客户端加密SDK是一个用于数据加密和解密的Java算法库，支持多种加密算法和密钥管理策略。本SDK提供了简单易用的API，帮助开发者快速实现数据的安全加密和解密操作。 前提条件 已购买企业版客户端加密模块license。 已开通KMS包周期服务。 已完成访问凭证AKSK创建。 已完成用户主密钥资源创建。 下载SDK 请点击下载客户端加密模块SDK（企业版）.zip。 安装与配置 1. 依赖库部署。 使用SDK前需将 C 依赖库放入相应的路径下，否则无法调用相关功能。 Linux环境 将文件夹lib中对应版本的xxx.so放置对应目录下： 64 位系统：库文件放入/lib64目录下。 32 位系统：库文件放入/usr/lib目录下。 Windows环境 将文件夹lib中对应的版本的xxx.dll 放置对应目录下： 64 位系统：DLL文件存放在C:WindowsSystem32目录或者jar包同级目录下。 32 位系统：DLL文件存放在C:WindowsSysWOW64目录或者jar包同级目录下。 2. 集成配置。 应用系统新增依赖配置： plaintext 安装加密软模块sdk包 mvn install:installfileDfilelib/TASSLAPIv1.5.220251215.1.jarDgroupIdorg.tasslsdk DartifactIdtasslDversion1.5.2Dpackagingjar 安装kms终端节点sdk mvn install:installfileDfilelib/ctyunkmssdkjava.jarDgroupIdorg.kmssdk DartifactIdctyunkmssdkjavaDversion1.2.1.1Dpackagingjar 添加依赖： plaintext org.tasslsdk tassl 1.5.2 其他依赖jar包信息： annotations13.0.jar hutoolall5.8.5.jar kotlinstdlib1.4.0.jar okhttp4.9.0.jar  okio2.8.0.jar

本文帮助您了解对象存储对象多版本相关的功能。 使用场景 利用多版本管理，您可以在一个桶中保留多个版本的对象，使您更方便地检索和还原各个版本，在意外操作或应用程序故障时快速恢复数据。 注意 ZOS新创建的桶不会自动开启多版本功能，当向同一个桶上传同名的对象时，新上传的对象将覆盖原有的对象。 开启多版本 新上传对象，ZOS自动为每个对象创建唯一的版本号。上传同名的对象将以不同的版本号同时保存在ZOS中。 开启版本管理前，桶中已有对象版本ID为空，再次上传该同名对象，新上传的文件会生成新的版本号。 列出桶内对象列表时会列出最新对象和历史版本对象。 可以指定最新对象或任一历史版本对象进行下载或删除。 版本 描述 最新版本 多版本控制开启后，上传同名对象、恢复、删除都会生成新的版本号，最后一次操作保存的版本号就是最新版本。 历史版本 多版本控制开启后，上传同名对象、恢复、删除都会生成新的版本号，除最新版本外的其他版本号为历史版本。 暂停多版本 当不需要对桶内对象进行版本控制时，可以暂停多版本控制： 多版本管理可以由开启状态变更为暂停状态，但无法返回未启用状态。 暂停后新上传的对象版本号为空。若之前有版本号为空的同名对象，则会覆盖该版本号为空的对象。 暂停后桶内已有的历史版本不会被删除，将继续保留ZOS中并支持下载，若你不再需要这些历史版本，请手动删除。 暂停后对象被删除或覆盖后无法找回。

本文介绍在函数计算中使用自定义运行时函数的运行环境信息。 背景信息 基于自定义运行环境，您可以打造自己的专属运行环境。 定制个性化语言，例如C++,Rust。 定制特定代码语言版本的运行环境，例如Java 21。 容器环境 自定义运行时运行环境如下。 名称 操作系统 架构 自定义运行时 Debian 10 x8664 用户权限：执行用户为root。 目录权限：全路径均可读写。 代码在容器内路径：/code。 环境信息 自定义运行时 内置以下编程语言版本。您可以直接创建以下编程语言版本的自定义运行时函数，无需安装第三方解释器或配置层。 Python 3.6, 3.9, 3.10 Node.js 16, 18, 20 OpenJDK 8, 11, 17, 21 .NetCore 8.0 Go 1.22 PHP 7.2 使用非内置编程语言 说明 推荐通过官方公共层的方式使用非内置编程语言。 当您打算使用某种语言打造自定义运行时，但该语言不是内置语言时，您需要将该语言的解析器或运行时和代码文件一起打包部署到函数计算，实现您的预期目标。例如，当运行时环境不是java环境，您想要用Java 17运行代码时，您需要先下载Java 17所需的解释器到代码中，然后将打包后的代码部署到函数计算。具体操作如下。 1.下载Linuxx64版本的 jdk 17到代码目录 sh wget O jdk17.tar.gz && tar zxvf jdk17.tar.gz 2.设置启动命令 nodejs command: /code/jdk17/bin/java args: 'demo.jar'

本文对数据安全中心（DSC）的使用进行介绍，介绍如何识别、分类分级和保护对象存储OBS中存储的敏感数据。 背景 敏感数据定义：身份证等个人隐私信息、密码、密钥、敏感图片等高价值数据。这些数据通常会以不同的格式存储在您的对象存储OBS桶中，将会给企业带来重大的经济和名誉损失。 数据安全中心在您对数据源进行识别授权后，可以从您存储在对象存储OBS的大量数据中，对敏感数据进行快速发现、定位、分类分级并展示。数据安全中心DSC还会对敏感数据的使用情况进行跟踪，根据预先定义的安全策略对数据进行保护和审计，以确保您随时了解对象存储OBS数据资产的安全状态。 场景 检测敏感数据 用户存储在对象存储OBS中的大量数据和文件，无法准确确定其中是否包含敏感信息，也无法确定其中敏感数据的位置。 用户可以使用数据安全中心DSC内置的算法规则，还可以根据其行业特点自定义规则，扫描其存储在OBS中的数据，并对数据进行分类和分级，之后根据扫描结果采取进一步的安全防护措施，例如可以利用对象存储OBS中的访问控制和加密功能等。 异常事件检测审计 数据安全中心DSC能够监测与敏感数据相关的访问、操作、管理等异常情况，并提供告警提示信息，用户可以确认和处理异常事件。一般而言，以下行为都被认为是异常事件： 非法用户访问或下载敏感数据，该行为未经授权。 合法用户进行访问、下载、修改、权限更改或权限删除敏感数据。 合法用户进行权限更改、权限删除敏感数据的桶。 用户访问敏感数据的登录终端异常等情况。

