在您购买弹性云主机前,请先阅读本文了解弹性云主机的选型基本信息。 规格族&规格的关系 规格族是一组具有相同处理器、相似业务场景和使用场景的规格的集合，根据CPU、内存等配置，一种实例规格族又分为多种实例规格。 实例规格定义了实例的基本属性：CPU和内存（包括CPU型号、主频等），同时配合云硬盘、镜像和网络类型，才能唯一确定一台实例的具体服务形态。 规格命名说明 实例规格名称格式为 . . ：某个词语的缩写，标志着实例规格族的性能领域。如：s代表通用型，c代表计算型，m代表内存型，ip代表超高IO型，d代表磁盘增强型，e代表经济型，k代表鲲鹏，h代表海光，f代表飞腾，p代表计算加速型 g代表图形加速基础型。 ：一般用于区分同类型规格族间的发布时间，更大的数字代表新一代规格族。如：3、6、7、8等。 ：一般用于说明规格族的其他特性。如：a代表采用AMD处理器，ne代表网络增强型，t代表安全增强型。 ：由small、large或 xlarge组成，表示vCPU核数。small特指1 vCPU 1G内存的小规格，medium为1 vCPU，large为2 vCPU，xlarge为4 vCPU， 中的n越大，表示vCPU核数越多，如2xlarge代表2 4 8 vCPU，3xlarge代表3 4 12 vCPU等等，以此类推。 ：如1、2、4、8等，代表内存GB数和vCPU的比例。 例如，s2.2xlarge.1表示通用型2代云主机，具有8核CPU和8GB内存。

为了更方便部署,当前多地域资源池可使用云主机启动模版部署DeepSeekR1大模型。通过创建启动模板,可以一键从模板开通多台云主机,快速拉起服务。 当前功能邀测中,您可提交工单进行申请。 前置步骤 进入创建云主机启动模板页面 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 单击“产品服务列表>弹性云主机”，进入计算控制台，单击“云主机启动模板”，进入启动模板列表页。 3. 单击“创建启动模板”，进入云主机实例模版创建页。 大模型服务器启动模板配置 1. 根据业务需求配置“计费模式”、“地域”、“可用区”、“企业项目”、“虚拟私有云”等。 2. 选择规格。此处选择"CPU架构"为"X86"、"分类"为"GPU加速/AI加速型"、"规格族"为"GPU计算加速型pi7"、"规格"为"pi7.4xlarge.4"。 3. 选择镜像。“镜像类型”选择“镜像市场”，在云镜像市场中选择预置了DeepSeekR1模型的DeepSeekR17BUbuntu22.04镜像。 注意 本镜像推荐配置：内存≥8G、显存≥16G。 注意 目前提供了预装多种量化精度、多种参数量的模型，如您有需求，也可在云镜像市场中进行选择。 4. 设置云盘类型和大小。 5. 根据需要设置网络，包括"网卡"、"安全组"，同时配备 "弹性IP" 用于下载和访问模型；设置高级配置，包括"登录方式"、"云主机组"、"用户数据"。 6. 填写此模板名称，创建启动模板。

本页面主要介绍VPC终端节点对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： ● 记录审计日志：支持用户通过API接口发起的操作。 ● 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 关键操作列表 事件来源 资源类型 事件名称 弹性网络 VPC终端节点 删除终端节点白名单 弹性网络 VPC终端节点 查询终端节点白名单 弹性网络 VPC终端节点 添加终端节点白名单 弹性网络 VPC终端节点 删除终端节点 弹性网络 VPC终端节点 查看终端节点详情 弹性网络 VPC终端节点 查看终端节点列表 弹性网络 VPC终端节点 更新终端节点 弹性网络 VPC终端节点 创建终端节点 弹性网络 VPC终端节点 通过终端节点连接申请 弹性网络 VPC终端节点 拒绝终端节点连接申请 弹性网络 VPC终端节点 修改终端节点服务属性 弹性网络 VPC终端节点 终端节点服务连接查询 弹性网络 VPC终端节点 终端节点服务连接修改 弹性网络 VPC终端节点 查询终端节点服务白名单 弹性网络 VPC终端节点 删除终端节点服务白名单 弹性网络 VPC终端节点 查看终端节点服务列表 弹性网络 VPC终端节点 删除终端节点服务 弹性网络 VPC终端节点 创建终端节点服务 弹性网络 VPC终端节点 更新终端节点服务后端 弹性网络 VPC终端节点 删除终端节点服务后端

终端节点 终端节点用于在VPC和终端节点服务之间建立便捷、安全、私密的连接通道。 在同一区域中，通过创建终端节点可以实现所属VPC内云资源跨VPC访问终端节点服务。 终端节点与终端节点服务一一对应，访问不同类型终端节点服务的终端节点存在差异： 访问“接口”型终端节点服务的终端节点：是具备私有IP地址的弹性网络接口，作为接口型终端节点服务的通信入口。 访问“网关”型终端节点服务的终端节点：是一个网关，在其上配置路由，用于将流量指向网关型终端节点服务。 用户权限 系统默认提供两种权限：用户管理权限和资源管理权限。 用户管理权限可以管理用户、用户组及用户组的权限。 资源管理权限可以控制用户对云服务资源执行的操作。 VPC终端节点的资源包括终端节点服务和终端节点，均属于区域级别的资源，需要在资源所在项目为用户添加权限。 区域和可用区 什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 l可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 图 区域和可用区

