本文介绍在源站IP暴露的情况下,如何设置保护源站。 适用场景 场景1：如果您的源站服务器部署了防火墙，并且部署了访问控制策略，您必须在源站访问控制策略里为Aone安全与加速边缘云节点添加白名单，放行边缘云节点IP，避免由边缘安全加速平台安全与加速服务转发回源的请求被误拦截，影响网站正常访问。 场景2：为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 前提条件 已经订购边缘安全加速平台安全与加速服务基础版及以上套餐版本，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 配置回源IP方案 1.登录边缘安全加速平台控制台。 2.在工具回源IP管理中，单击【配置回源IP方案】，完成配置后，可在控制台查看回源IP段。 注意 1、如果您首次配置，请先到通知渠道页面编辑通知方式，然后再点击【配置回源IP方案】按钮。如果您有特殊的需求，可 2、创建时每个域名的任务会单独发送一次通知；后续回源IP列表更新时，所有启用的域名任务会合并结果后发送通知。 提示：控制台的回源ip管理配置不会覆盖后台客服人员配置的任务，如果您发现收到重复的通知，可提交工单联系我们进行确认。

本文为您介绍分布式消息服务MQTT的快速入门创建实例。 实例介绍 MQTT实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占MQTT实例，可根据业务需要可定制相应规格的MQTT实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 操作步骤 1、在产品详情页点击立即开通按钮，或者进入消息管理控制台创建实例，进入订购分布式消息MQTT页面。 2、 创建实例，注意选择产品规格。 （1）填写实例名称，长度4~40个字符，大小写字母开头，只能包含大小写字母、数字及分隔符()。 （2）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （3）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、13年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、13年。 计费模式为按需计费，则该选项隐藏无需选择。 （4）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署,单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 （5）设置节点数，可选择3/5/7/9。MQTT 的节点数是指MQTT 集群中的节点数量。在MQTT 集群中，可以有多个节点组成一个集群，每个节点都是一个独立的MQTT 服务器实例。 （6）下拉选择主机类型，可选择通用型和计算增强型。通用型云主机共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 （7）选择实例规格，分布式消息服务MQTT提供通用型和计算增强型各3类规格，各规格详细说明参见弹性云主机规格。 （8）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/普通IO/超高IO三类。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 （9）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （10）选择已有子网，若无子网，点击创建跳转到子网页面新增，了解更多内容参见虚拟私有云子网管理 创建子网。 （11）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增，了解更多内容参见虚拟私有云安全组 创建安全组。 3、 填写完上述信息后，单击“下一步”，进入费用确认页面。 4、 确认实例信息无误后，提交请求。 5、 在实例列表页面，查看MQTT实例是否创建成功。创建实例大约需要3到15分钟，此时实例状态为“创建中”。

本章节主要介绍云服务备份产品的优势。 可靠 支持云主机多盘一致性备份，数据库服务器应用一致性备份，使您的数据更加安全可靠。 高效 永久增量备份，缩短95%备份时长。即时恢复，RPO最小为1小时，RTO可达分钟级。 说明 RPO（Recovery Point Objective）：最多可能丢失数据的时长。 RTO（Recovery Time Objective）：从灾难发生到整个系统恢复正常所需要的最大时长。 简单 操作简单，3步完成备份配置，无需具备专业的备份软件技能。相比传统备份系统，使用更简单。 安全 加密盘的备份数据自动加密，保证数据安全。

本页介绍天翼云分布式融合数据库HTAP服务协议。 天翼云分布式融合数据库HTAP服务协议获取地址：天翼云分布式融合数据库HTAP服务协议。

弹性峰值（Gbps） 标准价格 0Gbps<弹性峰值≤10Gbps 860元/天 10Gbps<弹性峰值≤20Gbps 1760元/天 20Gbps<弹性峰值≤30Gbps 2660元/天 30Gbps<弹性峰值≤40Gbps 3260元/天 40Gbps<弹性峰值≤50Gbps 4060元/天 50Gbps<弹性峰值≤60Gbps 4960元/天 60Gbps<弹性峰值≤70Gbps 5760元/天 70Gbps<弹性峰值≤80Gbps 6560元/天 80Gbps<弹性峰值≤100Gbps 8160元/天 100Gbps<弹性峰值≤150Gbps 15060元/天 150Gbps<弹性峰值≤200Gbps 20160元/天 200Gbps<弹性峰值≤500Gbps 66660元/天 500Gbps<弹性峰值 98860元/天

弹性峰值（Gbps） 标准价格 0Gbps<弹性峰值≤10Gbps 860元/天 10Gbps<弹性峰值≤20Gbps 1760元/天 20Gbps<弹性峰值≤30Gbps 2660元/天 30Gbps<弹性峰值≤40Gbps 3260元/天 40Gbps<弹性峰值≤50Gbps 4060元/天 50Gbps<弹性峰值≤60Gbps 4960元/天 60Gbps<弹性峰值≤70Gbps 5760元/天 70Gbps<弹性峰值≤80Gbps 6560元/天 80Gbps<弹性峰值≤100Gbps 8160元/天 100Gbps<弹性峰值≤150Gbps 15060元/天 150Gbps<弹性峰值≤200Gbps 20160元/天 200Gbps<弹性峰值≤500Gbps 66660元/天 500Gbps<弹性峰值 98860元/天

