参数 描述 源库类型 选择“ECS自建库”。 VPC 源数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 指定数据库名称 选择是否指定数据库，开启后需手动输入数据库名称。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。

本文介绍AOneMail服务能力。 什么是AOneMail 边缘安全加速平台提供防钓鱼邮箱客户端，通过本地规则引擎、云端情报库、慧泽大模型等能力，对邮件进行检测和过滤，识别并拦截可能的钓鱼邮件，以防止敏感信息的泄露和恶意软件的传播。 注意事项 AOneMail已集成至AOne2.15.4及以上版本客户端，若已订购零信任服务/终端管理，可按照零信任服务（远程办公）进行快速接入。 服务能力 功能 描述 安装与登录 AOne零信任客户端首次点击云邮箱加载完成后，会自动打开新增账户界面，可进行邮件账户与服务器信息配置来进行邮箱的登录。 邮箱设置 支持邮箱基础参数配置，如邮箱通知、账户设置、邮件读写等，个性化邮箱使用场景。 收发邮件 实现邮件接收与发送功能，可对接不同邮件服务器，实时收取新邮件并支持邮件发送至目标地址。 撰写邮件 提供邮件编辑界面，支持添加主题、收件人、附件，编辑正文内容，完成新邮件的创建与发送操作。 通讯录 用于存储联系人邮箱、姓名、电话等信息，支持分组管理，便于撰写邮件时快速选取收件人。 钓鱼检测服务 通过智能算法识别钓鱼邮件，拦截含危险链接、恶意附件的邮件，保障用户账户安全，防范钓鱼攻击。 AOneMail常见问题 汇总用户使用过程中高频问题（如登录异常、邮件收发失败等），提供对应的解决方案与操作指引，辅助用户自助排障。

本章节介绍云容器集群Pod DNS篡改故障演练。 背景介绍 DNS 篡改会使域名解析到错误的 IP，从而在 CCE 环境中造成流量劫持、访问异常或数据泄露等风险。本演练模拟 DNS 篡改场景，用于检验 Pod 的安全防护与监控告警有效性，并评估业务在解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的目标域名。 映射IP：将目标域名解析到的IP地址。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

本章节介绍云容器集群Pod DNS篡改故障演练。 背景介绍 DNS 篡改会使域名解析到错误的 IP，从而在 CCE 环境中造成流量劫持、访问异常或数据泄露等风险。本演练模拟 DNS 篡改场景，用于检验 Pod 的安全防护与监控告警有效性，并评估业务在解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的目标域名。 映射IP：将目标域名解析到的IP地址。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

适用场景 适用于对数据安全要求比较高的系统，确保通信双方安全可信。 注意事项 使用双向认证的前置条件： 当前域名已配置HTTPS证书。 拥有客户端证书。 配置说明 如您需要配置双向认证功能，请通过提交工单给天翼云客服，由其帮您配置。

本小节介绍态势感知旁路部署配置。 态势感知控制端配置前准备 确保态势感知控制端的安全组放行 22 端口，态势感知控制端云主机网卡关闭源/目的检查。 态势感知控制端的配置需要配合态势感知技术工程师，由态势感知技术工程师配置。 旁路部署场景，使用天翼云平台的流量镜像功能引流，不涉及网络割接，只需开通态势感知控制端。 配置步骤 1. 确认所在资源池流量镜像功能可用性，是否存在配额或弹性云主机类型限制。 2. 登录天翼云网络控制台，在左侧选择“流量镜像 > 筛选条件”创建筛选条件。根据需要监控的云主机配置出入方向规则。 3. 创建完成后，单击筛选条件的名称，进入筛选条件详情，创建入方向规则。 4. 在左侧导航栏选择“流量镜像 > 镜像会话”，创建镜像会话，选择对应筛选条件，配置镜像源和镜像目的：镜像源选择需要监测的弹性网卡，镜像目的选择态势感知控制端的辅助网卡。 5. 开通完毕后，启动镜像会话，态势感知控制端验证镜像流量。

