本文为您介绍Android 客户端如何通过SSL VPN双因子认证后接入VPC。 前提条件 已经在天翼云华东1地域创建了vpc1，且VPC中均使用弹性云主机部署了相关业务。 VPC实例名称 VPC实例所属地域 VPC实例的网段 VPC实例ID 弹性云主机实例名称 弹性云主机实例IP地址 vpc1 华东1 192.168.0.0/16 vpctooedro7nb ecm371c 192.168.1.3 您已经了解VPC中弹性云主机实例所应用的安全组规则，并确保安全组规则允许客户端地址池对VPC内业务的访问。 场景示例 如某公司在华东1地域创建了VPC，网段为192.168.1.0/24。因业务发展，出差员工需要使用Android 客户端访问云上VPC资源。 可以在云上创建VPN网关，配置SSL服务端并开启双因子认证。Android客户端通过SSL VPN接入云上VPC，不仅要进行证书认证，还需要认证密码，认证通过后才可以访问云上资源，提高了VPN连接的安全性和可管理性。 配置步骤 步骤一：创建VPN网关 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在广域云网产品中选择“VPN连接”，进入VPN连接页面。 4. 在VPN网关页面，单击“创建VPN网关”，进入订购页面，按照提示配置参数。 参数 说明 取样 地域 VPN网关所在的资源池。 华东1 名称 VPN网关的名称。 vpngateway1 网关类型 选择VPN网关的类型。 普通 实例类型 选择VPN网关的实例类型。 SSL 企业项目 选择当前VPN网关归属项目。 default 本端类型 选择资源类型（VPC、云间高速）。 虚拟私有云VPC 虚拟私有云 选择要使用的VPC作为本端资源。 vpc1 子网 选择当前VPC中本端的子网资源。 subnet682f (192.168.1.0/24) SSL带宽 VPN网关要通过弹性IP访问公网，这里选择对应的弹性IP带宽大小，单位 Mbps，5M 起售。 20M SSL并发连接数 选择对应的SSL VPN并发连接数。 20 购买时长 包年包月场景需要选择，购买VPN网关实例的时长。 6个月 自动续订 按月购买：自动续订周期为一个月。 按年购买：自动续订周期为一年。 关闭 5. 单击“下一步”。 6. 在购买确认页，勾选服务协议，点击“确认下单”，进入订单列表。 7. 在订单页面，单击“立即支付”，支付成功后，VPN网关创建成功。 记录VPN网关的IP地址，步骤五配置客户端的时候要用。

本节介绍了如何使用ODBC连接云数据库GaussDB 数据库。 ODBC（Open Database Connectivity，开放数据库互连）是由Microsoft公司基于X/OPEN CLI提出的用于访问数据库的应用程序编程接口。应用程序通过ODBC提供的API与数据库进行交互，在避免了应用程序直接操作数据库系统的同时，增强了应用程序的可移植性、扩展性和可维护性。 云数据库GaussDB 目前在以下环境中提供对ODBC3.5的支持。 表 ODBC支持平台 操作系统 平台 EulerOS 2.5 x8664位 EulerOS 2.8 ARM64位 Windows 7 x8632位 Windows 7 x8664位 Windows Server 2008 x8632位 Windows Server 2008 x8664位 UNIX/Linux系统下的驱动程序管理器主要有unixODBC和iODBC，在这选择驱动管理器unixODBC2.3.0作为连接数据库的组件。 Windows系统自带ODBC驱动程序管理器，在控制面板>管理工具中可以找到数据源（ODBC）选项。 说明： 当前数据库ODBC驱动基于开源版本，对于自研的数据类型，tinyint、smalldatetime、nvarchar2在获取数据类型的时候，可能会出现不兼容。 前提条件 已下载Linux版本的ODBC驱动包和Windows版本的ODBC驱动包， Linux环境下，开发应用程序要用到unixODBC提供的头文件（sql.h、sqlext.h等）和库libodbc.so。这些头文件和库可从unixODBC2.3.0的安装包中获得。 已下载开源unixODBC代码文件，支持版本为2.3.0，下载地址： ttps://sourceforge.net/projects/unixodbc/files/unixODBC/2.3.0/unixODBC2.3.0.tar.gz/download 将提供的ODBC DRIVER（psqlodbcw.so）配置到数据源中便可使用。配置数据源需要配置“odbc.ini”和“odbcinst.ini”两个文件（在编译安装unixODBC过程中生成且默认放在“/usr/local/etc”目录下），并在服务器端进行配置。

本文介绍如何使用rsync工具实现天翼云弹性文件服务中两个NFS协议文件系统之间的数据迁移。 应用场景 本文适用于同地域同一VPC不同文件系统之间的数据迁移。 前提条件 已拥有两个NFS协议文件系统，并且准备一台与源文件系统在同一VPC网络下的弹性云主机。两个文件系统分别作为源文件系统和目标文件系统，源文件系统指含业务数据的源文件系统，目标文件系统指即将投入使用的新文件系统。 准备工作 1. 注册天翼云官网账号，并完成实名认证，具体操作请参考注册天翼云账号。 2. 登录天翼云官网页面，找到控制中心，具体操作请参考天翼云控制中心。 3. 分别创建一个文件系统和一台弹性云主机，具体操作请参考创建弹性文件系统、创建弹性云主机。 4. 挂载文件系统至弹性云主机，具体操作请参考使用弹性云主机挂载文件系统。 操作步骤 两个文件系统之间的数据迁移可以分为几个关键步骤： 挂载文件系统 >迁移存量数据>迁移增量数据>迁移应用 。具体操作步骤如下： 1. 将文件系统挂载到云主机 将文件系统挂载至云主机中，为了方便区分，源文件系统挂载到“/mnt/src/“路径上，目标文件系统挂载到“/mnt/dst/“路径上。

