本节主要介绍云数据库GeminiDB的权限管理。 如果您需要对购买的云数据库 GeminiDB资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并授权控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有云数据库 GeminiDB的使用权限，但是不希望他们拥有删除云数据库 GeminiDB等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云数据库 GeminiDB，但是不允许删除云数据库 GeminiDB的权限策略，控制他们对云数据库 GeminiDB资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云数据库 GeminiDB服务的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 关于IAM的详细介绍，请参见《IAM产品介绍》。 云数据库 GeminiDB权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云数据库 GeminiDB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如广州4）对应的项目（cngdgz1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问云数据库 GeminiDB时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 如表1所示，包括了云数据库 GeminiDB的所有系统权限。 表1 云数据库 GeminiDB系统权限 策略名称/系统角色 描述 类别 依赖关系 GeminiDB FullAccess 云数据库 GeminiDB服务所有权限。 系统策略 创建包周期实例需要配置CBC权限： bss:balance:view bss:balance:update bss:order:view bss:order:pay bss:order:update bss:renewal:view bss:renewal:update 退订包周期实例需要配置CBC权限： bss:unsubscribe:update GeminiDB ReadOnlyAccess 云数据库 GeminiDB服务只读权限。 系统策略 无 表2列出了云数据库 GeminiDB常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 GeminiDB FullAccess GeminiDB ReadOnlyAccess 创建实例 √ x 查询实例列表 √ √ 查询实例详情 √ √ 查询任务列表 √ √ 删除实例 √ x 重启实例 √ x 重置密码 √ x 变更实例安全组 √ x 修改数据库端口 √ x 绑定/解绑公网IP √ x 磁盘扩容 √ x 规格变更 √ x 节点扩容 √ x 节点缩容 √ x 修改备份策略 √ x 重命名实例 √ x 创建手动备份 √ x 查询备份列表 √ √ 恢复到新实例 √ x 删除备份 √ x 创建参数模板 √ x 查询参数模板列表 √ √ 修改参数模板 √ x 删除参数模板 √ x 查询企业项目配额管理列表 √ √ 修改企业项目配额 √ x 切换SSL开关 √ x 停止备份 √ x 表3列出了云数据库 GeminiDB常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表3 常用操作与对应的授权项 操作 授权项 授权范围 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建页需要查询对应的VPC、子网、安全组。 创建实例 nosql:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询实例详情 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 查询任务列表 nosql:task:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例 nosql:instance:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例需要同时删除数据侧IP地址。 重启实例 nosql:instance:restart 支持： IAM项目(Project) 企业项目(Enterprise Project) 重置密码 nosql:instance:modifyPasswd 支持： IAM项目(Project) 企业项目(Enterprise Project) 变更实例安全组 nosql:instance:modifySecurityGroup 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改数据库端口 nosql:instance:modifyPort 支持： IAM项目(Project) 企业项目(Enterprise Project) 绑定公网IP nosql:instance:bindPublicIp 支持： IAM项目(Project) 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 解绑公网IP nosql:instance:unbindPublicIp 支持： IAM项目(Project) 不支持企业项目 不支持细粒度 磁盘扩容 nosql:instance:modifyStorageSize 支持： IAM项目(Project) 企业项目(Enterprise Project) 规格变更 nosql:instance:modifySpecification 支持： IAM项目(Project) 企业项目(Enterprise Project) 节点扩容 nosql:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 节点缩容 nosql:instance:reduceNode 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除集群节点。 修改备份策略 nosql:instance:modifyBackupPolicy 支持： IAM项目(Project) 企业项目(Enterprise Project) 重命名实例 nosql:instance:rename 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建手动备份 nosql:backup:create 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询备份列表 nosql:backup:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 下载备份文件 nosql:backup:download 支持： IAM项目(Project) 企业项目(Enterprise Project) 恢复到新实例 nosql:backup:restoreToNewInstance vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 加密实例需要在项目上配置KMS Administrator权限。 备份恢复到已有实例 nosql:backup:restoreToExistInstance 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除备份 nosql:backup:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建参数模板 nosql:param:create 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询参数模板列表 nosql:param:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改参数模板中的参数值 nosql:param:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) 变更实例下节点的参数配置 nosql:instance:modifyParameter 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除参数模板 nosql:param:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 标签操作 nosql:instance:tag tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 标签列表 nosql:tag:list tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询企业项目配额管理列表 nosql:quota:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改企业项目配额 nosql:quota:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换审计日志开关 nosql:instance:switchAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 下载审计日志 nosql:instance:downloadAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除审计日志 nosql:instance:deleteAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 更新慢日志明文开关 nosql:instance:modifySlowLogPlaintextSwitch 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换SSL开关 nosql:instance:switchSSL 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改内网IP nosql:instance:modifyPrivateIp 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换主备节点 nosql:instance:switchover 支持： IAM项目(Project) 企业项目(Enterprise Project) 数据库补丁升级 nosql:instance:upgradeDatabaseVersion 支持： IAM项目(Project) 企业项目(Enterprise Project) 停止备份 nosql:backup:stop 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询日志配置组 lts:groups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询日志配置流 lts:topics:get 支持： IAM项目(Project) 企业项目(Enterprise Project)

本文介绍了RDSPostgreSQL的实例存储类型详细说明。 数据库是应用系统最为重要基础组件，需频繁进行磁盘读写操作，对存储IO性能要求较高，天翼云提供多种类型的存储IO以满足不同性能要求，您可根据需要选择所需的存储类型。RDSPostgreSQL暂时不支持创建实例后变更存储类型。 存储类型说明 RDSPostgreSQL普通IO、高IO、通用型SSD、超高IO、极速型SSD、XSSD系列（XSSD0、XSSD1、XSSD2）六种存储类型，均为云盘存储，支持弹性扩容，可以满足不同的业务场景，具体如下： 普通IO：适用于数据量不大、查询和更新频率不高的个人测试、学习等场景。 高IO：适用于主流的高性能、高可靠应用场景，例如大型开发测试、Web服务器日志以及企业应用。典型的企业应用有SAP、Microsoft Exchange和Microsoft SharePoint等。 通用型SSD：适用于高吞吐量，低时延的企业级办公场景。 超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景，例如要求高性能计算的关系型数据库。 极速型SSD：适用于需要极低的延迟和高的I/O性能的应用场景，大型OLTP（Online Transaction Processing）数据库等。 XSSD系列（XSSD0、XSSD1、XSSD2）：天翼云X系列云硬盘基于NVMe和RDMA技术，为您提供超高IOPS、超高吞吐量和超低时延的极致云硬盘。关于XSSD系列的性能介绍可参考X系列云硬盘。 注意 XSSD系列仅8代机支持选择该磁盘类型，同时仅部分资源池支持XSSD系列磁盘，后续会逐步加载其他资源池，请以实际订购界面展示为准。 云硬盘规格详情，请您参考云硬盘产品介绍产品规格磁盘类型及性能介绍。

