本文帮助您快速熟悉子网的创建。 操作场景 申请虚拟私有云时会默认创建一个子网，当该虚拟私有云还需要添加其他子网时，可以通过以下两种方式创建新的子网。 操作步骤 方式一 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在“虚拟私有云列表”界面，选择需要创建子网的VPC，单击名称进入详情页。 5. 选择“子网”页签，单击“创建”按钮。 6. 在创建子网页面，根据界面提示配置参数，参数如下表所示： 参数 说明 取值样例 VPC 选择子网所属的VPC VPC1 网段 选择子网所属的VPC网段 192.168.0.0/16(主) 子网类型 普通子网：默认选项，此类子网中可以用于创建除标准裸金属服务器外的资源； 标准裸金属子网：仅支持创建标准裸金属服务器和虚拟IP，仅部分可用区资源池支持此选项；不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 普通子网 子网名称 子网的名称 Subnet01 描述 子网的描述，非必填 子网描述 子网网段 子网的地址范围，需要在VPC的地址范围内 192.168.0.0/24 网关 子网的网关 192.168.0.1 DHCP DHCP地址，仅部分可用区资源池支持此选项；不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 192.168.0.2 开启IPv6 开启IPv6功能后，将自动为子网分配IPv6网段，但您不能选择IPv6地址范围，subnet下所有网卡关闭IPv6时，才能关闭子网IPv6。 240e:980:1800:81::/64 DNS服务器地址 DNS服务器地址最多支持两个IP，请以英文逗号隔开。VPC子网内支持利用公网DNS进行解析，若您想要通过内网DNS访问云上服务，可以修改默认的DNS服务器地址为100.95.0.1。 114.114.114.114,8.8.8.8 7. 单击“确定”按钮。 说明 网关地址默认为子网网段内第一个可用IP地址。对于可用区资源池，系统默认会占用子网内第二个IP作为DHCP server IP；对于地域资源池，部分资源池会默认占用子网内第二个IP、第三个IP作为DHCP server IP。

本节介绍高可用云电脑的开通操作说明。 用户可在“天翼AI云电脑”“协同套件”页面进行服务开通，目前暂只支持政企版用户使用。 开通后，左侧菜单栏会出现“高可用管理”菜单，可进行AI云电脑高可用相关配置管理。

AntiDDoS流量清洗与其他服务的关系。 AntiDDoS可以为弹性云主机、弹性负载均衡、Web应用防火墙、弹性IP等服务的公网IP资源提供防护能力。此外，与其他云服务之间还存在以下关系： 服务名称 与其他服务的关系 主要交互功能 云审计服务 开通云审计服务后，云审计服务会记录AntiDDoS相关的操作事件，方便用户日后的查询、审计和回溯。 查看云审计日志 消息通知服务 消息通知服务（Simple Message Notification，简称SMN）提供消息通知功能。AntiDDoS开启告警通知后，如果IP地址受到DDoS攻击时用户会收到短信或邮件的提醒信息。 开启告警通知 云日志服务 将攻击日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录AntiDDoS日志，可以高效地进行实时决策分析、设备运维管理以及业务趋势分析。 开启日志记录 云监控服务 云监控服务可以监控AntiDDoS相关的指标，用户可以通过指标及时了解防护状况，并通过这些指标设置防护策略。 设置事件告警通知 统一身份认证服务 统一身份认证服务（Identity and Access Management，简称IAM）为AntiDDoS提供权限管理的功能，拥有对应权限的用户才能使用AntiDDoS服务。

本章节主要介绍翼MR Manager的指标查询特性。 进入到翼MR Manager以后，点击菜单“监控与告警 > 指标查询”，进入指标查询页面。如图所示： 页面上方为查询区域，各种查询条件进行组合查询。 支持查询角色实例级、主机级的监控指标。 支持指标结果的绘图操作，让用户更直观获取监控项变化。

操作步骤 概述 订购云主机 按需订购加载云墙镜像云主机，并为云主机绑定空闲可用弹性IP 查询序列号 登录云墙查看云墙序列号 订购云墙实例 按需订购云墙，单节点/主备、规格、功能等 云墙业务部署 按需进行初始化配置及安全防护策略配置 云墙上线风险 预知云墙上线操作及上线风险

本文介绍区域访问控制功能的原理和配置方法。 功能介绍 天翼云边缘接入服务IP应用加速区域访问控制功能可通过设置区域访问控制黑白名单，从而仅允许或者限制部分区域的用户访问。 区域访问控制功能支持按照国家、省份、城市粒度设置区域访问黑白名单。 适用场景 针对企业自己的网站，仅允许企业员工访问，可以配置仅允许企业总部及分支机构所在地区用户访问。 一些在线教育平台通过IP地址识别用户所在地区，确保只有特定区域的学生能够访问特定的教育资源，保障了知识的有序传播。 配置说明 新增接入，配置区域访问控制步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击左上角【新增接入】。 4. 找到访问控制模块，打开区域访问控制开关，填写区域访问控制配置。 编辑配置，修改区域访问控制步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击【详情】，点击右下角【编辑配置】，编辑目标域名。 4. 修改对应的访问控制模块区域访问控制。

