场景架构图 应用场景：大数据分析 场景说明 大数据分析场景处理大容量数据，需要高I/O能力和快速的数据交换处理能力。例如MapReduce 、Hadoop计算密集型。 场景痛点 业务数据量不断增大，对计算资源需求较大，造成企业成本压力； 数据处理具有周期性，业务波动变化频繁，需要灵活调度资源。 应用推荐 使用本地盘云主机，在保证海量存储空间、高存储性能的前提下，可以为云端的Hadoop集群、Spark集群提供更高的网络性能。 产品优势 使用本地盘云主机，提供高可靠存储资源，便于安全存储数据、文件和应用程序； 对于重点保护数据，可通过对象存储的多副本冗余功能，实现异地数据容灾； 可按需在线弹性扩展，不需要迁移数据，满足大容量、高并发请求的挑战。 推荐搭配 弹性伸缩服务、弹性负载均衡、对象存储。 场景架构图 应用场景：图形渲染 场景说明 工业设计工具、视频渲染、图形处理等场景需要强大计算能力，追求极致性能体验，以及超高性价比。

本节介绍态势感知的威胁告警功能简介。 背景信息 态势感知威胁告警功能汇集了多个安全服务的告警能力，按照告警类型和等级统一维度呈现，可以准确实时监控云上威胁攻击、检测您资产中的安全告警事件。 同时，通过威胁分析，从攻击源和受攻击资产两个维度，帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。 态势感知威胁告警支持以下功能项： 告警列表：通过“实时监控”云上威胁告警事件，并接入HSS、WAF等服务上报的告警事件，提供告警通知和监控，记录近180天告警事件详情。 威胁分析：从“攻击源”或“被攻击资产”查询威胁攻击，统计威胁攻击次数或资产被攻击次数。 告警类型 目前SA支持检测8类威胁告警事件，共包括200+种子告警类型。 DDoS事件 “实时检测”互联网主机的DDoS攻击。 共支持检测100+种子类型的DDoS威胁。 网络层攻击：NTP Flood攻击、CC攻击等。 传输层攻击：SYN Flood攻击、ACK Flood攻击等。 会话层攻击：SSL连接攻击等。 应用层攻击：HTTP Get Flood攻击、HTTP Post Flood攻击等。 暴力破解事件 “实时检测”入侵资产的行为和主机资产内部的风险，检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击，以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解（2种）、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解（3种）、HTTP暴力破解（4种）、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。

本节主要介绍云上ECS如何通过内网访问OBS。 场景介绍 一般情况下，用户会通过OBS提供的桶访问域名（例如 某企业基于弹性云主机（CTECS，Elastic Cloud Server）构建好基础的业务后，随着数据增长，硬盘已无法满足大量的图片、视频等数据存取需求。了解到天翼云提供有海量、弹性的云存储服务OBS后，决定将OBS作为数据存储资源池，以减轻服务器负担。 在ECS上可以通过公网和天翼云内网两种网络访问OBS。当有存取对象数据的需求时，公网方式响应速度会因为网络质量而受到影响，读取数据还将收取一定的流量费用。为最大化的优化性能、节省开支，企业管理者希望通过内网的方式访问OBS。 说明 当通过内网访问OBS时，需要确保待访问的OBS资源与ECS属于同一个区域，如果不属于同一个区域，将采用公网访问。 方案介绍 在已搭建的ECS上通过配置内网DNS，由内网DNS解析OBS域名，即可实现在ECS上经由内网访问OBS。访问过程示意图如所示。 示意图中的各服务说明如下： 服务 说明 :: 虚拟私有云（CTVPC） VPC主要负责为ECS构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署。 子网是VPC中用来为ECS提供IP地址管理、DNS服务的一个网络，子网内ECS的IP地址都属于该子网。 内网DNS （CTIDNS） 内网DNS，提供VPC内的安全、全面、高性能的域名解析功能。可直接响应内网域名的解析请求，快速高效，有效防护劫持，简化域名解析流程，减少因访问公网产生的流量费用。 对于Windows ECS，推荐使用OBS Browser+工具，实现内网访问OBS的目的；对于Linux ECS，推荐使用obsutil工具，实现内网访问OBS的目的. 当在ECS上通过内网访问OBS时，即可在内网进行数据读取、备份归档等业务，而不影响外网带宽。

操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制>安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制>安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

本文为您介绍使用虚拟私有云产品时的相关限制,请您务必仔细阅读后使用。 VPC服务使用限制 VPC在使用过程中存在一些限制，您可以单击以下链接，了解不同功能的限制说明。 VPC网段和扩展网段限制 路由表限制 虚拟IP限制 弹性网卡限制 安全组限制 网络ACL限制 对等连接限制 前缀列表限制 流量镜像限制 DHCP选项集限制 组播限制

