本章节主要介绍使用Storm客户端 。 操作场景 该任务指导用户在运维场景或业务场景中使用Storm客户端。 前提条件 已安装客户端。例如安装目录为“/opt/hadoopclient”。 各组件业务用户由系统管理员根据业务需要创建。安全模式下，“机机”用户需要下载keytab文件。“人机”用户第一次登录时需修改密码。（普通模式不涉及） 操作步骤 1. 根据业务情况，准备好客户端，登录安装客户端的节点。 请根据客户端所在位置，参考“用户指南 > 使用MRS客户端 > 安装客户端”章节，登录安装客户端的节点。 2. 执行以下命令，切换到客户端安装目录。 cd /opt/hadoopclient 3. 执行以下命令配置环境变量。 source bigdataenv 4. 若安装了Storm多实例，在使用Storm命令提交拓扑时，请执行以下命令加载具体实例的环境变量，否则请跳过此步骤。例如，Storm2实例： source Storm2/componentenv 5. 执行以下命令，进行用户认证。（普通模式跳过此步骤） kinit 组件业务用户 6. 执行命令进行客户端操作。 例如执行以下命令： cql storm 说明 同一个storm客户端不能同时连接安全和非安全的ZooKeeper。

1 、个人备案所需材料 身份证 港澳居民来往内地通行证 台胞证 护照 （样图） 网站真实性核验单 域名证书（域名注册人与备案主体为一人） 域名实名认证的截图需到域名商处查询 幕布照片（样图） 备案承诺书（上海、宁夏、广东） 上海版本 宁夏版本 广东版本 河南版本 2 、企事业备案所需材料 企事业单位证件 工商营业执照 事业法人证书 组织机构代码证 民办非企业单位登记证书 基金会法人登记证书 社团法人证书 统一社会信用代码证书 负责人个人身份证件 身份证 港澳居民来往内地通行证 台胞证 护照 网站真实性核验单 信息安全承诺书 网站负责人不为法人时，需提供委托书，此处仅为样例，具体省份承诺书版本请到资料下载页进行下载。 委托书 域名证书（域名注册人和备案主体为同一单位或单位法人） 域名实名认证的截图需到域名商处查询 幕布照片（样图） 备案承诺书（上海、宁夏、广东） 上海版本 宁夏版本 广东版本

本文带您了解云硬盘的使用状态。 云硬盘的使用状态具体如下表： 状态分类 云硬盘状态 状态说明 操作说明 中间状态资源类 创建中 该云硬盘正在创建中。 操作限制以控制台为准。 中间状态资源类 挂载中 已创建的云硬盘正在挂载至弹性云主机或物理机中。 操作限制以控制台为准。 中间状态资源类 卸载中 正在将云硬盘从弹性云主机或物理机上卸载下来。 操作限制以控制台为准。 中间状态资源类 删除中/退订中 按需/包年包月购买的云硬盘正在删除/退订。 操作限制以控制台为准。 中间状态资源类 销毁中 已到期/已冻结的云硬盘正在被销毁中。 操作限制以控制台为准。 中间状态资源类 扩容中 为云硬盘增加容量中。 操作限制以控制台为准。 中间状态资源类 修改磁盘类型中 正在修改云硬盘的磁盘类型。 操作限制以控制台为准。 中间状态资源类 备份创建中 该云硬盘正在创建备份。 操作限制以控制台为准。 中间状态资源类 备份恢复中 该云硬盘正在从备份恢复数据中。 操作限制以控制台为准。 中间状态资源类 快照创建中 该云硬盘正在创建快照。 操作限制以控制台为准。 中间状态资源类 回滚中 正在使用云硬盘快照回滚数据中。 操作限制以控制台为准。 中间状态资源类 镜像制作中 该云硬盘正在创建镜像。 操作限制以控制台为准。 中间状态资源类 加组中 该云硬盘正在被加入一致性组中。 操作限制以控制台为准。 非中间状态资源类 已挂载 该云硬盘已挂载至弹性云主机或物理机。 操作限制以控制台为准。 非中间状态资源类 未挂载 该云硬盘未挂载至弹性云主机或物理机。 操作限制以控制台为准。 中间状态计费类 主订单未完成 随主机购买的云硬盘未完成，正在订单支付中。 操作限制以控制台为准。 中间状态计费类 主订单退订中 随主机购买的云硬盘订单正在退订中。 操作限制以控制台为准。 中间状态计费类 主订单已退订 随主机购买的云硬盘订单已退订。 操作限制以控制台为准。 非中间状态计费类 未实名认证 账户未实名认证，导致部分功能受限。 操作限制以控制台为准。 非中间状态计费类 已冻结 按需订购的云硬盘，在用户账户欠费后，云硬盘将进入冻结期，此时云硬盘状态为“已冻结”。 操作限制以控制台为准。 非中间状态计费类 已到期 包周期订购的云硬盘到期后，云硬盘将进入保留期，此时云硬盘状态为“已到期”。 操作限制以控制台为准。 异常状态 错误 云硬盘出现错误状态，可通过提交工单来解决。 操作限制以控制台为准。 异常状态 恢复失败 该云硬盘从备份恢复数据失败。 操作限制以控制台为准。

