstarterloadbalancer 3.0.6 org.springframework.cloud springcloudstarterbootstrap 3.0.6 接入注册中心 服务注册 接入注册中需要的增加的依赖是springcloudstarteralibabanacosdiscovery，在第二节中已经给出。 注意 实例中SpringBoot 2.6.1 SpringCloud版本为2021.0.4.0，这两个版本需要匹配。如果使用其他版本，可以从Spring Cloud 官方查询匹配版本。 在本地创建服务提供者应用工程，然后添加依赖，并开启服务注册与发现功能，并将注册中心指定为Nacos Server。 接入注册中心需要在配置文件中增加相关配置，以yml文件为例，可以加在applicationprod.yml中增加如下配置文件： spring: cloud: nacos: discovery: username: ${NAOCSUSERNAME} password: ${NAOCSPASSWORD} serveraddr: ${NACOSSERVERADDRESS} namespace: ${NACOSNAMINGNAMESPACE} group: ${NACOSNAMINGGROUP} 以上配置中变量的实际值，可以通过环境变量的方式提供。环境变量可以在云容器引擎中配置。 除修改配置文件以外，需要在Spring Boot 项目的启动类上增加@EnableDiscoveryClient注解。如下列代码所示： @EnableDiscoveryClient @SpringBootApplication public class DemoApplication { public static void main(String[] args) { SpringApplication.run(DemoApplication.class,args); } } 修改配置文件后启动应用。启动成功后可以在控制台页面查看当前注册的服务。

检查CBH系统环境是否配置合理 1. 登录云堡垒机系统，检查纳管资源IP地址、端口等是否设置正确。 2. 检查资源关联访问控制策略，是否设置IP限制。修改访问控制策略，解除对用户“来源IP”的限制。 3. 检查云堡垒机实例关联的安全组，排查安全组的端口配置是否合理。建议按照CBH推荐端口，重新配置CBH安全组。 用户若通过Web浏览器方式登录资源，请手动添加安全组规则TCP协议443入方向。 4. 检查云堡垒机所在内网关联的网络ACL ，排查ACL规则配置是否合理。 解除云堡垒机IP地址的访问限制，以及在“目的地址”中添加资源IP地址，允许云堡垒机访问资源。 5. 重新设置后，尝试重新通过CBH系统登录资源。 检查主机实例环境是否合理配置 1. 管理员登录主机实例管理控制台。 2. 检查主机资源是否与CBH实例在同一区域同一VPC环境下，CBH仅支持直接访问同一区域同一VPC下资源。 3. 检查主机实例关联的安全组规则，排查安全组规则配置是否合理。 解除对CBH的IP地址的访问限制，在源地址中添加CBH的IP地址，允许CBH访问资源。 4. 重新设置后，尝试重新通过CBH系统登录资源。 检查主机资源是否能接受CBH访问 1. 管理员直接登录主机资源。 2. 输入命令 route n ，检查主机的路由表，是否存在丢失CBH路由现象。 3. 检查主机登录方式及登录安全加固措施，建议从以下几个方面排查： 1. Linux云服务器SSH登录的安全加固 2. Windows弹性云服务器登录方式概述 3. Linux弹性云服务器登录方式概述 4. 解除安全加固的限制后，尝试重新通过CBH系统登录资源。 如果通过上述排查，仍然无法解决问题，请单击管理控制台右上方的“工单”，填写工单信息反馈问题现象，联系技术支持。 通过Web浏览器登录主机资源，报Code：C769错误怎么办？

