认证和授权 启用安全性特性，使用用户名密码进行认证。 使用角色和权限来限制用户的访问权限。 加密通信 启用 TLS/SSL 加密以保障数据在传输过程中的安全性。 备份和恢复 定期备份索引数据，确保在意外情况下能够快速恢复数据。

操作场景 CCE支持拉取第三方镜像仓库的镜像来创建工作负载。 通常第三方镜像仓库必须经过认证（帐号密码）才能访问，而CCE中容器拉取镜像是使用密钥认证方式，这就要求在拉取镜像前先创建镜像仓库的密钥。 前提条件 使用第三方镜像时，请确保工作负载运行的节点可访问公网。您可以通过负载均衡(LoadBalancer)方式访问公网。 通过界面操作 步骤 1 创建第三方镜像仓库的密钥。 单击左侧导航栏的“配置中心 > 密钥 Secret”，单击“添加密钥”，密钥类型必须选择为kubernetes.io/dockerconfigjson，如下图所示。详细操作请参见创建密钥。 此处的“用户名”和“密码”请填写第三方镜像仓库的帐号密码。 添加密钥 步骤 2 参照创建无状态负载(Deployment)或创建有状态负载(StatefulSet)，选择第三方镜像时，请执行如下操作。 1. 密钥认证：是。 2. 选择密钥：选择步骤1中创建的密钥。 3. 镜像地址：输入镜像地址。 步骤 3 单击“创建”。 使用kubectl创建第三方镜像仓库的密钥 步骤 1 请参见通过kubectl操作CCE集群配置kubectl命令。 步骤 2 登录已配置好kubectl命令的弹性云主机。 步骤 3 通过kubectl创建认证密钥 ，该密钥类型为dockercfg类型。 kubectl create secret dockerregistry myregistrykey dockerserverDOCKERREGISTRYSERVER dockerusernameDOCKERUSER dockerpasswordDOCKERPASSWORD dockeremailDOCKEREMAIL 其中，myregistrykey为密钥名称，其余参数如下所示。 DOCKERREGISTRYSERVER：第三方镜像仓库的地址，如“www.3rdregistry.com”或“10.10.10.10:443”。 DOCKERUSER：第三方镜像仓库的帐号。 DOCKERPASSWORD：第三方镜像仓库的密码。 DOCKEREMAIL：第三方镜像仓库的邮箱。 步骤 4 创建工作负载时使用第三方镜像，具体步骤请参见如下。 dockecfg类型的密钥作为私有镜像获取的认证方式，以Pod为例，创建的myregistrykey作为镜像的认证方式。 apiVersion: v1 kind: Pod metadata: name: foo namespace: default spec: containers: name: foo image: www.3rdregistry.com/janedoe/awesomeapp:v1 imagePullSecrets: name: myregistrykey

配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK ctForti IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600

配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK cthuawei IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600

配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK ctSang4 IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600

配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK cth3c IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600

协议 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group2 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK aa123bb IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group2 IPsec 生命周期 3600 IPsec 传输协议 ESP

配置项 示例值 IKE 认证算法 SHA256 IKE 加密算法 3DES IKE DH分组 Group14 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK aa123bb IPsec 认证算法 SHA256 IPsec 加密算法 3DES IPsec PFS DH group5 IPsec 生命周期 3600

