本章节主要介绍如何进行LDAP用户同步。 LDAP用户同步是将IAM用户同步到翼MR Manager中的LDAP用户服务中，LDAP用户名以“emr邮箱前缀”表示。 前置条件 该集群下需要完成OpenLDAP集群服务的部署、配置以及启动，否则无法同步到“LDAP用户”服务中。 操作步骤 IAM用户同步 在翼MapReduce控制台的“用户管理”页面点击IAM同步，将IAM子用户信息同步到翼MapReduce控制台。 LDAP用户同步 在目标集群的“用户权限”页面添加用户，若该集群已安装LDAP服务，选择要添加的用户后，将自动为符合命名规则的新增用户同步LDAP账号。 若用户邮箱为空或不符合LDAP用户命名规则，添加时需要为该用户重新定义LDAP名称。点击“确定”即可将IAM用户同步到翼MR Manager中的“LDAP用户”服务中。

如何让云主机备份服务不再扣费？ 删除所有备份。已经创建过镜像的备份不允许手动或自动删除，如果想要删除备份，需要先删除该备份创建的镜像。 将服务器/磁盘从备份策略中解绑，并且停用所有备份策略。当天备份删除后，由于当天费用太少而会小额累加，会出现在第二天才会进行扣费的情况。后续将再无扣费产生。 如何停用云主机备份？ 如您希望停用云服务器备份可前往云服务器备份界面进行如下操作： 删除所有备份。已经创建过镜像的备份不允许手动或自动删除，如果想要删除备份，需要先删除该备份创建的镜像。 将服务器/磁盘从备份策略中解绑，并且停用所有备份/复制策略。 云主机备份无法直接关闭，可以通过上面的方法停用云主机备份。 为什么备份删除后还有扣费？ 当天备份删除后，由于当天费用太少而会小额累加，会出现在第二天才会进行扣费的情况。云主机备份无法直接关闭，如您希望停用云主机备份，请参考如何停用云主机备份进行操作。 云主机备份后会同步云硬盘备份产生对应服务器的云硬盘备份，这个备份是怎么计算的？ 如果备份的来源是云主机备份，就不收费。单独的云硬盘备份是收费的。 显示在云硬盘备份界面的云服务器备份是否会重复计费吗？ 不会重复计费，云主机创建的云服务器备份也会出现在云硬盘备份界面，可以在备份详情的“来源”中识别云服务器备份。 云服务器备份实际上是对其中的每一个磁盘进行备份，这些磁盘的备份会同时在VBS备份列表展示，您可以直接在VBS使用这些备份恢复磁盘。

弹性IP产品广泛应用于多种场景,本文带您更快了解弹性IP经典应用场景。 绑定弹性云主机 场景描述 绑定到弹性云主机上，实现弹性云主机连接公网的目的。 搭配服务 弹性云主机ECS或物理机、虚拟私有云 图绑定云服务器实例 绑定NAT网关 场景描述 NAT网关通过与弹性IP绑定，可以使多个云主机（弹性云主机、物理机等）共享弹性IP访问Internet或使云主机提供互联网服务。 创建SNAT规则，为VPC内指定子网中的云产品提供共享弹性IP访问互联网的服务。 创建DNAT规则，用于VPC内云主机对外提供服务。 搭配服务 NAT网关、云主机（弹性云主机、物理机）、虚拟私有云 图绑定NAT网关规则 绑定ELB实例 场景描述 通过弹性IP对外提供服务，将来自公网的客户端请求按照指定的负载均衡策略分发到后端云服务器进行处理。 搭配服务 弹性负载均衡、弹性云主机、虚拟私有云 图绑定ELB实例

本章节主要介绍翼MapReduce的创建备份任务操作。 操作场景 FusionInsight Manager支持在界面上创建备份任务，运行备份任务将对指定的数据进行备份。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“运维 > 备份恢复 > 备份管理 > 创建”。 3. 设置“备份对象”为“OMS”或需要备份数据的集群。 4. 在“任务名称”输入参数值。 5. 在“备份类型”选择任务执行属性。 备份类型说明 类型 参数 说明 周期备份 开始时间 表示周期备份任务第一次启动的时间 周期备份 周期 表示任务下次启动，与上一次运行的时间间隔，支持“小时”或“天” 周期备份 备份策略 可以选择下策略： 首次全量备份，后续增量备份 每次都全量备份 每n次进行一次全量备份 手动备份 无 需要手动运行任务才能进行备份 6. 在“备份配置”指定需要备份的数据。 支持备份元数据和业务数据。 各组件不同数据的备份任务操作请参考备份恢复管理。 7. 单击“确定”保存。 8. 在备份任务列表，可以查看刚创建的备份任务。 在指定的备份任务“操作”列，选择“更多 > 即时备份”，可以立即运行备份任务。

分布式消息服务Kafka提供全托管、免运维的迁移上云服务，用于自建实例或跨云云实例与分布式消息服务Kafka实例之间的数据同步。本文介绍迁移上云的源实例类型、使用限制、跨VPC数据同步以及使用流程。 背景信息 迁移上云可以把源云分布式消息服务Kafka集群的元数据（Topic和Group配置信息）、消息数据和点位信息同步到目标集群，迁移完成后目标集群的元数据与原集群的元数据保持一致，并且支持持续更新和完成后自动停止任务。 使用限制 1. 此功能不收费，会占用当前实例的服务器资源，请结合业务流量和服务器资源占用情况，在合理的情况下进行迁移。 2. 单机版不支持迁移。 计费说明 分布式消息服务Kafka的迁移上云组件处于公测阶段，不会在分布式消息服务Kafka侧产生费用。同时，天翼云不承诺迁移的SLA，使用迁移上云所依赖的其他产品的SLA和费用说明请以对应产品为准。 环境要求 如果您需要通过迁移上云功能将公网的自建实例的数据同步到分布式消息服务Kafka或者跨地域将某个VPC内的分布式消息服务Kafka的数据同步到另一个VPC的分布式消息服务Kafka，您需要为该实例绑定弹性IP开启公网访问，然后在公网上进行数据同步。 如果您需要将某个VPC内的数据通过迁移上云功能同步到另一个VPC的分布式消息服务Kafka，需要手动打通VPC。具体步骤，请参见：使用VPCEP实现跨VPC访问Kafka