在同一区域中，VPC终端节点可以建立终端节点（VPC内云资源）到终端节点服务（用户私有服务、云服务）的便捷、安全、私密连接通道。 基于上述功能，VPC终端节点主要应用于以下场景。 高速上云 本地数据中心可以通过VPN或者云专线连通VPC，利用建立的终端节点通过内网访问终端节点服务（用户私有服务、云服务）。 如上图所示，本地数据中心通过VPN或者云专线与VPC 1连通，实现： 利用终端节点1，通过内网访问云服务（如OBS、DNS等）。 利用终端节点2，访问VPC 1的云资源（如ECS 1）。 利用终端节点3，跨VPC访问VPC 2的云资源（如ECS 2）。 这种场景具有以下优势： 简单快速 本地数据中心直连终端节点服务，无需经过公网，访问时延小，效率高。 成本低廉 本地数据中心访问云上资源不占用用户的公网资源，降低使用成本。 跨VPC连接 在同一区域中，由于VPC之间逻辑隔离，不同VPC内的云资源不能直接通信。利用在不同VPC间建立的终端节点到终端节点服务的连接通道，可以实现跨VPC的资源通信。 如上图所示，利用终端节点与终端节点服务建立的跨VPC连接通道，实现VPC 1中的云资源（如ECS）通过内网访问VPC 2中的云资源（如ELB）。 这种场景具有以下优势： 性能高效 每个网关节点可支持百万级会话。 简化操作 资源秒级创建，快速生效，操作简单。 具体示例请参考： 配置跨VPC通信的终端节点（同一帐号） 配置跨VPC通信的终端节点（不同帐号）

本文向您介绍云主机网络延迟和丢包,如何定位的解决方案。 问题概述 当您的云主机出现网络延迟和丢包的问题，可能出现以下三种情况。 云主机被入侵：云主机如果发生被黑客入侵或者中毒情况，那么可能病毒程序可能会频繁发送数据包造成带宽超出上限，从而导致丢包现象，严重的情况下可能会使远程登录服务无法使用。 云主机本地网络故障：系统中可能存在业务进程传输io过大导致网络丢包，比如云主机在大量传输文件等。 云主机应用运行异常：应用运行异常会导致网络丢包，如某个应用占用很高的CPU、内存，造成云主机资源不足。 解决方案 云主机被入侵的排查方式： 可以通过 netstat anpt 命令查看系统是否存在异常连接。 可以通过查询图中Foreign Address字段中的IP地址归属判断云主机是否存异常连接，如果IP地址归属为国外地址或者非业务访问连接地址，那么云主机有可能被攻击或中毒。这种情况下建议在云主机中安装专业杀毒软件或者重装云主机系统，并对云主机做相关基于业务场景的安全加固，确保不会再次发生中毒现象。 本地网络故障的排查方式 以CentOS 7.6为例，执行以下命令，安装iotop工具。 plaintext yum install y iotop 可通过图中DISK READ和DISK WRITE字段以及COMMAND字段判断某个进程的读写情况。若存在IO流量值很大的情况，需要考虑对相应进程进行整改以确保网络稳定性。比如关闭正在传输的进程，或者分批次进行文件传输等。

与开源Redis5.0相比，GeminiDB Redis支持和限制的命令有哪些 GeminiDB Redis支持的命令请参见使用规范。 业务侧原本做了数据分片，切换到GeminiDB Redis后如何处理这部分逻辑 充分考虑到业务后期的规模扩张，GeminiDB Redis采用存算分离架构，在计算层实现了动态数据分片管理，提供强劲的平滑扩缩容能力。因此，接入GeminiDB Redis实例后，业务侧无需再做数据分片。 GeminiDB Redis是否支持keys命令的模糊查询 出于安全角度考虑，GeminiDB Redis不支持通过keys命令进行模糊查询。建议您使用scan搭配match来进行模糊匹配。 GeminiDB Redis是否支持多DB GeminiDB Redis的多DB功能将于2022年3月底上线，此前创建的实例暂不支持该功能，也不支持通过升级开启该功能。 使用GeminiDB Redis多DB功能时，您需要关注以下约束与限制： DB数支持的范围为0~65535。 不支持swapdb命令。 dbsize命令当前仅能统计所有DB下的key的数量，flushdb后dbsize返回的结果并不会降为0。 不支持info keyspace，如需统计某个DB下key的数量，请使用scan进行扫描查询。 不支持在Lua脚本中使用select和flushdb命令。 不支持在事务中使用select和flushdb命令。 暂不支持move命令。 对于scan类的操作，GeminiDB Redis接口与开源Redis 5.0的返回值顺序为什么有差异 开源Redis没有规定如下情况的排序准则，故GeminiDB Redis接口的返回顺序可能和开源Redis不一样，但两者均满足开源文档描述行为。 scan/hscan/sscan操作的返回值。 在zset类型的元素具有相同score时，执行zscan操作的返回值。

本节主要介绍创建用户并授权。 如果您需要对您所拥有的云数据库GeminiDB进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的天翼云账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用云数据库 GeminiDB资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将云数据库GeminiDB资源委托给更专业、高效的其他天翼云账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用云数据库 GeminiDB服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图1所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的云数据库GeminiDB权限，并结合实际需求进行选择，云数据库 GeminiDB支持的系统权限。 示例流程 图1 给用户授权云数据库 GeminiDB权限流程 1、创建用户组并授权 在IAM控制台创建用户组，并授予云数据库 GeminiDB权限“GeminiDB FullAccess”。 2、创建用户并加入用户组 在IAM控制台创建用户，并将其加入创建的用户组。 3、用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择云数据库 GeminiDB服务，进入云数据库 GeminiDB主界面，单击右上角“购买数据库实例”，尝试购买云数据库 GeminiDB实例，若可以正常购买数据库实例，则表示所需权限策略均已生效。

本节介绍如何开启告警通知。 通过对攻击日志进行通知设置，WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户。 前提条件 已开通消息通知服务。 约束条件 在设置时间间隔内，当攻击次数大于或等于您设置的阈值时才会发送告警通知。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“系统管理 > 告警通知”，进入“告警通知”页面。 5. 单击“添加通知”，配置告警通知参数。 参数 参数说明 通知类型 选择告警通知的类型： 防护事件：WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户。 通知名称 自定义该条告警的名称。 通知描述 可选参数，备注该条告警的用途。 企业项目 在下拉框中选择企业项目，该通知在选择的企业项目下生效。 通知群组 单击下拉列表选择已创建的主题或者单击“查看主题”创建新的主题，用于配置接收告警通知的终端。 告警频率 在设置时间间隔内，当攻击次数大于或等于您设置的阈值时才会发送告警通知。 事件类型 设置告警的事件类型，系统默认选择“全部”，用户也可以单击“自定义”，勾选需要告警的事件类型。 6. 配置完成后，单击“确认”，告警通知设置成功。 如果需要关闭该告警通知，在目标告警所在行的的“操作”列，单击“关闭”。 如果需要删除该告警通知，在目标告警所在行的的“操作”列，单击“删除”。 如果需要修改该告警通知，在目标告警所在行的的“操作”列，单击“修改”。

