客户端加密SDK是一个在应用侧集成的密码算法库，通过与密钥管理服务结合使用，提供数据加解密、文件加解密等功能，帮助在应用本地完成大型文件数据或高并发数据的加解密。 版本说明 基础版：免费使用。 企业版：需购买license使用，具备合规认证。 功能特性 采用信封加密技术，在客户端本地完成数据加解密过程。 集成KMS实现数据密钥的安全保护，满足安全与合规要求。 极简接口设计，支持加解密、签名验签、完整性校验等。 产品优势 封装多种密码运算能力，遵循密码设计的最佳实践，助力客户快速低代码集成。 丰富的业务兼容性，支持多种加密算法、工作模式、填充方式，满足各类数据的加密需求。 灵活的设计模式，支持一话一密、多话一密等定制化使用方式。

物理机服务接口对应权限表 如下是物理机服务相关权限三元组及生效范围： 控制台接口 权限三元组 配置支持 控制台接口 IAM（资源池/全局） 权限三元组 企业项目（资源组） 创建物理机 dps:physicalServer:create √ √ 物理机列表获取 dps:physicalServer:list √ √ 物理机详情获取 dps:physicalServer:get √ √ 开机 dps:physicalServer:start √ √ 关机 dps:physicalServer:stop √ √ 重启 dps:physicalServer:reboot √ √ 续订 dps:physicalServer:renew √ √ 包周期退订 dps:physicalServer:delete √ √ 按量删除 dps:physicalServer:delete √ √ 重置密码 dps:physicalServer:resetServerPwd √ √ 一键重装 dps:physicalServer:rebuild √ √ 立即释放 dps:physicalServer:delete √ √ 批量开机 dps:physicalServer:start √ √ 批量关机 dps:physicalServer:stop √ √ 批量重启 dps:physicalServer:reboot √ √ 批量续订 dps:physicalServer:renew √ √ 批量退订 dps:physicalServer:delete √ √ 批量删除 dps:physicalServer:delete √ √ 批量立即释放 dps:physicalServer:delete √ √ 批量一键重装 dps:physicalServer:rebuild √ √ 批量重置密码 dps:physicalServer:resetServerPwd √ √ 远程登录 dps:physicalServer:login √ √ 制作镜像 dps:physicalServer:serverImages √ √ 实例属性 dps:physicalServer:put √ √ 创建相同配置 dps:physicalServer:create √ √ 到期转按量 dps:switchRequired:create √ √ 转包周期 dps:switchPeriod:create √ √ 物理机详情页 物理机详情获取 dps:physicalServer:get √ √ 物理机详情页 修改描述 dps:physicalServer:put √ √ 物理机详情页 修改实例名称 dps:physicalServer:put √ √ 物理机详情页 网卡 列表获取 vpc:cloudServerNics:list √ 物理机详情页 网卡 详情获取 vpc:cloudServerNics:get √ 物理机详情页 网卡 绑定 dps:physicalServer:binding √ 物理机详情页 网卡 解绑 dps:physicalServer:unbinding √ 物理机详情页 网卡 修改内网IP vpc:cloudServerNics:change √ 物理机详情页 网卡 修改内网IP vpc:subnets:list √ 物理机详情页 网卡 更换VPC vpc:cloudServerNics:change √ 物理机详情页 网卡 更换VPC vpc:subnets:list √ 物理机详情页 网卡 更换VPC vpc:securityGroups:list √ 物理机详情页 网卡 更换VPC vpc:vpcs:list √ 物理机详情页 网卡 管理辅助私网IP vpc:cloudServerNics:change √ 物理机详情页 云硬盘 列表获取 evs:volumes:list √ √ 物理机详情页 云硬盘 详情获取 evs:volumes:get √ √ 物理机详情页 云硬盘 挂载 evs:volumes:attach √ √ 物理机详情页 云硬盘 卸载 evs:volumes:detach √ √ 物理机详情页 弹性IP 列表获取 vpc:publicIps:list √ √ 物理机详情页 弹性IP 详情获取 vpc:publicIps:get √ √ 物理机详情页 弹性IP 绑定 vpc:publicIps:update √ √ 物理机详情页 弹性IP 解绑 vpc:publicIps:detach √ √ 物理机详情页 安全组 列表获取 vpc:securityGroups:list √ √ 物理机详情页 安全组 详情获取 vpc:securityGroups:get √ √ 物理机详情页 安全组 更改安全组 vpc:securityGroups:update √ √ 天翼云支持对用户组/子用户，进行资源池或全局维度的权限授权；同时也支持在企业项目中，对用户组进行资源组维度的权限授权。部分没有企业项目属性的接口或资源，授权只能以资源池或全局维度进行。以资源池或全局维度进行的授权判断，其优先级高于企业项目中的资源组维度授权。

事件类型关联布局 说明 系统内置事件类型已默认关联已有布局，暂不支持自定义关联布局。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“事件类型”页签，进入事件类型管理页面。 6. 在事件类型管理页面中，选择需要关联布局的类型，并单击目标类型所在行“操作”列的“关联布局”，页面弹出绑定布局编辑框。 7. 在绑定布局编辑框中，选择需要关联的布局。 8. 单击“确认”。 编辑已有事件类型 说明 暂不支持编辑系统内置事件类型。 自定义事件类型新增成功后，不支持修改“类型名称”、“类型标识”、“子类型标识”参数信息。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“事件类型”页签，进入事件类型管理页面。 6. 在事件类型管理页面的“类型名称”中，单击需要编辑的自定义事件类型名称，右侧将展示自定义事件类型的详细信息。 7. 在右侧事件类型页面，单击目标类型所在行“操作”列的“编辑”，右侧弹出编辑页面。 8. 在编辑事件类型页面中，编辑参数信息。 参数名称 参数说明 类型名称 事件类型的名称，不支持修改。 类型标识 事件类型标识，不支持修改。 子类型 填写事件类型的子类型。 子类型标识 事件子类型标识，不支持修改。 启动状态 设置事件类型的启动状态。 ：表示启用。 ：表示禁用。 SLA 设置事件的SLA处理时间。 描述 自定义事件类型描述信息。 9. 在页面右下角单击“确认”。

