本节介绍如何进入堡垒机v2.0版本控制台，及如何使用堡垒机v2.0。 堡垒机v2.0 版本由云堡垒机（原生版）提供服务。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“堡垒机 > 堡垒机v2.0”，跳转到云堡垒机（原生版）控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云堡垒机（原生版）”，进入云堡垒机（原生版）控制台。 使用堡垒机v2.0 请参见云堡垒机（原生版）。

选择系统防护页签，可对终端设置防护。 参数 说明 病毒防护 针对网络中流行的病毒、木马进行全面查杀。 系统登录防护 配置登录权限。 配置病毒防护 病毒查杀用于对网络中流行的病毒、木马进行全面查杀。适用于需要自定义修改配置策略模板病毒防护场景。 1. 选择病毒查杀页签。 2. 配置检测引擎、实时防护等参数。 详细配置请参见下表： 参数 说明 通用设置 检测引擎 检测引擎选项： 默认引擎（高性能跨平台通用引擎，建议开启）。 深度扫描引擎（开启后将占用200MB磁盘空间，深度扫描引擎占用内存更多，但扫描速度更快（进行压缩包扫描时需要选择“深度扫描引擎”）。 网马引擎（网马专用引擎，根据网马特征扫描）。 通用设置 检测提升 扫描缓存加速（建议开启）。 病毒扫描 扫描模式 极速扫描。 低资源扫描，CPU使用率低于限额（默认50%，建议不低于20%）。 实时防护 扫描时机 默认全部勾选，用户可根据实际场景进行勾选。 当文件被执行时，将会触发实时防护功能。 当文件被修改时，将会触发实时防护功能。 当存储介质被连接时，将会触发实时防护功能。 实时防护 处理方式 发现病毒（文件执行、文件修改、存储介质连接时）后的处理方式： 自动处理（优先进行文件修复，修复失败后再隔离）。 仅记录。由用户自行选择。 删除（删除病毒文件）。

本章节会介绍如何修改数据库安全组。 操作场景 关系型数据库服务支持修改数据库引擎的主实例和只读实例的内网安全组，对于主备实例，修改主实例的内网安全组，备实例的内网安全组会被同步修改。 注意事项 开启读写分离功能后，如果需要修改实例安全组，请联系客服申请。 读写分离开启状态下修改主实例的安全组，会同时修改只读实例的安全组，只读实例不允许单独修改。请提前检查修改后的安全组配置是否符合预期，避免对现有业务产生影响。 RDS实例所绑定的安全组可以进行添加、修改安全组规则、删除等操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，在实例列表中，选择对应的主实例或只读实例，单击实例名称。 步骤 5 在“基本信息”页签“连接信息”模块的“安全组”处，单击“管理”。 您可以同时勾选多个安全组，数据库实例的访问规则先根据绑定安全组的顺序，再根据组内规则的优先级生效。 如需创建新的安全组，请单击“创建安全组”。 说明 使用多个安全组可能会影响网络性能，建议您选择安全组的数量不多于5个。 步骤 6 单击“是”，提交修改。 结束

本文介绍如何在控制台创建弹性云主机的操作流程。 购买流程 步骤1：基本配置 步骤2：网络配置 步骤3：高级配置 步骤4：确认配置 步骤1：基本配置 准备工作 1. 创建账号，以及完善账号信息。本教程创建的是按量付费实例。开通按量付费ECS资源时，您的天翼云账户余额（即现金余额）和代金券的总值不得小于100.00元人民币。充值方式请参见费用中心在线充值。 2. 可选：在创建弹性云主机时，如果该地域没有VPC，天翼云提供一个默认的VPC，如果您不想使用默认的，可以在目标地域创建VPC。具体操作，请参见虚拟私有云创建VPC、子网搭建私有网络。 3. 可选：天翼云提供一个默认的安全组，如果您不想使用默认的，可以在目标地域创建一个安全组。具体操作，请参见虚拟私有云安全组创建安全组。 进入创建云主机页面 1. 登录天翼云，点击页面右上方“控制中心”，进入控制台。 2. 单击管理控制台左上角的，选择区域，此处我们选择华东1。 3. 点击计算弹性云主机进入创建云主机页面。 4. 单击右上角创建云主机进入云主机购买页面。

本节介绍天翼云电脑移动客户端的管理功能使用说明。 进入AI云电脑 在卡片/列表视图，点击“进入”的图标或按钮，进入AI云电脑。 卡片/列表视图切换 登录成功后，在AI云电脑页右上角，点击“卡片视图和列表视图”切换图标，可进行卡片视图和列表视图切换。 AI云电脑排序 在云电脑列表模式下，可以通过长按单个列表，进行拖拽排序。 重启/关机 在卡片/列表视图，点击“重启”、“关机”，可对AI云电脑进行“重启”或“关机”操作。 查看AI云电脑信息 在卡片/列表视图，点击“配置”，查看AI云电脑信息ID、名称以及修改名称、AI云电脑的CPU、内存、系统盘、数据盘配置信息。 快捷应用 桌面快捷区壳查看到日常办公高频应用，支持一键启用、按需增删，应用分类如下： web应用：通过云电脑内嵌浏览器秒开。 原生应用：一键启动云电脑已安装的应用。 推荐应用：未安装则直达应用市场，即点即装。

