本文为您介绍云防火墙（原生版）的权限管理能力，支持通过IAM实现对云防火墙（原生版）的访问控制、权限分配。 云防火墙（原生版）通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云防火墙（原生版）服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 IAM策略说明 天翼云为云防火墙（原生版）提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 CFW admin 管理员，拥有云防火墙（原生版）全部操作权限。 系统策略 全局级 CFW viewer 仅拥有云防火墙（原生版）查看权限。 系统策略 全局级

本文绍了如何查看RDSPostgreSQL实例连接信息。 操作场景 客户从内外网连接实例时需要从控制台获取实例连接信息，当前连接方式不可修改。 约束限制 当前实例创建后，内网连接IP不可修改。 操作步骤 Ⅰ类资源池的连接信息获取方式 1. 登录天翼云门户。 2. 点击【控制中心】，选择对应资源池，例如“上海7”。 3. 选择【关系数据库PostgreSQL版】，点击进入组件控制台管理页面。 4. 在“实例管理”列表中点击对应的实例进入实例信息页，其中“连接地址”即为实例的内网IP，“数据库端口”为实例的连接端口，“虚拟私有云”为对应的VPC，“安全组”为对应的安全组。 Ⅱ类资源池的连接信息获取方式 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在单个实例的管理详情页中，“ipv4地址”为天翼云内的ipv4连接地址，“ipv6地址”为天翼云内的ipv6连接地址，“弹性IP”为当前实例绑定的可公网访问的IP信息，“数据库端口”为当前实例的连接端口。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

备份方案 使用场景 自动备份 自动备份通常应用于以下场景： 数据备份和恢复：在生产系统中使用MySQL自动备份功能可以轻松备份所有数据（或者某些数据），并在数据丢失或出现故障时快速恢复数据。 数据复制和迁移：MySQL自动备份功能可以将备份文件复制到其他数据库服务器上，从而实现数据复制和迁移。这对于开发团队测试或生产系统的新部署非常重要。 性能和安全：在系统中使用MySQL自动备份功能可以帮助数据库管理员决定何时进行备份，并且可以按时调度任务。这样可以避免在系统高峰期间执行备份操作，造成性能问题。此外，备份还可以加密， 并保存在安全的地方以保护数据。 手动备份 手动备份通常应用于以下场景： 应急备份：MySQL手动备份可以在需要时立即备份所有数据，并在紧急情况下恢复。这对于快速回滚到过往版本的数据库非常有用，从而修复由数据损坏、恶意活动导致的问题。 数据库迁移：在数据库迁移期间，手动备份允许您复制数据库并在另一个服务器或云服务环境中恢复数据。在迁移过程中，确保数据不会丢失，以及在迁移结束时，确保应用程序的正常运行。 需要进行定时备份的服务器：在一些服务器中，如果由于备份文件大小、太大或者检测到性能问题导致自动备份不可行的情况下，手动备份可以作为一种替代方法。通过管理员手动设置时间表，公司可以安排定期手动备份以保护其数据。

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 cpp Aws::String ak " "; Aws::String sk " "; Aws::String endPoint " "; ​ Aws::Auth::AWSCredentials cred(ak, sk); Aws::Client::ClientConfiguration cfg; cfg.endpointOverride endPoint; cfg.scheme Aws::Http::Scheme::HTTP; cfg.verifySSL false; stsclient new Aws::STS::STSClient(cred, cfg); 获取临时token cpp const Aws::String roleArn "arn:aws:iam:::role/xxxxxx"; const Aws::String roleSessionName " "; const Aws::String bucketname " "; const Aws::String policy "{"Version":"20121017"," ""Statement":" "{"Effect":"Allow"," ""Action":["s3:"]," // 允许进行 S3 的所有操作。如果仅需要上传，这里可以设置为 PutObject ""Resource":["arn:aws:s3:::" + bucketname + "","arn:aws:s3:::" + bucketname + "/"]"// 允许操作默认桶中的所有文件，可以修改此处来保证操作的文件 "}}"; Aws::STS::Model::AssumeRoleRequest request; request.SetPolicy(policy); request.SetRoleArn(roleArn); request.SetRoleSessionName(roleSessionName); std::cout AssumeRole(request); if (outcome.IsSuccess()) { auto& cred outcome.GetResult().GetCredentials(); std::cout << "ak:" << cred.GetAccessKeyId() << std::endl; std::cout << "sk:" << cred.GetSecretAccessKey() << std::endl; std::cout << "token:" << cred.GetSessionToken() << std::endl; return true; } else { auto err outcome.GetError(); std::cout << "Error: AssumeRole: " << err.GetExceptionName() << ", " << err.GetMessage() << std::endl; return false; }

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 php require '/path/to/autoload.php'; use AwsStsStsClient; use AwsExceptionAwsException; use AwsCredentialsCredentials; ​ const endpoint ' '; // e.g. or const accesskey ' '; const secretkey ' '; ​ $credentials new Credentials(accesskey, secretkey); ​ $this>stsClient new StsClient([ 'region' > 'ctyun', // region固定填ctyun 'version' > '20110615', // sts接口版本号，固定填20110615 'credentials' > $credentials, 'endpoint' > endpoint, ]); 获取临时token php public function AssumeRole() { $bucket ' '; $arn ' '; ​ $roleSessionName ' '; $roleArn "arn:aws:iam:::role/$arn"; $policy "{"Version":"20121017","Statement":{"Effect":"Allow","Action":["s3:"],"Resource":["arn:aws:s3:::$bucket","arn:aws:s3:::$bucket/"]}}"; ​ try { $res $this>stsClient>assumeRole([ 'Policy' > $policy, 'RoleArn' > $roleArn, 'RoleSessionName' > $roleSessionName, ]); vardump($res>get('Credentials')); } catch (AwsStsExceptionStsException $e) { echo "Exception: $e"; } } 参数说明： 参数 类型 描述 是否必要 RoleArn String 角色的ARN，在控制台创建角色后可以查看 是 Policy String 角色的policy，需要是json格式，限制长度1~2048 是 RoleSessionName String 角色会话名称，此字段为用户自定义，限制长度2~64 是 DurationSeconds Integer 会话有效期时间，默认为3600s 否

