本章节主要介绍创建MySQL连接器。 MySQL连接适用于第三方云MySQL服务，以及用户在本地数据中心或ECS上自建的MySQL。本教程为您介绍如何创建MySQL连接器。 前提条件 已获取连接MySQL数据库的IP地址、端口、数据库名称、用户名、密码，且该用户拥有MySQL数据库的读写权限。 本地MySQL数据库可通过公网访问。如果MySQL服务器是在本地数据中心或第三方云上，需要确保MySQL可以通过公网IP访问，或者是已经建立好了企业内部数据中心到云服务平台的VPN通道或专线。 已创建CDM集群。 新建MySQL连接器 1.进入CDM主界面，单击左侧导航上的“集群管理”，选择CDM集群后的“作业管理 >连接管理 > 驱动管理”，进入驱动管理页面。 详见下图：上传驱动 2.单击“驱动管理”页面左上角“驱动下载地址”链接下载MySQL的驱动，详情请参见管理驱动章节中的“如何获取驱动”。 3.在“驱动管理”页面中，选择以下方式上传MySQL驱动。 方式一：单击对应驱动名称右侧操作列的“上传”，选择本地已下载的驱动。 方式二：单击对应驱动名称右侧操作列的“从sftp复制”，配置sftp连接器名称和驱动文件路径。 4.在“集群管理”界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面，如下图所示。 选择连接器类型 5.连接器类型选择“MySQL”后单击“下一步”，配置MySQL连接的参数，参数如下表所示。 详见下图：创建MySQL连接 MySQL连接参数 参数名 说明 取值样例 名称 输入便于记忆和区分的连接名称。 mysqllink 数据库服务器 MySQL数据库的IP地址或域名。 192.168.1.110 端口 MySQL数据库的端口。 3306 数据库名称 MySQL数据库的名称。 sqoop 用户名 拥有MySQL数据库的读、写和删除权限的用户。 admin 密码 用户的密码。 使用本地API 使用数据库本地API加速（系统会尝试启用MySQL数据库的localinfile系统变量）。 是 使用Agent 是否选择通过Agent从源端提取数据。 是 localinfile字符集 mysql通过localinfile导入数据时，可配置编码格式。 utf8 驱动版本 适配mysql的驱动。 Agent 单击“选择”，选择连接Agent中已创建的Agent。 单次请求行数 指定每次请求获取的行数。 1000 单次提交行数 支持通过agent从源端提取数据 1000 连接属性 自定义连接属性。 useCompressiontrue 引用符号 连接引用表名或列名时的分隔符号。默认为空。 ' 单次写入行数 指定单次批量写入的行数，当写入行数累计到单次批量提交行数时提交一次，该值应当小于单次提交行数。 100 6.单击“保存”回到连接管理界面，完成MySQL连接器的配置。 说明 如果保存时出错，一般是由于MySQL数据库的安全设置问题，需要设置允许CDM集群的EIP访问MySQL数据库。

参数名 参数解释 样例值 虚拟私有云 指定集群节点使用的虚拟专用网络，实现不同业务的网络隔离。 首次创建数据仓库集群时，如果未配置过虚拟私有云，可以单击“查看虚拟私有云”进入虚拟私有云管理控制台，新创建一个满足需求的虚拟私有云。 如何创建虚拟私有云，具体请参见 可以刷新“虚拟私有云”下拉框中选项值。 vpcdws 子网 指定虚拟私有云的一个子网。 集群使用子网实现与其他网络的隔离，并独享所有网络资源，以提高网络安全。 集群创建成功后不支持修改子网，如果一定需要修改，可通过集群恢复快照到新集群，新集群的数据和旧集群一样且新集群在创建时子网可以更改。 subnetdws 安全组 指定虚拟私有云的安全组。 安全组限制安全访问规则，加强集群与其它服务间的安全访问。 1）自动创建安全组 系统默认选中“自动创建安全组”，设置为该选项时，系统将会自动创建一个默认安全组。 默认安全组的规则如下：出方向允许所有访问，入方向只开放用户设置的数据仓库服务(DWS)集群的数据库端口。 默认安全组的名称，其格式如下：dws<集群名称 ><GaussDB(DWS) 集群的数据库端口 >，例如，dwsdwsdemo8000。 如果安全组和安全组规则的配额不足，提交创建集群申请后系统会报错，用户可以选择已有的安全组后重试。 2）手动创建并配置安全组 手动创建并配置安全组用户也可以登录VPC管理控制台手动创建一个安全组，然后回到数据仓库服务(DWS)创建集群页面，单击“安全组”下拉列表旁边的按钮，刷新后在“安全组”下拉列表中选择新建的安全组。 为了使数据仓库服务(DWS)客户端可以连接集群，用户需要在新建的安全组中添加一条入规则，开放数据仓库服务(DWS)集群的数据库端口的访问权限。入规则示例如下： − 协议：TCP。 − 端口范围：8000。指定为创建数据仓库服务(DWS)集群时设置的数据库端口，这个端口是数据仓库服务(DWS)用于接收客户端连接的端口。 − 源地址：选中“IP地址”，然后指定为客户端主机的IP地址，例如“192.168.0.10/32”。 数据仓库服务(DWS)集群创建成功后，安全组支持更改为其他安全组，也可以在当前的安全组中添加、删除或修改安全组规则。集群更换安全组过程中有短暂的业务中断，请谨慎操作。为了更好的网络性能，选择安全组时不要多于5个。 自动创建安全组 公网访问 指定用户是否可以在互联网上使用客户端连接集群数据库。支持如下方式： “暂不使用”：暂不使用弹性IP。 “现在购买”：用户指定弹性IP的带宽，系统将自动为集群分配独享带宽的弹性IP，通过弹性IP可以从互联网对集群进行访问。自动分配的弹性IP的带宽名称都是以集群名称开头的。 “使用已有”：为集群绑定指定的弹性IP。如果下拉框中没有可用的弹性IP，可以单击“创建弹性IP”进入弹性公网IP页面创建一个满足需要的弹性IP。带宽可根据用户需要设置。 使用BMS发放的集群，不支持创建成功后再绑定弹性IP，也不支持进行解绑定弹性IP操作，建议有公网访问需求的用户在创建集群时选择“现在购买”。ECS发放的集群不受此影响。使用BMS发放的集群，不支持创建成功后再绑定弹性IP，也不支持进行解绑定弹性IP操作，建议有公网访问需求的用户在创建集群时选择“现在购买”。ECS发放的集群不受此影响。 每个区域的每个项目首次使用弹性IP绑定功能时，系统将提示创建名称为“DWSAccessVPC”委托以授权数据仓库服务(DWS)访问VPC。授权成功后，数据仓库服务(DWS)可以在绑定弹性IP的虚拟机故障时切换至健康虚拟机。 默认情况下，只有云帐号或拥有Security Administrator权限的用户才具备创建委托的权限。帐号中的IAM用户，默认没有创建委托的权限，需联系有权限的用户在当前页面完成对数据仓库服务(DWS)的委托授权。 公网访问选择“暂不使用”，即不启用公网访问集群。在集群创建成功后，如果用户想通过公网访问集群，可以先为集群绑定弹性IP再创建公网域名，详情请参见 现在购买 带宽 如已有弹性IP，可在“公网访问”选择“使用已有”。如需购买，则需指定弹性IP的带宽，设置范围：1～100Mbit/s。 50Mbit/s

