本章节主要介绍翼MapReduce服务的多租户功能。 简介 现代企业的数据集群化正在逐步向中心化、云计算方向发展，多用户在多个集群上执行不同的应用（分析、查询、流式处理等），且存储的数据类型、格式各不相同。部分用户（如银行、政府机构等）对数据安全问题非常重视，无法容忍自己的数据和他人数据放在一起。 翼MapReduce提供多租户功能，将大数据集群资源分割为相互独立的资源集合，用户可“租用”所需的资源集合，用于执行应用、工作、存储数据。在大数据集群中，提供多个资源集合满足多个用户的不同需求。 优势 合理配置和隔离资源： 租户之间的资源是隔离的，一个租户对资源的使用不影响其他租户，保证了每个租户根据业务需求去配置相关的资源，可提高资源利用效率。 测量和统计资源消费： 系统资源以租户为单位进行计划和分配，租户是系统资源的申请者和消费者，对用户资源消费进行测量和统计。 保证数据安全和访问安全： 多租户场景下，分开存放不同租户的数据、控制用户对租户资源的访问权限，以保证数据安全和访问安全。

本节介绍了云容器引擎的最佳实践:有状态工作负载配置存储实践。 对于有状态应用实例需要持久化状态，每个实例有其独特的身份和持久化的数据存储。有状态应用的存储使用跟其他的工作负载存在差异。 使用方法 有状态应用PVC使用方法选择包括:已有存储卷申明（PVC）和存储卷申明模版（VolumeClaimTemplate）。 已有存储卷声明（PVC）方式较少使用，适用于有状态工作负载的多个副本共享同一PVC的场景。但实际需求中，要求每个副本具备独立存储的情况并不常见。 存储卷声明模板（VolumeClaimTemplate）是有状态工作负载特有的配置项。通过在该工作负载中定义模板，K8S会在创建每个副本时自动生成一个与之对应的PVC，命名规则为{存储声明模板名称}{有状态工作负载名称}{序号}。本文将重点阐述此方法。 注意 有状态工作负载删除后，其关联的PVC会保留。若用户确认不再需要，需手动删除这些PVC。（可通过启用K8S特性门控StatefulSetAutoDeletePVC为true，实现有状态工作负载删除后自动清理PVC）。 若不删除PVC，后续在同一命名空间内创建同名有状态工作负载并使用同名存储卷声明模板时，新工作负载将自动复用原有的PVC。 1. 点击“创建存储卷申明模版”. 2. 定义模版的存储申明类型、已有存储类、容量、卷模式、访问模式. 存储申明类型： 天翼云各类型的产品，用户根据需要自行选择对应的产品。 已有存储类： 用户需要提前创建好产品对应的存储类，用于动态分配。 容量： 存储容量大小 卷模式： 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 这类卷以块设备的方式交给 Pod 使用，其上没有任何文件系统。 这种模式对于为 Pod 提供一种使用最快可能方式来访问卷而言很有帮助， Pod 和卷之间不存在文件系统层。目前仅云硬盘支持该功能 访问模式： 单机读写（ReadWriteOnce）：卷可以被一个节点以读写方式挂载 多机只读（ReadOnlyMany）：卷可以被多个节点以只读方式挂载 多机读写（ReadWriteMany）：卷可以被多个节点以读写方式挂载 3. 创建了一个有状态负载test，存储卷申明模版如下： 4. 有状态工作负载成功启动。 5. 查看pod的yaml，可以看到test1的pod，使用了disktest1这个PVC。 6. PVC列表中，两个PVC均被创建出来并且bound。

此小节介绍云堡垒机的系统配置。 系统配置概述 系统配置包括安全、网络、端口、外发、认证、工单、告警、审计、HA备份等配置。为确保系统安全运行，默认仅系统管理员admin可修改系统配置，整体管理系统运行状况。 安全配置，详情请参见登录安全管理。 网络配置，详情请参见网络配置。 端口配置，详情请参见端口配置。 外发配置，详情请参见外发配置。 认证配置，详情请参见远程认证管理。 工单配置，主要介绍工单配置的基本模式、高级模式、审批流程等，详情请参考工单配置管理。 告警配置，详情请参见告警配置。 系统风格，详情请参见系统风格。 网络配置 查看系统网络配置 本小节主要介绍如何查看系统网络接口、DNS地址、默认网关地址、静态路由等信息。 前提条件 已获取“系统”模块管理权限。 操作步骤 1 登录云堡垒机系统。 2 选择“系统 > 系统配置 > 网络配置”，进入系统网络配置管理页面。 网络配置 3 在“网络接口列表”区域，可以查看当前云堡垒机系统的相关网络接口信息。 默认不支持修改系统网络接口。 网络接口列表 4 在“DNS配置”区域，可以查看当前云堡垒机系统的首选DNS和备用DNS地址。 默认不支持修改系统DNS地址。 系统DNS地址 5 在“默认网关”区域，可查看当前云堡垒机系统的默认网关。 默认识别DHCP网关地址，且不支持修改默认网关。 4系统默认网关 6 在“静态路由配置”区域，可查看当前系统可以访问其他网段的服务器。 静态路由

本节介绍了添加网卡的操作场景、操作步骤、后续任务。 操作场景 当您的弹性云主机需要多个网卡时，可以参考下面步骤为弹性云主机添加网卡。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 单击待添加网卡的弹性云主机名称。系统跳转至该弹性云主机详情页面。 5. 选择“弹性网卡”页签，并单击“绑定弹性网卡”。 6. 选择待增加的子网和安全组，如下图所示。 图 选择子网和安全组 安全组：您可以同时勾选多个安全组，此时，弹性云主机的访问规则遵循几个安全组规则的并集。 私有IP地址：如果需要给弹性云主机添加一张指定IP地址的网卡，用户需填写“私有IP地址”。 7. 单击“确定”。 后续任务 部分操作系统无法识别新添加的网卡，需手动激活网卡。下面以Ubuntu系统为例介绍具体激活网卡的操作步骤，其他操作系统请自行完成相关操作，如有问题，请参见对应操作系统的官网指导或手册来完成操作。 1. 在弹性云主机所在行的“操作”列下，单击“远程登录”。 登录弹性云主机。 2. 执行如下命令，查看网卡名称。 ifconfig a 例如，查询到的网卡名为：eth2。 3. 执行如下命令，进入相应目录。 cd /etc/network 4. 执行如下命令，打开interfaces文件。 vi interfaces 5. 在interfaces文件中，增加类似如下信息。 auto eth2 iface eth2 inet dhcp 6. 执行如下命令，保存并退出interfaces文件。 :wq 7. 执行命令ifup ethX或/etc/init.d/networking restart，使新增网卡生效。 上述命令中的X为具体的网卡名称序号，例如，ifup eth2。 8. 执行如下命令，查看回显信息中是否包括2查询到的网卡。 ifconfig 例如，回显信息中包含网卡eth2。 是，表示新增网卡生效，结束。 否，表示新增网卡未生效，执行9。 9. 登录管理控制台，在弹性云主机所在行的“操作”列下，选择“更多”，并单击“重启”。 10. 再次执行命令ifconfig，查看回显信息中是否包括2查询到的网卡。 1. 是，结束。 2. 否，请联系客服获取技术支持。

