本节介绍创建池化云电脑的操作说明。 操作场景 AI云电脑支持共享使用，对无专属数据要求的使用场景，如学校电教室、呼叫中心等用户，可使用池化桌面满足共享资源需求。 可以使用资源包中的资源开通池化桌面，您可以创建一定数量的AI云电脑，与桌面池关联的用户通过先到先得的排队方式使用桌面池中的电脑资源。 池化桌面数量和用户数量最高支持 1:3 配比，若池化桌面已使用完，用户需排队等待。 池化桌面需通过资源包方式开通，请先订购资源包，详见订购资源包。 操作步骤 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“AI云电脑管理”菜单栏，选择“桌面管理”，点击“创建桌面”，进入“创建桌面”页面； 3.在池化桌面管理页面，点击“创建桌面池”； 4.填写池化桌面名称； 5.选择可用的资源包； 6.根据需求选择需要池化桌面的规格类型“普通AI云电脑”或GPUAI云电脑“； 普通AI云电脑：性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求。 GPUAI云电脑：满足学校教学， 普通图像办公，高清视频播放等需求。搭配高性能显卡及固态硬盘，具备更全面的图像加速能力，满足企业图形设计、图形渲染、3D制作等需求。 注：仅部分资源池支持开通GPUAI云电脑，实际规格类型以页面显示内容为准。 7.选择桌面开通数量； 注意：池化桌面与用户数量比例为1:3。 8.选择AI云电脑的“镜像类型”； 9.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 注意 资源包开通的桌面系统盘最高可扩容至200GB，单实例开通的桌面系统盘最高可扩容至500GB。 10.根据需求选择池化桌面的断连设置、关机还原策略； 11.选择AI云电脑的“vpc”和“业务子网”； 注：AI云电脑所选的业务子网需要绑定带宽，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 12.选择账号类型，并填写分配电脑的账号信息； 管理员激活：管理员直接创建的账号，无需激活即可使用。 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 13.确认相关的配置信息，点击“开通桌面”，即完成池化桌面开通。

本节介绍了通过界面安装和卸载插件的相关内容。 操作场景 RDS支持用户在界面自主安装与卸载插件。 RDS for PostgreSQL插件是数据库级生效，并不是全局生效。因此创建插件时需要在对应的业务库上进行手动创建。 前提条件 安装和卸载插件前，请确保实例下已有数据库。 注意事项 plpgsql为内置插件，不允许卸载。 decoderbufs（仅在PostgreSQL 11至PostgreSQL 14版本支持），wal2json（PostgreSQL 11及以上版本支持）等逻辑复制插件可以直接使用，不需要安装。 部分插件依赖“sharedpreloadlibraries”参数，只有在加载相关库之后，才能安装成功。 pgcron插件当前仅支持PostgreSQL 12（12.11.0及其以上版本）、PostgreSQL 13及以上版本。使用时需要先修改参数“cron.databasename”为需要使用的数据库（仅支持单个数据库），同时修改“cron.usebackgroundworkers”为“on”。 pltcl插件在PostgreSQL 13.2版本实例暂不支持使用，如需使用该插件，请先升级到最新小版本。 部分插件安装或卸载时，会同步安装或卸载其依赖插件，以及相关依赖表。例如：创建插件postgissfcgal时，需要先创建postgis插件，这时会同步创建postgissfcgal插件；同时，卸载postgis插件时，会同步卸载postgissfcgal插件。 部分插件在小版本升级后不支持直接升级，如需升级请卸载后重新安装。 修改sharedpreloadlibraries参数 部分插件在安装前，须先加载对应的参数值，否则无法安装。 支持通过修改sharedpreloadlibraries参数来批量加载参数值，或在安装插件前单独加载对应参数值。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在实例列表，单击实例名称，进入实例的基本信息页面。 步骤 5 在左侧导航栏，选择“插件管理”。 步骤 6 在“插件管理”页面，单击“已加载sharedpreloadlibraries参数值”后的 ，查看已加载参数。 步骤 7 单击“管理参数值”。 步骤 8 在下拉框中选择要加载的参数，单击“确认”。 步骤 9 在弹出框中，单击“确定”，修改sharedpreloadlibraries参数值。 说明 sharedpreloadlibraries参数值修改后，需要重启实例才能生效。如果包含只读实例，修改主实例参数后，会同步修改只读实例的参数，需要同时重启只读实例。 为了保证PostgreSQL的安全及运维功能的完善，sharedpreloadlibraries参数中，如下参数默认加载，不允许删除： passwordcheck.so pgstatstatements pgsqlhistory pgaudit 步骤 10 您也可以在安装插件前单独加载对应参数值。 结束

本文介绍多台云主机实例批量挂载同一文件系统的操作方法。 操作场景 海量文件服务适用于共享访问的场景，当业务中需要使用多台云主机访问同一文件系统时，您可以通过我们提供的脚本，填写配置文件、执行脚本命令，实现多台云主机批量挂载同一文件系统，减少操作时间，提高工作效率。 注意 执行批量挂载的云主机实例需要与文件系统归属于同一资源池的同一VPC下。 目前仅支持Linux操作系统的云主机，请参考使用限制。 仅支持root账户进行批量挂载操作。 务必按照本文中要求的固定格式填写需要执行批量挂载的云主机的相关信息。 请保证本文中创建的inventory、autobatchmount.sh文件与mountnfs.yml文件在同一目录下，否则会导致挂载失败。 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行批量挂载操作的任何一台云主机。 3. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机。 4. 创建并填写配置文件inventory。 1）在Linux vi命令行工具中依次执行以下命令创建配置文件inventory并打开。 plaintext touch inventory plaintext vi inventory 2）将按照下述格式填写的内容复制到配置文件inventory中，保存并退出。需要将各参数替换成相应的实际值，各参数说明见下方表格。配置文件内容可在Windows记事本中或者Linux vi命令实现编辑，供后续使用。复制完成后输入 :wq保存并退出。 plaintext [all:vars] sharepath挂载地址 [targethost] 弹性IP passwdroot用户密码 localpath本地挂载路径 弹性IP passwdroot用户密码 localpath本地挂载路径 弹性IP passwdroot用户密码 localpath本地挂载路径 …… 参数 说明 云主机弹性IP 在云主机详情页中“弹性IP”页签获取该云主机公网IP的IP地址。 root用户密码 root用户密码。 本地挂载路径 本地挂载路径为云主机上用于挂载文件系统的本地路径，本操作中将通过脚本自动创建，无须额外创建。 挂载地址 可在文件系统详情页获取。 5. 创建批量挂载脚本autobatchmount.sh。 1）创建脚本文件，并打开： plaintext touch autobatchmount.sh plaintext vi autobatchmount.sh 2）将下列内容复制到挂载脚本中，保存退出 （:wq）： plaintext