本节介绍了人脸识别相关的应用场景。 门禁人脸识别 随着人们生活水平的提高，人们更加注重家居环境的安全，安防观念不断加强。伴随着这种需求的提高，智能门禁系统应运而生，越来越多的企业、商铺、家庭都安装了各种各样的门禁系统。人脸检测内置于智能门禁系统，能准确识别进来人员人脸信息，提供出行方便的服务，同时有效的杜绝外来无关人员进入，保证环境安全。 市场营销企业商务 人脸识别技术在营销上主要有两方面的应用：首先，可以识别一个人的基本个人信息，例如性别、大致年龄，以及他们看过什么，看了多久等。其次，该技术可以用于识别已知的个人，例如已经加入系统的会员等人员身份识别。 酒旅出行 在机场、饭店、网吧等场所，行业人员流动频繁，通过实名认证服务，高精度核实住客身份信息，可有效对进出人员进行身份核验，快速甄别人员身份，提升场所登记效率，为居民提供更加方便、优质的服务，同时能满足企业和政府的监管需要。

此章节为您介绍云密评专区的各计费项。 云密评专区主要包含三大类计费内容，分别为密码产品、国密套件和密评服务。 说明 云密评专区目前支持购买及部署的区域请参考使用限制。 密码产品 密码产品目前包含综合安全网关、数据加密网关、数字证书认证系统、密钥管理服务和协同签名服务共五个产品，具体计费价格参考下表。 说明 密钥管理购买后保存的密钥请在密钥管理服务中查询。 产品名称 规格/版本 计费模式 标准版价格（元/月） 一年付价格（元/年） 二年付价格（元/2年） 三年付价格（元/3年） 综合安全网关 标准版 包周期 6000 61200 122400 183600 数字证书认证系统 标准版 包周期 5000 51000 102000 153000 密钥管理服务 企业版 包周期 9699 98929.8 197859.6 296789.4 数据加密网关 标准版 包周期 6000 61200 122400 183600 协同签名服务 标准版 包周期 4000 40800 81600 122400 国密套件 国密套件支持的产品、具体计费价格参考下表。 说明 证书购买后会保存至证书管理服务控制台。 产品名称 规格/版本 计费模式 价格 国密浏览器 标准版 按个计费 280元/个 密码钥匙 标准版 按个计费 150元/个 协同签名客户端 标准版 按个计费 100元/个 证书管理服务 国密证书 按个计费 11475元/个/年 证书管理服务 国际证书 按个计费 5270元/个/年 证书管理服务 个人证书 按个计费 180元/个/年

此小节介绍购买方面的常见问题。 云堡垒机规格支持降级购买吗？ 云堡垒机实例仅支持版本规格升级，不支持版本规格的回退或降级。 如何选择云堡垒机实例区域和可用区？ 区域是一个地理区域的概念。我国地域面积广大，由于带宽的原因，不可能只建设一个数据中心为全国客户提供服务。因此，根据地理区域的不同将全国划分成不同的区域。选择区域时通常根据就近原则进行选择。例如您或者您的客户在北京，那么您可以选择华北服务区，这样可以减少访问服务的网络时延，提高访问速度。 云堡垒机支持直接管理同一区域同一VPC下资源，同一区域同一VPC下资源可以直接访问。 因不同区域的VPC和同一区域不同VPC之间内网不互通，在购买云堡垒机实例时，建议配置云堡垒机实例与ECS等资源在同一区域同一VPC网络。此外，为降低网络时延，建议在配置实例区域的可用区时，选择与所选VPC同一区域和可用区。 若购买云堡垒机时，某个可用区无法选择（如“华南广州”的可用区1），可以选择同一区域的其它可用区（如选择“华南广州”区域的可用区2）。 云堡垒机创建成功后，可以修改安全组吗？ 云堡垒机创建成功后，安全组不可更改。如需修改 ，请先退订云堡垒机，然后重新购买。

