本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 场景描述 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，您可以很方便地实现安全审计、问题跟踪、资源定位，帮助您更好地规划和利用已有资源、甄别违规或高危操作。 什么是事件 事件即云审计服务追踪并保存的云服务资源的操作日志，操作包括用户对云服务资源新增、修改、删除等操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 约束与限制 用户通过云审计控制台只能查询最近7天的操作记录，过期自动删除，不支持人工删除。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 用户对云服务资源做出创建、修改、删除等操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 在CTS查看审计事件 1. 登录控制台，单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 2. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 3. 在页面右上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 4. 事件列表支持通过筛选来查询对应的操作事件。 参数名称 说明 事件类型 事件类型分为“管理事件”和“数据事件”。 管理类事件，即用户对云服务资源新建、修改、删除等操作事件。 数据类事件，即OBS服务上报的OBS桶中的数据的操作事件，例如上传数据、下载数据等。 云服务 在下拉选项中，选择触发操作事件的云服务名称。 资源类型 在下拉选项中，选择操作事件涉及的资源类型。 支持的资源类型请参见云审计服务支持的态势感知（专业版）操作列表。 筛选类型 筛选类型分为“资源ID”、“事件名称”和“资源名称”。 资源ID：操作事件涉及的云资源ID。 当该资源类型无资源ID，或资源创建失败时，该字段为空。 事件名称：操作事件的名称。 支持审计的操作事件的名称请参见云审计服务支持的态势感知（专业版）操作列表。 资源名称：操作事件涉及的云资源名称。 当事件所涉及的云资源无资源名称，或对应的API接口操作不涉及资源名称参数时，该字段为空。 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的tracetype的值为“SystemAction”时，表示本次操作由服务内部触发，该条事件对应的操作用户可能为空。 事件级别 可选项包含“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 Normal代表操作成功。 Warning代表操作失败。 Incident代表比操作失败更严重的情况，如引起其他故障等。 5. 选择完查询条件后，单击“查询”。 6. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。 7. 在需要查看的事件左侧，单击展开该记录的详细信息。 8. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。

本节主要介绍边缘虚拟机的定义和使用场景等。 定义 智能边缘云（ECX）边缘虚拟机实例是指靠近用户侧的边缘场景下创建的实例资源，包含CPU、内存、GPU、存储、网络等资源组件。 使用场景 边缘虚拟机实例与天翼云弹性云主机（CTECS）相对独立，承载不同的业务，边缘实例更适用于IoT、智慧园区等靠近用户侧的场景。 使用说明 您可访问智能边缘云控制台（ 实例规格 当前可售卖实例规格含通用计算型、计算增强型、GPU型等不同类型，根据虚拟机的vCPU、内存、GPU等的数量及实例所属区域不同，价格不同，具体参考价格。 实例规格指标数据如下： 规格 名称 vCPU 内存 网络带宽能力（Gbps） 网络收发包pps 队列数 通用计算型 s6.large.2 2 4 1 30万 2 通用计算型 s6.xlarge.2 4 8 1.5 50万 4 通用计算型 s6.2xlarge.2 8 16 2 80万 8 通用计算型 s6.4xlarge.2 16 32 3 100万 16 通用计算型 s6.8xlarge.2 32 64 6 200万 16 计算增强型 c6.large.2 2 4 1 30万 2 计算增强型 c6.xlarge.2 4 8 1.5 50万 4 计算增强型 c6.2xlarge.2 8 16 2 80万 8 计算增强型 c6.4xlarge.2 16 32 3 100万 16 计算增强型 c6.8xlarge.2 32 64 6 200万 16 说明 上述实例规格指标均在纯转发测试环境下验证获得。 在实际业务场景中，由于实例的负载类型、包长大小、长短连接、镜像版本、组网模型等条件不同，实例的性能表现可能存在差异。建议您先进行业务压测了解实例的性能表现，以选择合适的实例规格。 不同资源池可开通的实例规格库存不同，具体以开通界面为准。

本章节为您介绍云堡垒机自动运维的相关内容。 云堡垒机具备自动运维功能，允许用户依照既定步骤自行执行命令和运维脚本，对多个目标进行自动化运维管理。除此之外，系统支持设定任务执行的周期和时间，实现自动化定期执行。同时，它还能够并行处理多种类型的任务步骤，大大提高了效率。 约束限制 仅支持对Linux主机（SSH、Telnet协议类型）资源执行自动运维任务。 暂不支持对Windows主机资源、数据库资源和应用资源执行自动运维任务。 管理员和运维角色都支持自动化运维功能 用户自动化运维可执行的命令和脚本受到命令权限的限制 新建自动运维策略 1.使用“管理角色”或“运维角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“自动运维”，进入“自动运维”页面。 3.单击“新增”，开始新增自动运维策略。 4.在弹出的“新增自动运维策略”对话框中填写相关内容。 配置项 说明 任务名称 自定义运维策略名称。 描述 自定义运维策略的描述内容。 资产账号 单击“添加”选择需要自动化运维的设备及账号。 执行策略 选择运维策略 手动执行：保存运维策略后可手动执行该策略。 定期执行：选取执行时间，保存后在对应时间执行该策略。 周期执行：选取首次执行时间和执行周期（天），保存后在对应时间执行该策略。 执行方式 选择自动化运维的执行方式 执行命令：在“执行命令”参数框中填写需要执行的运维的命令。 执行脚本：上传可使用的.sh/.py脚本命令，若有相关脚本参数在“脚本参数”对话框中填写，多个参数使用英文逗号","分隔。 5.单击“确认”，弹出“验证用户身份”窗口。 6.在“验证用户身份”窗口输入资产账号的密码，完成输入后单击“提交”即可完成自动运维策略建立。

本节主要介绍基本概念 使用IAM服务时常用的基本概念包括：帐号、IAM用户、帐号与IAM用户的关系、用户组、身份凭证、授权、权限、项目、委托、身份凭证。 账号 您首次使用天翼云时注册的帐号是您的资源归属、资源使用计费的主体，对其所拥有的资源及云服务具有完全的访问权限，可以进行重置用户密码、分配用户权限等操作。 帐号不能在IAM中修改和删除，您可以在天翼云官网“账号中心”修改帐号信息，如果您需要删除帐号，可以在“账号中心”进行注销。 IAM用户 由帐号在IAM中创建的用户，一般为具体云服务的使用人员，具有独立的身份凭证（密码和访问密钥），根据帐号授予的权限使用资源。 如果您忘记了IAM用户的登录密码，可以在天翼云官网“账号中心 > 统一身份认证 > 用户”中重置密码。 帐号与IAM用户的关系 帐号与IAM用户可以类比为父子关系，帐号是资源归属以及计费主体，对其拥有的资源具有所有权限。IAM用户由帐号创建，只能拥有帐号授予的资源使用权限，帐号可以随时修改或者撤销IAM用户的使用权限。 图 账号与IAM用户 授权 授权是您将完成具体工作所需要的权限授予IAM用户，授权通过定义权限策略生效，通过给用户组授予策略（包括系统策略和自定义策略），用户组中的用户就能获得策略中定义的权限，这一过程称为授权。用户获得具体云服务的权限后，可以对云服务进行操作，例如，管理您帐号中的ECS资源。 图 授权

本章节主要介绍通过弹性公网IP访问。 为了方便用户访问开源组件的Web站点，翼MapReduce集群支持通过为集群绑定弹性公网IP的方式，访问集群上托管的开源组件。该方式更加简便易操作，推荐使用该方式访问开源组件的Web站点。 绑定弹性公网IP 1. 在集群列表页面，单击“集群名称”列下需要绑定IP的集群名称，进入该集群信息页面。 2. 确定需要开通公网访问组件所在的节点。可以通过单击“访问链接与端口”，在“集群服务名称”中找到需要开通公网访问的组件，其“原生UI地址”中包含所在节点内网IP地址。 3. 单击“节点管理”，点击“节点组名称”列的下拉按钮，展开对应的节点信息，确定需要开通公网访问的节点，单击“操作”列的“更多”。 4. 单击“绑定弹性IP”，在“绑定弹性IP”的弹框中，如果您账号下没有可用的弹性公网IP，需要点击“+创建弹性公网IP”按钮跳转至新页面进行创建；如果您账号下有可用的弹性公网IP，可以通过下拉“弹性IP”的选择框选择IP后，点击“确认”进行绑定。 5. 绑定弹性IP后，根据需要对集群安全组规则进行相应的添加或修改，变更端口的访问权限。之后可以通过“公网IP：端口”的方式访问该开源组件的Web站点。

