本文介绍了云防火墙等保合规能力说明 检查项分类安全控制点风险等级 等保合规检查项 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络网络架构中 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 云防火墙提供访问控制机制和入侵防护能力，开启防护后能够自动阻断互联网与VPC之间的威胁访问，为用户提供自动的边界防护能力。 入侵防护 访问控制 安全区域边界边界防护高 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应能够对非授权设备私自连到内部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 入侵防护 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 入侵防护 安全区域边界入侵防范中 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 入侵防护 安全区域边界访问控制高 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 云防火墙提供默认拒绝所有通信的访问控制策略，只允许通行策略相关会话通信。 访问控制 安全区域边界访问控制中 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 云防火墙提供流量记录功能，能够记录所有防火墙的通信会话行为，可通过对防火墙网络通信判断访问规则的有效性，从而实现访问控制规则最小化。 访问控制 安全区域边界访问控制高 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 访问控制 安全区域边界访问控制中 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 支持根据FTP等会话的状态信息设置对会话的允许/拒绝访问能力，控制粒度为端口级。 访问控制 安全区域边界访问控制中 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 支持DNS等应用协议和下载等应用内容进行访问控制。 访问控制 安全区域边界安全审计高 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 云防火墙提供日志审计功能，可以记录所有流量日志、访问控制日志、入侵防护日志和操作日志。 日志审计 安全区域边界安全审计中 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 云防火墙提供日志记录事件功能，包括：时间、告警名称、攻击类型、源/目IP字段、等级等。 日志审计 安全区域边界安全审计中 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 云防火墙提供日志分析功能，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计 安全区域边界安全审计中 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 云防火墙提供日志分析功能，记录所有流量访问日志，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计

本节为您介绍镜像服务最佳实践汇总。 本节汇总了基于镜像服务常见应用场景的操作实践，每个实践为您提供详细的方案描述和操作指导，帮助您轻松构建基于镜像的相关业务。 最佳实践 说明 跨账号同区域迁移云主机（迁移系统盘） 本节操作以Linux操作系统为例，为您详细介绍在同一区域内，跨帐号迁移系统环境数据（只迁移系统盘数据）的操作流程。 跨账号同区域迁移云硬盘（迁移数据盘） 本节操作以Linux操作系统为例，为您详细介绍在同一区域内，跨帐号迁移业务数据（只迁移数据盘数据）的操作流程。 转换镜像格式 本节提供本地为Windows操作系统和Linux操作系统的转换镜像格式的操作方法。 麒麟系统云主机配置图形化界面 麒麟系统云主机默认没有安装图形化界面，本节为您介绍如何安装图形化界面。 Windows操作系统云主机磁盘空间清理 清理Windows操作系统云主机的磁盘空间可以帮助您释放存储空间并提升系统性能。本节为您介绍一些常见的磁盘空间清理步骤和建议。 统信系统本地源方式安装GUI图形化组件 本节为您介绍如何以本地源方式为统信系统安装GUI图形化组件。 使用Packer制作私有镜像 本文为您介绍，如何使用Packer工具快速制作私有镜像文件，以便您通过镜像导入功能上传私有镜像。 openGauss数据库调优镜像最佳实践 本文为您介绍，天翼云与 openGauss 社区联合推出的openGauss数据库调优镜像，使用该镜像，用户可快速部署 openGauss 数据库，并获得优于默认配置的性能表现。

本文为您介绍通过IAM用户控制资源访问的具体操作。 在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对云服务器ECS资源的访问。 操作步骤 创建IAM子用户 具体操作，请参见统一身份认证 IAM。 创建自定义策略 天翼云提供了访问云服务器ECS资源的系统策略，更多信息，请参见“1.2权限管理”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见统一身份认证 IAM。 策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。 细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。 策略版本号：Version标识策略结构的版本号，目前为1.1。 策略授权语句：Statement，包括了基本元素：作用（Effect）和权限集（Action）。 作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。 授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。 1. 脚本配置策略示例一：为IAM子用户配置云主机查看者权限。 2. 脚本配置策略示例二：为IAM子用户配置云主机所有操作权限，以及vpc的所有操作权限（代表取所有值）。

本文介绍网站性能测试的最佳实践。 天翼云通用型S6、计算增强型C6 等新一代云主机上提供超高网络性能，您可通过本实践提供的 netperf 和 DPDK 两种网络性能测试方法，进行云主机高吞吐网络性能测试。 推荐选择 netperf 方法进行测试，netperf 为通常使用的测试方法，可满足大多数测试场景。但当云主机配置较高（pps 超过1000万且带宽大于50Gbps）时，netperf包含云主机机内核协议栈的完整处理路径对网络性能损耗较大，而 DPDK 可屏蔽虚拟机内核协议栈的差异，获取虚拟机网卡的网络性能，此时可选择 DPDK 方法进行测试。 netperf测试 工具介绍 Netperf HP 开发的网络性能测量工具，主要测试 TCP 及 UDP 吞吐量性能。测试结果主要反应系统向其他系统发送数据的速度，以及其他系统接收数据的速度。 SAR 用于监控网络流量，运行示例如下： plaintext sar n DEV 1 02:41:03 PM IFACE rxpck/s txpck/s rxkB/s txkB/s rxcmp/s txcmp/s rxmcst/s 02:41:04 PM eth0 1626689.00 8.00 68308.62 1.65 0.00 0.00 0.0002:41:04 PM lo 0.00 0.00 0.00 0.00 0.00 0.00 0.0002:41:04 PM IFACE rxpck/s txpck/s rxkB/s txkB/s rxcmp/s txcmp/s rxmcst/s 02:41:05 PM eth0 1599900.00 1.00 67183.30 0.10 0.00 0.00 0.0002:41:05 PM lo 0.00 0.00 0.00 0.00 0.00 0.00 0.00 sar n DEV 1：该命令每秒钟报告一次网络设备的性能统计信息

