天翼云物理机服务器如何保证数据安全？ 天翼云物理机服务器具备物理机级的性能和隔离性，用户独占计算资源，并且无任何虚拟化开销。存储在高性能高可靠的服务器上的数据，自然也会很安全。 带有本地磁盘的物理机服务器，支持本地磁盘组RAID，磁盘数据冗余存储，提升容错能力，确保数据安全。 无本地磁盘的天翼云物理机服务器，支持从云硬盘启动（即系统盘为云硬盘，且称之为快速发放物理机服务器）。云服务器备份可以对物理机服务器提供备份保护，支持基于多块云硬盘一致性快照技术的备份服务，并支持利用备份数据恢复服务器数据，最大限度保障用户数据的安全性和正确性，确保业务安全。

本文为您介绍“弹性云主机配置的邮件无法正常发送”时的处理办法。 问题描述 弹性云主机配置的邮件无法正常发送。 问题原因以及处理方法 使用邮件客户端收发邮件 问题原因： 在使用邮件客户端收发邮件时，邮件收发使用不同的协议 发件协议： 使用SMTPS协议，其端口号为465。或使用SMTP协议，其端口号为25。 Tips ：优先推荐使用465端口，465端口是为SMTP SSL（SMTPoverSSL）协议服务开放的，这是SMTP协议基于SSL安全协议之上的一种变种协议，它继承了SSL安全协议的非对称加密的高度安全可靠性，可防止邮件泄露。 收件协议： 使用POP3协议，其端口号为110。 处理方法： 添加“出方向”（协议为“TCP”，端口为“25”或“465”）和“入方向”（协议为“TCP”，端口为“110”）的规则。 操作步骤： 1. 在云主机详情页面找到对应的安全组，进入安全组列表页面，如图1所示。 图1 安全组列表页 2. 在安全组页面，单机对应的安全组，点击添加规则，进行规则添加页面，如图2所示。 图2 添加规则入口 3. 添加“出方向”（协议为“TCP”，端口为“25”或“465”）的规则，如图3所示。 图3 “出方向”规则添加 4. 添加“入方向”（协议为“TCP”， 端口为“110”）的规则，如图4所示。 图4 “入方向”规则添加

配置示例 参数名 配置值 错误状态码 404 跳转页面 跳转状态码 302 优先级 10 结果说明：针对返回404状态码的网站跳转到页面：

策略名称 描述 策略类别 依赖关系 VPC FullAccess 虚拟私有云的所有执行权限。 系统策略 如果您需要使用VPC流日志功能，则依赖云日志服务的只读权限LTS ReadOnlyAccess。 VPC ReadOnlyAccess 虚拟私有云的只读权限。 系统策略 无 VPC Administrator 虚拟私有云的大部分操作权限，不包括创建、修改、删除、查看安全组以及安全组规则。 拥有该权限的用户必须同时拥有Tenant Guest权限。 系统角色 依赖Tenant Guest策略，在同项目中勾选依赖的策略。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组。 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则。 以Kafka访问端口9098为例，其它实例请以实际情况为准。 说明 以下规则，远端可使用安全组，也可以使用具体的IP地址。 配置CTECS所在安全组。CTECS所在安全组需要增加如下出方向规则，以保证客户端能正常访问Kafka实例。如果出方向规则不受限，则不用添加。 配置Kafka实例所在安全组。Kafka实例所在安全组需要增加如下入方向规则，以保证能被客户端访问。 弹性公网IP（可选） 若需要通过公网访问Kafka实例，则需要申请弹性公网IP，否则不需要申请弹性公网IP。申请弹性公网IP的操作指导请参考购买弹性IP 其他工具 下载安装工具Eclipse3.6.0以上版本 或者IntelliJ ，JDK 1.8.111以上版本。

本文将为您介绍天翼云短信服务的产品功能特性，方便您快速了解短信服务。 天翼云短信服务的功能有短信通知、短信验证码、异步通知、数据统计，群发助手。 短信通知 99%到达率，电信级运维保障，实时监控自动切换。大容量高并发，智能调度。 短信验证码 3秒可达，三网合一专属通道，与工信部携号转网平台实时互联。变量灵活，支持带入变量，内容灵活，适用于各业务场景。 异步通知 可在后端服务处理完成任务时，回调通知用户。进而减少用户、Web前端和后端服务之间大量不必要的轮询请求。 数据统计 可查看请求量、发送成功量、失败量等统计数据；通过日期、手机号等维度查看发送详情。 群发助手 SaaS工具，支持在短信控制台中发送所有模板消息，以可视化的方式提供短信发送服务，适合初次接触短信服务的新手，非研发类人员使用。

