此小节介绍计费概述。 通过阅读本文，您可以快速了解云堡垒机CBH的计费模式、计费项、续费、欠费等主要计费信息。 计费模式 云堡垒机提供包年/包月计费模式。包年/包月是一种预付费模式，即先付费再使用，按照订单的购买周期进行结算，因此在购买之前，您必须确保帐户余额充足。关于包年/包月计费模式的详细介绍请参见计费说明。 计费项 云堡垒机的计费项只由性能规格费用组成。了解每种计费项的计费因子、计费公式等信息，请参考计费项。 如需了解实际场景下的计费样例以及各计费项在不同计费模式下的费用计算过程，请参见计费样例。 续费 包年/包月云堡垒机在到期后会影响云堡垒机的正常运行。如果您想继续使用云堡垒机，需要在规定的时间内为云堡垒机进行续费，否则云堡垒机实例将会自动释放，数据也可能会丢失。续费包括手动续费和自动续费两种方式，您可以根据需求选择。了解更多关于续费的信息，请参见续费概述。 欠费 在使用云服务时，帐户的可用额度小于待结算的账单，即被判定为帐户欠费。欠费后，可能会影响云服务资源的正常运行，需要及时充值。详细介绍请参见欠费说明。 停止计费 当云服务资源不再使用时，可以将他们退订或删除，从而避免继续收费。详细介绍请参见停止计费。

专属云（存储独享型）应用广泛，本文介绍存储专属云的典型应用场景。 搭配计算专属云 在安全、性能及可靠性要求极高的应用场景，如金融、政府等行业，通过物理资源物理隔离和网络资源逻辑隔离的结合，可以有效地保障业务的安全运行。此外，数据多副本保存技术和多种安全防护产品的应用，可以进一步提升系统的稳定性和安全性。 存储专属云可以与计算专属云中的云主机进行对接，以满足高性能、稳定性以及数据安全和监管等方面的业务需求。专属云服务不仅提供了高度的数据安全性，还具备了强大的扩展性和灵活性，可以满足不同行业和企业的个性化需求。 混合负载 针对专属客户的需求，开发人员在公有云上独立划分计算或专区，确保客户的数据在独享的计算或存储物理服务器中，与其他公有云客户不共享物理服务器。客户可以将专属云建设在公有云资源池上，专属云（存储独享型）服务支持多并发、高带宽应用场景，可以同时支持HPC、数据库、Email、OA办公、Web等多个应用混合部署。 与其他公有云服务相比，专属云具有更高的灵活性和可控性，客户可以根据自己的需求进行定制和扩展，无需担心与其他客户共享资源的问题。同时，专属云还具有更好的安全性和可靠性，可以为客户提供更加可靠的计算和存储服务。

途径 说明 【媒体库】入口 使用云点播控制台操作。 云点播截图、转码API/SDK 调用云点播API打水印。

本节介绍了动态获取IPv6地址的操作场景、约束与限制、操作步骤、Windows 2012操作系统、Windows 2008操作系统、Linux操作系统(自动配置启用IPv6)、Linux操作系统(手动配置启用IPv6)、设置云主机获取IPv6地址超时时间。 操作场景 IPv6的使用，可以有效弥补IPv4网络地址资源有限的问题。如果当前云主机使用IPv4，那么启用IPv6后，云主机可在双栈模式下运行，即云主机可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址，这两个IP地址都可以进行内网/公网访问。 按照约束与限制中的网络环境要求创建的云主机，有些不能动态获取到IPv6地址，需要进行相关配置才行。如果云主机使用的是公共镜像，则支持情况如下： Windows公共镜像默认已开启IPv6动态获取功能，无需配置，文中的Windows 2012操作系统和Windows 2008操作系统部分供您验证、参考。 Linux公共镜像开启动态获取IPv6功能时，需要先判断是否支持IPv6协议栈，再判断是否已开启动态获取IPv6。目前，所有Linux公共镜像均已支持IPv6协议栈，并且Ubuntu 16操作系统已默认开启动态获取IPv6。即Ubuntu 16操作系统无需配置，其他Linux公共镜像需要执行开启动态获取IPv6的操作。 约束与限制 请确保云主机所在的子网已开启IPv6功能。 不同区域、不同可用区支持IPv6双栈的云主机规格不同。ECS是否支持IPv6双栈，请选择区域、可用区后，以控制台的显示为准。 如上图查询支持IPv6的ECS规格所示，当ECS规格列表中包含“IPv6”参数，且取值为“是”时，表示该ECS规格支持IPv6。 请确保创建云主机时已选择“自动分配IPv6地址”。 选择“自动分配IPv6地址” 云主机启动之后动态插拔的网卡不支持IPv6地址动态获取功能。 仅弹性云主机支持IPv6双栈，物理机不支持。 同一个网卡上，只能绑定一个IPv6地址。

