计费区域 天翼云边缘接入服务的计费区域分为：中国内地、全球（不含中国内地）、全球。其中，DDoS防护暂不支持全球（不含中国内地）及全球，仅支持中国内地。 计费示例 定价示例1：办公类应用。 您日常使用OA、邮箱、Salesforce等办公应用，但时常遇到加载慢、卡顿等现象，需要对办公应用进行提速。 假设您每月使用的办公应用域名为2个，端口数为6个，流量为2T，且您的终端用户都在中国内地，有可能遭受DDoS攻击。 推荐订阅边缘接入服务基础版套餐、1个域名扩展包和1个端口数扩展包，其中，基础版套餐包含1个域名、5个端口、1TB流量以及防护带宽峰值40Gbps的DDoS防护1次。按照您的使用量，流量将会超出1T，超出套餐的流量会自动按照按需计费。 计费项目 用量 费用计算 每月总费用（元） 边缘接入基础版套餐 基础版套餐内包含： 加速域名：1个 端口数：5个 流量：1TB DDoS防护：40Gbps/月（1次）。 2000 2000 域名扩展包 1 1000 1000 端口数扩展包 1 50 50 流量超量按需 211 1.7610001760 1760 总计 4810

本文介绍HTTPS的概念以及全站加速如何配置HTTPS。 什么是HTTPS? HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。HTTPS相当于在HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。它是一个URI scheme（抽象标识符体系），句法类同HTTP体系。用于安全的HTTPS数据传输。 HTTPS也叫安全的超文本传输协议，默认使用TCP端口443，他的数据会用PKI中的公钥进行加密，这样抓包工具捕获到的数据包也没有办法看到包中的内容，安全性大大提高，要解密数据的话就要用到PKI中的私钥。所以一些安全性比较高的网站如：网上银行，电子商务网站都需要用HTTPS访问。 全站加速是否支持HTTPS配置？ 天翼云全站加速目前已经全面支持HTTPS配置。详见：HTTPS配置。在天翼云客户控制台开启HTTPS协议，将实现客户端和天翼云全站加速节点之间请求的HTTPS加密。如果需要实现全链路HTTPS加密，还需要配置全站加速节点以HTTPS协议回源到源站服务器（源站服务器需要支持HTTPS协议）。 通过客户控制台在全站加速节点上提前准备好SSL证书的公钥和私钥。证书上传路径，详见：新增证书。

