本章主要介绍翼MapReduce的启用集群间拷贝功能。 操作场景 当用户需要将保存在HDFS中的数据从当前集群备份到另外一个集群时，需要使用DistCp工具。DistCp工具依赖于集群间拷贝功能，该功能默认未启用。拷贝数据的集群双方都需要配置。 管理员可以根据以下指导，在FusionInsight Manager修改参数以启用集群间拷贝功能。启用之后即可创建将数据备份至远端HDFS（RemoteHDFS）的备份任务。 对系统的影响 启用集群间复制功能需要重启Yarn，服务重启期间无法访问。 前提条件 拷贝数据的集群的HDFS的参数“hadoop.rpc.protection”需使用相同的数据传输方式。默认设置为“privacy”表示加密，“authentication”表示不加密。 对于安全模式的集群，集群之间需要配置系统互信。 操作步骤 1.登录其中一个集群的FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务> Yarn > 配置”，单击“全部配置”。 3.左边菜单栏中选择“Yarn > 集群间拷贝”。 4.修改参数“dfs.namenode.rpcaddress”，在“haclusterX.remotenn1”右侧填写对端集群其中一个NameNode实例的业务IP和RPC端口，在“haclusterX.remotenn2”右侧填写对端集群另外一个NameNode实例的业务IP和RPC端口。 “haclusterX.remotenn1”和“haclusterX.remotenn2”不区分主备NameNode。NameNode RPC端口默认为“8020”，不支持通过Manager修改。 修改后参数值例如：“10.1.1.1:8020”和“10.1.1.2:8020”。 说明 如果本集群数据要备份至多个集群的HDFS中，可以继续配置对应的NameNode RPC地址至haclusterX1、haclusterX2、haclusterX3、haclusterX4。 5.单击“保存”，并在确认对话框中单击“确定”。 6.重启Yarn服务。 7.登录另外一个集群的FusionInsight Manager，重复2~6。

功能 约束与限制 部署 数据库实例所部署的弹性云主机，对用户不可见，只允许应用程序通过IP地址和端口访问数据库。 数据库访问 ● 对于没有开通公网访问的关系数据库MySQL实例，只能通过同一个虚拟私有云内的弹性云主机进行访问。 ● 弹性云主机必须处于目标关系数据库MySQL版实例所属安全组允许访问的范围内。 ● 当关系数据库MySQL版实例与弹性云主机处于不同的安全组时，系统会默认禁止访问，需要在数据库实例的安全组中添加“入站”访问规则进行授权。 ● 关系数据库MySQL版只读实例必须与主实例在同一子网内创建。 ● 关系数据库MySQL版实例的默认访问端口为13049（实际端口以控制台为准），如需修改端口可通过管理控制台操作。具体操作，请参见 数据库存储引擎 关系数据库MySQL版服务目前支持的存储引擎为：InnoDB，版本包括：5.7和8.0。更多信息，请参见 数据库的权限 数据库权限分为root用户权限和非root用户权限，具体说明如下： ● root用户权限：在创建实例时，默认为实例分配管理员root用户权限。具体权限说明，请参见本文的 root权限说明 。为避免影响业务正常使用，建议您谨慎对root帐号执行revoke、drop user、rename user操作。 ● 非root用户权限：实例创建成功后，您也可以为该实例创建非root用户并分配权限。具体操作，请参见 修改数据库参数设置 通过管理控制台可以修改大部分数据库参数。具体操作，请参见 搭建数据库复制 关系数据库MySQL版本身提供主备或一主两备的高可用架构，无需用户手动搭建。备库主要用于可高用和容错性，不允许用户应用直接访问。 重启实例 必须通过管理控制台操作重启实例，不支持命令行重启实例。 具体操作，请参见

添加权限组规则 1. 在权限组列表处单击权限组名称，进入权限组详情页。 2. 点击“添加规则”，在弹窗中配置授权IP地址、读写权限、优先级等规则。各参数说明如下： 字段 说明 授权地址类型 可选IPv4和IPv6两种网络类型。 授权地址（必填） 可填写单个IP 或者单个网段。 读写权限 只读或读写。当客户端从读写权限改为只读权限再改回读写权限时，需要重新挂载客户端。 用户权限 norootsquash：不匿名root用户。 优先级 优先级可选范围为1~400，默认值为1，即最高优先级。 当同一个权限组内单个 IP 与网段中包含的 IP 的权限有冲突时，会生效优先级高的规则。优先级不可重复。 更换权限组 1. 登录天翼云控制中心，在控制台左上角选择地域。 2. 选择 “存储>弹性文件服务SFS Turbo”，进入SFS Turbo文件系统列表页面。 3. 在控制台左侧点击“权限组”标签页，进入权限组管理页面。 4. 在VPC页签下找到文件系统绑定的VPC，点击“操作>更换权限组”。 5. 在弹窗中选定新的权限组，单击“确定”，完成权限组的更换。 修改权限组规则 1. 登录天翼云控制中心，在控制台左上角选择地域。 2. 选择 “存储>弹性文件服务SFS Turbo”，进入SFS Turbo文件系统列表页面。 3. 在控制台左侧点击“权限组”标签页，进入权限组管理页面。 4. 选择待修改的规则，单击操作栏下方的“修改”，在弹出页面配置新的权限组规则。 5. 单击“确定”，完成权限组的规则的修改。

