本文为您介绍如何快速创建IPsec VPN连接。 环境要求 本地数据中心的网关设备必须配置公网IP地址。 本地数据中心的网关设备必须支持IKEv1或IKEv2协议，支持任意一种协议的设备均可以和VPN网关建立IPsec VPN连接。 本地数据中心和天翼云VPC间互通的网段没有重合。 使用流程 1. 创建VPN网关 创建VPN网关并开启IPsec VPN功能，一个VPN网关可以建立多条IPsec连接。 2. 创建用户网关 通过创建用户网关，您可以将本地数据中心VPN网关设备的信息注册到天翼云上。 3. 创建IPsec连接 IPsec连接是指VPN网关和本地数据中心VPN网关设备建立连接后的VPN隧道。只有在建立IPsec隧道后，本地数据中心才能使用VPN网关进行加密通信。 4. 配置VPN网关路由（可选） 当创建的IPsec连接配置的路由模式为“目的路由”时，您需要在VPN网关中配置路由，并发布路由到VPC路由表以实现本地数据中心和VPC的通信。 当创建的IPsec连接配置的路由模式为“感兴趣路由”时，无需执行此操作。 5. 配置本地网关设备 您需要在本地数据中心的网关设备中添加VPN配置。 6. 测试连通性 登录到天翼云VPC内一台弹性云主机实例，通过ping命令，ping本地数据中心内一台服务器的私网IP地址（未禁用ping探测），验证通信是否正常。

本节介绍分布式消息服务Kafka实例常见问题 为什么可用区不能选择2个？ Kafka 通常选择三个可用区而不是两个的原因在于数据的容错性和高可用性。通过将副本分布在三个可用区中，Kafka 能够实现更高级别的容错性和可用性，即使一个可用区发生故障，系统仍然可以继续正常运行。这种三个可用区的配置是为了提供更强大的冗余和容错能力，确保 Kafka 集群在面对故障时仍能保持数据的可靠性和可用性。 创建实例时为什么无法查看子网和安全组等信息？ 创建实例时，如果无法查看虚拟私有云、子网、安全组、弹性IP，可能原因是该用户还没创建相关网络实例，需要到对应天翼云网络产品购买相应的网络产品实例。 如何选择实例硬盘大小？ 磁盘大小：流量均值×存储时长×3（备份），建议在迁移上云过程中优化Topic以降低成本。 Kafka实例的超高IO和高IO如何选择？ 选择Kafka磁盘类型主要取决于应用的需求和预算。通常，对于Kafka来说，高IO磁盘是更常见的选择，因为它提供了更好的性能和吞吐量。更多信息请参考计费及购买类问题Kafka磁盘选择超高IO还是高IO？ Kafka服务端支持版本是多少？ 分布式消息服务Kafka支持2.132.8.2版本和2.133.6.2版本服务端。 Kafka实例是否支持修改访问端口？ 分布式消息服务Kafka支持在实例创建时指定访问端口。

本章节介绍Nacos告警管理功能 概述 通过实例的告警管理能力，您可以对实例状态进行实时监控，并在特定指标异常时，将消息以不同形式（短信、邮件、翼连）推送到相关负责人，以便及时感知问题、处理线上故障。 管理通知对象 在配置告警规则之前，您需要先添加通知对象。通知对象包括联系人、联系人组、翼连、WebHook集成四种形式。 1. 联系人：一个告警规则所通知的“个人”，通知渠道包括该“个人”的手机短信和个人邮箱。 2. 联系人组：多个联系人组成的逻辑团体。若告警通知到联系人组，将会通知联系人组下的每个联系人。 3. 翼连：通知到翼连群。 4. WebHook集成：通过调用预先指定的地址进行告警通知。 下面以最简单的联系人为例，演示如何添加通知对象。 1. 进入实例引擎控制台>告警管理>通知组页签，点击“新建联系人”按钮。 2. 在弹出的窗口中，填写联系人的对应信息，即可完成创建。 管理告警规则 告警规则决定了一次告警发生的阈值、通知的对象和渠道，以及通知的内容。完成联系人创建后，进入实例引擎控制台>告警管理>告警规则页签，可以管理您的告警规则。 下面将演示如何创建一个“Nacos引擎配置数量过多”告警规则并使其生效，触发告警。 1. 创建通知策略。进入实例引擎控制台>告警管理>通知策略页签，点击“创建通知策略”按钮，填写相关信息，并指定通知对象为上一步骤中创建的联系人，完成通知策略创建； 2. 点击“创建告警规则”按钮，在弹出的窗口中填写告警相关信息。其中，通知策略指定为步骤1中创建的通知策略，告警分组选择“Nacos引擎”，告警指标选择“配置数”，根据您的需求选择判断条件，告警等级等配置。 3. 完成告警规则创建后，可在告警规则列表中查询到该条目。告警规则创建完毕后默认启用，可通过右侧“操作”中的“停止”来使该规则失效。 告警规则生效后，可在实例引擎控制台>告警管理>告警事件历史页签中，对告警事件的当前状态进行追踪。