本章节会介绍关系型数据库的定义以及包含哪些数据库引擎 关系型数据库（Relational Database Service，简称RDS）是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。关系型数据库支持以下引擎： MySQL PostgreSQL SQL Server 关系型数据库服务具有完善的性能监控体系和多重安全防护措施，并提供了专业的数据库管理平台，让用户能够在云中轻松的进行设置和扩展关系型数据库。通过关系型数据库服务的管理控制台，用户几乎可以执行所有必需任务而无需编程，简化运营流程，减少日常运维工作量，从而专注于开发应用和业务发展。 Microsoft SQL Server Microsoft SQL Server是老牌商用级数据库，成熟的企业级架构，轻松应对各种复杂环境。一站式部署、保障关键运维服务，大量降低人力成本。被广泛应用于政府、金融、医疗、教育和游戏等领域。云数据库SQL Server具有即开即用、稳定可靠、安全运行、弹性伸缩、轻松管理和经济实用等特点。 拥有高可用架构、数据安全保障和故障秒级恢复功能，提供了灵活的备份方案。

本文为您提供指向整个VPC网段的对等连接的配置指导。 操作场景 通过配置指向整个VPC网段的对等连接，并在VPC路由表中添加对端VPC网段的路由目的地址，从而实现整个VPC内所有资源的互通。 约束与限制 对等连接两端的VPC网段必须互不重叠。在配置对等连接之前，请确保本端VPC和对端VPC的地址段没有重叠部分。 在配置对等连接时，请检查本端和对端VPC内的弹性云主机的安全组情况，确保安全组允许弹性云主机之间的访问流量通过。有关安全组的使用和配置，请参考安全组概述。 每个对等连接支持的本端路由数和对端路由数均为100条。如果您计划建立多个VPC之间的对等连接，请考虑这一限制，在规划组网时做出相应调整。 系统路由为系统默认创建，用于VPC内部通信。您不能修改系统路由。您在默认路由表或者自定义路由表中手动创建的路由规则称为自定义路由。同一张路由表下，自定义路由规则之间的目的网段不能相同；自定义路由规则和系统路由规则目的相同时，系统路由规则优先级低于自定义路由规则，默认优先匹配自定义路由规则。要了解更多关于路由表的信息，请参考路由表概述。 配置相互对等的两个VPC 为了实现两个VPC之间的资源互访，您可以按照以下方案规划您的网络架构。在此示例中，VPCA和VPCB为两个要连接的VPC，请确保VPCA和VPCB的网段不重叠。

本文为您提供指向整个VPC网段的对等连接的配置指导。 操作场景 通过配置指向整个VPC网段的对等连接，并在VPC路由表中添加对端VPC网段的路由目的地址，从而实现整个VPC内所有资源的互通。 约束与限制 对等连接两端的VPC网段必须互不重叠。在配置对等连接之前，请确保本端VPC和对端VPC的地址段没有重叠部分。 在配置对等连接时，请检查本端和对端VPC内的弹性云主机的安全组情况，确保安全组允许弹性云主机之间的访问流量通过。有关安全组的使用和配置，请参考安全组概述。 每个对等连接支持的本端路由数和对端路由数均为100条。如果您计划建立多个VPC之间的对等连接，请考虑这一限制，在规划组网时做出相应调整。 系统路由为系统默认创建，用于VPC内部通信。您不能修改系统路由。您在默认路由表或者自定义路由表中手动创建的路由规则称为自定义路由。同一张路由表下，自定义路由规则之间的目的网段不能相同；自定义路由规则和系统路由规则目的相同时，系统路由规则优先级低于自定义路由规则，默认优先匹配自定义路由规则。要了解更多关于路由表的信息，请参考路由表概述。 配置相互对等的两个VPC 为了实现两个VPC之间的资源互访，您可以按照以下方案规划您的网络架构。在此示例中，VPCA和VPCB为两个要连接的VPC，请确保VPCA和VPCB的网段不重叠。

本文为您提供指向整个VPC网段的对等连接的配置指导。 操作场景 通过配置指向整个VPC网段的对等连接，并在VPC路由表中添加对端VPC网段的路由目的地址，从而实现整个VPC内所有资源的互通。 约束与限制 对等连接两端的VPC网段必须互不重叠。在配置对等连接之前，请确保本端VPC和对端VPC的地址段没有重叠部分。 在配置对等连接时，请检查本端和对端VPC内的弹性云主机的安全组情况，确保安全组允许弹性云主机之间的访问流量通过。有关安全组的使用和配置，请参考安全组概述。 每个对等连接支持的本端路由数和对端路由数均为100条。如果您计划建立多个VPC之间的对等连接，请考虑这一限制，在规划组网时做出相应调整。 系统路由为系统默认创建，用于VPC内部通信。您不能修改系统路由。您在默认路由表或者自定义路由表中手动创建的路由规则称为自定义路由。同一张路由表下，自定义路由规则之间的目的网段不能相同；自定义路由规则和系统路由规则目的相同时，系统路由规则优先级低于自定义路由规则，默认优先匹配自定义路由规则。要了解更多关于路由表的信息，请参考路由表概述。 配置相互对等的两个VPC 为了实现两个VPC之间的资源互访，您可以按照以下方案规划您的网络架构。在此示例中，VPCA和VPCB为两个要连接的VPC，请确保VPCA和VPCB的网段不重叠。

