安全可靠，稳定高效 轻量型云主机注重安全性，可实现网络隔离，提供防火墙保护，有效减轻外部攻击威胁。 轻量型云主机提供监控服务，支持24小时实时监控服务运行情况，并提供直观的图形监控信息查看，帮助用户快速定位服务问题，获取服务运行状态。

本节为您介绍数据安全中心产品优势。 云上全场景覆盖 通过整合云上各类数据源，提供一站式数据保护和防御机制。不仅支持结构化类型数据，还支持非结构化类型数据，支持云原生和ECS自建场景。 全生命周期可视化 将数据安全全生命周期各阶段的状态整合起来，并通过可视化方式展示云上数据安全态势。 高效识别数据源 通过专家知识库和NLP的双重加权，提升识别能力，精确高效地锁定敏感数据源。 全方位敏感数据防护 根据敏感数据发现策略，精准识别数据库中的敏感数据，并结合多种预置脱敏算法和用户自定义脱敏算法，实现全方位的敏感数据防护。

连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云服务器上，且该弹性云服务器与关系型数据库实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云服务器与关系型数据库实例。 安全性高，可实现RDS的较好性能。 推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问RDS实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云服务器（或公网主机）与关系型数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的RDS实例在同一子网的，使用内网连接。

规格/特性名称 规格/特性说明 体验版 基础版 专业版 企业版 代码检查并发 租户内并发执行的代码检查任务数量。 1个 5个 10个 20个 代码检查执行时长 租户每个月累计代码检查任务执行时长。 1800分钟/月 不限 不限 不限 基础语言支持 Java、C/C++、Python、JavaScript、TypeScript、ArkTs。 √ √ √ √ 进阶语言支持 除基础语言外，支持多种常用开发语言，如C、CSS、Go、HTML、PHP等。 × √ √ √ 叠加代码安全检查增强包 允许叠加购买代码安全检查增强包，增加用户深度检查代码安全类隐患的能力（例如跨文件跨函数、污点分析、语义分析能力）。 × × √ √ 缺陷扫描 及时发现代码中潜藏的质量类（包括风格类）、安全类的代码缺陷。 √ √ √ √ 缺陷修复 提供缺陷修改建议，帮助团队成员修复问题进而提升代码质量。 √ √ √ √ 缺陷管控 自动生成问题列表，提供多指标展示缺陷的在线看板，支持缺陷报告的导出。 √ √ √ √ 通知管理 支持将任务状态通过动态提醒，邮件，钉钉，企业微信形式通知给相关用户，加速用户解决问题的效率。 √ √ √ √ 质量门禁 提供多维度的门禁项（致命、严重、一般、提示），帮助团队了解项目是否已准备好投入生产。 √ √ √ √

连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云主机上，且该弹性云主机与关系型数据库实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与关系型数据库实例。 安全性高，可实现RDS的较好性能。 推荐使用内网连接。 公网连接 弹性IP 不能通过内网IP地址访问RDS实例时，使用公网访问，建议单独绑定弹性IP连接弹性云主机（或公网主机）与关系型数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的RDS实例在同一子网的，使用内网连接。

本小节介绍服务器安全卫士的扩容步骤。 扩容步骤 1.登录云平台，进入控制中心“服务器安全卫士”界面，点击需要扩容订单对应的“扩容”按钮，进入扩容页面。 2.选择要增加的授权数量，提交订单。 注意 只能增加授权数量，不能减少数量。 扩容页面

连接方式 IP地址 使用场景 说明 通过内网连接实例 内网IP地址 系统默认提供内网IP地址。当应用部署在弹性云主机上，且该弹性云主机与云数据库GaussDB 实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与云数据库GaussDB 实例。 安全性高，可实现云数据库GaussDB 的较好性能。l 推荐使用内网连接。 通过公网连接实例 弹性公网IP 不能通过内网IP地址访问云数据库GaussDB 实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云主机（或公网主机）与云数据库GaussDB 实例。 降低安全性。l 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的云数据库GaussDB 实例在同一子网，使用内网连接。

本页介绍了文档数据库服务开发建议。 开发规范与建议 使用适当的安全措施：在使用MongoDB时，需要使用适当的安全措施来保护数据库。例如，使用访问控制、SSL加密、身份验证等方式来确保数据库的安全性。 优化查询性能：在查询MongoDB数据库时，需要优化查询性能，以便快速地检索所需的数据。可以使用索引、限制返回字段、使用游标等方式来提高查询性能。 设计优化的数据模型：在设计MongoDB数据库时，需要考虑数据模型的性能和可扩展性。使用嵌入式文档结构可以提高查询性能和减少数据访问的次数。此外，需要根据应用程序的需求来设计适当的索引，以便快速地访问数据。 数据库连接方式 推荐使用连接串方式。 示例： 连接串方式： mongo mongodb://@ip1:8030,ip2:8030/admin?authSource&replicaSetDDS