本章节介绍主子账号体系内容 概述 云原生网关目前已接入主子账号体系，通过主账号对子账号并对其分配访问权限，用户可以实现对企业中云服务和资源的访问及操作权限，避免账号滥用。主子帐号支持数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系进行权限管理。 术语解释 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 说明 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 云原生网关中提供了两种系统策略：cgw viewer只读权限，只能对实例资源进行读操作；cgw admin管理权限，可以对实例资源进行管理维护，包括读与写操作，等同于主账号访问权限。 自定义策略： 创建自定义策略可以支持更细粒度的授权，对于云原生网关，可以自定义功能访问权限以及资源访问权限。 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

本文介绍无法远程登录Windows云主机怎么办。 无法远程登录Windows云主机可以使用以下方式进行问题排查。 1. 检查弹性IP是否能ping通。 以下情况为本地客户端无法ping通目标ECS实例公网IP： 1. 本地客户端为Linux系统，ping目标ECS实例公网IP时无响应，如图所示。 2. 本地客户端为Windows系统，打开本地终端，或使用快捷方式，按 win + r，输入cmd，执行：ping ping目标ECS实例公网IP时提示请求超时错误，如图所示。 如果不能ping通，请参见文档”ping不通或丢包时如何进行链路测试？“进行检查。 如果能ping通，请执行2。 2. 检查弹性云主机的3389端口是否能够访问。具体操作方法可参考文档：如何检查端口可用性。 如果不能访问，请检查安全组是否开放3389端口。 如果能访问，请执行3。 3. 检查弹性云主机内的RDP服务是否存在异常。 登录同一内网段的其他Windows主机，在该主机上远程登录问题主机。 如果不能登录，说明RDP服务可能存在异常，通过VNC登录到问题主机，查看RDP服务是否存在异常，重启RDP服务后，重新尝试连接。 请按照以下方法重启RDP服务。 单击“开始”，选择“运行”，输入“services.msc”。 在服务列表中，选择“Remote Desktop Services”服务，重新启动该服务。 4. 查看弹性云主机是否修改远程连接端口。 查看“HKEYLOCALMACHINESystemCurrentControlSetControlTerminalServerWinStationsRDPTcpPortNumber”下，配置的端口是否是默认的3389，若不是，远程连接的时候将端口改为配置中的端口。 5. 查看弹性云主机是否限制连接数量。 检查OS内部远程桌面配置： 单击“开始”，选择“运行”，输入“gpedit.msc ”，打开组策略。 选择“计算机配置 > 管理模板 > 远程桌面服务 > 远程桌面会话主机 > 连接 ，“打开“限制连接的数量”，查看是否启用限制。 说明 如果此处有配置最大连接数，可能导致Windows远程登录无法连接，如果同时有多个用户正在登录该主机，且数量已经超过最大连接数，此时最大连接数外的用户接收不到该主机的仲裁，导致会话会一直处于正在配置中的状态。 请选择禁用该配置或者设置更大的最大连接数。 6. 其它解决方案 通过上述排查后，仍然不能连接 Windows 实例，请您保存自助诊断结果，通过提交工单联系天翼云的技术支持寻求帮助。

本章节介绍如何进行MCP服务的注册与配置管理 概述 MSE Nacos 企业版支持MCP（Model Context Protocol，模型上下文协议）服务的注册与配置管理。MCP是一种开放标准，旨在统一大型语言模型（LLM）与外部数据源和工具之间的通信协议，解决当前 AI 模型数据孤岛限制，使得 AI 应用能够安全地访问和操作本地及远程数据。 说明 目前只有 MSE Nacos企业版3.0及以上版本支持MCP服务。您可以根据业务需求的不同，选择微服务引擎注册配置中心提供的三种MCP服务创建方式： 标准MCP服务：从零构建完整MCP配置。 HTTP转化MCP服务：将存量HTTP服务转换为MCP服务。 动态注册MCP服务：通过Nacos SDK实现服务自动注册。 创建MCP服务 在微服务引擎MSE注册配置中心管理控制台可以创建标准MCP服务和HTTP转化MCP服务，下面分别说明创建操作步骤： 创建标准MCP服务 1. 登录微服务引擎 MSE注册配置中心管理控制台，选择实例所在的资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，选择企业版Nacos实例，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击MCP管理 > MCP列表，选择命名空间， 然后单击创建MCP服务，并单击标准MCP服务页签。 4. 在标准MCP服务页面，配置服务名称、描述、版本号等基本信息，其中重要参数说明如下： MCP协议类型： Stdio：无网络依赖，只能访问本地资源无法访问云端资源，数据不会传输到外部，适用于本地开发调试，离线环境验证。 SSE：支持远程访问，仅支持服务端到客户端的单向流，适用于服务推送等单向实时通信场景，延迟低、兼容性强。 Streamable HTTP：基于标准的HTTP协议，双向通信，可灵活切换流式、非流式连接，适合正式环境部署和跨网络通信（如混合云/跨VPC）以及分布式系统。这是目前官方推荐的远程通信方式。 后端服务： 使用已有服务：如果您的MCP服务已经通过控制台或SDK注册到MSE Nacos中，可直接选择。 新建服务：如果您的MCP服务尚未注册到MSE Nacos中，需要配置服务 IP/服务域名（域名不能包含中文）、服务端口及访问路径（必须以/开头，如/v1/mcp）。 5. MCP工具为选填项，工具可以包含0个或者多个。点击添加工具按钮，可以添加1个工具，包括工具名称、工具描述、参数信息。其中参数包括：参数名称、参数类型可从下拉框选择，参数描述信息。 参数可以添加0个或者多个，参数信息可以嵌套，可以实现复杂的嵌套参数。添加的参数在服务保存或发布后生效。 6. 信息填写完毕后，点击发布。

