本文介绍了虚拟私有云的权限内容。 如果您需要对天翼云上创建的VPC资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并授权来控制员工对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有VPC的使用权限，但是不希望员工拥有删除VPC等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用VPC，但是不允许删除VPC的权限，控制员工对VPC资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可忽略本章节，不影响您使用VPC服务的其他功能。 VPC权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VPC部署时通过物理区域划分。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问VPC时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对VPC服务，管理员能够控制IAM用户仅能对某一类网络资源进行指定的管理操作。 下表是VPC的所有系统权限。 策略名称 描述 策略类别 依赖关系 VPC FullAccess 虚拟私有云的所有执行权限。 系统策略 如果您需要使用VPC流日志功能，则依赖云日志服务的只读权限LTS ReadOnlyAccess。 VPC ReadOnlyAccess 虚拟私有云的只读权限。 系统策略 无 VPC Administrator 虚拟私有云的大部分操作权限，不包括创建、修改、删除、查看安全组以及安全组规则。 拥有该权限的用户必须同时拥有Tenant Guest权限。 系统角色 依赖Tenant Guest策略，在同项目中勾选依赖的策略。 下表是VPC常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 VPC ReadOnlyAccess VPC Administrator VPC FullAccess 创建VPC × √ √ 修改VPC × √ √ 删除VPC × √ √ 查看VPC √ √ √ 创建子网 × √ √ 查看子网 √ √ √ 修改子网 × √ √ 删除子网 × √ √ 创建安全组 × × √ 查看安全组 √ × √ 修改安全组 × × √ 删除安全组 × × √ 添加安全组规则 × × √ 查看安全组规则 √ × √ 修改安全组规则 × × √ 删除安全组规则 × × √ 创建网络ACL × √ √ 查看网络ACL √ √ √ 修改网络ACL × √ √ 删除网络ACL × √ √ 添加网络ACL规则 × √ √ 修改网络ACL规则 × √ √ 删除网络ACL规则 × √ √ 创建对等连接 × √ √ 修改对等连接 × √ √ 删除对等连接 × √ √ 查询对等连接 √ √ √ 接受对等连接 × √ √ 拒绝对等连接 × √ √ 创建路由表 × √ √ 删除路由表 × √ √ 修改路由表 × √ √ 将路由表关联至子网 × √ √ 添加路由 × √ √ 修改路由 × √ √ 删除路由 × √ √ 创建VPC流日志 × √ √ 查看VPC流日志 √ √ √ 开启/关闭VPC流日志 × √ √ 删除VPC流日志 × √ √ 创建IP地址组 × √ √ 将IP地址组关联至资源 × √ √ 将IP地址组和资源解除关联 × √ √ 在IP地址组内添加IP地址条目 × √ √ 删除IP地址组内的IP地址条目 × √ √ 修改IP地址组 × √ √ 删除IP地址组 × √ √ 说明 对于企业项目用户，您可以对属于该企业项目的资源进行权限范围内的操作。

本章节主要介绍DataArts Studio权限管理。 如果您需要对的DataArts Studio资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identityand Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权来控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DataArts Studio的使用权限，但是不希望他们拥有删除工作空间等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DataArts Studio服务，但是不允许删除工作空间的权限，控制他们对DataArts Studio资源的使用范围。 DataArts Studio权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DataArts Studio部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DataArts Studio时，需要先切换至授权区域。 DataArts Studio 仅支持基于系统角色的授权，不支持策略授权 。为了实现精细的权限管控，DataArts Studio提供了系统角色 + 工作空间角色授权的能力，由工作空间角色授权具体的操作权限，并支持自定义不同权限点的工作空间角色。 说明 IAM提供了以下两种授权机制。注意，DataArts Studio仅支持其中的IAM角色方式，不支持IAM策略。 IAM角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。传统的IAM角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 IAM策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如图110和表11所示，DataArts Studio的IAM系统角色包括DAYU Administrator和DAYU User；工作空间角色是基于IAM角色DAYU User进一步授予的，权限列表列出了DataArts Studio常用操作与工作空间角色的授权关系，您可以参照这些权限列表选择合适的角色。 图110 权限体系 表11 DataArts Studio系统角色 系统角色名称 描述 类别 DAYU Administrator 实例管理员，拥有对DataArts Studio实例及工作空间的所有管理权限、依赖服务权限，以及所有工作空间内的所有业务操作权限。 说明 Tenant Administrator具有除统一身份认证服务外，其他所有服务的所有执行权限。即Tenant Administrator权限的用户也拥有对DataArts Studio的所有执行权限。 系统角色 DAYU User 普通用户，具备DataArts Studio实例及工作空间的查看权限，以及依赖服务权限。普通用户需要被授予任一工作空间角色后，才能拥有对应角色的业务操作权限。 工作空间有管理员、开发者、部署者、运维者和访客五种预置角色和自定义角色，每种角色的介绍如下，具体操作权限请参见权限列表。 l 管理员：工作空间管理员，拥有工作空间内所有的业务操作权限。建议将项目负责人、开发责任人、运维管理员设置为管理员角色。 l 开发者：开发者拥有工作空间内创建、管理工作项的业务操作权限。建议将任务开发、任务处理的用户设置为开发者。 l 运维者：运维者具备工作空间内运维调度等业务的操作权限，但无法更改工作项及配置。建议将运维管理、状态监控的用户设置为运维者。 l 访客：访客可以查看工作空间内的数据，但无法操作业务。建议将只查看空间内容、不进行操作的用户设置为访客。 l 部署者：企业模式独有，具备工作空间内任务包发布的相关操作权限。在企业模式中，开发者提交脚本或作业版本后，系统会对应产生发布任务。开发者确认发包后，需要部署者审批通过，才能将修改后的作业同步到生产环境。 l 自定义角色：如果预置角色不能满足您的需求，您也可以创建自定义角色。自定义角色的权限可自由配置，实现业务操作权限最小化。 系统角色

