后续管理 若需下载系统本地备份日志，单击“下载”，可立即将备份日志下载到用户本地服务器。 若需删除系统本地备份日志，单击“删除”，可删除在系统数据盘中备份的日志文件。 配置远程备份至Syslog服务器 为加强对系统数据的容灾管理，云堡垒机支持配置日志备份，提高审计数据安全性和系统可扩展性。 本小节主要介绍如何在系统配置Syslog服务器参数，将日志远程备份至Syslog服务器。 注意 开启远程备份后，系统默认在每天零点备份前一天的系统数据； 以天为单位自动备份，生成日志文件，并上传到Syslog服务器相应路径； 支持备份至Syslog服务器的日志包括系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 1 登录云堡垒机系统。 2 选择“系统 > 数据维护 > 日志备份”，进入系统日志备份配置管理页面。 3 在“远程备份至Syslog服务器”区域，单击“编辑”，弹出备份至Syslog服务器配置窗口，配置服务器相关参数。 配置Syslog服务器远程备份 参数 说明 状态 选择开启或关闭备份至Syslog服务器，默认。 l，表示开启备份日志至Syslog服务器。每天零点自动启动备份。 l，表示关闭备份日志至Syslog服务器。 发送者标识符 自定义云堡垒机到Syslog服务器的标识符。用于在Syslog日志服务器，区分所接收的日志来自于相应的云堡垒机。 服务器IP 输入Syslog服务器的IP地址。 端口 输入Syslog服务器的端口。 协议 选择Syslog服务器协议类型。 l 可选择TCP或UDP。 l 若选择TCP，可以单击“测试连通性”确认服务器是否可达。 备份内容 选择需备份的日志类型。 l 可勾选系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志。 l 至少需勾选一个类型。 4 单击“确定”，返回日志备份管理页面，查看创建的系统备份信息。 配置完成后，系统会每天零点定时将前一日的数据备份，并上传至远程Syslog服务器。 Syslog服务器备份信息

本节主要介绍问题定位 操作场景 当现网某个特定资源或动作出现问题，可根据云审计服务收集的日志记录，通过查询对应时间、对应资源的操作记录，查看当时的请求动作和响应，支撑问题定位分析。 前提条件 已开通云审计服务且追踪器状态正常。 操作步骤 以现网某个弹性云主机在某日上午发生故障后的辅助定位为例： 1. 以管理员权限登录管理控制台。 2. 单击“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务详情页面。 3. 单击左侧导航树的“事件列表”，进入事件列表界面。 4. 在事件列表界面单击“筛选”，显示过滤条件查询框，依次选择“事件来源”>“资源类型”>“筛选类型”，单击“查询”，查看过滤结果。 过滤条件查询示例：依次选择“ecs”>“ecs”>“Resource id”>“问题虚拟机 ID ”，并在右上角时间条件设置窗口设置时间为某日上午6点到中午12点，查看过滤结果。 5. 逐条查看操作记录，注意请求的类型和响应结果，特别关注“事件级别”为warning和incident的事件，以及相应结果为失败的事件。 以现网进行创建弹性云主机操作失败报错后的辅助定位为例： 1. 以管理员权限登录管理控制台。 2. 单击“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务详情页面。 3. 单击左侧导航树的“事件列表”，进入事件列表界面。 4. 根据创建虚拟机弹性云主机失败的操作，设置过滤条件：“ecs”>“ecs”>“事件级别”>“Warning”，在结果中查看事件名称 为“createSingleServer”操作记录事件。 5. 查看操作记录，重点关注响应中的错误提示信息，根据错误提示代码或错误提示信息进行问题定位分析。

开启防护后，云防火墙默认放行所有流量，配置合适的访问控制策略能有效地帮助您对内部服务器与外网之间的流量进行精细化管控，防止内部威胁扩散，增加安全战略纵深。 访问控制策略类型 访问控制策略分为“防护规则”和“黑/白名单”两类功能，区别如下表所示，流量命中某一条策略时，执行该策略的动作，各功能的防护顺序请参见“云防火墙的防护顺序是什么”。 防护规则和黑/白名单的区别如下： 类型 支持的防护对象 网络类型 防护后的动作 应用场景&特点 配置方式 防护规则 五元组 IP地址组 地理位置（地域） 域名和域名组 公网IP 私网IP 设置为“阻断”：流量直接拦截。 设置为“放行”：流量被“防护规则”功能放行后，再经过入侵防御（IPS） 功能检测。 通过具体的特征识别指定流量，适用于需要精细化控制特定流量的情况；例如通过协议类型、端口号、应用等特征配置规则。 通过添加防护规则拦截/放行流量 黑名单 五元组 IP地址组 公网IP 私网IP 直接拦截流量。 快速拦截已识别的安全威胁，适用于已知恶意流量数据的情况。 通过添加黑白名单拦截/放行流量 白名单 五元组 IP地址组 公网IP 私网IP 流量被云防火墙放行，不再经过其它功能检测。 快速放行可信流量，适用于明确可信IP地址的情况。 通过添加黑白名单拦截/放行流量

添加主机 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤 5 在左侧导航栏单击“分布式事务”，在“分布式事务”页面单击“添加主机”。 步骤 6 在“添加主机”弹出框中，添加主机名称和主机IP，然后单击“测试连接”，当所有的主机地址测试连接成功后，单击“确认”即可添加成功。 主机名称：输入要与RDS实例建立分布式事务的主机名。主机名在1到64个字符之间，由字母、数字、中划线组成，不能包含其他特殊字符，且主机名字不可重复。 主机IP： 输入要与RDS实例建立分布式事务的主机IP。主机IP需要先配置安全组的出入规则。 说明 l如果添加的主机为ECS并且与RDS在相同VPC内，请填写ECS的私有IP。私有IP可以在ECS实例的实例详情页面查看。 l如果添加的主机为ECS并且与RDS在不同VPC内，请填写ECS的公网IP，并且请参考绑定和解绑弹性公网IP为RDS实例绑定EIP。 远程服务器上的名称解析（ECS设置） 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在左侧导航栏单击“分布式事务”，在“分布式事务”页面获取到RDS实例信息。 步骤 5 将RDS实例信息配置到ECS的hosts文件中，路径为 “C:WindowsSystem32driversetchosts” 。