关系数据库MySQL版支持为部分已创建的实例切换虚拟私有云VPC,并根据实际需要设置子网。本文介绍为实例切换VPC/子网的功能和操作步骤。 注意 除广州4，苏州外II类型资源池都支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 约束限制 如果主实例已开通只读实例和数据库代理，则不支持切换VPC，需先进行退订。 使用云硬盘备份类型的实例不支持切换VPC，仅对象存储备份类型实例支持。 实例状态不为运行中时，可能会导致切换失败。 受底层网络限制，IPv4和IPv6的VPC和子网无法互相切换。 如果实例有IPv6地址，要求修改后的子网有开启IPv6功能。如果实例没有IPv6地址，要求修改后的子网关闭IPv6功能。 切换VPC时，不可进行弹性IP与IPv6带宽绑定，可于切换后操作。 可用IP数量不足可能导致切换失败，可重试切换VPC或选择其他VPC。 切换VPC后，会为您将切换后的VPC网段加入到白名单配置中，旧的VPC网段可自行前往IP白名单删除。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在网络 区域，单击虚拟私有云 参数右侧的切换VPC/子网。 5. 在对话框内选择需要切换的VPC，然后选择需要的子网和安全组。 注意 如仅修改子网，则选择同VPC下的其他子网即可，您需注意：子网修改后连接地址会发生变化，会自动将新的网段加入到白名单，可自行前往修改。 6. 勾选同意框，并单击确定，开始切换VPC和子网，期间服务不可用。 切换后，实例状态重回运行中。 您可以在网络区域，看到新的VPC信息。 注意 为防止实例异常影响使用，执行VPC和子网切换后，请确保切换后的网络已加入到白名单中。 切换VPC期间会重启导致服务不可用，并会更换实例的连接地址，请在切换VPC后及时将业务中的连接地址进行变更，建议在业务低峰期切换。 切换VPC后，连接地址会发生切换，如果此前绑定了弹性IP，则会为您将弹性IP绑定到新的连接地址，IPV6带宽与内网域名同理，都会为您自动绑定到新的连接地址。

创建学生AI云电脑 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“AI云电脑管理”菜单栏，选择“桌面管理”，点击“创建桌面”，进入“创建桌面”页面； 3.来源选择为资源包或者单实例； 资源包方式开通：管理员可通过已订购资源包，通过资源包的资源分配方式开通AI云电脑，无需单独付费。 单实例方式开通：管理员可以选择AI云电脑配置，直接通过付费完成AI云电脑的开通。 4.选择“Windows”系统类型; 5.选择规格类型为“普通AI云电脑”或“GPUAI云电脑”，再根据需求选择AI云电脑规格，学生AI云电脑推荐规格为4C8G。 普通AI云电脑：性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求。 GPUAI云电脑：满足学校教学， 普通图像办公，高清视频播放等需求。搭配高性能显卡及固态硬盘，具备更全面的图像加速能力，满足企业图形设计、图形渲染、3D制作等需求。 注：仅部分资源池支持开通GPUAI云电脑，实际规格类型以页面显示内容为准。 6.选择AI云电脑的“镜像类型”，开通学生AI云电脑时，选择“翼电教系统教育镜像（学生端）”； 注意 1.翼电教系统教育镜像中，已预装局域网广播、一键式批量控制终端、切换课程镜像的插件。 2.如果镜像类型中未找到“翼电教系统教育镜像”，可选择Windows Server 2019 Standard（推荐）镜像。 7.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 8.选择AI云电脑的“VPC”和“业务子网”。 注意 1.学生AI云电脑、教师AI云电脑需要在同一个VPC下。 2.AI云电脑所选的业务子网需要绑定宽带，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 9.选择账号类型，并填写分配电脑的账号信息。 管理员激活：管理员直接创建的账号，无需激活即可使用。 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 10.点击“应用选购”，在弹出的页面中选择“翼电教系统”并设置其属性。 客户端属性：创建学生AI云电脑时，选择“学生端”。（翼电教系统学生端不需要付费） 11.其他AI云电脑实例配置信息，根据需要自行配置； 12.确认相关的配置信息，点击“创建桌面”，即完成学生AI云电脑开通。

本章节主要介绍MySQL数据迁移到OBS。 操作场景 CDM支持表到OBS的迁移，本章节以MySQL>OBS为例，介绍如何通过CDM将表数据迁移到OBS中。流程如下： 1.创建CDM集群并绑定EIP 2.创建MySQL连接 3.创建OBS连接 4创建迁移作业 前提条件 已获取OBS的访问域名、端口，以及AK、SK。 已获取连接MySQL数据库的IP地址、端口、数据库名称、用户名、密码，且该用户拥有MySQL数据库的读写权限。 用户已参考管理驱动，上传了MySQL数据库驱动。 创建CDM集群并绑定EIP 1.参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 2.CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问MySQL。 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。 创建MySQL连接 1.在CDM集群管理界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面。 2.选择“MySQL”后单击“下一步”，配置MySQL连接的参数。 单击“显示高级属性”可查看更多可选参数，具体请参见 配置常见关系数据库连接。这里保持默认，必填参数如下表“MySQL连接参数”所示。 参数名 说明 取值样例 名称 输入便于记忆和区分的连接名称。 mysqllink 数据库服务器 MySQL数据库的IP地址或域名。 192.168.1.110 端口 MySQL数据库的端口。 3306 数据库名称 MySQL数据库的名称。 sqoop 用户名 拥有MySQL数据库的读、写和删除权限的用户。 admin 密码 用户的密码。 使用本地API 使用数据库本地API加速（系统会尝试启用MySQL数据库的localinfile系统变量）。 是 使用Agent 是否选择通过Agent从源端提取数据。 是 localinfile字符集 mysql通过localinfile导入数据时，可配置编码格式。 utf8 驱动版本 适配mysql的驱动。 Agent 单击“选择”，选择连接Agent中已创建的Agent。 单次请求行数 指定每次请求获取的行数。 1000 单次提交行数 支持通过agent从源端提取数据 1000 连接属性 自定义连接属性。 useCompressiontrue 引用符号 连接引用表名或列名时的分隔符号。默认为空。 ' 单次写入行数 指定单次批量写入的行数，当写入行数累计到单次批量提交行数时提交一次，该值应当小于单次提交行数。 100 3.单击“保存”回到连接管理界面。 说明 如果保存时出错，一般是由于MySQL数据库的安全设置问题，需要设置允许CDM集群的EIP访问MySQL数据库。