本文介绍如何通过独享型接入方式将网站接入WAF进行防护。 使用独享型接入方式接入WAF前，需要先添加防护对象。 前提条件 已购买WAF独享型实例，且当前实例支持接入的防护对象数量未超过限制。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到云WAF控制台，在左侧导航栏选择“接入管理”，选择“独享型接入”页签。 5. 点击“添加防护对象”进入信息配置页，依次配置“防护对象”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。 配置项说明如下： 配置项 说明 选择实例 单击“选择实例”，在弹出的选择实例对话框中，找到目标实例，单击操作列的“选择”。 防护对象 填写防护网站的域名或IP。 域名：支持添加精确域名和泛域名。 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 IP：支持防护公网IP、私网IP。 当填写公网IP时，指客户端访问业务系统直接指向的弹性IP（该弹性IP可能绑定在防火墙或WAF上）。 当填写私网IP时（用于内网访问防护场景），填写内网客户端访问的内网IP（因内网访问情况下，WAF代理业务系统，此处需填写WAF代理业务系统的IP而非业务系统本身的IP，即WAF业务网卡的VIP，业务系统内网IP填写在回源IP处）。 说明 采用内部IP代理场景下，因直接通过IP访问，WAF监听对象为WAF本身的IP，为了区分不同的业务，后端多业务不能采用相同端口，例如后端两个不同的业务不能同时采用80端口，否则WAF无法判断业务需要回源到哪个端口，会导致防护无法生效；若内部WAF采用域名进行区分则可配置相同端口。 防护对象名称 自定义防护网站的显示名称。 服务器配置 单击“添加一个服务器端口组”，弹出新增服务器端口组窗口。 选择网站使用的协议类型以及对应的转发服务端口： 协议类型：HTTP/HTTPS。 端口：选中协议后，系统会对应设置默认端口，HTTP协议默认为80端口，HTTPS协议默认为443端口。 用户也可自定义选择其他端口，可选类型： 标准端口：80、8080；443、8443。 非标端口：除以上标准端口以外的端口。 说明 如果防护域名使用非标准端口，请查看WAF支持的端口。 WAF通过此处添加的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口，WAF不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。 源站地址：设置网站的源站服务器地址，支持IP地址格式和域名格式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下： IP地址格式：填写源站的私网IP地址。 最多支持添加40个源站IP或服务器域名。 支持同时配置IPv4和IPv6地址。 说明 如果此处配置私网IP，请确保WAF到源站的网络路径是可访问的，以便于WAF能够对流量进行监控。 域名格式：一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时， WAF会将客户端请求转发到回源域名解析出来的IP地址。 权重：当负载均衡算法为“加权轮询”时生效，所有请求将此处配置的权重轮流分配给源站服务器，权重越大，回源到该源站的几率越高。 不输入则视同为最低权重1。 当输入值为0时，业务不会回源到该站点。 取值范围：0~100的正整数。 说明 当健康检查发现站点出现问题时，剩余站点将按照剩余配置权重进行动态比例变化后的结果进行回源转发，节点回源请求比例节点权重/所有权重之和。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 若设置多个权重为0的节点，仅会回源至列表上第一个权重为0的节点。 所有站点全部健康检查失败，会强制回配置列表第一个节点。 证书配置 若选择HTTPS协议，还需要上传证书，且证书必须正确、有效，才能保证WAF正常防护网站的HTTPS协议访问请求。 1. 点击“上传证书”，进入服务器端证书配置页面。 2. 选择证书类型，支持“通用证书”和“国密证书”。 3. 配置证书。支持证书选择、手动填写、文件上传方式： 证书选择：如您使用了证书管理服务，可通过下拉框选择已有证书。 手动填写：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。 文件上传：填写证书名称，点击“上传”，将与域名关联的证书文件和私钥文件上传至平台中。 说明 手动填写需要将证书和私钥的PEM编码内容填入。 上传证书时，如果证书是.PEM/.CER/.CRT的后缀，可以直接上传；私钥文件若为.KEY/.PEM的后缀，请确保内容格式为PME编码，即可上传。 高级设置 > HTTP强制跳转 选择HTTPS后，还支持启用HTTP强制跳转功能。 HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求，默认跳转到443端口。 如果您需要强制客户端使用HTTPS请求访问网站以提高安全性，则开启该设置。 说明 只有在未选中HTTP协议时，支持开启该设置。 请确保网站支持HTTPS业务再开启该设置。开启该设置后，部分浏览器将被强制设置为使用HTTPS请求访问网站。 高级设置 > TLS协议版本和加密套件 选择证书后，需要配置TLS协议版本和加密套件。WAF默认配置的TLS协议版本为“TLS1.0及以上版本”，加密套件为“全部加密套件”。 TLS协议版本 配置说明如下，为了确保网站安全，请根据业务实际需求进行配置： 支持TLS1.0及以上版本：所有的TLS协议都可以访问网站，兼容性最高，适用于网站无安全性要求的场景。 支持TLS1.1及以上版本：WAF将自动拦截TLS1.0协议的访问请求，适用于网站安全性能要求一般的场景。 支持TLS1.2及以上版本：WAF将自动拦截TLS1.0和TLS1.1协议的访问请求，适用于网站安全性能要求很高的场景。 自定义加密协议：WAF只允许所选TLS协议访问网站。 加密套件 配置说明： 全部加密套件：兼容性较高，安全性较低。 协议版本的自定义加密套件：请谨慎选择，避免影响业务。 WAF支持的加密套件及TLS协议版本详细信息请参见WAF支持的加密套件。 高级设置 > SSL解析方式 选择HTTPS后，支持配置SSL解析方式。支持“单向认证”和“双向认证”。 说明 国密证书暂不支持双向认证。 健康检查 开启健康检查将自动移除对失效源站的转发策略，当失效源站恢复健康后将重新加入转发列表。 开启后，还需配置健康检查策略。 代理情况 选择网站业务在接入WAF前是否开启了其他代理服务（例如DDoS高防、CDN等），按实际情况选择： 否：表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。 是：表示WAF收到的业务请求来自其他代理服务转发，而非直接来自发起请求的客户端。 为了保证WAF可以获取真实的客户端IP进行安全分析，需要进一步设置“源IP获取方式”。 源IP获取方式：系统默认设置为“从Socket连接中获取”，您也可按实际情况，创建一个有序的判定列表，系统将从列表的第一项开始查找，若不存在或者是非法的IP格式，则尝试下一条。 其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则，可选项如下： 从Socket连接中获取 从XFowardedFor连接中获取倒数第x层代理 从HTTP头“XClientIP”中获取 负载均衡策略 当设置了多个源站服务器地址时，需设置多源站服务器间的负载均衡算法。可选项如下： 轮询：将所有请求轮流分配给不同的源站服务器。 IP Hash：将来自同一个IP的请求定向分配给同一个源站服务器。 加权轮询：根据同一组回源地址内配置的权重进行加权回源，权重越大，回源到该源站的几率越高。 设置生效后，WAF将根据设置的负载均衡算法向多个源站地址分发回源请求，实现负载均衡。 流量标记 开启流量标记功能，WAF在转发客户端请求到源站服务器时，通过在回源请求头部添加标记字段，标记该请求经过WAF转发，可以帮助源站判断请求来源。 如果请求中存在指定标记字段，则为WAF检测后的正常请求，放行该请求；如果请求中不存在指定标记字段，则为攻击者请求，拦截该请求。 单击“添加一个标记”，添加流量标记。最多支持添加5个标记字段。 支持如下标记类型： 自定义请求Header，配置自定义Header名、Header值。 客户端真实IP，配置客户端真实IP所在的HTTP Header名。 客户端真实源端口，配置客户端真实源端口所在的HTTP Header名。 注意 请勿填写标准的HTTP头部字段，否则会导致标准头部字段内容被自定义的字段值覆盖。 回源长连接 功能开启后，支持回源长连接功能，WAF独享版最大支持50000个回源长连接。 开启“回源长连接”后，还需配置“空闲连接超时时间”，默认值为10秒，最多支持60秒。 功能关闭后，将不支持WebSocket。 说明 当针对源站健康检查失败时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，直至该源站恢复健康。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。 超时配置 开启超时配置，可以配置如下超时时间： 连接超时时间：WAF转发客户端请求时，与源站建立连接的超时时间。 读连接超时时间：WAF等待源站响应的超时时间。 写连接超时时间：WAF向源站发送请求的超时时间。 以上默认值均为60秒，最短支持10秒，最长支持1200秒。 备注 防护对象的描述信息，可以自定义。 6. 配置完成后单击“保存”，返回独享型接入页面。该网站的WAF防护开关默认开启。

本章节主要介绍如何进行管理集群服务操作。 用户可以在翼MapReduce（简称：翼MR）： 启动集群服务 停止集群服务 滚动重启集群服务 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager操作界面，单击“集群服务”菜单。 5. 选择指定集群服务，单击集群服务ICON进入到集群服务的详情页面。 6. 点击操作按钮“运维操作”，单击“启动集群服务”、“停止集群服务”、“滚动重启集群服务”执行相应操作。集群服务之间存在依赖关系。对某集群服务执行启动、停止滚动重启操作时，与该集群服务存在依赖关系的服务将受到影响，具体影响如下： 1. 启动某集群服务，该集群服务依赖的下层集群服务需先启动，集群服务功能才可生效。 2. 停止某集群服务，依赖该集群服务的上层集群服务将无法提供功能。 3. 滚动重启某集群服务，依赖该集群服务且启动的上层集群服务需重启后才可生效。