本节介绍了开启云主机动态获取IPv6的方法。 操作场景 IPv6的使用，可以有效弥补IPv4网络地址资源有限的问题。如果当前云主机使用IPv4，那么启用IPv6后，云主机可在双栈模式下运行，即云主机可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址，这两个IP地址都可以进行内网/公网访问。 按照下文“约束与限制”中的网络环境要求创建的云主机，有些不能动态获取到IPv6地址，需要进行相关配置才行。如果云主机使用的是公共镜像，则支持情况如下： Windows公共镜像默认已开启IPv6动态获取功能，无需配置，文中的Windows操作系统部分供您验证和参考。 Linux公共镜像开启动态获取IPv6功能时，需要先判断是否支持IPv6协议栈，再判断是否已开启动态获取IPv6。目前，所有Linux公共镜像均已支持IPv6协议栈，并且Ubuntu 16操作系统已默认开启动态获取IPv6。即Ubuntu 16操作系统无需配置，其他Linux公共镜像需要执行开启动态获取IPv6的操作。 另外，本文提供了自动和手动配置的方法，分别为：Linux操作系统（自动配置启用IPv6）、Linux操作系统（手动配置启用IPv6），推荐您使用自动配置方法。 约束与限制 请确保云主机所在的子网已开启IPv6功能。 请确保创建云主机时已选择“自动分配IPv6地址”。 选择“自动分配IPv6地址” 云主机启动之后动态插拔的网卡不支持IPv6地址动态获取功能。 仅弹性云主机支持IPv6双栈，物理机不支持。 同一个网卡上，只能绑定一个IPv6地址。

本文介绍VNC方式登录弹性云主机后,较长时间不操作,界面无响应怎么办 通过VNC方式登录到弹性云主机，但是在一段时间内没有进行任何操作，VNC登录界面可能会出现无响应的情况，键盘和鼠标也无法正常操作。这种情况下，你可以尝试重新启动云主机来解决这个问题。 要重新启动云主机，你可以按照以下步骤进行操作： 1. 打开终端或命令行界面。 2. 点击右上方 “Send CtrlAltDel”按钮。 3. 等待一段时间，以确保主机已重启完毕。 请注意，重新启动会中断正在进行的任务，因此请确保在重新启动之前保存好所有未保存的工作。如果重新启动云主机后仍然遇到问题，您可以提交工单或致电客服电话4008109889寻求技术支持。

获取WAF回源IP段 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 定位到已添加的防护对象，在操作列点击进入“详情”进入防护对象详情页。 6. 在“域名详情”页Web应用防火墙信息栏中，复制WAF回源IP地址。 放行WAF回源IP段 将获取到的WAF回源IP地址添加到源站安全软件的白名单中。 注意 为了保证您的业务安全性，建议您在放行回源IP段时，仅配置入方向的放行策略，将回源IP段加入白名单，这样能够保证出方向的数据依然能够被WAF检测，从而避免攻击者绕过WAF直接对源站进行攻击。 请注意，如果没有将回源IP段添加到白名单列表，将会导致通过WAF回源的正常业务请求被拦截，导致业务无法正常提供服务。

本章节主要介绍翼MapReduce如何上传示例数据和程序。 用户通过“文件管理”页面可以在分析集群进行文件夹创建、删除，文件导入、导出、删除操作。 背景信息 翼MR集群处理的数据源来源于OBS或HDFS，OBS为客户提供海量、安全、高可靠、低成本的数据存储能力。翼MR可以直接处理OBS中的数据，客户可以基于管理控制台Web界面和OBS客户端对数据进行浏览、管理和使用。 导入数据 翼MR目前只支持将OBS上的数据导入至HDFS中。上传文件速率会随着文件大小的增大而变慢，适合数据量小的场景下使用。 支持导入文件和目录，操作方法如下： 1. 登录翼MR管理控制台。 2. 选择“集群列表 > 现有集群”，选中一集群并单击集群名进入集群信息页面。 3. 单击“文件管理”，进入“文件管理”页面。 4. 选择“HDFS文件列表”。 5. 进入数据存储目录，如“bdapp1”。 “bdapp1”目录仅为示例，可以是界面上的任何目录，也可以通过“新建”创建新的文件夹。 新建文件夹时需要满足以下要求： 文件夹名称小于等于255字符。 不允许为空。 不能包含 : /:?"<>;&,'!{}[]$%+特殊字符。 不能以“.”开头或结尾。 开头和末尾的空格会被忽略。 6. 单击“导入数据”，正确配置HDFS和OBS路径。配置OBS或者HDFS路径时，单击“浏览”并选择文件目录，然后单击“是”。

混合云一体机推理基础版是一款软硬一体化的智能计算解决方案，基于国产化硬件预置大模型及混合云管平台，提供私有化部署的算力、模型、运维一站式服务。 产品架构 混合云一体机推理基础版产品架构包括算力层、平台层、应用层，内容囊括了硬件+推理平台+预置模型+典型应用。 算力层 采用先进的硬件架构，集成高性能计算服务器，支持多种国产化AI芯片，如海光K100AI、天数智凯等。 平台层 提供涵盖计算、存储、网络及大模型资源的一站式管理功能。DeepSeek专区支持多模型纳管、知识库挂载、API接口提供。 应用层 可搭载政务公文写作应用翼政通，集成智能问答、公文生成/优化、知识库管理等功能，嵌入WPS办公流。提升政务办公效率。 产品用途 目标用户 主要面向需要私有化部署大模型进行调用、成本敏感型的企业单位。 使用场景 面向医疗、教育、政务等垂直领域，内置大模型，快速实现模型调用服务。

