EHPC Portal是面向超算业务需求研发的集群管理平台,集群开通后自动内置该平台,通过EHPC Portal您可进行日常作业管理、文件管理、集群监控等操作。本文介绍了如何登录Portal平台。 前提条件 集群已绑定弹性IP（公网访问方式），或具备可访问管理节点内网的跳板机（内网访问方式）。 集群登录节点处于运行中。 操作步骤 方式一：公网访问方式 打开浏览器，直接输入地址访问EHPC Portal的登录页面。 EHPC Portal登录页面的地址为 Portal 端口号]/index.html，例如 Web Portal端口号默认为16002。 注：需添加安全组规则方可访问，可参考添加安全组规则。 方式二：内网访问方式 登录跳板机，打开浏览器，直接输入内网地址访问EHPC Portal的登录页面。 将上述的公网访问方式的公网IP更换内网IP即可： 方式三：登录Portal平台 在Portal登录页面中，输入用户名和密码，默认管理员账户是galaxy（区分大小写），默认密码请见弹性高性能控制台的集群概览页。输入用户名和密码后点击登录。 如果登录成功，将进入EHPC Portal主页。登录后如果超过30分钟没有任何操作，会提示登录超时，需要重新登录。 集群内Portal用户使用指南请您点击下载查看。弹性高性能计算集群内HPC PORTAL用户手册V1.7.4.pdf.zip

本文为您介绍创建单台云主机、批量创建云主机、大批量创建千台云主机场景下的最佳实践。 操作场景一 通过控制台开通单台云主机。 操作步骤 本文以南昌5资源池为例，创建单台Linux/Windows云主机。 计算控制台点击“弹性云主机”，点击右上角“创建云主机”。 “基础配置” 页 1. 计费模式选择按量付费； 2. 地域选择江西南昌5； 3. 可用区选择可用区1； 4. 企业项目选择default； 5. 虚拟私有云（VPC）选择默认defaultvpc； 6. 实例名称和主机名称按照要求填写即可； 7. 选择所需开通规格，本次以s7.xlarge.2为例； 8. 选择所需镜像类型。 “网络配置” 页 1. 网卡会关联上述选择的虚拟私有云（VPC）下的子网，选择相应的子网即可； 2. 安全组可以选择default安全组； 3. 弹性IP选择“不使用”。 “高级配置” 页 1. 登录方式默认为密码，创建密码为稍后创建； 2. 用户数据选择“暂不配置”； 3. 左下角购买量选择1台。 “确认配置” 页 确认上述选择和填写的配置项符合预期，勾选“已阅读并同意相关协议”，点击右下角的“立即购买”完成订购。 对于单台Linux/Windows云主机，通常情况下可在一分钟内完成开通。本次单台Linux云主机开通耗时17秒，单台Windows云主机开通耗时16秒。 操作场景二 通过控制台开通多台云主机。

本章节为您介绍云审计IAM权限的相关内容 本文为您介绍云审计的权限管理能力，支持通过IAM实现对云审计的访问控制、权限分配。 云审计通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云审计服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 云审计IAM策略说明 天翼云为云审计提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 cloudauditadmin 云审计管理员策略。 系统策略 全局 cloudauditviewer 云审计查看策略。 系统策略 全局 cloudauditauditor 云审计审计员策略。 系统策略 全局

本文为您介绍云堡垒机(原生版)的权限管理能力,支持通过IAM实现对云堡垒机(原生版)的访问控制、权限分配。 云堡垒机（原生版）通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云堡垒机（原生版）服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 云堡垒机（原生版）IAM策略说明 天翼云为云堡垒机（原生版）提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 ctcbh admin 云堡垒机（CBH）的全读写访问权限。 系统策略 全局级 ctcbh viewer 云堡垒机（CBH）的只读访问权限。 系统策略 全局级

section81bdac15d5303c5e)。 时间计划 设置的规则生效时间。 启用状态 当前规则的启用状态，支持启用和禁用。 标签 当前规则设置的标签信息。 5. （可选）根据您的需要在方向或协议类型下拉框选择需要查看的方向或协议类型。 编辑防护规则 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 访问策略管理”，进入“访问策略管理”页面。 5. 在需要编辑的防护规则所在行的“操作”列，单击“编辑”。 6. 在系统弹出编辑防护规则中，修改您需修改的参数信息。 7. 修改完成后，单击“确认”保存。 复制防护规则 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 访问策略管理”，进入“访问策略管理”页面。 5. 在需要复制的防护规则所在行的“操作”列，单击“更多> 复制”。 6. 修改参数后，单击“确认”，新生成的防护规则“优先级”默认为“1”（优先级最高）。