在使用全局索引前,您需要开启GiServer节点服务。本文为您介绍详细的操作步骤。 前提条件 已创建DRDS实例。具体操作，请参见步骤一：购买DRDS实例。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览 页面。 2. 在左侧导航栏，选择DRDS > 实例管理 ，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息 页面。 4. 单击全局索引 ，进入GiServer存储设置页签。 5. 在GiServer设置区域，配置存储相关参数并启动GiServer节点。 具体操作，请参见索引存储设置。当节点启动成功后，您可以在索引服务管理 页签下，查看GiServer节点信息，其中，节点初始化状态 为已初始化 、节点状态 为运行中 。 说明 您可以根据实际情况，在索引服务管理 页签下，启动GiServer节点的export和日志采集，用于监控和管理GiServer。具体操作，请参见管理exporter和管理日志采集。 6. 确保实例分组参数 页签下的uselndex和autolndex属性值为true，如需修改，请参见管理分组参数。 注意 默认会在启动GiServer节点时自动设置uselndex和autolndex属性值为true，停止所有的GiServer节点时自动设置为false。

本节主要介绍智能视图服务API的使用说明。 智能视图服务是天翼云面向视图设备上云场景提供视图接入、视图存储、视图分发及视图分析的一体化产品，通过开放OpenAPI易于被智慧城市、智慧能源、智慧连锁、智慧社区、智慧工地等行业场景应用集成。 API版本 说明 智能视图服务新旧版本的区别以及常见问题请参考【 智能视图服务全新版本已经正式上线，与旧版API相比，新版API提供更加规范和丰富的能力接口，提升用户的开发体验。 智能视图服务后续均以新版本为主进行功能开发及优化，我们强烈建议您升级至新版本，若您有任何问题，请联系客户经理。 新版API接口文档请参考【API】。 旧版API接口请登录控制台点击左侧菜单栏【访问管理API密钥】使用。 在线调试 说明 OpenAPI门户在线调试功能仅支持新版本API，若您还处于旧版本且期望使用新版本，请联系客户经理。 智能视图服务在OpenAPI门户提供在线调试等功能，开发者能够快捷高效地测试API接口。API调试入口请参考【API调试】。

步骤一：开启数据库代理 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击数据库代理，进入数据库代理页面。 5. 单击创建数据库代理 ，并确认知晓白名单配置，进入关系数据库MySQL版数据库代理服务页面。 6. 按需修改代理实例名称，勾选我已经阅读，理解并接受 ， 然后单击下一步。 7. 确认配置信息， 单击立即创建。 说明 当前可选择包周期和按需的代理实例，且共可以创建3个代理实例。 如果主实例距离到期不满1个月，则无法创建包周期1个月及以上的代理实例，请先续订主实例，需确保主实例的生命周期长于代理的生命周期。 数据库代理为双节点高可用架构，可选择2个可用区。 8. 等待服务开启完成。 步骤二：配置IP白名单 1. 对于步骤一已开启的数据库代理，选择上方白名单设置页签。 2. 单击创建白名单分组 或者修改已有分组。 3. 修改或者添加IP，多个IP通过英文分号分隔。 4. 单击确认。 5. 从源IP访问代理确认是否有连接报错。

本页介绍了关系数据库MySQL版如何设置SSL数据加密。 关系数据库MySQL版设置SSL数据加密指引如下。 操作场景 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 认证用户和服务器，确保数据发送到正确的客户端和服务器。 加密数据以防止数据中途被窃取。 维护数据的完整性，确保数据在传输过程中不被改变。 前提条件 只有数据库状态为运行中的实例才可以执行设置SSL数据加密。 操作步骤 开启SSL加密 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 选择数据安全 二级目录，选择SSL加密页签，点击SSL设置按钮。 若开关关闭，单击图标，在提示框中，单击确定，开启SSL加密。 5. 单击服务器证书右侧的下载证书，下载ca.pem。 6. 将根证书（ca.pem）上传到ECS（弹性云主机）或本地机器。 7. 在ECS或本地机器上执行以下命令连接MySQL实例。 a. mysql h P u p sslca 参数 说明 1.如果在关系数据库MySQL版同资源池同vpc下开通了ECS主机，通过ECS主机连接数据库，则hostName为连接地址。 2.如果在关系数据库MySQL版同个资源池下未开通ECS主机，则需要绑定弹性IP，hostName为目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 b. 使用root用户SSL连接数据库实例，示例如下： mysql h P 13049 u root p sslcaca.pem 8. 出现如下提示时，输入数据库帐号对应的密码： Enter password:

本节为您介绍如何删除源端云主机记录。 操作场景 您可根据业务需求，删除源端云主机记录。 前提条件 源端云主机处于离线状态。 说明 您可以通过退出Agent或关闭迁移源端云主机来实现。 操作步骤 1. 使用您的天翼云账号完成登录。 2. 在云迁移服务CMS产品主页，单击“立即开通”按钮进入控制中心。 3. 单击控制中心上方的，选择您目标机资源所在区域。此处示例我们选择的是福州3。 4. 在“服务器迁移服务”工具下，点击“主机管理”界面，可以看到迁移源机。 5. 在源机停止agent服务，等待一段时间，直到主机管理列表显示主机已离线。 6. 单击操作栏的“删除”按钮，阅读提示弹窗信息并单击“确认”后，完成源端云主机记录删除。