Hadoop 类型连接 集群配置文件获取方式 Keytab文件获取方式 MRS集群 MRS HDFS MRS HBase MRS Hive 针对MRS 3.x版本集群： 1. 登录FusionInsight Manager。 2. 选择“集群> >待操作的集群名称>概览> >更多> >下载客户端”，界面显示“下载集群客户端”对话框。 3. 对话框中选择“仅配置文件”，平台类型和服务端保持一致，单击确认后进行本地下载。 4. 获取下载的tar包，此即为FusionInsight集群配置文件。 针对MRS 2.x及之前版本集群： 1. 登录MRS管理控制台。 2. 选择“集群列表>现有集群”，单击集群名称进入集群详情页面，单击“组件管理”。 3. 单击“下载客户端”。“客户端类型”选择“仅配置文件”，“下载路径”选择“服务器端”或“远端主机”，自定义文件保存路径后，单击“确定”开始生成客户端配置文件。 4. 将生成的配置文件，保存到本地路径。 具体可参见MapReduce服务文档 。 针对MRS 3.x版本集群： 1. 登录FusionInsight Manager。 2. 通过“系统> >权限>用户”，选择所需用户所在行，点击“更多> >下载认证凭据”下载认证凭据文件。 3. 获取下载的tar包，此即为FusionInsight集群Keytab文件。 针对MRS 2.x及之前版本集群： 1. 登录MRS服务的Manager，单击“系统设置”。在“权限配置”区域，单击“用户管理”。 2. 在需导出keytab文件用户所在的行，选择“更多>下载认证凭据”下载认证文件，待文件自动生成后指定保存位置，并妥善保管该文件。 具体可参见MapReduce服务文档 。 FusionInsight集群 FusionInsight HDFS FusionInsight HBase FusionInsight Hive 1. 登录FusionInsight Manager。 2. 选择“集群> >待操作的集群名称>概览> >更多> >下载客户端”，界面显示“下载集群客户端”对话框。 3. 对话框中选择“仅配置文件”，平台类型和服务端保持一致，单击确认后进行本地下载。 4. 获取下载的tar包，此即为FusionInsight集群配置文件。 具体可参见FusionInsight文档 。 1. 登录FusionInsight Manager。 2. 通过“系统> >权限>用户”，选择所需用户所在行，点击“更多> >下载认证凭据”下载认证凭据文件。 3. 获取下载的tar包，此即为FusionInsight集群Keytab文件。 具体可参见FusionInsight文档 。 Apache集群 Apache HDFS Apache HBase Apache Hive Apache集群场景下，此处仅说明需要哪些配置文件与打包原则，各配置文件的具体获取方式请参见对应版本说明文档。 HDFS需要将以下文件压缩为无目录格式的zip包： − hosts − coresite.xml − hdfssite.xml − yarmsite.xml − mapredsite.xml − krb5.conf（可选，安全模式集群使用） HBase需要将以下文件压缩为无目录格式的zip包： − hosts − coresite.xml − hdfssite.xml − yarmsite.xml − mapredsite.xml − hbasesite.xml − krb5.conf（可选，安全模式集群使用） Hive需要将以下文件压缩为无目录格式的zip包： − hosts − coresite.xml − hdfssite.xml − yarmsite.xml − mapredsite.xml − hivesite.xml − hivemetastoresite.xml − krb5.conf（可选，安全模式集群使用） Apache集群场景下，此处仅说明认证凭据文件打包原则，认证凭据文件具体获取方式请参见对应版本说明文档。 1. 将用户的认证凭据文件重命名为user.keytab。 2. 将user.keytab文件压缩为无目录格式的zip包：user.keytab.zip。

功能概述 依托中电信量子安全加密体系，深度集成量子安全服务平台，基于“量子软模块/量子安全盾+云电脑”，提供更高级别的量子安全防护。 客户端（V3.1.1版本以上）已全面集成量子安全软模块，用户可通过管理控制台免费开通。 开通后，即可享受两大核心安全升级： 量子级身份认证：结合量子安全介质，为终端接入提供量子安全级身份认证保障; 动态量子加密传输：采用"一次一密"量子会话密钥机制，每次连接使用一个量子会话密钥，会话结束后立即销毁，保障端到端数据传输安全。 功能优势 量子身份认证：结合量子软模块/安全盾，提供终端接入的量子身份认证保护。 “一次一密”量子加密保护：每次连接使用一个量子会话密钥，会话结束后立即销毁，从根本上杜绝暴力破解风险。 使用场景 政务领域：XC、党政办公 政务领域涉及大量国家机密、政策文件及敏感数据，安全要求高； 金融领域：金融办公、服务外包办公 金融行业涉及客户数据、交易记录、财务信息等高度敏感数据，需更高的安全保护； 科研领域：高校、科研办公 科研机构对知识产权保护有更高要求，近年来科研数据泄露成重灾区。

本文介绍如何订购Web应用防火墙（边缘云版）服务。 订购天翼云Web应用防火墙（边缘云版）服务，需首先注册天翼云账户，并完成实名认证。 操作步骤 步骤1、注册天翼云官网账号并完成注册。 天翼云官网登录页面 步骤2、未实名认证的用户请按提示完成实名认证才可以订购Web应用防火墙（边缘云版）服务。 步骤3、实名认证后成功后进入Web应用防火墙（边缘云版）产品详情页快速了解产品，后单击【立即开通】。 产品详情页 步骤4、在订购页面选择适合的套餐和扩展服务，勾选并阅读服务协议，确认无误后点击“立即开通”，web应用防火墙（边缘云版）服务即开通。 步骤5、web应用防火墙（边缘云版）服务开通后，便可以根据操作手册去控制台开始接入您要防护的域名。