本节介绍注册集群常见问题及其解决方法。 注册集群是否收费？ 接入分布式容器云平台注册集群，其计费项由集群管理服务费与部分关联云资源费用组成。其中，集群管理服务费由分布式容器云平台向您收取，而部分关联云资源产生的费用，则由云资源直接向您收取。 注册集群接入对云下用户集群本身有什么要求？ 注册集群接入对成员集群并无特别要求，理论上只需要确保其符合CNCF规范即可。但为确保接入注册集群后，云上其他关联功能可正常使用，建议参照以下约束规范执行： 云下Kubernetes版本，建议 > 1.19；若考虑后续接入集群联邦使用多集群分发能力，建议云下Kubernetes版本>1.21。 云下容器集群对应发行版符合CNCF规范，例如开源K8S、K3S，或天翼云Anywhere发行版等。 注册集群接入对网络连通性有什么要求？ 天翼云分布式容器云平台注册集群提供公网和内网两种接入方式。默认支持内网方式接入，可通过给注册集群apiserver绑定EIP方式，启用公网接入能力。 在以下场景必须使用内网接入，否则可能导致功能异常： 使用注册集群节点池功能为云下集群扩容天翼云ECS或弹性裸金属服务器。 使用注册集群virtualnode组件为云下集群弹性扩容云上ECI实例。 后续考虑接入集群联邦，通过联邦南北向多集群服务/路由实现流量跨集群自动调度。 请确保云下集群网络可以正常访问注册集群接入端点的9443端口，以及云下集群需可正常访问公网（日志、监控及部分插件，依赖公网访问方式与云上互通）。

步骤三：创建告警规则 1. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则控制台。 2. 在“告警规则”页签下，在页面右上角点击“创建告警规则”。 3. 在“创建告警规则”页面，根据界面提示配置参数。如下图： 1）选择监控对象。按图示顺序依次选择。 2）选择监控指标。 依次选择“自定义创建”，监控指标选择为“文件系统容量使用率“。 可以选择指标的原始值、平均值、最大值、最小值等不同的聚合值作为指标值，并设置监控阈值。容量使用率单位为百分比，可以按需设置85%、90%、95%等值。 聚合周期为计算聚合值的周期，例如选择用平均值进行监控，聚合周期5分钟，则5分钟计算一次平均值作为监控值，出现次数为3次表明3次聚合值达到监控阈值则将触发告警。 选择发送通知即表示同意天翼云云监控服务向您发送告警通知，按实际需求选择告警联系组、触发场景、通知周期等参数。参数定义可参考创建告警规则，更多告警功能使用请参考使用告警功能。 3）规则信息。须填写名称和描述，根据实际情况填写即可。

步骤三：创建告警规则 1. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则控制台。 2. 在“告警规则”页签下，在页面右上角点击“创建告警规则”。 3. 在“创建告警规则”页面，根据界面提示配置参数。如下图： 1）选择监控对象。按图示顺序依次选择。 2）选择监控指标。 依次选择“自定义创建”，监控指标选择为“文件系统容量使用率“。 可以选择指标的原始值、平均值、最大值、最小值等不同的聚合值作为指标值，并设置监控阈值。容量使用率单位为百分比，可以按需设置85%、90%、95%等值。 聚合周期为计算聚合值的周期，例如选择用平均值进行监控，聚合周期5分钟，则5分钟计算一次平均值作为监控值，出现次数为3次表明3次聚合值达到监控阈值则将触发告警。 选择发送通知即表示同意天翼云云监控服务向您发送告警通知，按实际需求选择告警联系组、触发场景、通知周期等参数。参数定义可参考创建告警规则，更多告警功能使用请参考使用告警功能。 3）规则信息。须填写名称和描述，根据实际情况填写即可。

本节介绍了用户指南:使用OceanFS动态存储卷(subPath模式)。 云容器引擎支持使用天翼云海量文件存储持久卷。cstorcsi插件支持使用海量文件服务动态存储卷和静态存储卷，通过将存储卷挂载到容器指定目录，以满足数据持久化需求。 subPath模式是指将海量文件存储中的指定子目录作为持久卷使用。当用户挂载持久卷声明时，持久卷中记录的子目录会被挂载到容器中。 前提条件 已创建容器集群 已在插件市场安装存储插件cstorcsi，插件版本>3.6.0，且插件正常运行。（建议使用>4.0的CSI版本） 使用限制 参见海量文件使用限制 通过控制台使用海量文件动态存储卷 1、创建存储类（StorageClass） 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“存储”——“存储类”，单击左上角“创建”； 在创建对话框，配置存储类StorageClass的相关参数。配置项说明如下： 配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、并行文件、海量文件，这里选择海量文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动。 模式 新建海量文件：每次创建持久卷申明时，均创建一个新的海量文件与之对应。 新建子目录：基于某个已经存在的海量文件，每次创建持久卷申明时，在这个海量文件上创建一个子目录与之对应。 选择新建子目录模式。 计费模式 可以选择按需计费或者包年包月。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。 如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，仅支持Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 支持扩容 默认该开关是打开的，一般也建议打开。 如果关闭该开关，则使用该存储类的pvc，无法被扩容。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。 注意：请务必在挂载时使用noresvport参数，该参数可以在网络故障时自动切换端口，保障网络连接，防止文件系统卡住。挂载参数的说明参见 查看这里 参数 海量文件名称：需要选择一个海量文件，后续会基于该海量文件分配子目录 子目录回收策略： 保留：当持久卷被csi删除时，会保留子目录在文件存储中，不做删除。默认为该选项。 删除：当持久卷被csi删除时，会删除文件存储中对应的子目录，数据无法恢复。 注意 删除子目录属于高危操作，请谨慎选择“删除”子目录回收策略。 参数配置完成后，点击“确定”。创建成功后，可以在存储类列表查看。

