本章节主要介绍如何添加安全组规则。 安全组的默认规则是在出方向上的数据报文全部放行，安全组内的物理机无需添加规则即可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当物理机加入该安全组后，即受到这些访问规则的保护。 说明 在创建物理机时只能添加一个安全组。物理机创建完成后，可以在详情页面修改每个网卡对应的安全组。 当需要从安全组外访问安全组内的物理机时，需要为安全组添加相应的入方向规则。建议将不同公网访问策略的物理机划分到不同的安全组。 说明 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的物理机。 1．登录天翼云，进入控制中心。 2．在系统首页，单击“计算 > 物理机服务”。 3．在物理机列表，单击待变更安全组规则的物理机名称，系统跳转至该物理机详情页面。 4．选择“安全组”页签，并单击 ，查看安全组规则。 5．单击安全组ID，系统自动跳转至安全组页面。 6．单击“添加规则”，添加安全组规则，相关参数说明如下表所示。 参数 说明 取值样例 协议 网络协议，取值范围为：TCP，UDP，ICMP，Any。 TCP 方向 安全组规则生效的方向，取值范围：入方向，出方向。入方向指从外表进入安全组的流量，出方向指从安全组内出去的流量。 Inbound 端口范围 规则的端口范围，取值范围为：0～65535。 22或2230 源地址 当方向为入方向时，需要填入此参数。源地址可以是IP地址，也可以是安全组。 0.0.0.0/0 目的地址 当方向是出方向时，需要填入此参数。目的地址可以是IP地址，也可以是安全组。 0.0.0.0/0

本节介绍了如何获取服务返回的CNAME，并将域名或者业务的DNS解析指向我们提供的CNAME，这样访问的请求才能转发到边缘云清洗节点上，达到清洗效果。 操作步骤 要启用DDoS高防（边缘云）服务，需要您将接入域名的DNS解析指向我们提供的CNAME，这样域名的请求才能转发到天翼云边缘节点上。 1. 在控制台【业务接入】的域名列表或者端口列表中复制域名或端口对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。 3. 验证服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效；您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctdns.cn，即表示CNAME配置已经生效，功能也已生效。 注意 1. 配置CNAME完毕，CNAME配置生效后，DDoS高防（边缘云版）服务生效。 2. CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录需要最多72小时生效时间。

此小节介绍桌面看板。 系统桌面看板分为统计控制板、活动用户、待审批工单、主机类型统计、应用类型统计、当前活动会话、今日新增会话、登录次数统计、运维次数统计、运维用户Top5、运维资源Top5、系统状态、系统信息、最近登录主机、最近登录应用、可登录主机、可登录应用等共17个信息模块，呈现云堡垒机系统状态、用户活动统计、主机/应用运维统计等信息。 不同用户角色拥有不同模块查看权限，本小节以系统管理员admin为例，介绍系统桌面看板的含义。 操作步骤 1. 登录云堡垒机系统。 2. 在左侧导航树中，选择“桌面”，进入系统桌面看板页面。 统计控制板 呈现当前用户可管理用户、主机、应用、应用服务器的统计数据，以及未处理告警消息的数量。 统计控制板 用户角色需分别获取“用户管理”、“主机管理”、“应用发布”、“应用服务器”模块管理权限，以及开启角色管理权限，即可查看系统控制板统计信息。当角色权限只有其中一个时，默认不显示统计控制板。 用户：呈现当前用户可管理用户数。单击用户模块，跳转到用户列表页面，可管理当前用户列表。 主机：呈现当前用户可管理主机资源数。单击主机模块，跳转到主机列表页面，可管理当前主机资源列表。 应用：呈现当前用户可管理应用发布资源数。单击应用模块，跳转到应用列表页面，可管理当前应用资源列表。 应用服务器：呈现当前用户可管理应用服务器数。单击应用服务器模块，跳转到应用服务器列表页面，可管理当前应用服务器列表。 告警：呈现当前用户未处理告警消息数。单击告警模块，跳转到消息中心页面，可管理当前消息列表。

本文向您介绍弹性IP服务的基本概念。 独享带宽 当您购买EIP时，无论是哪种计费模式，只要没有加入共享带宽，那么您的EIP使用的是独享带宽。 您可以根据业务需求随时调整独享带宽大小，带宽大小的修改即时生效。 独享带宽支持对单个EIP进行限速，该EIP只能被一个云资源（弹性云主机、NAT网关、弹性负载均衡等）使用。一般情况下，如果所有IP业务都是同时间进行公网访问，建议使用独享带宽。 共享带宽 共享带宽可以实现多个EIP共同使用一条带宽，针对多个EIP进行集中限速。 同一区域下的所有已绑定EIP的ECS、ELB等实例共用一条带宽资源，实现VPC和区域级别的带宽统一管理，同时方便运维统计和运营成本结算。 区域和可用区 什么是区域、可用区 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。

本文介绍弹性文件服务的产品规格。 规格类型 参数 SFS Turbo标准型 SFS Turbo性能型 最大带宽 1.5GB/s 2GB/s 最高IOPS 5000 30000 时延 10ms 3ms 容量 500GB起步，默认32TB上限，可提交工单申请扩大上限至320TB。 500GB起步，默认32TB上限，可提交工单申请扩大上限至320TB。 扩容步长 1GB 1GB 优势 低成本 低时延 应用场景 适用于大容量、低时延的业务，如代码存储、日志存储、Web服务、虚拟桌面等。 适用于海量小文件、随机IO密集型以及时延敏感型业务，如高性能计算、文件共享、内容管理等。 说明 提交工单后，在资源余量和网关余量满足的情况下可为您扩大单文件系统配额。 提交工单时须同时申请扩大单用户弹性文件系统总容量和单文件系统容量上限 两个配额项至所需配额。 规格说明 多台云主机可达到上述最大带宽，测试时建议使用多台云主机。 最大IOPS、最大带宽两个参数的值均为读写总和。比如最大IOPSIOPS读+IOPS写。 带宽大小与容量相关，但是由于有缓存，所以容量和性能的比例不容易体现。 IOPS大小与容量非线性相关。容量越大，性能越好，取决于实际压力情况。 时延是指低负载情况下的最低延迟，非稳定时延。时延与容量无关。