本文主要介绍远程连接Linux云主机报错:Permission denied如何处理。 问题现象 远程连接Linux云主机报错：Permission denied 图 Permission denied 说明 修改此问题需要重启进入救援模式，请评估风险后进行操作。 本节操作涉及云主机重启操作，可能会导致业务中断，请谨慎操作。 根因分析 /etc/security/limits.conf中的nofile 用来设置系统允许打开的最大文件数目，如果nofile值大于PermissionDenied.png内核设置的fs.nropen参数值（默认为1048576），会导致登录校验错误，导致登录云主机时提示“Permission denied”。 处理方法 1.进入云主机的单用户模式。 以CentOS 7操作系统为例： a.重启云主机，单击“远程登录”。 b.按上方向键，阻止系统自动继续，在出现内核选项时按字母键e进入内核编辑模式。 图 进入内核编辑模式 说明 Euler镜像默认对grub文件进行了加密，进入编辑内核模式时会提示：Enter username，需要输入用户和密码，请联系客服获取。 c.找到linux16行末尾，删除不需要加载的参数到ro参数。 d.修改ro为rw，以读写方式挂载根分区。 e.并添加rd.break，然后执行Ctrl+X。 图 修改前 图 修改后 f.执行以下命令切换至/sysroot目录。 chroot /sysroot 2.执行以下命令，查询内核的fs.nropen值。 sysctl fs.nropen 3.编辑 /etc/security/limits.conf，修改配置的nofile值为合理的值，需小于2中查询的fs.nropen值，例如65535。 vi /etc/security/limits.conf 说明 limits.conf 文件实际是Linux PAM（插入式认证模块，Pluggable Authentication Modules）中pamlimits.so 的配置文件。更多详细配置信息请查看man手册，执行：man limits.conf 4.重启服务器，重试连接云主机。

此小节介绍云堡垒机应用场景。 任何企业都需要安全运维管理和审计，故任何企业都需要云堡垒机。云堡垒机能适用于各种企业运维场景，特别针对企业员工数量复杂、企业资产数量繁杂、人员运维权限交叉、企业运维方式多样等场景。 严要求的审计合规场景 例如保险和金融行业，具有大量个人信息数据和金融资金操作行为，以及大量第三方机构代为运作，可能存在巨大违规操作、滥用职权等非法运作风险。 通过在云上部署云堡垒机系统，单点登录入口，集中管理账户和资源，部门权限隔离，核心资产多人审核授权，敏感操作二次复核授权，健全的运维审计机制，能够为高风险行业提供严要求审计功能，满足行业监管要求。 高效稳定的运维场景 例如极速发展的互联网企业，大量经营数据等敏感信息，暴露在公网，且由于服务高度公开，存在高度数据泄露风险。 云堡垒机在远程运维过程中，隐藏资产真实地址，解决远程运维资产信息暴露问题。同时提供全面的运维日志，为审计运维和代运维人员的操作行为，提供有效监控，减少网上安全事故，助力企业长久稳定发展。 大量资产和人员管理场景 随着民生政务和传统企业集团的上云管理，云上人员账户数量不断增加，以及云上服务器、网络设备等资产数量也成倍增涨。同时很多企业为解决人力不足的问题选择把系统运维转交给系统供应商或第三方代维商进行，由于涉及提供商、代维商过多，人员复杂流动性又大，对操作行为缺少监控带来的风险日益凸显。 云堡垒机针对大量用户和大量资产，可海量容纳庞大人员和资源数据，运维人员单点登录，解决运维人员维护多台资产效率低，易出错的问题。同时通过制定细粒度权限控制，资源操作全程记录，可审计全量用户操作行为，并对事故问题进行有效追溯，确保有效定责。此外，系统桌面实时呈现运维全景，并可接收异常行为告警通知，确保人员无法越权操作。

