本文主要介绍验证数据库备份结果 (Linux)。 使用自定义脚本实现数据库备份完成后，可以通过如下操作验证应用一致性备份结果是否成功。本章节以MY SQL数据库为例进行验证。 步骤1、登录MY SQL数据库，创建新的数据库。 步骤2、创建数据库成功后，创建存储过程，可以参考下图。 创建存储过程 步骤3、进入服务备份控制台，对目标弹性云主机创建数据库备份，并勾选数据库备份。 步骤4、待备份完成后，进入/home/rdadmin/Agent/log/rdagent.log，查看冻结、解冻日志，确定冻结解冻时间。 步骤5、使用新创建的数据库备份恢复目标弹性云主机。恢复成功后，登录云主机和数据库，查看表中最后一条插入数据对应的时间。 步骤6、对比步骤5日志显示的VSS冻结成功时间和步骤4的时间。冻结成功之前会停止插入数据，所以步骤5的时间比步骤4早。若步骤5的时间比步骤4早，则表示引用一致性备份成功。

云专线管理页面可以查看产品名称，运行状态，云主机网段，客户侧网段，云侧互联地址，客户互联地址，产品规格等信息。 备注：当前只上线PON云专线自助开通功能。

操作场景 当负载均衡协议为UDP时，健康检查也采用的UDP协议，您需要打开其后端服务器的ICMP协议安全组规则。 操作步骤 步骤 1 登录弹性云主机控制台，找到CCE集群中的节点对应的弹性云主机，单击云服务器名称，进入详情页面。 步骤 2 在“安全组”页签下，单击“更改安全组规则”。 步骤 3 在打开的页面中单击“入方向规则”页签，单击“添加规则”，为云服务器添加入方向规则，单击“确定”。 说明： 您只需为工作负载所在集群下的任意一个节点更改安全组规则，请添加规则即可，不要修改原有的安全组规则。 安全组需放通网段100.125.0.0/16流量。

本章节介绍云主机网络包重复故障演练。 背景介绍 在网络传输过程中，因设备配置错误（如交换机端口镜像）、中间件异常（如负载均衡重复转发）或协议缺陷，可能导致数据包被复制并多次送达目标主机。虽然 TCP 协议能够识别并丢弃重复的数据包以保证数据完整性，但这个过程会消耗额外的网络带宽和CPU资源。更严重的是，对于应用层协议，如果缺乏幂等性设计，重复的请求可能导致业务逻辑被错误地执行多次（如重复下单、重复扣款）。本演练模拟此场景，帮助您检验系统的处理能力和业务逻辑的幂等性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过增加TC和Netem规则模拟主机内网络包重复。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包重复动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包重复百分比：数据包被复制的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被复制并重复发送一次。

本节介绍了配置CloudInit工具的操作场景、前提条件、配置步骤说明等内容。 操作场景 CloudInit工具安装完成后，请参考本节操作配置CloudInit工具。 前提条件 已安装CloudInit工具。 已为云主机绑定弹性公网IP。 已登录云主机。 云主机的网卡属性为DHCP方式。 配置步骤说明 包含如下两步操作： 1. 配置CloudInit工具。 具体操作请参考下文“配置CloudInit工具”。 2. 检查CloudInit工具相关配置是否成功。 具体操作请参考下文“检查CloudInit工具相关配置是否成功”。 配置CloudInit工具 1. 用户可以根据需要根据用户类型配置登录云主机的用户权限。使用root账户登录，需要开启root用户的ssh权限，并开启密码远程登录。 − 若用户选择注入密码，则通过自己注入的密码进行远程SSH或noVNC登录。 − 若用户选择注入密钥，则通过自己注入的密钥进行远程SSH登录。 执行以下命令，在vi编辑器中打开“/etc/cloud/cloud.cfg”。 vi /etc/cloud/cloud.cfg 2. （可选）在“/etc/cloud/cloud.cfg”中配置“applynetworkconfig”为“false”。 对于使用CloudInit 18.3及以上版本的用户，需执行本操作。 配置示例 3. 设置开放root密码远程登录并开启root用户的ssh权限。以CentOS 6.7系列操作系统为例，配置文件中的“disableroot”字段为“1”表示为禁用，为“0”表示不禁用（部分OS的CloudInit配置使用“true”表示禁用，“false”表示不禁用）。设置“disableroot”值为“0”，“sshpwauth”为“1”，“lockpasswd”设置为“false”，“false”表示不锁住用户密码。 users: name: root lockpasswd: False disableroot: 0 sshpwauth: 1 4. 开启机器名更新机制，请勿注释或删除“ updatehostname”语句。 cloudinitmodules: migrator bootcmd writefiles growpart resizefs sethostname updatehostname updateetchosts rsyslog usersgroups ssh 5. 执行以下命令，在vi编辑器中打开“/etc/ssh/sshdconfig”。 vi /etc/ssh/sshdconfig 6. 将“sshdconfig”中的“PasswordAuthentication”的值修改为“yes”。 说明： 如果是SUSE和openSUSE操作系统，需要同时配置“sshdconfig”文件中的以下两个参数为“yes”。 PasswordAuthentication ChallengeResponseAuthentication 7. 确保删除镜像模板中已经存在的linux账户和“/home/linux”目录。 userdel linux rm fr /home/linux 8. 配置agent访问OpenStack数据源。 在“/etc/cloud/cloud.cfg”最后一行添加如下内容，配置agent访问OpenStack数据源。 datasourcelist: [ OpenStack ] datasource: OpenStack: metadataurls: [' maxwait: 120 timeout: 5 说明： maxwait和timeout可由用户自定义是否需要配置，上述回显信息中maxwait和timeout的取值仅供参考。 当操作系统版本低于Debian8、CentOS 5时，不支持配置agent访问OpenStack数据源。 CentOS、EulerOS操作系统云主机必须要禁用默认的zeroconf路由，以便精确访问OpenStack数据源。 echo "NOZEROCONFyes" >> /etc/sysconfig/network 9. 在配置文件“/etc/cloud/cloud.cfg”中禁用CloudInit接管网络。 当CloudInit版本等于或高于0.7.9版本时，在配置文件“/etc/cloud/cloud.cfg”中增加如下内容，禁用CloudInit接管网络。 network: config: disabled 说明： 增加的内容需严格按照yaml格式进行配置。 禁用CloudInit接管网络 10. 在配置文件“/etc/cloud/cloud.cfg”中补充如下内容。 manageetchosts: localhost 防止启动云主机时，系统长时间卡在“Waiting for cloudResetPwdAgent”状态。 新增manageetchosts:localhost 11. 修改配置文件“cloudinitmodules”。 在“cloudinitmodules”中将ssh从最后提前到第一位处理，提高云主机ssh登录速度。 提高云主机ssh登录速度 12. 修改以下配置使得镜像创建的云主机主机名不带“.novalocal”后缀且主机名称中可以带点号。 a. 执行如下命令，修改 “init.py”文件。 vi /usr/lib/python2.7/sitepackages/cloudinit/sources/init.py 按“i”进入编辑模式，根据关键字toks查询，修改内容如下回显信息所示。 if toks: toks str(toks).split('.') else: toks ["ip%s" % lhost.replace(".", "")] else: toks lhost.split(".novalocal") if len(toks) > 1: hostname toks[0]

