本文介绍如何使用天翼云GPU云主机构建Blender云端渲染服务，完成简单的云渲染任务。 背景信息 Blender 是一款永久开源免费的 3D 创作软件，支持整个 3D 创作流程：建模、雕刻、骨骼装配、动画、模拟、实时渲染、合成和运动跟踪，甚至可用作视频编辑及游戏创建。 实例环境如下表所示。 实例类型 g7.2xlarge.4 所在地域 华北2 系统盘 50GB 数据盘 50GB 操作系统 Windows2019DataCentervGPU 公网弹性IP带宽 5Mbps 操作步骤 1. 在天翼云申请GPU云主机实例。本文创建了一台规格为g7.2xlarge.4的图形加速基础型GPU云主机，选择Windows2019DataCentervGPU，配置超高IO系统盘及数据盘各50GB，添加网卡，选择VPC及Subnet，添加默认安全组，购买EIP，创建用户名、密码，购买成功后开机使用。 注意 如果使用自己的镜像没有GRID图形驱动，将无法使用渲染OpenGL功能，请安装驱动，详情请参见 2. 安装Blender，在官网下载并安装，下载地址：< 3.1.2版本，并解压缩到指定目录下 3. 配置环境变量，右击此电脑，单击属性，在弹出的弹窗中选择高级，点击环境变量进行配置。 4. 重启云主机，开机后运行Windows+R键，输入cmd。 5. 在命令行输入blender，如果能够启动blender页面，证明已经成功。 6. 渲染参数设定，建议直接在blender里面设定好所有的参数，命令行只是确定渲染的帧数。 7. 建议将工程文件（blend）保存在容易记的位置，这里以C:test.blend为例，输入 blender b "C:test.blend" o frame

使用流程 序号 操作项 说明 0 （可选）接入“企业主机安全HSS”的“主机安全基线”日志到态势感知（专业版） 仅态势感知（专业版）专业版且启用了“操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包场景需要执行该操作。 在目标工作空间左侧导航栏选择“日志审计> 云服务接入”，进入云服务日志接入页面，打开“企业主机安全HSS”服务的“主机安全基线”前的按钮以及“自动转告警”列对应的按钮，单击“保存”，并在弹出的配置保存框中，单击“确定”。 1 定时执行基线检查 态势感知（专业版）将使用默认检查计划对所有资产进行检查。 默认检查计划：默认每隔3天检查一次，每次在00:00~06:00对您账号下当前区域的“安全上云合规检查1.0”遵从包所涉及的资产进行检查。 自定义基线检查计划：根据您的需求自定义遵从包和检查时间。 2 立即执行基线检查 基线检查功能支持定期自动检查和立即检查。 定期自动检查：根据系统默认基线检查计划或您自定义的基线检查计划，定时自动执行基线检查。 立即检查：如果您新增或修改了自定义的基线检查计划，您可以在基线检查页面选择该基线检查计划，立即执行基线检查，实时查看服务器中是否存在对应的基线风险。 3 查看基线检查结果 自动/手动基线检查完成后，可以查看基线检查结果，了解基线检查项影响的资产、基线项目详情等信息。 4 处理基线检查结果 基线检查完后，可以根据修复建议对风险项目进行处理。 查看风险项的改进建议：根据检测结果修复风险检查项。 反馈检查结果：检查项中的手动检查项，您在线下执行检查后，需要在控制台上反馈检查结果，以便计算检查项合格率。 导入检查结果：将线下检查结果数据信息导入至态势感知（专业版）基线检查中。 导出检查结果：将线上检查结果导出至本地。

本章节介绍主子账号体系内容 概述 云原生网关目前已接入主子账号体系，通过主账号对子账号并对其分配访问权限，用户可以实现对企业中云服务和资源的访问及操作权限，避免账号滥用。主子帐号支持数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系进行权限管理。 术语解释 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 说明 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 云原生网关中提供了两种系统策略：cgw viewer只读权限，只能对实例资源进行读操作；cgw admin管理权限，可以对实例资源进行管理维护，包括读与写操作，等同于主账号访问权限。 自定义策略： 创建自定义策略可以支持更细粒度的授权，对于云原生网关，可以自定义功能访问权限以及资源访问权限。 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云主机上，且该弹性云主机与关系型数据库实例处于同一区域，同一VPC时，建议单独使用内网IP连接弹性云主机与关系型数据库实例。 安全性高，可实现RDS的较好性能。 推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问RDS实例时，使用公网访问，建议单独绑定弹性公网IP连接弹性云主机（或公网主机）与关系型数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的RDS实例在同一子网的，使用内网连接。