功能解释 应用识别 全新一代基于应用特征、行为和关联信息的应用识别 支持应用类别、风险等级、应用技术等多维度的应用定义 支持多达几千种的应用特征库 应用特征库支持网络实时更新 监控统计 支持URL日志、NAT日志、会话日志、威胁日志等 支持实时流量统计和分析功能 支持安全事件统计功能 支持iQoS管道策略实际流量情况监控，支持子管道叠加情况监控 支持应用的多维度统计监控，包括应用风险、类别、特征、所用技术等 支持报表功能，报表可自定义 支持日志本地存储 支持设备、接口的流量统计将IPv6和IPv4分开统计呈现 用户认证 本地用户支持Web认证 支持外部服务器用户认证（RADIUS、LDAP、MS AD） 支持AD/LDAP用户/组织结构同步 支持MS AD用户组同步 支持Web认证后的SSO 支持导入本地用户名密码列表 访问控制与隔离 基于深度应用识别的访问控制 基于应用/角色/国家地理IP的安全策略 丰富的路由特性 强大的NAT及ALG 安全策略支持导入、导出 攻击防护 多种畸形报文攻击防护，SYN Flood、DNS Query Flood等多种DoS/DDoS攻击防护 支持ARP攻击防护 支持缓冲区溢出、SQL注入和跨站脚本攻击的检测和防护

keytab keytab 是一种用于在Kerberos 认证系统中存储主体（principal）的密钥信息的文件，包含principals和加密principal key，用于在不需要用户输入密码的情况下进行身份验证。每个密钥条目在keytab 文件中通常由以下部分组成： 主体名称：明确标识该密钥所属的主体，例如“service/host.example.com@exp.com”。 加密类型：指示用于加密密钥的算法，常见的有 AES、DES 等。 密钥值：实际的加密密钥数据。 keytab文件对于每个host是唯一的，因为key中包含hostname。由于服务器上可以访问Keytab文件即可以用principal的身份通过Kerberos的认证，所以keytab文件应该被妥善保存，确保只有少数必要用户可以访问。 服务实例 在AD域中，服务实例指的是一个特定的服务运行在特定计算机或服务器上的单个实例。服务实例通常与特定的服务账号相关联，用于管理服务的权限和身份验证。服务实例在AD中是通过服务主体名称（Service Principal Name，SPN）来标识的。 服务主体SPN 在AD域中，服务主体（Service Principal Name，SPN）用于标志一个服务实例。SPN的作用在于Kerberos身份验证过程中，将服务实例与服务登录帐户相关联。当客户端需要访问某个服务时，它会使用SPN来查询和验证服务的身份。在AD域中，服务可以运行在不同的主机上，而一个主机上也可以运行多个服务。SPN的格式包括服务类型和主机名或域名，客户端通过SPN访问某个服务实例。 工作原理 天翼云提供基于Kerberos协议的认证鉴权方式，将用户加入到AD域中，域控制器通过秘钥表（keytab）授权成员访问弹性文件服务。用户认证及访问鉴权流程如下： 1. 管理员在域控制器上生成keytab文件，详见 2. 在天翼云控制台为目标文件系统开启AD域功能，并将keytab文件上传，具体操作见加入AD域。 3. 文件服务器保存用户通过控制台上传的keytab文件，用于后续AD域内客户端认证和鉴权。 4. 用户通过AD域内云主机发起访问CIFS文件系统请求。 5. 文件服务器通过查询向云主机返回是否支持Kerberos协议鉴权。 6. 云主机向AD域控制器发起用户认证，Kerberos对用户信息进行加密。 7. 域控制器向云主机返回加密后的用户信息。 8. 云主机将用户加密信息发送给文件服务器。 9. 文件服务器根据用户上传的Keytab文件解密用户信息。 10. 认证通过后，文件服务器根据解密所得的用户权限信息提供访问服务。

全局条件键 类型 说明 g:CurrentTime 时间 接收到鉴权请求的时间。以ISO 8601 格式表示，例如：20121111T23:59:59Z g:DomainName 字符串 帐号名称 g:MFAPresent 布尔值 是否使用MFA多因素认证方式获取Token g:MFAAge 数值 通过MFA多因素认证方式获取的Token的生效时长。该条件需要和g:MFAPresent一起使用 g:ProjectName 字符串 项目名称 g:ServiceName 字符串 服务名称 g:UserId 字符串 IAM用户ID g:UserName 字符串 IAM用户名

本文介绍用户访问集群API Server的方式有哪些？ 用户访问集群API Server的方式有哪些？ 当前云容器引擎提供通过证书认证访问集群API Server的方式： 集群API方式：集群API需要使用证书认证访问，在云容器引擎控制台集群信息 > 连接信息获取kubeconfig文件， 通过kubectl直接连接集群API Server。

