本章节介绍云原生网关的审计日志功能 概述 您可以在云原生网关控制台上查看审计日志。如果当前帐号为主帐号，则可以查询当前帐号及其所有子账号在控制台上的操作日志；如果当前帐号为某个主账号下的子账号，则可以查询该子账号在控制台的操作日志。审计日志用于收集云原生网关实例的相关操作日志，记录资源的变动情况。其中资源主要包括实例、安全认证、路由、服务、服务来源、插件、应用管理、域名、ELB和观测分析。变动情况包括增加、删除和修改。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表。 3. 在左侧导航栏，选择审计日志。 4. 可选择开始结束时间，资源类型，操作类型，操作人，操作详情进行过滤。

本小节介绍公网IP如何增强DDoS防护能力。 IP 如何提升DDoS防护能力？ 若您的公网 IP 频繁遭遇 DDoS 攻击，持续超出 DDoS 基础防护阈值并触发平台防护封堵，可通过以下两种方式强化 DDoS 安全防护能力，降低再次被封堵的风险： 一、购买并配置 DDoS 高防产品（推荐） 天翼云和第三方合规厂商均提供有DDoS高防产品，一般可提供高防IP隐藏业务IP、大流量攻击防护和攻击源分析能力，您可选择天翼云或其他第三方DDoS高防产品防护自身在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。 业务 IP 接入高防防护后，将由高防 IP 替代其暴露在公网，攻击者仅能针对高防 IP 发起攻击；攻击流量会在高防资源池完成清洗过滤，仅正常业务流量回注至您的业务 IP，该流量通常不会超出 IP 的DDoS防护阈值，可有效避免触发 DDoS封堵。 同时请注意：若业务IP历史存在攻击，可能已被攻击者获知，即使配置DDoS高防，攻击者有可能绕过高防IP对业务IP直接发起攻击，若攻击流量过大，仍会超过DDoS防护阈值，触发封禁，因此建议在配置高防的同时，同步更换业务IP并限制仅能被高防IP访问，实现业务IP隐藏。具体购买和配置请咨询DDoS高防产品对应产品厂商。 二、配置安全组（仅特定业务场景适用） 在绑定公网 IP 的云主机上配置安全组策略，仅允许指定 IP 和端口访问业务 IP，可在公网层面实现 IP 隐藏。该方式仅适用于无需对公网全面开放的业务（如组织内部跨公网访问场景），绝大多数面向公网的业务不适用此方案。 重要提示：若原业务 IP 已被攻击者获知，即便配置安全组使攻击者无法探活，仍可能遭受盲目攻击；攻击流量直达 IP 所在网络后，若流量超出基础防护阈值，依然会触发DDoS封堵。因此建议配置安全组的同时，同步更换业务 IP。

本文介绍容器集群网络规划最佳实践。 在创建云容器引擎集群时，您需要指定虚拟私有云VPC、子网、Pod CIDR和Service CIDR。因此建议您提前规划Worker节点地址、Pod地址和Service地址。本文将介绍云容器引擎下的网络规划的规则与策略。 各网段说明 虚拟私有云VPC：提供一个逻辑隔离的区域，构建一个安全可靠、可配置和管理的虚拟网络环境。可创建子网、设置安全组。VPC和子网需要提前在VPC的创建界面创建好，之后创建云容器引擎集群时，为集群指定VPC和子网。Worker节点的内网IP，最终为子网下的一个IP地址。 Pod CIDR：Pod是Kubernetes层的容器资源，每个Pod都具有一个容器网络IP地址。创建云容器引擎集群时可以指定Pod CIDR。 Service CIDR：Service是Kubernetes的网络资源，每个Service具有一个IP地址。创建云容器引擎集群时可以指定Service CIDR。 约束与限制 当前云容器引擎采用Calico和Flannel两种网络插件，所涉及的三个网段：虚拟私有云VPC的网段、Pod CIDR所在网段，以及Service CIDR所在网段，不可重复。 网络规划 场景 1 ： 单 VPC+ 单集群 这是最简单的场景，VPC和子网网段在创建时已明确，需要确认Pod CIDR、Service CIDR互不重叠，且和VPC不冲突即可。 场景 2 ： 单 VPC+ 多集群 VPC和子网网段在创建时已确定，不同集群可根据用户自己的网络规划，放置在同一个子网或者多个子网里。 多个集群之间Pod CIDR不可以重叠，但是Service CIDR可以重叠。