迁移源端云主机下载、安装并启动迁移agent 1. 打开“CMSSMS”控制台，点击“迁移agent”，浏览迁移前检查项，并认真核对。 2. 下载迁移agent程序。 服务器迁移服务支持Linux和Windows两种操作系统的同构迁移。根据云主机的操作系统和处理器架构选择对应的迁移agent安装程序，复制对应的下载指令并在源机上运行。 本次实践选择Linux操作系统X86版本的迁移agent安装程序。 执行指令，下载agent安装程序： sudo wget 3. 安装迁移agent。 回到天翼云“迁移agent”界面，复制安装指令： 在迁移源机上执行安装指令： agent：sudo chmod +x moveCloudx.x.xx8664linux.run && sudo ./moveCloudx.x.xx8664linux.run 4. 安装过程输入AK和SK。 回到天翼云“迁移agent”界面，可复制AK和SK： 在迁移源机上输入对应的AK和SK： 5. 启动迁移agent程序。 在迁移源机启动迁移agent程序： movecloud start

迁移源端云主机下载、安装并启动迁移agent 1. 打开“CMSSMS”控制台，点击“迁移agent”，浏览迁移前检查项，并认真核对。 2. 下载迁移agent程序。 服务器迁移服务支持Linux和Windows两种操作系统的同构迁移。根据云主机的操作系统和处理器架构选择对应的迁移agent安装程序，复制对应的下载指令并在源机上运行。 本次实践选择Linux操作系统X86版本的迁移agent安装程序。 执行指令，下载agent安装程序： sudo wget 3. 安装迁移agent。 回到天翼云“迁移agent”界面，复制安装指令： 在迁移源机上执行安装指令： agent：sudo chmod +x moveCloudx.x.xx8664linux.run && sudo ./moveCloudx.x.xx8664linux.run 4. 安装过程输入AK和SK。 回到天翼云“迁移agent”界面，可复制AK和SK： 在迁移源机上输入对应的AK和SK： 5. 启动迁移agent程序。 在迁移源机启动迁移agent程序： movecloud start

本文介绍边缘安全加速平台安全与加速服务不同套餐版本适用的业务规模、支持的功能情况。 套餐和版本概述 天翼云边缘安全加速平台安全与加速服务支持包年包月计费模式。本文介绍不同套餐版本适用的业务规模、支持的功能情况。 边缘安全加速平台安全与加速服务的套餐版本分为：免费版（停止新购）、基础版、高级版、企业版、旗舰版、定制版。 适用的业务规模 下表描述了不同版本适用的业务规模。一般情况下，对于中型规模的企业网站，推荐您选择企业版或者旗舰版。 注意 基础版、高级版、企业版、旗舰版支持动态加速能力，按动态请求数计费。抵扣顺序：套餐内请求数预付费请求数包（如开通）动态请求数按需（如开通）。 如果您有特殊需求，可以订购定制版，定制版暂时不支持官网开通，如果有需要，可以通过提交工单联系我们。 以下介绍基于加速区域为中国内地，其他加速区域的套餐价格和套餐内流量/带宽不同，详情请参见安全与加速套餐资费。 免费版订购规则调整：自 2026年4月10日起，将停止免费版的新购；自 2026年5月09日起，将停止免费版的续订、升级。 业务规格 免费版（停止新购） 基础版 高级版 企业版 旗舰版 价格（元/月） 0 1800 3800 9800 83660 适用场景 适用于小型网站、个人网站，有加速和流量安全检测需求。 适用于小型网站有加速和流量安全防护需求。 适用于中小型网站的加速与标准防护。 适用于中型企业级网站或服务对互联网公众开放，对访问时延并且有较高标准的安全需求。 适用于中大型企业网站，具备较大的业务规模，或是具有特殊定制的安全需求。 流量/带宽 新品大促期间首次订购前3个月500（GB/月），之后10（GB/月） 3TB/50Mbps 5TB/100Mbps 9TB/300Mbps 15TB/1Gbps 动态请求数 0 2000万次 5000万次 10000万次 20000万次 支持主域名个数 1 1 1 2 3 支持总域名个数（包括主域名和其下的子域名） 1 不限 不限 不限 不限

云数据库ClickHouse可提供包年/包月的计费方式 说明：本章会介绍云数据库ClickHouse包年包月的收费模式 1、收费方式 （1）预付费方式：用户需先登录天翼云用户中心进行充值，系统会根据用户选购的实际资源对用户云账户中的金额进行扣除。 （2）计费周期：按月计费，以自然月为计费单位。 2、升级规则 数据库升级时间不满整月的，升级后配置按当月实际发生天数计费。 3、续订规则 续订数据库，续费按原订购模式按月方式进行续费。 4、退订规则 退订云数据库，不满整月的按当月实际发生天数收费费用。 退订云数据库后实例会进入冻结状态，冻结周期为15天，冻结期过后如不续费会删除实例。 5、提醒/通知规则 （1）到期通知：服务到期前7天、3天邮件通知，到期前1天、当天邮件通知和短信提醒。 （2）超期通知：服务超期1天邮件通知，超期3天、7天邮件通知和短信提醒。