操作步骤 说明 步骤一：创建业务VPC和中转VPC 创建业务VPC（含业务子网）和中转VPC（含中转子网）。 步骤二：配置VPC Peering 创建VPC对等连接将用户IDC（Peering目的VPC）与中转VPC连通。 步骤三：创建私网NAT网关 购买一个私网NAT网关。 步骤四：创建中转IP 创建中转IP，使虚拟私有云内多个云服务器可以共享中转IP。 步骤五：添加SNAT规则 为私网NAT网关添加SNAT规则，通过绑定中转IP可实现VPC内的多个云服务器共享中转IP，访问外部数据中心或其他VPC。 步骤六：添加路由 自定义路由，路由包括目的地址、下一跳类型、下一跳地址等信息，可以决定网络流量的走向。 步骤七：添加安全组规则 在目的VPC包含的云服务器中添加入方向安全组规则，用于将转发到目的端的流量全部放通。

场景四：访问CDN加速域名后获取到的内容为非本站点文件内容 可能的原因： 访问到非CDN节点。检测访问的IP是否为CDN的节点IP。关于如何检测，详情请见：如何验证IP地址是否属于天翼云CDN节点IP。如果访问的节点不是CDN节点IP，请核实是否存在如下几种情况： 本地是否有开启代理软件，因为有些代理软件会强制更改访问域名的解析。若有，则建议关闭该代理软件。 是否绑定HOSTS文件，将加速域名强制解析到某个IP。若有，则建议去掉该host绑定记录。 本地存在DNS劫持。排查方式详情请见场景三中“发生劫持”部分；如确认为劫持，可以在本地开启安全杀毒软件，并且固定本地所使用的DNS IP为223.5.5.5、114.114.114.114、119.29.29.29或者其他安全的DNS。如果劫持情况比较严重，并且无法解决，则需要向网络服务提供商投诉要求解除劫持。

备案限制 1、网站、域名数量限制 1个IP可以备案5个网站。 2、不备案会有什么影响 如果网站域名没有办理备案就解析到天翼云的服务器上，将有可能被天翼云阻断并跳转到固定页面（提醒您尽快完成备案），通知删除解析后在规定时间内未删除解析，将有可能被天翼云关闭服务器的端口，请准备搭建网站的客户先备案再开通网站。 如果网站域名已存在备案号，但之前不是在天翼云备案的，也请您先办理接入备案，待接入备案通过通信管理局审核后，再解析到天翼云服务器。

弹性负载均衡产品支持查询负载均衡器的操作,本文帮助您快速熟悉负载均衡器的查询方法。 操作场景 您已经创建了负载均衡器，创建的在负载均衡器信息列表可见，且处于“运行中”状态。 在控制中心的“弹性负载均衡”界面的信息列表，可以查看已创建负载均衡器的状态、子网等详细信息。 操作步骤 在控制中心的“弹性负载均衡”界面的信息列表，可以查看已创建负载均衡器的状态、子网等详细信息。 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台顶端单击图标，选择区域，本文选择华东华东1。 3. 在系统首页，选择“网络>弹性负载均衡>负载均衡器”。 4. 在负载均衡器信息列表右上角的下拉框中，可设置通过名称、服务地址等参数搜索负载均衡器。 5. 单击负载均衡器名称，进入负载均衡器详情页面，查看负载均衡器的详细信息。

伸缩策略 HPA策略 CustomedHPA策略 实现方式 Kubernetes中实现POD水平自动伸缩的功能， 即Horizontal Pod Autoscaling 自研的弹性伸缩增强能力 策略规则 基于 指标 （CPU利用率、内存利用率）， 对无状态工作负载进行弹性扩缩容。 基于 指标 （CPU利用率、内存利用率） 或 周期 （每天、每周、每月或每年的具体时间点）， 对无状态工作负载进行弹性扩缩容。 主要功能 在kubernetes社区HPA功能的基础上， 增加了应用级别的冷却时间窗和扩缩容阈值等功能。 指标触发 支持按照当前实例数的百分比进行扩缩容。 支持设置一次扩缩容的最小步长，可分步分级扩缩容。 支持按照实际指标值执行不同的扩缩容动作。 周期触发 支持选择天、周、月或年的具体时间点或周期作为触发时间

产品定义 智算一体机是天翼云推出的一款极具性价比、软硬一体的智算服务产品，可提供强大的AI算力和一站式智算服务，具备全国产化、快速交付、零管理节点、开箱即用等优势，能够为客户提供私有化全场景的智算解决方案。 智算一体机将硬件与面向大模型开发和部署的一站式智算服务平台做了深度融合，可以一站式解决数据处理、模型微调、模型部署、应用上线和系统运维等环节开发难题，预置丰富的基座大模型和数据集，支持国产化算力，提供算子加速与模型加速，极大提升大模型训练推理效率，为客户提供多元、简单易用、本地部署、安全可靠的大模型训推用平台。 智算一体机属于标准化交付产品，其服务器能够直接部署于客户现场，这种部署方式尤其契合本地业务处理的需求，能够实现本地安全数据的有效留存，并且在诸如本地低延迟交互这类对时效要求较高的场景中表现卓越，可充分保障数据交互的高效性与及时性。 其中，智算一体机（DeepSeek版）深度融合了DeepSeekR1/V3/蒸馏版系列大模型，以低廉的成本，优秀的训练推理性能等特性，在便捷性、安全性、性价比等方面凸显出极大的优势。 为什么选择一体机 对比项 一体机 公有云 自建IT设施/传统私有云 主要行业 教育、医疗、政府、金融、军工等 通用、互联网 政府、金融 主打场景 本地化、数据安全、企业边缘 弹性、稳定 本地化 核心价值 快速交付、安全可控、低时延 高弹性 安全可控 标准化交付 √ √ × 敏捷扩容 √ √ × 运维托管 √ √ × 低起建门槛 √ √ × 低时延 √ × √ 数据本地化 √ × √ 数据就近处理 √ × √ 物理强隔离 √ × √ 基于本地部署、免运维等优势，一体机适用于本地数据处理、低延时、数据安全等场景，更多信息请见应用场景。

