本文带您了解如何使用资源分组。 操作场景 资源分组支持您从业务角度集中管理业务涉及到的云主机、云硬盘、弹性IP、带宽等资源，帮助您按业务来管理不同类型的资源、告警规则、告警记录，可以迅速提升运维效率。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成云资源的创建。 说明 资源分组功能当前为受限开放阶段，仅支持部分资源池，如有需要可以联系客户经理提单开通。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“资源分组”，进入资源分组界面，查看资源组列表。 5. 单击页面右上角“创建资源分组”按钮，进入“创建资源分组”界面。 6. 根据提示配置参数后，点击下方“确定”按钮，完成资源分组创建。具体参数配置如下： 参数 参数说明 云服务 所关注资源对应的服务名称。 维度 所关注资源的维度名称。 资源 所关注的监控对象。可支持一次勾选多个监控对象。 添加云服务 可以一次性添加多个云服务。 名称 资源分组名称。

本文概括介绍天翼云HTTPS相关的功能及使用场景。 功能简介 HTTPS相关功能主要包括：HTTPS配置、HTTP2.0配置、强制跳转、OCSP装订、国密HTTPS、TLS版本配置、批量HTTPS证书配置、配置HSTS、配置加密套件等，可满足客户不同场景的使用需求。 功能 说明 配置HTTPS 开启HTTPS功能，实现客户端和CDN节点之间使用HTTPS加密传输。 HTTP2.0配置 相对于HTTP1.1，HTTP2.0新增了多路复用、压缩HTTP头、划分请求优先级和服务端推送等特性，解决HTTP1.1中存在的一些问题，优化请求性能。 强制跳转 用户到CDN节点的请求需要强制跳转为HTTP或者HTTPS时，可以配置强制跳转功能。 OCSP装订 开启OCSP装订功能后，由CDN进行OCSP信息查询并将查询结果缓存到服务器中，提升HTTPS响应性能。 国密HTTPS 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。 TLS版本配置 TLS即安全传输层协议，目的是为互联网通信提供安全及数据完整性保障，您可以按需对不同加速域名配置不同的TLS协议版本。 批量HTTPS证书配置 CDN支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 配置HSTS HSTS是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。 网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。 配置加密套件 加密套件是用于在SSL/TLS握手期间协商安全设置的算法的组合。在Client Hello和Server Hello消息交换之后，客户端发送密码支持套件列表，服务器从列表中选择密码套件进行响应。

天翼AI云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的CLINK数据安全传输协议，具备多重数据安全防护机制，实现安全高效的AI云电脑使用体验。提供一键部署、灵活可配、集中管控能力，广泛应用于办公、教育、医疗等行业使用场景。 本文档提供了天翼AI云电脑（政企版）API 的描述、语法、参数说明及示例等内容。

安全组产品广泛应用于多种场景,本文带您更快了解安全组的经典应用场景。 不同安全组内的弹性云服务器内网互通 场景举例： 在同一个VPC内，用户需要将某个安全组内一台弹性云主机上的资源拷贝到另一个安全组内的弹性云主机上时， 用户可以将两台弹性云主机设置为内网互通后再拷贝资源。 安全组配置方法： 由于同一个VPC内，在同一个安全组内的弹性云服务器默认互通，无需配置。但是，在不同安全组内的弹性云服务器默认无法通信，此时需要添加安全组规则，使得不同安全组内的弹性云主机内网互通。 在两台弹性云主机所在安全组中分别添加一条入方向安全组规则，放通来自另一个安全组内的实例的访问，实现内网互通，安全组规则如下所示。 协议 方向 端口范围/ICMP协议类型 源地址 设置内网互通时使用的协议类型（支持TCP/UDP/ICMP/All） 入方向 设置端口范围或者ICMP协议类型 IPv4地址、IPv4 CIDR或者另一个安全组的ID 仅允许特定IP 地址远程连接弹性云主机 场景举例： 为了防止弹性云主机被网络攻击，用户可以修改远程登录端口号，并设置安全组规则只允许特定的IP地址远程登录到弹性云主机。

本章节主要介绍翼MapReduce的趋势操作。 选择“主机 > 资源概况 > 趋势”，可查看所有集群或者单个集群的资源趋势监控页面，如下图所示。默认显示1小时的监控数据。用户可单击自定义时间区间，缺省时间区间包括：1小时、2小时、6小时、12小时、1天、1周、1月。各指标趋势图默认显示整个集群的最大值、最小值、平均值。 详见下图：资源趋势 单击“为图表添加主机”，可在定制显示的趋势指标图中，添加个别节点的指标趋势线，最多可添加12个主机。 单击，选择“定制”，可以自定义需要在页面上显示的指标项，详细指标项参考分布中的表。 选择“导出数据”，可以导出集群中所有节点，在所有选中的指标项下，选中时间范围内的最大值、最小值、平均值。

本文为您介绍添加受保护服务器的操作流程。 操作场景 保护组创建完成后，将需要容灾的服务器添加到指定的保护组中。 约束与限制 单次添加时，至少选择1个服务器进行保护，最多可以选择10个服务器。 目前仅支持64位操作系统，且服务器的规格不能小于2CPU+4GB内存。详情请参见支持的操作系统版本。 暂不支持将挂载了X系列云硬盘（如XSSD1等）的云主机添加为受保护的服务器。 注意事项 由于云容灾服务需要连通服务端VPC，如果受保护的服务器使用非默认安全组，请确认所使用的安全组配置了出方向规则，示例如下： 具体请参见安全组规则。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 在存储产品中选择“云容灾”，进入云容灾页面。 4. 在云容灾页面，单击“云上容灾”，进入云上容灾。 板块展示：默认进入板块展示页面，找到目标保护组，单击目标保护组板块，进入保护组页面。 列表展示：默认是板块展示，可单击右上角图标切换为列表展示。找到目标保护组，单击目标保护组名称，进入保护组页面。 5. 在保护组页面，在“受保护的服务器”页签，单击“添加受保护服务器”，进入云主机列表页面。 6. 在云主机列表页面，选择需要受保护的服务器，单击“确认”。 7. 待云主机状态变为“已初始化”，说明添加完成。