开启匿名用户访问。默认已开启。 writeenableYES 开放服务器的写权限（若要上传，必须开启）。默认已开启。 anonumask022 设置匿名用户所上传数据的权限掩码（反掩码）。默认已开启。 anonuploadenableYES 允许匿名用户上传文件。默认已注释，需取消注释。 anonmkdirwriteenableYES 允许匿名用户创建（上传）目录。默认已注释，需取消注释。 anonotherwriteenable YES 允许删除、重命名、覆盖等操作。需添加。 6. 按Esc键退出编辑模式，并输入:wq保存后退出。 7. 执行以下命令重启vsftpd服务使配置生效。 plaintext systemctl restart vsftpd.service 8. 关闭防火墙和增强型安全功能。 plaintext systemctl stop firewalld setenforce 0 3. 设置安全组 搭建好FTP站点后，需要配置弹性云主机的安全组规则，入方向添加一条放行FTP端口的规则，设置安全组规则如下表。 FTP模式 方向 协议 端口 源地址 主动模式 入方向 TCP 20端口和21端口 0.0.0.0/0 被动模式 入方向 TCP 21端口和配置文件“/etc/vsftpd/vsftpd.conf”中参数“pasvminport”和“pasvmaxport”之间的所有端口 0.0.0.0/0 4. 客户端测试 1. 在Windows系统打开开始菜单，输入 cmd 命令打开命令提示符。 2. 建立ftp连接：ftp XX.XX.XX.XX （虚拟机公网ip地址）。 3. 输入配置好的用户名和密码，反馈如下表示访问成功。 4. ftp> pwd

本节介绍了在移动设备上登录Windows云主机的操作场景、前提条件、操作步骤。 操作场景 本节操作以“Windows Server 2012 R2 数据中心版 64位”操作系统为例，介绍如何通过Microsoft Remote Desktop客户端登录Windows实例。 前提条件 云主机状态为“运行中”。 已获取Windows云主机用户名和密码。 云主机已经绑定弹性IP，绑定方式请参见绑定弹性公网IP。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 移动设备已安装Microsoft Remote Desktop。 操作步骤 1. 启动RD Client。 2. 在“Remote Desktop”页面右上角，单击图标，选择“Desktop”。 图 Remote Desktop 3. 在“Add desktop”页面，设置登录信息后，单击“SAVE”。 − PC name：输入需要登录的Windows实例的弹性公网IP地址。 − 按以下步骤设置“User name”： i. 单击“User name”，在下拉列表中选择“Add user account”。 弹出“Add user account”对话框。 ii. 输入Windows实例帐号“administrator”，并输入实例的登录密码，单击“SAVE”。 图 输入登录信息 图 保存填写的登录信息 4. 在“Remote Desktop”页面，单击需要登录的Windows实例图标。 图 登录Windows实例 5. 确认信息后，单击“CONNECT”。 图 CONNECT 至此，您已经登录Windows实例。 图 登录成功

添加域名组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全 > 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制 > 对象组管理”，进入“对象组管理”界面。 5. （可选）如果添加网络域名组，则选择“网络域名组”页签。 6. 切换至“域名组”页签，单击“添加域名组”，弹出“添加域名组”，填写参数如下所示。 参数名称 参数说明 域名组类型 应用型/网络型 域名组名称 自定义域名组名称。 描述 （可选）设置该域名组的备注信息。 域名 输入域名，规则如下： 支持多级别单域名（例如，一级域名example.com，二级域名www.example.com等）和泛域名（例如，.example.com）。 多个域名以英文逗号、英文分号、换行符、空格分隔。 说明 输入的域名请勿重复。 添加域名组中域名 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 切换至“域名组”页签，单击添加的域名组名称。弹出“域名组”弹窗。 6. 单击“添加域名”，弹出“添加域名”对话框，填写域名信息。 单击添加可添加多个域名。 7. 确认无误后，单击“确认”，完成添加。

弹性负载均衡产品支持查看后端云主机,本文帮助您快速熟悉查看后端云主机的方法。 操作场景 天翼云弹性负载均衡支持已添加的后端云主机详情及其状态。还支持查看特定云主机相关的弹性网卡、云硬盘、安全组、弹性IP等信息。 前提条件 您已经创建了云主机，并添加云主机到特定的负载均衡监听器上，且后端云主机处于“运行中”状态。 操作步骤 1. 登录天翼云控制中心。 2. 选择“网络>弹性负载均衡>负载均衡器”。 3. 单击已创建的负载均衡器实例名称。 4. 在该负载均衡详情界面，选择“后端主机组”标签。 5. 选定特定的后端主机组，在云主机列表中可查看已添加的后端云主机。 6. 点击特定的云主机的名称，即可查看改云主机详情。

本节介绍注册集群控制台用户指南。 注册集群控制台 分布式容器云平台 注册集群控制台 说明 1. 天翼云注册集群控制台，提供与云容器引擎CCE相同的功能体验。 2. 其他注册集群控制台，提供与云容器引擎CCE高度一致的功能体验。 产品功能 与云容器引擎基本一致的运维体验：通过分布式容器云平台控制台统一管理云容器引擎集群和本地自建Kubernetes集群，体验一致的运维能力，统一管理集群和应用，统一的日志、监控和告警体系，以及集群巡检和故障诊断能力。 备份容灾：提供云上备份、还原的能力，支持ETCD和集群的云容灾，全面提升企业的业务连续性。 文档使用指引 注册集群控制台功能包括：集群信息、命名空间、工作负载、网络、配置管理、存储、插件、安全管理、运维管理等。 命名空间、工作负载、网络、配置管理、安全管理、运维管理等相同功能请参考 云容器引擎产品文档。 功能模块 功能项 相关文档 注册集群 注册集群 天翼云注册集群 本地注册集群 三方云注册集群 AnyWhere注册集群 节点管理 节点池 混合集群网络 节电池管理 节点伸缩 节点管理 云下节点池 云下节点池 节点管理 虚拟节点 虚拟节点 权限配置 授权 授权概述 IMA授权 RBAC授权 存储 对象存储 对象存储 运维 监控 Prometheus 监控 运维 备份 ETCD 备份 集群备份 集群定时备份 运维 集群巡检 集群巡检 运维 日志中心 日志 运维 故障诊断 故障诊断