本文介绍了如何查看轻量型云主机的监控信息。 操作场景 在购买轻量型云主机后，您可以在云主机“监控”详情页对云主机CPU使用率、内存使用率进行监控，让您便捷直观了解轻量型云主机的资源使用情况、业务的运行状况。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择上海36。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机列表界面，单击目标主机“实例名称”进入目标主机详情页。 5. 单击“监控”页签，可看到当前云主机监控指标详情页。您可以单击对应指标便捷查看云主机使用情况。 6. 在此您可以单击左侧监控日期，滑动选择想要查看的指标时段。 7. 或单击右侧预置时段，根据业务需求选择查看不同时间颗粒度监控指标。

公网NAT网关、弹性IP、VPC内弹性云主机与VPC是什么样的关系？ 公网NAT网关、弹性IP、VPC内弹性云主机与VPC之间的关系如下： 1. VPC提供安全隔离的用户网络环境，在VPC内，用户可以自由配置子网、路由表、安全组等网络资源。 2. 弹性IP是一种公网IP资源，可以与云主机绑定，为云主机提供公网访问能力。弹性IP可以解绑并重新绑定到其他资源，例如公网NAT网关上，实现公网IP的灵活分配。 3. 公网NAT网关可以为VPC内的弹性云主机实例提供公网访问能力。 4. VPC内弹性云主机是一种计算服务，可以为用户提供可扩展的、安全的、高性能的虚拟服务器。ECS实例可以与弹性IP绑定，以实现公网访问。也可通过NAT网关访问公网。 总结：公网NAT网关用于提供虚拟私有云访问互联网的能力，弹性IP为云主机提供公网访问能力，而VPC内弹性云主机则是用于提供计算能力的虚拟服务器。在实际应用中，这些资源可以相互配合，实现虚拟私有云中的云主机实例安全访问互联网的需求。 公网NAT网关如何实现高可用性？ 天翼云公网NAT网关具备高可用性，支持秒级故障恢复收敛。 天翼云公网NAT网关部署在高可用物理服务器上，采用主备集群模式部署，集群内状态数据实时同步，单网元发生故障时，系统会自动切换业务到集群内备用网元，业务秒级切换，支持用户业务快速恢复。

本节介绍了弹性云主机登录前准备类相关问题。 远程登录时需要输入的帐号和密码是多少？ 登录云主机的用户名和密码： Windows操作系统用户名：Administrator Linux操作系统用户名：root 如忘记登录密码，可通过 “ 重置密码 ” 功能设置新密码。 远程登录忘记密码，怎么办？ 如果在创建弹性云主机时未设置密码，或密码丢失、过期，请参考“在控制台重置弹性云主机密码”重新设置密码。 说明 弹性云主机系统密码涉及到客户重要的私人信息，提醒您妥善保管密码。 使用创建时的用户名和密码无法SSH方式登录GPU加速云主机 处理方法 先使用VNC方式远程登录弹性云主机，并修改配置文件，然后再使用SSH方式登录。 1. 进入弹性云主机运行页面，单击“远程登录”。 2. 自动跳转至登录页面，登录root用户，输入密码。 说明 密码为创建弹性云主机时设置的密码。 3. 在“/etc/ssh/”目录下，修改sshdconfig文件中3个配置项，修改参数如下图所示。 4. 修改完成后保存退出，执行如下命令，重启SSH服务。 service sshd restart 5. 重启后，重新使用SSH密码方式登录弹性云主机。 6. 通过以上步骤依然无法登录，请联系技术人员进行处理。 启动弹性云主机时卡在“Waiting for cloudResetPwdAgent” 问题描述 启动弹性云主机时，系统长时间卡在“Waiting for cloudResetPwdAgent”状态，需要等待20s~30s，如下图所示。 图1 启动cloudResetPwdAgent 可能原因 内网DNS和客户自定义DNS设置导致启动一键重置密码插件时卡慢。 处理方法 1. 以root用户登录弹性云主机。 2. 执行以下命令，修改配置文件“/etc/cloud/cloud.cfg”。 vi /etc/cloud/cloud.cfg 3. 添加如下语句，如下图所示。 manageetchosts: true 图2 编辑配置文件

本节介绍了弹性云主机图形化界面安装类的相关问题。 云主机是否有图形界面？ Windows操作系统是桌面管理，Linux操作系统是命令行，用户如果需要可以自己设置图形管理。 弹性云主机安装图形化界面前，请确保云主机内存不小于2GB，否则可能出现图像化界面安装失败，或安装后无法启动的问题。 CentOS 6系列弹性云主机如何安装图形化界面？ 操作场景 为了提供纯净的弹性云主机系统给客户，CentOS 6系列弹性云主机默认没有安装图形化界面，如果您需要图形化界面，请参见本节内容进行安装。 约束与限制 弹性云主机安装图形化界面前，请确保云主机内存不小于2GB，否则可能出现图像化界面安装失败，或安装后无法启动的问题。 操作步骤 1. 执行以下命令，查看当前操作系统提供的安装组件。 yum groupinstall "Desktop" 2. 设置默认启动级别为5（即图形桌面）。 sed i 's/id:3:initdefault:/id:5:initdefault:/' /etc/inittab 3. 进入桌面环境，执行： startx CentOS 7系列弹性云主机如何安装图形化界面？ 操作场景 本节操作介绍CentOS 7系列操作系统的云主机安装图像化界面。 约束与限制 弹性云主机安装图形化界面前，请确保云主机内存不小于2GB，否则可能出现图像化界面安装失败，或安装后无法启动的问题。 操作步骤 1. 执行以下命令，安装图形桌面组件。 yum groupinstall "Server with GUI" 说明 如果安装结束后提示 Failed : python urllibs3.noarch 0:1.10.27.e17 可以执行以下命令： mv /usr/lib/python2.7/sitepackages/urllib3/packages/sslmatchhostname /usr/lib/python2.7/sitepackages/urllib3/packages/sslmatchhostname.bak yum install pythonurllib3 y 2. 安装结束后，执行以下命令设置默认启动级别为graphical.target systemctl setdefault graphical.target 3. 执行以下命令启动graphical.target systemctl start graphical.target 4. 重启服务器。 5. 通过控制台提供的VNC登录方式连接服务器，并按照桌面启动的提示设置语言、时区、用户名及密码等。