操作场景 本节将以使用"Microsoft Remote Desktop for Mac"工具远程连接到运行"Windows Server 2012 R2 数据中心版 64位"操作系统的云主机为例，介绍如何在Mac OS系统上登录Windows云主机的操作步骤。 前提条件 Windows云主机处于“运行中”状态。 已获得Windows云主机的用户名和密码。如果忘记密码，须重置云主机密码，请参考在控制台重置弹性云主机密码。 Windows云主机所在安全组的入方向已开放3389端口。 Windows防火墙未开启或开启后放通3389端口。 登录工具与Windows云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Windows云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 Windows云主机已开启远程桌面协议RDP。 已在Mac OS系统上安装了Microsoft Remote Desktop for Mac或其他适用于Mac OS系统的远程连接工具。您可以下载Microsoft Remote Desktop for Mac。 注意 请注意，微软官方已停止提供Remote Desktop客户端的下载链接，您可以尝试下载 操作步骤 1. 启动Microsoft Remote Desktop应用。 2. 点击"Add Desktop"（添加桌面）。 3. 在"Add PC"（添加计算机）页面，进行登录信息的设置。 PC name（计算机名称）：输入要登录的Windows实例的弹性IP地址。 User account（用户账户）：从下拉列表中选择"Add user account"（添加用户账户），然后弹出"Add user account"对话框。 在"Add user account"对话框中，输入Windows实例的用户名（例如"administrator"）和登录密码，然后点击"Add"（添加）。 4. 在"Remote Desktop"页面，双击要登录的Windows实例的图标。 5. 确认信息后，点击"Continue"（继续）。

本节介绍翼加密的产品简介，以便您了解翼加密。 翼加密是首个针对AI云电脑场景的文件加密安全解决方案。通过高安全性的加密算法，对AI云电脑内的文件实时无感加密。在保证用户正常使用AI云电脑的前提下，保障企业内部的敏感和机密数据文件安全不外泄。 加密文件如被移到AI云电脑外部的非加密环境，则无法正常打开。防止有意/无意的文件泄漏行为。加密文档如需外发，必须经过严格的脱密审批，并且保留审批记录，有迹可循。 其由两部分构成：天翼AI云电脑（政企版）控制台文件加密模块（以下简称控制台）、翼加密客户端（以下简称客户端）。 控制台 企业管理员通过控制台可以进行自定义配置加密策略、批量加解密AI云电脑、设置用户密级权限以及查看脱密记录审计等操作。 客户端 桌面用户可通过客户端申请和审批加密文件的脱密外发、调整桌面内文件的加密等级。

介绍解决部分Linux系统的账户破解防护功能未生效 故障原因 主机系统中SSHD服务没有依赖libwrap.so。 libwrap是一个免费的软件程序库，实现了通用的TCP。 Wrapper功能。任何包含了libwrap.so的daemon程序可以使用/etc/hosts.allow和/etc/hosts.deny文件中的规则对主机进行简单的访问控制。 解决方法 登录云服务器安装企业主机安全Agent，然后执行下面的命令： sh /usr/local/ hostguard/conf/configsshxinetd.sh 存在问题的镜像版本 Gentoo的镜像存在该问题的版本如下： Gentoo Linux 17.0 64bit（40GB） Gentoo Linux 13.0 64bit（40GB） OpenSUSE的镜像存在该问题的版本如下： OpenSUSE 42.2 64bit（40GB） OpenSUSE 13.2 64bit（40GB）

本文为您介绍资源编排ROS的功能特性。 统一管理资源 通过统一的管理平面，可实现对分布在不同地域资源池中的各类云资源进行全局掌控，实现单一控制台完成状态监控与配置调整，打破资源孤岛，实现跨池资源的统一调度与协同管理，大幅简化复杂多云环境下的运维复杂度。 模板管理 提供灵活且强大的模板定义能力，支持通过声明式语法对云资源的类型、规格、配置参数及关联关系进行精确描述，同时允许用户自定义模板以适配个性化需求。 针对模板全生命周期，提供完善的版本控制机制，可追溯每一次模板修改记录，确保不同团队、不同环境使用的模板版本一致，避免因模板差异导致的资源配置偏差。 自动化管理资源生命周期 以资源栈为管理单元，将一组关联资源视为整体进行全生命周期的自动化管理。流程中嵌入预览执行计划、询价与配额校验环节，通过预览执行计划明确资源的变更，通过询价明确资源组合的成本预估，再校验对应资源的配额是否充足，可实现资源栈生命周期全程自动化：创建、更新、删除、回滚等操作。 智能编排资源、处理资源依赖 通过内置的依赖分析引擎，能够自动识别模板中各资源（如 “云主机依赖于虚拟私有云”“数据库依赖于安全组”）的层级关系与关联规则，生成最优部署拓扑与执行顺序。同时，通过分布式锁与状态同步机制，确保多节点并行部署时的数据一致性。

天翼AI云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的CLINK数据安全传输协议，具备多重数据安全防护机制，实现安全高效的AI云电脑使用体验。提供一键部署、灵活可配、集中管控能力，广泛应用于办公、教育、医疗等行业使用场景。 本文档提供了天翼AI云电脑（政企版）API 的描述、语法、参数说明及示例等内容。