本节介绍了GeminiDB Redis提供使用内网的连接方式。 连接方式介绍 GeminiDB Redis提供使用内网的连接方式如下： 连接方式 连接方式 使用场景 说明 内网连接 介绍通过内网连接GeminiDB Redis实例的方法。该方式适用于当应用部署在弹性云服务器上， 且该弹性云服务器与数据库实例处于同一区域、同一VPC内时连接数据库实例。 安全性高，可实现数据库实例的较好性能。 公网连接 介绍通过公网连接GeminiDB Redis实例的方法。该方式适用于不能通过内网方式访问数据库实例时， 可以单独使用公网域名或弹性IP连接弹性云服务器（或公网主机）与数据库实例。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的数据库实例在同一VPC子网内，使用内网连接。 程序代码连接 介绍通过Jedis连接实例、通过Hiredis连接实例、通过NodeJs连接实例、通过PHP连接实例和通过Python连接实例等程序语言的方式访问GeminiDB Redis实例的方法。 防暴力破解 防暴力破解安全机制 GeminiDB Redis默认开启auth认证的防暴力破解功能，当auth认证错误次数累计超过5次，该IP会被后台锁定，不能继续进行auth认证。 自动解除机制 当一个IP被锁定超过5秒后，该IP会被自动解锁，此后可以重新进行认证。 人工解锁 如需人工解锁IP，或关闭实例的防暴力破解功能，请联系客服提交工单，进行授权确认。 注意 为进一步提高安全性，可根据实际情况提交工单，由技术人员协助进行认证次数及锁定时长的调节。 为保证安全性，请您充分评估风险，谨慎关闭或调整该安全策略，关闭后由此带来的安全风险及事故，将不计入服务SLA中，由客户自行承担。

SSL VPN是否支持HTTP2.0？ 目前HTTP2.0对SSL来说只影响Web资源，TCP和L3VPN资源只要服务端支持即可，目前HTTP2.0还没有大规模应用，在大规模应用之前Web资源也会支持。 使用SSL VPN能够避免哪些攻击？哪些是HTTPS解决不了的？ SSL VPN： 能降低用户身份仿冒攻击，在业务系统本身的认证之外增加了认证环境，且VPN的认证具备密码策略管理，可以强制密码复杂度、试错次数、防爆破、防自动化脚本攻击等。 增加了端点安全策略，能降低黑客通过合法客户端作为跳板进行攻击。 传输上支持更为安全的国家商用密码算法（硬件加密卡）。 对外只开放VPN服务端口，不开放业务服务器端口，避免了对服务器的入侵攻击，黑客如果要入侵系统，只能够先攻击VPN，控制VPN的前提下，才有可能对业务系统攻击。 HTTPS+认证： 只是业务系统本身传输的加密和认证，对攻击者来说，直接攻击的还是服务器本身（可以对服务器账号密码进行爆破、撞库、SSL中间人攻击等）。 不具备端点安全能力，如果合法用户的电脑已经被控制，很容易在使用业务系统的时候被进行跳板攻击。 服务器端口直接暴露在互联网，黑客可以对服务器进行各种攻击探测。 VPN设备本身的安全性： 设备每一个版本在生产销售过程中都经过各种检测，并有国家权威机构的检测证明。 设备本身作为一个安全产品，产品业务逻辑相比业务系统本身更安全，安全成熟度高。 SSL VPN在大量金融、公检法单位使用，这些单位安全要求很高，VPN每年都会多次经历安全检查。

本文帮助您了解使用云硬盘备份前的准备工作。 注册天翼云账号 在使用云硬盘备份之前，用户需仔细观看本文内容，完成准备工作。 如果您已经拥有一个天翼云实名账号可直接跳过本步骤，如果您还没有天翼云账号，请参考以下流程进行创建： 1. 登录天翼云官网www.ctyun.cn，点击右上角“免费注册”按钮。 2. 填写注册信息。填写邮箱后，设置登录密码，并通过手机验证。 3. 勾选协议，并点击“同意协议并提交”，即可完成账号注册。 实名认证 具体可参见实名认证模块对天翼云账号进行实名认证。 账户充值 您需要确保天翼云实名账户中的余额充足，具体天翼云账户充值步骤请参见账户充值。

