配置一个中心VPC与两个VPC的特定子网对等 如果您需要建立一个中心VPC以及多个其他VPC之间的资源互访，其中中心VPC部署一些共享资源，而其他VPC只能通过特定子网来访问中心VPC内的资源，并且各VPC之间保持隔离，那么您可以参考以下网络规划示例。在该规划中，中心VPC内的公共资源没有进行分类，其他VPC可以根据需要选择性地访问这些资源。其他VPC包含多个子网，根据业务需求指定某个子网来访问中心VPC内的资源。 资源规划 VPC名称 VPC网段 子网名称 子网网段 关联VPC路由表 弹性云主机名称 私有IP地址 VPCA 10.0.0.0/16 SubnetA01 10.0.1.0/24 RouterA A01 10.0.1.2 VPCB 192.168.0.0/16 SubnetB01 192.168.1.0/24 RouterB B01 192.168.1.2 VPCB 192.168.0.0/16 SubnetB02 192.168.2.0/24 RouterB B02 192.168.2.2 VPCC 192.168.0.0/16 SubnetC01 192.168.1.0/24 RouterC C01 192.168.1.3 VPCC 192.168.0.0/16 SubnetC02 192.168.2.0/24 RouterC C02 192.168.2.3

基本概念 本文为您介绍备案相关的一些基本概念，以助您快速了解ICP备案。 术语 说明 ICP备案 国家对经营性互联网信息服务实行许可制度，对非经营性互联网信息服务实行备案制度，未取得许可或者未履行备案手续，不得从事互联网信息服务。即所有对中国内地提供服务的网站或APP都必须先进行ICP备案，才可开通服务。 ICP备案号 ICP备案号在备案成功后由通信管理局下发，通信管理局会给备案主体分配主体备案号，同时也会给此次备案的网站或APP分配备案号。 接入商 提供托管网站或APP的服务器并协助您办理备案。 主体 办理备案的个人或单位。 新增备案 主体和域名从未办理过备案，在开通网站或APP访问前，需要通过天翼云ICP代备案管理系统完成新增备案。 接入备案 网站或APP已通过其他服务商取得ICP备案号，现改为使用天翼云服务器来托管网站或APP，则需要在天翼云接入备案。 新增互联网信息服务 您的ICP备案主体已在工信部办理过ICP备案，但此次备案的网站或APP未办理过ICP备案。 变更备案 网站或APP已经在天翼云取得备案号，后续备案主体或网站/APP信息发生变更，需及时在天翼云变更主体或变更网站/APP，更新您的备案信息。 取消接入 删除天翼云ICP代备案管理系统与网站或APP备案信息的关联。取消接入后天翼云将不再是您的接入服务商，且域名无法指向天翼云中国内地的服务器继续访问，如网站或APP在其他接入商也有备案记录在天翼云取消接入后工信部的备案号仍然存在。 注销备案 如果不再继续使用已备案成功的主体或网站/APP，需注销其备案信息。

基本概念 本文为您介绍备案相关的一些基本概念，以助您快速了解ICP备案。 术语 说明 ICP备案 国家对经营性互联网信息服务实行许可制度，对非经营性互联网信息服务实行备案制度，未取得许可或者未履行备案手续，不得从事互联网信息服务。即所有对中国内地提供服务的网站或APP都必须先进行ICP备案，才可开通服务。 ICP备案号 ICP备案号在备案成功后由通信管理局下发，通信管理局会给备案主体分配主体备案号，同时也会给此次备案的网站或APP分配备案号。 接入商 提供托管网站或APP的服务器并协助您办理备案。 主体 办理备案的个人或单位。 新增备案 主体和域名从未办理过备案，在开通网站或APP访问前，需要通过天翼云ICP代备案管理系统完成新增备案。 接入备案 网站或APP已通过其他服务商取得ICP备案号，现改为使用天翼云服务器来托管网站或APP，则需要在天翼云接入备案。 新增互联网信息服务 您的ICP备案主体已在工信部办理过ICP备案，但此次备案的网站或APP未办理过ICP备案。 变更备案 网站或APP已经在天翼云取得备案号，后续备案主体或网站/APP信息发生变更，需及时在天翼云变更主体或变更网站/APP，更新您的备案信息。 取消接入 删除天翼云ICP代备案管理系统与网站或APP备案信息的关联。取消接入后天翼云将不再是您的接入服务商，且域名无法指向天翼云中国内地的服务器继续访问，如网站或APP在其他接入商也有备案记录在天翼云取消接入后工信部的备案号仍然存在。 注销备案 如果不再继续使用已备案成功的主体或网站/APP，需注销其备案信息。

天翼云支持云硬盘快照功能,用以快速恢复数据,确保业务稳定运行。 什么是云硬盘快照 云硬盘快照是云硬盘数据在特定时间点的完整副本或镜像。作为一种主要的灾难恢复方法，用户可以使用快照将数据完全恢复到创建快照时的时间点。用户可以通过管理控制台或者API接口创建云硬盘快照。 说明 当前支持云硬盘快照的资源池为华东1和华北2。 云硬盘快照原理 快照分为全量快照和增量快照。 云硬盘的第一个快照为不包含空数据块的全量快照。后续快照是增量快照，仅存储自前一个快照以来发生更改的数据块。 具体原理如下图所示： 云硬盘快照计费说明 天翼云云硬盘快照采用按需付费的方式计费，先使用，后付费，按照您实际使用容量收取快照存储费用。具体收费标准请参见云硬盘快照计费说明。 云硬盘快照使用场景 数据保护和恢复：快照可以用作数据的备份和恢复手段。当云硬盘的数据发生意外删除、损坏或错误修改时，可以使用快照来恢复到之前的状态。 数据恢复测试：可以使用快照来进行数据恢复测试。在进行关键操作之前，先创建一个快照，然后在测试过程中可以随时回滚到快照状态，以确保操作的安全性和可靠性。 数据备份和归档：通过创建快照，可以定期备份云硬盘的数据，并将快照存档用于长期数据保留、合规要求或法律需求。 批量部署多个业务：通过同一个快照可以快速创建出多个具有相同数据的云硬盘，从而可以同时为多种业务提供数据资源。例如数据挖掘、报表查询和开发测试等业务。