本章节主要提供产品服务协议预览。 点此预览：《翼MapReduce产品服务协议》

制作物理机镜像的常用方法是启动一个虚拟机，在虚拟机中安装需要的操作系统，然后安装需要的软件、驱动等，进行必要的配置，最后导出镜像。为使制作的镜像最终也能在物理机上正常使用，必须根据物理机的硬件情况安装必要的驱动，并保证在系统启动时加载这些驱动。 步骤说明： 准备工作 准备制作镜像环境：安装管理虚拟机的软件（virtmanager）。 搜集物理机硬件信息：确定需要在镜像中集成哪些驱动。 获取安装操作系统的ISO，需要安装的软件包等。 安装、配置操作系统 在虚拟机中安装操作系统。 根据业务需要安装软件、配置系统。这一步后可备份系统镜像，若后续因镜像有问题需要重新制作镜像，可从这一步开始。 安装必要的驱动，并把启动时需要用到的驱动加入到initramfs中，确保系统启动时可加载这些驱动。确保系统可在物理机上启动和使用。 配置终端、禁用selinux等。确保可通过终端访问物理机，并正常安装。 清理系统：删除网络配置（物理机装机时会生成这些配置）、machine ID等。 转换镜像格式、提供分区配置 windows上传qcow2格式的镜像，linux把qcow2格式的镜像转换为天翼云物理机使用的squashfs格式。 提供系统分区配置文件等。 上传并测试镜像 如有问题，需确定问题并重新制作镜像。

本节主要介绍如何设置备份策略 本节介绍如何在天翼云分布式缓存Redis的控制中心设置自动备份策略。设置完成后，系统将根据您设置的自动备份策略定时备份实例数据。 “自动备份”默认为关闭状态，如需开启自动备份，请参考本章节操作步骤。 前提条件 已成功创建分布式缓存服务Redis实例，且实例处于运行中状态。 操作步骤 1.登录 Redis管理控制台。 2.在管理控制台右上角选择实例所在的区域。 3.在实例列表页，单击目标实例名称进入实例详情页面。 4.左侧菜单点击备份与恢复，进入备份管理操作页面。 5.单击页面上的【备份策略】按钮，可选择备份周期和备份时段。 参数 说明 备份周期 设置自动备份频率为每周的某一天或者某几天，请按实际业务适当设置备份频率。 备份时段 设置自动备份任务执行时间。注意：实例备份大约需要5~30分钟，备份时间随着内存数据增加。为了尽量减少备份执行对业务的影响，请尽量选择业务较少的时间段作为备份时段。 6.设置好备份参数后，点击保存完成备份策略设置，该备份策略立即生效。 7.实例将在设置的备份时段自动执行备份操作，可在该页面查看备份记录。

源端服务器导致的迁移问题免责申明 因源端服务器的硬件(如磁盘、网卡）、软件(如OS、应用)、数据（文件）等损坏/配置不当/不兼容/业务量大/网络慢等因素引发的迁移问题，非主机迁移服务的问题，包括但不限于下面列举的问题。您可自行解决，若自行解决无果，您可以向天翼云提出咨询或请求天翼云协助解决，但天翼云不承诺解决问题。 源端服务器系统本身有问题，如：Windows的启动文件损坏或缺失。 源端服务器系统配置错乱，如：Linux的grub配置错乱缺失，fstab配置错乱。 网络问题，如：访问不了公网，网速慢，ssh问题，防火墙等。 IO读写慢，增量数据多，Windows有效簇分散，Linux小文件多导致的迁移慢，同步慢，同步时间比较久的问题。 源端平台服务或软件与天翼云不兼容。 源端平台服务或软件把Agent关闭，或杀毒软件把IO监控关闭。 迁移到天翼云后，若目的端服务器不能正常启动，天翼云可以提供相应的技术支持，但是不承诺解决问题。 其中目的端服务器不能正常启动的原因可能包括以下几种： 源端服务器本身无法重启。 源端服务器上有非OS标准的配置。 源端服务器上安装了与天翼云不兼容的驱动或软件等。 为了适配天翼云，主机迁移服务对目的端服务器的系统配置做了修改，主机迁移服务可以保证迁移前后数据一致性，但无法保证业务能正常运行，需要您自己修改业务相关配置。 业务割接后，源端服务器、目的端服务器均有新增数据时，使用主机迁移服务，无法将源端新增数据与目的端新增数据进行合并，只能使用源端数据覆盖目的端数据。因此，建议您在业务割接前，不要在目的端服务器新增数据；业务割接后，不要在源端服务器新增数据。对于业务割接后，源端服务器、目的端服务器均有新增数据且需要合并的情况，需要您自行设计解决方案。

本文介绍如何使用云监控对ECI实例进行监控。 您可以在云监控控制台查看ECI实例的监控图表，了解ECI实例运行状况，也可以设置报警规则，以便及时得知异常监控数据，并进行处理。 监控指标说明： 天翼云云监控服务是一项可对云产品资源实时监控和告警的服务。使您全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。云监控支持以下ECI实例监控指标： 指标名称 介绍 单位 containermemoryworkingsetbytes 容器当前工作集 Byte machinememorybytes 机器上安装的内存量 Byte containercpuusagesecondstotal 容器累计 CPU 时间消耗 s machinecpucores 逻辑 CPU 核心数 containerfsusagebytes 容器文件系统上容器消耗的字节数 Byte containerfslimitbytes 容器文件系统上可消耗的字节数 Byte containernetworkreceivebytestotal 容器接收字节的累计数量 Byte containernetworktransmitbytestotal 容器传输字节的累计数量 Byte ecimemoryusage ECI内存使用率 % ecicpuusage ECI CPU使用率 % ecifilesystemusage ECI文件系统使用率 % ecinetworkinrate ECI网络接受速率 Byte/s ecinetworkoutrate ECI网络发送速率 Byte/s 查看监控数据 1. 登录[++云监控控制台++](