状态 说明 正常 数据库实例运行正常。 异常 数据库实例不可用。 创建中 正在创建数据库实例。 创建失败 数据库实例创建失败。 备份中 正在创建数据库实例备份。 重启中 按照用户请求，或修改需要重启才能生效的数据库参数后，重启实例中。 主备切换中 正在切换副本集实例及集群实例的shard、config的主备节点。 节点扩容中 正在扩容集群实例的shard或mongos节点个数。 删除节点中 正在删除添加失败的节点。 存储扩容中 正在扩容实例的磁盘大小。 规格变更中 正在变更实例的CPU和内存规格。 转包周期中 实例的计费方式正在由“按需计费”转为“包年/包月”。 恢复检查中 该实例下的备份正在恢复到新实例。 恢复中 该实例下的备份正在恢复到已有实例。 恢复失败 通过备份恢复到已有实例失败。 切换SSL中 正在开启或关闭SSL通道。 慢日志配置修改中 正在切换慢日志明文显示开关。 修改内网地址中 正在修改节点的内网IP地址。 修改端口号中 正在修改数据库实例的端口。 修改安全组中 正在修改数据库实例的安全组。 冻结 账户余额小于或等于0元，系统对该用户下的实例进行冻结。您需前往费用中心充值成功，欠款核销后，冻结的实例才会解冻。 补丁升级中 正在进行补丁升级。 包周期变更资源检查中 包周期实例在进行变更过程中所持续的状态。

参数 说明 地域 终端节点服务所在地域，页面左上角可切换地域。不同地域的资源之间内网不互通，为了最优化的性能，请选择靠近您的地域，以降低网络时延并提高访问速度。 名称 终端节点服务的名称。名称由数字、字母、中文、、组成，不能以数字、和开头。 VPC 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，当前支持“接口”类型终端节点服务。 IP地址类型 服务IP地址类型，IPV4：仅自持IPV4类型终端节点连接，实现IPV4地址私网访问服务，双栈：支持IPV4和IPV6类型终端节点连接，实现IPV4和IPV6地址的私网访问服务。选择双栈类型时，挂载的后端服务资源池必须也是双栈类型资源。 是否自动接收连接 是否自动接收终端节点与终端节点服务的连接，审核权由终端节点服务控制。 可选择“是”或“否”。选择“否”不自动接受连接，则创建的终端节点为“待审核”状态，需要终端节点服务审核后方可使用。 服务计费 是否开启服务计费，可选择“是”或“否”。 默认连接服务的终端节点费用有终端节点创建账户支付，如服务开启服务计费后，则连接服务的终端节点费用将由服务所在账户支付，功能仅创建时指定，服务创建后不可修改。 端口映射 终端节点服务与终端节点建立连接，支持通过TCP/UDP协议进行通信。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。 服务端口和终端端口取值范围1～65535，单次操作最多可添加20条端口映射。 访问终端节点服务时，通过"终端端口 → 服务端口"的方式进行数据传输和通信。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 云主机：作为服务器使用。 物理机：作为服务器使用。 虚拟IP：适用于需要主备高可靠的业务。 内网负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。此处选择“内网负载均衡”。 说明：终端节点服务配置的后端资源所在安全组，安全组添加的规则是白名单，需要添加源地址为198.19.128.0/20的白名单入方向规则，详细操作请参考《虚拟私有云用户指南》中的 后端资源子网 选择后端资源所属的子网。 描述（可选） 可添加终端节点服务相关的描述。

本节介绍如何查看IaC检查的文件详情。 前提条件 已上传并扫描需要检查的文件。详细操作请参见上传文件、扫描文件。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > IaC检查”，进入IaC检查页面。 3. 选择需要查看详情的文件所属文件类型。 4. 查找目标文件：点击数据统计模块的风险等级数字可以进行快速筛选，或根据列表上方的筛选条件框对文件列表进行精细筛选。 5. 单击“文件名称/路径”链接，可查看当前文件的扫描结果和具体内容。 6. 针对有风险的检查项，单击检查项的“行数”可快速定位到有风险的配置，方便用户查找并修改文件。 说明 当检查项提示缺少某项设定时，没有提供定位所在行功能，用户根据风险提示信息，在文件中添加相关配置即可。

