前提条件 已为用户帐号配置手机号码，且用户手机号码可用。 云堡垒机实例安全组必须已放开短信网关IP和10743、443端口，系统才能够访问短信网关。 发送短信验证码的频率未超过要求限制。 系统短信网关配置为“内置”时，手机短信验证码针对单个帐号发送频率有以下限制： 1分钟内发送短信不超过1条； 1小时内发送短信不超过5条 ； 1天内发送短信不超过15条。 配置手机短信认证 1 管理员登录云堡垒机系统。 2 选择“用户 > 用户管理”。 3 单击待修改的用户登录名，或者单击相应“管理”，进入“用户详情”页面。 4 单击“用户配置”区域的“编辑”，修改用户的登录配置。 5 配置“多因子认证”为“手机短信”。 6 单击“确认”，完成用户“手机短信”双因子认证配置。 手机短信方式登录 修改认证配置后，用户进入云堡垒机系统登录Web页面或SSH客户端登录界面，选择“手机短信”认证方式，输入登“录名”和用户帐号绑定手机号，获取短信验证码登录。 如何取消手机短信方式登录认证？ 当用户短信网关故障，无法通过手机短信方式登录，可由管理员取消“手机短信”多因子认证配置。 若admin用户配置了“手机短信”多因子认证，无法登录系统取消多因子认证配置，请联系技术支持。 前提条件 管理员已获取“用户”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“用户 > 用户管理”，进入用户列表页面。 3 勾选待修改配置的用户帐号，单击左下角“更多”，展开批量操作项。 4 单击“修改多因子认证”，弹出多因子认证修改窗口。 5 去掉勾选“手机短信”多因子认证方式。 6 单击“确定”，即关闭了目标用户“手机短信”认证方式。 配置了手机令牌登录，但未绑定手机令牌怎么办？ 当系统管理员admin设置了开启手机令牌登录，但是没有绑定手机令牌时，可提工单反馈，技术支持人员收到反馈后，重置admin登录验证为初始状态，而不改变系统其它配置。 当系统非admin用户未绑定手机令牌时，系统管理员admin可为目标用户修改登录“多因子认证”方式。 绑定了手机令牌，却不能登录怎么办？

删除非天翼云云主机 使用条件 仅未被容灾管理中心关联的云主机允许删除。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源管理”“云主机”，进入云主机列表页。 5. 点击列表上方标签页中“非天翼云云主机”栏，进入非天翼云云主机列表页。 6. 在列表上方下拉菜单中选择需要进行操作的命名空间。 7. 选中非天翼云云主机列表中需删除的云主机，点击列表上方“删除”按钮，弹出删除云主机弹窗。 8. 确认需删除的云主机和相关信息后，若存在不可进行删除操作的云主机实例时，可点击“点击查看”按钮查看实例及不可删除原因。点击“确认”按钮，完成云主机实例删除操作。 远程连接设置非天翼云云主机 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源管理”“云主机”，进入云主机列表页。 5. 点击列表上方标签页中“非天翼云云主机”栏，进入非天翼云云主机列表页。 6. 点击列表操作栏“远程连接设置”按钮，弹出远程连接设置弹窗。 7. 编辑远程连接相关配置，实例名称、操作系统类型、IP地址不允许修改，其他配置项与新增非天翼云云主机配置项相同。 8. 点击“确定”按钮，完成修改远程连接设置。

此小节介绍云堡垒机资产访问授权管理。 资产访问授权用于控制用户访问资产的权限。 云堡垒机支持对运维用户限制登录时间段和协议限制。 前提条件 仅“管理角色”支持资产相关的操作。 新增资产访问授权 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“授权管理 > 资产访问授权”，进入“资产访问授权”页面。 3. 单击“新增”按钮，在弹出的“新增资产访问授权”对话框中配置信息。 参数 参数说明 取值样例 基本信息 授权规则名 自定义资产访问授权的规则名称。 Test 基本信息 启用状态 选择该授权规则的启用状态，默认启用。 登录名 登录名 （可选）选择需要配置访问授权的用户。 登录名 用户组 （可选）选择需要配置访问授权的用户组。 若您选择的用户和用户组存在重合，默认取最大的合集。 资产 资产 （可选）选择需要配置访问授权的资产。 资产 资产组 （可选）选择需要配置访问授权的资产组。 若您选择的资产和资产组存在重合，默认取最大的合集。 账号 资产账号 （可选）选择资产授权规则中允许使用的资产账号，添加资产账号请参见：资产账号章节。 注意 若选择授权的资产账号为二次登录账号（例如root），需同时授权二次登录的源账号（例如添加root资产账号时配置的二次登录源账号testuser），否则将无法完成二次登录。 root 协议 服务 选择该授权规则支持访问的协议。 ssh 协议 RDP允许选项 仅服务选择为“RDP”时可勾选，可选是否可以通过RDP协议复制/粘贴内容或上传/下载文件。 全选 协议 vnc允许选项 仅服务选择为“VNC”时可勾选，可选是否可以通过VNC协议复制/粘贴内容。 全选 授权时间 生/失效日期 选择该规则生效的日期。 20251201 20251231 授权时间 生/失效时间 选择该规则生效的时间段。 9:00:00 18:00:00 4. 单击“提交”完成访问授权规则的创建。

此小节介绍云堡垒机管理消息与新建系统公告。 消息中心是系统内各类消息接收提示管理中心。系统公告是对系统用户广播系统内重大变更的消息提醒。 管理消息列表 消息中心小窗可呈现最新三条未读消息。任务执行完成后，则可在任务中心查看全部任务。 消息类型共有5种，分别包括系统消息、业务消息、任务消息、命令告警、工单消息。 消息级别共有3种，分别包括“高”、“中”、“低”，消息级别越高代表消息重要程度越高。 本小节主要介绍如何在消息中心查看、删除、标记消息。 查看消息提醒 1. 登录云堡垒机系统。 2. 单击右上角，展开消息中心小窗口， 可查看最新三条未读消息。 3. 单击“查看更多”，进入消息中心列表页面。 4. 查询消息，在搜索框中输入关键字，根据消息标题内容快速查询消息。 5. 查看消息列表。消息按发生时间顺序倒序排列，可查看全部已读、未读的消息 。 6. 查看消息详情。单击目标消息名称，进入消息详情页面。 删除消息提醒 1. 登录云堡垒机系统。 2. 单击右上角，展开消息中心小窗口，可查看最新三条未读消息。 3. 单击“查看更多”，进入消息中心列表页面。 4. 勾选一条或多条消息，单击左下角“删除”，弹出删除消息确认窗口。 5. 单击“确定”，即可立即删除选中消息。消息删除后不可找回，请谨慎操作。