高级配置（可选） MRS集群高级配置拓扑 参数 参数说明 标签 具体请参考添加集群标签。 主机名前缀 用作集群中ECS机器主机名的前缀。 弹性伸缩 请在“硬件配置”页签指定Task节点的规格，然后参考配置弹性伸缩规则配置。 引导操作 具体请参考添加引导操作。MRS 3.x版本暂时不支持该参数。 委托 通过绑定委托，ECS或BMS云服务将有权限来管理您的部分资源，请根据实际业务场景需求确认是否需要配置委托。 例如通过配置ECS委托可自动获取AK/SK访问OBS，具体请参见配置存算分离集群（委托方式）。 MRSECSDEFAULTAGENCY委托拥有对象存储服务的OBSOperateAccess权限和在集群所在区域拥有CESFullAccess（对开启细粒度策略的用户）、CES Administrator和KMS Administrator权限。 指标共享 用于采集大数据组件的监控指标，当用户使用集群过程中出现问题时，供支持人员定位问题。MRS 3.x版本暂时没有该参数。 OBS权限控制 开启细粒度权限控制的用户可以通过该功能实现不同的MRS用户对OBS文件系统下的不同目录有不同的权限。具体请参见配置MRS多用户访问OBS细粒度权限。MRS 3.x版本暂时没有该参数。 数据盘加密 是否对集群挂载的数据盘中的数据进行加密，默认关闭。如需使用该功能，当前用户必须拥有“Security Administrator”和“KMS Administrator”权限。MRS 3.x版本暂时没有该参数。 加密数据盘使用的密钥由数据加密服务（DEW，Data Encryption Workshop）中的密钥管理（KMS，Key Management Service）功能提供，无需您自行构建和维护密钥管理基础设施，安全便捷。通过单击“数据盘加密”开启或关闭数据盘加密功能。 密钥ID 当“数据盘加密”功能开启时，显示该参数。用于显示已选择的密钥名称对应的密钥ID。MRS 3.x版本暂时没有该参数。 密钥名称 当“数据盘加密”功能开启时，需要配置该参数。选择用来加密数据盘的密钥名称，默认选择密钥名称为“evs/default”的默认主密钥，在下拉框中可以选择其他用户主密钥。MRS 3.x版本暂时没有该参数。 使用用户主密钥加密云硬盘，若对用户主密钥执行禁用、计划删除等操作，将会导致云硬盘不可读写，甚至数据永远无法恢复，请谨慎操作。单击“查看密钥列表”，进入密钥管理页面可以创建及管理密钥。 告警 开启告警功能可在集群运行异常或系统故障时，及时通知集群维护人员定位问题。 规则名称 用户自定义发送告警消息的规则名称，只能包含数字、英文字符、中划线和下划线。 主题名称 选择已创建的主题，也可以单击“创建主题”重新创建。新创建的主题请参考配置消息通知章节中的 向主题添加订阅部分，向该主题添加订阅者才能接收发布至主题的消息。 主题是发送消息和订阅通知的信道，为发布者和订阅者提供一个可以相互交流的通道。 日志记录 集群创建失败时，是否收集失败日志。 开启日志记录开关之后将自动收集集群创建失败、扩/缩容失败等场景下的系统日志及相关组件运行日志到OBS文件系统中，该日志用于运维人员快速定位问题。该日志信息将最多保留7天。 Kerberos认证 登录Manager管理页面时是否启用Kerberos认证。 ：“Kerberos认证”关闭时，普通用户可使用MRS集群的所有功能。建议单用户场景下使用。不启用Kerberos认证时的安全配置建议请参见集群（未启用Kerberos认证）安全配置建议。 ：“Kerberos认证”开启时，普通用户无权限使用MRS集群的“文件管理”和“作业管理”功能，并且无法查看Hadoop、Spark的作业记录以及集群资源使用情况。如果需要使用集群更多功能，需要找Manager的管理员分配权限。建议在多用户场景下使用。 用户名 Manager管理员用户，目前默认为admin用户。 密码 配置Manager管理员用户的密码。 需要满足： 密码长度应在8～26个字符之间，必须包含如下4种字符的组合 − 至少一个小写字母 − 至少一个大写字母 − 至少一个数字 − 至少一个特殊字符：! ?,.: {} [ ]@ $% ^ + / 不能和用户名或倒序的用户名相同 安全程度：颜色条红、橙、绿分别表示密码安全强度弱、中、强。 确认密码 再次输入Manager管理员用户的密码。 登录方式 密码 使用密码方式登录ECS节点。 密码设置约束如下： 1. 字符串类型，可输入的字符串长度为8~26。 2. 至少包含四种字符组合，如大写字母，小写字母，数字，特殊字符（! ?,.: {} [ ]@ $% ^ + /）。 3. 不能与用户名或倒序用户名相同。 密钥对 使用密钥方式登录集群ECS节点。从下拉框中选择密钥对，如果已获取私钥文件，请勾选“我确认已获取该密钥对中的私钥文件SSHkeyxxx ，否则无法登录弹性云主机”。如果没有创建密钥对，请单击“查看密钥对”创建或导入密钥，然后再获取私钥文件。 密钥对即SSH密钥，包含SSH公钥和私钥。您可以新建一个SSH密钥，并下载私钥用于远程登录身份认证。为保证安全，私钥只能下载一次，请妥善保管。 您可以通过以下两种方式中的任意一种使用SSH密钥。 1. 创建SSH密钥：创建SSH密钥，同时会创建公钥和私钥，公钥保存在ECS系统中，私钥保存在用户本机。当登录弹性云主机时，使用公钥和私钥进行鉴权。 2. 导入SSH密钥：当用户已有公钥和私钥，可以选择将公钥导入系统。当登录弹性云主机时，使用公钥和私钥进行鉴权。 通信安全授权 MRS集群通过管理控制台为用户发放、管理和使用大数据组件，大数据组件部署在用户的VPC内部，MRS管理控制台需要直接访问部署在用户VPC内的大数据组件时需要开通相应的安全组规则，而开通相应的安全组规则需要获取用户授权，此授权过程称为通信安全授权。具体请参考授权安全通信。 若不开启通信安全授权，MRS将无法创建集群。

