本节为您介绍权限管理的概念。 在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用 统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。关于IAM的详细介绍，请参见IAM产品介绍。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。云助手相关的系统策略包含如下： Admin：云助手的管理者权限，包含云助手所有控制权限（不含订单类权限）。 Viewer:云助手的观察者权限，包含云助手的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

如何切换第三方模型API 1. 进入桌面后打开OpenClawConfig应用，进入配置界面； 2. 依次填写以下配置项，完成后验证连通性： 模型厂商：可自定义，使用英文字母即可； 模型ID：填写第三方大模型唯一标识； API Key：填写第三方平台申请的授权密钥； API协议：选择与第三方模型匹配的通信协议； Base URL：填写第三方模型服务地址。 3. 保存配置，重启后台服务，进入OpenClaw应用即可使用。如有需要，可检测验证模型API 连通性。 若提示「模型连接失败」：代表配置有误，请核对模型提供商提供的参数，确认填写正确后重新校验 若提示「模型连接成功」：代表参数填写无误，点击“保存配置”即可完成设置。 注意 不同模型厂商的相关字段位置存在差异，请自行查阅对应厂商的文档说明。 如何购买息壤算力并在天翼AI云电脑中的OpenClaw使用 购买息壤算力Token套餐 1. 注册或登录天翼云账号，访问天翼云官网++模型推理服务++，点击“立即体验”： 2. 前往天翼云官网息壤++模型推理服务++， 查看可用的模型和状态，选择合适进行试用和试用后的付费开通。

如果您需要添加RDS和云数据库以外的自建数据库资产，可参考本章节进行操作。 添加自建数据库资产前，需要获取自建数据库的引擎、版本、主机等相关信息。 前提条件 已完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。 已获取自建数据库的引擎、版本、主机等相关信息，且自建数据库子网下含有可用的IP配额。 约束条件 只能添加数据安全中心支持的数据库类型及版本，DSC支持的数据库类型及版本如下表所示。 数据库类型 版本 MySQL 5.6、5.7、5.8、8.0 SQL Server 2017SE、2017EE、2017WEB 2016SE、2016EE、2016WEB 2014SE、2014EE 2012SE、2012EE、2012WEB 2008R2EE、2008R2WEB PostGreSQL 11、10、9.6、9.5、9.4、9.1 Oracle 10、12 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“数据库 > 未授权”，进入未授权数据库资产列表页面。 5. 在未授权数据库资产列表左上角，单击“添加自建数据库”。 6. 在弹出的“添加自建数据库”对话框中，参考下表配置数据库参数。 参数名称 参数说明 取值样例 资产名称 输入数据库对象名称。 区域 默认为当前帐号登录的区域。 ECS实例 在下拉框中选择已在ECS服务里创建的数据库实例。 安全组 选择对应的ECS实例所在的安全组名称。 default 数据库引擎 选择数据库引擎。可选择“MySQL”、“PostgreSQL”、“SQLServer”和“Oracle”。 MySQL 版本 选择数据库引擎对应的版本。 5.6 模式名 输入数据库模式名。 主机 输入数据库服务器IP地址。 端口 输入数据库服务器的端口号。 数据库名称 输入自建数据库名称。 用户名 输入访问数据库服务器的用户名。 密码 输入访问数据库服务器的密码。 7. 点击按钮“确定”，即可将数据库添加完成，并展示在已授权的数据库列表中。在数据库添加完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性。 数据安全中心DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 数据安全中心DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败解决。

适用场景 特别适合于银行、证券等金融行业对数据安全要求极高的业务，您无需在边缘安全加速平台部署HTTPS证书的私钥，即可实现HTTPS加速，私钥由源站唯一拥有。 配置说明 如您需要配置HTTPS无私钥驻留加速功能，请提交工单给天翼云客服，由其帮您配置。 注意 使用HTTPS无私钥加速的前置条件： 请确保已经将HTTPS公钥部署到边缘安全加速平台。 请确保您的源站可以提供一台私钥服务器，边缘加速节点将与源站私钥服务器使用约定好的HTTPS加密算法进行数据交互，获取客户端与私钥服务器协商好的加密密钥。

本章节主要介绍ALM45288 TagSync垃圾回收(GC)时间超过阈值的告警。 告警解释 系统每60秒周期性检测TagSync进程的垃圾回收（GC）占用时间，当连续5次检测到TagSync进程的垃圾回收（GC）时间超出阈值（默认12秒）时，产生该告警。垃圾回收（GC）时间小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 45288 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 导致TagSync响应缓慢。 可能原因 该节点TagSync实例堆内存使用率过大，或配置的堆内存不合理，导致进程GC频繁。 处理步骤 检查GC时间 在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM45288 TagSync垃圾回收（GC）时间超过阈值”，检查该告警的“定位信息”，查看告警上报的实例主机名。 1. 在FusionInsight Manager首页，选择“集群 > 服务 > Ranger > 实例”，选择上报告警实例主机名对应的角色，单击图表区域右上角的下拉菜单，选择“定制 > GC > TagSync垃圾回收（GC）时间”，单击“确定”。 2. 查看TagSync每分钟的垃圾回收时间统计值是否大于告警阈值（默认12秒）。 是，执行步骤4。 否，执行步骤6。 3. 在FusionInsight Manager首页，选择“集群 > 服务 > Ranger > 实例 > TagSync > 实例配置”，单击“全部配置”，选择“TagSync > 系统”。将“GCOPTS”参数中“Xmx”的值根据实际情况调大，并保存配置。 说明 出现此告警时，说明当前TagSync设置的堆内存无法满足当前TagSync进程所需的堆内存，建议根据步骤2查看“TagSync堆内存使用率”，调整“GCOPTS”参数中“Xmx”的值为“TagSync使用的堆内存大小”的两倍（可根据实际业务场景进行修改）。 4. 重启受影响的服务或实例，观察界面告警是否清除。 是，处理完毕。 否，执行步骤6。