本页介绍天翼云TeleDB数据库数据库安装环境的安全。 数据库安装环境的安全，建议应该参考信息安全等级保护（三级）标准进行建设，例如： 数据库应该安装在与互联网网络隔离的安全网络中，不应对外暴露数据库的具体物理位置、IP信息。 日常运维全过程应该进行有效控制，避免运维安全风险，除配置数据的安全功能外，还建议配置堡垒机对整个运维过程进行有效管理。 除数据库本身外，使用方应该保护应用通信流和所有相关的应用资源免受利用Web协议发动的攻击，包括SQL注入、跨站脚本、网页篡改和挂马等，同时提供防病毒功能，对各种病毒、蠕虫、木马进行检测和过滤等。以避免应用资源和网络被攻破后导致数据库内核心数据的泄露。 数据库安装的物理（虚拟）环境、操作系统等，应有效保障其安全，有效管理。

管理脚本任务 云堡垒机支持快速运维功能，用户可通过脚本方式快速运维多个目标资源。通过将脚本在多个SSH协议主机资源上执行，并根据发起的脚本，返回相应执行结果。 本小节主要介绍如何管理脚本任务，包括创建脚本任务、执行脚本任务、中断脚本任务、查看任务执行结果等。 约束限制 仅专业版云堡垒机支持快速运维功能。 仅支持快速运维Linux主机（SSH协议类型）资源的任务。 暂不支持快速运维Windows主机资源、数据库资源和应用资源的任务。 前提条件 已获取“快速运维”模块管理权限。 已获取资源访问控制权限，即已配置访问控制策略或访问授权工单已审批通过。 资源主机网络连接正常。 操作步骤 1 登录云堡垒机系统。 2 选择“运维 > 快速运维 > 脚本控制台”，进入快速脚本运维页面。 3 配置快速脚本运维信息。 快速脚本运维参数说明 参数 说明 :: 执行脚本 输入针对主机资源需执行的脚本。 可选择“脚本管理”中脚本内容，也可新上传本地脚本文件。 脚本参数 （可选）自定义脚本参数。 执行帐户 “选择”已创建的SSH协议类型资源账户或帐户组。 “重置”已选择的资源账户或帐户组。 说明 每个资源的执行帐户最多一个。 更多选项 （可选）用户对资源账户执行任务权限不够时，需勾选上“提权执行”，用户需在该主机资源的Sudoers文件下执行任务。 4 立即执行脚本任务。 单击“立即执行”，即可针对目标资源，执行当前脚本任务。 5 中断脚本任务。 任务正在执行时，单击“中断执行”，可中断脚本任务。 “中断执行”会将当前执行帐户完成后才停止任务，再立即终止未执行的帐户。 6 查看执行结果。 脚本任务执行完成后，查看当前脚本任务执行结果。查看更多历史任务执行结果，请参见：管理快速任务执行日志。 在执行结果区域，在搜索框中输入关键字，根据资源名称、执行结果、执行帐户，快速查询任务执行结果。 单击“展开”，即可查看目标任务执行结果。 单击“导出”，即可下载当前脚本任务执行结果的CSV格式文件保存到本地。

共享云硬盘的使用方法 1. 登录天翼云云硬盘控制台，进行创建云硬盘的操作，直接在“创建云硬盘”页面中创建。 2. 在“创建云硬盘”窗口中，在高级配置中，勾选共享盘勾选框，来创建支持共享的云硬盘。 3. 创建成功后，在云硬盘列表中为刚创建的共享盘来选择弹性云主机实例或物理机实例并单击挂载，可将该云硬盘挂载至同一可用区的多台弹性云主机或物理机。 4. 在多台云主机或物理机实例上构建共享文件系统或其他集群系统实现数据共享。

此小节介绍云堡垒机操作日志检索。 操作日志里admin可查看所有用户在页面上的操作的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 操作步骤 1.管理员登录并切换至审计角色，在左侧导航栏选择“系统日志 > 操作日志审计” 2.单击“操作”列的“详情”可查看该条记录的详细信息。

无法正常启用客户端运维工具运维资产一般是因为未下载或未在云堡垒机系统中配置需要使用的客户端工具，用户可根据以下步骤排查。 确认是否配置需要使用的客户端工具 打开运维设置，勾选要调用的客户端，保存配置。 确认是否已正确安装并配置客户端工具。 > 云堡垒机不提供Xshell、vnc等客户端运维工具下载，用户需要自行去官网下载安装需要使用的软件。 Windows的客户端路径配置，需要将软件启动程序文件路径严格配置到运维设置客户端路径配置中。例如：Xshell默认安装路径C:Program Files (x86)NetSarangXshell 7Xshell.exe，其他的软件或者安装到了其他的路径，根据自己的实际情况配置即可。 Mac OS不需要客户都按照路径配置，使用的应用安装在应用程序（Application）路径中就可以，例如下图FileZilla。