本文为您介绍云防火墙（原生版）的权限管理能力，支持通过IAM实现对云防火墙（原生版）的访问控制、权限分配。 云防火墙（原生版）通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云防火墙（原生版）服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 IAM策略说明 天翼云为云防火墙（原生版）提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 CFW admin 管理员，拥有云防火墙（原生版）全部操作权限。 系统策略 全局级 CFW viewer 仅拥有云防火墙（原生版）查看权限。 系统策略 全局级

本文绍了如何查看RDSPostgreSQL实例连接信息。 操作场景 客户从内外网连接实例时需要从控制台获取实例连接信息，当前连接方式不可修改。 约束限制 当前实例创建后，内网连接IP不可修改。 操作步骤 Ⅰ类资源池的连接信息获取方式 1. 登录天翼云门户。 2. 点击【控制中心】，选择对应资源池，例如“上海7”。 3. 选择【关系数据库PostgreSQL版】，点击进入组件控制台管理页面。 4. 在“实例管理”列表中点击对应的实例进入实例信息页，其中“连接地址”即为实例的内网IP，“数据库端口”为实例的连接端口，“虚拟私有云”为对应的VPC，“安全组”为对应的安全组。 Ⅱ类资源池的连接信息获取方式 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在单个实例的管理详情页中，“ipv4地址”为天翼云内的ipv4连接地址，“ipv6地址”为天翼云内的ipv6连接地址，“弹性IP”为当前实例绑定的可公网访问的IP信息，“数据库端口”为当前实例的连接端口。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

备份方案 使用场景 自动备份 自动备份通常应用于以下场景： 数据备份和恢复：在生产系统中使用MySQL自动备份功能可以轻松备份所有数据（或者某些数据），并在数据丢失或出现故障时快速恢复数据。 数据复制和迁移：MySQL自动备份功能可以将备份文件复制到其他数据库服务器上，从而实现数据复制和迁移。这对于开发团队测试或生产系统的新部署非常重要。 性能和安全：在系统中使用MySQL自动备份功能可以帮助数据库管理员决定何时进行备份，并且可以按时调度任务。这样可以避免在系统高峰期间执行备份操作，造成性能问题。此外，备份还可以加密， 并保存在安全的地方以保护数据。 手动备份 手动备份通常应用于以下场景： 应急备份：MySQL手动备份可以在需要时立即备份所有数据，并在紧急情况下恢复。这对于快速回滚到过往版本的数据库非常有用，从而修复由数据损坏、恶意活动导致的问题。 数据库迁移：在数据库迁移期间，手动备份允许您复制数据库并在另一个服务器或云服务环境中恢复数据。在迁移过程中，确保数据不会丢失，以及在迁移结束时，确保应用程序的正常运行。 需要进行定时备份的服务器：在一些服务器中，如果由于备份文件大小、太大或者检测到性能问题导致自动备份不可行的情况下，手动备份可以作为一种替代方法。通过管理员手动设置时间表，公司可以安排定期手动备份以保护其数据。

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 cpp Aws::String ak " "; Aws::String sk " "; Aws::String endPoint " "; ​ Aws::Auth::AWSCredentials cred(ak, sk); Aws::Client::ClientConfiguration cfg; cfg.endpointOverride endPoint; cfg.scheme Aws::Http::Scheme::HTTP; cfg.verifySSL false; stsclient new Aws::STS::STSClient(cred, cfg); 获取临时token cpp const Aws::String roleArn "arn:aws:iam:::role/xxxxxx"; const Aws::String roleSessionName " "; const Aws::String bucketname " "; const Aws::String policy "{"Version":"20121017"," ""Statement":" "{"Effect":"Allow"," ""Action":["s3:"]," // 允许进行 S3 的所有操作。如果仅需要上传，这里可以设置为 PutObject ""Resource":["arn:aws:s3:::" + bucketname + "","arn:aws:s3:::" + bucketname + "/"]"// 允许操作默认桶中的所有文件，可以修改此处来保证操作的文件 "}}"; Aws::STS::Model::AssumeRoleRequest request; request.SetPolicy(policy); request.SetRoleArn(roleArn); request.SetRoleSessionName(roleSessionName); std::cout AssumeRole(request); if (outcome.IsSuccess()) { auto& cred outcome.GetResult().GetCredentials(); std::cout << "ak:" << cred.GetAccessKeyId() << std::endl; std::cout << "sk:" << cred.GetSecretAccessKey() << std::endl; std::cout << "token:" << cred.GetSessionToken() << std::endl; return true; } else { auto err outcome.GetError(); std::cout << "Error: AssumeRole: " << err.GetExceptionName() << ", " << err.GetMessage() << std::endl; return false; }

