类别 默认用户 初始密码 描述 OMS数据库 ommdba dbChangeMe@123456 OMS数据库管理员用户，用于创建、启动和停止等维护操作 OMS数据库 omm ChangeMe@123456 OMS数据库数据访问用户 DBService数据库 omm dbserverAdmin@123 DBService组件中GaussDB数据库的管理员用户 DBService数据库 hive HiveUser@ Hive连接DBService数据库用户 DBService数据库 hue HueUser@123 Hue连接DBService数据库用户 DBService数据库 sqoop SqoopUser@ Loader连接DBService数据库的用户

本文将介绍如何来创建自动快照策略。 操作场景 创建自动快照策略，支持设置自动快照的创建时间、保留规则等信息。 约束与限制 单个天翼云账号在一个地域可保留的自动快照策略数量为20个。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 单击左侧导航栏中的“云硬盘快照”，进入云硬盘快照页面。 5. 在此页面点击“自动快照策略”，进入自动快照策略控制台。 6. 在自动快照策略控制台，单击页面右上角“创建自动快照策略”按钮， 进入“创建自动快照策略”页面。 7. 根据界面提示，配置自动快照策略的基本信息。各配置说明如下： 参数 说明 名称 自定义所创建的自动快照策略名称。 只能由英文字母、数字、下划线、中划线组成，不能以特殊字符、数字开头。 是否启用 选择启用/停用策略。 开关控件为蓝色时表示启用，为灰色时表示停用。默认启用。 重复日期 创建自动快照的日期，支持在周一至周日之间选择一个或多个日期。 创建时间 一天内创建自动快照的时间点，支持在00:00~23:00共24个整点中选择一个或多个时间点。 注意 若云硬盘自动快照策略、云硬盘备份策略和云主机备份策略的备份时间重叠，可能导致备份时间有重叠的备份任务失败而影响数据安全性。请您在设置时预留充足间隔，保障所有备份任务顺利执行。 保留规则 设置快照保留天数，永久保留或自定义保留天数。 选中永久保留后，系统不会主动删除自动快照，直到用户手动删除或者由于配额原因被系统自动删除。 选中自定义保留时间后，您可指定该快照的保留时间，到期后系统将自动删除快照。支持165536天，默认选择30天。 企业项目 为策略设置企业项目。 8. 确定云硬盘快照的配置信息后，点击“确定”，完成创建自动快照策略。若您不想继续创建自动快照策略，点击“取消”，自动快照策略不会被创建。 9. 在云硬盘自动快照策略详情页面，可查看新创建的策略信息。

本文介绍如何设置MTU以确保数据包的正常传输。 VPN网关只支持传输已经分片的数据包，不支持对数据包分片及数据包分片重组。在您使用IPsec VPN时，IPsec协议会对数据包进行加密，加密过程会扩大数据包长度，扩大后的数据包长度可能会超过网络中设置的最大数据传输单元MTU，影响数据包的正常传输。 MTU配置原则 本文以图中场景为例说明MTU配置原则。本地数据中心已与天翼云VPC建立了IPsec VPN连接。在客户端访问VPC资源时，数据包将被本地网关设备加密并被传输至互联网，经过互联网中的网络设备（如图中路由器2和路由器3）传输至天翼云VPN网关。 数据包从客户端传输至VPN网关的过程中，数据包的大小将会受到以下三种MTU的限制： 用户MTU 用户MTU即客户端和本地网关设备之间所有网络设备接口MTU的最小值。该MTU会限制客户端发送的数据包的大小。 如图中用户MTU取标记为1的接口中MTU的最小值。 公网接口MTU 公网接口MTU即本地网关设备连接VPN网关的公网接口上的MTU。该MTU会限制被加密后的数据包的大小。 如图中公网接口MTU取标记为2的接口的MTU。 路径MTU 路径MTU即互联网中所有网络设备接口MTU的最小值。该MTU会限制被加密后的数据包的大小。 您可以向互联网厂商咨询路径MTU。通常以太网的路径MTU默认为1500字节。 如图中路径MTU取标记为3的接口中MTU的最小值。 为确保数据包被正常传输，您需要在本地数据中心配置用户MTU和公网接口MTU，使上述三种MTU满足以下关系： 用户MTU的最大值min{公网接口MTU,路径MTU}101

本节介绍了限制子账户只能看到具有权限的数据库清单的相关内容。 操作场景 使用存储过程，将某个自定义数据库的权限授予由rdsuser账户创建的指定子账户，并限制该账户对其他数据库的可见性。限制之后，子账户对不具权限的数据库不可见，也无法对其进行相关操作。 前提条件 成功连接RDS for SQL Server实例。关于连接关系型数据库实例， 约束 对于系统库，不可通过此存储过程进行授权给子账户。如果您试图为子账户授予系统库权限，系统将会有如下提示： plaintext Error DatabaseName. Please can not include in ('msdb','master','model','tempdb','rdsadmin') . 对于系统管理员账户，不可通过此存储过程进行授权。如果您试图为管理员账户授予任意数据库权限，系统将会有如下提示： plaintext Error Login. Please can not include in ('rdsadmin','rdsmirror','rdsbackup','rdsuser') . 若某个账户已经是指定数据库的用户，不可再通过此存储过程对该账户授予该数据库的权限。否则，系统将会有如下提示： plaintext The proposed new database owner is already a user or aliased in the database. 这种情况下，您可以通过管理账户“rdsuser”将该子账户从该数据库中删除之后，再通过执行此存储过程进行授权。 若某个账户具有Create Any Database权限，则此存储过程对该账户不生效。 操作步骤 执行以下命令，进行限制子账户查看数据库权限。 EXEC rdsadmin.dbo.rdsAUTHORIZATIONDatabaseForLogin ‘@DBName’, ‘@Login’; @ DBName：要授予权限的数据库。 @ Login：要授予权限的账户。 为“user1”账户授予数据库“testDB1”的权限，示例如下： EXEC rdsadmin.dbo.rdsAUTHORIZATIONDatabaseForLogin ‘testDB1’, ‘user1’; 授权成功之后，user1将具备testDB1的权限，对其可见并可对其进行操作；并且对其余无权限数据库保持不可见且不可操作。