本节主要介绍怎么添加DNAT规则。 操作场景 公网NAT网关创建后，通过添加DNAT规则，则可以通过映射方式将您VPC内的云主机对互联网提供服务。 一个云主机的一个端口对应一条DNAT规则，如果您有多个云主机需要为互联网提供服务，则需要创建多条DNAT规则。 操作前提 已成功创建公网NAT网关。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入公网NAT网关页面。 3. 在公网NAT网关页面，单击需要添加DNAT规则的公网NAT网关名称。 4. 在公网NAT网关详情页面中，单击“DNAT规则”页签。 5. 在DNAT规则页签中，单击“添加DNAT规则”。 6. 根据界面提示，配置添加DNAT规则参数，详情请参见下表。 表 DNAT规则参数说明 参数 说明 使用场景 在使用DNAT为云主机面向公网提供服务场景下，此处选择虚拟私有云。 表示虚拟私有云中的云主机将通过DNAT的方式共享弹性IP，为公网提供服务。 端口类型 分为所有端口和具体端口两种类型。 所有端口：属于IP映射方式。此方式相当于为云主机配置了一个弹性IP， 任何访问该弹性IP的请求都将转发到目标云主机实例上。 具体端口：属于端口映射方式。 公网NAT网关会将以指定协议和端口访问该弹性IP的请求转发到目标云主机实例的指定端口上。 支持协议 协议类型分为TCP和UDP两种类型。 端口类型为具体端口时，可配置此参数，端口类型为所有端口时，此参数默认设置为All。 弹性IP 弹性IP地址。 这里只能选择没有被绑定的弹性IP，或者被绑定在当前公网NAT网关中非“所有端口”类型DNAT规则上的弹性IP， 或者被绑定到当前公网NAT网关中SNAT规则上的弹性IP。 公网端口 弹性IP的端口。当端口类型为具体端口时，需要配置此参数，有效数值为165535。 私网IP 在使用DNAT为云主机面向公网提供服务场景下，指云主机的IP地址， 表示此IP地址的云主机将通过DNAT方式为公网提供服务。 端口类型为具体端口时，需要配置私网IP的端口。 私网端口 在使用DNAT为云主机面向公网提供服务场景下，指云主机的端口号。 当端口类型为具体端口时，需要配置此参数，有效数值为165535。 描述 DNAT规则信息描述。最大支持255个字符。 7. 配置完成后，单击“确定”，完成“DNAT规则”创建。 说明 配置DNAT规则后，需在对应的云主机中放通对应的安全组规则，否则DNAT规则不能生效。

本节主要介绍怎么在控制台创建IAM用户。 登录“访问控制”>“概览”，在“账户概览”区域下，点击“创建用户”；或者登录“访问控制”>“用户管理”>“用户”，点击“创建”。 按照下列步骤创建IAM用户： 1. 设置用户 根据页面提示添加用户名，可以添加一个或多个用户，并为新创建的用户设置访问方式。 2. 设置权限 为IAM用户设置权限。 有三种添加权限的方式（只能选择一种）： 1. 将用户添加到组 （前提：已经有用户组）：用户将继承该用户组的所有权限，一个用户最多可以加入10个组。 2. 从现有用户复制 （前提：现有用户有通过直接附加的方式被授权的策略），每次只能复制一个用户的权限。只能复制现有用户直接附加的策略，不能复制用户所在组的策略。 3. 附加现有策略 ：直接为用户添加现有的策略，每个用户最多可以直接添加10个策略。 用户设置权限时，只能选择以上三种方式中的一种为用户授权，当用户已经选择某一种权限设置方式，并进行了必要的勾选后，再切换其他授权方式会弹出提示框。 说明 可以创建用户时为用户添加策略，也可以用户创建完成后，再为其添加策略。 注意 每个用户最多可以直接附加10条策略，不包含随组附加的策略。 3. 设置标签 管理员可以为IAM用户设置标签，标签为IAM用户的附加属性。一个用户最多可以添加10个标签。 说明 不能为单个标签指定多个值，但多个标签键可以有相同的标签值。 项目 描述 :: 标签键 可以包含字母、数字、空格以及加号(+)、等号()、句点(.)、at符号(@)、下划线()、连字符()、冒号(:)、正斜杠(/)符号的任意组合。 标签键不区分大小写，但保留大小写。例如不能同时存在Department和department标签键，如果使用Departmentfoo标签标记用户后又添加departmentbar标签，则它会替换第一个标签，标签值变为bar。 标签值 可以为空。 4. 信息审核 对新建用户的信息进行审核，如果需要更改，可以在此页面点击对应的编辑标识，然后到对应的页面进行修改。 5. 完成 点击“下载凭证”，保存新建用户的密钥和密码。 注意 安全凭证仅能下载一次，务必妥善保管。如果某一用户的密钥丢失，可以在该用户详情页，先对原密钥进行删除，然后通过“创建密钥”的方式重新获取新的密钥。如果密码丢失，需要有修改密码权限的用户在控制台进行对该用户密码重置。

连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云主机上，且该弹性云主机与文档数据库服务实例处于同一区域，同一VPC时，建议使用内网IP地址连接文档数据库服务实例。 安全性高。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的DDS实例在同一虚拟私有云子网内，使用内网连接。 公网连接 弹性公网IP 当应用部署在弹性云主机上，且该弹性云主机与文档数据库服务实例处于不同区域时，建议使用弹性公网IP连接文档数据库实例。 如果您使用天翼云以外的设备（例如本地设备、其他云厂商服务器等）连接文档数据库服务实例，建议使用弹性公网IP连接文档数据库服务实例。 安全性稍低。 公网连接需要购买弹性公网IP，并与文档数据库服务实例节点进行绑定。

VPC终端节点产品为您提供安全可靠的私网连接服务,本文带您了解VPC终端节点的产品优势。 性能优异 每个网关节点可提供百万级对话，满足多种应用场景需求。 即开即用 秒级创建，快速生效，迅速响应，方便用户即时使用。 使用灵活 无需弹性IP，直连内网，使用更加灵活。 安全性高 用户能够通过终端节点私密地连接到终端节点服务，避免泄漏服务端相关信息所带来不可知的风险。

数据安全中心（DSC）不会保存您的数据和文件，在您授权访问数据源后，DSC会对数据进行识别、脱敏、或添加水印等操作。 数据安全中心（DSC）不会保存您的数据和文件，在您授权访问数据源后，DSC会对数据进行识别、脱敏、或添加水印等操作。 数据识别的结果将展示在DSC的控制台，如何查看敏感数据识别结果，请参见敏感数据识别结果。

本小节介绍服务器安全卫士的设置通知方式。 通知类型 产品到期、入侵告警等，支持邮箱、站内信和短信通知。 设置方法 初次登录服务器安全卫士时，需要录入手机号和邮箱，以便进行通知。 也可以登录消息中心——消息接收设置界面，设置接收的消息类型、接收方式，或增加接收人。