本节主要介绍权限管理 如果您需要对已购买的软件开发生产线资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制员工对资源的访问范围。例如对于负责软件开发的员工，您希望他们拥有软件开发生产线控制台的使用权限，但是不希望他们拥有购买开通软件开发生产线等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能查看软件开发生产线资源使用量，但是不允许购买开通软件开发生产线的权限，控制开发人员对软件开发生产线资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用软件开发生产线的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见IAM帮助中心。 软件开发生产线控制台权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 软件开发生产线部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问软件开发生产线时，需要先切换至授权区域。 软件开发生产线控制台权限采用细粒度授权方式（即策略）。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对软件开发生产线服务，管理员能够控制IAM用户仅能对软件开发生产线资源进行指定的管理操作。 如下表所示，包括了软件开发生产线控制台的所有系统权限。 表 软件开发生产线控制台系统权限 策略名称 描述 类别 DevCloud Console FullAccess 软件开发生产线控制台管理员权限，拥有该权限的用户可以购买软件开发生产线资源。 系统策略 DevCloud Console ReadOnlyAccess 软件开发生产线控制台只读权限，拥有该权限的用户仅能查看软件开发生产线资源使用情况。 系统策略 下表列出了软件开发生产线控制台常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 操作 DevCloud Console FullAccess DevCloud Console ReadOnlyAccess 在控制台查看需求管理资源列表详情 √ √ 在控制台查看代码托管资源列表详情 √ √ 在控制台查看编译构建资源列表详情 √ √ 在控制台查看代码检查资源列表详情 √ √ 在控制台查看测试计划测试管理资源列表详情 √ √ 在控制台查看制品仓库资源列表详情 √ √

本节主要介绍权限管理 如果您需要对已购买的软件开发生产线资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制员工对资源的访问范围。例如对于负责软件开发的员工，您希望他们拥有软件开发生产线控制台的使用权限，但是不希望他们拥有购买开通软件开发生产线等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能查看软件开发生产线资源使用量，但是不允许购买开通软件开发生产线的权限，控制开发人员对软件开发生产线资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用软件开发生产线的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见IAM帮助中心。 软件开发生产线控制台权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 软件开发生产线部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问软件开发生产线时，需要先切换至授权区域。 软件开发生产线控制台权限采用细粒度授权方式（即策略）。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对软件开发生产线服务，管理员能够控制IAM用户仅能对软件开发生产线资源进行指定的管理操作。 如下表所示，包括了软件开发生产线控制台的所有系统权限。 表 软件开发生产线控制台系统权限 策略名称 描述 类别 DevCloud Console FullAccess 软件开发生产线控制台管理员权限，拥有该权限的用户可以购买软件开发生产线资源。 系统策略 DevCloud Console ReadOnlyAccess 软件开发生产线控制台只读权限，拥有该权限的用户仅能查看软件开发生产线资源使用情况。 系统策略 下表列出了软件开发生产线控制台常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 操作 DevCloud Console FullAccess DevCloud Console ReadOnlyAccess 在控制台查看需求管理资源列表详情 √ √ 在控制台查看代码托管资源列表详情 √ √ 在控制台查看编译构建资源列表详情 √ √ 在控制台查看代码检查资源列表详情 √ √ 在控制台查看测试计划测试管理资源列表详情 √ √ 在控制台查看制品仓库资源列表详情 √ √

本章节主要介绍如何快速创建一个数据分析集群。 数据分析集群使用Apache Doris，Apache Doris是开源的MPP架构的OLAP分析引擎，支持亚秒级的数据查询和多表join。在创建数据分析集群前，需要先创建虚拟私有云。 操作步骤 1、进入集群创建页面 方法一：登录翼MapReduce产品详情页，直接点击“立即开通”。 方法二：进入翼MapReduce产品一类节点资源池的产品控制台，点击“+创建集群”。 2、软件配置 进入“创建集群”页面进行配置与订购，软件配置页面如下图所示，参数说明如下： 区域集群与可用区：集群节点所在的物理位置，根据需要选择区域及可用区，也可以使用默认值。 业务场景：选择“数据分析”场景。 产品版本：选择使用的产品版本，默认值即可。 服务高可用：翼MapReduce默认启用服务高可用且不可关闭高可用模式。 可选服务：由可选组件和必选组件组成，根据业务场景而定。您可根据自身业务场景对可选组件进行选择。数据分析集群场景下默认只有Doris一个必选组件。 3、硬件配置 软件配置选择完成后，点击“下一步”进入硬件配置页面。硬件配置页面如下图所示，参数说明如下： 计费模式：可选择计费模式，默认为包年/包月。 购买时长：可按需选择订购时长。 自动续费：可按需开启自动续费功能。 操作系统：可按需选择CTyunOS或麒麟系统。 注意 当前麒麟镜像为不提供license的免费公共镜像，license需要用户自行购买。天翼云将为客户辅助提供技术支持。 主机类型：可按需选择云主机或物理机。 CPU类型：可按需选择X86或ARM。 规格类型：可按需选择通用主机或国产化主机。 节点组：根据您自身需要选择集群节点规格及数量，包括对节点组类型、选项配置、云盘参数和性能的选择，可根据需要对core节点进行增加/删除。 企业项目：企业项目提供统一的云资源管理能力，支持对项目及项目内的资源、成员进行管理。此处请根据用户的资源管理需求，选择翼MR集群的企业项目归属。仅支持选择用户有权限的企业项目。 虚拟私有云：不同虚拟私有云（VPC）网络之间的逻辑彻底隔离。请按需选择需要使用的虚拟私有云。如果目前没有VPC可以点击“创建虚拟私有云”跳转到虚拟私有云页面创建。 注意 1）集群和虚拟私有云需在同一企业项目下。 2）为保障网络互通，请选择与软件配置中所填数据库相同的虚拟私有云（VPC）。 子网：选择虚拟私有云后，子网可以根据需要进行选择。若所选子网已开通IPv6，可按需选择是否开启IPv6访问实例资源的功能。 安全组：设置集群内实例的网络访问控制。当前天翼云虚拟私有云安全组策略强安全要求，默认服务器内网互相不通，需要客户勾选安全组规则自动配置授权，翼MR会默认添加下述安全组中相关的规则。