本文为您介绍密钥管理服务与其他云服务的关系，以及对应密钥的区分。 KMS与其他云服务的加密关系 KMS集成天翼云产品提供服务端加密能力，实现云上原生数据提供加密保护，有效提升默认安全能力。在创建云产品资源时开启加密功能，您可以自定义加密密钥，支持选择默认密钥和您在KMS中自行创建的用户主密钥。 服务端加密优势 提升云产品内生安全性 加密过程中使用的密钥由用户自定义选择，集中托管在KMS服务中，KMS已通过国家密码管理局审查，获得商用密码产品认证，合规性得到有效保障。 降低研发成本 使用云产品服务端加密能力，您无需自行构建和维护密钥管理基础设施，无需考虑自研数据加密能力所涉及的密钥管理安全及合理性、加密算法的研发等一系列复杂的工程，大幅度降低开发成本。 加密过程透明无感知 服务端加密为您提供内嵌至云服务中的加密方案，您无需关注底层数据加密的细节，只需一键开启加密功能，即可实现数据加密。 支持服务端加密的云产品 云硬盘 对象存储 弹性文件 关系型数据库MySQL版 关系型数据库PostgreSQL版 文档数据库服务 功能详情详见云产品服务端加密。 KMS与云审计服务的关系 已对接天翼云云审计服务，可通过云审计服务查看资源操作的记录，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至日志审计等产品实现永久保存。 KMS与云监控服务的关系 已对接天翼云云监控服务，可通过云监控服务查看实例节点的相关监控指标，并可以设置相关指标的告警规则及通知策略。

本文介绍测试IP应用加速性能的方法。 步骤一：进入客户控制台 成功开通AOne边缘接入服务后，您可以通过以下方式进入AOne边缘安全加速控制台。 官网页面进入控制台：进入AOne产品页面，点击管理控制台。 通过控制中心进入控制台：进入天翼云控制中心，在CDN与视频分类下，点击边缘安全加速平台。 通过控制台链接直接进入。 步骤二：获取边缘接入服务IP应用加速的CNAME域名 在天翼云客户控制台的接入管理IP应用加速接入的域名列表中，复制加速域名对应的CNAME记录值。 步骤三：使用本机电脑测试性能 注意 这里所测试的性能仅为用户侧到边缘节点的性能。 以Windows系统为例，打开操作系统的cmd程序，输入ping CNAME域名，如：ping testexample.ctadns.cn1。

此小节介绍云堡垒机退订。 若用户不再有使用云堡垒机实例需求，或配置的实例VPC或安全组等信息有误，可执行退订操作。 前提条件 已获取管理控制台的登录帐号与密码。 已使用的云堡垒机，需停止系统所有操作，解绑EIP。 操作步骤 1、登录管理控制台。 2 、在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3、单击左上角的，选择区域或项目。 4、左侧导航树中，单击，进入云堡垒机实例界面。 实例列表 5、选择待退订的实例，单击所在行“操作”列的“更多 > 退订”，弹出的退订实例对话框。 6、确认实例信息无误后，单击“确定”。 7、在退订资源页面完成退订。

本章介绍数据管理服务的整体产品架构。 数据管理服务DMS助力于企业数字化转型，为企业提供了高效、安全的数据管理解决方案。 先进的数据资产管理功能，帮助企业优化数据资源的组织、分类和检索。 可视化开发工具，为开发人员提供友好的数据操作界面，简化数据库的开发和管理过程。 重视数据的安全保护，通过团队隔离、用户与角色管理、操作审计等功能，确保数据的安全性。 下图为数据管理服务的整体产品架构图。 产品架构图 整个产品架构分为四层： 统一访问：通过统一的访问界面入口，用户无需在多个系统或客户端之间切换，可以轻松地访问和管理各种数据资源。这种统一的访问方式简化了操作流程，提高了管理效率，同时降低了学习成本和维护难度，有助于企业制定统一的安全策略、开发规范和变更流程。此外，DMS还提供Open API，方便第三方集成。 功能设计：DMS提供了丰富的产品功能，包括数据资产管理、可视化开发、SQL治理、数据安全协作、智能运维等，能够全方位地满足用户使用和管理数据库的需求。 数据库内核：DMS正在持续地丰富数据源生态，现已支持多种开源和商业数据库类型，更多数据源支持正在持续上线中。 来源/环境：DMS支持各种网络环境的数据库，包括天翼云、公网/直连数据库等，具备了多环境、多云的适配能力。

