应用场景 场景描述 视频直播可解决的业务痛点 体育赛事直播 体育赛事直播可以为观众呈现精彩的运动画面，热门赛事也会吸引众多用户观看，造成带宽突发。 天翼云视频直播拥有遍布全国的优质大网节点，可以轻松应对体育赛事直播大流量突发的情况，保障视频直播的稳定性。 秀场直播 秀场直播由主播直接推流至视频直播边缘节点，其内容由主播自己生成，对内容的安全性无法保障，需要视频直播厂商提供对应的直播录制、直播截图等功能，协助客户进行内容审核。 天翼云视频直播在基础服务之上还可以提供直播转码、直播录制、直播截图等增值服务，进一步满足秀场直播不同场景的要求。除此之外，天翼云视频直播具备视频审核功能，进一步保障直播的安全性。 网络电视直播 随着互联网的不断发展，网络电视直播已将对应的传播渠道从电视大屏转向了互联网直播。相对于电视直播，互联网直播受传播时延影响会存在延迟现象。 天翼云视频直播具备扛突发的能力，在面临网络电视直播中T级别的带宽突发时可以有效保障直播的平稳进行，避免延时卡顿。 电商直播 电商直播具有实时互动性强，营销成本低，受众面广的特点，已经成为当今最受欢迎的销售方式之一。 天翼云视频直播具备低时延的优势，主播和观众能够同频沟通互动，促进观众的购物欲，进一步提升成交量，避免出现因视频延时过大而导致沟通不畅的情况。

应用场景 场景描述 视频直播可解决的业务痛点 体育赛事直播 体育赛事直播可以为观众呈现精彩的运动画面，热门赛事也会吸引众多用户观看，造成带宽突发。 天翼云视频直播具备遍布全国的优质大网节点，可以轻松面对体育赛事直播大流量突发的情况，保障视频直播的稳定性。 秀场直播 秀场直播由主播直接推流至视频直播边缘节点，其内容由主播自己生成，对内容的安全性无法保障，需要视频直播厂商提供对应的直播录制、直播截图等功能，协助客户进行内容审核。 天翼云视频直播在基础服务之上还可以提供直播转码、直播录制、直播截图等其它增值服务，进一步满足秀场直播不同场景的要求。除此之外，天翼云视频直播具备视频审核功能，进一步保障直播的安全性。 网络电视直播 随着互联网的不断发展，网络电视直播已将对应的传播渠道从电视大屏转向了互联网直播。相对于电视直播，互联网直播受传播时延影响会存在延迟现象。 天翼云视频直播具备扛突发的能力，面对网络电视直播中T级别的带宽突发可以有效保障直播的平稳进行，避免延时卡顿。 电商直播 电商直播具有实时互动性强，营销成本低，受众面广的特点，已经成为当今最受欢迎的销售方式之一。 天翼云视频直播具备低时延的优势，使得主播和观众能够同频沟通互动，促进观众的购物欲，进一步提升成交量，避免出现因视频延时过大而导致沟通不畅的情况。

天翼云学堂认证优惠券使用手册与声明.pdf 天翼云学堂学员使用手册V1.0.pdf

自2021年11月11日起，新版天翼云安全专区服务协议生效。详情请参见这里。 天翼云安全专区服务协议 历史版本（20213）

本节介绍云电脑（政企版）可通过网络安全组功能配置访问规则加强安全防护。 操作场景 安全组是一种虚拟防火墙，具备状态检测和数据包过滤能力，用于在云端划分安全域。AI云电脑（政企版）如果需要加强安全防护，实现访问控制，则需要管理员在安全组中定义各种访问规则，当AI云电脑加入该安全组后，即受到这些访问规则的保护。 新增安全组 1.进入”AI云电脑（政企版）”管理控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.单击“新增安全组”，弹出“添加安全组”对话框； 4.设置出方向和入方向的访问控制； 5.确认相关的配置信息，点击“确定”，即完成安全组的新增。 删除安全组 当需要删除指定安全组时，如果该安全组已绑定策略使用，则需要先从策略管理中解除该安全组的绑定。 1.进入“AI云电脑（政企版）”管理控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.在需要删除的安全组所在行，单击“删除”。弹出“安全组删除”对话框； 4.单击“确定”，安全组即删除成功。 配置规则 当需要修改定安全组配置规则时，可以进行安全组规则的添加、修改、删除。 1.进入“AI云电脑（政企版）”管理控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.在需要修改的安全组所在行，单击“配置规则”。进入“安全组详情”页面； 4.在“安全组详情”页面，管理员可以对已有规则进行”修改“或”删除“； 5.在“安全组详情”页面，管理员可以单击”添加规则“，弹出“添加方向规则”对话框，进行规则配置； 6.单击“确定”，即可以完成安全组规则修改。 说明 创建安全组后，可通过“基础策略”绑定安全组，再分配策略至桌面，则可以实现控制安全组内桌面的入流量和出流量。

