本文介绍如何集群创建。 集群是计算资源的集合，包含一组节点资源，容器运行在节点上。在创建容器应用前，您需要存在一个可用集群。目前最多可以创建5个集群，请确保至少有一个可用的集群。如集群数量不够，可申请增加配额。 操作前提 能够确保账户中有充足的余额，否则将导致您的业务开通失败； 在【创建集群】之前，请确保已完成VPC、子网的创建及安全组的配置，若未创建可参考上一【环境设置】部分。 操作步骤 1. 登录天翼云； 2. 选择【控制台】>点击切换到具体资源池，如杭州2节点； 3. 在控制台中找到【容器服务】>点击【容器引擎】，进入容器服务界面； 4. 进入【总览】页面>单击【创建集群】按钮，进入集群创建界面； 5. 按照需要完成集群参数填写，集群创建参数详见下表，其中带“”的参数为必填参数。 参数 参数说明 基础配置 集群名称 新建集群的名称 Kubernetes版本 1.15/1.18 地域 根据最初选择的地域决定，集群创建过程中不可选 虚拟私有云 新建集群所在的虚拟私有云。若没有可选虚拟私有云，单击“创建虚拟私有云”进行创建 子网 节点虚拟机运行的子网环境。若没有可选子网，单击“创建子网”进行创建 系列 分为基础版、高级版（基础版集群将创建1个master节点和相应控制节点，worker节点配置由用户自由选择；高级版集群将创建3个master节点和相应控制节点，worker节点配置由用户自由选择。) 容器CIDR 默认是10.223.0.0/16，确定容器网段后，容器实例将在规划的网段内分配IP。不能与集群所选的VPC重复，当vpc和容器网段或者服务网段冲突提示：默认网段与所选虚拟私有云网段有冲突，请重新选择vpc 服务CIDR 默认是10.96.0.0/16，服务网段为kubernetes service ip网段，请根据业务需求选择该网段。不能与集群所选的VPC重复 企业项目 此项与主子账户权限有关，如果有主子账户权限分配要求，请提前规划企业项目 注： 如果您选择了IPv4/IPv6双栈的VPC和子网，那么要同时设置IPv4的容器CIDR和服务CIDR，以及IPv6的容器CIDR和服务CIDR，均不能与集群所选VPC重复。默认情况下，IPv6容器CIDR：fd03::/112；IPv6服务CIDR：fd05::/112。如有需要用户请根据个人需求进行修改。 worker 节点配置 规格 请根据业务需求选择相应的节点规格。 当前使用的是通用型S2类型云主机，可选规格以界面上显示为准 操作系统 请选择节点对应的操作系统 系统盘 默认为普通IO，50GB 数据盘 普通IO、高IO，规格为[50,2048]GB，默认50GB;范围502048GB;整数;填入小数自动四舍五入为整数，输入为空自动设置为50；步长为10 弹性IP 使用已有IP：使用已经创建出的弹性公网IP 创建后设置：不使用弹性公网IP（不使用弹性公网IP不能通过公网发送请求，可创建后绑定） 网络模型 容器隧道网络：基于底层 VPC 网络，构建独立的容器 VXLAN 隧道化的容器网络，与底层网络解耦，支持高扩展性，网络策略，多容器网络平面 worker节点数 默认最小值是1，只允许填入整数；步长为1；设置的节点数不能超过最大节点规模50；输入为空自动设置为1 购买时长 根据需求，设置购买时长 6. 确认右侧订单详情无误并确保已放开安全组6443、9080、9443、2379、2380端口后，单击【创建集群】，进入付费界面，完成费用支付； 7. 集群创建预计需要 610 分钟。请根据界面提示查看集群创建过程。创建完成后，点击【返回集群管理】链接； 8. 在导航栏单击【资源管理】>【集群管理】标签，进入集群列表界面，可查看创建的集群。

本节介绍云容器引擎的最佳实践：密钥Secret的安全使用。 在Kubernetes中，您可以使用Secret对象来存储敏感信息，例如密码、OAuth令牌和ssh密钥等。但Secret在etcd中以base64编码格式存储，base64编码不等于加密。因此建议用如下方式使用Secret。 严格限制Secret权限 通过文件挂载的方式使用Secret时，容器内映射的文件权限默认为0644，建议为其配置更严格的权限，例如： apiversion: v1 kind: Pod metadata: name: podauth spec: containers: name: mypod image: nginx volumeMounts: name: example mountPath: "/etc/example" volumes: name: example secret: secretName: mysecret defaultMode: 256 其中“defaultMode： 256”，256为10进制，对应八进制的0400权限。 “隐藏”Secret文件 使用文件挂载的方式时，通过配置Secret的文件名实现文件在容器中“隐藏”的效果： apiVersion: v1 kind: Secret metadata: name: mysecretfile data: .mysecretfile: dmFsdWUtMg0KDQo apiVersion: v1 kind: Pod metadata: name: mysecretfilepod spec: volumes: name: myvolume secret: secretName: mysecretfile containers: name: secretcontainer image: nginx command: ls "1" "/etc/volume" volumeMounts: name: myvolume readOnly: true mountPath: "/etc/volume" 这样.mysecretfile目录在/etc/volume/路径下通过“ls l”查看不到，但可以通过“ls al”查看到。 加密Secret文件内容 用户应在创建Secret前自行加密敏感信息，使用时再解密。