本章节会介绍关系型数据库的定义以及包含哪些数据库引擎 关系型数据库（Relational Database Service，简称RDS）是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。关系型数据库支持以下引擎： MySQL PostgreSQL SQL Server 关系型数据库服务具有完善的性能监控体系和多重安全防护措施，并提供了专业的数据库管理平台， 让用户能够在云中轻松的进行设置和扩展关系型数据库。通过关系型数据库服务的管理控制台，用户几乎可以执行所有必需任务而无需编程，简化运营流程，减少日常运维工作量，从而专注于开发应用和业务发展。 云数据库MySQL MySQL是目前最受欢迎的开源数据库之一，其性能卓越，搭配LAMP（Linux + Apache + MySQL + Perl/PHP/Python），成为WEB开发的高效解决方案。 云数据库拥有即开即用、稳定可靠、安全运行、弹性伸缩、轻松管理、经济实用等特点。 架构成熟稳定，支持流行应用程序，适用于多领域多行业支持各种WEB应用，成本低，中小企业首选。 管理控制台提供全面的监控信息，简单易用，灵活管理，可视又可控。 随时根据业务情况弹性伸缩所需资源，按需开支，量身订做。

本章介绍主机迁移服务与其他云服务的关系。 主机迁移服务SMS与其他服务的关系参见下表。 相关服务 交互功能 位置 弹性云主机（Elastic Cloud Server，ECS） 将源端服务器的系统、应用和文件等数据迁移到天翼云弹性云主机。 创建云主机 弹性IP（Elastic IP，EIP） 创建迁移任务过程中支持采用公网迁移，要求目的端服务器配置有“弹性IP”。 申请弹性IP 虚拟私有云（Virtual Private Cloud，VPC） 在创建迁移任务前，通过虚拟私有云设置您目的端弹性云服务器所在VPC的安全组。 创建虚拟私有云 云硬盘服务（Elastic Volume Service，EVS） 迁移任务创建并启动后，主机迁移服务会创建一块临时按需计费EVS卷，迁移完成删除该临时卷。 云硬盘规格和价格 云审计服务（Cloud Trace Service，CTS） 通过云审计服务收集主机迁移服务操作记录，便于日后的查询、审计和回溯。 开通云审计服务

本页介绍天翼云TeleDB数据库如何添加、编辑、查看和删除服务器。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台。 2. 在左侧导航树上，选择资源管理 > 服务器管理 ，进入服务器管理 页面。 3. 添加服务器 1. 在服务器管理页面，单击添加服务器，出现新增服务器对话框。 2. 填写服务器IP地址 、SSH账号 、SSH密码 、SSH端口 、是否创建Teledb用户 、用户home目录 、是否安装Agent 、服务器管理进程端口 、操作系统、CPU架构和磁盘数据目录 等必填信息。 服务器IP地址：部署规划的实例主机ip。 SSH账号：根据您创建的用户名填写。填写机器的用户名 不要用root账号，需使用有sudo权限的账号。 SSH密码：根据您设置的密码填写。 SSH端口：端口未被占用，若占用需更换。 是否创建TeleDB用户：根据业务需求填写。 用户Home目录：系统默认填写。 是否安装Agent:系统默认填写是，也可填否。 服务器管理进程端口：端口不能被占用。 操作系统：根据业务需求填写。 CPU架构：根据业务需求填写。 磁盘数据目录：根据安装规划填写。 3. 单击测试联通及硬件检测 ，出现绿色标识，单击确定 ，完成服务器的添加。 4. 查看服务器详情 在服务器管理页面，单击要查看的服务器所在行的详情 ，您可查看服务器详情。 5. 编辑服务器 在服务器管理页面，单击目标服务器所在行的编辑 ，在弹出的编辑服务器对话框输入SSH账号、SSH密码、SSH端口，单击测试连通及硬件检测 ，当测试连通及硬件检测通过后，单击确定 可完成服务器密码修改。 6. 删除服务器 若单击已勾选的目标服务器所在行的删除 ，即可删除服务器。 说明 若服务器被实例占用，则不可删除。