本文介绍使用Rediscli迁移自建Redis（RDB文件） 迁移介绍 Rediscli 是 Redis 自带的命令行客户端工具，它允许用户通过命令行与 Redis 服务器进行交互 如果 Redis 服务不支持获取 AOF 文件，你可以尝试使用 Rediscli 工具获取 RDB 文件，并通过其他工具（如 RedisShake）将其导入到 DCS 缓存实例中。 说明 源Redis实例必须支持“SYNC”命令，因为使用Rediscli导出RDB文件依赖SYNC命令。 步骤1：导出前准备 对于主备或集群实例，由于数据写入 RDB 文件存在一定的时延，你可以在迁移之前先了解待迁移 Redis 实例的 RDB 策略配置（策略配置位于 redis.conf 文件中） 为确保 RDB 文件包含完整的缓存数据，建议先暂停业务系统 步骤2：导出RDB文件 说明 建议业务空闲时间进行迁移操作。 待导出的源Redis为集群模式时，需要对集群的每个节点逐一执行导出操作，然后再逐一导入到目标Redis中。 使用如下命令导出RDB文件： ./rediscli h {redisaddress} p {redisport} a {password} rdb {output.rdb} 执行命令后回显"Transfer finished with success."，表示文件导出成功。 步骤3：上传RDB文件至天翼云ECS 为节省传输时间，请先压缩RDB文件再传输。 将压缩文件（如以SFTP/SCP等方式）上传到天翼云ECS。 说明 ECS需保证有足够的磁盘空间，供数据文件存储，同时需要与缓存实例网络互通，通常要求相同VPC和相同子网，且安全组规则不限制访问端口。 步骤4：导入数据 可借助RedisShake工具完成数据导入。 步骤5：迁移后验证 数据导入成功后，请连接DCS缓存实例，通过dbsize命令，确认数据是否导入成功 如果导入不成功，需要分析原因，修正导入语句，然后使用flushall或者flushdb命令清理实例中的缓存数据，并重新导入。

本节主要介绍CCE集群的网络地址段规划实践。 在CCE中创建集群时，您需要根据具体的业务需求规划VPC的数量、子网的数量、容器网段划分和服务网段连通方式。 本文将介绍VPC环境下CCE集群里各种地址的作用，以及地址段该如何规划。 约束与限制 通过搭建VPN方式访问CCE集群，需要注意VPN网络和集群所在的VPC网段、容器使用网段不能冲突。 集群各网段基本概念 VPC网段/子网网段 虚拟私有云（Virtual Private Cloud，简称VPC）是您在天翼云上申请的为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境。您可以自由配置VPC内的IP地址段、子网、安全组等子服务，也可以申请弹性带宽和弹性公网IP搭建业务系统。 子网是用来管理弹性云服务器网络平面的一个网络，可以提供IP地址管理、DNS服务，子网内的弹性云服务器IP地址都属于该子网。 默认情况下，同一个VPC的所有子网内的弹性云服务器均可以进行通信，不同VPC的弹性云服务器不能进行通信。不同VPC的弹性云服务器可通过创建对等连接通信。 在CCE中创建集群时，需要选择VPC和子网，集群的控制节点（k8s控制面）将在所选择的子网中创建。 容器网段（pod网段） Pod是Kubernetes内的概念，每个Pod具有一个IP地址。 在CCE中创建集群时，可以指定Pod的地址段（即容器网段），容器网段不能和子网网段重叠。例如子网网段用的是 192.168.0.0/16，集群的容器网段就不能使用192.168.0.0/18，192.168.1.0/18等，因为这些地址都涵盖在 192.168.0.0/16 里了。

容器隧道网络（Overlay ）基于底层VPC网络，另构建了独立的VXLAN隧道化容器网络，适用于一般场景。VXLAN是将以太网报文封装成UDP报文进行隧道传输。容器网络是承载于VPC网络之上的Overlay网络平面，具有付出少量隧道封装性能损耗，即可获得通用性强、互通性强、高级特性支持全面（例如Network Policy网络隔离）的优势，可以满足大多数应用需求。 容器隧道网络 说明如下： Overlay L2指的是容器跨节点以Overlay通信，所有节点上的容器IP都是2层可达的。如Canal支持的Overlay类型为vxlan，采用的vswitch为openvswitch。 Overlay L2特性支持的功能包括： 支持多平面通信和隔离。 支持Pod访问Service IP。 支持Pod应用和Host应用的访问。 Overlay L2通信的上行链路网卡设备需要预配置IP地址。 Overlay L2目前不支持与其他网络模式的混用。 ServiceIP不支持多平面，只支持默认平面。 Overaly L2逻辑网络掩码（大子网掩码）目前不支持配置为大于24的值。 Overlay L2逻辑网络分配给节点的小子网掩码默认为26，支持配置为24~30。另外当小子网掩码为配置为24时，大子网掩码不支持配置为24。 Overlay L2由于在每个节点上都是小子网，容器内网络的网关都是由Canal自动分配，不支持指定网关。 优缺点 优点：不受VPC配额规格、响应速度限制（路由条目数、弹性网卡数、创建速度限制）。 缺点：封装的额外开销，网络复杂性较高、性能较低，无法直接利用VPC提供的负载均衡、安全组等能力。 应用场景 适用于对网络时延、带宽要求不是特别高的一般容器业务场景。