备案资料： ICP备案需要您提供证件的原件拍照件或扫描件，上传文件不支持PDF格式，需要在上传资料前将文档转换为JPG等格式。 联系电话： ICP备案信息中预留的电话需要本人接听，备案申请提交后审核人员会在通过相关联系方式与备案信息中的负责人进行信息核验，需要保持电话畅通。对于应急联系电话，请优先预留备案主体相关的人员电话，以便可以快速的进行信息的核实及转达。 相关邮箱： 对于备案信息的准确性、网站内容的合规性，天翼云也会定期核查并通过邮箱等发送相关通知，需要确保相关邮箱有专人负责，避免因信息未及时查看导致如网站空壳清理等影响服务问题的产生。 备案有效期有要求么？ ICP备案信息如果准确那么备案信息会持续有效，如果已备案的信息发生变更（例如人员离职、负责人更换、证件更新、单位证件更新、域名弃用、接入商变更等），需要优先完成对应信息的变更，变更申请通过管局终审后备案会持续有效。

背景信息 本文介绍如何使用IPsec VPN在两个VPC之间建立安全连接，实现两个VPC内的资源互访。 场景示例 以本文图中场景为例。某企业在华东1地域创建了一个vpc1，在青岛20地域创建了vpc2。两个VPC均已使用弹性云主机部署了业务，企业因后续发展，现在需要将vpc1和vpc2中的业务实现互相访问。 出于网络安全环境考虑，企业计划使用VPN网关，在两个VPC之间建立IPsec VPN连接，对数据进行加密传输，实现资源的安全互访。 前提条件 已经在天翼云华东1地域创建了vpc1，在青岛20地域创建了vpc2，两个VPC中均使用弹性云主机部署了相关业务。 VPC实例名称 VPC实例所属地域 VPC实例的网段 VPC实例ID 弹性云主机实例名称 弹性云主机实例IP地址 vpc1 华东1 192.168.0.0/16 vpctooedro7nb ecm371c 192.168.0.3 vpc2 青岛20 10.0.0.0/16 vpcr8jw6vfdnk ecm99df 10.0.0.62 您已经了解两个VPC中弹性云主机实例所应用的安全组规则，并确保安全组规则允许两个弹性云主机实例互访。

本节为您介绍数据库迁移工具连接监测。 数据库迁移工具提供源端数据库连接检测功能，用于启动订阅任务前确认源库的连通性。通过连接检测过，方能进行订阅。

前提条件 已购买标准版及以上版本堡垒机，并已完成堡垒机配置。 安全区域边界：安全审计 等保条例：应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计； 本条款主要考察：是否有进行安全审计。云堡垒机支持对云服务器运维操作进行监控和审计。 使用有审计模块权限的账号登录云堡垒机，单击“审计 > 历史会话审计”，进入“历史会话”页面。 在历史会话页面可分别查看资源会话信息、系统会话信息、运维操作记录、文件传输记录、会话协同记录等。 等保条例：审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 本条款主要考察：日志是否按照要求进行记录。 使用管理员账号登录云堡垒机，单击“审计 > 历史会话审计”，进入“历史会话”页面。 主要包含资源名称、类型、主机IP、资源账户、起止时间、会话时长、会话大小、操作用户、操作用户来源IP、操作用户来源MAC、登录方式、运维记录、文件传输记录、会话协同记录等信息。 等保条例：应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等； 使用管理员账号登录云堡垒机，单击“系统 > 数据维护”，单击“日志备份”，进入“日志备份”页面。 在“日志备份”页面，可以创建、查看日志备份，支持系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志。也支持备份至Syslog服务器、FTP/SFTP服务器和OBS桶。 等保条例：应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析； 本条款主要考察：是否能够对远程访问的用户行为进行审计与数据分析。

本文介绍如何处理Linux云主机卡顿问题。 问题原因 当您发现云主机的运行速度变慢或云主机突然出现网络断开的现象，则可能是由以下原因导致的。 1. 云主机使用共享型实例：共享型实例在云计算中是指多个虚拟机共享同一台物理服务器的资源，这会导致资源争用，可能导致服务器卡顿问题。 2. 云主机受到恶意软件或病毒感染：恶意软件可能执行各种恶意任务，占用大量计算资源，增加云主机网络带宽和资源消耗，影响正常的服务运行等，可能导致服务器卡顿问题。 3. 云主机系统资源利用率异常：资源包括CPU、内存、磁盘和网络等，当其中一个或多个资源受到过度使用或不合理分配时，可能导致服务器卡顿问题。 问题处理 云主机使用资源共享型实例 步骤一：问题定位 检查当前云主机的规格类型，共享资源型和独享资源型实例的说明请参见规格类型。 步骤二：问题处理 独享资源型实例在云计算中独享物理服务器的资源，可以提供更稳定和可预测的性能。如果您对业务稳定性有较高要求，建议您将共享型实例变更为独享资源型实例，请参见变更规格。 云主机受到恶意软件或病毒的感染 步骤一：问题定位 定位云主机是否受到恶意软件感染，您可以运行受信任的杀毒软件或安全扫描工具，对服务器进行全面扫描。此外，您还可以检查操作系统、应用程序和安全软件是否为最新版本，并已应用最新的安全更新和补丁。 步骤二：问题处理 如果服务器受到恶意软件感染，及时采取行动非常重要。隔离服务器、运行安全扫描工具、清除恶意软件、更新系统等都是确保服务器安全的关键步骤。