本文主要介绍配置DNS解析的步骤。 选择默认DNS服务器或者添加DNS服务器地址，域名防护策略将会按照您配置的域名服务器进行IP解析并下发。 说明 当前账号拥有多个防火墙时，DNS解析操作仅应用于设置的防火墙。 约束条件 最多支持自定义2个DNS服务器。 操作步骤 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“系统管理> DNS配置”，进入“DNS配置”页面。 5. 选择“默认DNS服务器”或添加“指定DNS服务器”。 说明 当前仅支持添加2个指定DNS服务器地址。 6. 单击“应用”，完成配置。 说明 当前账号拥有多个防火墙时，DNS解析操作仅应用于设置的防火墙。

本章节主要介绍数据治理中心的配置Hive连接功能。 目前CDM支持连接的Hive数据源有以下几种： MRS Hive FusionInsight Hive Apache Hive MRS Hive 用户具有MRS Hive连接的表的访问权限时，才能在字段映射时看到表。 MRS Hive连接适用于云上的MapReduce服务。MRS Hive的连接参数如下表所示。 说明 l 新建MRS连接前，需在MRS中添加一个kerberos认证用户并登录MRS管理页面更新其初始密码，然后使用该新建用户创建MRS连接。 l 如需连接MRS 2.x版本的集群，请先创建2.x版本的CDM集群。CDM 1.8.x版本的集群无法连接MRS 2.x版本的集群。 l 由于当前CDM Hive连接是从MRS HDFS组件获取coresite.xml配置信息，所以在MRS侧使用的是Hive over OBS场景时，在创建Hive连接前，需要用户在MRS管理界面的HDFS组件中配置OBS的AK、SK信息。 l 需确保MRS集群和DataArts Studio实例之间网络互通，网络互通需满足如下条件： l DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，MRS集群可以访问公网且防火墙规则已开放连接端口。 l DataArts Studio实例（指DataArts Studio实例中的CDM集群）与MRS集群同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见 Type Ⅰ）> 添加路由信息”章节，配置安全组规则请参见 > 添加安全组规则”章节。 l 此外，还需确保该MRS集群与DataArts Studio工作空间所属的企业项目相同，如果不同，您需要修改工作空间的企业项目。 详见下表：MRS Hive连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrslink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE Hive版本 Hive的版本。根据服务端Hive版本设置。 HIVE3X 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对应组件的进行库、表、数据的操作，还需要添加对应组件的用户组权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 OBS支持 需服务端支持OBS存储。在创建Hive表时，您可以指定将表存储在OBS中。 否 运行模式 “HIVE3X”版本支持该参数。支持以下模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式或者配置不同的Agent。 说明 STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 EMBEDDED 检查Hive JDBC连通性 是否需要测试Hive JDBC连通性。 否 是否使用集群配置 用户可以在“连接管理”处创建集群配置，用于简化Hadoop连接参数配置。 否 属性配置 其他Hive客户端配置属性。 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。

本节介绍跨区域互联的开通说明和开通步骤。 产品定义 跨域互联可为客户提供同租户下不同VPC相同资源池或跨资源池互通的能力。 应用场景 场景1：同一租户下A资源池VPC1与VPC2互通。 场景2：同一租户下A资源池VPC1与B资源池VPC1互通（需要开通跨域带宽）。 使用限制 在开通跨域互联前需确认：需互通的资源池和虚拟私有云（vpc）的相关信息。VPC开通详情可查看“管理虚拟私有云”的相关操作指引。 注意 所有互通的VPC子网不可重叠，且跨域互联只能绑定同一个租户下的VPC。 跨域互联开通步骤 （1）创建跨域互联 （2）加载其他VPC或者子网 （3）开通跨域带宽并设置域间带宽 （4）设置桌面安全组与Windows防火墙