本章节主要介绍使用Flink运行wordcount作业的操作指导。 前提条件 MRS集群中已安装Flink组件。 集群正常运行，已安装集群客户端，例如安装目录为“/opt/hadoopclient”。以下操作的客户端目录只是举例，请根据实际安装目录修改。 使用Flink客户端（MRS 3.x之前版本） 1. 以客户端安装用户，登录安装客户端的节点。 2. 执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3. 执行如下命令初始化环境变量。 source /opt/hadoopclient/bigdataenv 4.若集群开启Kerberos认证，需要执行以下步骤，若集群未开启Kerberos认证请跳过该步骤。 a.准备一个提交Flink作业的用户。 b.登录Manager，下载认证凭据。 登录集群的Manager界面，具体请参见访问MRSManager（MRS2.x及之前版本），选择“系统设置 > 用户管理”，在已增加用户所在行的“操作”列，选择“更多 > 下载认证凭据”。 c.将下载的认证凭据压缩包解压缩，并将得到的user.keytab文件拷贝到客户端节点中，例如客户端节点的“/opt/hadoopclient/Flink/flink/conf”目录下。如果是在集群外节点安装的客户端，需要将得到的krb5.conf文件拷贝到该节点的“/etc/”目录下。 d.配置安全认证，在“/opt/hadoopclient/Flink/flink/conf/flinkconf.yaml”配置文件中的对应配置添加keytab路径以及用户名。 security.kerberos.login.keytab: security.kerberos.login.principal: 例如： security.kerberos.login.keytab:/opt/hadoopclient/Flink/flink/conf/user.keytab security.kerberos.login.principal: test e.参考“组件操作指南 > 使用Flink > 参考 > 签发证书样例”章节生成“generatekeystore.sh”脚本并放置在Flink的客户端bin目录下，执行如下命令进行安全加固，请参考“组件操作指南 > 使用Flink > 安全加固 > 认证和加密”，password请重新设置为一个用于提交作业的密码。 sh generatekeystore.sh 该脚本会自动替换“/opt/hadoopclient/Flink/flink/conf/flinkconf.yaml”中关于SSL的值，针对MRS2.x及之前版本，安全集群默认没有开启外部SSL，用户如果需要启用外部SSL，请参考“组件操作指南 >使用Flink > 安全加固”进行配置后再次运行该脚本即可。 说明 generatekeystore.sh脚本无需手动生成。 执行认证和加密后会将生成的flink.keystore、flink.truststore、security.cookie自动填充到“flinkconf.yaml”对应配置项中。 f.客户端访问flink.keystore和flink.truststore文件的路径配置。 −绝对路径：执行该脚本后，在flinkconf.yaml文件中将flink.keystore和flink.truststore文件路径自动配置为绝对路径“/opt/hadoopclient/Flink/flink/conf/”，此时需要将conf目录中的flink.keystore和flink.truststore文件分别放置在Flink Client以及Yarn各个节点的该绝对路径上。 −相对路径：请执行如下步骤配置flink.keystore和flink.truststore文件路径为相对路径，并确保Flink Client执行命令的目录可以直接访问该相对路径。 i.在“/opt/hadoopclient/Flink/flink/conf/”目录下新建目录，例如ssl。 cd /opt/hadoopclient/Flink/flink/conf/ mkdir ssl ii. 移动flink.keystore和flink.truststore文件到“/opt/hadoopclient/Flink/flink/conf/ssl/”中。 mv flink.keystore ssl/ mv flink.truststore ssl/ iii. 修改flinkconf.yaml文件中如下两个参数为相对路径。 security.ssl.internal.keystore: ssl/flink.keystore security.ssl.internal.truststore: ssl/flink.truststore 5.运行wordcount作业。 须知 用户在Flink提交作业或者运行作业时，应具有如下权限： 如果启用Ranger鉴权，当前用户必须属于hadoop组或者已在Ranger中为该用户添加“/flink”的读写权限。 如果停用Ranger鉴权，当前用户必须属于hadoop组。 普通集群（未开启Kerberos认证） −执行如下命令启动session，并在session中提交作业。 yarnsession.sh nm " sessionname " flink run/opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar −执行如下命令在Yarn上提交单个作业。 flink run m yarncluster /opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 安全集群（开启Kerberos认证） −flink.keystore和flink.truststore文件路径为绝对路径时： 执行如下命令启动session，并在session中提交作业。 yarnsession.sh nm " sessionname " flink run /opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 执行如下命令在Yarn上提交单个作业。 flink run m yarncluster /opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar −flink.keystore和flink.truststore文件路径为相对路径时： 在“ssl”的同级目录下执行如下命令启动session，并在session中提交作业，其中“ssl”是相对路径，如“ssl”所在目录是“opt/hadoopclient/Flink/flink/conf/”，则在“opt/hadoopclient/Flink/flink/conf/”目录下执行命令。 yarnsession.sh t ssl/ nm " sessionname " flink run/opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 执行如下命令在Yarn上提交单个作业。 flink run m yarncluster yt ssl/ /opt/hadoopclient/Flink/flink/examples/streaming/WordCount.jar 6.作业提交成功后，客户端界面显示如下。 详见下图： 在Yarn上提交作业成功 详见下图：启动session成功 详见下图： 在session中提交作业成功 7. 使用运行用户进入Yarn服务的原生页面，具体操作参考“组件操作指南 > 使用Flink > 查看Flink作业”，找到对应作业的application，单击application名称，进入到作业详情页面。 若作业尚未结束，可单击“Tracking URL”链接进入到Flink的原生页面，查看作业的运行信息。 若作业已运行结束，对于在session中提交的作业，可以单击“Tracking URL”链接登录Flink原生页面查看作业信息。 详见下图：application