连接方式 IP地址 使用场景 说明 内网连接 内网IP地址 系统默认提供内网IP地址。 当应用部署在弹性云主机上，且该弹性云主机与文档数据库实例处于同一区域、可用区、虚拟私有云子网内，建议单独使用内网IP通过弹性云主机连接文档数据库实例。 文档数据库服务和弹性云主机在不同的安全组默认不能访问，需要在文档数据库服务所属安全组添加一条“入”的访问规则。 文档数据库服务默认端口：8635，需要手动修改才能访问其它端口。 安全性高，可实现DDS的较好性能。 公网连接 弹性IP 当应用部署在弹性云主机上，且该弹性云主机与文档数据库实例处于不同区域时，建议单独使用弹性IP通过弹性云主机连接文档数据库实例。 当应用部署在其他云服务的系统上时，建议单独使用弹性IP通过弹性云主机连接文档数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的DDS实例在同一虚拟私有云子网内，使用内网连接。

本文介绍如何使用边缘函数阻止其他网站盗链您的内容。 阻止其他网站盗链您的内容。 示例代码 javascript const HOMEPAGEURL " const PROTECTEDTYPE "image/" async function handleRequest(request) { // Fetch the original request const response await fetch(request) // If it's an image, engage hotlink protection based on the // Referer header. const referer request.headers.get("Referer") const contentType response.headers.get("ContentType") "" if (referer && contentType.startsWith(PROTECTEDTYPE)) { // If the hostnames don't match, it's a hotlink if (new URL(referer).hostname ! new URL(request.url).hostname) { // Redirect the user to your website return Response.redirect(HOMEPAGEURL, 302) } } // Everything is fine, return the response normally. return response } addEventListener("fetch", event > { event.respondWith(handleRequest(event.request)) }) 示例预览 当一个请求到达时，首先检查其ContentType是否是图像类型。 如果是图像类型，再检查 Referer头部是否指向当前域名。 如果 Referer头部指向的域名与当前域名不一致，则重定向到主页。 相关参考 运行时API：addEventListener 运行时API：FetchEvent 运行时API：Web Standards 运行时API：Fetch 运行时API：Response

本文带您了解并行文件服务 HPFS 产品相关术语。 文件系统 文件系统是操作系统中用于管理和存储数据文件的层次结构。它负责将存储设备上的数据组织成文件和目录，并提供文件的创建、读取、写入、删除等操作接口。文件系统决定了数据的存储方式、命名规则、访问权限等。 文件是用户数据与其相关属性信息（元数据）的集合体，用户的数据以文件的形式保存在文件系统中。 并行文件是文件系统的一种，专为支持并行计算、并行访问而设计，能够高效处理大规模数据的并行读写操作。 虚拟私有云 虚拟私有云（Virtual Private Cloud，以下简称 VPC）为弹性云主机构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云主机构建一个逻辑上完全隔离的专有区域。您还可以在 VPC 中定义安全组、VPN、IP 地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 子网 子网是用来管理弹性云主机网络平面的一个网络，可以提供 IP 地址管理、DNS 服务，子网内的弹性云主机 IP 地址都属于该子网。默认情况下，同一个 VPC 的所有子网内的弹性云主机均可以进行通信，不同 VPC 的弹性云主机不能进行通信。 POSIX 文件访问接口 POSIX（Portable Operating System Interface）文件访问接口是一种标准的文件访问接口，用于在不同操作系统之间提供统一的文件访问方式。 并行文件服务向应用提供标准的 POSIX 文件访问接口，使得用户可以像访问本地文件一样访问存储在并行文件系统中的文件。

此小节介绍云堡垒机安全设置。 云堡垒机安全设置模块支持您自定义密码强度、账户保护规则。 密码组成：配置用户密码策略，包括配置密码安全强度，密码字符组成。 密码事件：可设置安全登录事件、强制改密时间和首次登录改密。 账号策略：可设置账号空闲事件。 设置密码组成 1.使用“管理角色”账号登录云堡垒机。 2.在左侧导航栏选择“系统设置 > 安全管理”，进入“安全管理”模块。 3.选择密码组成模块，配置密码规则。 设置密码事件 密码事件包含恶意登录事件、密码过期事件、强制改密，用户可根据使用需求对事件进行设置开启或关闭，单击“保存”后生效。 恶意登录事件：根据设置的时间和密码错误次数生效，触发后账号锁定，状态变更为“锁定F”，可联系管理员操作解锁。 密码过期事件：根据设置的有效时间生效，有效时间到期后，触发账号锁定，状态变更为“锁定P”，可联系管理员操作解锁。 强制改密：默认开启，开启强制改密后，用户首次登录堡垒机跳转强制改密界面，强制用户改密后登录。 设置账号事件 账号事件包含账号空闲事件、账号登录事件，您可根据使用需求对事件进行设置开启或关闭，单击“保存”后生效。 账号空闲事件：根据设置的空闲时间生效，距离上一次登录时间达到设置时间后，触发账号锁定，状态变更为“锁定L”，可联系管理员操作解锁。 账号登录事件：根据配置的唯N性值，限制同一账号同时登录数。