本文介绍云硬盘存储卷概述。 Serverless集群支持使用天翼云云硬盘存储卷。当前cstorcsi插件支持使用云盘动态存储卷和静态存储卷，通过将云硬盘存储卷挂载到容器指定目录下，以实现数据持久化需求。 云硬盘挂载可以实现当容器在同一可用区内进行迁移时，挂载的云硬盘也将随之迁移。 通过云硬盘挂载，可以将远端存储系统中的数据直接映射到容器中，即使容器被删除，数据卷中的数据仍然会保存在存储系统中，从而确保数据的安全和持久性。 使用限制 共享存储 如果选择非共享盘存储，则同时只能被一个节点挂载，访问模式不能为ReadWriteMany；如果选择共享盘存储，则可以被多个节点挂载，卷模式仅支持块设备（Block），不能为文件系统（Filesystem）。 卷模式与访问模式 卷模式 访问模式 Block ReadWriteOnce/ReadWriteMany/ReadOnlyMany Filesystem ReadWriteOnce 跨可用区 非共享盘不支持跨可用区挂载。当Pod重建时，会重新挂载原云盘。若由于其他限制无法调度到原可用区，则Pod将会处于Pending状态。 容量 单个数据盘最小容量10GB，最大容量为32TB，最小扩容容量为1GB，扩容步长为1GB。 挂载数量 单个节点最多允许挂载8个数据盘，如果需要更多，可以通过提工单方式将上限提到22个。 磁盘模式 当前仅支持云硬盘磁盘模式为VBD。 云盘加密 当前暂不支持使用加密盘。 与ECS挂载关系 极速型SSD云硬盘仅支持挂载至vCPU数量至少为16且为6代以上的通用计算增强型和内存优化型云主机，并且一台云主机只允许挂载最多3块极速型SSD云硬盘。 挂载应用类型 推荐使用有状态应用通过PVC模版方式挂载使用云盘。 无状态应用挂载使用云盘有诸多限制，比如当选择卷模式为Filesystem的存储卷时，无法为每个Pod配置独立的存储卷，所以要求Replica需要配置为1或者保证Pod均调度到同一节点上。此外，由于Deployment的升级策略，重启Pod时新的Pod可能一直无法挂载，故不推荐使用。 应用参数配置 创建工作负载时，如果配置了securityContext.fsgroup参数，kubelet在存储卷挂载完成后会执行chmod和chown操作，导致挂载时间延长。

本小节介绍安全专区云数据库审计中添加保护对象方法。 配置方法： 1.点击【保护对象】→【添加】，进行添加保护对象设置。 说明 数据库中的保护对象是指受审计的数据库。 2.填写受保护对象相关信息。 对象名：自定义； 状态：默认开启； 告警：默认关闭（按需开启）； 数据库类型：MySQL（选择对应的数据库版本）； 版本号：MySQL5.7（选择安装的对应版本号）； Ip地址：192.168.0.124（可输入IP段形式，用‘’隔开）； 端口号：3306（可输入多端口，用‘’隔开）； 数据字符集：GB2312（选择适当的编码）； His产商：空（按需配置）； 审计策略：默认策略（按需配置）； 告警策略：空（按需配置）。 注意 根据自己数据库安装时的配置选择编码，编码选择错误可能会导致乱码问题。 3.保存成功后，可对原有配置进行单个编辑，配置扩展配置以及批量修改（状态、策略）。 4.完成以上客户端安装及策略配置，数据库的访问操作将会发送到云数据库审计上并展示。

OOS会不会扫描我的数据用于其他用途？ 系统对数据做的扫描仅限于判断数据块是否存在或被损坏（如有损坏，会启动修复），不会读取具体的内容。 后台工程师能否导出我存在OOS中的数据？ 后台工程师无法导出用户数据。 使用数据迁移工具，可以迁移哪些数据至OOS？ 数据迁移工具支持下列场景的数据迁移至OOS： 搬迁本地数据至OOS。 迁移第三方云厂商数据至OOS，如阿里云、腾讯云、华为云、AmazaonS3。 OOS之间数据迁移（跨帐号、跨资源池以及同资源池内数据迁移）。 OOS是否支持数据冗余存储？ 支持。OOS支持多种冗余存储方式，包括Erasure Code（EC，纠删码）和多副本。在保证数据安全性的情况下，OOS会选择最优冗余存储方案进行数据存储。 使用OOS时，出现RequestTimeTooSkewed的报错信息，怎么处理？ 出于安全目的，OOS会校验客户端与OOS服务端的时间差，当两者相差大于15分钟时，OOS服务器会拒绝您的请求，并给出报错信息RequestTimeTooSkewed。此时，请检查发送请求设备的系统时间，并根据时区调整到正确时间。OOS的系统时间采用UTC/GMT时间，您的设备的系统时间需要调整到UTC时间，或与其相对应的时区时间。UTC是零时区的区时，即世界标准时间。