审计信息筛选 根据5W1H（What、Where、When、Who、Why、How）分析模型进行规则设置，提供丰富的规则条件配置方法。 内置900多条安全相关的审计分析规则。 根据采集到的数据进行数据分析和产生行为模型。 审计结果查询。 预警与报表 提供Syslog、短信、邮件、SNMP、钉钉、企业微信等告警通知方式，可第一时间通知管理人员。 可与综合日志审计分析平台等进行日志的整合。 内置23种高价值、符合法律法规的分析报表，可从数据库账号增删、密码修改、权限变更、高危操作、违规告警、账号复用、数据库性能分析等维度进行分析。 提供自定义报表功能，可根据客户的业务需要，选择不同的维度和指标对审计数据进行统计和分析。 进入控制台 1. 登录云等保专区控制台。 2. 在左侧导航选择“数据库审计 > 数据库审计v1.0”，进入数据库审计v1.0资源列表页面。 3. 单击目标资源操作列的“配置”，跳转到数据库审计v1.0控制台。 使用数据库审计v1.0 了解更多数据库审计相关操作内容，请下载阅读《云等保专区数据库审计 v1.0 用户指南》。 开启IPv6防护 数据库审计不支持IPv4和IPv6的切换。若需要开启IPv6防护，请确保在购买数据库审计资源时，所选子网已开启IPv6，否则需要重新购买。 购买数据库审计时，选择的子网已启用IPv6，则自动开启IPv6防护。 购买数据库审计时，选择的子网未启用IPv6，则需重新下单数据库审计，确保其所选子网已开启IPv6。详细操作请参见创建IPv4/IPv6双栈子网、购买云等保专区。

CDM迁移原理 用户使用CDM服务时，CDM管理系统在用户VPC中发放全托管的CDM实例。此实例仅提供控制台和Rest API访问权限，用户无法通过其他接口（如SSH）访问实例。这种方式保证了CDM用户间的隔离，避免数据泄漏，同时保证VPC内不同云服务间数据迁移时的传输安全。用户还可以使用VPN网络将本地数据中心的数据迁移到云服务，具有高度的安全性。 CDM数据迁移以抽取写入模式进行。CDM首先从源端抽取数据然后将数据写入到目的端，数据访问操作均由CDM主动发起，对于数据源（如RDS数据源）支持SSL时，会使用SSL加密传输。迁移过程要求用户提供源端和目的端数据源的用户名和密码，这些信息将存储在CDM实例的数据库中。保护这些信息对于CDM安全至关重要。CDM迁移原理详见下图

本文为您介绍查看容灾管理中心详情的具体操作。 操作场景 在您创建了容灾管理中心后，可以通过多活容灾服务控制台查看您创建的容灾管理中心的详细信息。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“容灾管理”，进入容灾管理中心页面。 5. 点击容灾管理中心列表中的名称，进入容灾管理中心详情页。 6. 在基础信息部分，可以查看容灾管理中心名称、命名空间、容灾管理中心ID、容灾形态、创建时间、描述信息。 7. 在网络信息部分，可以查看容灾管理中心的虚拟私有云、子网、安全组，以及绑定的ELB、EIP。 8. 在计费信息部分，可查看计费模式，如果计费模式选择的是包年包月，则还查看到期时长。 9. 在分区资源状态部分，查看各分区网络状态、资源同步状态，以及接入的云主机、数据库、存储资源。包含分区的内网状态、公网状态。其中，图标代表可用，图标代表不可用。

本文主要介绍与其他云服务的关系。 云审计（Cloud Trace Service） 云审计为您提供云服务资源的操作记录，记录内容包括您从管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供您查询、审计和回溯使用。 当前CTS记录的操作，请参考支持云审计的操作列表。 虚拟私有云（Virtual Private Cloud） Kafka实例运行于虚拟私有云，需要使用虚拟私有云创建的IP和带宽。通过虚拟私有云安全组的功能可以增强访问Kafka实例的安全性。 弹性云主机（Elastic Cloud Server） 弹性云主机是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。Kafka实例运行在弹性云主机上，一个代理对应一台弹性云主机。 云硬盘（Elastic Volume Service） 云硬盘为云服务器提供块存储服务，Kafka的所有数据（如消息、元数据和日志等）都保存在云硬盘中。 云监控（Cloud Eye） 云监控是一个开放性的监控平台，提供资源的实时监控、告警、通知等服务。 说明 Kafka实例向CloudEye上报监控数据的更新周期为1分钟。 弹性公网IP（Elastic IP） 弹性公网IP提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。Kafka实例绑定弹性公网IP后，可以通过公网访问Kafka实例。

本文介绍专属云（存储独享型）的产品优势。 专属云（存储独享型）是一种独特的数据存储服务，可以确保数据的安全性和完整性，同时也可以提供更好的性能和更低的延迟。 资源独享 计算和存储资源独享，无须担忧资源竞争，可提供稳定可靠的底层基础。 安全可靠 物理资源隔离，数据三副本冗余，数据持久性高达99.9999999%。 磁盘支持备份功能 ，为用户提供了强大的数据保护，提高了数据的可靠性和灵活性。 弹性扩展 可根据业务需求按需扩容存储池，同时支持在线扩容存储专属云下的云硬盘，并且性能线性增长，满足业务需求。