本节介绍了导出弹性云主机列表信息的操作场景、操作步骤。 操作场景 您可以将当前帐号下拥有的所有弹性云主机信息，以.xlsx文件的形式导出至本地。该文件记录了弹性云主机的ID、私有IP地址、弹性IP等。 操作步骤 1.登录管理控制台。 2.选择“计算 > 弹性云主机”。 3.在弹性云主机列表页左上角，单击“导出”，导出列表。 如需导出部分弹性云主机的信息，请勾选对应的弹性云主机，然后再单击左上角的“导出”。 4.在本地计算机桌面的默认下载地址文件夹，可以获取到导出的弹性云主机列表信息。

字段 类型 描述 srcip string 源IP地址。 srcport string 源端口号。 dstip string 目的IP地址。 dstport string 目的端口号。 protocol string 协议类型。 app string 应用类型。 srcregionname string 源地区名称。 srcregionid string 源地区ID。 dstregionname string 目的地区名称。 dstregionid string 目的地区ID。 logtype string 日志类型。 internet：互联网边界流量日志 nat：NAT边界流量日志 vpc：VPC间流量日志 vsys long 防火墙防护方向。 1：南北向 2：东西向 direction string 流量方向。 out2in：入方向 in2out：出方向 action string 防火墙当前的响应动作。 permit：放行 deny：阻断 block：阻断IP drop：丢弃 packet string 攻击日志的原始数据包。 说明 编码方式为Base64格式。 attackrule string 检测到攻击的防御规则。 attackruleid string 检测到攻击的防御规则ID号。 attacktype string 发生攻击的类型。 Vulnerability Exploit Attack：漏洞攻击 Vulnerability Scan：漏洞扫描 Trojan：木马病毒 Worm：蠕虫病毒 Phishing：网络钓鱼攻击 Web Attack：Web攻击 Application DDoS：DDoS攻击 Buffer Overflow：缓冲区溢出攻击 Password Attack：密码攻击 Mail：邮件相关类型的攻击行为 Access Control：访问控制行为 Hacking Tool：黑客工具 Hijacking：劫持行为 Protocol Exception：存在异常协议 Spam：存在垃圾邮件 Spyware：存在间谍软件 DDoS Flood：DDoS泛洪攻击 Suspicious DNS Activity：可疑DNS活动 Other Suspicious Behavior：其它可疑行为 level string 表示检测到威胁的等级。 CRITICAL：严重 HIGH：高 MIDDLE：中 LOW：低 source string 检测到攻击的防御模式。 0：基础防御 1：虚拟补丁 eventtime long 检测到的攻击时间。

本文主要介绍超高IO型Ir7 概述 超高I/O型弹性云主机使用高性能NVMe SSD本地磁盘，提供高存储IOPS以及低读写时延，您可以通过管理控制台创建挂载有高性能NVMe SSD盘的弹性云主机。 类型 CPU基频/睿频 CPU型号 Ir7 3.0GHz/3.5GHz 8378A 使用场景 超高I/O型弹性云主机适用于高性能关系型数据库 NoSQL数据库(Cassandra、MongoDB等)以及ElasticSearch搜索等场景 规格 表 Ir7型弹性云主机的规格 规格名称 vCPU 内存 （GiB） 网络最大带宽/基准带宽 （Gbps） 网络最大收发包 （万PPS） 网络连接数 （万） 网卡多队列数 网卡个数上限 本地盘 （GiB） 虚拟化类型 ir7.large.4 2 8 3/0.8 40 50 2 3 2 × 50 KVM ir7.xlarge.4 4 16 6/1.5 80 50 2 3 2 × 100 KVM ir7.2xlarge.4 8 32 15/3.1 150 100 4 4 2 × 200 KVM ir7.4xlarge.4 16 64 20/6.2 300 150 4 6 2 × 400 KVM ir7.8xlarge.4 32 128 30/12 400 300 8 8 2 × 800 KVM ir7.16xlarge.4 64 256 40/25 600 500 16 8 2 × 1600 KVM

本文带您了解提示“您的凭据无法工作”的处理方法。 问题描述 在天翼云官网开通对应Windows云主机后，除控制台VNC接入外还有其他PC本地进行远程接入场景。当接入时候提示您的凭据无法工作错误，远程登录失败。 已开通云主机信息：远程登录时需要公网IP信息、账号名及对应密码。 解决方法 步骤一： 修改Windows云主机网络策略 1、 使用管理控制台VNC方式登录云服务器。 2、 点击“开始 > 运行”，输入“gpedit.msc”，打开“本地组策略编辑器”。 3、 点击“计算机配置 运行”，输入“gpedit.msc”，打开“本地组策略编辑器”。 3、 选择“计算机配置 运行”输入gpupdate /force，更新组策略。

适用于贵州/福州/杭州/深圳/广州4/苏州/郑州/青岛/西安2/上海4/芜湖/南宁/长沙2/南昌/成都3/乌鲁木齐/昆明/海口/重庆/武汉2/兰州/西宁/太原/石家庄/中卫/长春/天津/北京2/哈尔滨节点 弹性IP在解绑状态才能做释放操作，如果15分钟内连续做解绑和释放操作，则解绑时已做短信验证，释放无须验证。否则操作如下， 1、对弹性ip进行释放和批量释放操作。 2、弹出释放提醒框，并带有验证提示栏如下图， 3、点击去验证，跳转操作保护页面。如下图， 4、点击【免费获取验证码】，验证码会发送到天翼云账号预留手机号，填写正确的验证码，点击【认证】，弹出认证成功（失败）提示框。 5、认证成功自动跳转回弹性ip释放弹窗界面，继续进行释放操作。