本页介绍了ECS和文档数据库服务署在不同的VPC，网络不通怎么办如何处理。 请参考弹性云主机用户指南网卡切换虚拟私有云，将ECS的虚拟私有云切换为与文档数据库服务相同的虚拟私有云。

本文带您了解云主机访问控制的方法。 IAM身份认证 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。具体请参考：统一身份认证IAM介绍。 企业项目 企业项目管理（Enterprise Project Management Service，简称“EPS”），为客户提供与企业组织架构和业务管理模型匹配的云治理能力。以面向企业资源管理为出发点，帮助企业以部门、项目等组织架构分级管理和项目业务结构来实现企业在云上的人、物、权管理，提供企业人员管理、项目管理、资源管理等能力。 企业项目服务申请开通后免费使用，您只需要为您帐号中的资源进行付费。 企业项目更多相关内容请参见：企业项目管理。 访问控制 虚拟私有云 虚拟私有云（Virtual Private Cloud，VPC）是您在天翼云上申请的隔离的、私密的网络环境。您能够在一个安全可控、隔离的网络环境中实现云资源的高效管理和利用。虚拟私有云具备丰富的产品特性，使得您可以自定义网络地址、路由表、安全组等。同时，虚拟私有云提供丰富的网络连接，可以满足云上虚拟私有云互访、公网访问、通过专线或者VPN与线下IDC互通等网络场景。 更多内容请参见虚拟私有云产品介绍。 安全组 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 安全组默认规则请参见安全组安全组概述。

参数 描述 源库类型 选择“ECS自建库”。 VPC 源数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 指定数据库名称 选择是否指定数据库，开启后需手动输入数据库名称。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的Bot情报库功能。 功能介绍 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前Bot虫情报库已维护接近10万条数据。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持Bot防护相关功能。 背景信息 边缘安全加速平台安全团队基于天翼云积累的海量威胁情报库，并经过离线分析技术，收集国内外公开的、已知的恶意爬虫IP；另外，通过反向解析技术，收录了众多SE类别的爬虫信息，两者结合形成爬虫情报库，内置近10万条友好爬虫与已知恶意爬虫IP信息，目前仍持续更新中。 针对已知爬虫，边缘云WAF为爬虫情报进行标识与分类，例如搜索引擎类的爬虫，分为谷歌爬虫、360爬虫、百度爬虫等各类标识，您可以仅针对其中的某类搜索引擎标识进行加白的动作，则后续此类爬虫IP将不经过边缘云WAF的Bot防护策略。对于恶意爬虫，您也可以对其进行一键封禁的操作，边缘云WAF将会对其进行拦截，避免网站业务遭受已知恶意爬虫的攻击。

本文主要介绍分布式消息服务RabbitMQ所需的环境准备。 创建RabbitMQ实例前，您需要提前准备相关依赖资源，包括虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。每个RabbitMQ实例都部署在某个VPC中，并绑定具体的子网和安全组，通过这样的方式为RabbitMQ提供一个隔离的、用户自主配置和管理的虚拟网络环境以及安全保护策略，提升实例的安全性。 如果用户已有VPC，可重复使用，不需要多次创建。 创建VPC 1、登录管理控制台。 2、在管理控制台右上角单击，选择区域。 说明 此处请选择与您的应用服务相同的区域。 3、在管理控制台左上角单击，选择“网络 > 虚拟私有云”。 4、单击“创建虚拟私有云”，进入“创建虚拟私有云”界面。 5、根据界面提示创建虚拟私有云。如无特殊需求，界面参数均可保持默认。关于创建VPC的详细信息可以参考《虚拟私有云用户指南》。 创建虚拟私有云时，会同时创建子网，若需要额外创建子网，请参考6。如果不需要额外创建子网，请执行7。 6、在左侧导航栏，单击“子网”，进入“子网”界面。单击“创建子网”。根据界面提示创建子网。如无特殊需求，界面参数均可保持默认。 关于创建子网的详细信息可以参考《虚拟私有云用户指南》。 7、在左侧导航栏，选择“访问控制 > 安全组”，进入“安全组”界面。根据界面提示创建安全组。如无特殊需求，界面参数均可保持默认。 关于创建安全组的详细信息可以参考《虚拟私有云用户指南》。 使用RabbitMQ实例前，添加表1所示安全组规则，其他规则请根据实际需要添加。 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问RabbitMQ实例，无需添加表1的规则。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 5672 0.0.0.0/0 访问RabbitMQ实例（关闭SSL） 入方向 TCP 5671 0.0.0.0/0 访问RabbitMQ实例（开启SSL） 入方向 TCP 15672 0.0.0.0/0 访问Web界面UI地址（关闭SSL加密） 入方向 TCP 15671 0.0.0.0/0 访问Web界面UI地址（开启SSL加密）