本节介绍如何在主机资产页面管理终端。 管理终端 用户可在主机资产页面查看所有绑定该中心的主机信息，包括名称、分组、标签、IP、操作系统、终端版本等，并可查看终端详情、编辑终端、查看策略等操作。 查看终端详情 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 主机资产”，进入主机资产页面。 3. 选择需要查看的主机终端（须确保终端为在线状态），点击终端名称或者点击操作项 中的“查看”。 4. 进入终端详情页面，即可查看该主机终端的详细信息，并可进行远程重启主机、关闭主机及修改远程端口操作。 终端概况说明如下： 终端信息 说明 终端详情 对终端进行详细信息展示：包括网络信息、环境信息、其他信息等；并支持远程关闭主机、重启主机、停止防护等操作。 监听端口 对终端上的端口情况进行实时监控。 运行程序 对终端上的进程运行情况进行实时监控，并支持远程结束相关进程。 账号信息 对终端上的所有账号信息进行统计。 运行应用 对终端上运行的软件应用信息进行统计。 性能监控 对终端上的内存、CPU、磁盘、网络IO进行监控统计。 临时封锁IP 对终端上因为防暴力破解和防端口扫描而引发的临时封锁IP进行管理。 注册表启动项 对终端上所有的注册表启动项进行统计和管理。 Web框架 对终端上运行的Web框架进行统计。 Web服务 对终端上运行的Web服务进行统计。 数据库 对终端上运行的数据库进行统计。 Web应用 对终端上运行的Web应用进行统计。 在线统计 对终端的在线时间进行统计。 安装软件 对终端安装包名、版本号、类型、发布者、安装时间等进行统计。 Jar包 对终端安装所关联的jar包进行统计。 计划任务 对终端被制定了哪些计划任务进行统计。 环境变量 对终端的环境变量进行统计。 内核模块 对终端内核模块名称、版本号、模块路径和大小、模块依赖等进行统计。 Windows证书 对终端的各种证书进行统计。

本文介绍了全球办公加速防护场景下的产品价值。 业务特点 全球办公场景下，公司数据一般部署在总部所在的国家或地区，但是企业的终端用户遍布全球各地，终端用户跨地域访问公司数据时经常出现文件数据传输慢、系统登录超时等问题。 同时，企业的数据服务器容易受到各类 WAF 和 DDoS 攻击，严重影响企业数据的安全性和可用性。 疫情快速推动远程/协同办公模式的普及，既存在静态文件的分享，也多人协作编辑、实时沟通等各类动态数据的传输，其中文件下载过久，沟通延时等问题大大降低了协同办公的效率。 而传统VPN、专线等的接入方式只要接入就能访问所有系统，可能造成客户业务核心数据泄漏、病毒感染等安全事件的发生。 客户痛点 远程办公应用登录超时 业务系统响应慢 音视频会议卡顿、延迟 VPN超时、掉线 准入安全风险 远程终端造成病毒扩散 产品优势 通过 AOne 边缘安全加速平台： 智能调度、实时探测最佳路径，私有传输协议，解决网络抖动问题，提升办公效率 全球节点覆盖，就近接入，保障网络的快速和稳定性，提升用户体验 任意区域任意网络接入，安全边缘节点，通过加密隧道保证数据安全及隐私 多因素认证身份，持续性安全评估，支持指定哪些用户使用什么样的终端设备访问哪些办公应用，保证可信访问

为更加顺利的进行 用户在进行远程登陆之前，需要执行以下准备： 用户在进行远程登陆前需要进行密码设置或确定密钥已保存，如用户已忘记密码或丢失密钥，可以使用【重置密码】操作重新设置密码，具体操作如下： 1、单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 2、进入轻量型云主机列表界面，在目标轻量型云主机“操作”列下拉“更多”选择“重置密码”。 3、出现重置密码弹框，用户需要在弹窗内输入“密码”及“确认密码”两项，“确认密码”需与“密码”一致。 4、核对后单击“确定”完成密码修改，密码重置后，用户无须重启主机，即可生效新密码。 注：若用户为Windows操作系统，则需要用户先开启远程桌面协议Windows操作系统需开启远程桌面协议

此小节介绍如何购买云堡垒机。 背景信息 云堡垒机实例对应一个独立运行的云堡垒机运维管理系统环境。用户需首先购买云堡垒机实例，创建一个云堡垒机帐户，再登录云堡垒机系统并配置运维管理环境，才能实现云堡垒机实时远程高效运维管理。 前提条件 已获取待纳管资源信息，且待纳管资源在CBH支持使用的区域内。 已获取管理控制台的登录帐号与密码。 已购买至少一个弹性公网IP（Elastic IP，EIP）。 一个弹性公网IP只能绑定一个云资源使用，云堡垒机绑定的弹性IP不能与其他云资源共用。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 选择“云堡垒机实例”服务类型，根据设置实例的相关参数，相关说明请参考表。 参数 说明 :: 计费模式 选择实例计费模式，仅支持“包年/包月”模式。包年/包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。 可用分区 选择实例应用区域和可用区，建议根据待管理ECS、RDS等服务器上资源的区域和可用区选择，可以降低网络时延、提高访问速度。 实例名称 自定义实例名称。 性能规格 选择实例版本规格。 虚拟私有云 选择当前区域下虚拟私有云（Virtual Private Cloud，VPC）网络。若当前区域无可选VPC，可单击“查看虚拟私有云”创建新的VPC。 安全组 选择当前区域下安全组，系统默认安全组Sysdefault。若无合适安全组可选择，可单击“管理安全组”创建或配置新的安全组。 子网 选择当前VPC内子网，子网选择必须在VPC的网段内。 弹性IP 选择当前区域下EIP。若当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。为满足CBH系统使用需求，建议配置EIP带宽为5M以上。 用户名 默认用户名“admin”。系统管理员帐号admin拥有系统最高操作权限，请妥善保管帐号信息。 登录密码 自定义admin用户密码信息。密码设置要求：长度范围：832个字符，不能低于8个字符，且不能超过32 个字符。规则要求：可设置英文大写字母、英文小写字母、数字和特殊字符（!@$%^+[{}]:,./?