安全体检首次执行引导流程，帮助您快速开始体检之旅。 为了帮助您更好地理解和使用安全体检，我们准备以下快速入门操作指导，当您完成产品订购并开通后，您也可以在控制台上查看此操作指导，并通过右上角按钮展示/隐藏此引导。 请按照以下步骤进行操作： 第一步：添加互联网IP 进入安全体检产品控制台。 点击“安全体检流程引导”第一步的“立即添加”按钮，打开添加体检IP对话框。 选择已开通弹性IP的资源池，产品将自动获取IP地址列表。 勾选IP地址，点击确定后，体检IP将被添加至体检IP列表。 第二步：添加通知人 点击“安全体检流程引导”第二步的“立即添加”按钮，打开添加通知对话框。 输入姓名、邮箱、分组信息后，点击确定，通知信息将被添加至通知列表，体检报告生成后，将自动发送至通知列表内的邮箱地址。 说明 若第一次添加通知，可在分组下拉框中新建分组信息。 第三步：开始体检 点击“安全体检流程引导”第三步的“立即体检”按钮，弹出体检提示对话框。 点击“我已明确上述内容，开始体检”按钮，将开启安全体检。 请遵循以上步骤，开启您的安全体检之旅。如有任何疑问或需要进一步的帮助，请随时联系我们的客服团队。祝您使用愉快！

本节介绍天翼AI云电脑(政企版)在网络流量方面的常见问题。 天翼AI云电脑使用的网络带宽和稳定的要求有多高？ AI云电脑普通办公大概5Mbit/s的带宽。对网络稳定性有一定要求，网络不稳定容易引起连接断开和卡顿，影响使用体验。因此为不影响使用，请确保网络处于良好的状态。 天翼AI云电脑会消耗我的手机流量吗? 连接天翼AI云电脑后，传输画面是需要消耗手机流量。 建议在WIFI网络环境下使用天翼AI云电脑APP，如果使用手机流量，可安装流量监控软件，以免造成流量消耗过多。 如何检测天翼AI云电脑网络状况？ 可以根据天翼AI云电脑工具栏网络状态查看网络数据，具体如下： 绿色：优良，网络时延0ms50ms，使用体验良好，无迟滞感； 黄色：一般，网络时延51ms100ms；使用体验一般，有轻微的迟滞感和卡顿； 红色：较差，网络时延101ms以上，使用体验差，有严重的迟滞和卡顿。 天翼AI云电脑可以访问互联网吗？ 天翼AI云电脑（政企版）默认是不可以，如果需要上网需要在控制台订购带宽，进行组网配置操作。带宽网络请参考上网带宽 天翼AI云电脑（公众版）提供配置的上网带宽，默认50M下行，2M/4M上行，可以访问互联网。

本文帮助您快速熟悉创建二层连接的操作方法。 约束与限制 一个二层连接可以连通一对本端和远端二层连接子网，一个企业交换机最多支持建立6个二层连接，即同时连接6对二层连接子网。 基于同一个企业交换机建立二层连接时，这些二层连接可以共用隧道IP，但是隧道号不能相同，隧道号是隧道的标识。 通过二层连接连通本端二层连接子网和企业交换机时，需要占用本端二层连接子网中的两个IP地址，用作主接口IP与备接口IP。这两个IP地址不能被本端资源占用，也不能与远端二层连接子网内的其他IP地址冲突。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络>企业交换机”。 进入企业交换机页面。 3. 单击目标企业交换机名称。 进入对应的企业交换机详情页面。 4. 在企业交换机详情页面右下方，单击“创建连接”。 进入二层连接创建页面。 5. 根据界面提示，配置二层连接的基本信息，配置参数请参见下表。 表参数说明 参数 参数说明 取值样例 企业交换机 企业交换机的名称，不用设置。 l2cg01 虚拟私有云 企业交换机绑定的VPC名称，即本端隧道子网所属的VPC，不用设置。 vpc01 二层连接子网 必选参数。 二层连接子网是云上VPC与云下IDC准备建立二层互通的子网，包括本端二层连接子网和远端二层连接子网。此处选择本端二层连接子网，即云上VPC的子网。 本端和远端二层连接子网网段可以重叠，但是本端和远端子网内需要通信的服务器地址不能相同，否则无法正常通信。 已被企业交换机二层连接绑定的VPC子网，不能再被其他二层连接或者企业交换机使用。 subnet01 接口IP 必选参数。 本端二层连接子网接入到企业交换机接口的IP，包括主接口IP和备接口IP，当前支持自动分配或手动分配IP地址。 自动分配 远端接入信息 > 隧道号 必选参数。 云下IDC连接企业交换机所需的VXLAN隧道号，即VXLAN网络标识号（VNI），类似VLAN ID，用于区分VXLAN段。 对于同一个VXLAN隧道，云下IDC和云上隧道号一致。 10001 远端接入信息 > 隧道IP 必选参数。 云下IDC连接企业交换机所需的VXLAN隧道IP。 远端接入信息 > 隧道端口 云下IDC连接企业交换机所需的VXLAN隧道端口号。默认为4789，不用设置。 4789 名称 必选参数。 输入二层连接的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成 l2conn01 6. 单击“创建”，开始创建二层连接。 二层连接的创建过程一般需要20~60秒，当二层连接的状态为“未连接”或“已连接”，表示二层连接已创建成功。

