本文为您介绍在本地客户端通过FTP上传文件时,写入文件或者传输文件失败的问题处理方法。 故障描述 使用FTP上传文件时，写入文件或者传输文件失败。 约束与限制 本文档适用于服务端为Windows系统上的FTP服务。 故障原因 弹性公网IP与内网IP是通过NAT方式绑定的，因此本地访问弹性云主机时，客户端是通过被动模式连接服务端的，在这种情况下，服务端的IP地址无法从路由器外部访问，所以需要在服务端的对外IP中填写此弹性云主机分配的公网IP，同时设置数据传输端口范围来限制需要通过路由器转发的端口数量。 解决步骤 1. 检查FTP服务的地址是否填写正确 点击“ 服务器管理器 > 工具 > Internet Information Services(IIS)管理器” ，然后选择左边栏点击“ 网站” 。首先查看建立的FTP绑定的IP是否填写的是内网IP，类型为FTP。 图1 查看FTP所绑定的IP 2. 检查服务端的FTP防火墙支持配置 展开“ 网站” ，会显示建立的FTP服务，双击右侧的FTP防火墙支持。 图2 FTP防火墙支持 数据通道端口范围需要填写102465535范围内的，比如2000020045。 防火墙的外部IP地址这一栏需要填写分配到的 公网IP 。 3. 检查安全组设置 点击“ 控制中心 > 服务列表 > 弹性云主机” ，选择对应的可用区，然后再展示出来的弹性云主机列表里选择需要的弹性云主机，然后双击这个弹性云主机，即可打开详情页面。在下方选择“ 安全组” ，然后查看详细的安全组配置，是否在入方向里已经正确配置了端口21和上面配置的数据通道端口这两条。 图3 安全组配置 4. 在客户端测试 一种方法是使用FileZilla填写弹性云主机的公网ip，FTP的用户名和密码，端口填写21。 另一种方法是访问ftp://弹性云主机公网ip:服务端的端口（如果不填为21），然后在弹出的对话框里输入FTP的用户名和密码。

网络类型 使用场景 准备工作 VPC网络 适合云上同区域数据库之间的同步。 源数据库所在的区域要和目标数据库实例所在的区域保持一致。 源数据库可以和目标数据库在同一VPC内，也可以在不同VPC内。 当源数据库和目标数据库处于同一个VPC内的时候，默认网络是连通的，不需要单独设置安全组。 当源数据库和目标数据库不在同一个VPC内的时候，要求源数据库和目标数据库所处的子网处于不同网段，不能重复或交叉， 此时需要通过对等连接实现网络互通。针对这种情况，DRS会在测试连接时自动按照单IP最小范围打通建立路由。 VPN网络 适合通过VPN网络，实现其他云下自建数据库与云上数据库之间的实时同步、或云上跨Region的数据库之间的实时同步。 用户需要确保本地数据中心和目标数据库所在VPC的VPN网络建立连接，确保VPN网络可正常访问的前提下，再进行数据同步。 专线网络 适合通过专线网络，实现其他云下自建数据库与云上数据库之间的实时同步、或云上跨Region的数据库之间的实时同步。 用户需要通过专线网络建立云与数据中心的专线连接。 公网网络 适合通过公网网络把其他云下或其他平台的数据库同步到目标数据库 为了确保源数据库和目标数据库之间的网络互通，源数据库端和目标数据库端分别需要进行如下设置： 1.开启公网访问 源数据库端实例需要根据具体的场景，由用户端开启公网访问。 2.设置安全组规则 源数据库需要将DRS同步实例的弹性IP添加到其网络入口白名单内，使源数据库与DRS同步实例可以连通。 由于目标数据库和DRS同步实例处于同一个VPC内，默认网络是连通的，不需要单独设置安全组。 说明 DRS同步实例创建成功后，可在“源库及目标库”页面获取DRS同步实例的弹性公网IP。 在选择公网网络进行同步时，如果没有开启SSL安全连接加密同步链路的功能，请确保待同步的数据为非机密数据，再进行数据同步。

此小节介绍数据库安全如何查看审计报表。 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计的所有数据库进行审计。添加的数据库连接到数据库安全审计实例后，您可以立即生成审计报表，并在线预览或下载审计报表。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 立即生成审计报表 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入报表管理页面，操作步骤如下图所示。 4. 在需要生成报表的模板所在行的“操作”列，单击“立即生成报表”，如下图所示。 5. 在弹出的对话框中，单击，设置报表的开始时间和结束时间，选择生成报表的数据库，如下图所示。 6. 单击“确定”。 系统跳转到“报表结果”页面，您可以查看报表的生成进度。报表生成后，您可以预览或下载报表。 预览或下载审计报表 预览或下载审计报表前，请确认报表的“状态”为“100%”。 如果您需要在线预览报表，请使用Google Chrome或Mozilla FireFox浏览器。 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入报表结果页面，操作步骤如下图所示。 4. 在需要预览或下载的报表所在行的“操作”列，单击“预览”或“下载”，如下图所示，在线预览报表结果，或下载并查看报表。 设置报表的执行任务 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入报表管理页面，操作步骤如下图所示。 4. 在需要立即生成报表的模板所在行的“操作”列，单击“设置任务”，如下图所示。 5. 在弹出的对话框中，设置计划任务参数，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 启动任务 开启或关闭计划任务。 邮件通知 开启或关闭邮件通知。数据库安全审计默认开启邮件通知，当数据库生成报表时，数据库安全审计将发送通知邮件。 报表类型 选择生成的报表类型，可以选择：l 日报l 周报l 月报 日报 执行方式 选择报表执行的方式，可以选择：l 执行一次l 周期执行 执行一次 执行时间 选择报表执行的时间点。 18点 格式 当前支持PDF格式。 PDF 数据库 选择执行报表任务的数据库。 6. 单击“确定”。