告警类型关联布局 说明 系统内置告警类型已默认关联已有布局，暂不支持自定义关联布局。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“告警类型”页签，进入告警类型管理页面。 6. 在告警类型管理页面中，选择需要关联布局的类型，并单击目标类型所在行“操作”列的“关联布局”，页面弹出绑定布局编辑框。 7. 在绑定布局编辑框中，选择需要关联的布局。 8. 单击“确认”。 编辑已有告警类型 说明 暂不支持编辑系统内置告警类型。 自定义告警类型新增成功后，不支持修改“类型名称”、“类型标识”、“子类型标识”参数信息。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“告警类型”页签，进入告警类型管理页面。 6. 在告警类型管理页面的“类型名称”中，单击需要编辑的自定义告警类型名称，右侧将展示自定义告警类型的详细信息。 7. 在右侧告警列表页面中，单击目标类型所在行“操作”列的“编辑”，右侧弹出编辑页面。 8. 在编辑告警类型页面中，修改告警类型的参数信息。 参数名称 参数说明 类型名称 告警类型的名称，不支持修改。 类型标识 告警类型的标识，不支持修改 。 子类型 填写告警类型的子类型。 子类型标识 告警子类型标识，不支持修改 。 启动状态 设置告警类型的启动状态。 ：表示启用。 ：表示禁用。 SLA 设置告警的SLA处理时间。 描述 自定义告警类型描述信息。 9. 在页面右下角单击“确认”。

不可以。 为确保用户主密钥的安全，用户只能在KMS中创建和使用用户主密钥，无法导出用户主密钥。

3、硬件配置 软件配置选择完成后，点击“下一步”进入硬件配置页面。硬件配置页面如下图所示，参数说明如下： 计费模式：可选择计费模式，默认为包年/包月。 购买时长：可按需选择订购时长。 自动续费：可按需开启自动续费功能。 操作系统：可按需选择CTyunOS或麒麟系统。 注意 当前麒麟镜像为不提供license的免费公共镜像，license需要用户自行购买。天翼云将为客户辅助提供技术支持。 主机类型：可按需选择云主机或物理机。 CPU类型：可按需选择X86或ARM。 规格类型：可按需选择通用主机或国产化主机。 节点组：根据您自身需要选择集群节点规格及数量，包括对节点组类型、选项配置、云盘参数和性能的选择，可根据需要对core和task节点进行增加/删除。 企业项目：企业项目提供统一的云资源管理能力，支持对项目及项目内的资源、成员进行管理。此处请根据用户的资源管理需求，选择翼MR集群的企业项目归属。仅支持选择用户有权限的企业项目。 虚拟私有云：不同虚拟私有云（VPC）网络之间的逻辑彻底隔离。请按需选择需要使用的虚拟私有云。如果目前没有VPC可以点击“创建虚拟私有云”跳转到虚拟私有云页面创建。 注意 1）集群和虚拟私有云需在同一企业项目下。 2）为保障网络互通，请选择与软件配置中所填数据库相同的虚拟私有云（VPC）。 子网：选择虚拟私有云后，子网可以根据需要进行选择。若所选子网已开通IPv6，可按需选择是否开启IPv6访问实例资源的功能。 安全组：设置集群内实例的网络访问控制。当前天翼云虚拟私有云安全组策略强安全要求，默认服务器内网互相不通，需要客户勾选安全组规则自动配置授权，翼MR会默认添加下述安全组中相关的规则。 拓扑调整：从V2.16.0版本起，数据湖、数据服务、实时数据流与自定义场景支持拓扑调整功能，用户可以手动调整已选组件的各角色在节点的部署位置，平均分配各个节点上的资源。系统默认已按照各组件角色的部署原则自动分配实例，您可按需开启该功能进行配置调整。

3、硬件配置 软件配置选择完成后，点击“下一步”进入硬件配置页面。硬件配置页面如下图所示，参数说明如下： 计费模式：可选择计费模式，默认为包年/包月。 购买时长：可按需选择订购时长。 自动续费：可按需开启自动续费功能。 操作系统：可按需选择CTyunOS或麒麟系统。 注意 当前麒麟镜像为不提供license的免费公共镜像，license需要用户自行购买。天翼云将为客户辅助提供技术支持。 主机类型：可按需选择云主机或物理机。 CPU类型：可按需选择X86或ARM。 规格类型：可按需选择通用主机或国产化主机。 节点组：根据您自身需要选择集群节点规格及数量，包括对节点组类型、选项配置、云盘参数和性能的选择，可根据需要对core和task节点进行增加/删除。 企业项目：企业项目提供统一的云资源管理能力，支持对项目及项目内的资源、成员进行管理。此处请根据用户的资源管理需求，选择翼MR集群的企业项目归属。仅支持选择用户有权限的企业项目。 虚拟私有云：不同虚拟私有云（VPC）网络之间的逻辑彻底隔离。请按需选择需要使用的虚拟私有云。如果目前没有VPC可以点击“创建虚拟私有云”跳转到虚拟私有云页面创建。 注意 1）集群和虚拟私有云需在同一企业项目下。 2）为保障网络互通，请选择与软件配置中所填数据库相同的虚拟私有云（VPC）。 子网：选择虚拟私有云后，子网可以根据需要进行选择。若所选子网已开通IPv6，可按需选择是否开启IPv6访问实例资源的功能。 安全组：设置集群内实例的网络访问控制。当前天翼云虚拟私有云安全组策略强安全要求，默认服务器内网互相不通，需要客户勾选安全组规则自动配置授权，翼MR会默认添加下述安全组中相关的规则。 拓扑调整：从V2.16.0版本起，数据湖、数据服务、实时数据流与自定义场景支持拓扑调整功能，用户可以手动调整已选组件的各角色在节点的部署位置，平均分配各个节点上的资源。系统默认已按照各组件角色的部署原则自动分配实例，您可按需开启该功能进行配置调整。