配置项 说明 安全策略名称 策略名称，如testoidc 登录重定向地址 登录完成后重定向到的目标服务地址 callbackUrl 基于重定向地址拼接生成的重定向URL OIDC颁发者URL OIDC颁发者的地址，用于发现IDP的配置信息 颁发者提供的客户端ID(ClientID) IDP授权接入的客户端的ID 颁发者提供的客户端密钥(ClientSecret) IDP授权接入的客户端的Secret Cookie密钥 用于对Cookie进行加解密，保证Cookie安全性 Cookie过期时间(s) 到达该时间后Cookie会过期，设置为0则在浏览器关闭时Cookie才会过期 Cookie刷新时间(s) 每间隔该时间刷新Cookie，设置为0关闭 用户信息范围Scopes 获取用户的信息范围配置

本文为您介绍通过设置密钥轮转来加强密钥使用的安全性最佳实践。 KMS提供密钥轮转功能实现密钥版本化，从而加强密钥使用的安全性，有效提升业务数据加密的安全性。本文为您介绍如何配置对称密钥和非对称密钥的轮转。 密钥轮转的必要性 密码合规要求 相关行业标准中明确规范，要求密钥进行周期性轮转。 减少每个密钥版本加密的数据量，降低密码分析攻击风险 一个密钥的安全性与被它加密的数据量呈反相关。数据量通常是指同一个密钥加密的数据总字节数。通过定期轮转密钥，可使每个密钥具有更小的密码分析攻击面，使加密方案整体具有更高的安全性。 减少密钥破解的时间窗口 如果在定期轮转密钥的基础上，将旧密钥加密的密文数据用新密钥重新加密，则轮转周期即为一个密钥的破解时间窗口。这意味着恶意者只有在两次轮转事件之间完成破解，才能拿到数据。 密钥版本概述 KMS中的用户CMK支持多个密钥版本。每一个密钥版本是一个独立生成的密钥，同一个CMK下的多个密钥版本在密码学上互不相关。 对称密钥版本 密钥版本可通过自动轮转策略，由系统自动生成，对称密钥的版本分为主版本和非主版本。 一个对称密钥版本包含一个主版本和多个非主版本。密钥创建后KMS会生成初始密钥版本并将其设置为主版本，轮转后会生成一个新的密钥版本，并将新的密钥版本设置为主版本，原版本设置为非主版本； 在调用对称密钥进行加解密操作时，KMS默认使用主版本实现； 密钥轮转产生新的主版本后，KMS不会删除或禁用非主版本，它们需要被用作解密数据。

本文简述天翼云边缘安全加速产品回源相关的功能和配置。 功能介绍 回源配置模块主要介绍源站地址、回源协议、源站端口、回源HOST、回源URI改写等功能及配置说明。 相关功能 功能 说明 源站配置 回源配置模块支持客户自定义源站。支持IP或域名，支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源协议 回源协议指边缘加速节点回源站请求资源时使用的协议。配置该功能后，边缘加速节点将根据指定的协议回源。边缘加速支持HTTP回源协议、HTTPS回源协议、跟随客户端请求使用的协议回源三种回源协议。 源站端口 源站端口，是指源站接收用户请求时所用的端口，一般http协议和https协议使用不同的源站端口。 回源HOST 当源站同时服务多个站点，且回源站点与加速域名不同时，您需要配置回源HOST，天翼云边缘加速产品在回源时会根据配置的回源HOST信息去访问对应站点。 回源SNI 如果一个源站IP地址绑定多个域名，且边缘加速使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源URI改写 回源URI改写可以实现在用户请求回源时对回源URI进行改写，配置回源URI改写功能后，边缘加速节点向源站发起回源请求时将使用改写后的URI。 回源参数改写 回源参数改写功能可改写回源请求URL中的查询参数，即问号后的参数值。可支持参数的新增、删除、修改，以及保留或忽略所有参数。 301/302跟随回源 配置301/302跟随回源功能后，边缘加速节点会代替用户去处理源站响应的301/302状态码内容，即边缘加速节点会直接跳转到源站301/302响应中的Location地址请求资源，不会把源站响应的301/302跳转地址直接返回给用户，让用户自己去请求跳转地址的资源。 回源超时时间 回源请求超时时间是指在代理服务器向上游服务器（源服务器）发起请求时，等待接收上游服务器的响应所允许的最长时间，这个超时时间的设置对于应对上游服务器响应慢、连接问题或者其他异常情况至关重要。 私有Bucket 加速域名的回源地址可以使用客户自有源站或者天翼云媒体存储【即对象存储（融合版）】,若客户使用媒体存储【即对象存储（融合版）】作为源站，在新建Bucket时选择【私有】时，需要配置私有Bucket回源功能。