本节介绍翼加密的创建加密策略的流程，以及相关配置项的说明。 开通翼加密后，通过AI云电脑控制台菜单找到“文件加密”——“加密策略管理”，点击“新建”即可创建加密策略。 加密策略配置项说明如下表所示： 策略内容 说明 工作场景 安全办公场景：加密范围文档文件全选加密强度。标准金融财务办公：加密范围文档文件全选加密强度。最高自定义设置：不预设加密范围和加密强度，完全由管理员自定义选择。 加密范围 自定义配置加密管控的应用进程，以及加密的文件格式类型。 剪切板控制 开启后加密管控进程打开的文件无法复制粘贴内容到非加密管控进程。比如用WPS打开的word文档内的文字图片无法复制到微信，保证加密数据安全无泄漏。加密管控进程之间的复制粘贴操作正常，如WPS打开的多个word文档之间允许复制粘贴。 加密强度 国密算法（旗舰版）：SM4，适用于有国密加密安全要求的政企部门或组织。最高（旗舰版）：AES256，安全系数最高，适用对文件安全性要求高的场景。高（旗舰版）：AES192，安全系数高，适用于对文件安全性有较高要求的场景。标准（标准版）：AES128，基础的安全加密等级，能有效加密文件，防止文件数据外泄。

尊敬的天翼云用户： 您好！ 近期，我们接到用户反馈，存在不法企业或个人假冒天翼云 SSL 证书供应商，通过电话、微信等方式，以“低价续费、套件服务升级、测试证书不安全” 等话术，试图诱导用户前往非天翼云官方平台购买或续费 SSL 证书，请您务必提高警惕，避免因轻信虚假信息导致经济损失或信息泄露风险。天翼云不会将用户数据泄露或出售给第三方公司，天翼云合作伙伴也不会让客户去非天翼云平台购买产品。 为避免给您造成困扰，天翼云 SSL 团队特此声明： 1. 您在天翼云证书管理服务购买的 SSL 证书即将到期时，天翼云会在证书到期前20天 、前30天 通过官方渠道（邮件、短信、4008109889热线 ）的方式通知您及时续费，不会通过微信或其他个人形式直接联系您办理续费业务。如遇类似情况，请提高警惕并及时核实信息真实性。 2. 天翼云合作的 CA 厂商只有在证书审核环节和证书使用过程出现特殊情况（例如：私钥泄漏、申请强制吊销等）时才会主动联系您，否则不会以天翼云合作厂商的身份主动联系您。 天翼云合作的 CA 厂商信息如下表，若收到非官方来源的联系，请务必谨慎核实。 合作 CA 厂商 外呼电话号码 对外邮箱后缀 亚数信息科技（上海）有限公司 02154970081、02154971631 @trustasia.com 中金金融认证中心有限公司 01087549888、01087549666 @cfca.com.cn 如果您无法判断收到信息的真实性，烦请您记录对方联系方式和信息详细内容，及时提交工单反馈给天翼云。 天翼云服务团队

本节将为您介绍如何进行企业项目创建管理与授权。 创建企业项目 企业项目管理服务提供统一的云资源企业项目管理，以及企业项目内的资源管理，成员管理。 操作步骤 1. 在天翼云首页右上角单击“我的 > 安全设置”进入账号中心。 2. 在左侧导航栏单击“统一身份认证”，进入IAM管理页面。 3. 单击左侧导航栏中的“企业项目”进入企业管理页面，单击右上角“创建企业项目”。 4. 在“创建企业项目”弹窗对“企业项目名称”及“描述”进行编辑，确认无误后单击“确定”，完成创建。示例如下： 授权 通过为企业项目添加用户组，并设置策略，实现企业项目和用户组的权限关联。将用户加入到用户组，使用户具有用户组中的权限，从而精确地控制用户所能访问的项目，以及所能操作的资源。 操作步骤 1. 在天翼云首页右上角单击“我的 > 安全设置”进入账号中心。 2. 在左侧导航栏单击“统一身份认证”，进入IAM管理页面。 3. 单击左侧导航栏中的“用户组”进入用户组管理页面，单击右上角“创建用户组”。 4. 在“创建用户组”弹窗对“用户组名称”及“描述”进行编辑，确认无误后单击“确定”，完成创建。示例如下： 5. 回到“企业项目”，找到创建好的企业项目，单击“查看用户组”。 6. 在“用户组”页签单击“设置用户组”。 7. 选择在步骤4创建好的用户组进行设置后，单击“确认”完成添加。 8. 您可在该用户组“设置策略”完成具体策略设置。

本章节为您介绍数据安全专区IAM权限的相关内容 本文为您介绍数据安全专区的权限管理能力，支持通过IAM实现对数据安全专区的访问控制、权限分配。 数据安全专区通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制数据安全专区服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 数据安全专区IAM策略说明 天翼云为数据安全专区提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 dszSecAdmin 数据安全专区安全管理员策略，不支持订单相关操作。 系统策略 资源池 dszAudAdmin 数据安全专区审计管理员策略，不支持订单相关操作 系统策略 资源池 dszSysAdmin 数据安全专区系统管理员策略，不支持订单相关操作 系统策略 资源池 dszAuthAdmin 数据安全专区权限管理员策略，不支持订单相关操作 系统策略 资源池 dszApproveAdmin 数据安全专区审批管理员策略，不支持订单相关操作 系统策略 资源池 数据安全专区订单业务员 支持数据安全专区购买、续订、退订、升配、降配权限。 系统策略 全局级