设置以下参数，不允许匿名登录FTP服务器，允许本地用户登录FTP服务器，并指定FTP本地用户使用的文件目录。 anonymousenableNO 不允许匿名登录FTP服务器 localenableYES 允许本地用户登录FTP服务器 localroot/var/ftp/work01 FTP本地用户使用的文件目录 设置以下参数，限制用户只能访问自身的主目录。 chrootlocaluserYES 所有用户都被限制在其主目录 chrootlistenableYES 启用例外用户名单 chrootlistfile/etc/vsftpd/chrootlist 例外用户名单 allowwriteablechrootYES 被动模式除了需要配置主动模式所需的所有参数外，还需要配置的参数如下： 设置以下参数，配置FTP支持被动模式。并指定FTP服务器的公网IP地址，以及可供访问的端口范围，端口范围请根据实际环境进行设置。 listenYES listenipv6NO pasvaddressxx.xx.xx.xx FTP服务器的公网IP地址 pasvminport3000 被动模式下的最小端口 pasvmaxport3100 被动模式下的最大端口 4.按Esc键退出编辑模式，并输入:wq保存后退出。 5.在“/etc/vsftpd/”目录下创建“chrootlist”文件。 touch chrootlist “chrootlist”文件是限制在主目录下的例外用户名单。如果需要设置某个用户不受只可以访问其主目录的限制，可将对应的用户名写入该文件。如果没有例外也必须要有“chrootlist”文件，内容可为空。 f.执行以下命令重启vsftpd服务使配置生效。 systemctl restart vsftpd.service 3.设置安全组。 搭建好FTP站点后，需要在弹性云主机安全组的入方向添加一条放行FTP端口的规则，具体步骤参见为安全组添加安全组规则。 表 设置安全组规则 FTP模式 方向 协议 端口 源地址 主动模式 入方向 TCP 20端口和21端口 0.0.0.0/0 被动模式 入方向 TCP 21端口和配置文件“/etc/vsftpd/vsftpd.conf” 中参数“pasvminport”和“pasvmaxport”之间的所有端口。 0.0.0.0/0

本章主要介绍通过弹性公网IP访问 。 为了方便用户访问开源组件的Web站点，MRS集群支持通过为集群绑定弹性公网IP的方式，访问MRS集群上托管的开源组件。该方式更加简便易操作，推荐使用该方式访问开源组件的Web站点。 为集群绑定弹性公网IP并添加安全组规则 1.在集群详情页的“概览”页签，单击“IAM用户同步”右侧的“同步”进行IAM用户同步，待IAM用户同步成功后，在集群详情页会出现“组件管理”页签。 2.单击“集群管理页面”右侧的“前往 Manager”。 3.弹出访问MRS Manager页面，绑定弹性公网IP并添加安全组规则。仅首次访问该集群的组件开源站点时，需要如下配置。 a. 绑定弹性公网IP，在弹性公网IP下拉框中选择可用的弹性公网IP。若没有可用的弹性公网IP，请单击“管理弹性公网IP”创建弹性公网IP后在该页面引用。若创建集群时已绑定弹性公网IP，请跳过该步骤。 b. 选择待添加的安全组规则所在安全组，该安全组在创建群时配置。 c. 添加安全组规则，默认填充的是用户访问公网IP地址9022端口的规则。如需对安全组规则进行查看，修改和删除操作，请单击“管理安全组规则”。 说明 自动获取的访问公网IP与用户本机IP不一致，属于正常现象，无需处理。 9022端口为knox的端口，需要开启访问knox的9022端口权限，才能访问MRS组件。 d. 勾选“我确认xx.xx.xx.xx为可信任的公网访问IP，并允许从该IP访问MRS Manager页面。” e. 单击“确定”，进入登录页面，用户名使用“admin”，密码为创建集群时设置的admin密码。 4.登录Manager页面，选择“集群 > 服务 > HDFS > NameNode WebUI> NameNode( 主机名称 ，主)”，访问开源组件Web站点。此处仅以HDFS NameNode为例介绍，其他组件访问地址请参考开源组件Web站点页面提供的站点地址。