本节为您介绍Web应用防火墙（独享版）攻击防护类问题。 什么是防护IP？ 防护IP是指需要保护的网站的IP地址。 Web应用防火墙支持漏洞检测吗？ WAF的Web基础防护功能可以对第三方漏洞攻击等威胁进行检测和拦截。在配置Web基础防护规则时，如果您开启了扫描器，WAF将对扫描器爬虫，如OpenVAS、Nmap等进行检测。 Web应用防火墙是否支持Exchange里的相关协议？ WAF支持exchange里登录网页webmail时的http和https协议；WAF不支持exchange里的SMTP 、POP3 、IMAP 等邮件相关的协议。 Web应用防火墙是否支持防御XOR注入攻击？ Web应用防火墙支持防御XOR注入。 如何理解WAF日志里的bindip参数？ 网站接入WAF后，WAF作为反向代理存在客户端与源站服务器之间，检测过滤恶意攻击流量，用bindip（WAF的回源IP）将正常的流量转发传输到源站。 通过IP接入WAF后，WAF可以防护映射到这个IP的所有域名吗？ 不支持。WAF的独享模式支持源站IP接入WAF防护，且该IP支持私网IP或者内网IP，但WAF仅防护通过IP访问的流量，不能防护映射到这个IP的域名，如需防护域名，需要单独将域名接入WAF进行防护。 Web应用防火墙是否支持SSL双向认证？ 不支持。您可以在WAF上配置单向的SSL证书。

本文介绍天翼云全站加速服务等级协议。 天翼云全站加速产品采用《天翼云CDN服务等级协议》，详情请参见：天翼云CDN服务等级协议。

本文介绍如何通过独享型接入方式将网站接入WAF进行防护。 使用独享型接入方式接入WAF前，需要先添加防护对象。 前提条件 已购买WAF独享型实例，且当前实例支持接入的防护对象数量未超过限制。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到云WAF控制台，在左侧导航栏选择“接入管理”，选择“独享型接入”页签。 5. 点击“添加防护对象”进入信息配置页，依次配置“防护对象”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。 配置项说明如下： 配置项 说明 选择实例 单击“选择实例”，在弹出的选择实例对话框中，找到目标实例，单击操作列的“选择”。 防护对象 填写防护网站的域名或IP。 域名：支持添加精确域名和泛域名。 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 IP：支持防护公网IP、私网IP。 当填写公网IP时，指客户端访问业务系统直接指向的弹性IP（该弹性IP可能绑定在防火墙或WAF上）。 当填写私网IP时（用于内网访问防护场景），填写内网客户端访问的内网IP（因内网访问情况下，WAF代理业务系统，此处需填写WAF代理业务系统的IP而非业务系统本身的IP，即WAF业务网卡的VIP，业务系统内网IP填写在回源IP处）。 说明 采用内部IP代理场景下，因直接通过IP访问，WAF监听对象为WAF本身的IP，为了区分不同的业务，后端多业务不能采用相同端口，例如后端两个不同的业务不能同时采用80端口，否则WAF无法判断业务需要回源到哪个端口，会导致防护无法生效；若内部WAF采用域名进行区分则可配置相同端口。 防护对象名称 自定义防护网站的显示名称。 服务器配置 单击“添加一个服务器端口组”，弹出新增服务器端口组窗口。 选择网站使用的协议类型以及对应的转发服务端口： 协议类型：HTTP/HTTPS。 端口：选中协议后，系统会对应设置默认端口，HTTP协议默认为80端口，HTTPS协议默认为443端口。 用户也可自定义选择其他端口，可选类型： 标准端口：80、8080；443、8443。 非标端口：除以上标准端口以外的端口。 说明 如果防护域名使用非标准端口，请查看WAF支持的端口。 WAF通过此处添加的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口，WAF不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。 源站地址：设置网站的源站服务器地址，支持IP地址格式和域名格式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下： IP地址格式：填写源站的私网IP地址。 最多支持添加40个源站IP或服务器域名。 支持同时配置IPv4和IPv6地址。 说明 如果此处配置私网IP，请确保WAF到源站的网络路径是可访问的，以便于WAF能够对流量进行监控。 域名格式：一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时， WAF会将客户端请求转发到回源域名解析出来的IP地址。 权重：当负载均衡算法为“加权轮询”时生效，所有请求将此处配置的权重轮流分配给源站服务器，权重越大，回源到该源站的几率越高。 不输入则视同为最低权重1。 当输入值为0时，业务不会回源到该站点。 取值范围：0~100的正整数。 说明 当健康检查发现站点出现问题时，剩余站点将按照剩余配置权重进行动态比例变化后的结果进行回源转发，节点回源请求比例节点权重/所有权重之和。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 若设置多个权重为0的节点，仅会回源至列表上第一个权重为0的节点。 所有站点全部健康检查失败，会强制回配置列表第一个节点。 证书配置 若选择HTTPS协议，还需要上传证书，且证书必须正确、有效，才能保证WAF正常防护网站的HTTPS协议访问请求。 1. 点击“上传证书”，进入服务器端证书配置页面。 2. 选择证书类型，支持“通用证书”和“国密证书”。 3. 配置证书。支持证书选择、手动填写、文件上传方式： 证书选择：如您使用了证书管理服务，可通过下拉框选择已有证书。 手动填写：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。 文件上传：填写证书名称，点击“上传”，将与域名关联的证书文件和私钥文件上传至平台中。 说明 手动填写需要将证书和私钥的PEM编码内容填入。 上传证书时，如果证书是.PEM/.CER/.CRT的后缀，可以直接上传；私钥文件若为.KEY/.PEM的后缀，请确保内容格式为PME编码，即可上传。 高级设置 > HTTP强制跳转 选择HTTPS后，还支持启用HTTP强制跳转功能。 HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求，默认跳转到443端口。 如果您需要强制客户端使用HTTPS请求访问网站以提高安全性，则开启该设置。 说明 只有在未选中HTTP协议时，支持开启该设置。 请确保网站支持HTTPS业务再开启该设置。开启该设置后，部分浏览器将被强制设置为使用HTTPS请求访问网站。 高级设置 > TLS协议版本和加密套件 选择证书后，需要配置TLS协议版本和加密套件。WAF默认配置的TLS协议版本为“TLS1.0及以上版本”，加密套件为“全部加密套件”。 TLS协议版本 配置说明如下，为了确保网站安全，请根据业务实际需求进行配置： 支持TLS1.0及以上版本：所有的TLS协议都可以访问网站，兼容性最高，适用于网站无安全性要求的场景。 支持TLS1.1及以上版本：WAF将自动拦截TLS1.0协议的访问请求，适用于网站安全性能要求一般的场景。 支持TLS1.2及以上版本：WAF将自动拦截TLS1.0和TLS1.1协议的访问请求，适用于网站安全性能要求很高的场景。 自定义加密协议：WAF只允许所选TLS协议访问网站。 加密套件 配置说明： 全部加密套件：兼容性较高，安全性较低。 协议版本的自定义加密套件：请谨慎选择，避免影响业务。 WAF支持的加密套件及TLS协议版本详细信息请参见WAF支持的加密套件。 高级设置 > SSL解析方式 选择HTTPS后，支持配置SSL解析方式。支持“单向认证”和“双向认证”。 说明 国密证书暂不支持双向认证。 健康检查 开启健康检查将自动移除对失效源站的转发策略，当失效源站恢复健康后将重新加入转发列表。 开启后，还需配置健康检查策略。 代理情况 选择网站业务在接入WAF前是否开启了其他代理服务（例如DDoS高防、CDN等），按实际情况选择： 否：表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。 是：表示WAF收到的业务请求来自其他代理服务转发，而非直接来自发起请求的客户端。 为了保证WAF可以获取真实的客户端IP进行安全分析，需要进一步设置“源IP获取方式”。 源IP获取方式：系统默认设置为“从Socket连接中获取”，您也可按实际情况，创建一个有序的判定列表，系统将从列表的第一项开始查找，若不存在或者是非法的IP格式，则尝试下一条。 其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则，可选项如下： 从Socket连接中获取 从XFowardedFor连接中获取倒数第x层代理 从HTTP头“XClientIP”中获取 负载均衡策略 当设置了多个源站服务器地址时，需设置多源站服务器间的负载均衡算法。可选项如下： 轮询：将所有请求轮流分配给不同的源站服务器。 IP Hash：将来自同一个IP的请求定向分配给同一个源站服务器。 加权轮询：根据同一组回源地址内配置的权重进行加权回源，权重越大，回源到该源站的几率越高。 设置生效后，WAF将根据设置的负载均衡算法向多个源站地址分发回源请求，实现负载均衡。 流量标记 开启流量标记功能，WAF在转发客户端请求到源站服务器时，通过在回源请求头部添加标记字段，标记该请求经过WAF转发，可以帮助源站判断请求来源。 如果请求中存在指定标记字段，则为WAF检测后的正常请求，放行该请求；如果请求中不存在指定标记字段，则为攻击者请求，拦截该请求。 单击“添加一个标记”，添加流量标记。最多支持添加5个标记字段。 支持如下标记类型： 自定义请求Header，配置自定义Header名、Header值。 客户端真实IP，配置客户端真实IP所在的HTTP Header名。 客户端真实源端口，配置客户端真实源端口所在的HTTP Header名。 注意 请勿填写标准的HTTP头部字段，否则会导致标准头部字段内容被自定义的字段值覆盖。 回源长连接 功能开启后，支持回源长连接功能，WAF独享版最大支持50000个回源长连接。 开启“回源长连接”后，还需配置“空闲连接超时时间”，默认值为10秒，最多支持60秒。 功能关闭后，将不支持WebSocket。 说明 当针对源站健康检查失败时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，直至该源站恢复健康。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。 超时配置 开启超时配置，可以配置如下超时时间： 连接超时时间：WAF转发客户端请求时，与源站建立连接的超时时间。 读连接超时时间：WAF等待源站响应的超时时间。 写连接超时时间：WAF向源站发送请求的超时时间。 以上默认值均为60秒，最短支持10秒，最长支持1200秒。 备注 防护对象的描述信息，可以自定义。 6. 配置完成后单击“保存”，返回独享型接入页面。该网站的WAF防护开关默认开启。