本页介绍天翼云TeleDB数据库如何添加、修改和删除服务器。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台。 2. 在左侧导航树上，选择资源管理 > 服务器管理 ，进入服务器管理 页面。 3. 添加服务器 1. 在服务器管理页面，单击添加服务器，出现新增服务器对话框。 2. 填写服务器IP地址 、SSH账号 、SSH密码 、SSH端口 、是否创建Teledb用户 、用户home目录 、是否安装Agent 、服务器管理进程端口 、操作系统、CPU架构和磁盘数据目录 等必填信息。 服务器IP地址：部署规划的实例主机ip。 SSH账号：根据您创建的用户名填写。填写机器的用户名 不要用root账号，需使用有sudo权限的账号。 SSH密码：根据您设置的密码填写。 SSH端口：端口未被占用，若占用需更换。 是否创建TeleDB用户：根据业务需求填写。 用户Home目录：系统默认填写。 是否安装Agent:系统默认填写是，也可填否。 服务器管理进程端口：端口不能被占用。 操作系统：根据业务需求填写。 CPU架构：根据业务需求填写。 磁盘数据目录：根据安装规划填写。 3. 单击测试联通及硬件检测 ，出现绿色标识，单击确定，完成服务器的添加。 4. 查看服务器详情 在服务器管理页面，单击要查看的服务器所在行的详情，您可查看服务器详情。 5. 编辑服务器 在服务器管理页面，单击目标服务器所在行的编辑 ，在弹出的编辑服务器对话框输入SSH账号、SSH密码、SSH端口，单击测试连通及硬件检测 ，当测试连通及硬件检测通过后，单击确定可完成服务器密码修改。 6. 删除服务器 若单击已勾选的目标服务器所在行的删除，即可删除服务器。 说明 若服务器被实例占用，则不可删除。

本文主要介绍弹性负载均衡会话保持常见问题。 长连接和会话保持区别是什么？ 长连接和会话保持没有必然联系。 长连接是指在一个连接上可以连续发送多个数据包，在连接保持期间，如果没有数据包发送，需要双方发链路检测包。会话保持是指弹性负载均衡将属于同一个会话的请求都转发到同一个云主机进行处理。 如何检查弹性负载均衡会话保持不生效问题？ 查看后端主机组上是否开启了会话保持。 查看后端云主机的健康检查状态是否正常，如果异常，流量会切换到其他后端云主机，导致会话保持失效。 如果选择的是源IP算法，需要注意请求到达弹性负载均衡之前IP是否发生变化。 如果是HTTP或HTTPS监听器，配置了会话保持，不用观察session是否丢失，而需要注意发送的请求是否带有cookie，如果带有cookie，则观察该cookie值是否发生了变化(因为7层会话保持基于cookie)。 负载均衡器支持什么类型的会话保持？ 独享型负载均衡器支持源IP地址、负载均衡器cookie两种会话保持类型。 共享型负载均衡器支持源IP地址、负载均衡器cookie、应用程序cookie三种会话保持类型。

此小节介绍云堡垒机功能特性。 云堡垒机不仅拥有传统4A安全管控的基本功能特性，包括身份认证、账户管理、权限控制、操作审计四大功能。还拥有高效运维、工单申请等特色功能。 身份认证 采用多因子认证和远程认证技术，加强用户身份认证管理。 引用多因子认证技术，包括手机短信、手机令牌、USBKey、动态令牌等方式，安全认证登录用户身份，降低用户帐号密码风险。 对接第三方认证服务或平台，包括AD域、RADIUS、LDAP、Azure AD远程认证，支持远程认证用户身份，防止身份泄露。并支持一键同步AD域服务器用户，复用原有用户部署结构。 账户管理 集中管理系统用户和资源帐号信息，对帐号全生命周期建立可视、可控、可管运维体系。 用户帐号管理 系统用户帐号全生命周期管理，用户使用唯一帐号登录系统，解决共享帐号、临时帐号、滥用权限等问题。 批量导入 通过同步第三方服务器用户，以及批量导入用户，支持一键同步并导入已有用户信息，无需重复创建用户。 用户组 用户帐号按属性分组管理，可实现对同类型用户按用户组赋予权限。 批量管理 支持批量管理用户帐号，包括删除、启用、禁用、重置密码、修改用户基本配置等。 权限控制 集中管控用户访问系统和资源的权限，对系统和资源的访问权限进行细粒度设置，保障了系统管理安全和资源运维安全。 系统访问权限 从单个用户帐号属性出发，控制用户登录和访问系统权限。 用户角色 通过为每个用户帐号分配不同的角色，赋予用户访问系统不同模块的权限，对系统用户身份进行分权。系统支持自定义角色，自定义角色中可以自选添加系统模块，实现角色多样化模式。 组织部门 通过为每个用户划分部门，采用部门组织树形结构，不限制部门层级，可将用户按部门分层级管理。 登录限制 通过设置用户登录配置，从登录有效期、登录时间、多因子认证、登录IP限制、登录MAC限制等维度，赋予用户登录系统的权限。 资源访问权限 按照用户、用户组与资源账户、账户组之间的关联关系，建立用户对资源的控制权限。 访问控制 通过设置访问控制权限，从访问有效期、登录时间、IP限制、上传/下载、文件传输、剪切板、显示水印等维度，赋予用户访问资源的权限。通过设置双人或多人授权审核，需要授权人实时授权才能访问资源，保障敏感核心资源绝对安全。 命令拦截 通过设置命令控制策略或数据库控制策略，对服务器或数据库中敏感、高危操作，强制阻断、告警及二次复核，加强对关键操作的管控。

