本文主要介绍了退订规则及注意事项。 退订规则说明 客户（天翼云用户）可根据需要，在符合天翼云退订规则的前提下，灵活退订资源。目前退订包含七天无理由全额退订，非七天无理由退订，不可退订，以及其他退订。 七天无理由全额退订，用户使用新购资源（含该笔新购资源订单的续订资源）七天内（含第七天），可随时通过系统完成全额退订。 发起退订操作的账号（“退订账号”）七天无理由全额退订次数不超过3次（每账号享有3次七天无理由全额退订次数）； 同一用户累计使用的七天无理由全额退订次数不超过15次。其中，同一用户是指：根据不同天翼云账号在注册、登录、使用中的关联信息，关联信息相同天翼云判断其实际为同一用户。关联信息举例：同一名称、同一邮箱、同一负责人证件、同一手机号、同一设备、同一IP地址等（包括已注销的账号）。 客户同意天翼云使用上述信息核查同一用户情况 ； 七天无理由退订标准（含退订次数）将根据业务发展适时调整，具体结果以退订时官网展示和系统显示为准； 促销活动中说明“不支持七天无理由退订”的云服务，无法申请七天无理由退订； 当同时退订多个资源时，且超过3次免费退订次数，系统按照单资源实付金额从高到低依次退订，免费次数优先覆盖高价值资源。 尽管有上述规则，客户不得利用退订规则频繁订购并退订服务，恶意占用天翼云及其他用户资源。如天翼云有合理理由怀疑客户存在频繁退订恶意占用天翼云及其他用户资源的，则天翼云有权取消该客户七天无理由全额退订的权利，并根据《中国电信天翼云用户协议》及网站相关规则和相关服务协议约定，采取相应措施直至终止服务，并追究客户的违约责任。 非七天无理由退订，指使用时长已超过七天以上的用户新购资源（含续订资源），属于非七天无理由退订。非七天无理由退订，不限制退订次数，但退订需要收取相应的使用费用和退订手续费，且不退还代金券及优惠券，但符合下文“其他退订”情形的除外。 不可退订，指天翼云部分资源因技术属性、营销政策、活动优惠、特定使用群体、商务协议等各类原因，此类资源暂不支持退订。不支持退订的场景范围如下： 按需套餐包产品； 含硬件类产品和人工服务类产品； 未完工的订单； 云服务参加特殊赠送活动，明确不可退订的（如促销套餐、促销优惠券、促销优惠券礼包、优惠券计划、抽奖活动、推荐送活动等）具体以特殊赠送活动规则为准； 明确不允许退订的产品或服务。 其他退订。指因天翼云原因导致的，如创建资源失败或系统BUG，产品迭代等情况导致的用户退订。其他退订不限制退订次数，无需用户承担退订费用。

参数 参数说明 节点规格 重置节点时不支持修改节点规格。 容器引擎 CCE集群支持Docker，1.23起CentOS、Ubuntu支持Containerd。 操作系统 公共镜像：请选择节点对应的操作系统。 登录方式 密码 用户名默认为“root”，请输入登录节点的密码，并确认密码。登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 密钥对 选择用于登录本节点的密钥对，支持选择共享密钥。密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。

前提条件 创建私有镜像前，请您务必执行以下操作： 请将云主机中的敏感数据删除后再创建私有镜像，避免数据安全隐患。 确保云主机处于运行中或关机状态。 检查云主机的网络配置，确保网卡属性为DHCP方式，按需开启远程桌面连接功能。详情请参见设置网卡属性为DHCP（Windows）和开启远程桌面连接功能。 有些云主机正常运行或者高级功能依赖某些驱动，例如：GPU加速型云主机依赖Tesla驱动和GRID/vGPU驱动。因此，需要提前安装特殊驱动。详情请参见安装Windows特殊驱动。 检查云主机中是否已安装一键式重置密码插件，保证镜像创建的新云主机可以使用控制台的“重置密码”功能进行密码重置。详情请参见安装一键式重置密码插件（Windows）。 检查云主机中是否已安装CloudbaseInit工具，保证镜像创建的新云主机可以使用控制台的“用户数据注入”功能注入初始化自定义信息（例如为云主机设置登录密码）。详情请参见安装并配置CloudbaseInit工具。 检查并安装PV driver和UVP VMTools驱动，确保镜像创建的新云主机同时支持KVM虚拟化和XEN虚拟化，并且可以提升云主机网络性能。 详细操作请参见优化过程（Windows）中的步骤2~步骤5。 执行Sysprep操作，确保镜像创建的新云主机加入域后SID唯一。对于集群部署场景，SID需要保持唯一。详情请参见执行Sysprep。 说明 如果待创建私有镜像的云主机使用的是公共镜像，那么默认已安装一键式重置密码插件和CloudbaseInit工具，指导中均提供了验证是否安装的方法，您可以参考相应内容确认。