参数 解释 取值样例 区域 区域也称为Region。创建的伸缩配置所在的区域。 名称 创建伸缩配置的名称。 类型规格 公有云提供了多种类型的弹性云主机供您选择，针对不同的应用场景，可以选择不同规格的弹性云主机。根据您选择的“云主机类型”的类型，配置相应的规格参数，包括vCPU、内存、镜像类型和磁盘。 内存优化型 镜像 公共镜像 常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。请根据您的实际情况自助配置应用环境或相关软件。 私有镜像 用户基于弹性云主机创建的个人镜像，仅用户自己可见。包含操作系统、预装的公共应用以及用户的私有应用。选择私有镜像创建弹性云主机，可以节省您重复配置弹性云主机的时间。 共享镜像 用户将接受公有云其他用户共享的私有镜像，作为自己的镜像进行使用。 公共镜像 磁盘 包括系统盘和数据盘。 系统盘 普通IO：是指由SATA存储提供资源的磁盘类型。 高IO：是指由SAS存储提供资源的磁盘类型。 超高IO：是指由SSD存储提供资源的磁盘类型。 通用型SSD：是指由GPSSD存储提供资源的磁盘类型。极速型SSD：是指由ESSD存储提供资源的磁盘类型。 数据盘 您可以为云主机添加多块数据盘，或者从指定的数据盘镜像导出数据到某个数据盘。 “系统盘”选为“普通IO” 安全组 安全组是一个逻辑上的分组，用来实现安全组内和组间弹性云主机的访问控制，加强弹性云主机的安全保护。用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 弹性IP 弹性IP是指将公网IP地址和路由网络中关联的弹性云主机绑定，以实现虚拟私有云内的弹性云主机通过固定的公网IP地址对外提供访问服务。您可以根据实际情况选择以下两种方式： 不使用：弹性云主机不能与互联网互通，仅可作为私有网络中部署业务或者集群所需弹性云主机进行使用。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽值可以由您设定。 自动分配 登录方式 云平台提供两种弹性云主机鉴权方式。 密钥对：指使用密钥作为弹性云主机的鉴权方式。如果选择此方式，请在密钥对页面先创建或导入密钥对。如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件，否则，将影响您正常登录弹性云主机。 账户密码：指使用设置root用户（Linux操作系统）和Administrator用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。 Admin@123 高级配置 高级配置可对文件注入、用户数据注入进行配置。可选择“暂不配置”和“现在配置”。 实例自定义数据注入 可选配置，主要用于创建弹性云主机时向弹性云主机注入用户数据。配置实例自定义数据注入后，弹性云主机首次启动时会自行注入数据信息。 对于Linux云主机，如果选择密码方式登录鉴权，此时不能使用实例自定义数据注入功能。

本页介绍了在关系数据库MySQL版产品修改数据库端口的方法。 操作场景 关系数据库MySQL版服务支持修改主实例、只读实例、数据库代理实例的数据库端口，对于主备实例或者一主两备实例，修改主节点的数据库端口，该实例下备节点的数据库端口会被同步修改。 说明 仅架构升级后的只读实例支持修改端口。 存量只读实例不支持修改端口，您可以新建一个只读实例进行修改。 约束条件 端口修改中，不可进行以下操作： 绑定弹性公网IP。 删除实例。 创建备份。 操作步骤 主实例、只读实例修改方法 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在实例信息 区域，单击数据库端口 参数右侧的修改端口。 5. 在对话框中，输入新端口，单击检测。 6. 单击确定 即可修改， 您可以在实例基本信息页面，查看修改结果。 数据库代理实例修改方法 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 二级目录选择数据库代理，并选择对应需要修改端口的代理页签。 5. 找到连接地址 栏的端口信息，并点击修改端口。 6. 在对话框中，输入新端口，单击检测。 7. 单击确定 即可修改，您可以在连接地址栏端口处，查看修改结果。 注意 MySQL数据库端口设置范围有一定的限制，具体以控制台为准。 修改主实例数据库端口，对应的备节点均会被修改且重启。 修改端口的过程，需要1~5分钟左右。 修改数据库端口后，需要在安全组设置中放开新修改端口，以免影响使用。