参数 解释 取值样例 区域 区域也称为Region。创建的伸缩配置所在的区域。 名称 创建伸缩配置的名称。 类型规格 公有云提供了多种类型的弹性云主机供您选择，针对不同的应用场景，可以选择不同规格的弹性云主机。根据您选择的“云主机类型”的类型，配置相应的规格参数，包括vCPU、内存、镜像类型和磁盘。 内存优化型 镜像 公共镜像 常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。请根据您的实际情况自助配置应用环境或相关软件。 私有镜像 用户基于弹性云主机创建的个人镜像，仅用户自己可见。包含操作系统、预装的公共应用以及用户的私有应用。选择私有镜像创建弹性云主机，可以节省您重复配置弹性云主机的时间。 共享镜像 用户将接受公有云其他用户共享的私有镜像，作为自己的镜像进行使用。 公共镜像 磁盘 包括系统盘和数据盘。 系统盘 普通IO：是指由SATA存储提供资源的磁盘类型。 高IO：是指由SAS存储提供资源的磁盘类型。 超高IO：是指由SSD存储提供资源的磁盘类型。 通用型SSD：是指由GPSSD存储提供资源的磁盘类型。极速型SSD：是指由ESSD存储提供资源的磁盘类型。 数据盘 您可以为云主机添加多块数据盘，或者从指定的数据盘镜像导出数据到某个数据盘。 “系统盘”选为“普通IO” 安全组 安全组是一个逻辑上的分组，用来实现安全组内和组间弹性云主机的访问控制，加强弹性云主机的安全保护。用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 弹性IP 弹性IP是指将公网IP地址和路由网络中关联的弹性云主机绑定，以实现虚拟私有云内的弹性云主机通过固定的公网IP地址对外提供访问服务。您可以根据实际情况选择以下两种方式： 不使用：弹性云主机不能与互联网互通，仅可作为私有网络中部署业务或者集群所需弹性云主机进行使用。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽值可以由您设定。 自动分配 登录方式 云平台提供两种弹性云主机鉴权方式。 密钥对：指使用密钥作为弹性云主机的鉴权方式。如果选择此方式，请在密钥对页面先创建或导入密钥对。如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件，否则，将影响您正常登录弹性云主机。 账户密码：指使用设置root用户（Linux操作系统）和Administrator用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。 Admin@123 高级配置 高级配置可对文件注入、用户数据注入进行配置。可选择“暂不配置”和“现在配置”。 实例自定义数据注入 可选配置，主要用于创建弹性云主机时向弹性云主机注入用户数据。配置实例自定义数据注入后，弹性云主机首次启动时会自行注入数据信息。 对于Linux云主机，如果选择密码方式登录鉴权，此时不能使用实例自定义数据注入功能。

本文主要介绍如何获取访问密钥(AK/SK)。 访问密钥即AK/SK（Access Key ID/Secret Access Key），是您通过开发工具（API、SDK）访问部分云服务平台时的身份凭证，不能登录控制台。系统通过AK识别访问用户的身份，通过SK进行签名验证，通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。 获取AKSK操作说明 1. 通过实名认证的账号登录天翼云。 2. 进入天翼云账号中心。 3. 点击【安全设置】进入安全设置中心 4. 在用户AccessKey模块，可创建AKSK，或直接查看已生成的AKSK。

Web应用防火墙对网站业务流量进行多维度检测和防护，降低数据被篡改、失窃的风险。 精准高效的威胁检测 采用规则和AI双引擎架构，默认集成最新的防护规则和优秀实践。 企业级用户策略定制，支持拦截页面自定义、多条件的CC防护策略配置、海量IP黑名单等，使网站防护更精准。 0day漏洞快速修复 专业安全团队724小时运营，实现紧急0day漏洞2小时内修复完成，帮助用户快速抵御最新威胁。 保护用户数据隐私 支持用户对攻击日志中的账号、密码等敏感信息进行脱敏。 支持PCIDSS标准的SSL安全配置。 支持TLS协议版本和加密套件的配置。

低门槛容器化，全套微服务治理 CAE 让您免运维 K8s 基础设施，秒级完成从代码包、Docker 镜像部署任意语言的在线应用（如微服务、Web 服务），并自动弹性伸缩按量计费。平台内置免费 Nacos 注册中心，支持 Spring Cloud 无侵入迁移，开箱即用服务注册发现、限流降级、无损上下线及全链路灰度等全套微服务治理能力，极简助力业务容器化转型。 开放标准，自主无忧 基于标准容器与Kubernetes生态构建，避免厂商锁定。您的应用可平滑迁移至任意兼容K8s的平台，保障业务长期发展的灵活性与自主权。 安全可靠，专注业务 底层采用安全容器技术，网络层通过VPC实现租户级强隔离，为您的应用与数据提供从基础设施到网络的双重安全保障，让您安心专注于业务创新。 生态集成，开箱即用 深度集成天翼云负载均衡（ELB）、文件存储（SFS）、对象存储（ZOS）等IaaS服务，以及微服务引擎（MSE）、应用监控（ARMS）等PaaS生态，提供一站式、高内聚的完整解决方案，大幅提升开发和运维效率。