本节介绍云防火墙的服务版本差异。 云防火墙提供了“标准版”、“专业版”供您使用，包括访问控制、入侵防御、流量分析以及日志审计等功能。 版本差异说明如下表： 功能 标准版 专业版（包周期） 防护对象 IPv4 ✓ ✓ 防护对象 IPv6 ✓ ✓ 防护规格 防护的公网IP（EIP）数量 20个（可扩容，最大扩容至2000个） 50个（可扩容，最大扩容至2000个） 防护规格 防护的VPC数量 × 2个（可扩容，最大扩容至100个） 防护规格 互联网边界防护带宽 10Mbps（可扩容，最大扩容至5000Mbps） 50Mbps（可扩容，最大扩容至5000Mbps） 防护规格 VPC边界防护带宽 × 200Mbps（随VPC数量扩容） 访问流量控制 公网资产ACL访问控制（基于IP、域名、域名组、地理位置等） ✓ ✓ 访问流量控制 南北向流量防护，统一隔离防护云上资产在互联网的暴露风险（例如EIP） ✓ ✓ 访问流量控制 南北向流量审计，日志查询 ✓ ✓ 访问流量控制 东西向流量防护，VPC间的资产保护、全流量分析 × ✓ 访问流量控制 东西向流量监控，实时获取VPC间流量数据 × ✓ 防护策略 入侵防御IPS ✓ ✓ 防护策略 自定义IPS特征库 × ✓ 防护策略 虚拟补丁 ✓ ✓ 防护策略 敏感目录、反弹Shell ✓ ✓ 防护策略 病毒防御AV × ✓

此小节介绍云堡垒机管理消息与新建系统公告。 消息中心是系统内各类消息接收提示管理中心。系统公告是对系统用户广播系统内重大变更的消息提醒。 管理消息列表 消息中心小窗可呈现最新三条未读消息。任务执行完成后，则可在任务中心查看全部任务。 消息类型共有5种，分别包括系统消息、业务消息、任务消息、命令告警、工单消息。 消息级别共有3种，分别包括“高”、“中”、“低”，消息级别越高代表消息重要程度越高。 本小节主要介绍如何在消息中心查看、删除、标记消息。 查看消息提醒 1. 登录云堡垒机系统。 2. 单击右上角，展开消息中心小窗口， 可查看最新三条未读消息。 3. 单击“查看更多”，进入消息中心列表页面。 4. 查询消息，在搜索框中输入关键字，根据消息标题内容快速查询消息。 5. 查看消息列表。消息按发生时间顺序倒序排列，可查看全部已读、未读的消息 。 6. 查看消息详情。单击目标消息名称，进入消息详情页面。 删除消息提醒 1. 登录云堡垒机系统。 2. 单击右上角，展开消息中心小窗口，可查看最新三条未读消息。 3. 单击“查看更多”，进入消息中心列表页面。 4. 勾选一条或多条消息，单击左下角“删除”，弹出删除消息确认窗口。 5. 单击“确定”，即可立即删除选中消息。消息删除后不可找回，请谨慎操作。

本小节介绍云下一代防火墙如何开启防护功能？ 登录管理界面：首先，使用管理员凭据登录到云下一代防火墙的管理界面，可以在Web浏览器中输入设备的管理方式来访问云下一代防火墙管理界面。 导航到防护功能：在管理界面对象中，找到防护功能（IPS、AV、URL、OQS、IP信誉库、僵尸网络防御、云沙箱）进行防护功能模版的配置，防护功能模版详细操作详见云下一代防火墙WebUI用户手册。 启用防护策略：选择外网卡的安全域（网络安全域）或安全策略，然后开启且调用所需的安全功能模板。 监控和日志记录：启用监控和日志记录功能（监控日志编辑对应日志开启日志缓存），以跟踪安全事件、威胁检测以及系统性能。这有助于实时监视和分析潜在的威胁。 测试和优化：在启用防护功能后，建议进行测试以确保其正常运行，并进行必要的优化，以适应业务需求。

参数 说明 服务名称 用于唯一标识一个后端服务。 服务地址 1. 支持配置服务节点的地址、端口、权重和优先级。 2. 优先访问高优先级节点，只有在高优先级的节点不可用或者尝试过，才会访问一个低优先级的节点； 3. 只有在优先级相同时，权重才会生效； 4. 优先级默认值为0，可以取负数表示备份节点，表示只有其他节点均不可用时，才会启用备份节点； 5. 此处节点权重采用比例形式，表示不同节点之间的流量比例。 请求协议 后端服务的协议，支持HTTP、HTTPS、GRPC、GRPCS、DUBBO，默认为HTTP。 mTLS 是否打开后端服务双向TLS认证（后端服务对网关证书认证）。 证书文件 后端服务开启双向TLS认证后，云原生网关提供的证书文件。 私钥文件 后端服务开启双向TLS认证后，云原生网关提供的私钥文件。