本节介绍了初始化Windows数据盘（Windows 2008）的相关内容。 操作场景 本文以云主机的操作系统为“Windows Server 2008 R2 Enterprise 64bit”为例，提供磁盘的初始化操作指导。 MBR格式分区支持的磁盘最大容量为2 TB，GPT分区表最大支持的磁盘容量为18 EB，因此当为容量大于2 TB的磁盘分区时，请采用GPT分区方式。具体操作请参见“初始化容量大于2TB的Windows数据盘（Windows 2008）”。关于磁盘分区形式的更多介绍，请参见“初始化数据盘场景及磁盘分区形式介绍”。 不同云主机的操作系统的格式化操作可能不同，本文仅供参考，具体操作步骤和差异请参考对应的云主机操作系统的产品文档。 前提条件 已挂载数据盘至云主机，且该数据盘未初始化。 已登录云主机。 弹性云主机请参见《弹性云主机用户指南》。 物理机服务器请参见《物理机用户指南》。 操作指导 1.在云主机桌面，选择“开始”，右键单击后在菜单列表中选择“计算机”，选择“管理”。 弹出“服务器管理”窗口。 2.在左侧导航树中，选择“存储 > 磁盘管理”。 进入“磁盘管理”页面。 若如图1，新挂载磁盘为“脱机”状态，请执行3。 若如图4，直接弹出“初始化磁盘”对话框，执行5。 图 磁盘管理 3.在右侧窗格中出现磁盘列表，在磁盘1区域，右键单击后在菜单列表中选择“联机”，进行联机。 图 联机 说明 若新增磁盘处于脱机状态，需要先联机然后进行初始化。 4.联机后，磁盘1由“脱机”状态变为“没有初始化”，右键单击在菜单列表中选择“初始化磁盘”。如下图所示。 图 初始化磁盘 5.在“初始化磁盘”对话框中显示需要初始化的磁盘，选中“MBR（主启动记录）”或者“GPT (GUID 分区表)”，单击“确定”，如下图所示。 图 未分配磁盘 注意 MBR支持的磁盘最大容量为2 TB，GPT最大支持的磁盘容量为18 EB，当前数据盘支持的最大容量为32 TB，如果您需要使用大于2 TB的磁盘容量，分区形式请采用GPT。 当磁盘已经投入使用后，此时切换磁盘分区形式时，磁盘上的原有数据将会清除，因此请在磁盘初始化时谨慎选择磁盘分区形式。 6.右键单击磁盘上未分配的区域，选择“新建简单卷”，如下图所示。 图 新建简单卷 7.弹出“新建简单卷向导”对话框，根据界面提示，单击“下一步”。 图 新建简单卷向导 8.根据需要指定卷大小，默认为最大值，单击“下一步”。 图 指定卷大小 9.分配驱动器号，单击“下一步”。 图 分配驱动器号和路径 10.勾选“按下列设置格式化这个卷”，并根据实际情况设置参数，格式化新分区，单击“下一步”完成分区创建。 图 格式化分区 图 完成分区创建 注意 不同文件系统支持的分区大小不同，请根据您的业务需求选择合适的文件系统。 11.单击“完成”完成向导。需要等待片刻让系统完成初始化操作，当卷状态为“状态良好”时，表示初始化磁盘成功，如下图所示。 图 初始化磁盘成功

本节主要介绍管理访问秘钥。 访问密钥（AK/SK，Access Key ID/Secret Access Key）包含访问密钥ID（AK）和秘密访问密钥（SK）两部分，是您在系统的长期身份凭证，您可以通过访问密钥对部分云服务API的请求进行签名。系统通过AK识别访问用户的身份，通过SK对请求数据进行签名验证，用于确保请求的机密性、完整性和请求者身份的正确性。 新增访问密钥 步骤 1 用户使用天翼云帐号或IAM子用户登录天翼云官网。 步骤 2 单击天翼云首页顶部右侧“控制中心”，资源池选择二类节点。 步骤 3 在控制中心首页顶部右侧，单击用户名，弹出下拉菜单，并在下拉列表中单击“我的凭证”。 步骤 4 在“我的凭证”页面，左侧功能栏单击“访问密钥”。 步骤 5 单击“新增访问密钥”，输入验证码。 说明 如果您绑定了邮箱或者手机，需要输入验证码，如果没有绑定邮箱或者手机，仅需要输入登录密码即可新增访问密钥。 步骤 6 单击“确定”，生成并下载访问密钥。 说明 最多可创建2个访问密钥，有效期为永久。为了账号安全性，建议您妥善保管并定期修改访问密钥，修改访问密钥的方法为删除旧访问密钥，然后重新生成。

操作步骤 1. 使用具有“管理员”权限的账号（例如，administrator）登录Windows弹性云服务器。 2. 根据Agent安装路径判断当前Agent版本，方法参见windows平台。 3. 卸载当前版本的Agent，卸载命令参见卸载agent。 4. 安装最新版本的Agent，安装命令参见操作步骤。

安全组规则设置 堡垒机弹性IP安全组访问规则设置：虚拟私有云添加安全组规则。 注意 安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和堡垒机实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当堡垒机实例加入该安全组后，即受到这些访问规则的保护； 默认情况下，一个租户可以创建500条安全组规则； 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条； 当需要从安全组外访问安全组内的堡垒机实例时，需要为安全组添加相应的入方向规则； 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的堡垒机实例。

本页介绍天翼云TeleDB数据库记录什么到日志相关参数。 applicationname (string) applicationname可以是任意的小于NAMEDATALEN字字符 （标准编译是64字符）的字符串。它通常由一个连接服务器后的的应用程序设置。 名字会记录在pgstatactivity和CSV日志条目中。 也可以通过loglineprefix参数，包含在规律的日志条目中。 只有可打印的ASCII字符可以被用于applicationname。 其他字符会被问号(?)替换。 applicationname可以是任意小于NAMEDATALEN个字符（标准编译中是 64 个字符）的字符串。这通常由一个应用通过到服务器的连接设置。该名称将被显示在pgstatactivity视图中并被包括在 CSV 日志项中。它也会被通过loglineprefix包括在普通日志项中。只有可打印 ASCII 字符能被使用在applicationname之中。其他字符将被替换为问号（?）。 debugprintparse (boolean) debugprintrewritten (boolean) debugprintplan (boolean) 这些参数将会让多种调试输出被发出。当被设置时，它们为每一个被执行的查询打印结果分析树、查询重写器输出或执行计划。这些消息在LOG消息级别上被发出，因此默认情况下它们将出现在服务器日志中但不会被发送到客户端。你可以通过调整clientminmessages和/或logminmessages来改变这种情况。这些参数默认是关闭的。 debugprintplanonerror（boolean） 报错时打印查询计划。默认是off。 debugprettyprint (boolean) 当被设置时，debugprettyprint会缩进由debugprintparse、 debugprintrewritten或 debugprintplan产生的输出。这将导致比关闭参数时使用的“紧凑”模式可读性更强但是更长的输出。它默认是打开的。