主机和云服务的日志数据上报至云日志服务后，默认存储时间为30天，您在创建日志组时，可以对日志存储进行设置（1365天）。超出存储时间的日志数据将会被自动删除，对于需要长期存储的日志数据（日志持久化），云日志服务提供转储功能，可以将日志转储至对象存储服务（OBS）中长期保存。 说明 日志转储功能只能拷贝已有日志，不会删除日志。根据配置的存储时间可定时清理日志文件，不会影响转储后的日志。

本章节为您介绍数据库安全网关的资产管理功能 在数据库安全网关中，资产是指系统需要防护和管理的数据库系统。资产管理是系统核心功能之一，涵盖了对各种数据库类型的安全监控与防护操作。 手动添加资产 1.登录数据库安全网关。 2.在左侧菜单栏选择“资产 > 资产管理”进入“资产管理”页面 ，单击页面的“新增”按钮。 注意 如果资产是集群，需要先在资产管理页面添加 集群的所有资产，包括每个节点的地址 和端口，以及ScanIP（集群扫描IP）等信息，然后切换到“集群配置”页面进行集群设置。 3.在弹出的“新增资产”对话框中，填写相关信息。 配置项 说明 类型 选择数据库的类型，系统支持数据库类型如下： 通用数据库：Oracle(包含RAC)、MySQL、MSSQL、Sybase ASE、DB2、Informix、Oscar、达梦(DM)、Cache、PostgreSQL、Teradata、人大金仓(Kingbase) 、GBase、MariaDB、Hana、MongoDB、GaussDB、GreenPlum、TiDB、Vertica、GoldenDB、UXDB、Doris、虚谷、HifhGo、OceanBase 大数据：HBase、Hive、Elasticsearch、Impala、SparkSQL、Clickhouse、Presto、Tdh、Odps 其他：HTTP、Trino CTcloud：TeledbMySQL、TeledbPostgreSQL 说明 若您选择的资产类型为：Oracle、Hive、Trino，需要额外配置相关参数。 操作系统 设置资产所在主机的操作系统。 IP/域名 设置资产所在主机的IPv4 或者IPv6 或者域名。 端口 设置资产原生端口号。 代理端口 设置访问资产的反向代理端口。 防护模式 入侵检测模式：对数据库进行入侵检测，可以产生审计、告警、脱敏、运维日志，但不会对请求进行阻断和脱敏； 入侵防护模式：对数据库进行入侵检测和防护，除可以生成审计、告警、脱敏、运维日志外，还可以对请求进行阻断和脱敏。 默认数据源 默认关闭，可启用。 支持Oracle、MySQL、MSSQL、DB2、达梦(DM)、PostgreSQL、MariaDB、UXDB、Hive、Tdh等。 默认数据源用途： 1. 新增敏感数据扫描任务时，自动带出数据源信息，减少用户操作步骤； 2. 安全规则配置“影响行数”维度，该规则匹配依赖资产的默认数据源。 数据库名 填写数据库名。（MSSQL、DB2、PostgreSQL、UXDB等） 用户名 填写数据库的用户名。 密码 填写数据库的密码。 测试 测试数据库的连通性。 4.配置完成后，单击“测试”进行资产连接测试，若正常则会提示连接成功。 5.单击“保存” ，弹出是否需要立即进行敏感数据扫描的提示框： 若选择“确定” ，则跳转到“资产 > 敏感数据 > 敏感数据扫描”页面进行下一步。 若选择“取消” ，则停留在资产管理页面。