本文介绍Web应用防火墙（边缘云版）到期和欠费如何处理。 到期 Web应用防火墙（边缘云版）为包年包月的销售品，在资源到期前7天、3天、1天会以邮件的方式通知客户资源即将到期；在到期当天会以邮件、站内信和短信的方式通知客户。资源已经到期且如果客户没有续订资源，会在到期日对资源进行冻结；资源冻结后在超期1天、3天、7天邮件短信站内信提醒；资源冻结15天后，会释放资源。在资源冻结期间，如客户需继续使用，则可联系客户经理执行续订操作或自行在“控制中心费用中心”进行续订，如果冻结超期15天，资源会释放。 产品/服务冻结时：资源将被限制访问和使用，会导致您的业务中断。 产品/服务解冻时：资源将被解除限制，但是需要您自行去自助控制台检查并恢复业务。 产品/服务释放时：资源将被释放，存储在资源中的数据将被删除，数据无法找回。 欠费 在天翼云账户中没有费用并欠款的情况下，天翼云会以短信的方式通知客户充值；如果客户在48小时内未付清所欠金额，并将关停客户的Web应用防火墙（边缘云版）服务。

文本介绍以天翼云手机移动客户端为例,帮助您快速登录连接云手机。 天翼云手机支持多种终端登录，用户可前往下载相应的客户端进行登录使用：客户端下载 下面以天翼云手机移动客户端为例，帮助您快速上手使用天翼云手机（政企版）。 使用的流程如下： (1) 打开“天翼云手机”移动客户端，可查看到登录页面； (2) 可通过输入账号、密码或通过免密登录方式登录云手机； (3) 登录后，在本地手机主屏中，左划划入手机负一屏，点击“云手机”卡片“进入”按钮即可连接并进入云手机。 (4) 进入后，即可连接使用云手机。

本文主要介绍应用服务网格日志采集。 应用服务网格支持采集控制面（control plane）、数据面（sidecar）日志以及应用服务网格网关日志，您可以在控制台日志中心查看日志。 前提条件 1. 天翼云账号已经开通了云日志服务，如果没有开通可以通过服务网格控制台>网格实例>自定义配置>创建云日志服务。 2. 网格控制面和数据面集群已经安装了日志采集插件logoperator。可以通过ccse控制台>插件>插件市场安装。 启用服务网格日志采集 1. 登录服务网格控制台，在左侧的导航栏中选择网格实例>自定义配置。 2. 选择启用日志服务，可以选择已有的日志项目或者新建日志项目，支持为数据面、控制面和网关分别创建日志单元，您可以参考云日志服务管理日志项目查看已有的项目。如果需要新建项目，应用服务网格控制台会自动为您创建对应名称的项目。 日志中心日志查询 您可以在日志服务控制台查询服务网格控制面和数据面的日志，更多详情可参考云日志服务日志查询。 数据面日志输出格式 目前服务网格的数据面日志访问格式采用Envoy默认格式： plaintext [%STARTTIME%] "%REQ(:METHOD)% %REQ(XENVOYORIGINALPATH?:PATH)% %PROTOCOL%" %RESPONSECODE% %RESPONSEFLAGS% %BYTESRECEIVED% %BYTESSENT% %DURATION% %RESP(XENVOYUPSTREAMSERVICETIME)% "%REQ(XFORWARDEDFOR)%" "%REQ(USERAGENT)%" "%REQ(XREQUESTID)%" "%REQ(:AUTHORITY)%" "%UPSTREAMHOST%"n 以下是一个日志格式的例子： plaintext [20160415T20:17:00.310Z] "POST /api/v1/locations HTTP/2" 204 154 0 226 100 "10.0.35.28" "nsq2http" "cc21d9b0cf5c432b8c7e98aeb7988cd2" "locations" "tcp://10.0.2.1:80" 以下是日志样式字段的说明： 参数 描述 STARTTIME 请求开始时间。 REQ(:METHOD) 请求方法。 REQ(XENVOYORIGINALPATH?:PATH) 请求的原始路径，若无则使用标准路径。 PROTOCOL 请求所使用的协议。 RESPONSECODE 服务器对请求的响应状态码。 RESPONSEFLAGS 响应的标志，提供关于响应的特性信息。 BYTESRECEIVED 接收到的字节数，指示请求消息的大小。 BYTESSENT 发送出去的字节数，指示响应消息的大小。 DURATION 请求处理的持续时间，包括接收到请求到发送响应的时间。 RESP(XENVOYUPSTREAMSERVICETIME) 上游服务的响应时间，表示上游服务处理请求所花费的时间。 REQ(XFORWARDEDFOR) 请求的xff头部。 REQ(USERAGENT) 请求的用户代理，标识发起请求的软件。 REQ(XREQUESTID) 请求的唯一标识符，用于跟踪请求的生命周期。 REQ(:AUTHORITY) 请求的主机名，在HTTP/2中对应请求的authority字段。 RESPONSEFLAGS说明： 完整名称 短名 说明 NoHealthyUpstream UH 没有健康的上游服务，返回503状态码。 UpstreamConnectionFailure UF 连接上游失败，返回503状态码。 UpstreamOverflow UO 上游服务被熔断，返回503状态码。 NoRouteFound NR 找不到路由或者找不到过滤器链，返回404状态码。 UpstreamRetryLimitExceeded URX 超过上游重试次数。 NoClusterFound NC 找不到上游集群。 DurationTimeout DT 请求超时。 DownstreamConnectionTermination DC 下游连接中断。 FailedLocalHealthCheck LH 集群健康检查失败，返回503状态码。 UpstreamRequestTimeout UT 上游服务超时，返回504状态码。 LocalReset LS 连接被本地重置，返回503状态码。 UpstreamRemoteReset UR 连接被上游重置，返回503状态码。 UpstreamConnectionTermination UC 上游连接中断，返回503状态码。 DelayInjected DI 请求被注入了延迟。 FaultInjected FI 请求被注入了错误。 RateLimited RL 请求被限流，返回429错误码。 UnauthorizedExternalService UAEX 请求被外部授权服务拒绝。 RateLimitServiceError RLSE 由于限流服务报错导致请求被拒绝。 InvalidEnvoyRequestHeaders IH 请求头部异常，返回400错误码。 StreamIdleTimeout SI 请求空闲超时，返回408或者504错误。 DownstreamProtocolError DPE 下游请求HTTP协议错误。 UpstreamProtocolError UPE 上游返回的HTTP协议错误。 UpstreamMaxStreamDurationReached UMSDR 请求上游超时。 ResponseFromCacheFilter RFCF 请求通过envoy缓存插件支撑。 NoFilterConfigFound NFCF 由于没有在时间期限内收到filter配置导致请求被中断。 OverloadManagerTerminated OM 请求被过载管理器中断。 DnsResolutionFailed DF DNS解析失败。 DropOverload DO 请求被上游过载保护机制中断，返回503状态码。