本节介绍了默认安全组和规则。 默认安全组和规则 系统会为每个用户默认创建一个Sysdefault安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的实例无需添加规则即可互相访问。 如下图所示。 默认安全组 默认安全组Sysdefault规则如下表所示： 默认安全组Sysdefault规则 方向 优先级 策略 协议 端口范围 目的地址/源地址 说明 ::::::: 出方向 100 允许 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 100 允许 全部 全部 源地址：当前安全组名称，例如Sysdefault 允许同样使用当前安全组的云主机之间通过任意端口和规则互访。 入方向 100 允许 TCP 22 源地址：0.0.0.0/0 允许所有IP地址通过SSH远程连接到Linux云主机。 入方向 100 允许 TCP 3389 源地址：0.0.0.0/0 允许所有IP地址通过RDP远程连接到Windows云主机。 首次创建弹性云主机，系统新建虚拟私有云vpcdefault时会默认新建两个SysWebServer和SysFullAccess的安全组，对应开放的安全组规则如下所示。 SysWebServer安全组规则 方向 协议 端口范围 目的地址/源地址 说明 ::::: 出方向 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 全部 全部 源地址：当前安全组(例如：sgxxxxx ) 仅允许安全组内的云主机彼此通信，丢弃其他入站流量的全部数据报文。 入方向 TCP 22 源地址：0.0.0.0/0 允许所有IP地址通过SSH远程连接到Linux云主机。 入方向 TCP 3389 源地址：0.0.0.0/0 允许所有IP地址通过RDP远程连接到Windows云主机。 入方向 ICMP 全部 源地址：0.0.0.0/0 允许Ping命令。 入方向 TCP 443 源地址：0.0.0.0/0 网页浏览端口,主要是用于HTTPS服务。 SysFullAccess安全组规则 方向 协议 端口范围 目的地址/源地址 说明 ::::: 出方向 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 全部 全部 源地址：当前安全组(例如：sgxxxxx ) 仅允许安全组内的云主机彼此通信，丢弃其他入站流量的全部数据报文。 入方向 全部 全部 源地址：0.0.0.0/0 允许所有入站流量的数据报文通过。

本节主要介绍如何挂载文件系统到Windows云主机。 当创建文件系统后，您需要使用云主机来挂载该文件系统，以实现多个云主机共享使用文件系统的目的。 本章节分别以Windows 2012版本操作系统为例进行NFS和CIFS类型的文件系统的挂载。 前提条件 已完成创建文件系统，并获取到文件系统的共享路径。 选择与文件系统所属VPC相同的云主机进行挂载。 云主机上已配置了用于解析文件系统域名的DNS服务器的IP地址。 NFS文件系统挂载步骤 1．进入弹性云主机界面，登录已创建好的Windows 2012版本的弹性云主机。 2．安装NFS客户端： a) 单击左下角“服务器管理器”，弹出“服务器管理器”界面，如图所示。 b) 单击“添加角色和功能”，如图所示。 c) 根据系统提示操作单击“下一步”，在“服务器角色”，选择“NFS服务器”，如图所示。 d) 单击“下一步”，在“功能”里选择“NFS客户端”，单击“下一步”，如图所示。确认无误后单击“安装”。安装结束后，如果首次安装NFS客户端，需要按照系统提示重新启动客户端并重新登录云主机。 3．修改NFS传输协议。 a) 选择“控制面板 > 管理工具 > Network File System 服务(NFS)”，如图所示。 b) 右键单击“NFS客户端”选择“属性”，修改传输协议为“TCP协议”，同时选中“使用硬装载”，如图所示。 c) 在Windows 2012的CMD命令框执行如下命令（X为空闲盘盘符）。 SFS文件系统执行命令：mount o nolock 共享路径 X: SFS Turbo文件系统执行命令：mount o nolock 共享路径！ X: 说明： SFS Turbo文件系统执行命令中的“!”为英文字符 共享路径可以将鼠标移动至共享路径，通过单击共享路径后面的图标 复制获取，如图所示。若出现如图所示字段表示挂载成功。 d) 挂载成功后，在“这台电脑”界面中可以看到已经挂载好的文件系统，如图所示。

步骤五： 功能验收 在客户控制台成功添加加速域名/实例后，为保证DNS解析顺利切换而不影响现有业务，建议先模拟访问进行功能验收，验收无误后，再切换DNS解析。 具体流程如下： 1. 在天翼云客户控制台的【域名】【IP应用加速接入】，复制加速域名/实例对应的CNAME记录值。 2. 通过ping（Windows）或dig（MAC） CNAME记录的方式，如 ping .ctdns.cn 获取该CNAME解析出来的天翼云已为您分配的某个节点IP，即为可测试验证功能的线上节点IP。 3. 用户修改本地电脑“C:WindowsSystem32Driversetc”的hosts文件，添加一条记录，如：“IP 加速域名”，让本地电脑访问加速域名时，强制绑定解析到该节点IP，由该节点IP进行服务，从而可以通过本地电脑来验证加速域名对应的相关业务功能和场景；如遇到修改后的host文件无法访问，可参考如下步骤： Hosts文件无法保存解决方法： Hosts文件无法修改可能是因为没有管理员权限所致的，完成以下的设置后，当我们修改了Hosts文件后就可以顺利保存了。 打开“计算机”，依次进入“C:WindowsSystem32Driversetc”（不同系统不同版本下，该文件的位置可能不同，仅供参考），找到hosts文件。 先选择“hosts”文件，打开其“属性”。 切换到“安全”选项卡，点击“高级”。 在“权限”下，点击“更改权限”。 点击“添加”，增添一个新权限。 点击“高级”进入高级设置。 选择“立即查找”，并在下方选择当前的系统账户，点击“确定”将其打开。 将“完全控制”勾上允许，并点击“确定”。 此时弹出一个安全警告窗口，点击“是”即可。 4. 验证内容： 成功绑定hosts文件后，您可以打开浏览器，在本地电脑访问加速域名进行连通性测试，测试结果可通过浏览器自带的开发者工具（F12）查看。如果浏览器访问到的IP和您在hosts文件中绑定的IP一致，表示配置正确。如果访问到的IP和您在hosts文件中绑定的IP不一致，表示配置不正确，您需要检查hosts文件中绑定的IP地址是否正确，确保该IP地址是CNAME地址的IP。 在电脑本地成功访问加速域名绑定的IP后，您可以基于自己的测试用例，或者必要的核验步骤，验证相关功能的准确性，如果功能验证不如预期，请提工单联系运维处理。