概述 当【并行计算】涉及多个实例（实例数大于 1）时，实例间需通过网络协议实现数据交互；而在下发任务前，需确保运行环境已适配对应框架的通信协议，否则任务将无法正确运行。 框架适配 MPI框架 MPI 程序的运行依赖 “启动器”（如mpirun、mpiexec、srun等），其核心任务是在分布式节点（多台计算机）上启动多个 MPI 进程（每个进程对应一个rank），并将它们纳入同一个通信子（如MPICOMMWORLD）。 要在远程节点上启动进程，启动器需要远程登录到目标节点并执行命令 （例如启动mpiexec分配的子进程）。此时，SSH 作为标准的远程登录与命令执行工具，为这一过程提供支持。 因此，使用MPI框架时，需确保运行环境中已安装好SSH服务端并且配置当前环境的SSH免密访问。 您可以直接使用科研助手预置的MPI基础环境镜像，简化配置流程： python ehub.ctcdn.cn/esxbatchcom/mpibase:v1 如需手动部署环境，请执行以下步骤： python 安装SSH服务端和客户端 aptget update apt install y noinstallrecommends opensshserver opensshclient libcap2bin && rm rf /var/lib/apt/lists/ sed i "s/[ ](.StrictHostKeyChecking )./ 1no/g" /etc/ssh/sshconfig && echo " UserKnownHostsFile /dev/null" >> /etc/ssh/sshconfig && sed i "s/[

应急响应 在接到用户应急响应请求后，由应急专家小组根据事件类别进行研判，通过远程或现场的方式协助用户对遇到的突发性安全事件进行紧急分析和处理。主要工作内容包括但不限于：突发事件信息收集、事件分析、分析报告提交、问题解决建议等在发生安全事件时协助业务恢复到正常服务状态，调查安全事件发生的原因，避免同类安全事件再次发生。 威胁分析溯源 安全运营专家团队利用安全编排、自动化及响应与大数据分析技术，在海量安全告警中对各类疑似安全事件的告警进行分析研判，进一步发现真实的安全事件，通过具备多年丰富经验的运营专家团队对安全事件进行深度分析、溯源，为用户判断整体威胁趋势，提供解决方案并协助用户及时进行处置。 攻击路径还原 在接到用户应急请求后，应急响应服务团队根据用户提供的信息对服务器日志、攻击者痕迹、安全设备日志及流量的分析，还原攻击者的攻击路径，理清安全事件的真实原因。 蠕虫及后门清理 基于对事件场景的探测和发现，应急响应服务团队将对用户服务器中可能隐藏的蠕虫病毒、后门程序、Rootkit等恶意软件提供清理方案，通过上机排查，使用工具和手工对服务器后门进行清除，涉及工具由服务人员自备，用户对工具进行评价后接入用户环境。

本文将为您介绍通过云企业路由器实现专线入云访问跨账号VPC。 应用场景 本地IDC通过一条物理专线接入天翼云华北2地域，实现A账号本地IDC网络与天翼云华北2地域中的B账号VPC网络互通，该场景适合在支持云企业路由器的资源池使用。 A账号：本地IDC接入天翼云华北2地域的物理专线，配置如下。 物理专线名称 互联地址（天翼云侧） 互联地址（用户侧） 掩码 VLAN 物理专线 10.250.0.1 10.250.0.2 255.255.255.252 100 B账号：天翼云华北2地域的跨账号VPC，配置如下。 VPC名称 VPC网段（IPv4） 子网网段（IPv4） VPC1 10.10.0.0/16 10.10.0.0/24 前提条件 1、在天翼云华北2已创建一条物理专线，具体操作说明详见创建物理专线。 2、在天翼云华北2已创建一个专线网关，具体操作说明详见创建专线网关。 3、在天翼云华北2已创建一个云企业路由器，具体操作说明详见创建云企业路由器。 4、在天翼云华北2已创建一个跨账号VPC，具体操作说明详见创建VPC。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包乱序动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 重排序概率：数据包被立即发送的百分比。 和上一包的相关性：控制数据包重排序的随机性和规律性之间的平衡，取值范围 0~100，例如，设置为 50 表示有 50% 的可能性下一个数据包的重排序决策会受到前一个数据包的影响。值越高，乱序模式越规律；值越低，越随机。 包序列大小：定义了重排序数据包之间的距离，即有多少个数据包会按照正常顺序发送后才会出现一个重排序的数据包，例如，当 gap 设置为 2 时，意味着每 2 个正常顺序的数据包之后会有一个数据包被重排序。 网络包延迟时间(毫秒)：对被选中的乱序数据包施加的延迟时长。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名

步骤六： 启动镜像会话功能 1. 登录天翼云控制台，在控制中心页面左上角选择区域，本文我们选择华东华东1。 2. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 3. 在左侧导航栏，选择“流量镜像镜像会话”选项。 4. 在镜像会话页面，找到需要启动的镜像会话，然后单击该会话操作列的“启动”按钮。 验证与排障 1. 流量捕获验证 登录弹性裸金属（pm1），查看镜像目的是否可以获取到镜像源与线下IDC互通的数据包，如果获取成功，则表示镜像会话配置生效。 比如： 在Pm1执行抓包（需root权限） tcpdump i eth0 eennvv port 4789 成功标志 ：持续捕获到内层源or目的IP为172.168.1.x，外层是VXLAN封装的UDP报文。 2. 常见问题排查 现象 可能原因 解决方案 无镜像流量 筛选条件配置错误 核对待镜像报文的五元组信息 目的端无法接收 安全组未放行UDP 4789 检查入方向规则配置