成功购买数据库安全审计实例后，您可以查看实例信息，开启、重启或关闭实例。 前提条件 重启实例和关闭实例前，请确认实例的状态为“运行中”。 开启实例前，请确认实例的状态为“已关闭”。 查看实例信息 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 实例列表”，进入实例列表界面。 5. 查看数据库安全审计实例信息，相关参数说明如下所示。 说明 单击实例名称，可以查看该实例的概览信息。 在列表右上方“全部状态”下拉列表框中选择实例的状态，或输入实例名称的关键字，可以搜索指定的实例。 实例信息参数说明 参数名称 说明 实例名称/ID 实例的名称和ID。实例ID由系统自动生成。 实例规格 实例的规格。 状态 实例当前的运行状态，包括： 运行中、创建中 、故障、已关闭、已冻结、公安冻结、违规冻结、未实名认证冻结、合作伙伴冻结、创建失败 已关联数据库/数据库总数 实例的已关联的数据库和实例可以支持关联的数据库总数。 操作 对该实例进行相关操作： 配置、审计规则、开启、关闭、重启、查看详情、删除 根据需要，您还可以对实例执行以下操作： 重启 在需要重启的实例所在行的“操作”列，选择“更多 > 重启”，在弹出的对话框中，单击“确定”，可以重启该实例。 开启 在需要开启的实例所在行的“操作”列，选择“更多 > 开启”，在弹出的对话框中，单击“确定”，可以开启该实例。 关闭 在需要关闭的实例所在行的“操作”列，选择“更多 > 关闭”，在弹出的对话框中，单击“确定”，关闭该实例。关闭实例后，系统将停止对该实例上的数据库进行安全审计。 删除 在需要删除创建实例失败所在行的“操作”列，选择“更多 > 删除”，在弹出的对话框中，单击删除，删除创建失败的实例。实例删除后，实例列表不在显示该条实例。 查看详情 在创建实例失败所在行的“操作”列，选择“更多 > 查看详情”，在弹出的对话框中，可查看实例创建失败详情。

用户配置重定向（个人配置文件漫游规则） 前置条件：用户配置重定向需先创建漫游盘，并分配给对应的桌面类型，漫游策略才能生效，请前往策略管理漫游盘管理创建漫游盘； 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“策略管理”，点击“基础策略管理”，进入“基础策略管理”页面； 3.单击“新建策略”，进入新建策略页面，切换至“用户配置重定向”； 4.点击“新建配置路径”，进入新建配置路径页面； 5.可选择“常用路径”或“自定义路径”； 6.如选择自定义路径方式，可根据需求配置路径的类型、重定向路径，以及可以添加排除路径 注意： （1）重定向/排除关系：包含关系，比如重定向路径是abcd，排查路径必须在主路径下，ab... （2）优先级：排除路径优先级高于重定向路径。 （3）文件不支持排除路径。 （4）不支持根目录重定向，如C：Windows，D:b。 7.点击“确定”完成重定向配置路径，策略分配后，客户端桌面重连生效。 环境设置（强制性配置文件规则） 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“策略管理”，点击“基础策略管理”，进入“基础策略管理”页面； 3.单击“新建策略”，进入新建策略页面，切换至“环境设置”； 4.根据需求选择具体的环境设置，包括环境变量、执行脚本、注册表、文件夹、文件； （1）环境变量： （2）执行脚本： （3）注册表： （4）文件夹： （5）文件： 5.每种环境设置均可以通过点击“新增”，进行新增配置，如新增环境变量，根据需求设置名称，配置变量值，点击”“确认”完成配置。 注意 环境设置中的所有设置，均需要点击“启用”才开始生效（默认是关闭）。

本章节为您介绍数据安全专区的产品优势。 多维度的数据资产快速梳理 快速识别网络中的个人信息、重要数据、行业敏感数据，掌握数据的分布情况、存储方式和数据量级，生成数据保护对象清单 。 采用自动发现、人工录入等方式，对数据库、数据表、数据字段进行管理，支持对敏感数据分类分级自动梳理 。 采用自动发现、人工录入等方式，对应用系统资产、API接口进行管理，并形成数据链路刻画 。 采用自动发现、人工录入等方式，对网络主机资产信息进行统一梳理 。 丰富的数据源支持 系统适配关系型数据库、国产数据库、MPP数据库、数仓、大数据组件等合计超40+数据源类型，同时支持word、pdf、txt等非结构化数据的分类分级。 基于业务系统的数据流动全链路监控 围绕业务场景开展的数据流动安全监管，将业务场景分解到业务系统上的数据流和数据节点进行细粒度的监控，实现基于业务规则的数据流动安全监管。包括全局性敏感数据的违规访问、调用、泄露等；基于业务特性的数据异常情况监控。 智能灵活的分析建模引擎 规则引擎内置 200+ 模型规则，涵盖常见安全攻击行为特征；支持规则模型、统计模型、关联模型以及智能AI模型，并可通过图形化方式进行配置编排，可通过不同规则组合以满足复杂的告警场景需求。

在云主机上搭建网站对外提供Web服务 安全组默认拒绝所有来自外部的请求，如果您在云主机上搭建了可供外部访问的网站，则您需要在安全组入方向添加对应的规则，放通对应的端口，例如HTTP(80)、HTTPS(443)。 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 80 IP地址：0.0.0.0/0 入方向 1 允许 IPv4 自定义TCP: 443 IP地址：0.0.0.0/0 注意 端口80、443需要在天翼云备案中心完成备案后，才可放开流量通路。 使用ping命令验证网络连通性 ICMP协议用于网络消息的控制和传递，因此在进行一些基本测试操作之前，需要开通ICMP协议访问端口。比如，您需要在某个人PC上使用ping命令来验证云主机的网络连通性，则您需要在云主机所在安全组的入方向添加以下规则，放通ICMP端口。 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 ICMP：全部 IP地址：0.0.0.0/0 入方向 1 允许 IPv6 ICMP：全部 IP地址：::/0 实现不同安全组的实例内网网络互通 同一个VPC内，位于不同安全组内的实例网络不通。如果您需要在同一个VPC内的实例之间共享数据，比如安全组sgA内的云服务器访问安全组sgB内的MySQL数据库，您需要通过在安全组sgB中添加一条入方向规则，允许来自安全组sgA内云主机的内网请求进入。 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 3306 安全组：sgA 注意 如果您通过中间网络实例在不同子网的实例之间转发流量，由于存在中间网络实例，此时安全组规则的源地址选择实例所在的安全组时，无法放通中间网络实例转发的流量，源地址必须设置成中间网络实例的私有IP地址或者子网网段。