本节介绍数据加密的权限管理说明。 如果您需要对云服务平台上购买的数据加密（以下简称DEW）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制员工对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望这些开发人员拥有DEW的使用权限，但是不希望开发人员拥有删除DEW等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DEW，但是不允许删除DEW的权限策略，控制员工对云资源的使用范围。 如果系统帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DEW的其它功能。 数据加密权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DEW部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问KMS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对KMS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action）。 DEW系统权限 系统角色/策略名称 描述 类别 KMS Administrator 加密密钥的管理员权限。 系统角色 KMS CMKFullAccess 加密密钥所有权限。 系统策略 下表列出了DEW常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 KMS Administrator KMS CMKFullAccess 创建密钥 √ √ 启用密钥 √ √ 禁用密钥 √ √ 计划删除密钥 √ √ 取消计划删除密钥 √ √ 修改密钥别名 √ √ 修改密钥描述 √ √ 创建随机数 √ √ 创建数据密钥 √ √ 创建不含明文数据密钥 √ √ 加密数据密钥 √ √ 解密数据密钥 √ √ 获取密钥导入参数 √ √ 导入密钥材料 √ √ 删除密钥材料 √ √ 创建授权 √ √ 撤销授权 √ √ 退役授权 √ √ 查询授权列表 √ √ 查询可退役授权列表 √ √ 加密数据 √ √ 解密数据 √ √ 查询密钥实例 √ √ 查询密钥标签 √ √ 查询项目标签 √ √ 批量添加删除密钥标签 √ √ 添加密钥标签 √ √ 删除密钥标签 √ √ 查询密钥列表 √ √ 查询密钥信息 √ √ 查询实例数 √ √ 查询配额 √ √ 系统默认提供两种权限策略：系统策略和自定义策略。系统策略是IAM预置的策略，用户只能使用不能修改。若系统策略不满足授权要求，用户可以创建自定义策略，自由搭配需要授予的权限集。 用户组配置权限策略后，将用户加入用户组中，可以使该用户获得权限策略中定义的操作权限。

本小节介绍安全专区管理员登录方法。 管理员直接通过天翼云控制台进行单点跳转登录。 操作步骤 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 安全管理 > 安全专区”，进入安全专区产品详情页面。 3. 单击“管理控制台”，进入安全专区实例管理页面。 4. 选择对应的安全专区实例，在操作列单击“控制台”，即可跳转进入安全专区管理页面。

此小节介绍个人数据保护机制。 云堡垒机实例不直接采集用户个人数据。实例创建成功后，登录云堡垒机系统需创建用户账号，创建登录系统用户账号涉及个人数据采集。 为了确保您的个人数据（例如云堡垒机系统登录名、密码、手机号码等）不被未经过认证、授权的实体或者个人获取，云堡垒机通过加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露，保证您的个人数据安全。 收集范围 云堡垒机收集及产生的个人数据如下所示： 服务 类型 收集方式 是否可修改 是否必须 ::::: 云堡垒机实例 登录名 在创建用户账号时由系统管理员配置登录名 否 是 登录名是用户的身份标识信息 云堡垒机实例 密码 在管理员创建用户、重置用户密码时配置密码 在用户登录系统前重置密码、登录系统后修改密码时输入密码 是 是 用户登录云堡垒机系统时使用 云堡垒机实例 邮箱 在管理员创建用户时配置邮箱 在用户登录系统后修改邮箱时输入邮箱 是 是 接收系统邮件通知 云堡垒机实例 手机 在管理员创建用户时配置手机号 在用户登录系统后修改手机时输入手机号 是 是 接收系统手机短息通知 在忘记密码时通过手机验证码重置密码 存储方式 云堡垒机通过加密算法对用户个人敏感数据加密后进行存储。 登录名：不属于敏感数据，明文存储 密码、邮箱、手机：加密存储

本文介绍云搜索服务和天翼云官网其他产品之间的关联关系。 相关服务 交互功能 虚拟私有云（CTVPC，Virtual Private Cloud） 云搜索服务在购买前需要提前开通虚拟私有云，实例将建立在同资源池下指定的子网内，VPC之间网络隔离，可为用户提供安全的网络环境。详细请参考虚拟私有云产品文档。 弹性云主机（CTECS，Elastic Cloud Server） 云搜索服务的每个实例节点即为一台弹性云主机，创建实例时会根据购买需求自动下单对应数量，主要提供计算分析服务。 云硬盘（CTEVS，Elastic Volume Service） 云搜索服务使用云硬盘存储用户的索引数据，创建实例时会根据购买需求将云硬盘自动挂载在对应节点。 弹性IP（EIP，Elastic IP） 云搜索服务如需要开放公网访问，需要购买弹性IP或IPv6带宽并绑定到实例对应组件上。详细请参考弹性IP产品文档。 对象存储服务（CTZOS，Zettabyte Object Storage） 云搜索服务的实例快照及所需要安装的自定义插件均需要开通对象存储服务，进行存储和读取。详细请参考对象存储服务产品文档。 弹性负载均衡（CTELB ，Elastic Load Balancing） 云搜索服务的实例需要分流访问流量时，可以通过购买负载均衡类产品，对接到云搜索实例上，实现后端主机分流访问。详细请参考弹性负载均衡服务产品文档。 云监控服务 云搜索服务集成公有云云监控服务能力，实时监测集群健康状态和磁盘使用率等核心指标，保障服务稳定运行。用户可通过监控数据及时掌握集群资源状况。详细请参考云监控服务产品文档。 云日志服务 云搜索服务将组件运行期间的日志写入云日志服务中，用户可通过查看日志排查实例运行问题。详细请参考云日志服务产品文档。 云审计 云审计全面记录云搜索服务的核心操作事件，支持操作历史查询与审计回溯。详细请参考云审计产品文档。 统一身份认证服务（Identity and Access Management，简称IAM） 云搜索服务使用天翼云官网统一身份认证服务进行身份鉴权。详细请参考统一身份认证服务产品文档。

操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 通过内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 注意 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 说明 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。