本节介绍天翼云手机在网络流量方面的常见问题。 云手机网络连接失败怎么办？ (1) 请检查您的手机设备的网络是否正常 (2) 尝试重启云手机：请在“云手机管理”页面，点击“重启”按钮，重启完成后，再尝试连接。 如何查看网络状态？ 可以根据云手机悬浮球的颜色判断当前的网络状态： (1) 当时延在060ms时，悬浮球显示为绿色，代表网络流畅； (2) 当时延在61200ms时，悬浮球显示为黄色，使用可能会有卡顿出现； (3) 当时延在201ms以上时，悬浮球显示为红色，云手机卡顿严重，可能会出现无响应的情况，建议您检查本地手机的网络状况，或尝试退出后重新进入云手机。 在云手机内下载和看视频消耗自己手机流量吗？ 在云手机内下载和看视频消耗少量本地流量，仅消耗使用云手机客户端时图像、声音等数据传输所需的流量。

本文介绍创建告警规则的步骤。 云监控支持灵活的创建告警规则。您既可以根据实际需要对某个监控指标设置自定义告警规则，同时也能够使用告警模板为多个资源或者云服务批量创建告警规则。 说明 目前仅支持监控“一类节点”区域的实例。 云堡垒机（原生版）支持的区域请参见支持的区域。 操作步骤 1. 登录天翼云控制中心。 2. 在产品服务列表中“管理与部署 > 云监控服务”，进入云监控服务主页面。 3. 在左侧导航栏，选择“云服务监控”，单击“云堡垒机”产品。 4. 在云堡垒机监控列表中选择目标的实例，单击操作列的“创建告警规则”。 5. 在“创建告警规则”页面，根据界面提示配置参数。 配置参数及相关含义说明如下： 模块 参数 参数说明 配置示例 选择监控对象 规则类型 选择规则的类型，主要包括指标监控、事件监控、站点监控、自定义监控、自定义事件五种。 指标监控 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云堡垒机（原生版） 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 云堡垒机实例 选择监控对象 监控对象类型 具体实例/资源分组/全部资源 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 实例名称 定义告警策略 选择类型 支持自定义创建 、从模板导入。 自定义创建 定义告警策略 策略 支持选择满足全部 或任意策略。 策略信息包括： 监控指标，支持的监控指标请参见[实例支持的监控指标](/document/10261769/11086138

本节为您介绍云迁移服务工具中心。 云迁移服务CMS平台提供迁移管理工具中心功能，您可以根据任务需求，在左侧导航栏选择迁移管理点击【工具中心】按钮，跳转至 [ 工具中心 ] 界面，选择合适迁移工具。 工具中心提供服务器迁移服务（CMSSMS）、数据库迁移服务（CMSDMS）、数据迁移工具（CMSZMS）、服务器资源池间迁移工具（CMSCRS）及异构迁移工具异构迁移（ExaGear）、 异构迁移（DevKit），如图所示。

您可以使用HPFSNFS客户端进行挂载，本文帮助您快速上手文件系统挂载。 操作场景 当创建文件系统后，如您需要使用云主机或CPU物理机来挂载该文件系统，实现多个客户端共享访问的场景。 前提条件 在需要操作的地域已创建虚拟私有云VPC，具体操作步骤参见创建虚拟私有云VPC。 已创建该VPC下的弹性云主机，操作系统为Linux，具体操作步骤参见创建弹性云主机。 已创建并行文件的文件系统，具体操作步骤参见创建文件系统。 文件系统配置了协议服务功能，具体操作步骤参见创建协议服务。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算”>“弹性云主机”，进入弹性云主机控制台页面，找到即将执行挂载操作的云主机。 3. 以root用户登录该弹性云主机。 4. 执行以下命令查询该云主机是否安装NFS客户端，若没有返回安装结果，执行第5步进行安装。 plaintext rpm qa grep nfsutils 5. 安装NFS客户端。安装时注意不同操作系统执行命令不同。 CentOS系统，执行以下命令： plaintext yum y install nfsutils Ubuntu系统，执行以下命令： plaintext sudo aptget install nfscommon 6. 执行如下命令创建本地挂载路径，例如“/mnt/hpfs”。 plaintext mkdir /mnt/hpfs 7. 执行如下命令挂载文件系统。 plaintext mount t nfs o vers3,prototcp,async,nolock,noatime,nodiratime,noresvport,wsize1048576,rsize1048576,timeo600 挂载地址 本地挂载路径 注意 文件系统详情页>协议服务列表：查看VPC挂载地址或VPCE挂载地址，可根据您客户端组网方式选择，具体操作步骤参见：查询协议服务。 挂载命令参数说明： 参数 说明 vers 文件系统版本，可选3或4。建议取值：3。 proto 客户端向服务器发起传输请求使用的协议，可以为udp或者tcp，建议取值：tcp。 async sync为同步写入，表示将写入文件的数据立即写入服务端；async为异步写入，表示将数据先写入缓存，再写入服务端。同步写入要求NFS服务器必须将每个数据都刷入服务端后，才可以返回成功，时延较高。建议取值：async。 nolock 选择是否使用NLM协议在服务端锁文件。当选择nolock选项时，不使用NLM锁，锁请求仅在本机进行，仅对本机有效，其他客户端不受锁的影响。如果不存在多客户端同时修改同一文件的场景，建议取值nolock以获取更好的性能。如不加此参数，则默认为lock。 noatime 如果不需要记录文件的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。 nodiratime 如果不需要记录目录的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。 noresvport 网络故障时自动切换端口，保障网络连接。手动挂载和自动挂载时均建议加入此参数。 wsize 每次向服务器写入文件的最大字节数，实际数据小于或等于此值。wsize必须是1024倍数的正整数，小于1024时自动设为4096，大于1048576时自动设为1048576。默认时服务器和客户端进行协商后设置。建议取值：最大值1048576。 rsize 每次向服务器读取文件的最大字节数，实际数据小于或等于此值。rsize必须是1024倍数的正整数，小于1024时自动设为4096，大于1048576时自动设为1048576。默认时服务器和客户端进行协商后设置。建议取值：最大值1048576。 timeo NFS客户端重传请求前的等待时间(单位为0.1秒)。建议取值：600。 挂载地址 挂载地址在文件系统详情页获取，在文件系统详情页>协议服务列表，选择VPC挂载地址或VPCE挂载地址，点击复制即可。 本地挂载路径 本地挂载路径为云主机上用于挂载文件系统的本地路径，例如上一步创建的“/mnt/hpfs”。 8. 建议使用NFSv3协议挂载，如需使用NFSv4协议挂载，请在每个NFS客户端按以下步骤配置nfs4uniqueid。 plaintext

