本章主要介绍翼MapReduce的修改组件运行用户密码功能。 操作场景 建议管理员定期修改集群内组件运行用户的密码，以提升系统运维安全性。 组件运行用户，根据初始密码是否是系统随机生成，可分为两类： 密码随机生成的，用户类型为“机机”用户。 密码不是随机生成的，用户类型为“人机”用户。 对系统的影响 初始密码为系统随机生成的组件运行用户，在修改密码后需要重启集群，重启期间会造成业务暂时中断。 前提条件 已在集群内的任一节点安装了客户端，并获取此节点IP地址。 操作步骤 1.以客户端安装用户，登录安装了客户端的节点。 2.执行以下命令，切换到客户端目录，例如“/opt/Bigdata/client”。 cd /opt/Bigdata/client 3.执行以下命令，配置环境变量。 source bigdataenv 4.执行以下命令，输入kadmin/admin用户密码后进入kadmin控制台。 kadmin p kadmin/admin 说明 kadmin/admin的默认密码为“Admin@123”，首次登录后会提示该密码过期，请按照提示修改密码并妥善保存。 5.执行以下命令，修改系统内部组件运行用户密码。此操作对所有服务器生效。 cpw 系统内部用户名 例如：cpw oms/manager 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符5种类型字符中的4种。支持的特殊字符为~!?,.;'(){}[]/<>@ $%^&+。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码，例如Admin@12345。 不可与最近N次使用过的密码相同，N为配置密码策略中“重复使用规则”的值。此策略只影响“人机”用户。 说明 执行如下命令，可以查看用户的信息。 getprinc 系统内部用户名 例如：getprinc oms/manager 6.确认修改密码的用户，用户类型是哪种？ 用户类型为“机机”用户，执行7。 用户类型为“人机”用户，密码修改完成，任务结束。 7.登录FusionInsight Manager。 8.选择“集群 > 待操作的集群名称 > 更多 > 重启”。 9.在弹出窗口中，输入当前登录的用户密码确认身份，单击“确定”。 10.在确认重启的对话框中，单击“确定”。 11.等待界面提示重启成功。

避免使用ServcieAccount Secret Token访问集群 Kubernetes 1.21以前版本的集群中，Pod中获取token的形式是通过挂载ServiceAccount的Secret来获取的，这种方式获得的token是永久的，Pod被删除后token仍然存在Secret中，一旦泄露可能导致安全风险。该方式在1.21及以上的版本中不再推荐使用，并且根据社区版本迭代策略，在1.25及以上版本的集群中，ServiceAccount将不会自动创建对应的Secret。 Kubernetes 1.21及以上版本的集群中，直接使用TokenRequest API获得token，并使用投射卷（Projected Volume）挂载到Pod中。使用这种方法获得的token具有固定的生命周期（默认有效期为1小时），在到达有效期之前，Kubelet会刷新该token，保证Pod始终拥有有效的token，并且当挂载的Pod被删除时这些token将自动失效。该方式通过Bound ServiceAccount TokenVolume特性实现，能够提升服务账号（ServiceAccount）token的安全性，Kubernetes 1.21及以上版本的集群中会默认开启。 为了帮助用户平滑过渡，社区默认将Token有效时间延长为1年，1年后token失效，不具备证书reload能力的client将无法访问APIServer，建议使用低版本client的用户尽快升级至高版本，否则业务将存在故障风险。 基于Secret的ServiceAccount Token由于token由于具有上述的安全风险。1.23版本以及以上版本云容器引擎集群推荐使用Bound Servcie Account Token，该方式支持设置过期时间，并且和Pod生命周期一致，可减少凭据泄露风险。例如： apiVersion: apps/v1 kind: Deployment metadata: name: tokenexample namespace: tokenexample spec: replicas: 1 selector: matchLabels: app: tokenexample label: tokenexample template: metadata: labels: app: tokenexample label: tokenexample spec: serviceAccountName: boundsatoken containers: image: nginx imagePullPolicy: Always name: tokenexample volumes: name: testsecurity projected: defaultMode: 420 sources: serviceAccountToken: expirationSeconds: 3600 path: token configMap: items: key: ca.crt path: ca.crt name: kuberootca.crt downwardAPI: items: fieldRef: apiVersion: v1 fieldPath: metadata.namespace path: namespace

本小节介绍数据库安全审计ECS自建数据库最佳实践。 数据库安全审计采用旁路部署模式，通过在数据库或应用系统服务器上部署数据库安全审计Agent，获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，实现对ECS/BMS自建数据库的安全审计。 审计ECS/BMS自建数据库架构图如所示。 场景说明 假设您在的弹性云服务器（Elastic Cloud Server ，以下简称ECS）上自建了一个数据库，数据库的详细信息如表所示，您需要对该数据库内部违规和不正当操作进行定位追责，满足等保测评数据库审计需求。本章节详细介绍该场景下，在数据库端安装 Agent ，开启数据库安全审计功能和验证审计结果的操作。 数据库类型 MySQL 数据库版本 5.7 数据库IP地址 192.168.1.5 端口 3306 操作系统 LINUX64 约束与限制 使用数据库安全审计需要关闭数据库的SSL。 待审计数据库与数据库安全审计需要在同一区域。 购买数据库安全审计配置“VPC”参数时，需与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。 步骤一：购买数据库安全审计 您需要根据您的业务需求购买数据库安全审计规格并配置数据库安全审计参数，详细操作请参见购买数据库安全审计。 为保证审计功能的正常使用，购买数据库安全审计配置“VPC”参数时，请与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。

您可以将文件系统挂载至Linux云主机，本文帮助您快速上手文件系统挂载。 操作场景 文件系统不可独立使用，当创建文件系统后，您需要使用云主机来挂载该文件系统，以实现多个云主机共享使用文件系统的目的。若您选择使用Linux操作系统和NFS文件系统，可使用本文指导挂载操作。 注意 不推荐NFS协议的文件系统挂载至Windows，Windows系统对NFS协议文件系统兼容性较差，会出现中文乱码和无法进行重命名等问题，影响正常使用。因此推荐使用NFS文件系统挂载至Linux操作系统的计算服务上，以避免不兼容的问题。 如果仍然期望采用NFS协议的文件系统挂载至Windows的方式，请务必知晓上述风险，若采用此种挂载方式，本服务不承诺SLA。 前提条件 在同地域已创建虚拟私有云VPC，具体操作步骤参见创建虚拟私有云VPC。 已创建该VPC下的弹性云主机且操作系统为Linux，具体操作步骤参见创建弹性云主机，海量文件服务兼容的操作系统请参考使用限制。 已创建同VPC下的NFS协议文件系统，具体操作步骤参见创建文件系统。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行挂载操作的云主机。 3. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机。 注意 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 4. 执行以下命令查询该云主机是否安装NFS客户端，若没有返回安装结果，执行第5步进行安装。 plaintext rpm qa grep nfsutils 5. 安装NFS客户端。安装时注意不同操作系统执行命令不同。 CentOS系统，执行以下命令： plaintext yum y install nfsutils Ubuntu系统，执行以下命令： plaintext sudo aptget install nfscommon 6. 执行如下命令创建本地挂载路径，例如“/mnt/sfs”。 plaintext mkdir /mnt/sfs 7. 执行如下命令挂载文件系统。挂载完成后使用 df h命令查看文件系统挂载情况。 注意 请务必在挂载时使用noresvport参数，防止文件系统卡住。 IPv4地址挂载命令： plaintext mount t nfs o vers3,prototcp,async,nolock,noatime,noresvport,nodiratime,wsize1048576,rsize1048576,timeo600 挂载地址 本地挂载路径 IPv6地址挂载命令： plaintext mount t nfs o vers3,prototcp6,async,nolock,noatime,noresvport,nodiratime,wsize1048576,rsize1048576,timeo600 挂载地址 本地挂载路径