信封加密方式，是一种加密手段，将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥直接加解密数据。 信封加密方式优势如下： 相对于KMS提供的另一种加密方式：KMS用户主密钥直接加密 使用KMS用户主密钥直接加密：是通过KMS界面使用在线工具加解密数据，或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。 使用KMS用户主密钥直接加解密数据仅适用于不大于4KB的小数据加解密场景；而信封加密方式可以在本地对大量数据进行加解密。 信封加密方式加解密数据，只需要传输数据加密密钥到KMS服务端，无需通过网络传输大量数据。 相对于直接加解密的云服务 安全性 由云服务直接为用户加解密数据：通过因特网将敏感信息从客户手中传递到服务的过程中会存在诸多风险，例如：窃听、钓鱼。 信封加密方式：KMS通过使用硬件安全模块HSM保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。 信任和可信证明 由云服务直接为用户加解密数据：信任和可信证明较难做。用户不一定信任云服务，愿意上传如此敏感的数据；云服务也难以证明自己不会误用和泄露这些数据。 信封加密方式：KMS对密钥的所有操作都会进行访问控制及日志跟踪，提供所有密钥的使用记录，满足审计和合规性要求。 性能、成本 由云服务直接为用户加解密数据：大量数据需要通过安全信道传递到服务端，加密后再返回给用户，这一过程，对用户服务的性能影响很大。另外，大量的移动数据会带来巨大的成本。 信封加密方式：可以通过KMS的密码运算API在线生成数据密钥，用离线数据密钥在本地加密大量数据。

本文介绍如何迭代副本(备份集)。 操作场景 备份数据生成后，如需立即更新该备份集对应的备份数据版本数量信息，可以使用备份集迭代功能。 前提条件 已生成备份集。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。 4. 在云备份页面，单击左侧“混合备份（存储版）”按钮，进入混合备份控制台。 5. 单击“备份集”，进入备份集页面。 6. 单击待设置的备份集所在行“操作>迭代”，在弹窗单击“确定”后，完成备份集的迭代。

本文介绍如何禁用混合备份计划(任务)。 操作场景 当不再需要备份任务定时自动执行时，可以进行禁用备份任务。 前提条件 已创建备份任务。 操作须知 备份任务禁用后，无法进行“执行”操作，需启用该备份任务后再进行“执行”操作。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。 4. 在云备份页面，单击左侧“混合备份（存储版）”按钮，进入混合备份控制台。 5. 单击“任务列表”，进入任务列表页面。单击待禁用的备份任务所在行“操作>禁用”。

本节介绍iVPN app创建说明。 注：目前仅支持部分资源池开启iVPN app的功能，如当前资源池的云电脑（政企版）控制台没有iVPN app的功能菜单，请联系运维客服进行开通（运维客服邮箱：clouddesktop@chinatelecom.cn） 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“iVPN app”，进入iVPN app管理页面； 3.点击“创建iVPN app”； 4.填写实例名称、选择资源包及带宽、选择主VPC等； 5.确定创建后，iVPN app实例创建成功。

本文介绍多活容灾服务的收费项、价格与折扣信息。 当前多活容灾服务涉及计费的资源及价格如下表所示。 资源类型 包月标准价格 按需标准价格 备注 容灾管理中心 6000元/月/个 9元/小时/个 1. 若购买故障演练包，须与容灾管理中心配套采购。 2. 一次故障演练：指用户可通过可视化编排界面构建完整演练流程，支持自定义预案阶段划分，每个阶段可集成脚本任务、系统内置任务、人工任务等多类型操作任务，形成端到端的自动化演练方案。 故障演练包 800元/月/个 1. 若购买故障演练包，须与容灾管理中心配套采购。 2. 一次故障演练：指用户可通过可视化编排界面构建完整演练流程，支持自定义预案阶段划分，每个阶段可集成脚本任务、系统内置任务、人工任务等多类型操作任务，形成端到端的自动化演练方案。 主机高可用 6800元/年/个 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 持续数据保护 6900元/年/个 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 数据定时备份 1700元/年/TB 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 数据库双活 47000元/年/个 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 文件存储数据灾备 14500元/年/个 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 对象存储数据灾备 3700元/年/TB 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 说明 包年优惠政策： 1. 容灾管理中心和故障演练包在包月标准价基础上，包年优惠为一年9折，两年85折。 2. 主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备在包年标准价基础上，购买2年或3年为8折，购买4年或5年为7折。 注意 故障演练包 1. 故障演练包不支持续订，支持试用包（每个账号仅支持购买一次试用包，试用包的限额次数：10次）。 2. 包月计费故障演练包的限额次数：60次购买时长（单位：月）。 3. 包年计费故障演练包的限额次数：720次购买时长（单位：年）。时间到期或次数用尽都视为故障演练包到期。 计费示例 以某金融行业用户典型容灾架构为例，具体资源配比与许可采购方案如下： 1. 业务层架构 1. 资源部署：生产中心部署1台云主机，灾备中心部署1台同规格云主机 2. 技术对应：实现主备间应用级故障切换 3. 许可需求：需采购2个主机高可用许可（主备机器各需安装1个许可） 2. 数据层架构 1. 数据库双活 1. 资源部署：生产中心1台主机部署MySQL集群，灾备中心部署1台主机部署同步镜像集群 2. 技术对应：实现跨AZ实时数据同步 3. 许可需求：需采购2个数据库双活许可（主备机器各需安装1个许可） 2. 核心数据保护 1. 持续保护：对交易系统核心表实施持续数据保护 2. 技术对应：实现持续数据保护和任意时刻数据恢复 3. 许可需求：需采购2个持续数据保护许可（主备机器各需安装1个许可） 3. 历史数据保护 1. 定时备份：对历史数据执行每日增量备份+每周全备，备份后数据量为100TB 2. 技术对应：实现数据定时备份 3. 许可需求：需采购100TB数据定时灾备容量（数据定时灾备许可按TB收费） 4. 容灾演练方案 1. 演练频率：每年执行多次全链路容灾验证 2. 技术对应：支持自定义演练阶段（如模拟故障→切换→回切→验证），集成自动化脚本执行与人工确认节点 3. 许可需求：需采购1个容灾管理中心，1个容灾演练包（含可视化编排，每月60次） 计费总结： 资源类型 数量 单位 备注 主机高可用 2 个/年 实现业务层故障切换 数据库双活 2 个/年 实现数据库双活 持续数据保护 2 个/年 实现数据保护 数据定时备份 100 TB/年 实现数据保护 容灾管理中心 1 个/年 实现容灾演练 故障演练包 1 个/年 实现容灾演练