本文介绍了如何使用天翼云弹性云主机的Windows实例搭建FTP站点。该指导具体操作以Windows 2012 Standard R2 64位中文版为例。 Windows实例搭建FTP站点具体操作步骤 1. 添加IIS的角色和功能。 2. 创建FTP服务用户名及密码。 3. 设置共享文件权限。 4. 配置FTP站点。 5. 配置FTP防火墙。 6. 配置安全组规则及防火墙策略。 7. 客户端进行连接测试。 示例环境 实例类型：s3.large.2 2核 4G 通用型云主机 所在区域：山西 系统盘：40GB 操作系统：Windows 2012 Standard R2 64位中文版 公网弹性IP带宽：1Mbps 操作步骤 1. 添加IIS的角色和功能。 1. 登录弹性云主机。 2. 选择“开始 > 服务器管理器”。 3. 单击“添加角色和功能”。 4. 在弹出的“开始之前”对话框中，单击“下一步”。 5. 选择“基于角色或基于功能的安装”，单击“下一步”。 6. 选择需要部署FTP的服务器，单击“下一步”。 7. 选择“Web服务器（IIS）”，并在弹出的对话框中单击“添加功能”，然后单击“下一步”。 8. 连续单击“下一步”，到“角色服务”页面。 9. 选择“FTP服务器”以及“IIS管理控制台”，单击“下一步”。 10. 单击“安装”，开始部署服务角色。 11. 安装完成后，单击“关闭”。 1. 添加IIS的角色和功能 2. 添加IIS的角色和功能 3. 添加IIS的角色和功能 4. 添加IIS的角色和功能 2. 创建FTP服务用户名及密码。 1. 在“服务器管理器”中，选择“仪表板 > 工具 > 计算机管理”。 2. 选择“系统工具 > 本地用户和组 >用户”，在右侧空白处右击，并选择“新用户”。 3. 设置“用户名”和“密码”，此处用户名以“ftp”为例。 3. 设置共享文件权限。 需要在FTP站点为共享给用户的文件夹设置访问及修改等权限。 1. 在服务器上创建一个供FTP使用的文件夹，选择文件夹，并单击右键选择“属性”。此处以“share”文件夹为例。 2. 在“安全”页签，选择 “Everyone”，单击“编辑”。如果没有“Everyone”用户可以直接选择，需要先进行添加。 3. 选择“Everyone”，然后根据需要，选择“Everyone”的权限，并单击“确定”。此处以允许所有权限为例。 4. 配置FTP站点。 1. 在“服务器管理器”中，选择“仪表板 > 工具 >Internet Information Services (IIS)管理器 ”。 2. 选择“网站”并单击右键，然后选择“添加FTP站点”。 3. 在弹出的窗口中，填写FTP站点名称及共享文件夹的物理路径，然后单击“下一步”。此处站点名称以“ftp”为例。 4. 输入该弹性云主机的公网IP地址以及端口号，并设置SSL，单击“下一步”。 端口号默认为21，也可自行设置。 SSL根据需要进行设置。 无： 不需要SSL加密。 允许：允许FTP服务器与客户端的非SSL和SSL连接。 需要：需要对FTP服务器和客户端之间的通信进行SSL加密。 5. 设置身份认证和授权信息，并单击“完成”。 身份认证 匿名：允许任何仅提供用户名 “anonymous” 或 “ftp” 的用户访问内容。 基本：需要用户提供有效用户名和密码才能访问内容。但是基本身份验证通过网络传输密码时不加密，因此建议在确认客户端和FTP服务器之间的网络连接安全时使用此身份验证方法。 授权 允许访问 所有用户：所有用户均可访问相应内容。 匿名用户：匿名用户可访问相应内容。 指定角色或用户组：仅指定的角色或用户组的成员才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的角色或用户组。 指定用户：仅指定的用户才能访问相应内容。如果选择此项，需要在下面输入框中输入指定的用户。 权限：选择经过授权的用户的“读取”和“写入”权限。 6. 绑定弹性云主机的公网IP。 选择“网站”，选中创建的FTP站点，单击“绑定”；在弹出的“网站绑定”窗口单击“添加”，然后在弹出的窗口中添加弹性云主机的私网IP地址，并单击“确定。 5. 配置FTP防火墙支持。 如果需要使用FTP服务器的被动模式，则需要配置FTP防火墙支持。 如果天翼云上的服务器需要通过公网IP地址访问天翼云上的实例搭建的FTP服务器时，需要配置FTP服务器的被动模式。 双击“FTP防火墙支持”，打开FTP防火墙支持的配置界面。 配置相关参数，数据通道端口范围：指定用于被动连接的端口范围。可指定的有效端口范围为102565535，请根据实际需求进行设置，此处配置50006000，防火墙的外部IP地址：输入该弹性云主机的公网IP地址，并单击“应用”。 重启云主机使防火墙配置生效。 6. 配置安全组规则及防火墙策略。 搭建好FTP站点后，需要在弹性云主机安全组的入方向添加一条放行FTP端口的规则，如果配置了“FTP防火墙支持”，需要在安全组中同时放行FTP站点使用的端口和FTP防火墙使用的数据通道端口。 服务器防火墙默认放行TCP的21端口用于FTP服务。如果选用其他端口，需要在防火墙中添加一条放行此端口的入站规则。 FTP模式 方向 协议 端口 源地址 主动模式 入方向 TCP 20端口和21端口 0.0.0.0/0 被动模式 入方向 TCP 21端口和1024~65535间的端口（根据上文配置，此处50006000） 0.0.0.0/0 7. 客户端进行连接测试。 打开客户端的计算机，在路径栏输入“ftp://FTP服务器IP 地址 :FTP 端口 ”（如果不填端口则默认访问21端口）。弹出输入用户名和密码的对话框表示配置成功，正确的输入用户名和密码后，即可对FTP文件进行相应权限的操作，share文件夹下创建工作事项.txt文件，在本地访问共享文件夹可以查看并下载。

本章节主要介绍翼MapReduce集群组件使用规则。 Kafka支持四种协议类型的访问，分别为：PLAINTEXT、SSL、SASLPLAINTEXT、SASLSSL。当前，翼MR集群默认采用Kerberos安全验证服务，Kafka协议类型建议使用SASLPLAINTEXT、SASLSSL这两种。

操作场景 用户订购了组网方案为“互联网直连”的智能网关，在激活智能网关实例后，需要为智能网关实例设置角色，以便后续配置直连组网。 前提条件 您已经订购了组网方案为“互联网直连”类型的智能网关，且完成了激活操作，即该智能网关实例的业务状态为“已激活”。 操作步骤 1. 登录控制中心； 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1； 3. 依次选择“网络”，单击“天翼云SDWAN”；进入天翼云SDWAN总览页面； 4. 选择“智能网关”，单击目标智能网关实例“操作”列的“更多角色配置”，进入角色配置页面； 5. 根据页面提示，选择当前设备的角色，并根据实际网络连接情况为端口绑定公网IP； 6. 单击“确定”，完成对当前智能网关实例的角色配置； 7. 完成角色配置后，您可以进一步进入智能网关实例的详情页面配置BGP路由，在BGP路由配置之前，您仍然可以修改当前智能网关实例的角色配置。

本章节主要介绍翼MapReduce集群Hive组件使用规则。 Hive 3.1版本与Hive 1.2版本相比不兼容内容主要如下： 字段类型约束：Hive 3.1不支持String转成int。 UDF不兼容：Hive 3.1版本UDF内的Date类型改为Hive内置。 索引功能废弃。 时间函数问题：Hive 3.1版本为UTC时间，Hive 1.2版本为当地时区时间。 驱动不兼容：Hive 3.1和Hive 1.2版本的JDBC驱动不兼容。 Hive 3.1对ORC文件列名大小写，下划线敏感。 Hive 3.1版本列中不能有名为time的列。 当前，翼MR集群提供的是高稳定、高性能的3.1版本Hive组件能力，建议客户在开通翼MR集群后，优先考虑完成业务上Hive使用版本的升级适配。

