本章节主要介绍翼MapReduce的配置队列操作。 操作场景 根据业务需要，管理员可以通过FusionInsight Manager修改指定租户的队列配置。 前提条件 已添加使用Capacity调度器的租户。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“租户资源 > 动态资源计划”。 默认显示“资源分布策略”。 3. 单击“队列配置”页签。 4. “集群”参数选择待操作的集群名称，然后在指定租户资源名的“操作”列，单击“修改”。 说明 l 在“租户管理”页签左侧租户列表，单击目标的租户，切换到“资源”页签，单击也能打开修改队列配置页面。 l 一个队列只能绑定一个非default资源池。 队列配置参数 参数名 描述 租户资源名（队列） 租户及队列名称。 最大应用数量 表示最大应用程序数量。 AM最大资源百分比 表示集群中可用于运行application master的最大资源占比。 用户资源最小上限百分比（%） 表示每个用户最低资源保障（百分比）。任何时刻，一个队列中每个用户可使用的资源量均有一定的限制。当一个队列中同时运行多个用户的应用程序时，每个用户的使用资源量在一个最小值和最大值之间浮动，其中，最小值取决于正在运行的应用程序数目，而最大值则由此参数决定。比如，假设此参数的值设置为25。当两个用户向该队列提交应用程序时，每个用户可使用资源量不能超过50%，如果三个用户提交应用程序，则每个用户可使用资源量不能超多33%，如果四个或者更多用户提交应用程序，则每个用户可用资源量不能超过25%。 用户资源上限因子 表示用户使用的最大资源限制因子，与当前租户在集群中实际资源百分比相乘，可计算出用户使用的最大资源百分比。 状态 表示资源计划当前的状态，“运行”为运行状态，“停止”为停止状态。 默认资源池 表示队列使用的资源池，默认为“default”。如果需要修改为其他资源池，需要先配置队列容量，请参见配置资源池的队列容量策略。 5. 单击“确定”完成配置。

本章主要介绍翼MapReduce的更新omm用户ssh密钥功能。 操作场景 在安装集群时，系统将自动为omm用户生成ssh认证私钥和公钥，用来建立节点间的互信。在集群安装成功后，如果原始私钥不慎意外泄露或者需要使用新的密钥时，系统管理员可以通过以下操作手动更改密钥值。 前提条件 已停止集群。 修改时禁止同时进行其他管理类操作。 操作步骤 1.以omm用户登录到需要替换ssh密钥的节点。 如果该节点是Manager管理节点，务必在主管理节点上执行相关操作。 2.执行以下命令，防止超时退出。 TMOUT0 说明 执行完本章节操作后，请及时恢复超时退出时间，执行命令 TMOUT 超时退出时间 。例如： TMOUT600 ，表示用户无操作600秒后超时退出。 3.执行以下命令，为节点生成新的密钥： 如果当前节点是Manager管理节点，执行以下命令： sh ${CONTROLLERHOME}/sbin/updatesshkey.sh 如果当前节点是非管理节点，执行以下命令： sh ${NODEAGENTHOME}/bin/updatesshkey.sh 执行上述命令时界面提示“Succeed to update ssh private key.”信息，表示ssh密钥生成成功。 4.执行以下命令将该节点的公钥拷贝到主管理节点： scp ${HOME}/.ssh/idrsa.pub omsip:${HOME}/.ssh/idrsa.pubbak omsip：表示主管理节点IP。 根据提示输入omm用户密码完成文件拷贝。 5.以omm用户登录到主管理节点。 6.执行以下命令，防止超时退出： TMOUT0 7.执行以下命令，切换目录： cd ${HOME}/.ssh 8.执行以下命令添加新的公钥信息： cat idrsa.pubbak >> authorizedkeys 9.执行以下命令移动临时公钥文件到其他目录，例如，移动到“/tmp”目录。 mv f idrsa.pubbak /tmp 10.拷贝主管理节点的authorizedkeys文件到集群内其他节点： scp authorizedkeys nodeip:/${HOME}/.ssh/authorizedkeys nodeip：集群内其他节点IP，不支持多个IP。 11.执行以下命令无需输入密码确认私钥替换完成： ssh nodeip nodeip：集群内其他节点IP，不支持多个IP。 12.登录FusionInsight Manager，在“主页”中单击待操作集群名称后的“ > 启动”，启动集群。

一体机收费模式？ 智算一体机目前主要根据一体机规格数量不同收费，3年服务期价格一体机规格标准资费数量+机柜标准资费（按需）+一体机规格维保标资费数量。后续进行扩容时，同样仅对扩容的服务器节点数量进行独立收费。 注意 交换机设备包含在智算一体机的产品价格中，无需另行配置。 报价需购买一体机3年维保费，后续运维由电信地市公司提供一线运维人员协助（定期巡检、简单硬件运维开关机、插拔盘等）。 报价中不包含网络带宽、IDC服务费用，不含操作系统license费用。 智算一体机维保费用如何收取？ 维保费包含软件维保和硬件维保服务，需要按照维保费的价格进行购买。 3年服务期内是否允许退订？ 因智算一体机机涉及硬件部分，在订购后不允许退订。 3年服务期后产权是否可以归属客户？ 智算一体机默认是以服务模式售卖，产权归属天翼云。 智算一体机最长能提供多久续订服务 初始服务期为3年，服务期结束后客户可继续按年续订，考虑到硬件维保问题，原则上只能续订2年，天翼云回收设备。 但考虑到强制客户进行业务迁移有诸多难点，所以5年后有以下方案可供客户选择： 新订购智算一体机（予以一定折扣），天翼云协助客户进行业务迁移，老设备回收。 按正常续订价格继续续订，天翼云只提供软件运维服务，但不提供硬件维保，最晚续订至第7年，天翼云回收设备。 不再续订，则天翼云立即回收设备。

