对特定存储桶创建卷后，文件系统可以感知OOS侧的操作吗？ 不可以。卷创建完成后，云存储网关不会感知OOS侧对数据的增加或删改操作，为了避免出现数据不一致导致的云存储网关服务故障，请不要从OOS侧发起对已创建卷存储桶的操作。 如何获取部署网关的IP？ 在本地服务器执行如下命令，查看当前系统各网卡对应的IP信息。 ip a 网口作为与Service通信的端口，用户可选择其中一个inet字段对应IP地址作为网关IP。 云存储网关通过专线和OOS连接，需要怎么设置？ 首先查看云存储网关所在服务器和OOS进行专线连接时，分配给OOS的IP地址。 然后配置云存储网关所在服务器/etc/hosts，将OOS的域名指向到该IP地址。以对象存储网络为例： vim /etc/hosts 192.x.x.x ooscn.ctyunapi.cn 一个卷最多能允许多少客户端访问？ 一个卷只能被一个客户端访问。请勿将同一个iSCSI卷挂载到不同的客户端做共享访问使用，云存储网关不支持不同的客户端同时访问同一个iSCSI卷。 网关使用的缓存盘被人为卸载，会对网关有影响吗？ 网关使用的缓存盘如果被人为卸载，可能会造成数据丢失或者磁盘损坏，所以严禁人为卸载网关的缓存盘。如果想卸载网关缓存盘，请确保缓存盘关联的卷已经被删除，并联系天翼云工作人员进行支撑删除该缓存盘。

本文介绍弹性文件服务安全监控告警方面的内容。 云监控服务是天翼云针对云网资源的一项监控服务，弹性文件通过云监控服务提供监控和告警能力。通过查看文件系统的监控数据，您可以了解到文件系统的使用情况。通过设置告警规则可以监控文件系统实例异常情况，保障业务正常进行。 关于弹性文件服务支持的监控指标，以及如何创建监控告警规则等内容，请参见监控。

本节介绍云等保专区产品的产品规格。 注意 云等保专区暂时限制通过控制台新购，若您需要购买此业务请在官网提交工单咨询。 产品套餐说明 等保体系 等保测评项 安全产品名称 二级等保基础版 二级等保高级版 三级等保基础版 三级等保高级版 安全通信网络 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段 下一代防火墙 ✓ ✓ ✓ ✓ 安全区域边界 应具有提供访问控制、边界防护、入侵防范等安全机制 Web应用防火墙 ✓ ✓ ✓ ✓ 安全计算环境 应启用安全审计功能，数据进行安全审计 云安全中心 × ✓ ✓ ✓ 安全计算环境 应启用安全审计功能，数据进行安全审计 日志审计 ✓ ✓ ✓ ✓ 安全计算环境 应启用安全审计功能，数据进行安全审计 数据库审计 × × ✓ ✓ 安全计算环境 应对用户进行身份鉴别、访问控制、运维审计 堡垒机 × ✓ ✓ ✓ 安全计算环境 应能发现已知漏洞，并在经过充分测试评估后，及时修补漏洞 漏洞扫描 × × × ✓ 安全计算环境 应能发现已知漏洞，并在经过充分测试评估后，及时修补漏洞 主机安全 ✓ ✓ ✓ ✓

本文介绍如何在天翼云函数计算控制台创建、查看、编辑和删除应用环境。 创建环境 在函数计算控制台，点击对应的应用进入应用详情页面，您可以点击创建环境按钮，进入环境创建页面。 填写字段说明： 环境名称：一个应用不能出现两个相同的环境名称。 环境类型 ：根据实际的业务诉求选择合适的环境类型，支持测试环境 、预发环境 、生产环境三种环境类型。 描述：环境的描述。 流水线配置 ：环境对应的流水线配置，请见管理流水线。 查看环境 在函数计算控制台，点击对应的应用进入应用详情页面，可以看到当前应用关联的环境列表。 点击对应的环境名称，进入环境详情页面，该页面包含环境详情、流水线管理等2个页签。 环境详情 环境详情页签主要包含应用和环境的基本信息、环境绑定的代码源、部署构建历史以及部署的资源。 流水线管理 您可以在此处配置当前环境的构建流水线，请见管理流水线。 编辑环境 您可以在环境详情页面环境详情页签处，点击环境信息旁的编辑链接，进行编辑环境的描述、分支绑定以及流水线触发方式。 删除环境 您可以在应用详情页，点击对应环境操作列的删除链接，然后您需要确认选择需要删除环境相关的资源，进行删除指定环境。