本文主要介绍设置挂载参数。 背景信息 容器使用云存储的时候是将云存储挂载到容器上，挂载完成后就可以像使用本地目录一样使用云存储。 本节主要介绍在挂载云存储的时候如何设置挂载参数，包括文件系统存储卷和对象存储卷的挂载参数设置。您可以在PV中设置挂载参数，然后通过PVC绑定PV；也可以在StorageClass中设置挂载参数，然后使用StorageClass创建PVC，从而动态创建出的PV会默认带有StorageClass中设置挂载参数。 文件存储挂载参数 CCE的存储插件Everest在挂载文件存储时默认设置了下表所示的参数。除了这些参数外，您还可以设置其他的文件存储挂载参数。 文件存储挂载参数 参数 描述 keeporiginalownership 表示是否保留文件挂载点的ownership，使用该参数时，要求Everest插件版本为1.2.63或2.1.2以上。 默认为不添加该参数，此时挂载文件存储时将会默认把挂载点的ownership修改为root:root。 如添加该参数，挂载文件存储时将保持文件系统原有的ownership。 vers3 文件系统版本，目前只支持NFSv3。取值：3 nolock 选择是否使用NLM协议在服务器上锁文件。当选择nolock选项时，锁对于同一主机的应用有效，对不同主机不受锁的影响。 timeo600 NFS客户端重传请求前的等待时间(单位为0.1秒)。建议值：600。 hard/soft 挂载方式类型。 取值为hard，即使用硬连接方式，若NFS请求超时，则客户端一直重新请求直至成功。 取值为soft，即软挂载方式挂载系统，若NFS请求超时，则客户端向调用程序返回错误。默认为hard。

本章介绍使用云服务备份前需要完成的准备工作。 使用云服务备份前，您需要完成本文中的准备工作。 注册天翼云账号并完成实名认证 创建IAM用户

本文介绍天翼云安全加速服务等级协议（SLA）。 天翼云安全加速服务等级协议（SLA）详情请参见[](

本文介绍如何查看副本(备份集)。 操作场景 用户可以查看备份任务下的所有备份数据，并在需要时通过指定版本恢复数据。 前提条件 已生成备份数据。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。 4. 在云备份页面，单击左侧“混合备份（存储版）”按钮，进入混合备份控制台。 5. 单击“备份集”，进入备份集页面。可查看所有已经生成的备份数据信息。 6. （可选）可根据需要通过备份集恢复数据，单击备份集所在行“操作>还原”进行数据恢复，具体操作参见“恢复混合备份数据”。

本文介绍如何管理混合备份历史任务。 操作场景 您可以在历史任务页面查看混合备份相关的历史任务记录和任务详情。 约束与限制 有正在执行或已执行完成的任务。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台，在云备份页面，单击左侧“混合备份（存储版）”按钮，进入混合备份控制台。 4. 点击“历史任务”可查看当前、历史的任务执行记录。 5. 单击任务所在行“操作>查看”，可进入任务详情页面。在此页面可查看本次任务的执行详细信息，包括文件数量、执行失败的报错信息等。

本文介绍如何编辑混合备份计划(任务)。 操作场景 备份任务创建后，需修改备份的内容或者备份周期时，可以使用编辑备份任务功能。 前提条件 已创建备份任务。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。 4. 在云备份页面，单击左侧“混合备份（存储版）”按钮，进入混合备份控制台。 5. 单击“任务列表”，进入任务列表页面。 6. 单击待编辑备份任务所在行“操作>编辑”。进入编辑备份任务页面。 7. 在该页面对备份任务的参数进行修改，修改完成后，单击“确定”，完成备份任务的修改。

用户添加监控视图之前，需要先创建监控看板。目前云监控服务支持创建20个监控看板，满足您对云服务运行情况不同的监控需求。 操作步骤 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 在“总览 > 监控面板”区域右侧，单击“创建监控面板”。 系统弹出“创建监控面板”。 4. 配置参数。 名称：表示监控看板名称，该参数只能由中文、英文字母、数字、下划线、中划线组成，且长度不超过128。 归属企业项目：将监控看板关联给到某个企业项目时，只有拥有该企业项目权限的用户才可以查看和管理该监控看板。 说明 企业项目仅在部分区域上线。 5. 单击“确定”，完成创建监控看板。

操作场景 监控管理控制台提供了对DRDS实例的监控管理，您可以根据实时监控监控反馈结果，对数据库进行调优。 前提条件 成功登录分布式关系型数据库服务控制台。 已创建DRDS实例、逻辑库。 操作步骤 1、 登录分布式关系型数据库控制台。 2、在“实例管理”页面，点击目标实例的“查看监控指标”，进入云监控服务页面。 3、选择目标实例，单击实例名称左侧的 ，单击操作列的“查看监控指标”。 查看监控指标 您可在云监控服务页面查看指标。 1. 在>“云服务监控”导航栏，获取云服务监控列表信息。 2. 选择您所需查看的实例名称，单击可展开当前实例下节点信息列表，并在目标实例节点右侧操作栏单击“查看监控指标”，进入该节点监控指标详情页面。 您可在监控指标信息页面，根据时间范围查看各项指标详细信息。