混合云一体机集成天翼云平台，提供计算、存储、网络、监控、管理等全栈云服务。 计算 弹性云主机：由CPU、内存、镜像、云硬盘组成，是一种可随时获取、即开即用、可弹性扩展的计算服务器。一体机支持创建通用型、计算增强型、内存优化型多种云主机类型，同时支持云主机组、云主机快照等功能。 GPU云主机：结合了GPU计算力与CPU计算力，满足客户在人工智能、高性能计算、专业图形图像处理等场景中的需求。一体机通过扩展GPU服务器的方式支持GPU云主机，GPU云主机支持虚拟化、直通技术。 标准裸金属：具有物理资源独享、高性能的特点，适合部署核心数据库等关键系统。一体机通过虚拟裸金属网关实现对物理服务器的统一纳管。 镜像服务：是弹性云主机实例可选择的运行环境模板，一般包括操作系统和预装软件。云镜像服务包括公共镜像、私有镜像及共享镜像。 弹性伸缩服务：通过策略自动调整计算资源的管理服务。用户通过管理控制台设定弹性伸缩组策略，弹性伸缩服务将根据预设规则自动调整伸缩组内的云主机数量，降低人为反复调整资源以应对业务变化和高峰压力的工作量，帮助用户节约资源和人力成本。 存储 云硬盘：基于分布式架构的、可弹性扩展的数据块级存储设备。可为云主机提供系统盘和数据盘，满足文件系统、数据库或者其他应用等的存储。 云硬盘备份：针对云主机的系统盘、数据盘提供的备份服务。用户可对存储重要数据的磁盘进行备份，并在云主机磁盘故障、用户误删数据、遭到黑客攻击等情况下将备份数据快速恢复到源盘，有效保证用户数据的安全性。 云主机备份：支持多云硬盘一致性快照技术的备份服务，支持利用备份数据恢复弹性云主机数据，提供数据备份和操作恢复的整体方案，具备实时增量备份、快速数据恢复能力，有效保障用户数据的安全性和正确性，确保业务安全。 文件存储：提供按需扩展的高性能文件存储，可为多个弹性云主机、标准裸金属提供共享访问，具备高可用性和高数据持久性。 对象存储：存储非结构化数据（图片、音视频、文本等格式文件），根据客户需求空间确定存储容量。 网络 扁平网络：可与物理机网络直通，也可通过物理网络设置网关和路由直接访问互联网的网络。 虚拟私有云：为云主机等云上资源提供可配置、可管理的虚拟网络环境，不同虚拟私有云之间二层逻辑隔离。 弹性IP：将弹性IP地址和子网中关联的弹性云主机绑定和解绑，可以实现VPC中的弹性云主机通过固定的公网IP地址与互联网互通。 负载均衡：通过将访问流量自动分发到多台云主机，扩展对外的服务能力，解决大量并发访问服务器的问题，实现更高水平的应用程序容错性能。 对等连接：是指两个VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行通信，就像两个VPC在同一个网络中一样。用户可以在自己租户的VPC之间创建对等连接，也可以在自己租户的VPC与其他租户的VPC之间创建对等连接。 安全组：是云主机级别的流量防护规则，默认安全组default放通全部协议全部端口的流出。 ACL：是一个子网级别的流量防护规则，用户可以自定义设置网络ACL规则，并将网络ACL与子网绑定，实现对子网中云主机实例流量的访问控制。通过与子网关联的出方向/入方向规则控制出入子网的流量数据。 NAT网关：能够为虚拟私有云内的弹性云主机提供网络地址转换服务，使多个弹性云主机可以共享使用弹性IP访问Internet。 VPN连接（选配）：基于Internet、通过IPSec加密通道连接用户的企业数据中心和一体机的虚拟私有云（VPC），实现两侧资源的内网互通，帮助用户轻松实现混合云环境的部署。 监控 云主机监控：包括CPU使用率、网络流入流出流量的速率、内存使用率、磁盘分配率、磁盘使用率、磁盘剩余存储量等图表数据。 云硬盘监控：包括磁盘读速率、磁盘读请求速率、磁盘写速率、磁盘写请求速率。 弹性IP监控：包括流入流出带宽、网络流入流出速率。 负载均衡监控：包括入网流量、出网流量、出网带宽、活跃连接数、新建连接数、并发连接数等。 管理 云服务：为用户提供资源创建、管理能力，比如创建云主机、管理VPC等。 运维监控：支持通过拓扑、大屏、仪表盘等形式提供告警、性能监控、日志等基础运维服务。 运营管理：匹配组织架构，提供用户管理、配额管理、角色管理等管理能力。

本文介绍域名管理模块所涉及的功能。 概述 通过对域名管理相关的功能模块进行概括性介绍，方便您全面了解当前天翼云全站加速已支持的相关功能以及指引您快速找到对应功能的介绍入口，更快上手。 相关功能 相关管理模块功能简介如下： 功能 说明 []( 客户往往会存在多个域名需要配置，而配置又是相同的情况，这时我们提供批量配置域名的方式可以使客户快速、便捷的接入域名。 []( 介绍全站加速域名管理中的工单，它是用于跟踪和记录由客户操作发起的域名新增及域名配置变更任务的状态和执行结果，方便跟进变更的进度以及追溯变更历史，辅助管理客户业务。 []( 简述什么是标签和标签组，如何创建/删除标签和标签组，如何绑定/解绑标签，如何使用标签管理域名、筛选数据。 []( 简述基础配置所涉及的配置，包含：域名名称、加速类型选定、域名类型选定、加速区域选定、IPv6开关。 []( 简述天翼云全站加速产品回源相关的功能和配置，包括：源站地址、动态回源策略、回源协议、源站端口、回源HOST、回源SNI、回源HTTP请求头、回源HTTP响应头、回源URI改写、回源参数改写、Common name白名单、回源302/301跟随、Range回源、回源请求超时时间、分区域分运营商回源、区分ipv4/ipv6协议回源、指定源站回源HOST、高级回源等功能。 缓存配置 简述缓存配置相关功能，包括：缓存过期时间、状态码过期时间、配置HTTP响应头、错误页面自定义、自定义重定向、缓存key设置、跨域资源共享等。 []( 简述天翼云全站加速产品的HTTPS相关功能及配置方法。包括：HTTPS配置、国密HTTPS、HTTP2.0、强制跳转、OCSP Stapling、HSTS、TLS协议版本、HTTPS无私钥驻留加速方案、批量配置HTTPS证书、支持的SSL/TLS加密套件等。 []( 简述如何配置HTTP响应头，回源HTTP响应头，回源HTTP请求头。 []( 简述如何配置文件压缩、图片处理功能。 []( 简述访问控制策略及配置方法，包括：IP黑/白名单、Referer防盗链、UA黑/白名单、URI黑/白名单、URL鉴权、全网带宽控制、有序回源、单请求限速等策略。 []( 简述html页面优化、html禁止操作等功能。 []( 简述视频拖拉、视频试看、HLS标准加密改写功能。 websocket加速 简述websocket加速方案及配置方法。 []( 简述上传加速方案及配置方法。 []( 简述什么是QUIC协议，天翼云全站加速对QUIC协议的支持情况，以及配置说明。 []( 介绍天翼云全站加速平台高级配置，包括访问URL重定向，错误页面自定义。 []( 云备源服务可帮助客户实现定期将网站内容从主源自动同步至备源，如主源发生宕机，则全站加速可无缝切换至云备源，实现网站业务高可用。 防攻击处理预案说明 天翼云全站加速默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，全站系统有权（根据域名业务情况、攻击影响程度等因素综合判断）将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 []( 介绍高性能网络的适用场景和配置方法。 []( 天翼云全站加速平台支持自动化业务指标监控和告警功能，客户可以依据实际业务监控/告警需要，设置相关的监控与告警规则。

本节介绍了专属云（存储独享型）的到期规则。 天翼云将会在您的专属云到期前 7 天、3 天、1 天向您发送提醒短信和邮件，如果您希望继续使用专属云资源，及时与您的专属客户经理沟通续订。如您未及时续订，您在专属云开通的云主机将自动关机。到期后您的资源将保留15天，15天内您可进行续费，15天后专属云资源将完全销毁，无法恢复。

