参数名 类型 是否必填 名称 说明 productcode string 否 产品类型 产品类型，“007”（安全加速） domain string 是 域名

函数计算服务对用户数据的保护采取了严格的安全措施，确保用户代码的存储和执行环境都是安全且隔离的。函数计算服务不会访问或查看用户的数据和代码，同时实施严格的权限控制机制，确保每个账号只能访问其拥有权限的资源，没有权限读取或获取其他账号的数据，包括代码。

本文为您介绍什么是终端节点服务,并带您了解如何创建和管理终端节点服务。 终端节点服务是指将云服务或用户私有服务配置为VPC终端节点支持的服务。通过专属网关，终端节点服务可以方便地提供给其他VPC中的资源使用，实现跨VPC的访问，确保服务端VPC内部的网络信息不被暴露，使访问更加安全可靠。当前支持“接口”类型终端节点服务。 用户可通过创建“接口”类型终端节点服务，实现在指定的白名单用户间服务私有共享。终端节点服务允许用户快速将其服务发布到内部网络，并通过白名单授权管理来确保安全性，并灵活地管理可访问的用户。 支持的终端节点服务 服务名称 服务类别 说明 （ 支持的地域信息以控制台展现为准 ） 对象存储服务ZOS 云服务 由系统配置为终端节点服务，实现通过终端节点访问ZOS内网地址。（当前支持地域为华东华东1） 内网DNS 云服务 内网DNS:由系统配置为终端节点服务，实现通过终端节点访问内网DNS。（当前支持地域为湖南长沙37） 弹性云主机 用户私有服务 支持将用户私有服务创建为终端节点服务，作为服务器使用。 弹性负载均衡（内网） 用户私有服务 支持将用户私有服务创建为终端节点服务，适用于高访问量业务和对可靠性和容灾性要求较高的业务。 虚拟IP 用户私有服务 支持将用户私有服务创建为终端节点服务，适用于需要主备高可靠的业务。 物理机 用户私有服务 支持将用户私有服务创建为终端节点服务，作为服务器使用。

威胁情报是描述对系统和用户的现有或潜在威胁的信息，使用威胁情报为异常活动提供必要的上下文，以便安全负责人可以快速采取措施来保护其人员、信息和资产。 威胁情报的形式是情报指标，情报指标是将URL或IP地址等观察项目与网络钓鱼或恶意软件等已知威胁活动关联起来的数据。它会大规模地应用于安全产品和自动化服务，以检测组织面临的潜在威胁并进行防范。通过情报指标的创建和管理，加快威胁检测和修正。态势感知（专业版）仅支持人工新增情报指标或导入情报指标，创建情报指标后可以通过自定义剧本实现威胁管理分析处理等操作。 情报指标支持如下管理操作： 新增情报指标：当发现对系统和用户潜在的威胁信息时，可通过新增情报指标记录威胁信息，以便安全负责人可以快速采取措施来保护其人员、信息和资产，加快威胁检测和修正。 编辑情报指标：当情报指标的威胁度、状态、责任人等参数信息发生变化时，支持编辑情报指标，修改情报指标信息。 关闭或删除情报指标：当确认情报指标对应的威胁已消除，可关闭情报指标。当确认情报指标信息有误或情报指标所描述的威胁场景不存在，可删除情报指标，情报指标删除后不可找回，请谨慎操作。 [导入指标](

操作步骤 在样本列表可以复制模型输入、模型输出、安全评估依据、失败原因到剪贴板中。

本章节主要介绍修改密码策略 。 操作场景 须知 密码策略涉及用户管理的安全性，请根据业务安全要求谨慎修改，否则会有安全性风险。 该任务指导管理员用户设置密码安全规则、用户登录安全规则及用户锁定规则。由于“机机”用户密码随机生成，在MRS Manager设置密码策略只影响“人机”用户。开启Kerberos认证的集群或开启弹性公网IP功能的普通集群支持该操作。 如需对新增用户的密码或用户修改的密码使用新的密码策略，请先参考本章节修改密码策略，再创建用户或修改密码。 说明 该章节操作仅适用于MRS 3.x之前版本集群。MRS3.x及之后版本集群请参考 操作步骤 访问MRS Manager，详细操作请参见访问MRSManager（MRS2.x及之前版本）。 1. 在MRS Manager，单击“系统设置”。 2. 单击“密码策略配置”。 3. 根据界面提示，修改密码策略，具体参数见下表。 密码策略参数说明 参数名称 描述 最小密码长度 密码包含的最小字符个数，取值范围是8～32。默认值为“8”。 字符类型的数目 密码字符包含大写字母、小写字母、数字、空格和特殊符号（包含~!?,.:;'(){}[]/<>@ $%^&+l/）的最小种类。可选择数值为“3”和“4”。默认值“3”表示至少必须使用大写字母、小写字母、数字、特殊符号和空格中的任意3种。 密码有效期（天） 密码有效使用天数，取值范围0～90，0表示永久有效。默认值为“90”。 密码失效提前提醒天数 提前一段时间提醒密码即将失效。设置后，若集群时间和该用户密码失效时间的差小于该值，则说明用户进入密码失效提醒期。用户登录MRS Manager时会提示用户密码即将过期，是否需要修改密码。取值范围为“0”“X”，（“X”为密码有效期的一半，向下取整）。“0”表示不提醒。默认值为“5”。 认证失败次数重置时间间隔（分钟） 密码输入错误次数保留的时间间隔（分钟），取值范围为0～1440。“0”表示永远有效，“1440”表示1天。默认值为“5”。 密码连续错误次数 用户输入错误密码超过配置值后将锁定，取值范围为3～30。默认值为“5”。 用户锁屏时间（分钟） 满足用户锁定条件时，用户被锁定的时长，取值范围为5～120。默认值为“5”。