配置示例四：同时配置VPC终端节点策略与桶策略后，再授权其他云服务访问桶 场景描述： 当同时设置了VPC1的终端节点策略与桶mybucket的桶策略后，由于双端固定的限制，其它云服务包括OBS就无法访问桶mybucket。如果想要授权其它云服务能够访问桶mybucket，可以通过委托授权的方式。 其中VPC1的ID为：4dad1f7503614aa4ac751ffdda3a0fec。 配置方法： 1. 配置VPC1的终端节点策略如下： 只允许VPC1内的服务器上传/下载桶mybucket中的对象。 入口：服务列表 > VPC终端节点 > 单击对应VPC终端节点ID（OBS双端固定的终端节点） > 策略 > 编辑 [ { "Action": [ "obs:object:GetObject", "obs:object:PutObject" ], "Resource": [ "obs:::object:mybucket/" ], "Effect": "Allow" } ] 2. 创建IAM委托，委托其它云服务访问桶mybucket。例如，委托OBS，绑定系统策略OBS FullAccess，也可以创建自定义策略并绑定该委托。 3. 配置桶mybucket的桶策略如下： 只允许桶mybucket中的对象被VPC1内的服务器或者委托名为testAgencyName所对应授权的云服务访问桶mybucket中的对象。其中委托名以2实际创建的IAM委托名称为准。 { "Statement": [ { "Effect": "Allow", "Principal": {"ID": [""]}, "Action": [""], "Resource": ["mybucket/"], "Condition": { "StringEquals": { "SourceVpc": ["4dad1f7503614aa4ac751ffdda3a0fec"] } } }, { "Effect": "Allow", "Principal": {"ID": [""]}, "Action": [""], "Resource": ["mybucket/"], "Condition": { "StringEquals": { "ServiceAgency": ["testAgencyName"] } } } ] } 同时，桶策略也可按如下配置达到同样的效果： { "Statement": [ { "Effect": "Deny", "Principal": {"ID": [""]}, "Action": [""], "Resource": ["mybucket/"], "Condition": { "StringNotEquals": { "SourceVpc": ["4dad1f7503614aa4ac751ffdda3a0fec"], "ServiceAgency": ["testAgencyName"] } } } ] }

本文介绍海量文件服务的监控基本情况,包括监控指标等。 概述 云监控服务是天翼云针对云网资源的一项监控服务，海量文件服务通过云监控服务提供监控和告警能力。通过查看文件系统的监控数据，您可以了解到文件系统的使用情况。通过设置告警规则可以监控文件系统实例异常情况，保障业务正常进行。 海量文件服务自动接入云监控，无需开通。通过云监控查看文件系统的监控数据，您可以了解到文件系统的使用情况。 支持的地域 华北2 监控指标 容量监控 序号 监控项 英文名称 说明 单位 1 总容量 fscapacitytotal 文件系统总容量。 可选MB、GB、TB 2 已使用容量 fscapacityused 文件系统已使用容量。 可选MB、GB、TB 3 容量使用率 fscapacityutilization 文件系统容量使用率。 % 性能监控 注意 若文件系统1分钟之内请求次数小于60，则显示为0。 若图表显示“暂无数据”表示文件系统未收到客户端请求。 若读操作命中缓存，读带宽和读IOPS数值无变化。 序号 监控项 英文名称 说明 单位 1 读带宽 fsreadbw 文件系统在周期内的读数据量。 KB/s 2 写带宽 fswritebw 文件系统在周期内的写数据量。 KB/s 3 读IOPS fsreadiops 文件系统在周期内每秒平均读IOPS次数。 次 4 写IOPS fswriteiops 文件系统在周期内每秒平均写IOPS次数。 次 相关文档 云监控服务更多功能特性。

本节介绍了应用管理服务的最佳实践介绍。 通过应用市场的应用推送功能，管理员可以一键分发应用到天翼AI云电脑（政企版）中，实现快速部署的效果，还可以通过应用卸载的功能处理员工误装的风险应用。 应用推送功能，可以将应用（支持安装程序和压缩包）推送并安装至指定桌面。管理员在应用列表中选中某个“上架中”状态中的应用，点击右侧的“更多”“推送”，并根据需求配置推送规则，即可完成推送。 应用卸载功能，管理员可操作指定桌面上报已装应用信息，可选择并卸载应用。支持静默卸载的应用将直接卸载，不支持静默卸载的应用则显示卸载弹窗让用户手动卸载。 前提条件 已开通天翼AI云电脑（政企版），详情请参见快速订购AI云电脑。 已开通应用市场，详情请参见开通应用市场。 注意事项 为了保证应用推送与卸载功能的正常使用，在使用之前，请您务必认真阅读应用推送与卸载的功能介绍。详情请参见应用推送与卸载。 应用场景说明 企业管理员需要为多台员工使用的AI云电脑进行应用统一部署时，可使用应用推送功能一键下发应用安装指令，如学校统一安装教学软件等场景；企业管理员需要定期检查员工AI云电脑中是否有安装违规应用，可使用应用卸载功能一键下发应用卸载指令，如银行定期清理病毒和流氓软件等场景。