本章节主要介绍ALM38009 Broker磁盘IO繁忙的告警。 告警解释 系统每60秒周期性检测Kafka各个磁盘的IO情况，当检测到某个Broker上的Kafka数据目录磁盘IO超出阈值（默认80%）时，产生该告警。 平滑次数为3，当该磁盘IO低于阈值（默认80%）时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 38009 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 数据目录名称 Kafka磁盘IO频繁的数据目录名称 对系统的影响 Partition所在的磁盘分区IO过于繁忙，产生告警的Kafka Topic上可能无法写入数据。 可能原因 Topic副本数配置过多。 生产者消息批量写入磁盘的参数设置不合理。该Topic承担的业务流量过大，当前Partition的设置不合理。 处理步骤 检查Topic副本数配置 在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，单击此告警所在行的，查看定位信息中上报告警的“主题名”。 1. 在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Kafka > KafkaTopic监控”，搜索发生告警的Topic，查看副本数量。 2. 如果副本数量值大于3，则考虑减少该Topic的复制因子（减少为3）。 在FusionInsight客户端执行以下命令对Kafka Topic的副本进行重新规划： kafkareassignpartitions.sh zookeeper {zkhost}:{port} /kafka reassignmentjsonfile {manual assignment json file path} execute 例如： /opt/Bigdata/client/Kafka/kafka/bin/kafkareassignpartitions.sh zookeeper 10.149.0.90:2181,10.149.0.91:2181,10.149.0.92:2181/kafka reassignmentjsonfile expandclusterreassignment.json execute 说明 在expandclusterreassignment.json文件中描述该Topic的Partition迁移到哪些Broker。其中json文件中的内容格式为：{"partitions":[{"topic": " topicName ","partition":1,"replicas": [1,2,3] }],"version":1}。 3. 观察一段时间，看告警是否消失。如果告警没有消失，执行步骤5。

本章节主要介绍ALM45277 RangerAdmin堆内存使用率超过阈值的告警。 告警解释 系统每60秒周期性检测RangerAdmin服务堆内存使用状态，当连续10次检测到RangerAdmin实例堆内存使用率超出阈值（最大内存的95%）时产生该告警，堆内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 45277 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 堆内存溢出可能导致服务崩溃。 可能原因 该节点RangerAdmin实例堆内存使用率过大，或配置的堆内存不合理，导致使用率超过阈值。 处理步骤 检查堆内存使用率 在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > ALM45277 RangerAdmin堆内存使用率超过阈值”，检查该告警的“定位信息”，查看告警上报的实例主机名。 1. 在FusionInsight Manager首页，选择“集群 > 服务 > Ranger > 实例”，选择上报告警实例主机名对应的角色，单击图表区域右上角的下拉菜单，选择“定制 > CPU和内存 > RangerAdmin堆内存使用率”，单击“确定”。 2. 查看RangerAdmin使用的堆内存是否已达到RangerAdmin设定的阈值（默认值为最大堆内存的95%）。 是，执行步骤4。 否，执行步骤6。 3. 在FusionInsight Manager首页，选择“集群 > 服务 > Ranger > 实例 > RangerAdmin > 实例配置”，单击“全部配置”，选择“RangerAdmin > 系统”。将“GCOPTS”参数中“Xmx”的值根据实际情况调大，并保存配置。 说明 出现此告警时，说明当前RangerAdmin设置的堆内存无法满足当前RangerAdmin进程所需的堆内存，建议根据步骤2查看“RangerAdmin堆内存使用率”，调整“GCOPTS”参数中“Xmx”的值为“RangerAdmin使用的堆内存大小”的两倍（可根据实际业务场景进行修改）。 4. 重启受影响的服务或实例，观察界面告警是否清除。 是，处理完毕。 否，执行步骤6。

本章节主要介绍ALM24007 Flume Server直接内存使用率超过阈值的告警。 告警解释 系统每60秒周期性检测Flume服务直接内存使用状态，当连续5次检测到Flume实例直接内存使用率超出阈值（最大内存的80%）时，产生该告警。当Flume直接内存使用率小于或等于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 24007 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 直接内存溢出可能导致服务崩溃。 可能原因 节点Flume实例直接内存使用率过大，或配置的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警 > Flume直接内存使用率超过阈值”，检查该告警的“定位信息”。查看告警上报的实例主机名。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Flume > 实例”，选择上报告警实例主机名对应的角色，单击图表区域右上角的下拉菜单，选择“定制 > Agent > Flume直接内存使用率”，单击“确定”。 3.查看Flume使用的直接内存是否已达到Flume设定的阈值（默认值为最大直接内存的80%）。 是，执行步骤4。 否，执行步骤6。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Flume > 配置”，选择“全部配置”，选择“Flume > 系统”。将“GCOPTS”参数中“XX:MaxDirectMemorySize”的值根据实际情况调大，并单击“保存”，单击“确定”。 说明 出现此告警时，说明当前flume server实例设置直接内存大小无法满足当前业务使用场景，建议调整“XX:MaxDirectMemorySize”的值为当前直接内存使用量的两倍（或根据实际情况进行调整）。 5.重新启动受影响的服务或实例，观察界面告警是否清除。 是，处理完毕。 否，执行步骤6。