本文帮助您了解创建云硬盘的准备工作。 注册天翼云账号 在创建云硬盘之前，用户需仔细观看本文内容，完成准备工作。 如果您已经拥有一个天翼云实名账号可直接跳过本步骤，如果您还没有天翼云账号，请参考以下流程进行创建： 登录天翼云官网www.ctyun.cn，点击右上角“免费注册”按钮。 填写注册信息。填写邮箱后，设置登录密码，并通过手机验证。 勾选协议，并点击“同意协议并提交”，即可完成账号注册。 实名认证 具体可参见实名认证模块对天翼云账号进行实名认证。 账户充值 您需要确保天翼云实名账户中的余额充足，具体天翼云账户充值步骤请参见账户充值。

本章节介绍云原生网关CGW子产品的应用场景 流量接入&服务治理 传统的服务架构中采用流量网关+业务网关实现流量接入与分发；云原生网关融合了流量网关和业务网关能力，作为微服务架构中东西向和南北向流量的入口，提供了tls卸载，服务发现，请求路由，负载均衡，熔断限流等流量治理能力。 认证鉴权 在云上发布的服务一般需要对前端的请求进行认证鉴权，云原生网关提供了jwt、oidc、ip黑白名单及一系列扩展插件，实现对应用请求的身份认证和访问控制。 可视化运维 微服务网关提供丰富的可观测能力，包括指标监控，日志监控及全链路追踪能力；无需特殊配置即可获取丰富的可观测能力。

NAT网关的SNAT规则删除（DNAT规则删除操作相同） 适用于贵州/福州/杭州/深圳/广州4/苏州/郑州/青岛/西安2/上海4/芜湖/南宁/长沙2/南昌/成都3/乌鲁木齐/昆明/海口/重庆/武汉2/兰州/西宁/太原/石家庄/中卫/长春/天津/北京2/哈尔滨节点 1、对NAT网关的SNAT规则进行删除操作。 2、弹出删除提醒框，并带有验证提示栏如下图， 3、点击去验证，跳转操作保护页面。如下图， 4、点击【免费获取验证码】，验证码会发送到天翼云账号预留手机号，填写正确的验证码，点击【认证】，弹出认证成功（失败）提示框。 5、认证成功自动跳转回SNAT规则删除弹窗界面，继续进行删除操作。

本章节主要介绍翼MapReduce服务的账号权限类常见问题。 为何在控制台集群列表页看不到已订购的集群？ 子用户登录翼MR控制台后，可能在集群列表页看不到已订购的集群，此时可按下述步骤进行问题定位与处理。 1. 检查资源池是否正确：可与管理员确认已订购集群所在的资源池，并查看页面左上角所选择的资源池是否正确。 2. 检查是否具备集群所在企业项目的权限：联系管理员在“账号中心”“统一身份认证服务”功能中，检查是否有为子用户配置企业项目权限。管理员可通过++用户组授权++或++基于企业项目完成授权++两种方式，为子用户授予在目标企业项目下的翼MR使用权限。管理员授权后，权限预计在1分钟内生效，子用户可在翼MR控制台看到该企业项目下的集群。 如果不开启Kerberos认证，翼MR集群能否支持访问权限细分？ 翼MR集群在开通过程中，数据湖、数据服务、实时数据流的业务场景是默认开启Kerberos认证。基于Kerberos认证，才能实现访问权限的细分设置。 翼MR集群在开通过程中，云搜索和数据分析的业务场景是默认不使用Kerberos认证。其中，数据分析的业务场景采用自带访问权限细分功能，云搜索暂不支持。

使用客户端 1. 在已安装客户端的节点，执行sudo su omm命令切换用户。执行以下命令切换到客户端目录： cd /opt/client 2. 执行以下命令配置环境变量： source bigdataenv 3. 如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 kinit MRS 集群用户 例如， kinit admin 。 说明 启用Kerberos认证的MRS集群默认创建“admin”用户帐号，用于集群管理员维护集群。 4. 直接执行组件的客户端命令。 例如：使用HDFS客户端命令查看HDFS根目录文件，执行 hdfs dfs ls / 。 集群外节点安装客户端 1. 根据在集群外节点安装客户端前提条件，创建一个满足要求的弹性云主机。 2. 执行ntp时间同步，使集群外节点的时间与MRS集群时间同步。 a. 执行vi /etc/ntp.conf命令编辑NTP客户端配置文件，并增加MRS集群中Master节点的IP并注释掉其他server的地址。 server master1ip prefer server master2ip 详见下图：增加Master节点的IP b. 执行service ntpd stop命令关闭NTP服务。 c. 执行如下命令，手动同步一次时间： /usr/sbin/ntpdate 192.168.10.8 说明 192.168.10.8为主Master节点的IP地址。 d. 执行service ntpd start或systemctl restart ntpd命令启动NTP服务。 e. 执行ntpstat命令查看时间同步结果。 3. 参考以下步骤，从FusionInsight Manager下载集群客户端软件包并复制到ECS节点后安装客户端。 a. 访问FusionInsight Manager（MRS 3.x及之后版本），参考集群内节点安装客户端下载集群客户端到主管理节点的指定目录。 b. 使用root用户登录主管理节点，执行以下命令复制客户端安装包到待安装客户端的节点： scp p /tmp/FusionInsightClient/FusionInsightCluster1ServicesClient.tar 待安装客户端节点的IP 地址 :/tmp c. 使用待安装客户端的用户登录待安装客户端节点。 执行以下命令安装客户端，如果当前用户无客户端软件包以及客户端安装目录的操作权限，需使用root用户进行赋权： cd /tmp tar xvf FusionInsightCluster1ServicesClient.tar tar xvf FusionInsightCluster1ServicesClientConfig.tar cd FusionInsightCluster1ServicesClientConfig ./install.sh /opt/client d. 执行以下命令，切换到客户端目录并配置环境变量： cd /opt/client source bigdataenv e. 如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 kinit MRS集群用户 例如， kinit admin 。 f. 直接执行组件的客户端命令。 例如使用HDFS客户端命令查看HDFS根目录文件，执行 hdfs dfs ls / 。