特性 说明 相关操作 使用云主机创建系统盘镜像 创建云主机实例后，您可以根据业务需求自定义实例（例如：安装软件、部署应用环境）， 并使用更新后的云主机创建系统盘镜像。 通过该镜像创建的新实例，会包含您已配置的自定义项，节省您重复配置的时间。 使用外部镜像文件创建系统盘镜像（也称导入镜像） 可以将您本地或者其他云平台的云主机系统盘镜像文件导入至天翼云镜像服务中。 导入后，可使用该镜像创建新的弹性云主机，或对已有实例的系统进行重装或更换。 使用ISO文件创建系统盘镜像 相比其他格式的外部镜像文件，ISO文件无法直接使用， 需要利用一些工具进行解压后才能使用。 创建流程较为复杂，详见“相关操作”。 使用外部镜像文件创建数据盘镜像 可以将您本地或者其他云平台的服务器数据盘镜像文件导入至天翼云镜像服务中。 导入后，可使用该镜像创建新的云硬盘。 使用云主机、云主机备份，或者云服务备份创建整机镜像 将云主机及其上挂载的数据盘一起创建整机镜像，此镜像包含操作系统、应用软件， 以及用户的业务数据，可用于快速发放相同配置的云主机，实现数据搬迁。 支持使用云主机、云主机备份、云服务备份三种整机镜像创建方式。 通过私有镜像创建云主机 系统盘镜像或者整机镜像创建成功后，在该镜像所在行单击“申请主机”即可创建新的云主机。

步骤一：创建云上VPC资源 1. 创建VPC，具体操作步骤参见创建虚拟私有云VPC 2. 创建子网，具体操作步骤参见 创建子网 3. 购买云主机，具体操作步骤参见 创建弹性云主机 4. 购买弹性负载均衡，具体操作步骤参见 创建独享型负载均衡器。 步骤二：配置弹性负载均衡 1. 配置监听器：创建UDP监听器，具体操作步骤参见 添加UDP监听器。 2. 配置后端服务器组：添加ECS3和ECS4为后端服务器，端口设置为4789，具体操作步骤参见 添加或移除后端云主机（独享型）。 步骤 三 ：创建筛选条件及筛选规则 1. 登录天翼云控制台，在控制中心页面左上角选择区域，本文我们选择华东华东1。 2. 进入 网络 > 虚拟私有云 > 流量镜像 > 筛选条件。 3. 在筛选条件页面，点击“创建筛选条件”，填写名称（Mirror1）及描述。 4. 进入筛选条件的详情页，分别添加出、入方向规则。 具体参数配置信息如下表： 参数 说明 取值样例 IP版本 IPv4、IPv6 IPv4 协议 TCP，UDP，ICMP，ALL ALL 源网段 需采集报文的源IP地址范围 10.1.1.3/32 目的网段 需采集报文的目的IP地址范围 10.1.1.4/32 源端口 端口范围为1~65535，设置格式示例为”20/30“、”80/80“，”“表示不限制端口 目的端口 口范围为1~65535，设置格式示例为”20/30“、”80/80“，”“表示不限制端口 策略 采集、不采集 采集

步骤一：创建云上VPC资源 1. 创建VPC，具体操作步骤参见创建虚拟私有云VPC 2. 创建子网，具体操作步骤参见 创建子网 3. 购买云主机，具体操作步骤参见 创建弹性云主机 4. 购买弹性负载均衡，具体操作步骤参见 创建独享型负载均衡器。 步骤二：配置弹性负载均衡 1. 配置监听器：创建UDP监听器，具体操作步骤参见 添加UDP监听器。 2. 配置后端服务器组：添加ECS3和ECS4为后端服务器，端口设置为4789，具体操作步骤参见 添加或移除后端云主机（独享型）。 步骤 三 ：创建筛选条件及筛选规则 1. 登录天翼云控制台，在控制中心页面左上角选择区域，本文我们选择华东华东1。 2. 进入 网络 > 虚拟私有云 > 流量镜像 > 筛选条件。 3. 在筛选条件页面，点击“创建筛选条件”，填写名称（Mirror1）及描述。 4. 进入筛选条件的详情页，分别添加出、入方向规则。 具体参数配置信息如下表： 参数 说明 取值样例 IP版本 IPv4、IPv6 IPv4 协议 TCP，UDP，ICMP，ALL ALL 源网段 需采集报文的源IP地址范围 10.1.1.3/32 目的网段 需采集报文的目的IP地址范围 10.1.1.4/32 源端口 端口范围为1~65535，设置格式示例为”20/30“、”80/80“，”“表示不限制端口 目的端口 口范围为1~65535，设置格式示例为”20/30“、”80/80“，”“表示不限制端口 策略 采集、不采集 采集

本章节主要介绍翼MapReduce从零开始使用Kerberos认证集群。 本章节提供从零开始使用安全集群并执行MapReduce程序、Spark程序和Hive程序的操作指导。 翼MR 3.x版本Presto组件暂不支持开启Kerberos认证。 本指导的基本内容如下所示： 1.创建安全集群并登录其Manager 2.创建角色和用户 3.执行MapReduce程序 4.执行Spark程序 5.执行Hive程序 创建安全集群并登录其Manager 1.创建安全集群，请参见创建自定义集群页面，开启“Kerberos认证”参数开关，并配置“密码”、“确认密码”参数。该密码用于登录Manager，请妥善保管。 2.登录翼MR管理控制台页面。 3.单击“集群列表”，在“现有集群”列表，单击指定的集群名称，进入集群信息页面。 4.单击“集群管理页面”后的“前往Manager”，打开Manager页面。 若用户创建集群时已经绑定弹性公网IP。 a. 添加安全组规则，默认填充的是用户访问公网IP地址9022端口的规则。如需对安全组规则进行查看，修改和删除操作，请单击“管理安全组规则”。 说明 自动获取的访问公网IP与用户本机IP不一致，属于正常现象，无需处理 。 9022端口为knox的端口，需要开启访问knox的9022端口权限，才能访问Manager服务 。 b.勾选“我确认xx.xx.xx.xx为可信任的公网访问IP，并允许从该IP访问翼MR Manager页面。” 若用户创建集群时暂未绑定弹性公网IP。 a.在弹性公网IP下拉框中选择可用的弹性公网IP或单击“管理弹性公网IP”创建弹性公网IP。 b.添加安全组规则，默认填充的是用户访问公网IP地址9022端口的规则。如需对安全组规则进行查看，修改和删除操作，请点击“管理安全组规则”。 说明 自动获取的访问公网IP与用户本机IP不一致，属于正常现象，无需处理 。 9022端口为knox的端口，需要开启访问knox的9022端口权限，才能访问Manager服务 。 c.勾选“我确认xx.xx.xx.xx为可信任的公网访问IP，并允许从该IP访问翼MR Manager页面。” 5.单击“确定”，进入Manager登录页面，如需给其他用户开通访问Manager的权限，请参见用户操作指南访问集群Manager章节，添加对应用户访问公网的IP地址为可信范围。 6.输入创建集群时默认的用户名“admin”及设置的密码，单击“登录”进入Manager页面。