息壤科研助手致力于打造一站式高性能科研服务云平台,操作简易, 安全高效。平台融合算力、智能、应用,打造"开发机算力+科研智能体"一体化方案,它能解决企业、高校及科研单位诸多痛点,如找算力难、自建成本高、算力分配与数据共享难,还有科研软件部署维护难题。科研助手预置90 多个科研应用,涵盖 20 多个学科领域,支撑科研任务、教学实训、生物信息、工业仿真、具身智能、自动驾驶等场景。平台接入多种计算资源,支持一键部署、按需计费,让用户开箱即用,助力科研工作高效开展 。

本文介绍如何使用边缘安全加速平台实现终端管理。 产品介绍 边缘安全加速平台提供终端安全管理能力，通过整合防病毒、漏洞修复、软件与外设管控、AI安全检测等能力，依托智能中台实现统一策略管理，精准解决资产不可视、风险难追溯、处置效率低等核心痛点，打破安全与业务效率的对立僵局，成为企业数字化转型的一站式终端安全防护与提效平台。 快速入门 注意 场景一：订购零信任企业版服务后，参考 场景二：仅订购终端管理套餐时，按照下文的描述即可接入。如需使用终端管理能力，在终端管理控制台进行配置。 进入终端管理控制台 登录边缘安全加速平台，在首页全部产品栏目，选择【终端管理】，进入产品配置页。 第一步：管理员设置企业认证标识 首次订购终端管理，需要设置企业认证标识。企业认证标识是客户端登录的重要凭据，为了方便使用，可把企业名称设置为企业认证标识。企业认证标识暂不支持在控制台修改，若有需要可提交工单进行配置。

本节介绍如何配置全局精准访问控制规则。 防护对象接入Web应用防火墙后，您可以选择开启全局精准访问控制功能，并配置精准访问控制规则。 全局精准访问控制支持对全局域名或单个域名生效。 全局精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“精准访问控制”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入全局精准访问控制页面。 7. 单击“新建防护规则”，配置全局精准访问控制规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置全局精准访问控制规则对象所在的企业项目。 接入对象 设置精准访问控制规则的作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局精准访问控制不支持独享版和监听器防护对象。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 8. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

概述 API授权用于保护API安全访问，确保只有授权用户能调用API。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > API列表。 4. 点击进入对应的API详情页，上方导航栏点击授权信息。 开启API授权 只有开启了应用授权的API，才能进行授权访问。可在创建时开启，也可编辑API，安全认证选择应用授权开启。 应用授权 应用授权支持环境隔离，只有API发布到指定环境后才能进行授权。将需要授权的应用添加到右侧区块，点击确定即可完成批量授权。授权可设置有效期或选择长期有效。 解除应用授权 在API应用授权信息列表中，可选择授权应用进行移除。 关闭应用授权 编辑API，安全认证方式，选择无认证，即可关闭应用授权。

本章节主要介绍约束与限制 为了提高实例的稳定性和安全性，数据管理服务在使用上有一些固定限制。 操作 使用限制 :: 数据库来源 目前支持云数据库RDS、文档数据库服务、分布式关系型数据库DRDS。 数据库引擎 目前支持MySQL、SQL Server、PostgreSQL、DRDS、DDS等。 区域和网络 同一个区域，仅支持VPC网络。

本文为您介绍如何查看GPU相关的监控项。 前提条件 确保GPU云主机已安装GPU驱动/GRID驱动。驱动安装请参见NVIDIA驱动安装指引GPU云主机用户指南安装NVIDIA驱动 天翼云 (ctyun.cn)。 确保您已在GPU云主机上安装云监控插件，关于如何安装云监控插件，请参见安装监控Agent弹性云主机用户指南监控 天翼云 (ctyun.cn)。 注意 1. 目前仅部分支持安装监控Agent的地区能够支持GPU监控项，详情请参见 2. 目前仅Nvidia GPU云主机能够支持GPU监控项。 GPU监控项说明 监控项 单位 指标说明 维度 GPU使用率 % 评估负载所消耗的计算能力，非空闲状态百分比 perGPU GPU显存使用量 可选KB、MB、GB，默认展示MB 。 评估负载对显存的占用 perGPU GPU显存使用率 % 评估负载对显存的占用的百分比 perGPU GPU温度 ℃ 评估GPU散热情况 perGPU GPU功耗 W 评估GPU耗电情况 perGPU

本文将为您介绍如何查看已创建的专属云资源。 目前专属云（计算独享型）服务仅支持通过填写业务需求单或直接联系客户经理的方式进行申请，下面将为您介绍如何通过填写业务需求单申请计算专属云服务。 操作步骤 1. 登录天翼云官网www.ctyun.cn。 2. 在首页，单击“产品 > 专属云 > 专属云（计算独享型）”。 3. 在专属云（计算独享型）的官网页面，单击“申请开通”，进入天翼云支持中心页面。 4. 在支持中心页面填写“业务需求单”，确认填写信息无误后点击“提交”。 5. 提交后可在“管理中心​>工单中心​>我的业务需求单”栏目查询咨询进度。 说明 若在填写业务需求单的过程中遇到任何问题，可拨打天翼云客服电话4008109889进行咨询。

