根据互联网业务的需要，需为每个业务云主机创建网络对象。本小节介绍安全专区云防火墙方位策略配置。 配置方法： 从【导航菜单】页面中，点击【对象】→【网络对象】→【新增】→【业务】，进行相关配置。 名称：按需命名； 服务器IP：业务云主机的IP地址。

本文向您介绍如何删除资源标签。 单个资源的标签删除 当您需要对单个资源的标签进行删除时，可参考以下操作步骤。 1. 登录管理控制台，选择“管理与部署 > 标签管理服务”，进入标签管理服务界面。 2. 选择“资源配置标签”页签。 3. 设置资源搜索条件。 搜索云资源具体操作步骤可参见搜索云资源。 4. 单击搜索结果区域的“编辑”，切换云资源标签列表为可编辑状态。 5. （可选）设置标签键展示列。 若需要删除的标签的“键”没有展示在列表中，则需要进行设置。 1. 单击搜索结果区域右侧的。 2. 在下拉列表中勾选需要删除的标签的“键”。 勾选需要展示的标签键建议不超过10个。 6. 单击待删除标签的资源所在行的。 资源标签删除完成，后续不能再按照已删除标签管理该云资源。 说明 如需删除单个云资源包含的多个标签，可按上述步骤依次对多个标签进行删除。也可以在搜索结果列表中仅勾选单个云资源，单击列表上方的“管理标签”，对单个云资源的一个或多个标签进行删除，具体步骤可以参考本节“多个资源的标签删除”。 多个资源的标签删除 当您需要对多个资源的标签进行删除时，可参考以下操作步骤。 注意 在批量删除标签时，请谨慎操作。 执行删除操作后，其所标识的所有云资源对应的该标签均会被删除，且不可恢复。 1. 登录管理控制台，选择“管理与部署 > 标签管理服务”，进入标签管理服务界面。 2. 选择“资源配置标签”页签。 3. 设置资源搜索条件。 搜索云资源具体操作步骤可参见搜索云资源。 4. 单击“搜索”。 5. 勾选待删除标签的一个或多个云资源。 6. 单击列表上方的“管理标签”，进入管理标签页面。 7. 在“编辑标签”区域，单击待删除标签所在行的“删除”。 “编辑标签”区域列出了所选云资源包含的全部标签，您可以仅批量删除所选云资源的某一个标签，也可以批量删除所选云资源的多个标签。 8. 单击“确认”。 资源标签批量删除完成，后续不能再按照已删除标签管理云资源。

本节主要介绍常用概念 数据节点 数据节点是分布式关系型数据库服务的最小管理单元，表示DRDS下关联的RDS for MySQL实例，DRDS目前仅支持这一种引擎，一个实例代表了一个独立运行的数据库。您可以在一个DRDS实例中通过创建多个逻辑库管理多个数据节点，并且可以独立访问数据节点。 虚拟私有云 虚拟私有云（Virtual Private Cloud）是用户在云服务上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务，也可以申请弹性带宽和弹性IP搭建业务系统。 子网 子网是虚拟私有云内的IP地址块。虚拟私有云中的所有云资源都必须部署在子网内。同一个虚拟私有云下，子网网段不可重复。子网创建成功后，网段无法修改。 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。 系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。 参数模板 参数模板就像是参数配置值的容器，这些值可应用于一个或多个DRDS实例。如果您想使用您自己的参数模板，只需创建一个新的参数模板，创建实例的时候选择该参数模板。如果是在创建DRDS实例后有这个需求，可以重新应用该参数模板。