告警事件 告警事件：查询告警历史详情 接口功能介绍 查询单条告警历史详情。 接口约束 无 URI GET /v4/monitor/queryalerthistoryinfo 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 issueID 是 String 告警历史ID 65b08a5848091836a6f2afd8 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码（800为成功，900为失败），默认值：800 800 errorCode String 失败时的错误代码，参见公共错误码说明 message String 失败时的错误描述，一般为英文描述 Success msgDesc String 失败时的错误描述，一般为中文描述 成功 error String 错误码，请求成功时，不返回该字段 Openapi.Parameter.Error returnObj Object 返回对象 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 status Integer 本参数表示告警状态。取值范围：0：正在告警。1：告警历史。根据以上范围取值。 1 alarmType String 本参数表示告警类型。取值范围：series：指标类型。event：事件类型。根据以上范围取值。 series infoID String 告警详情ID 65b08a5848091836a6f2afd9 service String 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“告警规则：获取告警服务列表”接口返回。 ecs dimension String 本参数表示告警维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“告警规则：获取告警服务维度关系”接口返回。 ecs resource Array of Objects 告警资源 resource condition Object 告警规则 condition count Integer 资源告警出现次数 2 value Double 告警数据值 0.27116666 createTime Integer 触发时间的时间戳 1698823059 updateTime Integer 结束时间的时间戳。 1698823059 表 resource 参数 参数类型 说明 示例 下级对象 name String 监控指标 cpuutil value String 监控指标中文描述 cpu使用率 表 condition 参数 参数类型 说明 示例 下级对象 metric String 监控指标 cpuutil metricCnName String 监控指标中文描述 cpu使用率 fun String 本参数表示告警采用算法。取值范围：last：原始值算法。avg：平均值算法。max：最大值算法。min：最小值算法。根据以上范围取值。 avg operator String 本参数表示比较符。默认值le。取值范围：eq：等于。gt：大于。ge：大于等于。lt：小于。le：小于等于。根据以上范围取值。 eq period String 本参数表示算法统计周期。默认值5m。参数fun为last时不可传。参数fun为avg、max、min均需填此参数。本参数格式为“数字+单位”。单位取值范围：m：分钟。h：小时。d：天。根据以上范围取值。 5m threshold String 告警阈值，可以是整数、小数或百分数格式字符串 0 unit String 单位。 %

本节介绍了P1型云主机如何安装NVIDIA驱动的解决办法。 前提条件 已绑定弹性IP。 已根据下表，下载对应操作系统所需驱动的安装包。 NVIDIA驱动下载 需要下载的驱动 安装包名称 下载地址 ::: GPU驱动 NVIDIALinuxx8664375.66.run Result PASS 结束

参数 参数类型 说明 示例 下级对象 id String 集群id 00c3a04292996955752f073c995a1cc6 managerClusterId Integer manager定义的集群id 1 iaasType String 平台 公有云 regionId String 资源池id bb9fdb42056f11eda1610242ac110002 regionName String 资源池名称 华东1 availableZoneId String 可用区id cnhuadong1jsnj1Apublicctcloud availableZoneName String 可用区名称 可用区1 clusterName String 集群名称 test1218 payType String 付费类型 包年包月 clusterType String 集群类型 云搜索 clusterTypeVersion String 产品版本 翼MR2.12.0 clusterPlanCode String 集群规划编码 cloudsearch componentNameList String 组件名称列表 [{componentTitle:ElasticSearch,version:7.10.2},{componentTitle:Kibana,version:7.10.2}]] datasourceConfigs String 数据源信息 [] vpcId String vpc id vpc0k5xl6w5 subnetId String 子网id subneti2ys8sp securityGroupId String 安全组id [sg4h7w9cl1] loginType String 登录方式 PASSWORD clusterDueTime Integer 集群到期时间 1709193751000 userId String 用户id ba14c8e729e447d69698f81ac7d55555 accountId String 账号id ed24e4b414a048b0a9cb995f59cc85jj clusterCreateTime Integer 集群创建时间 1706515357000 clusterState String 集群状态 运行中 managerVersion String manager版本号 2.15.1 enableIpv6 String Ipv6是否开启(OPEN:打开, CLOSE:关闭, NOTDISPLAY:不展示,null:不展示) OPEN createTime Integer 创建时间 1706515356000 updateTime Integer 更新时间 1706515356000 autoRenewStatus Integer 是否开启自动续订的状态(0:不自动续订,1:自动续订) 1 clusterRunningSeconds Long 集群运行时间 0 pathMap Map of String 组件名称:组件链接 { "Kibana": "1,1", "ElasticSearch": "1,1" }