本文为您介绍如何在密钥管理控制台创建用户主密钥。 开通密钥管理服务后，您可以在控制台轻松地创建密钥，以便后续使用密钥加解密自己的数据。 操作步骤 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏的资源池下拉列表，选择服务所在的区域。 3. 在左侧导航栏，选择“密钥管理”，在页面上方选择目标服务。 4. 点击“创建密钥”，在弹出的创建密钥对话框，根据页面提示进行配置。 配置项说明： 配置项 说明 密钥类型 对称密钥类型： AES256 CtyunSM4（企业版支持） 非对称密钥类型： RSA2048 CtyunSM2（企业版支持） 密钥用途 Encrypt/Decrypt：数据加密和解密。 Sign/Verify：产生和验证数字签名。 说明 仅非对称密钥（RSA2048、CtyunSM2）支持Sign/Verify用途。 别名 用户主密钥的可选标识。更多操作，请参见别名管理。 保护级别 Software：通过软件模块对密钥进行保护。 Hsm：将密钥托管在密码机中，使密钥获得高安全等级的专用硬件的保护。 描述 密钥的说明信息。 轮转周期 自动轮转的时间周期。 不开启：不开启轮转 30天 90天 180天 自定义：7~730天 说明 仅对称密钥（AES256、CtyunSM4）支持设置自动轮转周期。 密钥材料来源 天翼云KMS：密钥材料将由KMS生成。 外部：KMS将不会生成密钥材料，您需要将自己的密钥材料导入KMS。更多信息，请参见导入密钥材料。 企业项目 选择密钥归属的企业项目。默认为default。 5. 单击确定 ，完成密钥创建。您可以在密钥列表查看密钥ID、密钥状态、密钥类型、密钥用途、密钥保护级别等信息。

参数 是否必填 参数类型 说明 示例 下级对象 ProjectId 否 String 企业项目id，若不传入则查询默认的企业项目，默认的企业项目id为0 0 regionId 是 String 资源池id，比如实例在资源池A，则需要填写A资源池的id 81f7728662dd11ec810800155d307d5b

参数 是否必填 参数类型 说明 示例 下级对象 ProjectId 否 String 企业项目id，若不传入则查询默认的企业项目，默认的企业项目id为0 0 regionId 是 String 资源池id，比如实例在资源池A，则需要填写A资源池的id 81f7728662dd11ec810800155d307d5b

参数 是否必填 参数类型 说明 示例 下级对象 ProjectId 否 String 企业项目id，若不传入则查询默认的企业项目，默认的企业项目id为0 0 regionId 是 String 资源池id，比如实例在资源池A，则需要填写A资源池的id。 81f7728662dd11ec810800155d307d5b

参数 是否必填 参数类型 说明 示例 下级对象 ProjectId 否 String 企业项目id，若不传入则查询默认的企业项目，默认的企业项目id为0 0 regionId 是 String 资源池id，比如实例在资源池A，则需要填写A资源池的id。 81f7728662dd11ec810800155d307d5b

参数 是否必填 参数类型 说明 示例 下级对象 ProjectId 否 String 企业项目id，若不传入则查询默认的企业项目，默认的企业项目id为0 0 regionId 是 String 资源池id，比如实例在资源池A，则需要填写A资源池的id。 81f7728662dd11ec810800155d307d5b

参数 是否必填 参数类型 说明 示例 下级对象 ProjectId 否 String 企业项目id，若不传入则查询默认的企业项目，默认的企业项目id为0 0 regionId 是 String 资源池id，比如实例在资源池A，则需要填写A资源池的id。 81f7728662dd11ec810800155d307d5b

参数 是否必填 参数类型 说明 示例 下级对象 ProjectId 否 String 企业项目id，若不传入则查询默认的企业项目，默认的企业项目id为0 0 regionId 是 String 资源池id，比如实例在资源池A，则需要填写A资源池的id 81f7728662dd11ec810800155d307d5b

本文向您介绍如何管理全域接入网关。 查看全域接入网关 本节指导用户查看已创建全域接入网关的名称/ID、状态、接入位置、已关联虚拟接口、已关联连接、BGP ASN、企业项目、地址类型、连接和路由等信息。 1. 进入云专线全域接入网关列表页。 2. 在全域接入网关列表中，可以查看名称/ID、状态、接入位置、BGP ASN、企业项目、以及已关联的虚拟接口、连接的数量等信息。 也可以单击全域接入网关的名称，在以下页面查看更多信息： 在基本信息页面，查看连接数、已关联虚拟接口、地址类型、企业项目、创建时间、描述、路由等信息。 在连接页面，查看已关联的连接信息，包括连接的名称/ID、状态、连接资源类型、连接资源等信息。 修改全域接入网关 本节指导用户修改已创建全域接入网关的名称、地址类型和描述信息。 1. 进入云专线全域接入网关列表页。 2. 在全域接入网关列表中，单击目标全域接入网关名称进入基本信息页面。 也可以单击目标全域接入网关名称右侧的修改按钮，修改名称信息。 3. 在基本信息页面，可以修改全域接入网关的名称、描述、地址类型和路由信息。 修改名称或描述信息：单击名称或描述右侧的修改按钮，根据界面提示输入新的名称或描述信息，单击确认完成修改。 修改地址类型：在“地址类型”右侧单击“修改”，根据界面提示修改全域接入网关的地址类型为IPv4或IPv6双栈，单击“确定”，完成修改。 修改路由信息：在页面下方，可以增加或者删除全域接入网关的路由信息。

参数 说明 只看我创建的 打开“只看我创建的”，列表筛选展示本人创建的开发机； 如关闭按钮，则展示本人+项目其他人创建的在企业项目内可见的开发机。 企业项目筛选 下拉选择企业项目，按项目维度过滤开发机 开发机状态 下拉筛选运行中 / 停止 等状态，快速定位目标实例 可用区 按可用区筛选，定位不同地域的资源 搜索框 支持按开发机名称 / 别名模糊搜索，快速查找实例 视图切换 列表 / 卡片视图切换，适配不同查看习惯