接口功能介绍 调用此接口可更新告警模板。 接口约束 告警模板内容不能为空。 URI POST /v4/monitor/updatealarmtemplate 请求参数 请求体body参数 参数 参数类型 是否必填 示例 说明 下级对象 content Object 是 告警模板内容 content templateID String 是 312b56b43e4311ed8ef2005056898fe0 告警模板ID 表content 参数 参数类型 是否必填 示例 说明 下级对象 name String 是 xsZSu 告警模板名称 ser String 是 ecs 本参数表示告警服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“告警规则：获取告警服务列表”接口返回。 dim String 是 ecs 本参数表示告警维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“告警规则：获取告警服务维度关系”接口返回。 desc String 否 test 告警模板描述 rules Array of Objects 是 告警规则 rule 表rule 参数 参数类型 是否必填 示例 说明 下级对象 for Integer 否 120 持续时间，当规则执行结果持续多久符合条件时报警（防抖），默认120s metric String 否 cpuutil 监控指标，默认为cpuutil fun String 否 min 本参数表示采用算法。默认值min。取值范围：last：原始值。avg：平均值。max：最大值。min：最小值。根据以上范围取值。 operator String 否 le 本参数表示比较符。默认值le。取值范围：eq：等于。gt：大于。ge：大于等于。lt：小于。le：小于等于。根据以上范围取值。 value String 否 80 告警阈值，整数、小数、百分数格式字符串，默认为80 period String 否 5m 本参数表示算法统计周期。默认值5m。参数fun为last时不可传。参数fun为avg、max、min均需填此参数。本参数格式为“数字+单位”。单位取值范围：m：分钟。h：小时。d：天。根据以上范围取值。 level Integer 否 1 本参数表示报警级别。默认值1。取值范围：1：灾难告警。2：严重告警。3：一般告警。4：警告告警。根据以上范围取值。

ACL支持和子网关联后对子网流量进行过滤防护,本文帮助您快速熟悉ACL关联子网的操作流程。 使用场景 ACL是一个子网级别的防护能力，需要和子网进行关联才可以对子网的流量进行过滤防护。 注意 可用区资源池需要在ACL创建后关联子网；地域资源池需在创建ACL时指定与子网的关联关系。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成网络ACL的创建。 仅可用区资源池支持，实际情况以控制台展现为准。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在“ACL”界面，找到目标网络ACL，单击网络ACL的名称。 6. 进入“ACL”详情页面，点击列表页的“关联子网”。 7. 在弹出的关联子网页面，选择需要关联的子网，单击“确定”。 注意 已被网络ACL关联的的子网将不会展示在其他ACL关联子网的弹窗中，如您需要更换ACL与子网之间的绑定关系，请先解除已绑定的ACL和子网，再进行重新关联。 仅可用区资源池支持在ACL创建后关联子网。 地域资源池需创建ACL时指定与子网的关联关系。 对于地域资源池来说，一个子网同一时间仅支持一个ACL，一个ACL仅支持关联一个子网。 对于可用区资源池来说，一个子网同一时间仅支持一个ACL，一个ACL支持关联多个子网。

本文介绍下载备份功能。 前提条件 关系数据库PostgreSQL版实例使用对象存储服务作为备份存储介质，已开启下载备份功能并存在已备份完成的备份集。 注意事项 支持使用公网和内网下载备份文件，您需要注意如下事项： 使用公网下载文件时，将产生公网流量费用，具体资费信息，请参考备份。 使用内网下载文件时，网络更加稳定且不会产生流量费用，但该方式仅适用于在相同资源池的云主机使用。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库PostgreSQL版 ，进入关系数据库PostgreSQL版产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏选择PostgreSQL > 实例管理 ，并在实例列表中单击目标实例名称，进入实例基本信息 页面，然后单击备份恢复，进入基础备份列表页面。 3. 在备份文件列表中，找到待下载的备份文件，单击操作 列的下载。 4. 在文件下载 对话框中，选择下载方式 为内网下载 或公网下载，然后复制生成的下载地址或者单击下载箭头，即可下载备份文件。 注意 如选择内网下载，则将链接复制，使用“wget 公网下载方式的临时下载地址链接有效时间为1小时。 当前仅部分资源池支持下载备份功能，具体支持情况请查看功能加载说明。

本文介绍域名管理模块所涉及的功能。 概述 通过对域名管理相关的功能模块进行概括性介绍，方便您全面了解当前天翼云CDN加速已支持的相关功能以及指引您快速找到对应功能的介绍入口，更快上手。 模块简介 相关管理模块简介如下： 域名管理模块 说明 批量配置域名 介绍当客户多个域名需要配置，而配置值又是相同的情况，这时可以使用批量配置域名功能。 域名操作日志 介绍CDN域名操作记录，它是用于跟踪和记录由客户操作发起的域名新增及域名配置变更任务的状态和执行结果，方便跟进变更的进度以及追溯变更历史，辅助管理客户业务。 标签管理 介绍标签组和标签的用途和用法，包括创建，删除，关联域名等。 基础配置 介绍域名基础配置，包括域名归属权验证、加速类型选定、加速区域选定、IPv6开关。 回源配置 介绍CDN回源相关的功能和配置，包括源站配置、回源协议、回源端口、默认回源HOST、指定源站回源HOST、回源SNI、回源HTTP请求头、回源URI改写、回源302/301跟随、区分IPv4/IPv6回源、分区域分运营商回源、回源参数改写、Common Name白名单、私有Bucket回源、高级回源、回源超时时间等。 头部修改 介绍头部修改相关配置，包括HTTP响应头，回源HTTP请求头，回源HTTP响应头。 HTTPS配置 介绍HTTPS相关的功能，包括HTTPS配置、HTTP2.0配置、强制跳转、OCSP装订、国密HTTPS、TLS版本配置、批量HTTPS证书配置、配置HSTS、CDN支持的SSL/TLS加密套件等。 缓存配置 介绍缓存相关功能，包括缓存过期时间、状态码过期时间、状态码过期时间（源站优先）、缓存key设置、跨域资源共享等。 访问控制 介绍访问控制相关的功能，包括Referer防盗链、IP黑白名单、UA黑白名单、URL黑白名单、URL鉴权、远程同步鉴权、带宽控制、IP访问限频、单请求限速等策略。 文件处理 介绍文件处理相关的功能，包括文件压缩、html页面优化、html禁止操作、图片处理。 HTTP3.0(QUIC)协议 介绍HTTP3.0(QUIC)协议的适用场景和配置方法。 视频相关 介绍视频有关的功能，包括视频拖拉、视频试看、分片回源、HLS标准加密改写。 高级配置 介绍天翼云CDN加速平台高级配置，包括访问URL重定向，错误页面重定向。 业务告警 介绍天翼云CDN加速平台的业务监控指标和告警功能及其配置方法。 云备源 介绍云备源的适用场景及使用说明。 CDN镜像源 介绍镜像源功能原理及配置说明。 防攻击处理预案说明 介绍安全攻击发生时CDN平台的应急处理机制。 增值服务 介绍CDN增值服务的适用场景和申请方法。

本文指导您如何创建天翼云SDWAN。 操作场景 用户如需使用天翼云SDWAN服务，首先需要创建天翼云SDWAN实例。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“总览”，单击“创建天翼云SDWAN”;（或者选择“天翼云SDWAN”，单击“创建天翼云SDWAN”）； 3. 根据页面提示，填写SDWAN名称、描述（选填），选择要加入的企业项目； 4. 单击“确定”，完成天翼云SDWAN实例创建。