前提条件 已经在天翼云华东1地域创建了一个VPC1，VPC1中使用弹性云主机部署了相关业务。 已经获取各个办公点本地网关设备的公网IP地址。 已经了解VPC1中弹性云主机实例所应用的安全组规则以及各办公点所应用的安全组规则，并确保安全组规则允许弹性云主机实例、各个办公点、VPC1之间相互通信。 配置流程 步骤一：创建VPN网关 1. 登录控制中心。 2. 单击控制中心左上角的，选择目标资源池。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在VPN网关页面，单击“创建VPN网关”，进入订购页面，按照提示配置参数。 参数 说明 取值样例 地域 VPN网关所在的资源池。 华东1 名称 VPN网关的名称。 vpngateway1 网关类型 选择VPN网关的类型。 普通 实例类型 选择VPN网关的实例类型。 IPsec 企业项目 选择当前VPN网关归属项目。 default 本端类型 通过VPN网关接入的资源类型。 虚拟私有云VPC 虚拟私有云 选择要使用的VPC作为本端资源。 vpc682f 子网 选择当前VPC中本端的子网资源。 subnet682f (192.168.1.0/24) IPsec带宽 VPN网关要通过弹性IP访问公网，这里选择对应的弹性IP带宽大小，单位 Mbps，5M 起售。 20M IPsec连接数 选择对应的IPsec VPN并发连接数。 20 购买时长 包年包月场景需要选择，购买VPN网关实例的时长。 6个月 自动续订 资源到期后自动续订，按月购买时按月续订，按年购买时按年续订。 开启 5. 单击“下一步”。 6. 在购买确认页，勾选服务协议，点击“确认下单”，进入订单列表。 7. 在订单页面，单击“立即支付”，支付成功后，VPN网关创建成功。

本文为您介绍云搜索实例内用户的创建和权限配置功能。 原理介绍 系统默认有admin用户，在admin用户下，可以创建不同用户。 账号密码提供了身份认证（authc），通过角色的映射实现了授权（authz），两者共同实现了多用户下的安全控制。 功能介绍 Elasticsearch和OpenSearch的此项功能类似，下面以OpenSearch Dashboards为例说明。 在OpenSearch Dashboards的左边栏Security菜单中，用户可以实现集群、索引、文档、字段等不同粒度的访问权限管控，并且提供灵活的用户删除、用户和角色的绑定和解绑。 下面，我们就以创建新用户并赋予它一个具备一定的访问权限的角色为例。 注意 必须登录admin账号创建其他用户。 1、创建Internal users 点击左边栏Security后，选择右上角Create internal user来创建用户。在页面中，我们输入用户名密码，并点击右下角“Create”创建用户。 用户创建完成后，我们自动返回Internal users界面，可以看到search用户已经创建完成。 2、创建角色 角色通过索引、实例多维度的精细访问控制，实现对实例、索引权限的安全组划分。如果复用已有的默认角色（不可删除），则无需创建，可以跳过此步骤。 下面我们将演示如何自定义角色。 登录左边栏Security界面，选择Roles，并且在右上角点击Create role： 1. 我们分别创建了角色名SearchRole，并且，在Cluster permission中给它赋予了相应的安全组权限。 2. 我们给它设定了索引级别的更细粒度的Index permission。 3. 下面还可以设置Document和Field维度的进一步细粒度的权限控制。 4. 点击右下角的Create ，就可以创建好角色SearchRole。

本文主要介绍使用SSL证书连接。 创建实例时开启SASLSSL访问，则数据加密传输，安全性更高。 DMS的RabbitMQ实例兼容开源协议，请参考RabbitMQ官网提供的不同语言的连接和使用向导：< 本节以DMS提供的demo为例，介绍VPC内访问与使用RabbitMQ的方法，假设RabbitMQ客户端部署在弹性云主机上。 前提条件 参考创建RabbitMQ实例章节创建RabbitMQ示例，并记录创建时输入的用户名和密码。 创建完成后，单击实例名称，查看并记录实例详情中的“连接地址”。 已创建弹性云主机，并且弹性云主机的VPC、子网、安全组与RabbitMQ实例的VPC、子网、安全组保持一致。 已完成JDK安装及环境变量配置，具体操作请参考准备环境。 命令行模式连接实例 以下操作命令以Linux系统为例进行说明。 1、下载RabbitMQTutorialSSL.zip示例工程代码。 2、解压RabbitMQTutorialSSL.zip压缩包。 $ unzip RabbitMQTutorialSSL.zip 3、进入RabbitMQTutorialSSL目录，该目录下包含预编译好的jar文件。 $ cd RabbitMQTutorialSSL 4、运行生产消息示例。 $ java cp .:rabbitmqtutorialsll.jar Send host port user password 其中，host表示RabbitMQ实例的连接地址，port为RabbitMQ实例的监听端口（默认为5671），user表示RabbitMQ用户名，password表示用户名对应的密码。 图1 生产消息示例 使用Ctrl+C命令退出。 5、运行消费消息示例。 $ java cp .:rabbitmqtutorialsll.jar Recv host port user password 其中，host表示RabbitMQ实例的连接地址，port为RabbitMQ实例的监听端口（默认为5671），user表示RabbitMQ用户名，password表示用户名对应的密码。 图2 消费消息示例 如需停止消费使用Ctrl+C命令退出。