本节介绍MCP工具文件搜索的使用方法。 在日常办公、项目协作等场景下，当用户需要快速找到特定文件（如项目方案、合同文档等），但不确定文件具体存储位置时，可通过该功能，从多个入口快速进入搜索界面，精准查找文件。 注意：工具入口仅对开通企业智库的租户成员开放此入口 【操作步骤】 1. 对话页面点击工具入口，进入MCP工具； 注意 首次使用会进行插件安装，可以在 设置工具 查看安装情况。 2. 勾选需要搜索的文件范围，支持本机云电脑、其他云电脑和翼共享搜索。 3. 在对话框输入需要搜索的文件名关键词进行搜索，在对话列表页面查看搜索结果。安设备进行搜索结果分类，可以云智助手中支持打开对应路径和打开文件。 4. 关闭工具，可以在设置工具页面，查看插件安装状态和关闭工具入口。

（可选）创建虚拟私有云 虚拟私有云为CCE集群提供一个隔离的、用户自主配置和管理的虚拟网络环境。 创建首个集群前，您必须先确保已存在虚拟私有云，否则无法创建集群。 若您已有虚拟私有云，可重复使用，无需重复创建。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“网络 > 虚拟私有云”。 步骤 4 单击“创建虚拟私有云”。 步骤 5 在“创建虚拟私有云”页面，根据界面提示配置虚拟私有云参数。 创建虚拟私有云时会同时创建一个默认子网，您还可以单击“添加子网”创建多个子网。 步骤 6 单击“立即创建”。 （可选）创建密钥对 云平台使用公共密钥密码术来保护您的云容器引擎节点的登录信息，密码或密钥对用于远程登录节点时的身份认证。 如果选择密钥登录方式，您需要在创建云容器引擎的集群节点时指定密钥对的名称，然后在SSH登录时提供私钥。 如果选择密码登录方式，可以跳过该任务。 说明 如果您计划在多个区域创建实例，则需要在每个区域中创建密钥对。 通过管理控制台创建密钥对 如果您尚未创建密钥对，可以通过管理控制台自行创建。步骤如下： 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“计算 > 弹性云主机”。 步骤 4 在左侧导航树中，选择“密钥对”。 步骤 5 在“密钥对”页面，单击“创建密钥对”。 步骤 6 输入密钥名称，单击“确定”。 步骤 7 密钥名称由两部分组成：KeyPair4位随机数字，使用一个容易记住的名称，如KeyPairxxxxecs。 步骤 8 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 这是您保存私钥文件的唯一机会，请妥善保管。当您创建弹性云主机时，您将需要提供密钥对的名称；每次SSH登录到弹性云主机时，您将需要提供相应的私钥。

续订 云硬盘支持续订，若满足续订条件，可根据需求进行续订。续订规则详情请见天翼云帮助中心费用中心续订规则说明。 如何续订云硬盘请参考续订云硬盘。 退订 云硬盘支持退订，若满足退订条件，可根据需求进行退订。退订规则详情请见天翼云帮助中心费用中心退订规则说明。 如何退订云硬盘请参考退订包年/包月数据盘。 到期 在包年包月计费模式的云资源将要到期时，天翼云会以邮件的方式通知客户，如用户需继续使用，则可联系客户经理执行续订操作或自行在控制台进行续订。如果用户未主动续订或者虽然开通了自动续订但自动续订失败，天翼云将发送资源超期提醒邮件，并且此时资源将进入保留期，保留期为15天。保留期内云资源的业务中断，但对于您存储在云资源中的数据予以保留。保留期内用户可以续订资源，续订成功后云资源可恢复业务。保留期结束后云资源将被释放，业务数据将无法恢复。 注意 资源保留期的时长为15天。 支持在保留期内手动销毁已到期的云硬盘资源，以释放用户配额。

本页介绍天翼云TeleDB数据库如何设置备份策略、手动备份和删除备份等操作。 操作场景 数据备份是指直接备份数据库所对应的数据文件甚至是整个磁盘。TeleDB实例创建成功后，您可根据业务需要设置备份策略。TeleDB可按照用户设置的自动备份策略对数据库进行备份。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树中选择备份与恢复 > 数据备份。 2. 进入备份与修复 页面，将当前实例切换至目标实例。 3. 设置备份策略 1. 在数据备份 页签，单击备份策略 ，出现备份策略设置 对话框。 2. 在备份策略设置 对话框，打开备份开启状态 开关，根据如下内容填写备份策略基本信息。 备份开始时间：系统触发备份的时间，建议选择业务压力小的时间点。 备份间隔时间（天）：间隔多少天触发一次备份，为防止数据丢失难以恢复，建议间隔时间不超过3天。 备份保留份数：系统保留的备份的份数，超过此数量，系统自动删除最旧的一次备份。保留份数取决于存储空间大小，建议选择大于2份。 增量备份开启状态：增量备份数据用于恢复到指定时间点，对于恢复及其重要，暂时不支持关闭增量备份。 对象存储接入点：可根据业务需求填写。 Access Key：可根据业务需求填写。 Secret Key：可根据业务需求填写。 3. 填写完基本信息后，单击测试连通性，若出现绿色标识，单击确定 完成实例备份。 4. 如需再次修改备份策略设置，可重复以上操作即可。 4. 手动备份 1. 在数据备份 页签，单击备份策略 ，出现备份策略 对话框。 2. 单击手动备份 。 5. 查看备份详情 1. 在数据备份 页签，单击目标实例所在行详情 ，弹出备份详情 对话框。 2. 当处于备份过程中时，可单击刷新 查看节点备份状态的实时变化。 说明 备份目录：远程对象存储上的备份地址。备份时，系统会在对象存储上建立一个以实例id命名的桶，实例的所有备份数据都回存储在这个桶下面。这里备份地址是全量备份在桶下面的相对路径。 全量备份数据路径：实例名/basebkp年月日/。 增量备份数据路径：实例名/xlogbkp。 6. 删除备份 在数据备份页签，选择需删除的备份文件的目标实例，单击操作列的删除 按钮，在出现的对话框中单击确认即可删除指定的备份记录和备份数据。 注意 TeleDB 支持删除一次备份记录，该备份记录对应在对象存储上的备份数据也会同步删除，请谨慎操作 。

远程零信任办公服务提供应用管理功能,本文将介绍如何将您的应用或资源添加平台进行管理。 在您要使用远程零信任办公服务访问您的应用或者系统资源之前，您需要将其添加到边缘安全加速平台进行管理。 背景说明 企业内部应用系统，例如内部WEB应用服务、服务器或数据库等IT资源，一般未暴露在公网，需要通过专有网络访问。在您添加这部分应用系统到平台后，您的员工登录远程零信任办公服务客户端完成身份认证后，便可以访问这部分局域网内的应用或系统资源。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任应用应用配置，查看应用列表。 4. 可根据业务需求进行相关配置。 应用列表 您可以查看应用的相关数据，包括应用总数，健康情况，无流量应用数，无生效策略应用数。并且可对应用进行相关配置操作，如权限自助申请、单点登录、配置无端访问及查看应用接入最佳实践和应用单点登录配置说明。 您可点击应用列表分页进行应用的管理，包括应用的添加、编辑、删除操作。