本节介绍翼加密的创建加密策略的流程，以及相关配置项的说明。 开通翼加密后，通过AI云电脑控制台菜单找到“文件加密”——“加密策略管理”，点击“新建”即可创建加密策略。 加密策略配置项说明如下表所示： 策略内容 说明 工作场景 安全办公场景：加密范围文档文件全选加密强度。标准金融财务办公：加密范围文档文件全选加密强度。最高自定义设置：不预设加密范围和加密强度，完全由管理员自定义选择。 加密范围 自定义配置加密管控的应用进程，以及加密的文件格式类型。 剪切板控制 开启后加密管控进程打开的文件无法复制粘贴内容到非加密管控进程。比如用WPS打开的word文档内的文字图片无法复制到微信，保证加密数据安全无泄漏。加密管控进程之间的复制粘贴操作正常，如WPS打开的多个word文档之间允许复制粘贴。 加密强度 国密算法（旗舰版）：SM4，适用于有国密加密安全要求的政企部门或组织。最高（旗舰版）：AES256，安全系数最高，适用对文件安全性要求高的场景。高（旗舰版）：AES192，安全系数高，适用于对文件安全性有较高要求的场景。标准（标准版）：AES128，基础的安全加密等级，能有效加密文件，防止文件数据外泄。

本节介绍翼甲控制台的上网行为管理操作介绍。 上网行为管理包括AI云电脑的网站访问管控及审计等。开通上网行为管理功能后，点击“已启用”即可开启上网行为管理。 基础配置 URL分类库 已内置部分通用URL分类库。 （1）添加URL分类库：点击“添加”可添加URL分类库，需配置字段包括：URL分类库名称，URL，域名关键字，描述。 URL：用英文逗号分隔，不用添加http(s)://前缀，直接输入URL或域名即可，符号表示通配符。若配置翼甲卫士的管理台地址URL，此条配置不生效. 域名关键字：用英文逗号分隔，域名关键字不能包含汉字、空格及特殊字符。 （2）编辑：点击“编辑”可对当前URL分类库进行编辑，默认分类库不可编辑。 （3）删除：点击“删除”可删除当前所选URL分类库，默认分类库不可删除。 时间组 默认时间组为全天。 （1）添加时间组：点击“添加”可添加新的时间组，需配置字段包括：时间组名称，描述，生效时间。生效时间可配置多条，也可点击“删除”删除当条生效时间。 （2）删除与编辑操作与URL分类库操作方式一致。

本节介绍云下一代防火墙产品优势。 具有全面适应能力的软件防火墙 在云计算环境中，用户的计算、存储、数据资源都是运行在服务器的虚拟机上，在考虑安全防护的设计时，云下一代防火墙可在云主机上实现快速灵活的部署，支持在VMware、KVM、HyperV、XEN等主流虚拟化平台运行，可串联或单臂连接到虚拟网络中（如：虚拟应用服务器前端的网关，或者是VPC网络的边界网关），为虚拟网络或应用提供专业的边界网络安全防护功能。 以虚拟机形式部署设备，能够克服物理防火墙的限制，在云计算环境中可部署于更加靠近云主机的位置，对于云主机内部流量进行过滤，实现同时对于南北向和东西向流量的安全防护。同时，用户可以根据网络搭建需求，弹性调配和管理网络资源等，并且能够按需进行灵活迁移，充分发挥云计算优势。 拥有专业NGFW安全防护功能 云下一代防火墙拥有与NGFW相同的操作系统，具有丰富的网络安全防护功能，对网络威胁进行防御，能够满足企业分支及公有云多租户环境中的网络安全需求。 具备精细化应用管控，可为用户提供多维的应用风险分析和筛选，以及灵活的安全控制，包括策略阻止、会话限制、应用引流和智能流量管理等。同时，还具备入侵防御、病毒过滤、攻击防护、NAT等功能，满足客户对安全访问，攻击防护以及应用识别和控制等需求。 具备HA组网能力，满足配置和会话同步的要求，从而实现高可靠的冗余部署，保障用户业务的不间断连续运营。