本文问您介绍如何使用KMS SDK for Java访问KMS服务。 KMSSDK可以帮助用户通过简单的编程访问KMS提供的API接口，实现加密解密、签名验签、密钥管理等业务诉求。本文将介绍如何初始化SDK以及如何调用接口实现以上功能。 前提条件 已购买KMS包周期服务。 已完成应用接入点创建，获取KMS应用接入点地址。 已完成访问凭证AKSK创建。 已完成密钥资源创建。 下载SDK 请点击下载SDK：SDK.zip 环境依赖 只需将提供的SDK导入到开发的Java项目中，并在配置中添加以下依赖即可使用KMSSDK的功能。 plaintext org.kmssdk ctyunkmssdkjava 1.0 调用流程 使用KMS提供的Java SDK调用接口的完整流程如下图所示。 1. 首先初始化DefaultProfile类，传入参数AK、SK和应用接入点地址，然后初始化DefaultKmsClient类，传入上一步的DefaultProfile类。 2. 用户根据需要调用的接口创建相应的Request类，并为其构建传入参数，发送HTTP/HTTPS请求。 3. Request类可以修改请求协议，默认为HTTPS协议。 4. 最后通过创建的Response类和ResponseData类接收响应结果，并使用get方法获取详细数据。 初始化SDK 使用Java SDK调用接口时，首先初始化DefaultProfile类和DefaultKmsClient类。 初始化示例如下： plaintext //首先初始化DefaultProfile类，new DefaultProfile（String ak, String sk, String ipport），传入用户的ak、sk以及接入点地址 DefaultProfile defaultProfile new DefaultProfile("ae2cc5cc5e8211ea978a186590d96509", "bf9ebf2fb797d85818f46d136a8637388c988813", "127.0.0.1:9091"); //初始化DefaultKmsClient类，需要传入上一步的DefaultProfile类 DefaultKmsClient defaultKmsClient new DefaultKmsClient(defaultProfile);

Kafka支持服务端认证客户端吗？ 不支持。 连接开启SASLSSL的Kafka实例时，ssl truststore文件可以用PEM格式的吗？ 使用Java语言连接实例时，只能使用JKS格式的证书，不支持转成PEM格式。 下载的证书JKS和CRT有什么区别？ 使用Java语言连接实例时，需要用JKS格式的证书。使用Python语言连接实例时，需要用CRT格式的证书。 Kafka支持哪个版本的TLS？ Kafka支持TLS 1.2。 Kafka实例连接数有限制吗？ 不同规格的Kafka实例，连接数限制如下： 实例规格为kafka.2u4g.cluster时，单个代理客户端总连接数上限为2000。 实例规格为kafka.4u8g.cluster时，单个代理客户端总连接数上限为4000。 实例规格为kafka.8u16g.cluster时，单个代理客户端总连接数上限为4000。 实例规格为kafka.12u24g.cluster时，单个代理客户端总连接数上限为4000。 实例规格为kafka.16u32g.cluster时，单个代理客户端总连接数上限为4000。 客户端单IP连接的个数为多少？ Kafka实例的每个代理允许客户端单IP连接的个数默认为1000个，如果超过了，会出现连接失败问题。您可以通过修改配置参数来修改单IP的连接数。 Kafka实例的内网连接地址可以修改吗？ 不支持修改，且不支持指定IP地址。 不同实例中，使用的SSL证书是否一样？ Kafka实例中的SSL证书是通用的，不区分用户或者实例，即不同的用户或者实例，使用的SSL证书是同一个。 获取SSL证书的方法如下： 步骤 1 在Kafka控制台，单击实例名称，进入实例详情页。 步骤 2 在“连接信息 > SSL证书”所在行，单击“下载”。

操作说明 本方案基于天翼云 ROS（资源编排服务）控制台，采用 Terraform Module 模块化设计，实现赛事用云主机全流程自动化批量部署。用户仅需导入模板、配置核心参数，即可一键完成 VPC、子网、安全组规则、云主机、弹性 IP 等全套网络与计算资源的自动化创建，全程无需手动操作。 通过模块化封装，方案支持灵活自定义可用区、网络网段、实例规格及部署数量，同时内置安全密码自动生成能力，可满足网络安全赛事、攻防演练、CTF 竞赛等场景下的多组别隔离、环境统一与快速交付需求，实现资源部署高效化、运行环境标准化、运维管理轻量化，为各类赛事靶机环境提供稳定、便捷的规模化交付能力。 适用场景 网络安全赛事靶机批量快速开通与统一部署 多组别、多题型竞赛环境的标准化网络搭建 攻防演练、CTF 赛事多镜像靶场环境一致性交付 临时赛事训练、演示环境快速创建与赛后一键回收 需自定义网段、靶机规格与资源隔离的规模化赛事场景 核心能力 在 ROS 控制台中： 导入模板（基于 Terraform 语法适配） 核心参数配置：配置实例数量（instancecount）、可用区选择、镜像、云主机规格等等 一键创建资源栈 即可自动完成： 多VPC和子网自动创建与分配 N 台云主机批量创建 弹性公网 IP 自动绑定 符合安全规范的随机密码自动生成 同时支持一键删除资源栈，实现全量资源自动回收