本节介绍管理员可以在安全组中定义各种访问规则，以及管理安全诅。 操作场景 云手机如果需要加强安全防护，实现访问控制，则需要管理员在安全组中定义各种访问规则，当云手机加入该安全组后，即受到这些访问规则的保护。 新增安全组 1.进入“云手机”控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.单击“新增安全组”，弹出“添加安全组”对话框； 4.设置出方向和入方向的访问控制； 5.确认相关的配置信息，点击“确定”，即完成安全组的新增。 删除安全组 当需要删除指定安全组时，如果该安全组已绑定策略使用，则需要先从策略管理中解除该安全组的绑定。 1.进入“云手机”控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.在需要删除的安全组所在行，单击“删除”。弹出“安全组删除”对话框； 4.单击“确定”，安全组即删除成功。 配置规则 当需要修改定安全组配置规则时，可以进行安全组规则的添加、修改、删除。 1.进入“云手机”控制台； 2.单击“网络管理”，选择“安全组”，进入安全组页面； 3.在需要修改的安全组所在行，单击“配置规则”。进入“安全组详情”页面； 4.在“安全组详情”页面，管理员可以对已有规则进行”修改“或”删除“； 5.在“安全组详情”页面，管理员可以单击”添加规则“，弹出“添加方向规则”对话框，进行规则配置； 6.单击“确定”，即可以完成安全组规则修改。

本文介绍使用云备份时的限制。 使用规则 在使用云备份时，需要注意以下几点： 备份时，如果相关数据正在被其它应用更改，而云备份服务需要对数据有读权限，会导致备份数据不完整，需要保证云备份服务对待备份数据的读取权限。 不建议对正在运行的应用程序的文件进行恢复，建议停止应用程序运行后再执行恢复操作。 产品使用限制 限制项 限制说明 :: 工具限制 云备份通过客户端提供备份服务。备份操作前，需要在目标主机中安装客户端。 操作系统限制 支持CentOS、Ubuntu、Windows Server 、KylinOS等常用的64位操作系统。具体的操作系统版本，请参考“安装客户端”章节。 主机状态限制 主机必须处于运行状态。 任务数量限制 单个客户端同一时刻最多同时执行2个任务（含备份任务和恢复任务），超出该数量的任务将按时间先后排队执行。 目录及文件备份限制 云备份能够备份的数据规模与备份机器的规格相关，在4GB可用内存下可备份的最大文件数量为300万个，总数据量为10TB，在16GB可用内存下可备份的最大文件数量为2000万个，总数据量为100TB。 目录及文件不能为空，最多可以输入10个文件路径或目录，不能包含/dev、/proc、/sys或其子目录，且必须为绝对路径。 高级规则中的文件列表路径必须在备份文件路径之下。 存储库和要备份的主机需在同一地域。 所有备份文件中绝对路径最长4095字符。目录的深度不超过1000。 硬链接会当成普通目录/文件进行处理。 当前版本不支持软链接。 不建议对系统路径进行备份，若对系统路径进行了备份，建议恢复时选择恢复到非系统路径下，否则可能导致系统异常，系统路径包括但不限于以下路径： Windows系统：Windows、python27、Program Files (x86)、Program Files、ProgramData、Boot、$RECYCLE.BIN、System Volume Information、Users、Administrator、NTUSER.DATpagefile.sysUsers、Administrator、ntuser.dat.LOG1 Linux系统：/bin、/usr/bin、/sbin、/boot、/proc、/sys、/srv、/lib、/selinux、/usr/sbin、/run、/lib32、/lib64、/lost+found

本节介绍AI云电脑共享盘挂载在AI云电脑内的操作说明。 以下是翼共享盘挂载在AI云电脑（Windows/UOS）内的操作： NAS共享盘手动挂载：详情见挂载管理模块。 翼共享盘内的文件操作 打开文件 用户权限要求：只读/读写 说明 1.根目录文件名和目录权限需要在“云电脑（政企版）”控制台进行创建。 2.跟目录无法在客户端及挂载盘创建。 编辑保存 用户权限要求：读写 删除文件 用户权限要求：读写 新建/上传 用户权限要求：读写 说明 1.如果用户只有只读的权限： 保存时拦截并提示“该文件为只读文件，无法直接覆盖保存”。 新建/粘贴/移动/删除文件时拦截并提示“权限不足，无法执行操作。 2.Windows版本允许下载的软件是有白名单控制，特殊应用需将文件挪到本地盘进行编辑。 翼共享盘内或跨盘复制/移动 用户权限要求：目标路径文件夹读写权限 复制/移动至AI云电脑本地 用户权限要求：只读 复制/移动操作后，会正常下载至目标路径。 传输管理托盘 支持版本：网络共享盘 1.启动托盘：翼共享安装成功后，在桌面或者应用管理菜单中启动“翼共享“，开启托盘图标； 2.查看文件上传/下载进度：点击托盘图标进入传输列表页面，文件从云端下载到AI云电脑本地，或者本地编辑保存上传到云端，都在客户端的传输管理中显示进度； 3.查看文件同步历史：点击托盘图盘显示，点击同步历史，查看当前同步历史。 说明 1.挂载盘出现异常时，可以通过托盘右键菜单进行需重新进行挂载。 2.当文件的所有上传/下载任务都完成后，自动切到同步历史tab，按时间倒序展示同步历史。同时底部显示“同步已完成”。 3.每个文件记录，除了文件的基本信息以外，显示上传/下载的类型、最后修改人、最后修改时间。