本文为您介绍如何快速配置CC防护策略。 网站域名接入云WAF后，您可以选择开启CC防护功能，为网站拦截针对页面请求的CC攻击。您也可以根据实际需求自定义CC安全防护的防护策略。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持CC防护，请升级到更高版本使用。 CC防护模式配置 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“CC防护”区域，可以选择开启/关闭防护状态；同时可以直接选择防护模式。 配置项说明如下： 配置项 说明 状态 开启或关闭CC安全防护功能。 防护模式 要应用的防护模式。可选值： 常规：只针对特别异常的请求进行拦截，误杀较少。建议您在网站无明显流量异常时应用此模式，避免误杀。 紧急：高效拦截CC攻击，可能造成较多误杀。当您发现有防护模式无法拦截的CC攻击，并出现网站响应缓慢，流量、CPU、内存等指标异常时，可以应用此模式。 自定义：自定义CC防护可以通过精确匹配条件过滤访问请求，基于用户访问源IP或者SESSION频率定义访问频率限制条件，对于超过频率限制的访问进行拦截。 策略配置方法，请参见设置[自定义CC防护策略](

此小节介绍多因子认证类问题。 如何绑定手机令牌？ 针对某个用户配置手机令牌认证登录功能前，必须先为此用户绑定手机令牌，再由管理员配置用户手机令牌多因子认证，才能实现用户手机令牌登录验证。 若admin用户已配置手机令牌登录认证，但未绑定手机令牌，请单击管理控制台右上方的“工单”，填写工单信息反馈问题现象，联系技术支持重置登录方式。 若其他用户未绑定手机令牌，无法登录系统，请先联系部门管理员取消“手机令牌”多因子登录认证。 绑定手机令牌失败怎么办？ 问题现象 绑定手机令牌登录时，扫描二维码获取验证码，并正确输入验证码绑定到设备后，提示“绑定手机令牌失败”。 可能原因 可能因为系统时间和手机时间不一致造成。手机令牌登录方式，系统时间与必须一致，精确到秒。 解决办法 绑定失败后，请先修改系统时间与手机时间一致，刷新页面重新生成二维码绑定。 1 登录云堡垒机系统。 2 选择“系统 > 系统维护 > 系统管理 > 系统时间”，查看系统时间配置。 3 在“系统时间”区域，可以手动修改当前系统的时间，或者使用时间服务器同步当前系统的时间。 使用时间服务器同步系统时间时，可以选择系统默认自带的时间服务器，也可以手工输入时间服务器。 4 单击“同步时间”，完成时间同步。 5 选择“个人中心 > 手机令牌”，重新绑定手机令牌。 6 删除原来绑定的手机令牌，重新扫描二维码并绑定。 如何使用手机短信认证方式登录系统？

本小节介绍查看入侵告警事件。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的服务器、待处理告警事件、已处理告警事件、已拦截IP和已隔离文件。 事件管理列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束与限制 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell，您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后，HSS不对策略组关联的服务器进行检测。 其他检测项不允许手动关闭检测。 未开启防护不支持告警事件相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 安全告警统计说明 参数名称 告警事件状态说明 时间范围 支持选择固定周期，支持自定义查询告警的时间范围，自定义只能选择30天范围内的查询。 固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 说明 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。 4、单击事件类型中的告警事件，可查看告警事件对应的受影响的服务器、发生时间等信息。 全部：展示发生的总的告警数。 告警事件：展示各告警事件发生的告警数。 5、单击事件类型的告警名称，可查看告警的详细信息

互联网边界流量分析页面展示经过防火墙的流量统计信息，包括入云/出云流量。 入云分析（外部访问）：互联网访问云上资源的流量数据。 出云分析（主动外联）：云上资源访问互联网的流量数据。 前提条件 已开启互联网边界防护且已有流量经过防护对象，开启防护步骤请参见互联网边界防火墙。 查看入云流量分析 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“流量分析> 互联网边界流量分析”，进入互联网边界流量分析页面。 3. 默认选择“入云分析（外部访问）”，查看互联网访问云上资源时经过云防火墙的流量统计信息。 流量看板：支持查看近1小时、近1天、近7天的数据。统计互联网访问云上资源的数据统计以及最大流量信息，包括目的IP、源IP、目的端口、协议。 入云访问TOP统计：查看所选时间段内入云流量中目的IP、源IP、目的端口的TOP排行。支持按次数、流量进行查看。 入云访问带宽统计：入云峰值带宽、入云累计带宽，以及入云请求流量和响应流量数据。 入云访问分布统计：查看所选时间段内入云访问协议、入云访问应用、入云访问目的端口分布情况。支持按次数、流量进行查看。 入云访问目的IP分析：展示入云流量中目的IP的流量详细信息。 入云访问源IP分析：展示入云流量中源IP的流量详细信息。 入云访问源IP支持添加黑/白名单，一键封禁/放行源IP。添加黑/白名单后，可通过配置黑白名单规则对规则进行管理。

本节介绍翼加密开启加密保护的功能流程。 1. 点击“文件加密”—“加密桌面管理”； 2. 批量勾选列表中的桌面； 3. 点击列表顶部的“开启加密保护”按钮，即可开启AI云电脑加密保护。 开启加密保护后，AI云电脑将进行全盘扫描，直到所有的目标文件类型都完成加密。扫描方式分为两种： 强制扫描 强制扫描期间AI云电脑无法登录使用，直到AI云电脑完成全盘加密。 后台扫描 AI云电脑将在后台进行静默加密扫描，期间AI云电脑可以正常登录使用。 注意：开启加密保护后，AI云电脑内已有的所有目标文件会被加密保护。并且后续AI云电脑编辑保存、接收、下载的所有目标类型文件将被自动加密保护。