本文简述天翼云全站加速产品支持的访问控制功能。 访问控制的作用 访问控制是按用户身份及其所归属的某项定义组来限制用户对某些资源的访问，或限制对某些控制功能的使用的一种技术。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。 主要有以下作用： 防止非法用户进入受保护的网络资源。 允许合法用户访问受保护的网络资源。 防止合法的用户对受保护的网络资源进行非授权的访问。 天翼云全站加速产品提供了丰富的访问控制策略，您可以根据您的需要，选择合适的策略，来对您的网络资源进行保护，防止非法用户入侵。 访问控制概述 访问控制模块主要介绍天翼云全站加速产品支持的访问控制策略及配置方法，包括：Referer防盗链、IP黑/白名单、URL鉴权、UA黑/白名单、URI黑/白名单、全网带宽控制、有序回源等策略。 目前，Referer防盗链、IP黑/白名单、URL鉴权、UA黑/白名单支持在控制台自助配置，其他访问控制功能需提工单配置。 相关功能 功能 说明 IP黑白名单 通过配置IP黑/白名单，全站加速边缘节点可以识别客户端IP，拒绝黑名单中IP的访问，或者放行白名单中IP的访问，可以解决恶意IP攻击等问题。 Referer防盗链 Referer防盗链功能，是通过设置HTTP请求头中Referer字段的黑白名单来实现访问控制策略的，从而能可以对用户的身份进行识别和筛选，防止网站资源被盗用。配置Referer防盗链功能后，全站加速边缘节点会根据Referer黑/白名单中的内容，允许合法访问、拒绝非法请求。拒绝访问时，全站加速节点会返回403状态码。 UA黑白名单 UserAgent（简称UA）是HTTP请求头的组成部分之一，包含访客使用的浏览器类型及版本、操作系统及版本等信息。因此UserAgent是访客身份的象征，标志访客访问时所使用的工具。通过识别HTTP请求中的UserAgent字段中包含的部分信息，可以规范访客的行为，拦截或允许某一类访客的访问，实现防盗链、防盗刷、防攻击的目的。 URL黑白名单 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 URL鉴权配置 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，可以配置URL鉴权功能。配置URL鉴权后，全站加速产品会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 远程同步鉴权 可以通过配置远程同步鉴权功能，在全站加速节点收到用户请求后，将请求转发回提前设定的鉴权源站，在源站鉴权许可后，全站加速节点才给用户返回对应内容，从而实现用户鉴权规则由源站全权定义。 全网带宽控制 天翼云全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 有序回源 全站加速的有序回源功能是一种流量求并发回源时控制方法，用于大量请的排队管理。 单请求限速 单请求限速功能可以限制全站加速节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。 IP访问限频 IP访问限频功能可以限制单个用户IP在天翼云全站加速单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。

本章节内容主要介绍常见问题中网络安全 文档数据库服务有哪些安全保障措施 文档数据库服务可设置所属虚拟私有云，从而确保实例与其它业务实现网络安全隔离。另外，通过统一身份认证服务，可以实现对文档数据库服务资源的访问权限控制。 为什么在虚拟私有云中使用文档数据库 虚拟私有云允许您在私有、隔离的网络创建虚拟网络环境，从中可以对私有IP地址范围、子网、路由表和网络网关等方面进行控制。借助虚拟私有云，您可以定义虚拟网络拓扑和网络配置，使其非常类似于您在自己的数据中心所操作的传统IP网络。 在下面的情况下您可能想在虚拟私有云中使用文档数据库服务： 您希望运行面向公众的Web应用程序，同时保留公众不可访问的后端服务器。您可以在一个虚拟私有云内同时创建一个文档数据库实例和弹性云主机实例，同时为弹性云主机实例分配公网IP，将Web服务器部署在弹性云主机实例。 如何确保在虚拟私有云中运行的文档数据库的安全 虚拟私有云安全组可用来帮助确保虚拟私有云内文档数据库实例的安全。 此外，通过网络访问控制列表（ACL），可以允许或拒绝进入和退出各个子网的网络流量。内部安全基础设施（包括网络防火墙、入侵检测和防护系统）可以监视通过IPsec虚拟专用网络连接进入或退出虚拟私有云的所有网络流量。

本节介绍天翼云电脑Web客户端的使用操作。 快捷键操作 进入云电脑后，您可以通过云电脑上方的工具栏，点击“快捷键”模块，可以看到： Win+D：用作把所有打开的窗口最小化，显示桌面。 Ctrl+Alt+Del：用作调出安全窗口，或打开任务管理器用的。 Printscreen：用作截取全屏幕画面。 工具栏自动隐藏 进入云电脑后，在桌面顶部看到工具栏，鼠标移入点击可左右移动。在其他设置设置工具栏自动隐藏。 显示设置 如需设置云电脑分辨率，选择“工具”，进入偏好设置选择显示设置：分辨率和缩放设置默认与终端本地保持一致。 画面设置 如需设置云电脑画面，选择“工具”，可选择“默认设置”，“清晰优先”，“流畅优先”，“自定义设置”。 系统重装 如需系统重装，选择“工具”，进入偏好设置，点击“系统重装“，选择“系统盘重装至初始状态”，进行系统重装，系统重装会将系统还原至初始状态，系统盘的程序或数据会被清除，如非特殊情况，否则不建议使用。

相关服务 交互功能 弹性云主机 云数据库RDS服务配合弹性云主机（Elastic Cloud Server，简称ECS）一起使用，通过内网连接云数据库RDS可以有效地降低应用响应时间、节省公网流量费用。 虚拟私有云 对您的云数据库RDS实例进行网络隔离和访问控制。 对象存储服务 存储云数据库RDS实例的自动和手动备份数据。 云监控服务 云监控服务是一个开放性的监控平台，帮助用户实时监测云数据库RDS资源的动态。云监控服务提供多种告警方式以保证及时预警，为您的服务正常运行保驾护航。 分布式缓存服务 分布式缓存服务通过将热点数据放入缓存，加快用户端的访问速度，提升用户体验。 分布式关系型数据库 对于云数据库 RDS for MySQL，使用分布式关系型数据库服务，后端对接多个数据库实例，实现分布式数据库的透明访问。 数据库复制 使用数据库复制服务，实现数据库平滑迁移上云。