刷新本地组策略 1 关闭本地组策略编辑器对话框。 2 打开运行窗口，执行 gpupdate /force ，刷新本地策略。 3 应用发布服务器部署完成，需要测试功能请将此服务器添加到云堡垒机。 刷新本地组策略 安装RemoteApp程序 V3.3.26.0及以上版本需要在应用发布服务器中安装RemoteAppProxy跳板工具。 前提条件 已获取服务器管理员帐号与密码。 操作步骤 1 使用管理员帐号登录服务器。 2 在服务器中，下载RemoteaProxyInstallerxxx.zip（xxx为版本号）压缩包。 服务器需要有公网访问权限（绑定弹性EIP）。 3 在应用服务器中，将RemoteaProxyInstallerxxx.zip（xxx为版本号）压缩包进行解压。 4 双击“RemoteaProxyInstallerxxx.msi”（xxx为版本号）启动安装。 安装时请选择默认的安装路径。 5 安装完成后，单击“关闭”。

本节介绍服务器安全卫士（原生版）网页防篡改相关常见问题。 如何使用网页防篡改（原生版）？ 首先需要根据所需防护的服务器上的网站情况，订购网页防篡改（原生版）配额，每台服务器需订购1个配额。订购成功后，根据您的网站情况进行防护策略的配置，即可开启网页防篡改（原生版）防护服务。 如何绑定网页防篡改防护配额？ 1. 购买成功防护配额后，可在防护配额管理页面查看配额的使用状态、绑定服务器、开通时间、到期时间等信息。 2. 在防护管理页面对需要防护的服务器进行防护设置，在防护设置页面选择防护配额，即可进行绑定。详细操作请参见防护管理。 为什么要添加防护目录？ 通常攻击者对网站发起攻击都会恶意篡改网页目录中的文件，因此需要添加网站防护目录，网页防篡改（原生版）才能实时监控，发现篡改行为后可以立即告警并自动恢复。 设置防护目录操作步骤如下： 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“网页防篡改（原生版） > 防护管理”，进入防护管理页面。 3. 在列表中选择要进行防护设置的服务器，单击操作列的“防护设置”，进入防护设置页面。 4. 绑定防护配额：选择需要绑定的配额后，单击“配置防护策略”。 若已经绑定防护配额，可直接进入篡改防护设置页面。 5. 篡改防护设置：包括配置防护目录、设置特权进程、设置远端备份。 配置防护目录：防护目录分为添加白名单和添加黑名单两种模式，可根据实际使用场景进行配置。 白名单模式：会对添加的防护目录和文件类型进行保护。 黑名单模式：会防护目录下所有未排除的子目录、文件类型和指定文件。 其他配置 ：请参见防护管理。 完成防护设置后，用户即可对服务器开启网页防篡改防护。

函数计算与弹性云主机的应用场景对比 函数计算： 无服务器架构：函数计算抽象了底层基础设施，用户无需运维具体的服务器或操作系统，只需要编写代码，专注业务逻辑。 自动伸缩与负载均衡：函数计算平台会根据流量大小自动处理用户服务的弹性伸缩和负载均衡，确保高并发下的稳定性和可用性。 按需付费：用户只需为实际消耗的计算资源付费。 全面监控与日志：函数计算提供了强大的监控和日志功能，帮助用户快速定位问题。 弹性云主机： 高度可定制：弹性云主机提供了丰富的配置选项，允许用户根据需求定制操作系统、网络环境、安全策略等。 完全控制权：用户对弹性云主机拥有完全的控制权，可以自由安装软件、配置环境以及管理服务。 端到端解决方案：弹性云主机支持构建完整的软件栈解决方案，从前端Web服务器到后端数据库，用户可以一站式部署和管理。

本章节介绍当使用数据库服务器备份， 应用一致性Agent脚本无法下载或安装失败， 可能造成的原因和解决方案。 现象描述 系统提示无法下载脚本或使用Linux系统方式二安装Agent时失败。 可能原因 原因1：DNS无法正常解析OBS的域名。 原因2：目标云服务器openssl版本过低。 原因1解决方法 原因1：DNS无法正常解析安装域名。 需要手动修改DNS服务器IP地址，IP地址请从技术工程师处获取。若修改DNS后仍无法正常解析，请稍候重试或使用Linux系统方式一进行安装。 Linux 系统操作步骤 步骤1、以root用户登录云服务器。 步骤2、执行vi /etc/resolv.conf命令编辑“/etc/resolv.conf”文件。在已有的nameserver配置前写入DNS服务器的IP地址，如下图所示。 配置DNS 格式如下： nameserver DNS服务器IP地址 步骤3、单击“Esc”，并输入 :wq ，保存退出。 步骤4、执行以下命令，查看IP地址是否写入成功。完成修改DNS。 cat /etc/resolv.conf Windows 系统操作步骤 步骤1、进入弹性云服务器界面，登录已创建好的Windows 2012版本的弹性云服务器。 步骤2、单击左下角“这台电脑”，弹出“这台电脑”界面。 步骤3、右键单击“网络”，选择“属性”。弹出“网络和共享中心”，如下图所示。选择“本地连接”。 网络和共享中心 步骤4、在“活动”区域，选择“属性”。如下图所示。 本地连接活动 步骤5、弹出“本地连接属性”对话框，选择“Internet 协议版本 4 (TCP/IPv4)”，单击“属性”。如下图所示。 本地连接属性 步骤6、在弹出的“Internet 协议版本 4(TCP/IPv4)属性”对话框中，选择“使用下面的DNS服务器地址”，如图138所示，根据需要配置DNS。需要手动修改DNS服务器IP地址，IP地址请从技术工程师处获取。配置完成后，单击“确定”，完成配置。 配置DNS