本文将介绍针对客户端登录时产生的登录日志。 采用客户端进行登录时，将记录时间、登录方式、登录IP等信息，以便后续进行分析。 注意事项 有使用客户端进行登录时，产生相关登录日志。 建议查询近6个月数据，若有长时间存储日志需求，可联系我们。 操作步骤 1. 登录边缘安全加速平台控制台，进入对应产品； 2. 在左侧导航栏，选择日志>终端登录日志； 3. 可针对需求进行查询相关日志情况。 字段说明 字段 字段说明 用户 用户名称 所属组织 用户所属的组织架构 出口IP 终端用户登录时的公网IP 登录方式 帐号密码或者企业微信扫码等用户登录采用的方式 登录状态 成功或失败 登录时间 登录时的时间

海量文件服务OceanFS产品为您提供优质的服务体验,本文带您了解产品优势。 共享访问 支持多台客户端挂载访问同一文件系统，可支持连接上千个客户端实例。 支持NFSv3/v4.1、CIFS(SMB2.1/SMB3.0)。 支持IPv4和IPv6网络协议。 海量可扩展 用户可以根据业务需要配置文件系统的初始存储容量，后续可以随着数据量的变化而扩容。 支持PB级存储空间。 安全可信 支持使用VPC用户隔离、权限组等安全管理功能进行访问权限控制，保障数据安全可靠。 文件服务支持HA高可用，出现任何硬件故障时，业务自动切换到其他节点，服务可用性在99.95%及以上。 友好易用 操作界面友好、简单易用，用户可通过控制台界面快速轻松地创建、配置和管理文件系统，省去复杂的文件系统部署工作。 提供全托管服务，不必考虑复杂的安装、配置及性能调优工作，用户可轻松创建使用文件系统，只需几分钟便可使用高性能的文件系统。

编辑识别任务 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，选择“敏感数据识别（新） > 识别任务”，进入识别任务界面。 5. 在目标任务“操作”列单击“更多 > 编辑”进入“编辑任务”弹框。 6. 在弹框中编辑和修改任务内容，单击“确定”保存。 删除识别任务 注意 如果识别任务正在运行，需先停止任务或者待任务识别完成后再执行删除操作。 删除操作无法恢复，请谨慎操作。 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，选择“敏感数据识别（新） > 识别任务”，进入识别任务界面。 5. 在目标任务“操作”列单击“更多 > 删除”。 6. 在确认删除的弹框中单击“确定”，删除此任务。

本文简述请求协议的配置方法。 功能介绍 配置请求协议，即配置允许客户端使用何种协议访问域名。 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。 HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云客户控制台开启HTTPS协议，将实现客户端和天翼云边缘节点之间请求的HTTPS加密。如果需要实现全链路HTTPS加密，还需要配置边缘节点以HTTPS协议回源到源站服务器（源站服务器需要支持HTTPS协议）。 开启HTTPS后，HTTPS请求的基本流程： 1.客户端以HTTPS协议请求边缘节点。 2.边缘节点将相应的SSL证书公钥传送给客户端。 3.客户端解析SSL证书公钥的正确性，如果SSL证书公钥正确，则会生成一个随机数（密钥），并用公钥进行加密，并传输给边缘节点。 4.边缘节点用之前的私钥进行解密，得到随机数（密钥）。 5.边缘节点用随机数（密钥）对传输的数据进行加密。 6.客户端用随机数（密钥）对边缘节点的加密数据进行解密，拿到相应的数据。 注意事项 域名配置HTTPS前，需要提前准备好域名的证书文件。 配置说明 1.登录边缘安全加速平台控制台。 2.进入域名基础配置页面，点击“新增域名”。 3.进入请求协议中勾选，需要支持客户端访问的协议HTTP/HTTPS。支持单选、多选。 4.若勾选HTTPS，需要关联对应的证书备注名或上传证书。 配置 说明 关联证书 1.选择有效的证书 上传证书 1.若未找到目标证书，可点击上传。 2.证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 域名新增完成后，编辑请求协议： 1.登录客户控制台。 2.在域名基础配置页面，点击目标域名。 3.在请求协议页面，单击“配置编辑”。 4.在请求协议中可勾选/取消勾选，调整请求协议。 5.若勾选HTTPS，可编辑域名关联的证书，或重新上传证书。

空间托管是指跨账号安全运营，可实现Workspace委托集中安全运营查看统一资产风险、告警和事件等。 空间托管流程 操作步骤 说明 1 创建托管视图 创建托管视图管理托管任务。 2 创建托管 态势感知（专业版）支持将项目中的工作空间托管给其他用户，托管后，可实现Workspace委托集中安全运营查看统一资产风险、告警和事件等。 3 托管授权 由于托管是将本项目中的工作空间托管给其他用户，因此，需要双重授权。 1. 创建委托后，需要先在已有账号中，接收授权，同意将工作空间托管给其他用户。 2. 然后在目标账号的“工作空间 > 空间托管 > 我纳管的”菜单下进行托管授权，统一接收托管。 授权后，被托管空间将挂载到托管账号下的空间中，进行统一管理。 约束与限制 单账号单Region内最多创建1个空间托管视图。 单账号单Region空间托管视图（包含的纳管工作空间数）中的工作空间数 ≤ 100个。 跨账号跨Region空间托管视图（包含的纳管工作空间数）中的工作空间数 ≤ 10个。 单账号创建账号委托≤ 50个。

