3. 安全设置 连接安全性：该设置决定服务器连接是否加密。无：不加密；SSL/TLS：加密（推荐）；STARTTLS：连接以不加密开始，如果服务器支持，那么尝试加密。 验证方式：该设置是认证连接账号的方式。邮箱账户提供商会决定使用何种方式进行认证，您可以登录邮箱服务器端查看。 4. 完成以上邮箱配置即登录成功 验证过程可能会持续1分钟左右，当出现“尝试常用服务器名称后找到配置”即完成账密及服务器验证，点击“完成”即登录成功。 说明 IMAP和POP有什么区别？ POP允许电子邮件客户端下载服务器上的邮件，但是您在电子邮件客户端的移动邮件、标记已读、删除邮件等操作，是不会反馈到服务器上的。比如：您通过AOneMail客户端收取了邮箱中的5封邮件并移动到了其他文件夹，这些移动动作是不会反馈到服务器上的，也就是说，邮箱服务器上的这些邮件是没有同时被移动的。 但是IMAP就不同了，电子邮件客户端的操作都会反馈到服务器上，您对邮件进行的移动邮件、标记已读、删除邮件等操作服务器上的邮件也会做相应的动作。即，IMAP是“双向”的。 同时，IMAP可以只下载邮件的主题，只有当您真正需要的时候，才会下载邮件的所有内容。

安装前准备 步骤1、查询是否安装nouveau驱动。 shell lsmod grep nouveau 步骤2、若已安装nouveau驱动，则禁用。 shell sudo bash c "echo 'blacklist nouveau' >> /etc/modprobe.d/blacklistnouveau.conf" sudo updateinitramfs u 步骤3、安装依赖软件（以Ubuntu为例）。 shell sudo aptget install buildessential gccmultilib dkms make libc6dev libx11dev libvulkan1 linuxheaders$(uname r) 安装步骤 步骤1、访问NVIDIA官网驱动下载页面，选择手动驱动搜索，选中芯片型号对应的Linux 64安装方式，查询目标驱动。 步骤2、在搜索结果页面查看驱动详情，复制驱动下载地址。 步骤3、在虚拟机中执行驱动下载命令。 shell wget referer 步骤4、给驱动文件赋可执行权限。 shell sudo chmod +x NVIDIALinuxx8664xxx.run 步骤5、执行驱动安装命令。 shell sudo sh NVIDIALinuxx8664xxx.run 内核模块类型选择开源协议MIT/GPL。 根据实际需要选择是否安装32位兼容库。 根据实际需要选择是否安装DKMS。 驱动安装完成。 步骤6、查看驱动安装结果。 shell nvidiasmi

一键自动修复 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 勾选漏洞列表中所有需要修复的漏洞，单击漏洞列表左上角的“批量修复”，一键批量修复漏洞。 4. 在修复对话框中，确认待修复的漏洞数量和影响资产数量、选择修复所需软件源。 您可以在修复对话框中查看修复命令、查看影响服务器数量。软件源支持清华软件源、华为云软件源、阿里云软件源，也可以自配置软件源。若选择自配置软件源，请务必确认已在服务器上配置好对应操作系统发行版的软件源（如 yum、zypper、aptget 或 emerge 等包管理工具对应的软件源）。 5. 单击“确定”，开始自动修复漏洞。 6. 修复完成后，建议您立即重新扫描漏洞，验证修复结果。 手动修复漏洞 您可以参考漏洞详情页面的修复建议，登录服务器手动修复漏洞。 说明 漏洞修复完成后需要手动重启服务器，否则系统仍可能为您推送漏洞消息。 不同的漏洞请根据修复建议依次进行修复。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 单击“漏洞名称”链接、或操作列的“查看详情”，跳转至漏洞详情页面。 4. 在漏洞详情页面可以看到漏洞修复建议。 5. 登录漏洞影响的服务器，根据修复建议进行修复。 6. 修复完成后，建议您立即重新扫描漏洞，验证修复结果。

某应用系统为等保3级，用户采用手机端APP通过互联网进行业务访问，为保障APP端身份鉴别的密评合规，通过协同签名服务实现了基于国密算法的身份鉴别以及传输过程中的机密性、完整性保护。 APP应用端证书下载 在APP端实现了用户个人数字证书的线上注册、申请、下载，流程如下： 1. APP集成协同签名客户端（SDK）； 2. APP通过协同签名客户端调用协同签名服务提供的接口申请SM2联签公钥； 3. 协同签名服务生成SM2公钥并返回给协同签名客户端； 4. 协同签名客户端生成请求数字证书的CSR文件，然后提交给CA申请证书； 5. CA根据获取的公钥签发数字证书并返回给协同签名客户端。 6. 在提交CA获取证书时，协同签名客户端可根据CA的管理要求完成数字证书申请的身份认证。 手机端APP身份鉴别 身份鉴别实现说明如下： 1. APP集成协同签名客户端（SDK）； 2. 用户首次使用APP时下载SM2软证书（密钥分片）到本地； 3. 用户登录APP时通过本地软证书基于协同签名机制生成完整签名值； 4. APP服务端验证签名值以确定身份正确性。 协同签名客户端SDK为二级软件密码模块，可达到与硬件智能密码钥匙相同的密钥保护安全强度，认证过程中用户无需使用任何硬件介质，满足等保3级系统应用和数据层面身份鉴别相关要求。