介绍分布式消息服务RocketMQ与天翼云其他服务关系。 虚拟私有云(CTVPC ，Virtual Private Cloud) 虚拟私有云为分布式消息服务RocketMQ提供一个逻辑隔离的区域，构建一个安全可靠、 可配置和管理的虚拟网络环境。更多信息请参见虚拟私有云。 弹性云主机（CTECS，Elastic Cloud Server） 分布式消息服务RocketMQ订购后，默认按照用户选择的实例规格开通弹性云主机，云主机由 CPU、内存、镜像、云硬盘组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保分布式消息服务RocketMQ持久稳定运行。更多信息请参见弹性云主机。 云硬盘（CTEVS，Elastic Volume Service） 分布式消息服务RocketMQ订购后，默认按照用户选择的存储大小开通云硬盘。云硬盘是一种可弹性扩展的块存储设备，可以为分布式消息服务RocketMQ提供高性能、高可靠的块存储服务。更多信息请参见云硬盘。

本文为您介绍什么是算力专网。 产品介绍 算力专网产品依托于中国电信CN2DCI承载网，采用多协议标签交换（MPLS）或SRv6+EVPN方式，为客户提供上网、入云、多站点/多云组网的虚拟专网业务，支持客户总部/分支等普通站点、天翼云资源池站点和第三方公有云站点的接入，实现业务自动开通、带宽随选和业务可视等特性。 算力专网的组网示意图如下图所示：

云搜索服务已接入云审计服务。通过云审计服务，您可以查询云搜索服务相关的操作事件，便于日后的查询、审计和回溯。 云搜索服务默认接入云审计服务，云审计服务是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 前提条件 开通云搜索服务实例对应资源池的云审计服务。 开通云审计服务建议您从官网对应资源池“控制中心”>“管理与部署”>“云审计”进入开通。 操作步骤 您可通过云审计控制台查看云搜索服务近7天的相关操作。具体查看方法参见查看审计事件。 当前已纳入云审计的关键操作列表 操作名称 资源类型 创建实例 instance 查询实例详情 instance 修改实例密码 instance 扩容实例 instance 扩容存储容量 instance 扩容专属节点 instance 实例规格升配 instance 安全模式修改 instance 下载安全证书 instance 重启实例 instance 开启日志服务 instance 关闭日志服务 instance 开启审计日志 instance 关闭审计日志 instance 开启实例公网访问 instance 修改实例公网访问 instance 关闭实例公网访问 instance 开启Kibana&Cerebro公网访问 instance 修改Kibana&Cerebro公网访问 instance 关闭Kibana&Cerebro公网访问 instance 开启快照能力 snapshot 关闭快照能力 snapshot 开启自动快照 snapshot 关闭自动快照 snapshot 手动创建快照 snapshot 恢复快照 snapshot 删除指定快照 snapshot 修改参数配置 instance 安装插件 instance 卸载插件 instance 获取参数配置列表 instance 修改参数配置 instance 绑定ELB instance 解绑ELB instance

相关产品 用途 通过智能解析实现用户就近接入，边缘节点智能分离动静态内容，静态内容多级缓存、就近获取，动态内容通过智能路由、协议优化、链路优化、内容优化等多项自研技术实现高质量路径回源，从而解决因网络拥堵、链路抖动、流量突增等因素导致的访问响应慢的问题，显著提升源站性能及用户体验。适用于纯动态加速、动静态一体化的站点加速、上传加速、websocket加速、IPv6升级等场景。 基于天翼云先进的内容接入与分发网络和大规模分布式实时视频处理技术，保证服务的高可用性和传输速度，为用户提供低延迟、高并发、高清流畅的观看体验，适用于网路电视直播、赛事直播、游戏直播、秀场直播、全民直播等音视频直播播放业务场景。 依托全国各地的分布式边缘资源，实现网络底层对性能、安全、算力原子能力编排融入统一网络，实现多终端、多协议（5G/L3/L4/L7等）allinone的网络统一接入，满足不同场景需求的性能及安全智能边缘网络。 媒体存储（CTXStor，原对象存储融合版）是天翼云基于云原生数据存储和视频处理技术，为客户提供的一种针对海量视频、图片及其他非结构化数据存取和处理需求的分布式存储服务，具有弹性灵活、安全可靠、高性价比等优点，支持多种存储协议及提供多档资源类型，深度匹配各类行业场景应用。