二、Shell 脚本内容 shell !/bin/bash 检查远程主机上指定服务进程是否正在运行 status$(sshpass p ${HostPwd} ssh o StrictHostKeyCheckingno o ConnectTimeout5 ${HostUser}@${HostIP} "pgrep ${serviced} > /dev/null; echo $?") 根据进程状态执行相应操作 if [ "$status" eq 0 ]; then 进程正在运行，执行重启操作 retCode$(sshpass p ${HostPwd} ssh o StrictHostKeyCheckingno ${HostUser}@${HostIP} "sudo systemctl restart ${serviced}; echo $?") else 进程未运行，执行启动操作 retCode$(sshpass p ${HostPwd} ssh o StrictHostKeyCheckingno ${HostUser}@${HostIP} "sudo systemctl start ${serviced}; echo $?") fi if [ "$retCode" eq 0 ]; then echo "0" else echo "1" fi 实现说明 1. 远程连接与命令执行 ：使用 sshpass 工具通过密码认证建立 SSH 连接，在远程主机上执行相应命令 2. 进程状态检测 ：通过 pgrep ${serviced} 命令检查指定进程是否运行 进程正在运行：返回状态码 0 进程未运行：返回状态码 1 3. 服务管理： 当检测到进程运行时，执行 systemctl restart 命令重启服务 当检测到进程未运行时，执行 systemctl start 命令启动服务 4. 返回值处理 ：通过 ${retCode} 获取命令执行结果，0 表示成功，非零值表示失败 参数配置 在"脚本参数"中需要配置以下参数： 请求参数： ${serviced}：需要监控的守护进程名称 返回参数： ${retCode}：用于捕获脚本执行结果的状态码

本页介绍天翼云TeleDB数据库物理备份相关操作。 操作场景 物理备份是指直接备份数据库所对应的数据文件甚至是整个磁盘。TeleDB实例创建成功后，您可根据业务需要设置备份策略。TeleDB可按照用户设置的自动备份策略对数据库进行备份。 操作步骤 1. 切换至TeleDB控制台，在左侧导航树中选择备份与恢复 > 物理备份与恢复。 2. 进入物理备份与修复 页面，将当前实例切换至目标实例。 3. 设置备份策略 1. 在数据备份页签，单击备份策略，出现备份策略对话框。 2. 单击去设置，进入备份策略设置对话框，打开备份开启状态开关，根据如下内容填写备份策略基本信息。 备份开启时间：系统触发备份的时间，建议选择业务压力小的时间点。 备份间隔天数：间隔多少天触发一次备份，为防止数据丢失难以恢复，建议间隔时间不超过3天。 备份保留分数：系统保留的备份的份数，超过此数量，系统自动删除最旧的一次备份。保留份数取决于存储空间大小，建议选择大于2份。 增量备份开启状态：增量备份数据用于恢复到指定时间点，对于恢复及其重要，暂时不支持关闭增量备份。 3. 单击确定完成实例备份。 4. 如需再次修改备份策略设置，可重复以上操作即可。 4. 手动备份 1. 在数据备份 页签，单击备份策略 ，出现备份策略对话框。 2. 单击手动备份。 5. 查看备份详情 1. 在数据备份页签，单击目标实例所在行详情，弹出备份详情对话框。 2. 当处于备份过程中时，可单击刷新 查看节点备份状态的实时变化。 说明 备份目录：远程对象存储上的备份地址。备份时，系统会在对象存储上建立一个以实例id命名的桶，实例的所有备份数据都回存储在这个桶下面。这里备份地址是全量备份在桶下面的相对路径。 全量备份数据路径：实例名/basebkp年月日/。 增量备份数据路径：实例名/xlogbkp。 6. 删除备份 在数据备份页签，选择需删除的备份文件的目标实例，单击操作列的删除按钮，在出现的对话框中单击确认即可删除指定的备份记录和备份数据。 注意 TeleDB 支持删除一次备份记录，该备份记录对应在对象存储上的备份数据也会同步删除，请谨慎操作。

本章节主要介绍密钥与密码。 创建密钥对 操作场景 为安全起见，物理机登录时建议使用密钥方式进行身份验证。因此，您需要使用已有密钥对或新建一个密钥对，用于远程登录身份验证。 新建密钥对 如果没有可用的密钥对，需要新建一个密钥对，生成公钥和私钥，并在登录物理机时进行鉴权。创建密钥对的方法如下： 通过管理控制台创建密钥对，公钥自动保存在系统中，私钥由用户保存在本地。 通过puttygen.exe工具创建密钥对，公钥和私钥均保存在用户本地。 使用已有密钥对 如果本地已有密钥对，可以直接选择管理控制台的“导入密钥对 > 选择文件”导入密钥。 约束与限制 当前支持的加解密算法为： SSH2（RSA，1024） SSH2（RSA，2048） SSH2（RSA，4096） 私钥是保证您的物理机安全的重要手段之一，用于SSH登录身份认证，为保证物理机安全，只能下载一次，请妥善保管。 通过管理控制台创建密钥对 1.登录天翼云，进入控制中心。 2.选择“计算 > 物理机服务”。 3.在左侧导航树中，选择“密钥对”。 4.在“密钥对”页面，单击“创建密钥对”。 5.输入密钥名称。 6.单击“确定”。 7.在系统弹出的提示框中单击“确定”。 请根据提示信息，查看并保存私钥。为保证安全，私钥只能下载一次，请妥善保管。

本章节主要介绍翼MapReduce的配置密码策略操作。 操作场景 根据业务安全需要，管理员可以在FusionInsight Manager设置密码安全规则、用户登录安全规则及用户锁定规则。 须知 密码策略涉及用户管理的安全性，请根据企业安全要求谨慎修改，否则会有安全性风险。 修改密码策略之后，再修改用户密码，此时新的密码策略才会生效。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 安全策略 > 密码策略”。 3. 具体参数参见下表。 密码策略参数说明 参数名称 描述 最小密码长度 密码包含的最小字符个数，取值范围为8～32。默认值为“8”。 字符类型的数目 密码字符包含大写字母、小写字母、数字、空格和特殊符号（包含~!?,.:;'(){}[]/<>@ $%^&+ 密码连续错误次数 用户输入错误密码超过配置值后将锁定，取值范围为3～30。默认值为“5”。 用户锁定时间（分钟） 满足用户锁定条件时，用户被锁定的时长，取值范围为5～120。默认值为“5”。 密码有效期（天） 密码有效使用天数：取值范围0～90，0表示永久有效，默认值为“90”。 重复使用规则 修改密码时，不允许使用最近N次使用过的密码，N1～5，默认为“1”。此策略只影响“人机”用户。 密码失效提前提醒天数 密码失效提前提醒天数：表示提醒密码失效到密码真正失效的天数。提前一段时间提醒密码即将失效。设置后，若集群时间和该用户密码失效时间的差小于该值，则说明用户进入密码失效提醒期。用户登录FusionInsight Manager界面时会提示用户密码即将过期，是否需要修改密码。取值范围为“0”“X”，（“X”为密码有效期的一半，向下取整）。“0”表示不提醒，默认值为“5”。 认证失败次数重置时间间隔（分钟） 密码输入错误次数保留的时间间隔，取值范围为0～1440。“0”表示永远有效，“1440”表示1天。默认值为“5”。 4. “确定”保存配置。修改密码策略之后，再修改用户密码，此时新的密码策略才会生效。