安装MSE Agent 1.下载 MSE Agent 下载路径：微服务治理中心控制台>应用治理>应用接入>ECS集群页面>下载Agent按钮。 2.进入Agent压缩包所在目录并将其解压至任意工作目录下 unzip MseAgent.zip –d /user.workspace/ 3.添加JVM参数到应用启动脚本中 在应用服务的启动脚本中添加以下JVM参数 javaagent:{user.workspace}/MseAgent/oneagent/core/oneagent@0.0.2/onejavaagent.jar Dmsgc.enabletrue Dmsgc.licenseKey{your licenseKey} Dmsgc.appName{your app name} Dmsgc.namespace{your namespace} Dmsgc.project{your project code} Dmsgc.group{your group code} Dmsgc.msc.endpointmsgc{regioncode}.cnspinternal.ctyun.cn:27144 noverify 参数解释： 标签名 标签值 msgc.licenseKey 是我们为您自动生成的接入凭证，请保管好此凭证，不要泄露给第三方。可在微服务治理中心控制台>应用治理>应用接入>ECS集群页面获取。 msgc.appName 是您的应用名，请将其替换成您自己的应用名。 msgc.namespace 是您接入的环境，默认可不填。如填写可在微服务治理中心控制台>应用治理>应用接入>ECS集群>环境规划页面获取。 msgc.project 是您接入的项目，默认可不填。如填写可在微服务治理中心控制台>应用治理>应用接入>ECS集群>环境规划页面获取。 msgc.group 是您接入的项目分组，默认可不填。如填写可在微服务治理中心控制台>应用治理>应用接入>ECS集群>环境规划页面获取。 4.验证应用已接入MSE 查看应用列表，确认你的应用已接入到微服务治理中心。

在监控Go应用之前，您需要通过客户端将应用数据上报至应用性能监控APM服务端。本文介绍如何通过OpenTelemetry Go探针上报Go应用数据。 前提条件 完成应用性能监控vpce接入。 Go 版本大于等于1.23。 请确保依赖库以及框架满足最低版本要求。 接入步骤 步骤1：下载探针 1. 登录应用性能监控控制台。 2. 在菜单栏中选择应用列表，点击接入应用，选择GO > Go探针。 3. 在下载Agent步骤中选择对应的架构，目前只支持linux系统 x86 和 arm64架构，点击即可下载对应的探针。 步骤2：编译应用 1. 解压并赋与解压后的otel文件执行权限。 plaintext unzip goagent.zip chmod +x otel 2. 对 Go 编译命令添加 otel 前缀，完成应用编译。例如 go build ... 命令将修改为./otel go build ...。注意：需要确保编译环境的go版本 > go mod里面指定的go版本。 plaintext ./otel go build o app 步骤3：添加环境变量，运行服务 plaintext OTELEXPORTEROTLPENDPOINT{ENDPOINT} OTELSERVICENAME.. OTELEXPORTEROTLPPROTOCOLgrpc OTELTRACESEXPORTERotlp license{TOKEN} ./app OTELSERVICENAME ：应用名，多个使用相同 serviceName 接入的应用进程，在 APM 中会表现为相同应用下的多个实例。应用名最长63个字符，只能包含小写字母、数字及分隔符“ ”，且必须以小写字母开头，数字或小写字母结尾。 OTELEXPORTEROTLPENDPOINT：上报地址，注意这里不管哪种协议接入都必须添加

本章节为您介绍审计日志的相关内容。 当系统根据既定配置成功捕获到客户端的访问行为时，它会详尽地记录审计日志。这些日志为用户提供了一个全面的视角，以查看所有触发审计的 SQL语句的详细信息。 为了方便您快速定位和分析，数据库安全网关支持在审计日志页面根据时间范围、客户端 IP、数据库账号、报文内容等多个维度进行灵活的筛选操作，从而确保用户能够迅速获取所需的关键信息。 检索审计日志 1.在左侧菜单栏选择“查询分析 > 审计日志”进入审计日志页面。 2.设置查询条件（如时间范围、资产、操 作类型等） ，单击“搜索”即可查询相关审计日志。 3.可单击查询条件下方的“更多条件”，在更多条件对话框中勾选需要的查询条件 ，单击“确认”即可添 加相应的查询条件 ，单击“恢复默认”可以恢复至默认查询条件。 查看审计日志详情 1.在左侧菜单栏选择“查询分析 > 审计日志”进入审计日志页面。 2.在审计日志列表中，单击日志条目右侧的“详情”可以查看该审计记录的详细信息，包括审计记录的基本信息、客户端信息、服务端信息、 请求详情、返回详情。 3.单击审计日志详情窗口右下角的“上一条”或“下一条”可切换查看临近的审计日志。 4.在日志详细中 ，单击“取证”即可弹出下载框 ，等待文件生成成功后 ，单击“下载”即可下载.png 图片格式的审计日志详情文件。

本章节为您介绍如何申请个人证书。 个人证书是由CA机构核验身份后颁发的数字凭证，用于强身份认证、电子签名和加密通信等场景，12个工作日签发证书。 成功购买个人证书后，您需要申请证书，即提交证书申请人的详细信息审核。所有信息通过审核后，证书颁发机构才签发证书。 在申请证书时，您可以参考SSL证书申请常见问题。 前提条件 已成功购买证书并且在控制台的“证书状态”为“待申请”，如何购买证书请参考：购买个人证书。 准备工作 申请个人证书时，需要在人工验证阶段上传证书申请表，您可以提前下载个人证书申请表模版，申请表需填写个人签名和日期。 服务类型 加密标准 下载审核材料模板 个人证书 国密标准 个人证书申请表模版.xlsx 操作步骤 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“个人证书管理 > 个人证书列表”。 3. 选择需要申请的个人证书，单击“操作”列的“证书申请”按钮，开始申请个人证书。 4. 在右侧弹出的窗口中填写联系人信息。 说明 目前个人证书仅支持国密算法。 5. 填写完后，单击“确定”，进入验证环节，根据页面提示填写申请表并上传。 6. 上传完成后，等待CA签发机构完成验证，若验证通过则可以在控制台下载个人证书。

本节介绍购买单节点示例操作方法。 1. 登录天翼云官网，打开控制中心。 2. 选择“产品 > 安全 > 云下一代防火墙”，单击“立即开通”。 版本：请确认使用规格，具体规格详情可参考规格。 部署模式：单节点。 弹性IP：上述开通云主机后为其绑定的弹性IP。 购买时长：按需选择即可。