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 php require '/path/to/autoload.php'; use AwsStsStsClient; use AwsExceptionAwsException; use AwsCredentialsCredentials; ​ const endpoint ' '; // e.g. or const accesskey ' '; const secretkey ' '; ​ $credentials new Credentials(accesskey, secretkey); ​ $this>stsClient new StsClient([ 'region' > 'ctyun', // region固定填ctyun 'version' > '20110615', // sts接口版本号，固定填20110615 'credentials' > $credentials, 'endpoint' > endpoint, ]); 获取临时token php public function AssumeRole() { $bucket ' '; $arn ' '; ​ $roleSessionName ' '; $roleArn "arn:aws:iam:::role/$arn"; $policy "{"Version":"20121017","Statement":{"Effect":"Allow","Action":["s3:"],"Resource":["arn:aws:s3:::$bucket","arn:aws:s3:::$bucket/"]}}"; ​ try { $res $this>stsClient>assumeRole([ 'Policy' > $policy, 'RoleArn' > $roleArn, 'RoleSessionName' > $roleSessionName, ]); vardump($res>get('Credentials')); } catch (AwsStsExceptionStsException $e) { echo "Exception: $e"; } } 参数说明： 参数 类型 描述 是否必要 RoleArn String 角色的ARN，在控制台创建角色后可以查看 是 Policy String 角色的policy，需要是json格式，限制长度1~2048 是 RoleSessionName String 角色会话名称，此字段为用户自定义，限制长度2~64 是 DurationSeconds Integer 会话有效期时间，默认为3600s 否

本章节内容主要介绍相关术语解释 VPC网络 基于虚拟私有云（Virtual Private Cloud，简称VPC）网络的数据迁移是指实时迁移场景下，源数据库与目标数据库属于同一个虚拟网络内或者跨可通信虚拟网络内，不需要您额外搭建其他网络服务。 VPN网络 基于虚拟专用网络（Virtual Private Network，简称VPN）的数据迁移是指实时迁移场景下，源数据库与目标数据库属于同一个可通信的虚拟网络内，并且通过VPN在用户的其他数据中心和云平台之间建立的一条符合行业标准的安全加密通信隧道，可将已有数据中心无缝扩展到云上。 目前天翼云VPN只支持IPSec VPN。 专线网络 专线网络是通过云专线服务将用户侧的数据中心连接至云计算平台Region的虚拟私有云专线连接。您可以利用专线网络建立云与数据中心的专线连接，享受高性能、低延迟、安全专用的数据网络。 迁移实例 迁移实例是帮助实现数据迁移的辅助型资源，存在于迁移任务的整个生命周期。数据库复制服务可以通过迁移实例连接源数据库，读取源数据，然后将数据库复制到目标数据库中。 迁移日志 迁移日志是指数据库迁移过程中，数据库复制服务为您提供的包含警告、错误和提示等类型的信息。 同步实例 同步实例是帮助实现实时同步的辅助型资源，存在于同步任务的整个生命周期。数据库复制服务可以通过同步实例连接源数据库，读取源数据，然后将实时同步到目标数据库中。

状态 说明 正常 数据库实例运行正常。 异常 数据库实例不可用。 创建中 正在创建数据库实例。 创建失败 数据库实例创建失败。 备份中 正在创建数据库实例备份。 重启中 按照用户请求，或修改需要重启才能生效的数据库参数后，重启实例中。 主备切换中 正在切换副本集实例及集群实例的shard、config的主备节点。 节点扩容中 正在扩容集群实例的shard或mongos节点个数。 删除节点中 正在删除添加失败的节点。 存储扩容中 正在扩容实例的磁盘大小。 规格变更中 正在变更实例的CPU和内存规格。 转包周期中 实例的计费方式正在由“按需计费”转为“包年/包月”。 恢复检查中 该实例下的备份正在恢复到新实例。 恢复中 该实例下的备份正在恢复到已有实例。 恢复失败 通过备份恢复到已有实例失败。 切换SSL中 正在开启或关闭SSL通道。 慢日志配置修改中 正在切换慢日志明文显示开关。 修改内网地址中 正在修改节点的内网IP地址。 修改端口号中 正在修改数据库实例的端口。 修改安全组中 正在修改数据库实例的安全组。 冻结 账户余额小于或等于0元，系统对该用户下的实例进行冻结。您需前往费用中心充值成功，欠款核销后，冻结的实例才会解冻。 补丁升级中 正在进行补丁升级。 包周期变更资源检查中 包周期实例在进行变更过程中所持续的状态。