本章节介绍当使用数据库服务器备份失败，可能造成的原因和解决方案。 现象描述 用户在部署MySQL或SAP HANA等数据库的云服务器上，已成功安装数据库服务器备份的Agent，但执行数据库服务器备份出现失败的情况。 可能原因 没有按照云服务备份最佳实践中，通过自定义脚本实现数据库备份章节修改解冻和冻结的脚本。 解决方法 根据不同的数据库，参考最佳实践中通过自定义脚本实现数据库备份完成修改解冻和冻结的脚本后，再执行数据库服务器备份。

在本教程中,我们将为您详细介绍基于Dify和DeepSeekR1模型搭建私有知识库的方案。利用该方案,您可以在本地便捷地搭建起相应的私有知识库,大幅提升文本检索能力。 概述 前言 大模型私有知识库，作为大语言模型技术与企业、组织自有数据深度融合的创新知识管理及应用解决方案，能够为特定用户群体提供更为精准、专业且安全的知识服务。具体来讲，它是借助大语言模型搭建而成，专门为特定组织或个人定制的知识存储与检索系统。此系统会对组织内部的专业知识、业务数据、历史文档等各类信息进行深度整合与精细化处理，从而构建出独一无二的专属知识集合。依托大模型强大的语言理解与生成能力，用户能够在此基础上实现高效的知识查询与问答交互。 在本教程中，我们将为您详细介绍基于Dify和DeepSeekR1模型搭建私有知识库的方案。利用该方案，您可以在本地便捷地搭建起相应的私有知识库，大幅提升文本检索能力。 DeepSeekR1介绍 DeepSeekR1 是幻方量化旗下 AI 公司深度求索（DeepSeek）研发的一款高性能推理模型。该模型使用强化学习技术进行后训练，专注于提升在数学、代码和自然语言推理等复杂任务上的表现。 本最佳实践在算力互联调度平台的应用市场中，您可快速部署应用，并对外提供API调用服务，方便您即刻体验，开箱即用。

在 AOne会议中，您可以通过屏幕共享功能，将当前屏幕或指定窗口的内容共享给会议中的其他成员。 适用场景 展示PPT、文档、表格等会议资料。 演示软件操作或产品功能。 在线授课、培训时共享课件。 共同查看设计图纸、代码等工作内容。 远程协助排查和解决问题。 操作步骤 1. 会议中，点击底部工具栏的“共享屏幕”按钮。 2. 在弹出的窗口中，选择您想要共享的内容（如整个屏幕、应用窗口或浏览器标签页），如需同时共享您电脑的声音，可选中左下角的“同时共享电脑声音”。 3. 点击“确认共享”，开始屏幕共享。 4. 屏幕共享开启后，“结束共享”按钮会悬浮在屏幕顶部。鼠标悬浮在“您正在共享屏幕”的区域时，会显示完整的工具栏。如果在共享屏幕期间需要开启共享电脑声音，或停止共享电脑声音，可以点击菜单栏“停止共享”旁边的下三角按钮，勾选或取消勾选“同时共享电脑声音”。 5. 当前共享者可随时点击“结束共享”按钮，停止屏幕共享。 注意事项 同一时间会议中只能有一位成员进行屏幕共享。如果有其他成员正在共享屏幕，您的屏幕共享按钮会置灰，无法发起屏幕共享。 会议主持人或联席主持人拥有强制结束当前屏幕共享的权限，以便优先安排其他成员进行共享。 屏幕共享权限依赖于安全模块设置，只有主持人或联席主持人设定的可共享屏幕成员才能发起共享，否则无法使用屏幕共享功能。

本节主要介绍基本概念 API API（Application Programming Interface，应用程序编程接口）是一些预先定义的函数，应用将自身的服务能力封装成API，并通过API网关开放给用户调用。 API包括基本信息、前后端的请求路径和参数以及请求相关协议。 API分组 API分组是同一种业务API的集合，API开发者以API分组为单位，管理分组内的所有API。 环境 为了方便管理API的生命周期，API网关定义了API受限使用范围，这个受限使用的范围，称为环境，例如API的测试环境，开发环境等。 环境定义了API生命周期管理过程中的不同状态，API可以被发布到不同的自定义环境中。 调用不同环境的API，一般通过在API调用的请求头增加指定的头部参数，头部参数名固定为xstage，它的取值叫环境名，用以区分不同的环境。 环境变量 在环境上创建可管理的一种变量，该变量固定在环境上。通过创建环境变量，实现同一个API，在不同环境中调用不同的后端服务。 流量控制 流量控制支持从用户、应用、源IP和时间段等不同的维度限制对API的调用次数，保护后端服务。 API网关支持按分/按秒粒度级别的流量控制。 访问控制 访问控制策略是API网关提供的API安全防护组件之一，主要用来控制访问API的IP地址和帐户，您可以通过设置IP地址或帐户的黑白名单来允许/拒绝某个IP地址或帐户访问API。