本页介绍了如何在公网通过Mongo Shell连接实例。 您可以为文档数据库服务实例绑定弹性公网IP，通过公网方式访问文档数据库服务实例。 当应用部署在天翼云弹性云服务器上，且该弹性云服务器与文档数据库服务实例处于不同区域时，或者应用部署在其他厂商的云服务器上时，建议通过弹性公网IP连接文档数据库服务实例。 本文以部署在弹性云服务器上的应用场景为例，介绍如何使用Mongo Shell通过公网方式连接实例。 连接实例的方式有SSL连接和非SSL连接两种方法，其中SSL连接进行了加密，具有更高的安全性。为了提升数据在网络传输过程中的安全性，建议采用SSL方式。 前提条件 创建并登录弹性云服务器。 实例绑定弹性公网IP，并设置安全组规则，确保可以通过弹性云服务器访问实例。 IPv6的实例需要提前绑定带宽 需要在白名单管理添加公网配置以及使用规则设置。 在弹性云服务器上，安装MongoDB客户端。 非SSL方式连接 1. 进入“TeleDB数据库控制台。 2. 在“DDS”>“实例管理”页面，选择指定的目标实例，单击实例名称，进入“基本信息”页面。 3. 在实例信息中关闭SSL。 4. 查看绑定弹性公网IP。 5. 连接弹性云服务器。 6. 在客户端工具mongo所在的目录下，连接数据库实例。 方式一：公网高可用连接（推荐） 命令格式： ./mongo > 公网高可用连接地址：您可以在“基本信息>数据库连接”处获取。

本章介绍如何通过IAM创建用户并授权的方法。 创建用户并授权使用SMS 本章节为您介绍对IAM用户授权的方法。 管理员帐号拥有SMS迁移所需要的所有权限，使用管理员帐号进行迁移时，不需要进行授权。如果您需要对您所拥有的SMS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的天翼云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用SMS。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将SMS委托给更专业、高效的其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 前提条件 给用户组授权之前，请您了解用户组可以添加的SMS权限，并结合实际需求进行选择，SMS支持的系统权限，请参见：SMS系统权限。若您需要对除SMS之外的其它服务授权，IAM支持服务的所有权限请参见权限策略。 示例流程 操作步骤 1. 创建用户组并授权： 1. 系统策略：如果IAM用户需要主机迁移服务(SMS)的所有操作权限，则为IAM用户授予系统策略。在IAM控制台创建用户组，并授予“SMS FullAccess”、"OBS OperateAccess"、“ECS FullAccess”、“VPC FullAccess”。 2. 自定义策略：如果IAM用户只需要拥有主机迁移服务(SMS)的部分操作权限，则使用自定义策略。自定义策略相比于系统策略，粒度更细，更安全。 2. 创建用户并加入用户组，在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 3. 用户登录并验证权限，新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“迁移>主机迁移服务”，进入主机迁移服务界面，在迁移服务器列表页面找到待迁移的服务器，在“目的端”列下单击“设置目的端”，设置目的端服务器。若可以设置目的端服务器，表示授予的权限已生效。 在“服务列表”中选择除主机迁移服务和依赖服务外的任一服务，若提示权限不足，表示授予的权限已生效。

轻量型云主机与云主机就具有以下几点区别 1. 轻量型云主机更适合轻量级、小型化服务及业务。而云主机可选择规格较多，覆盖业务场景更加广泛。 2. 轻量型云主机集成了计算、存储、网络三类资源进行售卖，在原本各个资源的价格上进行了最大折扣，在满足性能需求的前提下，更加经济，性价比更高。 3. 轻量型云主机在服务配置流程上做减法，操作简化，门槛更低，入门和使用更简单。集成天翼云云盘、镜像等产品能力，无需跳转产品页面，实现真正一站式管理，后续将配套应用镜像、应用管理、内网互通、安全防护等功能，全方位护航，助力用户快速搭建应用服务。 类型 弹性云主机 轻量型云主机 轻量型云主机优势 应用场景 覆盖全量应用： 网站和应用程序托管 企业应用和业务系统 数据分析和大数据处理 游戏服务器和多媒体应用 图形渲染及高性能应用 适用于较轻量的应用： 开发和测试环境 小型网站和博客 个人项目和学习 云图、网盘等 适用于轻量型负载业务 计费方式 包年包月、按需计费 用户需分别选择实例类型规格，云盘类型规格，并单独购买弹性公网IP 包年包月 提供基础型、进阶型、随心购的资源套餐。 购买简单，价格更优惠 管理方式 以弹性云主机服务控制台为中心，提供对于实例的管理及操作功能，用户还可分别前往云硬盘、网络、安全、备份等产品控制台对其余配套资源及服务进行管理和操作。 集成了计算、存储、网络资源控制台管理界面，实现一站式管理服务，用户通过轻量型云主机服务控制台，可完成对多方资源的管理及操作。 操作流程及方式更简单。