本小节介绍数据库安全运维实名操作控制及审计最佳实践。 背景 数据库资产作为企业各类经营业务数据的承载体，其重要性不言而喻。企业的核心业务数据往往是私密且敏感的，如何有效防护数据库资产安全，防止越权访问、违规操作以及进一步导致数据泄露等事件发生，成为企业在数据安全防护工程建设中重点关注的一项内容。传统数据库审计或数据库防火墙产品可审计及控制操作，但很难实名到自然人操作。 天翼云堡垒机支持数据库资产的运维管控，支持多种类型数据库运维，如MySQL、PostgreSQL、Oracle等协议类型数据库，支持自然人、数据库资源的操作关联，以满足不同用户使用需求。 数据库运维流程 管理员先将数据库纳入堡垒机进行管理，将资产访问权限分配给相关运维人员，运维人员登录系统，在资产访问页面触发“本地访问初始化”，系统会将运维访问策略下发到本地，初始化成功后，运维人员打开本地客户端连接资产进行访问运维。整个运维流程，从建立连接到资产中的操作详情，都将在堡垒机中实现管控审计。 前提条件 已在本地安装数据库访问客户端，如Navicat、DBeaver等。 已将数据库资产纳入堡垒机进行管理。 已获取相关资产访问权限。 操作步骤 管理员将数据库资产纳入堡垒机进行管理 1. 管理员登录堡垒机。 2. 左侧菜单选择“资产管理>资产”。 3. 在资产管理界面点击“新增”，弹出资产信息输入窗口，按界面各项属性引导输入相关信息后提交即可。

本小节介绍数据库安全运维实名操作控制及审计最佳实践。 背景 数据库资产作为企业各类经营业务数据的承载体，其重要性不言而喻。企业的核心业务数据往往是私密且敏感的，如何有效防护数据库资产安全，防止越权访问、违规操作以及进一步导致数据泄露等事件发生，成为企业在数据安全防护工程建设中重点关注的一项内容。传统数据库审计或数据库防火墙产品可审计及控制操作，但很难实名到自然人操作。 天翼云堡垒机支持数据库资产的运维管控，支持多种类型数据库运维，如MySQL、PostgreSQL、Oracle等协议类型数据库，支持自然人、数据库资源的操作关联，以满足不同用户使用需求。 数据库运维流程 管理员先将数据库纳入堡垒机进行管理，将资产访问权限分配给相关运维人员，运维人员登录系统，在资产访问页面触发“本地访问初始化”，系统会将运维访问策略下发到本地，初始化成功后，运维人员打开本地客户端连接资产进行访问运维。整个运维流程，从建立连接到资产中的操作详情，都将在堡垒机中实现管控审计。 前提条件 已在本地安装数据库访问客户端，如Navicat、DBeaver等。 已将数据库资产纳入堡垒机进行管理。 已获取相关资产访问权限。 操作步骤 管理员将数据库资产纳入堡垒机进行管理 1. 管理员登录堡垒机。 2. 左侧菜单选择“资产管理>资产”。 3. 在资产管理界面点击“新增”，弹出资产信息输入窗口，按界面各项属性引导输入相关信息后提交即可。

本文将介绍如何通过IP黑名单功能拦截来自指定IP、指定IP段与指定地域的IP地址请求。 功能介绍 通过访问控制功能，能够帮助您拦截来自指定IP、指定IP段与指定地域的IP地址请求。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版级以上版本支持配置IP、IP段、区域等粒度的访问控制功能（体验版支持配置IP粒度的访问控制） 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】 3. 进入【访问控制】页面 配置说明 配置项 说明 开关 访问控制策略的开关，支持开启或关闭 处理动作 支持配置处理动作为告警、加白、攻击标记、拦截、丢弃 告警：请求命中访问控制策略后，不对其拦截，仅记录攻击日志 加白：请求命中访问控制策略后，将对其进行加白，请求不经过任意Web安全防护策略 攻击标记：加白对应范围，但是如果请求触发规则，会记录在攻击日志 拦截：请求命中访问控制策略后，将对其进行拦截并记录攻击日志 丢弃：拦截后不会响应页面，会减少带宽 规则名称 访问控制策略的规则名称 防护范围 支持配置多个防护粒度，多个防护粒度为且关系，满足所有条件时，才触发处理动作 粒度选择：支持选择IP、IPS、地理位置、URI、PATH等十几种粒度，不同套餐版本支持选择不同的粒度，具体可见 套餐和版本说明 关系：包含/不包含 匹配内容：不同的粒度支持输入不同的匹配内容。一般支持输入多条，多条内容用英文符号;分隔

一个VPC最多支持创建多少个私网NAT？ 当前单个VPC最多支持购买10个私网NAT。 私网NAT支持SNAT规则和DNAT规则共用一个中转IP吗？ 私网NAT目前暂不支持SNAT规则和DNAT规则共用一个中转IP。 私网NAT支持云专线的IP转换吗？ 支持。在创建DNAT规则时，选择自定义模式，可添加通过云专线接入的客户云下IP。 私网NAT和公网NAT有什么区别？ 私网NAT是实现私网IP与私网IP之间的地址转换。 私网NAT的作用有： 通过私网IP地址转换，解决私网IP地址冲突的问题。 通过私网IP地址转换，满足指定地址接入的需求。 公网NAT是实现私网IP与公网IP之间的地址转换。 公网NAT的作用有： 更安全：避免云主机公网IP直接暴露在外。 省成本：共享EIP，共享带宽，节约EIP资源。 私网NAT是否支持跨账号使用？ 私网NAT本身不支持跨账号使用，但可以通过VPC对等连接实现跨帐户通信，VPC对等连接打通两个账号的中转VPC，实现两个私网NAT转换IP后的跨账号通信。

本文介绍如何进行查询配额用量、申请提升配额操作等管理配额的相关操作。 背景信息 服务配额是天翼云提供的用于集中管理天翼云服务配额的服务。目前服务配额已接入多个天翼云服务，包括共享带宽。如果您正在使用多个天翼云服务，希望在一个界面统一管理所有云服务的配额，推荐您使用服务配额。 通过配额中心查看配额 1. 登录服务配额控制台。 2. 进入网络区域。 3. 在服务列表页面，找到“虚拟私有云>共享带宽”。 4. 在右侧列表，您可以查看配额使用量等信息。 通过配额中心提升配额 1. 登录服务配额控制台。 2. 在页面右上角单击“申请扩大配额”。 选择所属产品和问题类型然后提交工单即可。