本实践将为您介绍如何用最低成本使用弹性伸缩应对周期性波动业务场景。 场景描述 此类场景的业务流量波动通常是有规律的周期性波动，在特定时间内业务流量较大，高峰期一过业务流量降低直到恢复正常。例如学习平台、直播平台等在20：00前后用户业务的访问量处于峰值，而22：00之后的流量会降低回到正常值。 解决方案 可以使用弹性伸缩创建低成本业务集群，根据业务流量的波动周期来自动扩缩容业务集群内的计算资源，减少成本浪费。方案详解如下： 针对日常业务流量，购买包年包月云主机实例，并将其加入弹性伸缩组做以日常监控，为其设置保护状态，避免被移除影响日常计算需求。 为伸缩组创建定时/周期策略来应对周期性的流量波动。 前提条件 在做本实践之前，请确保您已经注册了天翼云账号，并确保您的账户中有充足的余额，具体步骤请参见准备工作。 操作步骤 本实践共分为三大步： 步骤一：创建包年包月弹性云主机实例 步骤二：创建伸缩组并添加云主机实例 步骤三：根据业务需求创建伸缩策略（周期策略）

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的Bot情报库功能。 功能介绍 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前Bot虫情报库已维护接近10万条数据。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持Bot防护相关功能。 背景信息 边缘安全加速平台安全团队基于天翼云积累的海量威胁情报库，并经过离线分析技术，收集国内外公开的、已知的恶意爬虫IP；另外，通过反向解析技术，收录了众多SE类别的爬虫信息，两者结合形成爬虫情报库，内置近10万条友好爬虫与已知恶意爬虫IP信息，目前仍持续更新中。 针对已知爬虫，边缘云WAF为爬虫情报进行标识与分类，例如搜索引擎类的爬虫，分为谷歌爬虫、360爬虫、百度爬虫等各类标识，您可以仅针对其中的某类搜索引擎标识进行加白的动作，则后续此类爬虫IP将不经过边缘云WAF的Bot防护策略。对于恶意爬虫，您也可以对其进行一键封禁的操作，边缘云WAF将会对其进行拦截，避免网站业务遭受已知恶意爬虫的攻击。

本文介绍天翼云AOne会议应用场景。 AOne会议常见应用场景如下： 应用场景 业务痛点 AOne会议解决方案 智慧办公 跨地域团队协作成本高、效率低。 远程办公体验差，会议频繁卡顿或中断。 会议信息分散，事后难以追踪和整理。 提供高质量音视频会议，支持千人级会议稳定并发。 支持云录制、屏幕共享等功能，提升远程协同效率。 支持多端登录与移动办公，随时随地召开会议。 支持云录制视频下载和转写内容导出，方便会后任务跟进与知识沉淀。 远程医疗 医疗资源分布不均，专家会诊成本高。 医患沟通效率低，传统方式难以实时响应。 医疗系统安全要求高，需保障数据传输安全合规。 支持高清视频连线，可开展远程会诊、线上查房、远程培训等。 提供会议加密、水印追踪，保障医疗数据与隐私安全。 结合信创兼容能力，支持在合规环境下的部署落地。 支持共享影像资料、语音转写记录会诊过程，提升沟通效率、加强信息留存。 政企服务 跨部门、跨地区沟通流程繁琐。 政府系统对国产化、数据安全有严格要求。 政务会议需要留痕、可审计、可复用。 支持多地多方远程接入，实现跨部门、跨地区协同会议。 具备全链路国产化适配能力。 支持会议过程云录制、语音转写与水印留痕，满足合规与审计要求。 提供会议预约管理、主持权限管控，确保会议组织规范高效。

功能特性 说明 SLA 99.95% 即开即用 您可以通过控制台实时创建目标实例，配合弹性云主机一起使用，通过弹性云主机内网连接文档数据库，有效地降低应用响应时间。通过本地设备访问实例时，可以为其绑定弹性IP，通过弹性IP连接文档数据库。 完全兼容 文档数据库服务是面向文档型的NoSQL数据库，完全兼容MongoDB协议。 可视化运维 控制台提供可视化实例管理平台，对实例重启、备份、数据恢复等高频需求实现一键式便捷操作。 数据安全 通过虚拟私有云、子网、安全组、存储加密、DDoS防护等多层安全防护体系，有力地抗击各种恶意攻击，保证数据安全。 支持细粒度权限控制。 高可用 集群和副本集支持高可用，一旦Primary节点发生故障导致节点不可用，即可在很短时间内切换到Secondary节点上，切换过程对应用透明。 指标监控 实时监控数据库实例及引擎的关键性能指标，包括CPU、内存使用率，磁盘利用率，command、delete、insert语句执行频率，活跃连接数等指标。 备份与恢复 支持设置自动备份策略和实时手动备份。其中，自动备份保留时长最多达到732天，实时手动备份长期保留。 支持通过备份文件进行数据恢复。 参数配置 控制台支持在线修改并生效配置参数，以及参数组配置管理功能。