添加安全组规则 1. 点击云主机名称进入云主机详情页。 2. 选择云主机详情页下方的安全组页签。 3. 点击默认安全组展开详情按钮。 4. 点击“添加规则”，在端口范围处填写7860，点击确定。 5. 再次点击“添加规则”，在端口范围处填写7861，点击确定。

本节介绍了添加网卡的操作场景、操作步骤、后续任务。 操作场景 当您的弹性云主机需要多个网卡时，可以参考下面步骤为弹性云主机添加网卡。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 单击待添加网卡的弹性云主机名称。系统跳转至该弹性云主机详情页面。 5. 选择“弹性网卡”页签，并单击“绑定弹性网卡”。 6. 选择待增加的子网和安全组，如下图所示。 图 选择子网和安全组 安全组：您可以同时勾选多个安全组，此时，弹性云主机的访问规则遵循几个安全组规则的并集。 私有IP地址：如果需要给弹性云主机添加一张指定IP地址的网卡，用户需填写“私有IP地址”。 7. 单击“确定”。 后续任务 部分操作系统无法识别新添加的网卡，需手动激活网卡。下面以Ubuntu系统为例介绍具体激活网卡的操作步骤，其他操作系统请自行完成相关操作，如有问题，请参见对应操作系统的官网指导或手册来完成操作。 1. 在弹性云主机所在行的“操作”列下，单击“远程登录”。 登录弹性云主机。 2. 执行如下命令，查看网卡名称。 ifconfig a 例如，查询到的网卡名为：eth2。 3. 执行如下命令，进入相应目录。 cd /etc/network 4. 执行如下命令，打开interfaces文件。 vi interfaces 5. 在interfaces文件中，增加类似如下信息。 auto eth2 iface eth2 inet dhcp 6. 执行如下命令，保存并退出interfaces文件。 :wq 7. 执行命令ifup ethX或/etc/init.d/networking restart，使新增网卡生效。 上述命令中的X为具体的网卡名称序号，例如，ifup eth2。 8. 执行如下命令，查看回显信息中是否包括2查询到的网卡。 ifconfig 例如，回显信息中包含网卡eth2。 是，表示新增网卡生效，结束。 否，表示新增网卡未生效，执行9。 9. 登录管理控制台，在弹性云主机所在行的“操作”列下，选择“更多”，并单击“重启”。 10. 再次执行命令ifconfig，查看回显信息中是否包括2查询到的网卡。 1. 是，结束。 2. 否，请联系客服获取技术支持。

本节介绍创建windows云电脑的操作说明。 天翼AI云电脑（政企版）可以通过资源包或单实例方式开通Windows系统的普通AI云电脑和GPUAI云电脑。 如需通过资源包方式开通AI云电脑，请先订购资源包，详见订购资源包。 操作步骤 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“AI云电脑管理”菜单栏，选择“桌面管理”，点击“创建桌面”，进入“创建桌面”页面； 3.创建方式来源选择“资源包”或“单实例”； 资源包方式开通：管理员可通过已订购资源包，通过资源包的资源分配方式开通AI云电脑，无需单独付费。 单实例方式开通：管理员可以选择AI云电脑配置，直接通过付费完成AI云电脑的开通。 4.选择“Windows”系统类型； 5.选择规格类型“普通AI云电脑”或“GPUAI云电脑”，再根据需求选择AI云电脑规格； 普通AI云电脑：性能强劲，满足企业安全办公、大内存软件运行、多任务处理、数据分析、高效运维等需求。 GPUAI云电脑：满足学校教学， 普通图像办公，高清视频播放等需求。搭配高性能显卡及固态硬盘，具备更全面的图像加速能力，满足企业图形设计、图形渲染、3D制作等需求。 注：仅部分资源池支持开通GPUAI云电脑，实际规格类型以页面显示内容为准。 6.选择AI云电脑的“镜像类型”； 7.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 注意 资源包开通的桌面系统盘最高可扩容至200GB，单实例开通的桌面系统盘最高可扩容至500GB。 8.选择AI云电脑的“vpc”和“业务子网”； 注：AI云电脑所选的业务子网需要绑定带宽，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 9.选择账号类型，并填写分配电脑的账号信息； 管理员激活：管理员直接创建的账号，无需激活即可使用。 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 10.其它电脑实例配置信息，根据需要自行配置； 11.确认相关的配置信息，点击“创建桌面”，即完成电脑开通。

参数 描述 实例名称 实例名称长度最小为4字符，最大为64个字符，如果名称包含中文，则不超过64字节（注意：一个中文字符占用3个字节），必须以字母或中文开头，区分大小写，可以包含字母、数字、中划线、下划线或中文，不能包含其他特殊字符。 设置密码 现在设置（默认），如果您选择创建实例时设置，请填写账户对应的密码。 创建后设置，系统不会为您设置初始密码。 注意： 您在登录数据库前，需要先通过重置密码的方式设置密码，否则实例创建成功后，无法登录数据库。 管理员帐户名 数据库的登录名默认为root。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入 ~ ! @ $ % ^ + ? , ( ) & . 如果您提供的密码被系统视为弱密码，您将收到错误提示，请提供更高强度的密码。 请妥善保管您的密码，因为系统将无法获取您的密码信息。 实例创建成功后，如需重置密码，请参见 确认密码 必须和管理员密码相同。 虚拟私有云 关系型数据库实例所在的虚拟网络环境，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 注意： 目前RDS实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 IPv4地址： 创建实例时RDS会自动为您配置IPv4内网地址，您也可输入子网号段内未使用的IPv4内网地址。实例创建成功后该内网地址可修改。 IPv6地址： 选择支持IPv6地址的CPU和内存规格后，才能创建内网地址为IPv6的实例。 创建实例时RDS会自动为您配置IPv6内网地址，不支持指定IPv6内网地址。实例创建成功后该内网地址也不支持修改。 数据库端口 数据库端口默认为3306，实例创建成功后可修改。 RDS for MySQL数据库端口设置范围为1024～65535（其中12017、33071、33062被RDS系统占用不可设置）。 安全组 安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的安全组允许客户端访问数据库实例。 创建实例时，可以选择多个安全组（为了更好的网络性能，建议不超过5个）。此时，实例的访问规则遵循几个安全组规则的并集。 如果不创建安全组或没有可选的安全组，关系型数据库服务默认为您分配安全组资源。