本文详细介绍到期与欠费说明。 到期 AOne边缘安全加速平台的基础套餐为包年包月的销售品，在资源到期前7天、3天、1天会以邮件的方式通知客户资源即将到期；在到期当天会以邮件、站内信和短信的方式通知客户。 客户选择订购套餐或资源包，如果客户拟在服务期限届满或资源包抵扣完成后继续使用服务，客户应当及时续订套餐、资源包或开通按需计费。否则，天翼云将在服务期限届满或资源包抵扣完成后暂停向客户提供服务目冻结资源，天翼云有权立即释放客户的资源，并删除相关数据。 产品/服务冻结时：资源将被限制访问和使用，会导致您的业务中断。 产品/服务解冻时：资源将被解除限制，但是需要您自行去自助控制台检查并恢复业务。 产品/服务释放时：资源将被释放，存储在资源中的数据将被删除，数据无法找回。 欠费 在天翼云账户中没有费用并欠款的情况下，天翼云会以短信的方式通知客户充值；如果客户在48小时内未付清所欠金额，则将关停客户的边缘安全加速平台。 服务到期，关停服务 关停客户的边缘安全加速平台安全与加速服务，天翼云CDN会将加速域名的CNAME立即解析至不可用地址。 注意：对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。

查看安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，查看已有安全组。 3. 选中所要查看安全组规则的安全组，单击安全组的名称进入安全组的详情页。 4. 单击【入规则】可查看当前安全组下已有的入方向规则。 5. 单击【出规则】可查看当前安全组下已有的出方向规则。 删除安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，查看当前用户已有安全组。 3. 选中所要删除安全组规则的安全组，单击对应操作栏中的【编辑规则】，进入安全组的编辑页面。 4. 在编辑页面中单击【入方向规则】或者【出方向规则】，选中所要删除的安全组规则，在对应的操作栏中单击【删除】，再单击【提交】执行删除，删除后立即生效。

是否支持跨Region访问？ Kafka可以跨Region访问，但是跨Region目前只能通过公网访问或者购买云间高速服务。 Kafka实例是否支持不同的子网？ 支持。客户端与实例在相同VPC内，可以跨子网段访问。同VPC下不同子网之间默认互通。更多子网信息请参见虚拟私有云介绍。 Kafka是否支持Kerberos认证，如何开启认证？ 不支持Kerberos认证。kafka支持SASLPLAINTEXT安全接入点接入。 开启公网访问后，在哪查看公网IP地址？ 可以在实例列表设置公网IP窗口查看各节点绑定的公网IP地址。 Kafka支持服务端认证客户端吗？ Kafka 支持通过 SASL（Simple Authentication and Security Layer）等认证机制实现服务端对客户端的主动认证。SASL 是一种用于通信安全的框架，它允许在客户端和服务器之间进行认证和授权。 客户端单IP连接的个数为多少？ Kafka目前对单个IP连接数没有限制，主要取决于实例连接数，具体可参见常见问题kafka实例连接数有限制吗？ Kafka实例的内网连接地址可以修改吗？ 在实例创建后，内网连接地址不支持修改。

参数 是否必填 参数类型 说明 示例 下级对象 clustername 是 String 集群名称： 大写字母、小写字母、数字和特殊符号 : /组成，最多支持28个字符 sjfwtest1 clustertype 是 String 集群类型： datalake：数据湖 dataanalysis：数据分析 dataservice：数据服务 cloudsearch：云搜索 realtimedataprocessing：实时数据流 customize：自定义 datalake components 是 String 组件信息： 多个组件“,”隔开 OpenLDAP,Kerberos,ZooKeeper,HDFS,YARN,Hive,Tez,Spark,Hudi,Iceberg,Ranger regionid 是 String 资源池ID bb9fdb42056f11eda1610242ac110002 availablezoneid 是 String 可用区ID cnhuadong1jsnj3Apublicctcloud vpcId 是 String VPC ID vpcn83zi9vuo0 subnetid 是 String 子网ID subnet8hzbyype9r securitygroupsid 是 String 安全组ID sgzfh4pgydhe enableipv6 否 Boolean 开启IPv6： true：开启 false：关闭 VPC支持时默认true false noderootpassword 是 String 节点的root密码： 长度为1226字符，需包含大写字母、小写字母、数字和特殊符号（仅包括：~!@$%^+{[]}:,.?），不能包含root、toor相关大小写变形字符串和3位及以上连续数字或字符 Juhwqe7h!21Da. ostype 是 String 操作系统类型： CTyun：CTyunOS Kylin：麒麟 CTyun hosttype 是 String 主机类型： ecs：云主机 dps：物理机 ecs cputype 是 String CPU类型： X86：X86 ARM：ARM X86 spectype 是 Integer 规格类型： 1：通用云主机 2：国产云主机 3：通用物理机 4：国产物理机 主机类型为“ecs”时可选“1”和“2”，为“dps”时可选“3”和“4” 1 dpstype 否 String 裸金属类型： EBM：弹性裸金属 SBM：标准裸金属 主机类型为“dps”时必填 EBM chargeinfo 是 Object 计费信息 表chargeinfo datasourceconfigs 否 Array of Objects 关联数据连接信息： 部署Hive和Ranger等组件时，可以关联数据连接，将元数据存储于关联的数据库 表datasourceconfig nodedetails 是 Array of Objects 节点组详情 表nodedetail