本章节主要介绍安装配置物理机监控agent。 操作场景 当您购买了一台物理机后，了解其运行状态一定是您的迫切需求，天翼云物理机和云监控服务结合使用，自动收集物理机的CPU、内存、磁盘以及网络使用情况等监控指标，以便您及时了解物理机实例运行状况和性能。本章节指导您如何为物理机服务器安装及配置Agent插件。 前提条件 物理机服务器可以正常使用。 物理机服务器内DNS Server正常工作，配置方法请参考内网DNS与安全组配置。 操作步骤 1. 添加域名解析地址：在物理机“/etc/resolv.conf”文件中添加各区域域名解析地址。 2. 修改子网DNS地址：按物理机所在区域修改子网的DNS服务器地址。 3. 配置安全组：用于下载Telescope包、发送指标数据、采集日志等。 此第三步请参见内网DNS与安全组配置。 4. 下载telescope安装包，访问地址参考云监控服务安装Agent（Linux）。 5. 安装Agent：手动为物理机安装Agent，实现主机监控。 此步请参见安装配置云监控服务安装Agent（Linux）。 6. 配置Agent，使用root账号，登录物理机。 7. 执行以下命令，切换至Agent安装路径的bin下。 cd /usr/local/telescope/bin 8. 修改配置文件conf.json。 a. 执行以下命令，打开配置文件conf.json。 vi conf.json b. 修改文件中的参数，具体参数请参见下表。 { "InstanceId":"xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "ProjectId": "b5b92ee0xxxxxxxxxxxxxxxxcab92396", "AccessKey": "QZ0XGJXFxxxxxxxxT65R", "SecretKey": "lEv2aXAGwxxxxxxxxxxxxxxxxxxxxF8t0Bf18Tn2", "RegionId": "cnhz1" } 公共配置参数 参数 说明 :: InstanceId 物理机ID，可通过登录管理控制台，在物理机列表中查看。 说明 InstanceId可不用配置，保持"InstanceId":"",即可，若需要配置，请参考下两条。 该资源ID需保证全局唯一性，即同一个RegionID下Agent使用的InstanceId不能相同，否则系统可能会出现异常。 InstanceId必须与实际的物理机资源ID一致，否则云监控界面将看不到对应物理机资源操作系统监控的数据。 ProjectId ProjectId可不用配置，保持"ProjectId": "",即可。若需要配置，请参考已下获取方式。 项目ID，获取方式如下： 1. 登录管理控制台，单击右上角“用户名”，选择“我的凭证”； 2. 在项目列表中，查看物理机资源对应的所属区域的项目ID。 AccessKey/SecretKey 访问密钥，获取方式如下： 登录管理控制台，单击右上角“用户名”，选择“我的凭证>管理访问秘钥”； 如已有访问密钥，查看创建时下载保存的credentials.csv文件中，获取文件中记录的Key值即可； 如未创建，则通过“新增访问密钥”可创建新的访问密钥，妥善保存credentials.csv文件，并获取文件中记录的Key值。 注意 为了安全考虑，建议该用户为IAM用户，并且权限仅为CES Administrator和LTS Administrator。 配置的AccessKey必须在“我的凭证 >管理访问秘钥”列表中，否则将鉴权失败，云监控界面看不到操作系统监控数据 RegionId 区域ID，例如：物理机资源所属区域为“杭州”，则RegionID为“cnhz1”。 9. 修改云监控指标采集模块的配置文件confces.json。 a. 执行以下命令，打开公共配置文件confces.json。 vi confces.json b. 修改文件中的参数，具体参数请参见下表。 { "Endpoint": " } 指标采集模块参数配置 参数 说明 :: Endpoint 物理机资源所属区域的云监控Endpoint URL，例如：物理机资源所属区域为“杭州”，则URL中使用“ces.cnhz1.ctyun.cn”。 说明 Agent插件配置完成后，因监控数据暂未上报，插件状态仍显示“未安装”，等待35分钟，刷新即可。 10. 管理Agent ，查看Agent状态。 11. 登录天翼云物理机服务器，执行以下命令，查看Agent状态。 service telescoped status 当系统返回以下内容，则表示Agent为正常运行状态。 "Telescope process is running well." 启动Agent 执行以下命令，启动Agent。 /usr/local/telescope/telescoped start 重启Agent 执行以下命令，重启Agent。 /usr/local/telescope/telescoped restart 停止Agent 执行以下命令，停止Agent。 service telescoped stop 说明 如果Telescope安装失败，可能会导致无法正常停止Agent，可通过执行以下命令进一步尝试： /usr/local/telescope/telescoped stop 卸载Agent 用户可手动卸载Agent插件，卸载后将不再监控BMS实例监控数据。如需再次使用，请参考安装Agent重新安装。 执行以下命令，即可卸载Agent。 /usr/local/telescope/uninstall.sh 12. 查看监控指标 以上配置完成后，进入控制台界面，选择“管理与部署 > 云监控”，在左侧导航栏选择“主机监控 > 物理机”，列表展示该物理机的名称/ID、主机状态、插件状态等信息。

本节为您介绍如何操作离线锁定/解锁。 操作场景 当前设备开启离线锁定功能后，如果设备的离线时间超过约定时长，系统将自动锁定设备。锁定后，无法通过该设备访问SDWAN相关服务。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 已经购买智能网关设备。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关的实例名称，进入详情页。 5. 在详情页，单击“离线锁定”按钮。 6. 在离线锁定界面，设置离线时长，离线时间超过该时长后，系统将自动锁定设备。 7. 设置完锁定后，如果需要继续使用设备，需要先将设备解锁，同时确保设备在线。点击详情页“解锁”，在解锁界面，根据弹框提示，单击“确认”按钮，完成解锁设备。

通过NAT网关实现公网访问裸金属实例 1. 登录通用计算控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【操作 ，并从列表选择一个NAT网关实例（与需访问公网的裸金属同VPC）完成绑定。 3. 单击左侧【NAT网关】导航栏，在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关实例，单击【操作>设置DNAT规则】进入网关详情。 4. 在【添加DNAT规则】页面，端口类型可选择【指定端口】或【所有端口】，【弹性公网IP】选择已绑定的弹性IP，私网IP选择裸金属实例，单击【提交】完成规则设置。 5. 在【DNAT】页签可以查看已添加的规则。 6. 单击左侧【子网ACL】导航栏，选择未绑定任何规则的子网ACL实例，在其列表页点击【操作>关联子网】进入到子网ACL详情页面。 8. 在【入/出方向规则】页签，点击【添加入/出方向规则】对裸金属实例与公网之间互访的规则进行添加。 9. 登录裸金属，输入账号密码，在命令行测试公网IP+端口的联通性。 注意： 1. SNAT 规则不能和全端口的 DNAT 规则共用弹性公网IP。 2. SNAT 规则和 DNAT 规则一般面向不同的业务，如果使用相同的弹性公网IP，会面临业务互相抢占问题，请尽量避免。 3. 配置 DNAT 规则后，一定需要放通对应的子网ACL规则。 入方向规则：如裸金属实例部署了对应服务（如TCP 8080）且第4步选择了所有端口，则需要严格限制公网至裸金属实例的规则。可配置只允许外部地址访问部署了服务的端口，如只放通公网0.0.0.0/0至裸金属IP的8080端口，其余端口可全部拒绝；从而避免过多端口暴露至公网引发安全问题。 出方向规则：可放通裸金属IP至0.0.0.0/0公网地址，协议为全部的规则。