本文介绍云SSO的开通方式 开通云SSO 前提条件 您已完成企业实名认证，并作为企业管理员账号（主账号）开通了企业中心功能。 操作步骤 1. 登录天翼云官网首页 2. 单击右上角“个人账号”，选择“账号中心” 3. 单击左侧导航栏“企业中心”，选择“云SSO” 4. 按操作提示完成“云SSO”功能开通。

本文帮助您快速熟悉实例加入/移出安全组规则的操作场景和操作流程。 操作场景 安全组是一种重要的网络安全防护策略，用于管理和控制虚拟机实例或云服务实例的网络访问。当您创建好安全组后，可以将云服务器加入到该安全组，使这些实例受到安全组的保护。您可以根据业务需求随时将安全组加入/移出云服务器中。 在安全组界面管理云服务器时，主要包含以下操作： 加入安全组：将云服务器加入到指定的安全组中，原先已加入云服务器中的安全组仍正常生效。 移出安全组：将云服务器从指定的安全组中移出，解除该安全组与云服务器的绑定关系。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成弹性云主机、安全组的创建。 操作步骤 加入安全组 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要操作的安全组，单击安全组名称进入详情页； 6. 在安全组详情界面，选择安全组规则所属方向，单击“关联实例”，您可以根据需要添加相应的云资源； 7. 在“弹性云服务器”页签，单击“添加”，将一个或多个服务器加入到当前安全组中； 8. 在“辅助网卡”页签，单击“添加”，将一个或多个扩展网卡加入到当前安全组中； 9. 单击“确定”，即可调整云服务器与安全组之间的关联关系。 10. 加入完成后，该安全组中的规则将对新关联的云服务器生效。 注意 部分资源池暂不支持安全组界面关联物理机的功能，展示字段为“弹性云主机”，请根据您的需求选择。实际情况以控制台展示为准。

介绍分布式消息服务RocketMQ与天翼云其他服务关系。 虚拟私有云(CTVPC ，Virtual Private Cloud) 虚拟私有云为分布式消息服务RocketMQ提供一个逻辑隔离的区域，构建一个安全可靠、 可配置和管理的虚拟网络环境。更多信息请参见虚拟私有云。 弹性云主机（CTECS，Elastic Cloud Server） 分布式消息服务RocketMQ订购后，默认按照用户选择的实例规格开通弹性云主机，云主机由 CPU、内存、镜像、云硬盘组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保分布式消息服务RocketMQ持久稳定运行。更多信息请参见弹性云主机。 云硬盘（CTEVS，Elastic Volume Service） 分布式消息服务RocketMQ订购后，默认按照用户选择的存储大小开通云硬盘。云硬盘是一种可弹性扩展的块存储设备，可以为分布式消息服务RocketMQ提供高性能、高可靠的块存储服务。更多信息请参见云硬盘。

弹性网卡 弹性网卡（Elastic Network Interfaces，以下简称ENI）即虚拟网卡，您可以通过创建并配置弹性网卡，并将其附加到您的云主机实例（包括弹性云主机和物理机）上，实现灵活、高可用的网络方案配置。 弹性网卡类型 主弹性网卡：在创建实例时，随实例默认创建的弹性网卡称作主弹性网卡。无法解除主弹性网卡和实例的绑定关系。 扩展弹性网卡：您在弹性网卡控制台创建的是扩展弹性网卡，可以将网卡绑定到实例上，也可以解除网卡和实例的绑定关系。 弹性网卡应用场景 灵活迁移 通过将弹性网卡从云主机实例解绑后再绑定到另外一台云主机实例，保留已绑定私网IP、弹性公网IP和安全组策略，无需重新配置关联关系，将故障实例上的业务流量快速迁移到备用实例，实现服务快速恢复。 业务分离管理 可以为云主机实例配置多个分属于同一VPC内不同子网的弹性网卡，特定网卡分别承载云主机实例的内网、外网、管理网流量。针对子网可独立设置访问安全控制策略与路由策略，弹性网卡也可配置独立安全组策略，从而实现网络隔离与业务流量分离。 辅助弹性网卡 辅助弹性网卡是一种基于弹性网卡的衍生资源，用于解决单个云主机实例挂载的弹性网卡超出上限，不满足用户使用需要的问题。辅助弹性网卡通过VLAN子接口挂载在弹性网卡上，您可以通过创建辅助弹性网卡，使单个云主机实例挂载更多网卡，实现灵活、高可用的网络方案配置。 单个云主机实例支持绑定的弹性网卡数量有限，当因业务需要绑定超过弹性网卡上限的网卡时，可以通过为弹性网卡挂载辅助弹性网卡实现。 为云主机实例配置多个分属于同一VPC内不同子网的辅助弹性网卡，每个辅助弹性网卡拥有不同的私网IP、弹性公网IP，可以分别承载云主机实例的内网、外网和管理网流量。 辅助弹性网卡可配置独立安全组策略，从而实现网络隔离与业务流量分离。