本文主要介绍如何通过CDN控制台添加加速域名。 前提条件 1. 客户已经搭建完成或已有稳定运营的源站服务器，以及用作加速的域名。 说明 在天翼云CDN控制台添加加速域名时，域名需要满足的条件，详情请见：使用限制的加速域名准入条件和加速域名使用限制。 2. 已经开通CDN加速服务。如未开通，请参考产品开通的文档指引进行开通。 操作步骤说明 1. 登录CDN控制台，选择【域名管理】【域名列表】，您可以在该页面查看已添加的域名信息，包括加速域名、CNAME、加速类型、加速区域、状态、创建时间、标签以及可支持的相关操作等信息。单击【添加域名】。 2. 【加速类型】选择【CDN加速】，并完成基础信息、源站设置、Https配置及证书上传、缓存配置、访问控制等内容配置后，单击【添加域名】。 相关功能说明如下： 类别 功能 说明 对应说明文档 基础信息 加速域名 1.加速域名为需要使用加速服务的域名，具体要求为： 域名类型：支持具体域名（例如，abc.ctyun.cn）或泛域名（例如，.ctyun.cn域名）。 域名长度：长度不超过128字节。 支持的字符：小写英文字母（az）、数字（09）、短划线（），如为泛域名，支持以 开头，例如 .ctyun.cn域名。 天翼云CDN在开通CDN服务后接入域名时，会进行二级域名的信用度检查。例如：您的二级域名在天翼云账号中曾产生过影响信用度的违规行为，如产生大量欠款未结清，二级域名将被列入黑名单，天翼云CDN会禁止新增二级域名黑名单匹配的所有加速域名。例如，ctyun.cn被列入黑名单，A.ctyun.cn、B.ctyun.cn均会被限制新增。 2.在添加加速域名环节，需您先通过域名归属权验证，证明您拥有该域名的使用权，才能完成域名添加。 1.使用限制 2.验证域名归属权 基础信息 加速类型 依据业务特性，选取合适的加速类型。CDN加速产品通常选择加速类型为“CDN加速”。 加速类型 基础信息 加速区域 支持选定期望的加速区域，或切换加速区域，达到变更CDN服务区域的目的。 注意 只有当“加速类型”选定某种加速服务时（如CDN加速），CDN控制台才会展示“加速区域”选项。 加速区域 基础信息 IPv6开关 开启IPv6功能后，您可以在客户端通过IPv6协议访问CDN节点。 IPv6配置 回源配置 源站 支持IP或域名，最多可添加60个。 源站配置 回源配置 回源协议 支持设置CDN在回源时遵循的协议类型。 回源协议 回源配置 回源端口 支持设置您特定的源站端口，HTTP默认80，HTTPS默认443。 回源端口 回源配置 默认回源HOST 当您的源站的同一个IP地址上绑定了多个域名或站点时需配置回源HOST，CDN在回源时根据HOST信息去对应站点获取资源。 默认回源HOST HTTPS配置 HTTPS开关 开启HTTPS协议，将实现客户端和天翼云CDN节点之间请求的HTTPS安全加密传输。 HTTPS配置 HTTPS配置 HTTPS证书上传 您可以选择已经上传过的证书，或者“点击上传”新证书再选用该新证书。 新增证书 HTTPS配置 HTTP2开关 如果您的业务中需要用到多路复用、压缩HTTP头、划分请求优先级和服务端推送等特性，可启用HTTP2。 HTTP2.0配置 HTTPS配置 TLS版本 您可以按需选择具体的TLS版本。 TLS版本配置 HTTPS配置 HSTS开关 您可以按需开启HSTS功能。 配置HSTS 缓存配置 缓存配置 合理配置缓存规则，可以提高您的文件加速效果。 缓存过期时间设置 访问控制 IP黑白名单 通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 IP黑白名单 访问控制 Referer防盗链 配置Referer黑白名单后，CDN会根据名单识别请求身份，允许或拒绝访问请求。允许访问请求，CDN会返回资源；拒绝访问请求，CDN会返回403响应码。 Referer防盗链 访问控制 UA黑白名单 配置UA黑白名单后，CDN会识别HTTP请求中的UserAgent字段中包含的部分信息（标志访客访问时所使用的工具），允许或拒绝访问请求。允许访问请求，CDN会返回资源；拒绝访问请求，CDN会返回403响应码。 UA黑白名单 访问控制 URL黑白名单 配置URL黑白名单后，CDN会识别HTTP请求URL是否为黑白名单，是黑名单则拒绝访问并返回403响应码，是白名单则只允许白名单访问。 URL黑白名单 3. 完成新增域名操作后，可通过【域名列表】查看该域名所处的状态等信息。 4. 【操作】列可查看、编辑域名信息、以及停用/启用域名。 5. 加速域名添加后，会出现在【域名管理】【域名列表】中，状态为正常。如显示审核不通过，您需确认域名备案号，然后重新添加此域名。 注意 添加完加速域名后，天翼云CDN会给您分配对应的CNAME地址，还需要配置CNAME后CDN服务才生效，详情请见：配置CNAME。

本小节介绍态势感知控制台功能。 控制台用来统计分析用户单位的资产情况、所面临的威胁情况、单位整体的安全态势评分、威胁资产、漏洞资产、威胁方、实时消息提示及威胁情报。 控制台首行数字贴：统计资产总量、高危漏洞资产、受攻击资产、失陷主机、勒索软件主机、恶意软件主机、漏洞利用主机、威胁总量。 安全态势评分：是系统基于当前单位的资产情况、漏洞情况、威胁情况量化出来的一个分值。 分值越高，表示系统安全系数越高。 系统的安全级别分为：优、良、中、差、危五个级别。 资产威胁排行：根据最近24小时的异常行为次数统计了风险资产的top5。 资产漏洞排行：根据最近24小时的漏洞数值统计了风险资产的top5。 威胁方排行：根据最近24小时的攻击情况，统计了威胁方top5。 实时地图、实时威胁：展示系统检测到的实时异常行为情况，攻击线表示威胁方针对资产的异常行为，箭头代表了攻击方向。 消息提示：展示系统产生的操作提示，高危漏洞、威胁等检测结果，动态滚动提示。 威胁情报：对接国家中心的威胁预警，包括漏洞公告、恶意代码通告等。 安全资讯：对接国家中心的安全态势报告，包括网络安全信息与动态周报、国家信息安全漏洞共享平台周报、CNCERT互联网安全威胁报告等。

复制策略 通过复制策略，可以快速添加一个和已有策略类似的策略。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页签，在已有策略的操作列单击“复制策略”，进入复制策略页面。 4. 策略配置的详细说明请参考添加策略。 编辑策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页签，在已有策略的操作列单击“编辑”，进入编辑策略页面。 4. 在策略编辑界面，可以修改策略名称、策略应用的对象、检测规则配置对应的处理方式。策略配置的详细说明请参考添加策略。 批量管理策略 支持批量对策略进行管理，包括启用、禁用、删除。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页签，勾选入侵行为名称前的复选框，选择要操作的策略。 4. 单击选择列表上方的“批量”按钮，展开批量操作。 5. 根据需要选择执行的操作，支持批量启用、禁用、删除。

切换镜像 1. 进入“天翼AI云电脑（政企版）”控制台； 2. 点击“计算增强型AI云电脑”，进入“计算增强型AI云电脑”页面； 3. 在需要切换镜像的实例所在行，点击“管理”，选择“切换镜像”操作； 4. 选择执行时间； 立即执行：实例立即执行切换镜像的程序； 暂不执行：用户或管理员选择系统重装操作时，实例才执行切换镜像的程序； 5. 点击“确认”，即完成实例的镜像切换。 注意 镜像切换后，安装在系统盘的程序、数据将清除，数据盘的数据将保留，若非实例故障，通常不建议使用此功能。 安全组管理 1. 进入“天翼AI云电脑（政企版）”控制台； 2. 点击“计算增强型AI云电脑”，进入“计算增强型AI云电脑”页面； 3. 在需要管理安全组的实例所在行，点击“管理”， 选择“安全组管理”操作； 4. 点击新建，选择需要绑定的安全组和对应的网卡，点击“确定”，即完成实例的安全组绑定。 网卡管理 1. 进入“天翼AI云电脑（政企版）”控制台； 2. 点击“计算增强型AI云电脑”，进入“计算增强型AI云电脑”页面； 3. 在需要管理网卡的实例所在行，点击“管理”， 选择“网卡管理”操作； 4. 点击添加网卡，选择 VPC 子网并填写 IP 地址，点击“确定”，即完成实例网卡的创建。

使用对象存储之前,您需要注册天翼云帐号,本文带您了解使用ZOS前需要做的准备事项。 步骤一： 注册天翼云帐号 如果您已有一个天翼云帐号，请跳到下一个步骤。如果您还没有天翼云帐号，请参考以下步骤进行注册。 1. 打开天翼云官方网站www.ctyun.cn，点击右上角的“免费注册”。 2. 根据提示信息填写注册信息。填写邮箱后，设置登录密码，并通过手机验证。 3. 勾选协议，并点击“同意协议并提交”，即可完成账号注册。 步骤二：实名认证 完成注册后登录并进行实名认证。具体操作请参考实名认证。 步骤三：帐号充值 ZOS为客户提供按量计费和资源包计费两种模式。如果您采用按量计费使用ZOS，在登录账号后，您可以点击页面右上角的“管理中心”，然后点击“充值”按钮为您的账号充值，具体充值说明可参考账户充值。 说明 账号余额不足100元或不支持按量付费功能，将无法开通对象存储服务。 天翼云支持在线或转账汇款的方式进行充值。 建议采用在线支付方式充值。 使用专属汇款账号进行汇款，汇款至专属汇款账号，系统会自动匹配您的天翼云账户，预计24小时内充值到您的账户余额。