前置工作 已通过天翼云生态专区订购 OpenClaw 应用 。 说明 若 OpenClaw 版本过低，将导致无法在公有云生态专区页面中进行模型配置。 操作步骤 1.订购息壤模型推理服务 推荐使用息壤模型推理服务，本文以息壤模型推理服务为例，介绍配置步骤。 登录天翼云控制台，根据您的需求选择适合的模型，本文以DeepSeek模型为例，详细开通步骤可参考DeepSeek模型调用快捷版。 注意 为保障您的账户安全、避免额外损失，请妥善保管模型 API Key 等敏感数据。 OpenClaw 携带较多上下文会导致 Token 消耗偏高，建议您关注用量计费情况。 2.配置模型 2.1 进入OpenClaw应用管理 登录天翼云官网，进入生态专区控制台。在应用管理我的应用中，选中对应的OpenClaw实例，点击进入应用详情页面。 2.2 为OpenClaw配置模型 点击“应用配置”页签，进入OpenClaw应用配置页面。在“模型”模块中，您可以为OpenClaw配置所需模型。天翼云支持： 天翼云息壤：推荐购买天翼云息壤模型推理服务。填写完成后，点击“添加并应用”按钮，即可保存该模型配置，并将其设为 OpenClaw 应用的模型服务提供商。 说明 使用天翼云息壤作为模型来源时，请确保您已订购息壤模型推理服务。立即订购息壤模型推理服务 OpenClaw 运行时，可能导致Token消耗偏高，建议您提前了解息壤模型用量计费情况。 息壤为您提供了“模型体验”功能，具有免费Token额度，您可以选择服务组“模型体验”，即刻体验模型推理效果。 参数 填写说明 示例 模型来源 选择“天翼云息壤”。 模型 选择已订购的服务模型。 GLM5 服务组 选择需要使用的服务组。 test02 模型 App Key 根据服务组自动填充。 maxTokens 非必填，模型能处理的最大上下文长度 contextWindow 非必填，模型生成响应时允许的最大令牌数 GPUStack 应用：GPUStack是生态专区提供的开源托管式AI模型部署平台，您可以通过订购GPUStack应用和GPU云主机资源，部署专属模型推理服务，保障数据的安全与服务的稳定。 说明 使用GPUStack前，请确保已购买GPUStack应用资源并正确部署模型，详细请参考通过GPUStack部署模型推理平台。 为保障OpenClaw稳定运行，推荐使用“GPUStack单机版”、“≥4 张英伟达GPU卡的云主机”、“Qwen332B”模型部署GPUStack应用为OpenClaw提供模型推理能力。 参数 填写说明 示例 模型来源 选择“GPUStack”应用。 GPUStack实例 为OpenClaw提供模型服务的GPUStack实例，支持自动获取已订购的GPUStack实例，可选择： GPUStack 单机版实例 GPUStack 集群版Server实例 GPUStack单机版39sh 模型 选择的GPUStack实例中，已部署的模型列表，支持自动获取。 说明 可根据您的使用场景、GPU云主机资源选择合适的模型。GPUStack单机版推荐使用模型“Qwen332B”。 Qwen332B maxTokens 非必填，模型能处理的最大上下文长度 contextWindow 非必填，模型生成响应时允许的最大令牌数 自定义模型配置：您可以自行配置其他模型，如Kimi、MiniMax等。本文以息壤模型推理服务为例。 填写模型所需的参数说明见下表。填写完成后，点击“添加并应用”按钮，即可保存该模型配置，并将其设为 OpenClaw 应用的模型服务提供商。 参数 填写说明 示例 模型来源 选择“自定义模型” 模型Provider 模型供应商名称，可自定义命名。 XiRang 模型Base url 模型服务调用地址。 说明 即息壤模型服务生成的 baseurl ，默认为“ 模型Api 模型提供商的 API 协议格式。 openaicompletions 说明 息壤模型推理服务提供的模型默认均支持“openaicompletions”协议格式。 模型Api Key 模型服务的API Key。 12356789 说明 即息壤模型服务生成的App Key，可在服务接入模块查看。 模型ID 调用模型的ID。 DeepSeekV3.2Standard 说明 息壤模型广场中，可在查看模型详情页顶部获取模型ID信息。 模型Name 调用模型的名称。 DeepSeekV3.2Standard 说明 息壤模型广场中，可在查看模型详情页顶部获取模型名称信息。 maxTokens 非必填，模型能处理的最大上下文长度 contextWindow 非必填，模型生成响应时允许的最大令牌数 注意 如果您重复添加同一个模型提供商（Provider），后添加的API Key将自动覆盖之前设置的API Key，并以最新的配置为准。

提升操作系统访问安全性 使用密钥对登录实例 密钥对由公钥和私钥组成，是一种安全的身份认证方式，相较于传统账号密码登录，具备更高安全性与便捷性,为提高安全性，建议使用密钥对登录实例。 天翼云密钥对默认采用 RSA2048 位加解密算法，密钥对的安全强度远高于常规密码，能有效杜绝暴力破解风险，避免因密码泄露导致的实例被非法登录。将公钥配置在 Linux 实例后，用户可在本地或其他实例中，通过私钥直接登录目标实例，无需重复输入密码，对于批量管理多台 Linux 实例场景，密钥对登录能大幅提升运维效率。 配置建议：创建实例时可直接指定密钥对，或在实例创建后绑定密钥对；建议在 SSH 配置文件中禁用密码登录，仅支持密钥对登录，进一步强化登录安全。更多信息，请参见++密钥对使用场景介绍++ 避免敏感端口 0.0.0.0/0 授权 未对端口授权进行管理的情况下，云主机允许任意来源的访问，可能导致网络中的攻击者在未经授权的情况下，通过Linux操作系统22端口（用于SSH连接）或Windows操作系统的3389端口（用于RDP远程桌面服务）登录到操作系统中，对系统进行攻击。安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。更多信息，请参见++安全组概述++。 安全加固操作系统

本文介绍DDoS高防（边缘云版）相关的概念解释。 什么是DDoS高防经常提到的源站IP？ 源站IP指客户的业务系统对外提供服务时所使用的公网IP地址。 用户在接入域名时，需要配置源站地址。当攻击流量经过天翼云节点清洗后，干净的业务流量将会转发回客户源站IP。 什么是SYN Flood攻击？ SYN Flood攻击是一种典型的DDoS攻击，主要攻击方式表现为服务端接收到 SYN包 后，会回复SYN ACK包，并进入半连接状态。Attacker一直发送 SYN包，但不回复 ACK包，直到被攻击方的服务器资源耗尽。 什么是ACK/UDP/ICMP Flood攻击？ ACK/UDP/ICMP Flood攻击是指攻击者发起大量ACK/UDP/ICMP数据包，造成服务器过载，目的是通过大量的报文，导致被攻击方的服务器资源耗尽，无法响应正常的请求。 什么是空连接攻击？ 空连接攻击是攻击者与服务端完成TCP握手，并建立TCP连接，但不发起任何请求，导致连接被占用甚至耗尽，从而影响正常用户发起连接。 什么是UDP反射放大攻击？ 正常情况下客户端发送请求包到服务端，服务端返回响应包到客户端，但是 UDP 协议是面向无连接的，所以攻击者将源IP伪造成被攻击方IP，响应包则全部反射到被攻击方，导致被攻击方的服务器资源耗尽。 什么是CC攻击？ 黑客利用代理服务器或者控制的肉鸡，向目标服务器发送大量的请求（尤其是需要频繁查询数据库的请求），致使CPU处理不过来这么多的请求，长期处于100%的状态，从而无法处理正常请求。