物理机服务接口对应权限表 如下是物理机服务相关权限三元组及生效范围： 控制台接口 权限三元组 配置支持 控制台接口 IAM（资源池/全局） 权限三元组 企业项目（资源组） 创建物理机 dps:physicalServer:create √ √ 物理机列表获取 dps:physicalServer:list √ √ 物理机详情获取 dps:physicalServer:get √ √ 开机 dps:physicalServer:start √ √ 关机 dps:physicalServer:stop √ √ 重启 dps:physicalServer:reboot √ √ 续订 dps:physicalServer:renew √ √ 包周期退订 dps:physicalServer:delete √ √ 按量删除 dps:physicalServer:delete √ √ 重置密码 dps:physicalServer:resetServerPwd √ √ 一键重装 dps:physicalServer:rebuild √ √ 立即释放 dps:physicalServer:delete √ √ 批量开机 dps:physicalServer:start √ √ 批量关机 dps:physicalServer:stop √ √ 批量重启 dps:physicalServer:reboot √ √ 批量续订 dps:physicalServer:renew √ √ 批量退订 dps:physicalServer:delete √ √ 批量删除 dps:physicalServer:delete √ √ 批量立即释放 dps:physicalServer:delete √ √ 批量一键重装 dps:physicalServer:rebuild √ √ 批量重置密码 dps:physicalServer:resetServerPwd √ √ 远程登录 dps:physicalServer:login √ √ 制作镜像 dps:physicalServer:serverImages √ √ 实例属性 dps:physicalServer:put √ √ 创建相同配置 dps:physicalServer:create √ √ 到期转按量 dps:switchRequired:create √ √ 转包周期 dps:switchPeriod:create √ √ 物理机详情页 物理机详情获取 dps:physicalServer:get √ √ 物理机详情页 修改描述 dps:physicalServer:put √ √ 物理机详情页 修改实例名称 dps:physicalServer:put √ √ 物理机详情页 网卡 列表获取 vpc:cloudServerNics:list √ 物理机详情页 网卡 详情获取 vpc:cloudServerNics:get √ 物理机详情页 网卡 绑定 dps:physicalServer:binding √ 物理机详情页 网卡 解绑 dps:physicalServer:unbinding √ 物理机详情页 网卡 修改内网IP vpc:cloudServerNics:change √ 物理机详情页 网卡 修改内网IP vpc:subnets:list √ 物理机详情页 网卡 更换VPC vpc:cloudServerNics:change √ 物理机详情页 网卡 更换VPC vpc:subnets:list √ 物理机详情页 网卡 更换VPC vpc:securityGroups:list √ 物理机详情页 网卡 更换VPC vpc:vpcs:list √ 物理机详情页 网卡 管理辅助私网IP vpc:cloudServerNics:change √ 物理机详情页 云硬盘 列表获取 evs:volumes:list √ √ 物理机详情页 云硬盘 详情获取 evs:volumes:get √ √ 物理机详情页 云硬盘 挂载 evs:volumes:attach √ √ 物理机详情页 云硬盘 卸载 evs:volumes:detach √ √ 物理机详情页 弹性IP 列表获取 vpc:publicIps:list √ √ 物理机详情页 弹性IP 详情获取 vpc:publicIps:get √ √ 物理机详情页 弹性IP 绑定 vpc:publicIps:update √ √ 物理机详情页 弹性IP 解绑 vpc:publicIps:detach √ √ 物理机详情页 安全组 列表获取 vpc:securityGroups:list √ √ 物理机详情页 安全组 详情获取 vpc:securityGroups:get √ √ 物理机详情页 安全组 更改安全组 vpc:securityGroups:update √ √ 天翼云支持对用户组/子用户，进行资源池或全局维度的权限授权；同时也支持在企业项目中，对用户组进行资源组维度的权限授权。部分没有企业项目属性的接口或资源，授权只能以资源池或全局维度进行。以资源池或全局维度进行的授权判断，其优先级高于企业项目中的资源组维度授权。

平台通过多种算子迁移适配、算子调优能力和工具链,实现国产化硬件下模型在预训练、微调、推理下的性能对齐NV80%及以上。 平台针对国产化硬件910B进行主流模型的迁移适配和性能优化，多数训练性能达到A800的90%及以上，推理性能达到A10或A100的80%及以上。 目前模型广场所有模型均达到国产化适配的性能标准。 主流模型适配结果示例： 多数模型基于昇腾的训练可达A800的90%以上，举例如下： Llama38Binstruct、ChatGLM36B 性能对标可达90% Qwen272BInstruct 性能对标可达100% 部分模型基于昇腾910B的推理可达A800的80%以上，举例如下： Qwen1.8BChat 性能对标可达110.32% Llama213BChat 性能对标可达91.28% 主流适配模型清单参考如下： 大语言： DeepSeek：DeepSeekR1系列、DeepSeekV3系列 Llama：Llama系列、Llama2系列、Llama3系列 通义千问：Qwen系列、Qwen1.5系列、Qwen2系列、Qwen2.5系列、Qwen3系列 智谱：ChatGLM2系列、ChatGLM3、GLM4系列 书生浦语：InternLM系列、InternLM2系列 百川：Baichuan系列、Baichuan2系列、BaichuanTurbo 电信星辰：TeleChat系列、TeleChat2系列 其他：AquilaChat7B、Gemma29BChat等 多模态： OpenClip ChineseCliP Blip2 VisualGLM6B StableDiffusionV1.5 StableDiffusionV2.1 QwenVLChat InternVLChatV1.5

本文主要介绍DRDS的应用场景。 高并发交易场景 在电信运营商、电子商务平台、金融领域、O2O服务平台以及传统零售等行业，经常需要处理大量的用户数据和交易数据，支撑频繁的促销活动，以及解决核心交易数据库响应延迟等问题。DRDS基于其线性的水平扩展特性，能够即时增强数据库的处理能力，优化访问速度，从而轻松应对大规模、高并发的实时交易需求，解决业务增长过程中的挑战。 海量数据存储访问场景 企业客户随着业务的快速发展，业务数据增长迅猛，会产生超过单数据库存储能力极限的数据，造成数据库容量瓶颈，限制业务发展。DRDS可以线性扩展存储空间，目前可以支持100+MySQL实例的单数据库集群，提供PB级存储能力。可广泛应用于工业制造、智能家居、车联网等超大规模数据存储访问场景。 低成本高效益的数据库解决方案 对于政府部门、金融市场等领域，对数据库的大规模数据存储、高并发访问以及高可用性和可靠性等方面的需求，传统的解决方案通常要求依赖于昂贵的专业硬件。DRDS通过使用可扩展的服务器集群，提供了一种既稳定又高效的替代方案，高可用设计确保故障的秒级自动恢复，同时提供高质量的运维监控服务，使其以更低的成本，提供能与传统商业解决方案相竞争甚至超越的服务。