本文主要介绍会话保持。 会话保持指负载均衡器可以识别客户与主机之间交互过程的关联性，在实现负载均衡的同时，保持将其他相关联的访问请求分配到同一台主机上。 如果有一个用户在主机甲登录了，访问请求被分配到主机甲，在很短的时间，这个用户又发出了一个请求，如果没有会话保持功能的话，这个用户的请求很有可能会被分配到主机乙去，这个时候在主机乙上是没有登录的，所以需要重新登录。如果配置了会话保持功能，上述一系列的操作过程将由同一台主机完成，避免被负载均衡器分配到不同的主机上，所以也无需重复登录。 按照所使用的协议的不同，会话保持可以分为四层会话保持 和 七层会话保持 。 只有当分配策略类型选择“加权轮询算法”时，才可配置会话保持。 注意 如果您需要从云专线、VPN连接访问ELB，请您使用源IP负载均衡算法代替会话保持功能。 四层会话保持和七层会话保持的区别 类型 说明 支持的会话保持类型 会话保持时间 会话保持失效的场景 四层会话保持 当使用的协议为TCP或UDP时，即为四层会话保持。 源IP地址：基于源IP地址的简单会话保持，将请求的源IP地址作为散列键（HashKey）， 从静态分配的散列表中找出对应的主机。即来自同一IP地址的访问请求会被转发到同一台后端主机上进行处理。 默认时间：20分钟； 最长时间：1小时取值范围：160分钟 客户端的源IP地址发生变化。 客户端访问请求超过会话保持时间。 七层会话保持 当使用的协议为HTTP或HTTPS时，即为七层会话保持。 负载均衡器cookie：负载均衡器会根据客户端第一个请求生成一个cookie， 后续所有包含这个cookie值的请求都会由同一个后端主机处理。 应用程序cookie ：该选项依赖于后端应用。后端应用生成一个cookie值， 后续所有包含这个cookie值的请求都会由同一个后端主机处理。 默认时间：20分钟； 最长时间：24小时取值范围：11440分钟 如果客户端发送请求未附带cookie，则会话保持无法生效。 客户端访问请求超过会话保持时间。 独享型负载均衡器支持源IP地址、负载均衡器cookie两种会话保持类型。 共享型负载均衡器支持源IP地址、负载均衡器cookie、应用程序cookie三种会话保持类型。

本文主要介绍入门必读 性能测试是一项为基于HTTP/HTTPS/TCP/UDP/HLS/RTMP/WEBSOCKET/HTTPFLV等协议构建的云应用提供性能测试的服务。服务支持快速模拟大规模并发用户的业务高峰场景，可以很好的支持报文内容和时序自定义、多事务组合的复杂场景测试，测试完成后会为您提供专业的测试报告呈现您的服务质量。 通过简单的四步操作，您就可以完成一次性能测试。 性能测试步骤 性能测试提供体验馆功能，通过体验向导，帮助您快速熟悉性能测试的使用流程。 基本概念 测试工程： 性能测试为用户的测试工程提供管理能力，事务、压测任务、测试报告的内容在同一个测试工程内共享复用，您可以为不同的测试项目创建不同的测试工程。 事务： 事务是指用户自定义的操作模型，包括HTTP/HTTPS/TCP/UDP/WEBSOCKET报文、思考时间、响应提取和检查点和HLS/RTMP/HTTPFLV报文部分。 报文： 报文是HTTP应用程序之间发送的数据块。这些数据块以一些文本形式的元信息开头，这些信息描述了报文的内容及含义，后面跟着可选的数据部分。这些报文都是在客户端、服务器和代理之间流动。 思考时间： 为了更好的模拟用户的行为，需要模拟用户在不同操作之间等待的时间，例如，当用户收到来自服务器的数据时，可能要等待几秒查看数据，然后再做出响应，这种延迟，就称为思考时间。 响应提取： 如果同一事务中存在多个报文，通过正则表达式或JSON提取把前一个报文的输出提取出来，作后一个报文的输入。 检查点： 检查点主要是通过自定义校验信息来验证服务端的返回内容是否正确。 并发用户数： 在性能测试工具中，并发用户数一般被称为虚拟用户数。注意“并发用户数”和“在线用户数”的区别：“并发用户数”会对服务器产生压力，“在线用户数”只是挂在系统上，对服务器不产生压力。 响应时间： 用户从客户端发起一个请求开始，到客户端接收到从服务器端返回的响应结束，整个过程所耗费的时间。在性能检测中一般以测试环境中压力发起端至服务器返回处理结果的时间为计量，单位一般为秒或毫秒，该时间不同于模拟真实环境的用户体验时间。 不同行业不同业务可接受的响应时间是不同的。一般情况下，互联网企业在500毫秒以下；金融企业1秒以下为佳；保险企业3秒以下为佳。