本节介绍IPSec VPN的产品介绍。 功能介绍 IPsec VPN产品用于客户防火墙或其他VPN设备与云侧IPsec VPN实例建立加密隧道实现数据入云安全传输，完成客户侧办公区与云侧VPC的快速安全互联。有别于iVPN实例，iVPN实例在逻辑上属于客户侧资源，IPsec VPN实例在逻辑上属于云侧资源。同时IPsec VPN与翼甲防火墙产品相比，不需要绑定弹性IP即可建立加密隧道。 使用限制 （1）IPsec VPN支持关联的客户侧网段与各VPC子网网段重叠，但是需要用户确保客户侧与云侧不存在IP冲突设备，因此建议用户在使用过程中避免客户侧与云侧网段重叠。 （2）IPsec VPN只能加载IPsec VPN实例所在资源池VPC，加载跨资源池VPC需要结合跨域互联使用。 （3）IPSec VPN暂时只支持IKEv2协议。

本章节主要介绍查看集群状态。 集群创建完成后，登录翼MapReduce控制台后，可查看账号下所有集群列表和集群状态。 在“我的集群”中，显示所有您创建过的集群，默认页面上最多显示10条集群信息，当您集群数量较多时，可以修改页面右下角当前页面最多显示的集群条数，也可以翻页进行查看。 集群列表参数说明： 参数 参数说明 集群名称 用户自己定义的集群名称。 集群类型 用户创建集群时选择的集群类型。 计费模式 包年/包月、按需或包年/包月到期转按需。 企业项目 集群所属的企业项目。 状态 集群当前的状态信息。 启动中：集群正在创建中，通过“查看进程”查看具体的进程。 运行中：集群创建成功且集群中组件状态处于正常运行中，集群正在正常运行。 异常终止：集群启动失败或因为异常原因而终止，通过“失败原因”查看终止原因。 释放中：集群正在退订。 已终止：集群已经到期15天以上或者集群已经完成退订。 已冻结：已经到期的集群，资源会保留15天，此时状态为已冻结。 创建时间 集群创建的时间。

本文介绍全站加速相关术语解释。 CNAME记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当DNS系统在查询CNAME左面的名称的时候，都会转向CNAME右面的名称再进行查询，一直追踪到最后的PTR或A名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用docs.ctyun.cn访问，您又希望通过documents.ctyun.cn也能访问该服务器，那么就需要在您的DNS解析服务商添加一条CNAME记录，将documents.ctyun.cn指向docs.ctyun.cn，添加该条CNAME记录后，所有访问documents.ctyun.cn的请求都会被转到docs.ctyun.cn，获得相同的内容。 CNAME域名 接入全站加速时，在天翼云控制台添加完加速域名后，您会得到一个天翼云给您分配的CNAME域名， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向这个CNAME域名，这样该域名所有的请求才会指向天翼云全站加速的节点，达到加速效果。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.ctyun.cn会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。

本章节主要提供产品服务等级协议预览。 点此预览：《翼MapReduce产品服务等级协议》

对Linux软件漏洞或Windows系统漏洞进行一键修复时，如果出现修复失败，您可以参照本说明确认失败的原因，根据给出的解决方案解决问题后再次尝试修复漏洞。 说明 如果根据错误码未能明确失败的原因，请提工单寻求天翼云技术支持人员协助分析。 错误码处理索引 错误码编号 错误信息 处理方案 100 无法连接软件源 错误码100处理方法。 101 无法连接微软官方服务器 Windows系统漏洞修复需要连接微软官方服务器获取安全更新，请排查服务器与微软官网的网络是否联通。 可通过浏览器访问相关判断是否联通：测试页面。 102 软件源上没有可用包 错误码102处理方法。 103 没有匹配的安全更新 服务器繁忙导致WUAPI接口返回数据不准确，无法人为干预，建议稍后再试。 104 磁盘空间不足 检查磁盘使用情况，释放磁盘空间后再次尝试修复漏洞。 105 包管理命令(yum/apt)不存在 错误码105处理方法。 200 yum执行命令失败 yum执行命令失败原因多样，建议复制该命令到机器上执行，查看返回结果，根据具体情况分析可能的原因。 如果多次失败请提工单寻求技术支持人员协助分析。 201 rpm数据库损坏 [错误码201处理方法](

本文主要介绍云监控服务Java SDK接入指南。 一、前言 安装使用JAVA SDK可以帮助开发者快速接入并使用天翼云的监控服务相关功能。 二、使用条件 2.1 先决条件 用户需要具备以下条件才能够使用LTS SDK Java版本： 1. 开通了天翼云的云监控服务。 2. 已获取AccessKey 和 SecretKey。 3. 已安装JDK1.8及以上环境。 2.2 下载及安装 安装jar包有如下两种方式： 1、源码编译：下载 ctyunmonitorjavasdk1749785225503.zip 压缩包，放到相应位置后并解压，把包放在本地目录： 。如果您想直接使用SDK，可以不做修改，直接使用SDK源码，示例代码为example/SamplePutlogs.java。 1. 把SDK源码构建成jar包，可通过构建工具构建 2. 把生成的jar包引入本地maven仓库。可以通过例如idea的maven工具install 到maven仓库。或者通过命令构建安装（在jar包所在目录执行下面命令）。 plaintext // 构建 jar 命令（保证已经到 ctyunmonitorjavasdk1749785225503 工程根目录） mvn clean package am amd Dmaven.test.skiptrue Dcheckstyle.skiptrue // 将生成的jar包引入本地maven仓库 mvn install:installfile Dfile./target/ctyunjavasdk1.0.0SNAPSHOT.jar DgroupIdcom.ctyun DartifactIdctyunjavasdk Dversion1.0.0SNAPSHOT Dpackagingjar 其中： Dfile 指定 jar 文件的路径。 2、直接联系天翼云客户经理获取jar包，拿到 jar 包后使用如下命令将 jar 包引入本地maven仓库 plaintext // 将生成的jar包引入本地maven仓库 mvn install:installfile Dfilexxx/ctyunjavasdk1.0.0SNAPSHOT.jar DgroupIdcom.ctyun DartifactIdctyunjavasdk Dversion1.0.0SNAPSHOT Dpackagingjar 其中： Dfile 指定 jar 文件的路径。 执行上述命令后，如果成功会出现如下提示：