物理机与弹性云主机的主要区别是什么？ 弹性云主机由多个租户共享物理资源，而物理机的资源归用户独享。对于关键类应用或性能要求较高的业务（如Oracle RAC、大数据集群、企业中间件系统），并且要求安全可靠的运行环境，使用物理机更合适。 物理机与物理服务器有什么区别？ 天翼云物理机，让物理服务器具有了自动发放、自动运维、VPC互联、支撑对接共享存储等云的能力。可以像虚拟机一样灵活的发放和使用，同时又具备了极致的计算、存储、网络能力。 “删除”按钮是什么意思？ “删除”是指删除已申请的物理机，删除时可以选择同时删除弹性IP及绑定的云硬盘。如果不选择，则会保留，您需要进行单独删除操作。

适用行业 全行业适用，尤其金融、医疗、政府、运营商等涉及民生行业。 推荐方案 云墙高可用部署，启用防病毒、入侵防御、流量管理、C&C拦截等功能模块。 IPV6网站改造应用场景 场景特点 用户在天翼云上网站对外提供IPV6业务，考虑到改造周期长、中间件多，链接复杂的情况，往往在改造完成后还有很多应用层外链应用无法正常显示在主页面中，造成“天窗问题”。 适用行业 全行业适用，尤其金融、医疗、政府、运营商等涉及民生行业。 推荐方案 云墙高可用部署，启用流量镜像、防病毒、入侵防御、C&C拦截等功能模块。 远程运维应用场景 场景特点 用户业务同时分布在本地物理环境和天翼云计算环境中，考虑到云网连接，远程运维及内网管理等场景，往往需要隧道技术完成数据加密通信，解决远程内网访问。 适用行业 全行业适用。

本节介绍服务器安全卫士（原生版）风险评估相关常见问题。 什么是基线扫描？ 病毒和黑客会利用服务器存在的安全配置缺陷入侵服务器盗取数据或是植入后门。基线扫描功能针对服务器操作系统、数据库、软件的配置进行安全检测，可以帮您加固系统安全，降低入侵风险并满足安全合规要求。 基线扫描功能通过配置不同的基线检查策略，可以帮助您快速对服务器进行批量扫描，发现包括系统、账号权限、数据库等存在的风险点，并提供修复建议。 基线扫描配置： 基线分类 检查标准及检查内容 覆盖的系统和服务 CIS基线 基于CIS标准的安全基线检查 Unix系统基线检测 Red Hat 6企业版基线检测 Red Hat 7企业版基线检测 Windows审计基线 Windows 10 企业版安全基线检测 Windows 2012 R2安全基线检测 Windows 2016安全基线检测 SQL Server 2012安全基线检测 MySQL 5.6 社区版基线检测 MySQL 5.6企业版基线检测 Apache HTTP Server 2.4基线检测 Web应用漏洞审计基线 如何对指定服务器下发基线检测任务？ 1. 进入服务器安全卫士（原生版）控制中心。 2. 在左侧导航栏，选择“风险管理 > 基线检测”，进入基线检测页面。 3. 单击“策略管理”，进入策略管理页面。 4. 在策略管理页面，单击“新建策略”，页面右侧弹出新建基线策略窗口。 5. 设置策略名称、检查时间、选择基线名称和服务器。 6. 设置完成后，单击“确认”。

本文为您介绍华为路由器如何在本地站点中加载VPN配置。 使用IPsec VPN建立站点到站点的连接时，在配置完天翼云VPN网关后，您还需在本地站点的网关设备中进行VPN配置。 前提条件 已经在天翼云VPC内创建了IPsec连接。 已经下载了IPsec连接的配置。 IPsec协议信息 配置 示例值 IKE 认证算法 SHA1 IKE 加密算法 AES128 IKE DH分组 Group5 IKE IKE版本 IKEv1 IKE 生命周期 86400 IKE 协商模式 main IKE PSK cthuawei IPsec 认证算法 SHA1 IPsec 加密算法 AES128 IPsec PFS DH group5 IPsec 生命周期 3600 网络配置信息 配置项 示例值 VPC 待和本地IDC互通的私网网段。 VPN网关 天翼云VPN网关的公网IP地址。 本地IDC 待和天翼云VPC互通的私网网段。 本地IDC 本地网关设备的公网IP地址。 操作步骤 1. 以命令行方式登录华为路由器命令行。 2. 配置IKE安全提议。 ike proposal 10 sa duration 86400 authenticationalgorithm sha1 encryptionalgorithm aes128 dh group5 authenticationmethod preshare 3. 配置IKE对等体、预共享密钥和对端ID等信息。 ike peer ctyun presharedkey simple cthuawei ikeproposal 10 localaddress 123...23 remoteaddress 121...152 exchangemode main 4. 配置ACL，定义要保护的数据流。 acl 3402 rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 rule 5 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 5. 配置IPsec安全提议。 ipsec proposal ctyun esp authenticationalgorithm sha1 esp encryptionalgorithm aes128 6. 配置IPsec安全策略。 ipsec policy ctyun 10 isakmp security acl 3402 ikepeer ctyun proposal ctyun 7. 在GigabitEthernet1/0/1接口上应用IPsec安全策略ctyun。 interface GigabitEthernet1/0/1 ipsec policy ctyun 8. 配置静态路由。 ip routestatic 192.168.3.0 255.255.255.0 123...1 9. 测试连通性。 您可以利用您的云主机和数据中心的主机进行连通性测试。

背景介绍 当您有大量需要访问公网的弹性云主机，您可以通过NAT网关的SNAT功能统一公网出口，同时避免云主机IP直接暴露在公网上。 准备工作 环境准备 已创建VPC，具体操作参见虚拟私有云－创建 VPC 、子网搭建私有网络。 该VPC下已创建１台不带弹性IP的弹性云主机。具体操作参见弹性云主机－创建弹性云主机。 操作步骤 步骤一：购买弹性IP 步骤二：购买NAT网关 步骤三：配置路由（仅部分资源池需要） 步骤四：配置SNAT规则 步骤五：测试连通性 步骤一：购买弹性IP 步骤说明 弹性IP主要用来绑定NAT网关的SNAT规则，以实现访问公网的功能。 操作步骤 1. 登录天翼云控制台，选择“网络>弹性IP”。 2. 进入弹性IP控制台，点击右上角“申请弹性IP”。 3. 按需求选择带宽规格，单击“下一步”。 4. 确定规格，选择我已阅读并同意相关协议，单击“确认下单”，完成弹性IP创建。 步骤二：购买NAT网关 步骤说明 购买公网NAT网关必须指定公网NAT网关所在VPC、子网。此处指定弹性云主机所在的VPC和子网。