本节主要介绍修改实例安全组。 操作场景 GeminiDB Influx支持修改安全组。 使用须知 对于进行节点扩容中的实例，不可修改安全组。 该功能目前处于公测阶段，如需使用，请您联系客服申请开通。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在“实例管理”页面，选择指定的实例，单击实例名称。 4. 在左侧导航树，单击“连接管理”。 5. 在“内网安全组”区域，单击，选择实例所属安全组。 单击，提交修改。此过程约需1～3分钟。 单击，取消修改。 6. 稍后可在“安全组”区域，查看修改结果。

参数 说明 awsaccesskeyid 用户账号 access key awssecretaccesskey 用户账号 secret key endpointurl 天翼云资源池的地址，必须指定http或https前缀 config 客户端配置，可以配置连接超时时间

本节介绍网络的用户指南:集群网络概述。 集群网络分为主机和容器两个维度，主机位于VPC中使用VPC网络，容器网络则使用容器网络插件来管理。 节点网络 VPC为集群内主机分配IP地址，订购集群时选择VPC中的子网用于集群的主机网络，子网可用IP数量直接限制了集群节点规模。 容器网络 约束条件 容器网络CNI插件为Pod分配IP地址，云容器引擎提供的CNI插件均符合kubernetes容器网络模型，具体约束如下： 1.每个Pod都拥有一个独立IP地址，Pod内容器均共享一个网络命名空间； 2.任意Pod之间均可直接通信，无需NAT； 3.任意Pod与节点间均可直接通信，无需NAT。 网络插件 当前云容器引擎提供如下CNI插件： calico容器网络：使用calico IPIP模式。该模式下，calico依旧使用BGP分发节点的容器路由信息，但在节点网络基础上通过IPIP隧道技术构建独立于节点网络平面的容器网络平面，IPIP将发给容器的IP报文封装成发给目的节点的IP报文进行隧道传输； cubecni容器网络：是云原生网络方案，直接基于VPC网络中的弹性网卡和IP资源构建容器网络。Pod通过弹性网卡资源直接分配VPC的子网IP地址，无需额外指定虚拟Pod地址段。 Cubecni和Calico对比如下： 。 对比项 Cubecni Calico隧道模式 容器网络平面 构建Underlay网络，容器和节点均在同个网络平面，支持VPC内多集群Pod直接互通及VPC内直接互通 构建Overlay网络，基于集群节点网络构建 一层覆盖网络，不支持VPC内多集群Pod直接互通及VPC内直接互通 容器网络性能 无解封包开销，整体性能优于Overlay网络，其中Cubecni独占ENI模式性能无限接近主机 有解封包损耗 节点规模 不直接限制节点规模 受限于BGP Peer连接数等限制 网络访问控制 支持网络策略Network Policy，其中Cubecni独占ENi模式支持Pod粒度安全组配置 支持网络策略Network Policy 源地址审计 Pod访问VPC网络资源，源地址是容器IP，不经节点SNAT，便于审计 Pod访问VPC网络资源，需经节点SNAT，不便于审计 地址管理 无需按节点分配地址段，随用随分配，地址无浪费 每个节点提前分配虚拟地址段 ELB 支持ELB直通Pod，性能更优 不支持ELB直通Pod，需通过NodePort转发

介绍分布式消息服务Kafka与天翼云其他服务关系。 虚拟私有云(CTVPC ，Virtual Private Cloud) 虚拟私有云为分布式消息服务Kafka提供一个逻辑隔离的区域，构建一个安全可靠、 可配置和管理的虚拟网络环境。更多信息请参见虚拟私有云。 弹性云主机（CTECS，Elastic Cloud Server） 分布式消息服务Kafka订购后，默认按照用户选择的实例规格开通弹性云主机，云主机由 CPU、内存、镜像、云硬盘组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保分布式消息服务Kafka持久稳定运行。更多信息请参见弹性云主机。 云硬盘（CTEVS，Elastic Volume Service） 分布式消息服务Kafka订购后，默认按照用户选择的存储大小开通云硬盘。云硬盘是一种可弹性扩展的块存储设备，可以为分布式消息服务Kafka提供高性能、高可靠的块存储服务。更多信息请参见云硬盘。 弹性IP（Elastic IP，EIP） 弹性IP是可以独立申请的公网 IP 地址，包括公网IP地址与公网出口带宽服务。可以与分布式消息服务Kafka动态绑定和解绑，实现云资源的互联网访问。针对需要公网访问分布式消息服务Kafka实例的需求，用户可开通弹性IP后，在Kafka实例开通页面进行绑定。更多信息请参见弹性IP。

本节介绍iVPN app的带宽管理。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“iVPN app”，进入iVPN app管理页面； 3.在操作实例中，点击“管理”，选择“调整带宽大小”，进入iVPN app 调整带宽大小管页面； 4.在调整带宽大小页面中，可拖动进度条或填写具体数字设置带宽。

本节介绍iVPN app的带宽管理。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“iVPN app”，进入iVPN app管理页面； 3.在操作实例中，点击“管理”，选择“调整带宽大小”，进入iVPN app 调整带宽大小管页面； 4.在调整带宽大小页面中，可拖动进度条或填写具体数字设置带宽。

本小节介绍云解析添加A记录操作方法。 使用场景 A记录是用来指定域名的IPv4地址，如果需要将域名指向一个IP地址，就需要添加A记录。 操作方法 1. 登录控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 2. 在域名维护页面，点击要修改的域名进入记录管理页。 3. 单击页面上方的“添加记录”按钮，系统将自动生成一条空白记录。 4. 填写以下信息。 主机记录：一般是指子域名的前缀。 如需实现www.ctyun.cn，主机记录输入“ www”。 如需实现ctyun.cn，主机记录输入“@”。 记录类型：选A记录 线路类型：通常选择默认（默认为必填项，否则会导致部分用户无法解析）。 记录值：输入指定IPv4地址。 TTL：缓存时间，默认为3600秒。 5. 单击“√”完成记录添加。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b name 是 String 规则名 ctyunrule desc 否 String 描述 demo service 是 String 本参数表示服务。取值范围： ecs：云主机。 evs：云硬盘。 pms：物理机。 ... 云监控服务，具体服务参见 ecs dimension 是 String 本参数表示告警维度。取值范围： ecs：云主机。 disk：磁盘。 pms：物理机。 ... 云监控服务，具体服务参见 ecs repeatTimes 否 Integer 重复告警通知次数，默认为0，当repeatTimes值为1，代表无限重复。 0 silenceTime 否 Integer 告警接收策略静默时间，多久重复通知一次，单位为秒 300 recoverNotify 否 Integer 本参数表示恢复是否通知。默认值0。取值范围： 0：否。 1：是。 根据以上范围取值。 0 notifyType 否 Array of Strings 本参数表示告警接收策略。取值范围： email：邮件告警。 sms：短信告警。 根据以上范围取值。 ['email','sms'] contactGroupList 否 Array of Strings 告警联系人组 ['000f03221f4d8cc8bb2e1c30fb751ccc'] notifyWeekdays 否 Array of Integers 本参数表示通知周期。默认值[0,1,2,3,4,5,6]。取值范围： 0：周日。 1：周一。 2：周二。 3：周三。 4：周四。 5：周五。 6：周六。 根据以上范围取值。 [0,1,2,3,4,5,6] notifyStart 否 String 通知起始时段，默认为00:00:00 00:00:00 notifyEnd 否 String 通知结束时段，默认为23:59:59 23:59:59 webhookUrl 否 Array of Strings webhook消息推送url地址 [' projectID 否 String 项目ID 0 conditions 是 Array of Objects 具体匹配策略 condition resources 是 Array of Objects 资源信息列表 resources resourceScope 否 Integer 规则的资源范围，默认值0，取值范围： 0：实例资源类型。 1：资源分组类型。 2：全部资源类型 。 根据以上范围取值。 0 defaultContact 否 Integer 是否使用天翼云默认联系人接收通知，默认值0，取值范围： 0：否。 1：是。 根据以上范围取值。 0