本章节向您介绍通过企业路由器实现同区域VPC隔离的需求背景与场景。 背景信息 XX企业在天翼云某区域内部署了4个虚拟私有云VPC，业务A、业务B、业务C分别部署在VPC1、VPC2、VPC3，公共业务部署在VPC4中，网络要求如下： 1. 业务A、业务B以及业务C所在的3个VPC需要隔离，不互通。 2. 业务A、业务B以及业务C都需要和公共业务所在的VPC4互通。 说明 您可以使用企业路由器的共享功能，将不同账号下的虚拟私有云添加至同一个企业路由器中构建组网。 操作流程 本文档介绍如何通过企业路由器构建同区域VPC隔离组网。 下表是构建同区域VPC隔离组网流程说明 序号 流程 说明 1 规划组网和资源 规划组网和资源，包括资源数量及网段信息等。 2 创建资源 1、创建企业路由器：创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 2、创建VPC和ECS：创建4个虚拟私有云VPC和4个弹性云主机ECS。 3 配置网络 在企业路由器中配置VPC连接： 1、在企业路由器中添加“虚拟私有云（VPC）”连接：将4个VPC分别接入企业路由器中。 2、在企业路由器中创建路由表；创建2个自定义路由表。 3、在路由表中创建关联和传播：根据网络规划，在两个路由表中分别创建“虚拟私有云（VPC）”连接的关联和传播。 4、在VPC路由表中配置路由：在VPC路由表中配置到企业路由器的路由信息。 4 验证网络互通情况 登录ECS，执行ping命令，验证网络互通情况。

本节介绍翼加密的创建加密策略的流程，以及相关配置项的说明。 开通翼加密后，通过AI云电脑控制台菜单找到“文件加密”——“加密策略管理”，点击“新建”即可创建加密策略。 加密策略配置项说明如下表所示： 策略内容 说明 工作场景 安全办公场景：加密范围文档文件全选加密强度。标准金融财务办公：加密范围文档文件全选加密强度。最高自定义设置：不预设加密范围和加密强度，完全由管理员自定义选择。 加密范围 自定义配置加密管控的应用进程，以及加密的文件格式类型。 剪切板控制 开启后加密管控进程打开的文件无法复制粘贴内容到非加密管控进程。比如用WPS打开的word文档内的文字图片无法复制到微信，保证加密数据安全无泄漏。加密管控进程之间的复制粘贴操作正常，如WPS打开的多个word文档之间允许复制粘贴。 加密强度 国密算法（旗舰版）：SM4，适用于有国密加密安全要求的政企部门或组织。最高（旗舰版）：AES256，安全系数最高，适用对文件安全性要求高的场景。高（旗舰版）：AES192，安全系数高，适用于对文件安全性有较高要求的场景。标准（标准版）：AES128，基础的安全加密等级，能有效加密文件，防止文件数据外泄。

本文介绍全站加速域名操作日志页面信息。 功能介绍 域名操作日志，是用于跟踪和记录由客户操作发起的域名新增及域名配置变更任务信息，方便跟进操作的进度以及追溯操作历史，辅助管理客户业务。当您在域名管理操作中，新增域名或对某个域名的配置进行了变更，编辑完成后，每提交一次任务，系统都会生成一条域名操作工单（编号唯一），该工单编号作为天翼云内部各系统对本次变更任务的跟踪管理和结果管理，且系统会实时更新工单的处理状态（进行中、成功、失败），通过【客户控制台】 【域名管理】【操作日志】展示出来，方便用户及时感知。 工单状态及处理建议： 1. 工单【状态】【成功】：常规域名变更任务，一般会在5~10分钟内部署完成，每当重新进入【工单列表】页签控制台会自动更新工单状态，可以看到工单【状态】变化，从【进行中】变更为【成功】，此时说明配置已全局部署并生效，工单闭环。 2. 工单【状态】【进行中】：如果等待10分钟以上，重新刷新【工单列表】其状态依然是【进行中】，而又比较着急的话，请通过提交工单（客服工单）联系天翼云客服，由其帮您定位域名操作工单（本文档所介绍的工单）的内部处理进展，直至闭环。 3. 工单【状态】【失败】：如果工单显示失败，请通过提交工单（客服工单）联系天翼云客服，由其帮您定位域名操作工单失败原因，直至闭环。