本节介绍如何配置AntiDDoS流量清洗日志到云日志服务。 启用AntiDDoS防护功能后，您可以将攻击日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的AntiDDoS日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 前提条件 已开通云日志服务。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“日志”页签，开启日志，并选择日志组和日志流。 日志参数说明： 参数 说明 选择日志组 选择已创建的日志组，或者单击“查看日志组”，跳转到LTS管理控制台创建新的日志组。 记录攻击日志 选择已创建的日志流，或者单击“查看日志流”，跳转到LTS管理控制台创建新的日志流。 攻击日志记录每一个攻击告警信息，包括攻击类型、防护的IP等信息。 5. 单击“确定”，日志配置成功。 您可以在云日志服务管理控制台查看AntiDDoS的防护日志。 日志字段说明 全量日志字段说明 字段 说明 logType 日志类型。默认为“ipattacksum”，攻击日志。 deviceType 上报日志的设备类型。默认为“CLEAN”，清洗设备。 inKbps 入流量（单位：kbps）。 maxPps 入流量峰值（单位：pps）。 dropPps 丢弃的流量均值（单位：pps）。 maxAttackInBps 攻击流量峰值时刻的入流量值（单位：bps）。 currentConn 当前连接数。 zoneIP 防护的IP。 logTime 日志产生的时间。 attackType 攻击类型。数值对应的攻击类型请参见攻击类型说明。 inPps 入流量（单位：pps）。 maxKbps 入流量峰值（单位：kbps）。 dropKbps 丢弃的流量均值（单位：kbps）。 startTime 攻击开始时间。 endTime 攻击结束时间，为空时则表示攻击还未结束。 maxAttackInConn 攻击流量峰值时刻的连接数。 newConn 新建连接数。

本文帮助您快速熟悉如何修改对等连接。 操作场景 对等连接在任何状态下，两端账户均有权限修改对等连接。目前仅支持修改对等连接的名称及描述。 操作步骤 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在对等连接列表中选择要修改的对等连接，点击“操作”列下的“修改”按钮。 5. 在弹出的窗口中，修改对等连接的名称及描述，点击“确定”，完成信息修改。

本文介绍了边缘安全加速平台API防护模块下API资产列表的使用方法。 功能介绍 API资产管理列表展示了客户粒度，即所有接入域名下的API资产。用户可在API资产列表中进行查询、新增、删除、编辑等操作。 API资产定义 边缘安全加速平台对于API资产的定义由三部分组成：域名、URI、Method。 以API资产 Post ddoscloudglobal.ctapi.ctyun.cn/ctapi/v1/cert/create 为例： 域名为：ddoscloudglobal.ctapi.ctyun.cn URI为：/ctapi/v1/cert/create Method为：Post 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单。 3. 进入任意域名，点击右侧【资产管理】按钮，进入【API资产列表】页面。 新增API 新增API资产当前支持两种方式： 手动新增API：手动配置域名、URI、Method定义一条API资产。 API自发现：基于访问日志进行特征识别，自动发现业务中的API请求。配置详情参见API自发现。

本文介绍API安全模块中API标签管理功能。 功能介绍 用户可对API资产进行标签标记，以便对API资产按照不同的维度进行分组分类。API安全提供两种标签类型，一类是平台内置标签，一类是用户自定义标签。 平台内置标签包括：来源、敏感信息、业务用途、自发现标签。 来源：包括手动、自动。若API资产是通过用户手动添加，则会标记为手动；若API资产是通过自发现生成，则会标记为自动。标签名称及内容不可编辑、删除。 敏感信息：在API自发现过程中，若识别到API接口涉及敏感信息的传输，则会标记相应敏感信息，如地址、手机号等。用户可配置是否启用对于某项标签内容的识别。 业务用途：在API自发现过程中，若识别到API接口特征与某业务用途相匹配，则会标记相应业务用途，如登录认证、数据导出等。用户可配置是否启用对于某项标签内容的识别。 自发现标签：下发自发现任务时，可定义本次自发现标签，则本次任务中发现的API资产均会打上对应标签。标签名称不可编辑、删除。标签内容支持新增、编辑、删除。 自定义标签：用户自定义标签名称及标签内容。 说明 API标签的使用范围为所有域名下的API资产，即在域名A下新增的API标签，可在域名B的API资产中使用。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。

本小节介绍企业主机安全欠费。 到期与欠费 服务即将到期前，系统会以短信或邮件的形式提醒服务即将到期，并提醒用户续费。 服务到期后，如果没有按时续费，平台会冻结服务，但用户配置信息会提供15天的保留期。 欠费后，可以查看欠费详情。为防止相关资源不被停止或者释放，请及时进行充值，帐号将进入欠费状态，需要在约定时间内支付欠款。