本文向您介绍如何查看并导出CC攻击事件详情。 简介 天翼云WAF默认提供CC攻击事件，详细记录CC攻击事件攻击产生的时间、攻击时长和攻击详情，并且支持导出攻击事件。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 开通标准版及以上版本支持开启CC防护，识别CC攻击将自动拦截并生成攻击日志 操作步骤 1. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【CC攻击事件】页面 2. 通过域名、时间周期进行组合查询攻击日志 字段说明： 峰值QPS：CC攻击峰值QPS 攻击开始时间：CC攻击开始的时间 攻击结束时间：CC攻击结束的时间 攻击时长：CC攻击持续的时间 攻击详情：CC攻击QPS变化趋势、攻击请求数最高的前10个客户端IP、被攻击请求数最高的前10个URL

Demo 体验 下面我们进行Discuz!安装，请大家按照步骤进行操作。 1. Discuz!安装，点击“我同意”。 2. 设置运行环境，点击“下一步”。 3. 安装数据库，填入数据库信息、管理员信息。 4. 完成安装，登录Discuz!论坛网站。 当最终出现Discuz!论坛网站页面时，证明操作成功。在天翼云弹性云主机实例上搭建Discuz!论坛网站就完成了。

NVIDIA GPU云主机需要安装驱动后才可以正常使用,本文为您介绍如何选择适合的驱动类型及安装方式。 驱动类型选型概述 天翼云GPU云主机支持安装以下两种NVIDIA驱动： GPU驱动：用于驱动物理GPU，也称Tesla 驱动。 GRID驱动：配套NVIDIA GRID vGPU方案使用、用于获得实时渲染能力。 实例类型 场景 驱动类型 驱动安装方式 GPU计算加速型 (windows) 通用计算 Tesla 驱动 NVIDIA官网下载并安装GPU驱动 GPU计算加速型 (windows) 图形渲染 GRID 驱动 在购买时选择已预装 GRID 驱动的计费镜像 向 NVIDIA 或其代理商购买对应的 License并自行安装GRID 驱动（ 不推荐） GPU计算加速型 (linux) 通用计算 Tesla 驱动 选择预装驱动的公共镜像 创建GPU实例时自动安装GPU驱动 NVIDIA官网下载并安装GPU驱动 GPU计算加速型 (linux) 图形渲染 （离线渲染可使用Tesla驱动，部分实时渲染需使用GRID驱动） Tesla 驱动/GRID 驱动 如安装Tesla驱动 选择预装驱动的公共镜像 创建GPU实例时自动安装GPU驱动 NVIDIA官网下载并安装GPU驱动 如安装GRID驱动 在购买时选择已预装 GRID 驱动的计费镜像 向 NVIDIA 或其代理商购买对应的 License并自行安装GRID 驱动（不推荐） GPU图形加速基础型（windows/linux） 通用计算 GRID 驱动 公共镜像中已预装GRID 驱动，无需单独付费 GPU图形加速基础型（windows/linux） 图形渲染 GRID 驱动 公共镜像中已预装GRID 驱动，无需单独付费 注意 目前仅部分资源池支持勾选“安装GPU驱动”，若目标资源池不支持该功能，且提供的预装驱动镜像无法满足您的要求，请您 参见安装Tesla驱动，手动安装GPU驱动。 目前仅部分资源池提供预装GRID驱动的计费镜像，如您所需资源池无该镜像，请提工单进行加载，预装GRID驱动的计费镜像的收费策略请参见计费说明镜像服务计费说明 天翼云 (ctyun.cn)。

本文带您熟悉删除/退订存储库的操作步骤。 操作场景 若不再使用云主机备份功能，可对存储库进行删除/退订。 按需计费的存储库支持删除操作。 包年包月存储库购买不超过7天可进行退订并享受全额退订，购买超过7天退订属于非七天无理由退订，不限制退订次数，但退订需要收取相应的使用费用和退订手续费，具体退订规则请参见退订规则说明。 约束及限制 退订前需确认存储库内没有备份副本。如果有，需要先删除备份副本再退订存储库。 删除存储库后,存储库内副本将一并删除，删除后将无法找回相关数据并进行恢复。 退订存储库 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 在“云主机备份”页签，选择要退订的存储库，点击操作列下的“更多>退订”。 6. 选择“退订原因”，勾选“我已确认本次退订金额和相关费用”，点击“退订”完成。 7. 退订申请提交成后，您可以在订单详情中查看退订进度。 删除存储库