本章节主要介绍身份认证与访问控制。 身份认证 翼MR支持安全协议Kerberos，通过同步IAM账号使用LDAP作为帐户管理系统，并通过Kerberos服务对帐户信息进行安全认证。 Kerberos安全认证原理和认证机制具体介绍请参见安全认证原理和认证机制。 访问控制 翼MR提供基于角色的权限控制模型。翼MR基于用户和角色的认证统一体系，遵从帐户/角色RBAC（RoleBased Access Control）模型，实现通过角色进行权限管理，对用户进行批量授权管理，同时提供单点登录能力，统一了系统用户和组件用户的管理及认证。

本节主要介绍目的端虚拟机未创建 说明 以下章节以“目的端虚拟机未创建场景”下将主机资源一站式迁移到天翼云的方法为例，提供主机迁移实施的指导。 1、添加资源发现：切换页面到“资源发现”，可选择“平台级别”，也可选择“主机”tab页，根据具体的源端按需选择，单机“添加” 2、输入主机名称、IP、凭证等，单击“保存”，后等待资源发现成功（凭证也可提前创建配置完成） 3、添加完成后，可看到主机相关信息如下： 4、进入“迁移实施”页面，选择目的端主机未创建模块如下： 5、配置目的端：选择待迁移源端，单击“配置目的端” 6、选择我们创建的云账号： 7、创建模板:创建目的端模板并选择该模板后，单击“确定”。 8、检查并选择目标端规格，点击确定 9、（可选）高级选项。在高级选项区域，选择是否“调整磁盘分区”。 不支持Windows系统磁盘调整，且当前仅支持磁盘缩容。 10. 一站式迁移：选择配置好目的端的资源，单击“一站式迁移”，在弹出页面中，推送模式选择“公网”，输入“RDA本机公网IP”，勾选创建迁移任务、启动迁移任务，单击确定 11. 查看迁移详情：等待状态图标变为绿色，浮动文字为已安装，迁移详情按钮可用后单击“迁移详情” 12. 迁移完成后，登录目的端机器查看迁移结果

本文介绍ECI实例数据卷概述。 背景信息 用户在创建ECI实例时，可以挂载多种数据卷作为持久化存储。天翼云弹性容器实例支持挂载包括云硬盘，弹性文件，对象存储，EmptyDir，配置项，自定义临时存储等多种类型的存储资源，鼓励用户根据不同的业务需求选择合适的存储。相关存储说明如下表所示： 数据卷类型 卷说明 控制台 OpenAPI 云硬盘 云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以为ECI提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景 支持 支持 弹性文件 弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可为云上多个弹性云服务器、容器、裸金属服务器提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持 支持 支持 对象存储 对象存储（CTZOS，Zettabyte Object Storage）是天翼云为客户提供的一种海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务 支持 支持 EmptyDir 临时目录(EmptyDir)是ECI为客户提供的一种空目录存储形态，用于临时存放数据，便于容器组内多个容器之间进行数据共享 支持 支持 配置项 配置项(configFile)是ECI为客户提供的一种存放配置文件的存储形态，用于向ECI实例注入配置数据，便于容器从自定义路径读取相关配置信息 支持 支持 自定义临时存储 ECI实例默认为用户提供40GiB的免费存储空间，如果该空间无法满足用户需求，支持自定义临时存储空间大小 支持 支持

本小节介绍证书管理服务证书部署类常见问题。 SSL证书对服务器端口是否有限制？ 证书签发前：证书签发前的域名验证阶段，如使用的是文件验证，必须通过http 80端口/https 443 端口 来完成文件验证。 证书签发后：部署证书阶段对服务器端口没有限制，证书只匹配域名，不限制端口。 注意 证书部署在 https 443的默认端口，则 域名加端口的形式去访问 SSL证书支持在哪些服务器上部署？ SSL证书不限制部署环境，只要对应web服务器运行的中间件支持ssl模块来部署证书即可。 说明 常见的部署环境比如：支持在云防护平台、WAF、VPN、F5等设备上使用该证书，支持包括Apache、Nginx、IIS、Tomcat等主流web服务器 SSL证书支持在哪些地域部署？ 证书签发后会获取一对证书公私钥文件，只要部署环境的域名与证书域名一致，即可使用。 如何验证部署的SSL证书是否生效？ 直接浏览器访问对应网址，访问到的证书是匹配的证书即可。步骤如下：

本文带您了解什么是内网DNS产品。 内网DNS（Intranet Domain Name Service，CTIDNS）提供高可用，高扩展的DNS服务和DNS管理服务，帮助客户将域名或应用资源转换成用于计算机连接的IP地址，从而将最终用户路由到相应的应用资源上，实现应用资源的访问和内网服务的连接。内网DNS可提供VPC内安全、全面、高性能的域名解析功能，可直接响应内网域名的解析请求，快速高效，有效防护劫持，避免安全风险。 内网域名解析过程 当VPC内云服务器访问内网域名时，内网DNS直接对内网域名进行解析，向云服务器返回对应被访问的云服务器的私网IP地址。 当VPC内云服务器访问Internet上的公网域名时，内网DNS会将对公网域名的解析请求转发至公共DNS进行解析，待收到公共DNS返回的公网IP地址后，再将公网IP返回云服务器。 系统架构 内网DNS（Intranet Domain Name Service，CTIDNS）由两个关键组成部分构成，分别是管控层和解析层： 管控层：管控层通过控制台和OpenAPI对外提供服务，主要职能如下： 管理域名解析数据：管控层负责处理域名解析数据的增删改查操作，确保域名与IP地址的映射准确性。 配置数据管理：管控层管理配置数据，保障DNS服务的可靠性和可用性。 日志数据管理：管控层记录和管理日志数据，支持用户监测和故障排除。 存储功能：管控层存储域名解析数据、配置数据和日志数据，确保数据的安全性和可靠性。 解析层：解析层通过部署解析服务器集群向外提供服务，主要职能为： 域名解析：解析层接收来自管控层的域名解析记录数据，并对解析请求进行响应，将域名解析为对应的IP地址，实现计算机之间的连接。