天翼云AOne 安卓版本应用权限列表 权限名称 权限说明 具体场景或目的 INTERNET 允许应用访问网络 用于优化服务过程中的网络质量，wifi/4g网络切换状态下的网络服务保障 ACCESSNETWORKSTATE 检测网络连接状态 用于优化服务过程中的网络质量，wifi/4g网络切换状态下的网络服务保障 ACCESSWIFISTATE 获取WIFI连接状态 用于优化服务过程中的网络质量，wifi/4g网络切换状态下的网络服务保障 REQUESTINSTALLPACKAGES 允许进行应用安装 用于更新应用，检测用户是否具备使用产品功能的条件，优化体验 REQUESTIGNOREBATTERYOPTIMIZATIONS 忽略电池优化 允许VPN服务能够在后台运行服务（国内手机系统可能无法生效，需要用户到设置中手动开启，不同机型出来的权限蒙版不一样，有一些机型因为不需要用户确认没有弹出蒙版） MODIFYAUDIOSETTINGS 修改音频设置 会议服务：设置音频模式 RECORDAUDIO 录制音频 AI应用中心：以语音的方式与AI进行交互、语音输入，收集语音信息（语音转文本信息） 音视频会议：发言、传输音视频流 CAMERA 拍摄照片和视频 AI应用中心：拍摄图片，收集图片信息 消息服务：使用摄像头拍照发送图片或视频 音视频会议：开启视频、设置虚拟背景 邮件服务：使用摄像头拍摄照片 消息服务：使用摄像头拍摄照片 个人信息：拍照上传头像 WAKELOCK 唤醒设备 保持设备唤醒状态，避免某些场景下系统休眠之后导致的VPN连接异常情况。 WRITEEXTERNALSTORAGE 写入外部存储 消息服务：发送照片、文件 邮件服务：上传附件、保存邮件附件至本地、从本地选择文件插入邮件 消息服务：下载文件，保存图片 READEXTERNALSTORAGE 读取外部存储 日程服务：在日程中添加文件 消息服务：发送照片、文件 邮件服务：上传附件、保存邮件附件至本地、从本地选择文件插入邮件 消息服务：发送图片、发送文件 MANAGEEXTERNALSTORAGE 管理所有外部存储 文件管理增强（android10以上版本申请，权限等同于WRITEEXTERNALSTORAGE 和READEXTERNALSTORAGE） READMEDIAIMAGES 读取媒体图片 消息服务：从相册选择图片发送 AI应用中心：从相册上传照片 邮件服务：从相册选择图片插入邮件 USEBIOMETRICUSEFINGERPRINT 生物识别/指纹 使用生物识别/指纹进行登录 BLUETOOTHBLUETOOTHADMIN BLUETOOTHCONNECT 蓝牙权限 会议中使用蓝牙设备 SYSTEMALERTWINDOW 悬浮窗权限 会议服务：用于会议的悬浮窗功能 READPHONESTATE 读取电话状态权限 会议服务：用于来电时自动禁用会议服务的扬声器和麦克风

本节主要介绍云数据库GeminiDB的权限管理。 如果您需要对购买的云数据库 GeminiDB资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并授权控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有云数据库 GeminiDB的使用权限，但是不希望他们拥有删除云数据库 GeminiDB等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云数据库 GeminiDB，但是不允许删除云数据库 GeminiDB的权限策略，控制他们对云数据库 GeminiDB资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云数据库 GeminiDB服务的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 关于IAM的详细介绍，请参见《IAM产品介绍》。 云数据库 GeminiDB权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云数据库 GeminiDB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如广州4）对应的项目（cngdgz1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问云数据库 GeminiDB时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 如表1所示，包括了云数据库 GeminiDB的所有系统权限。 表1 云数据库 GeminiDB系统权限 策略名称/系统角色 描述 类别 依赖关系 GeminiDB FullAccess 云数据库 GeminiDB服务所有权限。 系统策略 创建包周期实例需要配置CBC权限： bss:balance:view bss:balance:update bss:order:view bss:order:pay bss:order:update bss:renewal:view bss:renewal:update 退订包周期实例需要配置CBC权限： bss:unsubscribe:update GeminiDB ReadOnlyAccess 云数据库 GeminiDB服务只读权限。 系统策略 无 表2列出了云数据库 GeminiDB常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 GeminiDB FullAccess GeminiDB ReadOnlyAccess 创建实例 √ x 查询实例列表 √ √ 查询实例详情 √ √ 查询任务列表 √ √ 删除实例 √ x 重启实例 √ x 重置密码 √ x 变更实例安全组 √ x 修改数据库端口 √ x 绑定/解绑公网IP √ x 磁盘扩容 √ x 规格变更 √ x 节点扩容 √ x 节点缩容 √ x 修改备份策略 √ x 重命名实例 √ x 创建手动备份 √ x 查询备份列表 √ √ 恢复到新实例 √ x 删除备份 √ x 创建参数模板 √ x 查询参数模板列表 √ √ 修改参数模板 √ x 删除参数模板 √ x 查询企业项目配额管理列表 √ √ 修改企业项目配额 √ x 切换SSL开关 √ x 停止备份 √ x 表3列出了云数据库 GeminiDB常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表3 常用操作与对应的授权项 操作 授权项 授权范围 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建页需要查询对应的VPC、子网、安全组。 创建实例 nosql:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询实例详情 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 查询任务列表 nosql:task:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例 nosql:instance:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例需要同时删除数据侧IP地址。 重启实例 nosql:instance:restart 支持： IAM项目(Project) 企业项目(Enterprise Project) 重置密码 nosql:instance:modifyPasswd 支持： IAM项目(Project) 企业项目(Enterprise Project) 变更实例安全组 nosql:instance:modifySecurityGroup 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改数据库端口 nosql:instance:modifyPort 支持： IAM项目(Project) 企业项目(Enterprise Project) 绑定公网IP nosql:instance:bindPublicIp 支持： IAM项目(Project) 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 解绑公网IP nosql:instance:unbindPublicIp 支持： IAM项目(Project) 不支持企业项目 不支持细粒度 磁盘扩容 nosql:instance:modifyStorageSize 支持： IAM项目(Project) 企业项目(Enterprise Project) 规格变更 nosql:instance:modifySpecification 支持： IAM项目(Project) 企业项目(Enterprise Project) 节点扩容 nosql:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 节点缩容 nosql:instance:reduceNode 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除集群节点。 修改备份策略 nosql:instance:modifyBackupPolicy 支持： IAM项目(Project) 企业项目(Enterprise Project) 重命名实例 nosql:instance:rename 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建手动备份 nosql:backup:create 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询备份列表 nosql:backup:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 下载备份文件 nosql:backup:download 支持： IAM项目(Project) 企业项目(Enterprise Project) 恢复到新实例 nosql:backup:restoreToNewInstance vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 加密实例需要在项目上配置KMS Administrator权限。 备份恢复到已有实例 nosql:backup:restoreToExistInstance 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除备份 nosql:backup:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建参数模板 nosql:param:create 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询参数模板列表 nosql:param:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改参数模板中的参数值 nosql:param:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) 变更实例下节点的参数配置 nosql:instance:modifyParameter 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除参数模板 nosql:param:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 标签操作 nosql:instance:tag tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 标签列表 nosql:tag:list tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询企业项目配额管理列表 nosql:quota:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改企业项目配额 nosql:quota:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换审计日志开关 nosql:instance:switchAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 下载审计日志 nosql:instance:downloadAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除审计日志 nosql:instance:deleteAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 更新慢日志明文开关 nosql:instance:modifySlowLogPlaintextSwitch 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换SSL开关 nosql:instance:switchSSL 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改内网IP nosql:instance:modifyPrivateIp 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换主备节点 nosql:instance:switchover 支持： IAM项目(Project) 企业项目(Enterprise Project) 数据库补丁升级 nosql:instance:upgradeDatabaseVersion 支持： IAM项目(Project) 企业项目(Enterprise Project) 停止备份 nosql:backup:stop 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询日志配置组 lts:groups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询日志配置流 lts:topics:get 支持： IAM项目(Project) 企业项目(Enterprise Project)