设置共享文件的权限 需要在FTP站点为共享给用户的文件夹设置访问及修改等权限。 1. 在服务器上创建一个供FTP使用的文件夹，选择文件夹，并单击右键选择“属性”。此处以“work01”文件夹为例。 2. 在“安全”页签，选择 “Everyone”，单击“编辑”。如果没有“Everyone”用户可以直接选择，需要先进行添加。 3. 选择“Everyone”，然后根据需要，选择“Everyone”的权限，并单击“确定”。此处以允许所有权限为例。 添加及设置FTP站点 1. 在“服务器管理器”中，选择“仪表板 > 工具 > Internet Information Services (IIS)管理器 ”。 2. 选择“网站”并单击右键，然后选择“添加FTP站点”。 3. 在弹出的窗口中，填写FTP站点名称及共享文件夹的物理路径，然后单击“下一步”。此处站点名称以“FTPSERVER”为例。 4. 输入该弹性云主机的公网IP地址以及端口号，并设置SSL，单击“下一步”。端口号默认为21，也可自行设置 。 5. SSL根据需要进行设置。 无：不需要SSL加密。 允许：允许FTP服务器与客户端的非SSL和SSL连接。 需要：需要对FTP服务器和客户端之间的通信进行SSL加密。 说明 当SSL选择“允许”和“需要”时，需要选择SSL证书。可以选择已有的SSL证书，也可以制作一个SSL证书，具体制作证书的方法请参见制作服务器证书。 6. 设置身份认证和授权信息，并单击“完成”。 身份认证 匿名 ： 允许任何仅提供用户名 “anonymous” 或 “ftp” 的用户访问内容。 基本 ： 需要用户提供有效用户名和密码才能访问内容。但是基本身份验证通过网络传输密码时不加密，因此建议在确认客户端和FTP服务器之间的网络连接安全时使用此身份验证方法。 授权 允许访问 权限：选择经过授权的用户的“读取”和“写入”权限。 所有用户 ： 所有用户均可访问相应内容。 匿名用户 ： 匿名用户可访问相应内容。 指定角色或用户组：仅指定的角色或用户组的成员才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的角色或用户组。 指定用户：仅指定的用户才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的用户。 7. 绑定弹性云主机的私网IP。选择“网站”，选中创建的FTP站点，单击“绑定”；在弹出的“网站绑定”窗口单击“添加”，然后在弹出的窗口中添加弹性云主机的私网IP地址，并单击“确定”。

本文为您介绍修改告警联系人的操作场景、前提条件和操作步骤。 操作场景 告警联系人的联系方式发生变化时，需要及时去控制台修改告警联系人的联系方式。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成告警联系人的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警联系人/组”，进入告警联系人管理页面。 5. 您可以通过以下两个路径修改告警联系人: 方式一：在“告警联系人”界面，单击待修改联系人所在行的“修改”按钮。 方式二：在“告警联系组”界面，展开待修改联系人所在的告警联系组，单击联系人所在行的“修改”按钮。 6. 修改后，单击“确定”按钮。

本文为您介绍创建告警联系人的操作场景、前提条件和操作步骤。 操作场景 告警联系人能够接收告警通知，方便您快速处理告警问题。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警联系人/组”，进入告警联系人管理页面。 5. 单击“添加联系人”按钮，根据弹框页面提示输入联系人的姓名、手机号、邮箱。 6. 单击“确认”按钮，完成告警联系人的创建。 7. 所创建的告警联系人的邮箱及手机号，默认处于等待激活状态。需要根据短信及邮箱相应激活码进行激活。激活后，可以在告警联系人列表页看到相应信息已经激活。 说明 未被激活的手机号码或邮箱，将无法接收到告警通知信息。

自定义策略 如果系统策略无法满足授权要求，管理员可以根据各服务支持的权限，创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。您可以通过可视化和JSON视图完成自定义策略的配置。 委托 委托根据委托对象的不同，分为委托其他天翼云帐号和委托其他云服务。 委托其他天翼云帐号：通过委托功能，您可以将自己帐号中的资源操作权限委托给其他天翼云帐号，被委托的帐号可以根据权限代替您进行资源运维和管理工作。 委托其他云服务：由于天翼云各服务之间存在业务交互关系，一些云服务需要与其他云服务协同工作，在使用时会需要您创建云服务委托，将操作权限委托给该服务，让该服务以您的身份使用其他云服务，代替您进行一些资源运维的自动化工作。 身份凭证 身份凭证是识别用户身份的依据，您通过控制台或者API访问天翼云时，需要使用身份凭证来进行系统的认证鉴权。身份凭证包括密码和访问密钥，您可以在IAM中管理自己以及帐号中IAM用户的身份凭证。 密码 常见的身份凭证，密码可以用来登录控制台。您不能在IAM中管理自己账号的密码，请在天翼云网门户“个人中心”修改自己的密码。

身份凭证 身份凭证是识别用户身份的依据，您通过控制台或者API访问云服务时，需要使用身份凭证来进行系统的认证鉴权。身份凭证包括密码和访问密钥，您可以在IAM中管理自己以及帐号中IAM用户的身份凭证。 密码：常见的身份凭证，密码可以用来登录控制台。 访问秘钥：即AK/SK（Access Key ID/Secret Access Key），调用云服务API接口的身份凭证，不能登录控制台。访问密钥中具有验证身份的签名，通过加密签名验证可以确保机密性、完整性和请求双方身份的正确性。 项目 每个资源池默认对应一个项目，目前这个项目由系统预置，用来隔离各资源池的资源（计算资源、存储资源和网络资源等），以该默认项目为范围进行授权，用户可以访问您帐号中该资源节点（即该默认项目）的所有资源。 委托 委托根据委托对象的不同，分为委托其他帐号和委托其他云服务。 委托其他天翼云帐号：通过委托信任功能，您可以将自己帐号中的资源操作权限委托给其他帐号，被委托的帐号可以根据权限代替您进行资源运维工作。 委托其他云服务：由于云服务之间存在业务交互关系，一些云服务需要与其他云服务协同工作，需要您创建云服务委托，将操作权限委托给该服务，让该服务以您的身份使用其他云服务，代替您进行一些资源运维自动化工作。