本文介绍多台云主机实例批量挂载同一文件系统的操作方法。 操作场景 海量文件服务适用于共享访问的场景，当业务中需要使用多台云主机访问同一文件系统时，您可以通过我们提供的脚本，填写配置文件、执行脚本命令，实现多台云主机批量挂载同一文件系统，减少操作时间，提高工作效率。 注意 执行批量挂载的云主机实例需要与文件系统归属于同一资源池的同一VPC下。 目前仅支持Linux操作系统的云主机，请参考使用限制。 仅支持root账户进行批量挂载操作。 务必按照本文中要求的固定格式填写需要执行批量挂载的云主机的相关信息。 请保证本文中创建的inventory、autobatchmount.sh文件与mountnfs.yml文件在同一目录下，否则会导致挂载失败。 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行批量挂载操作的任何一台云主机。 3. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机。 4. 创建并填写配置文件inventory。 1）在Linux vi命令行工具中依次执行以下命令创建配置文件inventory并打开。 plaintext touch inventory plaintext vi inventory 2）将按照下述格式填写的内容复制到配置文件inventory中，保存并退出。需要将各参数替换成相应的实际值，各参数说明见下方表格。配置文件内容可在Windows记事本中或者Linux vi命令实现编辑，供后续使用。复制完成后输入 :wq保存并退出。 plaintext [all:vars] sharepath挂载地址 [targethost] 弹性IP passwdroot用户密码 localpath本地挂载路径 弹性IP passwdroot用户密码 localpath本地挂载路径 弹性IP passwdroot用户密码 localpath本地挂载路径 …… 参数 说明 云主机弹性IP 在云主机详情页中“弹性IP”页签获取该云主机公网IP的IP地址。 root用户密码 root用户密码。 本地挂载路径 本地挂载路径为云主机上用于挂载文件系统的本地路径，本操作中将通过脚本自动创建，无须额外创建。 挂载地址 可在文件系统详情页获取。 5. 创建批量挂载脚本autobatchmount.sh。 1）创建脚本文件，并打开： plaintext touch autobatchmount.sh plaintext vi autobatchmount.sh 2）将下列内容复制到挂载脚本中，保存退出 （:wq）： plaintext

本章节介绍主子账号体系内容 概述 云原生网关目前已接入主子账号体系，通过主账号对子账号并对其分配访问权限，用户可以实现对企业中云服务和资源的访问及操作权限，避免账号滥用。主子帐号支持数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系进行权限管理。 术语解释 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 说明 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 云原生网关中提供了两种系统策略：cgw viewer只读权限，只能对实例资源进行读操作；cgw admin管理权限，可以对实例资源进行管理维护，包括读与写操作，等同于主账号访问权限。 自定义策略： 创建自定义策略可以支持更细粒度的授权，对于云原生网关，可以自定义功能访问权限以及资源访问权限。 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

本文介绍无法远程登录Windows云主机怎么办。 无法远程登录Windows云主机可以使用以下方式进行问题排查。 1. 检查弹性IP是否能ping通。 以下情况为本地客户端无法ping通目标ECS实例公网IP： 1. 本地客户端为Linux系统，ping目标ECS实例公网IP时无响应，如图所示。 2. 本地客户端为Windows系统，打开本地终端，或使用快捷方式，按 win + r，输入cmd，执行：ping ping目标ECS实例公网IP时提示请求超时错误，如图所示。 如果不能ping通，请参见文档”ping不通或丢包时如何进行链路测试？“进行检查。 如果能ping通，请执行2。 2. 检查弹性云主机的3389端口是否能够访问。具体操作方法可参考文档：如何检查端口可用性。 如果不能访问，请检查安全组是否开放3389端口。 如果能访问，请执行3。 3. 检查弹性云主机内的RDP服务是否存在异常。 登录同一内网段的其他Windows主机，在该主机上远程登录问题主机。 如果不能登录，说明RDP服务可能存在异常，通过VNC登录到问题主机，查看RDP服务是否存在异常，重启RDP服务后，重新尝试连接。 请按照以下方法重启RDP服务。 单击“开始”，选择“运行”，输入“services.msc”。 在服务列表中，选择“Remote Desktop Services”服务，重新启动该服务。 4. 查看弹性云主机是否修改远程连接端口。 查看“HKEYLOCALMACHINESystemCurrentControlSetControlTerminalServerWinStationsRDPTcpPortNumber”下，配置的端口是否是默认的3389，若不是，远程连接的时候将端口改为配置中的端口。 5. 查看弹性云主机是否限制连接数量。 检查OS内部远程桌面配置： 单击“开始”，选择“运行”，输入“gpedit.msc ”，打开组策略。 选择“计算机配置 > 管理模板 > 远程桌面服务 > 远程桌面会话主机 > 连接 ，“打开“限制连接的数量”，查看是否启用限制。 说明 如果此处有配置最大连接数，可能导致Windows远程登录无法连接，如果同时有多个用户正在登录该主机，且数量已经超过最大连接数，此时最大连接数外的用户接收不到该主机的仲裁，导致会话会一直处于正在配置中的状态。 请选择禁用该配置或者设置更大的最大连接数。 6. 其它解决方案 通过上述排查后，仍然不能连接 Windows 实例，请您保存自助诊断结果，通过提交工单联系天翼云的技术支持寻求帮助。