本节为您介绍迁移前的准备工作，包括账号注册认证、账户余额确认、迁移网络打通等。 使用或注册天翼云账号，并完成实名认证。 1. 打开天翼云门户网站，单击“免费注册”。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击“同意协议并提交” 按钮，如1分钟内手机未收到验证码，请再次点击“免费获取短信验证码”按钮； 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 如需实名认证，请参考会员服务实名认证。 帐号余额不少于100元，避免迁移过程中欠费，导致迁移失败。主机迁移服务本身免费，但迁移过程中会创建按量付费资源并产生少量费用。具体请参见计费说明。 用户开通并使用CMSSMS服务。 1. 使用您的天翼云账号完成登录。 2. 在云迁移产品主页，单击“立即开通”按钮进入控制中心。 3. 在控制台选择您目标机资源所在区域，此处示例我们选择的是福州3。 确认迁移源是否满足操作系统要求。 需对CMSSMS迁移服务支持迁移的迁移源操作系统做确认，具体请见兼容性列表。 迁移网络打通。 迁移源 源机需要正常访问公网，访问CMSSMS控制台，注意安全组出方向放通情况，建议出方向安全组不限制； 若使用专线或VPN，需提前购买和配置正确的专线或VPN。 目标机 系统需要开放TCP的8000端口、8001端口。 若使用弹性IP连接，目标机需要提前购买和配置正确的EIP； 说明 目标机安全组放通8000、8001端口，其中8000端口建议指定为迁移源IP，避免端口脏数据注入，导致迁移失败，安全组开放端口与操作系统保持一致。

二、安装dto 1）自动安装dto a）天翼云云主机 使用条件 1. 天翼云云主机支持一键安装客户端。 2. 需完成天翼云云主机同步。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源同步管理”“数据源”“客户端管理”，进入客户端管理列表页。 5. 在列表上方下拉菜单中选择需要进行操作的命名空间。 6. 客户端类型选择“dto客户端”，TAB栏选择天翼云云主机，点击操作列“安装dto客户端”按钮，确认安装须知后，点击“确定”按钮，进行dto客户端安装。 非天翼云云主机 使用条件 1. 非天翼云云主机提供dto客户端安装脚本供用户手动执行。 2. 需完成非天翼云云主机同步。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏资源同步管理”“数据源”“客户端管理”，进入非天翼云云主机列表页。 5. 在列表上方下拉菜单中选择需要进行操作的命名空间。 6. 点击操作列“安装客户端”按钮，目前提供“公网”和“专线”的网络类型，根据当前网络情况并选择相关属性后，可复制安装命令，到三方主机中执行脚本，完成dto安装。

此小节介绍云堡垒机访认证设置。 管理员登录并切换管理角色，打开系统管理 > 认证设置，该配置为全局认证策略，默认配置“静态认证”“令牌认证”，应用于所有账号，为空的情况下默认为静态认证方式。 全局避险 开启全局避险开关以后，所有账号都可以使用静态认证方式登录。

本节介绍了云容器引擎的最佳实践：云容器引擎容器存储选型。 天翼云云容器引擎提供多种容器存储类型，作为各类天翼云存储产品在容器侧的接入方式，为工作负载提供数据持久化服务。 在使用过程中，用户可能对如何选择容器存储存在疑问。本文将从容器视角出发，分析天翼云各存储产品通过CSI在容器场景下的应用特点及优劣，供您参考选择。 说明 选择容器存储还需考虑功能特性、时延、带宽、应用场景及产品规格等因素。本文档未详细展开这些内容，相关具体信息请参考天翼云存储产品文档。本文仅从容器使用角度进行对比分析。 云硬盘 优势 低时延 支持文件系统及块设备使用（块设备极少被容器应用直接使用，需用户自行管理无文件系统的块设备） 最小容量10GB，适合轻量存储需求 产品覆盖广泛，各资源池及可用区均支持 劣势 不支持跨可用区挂载，数据存储在云硬盘所在的可用区。若可用区故障，数据不可用。（例如云硬盘是在可用区1，节点在可用区2，则云硬盘无法完成挂载使用。） 文件系统模式下不支持多机读写（ReadWriteMany），不支持多个节点挂载同一个带文件系统的云硬盘。 海量文件 优势 中等时延 支持多机读写（ReadWriteMany），支持多节点可以挂载同一个海量文件。 最小容量可达100GB，是共享文件存储中容量门槛最低的产品。 部分资源池支持按实际使用量计费，灵活性高。 天翼云文件存储产品中主推产品。 支持跨可用区挂载。（例如节点在可用区1可挂载可用区2的海量文件） 适合海量小文件场景。

制作物理机镜像的常用方法是启动一个虚拟机，在虚拟机中安装需要的操作系统，然后安装需要的软件、驱动等，进行必要的配置，最后导出镜像。为使制作的镜像最终也能在物理机上正常使用，必须根据物理机的硬件情况安装必要的驱动，并保证在系统启动时加载这些驱动。 步骤说明： 准备工作 准备制作镜像环境：安装管理虚拟机的软件（virtmanager）。 搜集物理机硬件信息：确定需要在镜像中集成哪些驱动。 获取安装操作系统的ISO，需要安装的软件包等。 安装、配置操作系统 在虚拟机中安装操作系统。 根据业务需要安装软件、配置系统。这一步后可备份系统镜像，若后续因镜像有问题需要重新制作镜像，可从这一步开始。 安装必要的驱动，并把启动时需要用到的驱动加入到initramfs中，确保系统启动时可加载这些驱动。确保系统可在物理机上启动和使用。 配置终端、禁用selinux等。确保可通过终端访问物理机，并正常安装。 清理系统：删除网络配置（物理机装机时会生成这些配置）、machine ID等。 转换镜像格式、提供分区配置 windows上传qcow2格式的镜像，linux把qcow2格式的镜像转换为天翼云物理机使用的squashfs格式。 提供系统分区配置文件等。 上传并测试镜像 如有问题，需确定问题并重新制作镜像。

此小节介绍云堡垒机操作日志检索。 操作日志里admin可查看所有用户在页面上的操作的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 1.管理员登录并切换至“审计角色”，打开 “系统日志 > 操作日志审计” 2.单击“操作”列的“详情”可查看该条记录的详细信息。

本文主要介绍物理机的权限管理。 如果您需要对天翼云上购买创建的物理机服务器资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有物理机的使用权限，但是不希望他们拥有删除物理机等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用物理机，但是不允许删除物理机的权限，控制他们对物理机资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用物理机服务的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 物理机权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 物理机部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如江苏苏州）对应的项目（cnjssz1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问物理机时，需要先切换至授权区域。 根据授权精度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对物理机服务，管理员能够控制IAM用户仅能对某一类物理机资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 物理机常用操作与系统权限的关系 如下表： 操作 物理机 FullAccess 物理机 CommonOperations 物理机 ReadOnlyAccess 创建物理机 √ x x 查看物理机列表 √ √ √ 查询物理机详情 √ √ √ 修改物理机名称 √ x x 启动物理机 √ √ x 关闭物理机 √ √ x 重启物理机 √ √ x 物理机挂载数据卷 √ √ x 物理机卸载数据卷 √ √ x 重装裸物理机操作系统 √ x x 一键重置物理机的密码 √ x x