用户信息查询 涉及用户、角色及权限相关的系统视图有ALLUSERS、PGUSER和PGROLES，系统表有PGAUTHID和PGAUTHMEMBERS。 ALLUSERS视图存储记录数据库中所有用户，但不对用户信息进行详细的描述。 PGUSER视图存储用户信息，包含用户ID，是否可以创建数据库以及用户所在资源池等信息。 PGROLES视图存储数据库角色的相关信息。 PGAUTHID系统表存储有关数据库认证标识符（角色）的信息，包含角色是否可以登录，创建数据库等信息。 PGAUTHMEMBERS存储角色的成员关系，即某个角色组包含了哪些其他角色。 1.通过PGUSER可以查看数据库中所有用户的列表，还可以查看用户ID（USESYSID）和用户权限。 SELECT FROM pguser; usename usesysid usecreatedb usesuper usecatupd userepl passwd valbegin valuntil respool parent spacelimit useconfig nodegroup tempspacelimit spillspacelim it +++++++++++++++ Ruby 10 t t t t defaultpool 0 kim 21661 f f f f defaultpool 0 u3 22662 f f f f defaultpool 0 u1 22666 f f f f defaultpool 0 dbadmin 16396 f f f f defaultpool 0 u5 58421 f f f f defaultpool 0 (6 rows) 2.ALLUSERS视图存储记录数据库中所有用户，但不对用户信息进行详细的描述。 SELECT FROM allusers; username userid + Ruby 10 manager 21649 kim 21661 u3 22662 u1 22666 u2 22802 dbadmin 16396 u5 58421 (8 rows) 3.系统表PGROLES存储访问数据库角色的相关信息。 SELECT FROM pgroles; rolname rolsuper rolinherit rolcreaterole rolcreatedb rolcatupdate rolcanlogin rolreplication rolauditadmin rolsystemadmin rolconnlimit rolpassword rolvalidbegin rolv aliduntil rolrespool rolparentid roltabspace rolconfig oid roluseft rolkind nodegroup roltempspace rolspillspace +++++++++++++ ++++++++++ Ruby t t t t t t t t t 1 defaultpool 0 10 t n manager f t f f f f f f f 1 defaultpool 0 21649 f n kim f t f f f t f f f 1 defaultpool 0 21661 f n u3 f t f f f t f f f 1 defaultpool 0 22662 f n u1 f t f f f t f f f 1 defaultpool 0 22666 f n u2 f t f f f f f f f 1 defaultpool 0 22802 f n dbadmin f t f f f t f f t 1 defaultpool 0 16396 f n u5 f t f f f t f f f 1 defaultpool 0 58421 f n (8 rows) 4.要查看用户属性，可查询系统表PGAUTHID，它存储有关数据库认证标识符（角色）的信息。一个集群中只有一份pgauthid，并非每个数据库一份。需要有系统管理员权限才可以访问此系统表。 SELECT FROM pgauthid; rolname rolsuper rolinherit rolcreaterole rolcreatedb rolcatupdate rolcanlogin rolreplication rolauditadmin rolsystemadmin rolconnlimit rolpassword rolvalidbegin rolvaliduntil rolrespool roluseft rolparentid roltabspace rolkind rolnodegroup roltempspace rolspillspace rolexcpdata rolauthinfo +++++++++++++++++++++++ Ruby t t t t t t t t t 1 sha256366f1e665be208e6015bc3c5795d13e4dc297a148dca6c60346018c80e5c04c9ba170384ce44609b31baa741f09a3ea5bedc7dadb906286ca994067c3fbf672dc08c981929e326ca08c005d8df942994e146ed3302af47000b36e9852b50e39dmd585de11aafebd90ec620b201fc36f07a5ecdficefade3a1456ec0aca9a0ee01e3bf2971d1dbafd604e596149e2e2928be4060dec2bd8688776588b4cd8c64fd38f1b0beab1603129fa396556ba8aa4c7d6e137a04623 defaultpool t 0 n 0 sysadmin f t f f f t f f t 1 sha256ecaa7f0ca4436143af43074f16cdd825783ad1a5d659fd94f5e2fa5124e7da44045ecf40bda1a97975fcf5920dca0c8be375be5c71b51cb1eeeba0851fb3648cfa49f55989f83fd9baf1a9d5853ce19125f4fc29a7c709c095ed02d00638410dmd556d6e2dcc41594dc7ad8ee909ef81637ecdficefadefd7d9704ee06affef9581cd6a50a546607f88891198e96a5e84e7e83dccf56c5cd20a500bbc5248e8ea51f0bca70c5a8dcf00953f8b62c7a181368153abce760 defaultpool f 0 n Tom f t f t f t f f f 1 sha256f43c4f52ac51e297bc4dbdbc751fcf05319c15681dbf5a9c5777d2edce45cb592a948b25457a728e99a3e0608592f33b0a4312eba6124936522304ba298caa2002a04578860fecb0286d7c7baec09365eafd049b2b99f74f21a08864dd7d3f2amd515ee49f0b18ef8e7d0cd27d91ce2fa9decdficefade16bab5f05b6d7c86a19ae6406cc59c437506c3f6187bfdf3eefc7a7c7033afa076361b255cc8b6ccb6e19d4767effaec654b3308cc72cebb891d00a4a10362da defaultpool f 0 n (3 rows)

本章节介绍管理项目和企业。 创建项目并授权 创建项目 进入管理控制台页面，单击右上方的用户名，在下拉列表中选择“统一身份认证”，进入统一身份认证服务页面。选择左侧导航中的“项目”，单击“创建项目”，选择区域并输入项目名称。 授权 通过为用户组授予权限（包括资源集和操作集），实现项目和用户组的关联。将用户加入到用户组，使用户具有用户组中的权限，从而精确地控制用户所能访问的项目，以及所能操作的资源。具体步骤如下： 在“用户组”页面，选择目标用户组，单击操作列的“权限配置”，进入“用户组权限”区域。在新创建的项目所在行，单击“设置策略”，给对应项目选择需要的云资源权限集。 在“用户”页面，选择目标用户，单击操作列的“修改”，进入修改用户页面。在“所属用户组”区域为用户添加用户组，完成授权过程。 创建企业项目并授权 创建企业项目 进入管理控制台页面，单击右上方的“企业”，进入企业管理页面。选择左侧导航中的“企业项目管理”，单击“创建”，输入名称。 开通了企业项目的客户，或者权限为企业主帐号的客户才可以看到控制台页面上方的“企业”入口。如需使用该功能，请联系技术支持申请开通。 授权 通过为企业项目添加用户组，并设置策略，实现企业项目和用户组的关联。将用户加入到用户组，使用户具有用户组中的权限，从而精确地控制用户所能访问的项目，以及所能操作的资源。具体步骤如下： 1、在新创建的企业项目所在行，单击操作列的“更多 > 查看用户组”，进入“用户组”区域。单击“添加用户组”，在左侧选择目标用户组，移入右侧区域。继续下一步设置策略，选择需要的云资源权限集。 2 、进入“人员管理 > 用户管理”页面，选择目标用户，单击操作列的“加入到用户组”，在左侧区域选择已设置策略的用户组，移入右侧区域，完成授权过程。