本章节主要介绍如何登录集群节点。 本章节介绍如何使用弹性云主机管理控制台上提供的远程登录（VNC方式）和如何使用密钥或密码方式（SSH方式）登录MRS集群中的节点，远程登录主要用于紧急运维场景，远程登录弹性云主机进行相关维护操作。其他场景下，建议用户采用SSH方式登录。 说明 如果需要使用SSH方式登录集群节点，需要在集群的安全组规则中手动添加入方向规则：其中源地址为“客户端IPV4地址/32(或者客户端IPV6地址/128)”，端口为22，具体请参见“虚拟私有云 > 用户指南 > 安全性 > 安全组 > 添加安全组规则”。 登录弹性云主机（VNC方式） 1.登录MapReduce服务管理控制台。 2.选择“集群列表 > 现有集群”，选中一个运行中的集群并单击集群名，进入集群基本信息页面。 3.在“节点管理”页签单击Master节点组中某一Master节点名称，登录到弹性云主机管理控制台。 4.单击右上角的“远程登录”。 5.根据界面提示，输入Master节点的用户名和密码。 创建集群时登录方式选择了“密码”。此时，你需要输入的用户名、密码分别是root和创建集群时设置的密码。 创建集群时登录方式选择了密钥对，则使用如下方式登录： a. 创建集群成功后，参见“虚拟私有云 ​> 用户指南 ​> 虚拟IP”章节中的相关内容，为集群的Master节点绑定一个弹性IP地址。 b. 使用root用户名和密钥文件，SSH方式远程登录Master节点。 c. 执行passwd root命令，设置root用户密码。 d. 设置成功后，返回界面登录方式，输入root用户名和步骤5.2.c设置的密码，登录节点。

配置完成后管理规范 信息复核：配置完成后，在“详情页”核对客户名称、模型 ID、URL、API 配置等信息，确保与目标服务一致。 连通历史跟踪：通过“连通历史”查看测试耗时、状态与错误日志，留存校验记录，便于后续问题追溯。 配置更新机制：当目标服务的 URL、鉴权凭证、模型标识发生变更时，需及时更新测评目标配置，并重新执行连通性测试，确保测评流程持续可用。 关键注意事项 占位符规范：非标接口配置中，[prompt]占位符为测评提示词注入的关键标识，禁止删除或修改；随机数场景统一使用[random]占位符，确保测评场景的随机性与规范性。 安全合规要求：API 密钥、Token 等敏感信息需按平台规范录入，禁止明文泄露或存储在非安全字段中，避免凭证泄露风险。 重试机制：单次连通性测试失败后，需根据错误日志定位根因，修正配置后再发起重试，避免无意义的重复测试占用系统资源。

接口功能介绍 修改堡垒机的安全组。 接口约束 天翼云用户。 URI POST /osm/v2/console/changeSecurityGroup 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 vmId 是 String 堡垒机id osm83489234 securityGroupIds 是 String 多个安全组id，以英文逗号隔开 secid1,secid2 响应参数 参数 参数类型 说明 示例 下级对象 error String 接口错误详情 statusCode String 接口请求状态码 00000表示成功，其他为失败 message String 请口操作结果说明 操作成功或失败说明 returnObj Object 返回对象 枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body { "vmId": "700c065cbbd35b8aa07d551dba4a5141", "securityGroupIds":"secid1,secid2" } 响应示例 { "statusCode": "00000", "message": "操作成功", "returnObj":{} } 状态码 请参考 状态码 错误码 请参考 错误码

本章节为您介绍如何快速使用API安全网关 使用前准备 首先您需要准备一个可访问的服务端，此处示例使用 服务； 确保您已经登录 API安全网关系统，并修改相应用户配置，如登录密码、登录超时时间。 创建服务 1. 填写服务名称、目标节点主机名和端口，其余字段默认，点击下一步。 2. 插件配置不启用，点击下一步。 3. 预览保存服务。 创建API 1. 单击服务列表的“API”进入 API页面，创建一个 API。 2. 设置 API信息，填写 API名称、路径，其余字段默认，点击下一步。 3. 请求配置处理直接点击下一步。 4. 插件配置直接点击下一步。 5. 预览保存API。 访问API网关 发送请求 http:IP地址/get（此处 IP地址需替换为网关 IP）

编辑网页防篡改策略 1. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面 2. 进入“网页防篡改”页面，单击【编辑】 注意 若您的源站存在更新，需要手动点击操作列【更新缓存】按钮，将会自动获取最新该页面最新的静态资源 删除网页防篡改策略 1. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面 2. 进入“网页防篡改”页面，选择您要删除的防护规则，单击【删除】按钮 配置示例 场景：某政企网站需要对首页设置防篡改功能，避免网站首页受到恶意篡改。 配置： 规则名称：xx网站首页防纂改 URL： 防护状态：开启 域名是否有CDN加速：否（需要根据自身情况选择） 防护方式：拦截