本文将为您介绍如何查看监控指标数据。 操作场景 将弹性云主机实例加入伸缩组后，云监控会自动为其开启监控，用户可以通过云监控更好地掌握伸缩组内实例运行状况。 前提条件 当伸缩组内没有实例时，即实例数为0时，无法在监控中查看到任何监控数据。 当伸缩组内云主机实例处在关机、故障、删除状态时，您无法查看其CPU使用率、内存使用率等性能指标，必须确保弹性伸缩组内的弹性云主机处于正常运行状态。 操作步骤 查看监控指标数据您可以从两个入口进入： 在弹性伸缩组页面查看。 在云监控页面查看。 在弹性伸缩组页面查看 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 点击待查看实例监控指标数据的伸缩组名称，进入到伸缩组详情页面。 5. 在详情页面的下方，单击“监控”进入监控页签，即可查看伸缩组内实例的监控指标数据。 在云监控页面查看 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“管理与部署>云监控”，进入云监控管理控制台。 4. 在左侧的导航栏中单击“云服务监控>弹性伸缩监控”，进入到“弹性伸缩监控”页面。 5. 进入到“弹性伸缩监控”页面后，可以查看到当前已创建的弹性伸缩组，在待查看监控性能数据的伸缩组所在行，单击“操作>查看监控图表”，即可进入至监控指标数据详情页面。 您可以在监控指标数据详情页面查看伸缩组内当前实例“近 1 小时”、“近 3 小时”、“近 12 小时”、“近 24 小时”、“近 7 天”“近15天”的监控性能数据。如果您想查看更长时间范围的监控曲线，请在监控视图中单击图标，进入大图模式查看。

在函数计算服务中，新创建的函数实例默认情况下具备访问公网的能力，但无法访问VPC（虚拟私有云）内的资源。如果您的业务场景需要函数能够与VPC内的资源进行交互，或者仅允许来自特定VPC的函数调用请求，您需要对函数进行网络配置，本文介绍如何通过函数计算控制台为函数配置网络。 网络访问类型 在函数计算中，通过网络地址进行的访问操作会产生不同类型的流量。这些流量根据其目的地可以分为两大类： 公网流量：这指的是函数实例访问公网地址所产生的流量，例如访问天翼云官网产生的流量即公网流量。 VPC内网流量：这是指函数实例访问用户VPC内资源所产生的流量。例如访问天翼云关系型数据库服务、分布式缓存服务、对象存储以及VPC中其他弹性云主机的内网地址。 函数的网络配置 根据函数的网络配置，您可以为函数实例设定不同的网络访问能力，以满足您的业务需求： 函数出流量：这是指函数实例发起的对外流量，包括访问公网资源和VPC内资源。对于出流量的配置，您可以设置函数是否能够访问VPC内的资源，以及是否允许函数访问公网。 网络配置 配置含义 仅允许函数访问公网 仅允许函数访问公网，所需的网络配置如下：设置允许访问 VPC 为否 。设置允许函数默认网卡访问公网 为是。 仅允许函数访问VPC 仅允许函数访问VPC，所需的网络配置如下：设置允许访问 VPC 为是 ，并配置具体的VPC信息。设置允许函数默认网卡访问公网 为否。 允许函数访问公网和VPC 允许函数访问公网和VPC，所需的网络配置如下：设置允许访问 VPC 为是 ，并配置具体的VPC信息。设置允许函数默认网卡访问公网 为是。 禁止函数访问公网和VPC 禁止函数访问公网和VPC，所需的网络配置如下：设置允许访问 VPC 为否 。设置允许函数默认网卡访问公网 为否。 函数入流量：这是指外部访问函数实例的流量，包括公网和VPC。对于入流量的配置，您可以设置公网是否可以访问函数，以及VPC是否可以访问函数。 网络配置 配置含义 允许公网和VPC访问函数 允许公网和VPC访问函数，所需的网络配置如下：设置仅允许指定 VPC 调用函数 为否。 仅允许指定VPC访问函数 仅允许指定VPC访问函数，所需的网络配置如下：设置仅允许指定 VPC 调用函数 为是，并配置具体的VPC信息。

本章节主要介绍翼MR Manager的集群服务配置的查看操作。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“集群服务”，进入集群服务列表页面。 5. 选择指定集群服务，单击集群服务名称进入集群服务详情页面。 6. 单击“配置管理”tab，即可查看该集群服务的所有配置。如图所示： 7. 对于隐私配置项，默认将加密展示，点击文本框右侧查看按钮，输入配置主密码即可查看。如果当前集群开通后未设置过主密码，请参考用户手册的配置管理主密码设置，设置主密码后，进行查看。 说明运维变量配置 在服务的default分组下，以vars.yaml后缀结尾的配置文件，为运维变量配置文件。运维变量配置文件不是服务本身的配置文件，而是存放Manager运维操作变量的文件，每个运维变量的含义如下表。 组件 运维变量名 是否建议修改 含义说明 HDFS activenamenode 否 部署时使用，在这台机器上执行format操作。 HDFS kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 HDFS ldapGuestPassword 否 部署和扩容时使用，连接ldap的guest用户密码，此权限只能查看用户，不能创建用户。 HDFS ldapuri 否 部署和扩容时使用，配置ldap的连接地址。 HDFS dfsclusterId 否 部署时使用，ns的默认值。 HDFS pipelinejobretrytimes 是 流水线重试次数。 HDFS jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 YARN 无 共享HDFS运维变量。 ZooKeeper kerberosRealm 否 部署时使用，配置kerberos的realm的信息。 ZooKeeper kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 ZooKeeper zksuperuser 否 部署和扩容时使用，配置zk的超级用户。 ZooKeeper zksuperuserpasswd 否 部署和扩容时使用，配置超级用户的密码。 ZooKeeper componentuser 否 暂未使用。 ZooKeeper dataLogDir 否 部署时使用，需要通过ansbile创建目录。 ZooKeeper dataDir 否 部署时使用，需要通过ansbile创建目录。 Kerberos kerberosRealm 否 部署时使用，配置kerberos的realm的信息。 Kerberos kdcmaster 否 部署时使用，指定master节点，执行master节点的操作。 Kerberos kdcslave 否 部署时使用，指定slave节点，执行slave节点的操作。 Kerberos kerberosdatabasepasswd 否 部署时使用，配置kerberos的数据库密码。 Kerberos kerberosadminuser 否 部署时使用，配置kerberos的admin用户。 Kerberos kerberosadminpasswd 否 部署时使用，配置kerberos的admin用户密码。 OpenLDAP ldapmasterhostname 否 部署时使用，指定master节点，执行master节点的操作。 OpenLDAP ldapslavehostname 否 部署时使用，指定slave节点，执行slave节点的操作。 OpenLDAP olcRootDN 否 部署时使用，服务配置。 OpenLDAP olcSuffix 否 部署时使用，服务配置。 OpenLDAP ldapAdminPwd 否 部署时使用，admin用户的密码。 OpenLDAP ldapGuestPwd 否 部署时使用，guest用户的密码。 OpenLDAP ldapuri 否 部署时使用，ldap的连接信息。 OpenLDAP ldapBaseUgDN 否 部署时使用，服务配置。 OpenLDAP pipelinejobretrytimes 是 流水线重试次数。 OpenLDAP jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 HBase kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 HBase pipelinejobretrytimes 是 流水线重试次数。 HBase jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Spark kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Spark ldapmaster 否 部署时使用，ldap的master节点。 Spark eventlogdir 否 部署时使用，通过ansible创建目录。 Spark sparkhome 否 部署时使用，通过ansible创建目录。 Hive kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Hive ldapmaster 否 部署时使用，ldap的master节点。 Hive databasepass 否 部署时使用，hive使用的数据库密码，需要用户填写。 Kafka kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 Kafka kerberosrealm 否 kerberos的realm的信息。 Kafka logdirs 否 （目前不再使用，通过从配置文件中渲染来创建目录）部署和扩容时使用，通过ansible创建目录。 Kafka pipelinejobretrytimes 是 流水线重试次数。 Kafka jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Kyuubi kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Kyuubi ldapmaster 否 部署时使用，ldap的master节点。 Kyuubi kyuubilogdir 否 目录。部署时使用，通过ansible创建。 Kyuubi kyuubieventlogdir 否 目录。部署时使用，通过ansible创建。 Kyuubi kyuubiworkdir 否 目录。部署时使用，通过ansible创建。 Kyuubi adminuser 否 目录的属主。 Kyuubi usergroup 否 目录的属组。 Kyuubi pipelinejobretrytimes 是 流水线重试次数。 Kyuubi jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Flink kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Flink ldapmaster 否 部署时使用，ldap的master节点。 Flink logDir 否 目录。部署时使用，通过ansible创建。 Flink HistoryServerDir 否 目录。部署时使用，通过ansible创建。 Flink pipelinejobretrytimes 是 流水线重试次数。 Flink jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Elasticsearch CERTNODE 否 部署时使用，指定证书节点，在节点上执行生成证书的操作。 Elasticsearch ESDATADIRS 否 目录。部署时使用，通过ansible创建。 Elasticsearch ESDEFAULTPASSWORD 否 部署时使用。默认的密码，随机密码。 Doris FEDEFAULTLEADERHOSTNAME 否 部署和扩容时使用，指定leader节点，在上面执行leader的相关操作。 Doris FEDEFAULTPASSWORD 是 部署时随机生成的Doris组件root密码。节点扩容需要使用该密码，如用户已修改，需要设置正确的值，否则会影响扩容操作。 Doris FEHTTPPORT 否 服务端口，不推荐修改。 Doris FEQUERYPORT 否 服务端口，不推荐修改。 Doris FEEDITLOGPORT 否 服务端口，不推荐修改。 Doris BESTORAGEROOTPATH 否 服务端口，不推荐修改。 Doris BEHEARTBEATSERVICEPORT 否 服务端口，不推荐修改。 Doris BROKERIPCPORT 否 服务端口，不推荐修改。 Trino datadir 否 目录。部署和扩容时使用，通过ansible创建。 Trino kerberosrealm 否 kerberos的realm的信息。 Trino kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Trino ldapmaster 否 部署时使用，ldap的master节点。 Trino coordinator 否 部署和扩容时使用，指定主节点，在上面执行主节点的相关操作。 Trino uiuser 否 ui的用户。 Trino uipassword 否 ui的密码，部署时随机生成。 Trino serveruser 否 server的用户。 Trino serverpassword 否 server的密码，部署时随机生成。 Trino pipelinejobretrytimes 是 流水线重试次数。 Trino jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Ranger dbhost 否 外置数据库信息，需要用户填写。 Ranger dbname 否 外置数据库信息，需要用户填写。 Ranger dbuser 否 外置数据库信息，需要用户填写。 Ranger dbpassword 否 外置数据库信息，需要用户填写。 Ranger dbrootuser 否 部署时使用，ranger使用的外置数据库信息。 Ranger dbrootpassword 否 部署时使用，ranger使用的外置数据库信息。 Ranger rangerpassword 否 ranger admin用户密码。 Ranger SYNCLDAPBINDPASSWORD 否 部署时使用，ranger访问ldap的密码。 Ranger SYNCSOURCE 否 用户同步方式，ldap。 Ranger kerberosrealm 否 kerberos的realm的信息。 Ranger kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Ranger SYNCLDAPURL 否 ldap相关信息。 Ranger POLICYMGRURL 否 ranger admin url信息。 Ranger separatedbamode 否 是否单独执行DBA，默认true，表示需要提前创建ranger使用的数据库和用户，并授权，不推荐修改。 Ranger pipelinejobretrytimes 是 流水线重试次数。 Ranger jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Knox kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Logstash pipelinejobretrytimes 是 流水线重试次数。 Logstash jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 JeekeFS kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 KafkaUI kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 KafkaUI ldapGuestPassword 否 部署时使用，Openldap的guest用户密码。 Pushgateway PUSHGATEWAYPASSWORD 否 部署时使用，Pushgateway服务的密码。 Pushgateway PUSHGATEWYUSERNAME 否 部署时使用，Pushgateway服务的用户名。 TezUI pipelinejobretrytimes 是 流水线job最大重试次数。 TezUI jobretrybasedonpipelinetypes 否 基于的流水线类型。