物理机服务广泛应用于多种场景,本文带您更快了解物理机服务经典应用场景。 高安全性和监管要求 国防、银行、金融机构以及具有高度合规性要求的行业，如医疗和保险，对于数据安全和监管合规性有严格的要求。天翼云物理机提供了物理隔离和独享资源的能力，通过采用物理机部署、网络隔离和专线接入等方式，确保数据的安全性和隐私保护，满足这些行业的高要求。 关键业务核心数据库 企业核心业务的关键数据库，如客户关系管理（CRM）、企业资源计划（ERP）和大型交易系统等，通常对性能、可靠性和数据安全有较高的要求。天翼云物理机提供了专属的计算资源和本地存储，保证高负载和复杂查询的需求，并确保数据的隔离和可靠性，为企业提供稳定可靠的关键业务支持。 大数据分析 互联网、电商、社交媒体等行业需要处理海量数据并进行实时分析。天翼云物理机提供高带宽、大容量的存储和计算资源，满足大规模数据处理、分布式计算和实时分析的需求，助力企业做出准确决策和优化业务运营，挖掘数据中的价值。 容器场景 电商平台、游戏等业务弹性要求较高、性能要求更高的场景，可采用物理机部署容器的方案。相比在云主机中容器，物理机中部署容器提供更高的部署密度、更低的资源开销和更加敏捷的部署效率。基于云原生技术，帮助客户实现降低云化成本的目标，满足业务快速发展和高性能要求。

本文介绍Redis实例的发布订阅(pubsub)注意事项 订阅和发布的顺序：在使用 Redis 的发布订阅功能时，订阅者（Subscriber）必须先订阅频道（Channel）才能接收到发布者（Publisher）发送的消息。如果先发布消息而没有订阅者监听该频道，那么消息将会丢失。因此，在使用发布订阅功能时，要确保订阅者在发布者发送消息之前已经成功订阅了频道。 异步处理：Redis 的发布订阅功能是异步的，即发布者发送消息后，订阅者可能不会立即接收到消息。这是因为订阅者与发布者之间存在网络延迟和处理时间。因此，在订阅消息后，订阅者需要以异步方式处理接收到的消息，并考虑可能出现的延迟。 取消订阅：当不再需要接收某个频道的消息时，订阅者应该主动取消订阅，以减少不必要的网络开销和资源消耗。可以使用 UNSUBSCRIBE 命令取消订阅指定频道，或使用 PUNSUBSCRIBE 命令取消订阅所有频道。 频道命名规范：在定义频道名称时，要注意选择有意义且易于区分的名称。频道名称可以是字符串，但最好遵循一定的命名规范，以免产生混淆或错误地订阅了不正确的频道。 安全性考虑：Redis 的发布订阅功能是公开的，任何连接到 Redis 的客户端都可以订阅频道并接收消息。因此，要特别注意在敏感信息传输或涉及安全性的场景中使用发布订阅功能，并考虑适当的安全措施，例如使用认证和加密等方式来保护数据的安全性。

数据库审计的审计数据可以保存多久？ 数据库审计支持将在线和归档的审计数据至少保存180天的功能。根据实际的磁盘大小，会优先删除存储日期较早的审计数据。 若您需要更多的磁盘空间，可选择买更高级的数据库审计实例规格或者购买磁盘存储容量。 数据库审计发生异常，多长时间用户可以收到告警通知？ 在数据库审计正常运行的情况下，从系统发生异常到收到告警通知最大时延不超过5分钟。 在业务侧使用中间件会影响数据库审计功能吗？ 不会影响使用数据库安全审计。 中间件是介于应用系统和操作系统之间的一类软件，通常在操作系统、网络和数据库之上，应用软件的下层，是为处于上层的应用软件提供运行与开发的环境，帮助用户灵活、高效地开发和集成复杂的应用软件。 数据库安全审计采用旁路模式部署，通过Agent（数据库节点或应用节点安装Agent）获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，从而实现数据库安全审计功能。 因此，您在业务侧使用中间件不影响数据库安全审计功能，不会导致Agent监听SQL失败或者审计没有数据。 数据库审计能否对第三方工具执行的SQL语句进行捕捉？ 可以。数据库审计审计的数据是Agent接入的全量日志和流量数据，与工具无关。 数据库审计是否支持云下部署？ 不支持。数据库审计需要部署在您所使用的云上的服务器中，您需要将相关的业务迁移至目标云上。

在线加密 在线加密是对称密钥加密的场景，适用于保护小型敏感数据（小于6KB），如口令、证书、身份信息、后台配置文件等。通过密钥管理服务KMS的在线加密API，使用用户主密钥（CMK）直接加密敏感数据信息，而非直接将明文存储，确保敏感数据安全。 信封加密 信封加密是对称密钥加密的场景，是一种应对海量数据的高性能加解密方案。这种技术不再使用用户主密钥（CMK）直接加密和解密数据，而是通过生成加密数据的数据密钥（DEK），将其封入信封中（即通过CMK加密）存储、传递和使用，由KMS确保数据密钥的随机性和安全性。 实际使用时，用户无需将大量业务数据上传至KMS服务端，直接通过离线的数据密钥在本地实现加解密，有效避免安全隐患，保证了业务加密性能的要求。 签名验签 数字签名技术是非对称加密算法的另一种典型应用。用户可在KMS中创建非对称用户主密钥（CMK），其由一对关联的公钥和私钥构成。公钥可以被分发给任何人，而私钥由KMS确保安全性，不提供任何接口导出非对称密钥的私钥。 使用者仅能通过接口调用私钥进行签名运算。 实际使用时，签名者将验签公钥分发给消息接收者，签名者使用签名私钥，对数据产生签名，签名者将数据以及签名传递给消息接收者，消息接收者获得数据和签名后，使用公钥针对数据验证签名的合法性。

本小节介绍服务器安全卫士的Agent管理操作方法。 登录天翼云云平台，进入控制中心“服务器安全卫士”界面，点击订单中的“控制台”，进入服务器安全卫士控制台，选择“通用功能 > 服务工具 > Agent管理”，进入Agent管理界面，即可管理Agent运行状态。 在排查问题的过程中，可设置Agent运行级别，下载日志和运行报告。 设置运行级别 正常：Agent拥有完整能力，执行服务器的任务。 降级：是一种保护模式，Agent不再接受服务器下发的任务，直至恢复为非"降级"状态。 停用：停止Agent业务功能，只保留基本通信能力和任务执行能力（如：卸载，恢复在线）。 设置日志级别 下载日志 下载运行报告 下载Agent运行情况的报告。 重启Agent 重新启动Agent，不改变原"主机状态"和"运行级别"。