前提条件 已创建存储库。 客户端状态为已激活。 操作步骤 方法1：在备份计划页面创建备份计划 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。单击左侧“ECS文件备份”或“本地文件备份”按钮，进入文件备份控制台。 4. 单击“备份计划”按钮，进入备份计划页面。单击“创建备份计划”按钮，在弹出页面配置如下内容： 参数 说明 详细说明 参考取值 备份计划名称 您可自定义计划名称 可不填，系统自动生成。只能由数字、字母、组成，不能以数字和开头、且不能以结尾。 backuptest ECS名称/客户端名称 ECS文件备份为云主机名称，本地文件备份为客户端名称 备份计划绑定的云主机或本地客户端名称。 ecmxxxx 存储库名称 计划绑定存储库的名称 存储库和备份的ECS/本地服务器需在同一区域。 test 备份目录规划 备份计划中设置的备份目录。显示计划中指定、排除文件目录或文件的规则信息 可选择全部目录 、指定目录或高级规则 。 全部目录：选择全部目录后，备份系统会自动过滤系统特殊目录，这些目录将不会加入备份计划，如/dev、/proc、/sys。 指定目录：选择指定目录后，需要指定备份文件路径。单击新增目录可自定义多个备份目录，最多可以添加10条。 路径输入规则： 不能包含/dev、/proc、/sys或子目录； 不支持通配符，且必须为绝对路径； 单条备份路径的字符最长为4095。 高级规则：您可以指定目录加入备份计划。同时可以通过“备份文件规则”选择文件加入备份计划。提供包括所有文件 、 包含下列文件 、排除下列文件三种规则。包含和排除文件需要用户手动输入路径或者文件。路径输入规则同上。 注意 : 1.不建议对系统路径进行备份，具体请参考上方约束与限制 2.包含和排除文件文件所输入的文件列表路径必须在备份文件路径之下。 全部目录 备份周期 配置备份计划执行的时间间隔 间隔时间单位为每月、每周、每天、每小时。 每月：指定在每月的几日几时进行备份。 每周：指定在每周的周几几时进行备份。 每天：指定在每天的几时进行备份。 每小时：每小时进行一次备份。 每天 00：00时 全量备份配置 配置是否启用定期全量备份 启用： 启用此选项后可按配置的频次定期进行全量备份，频次的设置范围为0100，设置0表示每次备份都执行全量备份，两次全量备份的间隔时间不可小于1天，建议合理设置备份周期与全量备份频次。 不启用： 备份策略不会定期执行全量备份操作，默认在绑定的存储库的首次备份进行全量备份，后续进行永久增量备份。 说明：若保留规则选择按数量保留，全量备份配置频次需要小于保留的备份数量，否则不会按配置的全量备份频次进行定期全量备份。 每执行10次增量备份后，执行一次全量备份 保留规则 配置保留备份副本的时间 提供按时间、按数量和永久保留三种规则。 按时间：当选择按时间保留时，需要配置保留该备份的时间。时间单位：天、周、月、年。 注意：最小保留周期为1天，最大输入9999年。 按数量：该备份计划产生的备份副本保留的总份数，取值范围为12000 永久保留：系统不会自动删除备份，直至您手动删除。 按时间：30天 高级保留选项 若选择了按数量保留，还可以配置高级保留选项进行备份副本的长期保留 高级保留选项与按数量保留规则共同生效。 保留天备份：取值范围为0100，保留指定周期内每天最新的一个备份副本，例如设置为10，则会保留前10天每天最新的备份副本 保留周备份：取值范围为0100，保留指定周期内每周最新的一个备份副本，例如设置为5，则会保留前5周每周最新的备份副本 保留月备份：取值范围为0100，保留指定周期内每月最新的一个备份副本，例如设置为3，则会保留前3月每月最新的备份副本 保留年备份：取值范围为0100，保留指定周期内每年最新的一个备份副本，例如设置为2，则会保留前2年每年最新的备份副本 说明：可同时设置天备份、周备份、月备份和年备份，会取并集进行保留。即设置保留天备份为10，周备份为2时，总共会保留12份备份。长期保留规则与按数量保留可以同时执行，不会产生冲突。 保留前5周每周最新的备份副本 备份流量限制 配置指定时间段的备份流量速度上限 限速时间段：配置需要进行流量限制的起止时间 流量限制：配置该时间段的流量速度上限 注意：使用备份流量限制的客户端版本需不低于v2.4.0，最多可配置4个时间段。 9：00到18：00进行5MB/s的流量速度限制 5. 单击“确定”，备份计划状态为“创建中”，等待状态变为“正常运行”，即完成备份计划的创建。 6. 备份计划创建成功时默认开始执行，在下一个备份时间点会自动备份数据，若需暂停计划请参考“暂停备份计划”。若需立即执行一次备份，请单击“立即执行”。

天翼云针对不同客户的业务需求,提供了多种云硬盘配置规格以供客户选择。 天翼云云硬盘支持多种配置规格，可挂载至云主机用作数据盘和系统盘，根据性能将其分为以下几种规格，各规格云硬盘的使用场景如下表所示： 云硬盘规格 适用场景 普通IO 不常访问的工作负载，例如日常办公应用和轻载型开发测试等。 高IO 一般访问量的工作负载，例如普通开发测试和对存储容量和性能有平衡诉求的办公应用。 通用型SSD 高性价比的云硬盘，适合中等性能诉求的企业应用，例如大型开发测试、转码类业务、Web服务器日志和高性能系统盘等。 超高IO 适用于高IOPS、大带宽需求的读写密集型应用场景，例如高性能计算和IO密集时延敏感型数据库等。 极速型SSD 适用于超高IOPS、超大带宽和超低时延的应用场景，例如大型OLTP数据库、大型NoSQL数据库以及核心关键业务系统等。 XSSD0 容量与性能可解耦，适用于高吞吐和低时延的应用场景，例如中小型数据库、中小规模ELK日志集群。 XSSD1 容量与性能可解耦，适用于超高吞吐和超低时延的应用场景，例如超大带宽的读写密集型场景、中大型数据库。 XSSD2 容量与性能可解耦，适用于超高IOPS、超高吞吐量和超低时延的应用场景，例如高负载、核心关键业务系统、超大型数据库。 XSSD3 容量与性能可解耦，适用于极高性能场景，例如超大型OLTP数据库使用。

本文将为您介绍什么是磁盘扩容以及如何在控制台上实现扩容。 操作场景 当磁盘空间不足时，用户可以扩大磁盘的容量。磁盘扩容可以有如下两种操作方式： 申请一块新的磁盘，并挂载给云主机。 扩容原有磁盘空间。系统盘和数据盘均支持扩容。 本文主要对方式二进行介绍。在该方式中，您可以对状态为“已挂载”或者“未挂载”的磁盘进行扩容。状态为“已挂载”的磁盘，表示当前需要扩容的磁盘已经挂载给云主机。状态为“未挂载”的磁盘，表示当前需要扩容的磁盘未挂载至任何云主机。系统盘支持的最大容量为2TB，数据盘支持的最大容量为32TB，最小扩容容量为1GB，扩容步长为1GB。 约束与限制 如扩容的是状态为“已挂载”的磁盘，且云主机状态必须为“运行中”或者“关机”才支持扩容。 磁盘扩容功能支持扩大磁盘容量，不支持缩小磁盘容量。 当磁盘已经投入使用后，请在扩容前务必检查磁盘的分区形式，具体说明如下： 分区形式 注意事项 MBR分区 容量最大支持2TB（2048GB），超过2TB的部分无法使用。 GPT分区 容量最大支持18EB（19327352832GB）。天翼云支持的最大数据盘容量为32TB（32768GB），即您最大可将数据盘扩容至32TB。 MBR分区需扩容至2TB以上 必须将磁盘分区形式由MBR切换成GPT，期间会中断业务，并且更换磁盘分区形式时会清除磁盘的原有数据，请在扩容前先对数据进行备份。