本章节主要介绍MapReduce如何创建集群。 使用翼MR的首要操作就是创建集群，本章节为您介绍如何在翼MR管理控制台创建一个新的集群。 操作步骤 1.登录翼MR管理控制台。 2.单击“创建集群”，进入“创建集群”页面。 说明 创建集群时需要注意配额提醒。当资源配额不足时，建议按照提示申请足够的资源，再创建集群 。 3.在创建集群页面，选择“自定义创建”页签。 4 .配置集群软件信息。 区域：默认即可。 集群名称：可以设置为系统默认名称，但为了区分和记忆，建议带上项目拼音缩写或者日期等。例如：“mrs20180321”。 集群版本：默认最新版本即可。 集群类型：默认选择“分析集群”即可。 组件选择：分析集群勾选Spark2x、HBase和Hive等组件。流式集群勾选Kafka和Storm等组件。混合集群可同时勾选分析集群流式集群的组件。 元数据：默认即可。 说明 针对翼MR 3.x之前版本，分析集群勾选Spark、HBase和Hive等组件 。 5.单击“下一步”。 可用区：默认即可。 虚拟私有云：默认即可。如果没有虚拟私有云，请单击“查看虚拟私有云”进入虚拟私有云，创建一个新的虚拟私有云。 子网：默认即可。 安全组：选择“自动创建”。 弹性公网IP：选择“暂不绑定”。 实例规格：Master和Core节点都选择“通用计算型S3>8核16GB(s3.2xlarge.2 )”。 系统盘：存储类型选择“普通IO”，存储空间默认即可。 数据盘：存储类型选择“普通IO”，存储空间默认即可，数据盘数量默认即可。 实例数量：Master节点数量默认为2，Core节点数量配置为3。 注意 上述“实例规格”示例，实际可选规格请以各资源池可用规格为准。 6.单击“下一步”进入高级配置页签，配置参数，其他参数保持默认。 Kerberos认证： −Kerberos认证：关闭Kerberos认证。 −用户名：Manager管理员用户，目前默认为admin用户。 −密码：Manager管理员用户的密码。 登录方式：选择登录ECS节点的登录方式。 −密码：设置登录ECS节点的登录密码。 −密钥对：从下拉框中选择密钥对，如果已获取私钥文件，请勾选“我确认已获取该密钥对中的私钥文件 SSHkeyxxx ，否则无法登录弹性云主机”。如果没有创建密钥对，请单击“查看密钥对”创建或导入密钥，然后再获取私钥文件。 通信安全授权：勾选确认授权。 7.单击“立即申请”。 当集群开启Kerberos认证时，需要确认是否需要开启Kerberos认证，若确认开启请单击“继续”，若无需开启Kerberos认证请单击“返回”关闭Kerberos认证后再创建集群。 8.单击“返回集群列表”，可以查看到集群创建的状态。 集群创建需要时间，所创集群的初始状态为“启动中”，创建成功后状态更新为“运行中”，请您耐心等待。

关系数据库MySQL版支持CTIAM身份认证和多种访问控制，多维度保障您云数据库的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM），是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。 您可以创建IAM用户，并为其设置关系数据库MySQL版实例权限，该用户即可通过用户名和密码访问已授权的实例资源。 访问控制 权限控制 购买关系数据库MySQL版实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为关系数据库MySQL版构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 通过子网与其他网络隔离，独享网络资源，提高网络安全性。 具体内容，请参见创建虚拟私有云和子网。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的数据库实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问数据库的IP地址和端口，来保障其运行环境的安全性和稳定性。 具体内容，请参见设置安全组规则。