此章节为您介绍如何选购密码服务的相关业务。 若您需要购买密码服务的相关业务，可参考本章节进行选购。 说明 您在控制台购买密码服务业务前，请先提交工单申请开通购买白名单。 操作步骤 1. 登录密码服务管理控制台。 2. 单击右上角的“订购密评专区”，跳转至订购页面。 3. 选择您业务所需要的部署地域和可用区。 4. 选择需要购买的产品和规格。 配置项 配置项说明 密码产品 综合安全网关服务 每个服务支持1000并发，可叠加，最多支持购买10个，建议搭配EIP使用。 密码产品 密钥管理服务 提供安全、可靠的密钥管理服务，密钥管理购买后保存的密钥请在密钥管理服务中查询。 密码产品 数据加密网关服务 提供重要数据的加密和解密服务，满足密评中对重要数据传输和存储的机密性要求。 密码产品 协同签名服务 每个服务支持1000并发，可叠加，最多支持购买10个。 密码产品 数字证书认证系统 支持1万证书签发，5个CA，兼容RSA、ECC、SM2算法。 国密套件 国密浏览器 选择需购买的国密浏览器个数，兼容主流国产操作系统，满足国密安全传输要求。 国密套件 智能密码钥匙 选择需购买的密钥钥匙个数。 国密套件 协同签名客户端 支持IOS、Android、Windows、Linux等操作系统，每个客户端占1个配额，最多支持购买10000个。 国密套件 证书管理服务 提供权威证书管理服务（证书有效期至少为一年，购买时长小于一年会默认为一年时长）。 国密证书、国际证书购买后会保存至证书管理服务控制台。 密评服务 密评咨询服务 为应用设计密码应用方案，协助密评机构开展密评，单个应用配置1套。 密评服务 密评测评服务 支持1个应用密码应用安全性评估。 密评服务 密码改造服务 项目特殊需求定制服务，下单前请提前和产品经理沟通并评估工作量，根据工作量确定下单数量。 5. 购买密码产品，还需要配置企业项目、网络信息。 配置项 配置项说明 企业项目 选择此次购买的密评服务所属的企业项目，方便您进行管理。 虚拟私有云 选择密码产品实例所要配置的虚拟私有云。 注意 成功创建后，VPC不可更换，请谨慎选择。 安全组 选择密码产品实例所在的安全组。 子网 选择密码产品实例所属的子网。 6. 购买密码产品，还需要配置密码产品管理员账号初始账密。 配置项 配置项说明 用户名 设置购买的密码产品实例管理员初始账号。 密码 设置购买的密码产品实例管理员初始密码。 确认密码 二次确认购买的密码产品实例管理员初始密码。 7. 选择购买密码产品、证书管理服务的时长。 支持开启“到期自动续费”。开启自动续费后，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 8. 配置完成后，勾选“我已阅读并同意《天翼云密码服务服务协议》《隐私政策声明》”后，单击“提交订单”。

本节介绍如何管理通过手动添加或自动发现的API资产。 API列表页面展示通过手动添加的API资产，和自动发现任务发现并已确认为API的资产，在该页面可以对这些API资产进行管理，包括编辑、删除操作。 编辑API资产 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > API管理”，进入API管理页面。 5. 在“API列表”中，单击操作列的“编辑”。 6. 在“编辑API资产”窗口中，可对API名称、业务用途、描述进行修改。 7. 修改完成后，单击“确认”。 删除API资产 删除单个API：在API列表中，单击操作列的“删除”。 批量删除API：勾选多个API，单击列表上方的“批量确认”进行批量操作。

本节介绍如何进入下一代防火墙v2.0版本控制台，及如何使用下一代防火墙v2.0。 下一代防火墙v2.0 版本由云防火墙（原生版）提供服务。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“下一代防火墙 > 下一代防火墙v2.0”，跳转到云防火墙（原生版）控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）控制台。 使用下一代防火墙v2.0 请参见云防火墙（原生版）。

网络及高级配置 设置网络，包括"网卡"、"安全组"，这里，为安全和成本考虑，我们先不设置弹性IP，后续按需开放IP；设置高级配置，包括"登录方式"、"云主机组"、"用户数据"。 4. 确认并支付 步骤二：配置弹性负载均衡 现在，我们已经有了两台 DeepseekR132B 服务器，接下来，我们利用弹性负载均衡构建一个可任意横向扩容的 Deepseek 集群。 1. 配置 vllm 服务 首先需要为所有服务器上的 vllm 服务配置相同的 apikey。 服务的配置文件目录在 /var/vllmservice.env ，我们将APIKEY 设置为想要的值。 然后重启服务。 plaintext systemctl restart vllm 2. 创建弹性负载均衡 我们参考弹性负载均衡官方文档进行服务创建。 1. 创建弹性负载均衡 在此例中，我们的Deepseek集群仅用于集群自带的 Open WebUI内网使用，不涉及外网通讯，因此 “网络类型” 选择 “内网”，如果你想将此集群暴露到外网，则选择外网。VPC和子网跟 Deepseek 服务器保持一致。 2. 创建监听器 完成网络负载均衡创建，接下来配置监听器，在负载均衡列表页，点击开始配置。 端口类型，选择 “HTTP”，端口填 8000。 进入下一步，创建健康检查。这里我们通过 HTTP 进行健康检查，返回码部分选择 2xx、3xx、4xx。 点击“立即创建”，完成创建。 3. 为监听器开通GPU云主机白名单 此时监听器列表中，我们可以看到访问Deepseek服务器的主机组地址为 “100.89.0.0/16”，我们需要在Deepseek集群的安全组中，为vllm端口配置此地址的白名单。 为Deepseek云主机所在的安全组新增规则，操作文档详见添加安全组规则帮助文档。 4. 为监听器添加后端云主机 选中主机，然后下一步。 设置端口为 “8000”。 点击确认即可完成配置。 5. 验证连通性 监听器页面，显示监控检查正常。 通过一台 Deepseek 服务器，测试负载均衡连通性。