参数 是否必填 参数类型 说明 示例 下级对象 clientToken 否 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一 xxxx regionID 是 String 区域ID 81f7728662dd11ec810800155d307d5b IDs 否 String 后端主机组ID列表，以,分隔 tg75ex90k9v0,tgr4cfhgrsss vpcID 否 String vpc ID vpcxxx healthCheckID 否 String 健康检查ID hcxxx name 否 String 后端主机组名称 test

本文主要介绍如何创建环境。 概念 环境即我们常说的开发环境、生产环境，是用于应用部署和运行的计算、网络、中间件等资源的集合。 例如可以把同VPC下的云容器引擎、注册中心、数据库等实例组成一个环境。 注意 默认项目下已内置了默认环境，无法创建自定义环境。 非默认项目下，您需要先创建环境才可完成应用接入。 操作步骤 1. 登录应用性能监控控制台，进入应用管理页面。 2. 点击“接入应用”，选择对应的语言。 3. 在应用归属中，点击“新增环境”。 4. 在新增环境弹窗中，输入以下信息。 1. 环境名称：输入合法环境名称。 2. 环境编码：自定义环境编码。 5. 点击确定按钮，完成环境创建。

Web应用防火墙（边缘云版）什么版本可以支持云虚拟主机吗？ Web应用防火墙（边缘云版）的所有版本都支持云虚拟主机。 云虚拟主机是基于云计算技术提供的虚拟化的主机服务，它可以在同一物理服务器上同时运行多个虚拟主机实例。Web应用防火墙（边缘云版）可以与云虚拟主机结合使用，为虚拟主机提供网络安全防护。通过配置和管理规则，可以检测和过滤针对虚拟主机的恶意请求，保护应用程序和数据的安全性。 Web应用防火墙（边缘云版）什么版本支持非标准化端口？ Web应用防火墙（边缘云版）目前支持标准化端口HTTP（80和8080端口）、HTTPS（443和8443端口），也支持非标准化的端口，但因WAF产品的版本不同有所限制：体验版、基础版、标准版仅支持标准化端口；专业版可支持10个特殊端口；旗舰版可支持50个特殊端口。具体套餐信息请参见套餐和版本说明。 如果您对支持非标准化端口有需求，可以通过客服工单系统提单联系我们咨询。 功能模块 描述 体验版 基础版 标准版 专业版 旗舰版 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × × √，10个特殊端口转发 √，50个特殊端口转发

事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。事件监控不依赖于Agent插件。 事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作，如删除虚拟机、重启虚拟机等。 事件监控默认开通，您可以在事件监控中查看系统事件和自定义事件的监控详情。 事件监控为您提供上报自定义事件的接口，方便您将业务产生的异常事件或重要变更事件采集上报到云监控服务。

操作场景 虚拟私有云可以为您的容灾服务器提供隔离的、用户自主配置和管理的云上虚拟网络环境。 异步复制其实就是将本地主数据中心中需要容灾的服务器的数据，实时复制到云上用户的专有网络中。当本地数据中心发生重大故障时，可以将业务切换到云上VPC中运行容灾服务器上，从而保持业务的连续性。 创建云上专有网络时需要考虑的因素： 容灾区域 需要根据业务对容灾系统的实际要求进行选择，如生产站点和容灾站点间的物理距离、网络性能以及网络成本等因素来选择容灾区域，如业务要求生产站点和容灾站点间的物理距离不低于100KM，网络时延小于100ms，同时成本限制不能使用专线等。 本地数据中心和天翼云VPC间的连接网络 公网：适用于数据变化量不大，且本地生产数据中心的系统无需频繁访问云上资源的场景。 VPN：适用于数据变化量不大，本地生产数据中心需要随时连接天翼云VPC内业务的场景。如用户有部分业务部署在天翼云，本地数据中心的业务当前就是通过VPN与云上的业务进行交互，进行异步复制时就可以使用该VPN连接。 云专线：针对数据量较大且应用较复杂的场景，通常需要根据业务的具体数据变化量进行规划。 VPC的网段 用于运行切换或者容灾演练时创建的ECS，如果需要保持切换或者容灾演练创建的ECS的IP地址和本地数据中心的生产服务器一致，可以将VPC的网段和本地生产数据中心的网段设置成相同的。业务切换或者容灾演练时，就可以保持服务器的IP地址不变，无需修改相关的配置。 操作步骤 您可以根据您的整体网络规划创建云上专有容灾网络，具体创建操作请参见虚拟私有云帮助中心。

状态 状态属性 状态说明 执行中 中间状态 该伸缩组正在执行伸缩活动。 成功 稳定状态 该伸缩组内执行完成且成功的伸缩活动，例如成功添加了1台弹性云主机实例。 失败 稳定状态 该伸缩组内执行完成但失败的伸缩活动，伸缩失败原因可能为账号余额不足或者当前可用区内资源不足等。

本节介绍云智手机的产品定义。 云智手机主要面向年轻群体，通过语音和智能体交互，调用生活、影音、游戏场景，拉动流量和云资源使用。 支持语音与文本输入，具备意图识别能力，支持一句话操作购物、出行、生活等应用。 不受手机硬件配置的限制，通过自然语言交互，调用云端部署的热高清视频、大型热门游戏，支持自适应横屏展示与游戏云挂机永不掉线。

本页主要介绍天翼云SDWAN服务的API使用说明。 OpenAPI门户提供了产品的API 文档、API调试等。 关于用户如何使用云日志服务API的详细介绍，请参见使用API。您可以在OpenAPI门户可以了解到具体的调用前必知、API概览、如何调用API以及具体的API的接口详细说明。