双机热备 关系型数据库服务采用热备架构，故障秒级自动切换。 数据备份 每天自动备份数据，上传到对象存储服务（Object Storage Service，简称OBS）。备份文件保留732天，支持一键式恢复。用户可以设置自动备份的周期，还可以根据自身业务特点随时发起备份，选择备份周期、修改备份策略。 数据恢复 支持按备份集和指定时间点的恢复。在大多数场景下，用户可以将732天内任意一个时间点的数据恢复到关系型数据库新实例或已有实例上，数据验证无误后即可将数据迁回关系型数据库主实例，完成数据回溯。 数据可靠 数据持久性高达99.9999999%，保证数据安全可靠，保护您的业务免受故障影响。 RDS与自建数据库优势对比 性能对比 性能项目 云数据库RDS 自购服务器搭建数据库服务 服务可用性 请参见《弹性云主机用户指南》。 需要购买额外设备，自建主从，自建RAID。 数据可靠性 请参见《云硬盘用户指南》。 需要购买额外设备，自建主从，自建RAID。 系统安全性 防DDoS攻击，流量清洗；及时修复各种数据库安全漏洞。 需要购买昂贵的硬件设备和软件服务，需要自行检测和修复安全漏洞等。 数据库备份 支持自动备份，手动备份，自定义备份存储周期。 需要购买设备，并自行搭建设置和后期维护。 软硬件投入 无需投入软硬件成本，按需购买，弹性伸缩。 数据库服务器成本相对较高，对于Microsoft SQL Server需支付许可证费用。 系统托管 无需托管。 需要自购2U服务器设备，如需实现主从，购买两台服务器，并进行自建。 维护成本 无需运维。 需要投入大量人力成本，招聘专业的DBA进行维护。 部署扩容 弹性扩容，快速升级，按需开通。 需采购和原设备匹配的硬件，需托管机房的配合，需部署设备，整体周期较长。 资源利用率 按实际结算，100%利用率。 考虑峰值，资源利用率低。

本文为您介绍存储管理的相关操作。 前置条件 对象存储优势在于不需要文件系统的介入，存储的数据可以直接通过URL进行访问，便于扩容，存储空间更大，存储成本更低。一般常见于各种云厂商提供的对象存储服务、存储厂商的存储设备等。对象存储的环境要求如下： 1. 可用的对象存储资源。 2. 对象存储的访问地址，即对象存储的访问域名endpoint；（如果对象存储endpoint使用https协议，则可以额外选择开启证书认证来增加访问安全性，但需要对应证书）。 3. 访问对象存储的账户的用户名/密码（Access Key/Access Secret）。 新建对象存储 1. 点击左侧菜单栏“资源同步管理”“存储管理”“存储介质”“对象存储”，进入对象存储列表页。单击“新建”按钮，进入对象存储新建页面。 名称：自定义的对象存储的名称，便于管理，支持中文和英文字符。 存储类型：支持LocalFS、AWS S3、S3 Compatible、天翼云OSS、OBS、Aliyun OSS、Baidu BOS、MS Azure File、MS Azure Blob、Jingdong OSS、Emc Atmos和Swift、。 管理地址：对象存储的访问域名endpoint，需要写明协议类型（https/http），以天翼云为例，可填写终端节点（endpoint）地址。 数据地址：填写对象存储的数据地址，以天翼云为例，若内网打通，可使用同资源池内网访问地址，若其他方式打通网络，可填写终端节点（endpoint）地址。 证书校验：用于控制机访问对象存储时校验认证使用，此配置默认开启。此功能仅在对象存储使用HTTPS协议且拥有对应证书的前提下可开启使用，如果对象存储环境不满足要求，直接关闭此配置项即可。 Access Key：对象存储的访问账户对应的Access Key（也叫Secret ID）。 Access Secret：对象存储的访问账户对应的Access Secret（也叫Secret Key）。 大文件分片大小：用于将大文件分成小文件，加速传输效率的一个选项。默认值为：200，单位为MiB。输入框内右侧有增加和减少的按钮。 签名版本：访问对象存储发出请求时使用的签名版本；共两个版本：V2、V4；在实际配置时建议使用V4版本（目前对象存储一般默认为V4）。 地域：非必填项，对象存储所属地域，如果对象存储有地域区分时需要填写；常见需要填写地域的对象存储例如：天翼云、阿里云、华为云、腾讯云、亚马逊、联通云、青云等云存储。 访问模式：对象存储提供两种访问模式：Path、Virtual Hosting；在实际配置时建议先使用Path方式。 备注：用户自定义此对象存储的备注内容。 2. 所有信息输入完成后，单击“确定”，即可完成对象存储的添加。 3. 点击左侧菜单栏“资源同步管理”“存储管理”“存储介质”“对象存储”，进入对象存储列表页。Tab栏中选择对象桶，单击“新建”按钮，进入对象桶新建页面，新建前需要对象存储的用户具有创建桶权。 桶名称：自定义桶名称，使用设置的桶名称在指定对象存储中创建桶；名称中不能包含/:?"<>,%等非法字符。 对象存储：选择已经添加到控制台的对象存储。 使用配额：设置对象桶的使用配额大小，单位GiB。 4. 所有信息输入完成后，单击“确定”，即可完成对象桶的添加。

下载AI云电脑 请前往天翼量子AI云电脑下载页，下载安装AI云电脑客户端。 软硬件兼容清单 请前往软硬件兼容性清单页面查看。

本节主要介绍开通专属云容器引擎 专属云容器引擎服务的开通方法及流程： 1、开通专属云容器引擎服务需首先开通专属云服务，请确保您已开通天翼云的专属云服务； 2、天翼云网门户首页上部，在“天翼云官网首页，“产品 > 专属云”中，单击“专属云（计算独享型）”； 3、在产品详情页面中，单击“申请开通”，在申请页面查看申请流程。请与您的专属客户经理确定您的开通需求，如果没有专属客户经理，可拨打天翼云客服电话4008109889咨询。