首先确认云下一代防火墙所防护的业务是否正常，如果正常可以先排查一下云下一代防火墙管理EIP是否被解绑（解绑了会无法通过公网进行管理），是否调整了安全组限制了管理端口（安全组限制会导致公网机内网进行管理）。如果业务不正常，急需恢复业务，请将云主机的EIP从云下一代防火墙上解绑，绑至对应业务云主机上，让VPC南北向流量绕过云下一代防火墙，进行业务的恢复（如果此时业务云主机修改了网关为云下一代防火墙的地址，那么请修改VPC内所有业务云主机的网关为默认网关，网关还请参照虚拟私有云（VPC）内的子网信息）。 其次，天翼云控制台云主机列表找到云下一代防火墙主机，进行远程登录，看是否能打开正常运行，查看配置是否正常。 最后，如果依旧存在问题，请联系客服。

资产清点是否调用系统命令？ Agent不会去调用系统命令，而是执行Server端下发的lua脚本。 业务不在天翼云上，是否可以使用服务器安全卫士？ 因为服务器安全卫士只是部署在天翼云，不分资源池，所以任何只要能连通服务器安全卫士的服务端的域名和端口的主机和虚拟机都可以使用服务器安全卫士。 购买什么版本的服务器安全卫士能够满足等保二级的整改要求？ 您需要购买企业版或旗舰版才能满足等保二级及以上的认证，基础版的功能无法满足整改要求。 Agent是否和其他安全软件有冲突？ 因为不同安全软件在保护计算机系统和数据方面采用不同的方法和技术。且安全软件的权限都会比较高，在某些情况下可能会与其他安全软件如火绒、360等产生冲突。如果使用多种安全软件，确保它们互不干扰，例如在一个软件完成扫描后再使用另一个软件进行监测。 服务器安全卫士到期后不续费，对主机和业务有影响吗？ 因为服务器安全卫士部署只是在主机上安装一个Agent程序用来收集数据上传到服务端，不续费只是会让Agent失效，不会对主机和业务有影响，只是服务器安全卫士的防护会失效。 退订重购服务器安全卫士后，是否需要重新安装Agent与配置主机防护信息？ 退订重购服务器安全卫士后，因为控制台ID已改变，所以需要重新安装Agent，服务器安全卫士的配置都是默认配置好的，所以不需要再对主机防护信息进行配置。

规格名称 vCPU 内存(GiB) 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 辅助网卡个数上限 云硬盘基础带宽（Gbps） 云硬盘最大IOPS（万） 虚拟化类型 s7.large.2 2 4 1.5/0.2 15 30 1 2 8 0.4 0.8 KVM s7.xlarge.2 4 8 2/0.35 25 30 1 2 16 0.8 1.6 KVM s7.2xlarge.2 8 16 3/0.75 50 30 2 2 32 0.8 1.6 KVM s7.large.4 2 8 1.5/0.2 15 30 1 2 8 0.4 0.8 KVM s7.xlarge.4 4 16 2/0.35 25 30 1 2 16 0.8 1.6 KVM s7.2xlarge.4 8 32 3/0.75 50 30 2 2 32 0.8 1.6 KVM

特性 对比 云服务日志采集 ELK：使用logstash或者filebeat等开源采集器采集日志。 云日志服务：使用采集器采集日志，提供采集配置向导页面，上手难度低。 多语言SDK日志采集 ELK：不支持。 云日志服务：提供多语言SDK直接上报日志到云日志服务。 日志结构化解析 ELK：基于采集器实现自定义日志结构化解析。 云日志服务：提供结构化解析能力，支持正则表达式、JSON、分隔符多种方式解析日志。 SQL函数 ELK：只支持最基础的SQL统计函数。 云日志服务：除了基础的SQL函数基础，还提供了大量的扩展函数，例如聚合函数、字符串函数、日期和时间函数等，极大扩展了使用场景。 可视化图表 云日志服务提供了表格、时序图、饼图、柱状图、流图、数值图等多种可视化图表。 日志告警 ELK：没有日志告警功能。 云日志服务：开箱即用的日志告警功能，可提供准实时的日志关键词告警功能。支持多种告警渠道。 日志转储 ELK：无法直接转储对象存储。 云日志服务：通过控制台的简单配置可以将日志转储到天翼云对象存储。 日志加工 ELK：没有日志加工功能。 云日志服务：提供可扩展、高可用的数据加工服务，支持数据规整、脱敏、过滤等加工。

本文向您介绍镜像如何部署Windows环境。 简介 本节介绍如何使用天翼云镜像，通过重装系统部署Windows环境。如果您已经购买了弹性云主机，想切换成Windows系统，或者想使用镜像重新部署已经预装了其它软件的环境，可以参考本文档的介绍和操作指导。 重装系统的约束与限制可以参见重装操作系统。 操作步骤 1. 登录天翼云控制台。 2. 选择“计算>弹性云主机”。 3. 选中指定的云主机，将云主机进行关机操作。 如果云主机已经处于关机状态，则可以直接执行重装系统操作。重装系统后，系统盘数据将会丢失，如果想要保留某些数据，可以先进行备份。 4. 选择云主机列表操作栏中的“更多”选项，选择“一键重装”。 5. 如果需要批量云主机重装系统，勾选多个云主机实例，选择云主机列表上方的“更多”选项，选择“一键重装”。 6. 仔细阅读一键重装页面的提示信息，选择需要的Windows镜像。镜像可以选择公共镜像、私有镜像、共享镜像、安全产品镜像。 7. 设置密码和用户数据。密码为必填项，用户数据可以暂不配置。点击“确定”按钮，即可进行重装系统的操作。 8. 可以在云主机列表看到重装云主机的状态。 9. 重装完成后，云主机的状态会恢复成“关机”，此时云主机可以正常使用。