加密脱敏 通过加密算法和加密主密钥生成一种加密配置，达到数据脱敏的效果。加密脱敏的结果中，初始向量IV为加密字符串的前16个字节，剩余部分是加密的密文。 1. 参照操作步骤进入“脱敏规则”页面。 2. 选择“加密脱敏”页签，进入“加密脱敏”页面。 “加密算法”：在下拉框中选择加密算法，DSC提供了AES128、AES192和AES256三种加密算法供您选择。 “加密主密钥”：如果您已在天翼云其他云服务里创建了主密钥，可在下拉框里直接选择已创建的主密钥。如果您还未创建主密钥，可单击“创建KMS主密钥”，跳转到数据加密服务里创建主密钥，具体的操作可参见创建密钥。 3. 配置完成后，单击“生成加密配置”。 如果您需要删除已配置的加密脱敏规则，可在目标规则所在列的“操作”列，单击“删除”。 字符掩盖 使用指定字符“”或随机字符，按照指定方式遮盖部分内容。 支持“保留前n后m”、“保留自x至y”、“遮盖前n后m”、“遮盖自x至y”、“特殊字符前遮盖”和“特殊字符后遮盖”六种字符掩盖的方式。 1. 参照操作步骤进入“脱敏规则”页面。 2. 选择“字符掩盖”页签，进入“字符掩盖”页面。 3. 单击“添加”，配置字符脱敏规则。 4. 输入“原始数据”，单击“测试”，在“脱敏结果”文本框中展示已完成脱敏的数据。 5. 测试确认无误后，单击“保存”。 说明 数据安全中心服务中已预置多种字符脱敏规则。内置的脱敏规则不支持删除，自定义的规则可以在规则列表的“操作”列，单击“删除”，删除规则。 所有的规则都支持编辑，在规则列表的“操作”列，单击“编辑测试”，修改规则。

本文介绍使用函数计算作为Transform时的背景信息、注意事项及操作步骤。 背景信息 当Transform选择天翼云函数计算时，您可以通过编写函数代码对事件进行更复杂、更加定制化的处理。整体流程如图所示。 1. 源端（Source）拉取事件后，事件会进入Filter阶段。 2. Filter阶段会事件进行判断，决定是否过滤该事件。经过Filter过滤的事件会进入Transform阶段。 3. Transform会对Filter过滤的事件进一步处理，依次调用函数进行处理。 4. Transform调用完函数之后，会将函数返回的内容推送给目标端（Sink）。 前提条件 事件总线EventBridge 开通事件总线EventBridge并委托授权。 函数计算 开通函数计算。 已创建对应函数。 操作步骤 1. 登录事件总线EventBridge控制台。 2. 在左侧导航栏，单击事件流。 3. 在事件流页面，单击创建事件流。 4. 在创建事件流页面，完成以下操作。 1. 在Source（源）配置向导，选择数据提供方及其资源信息，然后单击下一步。更多事件源信息参考事件流事件源。 2. 在Filtering（过滤）配置向导，在事件模式内容代码框输入事件模式，然后单击下一步。 3. 在Transform（转换）配置向导 ，设置事件转换规则，设置选择天翼云服务 为函数计算。 4. 在Sink（目标）配置向导，设置事件目标。更多事件目标信息参考事件流事件目标。 配置方式 参数 说明 绑定现有函数 函数 选择的服务中的函数。 绑定现有函数 版本和别名 选择服务的版本或别名。 5. 创建事件流后，会有30秒~60秒的延迟时间，您可以在事件流页面的状态栏查看启动进度。

本章节主要介绍分布式消息服务RabbitMQ的自定义策略。 如果系统预置的分布式消息服务RabbitMQ权限，不满足您的授权要求，可以创建自定义策略。 目前天翼云支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：《统一身份认证服务用户指南》的“创建自定义策略”章节。本章为您介绍常用的分布式消息服务RabbitMQ自定义策略样例。 说明 分布式消息服务RabbitMQ服务的权限与策略基于分布式消息服务DMS，因此在IAM服务中为RabbitMQ分配用户与权限时，请选择并使用“DMS”的权限与策略。 分布式消息服务RabbitMQ自定义策略样例 示例1：授权用户删除实例和重启实例 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dms:instance:modifyStatus", "dms:instance:delete" ] } ] } 示例2：拒绝用户删除实例 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予DMS FullAccess的系统策略，但不希望用户拥有DMS FullAccess中定义的删除实例权限，您可以创建一条拒绝删除实例的自定义策略，然后同时将DMS FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对DMS for RabbitMQ执行除了删除实例外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "dms:instance:delete" ] } ] }

本页介绍天翼云TeleDB数据库如何查看参数修改记录。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航中单击任务管理 ，进入任务管理器页面。 2. 在当前实例 下拉框切换至待查看的实例。 3. 在下拉框选择任务类型为修改配置项 ，单击查询 。 4. 在查询出的实例所在行，单击查询 可查看任务详情。