操作（Action） 操作（Action） 说明 cce::get cce:cluster:get 查询集群详情 cce::get cce:node:get 查询节点详情 cce::get cce:job:get 查询任务详情（集群层面的job） cce::get cce:addonInstance:get 获取插件实例 cce::get cce:addonTemplate:get 获取插件模板 cce::get cce:chart:get 获取模板信息 cce::get cce:nodepool:get 获取节点池 cce::get cce:release:get 获取模板实例信息 cce::get cce:userAuthorization:get 获取CCE用户授权 cce::list cce:cluster:list 查询集群列表 cce::list cce:node:list 查询节点列表 cce::list cce:job:list 查询任务列表（集群层面的job） cce::list cce:addonInstance:list 列出所有插件实例 cce::list cce:addonTemplate:list 列出所有插件模板 cce::list cce:chart:list 列出所有模板 cce::list cce:nodepool:list 列出集群的所有节点池 cce::list cce:release:list 列出所有模板实例 cce::list cce:storage:list 列出所有磁盘 cce:kubernetes: 操作所有kubernetes资源，具体权限请在15.3 命名空间权限中配置。 ecs::get ECS（弹性云主机）所有资源详情的查看权限。 CCE中的一个节点就是具有多个云硬盘的一台弹性云主机 ecs::list ECS（弹性云主机）所有资源列表的查看权限。 evs::get 云硬盘所有资源详情的查看权限。可以将云硬盘挂载到云服务器，并可以随时扩容云硬盘容量 evs::list 云硬盘所有资源列表的查看权限。 evs::count vpc::get VPC（虚拟私有云，包含二代ELB）所有资源详情的查看权限。 创建的集群需要运行在虚拟私有云中，创建命名空间时，需要创建或关联VPC，创建在命名空间的容器都运行在VPC之内 vpc::list VPC（虚拟私有云，包含二代ELB）所有资源列表的查看权限。 sfs::get SFS（弹性文件服务）服务所有资源详情的查看权限。 sfs:shares:ShareAction SFS（弹性文件服务）资源的扩容共享。 aom::get AOM（应用运维管理）服务所有资源详情的查看权限。 aom::list AOM（应用运维管理）服务所有资源列表的查看权限。 aom:autoScalingRule: AOM（应用运维管理）服务自动扩缩容规则的所有操作权限。

本节介绍了绑定弹性公网IP的操作场景、操作步骤。 操作场景 可以通过申请弹性公网IP并将弹性公网IP绑定到弹性云主机上，实现弹性云主机访问公网的目的。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云主机列表中，选中要绑定弹性IP的云主机，在云主机详情页点击弹性IP，点击绑定弹性IP。 5. 选择弹性公网IP，单击“确定”。 说明 如果当前区域没有可用的弹性公网IP，则弹性公网IP列表为空，请购买弹性公网IP后重新执行绑定操作。 6.完成绑定后，可以在云主机列表页查看已绑定的弹性公网IP。

本文带您了解如何使用云服务监控。 操作场景 云监控会自动获取您当前账号下云产品的资源并关联相应监测指标，帮助您实时了解云产品的性能指标，及时掌握各项资源的运行状态。 注意 重要信息：因产品升级迭代，自 2025 年 08 月 13 日 00:00:00起，新用户在云监控>云服务监控中不再提供“云容器引擎”（ccse）监控能力，存量已开通云容器引擎实例资源将可继续使用云监控服务监控告警能力。为保证您的服务稳定，建议您统一使用云容器引擎控制台监控告警服务！ 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成云产品的订购。 查看监控数据 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“云服务监控”下拉菜单，选择“云硬盘监控”、“弹性伸缩监控”或“负载均衡监控”等选项，进入对应云产品的监控页面，本文我们选择云硬盘监控。 5. 单击待查看的云服务资源所在行的“查看监控图表”，可查看该云产品中指定资源的监控图表。 6. 云监控支持近两天实时监控数据的导出。在云产品监控页面的右上角，单击“导出监控数据”按钮，添加需要导出的监控项，单击“确定”按钮，可导出数据。