本章介绍迁移前需要做哪些准备工作。 已注册天翼云账号，并开通天翼云，登陆并完成实名认证。 注册天翼云账号并完成实名认证。 账号充值，且账号余额不少于100元。 建议您目的端账户余额不少于100元，避免迁移过程中欠费，导致迁移失败。主机迁移服务本身免费，但迁移过程中会创建按量付费资源并产生少量费用。详情参考100元余额说明。 已获取帐号迁移权限。 如果使用帐号登录，默认拥有迁移权限，可无需配置迁移权限；如果使用IAM用户登录，请创建用户组并授权进行授权。详情请参考创建用户并授权使用SMS。 已获取目的端帐号的AK/SK。 迁移时使用AK/SK进行鉴权认证，获取目的端帐号的AK/SK操作请参见如何获取AK/SK？（账号）或如何获取AK/SK？。 操作系统要求。 主机迁移服务支持迁移的源端服务器操作系统列表请参见Windows兼容性列表、Linux兼容性列表。 迁移网络要求。 1. 源端能连接到天翼云API Gateway（端口：443）。源端出网方向端口，建议全部开放。 2. 使用IPv6进行迁移时，要求源端支持IPv4/IPv6双栈网络。 3. 源端能连接到目的端。 1. 若使用弹性公网IP连接，目的端需要提前购买和配置正确的EIP。 2. 若使用专线或者VPN，需提前购买和配置正确的专线或VPN。 4. 目的端服务器所属安全组需要开放端口： 1. Windows系统需要开放TCP的8899端口、8900端口和22端口。 2. Linux系统文件级迁移开放22端口。 3. 以上端口，建议只对源端服务器开放。 4. 防火墙开放端口与操作系统开放端口保持一致。

本章介绍如何使用IPv6进行数据迁移。 迁移前准备 已注册天翼云账号，并开通天翼云，登陆并完成实名认证。 注册天翼云账号并完成实名认证。 账号充值，且账号余额不少于100元。 建议您目的端账户余额不少于100元，避免迁移过程中欠费，导致迁移失败。主机迁移服务本身免费，但迁移过程中会创建按量付费资源并产生少量费用。详情参考100元余额说明。 已获取帐号迁移权限。 如果使用帐号登录，默认拥有迁移权限，可无需配置迁移权限；如果使用IAM用户登录，请创建用户组并授权进行授权。详情请参考创建用户并授权使用SMS。 已获取目的端帐号的AK/SK。 迁移时使用AK/SK进行鉴权认证，获取目的端帐号的AK/SK操作请参见如何获取AK/SK？（账号）或如何获取AK/SK？。 操作系统要求。 主机迁移服务支持迁移的源端服务器操作系统列表请参见Windows兼容性列表、Linux兼容性列表。 迁移网络要求。 1. 源端能连接到天翼云API Gateway（端口：443）。源端出网方向端口，建议全部开放。 2. 使用IPv6进行迁移时，要求源端支持IPv4/IPv6双栈网络。 3. 源端能连接到目的端。 1. 若使用弹性公网IP连接，目的端需要提前购买和配置正确的EIP。 2. 若使用专线或者VPN，需提前购买和配置正确的专线或VPN。 4. 目的端服务器所属安全组需要开放端口： 1. Windows系统需要开放TCP的8899端口、8900端口和22端口。 2. Linux系统文件级迁移开放22端口。 3. 以上端口，建议只对源端服务器开放。 4. 防火墙开放端口与操作系统开放端口保持一致。

系统审计用于记录用户在使用本产品时产生的操作,用户可在系统审计功能中查看自己历史的操作详情,方便快速地追溯失败操作和误操作的原因。 可根据时间、操作类型、所属功能 模块字段进行筛选。

本小节介绍日志审计(原生版)功能特性。 日志采集 全面采集网络行为及数据库操作日志、服务器主机及网络设备日志、常规应用及业务系统日志，并对日志进行统一归并处理，便于后续分析。 采集是日志审计（原生版）系统的重要功能模块，它承载了日志或事件采集标准化、过滤、归并功能，是系统进行分析的第一步，用户通过指定需要采集的目标、相关采集参数（Syslog、SNMPTrap等被动方式无需指定）、相关的过滤策略和归并策略等创建日志采集器，以收集相关设备或系统的日志。 不同的系统或设备所产生的日志格式是不尽相同的，这给分析和统计带了巨大的麻烦，所以在日志审计（原生版）系统中内置了众多的标准化脚本以处理这种情形；即便对于某些特殊的设备，如某个系统的新型号，您没有发现相关的解析脚本，日志审计（原生版）系统也提供了相应的定制方法以解决这些问题。 日志检索 基于海量数据的高速检索能力，可以实现多重条件组合的快速检索和精确定位，并且支持事件的交互式检索分析快速生成图表直观呈现分析内容，并能直接保存成仪表板展示。 亿级（TB）原始日志查询耗时低于1秒； 支持简单易用的日志查询普通模式，根据系统预置的查询条件，根据用户需求查询对应的日志，并且支持查询条件的保存，供后续快捷使用； 支持更加精确的高级模式查询，根据页面的指导提示，通过组合查询表达式完成精确查询。