本节介绍了弹性云主机欠费、到期后的相关内容。 在弹性云主机资源将要到期或欠费时，天翼云会以邮件的方式通知客户，如用户需继续使用，则可联系客户经理执行续费操作或自行在控制台进行续订。如果用户未执行续费操作，天翼云将发送资源超期提醒邮件，并在之后释放弹性云主机资源。 从包周期云主机到期或按需用户发生欠费时算起，云主机将进入15天保留期，超过保留期后，云主机将被删除回收，云主机删除后用户数据不可恢复。

产品优势 支持跨可用区数据同步写入，自动感知故障并触发跨可用区数据重建，结合数据冗余、副本折叠能力，确保存储安全且全程无需人工介入，保障业务连续性。 客户端连接支持一主多备、支持接入点迁移，满足业务在不同可用区接入和迁移的能力，结合HBlock高速缓存机制，提高读写性能。 建议搭配产品 智能边缘云 场景架构图 存量资源利旧 场景说明 面对业务快速增长带来的存储容量需求，及各类型服务器资源闲置带来的资源浪费问题，HBlock提供的快速部署和扩容的解决方案，提升存储资源的利用率，并支持业务的滚动更新，满足未来业务在容量和性能上不断变化的需求。 产品优势 利用HBlock的广泛兼容性，纳管各类服务器中的空闲存储空间，整合成存储池。 通过iSCSI协议向其他主机提供高可用高性能的虚拟盘。 无需额外成本投入，快速创建存储资源为业务扩容。 建议搭配产品 弹性云主机、物理机

本文主要介绍云日志服务的计费样例 计费场景1：开启全文索引 假设您的云主机每天产生100GB原始日志，并开启全文索引，日志保存时长设置为30天，压缩率为20%。在该案例下，使用一个月后，产生的费用明细如下所示： 计费项 说明 月使用量 单价 月计费 日志存储量 原始日志存储量100GB x 20% x 30天 600GB 被构建索引的日志存储量100GB x 30天 3000GB 3600GB 0.0004792元/GB/小时 （3600GB500MB免费额度/1024）× 0.0004792 24小时 30天1241.91元 日志读写流量 产生的读写流量100GB x 20% x 30天 600GB 600GB 0.18元/GB （600GB500MB免费额度/1024）× 0.18元/GB107.91元 日志索引流量 产生的日志索引流量100GBx 30天 3000GB 3000GB 0.35元/GB （3000GB500MB免费额度/1024）× 0.35元/GB1049.82元 注意 此案例中的单价仅为示例，且计算出的费用为估算值。单价的变动和实际场景中计算出来的费用可能会有偏差，请以天翼云费用中心产生的账单为准。 计费场景2：关闭全文索引，打开字段索引 假设您的云主机每天产生100GB原始日志，并关闭全文索引，写入到云日志服务并开启其中五个字段的索引，这五个字段的数据量为50GB，日志保存时长设置为30天，压缩率为20%。在该案例下，使用一个月后，产生的费用明细如下所示： 计费项 说明 月使用量 单价 月计费 日志存储量 原始日志存储量100GB x 20% x 30天 600GB 被构建索引的日志存储量50GB x 30天 1500GB 2100GB 0.0004792元/GB/小时 （2100GB500MB免费额度/1024）× 0.0004792 × 24小时 × 30天 724.38元 日志读写流量 产生的读写流量100GB x 20% x 30天 600GB 600GB 0.18元/GB （600GB500MB免费额度/1024）× 0.18元/GB107.91元 日志索引流量 产生的日志索引流量50GB x 30天 1500GB 1500GB 0.35元/GB （1500GB500MB免费额度/1024）× 0.35元/GB524.82元 注意 此案例中的单价仅为示例，且计算出的费用为估算值。单价的变动和实际场景中计算出来的费用可能会有偏差，请以天翼云费用中心产生的账单为准。

本章主要介绍翼MapReduce的 配置受信任IP访问LDAP功能。 操作场景 默认情况下，部署在OMS和集群中的LDAP服务允许任意IP访问。如果需要只允许受信任的IP地址访问LDAP服务，可以配置iptables过滤列表的INPUT策略。 对系统的影响 配置受信任IP访问LDAP以后，未配置的IP无法访问LDAP。扩容前，新增加的IP需要配置为受信任的IP。 前提条件 根据安装规划，收集集群内全部节点的管理平面IP、业务平面IP和所有浮动IP。 获取集群内节点的root用户和密码。 操作步骤 配置OMS LDAP信任的IP地址 1.确定管理节点IP地址，请参见登录管理节点。 2.登录FusionInsight Manager，请参见登录管理系统。 3.选择“系统 > OMS”，在“服务”选择“oldap > 修改配置”，查看OMS LDAP端口号，即“Ldap服务监听端口”参数值。默认为“21750”。 4.以root用户通过主管理节点的IP地址登录主管理节点。 5.执行以下命令，查看iptables过滤列表中INPUT策略。 iptables L 例如未配置任何规则时，INPUT策略显示如下： Chain INPUT (policy ACCEPT) target prot opt source destination 6.执行以下命令，将集群使用的所有IP地址配置为受信任的IP。每个IP需要添加一次。 iptables A INPUT s 受信任IP地址 p tcp dport 端口号 j ACCEPT 例如，将10.0.0.1配置为受信任的IP，可以访问端口21750，执行： iptables A INPUT s 10.0.0.1 p tcp dport 21750 j ACCEPT 7.执行以下命令，将全部IP地址配置为不受信任的IP。已配置为信任IP不受此规则影响。 iptables A INPUT p tcp dport 端口号 j DROP 例如，配置全部IP不能访问端口21750，执行： iptables A INPUT p tcp dport 21750 j DROP 8.执行以下命令，查看iptables过滤列表中修改后INPUT策略。 iptables L 例如配置一个受信任IP后，INPUT策略显示如下： Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp 10.0.0.1 anywhere tcp dpt:21750 DROP tcp anywhere anywhere tcp dpt:21750 9.执行以下命令，查看iptables过滤列表中存在的规则及相对应的编号。 iptables L n linenumber Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP tcp 0.0.0.0/0 0.0.0.0/0 tcp dpt:21750 10.根据实际需求，可执行以下命令，删除iptables过滤列表中的规则。 iptables D INPUT 待删除的编号 例如，删除编号为1的规则，执行： iptables D INPUT 1 11.以root用户通过备管理节点的IP地址登录备管理节点，并重复5到10。