三副本技术怎样实现数据快速重建？ 存储系统的每个物理磁盘上都保存了多个数据块，这些数据块的副本按照一定的策略分散存储在集群中的不同节点上。当存储系统检测到硬件（服务器或者物理磁盘）发生故障时，会自动启动数据修复。由于数据块的副本分散存储在不同的节点上，数据修复时，将会在不同的节点上同时启动数据重建，每个节点上只需重建一小部分数据，多个节点并行工作，有效避免了单个节点重建大量数据所产生的性能瓶颈，将对上层业务的影响做到最小化。 数据重建流程如下图所示。 图 数据自动重建流程 数据重建原理如下图所示，例如当集群中的服务器F硬件发生故障时，物理磁盘上的数据块会在其他节点的磁盘上并行重建恢复。 图 数据重建原理 三副本技术和云硬盘备份、快照有什么区别？ 三副本技术是云硬盘存储系统为了确保数据高可靠性提供的技术，主要用来应对硬件设备故障导致的数据丢失或不一致的情况。 云硬盘备份、快照不同于三副本技术，主要应对人为误操作、病毒以及黑客攻击等导致数据丢失或不一致的情况。我们建议您在日常操作中，采用云硬盘备份、快照功能，定期备份云硬盘中数据。

创建MRS离线查询集群 1. 登录天翼云控制中心，选择“大数据 > 翼MapReduce服务 MRS”，单击“购买集群”，选择“快速购买”，填写软件配置参数，单击“下一步”。 软件配置（以下参数仅供参考，可根据实际情况调整） 参数项 取值 计费模式 按需计费 集群名称 MRSdemo 版本类型 普通版 集群版本 MRS 3.1.0 组件选择 Hadoop分析集群 可用区 可用区1 虚拟私有云 vpc01 子网 subnet01 企业项目 default Kerberos认证 不开启 用户名 admin/root 密码 设置密码登录集群管理页面及ECS节点用户的密码，例如：Test!@12345。 说明 此密码仅为格式实例，实际设置密码请注意规避弱密码风险。 确认密码 再次输入设置用户密码 通信安全授权 勾选“确认授权” 2. 购买Hadoop分析集群。 3. 单击“立即购买”，等待MRS集群创建成功。 集群购买成功 将本地数据导入到HDFS中 1. 在本地已获取某图书网站后台图书点评记录的原始数据文件“bookscore.txt”，例如内容如下。 字段信息依次为：用户ID、图书ID、图书评分、备注信息 例如部分数据节选如下： 202001,242,3,Good! 202002,302,3,Test. 202003,377,1,Bad! 220204,51,2,Bad! 202005,346,1,aaa 202006,474,4,None 202007,265,2,Bad! 202008,465,5,Good! 202009,451,3,Bad! 202010,86,3,Bad! 202011,257,2,Bad! 202012,465,4,Good! 202013,465,4,Good! 202014,465,4,Good! 202015,302,5,Good! 202016,302,3,Good! ... 2. 登录对象存储服务OBS控制台，单击“创建桶”，填写以下参数，单击“立即创建”。 桶参数 参数项 取值 数据冗余存储策略 单AZ存储 桶名称 mrshive 默认存储类别 标准存储 桶策略 私有 默认加密 关闭 归档数据直读 关闭 企业项目 default 标签 3. 创建OBS桶。 4. 等待桶创建好，单击桶名称，选择“对象 > 上传对象”，将数据文件上传至OBS桶内。 5. 上传对象。 6. 切换回MRS控制台，单击创建好的MRS集群名称，进入“概览”，单击“IAM用户同步”所在行的“同步”，等待约5分钟同步完成。 同步IAM用户 7. 将数据文件上传HDFS。 a.在“文件管理”页签，选择“HDFS文件列表 ” ，进入数据存储目录，如“/tmp/test”。 “/tmp/test”目录仅为示例，可以是界面上的任何目录，也可以通过“新建”创建新的文件夹。 b.单击“导入数据”。 OBS路径：选择上面创建好的OBS桶名，找到“bookscore.txt”文件，勾选“我确认所选脚本安全，了解可能存在的风险，并接受对集群可能造成的异常或影响。”，单击“确定”。 HDFS路径：选择“/tmp/test”，单击“确定”。 从OBS导入数据到HDFS c.单击“确定”，等待数据导入成功，此时数据文件已上传至MRS集群的HDFS文件系统内。 数据导入成功

本节介绍如何批量添加防护规则。 前提条件 已添加防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 在页面左上角，单击“所有策略规则”。 步骤6 在待配置规则列表的左上角，单击“批量添加”，进入对应的规则配置页面。 步骤7 选择策略名称，在“策略名称”的下拉框中选择策略名，可批量多选，如图所示。 步骤8 完成除“策略名称”以外其它参数的配置。 “CC攻击防护”请参见配置CC攻击防护规则进行参数配置。 “精准访问防护”请参见配置精准访问防护规则进行参数配置。 “黑白名单设置”请参见配置IP黑白名单规则进行参数配置。 “地理位置访问控制”请参见配置地理位置访问控制规则进行参数配置。 “网页防篡改”请参见配置网页防篡改规则进行参数配置。 “防敏感信息泄露”请参见配置防敏感信息泄露规则进行参数配置。 “全局白名单”请参见配置全局白名单（原误报屏蔽）规则进行参数配置。 “隐私屏蔽”请参见配置隐私屏蔽规则进行参数配置。 步骤9 单击“确认”，批量添加防护规则成功。