操作步骤 1、登录控制台。 a.登录云主机控制台。 b.选择“镜像服务”。 进入镜像服务页面。 2、创建整机镜像。 a.单击右上角的“创建私有镜像”，进入创建私有镜像页面。 b.创建方式选择“创建私有镜像”。 c.镜像类型选择“整机镜像”，镜像源选择“云主机备份”，从列表中选择相应的云主机备份。 d.在“配置信息”区域，填写镜像的基本信息。例如，镜像的名称和镜像描述。 e.单击“立即创建”。 f.根据界面提示，确认镜像参数。阅读并勾选协议，单击“提交”。 3、返回私有镜像界面查询创建的整机镜像的状态。 当镜像的状态为“正常”时，表示创建完成。 后续操作 整机镜像创建成功后，如果您想使用该镜像创建弹性云主机，请在操作列单击“申请主机”，进入创建云主机的向导页面，请参考《弹性云主机用户指南》完成操作。 说明： 使用整机镜像创建弹性云主机时： 系统会自动设置好系统盘和数据盘参数。 如果整机镜像中包含多块数据盘，需要加载一段时间才能正常显示系统盘信息，请耐心等待。 选择整机镜像切换云主机操作系统时，仅能恢复整机镜像的系统盘数据。如果希望恢复或者迁移整机镜像中的数据盘数据，必须通过整机镜像创建新的云主机。 如果您想共享整机镜像给其他租户，需要将资源迁移至云服务备份（CBR），因为只有通过云服务备份（CBR）创建的整机镜像才支持共享功能。

本章节主要介绍翼MapReduce如何删除集群。 如果作业执行结束后不需要集群，可以删除翼MapReduce集群。 背景信息 集群到期后，若用户没有进行续订，或由用户主动发起退订后，可对集群发起删除操作。 操作步骤 1. 登录翼MapReduce控制台。 2. 在我的集群页面选择需要删除的集群，在操作列点击删除按钮。 3. 在页面弹出的提示对话框中点击确认即可。 4. 删除后的集群不再显示在我的集群列表中。

本文为您介绍如何将您的网站通过域名接入WAF实例进行防护。 开通云WAF SaaS版实例后，需要将您需要防护的网站域名接入WAF，使网站的访问流量全部流转到WAF进行检测并转发，实现恶意流量的拦截。 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。 WAF SaaS版提供CNAME接入方式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 CNAME接入流程 在WAF控制台添加需要防护的网站域名后，通过修改域名的DNS解析设置，将网站流量解析到WAF，使访问网站的流量经过WAF并受到WAF的防护。WAF将过滤和处理后的请求转发回该域名的源站服务器。接入流程如下： 1. 添加域名 ：配置域名、协议、源站等相关信息，详情请参见添加域名。 2. 放行WAF回源IP段 ：WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时，您需要设置源站服务器的安全软件或访问控制策略，放行WAF回源IP段的入方向流量，详情请参见放行WAF回源IP段。 3. 本地验证 ：添加域名后，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常，详情请参见本地验证。 4. 修改域名DNS ：若域名在接入WAF前未使用代理，则需要到该域名的DNS服务商处，修改域名的DNS解析配置，将网站的流量解析到WAF；若域名在接入WAF前使用了代理（DDoS高防、CDN等），则需要将使用的代理类服务（DDoS高防、CDN等）的回源地址修改为的目标域名的“CNAME”值，详情请参见修改域名DNS。 说明 完成接入流程后，网站访问流量将经过WAF转发检测。WAF包含多种防护检测模块，帮助网站应对不同类型的安全威胁，其中Web基础防护模块默认开启，用于防御常见的Web应用攻击（例如SQL注入、XSS跨站、Webshell上传等），其他防护模块需要您手动开启并配置具体防护规则。

前提条件 已登录弹性云主机，具体请参见登录Linux弹性云主机。 云主机的系统盘与数据盘都已经挂载至云主机，且已经初始化过。 云硬盘容量已经在控制台上完成扩容，并已经挂载至弹性云主机。具体请参见云硬盘扩容概述。 操作前检查 查看分区形式，选择分区工具 分区前，需要查看当前磁盘的分区形式，当为MBR时可以选择fdisk或者parted工具，当为GPT时需要使用parted工具。 执行命令 fdisk l，查看当前磁盘的分区形式，回显如下： “Disk label type”表示当前磁盘的分区形式，“dos”表示磁盘分区形式为MBR，“gpt”表示磁盘分区形式为GPT。 检查待扩容磁盘的文件系统 扩容前，需要检查待扩容磁盘的文件系统是否可正常挂载。 1. 执行命令 df TH，查看磁盘的挂载情况。回显如下： 可以看到，/dev/vdb1的文件系统为“ext4”，并且已挂载至/mnt/sdc目录。 2. 执行命令 ll /mnt/sdc，进入挂载目录查看磁盘上的文件。若可以查看到磁盘上的文件，则证明待扩容的磁盘情况正常。