本文帮助您快速熟悉服务器绑定的操作方法。 操作场景 当您需要通过虚拟IP去访问业务，实现业务的高可用，您可以选择将云服务器与虚拟IP绑定。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成虚拟IP、弹性云主机的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择广东广州6。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“子网”选项，点击虚拟IP所在的子网。 5. 进入子网详情界面，点击“虚拟IP”页签，在需要绑定服务器的虚拟IP地址所在行的操作列下，单击“绑定服务器”。 6. 在弹窗中选择需要绑定的“服务器类型”：云主机/物理机。 7. 选定服务器类型后选择需要绑定的网卡。 8. 单击“确定”按钮，即可完成服务器的绑定。 注意 1. 一个虚机IP支持绑定多个云服务器，同一个虚拟IP绑定的服务器类型只能是一种类型。 2. 虚拟IP具备子网属性，云服务器网卡所属子网与虚拟IP所属子网需相同才可绑定。 3. 如您需要虚拟IP绑定标准裸金属，需在标准裸金属子网中申请虚拟IP。标准裸金属子网下的虚拟IP仅支持绑定标准裸金属。部分可用区资源池版本暂不支持虚拟IP绑定标准裸金属，实际情况以控制台展示为准。

本文为您介绍通知策略的操作场景，以及如何创建、修改、删除、绑定、解绑通知策略。 操作场景 通知策略包括通知策略模板及收敛策略定义，您可以根据业务需求灵活定义通知策略。主要适用于以下场景： 1、同一时间段内产生大量同类或相关告警。 2、同类单条告警规则每次配置通知策略较为繁琐，可提前配置通用策略后关联告警规则。 注意 通知策略功能当前为公测开放阶段，如有需要可以联系客户经理提单开通。 使用定义通知策略下“通知收敛”策略，可能会照成告警通知延迟发送，您可以按照实际业务需要进行配置。 通知收敛策略、告警规则及通知信息关联策略参考如下： 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 创建通知策略 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“迁移与管理”，单击“云监控服务”，进入监控概览页面。 4. 单击“告警服务”>“告警规则”，进入告警规则界面。 5. 切换至“通知策略”页签，点击“创建通知策略”按钮，进入创建通知策略界面。 6. 单击“确定”，完成通知策略的创建。 7. 配置参数如下： 模块 参数 参数说明 配置示例 备注 创建通知策略 规则类型 选择规则类型 目前仅支持指标类型 服务 选择配置通知策略的服务 云主机 维度 选择配置通知策略的维度 云主机 告警联系组 选择告警通知联系组 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 出现告警 通知渠道 配置告警通知的通知方式，支持邮箱及短信。 邮箱 重复告警 指告警发生后如果未恢复正常，将重复发送告警通知次数。 不重复 通知周期 配置告警通知的周期时间。 星期天、星期一、星期二、星期三、星期四、星期五、星期六 通知时段 配置告警通知的时间段。 00:00:0023:59:59 告警回调 配置告警通知webhook地址。 通知模版 选择通知内容模版 系统模板 定义通知收敛 配置通知收敛开关 打开 收敛字段 选择收敛字段，支持多选，资源对象、告警等级、指标 资源对象 通知收敛频率 填写收敛频率时间（s） 60（s） 规则信息 名称 填写规则名称 描述 填写规则描述，非必填 说明 常见收敛字段类型及示例： 1. 如果设置“指标名称“为收敛字段，当云主机 A 和云主机 B 的 CPU 使用率都超过阈值触发告警时，云监控会将这两个告警视为同类告警进行收敛处理。 2. 如果设置“监控对象“为收敛字段，当告警对象是某台云主机 A，当该云主机的磁盘 I/O 使用率、网络带宽等多个指标同时触发告警时，这些告警会被收敛为一条告警信息。 3. 如果设置 “告警等级” 设为收敛字段，当告警对象云主机 A ，产生诸如磁盘 I/O 使用率、网络带宽占等多个告警，只要这些告警隶属于同一告警等级，系统就会把它们整合为一条告警信息。 说明 如果选择多个收敛字段，如：收敛字段选择“指标名称”+“监控对象”，收敛通知逻辑如下： 相同字段组合的告警合并 指标和实例均相同的告警会被合并为一条通知。例如： 指标A + 实例1 → 合并为一条告警；指标B + 实例2 → 合并为另一条告警。 不同字段组合的告警独立触发 若指标或实例不同，例如：指标A+实例1 和指标A+实例2，则视为不同的收敛字段组合，会触发多条独立的告警通知。

本文为您介绍如何在控制台便捷且快速地为云主机一键挂载NAS文件系统。 新购云主机一键挂载NAS文件系统 前提条件 已创建文件系统。具体操作请参考：弹性文件快速入门创建文件系统。 使用限制 镜像：仅支持使用公共镜像的云主机挂载NAS文件系统，暂不支持私有镜像。 挂载目录：仅支持挂载NAS文件系统的根目录，不支持挂载NAS文件系统的子目录。 VPC：NAS文件系统与云主机必须属于同一个VPC；同时挂载多个NAS文件系统时，每个文件系统的挂载地址必须属于同一个VPC。 子网：如果NAS文件系统选择了IPv6的挂载地址，云主机需要选择双栈类型（开启IPv6）的子网。 挂载路径：同时挂载多个NAS文件系统时，每个文件系统的挂载路径不可重复，不可嵌套。 挂载NAS文件系统的云主机不支持更换VPC。 挂载NAS文件系统的云主机不支持一键重装。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 在弹性云主机列表页，单击“创建云主机”。 5. 在创建云主机的第1步【基础配置】，可选择文件系统进行挂载，重要配置说明如下： 文件系统：Linux镜像仅支持NFS协议文件系统，Windows镜像仅支持CIFS协议的文件系统。 挂载地址：用于NAS和云主机间的网络连通，需要和云主机属于同一VPC。 挂载路径：从云主机上访问NAS的本地路径。 如果镜像已选择Linux 单目录的长度不超过255个字符，总长度不能超过4095个字符； 必须以"/"开头，由数字、字母、点、下划线、减号组成，通过"/"分割； 不能是系统路径：/, /bin, /usr, /boot, /dev, /etc, /lib, /lib64, /proc, /run, /sys, /var，/tmp，/sbin； 每条配置填写的挂载路径不能重复； 推荐在/mnt下新建本地路径作为挂载路径，如：/mnt/docs。 如果镜像已选择Windows 只能输入【E~Z】内的单个字母作为盘符； 推荐选择Z作为挂载盘符，如果Z被占用，请重新输入其他字母作为盘符。 协议类型：NFS文件系统可以选择NFSv3协议或NFSv4协议，CIFS文件系统选择CIFS协议即可。 挂载参数：根据所选协议类型自动填写，不可修改。 开机自动挂载：勾选后，每次云主机启动时都会自动挂载文件系统。 6. 成功创建云主机后，NAS会自动完成挂载，假如NAS挂载失败，不影响云主机创建结果。