适用场景 众所周知，将传统的单体应用拆分为一个个微服务固然带来了各种好处，包括更好的灵活性、可伸缩性、重用性，但微服务也同样面临着特殊的安全需求，如下所示： 为了抵御中间人攻击，需要用到流量加密。 为了提供灵活的服务访问控制，需要用到TLS和细粒度访问策略。 为了决定哪些人在哪些时间可以做哪些事，需要用到审计工具。 面对这些需求应用服务网格提供全面的安全解决方案，包括身份验证策略，透明的TLS加密以及授权和审计工具。 价值 默认的安全性：无需修改即可保证应用程序代码和架构的安全性。 纵深防御：与现有的安全系统结合并提供多层防御。 零信任网络：在不受信任的网络上构建安全解决方案。 优势 非侵入安全：应用服务网格是以一种安全基础设施的方式向用户提供透明的安全能力，让不涉及安全问题的代码安全运行，让不太懂安全的人可以开发和运维安全的服务，不用修改业务代码就能提供服务访问安全。应用服务网格提供了一个透明的分布式安全层，并提供了底层安全的通信通道，管理服务通信的认证、授权和加密，提供Pod到Pod、服务到服务的通信安全。开发人员在这个安全基础设施层上只需专注于应用程序级别的安全性。 细粒度授权：在认证的基础上，就可以进行服务间的访问授权管理，可以控制某个服务，或者服务的一个特定接口进行授权管理。如只开放给特定的一个Namespace下的服务，或者开放给某个特定的一个服务。源服务和目标服务可以在不同的集群，甚至源服务的不同实例在不同的集群，目标服务的不同实例在不同的集群。 服务运行监控

安装好验证 1. web页面访问dcp地址： 2. 能访问，并登录既安装成功。 卸载服务 执行如下命令，卸载服务。 卸载平台前端和后台 plaintext for s in dcpweb dcpapigateway dcpfront do sudo docker stop $s sudo docker rm $s done 卸载Zookeeper plaintext sudo docker stop dcpzk sudo docker rm dcpzk 卸载Prometheus监控组件 plaintext ${PROMINSTALLPATH}/prometheus/admin.sh uninstall

操作场景 当负载均衡协议为UDP时，健康检查也采用的UDP协议，您需要打开其后端服务器的ICMP协议安全组规则。 操作步骤 步骤 1 登录弹性云主机控制台，找到CCE集群中的节点对应的弹性云主机，单击云服务器名称，进入详情页面。 步骤 2 在“安全组”页签下，单击“更改安全组规则”。 步骤 3 在打开的页面中单击“入方向规则”页签，单击“添加规则”，为云服务器添加入方向规则，单击“确定”。 说明： 您只需为工作负载所在集群下的任意一个节点更改安全组规则，请添加规则即可，不要修改原有的安全组规则。 安全组需放通网段100.125.0.0/16流量。

本小节介绍渗透测试主要的三大应用场景。 应用系统安全隐患场景 从攻击者的角度检验客户应用系统，检查初次安装、未经测试上线以及版本更新后的业务系统安全防护措施是否有效，各项安全管理措施是否得到贯彻落实。 安全风险认知场景 将客户应用系统潜在的安全风险以真实事件的方式凸现出来，提高相关人员对安全问题的认识。使对应用系统安全风险不了解的系统管理员、开发人员、维护人员以及应用人员，整体了解应用系统面临的安全风险。 事前主动防范场景 网络信息系统承担重要任务前应该多采取主动防止出现事故的安全措施，从技术上和管理上加强对网络安全和信息安全的重视，形成立体防护，由被动修补变成主动的防范，最终把出现事故的概率降到最低。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组。 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则。 以Kafka访问端口9098为例，其它实例请以实际情况为准。 说明 以下规则，远端可使用安全组，也可以使用具体的IP地址。 配置CTECS所在安全组。CTECS所在安全组需要增加如下出方向规则，以保证客户端能正常访问Kafka实例。如果出方向规则不受限，则不用添加。 配置Kafka实例所在安全组。Kafka实例所在安全组需要增加如下入方向规则，以保证能被客户端访问。 弹性公网IP（可选） 若需要通过公网访问Kafka实例，则需要申请弹性公网IP，否则不需要申请弹性公网IP。申请弹性公网IP的操作指导请参考购买弹性IP 其他工具 下载安装工具Eclipse3.6.0以上版本 或者IntelliJ ，JDK 1.8.111以上版本。