本章节主要介绍ALM19011 RegionServer的Region数量超出阈值的告警。 告警解释 系统每30秒周期性检测每个HBase服务实例中每个RegionServer的Region数。该指标可以在HBase服务监控界面和RegionServer角色监控界面查看，当检测到某个RegionServer上的Region数超出阈值（默认连续20次超过默认阈值2000）时产生该告警。用户可通过“运维 > 告警 > 阈值设置> 服务 > HBase”修改阈值。当Region数小于或等于阈值时，告警消除。 说明 若集群启用了多实例功能且安装了多个HBase服务，请根据“定位信息”的“服务名”值来确定具体产生告警的HBase服务。例如HBase1服务不可用，则“定位信息”中显示服务名HBase1，处理步骤中的操作对象也应由HBase调整为HBase1。 告警属性 告警ID 告警级别 是否自动清除 19011 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 RegionServer的Region数超出阈值，会影响HBase的数据读写性能。 可能原因 RegionServer的Region分布不均衡。 HBase集群规模过小。 处理步骤 查看告警定位信息 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，选中“告警ID”为“19011”的告警，查看“定位信息”中产生该告警的服务实例和主机名。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HBase”，单击“HMaster(主)”，打开该HBase实例的WebUI，查看RegionServer上Region分布是否均衡。 说明 admin用户默认不具备其他组件的管理权限，如果访问组件原生界面时出现因权限不足而打不开页面或内容显示不全时，可手动创建具备对应组件管理权限的用户进行登录。 是，执行步骤9。 否，执行步骤3。 详见下图：HBase的WebUI

本章节主要介绍ALM14017 NameNode直接内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测HDFS服务直接内存使用状态，当检测到NameNode实例直接内存使用率超出阈值（最大内存的90%）时，产生该告警。 直接内存使用率小于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 14017 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 NameNode可用直接内存不足，可能会造成内存溢出导致服务崩溃。 可能原因 该节点NameNode实例直接内存使用率过大，或配置的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，单击告警“ALM14017 NameNode直接内存使用率超过阈值”所在行的下拉菜单，在“定位信息”中查看告警上报的角色名并确定实例的IP地址。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 实例 > NameNode（对应上报告警实例IP地址）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“NameNode内存使用详情”。查看直接内存使用情况。 3.查看NameNode使用的直接内存是否已达到NameNode设定的最大直接内存的90%(默认阈值)。 是，执行步骤4。 否，执行步骤8。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 配置 > NameNode > 全部配置”。查看“GCOPTS”参数中是否存在“XX:MaxDirectMemorySize”。 是，执行步骤5。 否，执行步骤6。 5.在“GCOPTS”中把参数“XX:MaxDirectMemorySize”删除。保存配置，并重启NameNode实例。 6.查看告警信息，是否存在告警“ALM14007 NameNode堆内存使用率超过阈值”。 是，查看“ALM14007 NameNode堆内存使用率超过阈值”进行处理。 否，执行步骤7。 7.观察界面告警是否清除。 是，处理完毕。 否，执行步骤8。

本节主要介绍主备倒换的常见问题。 发生主备倒换的原因有哪些？ 主备倒换有以下几种可能的场景： 用户自行从DCS控制台界面发起“主备倒换”操作，切换主实例。 DCS检测到主备实例的主节点存在故障后，触发实例“主备倒换”操作。 例如，使用了keys等消耗资源的命令，导致CPU超高，触发主备导致。 用户在DCS界面上执行重启操作，可能触发备节点升为主节点，即主备倒换。 单机、主备和读写分离实例在扩容过程中，会发生主备倒换。 扩容过程中，实例会创建新规格的节点作为备节点，主节点数据全量+增量同步到备节点后进行主备切换并删除原节点，完成扩容。 发生主备倒换后，系统会上报主备倒换事件，收到该事件通知后，请查看客户端业务否存在异常，如果业务不正常，则需要确认客户端tcp连接是否正常，是否支持在主备倒换后重新建立tcp连接恢复业务。 主备倒换的业务影响 DCS主备或者集群实例发生异常时，会触发内部主备倒换，并自动恢复，在异常检测和恢复期间，可能会影响业务，时间在半分钟内。 主备实例发生主备倒换后是否需要客户端切换IP？ 不需要。主节点故障后，IP地址绑定到备节点，绑定后，原备节点升级为主节点。 Redis主备同步机制怎样？ Redis主备实例即主从实例。一般情况下，Redis主节点的更新会自动复制到关联的备节点。但由于Redis异步复制的技术，备节点更新可能会落后于主节点。例如，主节点的I/O写入速度超过了备节点的同步速度，或者因异常原因导致的主节点和备节点的网络延迟，使得备节点与主节点存在滞后或者部分数据不一致，若此时进行主备切换，未及时完成同步的少量数据可能会丢失。

步骤一：创建云上VPC环境 创建两个VPC，并为每个VPC各创建一个相同网段的业务子网（192.168.1.0/24）和一个不同网段的中转子网（vpctest1:192.168.3.0/24; vpctest2:192.168.4.0/24）。 具体操作步骤参见创建VPC 步骤二：购买弹性云主机 为两个VPC专有网络，各购买一台弹性云主机，所属子网选择VPC的业务子网，并配置好安全组，放行ECStest2的80端口。 具体操作步骤参见：创建弹性云主机 步骤三：购买私网NAT网关 1. 登录天翼云控制台，选择”网络>NAT网关>私网NAT网关”。 2. 进入NAT网关控制台，点击右上角“创建私网NAT网关”。 3. 选择付费方式，填写名称，选择可用区，VPC选择环境准备中的创建的VPC，子网选择创建好的中转子网，选择所需规格，点击”下一步”。 4. 确认规格，选择我已阅读并同意相关协议，单击“确认下单”，完成私网NAT网关的创建。 步骤四：创建中转IP地址 1. 登录天翼云控制台，选择”网络>NAT网关>私网NAT网关”。 2. 点击需要添加中转IP地址的私网NAT网关名称，进入私网NAT网关详情页，下拉至中转IP地址标签页，点击添加中转IP。 3. 根据界面提示，选择手动分配，并设定为做NAT转换的IP地址（nattest1: 192.168.3.5; nattest2: 192.168.4.5）。 4. 配置完成上述信息，点击“确定”，完成中转IP地址的添加。