本页介绍天翼云TeleDB数据库节点扩容。 操作场景 随着业务的增长，数据库在运行性能及存储上逐渐会达到瓶颈。此时，需要通过增加节点来提升集群的性能及存储能力。该任务用于指导对协调节点（CN）和数据节点（DN）进行扩容。协调节点和数据节点都是按组添加。每组数量与创建实例时选择的实例系列相关联。机器规格和原实例规格保持一致。用户可自定义新增节点所在服务器。 注意事项 主备节点所在服务器不能为同一台服务器。 增加节点前请检查所有表都已设置主键或设置表级别参数REPLICA IDENTITY为FULL，否则数据无法完成迁移导致新增节点失败。 扩容数据节点后请手动使用数据重平衡功能。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树中，选择实例管理 > 实例列表 ，右侧页面可查看实例列表。 3. 在实例列表页面，单击目标实例所在行的更多 > 扩容 ，出现节点扩容对话框。 4. 进入节点扩容 对话框，根据以下内容填写基本信息，单击确定完成扩容。 扩容节点类型：可根据实际情况填写协调节点或数据节点。 节点名称：默认不可更改。 VIP：可选参数，可根据实际需求选择vip。 说明 只有协调节点才支持配置该参数。 安装端口:必选参数，可根据实际需求填写，确保端口未被占用。 内部端口：必选参数，可根据实际需求填写，确保端口未被占用。 节点组信息：如果期望新加的节点归属于已存在的节点组，则该参数必填。 说明 只有扩容数据节点才支持配置该参数。 主节点节点信息：可选参数，可根据实际需求选择主节点ip。 备节点节点信息：可选参数，可根据实际需求选择备节点ip。 5. 弹出提示 对话框。可单击立即前往 ，在任务管理页面查看执行详情。

解绑弹性公网IP 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在网络 区域，单击解绑。 5. 在对话框中，单击是，解绑弹性IP。 您也可以在MySQL > 任务列表页面，查看解绑弹性公网IP任务的执行进度及结果。 注意 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系数据库MySQL版在同一区域的弹性云主机上。 如想要使用公网IP连接数据库，需要将客户端的IP添加至白名单，否则将无法访问。 为数据库代理绑定或解绑弹性公网IP 如果实例开启了数据库代理功能，您可以为数据库代理绑定弹性公网IP，以通过公共网络来使用数据库代理服务，绑定或解绑弹性公网IP的操作步骤如下： 绑定弹性公网IP 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击数据库代理 ，进入数据库代理页面。 5. 在代理地址 区域，单击绑定弹性IP。 6. 在弹性公网IP列表，选择您的弹性公网IP，单击绑定。 您也可以在MySQL > 任务列表页面，查看绑定弹性公网IP任务的执行进度及结果。

本章节主要介绍数据治理中心的配置Redis/DCS连接功能。 Redis连接适用于用户在本地数据中心或ECS上自建的Redis，适用于将数据库或文件中的数据加载到Redis。 DCS适用于将数据库或文件中的数据加载到云上的DCS缓存中，从第三方云Redis服务迁移到DCS推荐使用备份恢复方式。 连接本地Redis数据库或DCS时，相关参数详见下表：Redis连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 redislink Redis部署方式 Redis部署方式： Single：表示单机部署。 Cluster：表示集群部署。 Proxy：表示通过代理部署。 Single Redis服务器列表 MongoDB服务器地址列表，输入格式为“数据库服务器域名或IP地址：端口”。多个服务器列表间以“;”分隔。 192.168.0.1:7300;192.168.0.2:7301 密码 连接Redis的密码。 Redis数据库索引 Redis分库的索引标识。 Redis的分库，相当于关系型数据库中的database。分库总数可以在Redis配置文件中设置，默认是16个，分库名称是一个整数（0～15），不是一个字符串。 0

HTTPS协议监听器需关联证书,做SSL握手,加密认证。弹性负载均衡支持配置HTTPS监听器引用证书操作,本文帮助您快速熟悉如何配置配置HTTPS监听器引用证书。 操作步骤 1. 点击负载均衡实例名称进入“负载均衡详情页”。 2. 点击“添加监听器”按钮，添加监听器，并配置HTTPS证书。 设置监听器的名称，支持中英文字符，数字，长度2~63个字符。 负载均衡器协议选择HTTPS，在右侧输入服务端口，选择HTTPS协议后，下方出现服务器证书字段。 选择服务器证书,从下拉列表框选择已创建的服务器证书，支持刷新，如当前没有证书，点击“查看证书”跳转到证书管理页面，可在此页面创建证书。 配置监听器描述，可选配置，可以不输入描述。 3. 单击“下一步”，配置后端主机组；配置主机组名称，选择后端主机类型，可选云主机。 4. 继续点击“下一步”配置负载方式和健康检查，完成相关操作。