针对一站式智算服务平台退订操作,为您进行说明。 服务开通后7天内如未使用则支持退订，退订后即可关闭。 平台开通的实例资源数据退订后保留15天，如15天期间届满仍未续订和续费，云公司有权在前述期间届满时立即释放客户的实例资源，并删除实例数据。 退订地址：我的—费用中心—订单管理—退订管理。 另外，您可通过天翼云官网工单或者客服电话【4008109889】沟通申请退款，款项会原路退回。

本文为您介绍在弹性云主机上部署Java Web环境的操作流程。 Tomcat是一个被广泛使用的Java Web应用云主机。本文介绍了在天翼云弹性云主机上部署Java Web环境的操作步骤。首先需要下载部署Java Web环境所需的安装包，并将安装包上传至云主机，然后设置弹性云主机安全组规则，再安装并配置相关软件，完成开发环境的配置。 适用对象：本文档适用于使用天翼云弹性云主机部署Java Web环境的用户。 相关软件及工具 软件包名称 获取方式 jdk tomcat 说明 上表中为jdk和tomcat软件包官方获取地址，您还可以参考其他开源镜像地址获取安装包。 工具名称 说明 获取方式 PuTTY 跨平台远程访问工具。用于在软件安装过程中在Windows系统上访问云主机。 WinSCP 跨平台文件传输工具。用于在Windows系统和Linux系统间传输文件。 说明 上表中为PuTTY和WinSCP工具包官方获取地址，您还可以参考其他开源镜像地址获取安装包。 必备事项 1. 创建弹性云主机，且弹性云主机已绑定弹性IP。 2. 登录弹性云主机，执行如下命令，新建jdk目录。 plaintext cd /home/ mkdir webDemo cd webDemo/ mkdir jdk 3. 登录弹性云主机，执行如下命令，新建tomcat目录。 plaintext cd webDemo/ mkdir tomcat 4. 您可以选择将安装包下载至本地后使用文件传输工具将安装包上传至云主机。或者选择使用wget命令直接下载安装包至云主机。 方法一 使用文件传输工具上传安装包至云主机。 使用WinSCP工具上传jdk软件包至云主机jdk文件夹。 使用WinSCP工具上传tomcat软件包至云主机tomcat文件夹。 方法二 使用wget命令直接下载安装包至云主机。 执行如下命令，进入jdk目录。 plaintext cd /home/webDemo/jdk 执行如下命令，下载jdk软件包。 plaintext wget 执行如下命令，进入tomcat目录。 plaintext cd /home/webDemo/tomcat 执行如下命令，下载tomcat软件包。 plaintext wget nocheckcertificate 说明 本文使用的云主机以天翼云CentOS 7.3 64bit操作系统云主机为例。 JDK软件包以jdk17linuxx64bin.tar.gz安装包为例。 Tomcat以apachetomcat8.5.78.tar.gz安装包为例。 如果当前操作步骤中下载链接过期，您可以参考表1查询其他版本jdk和tomca下载地址，或者使用其他开源镜像地址获取安装包。

二、测试过程 2.1 环境变量配置 进入部署过程中启动的容器内，使用以下命令配置环境变量。 2.2 导入数据集 导入文本推理数据集：testdatagsm8k.jsonl 示例： {"question": " 你是中国电信星辰语义大模型，英文名是TeleChat，你是由中电信人工智能科技有限公司和中国电信人工智能研究院（TeleAI）研发的人工智能助手。n n你是一位擅长文本生成的智能助手，能够从多轮对话中理解上下文关系并提炼出用户的完整问题。请按照以下步骤处理用户的对话内容：nn1. 【识别上下文关系】：判断多轮对话问题之间是否存在关联。如果对话之间存在关联，则返回true，如果对话之间相互独立，则返回false。用【hasContext】来表示。n2. 【关联对话轮次】：将相互关联的对话轮次分组，并存储在列表中。每组应该包含相关的对话轮次。如果没有上下文关系，则直接返回空列表，用【mergeRound】来表示。n3. 【总结用户问题】：根据每组轮次的内容，概括总结出用户的完整问题。注意总结时仅关注该组的对话内容，尽量足够精简不要重复，用【contextAnswer】来表示。n4. 【构建JSON】：返回一个JSON字符串，格式如下：n {n "hasContext": "表示是否存在上下文关系", n "mergeRound": "表示需要合并的轮次",n "contextAnswer": "表示概括总结的完整问题"n }nn下面是 【河北省】 用户的多轮对话内容：n第1轮对话：我的宽带协议到期，8月1日。再续协议怎么办理？n第2轮对话：你查一下我用好多年了nn【输出结果】：n ", "answer": "{"hasContext": "true", "mergeRound": [[1, 2]], "contextAnswer": ["宽带到期怎么续约"]}"}