本章节为您介绍如何将已添加到数据安全中心DSC防护的对象存储OBS桶删除。 将对象存储OBS桶删除后，该资产在DSC服务里建立的相关任务模板以及扫描任务结果报告都将被删除，且无法恢复。 前提要求 需要完成对象存储OBS资产委托授权，参考云资源委托授权/停止授权步骤进行操作。 需要删除的对象存储OBS资产未被应用在敏感数据识别任务中。 注意 如果需要删除的OBS资产已被应用在敏感数据检测任务中，请先解绑资产或者删除任务，再参照本章节删除资产。 OBS资产删除后无法恢复，资产相关的任务模板，任务结果，报表都将删除，请谨慎操作。 操作步骤 1.登录管理控制台。 2.点击左上角的，选择区域或项目。 3.点击左侧导航树的，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，进入OBS资产列表页面。 5.在OBS资产列表中，在需要删除的OBS资产所在行的“操作”列，单击“删除”。 6.在弹出窗口中，单击“确定”。

本文为您介绍通用型云主机的特点、规格等内容。 通用型云主机主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源。 采用非绑定CPU共享调度模式，vCPU会根据系统负载被随机分配到空闲的CPU超线程上。在主机负载较轻时，可以提供较高的计算能力，但是在主机负载较重时，可能由于不同实例vCPU争抢物理CPU资源而导致计算性能波动不稳定。有可用性SLA保证，但无性能SLA保证。 通用型与计算型相比，更侧重于资源性能的共享，无法保证实例计算性能的稳定，但是性价比更高，适用于对成本比较敏感、对性能抖动容忍度较高的场景。 在售规格：s8e、s8r、s8、s7、s6、s3、s2 适用场景 小型网站 轻量级研发测试环境 小型数据库等 通用型弹性云主机特点 规格名称 计算 磁盘类型 网络 通用型s8e 1.CPU/内存配比：1:2/1:4 2.vCPU数量范围：2192 3.处理器：第五代英特尔®至强®可扩展处理器 4.基频/睿频：2.6GHz/3.1GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 6.XSSD0、XSSD1、XSSD2 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：700万PPS 4.最大内网带宽：25Gbps 通用型s8r 1. CPU/内存配比：1:2/1:4 2. vCPU数量范围：2128 3.处理器：第四代英特尔®至强®可扩展处理器 4.基频/睿频：2.8GHz/3.3GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：700万PPS 4.最大内网带宽：25Gbps 通用型s8 1. CPU/内存配比：1:2/1:4 2. vCPU数量范围：296 3.处理器：第三代英特尔®至强®可扩展处理器 4.基频/睿频：2.8GHz/3.5GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 6.XSSD0、XSSD1、XSSD2 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：700万PPS 4.最大内网带宽：25Gbps 通用型s7 1.CPU/内存配比：1:1/1:2/1:4 2.vCPU数量范围：132 3.处理器：第三代英特尔®至强®可扩展处理器 4.基频/睿频：2.8GHz/3.5GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：200万PPS 4.最大内网带宽：12Gbps 通用型s6 1.CPU/内存配比：1:1/1:2/1:4 2.vCPU数量范围：116 3.处理器：第二代英特尔®至强®可扩展处理器 4.基频/睿频：3.0GHz/4.0GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 5.极速型SSD 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：100万PPS 4.最大内网带宽：6Gbps 通用型s3 1.CPU/内存配比：1:1/1:2/1:4 2.vCPU数量范围：116 3.处理器：英特尔®至强®可扩展处理器 4.基频/睿频：2.12.3GHz/ 3.24.0GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：18万PPS 4.最大内网带宽：2.5Gbps 通用型s2 1.CPU/内存配比：1:1/1:2/1:4 2.vCPU数量范围：132 3.处理器：英特尔®至强®处理器E5家族 4.基频/睿频：2.12.6GHz/ 3.14.0GHz 1.普通IO 2.高IO 3.通用型SSD 4.超高IO 1.支持IPv6 2.实例网络性能与计算规格对应，规格越高网络性能越强 3.最大网络收发包：无 4.最大内网带宽：5Gbps

本文主要介绍了开启重点操作短信验证的操作流程。 操作说明 开启重点操作短信验证保护后，您在进行对云主机进行关机、重启、重装等重点操作的场景时，需输入验证码，以防止错误操作造成的损失和风险。 需要注意的是：短信验证功能一旦开启，所有重点操作统一开启，短信验证的有效期为 15 分钟，15 分钟内做其他操作不需要重复验证。 操作流程 1.登录天翼云账号，点击右上角头像下方的【个人中心】进入基本信息，下拉点击“安全设置”再点击“登录保护”如下图所示。 2.点击【立即修改】跳转至概览/设置敏感操作保护，选择“开启”，如下图所示。 3.选择操作用户验证，如下图所示。 4.点击“保存”，即可开启重点操作保护。

后端访问签名 使用云原生网关的场景下，后端服务不直接对外暴露服务，而是通过云原生网关将请求转发到后端。从安全角度，配置认证鉴权策略限制只允许云原生网关等作为请求方访问自己。针对这种场景，云原生网关可以配置特定的签名策略，用于后端服务的认证鉴权。当前云原生网关添加服务时可以配置HMAC算法签名策略，如下图所示： 配置选项说明如下： 选项 说明 认证算法 当前仅支持HMAC。 Access Key 后端服务校验签名使用的HMAC access key。 Secret Key 后端服务校验签名使用的HMAC secret key。 加密算法 HMAC加密算法，支持hmacsha1, hmacsha256, hmacsha512。 加密Headers列表 用于计算签名的header列表。 URL参数编码 URL参数是否经过编码之后再计算签名，默认是。 服务版本管理 服务的版本一般是服务迭代过程中的概念，在云原生网关的场景下，服务版本引申为服务的标签概念，一个服务可能有多个版本（标签）；基于服务的版本（标签）可以实现如标签路由、灰度发布、高可用部署等能力；如对于一个服务存在多个版本的场景，基于不同版本的实例上所携带的标签不同，将服务定义为多个不同的版本；根据请求的特征匹配，路由到不同版本的服务中可以实现标签路由；将服务的流量在多个版本之间分配，可以实现金丝雀、蓝绿等灰度功能；根据服务的部署标签定义的版本则可以应用在服务的高可用部署上。 对于容器或者Nacos来源的服务，云原生网关支持根据服务的元数据定义不同的版本，如下图对于容器服务，可以根据pod的标签定义不同的服务版本： 配置说明如下： 配置 说明 版本名称 自定义的版本名称。 标签名 版本对应的标签名，可选值来自当前服务的元数据。 标签值 版本标签名对应的标签值，可选值来自当前服务的元数据。 实例数/比例 所选的标签选择到的实例数/相对于整体实例数的比例。 添加完服务版本则可以看到如下：