本章节主要介绍创建MRS Hive连接器。 MRS Hive连接适用于MapReduce服务，本教程为您介绍如何创建MRS Hive连接器。 前提条件 已创建CDM集群。 已获取MRS集群的Manager IP、管理员账号和密码，且该账号拥有数据导入、导出的操作权限。 MRS集群和CDM集群之间网络互通，网络互通需满足如下条件： −CDM集群与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP，数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 −CDM集群与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组 > 添加安全组规则”章节。 −此外，您还必须确保该云服务的实例与CDM集群所属的企业项目必须相同，如果不同，需要修改工作空间的企业项目。 新建MRS hive连接 1. 在CDM集群管理界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面，如下图所示。 图 选择连接器类型 2. 连接器类型选择“MRS Hive”后单击“下一步”，配置MRS Hive连接的参数，如下图所示。 图 创建MRS Hive连接 3. 单击“显示高级属性”可查看更多可选参数。这里保持默认，必填参数如下表所示。 表 MRS Hive连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mrslink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 127.0.0.1 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 SIMPLE Hive版本 Hive的版本。根据服务端Hive版本设置。 HIVE3X 用户名 选择KERBEROS鉴权时，需要配置MRS Manager的用户名和密码。从HDFS导出目录时，如果需要创建快照，这里配置的用户需要HDFS系统的管理员权限。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 cdm 密码 访问MRS Manager的用户密码。 OBS支持 需服务端支持OBS存储。在创建Hive表时，您可以指定将表存储在OBS中。 否 运行模式 “HIVE3X”版本支持该参数。支持以下模式： EMBEDDED：连接实例与CDM运行在一起，该模式性能较好。 STANDALONE：连接实例运行在独立进程。如果CDM需要对接多个Hadoop数据源（MRS、Hadoop或CloudTable），并且既有KERBEROS认证模式又有SIMPLE认证模式，只能使用STANDALONE模式。 说明 STANDALONE模式主要是用来解决版本冲突问题的运行模式。当同一种数据连接的源端或者目的端连接器的版本不一致时，存在jar包冲突的情况，这时需要将源端或目的端放在STANDALONE进程里，防止冲突导致迁移失败。 EMBEDDED 检查Hive JDBC连通性 是否需要测试Hive JDBC连通性。 否 是否使用集群配置 用户可以在“连接管理”处创建集群配置，用于简化Hadoop连接参数配置。 否 属性配置 其他Hive客户端配置属性。 说明 单击“显示高级属性”，然后单击“添加”，您可以添加客户端的配置属性。所添加的每个属性需配置属性名称和值。对于不再需要的属性，可单击属性后的“删除”按钮进行删除。 4. 单击“保存”回到连接管理界面，完成MRS Hive连接器的配置。

本文主要介绍VPC流日志简介。 VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 注意 VPC流日志本身是免费的，但需要为使用过程中用到的其他云资源付费。例如，流日志数据存储在云日志服务中，将按云日志服务的标准收费，详情请参考云日志服务用户指南。 说明 VPC流日志功能支持区域： 华北华北，广东，广州4，北京北京2， 江苏苏州, 重庆重庆，陕西西安2，上海上海4，贵州贵州，湖南长沙2， 福建福州，浙江杭州，湖北武汉2，四川成都3，江西南昌 VPC流日志功能需要与云日志服务LTS结合使用，先在云日志服务中创建日志组和日志主题，然后再创建VPC流日志。配置流程如下图所示。 图配置VPC流日志 约束与限制 一个用户在单个区域内，最多可创建10个VPC流日志。

本节介绍如何使用多账号管理能力。 说明 多账号管理为公测免费功能，请通过官网工单联系工程师开放此功能。 多账号管理是云防火墙（原生版）为企业级用户打造的功能，支持通过可信服务统一管理多个账号的网络资产（含弹性IP、公网NAT、弹性负载均衡等）实现企业网络安全的集中化、规范化运维，适用于多部门协作、多业务线独立运营的企业场景，有效降低跨账号管理复杂度，提升安全防护效率。 前提条件 拥有云防火墙（原生版）的账号为组织管理员或者委托管理员。 已在云防火墙控制台启用“多账号管理”功能（路径：云防火墙（原生版）> 设置中心 > 多账号管理 > 启用）。 企业中心中已添加至少2个有效账号（账号需完成身份验证与权限授权）。 全账号资产数量低于云防火墙（原生版）开通时可防护的配额上限。 使用前须知 资产同步频率：系统默认每24小时自动同步1次，若需实时获取资产变更，可手动触发“立即同步”（手动同步无次数限制）。 引流路由依赖：删除账号前，需确认该账号的引流路由无业务依赖（可通过“流量分析”页面查看路由的流量情况），避免删除后影响正常业务流量。如需进一步帮助，可联系天翼云客服热线或在控制台提交“工单支持”，天翼云将提供1对1技术指导。

服务名称 交互功能 虚拟私有云（Virtual Private Cloud, VPC） 您可以将VPC接入企业路由器，快速打通云上网络，尤其对于多个VPC互通的组网，免去大量的对等连接配置。 统一身份认证服务（Identity and Access Management, IAM） 针对位于公有云上的企业路由器资源，您可以通过IAM进行精细的权限管理，即为不同的用户设置不同的使用权限，权限管理有助于实现资源的安全管控。 云监控（Cloud Eye） 使用云监控可以监控企业路由器实例以及企业路由器连接的网络情况，并对异常进行报警，保证业务的顺畅运行。 云审计服务（Cloud Trace Service, CTS） 使用云审计服务可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 云防火墙（Cloud Firewall，CFW） 您可以通过企业路由器、虚拟私有云VPC和云防火墙构建组网，实现云上VPC间的流量防护。