本章节主要介绍翼MapReduce服务的Web UI便捷访问特性。 大数据组件具有自己的WEB UI页面管理自身系统，但是由于网络隔离的原因，用户并不能很简便地访问到该页面。如访问HDFS的WEB UI页面，传统的操作方法是需要用户创建ECS，使用ECS远程登录组件的UI，这使得组件的页面UI访问很是繁琐，对于很多初次接触大数据的用户很不友好。 翼MR提供了基于内网IP地址来便捷访问开源组件UI。 操作步骤 1.登录翼MR控制台，点击正常运行的集群名称或“管理”按钮，进入集群详情页面。 2.点击“访问链接与端口”。 3.集群服务名称：具有WEB UI的集群服务有HDFS、YARN、HBase、Spark、Ranger、Doris等，详情请参考开源组件Web站点。 4.原生UI地址：当集群部署了具备WEB UI的集群服务后，在“原生UI地址”列会默认显示相关集群服务的信息，原生UI地址展示的是“内网地址：端口号”的格式。 5.获取外网访问地址：外网地址展示的是“外网地址：端口号”的格式。要成功访问开源组件UI，需要在安全组页面开启该端口并放开出、入方向规则，同时需要开通部署了该集群服务的节点的外网IP，如何绑定外网IP请参考“绑定/解绑弹性IP”。 6.访问WEB UI地址：成功开启安全组和外网IP，在“外网地址”列会展示出可以访问的外网地址。通过访问外网地址就可以便捷访问开源组件UI。 7.WebUI登录：组件密码可前往Manager配置管理的vars.yaml高级配置中查询。LDAP用户名与密码可前往ManagerLDAP租户管理中查询。 注意 使用时需要先开通安全组端口才能访问；使用后需要及时关闭，避免安全泄漏风险。安全组访问规则配置方法可参加“ 说明 访问TezUI站点时，请参考下述步骤更新配置。 1. 前往Manager，在TezUI的配置管理中，将configs.js文件中的timeline地址更换为外网IP。即下图中划红线部分替换为控制台节点管理中TezUIServer所在节点的外网IP。修改后保存并同步配置，同步成功后重启TezUIServer实例。 2. 前往YARN的配置管理页面，在yarnsite.xml配置中开启yarn.timelineservice.enabled开关。保存更改并同步配置后，重启YARN与Hive服务。

本章节主要介绍操作类问题中有关集群访问的问题。 MRS集群内节点的登录方式（密码或密钥对）如何切换？ 不可以切换。 创建集群时选择了节点登录方式后不能更改登录方式。 如何获取ZooKeeper的IP地址和端口？ ZooKeeper的IP地址和端口可以通过MRS控制台或登录Manager界面获取。 方法一：通过MRS控制台获取 1. 在MRS集群详情页的“概览”页签，单击“IAM用户同步”右侧的“同步”进行IAM用户同步。 2. 选择“组件管理 > ZooKeeper > 实例”，获取ZooKeeper实例的“业务IP”地址。 3. 选择“服务配置”页签，搜索“clientPort”参数，该参数的值即为ZooKeeper的端口。 方法二：通过Manager界面获取 1. 登录Manager界面。 2. 在Manager界面获取ZooKeeper的IP地址和端口。 −针对MRS 3.x之前版本集群 i.选择“服务管理 > ZooKeeper > 实例”，获取ZooKeeper实例的“业务IP”地址。 ii.选择“服务配置”页签，搜索“clientPort”参数，该参数的值即为ZooKeeper的端口。 −针对MRS 3.x及之后版本集群 i.选择“集群 > 服务 ZooKeeper > 实例”，获取ZooKeeper实例的“业务IP”地址。 ii.选择“配置”页签，搜索参数“clientPort”值，该参数的值即为ZooKeeper的端口。 如何通过集群外的节点访问MRS集群？ 创建集群外Linux操作系统ECS节点访问MRS集群 1.创建一个集群外ECS节点。 ECS节点的“可用区”、“虚拟私有云”、“安全组”，需要和待访问集群的配置相同。 2.在VPC管理控制台，申请一个弹性IP地址，并与ECS绑定。 3.配置集群安全组规则。 a.在集群“概览”界面，选择“添加安全组规则 > 管理安全组规则”。 b.在“入方向规则”页签，选择“添加规则”，在“添加入方向规则”配置ECS节点的IP和放开所有端口。 c.安全组规则添加完成后，可以直接下载并安装客户端到集群外ECS节点。 d.使用客户端。 使用客户端安装用户，登录客户端节点，执行以下命令切换到客户端目录。 cd /opt/hadoopclient 执行以下命令加载环境变量。 source bigdataenv 如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则通常情况下无需认证。 kinit MRS集群用户 例如： kinit admin 直接执行组件的客户端命令。 例如： 使用HDFS客户端命令查看HDFS根目录文件。 hdfs dfs ls / Found 15 items drwxrwxx hive hive 0 20211026 16:30 /apps drwxrxrx hdfs hadoop 0 20211018 20:54 /datasets drwxrxrx hdfs hadoop 0 20211018 20:54 /datastore drwxrwx+ flink hadoop 0 20211018 21:10 /flink drwxrx flume hadoop 0 20211018 20:54 /flume drwxrwxx hbase hadoop 0 20211030 07:31 /hbase ...