本章节介绍如何进行MCP服务的注册与配置管理 概述 MSE Nacos 企业版支持MCP（Model Context Protocol，模型上下文协议）服务的注册与配置管理。MCP是一种开放标准，旨在统一大型语言模型（LLM）与外部数据源和工具之间的通信协议，解决当前 AI 模型数据孤岛限制，使得 AI 应用能够安全地访问和操作本地及远程数据。 说明 目前只有 MSE Nacos企业版3.0及以上版本支持MCP服务。您可以根据业务需求的不同，选择微服务引擎注册配置中心提供的三种MCP服务创建方式： 标准MCP服务：从零构建完整MCP配置。 HTTP转化MCP服务：将存量HTTP服务转换为MCP服务。 动态注册MCP服务：通过Nacos SDK实现服务自动注册。 创建MCP服务 在微服务引擎MSE注册配置中心管理控制台可以创建标准MCP服务和HTTP转化MCP服务，下面分别说明创建操作步骤： 创建标准MCP服务 1. 登录微服务引擎 MSE注册配置中心管理控制台，选择实例所在的资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，选择企业版Nacos实例，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击MCP管理 > MCP列表，选择命名空间， 然后单击创建MCP服务，并单击标准MCP服务页签。 4. 在标准MCP服务页面，配置服务名称、描述、版本号等基本信息，其中重要参数说明如下： MCP协议类型： Stdio：无网络依赖，只能访问本地资源无法访问云端资源，数据不会传输到外部，适用于本地开发调试，离线环境验证。 SSE：支持远程访问，仅支持服务端到客户端的单向流，适用于服务推送等单向实时通信场景，延迟低、兼容性强。 Streamable HTTP：基于标准的HTTP协议，双向通信，可灵活切换流式、非流式连接，适合正式环境部署和跨网络通信（如混合云/跨VPC）以及分布式系统。这是目前官方推荐的远程通信方式。 后端服务： 使用已有服务：如果您的MCP服务已经通过控制台或SDK注册到MSE Nacos中，可直接选择。 新建服务：如果您的MCP服务尚未注册到MSE Nacos中，需要配置服务 IP/服务域名（域名不能包含中文）、服务端口及访问路径（必须以/开头，如/v1/mcp）。 5. MCP工具为选填项，工具可以包含0个或者多个。点击添加工具按钮，可以添加1个工具，包括工具名称、工具描述、参数信息。其中参数包括：参数名称、参数类型可从下拉框选择，参数描述信息。 参数可以添加0个或者多个，参数信息可以嵌套，可以实现复杂的嵌套参数。添加的参数在服务保存或发布后生效。 6. 信息填写完毕后，点击发布。

关系数据库MySQL版支持为部分已创建的实例切换虚拟私有云VPC,并根据实际需要设置子网。本文介绍为实例切换VPC/子网的功能和操作步骤。 注意 除广州4，苏州外II类型资源池都支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 约束限制 如果主实例已开通只读实例和数据库代理，则不支持切换VPC，需先进行退订。 使用云硬盘备份类型的实例不支持切换VPC，仅对象存储备份类型实例支持。 实例状态不为运行中时，可能会导致切换失败。 受底层网络限制，IPv4和IPv6的VPC和子网无法互相切换。 如果实例有IPv6地址，要求修改后的子网有开启IPv6功能。如果实例没有IPv6地址，要求修改后的子网关闭IPv6功能。 切换VPC时，不可进行弹性IP与IPv6带宽绑定，可于切换后操作。 可用IP数量不足可能导致切换失败，可重试切换VPC或选择其他VPC。 切换VPC后，会为您将切换后的VPC网段加入到白名单配置中，旧的VPC网段可自行前往IP白名单删除。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在网络 区域，单击虚拟私有云 参数右侧的切换VPC/子网。 5. 在对话框内选择需要切换的VPC，然后选择需要的子网和安全组。 注意 如仅修改子网，则选择同VPC下的其他子网即可，您需注意：子网修改后连接地址会发生变化，会自动将新的网段加入到白名单，可自行前往修改。 6. 勾选同意框，并单击确定，开始切换VPC和子网，期间服务不可用。 切换后，实例状态重回运行中。 您可以在网络区域，看到新的VPC信息。 注意 为防止实例异常影响使用，执行VPC和子网切换后，请确保切换后的网络已加入到白名单中。 切换VPC期间会重启导致服务不可用，并会更换实例的连接地址，请在切换VPC后及时将业务中的连接地址进行变更，建议在业务低峰期切换。 切换VPC后，连接地址会发生切换，如果此前绑定了弹性IP，则会为您将弹性IP绑定到新的连接地址，IPV6带宽与内网域名同理，都会为您自动绑定到新的连接地址。