本章节主要向您介绍什么是IP地址组。 IP地址组 IP地址组是一个或者多个IP地址的集合，可关联至安全组、网络ACL，用于简化网络架构中IP地址的配置和管理。 对于需要统一管理的IP网段、单个IP地址，您可以将其添加到一个IP地址组内。IP地址组无法独立使用，需要将IP地址组关联至对应的资源，可关联IP地址组的资源说明如下表所示。 资源 说明 示例 安全组 添加安全组规则的时候，源地址和目的地址可以选择IP地址组。 如下图所示，安全组sgA的的入方向规则的源地址使用IP地址组ipGroupA。 网络ACL 添加网络ACL规则的时候，源地址和目的地址可以选择IP地址组。 如下图所示，网络ACLfwA的入方向规则的源地址使用IP地址组ipGroupA。 IP地址组应用示例 对于安全策略相同的多个IP地址，您可以将其添加到一个IP地址组内统一管理，并在安全组内添加针对该IP地址组的授权规则。当IP地址发生变化时，您只需要在IP地址组内修改IP地址，那么IP地址组对应的安全组规则将会随之变更，无需逐次修改安全组内的规则，降低了安全组管理的难度，提升效率。 IP地址组的使用限制 对于关联IP地址组的安全组，其中IP地址组相关的规则对某些类型的云主机不生效，不支持的规则如下： 通用计算型（S1型、C1型、C2型 ） 内存优化型（M1型） 高性能计算型（H1型） GPU加速型（G1型、G2型） 在网络ACL的规则中使用IP地址组时，有以下限制： 对于入方向规则，源地址和目的地址只能有一方使用IP地址组。 对于出方向规则，源地址和目的地址只能有一方使用IP地址组。比如网络ACL入方向规则中的源地址已使用IP地址组，则目的地址只能是IP地址，无法选择IP地址组。

本文向您介绍如何查看Windows云主机的登录日志。 操作场景 本文介绍查看Windows云主机的登录日志方法。 操作步骤 本文操作以Windows2019DC操作系统云主机为例。 1. 登录云主机。 2. 选择“开始 > Windows>管理工具 > 事件查看器”。 图1 事件查看器 3. 打开“Windows日志 > 安全 > 筛选当前日志”。 图2 筛选当前日志 4. 筛选事件ID为4776的事件即为远程登录日志。 图3 筛选远程登陆日志 5. 单击右键查看“事件属性”，即可看到该事件的登录账户。 图4 查看“事件属性”

客户域名可能会因为恶意攻击、网站恶意盗刷等各种恶意访问行为产生突发流量或带宽，进而在CDN产生超出日常正常加速的服务费用。本文侧重介绍如何避免因恶意攻击带来的高额账单风险。 客户域名被恶意盗刷行为产生突发流量或带宽，这种恶意访问会带来高额账单的潜在风险。 注意 客户流量被恶意盗刷而产生突发带宽增高的时候，因为实际消耗了CDN的带宽资源，所以您需要自行承担攻击产生的流量带宽费用。 在攻击行为发生的时候，实际消耗了CDN的带宽资源，因此您需要自行承担攻击产生的流量带宽费用。 应对方法 方法一：设置可用额度预警 通过对客户在天翼云官网账户的可用额度预警进行设置，当用户的余额低于阈值，系统会发送短信提醒。 操作步骤： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。

本节介绍如何添加、复制、删除时间计划。 您可以通过设置防护规则的生效时间段，确保规则仅在指定的时间段内生效。 应用场景 配置测试策略：为测试策略设置生效时间段，在测试期间，策略自动生效，确保测试的顺利进行；在测试结束时，策略会自动失效，无需手动操作。 控制公网暴露：当业务需要对外部开放端口时（例如仅办公时间开放），设置生效时间段可以有效减少公网暴露，降低潜在的安全风险。 特殊时间段的临时需求：临时的公网放行需求，无需担心忘记删除的安全风险。 添加时间计划 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”页面。 5. 切换至“时间计划”页签，单击“添加时间计划”，弹出“添加时间计划”界面，填写参数信息。 参数名称 参数说明 时间计划名称 自定义时间计划的名称。 描述 （可选）标识该计划的使用场景和用途，以便后续运维时快速区分不同计划的作用。 周期计划 添加周期计划 （可选）设置后，规则将在每周的固定时间段生效。 说明 当资源所在时区和本地时区不一致时，需要配置“资源所在时区”，即当前region所属地区的时区。 绝对计划 时间设置方式 当资源所在时区和本地时区不一致时，需要选择“时间设置方式”。防火墙引擎执行时按照“资源所在时区”的时间执行。 本地时区：当前客户端浏览器所属时区。 资源所在时区：云防火墙引擎所在地，即当前region所属地区的时区。 绝对计划 开始时间 设置规则生效的时间。 绝对计划 结束时间 （可选）设置规则失效的时间。 6. 单击“确认”，完成添加。