本节主要介绍OBS的使用限制。 传输层安全性协议和安全算法套件 限制项 说明 TLS协议 支持TLS1.2协议。 注意 基于安全合规要求，不支持使用TLS1.0/1.1协议。 安全算法套件 支持的安全算法套件如下： ECDHEECDSACHACHA20POLY1305 ECDHERSACHACHA20POLY1305 ECDHEECDSAAES128GCMSHA256 ECDHERSAAES128GCMSHA256 ECDHEECDSAAES256GCMSHA384 ECDHERSAAES256GCMSHA384 访问带宽和QPS 限制项 说明 带宽 单个天翼云账号内网默认的读写（GET/PUT）带宽上限是16Gbit/s； 单个天翼云账号公网默认的读写（GET/PUT）带宽上限是1Gbit/s； 如果您的业务有更大的带宽需求，请提交工单申请。 每秒请求数（Query Per Second, QPS） 单个天翼云帐号默认的写请求（PUT Object）上限是6000请求每秒。 单个天翼云帐号默认的读请求（GET Object）上限是10000请求每秒。 单个天翼云帐号默认的列举类请求（LIST）上限是1000请求每秒。 说明 如果用户在对象命名规则上使用了顺序前缀（如时间戳或字母顺序），可能导致大量对象的请求访问集中于某个特定分区，造成访问热点，会使热点分区上的请求速率受限，访问时延上升。推荐使用随机前缀对象名，这样请求就会均匀分布在多个分区，达到水平扩展的效果。使用随机前缀对象名的方法。如果您的业务有更大的QPS需求，请提交工单申请。

本节主要介绍OBS的使用限制。 传输层安全性协议和安全算法套件 限制项 说明 TLS协议 支持TLS1.2协议。 注意 基于安全合规要求，不支持使用TLS1.0/1.1协议。 安全算法套件 支持的安全算法套件如下： ECDHEECDSACHACHA20POLY1305 ECDHERSACHACHA20POLY1305 ECDHEECDSAAES128GCMSHA256 ECDHERSAAES128GCMSHA256 ECDHEECDSAAES256GCMSHA384 ECDHERSAAES256GCMSHA384 访问带宽和QPS 限制项 说明 带宽 单个天翼云账号内网默认的读写（GET/PUT）带宽上限是16Gbit/s； 单个天翼云账号公网默认的读写（GET/PUT）带宽上限是1Gbit/s； 如果您的业务有更大的带宽需求，请提交工单申请。 每秒请求数（Query Per Second, QPS） 单个天翼云帐号默认的写请求（PUT Object）上限是6000请求每秒。 单个天翼云帐号默认的读请求（GET Object）上限是10000请求每秒。 单个天翼云帐号默认的列举类请求（LIST）上限是1000请求每秒。 说明 如果用户在对象命名规则上使用了顺序前缀（如时间戳或字母顺序），可能导致大量对象的请求访问集中于某个特定分区，造成访问热点，会使热点分区上的请求速率受限，访问时延上升。推荐使用随机前缀对象名，这样请求就会均匀分布在多个分区，达到水平扩展的效果。使用随机前缀对象名的方法。如果您的业务有更大的QPS需求，请提交工单申请。

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 排查项一：安全组是否被修改 排查项二：手动检查LB是否有监听器和后端服务器组残留 排查思路 排查项一：安全组是否被修改 步骤 1 登录控制台，选择“服务列表 > 网络 > 虚拟私有云 VPC”，单击左侧导航栏的“访问控制 > 安全组”，找到集群控制节点的安全组。 控制节点安全组名称为：集群名称cce control 编号。 步骤 2 单击安全组名称，进入详情页面，请确保集群控制节点的安全组规则的正确性。 排查项二：手动检查LB是否有监听器和后端服务器组残留 模拟异常状态： 创删负载均衡（LoadBalancer，简称LB）类型service的任务执行时发生集群异常，恢复后会出现service删除成功，但是LB的监听器和后端服务器组残留。 步骤 1 预创建CCE集群，在集群内使用nginx官方镜像创建工作负载、预置lb、各类型service、ingress等资源。 步骤 2 保持集群正常运行，nginx负载处于稳态。 步骤 3 持续间隔每20s创建删除10个lb类型的service。 步骤 4 集群出现注入异常：如etcd实例不可用、集群休眠等问题。 问题原因： 异常注入时正在进行创建或删除过程中的lbservice被删除了，但是elb内有监听器和后端服务器组残留。 解决方案： 可以手动清理残留的监听器和后端服务器组。 步骤 5 登录控制台，单击服务列表中“网络 > 弹性负载均衡 ELB”。 步骤 6 在负载均衡器列表中，单击对应的ELB名称进入详情页，在“监听器”页签下找到残留的监听器，单击后方的删除图标进行删除操作。 步骤 7 在“后端服务器组”页签下找到残留的后端服务器组，单击后方的删除图标进行删除操作。

P1型弹性云主机功能如下： 处理器与内存配比为1:8。 处理器：Intel Xeon E52690V4 2.6GHz。 支持NVIDIA Tesla P100 GPU卡，单实例最大支持4张P100显卡，如果需要使用单机8张P100显卡，可以使用物理机。 提供GPU硬件直通能力。 单精度能力9.3 TFLOPS，双精度能力4.7 TFLOPS。 最大网络带宽10Gb/s。 使用16GiB HBM2显存，显存带宽732Gb/s。 使用800GiB的NVMe SSD卡作为本地临时存储。 完整的基础能力 网络自定义，自由划分子网、设置网络访问策略；海量存储，弹性扩容，支持备份与恢复，让数据更加安全；弹性伸缩，快速增加或减少云主机数量。 灵活选择 与普通云主机一样，P1型云主机可以做到分钟级快速发放。用户可以根据业务规模灵活选择规格，后续将逐步支持1:2、1:4、1:8规格云主机的创建。 优秀的超算生态 拥有完善的超算生态环境，用户可以构建灵活弹性、高性能、高性价比的计算平台。大量的HPC应用程序和深度学习框架已经可以运行在P1实例上。 常规支持软件列表 P1型云主机主要用于计算加速场景，例如深度学习训练、推理、科学计算、分子建模、地震分析等场景。应用软件如果使用到GPU的CUDA并行计算能力，可以使用P1型云主机。常用的软件支持列表如下： Tensorflow、Caffe、PyTorch、MXNet等深度学习框架 RedShift for Autodesk 3dsMax、VRay for 3ds Max Agisoft PhotoScan MapD