本文为您介绍什么是专属云（计算独享型）。 专属云（CTDeC，Dedicated Cloud）是从公有云上物理隔离的专属虚拟化资源池，用户独享专用的服务器集群，并可在控制中心统一管理。 专属云分为专属云计算独享型（简称计算专属云）和专属云存储独享型（简称存储专属云）： 计算专属云实现计算资源的物理独享，存储和网络资源逻辑独享。 存储专属云实现计算和存储资源的物理独享，网络资源逻辑独享。 计算专属云是指在中国电信已经建设的公有云资源池上隔离出来的专属虚拟计算资源池，支持用户申请独占的物理设备，独享物理隔离的计算资源。用户通过独立的租户在该资源池内申请宿主机资源后，可以在其上发放弹性云服务器，用户可对专属计算资源统一管理。 产品架构 专属云（计算独享型）服务的产品架构如下图所示： 计算专属云实现计算资源的物理独享与存储资源的逻辑独享。 存储专属云实现计算资源与存储资源的物理独享。 计算专属云与存储专属云实现网络资源逻辑独享。 计算专属云、存储专属云与公有云使用统一的控制中心。控制中心采用多租户模式，分权分域地管理用户资源。 计算专属云可支持宿主机HA功能，前提条件为已预留HA设备。通过宿主机HA功能，云主机恢复成功率达到99.5%以上，云主机平均恢复时长可控制在90s以内，能够显著增强系统的稳定性。建议计算专属云中均预留HA设备以保证业务的正常运行。更多HA问题可查看 常见问题。

构建高可用负载均衡网络 当您在VPC内部署了多台ECS对公网提供访问服务，并且需要应对来自海量客户的访问，则您可以通过ELB将访问流量均衡分发到多个VPC内的后端云主机上，提高业务的稳定性和可用性。 构建混合云网络 对于自建本地数据中心（IDC）的用户，由于利旧和平滑演进的原因，并非所有的业务都能迁移上云，此时，您可以通过虚拟专用网络VPN或者云专线DC，连通云上VPC与云下IDC之间的网络，构建混合云网络。 通过VPN和VPC构建混合云组网：用户的业务一部分部署在云上区域A的VPCA内，一部分部署在云下IDC中，通过VPN基于公网的加密通道，可以快速连通云上和云下的网络通信。相比云专线，使用VPN，配置更简单且成本较低。 通过DC和VPC构建混合云组网：用户的业务一部分部署在云上区域A的VPCA内，一部分部署在云下IDC中，通过云专线的专属通道实现网络互通，相比VPN，专属网络通道更高速、稳定。如您需要使用云专线DC业务，可联系您所在地区的中国电信客服工作人员。

参考信息 批量升级客户端前，需手动配置远程登录客户端节点的用户密码信息： 执行vi clientinfo.cfg命令，添加用户密码信息。 例如： clientIp,clientPath,user,password 10.10.10.100,/home/omm/client /home/omm/client2,omm,密码 配置文件各字段含义如下： clientIp：表示客户端所在节点IP地址。 clientPath：客户端安装路径，可以包含多个路径，以空格分隔多个路径。注意路径不要以“/”结尾。 user：节点用户名。 password：节点用户密码信息。 说明 如果执行失败，请在执行目录的 workspace/log XXX下查看node.log日志。

2.2 文本生成模式 在Default标签页我们可以利用大模型进行文本生成创作。 注意 原版Llama27bchat模型对中文支持较弱，可以补充下载其他基于Llama27bchat的中文LoRA小模型，或换用其他中文的基础大模型，例如电信星辰（telechat）大模型。 2.3 生成方向控制 大语言模型生成方向可以在Parameters标签页的Generation标签下进行调整，但需要您具有一定的大语言模型背景知识。这里仅对其中部分基础参数进行介绍。 注意 大模型中token的概念：文本中最小的语义单元。例如在英文中一个简单单词(love)可能是一个token，一个复杂单词(transformer)可能是多个token的组合(trans + former)； 在中文中一个字(爱)可能是一个token，多个字(爱情)也可能组成一个token。 maxnewtokens：生成token的最大数量。 temperature：在生成下一个token时，控制各个候选token被选择的概率的平滑程度。 temperature取值越大，每个候选token的概率越相似。 topp： 在生成下一个token时，按候选token的概率从大到小计算累计概率， 达到p后丢弃后续的候选token，控制候选token的数量。 topk：在生成下一个token时， 按候选token的概率从大到小，只取前k个候选token，控制候选token的数量。 repetitionpenalty：重复惩罚，控制生成结果中文字的重复次数。

步骤二：创建部署OpenClaw的云主机 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 在控制中心选择【弹性云主机】，点击进入云主机列表。 4. 点击【创建云主机】进入云主机创建页，根据页面提示填写配置参数。创建云主机的详细参数请参考 ++创建弹性云主机++。创建本示例所规划的云主机部分参数： 参数名称 参数值 基础配置 计费模式 按量付费 地域 华东 华东1 可用区 随机分配 虚拟私有云 VPC1 云主机名称 云主机1 规格分类 经济型 规格名称 e.large.1 镜像类型 云镜像市场 镜像 OpenClawv2026.3.13Ubuntu24.04 网络配置 网卡 子网选择：子网1 勾选“手动指定内网IPv4地址” 填写10.0.1.11 安全组 DefaultSecurityGroup 弹性IP 不使用 5. 参照以上步骤，完成云主机2和云主机3的创建。 步骤三：创建共享带宽 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 在控制中心选择【共享带宽】，点击进入控制台列表页。 4. 点击【购买共享带宽】按钮，进入创建页。 5. 根据页面提示填写配置参数，完成创建。配置参数如下： 参数名称 参数值 地域 华东 华东1 名称 带宽1 线路类型 单线 运营商 中国电信 付费方式 按量付费 计费方式 按带宽计费 带宽 10Mbps 企业项目 default