本节主要介绍怎么进入初始化页面。 1. 使用WEB浏览器访问： :PORT。 参数 描述 SERVERIP 安装HBlock的服务器IP。 确保该服务器能够被您访问到，只有WEB客户端和被访问服务器在同一局域网内，SERVERIP才能使用服务器的内网IP。 PORT 安装时配置的WEB端口号，如果未配置，默认为2443。 2. 选择HBlock的部署方式：单机版、集群版。 单机版 ：单机版只需要一台服务器即可完成HBlock的部署。 集群版：集群版需要至少三台服务器，才能完成HBlock的部署。如您选择集群版部署，请确认集群内的服务器都已完成了HBlock的安装，并且可以相互访问。

本节介绍如何查看服务器安全卫士（原生版）资产概览信息。 资产概览页面为您提供服务器资产概况、服务器防护情况、服务器资源池分布、服务器资产指纹等统计信息，可以帮助您了解资产的分布情况、防护状态及安全风险。 查看资产概览 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 概览”，进入资产概览页面。 3. 查看资产统计信息。 防护情况统计 为您展示全部服务器数量、免费版防护服务器数量、企业版防护服务器数量、旗舰版防护服务器数量；Agent在线率、在线Agent数量、离线Agent数量。 资产指纹统计 展示服务器开放端口、账号、服务器运行进程、服务器运行软件、自启动项的数量，以及Top5信息。 单击对应模块的数字，会跳转至对应的“资产指纹”页面。 说明 基础版仅支持查看端口、账户资产指纹信息，如需查看其他指纹信息，需要购买或升级到企业版、旗舰版，具体操作请参见 资产分布 展示各个区域主机资产的分布情况。 防护版本 展示使用基础版（免费版）、企业版、旗舰版防护服务器数量。 Agent状态 展示Agent在线和离线状态的服务器数量。 操作系统 展示服务器操作系统分布情况，包括Linux和Windows系统。

本节介绍了如何创建数据库。 操作场景 实例创建成功后，可根据业务需要在控制台创建数据库。 约束限制 支持在控制台创建数据库。 实例状态异常（主库不可用、恢复等）情况下，不可进行该操作。 不支持创建同名数据库。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 选择数据库管理页签。 7. 点击创建数据库按钮，并填写相关参数。（详细参数及规则如下表） 8. 点击创建按钮。创建成功后，可在数据库管理页面查看已创建的数据库及其相关信息。 参数 说明 数据库名称 由字母、数字、下划线和中划线组成。 由字母开头，以字母和数字结尾。 最长63个字符。 支持字符集 数据库的字符集。 Collate 字符串排序规则。 Ctype 字符分类。 限制并发量 数据库的连接限制数。 授权owner账号 设置数据库的所有者，对数据库拥有ALL权限。 备注说明 填写备注信息，最多可输入1000字符。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

专属资源服务 可按用户需求提供专属云（计算独享型）、专属云（存储独享型）等资源服务 专属基础服务 可按用户需求提供虚拟私有云、弹性IP、弹性伸缩服务等基础服务 一站式部署和运维 一键创建Kubernetes集群，自动化部署、运维容器应用，整个生命周期都在专属云容器服务内一站式完成 丰富的应用调度策略 支持多种亲和反亲和调度策略，用户可方便地根据应用特点在高性能和高可靠中找到平衡点 灵活的弹性伸缩策略 支持按性能、按时间、按周期的弹性伸缩策略，用户可自由组合策略以应对多变的突发浪涌 兼容原生Kubernetes和Docker 定期同步最新kubernetes版本，兼容原生API和kubectl命令行 与天翼云基础资源深度整合 支持在专属云容器中使用云主机、VPC、弹性IP、弹性负载均衡、云硬盘等资源

云下一代防火墙实例默认不限制日志存储时间；但因本地存储空间有限，云防火墙将在超过存储容量90%后启动滚动存储策略，增量日志将覆盖历史日志。 如果您有180天日志存储的诉求，可参考如下方法进行配置，以确保日志能够被妥善保存： 方法一：将日志通过syslog外发到专用的日志服务器或者日志审计服务中进行存档与分析（推荐）。 方法二：扩容本地磁盘以保证足够的日志存储容量。

本节介绍了用户指南: 对象存储概述。 云容器引擎支持使用天翼云对象存储作为存储卷。当前cstorcsi插件支持使用对象存储动态存储卷和静态存储卷，通过将对象存储挂载到容器指定目录下，以实现数据持久化需求。 天翼云对象存储为客户提供海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，通过S3协议和标准的服务接口，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务。 使用限制 服务开通 使用前请在云容器引擎集群所在资源池，相应开通对象存储服务，参照指引：点这里 开通地域选择参见：点这里 存储类型 当前cstorcsi仅支持标准、低频两种存储类型 数据加密 暂不支持加密 其他 对象存储产品本身使用限制参见：点这里 产品规格 cstorcsi支持标准存储、低频存储 两种存储类型，这些存储类型具有不同的特点和适用场景，详见：对象存储性能说明 注意 当CSI版本为4.0.0及其以上版本时，删除不为空的对象存储pvc时，将保留对象存储bucket但删除对应的pvc和pv，您可以通过对象存储控制台删除对应的bucket。

应用防护管理 前提条件 已购买主机安全版本为旗舰版、网页防篡改版或容器版。 约束限制 当前只支持操作系统为Linux的服务器。 目前仅支持Java应用接入。 未开启旗舰版、网页防篡改版、容器版防护不支持应用防护相关操作。 查看检测报告 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 应用防护 > 防护设置”，进入“防护设置”页面。 4、单击目标服务器“操作”列的“查看报告”，查看目标服务器全量检测详情。 5、单击告警名称可查看目标告警的详细信息。 告警详情页可查看目标告警的取证信息（请求信息、攻击源IP等）和扩展信息（检测规则、检测探针等），可根据取证信息和扩展信息来排查问题、添加防护措施。 关闭应用防护 前提条件 已购买主机安全版本为旗舰版、网页防篡改版或容器版。 约束限制 当前只支持操作系统为Linux的服务器。 目前仅支持Java应用接入。 未开启旗舰版、网页防篡改版、容器版防护不支持应用防护相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 应用防护”，进入“应用防护”页面。 4、单击目标服务器“微服务RASP防护”的图标或单击“操作”列的“关闭防护”。 5、在弹窗中确认正在关闭微服务RASP防护的服务器信息，确认无误，单击“确认”，完成防护关闭。 说明 sRASP防护关闭后，目标服务器会在“防护设置”页面进行自动删除，若需为其他服务器开启防护，可按照开启应用防护操作步骤为其他服务器开启防护。