OpenSearch Dashboards OpenSearch Dashboards提供了直观的可用于创建、共享、交互式的开发、运维数据分析平台。与OpenSearch搭配使用，并提供角色基础访问控制能力。文内或简称为Dashboards。 支持多用户角色的权限管理 支持包括甘特图在内的多种数据呈现方式 支持多种数据统计方式 支持高阶的索引管理能力 支持通知告警功能 支持基于SQL的查询能力 支持CSV、PDF、Excel等文件的报告生成功能 Logstash Logstash是数据管道服务，通过可扩展的输入、过滤和输出体系，实时采集、转换和加载多源异构数据，并灵活对接各类存储与分析平台，是ELK（Elastic Stack）生态的核心组件之一。天翼云提供的全托管的Logstash服务，支持一键部署、可视化管道配置和数据管道集中管理。 支持文件、数据库、消息队列等多种数据源采集 支持灵活的数据处理，如字段提取、数据脱敏等 内置健康检查机制，支持通过API或可视化界面监控数据管道运行状态 Cerebro Cerebro 是一个功能强大且易于使用的云搜索服务管理工具，适合开发、运维和数据分析等多种场景。通过Cerebro可以对实例进行Web可视化管理，如监控实时的磁盘、集群负载、内存使用率等，通过其直观的界面和丰富的功能，用户可以更高效地管理和监控云搜索实例。云搜索服务兼容开源Cerebro，适配0.9.4。 支持可视化数据管理 支持监控实例实时负载

本章节主要介绍翼MapReduce组件Kafka支持的协议类型。 Kafka目前支持4种协议类型的访问：PLAINTEXT、SSL、SASLPLAINTEXT、SASLSSL。 PLAINTEXT是最简单的协议，它以明文形式传输数据，不提供任何加密或身份验证机制。 SSL（Secure Sockets Layer） 是一种安全的协议，用于在客户端和服务器之间加密通信。通过使用 SSL，可以确保数据在传输过程中是加密的，从而提高了安全性。SSL协议通常需要在Kafka服务器上配置SSL证书以进行安全通信。 SASLPLAINTEXT （Simple Authentication and Security Layer with Plain Text）使用简单身份验证机制，通常用于在不使用加密的情况下进行用户身份验证，但是用户名和密码以明文形式传输。 SASLSSL （Simple Authentication and Security Layer with SSL）结合了 SSL 和 SASL，提供了更强大的安全性。它通过 SSL 加密通信，并使用 SASL 进行身份验证。这是Kafka中最安全的选项之一，适用于在不同网络环境中进行安全通信。 在Kafka中，选择适当的协议取决于集群的安全需求和网络环境。

本章节主要介绍翼MapReduce服务HDFS健康检查指标项说明。 发送包的平均时间统计 指标项名称 ：发送包的平均时间统计 指标项含义 ：HDFS文件系统中DataNode每次执行SendPacket的平均时间统计，如果大于2000000纳秒，则认为不健康。 恢复指导： 如果该指标项异常，则需要检查集群的网络速度是否正常、内存或CPU使用率是否过高。同时检查集群中HDFS负载是否过高。 服务健康状态 指标项名称： 服务状态 指标项含义 ：检查HDFS服务状态是否正常。如果节点有故障，则认为不健康。 恢复指导： 如果该指标项异常，建议检查KrbServer、LdapServer、ZooKeeper三个服务的状态是否为异常并处理。然后再检查是否是HDFS SafeMode ON导致的写文件失败，并使用客户端，确认是否无法在HDFS中写入数据，排查HDFS写数据失败的原因。最后参见告警进行处理。 检查告警 指标项名称： 告警信息 指标项含义 ：检查HDFS服务是否存在未清除的告警。如果存在，则认为不健康。 恢复指导： 如果该指标项异常，请参见告警进行修复。

本章主要介绍翼MapReduce的修改Kerberos管理员密码功能。 操作场景 管理员应定期修改Kerberos管理员“kadmin”的密码，以提升系统运维安全性。 修改此用户密码将同步修改OMS Kerberos管理员密码。 前提条件 已在集群内的任一节点安装了客户端，并获取此节点IP地址。 操作步骤 1.以root用户通过节点IP地址登录安装了客户端的节点。 2.执行以下命令，切换到客户端目录，例如“/opt/hadoopclient”。 cd /opt/hadoopclient 3.执行以下命令，配置环境变量。 source bigdataenv 4.执行以下命令，修改kadmin/admin密码。此操作对所有服务器生效。 kpasswd kadmin/admin 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符5种类型字符中的4种。支持的特殊字符为~!?,.;'(){}[]/<>@$%^&+。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码，例如Admin@12345。 不可与最近N次使用过的密码相同，N为密码策略配置中“重复使用规则”的值。

本章节主要介绍翼MapReduce的查看实例配置文件操作。 操作场景 FusionInsight Manager支持在管理页面上直接查看实例节点上实际的环境变量、角色配置等配置文件内容，运维人员在需要快速排查实例对应配置项是否配置错误或者需要查看部分隐藏类型的配置项时，可直接在FusionInsight Manager上进行查看，帮助用户快速分析配置问题。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作的集群名称 > 服务”。 3. 单击服务视图中指定的服务名称，并选择“实例”页签。 4. 单击需要查看配置的实例名称，在概览页面的“配置文件”区域内，系统会显示该实例相关的配置文件列表。 详见下图：查看实例配置文件 5. 单击要查看的配置文件的名称，可查看配置文件内具体的配置参数值内容。 如需获取该配置文件，可单击“下载至本地”按钮，将该配置文件内容下载到本地PC。 说明 集群内的节点故障时，将无法查看配置文件，请修复故障的节点后再查看。