操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“全局Web核心防护”模块，可以选择开启/关闭防护。 6. 单击防护规则右侧的“前去配置”，进入全局Web核心防护管理页面。 7. 单击“新建规则组”，配置全局Web核心防护规则组。 参数说明如下： 配置项 说明 新增规则是否默认开启 配置完成规则组后，确认是否默认开启，默认选择为“关闭”。 规则组名称 设置规则的名称。 规则组名称用于标识当前防护规则组，建议您使用有明确含义的名称。 规则组描述 对规则组的用途进行描述。 规则 选择需要启用的内置规则及规则的使用状态，可勾选或全量启用所有规则； 使用状态说明： 观察：设置为观察状态时，只产生日志信息。 拦截：拦截此类规则的攻击。 企业项目 选择规则组生效的防护对象所在企业项目。 关联防护对象 选择规则组生效的防护对象，可多选。 规则组状态 选择规则模版整体状态。 当设置为观察状态时，所有开启的规则都只产生日志，不产生拦截。 当设置为防护状态时，按照具体的规则动作生效。 8. 单击“保存”，规则组创建成功。您可以在规则组列表中查看该规则组。

本节主要介绍如何在SFS容量型与SFS Turbo之间进行数据迁移。 场景介绍 用户可以将SFS容量型文件系统中的数据迁移至SFS Turbo文件系统中，也可以将SFS Turbo文件系统中的数据迁移至SFS容量型文件系统中，进行云上业务拓展。 此方案通过创建一台Linux操作系统的云服务器，来连接SFS容量型文件系统和SFS Turbo文件系统的通信。 约束与限制 仅支持使用Linux系统的云服务器进行数据迁移。 Linux系统云服务器、SFS容量型文件系统和SFS Turbo文件系统需在同一VPC下。 前提条件 已创建一台操作系统为Linux的云服务器。 已创建SFS容量型和SFS Turbo文件系统，并获取到文件系统的挂载地址。 操作步骤 1. 登录弹性云服务器管理控制台。 2. 登录已创建好的Linux系统云服务器，用于同时访问SFS容量型文件系统和SFS Turbo文件系统。 3. 输入以下挂载命令，用于访问文件系统1。文件系统1可以是SFS容量型文件系统或SFS Turbo文件系统。 mount t nfs o vers3,timeo600,noresvport,nolock 文件系统1挂载地址 /mnt/src 4. 输入以下挂载命令，用于访问文件系统2。文件系统2可以是SFS容量型文件系统或SFS Turbo文件系统。 mount t nfs o vers3,timeo600,noresvport,nolock 文件系统2挂载地址 /mnt/dst 查看挂载信息： 5. 在Linux云服务器中执行以下命令安装rclone工具。 > wget nocheckcertificate > > unzip rclonev1.57.0linuxamd64.zip > > chmod 0755 ./rclone/rclone > > cp ./rclone/rclone /usr/bin/ > > rm rf ./rclone 6. 执行以下命令，进行数据同步。 rclone copy /mnt/src /mnt/dst P transfers 32 checkers 64 说明 参数说明如下，transfers和checkers数目可以根据系统规格自行配置: transfers：传输文件的并发数目。 checkers：扫描文件的并发数目。 P：数据拷贝进度。 等待数据完成同步后，可前往目标文件系统查看是否已成功迁移。

如何使用摄像头？ 将摄像头通过USB与天翼AI云电脑登录终端相连接，一般天翼AI云电脑可对摄像头进行自适配，即插即用，若无法识别摄像头，可通过下列方法进行排查： 排查解决方法： 1. 终端检查摄像头是否可以正常使用 2. 摄像头在终端上显示正常，天翼AI云电脑设备管理器通用串行总线查看虚拟驱动是否正常安装。 驱动名称： 1. Clouddesk Virtual USB Host Controller 2. Clouddesk Virtual USB Root HUB 若没有驱动，请在桌面上方工具栏重启天翼AI云电脑。 如何使用蓝牙键鼠？ 需要登录天翼AI云电脑的终端（瘦终端、手机或PC等）支持蓝牙功能，登录天翼AI云电脑后使用蓝牙自动连接即可。 移动硬盘无法识别？ 部分终端因设备原因，可能存在供电不足导致移动硬盘无法识别的问题。建议使用pc终端直连移动硬盘使用，或使用带供电功能的hub集线器连接移动硬盘使用。 拷贝文件到U盘，提示“不允许此操作的快速IO路径”怎么处理？ 问题原因为云电脑（政企版）管理控制台中把策略设置为USB只读，不允许向外拷贝文件，请在云电脑（政企版）管理控制台关闭USB只读策略。