操作场景 用户在VPC内使用内网DNS服务进行内网域名托管，需在管理控制台上配置DNS服务。 当您在云上部署了弹性云主机以及其他云服务，想在关联VPC内通过内网域名实现互访，可以为弹性云主机配置内网域名解析。 内网域名可以随意创建，无需注册，只需要保证VPC内唯一。 本操作以为弹性云主机创建内网域名并添加A类型解析记录为例介绍配置内网域名解析的操作指导。 前提条件 已经购买弹性云主机，并获取弹性云主机对应的VPC名称。 内网域名配置流程 配置内网域名解析的流程如下图所示。 图内网域名配置流程 “（可选）更改VPC子网的DNS服务器地址”需要在管理控制台VPC服务页面完成相关配置。 操作步骤 创建内网域名 1. 登录管理控制台，选择目标区域，选择“网络 > 内网DNS”进入内网DNS服务页面。 2. 在左侧树状导航栏，选择“内网域名”。进入“内网域名”页面。 3. 单击“创建内网域名”，开始创建内网域名。 4. 根据界面提示配置参数，参数说明如下表所示。 表创建内网域名参数 参数 参数说明 取值样例 域名 域名。 可以自定义，支持创建顶级域，但需符合域名命名规范。 example.com VPC 内网域名要关联的VPC。 邮箱 可选参数。 管理该内网域名的管理员邮箱。建议用户使用保留邮箱“HOSTMASTER@域名”作为此管理员邮箱。 HOSTMASTER@example.com 标签 可选参数。 域名的标识，包括键和值，每个域名可以创建10个标签。 examplekey1 examplevalue1 描述 可选参数。 域名的描述信息。 长度不超过255个字符。 内网域名。 5. 单击“确定”。 创建完成后，您可以在“内网域名”页面查看新创建的域名信息。 说明 单击“名称”列的域名名称，可以看到系统已经为您创建了SOA类型和NS类型的记录集。其中， SOA类型的记录集标识了对此域名具有最终解释权的主权威服务器。 NS类型的记录集标识了此域名的权威服务器。

本章主要介绍翼MapReduce的配置Controller与Agent间通信加密功能。 操作场景 安装集群后Controller和Agent之间需要进行数据通信，在通信的过程中采用了Kerberos认证，出于对集群性能的考虑，通信过程默认不加密，对于一些安全要求较高用户可以采用以下方式进行加密。 对系统的影响 执行加密操作时，会自动重启Controller和所有Agent，重启期间会造成FusionInsight Manager暂时中断。 大集群下会导致管理节点性能有所下降，建议集群不超过200节点时开启该功能。 前提条件 已确认主备管理节点IP。 操作步骤 1.以omm用户登录到主管理节点。 2.执行以下命令，防止超时退出。 TMOUT0 说明 执行完本章节操作后，请及时恢复超时退出时间，执行命令 TMOUT 超时退出时间 。例如： TMOUT600 ，表示用户无操作600秒后超时退出。 3.执行以下命令，切换目录。 cd ${CONTROLLERHOME}/sbin 4.执行以下命令启用通信加密： ./enableRPCEncrypt.sh t 执行 sh ${BIGDATAHOME}/omserver/om/sbin/statusoms.sh 查看主管理节点Controller的“ResHAStatus”是否为“Normal”，并可以重新登录FusionInsight Manager表示更改成功。 5.如果需要关闭加密模式，执行以下命令： ./enableRPCEncrypt.sh f 执行 sh ${BIGDATAHOME}/omserver/om/sbin/statusoms.sh ，查看主管理节点Controller的“ResHAStatus”是否为“Normal”，并可以重新登录FusionInsight Manager表示更改成功。

本文介绍在应用托管中如何配置组件的弹性伸缩策略。 概述 应用托管平台支持通过监控指标自动对组件的部署资源进行弹性伸缩，在满足业务需求的同时优化算力成本。适用于突发流量和典型周期性流量的应用场景。 说明：当前支持CPU使用率、内存使用率和加速卡使用率三种监控指标。 前提条件 已在平台部署应用实例，且目标应用实例当前处于正常运行状态（非异常/故障状态）。 操作步骤 1. 登录应用托管控制台，在左侧导航栏单击【应用实例】，在应用实例列表页，找到需要配置弹性伸缩策略的目标应用实例，进入应用详情，在详情页左侧选中需要配置弹性伸缩的组件，单击顶部【弹性伸缩】页签。 2. 在进入弹性伸缩操作页面后，可以查询实例的各指标变化趋势。 说明：平台保存90天的监控数据，单次查询时间范围不超过7天。 3. 根据实例历史监控指标，配置弹性伸缩策略，单击目标弹性伸缩策略的【编辑】按钮。 4. 在弹出的弹性伸缩面板，配置以下参数信息。 参数 说明 示例 策略名称 自定义策略名称 defaultpolicy 触发条件 选择指标类型： CPU使用率 内存使用率 加速卡使用率 说明 指标类型的聚合方式，请参见控制台说明 您可以同时设置多个指标类型 CPU使用率 触发条件 设置指标触发阈值：当指标实际值持续达到 / 超过（或低于）该阈值时触发策略 80% 最小实例数 弹性伸缩的最低保障实例量，缩容时实例数不会低于此值 最小实例数：1 最大实例数 弹性伸缩的最高可扩容实例量，扩容时实例数不会超过此值 最大实例数：10 5. 策略配置完成后，单击弹性伸缩策略的【启用】按钮，启用策略。 6. 可查看扩缩容事件，验证弹性策略效果。 7. 停用弹性伸缩策略，单击弹性伸缩策略的【停用】按钮，停用策略。