本章节介绍了云主机备份与其他云服务的关系。 弹性云主机（ECS） 云主机备份对弹性云主机中的云硬盘进行备份，支持将备份的数据恢复到弹性云主机的云硬盘中，以便于在弹性云主机数据丢失或损坏时自助快速恢复数据。 对象存储服务（OBS） 云主机备份通过云主机与对象存储服务的结合，将云主机的数据备份到对象存储中，高度保障用户的备份数据安全。 云审计服务（CTS） 云主机备份支持通过云审计服务对备份服务资源的操作进行记录，以便用户可以查询、审计和回溯。 云硬盘备份（VBS） 云主机备份和云硬盘备份均属于备份服务，为租户数据提供备份保护。

本文将以CentOS,Ubuntu操作系统镜像为示例,介绍Linux操作系统进入单用户模式的背景,前提,约束与步骤。 背景介绍 用户模式介绍 Linux操作系统有两种重要的用户模式，一种是多用户模式，一种是单用户模式，具体介绍如下： 多用户模式（multiuser mode）：多用户模式是Linux系统默认的运行模式。在多用户模式下，系统可以同时支持多个用户登录，并运行各种服务和进程。多用户模式提供了完整的功能和服务，包括网络服务、图形界面等。 单用户模式（singleuser mode）：单用户模式是一种特殊的启动模式，提供了一个最小化但强大的环境，允许管理员以超级用户权限进行操作。进入单用户模式后，系统只会加载最基本的服务和功能，只有一个命令行界面，不会启动图形界面和网络服务。 单用户模式应用场景 单用户模式通常应用于以下场景： 系统故障排除和修复：当系统遇到启动问题、文件系统错误、网络配置问题或其他故障时。管理员可以以超级用户权限登录，并执行诊断、修复和恢复任务，如修复文件系统、检查硬件、还原配置文件等。 系统备份和还原：单用户模式提供了对系统磁盘的完全访问权限。这使得管理员可以在单用户模式下执行备份和还原操作，包括创建和还原系统快照、复制重要数据、修复损坏的文件系统等。 系统配置和维护：单用户模式提供了一个干净且最小化的系统环境，使管理员能够进行系统配置和维护操作，而不会受到其他服务或用户的干扰。这包括更新软件包、重建启动引导程序、更改网络配置等。 安全审计：单用户模式可以用于进行安全审计。管理员可以检查系统日志、分析安全事件、查找潜在的漏洞，并采取必要的措施来加固系统和提高安全性。

本节介绍如何修改管道参数信息。 操作场景 管道创建成功后，可对管道 Shard数 、 描述 、生命周期进行修改。 约束与限制 系统创建的数据管道不支持编辑操作。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开已创建的管道。 6. 单击管道名称后的“更多 > 编辑”。 7. 从编辑管道页面中，配置管道参数，参数说明如下表所示。 参数名称 参数说明 数据空间 该管道所属的数据空间。系统默认，不支持修改。 管道名称 您创建管道时设置的名称，创建后不支持修改。 Shard数 该管道的Shard数量。取值范围为：164。 生命周期 该管道内数据的生命周期。取值范围：7180。 描述 可选参数，设置该管道的备注信息。 8. 单击“确定”。

当生产站点因为不可抗力因素（比如火灾、地震）或者设备故障（软、硬件破坏）导致应用在短时间内无法恢复时，异步复制功能可提供服务器级容灾保护。本章节主要介绍通过简单的配置，即可在容灾站点迅速恢复业务。 异步复制流程如图所示： 1. 注册天翼云，为账户充值等，请参见注册天翼云账号章节。 2. 搭建云上容灾专有网络。根据规划的容灾方案，在云上创建用于容灾的VPC和子网。 3. 创建站点复制对。 1. IDC上云：选择容灾站点的区域和可用区，将本地数据中心和创建的云上容灾网络进行关联，建立本地生产站点和云上容灾站点的复制关系。选择“IDC上云”类型时，仅需要配置容灾站点的区域和可用区信息即可。 2. 跨区域：选择生产站点的区域和可用区，以及容灾站点的区域和可用区，将生产站点和容灾站点网络进行关联，建立生产站点和容灾站点的复制关系。选择“跨区域”类型时，生产站点和容灾站点选择不同区域，生产站点和容灾站点均需配置区域和可用区。 3. 跨可用区：选择生产站点可用区和容灾站点的可用区，将生产站点和容灾站点网络进行关联，建立生产站点和容灾站点的复制关系。选择“跨可用区”类型时，生产站点和容灾站点选择同一区域，生产站点和容灾站点只需分别配置可用区。 4. 部署云容灾网关。云容灾网关将生产站点所有被容灾的服务器上的数据进行汇聚和重删压缩加密，并实时同步到容灾站点。 1. IDC上云：系统根据创建的站点复制对信息生成云容灾网关软件，从控制台下载并在本地机房中部署云容灾网关。 2. 跨区域和跨可用区：根据控制台提供的命令获取云容灾网关软件包，并在生产站点部署云容灾网关。 5. 下载并安装代理客户端。代理客户端将所在服务器上的数据实时传输到云容灾网关。 1. IDC上云：根据被容灾服务器的操作系统版本，从控制台下载并在需要保护的生产站点服务器上安装代理客户端。 2. 跨区域和跨可用区：选择被容灾服务器的操作系统和版本，并根据控制台提供的命令获取代理客户端软件包。 6. 创建保护实例。 保护实例是一对拥有复制关系的服务器。系统会自动识别已安装代理客户端的生产站点服务器，选择需要进行容灾的生产站点服务器为其创建保护实例。保护实例创建成功后会自动开启保护，进行数据同步。