本文介绍创建用户并授权使用Redis 对资源进行精细访问控制 您可以使用统一身份认证（Identity and Access Management，简称IAM）服务对所拥有的Redis服务进行精细的权限管理。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 您注册后，系统自动创建帐号，帐号是对其所拥有的资源具有完全控制权限，可以访问系统中所有的云服务。若您的团队或应用程序需要使用您的Redis资源，您可以为员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录云服务平台。 前提条件 基于IAM服务进行权限管理控制时，您需先了解Redis的策略管理，包含Redis所支持的系统策略管理，以及各策略间资源粒度的授权情况。 授权流程 左侧导航栏分别包含“用户组”、“用户”、“策略管理”、“企业项目”，用户根据个人需要进行操作资源的权限控制。 授权具体流程为：创建IAM用户 > 创建用户组并授权Redis资源权限 > 为IAM用户授权，具体操作步骤如下： 创建IAM用户 使用天翼云网门户的用户管理功能，给员工或应用程序创建IAM用户。 步骤 1 企业的天翼云管理员使用已注册的天翼云帐号登录天翼云网门户。 步骤 2 鼠标移动至天翼云首页右上角用户头像，进入账号中心。 步骤 3 账号中心左侧菜单中，单击“统一身份认证”。 步骤 4 在统一身份认证管理页，单击左侧导航菜单中的“用户”。 步骤 5 在“用户”管理界面中，单击“创建用户”。 步骤 6 在创建用户对话框中，输入用户信息。 步骤 7 单击“确定”，完成IAM用户创建，返回用户列表，将显示新创建的IAM用户。

本文为您介绍删除监控视图的操作场景、前提条件和操作步骤。 操作场景 当您业务发生变更或需要对监控面板上的监控视图进行重新规划时，您可以删除该监控视图。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成监控视图的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“监控面板”，选择需要删除的监控面板，在待删除的“监控视图”区域，单击右上角的，弹出删除确认框。 5. 单击“确认”按钮，删除该监控视图。

参数 参数说明 插件规格 根据业务需求，选择插件的规格，包含如下选项： 演示规格（100容器以内）：适用于体验和功能演示环境，该规模下prometheus占用资源较少，但处理能力有限。建议在集群内容器数目不超过100时使用。 小规格（2000容器以内）：建议在集群中的容器数目不超过2000时使用。 中规格（5000容器以内）：建议在集群中的容器数目不超过5000时使用。 大规格（超过5000容器）：建议集群中容器数目超过5000时使用此规格。 实例数 选择上方插件规格后，显示插件中的实例数，此处仅作显示。 容器 选择插件规格后，显示插件容器的CPU和内存配额，此处仅作显示。 监控数据保留期 自定义监控数据需要保留的天数，默认为15天。 存储 按照界面提示配置如下参数： 类型：支持云硬盘。 可用区：请根据业务需要进行选择。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 子类型：支持普通IO、高IO和超高IO三种类型。 容量：请根据业务需要输入存储容量，默认10G。 说明： 若命名空间monitoring下已存在pvc，将使用此存储作为存储源。

登录方式 登录说明 登录方式配置说明 密码登录 输入云堡垒机系统的用户密码。 默认登录方式。 “AD域认证”、“RADIUS认证”、“LDAP认证”或“Azure AD认证”用户登录密码为远程服务器用户密码。 公钥登录 输入用于验证登录的私钥和私钥密码，登录验证成功后，再次登录时，该用户在SSH客户端可以免密登录。 用户需要先生成用于验证登录的公私钥对，并在云堡垒机系统内的“个人中心”处将SSH公钥添加到云堡垒机系统中。 手机短信 “密码登录”或“公钥登录”验证成功后，选择“短信验证码”方式，输入手机短信验证码。 需已为用户帐号配置可用手机号码。 手机令牌 “密码登录”或“公钥登录”验证成功后，选择“手机令牌OTP”方式，输入手机令牌验证码。 说明 需确保用户登录系统时间与手机时间一致，精确到秒，否则会提示验证码错误。 需用户先绑定手机令牌，再由管理员配置多因子认证，否则用户无法登录系统。 动态令牌 “密码登录”或“公钥登录”验证成功后，选择“动态令牌OTP”方式，输入动态令牌验证码。 需已为用户签发动态令牌。