SSL认证方式及客户端参数介绍 SSL认证有两种认证方式，如下表所示。从安全性考虑，建议使用双向认证方式。 认证方式 认证方式 含义 配置客户端环境变量 维护建议 双向认证（推荐） 客户端验证服务器证书的有效性，同时服务器端也要验证客户端证书的有效性，只有认证成功，连接才能建立。 设置如下环境变量： PGSSLCERT PGSSLKEY PGSSLROOTCERT PGSSLMODE 该方式应用于安全性要求较高的场景。使用此方式时，建议设置客户端的PGSSLMODE变量为verifyca。确保了网络数据的安全性。 单向认证 客户端只验证服务器证书的有效性，而服务器端不验证客户端证书的有效性。服务器加载证书信息并发送给客户端，客户端使用根证书来验证服务器端证书的有效性。 设置如下环境变量： PGSSLROOTCERT PGSSLMODE 为防止基于TCP链接的欺骗，建议使用SSL证书认证功能。除配置客户端根证书外，建议客户端使用PGSSLMODE变量为verifyca方式连接。 在客户端配置SSL认证相关的环境变量，详细信息请参见下表。 客户端环境变量的路径以“ /home/dbadmin /dwsssl/”为例，在实际操作中请使用实际路径进行替换。 客户端参数 环境变量 描述 取值范围 PGSSLCERT 指定客户端证书文件，包含客户端的公钥。客户端证书用以表明客户端身份的合法性，公钥将发送给对端用来对数据进行加密。 必须包含文件的绝对路径，如： export PGSSLCERT'/home/dbadmin/dwsssl/sslcert/client.crt ' 默认值 ：空 PGSSLKEY 指定客户端私钥文件，用以数字签名和对公钥加密的数据进行解密。 必须包含文件的绝对路径，如： export PGSSLKEY'/home/dbadmin/dwsssl/sslcert/client.key ' 默认值 ：空 PGSSLMODE 设置是否和服务器进行SSL连接协商，以及指定SSL连接的优先级。 取值及含义： disable：只尝试非SSL连接。 allow：首先尝试非SSL连接，如果连接失败，再尝试SSL连接。 prefer：首先尝试SSL连接，如果连接失败，将尝试非SSL连接。 require：只尝试SSL连接。如果存在CA文件，则按设置成verifyca的方式验证。 verifyca：只尝试SSL连接，并且验证服务器是否具有由可信任的证书机构签发的证书。 verifyfull：DWS不支持此模式。 默认值：prefer 说明 若集群外访问客户端时，部分节点出现报错：ssl SYSCALL error。则可执行export PGSSLMODE"allow"或export PGSSLMODE"prefer"。 PGSSLROOTCERT 指定为客户端颁发证书的根证书文件，根证书用于验证服务器证书的有效性。 必须包含文件的绝对路径，如： export PGSSLROOTCERT'/home/dbadmin/dwsssl/sslcert/certca.pem ' 默认值：空 PGSSLCRL 指定证书吊销列表文件，用于验证服务器证书是否在废弃证书列表中，如果在，则服务器证书将会被视为无效证书。 必须包含文件的绝对路径，如： export PGSSLCRL'/home/dbadmin/dwsssl/sslcert/sslcrlfile.crl ' 默认值：空 客户端和服务器端SSL连接参数组合情况 客户端最终是否使用SSL加密连接方式、是否验证服务器证书，取决于客户端参数sslmode与服务器端（即DWS 集群侧）参数ssl、requiressl。参数说明如下： ssl （服务器） ssl参数表示是否开启SSL功能。on表示开启，off表示关闭。 −默认为on，不支持在DWS 管理控制台上设置。 requiressl （服务器） requiressl参数是设置服务器端是否强制要求SSL连接，该参数只有当ssl为on时才有效。on表示服务器端强制要求SSL连接。off表示服务器端对是否通过SSL连接不作强制要求。 −默认为off。requiressl参数可通过DWS 管理控制台上集群的“安全设置”页面中的“服务器端是否强制使用SSL连接”进行设置。 sslmode （客户端） 可在SQL客户端工具中进行设置。 −在gsql命令行客户端中，为“PGSSLMODE”参数。 −在Data Studio客户端中，为“SSL模式”参数。 客户端参数sslmode与服务器端参数ssl、requiressl配置组合结果如下： 客户端与服务器端SSL参数组合结果 ssl（服务器） sslmode（客户端） requiressl（服务器） 结果 on disable on 由于服务器端要求使用SSL，但客户端针对该连接禁用了SSL，因此无法建立连接。 on disable off 连接未加密。 on allow on 连接经过加密。 on allow off 连接未加密。 on prefer on 连接经过加密。 on prefer off 连接经过加密。 on require on 连接经过加密。 on require off 连接经过加密。 on verifyca on 连接经过加密，且验证了服务器证书。 on verifyca off 连接经过加密，且验证了服务器证书。 off disable on 连接未加密。 off disable off 连接未加密。 off allow on 连接未加密。 off allow off 连接未加密。 off prefer on 连接未加密。 off prefer off 连接未加密。 off require on 由于客户端要求使用SSL，但服务器端禁用了SSL，因此无法建立连接。 off require off 由于客户端要求使用SSL，但服务器端禁用了SSL，因此无法建立连接。 off verifyca on 由于客户端要求使用SSL，但服务器端禁用了SSL，因此无法建立连接。 off verifyca off 由于客户端要求使用SSL，但服务器端禁用了SSL，因此无法建立连接。

本文简述天翼云边缘安全加速产品回源相关的功能和配置。 功能介绍 回源配置模块主要介绍源站地址、回源协议、源站端口、回源HOST、回源URI改写等功能及配置说明。 相关功能 功能 说明 源站配置 回源配置模块支持客户自定义源站。支持IP或域名，支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源协议 回源协议指边缘加速节点回源站请求资源时使用的协议。配置该功能后，边缘加速节点将根据指定的协议回源。边缘加速支持HTTP回源协议、HTTPS回源协议、跟随客户端请求使用的协议回源三种回源协议。 源站端口 源站端口，是指源站接收用户请求时所用的端口，一般http协议和https协议使用不同的源站端口。 回源HOST 当源站同时服务多个站点，且回源站点与加速域名不同时，您需要配置回源HOST，天翼云边缘加速产品在回源时会根据配置的回源HOST信息去访问对应站点。 回源SNI 如果一个源站IP地址绑定多个域名，且边缘加速使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源URI改写 回源URI改写可以实现在用户请求回源时对回源URI进行改写，配置回源URI改写功能后，边缘加速节点向源站发起回源请求时将使用改写后的URI。 回源参数改写 回源参数改写功能可改写回源请求URL中的查询参数，即问号后的参数值。可支持参数的新增、删除、修改，以及保留或忽略所有参数。 301/302跟随回源 配置301/302跟随回源功能后，边缘加速节点会代替用户去处理源站响应的301/302状态码内容，即边缘加速节点会直接跳转到源站301/302响应中的Location地址请求资源，不会把源站响应的301/302跳转地址直接返回给用户，让用户自己去请求跳转地址的资源。 回源超时时间 回源请求超时时间是指在代理服务器向上游服务器（源服务器）发起请求时，等待接收上游服务器的响应所允许的最长时间，这个超时时间的设置对于应对上游服务器响应慢、连接问题或者其他异常情况至关重要。 私有Bucket 加速域名的回源地址可以使用客户自有源站或者天翼云媒体存储【即对象存储（融合版）】,若客户使用媒体存储【即对象存储（融合版）】作为源站，在新建Bucket时选择【私有】时，需要配置私有Bucket回源功能。