本章节介绍微服务云应用平台产品优势 企业级元数据管理 支持企业级大规模分布式系统的研发运维，提供灵活的项目、应用分组、应用和可扩展技术栈等元数据管理能力。 多种语言支持 支持JAVA/GO/Python等多种语言应用托管，支持从制品（JAR/WAR）部署，支持自定义容器镜像部署。 多种底层服务器选择 无缝集成了ECS云服务器和云容器引擎，支持应用托管到ECS集群、K8s集群。并基于应用视角，提供基于虚机模式或容器模式发布运维管控。 应用监控告警 无侵入提供强大的应用级监控能力，灵活配置应用多指标诊断报警。 全面拥抱开源 拥抱开源生态，无侵入支持主流开源框架 Spring Cloud 和 Dubbo 近五年内的版本。 全面服务治理能力 零代码侵入实现Dubbo和SpringCloud微服务治理，支持灰度发布，服务降级，环境隔离等多种高级特性。 深度整合天翼云产品 无缝集成云容器引擎，微服务引擎、应用性能监控和云日志服务等云产品能力，轻松一站式管理业务应用。

本文将详细介绍如何使用 iperf3 工具,测试弹性云主机间网络性能。 iperf可用于测试两个计算机之间的网络带宽和延迟。它是一个开源项目，提供了用于Windows、Linux和其他操作系统的版本。通过在两台计算机之间运行iPerf服务器和客户端，您可以测量它们之间的网络性能。iPerf客户端发送数据流到服务器，并且服务器测量接收到的数据量和速度，支持在TCP和UDP协议上运行。 本文将详细介绍如何使用 iperf3 工具，测试弹性云主机间网络性能。内容主要包括“测试前准备”、“TCP 带宽测试”、“UDP PPS 测试”。 安装使用 [root@ssdaliu1 ~] sudo yum install iperf3 [root@ssdaliu2 ~] sudo yum install iperf3 参数说明 iperf常用参数中文说明： （1）s,–server：iperf服务器模式，默认启动的监听端口为5201，eg：iperf s （2）c,–client host：iperf客户端模式，host是server端地址，eg：iperf c 222.35.11.23 （3）i，–interval：指定每次报告之间的时间间隔，单位为秒，eg：iperf3 c 192.168.12.168 i 2 （4）p，–port：指定服务器端监听的端口或客户端所连接的端口，默认是5001端口。 （5）u，–udp：表示采用UDP协议发送报文，不带该参数表示采用TCP协议。 （6）l，–len：设置读写缓冲区的长度，(default 128 KB for TCP, dynamic or 1 for UDP)。通常测试 PPS 的时候该值为16，测试BPS时该值为1400。 （7）b，–bandwidth [KMG]：指定UDP模式使用的带宽，单位bits/sec，默认值是1 Mb/s。 （8）t，–time：指定数据传输的总时间，即在指定的时间内，重复发送指定长度的数据包。默认10秒。 （9）A：CPU亲和性，可以将具体的iperf3进程绑定对应编号的逻辑CPU，避免iperf进程在不同的CPU间调度。 通用参数（Server端和Client端共用）: (1）f，–format [kmgKMG]：指定带宽输出单位，“[kmgKMG]”分别表示以Kb, Mb, Gb, KBytes, MBytes,GBytes显示输出结果，默认Mb，eg：iperf3 c 192.168.12.168 f M （2）p，–port：指定服务器端监听的端口或客户端所连接的端口，默认是5001端口。 （3）i，–interval：指定每次报告之间的时间间隔，单位为秒，eg：iperf3 c 192.168.12.168 i 2 （4）F：指定文件作为数据流进行带宽测试。例如：iperf3 c 192.168.12.168 F webixdba.tar.gz Server端专用参数： （1）s,–server：iperf服务器模式，默认启动的监听端口为5201，eg：iperf s （2）c,–client host：如果iperf运行在服务器模式，并且用c参数指定一个主机，那么iperf将只接受指定主机的连接。此参数不能工作于UDP模式。 （3）D：Unix平台下将Iperf作为后台守护进程运行。在Win32平台下，Iperf将作为服务运行。 （4）R：卸载Iperf服务(仅用于Windows)。 （5）o：重定向输出到指定文件(仅用于Windows)。 （6）P,–parallel：服务器关闭之前保持的连接数。默认是0，这意味着永远接受连接。 Client端专用参数： （1）c,–client host：iperf客户端模式，host是server端地址，eg：iperf c 222.35.11.23 （2）u，–udp：表示采用UDP协议发送报文，不带该参数表示采用TCP协议。 （3）b，–bandwidth [KMG]：指定UDP模式使用的带宽，单位bits/sec，默认值是1 Mbit/sec。 （4）t，–time：指定数据传输的总时间，即在指定的时间内，重复发送指定长度的数据包。默认10秒。 （5）l，–len：设置读写缓冲区的长度，(default 128 KB for TCP, dynamic or 1 for UDP)。通常测试 PPS 的时候该值为16，测试BPS时该值为1400。 （6）n，–num [KMG]：指定传输数据包的字节数，例如：iperf3 c 192.168.12.168 –n 100M （7）P,–parallel：指定客户端与服务端之间使用的线程数。默认是1个线程。需要客户端与服务器端同时使用此参数。 （8）w，–window：指定套接字缓冲区大小，在TCP方式下，此设置为TCP窗口的大小。在UDP方式下，此设置为接受UDP数据包的缓冲区大小，用来限制可以接收数据包的最大值 （9）B，–bind：用来绑定一个主机地址或接口，这个参数仅用于具有多个网络接口的主机。在UDP模式下，此参数用于绑定和加入一个多播组。 （10）M，–mss：设置TCP最大信息段的值 （11）N，–nodelay：设置TCP无延时 （12）V：绑定一个IPv6地址。 （13）d，–dualtest：运行双测试模式。将使服务器端反向连接到客户端，使用L参数中指定的端口（或默认使用客户端连接到服务器端的端口）。使用参数r以运行交互模式。 （14）L,–listenport：指定服务端反向连接到客户端时使用的端口。默认使用客户端连接至服务端的端口。 （15）r，–tradeoff：往复测试模式。当客户端到服务器端的测试结束时，服务器端反向连接至客户端。当客户端连接终止时，反向连接随即开始。如果需要同时进行双向测试，请尝试d参数。