信息项 描述 租户ID 获取的账号ID或项目ID。 绑定APP认证的API时，租户ID为项目ID。 绑定IAM认证的API时，租户ID为帐号ID，不支持细分到IAM用户维度。 阈值 固定时间段内，此租户访问API的最大值。 不能超过API流量限制值。

项目 描述 卷名称 卷名称。 对象存储服务 对象存储服务名称（此项不能修改）： OOS ： 天翼云对象存储经典版I型。 S3：兼容S3的其他对象存储。 Endpoint 修改对象存储的Endpoint。 注意 Endpoint必须与所使用的对象存储服务一一对应：若使用OOS对象存储服务，需填写OOS的Endpoint；若使用兼容S3的其他对象存储服务，则需填写它的Endpoint。 如果仅输入域名将会使用HTTPS协议进行访问。 签名版本 修改上云签名认证的类型： v2：V2签名认证。 v4：V4签名认证。 区域 Endpoint资源池所在区域。 V4签名时，此项必填。V2签名时，此项不显示。 AS/SK 对象存储服务的Access Key和Secret Access Key。 压缩 是否压缩数据上传至对象存储： 启用：压缩数据上传至对象存储。 禁用：不压缩数据上传至对象存储。

为节约备案时间，建议您提前准备好符合备案条件的天翼云账号、服务器、域名，和相关备案资料 准备天翼云账号： 申请备案前建议您提前注册天翼云账号，天翼云账号支持在PC端或天翼云App上申请备案。一个账号只能备案一个主体（公司或个人）信息，但是一个主体下可以备案多个网站/APP。 准备服务器： 备案前需要至少有一台符合以下要求的天翼云服务器： 1.服务器为天翼云中国（港澳台地区除外）节点的服务器； 2.服务器购买时长需大于3个月； 3.服务器需绑定公网IP。 准备域名： 备案的域名及域名注册商需满足以下要求： 1.备案的域名要求在有效期内； 2.备案的域名在实名认证完成后需要约三天时间将实名认证信息上报权威库。建议您在实名认证完成后等待三天，待实名信息入库后再申请ICP备案，否则可能存在管局审核时核验不到域名实名信息而退单的风险； 3.申请备案时填报的备案主体信息应与域名所有者实名认证信息一致； 4.备案的域名要求为国家批复的域名。可登录 5.境外注册商所注册的域名不能直接备案，可转入境内有资质的域名商后再申请ICP备案。

本小节介绍SSL VPN的产品特性。 身份安全——多因素身份认证 在用户身份安全方面，SSL VPN提供用户名密码、USB KEY、动态令牌、第三方认证（HTTP/HTTPS）、硬件特征码、数字证书、短信认证、LDAP、Radius多种身份认证方式保障用户接入身份的合法性。 终端安全——PC端移动端，全面保障 针对普通PC终端，可进行登录前系统安全状态检查，针对注册表、杀毒软件、系统版本、文件和应用等进行全面检查，确保只有安全终端才可以登录VPN访问业务服务器。在用户结束访问以后会自动清除Cookies、临时文件等遗留在客户端计算机上的信息，实现“零痕迹”访问，避免安全隐患。 权限安全——更细粒度，基于URL和业务账号进行授权 在应用授权方面，可针对每个部门、每个用户进行细致到应用、URL级别的授权，并可针对用户终端安全环境、登录时间、网络地址不同情况下的差别授权及灵活控制。采用了业内独有的主从账号绑定技术，对用户登录SSL VPN后访问应用的账号进行强制指定，防止采用他人账号的越权访问行为。通过更细粒度的授权机制，有效降低了黑客入侵的影响，提升业务系统安全性。 传输安全——加密强度持续关注 SSL VPN支持国际商用加密算法，用户可根据业务系统重要程度按需选择加密算法和密钥长度。通过标准加密算法保障数据传输安全。