本页介绍天翼云TeleDB数据库删除实例相关操作。 1. 选择数据源管理 > 元数据管理，进入实例列表界面。 2. 在列表中找到目标实例，单击更多 > 删除实例 。 3. 单击确定 按钮，即完成在数据管理服务数据管理模块的实例信息删除。 注意 本操作仅删除在数据管理服务模块中录入的实例元数据，不影响真实运行环境的实例状态。

本页介绍天翼云TeleDB数据库如何查看参数修改记录。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航中单击任务管理 ，进入任务管理器页面。 2. 在当前实例 下拉框切换至待查看的实例。 3. 在下拉框选择任务类型为修改配置参数 ，单击查询 。 4. 在查询出的实例所在行，单击查询可查看任务详情。

本页介绍天翼云TeleDB数据库如何删除实例。 操作场景 TeleDB支持手动删除已创建的实例，暂停进程，清空数据。 说明 需先停止实例才可以删除实例。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树选择实例管理 > 实例列表 ，进入实例列表页面。 2. 在实例列表页面，单击目标实例所在行的更多 > 删除 ，出现提示框。 3. 在提示框中输入登录密码 ，单击确定 完成实例删除。

本页介绍天翼云TeleDB数据库如何修改参数配置。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，单击系统信息 > 基本信息 ，选择参数配置页签。 2. 在下拉框选择Agent或Center，输入参数名称，单击查询。 3. 单击查询出参数所在行的编辑按钮。 4. 在编辑系统参数对话框，输入参数值 ，单击确定。

本页介绍天翼云TeleDB数据库删除实例。 操作场景 TeleDB支持手动删除已创建的实例，暂停进程，清空数据。 说明 需先停止实例才可以删除实例。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树选择实例管理 > 实例列表，进入实例列表页面。 2. 在实例列表页面，单击目标实例所在行的更多 > 删除，出现提示框。 3. 在提示框中输入登录密码 ，单击确定完成实例删除。

本页介绍天翼云TeleDB数据库如何修改参数配置。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，单击系统信息 > 基本信息 ，选择参数配置 页签。 2. 在下拉框选择Agent或Center，输入参数名称，单击查询 。 3. 单击查询出参数所在行的编辑按钮。 4. 在编辑系统参数对话框，输入参数值 ，单击确定 。

本页介绍天翼云TeleDB数据库如何查看参数修改记录。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航中单击任务管理 ，进入任务管理器页面。 2. 在当前实例 下拉框切换至待查看的实例。 3. 在下拉框选择任务类型为修改配置项 ，单击查询 。 4. 在查询出的实例所在行，单击查询 可查看任务详情。

本页介绍天翼云TeleDB数据库的分区表设计规范。 1. 对于数据量巨大的表，考虑使用分区表，通常建议当单DN数据量超过32G时，使用分区表。 2. 控制分区表数量，不建议有过多的分区，会影响性能，尤其高频SQL，没有用到分区剪枝的场景；建议分区保持在100以内。 3. 分区表层级不要超过2层。 4. 分区表访问时，应带分区键条件，且分区字段条件值与字段类型匹配，没有发生隐式类型转换。

本页介绍天翼云TeleDB数据库创建同规格实例。 操作场景 该任务用于用户快捷创建和已存在实例相同规格的实例。 操作步骤 1. 切换至TeleDB控制台，在左侧导航树单击实例列表 ，进入实例列表页面。 2. 在实例列表页面，单击目标实例所在行的操作列的创建同规格实例。 3. 页面跳转至DCP创建实例的页面，您可参考实例初始化及实例开通中创建实例。

云防火墙的应用场景及限制。 约束限制 CFW ALG标签功能受限。 CFW默认不开启网络层流量类型DDoS攻击与IP欺骗防御功能。 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全，建议优先使用自定义域名服务器。 CFW长连接业务场景限制，配置策略的时候需要同时开启双向放通的安全策略，如果只开启单向策略，部分场景（开启和关闭防护、扩容引擎）需要客户端重新发起连接。 外部入侵防御 通过云防火墙，对已开放公网访问的服务资产进行安全盘点，可一键开启入侵检测与防御。 主动外联管控 云防火墙支持基于域名的访问控制，可对主动外联行为进行精准管控。 VPC间互访控制 云防火墙支持VPC间流量的访问控制，实现内部业务互访活动的可视化与安全防护。 等保合规 云防火墙可满足《网络安全等级保护2.0》中对区域边界防护、网络入侵防范、网络访问控制、安全日志审计等检查要求。