本节主要介绍存储资源盘活系统的术语与缩略语。 术语与缩略语 描述 ALUA Asymmetric Logical Unit Access，非对称逻辑单元访问。 CHAP Challenge Handshake Authentication Protocol，质询握手认证协议。 CIDR Classless InterDomain Routing，无类别域间路由，一个用于给用户分配IP地址以及在互联网上有效地路由IP数据包的对IP地址进行归类的方法。 DSM Device Specific Module，设备特定模块。 EC Erasure Coding，纠删码。 interface IP address 接口IP地址，可以通过命令行ifconfig查看。 IQN iSCSI Qualified Name，iSCSI限定名。 iSCSI Internet Small Computer System Interface，互联网小型计算机系统接口。 iSCSI initiator iSCSI发起程序。 IOPS Input/OutputOperations Per Second，每秒读写次数。 I/O Input/Output，输入/输出。 LUN Logical Unit Number，逻辑单元号。 MPIO Multipath I/O，多路径IO管理。 NFS Network File System，网络文件系统。 NTP Network Time Protocol，网络时间协议。 OOS ObjectOriented Storage，天翼云对象存储（经典版）I型。 RAID Redundant Arrays of Independent Disks，独立磁盘冗余阵列。 SAN Storage Area Network，存储区域网络。 SPC SCSI（Small Computer System Interface，小型计算机系统接口） Primary Commands，SCSI基础命令。 SSD Solid State Disk，固态硬盘。 SSL Secure Sockets Layer，安全套接字协议。 Target 存储目标。 数据目录 用于存储HBlock数据的目录。

本章节主要介绍使用Hive的操作指导。 操作场景 该任务指导用户在运维场景或业务场景中使用Hive客户端。 前提条件 已安装客户端，例如安装目录为“/opt/hadoopclient”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 使用Hive客户端 1. 安装客户端，具体请参考安装客户端章节。 2. 用户登录安装客户端的节点。 3. 执行以下命令，切换到客户端安装目录，例如“/opt/hadoopclient”。 plaintext cd /opt/hadoopclient 4. 执行以下命令配置环境变量。 plaintext source bigdataenv 5. 集群默认为安全模式，将实际的keytab文件路径替换以下命令中的/path/example.keytab，执行命令进行用户认证。 plaintext kinit kt /path/example.keytab klist kt /path/example.keytab sed n 4p awk '{print $NF}' 6. 将实际的zookeeper主机名替换以下命令中的zkhostname1、zkhostname2、zkhostname3，执行命令登录Hive客户端。 plaintext beeline u "jdbc:hive2://zkhostname1:2181,zkhostname2:2181,zkhostname3:2181/default;serviceDiscoveryModezooKeeper;zooKeeperNamespacehiveserver2" 说明 beeline连接后可以编写并提交HQL语句执行相关任务。

参数 配置说明 名称 自定义的对象存储的名称，支持中文和英文字符。 存储类型 仅支持选择S3 Compatible。 存储访问地址 对象存储的访问域名endpoint，需要写明协议类型（https/http），如果是URL形式，则不需要包含桶名。 证书校验 用于Console Server访问对象存储时校验认证使用，此配置默认开启。此功能仅在对象存储使用HTTPS协议且拥有对应证书的前提下可开启使用，如果环境不满足要求，则需要关闭此配置项，否则无法正常连接/浏览对象存储。 Access Key 对象存储的访问账户对应的Access Key（即Secret ID）。 Access Secret 对象存储的访问账户对应的Access Secret（即Secret Key）。 大文件分片大小 用于将大文件分成小文件，加速传输效率的一个选项。默认值为：200，单位为MiB。输入框内右侧有增加和减少的按钮。 签名版本 访问对象存储发出请求时使用的签名版本。 地域 对象存储所属地域，如果对象存储有地域区分时需要填写。 访问模式 对象存储提供两种访问模式：Path、Virtual Hosting；在实际配置时建议先使用Path方式。 备注 自定义此对象存储的备注内容。

本章节指导您将使用Java Chassis微服务框架开发并注册在ServiceStage微服务引擎专业版上的微服务应用组件，零代码修改迁移注册到微服务引擎专享版。 前提条件 已创建一个未开启安全认证的微服务引擎专享版 引擎所在虚拟私有云和子网同部署微服务应用组件时所选择的环境中的VPC一致。 操作步骤 1. 登录ServiceStage控制台。 2. 删除已部署的微服务应用组件实例。 a. 选择“应用管理 > 应用列表”。 b. 选择微服务应用所在的应用，单击应用名称，进入应用“概览”页。 c. 在“环境视图”页签下的环境下拉列表，选择部署了微服务应用的“环境”。 d. 选中已部署的微服务应用组件实例，选择“操作 > 删除”。 e. 在弹出的对话框，单击“确定”。 3. 修改部署微服务应用组件的环境。 a. 在左侧菜单栏，单击“环境管理”。 b. 选择部署微服务应用的环境，单击环境名称。 c. 在“资源配置”区域左侧列表，选择“中间件”资源类型下的“微服务引擎 CSE”，单击“纳管资源”。 d. 勾选已创建的微服务引擎专享版，取消勾选微服务引擎专业版“Cloud Service Engine”。 e. 单击“确定”。 4. 重新部署微服务应用组件

./stor lun ls n lunf1 LUN Name: lunf1 (LUN 0) Storage Mode: Local Capacity: 600 GiB Status: Normal iSCSI Target: iqn.201208.cn.ctyunapi.oos:targetf.5(192.168.0.32:3260,Active) Create Time: 20260121 10:00:56 Local Sector Size: 4096 Bytes Data Health: 100% normal, 0% low redundancy, 0% error Write Policy: WriteBack WWID: 33000000030f798a5 UUID: lunuuid7b7f91d8b75e4de2ac69621e4be7a0cf Path: /mnt/storage01 Snapshot Count: 0 Snapshot Size: 0 B (Note: Snapshot size may vary due to LUN issues or parent snapshot deletion.) [root@hblockserver CTYUNHBlockPlus4.0.0x64] ./stor target ls n targetf Target Name: targetf Max Sessions: 2 Create Time: 20260121 10:00:15 iSCSI Target: iqn.201208.cn.ctyunapi.oos:targetf.5(192.168.0.32:3260) LUN: lunf1(LUN 0) Reclaim Policy: Retain Linux客户端 1. 发现lund1和lunf1的Target： plaintext [root@client ~] iscsiadm m discovery t st p 192.168.0.32 192.168.0.32:3260,1 iqn.201208.cn.ctyunapi.oos:targetf.5 192.168.0.32:3260,1 iqn.201208.cn.ctyunapi.oos:targetd.4 192.168.0.32:3260,1 iqn.201208.cn.ctyunapi.oos:targetc.3 2. 登录iSCSI存储。 登录lund1的iSCSI存储，需要进行CHAP认证： plaintext [root@client ~]