本节介绍分布式缓存产品规格API参数 本节介绍分布式缓存Redis产品订购、扩缩容、增减分片数、增减副本数、变配以及对应询价接口API参数，包括版本类型、实例类型、版本号、主机类型、分片规格、分片数、规格、副本数、磁盘类型等。 具体参数范围可能因为不同资源池配置上线的产品有所差异，可通过 资源池可创建规格 接口查询，具体可参照下表 API参数对照表。 资源池、可用区、虚拟私有云ID、所在子网ID、安全组ID、实例名称、实例密码参数为产品订购必填参数，本节不作详细说明。 基础版API参数 参数说明 参数取值 标准版 Cluster集群 Proxy集群 读写分离 版本类型 version BASIC BASIC BASIC BASIC 实例类型 edition StandardDual DirectCluster ClusterOriginalProxy OriginalMultipleReadLvs 版本号 engineVersion 5.0 6.0 7.0 5.0 6.0 7.0 5.0 6.0 7.0 5.0 6.0 7.0 主机类型 hostType X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 X86计算： S（默认）：通用型 C：计算增强型 HS：海光通用型 HC：海光计算增强型 ARM计算： KS：鲲鹏通用型 KC：鲲鹏计算增强型 分片规格 shardMemSize 1 2 4 8 16 32 64 1 2 4 8 16 32 64 1 2 4 8 16 32 64 1 2 4 8 16 32 64 分片数 shardCount 不填 3~256 3~256 不填 规格 capacity 不填 不填 不填 不填 副本数 copiesCount 1~10（默认值：2） 1~10（默认值：2） 1~10（默认值：2） 2~10（默认值：2） 磁盘类型 dataDiskType SSD（默认）：超高IO SAS：高IO SSD（默认）：超高IO SAS：高IO SSD（默认）：超高IO SAS：高IO SSD（默认）：超高IO SAS：高IO

本节介绍NAT网关应用场景和使用限制。 NAT(Network Address Translation, NAT)网关能够为虚拟私有云(Virtual Private Cloud, VPC)内的计算实例提供网络地址转换服务，实现多个资源实例使用共享弹性公网IP访问Internet(Source NAT, SNAT)或资源实例使用弹性公网IP面向Internet提供服务(Destination NAT, DNAT)。VPC内的实例出方向访问通过SNAT规则控制，入方向访问通过DNAT规则控制，一个NAT网关可以创建多个SNAT和DNAT规则。 产品优势 避免业务公网暴露 VPC下的资源实例如果需要访问公网，通过NAT网关，实例无需单独绑定公网IP即可访问公网，从而避免将业务直接暴露在公网，从而实现安全防护作用。 降低成本 通过NAT网关，VPC下的资源实例可以共享弹性公网IP和带宽实例，无需单独为每个资源实例分配弹性公网IP和带宽实例，可以有效降低成本。 灵活部署，即开即用 NAT网关支持按需部署。SNAT或DNAT规则配置后，可实时生效。 应用场景 使用SNAT访问公网 当VPC内的资源实例需要访问公网，为节省弹性公网IP资源并且避免将资源实例绑定的公网IP直接暴露在公网上，您可以使用NAT网关的SNAT功能实现公网访问。VPC中一个子网对应一条SNAT规则，一条SNAT规则配置一个弹性公网IP。您可以通过创建SNAT规则，以实现共享弹性公网IP资源。 面向公网提供服务 当VPC内的资源实例需要面向公网提供服务时，可以使用NAT网关的DNAT功能。DNAT功能绑定弹性公网IP，可通过端口映射方式，NAT网关将以指定的协议和端口访问该弹性公网IP的请求转发到目标实例的指定端口上。也可通过IP映射方式，为资源实例配置一个弹性公网IP，任何访问该弹性公网IP的请求都将转发到目标虚拟机实例上。如果有多个实例需要提供外网访问服务，可以通过配置多条DNAT规则来共享一个或多个弹性IP资源。

关闭公网访问 1. 登录分布式消息服务RocketMQ控制台。 2. 单击RocketMQ实例的名称，进入实例详情页面。 3. 在“公网访问”后，单击。 4. 关闭，单击，关闭公网访问。 关闭公网访问后，需要修改对应的安全组规则，才能成功连接RocketMQ实例。 表2 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8100 0.0.0.0/0 VPC内访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口

原因 解决方案 后端服务地址错误。 在编辑API中修改后端服务地址。如果是域名，请确认域名能正确解析到后端服务IP地址。 后端超时时间设置不合理。当后端服务没有在设置的后端超时时间内返回时，API网关提示后端服务调用失败。 在编辑API中增加后端超时时间。 如果“后端服务地址”在ECS（Elastic Cloud Server），ECS的安全组的出/入方向规则可能拦截了请求。 检查后端服务所在ECS的安全组，确保出/入方向端口规则和协议都设置正确。 请求协议配置错误，如后端服务为HTTP，在API网关配置为HTTPS。 注册的API与后端服务配置相同的协议。