解决方案 内网无法连接数据库 1. 检查ECS云主机和MySQL实例是否在同一区域和VPC内。 2. 对等连接和虚拟专用网络VPN：不同区域的VPC可以互连，跨区域连接实现全球云上网络。具体操作，可参见VPC连接。 3. 检查安全组规则，ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。可参见设置安全组规则。 4. 检查IP白名单，无论内外网访问，都需要加白名单才可访问，可参见设置IP白名单。 5. 连接时所使用的数据库密码是否正确，可通过数据库管理控制台界面进行重置密码。 外网无法连接数据库 1. 检查安全组规则，为MySQL实例绑定弹性IP后，需要为MySQL实例设置安全组规则。可参见设置安全组规则。 2. 检查IP白名单，无论内外网访问，都需要加白名单才可访问，可参见设置IP白名单。 MySQL实例绑定公网IP后无法ping通 1. 检查安全组规则。在 网络控制台的安全组 页面中，找到属于目标数据库实例的安全组，检查入方向规则。 2. 检查“ 网络ACL”规则。 3. 相同区域主机进行ping测试。在相同区域的弹性云主机去尝试ping，如果可以正常ping通弹性公网IP说明虚拟网络正常，如果仍然没有ping通请联系技术支持。

解决方案 内网无法连接数据库 1. 检查ECS云主机和MySQL实例是否在同一区域和VPC内。 2. 对等连接和虚拟专用网络VPN：不同区域的VPC可以互连，跨区域连接实现全球云上网络。具体操作，可参见VPC连接。 3. 检查安全组规则，ECS与MySQL实例在不同安全组时，需要为MySQL和ECS分别设置安全组规则。可参见设置安全组规则。 4. 检查IP白名单，无论内外网访问，都需要加白名单才可访问，可参见设置IP白名单。 5. 连接时所使用的数据库密码是否正确，可通过数据库管理控制台界面进行重置密码。 外网无法连接数据库 1. 检查安全组规则，为MySQL实例绑定弹性IP后，需要为MySQL实例设置安全组规则。可参见设置安全组规则。 2. 检查IP白名单，无论内外网访问，都需要加白名单才可访问，可参见设置IP白名单。 MySQL实例绑定公网IP后无法ping通 1. 检查安全组规则。在 网络控制台的安全组 页面中，找到属于目标数据库实例的安全组，检查入方向规则。 2. 检查“ 网络ACL”规则。 3. 相同区域主机进行ping测试。在相同区域的弹性云主机去尝试ping，如果可以正常ping通弹性公网IP说明虚拟网络正常，如果仍然没有ping通请联系技术支持。

灵活配置 依托天翼云提供的海量高并发、多种资源类型（如CPU、内存、GPU等）的容器计算资源，支持容器组精确到实例的资源限定配额，您可以根据需要灵活部署，以满足不同业务场景的需求。 兼容Kubernetes 原生支持 Kubernetes，支持ECI通过虚拟节点接入到Kubernetes集群中，从而使得集群可以平滑使用 ECI，轻松获得极大的弹性能力，而不必受限于集群的节点计算容量。

本文主要介绍什么是访问控制策略。 共享型和独享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 访问流量的IP先通过白名单或黑名单访问控制，然后负载均衡转发流量，通过安全组安全规则限制，所以安全组的规则设置是不会影响负载均衡的白名单或黑名单设置访问控制。 访问控制只限制实际业务的流量转发，不限制ping命令操作，被限制的IP仍可以ping通后端主机。 配置了白名单，但是不在白名单的IP也能访问后端主机，可能的原因是该连接为长连接。需要客户端或后端主机断开该长连接。访问控制策略对新建的连接是实时生效的。 天翼云部分二类节点正在升级，以支持访问控制策略的IP地址组能力，敬请客户随时关注。 设置访问控制策略 1. 登录管理控制台。 2. 在管理控制台左上角单击 图标，选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击负载均衡名称，进入监听器管理界面。 5. 在需要添加访问控制策略的监听器基本信息页面，单击访问控制右侧“设置访问控制”按钮，配置访问控制策略。 访问控制参数说明表 参数 说明 样例 访问策略 可以选择允许所有IP访问、白名单和黑名单。 允许所有IP访问：不进行访问控制，允许所有IP访问负载均衡监听器。 白名单：仅允许IP地址组中的IP访问负载均衡监听器。黑名单：不允许IP地址组中的IP访问负载均衡监听器。 黑名单 IP地址组 设置白名单或者黑名单时，必须选择一个IP地址组。 如果还未创建IP地址组，需要先创建IP地址组。 ipGroupb2 访问控制开关 当访问策略选择白名单或者黑名单时，可以开启或者关闭访问控制开关。 开启：开启访问控制开关，设置的白名单和黑名单才会生效。 关闭：关闭访问控制开关，设置的白名单和黑名单不生效。 6. 配置完成，点击“确定”。