本文主要介绍镜像服务的功能。 私有镜像生命周期 当您成功创建私有镜像后，镜像的状态为“正常”，您可以使用该镜像创建云主机实例或云硬盘，也可以将镜像共享给其他帐号。 特性列表 表 创建私有镜像类 特性 说明 相关操作 使用云主机创建系统盘镜像 创建云主机实例后，您可以根据业务需求自定义实例（例如：安装软件、部署应用环境）， 并使用更新后的云主机创建系统盘镜像。 通过该镜像创建的新实例，会包含您已配置的自定义项，节省您重复配置的时间。 通过云主机创建Windows系统盘镜像、 通过云主机创建Linux系统盘镜像 使用外部镜像文件创建系统盘镜像（也称导入镜像） 可以将您本地或者其他云平台的云主机系统盘镜像文件导入至天翼云镜像服务中。 导入后，可使用该镜像创建新的弹性云主机，或对已有实例的系统进行重装或更换。 通过外部镜像文件创建Windows系统盘镜像、 通过外部镜像文件创建Linux系统盘镜像 使用ISO文件创建系统盘镜像 相比其他格式的外部镜像文件，ISO文件无法直接使用， 需要利用一些工具进行解压后才能使用。 创建流程较为复杂，详见“相关操作”。 通过ISO文件创建Windows系统盘镜像、 通过ISO文件创建Linux系统盘镜像 使用外部镜像文件创建数据盘镜像 可以将您本地或者其他云平台的服务器数据盘镜像文件导入至天翼云镜像服务中。 导入后，可使用该镜像创建新的云硬盘。 通过外部镜像文件创建数据盘镜像 使用云主机、云主机备份，或者云服务备份创建整机镜像 将云主机及其上挂载的数据盘一起创建整机镜像，此镜像包含操作系统、应用软件， 以及用户的业务数据，可用于快速发放相同配置的云主机，实现数据搬迁。 支持使用云主机、云主机备份、云服务备份三种整机镜像创建方式。 通过云服务备份创建整机镜像、 通过云主机创建整机镜像、 通过云主机备份创建整机镜像 通过私有镜像创建云主机 系统盘镜像或者整机镜像创建成功后，在该镜像所在行单击“申请主机”即可创建新的云主机。 通过镜像创建云主机 表 管理私有镜像类 特性 说明 相关操作 修改镜像属性 为了方便您管理私有镜像， 您可以根据需要修改镜像的如下属性：名称、描述信息、最小内存、最大内存， 以及是否支持网卡多队列这些高级功能。 修改镜像属性 共享镜像 您可以将镜像共享给其他天翼云帐号使用。 该帐号可使用您共享的私有镜像，快速创建运行同一镜像环境的云主机， 或者相同数据的云硬盘。 共享镜像 导出镜像 导出私有镜像到您的个人OBS桶，再下载至本地进行备份。 导出镜像 加密镜像 您可以创建加密镜像来提升数据安全性，加密方式为KMS的信封加密。 外部镜像文件或者加密云主机均可用来创建加密镜像。 加密镜像 区域内复制镜像 通过区域内复制镜像功能可以实现加密镜像与非加密镜像的转换， 或者使镜像具备一些高级特性（如快速发放）。 复制镜像 标记镜像 为您的私有镜像贴上标签，便于管理和搜索。 标记镜像 导出镜像列表信息 支持以“CSV”格式导出某个区域的公共镜像和私有镜像的信息列表， 方便本地维护和查看。 导出镜像列表信息 删除镜像 如果您不再需要某个私有镜像，可以将其删除，删除镜像对已创建的云主机没有影响。 删除镜像

本章节主要介绍翼MapReduce的管理客户端操作。 操作场景 FusionInsight Manager支持统一管理集群的客户端安装信息，用户下载并安装客户端后，界面可自动记录已安装（注册）客户端的信息，方便查询管理。同时系统支持手动添加、修改未自动注册的客户端信息（如历史版本已安装的客户端）。 操作步骤 查看客户端信息 1. 登录FusionInsight Manager。 2. 选择“集群 >待操作集群的名称 > 客户端管理”，即可查看当前集群已安装的客户端信息。 用户可查看客户端所在节点的IP地址、安装路径、组件列表、注册时间及安装用户等信息。 在当前最新版本集群下载并安装客户端时，客户端信息会自动注册。 添加客户端信息 3. 如需手动添加已安装好的客户端信息，单击“添加”，根据界面提示手动添加客户端的IP地址、安装路径、用户、平台信息、注册信息等内容。 4. 配置好客户端信息，单击“确定”，添加成功。 修改客户端信息 5. 手动注册的客户端信息可以手动修改。 在“客户端管理”界面选择待修改的客户端，单击“修改”。修改信息后，单击“确定”完成修改。 删除客户端信息 6. 在“客户端管理”界面选择待删除的客户端，单击“删除”，在弹出的窗口中单击“确定”，即可删除客户端信息。 如需删除多个客户端信息，勾选待删除的客户端，单击“批量删除”，在弹出的窗口中单击“确定”，即可删除客户端信息。 导出客户端信息 7. 在“客户端管理”界面选择待操作的客户端，单击“导出全部”可导出所有已注册的客户端信息到本地。 说明 客户端管理界面上组件列表栏只展示有真实客户端的组件，因此部分没有客户端的组件和客户端特殊的组件不会显示在组件列表栏。 不显示的组件有： LdapServer、KrbServer、DBService、Hue、Mapreduce、Flume。 不显示的组件有： LdapServer、KrbServer、DBService、Hue、Mapreduce、Flume。