本文主要介绍如何删除IP地址组。 操作步骤 1.登录管理控制台。 2.在左侧导航树中，单击左上方的，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航栏中，选择“访问控制 > IP地址组管理”，进入IP地址组管理界面。 4.在需要删除的IP地址组所在行的“操作”列，单击“删除”。 5.在弹出的“删除IP地址组”界面，单击“是”，完成删除。 说明 删除IP地址组后无法恢复，请谨慎操作。

分布式消息服务Kafka版完全兼容开源社区版本，旨在为用户提供便捷高效的消息队列。业务无需改动即可快速迁移上云，为您节省维护和使用成本。 一键式部署，免去集群搭建烦恼 专享实例只需要在实例管理界面选好规格配置，提交订单。后台将自动创建部署完成一整套Kafka实例。 兼容开源，业务零改动迁移上云 兼容社区版Kafka的API，具备原生Kafka的所有消息处理特性。 业务系统基于开源的Kafka进行开发，只需加入少量认证安全配置，即可使用分布式消息服务Kafka，做到无缝迁移。 说明：Kafka专享实例兼容开源社区Kafka 1.1.0和2.3.0版本。在客户端使用上，推荐使用和服务端版本一致的版本。 安全保证 独有的安全加固体系，提供业务操作云端审计，消息存储加密等有效安全措施。 在网络通信方面，除了提供SASL认证，还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 数据高可靠 Kafka专享实例支持消息持久化，多副本存储机制。副本间消息同步、异步复制，数据同步或异步落盘多种方式供您自由选择。 集群架构与跨AZ部署，服务高可用 Kafka后台为多集群部署，支持故障自动迁移和容错，保证业务的可靠运行。 Kafka专享实例支持跨AZ部署，节点部署在不同的AZ，进一步保障服务高可用。 无忧运维 公有云提供一整套完整的监控告警等运维服务，故障自动发现和告警，避免724小时人工值守。Kafka专享实例自动上报相关监控指标，如分区数、主题数、堆积消息数等，并支持配置监控数据发送规则，您可以在第一时间通过短信、邮件等获得业务消息队列的运行使用和负载状态。 海量消息堆积与弹性扩容 内建的分布式集群技术，使得服务具有高度扩展性。分区数可配置多达100个，存储空间弹性扩展，保证在高并发、高性能和大规模场景下的访问能力，轻松实现百亿级消息的堆积和访问能力。 多规格灵活选择 Kafka专享实例的带宽与存储资源可灵活配置，并且自定义Topic的分区数。

流程 说明 设置检测规则 默认对系统关键文件、文件路径、文件目录进行实时监控，用户也可以自定义配置监控路径。 查看并处理告警 查看文件变更结果并对结果进行处理。

参数 是否必填 参数类型 说明 示例 下级对象 days 否 int 多少天内证书即将过期的域名个数,不传默认30 10 producttype 否 string 产品类型列表,多个用英文逗号隔开，不传默认所有产品类型，产品类型支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）),“018”(爬虫管理) 006

本章介绍如果快速创建虚拟机配置模板。 在设置迁移目的端前，您可以提前创建虚拟机配置模板。在设置迁移目的端时，选择已创建的虚拟机配置模板，可快速完成虚拟私有云、子网、安全组等参数。

网络模式 打通方式 公网 该方式要求用户集群具备主动访问公网的能力。 若用户集群为三方云集群，可参考三方云VPC下启用NAT主动访问公网配置指引进行操作；若用户集群为本地集群，则需按照本地实际网络情况进行配置，或联系您的网络管理员进行协助。 专线内网 天翼云提供了专业的云产品能力，来支持用户将云下IDC网络或三方云网络与天翼云上VPC网络内网打通。建议可选产品有： 云专线CDA：提供物理专线连接，具有高带宽、低延迟和高可靠性，适合需要高性能连接的场景。 VPN连接：如果对成本敏感且对带宽要求不高，可以选择VPN连接，通过IPsec协议建立加密隧道，实现安全的连接。 具体产品配置指引，请登录天翼云官网对应产品页查看。

网络模式 打通方式 公网 该方式要求用户集群具备主动访问公网的能力。 若用户集群为三方云集群，可参考三方云VPC下启用NAT主动访问公网配置指引进行操作；若用户集群为本地集群，则需按照本地实际网络情况进行配置，或联系您的网络管理员进行协助； 专线内网 天翼云提供了专业的云产品能力，来支持用户将云下IDC网络或三方云网络与天翼云上VPC网络内网打通。建议可选产品有： 云专线CDA：提供物理专线连接，具有高带宽、低延迟和高可靠性，适合需要高性能连接的场景。 VPN连接：如果对成本敏感且对带宽要求不高，可以选择VPN连接，通过IPsec协议建立加密隧道，实现安全的连接。 具体产品配置指引，请登录天翼云官网对应产品页查看。