适用场景 客户在应用托管中部署自研应用/第三方模型，与现有弹性云主机、数据库等云资源联动协同，实现完整复杂业务流程。 产品优势 资源协同，性能高效：共池内网打通，应用托管与弹性云主机、数据库、消息队列等云服务实现低延迟、高带宽内网通信，同时内网访问更具安全保障 业务整合成本低：已有公有云用户可直接复用弹性云主机、数据库等云上资源，无需额外迁移 / 重构，快速搭建完整业务架构，降低整合成本 部署灵活，场景覆盖广：支持自定义模型服务、MCP Server、智能体应用、自定义业务应用等多类型部署，结合丰富的云产品，满足业务的全场景需求 Aone 赋能应用与企业内网网络打通 适用场景 当企业同时使用公有云的应用托管服务和企业内网的各类系统时，需要实现两者之间的安全网络连通 产品优势 网络连通性优势：Aone 打通公有云应用与企业内网网络，保障安全稳定，实现公有云应用本地式访问企业内网资源，破解跨网资源访问壁垒 资源整合优势：整合公有云的应用托管能力和企业内网系统资源，实现资源的高效利用和协同工作，提升企业整体 IT 架构的运行效率：安全性优势 在打通网络的同时，保障了企业内网资源的安全访问，避免了因网络开放带来的安全风险，满足企业对数据和系统安全性的高要求

本章节主要介绍翼MapReduce的权限管理。 如果您需要对上创建的MapReduce服务资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有MapReduce服务的使用权限，但是不希望他们拥有删除MRS集群等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用MRS，但是不允许删除MRS集群的权限策略，控制他们对MRS集群资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用MRS服务的其它功能。 IAM是提供权限管理的基础服务。 MRS权限说明 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 MRS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问MRS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对MRS服务，管理员能够控制IAM用户仅能对集群进行指定的管理操作。如不允许某用户组删除集群，仅允许操作MRS集群基本操作，如创建集群、查询集群列表等。多数细粒度策略以API接口为粒度进行权限拆分。 如下表所示，包括了MRS的所有系统策略。 MRS系统策略 策略名称 描述 策略类别 MRS FullAccess MRS管理员权限，拥有该权限的用户可以拥有MRS所有权限。 细粒度策略 MRS CommonOperations MRS服务普通用户权限，拥有该权限的用户可以拥有MRS服务使用权限，无新增、删除资源权限。 细粒度策略 MRS ReadOnlyAccess MRS服务只读权限，拥有该权限的用户仅能查看MRS的资源。 细粒度策略 MRS Administrator 操作权限： 对MRS服务的所有执行权限。 拥有该权限的用户必须同时拥有Tenant Guest和Server Administrator权限。 RBAC策略 下表列出了MRS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统策略的授权关系 操作 MRS FullAccess MRS CommonOperations MRS ReadOnlyAccess MRS Administrator 创建集群 √ x x √ 调整集群 √ x x √ 升级节点规格 √ x x √ 删除集群 √ x x √ 查询集群详情 √ √ √ √ 查询集群列表 √ √ √ √ 设置弹性伸缩策略 √ x x √ 查询主机列表 √ √ √ √ 查询操作日志 √ √ √ √ 创建并执行作业 √ √ x √ 停止作业 √ √ x √ 删除单个作业 √ √ x √ 批量删除作业 √ √ x √ 查询作业详情 √ √ √ √ 查询作业列表 √ √ √ √ 新建文件夹 √ √ x √ 删除文件 √ √ x √ 查询文件列表 √ √ √ √ 批量操作集群标签 √ √ x √ 创建单个集群标签 √ √ x √ 删除单个集群标签 √ √ x √ 按照标签查询资源列表 √ √ √ √ 查询集群标签 √ √ √ √ 访问Manager页面 √ √ x √ 查询补丁列表 √ √ √ √ 安装补丁 √ √ x √ 卸载补丁 √ √ x √ 运维通道授权 √ √ x √ 运维通道日志共享 √ √ x √ 查询告警列表 √ √ √ √ 订阅告警消息提醒 √ √ x √ 提交SQL语句 √ √ x √ 查询SQL结果 √ √ x √ 取消SQL执行任务 √ √ x √

创建PON云专线必须选择VPC及子网，选择装机地址，设置远端子网，选择云专线速率，核实订购详情，选择缴费账户等操作；其中需注意：1）VPC及子网不可与远端子网冲突；2）装机地址所搜并选择列出的带有门牌号的详细装机地址，否则将导致专线无法装机。 创建PON专线流程如下： 使用CTYUN账号及密码登录CTYUN官网； 在首页的产品项，选择福建云专线。 在云专线页面，单击【申请开通】，进入PON云专线开通页面，根据界面提示，配置云专线的相关信息； VPC及子网：选择云专线通达的VPC及云主机所在的VPC子网段； 装机地址：从列表中选择所在城市、区，然后使用具体到楼层的地址进行搜索，在搜索结果中选择带有具体门牌号的详细地址，此地址即为专线的具体安装地址； 远端子网：设置客户侧内网需要通过专线访问云侧资源的内网地址，可设置多个内网地址段，多个网段中间用英文逗号隔开，需注意：远端子网网段不可与云侧网段冲突； 云专线速率：选择您所需的专线带宽速率； 当前配置：在页面右侧当前配置栏，可查看此专线的配置信息，确认无误后，可点击“立即购买”，进入到订购详情页面。 订购详情：订购详情栏可查看云专线费用，配置，描述及价格信息； 需支付：所列费用为此专线每月资费，将通过缴费账户一次性收取包月费用； 立即开通：请详细阅读、理解并接受《天翼云云专线服务协议》，然后勾选“我已阅读”项，然后点击立即开通；专线将进行后台开通，在云侧及省网侧为自动化开通，外线施工人员联系您CTYUN账号绑定的联系人手机，沟通外线施工事宜，请保持此联系人及手机畅通。