本节介绍如何为漏洞扫描v1.0开启/切换IPv6防护。 子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 漏洞扫描系统开通 在设备成功开通后，默认一张网卡设定为管理网卡，以供单点登录设备时使用；需新增一张网卡专门用于业务操作。 漏洞扫描系统开通 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”。 4. 在资源概览页面右上角，单击“立即购买”。 5. 在购买页面配置基础信息（包括区域 、虚拟私有云 、子网、可用区 和CPU分类 ），套餐选择自定义中的漏洞扫描、并进行产品规格配置。 6. 选择购买时长后，勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“立即购买”。完成购买后等待资源开通成功。 新增业务网卡 1. 创建弹性网卡 在天翼云控制中心服务列表页，选择“网络 > 虚拟私有云”；在网络控制台左侧导航栏，选择“弹性网卡”，单击弹性网卡页面右上角的“创建弹性网卡”，配置弹性网卡的区域、名称、VPC、子网、安全组等信息，点击“确定”。 2. 绑定网卡 在云等保专区左侧导航栏，选择“漏洞扫描”，在开通的设备右侧操作列点击“更多 > 绑定网卡”，选中上一步创建的弹性网卡，点击“确定”。 3. 重启漏洞扫描系统 在云等保专区左侧导航栏，选择“漏洞扫描”，在开通的设备右侧操作列点击“更多 > 重启”。 登录漏洞扫描系统 在云等保专区左侧导航栏，选择“漏洞扫描”，在目标资源右侧操作列单击“配置”，进入漏洞扫描系统。 开启IPv6防护 开通漏洞扫描v1.0后，还需要配置网络才能开启IPv6防护，请提交工单联系技术支持进行配置。

本章节将介绍mongoexport和mongoimport工具的使用方法。 mongoexport和mongoimport是MongoDB客户端自带的备份恢复工具。您可以在本地设备或ECS中安装MongoDB客户端，通过mongoexport和mongoimport工具将自建MongoDB数据库或其他云数据库MongoDB迁移至天翼云DDS实例。 要将已有的MongoDB数据库迁移到文档数据库，需要先使用mongoexport工具对它做转储。再通过弹性云服务器或可访问文档数据库的设备，使用mongoimport工具将转储文件导入到文档数据库服务。 使用须知 mongoexport和mongoimport工具仅支持全量数据迁移。为保障数据一致性，迁移操作开始前请停止源数据库的相关业务，并停止数据写入。 建议您尽量选择在业务低峰期迁移数据，避免在迁移过程中对业务造成影响。 不支持迁移系统库admin和local。 确保源库中系统库admin和local没有创建业务集合，如果已经有业务集合，必须在迁移前将这些业务集合从admin和local库中迁移出来。 导入数据之前，确保源端有必要的索引，即在迁移前删除不需要的索引，创建好必要的索引。 如果选择迁移分片集群，必须在目标库创建好要分片的集合，并配置数据分片。同时，迁移前必须要创建好索引。 前提条件 准备弹性云服务器或可访问文档数据库的设备。 − 通过内网连接文档数据库实例，需要创建并登录弹性云服务器，请参见创建弹性云服务器和登录弹性云服务器。 − 通过公网地址连接文档数据库实例，需具备以下条件。 为实例中的节点绑定公网地址，保证本地设备可以访问文档数据库绑定的公网地址。 在已准备的弹性云服务器或可访问文档数据库的设备上，安装数据迁移工具。 安装数据迁移工具，请参见如何安装MongoDB客户端。 说明 MongoDB客户端会自带mongoexport和mongoimport工具。