告警响应 系统实时监控容器的运行情况，能够对可能出现的所有异常行为进行捕获和发出告警，并针对不同的入侵行为给出响应的安全处理建议，可在响应中心中查看所有入侵事件具体信息。并支持在响应中心对不同状态的容器进行相应的操作改变其状态，包括：解除隔离、启动容器、隔离容器、杀容器、暂停容器、一键封堵。 支持多种风险行为监测 支持检测诸如启动特权容器、容器逃逸行为、读取敏感文件、启动恶意进程、挂载非法设备、映射敏感目录、反弹SHELL连接操作、修改命名空间等多种风险行为的检测。 Pod隔离 支持对Kubernetes集群内Pod之间的通信进行网络隔离控制。 ATT&CK模型视角展示 基于攻击者视角显示攻击各阶段信息，反映了攻击者攻击生命周期以及各个攻击阶段的目标。 一键封堵 当生产环境内出现异常IP可通过一键封堵功对IP进行封堵，防止造成更大的损害。 安全合规 在业务系统上线运行之前，应对业务系统所在容器、集群以及容器原镜像进行合规检测，以防止不安全的配置导致容器逃逸或者集群入侵事件。 提供了对容器及集群进行合规审计，支持主流的CIS安全检测标准。基于产品提供可视化的基线检测结果和修复建议，用户可以自行修复不合规的检测项。根据用户的生产场景支持自定义合规检测项。 支持多种系统合规CIS检测 支持Docker CIS、Kubernetes CIS合规、Centos CIS、Ubuntu CIS、OpenShift合规等多种系统合规项检测，并支持快速扩展，满足不同场景的需求。 支持多种自定义检测项 用户可根据各行业安全标准，自定义配置安全合规检测项。灵活适应组织或行业的安全合规需求，提供高度个性化的定制选择。 支持一键导出合规检测结果 系统基线检测扫描后，用户快速一键生成基线的合规检测报告。 深入可视化的结果展示 合规基线检测结果可视化列表呈现，用户可以清晰看到每一个检查项的说明、通过情况以及检测详情信息。帮助用户快速了解基线检测未通过的原因，及时对容器相关配置进行修改更新。 多视角合规审计 合规基线支持多视角查看包括资产视角、合规视角，用户可在镜像、容器、节点、资产内查看当前资产的基线检测项，也可以在合规视角内查当前合规项内存在哪些不合规的资产。 持续安全检查 系统提供持续安全检查功能，通过自动扫描、监控机制。系统实时检测云原生环境的合规性，确保符合CIS基准和最佳实践。

本小节介绍处理容器告警事件。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的容器、待处理告警事件、已处理告警事件。 事件列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束限制 未开启防护的服务器不支持告警事件相关操作。 操作步骤 当发生安全告警事件后，为了保障您的云服务器安全，可以根据以下方式处理安全告警事件。 说明 由于网络攻击手段、病毒样本在不断演变，实际的业务环境也有不同差异，因此，无法保证能实时检测防御所有的未知威胁，建议您基于安全告警处理、漏洞、基线检查等安全能力，提升整体安全防线，预防黑客入侵、盗取或破坏业务数据。 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 容器安全告警”，进入“容器安全告警”页面。 告警事件状态说明 告警事件状态 告警事件状态说明 存在告警的服务器 展示存在告警容器的数量。 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 4、 处理告警事件。 告警事件展示在“容器安全告警”页面中，事件列表仅展示最近30天的告警事件。 您需要根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计。 批量处理勾选的告警 a.任意选中“事件类型”，在事件列表勾选多个目标告警，单击“事件列表”下方的“处理”。 b.在弹窗中选择处理方式，确认无误，单击“确认”，完成勾选告警处理，处理方式详情如表76所示。 处理单个告警 a.选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。 b.在弹窗中选择处理方式，确认无误，单击“确认”，完成单个告警处理，处理方式详情如表所示。 处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。

本节主要介绍配置虚机服务日志采集路径 AOM支持虚机（这里的虚机指操作系统为Linux的弹性云主机或物理机）日志采集，即采集您自定义的日志文件并展现在AOM界面中，以供您检索。使用该功能前首先要配置日志采集路径，配置方法详见如下操作。 前提条件 您需先为您的虚机安装ICAgent，详见安装ICAgent。ICAgent安装成功后，大概需要5分钟，您即可在“日志 > 日志路径”的主机列表中查看到您的虚机。 注意事项 ICAgent只采集.log、.trace和.out类型的日志文件，请确保日志文件后缀为.log、.trace或.out。例如，/opt/yilu/work/xig/debugcpu.log。 请确保配置的路径是日志目录或文件的绝对路径，且该路径是实际存在的。例如，/opt/yilu/work/xig或/opt/yilu/work/xig/debugcpu.log。 ICAgent不支持采集下级目录的日志文件。例如，/opt/yilu/work/xig的下级目录为/opt/yilu/work/xig/debug，则ICAgent不采集/opt/yilu/work/xig/debug中的日志文件。 一个虚机最多可配置20条日志采集路径。 界面方式单虚机 步骤 1 登录AOM控制台，在左侧导航栏中选择“日志 > 日志路径”，选择“主机日志”页签。 步骤 2 在虚机列表中单击虚机所在行“操作”列的“配置”，为单个虚机配置一条或多条日志采集路径。 您既可使用ICAgent自动识别的路径，也可手动配置。 使用ICAgent自动识别的路径 ICAgent会自动扫描您虚机的日志文件，自动发现虚机中所有持有文件句柄且类型为.log、.trace和.out的日志文件及其路径，然后呈现在界面中供您选择。 您可单击ICAgent自动识别路径所在行“操作”列的，将该路径添加到“已配置采集路径”列表中。如需配置多条不同的路径，重复该操作即可。 使用ICAgent自动识别的路径 手动配置 若ICAgent自动识别的路径不能满足您的需求时，您也可在“日志采集路径”文本框中输入您指定的日志目录或文件，例如/opt/user/work/xig/debugcpu.log，并单击，将该路径添加到“已配置采集路径”列表中。如需配置多条不同的路径，重复该操作即可。 手动配置 步骤 3 配置完成后，单击“确认”。