统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“通过IAM用户控制资源访问创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Ecs Admin：弹性云主机服务的管理者权限，包含弹性云主机所有控制权限（不含订单类权限）； Ecs Viewer:弹性云主机服务的观察者权限，包含弹性云主机服务的列表页与详情页面权限； 自定义策略 您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“创建自定义策略”。

云下一代防火墙是否支持六个月日志留存？ 六个月的日志保留期限通常是为了合规性、安全审计和犯罪调查需要而设定的。而云下一代防火墙日志主要留存在内存中，可存容量有限，不支持六个月留存，需要日志审计或者日志服务器配置snmp或者syslog进行日志保存， 具体配置为登录云下一代防火墙UI界面→监控→日志→日志配置→日志服务器配置→新建→填写日志服务器信息对日志进行发送。 云下一代防火墙可以防护多个VPC之间的流量吗？ 防火墙可以实现多个VPC流量防护。 前提条件如下： VPC的虚拟路由器需要支持写全0默认路由，配置下一跳为对等连接，且写了默认路由不影响直接绑定EIP的业务主机转发。 该方式会打通原本隔离的2个VPC网络，能接受2个VPC网络打通带来的安全风险。 云下一代防火墙是否支持上网行为审计？ 支持，例如QQ用户、微信用户、微博用户的使用情况。云下一代防火墙在上网行为审计方面的功能相对有限，可能不如专门的审计工具或高级审计解决方案强大。如果您有特定的审计需求，可能需要考虑额外的审计工具以满足您的要求。然而，云下一代防火墙通常专注于网络安全和流量管理，提供基本的审计功能以辅助安全监控和合规性要求。 云下一代防火墙默认账号密码？ 强烈建议在云下一代防火墙安装交付后立即更改默认账号和密码以提高安全性。默认账号和密码是保密信息，为了确保您的网络的安全，无法在此提供默认凭据。 请在天翼云官网上提交云下一代防火墙的技术支持工单联系支持团队以获取有关如何更改及默认凭据的详细信息。保护默认凭据的机密性对于网络安全至关重要。

本页介绍天翼云TeleDB数据库订购实例相关操作。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树上，选择 实例管理> 创建实例 ，进入实例开通页面。 说明 您也可以在左侧导航树上，选择实例管理 > 实例列表，然后在实例列表上方单击创建实例。 3. 在实例开通页面，按照界面参数配置实例信息，创建实例。 实例配置信息如下： 基本信息 引擎选项中，选择 生态工具 ，可以看到TeleDBDTS，默认展示当前最新版本； 选择规格为 数据迁移 ； 性能规格可以根据客户迁移数据量测算，数据量较小或测试时可选择默认“1核2G”； 根据当前用户添加的主机类型（如何给当前用户添加主机可参数DCP管理平台相关说明），选择相应的CPU和操作系统。例如，当前用户下添加了一台鲲鹏 + kylin的国产化主机，按如下设定。 实例名称填写一个方便识别的名称，确认无误后单击下一步。 主机配置 配置基本信息后，进入主机配置页面，根据业务选择当前用户的主机所在的主机组； 选择主机组中的一台机器作为DTS工作节点，安装目录选择该主机用户具有权限的一个目录，通信端口和下载端口填写一个该主机中不冲突的端口，然后单击 提交工单 。 开通实例成功后，在工单列表可以看到施工结果为 成功 。

本页介绍天翼云TeleDB数据库订购实例相关操作。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树上，选择 实例管理> 创建实例 ，进入实例开通页面。 说明 您也可以在左侧导航树上，选择实例管理 > 实例列表，然后在实例列表上方单击创建实例。 3. 在实例开通页面，按照界面参数配置实例信息，创建实例。 实例配置信息如下： 基本信息 引擎选项中，选择 生态工具 ，可以看到TeleDBDTS，默认展示当前最新版本； 选择规格为 数据迁移 ； 性能规格可以根据客户迁移数据量测算，数据量较小或测试时可选择默认“1核2G”； 根据当前用户添加的主机类型（如何给当前用户添加主机可参数DCP管理平台相关说明），选择相应的CPU和操作系统。例如，当前用户下添加了一台鲲鹏 + kylin的国产化主机，按如下设定。 实例名称填写一个方便识别的名称，确认无误后单击下一步。 主机配置 配置基本信息后，进入主机配置页面，根据业务选择当前用户的主机所在的主机组； 选择主机组中的一台机器作为DTS工作节点，安装目录选择该主机用户具有权限的一个目录，通信端口和下载端口填写一个该主机中不冲突的端口，然后单击 提交工单 。 开通实例成功后，在工单列表可以看到施工结果为 成功 。