全局时钟（Global Timestamp） 全局时钟在分布式数据库中的作用是通过提供统一的时间参考，确保系统内各组件协同工作时的时间同步，从而保障数据的一致性和系统的正确运行。如下为全局时钟的架构和分布式并发记录结构。 由GTM提供全局唯一的事务id和全局事务快照。当事务执行时，会话携带全局事务id，各节点通过全局事务id来判断数据的可见性。 全局时钟通过分布式并发记录来保障各组件协同工作时的时间同步。分布式并发控制核心点如下： 1. 逻辑时钟从零开始内部单向递增且唯一，由GTM维护，定时和服务器硬件计数器对齐，从而保证时钟源稳定。 2. 多个GTM节点构成集群，主节点对外提供服务；主备之间通过日志同步时间戳状态，保证GTS核心服务可靠性。 3. 单台物理机每秒能够处理1200万QPS，几乎满足所有业务场景。 4. 段页式存储的MVCC是整个并发控制的基础。同时约定：事务的gtsstart > gtsmin并且gtsmax没有提交或者gtsstart < gtsmax才能看到对应的事务。 两阶段提交（Two Phase Commit） 分布式事务执行时，由CN节点发起两阶段提交事务，并协调其它节点（参与者）执行事务，经过表决、执行两个阶段各参与者返回的状态，决定分布式事务需要提交或回滚。 两阶段提交被认为是一种一致性协议，用来保证分布式系统数据的一致性。绝大部分的关系型数据库都是采用两阶段提交协议来完成分布式事务处理。 两阶段提交事务在执行时分为两个阶段，第一阶段为表决阶段Prepare，第二阶段为执行阶段Commit，由协调者发起，并根据所有参与者返回的状态，判断是否需要执行下一阶段，Commit提交或回滚事务。 1. 表决阶段Prapare：所有参与者都将本事务能否成功的信息反馈发给协调者。 2. 执行阶段Commit：协调者根据所有参与者的反馈，通知所有参与者，步调一致地在所有分支上提交或者回滚。 两阶段提交机制的潜在问题： 1. 数据不一致问题：当部分参与者故障，各参与者在两阶段提交事务中的状态就会出现不一致的情况，如：部分节点commit，部分prepare，或部分commit，部分rollback，这都会导致该事务更新的数据在所有参与者中出现不一致。 2. 同步阻塞问题：两阶段提交过程中的一些步骤是同步阻塞的，没有超时机制，可能会有长时间阻塞的问题。同时，如果异常时，有prepare状态的两阶段事务残留，残留事务仍会持有锁，会阻塞后续会话对这些数据的访问和更新。 3. 协调节点单点故障问题：如果协调节点故障后短时间不能恢复，参与者的两阶段事务会一直残留，导致出现数据不一致、资源阻塞的问题。 TeleDB在内核处理机制，以及异常处理两个角度，对两阶段提交进行了优化，确保在两阶段事务异常时能自动恢复，不会出现上述问题。 内核处理机制优化 在两阶段事务执行过程中记录信息，用于异常时恢复残留的两阶段事务； 避免进入“Commit Prepared”的两阶段事务在所有参与节点被回滚。 分布式死锁检测模块：该模块对数据库状态进行实时监测，当发现存在长时间等待依赖时自动开启分布式死锁检测，经过节点间信息传递和算法分析可快速检测并解除死锁环。检测算法不影响系统查询效率，用户对死锁检测过程无感知。分布式死锁主要分为四个模块，分别为锁等待依赖关系的管理、线程模型模块、检测算法模块和监控与追踪模块。 锁等待依赖关系的管理：对分布式数据库中出现的长时间等待事务依赖对进行检测与上报。 线程模型模块：包含DDS专用线程工作模式和方法的设计、实现。 检测算法模块：分布式死锁检测的执行算法，根据上游节点发送的消息进行两阶段算法推演，再发送消息给下游节点。 监控与追踪模块：包含DDS依赖消息产生和传播的追踪日志、各节点依赖可视化、最近死锁记录保存。 其优点是内核原生支持、自动检测并解锁、分布式算法，需要传输的信息量少、网络资源消耗少、解锁速度快、无死锁误判、支持优先级解锁和抗丢包性强。 异常处理优化：提供两阶段事务的自动处理插件，在监测到两阶段事务残留时，通过访问两阶段事务执行过程中记录的信息，来判断各个参与节点的状态，根据状态参照对应规则，对残留事务进行清理，恢复各节点数据到全局一致。 PREPARED状态 COMMIT状态 ROLLBACK状态 异常阶段及原因 动作 有 有 无 commit阶段异常参与节点故障 COMMIT剩余事务 有 无 有 prepare阶段异常参与节点宕机 ROLLBACK剩余事务 有 无 无 prepare阶段异常发起节点宕机 ROLLBACK剩余事务

本节主要介绍添加、查看和删除安全组。 使用说明 每个用户下有默认的安全组，默认安全组不支持删除，除userdefault安全组外其他默认安全组不支持自定义添加安全组规则。 不同的安全组用于不同的应用，不同安全组分别维护对应的安全组规则。 一个虚拟机可以同时加入到多个安全组，单个安全组内的安全组规则尽可能保持简单。 自助创建的安全组没有关联虚拟机实例时，可以删除该安全组。 创建安全组 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，单击【新建安全组】，在安全组创建页面填入名称、描述等参数。 3. 出/入方向规则选填，具体操作可参考添加安全组规则。 4. 配置相关的参数后，单击【提交】执行创建。 查看安全组 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，查看当前用户下默认的安全组和创建的安全组的信息。 查看安全组参数说明。 参数 说明 安全组名称 默认安全组的名称不可修改。自助创建的安全组名称可以单击修改按钮进行修改。 规则数量 对应安全组下的出入方向的规则数总和的统计。 关联实例数量 按虚拟机维度关联的虚拟机实例数量。 关联网卡数量 按网卡维度关联的网卡数量。 创建时间 创建安全组的时间。 描述 可描述安全组使用用途等。