说明：本章节会介绍如何下载SQL审计日志 当您开启SQL审计日志，系统会将所有的SQL操作记录下来存入日志文件，方便用户进行下载、查询操作。RDS for MySQL默认关闭SQL审计功能，打开可能会有一定的性能影响。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台左上角的，选择区域和项目。 步骤3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页签。 步骤5 在左侧导航栏单击“SQL审计”，在列表右上方选择时间范围，在列表中勾选目标日志，单击列表左上方的“下载”，批量下载SQL审计日志。 您还可以选择单个审计日志，单击操作列中的“下载”，下载目标SQL审计日志。 SQL审计日志内容如下图所示。 图11 MySQL审计日志 表1审计日志字段说明 参数 说明 recordid 审计日志单条记录的记录ID。 connectionid 该条记录执行的会话ID，与show processlist中的ID一致。 connectionstatus 会话状态，常见为执行语句的错误返回码，普通执行成功返回0。 name 记录类型名称，通常情况下dml，ddl操作均为QUERY， 连接断开为CONNECT和QUIT。 timestamp 记录的UTC时间。 commandclass 执行的SQL命令类型，内部为解析得到的SQL类型，例如select，update（连接断开不存在该项）。 sqltext 执行的SQL具体内容（连接断开审计不存在该项）。 user 登录的账户。 host 登录的host，当本地登录时为localhost，远程登录为空。 externaluser 代理用户名称。 ip 通过远程连接的客户端IP，本地连接为空。 defaultdb 执行SQL时默认的数据库。

本节介绍云等保专区产品的堡垒机。 堡垒机具备统一安全管理与审计能力，提供集身份认证（Authentication）、帐户管理（Account）、控制权限（Authorization）、日志审计（Audit）功能于一体。支持多种字符终端协议、文件传输协议、图形终端协议、远程应用协议的安全监控与历史查询，具备全方位运维风险控制能力，可满足各类法律法规（如等级保护、赛班斯法案SOX、PCI、企业内控管理、分级保护、ISO/IEC 27001等）对运维审计的要求。 功能介绍 功能 描述 认证&授权 双因子认证 内置手机APP认证（谷歌动态口令验证）、OTP动态令牌、USBkey双因素认证引擎。 提供短信认证、AD、LDAP、RADIUS认证接口。 支持多种认证方式组合。 认证&授权 权限管理 系统预置多种用户角色：超级管理员、部门管理员、运维管理员、审计管理员、运维员、审计员、系统管理员和密码管理员。 每种用户角色的权限均不同，且可自定义用户角色。 认证&授权 集中授权 梳理用户与主机之间关系，提供一对一、一对多、多对一、多对多的灵活授权模式。 认证&授权 单点登录 托管主机的帐户和密码，运维人员直接点击“登录”即可成功自动登录到目标主机中进行运维操作，无需输入主机的帐户和密码。 认证&授权 自动学习 运维人员通过堡垒机成功登录目标主机后即可自动录入主机信息，减轻管理员配置主机信息、用户与主机关系的工作量。 运维&审计 运维协议支持 支持管理Linux/Unix服务器、Windows服务器、网络设备（如思科/H3C/华为等）、文件服务器、Web系统、数据库服务器、虚拟服务器、远程管理服务器等。 兼容Xshell、XFTP、SecureCRT、MSTSC、VNC Viewer、PuTTY、WinSCP、FlashFXP、SecureFX等多种客户端工具。 运维&审计 统一审计 对所有操作进行详细记录，提供综合查询；审计日志可在线或离线播放，自动备份归档。 审计内容包括图形、字符、文件、应用、SQL语句等会话及应用会话。 运维&审计 浏览器客户端运维 基于H5技术实现浏览器客户端运维，无需安装本地工具，直接通过浏览器打开运维界面。 支持通过SSH、Telnet、Rlogin、RDP、VNC协议的Web客户端运维。 运维&审计 文件传输审计 记录所有操作会话，包括在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容。 完整备份传输文件，为上传恶意文件、拖库、窃取数据等危险行为提供查询依据。 运维&审计 自动运维 实现自动化的运维任务并将执行结果通知相关人员。 运维&审计 资产管理 支持主机、主机组、混合云、帐号、帐号组、应用等多种资产类型。 运维&审计 命令控制 集中命令控制基于不同主机、不同用户设置不同的命令控制策略，包括命令阻断、命令黑名单、命令白名单、命令审核四种动作。 运维&审计 工单流程 运维人员向管理员申请需要访问的设备，选择条件包括设备IP、设备帐户、运维有效期、备注事由等，运维工单以邮件方式通知管理员。 其他 系统自审 对系统自身变化信息进行审计，形成系统分析报表。 其他 冗余架构 结合端口聚合技术、RAID技术和HA技术，实现三重冗余备份的高可用架构。 其他 API接口 提供用户、资产、授权的增删改查等API接口。 允许第三方平台调用API接口，实现用户、资产、权限自动同步。

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

关键操作名称 说明 实例操作 对实例进行的操作，例如实例重启，停止等。 节点操作 对实例单个节点进行的操作，如节点恢复、停止等。 白名单 实例白名单相关操作，如删除、新增、修改。 备份操作 创建备份，修改备份策略等操作。 实例参数操作 修改实例参数的操作。 实例远程操作 杀空闲连接和VACUUM表操作。 审计日志 开关、修改审计日志设置的操作。 实例用户操作 创建用户、删除用户等操作。 数据库操作 创建数据库、删除数据库等操作。 实例标签 新增实例标签、删除标签等操作。 参数模板操作 创建、修改参数模板等操作。