本节主要介绍权限管理类问题 无法找到特定服务的权限怎么办？ 天翼云服务分为项目级服务和全局级服务两种，需正确选择权限作用范围才能找到特定权限。如对象存储OBS属于全局级服务，弹性云主机属于项目级服务。 如已正确选择服务级别和服务名称仍无法找到服务，则该需要设置权限的服务暂不支持IAM。 权限没有生效怎么办？ 企业管理员在IAM控制台给IAM用户设置权限后，IAM子用户登录天翼云后发现权限没有生效，无法使用服务。 1. 可能原因：管理员授予IAM用户所在用户组的权限不正确。 解决方法：管理员确认并修改授予IAM用户所在用户组的权限，方法请参考：用户指南 > 用户组及授权。 2. 可能原因：管理员授予的权限已拒绝相关操作的授权项。 解决方法：管理员查看已授予IAM用户的系统权限详情，确认已授予的权限是否有拒绝操作的语句，方法请参考：用户指南 > 权限管理> 策略。如系统权限无法满足您的场景需要，管理员可以创建自定义策略，允许该操作对应的授权项，方法请参考：用户指南> 权限管理> 自定义策略。 3. 可能原因：管理员给用户组授予权限后，忘记将IAM用户添加至用户组中。 解决方法：管理员将IAM用户添加至用户组中，方法请参见：用户指南 > 用户组及授权> 用户组添加/移除用户。 4. 可能原因：对于区域级服务，管理员没有在在对应的区域进行授权。 解决方法：管理员在对IAM所在用户组授权时，选择对应的区域。如果管理员授予用户默认区域项目的权限，用户只能访问该默认项目中的资源，不拥有该默认项目下IAM子项目的权限，建议您授予IAM用户最小区域权限，方法请参见：用户指南 > 用户组及授权> 创建用户组并授权。 5. 可能原因：对于区域级服务，IAM用户登录控制台后，没有切换到授权区域。 解决方法：IAM用户访问区域级服务时，请切换至授权区域，方法请参见：用户指南 > 项目。 6. 可能原因：管理员授予的OBS权限由于系统设计的原因，授权后需等待1530分钟才可生效。 解决方法：请IAM用户和管理员等待1530分钟后重试。 7. 可能原因：浏览器缓存导致权限信息未更新。 解决方法：请清理浏览器缓存后重试。 8. 可能原因：管理员同时在IAM和企业管理给用户授权，基于企业项目管理权限可能不生效。IAM鉴权优先于企业管理。 解决方法：请管理员根据情况在IAM控制台修改用户权限。

配置步骤 步骤一：创建虚拟私有云和子网 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 在控制中心选择【虚拟私有云】，点击进入虚拟私有云控制台列表页。 4. 点击【创建虚拟私有云】，进入虚拟私有云创建页。 5. 根据页面提示填写配置参数，配置完成后点击【下一步】： 参数名称 参数值 VPC基本信息 地域 华东 华东1 名称 VPC1 VPC网段（IPv4） 10.0.0.0/8 VPC网段（IPv6） 天翼云：中国电信单线（自动分配） 企业项目 default VPC描述 子网配置 子网类型 普通子网 子网名称 NAT网关子网 子网网段(IPv4) 10.0.0.0/24 网关(IPv4) 10.0.0.1 DHCP(IPv4) 10.0.0.2 子网IPv6网段 开启 DNS服务器地址 100.95.0.1 企业项目 default 子网描述 子网配置 子网类型 普通子网 子网名称 子网1 子网网段(IPv4) 10.0.1.0/24 网关(IPv4) 10.0.1.1 DHCP(IPv4) 10.0.1.2 子网IPv6网段 开启 DNS服务器地址 100.95.0.1 企业项目 default 子网描述 6. 页面将显示上一步设置的配置详情，勾选页面下方“我已阅读并同意相关协议”，点击【立即创建】，创建成功，点击【返回】回到虚拟私有云列表页，完成创建

websocket加速介绍 天翼云全站加速产品支持对websocket协议和http/https协议同时加速，即同一个域名可以既有http/https协议，又有websocket加速，您无需拆分域名，使用全站加速产品就可以实现对域名下http/https协议的应用和websocket协议的应用同时加速。全站加速节点会自动识别客户端与全站加速边缘节点通信使用的协议，自动切换协议。通常情况下，websocket协议的应用多为动态业务，对实时性要求很高，全站加速的动态探测选路能力可以为websocket应用选择最快的回源路径，提升websocket业务的访问效果。 配置说明 1. 登录客户控制台。 2. 在【域名管理】【域名列表】页面，点击【添加域名】。 3. 【加速类型】下拉框，选择【全站加速】。 4. 【域名类型】选择【全站加速websocket加速】。 说明 当选择【加速类型】为【全站加速】后，这时才会弹出【域名类型】的配置框。 配置界面 其他相关配置 配置了websocket加速类型的域名，还可以配置websocket回源发送超时时间、websocket回源连接超时时间、websocket回源响应超时时间。其中，websocket回源连接超时时间可在控制台自助配置，websocket回源发送超时时间和websocket回源响应超时时间需要您提交工单申请配置。 如您不需要单独配置websocket的超时时间，则无需配置，全站加速将默认使用http/https的回源发送超时时间、回源连接超时时间、回源响应超时时间。

当天翼云升级了物理机相关的监控能力，已开通的物理机需要通过更新监控Agent的方式来使用最新的监控能力。天翼云会提供包含更新后的监控Agent的物理机公共镜像，客户可以通过一键重装的方式更新公共镜像来更新监控能力。但是，一键重装需要先把物理机进行关机。如果客户不期望进行关机操作，那么可以手动安装监控Agent。 一、安装包下载 公网下载： 二、Linux 操作系统 2.1 解压安装包 登录物理机，执行以下命令解压安装包 telegrafmonitor.tar.gz，解压完成后得到一个 baremetal 文件夹。 plaintext tar zxvf telegrafmonitor.tar.gz 2.2 判断操作系统架构 进入到 baremetal 文件中的 Linux 文件夹中，使用以下命令判断系统的架构： plaintext arch 2.3 拷贝安装包 2.3.1 昇腾NPU物理机 若操作系统架构为 x8664 或者amd64，可使用以下命令将相关安装文件拷贝到 Linux 文件夹下： plaintext cp ./amd64/telegrafnpu telegraf cp ./amd64/sizenpu.txt size.txt cp ./conf/telegraf.npu.conf telegraf.conf 若操作系统架构为arm64 或 arch64，可使用以下命令将相关安装文件拷贝到 Linux 文件夹下： plaintext cp ./arm64/telegrafnpu telegraf cp ./arm64/sizenpu.txt size.txt cp ./conf/telegraf.npu.conf telegraf.conf