编辑角色 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 进入微服务引擎页面，选择待编辑角色的微服务引擎，单击“查看控制台”。 步骤 3 在弹出的“安全认证”对话框输入该微服务引擎下关联了admin角色权限的帐号名及其密码，单击“确定”。 说明： 首次连接微服务引擎，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“系统管理 > 角色管理 ”，单击待编辑角色“操作”列的“编辑”。 步骤 5 根据实际业务需求，修改“服务组”和“权限动作”。 步骤 6 单击“保存”，完成角色编辑。 删除角色 说明： 角色删除后无法恢复，请谨慎操作。 删除角色前要先确认该角色没有被帐号关联。取消角色同帐号之间的关联，请参考编辑帐号。 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 进入微服务引擎页面，选择待删除角色的微服务引擎，单击“查看控制台”。 步骤 3 在弹出的“安全认证”对话框输入该微服务引擎下关联了admin角色权限的帐号名及其密码，单击“确定”。 说明： 首次连接微服务引擎，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“系统管理 > 角色管理 ”，单击待删除角色“操作”列的“删除”。 步骤 5 在输入框输入“DELETE”，单击“确定”。

云硬盘支持加密功能,可确保数据安全,以防用户隐私数据泄露。 什么是云硬盘加密？ 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 用户主密钥云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

云硬盘支持加密功能,可确保数据安全,以防用户隐私数据泄露。 什么是云硬盘加密？ 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 用户主密钥云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

约束与限制 密钥对仅支持远程登录Linux云主机。 密钥对只能在本区域的云主机使用。 通过管理控制台创建的基于SSH2协议的密钥对，仅支持“RSA2048”加解密算法。 通过外部导入的密钥对支持的加解密算法为： RSA1024 RSA2048 RSA4096 ECDSA256 ECDSA384 ECDSA512 ED25519256 为保证云主机安全，私钥只能下载一次，私钥丢失后将无法登录云主机，请您妥善保管。

本章节介绍什么是云密评专区。 云密评专区是针对云上租户密评需求提供的端到端密评产品解决方案，产品基于具有商密资质的云密码机、密码服务在云上构建高性能密码资源池，为应用提供密钥管理、综合安全网关、协同签名等云原生密码服务，解决云上应用密评方案复杂、改造时间长问题，帮助租户快速通过密评。

本文为您介绍如何修改天翼云云搜索服务OpenSearch的实例密码。 如果您在使用集群过程中需要重置集群管理员密码，可通过以下步骤进行重置。 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在详情页面里选择“安全设置”，并点击下方的密码重置按钮，在显示的填写框处进行密码重置。请按照密码设置规范，填写新密码。 注意 密码为数字、大写字母、小写字母、特殊符号（@$!%~?&）的组合。 长度限制为1226位。 不能包含账号信息、连续3个一样字符（大小写字母视为同一字符）、字典序及键盘序。

本文为您介绍如何快速创建SSL VPN连接。 前提条件 客户端可以访问互联网。 客户端的私网网段和VPC的私网网段没有重合，否则无法访问VPC内的网络资源。 您已了解VPC中所应用的安全组规则，并确保安全组规则允许客户端访问云上资源。 使用流程 1. 创建VPN网关。 创建VPN网关并开启SSL VPN功能。 2. 创建SSL服务端。 创建相应的SSL服务端，用于接入用户侧连接SSL VPN服务。 3. 创建SSL客户端。 在控制台创建SSL客户端，用于生成客户端连接SSL VPN服务端的配置。 4. 下载客户端证书。 在控制台下载客户端证书，一共三个证书。 5. 配置客户端。 下载客户端软件，安装并配置客户端。 6. 测试连通性。 登录客户端，访问VPC，测试网络连通性。

云堡垒机可以跨区域或跨VPC网络管理主机吗？ 不建议。 云堡垒机仅支持直接管理同一VPC内资源，即可直接访问同一VPC内资源。 虽跨区域或跨VPC可通过云服务构建网络连接，但受限于网络的不稳定性，不建议跨区域或跨VPC使用云堡垒机纳管资源。 云堡垒机支持在专属云上使用吗？ 支持。 专属云（Dedicated Cloud）是面向企业、政府、金融等客户，提供计算、存储资源池以及网络、管控多级隔离的综合解决方案。用户独享专属资源池，与公有云资源物理隔离，满足特定性能、应用及安全合规等要求。