本文帮助您快速熟悉查看对等连接路由的操作方法。 操作场景 对等连接路由信息添加后，两端帐户均有权限在对等连接详情界面查看对等连接路由信息。 本节指导用户查看对等连接的路由，即查看本端VPC和对端VPC添加的路由信息。 如果您建立了对等连接，但是无法通信，可以参考本节检查本端VPC和对端VPC的路由配置详情。 查看相同账户对等连接的路由 1. 登录管理控制台，并选择目标区域。 2. 在管理控制台首页打开服务列表，选择“网络 > 虚拟私有云”。 进入虚拟私有云列表页面。 3. 在左侧导航栏，选择“虚拟私有云 > 对等连接”。 进入对等连接列表页面。 4. 在对等连接列表中，单击目标对等连接的名称。 进入对等连接详情页面。 5. 在页面下方的路由列表中，可以查看路由信息。 路由信息包括目的地址，对应的虚拟私有云、下一跳地址、路由表等信息。 查看不同账户对等连接的路由 通过本端账户查看本端VPC的路由，通过对端账户查看对端VPC的路由，查看方法相同。 1. 使用本端账户登录管理控制台，执行以下操作，查看本端VPC的路由。 1. 在控制台首页打开服务列表，选择“网络 > 虚拟私有云”。 进入虚拟私有云列表页面。 2. 在左侧导航栏，选择“虚拟私有云 > 对等连接”。 进入对等连接列表页面。 3. 在对等连接列表中，单击目标对等连接的名称。 进入对等连接详情页面。 4. 在页面下方的路由列表中，可以查看路由信息。 路由信息包括目的地址，对应的虚拟私有云、下一跳地址、路由表等信息。 2. 使用对端账户登录管理控制台，参考上述操作步骤查看对端VPC的路由。

二、测试过程 2.1 环境变量配置 进入部署过程中启动的容器内，使用以下命令配置环境变量。 2.2 导入数据集 导入文本推理数据集：testdatagsm8k.jsonl 示例： {"question": " 你是中国电信星辰语义大模型，英文名是TeleChat，你是由中电信人工智能科技有限公司和中国电信人工智能研究院（TeleAI）研发的人工智能助手。n n你是一位擅长文本生成的智能助手，能够从多轮对话中理解上下文关系并提炼出用户的完整问题。请按照以下步骤处理用户的对话内容：nn1. 【识别上下文关系】：判断多轮对话问题之间是否存在关联。如果对话之间存在关联，则返回true，如果对话之间相互独立，则返回false。用【hasContext】来表示。n2. 【关联对话轮次】：将相互关联的对话轮次分组，并存储在列表中。每组应该包含相关的对话轮次。如果没有上下文关系，则直接返回空列表，用【mergeRound】来表示。n3. 【总结用户问题】：根据每组轮次的内容，概括总结出用户的完整问题。注意总结时仅关注该组的对话内容，尽量足够精简不要重复，用【contextAnswer】来表示。n4. 【构建JSON】：返回一个JSON字符串，格式如下：n {n "hasContext": "表示是否存在上下文关系", n "mergeRound": "表示需要合并的轮次",n "contextAnswer": "表示概括总结的完整问题"n }nn下面是 【河北省】 用户的多轮对话内容：n第1轮对话：我的宽带协议到期，8月1日。再续协议怎么办理？n第2轮对话：你查一下我用好多年了nn【输出结果】：n ", "answer": "{"hasContext": "true", "mergeRound": [[1, 2]], "contextAnswer": ["宽带到期怎么续约"]}"}

统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他账号管理资源等。 使用前您需了解常用的基本概念，包括：帐号、IAM用户、用户组、身份凭证、授权、权限、项目、委托、身份凭证等，详细请查看：术语解释。 IAM应用场景 IAM策略主要面向对同租户帐号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如文件系统的查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的用户名和密码登录云服务平台，实现多用户协同操作时无需分享帐号的密码的安全要求。 场景实例说明请查看：入门说明。 操作步骤 关于IAM功能的操作步骤请参见快速入门统一身份认证（一类节点）。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素"Action""Effect"等更多信息。 系统策略 ：预置的系统策略，您只能使用不能修改，具体说明请查看系统策略。 弹性文件服务预置的系统策略包含如下： sfs admin：弹性文件服务的管理者权限，包含弹性文件服务所有控制权限（不包含订单类权限）。 sfs viewer：弹性文件服务的观察者权限，包含弹性文件服务的列表页与详情页页面权限。 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见创建自定义策略。