本章节指导如何创建备份策略。 当需要定期备份云硬盘时，首先需要创建一个备份策略，系统根据您的备份策略决定何时执行备份任务。您可以使用系统提供的默认备份策略，也可以结合实际情况，创建新的自定义备份策略。 通过使用备份策略对云硬盘进行备份，仅当启用备份策略后，系统会在设置的时间自动备份云硬盘数据并删除过期的备份数据。 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 云硬盘备份”。 3. 在“云硬盘备份”界面，单击“策略”页签，进入管理备份策略页面。 该页面显示了已创建的备份策略。展开备份策略，可以看到已绑定到该策略的云硬盘。 4. 单击“创建备份策略”展开设置项，如下图所示。可设置备份策略相关参数。 5. 单击可设置的备份策略相关参数说明如下： 名称： 备份名称只能由中文、英文字母、数字、下划线、中划线组成。长度范围为164个字符，且命名不能以“default”开头。 备份时间： 已绑定备份策略的云硬盘执行备份的备份时间点。只支持在整点进行备份，同时支持选择多个整点进行备份。 备份周期： 按周：每周按照选中的星期进行备份。可以全选。按天：备份周期可选每114天，并可设置在备份当天任意整点开始备份操作。当选择按天备份时，第一次备份的时间与备份策略创建的时间无关。备份策略在创建当月生效。设置了相同备份周期的备份策略的执行备份的时间相同。例如：在某月2日创建备份周期为“每3天”的备份策略，则第一次备份日期为当月4日。"每3天"表示执行备份的日期为每月1日、4日、7日，以此类推。请选择无业务或者业务量较少的时间对云硬盘进行备份。 保留规则： 按时间：可以在下拉菜单选择1个月、3个月、6个月、一年和自定义。自定义天数范围为299999天。按数量：单个云硬盘执行备份策略保留的自动备份总份数。云硬盘备份的越频繁，保留的备份份数越多，对数据的保护越充分，但是占用的存储空间也越大。请根据数据的重要级别和业务量综合考虑选择，重要的数据采用较高的备份频率，且保留较多备份份数。 当备份的份数超过设置的保存数量时，会自动删除最早的备份。删除的备份不会影响其他备份用于恢复。 6. 单击“确定”即成功创建备份策略。

本文介绍镜像服务使用前的准备工作。 注册天翼云账号 在创建和使用镜像服务之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接创建镜像服务。 1. 打开天翼云门户网站，点击“注册”。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击“同意协议并提交” 按钮，如1分钟内手机未收到验证码，请再次点击“免费获取短信验证码”按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 如需实名认证，请参考：会员服务实名认证。 为账户充值 目前，天翼云提供的镜像中，除了个别的公共镜像，例如GPU云主机使用的Windows2019DataCenterGRID13.2镜像外，其他的公共镜像、私有镜像、共享镜像、安全产品镜像均为免费。如果用户采用镜像文件的形式导入私有镜像，用户需要先创建对象存储桶，即用户需要为对象存储付费。 因此，在使用镜像服务前，您需要确保账户有足够金额。 关于如何为账户充值，请参考：费用中心账户充值。 镜像服务计费标准，请参考：计费说明。

移动端投屏 天翼AI云电脑移动客户端作为投屏端，可以通过扫码或输入投屏码方式进行投屏操作。 使用扫码投屏 操作步骤： 1.登录移动设备天翼AI云电脑客户端，在首页左上角，点击“扫一扫”，扫描投屏接收端的投屏二维码； 2.扫码后，可在AI云电脑列表弹窗选择需要投屏的AI云电脑，点击进入即可开始投屏。 3.选择投屏后，即可进行投屏连接。 使用投屏码投屏 操作步骤： 1.登录移动设备天翼AI云电脑客户端，在AI云电脑列表选择进入投屏的AI云电脑； 2.进入AI云电脑后，在顶部工具栏，点击“控制中心”“管理”； 3.在管理页面控制中心入口管理，开启“翼投屏”功能； 4.开启后，在顶部工具栏，点击“控制中心”，可查看到翼投屏功能； 5.点“翼投屏”，弹出投屏界面，输入投屏码进行投屏； 6.输入后等待投屏显示即可，连接成功后投屏接收端会显示如下界面。

移动端投屏 天翼云电脑移动客户端作为投屏端，可以通过扫码或输入投屏码方式进行投屏操作。 使用扫码投屏 操作步骤： 1.登录移动设备天翼云电脑客户端，在首页左上角，点击“扫一扫”，扫描投屏接收端的投屏二维码； 2.扫码后，可在云电脑列表弹窗选择需要投屏的云电脑，点击进入即可开始投屏。 3.选择投屏后，即可进行投屏连接。 使用投屏码投屏 操作步骤： 1.登录移动设备天翼云电脑客户端，在云电脑列表选择进入投屏的云电脑； 2.进入云电脑后，在顶部工具栏，点击“控制中心”“管理”； 3.在管理页面控制中心入口管理，开启“翼投屏”功能； 4.开启后，在顶部工具栏，点击“控制中心”，可查看到翼投屏功能； 5.点“翼投屏”，弹出投屏界面，输入投屏码进行投屏； 6.输入后等待投屏显示即可，连接成功后投屏接收端会显示如下界面。

本文介绍使用天翼云产品前的账号准备工作。 注册天翼云账号 在创建和使用弹性文件服务之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接使用海量文件服务。 1. 打开天翼云门户网站，点击“注册”。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击“同意协议并提交” 按钮，如1分钟内手机未收到验证码，请再次点击“免费获取短信验证码”按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 进行实名认证，请参考会员服务实名认证。 为账户充值 使用海量文件服务之前，请保证你的账户有充足的余额。 关于如何为账户充值，请参考费用中心账户充值。 海量文件服务计费标准，请参考产品价格。