本小节介绍处理主机告警事件。 主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束与限制 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell，您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后，HSS不对策略组关联的服务器进行检测。 其他检测项不允许手动关闭检测。 未开启防护不支持告警事件相关操作。 操作步骤 当发生安全告警事件后，为了保障您的云服务器安全，可以根据以下方式处理安全告警事件。 注意 由于网络攻击手段、病毒样本在不断演变，实际的业务环境也有不同差异，因此，无法保证能实时检测防御所有的未知威胁，建议您基于安全告警处理、漏洞、基线检查等安全能力，提升整体安全防线，预防黑客入侵、盗取或破坏业务数据。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 安全告警统计说明 参数名称 告警事件状态说明 时间范围 支持选择固定周期，固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 须知 : 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip。 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危 、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。 4、处理告警事件。 注意 告警事件展示在“主机安全告警”页面中，事件列表仅展示最近30天的告警事件。 您需要根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计，并且不在“总览”页展示。 方式一：批量处理勾选的告警 任意选中“事件类型”，在事件列表勾选多个目标告警，单击“事件列表”下方的“批量处理”。 在弹窗中选择处理方式，确认无误，单击“确认”，完成勾选告警处理，处理方式详情如下表所示。 方式二：处理单个告警 选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。 在弹窗中选择处理方式，确认无误，单击“确认”，完成单个告警处理，处理方式详情如下表所示。 处理告警事件说明 处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 隔离查杀 选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。 您可以单击“文件隔离箱”，查看已隔离的文件，详细信息请参见管理文件隔离箱。 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若隔离查杀有误报，您可以执行取消隔离/忽略操作。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。 加入登录白名单 如果确认“暴力破解”和“异常登录”类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次登录告警事件加入登录白名单。 HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后，若再次出现该登录事件，则HSS不会告警。 有以下告警事件支持加入登录白名单。 暴力破解 异常登录 加入告警白名单 如果确认以下类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次告警事件加入告警白名单。 HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后，若再次出现该告警事件，则HSS不会告警。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组。 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则。 弹性云主机 用户若需要自己客户应用接入RocketMQ发送、消费消息，需先购买弹性云主机并确保和RocketMQ实例在同一VPC下。创建操作说明请参见创建弹性云主机。 其他工具 下载安装工具Eclipse3.6.0以上版本 或者IntelliJ ，JDK 1.8.111以上版本。 生产消费验证涉及的SDK如下： rocketmq引擎版本：推荐使用的社区版Java SDK版本为4.9.3，请访问Apache RocketMQ官网下载。 ctgmq引擎版本（已调整白名单特性）：点击ctgmqSDK直接下载。

安全体检订购流程说明，请您按照流程指引完成订购。 购买须知 安全体检产品是针对您天翼云上弹性IP（EIP）提供服务，购买安全体检前，请确认您已有或计划购买天翼云弹性IP产品，并绑定业务使用，否则可能导致安全体检产品无法正常提供服务。 服务内容 高危端口、弱口令、漏洞开放检测。 提供安全体检报告，报告含处置加固建议。 自动发送邮件通知，您需要提前配置通知信息。 单个互联网安全体检规格包含5个IP授权，您可根据业务规模增减订购规格数量。 操作步骤 1. 登录产品控制台。 2. 点击“立即购买”按钮，跳转到安全体检订购页面。 3. 在订购页面根据实际情况配置购买数量、购买时长。 参数说明如下： 参数 说明 购买数量 根据实际需要体检的互联网IP数量，选择订购数量。 注意 请注意单个规格包含5个互联网IP授权，如果您有3个互联网IP，仅购买1个互联网安全体检即可。 购买时长 支持包月、包年订购，享受包年实付10个月折扣价。 自动续订 开启自动续订后，服务到期将为您自动续订，续订时长为订购时选择的购买时长（例如，订购时选择开通5个月，并勾选了自动续订，则开通5个月后到期时为您自动续期5个月）。 4. 阅读并勾选服务协议，单击右下角“立即购买”跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回安全体检产品控制台，查看订购状态。 7. 订购并开通完成后，即可开始录入体检IP及通知信息。

本文为您介绍多活容灾服务平台业务流程。 多活容灾服务平台业务流程分为四个阶段：资源管理阶段、容灾环境搭建部署阶段、预案编排阶段、容灾演练/应急切换阶段。如下图所示： 资源管理 1. 用户同步天翼云资源或纳管三方资源至MDR平台侧。 2. 若预案编排需要执行脚本，需对脚本进行创建验证和脚本发布。 容灾环境搭建部署阶段 1. 用户需要确认业务所需的容灾形态。 2. 根据容灾形态创建和部署容灾架构。 3. 接入对应的业务应用与相关资源。 4. 日常运维监控。 预案编排阶段 1. 用户根据业务需求创建预案阶段。 2. 基于不同任务类型进行预案阶段设计。 3. 基于不同预案阶段编排预案。 容灾演练/应急切换阶段 容灾演练阶段 1. 用户根据业务需求关联相关预案。 2. 基于演练场景配置演练方式与超时时间。 3. 执行演练，查看预案流程、任务列表与演练记录。 故障切换阶段 1. 故障恢复失败，确认需要执行切换。 2. 确认切换范围，选择切换预案。 3. 执行应急切换，查看执行详情与切换状态。