如何将云下内网或第三方云上的私网与CDM连通？ 很多企业会把关键数据源建设在内网，例如数据库、文件服务器等。由于CDM运行在云上，如果要通过CDM迁移内网数据到云上的话，可以通过以下几种方式连通内网和CDM的网络： 如果目标数据源为云下的数据库，则需要通过公网或者专线打通网络。通过公网互通时，需确保CDM集群已绑定EIP、CDM云上安全组出方向放通云下数据源所在的主机、数据源所在的主机可以访问公网且防火墙规则已开放连接端口。 在本地数据中心和云服务VPC之间建立VPN通道。 通过NAT（网络地址转换，Network Address Translation）或端口转发，以代理的方式访问。 这里重点介绍如何通过端口转发工具来实现访问内部数据，流程如下： 1. 找一台windows机器作为网关，该机器必须可以直接访问Internet，同时可以访问内网。 2. 在该机器上安装端口映射工具（IPOP）。 3. 通过端口映射工具（IPOP）配置端口映射。 说明长时间将内网数据库暴露在公网会有安全风险，迁移数据完成后，请及时停止端口映射。 场景描述 这里假设是将内网MySQL迁移到云服务DWS。 图中的内网既可以是企业自己的数据中心，也可以是在第三方云的虚拟数据中心私网。 如下图“网络拓扑样例”：

本章节主要介绍翼MapReduce服务的产品规格。 云主机 通用云主机 S7通用型 规格名称 核数（vCPU） 内存(GB) s7.2xlarge.4 8 32 s7.4xlarge.2 16 32 s7.4xlarge.4 16 64 s7.8xlarge.2 32 64 s7.8xlarge.4 32 128 C7通用计算增强型 规格名称 核数（vCPU） 内存(GB) c7.2xlarge.4 8 32 c7.3xlarge.2 12 24 c7.3xlarge.4 12 48 c7.4xlarge.2 16 32 c7.4xlarge.4 16 64 c7.6xlarge.2 24 48 c7.6xlarge.4 24 96 c7.8xlarge.2 32 64 c7.8xlarge.4 32 128 c7.12xlarge.2 48 96 c7.12xlarge.4 48 192 c7.16xlarge.2 64 128 c7.16xlarge.4 64 256 c7.24xlarge.2 96 192 c7.24xlarge.4 96 384 M7内存优化型 规格名称 核数（vCPU） 内存(GB) m7.2xlarge.8 8 64 m7.3xlarge.8 12 96 m7.4xlarge.8 16 128 m7.6xlarge.8 24 192 m7.8xlarge.8 32 256 m7.12xlarge.8 48 384 m7.16xlarge.8 64 512 m7.24xlarge.8 96 768

在您购买弹性云主机前,请先阅读本文了解弹性云主机的选型基本信息。 规格族&规格的关系 规格族是一组具有相同处理器、相似业务场景和使用场景的规格的集合，根据CPU、内存等配置，一种实例规格族又分为多种实例规格。 实例规格定义了实例的基本属性：CPU和内存（包括CPU型号、主频等），同时配合云硬盘、镜像和网络类型，才能唯一确定一台实例的具体服务形态。 规格命名说明 实例规格名称格式为 . . ：某个词语的缩写，标志着实例规格族的性能领域。如：s代表通用型，c代表计算型，m代表内存型，ip代表超高IO型，d代表磁盘增强型，e代表经济型，k代表鲲鹏，h代表海光，f代表飞腾，p代表计算加速型 g代表图形加速基础型。 ：一般用于区分同类型规格族间的发布时间，更大的数字代表新一代规格族。如：3、6、7、8等。 ：一般用于说明规格族的其他特性。如：a代表采用AMD处理器，ne代表网络增强型，t代表安全增强型。 ：由small、large或 xlarge组成，表示vCPU核数。small特指1 vCPU 1G内存的小规格，medium为1 vCPU，large为2 vCPU，xlarge为4 vCPU， 中的n越大，表示vCPU核数越多，如2xlarge代表2 4 8 vCPU，3xlarge代表3 4 12 vCPU等等，以此类推。 ：如1、2、4、8等，代表内存GB数和vCPU的比例。 例如，s2.2xlarge.1表示通用型2代云主机，具有8核CPU和8GB内存。

本文介绍流量镜像统一身份认证与权限管理。 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略 : 系统策略 ：预置的系统策略，您只能使用不能修改。流量镜像相关的系统策略包含如下： admin：流量镜像服务的管理者权限，包含流量镜像服务所有控制权限（不含订单类权限）； viewer: 流量镜像服务的观察者权限，包含流量镜像服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“自定义策略“。 流量镜像接口对应权限表 如下是流量镜像产品相关权限三元组及生效范围： 控制台接口 权限三元组 配置支持 控制台接口 权限三元组 IAM 企业项目 筛选条件 创建 vpc mirrorFilter create √ √ 筛选条件 列表获取 vpc mirrorFilter list √ √ 筛选条件 详情获取 vpc mirrorFilter get √ √ 筛选条件 详情获取 vpc trafficMirror list √ √ 筛选条件 详情获取 vpc trafficMirror get √ √ 筛选条件 创建过滤规则 vpc mirrorFilterRules create √ √ 筛选条件 修改过滤规则 vpc mirrorFilterRules update √ √ 筛选条件 删除过滤规则 vpc mirrorFilterRules delete √ √ 筛选条件 查看过滤规则 vpc mirrorFilterRules list √ √ 筛选条件 修改 vpc mirrorFilter update √ √ 筛选条件 删除 vpc mirrorFilter delete √ √ 镜像会话 创建 vpc trafficMirror create √ √ 镜像会话 创建 vpc mirrorFilter list √ √ 镜像会话 创建 vpc cloudSeverNics list √ √ 镜像会话 创建 vpc cloudSeverNics get √ √ 镜像会话 列表获取 vpc trafficMirror list √ √ 镜像会话 详情获取 vpc trafficMirror get √ √ 镜像会话 详情获取 vpc cloudSeverNics list √ √ 镜像会话 详情获取 vpc cloudSeverNics get √ √ 镜像会话 删除 vpc trafficMirror delete √ √ 镜像会话 修改 vpc trafficMirror update √ √ 镜像会话 变更筛选条件 vpc trafficMirror detach √ √ 镜像会话 变更筛选条件 vpc mirrorFilter list √ √ 镜像会话 添加镜像源 vpc trafficMirror increase √ √ 镜像会话 添加镜像源 vpc cloudSeverNics list √ √ 镜像会话 添加镜像源 vpc cloudSeverNics get √ √ 镜像会话 删除镜像源 vpc trafficMirror decrease √ √ 镜像会话 变更镜像目的 vpc trafficMirror change √ √ 镜像会话 变更镜像目的 vpc cloudSeverNics list √ √ 镜像会话 变更镜像目的 vpc cloudSeverNics get √ √ 镜像会话 启动镜像会话 vpc trafficMirror start √ √ 镜像会话 停止镜像会话 vpc trafficMirror stop √ √ 天翼云支持对用户组/子用户，进行资源池或全局维度的权限授权；同时也支持在企业项目中，对用户组进行资源组维度的权限授权。部分没有企业项目属性的接口或资源，授权只能以资源池或全局维度进行。以资源池或全局维度进行的授权判断，其优先级高于企业项目中的资源组维度授权。