参数 参数类型 说明 示例 下级对象 id String 集群id 8571aa313aaf77d45bf6765805a9ce55 managerClusterId Integer manager定义的集群id 1 iaasType String 平台 公有云 regionId String 资源池id bb9fdb42056f11eda1610242ac110002 regionName String 资源池名称 华东1 availableZoneId String 可用区id cnhuadong1jsnj1Apublicctcloud availableZoneName String 可用区名称 可用区1 clusterName String 集群名称 testvpc24 payType String 付费类型 包年包月 clusterType String 集群类型 云搜索 clusterTypeVersion String 产品版本 翼MR2.12.0 clusterPlanCode String 集群规划编码 cloudsearch componentNameList String 组件名称列表 [{componentTitle:ElasticSearch,version:7.10.2},{componentTitle:Kibana,version:7.10.2}]] datasourceConfigs String 数据源信息 [] vpcId String vpc id vpc0k5xl6w5 subnetId String 子网id subneti2ys8sp securityGroupId String 安全组id [sg4h7w9cl1] loginType String 登录方式 PASSWORD clusterDueTime Integer 集群到期时间 1709193751000 userId String 用户id ba14c8e729e447d69698f81ac7d55555 accountId String 账号id ed24e4b414a048b0a9cb995f59cc85jj clusterCreateTime Integer 集群创建时间 1706515357000 clusterState String 集群状态 运行中 managerVersion String manager版本号 2.15.1 enableIpv6 String Ipv6是否开启(OPEN:打开, CLOSE:关闭, NOTDISPLAY:不展示,null:不展示) OPEN createTime Integer 创建时间 1706515356000 updateTime Integer 更新时间 1706515356000 autoRenewStatus Integer 是否开启自动续订的状态(0:不自动续订,1:自动续订) 0

支持审计的关键操作列表 通过云审计服务，您可以记录与DWS服务相关的操作事件，便于日后的查询、审计和回溯。 说明 自动快照的创建，删除走系统内部调度，非用户操作，不记录审计日志。 详见下表：云审计服务支持审计的DWS 操作列表 操作名称 资源类型 事件名称 创建集群/恢复集群 cluster createCluster 删除集群 cluster deleteCluster 扩容集群 cluster resizeCluster 重启集群 cluster restartCluster 创建快照 backup createBackup 删除快照 backup deleteBackup 设置安全参数 configurations updateConfigurations 创建MRS数据源 dataSource createExtDataSource 删除MRS数据源 dataSource deleteExtDataSource 更新MRS数据源 dataSource updateExtDataSource 查看审计日志 1. 登录管理控制台，选择“服务列表 > 管理与监管> 云审计服务”，进入云审计服务信息页面。 2. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 3. 单击事件列表右上方的“筛选”，设置对应的操作事件条件。 当前事件列表支持四个维度的组合查询，详细信息如下： “事件来源”、“资源类型”和“筛选类型”。 −“事件来源”：选择“DWS ”。 −“资源类型”：选择“所有资源类型”，或者指定具体的资源类型。 −“筛选类型”：选择“所有筛选类型”，或者选择以下任一选项。 “按事件名称”：选择该选项时，还需选择某个具体的事件名称。 “按资源ID”：选择该选项时，还需选择或者手动输入某个具体的资源ID。 “按资源名称”：选择该选项时，还需选择或手动输入某个具体的资源名称。 “操作用户”：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 “事件级别”：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 “起始时间”、“结束时间”：可通过选择时间段查询操作事件。 4. 单击“查询”，查看对应的操作事件。 5. 在需要查看的事件左侧，单击展开该记录的详细信息。 6. 在需要查看的事件右侧，单击“查看事件”，弹出一个窗口，显示了该操作事件结构的详细信息。 详见下图： 查看事件 关于云审计服务事件结构的关键字段详解，请参见《云审计服务用户指南》中的“云审计服务事件参考 > 事件结构”和“云审计服务事件参考 > 事件样例”章节。

本节介绍云安全中心服务协议，请点击查看。 天翼云云安全中心服务协议

接口功能介绍 检测设置查询旨在查询用户对文件完整性的设置包括关键文件监控、监控文件设置和服务器生效范围设置。 接口约束 此功能为收费功能。确认已经购买服务器配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI GET /v1/integrityProtection/config/list 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 secureStatus Boolean 文件保护配置防护状态 true开启 false关闭 true effectiveScope String 生效范围 OPTIONAL自选机器 ALL所有机器 OPTIONAL agentGuidList Array of Strings 主机guid列表 [] secureConfigList Array of Objects 保护目录 secureConfigList excludeConfigList Array of Objects 排除目录 excludeConfigList 表 excludeConfigList 参数 参数类型 说明 示例 下级对象 filePath String 文件路径,字符串反转后进行base64编码,如abc，变成 cba后，用base64编码 /path 表 secureConfigList 参数 参数类型 说明 示例 下级对象 filePath String 文件路径,字符串反转后进行base64编码,如abc，变成 cba后，用base64编码 /path

可修改项 说明 实例名称 填写实例的名称，根据规划自定义。 描述 填写实例的描述信息。 时间窗 指允许云服务技术支持对实例进行维护的时间段。如有维护需要，技术支持会提前与您沟通确认。 建议选择业务量较少的时间段。 安全组 安全组用于设置端口访问规则，定义哪些端口允许被外部访问，以及允许访问外部哪些地址与端口。 例如，后端服务部署在外部网络，则需要设置相应的安全组规则，允许访问后端服务地址与API调用监听端口。 说明： 更换安全组时，新的安全组须满足专享版实例的前端API调用以及访问后端服务所需出入规则。 如果开启公网入口，安全组入方向需要放开80（HTTP）和443（HTTPS）端口的访问权限。 弹性IP地址 指允许外部服务通过弹性IP地址，调用专享版实例创建的API。开启“公网入口”，需要绑定一个“弹性IP地址”。 您需要使用独立域名/子域名访问，使用子域名访问时存在单日访问次数限制。 可在创建API分组后，为分组绑定独立域名，独立域名需要解析到专享版实例的弹性IP。 出口地址 指允许专享版实例API的后端服务部署在外部网络，API网关为实例开启公网出口。公网出口可随时关闭或开启。 出公网带宽 出公网带宽可配置范围为1~2000Mbit/s，费用按小时计算，以弹性公网IP服务的价格为准。