本章节主要介绍翼MapReduce的管理服务和主机监控功能。 用户可以在日常使用中，可以在MRS Manager管理所有服务（含角色实例）和主机的状态及指标信息： 状态信息，包括运行、健康、配置及角色实例状态统计。 指标信息，各服务的主要监控指标项。 导出监控指标。 说明 用户可以选择页面自动刷新间隔的设置，也可以单击马上刷新。 支持三种参数值： l “每30秒刷新一次”：刷新间隔30秒。 l “每60秒刷新一次”：刷新间隔60秒。 l “停止刷新”：停止刷新。 管理服务监控 1. 在MRS Manager，单击“服务管理”。 服务列表中标题包含“服务”、“操作状态”、“健康状态”、“配置状态”、“角色数”和“操作”。 服务操作状态描述如下表所示。 状态 描述 已启动 服务已启动。 已停止 服务已停止。 启动失败 用户启动操作失败。 停止失败 用户停止操作失败。 未知 后台系统重启后，服务的初始状态。 服务健康状态如下表所示。 状态 描述 良好 该服务中所有角色实例正常运行。 故障 至少一个角色实例运行状态为“故障”或被依赖的服务状态不正常。 未知 该服务中所有角色实例状态为“未知”。 正在恢复 后台系统正在尝试自动启动服务。 亚健康 该服务所依赖的服务状态不正常，异常服务的相关接口无法被外部调用。 服务配置状态如下表所示。 状态 描述 已同步 系统中最新的配置信息已生效。 过期 参数修改后，最新的配置未生效。需重启相应服务生效最新配置信息。 失败 参数配置过程中出现通信或读写异常。尝试使用“同步配置”恢复。 同步中 参数配置进行中。 未知 无法获取当前配置状态。 默认以“服务”列按升序排列，单击 服务 、 操作状态 、健康状态或配置状态可修改排列方式。 2. 单击列表中指定服务名称，查看服务状态及指标信息。 3. 定制、导出监控图表。 在“图表”区域框中，单击“定制”自定义服务监控指标。 在“时间区间”选择查询时间，单击“查看”显示该时间段内的监控数据。 单击“导出”，导出当前查看的指标数据。

参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池id azName 否 String 可用区编码，若资源池无可用则不传 cnxinan12A vpcId 是 String vpc Id subnetId 是 String 子网id zoneId 是 String 区域id，值同regionId zoneType 是 String 是否为蒙贵资源池，1：蒙贵，2：非蒙贵 2 cpuNum 是 String CPU核数，取值范围:[2,4,8,16] 2 memSize 是 String 内存大小，取值范围:[4,8,16,32] 4 flavorType 是 String 云主机规格类型 CPUS7 flavorUuid 否 String 云主机规格id 注：自研池云主机必传此参数 flavorRef 否 String 合营池云主机规格名称，资源池为合营池时必传 c7.large.2 sysVolumeSize 否 String 系统盘大小(G)，取值范围:401000 注：自研池必传此参数 40 version 否 String 云主机销售品版本，取值范围：[v1，v2] 注：自研池时必传 v1 securityGroupIdList 否 String 安全组id，需要在下单前创建好安全组 安全组命名规则：cfwssoxxxxxx 安全组入向规则：指定端口、访问源，TCP协议 安全组出向规则：全放通 securityGroups 否 Array of Objects 安全组id列表 合营池下单传此参数 securityGroups vmName 是 String 云主机实例名称，命名规则：CFWxxxx CFWa4f0 publicIpId 否 String 开通资源所在资源池下未绑定的弹性IP的id 注：自研池传此参数 publicIp 否 String 开通资源所在资源池下未绑定的弹性IP地址 注：合营池传此参数 adminPass 否 String 云主机初始化密码 cpuArch 是 String 云主机cpu架构，取值范围：x86，arm x86 networkCards 是 Array of Objects 网卡信息 networkCards projectId 否 String 企业项目id 自研池必传，无企业项目时传默认值：0 合营池非必填参数 0

本节为您介绍天翼云CTRDS MySQL为源的迁移任务源端配置。 前提条件 （1）天翼云CTRDS MySQL数据库的源端版本为5.7、8.0版本。 （2）天翼云CTRDS MySQL数据库源端已关闭大小写敏感。 （3）天翼云CTRDS MySQL数据库的源端版本为5.7、8.0版本。 （4）目标端数据库的存储空间必须大于源端数据库所占用的存储空间。 使用限制 待迁移的表需具备主键，否则会导致该表无法进行增量迁移和稽核修复； 不支持迁移mysql、informationschema、performanceschema等天翼云CTRDS MySQL系统库； 目标库非自建MySQL的情况下，结构迁移仅支持迁移表结构； 迁移过程中，可迁移源端数据库的表结构、全量数据和增量数据。 源端权限要求 由于权限查询需要设计到mysql.user及mysql.db两张系统表。所以需要先授予用户以上两张表的SELECT权限。 迁移模式 所需权限 基础权限 SELECT 全量迁移 需具备基础权限，且具备REFERENCES, INDEX, SHOW VIEW, TRIGGER和全局级别:PROCESS权限 结构迁移 需具备基础权限，且具备REFERENCES, INDEX, SHOW VIEW, TRIGGER，CREATE ROUTINE, SUPER (根据不同的结构，所需权限也不同) 增量迁移 需具备基础权限，且具备全局级别REPLICATION CLIENT,REPLICATION SLAVE权限，并开启binlog row模式 稽核修复 需具备基础权限 源端配置请参照自建MySQL为源的迁移任务源端配置。

本文介绍了边缘安全加速平台域名管理操作基础配置的使用方法。 使用场景 边缘安全加速控制台域名列表中提供域名的快捷跳转配置功能，可直接在域名列表中选择对应域名、对应配置模块跳转进行配置查看及编辑。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面，选择在目标域名，点击操作栏【基础配置】。 3.点击需要配置的模块，跳转至对应配置页面。 功能模块 说明 回源配置 包括源站配置、回源协议、回源端口、回源HOST、回源URL改写配置项。 请求协议 包括请求协议、证书、强制跳转配置项。 HTTPS配置 包括HTTP2.0配置项。 头部修改 包括HTTP响应头、回源HTTP请求头配置项。 文件处理 包括文件压缩等配置项 IPv6外链改造 包括IPv6外链改造、网站首页IPv6标识。 Websocket 包括Websocket开关。

本小节介绍镜像漏洞。 本章节指导用户查看私有镜像上存在的漏洞，并判断是否需要“忽略”漏洞。 前提条件 已开启容器节点防护。 检测方式 用户开启容器节点防护后，容器安全服务自动执行对Linux镜像的安全扫描。 约束限制 仅支持查看Linux镜像存在的漏洞。 查看私有镜像仓库漏洞 1、登录管理控制台，进入企业主机安全页面。 2、在左侧导航树中，选择“风险预防 > 容器镜像安全”，选择“容器镜像漏洞 > 私有镜像仓库漏洞”页签，查看私有镜像窗口漏洞。 说明 单击风险镜像名称，可查看该风险镜像的漏洞概况，包括漏洞名称、修复紧急度、受影响镜像个数、漏洞描述等信息。 漏洞参数说明 参数名称 说明 操作 漏洞名称 单击，查看漏洞详情，包括漏洞ID、漏洞分值、漏洞披露时间和漏洞描述。 单击漏洞名称，查看该漏洞的基本信息以及受该漏洞影响的镜像列表，具体请参见步骤3。 修复紧急度 提示您是否需要立刻处理该漏洞。 受影响镜像数（个） 显示受该漏洞影响的镜像个数。 解决方案 针对该漏洞给出的解决方案。 单击“解决方案”列的链接，查看修复意见。 3、 单击漏洞名称，查看该漏洞的基本信息及受该漏洞影响的镜像列表。