本章节主要介绍如何进行集群服务管理操作。 集群创建成功后，用户可以根据实际业务场景，新增此前未安装的集群服务，用于满足日渐丰富的业务需求。 背景信息 1. V2.15版本起，翼MR集群支持集群服务管理功能。 2. 仅支持对状态为“运行中”的集群新增集群服务。 3. 部分组件部署时依赖其他组件，在勾选此类服务时，会同时勾选被依赖组件。详情请参考组件依赖关系表。 操作步骤 1. 登录翼MapReduce管理控制台。 2. 从“我的集群”中 ，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 选择“集群服务管理”，在页面中勾选需要新增的服务，并点击“部署”按钮进行新增服务。新增Hive与Ranger组件时，需填写元数据配置，点击“确定”将自动进行连接性测试，测试无误将启动部署。 4. 部署完成后，服务状态变为“部署完成”，用户可在“翼MR Manager”的“集群服务”中查看服务详情。

本节包含了通用计算增强型弹性云主机的实例特点。 通用计算增强型弹性云主机是CPU独享型实例，实例间无CPU资源争抢，性能强劲稳定，搭载全新网络加速引擎，以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更高的网络性能，满足不同场景需求。 在售：C6s、C6、C3、C3s、C6nl、C7n、C7t、C7、C9 表 通用计算增强型实例特点 规格名称 计算 磁盘类型 网络 :::: 通用计算增强型C6s CPU/内存配比：1:2/1:4 vCPU数量范围：264 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.5GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：850万PPS 最大内网带宽：30Gbps 通用计算增强型C6 CPU/内存配比：1:2/1:4 vCPU数量范围：264 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.4GHz 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：1000万PPS 最大内网带宽：40Gbps 通用计算增强型C3 CPU/内存配比：1:2/1:4 vCPU数量范围：260 处理器：英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.4GHz 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：500万PPS 最大内网带宽：17Gbps 通用计算增强型C3s CPU/内存配比：1:2/1:4 vCPU数量范围：260 处理器：英特尔® 至强® 可扩展处理器 基频/睿频：2.2GHz/3.0GHz 高IO 超高IO 通用型SSD 极速型SSD 不支持IPv6 CPU独享、性能稳定 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：400万PPS 最大内网带宽：14.5Gbps 通用计算增强型C6nl CPU/内存配比：1:2/1:4 vCPU数量范围：264 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：3.0GHz/3.5GHz 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：800万PPS 最大内网带宽：40Gbps 通用计算增强型C7n CPU/内存配比：1:2/1:4 vCPU数量范围：296 处理器：第三代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.4GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 全面配套eVS 5.0网络，所有实例均支持TrunkPort能力. 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：850万PPS 最大内网带宽：40Gbps 通用计算增强型C7t CPU/内存配比：1:2/1:4 vCPU数量范围：2128 处理器：第三代英特尔® 至强® 可扩展处理器 基频/睿频：2.8GHz/3.5GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：3000万PPS 最大内网带宽：90Gbps 最大网络连接数：1000万 通用计算增强型C9 CPU/内存配比：1:2/1:4 vCPU数量范围：2128 处理器：第三代英特尔® 至强® 可扩展处理器 基频/睿频：2.8GHz/3.5GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：1200万PPS 最大内网带宽：42Gbps 最大网络连接数：1000万 通用计算增强型C9 CPU/内存配比：1:2/1:4 vCPU数量范围：2192 基频/睿频：3.1GHz/3.6GHz 支持开启/关闭超线程功能，详细内容请参见开启/关闭超线程 高IO 超高IO 通用型SSD 极速型SSD 支持IPv6 超高网络收发包能力 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：4000万PPS 最大内网带宽：120Gbps 最大网络连接数：1000万 说明 对于Linux系统的弹性云主机，当v7代系以下规格的操作系统内核为5.16及以上版本时，不支持AVX指令，如需支持AVX指令，需使用低内核版本的操作系统，或变更为v7代系及以上版本的规格。 您可以通过 uname r 命令查看操作系统内核版本，也可以参考

本节介绍了什么是GeminiDB Redis接口。 GeminiDB Redis是一款基于计算存储分离架构，兼容Redis生态的云原生NoSQL数据库。GeminiDB Redis突破了开源Redis的内存限制，通过将数据进行冷热分离，在保证热数据驻留计算节点内存满足业务低时延要求的同时，将冷数据置换入分布式存储池进行持久化存储，最大程度的降低使用成本。 GeminiDB Redis具有高兼容、高性价比、高可靠、弹性伸缩、高可用、冷热分离等特点。 高兼容 用户应用无需修改代码，可直接使用，100%兼容原生Redis接口。 高性价比 GeminiDB Redis基于共享存储，在提供足够性能的前提下，大幅度降低海量数据使用Redis的成本。 GeminiDB Redis将数据全部存储在磁盘中，并实现了冷热分离，解决了缓存（cache）与数据库（Data Base，DB）之间交互访问的问题，提高了程序可读性与程序运行效率。 高可靠 GeminiDB Redis基于共享存储池的多副本强一致机制，保证数据的安全可靠。 计算节点无状态，故障节点自动接管。 存储池支持跨AZ部署。 无损弹性伸缩 RocksDB深度定制，秒级分裂弹性扩容。 扩缩容无需搬迁数据，快速而平滑。 通过Proxy代理，使上层业务可以不感知内核处理扩缩容过程中的数据迁移。