本章节主要介绍云搜索服务与其他服务的关系。 虚拟私有云（Virtual Private Cloud，简称VPC） 云搜索服务的集群创建在虚拟私有云（VPC）的子网内，VPC通过逻辑方式进行网络隔离，为用户的集群提供安全、隔离的网络环境。 弹性云主机（Elastic Cloud Server，简称ECS） 云搜索服务的集群中每个节点为一台弹性云主机（ECS）。创建集群时将自动创建弹性云主机作为节点。 云硬盘（Elastic Volume Service，简称EVS） 云搜索服务使用云硬盘（EVS）存储索引数据。创建集群时，将自动创建云硬盘用于集群存储。 对象存储服务（Object Storage Service，简称OBS） 云搜索服务的集群快照存储在对象存储服务（OBS）的桶中。 统一身份认证服务（Identity and Access Management，简称IAM） 云搜索服务使用统一身份认证服务（IAM）进行鉴权。 云监控服务（Cloud Eye） 云搜索服务使用云监控服务实时监测集群的指标信息，保障服务正常运行。云搜索服务当前支持的监控指标为磁盘使用率和集群健康状态。用户通过磁盘使用率指标可以及时了解集群的磁盘使用情况。通过集群健康状态指标，用户可以了解集群的健康状态。 云审计服务（Cloud Trace Service，简称CTS） 云审计服务（CTS）可以记录与云搜索服务相关的操作事件，便于日后的查询、审计和回溯。

参数 说明 地域 终端节点服务所在地域，页面左上角可切换地域。不同地域的资源之间内网不互通，为了最优化的性能，请选择靠近您的地域，以降低网络时延并提高访问速度。 名称 终端节点服务的名称。名称由数字、字母、中文、、组成，不能以数字、和开头。 VPC 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，当前支持“接口”类型终端节点服务。 是否自动接收连接 是否自动接收终端节点与终端节点服务的连接，审核权由终端节点服务控制。 可选择“是”或“否”。选择“否”不自动接受连接，则创建的终端节点为“待审核”状态，需要终端节点服务审核后方可使用。 端口映射 终端节点服务与终端节点建立连接，支持通过TCP/UDP协议进行通信。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。 服务端口和终端端口取值范围1～65535，单次操作最多可添加20条端口映射。 访问终端节点服务时，通过“终端端口→服务端口”的方式进行数据传输和通信。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 云主机：作为服务器使用。 物理机：作为服务器使用。 虚拟IP：作为内网IP使用。 内网负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。此处选择“内网负载均衡”。 说明：终端节点服务配置的后端资源所在安全组，安全组添加的规则是白名单，需要添加源地址为198.19.128.0/20的白名单入方向规则，详细操作请参考《虚拟私有云用户指南》中的 后端资源子网 选择后端资源所属的子网。 描述（可选） 可添加终端节点服务相关的描述。

本节介绍翼打印的常见问题。 翼打印策略会与其它外设策略冲突吗？ 翼打印支持USB打印机和网络打印机。如果是网络打印机，则可以同时使用翼打印、打印机重定向和网络打印这三种打印方式；如果是USB打印机，则只能在翼打印、USB重定向和打印机重定向选择其中一种打印方式。 打印失败通常有哪些原因，有什么解决方法？ 打印失败可能与打印机状态、终端网络、翼打印服务等方面的异常有关，需要根据实际情况具体分析。如遇打印失败或打印没响应等问题，建议优先检查打印机状态（如是否缺纸、缺墨）和终端网络情况（如终端是否与打印机网络相通）是否正常，若仍然无法解决，可在天翼AI云电脑客户端内通过报障联系运维人员进行处理。 翼打印的打印水印和打印审计如何使用？ 可联系售前人员试用，再通过运维人员开启相关功能的租户开关后使用。 资源池没有所需打印机的驱动，处理流程是怎样的？ 可在天翼AI云电脑客户端内通过报障联系运维人员进行处理。 AI云电脑没有看到翼打印机通常有哪些原因，有什么解决方法？ 可能原因1：没有配置翼打印策略。 AI云电脑上方工具栏偏好设置USB管理全部，检查外设重定向策略打印机是否为已开启翼打印策略。如果是USB打印机，AI云电脑上方工具栏偏好设置USB管理全部，查看是否识别到打印机，所用的重定向方式是否为云打印。 处理方法：若非翼打印策略，需重新配置。可在天翼AI云电脑客户端内通过报障联系运维人员进行处理。 可能原因2：终端识别不到设备。 网络打印机：终端cmd管理台ping网络打印机IP地址以检查连通性。 usb打印机：AI云电脑上方工具栏偏好设置USB管理全部，查看是否识别到打印机。AI云电脑上方工具栏偏好设置USB管理USB，查看设备是否重定向成功。 处理方法：检查网络打印机网络连通情况，检查打印机是否处理关机/休眠等状态，本地是否能够打印，更换USB线尝试等。若仍然无法解决，可在天翼AI云电脑客户端内通过报障联系运维人员进行处理。 可能原因3：翼打印服务桌面没有安装打印机厂商驱动，可在天翼AI云电脑客户端内通过报障联系运维人员进行处理。 此外，还可用AI云电脑管家一键检测外设检测功能进行异常排查。