本文将帮助您了解什么是IPv4网关,以及IPv4网关的使用限制、配额限制等内容。 什么是IPv4网关 IPv4网关是连接虚拟私有云和公网的网络组件。虚拟私有云访问IPv4公网的流量经过IPv4网关，由IPv4网关实现路由转发以及私网地址到公网地址的转换，最终实现对公网的访问。 地域支持情况 天翼云部分资源池支持IPv4网关功能，实际情况以控制台展现为准。 使用限制 VPC创建后默认生成一个IPv4网关和指向IPv4网关的缺省路由规则。 IPv4网关当前仅支持IPv4流量。 一个VPC下只支持创建一个IPv4网关，且一个IPv4网关仅能关联一个VPC。 一个IPv4网关仅能绑定一张网关路由表。 VPC删除时会连带删除IPv4网关。 配额限制 资源 默认限制 提升配额 单个VPC支持的IPv4网关个数 1个 无法提升 单个IPv4网关支持的网关路由表个数 1个 无法提升

添加资质 1. 登录云通信控制台。 2. 在左侧导航栏中，单击资质管理 。 3. 在资质管理 页面左侧单击 创建资质 。 4. 选择资质的申请用途，自用或者他用。 5. 填写 企业名称 ，与下发的企业营业执照名称一致。 6. 填写 资质名称 ，此信息可以自定义，用于标识该资质，方便后期识别。 7. 填写 企业证件信息 ，选择三证合一、企业营业执照、社会信用代码证书、事业单位法人证书任意一个，并上传带红色公章的证件图片，最后填写证件上的统一社会信用代码。 8. 填写企业法人信息，需要填写企业法人信息和身份证号。 9. 填写经办人信息，一般为企业联系人或者登录天翼云账号的联系人，需要填写经办人姓名、身份证号、并上传带红色公章的身份证正反面图片。 10. 若资质的用途为他用，还需上传带红色公章的委托授权书。 11. 最后勾选协议（仔细阅读并同意）后提交。

本文介绍天翼云SQL Server对开通具备IPv6的实例，以及如何使用IPv6地址访问数据库。 SQL Server实例支持IPv6，支持通过IPv6连接地址访问数据库。 注意事项 要开通具备IPv6 连接地址的实例，请在订购SQL Server实例时，选择已经开启IPv6的VPC（虚拟私有云），系统将自动分配IPv6连接地址。 VPC开启IPv6请参考开启/关闭虚拟私有云IPv6。 连接数据库 内网连接 通过IPv6的连接地址及数据库端口访问数据库（比如通过SSMS），请确保客户端所在机器本身具备IPv6。 外网连接 通过公网访问IPv6地址连接数据库，请确保SQL Server实例IPv6地址已经绑定IPv6带宽，IPv6带宽需要购买，具体参考购买IPv6带宽。 绑定IPv6带宽前，请创建IPv6网关，否则IPv6无法公网访问且无法绑定带宽，具体参考创建IPv6网关。 请确保客户端所在机器本身具备IPv6且能够访问公网IPv6。 绑定解绑IPv6带宽 前提条件 SQL Server实例已开通IPv6地址。 请提前创建IPv6网关并购买IPv6带宽，详细操作请参考创建IPv6网关和购买IPv6带宽。 说明 订购SQL Server实例时，请选择开启IPv6的VPC，系统将自动为SQL Server实例分配IPv6连接地址。

