本节介绍如何为下一代防火墙的网卡绑定虚拟IP。 前提条件 已为下一代防火墙资源绑定网卡。 绑定虚拟IP 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“下一代防火墙”，进入云等保专区的下一代防火墙资源页面。 3. 在目标资源的操作列，单击“更多 > 绑定虚拟IP”，为网卡绑定虚拟IP。 4. 弹出的“绑定虚拟IP”窗口中，在“选择网卡”下拉框中选择一个网卡，在下方列表中选择一个虚拟IP地址。 若没有可选的虚拟IP地址，单击“申请虚拟IP地址”，创建一个新的虚拟IP地址。 5. 选择完成后，单击“确定”，完成绑定。

本文介绍如何设置防护规则的优先级。 如您需调整放行或阻断IP的优先级顺序您可以参照本节步骤设置规则的优先级。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。 4. 在需要调整优先级的防护规则所在行的“操作”列，单击“设置优先级”。 5. 选择“置顶”，或“移动至选中规则后”。 说明 选择置顶，表示将该策略设置为最高优先级。 选择“移动至选中规则后”，需要选择相应的规则，表示将该策略优先级设置到选择的规则之后。 6. 单击“确认”，完成设置优先级。

参数名称 说明 类型 是否必选 x 原始字符串 string类型 是 offset 开始提取的偏移量 integer类型 是 length 长度 integer类型 否

参数名称 说明 类型 是否必选 x 原始字符串 string类型 是 offset 开始提取的偏移量 integer类型 是 length 长度 integer类型 否

天翼云应用服务网格服务协议参见这里。

云容器引擎产品服务协议，详情请参见这里。

本文将为您介绍如何添加VPC配置来实现专线网关与VPC的互通。 操作场景 用户添加专线网关到VPC的路由条目，以便实现专线网关和VPC的互通。 前提条件 添加VPC子网之前需要提前添加与子网相同IP类型的客户侧路由。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击“网络>云专线”，进入到云专线操作导航页面，在左侧导航栏中，单击“云专线>专线网关”，进入到专线网关列表页面。 4. 点击目标专线网关“操作”列的“详情”，进入到专线网关详情页面，在专线网关详情页面点击“VPC”，进入到“VPC”页签。 5. 在“VPC”页签中，单击“添加VPC”按钮，进入“添加VPC”窗口。 6. 根据页面提示，用户需配置与本地数据中心通信的VPC和子网，具体的参数说明如下表所示： 参数项 参数说明 VPC实例类型 支持同账号与跨账号两种类型 VPC 可在下拉框中选择已创建的VPC VPC ID 根据VPC名称自动生成 VPC网段（IPv4） 选择指定的VPC网段 IP类型 IP类型支持IPv4、IPv6和双栈三种 子网 选定VPC中的子网 7. 点击“确定”，完成VPC添加。

VPC边界防火墙支持VPC之间通信流量的访问控制，实现内部业务互访活动的可视化与安全防护。 支持的防护对象 虚拟私有云（VPC） 虚拟网关（VGW） VPN网关（VPN） 企业连接网（ECN） 全球接入网关（DGW） 约束条件 仅“专业版”支持VPC边界防火墙。 依赖企业路由器（Enterprise Router, ER）服务引流。 仅支持防护当前账号所属企业项目下的VPC。 配置流程 企业路由器模式（新版）配置及使用流程： 操作步骤 操作说明 创建VPC边界防火墙 为VPC边界防火墙规划用于引流的网段。 说明 引流VPC不会创建在您的账号上，即不占用您的防护VPC个数。 配置企业路由器并将流量引至云防火墙 通过企业路由器连通VPC和云防火墙之间的流量。 为防护VPC添加连接，建立VPC与ER之间的网络互通。 在企业路由器中创建两个路由表作为关联路由表和传播路由表，将VPC和防火墙之间的流量互相传输。 为VPC添加一条指向企业路由器的路由。 开启/关闭VPC边界防火墙并确认流量经过云防火墙 开启VPC边界流量防护，并验证流量是否经过云防火墙。 VPC边界防护规则 通过防护规则放行/拦截流量（放行后的流量会经过入侵防御IPS、病毒防御等功能的检测）。 通过添加黑白名单拦截/放行流量 通过黑白名单放行/拦截流量（放行/拦截的流量，不再经过其它功能的检测）。 访问控制日志 查看防护策略是否生效。