本节介绍了云硬盘的相关协议。 自2021年11月11日起，新版云硬盘产品服务协议生效。详情请参见这里。 天翼云硬盘服务协议 历史版本（20121110）

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

本章节主要介绍如何注册天翼云门户账号。 在创建和使用云搜索服务之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册。 1.登录天翼云门户 2.在注册页面，有“账号注册”、“短信注册”两种注册方式供您选择。 此处以“账号注册”为例进行介绍： 您可根据页面引导填写“登录名”、“登录密码”、“手机号码”，“短信验证码”并勾选协议，点击“注册”按钮，如1分钟内手机未收到验证码，请再次点击“获取验证码”按钮； 3.注册成功后，可到邮箱激活您的账号，立即体验天翼云。

窗口切换 如天翼AI云电脑账号下多个AI云电脑需同时运行，工具栏点击“窗口切换”功能。（“窗口切换”功能默认关闭，如需开通请联系运维或通过邮件申请，邮件发送至：clouddesktop@chinatelecom.cn）。 支持同时在线AI云电脑数最多 3 个，如超出3个AI云电脑，提示“当前同时连接的AI云电脑数量已达上限: 3;如需连接其他AI云电脑，请先断开已连接的AI云电脑”（安卓瘦终端仅支持快速切换AI云电脑，不支持多台AI云电脑同时在线运行）。 外设重定向：如果当前AI云电脑在使用某一USB外设，其他AI云电脑该USB设备显示置灰，避免冲突，不能同时并行使用，提醒“该USB设备已连接到其他AI云电脑，如需使用请先在其他AI云电脑取消该设备的连接。 控制中心入口 工具栏点击“控制中心”，可查到偏好设置、报障、一键优化、网络检测、安全中心、悬浮球、音频设置、AI云电脑配置等功能入口。 USB管理 提示：Mac客户端不支持USB重定向 如需管控外设或者查看外设重定向策略，进入偏好设置，点击“USB管理”，可以管控USB重定向设备。 备注：U盘容量小于1GB默认走USB重定向 点击“全部”，查看当前AI云电脑连接的设备。 点击“”图标可一键复制外设信息。

本章主要介绍翼MapReduce的帐户维护建议功能。 建议系统管理员对帐户例行检查，检查的内容包括： 操作系统、FusionInsight Manager以及各组件的帐户是否有必要，临时帐户是否已删除。 各类帐户的权限是否合理。不同的管理员拥有不同的权限。 对各类帐户的登录、操作记录进行检查和审计。

本章节主要介绍修改密码策略 。 操作场景 须知 密码策略涉及用户管理的安全性，请根据业务安全要求谨慎修改，否则会有安全性风险。 该任务指导管理员用户设置密码安全规则、用户登录安全规则及用户锁定规则。由于“机机”用户密码随机生成，在MRS Manager设置密码策略只影响“人机”用户。开启Kerberos认证的集群或开启弹性公网IP功能的普通集群支持该操作。 如需对新增用户的密码或用户修改的密码使用新的密码策略，请先参考本章节修改密码策略，再创建用户或修改密码。 说明 该章节操作仅适用于MRS 3.x之前版本集群。MRS3.x及之后版本集群请参考 操作步骤 访问MRS Manager，详细操作请参见访问MRSManager（MRS2.x及之前版本）。 1. 在MRS Manager，单击“系统设置”。 2. 单击“密码策略配置”。 3. 根据界面提示，修改密码策略，具体参数见下表。 密码策略参数说明 参数名称 描述 最小密码长度 密码包含的最小字符个数，取值范围是8～32。默认值为“8”。 字符类型的数目 密码字符包含大写字母、小写字母、数字、空格和特殊符号（包含~!?,.:;'(){}[]/<>@ $%^&+l/）的最小种类。可选择数值为“3”和“4”。默认值“3”表示至少必须使用大写字母、小写字母、数字、特殊符号和空格中的任意3种。 密码有效期（天） 密码有效使用天数，取值范围0～90，0表示永久有效。默认值为“90”。 密码失效提前提醒天数 提前一段时间提醒密码即将失效。设置后，若集群时间和该用户密码失效时间的差小于该值，则说明用户进入密码失效提醒期。用户登录MRS Manager时会提示用户密码即将过期，是否需要修改密码。取值范围为“0”“X”，（“X”为密码有效期的一半，向下取整）。“0”表示不提醒。默认值为“5”。 认证失败次数重置时间间隔（分钟） 密码输入错误次数保留的时间间隔（分钟），取值范围为0～1440。“0”表示永远有效，“1440”表示1天。默认值为“5”。 密码连续错误次数 用户输入错误密码超过配置值后将锁定，取值范围为3～30。默认值为“5”。 用户锁屏时间（分钟） 满足用户锁定条件时，用户被锁定的时长，取值范围为5～120。默认值为“5”。