修改Windows系统实例默认远程端口，以Windows Server 2012数据中心版为例。 操作步骤 1. 登录控制中心，进入轻量型云主机列表页面。 2. 通过控制台VNC远程登录待修改端口的Windows轻量型云主机实例。 3. 修改注册表子项PortNumber的值。 4. 右键单击Windows 徽标键，选择运行，启动运行窗口。 5. 在运行窗口的文本框内输入regedit.exe后按回车键，打开注册表编辑器。 6. 在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > Wds > rdpwd > Tds > tcp，如下图所示： 7. 在列表中找到注册表子项PortNumber并右键单击，选择修改，进入修改窗口。 8. 在弹出的修改窗口中，在数值数据的文本框中输入新的远程端口号，以3398为例。在基数框中勾选十进制，然后单击“确定”。 9. 在左侧导航树中逐层选择HKEYLOCALMACHINE > System > CurrentControlSet > Control > Terminal Server > WinStations > RDPTcp。 10. 在右侧列表中找到注册表子项PortNumber并右键单击，选择修改（可以使用键盘方向键向下寻找）。 11. 在弹出的对话框中，在数值数据的文本框中输入新的远程端口号，在本示例中即3398。在基数框中勾选十进制，然后单击确定。 12. 在轻量型云主机管理控制台中将此台云主机进行重启。 13. 为该实例添加安全组规则，允许新配置的3398远程端口进行连接。 14. 最后使用远程桌面连接功能远程访问实例，在远程地址后面添加新端口号3398即可连接实例。

安全管理员、审计人员及运维人员，直接访问安全管理中心。本小节介绍安全专区普通用户登录方法。 安全管理员、审计人员及运维人员，直接访问安全管理中心。 1.登录页面下图所示，输入安全专区账号用户名、密码及验证码后点击确定即可完成登陆。 2.登录成功，进入安全管理中心首页。 3.首页最左侧是安全管理中心功能菜单，鼠标移至菜单图标上，可打开菜单，用户可以通过菜单进行安全管理、配置及查询分析。

本文主要介绍节点须知。 简介 节点是容器集群组成的基本元素。节点取决于业务，既可以是虚拟机，也可以是物理机。每个节点都包含运行Pod所需要的基本组件，包括Kubelet、Kubeproxy 、Container Runtime等。 说明 CCE创建的Kubernetes集群包含master节点和node节点，本章讲述的节点特指 node节点 ，node节点是集群的计算节点，即运行容器化应用的节点。 在云容器引擎CCE中，主要采用高性能的弹性云主机ECS或物理机BMS作为节点来构建高可用的Kubernetes集群。 支持的节点规格 不同区域支持的节点规格（flavor）不同，且节点规格存在新增、售罄下线等情况，建议您在使用前登录CCE控制台，在创建节点界面查看您需要的节点规格是否支持。 Docker容器底层文件存储系统说明 1.15.6及之前集群版本docker底层文件存储系统采用xfs格式。 1.15.11及之后版本集群新建节点或重置后docker底层文件存储系统全部采用ext4格式。 对于之前使用xfs格式容器应用，需要注意底层文件存储格式变动影响（不同文件系统格式文件排序存在差异：如部分java应用引用某个jar包，但目录中存在多个版本该jar包，在不指定版本时实际引用包由系统文件排序决定）。 查看当前节点使用的docker底层存储文件格式可采用docker info grep "Backing Filesystem"确认。 节点paas用户/用户组说明 在CCE集群中创建节点时，默认会在节点上创建paas用户/用户组。节点上的CCE组件和CCE插件在非必要时会以非root用户（paas用户/用户组）运行，以实现运行权限最小化，如果修改paas用户/用户组可能会影响节点上CCE组件和业务Pod正常运行。 注意 CCE组件正常运行依赖paas用户/用户组，您需要注意以下几点要求： 请勿自行修改节点内目录权限、容器目录权限等。 请勿自行修改paas用户/用户组的GID和UID。 请勿在业务中直接使用paas用户/用户组设置业务文件的所属用户和组。

本文介绍如何升级客户端。 操作场景 云容灾服务需要搭配客户端使用，当受保护的服务器安装的客户端不是最新版本时，您可以选择一键升级客户端至最新版本。 前提条件 该受保护的服务器已安装客户端，且客户端不是最新版本。 受保护的服务器状态为“已初始化”、“实时复制中”或“实时复制停止”。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入保护组板块展示页面。 5. 在保护组板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 6. 在保护组页面，在“受保护的服务器”页签，找到目标主机名，在操作列选择“更多＞服务器操作＞升级”。进入“升级容灾客户端”确认页面。 7. 确认信息后单击“确认”，服务器状态变为“客户端升级中”。 8. 当客户端版本显示最新版本时，且受保护的服务器状态恢复至升级前状态，说明升级成功。 注意 若升级过程中因服务器出错或网络等原因导致升级失败，则服务器状态从“客户端升级中”变为“升级失败”，此时您仅能执行注销操作，注销操作请参见