分类 功能模块 描述 零信任免费版 零信任VPN版 零信任基础版 零信任企业版 终端管理基础版 远程办公接入 零信任VPN 提供虚拟专有网络，通过加密协议对数据进行加密传输，建立安全可靠的VPN网络。 √ √ √ √ 不涉及 远程办公接入 内网应用接入 可实现域名、IP等精细化内网应用接入。 √ √ √ √ 不涉及 远程办公接入 精细化权限管控 支持应用按身份，角色，用户组，组织架构等进行授权和管控。 √ √ √ √ 不涉及 远程办公接入 信创连接器 连接器版本支持常用国产化系统，包括麒麟、统信、天翼云CTyunOS。 × √ √ √ 不涉及 远程办公接入 连接器管理 提供灵活连接器部署安装方式，用于打通企业内网。 √（仅支持部分安装命令，可支持至多5个连接器集群或实例） √（可支持至多10个连接器集群或实例） √（可支持至多10个连接器集群或实例） √（可支持至多20个连接器集群或实例） 不涉及 远程办公接入 域名解析 域名解析管理功能针对无公网解析的域名，实现无需绑定HOST即可进行内网访问。 √ √ √ √ 不涉及 远程办公接入 源地址网络地址转换 实现一对一内网访问溯源，针对用户+设备粒度、用户粒度进行分配唯一IP回源访问。 × √ √ √ 不涉及 远程办公接入 内网限速 可以基于总带宽、单客户端进行内网限速。 √ √ √ √ 不涉及 远程办公接入 网络健康探测 提供网络接入情况连通性探测，实时监控发现异常网络接入情况，确保内网访问高可用、稳定性。 × √ √ √ 不涉及 身份安全认证 身份源同步 支持第三方身份源集成（自建/企微/AD等)。 √（限时免费） √ √ √ 不涉及 身份安全认证 认证源集成 支持账密、短信、邮箱进行认证，以及第三方认证源集成（如企微/AD等）。 √（限时免费） √ √ √ 不涉及 身份安全认证 单点登录SSO 支持标准协议单点登录SSO对接 × × √ √ 不涉及 身份安全认证 双因素认证 支持短信、邮箱进行双因素认证。 √ √ √ √ 不涉及 设备管理 桌面终端 提供PC端的客户端程序，支持Windows，MacOS系统。 √ √ √ √ √ 设备管理 移动终端 提供移动端的APP程序，支持IOS、安卓系统手机。 × × √ √ 暂未发布 设备管理 移动端SDK 提供移动端SDK的标准接入能力，支持对接IOS、安卓系统手机。 × √ √ √ 暂未发布 设备管理 Linux终端 提供Linux相关操作系统类型的客户端程序。 × × √（支持ubuntu18.04、ubuntu20.04桌面版） √（支持ubuntu18.04、ubuntu20.04桌面版） 暂未发布 设备管理 信创终端 提供信创系统的客户端程序，信创系统（麒麟、统信）。 × × √ √ 暂未发布 设备管理 终端资产 终端资产进行盘点、展示，用于分析。 √ √ √ √ √ 设备管理 设备策略 支持设备共享、用户激活认证、授信等策略处理。 × √ √ √ √ 安全策略 访问控制 提供接入VPN访问控制，粒度包括按用户、IP、终端设备、接入时间、地区等。 √（仅支持部分规则粒度） √（仅支持部分规则粒度） √ √ 不涉及 安全策略 应用隐身 支持连接器部署和反向连接到天翼云边缘节点，实现企业内网应用隐身，并且基于SDP架构，对数据面和控制面进行分离，无需暴露企业应用于公网之中。 √ √ √ √ 不涉及 安全策略 准入管控 支持对接入零信任客户端的终端设备的多维度准入策略配置，实现对异常行为、设备、身份等不允许接入企业VPN网络。 × × √ √ 不涉及 安全策略 横向渗透防护 支持进行钓鱼防护，能够对企业内网发生恶意扫描行为，例如触发异常访问频率和维度的行为实时阻断等。有效抑制住钓鱼等C2攻击。 × × × √ 不涉及 安全策略 动态授权 支持对访问主体在远程访问的过程中的行为、身份、设备、终端环境等信息进行多维度策略评估，并实时对异常进行阻断等。 × × √ √ 不涉及 安全策略 RBI云端浏览器隔离 通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地。 额外付费购买 额外付费购买 额外付费购买 额外付费购买 不涉及 安全策略 内外网隔离 支持对终端访问的流量进行黑白名单管控，能够实现企业内网访问和互联网访问的安全隔离。 × × × √ 不涉及 终端安全管理 上网行为管控 员工互联网访问行为可视可审可追溯，一键拦截违规违法网站，轻松实现合规合法、网络稳定的上网环境，提高企业办公效率。 × × × √ √ 终端安全管理 软件管理 从软件的来源、安装、运行情况进行全方位展示，协助企业梳理员工安装、运行软件情况；通过配置软件管控策略，阻止软件运行。 × × √ √ √ 终端安全管理 病毒查杀 支持定期对终端进行病毒扫描，提供最新的病毒引擎版本，扫描完成后自动隔离和上报。 × × × √ √ 终端安全管理 实时防护 包含文件实时防护、U盘防护，对即将进入设备的病毒进行实时监控。 × × × √ √ 终端安全管理 局域网共享防护 局域网共享路径是病毒常见的横向扩散手段，对局域网共享路径进行操作时需要实时监控。比如文件上传、执行等。 × × × ×（限时免费） ×（限时免费） 终端安全管理 防钓鱼 面向办公网钓鱼防护场景，支持检测IM工具和邮件附件下载的文件是否带毒、是否为伪装文件。 × × × ×（限时免费） ×（限时免费） 终端安全管理 漏洞修复 对设备进行漏洞扫描和补丁修复，有效发现和修复设备存在的紧急漏洞，加固操作系统的安全性。 × × × √ √ 终端安全管理 外设管控 企业管理员对员工的U盘、SD卡、外接硬盘进行禁用、只读、审计管控，有效阻止风险入侵，有效防止文件外泄。 × × × √ √ 终端安全管理 办公净化 对于已安装软件，支持自动拦截广告、骚扰、恶意弹窗。为用户提供⽆⼲扰的纯净操作环境，赋能绿色上网诉求。 × × × √（限时免费） √（限时免费） 终端安全管理 AI安全检测 支持盘点设备上运行的大模型组件，高效构建AI应用资产全景；支持超过 30+种 AI 应用组件漏洞检测，实现漏洞高效管理。 × × × ×（限时免费） ×（限时免费） 终端安全管理 合规检测 支持设置终端基线标准，能够对接入零信任的终端进行基线采集并检测是否符合企业安全规范基准。 × × √ √ √ 终端安全管理 自保护 当员工退出账号、退出客户端、退出企业、卸载客户端时，需要进行防护码校验，实现客户端自保护。 × × √ √ √ 产品服务 态势大屏 提供零信任办公态势大屏，能够展示企业办公内网访问情况、终端安全分析、设备分布、用户分布等态势感知能力。 × × × √ × 产品服务 告警自助 提供零信任远程办公告警自助能力，企业可配置连接器异常告警、业务异常告警等，实现精准感知异常，减少业务影响。 × √ （SaaS版本支持 √ （SaaS版本支持） √ （SaaS版本支持） × 产品服务 客户端定制化 支持客户端定制化LOGO，强化企业感知力。 × × √ √ × 产品服务 日志投递 将零信任日志投递到客户指定目标服务器，实现AOne日志的全生命周期管理。可对接企业统一态势平台，赋能企业安全运维监控场景。 × × √ （SaaS版本支持） √ （SaaS版本支持） 不涉及 产品服务 日志审计 提供日志审计功能，针对行为进行审计。 × √ √ √ √

本章节主要介绍翼MapReduce的导入证书操作。 操作场景 CA证书用于FusionInsight Manager各个模块、集群的组件客户端与服务端在通信过程中加密数据，实现安全通信。FusionInsight Manager支持快速导入CA证书，以确保产品安全使用。适用于以下场景： 首次安装好集群以后，需要更换企业证书。 企业证书有效时间已过期或安全性加强，需要更换为新的证书。 对系统的影响 更换证书过程中集群需要重启，此时系统无法访问且无法提供服务。 更换证书以后，所有组件和Manager的模块使用的证书将自动更新。 更换证书以后，还未信任该证书的本地环境，需要重新安装证书。 前提条件 证书文件和密钥文件可向企业证书管理员申请或由管理员生成。 获取需要导入到集群的CA证书文件（ .crt）、密钥文件（ .key）以及保存访问密钥文件密码的文件（password.property）。证书名称和密钥名称支持大小写字母和数字。以上文件在生成以后需要打包成tar格式压缩包。 准备一个访问密钥文件的密码用于访问密钥文件。 密码复杂度要求如下，如果密码复杂度不满足如下要求，可能存在安全风险： − 密码字符长度最小为8位。 − 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@ $%^&+中的4种类型字符。 向证书管理员申请证书时，请提供访问密钥文件的密码并申请crt、cer、cert和pem格式证书文件，以及key和pem格式密钥文件。申请的证书需要有签发功能。