主要介绍翼MapReduce服务的计费方式。 计费项 购买MRS集群的费用包含两个部分： MRS服务管理费用 IaaS基础设施资源费用（云主机、云硬盘，弹性IP/带宽等） 计费方式 MRS当前支持包年包月和按需计费两种计费方式。 包年/包月：根据集群购买时长，一次性支付集群费用。最短时长为1个月，最长时长为1年。 按需计费：节点按实际使用时长计费，计费周期为一小时。 费用计算方式 系统显示的集群费用，包括：MRS服务管理费用+云主机使用费+云硬盘使用费+其他费用（如弹性IP/带宽等）。 其中云主机、云硬盘及其他（如弹性IP/带宽等）产品的价格，请参考对应产品的价格清单。 普通版集群 普通版集群服务管理费用，按实际选择的节点规格、数量及其单价进行计算。 以创建节点数量为6的集群为例，选用通用计算型“s3.4xlarge.4”（16核64GB）规格： 按需集群：单价为0.62元/节点/小时，集群服务管理费为6x0.623.72元/小时。（此示例未包含云主机、云硬盘等其他产品费用） 包周期集群：单价为299元/节点/月，集群服务管理费为6x2991794元/月。（此示例未包含云主机、云硬盘等其他产品费用） LTS版集群 LTS集群服务管理费，以“核数”为单位计费，计费项与普通集群相同。 以购买10个规格为8核的节点集群为例： 按需集群：单价为0.052元/核/小时，集群服务管理费为 8x10x0.0524.16元/小时。（此示例未包含云主机、云硬盘等其他产品费用） 包周期集群：单价为25元/核/月，集群服务管理费为8x10x252000元/月。（此示例未包含云主机、云硬盘等其他产品费用） 计费方式变更 仅支持由按需计费转换为包周期计费，暂不支持由包周期计费转换为按需计费。 到期欠费

云主机可通过弹性IP访问互联网,本文向您介绍云主机与弹性IP绑定,并访问互联网的步骤。 前提条件 已配置了云主机，且该云主机需和弹性IP在同一资源池。 背景信息 在申请云主机的时候如果选择了“不使用”弹性IP，您的云主机将无法访问互联网，也无法被互联网访问。您对云主机的管理都只能通过控制台的远程登录进行。如下图： 如果云主机的IPv4地址信息只有内网地址，没有公网地址，说明主机没有绑定过弹性IP。 您可以通过购买弹性IP与云主机绑定，实现云主机访问互联网资源。如果云主机上部署企业应用，也可以通过弹性IP来实现被互联网访问，向企业的最终用户提供服务。 跨可用区弹性云主机互访场景，也可以通过给每个主机均绑定弹性IP，实现云主机具备互联网访问能力，在通过互联网实现主机的互相访问。 应用场景说明 用户购买弹性IP，并将其挂载到云主机。 操作步骤 1. 进入网络控制台，点击【申请弹性IP】按钮； 2. 配置弹性IP的地域、名称等基本信息，地域要和主机所在地域相同。计费方式建议和主机计费方式相同。 3. 根据需要访问互联网的主机数量选择购买数量，本文中我们只需要1台主机能够访问互联网，选择购买数量“1”即可。 4. 点击【下一步】，按照提示完成订单即可完成购买； 5. 在控制台列表找到刚刚购买的弹性IP，点击【绑定】； 6. 选择“一对一映射”； 7. 在弹出的页面中选择要绑定的云主机，点击【确认】即可实现绑定。 绑定后，在控制台列表中，该弹性IP状态显示“已绑定”。 8. 回到云主机控制台，可以看到云主机的IPv4信息列增加了刚刚绑定的弹性IP； 9. 登录云主机，网络状态显示“已连接”，使用浏览器打开 ping 8.8.8.8）。

类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，云上或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

本章节介绍了如何连接已开启SSL的分布式消息服务RocketMQ实例。 实例开启SSL时，数据使用加密传输，安全性更高。本文主要介绍在命令行模式下使用SSL连接RocketMQ实例的操作，其中包含VPC内和公网环境下两种连接场景。 在使用SSL连接的场景下，通过VPC内访问和通过公网环境访问，仅涉及连接IP和端口不一致，其他操作步骤是一样的，VPC内访问的连接端口为8100，公网环境下访问的连接端口为8200。 文中仅介绍公网环境下的连接示例，在VPC内连接时，替换为相应的连接地址即可。 前提条件 已创建RocketMQ实例，并记录实例详情中的“元数据连接地址”（VPC内访问）/“元数据公网连接地址”（公网访问）。 已配置安全组。 已创建Topic。 已创建弹性云服务器，并且弹性云服务器的VPC、子网、安全组与RocketMQ实例的VPC、子网、安全组保持一致。 已安装Java Development Kit 1.8.111或以上版本，并完成环境变量配置。 命令行模式连接实例 1. 下载“rocketmqtutorial”示例软件包。 wget 2. 解压“rocketmqtutorial”。 unzip rocketmqtutorial.zip 3. 进入“rocketmqtutorial/bin”目录。 cd rocketmqtutorial/bin 4. 运行生产普通消息示例。 sh mqadmin sendMessage n "{连接地址}" t {Topic名称} p "hello rocketmq" 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin sendMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest p "hello rocketmq" 使用Ctrl+C命令退出。 5. 运行消费普通消息示例。 sh mqadmin consumeMessage n "{连接地址}" t {Topic名称} 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin consumeMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest 如需停止消费使用Ctrl+C命令退出。 6. 运行生产带消息轨迹的消息示例。 sh mqadmin sendMessage n "{连接地址}" t {Topic名称} p "hello rocketmq" m true 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin sendMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest p "hello rocketmq" m true 使用Ctrl+C命令退出。 7. 运行消费消息示例，并发送消息轨迹。 sh mqadmin consumeMessage n "{连接地址}" t {Topic名称} m true 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin consumeMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest m true 使用Ctrl+C命令退出。