资源 类型 描述 天翼云帐户 全球性 您可以在所有区域使用同一个天翼云帐户。 资源标识符 区域性 每个资源的标识符（例如，实例ID、云硬盘ID、虚拟私有云ID）都与其区域相关联。 用户自定义的资源名称 区域性 每个资源名称（例如，安全组名称、密钥对名称）都与其区域相关联。尽管可以在多个区域创建名称相同的资源，但它们之间并无关联。 虚拟私有云 区域性 虚拟私有云与区域相关联，只能与同一区域的实例相关联。 弹性IP 区域性 弹性IP与区域相关联，只能与同一区域的实例相关联。 安全组 区域性 安全组与区域相关联，只能分配给同一区域的实例。 镜像 区域性 镜像与区域相关联，只能与同一区域的实例相关联。 实例 可用区 实例与可用区相关联，实例ID与区域相关联。 磁盘 可用区 磁盘与可用区相关联，只能挂载到同一可用区的实例上。 子网 可用区 子网与可用区相关联，只能与同一可用区的实例相关联。

本节为您介绍云迁移服务迁移时限制数据访问相关内容。 云迁移期间限制对数据的访问对于力求安全传输信息的企业来说是至关重要的一步。您应该采取多个步骤来确保只有预期的用户才能在必要时访问数据。这些步骤包括如下： 实现和实施用户级身份验证和授权规则。 建立可靠的双因素身份验证流程。 使用来自云提供商的内置安全策略。 传输之前加密所有数据。 迁移期间定期审计谁拥有访问权。 迁移过程中，对拥有敏感信息的系统完成定期的漏洞扫描。 删除与被解雇员工相关的任何凭据或访问密钥。

桶策略和ACL的关系 桶ACL可以授权用户对桶及桶内对象进行读写和权限控制操作，而桶策略可以授权用户操作桶的更多高级设置。 对象ACL则是授权用户对桶内对象进行具体的读写操作。 如何选择？ 以下情况推荐使用桶策略： 不同的用户需要使用不同的权限时。 用户需要使用桶的高级配置功能时。 以下情况推荐使用ACL： 需要对单独对象进行额外的授权时。 需要开放某个对象给所有匿名用户访问时。 仅对桶或对象需要基础的读写权限时。 映射关系 桶ACL用于桶基本的读写权限设置，而桶策略用于授权更精细化的访问权限，包括资源与动作。桶ACL是基本的桶策略，可以被桶策略替代管理桶的访问权限。 桶策略动作的映射关系如下表： ACL权限 选项 对应桶策略高级设置中的动作 桶访问权限 读取权限 HeadBucket ListBucket ListBucketVersions ListBucketMultipartUploads 桶访问权限 写入权限 PutObject DeleteObject DeleteObjectVersion ACL访问权限 读取权限 GetBucketAcl ACL访问权限 写入权限 PutBucketAcl 对象ACL和桶策略的映射关系如下表： 对象ACL权限 选项 对应桶策略高级设置中的动作 对象访问权限 读取权限 GetObject GetObjectVersion ACL访问权限 读取权限 GetObjectAcl GetObjectVersionAcl ACL访问权限 写入权限 PutObjectAcl PutObjectVersionAcl 相关概念 账号/天翼云用户：指开通了天翼云的用户，该用户拥有对其资源的完全控制权限。 匿名用户：指未开通天翼云的用户或来自互联网的所有访客。

此小节介绍云堡垒机的安全声明。 在操作CBH前请仔细阅读，避免出现网络安全事件。 账户管理 云堡垒机系统的系统管理员默认账号为 admin ，登录密码为申请实例时自定义设置的密码。 在首次登录云堡垒机系统后，请按照系统提示修改密码，否则无法进入系统运行页面。 密码管理 为充分保证安全，建议您设置的各类密码满足以下要求： 在首次登录云堡垒机系统后，请按照系统提示修改密码和配置手机号码，否则无法进入云堡垒机系统。 密码必须满足密码安全策略： 长度范围：8~32个字符，不能低于8个字符，且不能超过32 个字符。 规则要求：可设置英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符，且需同时包含其中三种。 不能设置为用户名或倒序的用户名。 建议定期修改密码，以提高登录账户的安全性。 特性声明 您购买的产品、服务或特性等应受天翼云科技有限公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 云堡垒机支持HTTPS访问协议，不支持HTTP访问协议。 请在法律法规允许的目的和范围内使用。