阶段 阶段描述 具体内容 责任方 计划实施时间 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍整体服务工作 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 测评内容介绍 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 确认保密管理内容 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 介绍风险管理措施 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 讲解等保要求细则 天翼云、客户 1周 第一阶段：咨询服务启动 等保测评技术指导、讲解 输出《等保测评技术指导》 天翼云 1周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 依据等级保护要求，对客户系统进行安全自评估，进行差距分析 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全物理环境 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全通信网络 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全区域边界 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 安全计算环境 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 差距分析 天翼云、客户 2周 第二阶段：安全自测评 环境检查系统检查安全检查差距分析 输出《差距分析评估》 天翼云 2周 第三阶段：整改建议 （仅标准版提供） 根据差距分析，提供整改建议 差距分析整理，提供差距建议，输出《差距整改方案》 天翼云 2周

本节介绍云下一代防火墙到到期与欠费。 到期 云下一代防火墙到期后，请在3个工作日内完成续订，否则无法正常使用。 注意 所有在云下一代防火墙后挂载运行的业务均会有业务中断的风险，业务中断的风险及影响还请用户根据自身业务自行评估；云墙到期1天后会锁定配置，无法进行配置变更和运维处理。 欠费 另外当使用时长超出购买时长时，即属于欠费状态。 欠费后，系统会回收云下一代防火墙安全产品，上述产品中的所有配置和信息均无法恢复。 建议 请到期后立刻申请续订，按照官网流程提供续订申请； 如遇紧急业务故障，请将弹性IP解绑回业务主机进行业务恢复。

本节介绍在云电脑中使用OpenClaw的常见问题。 如何获取云电脑系统密码？ 在开通云电脑时，会通过短信发送系统密码，请注意查收短信。如未收到短信，请通过云电脑客户端→设置→立即报障，进行处理。 OpenClaw云电脑开机后一直停留在黑色页面，没有进度。 这个黑框是后台服务，不要关闭，请点击桌面的 “OpenClaw进入应用” 打开聊天页面。 OpenClaw的后台服务打开后闪退 OpenClaw执行指令时误删除了系统文件，如无重要数据建议重装系统恢复。 如果云电脑是内网，不能访问外网可以用吗？ 不可以，必须要能访问公网。 云电脑OpenClaw默认打开谷歌浏览器，这个默认浏览器可以修改吗？ OpenClaw只是打开系统的默认浏览器，将您需要的浏览器设置为默认浏览器即可。 提问OpenClaw没有回答，后台进程显示“403 Forbidden”字样的报错信息。 风控要求对OpenClaw云电脑出口ip进行白名单管控。您的云电脑出口ip不在后台的白名单中，请联系运维人员进行ip加白。若加白后仍无法正常问答，请按以下指引操作： 1. 按下win+r ，输入 ncpa.cpl； 2. 右键选中网络适配器的属性； 3. 取消勾选 Internet协议版本6 (TCP/IPv6)，确认并保存。 OpenClaw提示：已断开与网关的连接，device identity required 建议通过系统重装升级到最新镜像。升级方法同重装操作系统一致，参考下方链接中“已有云电脑用户，切换OpenClaw镜像体验”。 <

本页面介绍了云数据库ClickHouse产品服务条款。 天翼云云数据库ClickHouse服务条款，详情请参见《天翼云数据库ClickHouse服务协议》。

本章节主要介绍翼MapReduce服务管理角色实例操作。 操作场景 用户可以在MRS Manager启动操作状态为“停止”、“停止失败”或“启动失败”角色实例，以使用该角色实例，也可以停止不再使用或异常的角色实例，或者重启异常的角色实例，以恢复角色实例功能。 操作步骤 在MRS Manager，单击“服务管理”。 1.单击服务列表中指定的服务名称。 2.单击“实例”页签。 3.勾选待操作角色实例前的复选框。 4.选择“更多 > 启动实例”、“停止实例”或“重启实例”，执行相应操作。