支持审计的关键操作列表 通过云审计服务，您可以记录与DWS服务相关的操作事件，便于日后的查询、审计和回溯。 说明 自动快照的创建，删除走系统内部调度，非用户操作，不记录审计日志。 详见下表：云审计服务支持审计的DWS 操作列表 操作名称 资源类型 事件名称 创建集群/恢复集群 cluster createCluster 删除集群 cluster deleteCluster 扩容集群 cluster resizeCluster 重启集群 cluster restartCluster 创建快照 backup createBackup 删除快照 backup deleteBackup 设置安全参数 configurations updateConfigurations 创建MRS数据源 dataSource createExtDataSource 删除MRS数据源 dataSource deleteExtDataSource 更新MRS数据源 dataSource updateExtDataSource 查看审计日志 1. 登录管理控制台，选择“服务列表 > 管理与监管> 云审计服务”，进入云审计服务信息页面。 2. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 3. 单击事件列表右上方的“筛选”，设置对应的操作事件条件。 当前事件列表支持四个维度的组合查询，详细信息如下： “事件来源”、“资源类型”和“筛选类型”。 −“事件来源”：选择“DWS ”。 −“资源类型”：选择“所有资源类型”，或者指定具体的资源类型。 −“筛选类型”：选择“所有筛选类型”，或者选择以下任一选项。 “按事件名称”：选择该选项时，还需选择某个具体的事件名称。 “按资源ID”：选择该选项时，还需选择或者手动输入某个具体的资源ID。 “按资源名称”：选择该选项时，还需选择或手动输入某个具体的资源名称。 “操作用户”：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 “事件级别”：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 “起始时间”、“结束时间”：可通过选择时间段查询操作事件。 4. 单击“查询”，查看对应的操作事件。 5. 在需要查看的事件左侧，单击展开该记录的详细信息。 6. 在需要查看的事件右侧，单击“查看事件”，弹出一个窗口，显示了该操作事件结构的详细信息。 详见下图： 查看事件 关于云审计服务事件结构的关键字段详解，请参见《云审计服务用户指南》中的“云审计服务事件参考 > 事件结构”和“云审计服务事件参考 > 事件样例”章节。

如果您已经完成MRS资产委托授权，可参考本章节对MRS创建的Hive数据进行相关操作的授权。 前提要求 已完成MRS资产委托授权，参考云资源委托授权/停止授权进行操作。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，并选择“MRS > 待授权”，进入待授权MRS资产列表页面。 5.在需要授权的MRS资产所在行的“操作”列，单击“授权”。 6.在弹出的“MRS授权”对话框中，参考下表配置数据库参数。 参数名称 参数说明 资产名称 用户自定义的MRS实例的名称。 数据库名称 和MRS实例中的数据库名称保持一致。 用户名 输入访问数据库服务器的用户名，与MRS里创建的保持一致。 密码 输入访问数据库服务器的密码，与MRS里创建的保持一致。 7.单击“确定”，数据库添加完成，并展示在已授权的MRS资产列表中。

本文介绍了如何管理前缀列表的条目信息。 操作场景 您可以管理前缀列表，根据需求新增、修改或删除前缀列表条目。 前缀列表被资源引用后，如安全组规则，那么当源地址/目的地址为前缀列表时，前缀列表所占用的安全组规则数等于前缀列表的最大条目数。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 已创建好前缀列表。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制前缀列表”选项。 5. 在右侧前缀列表页面，选择目标前缀列表，点击名称进入前缀列表详情。 6. 根据您的需求新增、修改、删除前缀列表条目。 新建前缀列表条目 前缀列表条目页签下，单击【新增】按钮。 在新增弹窗中添加CIDR地址块和描述信息，然后单击 保存 。 如果需要添加多个条目，可点击弹窗中的【新增条目】批量添加。 修改前缀列表条目 在前缀列表详情页，找到目标条目，单击【修改】。 修改条目的CIDR地址块和描述信息，然后单击 保存 。 删除前缀列表条目 删除单个条目：在目标条目的操作列，单击操作列【删除】。 批量删除条目：选中多个目标条目，单击顶部的【批量删除】。

本文帮助您快速熟悉创建虚拟私有云的操作流程。 操作场景 虚拟私有云可以为您的弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境。 要拥有一个完整的虚拟私有云，第一步请参考本章节任务创建虚拟私有云的基本信息及默认子网；然后再根据您的实际网络需求，参考后续章节继续创建子网、申请弹性IP、安全组等网络资源。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 单击“创建虚拟私有云”。进入“创建虚拟私有云”页面。 4. 在“创建虚拟私有云”页面，根据界面提示配置虚拟私有云参数。创建虚拟私有云时会同时创建一个默认子网，您还可以单击“添加子网”创建多个子网。 5. 检查当前配置，单击“立即创建”。 表 虚拟私有云参数说明 参数 说明 取值样例 区域 不同区域的资源之间内网不互通。请选择靠近您客户的区域，可以降低网络时延、提高访问速度。 名称 VPC名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 VPCtest IPv4网段 VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。目前支持网段范围： 10.0.0.0/824 172.16.0.0/1224 192.168.0.0/1624未开启IPv4/IPv6双栈的区域显示参数“网段”，开启IPv4/IPv6双栈的区域显示参数“IPv4网段”。 192.168.0.0/16 高级配置 单击下拉箭头，可配置VPC的高级参数，包括标签等。 默认配置 标签 虚拟私有云的标识，包括键和值。可以为虚拟私有云创建10个标签。 键：vpckey1 值：vpc01 表 子网参数说明 参数 说明 取值样例 名称 子网的名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 subnet01 子网IPv4网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 子网IPv6网段 选择是否勾选开启IPv6。开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。该功能一旦开启，将不能关闭。 关联路由表 子网创建完成后默认关联默认路由表，您也可以通过子网的更换路由表操作，切换至自定义路由表。 默认 高级配置 单击下拉箭头，可配置子网的高级参数，包括网关、DNS服务器地址等。 默认配置 网关 子网的网关。通向其他子网的IP地址，用于实现与其他子网的通信。 192.168.0.1 DNS服务器地址 默认配置了2个DNS服务器地址，您可以根据需要修改。多个IP地址以英文逗号隔开。DNS服务器地址最多支持2个IP，请以英文逗号隔开。 100.125.x.x 标签 子网的标识，包括键和值。可以为子网创建10个标签。 l 键：subnetkey1l 值：subnet01