本章介绍预防帐户暴力破解攻击方案。 帐户破解风险 一旦主机帐户被破解，入侵者就拥有了对主机的操作权限，主机上的数据将面临被窃取或被篡改的风险，企业的业务会中断，造成重大损失。 如何预防 配置SSH登录白名单 SSH登录白名单功能是防护帐户破解的一个重要方式，配置后，只允许白名单内的IP登录到服务器，拒绝白名单以外的IP。 开启双因子认证 双因子认证功能是一种双因素身份验证机制，结合短信/邮箱验证码，对云服务器登录行为进行二次身份认证。 在“双因子认证”页面，勾选需要开启双因子的主机，单击“开启双因子认证”，开启双因子认证。 修改默认端口 将默认的远程管理端口“22”、“3389”修改为不易猜测的其他端口。 设置安全组规则，限制攻击源IP访问您的服务端口 可实时检测攻击者对主机中帐户的暴力破解攻击，拦截攻击源IP。您可以通过配置安全组规则来限制攻击源IP访问您的服务端口。 说明 建议设置对外开放的远程管理端口（如SSH、远程桌面登录），只允许固定的来源IP进行连接。 如果是远程登录端口，您可以只允许特定的IP地址远程登录到弹性云服务器。 例：仅允许特定IP地址（例如，192.168.20.2）通过SSH协议访问Linux操作系统的弹性云服务器的22端口，安全组规则如下所示： 仅允许特定IP地址远程连接云服务器 方向 协议应用 端口 源地址 入方向 SSH（22） 22 例如：192.168.20.2/32

云备份CTCBR(Cloud Backup&Recovery)是一个简单易用、经济高效、安全可靠的一键式备份产品。通过集中管理界面,为用户的云主机、物理机、本地主机相关的数据库、硬盘、虚拟机、文件数据等资源提供统一数据保护。

本节介绍了在移动设备上登录Windows云主机的操作场景、前提条件、操作步骤。 操作场景 本节操作以“Windows Server 2012 R2 数据中心版 64位”操作系统为例，介绍如何通过Microsoft Remote Desktop客户端登录Windows实例。 前提条件 云主机状态为“运行中”。 已获取Windows云主机用户名和密码。 云主机已经绑定弹性IP，绑定方式请参见绑定弹性公网IP。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 移动设备已安装Microsoft Remote Desktop。 操作步骤 1. 启动RD Client。 2. 在“Remote Desktop”页面右上角，单击图标，选择“Desktop”。 图 Remote Desktop 3. 在“Add desktop”页面，设置登录信息后，单击“SAVE”。 − PC name：输入需要登录的Windows实例的弹性公网IP地址。 − 按以下步骤设置“User name”： i. 单击“User name”，在下拉列表中选择“Add user account”。 弹出“Add user account”对话框。 ii. 输入Windows实例帐号“administrator”，并输入实例的登录密码，单击“SAVE”。 图 输入登录信息 图 保存填写的登录信息 4. 在“Remote Desktop”页面，单击需要登录的Windows实例图标。 图 登录Windows实例 5. 确认信息后，单击“CONNECT”。 图 CONNECT 至此，您已经登录Windows实例。 图 登录成功

本章节主要介绍翼MapReduce从零开始使用Kerberos认证集群。 本章节提供从零开始使用安全集群并执行MapReduce程序、Spark程序和Hive程序的操作指导。 翼MR 3.x版本Presto组件暂不支持开启Kerberos认证。 本指导的基本内容如下所示： 1.创建安全集群并登录其Manager 2.创建角色和用户 3.执行MapReduce程序 4.执行Spark程序 5.执行Hive程序 创建安全集群并登录其Manager 1.创建安全集群，请参见创建自定义集群页面，开启“Kerberos认证”参数开关，并配置“密码”、“确认密码”参数。该密码用于登录Manager，请妥善保管。 2.登录翼MR管理控制台页面。 3.单击“集群列表”，在“现有集群”列表，单击指定的集群名称，进入集群信息页面。 4.单击“集群管理页面”后的“前往Manager”，打开Manager页面。 若用户创建集群时已经绑定弹性公网IP。 a. 添加安全组规则，默认填充的是用户访问公网IP地址9022端口的规则。如需对安全组规则进行查看，修改和删除操作，请单击“管理安全组规则”。 说明 自动获取的访问公网IP与用户本机IP不一致，属于正常现象，无需处理 。 9022端口为knox的端口，需要开启访问knox的9022端口权限，才能访问Manager服务 。 b.勾选“我确认xx.xx.xx.xx为可信任的公网访问IP，并允许从该IP访问翼MR Manager页面。” 若用户创建集群时暂未绑定弹性公网IP。 a.在弹性公网IP下拉框中选择可用的弹性公网IP或单击“管理弹性公网IP”创建弹性公网IP。 b.添加安全组规则，默认填充的是用户访问公网IP地址9022端口的规则。如需对安全组规则进行查看，修改和删除操作，请点击“管理安全组规则”。 说明 自动获取的访问公网IP与用户本机IP不一致，属于正常现象，无需处理 。 9022端口为knox的端口，需要开启访问knox的9022端口权限，才能访问Manager服务 。 c.勾选“我确认xx.xx.xx.xx为可信任的公网访问IP，并允许从该IP访问翼MR Manager页面。” 5.单击“确定”，进入Manager登录页面，如需给其他用户开通访问Manager的权限，请参见用户操作指南访问集群Manager章节，添加对应用户访问公网的IP地址为可信范围。 6.输入创建集群时默认的用户名“admin”及设置的密码，单击“登录”进入Manager页面。