本节介绍对数据源的管理，可以启用停止/数据源。 在数据源监控中可以查看到已经接入到系统的数据源。可以直接通过开关对数据源进行开启或关闭，云安全中心会根据您的操作对数据源数据进行收取或拒绝收取。 注意事项 选择需要接入的数据源时，只能针对您已经购买的云产品。 启用数据源 1. 登录云安全中心控制台。 2. 在左侧导航栏，选择“设置 > 数据源监控”，打开数据源监控页面。 3. 选择需要接入的数据源，在操作列单击启用图标，启用数据源。 停止数据源 注意 停止数据源后，对应的“集成配置”将不允许操作。 1. 登录云安全中心控制台。 2. 在左侧导航栏，选择“设置 > 数据源监控”，打开数据源监控页面。 3. 选择需要停止的数据源，在操作列单击停止图标，停止数据源。

本节介绍了ECX主要具备的存储能力。 提供伴随计算实例创建云硬盘、本地盘以及本地裸盘等磁盘的功能。 支持多种规格：高IO、超高IO等，可满足I/O密集型业务的需求。 支持对多种磁盘便捷操作，包括创建，挂载，卸载，删除等，让存储管理轻松高效。 支持云硬盘快照，可手动创建、以及指定时间自动创建快照，保证误操作导致的数据丢失时，可及时恢复数据，保证数据的安全性。 支持云硬盘备份，保证数据存储安全可靠，可异地备份，将备份数据存储在不同的地理区域，提高数据的容灾能力。 支持基于云硬盘快照创建新云硬盘、基于云硬盘备份创建新云硬盘，为数据存储与恢复提供双重可靠途径，极大地提升了数据管理的灵活性与安全性。 支持对云硬盘、本地盘的容量升级，以适应业务变化，轻松应对数据增长需求。 支持监控本地盘和云硬盘的IO情况，精准掌握存储动态，确保数据读写高效稳定，为您的业务运行保驾护航。

广州12345政府服务热线，业务的核心TeleDB服务器部署内网，敏感数据部署在这个核心TeleDB实例中，并涉及到130个部门，8千余个分类，4万余条知识点。该系统要求系统具备高安全性，目前存储了6000+加密表，同时要求通信链路加密，数据脱敏，访问白名单，TeleDB的多级安全策略在该业务系统有了完美的落地。该系统的核心系统结构如下：

接口功能介绍 服务器安全卫士系统，配额统计 接口约束 已经签约安全卫士服务协议 URI GET /v1/quota/overview 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 regionid 是 String 资源池id 100054c0416811e9a6690242ac110002 urlType 是 String 请求地址类型。CTAPI CTAPI ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 200成功 error String 返回码 CTCSSCN000000 :成功; CTCSSCN000001:失败; CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用; CTCSSCN000004：鉴权错误; CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 成功 returnObj Object 返回对象 QuotaDto 表 QuotaDto 参数 参数类型 说明 示例 下级对象 bindingCount Integer 使用中配额数量 1 unbindingCount Integer 未绑定配额数量 10 normalCount Integer 正常配额数量，bindingCount+unbindingCount 11 expirationCount Integer 过期配额数量 20 cancelCount Integer 退订配额数量 1 quotaTotal Integer 配额总数 1 expirationDate String 配额到期时间，取所有配额中，到期时间最大值 20220721T06:18:58.000+00:00

API 描述 CreatePolicy 此操作用来为账户创建策略。 GetPolicy 此操作用来获取策略相关信息。 ListPolicies 此操作用来列出账户下所有的策略。 ListEntitiesForPolicy 此操作用来列出指定策略所附加的所有IAM用户或IAM用户组。 DeletePolicy 此操作用来删除指定的策略。 AttachUserPolicy 此操作用来将指定的策略与指定的IAM用户关联。 ListAttachedUserPolicies 此操作用来列出与指定用户关联的策略。 DetachUserPolicy 此操作用来解除指定用户关联的指定策略。 AttachGroupPolicy 此操作用来将指定的策略与指定的IAM用户组关联。 ListAttachedGroupPolicies 此操作用来列出与指定IAM用户组关联的策略。 DetachGroupPolicy 此操作用来解除指定IAM用户组关联的指定策略。 UpdateAccountPasswordPolicy 此操作用来更新账户的密码规则设置。 GetAccountPasswordPolicy 此操作用来获取账户的密码策略。 DeleteAccountPasswordPolicy 此操作用来将账户的密码规则恢复到默认密码规则。 UpdateAccountLoginSecurityPolicy 此操作用来更新IAM用户登录安全策略设置。 GetAccountLoginSecurityPolicy 此操作用来获取IAM用户登录安全策略。 DeleteAccountLoginSecurityPolicy 此操作用来将IAM用户登录安全策略恢复为默认值。

接口功能介绍 服务器安全卫士系统，配额统计 接口约束 已经签约安全卫士服务协议 URI GET /v1/quota/overview 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 regionid 是 String 资源池id 100054c0416811e9a6690242ac110002 urlType 是 String 请求地址类型。CTAPI CTAPI ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 200成功 error String 返回码 CTCSSCN000000 :成功; CTCSSCN000001:失败; CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用; CTCSSCN000004：鉴权错误; CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 成功 returnObj Object 返回对象 QuotaDto 表 QuotaDto 参数 参数类型 说明 示例 下级对象 bindingCount Integer 使用中配额数量 1 unbindingCount Integer 未绑定配额数量 10 normalCount Integer 正常配额数量，bindingCount+unbindingCount 11 expirationCount Integer 过期配额数量 20 cancelCount Integer 退订配额数量 1 quotaTotal Integer 配额总数 1 expirationDate String 配额到期时间，取所有配额中，到期时间最大值 20220721T06:18:58.000+00:00