此小节介绍企业主机安全服务功能。 企业主机安全有基础版、企业版、旗舰版、网页防篡改版和容器安全供您选择，包含了资产管理、漏洞管理、基线检查、入侵检测、勒索防护、网页防篡改、容器镜像安全等功能，具体功能详情及版本差异详情请参见版本功能差异说明。 功能特性说明 主机安全服务包含了资产管理、基线检查、勒索防护、入侵检测等功能特性，每一个功能都从不同维度提升主机的安全性，全方位保证主机的安全可靠，不同版本支持的功能详情请参见版本功能差异说明。 主机安全服务功能特性说明 功能名称 功能描述 资产管理 提供对资产运行状态、资产指纹、资产分类情况的查看，同时可按照主机、容器的维度查看或管理目标服务器，实现主机全量资产的统一可视管理。 包含资产概览、资产指纹管理、主机管理、容器管理功能。 漏洞管理 提供检测Linux软件漏洞、Windows系统漏洞和WebCMS漏洞、应用漏洞，帮助用户识别潜在风险。 基线检查 扫描主机系统和关键软件含有风险的配置、弱口令、口令复杂度策略。 支持的检测基线包含云安全实践和等保合规基线，且可自定义选择检测的子基线项。 支持对检测风险的修复和验证。 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助用户得到一个安全的镜像。 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 当前只支持操作系统为Linux的服务器，且仅支持Java应用接入。 网页防篡改 实时发现并拦截篡改指定目录下文件的行为，并快速获取备份的合法文件恢复被篡改的文件，从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。 勒索病毒防护 支持已知勒索病毒检测能力，支持自定义勒索备份恢复策略。 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 主机入侵检测 识别并阻止入侵主机的行为，实时检测主机内部的风险异变，检测并查杀主机中的恶意程序，识别主机中的网站后门等。 容器入侵检测 实时监控容器节点运行状态，发现挖矿、勒索等恶意程序，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸等行为并给出解决方案。 白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 策略管理 提供灵活的策略管理能力，可以根据需要自定义安全检测规则，并可以为不同的主机组或主机/容器应用不同的策略，以满足不同应用场景的主机/容器安全需求。 安全配置 提供配置常用登录地、常用登录IP、SSH登录IP白名单，恶意程序自动隔离查杀功能，满足不同应用场景的主机/容器安全需求。

本节为您介绍镜像服务常见的操作系统类问题。 目前支持哪些操作系统？ 公共镜像支持的操作系统包括Windows、Ubuntu、Centos、Anolis、openEuler、CTyunOS、Debian、KylinOS、UniontechOS、Fedora CoreOS。具体支持的版本和支持的云主机类型参考公共镜像概述。私有镜像用户可以自己导入，天翼云没有限制导入镜像的操作系统，但是私有镜像是否可用需要用户自行保证。 如何选择操作系统？ Windows 适用于Windows环境下的开发平台或运营业务。 系统盘要求40GB及以上、内存1GB及以上。 可以安装IIS、SQL Server等。 Linux 适用于Linux环境下的开发平台或运营业务。当前提供CentOS（推荐）和Ubuntu等类型操作系统。 系统盘要求40GB及以上、内存512MB及以上。 4G以上内存操作系统选择 如果使用4GB及以上内存，请选择64位的操作系统（32位操作系统只能4GB内寻址，超过4GB的内存操作系统无法访问）。 如何查看Windows 操作系统云主机虚拟化类型？ 您可以通过以下步骤查看当前云主机的虚拟化类型： 1. 打开命令提示符（CMD）窗口。您可以通过按下Win+R键，然后输入 "cmd" 并按 Enter 来打开命令提示符窗口。 2. 在命令提示符窗口中，输入以下命令并按 Enter 键： systeminfo 3. 命令执行后，您会看到一些系统信息的输出。在输出中寻找 "System Manufacturer" 和 "BIOS 版本" 这两行信息。 4. 如果 "System Manufacturer" 和 "BIOS 版本" 显示为 "KVM"，则说明当前云主机使用 KVM虚拟化类型。

本文介绍如何创建虚拟机备份。 操作场景 通过创建虚机备份任务来备份esxi或vcenter中管理的虚拟机，并在需要时通过备份副本进行恢复创建VMware虚拟机。 约束与限制 存储库需要和安装了客户端的备份主机在同一地域（网络可达）。 支持在能连接上esxi/vcenter管理平台的Windows系统主机上安装客户端，进行无代理备份。 单个客户端同一时刻最多同时执行2个任务（含1个备份任务和1个恢复任务，超出该数量的任务将按时间先后排队执行）。 前提条件 已创建存储库。 主机客户端状态为“在线”，具体步骤参见安装客户端。 主机为windows系统，并可访问esxi/vcenter管理平台。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台，单击左侧“混合备份（存储版）”按钮，进入混合备份界面。 4. 单击“主机列表”，选择对应主机，点击更多下的“新建任务”或者“任务列表”的"新建备份任务"按钮进入备份任务界面。 5. 点击“添加资源”，添加虚拟机服务器连接，输入参数，确认创建连接。 6. 选择创建好的虚拟机连接，点击下一步，等待加载虚拟机列表。 7. 选择需要备份的虚拟机，点击下一步。 8. 选择备份的目标存储库并配置备份周期、最大版本数等备份策略，点击“下一步”。 9. 自定义备份任务名称，确认备份信息无误后，点击“提交”，完成任务创建。