对等连接的路由信息添加后支持查看,本文帮助您快速熟悉如何查看对等连接路由信息。 操作场景 对等连接建立后，您可以查看本端VPC和对端VPC添加的路由信息。如果您发现对等连接无法通信，您可以参考本章节的内容检查本端VPC和对端VPC的路由配置情况，并及时进行调整，以确保网络的连通性和正常运行。 约束与限制 对于跨账户路由信息，本端账户仅可查看本端路由信息，对端账户仅可查看对端路由信息。 查看对等连接的路由（同账户） 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在对等连接列表，选择指定的对等连接名称，进入对等连接详情页面。 5. 点击“本端路由”页签，可查看此对等连接的本端路由信息。点击“对端路由”页签，可查看此对等连接的对端路由信息。 查看对等连接的路由（跨账户） 查看本端路由信息 1. 本端账户登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在对等连接列表，选择指定的对等连接名称，进入对等连接详情页面。 5. 在本端路由页签下，即可查看本端路由信息。

本文带您了解如何查看云服务监控指标。 操作场景 云监控会自动获取您当前账号下云产品的资源并关联相应监测指标，帮助您实时了解云产品的性能指标，及时掌握各项资源的运行状态。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成云产品的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“主机监控”“云主机监控”选项，进入对应云产品的监控页面。 5. 单击待查看的云主机资源所在行的“查看监控图表”，可查看该云产品中指定资源的监控图表。 6. 云主机支持近两天实时监控数据的导出。在云产品监控页面的右上角，单击“导出监控数据”按钮，添加需要导出的监控项，单击“确定”按钮，可导出数据。

本文主要介绍使用私网NAT网关为VPC内计算实例实现线上线下互通 操作场景 您需要在IDC和云上区域创建云专线。本示例使用VPC对等连接代替云专线。 操作步骤 通过创建VPC对等连接将用户IDC（Peering目的VPC）与中转VPC连通。详情参考虚拟私有云如何创建对等连接。

本节介绍网络的用户指南：节点维度的网络配置。 使用场景 Cubecni网络插件会为节点额外添加网卡，用来构建容器网络。这些网卡，如eth1，默认使用配置项cubecniconfig配置的Pod子网和安全组，其中Pod子网为订购时选择的子网，安全组为订购时委托自动创建或用户选择的安全组。 可通过创建新的配置项，为特定节点或节点池配置单独的Pod子网和安全组，实现节点维度的容器网络配置。 如下场景，为特定节点配置独立的子网和安全组，以实现节点C的Pod独享NAT出口IP和带宽： 使用限制 1. 仅新建 的网卡会使用新配置的Pod子网和安全组，已创建的ENI会继续使用原有配置。若需配置节点维度Pod子网和安全组，建议为新节点 或节点池配置; 2. 该特性要求Cubecni版本不低于v1.1.6，且集群已配置资源委托。 操作步骤 1. 在命名空间kubesystem中创建名称为foo的ConfigMap。 a. 登录云容器引擎控制台，左侧导航栏选择集群； b. 在集群列表页面，单击目标集群名称，进入集群管理页面； c. 左侧导航栏，选择配置管理 > 配置项； d. 在配置项页面，命名空间选择kubesystem，单击创建配置项; e. 创建页面，配置项名称设置为foo，单击添加配置项，变量名设置为nodeconfig.json，变量值填入以下内容，将iaassubnets和securitygroups参数替换为实际值： plaintext { "action": "override", "iaassubnets": ["subnetjin7fmxxxx"], "securitygroups": ["sg6hxh19xxxx"] } 参数名 说明 action 值固定为override，默认为override，即子网/安全组配置会覆盖cubecniconfig的配置 iaassubnets 值为VPC子网ID列表。若配置多个子网，优先使用可用IP最多的子网；如无需修改，则无需配置iaassubnets，或值配置为null securitygroups 值为安全组ID列表。用于配置新建的Pod共享ENI，最多可配置5个；若无需修改，则无需配置securitygroups，或值配置为null 2. 节点配置标签 新建节点配置标签 创建节点池时添加节点标签，键设置为cubecniconfig，值设置为foo。新建节点池，详见节点池管理。 注意 节点池新增节点会使用foo指定的配置，不会更新存量节点已创建的网卡的安全组。 已有节点配置标签 a. 集群管理页面左侧导航栏，选择节点>标签 ，点击右侧对应节点的设置标签。 b. 在设置节点标签页面，选择自定义标签 ，点击添加标签。 c. 标签名设置为cubecniconfig，标签值值设置为foo，点击确认。 添加标签后，需重建cubecni插件： a. 集群管理页面左侧导航栏，选工作负载>守护进程。 b. 命名空间 选择kubesystem ，找到cubecni服务，点击右侧的重新部署。 c. 选择滚动重启 或快速重启 ，点击确认，当运行/期望Pod数量相等，说明重启成功。 注意 对于存量节点，不会更新已创建的网卡的安全组。 3. 检查配置是否生效 登录弹性云主机控制台，进入云主机实例详情页，可见弹性网卡配置的子网和安全组信息。