本章节主要介绍翼MapReduce服务隔离主机。 操作场景 用户发现某个主机出现异常或故障，无法提供服务或影响集群整体性能时，可以临时将主机从集群可用节点排除，使客户端访问其他可用的正常节点。在为集群安装补丁的场景中，也支持排除指定节点不安装补丁。 该任务指导用户在MRS Manager上根据实际业务或运维规划手工将主机隔离。隔离主机仅支持隔离非管理节点。 对系统的影响 主机隔离后该主机上的所有角色实例将被停止，且不能对主机及主机上的所有实例进行启动、停止和配置等操作。 主机隔离后无法统计并显示该主机硬件和主机上实例的监控状态及指标数据。 操作步骤 在MRS Manager单击“主机管理”。 1. 勾选待隔离主机前的复选框。 2. 选择“更多 > 隔离主机”。 3. 在“隔离主机”，单击“确定”。 界面提示“操作成功。”，单击“完成”，主机成功隔离，“操作状态”显示为“已隔离”。 说明 已隔离的主机，可以取消隔离重新加入集群，请参见

本章主要介绍翼MapReduce的配置Kafka数据传输加密功能。 操作场景 Kafka客户端和Broker之间的数据传输默认采用明文传输，客户端可能部署在不受信任的网络中，传输的数据可能遭到泄漏和篡改。 操作步骤 默认情况下，组件间的通道是不加密的。用户可以配置如下参数，设置安全通道为加密的。 参数修改入口：在FusionInsight Manager系统中，选择“集群 > 待操作集群的名称 > 服务 > Kafka > 配置”，展开“全部配置”页签。在搜索框中输入参数名称。 说明 配置后应重启对应服务使参数生效。 Kafka服务端的传输加密相关配置参数详见下表。 配置项 描述 默认值 ssl.mode.enable 是否开启SSL对应服务。如果设置为“true”，那么Broker启动过程中会启动SSL的相关服务。 false security.inter.broker.protocol Broker间通信协议。支持PLAINTEXT、SSL、SASLPLAINTEXT、SASLSSL这四种协议类型。 SASLPLAINTEXT “ssl.mode.enable”配置为“true”后，Broker会开启SSL、SASLSSL两种协议的服务，然后服务端或者客户端才能配置相关的SSL协议，进行传输加密通信。

本章节主要介绍翼MapReduce的下载日志操作。 操作场景 FusionInsight Manager支持批量导出各个服务角色所有实例生成的日志，无需手工登录单个节点获取。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“运维 > 日志 ＞ 下载”。 3. 选择日志下载范围。 “服务”：单击勾选所需服务。 “主机”：填写服务所部署主机的IP，也可单击勾选所需主机。 单击右上角的设置日志的起始收集时间“开始时间”和“结束时间”。 4. 单击“下载”完成日志下载。 下载的日志压缩包中会包括对应开始时间和结束时间的拓扑信息，方便查看与定位。 拓扑文件以“topo .txt”命名。文件内容包括节点IP、节点主机名以及节点所安装的服务实例（OMS节点以“Manager:Manager”标识）。 例如： 192.168.204.124suse124DBService:DBServer;KrbClient:KerberosClient;LdapClient:SlapdClient;LdapServer:SlapdServer;Manager:Manager;meta:meta

本文介绍配置安全组的入方向规则的最佳实践。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。 弹性云主机是天翼云提供的云服务器。安全组（Security Group）是用于设置云服务器实例的网络访问控制的虚拟防火墙，一般是作为流量访问白名单存在，以下是一些ECS安全组的最佳实践： 开放原则 默认拒绝所有流量：新建的安全组规则默认情况下拒绝所有入站和出站流量，这是一种良好的安全实践。 仅开放必要的端口和协议，避免使用0.0.0.0/0规则：根据应用需求，只开放必要的端口和协议，例如HTTP（80端口）、HTTPS（443端口）等。避免开放不必要的端口，以减少攻击面。 分组原则 根据应用需求进行分组：根据应用程序或服务的需求，可以将安全组规则进行分组。例如，将Web服务器相关的规则放在一个Web层安全组中，数据库服务器相关的规则放在另一个Database层安全组中。这样可以更好地管理和组织安全组规则，暴露不同的出入规则和权限。 避免过度复杂化：尽量避免创建过多的安全组，以免管理和维护变得复杂。根据实际情况合理划分安全组，保持简洁和易于管理。 授权原则 基于最小权限原则：为安全组授权时，应遵循最小权限原则，仅授予实例所需的访问权限。只开放必要的端口和IP地址范围，避免授权过度，减少潜在的安全风险。 限制访问来源：根据实际需求，限制访问来源的IP地址或IP地址段。仅允许特定的IP地址或IP地址段访问云主机，以增加安全性。