本文介绍云容器引擎的产品优势。 云容器引擎是基于业界主流的Docker和Kubernetes开源技术构建的容器服务，提供众多契合企业大规模容器集群场景的功能，在系统可靠性、高性能、开源社区兼容性等多个方面具有独特的优势，满足企业在构建容器云方面的各种需求。云容器引擎的优点有：大幅提高线上业务的运维、弹性伸缩能力；大幅提高资源、设备及人力的利用率，降低成本；大幅提升产品、业务应用的研发效率。 管理简单 帮助用户屏蔽了底层技术架构，云容器引擎具有强大的集群管理功能，简单的操作流程。用户可自定义集群应用，只需进行简单的单击操作，即可完成业务部署，无需参与底层网络、存储等的技术设计，无需手动搭建docker及kubernetes集群，并进行证书、密钥等配置，减少技术人员的投入，节约人力成本。 云容器引擎平台为集群、应用、容器、网络、配置项、命名空间等丰富的集群资源提供了直观的界面化管理，简化了用户操作。用户可随时随地登陆，进行应用容器的生命周期管理，灵活的安排运行的应用业务，浏览当前具备的资源及业务运行状态，大幅降低了用户的管理成本、运维成本。 安全稳定 云容器引擎服务提供3个master主节点的高可用集群，去中心化式的集群架构，确保当单个主控节点出现问题时，集群也能够无中断的继续运行。相比用户自建的单主控节集群，业务稳定性与连续性大大提高。 云容器服务基于天翼云优秀的IAAS层基础架构搭建，成熟的虚拟化技术、优质的网络架构，以及多层次的安全防护能力，从底层确保了上层容器服务的稳定可靠性。用户可自定义安全组规则，进一步提高隔离水平。 伴随业务版本的快速迭代，云容器引擎服务提供了渐进式的滚动升级策略，搭配容器镜像服务，通过web界面一键完成应用版本升级，无忧实现业务平滑替换，提高业务连续性，保障优质的用户体验感。 云容器引擎提供集群、节点、容器多层面的状态监控，支持全时段的事件监控，应用日志查看，容器健康检查等功能，用户只需登陆容器引擎平台总览页面，即可将集群、网络、CPU、内存资源等信息尽收眼底，时刻把握集群情况，并快速定位故障发生原因，减少运维人力，提高运维效率。 轻松应对 云容器引擎提供了应用层级别的水平伸缩能力，即Horizontal Pod Autoscaling（HPA），支持用户自定义Pod伸缩策略，根据容器资源使用情况，自动快速调整Pod数量，及时应对用户业务流量变化，保障业务对外能力可用。 云容器引擎支持应用与节点、应用间的亲和、反亲和性质的调度策略配置，帮助用户实现节点负载的合理安排和组织，提高系统的稳定性、扩展性。提高各节点的资源利用效率。支持Pod级别迁移策略配置，当节点出现故障时可快速迁移应用。 开放兼容 云容器引擎服务深度整合了天翼云平台成熟的计算、存储、网络、安全等云产品功能，提高了系统的可扩展性。用户可集合平台提供的其它云产品能力，如云主机监控、存储管理等，进一步构建完善云上业务系统。 云容器引擎在Docker技术的基础上，为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等一系列完整功能，提高了大规模容器集群管理的便捷性。云容器引擎基于业界主流Kubernetes实现，完全兼容Kubernetes/Docker社区原生版本，与社区最新版本保持紧密同步，完全兼容Kubernetes API和Kubectl。 特色功能 镜像仓库：容器引擎为用户提供了配套的镜像仓库管理服务，支持创建仓库及镜像管理等基础功能，并为用户提供了丰富的官方镜像资源，覆盖面广，满足用户不同的业务需求，保障了镜像的可靠性与安全性。用户无需自行搭建和运维仓库，即可一键快速完成业务容器化部署，提高业务容器化效率。 天翼云平台为用户提供了专业的售后运营团队，全天候724小时服务。用户可通过工单、电话等渠道，对产品故障进行反应。团队将及时响应，并快速定位问题，解决客户的疑难杂症。