本文介绍并行文件服务使用前的准备工作。 注册天翼云账号 在使用并行文件服务之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后使用并行文件服务。 1. 打开天翼云门户网站，点击“注册”。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击“同意协议并提交” 按钮，如1分钟内手机未收到验证码，请再次点击“免费获取短信验证码”按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 如需实名认证，请参考会员服务实名认证。 为账户充值 使用并行文件服务之前，请保证您的账户有充足的余额。 关于如何为账户充值，请参考费用中心账户充值。 并行文件计费标准，请参考产品价格。 环境准备 文件系统需要挂载到云主机或物理机使用，创建弹性云主机实例请参考创建弹性云主机，创建物理机的实例请参考创建物理机，并行文件服务支持的操作系统请参考操作系统限制。 通过协议服务使用NFS协议挂载文件系统时需要选择VPC，请确保该地域已创建VPC，具体操作请参考创建虚拟私有云VPC。

二、安装drnode 1）自动安装drnode a）天翼云云主机 使用条件 1. 天翼云云主机支持一键安装客户端。 2. 需完成天翼云云主机同步。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源同步管理”“数据源”“客户端管理”，进入客户端管理列表页。 5. 在列表上方下拉菜单中选择需要进行操作的命名空间。 6. 点击操作列“安装客户端”按钮，确认安装须知后，点击“确定"按钮，进行drnode客户端安装。 b）非天翼云云主机 使用条件 1. 非天翼云云主机提供drnode客户端安装脚本供用户手动执行。 2. 需完成非天翼云云主机同步。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏资源同步管理”“数据源”“客户端管理”，进入非天翼云云主机列表页。 5. 在列表上方下拉菜单中选择需要进行操作的命名空间。 6. 点击操作列“安装客户端”按钮，目前提供“公网”和“专线”的网络类型，根据当前网络情况并选择相关属性后，可复制安装命令，到三方主机中执行脚本，完成drnode安装。

产品版本规格 产品名称 版本 规格 规格说明 堡垒机 v1.0/v2.0 10资产 支持10资产管理 堡垒机 v1.0/v2.0 20资产 支持20资产管理 堡垒机 v1.0/v2.0 50资产 支持50资产管理 堡垒机 v1.0/v2.0 100资产 支持100资产管理 堡垒机 v1.0/v2.0 200资产 支持200资产管理 堡垒机 v1.0/v2.0 500资产 支持500资产管理 堡垒机 v1.0/v2.0 1000资产 支持1000资产管理 数据库审计 v1.0 标准版 支持4数据库实例 数据库审计 v1.0 高级版 支持8数据库实例 数据库审计 v1.0 企业版 支持16数据库实例 数据库审计 v2.0 4资产 支持4数据库实例 数据库审计 v2.0 8资产 支持8数据库实例 数据库审计 v2.0 16资产 支持16数据库实例 数据库审计 v2.0 32资产 支持32数据库实例 数据库审计 v2.0 存储扩容 支持对数据盘进行扩容 漏洞扫描 v1.0 10资产 支持10个IP地址 漏洞扫描 v1.0 20资产 支持20个IP地址 漏洞扫描 v1.0 50资产 支持50个IP地址 漏洞扫描 v1.0 100资产 支持100个IP地址 漏洞扫描 v1.0 200资产 支持200个IP地址 日志审计 v1.0 10资产 支持10个日志源（每个日志源对应为一个IP） 日志审计 v1.0 20资产 支持20个日志源（每个日志源对应为一个IP） 日志审计 v1.0 50资产 支持50个日志源（每个日志源对应为一个IP） 日志审计 v1.0 100资产 支持100个日志源（每个日志源对应为一个IP） 日志审计 v1.0 200资产 支持200个日志源（每个日志源对应为一个IP） 日志审计 v1.0 500资产 支持500个日志源（每个日志源对应为一个IP） 日志审计 v2.0 10资产 支持10个日志源（每个日志源对应为一个IP） 日志审计 v2.0 15资产 支持15个日志源（每个日志源对应为一个IP） 日志审计 v2.0 20资产 支持20个日志源（每个日志源对应为一个IP） 日志审计 v2.0 50资产 支持50个日志源（每个日志源对应为一个IP） 日志审计 v2.0 100资产 支持100个日志源（每个日志源对应为一个IP） 日志审计 v2.0 200资产 支持200个日志源（每个日志源对应为一个IP） 日志审计 v2.0 500资产 支持500个日志源（每个日志源对应为一个IP） 日志审计 v2.0 存储扩容 支持对数据盘进行扩容 下一代防火墙 v1.0 标准版 支持1Gbps公网流量处理能力峰值 下一代防火墙 v1.0 高级版 支持2Gbps公网流量处理能力峰值 下一代防火墙 v1.0 企业版 支持4Gbps公网流量处理能力峰值 下一代防火墙 v2.0 标准版 支持1Gbps公网流量处理能力峰值（每秒数据包处理能力：200000 PPS） 说明 下一代防火墙的公网流量处理能力为常规业务场景测试结果，如果实际业务中有大量小包，导致防火墙每秒需要处理的包数（PPS）大幅增加，这种情况下防火墙的性能瓶颈往往不是带宽处理能力，而是其能处理的最大PPS。当PPS达到瓶颈时，即使带宽未用满，设备的处理能力也会耗尽，造成吞吐下降。若您的实际业务流量中有大量小包，建议选择更高的防火墙规格避免业务访问延迟高。 下一代防火墙 v2.0 高级版 支持2Gbps公网流量处理能力峰值（每秒数据包处理能力：400000 PPS） 说明 下一代防火墙的公网流量处理能力为常规业务场景测试结果，如果实际业务中有大量小包，导致防火墙每秒需要处理的包数（PPS）大幅增加，这种情况下防火墙的性能瓶颈往往不是带宽处理能力，而是其能处理的最大PPS。当PPS达到瓶颈时，即使带宽未用满，设备的处理能力也会耗尽，造成吞吐下降。若您的实际业务流量中有大量小包，建议选择更高的防火墙规格避免业务访问延迟高。 下一代防火墙 v2.0 企业版 支持4Gbps公网流量处理能力峰值（每秒数据包处理能力：2500000 PPS） 说明 下一代防火墙的公网流量处理能力为常规业务场景测试结果，如果实际业务中有大量小包，导致防火墙每秒需要处理的包数（PPS）大幅增加，这种情况下防火墙的性能瓶颈往往不是带宽处理能力，而是其能处理的最大PPS。当PPS达到瓶颈时，即使带宽未用满，设备的处理能力也会耗尽，造成吞吐下降。若您的实际业务流量中有大量小包，建议选择更高的防火墙规格避免业务访问延迟高。 云安全中心 v2.0 标准版 包含日志分析量为每月50G 云安全中心 v2.0 态势大屏 包括安全成果态势、威胁攻击态势大屏 云安全中心 v2.0 日志分析量 默认需购买500G日志分析量，额外购买步长为50G 主机安全 v1.0 标准版 按照需防护的主机个数购买，提供安全概览、资产管理、入侵检测、漏洞扫描、基线管理功能。 主机安全 v1.0 网页防篡改版 按照需防护的主机个数购买，提供网页防篡改能力，解决页面篡改、挂马、暗链等网页风险问题。 主机安全 v2.0 旗舰版 按照需防护的主机个数购买，提供安全概览、资产管理、入侵检测、漏洞扫描、基线管理功能。 主机安全 v2.0 网页防篡改版 按照需防护的主机个数购买，提供网页防篡改能力，解决页面篡改、挂马、暗链等网页风险问题。 Web应用防火墙 v1.0 标准版 防护10个站点，支持带宽防护200Mb Web应用防火墙 v1.0 域名扩展包 每个扩展包支持10个域名防护 Web应用防火墙 v1.0 带宽扩展包 单个防护带宽扩展包，每个扩展包规格50Mb，可叠加； 单个Web应用防火墙最大支持1000Mb流量，最大可支持16个扩展包。 Web应用防火墙 v2.0 SaaS版 标准版 业务请求峰值3000QPS，支持防护域名20个（包含2个主域名），防护端口20个，更多信息请参见[产品规格](