云日志服务支持将日志一次性转储至对象存储服务（OBS）中长期保存。 前提条件 日志已接入LTS。 已创建OBS桶。 创建一次性日志转储 在云日志服务管理控制台，左侧导航栏中，单击“日志转储”。 在“日志转储”页面右上角，单击“配置转储”。 在“配置转储”页面，设置转储日志相关参数。 表 1 配置转储参数说明 参数名称 说明 样例 转储方式 周期性转储：日志将周期性的转储至对象存储服务（OBS）中长期保存。一次性转储：日志将一次性的转储至对象存储服务（OBS）中长期保存。 一次性转储 转储对象 选择转储的云服务。 OBS 日志组名称 选择已创建的日志组。 企业项目 选择已创建的企业项目。如果当前账号未开通企业项目则不显示该参数。 如果当前账号已开通企业项目，则存在以下情况：当转储当前账号日志时，下拉框显示当前账号的全部企业项目。 当转储其他账号日志时，若委托账号未开通企业项目，则默认显示“default”。 当转储其他账号日志时，若委托账号已开通企业项目，则显示委托账号的全部企业项目。 日志流名称 选择已创建的日志流。已配置过OBS转储的日志流不能重复配置。 过滤条件 默认关键词过滤，在输入框填写需要过滤的关键词。 转储时间范围 时间范围有三种方式，分别是相对时间、整点时间和自定义。您可以根据自己的实际需求，选择时间范围。 相对时间：表示查询距离当前时间1分钟、5分钟、15分钟等时间区间的日志数据。 例如当前时间为19:20:31，设置相对时间1小时，表示查询18:20:3119:20:31的日志数据。 整点时间：表示查询最近整点1分钟、15分钟等时间区间的日志数据。 例如当前时间为19:20:31，设置整点时间1小时，表示查询18:00:0019:00:00的日志数据。 自定义：表示查询指定时间范围的日志数据 日志总条数 日志总条数。 转储文件个数 单次一次性转储日志条数上限100万条，转储文件个数上限10个。 OBS桶 选择已创建的OBS桶。如果没有可选择的OBS桶，单击“查看OBS”，进入对象存储服务管理控制台，创建OBS桶。LTS目前仅支持存储类别为“标准存储”的OBS桶。 所属桶目录 所属OBS桶目录。 转储文件名称 自定义转储文件名称，只能由英文字母、数字、中划线、下划线、小数点组成。 转储格式 用于配置日志的转储格式，可选择原始日志格式、Json格式、CSV格式。 原始日志格式示例：云日志服务控制台展示的日志内容的格式为原始日志格式。 Sep 30 07:30:01 ecsbd70 CRON[3459]: (root) CMD (/opt/oss/servicemgr/ICAgent/bin/manual/mstart.sh > /dev/null 2>&1) JSON格式示例： { "hostname": "ecsbd70", "ip": "192.168.0.54", "lineno": 249,"message": "Sep 30 14:40:01 ecsbd70 CRON[4363]: (root) CMD (/opt/oss/servicemgr/ICAgent/bin/manual/mstart.sh > /dev/null 2>&1)n", "path": "/var/log/syslog", "time": 1569825602303 } CSV格式：以表格的形式展示日志内容。 Json 单击“确定”，完成配置。当转储任务状态为“正常”时，表示转储任务创建成功。 单击“转储对象”列的OBS桶名称，可以跳转至OBS控制台，查看转储的日志文件。 转储到OBS后的日志，支持从OBS下载到本地进行查看。

查看压缩任务 1. 查看任务详情：在任务列表点击任务名称，进入详情页面，可查看任务配置及任务日志。 2. 操作：可在列表操作列中点击【详情】以查看任务详情，点击【停止】以停止任务。 3. 获取压缩结果：压缩任务运行完成后，压缩后的模型会自动保存到用户指定的模型管理中的位置。可以通过开发机挂载模型、或者下载模型来查看模型文件本身。压缩后的模型可以直接通过我的服务进行服务部署，部署为推理效果更优的大模型服务。

查看压缩任务 1. 查看任务详情：在任务列表点击任务名称，进入详情页面，可查看任务配置及任务日志。 2. 操作：可在列表操作列中点击【详情】以查看任务详情，点击【停止】以停止任务。 3. 获取压缩结果：压缩任务运行完成后，压缩后的模型会自动保存到用户指定的模型管理中的位置。可以通过开发机挂载模型、或者下载模型来查看模型文件本身。压缩后的模型可以直接通过我的服务进行服务部署，部署为推理效果更优的大模型服务。

导出参数 以上参数修改完成后。 1. 在参数设置页面，确认该实例参数已修改完毕。 2. 点击左上角更多 中的导出按钮。 3. 即可导出参数文件，下载文件即可查看该实例所有参数。 常见问题 主实例修改了参数，修改的参数会同步到只读实例么？ 大多数参数是独立修改的，修改了主实例并不会同步到只读实例，除了一些特殊参数，如区分大小写参数，仅主实例可以修改，只读实例会自动同步且不支持修改。具体可修改情况以界面显示为准。

本文将为您介绍企业主账号查看资金往来的限制条件及操作流程。 企业主账号将账户下对子账号进行账户余额的拨款或回收记录，可通过资金往来进行统一查看。 约束与限制 1. 仅企业主账号可进入企业中心查看资金往来。 操作步骤 1. 进入“财务管理>资金往来”页面。 2. 支持基于操作时间、子账号筛选条件展示资金往来明细。 3. 导出资金往来数据：点击列表右上角的“导出”，支持导出xlsx和csv两种格式，导出后需到“财务管理>导出记录”下载。

您可以创建IAM子用户，为IAM用户授予不同的权限，提供给企业各部门来管理短信服务资源，避免用户共用云账号密钥，降低企业信息安全风险。 背景信息 云通信支持通过IAM创建IAM子账号，并为其授予云通信的操作或查看权限，便于多用户协同操作。 IAM支持为用户绑定自定义权限策略，需要主用户创建对应的策略机制。 权限策略 权限策略包含系统策略 和 自定义策略 ，您可以根据需求选择系统策略或自定义策略，为IAM子账号进行授权。 系统策略 系统策略权限定义如下表所示： 策略名称 作用 适用范围 SMS admin 用于管理云通信服务的权限，包含读写。 能够进入短信服务控制台，使用控制台的所有操作。 SMS viewer 用于只读云通信服务的权限，仅可查看。 仅查看控制台，不做任何操作。 自定义策略 如果系统策略无法满足您的需求，您可以自定义符合您要求的权限策略。 1.使用天翼云账号登录这里进入IAM系统。 2.在左侧导航栏点击策略管理。 3.在右上角点击创建自定义策略按钮。 为IAM子账号授权