此小节介绍数据库安全如何配置隐私数据保护规则。 当需要对输入的SQL语句的敏感信息进行脱敏时，您可以通过开启隐私数据脱敏功能，以及配置隐私数据脱敏规则，防止数据库用户敏感信息泄露。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要配置隐私数据保护规则的实例。 6. 选择“隐私数据保护”页签。 7. 开启或关闭“存储结果集”和“隐私数据脱敏”。 存储结果集 建议关闭 。关闭后，数据库安全审计分析平台将不会存储用户SQL语句的结果集。 说明 如果用于PCI DSS/PCI 3DS CSS认证，禁止开启。 隐私数据脱敏 建议开启 。开启后，您可以通过配置隐私数据脱敏规则，防止数据库敏感信息泄露。 8. 单击“添加自定义规则”，在弹出“添加自定义规则”对话框中设置数据脱敏规则，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 规则名称 自定义规则的名称。 test 正则表达式 输入需要配置的正则表达式。 替换值 输入正则表达式脱敏后的替换值。

本章节为您介绍如何将已添加到数据安全中心DSC防护的对象存储OBS桶删除。 将对象存储OBS桶删除后，该资产在DSC服务里建立的相关任务模板以及扫描任务结果报告都将被删除，且无法恢复。 前提要求 需要完成对象存储OBS资产委托授权，参考云资源委托授权/停止授权步骤进行操作。 需要删除的对象存储OBS资产未被应用在敏感数据识别任务中。 注意 如果需要删除的OBS资产已被应用在敏感数据检测任务中，请先解绑资产或者删除任务，再参照本章节删除资产。 OBS资产删除后无法恢复，资产相关的任务模板，任务结果，报表都将删除，请谨慎操作。 操作步骤 1.登录管理控制台。 2.点击左上角的，选择区域或项目。 3.点击左侧导航树的，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，进入OBS资产列表页面。 5.在OBS资产列表中，在需要删除的OBS资产所在行的“操作”列，单击“删除”。 6.在弹出窗口中，单击“确定”。

本节介绍了在RabbitMQ实例中如何创建、修改和删除用户。 背景信息 客户端访问分布式消息服务RabbitMQ 版服务端时，需要传入用户名和密码进行权限认证，认证通过才允许访问服务端。 操作步骤 创建用户 1.登录管理控制台。 2.进入RabbitMQ管理控制台。 3.在实例列表页在操作列，目标实例行点击“管理”。 4.点击“集群管理”后点击“用户”到达用户管理页面，点击“新建”按钮。 5.点击“新建”后出现以下画面，输入用户密码后点击“确定”即可创建。 修改用户 1.在用户管理页面，在目标用户行点击“修改”，即可重置用户密码。 删除用户 1.在用户管理页面，在目标用户行点击“删除”，即可删除用户。 获取用户token 仅云原生引擎支持 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“集群管理”后点击“用户”到达用户管理页面，点击“Token”按钮。 在RabbitMQ中，获取用户令牌（token）的作用如下： 认证和授权：用户令牌用于认证和授权用户对RabbitMQ的访问权限。通过获取有效的用户令牌，可以验证用户的身份，并根据其权限配置来限制或授予其对虚拟主机、队列、交换机等资源的访问权限。 安全性：通过使用用户令牌进行认证，可以增加RabbitMQ系统的安全性。只有具有有效令牌的用户才能访问和执行相应的操作，从而减少了未经授权的访问和潜在的安全风险。 资源管理：用户令牌可以用于管理和限制用户对RabbitMQ资源的使用。通过为每个用户分配独立的令牌，可以控制其对虚拟主机、队列、交换机等资源的使用情况，避免资源滥用或过度消耗。 追踪和审计：通过用户令牌，可以追踪和记录用户对RabbitMQ的操作和访问历史。这对于安全审计、故障排查和性能优化等方面非常有用，可以帮助管理员了解系统的使用情况和问题定位。 总之，获取用户令牌是为了实现认证、授权和安全性，以及对RabbitMQ资源的管理和追踪。通过令牌，可以确保只有经过授权的用户才能访问和操作RabbitMQ，提高系统的安全性和可管理性。

资金解冻 资金冻结规则 为保障您的账户资金安全，若银行转账后款项 超过6个月未被认领 ，系统将自动对该笔资金进行冻结。冻结后，需要申请解冻，解冻完成后才可以继续认领。 资金解冻申请 1. 需要准备加盖公章的资金使用说明函模板。 2. 提交工单上传说明函模板附件，或联系客户经理，申请资金解冻。

本文为您介绍云审计服务的应用场景。 合规审计 助力企业用户业务系统符合监管标准，轻松通过等保、IT合规设计认证要求。 安全分析 对用户操作进行详细的记录，可用于越权分析、关键资源变更分析等。 操作追踪 当用户的资源出现异常变更时，云审计所记录的操作日志能帮助用户快速溯源，简化运维。 问题定位 云资源故障时，可通过事件列表快速检索事发时的可疑操作，极大程度提升问题定位的效率。