ICP备案被取消接入 网站域名已经备案成功，但因信息不准确导致备案被取消接入，如您还需要使用，需要在天翼云重新提交备案申请，备案流程可参考备案操作手册。

本文介绍基于私网NAT网关和云专线的混合云指定源IP地址访问操作实践。 使用背景 用户通过云专线已打通天翼云VPC到云下IDC的互连，由于云下IDC的服务有安全管理需求，需要指定的IP地址，才可以访问；可以选择使用天翼云私有NAT网关转换成IDC信任的私网地址，来实现混合云的私网互通。 方案优势 云专线提供云上云下高速、低时延、稳定安全的专属连接通道，结合私网NAT网关的SNAT功能，可满足各类用户安全合规的需求。 方案涉及产品 VPC，私网NAT网关，云专线 方案架构 本方案网络拓扑架构如图所示 实现方式如下： 1. 通过云专线将用户IDC与VPC1连通。 2. 在VPC1中搭建私网NAT网关。 3. 配置SNAT规则，将ECS的私网地址转换成中转IP地址（IDC信任的私网地址）。 资源规划 资源 资源名称 资源说明 VPC1 子网 VPCtest1 云上专有网络 VPC1 子网 VPCtest1业务子网 192.168.1.0/24 VPC1 子网 VPCtest1中转子网 192.168.3.0/24 私网NAT网关 nattest1 用于私网SNAT转换 私网NAT网关 nattest1中转IP地址 192.168.3.5 线下IDC 客户侧子网 172.16.5.0/24 云主机 ECStest1 所属网段VPCtest1业务子网

应用场景 适用于用户的数据存储在对象存储ZOS中，且需要准备迁移服务器可下载ZOS数据，并和HPFS网络互通，保证可挂载文件系统的场景下。 准备工作 创建迁移服务器，如果目标HPFS文件系统是NFS协议，迁移服务器可选择弹性云主机。如果目标HPFS文件系统是HPFSPOSIX协议，迁移服务器需要选择物理机（GPU裸金属）。具体限制请参考操作系统限制。 迁移服务器需要能访问ZOS进行下载数据，能够将云上 ZOS 中的对象文件下载到HPFS的指定文件夹。 将HPFS文件系统挂载至物理机或弹性云主机，具体操作请参考挂载文件系统。 操作步骤 具体操作请参考对象存储文件上云迁移工具，参考文档中云上迁移到本地场景： 云上迁移到本地的操作的配置，只需要将 migrations.conf 中的 reverse 参数配置为 true。 并在迁移工具中 migrations.conf 中 srcpath 指的是将云上文件迁移到本地后存放的文件夹，设置为HPFS文件系统的挂载目录。 注意 迁移工具将不会对该路径进行检测，如果指定的路径不存在，将会默认创建。

本节说明了客户在使用智能边缘云需要明确注意的事项 节点资源差异 不同的边缘节点存在资源差异，包括但不限于云硬盘、本地盘、本地裸盘的资源服务能力，GPU卡的资源服务能力，裸金属的资源服务能力。 本地硬盘可提供的规格大小根据宿主机型号不同而不同，不同资源节点宿主机型号也可能存在差异。 不同资源节点可提供的虚拟机、裸金属规格可能存在差异。 节点可用性 ECX的服务可用性（SLA）不低于99.9%，详情请参见[[服务等级协议]](/portal/protocol/10012558)。 以下原因所导致的服务不可用时间，不在计算范围内： 中国电信预先通知客户后进行系统维护所引起的，包括割接、维修、升级和模拟故障演练。 任何中国电信所属设备以外的网络、设备故障或配置调整引起的。 客户的应用程序受到黑客攻击而引起的。 客户维护不当或保密不当致使数据、口令、密码等丢失或泄漏所引起的。 客户的疏忽或由客户授权的操作所引起的。 客户未遵循中国电信产品使用文档或使用建议引起的。 不可抗力引起的。

系统资源账户有哪些状态？ 云堡垒机系统被纳管资源的账户 状态 ，用于标识资源账户的密码是否被验证，且验证是否通过，不能手动修改，可通过实时验证和自动巡检更新。 资源账户共有“正常”、“异常”和“未知”三种状态，各状态详细说明请参见表。 资源账户状态说明 状态 说明 :: 正常 经过“验证”，帐号及密码正确，且能正常登录的资源账户，显示为“正常”状态。 异常 经过“验证”，账户或密码不正确，可能不能正常登录的资源账户，显示为“异常”状态。 未知 添加完资源账户后，未经过“验证”的资源账户，显示为“未知”状态。 云堡垒机自动巡检： 在每月的5号、15号和25号凌晨一点，对纳管的资源账户进行帐号巡检，通过检测资源账户的连通性，标记资源账户状态。 连通性良好，能正常登录的账户显示为“正常”。 不能连接，无法正常登录的账户显示为“异常”。 系统资源标签可以共用吗？ 不可以。 因云堡垒机系统用户间隔离，每个用户自定义的资源标签仅能个人账户使用，不能被CBH系统内用户共用。 例如系统管理员admin添加的资源标签，其他管理员或运维人员登录系统后，不能看到admin为资源添加的标签，反之亦然。 是否支持手动输入密码的方式登录资源？ 用户在不希望云堡垒机托管密码时，可将登录方式设置为手动输入密码的登录方式，具体操作如下： 1 登录云堡垒机系统。 2 选择“策略 > 访问控制策略”，进入访问控制策略列表管理页面。 3 单击“新建”或“关联”。 4 在配置关联资源账户时，选择Empty账户。 5 在“运维 > 主机运维”页面登录该主机，需要手动输入资源账户名和相应密码。