OpenSearch Dashboards OpenSearch Dashboards提供了直观的可用于创建、共享、交互式的开发、运维数据分析平台。与OpenSearch搭配使用，并提供角色基础访问控制能力。文内或简称为Dashboards。 支持多用户角色的权限管理 支持包括甘特图在内的多种数据呈现方式 支持多种数据统计方式 支持高阶的索引管理能力 支持通知告警功能 支持基于SQL的查询能力 支持CSV、PDF、Excel等文件的报告生成功能 Logstash Logstash是数据管道服务，通过可扩展的输入、过滤和输出体系，实时采集、转换和加载多源异构数据，并灵活对接各类存储与分析平台，是ELK（Elastic Stack）生态的核心组件之一。天翼云提供的全托管的Logstash服务，支持一键部署、可视化管道配置和数据管道集中管理。 支持文件、数据库、消息队列等多种数据源采集 支持灵活的数据处理，如字段提取、数据脱敏等 内置健康检查机制，支持通过API或可视化界面监控数据管道运行状态 Cerebro Cerebro 是一个功能强大且易于使用的云搜索服务管理工具，适合开发、运维和数据分析等多种场景。通过Cerebro可以对实例进行Web可视化管理，如监控实时的磁盘、集群负载、内存使用率等，通过其直观的界面和丰富的功能，用户可以更高效地管理和监控云搜索实例。云搜索服务兼容开源Cerebro，适配0.9.4。 支持可视化数据管理 支持监控实例实时负载

参数 说明 取值样例 区域 终端节点所在区域，页面右上角进行切换。 广州4 计费方式 终端节点仅支持按需付费，按需付费是后付费模式，按终端节点实际使用服务的时长计费，可以随时连接/断开终端节点服务。 按需计费 服务类别 终端节点服务的类型。 云服务/按名称查找服务 选择服务 服务实例，按照服务名称验证前，需要将当前租户的domainid加入用户私有服务的白名单。 beta.b0e22f6f26f4461cb140d873464d4fa0 内网域名 终端节点支持通过内网域名访问，默认支持通过虚拟IP访问。 N/A 虚拟私有云 终端节点所属虚拟私有云。 vpcepclient180815(192.168.0.0/16) 子网 终端节点所属子网。 subnet7ff8(192.168.0.0/24)

本节介绍了云容器引擎安全责任共担模型。 在云容器引擎 CCE 中，安全合规遵循责任共担原则。具体而言，云容器引擎 CCE 承担着集群控制面组件（涵盖 Kubernetes 控制平面组件与 etcd）及集群服务相关天翼云基础设施的默认安全保障责任。本文将详细阐述天翼云云容器引擎 CCE 的安全责任共担模型。 天翼云负责 在管控面侧，天翼云凭借完善的平台安全能力，负责保障管控面侧基础设施（涵盖计算、存储、网络等各类云服务资源）的安全。针对集群节点操作系统或 K8s 组件层面出现的安全漏洞，天翼云会及时发布相关公告，并提供对应的漏洞补丁或版本更新支持。天翼云还会围绕企业云原生应用生命周期中安全防护的典型场景，提供必要的安全防护功能及最佳实践指导。 客户负责 客户方安全管理与运维人员需承担部署于云上的业务应用安全防护责任，以及云上资源的安全配置与更新工作，具体包括以下内容： 依据天翼云发布的公告，采用其提供的补丁或版本升级方式，及时对操作系统、集群侧系统组件、运行时等存在的漏洞进行修复和版本更新 遵循安全原则对 CCE 集群、节点池及网络等进行参数配置，防止因参数或权限设置不当而给攻击者留下可乘之机 根据实际使用需求，按照权限最小化原则，完成账号、角色的授权，做好凭据管理，部署实施相关安全策略，并保障应用自身参数配置的安全性 负责应用制品的供应链安全 保障应用敏感数据及应用运行时的安全 CCE采用双层的权限体系，即IAM+RBAC。当删除 IAM 用户或 IAM 角色时，并不会同步移除该用户或角色所拥有的集群 KubeConfig 中的 RBAC 权限。因此，在删除离职员工或非受信人员的 IAM 用户或 IAM 角色前，需先吊销其 KubeConfig 权限。