本节介绍如何通过云审计服务查询实例相关操作。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶或日志审计（原生版）服务中。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 若您使用云审计提供的转储至对象存储服务（ZOS）功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 若您使用云审计提供的转储至日志审计（原生版）功能，需要开通日志审计（原生版）服务并支付产生的费用，该费用以日志审计（原生版）产品的计费为准，参考计费说明日志审计（原生版）。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。

oldsnapshotthreshold (integer) 设置在使用快照时，一个快照可以被使用而没有发生snapshot too old 错误风险的最小时间。这个参数只能在服务器启动时设置。如果超过该阈值，旧数据将被清理掉。这可以有助于阻止长时间使用的快照造成的快照膨胀。 为了阻止由于本来对该快照可见的数据被清理导致的不正确结果， 当快照比这个阈值更旧并且该快照被用来读取一个该快照建立以来被修改过的页面时， 将会产生一个错误。值为1会禁用这个特性，并且这个值是默认值。 对于生产工作有用的值可能从几个小时到几天。该设置将被转换成分钟粒度， 并且小数字（例如0或者1min） 被允许只是因为它们有时对于测试有用。虽然允许高达60d的设置， 但是请注意很多负载情况下，很短的时间帧里就可能发生极大的膨胀或者事务 ID 回卷。当这个特性被启用时，关系末尾的被清出的空间不能被释放给操作系统， 因为那可能会移除用于检测snapshot too old情况所需的信息。 所有分配给关系的空间还将与该关系关联在一起便于重用， 除非它们被显式地释放（例如，用VACUUM FULL）。这个设置不会尝试保证在任何特殊情况下都会生成错误。事实上，如果（例如） 可以从一个已经物化了一个结果集的游标中生成正确的结果， 即便被引用表中的底层行已经被清理掉也不会生成错误。 某些表不能被过早地安全清除，并且因此将不受这个设置的影响， 比如系统目录。对于这些表， 这个设置将不能降低膨胀，也不能降低在扫描时产生 snapshot too old错误的可能性。

本文介绍如何在天翼云APP注册或登录天翼云账号。 如何在APP注册天翼云账号 短信注册 1、打开天翼云APP，选择【我的】 2、点击【登录/注册】按钮，选择切换至短信注册方式 3、若该手机号已经注册过天翼云账号，可选择继续注册或选择已有账号登录 注意 一个手机号最多可注册5个天翼云账号，超出则不再支持注册新的天翼云账号 通过短信注册的账号默认开启短信登录功能，若关闭此功能，请确保已设置登录密码，便于后期使用账号登录 账号注册 1、打开天翼云APP，选择【我的】 2、点击【登录/注册】按钮，填写账号信息 3、注册成功后可可返回登录界面进行账号登录 如何在APP登录天翼云账号 短信登录 1、打开天翼云APP，选择【我的】 2、点击【登录/注册】按钮，选择其他方式 3、填写手机号及验证码 账号登录 1、打开天翼云APP，选择【我的】 2、点击【登录/注册】按钮，选择其他方式 3、填写账号及密码 如何使用天翼云APP扫码登录 用户可以在PC端和APP端使用同一个天翼云账号，支持通过天翼云APP扫码登录PC端。 1、在PC端选择扫码登录 2、使用天翼云APP【扫一扫】功能，扫描PC端的二维码 注意 天翼云APP需要为已登录状态 3、在天翼云APP的安全提示界面，选择【确认登录】 4、PC端登录成功

DDoS高防（边缘云版）是否对接入端口有限制？ 接入端口因国家备案要求，所以不支持80，8080，443，8443端口接入，有该端口需求可使用域名接入。 此外端口有预留部分内部端口，详情可见控制台实时更新。 DDoS高防（边缘云版）支持对非域名业务进行防护么？ HTTP、HTTPS协议接入的域名，必须使用域名接入。 如果没有域名，可选择TCP、UDP协议端口接入（80，8080，443，8443及因安全问题而限制的端口除外）。 DDoS高防（边缘云版）源站IP可以填写内网IP吗？ 不可以。DDoS高防（边缘云版）通过公网进行回源，不支持在源站IP填写内网IP，必须要求天翼云节点到源站IP可达，否则业务将无法正常转发到源站。 DDoS高防（边缘云版）配置多个源站时如何进行负载均衡？ 针对域名接入的回源配置，支持设置源站的权重，根据权重及IPHASH的方式进行负载均衡。具体配置可详见新增域名。 针对端口接入的回源配置，多个源站将通过轮询的方式进行转发。具体配置可详见新增规则。 接入DDoS高防（边缘云版）业务时，业务会中断吗？ 业务接入DDoS高防（边缘云版）时，需要把域名解析从源站IP替换成天翼云的CNAME，该过程因为有Local DNS缓存的影响， 修改DNS解析后仍然会有部分请求未经过天翼云节点直接访问到源站IP。 为避免域名解析生效过程中业务中断，建议您的源站继续提供服务，直到域名解析全部生效，再调整源站的访问策略，如黑白名单等。

本节介绍网页防篡改（原生版）产品咨询相关常见问题。 什么是网页防篡改（原生版）？ 网页防篡改（原生版）是一款全方位保障云上网站安全的产品，可对网站文件进行监控，若发生篡改时，实时对客户进行告警；同时通过备份恢复被篡改的文件或目录，保障客户系统的网站信息不被恶意篡改。 网页防篡改（原生版）都支持哪些资源池？ 支持的一类节点区域如下： 资源池大区 资源池名称 华东地区 上海7/上海15/上海36/杭州2/合肥2/芜湖2/芜湖4/南京2/南京3/南京4/南京5/华东1/九江/南昌5/杭州7 华南地区 福州3/福州4/福州25/厦门3/佛山3/佛山7/广州6/南宁2/南宁23/郴州2/长沙3/海口2/武汉3/武汉4/武汉41/长沙42/华南2 西北地区 西安3/西安4/西安5/西宁2/兰州2/乌鲁木齐27/乌鲁木齐7/乌鲁木齐4/中卫5/中卫2/西安7/庆阳2 西南地区 贵州3/重庆2/成都4/昆明2/拉萨3/西南1/西南2贵州 北方地区 青岛20/北京5/北京9/晋中/石家庄20/内蒙6/华北2/辽阳1/郑州5/太原4/呼和浩特3/沈阳8 国际地区 香港1 支持的二类节点区域如下： 资源池大区 资源池名称 华东地区 上海4/杭州（AZ1）/杭州（AZ2）/苏州（AZ1）/苏州（AZ2）/苏州（AZ3）/芜湖/南昌 华南地区 福州（AZ1）/福州（AZ2）/深圳/南宁/长沙2（AZ1）/长沙2（AZ2）/海口（AZ1）/武汉2（AZ1）/广州4 西北地区 西安2（AZ1）/西安2（AZ2）/西安2（AZ3）/中卫/乌鲁木齐/西宁/兰州 西南地区 贵州/重庆/成都3/昆明 北方地区 郑州/青岛（AZ1）/青岛（AZ2）/北京2/太原/石家庄（AZ1）/石家庄（AZ2）/天津/长春/哈尔滨/沈阳3/内蒙3/华北（AZ3）