本文汇总了使用对等连接产品时常见的问题。 对等连接是否收费？ 对等连接免费提供服务。如果您在使用对等连接的同时使用了云主机、弹性IP等其他云产品，需要按照各云产品的计费规则支付费用，具体请详见各产品的计费说明；例如：弹性云主机计费规则请参考 计费项及其计费方式。 为什么对等连接建立成功，但两端VPC仍然不能正常通信？ 请按以下步骤进行故障排除： 1. 检查对等连接的两个VPC是否已创建对等连接，主要检查对等连接的VPC ID。 2. 检查对等连接下的两个VPC是否都已添加到对端的路由信息。 3. 检查对等连接下的路由信息是否正确，当两个VPC网段重叠时，要配置对端子网的路由。 4. 检查对等连接的两个VPC的所有子网网段，是否有重叠的。 5. 检查对等连接两端要互通的弹性云主机是否开放了安全组规则，弹性云主机的iptables或防火墙是否加了限制规则。 6. 如果添加对等连接路由时，报错“路由已存在”，请检查：对等连接等路由的目的地址是否已存在。 7. 对等连接的路由目的地址有重叠，此时路由有可能失效。 8. 如果以上问题均已排除，请联系客服。 每个用户可申请多少个对等连接？ 在默认情况下，每个用户每个资源池最多可拥有50个对等连接，如果您有更多数量的对等连接的需求，可以提工单申请扩大配额。除了对等连接数量限制外，对等连接还有本端路由和对端路由数量的限制，即每个对等连接可创建本端路由数量限制 100 条，每个对等连接可创建对端路由数量限制 100 条。

本章节主要介绍物理机的登录类的问题。 物理机开机或者重启后，无法登录或云硬盘丢失，如何解决？ 问题描述 物理机开机或重启后，无法登录或云硬盘丢失。 可能原因 网络拥塞或者丢包导致物理机获取IP或者挂载数据卷（云硬盘）失败。 解决方案 重启物理机，如果多次重启无效，请联系客服。 远程登录物理机时，对浏览器版本有什么要求？ 用户采用远程登录方式访问物理机时，使用的浏览器应满足下表。 支持的浏览器版本 浏览器 版本 Google Chrome 31.0及以上 Mozilla FireFox 27.0及以上 Internet Explorer 10.0及以上 远程登录物理机时界面操作无响应，如何解决？ 问题描述 远程登录物理机时，按“Enter”后界面无任何响应。 可能原因 物理机操作系统内部配置不允许通过远程访问。 解决方案 登录物理机，进入操作系统进行相关设置，各操作系统的配置有所不同，以下仅提供部分操作系统配置示例， 步骤 1修改配置文件。 对于SUSE Linux Enterprise Server 12 SP2/SUSE Linux Enterprise Server 12 SP1/Ubuntu 16.04 Server/CentOS Linux 7.3/EulerOS 2.2操作系统，使用vi编辑器打开“/etc/default/grub”，在“GRUBCMDLINELINUX”字段内容后添加“consoletty0 consolettyS0”，如下图所示。 对于Oracle Linux 7.3/Red Hat Enterprise Linux 7.3操作系统，使用vi编辑器打开“/etc/sysconfig/grub”，在“GRUBCMDLINELINUX”字段内容后添加“consoletty0 consolettyS0”，如下图所示。 步骤 2 刷新配置。 对于SUSE Linux Enterprise Server 12 SP2/Oracle Linux 7.3/Red Hat Enterprise Linux 7.3/CentOS Linux 7.3/EulerOS 2.2操作系统，执行以下命令刷新。 stty F /dev/ttyS0 speed 115200 grub2mkconfig o /boot/grub2/grub.cfg systemctl enable serialgetty@ttyS0 对于Ubuntu 16.04 Server操作系统，执行以下命令刷新。 stty F /dev/ttyS0 speed 115200 grubmkconfig o /boot/grub/grub.cfg systemctl enable serialgetty@ttyS0 步骤 3（可选）修改安全配置文件。 如果使用root用户通过串口进行登录，需要修改安全配置文件。在“/etc/securetty”最后添加如下信息： 步骤 4执行reboot重启操作系统。 物理机操作系统配置完成后，重新远程登录，确认是否可以登录成功。

参数 描述 虚拟私有云 和主实例相同。 子网 和主实例相同。 IPv4地址：创建只读实例时RDS会自动为您配置IPv4内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 IPv6地址：选择支持IPv6地址的CPU和内存规格后，才能创建内网地址为IPv6的实例。创建只读实例时RDS会自动为您配置IPv6内网地址，不支持指定IPv6内网地址。实例创建成功后该内网地址也不支持修改。 内网安全组 和主实例相同。

支持对后端主机进行健康检查 支持用户自定义健康检查方式和频率，负载均衡根据预设的健康检查规则定时检查后端主机组运行情况，一旦检测到云主机为非健康状态，则不会将访问流量分派到这些非健康云主机实例。 支持IPv4 和 IPv6 双栈方案 兼容IPv4和IPv6地址，并且能够同时处理IPv4和IPv6流量。用户可以将IPv4和IPv6的流量通过负载均衡器进行负载均衡，并将其分发到后端的IPv4和IPv6云主机上，满足不同网络环境和要求下的负载均衡需求。 支持访问控制功能 通过设置黑、白名单等措施，对负载均衡器的访问进行灵活控制。黑名单是指禁止特定的IP访问负载均衡，白名单是指允许特定的IP访问负载均衡。通过对黑、白名单的设置，实现对系统的安全保护和访问控制。 支持跨可用区容灾 支持用户将后端服务节点部署在不同的可用区，通过负载均衡服务将流量分发到这些节点上。如果某个可用区出现故障，负载均衡服务可以自动将流量切换到其他正常的可用区，从而实现跨可用区容灾。