本文向您介绍同一子网的两块网卡均绑定弹性公网IP。 问题描述 云主机上两块相同子网的网卡，均绑定了弹性公网IP。其中，主网卡绑定的弹性公网IP可以正常访问，但是扩展网卡的弹性公网IP无法访问。 可能原因 CentOS操作系统的弹性云主机默认开启了反向过滤技术（rpfilter），云主机的默认路由是指向eth0的，而扩展网卡弹性公网IP的流量从eth1进入。系统此时判断，这个报文在发送时应该从eth0口送出，而报文实际是从eth1进入，即从错误的网卡收到报文，故判定非法而被系统丢弃。 处理方法 通过策略路由让访问扩展网卡的流量从扩展网卡发出，方法如下： 1. 执行以下命令，编辑文件rttables。添加一个route table的别名，如test。 vi /etc/iproute2/rttables 2. 保存后退出。 3. 执行以下命令，在test表中添加路由。 ip route add default via 扩展网卡网关 dev eth1 table 步骤1中添加的表名 例如： ip route add default via 192.168.0.X dev eth1 table test 注意 如无特殊设置，则网关为子网网段的首个IP。 4. 执行以下命令，添加策略路由。 ip rule add from 扩展网卡IP地址 lookup 步骤1中添加的表名 prio 低于32766，优先级高于main表 例如： ip rule add from 192.168.0.x lookup test prio 32000 此时使用扩展网卡的弹性IP登录云主机，可以登录，说明两块网卡上的公网IP都可以访问了。 如果要持久化这个规则，可以将上述语句添加到开机脚本“/etc/rc.local”中。

本节介绍天翼云电脑（政企版）的快速订购方式以及流程。 天翼AI云电脑（政企版）提供两种购买方式： 1.天翼云网门户订购：可在天翼云网门户产品“天翼AI云电脑（政企版）”产品详情页进行订购。 2.营业厅订购：请前往当地的电信营业厅咨询天翼AI云电脑（政企版）产品订购相关内容。 快速订购天翼AI云电脑（政企版） 1.登录并打开“天翼AI云电脑（政企版）”产品详情页； 2.点击“立即订购”前往快速订购页面； 3.订购类型选择“单实例桌面”； 4.根据需求选择相应的“规格类型”； 5.根据实际情况选择“镜像类型”，即开通AI云电脑实例的操作系统； 6.根据实际情况选择桌面数据盘配置，每台桌面实例最多可添加5块数据盘，每块数据盘最大存储容量为2000GB，桌面实例默认已包含80GB高IO系统盘； 7.根据实际情况选择桌面所在的“VPC”和“子网“，如需对VPC和子网进行配置，可参考桌面网络管理； 8.分配桌面需要填写或导入桌面使用者的”邮箱“和“账号“，可批量输入；请输入桌面用户的真实有效邮箱，以确保可接收到桌面用户激活邮件； 9.选择桌面的“购买时长”； 10.确认相关的配置信息，单击“立即购买”，支付成功后，即完成单实例桌面开通。

本节介绍如何在linux云主机中设置允许或禁止用户/IP通过SSH方式连接。 操作场景 出于对云主机系统安全的考虑，需要对操作系统设置用户/IP是否可以通过SSH方式连接，以深度管理云主机登录权限。 操作方法 您可以选择适用您需求的设置方式，实现限制登录的目的。 1. 通过编辑sshd配置文件，可以对指定用户/用户组或IP的登录权限设置。 1）编辑sshd配置文件中为指定用户设置白名单。在 /etc/ssh/sshdconfig 配置文件中添加AllowUsers配置，以下示例中的实际效果为允许用户user通过192.168.8.8的IP地址进行登录。 AllowUsers user@192.168.8.8 2）编辑sshd配置文件中为指定用户设置黑名单。在 /etc/ssh/sshdconfig 配置文件中添加DenyUsers配置，以下示例中的实际效果为禁止用户invaliduser登录。 DenyUsers invaliduser 2. 通过编辑host.allow和host.deny文件，可以对指定IP或IP地址段的登录权限进行设置。通常这两个文件结合设置。 1）编辑host.allow文件，添加 sshd: IP地址或IP地址段，允许指定IP地址或IP地址段进行登录，示例如下： sshd: 192.168.8.8 2）编辑host.deny文件，添加如下内容，禁止所有IP的SSH登录权限： sshd: ALL 两个文件同时设置规则的时候，hosts.allow文件中的规则优先级高于hosts.deny，结合使用可以有针对性地开放SSH登录权限。 因此以上示例的实际效果，云主机将只允许IP地址为192.168.8.8的用户进行SSH登录，其它的IP都会拒绝。 3. 重启sshd服务，使以上修订内容生效。

本节介绍天翼云电脑移动客户端登录的相关操作。 账号登录 打开AI云电脑客户端，登录页可以看到账号登录，支持AI云电脑账号，手机号码和邮箱登录（手机号码或邮箱登录的前提是用户已绑定手机或邮箱）。 免密登录 如果本机号码已注册AI云电脑账号，可以通过本机号码免密登录AI云电脑。其中免密登录可以支持本机号码一键登录/短信验证码登录。 专线/VPN接入 若您所属的租户开通了企业专线接入功能，可通过企业专线接入登录账号。 登录页点击“专线/VPN接入”，输入已开通的专线地址，启用后即可登录AI云电脑账号。 忘记密码 登录页可以看到“忘记密码“，目前可以通过手机找回，邮箱找回两种方式找回密码。

介绍云SSO的使用场景 使用场景 通过云SSO（SingleSignOn）可以创建用户和用户组，创建的用户通过指定的云SSO门户地址登录后，可集中管理和访问天翼云下多个帐号的资源。 云SSO可与满足条件的企业身份管理系统进行单点登录（SSO）配置，可以直接使用企业原有的身份管理系统，以云SSO用户身份访问天翼云账号，提升企业用户管理效率，降低安全风险。