本节主要介绍OpenStack Cinder驱动插件。 OpenStack和Cinder驱动插件 OpenStack是一个开源的云计算管理平台项目，目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。Cinder为OpenStack的管理块设备，主要功能是为虚拟机实例提供虚拟磁盘管理服务。Cinder本身不是块设备源，当虚拟机需要块设备时，询问Cinder去哪里获取具体的块设备。它的插件驱动架构有利于块设备的创建和管理，如创建卷、删除卷、在实例上挂载和卸载卷。OpenStack Cinder Driver是部署在OpenStack Cinder模块上的一个插件程序，遵循了OpenStack的driver架构。通过安装和HBlock适配的Cinder Driver驱动（以下简称stor Driver），并进行配置资源对接，实现和OpenStack Cinder 和HBlock存储系统资源连通，通过iSCSI协议向OpenStack中的虚拟机提供HBlock的逻辑卷功能。本文档仅为插件的安装和使用提供建议。 stor Driver与OpenStack的块存储（Cinder）和计算（Nova）组件集成，为OpenStack提供高性能，可扩展，高可靠的持久化存储。 HBlock Cinder驱动插件 上图为HBlock对接OpenStack的架构图，其中： stor Driver：OpenStack Cinder接入HBlock的驱动程序，使用https协议和HBlock的API server进行交互，完成卷的创建、删除、查询、扩容等操作。 novacompute节点：完成iSCSI协议的接入，建立iSCSI卷后，通过virsh命令挂载到VM实例。

图相同账户下的VPC对等连接创建流程 不同账户下的VPC对等连接创建流程如下图所示。 创建对等连接的具体操作，请参见创建不同账户下的对等连接。 创建不同账户下的VPC对等连接时，如果在账号A下发起创建对等连接请求，需要账号B接受该请求才可以，如果账号B拒绝，则该对等连接创建失败。 图不同账户下的VPC对等连接创建流程 对等连接的使用限制 对等连接仅可以连通同区域的VPC，不同区域的VPC之间不能创建对等连接。 配置对等连接时，当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效。 VPCA和VPCB之间创建对等连接，默认情况下，VPCB不能通过VPCA的EIP访问公网。您可以使用NAT网关服务或配置SNAT服务器，使得VPCB下的弹性云主机可以通过VPCA下绑定了EIP的弹性云主机访问Internet。 对等连接支持同区域下云平台的VPC与专属云（DeC）下的VPC互通。跨租户申请对等连接时，为了安全，需要从DeC端发起申请，无法从云平台的VPC发起。 对等连接支持同区域、同租户的专属云（DeC）下的VPC互通。 对等连接申请时，如果对端VPC属于某个专属云（DeC），无法跨租户申请此对等连接。

本文介绍配置WAF防护配置。 操作步骤 1.进入SCDN控制台 2.点击域名列表，可直接编辑安全配置，进入安全配置页面 3.保证WAF防护已开启（需购买对应功能） 4.WAF支持基础配置、高级防护、账户安全防护、访问控制、访问限速、合规检测、域名规则 图 安全防护配置页基础配置 图 高级防护页 图 账户安全防护配置页 图 访问控制配置页 图 合规检测配置页 图 域名规则配置页 5.配置完成后可通过工单列表进行查看对应配置进度

说明：本章节会介绍通过内网连接MySQL实例的流程 操作场景 本章介绍如何在管理控制台创建MySQL实例，并通过内网使用弹性云服务器上连接MySQL实例。 使用流程 通过内网连接MySQL实例的使用流程介绍如下图所示。 图：通过内网连接实例 步骤一：创建实例。根据业务需求，确认MySQL实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二：设置安全组规则。 ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 步骤三：通过内网连接MySQL实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

产品名称 端口 端口用途 综合安全网关 18443 使用综合安全网关的SSL VPN服务必开的端口。 综合安全网关 1844418454 此端口范围为您新增网关安全服务时预留的端口范围，请您按需选择。

本文主要介绍SQL Server实例修改安全组的操作步骤。 前提条件 ● 实例状态为“运行中”。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中找到需要修改端口的目标实例，单击列表右侧的【更多】按钮，在下拉框中单击【修改安全组】选项。 4. 在【编辑用户安全组】弹框中，展示当前可选择的安全组名称和安全组编码，选择需要修改的目标安全组，单击确定，即可完成修改。

步骤2：网络配置 1. 设置网络，包括“安全组”、“网卡”、“弹性IP”等信息。第一次使用网络服务时，系统将自动为您创建一个默认虚拟私有云，包括安全组、网卡。 参数 说明 虚拟私有云 弹性云主机网络使用虚拟私有云（VPC）提供的网络，包括子网、安全组等。您可以选择使用已有的虚拟私有云网络，或者创建新的虚拟私有云。更多关于虚拟私有云的信息，请参见《天翼云虚拟私有云用户使用指南》。 安全组 安全组用来实现安全组内和安全组间云主机的访问控制，加强云主机的安全保护。用户可以在安全组中定义各种访问规则，当云主机加入该安全组后，即受到这些访问规则的保护。创建弹性云主机时，可支持选择多个安全组（建议不超过5个）。此时，云主机的访问规则遵循几个安全组规则的并集。注意：1.如需通过远程桌面连接到Windows云主机，请在安全组中增加如下规则，方向：入方向，协议：TCP，端口范围：3389。2.如需通过远程桌面连接到Linux弹性云主机，请在安全组中增加如下规则，方向：入方向，协议：TCP，端口范围：22。3.如需Ping云主机地址，请在安全组中增加如下规则，方向：入方向，协议：ICMP，地址和掩码：0.0.0.0/0 网卡 包括主网卡和扩展网卡。订购主机时可设置主网卡和扩展网卡。网卡使用限制可参考[弹性云主机产品使用限制](