本节主要介绍GeminiDB Influx接口的计费项。 计费说明 GeminiDB Influx的计费项由实例规格费用、存储空间费用、备份空间费用和公网流量费用组成。具体内容如表1所示。 说明 标 的计费项为必选计费项。 标 的计费项为必选计费项。 表1 GeminiDB Influx实例计费项 计费项 计费项说明 适用的计费模式 计费公式 实例规格 计费因子：vCPU和内存，不同规格的实例类型提供不同的计算和存储能力。 包年/包月、按需计费 实例规格单价 购买时长 实例规格单价请参见云数据库GeminiDB产品价格的“数据库计算实例价格”。 存储空间 计费因子：存储空间，按统一标准进行计费。 包年/包月、按需计费 存储空间单价 存储容量 购买时长 请参见云数据库GeminiDB产品价格的“数据库存储空间价格”。 备份空间 计费因子：备份空间，按统一标准进行计费。 按需计费 备份空间单价 备份收费容量 购买时长 请参见云数据库GeminiDB产品价格的“数据库备份空间价格”。 说明 计费时长：备份超过免费空间大小的使用时长。 冷存储空间 计费因子：冷存储空间，按统一标准进行计费。 包年/包月、按需计费 冷存储 空间单价 存储容量 购买时长 公网流量 如有互联网访问需求，您需要购买弹性公网IP。 计费因子：带宽费、流量费和IP保有费。 包年/包月计费模式支持按带宽计费方式，收取带宽费。 按需计费模式支持按带宽计费、按流量计费和加入共享带宽三种计费方式，分别收取带宽费+IP保有费、流量费+IP保有费、带宽费+IP保有费。 包年/包月、按需计费 带宽费支持使用带宽加油包抵扣，流量费支持使用共享流量包抵扣。 按固定带宽值采用阶梯计费 0Mbit/s~5Mbit/s（含）：均为一个统一的单价 大于5Mbit/s：按每Mbit/s计费 公网带宽单价，请参见[](

为保障您的账户安全、避免额外损失,请务必仔细阅读安全风险提示的全部内容。 OpenClaw 是运行于系统级环境的通用 AI Agent，支持文件读写、代码执行、多步任务编排，可通过聊天工具接收指令执行对应操作。因其具备较高系统操作权限，强烈建议您仅在隔离、可控的云端环境中部署运行。 天翼云提供的 OpenClaw 软件环境来源于第三方或开源社区，仅供您参考与合规使用。您需自行评估使用相关的全部风险，因部署、配置、使用该镜像及相关软件产生的任何直接或间接损失、安全与合规责任，天翼云不承担相关责任。请您确保所有使用行为符合国家法律法规、监管要求及对应开源许可协议。 请您结合自身业务需求与安全要求，合理配置系统与权限策略，保障运行环境安全可控。为降低潜在安全风险，请您重点关注以下使用注意事项： 1. 及时更新版本 定期升级OpenClaw 及相关组件，避免因已知漏洞带来安全风险。 2. 加强数据备份 建议建立定期备份机制，防止因系统故障或误操作导致数据丢失。 3. 控制网络暴露面 非必要情况下，不建议将OpenClaw 服务端口直接暴露至互联网，可通过安全组、内网访问或代理方式进行访问控制。 4. 遵循最小权限原则 仅启用必要的工具和功能，避免授予OpenClaw 过高的系统权限或无限制的自主执行能力。 5. 使用可信来源的Skills插件 建议优先使用官方或经过安全验证的Skills，避免使用来源不明的插件，以降低安全风险。 6. 部署主机安全防护措施 建议安装主机安全防护软件。天翼云为云主机提供免费的主机安全卫士，建议在创建实例时启用相关安全服务。 7. 妥善保护访问凭证 对API Key、Token 等敏感凭证进行安全存储与加密管理，避免泄露。 8. 开启日志与审计机制 建议启用操作日志与行为审计功能，以确保关键操作可记录、可追溯。

您可以根据需求将智能网关与天翼云SDWAN实例或者云专线进行解绑。 操作场景 用户将智能网关与天翼云SDWAN实例或者专线解绑。 解绑后，用户线下分支机构将无法通过智能网关实例接入天翼云。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成SDWAN实例、智能网关实例和云专线的创建，且完成绑定操作。 如果需要解绑SDWAN，请先解绑云专线。 操作步骤 解绑云专线 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关“操作”列的“解绑网络实例”。 5. 在解绑网络实例页面，网络类型选择“专线”。 6. 确认无误后，单击“确定”，完成解绑操作。 解绑SDWAN 1. 在天翼云SDWAN总览页面，选择“智能网关”，单击目标智能网关“操作”列的“解绑网络实例”。 2. 在解绑网络实例页面，网络类型选择“SDWAN”。 3. 确认无误后，单击“确定”，完成解绑操作。