VPC间访问展示当前防火墙实例防护的VPC间流量数据。 前提条件 配置并开启VPC边界流量防护，且已有流量经过VPC，开启VPC防护的操作步骤请参见“开启VPC边界流量防护”。 查看VPC间访问流量 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“流量分析> VPC间访问”，进入“VPC间访问”页面。 5. 查看经过云防火墙的流量统计信息，支持5分钟~7天的数据。 流量看板：VPC间最大流量的相关信息。 VPC间访问：VPC间请求流量和响应流量数据。 取值说明： 时间段 取值说明 近1小时 取1分钟内的平均值 近24小时 取5分钟内的平均值 近7天 取1小时内的平均值 自定义 5分钟~6小时：取1分钟内的平均值 6小时（含）~3天：取5分钟内的平均值 3天（含）~7天（含）：取30分钟内的平均值 可视化统计：查看指定时间段内VPC间流量中指定参数的 TOP 5 排行，参数说明请参见表354。单击单条数据查看流量详情，每个详情支持查看50条数据。 VPC间流量可视化统计参数说明： 参数名称 参数说明 TOP访问源IP VPC间流量的源IP地址。 TOP访问目的IP VPC间流量的目的IP地址。 TOP开放端口 VPC间流量的目的端口。 应用分布 VPC间流量的应用信息。 私网IP活动明细：查看指定时间段内私网IP流量 TOP 50 信息。

本页介绍了实例连接方式。 连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云主机上，且该弹性云主机与文档数据库服务实例处于同一区域，同一VPC时，建议使用内网IP地址连接文档数据库服务实例。 安全性高。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的DDS实例在同一虚拟私有云子网内，使用内网连接。 公网连接 弹性公网IP 当应用部署在弹性云主机上，且该弹性云主机与文档数据库服务实例处于不同区域时，建议使用弹性公网IP连接文档数据库实例。 如果您使用天翼云以外的设备（例如本地设备、其他云厂商服务器等）连接文档数据库服务实例，建议使用弹性公网IP连接文档数据库服务实例。 安全性稍低。 公网连接需要购买弹性公网IP，并与文档数据库服务实例节点进行绑定。

本文介绍 IAM功能的基本用途、应用场景,以及本产品的权限定义。 目录 功能介绍 IAM应用场景 使用流程 权限策略 海量文件服务OceanFS权限表 常见问题 功能介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他账号管理资源等。 使用前您需了解常用的基本概念，包括：帐号、IAM用户、用户组、身份凭证、授权、权限、项目、委托、身份凭证等，详细请查看：术语解释。 IAM应用场景 IAM策略主要面向对同租户帐号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如文件系统的查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的用户名和密码登录云服务平台，实现多用户协同操作时无需分享帐号的密码的安全要求。 使用流程 请查看：入门说明。

本节主要介绍云数据库GeminiDB与其他云服务的关系。 云数据库 GeminiDB与其他服务的关系，如表1所示。 表1 云数据库 GeminiDB与其他云服务的关系 服务名称 云数据库GeminiDB与其他服务的关系 相关内容 弹性云主机 弹性云主机（Elastic Cloud Server，简称ECS）为云数据库 GeminiDB提供可弹性申请的计算资源，为数据库实例提供运行环境。 详细内容请参见弹性云主机文档 虚拟私有云 通过虚拟私有云（Virtual Private Cloud，简称VPC）和网络安全组实现网络隔离。虚拟私有云允许租户通过配置虚拟私有云入站IP范围，来控制连接数据库的IP地址段。数据库实例运行在租户独立的虚拟私有云内，可提升数据库实例的安全性。 详细内容请参见虚拟私有云文档 弹性IP 弹性IP（Elastic IP，简称EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。 详细内容请参见弹性IP文档 对象存储服务 备份数据存储至对象存储服务（Object Storage Service，简称OBS），在提高数据容灾能力的同时有效降低磁盘空间占用。 详细内容请参见对象存储文档 云审计服务 云审计服务（Cloud Trace Service，简称CTS），记录了云数据库 GeminiDB相关的操作事件，方便用户日后的查询、审计和回溯。 详细内容请参见云审计服务文档 统一身份认证服务 统一身份认证服务（Identity and Access Management，简称IAM）为云数据库 GeminiDB提供了权限管理功能。 详细内容请参见统一身份认证文档