本章节主要介绍翼MapReduce的用户组管理操作。 操作场景 FusionInsight Manager最大支持5000个用户组（包括系统内置用户组）。根据不同业务场景需要，管理员使用FusionInsight Manager创建并管理不同用户组。用户组通过绑定角色获取操作权限，用户加入用户组后，可获得用户组具有的操作权限。用户组同时可以达到对用户进行分类并统一管理多个用户。 前提条件 管理员已明确业务需求，并已创建业务场景需要的角色。 已登录FusionInsight Manager。 添加用户组 1. 选择“系统 > 权限 > 用户组”。 2. 在组列表上方，单击“添加用户组”。 3. 填写“组名”和“描述”。 “组名”由数字、字母、或下划线、中划线（）或空格组成，不区分大小写，长度为1～64位，不能与系统中已有的用户组名相同。 4. 在“角色”，单击“添加”选择指定的角色并添加。 说明 对于已启用Ranger授权的组件（HDFS与Yarn除外），Manager上非系统默认角色的权限将无法生效，需要通过配置Ranger策略为用户组赋权。 HDFS与Yarn的资源请求在Ranger中的策略条件未能覆盖的情况下，组件ACL规则仍将生效。 5. 在“用户”，单击“添加”选择指定的用户并添加。 6. 单击“确定”完成用户组创建。 查看用户组信息 用户组列表默认显示所有用户组。单击指定用户组名称左侧的箭头展开详细信息，可以查看此用户组中的用户数、用户以及绑定的角色。 修改用户组信息 在要修改信息用户组所在的行，单击“修改”，修改用户组信息。

本文带您熟悉创建存储库的操作步骤,帮助您快速创建存储库。 操作场景 在创建备份之前，您需要先创建一个存储库来存放备份数据，并可根据需要，访问存储库，管理和检索备份数据。 约束与限制 单个资源池节点可创建的存储库数量为10个。 单个存储库的容量为100GB 1024000GB。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“存储>云主机备份”。 4. 在控制台左侧导航栏，选择“存储库管理”。 5. 在“云主机备份”页签，点击“创建存储库”按钮。 6. 可在页面左上角切换地域，不同地域的资源之间内网不互通，请选择靠近您客户的区域，也可以降低网络时延，提高访问速度。 7. 选择是否配置云主机或暂不配置。 1. “暂不配置”表示暂时不配置云主机，可在存储库创建后再绑定。 2. “立即配置”表示立即配置云主机，需从云主机列表中选择要备份的云主机并添加至右侧的已选云主机列表中。 8. 若选择立即绑定云主机，还需至少选择一种备份方式： 1. 自动备份：将选择的云主机绑定到备份策略中，按照备份策略进行自动备份。备份策略创建详情请参考创建备份策略。 2. 立即备份：选择的云主机将立即进行手动一次性备份。 9. 在存储库页面选择付费方式。 包年/包月（预付费模式）：按照订单的购买周期进行计费，适用于能够预估资源使用周期的场景。您可以提前支付一定周期的费用，来获取额外的优惠价格。这种模式适合有长期稳定需求的用户。 按需计费（后付费模式）：根据资源实际使用时长计费，灵活性更高。您只需按照资源实际使用时长付费，费用会从您的账户余额中直接扣除。按需计费更适合资源使用时长可能有较大波动或临时性需求的用户。 10. 输入存储库名称并选择存储库容量。 存储库名称：只能由数字、字母、组成，不能以数字和开头、且不能以结尾。 存储库容量：取值范围为100GB 1024000GB，您需要提前规划存储库容量，存储库的容量不能小于备份云主机的大小。 11. 选择是否编辑标签。标签用于标识资源，可通过标签管理功能对存储库进行分类和筛选。勾选后需要输入或选择现有标签键和标签值，后续您可通过标签功能统一管理资源，具体操作可参考标签功能概述。 12. 选择企业项目。 13. 若选择包年/包月计费方式，您还需要选择创建时长和是否自动续订。 创建时长：存储库的创建时长（范围为1个月到3年）。 自动续订：若启用自动续订，则按月购买自动续订周期为1个月；按年购买自动续订周期为1年。 14. 配置完成后，点击“下一步”，进入存储库配置确认页面。 15. 如确认无误，勾选“我已阅读并同意相关协议 《 天翼云云主机备份服务协议 》”，点击“确认下单”，完成存储库创建。 16. 创建完成后，您可查看“存储库”列表，等待存储库状态变为“可用”，即完成存储库的创建。

本章节主要介绍翼MapReduce的查看集群静态资源操作。 操作场景 大数据管理平台支持通过静态服务资源池对没有运行在Yarn上的服务资源进行管理和隔离。系统支持基于时间的静态服务资源池自动调整策略，使集群在不同的时间段自动调整参数值，从而更有效地利用资源。 系统管理员可以在FusionInsight Manager查看静态服务池各个服务使用资源的监控指标结果，包含监控指标如下： 服务总体CPU使用率 服务总体磁盘IO读速率 服务总体磁盘IO写速率 服务总体内存使用大小 说明 启用多实例功能后，支持管理HBase所有服务实例使用的CPU、I/O和内存总量。 操作步骤 1. 在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 静态服务池”。 2. 在“配置组列表”，单击一个配置组，例如“default”。 3. 查看系统资源调整基数。 “系统资源调整基数”表示集群中每个节点可以被集群服务使用的最大资源。如果节点只有一个服务，则表示此服务独占节点可用资源。如果节点有多个服务，则表示所有服务共同使用节点可用资源。 “CPU”表示节点中服务可使用的最大CPU。 “Memory”表示节点中服务可使用的最大内存。 4. 在图表区域，查看集群服务资源使用状态指标数据图表。 说明 可通过“为图表添加服务”，将特定服务的静态服务资源数据添至图表，最多可选择12个服务。 管理单个图表的操作，可参见

本节主要介绍创建IAM用户并登录 步骤1已完成用户组的创建并完成了授权，本节将描述A公司使用已注册的天翼云帐号，给公司成员创建IAM用户并加入用户组的操作，使得他们拥有独立的用户和密码，可以独立登录天翼云并管理权限范围内的资源。 创建IAM用户 步骤 1 A公司管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户”。 步骤 5 在“用户”管理界面中，单击“创建用户”。 步骤 6 在创建用户界面中，输入用户名、手机号、用户组等用户信息。 用户组：在下拉菜单中选择步骤1中已创建好的用户组“开发人员组”，新用户将具备此用户组的全部权限，这一过程即给用户授权。 用户基本信息：依次输入新用户的“邮箱”、“用户名”等基本信息，并为用户设置初始登录密码。 步骤 7 单击“确定”，完成IAM用户创建，用户列表中将显示新创建的IAM用户。 参考步骤5至步骤7的方法，创建用户Charlie、Jackson和Emily，并加入对应的用户组。 IAM用户登录 通过前述步骤，A公司已在其天翼云帐号中创建了名为James、Alice、Charlie、Jackson和Emily的IAM用户。完成IAM用户创建后，A公司管理员需要将帐号名、IAM用户名及初始密码告知对应的员工，这些员工就可以使用自己的用户名及密码访问天翼云及各云服务平台。 如果IAM用户登录失败或忘记密码，IAM用户可以联系A公司管理员重置密码。 步骤 1 A公司IAM用户打开天翼云官网。 步骤 2 单击顶部右上角“登录”，在登录页面输入用户名IAM用户名（一般为邮箱地址）、密码，单击“登录”按钮，登录天翼云。

本文带您了解如何查看报警规则。 操作场景 告警规则是一种定义在监控系统中的规则，用于检测和触发特定事件或条件的警报。您可以在云监控控制中心查看创建的告警规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成告警规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下“告警规则”，进入“告警规则”界面。 5. 在“告警规则”页面，可以查看告警规则的监控对象、策略、状态等内容。