此小节介绍云堡垒机的运维报表。 运维用户通过云堡垒机登录资源，以及进行运维操作后，审计管理员可查看运维详细报表。 查看运维报表 主要涵盖“运维时间分布”、“资源访问次数”、“会话时长”、“来源IP访问数”、“会话协同”、“双人授权”、“命令拦截”、“字符命令数”和“传输文件数”等趋势图和详细数据。 约束限制 趋势图最多呈现连续180天的运维数据变化趋势。 默认按小时呈现当天运维数据变化趋势。 运维数据大于30天时，仅可选择按周或按月呈现趋势图。 运维数据小于30天时，可选择按天、按周、按月呈现趋势图。 趋势图可选择线状图、柱状图、饼状图形式。 默认呈现运维时间段内总的趋势图。 支持按目标用户呈现运维统计趋势图，最多可选择5个目标用户。 支持按目标资源呈现运维统计趋势图，最多可选择5个目标资源。 前提条件 已获取“运维报表”模块管理权限。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 运维报表”，进入系统报表查看页面。 3 单击各运维统计数据页签，查看各运维统计数及趋势如何详细信息。 详细介绍请参见如下说明。 运维时间分布 呈现用户登录资源情况分布或资源被登录分布情况，默认按小时呈现当天运维数据变化趋势。 在“详细数据”区域，可查看会话起止时间、用户登录名、资源名称、协议类型、资源账户等信息。 运维时间分布图 运维时间分布详细数据 资源访问次数 呈现用户或资源所属历史会话的数量，默认按小时呈现当天运维数据变化趋势。 在“详细数据”区域，可查看会话起止时间、用户登录名、资源名称、协议类型、资源账户等信息。 资源访问次数趋势图 会话时长 呈现用户或资源所属历史会话的会话时长，默认按小时呈现当天运维数据变化趋势。 在“详细数据”区域，可查看会话起止时间、用户登录名、资源名称、协议类型、资源账户、会话时长等信息。 来源IP访问数 呈现用户或资源所属会话的不同来源IP数量，默认按小时呈现当天运维数据变化趋势。 在“详细数据”区域，可查看会话起止时间、用户登录名、资源名称、协议类型、资源账户、来源IP等信息。 会话协同 呈现用户或资源所属会话的协同参与运维用户的数量，默认按小时呈现当天运维数据变化趋势。 在“详细数据”区域，可查看会话起止时间、用户登录名、资源名称、协议类型、资源账户、协同用户登录名等信息。 双人授权 呈现用户或资源所属会话通过双人授权的数量，默认按小时呈现当天运维数据变化趋势。 在“详细数据”区域，可查看授权时间、用户登录名、资源名称、协议类型、资源账户、双人授权用户登录名等信息。 命令拦截 呈现用户或资源所属会话触发的拦截的命令数量，默认按小时呈现当天运维数据变化趋势。 拦截命令类型包括断开连接、拒绝执行、动态授权。 在“详细数据”区域，可查看操作执行时间、用户登录名、资源名称、协议类型、资源账户、操作指令、执行动作等信息。 命令拦截动作饼状图 字符命令数 呈现用户或资源所属会话执行的字符命令数量，默认按小时呈现当天运维数据变化趋势。 在“详细数据”区域，可查看操作执行时间、用户登录名、资源名称、协议类型、资源账户、操作指令等信息。 传输文件数 呈现用户或资源所属会话上传、下载文件的数量，默认按小时呈现当天运维数据变化趋势。 在“详细数据”区域，可查看文件操作时间、用户登录名、资源名称、协议类型、资源账户、操作类型、文件名称等信息。