本页重点列举DTS所涉及的一些关键服务协议。 天翼云数据传输服务DTS版服务协议 天翼云数据传输服务DTS版服务等级协议 中国电信天翼云用户协议

本文将为您介绍如何从备份策略中解绑存储库。 操作场景 当绑定的存储库不再使用此备份策略进行自动备份，您可以选择将存储库从备份策略中解绑。解绑后该备份策略无法执行自动备份，直到绑定至其他存储库。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击“存储>云硬盘备份”，单击“备份策略”，进入云硬盘备份策略页签。 4. 单击已绑定存储库的备份策略“操作”列的“解绑存储库”。 5. 在解绑确认框中，单击“确定”，即可成功解绑存储库。

本文帮助您快速熟悉如何修改对等连接。 操作场景 对等连接在任何状态下，两端账户均有权限修改对等连接。目前仅支持修改对等连接的名称及描述。 操作步骤 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在对等连接列表中选择要修改的对等连接，点击“操作”列下的“修改”按钮。 5. 在弹出的窗口中，修改对等连接的名称及描述，点击“确定”，完成信息修改。

本文介绍了云防火墙（原生版）产品的操作日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 操作日志”，进入操作日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、危险等级、操作行为、日志内容进行筛选。 5. 操作日志列表包括发生时间、危险等级、操作行为、日志内容。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

本节为您介绍云迁移服务CMS成本评估查看TCO分析图表功能。 1. 云迁移服务CMS 提供成本评估查看TCO分析图表功能。用户可以点击左侧导航栏选择迁移评估选项，点击【成本评估】进入[成本评估]界面。点击【查看TCO分析图表】按钮，进入[TCO分析图表]界面。如图所示。 2. 进入[TCO分析图表]界面，用户可以查看产品成本对比，并提供成本饼图账单明细功能。如图所示。 3. 点击【PDF打印】按钮，在线下载PDF文件。如图所示。

接口介绍 为用户指定资源池开通云容灾服务(客户端和跨域流量复制)，属于region级服务 接口约束 1、用户在该region下未开通过云容灾服务 URI POST /v4/disaster/openservicedisaster 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID, 例:100054c0416811e9a6690242ac110002 参考请求示例 clientToken 否 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一 参考请求示例 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 :: statusCode 是 Integer 返回状态码(800为成功，900为失败) 参考响应示例 message 是 String 成功或失败时的描述，一般为英文描述 参考响应示例 description 是 String 成功或失败时的描述，一般为中文描述 参考响应示例 returnObj 否 Object 成功时返回对象 returnObj 表 errorCode 否 String 业务细分码，为product.module.code三段式码 参考状态码 error 否 String 业务细分码，为product.module.code三段式大驼峰码 参考状态码 表 returnObj 参数 是否必填 参数类型 说明 示例 下级对象 masterResourceStatus 是 String 主资源状态 参考响应示例 regionID 是 String 资源池ID 参考响应示例 masterOrderID 是 String 订单ID 参考响应示例 masterResourceID 是 String 订单资源ID 参考响应示例 masterOrderNO 是 String 订单编号 参考响应示例 resources 是 Array of Objects 订单信息 表resources 表resources 参数 是否必填 参数类型 说明 示例 下级对象 orderID 是 String 订单编号 参考响应示例 status 是 Integer 订单状态 参考响应示例 isMaster 是 Boolean 是否主订单 参考响应示例 resourceType 是 String 资源类型，云容灾客户端都为CTCDRCLIENT 参考响应示例 resourceID 是 String 订单资源ID 参考响应示例 masterOrderID 是 String 订单ID 参考响应示例 updateTime 是 Integer 更新时间 参考响应示例 masterResourceID 是 String 主资源ID 参考响应示例 itemValue 是 Integer 订单个数 参考响应示例 startTime 是 Integer 开始时间 参考响应示例 createTime 是 Integer 创建时间 参考响应示例

参数名称 说明 类型 是否必选 arr 原始数组 array类型 是 offset 片段在原始数组的偏移量 integer类型 是 length 片段长度 integer类型 否

参数名称 说明 类型 是否必选 arr 原始数组 array类型 是 offset 片段在原始数组的偏移量 integer类型 是 length 片段长度 integer类型 否