本小节包括配置用户登录安全锁、配置登录密码策略以及配置登录超时和登录验证。 配置用户登录安全锁 为保障云堡垒机系统用户登录安全，在用户登录云堡垒机时，输入密码错误次数超过系统设置的次数限制后，用户“来源IP”或“用户”帐号将被锁定。 本小节主要介绍如何配置用户登录安全锁，包括修改锁定方式、锁定时长、可尝试密码次数等。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 1. 登录云堡垒机系统。 2. 选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3. 在“用户锁定配置”区域，单击“编辑”，弹出用户锁定配置窗口。 根据界面提示配置系统用户登录安全锁。 用户锁定配置参数说明 参数 说明 :: 锁定方式 选择用户锁定方式，可选择“用户”或“来源IP”两种方式。 “用户”，输入密码错误次数超过次数限制后，禁止使用该登录名的用户登录。 “来源IP”，输入密码错误次数超过次数限制后，禁止该来源IP的用户登录。 尝试密码次数 连续输入密码错误的最大次数。 默认为5次。 取值范围为0～999。 设置为0，表示密码错误后不锁定用户登录。 锁定时长 因密码错误锁定用户登录的时长。 默认为30分钟。 取值范围为0～10080，单位为分钟。 设置为0，表示除非管理员解除锁定，用户登录帐号或来源IP将一直被锁定。 重置计数器时长 用户登录失败后，登录失败次数计数器重置为0的时长。 默认值为5分钟。 取值范围为1～10080，单位为分钟。 4. 单击“确定”，返回安全配置管理页面，查看当前系统用户锁定配置。 系统用户安全锁

本节介绍如何在主机安全v1.0中进行Syslog日志外发配置。 前提条件 已购买主机安全v1.0资源，且资源状态为“运行中”。 操作步骤 1. 登录云等保专区控制台，在左侧导航栏，选择“主机安全 > 主机安全v1.0”，在目标资源右侧操作列单击“配置”，进入主机安全系统。 2. 在主机安全系统导航栏，选择“联动管理 > 数据外发 > 日志外发” 。 3. 进入日志外发页面，点击日志外发开关，开启此功能；再点击“新建”。 4. 在弹窗中配置外发方式 、IP及端口号 、日志类型后，单击“确定”即可。

前提条件 服务器的“Agent状态”为“在线”、“防护状态”为“开启”、“版本”为“企业版”或者“旗舰版”。 检测项目 软件信息、Linux软件漏洞、Windows系统漏洞、WebCMS漏洞、网站后门检测、口令风险和配置风险。 检测时长 检测单个检测项目（例如：口令风险）的检测时长为30分钟内。 一键手动检测，检测多个检测项目时，各个检测项目并行检测，检测时长为30分钟内。 一键手动检测 一键执行手动检测能同时检测主机中的软件信息、漏洞、网站后门、关键配置信息、较弱的口令复杂度策略、使用弱口令的用户账号 。检测完成后，可在企业主机安全服务控制台查看各项风险统计或指定查看单个服务器的安全详情。 1、登录管理控制台。 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、在“主机管理”页面的右上角，单击“手动检测”，执行手动检测，如图所示。 一键执行手动检测 3、在弹出的“手动检测”对话框中，选择所需检测的主机，单击“确定”，完成一键手动检测的操作。 在安全控制台“企业主机安全”菜单或主机列表“操作”列的“查看详情”中查看各项手动检测结果并对检测结果执行相应的操作。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 csslink Elasticsearch服务器列表 配置为一个或多个Elasticsearch服务器的IP地址或域名，包括端口号，格式为“ip:port”，多个地址之间使用“;”分隔。 192.168.0.1:9200;192.168.0.2:9200 安全模式认证 是否开启安全模式认证。 如果所需连接的CSS集群在创建时开启了“安全模式”，该参数需设置为“是”，否则设置为“否”。 是 用户名 CSS集群开启安全认证模式时显示此参数。该参数表示连接云搜索服务的用户名。 admin 密码 CSS集群开启安全认证模式时显示此参数。该参数表示连接云搜索服务的密码。 https访问 CSS集群开启安全认证模式时显示此参数。该参数表示开启https访问，https访问相较于http访问更安全。 是

本章节主要介绍如何创建CSS类型跨源认证。 操作场景 通过在DLI控制台创建的CSS类型的跨源认证，将CSS安全集群的认证信息存储到DLI，无需在SQL作业中配置帐号密码，安全访问CSS安全集群。 本节操作介绍在DLI控制台创建CSS安全集群的跨源认证的操作步骤。 操作须知 已创建CSS安全集群，且集群满足以下条件： CSS集群版本选择“6.5.4”或“6.5.4”以上版本。 CSS集群已开启“安全模式”。 操作步骤 1. 下载CSS安全集群的认证凭证。 a.登录CSS服务管理控制台，单击“集群管理”。 b.在“集群管理”页面中，单击对应的集群名称，进入“基本信息”页面。 c.单击“安全模式”后的下载证书，下载CSS安全集群的证书。 2. 将认证凭证上传到OBS桶。 3. 创建跨源认证。 a.登录DLI管理控制台。 b.选择“跨源管理 > 跨源认证”。 c.单击“创建”。 填写CSS认证信息，详细参数说明请参考下表。 参数说明 参数 参数说明 认证信息名称 所创建的跨源认证信息名称。 名称只能包含数字、英文字母和下划线，但不能是纯数字，且不能以下划线开头。 输入长度不能超过128个字符。 建议名称中包含CSS安全集群的名称，便于区分不同集群的安全认证信息。 类型 选择CSS。 用户名 安全集群的登录用户名。 用户密码 安全集群的登录密码。 Certificate路径 上传“安全证书”的OBS路径。即步骤2的OBS桶地址。 4. 访问CSS的表。 跨源认证创建成功后，在创建访问CSS的表时只需关联跨源认证即可安全访问数据源。 例如在使用Spark SQL来创建访问CSS的表时使用es.certificate.name字段配置跨源认证信息名称，配置连接安全CSS集群。