本章节主要介绍翼MapReduce运行Hue任务。 前提条件 1. 使用Hue WebUI编辑器前，请前往翼MR Manager集群服务Hue连接器管理页面，选择需要启用的连接器，启用成功后，请在页面右上角的运维操作中重启Hue集群服务。重启后，即可前往Hue WebUI页面进行使用。 2. 当前版本支持使用LDAP账号访问Hue。若使用admin、hdfs或hive等已有权限的用户登录Hue，无需进行Ranger授权，可以跳过此步骤；如果新建LDAP用户，需要通过Ranger授予Hive与HDFS权限，操作步骤如下： 1）前往翼MR Manager集群服务中点击Ranger插件启用启用Hive与HDFS，并重启Hive与HDFS服务； 2）登录Ranger WebUI界面给需要登录的用户授权HADOOP SQL/HDFS等权限。 注意 如果没有给登录用户授权，查询hive可能报错Error， Permission denied: usertest, accessWRITE等问题。 3. 修改coresite.xml文件，为Hue用户配置代理权限。在HDFS配置管理中修改coresite.xml文件配置，新增 hadoop.proxyuser.hue.hosts与hadoop.proxyuser.hue.groups配置项，配置值可按需设置为，保存并同步配置后，请重启HDFS与Hivehiveserver2。 注意 如果没有为Hue用户配置代理权限，可能会报错Failed to validate proxy privilege of hue for test(登录用户)。 4. 若通过公网访问Hue WebUI，需保障网络畅通，您可前往控制台节点管理，为Hue所在的master节点绑定弹性IP，为安全组配置入方向访问规则后，点击访问链接与端口页面中的链接，前往Hue WebUI页面。 5. Hue通过JDBC连接Trino 查询引擎。Trino支持多个Catalog（如 hive、mysql等），但Hue默认连接Trino自带system的系统Catalog ，仅用于监控和元数据查询，无法访问Hive表等业务数据。如何查询Hive或其他业务数据？您有两种方式： 方式一：修改Hue默认连接的Catalog（推荐） 编辑Hue配置文件hue.ini，将Trino URL中的system替换为您实际使用的Catalog名称（例如hive） plaintext [[[trino]]] nameTrino JDBC interfacejdbc options'{"url":"jdbc:trino://yourtrinohost:9808/hive", "driver": "io.trino.jdbc.TrinoDriver", "user": "trino", "passwordscript": "/path/to/passwordscript.sh"}' 保存后重启Hue，即可在查询编辑器中直接使用SQL plaintext SELECT FROM default.users 方式二：在SQL中显式指定Catalog（无需改配置） 即使默认Catalog是system，您仍可通过完整表名查询任意Catalog中的数据。 使用SQL查询Hive 中的表 plaintext SELECT FROM hive.default.users 注意 请确保Trino服务端已正确配置对应的Catalog（如 hive.properties）。

本节介绍了云容器引擎的计费类常见问题。 容器计费项和计费方式是什么？ 支持包年包月和按需计费2种方式，详情可查：点这里 容器如何定价？ 收费项包括：集群管理费、IaaS资源费等, 详情可查：点这里 容器创建的节点是否支持按需转包周期？ 目前不支持按需与包周期互转。 如何为购买的容器实例续费？ 为防止资源到期或者浪费，已经购买包月实例的用户，可执行续费操作，延长容器实例的有效期，也可以设置到期自动续费的相关操作。 开通的容器实例资源何时生效？ 天翼云容器资源在客户支付成功之后，系统经过初始化完成后即可生效使用。 包周期集群到期可以直接删除吗？ 按天翼云规则，到期实例有15天冻结期，期间用户可以发起续订，集群实例会恢复。超过15天冻结期，实例会注销。 如何退订我的容器集群？ 进入控制台，从集群管理列表，可以发起退订。详细可查看：删除集群

本节介绍如何购买SSL VPN实例。 购买SSL VPN时系统会自动匹配合适的云主机，无需用户再单独购买云主机，云主机和SSL VPN会同步计费。 SSL VPN支持包年/包月订购，最小服务时长为1个月。 操作步骤 1. 使用天翼云账号登录SSL VPN管理控制台。 2. 单击“立即购买”进入订购页面。 3. 按需选择并发连接数量、弹性IP、订购时长。 4. 点击“立即购买”，确认订单并支付后等待订单完成即可。