组网示例 推荐场景 IP类型 配置示例 相互对等的两个VPC 当您需要两个VPC之间彼此资源互访时，可以参考本示例规划组网。 比如，人力资源部门使用VPCA，财务部门使用VPCB，需要这两个VPC之间资源无限制互访。 IPv4 配置相互对等的两个VPC (IPv4) 相互对等的两个VPC 当您需要两个VPC之间彼此资源互访时，可以参考本示例规划组网。 比如，人力资源部门使用VPCA，财务部门使用VPCB，需要这两个VPC之间资源无限制互访。 IPv6 配置相互对等的两个VPC (IPv6) 相互对等的多个VPC 当您需要多个VPC之间彼此资源互访时，可以参考本示例规划组网。 比如，人力资源部门使用VPCA，财务部门使用VPCB，市场部门使用VPCC，需要多个VPC之间资源无限制互访 IPv4 配置相互对等的多个VPC (IPv4) 相互对等的多个VPC 当您需要多个VPC之间彼此资源互访时，可以参考本示例规划组网。 比如，人力资源部门使用VPCA，财务部门使用VPCB，市场部门使用VPCC，需要多个VPC之间资源无限制互访 IPv6 配置相互对等的多个VPC (IPv6) 一个中心VPC的主网段和扩展网段与两个VPC对等 本示例与上述示例类似，只是中心VPC存在主网段和扩展网段。 IPv4 配置一个中心VPC的主网段和扩展网段与两个VPC对等 (IPv4) 一个中心VPC与多个VPC对等 当您需要一个中心VPC和其他多个VPC之间资源互访时，要求其他多个VPC可以访问中心VPC的所有资源，但彼此之间隔离时，可以参考本示例规划组网。 比如，您的中心VPCA上部署有公共服务（例如数据库），VPCB、VPCC、VPCD、VPCE、VPCF以及VPCG均需要访问该数据库，但是这些VPC之间无需资源互访。 IPv4 配置一个中心VPC与多个VPC对等 (IPv4) 一个中心VPC与多个VPC对等 当您需要一个中心VPC和其他多个VPC之间资源互访时，要求其他多个VPC可以访问中心VPC的所有资源，但彼此之间隔离时，可以参考本示例规划组网。 比如，您的中心VPCA上部署有公共服务（例如数据库），VPCB、VPCC、VPCD、VPCE、VPCF以及VPCG均需要访问该数据库，但是这些VPC之间无需资源互访。 IPv6 配置一个中心VPC与多个VPC对等 (IPv6)