3、硬件配置 软件配置选择完成后，点击“下一步”进入硬件配置页面。硬件配置页面如下图所示，参数说明如下： 计费模式：可选择计费模式，默认为包年/包月。 购买时长：可按需选择订购时长。 自动续费：可按需开启自动续费功能。 操作系统：可按需选择CTyunOS或麒麟系统。 注意 当前麒麟镜像为不提供license的免费公共镜像，license需要用户自行购买。天翼云将为客户辅助提供技术支持。 主机类型：可按需选择云主机或物理机。 CPU类型：可按需选择X86或ARM。 规格类型：可按需选择通用主机或国产化主机。 节点组：根据您自身需要选择集群节点规格及数量，包括对节点组类型、选项配置、云盘参数和性能的选择，可根据需要对core和task节点进行增加/删除。 企业项目：企业项目提供统一的云资源管理能力，支持对项目及项目内的资源、成员进行管理。此处请根据用户的资源管理需求，选择翼MR集群的企业项目归属。仅支持选择用户有权限的企业项目。 虚拟私有云：不同虚拟私有云（VPC）网络之间的逻辑彻底隔离。请按需选择需要使用的虚拟私有云。如果目前没有VPC可以点击“创建虚拟私有云”跳转到虚拟私有云页面创建。 注意 1）集群和虚拟私有云需在同一企业项目下。 2）为保障网络互通，请选择与软件配置中所填数据库相同的虚拟私有云（VPC）。 子网：选择虚拟私有云后，子网可以根据需要进行选择。若所选子网已开通IPv6，可按需选择是否开启IPv6访问实例资源的功能。 安全组：设置集群内实例的网络访问控制。当前天翼云虚拟私有云安全组策略强安全要求，默认服务器内网互相不通，需要客户勾选安全组规则自动配置授权，翼MR会默认添加下述安全组中相关的规则。 拓扑调整：从V2.16.0版本起，数据湖、数据服务、实时数据流与自定义场景支持拓扑调整功能，用户可以手动调整已选组件的各角色在节点的部署位置，平均分配各个节点上的资源。系统默认已按照各组件角色的部署原则自动分配实例，您可按需开启该功能进行配置调整。

3、硬件配置 软件配置选择完成后，点击“下一步”进入硬件配置页面。硬件配置页面如下图所示，参数说明如下： 计费模式：可选择计费模式，默认为包年/包月。 购买时长：可按需选择订购时长。 自动续费：可按需开启自动续费功能。 操作系统：可按需选择CTyunOS或麒麟系统。 注意 当前麒麟镜像为不提供license的免费公共镜像，license需要用户自行购买。天翼云将为客户辅助提供技术支持。 主机类型：可按需选择云主机或物理机。 CPU类型：可按需选择X86或ARM。 规格类型：可按需选择通用主机或国产化主机。 节点组：根据您自身需要选择集群节点规格及数量，包括对节点组类型、规格、参数等配置的选择，可根据需要对core和task节点进行增加/删除。 企业项目：企业项目提供统一的云资源管理能力，支持对项目及项目内的资源、成员进行管理。此处请根据用户的资源管理需求，选择翼MR集群的企业项目归属。仅支持选择用户有权限的企业项目。 虚拟私有云：不同虚拟私有云（VPC）网络之间的逻辑彻底隔离。请按需选择需要使用的虚拟私有云。如果目前没有VPC可以点击“创建虚拟私有云”跳转到虚拟私有云页面创建。 注意 1）集群和虚拟私有云需在同一企业项目下。 2）为保障网络互通，请选择与软件配置中所填数据库相同的虚拟私有云（VPC）。 子网：选择虚拟私有云后，子网可以根据需要进行选择 。若所选子网已开通IPv6，可按需选择是否开启IPv6访问实例资源的功能。 安全组：设置集群内实例的网络访问控制。当前天翼云虚拟私有云安全组策略强安全要求，默认服务器内网互相不通，需要客户勾选安全组规则自动配置授权，翼MR会默认添加下述安全组中相关的规则。 拓扑调整：从V2.16.0版本起，数据湖、数据服务、实时数据流与自定义场景支持拓扑调整功能，用户可以手动调整已选组件的各角色在节点的部署位置，平均分配各个节点上的资源。系统默认已按照各组件角色的部署原则自动分配实例，您可按需开启该功能进行配置调整。

本章节主要介绍翼MapReduce的配置审计日志转储操作。 操作场景 Manager的审计日志默认保存在数据库中，如果长期保留可能引起数据目录的磁盘空间不足问题，管理员如果需要将审计日志保存到其他归档服务器，可以在FusionInsight Manager设置转储参数及时自动转储，便于管理审计日志信息。 若用户未配置审计日志转储，当审计日志达到十万条，系统自动将这十万条审计日志保存到文件中。保存路径为主管理节点“${BIGDATADATAHOME}/dbdataom/dumpData/iam/operatelog”，保存的文件名格式为“OperateLogstoreYYMMDDHHMMSS.csv”，保存的审计日志历史文件数最大为50。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“审计 > 配置”。 3. 单击“审计日志转储”右侧的开关。 “审计日志转储”默认为不启用，开关显示为表示启用。 4. 根据下表填写转储参数。 审计日志转储参数 参数名 参数解释 参数值 SFTP IP 模式 目标IP的IP地址模式，可选择“IPv4”或者“IPv6”。 IPv4 SFTP IP 指定审计日志转储后存放的SFTP服务器，建议使用基于SSH v2的SFTP服务，否则存在安全风险。 192.168.10.51（举例） SFTP端口 指定审计日志转储后存放的SFTP服务器连接端口。 22（举例） 保存路径 指定SFTP服务器上保存审计日志的路径。 /opt/omm/oms/auditLog（举例） SFTP用户名 指定登录SFTP服务器的用户名。 root（举例） SFTP密码 指定登录SFTP服务器的密码。 SFTP服务器的密码 SFTP公共秘钥 可选参数，指定SFTP服务器的公共密钥，建议配置SFTP的公共密钥，否则可能存在安全风险。 转储模式 指定转储模式 “按数量”：日志到达指定条数（默认10万条）时开始转储 “按时间”：指定某一日期开始转储，转储频率为一年一次。 按数量 按时间 转储日期 当选择“按时间”转储模式时可用。选择一个转储日期后，系统将在此日期开始转储。转储的日志范围为当前年份1月1日0时之前的所有审计日志。 1106（举例） 说明 SFTP公共密钥为空时，系统将进行安全风险提示，确定安全风险后再保存配置。 5. 单击“确定”，设置完成。 说明 审计日志转储文件关键字段参考： “USERTYPE”表示用户类型，“0”表示“人机”用户，“1”表示“机机”用户。 “LOGLEVEL”表示安全级别，“0”表示高危，“1”表示危险，“2”表示一般，“3”表示提示。 “OPERATERESULT”表示操作结果，“0”表示成功，“1”表示失败。