本文主要介绍外设管控功能。 背景说明 外设是企业员工工作中必不可少的工具，攻击者可能利用这些外设进行病毒传播、获取敏感信息等。所以企业需要对外设进行管控，尤其是U盘和移动硬盘。 数据泄露的方式很多，仅通过网络流量检测数据泄露情况是远远不够的，物理方式外泄数据也不容忽视。外设管控帮助企业在物理设备层建立起数据防泄漏围墙。 功能说明 企业管理员可以在控制台的外设管控页面，手动配置管控策略，启用外设管控，阻止员工随意传输数据，防止敏感数据泄露。 注意 如需使用外设管控能力，请开启管控策略。 同时，需注意订购套餐需满足以下条件之一： 1、已订购终端管理基础版，点击查看 2、零信任服务套餐为企业版，点此查看零信任服务 操作步骤 管控策略 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏点击【终端安全】里的【外设管控】。 3. 管控策略卡片中点击“编辑”进行配置。 4. 设备类型包括U盘、便携设备。 注意 U盘管控支持Windows系统、Mac系统、麒麟系统、统信系统。 便携设备支持Windows系统、麒麟系统、统信系统。 说明 读写：不对读写做限制，允许外设接入终端。 只读：允许从外设读数据，不允许往外设写数据。 禁用：不允许外设接入终端。 5. 管控对象中支持多个维度（组织、用户组、用户、设备）进行勾选。 6. 企业管理员可以查询到对外设管控操作的记录明细。

本文介绍如何部署智算容器实例。 前提条件 请确保您已完成以下准备工作： 1. 已开通弹性容器实例服务。 2. 已在开通地域创建虚拟私有云、子网、安全组等。 操作步骤 下文开始介绍创建智算容器组的主要步骤： 1. 在弹性容器实例控制台左侧导航栏中选择“智算容器组算力市场”，进入算力市场页。 2. 按需选择模板，可以点击“选择模板”指定某个官方模版或私有模版。 3. 按需选择GPU规格，点击“部署”按钮。 4. 确认部署信息，包括虚拟私有云、子网、安全组等，然后点击“确定”按钮进行部署。 部署后即可在实例列表中查看。

本节主要介绍OBS的应用场景。 OBS可用于存取任何格式、海量的对象/文件数据；因为它是互联网存储，可以在互联网的任何位置随时执行对OBS的存取操作。对任何基于互联网的应用程序而言，包括web网站、视频应用、SaaS应用、网盘、移动APP等，开发人员均可以将其作为数据存储的理想选择。此外，对于备份、大数据存储、归档等近线、离线存储场景，OBS也是节省投资的存储方式。 OBS的主要特点是海量（容量巨大、线性扩展）、省钱（零初始投资，用多少算多少，用得越多越经济）、可靠、安全（访问、传输、保存端到端安全）。使用OBS后，开发人员可以无需关注底层存储技术，而是专注于业务创新，因为无论业务如何发展，开发人员都无需规划存储容量，数据可以快速访问、线性扩容，且具有高可靠性和高安全性。最重要的是业务使用IT的成本可以大大降低。 OBS可应用于视频监控、视频点播、备份归档、HPC、移动互联网、企业云盘（网盘）等场景。

本文介绍云容器引擎Serverless版的产品定义。 云容器引擎Serverless版是天翼云提出的Serverless Kubernetes容器服务。与传统Kubernetes集群相比，Serverless集群无需购买节点即可直接部署容器应用，同时无需对集群进行节点维护和容量规划，降低了Kubernetes使用门槛，让用户更专注于应用程序，而不是管理底层基础设施。Serverless集群提供完善的Kubernetes兼容能力，您可以轻松迁移已有的Kubernetes应用到Serverless集群上，并且根据应用配置的CPU和内存资源量进行按需付费。 Serverless集群中的每个Pod都是基于天翼云弹性容器实例ECI运行，实现了安全隔离的容器运行环境。每个容器底层采用轻量级虚拟化安全沙箱技术，实现了容器实例间的强隔离，避免了容器实例间相互影响的问题。Serverless集群还具有易用性、灵活性和安全性等优点，能够满足不同规模应用场景的需求，并提供了完善的监控、日志和核心运维能力。

本小节介绍服务器安全卫士的查找主机方法。 查找方法 总览中可快速查看当前存在风险主机的风险详情，点击“查看主机”，选择需要查看的主机，新开页面跳转至该主机的单台主机详情，并默认展示安全风险事件。

本章节主要介绍数据治理中心的数据目录的数据权限简介。 为确保数据使用安全可控，使用数据表需要先申请权限。数据权限模块为用户提供便捷的权限管控能力，提供可视化申请审批流程，并可以进行权限的审计和管理。提高数据安全的同时，还可以方便用户进行数据权限管控。

本节介绍了创建相同配置云主机的操作场景、使用须知、操作步骤等内容。 操作场景 对于已创建成功的弹性云主机，如需再次创建相同配置的，建议您使用公有云平台提供的“创建相同配置”功能，快速创建同一配置的弹性云主机，节省时间。 使用须知 超大内存型弹性云主机、使用整机镜像创建的弹性云主机，暂不支持使用“创建相同配置”功能。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 选择目标弹性云主机，并单击“操作”列下的“更多 > 创建相同配置”。 系统将跳转至弹性云主机创建页，并自动复制已选择云主机的参数配置。 说明 为安全起见，当复制的弹性云主机存在如下场景时，系统不会自动复制相应的参数配置，需用户手动配置： 数据盘个数超过10个时，需手动添加磁盘数量。 网卡个数超过5个时，需手动添加其余网卡。 安全组个数超过5个时，需手动添加其余安全组。 使用数据盘镜像创建的磁盘，需重新选择数据盘镜像。 使用磁盘加密功能的云硬盘，需重新勾选“加密”。 “高级配置”中的相关功能，需重新设置。 弹性IP默认为“不使用”，如需使用，请手动设置为“自动分配”或“使用已有”。 4. 请根据需要调整待创建弹性云主机的参数配置，确认无误后，单击“立即申请”。