本节主要介绍关系型数据库服务的关键操作列表 关系型数据库服务（Relational Database Service，以下简称RDS）是一种基于云计算平台的可即开即用、稳定可靠、按需扩展、便捷管理的在线关系型数据库服务。 通过云审计服务，您可以记录与关系型数据库服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务支持的RDS操作列表 操作名称 资源类型 事件名称 ::: 创建实例、恢复到新实例（Console、OPENAPI、TROVEAPI） instance createInstance 创建只读 （Console、OPENAPI、TROVEAPI） instance createReadReplicate 实例重启、扩容、规格变更、恢复到原有实例操作（Console、OPENAPI 、TROVEAPI） instance instanceAction 重置密码（Console） instance resetPassword 设置数据库版本配置参数（OPENAPI） instance setDBParameters 重置实例的数据库版本配置参数（OPENAPI） instance resetDBParameters 设置备份策略打开,关闭,修改（Console、OPENAPI） instance setBackupPolicy 修改数据库端口号（Console） instance changeInstancePort 绑定解绑EIP（Console） instance setOrResetPublicIP 修改安全组（Console） instance modifySecurityGroup 创建标签（Console、OPENAPI） instance createTag 删除标签（Console、OPENAPI） instance deleteTag 修改标签（Console、OPENAPI） instance modifyTag 删除集群下的实例（Console、OPENAPI、TROVEAPI） instance deleteInstance 创建快照（Console、OPENAPI） backup createManualSnapshot 复制快照（Console） backup copySnapshot 删除快照（Console、OPENAPI） backup deleteManualSnapshot 创建参数组（Console、TROVEAPI） config createParameterGroup 修改参数组（Console、TROVEAPI） config updateParameterGroup 删除参数组（Console、TROVEAPI） config deleteParameterGroup 复制参数组（Console） config copyParameterGroup 重置参数组（Console） config resetParameterGroup 比较参数组（Console） config compareParameterGroup 应用参数组（Console） config applyParameterGroup

本节介绍了云数据库GaussDB的产品定义及架构。 云数据库GaussDB 是分布式关系型数据库。该产品具备企业级复杂事务混合负载能力，同时支持分布式事务，同城跨AZ部署，支持1000+的扩展能力，PB级海量存储。同时拥有云上高可用，高可靠，高安全，弹性伸缩，一键部署，快速备份恢复，监控告警等关键能力，能为企业提供功能全面，稳定可靠，扩展性强，性能优越的企业级数据库服务。 GaussDB分布式形态整体架构 GaussDB 分布式形态整体架构如下： Coordinator Node：协调节点CN，负责接收来自应用的访问请求，并向客户端返回执行结果；负责分解任务，并调度任务分片在各DN上并行执行。 GTM：全局事务管理器（Global Transaction Manager），负责生成和维护全局事务ID、事务快照、时间戳、Sequence信息等全局唯一的信息。 Data Node：数据节点DN，负责存储业务数据（支持行存、列存、混合存储）、执行数据查询任务以及向CN返回执行结果。 GaussDB主备版形态整体架构 GaussDB 主备版形态整体架构如下： ETCD：分布式键值存储系统（Editable Text Configuration Daemon）。用于共享配置和服务发现（服务注册和查找）。 CMS：集群管理模块（Cluster Manager）。管理和监控分布式系统中各个功能单元和物理资源的运行情况，确保整个系统的稳定运行。 Data Node：数据节点DN，负责存储业务数据（支持行存、列存、混合存储）、执行数据查询任务以及返回执行结果。

本章节为您介绍堡垒机应用资产相关内容 在一台支持远程桌面的Windows系统服务器上部署浏览器应用（Web应用），通过云堡垒机的应用发布功能，将浏览器应用纳入云堡垒机进行管理。 用户获取应用资产访问权限后，通过应用发布服务器访问Web应用，并以视频方式全程记录用户运维操作，实现对远程应用账户的安全管理和用户远程访问应用的操作审计。 约束限制 添加的主机和应用资源数量总和不能超过资产数。 Windows应用服务器仅支持2016版本。 添加应用发布前，需已添加应用服务器。 添加应用服务器 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“资产管理 > 应用资产”，并且在左上方选择“应用服务器”，进入“应用服务器”页面。 3.单击“新增”按钮，弹出“新增应用服务器”对话框，并填写相关内容。 参数 填写说明 服务器名称 自定义服务器名称，在同一堡垒机内应用服务器名称不得重复。 服务器类型 选择服务器类型，当前版本仅支持Windows。 服务器IP地址 填写访问应用的服务器真实IP地址或域名。 端口 填写访问应用发布服务器的端口，Windows服务器默认为5901。 服务器描述 填写应用服务器的简要描述。 服务器账户 填写访问应用的服务器账户。 密码 填写访问应用的服务器账户的密码。 app类型和路径 填写限制应用资源访问应用服务器上的具体应用的程序路径。 每种程序类型有一个默认启动路径，也可自定义启动路径。 例如：限制只能访问应用设备的Chrome浏览器，默认启动路径为“C:DevOpsToolsChromechrome.exe”。 注意 路径中请勿输入Administrator，否则程序可能无法启动。 4.填写完成后，单击“提交”即可完成新增应用服务器。

本小节介绍终端杀毒如何登录管理中心。 1.用户完成开通后，需自行在控制中心（可任选节点）开通云主机，开通时请在公共镜像安全产品中选择终端杀毒，并绑定弹性公网IP（此ip作为终端杀毒控制中心的公网登录地址存在）。在控制中心中找到对应的终端杀毒实例获取license，点这里可快速直达：终端杀毒控制中心。 2.管理中心页面登录方式为： （X.X.X.X就是第1步中为管理中心配置的ip），其默认用户名密码请在天翼云官网提交工单咨询 ，首次登录需要修改初始密码，管理员登录到系统后可进入管理→用户管理页面自己添加或删除用户。