本文将为您介绍公共传输通道的应用场景。 总部/分支站点组网（含入云）场景客户总部、分支机构、自建机房等站点位于中国境内或境外网络节点覆盖范围内，其中客户本地侧站点提供IPRAN和OTN的接入方式。天翼云节点可以是中国电信CN2DCI网络覆盖的全国资源池，既可以接入本省天翼云，也可以跨省接入天翼云。境内第三方公有云节点接入通过CN2DCI网络实现。 客户站点使用IPRAN接入公共传输通道 客户总部/分支站点由IPRAN网络接入CN2DCI网络的本地PE或延伸交换机。用户CE到ASBR/BLEAF设备通过VLAN+PW建立二层通道。客户网络CE与本地IPRAN的U设备采用单上联或双上联的方式对接，以二层VLAN方式互联。用户接入的IPRAN U设备与ASBR/BLEAF设备之间建立PW，承载用户二层通道。ASBR设备与本城域内的CN2DCI PE设备就近互联。用户CE作为自身内网的三层网关，与CN2DCI PE设备互为三层邻居。以上ASBR/BLEAF设备为复用IPRAN云专线的ASBR设备。 天翼云资源池站点接入公共传输通道 云资源池内云专线交换机作为CE设备，通过预开通的大带宽中继电路接入资源池所在地市CN2DCI PE设备，云资源池内不同客户之间通过不同的VRF来进行区隔。云专线交换机与CN2DCI PE设备之间通过VLAN子接口对接。

计费项 计费项说明 计费方式 备注 智算集群管理费 管理10/30/50/100/200/300/500/1000/2000节点 包年/包月 说明 智算版依赖IaaS智算资源，申请资源可提交咨询工单或联系对应产品经理。 IaaS云资源（参照天翼云一类节点计费说明） 计算资源（CPU、内存、GPU显卡、GPU显存） 包年/包月、按需计费 说明 智算版依赖IaaS智算资源，申请资源可提交咨询工单或联系对应产品经理。 IaaS云资源（参照天翼云一类节点计费说明） 存储资源（GB） 包年/包月、按需计费 说明 智算版依赖IaaS智算资源，申请资源可提交咨询工单或联系对应产品经理。 IaaS云资源（参照天翼云一类节点计费说明） ELB（绑定API Server使用） 包年/包月、按需计费 说明 智算版依赖IaaS智算资源，申请资源可提交咨询工单或联系对应产品经理。 其他可选的云资源 NAT网关 按需计费 非必须，用于Pod访问外网 其他可选的云资源 EIP 按需计费 非必须，用于外网 API Server绑定使用 其他可选的云资源 Ingress的ELB及EIP 按需计费 非必须，用于暴露loadbalancer服务的Ingress插件 其他可选的云资源 云日志 按需计费 非必须，用于容器日志采集存储检索 其他可选的云资源 容器镜像服务 个人版免费/企业版包周期计费 非必须，用于部署容器时拉取容器镜像

时间节点 功能名称 功能描述 相关文档 2022.07 优化帮助中心 优化目录结构，内容更详细，图文并茂，逻辑更清晰，更加方便客户快速熟悉天翼云手机。如：产品介绍中增加应用场景，增加计费说明、快速入门，及常见 问题优化计费类、购买类、操作类等。 2022.07 优化帮助中心 优化目录结构，内容更详细，图文并茂，逻辑更清晰，更加方便客户快速熟悉天翼云手机。如：产品介绍中增加应用场景，增加计费说明、快速入门，及常见 问题优化计费类、购买类、操作类等。 2022.07 优化帮助中心 优化目录结构，内容更详细，图文并茂，逻辑更清晰，更加方便客户快速熟悉天翼云手机。如：产品介绍中增加应用场景，增加计费说明、快速入门，及常见 问题优化计费类、购买类、操作类等。