Kafka作为一款热门的消息队列中间件，具备高效可靠的消息异步传递机制，主要用于不同系统间的数据交流和传递，在企业解决方案、金融支付、电信、电子商务、社交、即时通信、视频、物联网、车联网等众多领域都有广泛应用。 异步通信 将业务中属于非核心或不重要的流程部分，使用消息异步通知的方式发给目标系统，这样主业务流程无需同步等待其他系统的处理结果，从而达到系统快速响应的目的。 如网站的用户注册场景，在用户注册成功后，还需要发送注册邮件与注册短信，这两个流程使用Kafka消息服务通知邮件发送系统与短信发送系统，从而提升注册流程的响应速度。 图 串行发送注册邮件与短信流程 图 借助消息队列异步发送注册邮件与短信流程 错峰流控与流量削峰 在电子商务系统或大型网站中，上下游系统处理能力存在差异，处理能力高的上游系统的突发流量可能会对处理能力低的某些下游系统造成冲击，需要提高系统的可用性的同时降低系统实现的复杂性。电商大促销等流量洪流突然来袭时，可以通过队列服务堆积缓存订单等信息，在下游系统有能力处理消息的时候再处理，避免下游订阅系统因突发流量崩溃。消息队列提供亿级消息堆积能力，3天的默认保留时长，消息消费系统可以错峰进行消息处理。 另外，在商品秒杀、抢购等流量短时间内暴增场景中，为了防止后端应用被压垮，可在前后端系统间使用Kafka消息队列传递请求。 图 消息队列应对秒杀大流量场景 日志同步 在大型业务系统设计中，为了快速定位问题，全链路追踪日志，以及故障及时预警监控，通常需要将各系统应用的日志集中分析处理。 Kafka设计初衷就是为了应对大量日志传输场景，应用通过可靠异步方式将日志消息同步到消息服务，再通过其他组件对日志做实时或离线分析，也可用于关键日志信息收集进行应用监控。 日志同步主要有三个关键部分：日志采集客户端，Kafka消息队列以及后端的日志处理应用。 1. 日志采集客户端，负责用户各类应用服务的日志数据采集，以消息方式将日志“批量”“异步”发送Kafka客户端。 Kafka客户端批量提交和压缩消息，对应用服务的性能影响非常小。 2. Kafka将日志存储在消息文件中，提供持久化。 3. 日志处理应用，如Logstash，订阅并消费Kafka中的日志消息，最终供文件搜索服务检索日志，或者由Kafka将消息传递给Hadoop等其他大数据应用系统化存储与分析。 图 日志同步示意图 上图中Logstash、ElasticSearch分别为日志分析和检索的开源工具，Hadoop表示大数据分析系统。

本小节介绍态势感知产品定义。 态势感知为用户提供统一的威胁检测平台。态势感知能够帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。 态势感知系统通过资产管理、脆弱性评估、威胁检测等手段完成用户网络的安全检查、风险评估、可视化呈现。同时，通过与国家应急响应中心（CNCERT）权威监测平台的威胁情报、知识库对接，动态实时地完成应急协同、威胁情报接入、信息流转、防护规则更新等信息交换，做到用户安全风险的快速发现和信息闭环。

优势 概括词 简介文案 丰富 域名种类丰富 天翼云域名服务提供了丰富的域名种类供用户注册，可以提供中文、英文等几十种域名类型。 实时 实时注册 天翼云域名服务在注册时直连注册管理机构API，实现实时的注册和查询服务。 管理 完善的域名管理 在域名管理中心您可看到域名注册日期、到期日期、DNS配置、实名认证、域名证书信息等 安全 安全可信 天翼云域名服务提供一个安全可信的域名服务平台，保障用户个人隐私数据安全 性价比 高性价比 天翼云域名服务致力于让用户花最少的钱，为用户提供最好的产品和最优质的服务。

本章介绍如何创建虚拟机配置模板。 操作场景 在“迁移配置”的“目的端配置”页签下，可选择已创建的虚拟机配置模板来快速完成虚拟私有云、子网、安全组等参数。 操作步骤 1. 登录主机迁移服务管理控制台。 2. 在左侧导航树中，单击“公共配置”，进入公共配置页面。 3. 在虚拟机配置模板区域右上角，单击“创建虚拟机配置模板”，弹出“创建虚拟机配置模板”窗口，如下图所示。 图 创建虚拟机配置模板 4. 填写“模板名称”，单击“配置信息”后的按钮，配置参数，参数说明参见下表。 参数 说明 区域 下拉菜单中选择目的端服务器所在区域。 区域与默认迁移参数模板设置的区域相同，您可以根据业务要求，选择具体的区域。 项目 下拉菜单中选择目的端所在区域的项目。 选择区域后，才能选择项目。 虚拟私有云 选择“迁移时创建”是指在设置目的端时再进行配置。 若源端IP是192.168.X.X，则推荐创建的VPC网段是192.168.0.0/16，同时创建一个子网，网段也是192.168.0.0/16。 若源端IP是172.16.X.X，则推荐创建的VPC网段是172.16.0.0/12，同时创建一个子网，网段也是172.16.0.0/12。 若源端IP是10. X .X.X，则推荐创建的VPC网段是10.0.0.0/8，同时创建一个子网，网段也是10.0.0.0/8。 子网 选择“迁移时创建”是指在设置目的端时再进行配置。子网网段与虚拟私有云网段相同。 安全组 选择“迁移时创建”是指在设置目的端时再进行配置。 Windows系统开放8899端口、8900端口和22端口。 Linux系统，块级迁移开放8900端口和22端口，文件级迁移只开放22端口。 以上端口，建议只对源端服务器开放。 防火墙开放端口与操作系统开放端口保持一致。 可用区 默认随机分配，也可手动选择。 数据盘 包括普通IO、高IO、超高IO可选。 5. 单击“确定”，完成虚拟机配置模板。

本小节介绍查看容器告警事件。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的容器、待处理告警事件、已处理告警事件。 事件列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束限制 未开启防护的服务器不支持告警事件相关操作。 操作步骤 1、登录管理控制台。 2、在左侧导航栏中选择“入侵检测 > 安全告警事件 > 容器安全告警”，进入“容器安全告警”页面，查看容器告警事件信息。 查看容器告警事件概览。 安全告警统计：您可以查看存在告警的容器数量，以及待处理和已处理告警事件数量。 威胁等级：您可以查看容器存在的告警等级分布数量。 TOP事件类型：您可以查看容器中告警数量排在前五的事件类型。 查看容器告警事件分类列表。 在“事件类型”栏，选择告警事件类型，查看每个事件类型对应的告警事件列表。在告警事件列表中可以查看告警威胁等级、告警名称、受影响容器实例名称等信息。 查看容器告警事件详细信息。 单击目标告警事件的告警名称，进入告警事件详情页面，可以查看容器ID、IP地址、虚拟机名称、镜像ID等信息。