本文帮助您快速熟悉创建虚拟私有云的操作流程。 操作场景 虚拟私有云可以为您的弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境。 要拥有一个完整的虚拟私有云，第一步请参考本章节任务创建虚拟私有云的基本信息及默认子网；然后再根据您的实际网络需求，参考后续章节继续创建子网、申请弹性IP、安全组等网络资源。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 单击“创建虚拟私有云”。进入“创建虚拟私有云”页面。 4. 在“创建虚拟私有云”页面，根据界面提示配置虚拟私有云参数。创建虚拟私有云时会同时创建一个默认子网，您还可以单击“添加子网”创建多个子网。 5. 检查当前配置，单击“立即创建”。 表 虚拟私有云参数说明 参数 说明 取值样例 区域 不同区域的资源之间内网不互通。请选择靠近您客户的区域，可以降低网络时延、提高访问速度。 名称 VPC名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 VPCtest IPv4网段 VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。目前支持网段范围： 10.0.0.0/824 172.16.0.0/1224 192.168.0.0/1624未开启IPv4/IPv6双栈的区域显示参数“网段”，开启IPv4/IPv6双栈的区域显示参数“IPv4网段”。 192.168.0.0/16 高级配置 单击下拉箭头，可配置VPC的高级参数，包括标签等。 默认配置 标签 虚拟私有云的标识，包括键和值。可以为虚拟私有云创建10个标签。 键：vpckey1 值：vpc01 表 子网参数说明 参数 说明 取值样例 名称 子网的名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 subnet01 子网IPv4网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 子网IPv6网段 选择是否勾选开启IPv6。开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。 该功能一旦开启，将不能关闭。 关联路由表 子网创建完成后默认关联默认路由表，您也可以通过子网的更换路由表操作，切换至自定义路由表。 默认 高级配置 单击下拉箭头，可配置子网的高级参数，包括网关、DNS服务器地址等。 默认配置 网关 子网的网关。通向其他子网的IP地址，用于实现与其他子网的通信。 192.168.0.1 DNS服务器地址 默认配置了2个DNS服务器地址，您可以根据需要修改。多个IP地址以英文逗号隔开。 DNS服务器地址最多支持2个IP，请以英文逗号隔开。 100.125.x.x 标签 子网的标识，包括键和值。可以为子网创建10个标签。 键：subnetkey1 值：subnet01

本节为您介绍权限管理的概念。 在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用 统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。关于IAM的详细介绍，请参见IAM产品介绍。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。云助手相关的系统策略包含如下： Admin：云助手的管理者权限，包含云助手所有控制权限（不含订单类权限）。 Viewer:云助手的观察者权限，包含云助手的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

什么是DHCP选项集 动态主机配置协议DHCP（Dynamic Host Configuration Protocol）是一种局域网的网络协议， 提供了将配置信息传递到TCP/IP网络服务器的标准。通过DHCP选项集功能，您可以为虚拟私有云VPC中的云服务器ECS实例配置域名和DNS服务器IP地址。 DHCP选项集功能介绍 登录云主机实例后，您可以通过命令手动指定DNS服务器IP地址，但修改的配置会在云主机实例重启后失效。 VPC支持DHCP选项集功能后，您可以为DHCP选项集配置域名和DNS服务器IP地址，然后根据需要将DHCP选项集与其所在地域的一个或多个VPC关联。VPC关联DHCP选项集后，VPC中新建的ECS实例会使用该VPC关联的DHCP选项集中的配置，而存量ECS实例在更新DHCP后也会使用该VPC关联的DHCP选项集中的配置。更多信息，请参见DHCP选项集对ECS实例的生效策略。 DHCP选项集中的域名和DNS服务器IP地址的具体描述如下 ： DHCP选项名称 描述 域名 云主机实例的主机名后缀，例如ctyun.cn。 DNS域名服务器IP 域名服务器IP。默认使用114.114.114.114、8.8.8.8，部分资源池已经默认使用100.95.0.1，实际情况以控制台展示为准。如果您的业务有特殊需求，您可以自定义指定服务器IP，您最多可以指定4个域名服务器IP。 说明：您需要在安全组和网络ACL（如有）中添加允许访问自定义域名服务器IP的规则，否则可能导致无法解析私有服务。 一般情况下，当配置了多个DNS 服务器时，操作系统通常会按照顺序查询这些服务器来解析域名。它会首先向第一个 DNS 服务器发送请求，如果在第一个服务器上找不到相应的域名解析结果（即没有相应的IP地址），那么系统会继续向下一个 DNS 服务器发送请求，直到找到对应的 IP 地址或者遍历完所有的 DNS 服务器。

本小节介绍如何新增用户账号、资产和资产账号。 在使用云堡垒机进行系统管理和运维前，管理人员需要在云堡垒机系统中创建系统用户，为用户分配不同系统角色。 根据角色系统权限的不同，用户拥有不同的系统操作和访问权限，新创建的用户登录系统，即可访问角色权限内模块。 新增用户账号 在使用云堡垒机进行运维前，系统管理员需要先创建系统用户，并为系统用户分配角色身份。不同的角色身份，拥有不同的菜单权限和操作权限。 操作步骤 1.管理员登录云堡垒机系统。 2.角色身份切换到“管理角色”。 3.在左侧导航栏，选择“用户管理 > 用户”，单击左上角的“新增”按钮。 4.填写账号基本信息，并选择角色身份，单击“确定”。 参数 参数说明 登录名 填写该账户的登录名称。 只能为数字、大小写字母、“.”和“”组成，首位只能数字或者字母，且不超过25个字符； 姓名 填写该账户的使用者的姓名。 手机号 填写手机号，请确保手机号真实有效，否则会影响短信的接收。 邮箱 （选填）填写邮箱地址，请确保邮箱地址真实有效，否则会影响告警信息的接收。 用户密码 输入该账户的密码。密码请根据管理员设置的密码规则填写，具体可参见：安全设置章节。 确认密码 二次确认账户密码。 角色 选择该账户所属的角色，可选“管理角色”、“审计角色”和“访问角色”。 用户组 选择该账户所属的用户组，用户组相关操作请参见用户章节。 认证方式 填写认证方式，可选“跟随系统”和“自定义”： 跟随系统：沿用系统认证方式的设置，并且动态更新同步。 自定义：自定义选择认证源、双因子认证。 生效时间 选择该账户可登录的时间段。 准入IP 选择可登录的IP地址。 准入MAC 填写该用户允许登录的MAC地址。

本章节主要介绍翼MapReduce的资源概述操作。 MRS集群的资源分为计算资源和存储资源。多租户可实现资源的隔离： 计算资源 计算资源包括CPU和内存。租户之间不可以相互占用计算资源，私有计算资源独立。 存储资源 存储资源包括磁盘或第三方存储系统。租户之间不可以相互访问数据，私有存储资源独立。 计算资源 计算资源可分为静态服务资源和动态资源： 静态服务资源 静态服务资源是集群分配给各个服务的计算资源，每个服务的计算资源总量固定，不与其他服务共享，是静态的。这些服务包括Flume、HBase、HDFS和Yarn。 动态资源 动态资源是分布式资源管理服务Yarn动态调度给任务队列的计算资源。Mapreduce、Spark2x、Flink和Hive的任务队列由Yarn来动态调度资源。 说明 大数据集群为Yarn分配的资源是静态服务资源，可以由Yarn动态分配给任务队列计算使用。 存储资源 存储资源是分布式文件存储服务HDFS中可分配的数据存储空间资源。目录是HDFS存储资源分配的基本单位，租户通过指定HDFS文件系统的目录来获取存储资源。