本小节介绍手动解除误拦截IP。 在30秒内，账户暴力破解次数达到5次及以上，或者3600秒内，账户暴力破解次数达到15次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因账户破解被入。若已拦截IP为合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），您可以参照本章节手动解除拦截IP。 手动解除被拦截的可信IP，仅可以解除本次HSS对该IP的拦截。若再次发生多次密码输错，该IP仍会被HSS拦截。 说明 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 当HSS检测到拦截IP超过默认拦截时间后，主机不再被暴力破解攻击，将会自动解除拦截。 手动解除拦截IP 1、登录管理控制台。、 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、在左侧导航树中，选择“入侵检测 > 事件管理”。 4、在安全告警统计区域中，单击“已拦截IP”。 5、在弹出的“已拦截IP”页面，勾选误禁IP后，单击列表上方的“解除拦截”，解除拦截IP。

配置DNAT可使您的内部网络对外提供服务，本节为您介绍如何添加DNAT。 操作场景 配置DNAT规则后，用户可以通过Internet访问内部网络，从而使内部网络可对外提供服务。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成智能网关的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关实例名称，进入智能网关实例详情页。 5. 单击“NAT配置”页签，单击“添加DNAT规则”，进入配置DNAT规则界面。 6. 在配置DNAT规则页面，根据页面提示配置参数，参数信息如下： 参数 描述 DNAT类型 公网DNAT。 连接类型 所有端口 将任何访问外网IP地址的请求转发到内网目标地址上。 具体端口 对外服务端口：内网地址对外映射后服务端口。取值范围：165535。 内网端口：内网地址提供服务真实端口。取值范围：165535。 协议类型：智能网关支持的协议类型请以控制台为准。 本端私网IP DNAT转换后的IP地址。 7. 点击“确认”按钮。

本文为您介绍如何购买智能网关（vCPE）。 操作场景 您可以在智能网关管理控制台购买智能网关vCPE实例，也可联系客户经理开通vCPE实例。创建后您可以通过vCPE实例管理部署了智能网关vCPE镜像的云主机。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 单击“智能网关”，在智能网关列表页面，单击“创建智能网关”按钮，进入创建智能网关页面。 5. 根据页面提示配置参数，参数信息如下： 参数 描述 例子 实例名称 长度为164字符，以大小写字母或中文开头，可包含数字、"."、""、"" Test01 区域 所属位置信息 中国内地 基础带宽 带宽大小 5Mbps 网关形态 可选择硬件版、软件版 软件版 设备类型 vCPE vCPE 使用方式 可选择单机、双机备份 单机 购买数量 购买智能网关的个数 1 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理 default 6. 单击“提交订单按钮”。

本节介绍如何创建自定义应用。 操作场景 SDWAN服务支持用户自定义应用，您可以在相应设备上开启DPI服务或配置QoS、智能选路策略，从而实现应用级别的流量监控和管理。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“应用管理”，单击 “应用管理 >创建应用”。 5. 根据页面提示填写应用名称、五元组规则、所属应用组，具体参数配置如下： 参数 描述 应用名称 以中英文开头，支持中文、大小写字母、数字、下划线、中划线，长度为2~32个字符。 应用类型 若选择网站域名，则需要输入访问地址，支持网站名称（例如：www.ctyun.cn）或域名格式（例如：ctyun.cn）； 若选择五元组，则需要填写协议类型、源地址、源端口范围、目的地址、目的端口范围等信息，配置源/目的端口范围时，请先指定协议类型（TCP或UDP）；不配置协议或协议类型为ICMP时，不支持配置源/目的端口范围。 所属应用组 选择您新建的应用组。 6. 单击“确定”，完成自定义应用创建。

场景架构 搭配使用产品 在该场景实施建设时，您也可以搭配使用以下产品： 弹性云主机CTECS：用于承载迁移后的业务系统和应用集群。 弹性IP EIP：为迁移后的服务器提供静态公网IP，保证业务的外部访问能力。 对象存储CTOOS：用于存储迁移后的对象数据，满足数据的持久化存储需求。 高密特殊上云迁移 场景说明 政府单位以及部分特殊企业，具有较高的安全需求；需要采取一系列措施来确保数据和信息的安全性。在这种场景下，通常会对内外网进行隔离，限制上云迁移软件的使用。 场景痛点 无法直接互联：由于内网与互联网之间存在隔离，使得传统的迁移产品无法直接与内网进行互通。 安全性需求高：对数据和信息的安全性要求较高，传输过程需要采取加密措施来确保数据的安全传输。 产品优势 自研数据加密传输算法：CMS针对性开发了自研公网数据加密传输算法，提高数据在公网传输的安全性，确保数据不被非法访问。 内网代理跳转转发：CMS能够通过代理对网闸隔离后的内网数据进行跳转转发，实现内外网的数据通信，无需直接打通内网与互联网。 多方面的安全设计：CMS从数据处理、数据传输、连接设计、分权管理等各个角度对安全性进行设计，确保整个迁移过程的安全性，满足高密特殊场景的安全需求。

本章节主要介绍翼MapReduce服务配置服务自定义参数。 MRS各个组件支持开源的所有参数，在MRS Manager支持修改部分关键使用场景的参数，且部分组件的客户端可能不包含开源特性的所有参数。如果需要修改其他Manager未直接支持的组件参数，用户可以在Manager通过自定义配置项功能为组件添加新参数。添加的新参数最终将保存在组件的配置文件中并在重启后生效。 对系统的影响 配置服务属性后，需要重启此服务，重启期间无法访问服务。 配置HBase、HDFS、Hive、Spark、Yarn、Mapreduce服务属性后，需要重新下载并更新客户端配置文件。 前提条件 用户已充分了解需要新添加的参数意义、生效的配置文件以及对组件的影响。 操作步骤 在MRS Manager界面，单击“服务管理”。 1. 单击服务列表中指定的服务名称。 2. 单击“服务配置”。 3. 在“参数类别”选择“全部配置”。 4. 在左侧导航栏选择“自定义”，Manager将显示当前组件的自定义参数。 “参数文件”显示保存用户新添加的自定义参数的配置文件。每个配置文件中可能支持相同名称的开源参数，设置不同参数值后生效结果由组件加载配置文件的顺序决定。自定义参数支持服务级别与角色级别，请根据业务实际需要选择。不支持单个角色实例添加自定义参数。 5. 根据配置文件与参数作用，在对应参数项所在行“名称”列输入组件支持的参数名，在“值”列输入此参数的参数值。 支持单击和增加或删除一条自定义参数。第一次单击添加自定义参数后才支持删除操作。 修改某个参数的值后需要取消修改，可以单击恢复。 6. 单击“保存配置”，勾选“重新启动受影响的服务或实例。”并单击“确定”重启服务。 界面提示“操作成功。”，单击“完成”，服务成功启动。

本文介绍边缘安全加速平台的首页。 简介 边缘安全加速平台服务首页，整体展示所有产品的开通情况、概览指标、计费余量等。 操作步骤 1. 登录 边缘安全加速平台控制台首页 。 2. 首页内容分为：已开通产品、产品优惠、全部产品、帮助文档、产品推荐、AOne助手共六个模块。 内容介绍 消息中心 顶部支持查看平台推送的未读消息，点击则进入消息中心，对历史消息进行浏览，并支持一键已读。 目前支持推送域名配置、规则更新动态、系统公告。 态势大屏 顶部支持查看态势大屏，点击顶部的【态势大屏】，选择”点击前往“后进入对应产品的态势大屏。 已开通产品 具体字段的说明如下： 产品 概览指标 说明 安全与加速 域名防护数 目前已开启防护策略的域名数以及总域名数占比 安全与加速 已订购流量/剩余流量 已订购流量套餐内流量+资源包总量；剩余流量已订购流量中剩余可用流量 安全与加速 已订购请求数/剩余请求数 已订购请求数套餐内动态请求数+动态请求数资源包总量；剩余流量已订购请求数中剩余可用量 边缘接入 今日/本月总流量 域名今日已使用流量和本月已使用流量 边缘接入 今日/本月带宽峰值 域名今日带宽峰值和本月带宽峰值 开发者平台 函数数量 开发者服务中已使用的边缘函数的数量 开发者平台 本月调用次数 本月函数的调用次数 开发者平台 本月出流量 本月已使用函数的出流量大小 零信任 已添加/已购买用户数 统计目前零信任服务中已购买的用户数和已使用的用户数 零信任 套餐剩余流量 零信任套餐内剩余的流量 零信任 本月带宽峰值 零信任本月用户的带宽峰值 终端管理 已用授权点数 终端设备列表中已使用的端点总数 终端管理 总授权额度 终端管理已购买的端点总数 学术加速 用户总数 学术加速已使用的用户数 学术加速 剩余流量 学术加速套餐内剩余的流量