绑定主机配额 如下，以在“所有项目”中为任意一个企业项目的主机绑定“主机安全旗舰版配额”为例说明。 1、 登录管理控制台。 2 、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3 、选择“主机管理 > 所有项目 > 防护配额”，进入“防护配额”页面，在防护配额页面，您可以查看到所有项目的防护配额，如图所示。 防护配额页面 4、 在配额列表中，选择“使用状态”为“空闲”的配额，单击“绑定主机”，为主机绑定配额。 为主机绑定配额 5 、在弹出的配额详情对话框中，选择待绑定配额的主机。 绑定配额 6 、单击“确定”，完成配额绑定。绑定配额后，您可以在云服务器列表中，查看到该主机已开启防护。 批量安全配置 “所有项目”仅作为用户对每一个企业项目进行批量配置使用，不作为实际生效的配置，实际生效的配置仍以各自所属企业项目中显示的配置为准。 在“所有项目”中可以进行批量配置操作的包含：告警白名单、登录白名单、恶意程序自动隔离查杀和告警通知。 如下以“配置告警白名单”为例说明，“企业项目一”中无告警白名单，“企业项目二”中无告警白名单。 1、 选择“入侵检测 > 事件管理”，进入事件管理页面。 事件管理页面 2、 在“企业项目”下拉列表中，选择“所有项目”。 3、 在告警事件列表中，以“恶意程序（云查杀）”为例，将“恶意程序（云查杀）”加入告警白名单，如图所示。 加入告警白名单 4 、选择“白名单管理 > 所有项目 > 告警白名单”，进入告警白名单页面。 告警白名单页面 5 、在“企业项目”下拉列表中，分别选择“企业项目一”和“企业项目二”，查看“恶意程序（云查杀）”均已分别添加到“企业项目一”和“企业项目二”下的告警白名单中。 企业项目一告警白名单 6 、若“企业项目二”中需要HSS对添加的“恶意程序（云查杀）”事件进行告警，您可以在“企业项目二”中将添加的告警白名单删除。 “企业项目二”中的告警白名单删除后，对企业项目一中的已添加的告警白名单不产生影响。

用户除了可前往控制台通过重置密码的方式设置密码外，还可以前往虚机内部完成密码的设置，以下将对修改步骤进行说明： Windows云主机操作步骤 1. 进入Windows主机，使用快捷键“Win+R”打开“运行”页面。 2. 于“运行”页面中，输入命令“cmd”，弹出cmd窗口。 3. 用户可通过执行以下命令修改密码。 net user Administrator 4. 为了您资产的安全，密码修改需要满足密码规则。 说明 密码规则：830个字符，必须同时包含下面四项中的三项：大写字母、小写字母、数字、和特殊字符（仅支持下列特殊字符： ( ) ~ ! @ $ % ^ & + { } [ ] : ; , . ? / ）。 Linux云主机操作步骤 1. 登录Linux主机，注意请保证此时的用户为“root”用户。 2. 执行以下命令，修改虚机密码： passwd 3. 为了您资产的安全，密码修改需要满足密码规则。 说明 密码规则：830个字符，必须同时包含下面四项中的三项：大写字母、小写字母、数字、和特殊字符（仅支持下列特殊字符： ( ) ~ ! @ $ % ^ & + { } [ ] : ; , . ? / ）。 4. 根据系统回显信息，输入密码，及确认密码，最终显示以下信息，则密码已完成修改。 passwd: all authentication tokens updates successfully

本文将为您介绍将实例移出伸缩组的操作场景、约束与限制以及具体操作步骤。 操作场景 当您需要更新实例或者排查实例的问题时，可以选择将实例移出伸缩组。若伸缩组绑定了负载均衡，当实例移出伸缩组后，实例将不再承担业务流量请求。 将实例移出伸缩组有两种情况，移出伸缩组与移出伸缩组并释放。 手动移出实例不会影响实例本身的性状，实例不会被释放、删除、关闭，您还可以用此云主机实例继续做其他操作。 当选择移出伸缩组并释放时，云主机实例在被移出伸缩组后还会被释放掉，但此功能对手动移入的云主机实例不生效。 约束与限制 伸缩实例为“已启用”状态。 伸缩组没有正在执行的伸缩活动。 移出后实例数不能低于伸缩组实例下限，即最小实例数。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 点击待移出实例的伸缩组名称，进入到伸缩组详情页面。 5. 在伸缩组详情页面的下方，单击“伸缩实例”进入伸缩实例列表页签，在待移出实例所在行，单击“操作”列的“移出伸缩组”或“移出伸缩组并释放”。 6. 若您想批量操作，您可以勾选待操作的云主机实例名称前的复选框，在实例列表上方单击“移出伸缩组”或“移出伸缩组并释放”按钮。 7. 在弹出的“移出伸缩组”与“移出伸缩组并释放”弹窗中，确认移出实例信息，确认无误后，点击“确定”按钮，即可成功将实例移出伸缩组。 注意 手动移入的云主机实例无法进行“移出伸缩组并释放”操作。

操作场景 用户在VPC内使用内网DNS服务进行内网域名托管，需在管理控制台上配置DNS服务。 当您在云上部署了弹性云主机以及其他云服务，想在关联VPC内通过内网域名实现互访，可以为弹性云主机配置内网域名解析。 内网域名可以随意创建，无需注册，只需要保证VPC内唯一。 本操作以为弹性云主机创建内网域名并添加A类型解析记录为例介绍配置内网域名解析的操作指导。 前提条件 已经购买弹性云主机，并获取弹性云主机对应的VPC名称。 内网域名配置流程 配置内网域名解析的流程如下图所示。 图内网域名配置流程 “（可选）更改VPC子网的DNS服务器地址”需要在管理控制台VPC服务页面完成相关配置。 操作步骤 创建内网域名 1. 登录管理控制台，选择目标区域，选择“网络 > 内网DNS”进入内网DNS服务页面。 2. 在左侧树状导航栏，选择“内网域名”。进入“内网域名”页面。 3. 单击“创建内网域名”，开始创建内网域名。 4. 根据界面提示配置参数，参数说明如下表所示。 表创建内网域名参数 参数 参数说明 取值样例 域名 域名。 可以自定义，支持创建顶级域，但需符合域名命名规范。 example.com VPC 内网域名要关联的VPC。 邮箱 可选参数。 管理该内网域名的管理员邮箱。建议用户使用保留邮箱“HOSTMASTER@域名”作为此管理员邮箱。 HOSTMASTER@example.com 标签 可选参数。 域名的标识，包括键和值，每个域名可以创建10个标签。 examplekey1 examplevalue1 描述 可选参数。 域名的描述信息。 长度不超过255个字符。 内网域名。 5. 单击“确定”。 创建完成后，您可以在“内网域名”页面查看新创建的域名信息。 说明 单击“名称”列的域名名称，可以看到系统已经为您创建了SOA类型和NS类型的记录集。其中， SOA类型的记录集标识了对此域名具有最终解释权的主权威服务器。 NS类型的记录集标识了此域名的权威服务器。