VPC边界防火墙支持VPC之间通信流量的访问控制，实现内部业务互访活动的可视化与安全防护。 支持的防护对象 虚拟私有云（VPC） 虚拟网关（VGW） VPN网关（VPN） 企业连接网（ECN） 全球接入网关（DGW） 约束条件 仅“专业版”支持VPC边界防火墙。 依赖企业路由器（Enterprise Router, ER）服务引流。 仅支持防护当前账号所属企业项目下的VPC。 配置流程 企业路由器模式（新版）配置及使用流程： 操作步骤 操作说明 创建VPC边界防火墙 为VPC边界防火墙规划用于引流的网段。 说明 引流VPC不会创建在您的账号上，即不占用您的防护VPC个数。 配置企业路由器并将流量引至云防火墙 通过企业路由器连通VPC和云防火墙之间的流量。 为防护VPC添加连接，建立VPC与ER之间的网络互通。 在企业路由器中创建两个路由表作为关联路由表和传播路由表，将VPC和防火墙之间的流量互相传输。 为VPC添加一条指向企业路由器的路由。 开启/关闭VPC边界防火墙并确认流量经过云防火墙 开启VPC边界流量防护，并验证流量是否经过云防火墙。 VPC边界防护规则 通过防护规则放行/拦截流量（放行后的流量会经过入侵防御IPS、病毒防御等功能的检测）。 通过添加黑白名单拦截/放行流量 通过黑白名单放行/拦截流量（放行/拦截的流量，不再经过其它功能的检测）。 访问控制日志 查看防护策略是否生效。

换绑邮箱 如需换绑/绑定手机，用户中心点击“邮箱”。 两种认证方式进行邮箱换绑/绑定： 通过手机验证的方式，换绑/绑定邮箱。 通过邮箱验证的方式，换绑/绑定邮箱。 修改密码 如需修改登录密码，用户中心点击“修改密码”，输入原密码验证，再次输入新密码即可修改登录密码。 安全中心 如需查看AI云电脑登录的设备或移除设备，用户中心点击“安全中心”。 进入到安全中心，找到对应的设备，点击进入设备详情。 点击底部按钮“移除设备”，确认移除后，该设备已登录的账号和密码缓存将被清除。 退出登录 如需退出AI云电脑登录账号，用户中心点击“退出登录”，二次确认之后即可退出AI云电脑登录账号。

流量趋势模块和流量分析页面展示的流量有什么区别？ 两个模块流量数据的统计方式不同： “总览”页面的“流量趋势”模块基于流量统计数据，数据信息实时更新；展示的内容为入方向流量、出方向流量、VPC间流量信息。 “流量分析”页面基于会话统计数据，在连接期间，数据不会上报，连接结束后才会上报。 入云流量：入云方向的会话。 出云流量：出云方向的会话。 VPC间访问：VPC间的会话。 如何获取攻击者的真实IP地址？ 流量经过反向代理后，源IP被转换为回源IP，此时如果受到外部攻击，CFW无法通过源IP获取到攻击者的真实IP地址，您可通过攻击事件日志中的XForwardedFor字段查询真实IP地址。 查看XForwardedFor 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航树中，选择“日志审计> 日志查询”。进入“攻击事件日志”页面，在对应事件的“操作”列，单击“详情”。 5. 在“详情”中，切换至“攻击payload”页签，获取XForwardedFor字段。 方法一：在“载荷内容”中查看XForwardedFor（从客户端到最后一个代理服务器的所有地址IP）。 方法二：复制“载荷内容”，通过Base64工具，获得解码结果： XForwardedFor：从客户端到最后一个代理服务器的所有地址IP。

本节介绍如何查看预定义地址组。 云防火墙为您提供预定义地址组，包括“NAT64转换地址组”和“WAF回源IP地址组”，两个地址组均建议您放行。 NAT64转换地址组：开启弹性公网IP（EIP）服务的IPv6转换功能后，云防火墙接收到对应IPv6流量的源IP地址会被转换为当前地址组中的IP。 说明 如果您开启了弹性公网IP（EIP）服务的IPv6转换功能，建议放行“NAT64转换地址组”。 WAF回源IP地址组：提供Web应用防火墙（WAF）服务云模式的回源IP地址。 注意 引用至防护规则，如果回源IP改变，无需手动修改，防火墙每天自动更新地址组中的IP地址。 添加至黑/白名单，如果回源IP改变，您需手动修改对应黑/白名单中的IP地址。 预定义地址组仅支持查看，不支持添加、修改、删除操作。 查看预定义地址组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 在“IP地址组”页签，选择“预定义地址组”页签，单击目标地址组的名称，进入详细信息页面，查看地址组信息。