《计算机信息网络国际联网安全保护管理办法》（公安部第33号令） （1997年12月11日国务院批准 1997年12月30日公安部第33号令发布） 第一章 总则 第一条 为了加强对计算机信息网络国际联网的安全保护，维护公共秩序和社会稳定，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其他法律、行政法规的规定，制定本办法。 第二条 中华人民共和国境内的计算机信息网络国际联网安全保护管理，适用本办法。 第三条 公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。公安机关计算机管理监察机构应当保护计算机信息网络国际联网的公共安全，维护从事国际联网业务的单位和个人的合法权益和公众利益。 第四条 任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动。 第五条 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息： (一) 煽动抗拒、破坏宪法和法律、行政法规实施的； (二) 煽动颠覆国家政权，推翻社会主义制度的； (三) 煽动分裂国家、破坏国家统一的； (四) 煽动民族仇恨、民族歧视，破坏民族团结的； (五) 捏造或者歪曲事实，散布谣言，扰乱社会秩序的； (六) 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的； (七) 公然侮辱他人或者捏造事实诽谤他人的； (八) 损害国家机关信誉的； (九) 其他违反宪法和法律、行政法规的。 第六条 任何单位和个人不得从事下列危害计算机信息网络安全的活动： (一) 未经允许，进入计算机信息网络或者使用计算机信息网络资源的； (二) 未经允许，对计算机信息网络功能进行删除、修改或者增加的； (三) 未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的； (四) 故意制作、传播计算机病毒等破坏性程序的； (五) 其他危害计算机信息网络安全的。 第七条 用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。 第二章 安全保护责任 第八条 从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。 第九条 国际出入口信道提供单位、互联单位的主管部门或者主管单位，应当依照法律和国家有关规定负责国际出入口信道、所属互联网络的安全保护管理工作。 第十条 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责： (一) 负责本网络的安全保护管理工作，建立健全安全保护管理制度； (二) 落实安全保护技术措施，保障本网络的运行安全和信息安全； (三) 负责对本网络用户的安全教育和培训； (四) 对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照本办法第五条进行审核； (五) 建立计算机信息网络电子公告系统的用户登记和信息管理制度； (六) 发现有本办法第四条、第五条、第六条、第七条所列情形之一的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告； (七) 按照国家有关规定，删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。 第十一条 用户在接入单位办理入网手续时，应当填写用户备案表。备案表由公安部监制。 第十二条 互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织（包括跨省、自治区、直辖市联网的单位和所属的分支机构），应当自网络正式联通之日起三十日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。 前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案，并及时报告本网络中接入单位和用户的变更情况。 第十三条 使用公用账号的注册者应当加强对公用账号的管理，建立账号使用登记制度。用户账号不得转借、转让。 第十四条 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备案手续时，应当出具其行政主管部门的审批证明。前款所列单位的计算机信息网络与国际联网，应当采取相应的安全保护措施。 第三章 安全监督 第十五条 省、自治区、直辖市公安厅（局），地（市）、县（市）公安局，应当有相应机构负责国际联网的安全保护管理工作。 第十六条 公安机关计算机管理监察机构应当掌握互联单位、接入单位和用户的备案情况，建立备案档案，进行备案统计，并按照国家有关规定逐级上报。 第十七条 公安机关计算机管理监察机构应当督促互联单位、接入单位及有关用户建立健全安全保护管理制度。监督、检查网络安全保护管理以及技术措施的落实情况。 公安机关计算机管理监察机构在组织安全检查时，有关单位应当派人参加。公安机关计算机管理监察机构对安全检查发现的问题，应当提出改进意见，作出详细记录，存档备查。 第十八条 公安机关计算机管理监察机构发现含有本办法第五条所列内容的地址、目录或者服务器时，应当通知有关单位关闭或者删除。 第十九条 公安机关计算机管理监察机构应当负责追踪和查处通过计算机信息网络的违法行为和针对计算机信息网络的犯罪案件，对违反本办法第四条、第七条规定的违法犯罪行为，应当按照国家有关规定移送有关部门或者司法机关处理。 第四章 法律责任 第二十条 违反法律、行政法规，有本办法第五条、第六条所列行为之一的，由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格；构成违反治安管理行为的，依照治安管理处罚条例的规定处罚；构成犯罪的，依法追究刑事责任。 第二十一条 有下列行为之一的，由公安机关责令限期改正，给予警告，有违法所得的，没收违法所得；在规定的限期内未改正的，对单位的主管负责人员和其他直接责任人员可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内的停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。 (一) 未建立安全保护管理制度的； (二) 未采取安全技术保护措施的； (三) 未对网络用户进行安全教育和培训的； (四) 未提供安全保护管理所需信息、资料及数据文件，或者所提供内容不真实的； (五) 对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的； (六) 未建立电子公告系统的用户登记和信息管理制度的； (七) 未按照国家有关规定，删除网络地址、目录或者关闭服务器的； (八) 未建立公用账号使用登记制度的； (九) 转借、转让用户账号的。 第二十二条 违反本办法第四条、第七条规定的，依照有关法律、法规予以处罚。 第二十三条 违反本办法第十一条、第十二条规定，不履行备案职责的，由公安机关给予警告或者停机整顿不超过六个月的处罚。 第五章 附则 第二十四条 与香港特别行政区和台湾、澳门地区联网的计算机信息网络的安全保护管理，参照本办法执行。 第二十五条 本办法自发布之日起施行。