G5型弹性云主机功能如下： 处理器与内存配比为1:2/1:4。 处理器：第二代英特尔® 至强® 可扩展处理器 6278，主频2.6GHz，睿频3.5GHz 或英特尔® 至强® 可扩展处理器 6151, 主频3.0GHz，睿频3.4GHz。 支持图形加速接口： − DirectX 12, Direct2D, DirectX Video Acceleration (DXVA) − OpenGL 4.5 − Vulkan 1.0 支持CUDA和OpenCL。 支持Quadro vDWS特性，为专业级图形应用提供加速。 支持NVIDIA V100 GPU卡。 支持图形加速应用。 提供GPU硬件虚拟化（vGPU）。 提供和弹性云主机相同的申请流程。 自动化的调度G5型弹性云主机到装有NVIDIA V100 GPU卡的可用区。 可以提供最大显存2x16GiB，分辨率为4096×2160的图形图像处理能力。 常规支持软件列表 G5型弹性云主机主要用于图形加速场景，例如图像渲染、云桌面、3D可视化。应用软件如果依赖GPU的DirectX、OpenGL硬件加速能力可以使用G5型云主机。常用的图形处理软件支持列表如下： AutoCAD 3DS MAX MAYA Agisoft PhotoScan ContextCapture 使用须知 G5型弹性云主机当前支持如下版本的操作系统： − Windows Server 2016 Standard 64bit − Windows Server 2012 R2 Standard 64bit − CentOS 7.5 64bit G5型Windows操作系统云主机启动时如果加载了GRID驱动，使用vGPU显卡作为默认视频输出，暂不支持使用管理控制台提供的“远程登录”功能。请使用RDP协议（如Windows远程桌面MSTSC）访问G5型实例，之后安装远程访问工具，如VNC工具等第三方VDI工具。 使用私有镜像创建的G5型弹性云主机，请确认在制作私有镜像时安装GRID驱动。如果未安装，请在创建完成后安装GRID驱动，以实现图形加速功能。 详细安装操作请参考GPU加速型实例安装GRID驱动。

本节介绍云下节点池用户指南。 云下节点池为Anywhere集群特有，用于管理Anywhere集群IDC节点的按需扩缩容场景需求。 前提条件 已创建Anywhere集群，并已经完成部署。 若IDC节点为已安装操作系统的节点，请先确保节点已安装以下工具软件：conntrack（必选）、s3fs工具（可选）。 创建云下节点池 1. 登录分布式容器云平台，选择 集群资源 > 集群管理，在集群列表中，选中目标集群，点击进入； 2. 在目标集群页面，选择节点管理 > 节点池，在节点池页面，单击 创建云下节点池； 3. 在创建云下节点池对话框中，完成云下节点池的配置项。云下节点池创建完成之后，在节点池列表右侧支持编辑云下节点池部分配置项。 节点池配置项内容如下所示： 配置项 说明 是否支持修改 节点池名称 自定义节点池名称 × 架构 节点架构：X86、ARM × 节点类型 物理机(托管)：未装操作系统的物理机节点，节点池扩容时自动安装操作系统； 物理机(纳管）：请提供已安装操作系统的物理机节点； 虚拟机：请提供已安装操作系统的虚拟机节点； × 节点数量 如当前无需创建节点，可填写为0，仅配置节点池信息，后续再进行扩容节点； 填写数量>0时，需填写对应数量的节点信息，完成节点池创建并扩容对应节点到集群内； × 节点网络 节点类型为物理机(托管)类型时，需填写以下网络信息： 子网掩码：节点设备所属子网范围； 网关：节点设备所属子网网关； DNS：节点配置的DNS服务器地址，用于解析域名； × 操作系统 当节点类型为物理机(托管)类型时，选择节点需要安装的操作系统。 × 高级配置（选填） 配置项 说明 是否支持修改 节点标签 为扩容的节点添加标签，采用键值对形式。 √ 节点污点 为扩容节点添加污点，污点包含键、值和Effect(效果)。 Effect可选择NoSchedule、NoExecute、PreferNoSchedule。 NoSchedule：节点上若存在Effect值为NoSchedule的污点，则Pod不会分配到该节点； NoExecute：不能忍受此污点的Pod会被驱逐； PreferNoSchedule：尽量避免调度未忍受该污点的Pod到该节点，但不会强制执行； √ 自定义Kubelet参数 支持自定义Kubelet参数，在节点加入集群时配置； ×