本文将介绍客户端不兼容SNI导致访问异常怎么办。 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题。而对SSL/TLS协议所作的一个扩展，它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。在接入Web应用防火墙（边缘云版）后，如果您出现部分客户端HTTPS访问异常问题，可能是由于有些客户端版本不支持SNI导致的。当使用不支持SNI的浏览器或客户端访问接入Web应用防火墙（边缘云版）服务的网站时，Web应用防火墙（边缘云版）防护节点不知道客户端请求的是哪个域名，所以无法正确得获取域名对应得证书来跟客户端通讯交互，此时在浏览器上就会出现“服务器证书不可信”的提示。 实际场景中，一般是只有部分旧版的PC浏览器和Android客户端不支持SNI。如果客户端不支持SNI扩展，建议通过以下方式来解决： 建议升级客户端版本，或使用新版本的浏览器访问，比如使用Chrome、Firefox等新版本的浏览器访问。 第三方程序回调的业务场景，如果第三方程序客户端不支持SNI，可建议让其直接请求访问源站IP，绕过Web应用防火墙（边缘云版）。

本文主要介绍云日志服务的欠费说明。 欠费原因 在按需计费的模式下帐号的余额不足。 欠费影响 欠费后，已有的采集配置将停用，日志无法上报，且您将无法创建日志项目和日志单元等资源。 您所占用的日志存储资源仍会按照日志存储量的计费项继续扣费，因此欠费余额会累计。 当欠费超过15天，将视为您主动放弃该服务，您保存在天翼云云日志服务中的全部数据（包括已上传的日志数据）将会被销毁，销毁后数据不可恢复。因此请您及时关注账户余额并及时续费以保证您的服务不受到影响。 充值 欠费后，如果您在15天内充值补足欠款，日志数据将自动恢复上报，您可继续使用云日志服务各项功能。 为防止相关资源不被停止或者释放，请及时进行充值，为避免帐号将进入欠费状态，需要在约定时间内支付欠款，详细操作请参考费用中心资金管理余额充值。 说明 若您确认不再使用云日志服务，请务必及时删除相关日志项目、日志单元。

本文带您了解并行文件服务HPFS的功能特性。 多协议配置 支持NFS、HPFSPOSIX协议类型，通过标准POSIX接口访问数据，无缝适配主流应用程序进行数据读写。 通过协议服务功能实现HPFSPOSIX和NFS多协议互访，实现一份数据多种业务平台同时访问。 文件系统管理 支持创建、挂载、搜索、查看、扩容、删除、子目录挂载、子目录配额等基本文件系统管理操作，支持上千台客户端挂载同一文件系统，满足高性能计算场景需求。 文件系统在线扩容 分钟级别快速扩容，用户可根据实际需要对文件系统进行在线扩容，扩容过程IO不中断，保障业务连续性。 权限与安全 HPFSPOSIX协议访问文件系统,可以通过seckey实现租户隔离，每个租户有唯一的seckey，通过seckey挂载到服务器，保障用户数据独立性。 NFS协议访问文件系统，通过VPC保证租户间数据隔离，且支持跨VPC访问文件系统。 数据监控 提供基础性能指标监控和容量指标监控，了解文件系统运行情况，并可根据业务要求配置相关告警。

本章节主要介绍创建连接MRS集群的SSH隧道并配置浏览器 。 操作场景 用户和MRS集群处于不同的网络中，需要创建一个SSH隧道连接，使用户访问站点的数据请求，可以发送到MRS集群并动态转发到对应的站点。 MAC系统暂不支持该功能访问MRS，请参考通过弹性公网IP访问内容访问MRS。 前提条件 准备一个SSH客户端用于创建SSH隧道，例如使用开源SSH客户端Git。请下载并安装。 已创建好集群，并准备pem格式的密钥文件或创建集群时的密码。 用户本地环境可以访问互联网。 操作步骤 1.登录MRS管理控制台，选择“集群列表 > 现有集群”。 2.单击指定名称的MRS集群。 记录集群的“安全组” 。 3.为集群Master节点的安全组添加一条需要访问MRS集群的IP地址的入规则，允许指定来源的数据访问端口“22”。 具体请参见“《虚拟私有云》帮助文档> 安全性 > 安全组 > 添加安全组规则”。 4.查询集群的主管理节点，具体请参考如何确认Manager的主备管理节点。 5.为集群的主管理节点绑定一个弹性IP地址。 具体请参见“《虚拟私有云》帮助文档”，为弹性云主机申请和绑定弹性公网IP。 6.在本地启动Git Bash，执行以下命令登录集群的主管理节点： ssh root@弹性 IP 地址或者 ssh i 密钥文件路径 root@弹性 IP 地址 7.执行以下命令查看数据转发配置： cat /etc/sysctl.conf grep net.ipv4.ipforward 系统查询到“net.ipv4.ipforward1”表示已配置转发，则请执行步骤9。 系统查询到“net.ipv4.ipforward0”表示未配置转发，则请执行步骤8。 系统查询不到“net.ipv4.ipforward”参数表示该参数未配置，则请执行以下命令后再执行步骤9。 echo "net.ipv4.ipforward 1"/etc/sysctl.conf 8.修改节点转发配置： a.执行以下命令切换root用户： sudo su root b.执行以下命令，修改转发配置： echo 1 > /proc/sys/net/ipv4/ipforward sed i "s/net.ipv4.ipforward0/net.ipv4.ipforward 1/g"/etc/sysctl.conf sysctlw net.ipv4.ipforward1 c.执行以下命令，修改sshd配置文件： vi /etc/ssh/sshdconfig 按I进入编辑模式，查找“AllowTcpForwarding”和“GatewayPorts”，并删除注释符号，修改内容如下，然后保存并退出： AllowTcpForwarding yesGatewayPorts yes d.执行以下命令，重启sshd服务： service sshd restart 9.执行以下命令查看浮动IP地址： ifconfig 系统显示的“eth0:FIHUE”表示为Hue的浮动IP地址，“eth0:wsom”表示Manager浮动IP地址，请记录“inet”的实际参数值。 然后退出登录：exit 10.在本地机器执行以下命令创建支持动态端口转发的SSH隧道： 使用命令 ssh i 密钥文件路径 v ND 本地端口地址 root@弹性IP 地址或者 ssh v ND 本地端口地址 root@弹性 IP 地址 ，然后输入创建集群时的密码。 其中，“本地端口地址”需要指定一个用户本地环境未被使用的端口，建议选择8157。 创建后的SSH隧道，通过“D”启用动态端口转发功能。默认情况下，动态端口转发功能将启动一个SOCKS代理进程并侦听用户本地端口，端口的数据将由SSH隧道转发到集群的主管理节点。 11.执行如下命令配置浏览器代理。 a.进入本地Google Chrome浏览器客户端安装目录。 b.按住“shift+鼠标右键”，选择“在此处打开命令窗口”，打开CMD窗口后输入如下命令： chrome proxyserver"socks5://localhost:8157" hostresolverrules"MAP 0.0.0.0 , EXCLUDE localhost" userdatadirc:/tmppath proxybypasslist"googlecom, gstatic.com, gvt .com, :80" 说明 8157为步骤10中配置的本地代理端口。 若本地操作系统为Windows 10，请打开Windows操作系统“开始”菜单，输入cmd命令，打开一个命令行窗口执行12中的命令。若该方式不能成功，请打开Windows操作系统“开始”菜单后，在搜索框中输入并执行11中的命令。 12.在新弹出的浏览器地址栏，输入Manager的访问地址。 Manager访问地址形式为 浮动IP 地址:28443/web 。 访问启用Kerberos认证的集群时，需要输入MRS集群的用户名和密码，例如“admin”用户。未启用Kerberos认证的集群则不需要。 第一次访问时，请根据浏览器提示，添加站点信任以继续打开页面。 13.准备站点的访问地址。 a.参考开源组件Web站点中的Web站点一览，获取Web站点的地址格式及对应的角色实例。 b.单击“服务管理”。 c.单击指定的服务名称，例如HDFS。 d.单击“实例”，查看NameNode的主角色实例“NameNode(主)”的“业务IP” 14.在浏览器输入访问Web站点真实地址并访问。 15.退出访问Web站点时，请终止并关闭SSH隧道。