云硬盘回收站是天翼云云硬盘一种重要的数据保护方式,本章将为您详细介绍云硬盘回收站管理的相关内容。 产品定义 天翼云云硬盘回收站支持将删除的云硬盘资源保存至回收站中，是一种数据保护的方式。在一定时间内，您可以在回收站内恢复云硬盘数据，以防止误删除导致的云硬盘数据丢失。 回收站功能默认为关闭状态，如需使用，需要用户手动开启，保留时间最多为7天。 应用场景 在以下情况中，云硬盘删除会被放入回收站： 当用户主动删除按需订购的云硬盘时，此云硬盘会被放入回收站。 在以下情况中，云硬盘删除后不会被放入回收站： 当包周期购买的云硬盘被用户退订时，不放入回收站。 处于冻结期的按需云硬盘主动删除时，不放入回收站。 按需云硬盘冻结保留期到期后被系统销毁时，不放入回收站。 重装操作系统时，直接删除，不放入回收站。 和弹性云主机或物理机同一订单订购的云硬盘，跟随实例被释放时，不放入回收站。 账号受限或冻结状态时，被删除的按需云硬盘（包含主动删除与系统删除）不放入回收站。 约束与限制 云硬盘在回收站内最多可保存7天，到期后自动销毁，销毁后云硬盘将无法恢复。 仅支持按需云硬盘被删除时放入回收站，包年包月云硬盘在退订时不放入回收站。 账号受限或冻结状态时，主动删除的按需云硬盘不放入回收站。 账号受限或冻结状态时，系统删除的按需云硬盘不放入回收站。 开启回收站后，删除的按需云硬盘会放入回收站并支持手动恢复，但此按需云硬盘的快照会直接销毁且无法手动恢复。 已在回收站中的云硬盘，当账户欠费时，这些云硬盘会进入冻结保留期，在回收站中保留时长可能不足7天就会被系统销毁。销毁时间以回收站保留期（自进入回收站起保留7天）和冻结保留期（自欠费起保留15天）中最早达到销毁条件的时间为准。 云硬盘回收站支持的资源池，如下表所示： 限制项 限制说明 支持资源池 郑州5/武汉41/华东1/南宁23/华南2/华北2/南昌5/青岛20/上海36/西南1/昆明2/杭州2/杭州7/长沙42/西安7/太原4/西南2贵州/庆阳2/呼和浩特3/乌鲁木齐7。

本文向您介绍如何解决T4 GPU设备显示异常的问题。 问题描述 G6型或PI2型规格的GPU弹性云主机中，执行nvidiasmi命令查看GPU设备状态或使用情况时，有如下问题： 单卡GPU弹性云主机上，报错“No devices were found”。 多卡GPU弹性云主机上显示卡数目不全，执行“lspcigrep i nvidia“显示GPU卡数目正常。 可能原因 NVIDIA Tesla T4 GPU默认使用并开启GSP Firmware，导致GPU无法识别。 处理方法 1. 执行以下命令，移除NVIDIA内核模块。 plaintext rmmod nvidiadrm rmmod nvidimodeset rmmod nvidia 2. 执行以下命令，关闭GSP Firmware开关，并载入NVIDIA内核模块。 plaintext modprobe nvidia NVregEnableGpuFirmware0 modprobe nvidiadrm modprobe nvidiamodeset 以上操作只对当前运行的系统生效。如需持久化设置，需要在配置文件/etc/modprobe.d/nvidia.conf中增加一行“options nvidia NVregEnableGpuFirmware0“。 3. 如果问题依然存在，请联系客服，由技术支持人员处理。

本节介绍翼加密客户端申请文件脱密的流程。 用户可以根据需要，在自己的加密AI云电脑，针对加密文件发起脱密申请。脱密申请一次最多15个文件，上传的单个文件最大支持200M，大于200M文件会被自动剔除。 备注：如果需要脱密大于200M的文件，请联系管理员使用“管理员脱密工具”进行脱密。 脱密申请步骤： 第一步 选择需要脱密的文件 选择文件发起脱密申请的方式有3种： 1、批量选择需要脱密外发的加密文件，点击鼠标右键，在右键菜单中点击“使用翼加密申请文件脱密”。 2、双击桌面的“翼加密”客户端快捷方式，打开客户端首页，在首页点击“新脱密申请”按钮进行文件脱密申请。 3、在脱密申请页，点击“选取文件”选择需要申请脱密的文件。 4、在脱密申请页，也可以直接将文件拖入选中。 第二步 选择脱密方式 脱密方式包括脱密邮件和脱密下载两种： 脱密邮件 审批通过后，会将脱密文件通过邮件发送给收件人。下载链接6天后将失效，收到邮件后需及时下载脱密文件。

接口功能介绍 查询弹性IP设备的实时监控数据。 接口约束 regionID（资源池）存在，且存在弹性IP设备。 URI POST /v4/monitor/queryeiplatestmetricdata 请求参数 请求体body参数 参数 参数类型 是否必填 示例 说明 下级对象 regionID String 是 73f321ea62ff11eca8bc005056898fe0 资源池ID deviceUUIDList Array of String 是 ["100.124.0.131","100.124.0.177"] 查询设备ID列表，具体值参考监控对象查询返回字段deviceUUID pageNo Integer 否 1 页码，默认为1 page Integer 否 1 页码，默认为1，建议使用pageNo，该参数后续会下线 pageSize Integer 否 1 页大小，默认为20 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码（800为成功，900为失败），默认值：800 800 errorCode String 失败时的错误代码，参见公共错误码说明 message String 失败时的错误描述，一般为英文描述 Success msgDesc String 失败时的错误描述，一般为中文描述 成功 returnObj Object 返回对象 returnObj 表returnObj 参数 参数类型 说明 示例 下级对象 result Array of Objects 返回数据结果 result totalCount Integer 获取对象数据条数 138 totalPage Integer 总页数 1 currentCount Integer 当前页记录数 2 page Integer 页码，建议参考请求参数pageNo，该参数后续会下线 1 pageSize Integer 页大小，建议参考请求参数pageSize，该参数后续会下线 10 表result 参数 参数类型 说明 示例 下级对象 regionID String 所属资源池ID 73f321ea62ff11eca8bc005056898fe0 fUID String 唯一键 100.124.0.177 fuserLastUpdated String 最近更新时间 20221107 18:25:12 deviceUUID String 设备ID 100.124.0.177 itemList Object 监控项内容 itemList 表itemList 参数 参数类型 说明 示例 下级对象 samplingTime Integer 监控数据采集时间 1667816712 {item1} String 监控项具体内容 0.1168 {item2} String 监控项具体内容 0.1168 ... String 监控项具体内容