创建学生AI云电脑 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“AI云电脑管理”菜单栏，选择“桌面管理”，点击“创建桌面”，进入“创建桌面”页面； 3.来源选择为资源包或者单实例； 资源包方式开通：管理员可通过已订购资源包，通过资源包的资源分配方式开通AI云电脑，无需单独付费。 单实例方式开通：管理员可以选择AI云电脑配置，直接通过付费完成AI云电脑的开通。 4.选择“Windows”系统类型; 5.选择规格类型为“普通AI云电脑”或“GPUAI云电脑”，再根据需求选择AI云电脑规格，学生AI云电脑推荐规格为4C8G。 普通AI云电脑：性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求。 GPUAI云电脑：满足学校教学， 普通图像办公，高清视频播放等需求。搭配高性能显卡及固态硬盘，具备更全面的图像加速能力，满足企业图形设计、图形渲染、3D制作等需求。 注：仅部分资源池支持开通GPUAI云电脑，实际规格类型以页面显示内容为准。 6.选择AI云电脑的“镜像类型”，开通学生AI云电脑时，选择“翼电教系统教育镜像（学生端）”； 注意 1.翼电教系统教育镜像中，已预装局域网广播、一键式批量控制终端、切换课程镜像的插件。 2.如果镜像类型中未找到“翼电教系统教育镜像”，可选择Windows Server 2019 Standard（推荐）镜像。 7.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 8.选择AI云电脑的“VPC”和“业务子网”。 注意 1.学生AI云电脑、教师AI云电脑需要在同一个VPC下。 2.AI云电脑所选的业务子网需要绑定宽带，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 9.选择账号类型，并填写分配电脑的账号信息。 管理员激活：管理员直接创建的账号，无需激活即可使用。 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 10.点击“应用选购”，在弹出的页面中选择“翼电教系统”并设置其属性。 客户端属性：创建学生AI云电脑时，选择“学生端”。（翼电教系统学生端不需要付费） 11.其他AI云电脑实例配置信息，根据需要自行配置； 12.确认相关的配置信息，点击“创建桌面”，即完成学生AI云电脑开通。

本章节主要介绍MySQL数据迁移到OBS。 操作场景 CDM支持表到OBS的迁移，本章节以MySQL>OBS为例，介绍如何通过CDM将表数据迁移到OBS中。流程如下： 1.创建CDM集群并绑定EIP 2.创建MySQL连接 3.创建OBS连接 4创建迁移作业 前提条件 已获取OBS的访问域名、端口，以及AK、SK。 已获取连接MySQL数据库的IP地址、端口、数据库名称、用户名、密码，且该用户拥有MySQL数据库的读写权限。 用户已参考管理驱动，上传了MySQL数据库驱动。 创建CDM集群并绑定EIP 1.参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 2.CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问MySQL。 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。 创建MySQL连接 1.在CDM集群管理界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面。 2.选择“MySQL”后单击“下一步”，配置MySQL连接的参数。 单击“显示高级属性”可查看更多可选参数，具体请参见 配置常见关系数据库连接。这里保持默认，必填参数如下表“MySQL连接参数”所示。 参数名 说明 取值样例 名称 输入便于记忆和区分的连接名称。 mysqllink 数据库服务器 MySQL数据库的IP地址或域名。 192.168.1.110 端口 MySQL数据库的端口。 3306 数据库名称 MySQL数据库的名称。 sqoop 用户名 拥有MySQL数据库的读、写和删除权限的用户。 admin 密码 用户的密码。 使用本地API 使用数据库本地API加速（系统会尝试启用MySQL数据库的localinfile系统变量）。 是 使用Agent 是否选择通过Agent从源端提取数据。 是 localinfile字符集 mysql通过localinfile导入数据时，可配置编码格式。 utf8 驱动版本 适配mysql的驱动。 Agent 单击“选择”，选择连接Agent中已创建的Agent。 单次请求行数 指定每次请求获取的行数。 1000 单次提交行数 支持通过agent从源端提取数据 1000 连接属性 自定义连接属性。 useCompressiontrue 引用符号 连接引用表名或列名时的分隔符号。默认为空。 ' 单次写入行数 指定单次批量写入的行数，当写入行数累计到单次批量提交行数时提交一次，该值应当小于单次提交行数。 100 3.单击“保存”回到连接管理界面。 说明 如果保存时出错，一般是由于MySQL数据库的安全设置问题，需要设置允许CDM集群的EIP访问MySQL数据库。