本章节主要介绍 转储数据库审计日志 。 转储数据库审计日志 DWS 记录您的数据库中的连接和用户活动相关信息。这些审计日志信息有助于您监控数据库以确保安全或进行故障排除或定位历史操作记录。当前这些审计日志默认存储于数据库中，您还可以将审计日志转储到OBS中使负责监控数据库中活动的用户更方便的查看这些日志信息。 您可以在DWS 管理控制台进行如下操作： 开启审计日志转储 修改审计日志转储 查看审计日志转储记录 关闭审计日志转储 开启审计日志转储 DWS 集群创建成功后，您可以为集群开启审计日志转储，将审计日志转储到OBS中，方便查看。 开启审计日志转储前需满足如下条件： 开启审计日志转储具体操作如下： 1. 登录DWS 管理控制台。 2. 在左侧导航栏中，单击“集群管理”。 3. 在集群列表中，单击您想要开启审计日志转储的集群的名称，然后在左侧导航栏单击“安全设置”。 4. 在“审计配置”区域中，开启审计日志转储。 表示开启状态。表示关闭状态。 每个区域的每个项目首次开启审计日志转储功能时，系统将提示您需创建名称为“DWSAccessOBS”的委托，委托创建成功后，DWS 可以将审计日志转储至OBS中。默认情况下，只有云帐号或拥有Security Administrator权限的用户才具备查询委托和创建委托的权限。帐号中的IAM用户，默认没有查询委托和创建委托的权限，此时需联系有权限的用户在当前页面完成对DWS 的委托授权。 OBS桶：存储审计数据的OBS桶名称。如果没有可选择的OBS桶，可以单击“查看OBS桶”进入OBS管理控制台创建新的OBS桶，具体操作请参见《对象存储服务用户指南》中的“控制台指南 > 管理桶 > 创建桶”章节。 OBS路径：在OBS中存储审计文件的自定义目录。多级目录可用“/”进行分隔，不能以“/”开头。路径取值范围：1~50个字符。如果填写的OBS路径不存在时，系统会先创建该OBS路径再进行转储。 转储周期（分）：根据用户配置的时间，周期性的将数据转储到OBS中。取值范围：5～43200。单位为分钟。 5. 单击“应用”。 “配置状态”显示为“应用中”，表示系统正在保存配置。 等待一段时间后再次刷新“配置状态”，当显示为“已同步”，表示已保存配置并生效。

本章节主要介绍翼MapReduce的配置Syslog北向参数。 操作场景 该任务指导用户以Syslog方式将MRS Manager的告警事件上报到指定的监控运维系统中。 须知：Syslog协议未做加密，传输数据容易被窃取，存在安全风险。 前提条件 对接服务器对应的弹性云服务器需要和MRS集群的Master节点在相同的VPC，且Master节点可以访问对接服务器的IP地址和指定端口。 操作步骤 在MRS Manager，单击“系统设置”。 1. 在“配置”区域“监控和告警配置”下，单击“Syslog配置”。 “Syslog服务”的开关默认为关闭，单击启用Syslog服务。 2. 设置如下表所示的对接参数。 详见下表：对接参数 参数区域 参数名称 参数说明 Syslog协议 服务IP 设置对接服务器IP地址。 服务端口 设置对接端口。 协议 设置协议类型，取值范围： l “TCP” l “UDP” 安全级别 设置上报消息的严重程度，取值范围： l “Informational” l “Emergency” l “Alert” l “Critical” l “Error” l “Warning” l “Notice” l “Debug” Facility 设置产生日志的模块。 标识符 设置产品标识，默认为“MRS Manager”。 报告信息 报文格式 设置告警报告的消息格式，具体要求请参考界面帮助。 报告告警类型 设置需要上报的告警类型。 l “故障”表示Manager产生告警时会上报Syslog告警消息。 l “清除”表示清除Manager告警时会上报Syslog告警消息。 l “事件”表示Manager产生事件时会上报Syslog告警消息。 报告告警级别 设置需要上报的告警级别。支持“提示”、“一般”、“严重”和 “致命”。 未恢复告警上报设置 周期上报未恢复告警 设置是否按指定周期上报未清除的告警。“周期上报未恢复告警”的开关默认为关闭，单击启用此功能。 间隔时间（分钟） 设置周期上报未恢复告警到远程Syslog服务的时间间隔，当“周期上报未恢复告警”开关打开时启用。单位为分钟，默认值为“15”，取值范围为5分钟到一天（1440分钟）。 心跳设置 上报心跳 设置是否开启周期上报Syslog心跳消息。“周期上报未恢复告警”的开关默认为关闭，单击启用此功能。 心跳周期（分钟） 设置周期上报心跳的时间间隔，当“上报心跳”开关打开时启用。单位为分钟，默认值为“15”，取值范围为160。 心跳报文 设置心跳上报的内容，当“上报心跳”开关打开时启用，不能为空。支持数字、字母、下划线、竖线、冒号、空格、英文逗号和句号等字符，长度小于等于256。 说明：设置周期上报心跳报文后，在某些集群容错自动恢复的场景下（例如主备管理节点倒换）可能会出现报文上报中断的现象，此时等待自动恢复即可。 3. 单击“确定”，设置完成。

参数 参数类型 说明 示例 下级对象 keepDuration Integer 用户断开连接后，云电脑的保留时长（单位：分钟） 3 afterReleaseAction String 云电脑释放后操作（rebuild还原;stop关机） rebuild rebuildAfterStopOrReboot String 关机或重启后还原系统（on开启;off关闭） on