混合云一体机（以下简称一体机）是天翼云基于多年研发积累和大规模业务实践验证，结合对市场用户云业务需求深入洞察，推出的软硬一体产品。其中硬件部分采用通用x86或国产服务器，软件集成天翼云平台，提供计算、存储、网络、监控、管理等全栈云服务，帮助企业从零构建云底座。 一体机是标准化交付产品，到货后110个工作日即可完成交付，无需经过冗长的项目沟通及采购流程。同时用户可自行指定一体机部署位置，安全可控，满足低延时、低成本的需求，非常适合承载边缘、灵活上云需求。

本章介绍购买企业主机安全版本没生效的原因。 购买了主机安全版本后您还需要做以下操作才可为目标主机开启防护： 1、安装Agent：为目标主机安装Agent，安装后可实现HSS对数据的监测以及告警的上报，若已安装可忽略此步骤。 2、绑定配额：将购买的版本配额绑定至需要防护的服务器，绑定后目标服务器才会开启对应版本支持的防护能力。 开启防护后建议开启告警通知确保在发现告警的第一时间收到通知，同时对服务器进行安全配置，进一步提升服务器的安全性。

本小节介绍安全专区云堡垒机映射端口策略配置。 如需要从互联网访问云堡垒机，需在云防火墙设置服务器映射策略，操作请参考服务器映射。 策略配置如下： 1.使用“系统管理员”的账户登录安全专区，访问云防火墙组件管理。 2.进入【策略】→【地址转换】→【新增】→【服务器映射】，为云堡垒机添加端口服务映射，需要添加两个云堡垒机的映射策略，包括“堡垒机管理端口服务映射”和“堡垒机运维单点登录映射端口”： 3.添加“堡垒机管理端口服务映射”。 原始数据包 源区域：选择“L3untrustA”； 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）； 协议&端口：互联网访问的协议及端口。 转换后数据包 内网地址：指定IP； 指定IP：云堡垒机IP地址； 端口转换为：443端口。 4. 添加“堡垒机运维单点登录映射端口”： 原始数据包 源区域：选择“L3untrustA”； 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）； 协议&端口：9443，12024，12025端口。 转换后数据包 网络对象：指定IP地址； 指定IP：云堡垒机IP地址。

背景知识 当云服务器绑定多张网卡时，由于默认路由会优先从主网卡出，导致主网卡默认可以和外部正常通信，扩展网卡只能与本子网网段互通，无法与其他网段正常通信；在这种情况下需要在云服务器操作系统内部为这些网卡配置策略路由，以便多张网卡均可与外部正常通信。 应用场景 客户弹性云主机1有两张网卡，主网卡需要访问弹性云主机2，且弹性云主机2的响应正常回到主网卡；同样辅助网也也需访问弹性云主机2，且要求其响应报文正常回到辅助网卡。 操作指导 注意 以下操作步骤，以linux操作系统为例； 以下配置不会在云服务器上永久保存，重启网络服务后会被恢复，如需配置永久路由，请根据各自操作系统选用合适的方式，如 linux操作系统，可使用systemdnetworkd。 操作步骤(Linux IPv4) 1. 收集配置策略路由需要的云服务器网卡地址等信息（主网卡IP、辅助网卡IP） 2. 确保云服务器已正常获取到IPv4地址。 执行以下命令，查看云服务器网卡名称。 回显类似如下信息，通过网卡地址查找对应的网卡名称，本示例中 192.168.0.7为主网卡地址，对应的名称为eth0。 192.168.1.4为扩展网卡地址，对应的名称为eth1。 3. 操作前检查和网关通信情况（其中一个网卡可以和网关通信另外一个网卡默认不通） ping I 192.168.0.7 192.168.2.3 ping I 192.168.1.4 192.168.2.3 4. 查看路由默认状态主网卡的默认路由优先级更高，策略路由为默认 ip route ip rule 5. 执行命令添加主备网卡的路由 主网卡 ip route add default via 子网网关 dev 网卡名称 table 路由表名称 ip route add 子网网段 dev 网卡名称 table 路由表名称 ip rule add from 网卡地址 table 路由表名称 扩展网卡 ip route add default via 子网网关 dev 网卡名称 table 路由表名称 ip route add 子网网段 dev 网卡名称 table 路由表名称 ip rule add from 网卡地址 table 路由表名称 参数说明如下：网卡名称：填写ifconfig中所查名称。 路由表名称：自定义路由表名称，此处请使用数字命名路由表。 命令示例 主网卡 ip route add default via 192.168.0.1 dev eth0 table 10 ip route add 192.168.0.0/24 dev eth0 table 10 ip rule add from 192.168.0.7 table 10 扩展网卡 ip route add default via 192.168.1.1 dev eth1 table 20 ip route add 192.168.1.0/24 dev eth1 table 20 ip rule add from 192.168.1.4 table 20 查询策略路由是否添加成功 ip rule ip route show table 10 ip route show table 20 6. ping验证，eth0 eth1与目的地址都可以互通 ping I 192.168.0.7 192.168.2.3 ping I 192.168.1.4 192.168.2.3

搭配使用 云专线、VPN连接。

本页介绍天翼云TeleDB数据库如何进行参数设置。 操作场景 在线修改数据库参数，用于数据库的参数调优。数据库有多个节点时，会同步参数设置到所有节点上。 操作步骤 1. 登录TelePG控制台。 2. 在左侧导航树上单击实例列表 ，进入实例列表页面。 3. 将当前实例切换至目标实例，选择参数设置 页签，在参数设置页面可以查看参数信息。 4. 在参数设置页面，修改需要变更的参数值。 5. 修改完成后，单击预览 查看本次修改的值，确认无误后，单击保存 ，提示是否更新参数。 6. 单击确定 ，保存本次修改。 7. 单击查看历史修改记录，可查看参数修改记录是否生效。 注意 部分参数需要重启实例才能生效。