本章节向您介绍如何查看子网关联的路由表。 操作场景 您可以查看子网关联的路由表以及路由信息。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏，选择“虚拟私有云 > 路由表”。进入子网列表页面。 4. 在子网列表中，找到目标子网，并单击子网名称超链接。进入子网详情页面。 5. 在子网详情页面右侧区域，查看子网关联的路由表。 6. 单击路由表名称超链接。进入路由表详情页面，您可以进一步查看路由信息。

本章节介绍主子账号体系内容 概述 云原生网关目前已接入主子账号体系，通过主账号对子账号并对其分配访问权限，用户可以实现对企业中云服务和资源的访问及操作权限，避免账号滥用。主子帐号支持数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系进行权限管理。 术语解释 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 说明 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 云原生网关中提供了两种系统策略：cgw viewer只读权限，只能对实例资源进行读操作；cgw admin管理权限，可以对实例资源进行管理维护，包括读与写操作，等同于主账号访问权限。 自定义策略： 创建自定义策略可以支持更细粒度的授权，对于云原生网关，可以自定义功能访问权限以及资源访问权限。 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

本节介绍了设置网卡属性为DHCP(Windows)的操作场景、前提条件、操作步骤。 操作场景 通过云主机或者外部镜像文件创建私有镜像时，如果云主机或镜像文件所在虚拟机的网络配置是静态IP地址时，您需要修改网卡属性为DHCP，以使私有镜像发放的新云主机可以动态获取IP地址。 本节以Windows Server 2008 R2操作系统为例。其他操作系统配置方法略有区别，请参考对应操作系统的相关资料进行操作，文档中不对此进行详细说明。 说明： 使用外部镜像文件创建私有镜像时，设置网卡属性操作需要在虚拟机内部完成，建议您在原平台的虚拟机实施修改后，再导出镜像。 前提条件 已登录创建Windows私有镜像所使用的云主机。 登录云主机的详细操作请参见《弹性云主机用户指南》。 操作步骤 1. 在云主机上选择“开始 > 控制面板”。 2. 单击“网络和Internet”。 3. 单击“网络和共享中心”，如下图所示。 网络和共享中心 4. 选择您已经设置为静态IP的连接。以单击“本地连接 2”为例，如下图所示。 本地连接 2状态 5. 单击“属性”，选择您配置的协议版本。 6. 在“常规”页签中勾选“自动获得IP地址”和“自动获得DNS服务器地址”，单击“确定”，如下图所示。 说明： 建议您记录原有网络信息，以便后续可以修改回原有配置。 配置网络获取IP方式 7. 系统会自动获取IP地址。建议您保存原有的地址信息，方便后续修改回原有配置。

本文向您介绍如何查看当前组织信息以及如何切换不同组织。 背景信息 组织是数据管理服务中的一个基础概念。每一个天翼云主账号进入数据管理服务系统均自动创建一个组织并把该主账号作为该组织的超级管理员。此外，该主账号下的子账号进入数据管理服务会自动加入到对应主账号的同组织。主账号可添加其他账号进入组织。主账号或子账号均可以加入不同组织。每个组织下的用户和数据库实例均互相隔离，操作互不影响。 查看组织信息 1. 登录数据管理服务。 2. 访问控制台首页，点击右上角的头像查看个人信息，其中包含当前所在组织信息。 切换组织 1. 登录数据管理服务。 2. 访问控制台首页，点击右上角的头像，显示个人信息，再点击切换组织显示切换组织弹窗。 3. 在切换组织弹窗中，界面展示所有用户已加入的组织列表。选中其中一个组织，点击确定进行切换。

本文主要介绍使用场景 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，可以很方便的实现审计类功能，以帮助用户更好地规划和利用已有资源、甄别违规或高危操作。 以下介绍三种典型应用场景。 安全审计场景 根据云审计服务收集的日志记录，通过查询具体的、符合某一特征的记录，执行安全分析，判断用户的操作是否符合权限要求。 问题定位场景 当现网某个特定资源或动作出现问题，可根据云审计服务收集的日志记录，通过查询对应时间、对应资源的操作记录，查看当时的请求动作和响应，支撑问题定位分析。 资源跟踪场景 根据云审计服务所记录的操作记录，可以查看任意云服务资源在其整个生命周期内的操作记录，并检视具体操作的细节。

本章节主要描述订单及费用查询的快速入门。 查看资源 可以通过ECX控制台，查看开通的资源实例情况。 边缘虚拟机：控制台边缘虚拟机实例 。 边缘裸金属：控制台边缘裸金属裸金属服务器。 边缘存储：根据选购的存储类型不同，在控制台边缘存储本地盘、云硬盘、本地裸盘、文件存储等板块中查看。 边缘网络：根据选购的网络产品不同，在控制台边缘网络公网访问公网IP、控制台边缘网络公网访问共享带宽、控制台边缘网络公网访问IPv6网关、控制台边缘网络NAT网关、控制台边缘网络弹性负载均衡等板块中查看。 切换不同节点，查看在不同节点开通的资源实例情况。 查看订单 在天翼云官网我的费用中心订单管理中查看。 订单与资源实例的区别：一个订单中可能包含多种、多个资源实例。资源实例开通、升配、续订、退订都会产生新的订单。在ECX控制台查看到的订单号为资源的开通订单号。 您可以在ECX控制台查看资源的计费资源ID，在ECX控制台费用板块、官网首页我的费用中心板块中，通过该ID查询到相应的订单记录。 部分资源实例在我的订单中不展示，有效的资源实例以控制台中展示的为准。