本文向您介绍怎样禁用通过SSH密码访问云主机的连接方式。 操作场景 安全性方面，SSH密钥连接方式的安全性高于密码连接方式。选择密钥方式连接云主机后，可以禁用密码连接云主机的方式。 说明 该设置方法仅适用于SSH远程连接操作，控制台登录过程仍然使用密码登录，请妥善保存云主机登录密码，如果密码丢失可执行重置密码操作。 操作步骤 1. 登录Linux云主机，执行以下命令打开sshdconfig文件的编辑界面。 vi /etc/ssh/sshdconfig 编辑SSH连接方式，把PasswordAuthentication yes改为PasswordAuthentication no。 2. 重启sshd服务后使更新后的配置生效，无报错则为重启成功。 CentOS6/ubuntu执行： service sshd restart CentOS7/CtyunOS执行： systemctl restart sshd 3. 重启该云主机后，使用SSH密码方式访问云主机，如果提示“Disconnected:No supported authentication methods available”，说明已成功禁用SSH密码连接方式。

新增接入流程 新增接入是指对于已经获得备案号的主体以及本次备案的已经获得了网站备案号的域名（该网站未在天翼云有接入服务），用户需要在天翼云办理新IP接入服务，这就是新增接入操作。 系统会自动区分非天翼云主体与天翼云主体。非天翼云主体是指此次备案的主办单位之前没有在本次备案的接入商做过任何备案，我们统称之为非天翼云主体。反之，天翼云主体就是指此次备案的主办单位之前已经在本次备案的接入商处做过备案并获得了备案号。 新增接入是指您本次接入的域名和主体都获得了管局下发的备案号，且该备案号是在其他isp商获得的。而且域名所在网站的备案号与主体备案号相关联。用户可以通过工信部网站提供的公共查询功能（ 针对三证合一或五证合一的企业单位，在进行新增接入操作时，如果之前是使用三证合一前的证件即旧证件备案并获得备案号的（但在证件三证合一后未及时进行备案变更的），那么在进行备案订单创建时，需要使用旧证件号码进行录入。因为备案订单的创建是调用管局的已备案信息库。 部分企业三证合一前的证号可通过全国企业信用信息查询网站www.gsxt.gov.cn查询获得（即工商注册号），或全国组织机构代码管理中心网站www.cods.org.cn查询。 在同一个接入商内，在同一条订单内可填写多条网站信息（多个网站备案号）。 流程如下 新增接入备案的完整流程及流程简图如下图所示： 1 创建新增接入订单 通过备案类型的自动匹配（主办单位证件号码已经获得备案号，域名也获得备案号且与主体相关），在系统无其他冲突数据的前提下创建订单任务，点击“查看”进入新增接入流程。 2 填写主办单位信息 填写主办单位信息，请按照页面提示，完善您本次备案的主办单位信息和单位负责人信息。所有必填项信息填写完毕后，点击“保存”或“下一步，填写网站信息”按钮保存所填写的主体信息。 注意：新增接入时，主体信息不提交管局审核，仅做天翼云系统内部留存之用。 3 填写网站及接入信息 填写网站信息，按照页面提示内容进行内容填写。填写您本次备案的网站信息和接入信息，域名录入请录入一级域名或单个专线IP地址，不支持二三级域名或ip段的录入。录入域名信息时，必须保证所录入的域名为该网站备案号下的已备案域名，不能填写未备案域名或其他网站备案号下的域名。此处录入的域名表示天翼云接入，如该网站备案号下有个别域名不需要天翼云接入，请勿填写。 注意：网站负责人信息、网站名称不提交管局审核，仅提交域名、网站接入信息。如果您本次备案的主办单位需要连续增加多个网站接入，请点击“继续新增接入”来进行操作。点击“继续新增接入”，打开弹框，如下图所示： 录入网站域名，系统会自动校验该域名的网站备案号，该网站备案号必须与主体备案号相关，否则无法继续操作。 4 资料上传 系统支持通过小程序采集上传和本地图片上传两种方式。 材料上传只支持jpg、png格式的图片，请勿上传其他格式的图片。系统限定每个图片类型最多上传3张图片，如位置不够可以传至其他空白位置。 5 本地上传图片 用户需要按照页面指引，上传各类证件彩色图片。 6 APP电子化方式上传图片 通过微信小程序扫描二维码后，在小程序端按照系统所提示采集需要图片，完成图片采集完成后会自动生成18位验证码，需将验证码填报至上图指定位置后，点击“确定”按钮，系统会自动将图片对应到合适位置。 预览填写的信息，并准确核对所填写的信息，并对有需更正的地方返回上一步修改。 信息预览无误后，点击“提交审核”，备案信息将提交至管理员进行审核。 7 天翼云/管局审核 提交预审核，天翼云备案专员将会尽快审核您的信息是否符合备案要求。审核符合要求的，天翼云会尽快代您将备案信息提交至管局进行备案终审，提交管局后，请主体和网站负责人收到验证短信后，在24小时内按照短信指引完成，否则会被管局退单。 管理员将根据真实性验信息和图片信息情况填写审核意见，如所备案信息和证件等信息无误，审核通过并提交管局；反之，审核拒绝，退回备案信息给备案发起人进行修改，或退回至待核验环节或待预审核环节由相关人员处理。 信息提交管局后，请耐心等待管局的审核，管局审核拒绝或接口自动退回后，会在订单中获得退回的意见，管理员或用户需根据退回意见进行修改后重新进行备案流程。 备案通过后，管局会给主办单位负责人发送备案通过通知，同时，经过管局审核的备案信息会同步给天翼云侧备案系统，您所已经备案通过的信息可以通过“已备案信息管理”进行查看管理。 去备案