本文说明应用加速产品升级情况。 尊敬的天翼云客户： 因业务调整，从2024年12月1日起，天翼云应用加速产品将并入边缘安全加速平台，边缘安全加速平台边缘接入服务可提供应用加速和边缘DDoS防护能力，相比于应用加速的应用场景更丰富。 新购客户：2024年12月1日起，将无法订购应用加速产品。如需订购，请订购其升级产品边缘安全加速平台边缘接入服务。 存量客户：应用加速产品将持续提供服务至您当前订单周期结束，但从2024年12月1日起，将无法进行续订和变更。如需续订，请订购其升级产品边缘安全加速平台边缘接入服务；如需变更，请先退订应用加速产品，再通过订购边缘安全加速平台的边缘接入服务来满足您的需求。 更多边缘安全加速平台信息详见： 如有任何问题，请您随时通过在线客服或服务热线4008109889联系我们，我们将竭诚为您服务。 感谢您对天翼云的支持！ 天翼云服务团队

如果您需要对云上购买的CTS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有CTS的使用权限，但是不希望他们拥有删除CTS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CTS，但是不允许删除CTS的权限策略，控制他们对CTS资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CTS服务的其它功能。 IAM提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 CTS权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CTS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CTS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略，策略是角色的升级版。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，CTS管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 如表1所示，包括了CTS的所有系统权限。 表 1 CTS系统权限 系统角色/策略名称 描述 类别 依赖关系 CTS FullAccess 云审计服务的所有权限。 系统策略 无 CTS ReadOnlyAccess 云审计服务的只读权限。 系统策略 无 CTS Administrator 云审计服务的管理员权限，拥有CTS的所有权限。 拥有该权限的用户拥有除IAM外，其他所有服务的只读权限。 系统角色 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、OBS Administrator和Security Administrator。 表2列出了CTS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 2 常用操作与系统权限的关系 操作 CTS FullAccess CTS ReadOnlyAccess CTS Administrator 查询事件列表 √ √ √ 查询配额 √ √ √ 创建追踪器 √ × √ 修改追踪器 √ × √ 停用追踪器 √ × √ 启用追踪器 √ × √ 查询追踪器 √ √ √ 删除追踪器 √ × √ 创建关键操作通知 √ × √ 修改关键操作通知 √ × √ 停用关键操作通知 √ × √ 启用关键操作通知 √ × √ 查询关键操作通知 √ √ √ 删除关键操作通知 √ × √

套餐超出资费说明 如果套餐内用量用尽，高级版支持按需付费，免费版不支持。如果请求数较多，请直接订购高级版。相关资费见下表： 计费方式 说明 生效区域 规格 费用（元/百万次） 函数请求数按需 您业务实际请求数超过了套餐用量，可开通按需。 中国内地 10ms 1 函数请求数按需 您业务实际请求数超过了套餐用量，可开通按需。 中国内地 50ms 3 函数请求数按需 您业务实际请求数超过了套餐用量，可开通按需。 中国内地 100ms 5 计费示例 定价示例：网站请求个性化定制 您在CDN加速的域名，需要针对请求响应进行个性化定制。 假设您每月试用的函数请求数为2601百万次，且您的终端用户都在中国内地。 推荐订购开发者平台高级版套餐，其中高级版套餐包含100万次函数请求数。按照您的使用量，请求数将会超过100万次，超出套餐的请求数会自动按照按需计费。 计费项目 用量 费用计算（元/月） 每月总费用（元/月） 开发者平台高级版套餐 高级版套餐包含100万次函数请求数（支持10ms/50ms/100ms） 40 40 50ms规格的函数请求数超量 2600百万次 326007800 7800 总计 7840

场景 描述 参考链接 动静态资源加速 智能分离动静态内容，静态内容通过配置缓存提升命中率；动态内容通过动态加速配置多种回源策略（择优回源、轮询回源、保持登录回源等）实现优质路径提速回源。 HTTPS配置 HTTPS是以安全为目标的HTTP通道，实现客户端和全站加速之间请求的HTTPS加密，保障数据传输的安全性。 IPv6 开启IPv6功能后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云全站加速节点。 海外加速 开启海外加速，可满足出海企业本地化CDN节点覆盖当地用户的迫切需求，保障跨国网络访问的高速、稳定和安全，助力企业拓展全球化业务。 性能优化 开启页面优化功能后，可有效去除页面的冗余信息，缩小文件体积，提高加速分发效率，同时也可以提升页面的可阅读性。 开启压缩功能后，能够带来两个明显的好处，一是减少存储空间，二是通过网络传输文件时，可以减少传输的时间。