设置共享文件的权限 需要在FTP站点为共享给用户的文件夹设置访问及修改等权限。 a.在服务器上创建一个供FTP使用的文件夹，选择文件夹，并单击右键选择“属性”。 此处以“work01”文件夹为例。 b.在“安全”页签，选择 “Everyone”，单击“编辑”。 如果没有“Everyone”用户可以直接选择，需要先进行添加，添加方法请参见FAQ 2 如果设置文件夹的属性时，没有“Everyone”用户可直接选择，可按照如下步骤添加“Everyone”用户。 c.选择“Everyone”，然后根据需要，选择“Everyone”的权限，并单击“确定”。 此处以允许所有权限为例。 添加及设置FTP站点 a.在“服务器管理器”中，选择“仪表板 > 工具 > Internet Information Services (IIS)管理器”。 b.选择“网站”并单击右键，然后选择“添加FTP站点”。 c.在弹出的窗口中，填写FTP站点名称及共享文件夹的物理路径，然后单击“下一步”。 此处站点名称以“FTPSERVER”为例。 d.输入该弹性云主机的私有IP地址以及端口号，并设置SSL，单击“下一步”。 端口号默认为21，也可自行设置 。 SSL根据需要进行设置。 无：不需要SSL加密。 允许：允许FTP服务器与客户端的非SSL和SSL连接。 需要：需要对FTP服务器和客户端之间的通信进行SSL加密。 说明 当SSL选择“允许”和“需要”时，需要选择SSL证书。可以选择已有的SSL证书，也可以制作一个SSL证书，具体制作证书的方法请参见FAQ3 制作服务器证书。 e.设置身份认证和授权信息，并单击“完成”。 身份认证 匿名： 允许任何仅提供用户名“anonymous”或“ftp”的用户访问内容。 基本： 需要用户提供有效用户名和密码才能访问内容。但是基本身份验证通过网络传输密码时不加密，因此建议在确认客户端和FTP服务器之间的网络连接安全时使用此身份验证方法。 授权 允许访问 所有用户：所有用户均可访问相应内容。 匿名用户：匿名用户可访问相应内容。 指定角色或用户组：仅指定的角色或用户组的成员才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的角色或用户组。 指定用户：仅指定的用户才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的用户。 权限：选择经过授权的用户的“读取”和“写入”权限。 f.绑定弹性云主机的私网IP。 选择“网站”，选中创建的FTP站点，单击“绑定”；在弹出的“网站绑定”窗口单击“添加”，然后在弹出的窗口中添加弹性云主机的私网IP地址，并单击“确定”。

本章节主要介绍创建MRS Hive连接器。 MRS Hive连接适用于MapReduce服务，本教程为您介绍如何创建MRS Hive连接器。 前提条件 已创建CDM集群。 已获取MRS集群的Manager IP、管理员账号和密码，且该账号拥有数据导入、导出的操作权限。 MRS集群和CDM集群之间网络互通，网络互通需满足如下条件： −CDM集群与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 −CDM集群与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组 > 添加安全组规则”章节。 −此外，您还必须确保该云服务的实例与CDM集群所属的企业项目必须相同，如果不同，需要修改工作空间的企业项目。 新建MRS hive连接 1. 在CDM集群管理界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面，如下图所示。 图 选择连接器类型 2. 连接器类型选择“MRS Hive”后单击“下一步”，配置MRS Hive连接的参数，如下图所示。 图 创建MRS Hive连接 3. 单击“显示高级属性”可查看更多可选参数。这里保持默认，必填参数如下表所示。 表 MRS Hive连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrslink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE Hive版本 Hive的版本。根据服务端Hive版本设置。 HIVE3X 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 OBS支持 需服务端支持OBS存储。在创建Hive表时，您可以指定将表存储在OBS中。 否 运行模式 “HIVE3X”版本支持该参数。支持以下模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式。 说明 STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 EMBEDDED 检查Hive JDBC连通性 是否需要测试Hive JDBC连通性。 否 是否使用集群配置 用户可以在“连接管理”处创建集群配置，用于简化Hadoop连接参数配置。 否 属性配置 其他Hive客户端配置属性。 说明 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。 4. 单击“保存”回到连接管理界面，完成MRS Hive连接器的配置。

弹性负载均衡产品支持查看后端云主机,本文帮助您快速熟悉查看后端云主机的方法。 操作场景 天翼云弹性负载均衡支持已添加的后端云主机详情及其状态。还支持查看特定云主机相关的弹性网卡、云硬盘、安全组、弹性IP等信息。 前提条件 您已经创建了云主机，并添加云主机到特定的负载均衡监听器上，且后端云主机处于“运行中”状态。 操作步骤 1. 登录天翼云控制中心。 2. 选择“网络>弹性负载均衡>负载均衡器”。 3. 单击已创建的负载均衡器实例名称。 4. 在该负载均衡详情界面，选择“后端主机组”标签。 5. 选定特定的后端主机组，在云主机列表中可查看已添加的后端云主机。 6. 点击特定的云主机的名称，即可查看改云主机详情。