本节主要介绍网络ACL的组成、功能特性、应用场景和使用限制。 网络ACL作为对子网可选的安全防护功能，基于网络ACL的规则对子网的出入方向数据流进行控制，实现子网粒度流量的精细化访问控制管理。网络ACL按需创建，其具有VPC属性，网络ACL只可关联其所属VPC下的子网，且每个子网只可关联一个网络ACL。通常可以将具有相同访问控制的多个子网关联到一个网络ACL。 网络ACL可以结合安全组一起使用实现对子网下的虚拟机的双重防护。 网络ACL的访问控制通过ACL规则实现，可以在网络ACL中按需添加ACL规则实现访问控制。 功能特性 网络ACL未配置策略规则时，出入方向均默认为允许，若需拒绝则需要添加对应的拒绝策略规则。 网络ACL是无状态的，即设置入方向规则的允许请求后，需要同时设置相应的出方向规则，否则可能会导致请求无法响应。 子网可以按需关联到网络ACL，一个子网只能关联一个网络ACL，具有相同访问控制属性的多个子网可以关联到一个网络ACL。 默认放通同一子网内的流量。 网络ACL策略规则的优先级高于安全组的策略规则。 注意 网络ACL已从原来的有状态变更为无状态，对新关联的子网生效。建议出入方向配置相同的策略，同时允许或拒绝。 应用场景 对子网的出入流量做访问控制，可以通过网络ACL实现。

映射 用来约束字段的类型，可以根据数据自动创建。相当于数据库中的Schema。 字段 组成文档的最小单位。相当于数据库中的Column。 Kibana Kibana是一个开源的数据分析与可视化平台，与Elasticsearch搜索引擎一起使用。您可以用Kibana搜索、查看、交互存放在Elasticsearch索引中的数据，也可以使用Kibana以图表、表格、地图等方式展示数据。 一键访问 云搜索服务的集群默认提供Kibana，无需安装部署，一键访问Kibana。 登录云搜索服务管理控制台。在左侧导航栏，单击“集群管理”进入集群管理列表。在对应集群的“操作”列，单击“Kibana”，即可打开Kibana界面。 Kibana功能 完全兼容开源Kibana可视化展现和Elasticsearch统计分析能力。 支持10余种数据呈现方式。 支持近20种数据统计方式。 支持时间、标签等各种维度分类。 Cerebro Cerebro是使用Scala、Play Framework、AngularJS和Bootstrap构建的开源的基于Elasticsearch Web可视化管理工具。您可以通过Cerebro对集群进行web可视化管理，如执行rest请求、修改Elasticsearch配置、监控实时的磁盘，集群负载，内存使用率等。 一键访问Cerebro 云搜索服务的集群默认提供Cerebro，无需安装部署，一键访问Cerebro。 登录云搜索服务管理控制台。在左侧导航栏，单击“集群管理”进入集群管理列表。在对应集群的“操作”列，单击“Cerebro”，即可打开Cerebro界面。 打开Cerebro后，需要输入集群的内网访问地址，选择其中的一个内网访问地址即可。 非安全模式登录时，输入 。 安全模式登录时，输入 ，并且输入登录安全模式的账号和密码。

本文为您介绍密钥管理服务的开通流程。 密钥管理服务（KMS）包周期版提供基础版、企业版两个规格，本章为您介绍如何购买KMS服务。 前提条件 已经注册天翼云账号并完成实名认证。 规格限制 基础版提供软件保护等级服务，支持客户构建专属的密钥库，具备高度可扩展性；同时提供极简的密码运算接口能力，满足应用的安全快速集成。 企业版提供硬件保护等级服务，底层对接使用经国家密码管理局认证的密码机硬件，提供更高安全与合规等级保证的资源管理及密码运算服务，满足监管机构的检测认证要求。 基础版、企业版单基础实例计算性能（应用接入点）默认为2000QPS。 基础版、企业版单基础实例最多可创建2000个密钥、1000个证书。 操作步骤 1. 进入天翼云门户并登录，在产品导航栏，定位到“安全与管理”分类，找到密钥管理，点击进入。 2. 进入密钥管理产品详情页，单击“立即开通”。 3. 进入到密钥管理服务订购页面，选择云服务区、服务版本、实例数量、扩展资源数量，设置订购时长，确认参数配置后，阅读《天翼云密钥管理服务协议》，并勾选“我已阅读并同意《天翼云密钥管理服务协议》”，点击“立即购买”。 4. 进入订单详情 页面，确认支付金额，点击 立即支付 。 5. 完成订单支付，可在订单详情页查看订单状态，状态更新为“已完成”后代表服务已开通。 6. 服务开通后，您可进入密钥管理服务控制台创建资源。