视频点播的播放地址过期如何解决。 视频点播的播放地址过期。 云点播底层依赖于对象存储的相关签名机制对文件访问权限进行保护。 如果将相关存储桶的权限默认设置为私有，任何访问请求需要经过签名校验才能通过。出于安全性考虑，该签名的有效期最长不超过7天（控制台生成的签名地址有效期为24小时），因此当携带签名的地址对外暴露超过7天后需要重新签名才可正常访问。用户可使用SDK或通过API接口对视频文件进行签名获取新的签名。

本节主要介绍控制台的使用限制。 浏览器 版本 :: Internet Explorer Internet Explorer 9 (IE9) Internet Explorer Internet Explorer 10 (IE10) Internet Explorer Internet Explorer 11 (IE11) Firefox Firefox 55及以后 Chrome Chrome 60及以后 说明 TLS1.0 /TLS1.1协议版本存在安全漏洞，建议使用更高级的安全版本。

应急响应服务接入流程，含购买、准备、应急响应、验收等阶段。 服务阶段 实施任务 实施内容 交付物 购买阶段 购买应急响应服务 按照购买指引，选择自身需要的服务内容及配置，并完成购买支付 购买阶段 发起应急响应服务需求 发起应急响应服务需求，详细操作请参见获取应急响应服务序列号 准备阶段 确定评估范围、小组成员、准备《保密协议、授权书》、漏扫等工具 确定安全评估范围，项目小组成员，准备《保密协议、授权书》、漏扫等工具 《保密协议、授权书》 《服务确认及风险告知书》 应急响应阶段 信息收集 对网络现状进行资产评估，核查现有的资产信息情况 《应急响应报告》 应急响应阶段 攻击路径还原 根据用户提供的信息对服务器日志、攻击者痕迹、安全设备日志及流量的分析，还原攻击者的攻击路径，理清安全事件的真实原因 《应急响应报告》 应急响应阶段 问题文件清理 对用户服务器中可能隐藏的蠕虫病毒、后门程序、Rootkit 等恶意软件提供清理方案，通过上机排查，使用工具和手工对服务器后门进行清除 《应急响应报告》 应急响应阶段 安全漏洞复检 基于网络安全事件应急响应资产问题，服务团队提供相应的安全加固建议，在用户对资产完成加固后提供漏洞复检工作，以确认资产漏洞完全修复，避免再次出现相同的安全事件 《应急响应报告》 应急响应阶段 编制报告 编制应急响应报告 《应急响应报告》 验收阶段 工作总结会议 组织双方人员进行总结汇报 《验收材料汇编》 验收阶段 验收 提交相关技术文档 《验收材料汇编》

本章主要介绍最佳实践概述 场景描述 本手册基于天翼云API网关实践所编写，用于指导您开放并调用API。 应用场景范围：基于天翼云API网关开放容器应用服务。 云容器引擎（CTCCE，Cloud Container Engine，简称CCE）中的工作负载，以及微服务，可通过API网关将服务能力以API形式对外开放。 方案优势 借助API网关开放CCE容器应用，具有如下优势： 无需设置弹性公网IP，节省网络带宽成本 API网关支持建立VPC通道，访问CCE中工作负载的地址。 提供多种认证方式，增加访问安全性 提供访问流量控制策略，增加后端服务的安全性 与直接访问容器应用相比，API网关提供流量控制，确保后端服务稳定运行。 支持多实例负载均衡，合理利用资源，增加系统可靠性 流程图 本手册介绍如何通过API网关访问CCE中的工作负载。 图1通过API网关访问CCE工作负载（由实例组成）

部署快捷，适配广泛 集成分布式算力调度、模型并行推理和多种运算加速能力，提升模型推理性能，实现推理服务的快捷部署。同时，适配多种模型结构，灵活支持用户各类复杂推理应用需求。 集成多种AI框架 集成多种AI框架，包括国产AI框架，支持各种主流大模型。 安全可信 符合数据监管要求，不设置数据埋点，不收集存储用户的入参和出参数据，从根本上保证了用户的数据隐私安全。 卓越的客户服务 31省本地化的销售网络体系，提供“家门口”的精细化客户服务。724小时的免费运维服务，全力保障客户业务稳定运行。

本章节主要介绍翼MapReduce的系统概览功能。 MRS Manager支持将集群中所有部署角色的节点，按管理节点、控制节点和数据节点进行分类，分别计算关键主机监控指标在每类节点上的变化趋势，并在报表中按用户自定义的周期显示分布曲线图。如果一个主机属于多类节点，那么对应的指标将被统计多次。 该任务指导用户了解MRS集群的概览、及在MRS Manager查看、自定义与导出节点监控指标报表。 操作步骤 登录MRS Manager，具体请参考访问MRS Manager（MRS 2.x及之前版本）。 1. 在MRS Manager选择“系统概览”。 2. 在“时间区间”选择需要查看监控数据的时间段。可供选择的选项如下： 实时 最近3小时 最近6小时 最近24小时 最近一周 最近一个月 最近三个 最近六个月 自定义：选择自定义时，在时间范围内自行选择需要查看的时间。 3. 单击“查看”可以查看相应时间区间的监控数据。 MRS Manager在“服务概览”显示各个服务的“健康状态”和“角色数”。 单击曲线图表上侧的图标，可显示具体的指标说明信息。 4. 自定义监控指标报表。 a.单击“定制”，勾选需要在MRS Manager显示的监控指标。 MRS Manager支持统计的指标共14个，界面最多显示12个定制的监控指标。 集群主机健康状态统计 集群网络读速率统计 主机网络读速率分布 主机网络写速率分布 集群磁盘写速率统计 集群磁盘占用率统计 集群磁盘信息 主机磁盘占用率分布 集群磁盘读速率统计 集群内存占用率统计 主机内存占用率分布 集群网络写速率统计 主机CPU占用率分布 集群CPU占用率统计 b.单击“确定”保存并显示所选指标。 说明 单击“清除”可批量取消全部选中的指标项。 5. 用户可以选择页面自动刷新间隔的设置，也可以单击马上刷新。 支持三种参数值： “每60秒刷新一次”：刷新间隔60秒。 “每120秒刷新一次”：刷新间隔120秒。 “停止刷新”：停止刷新。 说明 勾选“全屏”会将“系统概览”窗口最大化。 6. 导出监控指标报表。 a.选择报表的时间范围。可供选择的选项如下： 实时 最近3小时 最近6小时 最近24小时 最近一周 最近一个月 最近三个月 最近六个月 自定义：选择自定义时，自行选择需要导出报表的时间。 b.单击“导出”，Manager将生成指定时间范围内、已勾选的集群监控指标报表文件，请选择一个位置保存，并妥善保管该文件。 说明 如果需要查看指定时间范围的监控指标对应的分布曲线图，请单击“查看”，界面将显示用户自定义时间范围内选定指标的分布曲线图。