本文介绍如何添加和解绑文件系统的VPC。 操作场景 文件系统必须通过添加VPC，挂载在弹性云主机上，才能实现文件共享。海量文件服务支持配置多个VPC，以使归属于不同VPC的云主机也能共享访问同一个文件系统。 说明 一个文件系统最多可以添加20个可用的VPC。 添加VPC操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>海量文件服务OceanFS”进入OceanFS文件系统列表页面。 3. 在目标文件系统操作栏或者点击目标文件系统名称进入详情页，点击“添加VPC”。 4. 在弹出的添加VPC对话框中可以在下拉列表中选中待绑定VPC及权限组，如果没有可用的VPC需先申请，点击右侧“创建虚拟私有云”。 5. 点击“确定”，完成添加。 6. 添加完成后，可以在详情页VPC页签下看到绑定的VPC。可以点击操作栏下方的“更改权限组”，更改VPC绑定的权限组。 解绑VPC操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>海量文件服务OceanFS”，进入OceanFS文件系统列表页面。 3. 点击目标文件系统的名称，进入详情页。 4. 在文件系统详情页的VPC页签下，点击待解绑的VPC操作栏下的“解绑”。 5. 在弹出页面，点击“确定”，完成VPC的解绑。

方式2：通过云镜像市场创建云主机部署OpenClaw 说明 以下资源池支持使用方式2部署： 西南1、华南2 。 1. 登录天翼云官网，进入天翼云控制台计算控制台弹性云主机，点击“创建云主机”按钮。 2. 云主机配置。 CPU架构选择“X86计算”，规格分类选择“经济型”，云主机规格推荐使用【经济型 e.large.2】的规格。 注意 仅经济型（E）实例支持通过公有云生态专区应用进行应用配置。 镜像类型选择云镜像市场/应用镜像，并选取“OpenClawv2026.3.13Ubuntu24.04”镜像。 点击“下一步：网络配置”。 3. 网络配置。 点击“创建安全组”按钮，跳转至网络控制台安全组页面。 点击“创建安全组”按钮，在弹窗中模板下拉菜单选择“通用Web服务器”。 点击“确定”，完成安全组创建。返回云主机订购页面，点击“选择安全组”按钮，在安全组列表中勾选刚才创建的安全组。 弹性IP选择“自动分配”，根据需要选择带宽大小。为确保OpenClaw顺畅运行，建议带宽选择5M以上。 注意 通过订购云主机部署OpenClaw时，请确保： 1. 云主机已绑定弹性IP，否则OpenClaw应用将无法通过WebUI访问，也无法通过公有云生态专区应用页面进行模型、通道、技能等配置。 2. 云主机已绑定安全组，且入方向规则开放端口18789，否则无法在公有云生态专区进行应用配置。 4. 根据提示完成高级配置，点击“下一步：确认配置”。确认配置无误后，点击“立即购买”。 5. 完成支付后，返回[云主机控制台](

分类 服务 命名空间 维度 监控指标参考文档 网络 弹性公网IP和带宽 SYS.VPC · Key：publicipid Value：弹性公网IP ID · Key：bandwidthid Value：带宽ID 网络 弹性负载均衡 SYS.ELB · Key：lbaaspoolid Value：后端主机组的ID · Key：lbaasinstanceid Value：独享/共享型负载均衡器的ID · Key：lbaaslistenerid Value：独享/共享型负载均衡监听器的ID 网络 NAT网关 SYS.NAT · Key：natgatewayid Value：NAT网关实例标识 · Key：vpcnatgatewayid Value：私网NAT实例标识

本章介绍天翼云关系型数据库各项功能介绍 天翼云关系型数据库RDS for PostgreSQL是托管型数据库，为用户提供的主要功能包括： 支持PostgreSQL（9.5、9.6、10、11、12、13、14） 支持通过内网IP地址及端口访问数据库实例，处在同一VPC内的云主机和数据库实例可相互访问 支持为RDS绑定公网IP，通过公网IP访问数据库实例 支持单机实例、一主一备实例和只读实例（最多5个只读实例） 支持对RDS实例进行CPU/内存、存储空间的扩容 支持根据业务需求指定数据自动备份策略（最多保留7个自动备份），也可进行手动备份及备份恢复 支持对数据库参数的调整 支持查看实例运行的系统资源监控指标，如CPU、内存使用率等，还可查看MySQL数据库指标，如QPS/TPS 支持数据库错误日志及SQL慢日志查询

本节为您介绍如何续订云安全中心。 为避免云安全中心实例到期后，服务自动停止，需要在实例到期前进行手动续费，或设置到期自动续费。 到期说明 服务到期后，如果没有按时续费，平台会冻结服务，但用户配置信息会提供15天的保留期。 保留期内，平台会冻结云安全中心的服务，用户配置的各类数据会继续生效，但用户无法访问云安全中心。 保留期满，用户若仍未续费，平台会清除实例资源，用户原有的配置信息将会被删除，同时云安全中心将不再获取第三方日志、用户云上资产等信息。 续订说明 在购买云安全中心时，支持勾选并同意“自动续订”，则在服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 若购买云安全中心时勾选了“自动续订”，系统将会默认设置续费周期：按月购买，自动续费周期默认为3个月；按年购买，自动续费周期默认为1年。如需要修改自动续费周期，可进入天翼云“费用中心”，进入“订单管理 > 续订管理”页面，在资源页面找到待修改自动续订的资源，单击操作列的“修改自动续订”，拖动“续订周期”可修改自动续订周期。 手动续订 1. 登录天翼云控制中心。 2. 在控制台列表页，选择“安全 > 云安全中心”。 3. 在左侧导航栏，选择“已购资源”。 4. 在当前实例信息展示界面，点击“续订”。 5. 在“续订管理”操作界面，可以根据需要进行“手动续订”或者“开通自动续订”。 6. 点击“手动续订”后，进入手动续订页面。 7. 选择续订时长，确认续订时长、续订金额后，单击“确定提交”提交续订订单。 8. 在订单页完成订单确认并支付，付费成功后，续订生效。