本章节主要介绍翼MapReduce服务的API使用说明。 OpenAPI门户提供了产品的API文档、API调试、SDK中心等信息与能力。 您可以前往OpenAPI门户，了解如何使用翼MapReduce服务的API，详情请参见使用API。您可以在OpenAPI门户内了解调用前必知、API概览、如何调用API以及详细的接口说明。

本文将为您介绍通过云企业路由器实现专线入云访问多VPC。 应用场景 本地IDC通过一条物理专线接入天翼云华北2地域，实现本地IDC网络与天翼云华北2地域中的多个VPC网络互通，该场景适合在支持云企业路由器的资源池使用。 本地IDC接入天翼云华北2地域的物理专线，配置如下。 物理专线名称 互联地址（天翼云侧） 互联地址（用户侧） 掩码 VLAN 物理专线 10.250.0.1 10.250.0.2 255.255.255.252 100 天翼云华北2地域的VPC，配置如下。 VPC名称 VPC网段（IPv4） 子网网段（IPv4） VPC1 10.10.0.0/16 10.10.0.0/24 VPC2 10.20.0.0/16 10.20.0.0/24 前提条件 1、在天翼云华北2已创建一条物理专线，具体操作说明详见创建物理专线。 2、在天翼云华北2已创建一个专线网关，具体操作说明详见创建专线网关。 3、在天翼云华北2已创建一个云企业路由器，具体操作说明详见创建云企业路由器。 4、在天翼云华北2已创建两个VPC，具体操作说明详见创建VPC。

本章节主要介绍如何进行集群服务管理操作。 集群创建成功后，用户可以根据实际业务场景，新增此前未安装的集群服务，用于满足日渐丰富的业务需求。 背景信息 1. V2.15版本起，翼MR集群支持集群服务管理功能。 2. 仅支持对状态为“运行中”的集群新增集群服务。 3. 部分组件部署时依赖其他组件，在勾选此类服务时，会同时勾选被依赖组件。详情请参考组件依赖关系表。 操作步骤 1. 登录翼MapReduce管理控制台。 2. 从“我的集群”中 ，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 选择“集群服务管理”，在页面中勾选需要新增的服务，并点击“部署”按钮进行新增服务。新增Hive与Ranger组件时，需填写元数据配置，点击“确定”将自动进行连接性测试，测试无误将启动部署。 4. 部署完成后，服务状态变为“部署完成”，用户可在“翼MR Manager”的“集群服务”中查看服务详情。

本节介绍天翼云手机（政企版）管理操作流程 操作场景 您可以对已开通天翼云手机（政企版）进行重命名、开机、关机、重启、重装、规格变更、系统盘扩容、锁定、续订、用户解绑、用户绑定、退订、切换vpc、设置IP和Mac等操作。 管理云手机 1.登录“云手机”控制台； 2.点击“云手机管理”，进入“云手机管理”页面； 3.在需要重命名云手机所在行，点击云手机名称，弹出“云手机名称修改”对话框，可进行云手机名称的修改。 4.在需要进行远程操作的云手机所在行，点击“操作”，可对云手机进行“开机/关机/重启/重装”操作； 5.在需要进行管理的云手机所在行，点击“管理”，可对云手机进行“规格变更/系统盘扩容/锁定/续订/退订/用户解绑/用户绑定”等操作。 注意：由于退订操作会导致云手机资源回收和云手机系统盘清理，云手机数据将无法恢复，因此，在退订前请您做好数据备份工作。 规格变更 1.进入“云手机”控制台； 2.点击“云手机管理”，进入“云手机管理”页面； 3.在需要变更规格的云手机所在行，点击“管理”，点击“规格变更”操作，进入“规格变更”页面； 4.根据需求选择需要变更的规格； 5.点击“立即订购”，支付成功后，即完成云手机的规格变更。 系统盘扩容 1.进入“云手机”控制台； 2.点击“云手机管理”，进入“云手机管理”页面； 3.在需要变更规格的云手机所在行，点击“管理”，点击“系统盘扩容”操作，进入“系统盘扩容”页面； 4.根据需求选择扩容的容量； 5.点击“立即订购”，支付成功后，即完成云手机的系统盘扩容。

本文介绍天已支持翼云APP产品控制台的云产品。 天翼云支持在天翼云APP对云产品进行管理。 天翼云APP产品控制台支持的云产品 1、弹性云主机（一类节点） 2、天翼云电脑（政企版）（一类节点） 3、分布式消息服务Kafka（一类节点） 4、分布式缓存服务Redis版（一类节点） 5、云容器引擎（一类节点） 6、关系数据库MySQL版（一类节点 II 类型资源池） 7、媒体存储（通用） 8、对象存储（经典版）I型（一类节点） 9、备案（通用） 更多产品管理控制台正在接入中，敬请期待，如对产品控制台有任何建议，欢迎提交建议与反馈