参数 参数说明 配置Task节点 用于增加Task节点，请参见 添加Task节点 的相关任务。 对于3.x及之后版本，该操作仅适用于分析集群、流试集群和混合集群。 新增节点组 仅适用于3.x及之后版本，用于增加节点组，请参见 添加节点组 ，仅适用自定义集群。 节点组名称 集群节点组名称。 节点类型 节点类型： Master：集群主节点，负责管理集群，协调将MapReduce可执行文件分配到核心节点。此外，还会跟踪每个作业的执行状态，监控DataNode的运行状况。 Task类型节点组是指仅部署了不存储数据的数据角色的节点组，主要包含：NodeManager、ThriftServer、Thrift1Server、RESTServer、Supervisor、Logviewer、HBaseIndexer、TagSync。 如果节点组内除以上角色外还部署了其他角色，则该节点组为Core类型节点组。 单击节点组名称前方的 ，显示该节点组包含的节点，单击节点名称，使用创建集群时配置的密码或者密钥对远程登录弹性云主机。节点参数说明请参见 节点数 对应节点组中包含的节点数量。 操作 扩容：请参见 扩容集群 。 缩容：请参见 缩容集群 。 弹性伸缩：请参见 配置弹性伸缩规则 。 查看角色信息：可查看所在节点组部署的角色信息。仅适用于3.x及之后版本的自定义集群。

本章节主要介绍翼MapReduce服务在不同场景下的应用。 大数据在人们的生活中无处不在，在IoT、电子商务、金融、制造、医疗、能源和政府部门等行业均可以使用云MRS服务进行大数据处理。 海量数据分析场景 海量数据分析是现代大数据系统中的主要场景。通常企业会包含多种数据源，接入后需要对数据进行ETL（ExtractTransformLoad）处理形成模型化数据，以便提供给各个业务模块进行分析梳理，这类业务通常有以下特点： 对执行实时性要求不高，作业执行时间在数十分钟到小时级别。 数据量巨大。 数据来源和格式多种多样。 数据处理通常由多个任务构成，对资源需要进行详细规划。 例如在环保行业中，可以将天气数据存储在OBS，定期转储到HDFS中进行批量分析，在1小时内MRS可以完成10TB的天气数据分析。 详见下图：环保行业海量数据分析场景 该场景下MRS的优势如下所示。 低成本：利用OBS实现低成本存储。 海量数据分析：利用Hive实现TB/PB级的数据分析。 可视化的导入导出工具：通过可视化导入导出工具Loader，将数据导出到DWS，完成BI分析。 海量数据存储场景 用户拥有大量结构化数据后，通常需要提供基于索引的准实时查询能力，如车联网场景下，根据汽车编号查询汽车维护信息，存储时，汽车信息会基于汽车编号进行索引，以实现该场景下的秒级响应。通常这类数据量比较庞大，用户可能保存1至3年的数据。 例如在车联网行业，某车企将数据储存在HBase中，以支持PB级别的数据存储和毫秒级的数据详单查询。 详见下图：车联网行业海量数据存储场景 该场景下MRS的优势如下所示。 实时：利用Kafka实现海量汽车的消息实时接入。 海量数据存储：利用HBase实现海量数据存储，并实现毫秒级数据查询。 分布式数据查询：利用Spark实现海量数据的分析查询。 实时数据处理 实时数据处理通常用于异常检测、欺诈识别、基于规则告警、业务流程监控等场景，在数据输入系统的过程中，对数据进行处理。 例如在梯联网行业，智能电梯的数据，实时传入到MRS的流式集群中进行实时告警。 详见下图：梯联网行业低时延流式处理场景 该场景下MRS的优势如下所示。 实时数据采集：利用Flume实现实时数据采集，并提供丰富的采集和存储连接方式。 海量的数据源接入：利用Kafka实现万级别的电梯数据的实时接入。

12 隐私权保护 天翼云不收集客户在TeleDB数据库中存储的信息。为了更好地改进产品和服务，用户同意天翼云代理可以收集、维护、处理和使用客户在使用本产品过程中产生的诊断性、技术性、使用及相关信息， 包括但不限于定期搜集系统日志、独特的系统或硬件识别码（“诊断信息”）。为便于本公司和第三方开发商改善其设计配合本产品使用的产品、硬件和服务，本公司并可向任何此类伙伴或第三方开发商提供与该伙伴或第三方开发商的产品、硬件和/或服务有关的诊断信息子集。如根据有关法律法规的规定导致天翼云不得再按照上述方式处理诊断信息，天翼云将按照有关法律法规的规定变更数据处理方式，并将通过满足法律法规的要求且在商业上合理的方式通知您，并获得您的同意。 13 免责与责任限制 1. 本产品经过详细的测试，但不能保证与提供的技术清单外的，所有的软硬件系统完全兼容，不能保证本产品完全没有错误。 2. 使用本产品风险由用户自行承担，在适用法律允许的最大范围内，对因使用或不能使用本产品所产生的损害及风险，包括但不限于直接或间接的数据丢失、个人损害、商业赢利的丧失、贸易中断、商业信息的丢失或任何其它经济损失，本公司不承担任何责任。 3. 对于因电信系统或互联网网络故障、计算机故障或病毒、信息损坏或丢失、计算机系统问题或其它任何不可抗力原因而产生损失，本公司不承担任何责任。 4. 用户违反本协议规定，对本公司造成损害的。本公司有权采取包括但不限于中断使用许可、停止提供服务、限制使用、法律追究等措施。 5. 对于从非本公司指定站点下载的本产品以及从非本公司发行的介质上获得的本产品，本公司无法保证该产品是否感染计算机病毒、是否隐藏有伪装的木马程序或者黑客产品，使用此类产品，将可能导致不可预测的风险，建议用户不要轻易下载、安装、使用，本公司不承担任何由此产生的任何法律责任。 6. 本《协议》所述明示担保，为担保的全部内容。在适用法律所允许的最大范围内，天翼云及其供应商提供的本“产品”和支持服务（如有）均为按现状及包含所有瑕疵状况下提供，不允诺其它不论是明示的、暗示的还是法定的任何保证和担保：包括但不限于本“产品”对特殊应用目的适销性或适应性，反应的精确性，结果的完整性，不含病毒及疏忽，针对本“产品”提供或不提供支持服务。