本节主要介绍NAT的约束与限制。 公网NAT网关 关于公网NAT网关的使用，您需要注意以下几点： 公共限制 同一个公网NAT网关下的多条规则可以复用同一个弹性公网IP，不同网关下的规则必须使用不同的弹性公网IP。 一个VPC支持关联多个公网NAT网关。 SNAT、DNAT可以共用同一个弹性公网IP，节省弹性公网IP资源。但是在选用全端口模式下，DNAT优先占用全部端口，这些端口不能被 SNAT 使用。因此SNAT规则不能和全端口的DNAT规则共用EIP，以免出现业务相互抢占问题。 公网NAT网关支持转换的资源类型不包括企业型VPN。 当云主机同时配置弹性公网IP服务和公网NAT网关服务时，数据均通过弹性公网IP转发。 出于安全因素考虑，部分运营商会对下列端口进行拦截，导致无法访问。建议避免使用下列端口： 协议 不支持端口 TCP 42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 4790 5554 5800 5900 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 4790 5554 9996 NAT 网关支持 TCP、UDP 和 ICMP 协议，暂不支持ALG 相关技术，且GRE 隧道和 IPSec 使用的 ESP、AH无法使用 NAT 网关，这是由NAT网关本身的特性决定的。 SNAT限制 VPC内的每个子网只能添加一条SNAT规则。 SNAT规则中添加的自定义网段，对于云专线的配置，必须是云专线侧网段，且不能与虚拟私有云侧的网段冲突。 公网NAT网关支持添加的SNAT规则的数量没有限制。 DNAT限制 一个云主机的一个端口对应一条DNAT规则，一个端口只能映射到一个EIP，不能映射到多个EIP。 公网NAT网关支持添加的DNAT规则的数量为200个。

本小节介绍支持云审计的HSS操作列表 企业主机安全通过云审计服务（Cloud Trace Service，CTS）为用户提供云服务资源的操作记录，记录内容包括用户从管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供用户查询、审计和回溯使用。 云审计服务支持的HSS操作列表 操作名称 资源类型 事件名称 取消忽略端口 hss notIgnorePortStatus 忽略端口 hss ignorePortStatus 取消忽略配置检测项 hss notIgnoreCheckRuleStat 忽略配置检测项 hss ignoreCheckRuleStat 重新进行基线检测 hss runBaselineDetect 解绑配额 hss cancelHostsQuota 关闭容器防护 hss closeContainerProtectStatus 开启容器防护 hss openContainerProtectStatus 解除已拦截IP hss changeBlockedIp 处理事件状态 hss changeEvent 恢复已隔离文件 hss changeIsolatedFile 删除告警白名单 hss removeAlarmWhiteList 添加登录白名单 hss addLoginWhiteList 删除登录白名单 hss removeLoginWhiteList 新增服务器组 hss addHostsGroup 分配到服务器组 hss associateHostsGroup 修改服务器组 hss changeHostsGroup 删除服务器组 hss deleteHostsGroup 关闭主机防护 hss closeHostsProtectStatus 开启主机防护 hss openHostsProtectStatus 卸载agent hss uninstallAgents 运行镜像扫描 hss runImageScan 从SWR服务同步镜像列表 hss runImageSynchronizeTask 更新并扫描SWR镜像 hss runSwrImageScan 重新体检 hss resetRiskScore 添加策略组 hss addPolicyGroup 删除策略组 hss deletePolicyGroup 部署策略组 hss deployPolicyGroup 修改策略内容 hss modifyPolicyDetail 修改策略组 hss modifyPolicyGroup 关闭自动隔离查杀 hss closeAutoKillVirusStatus 开启自动隔离查杀 hss openAutoKillVirusStatus 设置常用登录IP hss modifyLoginCommonIp 设置常用登录地 hss modifyLoginCommonLocation 设置SSH登录白名单 hss modifyLoginWhiteIp 修复漏洞 hss changeVulStatus 添加防护目录 hss addHostProtectDirInfo 添加特权进程 hss addPrivilegedProcessInfo 添加定时关闭防护配置 hss addTimingOffConfigInfo 删除远端备份服务器 hss deleteBackupHostInfo 删除防护目录 hss deleteHostProtectDirInfo 删除特权进程 hss deletePrivilegedProcessInfo 删除定时关闭防护配置 hss deleteTimingOffConfigInfo 设置定时关闭防护周期 hss setDateOffConfigInfo 修改防护目录开启状态 hss setProtectDirSwitchInfo 修改动态网页防篡改状态 hss setRaspSwitch 设置远端备份服务器 hss setRemoteBackupInfo 修改定时关闭防护状态 hss setTimingOffSwitchInfo 关闭网页防篡改防护 hss closeWtpProtectionStatusInfo 开启网页防篡改防护 hss openWtpProtectionStatusInfo 修改远端备份服务器 hss updateBackupHostInfo 修改防护目录 hss updateHostProtectDirInfo 修改特权进程 hss updatePrivilegedProcessInfo 修改Tomcat bin目录 hss updateRaspPathInfo 修改定时关闭防护时间段 hss updateTimingOffConfigInfo

视频地址 在【视频地址】标签卡，可以看到该视频条目下的原始视频和所有转码后视频（如下图所示）。 其中原始视频位于列表首位，每一个转码后视频将按照转码完成时间降序排列。每个转码后视频，在该页展示的名称为该视频对应转码模版的名称。 在列表中，每个视频都会展示封装格式、视频宽、高、码率等基础元数据信息。 您可以点击【视频预览】播放相关视频。需要注意，由于浏览器对部分视频编码格式存在版权限制，因此在预览框可能会提示“该视频格式不支持”或出现有声音无图像等现象。此时并不意味着该视频损坏。您可以使用播放器客户端预览视频。 您也可以点击【复制地址】获得当前视频的URL地址。需要注意，当您的点播实例存储桶设置为【公共读】时，你获得的URL地址为不带签名的地址。当您的点播实例存储桶设置为【私有】时，你获得的URL地址为携带签名的地址，且该地址的有效期不超过24小时。为保护您的音视频文件的安全，云点播的点播实例存储桶在设置为【私有】时，不允许签名的有效期大于7天。如您需要在自己的播放网站上发布播放地址，请勿使用云点播控制台的【复制地址】功能获得播放地址。应该使用云点播的SDK或API生成相关预签名的发布地址。详情可查看签名应用及示例（V2版本）、鉴权签名及示例（V4版本）和对视频文件进行签名。