操作说明 本方案基于 天翼云 ROS（资源编排服务）控制台，实现云主机批量快速创建与销毁，有效提升资源交付效率，降低人工运维成本。 方案内置两类标准化编排模板，分别支持同配置批量创建 与多规格差异化创建两种场景，用户可根据业务规模与实例需求灵活选用，快速完成批量资源部署。 适用场景 云主机批量快速搭建 多环境标准化批量部署 临时业务资源快速创建与释放 操作步骤 1. 登录控制中心。 2. 在控制台首页搜索“资源编排ROS”，或在左侧产品导航栏选择“管理工具 > 资源编排ROS”，进入资源编排控制台。 3. 在左侧导航栏选择 模板管理。 4. 在模板管理页面，单击创建模板， 可参考创建模板完成模板配置。 5. 模板默认基于华东1资源池, 可以根据需要可以进行调整。 模板1：创建多台相同配置云主机，模板使用count语法实现 java terraform { requiredproviders { ctyun { source "ctyunit/ctyun" version "2.1.0" } } } provider "ctyun" { azname var.azname } variable "azname" { type string default "cnhuadong1jsnj1Apublicctcloud" description "可用区名称" } variable "instancename" { type string default "testecs" description "云主机名称" } variable "instancecount" { type number default 4 description "云主机数量" } variable "imageid" { type string default "f9415853b07d4dd8afb7f48e10de151e" description "镜像ID" } variable "flavorname" { type string default "c7.xlarge.2" description "规格名称" } variable "systemdisktype" { type string default "SAS" description "系统盘类型" } variable "systemdisksize" { type number default 40 description "系统盘大小" } variable "password" { type string sensitive true description "密码" } variable "bandwidth" { type number default 10 description "公网带宽" }

本文介绍如何在组网配置中管理链路。 背景说明 AOne零信任通过分支网关将企业的分支、总部、IDC 机房或者云服务就近接入AOne网络（POP 节点），进而在云上实现企业分支网络的互联互通，可支持在链路管理中精细化管理链路配置。在您要完成企业分支互联之前，您需要在零信任控制台将连接器关联到组网配置中。首次创建组网会根据关联的连接器分支自动生成所有链路。您可以在链路管理中对互联链路进行增删改查。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任网络组网管理，查看组网配置列表。 4. 点击需要修改的组网配置，点击链路管理。 链路管理 您可以在链路管理里，查看已关联的链路以及对应的链路配置。 列表字段说明如下： 字段 字段说明 链接名称/区域 针对双向连接的连接器集群的名称、对应区域。 链接类型 加速链路：即通过POP节点进行加速选路。 连接链路：即仅两个连接器互联，不经过加速POP。 链路状态 异常：即链路不互通，可能存在一定问题，需要进行分析、查看。 正常：正常运行中。 关联连接器/应用 连接器集群名称以及对应下的应用情况。 当前时延 展示当前的时延情况。 当前丢包 展示当前的丢包情况。 当前抖动 展示当前的抖动情况。

本文介绍如何在组网配置中继续关联新连接器，从而进行新互联链路的编排。 背景说明 AOne零信任通过分支网关将企业的分支、总部、IDC 机房或者云服务就近接入AOne网络（POP 节点），进而在云上实现企业分支网络的互联互通。在您要完成企业分支互联之前，您需要在零信任控制台将连接器关联到组网配置中。除了组网配置创建时可以快捷关联连接器，也可以在组网创建之后继续关联其他连接器，从而完成组网配置。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任网络组网管理，查看组网配置列表。 4. 点击需要修改的组网配置，点击连接器关联。 关联连接器列表 您可以在连接器关联里，继续关联其他连接器，从而完成组网配置。 列表字段说明如下： 字段 字段说明 连接器集群名称/ID 连接器集群名称：即自定义的连接器集群名称。 连接器集群ID：提供ID，代表连接器集群的唯一性。 计费区域 展示当前连接器集群绑定的计费区域：中国内地、香港、亚太、美洲、欧洲、中东非。 关联应用 展示当前连接器集群中允许互访的应用名称和数量。 首次关联时间 展示当前连接器集群首次关联该组网的时间。 操作 取消关联：取消关联连接器集群后，该集群与组网配置内的所有连接将立即中断，请谨慎操作。