本节介绍了云审计的相关内容。 支持审计的关键操作列表 操作场景 云审计服务（CTCloud Trace Service，CTS），是公有云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过云审计服务，您可以记录与镜像服务相关的操作事件，便于日后的查询、审计和回溯。 前提条件 使用云审计服务前需要先开通云审计服务，如果不开通云审计服务，则无法对资源操作进行记录。开通后CTS会自动创建一个追踪器，并将当前租户的所有操作记录在该追踪器中。CTS最多显示近7天的事件，为了长期保存操作记录，可以将事件文件保存至对象存储服务中。 支持审计的关键操作列表 云审计服务支持的IMS操作列表 操作名称 资源类型 事件名称 ::: 创建镜像 ims createImage 修改镜像 ims updateImage 批量删除镜像 ims deleteImage 复制镜像 ims copyImage 导出镜像 ims exportImage 新增成员 ims addMember 批量修改成员 ims updateMember 批量删除成员 ims deleteMemeber 由IMS触发的操作与OpenStack原生接口的关系 操作名称 事件名称 服务类型 资源类型 归属 ::::: 创建镜像 createImage IMS image glance 修改镜像信息/上传镜像 updateImage IMS image glance 删除镜像 deleteImage IMS image glance 添加标签 addTag IMS image glance 删除标签 deleteTag IMS image glance 添加镜像成员 addMember IMS image glance 修改镜像成员信息 updateMember IMS image glance 删除镜像成员 deleteMember IMS image glance

本文介绍Kubernetes 1.30版本的变更说明 云容器引擎（CCE）严格遵循社区一致性认证，现已支持Kubernetes 1.30集群版本特性。 新增特性及特性增强 Webhook匹配表达式（GA） 在Kubernetes1.30版本中，Webhook匹配表达式特性进阶至GA。此特性允许对准入Webhook支持根据特定的条件进行匹配，更细粒度地控制Webhook的触发条件。 Pod调度就绪态（GA） 在Kubernetes1.30版本中，Pod调度就绪态特性进阶至GA。此特性允许对Pod添加自定义的schedulingGates，并由用户控制何时移除这些gate，当所有gates移除后，Pod才会被认为调度就绪。 验证准入策略（GA） 在Kubernetes1.30版本中，验证准入策略（ValidatingAdmissionPolicy）特性进阶至GA。该特性支持通过CEL表达式声明资源的验证准入策略。 基于ContainerResource指标的Pod水平自动扩缩容（GA） 在Kubernetes1.30版本中，基于ContainerResource指标的Pod水平自动扩缩容特性进阶至GA。该特性允许HPA根据Pod中各个容器的资源使用情况来配置自动伸缩，而不仅是Pod的整体资源使用情况，便于为Pod中最重要的容器配置扩缩容阈值。 传统ServiceAccount令牌清理器（GA） 在Kubernetes1.30版本中，传统ServiceAccount令牌清理器特性进阶至GA。其作为kubecontrollermanager的一部分运行，每24小时检查一次，查看是否有任何自动生成的传统ServiceAccount令牌在特定时间段内（默认为一年，通过legacyserviceaccounttokencleanupperiod指定）未被使用。如果有的话，清理器会将这些令牌标记为无效，并添加kubernetes.io/legacytokeninvalidsince标签，其值为当前日期。如果一个无效的令牌在特定时间段（默认为1年，通过legacyserviceaccounttokencleanupperiod指定）内未被使用，清理器将会删除它。 Pod拓扑分布中的最小域（GA） 在Kubernetes1.30版本中，Pod拓扑分布中的最小域特性进阶至GA。此特性允许通过Pod的minDomains字段配置符合条件的域的最小数量。负载拓扑约束匹配到的域的数量如果大于minDomains，则该字段没有影响；如果小于minDomains，则会将全局最小值（符合条件的域中匹配 Pod 的最小数量）设为0，该字段必须结合whenUnsatisfiable: DoNotSchedule一起使用，实现在不满足拓扑约束的情况下让Pod不进行调度。