本页介绍了关系数据库MySQL版如何重置数据库账号密码。 关系数据库MySQL版产品重置数据库账号密码的指引如下： 操作场景 您可重置自己创建的数据库帐号密码。出于安全考虑，请定期（如三个月或六个月）修改密码，防止出现密码被暴力破解等安全风险。 限制条件 恢复中的实例，不可进行该操作。 请确保账号绑定的手机号可以接收短信。 验证码的有效期为5分钟。 验证次数错误超过3次后，将在十分钟内无法再次获取验证码。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击账号管理，进入账号管理页面。 5. 在账号列表中，找到目标帐号，单击操作 列的重置密码。 6. 在修改账号 对话框中，输入新密码和确认密码，然后单击确定。

本节介绍天翼云息壤一体化智算服务平台的应用场景。 天翼云息壤一体化智算平台，根据不同场景化，提供产品组合解决方案。 调度运营分散算力管理 场景1：拥有分散的多种算力，需要建设统一纳管调度平台，高效利用资源。 场景2：拥有多余算力，希望纳入算力联盟，进行统一管理与运营，实现资源变现。 解决方案：息壤·算力互联调度平台+定制化开发+业务运营。 深度自研自建智算资源池 场景1：开发能力强，自己有训推平台，仅做智算设备纳管及资源调度。 解决方案：息壤·一体化计算加速平台，实现GPU与NPU服务器的管理与容器化，提供众多运维管理功能。 场景2：在纳管智算设备基础上还需要PAAS能力跑训推任务。 解决方案1：息壤·一体化计算加速平台+息壤·一站式智算服务平台。 解决方案2：息壤·一站式智算服务平台（轻量化）。 提供全链路智算平台，实现大模型训练与推理任务的全程管控。 敏捷开发弹性租用资源 场景：根据使用需求调用算力资源和训推平台能力。 解决方案1：息壤·一体化计算加速平台，基于云公有云资源池，按需租用所需的计算、存储等资源。 解决方案2：息壤·一体化智算服务平台，基于公有云资源，使用平台运行训练和推理任务。 解决方案3：息壤·算力互联调度平台（+息壤·一体化智算服务平台） 接入算力联盟，按需调用供应方资源。

本节介绍天翼云息壤一体化智算服务平台的应用场景。 天翼云息壤一体化智算平台，根据不同场景化，提供产品组合解决方案。 调度运营分散算力管理 场景1：拥有分散的多种算力，需要建设统一纳管调度平台，高效利用资源。 场景2：拥有多余算力，希望纳入算力联盟，进行统一管理与运营，实现资源变现。 解决方案：息壤·算力互联调度平台+定制化开发+业务运营。 深度自研自建智算资源池 场景1：开发能力强，自己有训推平台，仅做智算设备纳管及资源调度。 解决方案：息壤·一体化计算加速平台，实现GPU与NPU服务器的管理与容器化，提供众多运维管理功能。 场景2：在纳管智算设备基础上还需要PAAS能力跑训推任务。 解决方案1：息壤·一体化计算加速平台+息壤·一站式智算服务平台。 解决方案2：息壤·一站式智算服务平台（轻量化）。 提供全链路智算平台，实现大模型训练与推理任务的全程管控。 敏捷开发弹性租用资源 场景：根据使用需求调用算力资源和训推平台能力。 解决方案1：息壤·一体化计算加速平台，基于云公有云资源池，按需租用所需的计算、存储等资源。 解决方案2：息壤·一体化智算服务平台，基于公有云资源，使用平台运行训练和推理任务。 解决方案3：息壤·算力互联调度平台（+息壤·一体化智算服务平台） 接入算力联盟，按需调用供应方资源。

该任务用于指导用户对实例节点进行扩容。 本章节用于指导如何在依赖统一PaaS平台的环境上对telepg实例扩容。 前提条件 1. 已部署好telepg后端控制台。 2. 已在统一PaaS平台上配置了Postgresql数据库应用的资源池版本。 3. 扩容实例 1. 使用租户管理员(租户拥有者) 登录到统一PaaS平台，进入Telepg控制台，选择对应实例 ，单击更多 > 扩容。 2. 跳转进入云翼平台，显示对应待操作的实例，单击更多> 扩容。 3. 根据扩容需要选择对应列表页，其中telepg支持按规格扩容和磁盘扩容。 按规格扩容是根据当前实例规格信息及其配置的可扩容规格，进行节点扩容。 4. 例如：机器规格扩容：从实例规格2核4G扩容为4核8G,节点数保持不变。 5. 磁盘扩容是对当前实例的机器挂载磁盘进行扩容，常用于云硬盘扩容。 4. 按规格扩容机器规格扩容 若当前实例规格为高可用版2核4G，扩容目标实例规格为高可用版4核8G 。您可参考如下步骤实现： 1. 选择按规格扩容 页签，扩容规格选择为高可用版4核8G。 2. 单击检测 ，检测当前资源池是否有相应资源支持该规格扩容。 3. 单击预览 ，查看待扩容信息。 4. 单击扩容 ，即可完成机器规格扩容。 5. 磁盘扩容 若当前实例磁盘规格大小为50G，扩容目标实例磁盘规格大小为100G。 1. 选择磁盘扩容 页签，在对应节点中，分区大小扩容后选择目标磁盘规格为100G。 2. 单击预览，查看待扩容信息。 3. 单击提交，即可完成磁盘扩容。 6. 查看扩容工单 在云翼平台中，进入我的订购 菜单页面，在我的订单中查询对应的扩容工单。