本章节主要介绍翼MapReduce的管理集群配置操作。 操作场景 FusionInsight Manager支持一键查看集群内各服务配置参数的变动情况，方便用户快速排查定位问题，提升配置管理效率。 管理员可通过配置界面快速查看集群内各服务所有非初始默认值、同一角色实例之间非统一值、集群配置修改的历史记录、集群内当前配置状态为过期的参数。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 配置”。 3. 根据操作场景，选择对应操作页面： 查看所有非默认值： a. 单击“所有非默认值”，界面将显示当前集群内各服务、角色或实例的配置参数中，与初始默认值不一致的参数项。 单击参数值后面的图标可快速恢复配置项的参数值至系统默认值，单击图标可查看该配置项的历史修改记录。 配置参数较多时，可通过界面右上角的服务过滤框进行筛选，或者在搜索框中直接搜索关键字。 b. 如需修改配置项参数值，根据参数描述修改配置后，单击“保存”，在弹出的窗口中单击“确定”。 查看所有非统一值： a. 单击“所有非统一值”，界面将显示当前集群内角色级别、服务级别、实例组级别或实例级别的存在差异化配置的配置项。 单击参数值后面的图标，在弹出的窗口中可查看具体的差异项。 b. 如需修改配置项参数值，可单击取消下层的配置差异化或手动调整，然后单击“确定”，再单击“保存”，在弹出的窗口中单击“确定”。 查看过期配置： a. 单击“过期配置”，界面将显示当前集群内配置过期的配置项。 b. 可通过界面上方的服务过滤框进行筛选，查看不同服务的过期配置，或者在搜索框中直接搜索关键字。 c. 处于过期状态的配置项并未完全生效，在不影响业务情况下，请及时重启配置过期的服务或实例。 查看历史配置记录： a. 单击“历史配置”，界面将显示当前集群的历史配置变更记录，用户可查看具体的参数值变动详情，包括所属服务、修改前与修改后的参数值、参数文件等内容。 b. 如需还原某次配置变更，可单击记录所在行“操作”列的“还原配置”按钮，在弹出的窗口中单击“确定”。 说明 部分配置项在修改参数值后需重启对应服务才会生效，在保存配置后请及时重启配置过期的服务或实例。

本章节主要介绍翼MapReduce的创建用户操作。 操作场景 FusionInsight Manager最大支持50000个用户（包括系统内置用户）。默认情况下，系统只有一个用户“admin”具有FusionInsight Manager最高操作权限。管理员应根据实际业务场景需要，通过FusionInsight Manager创建新用户并指定其操作权限以满足业务使用。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在用户列表上方，单击“添加用户”。 4. 填写“用户名”。用户名由数字、字母、下划线、中划线（）或空格组成，不区分大小写，不能与系统或操作系统中已有的用户名相同。 5. 设置“用户类型”，可选值包括“人机”和“机机”。 “人机”用户：用于在FusionInsight Manager的操作运维场景，以及在组件客户端操作的场景。选择该值需同时填写“密码”和“确认密码”。 “机机”用户：用于组件应用开发的场景。选择该值则用户密码随机生成，无需填写。 6. 根据业务实际需要，在“用户组”，单击“添加”，选择一个或多个用户组添加到列表中。 说明 如果选中的用户组绑定了角色或者在Ranger中配置了权限策略，用户将获得对应的权限。 安装FusionInsight Manager后默认生成的部分用户组包含特殊权限，请根据界面上用户组描述信息选择正确的用户组。 如果已有的用户组无法满足使用，可以单击“创建新用户组”先创建用户组，参见 7. 根据业务实际需要，在“用户组”添加的所有组中选择一个组作为用户创建目录和文件的主组。 下拉列表包含“用户组”中添加的全部组。 说明 由于一个用户可以属于多个组（包括主组和附属组，主组只有一个，附属组可以有多个），设置用户的主组是为便于维护以及遵循hadoop社区的权限机制。此外用户的主组和其他组在权限控制方面，作用一致。 8. 根据业务实际需要，在“角色”，单击“添加”，为单个用户绑定角色。 说明 创建用户时添加角色可细化用户的权限。 创建用户时，如果用户从用户组获得的权限还不满足业务需要，则可以再分配其他已创建的角色。也可以单击“创建新角色”先创建角色，参见 为新用户分配角色授权，最长可能需要3分钟时间生效，如果从用户组获得的权限已满足使用，则无需再添加角色。 组件启用Ranger鉴权后，除系统默认用户组或角色的权限外，其他权限需要通过配置Ranger策略为用户赋权。 若用户既没有加入用户组也没有设置角色，通过此用户登录FusionInsight Manager后，用户将无权查看或操作。 9. 根据业务实际需要填写“描述”。 10. 单击“确定”完成用户创建。 “人机”用户创建成功后，通常需要修改初始密码后才可以正常使用，可以使用该用户登录FusionInsight Manager，按照界面提示重置密码即可。