本章节介绍Eureka引擎告警管理功能 概述 通过实例的告警管理能力，您可以对实例状态进行实时监控，并在特定指标异常时，将消息以不同形式（短信、邮件、翼连）推送到相关负责人，以便及时感知问题、处理线上故障。 管理通知对象 在配置告警规则之前，您需要先添加通知对象。通知对象包括联系人、联系人组、翼连、WebHook集成四种形式。 联系人：一个告警规则所通知的“个人”，通知渠道包括该“个人”的手机短信和个人邮箱。 联系人组：多个联系人组成的逻辑团体。若告警通知到联系人组，将会通知联系人组下的每个联系人。 翼连：通知到翼连群。 WebHook集成：通过调用预先指定的地址进行告警通知。 下面以最简单的联系人为例，演示如何添加通知对象。 1.进入实例引擎控制台>告警管理>通知组页签，点击“新建联系人”按钮。 2.在弹出的窗口中，填写联系人的对应信息，即可完成创建。 管理告警规则 告警规则决定了一次告警发生的阈值、通知的对象和渠道，以及通知的内容。完成联系人创建后，进入实例引擎控制台>告警管理>告警规则页签，可以管理您的告警规则。 下面将演示如何创建一个“Eureka引擎注册服务健康实例数量占比过少”多告警并使其生效，触发告警。 1. 创建通知策略。进入实例引擎控制台>告警管理>通知策略页签，点击“创建通知策略”按钮，填写相关信息，并指定通知对象为上一步骤中创建的联系人，完成通知策略创建； 2. 点击“创建告警规则”按钮，在弹出的窗口中填写告警相关信息。其中，通知策略指定为步骤1中创建的通知策略，告警分组选择“Eureka引擎”，告警指标选择“健康实例数量占比”，根据您的需求选择合适的判断条件，告警等级。 3. 完成告警规则创建后，可在告警规则列表中查询到该条目。告警规则创建完毕后默认启用，可通过右侧“操作”中的“停止”来使该规则失效。 4. 告警规则生效后，可在实例引擎控制台>告警管理>告警事件历史页签中，对告警事件的当前状态进行追踪。

本章节主要提供用户操作指南下载。 点此下载：《翼MapReduce服务用户操作指南》

云点播产品割接IAM情况说明 综述 云点播自2024年11月13日起，从原先CDN+IAM切换至天翼云统一身份认证服务（以下简称“CTIAM”）。 通过CTIAM用户可以在统一的主子账号体系下对云点播产品的资源、权限进行管理，降低管理员维护的成本，保持天翼云账号权限管理的一致性。由于两者在使用习惯上存在一定的差异，无法做到无感知平移切换，特对两者的差异和割接后的注意事项说明。 割接升级公告 关于2024年11月13日媒体存储、云点播产品功能变更的公告 相关术语说明 增量子用户：自2024年11月13日后从CTIAM统一认证管理平台新增的子用户。 存量子用户：自2024年11月13日前主账号通过原CDN+IAM创建的子用户。 CDN+IAM和CTIAM的使用差异 CDN+IAM CTIAM 登陆入口 主、子账号登陆入口不同。主账号通过天翼云CTIAM登陆，子账号通过CDN+IAM入口登陆。 主子账号均通过CTIAM入口登陆。 登录凭证 CDN+IAM配置的虚拟邮箱，或手机号码登陆。手机号码在平行工作区内保持唯一性。 使用在天翼云CTIAM配置的认证邮箱、手机号码登陆。手机、邮箱在当前组织（企业）内保持唯一性。 存量子用户在迁移完成后，默认填入虚拟手机号码，该号码需修改为真实号码方可使用。 创建子用户 在CDN+IAM控制台创建。CDN+IAM控制台支持多个平行的组织（工作区），在不同组织创建的子用户权限不互通。 在CTIAM控制台创建。同一个主账号仅支持一个组织。 删除子用户 子用户在云点播的权限配置会被全量清理，且无法恢复。 子用户在云点播的权限配置会被全量清理，且无法恢复。 撤销子用户权限 无对应逻辑。 子用户在云点播的权限配置会被全量清理，且无法恢复。 冻结子用户 无对应逻辑。 子用户在云点播的权限配置会被冻结，相关权限信息保留，暂不清理。 主账号AK/SK 不接受CDN+IAM产生的AK/SK，用户使用云点播原生AK/SK调用接口。最多允许5组原生AK/SK。 仅接受CTIAM产生的AK/SK，云点播不再自行产生原生AK/SK密钥对。存量AK/SK仍然可用。CTIAM最多支持创建2组AK/SK。 子账号AK/SK 无子用户AK/SK。子用户使用主账号AK/SK操作API接口。 由CTIAM产生子用户的AK/SK，子用户在CTIAM控制台查看各自的密钥对。 子用户授权 无实体权限与CDN+IAM对接。 与CTIAM权限体系对接，后续会持续新增权限策略。