本章介绍天翼云关系型数据库的数据库安全如何设置。 帐户密码等级设置 注意 Microsoft SQL Server自身支持关闭数据库密码复杂度检查机制，为了保障数据库安全，建议不要关闭该机制。 在客户端新创建的数据库用户，默认设置了密码安全策略，但用户可取消，建议用户启用该策略： 1、密码长度为8～128个字符。 2、密码至少为大写字母、小写字母、数字和特殊字符任意三种的组合。 3、密码不得包含用户名。 创建实例时，为用户提供了密码复杂度校验，由于rdsuser用户可修改密码复杂度，安全起见，建议修改后的密码复杂度不低于关系型数据库的初始化设置。 帐户说明 您在创建RDS for SQL Server数据库实例时，系统会自动为实例创建如下系统帐户（用户不可使用），用于给数据库实例提供完善的后台运维管理服务。 注意 如果试图删掉、重命名、修改这些系统帐户的密码和权限，会导致出错，请谨慎操作。 rdsadmin：数据库实例的超级管理员，具有sysadmin服务角色，用于后台查询实例信息、监控实例状态、故障排查、迁移、恢复等操作。 rdsmirror：用于创建镜像端点，主备复制帐户。 rdsbackup：备份帐户，用于后台的备份。 Mike：RDS for SQL Server中的Windows系统帐户，用于在初始化实例时执行初始化SQL，包括创建rdsadmin数据库和相关帐户等。

对象存储(Object Storage Service,OBS),是一个基于对象的海量存储服务,为客户提供海量、安全、高可靠、低成本的数据存储能力,包括:创建、修改、删除桶,上传、下载、删除对象等。支持S3协议,部分节点支持文件语义、HDFS协议。OBS系统和单个桶都没有总数据容量和对象/文件数量的限制,为用户提供了超大存储容量的能力,适合存放任意类型的文件,适合普通用户、网站、企业和开发者使用。

关键特性 AD域作为Windows的一项企业级能力，有以下2个关键特性，适用于广泛的应用场景。 用户账户管理 企业可以通过 AD 域集中管理员工的用户账户，包括创建、修改、删除用户账号，重置密码等操作。适用于一些大型组织和机构，或进行分支机构管理。 资源访问控制 文件系统中存储企业内部各种资源，AD域可以根据用户角色控制文件系统中文件和文件夹的访问权限，保证资源池安全。

本节介绍了云数据库GaussDB 的应用场景。 交易型应用 大并发、大数据量、以联机事务处理为主的交易型应用，如政务、金融、电商、O2O、电信CRM/计费等，服务能力支持高扩展、弹性扩缩，应用可按需选择不同的部署规模。 详单查询 具备PB级数据负载能力，通过内存分析技术满足海量数据边入库边查询要求，适用于安全、电信、金融、物联网等行业的详单查询业务。

本节主要介绍操作系统更新。 GeminiDB Influx实例需要适时进行操作系统更新，以提高数据库性能和数据库的整体安全状况。 实例内核版本升级时，GeminiDB Influx会根据操作系统的实际情况，决定是否更新以及更新适合的操作系统冷补丁版本。 操作系统更新不会更改数据库实例的版本或数据库实例信息。 此外，GeminiDB Influx会在用户设置的运维时间段内，通过热补丁方式及时修复影响重大的操作系统漏洞。

编译安装(仅限Linux操作系统) 从源码上编译上安装。 1. 下载源码： redis7.2.4.tar.gz 2. 解压缩安装包 tar zxf redis7.2.4.tar.gz 3. 编译 cd redis7.2.4 make 4. 安装 make install 性能测试建议 为了排除网络或其他因素干扰， 建议Redis服务、ECS机器都是在同一个VPC区、可用区、子网和安全组。 而且压测的ECS机器也关闭了所有的防火墙。

参数 描述 是否必须 AWSAccessKeyId 用户的AccessKeyID信息，可以登录到可以登录到对象存储（经典版）I型控制中心，点击“访问控制”>“安全凭证”>“密钥”查看；或者调用ListAccessKey查看。 类型：字符串。 是 Expires 签名过期时间，按照秒来计算的。服务器端超过这个时间的请求将被拒绝。 类型：字符串。 是 Signature URL是按照HMACSHA1的StringToSign的Base64编码方式编码。 类型：字符串。 是

本章为您介绍数据水印功能会不会修改源数据。 天翼云数据安全中心服务的数据水印功能不会修改源数据。 使用数据水印功能时，DSC通过调用OBS桶数据或者本地文件，将水印信息嵌入到文件后生成新的文档，该文档会下载到您指定的本地路径，所以对源数据不会有任何影响。更详细的了解，请参考数据水印章节。

云堡垒机可以跨区域或跨VPC网络管理主机吗？ 不建议。 云堡垒机仅支持直接管理同一VPC内资源，即可直接访问同一VPC内资源。 虽跨区域或跨VPC可通过云服务构建网络连接，但受限于网络的不稳定性，不建议跨区域或跨VPC使用云堡垒机纳管资源。 云堡垒机支持在专属云上使用吗？ 支持。 专属云（Dedicated Cloud）是面向企业、政府、金融等客户，提供计算、存储资源池以及网络、管控多级隔离的综合解决方案。用户独享专属资源池，与公有云资源物理隔离，满足特定性能、应用及安全合规等要求。

威胁分析页面顶部的数据统计栏展示了所有安全组件产生的告警数量及风险级别。 风险项级别分为5级： 严重（红）； 高（橙）； 中（黄）； 低（蓝）； 提示（绿）。 统计项目包括存在告警的服务器数量、待处理告警数、急需处理告警数、所有告警总数，急需处理报警包括严重与高级别报警 。 点击统计项目数字及风险项级别，可以把统计项目与风险级别加为筛选条件，页面下方的趋势图、告警云、TOP10、告警列表会即时根据筛选结果更新。 如需取消筛选条件，在告警列表头上方删除条件。