本章介绍通过内网使用弹性云主机连接云数据库GaussDB 实例。 准备工作 云数据库GaussDB 提供gsql工具帮助您在命令行下连接数据库，您需要提前创建一台弹性云主机用于安装gsql工具。具体请参见《弹性云主机用户指南》。 须知 操作系统需要选择Euler操作系统。gsql支持的操作系统版本如下： X86：EulerOS V2.0SP5。 设置安全组规则 在访问数据库前，您需要将访问数据库的IP地址，或者IP段加入安全组入方向的访问规则，操作请参见设置安全组规则。 远程连接数据库 步骤 1 登录申请的弹性云主机。 步骤 2 在申请的弹性云主机上，上传客户端工具包并配置gsql的执行环境变量。 1. 以root用户登录客户端机器。 2. 创建“/tmp/tools”目录。 mkdir /tmp/tools 3. 获取云数据库GaussDB 软件包并解压。 unzip GaussDBopengaussclienttools.zip 4. 根据申请的弹性云主机的操作系统架构进入不同目录，获取“GaussDBKernelxxxEULER64bitgsql.tar.gz”，并上传到申请的弹性云主机“/tmp/tools”路径下。 说明 软件包相对位置为安装时所放位置，根据实际情况填写。 5. 解压文件。 cd /tmp/tools tar zxvf GaussDBKernelxxxEULER64bitgsql.tar.gz xxx为版本号，请根据实际情况替换。 6. 设置环境变量。 打开“~/.bashrc”文件。 vi ~/.bashrc 按下i键进入INSERT模式，在其中输入如下内容后，单击“ESC”退出编辑模式，使用“:wq!”命令保存并退出。 export PATH/tmp/tools/bin:$PATH export LDLIBRARYPATH/tmp/tools/lib:$LDLIBRARYPATH 使环境变量配置生效。 source ~/.bashrc 步骤 3 执行如下指令，根据提示输入密码，连接数据库。 数据库创建成功后，会默认生成名称为postgres的数据库，此处以postgres库为例。 gsql d postgres h 10.0.0.0 U root p 8000 Password for user root: postgres为需要连接的数据库名称，10.0.0.0分布式为CN的IP地址，主备版为主DN的IP地址，root为登录数据库的用户名，8000为CN的端口号。

云墙VPN功能是否可以免费使用？ 云墙VPN功能支持免费使用。这是云墙的基础功能模块之一，为用户提供安全、可靠的虚拟专用网络连接。以下是相关功能详细信息： 基础功能模块：云墙VPN功能是N100的基础功能之一，旨在为用户提供安全的远程访问和站点到站点的连接服务。 IPSEC VPN链路：根据不同的版本，IPSEC VPN支持的链路条数可能有所不同。用户可以根据业务需求选择适当的版本。 SSL VPN账号限制：默认情况下，SSL VPN支持最多5个账号同时在线。如果您的业务需要更多同时在线账号，您可以联系天翼云客服进行进一步的咨询和配置。 扩展服务：如果您的业务需求超出了免费版本所提供的功能，我们提供了更高级的版本和扩展服务，以满足不同用户的需求。您可以与天翼云客服联系，了解更多关于高级版本和扩展服务的信息。

本文主要介绍使用场景 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，可以很方便的实现审计类功能，以帮助用户更好地规划和利用已有资源、甄别违规或高危操作。 以下介绍三种典型应用场景。 安全审计场景 根据云审计服务收集的日志记录，通过查询具体的、符合某一特征的记录，执行安全分析，判断用户的操作是否符合权限要求。 问题定位场景 当现网某个特定资源或动作出现问题，可根据云审计服务收集的日志记录，通过查询对应时间、对应资源的操作记录，查看当时的请求动作和响应，支撑问题定位分析。 资源跟踪场景 根据云审计服务所记录的操作记录，可以查看任意云服务资源在其整个生命周期内的操作记录，并检视具体操作的细节。

本文主要介绍登录Windows云主机提示“内部错误”怎么办? 问题描述 使用MSTSC方式登录Windows云主机时，系统报错提示“内部错误”。 处理方法 1.在本地主机以管理员身份运行cmd。 2.执行netsh winsock reset 3.重启本地主机。 如果您使用上述方法仍无法登录云主机，我们首先建议您排查本地的网络是否正常，您可以尝试更换网络（例如：手机热点）测试是否可以远程登录。 如果通过上述排查，仍然无法登录云主机，请记录资源信息和问题时间，然后单击管理控制台右上方的“工单”，填写工单信息，获取技术支持。