网络及高级配置 设置网络，包括“网卡”、“安全组”，同时配备 “弹性IP”用于下载和访问模型；设置高级配置，包括“登录方式”、“云主机组”、“用户数据”。 4. 确认并支付 步骤二：使用DeepSeek模型 1. 通过web界面进行模型交互 注意 镜像自带的 ollama 工具监听 127.0.0.1:11434、webui 监听 0.0.0.0:3000 端口，云主机默认不对外开放任何端口访问，请按需开放端口访问规则，避免数据泄露。 a. 放行云主机安全组的 3000 端口。具体操作请参考添加安全组规则弹性云主机用户指南安全安全组配置安全组规则 天翼云。 b. 访问DeepSeek模型的可视化界面。登录地址为： 注意 云主机全自动安装DeepSeek模型和可视化界面，请等待云主机启动 5 分钟后，再访问登录界面。 首次登录页面如下： c.注册管理员账号。 d.使用设置。 刷新进入首页，在模型下拉列表中，选择刚部署的DeepSeek:7b 模型。 点击左下角进入设置页面，如果您不想开放其他用户注册使用，则需要关闭 “允许用户注册” 功能。 如果您允许用户注册，还可以设置用户注册之后的行为，例如选择新用户注册后默认用户角色为“用户”/“待激活” 等，需要管理员手动激活。 设置模型可见性。多用户模式下，建议把模型设置为“Public”。 e.使用DeepSeek模型进行模型推理。 自定义部署DeepSeek

本文为您介绍精准访问控制功能说明，以及如何配置自定义访问控制策略。 精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 使用限制 基础版不支持精准访问控制功能，请升级到更高版本使用。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“精准访问控制”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入精准访问控制规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、匹配条件、处置动作、优先级、过期时间、更新时间等。 8. 点击列表上方“新建防护规则”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截：选择拦截时，支持开启“攻击惩罚”。 说明 若需使用攻击惩罚功能，需将WAF升级到企业版或旗舰版。 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 9. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本节主要介绍安全审计 操作场景 根据云审计服务收集的日志记录，通过查询具体的、符合某一特征的记录，执行安全分析，判断用户的操作是否符合权限要求。 前提条件 已开通云审计服务且追踪器状态正常。 操作步骤 以审计最近两周云硬盘服务的创建和删除操作为例： 1. 以管理员权限登录管理控制台。 2. 单击“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务详情页面。 3. 单击左侧导航树的“事件列表”，进入事件列表界面。 4. 在事件列表界面单击“筛选”，显示过滤条件查询框，依次选择“事件来源”>“资源类型”>“筛选类型”，单击“查询”按钮执行搜索，查看过滤结果。过滤条件查询示例：依次选择“evs”>“evs”>“按事件名称”>“createVolume”或“evs”>“evs”>“按事件名称”>“deleteVolume”，单击“查询”按钮执行搜索，查询所有创建或删除EVS的操作。 5. 单击左侧导航树的“追踪器”，进入追踪器详情页面，获取OBS桶名。 6. 参照查看已归档事件下载7天之前或者所有的事件。 7. 在操作记录中，以createVolume和deleteVolume作为关键字检索，找到对应记录。 8. 从第4步和第7步的结果中，抽取操作用户信息，甄别没有授权的操作，即用户越权操作，或不符合用户自身安全操作规范的操作。