本节为您介绍如何购买开通数据安全中心服务。 数据安全中心提供两个服务版本：标准版和专业版，两种扩展包：数据库扩展包和OBS扩展包。您可以根据业务需求购买数据安全中心服务。 购买约束 降配：数据安全中心DSC不支持降低购买版本的规格。如果您需要降低购买的DSC规格，可以先退订当前的DSC，再重新购买较低版本的DSC。 绑定关系：数据库扩展包和OBS扩展包与DSC版本绑定，不能单独续费或退订。 规格限制 1个数据库扩展包含1个可添加数据库（支持RDS、DWS、ECS自建数据库、DLI、Elasticsearch、ECS自建大数据等）资产。 1个OBS扩展包含1T体量，即1024G。 操作步骤 1. 登录管理控制台。 2. 点击左上角的，选择区域或项目。 3. 点击左侧导航树中的，选择“安全与合规 >数据安全中心”。 4. 首次购买DSC，在界面左侧，单击“立即购买”。 5. 选择“区域”和“版本规格”，并选择“数据库扩展包”和“OBS扩展包”的数量。 扩展包： 1个数据库扩展包含1个可添加数据库（支持RDS、DWS、ECS自建数据库、DLI、Elasticsearch、ECS自建大数据等）资产。 1个OBS扩展包含1T体量，即1024G。 6. 数据安全中心可以选择1个月～3年的时长。 说明 勾选“自动续费”后，当服务期满时，系统会自动按照购买周期进行续费。 7. 在页面的右下角，单击“立即购买”。 8. 确认订单无误后，阅读并勾选“我已阅读并同意《数据安全中心免责声明》”，单击“去支付”。 9. 进入“付款”页面，请选择付款方式进行付款。

本文介绍如何处理“不小心将CentOS根目录权限设置成777”的问题。当您出现类似问题时可参考本文。 问题描述 当您不小心执行了chmod R 777 /命令，导致CentOS云主机根目录以及下边的所有文件权限均被设置成了对所有用户都是可读、可写和可执行的。本文操作介绍如何修复该问题，但为了避免安全风险，建议您在进行完操作后立即备份数据并重装系统。 操作步骤 以下操作在CentOS8.0操作系统中进行了测试验证。 1. 不要退出故障云主机，在故障云主机上执行以下命令，修改ssh以及su相关的文件权限。 cd /etc chmod 644 passwd group shadow chmod 400 gshadow cd /etc/ssh chmod 600 moduli sshkey chmod 644 sshconfig ssh.pub chmod 640 R sshdconfig sshconfig.d chmod 711 /var/empty/sshd chmod u+s 'which su' 2. 执行systemctl status sshd 查看sshd状态，如果为错误状态，请查看错误原因，修改相关文件权限，直到sshd状态正常，然后进入下一步。 3. 创建一台权限正常的临时云主机：Linux操作系统，内核版本与故障云主机相同。 4. 执行以下命令，将所有文件的权限记录下来。 getfacl R / >systemp.bak 5. 使用scp命令将systemp.bak文件上传到故障云主机中，或者在故障云主机中下载该文件。 6. 在故障云主机中进行权限恢复操作。 setfacl restoresystemp.bak 7. 执行reboot命令重启操作系统。绝大多数系统文件的权限已经被恢复，但为了安全，请及时备份数据并重装系统。

设置高可用虚拟 VIP } garpmasterdelay 1 设置当切为主状态后多久更新 ARP 缓存 garpmasterrefresh 5 设置主节点发送 ARP 报文的时间间隔 trackinterface { eth0 使用绑定 VIP 的网卡 例如 eth0 } } > 2.3 启动keepalived： > > 3、在port为port5oq20ui7dl的实例中做同样的上述操作，keepalived的配置文件响应的地址需要修改下，然后启动keepalived服务。 注意 1、您需要将配置文件中的通信方式配置为单播通信方式做心跳检测。 2、您需要修改下配置文件中的vrrpgarpmasterrefresh参数，避免由于主备频繁切换或网络抖动等异常情况导致主备切换失败，建议配置值为 5s 。 步骤四：将虚拟IP与主备弹性云服务器绑定 点击绑定服务器，弹出的对话框中， 4.1 选择“服务器类型”：云主机/物理机 4.2 选择网卡：云主机支持多网卡，可选择主网卡/扩展网卡(需确保网卡与虚拟IP在同一子网内才可绑定）。 步骤五：放通安全组规则 放通绑定虚拟IP的弹性云服务器所在的安全组，即放通对端入向安全组规则协议为Any。 说明 1、出向默认是全通的，如果有做限制，请放通出向规则协议为Any。