配置对话助手 常见问题（0.15.3版本） 如遇到无法展示问题，可能是因为您的dify版本为最新版，我们目前还不支持，可执行以下操作切换到0.15.3版本并重启服务。 plaintext dify插件需要切换版本重新启动服务才可以达成兼容 git clone cd dify git checkout 7796984444191c639bd3c541a44e832b17ad1cae 如遇到息壤镜像失败问题，可切换到dify原始镜像，通过配置直接配置OpenAIAPIcompatible支持，配置方式如下： Obsidian copilot 打开 Obsidian，进入设置面板，选择“社区插件”。 关闭“安全模式”，点击“浏览”按钮搜索“Copilot for Obsidian”并安装。 安装完成后，启用插件。 Ragflow 注意 目前息壤model不支持embedding model能力，因此只能作为chat model提供能力。 下载镜像git clone < 通过docker安装并启动。 shell cd ragflow/docker docker compose f dockercomposeCN.yml up d 检查 RAGFlow 服务是否正常启动。 shell docker logs f ragflowserver 如果看到类似以下输出，则表示启动成功。 shell Running on all addresses (0.0.0.0) Running on Running on 打开浏览器配置模型Xinference服务提供商。 在浏览器中输入服务器的 IP 地址访问 RAGFlow。默认情况下，RAGFlow 使用 HTTP 端口 80，因此无需输入端口号。选择“Xinference”模型服务商（ Xinference是工厂配置，支持自定义模型名称）。 配置chatmodel的界面如下： 回到对话界面，配置聊天助手： 开启对话：

配置对话助手 常见问题（0.15.3版本） 如遇到无法展示问题，可能是因为您的dify版本为最新版，我们目前还不支持，可执行以下操作切换到0.15.3版本并重启服务。 plaintext dify插件需要切换版本重新启动服务才可以达成兼容 git clone cd dify git checkout 7796984444191c639bd3c541a44e832b17ad1cae 如遇到息壤镜像失败问题，可切换到dify原始镜像，通过配置直接配置OpenAIAPIcompatible支持，配置方式如下： Obsidian copilot 打开 Obsidian，进入设置面板，选择“社区插件”。 关闭“安全模式”，点击“浏览”按钮搜索“Copilot for Obsidian”并安装。 安装完成后，启用插件。 Ragflow 注意 目前息壤model不支持embedding model能力，因此只能作为chat model提供能力。 下载镜像git clone < 通过docker安装并启动。 shell cd ragflow/docker docker compose f dockercomposeCN.yml up d 检查 RAGFlow 服务是否正常启动。 shell docker logs f ragflowserver 如果看到类似以下输出，则表示启动成功： shell Running on all addresses (0.0.0.0) Running on Running on 打开浏览器配置模型Xinference服务提供商。 在浏览器中输入服务器的 IP 地址访问 RAGFlow。默认情况下，RAGFlow 使用 HTTP 端口 80，因此无需输入端口号。 选择“Xinference”模型服务商（ Xinference是工厂配置，支持自定义模型名称）。 配置chatmodel的界面如下： 回到对话界面，配置聊天助手： 开启对话：

服务接入可以将预置服务及我的服务打包为服务组,生成AppKey供用户调用。 前置条件 如需要为自定义服务部署创建App Key 需要提前完成服务部署。 创建服务组 进入模型服务模块，点击【服务接入】，服务接入模块可以将预置服务及我的服务打包为服务组，生成AppKey供用户调用。 点击【创建服务组】，填写服务名称和服务描述，选择需要关联的服务（支持选择预置服务、我的服务），提交完成创建。 完成创建后，系统会自动创建一个调用服务的密钥，即生成该服务的密钥，即“AppKey”。 管理服务组 点击服务组卡片【查看详情】，可进入服务组详情页，查看该服务组关联的服务，点击【了解更多】可查看模型详情。 点击服务组卡片对应按钮，可以对“AppKey”进行复制和重置。 点击服务组卡片对应按钮，可以对服务进行停用/启用、编辑、删除、服务组监控。 服务调用 点击查看我的服务详情获取服务接口地址。 点击关联服务组查看当前服务访问的APPKey。 在postman中构造请求接口，在请求header中需要填入Authorization鉴权信息，为避免被安全护栏拦截，建议在http请求header中填入UserAgent信息： plaintext 请求路径： 为具体的功能路径，如/chat/completions 请求方式：POST 请求header必填项： Authorization: Bearer AppKey ContentType: application/json 其他header： UserAgent: PostmanRuntimeApipostRuntime/1.1.0 获得服务调用返回。

天翼云提供统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。 您通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对KMS资源的访问控制、权限分配等。 说明 IAM 权限作用于KMS产品控制台的功能访问以及KMS服务的OpenAPI接口调用。 权限管理 默认情况下，主账号创建的IAM用户没有任何权限，需要将其加入特定的用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略），授权后IAM用户就能获得策略中定义的KMS产品的使用权限。 KMS产品支持企业项目管理，若您需要对KMS服务中的资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 权限配置 IAM权限管理：进入天翼云IAM权限配置界面，可以进行IAM用户及用户组的创建，并在用户组列表中点击“授权”，为用户组添加KMS产品对应的权限策略。KMS权限策略分为系统策略和自定义策略，系统策略默认提供，您也可以在“策略管理”界面创建自定义策略。用户组授权记录均可在“授权管理”界面查看并管理。 企业项目管理：进入天翼云IAM权限 配置界面，在“企业项目”界面可以创建并管理企业项目，创建企业项目后可进行资源的迁入迁出，绑定用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略）。