参数 说明 取值样例 计费模式 按需计费：后付费方式，VPN网关和VPN连接组按使用时长收取费用，计费周期为1小时。 按需计费 区域 选择靠近您所在地域的区域可以降低网络时延，从而提高访问速度。 不同区域的资源之间网络不互通。 请根据实际需要进行选择 名称 VPN网关的名称，只能由中文、英文字母、数字、下划线、中划线、点组成。 vpngw001 网络类型 公网：VPN网关通过公网建立VPN连接。 私网：VPN网关通过私网建立VPN连接。 公网 协议类型 支持“IPv4”和“IPv6”两种类型。 IPv6 关联模式 虚拟私有云 通过VPC向对端网关或本端子网内服务器发送通信消息。 企业路由器 通过ER向对端网关或ER下所有VPC所在子网发送通信消息。 说明 该场景下需要关注企业路由器的路由表条数规格限制。如果对端网关和VPN网关发送的路由条数超过企业路由器的规格，则企业路由器将无法学习到超出部分的路由信息，最终导致VPN网关和对端网关之间的流量不通。 虚拟私有云 虚拟私有云 选择虚拟私有云VPC信息。 vpc001(192.168.0.0/16) 企业路由器 仅“关联模式”采用“企业路由器”时需要配置。 选择企业路由器ER信息。 er001 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.66.0/24 本端子网 VPC与对端网关对应数据中心互通的子网。 选择子网选择本 VPC子网信息。 输入网段 可以输入本VPC下的子网信息；也可以输入与本VPC建立了对等网络的VPC子网信息。 192.168.1.0/24,192.168.2.0/24 BGP ASN VPN网关会根据输入值创建相应的ASN，VPN网关和对端网关的BGP ASN需要不同。 64512 可用区 可用区是指在同一地域内，电力和网络互相独立的物理区域。在同一VPC网络内可用区与可用区之间内网互通，可用区之间能做到物理隔离。 当存在两个及以上可用区时，必须选择两个可用区。 部署在两个可用区的VPN网关具备更高的可用性。建议您根据VPC内资源所在的可用区选择网关的可用区。 当仅存在一个可用区时，可选择此可用区创建VPN网关。 可用区1、可用区2 VPN连接组数 VPN网关默认提供10个免费的VPN连接组。 如果用户侧数据中心只有一个公网出口网关，所有服务器（或用户主机）都通过该网关连接至Internet：这种情况需要配置一个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和用户侧出口网关通信。 如果用户侧数据中心有两个公网出口网关，所有服务器（或用户主机）通过两个网关连接至Internet：这种情况需要配置两个VPN连接组，即VPN网关的两个EIP分别配置一条VPN连接和两个用户侧出口网关通信。 10 HA模式 双活：主EIP和主EIP2均与对端网关建立VPN连接，但只有一条VPN连接进行数据交互。当其中一条VPN连接发生故障时，数据交互切换至另一条VPN连接。 主备：主EIP与备EIP均与对端网关建立VPN连接，默认情况下流量仅通过主链路进行传输。如果主链路故障，流量自动切换至备链路进行传输；主链路恢复正常后，流量回切至主链路进行传输。 双活 主EIP 用于VPN网关和对端网关进行网络连接。 现在创建：创建新EIP。 使用已有：使用已有EIP。 现在创建 带宽大小 EIP对应带宽大小，单位：Mbit/s。 所有使用该EIP创建的VPN连接均会分摊占用该EIP的带宽大小，所有VPN连接的带宽总和不能超过该EIP的带宽大小。当网络流量超过EIP的带宽大小时，有可能造成网络拥塞导致VPN连接中断，请提前做好带宽规划。 支持在云监控中配置告警规则对带宽进行监控。支持用户在允许的带宽范围内自定义带宽大小。 10 Mbit/s 带宽名称 EIP对应带宽对象的名称。 Vpngwbandwidth1 主EIP2 一个VPN网关需要绑定一组弹性公网IP（即主EIP、主EIP2），每个公网IP可以独立规划带宽。 现在创建 备EIP 一个VPN网关需要绑定一组弹性公网IP（即主/备EIP），每个公网IP可以独立规划带宽。 说明 VPN网关“计费模式”为“按需计费”场景下，若备EIP为按流量计费，强烈建议用户在云监控中配置告警规则对备EIP进行监控，避免因VPN连接故障、主链路切换至备链路导致的流量费用超支问题。 如何在云监控中对EIP配置告警规则，请参见《弹性IP用户指南》。 现在创建 公网带宽 按需计费支持两种计费方式：按带宽计费/按流量计费。 按带宽计费：指定带宽上限，按使用时间计费，与使用的流量无关。 按流量计费：指定带宽上限，按实际使用的出云流量计费，与使用时间无关。 按流量计费 带宽大小 EIP对应带宽大小，单位Mbit/s。 所有使用该EIP创建的VPN连接均会分摊占用该EIP的带宽大小，所有VPN连接的带宽总和不能超过该EIP的带宽大小。当网络流量超过EIP的带宽大小时，有可能造成网络拥塞导致VPN连接中断，请提前做好带宽规划。 支持在云监控中配置告警规则对带宽进行监控。支持用户在允许的带宽范围内自定义带宽大小。 10 Mbit/s 带宽名称 EIP对应带宽对象的名称。 Vpngwbandwidth2 企业项目 创建VPN时，可以将VPN加入已启用的企业项目。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 关于创建和管理企业项目的详情，请参见《企业项目管理用户指南》。 default 高级配置 仅“网络类型”为“私网”、“关联模式”采用“虚拟私有云”时需要配置。 选择：适用于同租户场景，选择本租户下接入虚拟私有云、接入子网、接入IP。 输入：适用于跨租户场景，填写接入项目、接入账号、接入虚拟私有云和接入子网。 选择 接入虚拟私有云 仅“关联模式”为“虚拟私有云”、“网络类型”为“私网”时需要配置。 当VPN网关的南北向需要连接不同的虚拟私有云时，设置北向的虚拟私有云为该接入虚拟私有云。 VPN网关关联的虚拟私有云为南向业务虚拟私有云。 选择“与网关关联的虚拟私有云一致” 接入子网 缺省情况下，VPN网关从关联的虚拟私有云的互联子网接入。当VPN网关需要从指定子网接入时设置。 选择“与互联子网一致”