如果已添加的数据库服务器的用户名和密码已修改或者访问数据库的用户名和密码配置有误，您可以参考本章节进行重新配置。 前提 已完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。 已添加数据库资产。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，并选择“数据库 > 已授权”，进入已授权数据库资产列表页面。 5.在需要编辑的数据库资产所在行的“操作”列，单击“编辑”。 6.在系统弹出编辑数据库对话框中，修改数据库服务器的用户名或密码。 7.点击“确定”。修改完成后，数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性，即测试DSC是否能够通过您配置的用户名和密码正常访问添加的数据库。 DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 若DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败？解决。

扩容过程中涉及数据迁移吗？ 扩容过程不涉及数据迁移。 选择和配置安全组 安全组是一种网络安全配置，用于控制云计算平台中虚拟机实例的网络访问。它是一种虚拟防火墙，可以定义入站和出站的网络流量规则，以保护虚拟机实例的安全。Kafka在购买实例页面用户可选择安全组。 是否支持跨Region访问？ 可购买弹性IP，通过公网IP绑定功能实现外网访问，也可通过购买云间高速产品服务进行访问。 Kafka实例是否支持不同的子网？ 支持。相同VPC内可以跨子网段访问。同一个VPC内的子网默认可以进行通信。 Kafka实例的内网连接地址可以修改吗？ 不支持修改，也不支持指定IP地址。 开启公网访问后，在哪查看公网IP地址？ Kafka管理控制台。在实例列表页在操作列，目标实例行点击“设置公网ip”，查看具体地址。 Kafka支持服务端认证客户端吗？ 分布式消息服务Kafka不支持服务端认证客户端。 不同实例中，使用的SSL证书是否一样？ 在Kafka中，每个实例使用的SSL证书通常是不同的。SSL证书是用于加密和验证Kafka实例之间的通信的一种安全机制。每个Kafka实例都需要有自己的证书来确保通信的安全性和身份验证。 SSL证书包括公钥和私钥。公钥用于加密通信，私钥用于解密通信。为了确保安全性，私钥应该是保密的，并且只有Kafka实例才能访问。 在Kafka集群中，每个实例都应该有自己的证书和私钥对。这样可以确保每个实例都有独立的加密和身份验证机制。如果多个实例共享相同的证书和私钥，那么一个实例的私钥可能会被其他实例访问，从而降低了通信的安全性。 因此，为了确保每个Kafka实例之间的通信安全，建议为每个实例生成独立的SSL证书和私钥。这样可以确保每个实例都有独立的加密和身份验证机制，提高整个Kafka集群的安全性。

本章节向您介绍VPN连接故障排查的常规检查项，帮助您快速定位并解决连接问题。 用户在使用VPN连接经典版过程中，可能会出现由于配置错误（云侧或用户侧协商策略、防火墙、路由表、域间策略、NAT配置、安全组等信息配置）而导致连接故障或无法PING通。 检查VPN两侧协商信息 确认PSK共享密钥是否一致。 确认IKE策略、IPsec策略协商参数是否一致。 确认两侧的本地子网和远端子网配置是否互为镜像。 检查客户防火墙ACL和云端安全组配置 确认放行去往天翼云VPC子网的数据流。 确认放行来自天翼云VPC子网的数据流。 检查防火墙路由表 确认存在目标地址为天翼云VPC子网的路由信息： 确认配置去往天翼云目标网络的路由信息，路由表或VPN路由表中存在路由信息。 确认路由转发表状态正常。 注意 路由易错配置： 目的网段与天翼云VPC网段不一致，导致前往天翼云的流量无法路由到配置IPsec策略的公网口。 配置静态路由时指定出接口，而非指定下一跳。在ethernet类型的网络中，出接口会因为无法学习到对端的ARP信息而导致路由转发失败。 将路由的下一跳地址指定为天翼云端的VPN网关地址。部分友商设备会因为路由信息无法自动迭代而不可行；由于VPN流量是要从公网口发出的，因此下一跳地址必须是运营商提供的网关地址。 检查客户防火墙域间策略 trust到untrust：放行本地VPC到云上VPC子网访问策略。 untrust到trust：放行云上VPC到本地VPC子网访问策略。

本章节会介绍公网连接天翼云关系型数据库的流程。 操作场景 本章介绍如何在管理控制台创建MySQL实例，并通过绑定弹性公网IP从公网连接访问MySQL实例。 使用流程 通过公网连接MySQL实例的使用流程介绍。 图 通过公网连接实例 步骤一：创建实例。根据业务需求，确认MySQL实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二：设置安全组规则。从安全组外访问安全组内的关系型数据库实例时，需要为RDS实例所在安全组配置相应的入方向规则。 步骤三：绑定弹性公网IP。弹性公网IP提供独立的公网IP资源，包括公网IP地址和公网出口带宽服务。可以在虚拟私有云管理控制台申请弹性公网IP并将该弹性公网IP绑定至RDS实例。 步骤四：通过公网连接MySQL实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