相关引用 @misc{cai2024internlm2, title{InternLM2 Technical Report}, author{Zheng Cai and Maosong Cao and Haojiong Chen and Kai Chen and Keyu Chen and Xin Chen and Xun Chen and Zehui Chen and Zhi Chen and Pei Chu and Xiaoyi Dong and Haodong Duan and Qi Fan and Zhaoye Fei and Yang Gao and Jiaye Ge and Chenya Gu and Yuzhe Gu and Tao Gui and Aijia Guo and Qipeng Guo and Conghui He and Yingfan Hu and Ting Huang and Tao Jiang and Penglong Jiao and Zhenjiang Jin and Zhikai Lei and Jiaxing Li and Jingwen Li and Linyang Li and Shuaibin Li and Wei Li and Yining Li and Hongwei Liu and Jiangning Liu and Jiawei Hong and Kaiwen Liu and Kuikun Liu and Xiaoran Liu and Chengqi Lv and Haijun Lv and Kai Lv and Li Ma and Runyuan Ma and Zerun Ma and Wenchang Ning and Linke Ouyang and Jiantao Qiu and Yuan Qu and Fukai Shang and Yunfan Shao and Demin Song and Zifan Song and Zhihao Sui and Peng Sun and Yu Sun and Huanze Tang and Bin Wang and Guoteng Wang and Jiaqi Wang and Jiayu Wang and Rui Wang and Yudong Wang and Ziyi Wang and Xingjian Wei and Qizhen Weng and Fan Wu and Yingtong Xiong and Chao Xu and Ruiliang Xu and Hang Yan and Yirong Yan and Xiaogui Yang and Haochen Ye and Huaiyuan Ying and Jia Yu and Jing Yu and Yuhang Zang and Chuyu Zhang and Li Zhang and Pan Zhang and Peng Zhang and Ruijie Zhang and Shuo Zhang and Songyang Zhang and Wenjian Zhang and Wenwei Zhang and Xingcheng Zhang and Xinyue Zhang and Hui Zhao and Qian Zhao and Xiaomeng Zhao and Fengzhe Zhou and Zaida Zhou and Jingming Zhuo and Yicheng Zou and Xipeng Qiu and Yu Qiao and Dahua Lin}, year{2024}, eprint{2403.17297}, archivePrefix{arXiv}, primaryClass{cs.CL} } 免责声明 InternLM2Chat7B模型来源于第三方，本平台不保证其合规性，请您在使用前慎重考虑，确保合法合规使用并遵守第三方的要求。

本章节介绍MSE Nacos SDK的应用以及相关限制因素 概述 MSE Nacos 适用于各种微服务业务系统和应用场景，既可以单独使用也可以与微服务云应用平台、云容器引擎、应用服务网格等组合使用。为了您服务的稳定性，需要注意一些限制。本文介绍MSE Nacos SDK的应用以及相关的限制因素。 SDK的应用 如果您使用的技术栈是Java，既可以通过开源的Nacos客户端 SDK，也可以通过集成Spring Cloud、Dubbo等框架集成Nacos客户端访问Nacos实例，实现服务注册发现和配置管理；如果您业务使用的技术栈是Go、C++、Python、Nodejs，也可以通过开源客户端或者相关框架，访问 Nacos实例。另外， Nacos作为微服务系统的核心组件之一，也可以与服务网格和微服务网关、服务治理等组件整合使用，为云原生应用开发者提供更强大的能力。 技术栈 原生SDK 框架（Spring Boot） 框架（Spring Cloud） Java Naocs提供Java SDK 连接实例。 Spring Boot框架的接入方案请参考章节：Nacos Spring Boot快速接入 Spring Cloud框架的接入方案请参考章节：如何在MSE上为Spring Cloud应用构建服务注册中心？ SDK的使用限制 Java 不推荐的版本 不推荐原因 解决方案 0.X ~ 1.3.X 版本陈旧，影响性能。 升级至1.4.3及以上版本。 小于1.2.0 该部分版本不支持username和password注入，即不支持鉴权。 升级至1.4.3及以上版本。 1.3.3 该版本客户端不支持在密码中使用特殊字符。 升级至1.4.3及以上版本。 1.4.0 ~ 1.4.2 1.4.2版本使用配置加解密功能时，getConfigAndSignListener接口查询加密配置时返回内容为明文。 升级至1.4.3及以上版本。

函数计算平台提供两种方式直接访问函数：自定义域名和Http触发器。这两种方式各自都支持公网访问和内网访问，根据不同的访问场景，部分需要额外配置。 公网访问 对于公网访问，根据相关规章制度，需要您提供合规的域名用于创建自定义域名，并在公网配置指定的公网CNAME记录，此举的目的是为了验证您拥有此域名的所有权 ，具体请看自定义域名。创建公网的自定义域名后，您既可直接通过自定义域名访问，也可以把该自定义域名用于创建公网Http触发器，具体请看Http触发器。 内网访问 内网访问也需要在公网配置指定的内网CNAME记录，操作步骤和公网一致，除此之外，根据不同的内网访问场景，还需要额外配置VPCE和内网DNS解析。 从vpc环境内直接访问函数，例如云主机。 创建函数计算服务的终端节点（VPCE）。创建步骤请查看创建VPCE，选择cn.ctyun.cnhuadong1.faas 函数服务，同时打开高级配置中的“私网域名”。 配置内网域名。具体步骤请查看内网域名，该内网域名保持和您的自定义域名一致。 创建解析记录，添加CNAME类型记录值。具体步骤请查看添加记录值，这里建议添加两条记录，一条主机记录为空，一条主机记录填写通配符，记录值均填写内网CNAME值。