本文向您介绍如何排查企业版VPN云上云下无法Ping通的问题。 故障现象 云下数据中心服务器无法Ping通VPC上的ECS服务器。 VPC上的ECS服务器无法Ping通云下数据中心服务器。 可能原因 安全组配置不正确 客户设备侧放通策略配置不正确 客户设备侧路由配置不正确 处理步骤 检查安全组配置 确认default安全组已经放通去往对端子网数据流。 default安全组查看步骤如下： 1. 选择“虚拟专用网络 > 企业版VPN网关”，单击关联的VPC名称。 2. 单击VPC对应的路由表。 3. 单击路由表的名称。 4. 找到VPN网关主或备EIP的下一跳，单击下一跳名称。 5. 在“关联安全组”页签，检查端口放通情况。 确认default安全组已经放通来自对端子网数据流。 确认default安全组已经放通去往本端子网数据流。 确认default安全组已经放通来自本端子网数据流。 确认ECS所在的安全组已经放通去往对端子网数据流。 ECS安全组可以选择“计算 > 弹性云主机”，单击“更多 > 安全组规则配置”查看。 确认ECS所在的安全组已经放通来自对端子网数据流。 检查客户设备侧放通策略 确认客户设备侧已经放通去往VPN本端子网的数据流。 确认客户设备侧已经放通来自VPN本端子网的数据流。 本端子网可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称，在“基本信息”页签查看。 检查客户设备侧路由配置 确认公网路由配置正确：目的地址为VPN网关EIP地址，下一跳为设备出口地址。 确认私网路由配置正确：目的地址为VPN本端子网，下一跳为设备出口地址。 本端子网可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称，在“基本信息”页签查看。

本节介绍了为什么弹性云主机可以远程连接,但是无法ping通的相关内容。 问题描述 云主机可以远程连接，但弹性公网IP无法ping通。 问题原因 需要添加安全组的入方向规则并开启ICMP协议。 处理方法 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表栏，单击目标弹性云主机名称。 系统进入弹性云主机详情页。 4. 选择“安全组”页签，展开安全组，并单击安全组ID。 5. 在“安全组”页面的“入方向”页签下，单击“添加规则”。 6. 根据如下参数要求，添加安全组入方向规则，开启ICMP协议。 − 协议：ICMP − 源地址：IP地址 0.0.0.0/0

说明：本章节会介绍如何修改数据库内网安全组 操作场景 关系型数据库服务支持修改数据库引擎的主实例和只读实例的内网安全组，对于主备实例，修改主实例的内网安全组，备实例的内网安全组会被同步修改。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4. 在“实例管理”页面，选择指定的实例，在实例列表中，选择对应的主实例或只读实例，单击实例名称。 5. 在“基本信息”页签“连接信息”模块的“内网安全组”处，单击，选择对应的内网安全组。 单击，提交修改。 单击，取消修改。 6. 稍后单击“基本信息”页面右上角的，查看修改结果。此过程需1～3分钟。

本文将为您介绍如何部署资源栈或执行计划。 直接部署资源栈 创建 / 更新资源栈后，您可选择直接部署资源栈，此时平台将直不会创建执行计划，即不会记录您本次部署的变更内容。 前置步骤 1. 已在模板管理 中有已创建成功的模板。参考创建模板。 操作步骤 1. 登录控制中心。 2. 在控制台首页搜索“资源编排ROS”，或在左侧产品导航栏选择“迁移与管理 > 管理工具 > 资源编排ROS”，进入资源编排控制台。 3. 在左侧导航栏选择 资源栈管理。 4. 在资源栈管理 页面，单击创建资源栈。 1. 如果您已有目标资源栈，您可在单击更新 ，进行更新资源栈。参考更新资源栈 5. 在创建资源栈 页面，可以根据提示配置等基本参数，具体参数说明请参考创建资源栈。 6. 提交表单时，您可选择单击直接部署资源栈，此时平台将直接部署资源栈，而不会创建执行计划，即不会记录您本次部署的变更内容。 注意：直接部署将会立即创建资源并产生相关费用，该操作为危险操作，不建议执行，请谨慎确认后再操作。 7. 部署任务开始后，页面将自动跳转资源栈详情的事件页面，您可在事件列表中查看实时部署事件。

本章节主要介绍如何使用翼MapReduce。 翼MR是一个在云上部署和管理Hadoop系统的服务，一键即可部署Hadoop集群。翼MR提供租户完全可控的企业级大数据集群云服务，轻松运行Hadoop、Spark、HBase、Kafka、Storm等大数据组件。 翼MR使用简单，通过使用在集群中连接在一起的多台计算机，您可以运行各种任务，处理或者存储（PB级）巨量数据。翼MR的基本使用流程如下： 1. 上传程序和数据文件到对象存储服务（OBS）中，用户需要先将本地的程序和数据文件上传至OBS中。 2. 自定义创建集群，用户可以指定集群类型用于离线数据分析和流处理任务，指定集群中预置的弹性云服务器实例规格、实例数量、数据盘类型（普通IO、高 IO、超高 IO）、要安装的组件（Hadoop、Spark、HBase、Hive、Kafka、Storm等）。用户可以使用引导操作在集群启动前（或后）在指定的节点上执行脚本，安装其他第三方软件或修改集群运行环境等自定义操作。 3. 管理作业，翼MR为用户提供程序执行平台，程序由用户自身开发，翼MR负责程序的提交、执行和监控。 4. 管理集群，翼MR为用户提供企业级的大数据集群的统一管理平台，帮助用户快速掌握服务及主机的健康状态，通过图形化的指标监控及定制及时的获取系统的关键信息，根据实际业务的性能需求修改服务属性的配置，对集群、服务、角色实例等实现一键启停等操作。 5. 删除集群，如果作业执行结束后不需要集群，可以删除翼MR集群。