本章节会介绍公网连接天翼云关系型数据库的流程。 操作场景 本章介绍如何在管理控制台创建MySQL实例，并通过绑定弹性公网IP从公网连接访问MySQL实例。 使用流程 通过公网连接MySQL实例的使用流程介绍。 图 通过公网连接实例 步骤一：创建实例。根据业务需求，确认MySQL实例的规格、存储、网络配置、数据库帐户配置信息等。 步骤二：设置安全组规则。从安全组外访问安全组内的关系型数据库实例时，需要为RDS实例所在安全组配置相应的入方向规则。 步骤三：绑定弹性公网IP。弹性公网IP提供独立的公网IP资源，包括公网IP地址和公网出口带宽服务。可以在虚拟私有云管理控制台申请弹性公网IP并将该弹性公网IP绑定至RDS实例。 步骤四：通过公网连接MySQL实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

本文主要介绍物理机的权限管理。 如果您需要对天翼云上购买创建的物理机服务器资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有物理机的使用权限，但是不希望他们拥有删除物理机等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用物理机，但是不允许删除物理机的权限，控制他们对物理机资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用物理机服务的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 物理机权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 物理机部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如江苏苏州）对应的项目（cnjssz1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问物理机时，需要先切换至授权区域。 根据授权精度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对物理机服务，管理员能够控制IAM用户仅能对某一类物理机资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 物理机常用操作与系统权限的关系 如下表： 操作 物理机 FullAccess 物理机 CommonOperations 物理机 ReadOnlyAccess 创建物理机 √ x x 查看物理机列表 √ √ √ 查询物理机详情 √ √ √ 修改物理机名称 √ x x 启动物理机 √ √ x 关闭物理机 √ √ x 重启物理机 √ √ x 物理机挂载数据卷 √ √ x 物理机卸载数据卷 √ √ x 重装裸物理机操作系统 √ x x 一键重置物理机的密码 √ x x

本文为您介绍如何关闭重点操作短信验证。 重点操作验证，是天翼云平台为了保障安全，在用户进行重点操作前增加的二次认证，二次认证通过后系统才能执行用户操作。可避免因误操作引起严重后果，提供更高的安全性。您可以按照以下方式，关闭重点操作短信验证功能： 1. 登录天翼云账号，点击右上角头像下方的【个人中心】进入基本信息，下拉点击“安全设置”再点击“登录保护”如下图所示。 2. 点击【立即修改】跳转至概览/设置重点操作验证，如下图所示。 3. 选择关闭，如下图所示。 4. 点击【保存】，即可关闭重点操作保护。

本章节主要介绍如何登录翼MR集群节点。 本章节介绍如何使用翼MR管理控制台上提供的节点远程连接（VNC方式）和如何使用密码方式（SSH方式）登录翼MR集群中的节点，远程连接主要用于紧急运维场景，远程登录主机进行相关维护操作。其他场景下，优先推荐用户使用SSH方式登录集群节点。 说明 如果需要使用SSH方式登录集群节点，需要在集群的安全组规则中手动添加入方向规则：其中源地址为“客户端公网IPV4地址/32”，端口为22，具体请参见“帮助中心>虚拟私有云>安全组>[ 登录主机（VNC方式） 1. 登录翼MapReduce服务管理控制台。 2. 选择“集群列表 > 我的集群”，选中一个运行中的集群并单击集群名，进入集群基本信息页面。 3. 选择“节点管理”，单击展开节点组，显示节点列表。 4. 在目标节点的右侧“操作”列中，单击“远程连接”。 5. 在VNC方式新标签页Web页面中，可以看到服务器的命令行界面，类似于Linux服务器登录模式，输入root账号，并输入密码。 说明 1、初始密码为创建集群时所设定的集群密码。 2、自2.16版本起，若忘记密码，可通过基础信息页的重置密码功能修改云主机密码，物理机暂不支持修改。 登录主机（SSH密钥方式） 本地使用Windows操作系统 如果您本地使用Windows操作系统登录Linux主机，可以按照下面方式登录主机。下面步骤以Xshell为例。 1. 登录翼MR服务管理控制台。 2. 选择“集群列表 > 我的集群”，选中一个运行中的集群并单击集群名，进入集群基本信息页面。 3. 选择“节点管理”，单击展开节点组，显示节点列表。 4. 在目标节点的右侧“操作”列中，单击“更多”，选择“绑定弹性IP”，可以为该节点选择一个已存在且未绑定使用的弹性公网IP或者可以单击“+创建弹性公网IP”跳转至弹性IP控制台完成弹性IP购买后，再完成弹性公网IP绑定操作，若已绑定弹性公网IP请跳过该步骤。 5. 运行Xshell。 6. 选择“新建会话”。 7. 名称：选择你认为合适的会话名称，用于方便管理。 8. 协议：使用默认的“SSH”。 9. 主机：输入主机所绑定的弹性公网IP。 10. 端口号：使用默认的“22”，详见下图： 单击“Session”。 11. 单击“连接”，按照提示步骤，分别完成登录用户（默认为root）、密码的输入并保存，即可完成远程登录操作。