本节为您介绍如何批量导入与查看迁移源机信息。 批量导入迁移源 迁移源通过CMSAgent上报至平台进行管理，以此作为迁移任务配置的前置条件，由于存在大型项目迁移源多，导入流程繁杂场景；CMS支持通过Excel模板批量导入源机和目标机对应关系，避免页面重复操作实现迁移源快速上报与绑定。 如果您需要执行一批迁移任务，可以使用“导入excel”批量绑定目的机。 前提条件 迁移源端可用。 进入服务器迁移服务控制中心。 操作步骤 1. 在主机管理页面的上方，点击“下载导入模板”按钮以获取主机导入模板。 2. 打开在本机下载好的“主机导入模板”。 3. 您可在此处自定义或留空源机别名，并输入源机IP及对应需要绑定的目标机ID。 4. 查看迁移源机IP，填在上表“源机IP”列。 5. 查看目标机ID，填在上表“目标机ID”列。 6. 单击“导入excel”，拖拽上传填好的“主机导入模板”。 7. 导入成功后，界面提示“导入成功，详情请查看导入日志”。 8. 可在“主机管理”列表看到源机导入成功。 9. 可在上方“导入日志”查看本次导入记录及详情。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 obslink OBS终端节点 您可以通过以下任一方式获取Endpoint信息： OBS桶的Endpoint，可以进入OBS控制台概览页，点击桶名称后查看桶的基本信息获取。 终端节点（Endpoint）即调用API的请求地址，不同服务不同区域的终端节点不同。Endpoint可从企业管理员处获取。 这里支持用户输入桶级别的域名，例如：test.ctyun.cn，则在查询OBS桶的时候，只能查询到test这个桶。 端口 数据传输协议端口，https是443，http是80。 443 OBS桶类型 用户下拉选择即可，一般选择为“对象存储”。 对象存储 访问标识(AK) 密钥(SK) AK和SK分别为登录OBS服务器的访问标识与密钥。 您需要先创建当前帐号的访问密钥，并获得对应的AK和SK。 您可以通过如下方式获取访问密钥。 1. 登录控制台，在用户名下拉列表中选择“我的凭证”。 2. 进入“我的凭证”页面，选择“访问密钥>新增访问密钥”，详见下图：单击新增访问密钥 3.单击“确定”，根据浏览器提示，保存密钥文件。密钥文件会直接保存到浏览器默认的下载文件夹中。打开名称为“credentials.csv”的文件，即可查看访问密钥（Access Key Id和Secret Access Key）。 说明 每个用户仅允许新增两个访问密钥。 为保证访问密钥的安全，访问密钥仅在初次生成时自动下载，后续不可再次通过管理控制台界面获取。请在生成后妥善保管。

操作步骤（云硬盘页面） 步骤 1 登陆天翼云官网，完成账号注册。登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域资源池。 说明 此处请选择与您的云硬盘相同的区域。 步骤 3 在管理控制台左上角单击，选择“存储 > 云硬盘”，进入云硬盘控制台页面。 步骤 4 在云硬盘所在行的“操作”列表下选择“更多>创建备份”。 步骤 5 在云硬盘备份创建页面，默认对应云硬盘在已勾选磁盘列表区域展示。可以单击已选磁盘操作列的删除按钮，对不需要备份的磁盘进行删除。 步骤 6 确认需备份磁盘信息无误后，在下方“备份配置”模块中为已选择的云硬盘配置对应的备份方式：“自动备份“”立即备份” 自动备份： 需要在“备份策略”的下拉菜单中，选择一个已有的备份策略，或者单击右侧的“创建策略”创建一个新的备份策略。 在备份创建完成后，所选云硬盘会绑定到该备份策略中，按照备份策略进行周期性备份。 说明 如果选择的云硬盘已经绑定到其他备份策略，在选择新的备份策略后，云硬盘会自动从原备份策略解绑，并绑定到新的备份策略。 立即备份： 在备份创建完成后，会对所有云硬盘立即执行一次性备份。 需要输入备份的“名称”和“描述”，参数说明如下： 参数 说明 举例 名称 只能由中文、英文字母、数字、下划线、中划线组成，不能含有特殊字符，不能以auto开头。如果在云硬盘列表中只选择了一个磁盘进行备份，名称长度范围为164字符。如果选择多个磁盘，名称长度范围为159字符。 Backupedd9 描述 长度范围为064个字符，并且不能包含字符“ ”。 fortest 可同时选择两种备份方式，即立即执行一次备份，后续按照备份策略进行周期性备份。 步骤 7 点击“立即申请” 步骤 8 在云硬盘备份详情页面，确认配置无误后，点击我已阅读并同意相关协议《云硬盘备份服务协议》，点击提交申请；若配置信息有误，点击上一步进行修改。 步骤 9 根据页面提示，返回云硬盘备份控制台页面。您可以在大约10秒后手动刷新云硬盘备份页面，查看备份创建状态。当云硬盘备份的“状态”变为“可用”时，表示备份创建成功。

本文为您介绍如何使用Nginx镜像创建ECI实例。 前提条件 请确保您已完成以下准备工作： 已开通弹性容器实例服务。 已在开通地域创建虚拟私有云、创建子网、创建安全组等。 操作步骤 下文开始介绍创建ECI实例的主要步骤： 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页。 3. 设置容器实例信息。 1. 配置实例名称，当打开订购页面时系统会随机生成一个以“eci”开头的名称，您也可按需自定义实例名称。名称由数字、小写字母、和''组成。 2. 计费模式仅支持“按需计费”。 3. 选择虚拟私有云、实例所在子网、安全组。如果当前地域未创建相关资源，支持跳转到对应产品控制台完成创建。 4. 配置容器组。 1. 支持基础模式和指定规格两种创建方式。选择具体创建模式后，首先您需要选择部署模式，并选择对应的可用区。接下来需要为容器组设置CPU和内存大小，重启策略，以及购买数量。最后，容器组支持多项高级设置，包括存储(配置项、临时目录、云硬盘、弹性文件、对象存储)，临时存储，镜像缓存，及日志服务等。 5. 配置容器。 1. 容器组支持配置多个容器，点击“+添加容器”可以新增配置。 2. 配置容器名称。 3. 配置容器镜像。如果没有镜像，支持跳转到容器镜像实例CRS创建镜像仓库，用于私有镜像管理。 4. 配置容器镜像版本。 5. 配置镜像拉取策略。支持“总是拉取”和“按需拉取”两种方式。 6. 配置启动命令。 7. 配置容器工作目录。 8. 支持开启高级设置。您可按需配置容器CPU、内存，环境变量，端口和协议，存储，健康检查，生命周期等信息。 说明 容器组内所有容器的CPU总和不得超过为容器组设置的CPU，容器组内所有容器组的内存总和不得超过为容器组设置的内存。 6. 点击“下一步”进入其他设置(选填)。 1. 配置EIP，按需选择自动创建还是使用已有。 2. 配置镜像访问凭证，若您容器里选的镜像是私有的（非天翼云容器镜像服务的镜像），请输入所选镜像的仓库地址、用户名、密码，以便ECI用来拉取镜像，支持添加多个凭证。 3. 标签，标签由区分大小写的键值对组成。例如，用户可以添加一个键为“Group”且值为“Web”的标签，最多可添加20个标签。 7. 点击“确认订单”，进入订单确认页面。勾选“我已阅读、理解并接受《天翼云弹性容器实例服务协议》《天翼云弹性容器实例服务等级协议》”，点击“提交订单”完成订购。 8. 进入弹性容器实例控制台容器组列表页，即可查看创建的ECI实例。