本文介绍私网NAT网关的创建、查看、修改和删除。 创建私网NAT网关 1. 登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>私网NAT网关”，进入私网NAT网关页面。 2. 点击右上角“创建私网NAT网关”进入私网NAT网关购买页面。 3. 根据界面提示，配置私网NAT网关的基本信息，配置参数如表所示 参数 参数说明 计费模式 私网NAT网关支持按需计费、包年/包月。 名称 私网NAT网关名称。名称由数字、字母、中文、、组成，不能以数字、和开头。 可用区 选择私网NAT网关所在的可用区。 VPC 私网NAT网关所属的VPC。 VPC仅在购买NAT网关时可以选择，后续不支持修改。 子网 私网NAT网关所属的子网。 子网仅在购买私网NAT网关时可以选择，后续不支持修改；选定的所属子网会成为私网NAT网关默认的中转网段。 规格 私网NAT网关的规格。私网NAT网关共有小型、中型、大型、超大型四种规格类型，更多详情参见产品规格和使用限制。 描述 私网NAT网关信息描述。 创建时长（仅包年/包月模式下需要选择） 私网NAT网关购买时长。 自动续订（仅包年/包月模式下需要选择） 是否启用私网NAT网关自动续订；按月购买：自动续订周期为1个月；按年购买：自动续订周期为1年。 企业项目 私网NAT网关所属的企业项目。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 4. 配置完成上述信息，会显示私网NAT网关配置费用，可通过点击价格后面的中的 “了解计费详情”查看计费信息。 5. 单击“下一步”，确认规格无误后，点击阅读《天翼云NAT网关服务协议》。 6. 无异议后，勾选我已阅读并同意相关协议，单击“确认下单”开始创建私网NAT网关。 7. 等待私网NAT网关状态变为运行中，即创建完成。 8. 完成私网NAT网关创建后，需要添加转发路由规则 1. 单击“路由表“页签，进入路由表页面； 2. 点击计算实例所在子网已绑定的”默认路由表“进入路由规则页面。 3. 在路由规则页面单击“创建“，在弹出页面，选择 1. IP类型：IPv4 2. 目的地址：x.x.x.x/x（目标网段） 3. 下一跳类型：NAT网关 4. NAT网关：选择刚创建的私网NAT网关 4. 点击“确定”，完成默认路由指向私网NAT网关。 5. 为私网NAT网关所在子网，创建一张“自定义路由表”，进入路由规则页面。 6. 在路由规则页面单击“创建“，在弹出页面，选择 1. IP类型：IPv4 2. 目的地址：x.x.x.x/x（目标网段） 3. 下一跳：对端设备类型&实例 7. 点击“确定”，完成私网NAT网关的转发路由配置。

参数 说明 任务信息 任务名称 输入自定义的任务名称。 说明 命名规则：必须为大小写字母、数字、横线或下划线，长度在432个字符之间；自定义的任务名称不能与您已存在的任务名称重复。 选择源端 源端 选择源端数据的服务提供方。 说明 目前支持的源端： 支持阿里云（OSS）、华为云（OBS）、腾讯云（COS）迁移至ZOS。 支持天翼云对象存储（ZOS）、天翼云（OOS）迁移至ZOS。 支持AWS（S3）和其他遵循标准S3协议的对象存储服务迁移至ZOS。 选择源端 EndPoint Endpoint支持输入IP地址或域名。 若使用非默认端口，请输入端口号，格式为IP:Port。 注意 腾讯云COS的Endpoint较为特殊，仅需填写region即可，例如：apbeijing、apshanghai。 选择源端 Access Key 输入您源端的Access Key。 选择源端 Secret Key 输入您源端的Secret Key。 选择源端 存储桶 输入您源端的对象存储桶名称。 选择源端 迁移方式 选择源端数据的迁移方式，支持：指定存储桶、指定文件夹、指定前缀。 说明 指定存储桶 ：选择“指定存储桶”时，将会迁移存储桶内的全部对象。 指定文件夹 ：选择“指定文件夹”时，将会迁移选中文件夹下的所有对象。仅支持单个文件夹。 指定前缀 ：选择“指定前缀”时，将会迁移桶中所有以该前缀开头的对象。仅支持单个前缀。

使用javaagent，可追踪kafka消息从生产到消费的整条链路。 依赖引入 c org.springframework.boot springbootstarterparent 2.7.18 org.springframework.boot springbootstarter org.springframework.boot springbootstarterweb org.springframework.kafka springkafka org.projectlombok lombok true com.fasterxml.jackson.core jacksondatabind com.fasterxml.jackson.datatype jacksondatatypejsr310 kafka 配置 c spring: kafka: Kafka 服务器地址 bootstrapservers: localhost:9092 生产者配置 producer: keyserializer: org.apache.kafka.common.serialization.StringSerializer valueserializer: org.apache.kafka.common.serialization.StringSerializer acks: all retries: 3 properties: max.request.size: 10485760 消费者配置 consumer: groupid: mygroup autooffsetreset: earliest keydeserializer: org.apache.kafka.common.serialization.StringDeserializer valuedeserializer: org.apache.kafka.common.serialization.StringDeserializer enableautocommit: false maxpollrecords: 500 监听器配置 listener: type: batch concurrency: 3 c @Configuration public class KafkaConfig { / 批量消费配置 / @Bean public ConcurrentKafkaListenerContainerFactory batchFactory( ConsumerFactory consumerFactory) { ConcurrentKafkaListenerContainerFactory factory new ConcurrentKafkaListenerContainerFactory<>(); factory.setConsumerFactory(consumerFactory); factory.setBatchListener(true); // 开启批量监听 factory.getContainerProperties().setAckMode(ContainerProperties.AckMode.MANUAL); return factory; } }