本节介绍了通过JDBC连接RDS for MySQL实例的方法。 通过JDBC连接实例的方式有无需下载SSL证书连接和用户下载SSL证书连接两种，其中使用SSL证书连接通过了加密功能，具有更高的安全性。RDS for MySQL新实例默认关闭SSL数据加密，开启SSL请参考设置SSL数据加密。SSL连接实现了数据加密功能，但同时也会增加网络连接响应时间和CPU消耗，不建议开启SSL数据加密。 前提条件 用户需要具备以下技能： 熟悉计算机基础知识。 了解java编程语言。 了解JDBC基础知识。 使用SSL证书连接 说明 使用SSL证书连接实例，即通过证书校验并连接数据库。RDS for MySQL实例不支持X509认证方式。 步骤 1 下载CA证书或捆绑包。 1. 在“实例管理”页面，单击实例名称进入“基本信息”页面。 2. 单击“SSL”处的“下载”。 步骤 2 使用keytool工具通过CA证书生成truststore文件。 plaintext ./keytool.exe importcert alias ­file keystore storepass 表 变量说明 变量 说明 请替换为JDK或JRE安装路径的bin目录，例如C:Program Files (x86)Javajdk­11.0.7bin。 请设置truststore文件的名称。建议设置为具有业务意义的名称，便于后续识别。 请替换为步骤1中下载解压后CA证书的名称，例如ca.pem。 请设置truststore文件的存放路径。 请设置truststore文件的密码。 代码示例（使用JDK安装路径下的keytool工具生成truststore文件）： plaintext Owner: CNMySQLServer5.7.17AutoGeneratedCACertificate Issuer: CNMySQLServer5.7.17AutoGeneratedCACertificate Serial number: 1 Valid from: Thu Feb 16 11:42:43 EST 2017 until: Sun Feb 14 11:42:43 EST 2027 Certificate fingerprints: MD5: 18:87:97:37:EA:CB:0B:5A:24:AB:27:76:45:A4:78:C1 SHA1: 2B:0D:D9:69:2C:99:BF:1E:2A:25:4E:8D:2D:38:B8:70:66:47:FA:ED SHA256:C3:29:67:1B:E5:37:06:F7:A9:93:DF:C7:B3:27:5E:09:C7:FD:EE:2D:18:86:F4:9C:40:D8:26:CB:DA:95: A0:24 Signature algorithm name: SHA256withRSA Subject Public Key Algorithm: 2048bit RSA key Version: 1 Trust this certificate? [no]: y Certificate was added to keystore 步骤 3 通过JDBC连接MySQL数据库，代码中的JDBC连接格式如下： plaintext jdbc:mysql:// : / ?param1value1¶m2value2 表 参数说明 参数 说明 请替换为实例的IP地址。 说明 如果通过弹性云主机连接，“instanceip”是实例的“内网地址”。您可以在该实例的“连接管理”页面查看。 如果通过公网连接，“instanceip”为该实例已绑定的“弹性公网IP”。您可以在该实例的“连接管理”页面查看。 请替换为实例的数据库端口，默认为3306。 说明 您可以在该实例的“连接管理”页面查看。 请替换为连接实例使用的数据库名，默认为mysql。 requireSSL，用于设置服务端是否支持SSL连接。取值如下： true：支持。 false：不支持。 说明 requireSSL与其他连接参数、sslMode之间的关系请参考表 连接参数与SSLMode的关系说明。 useSSL，用于设置客户端是否使用SSL连接服务端。取值如下： true：使用。 false：不使用。 说明 useSSL与其他连接参数、sslMode之间的关系请参考表 连接参数与SSLMode的关系说明。 verifyServerCertificate，客户端是否校验服务端的证书。取值如下： true：校验。 false：不校验。 说明 verifyServerCertificate与其他连接参数、sslMode之间的关系请参考表 连接参数与SSLMode的关系说明。 trustCertificateKeyStoreUrl，取值为file: 。 请替换为步骤2中truststore文件设置的存储路径。 trustCertificateKeyStorePassword，取值为步骤2中truststore文件设置的密码。 表 连接参数与SSLMode的关系说明 useSSL requireSSL verifyServerCertificate sslMode false 不涉及 不涉及 DISABLED true false false PREFERRED true true false REQUIRED true 不涉及 true VERIFYCA 代码示例（连接MySQL数据库的java代码）： plaintext import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; import java.sql.SQLException; // 认证用的用户名和密码直接写到代码中有很大的安全风险，建议在配置文件或者环境变量中存放(密码应密文存放，使用时解密)，确保安全。 // 本示例以用户名和密码保存在环境变量中为例，运行本示例前请先在本地环境中设置环境变量(环境变量名称请根据自身情况进行设置)EXAMPLEUSERNAMEENV和EXAMPLEPASSWORDENV。 public class JDBCTest { String USER System.getenv("EXAMPLEUSERNAMEENV"); String PASS System.getenv("EXAMPLEPASSWORDENV"); public static void main(String[] args) { Connection conn null; Statement stmt null; // url中所需的连接参数根据实际情况配置 String url "jdbc:mysql:// : / ?param1value1¶m2value2"; try { Class.forName("com.mysql.cj.jdbc.Driver"); conn DriverManager.getConnection(url, USER, PASS); stmt conn.createStatement(); String sql "show status like 'ssl%'"; ResultSet rs stmt.executeQuery(sql); int columns rs.getMetaData().getColumnCount(); for (int i 1; i < columns; i++) { System.out.print(rs.getMetaData().getColumnName(i)); System.out.print("t"); } while (rs.next()) { System.out.println(); for (int i 1; i < columns; i++) { System.out.print(rs.getObject(i)); System.out.print("t"); } } rs.close(); stmt.close(); conn.close(); } catch (SQLException se) { se.printStackTrace(); } catch (Exception e) { e.printStackTrace(); } finally { // release resource .... } } } 结束

本节介绍了通过JDBC连接RDS for MySQL实例的方法。 通过JDBC连接实例的方式有无需下载SSL证书连接和用户下载SSL证书连接两种，其中使用SSL证书连接通过了加密功能，具有更高的安全性。RDS for MySQL新实例默认关闭SSL数据加密，开启SSL请参考设置SSL数据加密。SSL连接实现了数据加密功能，但同时也会增加网络连接响应时间和CPU消耗，不建议开启SSL数据加密。 前提条件 用户需要具备以下技能： 熟悉计算机基础知识。 了解java编程语言。 了解JDBC基础知识。 使用SSL证书连接 说明 使用SSL证书连接实例，即通过证书校验并连接数据库。RDS for MySQL实例不支持X509认证方式。 步骤 1 下载CA证书或捆绑包。 1. 在“实例管理”页面，单击实例名称进入“基本信息”页面。 2. 单击“SSL”处的“下载”。 步骤 2 使用keytool工具通过CA证书生成truststore文件。 plaintext ./keytool.exe importcert alias ­file keystore storepass 表 变量说明 变量 说明 请替换为JDK或JRE安装路径的bin目录，例如C:Program Files (x86)Javajdk­11.0.7bin。 请设置truststore文件的名称。建议设置为具有业务意义的名称，便于后续识别。 请替换为步骤1中下载解压后CA证书的名称，例如ca.pem。 请设置truststore文件的存放路径。 请设置truststore文件的密码。 代码示例（使用JDK安装路径下的keytool工具生成truststore文件）： plaintext Owner: CNMySQLServer5.7.17AutoGeneratedCACertificate Issuer: CNMySQLServer5.7.17AutoGeneratedCACertificate Serial number: 1 Valid from: Thu Feb 16 11:42:43 EST 2017 until: Sun Feb 14 11:42:43 EST 2027 Certificate fingerprints: MD5: 18:87:97:37:EA:CB:0B:5A:24:AB:27:76:45:A4:78:C1 SHA1: 2B:0D:D9:69:2C:99:BF:1E:2A:25:4E:8D:2D:38:B8:70:66:47:FA:ED SHA256:C3:29:67:1B:E5:37:06:F7:A9:93:DF:C7:B3:27:5E:09:C7:FD:EE:2D:18:86:F4:9C:40:D8:26:CB:DA:95: A0:24 Signature algorithm name: SHA256withRSA Subject Public Key Algorithm: 2048bit RSA key Version: 1 Trust this certificate? [no]: y Certificate was added to keystore 步骤 3 通过JDBC连接MySQL数据库，代码中的JDBC连接格式如下： plaintext jdbc:mysql:// : / ?param1value1¶m2value2 表 参数说明 参数 说明 请替换为实例的IP地址。 说明 如果通过弹性云主机连接，“instanceip”是实例的“内网地址”。您可以在该实例的“连接管理”页面查看。 如果通过公网连接，“instanceip”为该实例已绑定的“弹性公网IP”。您可以在该实例的“连接管理”页面查看。 请替换为实例的数据库端口，默认为3306。 说明 您可以在该实例的“连接管理”页面查看。 请替换为连接实例使用的数据库名，默认为mysql。 requireSSL，用于设置服务端是否支持SSL连接。取值如下： true：支持。 false：不支持。 说明 requireSSL与其他连接参数、sslMode之间的关系请参考表 连接参数与SSLMode的关系说明。 useSSL，用于设置客户端是否使用SSL连接服务端。取值如下： true：使用。 false：不使用。 说明 useSSL与其他连接参数、sslMode之间的关系请参考表 连接参数与SSLMode的关系说明。 verifyServerCertificate，客户端是否校验服务端的证书。取值如下： true：校验。 false：不校验。 说明 verifyServerCertificate与其他连接参数、sslMode之间的关系请参考表 连接参数与SSLMode的关系说明。 trustCertificateKeyStoreUrl，取值为file: 。 请替换为步骤2中truststore文件设置的存储路径。 trustCertificateKeyStorePassword，取值为步骤2中truststore文件设置的密码。 表 连接参数与SSLMode的关系说明 useSSL requireSSL verifyServerCertificate sslMode false 不涉及 不涉及 DISABLED true false false PREFERRED true true false REQUIRED true 不涉及 true VERIFYCA 代码示例（连接MySQL数据库的java代码）： plaintext import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; import java.sql.SQLException; // 认证用的用户名和密码直接写到代码中有很大的安全风险，建议在配置文件或者环境变量中存放(密码应密文存放，使用时解密)，确保安全。 // 本示例以用户名和密码保存在环境变量中为例，运行本示例前请先在本地环境中设置环境变量(环境变量名称请根据自身情况进行设置)EXAMPLEUSERNAMEENV和EXAMPLEPASSWORDENV。 public class JDBCTest { String USER System.getenv("EXAMPLEUSERNAMEENV"); String PASS System.getenv("EXAMPLEPASSWORDENV"); public static void main(String[] args) { Connection conn null; Statement stmt null; // url中所需的连接参数根据实际情况配置 String url "jdbc:mysql:// : / ?param1value1¶m2value2"; try { Class.forName("com.mysql.cj.jdbc.Driver"); conn DriverManager.getConnection(url, USER, PASS); stmt conn.createStatement(); String sql "show status like 'ssl%'"; ResultSet rs stmt.executeQuery(sql); int columns rs.getMetaData().getColumnCount(); for (int i 1; i < columns; i++) { System.out.print(rs.getMetaData().getColumnName(i)); System.out.print("t"); } while (rs.next()) { System.out.println(); for (int i 1; i < columns; i++) { System.out.print(rs.getObject(i)); System.out.print("t"); } } rs.close(); stmt.close(); conn.close(); } catch (SQLException se) { se.printStackTrace(); } catch (Exception e) { e.printStackTrace(); } finally { // release resource .... } } } 结束