本文帮助您快速熟悉删除安全组规则的操作场景和操作流程。 操作场景 当您不再需要某些安全组规则去控制云主机之间的访问控制，您可以删除掉相应的安全组规则并创建新的规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组、安全组规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要操作的安全组，单击安全组名称进入详情页。 6. 在安全组详情界面，选择目标安全组规则，执行删除动作： 批量删除：选择需要删除的多条安全组规则，单击左上方的【删除】按钮，支持批量删除安全组规则。 单次删除：选择需要删除的单条安全组规则，单击目标规则所在行的【删除】按钮，支持逐条删除规则。 7. 确认目标安全组规则选择无误后，单击“确定”按钮。

针对弹性云主机续费情况,为您进行说明,请在续费前务必阅读以下内容。 只有通过实名认证的客户，才可以执行续订操作。 按需资源、包年/包月转按需（已完成转按需或正在进行转按需）的资源不可续订。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 成套订购的套餐类组合产品，续订时套餐内产品整体续订；非成套订购、具有挂载关系的资源，续订时需要对单资源分别续订。 续费后，若实例停机前为运行中，系统会尝试自动重启。如果偶尔出现自动重开机失败的情况，您也可以手动启动实例。若实例停机前为关机，系统将不会自动重启，保持关机。

本节介绍云主机如何使用服务器安全卫士（原生版）免费版防护能力。 服务器安全卫士（原生版）提供基础版、企业版、旗舰版和增值服务（网页防篡改）供用户选择。其中基础版为免费服务，提供漏洞扫描、异常登录、暴力破解等功能，更多详细信息请参见产品规格。 前提条件 已注册天翼云账号并完成实名认证。 方式一：在服务器安全卫士控制台开启防护 用户首次使用服务器安全卫士（原生版）时，需要先开通服务。开通服务后，服务器默认处于“免费版”防护状态。 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 工作负载安全 > 服务器安全卫士（原生版）”，进入服务器安全卫士（原生版）产品详情页，选择“管理控制台”。 3. 进入服务器安全卫士（原生版）管理控制台后，弹出下方“服务开通申请”对话框。 4. 阅读《天翼云服务器安全卫士（原生版）服务协议》后，勾选“我已阅读并同意相关协议《天翼云服务器安全卫士（原生版）服务协议》”，单击“同意”，即可开通服务器安全卫士（原生版）服务。

本节介绍了修改pghba配置的操作场景、约束限制和操作步骤等相关内容。 操作场景 您可以配置指定数据库的pghba，以保证可以正常连接到数据库。 约束限制 变更中的实例，不可进行该操作。 备份恢复的所有实例都不会继承原实例的pghba配置，需要重新配置。 METHED当前只支持配置md5、reject、scramsha256这三种认证方式的一种。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页。 步骤 5 在左侧导航栏，单击“账号管理”，选择“pghba修改”。 系统默认创建了四条规则。 步骤 6 该默认规则可以修改和删除，并支持手动添加新规则。操作完成后，在列表上方单击“提交”，在弹框中，单击“确认”。各配置项说明请参见下表。 说明 提交修改后的新配置仅对新连接生效，对于旧连接，需要您断开已有连接后重新连接才能生效。 表 参数说明 参数 取值示例 说明 优先级 0 表示该条记录的优先级，0优先级最高，表示配置优先级最高。 TYPE host 支持配置以下取值： host：该条记录验证TCP/IP连接，包括SSL连接和非SSL连接。 hostssl：该条记录只验证通过SSL建立的TCP/IP连接。 hostnossl：该条记录只验证通过非SSL建立的TCP/IP连接。 DATABASE all 允许用户访问的数据库，all表示允许用户访问所有数据库。如果配置多个，可通过逗号（,）分隔，配置的数据库必须是已存在的且不能是template0，template1这两个数据库。 USER user0 允许哪些用户访问数据库，填写创建数据库账号中创建的用户名。如果配置多个，可通过逗号（,）分隔。必须是已创建的用户且不能配置成内置用户，如：rdsAdmin, rdsMetric, rdsBackup, rdsRepl, rdsProxy。 ADDRESS 0.0.0.0/0 ::0/0 允许用户从哪个或哪些IP访问数据库，0.0.0.0/0（IPv4地址）和::0/0（IPv6地址）表示允许用户从任意IP地址访问数据库。 说明 修改后不在该网段的IP将会连接不上，请谨慎修改。 MASK 空 掩码。如果ADDRESS为IP地址，可以通过此参数指定IP地址的掩码。 METHOD md5 认证方法，支持： reject scramsha256 md5 步骤 7 除手动添加规则外，还支持通过导入方式批量新增pghba配置信息。 在列表上方单击“导入规则”，在右侧弹窗中配置新规则后，单击“确认”。 新增规则（最低优先级）：在已有规则最后追加新规则，优先级低于已有规则。 新增规则（最高优先级）：在已有规则最前追加新规则，优先级高于已有规则。 覆盖已有规则。 步骤 8 在列表上方单击“恢复默认”，可以恢复到系统默认创建的四条规则。 步骤 9 使用psql命令行连接数据库，测试pghba配置的连通性。 plaintext psql h U p 5432 d 结束

本文帮助您快速熟悉虚拟IP地址查看的操作方法。 操作场景 当您需要查看虚拟IP绑定的弹性公网IP、绑定的服务器类型时，可以通过查看虚拟IP列表，来获取相关信息。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成VPC、子网的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“子网”选项，点击需要查看虚拟IP的子网。 5. 进入子网详情界面，点击“虚拟IP”，即可查看虚拟IP列表。 6. 虚拟IP列表页字段如下： 列表项 备注 虚拟IP地址 已创建的虚拟IP地址 绑定的弹性IP 如未绑定则显示 绑定的服务器类型 云主机/物理机 绑定的服务器名称（网卡） 显示云服务器的名称及网卡的内网IP地址 备注 操作 绑定弹性IP（当处于已绑定时显示“解绑弹性IP”）、绑定服务器、更多（解绑服务器、删除）