本节介绍如何对集群进行安全检查。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 安全检查”，进入安全检查页面。 3. 单击安全检查列表右上角的“开始扫描”按钮，可对所有集群进行扫描检测。

本章节介绍如何使用云主机备份产品完成ECS的整机备份恢复。 场景描述 如果您的业务数据同时保存在数据盘和系统盘中，当ECS整机发生系统故障或者错误操作时，您可以通过云主机备份的备份和恢复功能，实现业务应用版本回退。本文详细介绍整机恢复场景的相关内容。 方案优势 当发生病毒入侵、人为误删除、软硬件故障等事件，支持将数据恢复到任意备份点，使系统正常运行。 备份的同一个ECS主机下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题。 前提条件 在进行本文操作之前，您需要完成以下准备工作： 请确保弹性云主机在备份前已完成如下操作： Linux弹性云主机优化并安装Cloudinit工具 Windows弹性云主机优化并安装Cloudbaseinit工具 创建镜像前备份的状态必须为“可用”，或者状态为“创建中”并在备份状态列显示“可用于创建镜像”时，才允许执行创建镜像操作。 用于数据恢复的备份必须包含系统盘的备份。 操作步骤 步骤1：创建云主机备份 1、假设云主机A的数据盘中存放了数据：datadisk.txt，系统盘中存放了数据：systemdisk.txt，如下图所示 2、参照云主机备份操作指导章节，完成云主机备份的创建。 3、执行备份成功后，在“备份副本”页签，查看产生的备份状态为“可用”，表示当前备份任务执行成功。 步骤2：删除/新增数据，模拟灾难场景 1、登录天翼云管理控制台。远程登陆云主机，或者使用远程桌面访问对应云主机。 2、删除系统盘和数据盘中准备的数据，新增文件和数据如下图所示： 步骤3：整机恢复 1、登录天翼云管理控制台。选择“存储 > 云主机备份”。进入云主机备份页面。 2、在“备份”页签下，选中创建成功的备份，单击操作列“恢复数据”，进入恢复服务器的向导页面，按需选择对应选项，点击确定。 3、在云主机备份控制台的“备份”页签下，查看任务状态，状态成功后即恢复完成。 步骤4：数据验证 1.登录天翼云管理控制台。远程登陆云主机，或者使用远程桌面访问对应云主机。查看对应数据，如下图所示，已恢复至对应时间点数据状态：

操作场景 用户将健康检查规则与静态路由取消关联。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成SDWAN实例、智能网关实例的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关的实例名称，进入详情页。 5. 在详情页，单击“静态路由”，单击目标静态路由操作列的“取消关联健康检查规则”。 6. 根据页面提示，选择要取消关联的健康检查规则。 7. 单击“确定”，完成健康检查规则与静态路由取消关联。 设置健康检查规则周期 操作场景 用户修改健康检查探测周期配置。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成SDWAN实例、智能网关实例的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关的实例名称，进入详情页。 5. 在详情页，单击“健康检查> 设置健康检查规则周期” 6. 根据页面提示，填写健康检查规则探测周期参数。 7. 单击“确定”，完成健康检查规则周期配置。 参数 说明 :: 探测间隔 数据包的发送时间间隔。 探测IP 数据包的发送个数。

本小节介绍网络安全法、等保2.0以及测评机构等概念。 《中华人民共和国网络安全法》 《中华人民共和国网络安全法》是为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定的法规。 测评机构 信息安全等级保护测评机构是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室推荐，从事非涉密信息系统及资源安全等级测评工作的机构。 等保2.0 等保2.0全称网络安全等级保护2.0制度，是我国网络安全领域的基本国策，基本制度。 等级保护标准在1.0时代标准的基础上，注重主动防御，从被动防御到事前、事中、 事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、 基础信息网络、 云计算、 大数据、 物联网、 移动互联网和工业控制信息系统等级保护对象的全覆盖。 ECS 弹性云主机（Elastic Cloud Server，ECS）是由 CPU、内存、操作系统、云硬盘组成的基础的计算组件。弹性云主机创建成功后，您就可以像使用自己的本地 PC 或物理服务器一样，在云上使用弹性云主机。 RDS RDS是关系型数据库服务（Relational Database Service）的简称，是一种即开即用、稳定可靠、可弹性伸缩的在线数据库服务。具有多重安全防护措施和完善的性能监控体系，并提供专业的数据库备份、恢复及优化方案，使您能专注于应用开发和业务发展。