限制项 具体要求 说明 加速域名 中国内地： 1. 已在天翼云进行实名认证。 2. 域名已完成ICP备案且备案信息准确有效。 3. 域名接入时需要经过内容审核。 4. 域名接入时需要能通过域名归属权验证。 全球（不含中国内地）： 1. 已在天翼云进行实名认证。 2. 域名接入时需要经过内容审核。 3. 域名接入时需要能通过域名归属权验证。 全球： 1. 已在天翼云进行实名认证。 2. 域名已完成ICP备案且备案信息准确有效。 3. 域名接入时需要经过内容审核。 4. 域名接入时需要能通过域名归属权验证。 1.全球（不含中国内地）：包括中国香港、中国澳门、中国台湾、其他国家及地区。 2.加速范围为：中国内地、全球的域名必须完成ICP备案且备案信息准确有效才能接入天翼云全站加速，否则天翼云无法提供加速服务。 加速域名使用限制 1. 域名类型：支持子域名（例如，abc.ctyun.cn）或泛域名（例如，.ctyun.cn域名）。 2. 域名长度：长度不超过128字节。 3. 支持的字符：小写英文字母（az）、数字（09）、短划线（），如为泛域名，支持以 开头，例如 .ctyun.cn域名。 4. 主子账号共用100个加速域名限额，如需配置超过100个加速域名，请 无。 刷新预取额定用量 1. URL刷新：10000条/日。 2. 目录刷新：100条/日。 3. URL预取：2000条/日。 为防止资源滥用，天翼云全站加速平台限定了各服务资源的额定用量，如果当前用量无法满足使用需要，请 内容审核 全站加速不支持接入违反相关法律法规的域名，包括但不限于： 1. 涉黄、涉赌、涉毒、涉暴恐内容的网站。 2. 盗版游戏 / 盗版软件 / 盗版视频网站。 3. P2P类金融网站、彩票类网站、违规医院和药品类网站。 4. 游戏私服类。 如果您的加速域名含有以上违规的内容，您将自行承担相关风险。如果发现加速域名有违规行为，全站加速将封禁该域名，因违规而封禁的加速域名将永久不能解禁。 缓存key 缓存Key长度不能超过8KB，超过则返回400状态码。 无。 源站HTTP响应头 源站向节点返回的响应头，其总大小默认最大不能超过128KB，否则全站加速服务会响应异常。 无。 突发带宽限流 若您对天翼云全站加速服务有突发带宽控制需求，请提前 带宽控制功能支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速、拒绝或者重定向操作。详见 文件上传 全站加速默认支持的最大上传文件大小为300MB。 无。 请求方式 天翼云全站加速支持GET、PUT、POST和HEAD等请求方式。 单URL或单请求头长度限制：不能超过64KB，超过则返回494状态码。 URL+所有请求头总长度限制：不能超过256KB，超过则返回414状态码。 可以通过 API接口频率设置 天翼云全站加速API接口，针对操作类API接口，单用户一分钟限制调用10次。 针对查询类API接口，单个用户一分钟限制调用10000次，并发不超过100。 操作类接口，是指例如新增域名、删除/停用/启用域名等需对域名状态进行变更类的操作。

本章节主要介绍DataArts Studio的开发一个Python脚本流程。 本章节介绍如何在数据开发模块上开发并执行Python脚本示例。 环境准备 已开通弹性云主机，并创建ECS，ECS主机名为“ecsdgc”。 说明 本示例主机选择“CentOS 8.0 64bit with ARM(40GB)”的公共镜像，并且使用ECS自带的Python环境，您可登陆主机后使用python命令确认服务器的Python环境。 已开通数据集成增量包，CDM集群名为“cdmdlfpyhthon”，提供数据开发模块与ECS主机通信的代理。 请确保ECS主机与CDM集群网络互通，互通需满足如下条件： − CDM集群与ECS主机同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组 > 添加安全组规则”章节。 − CDM集群与ECS主机处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 − 此外，您还必须确保该ECS主机与CDM集群所属的企业项目必须相同，如果不同，需要修改工作空间的企业项目。

本节主要介绍修改实例安全组 使用须知 对于进行节点扩容中的实例，不可修改安全组。 操作步骤 1. 登录云数据库GeminiDB控制台。 2. 在“实例管理”页面，选择指定的实例，单击实例名称。 3. 在左侧导航树，单击“连接管理”。 4. 在“内网安全组”区域，单击，选择实例所属安全组。 1. 单击√，提交修改。此过程约需1～3分钟。 2. 单击×，取消修改。 5. 稍后可在“安全组”区域，查看修改结果。

本节为您介绍迁移前准备工作。 使用或注册天翼云账号，并完成 实名认证。 1. 打开天翼云门户网站，单击“免费注册”。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击“同意协议并提交” 按钮，如1分钟内手机未收到验证码，请再次点击“免费获取短信验证码”按钮； 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 如需实名认证，请参考 会员服务 实名认证。 帐号余额不少于100元，避免迁移过程中欠费，导致迁移失败。主机迁移服务本身免费，但迁移过程中会创建按量付费资源并产生少量费用。具体请参见计费说明。 用户开通并使用数据迁移工具服务。 使用您的天翼云账号完成登录。 在云迁移中心产品主页，单击“立即开通”按钮进入控制中心。 4. 单击控制中心上方的，选择您目标机资源所在区域。此处示例我们选择的是福州4。 5. 点击迁移管理中的“工具中心”，可以看到数据迁移工具（CMCZMT），点击进入控制台。 确认迁移源是否满足要求 需对数据迁移工具支持迁移的对象存储做确认，具体请见兼容性列表。 迁移网络打通 数据源 需要数据迁移的源节点及迁移后数据存放的目标节点对象存储的endpoint需要对数据迁移工具放通网络，并提供接入需要的AK/SK。