本文对停止镜像会话的操作步骤进行说明。 使用场景 当您的镜像会话启动成功后，您需要终止流量的复制时，可选择停止镜像会话。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成镜像会话的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“流量镜像镜像会话”选项。 5. 在镜像会话页面，选择需要停止的镜像会话。 批量停止：选择需要停止的镜像会话，然后单击会话列表左上方的“停止”按钮，支持批量停止会话。 单条停止：选择需要停止的镜像会话，然后单击该会话操作列的“停止”按钮，支持单条停止会话。 6. 点击“停止”按钮后需二次确认，确认是否需要停止目标镜像会话。 注意 停止镜像会话将会终止您的镜像业务，请谨慎操作！

本文帮助您快速熟悉弹性云主机的安全组的查看的操作场景和操作流程。 操作场景 安全组主要是为了限制云主机/物理机的网络访问，保护云主机/物理机的安全。您可以查看云主机/物理机所关联的安全组的相关信息并根据业务需求做相应的调整。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成弹性云主机的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“计算”，单击“弹性云主机”；进入云主机控制台页面。 4. 在“弹性云主机”界面，选择需要操作的云主机，点击名称进入详情页； 5. 在弹性云主机详情页，选择“安全组”页签，查看弹性云主机所属的安全组详情； 6. 支持对安全组进行更改、编辑、删除等操作，同时可以查看安全组规则，对并规则进行添加、删除、修改等操作。

本章节主要介绍翼MapReduce服务的产品优势。 翼MapReduce（简称：“翼MR”）服务，历经集团和云公司的大规模集群和业务打磨，提供全年多级用户SLA保障。 翼MR具有如下优势： 高安全 翼MR服务拥有企业级的大数据多租户权限管理能力，拥有企业级的大数据安全管理特性；使用Kerberos和Ranger安全技术实现全组件的认证和授权；支持库、表、字段级数据权限管控。 优开源 基于Hadoop3.3.3等开源最新组件，保证版本性能的同时，优化了底层资源占用，对任务和引擎进行定制化管控。 高可靠 完成对开源组件100+次的代码及配置优化，实现高SLA；支持节点组采用反亲和技术，虚拟机分布在不同物理机上，以保证服务高可用。 易运维 翼MR提供可视化的大数据集群运维管理平台，全链路可视化操作降低运维门槛，助力实现90%日常运维场景便捷操作，提升运维效率。 低成本 翼MR集群基于多样化的云基础设施，提供了丰富的计算、存储设施的选择，可以用时再创建、用时再扩容，用完就销毁，确保成本最优。

审计参数 auditsystemobject 作用：该参数决定是否对数据库对象的CREATE、DROP、ALTER操作进行审计。数据库对象包括DATABASE、USER、schema、TABLE等。通过修改该配置参数的值，可以只审计需要的数据库对象的操作,在主备强制选主场景建议。 影响：不当修改该参数会导致丢失DDL审计日志，请在客服人员指导下进行修改。 锁管理 updatelockwaittimeout 设置并发更新同一行数据时单个锁的最长等待时间，当申请的锁等待时间超过设定值时系统会报错。0表示不会超时，默认值为2min。 连接与认证 sessiontimeout 表明与服务器建立连接后，不进行任何操作一定时间后超时的限制，0表示关闭超时设置。 failedloginattempts 设置密码错误次数上限，输入密码错误的次数达到该参数所设置的值时，账户将会被自动锁定，配置为0时表示不限制密码输入错误的次数。 passwordeffecttime 设置帐户密码的有效时间，0表示不开启有效期限制功能。 passwordlocktime 设置账户被锁定后的自动解锁时间，单位为天。

创建APIG（专享版）触发器 说明 函数流APIG触发器目前仅支持IAM认证方式。 前提条件：需要预先创建APIG专享版实例。 1. 登录FunctionGraph控制台，进入“函数流”页面。 2. 在“函数流”流程列表页面，选择需要创建触发器的流程，单击“编辑”，进入编辑页面。 3. 单击“开始”节点，在右侧弹出的属性页面添加触发器，触发器类型选择“APIG触发器(专享版）”。 4. 填写触发器配置信息。如下表，带参数为必填项。 APIG触发器（专享版）信息 字段 填写说明 实例 专享版APIG实例名称 分组 API分组相当于一个API集合，API提供方以API分组为单位，管理分组内的所有API。 选择“APIGrouptest”。 发布环境 API可以同时提供给不同的场景调用，如生产、测试或开发。 API网关服务提供环境管理，在不同的环境定义不同的API调用路径。选择“RELEASE”，才能调用。 API类型 API类型： 路径 接口请求的路径。格式如：/users/projects 请求方式 接口调用方式：GET、POST、DELETE、PUT、PATCH、HEAD、OPTIONS、ANY 其中ANY表示该API支持任意请求方法。 5.单击“创建”，完成APIG（专享版）触发器创建。

针对多活容灾服务续费情况，为您进行说明，请在续费前务必阅读以下内容。 只有通过实名认证的客户，才可以执行续订操作。 按需资源、包年/包月转按需（已完成转按需或正在进行转按需）的资源不可续订。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30日到期，10月11日续订1个月，那么资源新的服务开始时间为10月11日，到期时间为11月10日。相关费用自10月11日开始计算。 容灾管理中心支持自动续订，按月购买自动续订周期为1个月，按年购买自动续订周期为1年。 主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备支持自动续订，按年购买自动续订周期为1年。

本节介绍如何修改QoS策略。 操作场景 当您的QoS策略规则不能满足现有业务，需要修改优先级、限速带宽等信息时，您可以对已创建的QoS策略进行修改。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成智能网关硬件版的创建。 您已经完成QoS策略的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“QoS策略”，单击目标QoS策略“操作”列的“编辑”选项，进入编辑QoS策略界面。 5. 在编辑QoS策略界面，您可以修改策略名称、描述、保障带宽峰值、规则的优先级、限速带宽、规则等。 6. 单击“确定”，完成策略修改。 说明 您也可以进入“目标QoS策略详情”页面编辑规则。单击“添加规则”，可添加新的自定义规则；单击目标规则“操作”列的“删除”，或着选择想要删除的规则，单击“删除”，可删除已有规则。