本章节介绍如何启用Ranger权限。 操作场景 为构建统一、安全的数据治理体系，企业可使用Ranger对大数据平台进行集中化的细粒度权限管控。通过Ranger，管理员可以统一配置并管理用户对Hive、Spark、HDFS及Doris等核心组件的访问策略，实现从库、表、列到文件、目录级别的安全控制。 在部署Ranger组件后，需为上述服务逐一启用对应的Ranger权限插件，并完成相关服务的配置与重启操作，以使权限策略生效，从而确保数据访问的安全性与合规性。 操作步骤 1、登录翼MR管理控制台。 2、单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3、单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4、进入到翼MR Manager操作界面，单击“集群服务”菜单。 5、选择Ranger服务，单击“插件启用”tab。 6、单击要启用的插件，启用后请参考说明进行配置修改或重启相关服务。 注意 重启服务时请选择合适的业务时间，避免影响存量作业运行，可考虑使用滚动重启或逐节点重启的方式，降低业务影响。 说明 1、Hive：插件启用成功后，请重启HiverServer2角色实例。 2、HDFS：插件启用成功后，请先前往配置管理页面同步hdfssite.xml最新配置，再重启NameNode角色实例。 3、Spark：插件启用成功后，请前往配置管理页面同步sparkdefaults.conf最新配置，同步后功能生效。若部署了Kyuubi服务，请重启Kyuubi。 4、Doris：插件启用成功后，请参考下述信息修改配置并进行同步，重启FE角色实例后，功能生效。 步骤1：上传Ranger的keytab文件到所有FE节点上（ansible/scp等方式），上传路径：/etc/security/keytabs/ranger.keytab，然后改成其他用户可读 步骤2：修改/usr/local/dorisfe/conf/rangerdorissecurity.xml文件中的配置，并确认配置项替换成功 shell RANGERADMINRESTADDRESSRanger Admin所在的IP与端口 RANGERADMINKEYTABPATH/etc/security/keytabs/ranger.keytab RANGERADMINPRINCIPAL$(klist kt /etc/security/keytabs/ranger.keytab grep m1 ranger/ sed E "s/. (ranger/[^[:space:]]+)./1/" tr d "n" xargs) sed i "sRANGERADMINRESTADDRESS$RANGERADMINRESTADDRESS" /usr/local/dorisfe/conf/rangerdorissecurity.xml sed i "sRANGERADMINKEYTABPATH$RANGERADMINKEYTABPATH" /usr/local/dorisfe/conf/rangerdorissecurity.xml sed i "sRANGERADMINPRINCIPAL$RANGERADMINPRINCIPAL" /usr/local/dorisfe/conf/rangerdorissecurity.xml 步骤3：在manager启用Ranger集群服务页面，启用Doris插件，并重启FE节点。

本章节介绍如何启用Ranger权限。 操作场景 为构建统一、安全的数据治理体系，企业可使用Ranger对大数据平台进行集中化的细粒度权限管控。通过Ranger，管理员可以统一配置并管理用户对Hive、Spark、HDFS及Doris等核心组件的访问策略，实现从库、表、列到文件、目录级别的安全控制。 在部署Ranger组件后，需为上述服务逐一启用对应的Ranger权限插件，并完成相关服务的配置与重启操作，以使权限策略生效，从而确保数据访问的安全性与合规性。 操作步骤 1、登录翼MR管理控制台。 2、单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3、单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4、进入到翼MR Manager操作界面，单击“集群服务”菜单。 5、选择 anger服务，单击“插件启用”tab。 7、单击要启用的插件，启用后请参考说明进行配置修改或重启相关服务。 注意 重启服务时请选择合适的业务时间，避免影响存量作业运行，可考虑使用滚动重启或逐节点重启的方式，降低业务影响。 说明 1、Hive：插件启用成功后，请重启HiverServer2角色实例。 2、HDFS：插件启用成功后，请先前往配置管理页面同步hdfssite.xml最新配置，再重启NameNode角色实例。 3、Spark：插件启用成功后，请前往配置管理页面同步sparkdefaults.conf最新配置，同步后功能生效。若部署了Kyuubi服务，请重启Kyuubi。 4、Doris：插件启用成功后，请参考下述信息修改配置并进行同步，重启FE角色实例后，功能生效。 步骤1：上传 anger的keytab文件到所有 节点上（ansible/scp等方式），上传路径：/etc/security/keytabs/ranger.keytab，然后改成其他用户可读 步骤2：修改/usr/local/dorisfe/conf/rangerdorissecurity.xml文件中的配置，并确认配置项替换成功 shell RANGERADMINRESTADDRESS anger dmin所在的 与端口 RANGERADMINKEYTABPATH/etc/security/keytabs/ranger.keytab RANGERADMINPRINCIPAL$(klist kt /etc/security/keytabs/ranger.keytab grep m1 ranger/ sed E "s/. (ranger/[^[:space:]]+)./1/" tr d "n" xargs) sed i "sRANGERADMINRESTADDRESS$RANGERADMINRESTADDRESS" /usr/local/dorisfe/conf/rangerdorissecurity.xml sed i "sRANGERADMINKEYTABPATH$RANGERADMINKEYTABPATH" /usr/local/dorisfe/conf/rangerdorissecurity.xml sed i "sRANGERADMINPRINCIPAL$RANGERADMINPRINCIPAL" /usr/local/dorisfe/conf/rangerdorissecurity.xml 步骤3：在manager启用 anger集群服务页面，启用 oris插件，并重启 节点。

本章节主要提供用户操作指南的下载。 点此下载：《翼MapReduce服务用户操作指南》

本文介绍业务告警功能以及如何提交告警需求。 功能介绍 天翼云边缘安全加速平台支持自动化业务指标监控和告警功能，客户可以依据实际业务监控/告警需要，设置相关的监控与告警规则。当告警规则被触发时，天翼云监控系统会根据客户设定的手机短信、电子邮件、企业微信、钉钉等通知方式发送告警信息，通知客户及时介入并处理相关问题。 目前已支持的常用监控/告警指标，包括但不限于： 带宽/流量：上限/下限监控、突增突降监控。 请求数：上限/下限监控、突增突降监控。 状态码：异常状态码（5xx/4xx）次数监控、异常状态码（5xx/4xx）比例监控。 适用场景 如您的业务是大文件下载或音视频点播业务，经常涉及带宽/流量突增突降等，可以重点考虑设置带宽/流量相关的监控指标，并设置合适的阈值进行监控和告警。 如您的业务是静态小文件，例如，政企官网、金融证券、电子商务和新闻媒体等各类网站，更关注用户访问量及QPS的变化，可重点考虑设置请求数/QPS相关的监控指标，并设置合适的阈值进行监控和告警。 如您的业务对服务可用性比较敏感，您可以设置状态码相关的监控指标，设置合适的阈值实时监控业务的运营状态，确保异常时可及时告警并人工介入处理。