云日志服务支持将日志一次性转储至对象存储服务（OBS）中长期保存。 前提条件 日志已接入LTS。 已创建OBS桶。 创建一次性日志转储 在云日志服务管理控制台，左侧导航栏中，单击“日志转储”。 在“日志转储”页面右上角，单击“配置转储”。 在“配置转储”页面，设置转储日志相关参数。 表 1 配置转储参数说明 参数名称 说明 样例 转储方式 周期性转储：日志将周期性的转储至对象存储服务（OBS）中长期保存。一次性转储：日志将一次性的转储至对象存储服务（OBS）中长期保存。 一次性转储 转储对象 选择转储的云服务。 OBS 日志组名称 选择已创建的日志组。 企业项目 选择已创建的企业项目。如果当前账号未开通企业项目则不显示该参数。 如果当前账号已开通企业项目，则存在以下情况：当转储当前账号日志时，下拉框显示当前账号的全部企业项目。 当转储其他账号日志时，若委托账号未开通企业项目，则默认显示“default”。 当转储其他账号日志时，若委托账号已开通企业项目，则显示委托账号的全部企业项目。 日志流名称 选择已创建的日志流。已配置过OBS转储的日志流不能重复配置。 过滤条件 默认关键词过滤，在输入框填写需要过滤的关键词。 转储时间范围 时间范围有三种方式，分别是相对时间、整点时间和自定义。您可以根据自己的实际需求，选择时间范围。 相对时间：表示查询距离当前时间1分钟、5分钟、15分钟等时间区间的日志数据。 例如当前时间为19:20:31，设置相对时间1小时，表示查询18:20:3119:20:31的日志数据。 整点时间：表示查询最近整点1分钟、15分钟等时间区间的日志数据。 例如当前时间为19:20:31，设置整点时间1小时，表示查询18:00:0019:00:00的日志数据。 自定义：表示查询指定时间范围的日志数据 日志总条数 日志总条数。 转储文件个数 单次一次性转储日志条数上限100万条，转储文件个数上限10个。 OBS桶 选择已创建的OBS桶。如果没有可选择的OBS桶，单击“查看OBS”，进入对象存储服务管理控制台，创建OBS桶。LTS目前仅支持存储类别为“标准存储”的OBS桶。 所属桶目录 所属OBS桶目录。 转储文件名称 自定义转储文件名称，只能由英文字母、数字、中划线、下划线、小数点组成。 转储格式 用于配置日志的转储格式，可选择原始日志格式、Json格式、CSV格式。 原始日志格式示例：云日志服务控制台展示的日志内容的格式为原始日志格式。 Sep 30 07:30:01 ecsbd70 CRON[3459]: (root) CMD (/opt/oss/servicemgr/ICAgent/bin/manual/mstart.sh > /dev/null 2>&1) JSON格式示例： { "hostname": "ecsbd70", "ip": "192.168.0.54", "lineno": 249,"message": "Sep 30 14:40:01 ecsbd70 CRON[4363]: (root) CMD (/opt/oss/servicemgr/ICAgent/bin/manual/mstart.sh > /dev/null 2>&1)n", "path": "/var/log/syslog", "time": 1569825602303 } CSV格式：以表格的形式展示日志内容。 Json 单击“确定”，完成配置。当转储任务状态为“正常”时，表示转储任务创建成功。 单击“转储对象”列的OBS桶名称，可以跳转至OBS控制台，查看转储的日志文件。 转储到OBS后的日志，支持从OBS下载到本地进行查看。

规格 详见下表：备份恢复特性规格 项目 规格 备份或恢复任务最大数量（个） 100 同时运行的任务数量（个） 1 等待运行的任务最大数量（个） 199 Linux本地磁盘最大备份文件大小（GB） 600 详见下表：“default”任务规格 项目 OMS LdapServer DBService NameNode 备份周期 1小时 最大备份数 2个 单个备份文件最大大小 10MB 20MB 100MB 1.5GB 最大占用磁盘大小 20MB 40MB 200MB 3GB 备份数据保存位置 主备管理节点“数据存放路径/LocalBackup/” 说明 “default”任务保存的备份数据，请用户根据企业运维要求，定期转移并保存到集群外部。

DLI系统权限 如下表所示，包括了DLI的所有系统权限。 权限类别：根据授权精程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DLI服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 DLI系统权限 系统角色/策略名称 描述 类别 DLI FullAccess 数据湖探索所有权限。 系统策略 DLI ReadOnlyAccess 数据湖探索只读权限。 只读权限可控制部分开放的、未鉴权的DLI资源和操作。例如创建全局变量、创建程序包以及程序包组、default队列提交作业、default数据库下建表、创建跨源连接、删除跨源连接等操作。 系统策略 Tenant Administrator 租户管理员。 操作权限：具有所有云服务的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色 DLI Service Admin DLI服务管理员。 操作权限：具有数据湖探索服务队列、数据的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色