本文介绍什么是边缘接入服务。 边缘接入服务介绍 边缘接入服务依托天翼云CDN平台的优质节点及线路，通过智能调度、传输优化等核心技术，为基于TCP/UDP协议的各类应用提供性能优化服务，包括企业办公系统（如OA、邮箱等）、业务系统（如ERP、DMS等）、金融及游戏行业的各种动态指令及接口等，可有效解决公网链路抖动、拥塞等问题，大幅提升办公系统、业务系统、生产系统等各类应用的访问速度与稳定性。 功能介绍 边缘接入服务的功能及其详细介绍，详见：功能概述。 使用限制 客户业务接入边缘接入服务的基本条件，详见：使用限制。 应用场景 办公应用加速 常见的OA、邮箱、Salesforce等办公应用，实测常规动态传输性能平均提升100%。 支持多种视频会议架构，保障音视频画质清晰流畅，不掉线，性能提升510倍。 保障多分支机构、移动办公人员通过VPN访问内网的稳定性，如SSL VPN。 业务系统加速 适用于制造业日常使用的ERP、CRM、SCM、DMS等业务系统。 保障常见库存、订单、客户数据的及时同步，显著提高效率及产能。 金融类加速 适用于手机银行、网银支付、在线交易、股票买卖等场景，大大降低交易延时。 可实现WebSocket协议的应用加速，如行情数据推送等。

分布式消息服务Kafka提供全托管、免运维的迁移上云服务，用于自建实例或跨云云实例与分布式消息服务Kafka实例之间的数据同步。本文介绍迁移上云的源实例类型、使用限制、跨VPC数据同步以及使用流程。 背景信息 迁移上云可以把源云分布式消息服务Kafka集群的元数据（Topic和Group配置信息）、消息数据和点位信息同步到目标集群，迁移完成后目标集群的元数据与原集群的元数据保持一致，并且支持持续更新和完成后自动停止任务。 使用限制 1. 此功能不收费，会占用当前实例的服务器资源，请结合业务流量和服务器资源占用情况，在合理的情况下进行迁移。 2. 单机版不支持迁移。 计费说明 分布式消息服务Kafka的迁移上云组件处于公测阶段，不会在分布式消息服务Kafka侧产生费用。同时，天翼云不承诺迁移的SLA，使用迁移上云所依赖的其他产品的SLA和费用说明请以对应产品为准。 环境要求 如果您需要通过迁移上云功能将公网的自建实例的数据同步到分布式消息服务Kafka或者跨地域将某个VPC内的分布式消息服务Kafka的数据同步到另一个VPC的分布式消息服务Kafka，您需要为该实例绑定弹性IP开启公网访问，然后在公网上进行数据同步。 如果您需要将某个VPC内的数据通过迁移上云功能同步到另一个VPC的分布式消息服务Kafka，需要手动打通VPC。具体步骤，请参见：使用VPCEP实现跨VPC访问Kafka