本文带您了解云主机备份产品的基本概念。 存储库 存储库是用于存储备份副本的地方。备份服务会将创建的备份副本存储在存储库中，以保障数据的安全存储和高可靠性。您可以根据需要访问存储库，并管理和检索备份数据。 备份策略 备份策略指的是对备份对象执行备份操作时，预先设置的策略。策略包括备份策略的名称、备份任务的调度计划和备份数据的保留策略。其中调度计划包括备份执行的频率和备份执行的时间点，备份数据的保留策略包括备份数据的保存时间或保存数量。通过将云主机绑定到备份策略，可以为云主机执行自动备份。 备份副本 备份副本也可以简称为备份。 备份即一个备份对象执行一次备份任务产生的备份数据。首次备份为全量备份，备份云硬盘的所有数据；后续备份为增量备份，备份自上次备份以来发生变化的数据。备份可以通过一次性备份和周期性备份两种方式产生。一次性备份是指用户通过立即备份创建的一次性备份任务。周期性备份是指用户通过创建备份策略并绑定云主机的方式创建的周期性备份任务。周期性备份的备份名称由系统自动生成。 地域 地域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、弹性文件服务、VPC网络、弹性公网IP、镜像等公共服务。 可用区 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，具备独立的风火水电，可用区之间距离100KM以内，一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 每个地域完全独立，不同地域的可用区完全隔离，但同一个地域内的可用区之间使用低时延链路相连。

本章节主要向您介绍VPN连接的产品功能。 VPN连接（Virtual Private Network Connection，以下简称VPN），用于在远端用户和虚拟私有云（Virtual Private Cloud，以下简称VPC）之间建立一条安全加密的公网通信隧道。当您作为远端用户需要访问VPC的业务资源时，您可以通过VPN连通VPC。 默认情况下，在虚拟私有云（VPC）中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用VPN功能。 经典版VPN 经典版VPN采用硬件防火墙作为网关，所有租户共享IPSec隧道资源；一个租户业务触发故障将会影响其他租户业务。 企业版VPN 企业版VPN采用虚拟网关软件作为网关，VPN网关由租户独占，不与其他租户共享，带宽、连接数可保障；一个租户网关故障时，不会影响其他租户网关。 VPN关联ER 传统方式下，本地数据中心同时对接不同VPC时，VPN侧需要配置多条VPN连接，分别对应到不同VPC。 使用VPN关联ER（Enterprise Router，企业路由器）功能后，VPN只需要对接到ER，VPC之间的网络路由通信均由ER实现，从而简化网络配置。

本文向您介绍通过企业版VPN实现云上云下网络互通（双活模式）的操作步骤。 前提条件 云侧 请确认虚拟私有云VPC已经创建完成。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。 操作步骤 VPN服务支持静态路由模式、BGP路由模式和策略模式三种连接模式。本示例以静态路由模式进行配置讲解。 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 配置VPN网关： 1. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 2. 在“VPN网关”界面，单击“创建VPN网关”，并根据界面提示配置参数。 3. VPN网关参数说明如表11所示。 表VPN网关参数说明 参数 说明 取值参数 名称 VPN网关的名称。 vpngw001 网络类型 选择“公网”。 公网 关联模式 选择“虚拟私有云”。 关联ER场景时，请选择“企业路由器”。 虚拟私有云 企业路由器 仅关联场景为“企业路由器”时需要选择。 er001 虚拟私有云 选择用于分配互联子网的VPC。 关联场景为“企业路由器”时，该VPC可以对接ER，也可以不对接ER。 vpc001(192.168.0.0/16) 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 本端子网 仅关联场景为“虚拟私有云”时需要配置。 输入网段 输入需要和用户数据中心通信的子网，该子网可以在关联VPC内，也可以不在关联VPC内。 选择子网 选择关联VPC内的子网信息，用于和用户数据中心通信。 192.168.0.0/24，192.168.1.0/24 BGP ASN BGP自治系统编号。 64512 HA模式 选择“双活”。 双活 主EIP VPN网关和用户数据中心通信的公网IP1。 1.1.1.2 主EIP2 VPN网关和用户数据中心通信的公网IP2。 2.2.2.2 3. 配置对端网关： 1. 在左侧导航栏，单击“虚拟专用网络 > 企业版对端网关”。 2. 在“VPN对端网关”界面，单击“创建对端网关”，并根据界面提示配置参数。