本文为您介绍山石防火墙如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置项 示例值 IKE 认证算法 SHA256 IKE 加密算法 3DES IKE DH分组 Group14 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK aa123bb IPsec 认证算法 SHA256 IPsec 加密算法 3DES IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 登录防火墙Web页面，在网络>VPN>IPsec VPN页面，在右上角的相关配置中选择P1提议，进入P1提议页面。 2. 在P1提议页面，单击“新建”，进入阶段1提议配置页面。 3. 在阶段1提议配置页面，根据天翼云IPsec连接中的配置信息进行配置，单击“确定”， 完成配置。 4. 在右上角的相关配置中选择P2提议，进入阶段2提议页面。 5. 在P2提议页面，单击“新建”，进入阶段2提议配置页面。 6. 在阶段2提议配置页面，根据天翼云IPsec连接中的配置信息进行配置，单击“确定”， 完成配置。 7. 在IPsec VPN页面， 单击“新建”，进入IPsec VPN配置页面。 8. 在IPSec VPN配置页面，展开“对端选择”下拉框，单击，进入VPN对端配置页面。 9. 在VPN对端配置页面，根据天翼云IPsec连接中的配置信息进行配置，单击“确定”，完成配置。 10. 在IPsec VPN配置页面，选择创建好的对端体，并根据天翼云IPsec连接中的配置信息完成隧道配置，单击“确定”。 11. 配置完成后，可以在IPsec VPN页面查看相关配置信息。 12. 在网络>安全域页面，单击“新建”按钮新建安全域。在安全域名称页面，输入安全域的名称，并在类型中选择三层安全域。 13. 在网络>接口页面，单击“新建”隧道接口，在隧道接口配置页面，根据提示输入配置接口名称、安全域、IP配置、绑定隧道配置（选择IPSec VPN及VPN名称）等，单击“确定”，完成配置。 14. 在策略>安全策略页面，单击“新建”，进入安全策略页面。根据提示输入配置，单击“确定”，配置完成。 15. 在网络>路由页面，单击“新建”分别添加上行和下行路由。 上行路由：目的地址为天翼云VPC的网段，下一跳为新建的隧道接口。 下行路由：如果目的网段非本地直连路由，请按需添加下行路由。 16. 测试连通性。 可以利用您的云主机和您的数据中心主机进行连通性测试。

本章节介绍云主机网络包重复故障演练。 背景介绍 在网络传输过程中，因设备配置错误（如交换机端口镜像）、中间件异常（如负载均衡重复转发）或协议缺陷，可能导致数据包被复制并多次送达目标主机。虽然 TCP 协议能够识别并丢弃重复的数据包以保证数据完整性，但这个过程会消耗额外的网络带宽和CPU资源。更严重的是，对于应用层协议，如果缺乏幂等性设计，重复的请求可能导致业务逻辑被错误地执行多次（如重复下单、重复扣款）。本演练模拟此场景，帮助您检验系统的处理能力和业务逻辑的幂等性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过增加TC和Netem规则模拟主机内网络包重复。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包重复动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包重复百分比：数据包被复制的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被复制并重复发送一次。

本节主要介绍DNAT规则的常见问题。 为什么使用DNAT？ 公网NAT网关的DNAT功能绑定弹性IP，可通过IP映射或端口映射两种方式，实现VPC内跨可用区的多个云主机共享弹性IP，为互联网提供服务。 ECS变更规格后NAT网关规则失效怎么处理？ ECS变更规格时，会导致已配置的NAT规则失效，需要删除已配置的NAT规则后重新配置。

功能 约束与限制 部署 数据库实例所部署的弹性云主机，对用户不可见，只允许应用程序通过IP地址和端口访问数据库。 数据库访问 ● 对于没有开通公网访问的关系数据库MySQL实例，只能通过同一个虚拟私有云内的弹性云主机进行访问。 ● 弹性云主机必须处于目标关系数据库MySQL版实例所属安全组允许访问的范围内。 ● 当关系数据库MySQL版实例与弹性云主机处于不同的安全组时，系统会默认禁止访问，需要在数据库实例的安全组中添加“入站”访问规则进行授权。 ● 关系数据库MySQL版只读实例必须与主实例在同一子网内创建。 ● 关系数据库MySQL版实例的默认访问端口为13049（实际端口以控制台为准），如需修改端口可通过管理控制台操作。具体操作，请参见 数据库存储引擎 关系数据库MySQL版服务目前支持的存储引擎为：InnoDB，版本包括：5.7和8.0。更多信息，请参见 数据库的权限 数据库权限分为root用户权限和非root用户权限，具体说明如下： ● root用户权限：在创建实例时，默认为实例分配管理员root用户权限。具体权限说明，请参见本文的 root权限说明 。为避免影响业务正常使用，建议您谨慎对root帐号执行revoke、drop user、rename user操作。 ● 非root用户权限：实例创建成功后，您也可以为该实例创建非root用户并分配权限。具体操作，请参见 修改数据库参数设置 通过管理控制台可以修改大部分数据库参数。具体操作，请参见 搭建数据库复制 关系数据库MySQL版本身提供主备或一主两备的高可用架构，无需用户手动搭建。备库主要用于可高用和容错性，不允许用户应用直接访问。 重启实例 必须通过管理控制台操作重启实例，不支持命令行重启实例。 具体操作，请参见