规模化信息资产管理 标签规模化管理： 善用标签功能。标签由键值对组成，可用于对云资源进行标识，基于标签能实现资源的便捷搜索、整理与分类。通过标签，在发生安全事件时可快速定位影响范围，配置安全策略时也能批量为指定标签资源配置，避免遗漏。 云助手自动化运维： 天翼云云助手（CTCA， Cloud Assistant）是专门为云服务器打造的原生自动化运维工具，免密码、免登录、无需使用跳板机，即可批量执行命令（Shell、PowerShell、Bat、Python等），完成运行自动化运维脚本、轮询进程、安装卸载软件、启动或停止服务、安装补丁或安装安全更新等任务。 当您涉及以下业务场景时，可通过云助手快速实现需求： 上传并运行自动化运维脚本。 执行常见操作任务。 运行已保存的脚本。 批量安装软件或应用。 安装补丁或安全更新。 上传文件或证书到指定目录。 配置审计合规检查： 弹性云主机已接入天翼云云审计，提供统一的云资源操作记录与审计能力。天翼云云审计服务可完整追踪资源配置的历史变更，并基于这些数据支持配置合规性审计、安全事件分析、资源变更追踪与故障排查等多种应用场景，保障云上资产的可控性与安全性，满足内部与外部合规要求。

参数 说明 主机名称 自定义的主机资源名称，系统内“主机名称”不能重复。 协议类型 选择主机的协议类型。 专业版支持协议类型有SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin。 标准版支持协议类型有SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin。 主机地址 输入主机与云堡垒机网络通畅的IP地址 ，选择主机的EIP地址或私有IP地址，建议优先选择可用私有IP地址。 主机的EIP为独立的公网IP，对外访问的端口受网络安全限制，可能导致从云堡垒机无法跳转登录到主机。 端口 输入主机的端口号。 系统类型 （可选）选择主机的操作系统类型或者设备系统类型。 默认支持14种系统类型，包括Linux、Windows、Cisco、Huawei、H3C、DPtech、Ruijie、Sugon、Sugon、Digital China smsg 10600、Digital China smdd 10600、ZTE、ZTE595052tm、Surfilter、ChangAn。 终端速度 Rlogin协议类型主机可选择不同终端速率。 编码 SSH、TELNET协议类型主机可选择运维界面中文编码。 可选择UTF8、Big5、GB18030。 终端类型 SSH、TELNET协议类型主机可选择运维终端类型。 可选择Linux、Xterm。 更多选项 （可选）选择配置“文件管理”、“剪切板”、“X11转发”。 文件管理：仅SSH、RDP、VNC协议类型主机可配置。 剪切板：仅RDP协议类型主机可配置。 X11转发：仅SSH协议类型主机可配置。 部门 选择主机所属部门。 标签 （可选）自定义标签或选择已有标签。 主机描述 （可选）对主机的简要描述。

删除帐户组 云堡垒机新建帐户组后，支持删除帐户组。删除帐户组后，通过帐户组授权的资源权限将失效。 前提条件 已获取“资源账户”模块操作权限。 删除帐户组 1 登录云堡垒机系统。 2 选择“资源 > 帐户组”，进入帐户组列表页面。 3 单击帐户组“操作”列的“删除”，即可删除该帐户组。 4 同时勾选多个帐户组，单击列表下方的“删除”，可批量删除多个帐户组。 查询和修改帐户组信息 若帐户组信息有变更需求，可查看和修改帐户组信息，包括查看帐户组基本信息、查看帐户组成员、修改帐户组基本信息、添加成员、移除组成员等。 约束限制 下级部门拥有“资源账户”模块管理权限的用户，查看帐户组详情时，只能查看到帐户组内上级部门资源账户列表，不能查看上级部门资源账户的详情信息。 下级部门拥有“资源账户”模块管理权限的用户，将当前帐户组中的上级部门资源账户移除后，不能再添加移除的上级部门资源账户。 前提条件 已获取“资源账户”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“资源 > 帐户组”，进入帐户组列表页面。 3 查询帐户组。在搜索框中输入关键字，根据帐户组名称快速查询。 4 单击帐户组名称，或者单击“管理”，进入帐户组详情页面。 5 在“基本信息”区域，可查看帐户组基本信息。 单击“编辑”，弹出基本信息配置窗口，即可修改帐户组名称和简要描述。 6 在“帐户组成员”区域，可查看帐户组所有成员信息。 单击“添加”，弹出资源账户添加窗口，可添加或移除资源账户。 单击资源账户行的“移除出组”，可立即将资源账户移除出组。

此小节介绍无法正常启用客户端运维工具运维资产的排查方法。 无法正常启用客户端运维工具运维资产一般是因为未下载或未在云堡垒机系统中配置需要使用的客户端工具，用户可根据以下步骤排查。 确认是否配置需要使用的客户端工具 打开运维设置，勾选要调用的客户端，保存配置。 确认是否已正确安装并配置客户端工具。 > 云堡垒机不提供Xshell、vnc等客户端运维工具下载，用户需要自行去官网下载安装需要使用的软件。 Windows的客户端路径配置，需要将软件启动程序文件路径严格配置到运维设置客户端路径配置中。例如：Xshell默认安装路径C:Program Files (x86)NetSarangXshell 7Xshell.exe，其他的软件或者安装到了其他的路径，根据自己的实际情况配置即可。 Mac OS不需要客户都按照路径配置，使用的应用安装在应用程序（Application）路径中就可以，例如下图FileZilla。

本章节介绍如何管理云堡垒机的工单审批规则。 工单功能是指运维用户在申请资源访问权限或命令使用权限时，可通过工单申请资源的范围，以及提交工单的方式。 新增工单审批规则 1. 使用管理员账号登录云堡垒机系统。 2. 在左侧导航栏选择“工单管理 > 审批规则”，进入“审批规则”页面。 3. 单击左上角的【新增】按钮，弹出“规则新增”配置窗口。 4. 在弹出的对话框中配置相关内容，具体见下表，配置完成后单击“提交”。 参数 说明 基本信息 规则名称 输入您的审批规则名称。 基本信息 工单类型 根据业务需求选择审批规则： 资产访问授权 字符命令授权 文件操作授权 数据库命令授权 数据导出授权 注意 字符授权工单默认开通所有命令的使用权限，若您需要限制高危命令的使用请在“字符命令授权”模块将对应用户纳管入相关授权规则当中。 基本信息 审核人 选择该审批规则的具体审核人员，可多选。 审批对象 登录名（可选） 选择该条审批规则可以提交的相关用户，可多选。 审批对象 用户组（可选） 选择该条审批规则可以提交的相关用户组，可多选。