本文帮助您快速熟悉如何查看子网的子网网段、状态、DNS服务器等信息。 操作场景 当您查看子网的相关联的ACL、主机、虚拟IP、路由等信息时，可以进行通过以下操作进行查看。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成子网的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 单击“子网”，进入子网列表页面。 5. 单击目标子网的子网名称，进入子网详情页。在详情页，可查看该子网的子网网段、状态、DNS服务器等信息。

本节主要介绍产品价格 按照实例规格分为3种不同规格实例，支持按需付费和按周期付费。 收费标准（根据天翼云价格调整策略，2021年6月1日零点采用新的资费标准） 包年预付费优惠政策：一年85折，2年7折，3年享受5折优惠。 分布式关系型数据库价格 实例规格名称 CPU（核） 内存（GB） 标准资费（元/小时） 标准资费（元/月） DRDS.c6.2xlarge.2 8 16 3.79 1820 DRDS.c6.4xlarge.2 16 32 7.5 3600 DRDS.c6.8xlarge.2 32 64 15 7200 分布式关系型数据库鲲鹏规格 CPU 内存 标准资费（元/小时） 标准资费（元/月） :::: 8 16GB 2.96 1420 16 32GB 5.75 2760 32 64GB 11.5 5520 计费项 说明 分布式关系型数据库计费项由实例规格组成，实例规格包含VCPU、内存，DRDS本身不存储数据，数据存储于后端挂载的RDS中。 计费项由实例规格组成，实例规格包含VCPU、内存。

本节主要介绍CCE集群的网络地址段规划实践。 在CCE中创建集群时，您需要根据具体的业务需求规划VPC的数量、子网的数量、容器网段划分和服务网段连通方式。 本文将介绍VPC环境下CCE集群里各种地址的作用，以及地址段该如何规划。 约束与限制 通过搭建VPN方式访问CCE集群，需要注意VPN网络和集群所在的VPC网段、容器使用网段不能冲突。 集群各网段基本概念 VPC网段/子网网段 虚拟私有云（Virtual Private Cloud，简称VPC）是您在天翼云上申请的为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境。您可以自由配置VPC内的IP地址段、子网、安全组等子服务，也可以申请弹性带宽和弹性公网IP搭建业务系统。 子网是用来管理弹性云服务器网络平面的一个网络，可以提供IP地址管理、DNS服务，子网内的弹性云服务器IP地址都属于该子网。 默认情况下，同一个VPC的所有子网内的弹性云服务器均可以进行通信，不同VPC的弹性云服务器不能进行通信。不同VPC的弹性云服务器可通过创建对等连接通信。 在CCE中创建集群时，需要选择VPC和子网，集群的控制节点（k8s控制面）将在所选择的子网中创建。 容器网段（pod网段） Pod是Kubernetes内的概念，每个Pod具有一个IP地址。 在CCE中创建集群时，可以指定Pod的地址段（即容器网段），容器网段不能和子网网段重叠。例如子网网段用的是 192.168.0.0/16，集群的容器网段就不能使用192.168.0.0/18，192.168.1.0/18等，因为这些地址都涵盖在 192.168.0.0/16 里了。

同步AD域用户 云堡垒机通过配置AD认证“同步模式”，可一键同步AD域服务器上已有用户信息，无须手动创建用户。在用户帐号登录系统时，由AD域服务器提供身份认证服务。 1. 登录云堡垒机系统。 2. 选择“系统 > 系统配置 > 认证配置”，进入远程认证配置管理页面。 3. 单击“AD认证配置”区域的“添加”，弹出AD认证配置窗口。 4. 选择AD域认证“模式”为“同步模式”，展开同步模式参数配置信息。 AD域同步用户参数说明 参数 说明 :: 服务器地址 输入AD域服务器地址。 状态 选择开启或关闭AD域远程认证，默认开启。 开启，表示开启AD域认证。在配置信息有效情况下，登录系统时启动AD域认证，或同步AD域用户。 关闭，表示关闭AD域认证。 SSL 选择开启或关闭SSL加密认证，默认关闭。 关闭，表示禁用SSL加密认证。 开启，表示启用SSL加密认证，将加密同步用户或认证用户所传输的数据。 模式 选择“同步模式”。 端口 AD域远程服务器的接入端口，默认389端口。 登录名 输入AD域服务器的帐户的登录名。 密码 输入AD域服务器的帐户的密码。 域 输入AD域的域名。 Base DN 输入AD域远程服务器上的基准DN。 部门过滤 输入AD域远程服务器上待过滤的部门。 用户过滤 输入AD域远程服务器上待过滤的用户。 登录名过滤 输入待过滤的用户登录名，过滤多个登录名用“ 姓名 输入AD域远程服务器上代表用户姓名的属性名，例如name。 邮箱 输入AD域远程服务器上代表用户邮箱的属性名，例如mail。 手机 输入AD域远程服务器上代表用户手机的属性名，例如mobile。 同步方式 选择同步AD域用户的方式，包括“手动同步”和“自动同步”。 手动同步：信息配置完成后，手动执行用户同步操作。 自动同步：信息配置完成后，按照配置自动执行用户同步。需同时配置“同步时间”、“同步周期”、“结束时间”。 目标部门 选择将用户帐号的所归属的系统部门。 更多 勾选“覆盖已有用户”。 勾选，表示覆盖同“登录名”的用户帐号，刷新用户信息。 不勾选，表示跳过同“登录名”的用户帐号。 5. （可选）如需选择同步AD域服务器中的用户，单击“下一步”，获取AD域服务器用户源部门结构。 默认开启“同步全部用户”。 勾选用户源上级部门，即该部门下级部门所有用户都将纳入导入源范畴。 开启“创建新部门”，根据AD域的部门结构，同步新建系统部门并同步部门中用户。 6. 单击“确认”，返回AD域认证服务器表中，即可查看和管理的AD认证配置信息。 7. 单击“立即同步”，立即启动同步AD域用户到云堡垒机，返回用户列表，即可查看同步的用户信息。