创建发布 步骤 1 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 2 在左侧导航栏选择“发布订阅”。 步骤 3 在“发布”页签下，单击“创建发布”。 步骤 4 在创建发布页面，设置发布信息后，单击“确认”。 填写发布名称、选择发布数据库，以及发布数据。 设置发布表/字段的筛选器：单击“设置筛选器”，设置筛选条件，将按照筛选条件发布表/字段。 全量快照：选择立即创建，发布创建完成后，将会在分发服务器上立即触发一次全量快照。若不选择立即创建，则当添加新订阅时自动生成全量快照。订阅服务器必须等待快照代理完成，才能实现同步。 增量快照策略：支持按天、按周、按月自定义策略，在分发服务器生成增量快照。 步骤 5 查看已创建的发布。 添加订阅功能，请参见添加订阅服务器。 单击“查看监控”，查看“数据更改延迟后时长”和“事务数”监控数据。 选择“更多 > 修改发布”，可以重新选择发布表/字段，以及增量快照策略。 选择“更多 > 删除”，删除发布。 添加订阅服务器 步骤 3 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 12 在左侧导航栏选择“发布订阅”。 步骤 13 在“发布”页签下，在已创建的发布上，单击“添加订阅”。 步骤 14 单击“添加订阅服务器”。 步骤 15 在弹出页面，设置订阅服务器信息后，单击“确定”。 服务器来源：云数据库RDS for SQL Server。 目标数据库：勾选1个或多个RDS for SQL Server订阅实例及目标数据库，单击同步到右侧，即从当前实例同步数据到已勾选的目标数据库。 当前实例作为发布实例，发布实例与订阅实例需要在同一VPC或建立了对等连接的不同VPC，若不在同一安全组则需配置安全组规则。 订阅方式：推送订阅 同步策略：选择数据订阅的同步方式，支持按天、按周、按月自定义策略。 服务器来源：其他服务器。 填写服务器名称、IP、端口号、登录用户名及密码，以及目标数据库。 订阅方式：推送订阅 同步策略：选择数据订阅的同步方式，支持按天、按周、按月自定义策略。 步骤 16 在已创建的发布上，单击订阅数据库列的个数，查看订阅详情。 创建订阅

本文介绍无法远程登录Windows云主机怎么办。 无法远程登录Windows云主机可以使用以下方式进行问题排查。 1. 检查弹性IP是否能ping通。 以下情况为本地客户端无法ping通目标ECS实例公网IP： 1. 本地客户端为Linux系统，ping目标ECS实例公网IP时无响应，如图所示。 2. 本地客户端为Windows系统，打开本地终端，或使用快捷方式，按 win + r，输入cmd，执行：ping ping目标ECS实例公网IP时提示请求超时错误，如图所示。 如果不能ping通，请参见文档”ping不通或丢包时如何进行链路测试？“进行检查。 如果能ping通，请执行2。 2. 检查弹性云主机的3389端口是否能够访问。具体操作方法可参考文档：如何检查端口可用性。 如果不能访问，请检查安全组是否开放3389端口。 如果能访问，请执行3。 3. 检查弹性云主机内的RDP服务是否存在异常。 登录同一内网段的其他Windows主机，在该主机上远程登录问题主机。 如果不能登录，说明RDP服务可能存在异常，通过VNC登录到问题主机，查看RDP服务是否存在异常，重启RDP服务后，重新尝试连接。 请按照以下方法重启RDP服务。 单击“开始”，选择“运行”，输入“services.msc”。 在服务列表中，选择“Remote Desktop Services”服务，重新启动该服务。 4. 查看弹性云主机是否修改远程连接端口。 查看“HKEYLOCALMACHINESystemCurrentControlSetControlTerminalServerWinStationsRDPTcpPortNumber”下，配置的端口是否是默认的3389，若不是，远程连接的时候将端口改为配置中的端口。 5. 查看弹性云主机是否限制连接数量。 检查OS内部远程桌面配置： 单击“开始”，选择“运行”，输入“gpedit.msc ”，打开组策略。 选择“计算机配置 > 管理模板 > 远程桌面服务 > 远程桌面会话主机 > 连接 ，“打开“限制连接的数量”，查看是否启用限制。 说明 如果此处有配置最大连接数，可能导致Windows远程登录无法连接，如果同时有多个用户正在登录该主机，且数量已经超过最大连接数，此时最大连接数外的用户接收不到该主机的仲裁，导致会话会一直处于正在配置中的状态。 请选择禁用该配置或者设置更大的最大连接数。 6. 其它解决方案 通过上述排查后，仍然不能连接 Windows 实例，请您保存自助诊断结果，通过提交工单联系天翼云的技术支持寻求帮助。

如果您需要对天翼云上购买的存储容灾服务（Storage Disaster Recovery Service）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用SDRS的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见IAM产品帮助中心。 SDRS系统策略 策略是以JSON格式描述权限集的语言。默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。IAM系统预置了各服务的常用权限，例如管理员权限、只读权限，您可以直接使用这些系统策略。 SDRS部署时通过物理区域划分，为项目级服务，需要在各区域（如江苏苏州）对应的项目（cnjssz1）中设置策略，并且该策略仅对此项目生效，如果需要所有区域都生效，则需要在所有项目都设置策略。访问SDRS时，需要先切换至授权区域。

本节介绍了用户指南: 弹性文件概述。 云容器引擎支持挂载天翼云弹性文件存储卷。cstorcsi插件兼容动态和静态两种存储卷类型，通过将弹性文件存储卷挂载至容器指定目录，可满足数据持久化需求。 弹性文件存储提供按需扩展的高性能NAS服务，支持云上多台弹性云主机、容器及物理机等计算资源的大规模并发访问，具备高可用性与数据持久性保障。其提供标准POSIX文件访问接口，可实现现有应用与文件存储的无缝集成。 使用限制 规格类型 当前cstorcsi插件支持SFS Turbo标准型、SFS Turbo性能型 文件协议 当前cstorcsi插件仅支持NFS协议 容量 单个文件系统最小容量为500GB 文件系统加密 暂不支持文件存储加密 性能规格 SFS Turbo标准型、SFS Turbo性能型规格对比：弹性文件性能对比 说明 最大IOPS、最大带宽两个参数的值均为读写总和。比如最大IOPSIOPS读+IOPS写。 最大IOPS大小与容量无关。 时延是指低负载情况下的最低延迟，非稳定时延。 参数 SFS Turbo标准型 SFS Turbo性能型 最大带宽 1.5GB/s 2GB/s 最高IOPS 5000 30000 时延 1~10ms 1ms 最大容量 500GB~32TB 500GB~32TB 优势 大容量、低时延 大容量、高带宽、低成本 应用场景 适用于大容量、低时延的业务，如代码存储、日志存储、Web服务、虚拟桌面等 适用于海量小文件、随机IO密集型以及时延敏感型业务，如高性能计算、文件共享、内容管理等

步骤四：在飞书中添加机器人并配对 1. 打开飞书桌面应用，左侧导航进入“工作台”模块，点击“添加应用”按钮。 2. 在添加常用弹窗中，搜索前置步骤三中发布的机器人并添加。 3. 添加完成后，在左侧导航中搜索机器人名称关键字，并发送任意消息，如“你好”，即可获取飞书配对信息，注意保存最后一行信息。 4. 返回天翼云控制台云主机列表，找到OpenClaw云主机，点击“远程登录”按钮。 5. 输入登录名“root”及步骤一中设置的密码，在远程登录页面输入飞书配对信息中的最后一行。 plaintext openclaw pairing approve feishu Y 说明 若您设置了多个机器人，每个机器人都需要重复步骤四的操作，完成配对操作。 6. （可选操作）给机器人设定名字、风格等内容。返回飞书桌面应用，您可以通过对机器人设定名字、风格等，话也可通过修改工作目录下的SOUL.md文件设置人格，修改AGENTS.md文件进行行为设定。 7. 测试机器人之间的独立性。 每个机器人（Agent）都有自己的独立记忆，多Agent配置完成，您可以将不同的机器人拉进飞书群聊布置不同的任务进行团队协作。

本地数据中心的什么设备可以建立IPsec VPN连接？ 设备型号多为路由器、防火墙等，天翼云的VPN支持标准IPsec协议，用户可以通过以下两个方面确认用户侧数据中心的设备能否与天翼云进行对接： 设备是否具备IPsec功能和授权：请查询设备的特性列表获取是否支持IPsec VPN。 关于组网结构，要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP（即NAT穿越，VPN设备在NAT网关后部署）也可以。 IPsec VPN连接支持将两个VPC互连吗？ 支持将两个VPC互连。不仅可以实现天翼云不同区域资源池中VPC互通， 也可以连通其他云服务商的VPC网络（前提是对方也具备相同的VPN接入能力）。 为这两个VPC分别创建VPN网关，并为两个VPN网关创建用户网关和IPsec连接。将两个IPsec连接的用户网关设置为对方VPN网关的网关IP，将两个VPN连接的对端网段设置为对方VPC的网段，两个VPN连接的预共享密钥和算法参数需保持一致。 是否可以通过IPsec连接实现跨境访问国外网站？ 不可以。IPsec连接仅支持在中国境内实现将云上的VPC子网和用户侧数据中心的数据中心网络打通的场景。 如果您有跨境访问国外网站的需求，建议使用天翼云SDWAN产品的跨境能力。SDWAN是一种基于软件定义的广域网（WAN）技术，它可以提供更加灵活、智能和安全的网络连接服务。通过天翼云SDWAN的跨境能力，您可以在中国和国外之间建立一个安全的网络连接，实现跨境访问和数据传输。