本文介绍如何使用Nginx镜像创建实例。 前提条件 请确保您已完成以下准备工作： 已开通弹性容器实例服务。 已在开通地域创建虚拟私有云、创建子网、创建安全组等。 操作步骤 下文开始介绍创建ECI实例的主要步骤： 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页。 3. 设置容器实例信息。 1. 配置实例名称，当打开订购页面时系统会随机生成一个以“eci”开头的名称，您也可按需自定义实例名称。名称由数字、小写字母、和''组成。 2. 计费模式仅支持“按需计费”。 3. 选择虚拟私有云、实例所在子网、安全组。如果当前地域未创建相关资源，支持跳转到对应产品控制台完成创建。 4. 配置容器组。 1. 支持基础模式和指定规格两种创建方式。选择具体创建模式后，首先您需要选择部署模式，并选择对应的可用区。接下来需要为容器组设置CPU和内存大小，重启策略，以及购买数量。最后，容器组支持多项高级设置，包括存储(配置项、临时目录、云硬盘、弹性文件、对象存储)，临时存储，镜像缓存，及日志服务等。 5. 配置容器。 1. 容器组支持配置多个容器，点击“+添加容器”可以新增配置。 2. 配置容器名称。 3. 配置容器镜像。如果没有镜像，支持跳转到容器镜像实例CRS创建镜像仓库，用于私有镜像管理。 4. 配置容器镜像版本。 5. 配置镜像拉取策略。支持“总是拉取”和“按需拉取”两种方式。 6. 配置启动命令。 7. 配置容器工作目录。 8. 支持开启高级设置。您可按需配置容器CPU、内存，环境变量，端口和协议，存储，健康检查，生命周期等信息。 说明 容器组内所有容器的CPU总和不得超过为容器组设置的CPU，容器组内所有容器组的内存总和不得超过为容器组设置的内存。 6. 点击“下一步”进入其他设置(选填)。 1. 配置EIP，按需选择自动创建还是使用已有。 2. 配置镜像访问凭证，若您容器里选的镜像是私有的（非天翼云容器镜像服务的镜像），请输入所选镜像的仓库地址、用户名、密码，以便ECI用来拉取镜像，支持添加多个凭证。 3. 标签，标签由区分大小写的键值对组成。例如，用户可以添加一个键为“Group”且值为“Web”的标签，最多可添加20个标签。 7. 点击“确认订单”，进入订单确认页面。勾选“我已阅读、理解并接受《天翼云弹性容器实例服务协议》《天翼云弹性容器实例服务等级协议》”，点击“提交订单”完成订购。 8. 进入弹性容器实例控制台容器组列表页，即可查看创建的ECI实例。

本文介绍如何在科研助手中保存自定义镜像。 前提条件 1. 在容器镜像服务（CRS）中开通CRS镜像服务并设置密码。 2. 开发机实例状态必须为“运行中”才可以执行保存自定义镜像操作。 操作步骤 1. 登录科研助手管理控制台。 2. 在控制台左侧导航栏中，选择【开发机】。 3. 在开发机列表中定位到想要保存为镜像的开发机实例，点击右侧操作栏【保存镜像 】，进入【保存镜像弹窗】。 4. 在保存镜像对话框中，设置组织、镜像名称和镜像版本信息。单击【确认 】保存镜像，点击【取消】，放弃保存镜像。 在“组织”下拉框中选择一个组织。如果没有组织，可以单击右侧的“创建组织”（可免费创建3个组织，每个组织有10GB容量）。同一个组织内的用户可以共享使用该组织内的所有镜像，首次登录容器镜像服务控制台需先设置访问凭证。 5. 镜像保存过程约510分钟，请耐心等待。此时不可再操作实例（对于打开的JupyterLab界面仍可操作）。 6. 镜像保存成功后，实例状态变为“运行中”，用户可在容器镜像服务（CRS）查看到该镜像详情。 7. 再次创建开发机，在框架版本的弹窗中选择“自定义镜像”，即可找到保存的镜像。

步骤4：高级配置 1. 设置“登录方式”，并创建对应的密码或密钥对。 密钥对：指使用密钥对作为云主机的鉴权方式。您可以选择使用已有的密钥，或者单击“查看密钥对”创建新的密钥。注：如果选择使用已有的密钥，请确保您已在本地获取该文件，否则，将影响您正常登录云主机。 密码：指使用设置初始密码方式作为云主机的鉴权方式。此时，您可以通过用户名密码方式登录云主机，对于Linux操作系统，初始密码是root用户；对于Windows操作系统，初始密码是Administrator用户。密码复杂度需满足： 参数 规则 密码 8～30 个字符，必须同时包含三项（大写字母、小写字母、数字、()~!@$%^&+{}[]:;'<>,.?/中的特殊符号），且不能以斜线号（/）开头 2. 选择“云主机组”。 3. 选择“用户数据”配置方式（目前仅部分资源池支持）。 4. 单击“下一步，确认配置”。 步骤5：确认配置 1. 在“确认配置”页面，查看云主机配置详情。 2. 企业项目：企业项目是对多个资源实例进行归类管理的单位，不同云服务区域的资源和项目可以归到一个企业项目中。企业可以根据不同的部门或项目组，将相关的资源放置在相同的企业项目内进行管理，支持资源在企业项目之间迁移。 3. 设置购买量。 购买时长：“包年/包月”方式需要设置购买时长，最短为1个月，最长为3年。 自动续订：“包年/包月”方式可选是否开启自动续订。按月购买的自动续订周期为1个月，按年购买的自动续订周期为1年。 购买数量：设置购买弹性云主机的数量。为了保证所有资源的合理分配，如果您需要的弹性云主机数量超过当前您可以购买的最大数值，您要提交工单申请扩大配额。申请通过后，您可以购买到满足您需要的弹性云主机数量。 4. 协议：阅读并勾选同意协议。 5. 如果您确认配置无误，单击“立即购买”。 6. 点击“立即支付”进行付款，付款成功即可创建弹性云主机。弹性云主机创建成功后，您可以在弹性云主机信息页面看到您新创建的弹性云主机。 注意 GPU云主机在实际的使用中往往需要安装驱动、CUDA工具包、cuDNN、Pytorch等相关的库或软件版本，版本安装错误会导致主机无法正常使用，版本选择请参考如何选择驱动及相关库、软件版本GPU云主机最佳实践 天翼云 (ctyun.cn)