WAF原生版是否支持HTTPS双向认证？ HTTPS双向认证是相较于HTTPS单向认证而言的，HTTPS单向认证是指客户端在请求服务器数据时，需要验证服务器的身份。而双向认证是在此基础上，服务器端验证客户端的身份，从而实现双向认证。 双向认证主要应用场景是部分重要业务需要验证客户端身份时，需要使用双向验证。而使用WAF防护的业务，一般为对公众提供的Web服务，其原始业务不会有双向验证的要求，故当前WAF原生版不支持HTTPS双向认证。 WAF原生版是否支持WebSocket协议？ WebSocket是HTML5引入的一项技术，用于在Web应用程序中实现实时双向通信。与传统的HTTP请求响应模型不同，WebSocket允许服务器主动向客户端推送数据，而不需要客户端发起请求。WebSocket连接保持打开状态，允许客户端和服务器之间进行双向通信，这为实时应用程序提供了更高效和实时的通信方式。当前WAF支持WebSocket进行用户业务的转发，实现WebSocket通信。 若一个IP同时配置了白名单和黑名单，优先级是什么？ IP白名单的优先级高于黑名单，若同时配置了白名单和黑名单，则优先以白名单为准，详情请参见IP黑白名单。 WAF支持设置单条防护规则的防护状态吗？ 支持。 WAF原生版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。 WAF支持针对地理位置配置禁止访问策略吗？ 支持。 地域访问控制支持针对地理位置的黑名单封禁，可指定需要封禁的国家、地区，阻断该区域的来源IP的访问。通过地域访问控制模块，可以满足针对地理位置的黑名单封禁。支持封禁的地域请参见地域访问控制。 注意 WAF云SaaS模式的基础版不支持地域访问控制功能，请升级到更高版本使用。

本页为您介绍WPS云文档天翼云版产品的常见问题 产品如何购买？ 在天翼云甄选商城搜索 "WPS" 找到 "WPS云文档天翼云版" 直接下单购买。 如何退定? 该产品目前为SaaS服务虚拟商品，非产品问题，不支持退订。 如何续费？ 可在甄选商城申请续费操作。

方法 说明 GET 请求服务器返回指定资源 PUT 请求服务器更新指定资源 POST 请求服务器新增资源或执行特殊操作 DELETE 请求服务器删除指定资源，如删除对象等 HEAD 请求服务器资源头部 PATCH 请求服务器更新资源的部分内容

方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。

应用场景 客户端IP指的是访问者（用户设备）的IP地址。在Web应用开发中，通常需要获取客户端真实的IP地址。例如，投票系统为了防止刷票，需要通过获取客户端真实IP地址，限制每个客户端IP地址只能投票一次。 当您的网站已接入Web应用防火墙（Web Application Firewall，简称WAF）进行安全防护后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。此时，您可直接通过WAF获取客户端的真实IP，也可以通过配置网站服务器获取客户端的真实IP。 本章节介绍了通过WAF直接获取真实IP的方法，以及不同类型的Web应用服务器（包括Tomcat、Apache、Nginx、IIS 6和IIS 7）如何进行相关设置，以获取客户端的真实IP。 方案架构 通常情况下，网站访问并不是简单地从用户的浏览器直达服务器，中间可能部署有CDN、WAF、高防等代理服务器（架构为“用户> CDN/WAF/高防等代理服务 > 源站服务器”）。 说明 当网站没有接入到WAF前，DNS直接解析到源站的IP，用户直接访问服务器。 当网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 在这种情况下，访问请求到达源站服务器之前可能经过了多层安全代理转发或加速代理转发，服务器如何获取发起请求的真实客户端IP呢？ 一个透明的代理服务器在把用户的HTTP请求转到下一环节的服务器时，会在HTTP的头部中加入一条“XForwardedFor”记录，用来记录用户的真实IP，其形式为“XForwardedFor：客户端的真实IP，代理服务器1IP， 代理服务器2IP，代理服务器3IP，……”。 因此，您可以通过获取“XForwardedFor”对应的第一个IP来得到客户端的真实IP。

本节主要介绍购买 如您已联系您的客户经理，且天翼云专业人员已完成评估工作，安装部署RDA云迁移工具后根据生成的硬件码ESN在官网订购页面申请许可。 购买前须知 1、订购页面订购的是RDA云迁移工具授权，订购前请您联系天翼云客户经理进行迁移前评估，评估通过后，需完成云迁移工具控制端RDA的安装并获取硬件码文件ESN。 2、授权一经提供6个月内有效。 3、订单申请成功后，会有天翼云客服人员生成许可，可在天翼云控制台产品视图云产品实例下载，在此期间可使用试用许可激活云迁移工具使用。 4、该产品不涉及升级、续订、退订，使用过程中如遇问题，请联系您的客户经理。 5、RDA主要针对对象存储数据迁移场景，主机迁移场景请前往主机迁移服务SMS。 操作步骤 步骤 1 使用账号登入天翼云官网。 步骤 2 在系统首页，单击【产品 > 管理工具 > RDA云迁移工具】。 步骤 3 在【RDA云迁移工具】产品详情页，单击【申请开通】。 步骤 4 在【RDA云迁移工具】订购页面，如实填写相应信息。 步骤 5 填写完毕，勾选“我已阅读，理解并接受《天翼云迁移服务协议》”，点击立即订购；点击确定后，等待天翼云运营人员生成许可。 步骤 6 进入产品视图页面，云网门户管理中心产品视图云产品实例，下载附件中的激活文件，上传至软件完成激活。

方法 说明 GET 请求服务器返回指定资源 PUT 请求服务器更新指定资源 POST 请求服务器新增资源或执行特殊操作 DELETE 请求服务器删除指定资源，如删除对象等 HEAD 请求服务器资源头部 PATCH 请求服务器更新资源的部分内容

方法 说明 GET 请求服务器返回指定资源 PUT 请求服务器更新指定资源 POST 请求服务器新增资源或执行特殊操作 DELETE 请求服务器删除指定资源，如删除对象等 HEAD 请求服务器资源头部 PATCH 请求服务器更新资源的部分内容