检测与修复建议 天翼云企业主机安全服务提供了对该漏洞的便捷检测与修复。 在需要检测与修复的云主机上，已安装企业主机安全客户端（Agent），并开启防护。 1. 登录管理控制台。 2. 在页面左上角选择“区域”，单击，选择“安全> 企业主机安全”，进入企业主机安全页面。 3. 单击左侧“主机管理”，在云服务器列表中，单击Windows操作系统主机的名称，查看主机详情。 4. 在详情页面，单击“漏洞管理 > Windows系统漏洞 > 手动检测”检测主机存在的漏洞。 5. 检测完成后，可查看“解决方案”所在列的修复建议，根据修复建议修复漏洞。 6. 修复过程需要花费一段时间，修复完成后，请重启云主机使补丁生效。 7. 重启云主机后，再次单击“手动检测”，验证该漏洞是否修复成功。 您也可以通过在企业主机安全服务中，选择“漏洞管理 > Windows系统漏洞管理”页签，进入漏洞管理页面，在漏洞列表右上角，输入漏洞名称。查看并修复该漏洞。Windows Server 2019：KB4534273；Windows Server 2016：KB4534271

基于cstorcsi插件，支持使用云硬盘、弹性文件和对象存储等天翼云云存储服务。本文介绍云存储类型和如何使用云存储。 云存储介绍 天翼云提供针对各种存储资源（块、文件和对象）的低成本、高可靠、高可用的存储服务，您可以根据业务负载的存储需求，考虑数据量、数据访问频率、IOPS和吞吐量等因素，来选择合适的云存储服务。常用的云存储服务如下： 云硬盘 天翼云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 弹性文件 天翼云弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可以提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。 对象存储 天翼云对象存储（CTZOS，Zettabyte Object Storage）是天翼云为客户提供的一种海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务。 挂载云存储 云存储 说明 云容器引擎集群 云硬盘 云硬盘为非共享存储，一块云硬盘只能挂载到一个Pod上。 挂载时，支持静态数据卷 云硬盘存储 弹性文件 弹性文件为共享存储，一个文件系统可以挂载到多个Pod上。 挂载时，支持静态数据卷 弹性文件存储 对象存储 对象存储为共享存储，一个对象桶可以挂载到多个Pod上。 挂载时，支持静态数据卷 对象存储

本节介绍云智助手的产品介绍。 产品介绍 云智助手（原AI应用中心）是天翼AI云电脑3.0推出全系统级AI应用，全面接入DeepSeek大模型，并基于星辰大模型和合作伙伴大模型能力，提供一系列场景化AI能力，升级全场景智能化体验。通过AI赋能，重塑AI云电脑使用体验，让AI云电脑更智能、更简单、更好用。 应用场景 云智助手通过打造了AI助手、AI空间两大功能模块，赋能办公、教育、创作、生活等场景，提升工作、生活效率。 使用说明 使用范围 （1）公有云：所有天翼AI云电脑（公众版）、天翼AI云电脑（政企版）均可使用云智助手； （2）私有云：可联系天翼云客服、大区、售前经理了解私有化部署要求。 获取方式 （1）已在AI云电脑镜像中预装，在桌面找到“云智助手”点击即可直接使用； （2）如未在桌面找到或已卸载，可前往AI云电脑应用市场，搜索“云智助手”下载。 使用条件 （1）云智助手当前支持Windows、UOS等各类操作系统； （2）天翼AI云电脑客户端建议升级至v2.4.3及以上版本； （3）移动端可以通过下载天翼云云电脑APP（3.1.1以上版本）使用云智助手。

本节介绍云智助手的产品介绍。 产品介绍 云智助手（原AI应用中心）是天翼AI云电脑3.0推出全系统级AI应用，全面接入DeepSeek大模型，并基于星辰大模型和合作伙伴大模型能力，提供一系列场景化AI能力，升级全场景智能化体验。通过AI赋能，重塑AI云电脑使用体验，让AI云电脑更智能、更简单、更好用。 应用场景 云智助手通过打造了AI助手、AI空间两大功能模块，赋能办公、教育、创作、生活等场景，提升工作、生活效率。 使用说明 使用范围 （1）公有云：所有天翼AI云电脑（公众版）、天翼AI云电脑（政企版）均可使用云智助手； （2）私有云：可联系天翼云客服、大区、售前经理了解私有化部署要求。 获取方式 （1）已在AI云电脑镜像中预装，在桌面找到“云智助手”点击即可直接使用； （2）如未在桌面找到或已卸载，可前往AI云电脑应用市场，搜索“云智助手”下载。 使用条件 （1）云智助手当前支持Windows、UOS等各类操作系统； （2）天翼AI云电脑客户端建议升级至v2.4.3及以上版本； （3）移动端可以通过下载天翼云云电脑APP（3.1.1以上版本）使用云智助手。