什么情况下轻量型云主机会被冻结，冻结后怎么办？ 客户在天翼云购买产品后，产品到期后会进入冻结状态，冻结15天后，用户主机中的数据将被删除、同时资源将被释放。 当轻量型云主机资源被冻结后，用户可通过续订来解冻资源，恢复资源的正常使用。 已经到期的包年/包月轻量型云主机不能发起退订，未到期的包年/包月云主机可以退订。 资源冻结时：资源将被限制访问和使用，会导致您的业务中断。 资源解冻时：资源将被解除限制，但是需要您自行检查并恢复业务。 资源释放时：资源将被释放，存储在资源中的数据将被删除，数据无法找回。 已到期资源如果续订，续订周期如何计算？ 若资源进入冻结状态后续费，所有资源续费周期的开始时间为解冻时间。例如，用户A于2020年4月1日订购包月云主机1个月，资源于2020年4月30日到期，用户A于2020年5月10日续订1个月，新的资源到期时间为6月10日。为了您的业务不受影响，请在到期之前进行续订。 是否支持账户余额变动提醒？ 支持。当用户账户发生账户余额调整、充值到账、客户在线充值时，将系统会以邮件、短信形式给客户发送账户余额变动通知。 用户也可以自行进行额度预警设置，当余额低于设置的预警阈值时，系统将发送短信提醒，设置流程如下： 1. 登录天翼云账户。 2. 依次单击右上角【我的】，【费用中心】，进入费用中心界面。 3. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。

天翼云模型推理服务为用户提供相关开源大模型推理能力,本文提供第三方服务算法备案信息参考,和生成式人工智能服务备案信息参考。 服务算法备案信息 关于服务算法备案 信息，可点击查询下载网信办每批次公告的境内深度合成服务算法备案清单 。 或通过 /searchResult查询备案记录。 生成式人工智能服务备案信息 关于生成式人工智能服务备案信息 ，可点击查询下载网信办每批次发布的生成式人工智能服务已备案信息。 以下模型推理服务平台所提供的部分开源大模型生成式人工智能服务备案 信息，本列表根据平台模型情况定期更新，不再另行公告。 属地 模型名称 备案单位 备案号 备案时间 北京市 求索对话DeepSeek Chat 北京深度求索人工智能基础技术研究有限公司 BeijingDeepseekChat202404280016 2024/5/13 浙江省 通义千问大模型 阿里巴巴达摩院（杭州）科技有限公司 ZheJiangTongYiQianWen20230901 2023/9/12

本文带您熟悉删除备份的操作步骤,您可根据该步骤删除不需要的备份。 操作场景 备份数据通常需要占用存储资源，尤其对于大规模的备份和长期保留的备份策略，可能会导致较高的存储成本。用户可以根据实际情况删除无用的备份，以节省存储空间和成本。 注意 该操作将彻底删除所选备份，删除后将无法用于数据恢复，请谨慎操作。 前提条件 至少存在一个备份。 备份的状态为“可用”或者“错误”。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 找到云主机所对应的备份。 5. 点击备份所在行操作列下的“删除”，或批量勾选需要删除的备份，点击页面左上角的“删除”。 6. 根据界面提示，点击“确定”，完成备份删除。

访问控制日志 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航树中，选择“日志审计”。 4.选择“访问控制日志”页签，可查看近一周的访问控制情况。若需要修改指定IP访问控制的响应动作，请参照添加防护规则或添加黑/白名单。 “访问控制日志”的参数说明： 参数 说明 命中时间 访问发生的时间。 源IP 访问的源IP地址。 源国家/地区 访问源IP所属的地理位置。 源端口 访问控制的源端口。包括单个端口，或者连续端口组，中间使用“”隔开，如：80443 目的IP 访问的目的IP。 目的网址 访问的域名地址。 目的国家/地区 访问目的IP所属的地理位置。 目的端口 访问控制的目的端口。包括单个端口，或者连续端口组，中间使用“”隔开，如：80443 协议 访问控制的协议类型。 响应动作 包括观察者模式（“观察”）和拦截模式（“阻断”或“放行”）。 规则 访问控制的规则类型，包括黑名单、白名单。

本节主要介绍示例场景 前提条件 请确保您已拥有天翼云帐号，若您还没有帐号，请先进行注册并实名认证。 请确保您已开通企业项目管理服务EPS，如服务未开通，请首先在天翼云网门户提交申请开通工单。 创建企业项目的用户必须是管理员，或在IAM侧已被授予EPS FullAccess权限的IAM用户。 操作场景 企业项目管理支持通过配置IAM用户对云资源进行分类管理。 若您拥有多种云资源，为了方便云资源的管理和使用的安全性，可以通过创建不同的企业项目和IAM用户并授予不同云服务的管理权限，从而实现IAM用户对云资源的分类管理。 本节以一个案例让您了解如何通过企业项目管理实现IAM用户拥有独立、隔离的云资源管理权限。 操作规划 操作项目 描述 创建用户组 在IAM控制台分别创建用户组TestECSA和TestECSB。 创建IAM用户并添加至用户组 在IAM控制台分别创建用户TestUserA和TestUserB。 将用户TestUserA添加至用户组TestECSA； 将用户TestUserB添加至用户组TestECSB。 创建企业项目并将用户组添加至项目 在企业项目管理页面分别创建企业项目projectA和projectB。 将用户组TestECSA添加至企业项目projectA； 将用户组TestECSB添加至企业项目projectB。 企业项目迁入资源 在企业项目管理页面分别给企业项目projectA和projectB迁入对应的云资源。 操作流程

本文为您介绍如何使用使用DNAT暴露公网服务。 NAT网关介绍 弹性容器实例对外提供服务的方式有三种，eip、elb、dnat，您可以按需进行选择使用。 NAT网关（CTNAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云（Virtual Private Cloud，CTVPC）内的计算实例提供网络地址转换（Network Address Translation），分为公网NAT网关和私网NAT网关两种。公网NAT网关使多个弹性云主机可以共享使用弹性IP访问Internet或使多个弹性云主机提供互联网服务；私网NAT网关可将源、目的网段地址转换为VPC私网中转IP地址，通过使用中转IP实现VPC内的计算实例与其他VPC、云下IDC的指定地址隔离互访。详细信息查看天翼云官网NAT网关帮助文档。 ECI弹性容器实例接入DNAT最佳实践 1. 创建公网nat网关。 2. 为vpc添加路由表，指定0.0.0.0/0的下一跳地址为刚刚创建的nat网关。 3. 为公网nat网关创建DNAT规则。 1. 控制台创建时，选择手动输入自定义地址。 2. openapi创建时，指定virtualMachineType为2，serverType为VM，详细接口请参考创建dnat规则文档。 4. 访问nat网关绑定的eip+externalPort即可访问对应服务。