本节主要介绍怎么添加DNAT规则。 操作场景 公网NAT网关创建后，通过添加DNAT规则，则可以通过映射方式将您VPC内的云主机对互联网提供服务。 一个云主机的一个端口对应一条DNAT规则，如果您有多个云主机需要为互联网提供服务，则需要创建多条DNAT规则。 操作前提 已成功创建公网NAT网关。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入公网NAT网关页面。 3. 在公网NAT网关页面，单击需要添加DNAT规则的公网NAT网关名称。 4. 在公网NAT网关详情页面中，单击“DNAT规则”页签。 5. 在DNAT规则页签中，单击“添加DNAT规则”。 6. 根据界面提示，配置添加DNAT规则参数，详情请参见下表。 表 DNAT规则参数说明 参数 说明 使用场景 在使用DNAT为云主机面向公网提供服务场景下，此处选择虚拟私有云。 表示虚拟私有云中的云主机将通过DNAT的方式共享弹性IP，为公网提供服务。 端口类型 分为所有端口和具体端口两种类型。 所有端口：属于IP映射方式。此方式相当于为云主机配置了一个弹性IP， 任何访问该弹性IP的请求都将转发到目标云主机实例上。 具体端口：属于端口映射方式。 公网NAT网关会将以指定协议和端口访问该弹性IP的请求转发到目标云主机实例的指定端口上。 支持协议 协议类型分为TCP和UDP两种类型。 端口类型为具体端口时，可配置此参数，端口类型为所有端口时，此参数默认设置为All。 弹性IP 弹性IP地址。 这里只能选择没有被绑定的弹性IP，或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性IP， 或者被绑定到当前公网NAT网关中SNAT规则上的弹性IP。 公网端口 弹性IP的端口。当端口类型为具体端口时，需要配置此参数，有效数值为165535。 私网IP 在使用DNAT为云主机面向公网提供服务场景下，指云主机的IP地址， 表示此IP地址的云主机将通过DNAT方式为公网提供服务。 端口类型为具体端口时，需要配置私网IP的端口。 私网端口 在使用DNAT为云主机面向公网提供服务场景下，指云主机的端口号。 当端口类型为具体端口时，需要配置此参数，有效数值为165535。 描述 DNAT规则信息描述。最大支持255个字符。 7. 配置完成后，单击“确定”，完成“DNAT规则”创建。 说明 配置DNAT规则后，需在对应的云主机中放通对应的安全组规则，否则DNAT规则不能生效。

本文主要介绍磁盘备份 什么是磁盘备份 磁盘备份即云备份（Cloud Backup and Recovery，CTCBR），可以为磁盘创建在线备份，无需关闭云主机。针对病毒入侵、人为误删除、软硬件故障等导致数据丢失或者损坏的场景，可通过任意时刻的备份恢复数据，以保证用户数据正确性和安全性，确保您的数据安全。

连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云主机上，且该弹性云主机与关系型数据库实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与关系型数据库实例。 安全性高，可实现RDS的较好性能。 推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问RDS实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云主机（或公网主机）与关系型数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的RDS实例在同一子网的，使用内网连接。

本文简要介绍了如何创建组播域。 操作场景 您需要通过创建组播域来划分一个组播网络范围，仅在此组播域内的组播源和组播成员才能发送和接收组播流量。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录管理控制台。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 在系统首页， 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面 。 4. 在左侧导航栏，选择“组播”。 5. 进入组播操作页，在界面右侧详情区域单击“创建组播域”。 6. 在创建组播域对话框，根据以下信息进行配置，然后单击“确定”创建完成。 配置项 说明 组播域名称 输入组播域的名称。 组播域来源 选择组播域的来源，支持云间和云内两种方式，只可同时选择一项。 当组播域中存在通过专线从 IDC 机房接入组播源的场景，需要选择云间组播域。 当组播域中的组播源全部都在天翼云内部，不存在组播源为 IDC 机房的场景，需要选择云内组播域。 所属vpc 选择组播域关联的VPC。 成员加入方式 选择组播成员加入组播域的方式，支持动态加入和静态加入。成员动态加入和静态加入只可同时选择一项。 成员动态加入时，根据行情接收者 APP 所使用的 IGMP 版本选择IGMP 协议，IGMPv2、IGMPv3至少选择一个。 云间组播域选择IGMPv3协议时，需填写SSM组地址。SSM组地址默认为232.0.0.0/8，可输入范围格式如225.0.0.0/24225.100.100.0/24，多个IP地址间用“;”隔开。 成员静态加入时，需手动填写组播组地址，目前只支持填写单个地址且不可相同。 描述 输入组播域的描述信息。 注意 1、目前成员静态加入方式只支持云服务器的主网卡。系统将以该网卡的主私网IP地址接收组播流量。 2、一个组播组地址可以添加多个网卡。 3、组播接收云服务器所在的安全组需放通组播源的端口和地址。 4、知名组播地址（224.0.0.0～224.0.0.255，239.0.0.0～239.255.255.255）会做下发限制，暂不允许添加，如您的页面不支持添加知名组播地址的特殊入口，联系工单开放白名单功能。