本文介绍了天翼云APP产品介绍和功能。 产品介绍 手机天翼云APP是天翼云官方出品的移动应用，满足用户随时随地触达天翼云的需求。用户可以快速查看天翼云的产品信息和解决方案，了解和参与天翼云的多彩活动，对已购买的云资源进行监控和管理。用户也可以在天翼云开发者社区中浏览技术大咖分享的行业干货，观看公开课视频，还可以与客服沟通，通过建议与反馈提出宝贵建议。 本产品提供 iOS 和 Android 两个版本的应用，对操作系统版本的兼容性如下： iOS 13.0 或更高版本 Android 10.0 或更高版本 主要功能 天翼云APP共有三个Tab页面，为用户提供全套天翼云移动端服务，主要功能包括： 1. 快速了解天翼云产品信息，专业技术分享、视频介绍、技术讨论等； 2. 随时获取天翼云最新活动信息，涵盖免费试用,产品折扣等，实现降本增效； 3. 支持云产品的监控和管理，实时掌握云产品状态； 4. 支持账户信息查询，了解消费情况、账户余额、代金券等情况； 5. 支持随时提交工单，有问题随时反馈，有反馈及时回复，快速解决问题。 下载 可以访问天翼云APP下载页了解产品，或直接扫描下方二维码下载。

本章节主要介绍翼MR Manager的滚动重启集群操作。 操作场景 一键滚动重启单个集群服务。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“集群服务”，进入集群服务列表页面。 5. 选择指定集群服务，单击集群服务名称进入集群服务详情页面。 6. 单击“运维操作>滚动重启集群服务”，弹出确认操作弹框。 7. 单击“确定”，进入到滚动重启集群服务页面，展示当前集群服务支持滚动重启的实例列表。如图所示： 8. 选择指定实例分组，单击“滚动重启设置”，对默认滚动重启设置进行修改，修改完成后单击“确定”，如图所示： 9. 单击“下一步”，按照实例分组顺序进行滚动重启，等待所有实例完成重启后即可。如图所示： 滚动重启参数说明 滚动重启参数说明如下表所示： 参数名称 描述 单批实例数 1. 按照角色实例维度，每1个批次的并发实例数，例如HDFSDataNode。 2. 默认为1，输入限制为int的最大值，仅支持输入正整数。 3. 当角色实例数小于并发数时，以当前已有实例数为准例如：并发数设置为2，HDFSDataNode的实例数为3；则第一批次执行的实例数是2，第2批次执行的实例数则为1。 批次间隔时间 1.上个批次成功后与下个批次开始的间隔时间。 2. 默认30秒，取值范围11800，仅支持输入正整数；单位默认为：秒，不可改。举例：设置时间为600S批次间隔则表示，前1个批次运行完成后，等待600S后开始下一个批次。 批次等待时间 1. 上个批次开始后，开始下个批次的等待时间。 2. 默认30秒，取值范围11800，仅支持输入正整数；单位默认为：秒，不可改。举例：设置时间为600S批次等待则表示，前1个排次开始运行，等待600S后不管前一个批次是否完成运行，都开始下一个批次的运行。 实例容错阈值 1. 实例执行失败的容错次数。 2. 默认为0，输入限制为int的最大值，仅支持输入正整数例如：设置为0时，即表示任意一个角色实例的操作失败后，滚动操作终止设置为2时，即表示任意3个角色实例的操作失败后，滚动操作才会终止。

本文为您介绍如何开通云容灾服务。 注册天翼云账号 在操作云容灾之前，用户需仔细观看本文内容，完成准备工作。 如果您已经拥有一个天翼云实名账号可直接跳过本步骤，如果您还没有天翼云账号，请参考以下流程进行创建： 登录天翼云官网www.ctyun.cn，单击右上角“免费注册”按钮。 填写注册信息。填写邮箱后，设置登录密码，并通过手机验证。 勾选协议，并单击“同意协议并提交”，即可完成账号注册。 实名认证 具体可参见实名认证模块对天翼云账号进行实名认证。 账户充值 您需要确保天翼云实名账户中的余额充足，具体天翼云账户充值步骤请参见账户充值。 开通云容灾服务 1. 打开 2. 单击控制中心左上角的，并切换到所需的地域（region）节点。 说明 当前仅华东1支持云容灾服务。 3. 在控制中心选择“云容灾”。 4. 在弹出的服务开通页面，勾选服务协议。 注意 云容灾每个地域（region）需要单独开通，若已开通服务会直接跳转至云容灾控制台。

禁用远程桌面服务用户限制到单独的远程桌面服务会话 1. 打开组策略编辑器：使用Win+R快捷键打开“运行”程序，输入“gpedit.msc”。 2. 在本地策略组选择选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 连接”，进入服务器连接配置页面。 3. 选择“将远程桌面服务用户限制到单独的远程桌面服务会话”，打开设置窗口。 4. 勾选“已禁用”。 5. 单击“确定”完成配置。 更新组策略 1. 使用Win+R快捷键打开“运行”程序，输入cmd。 2. 在窗口中输入：gpupdate /force完成组策略更新。 远程设置 1. 选择“计算机”，右键选择“属性”。 2. 在“系统属性”窗口，选择“远程”，勾选“允许远程连接到此计算机”。 RemoteAPP程序发布 您若要使用云堡垒机访问应用服务器，需要在应用发布服务器中安装RemoteAppProxy跳板工具。 2.8及以上版本堡垒机请选择openappmstsc.exe。 2.8及以下版本堡垒机请选择openappmstsc.exe。 堡垒机版本请参考：关于系统章节。 下载步骤： 1. 使用管理员账号登录服务器。 2. 在服务器中，将RemoteAPP程序拷贝到“C:tool”目录中，若没有则手动创建该目录。 3. 将对应文件放到上述的目录中即可开始使用。

本页为您介绍WPS云文档天翼云版产品的相关协议 WPS云文档天翼云版产品服务协议详情请参见这里。

本文介绍云容器引擎Serverless版的产品优势。 开箱即用 一键创建 Kubernetes 集群、直接部署应用程序，无需管理Kubernetes节点和服务器。 原生兼容 提供完善的Kubernetes兼容能力，支持原生Kubernetes应用和生态，可以轻松迁移已有的Kubernetes应用程序。 安全隔离 Pod基于弹性容器实例ECI服务运行，实现了安全隔离的容器运行环境，避免了容器实例间相互影响的问题。 降低成本 提供按需创建、按量计费的模式，避免了不必要的资源浪费和成本费用，同时Serverless也大大降低了运维成本。 服务集成 支持与天翼云基础服务无缝集成，可以使用一体化控制台高效操作。