查看指定时间段内的快照容量 您可以按照以下步骤在EVS控制台查看当前地域下指定时间段内的所有快照容量。 1. 登录管理控制台。 2. 选择“存储 > 云硬盘”。 3. 在左侧导航栏，选择“云硬盘 > 快照”。进入“快照”页面。 4. 单击页面上方的“快照用量”，切换至快照用量页签。 5. 在页面顶部位置可以查看快照总量和快照个数。 6. 在页面中部设置查询时间（最小时间段为1小时）。您还可以查看近1天、近7天、近15天、近30天的所有快照容量。

推荐使用场景 工具 推荐场景 不适用场景 AnythingLLM 企业文档问答、私有知识库管理、需严格权限控制的团队协作 快速测试模型、轻量级个人聊天需求 Open WebUI 个人或开发者快速体验模型、多模型切换测试、多模态交互(如语音/图像) 复杂文档管理、企业级安全与协作需求 注意 建议使用天翼云提供的 DeepSeek 镜像创建云主机，减少安装过程中可能遇到的问题。镜像选择请参考在天翼云使用Ollama运行DeepSeek的最佳实践7B等版本弹性云主机最佳实践AIGC实践 天翼云。 操作步骤： 一、云主机端口配置更新 1. 进入云主机详情页，选择安全组选项，添加新的开放端口。 建议选择新加 3001 端口。添加完成后，可在安全组规则列表中查看新添加的 3001 端口规则，确认其状态为正常生效。 2.

本文将为您介绍通过专线网关实现访问跨账号VPC。 应用场景 本地IDC通过一条物理专线接入天翼云华北2地域接入点，实现A账号本地IDC网络与天翼云华北2地域中的B账号VPC网络互通。如需使用云企业路由器搭建跨AZ入云网络架构，物理电路通过接入不同AZ接入点，实现跨账号访问VPC网络，具体操作说明详见本地IDC通过跨账号访问VPC。 A账号：本地IDC接入天翼云华北2地域的物理专线，配置如下。 物理专线名称 互联地址（天翼云侧） 互联地址（用户侧） 掩码 VLAN 物理专线 10.250.0.1 10.250.0.2 255.255.255.252 100 B账号：天翼云华北2地域的跨账号VPC，配置如下。 VPC名称 VPC网段（IPv4） 子网网段（IPv4） VPC1 10.10.0.0/16 10.10.0.0/24 前提条件 1、在天翼云华北2已创建一条物理专线，具体操作说明详见创建物理专线。 2、在天翼云华北2已创建一个专线网关，具体操作说明详见创建专线网关。 3、在天翼云华北2已创建一个跨账号VPC，具体操作说明详见创建VPC。

本文介绍如何订购Web应用防火墙（边缘云版）服务。 订购天翼云Web应用防火墙（边缘云版）服务，需首先注册天翼云账户，并完成实名认证。 操作步骤 步骤1、注册天翼云官网账号并完成注册。 天翼云官网登录页面 步骤2、未实名认证的用户请按提示完成实名认证才可以订购Web应用防火墙（边缘云版）服务。 步骤3、实名认证后成功后进入Web应用防火墙（边缘云版）产品详情页快速了解产品，后单击【立即开通】。 产品详情页 步骤4、在订购页面选择适合的套餐和扩展服务，勾选并阅读服务协议，确认无误后点击“立即开通”，web应用防火墙（边缘云版）服务即开通。 步骤5、web应用防火墙（边缘云版）服务开通后，便可以根据操作手册去控制台开始接入您要防护的域名。

图解：DeepSeek与公有云深度融合 从基础设施到智能中枢：DeepSeek如何重塑公有云服务价值链 高性能GPU云主机助力DeepSeek深度应用 天翼云SDWAN与DeepSeek超强联动，开启云上高效互联新时代 实践指南：DeepSeek驱动高效能云生态 GPU云主机/弹性云主机：零基础搭建DeepSeek云端环境指南 GPU物理机：物理机搭建DeepSeek指南 SDWAN跨境：SDWAN助力DeepSeek模型定向加速 智算容器：云容器引擎与DeepSeek融合实践 函数计算：天翼云函数计算与DeepSeek大模型 Q&A：典型问题解析与策略应对 常见问题解答

图解：DeepSeek与公有云深度融合 从基础设施到智能中枢：DeepSeek如何重塑公有云服务价值链 高性能GPU云主机助力DeepSeek深度应用 天翼云SDWAN与DeepSeek超强联动，开启云上高效互联新时代 实践指南：DeepSeek驱动高效能云生态 GPU云主机/弹性云主机：零基础搭建DeepSeek云端环境指南 GPU物理机：物理机搭建DeepSeek指南 SDWAN跨境：SDWAN助力DeepSeek模型定向加速 智算容器：云容器引擎与DeepSeek融合实践 函数计算：天翼云函数计算与DeepSeek大模型 Q&A：典型问题解析与策略应对 常见问题解答