本章节主要介绍批量管理作业。 操作场景 这里以表/文件迁移的作业为例进行介绍，指导用户批量管理CDM作业，提供以下操作： 作业分组管理 批量运行作业 批量删除作业 批量导出作业 批量导入作业 批量导出、导入作业的功能，适用以下场景： CDM集群间作业迁移：例如需要将作业从老版本集群迁移到新版本的集群。 备份作业：例如需要将CDM集群停掉或删除来降低成本时，可以先通过批量导出把作业脚本保存下来，仅在需要的时候再重新创建集群和重新导入作业。 批量创建作业任务：可以先手工创建一个作业，导出作业配置（导出的文件为JSON格式），然后参考该作业配置，在JSON文件中批量复制出更多作业，最后导入CDM以实现批量创建作业。 操作步骤 1.进入CDM主界面，单击左侧导航上的“集群管理”，选择集群后的“作业管理”。 2.单击“表/文件迁移”显示作业列表，提供以下批量操作： 作业分组 CDM支持对分组进行新增、修改、查找、删除。删除分组时，会将组内的所有作业都删除。 创建作业的第三步任务配置中，如果已经将作业分配到了不同的分组中，则这里可以按分组显示作业、按组批量启动作业、按分组导出作业等操作。 批量运行作业 勾选一个或多个作业后，单击“运行”可批量启动作业。 批量删除作业 勾选一个或多个作业后，单击“删除”可批量删除作业。 批量导出作业 单击“导出”，弹出批量导出页面，如下图。 图 批量导出页面 −全部作业和连接：勾选此项表示一次性导出所有作业和连接。 −全部作业：勾选此项表示一次性导出所有作业。 −全部连接：勾选此项表示一次性导出所有连接。 −按作业名导出：勾选此项并选择需要导出的作业，单击确认即可导出所选作业。 −按分组导出：勾选此项并下拉选择需要导出的分组，单击确认即可导出所选分组。 批量导出可将需要导出的作业导出保存为JSON文件，用于备份或导入到别的集群中。 说明 由于安全原因，CDM导出作业时没有导出连接密码，连接密码全部使用“Add password here”替换。 批量导入作业 单击“导入”，选择JSON格式的文件导入或文本导入。 −文件导入：待导入的作业文件必须为JSON格式（大小不超过1M）。如果待导入的作业文件是之前从CDM中导出的，则导入前必须先编辑JSON文件，将“Add password here”替换为对应连接的正确密码，再执行导入操作。 −文本导入：无法正确上传本地JSON文件时可选择该方式。将作业的JSON文本直接粘贴到输入框即可。

不同帐号下的弹性云主机内网是不通的。 不同的账号和内网地址之间存在隔离机制，这种隔离机制可以保护用户的数据安全和隐私，避免不同用户之间的数据泄露或恶意攻击。同时也可以避免不同用户之间的网络冲突和干扰，确保每个用户的应用程序和数据在网络传输过程中的安全性和稳定性。

本章节介绍数据库安全退订 产品退订 登录天翼云，进入控制中心数据库安全控制台，点击实例列表右侧“更多退订”，进入退订详情页面。 进入退订申请页面，包含退订须知、退订详情等信息，填写退订原因后，点击“退订”按钮提交即可。

资源类型 配置项 配置明细 说明 区域 区域 西安2 本最佳实践全部资源部署在西安2资源池 专有网络VPC 状态 新购 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC VPC名 vpcvsfl 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC 网段 192.168.0.0/16 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。

资源类型 配置项 配置明细 说明 区域 区域 西安2 本最佳实践全部资源部署在西安2资源池。 专有网络VPC 状态 新购 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC VPC名 vpcvsfl 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC 网段 192.168.0.0/16 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。

资源类型 配置项 配置明细 说明 区域 区域 西安2 本最佳实践全部资源部署在西安2资源池 专有网络VPC 状态 新购 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC VPC名 vpcvsfl 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC 网段 192.168.0.0/16 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。