本节介绍了: cstorcsi插件的用户指南。 云容器引擎服务提供cstorcsi插件，基于Kubernetes容器存储接口（CSI），深度融合天翼云存储服务云硬盘、弹性文件存储、对象存储、并行文件和海量文件等，并完全兼容Kubernetes原生的存储服务。 插件介绍 cstorcsi插件包括cstorcsiprovisioner和cstorcsinodeplugin两部分。 cstorcsiprovisioner以无状态负载形态部署，通过将云存储服务的功能与 Kubernetes 的存储框架无缝集成，使用户能够通过 Kubernetes API 动态创建和删除存储卷，而无需直接与云存储服务进行交互； cstorcsinodeplugin以守护进程形态部署在所有节点，将存储卷与节点上的容器运行时进行集成，并提供对存储卷的挂载、卸载和快照等操作的支持，以使容器可以方便地使用存储卷提供的持久性存储功能。 版本推荐 目前CSI版本中，4.0及以上版本为新版插件，4.0以下版本为旧版插件。两版插件的实现逻辑存在差异，建议优先采用新版插件。 新版插件完全兼容旧版插件的所有功能，不存在兼容性问题。 插件安装 前提条件 大部分资源池插件安装无需配置用户AK和SK，仅少部分资源池在安装前需要配置。如需配置AK和SK，请先到天翼云门户“用户”“安全设置”“用户AccessKey”中获取AK和SK。 预付费账号请检查天翼云账户余额是否在100元以上，cstorcsi插件开通的存储为按需付费方式，需要账户余额在100元以上才可正常开通。 强烈建议使用CStorCSI的最新版本，至少选择4.0及其以上版本，越高的版本具备更多特性，更好的性能，更好的兼容性。最新CSI版本兼容之前的CSI版本。

本节介绍如何批量添加防护规则。 前提条件 已添加防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 在页面左上角，单击“所有策略规则”。 步骤6 在待配置规则列表的左上角，单击“批量添加”，进入对应的规则配置页面。 步骤7 选择策略名称，在“策略名称”的下拉框中选择策略名，可批量多选，如图所示。 步骤8 完成除“策略名称”以外其它参数的配置。 “CC攻击防护”请参见配置CC攻击防护规则进行参数配置。 “精准访问防护”请参见配置精准访问防护规则进行参数配置。 “黑白名单设置”请参见配置IP黑白名单规则进行参数配置。 “地理位置访问控制”请参见配置地理位置访问控制规则进行参数配置。 “网页防篡改”请参见配置网页防篡改规则进行参数配置。 “防敏感信息泄露”请参见配置防敏感信息泄露规则进行参数配置。 “全局白名单”请参见配置全局白名单（原误报屏蔽）规则进行参数配置。 “隐私屏蔽”请参见配置隐私屏蔽规则进行参数配置。 步骤9 单击“确认”，批量添加防护规则成功。

本节介绍如何查看WAF独享型实例的详细信息。 您可以在产品信息页面查看已购买实例的详细信息，包括实例基本信息、实例节点的健康状态。 前提条件 已购买WAF独享型实例。 查看独享版实例详情 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 管理独享引擎”，单击目标实例操作列的“查看实例详情”。 5. 在实例详情页面，可以查看实例信息、接入端口，以及实例节点信息。 实例信息 参数 说明 实例名称 系统默认以“资源池名称+VPC名称+实例内网IP”自动生成实例名称。用户可在实例详情页面对其进行修改。 修改实例名称： 1. 在实例详情页面，单击实例名称右侧的图标。 2. 修改实例名称后，单击“保存”，完成修改。 实例ID 实例的ID。 节点个数 当前实例的节点个数。 运行状态 当前实例的运行状态，包括正常、异常、离线。 WAF防护开关 可对实例的防护状态进行开启或关闭，关闭后，该实例下所有防护对象都将不受防护。 资源池 当前实例所属资源池。 VPC名称 当前实例所属VPC。 子网名称 当前实例所属子网。 防护对象 接入防护对象的个数。在实例详情页点击数字可跳转至对应防护对象列表页。 产品版本 实例的规格，单机版或集群版。 实例IPv4 单机版：显示单机节点本身内网IPv4地址。 集群版：显示集群VIP的IPv4地址。 单击“新增辅助网卡”，可以为实例新增网卡，详细操作请参见[新增辅助网卡](

本章节为您介绍非结构化数据的分类分级任务。 针对非结构化数据，分类分级任务列表的展示字段包括：数据源名称、数据源类型、主机窗口、业务系统、部门、责任人、创建用户、创建时间、最近更新时间、分类分级状态。 您可以通过输入数据源名称、主机、分类分级状态来查询现有任务，并且可以对任务进行（批量）删除、（批量）执行、编辑、查看结果等操作。 新增分类分级任务 1.使用安全管理员账号登录数据分类分级实例。 2.在左侧导航栏选择“分类分级任务 > 非结构化数据”即可进入“非结构化数据”页面。 3.单击页面左上角的“新增”按钮，开始新增分类分级任务。 4.填写数据源相关参数。 参数 参数说明 填写样例 数据源名称 自定义数据源名称 Test 数据源类型 选择连接数据源的类型： FTP SFTP LOCAL LOCAL 主机 填写连接数据源的主机IP地址 192.168.0.1 端口 填写连接数据源的主机端口 8080 账号 填写连接主机的账号 admin 密码 填写连接主机的账号密码 5.填写完成后，单击“保存”即可完成数据源新增。 后续操作 编辑分类分级任务：选择需要编辑的分类分级任务，选择“操作”列的“编辑”按钮即可编辑分类分级任务。 删除分类分级任务：选择需要删除的分类分级任务，选择“操作”列的“更多 > 删除”按钮即可删除分类分级任务。 执行分类分级任务：选择需要执行的分类分级任务，选择“操作”列的“执行”按钮即可执行分类分级任务。 说明 除分类分级结果外，扫描过程中，系统在扫描过程中还会检测文件是否包含敏感字段信息，结果记录为“敏感字段匹配次数”。 查看分类分级任务结果：选择需要查看结果的分类分级任务，选择“操作”列的“查看”按钮即可查看结果。