本文为您介绍“弹性云主机配置的邮件无法正常发送”时的处理办法。 问题描述 弹性云主机配置的邮件无法正常发送。 问题原因以及处理方法 使用邮件客户端收发邮件 问题原因： 在使用邮件客户端收发邮件时，邮件收发使用不同的协议 发件协议： 使用SMTPS协议，其端口号为465。或使用SMTP协议，其端口号为25。 Tips ：优先推荐使用465端口，465端口是为SMTP SSL（SMTPoverSSL）协议服务开放的，这是SMTP协议基于SSL安全协议之上的一种变种协议，它继承了SSL安全协议的非对称加密的高度安全可靠性，可防止邮件泄露。 收件协议： 使用POP3协议，其端口号为110。 处理方法： 添加“出方向”（协议为“TCP”，端口为“25”或“465”）和“入方向”（协议为“TCP”，端口为“110”）的规则。 操作步骤： 1. 在云主机详情页面找到对应的安全组，进入安全组列表页面，如图1所示。 图1 安全组列表页 2. 在安全组页面，单机对应的安全组，点击添加规则，进行规则添加页面，如图2所示。 图2 添加规则入口 3. 添加“出方向”（协议为“TCP”，端口为“25”或“465”）的规则，如图3所示。 图3 “出方向”规则添加 4. 添加“入方向”（协议为“TCP”， 端口为“110”）的规则，如图4所示。 图4 “入方向”规则添加

本节介绍创建国产化版云电脑的操作说明。 操作场景 AI云电脑国产化版，是基于国产化软硬件及自研技术栈实现，技术安全可信。具备更强性能，软硬件均为国产自研，符合国产化要求，适合国产化安全办公，数据存储，组合网络，高效运维等管理需求。 目前功能尚未全面放开订购，如需订购，请联系您的专属客户经理，或拨打天翼云客服电话： 4008109889 操作步骤 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“AI云电脑管理”菜单栏，选择“桌面管理”，点击“创建桌面”，进入“创建桌面”页面； 3.进入“创建桌面”页面，“来源”选择“单实例”； 4.选择“Linux”系统类型； 5.选择“AI云电脑国产化版”规格类型； 6.根据实际情况选择AI云电脑国产化版的架构和芯片、规格； 7.选择AI云电脑的“镜像类型”； 8.选择AI云电脑的“磁盘选择”； 系统盘：普通AI云电脑默认已包含80GB高IO系统盘，GPUAI云电脑默认已包含120GB超高IO系统盘。 数据盘：根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB。 注意 资源包开通的桌面系统盘最高可扩容至200GB，单实例开通的桌面系统盘最高可扩容至500GB。 9.选择AI云电脑的“vpc”和“业务子网”； 注：AI云电脑所选的业务子网需要绑定带宽，桌面才能连接网络。 通过将上网带宽与业务子网建立绑定关系，来控制业务子网下AI云电脑的最终可用带宽。详情可参考管理上网带宽 10.选择账号类型，并填写分配电脑的账号信息； 邮件通知激活：需要发送激活邮件，用户激活后，账号即可使用。 选择已有用户：选择已经存在的用户进行电脑分配。 11.选择桌面的“购买时长”； 12.确认相关的配置信息，单击“立即购买”，支付成功后，即完成国产化版AI云电脑的开通。

如果您需要添加RDS和云数据库以外的自建数据库资产，可参考本章节进行操作。 添加自建数据库资产前，需要获取自建数据库的引擎、版本、主机等相关信息。 前提条件 已完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。 已获取自建数据库的引擎、版本、主机等相关信息，且自建数据库子网下含有可用的IP配额。 约束条件 只能添加数据安全中心支持的数据库类型及版本，DSC支持的数据库类型及版本如下表所示。 数据库类型 版本 MySQL 5.6、5.7、5.8、8.0 SQL Server 2017SE、2017EE、2017WEB 2016SE、2016EE、2016WEB 2014SE、2014EE 2012SE、2012EE、2012WEB 2008R2EE、2008R2WEB PostGreSQL 11、10、9.6、9.5、9.4、9.1 Oracle 10、12 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“数据库 > 未授权”，进入未授权数据库资产列表页面。 5. 在未授权数据库资产列表左上角，单击“添加自建数据库”。 6. 在弹出的“添加自建数据库”对话框中，参考下表配置数据库参数。 参数名称 参数说明 取值样例 资产名称 输入数据库对象名称。 区域 默认为当前帐号登录的区域。 ECS实例 在下拉框中选择已在ECS服务里创建的数据库实例。 安全组 选择对应的ECS实例所在的安全组名称。 default 数据库引擎 选择数据库引擎。可选择“MySQL”、“PostgreSQL”、“SQLServer”和“Oracle”。 MySQL 版本 选择数据库引擎对应的版本。 5.6 模式名 输入数据库模式名。 主机 输入数据库服务器IP地址。 端口 输入数据库服务器的端口号。 数据库名称 输入自建数据库名称。 用户名 输入访问数据库服务器的用户名。 密码 输入访问数据库服务器的密码。 7. 点击按钮“确定”，即可将数据库添加完成，并展示在已授权的数据库列表中。在数据库添加完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性。 数据安全中心DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 数据安全中心DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败解决。