本节包含了通用型弹性云主机的概述、规格和使用场景。 概述 通用型弹性云主机主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源。技术上采用非绑定CPU共享调度模式，vCPU会根据系统负载被随机分配到空闲的CPU超线程上。在主机负载较轻时，可以提供较高的计算能力，但是在主机负载较重时，可能由于不同实例vCPU争抢物理CPU资源而导致计算性能波动不稳定。 通用型弹性云主机与通用计算增强型实例相比，更侧重于资源性能的共享，无法保证实例计算性能的稳定，但是性价比更高，适用于对成本比较敏感、对性能抖动容忍度较高的场景，特别适合通用工作负载，如Web服务器、开发人员环境和小型数据库等，是很多应用程序的上好选择。 较之S1型弹性云主机，s3型弹性云主机搭载了英特尔® 至强® 可扩展处理器，综合性能显著提升，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，同时可根据工作负载的需要实现性能的突增，具有短期发挥更高性能的能力。适用于那些不会经常（或始终）用尽vCPU性能，但会偶尔突然使用的场景。 S6型弹性云主机适合平时不会持续高压力使用CPU，但偶尔需要提高计算性能完成工作负载的场景，包括但不限于：轻量级的Web服务器、开发、测试环境以及中低性能数据库等。S6是不限制积分的共享型实例，实例性能不受积分的限制，也无额外积分收费。用户可在监控详情中了解CPU使用率和CPU积分的消耗情况。 S7n型云主机搭载第三代英特尔® 至强® 可扩展处理器，采用IceLake架构，受益于架构全面升级，性能全面提升。 在售：S3、S6、S7n、S7 规格名称 计算 磁盘类型 网络 :::: 通用型S7n CPU/内存配比：1:1/1:2/1:4 vCPU数量范围：116 处理器：第三代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.4GHz 超高IO 通用型SSD 高IO 支持IPv6 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：100万PPS 最大内网带宽：6Gbps 通用型S7 CPU/内存配比：1:2/1:4 vCPU数量范围：28 处理器：第三代英特尔® 至强® 可扩展处理器 基频/睿频：2.8GHz/3.5GHz 超高IO 通用型SSD 高IO 支持IPv6 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：50万PPS 最大内网带宽：3Gbps 通用型S6 CPU/内存配比：1:1/1:2/1:4 vCPU数量范围：116 处理器：第二代英特尔® 至强® 可扩展处理器 基频/睿频：2.6GHz/3.5GHz 超高IO 通用型SSD 高IO 支持IPv6 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：100万PPS 最大内网带宽：6Gbps 通用型S3 CPU/内存配比：1:1/1:2/1:4 vCPU数量范围：116 处理器：英特尔® 至强® 可扩展处理器 基频/睿频：2.2GHz/3.0GHz 超高IO 通用型SSD 高IO 实例网络性能与计算规格对应，规格越高网络性能越强 最大网络收发包：18万PPS 最大内网带宽：2.5Gbps 通用型S1 CPU/内存配比：1:4 vCPU数量范围：132 处理器：英特尔® 至强® 处理器E5 v3家族 基频/睿频：2.2GHz/2.9GHz 超高IO 通用型SSD 高IO 实例网络性能与计算规格对应，规格越高网络性能越强 通用型C2 CPU/内存配比：1:2 vCPU数量范围：132 处理器：英特尔® 至强® 处理器E5 v3家族 基频/睿频：2.2GHz/2.9GHz 超高IO 通用型SSD 高IO 实例网络性能与计算规格对应，规格越高网络性能越强 通用型C1 CPU/内存配比：1:1 vCPU数量范围：116 处理器：英特尔® 至强® 处理器E5 v3家族 基频/睿频：2.2GHz/2.9GHz 超高IO 通用型SSD 高IO 实例网络性能与计算规格对应，规格越高网络性能越强 类型 CPU基频/睿频 CPU型号 C1 2.2/2.9GHz E52658 V3（48HT） C2 2.2/2.9GHz E52658 V3（48HT） S1 2.2/2.9GHz E52658 V3（48HT） S3 2.2GHz/3.0GHz 6161(88HT) S6 2.6GHz/3.5GHz 6278C(104HT) S7n 2.6GHz/3.4GHz 6348 S7 2.8GHz/3.5GHz 8378C 说明 对于Linux系统的弹性云主机，当v7代系以下规格的操作系统内核为5.16及以上版本时，不支持AVX指令，如需支持AVX指令，需使用低内核版本的操作系统，或变更为v7代系及以上版本的规格。 您可以通过 uname r 命令查看操作系统内核版本，也可以参考

本节介绍了什么是云硬盘快照、使用场景、操作概览、相关操作。 什么是云硬盘快照 EVS为您提供快照功能，您可以通过管理控制台或者API接口创建云硬盘快照。云硬盘快照指的是云硬盘数据在某个时刻的完整拷贝或镜像，是一种重要的数据容灾手段，当数据丢失时，可通过快照将数据完整的恢复到快照时间点。 云硬盘快照简称为快照。 您可以创建快照，从而快速保存指定时刻云硬盘的数据。同时，您还可以通过快照创建新的云硬盘，这样云硬盘在初始状态就具有快照中的数据。 使用场景 快照功能可以帮助您实现以下需求： ● 日常备份数据 通过对云硬盘定期创建快照，实现数据的日常备份，可以应对由于误操作、病毒以及黑客攻击等导致数据丢失或不一致的情况。 ● 快速恢复数据 应用软件升级或业务数据迁移等重大操作前，您可以创建一份或多份快照，一旦升级或迁移过程中出现问题，可以通过快照及时将业务恢复到快照创建点的数据状态。 例如，当由于云主机A的系统盘A发生故障而无法正常开机时，由于系统盘A已经故障，因此也无法将快照数据回滚至系统盘A。此时您可以使用系统盘A已有的快照新创建一块云硬盘B并挂载至正常运行的云主机B上，从而云主机B能够通过云硬盘B读取原系统盘A的数据。 说明 ● 当前通过快照回滚数据，只支持回滚快照数据至源云硬盘，不支持快照回滚到其它云硬盘。 ● 快速部署多个业务 通过同一个快照可以快速创建出多个具有相同数据的云硬盘，从而可以同时为多种业务提供数据资源。例如数据挖掘、报表查询和开发测试等业务。这种方式既保护了原始数据，又能通过快照创建的新云硬盘快速部署其他业务，满足企业对业务数据的多元化需求。