本页介绍了在关系数据库MySQL版服务的管理控制台创建实例的过程。 背景信息 您可以根据业务需要定制相应计算能力和存储空间的关系型数据库实例，其中，计费模式支持包年包月（包周期）和按需计费。 创建实例时，系统默认开启自动备份策略。 实例创建成功后，您可以根据实际情况修改，具体操作，请参见修改备份策略。 数据库端口默认为13049。您也可在订购页自定义端口。 实例创建成功后，您可以根据实际情况修改，具体操作，请参见修改数据库端口。 操作步骤 1. 进入数据库实例订购页面。 方法一： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 注意 如需要对II 类型资源池广州4、苏州进行实例创建和管理，需要先在控制台的实例列表页面的左上角单击数据库资源池切换，并选择对应的资源池，然后进行管理和订购等操作。 3. 在实例列表上方，单击创建实例，进入数据库实例订购页面。 方法二： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击立即开通，进入数据库实例订购页面。 2. 在顶部菜单栏，选择区域和项目。 2. 根据实际情况，配置如下实例相关参数。 模块 参数 描述 基本信息 组件引擎和版本 选择数据库组件引擎和版本： 说明 选用MySQL数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 引擎：MySQL 版本：5.7或者8.0 基本信息 区域 租户当前所在区域。支持在顶部菜单栏左上角切换到其他区域。 注意 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 基本信息 计费模式 选择计费模式： 包年/包月：若选择该模式，则按照购买时长进行计费，一次性扣除。 按需计费：若选择该模式，则会从余额中进行扣除费用。 基本信息 模式 选择实例模式： 非MGR：实例类型可以选择单机版、一主一备和一主两备。 MGR：模式选择MGR后，实例类型默认只能选择一主两备 。更多MGR集群信息，请参见MGR集群。 基本信息 实例类型 根据具体的业务需求选择对应的实例类型。详细的实例类型信息，请参见实例类型。 基本信息 可用区 选择实例所在的可用区。针对支持多可用区的资源池，您可以将订购的非单机版实例节点分布在不同的可用区，即跨可用区部署实例。一个可用区不受其他可用区故障的影响，保证您数据库服务的可用性。 注意 跨可用区功能仅II类型资源池中的部分资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 规格与存储 CPU类型 部分资源池提供了X86和ARM架构，具体资源池加载情况以实际受理页为准。 规格与存储 性能类型 支持选择通用型、计算增强型和内存优化型的主机类型。关于各主机类型具体说明和适用场景，请参见实例规格。 说明 对应的主机类型提供对应六代机或七代机，目前七代机的表现整体优于六代机。 规格与存储 性能规格 选择实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后，支持进行规格变更。 规格与存储 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。具体存储类型差异，请参见实例存储类型。 规格与存储 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持100GB到32TB，您选择的容量大小必须为10的整数倍。 存储空间自动扩展：可选择开通自动扩容，开通后实例将根据选择的阈值进行自动扩展，无需担心空间满问题，建议扩容上限值设置大一些，以备不时之需。 磁盘加密：可选择磁盘是否加密，有效保护数据安全，此项功能仅支持在订购时进行设置，在控制台暂不支持设置。 注意 磁盘加密功能仅II类型资源池中的部分资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 规格与存储 备份空间 如果备份类型是云硬盘方式，备份空间大小需要大于等于存储空间。 如果备份类型是对象存储方式，默认会赠送和订购时选择的存储空间大小相等的对象存储空间。 注意 对象存储方式仅II类型资源池中的部分资源池支持，I类型资源池不支持该方式，以订购页实际显示为准。更多资源池信息，请参见功能概览。 免费备份空间额度仅与首次购买的存储空间大小绑定，后续扩容不额外增加免费额度。 备份空间实际用量超过免费额度时，系统将自动对超出部分按标准费率计费。 企业项目 企业项目 企业项目权限实现细粒度控制。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的权限限制。 网络 虚拟私有云 关系数据库MySQL版实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见创建虚拟私有云VPC。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 注意 目前关系数据库MySQL版实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 网络 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系数据库MySQL版实例的子网默认开启DHCP功能，不可关闭。 创建实例时关系数据库MySQL版会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 网络 IP地址 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址不可修改。 注意 手动输入指定IP地址功能仅II类型资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 网络 安全组 安全组限制实例的安全访问规则，加强关系数据库MySQL版服务与其他服务间的安全访问。请确保所选取的安全组允许客户端访问数据库实例。 如果不创建安全组或没有可选的安全组，关系数据库MySQL版服务默认为您分配安全组资源。 集群配置 实例名称 长度为4~64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 集群配置 设置密码 您可以在订购的时候设置密码，也可以选择在创建后进行设置密码，提高订购开通效率。 集群配置 管理员账号 数据库的登录名默认为root。 集群配置 管理员密码 长度为8~26位，需为字母、数字和特殊字符~!@

网站白名单 通过配置网站白名单规则，可对访问目标网站的流量进行放行处理。 （1）添加：点击“添加”，可将目标网站添加至白名单，需配置字段包括：网站白名单、描述、启用开关。 （2）删除等操作与文件格式操作方式一致。 入侵防御 入侵防御可实时监测经过翼甲卫士的网络流量，根据配置对多种网络攻击进行行为记录、告警、或拦截。 点击“已启用”即可启用入侵防御功能。运行模式主要有观察与拦截两种模式，其中拦截有宽松、中等、严格三种模式，用户可根据业务需求选择其中一种进行入侵防御。