本节介绍了如何绑定和解绑弹性公网IP。 操作场景 云数据库GaussDB 实例创建成功后，支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 为保证数据库可正常访问，请确保数据库使用的安全组开通了相关端口的访问权限，假设数据库的访问端口是1611，那么需确保安全组开通了1611端口的访问。 注意事项 对于已绑定弹性公网IP的实例，需解绑后，才可重新绑定其他弹性公网IP。 绑定弹性公网IP 步骤 1 登录管理控制台。 步骤 2 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 步骤 3 在“连接信息”模块处，单击内网地址后的“绑定”。 步骤 4 在弹出框的EIP地址列表中，显示“未绑定”状态的EIP，选择所需绑定的EIP，单击“是”，提交绑定任务。如果没有可用的EIP，单击“查看弹性公网IP”，获取EIP。 步骤 5 在“连接信息”模块的内网地址处，查看结果。 如需关闭，请参见解绑弹性公网IP。 说明： 绑定成功后，您还可以单击内网IP前的 查看弹性公网IP详细信息。 解绑弹性公网IP 步骤 1 登录管理控制台。 步骤 2 对于已绑定EIP的实例，在“实例管理”页面，选择指定实例，单击实例名称，进入实例基本信息页面。 步骤 3 在“连接信息”模块，单击IP地址后面的“解绑”，在弹出框中单击“是”，解绑EIP。 步骤 4 在“连接信息”模块的内网地址处，查看结果。 如需重新绑定，请参见绑定弹性公网IP。

操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 在左侧导航栏中选择【域名管理】—【域名列表】，选择您要防护的域名，单击操作列【安全防护】 3. 进入【高级防护】页面 — 【广告防护】模块 配置说明 配置项 说明 开关 设置广告防护策略开启或者关闭 高级js动态检测开关 关闭。只检测页面已有广告内容（静态嵌入广告检测） 开启。将检测页面通过js动态添加元素内容，判断动态添加元素是否在白名单内，不再白名单则移除对应元素 处理动作 触发广告防护的处理动作，可选择告警或者清除 防护范围 设置要配置广告防护的URI； （1）URI：设置防护要包含/不包含的URI，例如：/home.jsp支持填写多个URI，用英文分隔符分隔； （2）PATH：设置防护要包含/不包含的路径，例如：/匹配请求URI前缀，/表示全站，用英文分隔符分隔； （3）多个粒度为且的逻辑；多个条件为或的关系； 白名单 外链白名单，当资源请求的链接来自设置的白名单时，不会进行广告处理，允许正常显示广告、图片

本文介绍如何使用VPN网关在VPC和本地数据中心之间建立IPsec VPN连接,实现本地数据中心与VPC之间加密通信。 场景示例 以下图组网场景为例，某公司在天翼云创建了VPC，子网网段为192.168.1.0/24和192.168.2.0/24。本地数据中心的网段为172.16.1.0/24，本地网关设备的公网IP为121.XX.XX.113。公司因业务发展，需要本地数据中心与云上VPC互通。您可以通过IPsec VPN，建立本地数据中心与云上VPC的连接，实现云上和云下的加密通信。 环境要求 本地数据中心网关设备必须配置公网IP地址。 本地数据中心的网关设备必须支持IKEv1或IKEv2协议，支持任意一种协议的设备均可以和VPN网关建立IPsec VPN连接。 本地数据中心和天翼云VPC间互通的网段没有重合。 准备工作 您已经在天翼云创建了VPC，VPC中使用云主机部署了相关业务。 您已经了解云主机实例所应用的安全组规则，并确保安全组规则允许本地数据中心网络中的终端设备访问云上资源。 操作步骤 步骤一：创建VPN网关 1. 登录控制中心。 2. 单击控制中心左上角的，选择目标资源池。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在VPN网关页面，单击“创建VPN网关”，进入订购页面，按照提示配置参数。 参数 说明 取值样例 计费模式 选择创建VPN网关所使用的计费模式。 包年/包月 地域 VPN网关所在的资源池。 华东1 名称 VPN网关的名称。 vpngatewayf0e0 网关类型 选择VPN网关的类型。 普通 实例类型 选择VPN网关的实例类型。 IPsec 企业项目 选择当前VPN网关归属项目。 default 本端类型 通过VPN网关接入的资源类型。 虚拟私有云VPC 虚拟私有云 选择要使用的VPC作为本端资源。 vpc682f 子网 选择当前VPC中本端的子网资源。 subnet682f (192.168.1.0/24) IPsec带宽 VPN网关要通过弹性IP访问公网，这里选择对应的弹性IP带宽大小，单位 Mbps，5M 起售。 20M IPsec连接数 选择对应的IPsec VPN并发连接数。 20 购买时长 包年包月场景需要选择，购买VPN网关实例的时长。 6个月 自动续订 资源到期后自动续订，按月购买时按月续订，按年购买时按年续订。 开启 5. 单击“下一步”。 6. 在购买确认页，勾选服务协议，点击“确认下单”，进入订单列表。 7. 在订单页面，单击“立即支付”，支付成功后，VPN网关创建成功。