全站加速产品支持的QUIC类型 目前，天翼云全站加速产品同时支持IETF QUIC和GOOGLE QUIC，以方便不同的客户接入。 GOOGLE QUIC支持的版本号为Q043、Q046、Q050。 IETF QUIC支持的版本号为h329和h3v1，IETF QUIC是互联网标准版本，强烈建议您使用IETF QUIC。 适用场景 图片业务：可降低图片加载时间。 短视频业务：可提升视频秒开率，并且降低弱网环境卡顿率。 直播业务：可提升播放稳定性，降低因网络波动带来的卡顿率。 如何验证已在全站加速上开启QUIC功能 QUIC协议暂不支持客户自助开启，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 QUIC属于双边协议，需要客户端同步支持。如您已开通QUIC功能，可以使用Chrome浏览器或者基于Chrome内核的浏览器来访问对应网站域名，并在浏览器开启开发者工具进行抓包验证。目前较新版本的chrome浏览器已默认开启QUIC。 一般情况下，Chrome浏览器和服务器端协商使用QUIC协议要经过如下步骤： 1. 首次访问，客户端会先发起正常的TCP请求。 2. 服务端如果支持QUIC，会通过响应头部返回altsvc信息告知客户端自己支持QUIC及对应版本（如下图），其含义是服务器在443端口开启了QUIC，最大缓存时间是2592000秒（30天），支持的QUIC版本IQUIC。 3. 下次访问，客户端会同时发起TCP连接和QUIC连接进行竞速。 4. 一旦QUIC竞速连接获胜，则后续会采用QUIC协议发送请求，如果在浏览器进行抓包（快捷键F12打开开发者工具），可在Protocol列查看其具体的协议，如下图所示，这里显示的h3即表示采用的是IQUIC。 注意 如果没有Protocol列，右键点击Header Options，勾选Protocol列即可。 5. 如遇网络或服务器不支持QUIC，客户端标记QUIC为broken。 6. 传输中的QUIC请求立即用TCP进行重发。 7. 5min后尝试重试QUIC，下一次尝试增大到10min。 8. 一旦再次成功采用QUIC，会把broken标记取消。

本节主要介绍如何在智能视图服务控制台接入视图设备。 说明 视图服务相关功能暂未开放，如您需使用，请联系客户经理。 平台侧配置 在设备管理页面点击【添加设备】，在接入方式中勾选【视图】。 在视图接入信息部分，接入类型选择【视图采集设备】，下拉选择GA1400凭证（GA1400凭证的详细操作说明可参考【GA1400凭证】）。 视图设备添加成功后，可在设备详情页查看视图接入信息和视图库信息。 摄像头侧配置 登录设备自身的管理控制台，地址通常为设备IP，设备注册流程如下： 1. 点击顶部菜单栏的【配置】，在左侧点击【网络高级配置】并切换至【视图库】页面。 2. 设备ID和视频通道编码ID填写平台设备接入信息的视图编码。 3. 视图库用户名及密码填写平台设备GA1400凭证用户名及密码。 4. 服务器地址填写平台设备视图库信息的视图库IP。 5. 接入服务器Port填写平台设备视图库信息的视图库端口。 6. 完成配置信息填写后勾选【启用】并点击【保存】。 设备接入成功后即可在【设备管理视图数据】界面查看视图数据。

本章节主要介绍数据治理中心的配置MongoDB连接功能。 MongoDB连接适用于第三方云MongoDB服务，以及用户在本地数据中心或ECS上自建的MongoDB，常用于从MongoDB同步数据到大数据平台。 连接本地MongoDB数据库时，相关参数详见下表：MongoDB连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mongodblink 服务器列表 MongoDB服务器地址列表，输入格式为“数据库服务器域名或IP地址：端口”。多个服务器列表间以“;”分隔。 192.168.0.1:7300;192.168.0.2:7301 数据库名称 要连接的MongoDB数据库名称。 DBmongodb 用户名 连接MongoDB的用户名。 cdm 密码 连接MongoDB的密码。

本文简述如何通过诊断工具查询指定IP是否为天翼云CDN节点IP以及对应归属地。 功能介绍 天翼云全站加速服务提供IP归属查询工具，您可以使用该工具检测某IP地址是否为天翼云CDN节点IP，同时获取IP归属地。 应用场景 场景一：配置全站加速服务后，可通过该工具验证客户端的请求是否成功到达天翼云CDN节点IP。如果不是天翼云CDN节点IP，则代表配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的网站访问异常时，可通过该工具查询用户访问的IP是否为天翼云CDN节点IP，来排查网站访问异常的原因。如果IP地址是天翼云CDN节点IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云CDN节点IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 诊断工具说明 1. 登录客户控制台。 2. 单击左侧导航栏【诊断工具】，进入【IP归属查询】页面，输入查询的地址。 3. 输入查询后将显示该地址是否为天翼云CDN节点以及对应归属地。 说明 查询IP为天翼云CDN节点IP，验证结果显示为CDN节点，显示IP归属地。 查询IP不为天翼云CDN节点IP，验证结果显示为不是CDN节点，IP归属地未知。