本章节介绍专属云分布式缓存服务Redis版的开通方式。 专属云分布式缓存服务的开通方法及流程： 1、开通专属云分布式缓存服务需首先开通专属云服务，请确保您已开通天翼云的专属云服务； 2、天翼云网门户首页上部，在“产品 > 基础云网产品 > 专属云”中，单击“专属云分布式缓存”； 3、在产品详情页面中，单击“申请开通”，在申请页面查看申请流程。请与您的专属客户经理确定您的开通需求，如果没有专属客户经理，可拨打天翼云客服电话4008109889咨询；

本文为您介绍反向注册的操作流程。 操作场景 在生产中心的受保护的服务器完成确认故障切换后，可以对容灾中心的云主机进行反向注册操作，为后续的反向复制做准备。完成反向注册后，受保护的服务器将变为容灾中心的云主机。 本示例中ecmtest为生产中心的云主机，ecmrecovery为容灾中心的云主机。 前提条件 受保护的服务器状态为“确认故障切换完成”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞故障恢复＞反向注册”。本节以ecmtest为例。 7. 弹出“反向注册”确认页面，确认信息无误后单击“确定”，云主机状态变为“反向注册中”。 8. 待云主机状态变为“已反向初始化”，说明反向注册完成。 此时，受保护的服务器变为容灾中心的云主机，本示例中为ecmrecovery。

本文为您介绍如何通过云审计查看云产品的操作记录。 云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景。本文为您介绍如何通过云审计查看云资源的操作记录。 前提条件 已开通云审计服务。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在控制台列表页，选择“云审计”。 4. 进入云审计控制台后，点击侧边栏“事件列表”。 5. 进入事件列表页面，事件列表上方支持通过筛选条件查询。 云审计支持五个维度的组合查询，说明如下： 时间筛选：支持快速点选近30分钟、近1小时、近1天、近7天的时间范围，也支持自定义时间范围； 读写类型：支持根据事件的读写类型进行筛选； 事件级别：支持根据事件等级进行筛选，当前事件等级包括normal（代表本次操作成功）、warning（代表本次操作失败）； 操作用户：支持根据同一租户下的不同主子账号进行筛选； 事件来源、资源类型、资源筛选：支持以资源维度进行多层级的筛选，最细粒度支持具体某个资源实例的筛选。 6. 筛选条件选择完成，点击“查询”，符合条件的事件将以列表显示出来。

步骤说明 在目标VPC中的ECS实际中添加入方向安全组规则，用于放行私网NAT过来的访问流量。 操作步骤 具体操作参见添加安全组规则。 步骤九：测试连通性 步骤说明 我们通过验证弹性云主机是否可以通过私网NAT网关访问另一个VPC的ECS服务，来测试网络连通性。 操作步骤 1. 登录天翼云控制台，选择”计算>弹性云主机”。 2. 进入弹性云主机控制台，选择准备工作中创建的弹性云主机，点击右侧“远程登录”登录弹性云主机。 3. 登录完成，通过nc访问的云资源DNAT后的地址及端口，测试云主机是否能够通过私网NAT网关访问。 说明弹性云主机可以通过转换后的中转IP地址，实现重叠地址段的服务访问。

本文主要介绍云日志服务的功能特性。 日志项目 日志项目是云日志服务的资源管理单位，您可使用日志项目管理不同的应用、产品或项目中的数据。每个日志项目下可创建多个日志单元，是您访问云日志服务资源的入口。 管理日志项目 日志单元 日志单元是云日志服务中日志数据的采集、存储、查询、分析的基本单元。每个日志单元隶属于一个日志项目，每个日志项目中可创建多个日志单元。 管理日志单元 主机管理 主机组是一组需要采集日志的云主机列表，是一个虚拟分组，云日志服务通过主机组来管理所有需要通过采集器采集日志的云主机。建议您可根据不同的业务场景来划分不同的主机组，以方便管理云日志服务中的日志采集。 管理主机组 日志接入 云日志服务支持实时日志采集，通过采集器的方式方便您在各种数据源场景下采集日志，采集日志后，您可在云日志服务控制台实时查询、分析日志数据。 采集器支持无侵入式接入，实现日志实时采集、日志文件批量抓取上报、多管道数据处理，实现高效采集。 支持从云主机、容器应用、微服务应用以及其他组件中采集日志。 采集规则支持动态配置，提供单行/多行全文、正则、分隔符、JSON等日志结构化解析方式。 日志接入概述