DRDS支持通过隐式序列功能（创建表时添加AUTOINCREMENT关键字，启用隐式序列功能）为列设置自增属性，能够自动为列填充全局唯一值。 背景信息 什么是隐式序列 在传统的单库环境中，AUTOINCREMENT是用于生成主键自增值的常用机制，能够保证主键在单实例数据库中的唯一性。然而，在分布式数据库DRDS中，数据被分片存储在多个存储节点中，原有的自增机制将无法保证全局唯一性，因此DRDS引入了基于全局序列的隐式序列机制，用于替代传统的AUTOINCREMENT功能。 隐式序列与AUTOINCREMENT的关系 在DRDS中，虽然通过添加AUTOINCREMENT关键字实现自增，但实际不是调用数据库原生的自增逻辑，而是通过隐式的全局序列实现唯一值生成。 注意 隐式序列由系统自动维护，无需用户手动干预。 隐式序列的生命周期 隐式序列由系统在建表时自动创建，并在DROP表时自动删除。 注意 不推荐用户手动创建或删除隐式序列，可能会造成ID冲突或数据一致性问题。 HINT路由下的行为差异 当使用HINT路由 + INSERT语句时，DBProxy无法改写SQL，因此不会自动填充自增ID： 注意 不推荐在需要使用AUTOINCREMENT功能的表中使用HINT路由。 以/+TDDL:node('group1')/ INSERT INTO test(value) VALUES(1); 为例，该命令将直接透传到物理库。若该表中的自增列未显式给值，数据库可能会使用默认值（例如0），若该值不唯一，则会报错（例如Duplicate entry）。

参数 是否必填 参数类型 说明 示例 下级对象 dimension 是 String 本参数表示维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“ ecs name 是 String 规则名 testname evaluationCount 否 Integer 连续出现次数，默认值：0 0 metric 是 String 指标名 cpuutil status 否 Integer 本参数表示告警规则启用状态，默认值：0。取值范围：0：启用。1：停用。根据以上范围取值。 0 operator 是 String 注意：一键告警规则的告警类型（alarmType）为事件类型（event）时，不需要传入此参数；为其它告警类型时，是必填参数。 本参数表示比较符。默认值le。取值范围：eq：等于。gt：大于。ge：大于等于。lt：小于。le：小于等于。根据以上范围取值。 eq value 是 String 注意：一键告警规则的告警类型（alarmType）为事件类型（event）时，不需要传入此参数；为其它告警类型时，是必填参数。 此参数表示告警阈值，可以是整数、小数或百分数格式字符串 20 unit 否 String 单位 %

本节为您介绍权限管理的概念。 在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用 统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。关于IAM的详细介绍，请参见IAM产品介绍。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。云助手相关的系统策略包含如下： Admin：云助手的管理者权限，包含云助手所有控制权限（不含订单类权限）。 Viewer:云助手的观察者权限，包含云助手的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

本章节主要介绍翼MapReduce的导出主机信息操作。 操作场景 管理员可以在FusionInsight Manager导出所有主机的信息。 操作步骤 1. 登录FusionInsight Manager。 2. 单击“主机”。 3. 在右上角的下拉菜单中选择所需主机的类型，也可以通过“高级搜索”进一步筛选所需主机。 4. 单击“导出全部”，在“保存类型”选择“TXT”或“CSV”。单击“确定”开始导出。

使用场景 当您创建完成创建DHCP选项集后，需要将DHCP选项集中的配置下发到某个VPC时，需要将DHCP选项集和VPC进行关联。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 已经创建完成DHCP选项集。 已经创建完成VPC。 使用限制 一个VPC只能关联一个DHCP选项集。 一个DHCP选项集可以关联10个VPC。 DHCP选项集关联VPC后仅对普通子网下的弹性云主机和弹性裸金属服务器生效，对于标准裸金属子网下的标准物理机不生效。 DHCP选项集关联VPC后对云服务器的生效策略如下： 实例类型 生效策略 存量云主机实例（DHCP选项集与VPC关联前，VPC中已经创建的云主机实例） 执行以下任意操作后，云主机实例会更新DHCP选项集中的DHCP选项配置： 重启云主机实例 重启DHCP Client服务 重启网络服务。 新建云主机实例（DHCP选项集与VPC关联后，VPC中新创建的云主机实例） 无需任何操作，新建云主机实例会自动同步DHCP选项集中的DHCP选项配置。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，本文我们以某可用区资源池为例。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在网络控制台界面，选择DHCP选项集，单击进入DHCP选项集列表页。 5. 找到对应的DHCP选项集，点击操作中“关联VPC”选项，进入关联VPC弹窗。 6. 选择对应的VPC后，点击“确定”即可将DHCP选项集和VPC关联。