字段 说明 PASSTHROUGH 客户端呈现的SNI 字符串将用作 VirtualService 中 TLS 路由的匹配条件，以确定服务注册表中的目标服务。 SIMPLE 具有标准TLS 语义的安全连接，在此模式下，握手期间不会请求客户端证书。 MUTUAL 使用双向TLS 对下游进行安全连接，通过提供服务器证书进行身份验证，在握手期间还将请求客户端证书，并且客户端需要发送至少一个有效证书。 AUTOPASSTHROUGH 类似于透明传输模式，但具有此TLS 模式的服务器不需要关联的 VirtualService 将 SNI 值映射到注册表中的服务，目标详细信息，如服务/子集/端口，被编码在 SNI 值中，代理将转发到由 SNI 值指定的上游（Envoy）集群（一组端点），此服务器通常用于在不同的 L3 网络中提供服务之间的连通性，否则这些服务之间的端点之间没有直接连通性，使用此模式假定源和目标均使用 Istio mTLS 来保护流量。 ISTIOMUTUAL 通过提供服务器证书进行身份验证，从下游使用双向TLS 进行安全连接，与 Mutual 模式相比，此模式使用由 Istio 自动为 mTLS 认证生成的证书，代表网关工作负载的身份，当使用此模式时，TLSOptions 中的所有其他字段都应为空。 OPTIONALMUTUAL 类似于MUTUAL 模式，但客户端证书是可选的，与 SIMPLE 模式不同，握手期间仍会明确请求客户端证书，但客户端不需要发送证书，如果提供了客户端证书，则将对其进行验证。应指定 cacertificates 以验证客户端证书。

本节介绍API网关的产品规格。 专享版规格 专享版API网关QPS（Query Per Second，每秒查询率）吞吐受应答大小、是否开启HTTPS、是否开启gzip等多种因素影响。下表是API网关处于30%CPU安全水位下的QPS参考值，参考场景为无认证和单机流控模式。 安全水位，指能够在突发流量增长至双倍的情况下，API网关系统依然维持高吞吐量和低延迟性能。 表1 QPS性能参考 实例规格 基础版 专业版 企业版 铂金版 连接类型 应答字节数（KBytes） 是否使用HTTPS 是否使用gzip CPU处于安全水位的QPS参考 短连接 1 否 否 1,600 3,600 9,000 55,000 短连接 1 是 否 1,000 1,100 2,800 16,000 长连接 1 否 否 2,500 4,200 13,000 79,000 长连接 1 是 否 2,000 4,000 11,000 67,000 长连接 10 否 否 2,200 4,000 10,000 67,000 长连接 10 是 否 1,800 3,800 9,500 65,000 不同实例规格的带宽 和内网连接数都不同，建议参考下表数据将带宽和连接数控制在有效范围内。 表2 带宽和连接数参考 实例规格 带宽 内网每秒新建连接数 基础版 单AZ：50Mbit/s 双AZ及以上：100Mbit/s 1,000 专业版 单AZ：100Mbit/s 双AZ及以上：200Mbit/s 1,000 企业版 单AZ：200Mbit/s 双AZ及以上：400Mbit/s 1,000 铂金版 单AZ：400Mbit/s 双AZ及以上：800Mbit/s 1,000

本文主要介绍 连接和查看Kafka Manager。 Kafka Manager是开源的Kafka集群管理工具，需要通过浏览器才能访问Kafka Manager的地址。在Kafka Manager页面，您可以查看Kafka集群的监控、代理等信息。 前提条件 已配置如下表所示安全组。 表安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 9999 0.0.0.0/0 访问Kafka Manager。 登录Kafka Manager 步骤 1 （可选）创建一台与Kafka实例相同VPC和相同安全组的Windows服务器，详细步骤请参考《弹性云主机用户指南》的“创建弹性主机”章节。 如果是已经开启了公网访问，该步骤为可选，在本地浏览器中即可访问，不需要单独的Windows弹性云主机。 步骤 2 在实例详情信息页面，获取Kafka Manager地址。 未开启公网访问时，Kafka Manager地址为“Manager内网访问地址”。 图 Kafka Manager内网访问地址 已开启公网访问时，Kafka Manager地址为“Manager公网访问地址”。 图 Kafka Manager公网访问地址 步骤 3 在浏览器中输入Kafka Manager的地址，进入Kafka Manager登录页面。 如果是开启了公网访问，在本地浏览器输入Kafka Manager地址访问；如果没有开启公网访问，需要登录步骤1的弹性云主机，然后在浏览器输入Kafka Manager地址访问。 步骤 4 输入创建实例时设置的Kafka Manager用户名和密码，即可管理Kafka集群。