本文带您了解VPC终端节点的功能特性。 VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。 终端节点服务 终端节点服务（VPC Endpoint Service）指将云服务或用户私有服务配置为VPC终端节点支持的服务。终端节点服务通过专属网关，可以将 VPC 中的服务方便的提供给其它 VPC 中的资源使用，实现跨 VPC 的访问，而不必暴露服务端相关的网络信息，使您的访问更加安全、可靠。当前支持“接口”类型终端节点服务。 “接口”类型：包括系统配置的云服务、用户自己创建的私有服务和云服务商已创建的云服务。 用户可以通过终端节点服务快速的把服务发布到私网连接上，通过白名单授权管理可以灵活的管理可连接的用户信息，在保证安全的前提下灵活的通过私网共享服务 终端节点 终端节点（VPC Endpoint）在VPC和终端节点服务之间提供连接通道。您可以在VPC中创建自己的应用程序并将其配置为终端节点服务，同一区域下的其他VPC可以通过创建在自己VPC内的终端节点访问终端节点服务。 在同一区域中，通过购买终端节点可以实现所属VPC内云资源跨VPC访问终端节点服务。 终端节点与终端节点服务一一对应，访问不同类型终端节点服务的终端节点存在差异： 访问“接口”型终端节点服务的终端节点：是具备私有IP地址的弹性网络接口，作为“接口型”终端节点服务的通信入口。

本节包含了专属云（计算独享型）的服务协议。 天翼云专属云（计算独享型）服务协议

本节介绍了为业务同时部署DDoS高防（边缘云版）和CDN加速的操作步骤。 使用场景 如果您的网站既需要进行流量型DDoS攻击的防护，同时也有对内容分发的加速需求，您可以在DDoS高防（边缘云版）的基础上，叠加CDN加速进行使用。 天翼云CDN加速（CDN，Content Delivery Network），即内容分发网络，是基于天翼云遍布全球的网络节点提供的内容分发加速服务。它将源站内容分发至最接近用户的节点，使用户可就近获取所需内容，解决因跨运营商、跨地域、服务器带宽及性能瓶颈带来的访问延迟问题，提高用户访问的响应速度和成功率。 配置前提 已分别开通DDoS高防（边缘云版）及CDN加速。 已完成天翼云CDN加速域名接入。 业务流程 由于DDoS高防（边缘云版）及CDN加速，采用统一的边缘云网络架构和底座，无需重复进行网站接入配置，并且也无需考虑不同产品串联时网络层转发的顺序问题。 （非统一架构的产品叠加，需确定不同产品之间网络层转发顺序，如先经过DDoS高防再经过CDN加速，那么DDoS的高防的回源地址需与CDN加速的接入地址相匹配，而不能直接配置为源站地址。非统一架构的产品叠加会增加网络配置复杂度。） 配置步骤 以先配置CDN加速，再配置DDoS高防（边缘云版）为例。 1. 完成CDN的域名接入配置，详细配置步骤，请参考添加加速域名。 2. 进入DDoS高防（边缘云版）控制台，在左侧导航中，点击【业务接入】【域名接入】。 3. 点击右上角【新增域名】，并填入域名信息，此时会弹窗提示"您的域名已经在CDN加速(中国内地)产品控制台新增，产品关联后才能同步网站通用配置，请确认是否关联"。 4. 点击确认后，系统会自动获取并完成网站配置，点击【确定】即可完成配置。 注意 DDoS高防（边缘云版）叠加天翼云CDN加速产品，域名需先在CDN控制台添加完成后，再在DDoS高防（边缘云版）控制台上新增。目前暂不支持先在DDoS高防（边缘云版）控制台上新增域名后，再叠加CDN加速产品。 DDoS高防（边缘云版）叠加天翼云CDN加速产品后，域名CNAME地址直接使用CDN加速提供的CNAME地址即可，无需调整。

操作场景 为实现跨VPC通信，您需要将VPC内的云资源（即后端资源）创建为终端节点服务，以便于同一区域其他VPC的终端节点通过私网IP访问该终端节点服务。 本节以VPC2中，属于帐号B的“弹性负载均衡”作为后端资源为例，指导您创建终端节点服务。 前提条件 在同一VPC内，已经完成后端资源的创建。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角单击“ ”图标，选择区域和项目。 3. 单击“服务列表”中的“网络 > VPC终端节点”，进入“终端节点”页面。 4. 在左侧导航栏选择“VPC终端节点 > 终端节点服务”，单击“创建终端节点服务”。 进入“创建终端节点服务”页面。 图 创建终端节点服务 表 终端节点服务配置参数 参数 说明 区域 终端节点服务所在区域。 不同区域的资源之间内网不互通。请选择靠近您的区域，可以降低网络时延、提高访问速度。 名称 可选参数。 终端节点服务的名称。 长度不大于16，支持大小写字母、数字、下划线、中划线。 如果您不填写该参数，系统生成的终端节点服务的名称为{region}.{serviceid}。 如果您填写该参数，系统生成的终端节点服务的名称为{region}.{Name}.{serviceid}。 虚拟私有云 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，此处仅支持设置为“接口”类型。 连接审批 连接审批控制的是终端节点与终端节点服务的连接是否需要审批，审批权由终端节点服务控制。 可选择开启或关闭连接审批。 若选择开启连接审批，则与本终端节点服务连接的终端节点需要进行审批，详细操作请查看[连接审批](