吞吐量（tokens/s/p） 366.915 MFU 芯片算力（%） 43.061 MFU CUBE算力（%） 45.867

本章节介绍如何部署bookinfo应用到CSM实例 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 创建命名空间 首先到云容器引擎控制台找到当前添加到服务网格的云容器引擎集群，创建测试应用部署的sample命名空间，同时给命名空间打上istioinjection: enabled的标签以保证该命名空间下的pod会被注入sidecar。 部署应用 使用如下yaml部署我们的bookinfo应用，注意根据当前集群所在的资源池替换镜像的地址（当前云容器引擎实例在华东1资源池）；如果您想要把演示应用部署到其他namespace也可以修改yaml里面的namespace字段实现，示例yaml如下： apiVersion: v1 kind: Service metadata: name: details labels: withServiceMesh: "true" workloadKind: Deployment workloadName: detailsv1 spec: ports: port: 9080 targetPort: 9080 name: http selector: app: details apiVersion: apps/v1 kind: Deployment metadata: name: detailsv1 labels: withServiceMesh: "true" spec: replicas: 1 selector: matchLabels: name: detailsv1 template: metadata: labels: app: details version: v1 name: detailsv1 source: CCSE csmAutoEnable: "on" "sidecar.istio.io/inject": "true" annotations: "sidecar.istio.io/inject": "true" spec: containers: name: details image: 'registryvpccrshuadong1.cnspinternal.ctyun.cn/library/istioexamplesbookinfodetailsv1:1.16.2' imagePullPolicy: IfNotPresent resources: limits: cpu: "200m" memory: "256Mi" requests: cpu: "50m" memory: "64Mi" apiVersion: v1 kind: Service metadata: name: ratings labels: withServiceMesh: "true" workloadKind: Deployment workloadName: ratingsv1 spec: ports: port: 9080 targetPort: 9080 name: http selector: app: ratings apiVersion: apps/v1 kind: Deployment metadata: name: ratingsv1 labels: withServiceMesh: "true" spec: replicas: 1 selector: matchLabels: name: ratingsv1 template: metadata: labels: app: ratings version: v1 name: ratingsv1 source: CCSE "sidecar.istio.io/inject": "true" csmAutoEnable: "on" annotations: "sidecar.istio.io/inject": "true" spec: containers: name: ratings image: 'registryvpccrshuadong1.cnspinternal.ctyun.cn/library/istioexamplesbookinforatingsv1:1.16.2' imagePullPolicy: IfNotPresent resources: limits: cpu: "200m" memory: "256Mi" requests: cpu: "50m" memory: "64Mi" apiVersion: v1 kind: Service metadata: name: reviews labels: withServiceMesh: "true" workloadKind: Deployment workloadName: reviewsv1 spec: ports: port: 9080 targetPort: 9080 name: http selector: app: reviews apiVersion: apps/v1 kind: Deployment metadata: name: reviewsv1 labels: withServiceMesh: "true" spec: replicas: 1 selector: matchLabels: name: reviewsv1 template: metadata: labels: app: reviews version: v1 name: reviewsv1 source: CCSE "sidecar.istio.io/inject": "true" csmAutoEnable: "on" annotations: "sidecar.istio.io/inject": "true" spec: containers: name: reviews image: 'registryvpccrshuadong1.cnspinternal.ctyun.cn/library/istioexamplesbookinforeviewsv1:1.16.2' imagePullPolicy: IfNotPresent env: name: LOGDIR value: "/tmp/logs" volumeMounts: name: tmp mountPath: /tmp name: wlpoutput mountPath: /opt/ibm/wlp/output volumes: name: wlpoutput emptyDir: {} name: tmp emptyDir: {} apiVersion: v1 kind: Service metadata: name: productpage labels: withServiceMesh: "true" workloadKind: Deployment workloadName: productpagev1 spec: ports: port: 9080 targetPort: 9080 name: http selector: app: productpage type: NodePort apiVersion: apps/v1 kind: Deployment metadata: name: productpagev1 labels: withServiceMesh: "true" spec: replicas: 1 selector: matchLabels: name: productpagev1 template: metadata: labels: app: productpage version: v1 name: productpagev1 source: CCSE "sidecar.istio.io/inject": "true" csmAutoEnable: "on" annotations: "sidecar.istio.io/inject": "true" spec: containers: name: productpage image: 'registryvpccrshuadong1.cnspinternal.ctyun.cn/library/istioexamplesbookinfoproductpagev1:1.16.2' imagePullPolicy: IfNotPresent resources: limits: cpu: "200m" memory: "256Mi" requests: cpu: "50m" memory: "64Mi" volumeMounts: name: tmp mountPath: /tmp volumes: name: tmp emptyDir: {} 在云容器引擎控制台选择我们要部署的sample命名空间，通过工作负载>无状态>新增yaml，依次部署上面的deployment； 通过网络>服务>新增yaml依次部署上面的Service填入我们准备的yaml文件，保存即可； 部署完成后，可以在工作负载>无状态列表里看到bookinfo相关的部署信息，在网络>Service菜单下可以看到刚部署的Service列表。