此功能处于公测阶段，公测阶段可免费使用。 数据资产地图可以通过可视化的手段，从资产概况、分类分级、权限配置、数据存储、敏感数据等多种维度查看资产的安全状况。可协助您快速发现风险资产并进行快速风险处理操作。 前提条件 已完成资产访问的授权。 已添加数据库资产。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产地图”进入“资产地图”页面。 5. 查看资产地图。 资产地图可以实现： 梳理云上数据资产 ：自动扫描并梳理云上数据资产，地图化展示资产分布，帮助用户解决数据在哪里的问题。 说明 资产地图最多支持显示1000个资产。 敏感数据展示 ：基于DSC的三层数据识别引擎、预置合规规则、自然语义识别技术、文件相似度检测技术，对数据资产进行分类分级。 风险监控和预警 ：基于风险识别引擎，对数据资产进行风险监控，展示每类资产的风险分布，并预警。 资产地图会显示您当前所有资产的总体安全评分，评分规则请参见资产地图评分规则。 6. 单击“风险等级”上面显示的数字，可进入资产风险概览页面，并查看各风险等级下所有的数据库及数据表。 7. 单击资产风险概览下方输入框，可输入数据库或数据表关键词搜索您想要展示的数据库或数据表。 8. 单击想要查看的数据表名称，会在页面右侧弹框展示数据表的详细信息。 说明 将鼠标移动到数据资产图标处，也可查看资产相关信息。 单击数据资产图标，在界面的右侧弹框中可详细查看该资产的“敏感数据识别”、或者“ES集群安全防护策略分析”等信息。 如您需要对您的云资产授权进行更改，可单击右上角“修改”进行更改。如需停止授权，需要您的资产没有绑定任务。停止授权后，DSC会删除您的委托和资产信息，对应的所有数据将被清除，请谨慎操作。 DSC资产地图参数说明： 参数名称 参数说明 风险等级 您的资产存在的风险等级。 数据表总数 数据类型为数据库时显示该参数，数据库的表总数量，可单击“查看详情”进行查看。 扫描文件总数 数据类型为OBS时显示该参数，OBS的文件总数，可单击“查看详情”进行查看。 文档总数 数据类型为ES时显示该参数，ES的文档总数量，可单击“查看详情”进行查看。 敏感文档数 包含敏感信息的文档总数量，可单击“查看详情”进行查看。 最新扫描时间 上次对您的资产进行安全扫描的时间。 分类分级模板 选择内置模板或者自定义模板，DSC将根据您选择的模板对数据进行分级分类展示。添加模板请参见新增识别模板。 可单击“查看详情”进行查看。

此小节介绍云堡垒机用户管理。 云堡垒机系统具备集中管理用户功能，创建一个用户即创建一个云堡垒机系统的登录账号。系统管理员admin是系统默认用户，为系统第一个可登录用户，拥有系统最高操作权限，且无法删除和更改权限配置。 根据用户角色的不同，用户拥有不同的系统操作权限。 根据用户组的划分，可批量为同组用户授予资源运维的权限。 用户相关操作 约束限制 仅有“管理角色”权限的用户可以新建、编辑和删除用户。 新增单个用户操作步骤 1.使用“管理角色”账号登录云堡垒机。 2.在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3.单击“新增”，在弹出的“新增用户”对话框中，填写用户信息。 参数 参数说明 登录名 填写该账户的登录名称。 只能为数字、大小写字母、“.”和“”组成，首位只能数字或者字母，且不超过25个字符； 姓名 填写该账户的使用者的姓名。 手机号 填写手机号，请确保手机号真实有效，否则会影响短信的接收。 邮箱 （选填）填写邮箱地址，请确保邮箱地址真实有效，否则会影响告警信息的接收。 用户密码 输入该账户的密码。密码请根据管理员设置的密码规则填写，具体可参见：安全设置章节。 确认密码 二次确认账户密码。 角色 选择该账户所属的角色，可选以下角色 管理角色 审计角色 访问角色 工单管理角色（提供工单管理模块的权限） 说明 管理角色 和工单管理角色只支持二选一配置。 用户组 选择该账户所属的用户组，用户组操作请参见：用户组章节。 认证方式 选择认证方式，可选“静态认证”和“令牌认证”。 生效时间 选择该账户可登录的时间段。 准入IP 选择可登录的IP地址。 准入MAC 填写该用户允许登录的MAC地址。 4.填写完成后，单击“确定”完成用户新增。

本章节主要介绍翼MapReduce的创建备份任务操作。 操作场景 FusionInsight Manager支持在界面上创建备份任务，运行备份任务将对指定的数据进行备份。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“运维 > 备份恢复 > 备份管理 > 创建”。 3. 设置“备份对象”为“OMS”或需要备份数据的集群。 4. 在“任务名称”输入参数值。 5. 在“备份类型”选择任务执行属性。 备份类型说明 类型 参数 说明 周期备份 开始时间 表示周期备份任务第一次启动的时间 周期备份 周期 表示任务下次启动，与上一次运行的时间间隔，支持“小时”或“天” 周期备份 备份策略 可以选择下策略： 首次全量备份，后续增量备份 每次都全量备份 每n次进行一次全量备份 手动备份 无 需要手动运行任务才能进行备份 6. 在“备份配置”指定需要备份的数据。 支持备份元数据和业务数据。 各组件不同数据的备份任务操作请参考备份恢复管理。 7. 单击“确定”保存。 8. 在备份任务列表，可以查看刚创建的备份任务。 在指定的备份任务“操作”列，选择“更多 > 即时备份”，可以立即运行备份任务。

本节主要介绍导入和导出安全组规则。 使用说明 在需要快速恢复或者创建安全组规则时，可以通过导入安全组规则的功能将导出的安全组规则文件导入到安全组中。 在需要对已有安全规则进行备份时，可以通过导出安全组规则的功能将对应安全组下的规则导出EXCEL或者JSON文件。 默认的安全组不支持导出安全组规则的操作。 在使用导入安全组规则时会创建一个新的安全组。 导出安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，查看当前用户已有安全组。 3. 选中所要导出安全组规则的安全组，在操作栏中单击【导出】，在弹出栏中选择导出的文件格式“EXCEL格式”或者“JSON格式”，单击对应的格式即可完成导出安全组规则，导出文件会自动下载到本地电脑。 导入安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，单击【导入安全组】，在弹出栏中选择导入的安全组规则的格式“EXCEL格式”或者“JSON格式”。 3. 在弹出框中填入对应的参数和上传对应的安全组规则文件，单击【点击上传】把对应的安全组规则文件进行上传。 导入安全组规则参数说明： 参数 说明 安全组名称 自定义导入的安全组规则所对应的安全组名称。 配置文件 安全组规则的配置文件，若选择EXCEL格式则上传EXCEL格式的文件，若选择JSON格式则上传JSON格式的文件。 描述 可选项，对当前导入安全组规则对应的安全组的描述信息。 4. 配置相关的参数后，单击【确认】执行导入。 注意 如选择EXCEL格式上传，请先下载EXCEL上传模板，严格按照模板填写要求填写出入方向安全规则，否则会导入失败，填写完后再点击上传导入。