本节主要介绍使用类问题 如何处理开启了安全认证的微服务引擎专享版开启IPv6后服务注册失败？ 创建微服务引擎专享版时，当选择开启了IPv6的VPC网络时，创建引擎支持IPv6网络。当部署服务使用IPv6网段且选择容器部署时，选择的CCE集群需要开启IPv6双栈开关。如果选择的CCE集群资源没有开启IPv6开关，就会导致服务网络不通，报错“java.net.SocketException: Protocol family unavailable”。解决办法： 1、 修改部署了微服务应用的环境，添加开启了“IPv6双栈”开关的CCE集群 2、 重新部署应用 微服务和普通应用有什么不同？ 微服务是一种架构模式，其核心是将一个单体应用分成多个部分进行开发。所以微服务架构的应用程序，其本质上是一个分布式应用。 基于微服务架构构建的应用程序，可以让业务变化更快，整体系统可靠性更高。 开源 ServiceComb 与 CSE 是什么关系？ CSE Java SDK是ServiceComb的商业版本，其大部分组件来自于开源的ServiceComb，同时提供一些公有云对接的能力、安全、分布式数据一致性等商业能力。这部分开发框架代码可以免费使用但是没有开源。

本小节介绍组网相关的常见问题。 IPSEC VPN可以与哪些第三方IPSEC VPN对接? 理论上只要第三方设备是标准的IPSEC VPN协议，可以成功对接，但实际情况下可能受其他因素影响。 IPSEC VPN隧道数是指什么？ 可以理解为一台IPSEC网关或一个IPSEC移动用户占用一个隧道。 多分支机构部署SSL VPN，天翼云有集中管理平台吗？支持的版本有哪些？ 多分支机构组网场景，支持BBC统一集中管理平台，要求SSL VPN版本在M7.6.3/M7.6.3R1上定制支持，在M7.6.8R3特定版本中正式支持（暂未发布）。 对于BBC的版本要求最新版本，可支持如下功能： BBC接入、策略下发、邮件易部署、AutoVPN、SDWAN智能选路、认证中心对接。 系统中“IPSEC VPN 接入授权”是否只要用到IPSec组网就需要配套选择？ 天翼云VPN产品为SSL/IPSec二合一，标配支持IPSec组网功能，一般总部分支场景组网中不需要下单“IPSEC VPN 接入授权”，只有用到PDLAN方式（电脑安装IPSec客户端接入VPN设备，仅支持Windows终端）进行IPSec接入时才需要下单“IPSEC VPN 接入授权”（按照并发接入数量计算）。

加密和解密的API 您可以调用以下API，在本地对数据进行加解密。 API名称 说明 创建数据密钥 创建数据密钥。 解密数据密钥 用指定的主密钥解密数据密钥。 加密本地文件 步骤1 通过控制台，创建用户主密钥。 步骤2 请准备基础认证信息。 ACCESSKEY: 帐号Access Key SECRETACCESSKEY: 帐号Secret Access Key PROJECTID:项目ID KMSENDPOINT: KMS服务访问终端地址。 步骤3 加密本地文件。 示例代码中： 用户主密钥：控制台创建的密钥ID。 明文数据文件：FirstPlainFile.jpg。 输出的密文数据文件：SecondEncryptFile.jpg。 import com.ctyun.sdk.core.auth.BasicCredentials; import com.ctyun.sdk.kms.v1.KmsClient; import com.ctyun.sdk.kms.v1.model.CreateDatakeyRequest; import com.ctyun.sdk.kms.v1.model.CreateDatakeyRequestBody; import com.ctyun.sdk.kms.v1.model.CreateDatakeyResponse; import com.ctyun.sdk.kms.v1.model.DecryptDatakeyRequest; import com.ctyun.sdk.kms.v1.model.DecryptDatakeyRequestBody; import javax.crypto.Cipher; import javax.crypto.spec.GCMParameterSpec; import javax.crypto.spec.SecretKeySpec; import java.io.BufferedInputStream; import java.io.BufferedOutputStream; import java.io.File; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOException; import java.nio.file.Files; import java.security.SecureRandom; / 使用数据密钥（DEK）进行文件加解密 激活assert语法，请在VMOPTIONS中添加ea / public class FileStreamEncryptionExample { private static final String ACCESSKEY " "; private static final String SECRETACCESSKEY " "; private static final String PROJECTID " "; private static final String KMSENDPOINT " "; // KMS服务接口版本信息，当前固定为v1.0 private static final String KMSINTERFACEVERSION "v1.0"; / AES算法相关标识： AESKEYBITLENGTH: AES256密钥比特长度 AESKEYBYTELENGTH: AES256密钥字节长度 AESALG: AES256算法，本例分组模式使用GCM，填充使用PKCS5Padding AESFLAG: AES算法标识 GCMTAGLENGTH: GCM TAG长度 GCMIVLENGTH: GCM 初始向量长度 / private static final String AESKEYBITLENGTH "256"; private static final String AESKEYBYTELENGTH "32"; private static final String AESALG "AES/GCM/PKCS5Padding"; private static final String AESFLAG "AES"; private static final int GCMTAGLENGTH 16; private static final int GCMIVLENGTH 12; public static void main(final String[] args) { // 您在控制台创建的用户主密钥ID final String keyId args[0]; encryptFile(keyId); } / 使用数据密钥加解密文件实例 @param keyId 用户主密钥ID / static void encryptFile(String keyId) { // 1.准备访问认证信息 final BasicCredentials auth new BasicCredentials().withAk(ACCESSKEY).withSk(SECRETACCESSKEY) .withProjectId(PROJECTID); // 2.初始化SDK，传入认证信息及KMS访问终端地址 final KmsClient kmsClient KmsClient.newBuilder().withCredential(auth).withEndpoint(KMSENDPOINT).build(); // 3.组装创建数据密钥请求信息 final CreateDatakeyRequest createDatakeyRequest new CreateDatakeyRequest().withVersionId(KMSINTERFACEVERSION) .withBody(new CreateDatakeyRequestBody().withKeyId(keyId).withDatakeyLength(AESKEYBITLENGTH)); // 4.创建数据密钥 final CreateDatakeyResponse createDatakeyResponse kmsClient.createDatakey(createDatakeyRequest); // 5.接收创建的数据密钥信息 // 密文密钥与KeyId建议保存在本地，方便解密数据时获取明文密钥 // 明文密钥在创建后立即使用，使用前需要将16进制明文密钥转换成byte数组 final String cipherText createDatakeyResponse.getCipherText(); final byte[] plainKey hexToBytes(createDatakeyResponse.getPlainText()); // 6.准备待加密的文件 // inFile 待加密的原文件 // outEncryptFile 加密后的文件 final File inFile new File("FirstPlainFile.jpg"); final File outEncryptFile new File("SecondEncryptFile.jpg"); // 7.使用AES算法进行加密时，可以创建初始向量 final byte[] iv new byte[GCMIVLENGTH]; final SecureRandom secureRandom new SecureRandom(); secureRandom.nextBytes(iv); // 8.对文件进行加密，并存储加密后的文件 doFileFinal(Cipher.ENCRYPTMODE, inFile, outEncryptFile, plainKey, iv); } / 对文件进行加解密 @param cipherMode 加密模式，可选值为Cipher.ENCRYPTMODE或者Cipher.DECRYPTMODE @param infile 待加解密的文件 @param outFile 加解密后的文件 @param keyPlain 明文密钥 @param iv 初始化向量 / static void doFileFinal(int cipherMode, File infile, File outFile, byte[] keyPlain, byte[] iv) { try (BufferedInputStream bis new BufferedInputStream(new FileInputStream(infile)); BufferedOutputStream bos new BufferedOutputStream(new FileOutputStream(outFile))) { final byte[] bytIn new byte[(int) infile.length()]; final int fileLength bis.read(bytIn); assert fileLength > 0; final SecretKeySpec secretKeySpec new SecretKeySpec(keyPlain, AESFLAG); final Cipher cipher Cipher.getInstance(AESALG); final GCMParameterSpec gcmParameterSpec new GCMParameterSpec(GCMTAGLENGTH Byte.SIZE, iv); cipher.init(cipherMode, secretKeySpec, gcmParameterSpec); final byte[] bytOut cipher.doFinal(bytIn); bos.write(bytOut); } catch (Exception e) { throw new RuntimeException(e.getMessage()); } } }