本节为您介绍云迁移服务CMS成本评估资源映射查看。 1. 云迁移服务CMS 提供成本评估资源映射查看功能。用户可以点击左侧导航栏选择迁移评估选项，点击【成本评估】进入[成本评估]界面。点击【查看资源映射】按钮，进入[资源映射]界面。 2. 资源映射表主要展示源端与天翼云信息，其中源端（产品、规格、购买方式、资源用量、网络规格/是否按流量、用均价）天翼云端只要展示（产品、规格、购买方式、资源用量、网络规格、月均价）如图所示。 3. 在[ 资源映射 ] 界面，点击【编辑】按钮，跳转至 [ 修改添加计算资源映射条目 ]界面。如图所示。 4. 在[ 资源映射 ] 界面，点击【添加资源映射条目】按钮，即可手动添加。如图所示。

方式二：已有云电脑用户切换镜像 1. 登录云电脑客户端，进入云电脑桌面； 2. 进入云电脑顶部工具栏控制中心设置系统重装更换系统界面； 3. 点击“基础镜像”或“分享镜像”中，找到“CoSpace智协空间“关键词的专属镜像进行切换； 4. 完成镜像重装后即可使用。 注意 系统重装将清除安装在系统盘(C盘)的程序、数据及专线网络配置信息，请注意提前备份重要数据。 使用指引 桌面端使用 功能入口 1. 在专属镜像桌面中代开云智助手客户端，在侧边栏找到「CoSpace智协空间」入口； 2. 点击该入口后，将在当前页面内直接跳转至CoSpace功能主页面。 对话交互 1. 点击功能页面内的对话区域，可直接输入问题或指令进行问答交互； 2. 对话输入框下方默认显示三条高频预设任务，点击任意一条即可快速执行； 3. 支持手动输入自定义对话内容和智控指令。

本文为您介绍如何通过IAM用户控制资源访问。 在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对云硬盘备份VBS资源的访问。 操作步骤如下： 第1步：创建IAM子用户 具体操作，请参见统一身份认证IAM创建用户。 第2步：创建自定义策略 天翼云提供了访问云硬盘备份VBS资源的系统策略，更多信息，请参见“统一身份认证IAM权限管理”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见统一身份认证IAM创建自定义策略。 策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。 细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。 策略版本号：Version，标识策略结构的版本号。目前为1.1。 策略授权语句：Statement，包括了基本元素：作用（Effect）和授权项（Action）。 作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。 授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。 a）脚本配置策略示例一：为IAM子用户配置云硬盘备份查看者权限。 plaintext { "Version": "1.1", "Statement": [ { "Action": [ "vbs: backupStrategy: list", "vbs: repository: list", "vbs: repository: get", "vbs: backup: list", "vbs: backupStrategy: get", "vbs: job: list" ], "Effect": "Allow" } ] } b）脚本配置策略示例二：为IAM子用户配置云硬盘备份所有操作权限。 plaintext { "Version": "1.1", "Statement": [ { "Action": [ "vbs: repository: create", "vbs: backupStrategy: list", "vbs: repository: update", "vbs: repository: delete", "vbs: backup: create", "vbs: repository: list", "vbs: repository: get", "vbs: backup: list", "vbs: repository: set", "vbs: backupStrategy: binding", "vbs: backup: restore", "vbs: backup: delete", "vbs: backupStrategy: create", "vbs: backupStrategy: set", "vbs: backupStrategy: enable", "vbs: backupStrategy: pause", "vbs: backupStrategy: unbinding", "vbs: backupStrategy: delete", "vbs: backupStrategy: get", ], "Effect": "Allow" } ] }