当天翼云升级了物理机相关的监控能力，已开通的物理机需要通过更新监控Agent的方式来使用最新的监控能力。天翼云会提供包含更新后的监控Agent的物理机公共镜像，客户可以通过一键重装的方式更新公共镜像来更新监控能力。但是，一键重装需要先把物理机进行关机。如果客户不期望进行关机操作，那么可以手动安装监控Agent。 一、安装包下载 公网下载： 二、Linux 操作系统 2.1 解压安装包 登录物理机，执行以下命令解压安装包 telegrafmonitor.tar.gz，解压完成后得到一个 baremetal 文件夹。 plaintext tar zxvf telegrafmonitor.tar.gz 2.2 判断操作系统架构 进入到 baremetal 文件中的 Linux 文件夹中，使用以下命令判断系统的架构： plaintext arch 2.3 拷贝安装包 2.3.1 昇腾NPU物理机 若操作系统架构为 x8664 或者amd64，可使用以下命令将相关安装文件拷贝到 Linux 文件夹下： plaintext cp ./amd64/telegrafnpu telegraf cp ./amd64/sizenpu.txt size.txt cp ./conf/telegraf.npu.conf telegraf.conf 若操作系统架构为arm64 或 arch64，可使用以下命令将相关安装文件拷贝到 Linux 文件夹下： plaintext cp ./arm64/telegrafnpu telegraf cp ./arm64/sizenpu.txt size.txt cp ./conf/telegraf.npu.conf telegraf.conf

VPC名称 VPC网段 子网名称 子网网段 子网关联VPC路由表 ECS名称 安全组 私有IP地址 VPCA 172.16.0.0/16 SubnetA01 172.16.0.0/24 rtbVPCA ECSA01 sgweb：通用Web服务器 172.16.0.111 VPCA 172.16.0.0/16 SubnetA02 172.16.1.0/24 rtbVPCA ECSA02 sgweb：通用Web服务器 172.16.1.91 VPCB 10.0.0.0/16 SubnetB01 10.0.0.0/24 rtbVPCB ECSB01 sgweb：通用Web服务器 10.0.0.139 VPCC 192.168.0.0/16 SubnetC01 192.168.0.0/24 rtbVPCC ECSC01 sgweb：通用Web服务器 192.168.0.194 VPCD 10.2.0.0/16 SubnetD01 10.2.0.0/24 rtbVPCD ECSD01 sgweb：通用Web服务器 10.2.0.237 VPCE 10.3.0.0/16 SubnetE01 10.3.0.0/24 rtbVPCE ECSE01 sgweb：通用Web服务器 10.3.0.87 VPCF 172.17.0.0/16 SubnetF01 172.17.0.0/24 rtbVPCF ECSF01 sgweb：通用Web服务器 172.17.0.103 VPCG 10.4.0.0/16 SubnetG01 10.4.0.0/24 rtbVPCG ECSG01 sgweb：通用Web服务器 10.4.0.10

大模型安全护栏 内容安全防护 大模型安全护栏是天翼云面向大模型应用场景推出的内容安全防护产品。随着大模型（LLM）技术在各行业的广泛落地，大模型在为用户带来智能化服务的同时，也面临来自提示注入攻击、违规内容生成、敏感信息泄露等多维度的安全风险。 全链路实时检测 大模型安全护栏通过对大模型的输入侧 和输出侧进行全链路实时检测，帮助企业用户有效识别并拦截风险内容，确保大模型应用的合规性与安全性，降低业务风险与法律合规压力。 快速集成 产品以API 调用方式对外提供服务，可快速与企业现有大模型应用集成，无需改造核心业务逻辑，即可实现安全防护能力的无缝叠加。 产品提供三大核心检测能力 检测类型 API 参数值 说明 文本输入检测 textinputcheck 对用户发送给大模型的输入内容（Prompt）进行实时检测，防范提示注入攻击及违规输入。 文本输出检测 textoutputcheck 对大模型生成的回复内容进行实时检测，支持流式分片检测，适配流式输出场景。 图片检测 imagesecuritycheck 对用户上传或大模型生成的图片进行安全审核，支持 URL 和 Base64 两种传入方式。 各检测类型支持的风险识别维度详见风险类型说明。

本节介绍了专属云（计算独享型）的使用步骤。 创建云主机 1. 登录天翼云控制中心，切换节点； 2. 选择专属云节点； 3. 点击【弹性云主机】【创建弹性云主机】（云主机创建及使用方法请参见弹性云主机帮助中心文档），云主机将创建在专属云中的物理机服务器上； 4.在弹性云主机列表中，可以查看创建的云主机信息； 说明 专属云节点中的弹性云主机列表，仅会显示专属云中创建的云主机，公有云主机不在此列表中显示。 5.点击【总览】，可以查看CPU、内存分配量增加、空闲量减少； 创建VPC 6. 在【控制中心】，选择【虚拟私有云】； 7. 点击【创建虚拟私有云】按钮，在弹出的页面中填写网段及子网信息，VPC详细的创建及使用步骤请参见虚拟私有云帮助中心文档。