本小节介绍安全专区云堡垒机添加资产方法。 1.点击【运维管理】→【资源】→【添加】，可以添加不同类型的运维资源。 2.选择设备资源类别。 名称：自定义； 归属部门：Root部门； 地址：业务云主机IP地址； 密码策略：内置密码策略； 运维协议：按实际需求选择，可参考上图。 请确保资源的网络及管理端口与云堡垒机网络互通，管理端口如SSH的22端口及RDP的3389端口可让云堡垒机访问。

本节为您介绍虚拟私有云VPC的相关费用。 虚拟私有云VPC服务下包含了多种产品资源，部分资源可以免费使用，部分资源需要支付费用。 下表为您详细介绍了虚拟私有云VPC各项资源的收费情况。 资源名称 收费情况说明 虚拟私有云 免费 子网 免费 路由表 免费 对等连接 免费 弹性网卡 免费 辅助弹性网卡 免费 IP地址组 免费 安全组 免费 网络ACL 免费 VPC流日志 如果您使用了VPC流日志，则VPC流日志使用的云日志服务需要支付费用。 流量镜像 免费 弹性公网IP和带宽 如果您使用了弹性公网IP和带宽的相关资源，则需要支付费用。 弹性公网IP：收取弹性公网IP保有费。 您购买的按需计费弹性公网IP未绑定至任何实例（如ECS、ELB）时，会收取弹性公网IP保有费。 固定带宽：弹性公网IP以及共享带宽的带宽费用。 带宽流量：按需计费(按流量计费)弹性公网IP的流量费用。 VPC终端节点 公测阶段暂不收费。

本节介绍了业务端口被一键式重置密码插件占用的问题描述、问题原因等。 问题描述 在弹性云主机上运行某业务时，系统提示所需端口被一键式重置密码Agent插件占用。那么，一键式重置密码插件占用的端口与业务端口发生冲突时，应当如何处理？ 问题原因 对于采用AUTO模式的弹性云主机，一键式重置密码插件启动时，会随机选取端口进行使用，可能占用了业务端口。 说明 一键式重置密码插件已经升级，默认采用PIPE模式。 对于新创建的弹性云主机，默认采用PIPE模式，不会占用端口。 对于已创建的弹性云主机，仍采用AUTO模式，随机占用31000~32999中的一个端口。占用端口的原则是：在该范围内，系统会按照自小到大的顺序，占用当前空闲的端口。 方法一（推荐）：将一键式重置密码插件wrapper修改为PIPE模式 推荐您将一键式重置密码插件wrapper从AUTO模式（SOCKET）修改为PIPE模式，修改后，插件运行时不再占用端口。 1. 打开CloudResetPwdAgent配置文件。 − Linux弹性云主机文件位置： “/CloudrResetPwdAgent/conf/wrapper.conf”和“/CloudResetPwdUpdateAgent/conf/wrapper.conf” − Windows弹性云主机文件位置： “C:CloudResetPwdUpdateAgentconfwrapper.conf”和“C:CloudResetPwdUpdateAgentconfwrapper.conf” 2. 在末尾新增如下配置： wrapper.backend.typePIPE 3. 重启CloudResetPwdUpdateAgent服务。 − Linux弹性云主机 /CloudResetPwdUpdateAgent/bin/cloudResetPwdUpdateAgent.script restart − Windows弹性云主机 i. 使用快捷键“Win+R”，打开“运行”窗口。 ii. 输入“Services.msc”，并单击“确定”。 图 运行 iii. 右键单击服务“cloud reset password update agent”，选择“重新启动”。 图 服务（本地） 方法二：修改配置，更换端口范围 您可以修改CloudResetPwdAgent配置，更换默认随机端口选取的范围（31000~32999），确保业务端口不在一键式重置密码插件的端口选择范围内。 假设将一键式重置密码插件随机占用的端口范围修改为：40000~42000，则操作如下： 1. 打开CloudResetPwdAgent配置文件。 − Linux弹性云主机文件位置： “/CloudrResetPwdAgent/conf/wrapper.conf”和“/CloudResetPwdUpdateAgent/conf/wrapper.conf” − Windows弹性云主机文件位置： “C:CloudResetPwdUpdateAgentconfwrapper.conf”和“C:CloudResetPwdUpdateAgentconfwrapper.conf” 2. 新增如下配置： wrapper.port.min40000 wrapper.port.max41000 wrapper.jvm.port.min41001 wrapper.jvm.port.max42000 图 修改配置文件 3. 重启CloudResetPwdUpdateAgent服务。 − Linux弹性云主机 /CloudResetPwdUpdateAgent/bin/cloudResetPwdUpdateAgent.script restart − Windows弹性云主机 i. 使用快捷键“Win+R”，打开“运行”窗口。 ii. 输入“Services.msc”，并单击“确定”。 图 运行 iii. 右键单击服务“cloud reset password update agent”，选择“重新启动”。 图 服务（本地）