配置日志外发 日志外送提供Kafka外送功能，Kafka外送模块是 APIG 系统的通用外发功能，支持配置外发接口以及外发任务来管理通过Kafka方式外发，有固定模板供客户选择。通过Kafka外送发送日志的格式可以根据实际的情况进行调整。 1.登录API安全网关。 2.在左侧导航栏选择“通知外送 > 日志外送”，进入Kafka页签。 3.在“外送接口”区域，单击“新增”按钮，开始新增Kafka外送接口。 配置项 说明 名称 日志外送接口的名称。必须为中文字符、字母、数字、“”、“.”或“”，长度不超过 64 字符。 Kafka节点地址 Kafka服务器的IP（域名）及端口号。例如：192.168.0.1:9200。 Kafka主题 消息投放到Kafka服务器的主题。 Kafka分区 消息投放到的Kafka服务器的分区。Kafka服务器通过主题（topic）、分区（partition）和消费组（consumergroup）三个概念灵活适应各种消息场合，通过提升硬件资源利用率提高系统吞吐量。 以上Kafka相关配置与服务器端保持一致即可。 审计日志模板 设置发送审计日志的模板，具体字段请依据填写说明编辑。 操作日志模板 设置发送操作日志的模板，具体字段请依据填写说明编辑。 告警日志模板 设置发送告警日志的模板，具体字段请依据填写说明编辑。 流量控制日志模板 设置发送流量控制日志的模板，具体字段请依据填写说明编辑。 4.配置完成后，选择“外送任务”，开始新增Kafka外送任务。 配置项 说明 任务名称 日志外送任务的名称。必须为中文字符、字母、数字、“”、“.”或“”，长度不超过 64 字符。 日志类型 审计日志、操作日志、告警日志、流量控制日志 外送接口 选择维护好的外送接口 满足条件协议 默认全部

在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，限制不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Admin：弹性伸缩服务的管理者权限，包含弹性伸缩所有控制权限（不含订单类权限）。 Viewer:弹性伸缩服务的观察者权限，包含弹性伸缩服务的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

稳定可靠的高可用架构 多资源池分散部署，异地容灾机制安全可靠；运营商级带宽扩容能力，可支持高并发业务接入防护；采用集群+冗余高可用模式，消除单点故障；全面满足各场景下的高可用需求。 满足等保合规要求 与云原生安全产品深度融合，针对云上云下资产，形成纵深防护体系以及融合防护视角，支持ELB/ALB/ECS等云产品一键接入，与证书管理服务、云安全中心、云防火墙（原生版）等原生安全产品协同联动，一站式完成云上安全统一监控和管理，助力企业安全合规建设；深度兼容IPv6双栈协议，满足等保2.0、GDPR等国内外合规要求，针对政务、金融等强监管行业，提供数据本地化、审计日志隔离存储等专项方案，助力客户通过安全审查与合规验收。

函数计算权限管理通过天翼云的访问控制IAM实现。使用访问控制IAM可以让您避免与其他用户共享云账号密钥，即AccessKey（包含AccessKey ID和AccessKey Secret），按需为IAM用户分配最小权限。本文介绍函数计算的权限策略，包括系统策略、自定义策略及自定义策略示例。 策略类型 在访问控制中，权限策略是用语法和结构描述的一组权限的集合，可以精确地描述被授权的Resource（资源集）、Action（操作集）以及授权条件。函数计算包含以下权限策略： 系统策略：统一由天翼云创建，您只能使用不能修改，策略的版本更新由天翼云维护。 自定义策略：您可以自主创建、更新和删除，策略的版本更新由您自己维护。 系统策略 当您首次使用IAM用户登录函数计算控制台时，不仅需要通过天翼云账号给您的IAM用户添加访问函数计算的系统权限策略，也需要给IAM用户添加访问其他云服务的系统权限策略。成功授权后，您的IAM用户才可以正常访问函数计算服务及其他云产品服务。 系统策略包含以下类型： 权限策略名称 描述 CtyunFCReadOnlyAccess 表示允许对函数计算所有的资源进行读操作。 CtyunFCInvocationAccess 表示允许对所有函数的资源进行执行操作。 CtyunFCFullAccess 表示允许对所有函数计算资源进行所有执行操作。 自定义策略 除了函数计算默认提供的系统策略外，您也可以通过自定义策略进行更细粒度的权限管理。 Action Resource 描述 cf:inst:ListFunctions ctrn:cf:{region}:{uid}:functions/ 函数列表 cf:inst:GetFunction ctrn:cf:{region}:{uid}:functions/{functionName} 查询函数 cf:inst:CreateFunction ctrn:cf:{region}:{uid}:functions/{functionName} 创建函数 cf:inst:DeleteFunction ctrn:cf:{region}:{uid}:functions/{functionName} 删除函数 cf:inst:UpdateFunction ctrn:cf:{region}:{uid}:functions/{functionName} 更新函数 cf:inst:InvokeFunction ctrn:cf:{region}:{uid}:functions/{functionName} 调用函数 您可以通过以上自定义的权限策略设置具有调用华东1（杭州）地域下demo函数的权限，具体策略如下所示： json { "Version": "1", "Statement": [ { "Action": [ "fc:InvokeFunction" ], "Resource": "ctrn:cf:{region}:{uid}:functions/demo", "Effect": "Allow" } ] }