HTTP 2.0业务接入WAF防护是否会对源站有影响？ HTTP 2.0业务接入WAF防护对源站有影响。HTTP 2.0业务接入WAF防护表示WAF可以处理客户端的HTTP 2.0请求，而WAF目前仅支持以HTTP 1.0/1.1协议转发回源请求，即WAF与源站间暂不支持HTTP 2.0。因此，如果您将HTTP 2.0业务接入WAF防护，则源站的HTTP 2.0特性将会受到影响，例如，源站HTTP 2.0的多路复用特性可能失效，造成源站业务带宽上升。 Web应用防火墙支持哪些Web服务框架/协议？ Web应用防火墙部署在云端，与Web服务框架没有关系。 WAF通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持防护的协议类型说明如下： WebSocket/WebSockets协议，且默认为开启状态 “对外协议”选择“HTTP”时，默认支持WebSocket “对外协议”选择“HTTPS”时，默认支持WebSockets HTTP/HTTPS协议 WAF可以防护使用HSTS策略/NTLM代理认证访问的网站吗？ 可以。WAF支持防护HTTP/HTTPS协议业务。 网站选择使用HSTS（HTTP Strict Transport Security，HTTP严格传输安全协议）策略后，会强制要求客户端（如浏览器）使用HTTPS协议与网站进行通信，以减少会话劫持风险。配置HSTS策略的网站使用的是HTTPS协议，WAF可以防护。 NTLM（New Technology LAN Manager，Windows NT LAN管理器）代理是Windows平台下HTTP代理的一种认证方式，其认证方式与Windows远程登录的认证方式是一样的，客户端（如浏览器）和代理之前需要三次握手才开始传递信息。 对于客户端（如浏览器）和代理之前使用NTLM认证的业务，WAF可以防护。

本文简述如何开通视频直播服务，包括账户实名认证、按需计费模式的开通步骤。 前提条件 已注册天翼云官网账号。如未注册，请参见：注册天翼云账号进行注册。 未实名认证的用户完成实名认证后才能开通视频直播服务。确认账号是否已实名认证，详情请参见：实名认证。 购买视频直播按需产品之前请确保您的账户余额大于100元。 计费模式 视频直播支持按需计费和资源包计费（预付费）两种方式，其中资源包仅支持流量包。 按需计费购买流程 您可以参考以下步骤开通按需计费模式的视频直播服务： 1. 进入视频直播详情页快速了解产品，并单击【立即开通】。 2. 在购买页面勾选需要开通的区域并选择合适的【计费方式】。直播转码/录制/截图/审核/高性能网络等增值服务默认不开启。如需使用增值服务，您可以单击对应增值服务按钮进行开启。 注意 视频直播服务一旦开通成功，有效期到期前无需且不支持重复开通。 暂不支持单独开通“全球（不含中国内地）”的视频直播加速业务。即您可以只开通“中国内地”加速区域，或同时开通“中国内地”和“全球（不含中国内地）”。 直播增值服务直播转码/录制/截图/审核仅支持中国内地开通使用，全球（不含中国内地）暂不支持。 高性能网络目前仅支持全球（不含中国内地）开通使用，中国内地暂不支持。 3. 视频直播业务开通后，页面会显示【提交成功】，单击【跳转到直播控制台】，即可进入直播控制台添加需要加速的域名，详情请参见：添加加速域名。

参数 说明 企业项目 选择微服务引擎所在的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 开通企业项目，创建并启用新的企业项目后可以使用，默认选择default。 规格 选择微服务引擎规格。须知引擎创建成功后，不支持规格变更。 引擎类型 选择微服务引擎的类型。 集群集群模式部署，主机级容灾。 单机单节点部署，不支持容灾。须知“引擎类型”为“单机”的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境；不支持变更引擎类型。 如选择使用，请先阅读约束说明并勾选“我已知晓如下约束”。 引擎名称 输入微服务引擎的名称，引擎创建后不能修改名称。 可用区 选择可用区。 “引擎类型”选择“集群”时，根据环境可用区数量，为引擎选择1个或者3个可用区。 − 选择1个可用区，可提供主机级别容灾能力。− 选择3个可用区，可提供可用区级别容灾能力。 “引擎类型”选择“单机”时，为引擎选择1个可用区。 网络 为引擎选择已创建的虚拟私有云及其子网，可以为您的引擎构建隔离的、自主配置和管理的虚拟网络环境。 描述 输入引擎描述信息。 单击 ，输入引擎描述信息。 单击 ，保存描述。 安全认证 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。 选择“开启安全认证”： 1. 根据业务需要确认需开启安全认证后，勾选“我已知晓：开启安全认证后，需要在微服务的配置文件中添加对应用户的帐号密码，否则服务无法注册到引擎。” 2. 输入root帐号的“密码”，并在“再次输入密码”输入框输入密码进行确认。密码请妥善保管，以免遗失。 选择“关闭安全认证”：无需配置帐户名、密码即可将服务注册到引擎，效率性能更高，建议用于VPC内访问时使用。