前提条件 1. 登录弹性云主机。 − 通过弹性云主机连接关系型数据库实例，需要具备以下条件。 该弹性云主机与目标实例必须处于同一VPC内。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为（default），则无需设置安全组规则。 如果目标实例所属安全组非默认安全组，请查看安全组规则是否允许该弹性云主机访问。具体操作请参考设置安全组规则。 如果安全组规则允许弹性云主机访问，即可连接实例。 如果安全组规则不允许弹性云主机访问，则需添加安全组规则。该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 2. 使用客户端连接实例。 SSL连接 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 单击实例名称进入“基本信息”页面。 步骤 5 单击“SSL”处的 ，下载根证书或捆绑包。 步骤 6 将根证书上传至需连接RDS for PostgreSQL实例的弹性云主机，或保存到可访问关系型数据库实例的设备。 步骤 7 连接关系型数据库实例。以Linux系统为例，执行如下命令。 psql noreadline h p "dbname user sslmodeverifyca sslrootcert " 表 参数说明 参数 说明 主机IP，在“实例管理”页面单击实例名称，进入“基本信息”页面。“连接信息”模块的“内网地址”（通过弹性云主机访问）。 端口，默认5432，当前端口，即在“实例管理”页面单击实例名称，进入“基本信息”页面，“连接信息”模块的“数据库端口”。 需要连接的数据库名，默认管理数据库是postgres。 用户名，即关系型数据库账号，默认管理员账号为root。 SSL连接CA证书路径，该文件需放在执行该命令的路径下。 sslmode SSL连接模式，设置为“verifyca”，通过检查证书链（Certificate Chain，以下简称CA）来验证服务是否可信任。 出现如下提示时，输入数据库账号对应的密码： Password: 使用root用户SSL连接postgres数据库实例，示例如下： psql noreadline h 192.168.0.44 p 5432 "dbnamepostgres userroot sslmodeverifyca sslrootcert/root/ca.pem" Password: 步骤 8 登录数据库后，出现如下信息，表示通过SSL连接成功。 plaintext SSL connection (protocol: TLSv1.2, cipher: ECDHERSAAES256GCMSHA384, bits: 256, compression: off) 结束

本文主要介绍通过控制台使用ELB Ingress。 前提条件 Ingress为后端工作负载提供网络访问，因此集群中需提前部署可用的工作负载。若您无可用工作负载，可参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)部署工作负载。 独享型ELB规格必须支持应用型（HTTP/HTTPS），且网络类型必须支持私网（有私有IP地址）。 注意事项 建议其他资源不要使用Ingress自动创建的ELB实例，否则在删除Ingress时，ELB实例会被占用，导致资源残留。 添加Ingress后请在CCE页面对所选ELB实例进行配置升级和维护，不可在ELB页面对配置进行更改，否则可能导致Ingress服务异常。 Ingress转发策略中注册的URL需与后端应用暴露的URL一致，否则将返回404错误。 IPVS模式集群下，Ingress和Service使用相同ELB实例时，无法在集群内的节点和容器中访问Ingress，因为kubeproxy会在ipvs0的网桥上挂载LB类型的Service地址，Ingress对接的ELB的流量会被ipvs0网桥劫持。建议Ingress和Service使用不同ELB实例。 请勿将Ingress与使用HTTP的Service对接同一个ELB下的同一个监听器，否则将产生端口冲突。