本章主要介绍告警规则详情页面操作。 告警规则详情 操作场景 查看告警规则配置信息，新增、修改、删除告警规则。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“监控与告警 > 告警规则”，点击需要查看或变更的告警规则文件名，跳转至告警规则文件详情，如图所示： 5. “规则信息”一节展示所有告警规则分组，点击告警规则分组名，可展开组下告警规则。继续点击告警规则名，可展开单条告警规则的具体信息，如图所示： 6. 点击告警规则组名右侧新增按钮，可新增告警规则，如图所示： 7. 点击告警规则名右侧编辑按钮，可编辑告警规则信息。点击告警规则名右侧删除按钮，可删除告警规则。 8. 对告警规则的编辑操作，需要点击右上角“同步”按钮，将告警配置同步到Prometheus实例并加载生效，如图所示： 说明 1. 告警规则各字段说明如下： 1. 规则类型：分为告警、记录两种类型。告警类型用于配置异常告警，当监控指标触发告警表达式时，触发告警。记录类型用于预聚合监控指标，依照表达式聚合计算。 2. 持续时间：仅“告警”类型具有，当表达式成立且持续超过所设时间，告警将会触发。如果希望表达式成立后立即触发告警，可设置为0。需注意，持续时间设置过小，可能导致频繁无意义报警。 3. 表达式：填写PromQL语法的表达式。 4. 标签：预设字段mozialertlevel，用于定义告警级别，四个告警级别为WARNING（警告）、ERROR（错误）、SEVERITY（严重）、DISASTER（灾难）。例如，配置标签mozialertlevel为SEVERITY，触发告警后，在“告警历史”页面，告警的级别为“严重”。 5. 标注：预设标注字段description，用于定义告警信息，触发告警后，在“告警历史”页面，description字段对应的信息，将显示为“告警信息”。 2. 预设的记录类型告警规则，与系统功能相关，不建议用户自行修改。 3. 对告警规则组、告警规则的所有新增、修改、删除操作，都需要通过“同步”按钮，同步到监控组件并生效。 4. 可以勾选一批告警规则文件导出为压缩文件，压缩文件可再次用于告警规则导入，导入操作会直接同步到监控组件并生效，不需要额外的同步操作。需要注意，导入过程，同名告警规则文件会被覆盖。 5. 可以勾选一批告警规则文件进行删除，删除操作会直接同步到监控组件并生效，不需要额外的同步操作。

本文为您介绍如何使用集群的API Server审计功能实现集群安全运维。 为了帮助集群管理人员更安全高效地运维集群，Serverless集群提供了API Server 的审计日志能力。这些日志直接来源于API Server 内部，详细记录了每一次对 Kubernetes API 的访问。通过分析这些日志，可以轻松定位“是谁在何时操作了哪个资源”，这对于追溯集群活动、排查故障、减轻安全运维压力是必不可少的。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群 。 采集的日志将以日志流的形式发送到您账号下指定的云日志服务的日志项目中，且云日志服务使用统一的按量付费方式计费。 安装ctglogoperator日志插件 收集API Server审计日志需要先安装日志插件： 1. 登录云容器引擎管理控制台，在左侧导航栏选择“集群列表”。 2. 在集群列表页面，单击目标集群名称，然后在左侧导航栏，选择“插件” > “插件市场”。 3. 在插件市场页面，在插件列表中选择要安装的ctglogoperator插件，点击“安装”按钮。 也可以通过在左侧导航栏，选择运维管理 >下的日志中心，点击“安装插件”。 等待ctglogoperator插件安装完成。 4. 在左侧导航栏，选择运维管理下的日志中心。 5. 在日志中心页面，单击“kubernetes审计日志”页签，然后单击“立即开启”。 6. 在配置kubernetes审计日志接入页，选择创建或使用已有日志项目，修改日志存储时间，点击“确定”。