本节介绍登录天翼云电脑（政企版）控制台的操作指导。 操作场景 登录AI云电脑（政企版）控制台后，才能进行如下业务操作： 订购并管理资源包：管理员可先订购包括AI云电脑计算、存储和网络配额的资源包，然后再通过使用资源包为终端用户分配AI云电脑实例、配置数据盘及上网带宽。 创建并管理AI云电脑：可以通过资源包或单实例方式开通Windows系统、Linux系统的AI云电脑，可以查看和管理租户下所有AI云电脑的使用情况。 管理组织结构：在管理控制台上创建部门、角色、用户、子账号等，更好地维护管理台用户的组织架构。 管理网络：管理员可自主配置和管理虚拟网络环境。可配置虚拟私有云（VPC）、业务子网、网络安全组、上网带宽等。 管理策略：管理员可以通过配置策略，对用户终端与AI云电脑之间的数据传输和外设接入的权限进行控制。 通过产品详情页进入 1. 使用管理员帐号登录天翼云门户； 2. 前往天翼AI云电脑（政企版）产品详情页面； 3.在产品详情页面点击“管理控制台”进入即可。

说明：本章节会介绍如何通过公网连接数据库实例 提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 前提条件 ①　对目标实例绑定弹性公网IP。 ②　获取本地设备的IP地址。 ③　设置安全组规则。 ④　使用ping命令连通1.a中绑定的弹性公网IP地址，确保本地设备可以访问该弹性公网IP地址。 ⑤　使用客户端连接实例。 使用MySQLFront连接实例 步骤 1 启动MySQLFront客户端。 步骤 2 在连接管理对话框中，单击“新建”。 图1 连接管理 步骤 3 输入需要连接的关系型数据库实例信息，然后单击“确定”。 图2 添加信息 表 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的弹性公网IP。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的账号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 步骤 4 在打开登录信息窗口，选中创建的连接，单击“打开”，如下图所示。 若连接信息无误，即会成功连接实例。 图3 打开登录信息 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。 SSL连接 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的，下载根证书或捆绑包。 步骤 5 将根证书导入弹性云服务器Linux操作系统。 关系型数据库服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 关系型数据库服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 步骤 6 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 表 参数说明 参数 说明 目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password: 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。