适用场景 如视频网站使用HLS协议，且具备较强的版权保护和防盗链需求，可通过在源站对TS文件做加密，配合使用CDN的HLS标准加密改写功能，并结合严格的鉴权策略，实现HLS视频的版权保护。 配置说明 目前该功能暂不支持客户自助开启，如需使用，请通过提交工单向天翼云客服申请。 提交工单时，请您提供如下信息： 参数 说明及示例 加密算法 TS文件的加密算法，默认为AES128。 秘钥地址 TS文件的加密秘钥获取地址，一般为同个加速域名下的某个地址，如 秘钥地址的鉴权参数 TS文件的加密秘钥获取地址中的鉴权参数，默认为对应M3U8的鉴权参数；如M3U8存在多个参数名，需指定具体的参数名称。 TS文件是否改写 指M3U8中的TS文件列表是否需要添加鉴权参数，如是，请说明具体需要添加的鉴权参数key和value信息。

适用场景 如视频网站使用HLS协议，且具备较强的版权保护和防盗链需求，可通过在源站对TS文件做加密，配合使用CDN的HLS标准加密改写功能，并结合严格的鉴权策略，实现HLS视频的版权保护。 配置说明 目前该功能暂不支持客户自助开启，如需使用，请通过提交工单向天翼云客服申请。 提交工单时，请您提供如下信息： 参数 说明及示例 加密算法 TS文件的加密算法，默认为AES128。 秘钥地址 TS文件的加密秘钥获取地址，一般为同个加速域名下的某个地址，如 秘钥地址的鉴权参数 TS文件的加密秘钥获取地址中的鉴权参数，默认为对应M3U8的鉴权参数；如M3U8存在多个参数名，需指定具体的参数名称。 TS文件是否改写 指M3U8中的TS文件列表是否需要添加鉴权参数，如是，请说明具体需要添加的鉴权参数key和value信息。

退订订单进行退款时候，款项退到哪里？ 目前退款路径分原路返回和退回账户余额两种： 订单充值支付（微信、翼支付、支付宝）优先原路退回，退订后退款金额会原路返回，按照原支付路径实时退还至原付款账户。 订单充值支付（微信、翼支付、支付宝）原路退回若失败，退订后退款金额会退回账户余额，客户可根据需要进行提现 。提现详细操作请参考：余额提现 如果客户先用微信充值了5元，订单总金额消费53元，客户用了该笔余额5元，收银台选择微信支付了48元，那么该笔退款后客户会如何收到钱？ 余额支付的5元会退回账户余额，微信支付的48元会原路退回至原付款账户。

我可以通过天翼云控制台手动修改由资源栈创建的云服务器（ECS）吗？ 强烈不建议这样做！ 手动修改会导致“配置漂移”，即资源的实际状态与资源栈中记录的状态不一致。当您下次通过资源栈更新或修改该资源时，系统可能会根据模板定义覆盖您的手动更改，导致非预期的结果。所有资源变更都应通过更新模板并重新更新资源栈来完成。 如何进行IAM权限及用户组管理？ 详见文档IAM权限及用户管理 导入资源，预览资源栈生成结果发现除了导入还有别的操作类型？ 点击「详情」可查看参数原始值与目标值的差异： 操作类型包含更新与替换：请修改模板，使其与原始值保持一致。 操作类型为更新：需注意敏感字段处理：标注为 (sensitive value) 的字段，如果模板中有，需从导入的 resource 中删除。该类字段无法获取真实值，会被系统误判为需要更新。 操作类型为删除：检查是否删除了原资源栈的资源，需在原有模板基础上补充导入的资源信息，避免误删原有资源。 导入资源，匹配云资源中没有返回可导入的资源？ 请检查模板，是否resource的名称已经在资源里了，同类型同资源名的资源不允许导入，请修改资源名。例如resource "ctyunvpc" "vpctest" 中的"vpctest"。 导入资源，预览资源不符合预期？ 检查模板中provider 版本需 ≥ 2.1.0，未声明则默认使用最新版本 模板中请勿包含敏感字段(sensitive true)、或在云资源中本身就是敏感无法获取的字段（如密码），否则可能导入失败 如有报错，可根据报错信息返回步骤”选择模板“修改模板字段，依次按照步骤再次尝试

我可以通过天翼云控制台手动修改由资源栈创建的云服务器（ECS）吗？ 强烈不建议这样做！ 手动修改会导致“配置漂移”，即资源的实际状态与资源栈中记录的状态不一致。当您下次通过资源栈更新或修改该资源时，系统可能会根据模板定义覆盖您的手动更改，导致非预期的结果。所有资源变更都应通过更新模板并重新更新资源栈来完成。 如何进行IAM权限及用户组管理？ 详见文档IAM权限及用户管理 导入资源，预览资源栈生成结果发现除了导入还有别的操作类型？ 点击「详情」可查看参数原始值与目标值的差异： 操作类型包含更新与替换：请修改模板，使其与原始值保持一致。 操作类型为更新：需注意敏感字段处理：标注为 (sensitive value) 的字段，如果模板中有，需从导入的 resource 中删除。该类字段无法获取真实值，会被系统误判为需要更新。 操作类型为删除：检查是否删除了原资源栈的资源，需在原有模板基础上补充导入的资源信息，避免误删原有资源。 导入资源，匹配云资源中没有返回可导入的资源？ 请检查模板，是否resource的名称已经在资源里了，同类型同资源名的资源不允许导入，请修改资源名。例如resource "ctyunvpc" "vpctest" 中的"vpctest"。 导入资源，预览资源不符合预期？ 检查模板中provider 版本需 ≥ 2.1.0，未声明则默认使用最新版本 模板中请勿包含敏感字段(sensitive true)、或在云资源中本身就是敏感无法获取的字段（如密码），否则可能导入失败 如有报错，可根据报错信息返回步骤”选择模板“修改模板字段，依次按照步骤再次尝试