本节介绍如何配置服务器安全卫士（原生版）的告警通知。 配置告警发送人 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“设置中心 > 告警通知”，进入告警通知页面。 3. 单击页面右上角的“通知配置”。 4. 在弹出的对话框中，单击“添加”，添加邮箱和手机信息。 说明 首次添加的用户需要验证邮箱及手机，单击图标即可验证邮箱及手机。完成验证后才会发送信息至对应用户。 5. 验证完成后即可正常发送告警通知至相关邮箱或手机号。 配置告警发送内容 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏选择“设置中心 > 告警通知”，进入告警通知页面。 说明 服务器安全卫士告警事件存在部分发送限制，具体请您参考告警发送限制章节。 3. 告警通知配置 根据您的使用场景进行告警通知配置。 配置项 说明 告警开关 自定义开启需要通知的事件类型。 告警时间 事件发生时实时发送告警通知。 说明 可根据您业务自身需求选择以下两种发送时间： 8:0020:00 全天 通知方式 通过邮件、短信方式发送告警通知。 告警项 根据威胁等级自定义发送通知。 4. 配置完成后单击“保存配置”，界面弹出“保存告警设置成功”提示信息，则说明告警通知配置成功。

本文介绍了天翼云AOne会议视频相关问题。 无法使用摄像头怎么办？ Web端（以Chrome浏览器为例）：访问 “隐私与安全性”>“摄像头”，确认“AOne会议”已被授予摄像头访问权限。 macOS客户端：前往系统“设置”>“隐私与安全性”>“摄像头”，在列表中开启“AOne会议”的权限，设置完成后请重启AOne会议客户端。 iOS客户端：前往系统“设置”>“隐私与安全性”>“摄像头”，在列表中打开“AOne会议”的权限，设置完成后请重启AOne会议客户端。 Android端：前往系统“设置”>“隐私与安全性”>“摄像头”，在列表中打开“AOne会议”的权限，设置完成后请重启AOne会议客户端。 视频无法正常开启怎么办？ 请按以下方式排查摄像头无法开启的问题： 1. 检查是否有其他应用（如其他会议程序、微信、钉钉等）正在占用摄像头。 2. 关闭所有其他程序并重启电脑。 3. 尝试更新摄像头驱动程序至最新版本。 开摄像头背景杂乱怎么办？ 您可以使用背景虚化功能来减少背景干扰。操作路径：点击“设置”>“虚拟背景与美颜”>“虚化”。 注：iOS端与Web端暂不支持虚拟背景功能。

常用的RAID级别 RAID是一种磁盘阵列技术，常用的RAID级别包括RAID 0、RAID 1、RAID 5、RAID 6、RAID 10、RAID 50和RAID 60，每种级别都具有不同的特点和适用场景。 RAID 0 RAID 0采用条带化（Striping）的方式将数据分散到多个硬盘上，以提高存储性能。数据并行操作可以充分利用总线带宽，但没有数据冗余，不具备容错功能，适用于对I/O要求较高但数据安全性要求较低的场景。 RAID 1 RAID 1采用镜像（Mirroring）的方式，每个工作盘都有一个镜像盘，实现数据的完全冗余。数据写入时同时写入镜像盘，读取时可以从工作盘或镜像盘读取。RAID 1具有较高的数据可靠性，但有效容量减少一半，适用于对容错要求较高的场景，如财政、金融等领域。 RAID 5 RAID 5通过循环冗余校验（CRC）和数据分散存储，实现数据的容错和高性能。数据和校验数据分布在RAID的各成员盘上，当某个盘发生故障时，可以通过其他盘上的数据重新构建故障盘的数据。RAID 5适用于大数据量操作和事务处理，提供快速、大容量和合理的容错磁盘阵列。 RAID 6 RAID 6在RAID 5的基础上增加了第二个独立的奇偶校验信息块，提供更高的数据可靠性。即使同时发生两块磁盘故障，数据仍然可用。但相对于RAID 5，RAID 6需要更大的磁盘空间用于奇偶校验，写性能较差。 RAID 10 RAID 10是RAID 0和RAID 1的组合形式，先将多个硬盘分为多组并进行镜像，然后将这些镜像组进行条带化。RAID 10提供了与RAID 1相同的数据安全性和与RAID 0接近的存储性能，适用于兼顾性能和安全性的场景。 RAID 50 RAID 50是RAID 5和RAID 0的组合形式，数据被分区成条带并通过校验位保证数据安全性，校验条带均匀分布在各个磁盘上。RAID 50综合了RAID 5和RAID 0的特点，适用于需要高存储性能和容错能力的场景。 RAID 60 RAID 60是RAID 6和RAID 0的组合形式，数据同样被分区成条带，并通过两个独立的奇偶校验信息块来保证数据的安全性。RAID 60具有较高的数据可靠性和容错能力，适用于对数据安全性要求较高的场景。

云下一代防火墙(CTECFW Extended Capacity Firewall)是专门为云计算环境设计的虚拟化网络安全产品,以虚拟主机形态,提供高性价比的云安全部署方案,为客户提供了下一代防火墙、高可用性 (HA)、入侵防御 (IPS)、病毒过滤 (AV)、服务质量保证 (QoS)、云沙箱、僵尸网络C&C防护、IP信誉等丰富功能。