本文为您介绍如何通过密钥管理控制台创建证书并导入控制台实现托管。 支持数字证书和Ukey证书，关于两种证书的区别，请参见证书管理概述。 创建数字证书 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏的资源池下拉列表，选择服务所在的区域。 3. 在左侧导航栏，点击证书管理， 进入数字证书管理页，点击创建证书。 4. 在弹出的创建证书对话框，根据页面提示进行配置信息填写。 配置项说明： 配置项 说明 主体名称（CN） 证书使用的主体名称。 国家/地区（C） 使用ISO 31661的二位国家代码，例如：CN代表中国。 省/市（ST） 省、直辖市、自治区或特别行政区名称。 城市（L） 城市名称。 公司名称（O） 企业、单位、组织或机构的法定名称。 部门名称（OU） 部门名称。 单击右侧加号，可以添加多个部门名称，最多可添加5个。 邮箱（E） 证书持有者或管理者邮箱。 主体别名 当证书为DV证书时，可使用主体别名生成多域名证书请求。最多可添加10个。 密钥类型 取值：RSA2048、SM2（企业版支持） 私钥可否导出 证书私钥是否需要导出使用。取值： 是：证书私钥需要导出使用。 否：证书私钥不需要导出使用。 建议选择否，以便使用更高安全级别的密钥保护。 企业项目 选择证书归属的企业项目，默认为default。 5. 证书信息填写完成后，点击 创建证书 ，系统会返回证书ID及证书请求，点击 下载证书请求 ，下载完成点击 确定 。 6. 下载csr格式的证书请求文件后，将其提交给CA机构，获取正式的证书和证书链。 7. 将证书和证书链导入证书管理服务，在证书列表页面，找到目标证书，点击 更多导入证书。 8. 在导入证书对话框，输入或上传CA机构颁发的证书和证书链，点击 确定 。 9. 导入证书成功后，证书状态为 启用中 ，您可以使用证书进行签名验签等操作。

本文主要介绍如何创建物理机备份。 自动备份 需要先创建备份策略，物理机绑定备份策略后，会按照备份策略进行周期性备份，用户定期查看备份结果即可。 手动备份 如果想在任意时间点即时备份，可以手动创建物理机备份。 1. 登录管理控制台。 2. 选择“存储 > 云服务备份”。 进入“云服务备份控制台”。 3. 在云主机备份页面，单击右上角的“创建云主机备份存储库”。 4. 选择计费模式。 5. 选择保护类型。 备份：创建的存储库类型为云主机备份存储库，用于存放云主机备份。 6. 在服务器列表中勾选需要备份的服务器或磁盘。勾选后将在已勾选服务器列表区域展示。可以选择服务器部分磁盘绑定至存储库。 注意 考虑到恢复后数据的一致性问题，建议您对整个服务器进行备份。 如果您希望选择部分磁盘备份以节省成本，请尽量确保这些磁盘的数据不受其他未备份磁盘的数据影响，否则可能会导致数据不一致问题。 例如，Oracle应用的数据分散在不同磁盘上，如果只备份了部分磁盘，会导致恢复后数据不一致（已备份磁盘恢复到历史时间点数据，未备份磁盘仍保留当前数据），甚至导致应用无法启动。 说明 所选服务器未绑定存储库且状态必须为“运行中”或“关机”。 如果不勾选服务器，如需备份可在创建存储库后绑定服务器即可。 7. 输入存储库的容量。取值范围为[10，10485760]GB。您需要提前规划存储库容量，存储库的容量不能小于备份服务器的大小，开启自动绑定功能和绑定备份策略后所需的容量更大。 如果实际使用时存储库容量不足，可以通过扩容存储库扩大容量。 8. 选择是否配置自动备份。 立即配置：配置后会将存储库绑定到备份策略中，整个存储库绑定的服务器都将按照备份策略进行自动备份。可以选择已存在的备份策略，也可以创建新的备份策略。 暂不配置：存储库将不会进行自动备份。 9. 如开通了企业项目，需要为存储库添加已有的企业项目。 企业项目是一种云资源管理方式，企业项目管理提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 10. 输入待创建的存储库的名称。 只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于64个字符。例如：vaultf61e。 说明 也可以采用默认的名称，默认的命名规则为“vaultxxxx”。 11. 为存储库添加标签。 标签以键值对的形式表示，用于标识存储库，便于对存储库进行分类和搜索。此处的标签仅用于存储库的过滤和管理。一个存储库最多添加10个标签。 标签的设置说明如下表所示。 参数 说明 举例 键 输入标签的键，同一个备份标签的键不能重复。键可以自定义，也可以选择预先在标签服务（TMS）创建好的标签的键。 键命名规则如下： 长度范围为1到36个Unicode字符。 只能包含大写字母、小写字母、数字和特殊字符“”和“”以及中文字符。 Key0001 值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 长度范围为0到43个Unicode字符。 只能包含大写字母、小写字母、数字和特殊字符“”和“”以及中文字符。 Value0001 12. 当计费模式为“包年/包月”时，需要选择购买时长。可选取的时间范围为1个月5年。 可以选择是否自动续费，勾选自动续费时： 按月购买：自动续费周期为1个月。 按年购买：自动续费周期为1年。 13. 根据页面提示，完成支付。 14. 返回云主机备份页面。可以在存储库列表看到成功创建的存储库。

如果您需要对云上购买的CTS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有CTS的使用权限，但是不希望他们拥有删除CTS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CTS，但是不允许删除CTS的权限策略，控制他们对CTS资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CTS服务的其它功能。 IAM提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 CTS权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CTS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CTS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略，策略是角色的升级版。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，CTS管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 如表1所示，包括了CTS的所有系统权限。 表 1 CTS系统权限 系统角色/策略名称 描述 类别 依赖关系 CTS FullAccess 云审计服务的所有权限。 系统策略 无 CTS ReadOnlyAccess 云审计服务的只读权限。 系统策略 无 CTS Administrator 云审计服务的管理员权限，拥有CTS的所有权限。 拥有该权限的用户拥有除IAM外，其他所有服务的只读权限。 系统角色 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、OBS Administrator和Security Administrator。 表2列出了CTS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 2 常用操作与系统权限的关系 操作 CTS FullAccess CTS ReadOnlyAccess CTS Administrator 查询事件列表 √ √ √ 查询配额 √ √ √ 创建追踪器 √ × √ 修改追踪器 √ × √ 停用追踪器 √ × √ 启用追踪器 √ × √ 查询追踪器 √ √ √ 删除追踪器 √ × √ 创建关键操作通知 √ × √ 修改关键操作通知 √ × √ 停用关键操作通知 √ × √ 启用关键操作通知 √ × √ 查询关键操作通知 √ √ √ 删除关键操作通知 √ × √