本节主要介绍为IAM用户授权 如果管理员在创建IAM用户时，没有将其加入任何用户组， 则新创建的IAM用户不具备任何权限，不能对云服务进行操作 ，管理员可以在IAM控制台或天翼云官网将其加入用户组，为其授予所属用户组的权限策略。授权后，用户即可根据用户组权限使用帐号中的云服务资源。 基于用户组授权 步骤 1 管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户组”。 步骤 5 找到计划加入的用户组，单击右侧的“用户组管理”。 步骤 6 选择IAM子用户，单击“确认”，将IAM用户加入用户组，加入用户组后，IAM用户将拥有所属用户组的所有权限。 说明 如果将IAM用户加入默认用户组“admin”，则IAM用户为管理员，可以对所有云服务执行任意操作。 当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即取多个用户组权限的全集。 所有使用IAM授权的云服务的系统策略，请参见：权限集。 如果您开通了企业管理，将不能创建IAM项目，请谨慎操作。 基于企业项目授权 步骤 1 管理员登录IAM控制台。 步骤 2 管理员在用户列表中，单击用户名称，进入IAM用户详情页面。 步骤 3 在IAM用户详情页面，单击“授权记录”页签，然后单击“授权”，可 直接给用户授权（适用于企业项目授权） ，直接给IAM用户授予云服务权限，勾选对应的云服务权限后，单击“下一步”。 说明 该授权方式仅在您开通企业项目后支持。 步骤 4 在“设置最小授权范围”页面，选择授权IAM用户使用的企业项目。 步骤 5 单击“确定”，完成IAM用户授权。 授权完成后，管理员可以在“权限管理>授权管理”页面查看、修改该IAM用户的权限。

本文介绍DDoS高防（边缘云版）弹性防护相关问题。 弹性防护该如何选购？ 最大防护能力套餐内防护能力+弹性防护能力。防护能力需要考虑防护带宽峰值（单位：Gbps）及CC防护能力（单位：QPS）。 需要根据您自身业务希望防护的最高防护带宽来评估。弹性防护是按天按需进行收费，数据统计标准为每天的0:0024:00期间遭受的最大弹性峰值，具体计费表可参考计费模式。 例如：比如您希望防护100Gbps带宽、100000QPS的CC攻击；选购的基础套餐版本为DDOSM4，包含20Gbps防护带宽和80000QPS的CC防护能力，则弹性防护可选择购买80Gbps弹性防护，同时还能弹性支持320000QPS的CC防护能力。 若您遭受的攻击频繁超出基础套餐的防护带宽，建议升级为更大的套餐，若您仅是偶尔被攻击且攻击量不确定，可以购买弹性防护作为保险。 弹性防护如何出账？ 购买时选定弹性防护最高防护峰值，若攻击超出套餐防护规格，则超出部分按照弹性防护阶梯按日收费。 每日计费值以当天（0:00~24:00）攻击的最大攻击峰值为计费标准。 弹性防护当日最大DDoS攻击峰值套餐保底防护带宽，超出CC防护攻击值当日最大CC攻击峰值套餐内CC防护能力，再找到超出防护带宽、超出CC防护值在弹性防护计费列表中对应的计费区间，二者取其高，即可算出弹性防护超出费用。 例如：基础套餐购买的版本为DDOSM3，包含10Gbps、50000QPS，弹性防护购买20Gbps 、80000QPS。以下仅以带宽部分超出的情况为例： 若当前遭受攻击为10Gbps以内（如8Gbps）不进行额外收费； 若当前遭受攻击为超过10Gbps（如15Gbps），超出的部分为5Gbps，参考弹性防护计费标准，落在第一阶梯[010Gbps]以内，按照860元/天收费。 若当前遭受攻击为25Gbps，则超出的部分为15Gbps，落在第二阶梯[1020Gbps]以内，按照1760元/天收费。 若当前遭受攻击为35Gbps，则超出的部分为25Gbps，但最高弹性防护仅购买20Gbps，则不进行防护，直接解析回源，2小时后再恢复服务，不产生任何弹性防护费用。 弹性防护计费具体计费表可参考计费模式。

创建公网NAT网关 1. 登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>公网NAT网关”，进入NAT网关页面。 2. 点击右上角“创建NAT网关”进入公网NAT网关购买页面。 3. 根据界面提示，配置公网NAT网关的基本信息，配置参数如表所示： 参数 参数说明 计费模式 公网NAT网关支持按需计费、包年/包月。 名称 公网NAT网关名称。名称由数字、字母、中文、、组成，不能以数字、和开头。 可用区 选择公网NAT网关所在的可用区。 虚拟私有云 公网NAT网关所属的VPC。VPC仅在购买公网NAT网关时可以选择，后续不支持修改。部分资源池需要添加一条下一跳类型为NAT网关的路由，部分资源池不需要添加，自动加载，以控制台为准）。 子网 公网NAT网关所属的子网。子网仅在购买公网NAT网关时可以选择，后续不支持修改。部分资源池无需选择该项，以控制台为准。NAT网关的SNAT规则和DNAT规则可对所有VPC下业务主机生效，可结合业务规划进行相应规则配置。 规格 公网NAT网关的规格。公网NAT网关共有小型、中型、大型、超大型四种规格类型，更多详情参见产品规格和使用限制。 高级配置 TCP连接老化时间（秒)、UDP连接老化时间（秒）、ICMP连接老化时间（秒）、TCP连接延迟关闭时间（秒） TCP连接老化时间（秒)：TCP连接的超时时间，如果TCP连接在该时间内没有数据交换将被关闭。默认为900s，取值范围：4010800； UDP连接老化时间（秒）：UDP连接的超时时间，如果UDP连接在该时间内没有数据交换将被关闭。默认为300s，取值范围：4010800； ICMP连接老化时间（秒）：ICMP连接的超时时间，如果ICMP连接在该时间内没有数据交换将被关闭。默认为10s，取值范围：1010800； TCP连接延迟关闭时间（秒）：TCP连接关闭时TIMEWAIT状态持续时间。默认为5s，取值范围：110800； 说明：仅部分多AZ资源池支持。如需使用，提交工单加白开通。 描述 公网NAT网关信息描述。 创建时长（仅包年/包月模式下需要选择） 公网NAT网关购买时长。 自动续订（仅包年/包月模式下需要选择） 是否启用公网NAT网关自动续订 按月购买：自动续订周期为1个月 按年购买：自动续订周期为1年 企业项目 公网NAT网关所属的企业项目。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 是否编辑标签 填写标签键、标签值，通过标签对实例进行打标管理 自动创建默认路由 创建公网NAT成功后，则具备访问公网的能力。自动创建目的地址为0.0.0.0/0 下一跳为该NAT网关实例的缺省路由到默认路由表；默认路由表中存在缺省路由时，无法创建成功，需要您手动创建路由规则 说明：仅部分多AZ资源池支持。 4. 配置完成上述信息，会显示公网NAT网关配置费用，可通过点击价格后面的中的 “了解计费详情”查看计费信息。 5. 单击“下一步”，确认规格无误后，点击阅读《天翼云NAT网关服务协议》。 6. 无异议后，勾选我已阅读并同意相关协议，单击“确认下单”开始创建公网NAT网关。 7. 等待公网NAT网关状态变为运行中，即创建完成。 8. 完成公网NAT网关创建后，需要添加默认路由指向公网NAT网关（仅部分资源池需要执行此步骤，具体功能以控制台能力为准）。 单击“虚拟私有云”，进入虚拟私有云控制台，选择创建公网NAT网关时指定的VPC，点击名称打开VPC详情页，在子网页签点击子网名称，进入子网详情页。 在子网详情页单击“路由管理”页签，点击已绑定的“默认路由表”进入路由规则页面。 在路由规则页面单击“创建”，在弹出页面，选择 IP类型：IPv4 目的地址：0.0.0.0/0 下一跳类型：NAT网关 NAT网关：选择刚创建的公网NAT网关 点击“确定”，完成默认路由指向公网NAT网关。