本章节主要介绍使用微服务仪表盘 您可以通过仪表盘实时查看微服务运行相关的指标，根据丰富实时的仪表盘数据，对微服务做相应的治理动作。 背景说明 如果微服务应用部署在ServiceStage上，部署应用时需要设置微服务引擎，应用会自动获取服务注册发现地址、配置中心地址和仪表盘地址，不需要配置monitor地址，就可以使用仪表盘功能（当前只有Java Chassis和Go Chassis支持仪表盘地址自动发现功能）。 如果是本地启动微服务应用注册到微服务引擎，需要手工配置monitor地址，才可以使用仪表盘功能。 操作步骤 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 进入微服务引擎页面，选择待操作的微服务引擎，单击“查看控制台”。 未开启安全认证的微服务引擎专享版或微服务引擎专业版，请执行步骤4。 开启安全认证的微服务引擎专享版，请执行步骤3。 步骤 3 在弹出的“安全认证”对话框输入帐号名及密码，单击“确定”。 说明： 首次进入微服务控制台，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 在“仪表盘”页面，在下拉列表框选择需要查看的应用，在搜索框输入微服务名称，查询微服务，页面将展示筛选出的微服务的运行指标。 单击“查看示例图”，可以查看运行指标参数含义。 步骤 5 选择排序方式，筛选出的微服务会按照指定方式进行排序。

本文主要介绍云专线的功能。 支持多个远端子网 用户可以配置多个VPN远端子网，但远端子网不能和VPN所在的VPC下的子网冲突。 支持CN2（MPLS）专线接入 CN2专线是指依托于中国电信CN2 承载网，采用多协议标记交换（MPLS）方式，为用户在多个节点间实现虚拟专网功能，提供安全的IPv4 和IPv6 数据信息传输服务。通过CN2专线可实现自有IT环境（私有云）与云资源的高效、安全的连接和统一管理。 支持MSTP专线接入 依托中国电信传送网，为用户提供具有灵活调整带宽和以太网接入功能数据专线。通过MSTP专线可实现自有IT环境（私有云）与云资源的高效、安全的连接和统一管理。 为客户提供从客户站点到云资源池站点的以太专线服务（IPRAN、MSTP、PON等），客户端采用以太网接口接入，在客户端和局端设备以太网端口允许范围内，可以根据客户需求增加或减少带宽而不需频繁更换客户端和局端设备。 物理专线 连接天翼云与本地数据中心的物理线路连接，您的数据中心和天翼云专线网络接入点间建立网络连接。 多端口 天翼云专线接入支持1GE和10GE两种接入端口。 双路接入 为了满足您的高可靠网络接入需求，天翼云专线接入服务在多个城市具备双接入点，您可以通过双线接入天翼云。天翼云支持流量均分（负载）和主备故障切换实现双活和主备两种专线备份配置模式。

本文主要介绍Agent安装配置方式说明 。 安装Agent方式有如下几种，你可以根据你所使用的服务的操作系统类型、是否有多个服务器以及个人习惯选择任何一种或多种安装方式： 安装场景 支持的服务 参考章节 安装Agent（Linux） ECS、BMS 在ECS/BMS中安装配置Agent（Linux） 安装Agent（Windows） ECS 在ECS中安装配置Agent（Windows） 批量安装Agent（Linux） ECS 在ECS中批量安装Agent（Linux） 安装配置依赖： 安装Agent依赖DNS的配置和安全组配置，DNS错误或安全组规则不正确会导致Agent包下载失败。因此在安装Agent前需要首先修改DNS的配置并配置安全组规则。 安装Agent后，可以通过“修复插件配置”完成委托配置和文件配置。 当通过“修复插件配置”或其他原因无法完成Agent配置时，您还可以手工配置Agent。 支持安装Agent的操作系统请参见Agent支持的系统有哪些？ 对于私有镜像，推荐您使用已安装Agent的ECS或BMS制作私有镜像，并使用该私有镜像创建ECS或BMS，并在创建完资源后通过修复插件配置（ Linux ）来完成Agent的配置。 注：制作的私有镜像不支持跨Region使用，跨Region使用会导致没有监控数据。 注意 使用私有镜像安装使用Agent过程中出现任何问题，CES将不对此提供技术支持。

本文介绍如何续订安全加速。 支持续订操作，登录官网订单管理产品产品视图产品续订，提交您的续订需求，续订规则详见自动续订

概念 说明 身份提供商（Identity Provider，IdP） 存储企业内部用户数据，能够提供身份管理能力的服务。在企业完成与天翼云的联邦身份认证流程中，身份提供商指企业内部用户管理身份系统。常见的企业IdP有Microsoft Active Directory Federation Service （AD FS）、Shibboleth等。 服务提供商（Service Provider，SP） 服务提供商指在建立与身份提供商的互信关系后，使用身份提供商的用户数据，为用户提供具体服务的实体。在企业完成与天翼云的联邦身份认证流程中，服务提供商指天翼云。 SAML 2.0 SAML即安全断言标记语言，英文全称是Security Assertion Markup Language。它是一个基于XML的标准，用于在不同的安全域之间交换认证和授权数据，例如IdP和SP之间，SAML 2.0是目前实现企业SSO的一套开放标准。