本章节主要介绍数据治理中心的配置常见关系数据库连接功能。 常见关系数据库包括数据仓库服务（DWS）、云数据库 MySQL、云数据库 PostgreSQL、云数据库 SQLServer、PostgreSQL、Microsoft SQL Server、IBM Db2、SAP HANA。 前提条件 已参考管理驱动上传对应的驱动。 常见关系数据库连接参数 连接参数详见下表：常见关系数据库连接参数 参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mysqllink 数据库服务器 配置为要连接的数据库的IP地址或域名。 单击输入框后的“选择”，可获取用户的DWS、RDS等实例列表。 192.168.0.1 端口 配置为要连接的数据库的端口。 不同的数据库端口不同，请根据具体情况配置。例如： SQLServer默认端口：1433 PostgreSQL默认端口：5432 数据库名称 配置为要连接的数据库名称。 dbname 用户名 待连接数据库的用户。该数据库用户需要有数据表的读写权限，以及对元数据的读取权限。 cdm 密码 用户名密码。 使用Agent 是否选择通过Agent从源端提取数据。 是 Agent 单击“选择”，选择3.3.5.3管理Agent中已创建的Agent。 驱动版本 不同类型的关系数据库，需要适配不同的驱动。 一次请求行数 可选参数，单击“显示高级属性”后显示。 指定每次请求获取的行数，根据数据源端和作业数据规模的大小配置该参数。如果配置过大或过小，可能影响作业的时长。 1000 SSL加密 可选参数，支持通过SSL加密方式连接数据库，暂不支持自建的数据库。 RDS上的PostgreSQL数据库服务做了一些安全增强，在创建RDS上的PostgreSQL的连接时，该参数需要配置为“是”。 是 连接属性 可选参数，单击“添加”可增加多个指定数据源的JDBC连接器的属性，参考对应数据库的JDBC连接器说明文档进行配置。 说明 CDM作业默认打开了useCursorFetch开关，即JDBC连接器与关系型数据库的通信使用二进制协议。 sslmoderequire 引用符号 可选参数，连接引用表名或列名时的分隔符号，参考对应数据库的产品文档进行配置。 '

本页面主要介绍备份类型转换的使用场景和方法步骤。 注意 仅西南1、河北张家口IT上云1资源池支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 使用场景 用户当前使用云硬盘备份类型，由于云硬盘大小固定，无法满足用户日益增长的备份文件需求，因此提供云硬盘备份类型转换为对象存储的功能，对象存储提供无上限的空间服务，用户无需担心备份文件占满备份空间问题。 约束限制 仅支持云硬盘转为对象存储备份类型，不支持反向转换。 备份存储类型进行调整后，原有备份存储类型上的存量的备份文件不会进行迁移。 注意 存量文件备份文件保留将会进行计费，并按照设置的保留天数进行删除，请妥善保存存量备份文件。 操作步骤 注意 转换为对象存储后，将会有一定的免费额度，该免费额度与最初购买实例时的云盘空间大小相同（例如初始订购实例时，选择了备份空间为100G的云盘，则对象存储免费额度为100G），超过该免费额度将开始计费。计费规则，请参考备份和流量。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击备份恢复 ，然后单击备份策略页签。 5. 单击备份存储类型 旁的编辑。 6. 在备份存储转换页面中，根据实际情况选择变更后的配置、配置存量备份文件的保留天数。

参数 参数类型 说明 示例 下级对象 id String 业务id 一级列表[基线模板文件名] 二级列表[agentGuid] 三级列表[检测id] CtyunLinuxBenchmarkTemplate.json passingRate String 检测项通过率 0.92 failed Integer 检测项未通过数 1 relationAgent Integer 未通过的服务器数量 1 itemTotal Integer 检测项总数 1 file String 基线检测文件名 CtyunLinuxBenchmarkTemplate.json passed Integer 检测项通过数 1 strategyId Integer 策略id 1 timestamp String 扫描时间 20200101 00:00:00 scaId Integer 基线模板id 1 name String 基线模板名称 天翼云Linux操作系统安全配置基线 riskInfo Array of Objects 风险信息，按等级分类统计 [{"riskLevel":1,"riskCount":1}] riskInfo 表 riskInfo

使用云主机备份服务前,您需要注册天翼云帐号,本文带您了解使用云主机备份前需要做的准备事项。 步骤一：注册天翼云帐号 如果您已有一个天翼云帐号，请跳到下一个步骤。如果您还没有天翼云帐号，请参考以下步骤进行注册。 1. 打开天翼云官方网站，点击右上角的“免费注册”。 2. 根据提示信息填写注册信息。填写邮箱后，设置登录密码，并通过手机验证。 3. 勾选协议，并点击“同意协议并提交”，即可完成账号注册。 步骤二：实名认证 完成注册后登录并进行实名认证。具体操作请参考实名认证。 步骤三：帐号充值 云主机备份提供包周期（包年/包月）和按需计费两种计费模式。在登录账号后，您可以点击页面右上角的“管理中心”，然后点击“充值”按钮为您的账号充值，具体充值说明可参考账户充值。 说明 账号余额不足100元不支持按量付费功能。 天翼云支持在线或转账汇款的方式进行充值。 建议采用在线支付方式充值。 使用专属汇款账号进行汇款，汇款至专属汇款账号，系统会自动匹配您的天翼云账户，预计24小时内充值到您的账户余额。

说明：本章节会介绍如何在控制台设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 通过内网连接RDS实例时，设置安全组分为以下两种情况： − ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则。 − ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 n 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 n 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 登录管理控制台。 在系统首页，单击“网络 > 虚拟私有云”。 在左侧导航树选择“访问控制 > 安全组”。 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 根据界面提示配置安全组规则。 单击“确定”。