本文为您介绍如何管理防护事件，以及防护事件日志中包含的字段含义。 云WAF将攻击防护的事件详情记录在事件报表中，用户可在事件列表中查看攻击时间、攻击IP、攻击类型、攻击URL、地理位置、处置动作、命中规则ID、攻击详情等。具体功能如下： 支持查看所选时间范围内的防护事件，查询时间支持选择昨天、今天、近3天、近7天、近30天或自定义时间。 提供防护事件多级查询，筛选条件包括域名、攻击类型、攻击IP、防护模块、处置动作、规则ID、请求UUID等。 支持将列表数据下载到本地。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入并正常防护。 查询防护事件 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 查询防护事件”，进入防护事件页面。 5. 在防护事件列表上方，可以设置筛选条件，支持设置多项匹配条件。 查询条件字段参数说明： 参数名称 参数说明 防护对象 选择想要查看的防护对象，支持选择各防护模式下的所有防护对象或某个防护对象。 时间选择 可查看“昨天”、“今天”、“近3天”、“近7天”、“近30天”或者自定义时间范围内的防护日志。 攻击类型 发生的攻击类型。默认为全部攻击类型，也可以根据需要，选择攻击类型查看攻击日志信息。 攻击IP Web访问者的公网IP地址，默认为全部，也可以根据需要输入攻击者IP地址查看攻击日志信息。 防护模块 按防护模块进行筛选。 处置动作 防护配置中设置的防护动作，包含：观察、拦截、放行、验证码、JS验证、重定向、重置连接、全部脱敏、动态拦截、限速。 规则ID 攻击触发的防护规则ID。 UUID关键字 请求对应的唯一标识。 6. 筛选条件设置完成后，点击“查询”，筛选后的结果将在列表中展示，可通过右侧的“事件列表显示设置”按钮对攻击事件的字段进行自定义展示。 说明 CC攻击事件页签分别展示CC攻击事件数 和CC攻击次数，例如：页签显示CC攻击事件（1/3），实际含义为出现总计1次CC攻击事件数，一共有3次CC攻击。 事件显示字段支持自定义设置和重新排序，同时可以控制是否在新标签页中查看攻击事件详情。

本小节介绍域名无忧计费类常见问题。 域名无忧是付费产品吗？ 天翼云域名无忧作为天翼云安全业务的一个重要产品，作为付费的增值服务产品提供给天翼云客户，需要用户购买。 域名无忧是否支持试用？ 支持试用。 试用期为1个月，试用套餐包括1个域名监控，1次域名刷新。

参数 说明 详细说明 参考取值 备份计划名称 您可自定义计划名称 可不填，系统自动生成。只能由数字、字母、组成，不能以数字和开头、且不能以结尾。 backupPalserver ECS名称 云主机名称 备份计划绑定的云主机名称。 ecmxxxx 存储库名称 计划绑定存储库的名称 存储库和备份的服务器需在同一区域。 test 备份目录规划 备份计划中设置的备份目录。显示计划中指定、排除文件目录或文件的规则信息 可选择全部目录 、指定目录或高级规则 。 全部目录：选择全部目录后，备份系统会自动过滤系统特殊目录，这些目录将不会加入备份计划，如/dev、/proc、/sys。 指定目录：选择指定目录后，需要指定备份文件路径。单击新增目录可自定义多个备份目录，最多可以添加10条。 路径输入规则：不能包含/dev、/proc、/sys或子目录；不支持通配符，且必须为绝对路径；单条备份路径的字符最长为4095。 高级规则：您可以指定目录加入备份计划。同时可以通过“备份文件规则”选择文件加入备份计划。提供包括所有文件 、 包含下列文件 、排除下列文件三种规则。包含和排除文件需要用户手动输入路径或者文件。路径输入规则同上。 说明 文件列表路径必须在备份文件路径之下。 指定目录； 备份文件路径填写确认好的服务器数据存档地址 备份周期 配置备份计划执行的时间间隔 间隔时间单位为每月、每周、每天、每小时。 每月：指定在每月的几日几时进行备份。 每周：指定在每周的周几几时进行备份。 每天：指定在每天的几时进行备份。 每小时：每小时进行一次备份。 每小时 保留规则 配置保留备份副本的时间 提供按时间和永久保留两种规则。 按时间：当选择按时间保留时，需要配置保留该备份的时间。时间单位：天、周、月、年。 说明 最小保留周期为1天，最大输入9999年。 永久保留：系统不会自动删除备份，直至您手动删除。 永久保留

本文介绍多台云主机实例批量挂载同一文件系统的操作方法。 操作场景 海量文件服务适用于共享访问的场景，当业务中需要使用多台云主机访问同一文件系统时，您可以通过我们提供的脚本，填写配置文件、执行脚本命令，实现多台云主机批量挂载同一文件系统，减少操作时间，提高工作效率。 注意 执行批量挂载的云主机实例需要与文件系统归属于同一资源池的同一VPC下。 目前仅支持Linux操作系统的云主机，请参考使用限制。 仅支持root账户进行批量挂载操作。 务必按照本文中要求的固定格式填写需要执行批量挂载的云主机的相关信息。 请保证本文中创建的inventory、autobatchmount.sh文件与mountnfs.yml文件在同一目录下，否则会导致挂载失败。 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行批量挂载操作的任何一台云主机。 3. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机。 4. 创建并填写配置文件inventory。 1）在Linux vi命令行工具中依次执行以下命令创建配置文件inventory并打开。 plaintext touch inventory plaintext vi inventory 2）将按照下述格式填写的内容复制到配置文件inventory中，保存并退出。需要将各参数替换成相应的实际值，各参数说明见下方表格。配置文件内容可在Windows记事本中或者Linux vi命令实现编辑，供后续使用。复制完成后输入 :wq保存并退出。 plaintext [all:vars] sharepath挂载地址 [targethost] 弹性IP passwdroot用户密码 localpath本地挂载路径 弹性IP passwdroot用户密码 localpath本地挂载路径 弹性IP passwdroot用户密码 localpath本地挂载路径 …… 参数 说明 云主机弹性IP 在云主机详情页中“弹性IP”页签获取该云主机公网IP的IP地址。 root用户密码 root用户密码。 本地挂载路径 本地挂载路径为云主机上用于挂载文件系统的本地路径，本操作中将通过脚本自动创建，无须额外创建。 挂载地址 可在文件系统详情页获取。 5. 创建批量挂载脚本autobatchmount.sh。 1）创建脚本文件，并打开： plaintext touch autobatchmount.sh plaintext vi autobatchmount.sh 2）将下列内容复制到挂载脚本中，保存退出 （:wq）： plaintext