您可以根据云硬盘备份将磁盘数据恢复到备份时刻的状态。 您可以根据云硬盘备份将磁盘数据恢复到备份时刻的状态。 前提条件 需要恢复的磁盘状态为可用。 在恢复数据前，需要先停止云主机，并解除云主机和磁盘的挂载关系后再做恢复操作。恢复后，再挂载磁盘并启动云主机。 约束与限制 如果系统盘在备份完成后，云主机切换过系统，则由于磁盘的UUID变化等原因将会导致系统盘备份无法恢复原系统盘。您可以使用系统盘备份创建新磁盘后，将数据导入原系统盘中。 目前仅支持将备份恢复至原磁盘中，暂不支持将备份恢复至新的磁盘中。如果希望将备份恢复至其他的磁盘中，可以使用备份创建新的磁盘。 暂不支持批量恢复数据操作。 操作步骤 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份”。选择对应的备份目录。 2. 选择“备份副本”页签，找到存储库和磁盘所对应的备份。 3. 单击备份所在行的“恢复数据”，弹出恢复数据对话框，如下图所示。 图 找到目标备份副本 图 恢复磁盘 注意 恢复磁盘数据之后将导致备份时间点的数据覆盖磁盘数据，一旦执行，无法回退。 如果恢复按钮为灰色，需要先停止云主机，并解除云主机和磁盘的挂载关系后再做恢复操作。恢复后，再挂载磁盘并启动云主机。 4. 根据页面提示，单击“确定”。可以在云硬盘备份副本页面和云硬盘页面确认恢复数据是否成功。直到云硬盘备份的“状态”恢复为“可用”时，表示恢复成功。恢复成功的资源数据将于备份时间点保持一致。 5. 恢复完成后，需要将磁盘重新挂载至云主机上。

本文主要介绍权限管理 如果您需要在云上购买的APM资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制APM资源的访问。 通过IAM，您可以在云帐号中给员工创建IAM用户，并使用策略来控制员工对APM资源的访问范围。例如您的员工中有负责软件开发的人员，您希望开发人员拥有APM的使用权限，但是不希望开发的人员拥有删除服务发现规则等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用服务发现规则，但是不允许删除服务发现规则的权限策略，控制服务对服务发现规则资源的使用范围。 如果帐号已经能满足您的使用需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用APM的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 APM权限 默认情况下，管理员创建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对APM进行操作。 APM是全局级服务，在授予用户APM权限时，默认对APM支持的所有区域生效。APM资源是租户隔离的，当前租户下所有子用户共享资源，如果需要隔离资源，可以通过企业项目实现。 APM部署时不区分物理区域，为全局级服务。授权时，在“企业 > 项目管理”中设置权限，访问APM时，不需要切换区域。 如表所示，包括了APM的所有系统权限。 表 APM系统权限 角色名称 描述 类别 APM FullAccess 应用性能管理服务的所有执行权限。 系统策略 APM ReadOnlyAccess 应用性能管理服务的只读权限。 系统策略 下表列出了APM常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 操作 APM FullAccess APM ReadOnlyAccess 获取告警列表 √ √ 获取告警详情 √ √ 获取告警通知详情 √ √ 获取应用配置 √ √ 创建应用配置 √ x 删除应用配置 √ x 修改应用配置 √ x 获取标签 √ √ 新增标签 √ x 删除标签 √ x 修改标签 √ x 查询告警模板 √ √ 添加告警模板 √ x 删除告警模板 √ x 修改告警模板 √ x 获取通知 √ √ 删除通知 √ x 添加通知 √ x 修改通知 √ x 获取URL跟踪 √ √ 删除URL跟踪 √ x 添加URL跟踪 √ x 修改URL跟踪 √ x 获取URL跟踪视图 √ √ 获取URL跟踪列表 √ √ 获取全局拓扑 √ √ 获取子应用 √ √ 获取环境配置 √ √ 添加环境配置 √ x 删除环境配置 √ x 修改环境配置 √ x 获取实例 √ √ 删除实例 √ x 修改实例 √ x 获取监控项 √ √ 修改监控项 √ x 获取采集状态 √ √ 获取自定义告警策略 √ √ 删除自定义告警策略 √ x 修改自定义告警策略 √ x 添加自定义告警策略 √ x 获取环境拓扑 √ √ 获取指标视图 √ √ 获取调用链列表 √ √ 获取调用链详情 √ √ 获取采集器信息 √ √ 获取访问密钥 √ √ 修改访问密钥 √ x 删除访问密钥 √ x 添加访问密钥 √ x 获取通用配置 √ √ 修改通用配置 √ x