本文将为您介绍通过专线网关实现物理专线入云访问多VPC。 应用场景 本地IDC通过一条物理专线接入天翼云华北2地域，实现本地IDC网络与天翼云华北2地域中的多个VPC网络互通。如需使用云企业路由器搭建跨AZ入云网络架构，实现本地IDC与多VPC网络互通，具体操作说明详见通过云企业路由器访问多VPC。 本地IDC接入天翼云华北2地域的物理专线，配置如下。 物理专线名称 互联地址（天翼云侧） 互联地址（用户侧） 掩码 VLAN 物理专线 10.250.0.1 10.250.0.2 255.255.255.252 100 天翼云华北2地域的VPC，配置如下。 VPC名称 VPC网段（IPv4） 子网网段（IPv4） VPC1 10.10.0.0/16 10.10.0.0/24 VPC2 10.20.0.0/16 10.20.0.0/24 前提条件 1、在天翼云华北2已创建一条物理专线，具体操作说明详见创建物理专线。 2、在天翼云华北2已创建一个专线网关，具体操作说明详见创建专线网关。 3、在天翼云华北2已创建两个VPC，具体操作说明详见创建VPC。

本章主要介绍翼MapReduce的加固策略功能。 加固Tomcat 在FusionInsight Manager软件安装及使用过程中，针对Tomcat基于开源做了如下功能增强： 升级Tomcat版本为官方稳定版本。 设置应用程序webapplications之下的目录权限为500，对webapplications之下的部分目录支持写权限。 系统软件安装完成后自动清除Tomcat安装包。 webapplications下针对工程禁用自动部署功能，只部署了web、cas和clientregistry三个工程。 禁用部分未使用的http方法，防止被他人利用攻击。 更改Tomcat服务器默认shutdown端口号和命令，避免被黑客捕获利用关闭服务器，降低对服务器和应用的威胁。 出于安全考虑，更改“maxHttpHeaderSize”的取值，给服务器管理员更大的可控性，以控制客户端不正常的请求行为。 安装Tomcat后，修改Tomcat版本描述文件。 为了避免暴露Tomcat自身的信息，更改Connector的Server属性值，使攻击者不易获知服务器的相关信息。 控制Tomcat自身配置文件、可执行文件、日志目录、临时目录等文件和目录的权限。 关闭会话facade回收重用功能，避免请求泄漏风险。 CookieProcessor使用LegacyCookieProcessor，避免cookie中的敏感数据泄漏。 加固LDAP 在安装完集群后，针对LDAP做了如下功能增强： LDAP配置文件中管理员密码使用SHA加密，当升级openldap版本为2.4.39或更高时，主备LDAP节点服务自动采用SASL External机制进行数据同步，避免密码信息被非法获取。 集群中的LDAP服务默认支持SSLv3协议，可安全使用。当升级openldap版本为2.4.39或更高时，LDAP将自动使用TLS1.0以上的协议通讯，避免未知的安全风险。

本章节主要介绍翼MapReduce的配置SNMP北向参数。 操作场景 该任务指导用户采用SNMP协议把MRS Manager的告警、监控数据集成到网管平台。 前提条件 对接服务器对应的弹性云服务器需要和MRS集群的Master节点在相同的VPC，且Master节点可以访问对接服务器的IP地址和指定端口。 操作步骤 在MRS Manager，单击“系统设置”。 1. 在“配置”区域“监控和告警配置”下，单击“SNMP配置”。 “SNMP服务”的开关默认为关闭，单击启用SNMP服务。 2. 设置如下表所示的对接参数。 详见下表：对接参数 参数名称 参数说明 版本 SNMP协议版本号，取值范围： l v2c：低版本，安全性较低 l v3：高版本，安全性比v2c高 推荐使用v3版本。 本地端口 本地端口，默认值“20000”，取值范围“1025”到“65535”。 读团体名 该参数仅在设置“版本”为v2c时存在，用于设置只读团体名。 写团体名 该参数仅在设置“版本”为v2c时存在，用于设置可写团体名。 安全用户名 该参数仅在设置“版本”为v3时存在，用于设置协议安全用户名。 认证协议 该参数仅在设置“版本”为v3时存在，用于设置认证协议，推荐选择SHA。 认证密码 该参数仅在设置“版本”为v3时存在，用于设置认证密钥。 确认认证密码 该参数仅在设置“版本”为v3时存在，用于确认认证密钥。 加密协议 该参数仅在设置“版本”为v3时存在，用于设置加密协议，推荐选择AES256。 加密密码 该参数仅在设置“版本”为v3时存在，用于设置加密密钥。 确认加密密码 该参数仅在设置“版本”为v3时存在，用于确认加密密钥。 “认证密码”和“加密密码”密码长度为8到16位，至少需要包含大写字母、小写字母、数字、特殊字符中的3种类型字符。两个密码不能相同。两个密码不可和安全用户名或安全用户名的逆序字符相同。 使用SNMP协议从安全方面考虑，需要定期修改“认证密码”和“加密密码”密码。 使用SNMP v3版本时，安全用户在5分钟之内连续鉴权失败5次将被锁定，5分钟后自动解锁。 3. 单击“Trap目标”下的“添加Trap目标”，在弹出的“添加Trap目标”对话框中填写以下参数： 目标标识：Trap目标标识，一般指接收Trap的网管或主机标识。长度限制1～255字节，一般由字母或数字组成。 目标IP：目标IP。可使用A、B、C类IP地址，要求可与管理节点的管理平面IP地址互通。 目标端口：接收Trap的端口，要求与对端保持一致，取值范围“0”～“65535”。 Trap团体名：该参数仅在设置Version为v2c时存在，用于设置主动上报团体名。 单击“确定”，设置完成，退出“添加Trap目标”对话框。 4. 单击“确定”，设置完成。