本章主要介绍翼MapReduce的备份OMS数据功能。 操作场景 为了确保FusionInsight Manager系统日常数据安全，或者系统管理员需要对Manager进行重大操作（如扩容、减容等）前后，需要对Manager数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。 管理员可以通过FusionInsight Manager创建备份Manager任务并备份数据。支持创建任务自动或手动备份数据。 前提条件 如果数据要备份至远端HDFS中，需要准备一个用于备份数据的备集群，认证模式需要与主集群相同。其他备份方式不需要准备备集群。 如果主集群部署为安全模式，且主备集群不是由同一个FusionInsight Manager管理，则必须配置系统互信，请参见配置跨Manager集群互信。如果主集群部署为普通模式，则不需要配置互信。 主备集群必须已配置跨集群拷贝，请参见启用集群间拷贝功能。 主备集群上的时间必须一致，而且主备集群上的NTP服务必须使用同一个时间源。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“ 数据存放路径 /LocalBackup/”是否有充足的空间。 如果数据要备份至NAS中，需要提前部署好NAS服务端。 如果数据要备份至OBS中，需要当前集群已对接OBS，并具有访问OBS的权限。 操作步骤 1.在FusionInsight Manager，选择“运维 > 备份恢复 > 备份管理”。 2.单击“创建”。 3.在“任务名称”填写备份任务的名称。 4.设置“备份对象”为“OMS”。 5.在“备份类型”选择备份任务的运行类型。 “周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 详见下表： 周期备份参数 参数名称 描述 开始时间 任务第一次启动的时间。 周期 任务下次启动，与上一次运行的时间间隔，支持按“小时”或按“天”。 备份策略 首次全量备份，后续增量备份 每次都全量备份 每n次进行一次全量备份说明 说明 备份Manager数据和组件元数据时不支持增量备份，仅支持“每次都全量备份”。 如果“路径类型”要使用NFS或CIFS，不能使用增量备份功能。因为在NFS或CIFS备份时使用增量备份时，每次增量备份都会刷新最近一次全量备份的备份数据，所以不会产生新的恢复点。 6.在“备份配置”，勾选“OMS”。 7.在“OMS”的“路径类型”，选择一个备份目录的类型。 备份目录支持以下类型： “LocalDir”：表示将备份文件保存在主管理节点的本地磁盘上，备管理节点将自动同步备份文件。 默认保存目录为“ 数据存放路径 /LocalBackup/”，例如“/srv/BigData/LocalBackup”。 选择此参数值，还需要配置“最大备份数”，表示备份目录中可保留的备份文件集数量。 “LocalHDFS”：表示将备份文件保存在当前集群的HDFS目录。 选择此参数值，还需要配置以下参数： “目的端路径”：填写备份文件在HDFS中保存的目录。不支持填写HDFS中的隐藏目录，例如快照或回收站目录；也不支持默认的系统目录，例如“/hbase”或“/user/hbase/backup”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “备份时使用集群”：填写备份目录对应的集群名称。 “目标NameService名称”：选择备份目录对应的NameService名称。默认值为“hacluster”。 “RemoteHDFS”：表示将备份文件保存在备集群的HDFS目录。 选择此参数值，还需要配置以下参数： “目的端NameService名称”：填写备集群的NameService名称。可以输入集群内置的远端集群的NameService名称（haclusterX，haclusterX1，haclusterX2，haclusterX3，haclusterX4），也可输入其他已配置的远端集群NameService名称。 “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “目的端NameNode IP地址”：填写备集群NameNode业务平面IP地址，支持主节点或备节点。 “目的端路径”：填写备集群保存备份数据的HDFS目录。不支持填写HDFS中的隐藏目录，例如快照或回收站目录；也不支持默认的系统目录，例如“/hbase”或“/user/hbase/backup”。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “源集群”：选择要备份数据使用的Yarn队列所在的集群。 “队列名称”：填写备份任务执行时使用的Yarn队列的名称。需和源集群中已存在且状态正常的队列名称相同。 “NFS”：表示将备份文件通过NFS协议保存在NAS中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “CIFS”：表示将备份文件通过CIFS协议保存在NAS中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写NAS服务器IP地址。 “端口号”：填写CIFS协议连接NAS服务器使用的端口号，默认值为“445”。 “用户名”：填写配置CIFS协议时设置的用户名。 “密码”：填写配置CIFS协议时设置的密码。 “服务器共享路径”：填写用户配置的NAS服务器共享目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “SFTP”：表示将备份文件通过SFTP协议保存到服务器中。 选择此参数值，还需要配置以下参数： “IP 模式”：目标IP的IP地址模式。系统会根据集群网络类型自动选择对应的IP模式，如IPv4或者IPv6。 “服务器IP地址”：填写备份数据的服务器IP地址。 “端口号”：填写SFTP协议连接备份服务器使用的端口号，默认值为“22”。 “用户名”：填写使用SFTP协议连接服务器时的用户名。 “密码”：填写使用SFTP协议连接服务器时的密码。 “服务器共享路径”：SFTP服务器上的备份路径。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 “OBS”：表示将备份文件保存在OBS中。 选择此参数值，还需要配置以下参数： “目的端路径”：填写保存备份数据的OBS目录。 “最大备份数”：填写备份目录中可保留的备份文件集数量。 说明 MRS 3.1.0及之后版本才支持备份数据到OBS。 8.单击“确定”保存。 9.在备份任务列表中已创建任务的“操作”列，选择“更多 > 即时备份”，开始执行备份任务。 备份任务执行完成后，系统自动在备份目录中为每个备份任务创建子目录，目录名为“ 备份任务名任务创建时间” ，用于保存数据源的备份文件。 备份文件的名称为“ 版本号数据源任务执行时间 .tar.gz”。

进入客户控制台 成功开通AOne边缘接入服务后，您可以通过以下方式进入AOne边缘安全加速控制台。 官网页面进入控制台：进入边缘安全加速平台产品详情页，点击管理控制台。 通过控制中心进入控制台：进入天翼云控制中心，在CDN与视频分类下，点击边缘安全加速平台。 通过控制台链接直接进入。 添加域名/实例 进入客户控制台后，就可以添加域名/实例。步骤详见：添加域名/实例。域名/实例创建成功的标志是：在首页列表中，可以查到新建域名/实例，以及CNAME地址。 模拟访问验收 在客户控制台成功添加加速域名/实例后，为保证DNS解析顺利切换而不影响现有业务，建议先模拟访问进行功能验收，验收无误后，再切换DNS解析。具体流程如下： 1. 在天翼云客户控制台的IP应用加速的首页列表中，复制域名/实例对应的CNAME记录值。 2. 通过ping（Windows）或dig（MAC） CNAME记录的方式，如ping .ctdns.cn 获取该CNAME解析出来的天翼云已为您分配的某个节点IP，即为可测试验证功能的线上节点IP。 3. 用户修改本地电脑“C:WindowsSystem32Driversetc”的hosts文件，添加一条记录，让本地电脑访问加速域名时，强制绑定解析到该节点IP，由该节点IP进行服务，从而可以通过本地电脑来验证加速域名对应的相关业务功能和场景；如遇到修改后的host文件无法访问，可参考如下步骤： Hosts文件无法保存解决方法： Hosts文件无法修改可能是因为没有管理员权限所致的，完成以下的设置后，当我们修改了Hosts文件后就可以顺利保存了。 打开“计算机”，依次进入“C:WindowsSystem32Driversetc”（不同系统不同版本下，该文件的位置可能不同，仅供参考），找到hosts文件。 先选择“hosts”文件，打开其“属性”。 切换到“安全”选项卡，点击“高级”。 在“权限”下，点击“更改权限”。 点击“添加”，增添一个新权限。 点击“高级”进入高级设置。 选择“立即查找”，并在下方选择当前的系统账户，点击“确定”将其打开。 将“完全控制”勾上允许，并点击“确定”。 此时弹出一个安全警告窗口，点击“是”即可。 4. 验证内容： 成功绑定hosts文件后，您可以打开浏览器，在本地电脑访问加速域名进行连通性测试，测试结果可通过浏览器自带的开发者工具（F12）查看。如果浏览器访问到的IP和您在hosts文件中绑定的IP一致，表示配置正确。如果访问到的IP和您在hosts文件中绑定的IP不一致，表示配置不正确，您需要检查hosts文件中绑定的IP地址是否正确，确保该IP地址是CNAME地址的IP。 在电脑本地成功访问加速域名绑定的IP后，您可以基于自己的测试用例，或者必要的核验步骤，验证相关功能的准确性，如果功能验证不如预期，请提工单联系运维处理。