云堡垒机每一个实例对应一个独立运行的云堡垒机运维管理系统环境。 用户首先需要购买一个云堡垒机实例，购买后，系统默认创建一个云堡垒机管理员账号（默认管理员用户admin），可通过该账号单点登录云堡垒机系统；登录实例后，根据提示配置运维管理环境，实现云堡垒机实时远程高效运维管理。 前提条件 已获取管理控制台的登录账号与密码。 已购买至少一个弹性公网IP（Elastic IP，EIP）。 注意 一个弹性公网IP只能绑定一个云资源使用，云堡垒机绑定的弹性IP不能与其他云资源共用。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 单击右上角的“购买堡垒机”，进入产品订购页。 4. 选择“云堡垒机实例”基础信息和资产规格。 参数 说明 计费模式 选择实例计费模式，仅支持“包年/包月”模式。 包年/包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。 部署架构 选择新购堡垒机的部署架构，目前支持：通用性x86、鲲鹏ARM、海光X86、飞腾ARM。 地域/可用区 选择实例应用区域和可用区，即提供云堡垒机服务的区域和可用区。 建议根据待管理ECS、RDS等服务器上资源的区域和可用区选择，可以降低网络时延、提高访问速度。 实例名称 自定义实例名称。 长度为215字符，以字母开头，可包含数字、“.”、“”、“”，不可包含中文。 实例规格 选择实例规格，目前仅支持“单机版”。 版本 支持“高级版”，该版本支持的功能清单请到功能特性查看。 资产规格 选择需要纳管的资产数，堡垒机不同版本支持的资产数略有不同，请根据实际需要选择。 5. 配置云堡垒机实例的网络信息。 参数 说明 虚拟私有云 选择当前区域下虚拟私有云（Virtual Private Cloud，VPC）网络。 若当前区域无可选VPC，可单击“查看虚拟私有云”创建新的VPC。 注意 默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 云堡垒机支持直接管理同一区域同一VPC网络下的ECS等资源，通过堡垒机纳管资源后，可直接访问并管理对应的资源。 订购完成后，虚拟私有云不支持修改。 安全组 选择当前区域下安全组，若无合适安全组可选择，可单击“管理安全组”创建或配置新的安全组。 说明 一个安全组为同一个VPC网络内具有相同安全保护需求、并相互信任的堡垒机资源提供访问策略。当云堡垒机加入安全组后，即受到该安全组中访问规则的保护。 云堡垒机可与资源主机ECS等共用安全组，各自调用安全组规则互不影响。 如需修改安全组，请参见更改安全组。 子网 选择当前VPC内子网。 说明 子网需在VPC的网段内。 弹性IP （可选）选择当前区域下EIP。 若当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。 6. 选择配套的弹性云主机规格，包括云主机规格、系统盘、数据盘。 云主机规格默认选择最低规格，您可在下拉框中选择主机规格或者输入规格名称进行搜索（支持模糊搜索）。 系统盘和数据盘默认选择最低规格，您可根据业务实际需求进行适量提升。 具体云主机规格需求如下： 版本 资产规格 并发数 推荐云主机规格 版本 资产规格 并发数 CPU 内存 系统盘 数据盘 高级版 10资产 10并发上线 2核 8GB 40GB 300GB 高级版 20资产 20并发上限 2核 8GB 50GB 300GB 高级版 50资产 50并发上限 4核 16GB 50GB 500GB 高级版 100资产 100并发上限 8核 32GB 50GB 800GB 高级版 200资产 200并发上限 8核 32GB 50GB 800GB 高级版 500资产 500并发上限 12核 48GB 50GB 2048GB 高级版 1000资产 1000并发上限 16核 64GB 50GB 2048GB 高级版 2000资产 2000并发上限 16核 128GB 50GB 2048GB 高级版 5000资产 2000并发上限 24核 192GB 50GB 4096GB 高级版 10000资产 2000并发上限 32核 192GB 50GB 4096GB 7. 选择“购买时长”，可按月或按年购买云堡垒机。 支持开启“到期自动续费”，当服务到期前，系统会自动按照默认的续订周期生成续费订单并进行续费，无须用户手动续费。 8. 确认参数配置无误后，阅读并同意相关协议，单击“立即购买”。 9. 在支付页面完成付款，返回云堡垒机控制台页面，在“云堡垒机实例”列表下查看新购买的实例。

参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池id azName 否 String 可用区编码，若资源池无可用则不传 cnxinan12A vpcId 是 String vpc Id subnetId 是 String 子网id zoneId 是 String 区域id，值同regionId zoneType 是 String 是否为蒙贵资源池，1：蒙贵，2：非蒙贵 2 cpuNum 是 String CPU核数，取值范围:[2,4,8,16] 2 memSize 是 String 内存大小，取值范围:[4,8,16,32] 4 flavorType 是 String 云主机规格类型 CPUS7 flavorUuid 否 String 云主机规格id 注：自研池云主机必传此参数 flavorRef 否 String 合营池云主机规格名称，资源池为合营池时必传 c7.large.2 sysVolumeSize 否 String 系统盘大小(G)，取值范围:401000 注：自研池必传此参数 40 version 否 String 云主机销售品版本，取值范围：[v1，v2] 注：自研池时必传 v1 securityGroupIdList 否 String 安全组id，需要在下单前创建好安全组 安全组命名规则：cfwssoxxxxxx 安全组入向规则：指定端口、访问源，TCP协议 安全组出向规则：全放通 securityGroups 否 Array of Objects 安全组id列表 合营池下单传此参数 securityGroups vmName 是 String 云主机实例名称，命名规则：CFWxxxx CFWa4f0 publicIpId 否 String 开通资源所在资源池下未绑定的弹性IP的id 注：自研池传此参数 publicIp 否 String 开通资源所在资源池下未绑定的弹性IP地址 注：合营池传此参数 adminPass 否 String 云主机初始化密码 cpuArch 是 String 云主机cpu架构，取值范围：x86，arm x86 networkCards 是 Array of Objects 网卡信息 networkCards projectId 否 String 企业项目id 自研池必传，无企业项目时传默认值：0 合营池非必填参数 0