本节主要介绍了GeminiDB Redis产品的收费模式。 包年包月 1.收费方式 预付费方式：用户需先登录天翼云用户中心进行充值，系统会根据用户选购的实际资源对用户云账户中的金额进行扣除。 计费周期：按月计费，以自然月为计费单位，包年享受官网对应的折扣。 2、升级规则 GeminiDB Redis产品升级时间不满整月的，升级后配置按当月实际发生天数计费。 变更实例规格：您可以根据业务需求变更GeminiDB Redis实例规格，变更后即刻按照变更后的实例规格的价格计费。 扩容及缩小存储空间：您可以根据业务需求增加或减少您的存储空间，变更后即刻按照新的存储空间计费。您每次扩容或缩容的最小容量为10GB。 3、续订规则 续订数据库，续费按原订购模式按月方式进行续费。续订费用按照续订时刻的产品价格进行计费。 4、退订规则 退订云数据库，不满整月的按当月实际发生天数收费费用。 退订云数据库后实例会进入冻结状态，冻结周期为15天，冻结期过后如不续费会删除实例。 5、提醒/通知规则 到期通知：服务到期前7天、3天邮件通知，到期前1天、当天邮件通知和短信提醒。 超期通知：服务超期1天邮件通知，超期3天、7天邮件通知和短信提醒。

职能团队 需要授予的策略 权限说明 资源总运维 CtyunResourceAdmin 天翼云全量资源（接入IAM的一类资源池节点全量云服务）、订单、合同、账务、卡券等管理权限，不包含IAM功能权限。 财务管理 CtyunBssAdmin 天翼云订单、合同、标签、客户信息管理全量操作权限（包含一类、二类资源池节点） 财务管理 mkt admin 优惠券管理者权限 财务管理 CtyunAcctAdmin 天翼云账务类（如成本、账单、发票等）全量操作权限（包含一类、二类资源池节点） 计算域运维 ecs admin 云主机服务管理者权限 计算域运维 CCSE admin CCSE 超级管理员权限 网络域运维 vpc admin 虚拟私有云管理者权限 网络域运维 elb admin 负载均衡管理者权限

本章节主要介绍翼MapReduce服务的变更操作。 规格变更 在开通MRS前有多种实例供您选择，您可根据业务需要选择合适的Master和Core节点实例。当集群启动后，MRS提供如下几种变更配置的方式。 配置Task节点：新增Task节点，请参见“扩容集群”中的相关任务。 扩容：手动扩容Core或Task节点，请参见“扩容集群”。 弹性伸缩：根据业务数据量的变化动态调整集群节点数量以增减资源，请参见用户操作指南“配置弹性伸缩规则”。 若MRS提供的变更配置方式不满足您的要求，您也可以通过重建集群，做数据迁移的方式实现集群配置变更。 说明 MRS包周期集群暂不支持缩容及弹性伸缩。 扩容 翼MR的扩容不论在存储还是计算能力上，都可以简单地通过增加Core节点或者Task节点来完成，不需要修改系统架构，降低运维成本。集群Core节点不仅可以处理数据，也可以存储数据。可以在集群中添加Core节点，通过增加节点数量处理峰值负载。集群Task节点主要用于处理数据，不存放持久数据。 背景信息 翼MR集群支持Core与Task节点总数最大为500个。如果用户需要的Core/Task节点数大于500，可以联系支持人员或者调用后台接口修改数据库。 目前支持扩容Core节点和Task节点，不支持扩容Master节点。此处扩容的最大Core/Task节点数为（500 集群Core/Task节点数）。例如：当前集群Core节点数为3，此处扩容的Core节点数必须小于等于497。如果集群扩容失败，用户可重新进行扩容操作。 如果在创建集群时，没有扩容节点，用户可以在扩容时添加节点个数，但不能指定具体节点扩容。 选择的版本不同，扩容集群的操作也不同。

云产品 应用场景 描述 相关操作 虚拟专用网络VPN 连接云上VPC与本地IDC VPN连接（Virtual Private Network）用于搭建用户本地数据中心与天翼云VPC之间便捷、灵活，即开即用的IPsec加密连接通道，实现灵活一体，可伸缩的混合云计算环境。 云专线CDA 依托高性能网络布局和丰富链路资源，连接VPC与本地IDC 天翼云云专线（CTCDA，Cloud Dedicated Access），依托中国电信高性能网络布局和丰富链路资源，为用户本地数据中心与天翼云VPC之间提供高速、低时延、稳定安全的连接服务，灵活搭建云上云下专属通道，实现可伸缩的混合云部署。