本文为您介绍分布式消息服务MQTT的计费模式。 目前天翼云分布式消息服务MQTT提供包周期（包年/包月）、按需2种计费模式供您灵活选择，使用越久越便宜。 下表列出两种模式的区别： 计费模式 包年/包月 按需计费 付费方式 预付费按照订单的购买周期结算。 后付费按照云服务器实际使用时长计费。 计费周期 按订单的购买周期计费。 按小时结算。 实例升级 暂不支持实例升级。 暂不支持实例升级。 更改计费模式 不支持变更为按需资源。 不支持变更为包周期资源。 变更规格 暂不支持变更实例规格。 暂不支持变更实例规格。 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于消息资源需求波动的场景，可以随时开通，随时删除。 包周期（包年/包月）：天翼云提供包月和包年的购买模式。这种购买方式相对于按需付费则能够提供更大的折扣，对于长期使用者，推荐该方式。包周期计费按照订单的购买周期来进行结算。 按需计费：这种购买方式比较灵活，可以即开即停，支持秒级计费。实例从“开通”开启计费到“删除”结束计费，按实际购买时长（精确到秒）计费。 计费模式变更 ：天翼云分布式消息服务MQTT目前不支持计费模式变更。

本节提供了天翼云电脑客户端下载地址。 天翼云电脑 客户端下载

本节主要描述在使用云容器引擎前，需理解该产品所涉及的概念，以便于您更好地理解容器产品。 关键词 说明 集群 集群指容器运行所需要的云资源组合，关联了若干服务器节点、负载均衡、专有网络等云资源。 专有版集群：需要创建1个Master（非高可用），或者3/5个Master（高可用）节点，以及若干Worker节点，可对集群基础设施进行更细粒度的控制，需要自行规划、维护、升级服务器集群。 托管版集群：只需创建Worker节点，Master节点由CCSE创建并托管，具备操作简单、低成本无需运维等特点。 节点 一台服务器（可以是虚拟机实例或者物理服务器）已经安装了Docker Engine，可以用于部署和管理容器。容器的Agent程序会被安装到节点上并注册到一个集群上。 专有网络VPC 专有网络VPC是您自己独有的云上私有网络。您可以完全掌控自己的专有网络，例如选择IP地址范围、配置路由表和网关等，您可以在自己定义的专有网络中使用天翼云资源如云服务器、云数据库和负载均衡等。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤能力，用于在云端划分安全域。安全组是一个逻辑上的分组，由同一地域内具有相同安全保护需求并相互信任的实例组成。 应用目录 应用目录功能集成了Helm，提供了Helm的相关功能，并进行了相关功能扩展，例如提供图形化界面。 编排模板 编排模板是一种保存Kubernetes YAML格式编排文件的方式。 Kubernetes Kubernetes是一个开源平台，具有可移植性和可扩展性，用于管理容器化的工作负载和服务，简化了声明式配置和自动化。 容器（Container） 打包应用及其运行依赖环境的技术，一个节点可运行多个容器。 镜像（Image） 容器镜像是容器应用打包的标准格式，封装了应用程序及其所有软件依赖的二进制数据。 镜像仓库（Image Registry） 容器镜像仓库是一种存储库，用于存储Kubernetes和基于容器应用开发的容器镜像。 管理节点（Master Node） 管理节点是Kubernetes集群的管理者，运行着的服务包括kubeapiserver、kubescheduler、kubecontrollermanager、etcd组件，和容器网络相关的组件。 工作节点（Worker Node） 工作节点是Kubernetes集群中承担工作负载的节点，可以是虚拟机也可以是物理机。工作节点承担实际的Pod调度以及与管理节点的通信等。一个工作节点上的服务包括Docker运行时环境、kubelet、KubeProxy以及其它一些可选的组件。 命名空间（Namespace） 命名空间为Kubernetes集群提供虚拟的隔离作用。Kubernetes集群初始有3个命名空间，分别是默认命名空间default、系统命名空间kubesystem和kubepublic，除此以外，管理员可以创建新的命名空间以满足需求。 容器组（Pod） Pod是Kubernetes部署应用或服务的最小的基本单位。一个Pod封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。 副本控制器（ReplicationController，RC） RC确保任何时候Kubernetes集群中有指定数量的Pod副本在运行。通过监控运行中的Pod来保证集群中运行指定数目的Pod副本。指定的数目可以是多个也可以是1个；少于指定数目，RC就会启动运行新的Pod副本；多于指定数目，RC就会终止多余的Pod副本。 副本集（ReplicaSet，RS） ReplicaSet（RS）是RC的升级版本，唯一区别是对选择器的支持，RS能支持更多种类的匹配模式。副本集对象一般不单独使用，而是作为Deployment的理想状态参数使用。 工作负载（Workload） 工作负载是在Kubernetes上运行的应用程序。 标签（Label） Labels的实质是附着在资源对象上的一系列Key/Value键值对，用于指定对用户有意义的对象的属性，标签对内核系统是没有直接意义的。标签可以在创建一个对象的时候直接赋予，也可以在后期随时修改，每一个对象可以拥有多个标签，但key值必须唯一。 服务（Service） Service是Kubernetes的基本操作单元，是真实应用服务的抽象，每一个服务后面都有很多对应的容器来提供支持，通过KubeProxy的ports和服务selector决定服务请求传递给后端的容器，对外表现为一个单一访问接口。 路由（Ingress） Ingress是授权入站连接到达集群服务的规则集合。您可以通过Ingress配置提供外部可访问的URL、负载均衡、SSL、基于名称的虚拟主机等。通过POST Ingress资源到API Server的方式来请求Ingress。Ingress Controller负责实现Ingress，通常使用负载均衡器，它还可以配置边界路由和其他前端，这有助于以高可用的方式处理流量。 配置项（ConfigMap） 配置项可用于存储细粒度信息如单个属性，或粗粒度信息如整个配置文件或JSON对象。您可以使用配置项保存不需要加密的配置信息和配置文件。 保密字典（Secret） 保密字典用于存储在Kubernetes集群中使用一些敏感的配置，例如密码、证书等信息。 卷（Volume） 和Docker的存储卷有些类似，Docker的存储卷作用范围为一个容器，而Kubernetes的存储卷的生命周期和作用范围是一个Pod。每个Pod中声明的存储卷由Pod中的所有容器共享。 存储卷（Persistent Volume，PV） PV是集群内的存储资源，类似节点是集群资源一样。PV独立于Pod的生命周期，可根据不同的StorageClass类型创建不同类型的PV。 存储卷声明（Persistent VolumeClaim，PVC） PVC是资源的使用者。类似Pod消耗节点资源一样，而PVC消耗PV资源。 存储类（StorageClass） 存储类可以实现动态供应存储卷。通过动态存储卷，Kubernetes将能够按照用户的需要，自动创建其所需的存储。 弹性伸缩（Autoscaling） 弹性伸缩是根据业务需求和策略，经济地自动调整弹性计算资源的管理服务。典型的场景包含在线业务弹性、大规模计算训练、深度学习GPU或共享GPU的训练与推理、定时周期性负载变化等。 可观测性（Observability） Kubernetes可观测性体系包含监控和日志两部分，监控可以帮助开发者查看系统的运行状态，而日志可以协助问题的排查和诊断。 Helm Helm是Kubernetes包管理平台。Helm将一个应用的相关资源组织成为Charts，然后通过Charts管理程序包。 节点亲和性（nodeAffinity） 节点亲和性指通过Worker节点的Label标签控制Pod部署在特定的节点上。 污点（Taints） 污点和节点亲和性相反，它使节点能够排斥一类特定的Pod。 容忍（Tolerations） 应用于Pod上，允许（但并不要求）Pod调度到带有与之匹配的污点的节点上。 应用亲和性（podAffinity） 应用亲和性决定应用Pod可以和特定Pod部署在同一拓扑域。例如，对于相互通信的服务，可通过应用亲和性调度，将其部署到同一拓扑域（例如同一个主机）中，以减少它们之间的网络延迟。 应用反亲和性（podAntiAffinity） 应用反亲和性决定应用Pod不与特性Pod部署在同一拓扑域。例如，将一个服务的Pod分散部署到不同的拓扑域（例如不同主机）中，以提高服务本身的稳定性。 服务网格（Istio） Istio是一个提供连接、保护、控制以及观测服务的开放平台，兼容社区Istio开源服务网格，用于简化服务的治理，包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力。