本文为您详细介绍Baichuan 2 模型。 模型简介 Baichuan 2 是百川智能推出的新一代开源大语言模型，在多个权威的中文和英文基准测试（benchmark）上均取得了同尺寸模型中的最佳效果。此次发布，Baichuan 2 提供了7B和13B的Base版本以及Chat版本，同时，为了提升部署效率和降低资源消耗，还特别为Chat版本提供了4bit量化的版本。 使用场景 在实际应用方面，Baichuan 2在垂直领域如医学和法律方面表现突出。 这种规模的模型可以更加人性化地执行各种自然语言任务，如问答、翻译、摘要生成等。 此外，Baichuan 2还可以应用于智能客服 、智能助手等场景，提高用户体验和满意度。 评测效果 百川智能在通用、法律、医疗、数学、代码理解以及多语言翻译这六个领域的中英文权威数据集上，对Baichuan 2模型进行了全面的测试。更多详细的测评结果，请访问GitHub上的相关仓库进行查看。 技术亮点 在预训练方面，Baichuan 2采用了广泛的数据来源，并注重数据频率和质量。通过构建大规模去重和聚类系统，Baichuan 2实现了高效的数据处理，确保每个token都得到充分训练。此外，Baichuan 2的分词器也进行了优化，实现了高压缩率和适当大小的词汇表，以提高模型的推理效率和训练效果。 在应用方面，Baichuan 2支持多种任务类型，包括文本生成、文本分类、实体识别等。通过监督预训练和强化学习从人类反馈中获得的方法，Baichuan 2实现了模型对齐，获得了Baichuan 27BChat和Baichuan 213BChat两个会话模型，进一步提升了模型在自然语言处理任务中的性能。

本文为您介绍云专线服务的功能特性。 功能名称 功能描述 支持专享通道 天翼云云专线服务为用户提供独享/共享物理端口，用户可配置静态路由协议，可支持TRACK/BFD协议。 支持多种线路接入 客户侧支持IPRAN、MSTP、MPLS VPN、OTN等多种线路类型，可按需灵活选择；每种接入方式均与互联网流量隔离。 支持安全承载 用户在通过云专线接入时，独享网络链路，无惧数据泄露风险；对上层应用透明承载，可承载数据、语音、视频等综合应用。 支持超大带宽传输 支持1G/10G/100G等多种端口带宽规格；同时提供端口聚合和链路能力，实现专线带宽弹性扩容。 支持多条物理专线进行ECMP链路聚合，可达到Tbps级别带宽。 支持稳定传输 提供中国电信高质量链路，多种冗余方案，运营商级网络保障；专用网络传数据，传输速率更有保障，传输更稳定。 支持便捷管理 天翼云提供统一的网络管理控制台页面，用户可登陆天翼云官网云专线产品控制台，对已经开通的云专线业务进行便捷管理。天翼云控制台支持变更客户侧和云侧子网信息，业务发生变化后可实时变更。

账号名称 说明 <主机名>/Administrator 本地系统账号，用于本地实例的运维操作。 innersa 远程管控账号，控制台通过该账号对数据库实例进行管理，包括数据库管理、账户管理、备份恢复等。 sa SQL Server默认System Admin账号，为了避免安全风险，默认不开启SA账号权限。如需开启，请参考

一体机收费模式？ 智算一体机目前主要根据一体机规格数量不同收费，3年服务期价格一体机规格标准资费数量+机柜标准资费（按需）+一体机规格维保标资费数量。后续进行扩容时，同样仅对扩容的服务器节点数量进行独立收费。 注意 交换机设备包含在智算一体机的产品价格中，无需另行配置。 报价需购买一体机3年维保费，后续运维由电信地市公司提供一线运维人员协助（定期巡检、简单硬件运维开关机、插拔盘等）。 报价中不包含网络带宽、IDC服务费用，不含操作系统license费用。 智算一体机维保费用如何收取？ 维保费包含软件维保和硬件维保服务，需要按照维保费的价格进行购买。 3年服务期内是否允许退订？ 因智算一体机机涉及硬件部分，在订购后不允许退订。 3年服务期后产权是否可以归属客户？ 智算一体机默认是以服务模式售卖，产权归属天翼云。 智算一体机最长能提供多久续订服务 初始服务期为3年，服务期结束后客户可继续按年续订，考虑到硬件维保问题，原则上只能续订2年，天翼云回收设备。 但考虑到强制客户进行业务迁移有诸多难点，所以5年后有以下方案可供客户选择： 新订购智算一体机（予以一定折扣），天翼云协助客户进行业务迁移，老设备回收。 按正常续订价格继续续订，天翼云只提供软件运维服务，但不提供硬件维保，最晚续订至第7年，天翼云回收设备。 不再续订，则天翼云立即回收设备。

协议类型 说明 适用场景 TCP 面向连接的、可靠的数据传输协议。 适用于对数据传输的准确性和可靠性较高的使用场景，如远程登录、web服务、文件传输等。 UDP 其为无连接的、可靠性低的传输协议。 适用于传输速度快、实时性要求高，但对数据准确性要求不高的使用场景，如视频会议、在线游戏等。 HTTP 应用层协议，其支持基于Cookie的会话保持功能以及基于URL的转发。 适用于对请求的数据内容进行识别的应用的使用场景，如web应用、APP等。 HTTPS 加密的应用层协议，可以防止未授权的数据访问。 需要加密传输的web应用。