通过云主机创建系统盘镜像 通过镜像文件创建系统盘镜像 通过云主机创建数据盘镜像 通过镜像文件创建数据盘镜像 通过云主机快照创建系统盘镜像

本节为您介绍访问控制的组成部分、使用限制。 天翼云SDWAN服务提供访问控制功能，您可以为智能网关设备设置访问白名单或黑名单。 组成部分 访问控制规则由以下参数组成： 参数 说明 规则方向 可选出方向、入方向。 授权策略 授权策略：可选允许、拒绝，允许对应白名单，拒绝对应黑名单。 协议类型 可选ICMP、TCP、UDP，具体以控制台为准。 地址类型 仅支持IPv4。 源网段 填写单一IP地址或者CIDR网段格式。 源端口范围 取值范围1到65535;设置格式例女“1/200”、“80”、“1/1”代表不限制端口。 目的网段 填写单一IP地址或者CIDR网段格式。 目的端口范围 取值范围1到65535;设置格式例女“1/200”、“80”、“1/1”代表不限制端口。 优先级 取值范围：[1,100]，1为最高优先级两条不同的规则，优先级高的优先生效，如果优先级相同，则先下发的规则优先生效。 使用限制 创建访问控制实例后，不支持修改访问控制实例的实例类型。 一个智能网关硬件版只能关联一个访问控制规则。 一个天翼云账号默认可以创建50个访问控制规则。 每条规则默认可以添加50条规则项。

本节主要介绍通过负载均衡地址连接实例（推荐） 。 操作场景 本章节以Linux操作系统为例，指导您通过负载均衡地址的方式连接GeminiDB Influx实例。 使用须知 目标实例必须与弹性云主机在同一个虚拟私有云和子网内才能访问。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为 默认安全组 ，则无需设置安全组规则。 如果目标实例所属安全组 非默认安全组 ，请查看安全组规则是否允许该弹性云主机访问。具体操作请参考设置安全组规则。 前提条件 创建弹性云主机，以Linux操作系统为例。详情请参见《弹性云主机快速入门》中购买弹性云主机的内容。 下载InfluxDB客户端，以Linux 64bit为例。 SSL连接 1. 登录弹性云主机，详情请参见《弹性云主机快速入门》中登录弹性云主机的内容。 2. 将InfluxDB客户端安装包上传到弹性云主机（可通过xftp等文件传输工具上传）。 3. 解压客户端工具包。 tar xzf influxdb1.7.9staticlinuxamd64.tar.gz 4. 在“influx”工具所在目录下，连接数据库实例。 使用如下命令，进入InfluxDB目录。 cd influxdb1.7.91 连接GeminiDB Influx实例。 ./influx ssl unsafeSsl username ' ' password ' ' host port 示例： ./influx ssl unsafeSsl username 'rwuser' password ' ' host 192.xx.xx.xx port 8635 表1 参数说明 参数 说明 管理员账户名，默认为rwuser。您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“数据库信息”模块的“管理员账户名”处获取。 管理员密码。 待连接实例的负载均衡地址。负载均衡地址目前处于公测阶段，如需使用，请您联系客服申请开通。 场景一：在创建实例之前，如果您已经申请开通了负载均衡地址，您可以在创建实例页面查看到系统默认勾选负载均衡地址。待实例创建成功后，您可以单击实例名称，进入“基本信息”页面，在网络信息区域获取到“负载均衡地址”。 场景二：如果实例已创建成功，此时如果需要使用负载均衡地址，则需要联系客服帮您开通。开通成功后，您可以单击实例名称，进入“基本信息”页面，刷新页面，在网络信息区域获取到“负载均衡地址”。 实例的端口。您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“网络信息 > 负载均衡地址”处获取端口信息。 5. 出现如下信息，说明连接成功。 Connected to version 1.7.4 InfluxDB shell version：1.7.9 >