本章节主要介绍如何创建Elasticsearch集群。 场景描述 当创建的集群类型不同时，需要关注如表1所示的关键参数的配置。 表1 集群创建差异 集群类型 “安全模式” “HTTPS访问” “公网访问” “Kibana公网访问” 非安全模式的集群 关闭 不涉及 不支持启用 不支持启用 安全模式+HTTP协议的集群 开启 关闭 不支持启用 支持启用 安全模式+HTTPS协议的集群 开启 开启 支持启用 支持启用 前提条件 已经完成待创建的Elasticsearch集群规划。 创建集群 1. 登录云搜索服务管理控制台。 2. 在总览页面单击右上角的“创建集群”，进入“创建集群”页面。 或者左侧导航栏单击“集群管理> Elasticsearch”，单击右上角的“创建集群”，进入“创建集群”页面。 3. 在“基础配置”页面，完成Elasticsearch集群的基本信息和资源配置。 表2 Elasticsearch集群的基础配置 参数 说明 计费模式 集群支持包年/包月和按需计费两种模式。 l 包年/包月：根据集群购买时长，一次性支付集群费用。最短时长为1个月，最长时长为3年。如果购买时长超过9个月，建议包年购买，价格更优惠。 l 按需计费：按实际使用时长计费，计费周期为一小时，不足一小时按一小时计费。 订购周期 选择包年/包月模式后，需要选择购买时长。 您可以根据需求，选择是否需要“自动续费”。 当前区域 选择集群的所在区域。 不同区域的云服务产品之间内网互不相通。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 可用区 选择集群工作区域下关联的可用区。 最多支持配置3个“可用区”。 集群类型 选择“Elasticsearch”。 集群版本 选择所需的集群版本，支持的版本以界面可选项为准。 集群名称 自定义集群名称，可输入的字符范围为4～32个字符，只能包含数字、字母、中划线和下划线，且必须以字母开头。 节点数量 集群中的数据节点个数。可选节点数为1~32，建议节点数为3或3以上，以提升集群可用性。 l 当集群未启用Master节点和Client节点时，数据节点将同时承担集群管理、存储数据、提供接入集群和分析数据的职责。此时，为保证集群中数据的稳定性，建议设置节点数量大于等于3个。 l 当集群启用了Master节点但未启用Client节点时，数据节点将用于存储数据并提供接入集群和分析数据的功能。 l 当集群未启用Master节点但启用了Client节点时，数据节点将用于存储数据并提供集群管理功能。 l 当集群同时启用了Master节点和Client节点时，数据节点将仅用于存储数据。 说明 当集群中数据节点的数量和可用区的数量不是整数倍关系时，集群的数据会分布可能会不均匀，从而影响数据查询或写入业务。 CPU架构 支持“X86计算”和“鲲鹏计算”两种类型。具体支持的类型由实际区域环境决定。 节点规格 集群中数据节点的规格。您可以根据需求，选择对应的规格。每个集群只能选择一个规格。 节点存储 当“节点规格”选择的是云硬盘时，需要选择集群数据节点的云硬盘类型。节点存储支持普通I/O、高I/O、超高I/O。 节点存储容量 设置数据节点的存储空间大小，其取值范围与“节点规格”关联，不同的规格允许的取值范围不同。 节点存储容量只支持配置为20的倍数。 启用Master节点 Master节点负责管理集群中所有节点任务，如元数据管理、索引创建与删除、分片分配等。在大规模集群的元数据管理、节点管理、稳定性保障和集群操作控制中发挥着至关重要的作用。 启用Master节点后，在下方选择对应的“节点规格”、“节点数量”和“节点存储”。“节点数量”必须是不小于3的奇数，最多设置9个节点。“节点存储”的存储容量为固定值，存储类型可以根据实际情况选择。 启用Client节点 Client节点负责接收并协调外部请求，如search和write请求，在处理高负载查询、复杂聚合、大量分片管理以及优化集群扩展性方面发挥着重要作用。 启用Client节点后，在下方选择对应的“节点规格”、“节点数量”和“节点存储”。“节点数量”可设置为1~32任意数值。“节点存储”的存储容量为固定值，存储类型可以根据实际情况选择。 启用冷数据节点 冷数据节点用于存储对查询时延要求不高，但数据量较大的历史数据，是管理大规模数据集和优化存储成本的有效方式。 启用冷数据节点后，在下方选择对应的“节点规格”、“节点数量”和“节点存储”。“节点数量”可设置为1~32任意数值。“节点存储”的存储类型和存储容量可以根据实际情况选择。 开启冷数据节点之后，支持切换集群的冷热数据，详情请参见2.7.9 切换Elasticsearch集群冷热数据。 说明 当集群中冷数据节点的数量和可用区的数量不是整数倍关系时，集群的数据会分布可能会不均匀，从而影响数据查询或写入业务。 企业项目 如果开通了“企业项目”，在创建集群时可以给集群绑定一个企业项目。 在下拉框中选择企业项目，单击“查看项目管理”跳转到“企业项目管理”管理控制台，查看已有的企业项目。 4. 单击“下一步：网络配置”。 5. 在“网络配置”页面，完成Elasticsearch集群的网络和安全模式配置。 表3 Elasticsearch集群的网络配置 参数 说明 虚拟私有云 指定集群节点使用的虚拟专用网络，实现不同业务的网络隔离。 单击“查看虚拟私有云”跳转到虚拟私有云列表，查看已创建的VPC名称和ID。 如果没有合适的VPC，建议联系CSS服务管理员新建VPC，具体请参见。 说明 此处选择的VPC必须包含网段（CIDR），否则集群将无法创建成功。新建的VPC默认包含网段（CIDR）。 子网 集群使用子网实现与其他网络的隔离，并独享所有网络资源，以提高网络安全。 选择当前虚拟私有云下集群需要的子网。 当选择的虚拟私有云支持IPv6，则在下拉框中选择是否分配IPv6地址。只有7.6.2和7.10.2版本的Elasticsearch集群支持分配IPv6地址。 安全组 安全组起着虚拟防火墙的作用，为集群提供安全的网络访问控制策略。 选择集群需要的安全组，单击“查看安全组”跳转到安全组列表，可以了解安全组详情。 说明 请确保安全组的“端口范围/ICMP类型”为“Any”或者包含端口9200的端口范围。 如果创建的集群为7.6.2及以上版本，则需要确保同安全组内节点之间的端口全放通。如果无法放通同安全组内节点之间的全部端口，请至少确保9300端口的通信。 放开9300端口通信后，如果集群磁盘使用率较高，可清理过期数据，释放磁盘存储空间。 安全模式 选择是否开启集群安全模式。 l默认开启，则创建的是安全模式的集群。安全模式的集群会对集群进行通讯加密和安全认证。因此必须配置集群的“管理员账户名”和“管理员密码”。 − 管理员账户名 默认为admin。 − 设置并确认管理员密码 。要记住设置的密码，后续访问集群需要输入密码。 l不开启，则创建的是非安全模式的集群。非安全模式的集群无需安全认证即可访问，并且采用HTTP明文传输数据。建议确认访问环境的安全性，勿将访问接口暴露到公网环境上。 HTTPS访问 只有开启集群的安全模式才可以启用HTTPS访问，开启HTTPS访问后，访问集群将进行通讯加密。 说明 安全集群使用HTTPS通信，相比非安全集群使用HTTP通信在读取性能上会降低，预期相对HTTP集群在大并发压力下有20%的性能劣化。如果想要读取性能快，又想要使用安全集群所提供的用户权限隔离资源（索引、文档、字段等）的功能，则可以关闭HTTPS访问。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 公网访问 仅当集群开启了“安全模式”和“HTTPS访问”时，才可以选择是否配置“公网访问”。配置公网访问后，用户可以获得一个公网访问的IP地址，通过这个IP地址可以在公网访问该安全集群。 6. 单击“下一步：高级配置”。 7. 在“高级配置”页面，完成Elasticsearch集群的快照和其他高级配置。 a. 设置集群快照。 系统默认打开集群快照开关，如果您不需要启用自动快照，可以在“集群快照开关”右侧关闭。自动快照会创建委托访问对象存储服务OBS，快照存储在OBS标准存储中需额外计费。 表4 集群快照基础配置 参数 说明 OBS桶 在下拉框中选择存储快照的OBS桶。也可以单击右侧的“创建桶”新建OBS。 创建或者已存在的OBS桶需满足如下条件： l“存储类别”为“标准存储”。 l“区域”须与创建的集群所在区域相同。 备份路径 快照在OBS桶中的存放路径。 备份路径配置规则： l备份路径不能使用符号“:?"<>”。 l备份路径不能以“/”开头。 l备份路径不能以“.”开头或结尾。 l备份路径的总长度不能超过1023个字符。 IAM委托 指当前账号授权云搜索服务访问或维护存储在OBS中数据。如果没有合适的委托可以联系CSS服务管理员新建IAM委托。 所选的IAM委托需满足如下条件： l“委托类型”选择“云服务”。 l“云服务”选择“Elasticsearch”或者“云搜索服务 CSS”。 l必选策略：“Tenant Administrator”或“OBS Administrator” 表5 设置自动创建快照 参数 说明 快照名称前缀 快照名称前缀的长度为1～32个字符，只能包含小写字母、数字、中划线和下划线，且必须以小写字母开头。快照名称由快照名称前缀加上时间戳组成，例如自动生成的快照名称为“snapshot1566921603720”。 时区 指备份时间对应的时区，不支持修改。基于此时区选择备份开始时间。 备份开始时间 指每天自动开始备份的时间，只能指定整点时间，如00:00、01:00，取值范围为00:00～23:00。请在下拉框中选择时间。 8. 单击“下一步：确认配置”，确认完成后单击“立即创建”开始创建集群。 9. 单击“返回集群列表”，系统将跳转到“集群管理”页面。您创建的集群将展现在集群列表中，且集群状态为“创建中”，创建成功后集群状态会变为“可用”。 如果集群创建失败，请根据界面提示重新创建集群。