项目 描述 当前位置 文件上传的位置。 存储类型 文件的存储类型： 标准存储：访问时延低、吞吐量高，能够有效支持各种热点类型数据频繁访问。适用于各种音视频服务、图片服务、大型网站、大数据分析等应用的数据存储。标准存储是默认的存储类型。如果上传文件时未指定存储类型，OOS默认使用标准存储。 低频访问存储：适合长期保存不经常访问的数据。对于不经常访问但仍需要实时访问的数据，可以采用低频访问存储，例如各类移动应用、智能设备、企业数据的长期备份。 最短存储时间：低频访问存储的文件有最短存储时间，存储时间短于30天的文件被提前删除或变更时，会产生一定费用。 最小计费大小：低频访问存储文件有最小计费大小，即如果文件大小低于64KiB，会按照64KiB计算收费，文件大于等于64KiB按照实际存储收费。 数据取回：获取低频访问存储文件时会产生数据取回费用。 选择文件 可以通过将目录或文件拖到浮窗上传文件，也可以点击添加文件、添加文件夹按钮上传文件。 上传的文件中如果想移除的，可以勾选对应的文件，点击“移除”按钮，进行文件移除。 说明 在查找框中可以模糊匹配查找上传的文件。 元数据 用户可以编辑上传文件的文件元数据信息，具体元数据信息详见

请求参数 PutObjectInput可设置的参数如下： 参数 类型 说明 是否必要 ACL string 配置上传对象的预定义的标准ACL信息，例如private，publicread，publicreadwrite等。 否 Body io.ReadSeeker 对象的数据。 是 Bucket string 执行本操作的桶名称。 是 ContentLength int64 说明请求body的长度（单位：字节），该参数可以在body长度不能被自动识别的情况下设置。 否 ContentMD5 string base64编码的128位MD5值，不包含请求头部的信息 否 GrantFullControl string 用于自定义用户对此对象的FULLCONTROL权限信息。 否 GrantRead string 用于自定义用户对此对象的READ权限信息。 否 GrantReadACP string 用于自定义用户对此对象的READACP权限信息。 否 GrantWrite string 用于自定义用户对此对象的WRITE权限信息。 否 GrantWriteACP string 用于自定义用户对此对象的WRITEACP权限信息。 否 Key string 上传文件到对象存储服务后对应的key。PutObject操作支持将文件上传至文件夹，如需要将对象上传至"/folder"文件下，只需要设置Key"/folder/{exampleKey}"即可。 是 Metadata map[string]string 对象的元数据信息。 否 Tagging string 对象的标签信息，必须是URL请求参数的形式。例如，"Key1Value1"。 否 WebsiteRedirectLocation string 如果bucket被配置用于提供网站的静态数据，该参数可以用于设置访问对象时候重定向到当前bucket下的其他对象或者外部的URL。 否

本文解释在天翼云CDN使用泛域名加速的规则及注意事项。 天翼云CDN支持泛域名加速。本文将介绍泛域名的概念以及泛域名配置相关操作与注意事项。 什么是泛域名加速？ 泛域名加速是指通过配置泛域名规则，实现在一个CDN加速域名下，进行多个子域名的加速。这样可以统一管理多个子域名的加速行为，一次性实现网站多个子域名加速，提高访问速度和用户体验。 假如您在天翼云CDN控制台上配置了一个泛域名 .ctyun.cn，那么该泛域名包含的子域名，例如assets.ctyun.cn与a.images.ctyun.cn等，都将实现CDN加速。 注意 泛域名证书不支持次级域名再往下级域名匹配。 如您有https加速的需求，新增的泛域名需要按照泛域名证书可匹配的方式进行配置，否则将导致https访问异常。 例如您购买泛域名证书.ctyun.cn，则在平台配置的域名为.ctyun.cn，购买泛域名证书.images.ctyun.cn，则在平台配置的域名为.images.ctyun.cn。 使用泛域名有哪些注意事项？ 添加泛域名的格式为 .ctyun.cn，不支持.ctyun.cn的格式。 在提交刷新预取任务时，必须提交泛域名下面的具体域名的URL。 统计分析数据查询时，所有归属泛域名的子域名都统计到泛域名下，即把泛域名当成一个域名来处理。

本节介绍了什么是云硬盘备份、备份原理、使用场景、使用方法。 什么是云硬盘备份 您可以通过云硬盘备份功能为云硬盘创建在线备份，无需关闭云主机。针对病毒入侵、人为误删除、软硬件故障等导致数据丢失或者损坏的场景，可通过任意时刻的备份恢复数据，以保证用户数据正确性和安全性，确保您的数据安全。 备份原理 云硬盘备份原理，请参见《云硬盘备份介绍》。 说明 ● 创建云硬盘备份时，系统会自动创建一个名称以“autobksnapshotvbs”开头的快照，并且只会保留该云硬盘最近一次备份时自动创建的快照。 使用场景 设置备份策略，根据策略自动对云硬盘进行数据备份，通过定期创建的备份作为基线数据，用来创建新的云硬盘或者恢复数据到云硬盘。 使用方法 云硬盘备份的使用方法，具体请参见管理备份云硬盘或者《云硬盘备份用户指南》。