本文帮助您快速熟悉快速添加多条安全组规则的操作场景和操作流程。 操作场景 安全组支持快速添加多条不同协议端口的安全组规则，可以用于ping云服务器之间的通讯情况、远程连接实例等场景，方便您快速创建多条具备相同授权对象、授权策略等信息的规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，找到您需要添加规则的安全组名称，点击安全组名称，进入安全组详情页。 6. 在安全组详情页，点击“快速添加规则”，根据页面提示配置规则。 参数说明如下： 参数 说明 取值样例 IP版本 IPv4、IPv6 IPv4 授权策略 允许、拒绝 允许 优先级 安全组规则优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，级别越高。 1 常用端口 提供一些常用的协议端口支持快速选择。 SSH (22) 授权对象 授权对象(源地址/目的地址)支持类型：IP地址、安全组、前缀列表。 1、IP地址：支持IP地址，地址格式：0.0.0.0/0（任意IPv4地址）、::/0（任意IPv6地址）。 2、安全组：表示源地址/目的地址选择当前帐号下同一个区域内的安全组。部分资源池支持选择安全组，实际情况以控制台展现为准。 当安全组A内有实例a，安全组B内有实例b，在安全组A设置入方向规则时，“策略”为允许，源地址选择安全组B，则表示来自实例b的内网访问请求被允许进入实例a。 同一安全组内云服务器实例内网互访默认是隔离状态，如您有同一安全组内的云服务器之间互通的需求，您可以在添加安全组规则时配置一条引用本安全组的规则，实现组内互通。 3、前缀列表：表示源地址/目的地址选择当前帐号下同一区域内的前缀列表。部分可用区资源池支持选择前缀列表，实际情况以控制台展现为准。 当源地址/目的地址为前缀列表时，前缀列表所占用的安全组规则数等于前缀列表的最大条目数 。 如果跨地域克隆安全组时，引用前缀列表的安全组规则不支持克隆到目标区域新的安全组中 。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 7. 点击“确定”按钮。

本文帮助您快速熟悉添加安全组规则的操作场景和操作流程。 操作场景 安全组创建成功后，当您的云服务器需要与外部网络通讯时，您可根据业务需求自定义添加新的出方向、入方向安全组规则，这可以帮助保护服务器免受未经授权的访问。 入方向：指从外部访问安全组规则下的弹性云主机。 出方向：指安全组规则下的弹性云主机访问安全组外的实例。 安全组规则有数量限制，您应尽量保持规则的精简。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，找到您需要添加规则的安全组名称，点击安全组名称，进入安全组详情页。 6. 点击“添加规则”，根据界面提示配置安全组规则，确定授权策略、优先级、协议类型、端口范围、源/目的地址等信息。 具体参数配置信息如下表： 参数 说明 取值样例 IP版本 IPv4、IPv6 IPv4 授权策略 允许、拒绝 允许 优先级 安全组规则优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，级别越高。优先级相同的情况下，拒绝策略优先于允许策略。 1 协议 网络协议，取值范围为：TCP，UDP，ICMP，Any。 TCP 端口范围 安全组规则的端口范围，取值范围为：1～65535。支持同时输入多个端口，以英文逗号分隔。多个端口值按照多条规则分别下发，占用多个配额。 22或2230 授权对象 授权对象支持类型：IP地址、安全组、前缀列表。支持同时输入多个IP地址/安全组/前缀列表，按照多条规则分别下发，占用多个配额。 1、IP地址：支持IP地址，地址格式：0.0.0.0/0（任意IPv4地址）、::/0（任意IPv6地址）。 2、安全组：表示源地址/目的地址选择当前帐号下同一个区域内的安全组。部分资源池支持选择安全组，实际情况以控制台展现为准。 当安全组A内有实例a，安全组B内有实例b，在安全组A设置入方向规则时，“策略”为允许，源地址选择安全组B，则表示来自实例b的内网访问请求被允许进入实例a。 同一安全组内云服务器实例内网互访默认是隔离状态，如您有同一安全组内的云服务器之间互通的需求，您可以在添加安全组规则时配置一条引用本安全组的规则，实现组内互通。 3、前缀列表：表示源地址/目的地址选择当前帐号下同一区域内的前缀列表。部分可用区资源池支持选择前缀列表，实际情况以控制台展现为准。 当源地址/目的地址为前缀列表时，前缀列表所占用的安全组规则数等于前缀列表的最大条目数 。 如果跨地域克隆安全组时，引用前缀列表的安全组规则不支持克隆到目标区域新的安全组中 。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。支持拉丁字母、中文、数字,特殊字符 : ~^@

配置安全组白名单 操作步骤 1. 在控制台点击实例所在安全组，入方向规则点击添加规则，在弹出的填写框内的端口处填写“5601,9200，9000”，选择需要配置的策略为IPv4或IPv6，在源地址下方的IP地址格子中填写需要访问设备的出口公网IP地址，点击确定保存。 2. 成功后会在安全组增加两条规则，此时可以通过绑定的公网IP地址端口访问对应对象。 通过公网IP地址接入实例 公网访问配置完成后，实例将会获得一个“公网访问”的IP地址，用户可以通过公网IP地址和端口接入实例。 例如，Kibana可直接点击页面链接进行访问。 Elasticsearch实例可以通过Curl命令查询索引信息 plaintext curl u username:password k ' 其中username和password表示实例的用户名和密码。 云搜索的集群是否支持跨VPC的数据迁移 默认情况下，跨VPC的数据，无论在Elasticsearch还是OpenSearch中均不支持直接的数据迁移。此外，需要注意下版之间的兼容性。 这里主要有以下几种方法解决： 1. 通过天翼云对象存储ZOS，分别将第一个VPC下的索引的照存储在ZOS上，再将另一个VPC下的集群挂载此ZOS，从上面恢复索引快照。 2. 将两个VPC之间的网络打通，然后用户天翼云弹性云主机自建Logstash服务，分别于两个VPC进行互通，通过Logstash将数据进行迁移。 3. 将两个VPC之间网络直接互通，利用Reindex的方式直接进行在线数迁移据。 如何查看实例的磁盘使用量和索引总量？ 实例监控可以细粒度的集群相关的监控统计信息。但是，对于集群的整体使用情况，我们往往需要一个宏观的粗粒度统计情况。