本小节介绍SSL VPN的应用场景。 企业核心业务安全接入场景 存在问题： 业务系统身份认证方式易被仿造；权限限制不明确，容易被黑客发起跳板攻击；访问业务系统时，终端同时访问互联网，引发泄密问题。 解决方案： 多种认证组合方式，增加身份验证的安全性。 严格限定系统访问权限；使用SSL VPN专线功能，访问内部业务时，同一个终端无法访问互联网，避免泄密事件发生及黑客利用。 第三方用户安全接入场景 存在问题： 接入终端系统、浏览器版本多样及安全状态不可控，除运维人员外，接入用户IT水平普遍不高。 解决方案： 提供更简单的VPN安装、使用环境；对接入终端进行严格安全检查，保证终端的合法合规性；业务系统统一发布、统一运维。 移动办公 存在问题： 出差和在家接入公司业务办公，网络安全状态不受控，数据传输容易被监听。 解决方案： 增加终端用户认证复杂度；严格限定系统访问权限；对接入终端进行严格安全检查；业务系统统一发布、统一运维。

欠费后如何重新启用？ 如果您在15天内充值补足欠款，服务会自动启用。 欠费后，资源进入保留期，您将不能正常访问及使用云服务（资源冻结），但对于您存储在云服务中的数据予以保留。 若您在保留期内充值，充值后系统会自动扣减欠费金额。 若保留期到期您仍未充值，存储在云服务中的数据将被删除、云服务资源将被释放。 包周期到期后如何解冻资源？ 若您在到期后15天内续费，自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用； 表：按需欠费资源冻结处理机制 产品类型 保留期 超过保留期 ::: 计算、存储、网络、数据库类产品 15天 存储数据将被删除、云服务资源将被释放 终端类产品 7天 存储数据将被删除、云服务资源将被释放 是否支持退订？ 如果您有退订的需求，可以进行登录天翼云管理中心或产品控制台进行退订操作。天翼云目前支持7天无理由全额退订和非七天无理由退订以及其他退订，详细规则请参考文档费用中心退订 客户（天翼云用户）可根据需要，在符合天翼云退订规则的前提下，灵活退订资源。目前退订包含七天无理由全额退订和非七天无理由退订以及其他退订。 七天无理由全额退订。新购资源实例（不包含进行了续订、规格升级、扩容、操作系统变更、按需计费转包周期等操作的资源）在满足以下全部条件的前提下，享受七天无理由全额退订： 在资源开通的7天内发起退订； 发起退订操作的账号（“退订账号”）七天无理由全额退订次数不超过3次（每账号享有3次七天无理由全额退订次数）； 同一用户累计使用的七天无理由全额退订次数不超过15次。其中，同一用户是指：根据不同天翼云账号在注册、登录、使用中的关联信息，关联信息相同天翼云判断其实际为同一用户。关联信息举例：同一名称、同一邮箱、同一负责人证件、同一手机号、同一设备、同一IP地址等（包括已注销的账号）。 客户同意天翼云使用上述信息核查同一用户情况 。 成套资源退订属于退订一个资源实例，记为1次退订。

如意宝典产品使用手册 一、产品概述 1. 产品介绍 如意宝典是一款基于检索增强生成（RAG）架构的新一代 AI 知识引擎软件，旨在帮助金融机构（银行 / 保险）、高端制造企业、法律机构、医药企业、教育平台等企业及开发者解决企业知识碎片化查询效率低、知识传承断层与培训成本高、一线岗位客户问题响应慢、非结构化文档解析能力弱且知识时效性差、敏感知识安全管控难等问题。 2. 产品核心能力 产品部署于天翼云弹性云主机集群，利用云平台的计算资源弹性扩展能力，保障高并发场景下的服务稳定性。用户可通过标准化接口实现知识库的一键式云端部署，免除传统系统复杂的部署流程和硬件维护成本。云端服务具备自动容灾和负载均衡能力，在保障高并发场景服务稳定性的同时，显著降低系统运维复杂度。 产品可满足多领域知识服务需求：在智能客服场景中，系统可快速定位历史工单关联信息生成解决方案；面向研发领域，能够精准关联技术文档与代码库提供开发建议；对于企业培训场景，可整合分散的培训资料生成结构化学习路径；在专业咨询领域，支持法律条文与判例库的交叉引用分析，或医疗知识库与诊疗指南的智能匹配，为专业决策提供知识支撑。 同应用分基础型、进阶型、企业版三个规格，不同规格在 CPU 算力、GPU 算力数量及配置上存在差异： 基础型：含 1 台通用型云主机（4 核 CPU、8G 内存、200G 磁盘）+1 台算力服务（32 核 CPU、128G 内存、48G 显存（2A10）、200G 磁盘），部署后端服务 + MySQL 数据库 + 向量数据库 + Redis 进阶型：含 1 台通用型云主机（4 核 CPU、8G 内存、200G 磁盘）+2 台算力服务（单台 32 核 CPU、128G 内存、48G显存（2A10）、200G 磁盘），部署后端服务 + MySQL 数据库 + 向量数据库 + Redis 企业型：含 1 台通用型云主机（8 核 CPU、16G 内存、500G 磁盘）+3 台算力服务（单台 32 核 CPU、128G 内存、48G 显存（2A10）、200G 磁盘），部署后端服务 + MySQL 数据库 + 向量数据库 + Redis

IKE策略 参数 说明 取值样例 认证算法 认证哈希算法，支持的算法：SHA1、SHA256、SHA384、SHA512、SM3（国密型网关使用）。 默认配置为：SHA256 SHA256 加密算法 加密算法，支持的算法：AES128、AES192、AES256、3DES、SM4（国密型网关使用）。 默认配置为：AES128 AES128 DH算法 DiffieHellman密钥交换算法，支持的算法：Group 2、Group 5、Group 14。 默认配置为：Group 5 Group 14 版本 IKE密钥交换协议版本，支持的版本：v1、v2、国密IKE。 默认配置为：v1 v2 生命周期（秒） 安全联盟（SA—Security Associations）的生存时间，单位：秒。 在超过生存时间后，安全联盟将被重新协商。 默认配置为：86400 86400 协商模式 支持Main、Aggressive两种模式。默认配置为：Main Main IPsec策略 参数 说明 取值样例 认证算法 认证哈希算法，支持的算法：SHA1、SHA256、SHA384、SHA512、SM3（国密型网关使用）。 默认配置为：SHA256 SHA256 加密算法 加密算法，支持的算法：AES128、AES192、AES256、3DES、SM4（国密型网关使用）。 默认配置为：AES128 AES128 PFS PFS（Perfect Forward Secrecy）即完美前向安全功能，用来配置IPsec隧道协商时使用。 PFS组支持的算法：DH group 2、DH group 5、DH group 14。 默认配置为：DH group 5 DH group 14 DPD 选择开启或关闭对等体存活检测功能。默认配置为：启用 启用 传输协议 IPsec传输和封装用户数据时使用的安全协议，目前支持的协议： ESP。 默认配置为：ESP ESP 生命周期（秒） 安全联盟（SA—Security Associations）的生存时间，单位：秒。 在超过生存时间后，安全联盟将被重新协商。 3600