您可以通过快捷链接实现快速访问已开通服务。 如果用户需要访问虚拟私有云（VPC）、云间高速（标准版），或者用户已经开通了“日志审计”、“防火墙”业务，可通过快捷链接实现快速访问“虚拟私有云”、“云间高速(标准版)”、“日志审计”、“防火墙”等服务。 如果您想了解如何开通“日志审计”、“防火墙”业务，可联系您的客户经理进行咨询。

本节主要介绍OBS产品与其它服务的关系。 功能 相关服务 通过IAM服务实现以下功能： 用户身份鉴权 IAM用户权限设置 IAM委托设置 统一身份认证服务（Identity and Access Management，IAM） 标签用于标识OBS中的桶，以实现对OBS中的桶进行分类。 标签管理服务（Tag Management Service，TMS） 通过密钥管理KMS功能对上传到OBS中的文件进行加密。 数据加密服务（Data Encryption Workshop，DEW） OBS可以作为其他云服务的存储资源池，例如关系型数据库（RDS），镜像服务（IMS），云审计服务（CTS）等。

本节介绍登录天翼云电脑（政企版）控制台的操作指导。 操作场景 登录AI云电脑（政企版）控制台后，才能进行如下业务操作： 订购并管理资源包：管理员可先订购包括AI云电脑计算、存储和网络配额的资源包，然后再通过使用资源包为终端用户分配AI云电脑实例、配置数据盘及上网带宽。 创建并管理AI云电脑：可以通过资源包或单实例方式开通Windows系统、Linux系统的AI云电脑，可以查看和管理租户下所有AI云电脑的使用情况。 管理组织结构：在管理控制台上创建部门、角色、用户、子账号等，更好地维护管理台用户的组织架构。 管理网络：管理员可自主配置和管理虚拟网络环境。可配置虚拟私有云（VPC）、业务子网、网络安全组、上网带宽等。 管理策略：管理员可以通过配置策略，对用户终端与AI云电脑之间的数据传输和外设接入的权限进行控制。 通过产品详情页进入 1. 使用管理员帐号登录天翼云门户； 2. 前往天翼AI云电脑（政企版）产品详情页面； 3.在产品详情页面点击“管理控制台”进入即可。

本章主要介绍翼MapReduce的修改LDAP管理帐户密码功能。 操作场景 建议管理员定期修改集群LDAP管理帐户“cnkrbkdc,ouUsers,dchadoop,dccom”和“cnkrbadmin,ouUsers,dchadoop,dccom”的密码，以提升系统运维安全性。 对系统的影响 修改密码后需要重启KrbServer服务。 修改密码后需要确认LDAP管理帐户“cnkrbkdc,ouUsers,dchadoop,dccom”和“cnkrbadmin,ouUsers,dchadoop,dccom”是否被锁定，在集群主管理节点上执行如果下命令查看krbkdc是否被锁定（krbadmin用户方法类似）： 说明 oldap端口查询方法： 1. 登录FusionInsight Manager，选择“系统 > OMS > oldap > 修改配置”； 2. “Ldap服务监听端口”参数值即为oldap端口。 ldapsearch H ldaps://OMSFLOAT IP地址:OLdap端口 LLL x D cnkrbkdc,ouUsers,dchadoop,dccom W b cnkrbkdc,ouUsers,dchadoop,dccom e ppolicy 输入LDAP管理帐户krbkdc的密码，出现如下提示表示该用户被锁定，则需要解锁用户，具体请参见解锁LDAP用户和管理帐户。 ldapbind: Invalid credentials (49); Account locked 前提条件 已确认主管理节点IP地址。 操作步骤 1.以omm用户通过管理节点IP登录主管理节点。 2.执行以下命令，切换到目录。 cd ${BIGDATAHOME}/omserver/om/meta0.0.1SNAPSHOT/kerberos/scripts 3.执行以下命令，修改LDAP管理帐户密码。 ./okerberosmodpwd.sh 输入旧密码后，再输入两次新密码。 密码复杂度要求： 密码字符长度为16～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@

限制 项 具体要求 说明 数据库实例 客户使用数据库专家服务进行服务的实例必须是客户具有权限的实例（客户自己的、客户被授权运维或类似实例）。 为防止产生安全问题和纠纷，客户使用数据库专家服务进行服务的实例必须是客户具有权限的实例。若客户违反该约定，天翼云有权立即终止客户对数据库专家服务的使用，且造成的天翼云及任何第三方的全部损失均由客户承担。 数据库权限 天翼云数据库专家在提供服务时，客户需要保证向天翼云进行必要的数据库授权。 客户需向天翼云进行必要的数据库授权，以便数据库专家提供服务。天翼云承诺按约定提供服务，并不将采集的任何数据泄露、披露或用于其他目的。