此小节介绍数据库安全服务产品优势。 数据库安全审计提供的旁路模式数据库审计功能，可以对风险行为进行实时告警。同时，通过生成满足数据安全标准的合规报告，可以对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 操作简单，快速上手 采用数据库旁路部署方式是一种简单且快速上手的数据库审计部署方式，该部署方式是在数据库服务器之外设置一个独立的审计服务器，通过旁路方式捕获数据库的操作和日志信息，实现对数据库的实时监控和记录。同时方便用户快速上手，对数据库实例操作简单。 天翼云自建数据库全量审计 支持对管理控制台上自建的数据库进行审计，同时也兼容国内外常见数据库。 快速识别，精确分析 实现99%+的应用关联审计、完整的SQL解析、精确的协议分析。通过分析应用程序的日志、监控网络通信以及使用数据库审计工具等方式实现，确保所有的应用程序操作都能被审计并与相应的用户或应用程序关联起来。对SQL语句进行全面的解析和分析，以获取其中的各个组成部分，如表名、列名、查询条件等。深入了解数据库通信协议的结构和内容，并能够准确地解析和分析其中的数据包。 高效分析，秒级响应 通过数据库技术选型、数据库优化、分布式存储、缓存技术、数据分区和分布式计算、硬件优化以及数据库集群和负载均衡等技术，达到每秒万次入库、海量存储、亿级数据秒级响应。

本节介绍如何配置全局白名单。 防护对象接入Web应用防火墙后，您可以选择开启全局白名单功能，并配置白名单规则。 可用于放行具有指定特征的请求，使请求不经过全部（包含 Web 基础防护、CC 防护、BOT 防护、精准访问控制）或特定防护模块（Web基础防护）的检测。 也可用于处理误报事件，对于误报的事件可进行规则级别的加白，将单次拦截放通。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“防护白名单”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入白名单页面。 7. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置白名单实例所在的企业项目。 接入对象 设置白名单作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局白名单不支持独享版和监听器防护对象。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：选择该项，表示触发匹配条件的请求不受Web 基础防护、CC 防护、BOT 防护、精准访问控制模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，支持Web基础防护。在模块右侧的下拉框，选择不检测的规则ID。 8. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本章主要介绍翼MapReduce的更新集群密钥功能。 操作场景 在安装集群时，系统将自动生成加密密钥key值以对集群的部分安全信息（例如所有数据库用户密码、密钥文件访问密码等）进行加密存储。在集群安装成功后，如果原始密钥不慎意外泄露或者需要使用新的密钥，系统管理员可以通过以下操作手动更改密钥值。 对系统的影响 更新集群密钥后，集群中新增加一个随机生成的新密钥，用于加密解密新保存的数据。旧的密钥不会删除，用于解密旧的加密数据。在修改安全信息后，例如修改数据库用户密码，新密码将使用新的密钥加密。 更新集群密钥需要停止集群，集群停止时无法访问。 前提条件 已确认主备管理节点IP。请参见登录管理节点。 停止依赖集群运行的上层业务应用。 操作步骤 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 停止”，输入当前登录的用户密码确认身份。 在确认停止的对话框单击“确定”，等待界面提示停止成功。 3.以omm用户登录主管理节点。 4.执行以下命令，防止超时退出。 TMOUT0 说明 执行完本章节操作后，请及时恢复超时退出时间，执行命令 TMOUT 超时退出时间 。例如： TMOUT600 ，表示用户无操作600秒后超时退出。 5.执行以下命令，切换目录。 cd ${BIGDATAHOME}/omserver/om/tools 6.执行以下命令，更新集群密钥。 sh updateRootKey.sh 根据界面提示，输入 y ： The root key update is a critical operation. Do you want to continue?(y/n): 界面提示以下信息表示更新密钥成功： Step 41: The key save path is obtained successfully. ... Step 44: The root key is sent successfully. 7.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 启动”。 在弹出窗口中单击“确定”，等待界面提示启动成功。

本章节主要介绍翼MapReduce的隔离主机操作。 操作场景 某个主机出现异常或故障，无法提供服务或影响集群整体性能时，可以临时将主机从集群可用节点排除，使客户端访问其他可用的正常节点。 说明 隔离主机仅支持隔离非管理节点。 对系统的影响 主机隔离后该主机上的所有角色实例将被停止，且不能对主机及主机上的所有实例进行启动、停止和配置等操作。 主机隔离后部分服务的实例不再工作，服务的配置状态可能过期。 主机隔离后无法统计并显示该主机硬件和主机上实例的监控状态及指标数据。 待操作节点的SSH端口需保持默认（22），否则将导致本章节任务操作失败。 操作步骤 1. 登录FusionInsight Manager。 2. 单击“主机”。 3. 勾选待隔离主机前的复选框。 4. 在“更多”选择“隔离”。 在弹出窗口中，输入当前登录的用户密码确认管理员身份，单击“确定”。 5. 在确认隔离的对话框中勾选“我确定隔离所选主机，接受可能出现的服务故障等后果。”单击“确定”。 界面提示“操作成功。”，单击“完成”，主机成功隔离，“运行状态”显示为“已隔离”。 6. 以root用户登录到被隔离主机上，执行pkill 9 u omm命令终止节点上的omm用户的进程，然后执行ps ef grep 'container' grep '${BIGDATAHOME}' awk '{print $2}' xargs I '{}' kill 9 '{}'命令查找并终止container的进程。 7. 管理员已排除主机的异常或故障后，需要将主机隔离状态取消才能继续使用该主机。 在“主机”界面勾选已隔离的主机，选择“更多 > 取消隔离”。 说明 取消隔离后，主机上所有角色实例默认不启动。若需要启动主机上角色实例，可以在“主机”页面勾选目标主机，然后选择“更多 > 启动所有实例”。