本节介绍创建IPsec VPN的操作说明。 注：目前仅支持部分资源池开启IPsec VPN的功能，如当前资源池的AI云电脑（政企版）控制台没有IPsec VPN的功能菜单，请联系运维客服进行开通（运维客服邮箱：clouddesktop@chinatelecom.cn） 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.点击“创建IPsec VPN”，填写相关信息； 在创建IPsec VPN页面中填写相关信息，下面以客户侧网段192.168.10.0/24为例，带宽为5M创建，选择主VPC。其中“标识符类型”可选“IPV4”和“FQDN”，若选择IPV4，则云端标识符会默认填充为云侧公网IPV4地址，客户侧标识符则需用户填写客户设备的公网IPV4地址。若选择“FQDN”则填写对应的标识符，这些隧道信息在配置客户侧防火墙过程中使用到。 详细参数解析： （1）IPsec VPN名称：用户自定义，比如“IPSecVPN”。 （2）客户侧私网网段：客户办公区私网网段，与IPsec VPN绑定的云侧VPC子网网段不可重叠。 （3）客户侧公网地址：客户侧有固定公网地址则填写固定公网地址，无固定公网地址可以在客户内网打开浏览器百度搜索“IP”获取出口公网地址。 （4）IKE版本：只支持IKEv2版本。 （5）预共享密钥：密码强度826位，须同时包含英文字母、数字和特殊字符。客户侧防火墙与IPSec VPN实例预共享密钥需配置一致。 （6）标识符类型：支持IPV4与FQDN（域名）两种类型，默认选择IPV4。 （7）云端标识符与客户侧标识符：若使用IVP4，云端标识符会自动填充为云侧公网IPV4地址，客户端标识符需要填写客户侧设备公网IPV4地址。若填写FQDN，则需要用户填写对应的FQDN信息。用户需要注意填写 标识符顺序，假设创建IPsec VPN实例时标识符类型选用FQDN，云端标识符设置为cloud.responder，客户侧标识符设置为customer.initiator，那么客户侧VPN设备，如strongswan，leftid应设置为 @customer.initiator，rightid应设置为@cloud.responder，类型为IPV4同理。 （8）选择主VPC：客户端需要与云侧互通的VPC 4.确定创建后，IPsec VPN实例创建成功。

本节介绍创建IPsec VPN的操作说明。 注：目前仅支持部分资源池开启IPsec VPN的功能，如当前资源池的AI云电脑（政企版）控制台没有IPsec VPN的功能菜单，请联系运维客服进行开通（运维客服邮箱：clouddesktop@chinatelecom.cn） 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.点击“创建IPsec VPN”，填写相关信息； 在创建IPsec VPN页面中填写相关信息，下面以客户侧网段192.168.10.0/24为例，带宽为5M创建，选择主VPC。其中“标识符类型”可选“IPV4”和“FQDN”，若选择IPV4，则云端标识符会默认填充为云侧公网IPV4地址，客户侧标识符则需用户填写客户设备的公网IPV4地址。若选择“FQDN”则填写对应的标识符，这些隧道信息在配置客户侧防火墙过程中使用到。 详细参数解析： （1）IPsec VPN名称：用户自定义，比如“IPSecVPN”。 （2）客户侧私网网段：客户办公区私网网段，与IPsec VPN绑定的云侧VPC子网网段不可重叠。 （3）客户侧公网地址：客户侧有固定公网地址则填写固定公网地址，无固定公网地址可以在客户内网打开浏览器百度搜索“IP”获取出口公网地址。 （4）IKE版本：只支持IKEv2版本。 （5）预共享密钥：密码强度826位，须同时包含英文字母、数字和特殊字符。客户侧防火墙与IPSec VPN实例预共享密钥需配置一致。 （6）标识符类型：支持IPV4与FQDN（域名）两种类型，默认选择IPV4。 （7）云端标识符与客户侧标识符：若使用IVP4，云端标识符会自动填充为云侧公网IPV4地址，客户端标识符需要填写客户侧设备公网IPV4地址。若填写FQDN，则需要用户填写对应的FQDN信息。用户需要注意填写 标识符顺序，假设创建IPsec VPN实例时标识符类型选用FQDN，云端标识符设置为cloud.responder，客户侧标识符设置为customer.initiator，那么客户侧VPN设备，如strongswan，leftid应设置为 @customer.initiator，rightid应设置为@cloud.responder，类型为IPV4同理。 （8）选择主VPC：客户端需要与云侧互通的VPC 4.确定创建后，IPsec VPN实例创建成功。

本章节主要介绍翼MapReduce从零开始使用Kerberos认证集群。 本章节提供从零开始使用安全集群并执行MapReduce程序、Spark程序和Hive程序的操作指导。 本指导的基本内容如下所示： 1. 创建集群。 2. 创建用户。 3. 执行MapReduce程序。 4. 执行Spark程序。 5. 执行Hive程序。 创建集群 1. 创建数据湖、数据服务或实时数据流集群，“Kerberos身份认证”默认开启，且不支持关闭，详见创建集群相关内容。 2. 登录翼MR管理控制台页面。 3. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 创建用户 1. 登录翼MapReduce管理控制台页面。 2. 单击“用户权限”，进入到用户管理页面。 3. 单击“添加用户”，输入相关信息，单击“确定”即可。 执行MapReduce程序 本小结提供执行MapReduce程序的操作指导，旨在指导用户在安全集群模式下运行程序。 前提条件 已编译好待运行的程序及对应的数据文件，如mapreduceexamples1.0.jar、inputdata1.txt。 操作步骤 1. 采用远程登录软件，通过ssh登录到集群的master节点。 2. 登录成功后分别执行如下命令，在/opt/client目录下创建test文件夹。 cd /opt/client mkdir test 3. 分发keytab文件到/opt/client目录，例如test.keytab。 4. 执行如下命令认证已创建的用户，例如test。 kinit kt /opt/client/test.keytab test 5. 执行如下命令将数据导入到HDFS中。 cd test hdfs dfs mkdir /tmp/input hdfs dfs put intputdata1.txt /tmp/input 6. 执行如下命令运行程序。 yarn jar mapreduceexamples1.0.jar WordCount /tmp/input /tmp/output 其中： /tmp/output指HDFS文件系统中output的路径，该目录必须不存在，否则会报错。 执行Spark程序 本小结提供执行Spark程序的操作指导，旨在指导用户在安全集群模式下运行程序。