模块 功能说明 说明 应用场景 企业使用远程零信任办公服务，部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源、访问IP、用户粒度、访问时间等进行访问控制，实现更灵活和安全的企业远程办公访问体验。 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 针对横向扫描的行为进行设定不同策略模版，如IP类横向渗透防护、域名类横向渗透防护，支持针对单用户账号，设备，相同公网IP进行不同协议、端口、地址的组合判断其频次，若高于异常则进行阻断或挑战认证。该功能是实时统计，达到阈值立即处置。 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 针对企业管理要求，通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功，进入内网访问，保障其企业安全性。 希望网站防止被恶意篡改页面内容时配置 基于零信任多维度综合分析引擎，根据采集和上报的不同指标数据，对用户访问行为进行可信评估并实时联动处置。 希望网站避免泄露身份证、手机号等敏感信息时配置 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 RBI云端浏览器 RBI云端浏览器是基于零信任网络+远程浏览器隔离技术，以“不让数据流出去、不让坏数据流进来”为宗旨，通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯。

本文介绍多网段互通配置建议及相关问题。 多网段配置建议 由于天翼云侧IPsec连接IKE配置阶段以及IPsec配置阶段的加密算法、认证算法、DH算法均仅支持指定一个值，因此您在对端网关设备上添加VPN配置时，IKE配置阶段以及IPsec配置阶段的加密算法、认证算法、DH算法（PFS）也都只能指定一个值，且需和天翼云侧相同。 如果天翼云侧IPsec连接开启了DPD功能，则对端网关设备需支持标准的DPD功能。 天翼云侧IPsec连接和对端网关设备配置的生存周期需相同。 多网段配置方案推荐 某公司希望将本地数据中心和天翼云VPC通过IPsec VPN连接实现多网段互通：天翼云VPC下的多个网段为10.1.1.0/24和10.1.2.0/24，本地数据中心下的多个网段为192.168.1.0/24和192.168.2.0/24，拓扑图如下： 推荐配置方案如下： 方案 适用的IKE版本 方案说明 方案优势或限制 配置示例 方案一（推荐） IKEv1/IKEv2 本地数据中心和VPC之间建议使用一个IPsec VPN连接进行通信，天翼云侧IPsec连接使用“目的路由”的路由模式，用户侧的网关设备配置源网段为0.0.0.0/0、目的网段为0.0.0.0/0的感兴趣流，然后通过在VPN网关和本地数据中心配置静态路由控制流量转发。 方案优势：后续如果新增或删除待互通的网段，仅需调整路由的配置，无须修改IPsec VPN连接的配置。在您新增或删除待互通的网段时，IPsec VPN连接不会中断，对其余路由的流量也不会产生影响。 方案一配置实例 方案二（次选） IKEv1/ IKEv2 本地数据中心和VPC之间建议使用一个IPsec VPN连接进行通信，将本地数据中心侧和VPC侧待互通的网段分别聚合为1个网段，然后为IPsec连接和对端网关设备配置聚合网段。 方案限制：后续如果新增或删除网段，您可能需要重新指定聚合网段，然后重新对天翼云侧及其用户侧网关设备进行配置，此操作会导致IPsec VPN连接重新协商，造成短暂的流量中断。 方案二配置实例 方案三 IKEv1/ IKEv2 本地数据中心和VPC之间建议使用一个IPsec VPN连接进行通信，IPsec连接及其对端网关设备下配置多个本端网段或对端网段实现多网段互通。 方案限制：后续如果有新增或删除的网段，您需要重新为IPsec连接及其对端网关设备配置感兴趣流网段，此操作会导致IPsec VPN连接重新协商，造成短暂的流量中断。一个IPsec连接支持添加的本端网段的数量最多为5个、支持添加的对端网段的数量最多也是5个。 方案三配置实例