本章节主要介绍查看集群监控指标。 操作步骤 1. 登录翼MR控制台。 2. 选择“我的集群 ”，单击集群名称进入集群详情页面。 3. 在集群详情页，选择“翼MR Manager”点击“前往翼MR Manager”进入运维管理平台。 4. 进入到翼MR Manager以后，选择“监控与告警 > 指标查询” ，即可查看集群监控指标。 5. 在“所属集群服务”选择需要查看的集群。 6. 在“IP”处选择待查询的相关角色实例的节点IP，可复选。 7. 在“分类”处选择需要设置的指标分类。默认勾选常用指标分类，可自主再添加其他选项，可供选择的选项如下：进程基础、线程基础、网络、CPU、磁盘、内存、edac、文件描述符、系统、文件系统、进程、socket、软中断、时钟、虚拟内存、xfs文件系统、ARP。 8. 在“时间范围”选择需要查看监控数据的时间段。可供选择的选项如下：昨天、上周、本周、上月、本月、去年、自定义。 9. 点击“查询”并显示所选指标分类。 10. 选择任意一种指标分类，点击左侧箭头展开，显示某一指标分类下的所有指标。 说明 常用指标类别共计18项，包含如下指标： 网卡接收比特率 网卡接收丢包率 网卡接收错误包率 网卡发送比特率 网卡发送丢包率 网卡发送错误包率 CPU使用率 磁盘读取平均用时 磁盘IO使用率 磁盘写入平均用时 磁盘IO操作平均用时 内存空闲率 1分钟平均负载 5分钟平均负载 15分钟平均负载 磁盘inode空闲率 磁盘容量空闲率 Blocked状态进程数 11. 选择任一类别下的某一指标，点击右侧的“展开绘图”即查看对应集群的监控指标。

本文介绍如何在查询窗口对数据库进行查询、更新等操作，以及对结果集进行可视化编辑、导出，对常用的SQL进行管理等操作。 前提条件 已将实例添加至组织，添加实例详见添加云数据库、添加公网/直连数据库 已准备好该实例的账号、密码。 操作步骤 平台提供了多个进入查询窗口页面的入口，包括从控制台首页 进入、从菜单栏实例列表 进入、从实例管理页面进入等。 从控制台首页进入 1. 在首页功能简介里点击实例列表 ，打开实例列表。 2. 在实例列表弹窗里，点击展开目标实例，显示库/模式列表。 3. 右键单击目标库或者目标模式后打开悬浮窗，点击查询窗口进入；或双击目标库/模式打开查询窗口。 从实例列表进入 1. 在右侧菜单栏中，选择实例列表 ，打开实例列表。 2. 在实例列表弹窗里，点击展开目标实例，显示库/模式列表。 3. 右键单击目标库或者目标模式后打开悬浮窗，点击查询窗口进入；或双击目标库/模式打开查询窗口。 从实例管理页面进入 1. 在左侧菜单栏中，选择 数据资产 >实例管理 ，进入实例管理页面。 2. 点击实例列表中的查询操作进入查询窗口操作页面。 功能介绍 使用SQL语句操作数据库 查询窗口目前能够很好的支持MySQL、PostgreSQL、SQLServer、DRDS、MongoDB、DDS的大部分语法，以查询数据为例： 1. 进入查询窗口。 2. 双击表名称可在SQL编辑器中自动生成查询表的SQL语句，也可输入查询语句后，点击执行按钮，即可在执行结果区域显示查询的数据。 3. 支持同时执行多条SQL语句，在执行结果区域会生成多个结果集。

参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一，使用同一个ClientToken值，其他请求参数相同时，则代表为同一个请求。保留时间为24小时 4cf2962de92c4c009181cfbb2218636c regionID 是 String 资源池ID，您可以查看 bb9fdb42056f11eda1610242ac110002 instanceID 是 String 轻量型云主机ID，您可以查看 adc614e0e838d73f0618a6d51d09070a diskName 是 String 磁盘名称，名称规则：长度2~63，不支持中文。注：当创建多块云硬盘时（即参数diskCount的值大于1时），第二块盘起名称会追加序号。 voltest diskType 是 String 磁盘类型，取值范围： SATA（普通IO）， SAS（高IO）， SSD（超高IO） 您可以查看 diskSize 是 Integer 磁盘容量，单位为GB，取值范围：[10, 32768] 20 diskCount 否 String 本地订购磁盘数量。注：不填写默认为1块盘，创建多块盘时填写多个；该参数值受单台轻量型云主机挂载硬盘上限值限制。

本文主要介绍什么是云容器引擎 。 Kubernetes是主流的开源容器编排平台。为了让用户可以方便地在云上使用Kubernetes管理容器应用，天翼云推出了基于原生Kubernetes的云容器引擎服务。 云容器引擎（Cloud Container Engine，简称CCE）提供高度可扩展的、高性能的企业级Kubernetes集群，支持运行Docker容器。借助云容器引擎，您可以在云上轻松部署、管理和扩展容器化应用程序。 云容器引擎深度整合了高性能的计算（ECS/BMS）、网络（VPC/EIP/ELB）、存储（EVS/OBS/SFS）等服务，并支持CPU、GPU等异构计算架构，支持多可用区（Available zone，简称AZ）、多区域（Region）容灾等技术构建高可用Kubernetes集群，并提供高性能可伸缩的容器应用管理能力，简化集群的搭建和扩容等工作，让您专注于容器化应用的开发与管理。 名词解释 使用云容器引擎服务，会涉及到以下基本概念： 集群： 是指容器运行所需云资源的集合，包含了若干台云主机、负载均衡器等云资源。 实例（Pod）： 由相关的一个或多个容器构成一个实例，这些容器共享相同的存储和网络空间。 工作负载： Kubernetes资源对象，用于管理Pod副本的创建、调度以及整个生命周期的自动控制。 Service： 由多个相同配置的实例（Pod）和访问这些实例（Pod）的规则组成的微服务。 Ingress： Ingress是用于将外部HTTP（S）流量路由到服务（Service）的规则集合。 Helm应用： Helm是管理Kubernetes应用程序的打包工具，提供了Helm Chart在指定集群内图形化的增删改查。 镜像仓库： 用于存放Docker镜像，Docker镜像用于部署容器服务。 您在使用前可以了解更多Kubernetes相关知识，具体请参见