对于支持IAM配置，不支持企业项目配置的操作，若没有配置过IAM权限将默认不具备相应操作权限，操作将被拦截，对于这种场景，该如何处理？ 支持IAM配置，不支持企业项目配置的操作在没有配置过IAM权限时，将默认不具备相应操作权限，操作将被拦截，如下图创建快照，前端提示权限不足，操作被拦截。此时，您需要在IAM中为此用户新增创建快照的IAM操作权限以解除限制。 操作步骤 1.登陆统一身份认证服务平台。 2.创建或修改自定义策略，在该策略中需添加创建快照的三元组“evs:snapshot:create”，具体创建或修改策略的操作请参见统一身份认证IAM中“策略管理”章节。 3.为待授权的子账号所归属的用户组配置上述具有“evs:snapshot:create”三元组的策略。具体授权策略的操作请参见统一身份认证IAM中“用户组授权”章节。 4.完成上述配置后，用已授权创建快照权限的子用户登陆天翼云控制台，创建快照操作将不再被拦截，能够进入创建快照页面。 为什么子用户订购云硬盘跳转到订单中心时，显示“抱歉，您没有访问该页面的权限”？ 若您的子用户需要实现下单类操作，如创建、扩容等，您需要为子用户所在用户组设置“订单与云网账号管理员权限”，即授权“bss admin”策略。 具体操作可参考子用户如何创建和下单一类节点资源。

说明：本章节会介绍如何设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

本节介绍如何登录云防火墙（原生版）控制台。 方式一 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 网络安全 > 云防火墙（原生版）”，进入云防火墙（原生版）产品详情页面。 3. 单击“管理控制台”，进入云防火墙（原生版）控制台。 方式二 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）控制台。

云硬盘存储 1、部署应用组件时，在“组件配置”界面，展开“高级设置 > 部署配置”。 2、选择“数据存储 > 云存储 > 添加云存储”。 表 云硬盘存储 参数 说明 :: 云存储类型 选择“云硬盘”。 云硬盘的使用方式与传统服务器硬盘完全一致。同时，云硬盘具有更高的数据可靠性，更高的I/O吞吐能力和更加简单易用等特点。适用于文件系统、数据库或者其他需要块存储设备的系统软件或工作负载。 分配方式 使用已有存储选择已创建的存储。自动分配存储自动创建存储，需要输入存储的容量。 1. 存储类型选择云硬盘时，需要先选择创建云硬盘的可用区。 2. 选择存储子类型。 高IO：指由SAS存储介质构成的云硬盘。 普通IO：指由SATA存储介质构成的云硬盘。 超高IO：指由SSD存储介质构成的云硬盘。 3. 输入存储容量，单位为GB。请不要超过存储容量配额，否则会创建失败。 添加容器挂载 设置“挂载路径”：输入数据卷挂载到应用上的路径。 3、单击“确定”。 文件存储 1、部署应用组件时，在“组件配置”界面，展开“高级设置 > 部署配置”。 2、选择“数据存储 > 云存储 > 添加云存储”。 表 文件存储 参数 说明 :: 云存储类型 选择“文件存储”。 文件存储适用于媒体处理、内容管理、大数据和分析应用程序等场景。 分配方式 使用已有存储选择已创建的存储。自动分配存储 自动创建存储，需要输入存储的容量。 1. 选择存储子类型。 文件存储子类型为NFS。 2. 输入存储容量，单位为GB。请不要超过存储容量配额，否则会创建失败。 添加容器挂载 设置“子路径”、“挂载路径”：输入数据卷挂载到应用上的路径。 须知 请不要挂载在系统目录下，如“/”、“/var/run” 等，会导致应用异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响应用启动的文件，否则文件会被替换，导致应用启动异常，应用创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。设置“权限”。 只读：只能读应用路径中的数据卷。 读写：可修改应用路径中的数据卷，应用迁移时新写入的数据不会随之迁移，会造成数据丢失。 步骤 3单击“确定”。