本节将介绍如何管理模型，如启用、停用、删除模型等操作。 启用模型：态势感知（专业版）支持利用模型对管道中的日志数据进行监控，如果检测到有满足模型中设置触发条件的内容时，将产生告警提示。当用户完成模型新建后，需要使用模型来生成告警，则需要启用模型。 停用模型：当用户不再需要模型生成告警提示，则可以停用模型。 删除模型：当模型规则不再适用且确认未来也不会使用时，用户可选择删除模型。 约束与限制 仅支持对自定义创建的模型进行启用、停用、删除操作。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“建模分析> 智能建模”，进入智能建模的可用模型页面。 5. 在可用模型页面中，管理模型。 操作 操作说明 启用模型 在模型列表中，单击目标模型所在行“操作”列的“启用”。 说明 如需批量启动模型，可以勾选所有需要启动的模型，然后单击列表左上角的“启用”。 当模型状态更新为启用，则表示启动模型成功。 停用模型 在模型列表中，单击目标模型所在行“操作”列的“停用”。 说明 如需批量暂停模型，可以勾选所有需要暂停的模型，然后单击列表左上角的“停用”。 当告警模型状态更新为“停用”，表示停用成功。 删除模型 1. 在模型列表中，单击目标模型所在行“操作”列的“删除”。 说明 如需批量删除模型，可以勾选所有需要删除的模型，然后单击列表左上角的“删除”。 2. 在弹出的确认框中，单击“确定”。

本节主要介绍修改/启用/停用企业项目 当您的业务发生变化时，可以对已存在的企业项目进行修改、启用、停用操作。 为了保证您的资源安全，目前暂不支持删除企业项目。如果您不再使用企业项目，您可以停用企业项目。 说明 已停用企业项目无法使用修改功能。 停用后的企业项目仍会占用企业项目配额，如果您的企业项目配额不足，建议您提交工单让后台运维人员为您提供企业项目删除功能，或提升企业项目数量配额。 企业项目停用后在云服务创建页的“企业项目”中将不可见，无法迁入资源和添加用户组，如需再次使用，请重新启用该企业项目。 默认企业项目（default）无法编辑和停用。 修改企业项目 步骤 1 企业管理员登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 3 在企业项目管理页面，单击左侧功能菜单“项目管理”，进入企业项目列表页面，单击待修改企业项目右侧的“更多”，单击更多下拉菜单中的“修改”。 步骤 4 在修改企业项目信息弹出框中，输入新的“名称”和“描述”。 步骤 5 单击“确定”完成企业项目修改。 启用/停用企业项目 步骤 1 企业管理员登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 3 在企业项目管理页面，单击左侧功能菜单“项目管理”，进入企业项目列表页面，单击待启用/停用企业项目右侧的“更多”，单击更多下拉菜单中的“启用”/“停用”。 步骤 4 在企业项目启用/停用确认框中，单击“是”完成企业项目启用/停用。

本章节主要介绍MRS HDFS数据迁移到OBS。 操作场景 CDM支持文件到文件类数据的迁移，本章节以MRS HDFS>OBS为例，介绍如何通过CDM将文件类数据迁移到文件中。流程如下： 1.创建CDM集群并绑定EIP 2.创建MRS HDFS连接 3.创建OBS连接 4.创建迁移作业 前提条件 已获取OBS的访问域名、端口，以及AK、SK。 已经了MRS。 拥有EIP配额。 创建CDM集群并绑定EIP 1.参考创建CDM集群，集群创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群所在VPC、子网、安全组，选择与MRS集群所在的网络一致。 2.CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问MRS HDFS。 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。 创建MRS HDFS连接 1.在CDM集群管理界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面。 2.连接器类型选择“MRS HDFS”后单击“下一步”，配置MRS HDFS链接参数。 名称：用户自定义连接名称，例如“mrshdfslink”。 Manage IP：MRS Manager的IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 用户名：选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。 从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 密码：访问MRS Manager的用户密码。 认证类型：访问MRS的认证类型。 运行模式：选择HDFS连接的运行模式。

本节主要介绍审计 开通云审计服务 如果您需要收集、记录或者查询API网关服务的操作日志，用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景时，需要先开通云审计服务。 云审计服务包含以下功能： 记录审计日志 审计日志查询 审计日志转储 事件文件加密 关键操作通知 查看审计日志 如果需要查看审计日志，可查看日志追踪事件。 图 查看日志 查看关键操作列表 通过云审计服务，您可以记录与API网关相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的API Gateway操作列表 操作名称 资源类型 事件名称 ::: 创建API分组 apigApiGroups createApiGroup 删除API分组 apigApiGroups deleteApiGroup 修改API分组属性 apigApiGroups updateApiGroup 为API分组解除访问次数限制 apigApiGroups deleteApiGroupLimit 为API分组添加访问次数限制 apigApiGroups updateApiGroupLimit 添加API接口 apigApis createApi 删除API接口 apigApis deleteApi 修改API接口 apigApis updateApi 发布API接口 apigApis publishApi 下线API接口 apigApis offlineApi 为APP授权 apigAppAuths grantAuth 解除APP授权 apigAppAuths relieveAuth 创建环境 apigEnvs createEnvironment 删除环境 apigEnvs deleteEnvironment 修改环境信息 apigEnvs updateEnvironmentInfo 创建环境变量 apigEnvVariables createVariable 删除环境变量 apigEnvVariables deleteVariable 创建Acl黑白名单 apigAcls createAcl 删除Acl黑白名单 apigAcls deleteAcl 更新Acl黑白名单 apigAcls updateAcl 向黑白名单添加值 apigAcls addAclValue 从黑白名单移除值 apigAcls deleteAclValue 添加api与acl绑定关系 apigAclBindings createAclApply 删除api与acl绑定关系 apigAclBindings relieveAclApply 添加流控策略 apigThrottles createThrottle 删除流控策略 apigThrottles deleteThrottle 修改流控策略 apigThrottles updateThrottle 为API绑定流控策略 apigThrottleBindings createThrottleApiBinding 为API解除流控策略 apigThrottleBindings relieveThrottleApiBinding 为APP授权 apigAppAuths grantAuth 解除APP授权 apigAppAuths relieveAuth 创建APP apigApps createApp 删除APP apigApps deleteApp 更新APP apigApps updateApp 重置APP密钥 apigApps resetAppSecret