操作场景 购买了WAF（WEB应用防火墙）实例后，可为相应的HTTP/HTTPS监听器开启安全防护（以下安全防护和WAF防护同义）。对进入监听器的应用层流量进行检测，用户可根据自身应用需求设置相应的规则，如拦截、观察等。WEB应用防火墙的详细信息可参考WEB应用防火墙。 操作须知（限制/说明） 该功能当前处于试用阶段，如需试用可以通过天翼云控制台提工单进行申请。 当前只有集群模式的资源池支持 HTTP/HTTPS监听器开启WAF防护，主备模式资源池不支持，主备、集群模式资源池列表见 产品简介​>产品类型和规格, 实际情况以控制台展现为准。 用户已购买了WEB应用防火墙。 用户的负载均衡实例为性能保障型，不支持经典型开启安全防护。 只支持HTTP/HTTPS监听器开启安全防护。 WEB应用防火墙不参与流量的转发，证书配置能力不启用，负载均衡器将解密后的信息直接给WEB应用防火墙，WEB应用防火墙检测完成后直接回给负载均衡器，WEB应用防火墙不执行解密/回源等动作。 负载均衡开启安全防护后，负载均衡的黑白名单仍然生效。 计费说明 监听器支持安全防护功能不额外收取费用，用户需要购买负载均衡器和WEB应用防火墙，这两个产品单独计费。

本章节为您介绍如何对接天翼云云日志管理服务 Web应用防火墙（原生版）已对接云日志服务，目前需手动配置开启，需提交工单申请。 约束限制 云日志服务中对应的存储容量若已满，WAF不会删除旧日志，需要您手动及时扩容，否则无法存入新的日志。 使用过程中，请不要删除对应，若删除会导致推送至云日志服务的日志丢失，且无法找回。 目前仅支持转存至华东1资源池的云日志服务。 开启步骤 1.在天翼云官网购买云日志服务。 2.在管理控制台提交工单，联系天翼云技术支持为您手动对接云日志服务，请参照下表中的内容提前准备相关信息。 参数 字段说明 用户id 用户唯一身份标识，可在统一身份认证控制台查看。 AK/SK 访问云资源时的身份凭证，如何获取请参考：如何获取AK/SK？ 日志项目（可选） 在云日志服务中创建的日志项目，可参考：管理日志项目。 不可选择默认项目：wafproject。 日志项目ID（可选） 提供日志项目对应的日志项目ID，可在云日志服务控制台查看。 日志单元（可选） 在云日志服务中创建的日志单元，可参考：管理日志单元。 不可选择默认单元：wafattackunit 日志单元ID（可选） 提供日志单元对应的日志单元ID，可在云日志服务控制台查看。 上传域名（可选） 提供需要上传日志至云日志服务的域名，若不提供则上传对应用户下的所有防护域名。 攻击类型（可选） 提供需要上传的防护事件类型，若不提供默认上传所有防护事件类型。 防护事件目前可选择：核心Web攻击事件、CC攻击事件、智能BOT事件、IP/地域黑名单、攻击惩罚。 3.待处理完成后，即可在云日志服务控制台查看日志信息，下表为日志字段说明。 英文字段 中文字段 是否创建索引 字段样例 数据类型 是否为枚举字段 备注 tenantid 租户ID 是 5cc1eb4ab1bb49ffb6f9e0821a339cf9 字符串 否 regionid 资源池ID 是 字符串 否 remoteaddr 客户端IP地址 是 139.100.157.16 字符串 否 remoteuser HTTP基础认证服务的用户名 是 字符串 否 timestamp 服务器时间 否

本文介绍CDN镜像源的使用场景和使用说明。 功能介绍 为缓解客户源站压力，降低源站宕机的风险，部分客户有CDN镜像源的需求，即期望CDN回源时优先回镜像源，当请求的文件在镜像源没有找到时，镜像源能触发回客户源站拉取文件，存储文件的同时响应给CDN，从而在CDN与客户源站之间通过镜像源进行隔离，让镜像源承担主要的回源压力，同时实现同一个文件只回客户源一次。天翼云通过结合媒体存储和CDN加速灵活的回源配置能力，可以帮助客户获得镜像源的能力。 相关业务流程如下图： 前提条件 在已经开通并使用CDN加速服务的基础上，需要开通媒体存储，详情请见：开通天翼云媒体存储。 1. 创建存储区域：目前不支持客户自助创建，需要您通过提交工单联系天翼云客服或客户经理，由其人工通过线下渠道为您创建存储区域。因媒体存储仅部分资源池支持镜像回源功能，申请时请详细说明。具体可参考：资源池与区域节点。 2. 创建媒体存储的存储桶，详情请见：新建Bucket。创建完成后，可以在基础信息查看，找到 Bucket域名（即回源域名）。