对象存储是否支持数据监控？ 支持，提供用户整体和桶维度的数据监控。 用户维度的监控指标：用户级存储容量、用户级对象总数、本月公网流出流量、本月请求次数、用户级公网流出流量、用户级公网流入流量、用户级内网流出流量、用户级内网流入流量、用户级公网请求次数、用户级内网请求次数、用户级有效请求率。 存储桶维度的监控指标：存储容量、存储对象数量、本月公网流出流量、本月请求次数、公网流出流量、公网流入流量、内网流出流量、内网流入流量、公网请求次数、内网请求次数、有效请求率。 通过这些数据监控指标，您可以了解和监控您的存储桶使用情况、流量消耗情况以及请求操作的次数，帮助您更好地管理和优化存储在ZOS中数据。具体相关操作可参考对象存储监控。 ZOS是否支持静态网站托管？设置的入口在哪里？如何操作？ 支持。但是由于工信部合规要求，暂不公开开放。若您需要使用该功能，请提工单联系我们为您开通权限。 使用ZOS静态网站托管的步骤如下： 1. 存储网站文件：首先，将静态网站的文件上传至ZOS服务。您可以通过Web管理界面、API或命令行工具完成。文件类型包括HTML页面、CSS样式表、JavaScript代码和其他资源文件。 2. 创建存储桶：在ZOS服务中创建一个存储桶（Bucket）。存储桶是用于组织和管理文件的容器。通常，每个网站都有一个唯一的存储桶。 3. 设置权限和访问策略：为确保网站文件能够通过互联网公开访问，需要设置存储桶的访问权限和策略。通常，ZOS服务提供了公共读取权限选项，以便访客能够从浏览器中下载文件。 4. 分配自定义域名：为了方便用户访问网站，可以将一个自定义域名与存储桶关联起来。这可以通过将域名解析到ZOS服务的地址来实现。例如，可以将网站的CNAME记录指向存储桶的URL。 5. 配置静态网站托管选项：ZOS服务通常提供了专门的静态网站托管选项。在这些设置中，可以指定默认文档（如index.html）和错误页面，并定义重定向规则等。 6. 网站访问：完成上述步骤后，用户可以通过输入自定义域名来访问静态网站。访问请求会发送到存储桶，并由ZOS服务解析。然后，服务会返回相应的文件作为网页内容，以供浏览器展示。

本页为您介绍数据库专家服务的使用限制。 数据库专家服务的使用限制，如下表： 限制 项 具体要求 说明 数据库实例 客户使用数据库专家服务进行服务的实例必须是客户具有权限的实例（客户自己的、客户被授权运维或类似实例）。 为防止产生安全问题和纠纷，客户使用数据库专家服务进行服务的实例必须是客户具有权限的实例。若客户违反该约定，天翼云有权立即终止客户对数据库专家服务的使用，且造成的天翼云及任何第三方的全部损失均由客户承担。 数据库权限 天翼云数据库专家在提供服务时，客户需要保证向天翼云进行必要的数据库授权。 客户需向天翼云进行必要的数据库授权，以便数据库专家提供服务。天翼云承诺按约定提供服务，并不将采集的任何数据泄露、披露或用于其他目的。