本章节主要介绍分布式消息服务RabbitMQ的实例类问题。 RabbitMQ使用的版本是多少？ 服务端RabbitMQ的版本是3.8.35。 RabbitMQ实例SSL连接的协议版本号是多少？ TLS v1.2版本。 创建实例时为什么无法查看子网和安全组等信息？ 创建实例时，如果无法查看虚拟私有云、子网、安全组、弹性IP，可能原因是该用户无Server Administrator和VPC Administrator权限，增加权限的详细步骤请参考《统一身份认证服务 用户指南》的“用户指南 > 用户组及授权 > 查看或修改或删除用户组”章节。 若其中一台RabbitMQ重启失败，需要会如何处理？ 重启RabbitMQ实例时，不会重启实例所在虚拟机，仅重启RabbitMQ进程。 重启集群实例时，若其中一台RabbitMQ进程重启失败，则重启后实例状态依然为“运行中”，并提示“部分节点故障”。在每台虚拟机上都有RabbitMQ的守护进程，定时检查RabbitMQ进程是否存在，当进程不存在时会自动拉起RabbitMQ进程。 如果RabbitMQ实例异常持续超过1分钟，会上报告警。 RabbitMQ集群实例如何均衡分发请求到每个虚拟机？ 集群内部使用LVS做负载均衡，由LVS将请求均衡分发到每个虚拟机节点。 RabbitMQ实例集群内部的队列是否有冗余备份？ 队列是否做镜像（即冗余备份）取决于用户的需要，如果用户设置了镜像，会在集群中多个代理上存储队列的副本，当某个代理故障，集群会从其他正常的代理中选择一个代理，用来同步队列数据。

配置VNC Server 1.首先停止第一个虚拟桌面。 vncserver kill :1 2.修改xstartup文件。 vim ~/.vnc/xstartup 按“i”进入编辑模式，添加以下内容： !/bin/sh xrdb $HOME/.Xresources startxfce4 & 其中， 第一个命令“xrdb $HOME/.Xresources”告诉VNC的GUI框架读取服务器用户的“.Xresources”文件。用户可以在“.Xresources”中更改图形桌面的某项设置，如终端颜色、光标主题和字体渲染。 第二个命令“startxfce4 &”告诉服务器启动Xfce。 3.为了保证VNC服务正常启动，需要配置可执行。 sudo chmod +x ~/.vnc/xstartup 4.重启VNC Server。 vncserver 第二次运行vncserver时，它将创建日志文件。 回显信息中出现类似这样的一条信息：Log file is /root/.vnc/xxx:1.log。其中，“1”表示当前用户分配的是VNC的第一个虚拟桌面。VNC的端口号为：5900+虚拟桌面号码，VNC Viewer客户端连接云主机时会使用该端口号。 云主机控制台配置 1.登录云主机管理控制台。 2.单击弹性云主机名称，进入详情页面。 3.在“安全组”页签，单击“更改安全组规则”，放行5901端口。 说明： 如果4.重启VNC Server中回显的日志文件为“xxx:2.log”，则需要放行5902端口；如果为“xxx:3.log”，则需要放行5903端口，以此类推。

本文介绍镜像服务的功能特性。 创建弹性云主机 用户根据业务需求可选择合适的公共镜像、私有镜像、安全镜像、共享镜像或应用镜像，并通过该镜像创建弹性云主机。 公共镜像、安全产品镜像、应用镜像由天翼云管理，用户只能查看镜像，不能修改和删除。 私有镜像仅用户可见，可进行编辑、共享、删除。 共享镜像仅共享者和被共享者可见，共享者可进行共享、取消共享，被共享者可接受或者拒绝由其他用户共享的私有镜像。 创建私有镜像 用户自定义的私有镜像来源有3种： 通过WEB控制台创建：用户登录弹性云主机控制台，选择需创建私有镜像的弹性云主机，填入相关信息后即可创建私有镜像，私有镜像只在选定弹性云主机所在区域可见。 自主上传：私有镜像的自主上传功能基于对象存储，对于有对象存储的资源池，用户可将自行制作的私有镜像上传至此资源池。 线下上传：如果当前资源池不支持镜像导入的功能，用户想将线下环境制作的镜像导入天翼云资源池，可联系天翼云客服人员，用户提供镜像的链接和天翼云账号（需要客户明确授权），运维人员会将镜像上传到指定区域，上传完毕后，用户即可在天翼云控制台查看并管理该私有镜像。 私有镜像管理 私有镜像只有用户自己可见，用户通过天翼云控制台管理私有镜像，进行查询、修改、删除操作，并可通过私有镜像创建弹性云主机。