本节介绍如何创建VPC边界防火墙。 VPC边界防火墙能够检测和统计VPC间的通信流量数据，帮助您发现异常流量。开启VPC边界防火墙之前，您需要先创建VPC边界防火墙并关联企业路由器。 前提条件 当前账号下需存在可用的企业路由器。 关于企业路由器的收费，请参见《企业路由器用户指南> 计费说明》。 创建企业路由器请参见《企业路由器用户指南> 创建企业路由器》。 说明 创建时，建议取消勾选“默认路由表关联”和“默认路由表传播”。 创建说明 创建防火墙时为了引流需选择企业路由器和配置IPV4网段。 企业路由器用于引流，选择时需满足以下限制： 没有与其它防火墙实例关联。 需归属本账号，非共享企业路由器。 需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。 网段用于将流量转发至云防火墙，选择时需注意以下限制： 该网段不可与需要开启防护的私网网段重合，否则会导致路由冲突。 10.6.0.0/1610.7.0.0/16网段为防火墙保留网段，不可使用。 创建VPC边界防火墙 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“资产管理> VPC边界防火墙管理”，进入“VPC边界防火墙管理”页面。 5. 单击“创建防火墙”，选择企业路由器并配置合适的网段。 企业路由器用于引流，选择时需满足以下限制： 没有与其它防火墙实例关联。 需归属本账号，非共享企业路由器。 需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。 网段配置后默认创建InspectionVPC将流量转发至云防火墙，并自动分配云墙关联子网，将云防火墙流量转发到企业路由器，选择时需注意以下限制： 创建防火墙后不支持修改网段。 该网段需满足以下条件： 仅支持私网地址段（即在10.0.0.0/8、172.16.0.0/12、192.168.0.0/16范围中），否则可能在SNAT等访问公网的场景下产生路由冲突， 10.6.0.0/1610.7.0.0/16网段为防火墙保留网段，不可使用。 不可与需要开启防护的私网网段重合，否则会因路由冲突，导致该网段无法防护。 如果您参数界面如下图所示，则您目前云防火墙版本为旧版，VPC边界防火墙配置请参见“企业路由器模式”。 6. 单击“确认”，需等待35分钟，完成防火墙创建。 创建过程中您只能浏览“概览”页，防火墙的“状态”会变为“升级中”。

本章节主要介绍了如何通过JDBC连接池与DRDS对接，实现数据操作。 应用连接池选择 连接资源是数据库中非常宝贵及有限的资源，应用并发量很大时，如果没有连接池，会占用大量的数据库的连接，导致后端数据库连接不足，无法正常提供服务，我们建议应用使用连接池来完成连接工作。在java中，推荐HikariCP作为应用连接池。 JDBC约束 不支持 rewriteBatchedStatementstrue 参数设置(默认为 false)。 BLOB, BINARY, VARBINARY 字段不能使用 setBlob() 或 setBinaryStream() 方法设置参数 。 操作步骤 1. 在控制台创建表并配置分片规则，参考建表DDL如下。 json create table if not exists enumtable( id int not null, code int not null, content varchar(250) not null, primary key(id) )engineinnodb charsetutf8; 2. 配置依赖。 json com.zaxxer HikariCP 4.0.3 3. 配置JDBC连接池参数。 yaml > 4. 连接DRDS实例执行相关sql。 json import com.zaxxer.hikari.HikariDataSource; import org.springframework.context.ApplicationContext; import org.springframework.context.support.ClassPathXmlApplicationContext; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; public class JDBCTest { public static void main(String[] args) throws SQLException { ApplicationContext app new ClassPathXmlApplicationContext("application.xml"); HikariDataSource dataSource (HikariDataSource) app.getBean("dataSourceHikari"); Connection conn null; try { conn dataSource.getConnection(); //开启事务 conn.setAutoCommit(false); // 插入测试数据 PreparedStatement ps1 conn.prepareStatement("insert into enumtable (id,code,content) values (?,?,?);"); ps1.setInt(1, 1); ps1.setInt(2, 1001); ps1.setString(3, "测试数据"); ps1.executeUpdate(); conn.commit (); //查询条件带上分片键或切片索引键，否则语句将广播执行 PreparedStatement ps2 conn.prepareStatement("SELECT FROM enumtable WHERE id ?"); ps2.setInt(1, 1); ResultSet rs ps2.executeQuery(); rs.next(); String space ""; for (int i 1; i < rs.getMetaData().getColumnCount(); i++) { System.out.print(space + rs.getMetaData().getColumnName(i) + " " + rs.getString(i)); space ", "; } } catch (Exception e) { e.printStackTrace(); } finally { if (conn ! null) { conn.close(); } } } }

本节介绍创建并发云电脑的操作说明。 操作场景 开通多个桌面，每个桌面只属于单个用户。根据并发桌面比例或数量进行相应的资源扣减。但每个桌面只属于单个用户，每次最多可在线使用的桌面数量占总并发桌面数量的一定比例。 并发桌面需通过资源包方式开通，请先订购资源包，详见订购资源包。 操作步骤 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“桌面池管理”菜单，点击“并发桌面管理”； 3.在并发桌面管理页面，点击“创建桌面池” 4.填写并发桌面名称； 5.选择可用的资源包； 6.根据需求选择需要池化桌面的规格类型“普通AI云电脑”或GPUAI云电脑“； 普通AI云电脑：性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求。 GPUAI云电脑：满足学校教学， 普通图像办公，高清视频播放等需求。搭配高性能显卡及固态硬盘，具备更全面的图像加速能力，满足企业图形设计、图形渲染、3D制作等需求。 注：仅部分资源池支持开通GPUAI云电脑，实际规格类型以页面显示内容为准。 7.选择AI云电脑的“镜像类型”； 8.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 注意 资源包开通的桌面系统盘最高可扩容至200GB，单实例开通的桌面系统盘最高可扩容至500GB。 9.选择AI云电脑的“vpc”和“业务子网”； 注：AI云电脑所选的业务子网需要绑定带宽，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 10.选择账号类型，并填写分配电脑的账号信息； 管理员激活：管理员直接创建的账号，无需激活即可使用。 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 选择已有桌面：选择已有桌面加入并发桌面池后，桌面规格会调整为当前按共享比例的并发桌面池的桌面规格。 11.选择桌面并发方式“按桌面比例“或”按桌面数量“； 按桌面比例：通过并发比例控制池中最多可同时在线的桌面数量：桌面数量x并发比例可在线桌面数量。 按桌面数量：可手动设定池中最多可同时在线的桌面数量。 12.根据需求选择并发桌面的断连设置、离线桌面优先关机策略； 13.确认相关的配置信息，点击“开通桌面”，即完成并发桌面开通。

新增策略 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“策略管理 > 主机策略”。 3. 将光标移至左上角图标，在下拉框中选择“新增”。 4. 在弹出的对话框中填写策略信息，点击“确定”，即可新增策略。 配置策略 说明 系统默认策略模板（内置模板）无法编辑，仅支持编辑自定义策略。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“策略管理 > 主机策略”。 3. 选择需要编辑的策略，点击该策略，进入策略配置页面。 4. 编辑需要修改的策略信息，点击“保存”即可成功修改该策略。 策略的详细配置说明请参见主机策略配置说明。 相关操作 还支持导入、导出策略。创建策略后，支持查看策略、将策略设为默认模板、删除策略。