本文主要介绍GPU调度。 CCE支持在容器中使用GPU资源。 前提条件 1、创建GPU类型节点，具体请参见创建节点。 2、安装gpubeta插件，安装时注意要选择节点上GPU对应的驱动。 3、gpubeta会把驱动的目录挂载到/usr/local/nvidia/lib64，在容器中使用GPU资源需要将/usr/local/nvidia/lib64追加到LDLIBRARYPATH环境变量中。 通常可以通过如下三种方式追加。 制作镜像的Dockerfile中配置LDLIBRARYPATH。（推荐） ENV LDLIBRARYPATH /usr/local/nvidia/lib64:$LDLIBRARYPATH 镜像的启动命令中配置LDLIBRARYPATH。 /bin/bash c "export LDLIBRARYPATH/usr/local/nvidia/lib64:$LDLIBRARYPATH && ..." 创建工作负载时定义LDLIBRARYPATH环境变量（需确保容器内未配置该变量，不然会被覆盖）。 env: name: LDLIBRARYPATH value: /usr/local/nvidia/lib64 使用GPU 创建工作负载申请GPU资源，可按如下方法配置，指定显卡的数量。 apiVersion: apps/v1 kind: Deployment metadata: name: gputest namespace: default spec: replicas: 1 selector: matchLabels: app: gputest template: metadata: labels: app: gputest spec: containers: image: nginx:perl name: container0 resources: requests: cpu: 250m memory: 512Mi nvidia.com/gpu: 1 申请GPU的数量 limits: cpu: 250m memory: 512Mi nvidia.com/gpu: 1 GPU数量的使用上限 imagePullSecrets: name: defaultsecret 通过 nvidia.com/gpu 指定申请GPU的数量，支持申请设置为小于1的数量，比如 nvidia.com/gpu: 0.5 ，这样可以多个Pod共享使用GPU。GPU数量小于1时，不支持跨GPU分配，如0.5 GPU只会分配到一张卡上。 指定nvidia.com/gpu后，在调度时不会将负载调度到没有GPU的节点。如果缺乏GPU资源，会报类似如下的Kubernetes事件。 0/2 nodes are available: 2 Insufficient nvidia.com/gpu. 0/4 nodes are available: 1 InsufficientResourceOnSingleGPU, 3 Insufficient nvidia.com/gpu. 在CCE控制台使用GPU资源，只需在创建负载时，勾选GPU配额，并指定使用的比例即可，如下图所示。 图 使用GPU

APM的应用详情包括各类应用性能指标集的各种可视化图表展示。 功能入口 1. 选择目标资源池，并登录APM组件控制台。 2. 在左侧导航栏中选择「应用监控 」「应用列表」。 3. 在应用列表中选择您想查看的应用，点击「应用名称」打开新的应用详情链接。 4. 在左侧导航栏中选择「应用详情」，您可以在应用详情页面切换至不同页签，查看该应用实例相应的指标信息。 指标集 当前已支持指标集见下表，实际展示取决于所选应用是否接入相关服务并产生过数据上报。 类型 内容 JVM监控 内存、GC、线程 其他基础监控 资源监控、Netty内存、Java方法 数据库监控 MySQL、ClickHouse、Postgresql（即将上线）、Elasticsearch、MongoDb、DBCP连接池、Druid连接池、C3P0连接池 缓存监控 Redis、Jedis、Lettuce 消息监控 kafkaConsumer、KafkaProducer、RabbitMqConsumer、RabbitMqProducer Web容器 Tomcat 异常错误分析 异常分析、错误分析 上下游分析 上游应用、下游应用 显示类型 图 通常用于显示趋势图，表示某些指标在筛选时间段内的趋势变化。 （1）单图 （2）双图 如果某个周期内未采集到数据，将会进行补0显示，效果呈现为横坐标为0的横线（或断点）。 支持放大操作。

本章节会介绍如何对数据库实例绑定公网IP。 操作场景 关系型数据库实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。关系型数据库服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 注意事项 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要将访问数据库的IP地址，或者IP段加安全组入方向的访问规则，操作请参见设置安全组规则。 公网访问会降低实例的安全性，请谨慎选择。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系型数据库在同一区域的弹性云服务器上。 绑定弹性公网IP 步骤 1 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 2 在左侧导航栏，单击“连接管理”，单击“绑定弹性公网IP”。 步骤 3 在弹出框的弹性公网IP地址列表中，选择目标弹性公网IP，单击“确定”，提交绑定任务。 如果没有可用的弹性公网IP，您可单击“查看弹性公网IP”，获取弹性公网IP。 步骤 4 在“连接管理”页面，查看绑定成功的弹性公网IP。 您也可以在“任务中心”页面，查看“实例绑定弹性公网IP”任务的执行进度及结果。