本文主要介绍高危操作及解决方案。 业务部署或运行过程中，用户可能会触发不同层面的高危操作，导致不同程度上的业务故障。为了能够更好地帮助用户预估及避免操作风险，本节将从集群/节点、网络与负载均衡、日志、云硬盘多个维度出发，为用户展示哪些高危操作会导致怎样的后果，以及为用户提供相应的误操作解决方案。 集群/节点 表 集群及节点高危操作 分类 高危操作 导致后果 误操作后解决方案 Master节点 修改集群内节点安全组 可能导致master节点无法使用说明命名规则：集群名称ccecontrol随机数 参照购买CCE集群的安全组进行修复，放通安全组。 节点到期或被销毁 该master节点不可用 不可恢复。 重装操作系统 master组件被删除 不可恢复。 自行升级master或者etcd组件版本 可能导致集群无法使用 回退到原始版本。 删除或格式化节点/etc/kubernetes等核心目录数据 该master节点不可用 不可恢复。 更改节点IP 该master节点不可用 改回原IP。 自行修改核心组件（etcd、kubeapiserver、docker等）参数 可能导致master节点不可用 按照推荐配置参数恢复，详情请参见配置管理 自行更换master或etcd证书 可能导致集群不可用 不可恢复。 Node节点 修改集群内节点安全组 可能导致节点无法使用说明命名规则：集群名称ccenode随机数 参照购买CCE集群的安全组进行修复，放通安全组。 节点被删除 该节点不可用 不可恢复。 重装操作系统 节点组件被删除，节点不可用 重置节点，具体请参见重置节点 升级节点内核 可能导致节点无法使用或网络异常说明节点运行依赖系统内核版本，如非必要， 请不要使用yum update更新或重装节点的操作系统内核 （使用原镜像或其它镜像重装均属高危操作） 重置节点，具体请参见重置节点 更改节点IP 节点不可用 改回原IP。 自行修改核心组件（kubelet、kubeproxy等）参数 可能导致节点不可用、修改安全相关配置导致组件不安全等 按照推荐配置参数恢复，详情请参见配置管理。 修改操作系统配置 可能导致节点不可用 尝试还原配置项或重置节点，具体请参见重置节点。 删除或修改/opt/cloud/cce、/var/paas目录，删除数据盘 节点不可用 重置节点，具体请参见重置节点。 修改节点内目录权限、容器目录权限等 权限异常 不建议修改，请自行恢复。 对节点进行磁盘格式化或分区，包括系统盘、docker盘和kubelet盘 可能导致节点不可用 重置节点，具体请参见重置节点。 在节点上安装自己的其他软件 导致安装在节点上的Kubernetes组件异常，节点状态变成不可用，无法部署工作负载到此节点 卸载已安装软件，尝试恢复或重置节点，具体请参见重置节点。 修改NetworkManager的配置 节点不可用 重置节点，具体请参见重置节点。 删除节点上的cfepause等系统镜像 导致无法正常创建容器，且无法拉取系统镜像 请从其他正常节点拷贝该镜像恢复

本节介绍了使用RedisShake工具离线迁移自建Redis Cluster集群的相关内容。 RedisShake是一款开源的Redis迁移工具，支持Cluster集群的在线迁移与离线迁移（备份文件导入）。DCS Cluster集群与Redis Cluster集群设计一致，数据可平滑迁移。与在线迁移相比，离线迁移适用于源实例与目标实例的网络无法连通，或者源端实例部署在其他云厂商Redis服务中，无法实现在线迁移的场景。 本文以Linux系统环境为例，介绍如何使用RedisShake工具将自建的Redis Cluster离线迁移到DCS Cluster集群。 前提条件 已创建DCS Cluster集群Redis，创建Redis的方法，请参见创建实例。 创建的目标Redis内存规格不能小于源Redis。 已创建弹性云主机ECS。ECS请选择与DCS Cluster集群实例相同虚拟私有云、子网和安全组。 获取源Redis和目标Redis节点信息 1. 分别连接源端和目标端Redis。连接Redis的方法请参考使用rediscli连接Redis实例。 2. 在线迁移Cluster集群时需要将Cluster集群各个节点数据分别迁移。执行如下命令分别查询源端和目标Cluster集群的所有节点的IP地址与端口： rediscli h {redisaddress} p {redisport} a {redispassword} cluster nodes {redisaddress}为Redis的连接地址，{redisport}为Redis的端口，{redispassword}为Redis的连接密码。 在命令返回的结果中，获取所有master节点的IP端口。

应用场景 适用于用户的迁移服务器（物理机、弹性云主机）可以访问待迁移数据，且和HPFS网络互通，同时保证可挂载并行文件系统的场景下的迁移操作。 准备工作 1. 创建迁移服务器，如果目标HPFS文件系统是NFS协议，迁移服务器可选择弹性云主机。如果目标HPFS文件系统是HPFSPOSIX协议，迁移服务器需要选择物理机（GPU裸金属）。具体限制请参考操作系统限制。 2. 将HPFS文件系统挂载至物理机或弹性云主机，具体操作请参考挂载文件系统。 操作步骤 迁移命令说明 HPFS数据拷贝是文件系统间数据的迁移，推荐使用数据同步工具rsync（remote synchronize）。 centos环境下rsync安装命令： plaintext yum install y rsync rsync支持本地（类似cp，我们一般选择本地方式）或者远端（类似scp）数据拷贝，可以镜像保存整个目录树和文件系统，支持断点续传，快速安全。 rsync使用说明： plaintext 本地拷贝 rsync [OPTION...] SRC... [DEST] 常用选项： partial 保留那些因故没有完全传输的文件，以是加快随后的再次传输 inplace 将更新的数据直接写入目标文件，避免文件复制 delete 删除那些DST中SRC没有的文件 a, archive 归档模式，表示以递归方式传输文件，并保持所有文件属性，等于rlptgoD v, verbose 详细模式输出 c, checksum 打开校验开关，强制对文件传输进行校验 数据拷贝时间可能很长（用户数据量除以数据拷贝带宽），为防止下线执行命令退出，可以采用后台执行的方式执行rsync命令： plaintext nohup rsync a partial inplace v $srcdir $destdir &;