本章节介绍应用容灾多活的数据层配置。 概述 数据层配置主要包括数据源 和数据同步，每个单元组可以单独进行配置，不同单元的数据源之间通过数据传输服务进行数据同步。 应用容灾多活通过控制面与数据面协同，对指定数据源进行相应的读写保护。当某个单元发生故障时，可以通过切流任务将应用流量和数据访问切换到其他正常单元，从而保障数据的一致性与业务的连续性。 图 数据层配置 前提条件 已开通数据层功能模块。 已完成系统架构配置以及路由规则配置。 已完成开通数据传输服务DTS实例。 已按规划打通数据同步所需网络，具体操作可参考虚拟私有云VPC等网络产品套件。 配置数据源 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 在应用系统列表中找到需要配置的应用系统，单击应用系统名称 ，进入应用系统概览页面。 4. 单击左侧导航栏容灾配置 ，在容灾配置菜单下单击数据层配置 ，进入容灾配置数据层配置页面。 5. 单击数据源配置列表上方创建 按钮，弹出创建数据源配置页面。 6. 如下表示例，填写配置信息，单击确定按钮，完成配置。 7. 如需修改或删除数据源配置，可单击所选配置操作列修改 或删除按钮，根据界面提示进行操作。 表 数据源配置 配置项 描述 示例 单元组 数据源所属业务分组，绑定其中路由规则。 订单业务 数据源名称 数据源自定义标识。 订单北京数据库 站点 数据源部署所在站点。 北京站点 数据源类型 数据源对应的数据库类型。 MySQL PostgresSQL 实例类型 数据库实例产品类型。 云实例 数据源实例 数据源对应的云实例ID。 TeleDB810 库名 数据库实例/schema。 order 数据库IP 数据库服务的IP地址。 192.168.0. 数据库端口 数据库服务的端口。 8080 字符编码 数据库实例所使用的字符编码。 utf8mb4 推送类型 数据库连接识别策略。 实例库URL：JDBC URL匹配策略。 实例库URL 推送标识 数据库连接标识，多活数据面组件进行拦截。 支持配置多个，以英文逗号分隔。 jdbc:mysql://192.168.0.:8080/order 用户名 数据源分配给多活管理所用用户，需有读写权限。 orderadmin 密码 数据源分配给多活管理所用密码。 说明 每个单元组可以配置多个数据源，通过不同的推送标识来管理。 注意 互相同步的数据源，要求一致的用户名与密码。 新增配置时请务必配置密码，配置后请务必记住您配置的密码，后续将不在控制台中显示，每次配置密码都将覆盖旧密码。

本文将介绍如何使用边缘安全加速平台安全与加速服务的内容安全监测功能。 功能介绍 天翼云监测系统平台依托海量数据训练的先进深度学习模型，能够精准监测网页中的文本与图片元素，快速识别并提取其中的敏感内容及其所属类别。平台支持多种主流内容格式，包括txt、html、wmlc、wml、xhtml、mht等，可全面覆盖各类网站的文本与图片内容监测需求。在合规性监测方面，平台涵盖涉黄、涉毒、涉政、赌博、暴恐、邪教等关键类别，能够对网站文本和图片内容进行全方位筛查，确保网络空间的健康与安全。 支持监测的图像格式包括但不限于JPEG、GIF、PNG、BMP、TIFF、JPEG2000；支持监测的文本格式包括但不限于Big5、UTF8、GBK、GB2312。 监测任务发现页面出现敏感信息后，将第一时间通知用户。用户可参考天翼云提供的安全建议及时删除敏感内容，避免事件影响扩散，给自身带来声誉和法律风险。用户也可以自定义所关心的敏感关键词。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为基础版及以上版本。 监测任务配置 若您需要监测网站文本、图片内容的合规性，请先配置监测任务。 配置项 配置项说明 任务名称 支持配置任务名称，如客户名内容安全监测 检测开关 开启或关闭 检测URI 默认输入/，即监测首页。默认去问号监测，即去除URL中问号（?）及其后的所有参数部分，仅对URL的主路径部分进行监测。 检测范围 默认检测当前页面及一级链接，支持配置检测范围至七级链接 监测周期 支持配置监测周期，可选3、6、12、24小时，默认监测周期为24小时 监测项 支持配置文本监测、图片监测 文本检测可支持AI审核或规则匹配，其中AI审核支持配置审核规格为严格、宽松或自定义，自定义审核阈值支持配置0.51的值，您可根据实际审核情况来配置，阈值越低，代表审核越严格。另外支持配置白名单词库与白名单URL，在白名单范围内的信息将不进行监测。规则匹配则支持从现有的敏感词库中匹配敏感词进行监测 图片监测支持配置审核规格为严格、宽松或自定义，自定义审核阈值支持配置0.51的值，您可根据实际审核情况来配置，阈值越低，代表审核越严格。并支持配置白名单URL，白名单内的URL将不进行监测. 支持选择是否监测外链，若现在是，可检测网站引入的外链是否有内容安全风险。 告警设置 连续检测N次异常则产生通知 通知方式 即告警通知和短信通知

本节介绍了云数据库GaussDB 的产品优势。 高安全 云数据库GaussDB 拥有TOP级的商业数据库安全特性：数据动态脱敏，TDE透明加密，行级访问控制，密态计算。能够满足政企&金融级客户的核心安全诉求。 健全的工具与服务化能力 云数据库GaussDB 已经拥有云服务商用服务化部署能力，同时支持DAS、DRS等生态工具。有效保障用户开发、运维、优化、监控、迁移等日常工作需要。