本章节向您介绍通过企业路由器实现同区域VPC互通的步骤二内容。 您需要参考以下操作，创建企业路由器。连通同区域VPC网络，您只需要创建1个企业路由器即可。 操作步骤 步骤1：登录管理控制台，进入企业路由器主页面。 步骤2：单击页面右上角的“创建企业路由器”，进入“创建企业路由器”页面。 步骤3：根据界面提示，配置企业路由器的基本信息，具体如下表。 参数名称 参数说明 取值样例 区域 选择靠近业务的区域，不可修改。 可用区 选择两个可用区部署企业路由器。 可用区1 可用区2 名称 企业路由器名称，支持修改。 ertest01 ASN 使用默认的自治系统编号，不支持修改。 64800 默认路由表关联 开启“默认路由表关联”功能，可以免去创建路由表、创建关联等操作，支持修改。 开启 默认路由表传播 开启“默认路由表传播”功能，可免去创建路由表、创建传播、添加路由等操作，支持修改。 开启 自动接受共享连接 关闭“自动接受共享连接”功能，接受者创建的连接需要所有者审批，所有者接受后才会创建。 关闭 企业项目 将企业路由器加入已有的企业项目内，支持修改。 default 标签 为企业路由器绑定标签，用来标识资源，支持修改。 “标签键”：test “标签值”：01 描述 该企业路由器的描述信息，支持修改。 步骤4：基本信息设置完成后，单击“立即创建”。 步骤5：在产品配置信息确认页面，再次核对企业路由器信息，确认无误后，单击“提交”，返回企业路由器列表页面。 步骤6：在企业路由器列表页面，查看企业路由器状态。待状态由“创建中”变为“正常”，表示企业路由器创建完成。

本章主要介绍 步骤一：管理项目规划 需求管理服务提供简单高效的团队协作服务，包含多项目管理、敏捷迭代、任务管理等功能。 “凤凰商城”样例项目采用Scrum模式进行迭代开发，每个迭代周期为两周，前3个迭代已经完成凤凰商城版本的开发，当前正在进行迭代4的规划。 按照项目规划，迭代4要完成的功能为：限时打折管理、团购活动管理。 由于业务与市场的变化，临时新增一个紧急需求：门店网络查询功能，因此迭代4的规划中增加此功能的开发。 通过本章节，您将了解产品负责人Sarah与项目经理Maggie如何进行项目规划的管理，包括管理需求规划与迭代规划、跟踪项目进度。 管理需求规划 使用思维导图的形式管理项目需求规划，将工作项的层级结构“Epic>Feature>Story>Task”展示出来，各层级工作项类型代表的含义如下表所示。 工作项类型说明 工作项类型 说明 Epic 通常是公司重要战略举措，比如本样例项目中的“凤凰商城”，对于公司是一个与企业生存攸关的关键战略措施。 Feature 通常是对客户有价值的功能，可以通过使用特性满足客户的需求。比如凤凰商城中的“门店网络查询功能”，特性通常会通过多个迭代持续交付。 Story 通常是对一个功能进行用户场景细分，并且能在一个迭代内完成。 Task 通常是用户故事的细分，准备环境、准备测试用例等都可以是完成Story的细分任务。 由于“门店网络查询”功能是新增需求，因此产品负责人需要将此功能添加到思维导图中。 步骤 1 为新需求创建工作项。 由于门店网络查询功能是新增的需求，因此产品负责人Sarah要将它加入需求规划视图中。 1.进入“凤凰商城”项目，单击导航“工作”，在页面中选择“规划”页签。 2.单击，在下拉列表中选择“思维导图规划”。 在弹框中输入名称“需求规划”，单击“确定”，页面跳转至思维导图详情。 3.单击“添加Epic”，在弹框中勾选“凤凰商城”，单击“确定”。 4.新建Feature“门店网络”。 在Epic“凤凰商城”下方单击图标。 输入标题“门店网络”，回车保存。 新建Feature 5.按照同样的方式，为Feature“门店网络”添加Story“作为用户应该可以查询所有门店网络”。 步骤 2 编辑Story。 1. 单击Story“作为用户应该可以查询所有门店网络”，参照下表编辑Story信息。 Story配置 配置项 配置建议 描述信息 输入“作为用户，我想要查询所有门店，以便于挑选合适的门店获取服务”。 优先级 选择“高”。 重要程度 选择“关键”。 2.为了便于开发人员理解，在本地准备一个“门店网络列表”文件（本文档中为excel表，表格内容参照下表）。 门店网络列表 分店名称 分店地址 A分店 E机场1号航站楼出发层靠右直行123米右侧。 B分店 F区G路456号。 C分店 H区J街789号。 D分店 K区L大道K大楼西侧。 3.返回Story编辑页面，单击“点击添加附件或拖拽文件到此处上传”，选择“本地上传”，将列表文件上传至工作项中作为附件。 4.单击“保存”，完成Story详情的编辑。

本节介绍云等保专区产品的资源概览。 通过云等保专区的资源概览页面，可以查看当前账号下已经形成的订单状态、订单详情，也对订单执行续订、升配、退订等操作。 前提条件 已购买云等保专区。 查看资源概览 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区资源概览页面。 4. 在资源概览页面，查看如下信息。 参数 说明 资源ID 购买原子能力资源的资源ID。 状态 资源的状态，包括开通中、运行中、已退订、部署失败、已过期。 企业项目 资源所属的企业项目，企业项目说明可参考企业项目管理。 到期时间 资源的到期时间。 订单类型 在控制台上购买的订单，类型为“商用”。 区域 资源所在区域。 子资源ID 若一个订单关联了多个v1.0版本的资源，则每个资源还可通过子资源ID进行标识。 原子能力名称 资源对应的原子能力的名称。 版本 原子能力的版本，V1或V2。 规格 原子能力的规格。