此小节介绍如何查看监控报表和拦截报告。 查看监控报表 用户可以查看单个公网IP的监控详情，包括当前防护状态、当前防护配置参数、24小时的流量情况、24小时的异常事件等。 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“公网IP”页签，在需要查看监控报表的公网IP所在行的“操作”列，单击“查看监控报表”。 5. 在“监控报表”界面，可以查看公网IP报表的详细指标。 可查看包括当前防护状态、当前防护配置参数、24小时流量情况、24小时异常事件等信息。 24小时防护流量数据图，以五分钟一个数据点描绘的流量图，主要包括以下方面： 流量图展示所选云服务器的流量情况，包括服务器的正常入流量以及攻击流量。 报文速率图展示所选云服务器的报文速率情况，包括正常入报文速率以及攻击报文速率。 近1天内攻击事件记录表：近1天内云服务器的DDoS事件记录，包括清洗事件和黑洞事件。 说明 支持将监控报表下载到本地，查看公网IP报表的详细指标信息。 在流量监控报表页面，单击图例，报表中将只显示“攻击流量”或“正常入流量”信息。 在报文速率监控报表页面，单击图例，报表中将只显示“攻击报文速率”或“正常入报文速率”信息。

本文帮助您快速熟悉创建虚拟私有云的操作流程。 操作场景 虚拟私有云可以为您的弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境。 要拥有一个完整的虚拟私有云，第一步请参考本章节任务创建虚拟私有云的基本信息及默认子网；然后再根据您的实际网络需求，参考后续章节继续创建子网、申请弹性IP、安全组等网络资源。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 单击“创建虚拟私有云”。进入“创建虚拟私有云”页面。 4. 在“创建虚拟私有云”页面，根据界面提示配置虚拟私有云参数。创建虚拟私有云时会同时创建一个默认子网，您还可以单击“添加子网”创建多个子网。 5. 检查当前配置，单击“立即创建”。 表 虚拟私有云参数说明 参数 说明 取值样例 区域 不同区域的资源之间内网不互通。请选择靠近您客户的区域，可以降低网络时延、提高访问速度。 名称 VPC名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 VPCtest IPv4网段 VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。目前支持网段范围： 10.0.0.0/824 172.16.0.0/1224 192.168.0.0/1624未开启IPv4/IPv6双栈的区域显示参数“网段”，开启IPv4/IPv6双栈的区域显示参数“IPv4网段”。 192.168.0.0/16 高级配置 单击下拉箭头，可配置VPC的高级参数，包括标签等。 默认配置 标签 虚拟私有云的标识，包括键和值。可以为虚拟私有云创建10个标签。 键：vpckey1 值：vpc01 表 子网参数说明 参数 说明 取值样例 名称 子网的名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 subnet01 子网IPv4网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 子网IPv6网段 选择是否勾选开启IPv6。开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。该功能一旦开启，将不能关闭。 关联路由表 子网创建完成后默认关联默认路由表，您也可以通过子网的更换路由表操作，切换至自定义路由表。 默认 高级配置 单击下拉箭头，可配置子网的高级参数，包括网关、DNS服务器地址等。 默认配置 网关 子网的网关。通向其他子网的IP地址，用于实现与其他子网的通信。 192.168.0.1 DNS服务器地址 默认配置了2个DNS服务器地址，您可以根据需要修改。多个IP地址以英文逗号隔开。DNS服务器地址最多支持2个IP，请以英文逗号隔开。 100.125.x.x 标签 子网的标识，包括键和值。可以为子网创建10个标签。 l 键：subnetkey1l 值：subnet01

本文帮助您快速熟悉创建虚拟私有云的操作流程。 操作场景 虚拟私有云可以为您的弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境。 要拥有一个完整的虚拟私有云，第一步请参考本章节任务创建虚拟私有云的基本信息及默认子网；然后再根据您的实际网络需求，参考后续章节继续创建子网、申请弹性IP、安全组等网络资源。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 单击“创建虚拟私有云”。进入“创建虚拟私有云”页面。 4. 在“创建虚拟私有云”页面，根据界面提示配置虚拟私有云参数。创建虚拟私有云时会同时创建一个默认子网，您还可以单击“添加子网”创建多个子网。 5. 检查当前配置，单击“立即创建”。 表 虚拟私有云参数说明 参数 说明 取值样例 区域 不同区域的资源之间内网不互通。请选择靠近您客户的区域，可以降低网络时延、提高访问速度。 名称 VPC名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 VPCtest IPv4网段 VPC的地址范围，VPC内的子网地址必须在VPC的地址范围内。目前支持网段范围： 10.0.0.0/824 172.16.0.0/1224 192.168.0.0/1624未开启IPv4/IPv6双栈的区域显示参数“网段”，开启IPv4/IPv6双栈的区域显示参数“IPv4网段”。 192.168.0.0/16 高级配置 单击下拉箭头，可配置VPC的高级参数，包括标签等。 默认配置 标签 虚拟私有云的标识，包括键和值。可以为虚拟私有云创建10个标签。 键：vpckey1 值：vpc01 表 子网参数说明 参数 说明 取值样例 名称 子网的名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 subnet01 子网IPv4网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 子网IPv6网段 选择是否勾选开启IPv6。开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。 该功能一旦开启，将不能关闭。 关联路由表 子网创建完成后默认关联默认路由表，您也可以通过子网的更换路由表操作，切换至自定义路由表。 默认 高级配置 单击下拉箭头，可配置子网的高级参数，包括网关、DNS服务器地址等。 默认配置 网关 子网的网关。通向其他子网的IP地址，用于实现与其他子网的通信。 192.168.0.1 DNS服务器地址 默认配置了2个DNS服务器地址，您可以根据需要修改。多个IP地址以英文逗号隔开。 DNS服务器地址最多支持2个IP，请以英文逗号隔开。 100.125.x.x 标签 子网的标识，包括键和值。可以为子网创建10个标签。 键：subnetkey1 值：subnet01

本节介绍云安全中心服务等级协议，请点击查看。 天翼云云安全中心服务等级协议