云企业路由器 在云间高速（标准版）产品中，是区域（资源池）范围内的核心网络设备，承担当前区域内流量和跨域间流量的转发，同时支持自定义路由表和自定义路由策略。 网络实例 在云间高速（标准版）产品中，可以无缝接入云间高速的网络实例，包含用户购买的天翼云产品：虚拟私有云（VPC）、云专线、天翼云SDWAN、VPN连接（CTYUN4.0资源池）和云桌面网络。 跨域互联带宽包 购买云间高速（标准版）产品，同时需要购买各个跨域网络实例的互通网络带宽，所有的跨域互通网络实例使用的带宽总和即为带宽包。 跨域连接 云间高速（标准版）实例中，任意两个云企业路由器实例间建立的连接称为跨域连接。跨域连接的带宽需从互联带宽包中分配，且带宽为双向。所有跨域连接带宽的总和不得超出其所属带宽包的容量。请根据实际的业务网络需求，提前合理规划跨域连接的带宽。 路由表 云间高速（标准版）产品实例中，云企业路由器通过配置在其上的路由表进行流量转发，每个云企业路由器包含一张默认路由表，支持创建多自定义路由表和自定义路由，并支持通过路由表关联转发和路由学习功能定义互通、隔离，满足网络多样化的需求。 说明 支持自定义路由表能力的资源池：CTYUN4.0资源池。

应用亲和性参数名称 应用亲和性参数含义 K8s命名空间 应用所在的K8s命名空间。 拓扑域 K8s中一种表示“空间位置”关系的概念，目前微服务云应用平台只支持节点。 选择器 需要在每个选择器下配置应用标签名、操作符号和应用标签值。 权重 在尽量满足的应用亲和性规则中才需要配置，权重范围为1100，默认为1。

本章节主要介绍翼MapReduce组件Trino如何配置数据源。 增加数据源，在Trino安装目录配置对应的catalog文件即可，以MySQL数据源为例： 1. 创建${trinohome}/etc/catalog/mysql.properties。 2. 编辑mysql.properties： connector.namemysql connectionurljdbc:mysql://127.0.0.1:3306 connectionusertest connectionpasswordtest 说明 具体的数据源配置可参考Trino相应官方文档。

本节为您介绍智能网关实例业务变配的操作步骤。 您可以依据业务需求为智能网关实例进行带宽升配、带宽临时升配（订购弹性带宽包）或者设备升级。 带宽升配 为智能网关实例升配带宽前，您需要了解以下信息： 变配限制 生效时间 计费影响 适用场景 修改智能网关实例的带宽峰值时，只支持选择比当前实例更高的带宽规格。 通常升配后的实例带宽会立即生效。但可能会因为网络等原因有一定延迟，请您耐心等待。 为实例升配时需要支付变配后与变配前带宽峰值所需费用的差额。 当智能网关实例的带宽峰值不满足您的业务需求时，您可以进行升配。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“智能网关”，单击目标智能网关实例“操作”列的“升配”； 3. 根据页面提示，选择“带宽升配”，用户可调大带宽值； 4. 提交订单，支付成功后，完成带宽升配。 设备升配 为智能网关实例升配设备前，您需要了解以下信息： 变配限制 生效时间 计费影响 适用场景 升级智能网关实例的设备时，只支持硬件设备从单机升级到双机备份。 设备升配后，需要沟通新设备发货及装维相关事宜，请您耐心等待。 为实例升配时需要支付变配后与变配前单个设备所需费用的差额。 当业务需要更高的可用性时，您可以进行设备升配，建立设备主备关系。

参数 说明 区域 终端节点服务所在区域。不同区域的资源之间内网不互通。请选择靠近您的区域，可以降低网络时延、提高访问速度。 虚拟私有云 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，此处仅支持设置为“接口”类型。 连接审批 连接审批控制的是终端节点与终端节点服务的连接是否需要审批，审批权由终端节点服务控制。可选择开启或关闭连接审批。若选择开启连接审批，则与本终端节点服务连接的终端节点需要进行审批 端口映射 终端节点服务与终端节点建立连接关系，进行通信，协议可选择TCP。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。服务端口和终端端口取值范围1～65535，单次操作最多添加50条端口映射。 说明： 通过“终端端口 → 服务端口”的方式进行访问。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。 云服务器：作为服务器使用。此处选择“弹性负载均衡”。 说明： 安全组添加的规则是白名单。终端节点服务配置的后端资源所在安全组，需要添加源地址为198.19.128.0/20的白名单入方向规则 选择负载均衡 “后端资源类型”选择为“弹性负载均衡”时，会出现该参数，在下拉列表中选择需要提供服务的负载均衡，只支持弹性负载均衡。 说明： 弹性负载均衡作为终端节点服务的后端资源后，不支持获取真实访问客户端的地址。

参数 说明 区域 终端节点服务所在区域。不同区域的资源之间内网不互通。请选择靠近您的区域，可以降低网络时延、提高访问速度。 虚拟私有云 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，此处仅支持设置为“接口”类型。 连接审批 连接审批控制的是终端节点与终端节点服务的连接是否需要审批，审批权由终端节点服务控制。可选择开启或关闭连接审批。若选择开启连接审批，则与本终端节点服务连接的终端节点需要进行审批 端口映射 终端节点服务与终端节点建立连接关系，进行通信。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。服务端口和终端端口取值范围1～65535，单次操作最多添加50条端口映射。 说明： 通过“终端端口 → 服务端口”的方式进行访问。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。 云主机：作为服务器使用。 物理机：作为服务器使用此处选择“弹性负载均衡”。说明安全组添加的规则是白名单。终端节点服务配置的后端资源所在安全组，需要添加源地址为198.19.128.0/20的白名单入方向规则 选择负载均衡 “后端资源类型”选择为“弹性负载均衡”时，会出现该参数，在下拉列表中选择需要提供服务的负载均衡，只支持弹性负载均衡。说明弹性负载均衡作为终端节点服务的后端资源后，不支持获取真实访问客户端的地址。