本文介绍创建和开通云端口的流程。 前提条件 用户已经根据自身业务需求对云专线的使用做了初步的网络规划，例如大概需要几条云专线，云专线的带宽速率等等，具体规划要素请参见“常见问题​>管理类​>云专线接入前期要考虑的要素有哪些？”。 用户已经实施开通了用户本地IDC机房到天翼云资源池的物理电路，并联系电信客户经理申请云端口资源。 用户已经创建了虚拟私有云VPC。 购买流程 步骤1：订购云端口带宽 步骤2：开通云端口配置 步骤1：订购云端口带宽 1、登录云专线控制台，做左侧导航栏中，单击【物理专线】。 2、在物理专线页面，单击【创建云端口】。 3、在云专线端口资源订购页面，配置以下参数信息，然后单击【下一步】。 配置 说明 服务方案 默认为申请云端口。 地域 默认为云专线控制台左上当前地域，建议根据用户IDC位置就近选择地域。 云端口 默认自动生成云端口名称，长度为260个字符。 云端口带宽 选择云端口占用带宽，带宽大小建议和物理电路带宽保持一致。 IDC地址 设置云端口对端的用户本地IDC地址信息，非必填。 联系人姓名 设置云端口使用人姓名，非必填。 联系人电话 设置云端口使用人电话，非必填。 联系人email 设置云端口使用人email，非必填。 备注 设置云端口备注信息，非必填。 企业项目 选择企业项目。 说明 企业项目是对多个资源实例进行归类管理的单位，不同云服务区域的资源和项目可以归到一个企业项目中。 订购时长 “包年/包月”计费方式需要设置订购市场，最短为1个月，最长为5年。 自动续订 “包年/包月”计费方式可选是否开启自动续订，选择【开启】或【关闭】。 说明 按月购买，自动续订周期为1个月。 按年购买，自动续订周期为1年 协议 阅读并勾选同意协议。 4、在订购详情页，确认订购信息准确后，单击【确认订购】。 5、在订单页面，单击【立即付款】，付款成功后即可在物理专线页中创建云端口，此时订单处于开通中并未开始计费起租。 说明 1、订单支付成功后，订单状态处于开通中，此时未开始计费起租。 2、7天内通过天翼云工单完成云端口配置开通后，订单开始计费起租。否则订单将撤单，并自动释放待开通的云端口资源。

容器环境 容器集群一般会涉及大量数据采集，因此通常将单个容器集群定义为一个单独的监控环境。针对容器环境，Prometheus监控为天翼云容器引擎服务提供了一套自动化管理流程，可轻松部署采集探针并处理数据。 云服务环境 云服务环境主要针对常规云产品数据的采集，默认以资源池为维度创建。 主机环境 云主机的数据采集主要依赖网络传输，因此通常将一个VPC设定为一个单独的监控环境。目前主机环境监控暂未开放。

本地客户端为Windowws系统 在Windows系统中，您可通过tracetcp进行端口可用性探测。tracetcp同样通过发送TCP数据包进行链路探测，以分析链路是否存在中间节点对目标端口做了阻断。 安装traceroute 1. 在WinPcap官网下载并安装WinPcap library。 2. 在tracetcp官网下载tracetcp。 3. 将下载的tracetcp解压。 4. 进入解压后的文件夹，把tracetcp.exe程序移动到：C:WindowsSystem32 目录下。 注意 如果程序不在系统目录，则需要手动修改系统环境变量，以确保指令可以直接调用。 使用方法 在Windows PowerShell或cmd命令行中输入tracetcp命令，常用tracetcp命令格式如下所示。 plaintext tracetcp : ：指目标服务器的IP地址或者域名。 ：指需要探测的目标端口。 关于更多tracetcp参数说明，您可以通过tracetcp ?命令查看帮助。 测试示例 tracetcp的示例命令和返回结果如下。 plaintext C:UsersAdministrator>tracetcp www.ctyun.cn:80 Tracing route to 171.XXX.XXX.8 on port 80 Over a maximum of 30 hops. 1 1 ms 1 ms 1 ms 192.168.XX.X [XiaoXXXX] 2 3 ms 2 ms 2 ms 192.168.X.X [192.168.X.X] 3 11 ms 6 ms 6 ms 100.XX.X.X 4 4 ms 218.XX.XXX.XXX [XXX.XXX.XX.218.broad.XX.XX.XXXXXXX.163data.com.cn] 5 4 ms 182.140.220.106 6 10 ms 7 ms 7 ms 61.XXX.X.XXX [XXX.X.XXX.61.broad.XX.XX.XXXXXXX.163data.com.cn] 7 9 ms 7 ms 7 ms 118.XXX.XX.XXX 8 Destination Reached in 8 ms. Connection established to 171.XXX.XXX.8 Trace Complete. 当相关端口在某一跳被阻断，则之后各跳均不会有返回数据，据此就可以判断出异常节点。您可以根据相应节点信息，查询IP归属运营商进行问题反馈。

步骤五：配置客户端 以Windows客户端为例进行操作说明，按照以下操作，安装并配置Windows客户端。 1. 下载客户端，选择“Windows 7及以上版本”，单击“立即下载”，下载客户端软件并安装客户端软件。 2. 安装完成，打开CTCloudConnect客户端软件，首次配置客户端时，点击“立即新建”，进入新建SSL连接页面。 3. 根据服务端的配置，输入连接信息。其中，网关IP及端口号分别填写步骤一中记录的VPN网关IP地址和步骤二中配置的端口。 4. 若开启证书认证，则需要上传步骤四获取的证书文件。单击“保存”，完成连接创建。 步骤六：连接并测试连通性 按照以下操作，访问VPC，测试网络连通性。 1. 返回连接管理页面，在连接列表中选中需进行连接的VPN名称。点击“内网连接”，进行内网连接。 2. 若已开启密码认证，需在用户登录弹窗中，输入客户端密码；若还开启短信认证，还需在用户登录弹窗中，输入短信验证码。单击“登录”，完成信息提交。 3. 经测试，Windows客户端可以正常连接VPC。