本文指导您同步EIP信息并开启弹性公网IP防护。 如果您未配置访问控制策略或未开启弹性公网IP防护，您的业务流量将只经过云防火墙，云防火墙不会实施拦截操作。 操作步骤 1. 登录天翼云控制中心。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“资产管理 > 弹性公网IP管理”，进入“弹性公网IP管理”页面。 单击页面右上角“资产同步”，将您的弹性公网IP信息导入至列表中，刷新弹性公网IP列表。 说明 当前账号下有多个云防火墙时，资产同步只将“未防护”的EIP同步至列表中。 5. （可选）当您列表IP数量过多时，可执行此步骤进行筛选。 在页面上方搜索下拉框中，选择搜索类型并输入信息，回车键确认，可添加多个筛选条件，右侧进行搜索。 弹性公网IP地址/ID：IP地址，即“弹性公网IP”列；或对应的ID号，由系统自动生成，即“ID”列。 企业项目名称：您同步后显示的项目名称，即“企业项目信息”列。 已绑实例名称/ID：实例名称，如“云服务器”，即“已绑定实例”列中黑色字体的信息；实例名称的ID号，如“ecsctyun0101”，即“已绑定实例”列中蓝色字体的信息。 搜索类型支持模糊搜索。 未选择搜索类型时，默认类型为弹性公网IP地址/ID。 6. 开启弹性公网IP。 开启单个弹性公网IP。在所在行的“操作”列中，单击“开启防护”。 开启多个弹性公网IP。勾选需要开启防护的弹性公网IP，单击表格上方的“开启防护”。 说明 一个EIP只能在一个防火墙上开启防护。 仅支持当前账号所属企业项目下的弹性公网IP。 7. 在弹出的界面确认信息无误后，单击“绑定并开启防护”，可查看操作行的“防护状态”列显示“已防护”。 说明 EIP开启防护后，访问控制策略默认动作为“放行”。

本文简述回源HTTP响应头的用途和配置方法。 功能介绍 天翼云边缘安全加速平台安全与加速服务支持自定义配置回源HTTP响应头，您可根据业务需要，选择添加、修改、删除回源HTTP响应头。 回源HTTP响应头 HTTP响应头是HTTP响应消息头的重要组成部分，可使用HTTP响应头携带特定的响应参数返回给客户端。当边缘节点上没有用户请求的资源时，边缘节点会回源获取该资源，源站会响应用户请求的资源。为方便用户识别，可通过配置回源HTTP响应头的功能，改写响应报文中的HTTP头。 配置说明 天翼云边缘安全加速平台安全与加速服务回源HTTP响应头采用key、value的方式进行配置。 添加回源HTTP响应头，key对应需要添加的响应头名称，value对应需要配置的响应头的值。 修改回源HTTP响应头，key对应需要修改的响应头名称，value对应修改后的响应头值。 删除回源HTTP响应头，key对应需要删除的响应头名称，value配置为空。 如您需要配置回源HTTP响应头功能，请提交工单给天翼云客服，由其帮您配置。

本章节介绍应用服务网格CSM应用场景 应用服务网格CSM主要适用于微服务架构下的流量治理、安全治理和可观测场景，常用场景如下： 多语言微服务统一治理 应用服务网格（CSM）采用无侵入式的sidecar模式，提供了与语言无关的服务治理能力，无需修改业务代码即可实现对多语言应用的灰度发布、熔断限流、标签路由、全链路灰度等治理能力。 解决问题： 服务治理能力与业务代码耦合问题，业务无需关注非业务的技术问题，提高业务迭代效率。 企业内部多语言业务互通问题，服务网格通过sidecar和统一控制面，屏蔽了语言和框架的差异，使得多语言框架应用之间的通信就像语言框架内部的通信一样简单。 多集群统一服务治理 应用服务网格（CSM）采用主从集群模式，主集群（云容器引擎）作为控制面部署集群，支持对多个从集群（云容器引擎）实行统一纳管，对多个云容器引擎集群上的服务进行统一治理。 解决问题： 服务扩展问题：随着业务的发展，业务通过单个容器集群难以支撑时，CSM服务网格可以在一个网格实例下实现对多个容器集群的统一治理。 容灾问题：基于多集群和服务标签，通过服务网格的路由能力可以实现业务的多活容灾。

步骤一：创建云上VPC环境 创建两个VPC，并为每个VPC各创建一个相同网段的业务子网（192.168.1.0/24）和一个不同网段的中转子网（vpctest1:192.168.3.0/24; vpctest2:192.168.4.0/24）。 具体操作步骤参见创建VPC 步骤二：购买弹性云主机 为两个VPC专有网络，各购买一台弹性云主机，所属子网选择VPC的业务子网，并配置好安全组，放行ECStest2的80端口。 具体操作步骤参见：创建弹性云主机 步骤三：购买私网NAT网关 1. 登录天翼云控制台，选择”网络>NAT网关>私网NAT网关”。 2. 进入NAT网关控制台，点击右上角“创建私网NAT网关”。 3. 选择付费方式，填写名称，选择可用区，VPC选择环境准备中的创建的VPC，子网选择创建好的中转子网，选择所需规格，点击”下一步”。 4. 确认规格，选择我已阅读并同意相关协议，单击“确认下单”，完成私网NAT网关的创建。 步骤四：创建中转IP地址 1. 登录天翼云控制台，选择”网络>NAT网关>私网NAT网关”。 2. 点击需要添加中转IP地址的私网NAT网关名称，进入私网NAT网关详情页，下拉至中转IP地址标签页，点击添加中转IP。 3. 根据界面提示，选择手动分配，并设定为做NAT转换的IP地址（nattest1: 192.168.3.5; nattest2: 192.168.4.5）。 4. 配置完成上述信息，点击“确定”，完成中转IP地址的添加。

本节介绍天翼量子AI云电脑客户端支持的系统、浏览器版本，以及下载地址。 说明：新版本客户端目前处于灰度测试阶段，将逐步向更多用户开放，感谢您的耐心等待。 若您希望申请试用，可发送邮件至指定邮箱：clouddesktop@chinatelecom.cn 1. 前言 欢迎广大用户下载安装天翼量子AI云电脑全新视觉客户端，当前文档适用于Windows客户端，Mac客户端，Ubuntu瘦终端，安卓瘦终端，国产化终端（银河麒麟/统信UOS），Web客户端的使用帮助文档。 2. 产品定义 天翼量子AI云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的Clink数据安全传输协议，实现低延时、高画质、带宽占用少、多终端接入，打造从端到云全链路的安全防护体系，用户通过终端快速访问调取云端资源，实现统一管理、便捷维护，多重数据安全防护，随时随地共享数据、安全办公。 3. 客户端支持的最低系统版本 天翼量子AI云电脑客户端支持Windows，MacOS12.0，Android7.0，iOS10、Ubuntu18.04，UOS V20，Kylin V10等以上系统版本。 4. Web客户端接入的最低浏览器版本 支持Chrome70+、Firefox72+、edge、UOS 5.2.1200+、奇安信1.0.1365+等浏览器接入。Web客户端访问地址：[