本文介绍了购买数据盘后，如何挂载到边缘虚拟机上。 准备条件 已经购买了边缘虚拟机。 为边缘虚拟机购买了云硬盘或本地盘，并在ECX控制台上完成了挂载。 下文以安装了Linux系统的边缘虚拟机为例，讲解如何在边缘虚拟机中挂载数据盘。 数据盘分区 为小于2 TB数据盘创建MBR分区 1. 通过控制台远程连接。 2. 查看实例上的数据盘信息。 运行以下命令： fdisk l 运行结果如下所示： 3. 依次运行以下命令，创建一个分区。 运行以下命令对数据盘进行分区： fdisk u /dev/vdb 输入p查看数据盘的分区情况。 说明 本示例中，数据盘没有分区。 输入n创建一个新分区。 输入p选择分区类型为主分区。 说明 创建一个单分区数据盘可以只创建主分区。如果要创建四个以上分区，您应该至少选择一次e（extended），创建至少一个扩展分区。 输入分区编号，按回车键。 说明 本示例中，仅创建一个分区，直接按回车键，采用默认值：1。 输入第一个可用的扇区编号，按回车键。 说明 本示例中，直接按回车键，采用默认值2048。 输入最后一个扇区编号，按回车键。 说明 本示例中，仅创建一个分区，直接按回车键，采用默认值。 输入p查看该数据盘的规划分区情况。 输入w开始分区，并在完成分区后退出。 运行结果如下所示： 4. 查看新分区信息。 运行以下命令： fdisk lu /dev/vdb 运行结果如下所示，如果出现/dev/vdb1的相关信息，表示新分区已创建完成。

参数 参数说明 集群名称 请确认您要升级的集群名称。 当前版本 请确认待升级集群的版本。 升级后版本 请确认升级后的目标版本。 节点升级策略 重置升级：用户节点采用重置安装方式，节点操作系统将会被重装，系统盘和数据盘的数据均会被清空，请谨慎使用。 说明 本集群的节点及工作负载生命周期管理功能暂不可用。 API访问功能暂不可用。 由于升级过程节点进行重置安装，用户已运行的工作负载业务将会中断。 用户节点的系统盘和数据盘将会被清空，升级前请事先备份重要数据。 用户节点上挂载的非LVM管理的数据盘，升级后需要重新挂载，盘中数据不会丢失。 云硬盘的配额需大于0。 容器的IP地址会发生变化，但是不影响容器间的网络通信。 用户节点的自定义标签将不会保留。 集群升级时间约为12分钟。 滚动升级 ：用户节点采用节点池滚动升级，适用于集群下节点均采用节点池创建的场景。 说明 本集群的节点及工作负载生命周期管理功能暂不可用。 API访问功能暂不可用。 用户已运行的工作负载业务不会中断。 集群升级时间约为12分钟。 重置节点镜像 仅支持物理机节点。物理机节点支持在升级时替换操作系统镜像，可指定节点使用新的镜像，在升级时会使用新镜像重装操作系统。如不指定则默认使用原有镜像重装操作系统。 登录方式 密码 用户名默认为“root”，请输入登录节点的密码，并确认密码。登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。选择用于登录本节点的密钥对，支持选择共享密钥。密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 集群备份 对集群的Master节点进行整机备份， 需要用户手动确认 ，备份过程会使用云备份服务，备份通常耗时在20分钟左右， 若当前局点云备份任务排队较多时，备份时间可能同步延长，推荐用户使用进行整机备份。 节点升级优先级 可选择优先升级的节点。

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

功能配置相关 花卷慧办客户端如何快速查看或导出日志？ 客户端异常时将获取错误情况进行上报，主动并实时关注客户端情况，同时终端用户使用花卷慧办客户端的导出功能：右键点击客户端图标，弹出托盘，通过“日志>导出日志”菜单即可导出客户端日志。 GUI日志：主要是页面交互相关若出现问题可查看。 Client日志：主要针对客户端引擎相关问题可查看。 客户端打开后要求输入的企业标识如何获取？ 企业认证标识是登录客户端的重要凭证，建议采用自身公司身份相关的进行定义。 可登录花卷慧办控制台企业服务进行获取。 问题故障分析 客户端短信验证码收不到如何解决？ 若您选择将手机号直接设置为登录账号，发送账号新增通知时，短信会携带手机号则短信存在被运营商拦截的风险，可能导致您无法正常接收。这是因为运营商为防范诈骗风险，会对含 "手机号”的短信进行严格校验，易触发拦截规则。 其他情况下若未收到短信，您可按以下方式排查： 检查平台手机号填写准确性，若填写错误可修正后尝试； 检查手机系统的「骚扰拦截箱」或「垃圾短信箱」（如华为手机在【安全中心 骚扰拦截】中查看，小米手机在【手机管家 骚扰拦截】中查询）； 查看第三方安全软件（如手机管家）的拦截记录，确认是否存在误拦截情况； 联系手机号所属运营商（移动 10086 / 联通 10010 / 电信 10000）查询短信发送状态。

通过后台提交作业 MRS 3.x及之后版本客户端默认安装路径为“/opt/Bigdata/client”，MRS 3.x之前版本为“/opt/client”。具体以实际为准。 1.登录MRS管理控制台。 2.选择“集群列表 > 现有集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.在“节点管理”页签中单击某一Master节点名称，进入弹性云主机管理控制台。 4.单击页面右上角的“远程登录”。 5.根据界面提示，输入Master节点的用户名和密码，用户名、密码分别为root和创建集群时设置的密码。 6.执行如下命令初始化环境变量。 source /opt/Bigdata/client/bigdataenv 7.如果当前集群已开启Kerberos认证，执行以下命令认证当前用户。如果当前集群未开启Kerberos认证，则无需执行该步骤。 kinit MRS集群用户 例如, kinit admin 8.执行如下命令拷贝OBS文件系统中的程序到集群的Master节点。 hadoop fs Dfs.obs.access.keyAK Dfs.obs.secret.keySK copyToLocal sourcepath.jar targetpath.jar 例如：hadoop fs Dfs.obs.access.keyXXXXDfs.obs.secret.keyXXXX copyToLocal "obs://mrsword/program/hadoopmapreduceexamplesXXX.jar" "/home/omm/hadoopmapreduceexamplesXXX.jar" AK/SK可登录OBS控制台，请在集群控制台页面右上角的用户名下拉框中选择“我的凭证 > 访问密钥”页面获取。 9.执行如下命令提交wordcount作业，如需从OBS读取或向OBS输出数据，需要增加AK/SK参数。 source /opt/Bigdata/client/bigdataenv;hadoop jar executejar wordcount inputpath outputpath 例如：source /opt/Bigdata/client/bigdataenv;hadoop jar/home/omm/hadoopmapreduceexamplesXXX.jar wordcount Dfs.obs.access.keyXXXXDfs.obs.secret.keyXXXX "obs://mrsword/input/""obs://mrsword/output/" inputpath为OBS上存放作业输入文件的路径。outputpath为OBS上存放作业输出文件地址，请设置为一个不存在的目录。