本文介绍天翼云AOne会议的产品定义，以便您更快了解AOne会议。 AOne会议 AOne会议是基于天翼云实时音视频网络，精心打造的一款音视频会议软件，支持音视频互动、会议管控、会议录制、一键直播等功能。采用全链路安全加密技术，为用户提供“安全稳定、高效智能”的视频会议服务。 产品架构图 说明 关于天翼云AOne会议的客户端下载，请前往客户端下载。 关于天翼云AOne会议的使用说明，请前往用户指南。 关于天翼云AOne会议的计费方案，请参考计费说明。

本章节为您介绍证书密钥恢复的相关内容。 按照CA标准规范要求，CA需要提供加密证书密钥对恢复功能。安全的恢复加密密钥对到安全存储介质，例如USBKey。 密钥恢复功能有密钥恢复申请和密钥恢复审核组成。其中，密钥恢复申请需要注册操作员权限，密钥恢复审核需要审核操作员权限。 注意 密钥恢复暂不支持ECDSA算法。 操作步骤 1. 使用操作员账户登录数字证书认证系统。 2. 在左侧导航栏选择“密钥恢复 ”，根据您自身的需求选择“有效证书密钥恢复”、“过期证书密钥恢复”或“注销证书密钥恢复”。 3. 进入对应的密钥恢复页面，选择需要恢复密钥的证书，单击“操作”列的“恢复”按钮。 4. 根据弹窗提示插入UKEY设备，选择UKEY类型并输入口令，恢复成功后加密密钥将保存到UKEY中。

状态 说明 正常 数据库实例运行正常。 异常 数据库实例不可用。 创建中 正在创建数据库实例。 创建失败 数据库实例创建失败。 重启中 按照用户请求，或修改需要重启才能生效的数据库参数后，重启实例中。 主备切换中 正在切换副本集实例的主备节点。 节点扩容中 正在扩容集群实例的shard或mongos节点个数。 删除节点中 正在删除添加失败的节点。 存储扩容中 正在扩容实例的磁盘大小。 规格变更中 正在变更实例的CPU和内存规格。 备份中 正在创建备份。 恢复检查中 该实例下的备份正在恢复到新实例。 修改内网地址中 正在修改节点的内网IP。 修改端口号中 正在修改数据库实例的数据库端口。 修改安全组中 正在修改数据库实例的安全组。

本文主要介绍使用限制 为了提高实例的稳定性和安全性，文档数据库服务在使用上有一些固定限制。 功能使用限制 操作 使用限制 :: 访问实例 若文档数据库实例未开通公网访问，则必须与弹性云主机在同一个虚拟私有云子网内才能访问。 文档数据库服务和弹性云主机在不同的安全组默认不能访问，需要在文档数据库服务安全组添加一条“入”的访问规则。文档数据库服务默认端口：8635，需要手动修改才能访问其它端口。 部署 实例所部署的弹性云主机，对用户不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的rwuser权限 创建实例页面只提供管理员帐户rwuser权限。 修改数据库参数设置 用户创建的参数组中大部分数据库参数可以修改。 数据迁移 可以使用mongoexport和mongoimport命令行工具等方式迁移数据，具体请参见数据迁移。 存储引擎 支持WiredTiger存储引擎。 重启实例或节点 必须通过管理控制台操作重启实例。 查看备份文件 文档数据库服务在对象存储服务上的备份文件，对用户不可见。

本节介绍天翼量子AI云电脑客户端支持的系统、浏览器版本，以及下载地址。 说明：新版本客户端目前处于灰度测试阶段，将逐步向更多用户开放，感谢您的耐心等待。 若您希望申请试用，可发送邮件至指定邮箱：clouddesktop@chinatelecom.cn 1. 前言 欢迎广大用户下载安装天翼量子AI云电脑全新视觉客户端，当前文档适用于Windows客户端，Mac客户端，Ubuntu瘦终端，安卓瘦终端，国产化终端（银河麒麟/统信UOS），Web客户端的使用帮助文档。 2. 产品定义 天翼量子AI云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的Clink数据安全传输协议，实现低延时、高画质、带宽占用少、多终端接入，打造从端到云全链路的安全防护体系，用户通过终端快速访问调取云端资源，实现统一管理、便捷维护，多重数据安全防护，随时随地共享数据、安全办公。 3. 客户端支持的最低系统版本 天翼量子AI云电脑客户端支持Windows，MacOS12.0，Android7.0，iOS10、Ubuntu18.04，UOS V20，Kylin V10等以上系统版本。 4. Web客户端接入的最低浏览器版本 支持Chrome70+、Firefox72+、edge、UOS 5.2.1200+、奇安信1.0.1365+等浏览器接入。Web客户端访问地址：[

本节介绍如何创建SSH授权。 Linux主机支持“SSH授权登录”授权方式。 添加Linux主机后，请参照以下操作步骤创建SSH授权。 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在主机授权页面，批量选择需要授权的主机，单击“批量配置授权信息”，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“配置授权信息”。 如果需要修改主机名称，单击编辑按钮，在弹出的对话框中，进行修改。 6. 选择已有SSH授权，或者单击“创建SSH授权”创建SSH授权，如下图所示，参数说明如下表所示。 参数说明： 参数名称 参数说明 SSH授权别称 自定义SSH授权名称。 登录端口 SSH授权登录的端口号。 请确保安全组已添加该端口，以便主机可通过该端口访问VSS。 选择登录方式 “密码登录” “密钥登录” 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，为了您的账号安全，您的密码会加密保存。 7. 单击“确认”，完成Linux主机授权。