项目 描述 Storage Pool Name 存储池名称。 Pool Status 存储池状态： Normal：正常。 Deleting：删除中。 Fault Domain 存储池故障域级别： path：数据目录级别。 server：服务器级别。 rack：机架级别。 room：机房级别。 Base Pool 是否是基础存储池： true：是基础存储池。 false：不是基础存储池。 Total Capacity 存储池总容量。 Used Capacity 存储池已用容量。 Created Time 存储池创建时间。 Description 存储池描述信息。 LUN 卷相关信息，包含LUN for CachePool、LUN for Pool、status。 LUN LUN for CachePool 缓存存储池卷列表。 LUN LUN for Pool 存储池卷列表。 LUN status 卷的状态信息，包括卷的总数、总容量，以及各类型卷的个数及容量。 Data Health 存储池的数据健康度，包括：正常数据的比例（normal）、降级数据的比例（low redundancy）、错误数据的比例（error）。如果存在降级状态的数据，会给出数据重建进度（low redundancy reconstruction progress）。 Topology 存储池拓扑图，包括：Node Name、Node Type、Status、Disk Path(s)、Removing Details。 Topology Node Name 节点名称。 Topology Node Type 节点类型： path：数据目录。 server：服务器。 rack：机架。 room：机房。 Topology Status 节点健康状态： Healthy：节点处于健康状态，可正常读写。 Warning：节点处于警告状态，可读。 Error：节点处于错误状态，无法访问。 Topology Disk Path(s) 数据目录信息： No.：编号。 Path：数据目录。 Used Capacity：HBlock数据目录对应分区的已用容量。 Total Capacity：HBlock数据目录对应分区的总容量。 Used Capacity Quota：已用数据目录容量配额。 Capacity Quota：数据目录容量配额，当HBlock的使用空间一旦达到配额，就立刻阻止数据写入，不允许再使用超出配额的空间。 Health Status：数据目录的健康状态： Healthy：数据目录处于健康状态，可正常读写，且数据目录所在磁盘使用率未超过阈值（系统默认值为95%）。 Warning：数据目录处于警告状态，可读，但存在以下情况的任意一种：慢盘；数据目录所在磁盘使用率超过阈值（系统默认值为95%）；磁盘剩余空间不足1GiB；HBlock对这个目录停写；数据目录配额使用率超过阈值（系统默认值为95%）；数据目录配额为0。 Error：数据目录错误状态，无法访问，原因可能是：所在磁盘出现I/O错误导致无法读写，数据目录未正确挂载等。 Health Detail：数据目录健康状态详情。 如果健康状态为Healthy，此列为空。 如果健康状态为Warning或Error，显示警告或错误的详细信息。 Topology Removing Details 被移除节点的详细信息： No.：编号。 Path：节点的具体数据目录。 Stage：移除节点所处的阶段： Reconfiguration：重置中。 CheckingData：检查数据。 Executing：执行移除节点。 Details：详细数据： FaultDomains：故障域详情，包括：healthy（健康个数），warning（告警个数），error（错误个数）。 Data：safe（安全数据百分比），await reconstruction（需要重建的数据百分比），await more faultdomains（需要额外故障域才能够重建的数据百分比），singlecopy（单副本数据百分比），corrupted（已经损坏的数据百分比）。

本节介绍了使用故障类的问题描述和处理流程。 问题描述 购买Windows弹性云主机后，通过MSTSC远程连接，发现没有声音。通过MSTSC远程连接的Windows弹性云主机如何播放音频？ 约束限制 本节内容适用于Windows Server 2008 R2、Windows Server 2016系统的弹性云主机。 可能原因 Windows弹性云主机默认禁用音频设备，导致无法通过远程桌面的方式使用音频设备。如需播放音频、使用多媒体音频功能，可参见本节内容进行设置。 第1步：启动Windows Audio服务 启动Windows Audio服务，并设置为“自动”运行。 1. 打开“运行”窗口。 2. 输入“services.msc”，打开“服务”。 3. 找到“Windows Audio”服务，并按如下方式设置。 − 启动类型：自动 − 服务状态：启动 以2012操作系统为例，如下截图所示。 4. 关闭当前远程连接。 第2步：开启音频和视频播放功能 操作系统不同， “音频和视频播放”功能开启方法不同。 Windows 2008系统 步骤 1 启用RDPTCP的“音频和视频播放”以及“录制音频”。 1. 打开“远程桌面会话主机配置”控制台。 a. 打开“开始”菜单，选择“控制面板”。 b. 单击右上角的“查看方式”下拉菜单，选择“类别”。 c. 选择“系统和安全 > 管理工具 > 远程桌面服务 > 远程桌面会话主机配置”。 2. 取消勾选“音频和视频播放”、“录制音频”。 在“连接”列表里面双击“RDPTcp”，选择“客户端设置”，取消勾选“音频和视频播放”和“录制音频”，如下图所示。 图 远程桌面会话主机配置 3. 单击“确定”，激活音频设备。 步骤 2 单击“发送 CtrlAltDel”按钮，重启弹性云主机并登录。 步骤 3 重启弹性云主机后，您会发现声卡的标识依旧是显示音频服务未运行，这是因为服务未开启，开启音频服务后如下图所示。 图 开启音频服务 步骤 4 打开网页播放音乐，即可验证播放音频成功。 Windows 2012系统 步骤 1 打开“运行”窗口。 步骤 2 输入“gpedit.msc”，打开“组策略”。 步骤 3 依次点击“计算机配置 > 管理模版 > windows 组件 > 远程桌面服务 > 远程桌面会话主机 > 设备和资源重定向”，打开“允许音频和视频播放重定向”。 步骤 4 选择“已启用”，按“应用”确定。 该配置为mstsc程序的默认配置，保持即可。 步骤 5 执行以下命令，刷新组策略。 gpupdate 第3步：远程音频设置 以上配置调整完成后，打开本地远程桌面软件（mstsc），点击“选项 > 本地资源”，在远程音频处单击“设置”，弹出的选项卡中的远程音频播放处，选择“在此计算机中播放”，单击“确定”。 至此完成远程音频设置，请通过MSTSC登录云主机，检查音频是否可以正常播放。