本文帮助您快速熟悉导入/导出安全组规则的操作场景和操作流程。 操作场景 如果您根据业务场景需要在其他安全组中共用相同的安全组规则，可以利用安全组导入/导出功能将某个安全组的规则快速应用到另外一个安全组。 如果您想在本地备份一个安全组规则，可以利用安全组规则导出功能将待备份规则导出为本地文件。 约束与限制 导入安全组规则时，务必仔细检查规则的格式和内容，只能基于模板已有字段进行内容修改，不能新增字段和修改字段名称，否则会导入失败。 导入安全组规则时，若源地址/目的地址类型为安全组时，需确保安全组已在当前资源池存在且名称与ID正确，格式示例：格式为名称[id]，例如sgfaae[b479ddae618a4e0abf14cc66fca1355d]。（部分资源池可导入地址类型为安全组，实际情况以控制台展现为准）。 导入的规则应不超过1000条，超过数量不允许导入。当存在重复安全组规则时，无法导入。 对于上传文件类型，选择本地的CSV格式。 在导入规则之前，建议先备份当前安全组的规则，以防止意外覆盖或错误的添加规则。 导入规则时，确保目标安全组已经存在，否则导入操作可能会失败。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组、安全组规则的创建。

态势感知的数据来源。 态势感知（专业版）基于云上威胁数据和云服务采集的威胁数据，通过大数据挖掘和机器学习，分析并呈现威胁态势，并提供防护建议。 一方面采集全网流量数据，以及安全防护设备日志等信息，通过大数据智能AI分析采集的信息，呈现资产的安全状况，并生成相应的威胁告警。 另一方面汇聚企业主机安全（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）等安全防护服务上报的告警数据，从中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 态势感知（专业版）通过对多方面的安全数据的分析，为安全事件的处置决策提供依据，实时呈现完整的全网攻击态势。

参数 参数类型 说明 示例 下级对象 projectID String 企业项目ID 0 azName String 可用区名称 az1 attachedVolume Array of Strings 云硬盘ID列表 ["8e8f8bc8b8ad8a8e8e8888cd88888e88"] addresses Array of Objects 网络地址信息 addresses resourceID String 云主机资源ID f88bc88a88a888e8a88bf88888888888 instanceID String 云主机ID 88f888ea88ff88eca8bc888888888fe8 displayName String 云主机显示名称 xxx8888 instanceName String 云主机名称 xxx8888 osType Integer 操作系统类型，详见枚举值表 5 instanceStatus String 云主机状态，请通过状态 running expiredTime String 到期时间 20230419T09:37:53Z availableDay Integer 可用(天) 100 updatedTime String 更新时间 20221019T09:37:53Z createdTime String 创建时间 20221019T09:37:53Z zabbixName String 监控对象名称 8a8fdc88b8a888bb888f8b88888c88f8 secGroupList Array of Objects 安全组信息 secGroupList privateIP String 内网ipv4地址 10.0.0.1 privateIPv6 String 内网ipv6址 888:8:8c8:8888:bee8:88d8:c8a8:888 networkCardList Array of Objects 网卡信息 networkCardList vipInfoList Array of Objects 虚拟IP信息列表 vipInfoList vipCount Integer 虚拟IP数目 1 affinityGroup Object 云主机组信息 affinityGroup image Object 镜像信息 image flavor Object 云主机规格信息 flavor onDemand Boolean 付费方式，取值范围： true：表示按量付费， false：表示包周期 true vpcName String 虚拟私有云名称 vpcxxx vpcID String 虚拟私有云ID vpcxxx8xxxxxx fixedIPList Array of Strings 内网IP ["10.0.0.1"] floatingIP String 公网IP 172.16.0.243 subnetIDList Array of Strings 子网ID列表 ["subnet0yy0yy0yyy"] keypairName String 密钥对名称 keypairxxx

本文向您介绍标签管理服务的权限管理方法。 如果您需要对云服务平台上创建的云资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您希望您的部分员工拥有标签管理服务的查看权限，但是不希望他们拥有删除预定义标签等操作的权限，那么您可以使用IAM为员工创建用户，通过授予标签管理服务的只读权限（TMS ReadOnlyAccess），控制员工对TMS的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用标签管理服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见《统一身份认证用户指南》。 TMS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 TMS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置策略，访问TMS时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对TMS服务，管理员能够控制IAM用户仅能对TMS服务进行指定的操作，如仅给IAM用户授予查看预定义标签的细粒度授权项，那么此IAM用户仅能查看预定义标签但不能创建和删除预定义标签。 如下表所示，包括了TMS的所有系统策略和系统角色。由于云服务平台各服务之间存在业务交互关系，标签管理服务的策略依赖其他服务的策略实现功能。因此给用户授予标签管理服务的权限时，需要同时授予依赖的权限，标签管理服务的权限才能生效。

本节介绍天翼AI云电脑(公众版)在登录操作方面的常见问题。 AI云电脑是否支持多终端登录？ 天翼AI云电脑软件帐号支持最多5个终端同时登录，但无法在多个终端同时登录同一台AI云电脑。 什么是异常登录？ 您账号下已购的天翼AI云电脑，如出现具有安全风险的异常登录操作时，系统将自动登记及提示“异常记录”，提醒记录可在桌面工具栏的“安全中心“查看，请根据安全提示，及时处理异常记录，保护AI云电脑数据安全。 有哪些异常登录？ 针对个人用户的使用情况： 1. 异地登录提醒：当您的天翼AI云电脑在非常驻地区有登录行为时，将会推送异地登录提醒。 2. 设备管理功能：在天翼AI云电脑软件帐号已登录的终端设备中，如出现陌生终端设备或不再使用的终端设备，请及时按提示操作“移除设备”。 异地登录是否一定是异常登录？ 异地登录不一定是异常登录，系统将根据具体情况进行判断。例如，您本人在异地登录了天翼AI云电脑，可“忽略”本次异常提醒，“忽略”后，在该地1个月内的登录将不再收到异地登录提醒，如1个月内在该地登录5次以上，系统将视该地为常驻地。 天翼AI云电脑支持的终端 终端类型 终端 型号 说明 个人电脑 Windows Win7以上的台式机或者笔记本 XP系统建议重装win7 个人电脑 Mac 苹果一体机、Mac笔记本、苹果Mac mini等 操作系统：Mac OS10.14及以上64位版本 个人电脑 安卓瘦终端 天翼云电脑已通过适配的终端： 终端适配列表 适用Android7.0及以上版本的安卓瘦终端设备 移动终端 安卓 各品牌 4G/5G安卓手机 支持Android 7.0以上的手机和平板 移动终端 iOS 苹果手机、iPad 支持iOS 10.0系统以上设备