说明：本章节会介绍如何通过弹性云主机通过内网连接数据库实例 提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 前提条件 登录弹性云服务器。 通过弹性云服务器连接关系型数据库实例，需要具备以下条件。 该弹性云服务器与目标实例必须处于同一VPC、子网内。 该弹性云服务器必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为默认安全组， 则无需设置安全组规则。 如果目标实例所属安全组非默认安全组，请查看安全组规则是否允许该弹性云服务器访问。具体操作请参考步骤二：设置安全组规则。 如果安全组规则允许弹性云服务器访问，即可连接实例。 如果安全组规则不允许弹性云服务器访问，则需添加安全组规则。该弹性云服务器必须处于目标实例所属安全组允许访问的范围内。 使用客户端连接实例。 您可以在Linux操作系统和Windows操作系统中，使用数据库客户端连接RDS实例。 在Linux操作系统中，您需要在可访问关系型数据库的设备上安装MySQL客户端。建议您下载的MySQL客户端版本应该高于已创建的RDS实例中数据库版本。 在Windows操作系统中，您可以使用任何通用的数据库客户端连接到RDS实例且连接方法类似。 使用MySQLFront连接实例 步骤 1 启动MySQLFront客户端。 步骤 2 在连接管理对话框中，单击“新建”。 图1 连接管理 步骤 2 输入需要连接的关系型数据库实例信息，然后单击“确定”。 图2 添加信息 表1 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的内网地址。查看目标实例的内网地址及端口信息的步骤如下： 1. 登录关系型数据库服务的管理控制台。 2. 选择目标实例所在区域。 3. 单击目标实例名称，进入“基本信息”页面。 4. 在“连接信息”模块，可查看“内网地址”信息。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的账号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 步骤 3 在“连接管理”窗口，选中步骤3创建的连接，单击“打开”，如下图所示。若连接信息无误，即会成功连接实例。 图3 打开登录信息 SSL连接 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的，下载根证书或捆绑包。 步骤 5 将根证书导入弹性云服务器Linux操作系统。 关系型数据库服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 关系型数据库服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 步骤 6 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 表2 参数说明 参数 说明 内网地址。在目标实例的“基本信息”页面，“连接信息”模块的“内网地址”。 数据库端口，默认3306。在目标实例的“基本信息”页面，“连接信息”模块的“数据库端口”。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password:

数据库安全保障是指通过一系列安全措施加强对数据库安全进行防护。数据库安全配置核心在对数据库进行访问控制、数据加密、审计、数据脱敏和数据库备份与恢复等安全管理策略，确保数据的完整性、机密性、可用性、可控性和可审查性。 访问控制 TeleDB支持通过设有用户权限控制和强制访问控制，对不同对象有不同的访问来控制权限，确保数据安全。它主要包括自主访问权限控制和强制访问控制。 自主访问控制 ：TeleDB支持自主赋予不同用户角色操作控制权限和提供对数据库资源（实例、表、视图等）细粒度权限控制能力。 强制访问控制： 提供更细粒度的访问控制，即行级的访问控制。 自主访问控制具体实施方案请参考《TeleDB安全配置手册》中“自主访问控制”章节。 强制访问控制具体实施方案请参考《TeleDB安全配置手册》中“强制访问控制”章节。 数据加密 TeleDB支持通过数据加密来确保只有授权的用户才能访问敏感信息，防止个人信息泄露。数据加密是一种将原始数据转换成不可读格式的过程。通过数据加密可以确保只有授权的用户才能访问存储在设备或数据库中的敏感信息，防止个人信息泄露。TeleDB支持三种数据加密方式，分别为透明存储加密、通信加密和全密态加密。 透明存储加密方式（Transparent Data Encryption, TDE）是一种保护数据库中静态数据的加密技术，使数据在存储时自动加密，有助于防止未授权访问和数据泄露。透明存储加密的特点是数据在加密和解密过程对应用程序透明，该过程中应用程序无需进行任何修改，从而简化了实施流程。加密操作（函数调用）与业务侧解耦合，业务只负责传递原始数据到数据库内核，后续的加密计算在数据库内部完成，从而业务侧操作上无感知。具体实施方案请参考《TeleDB安全配置手册》中“透明存储加密”章节。 通信加密是指基于传输层SSL（Secure Sockets Layer）协议加密的加密方式。SSL加密是一种安全协议，用于在互联网上建立一个加密的链接，来确保数据传输的安全性。具体实施方案请参考《TeleDB安全配置手册》中“通信加密”章节。 全密态加密是一种数据加密技术，‌旨在确保数据在整个生命周期（‌包括传输、‌运算和存储）‌中始终保持加密状态，‌从而保护数据隐私。‌这种加密技术不仅涉及到数据的存储加密，‌还包括数据在处理过程中的加密，‌确保即使在数据传输和计算过程中，‌攻击者也无法获取有效的数据信息。‌全密态加密技术的实现依赖于特定的密钥管理机制，‌包括客户端主密钥（‌CMK）‌和数据加密密钥（‌CEK）‌的使用，‌其中CMK用于加密CEK，‌而CEK则用于加密用户数据，‌从而形成一个完整的数据加密体系。具体实施方案请参考《TeleDB安全配置手册》中“全密态加密”章节。

本章节主要介绍集群互信概述。 功能介绍 默认情况下，安全模式下的大数据集群用户只能访问本集群中的资源，无法在其他安全模式集群中进行身份认证并访问资源。 特性描述 域 每个系统用户安全使用的范围定义为“域”，不同的Manager系统需要定义唯一的域名。跨Manager访问实际上就是用户跨域使用。 用户加密 配置跨Manager互信，当前Kerberos服务端仅支持并使用“aes256ctshmacsha196:normal”和“aes128ctshmacsha196:normal”加密类型加密跨域使用的用户，不支持修改。 用户认证 配置跨Manager集群互信后，两个系统中只要存在同名用户，且对端系统的同名用户拥有访问自身系统中某个资源的对应权限，则可以使用当前系统用户访问远程资源。 直接互信 系统在配置互信的两个集群分别保存对端系统的互信票据，通过互信票据访问对端系统。

OpaPolicy配置说明 字段 类型 必选 说明 workloadSelector WorkloadSelector No 选择策略生效的工作负载。 policy string No Rego策略。 创建OPA策略 1. 进入服务网格控制台，选择 网格安全中心 > OPA策略菜单，选择要配置的命名空间。 2. 选择使用YAML创建。 修改OPA策略 1. 进入服务网格控制台，选择 网格安全中心 > OPA策略菜单，选择要配置的命名空间。 2. 列表页会展示当前命名空间下的OPA策略，找到要修改的策略，选择右侧操作栏的修改，编辑提交即可。 删除OPA策略 1. 进入服务网格控制台，选择 网格安全中心 > OPA策略菜单，选择要配置的命名空间。 2. 列表页会展示当前命名空间下的OPA策略，找到要修改的策略，选择右侧操作栏的删除即可。

本小节介绍容器安全的日志处理机制。 容器安全每隔10分钟更新一次log文件，如果文件大于30M，则将最近30M的日志信息写入对应的日志备份文件，当前日志文件内容清空。 日志备份文件的文件名为日志源文件名加上“ .last ”后缀，如 “shield.log”的备份文件为 “shield.log.last”。