本文为您介绍创建轻量型云主机的相关操作。 前提条件 完成账号注册与实名认证。 操作步骤 1. 登录天翼云官网，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择华北2。后续您也可以在创建页面对“地域”进行修改。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机界面，单击“创建轻量型云主机”。 5. 选择计费模式，轻量型云主机目前仅支持包年/包月计费模式。 6. 根据业务需求选择“规格套餐”。 套餐类型 说明 基础型 提供合适的云资源能力，适用于小型网站软件及应用，如官网页面、论坛、测试环境等。 进阶型 提供常用的云资源能力，适用于中小型网站，软件、应用及系统，如电商。 随心购 您可以根据业务的实际需要自行搭配各项云资源规格。 关于轻量云主机规格的详细说明，具体可参见实例套餐。 7. 根据业务需求选择“镜像”，天翼云提供包括CentOS、Ubuntu、Windows三种类型的系统镜像。关于各类镜像的详细说明及支持的镜像版本，具体可参见支持的镜像。 8. 您可根据业务需求购买数据盘（可选）。 说明 数据盘非套餐内资源，单独进行收费。 可挂载数量：单台轻量型云主机最多支持5块数据盘。 数据盘类型：普通IO、高IO、通用SSD、超高IO高类型。 云盘容量大小范围为：1032768（GB）。 9. 在“创建密码”单击“立即创建”进行密码设置。您也可以保持默认的“稍后创建”选项，后续再进行“重置密码”操作，重新设置密码。 说明 密码规则：8～30 个字符，必须同时包含三项（大写字母、小写字母、数字、 ()~!@

本章节主要介绍翼MapReduce服务如何缩容task节点。 当task节点组内的资源超出您的业务需求时，您可以使用节点缩容功能减少实例数量。 约束与限制 1. V2.20版本起支持task节点缩容功能。 2. 当前仅支持对按需计费模式的task节点进行缩容，包年/包月集群暂不支持该方式缩容。 3. 仅支持对状态为“运行中”的集群进行节点缩容操作。 注意 节点缩容生效后，会立刻销毁对应的主机与硬盘，无法恢复，请慎重操作！缩容前请确保已备份或迁移所需数据。 操作步骤 1. 登录翼MapReduce管理控制台。 2. 从“我的集群”中 ，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 选择“更多”，点击“节点缩容”按钮。 4. 翼MR支持“指定数量”与“指定节点”两种方式进行缩容: 指定数量：缩容方式选择“指定数量”后，请设置需要缩容的节点数量，系统将基于节点状态，优先选择状态异常的节点进行缩容。 指定节点：缩容方式选择“指定节点”后，可以在节点列表中勾选需要缩容的节点。 5. 指定缩容的数量或勾选指定节点后，点击“下一步”，系统将对缩容节点进行校验。为避免影响业务运行，缩容后需保障剩余节点上的角色实例数满足组件最小使用需求。 服务名称 角色实例 校验规则 YARN NodeManager 缩容后，至少保有3个NodeManager角色实例 Flume Flume 缩容后，至少保有1个Flume角色实例 Trino TrinoWorker 缩容后，至少保有1个TrinoWorker角色实例 6. 校验时，若识别到即将缩容的节点上存在运行中的任务，请及时检查是否需要更换缩容的节点，若选择正确，提前做好备份和迁移工作。建议完成上述工作后，停止运行中的任务，并观察影响，确认无误后再行缩容。 7. 缩容节点前，请阅读协议并确认是否对列表中的节点进行缩容，勾选协议后，“确认销毁”按钮亮起，点击后将立刻执行销毁动作，请谨慎操作。 8. 缩容成功后，缩减的节点将不在节点管理页面内展示。

通过控制台设置 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”或“工作负载 > 有状态负载 StatefulSet”。 步骤 2 在无状态工作负载或有状态工作负载列表中，单击工作负载名称进入详情页，在“调度策略”页签下，单击 “自定义调度策略”。 步骤 3 在节点亲和性设置中，依据节点中的标签进行业务需求的设置。 须知：节点亲和性调度支持必须满足和尽量满足（硬约束Required/软约束Preferred），以及可以设置相应的匹配关系（In, NotIn, Exists, DoesNotExist, Gt, and Lt）： 必须满足：即硬约束，设置必须要满足的条件，对应于requiredDuringSchedulingIgnoredDuringExecution，您可以添加多条必须满足的规则，多条规则间是一种“或”的关系，即只需要满足一条规则即会进行调度。 尽量满足：即软约束，设置尽量满足的条件，对应于preferredDuringSchedulingIgnoredDuringExecution，您可以添加多条尽量满足的规则，无论是满足其中一条或者是都不满足都会进行调度。另外可以为规则设置权重值，权重值越高会被优先调度。 选择器：对应于matchExpressions，您可以添加多条选择器，多条选择器之间是一种“与”的关系，即需要满足全部选择器才能依据此条规则进行调度。 标签名：对应节点的标签，可以使用默认的标签也可以用户自定义标签。 匹配关系：即操作符，可以设置六种匹配关系（In, NotIn, Exists, DoesNotExist. Gt, and Lt）。In和NotIn操作符可以添加单个值或者多个value值（多值使用；进行划分），Exists和DoesNotExist判断某个label是否存在，不需设置value值。Gt和Lt判断label的值大于或者小于某个值（value值要求整数）。 通过kubectl命令行设置 本节以nginx为例，创建节点的亲和性。 前提条件 已有使用nginx容器的工作负载和节点。 操作步骤 使用内置节点标签kubernetes.io/hostname，并添加相应的节点，同时设置操作符为In，最后单击“确定”提交。 设置后的工作负载节点亲和性所得的yaml如下： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx namespace: default spec: replicas: 2 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: imagePullSecrets: name: defaultsecret affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: kubernetes.io/hostname operator: In values: 192.168.6.174