本章节为您介绍企业路由器的产品功能。 产品功能介绍 企业路由器提供丰富的功能供您灵活配置服务，具体说明如下表所示。 提供添加连接、创建自定义路由表、创建关联、创建传播、添加路由等丰富的网络构建和路由管理功能。 提供权限管控、标签管理、配额管理等提升服务使用安全和便捷的多种实用功能。 功能 功能描述 企业路由器 您可以将企业路由器看作一个支持路由学习的高性能集中路由器，创建企业路由器时，您可以设置部署区域、可用区、名称等参数。 企业路由器创建完成后，您可以根据业务使用情况灵活调整部分参数。 连接 为企业路由器添加网络实例对应的连接，即表示将网络实例接入企业路由器中。 路由表 路由表是企业路由器发送报文的依据，包含连接的关联关系、传播关系以及路由信息。 一个企业路由器可以拥有多个路由表，您可以将连接关联至不同的路由表，从而实现网络实例的灵活互通或者隔离。 关联 关联是将连接关联至ER路由表中，您可以通过以下方法创建关联： 手动创建：选择任意路由表，并在路由表中为连接创建关联。 自动创建：开启“默认路由表关联”功能，指定默认路由表，系统会自动为连接在默认路由表中创建关联。 传播 传播是企业路由器和连接的路由学习关系，您可以通过以下方法创建传播： 手动创建：选择任意路由表，并在路由表中为连接创建传播。 自动创建：开启“默认路由表传播”功能，指定默认路由表，系统会自动为连接在默认路由表中创建传播。 路由 路由是目的地址、下一跳以及路由类型等信息组成。路由分为两种： 自动学习的传播路由。 手动添加的静态路由。 企业路由器支持IPv4和IPv6路由。 共享 所有者可以将自己的企业路由器同时共享给多个其他帐号，称为接受者。 接受者可以在共享企业路由器中添加连接，将自己名下的网络实例加入该企业路由器中，实现多个帐号内的网络实例接入同一个企业路由器构建组网的需求。 对于“虚拟私有云（VPC）”连接，通过共享功能，可以在同一个企业路由器中接入不同帐号下的虚拟私有云，构建云上同区域组网。 流日志 通过流日志功能可以实时记录企业路由器中连接的流量日志信息。通过这些日志信息，您可以监控连接的网络流量、进行网络攻击分析等，帮助您实现高效的网络运维。 监控 通过云监控服务，您可以监控企业路由器实例以及企业路由器连接的网络情况。 审计 通过云审计服务，您可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 权限 针对位于云上的企业路由器资源，您可以通过IAM进行精细的权限管理，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，从而实现资源的安全管控。 标签 标签用于标识云资源，可通过标签实现对云资源的分类和搜索。你可以为企业路由器和路由表添加标签。 配额 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少个企业路由器、每个企业路由器添加多少个连接、每个路由表可以添加多少条路由等。

本节主要介绍高危操作及解决方案。 业务部署或运行过程中，用户可能会触发不同层面的高危操作，导致不同程度上的业务故障。为了能够更好地帮助用户预估及避免操作风险，本章节将从集群/节点、网络与负载均衡、日志、云硬盘多个维度出发，为用户展示哪些高危操作会导致怎样的后果，以及为用户提供相应的误操作解决方案。 集群/节点 分类 高危操作 导致后果 误操作后解决方案 :::: master节点 修改集群内节点安全组 可能导致master节点无法使用 说明 命名规则：集群名称ccecontrol随机数 参考购买混合集群，对安全组进行修复，放通安全组。 master节点 节点到期或被销毁 该master节点不可用 不可恢复。 master节点 重装操作系统 master组件被删除 不可恢复。 master节点 自行升级master或者etcd组件版本 可能导致集群无法使用 回退到原始版本。 master节点 删除或格式化节点/etc/kubernetes等核心目录数据 该master节点不可用 不可恢复。 master节点 更改节点IP 该master节点不可用 改回原IP。 master节点 自行修改核心组件（etcd、kubeapiserver、docker等）参数 可能导致master节点不可用 按照推荐配置参数恢复，详情请参见集群管理>配置管理。 master节点 自行更换master或etcd证书 可能导致集群不可用 不可恢复。 worker节点 修改集群内节点安全组 可能导致节点无法使用 说明 命名规则：集群名称ccenode随机数 参照购买混合集群，对安全组进行修复，放通安全组。 worker节点 节点被删除 该节点不可用 不可恢复。 worker节点 重装操作系统 节点组件被删除，节点不可用 重置节点，具体请参见重置节点。 worker节点 升级节点内核 可能导致节点无法使用或网络异常 说明 CCE集群依赖系统内核版本，如非必要，请不要使用yum update更新或重装节点的操作系统内核（使用原镜像或其它镜像重装均属高危操作） worker节点 更改节点IP 节点不可用 改回原IP。 worker节点 自行修改核心组件（kubelet、kubeproxy等）参数 可能导致节点不可用、修改安全相关配置导致组件不安全等 按照推荐配置参数恢复。 worker节点 修改操作系统配置 可能导致节点不可用 尝试还原配置项或重置节点，具体请参见重置节点。 worker节点 删除/opt、/var/paas目录，删除数据盘 节点不可用 重置节点，具体请参见重置节点。 worker节点 修改节点内目录权限、容器目录权限等 权限异常 不建议修改，请自行恢复。 worker节点 对节点进行磁盘格式化或分区 节点不可用 重置节点，具体请参见重置节点。 worker节点 在节点上安装自己的其他软件 导致安装在节点上的Kubernetes组件异常，节点状态变成不可用，无法部署工作负载到此节点 卸载已安装软件，尝试恢复或重置节点，具体请参见重置节点