天翼云物理机服务器如何保证数据安全？ 天翼云物理机服务器具备物理机级的性能和隔离性，用户独占计算资源，并且无任何虚拟化开销。存储在高性能高可靠的服务器上的数据，自然也会很安全。 带有本地磁盘的物理机服务器，支持本地磁盘组RAID，磁盘数据冗余存储，提升容错能力，确保数据安全。 无本地磁盘的天翼云物理机服务器，支持从云硬盘启动（即系统盘为云硬盘，且称之为快速发放物理机服务器）。云服务器备份可以对物理机服务器提供备份保护，支持基于多块云硬盘一致性快照技术的备份服务，并支持利用备份数据恢复服务器数据，最大限度保障用户数据的安全性和正确性，确保业务安全。

告警是运维中的一种异常信号的通知，通常是由监控系统或安全设备在检测到系统或网络中的异常情况时自动生成的。例如，当服务器的CPU使用率超过90%时，系统可能会发出告警。这些异常情况可能包括系统故障、安全威胁或性能瓶颈等。 告警通常有明确的指示性，能够明确指出异常发生的位置、类型和影响。同时，告警可以按照严重程度来进行分类，如紧急、重要、一般等，以便运维人员根据告警的严重程度来决定哪些需要优先处理。 告警的目的是及时通知相关人员，以便能够迅速响应并采取措施解决问题。 当态势感知（专业版）检测到的云资源中存在的异常情况（例如，某个恶意IP对资产攻击、资产已被入侵等）时，将以告警的形式将威胁信息展示在态势感知（专业版）告警管理界面中。 告警管理 在态势感知（专业版）的告警管理页面可以执行以下操作： 查看告警信息：可以通过查看告警列表了解近360天的告警威胁的统计信息列表，列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如告警名称、告警等级和发生时间等，快速查询到相应告警事件的统计信息。 告警转事件或关联事件：当收到告警信息且经过分析后，如果发现有攻击成功或有其他较为严重影响的，则需要进行单独处理，可以将它转为事件或关联事件。 一键阻断或解封：策略作为告警一键阻断的止血手段，可根据告警来源选择相应的类型对攻击者进行阻断，拦截该恶意IP的访问。 关闭或删除告警：支持关闭或删除告警，告警删除后将无法恢复，请谨慎操作。 新增或编辑告警：支持新增告警，或者编辑告警参数。 导入或导出告警：支持导入或导出告警。

本节主要介绍修改实例安全组 使用须知 对于进行节点扩容中的实例，不可修改安全组。 操作步骤 1. 登录云数据库GeminiDB控制台。 2. 在“实例管理”页面，选择指定的实例，单击实例名称。 3. 在左侧导航树，单击“连接管理”。 4. 在“内网安全组”区域，单击，选择实例所属安全组。 1. 单击√，提交修改。此过程约需1～3分钟。 2. 单击×，取消修改。 5. 稍后可在“安全组”区域，查看修改结果。

操作场景 本节将介绍如何在Linux主机上使用远程桌面协议（RDP）登录到Windows云主机。通过这种方式，您可以使用Linux主机来远程管理和操作Windows云主机的桌面环境。 前提条件 Windows云主机处于“运行中”状态。 已获得Windows云主机的用户名和密码。如果忘记密码，须重置云主机密码，请参考在控制台重置弹性云主机密码。 Windows云主机所在安全组的入方向已开放3389端口。 Windows防火墙未开启或开启后放通3389端口。 登录工具与Windows云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Windows云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 Windows云主机已开启远程桌面协议RDP。 操作步骤 如果本地主机为Linux操作系统，您可以使用远程连接工具（例如rdesktop）连接Windows云主机。 1. 打开终端，确保您的Linux主机已经安装了rdesktop工具。您可以执行以下命令来检查是否安装了rdesktop： rdesktop 如果提示"command not found"，表示rdesktop未安装。您可以参考rdesktop工具官方网站获取rdesktop安装包并进行安装。 2. 输入以下命令以登录到Windows云主机。 rdesktop u 用户名 p 密码 g 分辨率 弹性IP地址 将命令中的以下信息替换为实际的值： 用户名：您用于登录Windows云主机的用户名。 密码：您用于登录Windows云主机的密码。 分辨率：您希望设置的远程桌面分辨率，以宽度和高度的形式表示。 弹性IP地址：Windows云主机的弹性IP地址。 例如： rdesktop u administrator p password g 1024720 121.xx.xx.xxx 表1 远程登录命令参数 参数 说明 u 用户名，Windows实例默认用户名是Administrator。 p 登录Windows实例的密码。 f 默认全屏，需要用Ctrl+Alt+Enter 组合键进行全屏模式切换。 g 分辨率，中间用星号连接。可省略，省略后默认为全屏显示。例如：1024720 弹性IP地址 需要远程连接的服务器IP地址。需要替换为您的Windows实例的弹性IP地址。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组。 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则。 以Kafka访问端口9098为例，其它实例请以实际情况为准。 说明 以下规则，远端可使用安全组，也可以使用具体的IP地址。 配置CTECS所在安全组。CTECS所在安全组需要增加如下出方向规则，以保证客户端能正常访问Kafka实例。如果出方向规则不受限，则不用添加。 配置Kafka实例所在安全组。Kafka实例所在安全组需要增加如下入方向规则，以保证能被客户端访问。 弹性公网IP（可选） 若需要通过公网访问Kafka实例，则需要申请弹性公网IP，否则不需要申请弹性公网IP。申请弹性公网IP的操作指导请参考购买弹性IP 其他工具 下载安装工具Eclipse3.6.0以上版本 或者IntelliJ ，JDK 1.8.111以上版本。