本章节为您介绍云审计IAM权限的相关内容 本文为您介绍云审计的权限管理能力，支持通过IAM实现对云审计的访问控制、权限分配。 云审计通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云审计服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 云审计IAM策略说明 天翼云为云审计提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 cloudauditadmin 云审计管理员策略。 系统策略 全局 cloudauditviewer 云审计查看策略。 系统策略 全局 cloudauditauditor 云审计审计员策略。 系统策略 全局

本文主要介绍什么是云审计服务？ 云审计服务（Cloud Trace Service，CTS），为您提供云服务资源的操作记录，供您查询、审计和回溯使用。 云审计服务记录的操作有以下三种： 用户登录管理控制台的操作。 用户通过云服务支持的API执行的操作。 系统内各服务内部触发的操作。 您可以在云审计服务管理控制台查询近7天内的操作记录。如果需要保存7天之前的操作记录，您可以通过对象存储服务（Object Storage Service，以下简称OBS），将操作记录实时同步保存至OBS。

前提条件 已开通云点播产品。 至少创建了一个点播实例。 使用云点播原生API/SDK进行开发。 账号属性为主账号。 操作步骤 进入云点播控制台，选择左侧导航栏的【开发配置】–【密钥管理】【原生密钥】。您可以在该页面看到当前原生API的所有密钥清单（如下图所示）。关于使用该AK/SK密钥对生成鉴权代码的相关操作，可以参考签名应用及示例（V2版本）和鉴权签名及示例（V4版本）。 说明 自2024年10月CTIAM割接之后，您需要在CTIAM控制台为主、子用户添加原生密钥，详情可查看 由CTIAM控制台创建的密钥，将可以支持原生API接口形式。您需要在CTIAM控制台完成禁用、删除、添加等操作，云点播控制台仅做密钥展示。当CTIAM控制台删除了密钥，云点播控制台会同步删除对应的密钥信息。 割接前在云点播控制台创建的密钥，可以继续使用。您可以在云点播控制台对这些存量密钥做【禁用】、【删除】等操作。但请注意，一旦密钥删除将不可恢复，请谨慎操作。 子用户需要由主账号提供对应的AK/SK。云点播控制台不再为子用户提供展示入口。 功能 说明 :: Access key 调用云点播原生API时的身份标识。请妥善保管。 Secret access key 用于生成云点播原生API签名和验证用户身份的密钥。请妥善保管。 状态 该AK/SK密钥对的启用状态。 创建时间 该AK/SK密钥对的创建时间。 操作 【禁用】将当前AK/SK密钥对置为不可用状态。【删除】删除当前选择的AK/SK密钥对。仅对云点播产品创建的存量密钥有效。 注意 1. 本页面AK/SK密钥对仅作用于原生API/SDK。 2. 每一组密钥对的权限一致，适用于该账户下开通的所有点播实例。 3. 当您同时启用多个点播实例时，可能会出现偶发性的AK/SK权限异常操作。当遇到此问题时，您可以通过【禁用】该组AK/SK，再重新【启用】即可恢复。

本文介绍使用非root用户挂载文件系统的相关操作。 操作场景 Linux操作系统的弹性云主机默认只能通过root帐号进行挂载文件系统，但可通过赋予其他普通用户root权限，使非root的普通用户能够在弹性云主机上使用mount命令挂载文件系统。当您需要使用非root用户挂载文件系统时，可参考本文的操作指导。 注意 执行非root用户挂载的云主机实例需要与海量文件系统归属于同一资源池的同一VPC下。 仅支持Linux操作系统的云主机进行非root用户挂载。 仅支持NFS文件系统进行非root用户挂载。 前提条件 已创建一个文件系统和一台Linux云主机。 操作步骤 1. 登录天翼云，进入管理控制台。单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行挂载操作的云主机。 3. 给非root的普通用户添加root权限，本文以fstest用户为例。 1）以root用户登录该弹性云主机。 2）依次执行以下命令创建fstest用户，并修改密码。 plaintext adduser fstest passwd fstest 3）执行 chmod 777 /etc/sudoers命令修改sudoers文件权限为可编辑权限。 4）在root账号下执行 vi /etc/sudoers命令编辑sudoers文件，在文件中将下列语句添加进去，位置参考下图。其中“fstest”可替换为其它用户名。 plaintext fstest ALL(ALL) ALL 5）编辑完成后，单击“Esc”，并输入 :wq，保存文件并退出，即完成添加普通的非root用户。 6）执行 chmod 440 /etc/sudoers命令恢复sudoers文件权限为只读权限。 4. 执行以下命令安装NFS客户端。 plaintext yum y install nfsutils 5. 以非root用户登录云主机，本文以fstest用户登录云主机。 6. 执行如下命令创建本地挂载路径，例如“/home/fstest/data”。 plaintext mkdir /home/fstest/data 7. 执行如下命令挂载文件系统，参数说明参考挂载NFS文件系统到弹性云主机 (Linux)。 注意 请务必在挂载时使用noresvport参数，防止文件系统卡住。 plaintext sudo mount t nfs o vers3,prototcp,async,nolock,noatime,noresvport,nodiratime,wsize1048576,rsize1048576,timeo600 挂载地址 本地路径 8. 挂载完成后使用 df –h命令查看挂载情况。