本文将向您介绍创建终端节点服务的步骤,以便您根据实际需求进行操作。 操作场景 终端节点服务是将云服务或用户私有服务配置为VPC终端节点支持的服务。目前支持"接口"类型的终端节点服务的创建。 约束及限制 单个VPC可以创建终端节点服务实例数为20个。 单个终端节点服务可连接终端节点实例数为500个。 单个终端节点只能连接1个终端服务节点实例。 前提条件 在同一VPC内已创建了后端资源。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“网络>VPC终端节点”，进入“终端节点”页面。 4. 在左侧导航栏选择“终端节点服务”，点击“创建终端节点服务”。 5. 在“创建终端节点服务”页面根据“接口型”终端节点服务配置说明配置参数，点击“确定”完成创建。 “接口型”终端节点服务配置说明 参数 说明 地域 终端节点服务所在地域，页面左上角可切换地域。不同地域的资源之间内网不互通，为了最优化的性能，请选择靠近您的地域，以降低网络时延并提高访问速度。 名称 终端节点服务的名称。名称由数字、字母、中文、、组成，不能以数字、和开头。 VPC 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，当前支持“接口”类型终端节点服务。 IP地址类型 服务IP地址类型，IPV4：仅自持IPV4类型终端节点连接，实现IPV4地址私网访问服务，双栈：支持IPV4和IPV6类型终端节点连接，实现IPV4和IPV6地址的私网访问服务。选择双栈类型时，挂载的后端服务资源池必须也是双栈类型资源。 是否自动接收连接 是否自动接收终端节点与终端节点服务的连接，审核权由终端节点服务控制。 可选择“是”或“否”。选择“否”不自动接受连接，则创建的终端节点为“待审核”状态，需要终端节点服务审核后方可使用。 服务计费 是否开启服务计费，可选择“是”或“否”。 默认连接服务的终端节点费用有终端节点创建账户支付，如服务开启服务计费后，则连接服务的终端节点费用将由服务所在账户支付，功能仅创建时指定，服务创建后不可修改。 端口映射 终端节点服务与终端节点建立连接，支持通过TCP/UDP协议进行通信。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。 服务端口和终端端口取值范围1～65535，单次操作最多可添加20条端口映射。 访问终端节点服务时，通过"终端端口 → 服务端口"的方式进行数据传输和通信。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 云主机：作为服务器使用。 物理机：作为服务器使用。 虚拟IP：适用于需要主备高可靠的业务。 内网负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。此处选择“内网负载均衡”。 说明：终端节点服务配置的后端资源所在安全组，安全组添加的规则是白名单，需要添加源地址为198.19.128.0/20的白名单入方向规则，详细操作请参考《虚拟私有云用户指南》中的添加安全组规则。 后端资源子网 选择后端资源所属的子网。 描述（可选） 可添加终端节点服务相关的描述。

本文为您介绍如何为云搜索Elasticsearch实例具备公网访问能力。 新开启的云搜索实例默认不具备公网访问能力，您如果需要通过公网访问Kibana、Cerebro或Elasticsearch需要为其绑定弹性IP或IPv6带宽，并配置安全组信息，才可使用公网访问。 约束限制 1. 开启公网访问后，会因此产生流量费用，请您提前根据自身需求，购买合适的产品。 2. 配置完成后，需要前往安全组设置页面，配置公网访问白名单后，才可正常使用。 3. 如果需要使用IPv6访问，需要在开通虚拟私有云VPC时即选择开通IPv6能力的子网，并在下单时选择该子网，不支持实例开通后再升级IPv6。 4. 订购1.2.0版本以上的实例，仅开启了HTTPS模式的实例才可以通过公网访问，关闭该模式则仅可通过内网访问。 开通IPv6访问能力的实例 您需要在订购时选择具备IPv6的虚拟私有云，选择子网后，会提示“该子网已开通IPv6”。并在IPv6访问处开启开关，如关闭，则仅可通过IPv4访问实例。 配置实例公网访问 您可以对已开通的实例进行公网访问的配置、修改、查看、解绑操作。 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在详情页面里选择“安全设置”，在弹出的页面上选择需要绑定的公网IP类型，如果为IPv4，请在下拉列表中选择弹性IP地址；如果为IPv6，请选择IPv6的带宽名称。如果绑定失败，可以等待几分钟后再次尝试重新绑定。绑定的弹性IP或IPv6带宽需要处于空闲状态。 注意 IP绑定过后，要补充安全组策略方可实现本地电脑公网访问Kibana、Cerebro或连接Elasticsearch。 3. 修改绑定弹性IP或IPv6带宽，也需要在当前页面选择对应要修改的项目，点击“修改公网IP”进行重新绑定。 4. 解绑弹性IP或IPv6带宽，可关闭公网访问状态，或点击已绑定的项目后的解绑按钮，即可解绑当前的公网访问能力。 5. 实例退订将自动解绑已绑定的弹性IP或IPv6带宽，如弹性IP或IPv6带宽不再使用，您需要另外前往弹性IP的控制台退订相应的弹性IP或IPv6带宽才会停止对应产品的计费。

本节介绍了安全管理角色的用户指南。 操作场景 基于角色（Role）的访问控制（RBAC）是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。 RBAC 的 Role 或 ClusterRole 中包含一组代表相关权限的规则。 这些权限是纯粹累加的（不存在拒绝某操作的规则）。 Role 总是用来在某个名字空间内设置访问权限； 在你创建 Role 时，你必须指定该 Role 所属的名字空间。与之相对，ClusterRole 则是一个集群作用域的资源。这两种资源的名字不同（Role 和 ClusterRole）是因为 Kubernetes 对象要么是名字空间作用域的，要么是集群作用域的，不可两者兼具。 前提条件 已创建云容器引擎集群，具体操作请参见创建一个集群。若已有容器集群，无需重复操作。 操作步骤 创建Role或Cluster Role 1. 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2. 在集群列表中点击需要创建Role的集群，进入集群管理页面。 3. 在集群管理页面导航栏中选择安全管理 > 角色，进入角色信息页面。 4. 在上⽅选项卡中选择Role或Cluster Role创建对应的角色，本文以Cluster Role为例。 5. 点击创建进入创建YAML页面，Yaml编辑窗口提供⼀个默认的Cluster Role Yaml模板，可参考模板创建需要的Cluster Role。