数据安全中心（DSC）不会保存您的数据和文件，在您授权访问数据源后，DSC会对数据进行识别、脱敏、或添加水印等操作。 数据安全中心（DSC）不会保存您的数据和文件，在您授权访问数据源后，DSC会对数据进行识别、脱敏、或添加水印等操作。 数据识别的结果将展示在DSC的控制台，如何查看敏感数据识别结果，请参见敏感数据识别结果。

本文主要介绍云日志服务如何接入云容器引擎文本日志。 本文将介绍如何在云日志服务控制台配置云容器引擎的日志接入与采集规则配置。 使用场景 云容器引擎业务日志采集功能是为用户提供的天翼云云容器引擎集群内的业务日志采集工具，可以将集群内的业务日志采集至云日志服务中进行统一存储。 日志采集功能需要为云容器引擎集群安装日志采集ctglogoperator插件并配置采集规则。采集插件安装后，日志采集器将会在集群内以 DaemonSet 的形式运行，并根据用户在云日志服务控制台配置的采集规则（包括采集源、日志单元和日志切割方式等），从采集源进行日志采集。 前提条件 已创建日志项目与日志单元，详情请参考创建日志项目与日志单元。 已创建天翼云云容器引擎。 应用日志接入步骤 1. 登录云日志服务控制台。 2. 左侧点击【日志接入】菜单，进入日志接入页面。选择“云容器引擎应用日志”进行容器接入配置。 3. 选择日志单元。 1. 点击“所属日志项目”后的目标框，在下拉列表中选择具体的日志项目，若没有所需的日志项目，点击“所属日志项目”目标框后的“新建”，在弹出的创建日志项目页面创建新的日志项目。 2. 点击“所属日志单元”后的目标框，在下拉列表中选择具体的日志单元，若没有所需的日志单元，点击“所属日志单元”目标框后的“新建”，在弹出的创建日志单元页面创建新的日志单元。 3. 单击“云容器引擎集群”后的目标框，在下拉列表中选择具体的集群。 4. 点击下一步。 4. 检查依赖项。 系统将自动检查以下检查项是否符合要求，若检测不通过，请根据页面指引进行修复。 1. 云容器引擎需要处于正常运行状态。 2. 云容器引擎已安装ctglogoperator插件且插件版本满足要求。 3. 存在名为“ccsegroup集群ID”的主机组。 4. 云容器引擎所在的VPC已创建云日志服务终端节点。 5. 配置采集规则。 对日志采集设置具体的采集规则。具体请参考[采集配置](

此小节介绍企业主机安全漏洞管理类问题 漏洞管理显示的主机不存在？ 漏洞管理显示24小时内检测到的结果。若检测到主机存在漏洞后，您修改了主机的名称，检测结果会显示原主机名称，不会显示当前主机名称。 漏洞修复完毕后是否需要重启主机？ Windows系统漏洞修复完成后需要手动重启主机。 Linux系统Kernel类的漏洞修复完成后需要手动重启主机，其它类型漏洞修复完成后不重启也能生效。 如何处理漏洞？ 处理方法和步骤 1、查看漏洞检测结果。 2、按照漏洞检测结果给出的漏洞修复紧急度和解决方案逐个进行修复漏洞。 windows系统漏洞修复完成后需要手动重启。 Linux系统Kernel类的漏洞修复完成后需要手动重启。 3、企业主机安全服务每日凌晨将全面检测Linux主机和Windows主机，以及主机WebCMS的漏洞，漏洞修复完成后建议立即执行一次检测，核实修复结果。 漏洞修复后，为什么仍然提示漏洞存在？ 在企业主机安全控制台上使用漏洞管理功能修复系统软件漏洞时，如果提示漏洞修复失败，请参见以下可能原因： Windows系统服务器操作 补丁安装包下载不成功 您的服务器可能无访问公网权限，请在能访问Internet后，重新执行漏洞修复操作。 补丁安装包不匹配 请进一步确认补丁安装包的详细信息，如果补丁确实与您的服务器系统不匹配，建议您在“漏洞管理”界面中忽略该漏洞。 另一个补丁正在安装 由于服务器不能同时运行两个补丁安装程序，建议您等当前补丁安装完成后尝试重新执行漏洞修复操作。