本文为您介绍更新Palworld幻兽帕鲁的最佳实践。 如果您进入游戏时遇到如图报错，请参考本文对游戏进行更新。 Ubuntu 启动云主机时可以触发后台的自动检查游戏版本，如需更新游戏，在云主机控制台点击“重启”即可。 Windows 自动更新 启动云主机时可以触发后台的自动检查游戏版本，如需更新游戏，在云主机控制台点击“重启”即可。 手动更新 1. 在本地Windows电脑搜索远程桌面连接，并输入云主机的公网IP地址。 2. 使用设置的密码进行登录，用户为Administrator，密码输入设置的云主机密码并连接。 3. 打开任务管理器，找到Pal进程，右键点击并选择结束任务。

本小节为云防火墙功能类常见问题。 通过日志审计功能可查看哪些信息？ 在“日志审计”页面，可以详细查看每一条用户攻击信息，包括攻击发生时间、攻击类型、危险等级、源端口、源IP、目的IP、目的端口等信息。 云防火墙支持哪些维度的访问控制？ 云防火墙当前支持基于五元组、IP地址组、服务组、域名、黑名单、白名单设置ACL访问控制策略；也支持基于IPS（intrusion prevention system，入侵防御系统）设置访问控制。 IPS支持观察模式和阻断模式，当您选择阻断模式时，云防火墙根据IPS规则检测出符合攻击特征的流量进行阻断。具体配置步骤请参考配置访问控制策略。 云防火墙攻击日志，为什么显示还未纳入防护的EIP？ 云防火墙会将所有受到攻击的EIP信息做收集，以便您更好的配置防御策略。

本文介绍专属云（存储独享型）的云硬盘的约束与限制。 场景 限制项 限制说明 创建磁盘 磁盘模式 磁盘模式在创建完成后不支持更改 创建磁盘 共享盘 共享属性在创建完成后不支持更改 挂载磁盘 非共享盘可同时挂载的云主机数量 1台 挂载磁盘 共享盘可同时挂载的云主机数量 16台 扩容磁盘 扩容磁盘 支持扩大磁盘容量，不支持缩小磁盘容量 扩容磁盘 扩容步长 1GB 卸载磁盘 卸载系统盘 系统盘不支持卸载 卸载磁盘 卸载数据盘 数据盘支持离线或者在线卸载，即云主机处于“关机”或“运行中”状态进行卸载 删除磁盘 / 当云硬盘状态为“未挂载”时，才可以被删除 磁盘容量 单个系统盘最大支持容量 高IO：2048 GB 超高IO：2048 GB 磁盘容量 单个数据盘最大支持容量 高IO：32768 GB 超高IO：32768 GB

操作场景 用户可以删除不再使用的云硬盘标签。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 在云硬盘页面中，点击待添加标签的云硬盘所在行的“操作>更多>编辑标签”。 5. 在弹出的“编辑标签”窗口中，单击标签键值后的“删除”按钮，再点击“确定”，即可删除此对键值。 6. 可在列表的标签属性中查找，可看到此时显示“暂无绑定标签”。

本节主要介绍NAT的应用场景。 公网NAT网关 使用SNAT访问公网 当VPC内的云主机需要访问公网，请求量大时，为了节省弹性IP资源并且避免云主机IP直接暴露在公网上，您可以使用公网NAT网关的SNAT功能。VPC中一个子网对应一条SNAT规则，一条SNAT规则可以配置多个弹性IP。公网NAT网关为您提供不同规格的连接数，根据业务规划，您可以通过创建多条SNAT规则，来实现共享弹性IP资源。 使用SNAT访问公网场景组网图如图所示。 图 使用SNAT访问公网 使用DNAT为云主机面向公网提供服务 当VPC内的云主机需要面向公网提供服务时，可以使用公网NAT网关的DNAT功能。 DNAT功能绑定弹性IP，有两种映射方式（IP映射、端口映射）。可通过端口映射方式，当用户以指定的协议和端口访问该弹性IP时，公网NAT网关会将该请求转发到目标云主机实例的指定端口上。也可通过IP映射方式，为云主机配置了一个弹性IP，任何访问该弹性IP的请求都将转发到目标云主机实例上。使多个云主机共享弹性IP和带宽，精确的控制带宽资源。 一个云主机配置一条DNAT规则，如果有多个云主机需要为公网提供服务，可以通过配置多条DNAT规则来共享一个或多个弹性IP资源。 使用DNAT为公网提供服务场景组网图如下图所示。图中示例的云主机类型均可以替换为弹性云主机中的任何一个。 图 使用DNAT为云主机面向公网提供服务