本章节介绍关系型数据库如何绑定和解绑公网IP。 操作场景 关系型数据库实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。关系型数据库服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 注意 为保证数据库可正常访问，请确保数据库使用的安全组开通了相关端口的访问权限，假设数据库的访问端口是8635，那么需确保安全组开通了8635端口的访问。 注意事项 公网访问会降低实例的安全性，请谨慎选择。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系型数据库在同一区域的弹性云主机上。 前提条件 用户需要在VPC申请一个弹性公网IP。 只有主实例和只读实例才能绑定弹性公网IP。 对于已绑定弹性公网IP的实例，需解绑后，才可重新绑定其他弹性公网IP。 说明 部分已创建实例暂不支持该功能，因为其连接地址的创建方式不支持绑定弹性公网IP。 绑定弹性公网IP 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4、在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 5、选择“弹性公网IP”页面，单击“绑定弹性公网IP”。 6、在弹出框的EIP地址列表中，显示“未绑定”状态的EIP，选择所需绑定的EIP，单击“确定”，提交绑定任务。如果没有可用的EIP，单击“查看弹性公网IP”，获取EIP。 7、在“弹性公网IP”页面，查看绑定成功的EIP。 您也可以在“任务中心”页面，查看绑定弹性公网IP任务的执行进度及结果。

主要介绍翼MapReduce服务的产品价格。 普通版集群 通用计算型（服务管理费用） 规格名称 核数 内存 按需计费（元/节点/小时） 包月计费（元/节点/月） ::::: s3.4xlarge.4 16核 64GB 0.624 299 通用计算增强型（服务管理费用） 规格名称 核数 内存 标准资 费（元/节点/小时） 包月计费 （元/节点/月） ::::: c6.2xlarge.4 8核 32GB 0.312 149 c6.4xlarge.4 16核 64GB 0.624 299 c6.8xlarge.4 32核 128GB 0.702 337 c6.16xlarge.4 64核 256GB 0.702 337 c6s.4xlarge.2 16核 32GB 0.624 299 c6s.4xlarge.4 16核 64GB 0.624 299 c6s.8xlarge.4 32核 128GB 0.702 337 c6s.16xlarge.4 64核 256GB 0.702 337 c7n.4xlarge.4 16核 64GB 0.624 299 c7n.6xlarge.4 24核 96GB 0.702 337 c7n.8xlarge.4 32核 128GB 0.702 337 c7n.12xlarge.4 48核 192GB 0.702 337 c7n.16xlarge.4 64核 256GB 0.702 337 c7n.24xlarge.4 96核 384GB 0.702 337

本章节介绍了如何创建和运行一个分布式消息服务RocketMQ的实例。 本章节以在“广州4”创建一个开启SSL的RocketMQ 实例为例，介绍如何在控制台创建RocketMQ 实例。 前提条件 在创建RocketMQ实例前，需要保证存在可使用的虚拟私有云和安全组。如果还没有，请参考准备环境创建。 为RocketMQ授权 如果RocketMQ实例需要开启IPv6功能，在创建RocketMQ实例前，需要为RocketMQ授予VPC终端节点操作权限，否则会导致创建失败。 在IAM控制台创建委托，委托参数如下，其他参数保持默认，创建委托的具体步骤请参见《统一身份认证服务 用户指南》的“委托 > 委托其他云服务管理资源”章节。 委托名称：dmsadmintrust 委托类型：云服务 云服务：分布式消息服务 持续时间：永久 委托将拥有所选策略：DMS VPCEndpointAccess、DMSAgencyCheckAccessPolicy 选择授权范围方案如下： DMS VPCEndpointAccess：指定区域项目资源 DMSAgencyCheckAccessPolicy：所有资源 操作步骤 1. 进入购买RocketMQ实例页面。 2. “计费模式”选择“按需计费”。 3. 在“区域”下拉列表中，选择靠近您应用程序的区域，可降低网络延时、提高访问速度。 4. 在“项目”下拉列表中，选择项目。 5. 在“可用区”区域，根据实际情况选择1个或者3个及以上可用区。 6. 设置“实例名称”和“企业项目”。 7. 设置实例信息，配置详情请参考表1。 表1 设置实例信息 参数 配置说明 规格选择模式 选择“默认” 版本 可选择“5.x、4.8.0” RocketMQ实例创建后，版本号不支持修改。 实例类型 5.x版本提供基础版、专业版两种类型 部署架构 5.x版本支持“单机”和“集群” 4.8.0支持“集群” 鲲鹏实例 “创建鲲鹏架构实例”选框，默认不勾选是X86架构的实例，勾选之后是ARM架构的鲲鹏实例。 代理规格 选择“rocketmq.4u8g.cluster” 代理数量 选择“1” 代理存储空间 选择“超高I/O 300GB” 实例总存储空间 单个代理的存储空间 代理数量 8. 设置实例网络环境信息，配置详情请参考表2。 参数 配置说明 虚拟私有云 选择已经创建好的虚拟私有云和子网。 虚拟私有云和子网在RocketMQ实例创建完成后，不支持修改。 IPv6 仅当子网选择了支持IPv6地址后，才会显示该参数。开启IPv6后，客户端可以使用IPv6的内网连接地址连接实例。 实例创建成功后，不支持修改IPv6开关。 使用内网IPv6方式连接实例需要通过VPC终端节点实现，使用期间会产生VPC终端节点的费用。 安全组 选择已经创建好的安全组。 SSL 开启 ACL访问控制 开启 9. 单击“更多配置”，设置更多相关信息，配置详情请参考表3。 表3 更多配置 参数 配置说明 公网访问 不开启 标签 不设置 描述 不设置 10. 填写完上述信息后，单击“立即购买”，进入规格确认页面。 11. 确认实例信息无误后，提交请求。 12. 在实例列表页面，查看RocketMQ实例是否创建成功。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 当实例的“状态”变为“运行中”时，说明实例创建成功。 当实例的“状态”变为“创建失败”，请删除创建失败的实例，然后重新创建。如果重新创建仍然失败，请联系客服。

弹性负载均衡产品广泛应用于多种场景,本文带您更快了解弹性负载均衡的经典应用场景。 分发流量应对高访问量业务 场景说明 针对高访问量的业务，可以使用负载均衡来实现流量分发，通过设置适当的转发策略，将访问量均衡地分配到多个后端云主机，从而有效提高业务处理的效率和性能。同时，负载均衡还可以实现会话保持、健康检查等功能，保证业务的可用性和稳定性。后端的云主机还可以部署在不同的可用区中，实现后端主机的高可用。 场景特点 业务访问量大，高并发，单机难以支撑，负载均衡通过流量负载分担到多台后端主机承载，提升业务可靠性，有效支撑大流量、大并发业务。 典型应用对象 应用于各种高访问量的业务场景，如大型门户网站、移动应用市场、电商平台等，从而帮助企业应对高访问量的业务挑战，提高业务的可用性和性能，降低运维成本和风险。 集成弹性伸缩自动调整资源 场景说明 针对在某些特定时间段内，业务流量出现大幅度波动，可以使用负载均衡集成弹性伸缩服务来实现自动化的资源调整。弹性伸缩服务可以根据业务流量的变化自动调整云主机数量，从而保证业务处理能力的充足和稳定，提高业务的可用性和性能。同时，结合负载均衡技术，可以将流量合理地分配到多个云主机上进行处理，进一步提高业务的处理效率和吞吐量。