本文汇总了使用并行文件服务HPFS产品时常见的管理类问题。 并行文件服务支持挂载物理机还是云主机? HPFS 在不同资源池支持的协议类型不同，支持通过协议服务NFS挂载云主机，HPFSPOSIX协议直接挂载物理机。 详细的资源池支持的协议类型可以通过产品能力地图查看。 如何访问文件系统？云外可以访问吗？ 文件系统可以通过以下几种方式进行访问： 用户使用云管Console访问文件存储（NFS、HPFSPOSIX） 云内通过内网访问文件存储（NFS、HPFSPOSIX） 文件系统可以跨VPC访问吗？ 可以。单文件系统可添加20个VPC，文件系统可创建多个协议服务，绑定不同主机所属的VPC，即可进行跨VPC访问。 您可以通过准备工作开始，完成使用并行文件系统的环境准备工作，也可以通过创建虚拟私有云VPC和创建协议服务直接了解VPC的相关操作。 文件系统的删除/退订按钮为什么无法点击？ 如果您创建的并行文件系统出现删除或退订的时候，无法点击的情况，您可以尝试先删除文件系统数据流动、协议服务等相关资源，再进行删除或退订操作。 如有其他疑问，可以通过点击右上角【我的>工单管理>新建工单】进行咨询。 单个用户可开通的文件存储配额默认是100T，如何申请增加容量配额？ 1. 登录天翼云官网，点击右上角【我的>工单管理>新建工单】。 2. 在“配额类”点击【提问】，进入配额相关页面，点击【配额申请】按页面要求填写工单信息即可。

事件总线负责接收事件源生产的事件。 事件总线EventBridge的事件总线包括以下类型： 云服务专用事件总线：一个无需创建与不可修改的内置官方事件总线，用于接收天翼云官方事件源的事件。天翼云官方事件源的事件只能发布到云服务专用事件总线。 自定义事件总线：需自行创建并管理的事件总线，用于接收自定义应用的事件。自定义应用事件只能发布到自定义事件总线。

本节主要介绍创建委托（委托方操作） 通过创建委托，可以将资源共享给其他帐号，或委托更专业的人或团队来代为管理资源。被委托方使用自己的帐号登录后，切换到委托方帐号，即可管理委托方委托的资源，避免委托方共享自己的安全凭证（密码/密钥）给他人，确保帐号安全。 操作步骤 步骤 1 委托方使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击首页顶部控制台，在控制中心页面“管理与部署”分类中，单击“统一身份认证服务”。 步骤 3 在统一身份认证服务管理页面，单击左侧功能菜单“委托”。 步骤 4 在“委托”页面，单击“＋创建委托”。 步骤 5 在“创建委托”页面，输入“委托名称”，“委托类型”选择“普通帐号”，在“委托的帐号”中输入需要建立委托关系的其他帐号的帐号名。 说明 普通帐号：将资源共享给其他帐号或委托更专业的人或团队来代为管理帐号中的资源。委托的帐号只能是帐号，不能是IAM用户名。 云服务：授权指定云服务使用其他云服务。详情请参见“委托其他云服务管理资源” 步骤 6 设置“持续时间”及“描述”信息。 步骤 7 单击“下一步”，进入给委托授权页面。 步骤 8 勾选需要授予委托的权限，单击“下一步”，选择权限的作用范围。 说明 给委托授权即给其他帐号授权，给用户组授权即给帐号中的IAM用户授权，两者操作方法相同，仅可选择的权限个数不同，授权操作请参见“给用户组授权”。 为了保障您的帐号安全，委托将不能添加Security Administrator权限，建议您按照业务场景为委托授予最小权限。 步骤 9 单击“确定”，委托创建完成。 说明 委托方操作完成，将自己的帐号名称、创建的委托名称、委托ID以及委托的资源权限告知被委托方后，被委托方可以通过切换角色至委托方帐号中管理委托资源。

本文帮助您快速熟悉复制安全组规则的操作场景和操作流程。 操作场景 复制功能支持利用已有的安全组规则，快速生成一个新的安全组规则。复制时，您可以根据业务需求自定义修改目标规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组、安全组规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，选择需要复制规则的安全组，单击安全组名称进入详情页，进入安全组详情页。 6. 在“安全组”详情界面，选择安全组规则所属方向，找到需要复制的安全组规则所在行。 7. 点击操作列的“复制”，进入复制安全组规则页面。 8. 根据业务需求修改目标安全组规则的相应参数。 9. 单击“确定”按钮，即可快速创建出安全组规则。关于安全组规则中参数的设置方法，请参考添加安全组规则。