本节介绍了什么是云硬盘、云硬盘的类型。 什么是云硬盘 云硬盘（Elastic Volume Service，EVS）可以为弹性云主机提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务，满足不同场景的业务需求，适用于分布式文件系统、开发测试、数据仓库以及高性能计算等场景。 云硬盘的类型 不同类型云硬盘的性能各不相同，您可根据应用程序要求选择您所需的云硬盘。

本节主要介绍连接方式介绍。 GeminiDB Influx提供使用内网、公网和程序代码的连接方式。 表1 连接方式 连接方式 使用场景 说明 内网连接 介绍使用通过内网IP连接实例或者通过负载均衡地址连接实例（推荐）连接GeminiDB Influx实例的方法。 该方法适用于当应用部署在弹性云主机上，且该弹性云主机与数据库实例处于同一区域、同一VPC内时连接数据库实例。 为了提升可靠性、消除单点故障影响，推荐使用负载均衡地址连接实例。 安全性高，可实现数据库实例的较好性能。 公网连接 介绍使用弹性公网IP连接GeminiDB Influx实例的方法。 该方法适用于不能通过内网IP地址访问数据库实例时，单独绑定弹性公网IP连接弹性云主机（或公网主机）与数据库实例。 降低安全性。 为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的数据库实例在同一VPC子网内，使用内网连接。 程序代码连接 介绍使用通过Go语言连接实例、通过Java语言连接实例、通过Python语言连接实例连接GeminiDB Influx实例的方法和示例。

本章节主要介绍翼MapReduce的配置密码策略操作。 操作场景 根据业务安全需要，管理员可以在FusionInsight Manager设置密码安全规则、用户登录安全规则及用户锁定规则。 须知 密码策略涉及用户管理的安全性，请根据企业安全要求谨慎修改，否则会有安全性风险。 修改密码策略之后，再修改用户密码，此时新的密码策略才会生效。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 安全策略 > 密码策略”。 3. 具体参数参见下表。 密码策略参数说明 参数名称 描述 最小密码长度 密码包含的最小字符个数，取值范围为8～32。默认值为“8”。 字符类型的数目 密码字符包含大写字母、小写字母、数字、空格和特殊符号（包含~!?,.:;'(){}[]/<>@ $%^&+ 密码连续错误次数 用户输入错误密码超过配置值后将锁定，取值范围为3～30。默认值为“5”。 用户锁定时间（分钟） 满足用户锁定条件时，用户被锁定的时长，取值范围为5～120。默认值为“5”。 密码有效期（天） 密码有效使用天数：取值范围0～90，0表示永久有效，默认值为“90”。 重复使用规则 修改密码时，不允许使用最近N次使用过的密码，N1～5，默认为“1”。此策略只影响“人机”用户。 密码失效提前提醒天数 密码失效提前提醒天数：表示提醒密码失效到密码真正失效的天数。提前一段时间提醒密码即将失效。设置后，若集群时间和该用户密码失效时间的差小于该值，则说明用户进入密码失效提醒期。用户登录FusionInsight Manager界面时会提示用户密码即将过期，是否需要修改密码。取值范围为“0”“X”，（“X”为密码有效期的一半，向下取整）。“0”表示不提醒，默认值为“5”。 认证失败次数重置时间间隔（分钟） 密码输入错误次数保留的时间间隔，取值范围为0～1440。“0”表示永远有效，“1440”表示1天。默认值为“5”。 4. “确定”保存配置。修改密码策略之后，再修改用户密码，此时新的密码策略才会生效。

对比 项 一次性备份 周期性备份 备份策略 不需要 需要 备份次数 手动执行一次性备份 根据备份策略进行周期性备份 单次可备份的云硬盘数目 1个 无限制由服务器性能决定 备份名称 支持自定义 系统自动生成 建议使用场景 云主机进行操作系统补丁安装、升级，应用升级等操作之前，以便安装或者升级失败之后，能够快速恢复到变更之前的状态。 云主机的日常备份保护，以便发生不可预见的故障而造成数据丢失时，能够使用邻近的备份进行恢复。

本节介绍翼加密的创建加密策略的流程，以及相关配置项的说明。 开通翼加密后，通过AI云电脑控制台菜单找到“文件加密”——“加密策略管理”，点击“新建”即可创建加密策略。 加密策略配置项说明如下表所示： 策略内容 说明 工作场景 安全办公场景：加密范围文档文件全选加密强度。标准金融财务办公：加密范围文档文件全选加密强度。最高自定义设置：不预设加密范围和加密强度，完全由管理员自定义选择。 加密范围 自定义配置加密管控的应用进程，以及加密的文件格式类型。 剪切板控制 开启后加密管控进程打开的文件无法复制粘贴内容到非加密管控进程。比如用WPS打开的word文档内的文字图片无法复制到微信，保证加密数据安全无泄漏。加密管控进程之间的复制粘贴操作正常，如WPS打开的多个word文档之间允许复制粘贴。 加密强度 国密算法（旗舰版）：SM4，适用于有国密加密安全要求的政企部门或组织。最高（旗舰版）：AES256，安全系数最高，适用对文件安全性要求高的场景。高（旗舰版）：AES192，安全系数高，适用于对文件安全性有较高要求的场景。标准（标准版）：AES128，基础的安全加密等级，能有效加密文件，防止文件数据外泄。