本章节介绍了如何连接未开启SSL的分布式消息服务RocketMQ实例。 实例开启SSL时，数据使用加密传输，安全性更高。本文主要介绍在命令行模式下使用SSL连接RocketMQ实例的操作，其中包含VPC内和公网环境下两种连接场景。 在使用SSL连接的场景下，通过VPC内访问和通过公网环境访问，仅涉及连接IP和端口不一致，其他操作步骤是一样的，VPC内访问的连接端口为8100，公网环境下访问的连接端口为8200。 文中仅介绍公网环境下的连接示例，在VPC内连接时，替换为相应的连接地址即可。 前提条件 已创建RocketMQ实例，并记录实例详情中的“元数据连接地址”（VPC内访问）/“元数据公网连接地址”（公网访问）。 已配置安全组。 已创建Topic。 已创建弹性云服务器，并且弹性云服务器的VPC、子网、安全组与RocketMQ实例的VPC、子网、安全组保持一致。 已安装Java Development Kit 1.8.111或以上版本，并完成环境变量配置。 命令行模式连接实例 1. 下载“rocketmqtutorial.zip”示例软件包。 wget 2. 解压“rocketmqtutorial”。 unzip rocketmqtutorial.zip 3. 进入“rocketmqtutorial/bin”目录。 cd rocketmqtutorial/bin 4. 运行生产普通消息示例。 sh mqadmin sendMessage n "{连接地址}" t {Topic名称} p "hello rocketmq" 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin sendMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest p "hello rocketmq" 使用Ctrl+C命令退出。 5. 运行消费普通消息示例。 sh mqadmin consumeMessage n "{连接地址}" t {Topic名称} 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin consumeMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest 如需停止消费使用Ctrl+C命令退出。 6. 运行生产带消息轨迹的消息示例。 sh mqadmin sendMessage n "{连接地址}" t {Topic名称} p "hello rocketmq" m true 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin sendMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest p "hello rocketmq" m true 使用Ctrl+C命令退出。 7. 运行消费消息示例，并发送消息轨迹。 sh mqadmin consumeMessage n "{连接地址}" t {Topic名称} m true 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin consumeMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest m true 使用Ctrl+C命令退出。

本文为您介绍新增/测试/编辑/删除非天翼云数据库的具体操作。 新增非天翼云数据库 使用条件 单次同步天翼云数据库实例上限为10个。 进行同步或新增数据库等相关资源同步操作前，需创建命名空间。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源管理”“数据库”，进入数据库列表页。 5. 点击列表上方标签页中“非天翼云数据库”栏，进入非天翼云数据库列表页。 6. 在列表上方下拉菜单中选择需要进行新增非天翼云数据库操作的命名空间。 7. 点击页面右上角“新增非天翼云数据库”按钮，弹出新增非天翼云数据库弹窗。 8. 填写新增非天翼云数据库相关信息，各配置项信息如下： 参数 是否必填 配置说明 数据库实例名 √ 填写数据库实例名，同命名空间下非天翼云数据库名称需唯一。 长度为263字符。 所属分区 √ 选择当前命名空间下数据库所属分区。 数据库类型 √ 选择数据库类型，可选MySQL/Redis/ PostgreSQL/MongoDB。 连接地址 √ 填写数据库实例配置的公网IP地址，默认回显当前公网IP，无公网IP不展示。 连接端口 √ 填写数据库实例配置的连接端口。所选数据库类型为MySQL时，默认为3306，所选数据库类型为Redis时，默认为6379，所选数据库类型为PostgreSQL时，默认为5432，所选数据库类型为MongoDB时，默认为27017。 端口范围为165535。 数据库名 √ 填写数据库实例配置的数据库名，Redis类型数据，不展示属性。 长度最多为63位。 用户名 √ 填写数据库实例配置的用户名，非Redis类型数据库，用户名为必填项，Redis类型数据库用户名为选填项。 长度最多为63位。 密码 √ 填写数据库实例密码。 长度最多为63位。 描述 × 填写描述。 长度为0100个字符。 连接状态 √ 调试当前数据库状态，点击“测试”按钮进行连接测试，测试状态可为未知、连接成功、连接失败、测试中。 9. 点击“确定”按钮，完成新增非天翼云数据库。

本章节介绍对RDS创建的云数据库进行相关操作的授权。 假如您已经完成数据库资产委托授权，并开通了天翼云关系型数据库（RDS），且已在RDS里创建了数据库，可参考本章节操作，具体如下： 进行授权“只读权限”：只能使用敏感数据识别功能。 进行授权“读写权限”：可使用敏感数据识别和数据脱敏功能。 说明 DSC暂不支持对RDS中已开启SSL的MySQL数据库进行扫描和脱敏。 前提条件 已完成数据库资产委托授权，参考云资源委托授权/停止授权操作。 已开通RDS服务，且RDS中已有资产，且对应子网下含有可用的IP配额。 RDS实例的“状态”为“正常”。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，并选择“数据库 > 未授权”，进入未授权数据库资产列表页面。 5. 在需要授权的数据库资产所在行的“操作”列，单击“授权”。 说明 如果只需要授权数据库实例下的某个数据库，单击数据库实例前的向下按钮，展开实例列表，单击数据库所在行的操作列的“授权”即可。 6. 在弹出的“数据库批量授权”对话框中，参考下表配置数据库参数。 参数名称 参数说明 权限设置 只读权限：只能用于敏感数据识别。 注意 创建了RDS只读权限后，DSC服务会在RDS创建一个dscreadonly帐户。 dscreadonly帐户的密码在RDS重置后，将不会自动同步到DSC服务，会导致敏感数据识别任务失败，因此，建议您不要重置该帐户密码。 如果您已在RDS里重置了dscreadonly帐户的密码，建议您在DSC服务里先删除已授权的rds实例，再重新对该实例进行权限设置。 读写权限：可使用敏感数据识别和数据脱敏功能。 资产列表 “权限设置”选择“只读权限”时，可修改需要授权的“资产名称”。 “权限设置”选择“读写权限”时，可修改需要授权的“资产名称”，必需配置访问该数据库的“用户名”和“密码”。 7. 单击“确定”，数据库添加完成，并展示在已授权的数据库列表中。 数据库添加完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性。 DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 若DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败？解决。

与VPC的关系 VPC是基于天翼云创建的自定义私有网络，为弹性云主机提供一个逻辑上完全隔离的专有网络，您还可以在VPC中定义安全组、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更，详细内容请参见虚拟私有云。云防火墙目前仅支持VPC内绑定云主机资产的IP南北向的防护，并且需要您在同一个VPC内创建一个子网掩码不大于28的子网网段，用于云防火墙的部署，并确保该子网中不进行任何业务配置，只用于云防火墙的部署。 与弹性IP的关系 弹性IP（Elastic IP，EIP）是可以独立申请的公网IP地址，包括公网IP地址与公网出口带宽服务。可以与云主机、物理机、负载均衡、NAT网关等云产品动态绑定和解绑，实现云资源的互联网访问，详情请参见弹性IP。云防火墙会自动同步用户账号下的弹性IP资产，并显示其防护状态。用户可自主决策是否对弹性IP开启安全防护，首次购买后，您会自动进入防火墙控制台页面，同时防火墙自动为您同步资产，同步完成后，公网IP默认处于关闭防护状态，需要您手动“开启防护”，并去配置相关的规则。公网IP统计了您已开启和未开启防护的公网IP，对应防火墙状态中的“已防护”和“未防护”状态，未防护的统计所有绑定资产类型对应的公网IP。可用授权展示已经购买的云防火墙配额数，每个配额可防护一个VPC，您可以为该VPC中的所有IP开启防护。云防火墙（CFW）与EIP关系如下图：