本小节介绍HSS是否支持防护本地IDC服务器。 支持。 若您的服务器能连接到公网，就可以使用企业主机安全对其进行防护。

本节介绍了常见问题:镜像安全相关问题。 如何扫描所有镜像 目前支持扫描单个版本的容器镜像。

立即执行某个检查计划 本部分将介绍如何立即执行某个检查计划，配置后，系统将立即执行已选择的检查计划，开始检查遵从包中的检查项目。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，并在安全遵从包页面中，选择“检查计划”页签，进入检查计划管理页面。 5. 在待执行立即手动检查的检查计划所在栏的上方单击“立即检查”。 系统将立即执行已选择的基线检查计划。 立即检查某个或某些检查项目 本部分介绍如何立即检查某个或某些检查项。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，默认进入检查结果页面。 5. 立即检查某个或某些检查项目。 某个检查项目 1. 在检查结果页面下方检查项目列表中，单击目标自动检查项所在行操作列的“立即检查”。 2. 在弹出的确认框中，单击“确认”。 刷新页面，查看“最新扫描时间”，即可确认是否为最新的扫描结果。 某些检查项目 1. 在检查结果页面下方检查项目列表中，勾选多个待检查的自动检查项目，并单击列表左上方的“立即检查”。 2. 在弹出的确认框中，单击在弹出的确认框中，单击“确认”。 刷新页面，查看“最新扫描时间”，即可确认是否为最新的扫描结果。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云客户控制台开启HTTPS协议，可实现客户端和天翼云全站加速节点之间数据包的安全加密传输。如果想要实现全链路HTTPS传输，则需要在全站加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端向全站加速节点发起HTTPS请求。 2. 全站加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则随机生成一个密钥A，并使用公钥加密后发送给全站加速节点。 4. 全站加速节点使用SSL证书对应私钥进行解密，得到密钥A。 5. 客户端与全站加速节点在后续通信过程中使用密钥A对传输的数据加密。 6. 客户端与全站加速节点使用密钥A对收到的数据进行解密，获取对应数据。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的国际标准证书、国密证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加对应证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。 6. 单击【保存】，完成配置。

本章节主要介绍翼MapReduce的批量升级客户端操作。 操作场景 在FusionInsight Manager界面上下载的客户端包中包含客户端批量升级工具，当集群升级或扩容后需要对多个客户端进行升级时，可以使用该工具对客户端进行批量一键升级。同时客户端批量升级工具提供了轻量级的批量刷新客户端所在节点“/etc/hosts”文件的功能。 操作步骤 客户端升级前准备 1. 登录FusionInsight Manager。 2. 选择“集群 >待操作集群的名称 > 更多 > 下载客户端”，下载完整客户端到服务端指定目录。 具体操作看参考下载客户端。 解压新下载的客户端，在解压后的目录找到batchupgrade目录，例如“/tmp/FusionInsightClient/FusionInsightCluster1ServicesClientConfig/batchupgrade”。 3. 选择“集群 >待操作集群的名称 > 客户端管理”，进入客户端管理界面，单击“导出全部”，将所选的客户端信息导出到本地。 4. 解压导出的客户端信息，将clientinfo.cfg文件上传到客户端解压目录的batchupgrade目录下。 5. 参见参考信息，补全“clientinfo.cfg”中缺失的密码。 批量升级客户端 6. 执行sh clientbatchupgrade.sh u f /tmp/FusionInsightClient/FusionInsightCluster1ServicesClient.tar g /tmp/FusionInsightClient/FusionInsightCluster1ServicesClientConfig/batchupgrade/clientinfo.cfg ，进行升级。 须知 由于配置了密码信息，执行完升级后建议尽快删除clientinfo.cfg文件。 7. 升级执行完成后确认结果。确保客户端升级无误后执行 sh clientbatchupgrade.sh c ，确认升级结果。 8. 如果客户端升级后存在问题，可以执行 sh clientbatchupgrade.sh s ，回滚客户端。 说明 客户端批量升级工具本身是将原客户端move至备份目录，然后再使用f参数指定的客户端包再次安装客户端。因此若原客户端中有定制的内容，请在执行c命令之前，将定制的内容从备份目录手动保存或者移至升级后的客户端目录。客户端备份路径为： {原客户端路径} backup。 参数u是c和s的前提，必须在u命令执行了升级之后，才能选择是要执行c进行提交还是s进行回滚。 升级命令（ u ）可以多次执行，每次执行只升级前面升级失败的客户端，跳过升级成功的客户端。 客户端批量升级工具也支持升级之前的旧客户端。 执行非root用户安装的客户端升级时，请确保相应用户在目标节点客户端所在目录及父目录的读写权限，否则会升级失败。 f参数输入的客户端包必须为全量客户端，不支持单组件或部分组件客户端包作为输入。