类别 默认用户 初始密码 描述 OMS数据库 ommdba dbChangeMe@123456 OMS数据库管理员用户，用于创建、启动和停止等维护操作。 omm ChangeMe@123456 OMS数据库数据访问用户。 DBService数据库 omm dbserverAdmin@123 DBService组件中GaussDB数据库的管理员用户。 hive HiveUser@ Hive连接DBService数据库用户。 hue HueUser@123 Hue连接DBService数据库用户。 sqoop SqoopUser@ Loader连接DBService数据库的用户。 ranger RangerUser@ Ranger连接DBService数据库的用户。

本页为您介绍WPS云文档天翼云版产品退订模式 该产品不支持退订，如遇特殊情况，可联系服务商或者官方客服进行解决。

采用防护手段、甚至业务不运行为什么仍触发DDoS封堵？ DDoS 基础防护主要针对从公网发往 IP 所在资源池的 DDoS 攻击进行防护。若您在资源池内部署了防火墙、安全组等具备一定防护能力的产品，其防护作用范围仅限于资源池内部，无法抵御来自公网的 DDoS 攻击对 IP 所在的资源池公网网络造成的影响。 即使 EIP 绑定的 ECS 云主机关机，只要 IP 已在公网暴露，仍可能因业务竞争等原因遭受来自公网的 持续DDoS 攻击。上述资源池内部防护措施均无法拦截攻击者从公网直接针对 IP 及资源池发起的 DDoS 攻击，因此无法避免 IP 触发 DDoS 封堵。 若 DDoS 基础防护提供的免费基础DDoS防护阈值无法满足业务需求，您可选择天翼云或其他第三方DDoS高防产品防护您在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类 DDoS 高防产品的防护节点部署在 IP 所在资源池外部，可将流量在资源池外的其他地域的高防资源池进行清洗，将清洗后的干净流量回注业务 IP及其所在资源池，从而不会影响资源池网络稳定，不会因超出DDoS防护阈值触发封堵，以此实现更高级别的攻击防护。

采用防护手段、甚至业务不运行为什么仍触发DDoS封堵？ DDoS 基础防护主要针对从公网发往 IP 所在资源池的 DDoS 攻击进行防护。若您在资源池内部署了防火墙、安全组等具备一定防护能力的产品，其防护作用范围仅限于资源池内部，无法抵御来自公网的 DDoS 攻击对 IP 所在的资源池公网网络造成的影响。 即使 EIP 绑定的 ECS 云主机关机，只要 IP 已在公网暴露，仍可能因业务竞争等原因遭受来自公网的 持续DDoS 攻击。上述资源池内部防护措施均无法拦截攻击者从公网直接针对 IP 及资源池发起的 DDoS 攻击，因此无法避免 IP 触发 DDoS 封堵。 若 DDoS 基础防护提供的免费基础DDoS防护阈值无法满足业务需求，您可选择天翼云或其他第三方DDoS高防产品防护您在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类 DDoS 高防产品的防护节点部署在 IP 所在资源池外部，可将流量在资源池外的其他地域的高防资源池进行清洗，将清洗后的干净流量回注业务 IP及其所在资源池，从而不会影响资源池网络稳定，不会因超出DDoS防护阈值触发封堵，以此实现更高级别的攻击防护。

本小节介绍微隔离防火墙业务拓扑使用说明。 工作组 拓扑中每个椭圆形标识代表一个工作组，类似于传统安全中的安全域、业务组等概念。 每个工作组有13个标签，分为位置标签、应用标签、环境标签，可以通过这三个标签来标识一个工作组，例如：“北京电商生产”、“天翼云web测试”等。 单击工作组，可查看该组的基本信息。基本信息页面可以修改该工作组的标签及策略状态。 注意 标签的修改会导致策略的变化，在防护状态下，谨慎修改。 针对工作组修改策略状态时，会改变改组内所有工作负载的策略状态。 点击详细信息，可进入工作组的详细页面。 双击工作组，可展开此工作组，并查看其中工作负载。 工作负载 工作组中每个小方块代表一个工作负载（工作负载可以是物理服务器、虚拟机或容器）。 单击工作负载，可查看该工作负载的基本信息，拓扑中也会高亮显示与此工作负载有访问关系的其他工作负载。 在工作负载基本信息框中可快速修改该工作负载角色及策略状态。重新统计按钮可清空所有针对此工作负载的访问连接记录。 支持在基本信息框中直接新建角色。