本章节为媒体存储入门流程。 本教程将指引用户快速了解、使用媒体存储。 登录控制台 1. 注册并登录天翼云，需完成实名认证。 2. 通过【产品视频视频服务】进入媒体存储产品详情页，点选“立即开通”。 3. 进入媒体存储产品开通页，点击“立即开通”。 4. 进入媒体存储控制台页面，点选“订购管理 ”，点击【新增存储区域】进行新增存储区域操作。 说明 天翼云官网目前仅支持对象存储（标准型）能力的按需计费开通，其它能力（如文件存储、块存储等）暂不面向线上预付费客户开放。 目前天翼云官网仅支持开通海南资源池2区。 目前仅通过天翼云门户订购的用户可通过控制台新建存储区域，非自助开通的用户无此按钮。 如资源池售罄，或用户需开通其他产品类型或存储类型，可联系客户经理或天翼云客服进行开通。 使用对象存储 对象存储使用可参考以下入门流程： 1. 如用户通过XstorBrowser、API或SDK访问对象存储，需先获取访问密钥，具体操作可参考：密钥管理。 2. 如用户通过XstorBrowser访问媒体存储时，用户需指定区域节点访问。具体可参考：资源池与区域节点。 3. 进行创建存储桶操作，支持多种使用方式，具体操作可参考：创建存储桶。 4. 完成创建存储桶后，即可进行上传对象操作，具体可参考：上传对象。 5. 下载对象，支持通过控制台、API、SDK等方式下载对象，具体可参考：下载对象。 6. 对象存储支持多种访问方式进行访问获取对象，具体可参考：访问方式。

本页介绍了文档数据库服务产品的主子账号以及IAM统一权限功能介绍。 文档数据库服务产品的主子账号及CTIAM介绍如下。 操作场景 文档数据库产品接入CTIAM权限体系，可实现控制台操作功能、OpenAPI等维度对用户访问、操作资源的权限控制。 约束限制 目前实例订购时选择的“企业项目”，还不支持实例开通后进行“企业项目”的变更。 功能介绍 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 策略：是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 权限：权限是归属于产品的，用于描述对资源具体操作的三元组。例如"dds.instance.restart"归属于文档数据库服务产品，具有重启实例的操作权限，可在策略管理进行配置用户组的权限。 系统策略：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的管理员权限、一般用户权限和只读用户权限；系统策略在IAM控制台中只能用于授权，用户不能编辑和修改。 自定义策略：由用户在IAM控制台创建和管理的权限集，是对系统策略的扩展和补充。 企业项目：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。文档数据库服务产品在订购实例的订购开通页面，可选择归属于哪个企业项目。

参数 描述 虚拟私有云 文档数据库实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。您需要创建或选择所需的虚拟私有云。说明： 实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 实例创建成功后，可以修改子网分配的内网地址，具体请参见 安全组 安全组限制安全访问规则，加强文档数据库服务与其它服务间的安全访问。 说明 请确保所选取的安全组允许客户端访问数据库实例（如协议选择为TCP，方向选择为入方向，端口设置为8635，源地址设置为实例所属子网或所属安全组）。

本文将为您介绍边缘云WAF提供的人机识别策略，精准命中爬虫流量，拦截各类恶意爬虫，守护网站业务安全。 功能介绍 边缘云WAF提供的人机识别支持Cookie挑战、跳转挑战、人机挑战等一系列反爬能力，帮助客户及时且精准地识别并拦截虚假流量，保障网站不受恶意爬虫攻击。 注意 目前控制台尚未开放人机识别功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见Bot管理计费。 人机识别功能说明 Cookie基础检测 注意 客户端标识检测：客户端标识检测是人机识别第一检测策略，将先一步校验Cookie挑战、人机挑战以及跳转挑战下发的cookie个数和完整性。无客户端标识、客户端标识缺失、客户端标识解析失败三种情况都需要配置。 无客户端标识。即针对请求没有cookie的情况进行处理 处理动作：拦截/告警/跳转/放行 拦截：拦截请求 告警：仅记录请求 跳转：GET请求启动302跳转策略，POST请求启动307跳转策略 放行：不对该异常做处理，另外不会再校验其他的BOT防护规则 统计粒度：静态cookie/IP+UA/IP 触发条件：达到触发条件的请求将对其执行处理动作，并支持配置处理动作持续时长（触发规则后的惩罚时间） 客户端标识缺失。即针对请求带回cookie个数小于下发的个数（最多会下发四个）进行处理 客户端标识解析失败。即针对失败解析cookie的情况下进行处理 其他字段： 客户端标识过期时间：默认15天,单位天,最大值365天 白名单：即例外条件，符合条件的请求不进行功能检测

本文为您介绍什么是资源编排ROS。 资源编排ROS（ROS，Resource Orchestration Service）是基于Terraform（HCL + Provider）的新一代云资源全生命周期管理平台，您只需通过结构化模板集中定义各类云资源（例如弹性云主机、虚拟私有云、弹性IP等），即可自动、安全、高效地实现“一键创建与管理”云资源。借助 Terraform 的底层引擎能力，ROS 能够自动解析资源依赖关系、校验配置合规性，并通过预置的安全策略规避权限风险与配置冲突，最终实现从资源创建、关联配置到后期扩缩容、版本迭代的 “一键化” 操作。 资源编排ROS聚焦自动化批量创建云资源场景，全面践行“基础设施即代码”理念，帮助用户大幅降低人工操作失误率，同时支持资源的批量管理与自动化运维，让企业在复杂云架构下也能轻松实现资源的高效调度与精益化管理，助力用户高效、安全、一致性交付和运维天翼云服务。 为什么选择资源编排ROS 资源编排ROS可以帮助您高效、安全、轻松地管理一组资源。 强大的Terraform生态：完全兼容Terraform，确保您的现有资源栈无缝迁移。 极简自动化部署：通过模板化编排和自动化引擎，您只需“一次设计”即可“多次部署”。 安全合规：内置评估审核与合规性校验，让变更可知、可控、可追溯。 成本优化：模板可一键复用，变更前可预测资源与费用变更，助力企业降本增效。 友好交互： 企业级可视化交互和丰富API接口。