与弹性云服务器的关系 弹性云主机（Elastic Cloud Server，ECS）是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。弹性云服务器创建成功后，您就可以像使用自己的本地PC或物理服务器一样，在云上使用弹性云服务器。 Dedicated HSM提供的专属加密实例可以为部署在弹性云服务器内的业务系统加密敏感数据，用户可完全控制密钥的生成、存储和访问授权，保证数据在传输、存储过程中的完整性、保密性。 与文档数据库服务的关系 文档数据库服务（Document Database Service，DDS）完全兼容MongoDB协议，提供安全、高可用、高可靠、弹性伸缩和易用的数据库服务，同时提供一键部署、弹性扩容、容灾、备份、恢复、监控和告警等功能。KMS为DDS提供用户主密钥管理控制能力，应用于文档数据库的磁盘加密功能。 与云审计服务的关系 云审计服务（Cloud Trace Service，CTS）记录数据加密服务相关的操作事件，方便用户日后的查询、审计和回溯。 云审计服务支持的DEW操作列表 操作名称 资源类型 事件名称 创建密钥 cmk createKey 创建数据密钥 cmk createDataKey 创建不含明文数据密钥 cmk createDataKeyWithoutPlaintext 启用密钥 cmk enableKey 禁用密钥 cmk disableKey 加密数据密钥 cmk encryptDatakey 解密数据密钥 cmk decryptDatakey 计划删除密钥 cmk scheduleKeyDeletion 取消计划删除密钥 cmk cancelKeyDeletion 创建随机数 rng genRandom 修改密钥别名 cmk updateKeyAlias 修改密钥描述 cmk updateKeyDescription 密钥删除风险提示 cmk deleteKeyRiskTips 导入密钥材料 cmk importKeyMaterial 删除密钥材料 cmk deleteImportedKeyMaterial 加密数据 cmk encryptData 解密数据 cmk decryptData 添加标签 cmk createKeyTag 删除标签 cmk deleteKeyTag 批量添加标签 cmk batchCreateKeyTags 批量删除标签 cmk batchDeleteKeyTags 开启密钥轮换 cmk enableKeyRotation 修改密钥轮换周期 cmk updateKeyRotationInterval 关闭密钥轮换 cmk disableKeyRotation

本小节介绍云下一代防火墙新建子网及网卡。 1.登录云主机控制台，打开虚拟私有云，创建子网。 2.创建子网，保证创建子网与现有子网不冲突即可。 3.创建子网，并自定义子网名称和网段。 4.子网创建完成后，打开云下一代防火墙控制台页面，选择子网和安全组。 5.修改网卡属性，关闭源目检查。 网卡新增成功后，可进入云下一代防火墙web页面进行配置即可。

添加安全组规则 安全组中的入方向规则默认开启了22端口，当云主机的SSH登录端口修改为5000时，需要为安全组新加一条规则。 1.登录管理控制台。 2.选择“计算 > 弹性云主机”，进入云主机控制台。 3.单击云主机名称“ecsf5a2”进入详情页面。 4.选择“安全组”页签，单击展开安全组规则详情，单击列表右上角的“更改安全组规则”。 5.添加一条入方向规则，如下图所示。 图 安全组规则 编辑hosts.allow和hosts.deny “/etc/hosts.allow”和“/etc/hosts.deny”是控制远程访问的文件，通过配置该文件可以允许或者拒绝某个IP或者IP段的客户访问Linux云主机的某项服务。 比如SSH服务，通常只对管理员开放，那我们就可以禁用不必要的IP，而只开放管理员可能使用到的IP段。 因为云主机需要在不同地点登录，建议编辑“/etc/hosts.allow”允许所有IP地址登录，这样不会影响正常使用。 vim /etc/hosts.allow 在最后一行增加“sshd:ALL”。 我们可以通过一些方法识别云主机的安全风险，比如检查SSH状态，查看疑似恶意登录的IP，然后在“/etc/hosts.deny”中将这些地址禁止。