本节介绍了用户数据注入的使用场景、使用限制、使用方法、关于Linux云主机的用户数据脚本、关于Windows弹性云主机的用户数据脚本等内容。 使用场景 当您有如下需求时，可以考虑使用用户数据注入功能来配置弹性云主机： 需要通过脚本简化弹性云主机配置 通过脚本初始化系统 已有脚本，在创建弹性云主机的时候一并上传到服务器 其他可以使用脚本完成的功能 使用限制 Linux： 用于创建弹性云主机的镜像安装了Cloudinit组件。 用户数据大小限制：小于等于32KB。 如果通过文本方式上传用户数据，数据只能包含ASCII码字符；如果通过文件方式上传用户数据，可以包含任意字符，同时，要求文件大小小于等于32KB。 必须是公共镜像，或继承于公共镜像的私有镜像，或自行安装了Cloudinit组件的私有镜像。 必须满足相应Linux弹性云主机自定义脚本类型的格式要求。 使用的VPC网络必须开启DHCP，安全组出方向规则保证80端口开放。 选择“密码”登录方式时，不支持用户数据注入功能。 Windows 用于创建弹性云主机的镜像安装了Cloudbaseinit组件。 用户数据大小限制：小于等于32KB。 如果通过文本方式上传用户数据，数据只能包含ASCII码字符；如果通过文件方式上传用户数据，可以包含任意字符，同时，要求文件大小小于等于32KB。 必须是公共镜像，或继承于公共镜像的私有镜像，或自行安装了Cloudbaseinit组件的私有镜像。 使用 VPC网络必须开启DHCP，安全组出方向规则保证80端口开放。

购买弹性云主机 1. 登录天翼云“控制中心(控制台)”，在页面上方选择用户对应购买弹性云主机的地域，例如“福州3”。选择“计算”大类下的“弹性云主机”产品。或是在天翼云官网首页点击“立即订购”。 2. 单击“创建弹性云主机”。 配置弹性云主机实例规格 1. 选择计费模式“包年/包月”或是“按量付费”。 2. 完成页面必填项的选择，例如地域、主机名称、规格、镜像类型、存储等。 说明 创建弹性云主机过程，请您根据规格特性，选择符合业务需求的弹性云主机规格。请参考： 使用弹性云主机需要您支付相应费用，详细请见： 创建弹性云主机需要配置系统盘与数据盘，如果您对存储性能有要求，请参考： 您需要为存储支付相应的费用，详细请见： 网络配置 1. 选择弹性云主机对应的网络配置选项含网卡、扩展网卡、安全组、弹性IP等，根据页面提示完成操作。 2. 点击“下一步：高级配置”按钮。 说明 安全组是控制弹性云主机访问策略的组件，相关概念与操作，请参考： 如果您有访问公网的需求，请您使用弹性IP，相关概念与应用场景，请参考： 您需要为弹性IP支付相应的费用，详细请见：

应用场景 使用CherryStudio加载DeepSeek大模型的应用场景如下： 1. 学习研究 ：学生用其整理复习资料、辅助学术研究、助力论文写作；研究人员用于文献综述、分析问题等。 2. 工作办公 ：项目管理中生成报告、分析风险；内容创作时构思创意、撰写文案；代码开发里获取代码示例、解决问题。 3. 生活娱乐 ：作为智能聊天伙伴解闷陪伴，为创意活动如绘画等提供灵感启发。 4. 知识管理 ：个人可构建知识体系，团队能实现知识共享。 注意 建议使用天翼云提供的DeepSeek镜像创建云主机，减少安装过程中可能遇到的问题。镜像选择请参考在天翼云使用Ollama运行DeepSeek的最佳实践7B等版本弹性云主机最佳实践AIGC实践 天翼云。 操作步骤 一、 云主机端口配置更新 首先，您需要登录天翼云控制中心，对部署DeepSeek大模型的云主机添加新的端口开放操作。通过天翼云控制台进入部署了DeepSeek大模型的云主机详情页，选择安全组，添加新的开放端口，建议选择新加114343端口，该端口是 Ollama 服务默认监听的端口。添加完成后，可在安全组规则列表中查看新添加的11434 端口规则，确认其状态为正常生效。 随后进入控制台，远程登陆即将安装AnythingLLM的云主机。