在虚拟机中制作好镜像后，还要完成下面任务才能在天翼云物理机上使用镜像。 转换镜像格式：虚拟机制作出来的镜像是qcow2格式，linux系统需要转换为天翼云物理机使用的squashfs格式，windows系统使用qcow2格式即可。 生成md5文件：使用md5sum命令生成镜像文件的md5校验和，避免传输过程中镜像损坏。 编写分区文件：不同于qcow2格式的镜像，squashfs格式的镜像中不包含分区表信息。需要使用额外的配置文件指定系统盘如何分区。这也使得修改系统盘镜像分区更灵活。 下面分别说明如何做这些任务。 1. 物理机镜像文件介绍 每个物理机镜像都需要4个镜像文件，同步至镜像服务后可使用该物理机镜像创建物理机。 1.1 Linux镜像文件 每个Linux镜像包含4个文件，镜像格式为squashfs，以CTyunOS23.01.2@2025镜像为例： 镜像文件命名规则: 镜像类型镜像版本镜像架构启动类型.squashfs 镜像类型：例如CentOS、 CTyunOS、Kylin等 镜像版本：例如 8.1、8.1@yunxiaonv535、8.1@gpu01等等 镜像架构：amd64、arm64。其中x8664设备的镜像架构名为amd64，arm设备使用的镜像架构名为arm64 启动类型：bios、uefi。其中x8664设备支持bios和uefi，具体看裸机配置（通常是uefi），arm设备支持uefi CTyunOS23.01.2@2025的4个镜像文件命名为： plaintext 文件1镜像文件：CTyunOS23.01.2@2025amd64uefi.squashfs 文件2镜像md5：CTyunOS23.01.2@2025amd64uefi.squashfs.md5 文件3镜像分区文件：CTyunOS23.01.2@2025amd64uefi.squashfs.lvm 文件4镜像分区文件：CTyunOS23.01.2@2025amd64uefi.squashfs.direct

本章节为您介绍数据库授权的相关内容。 数据库命令授权是用于拦截数据库会话敏感操作，实现数据库运维操作的细粒度控制。授权用户登录策略关联的数据库资源，当数据库运维会话触发规则，将会拦截数据库会话操作。 数据库命令授权支持以下功能项： 支持按命令组列表排序区分优先级，排序数字越小优先级越高。 支持控制允许、拒行两种命令动作。 触发审批：拦截该命令，并自动创建为审批工单。支持审批超时配置，超时xx分钟默认允许或默认拒绝。 断开连接：触发该策略规则后，断开与数据库的连接。 允许执行：默认允许执行所有操作。当触发策略规则后，放行规则集中操作。 约束限制 仅企业版堡垒机支持数据库运维操作审计。 仅针对MySQL、Oracle、Postgresql类型数据库，支持通过数据库命令授权设置操作细粒度控制。 新增命令组 您在新增数据库命令授权前需要进行新增命令组的操作。 1. 使用“管理角色”账户登录云堡垒机系统。 2. 在左侧导航栏选择“授权管理 > 数据库命令授权”，进入“数据库命令授权”页面。 3. 在页面上面选择“命令组”页签，单击“新增”，开始新增命令组。 参数 参数说明 名称 自定义命令组的名称。 动作 选择该命令组中的命令触发时产生的动作： 触发审批：拦截该命令，并自动创建为审批工单。支持审批超时配置，超时xx分钟默认允许或默认拒绝。 说明 对于包含“触发审批”动作的命令组，需要当前选择的用户（组）具有审批规则，否则无法配置“触发审批”动作，请先前往工单管理配置审核人。 断开连接：触发该策略规则后，断开与数据库的连接。 允许执行：默认允许执行所有操作。当触发策略规则后，放行规则集中操作。 SQL命令类型 根据您业务的需求，选择需要进行控制的命令，云堡垒机目前支持选择如下命令： SELECT、INSERT、UPDATE、DELETE、TRUNCATE、CREATE、DROP、ALTER、GRANT、REVOKE、SHOW、DESCRIBE、EXPLAIN、RENAME。 SQL库名 填写命令生效的SQL库名。 SQL表名 填写命令生效的SQL表名。 风险等级 选择该命令组的风险等级，共可选5个等级。 说明 命令匹配上多条策略时，动作执行优先级：触发审批 > 断开连接 > 允许执行，若未匹配上任何策略则放行。

此小节介绍云堡垒机字符命令授权管理。 命令控制策略用于控制用户访问资源的关键操作权限，实现Linux主机运维操作的细粒度控制。 针对SSH和Telnet字符协议主机，根据管理员配置的策略限制，云堡垒机对用户运维过程中执行的命令进行审计和过滤，并返回审计的命令、过滤结果和命令返回的内容，用于会话操作记录、拒绝使用等动作。 命令控制策略支持以下功能项： 支持按策略列表页策略排序区分优先级，排序越靠前优先级越高（优先级可选1100）。 支持以下控制命令的动作。 触发审批：拦截该命令，并自动创建为审批工单。支持审批超时配置，超时xx分钟默认允许或默认拒绝。 提示警告：触发该策略规则后，警告运维用户谨慎执行该命令。 允许执行：触发该策略规则后，放行命令操作。默认允许执行所有操作。 拒绝执行：触发该策略规则后，拒绝执行该命令，界面会提示您在执行命令时会得到该命令不能执行的提示。 新增命令组 您在新增字符命令授权前需要进行新增命令组的操作。 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“授权管理 > 字符命令授权”，进入“命令授权”页面。 3. 在页面上面选择“命令组”页签，单击“新增”，开始新增命令组。 参数 参数说明 取值样例 名称 自定义命令组的名称。 Test 匹配方式 支持“正则匹配”和“单命令”匹配。 单命令匹配 命令 当匹配方式选择“单命令匹配”时需要填写命令。 /rm 命令正则式 填写命令规则的正则表达式。 enw 风险等级 选择该命令组的风险等级，共可选5个等级：普通、重要、危险、警告、致命。 普通 动作 选择该命令组中的命令触发时产生的动作： 触发审批：拦截该命令，并自动创建为审批工单。支持审批超时配置，超时xx分钟默认允许或默认拒绝。 说明 对于包含“触发审批”动作的命令组，需要当前选择的用户（组）具有审批规则，否则无法配置“触发审批”动作，请先前往工单管理配置审核人。 提示警告：触发该策略规则后，警告运维用户谨慎执行该命令。 允许执行：触发该策略规则后，放行命令操作。默认允许执行所有操作。 拒绝执行：触发该策略规则后，拒绝执行该命令，界面会提示您在执行命令时会得到该命令不能执行的提示。 拒绝执行 说明 提示符、命令采用正则表达式书写。 命令匹配上多条策略时，动作执行优先级：触发审批 > 提示警告 > 允许执行 > 拒绝执行，若未匹配上任何策略则放行。