本文为您介绍加载云专线(CDA)网络实例的操作流程。 限制说明 当云企业路由器和云专线（CDA）实例属于同一主账号时，必须确保二者处于同一企业项目下。 当前云企业路由器所属的云间高速获得CDA得跨账号授权。 CDA专线网关没有绑定任何VPC网络。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理”页签，找到目标云企业路由器，单击目标云企业路由器名称，进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“加载本地网络实例”，进入加载本地网络实例页面。 6. 在加载本地网络实例页面，根据页面提示，填写参数，单击“确定”，完成网络实例加载。 参数 说明 云间高速 请选择已经创建的云间高速实例。 云企业路由器（区域） 请选择已经创建的云企业路由器实例。 资源归属 请选择资源归属类型“本账号”/“跨账号”。 关联路由表 请选择关联的路由表。 实例类型 请选择类型：【云专线】。 网络实例 请选择已经创建的【云专线】实例。 权重 （可选）配置链路路由权重，可输入类范围（0~255）。 链路冗余 （可选）是否启用冗余模式，若启用，需指定目标冗余组进行加入。同一冗余组内的网络实例默认隔离路由传播。 高级配置（自动路由学习） 自动传播网络实例系统路由至云企业路由器路由表（默认开启）。 高级配置（自动路由同步） 自动同步本侧云企业路由器关联路由表中的路由 （默认开启）。

操作场景 介绍指导用户创建事件监控的告警通知。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“管理与部署 > 云监控服务”，进入“云监控服务”页面。 3. 在左侧导航栏选择“事件监控”，进入“事件监控”页面。 4. 在事件列表页面，单击页面右上角的“创建告警规则”。 5. 在“创建告警规则”界面，配置参数。 表1 告警内容参数说明 参数 参数说明 名称 系统会随机产生一个名称，用户也可以进行修改。 描述 告警规则描述（此参数非必填项）。 归属企业项目 可选择已有的企业项目，或单击“创建企业项目”进行创建。 告警类型 用于指定告警规则对应的告警类型。 事件类型 用于指定告警规则对应指标的事件类型。 事件来源 事件来源的云服务名称。选择云数据库GeminiDB。 监控范围 创建事件监控针对的资源范围。 选择类型 选择自定义创建。 告警策略 事件名称：用户操作系统资源的动作，如用户登录，用户登出，为一个瞬间的操作动作。事件监控支持的操作事件请参见本章节 事件监控支持的事件说明。用户根据需要选择触发方式、告警级别。 单击开启“发送通知”，生效时间默认为全天，若没有您想要选择的主题，可以单击下一行的“创建主题”进行添加。 表2 发送通知 参数 参数说明 发送通知 配置是否发送邮件、短信、HTTP和HTTPS通知用户。 通知对象 需要发送告警通知的对象，可选择“云账号联系人”或主题。 云账号联系人：注册账号时的手机和邮箱。 主题：消息发布或客户端订阅通知的特定事件类型，若此处没有需要的主题，需先创建主题并订阅该主题。 生效时间 该告警规则仅在生效时间内发送通知消息。如生效时间为08:0020:00，则该告警规则仅在08:0020:00发送通知消息。 触发条件 出现告警 6. 配置完成后，单击“立即创建”，完成告警规则的创建。

共享盘类型选择 安全需求优先 NAS 共享盘：如果您极其重视数据安全，且希望数据仅在天翼AI云电脑环境内流转，不暴露在公网环境中，NAS 共享盘是匹配高密级数据场景的选择。它只能通过AI云电脑挂载访问，这种特性极大地降低了数据在公网环境下可能面临的安全风险，为数据提供了更可靠的安全保障。例如，对于一些对数据保密性要求极高的企业，如金融、科研等行业，其核心数据的存储和共享使用 NAS 共享盘能有效防止数据泄露。 网络共享盘：虽然网络共享盘也具备一定的安全措施，但由于支持公网访问，相比之下，数据面临的安全风险会略高一些。不过，它的权限管控和访问审计功能非常强大，能通过细致的权限设置和全面的操作记录，对企业内部的数据访问进行严格管理和监控，从而在一定程度上保障数据安全。适用于对合规性管理要求较高的大型企业，即便数据在公网环境下有访问需求，也能通过严格的权限和审计机制降低风险。 功能需求侧重 NAS 共享盘：主要功能在于满足基本的文件共享存储需求。在企业内部，员工可以便捷地共享办公文档、项目资料等，提供一个集中的文件管理平台。如果您的企业或团队主要需求是简单高效地进行文件共享，对其他复杂功能需求较少，NAS 共享盘完全可以满足日常工作中的文件协作需求。 网络共享盘：除了文件共享功能外，更强调权限管控、访问审计以及与其他企业系统的集成功能。对于大型企业而言，不同部门和职位对数据的访问和操作权限有严格要求，网络共享盘能够设置细致的权限，满足这种精细化管理需求。同时，与 ERP、CRM 等系统的集成功能，能实现企业数据的无缝流通，提高整体信息化管理水平，促进业务流程的自动化和数据的统一管理，适合业务流程复杂、信息化程度高的大型企业。

参数 是否必填 参数类型 说明 示例 下级对象 ProjectId 否 String 企业项目id，若不传入则查询默认的企业项目，默认的企业项目id为0 0 regionId 是 String 资源池id，比如实例在资源池A，则需要填写A资源池的id 81f7728662dd11ec810800155d307d5b

参数 是否必填 参数类型 说明 示例 下级对象 ProjectId 否 String 企业项目id，若不传入则查询默认的企业项目，默认的企业项目id为0 0 regionId 是 String 资源池id，比如实例在资源池A，则需要填写A资源池的id 81f7728662dd11ec810800155d307d5b

参数 是否必填 参数类型 说明 示例 下级对象 ProjectId 否 String 企业项目id，若不传入则查询默认的企业项目，默认的企业项目id为0 0 regionId 是 String 资源池id，比如实例在资源池A，则需要填写A资源池的id 81f7728662dd11ec810800155d307d5b

您可以在天翼云费用中心查询VPN网关产品的账单。 操作步骤 1.登录天翼云费用中心。 2.在导航栏中，选择账单管理>账单详情。 3.在账单详情页面，将“统计维度”选择为“产品”，“计费模式”选择为“包周期”，可以支持以按账期或按天的统计方式查看VPN网关产品的消费情况。 4.在账单管理>账单概览页面，支持按产品类型、企业项目或计费模式对产品账单进行汇总展示。