本小节介绍云堡垒机运维登录远程桌面提示“ 网络连接错误”操作指导。 云堡垒机没有防绕过的功能，运维用户只要掌握服务器账号密码，即可直接登录服务器并运维。 为避免云堡垒机被绕过，需要设置服务器安全组，配置入方向仅对云堡垒机IP地址开放，拒绝其他地址访问，实现只通过云堡垒机登录的目的。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > 弹性ip”。 3. 在左侧导航树选择“访问控制 > 安全组”。 4. 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 5. 在安全组详情界面，单击“添加规则”，弹出添加规则窗口，规则配置中原地址配置云堡垒机的IP地址。

云堡垒机每一个实例对应一个独立运行的云堡垒机运维管理系统环境。 用户首先需要购买一个云堡垒机实例，购买后，系统默认创建一个云堡垒机管理员账号（默认管理员用户admin），可通过该账号单点登录云堡垒机系统；登录实例后，根据提示配置运维管理环境，实现云堡垒机实时远程高效运维管理。 前提条件 已获取管理控制台的登录账号与密码。 已购买至少一个弹性公网IP（Elastic IP，EIP）。 注意 一个弹性公网IP只能绑定一个云资源使用，云堡垒机绑定的弹性IP不能与其他云资源共用。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 单击右上角的“购买堡垒机”，进入产品订购页。 4. 选择“云堡垒机实例”基础信息和资产规格。 参数 说明 计费模式 选择实例计费模式，仅支持“包年/包月”模式。 包年/包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。 部署架构 选择新购堡垒机的部署架构，目前支持：通用性x86、鲲鹏ARM、海光X86、飞腾ARM。 地域/可用区 选择实例应用区域和可用区，即提供云堡垒机服务的区域和可用区。 建议根据待管理ECS、RDS等服务器上资源的区域和可用区选择，可以降低网络时延、提高访问速度。 实例名称 自定义实例名称。 长度为215字符，以字母开头，可包含数字、“.”、“”、“”，不可包含中文。 实例规格 选择实例规格，目前仅支持“单机版”。 版本 支持“高级版”，该版本支持的功能清单请到功能特性查看。 资产规格 选择需要纳管的资产数，堡垒机不同版本支持的资产数略有不同，请根据实际需要选择。 5. 配置云堡垒机实例的网络信息。 参数 说明 虚拟私有云 选择当前区域下虚拟私有云（Virtual Private Cloud，VPC）网络。 若当前区域无可选VPC，可单击“查看虚拟私有云”创建新的VPC。 注意 默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 云堡垒机支持直接管理同一区域同一VPC网络下的ECS等资源，通过堡垒机纳管资源后，可直接访问并管理对应的资源。 订购完成后，虚拟私有云不支持修改。 安全组 选择当前区域下安全组，若无合适安全组可选择，可单击“管理安全组”创建或配置新的安全组。 说明 一个安全组为同一个VPC网络内具有相同安全保护需求、并相互信任的堡垒机资源提供访问策略。当云堡垒机加入安全组后，即受到该安全组中访问规则的保护。 云堡垒机可与资源主机ECS等共用安全组，各自调用安全组规则互不影响。 如需修改安全组，请参见更改安全组。 子网 选择当前VPC内子网。 说明 子网需在VPC的网段内。 弹性IP （可选）选择当前区域下EIP。 若当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。 6. 选择配套的弹性云主机规格，包括云主机规格、系统盘、数据盘。 云主机规格默认选择最低规格，您可在下拉框中选择主机规格或者输入规格名称进行搜索（支持模糊搜索）。 系统盘和数据盘默认选择最低规格，您可根据业务实际需求进行适量提升。 具体云主机规格需求如下： 版本 资产规格 并发数 推荐云主机规格 版本 资产规格 并发数 CPU 内存 系统盘 数据盘 高级版 10资产 10并发上线 2核 8GB 40GB 300GB 高级版 20资产 20并发上限 2核 8GB 50GB 300GB 高级版 50资产 50并发上限 4核 16GB 50GB 500GB 高级版 100资产 100并发上限 8核 32GB 50GB 800GB 高级版 200资产 200并发上限 8核 32GB 50GB 800GB 高级版 500资产 500并发上限 12核 48GB 50GB 2048GB 高级版 1000资产 1000并发上限 16核 64GB 50GB 2048GB 高级版 2000资产 2000并发上限 16核 128GB 50GB 2048GB 高级版 5000资产 2000并发上限 24核 192GB 50GB 4096GB 高级版 10000资产 2000并发上限 32核 192GB 50GB 4096GB 7. 选择“购买时长”，可按月或按年购买云堡垒机。 支持开启“到期自动续费”，当服务到期前，系统会自动按照默认的续订周期生成续费订单并进行续费，无须用户手动续费。 8. 确认参数配置无误后，阅读并同意相关协议，单击“立即购买”。 9. 在支付页面完成付款，返回云堡垒机控制台页面，在“云堡垒机实例”列表下查看新购买的实例。