本文将为您介绍创建和管理静态路由的操作步骤。 应用场景 本地IDC通过静态路由实现与专线网关之间的内网互联，建立快捷和灵活的入云组网方式。 前提条件 已创建物理专线，具体操作说明详见创建物理专线。 已创建专线网关，具体操作说明详见创建专线网关。 操作步骤 创建静态路由 1、登录云专线控制台，在左侧导航栏中，单击【专线网关】。 2、在专线网关页面，选择目标专线网关，在操作列中单击【详情】。 3、在专线网关客户侧路由页签，单击【添加路由】，配置以下参数信息，然后单击【确定】。 配置 说明 路由模式 选择路由模式，本文选择静态。 客户侧IP类型 选择专线网关的路由类型，支持选择IPv4、IPv6、双栈。 请根据已创建的物理专线选择对应的IP类型。 客户侧子网 输入专线网关要转发的目的网段。 说明 如果专线网关添加了VPC或云企业路由器，客户侧子网将自动添加至VPC或云企业路由器的默认路由表中，作为云内去往专线网关的目的网段。 物理专线/静态 单击【添加物理专线】，选择需要配置静态路由的物理专线。 优先级 选择静态路由的优先级，默认为50。 取值范围为10100。 说明 优先级取值越小，优先级越高。 当专线网关的两条物理专线优先级取值相同时，两条物理专线为负载链路。 当专线网段的两条物理专线优先级取值不相同时，两条物理专线为主备链路。 网络监测 默认关闭，支持开启BFD和Track。 如需开启，请在操作列中，单机【编辑】后，选择【开启BFD】或【开启Track】。 说明 接收和发送单跳BFD控制报文的最小时间间隔为400毫秒。 单跳检测的BFD检测时间倍数为5。 操作 支持如下操作： 删除：删除已添加的物理专线。 编辑：编辑已添加物理专线的静态路由配置。 取消：取消编辑已添加物理专线的静态路由配置。 保存：保存编辑已添加物理专线的静态路由配置。

与NAS相比，OSS提供了便捷的工具以及控制台，支持可视化管理Bucket，并在解决应用实例数据持久化和实例间数据分发问题的基础上，进一步降低成本。OSS适用于读多写少的场景，例如挂载配置文件或者前端静态文件等。 功能入口 场景不同，操作入口也有所不同 创建应用 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后选择单击创建应用 2. 在应用基本信息向导页面进行配置后，单击下一步：高级设置。 对正在运行的应用进行变更 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后单击目标应用名称 2. 在目标应用的基础信息页面，单击部署应用 注意 重新部署应用后，该应用将会被重启。为避免业务中断等不可预知的错误，请在业务低峰期执行部署操作 对已停止的应用进行变更 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后单击目标应用名称 2. 在目标应用的基础信息页面，单击部署应用 挂载OSS指引 挂载OSS 展开持久化存储设置区域，启用OSS对象存储。配置Bucket、挂载目录、容器路径以及读写权限等相关信息。如需添加多条信息，请点击添加 。 取消挂载OSS 挂载OSS后，如果您不再使用OSS存储，可以取消挂载OSS。在云应用引擎控制台取消挂载OSS后，您在OSS中所存储的数据仍然存在，不会被删除。具体操作为找到需要取消挂载的OSS配置条目，单击操作列的删除按钮。 配置项 说明 示例值 Bucket 已创建的OSS Bucket。 bucketname 挂载目录 已创建的OSS目录或OSS对象。如果OSS挂载目录不存在，会触发异常。 示例如下： / tmp/osstest/ tmp/ossdemo.log 容器路径 SAE的容器路径。如果路径已存在，会覆盖原有路径；如果路径不存在，会新建路径。 /home/admin/app/php/ 权限 容器路径对挂载目录资源的权限，取值如下： 只读 读写 只读

前提条件 已为用户帐号配置手机号码，且用户手机号码可用。 云堡垒机实例安全组必须已放开短信网关IP和10743、443端口，系统才能够访问短信网关。 发送短信验证码的频率未超过要求限制。 系统短信网关配置为“内置”时，手机短信验证码针对单个帐号发送频率有以下限制： 1分钟内发送短信不超过1条； 1小时内发送短信不超过5条 ； 1天内发送短信不超过15条。 配置手机短信认证 1 管理员登录云堡垒机系统。 2 选择“用户 > 用户管理”。 3 单击待修改的用户登录名，或者单击相应“管理”，进入“用户详情”页面。 4 单击“用户配置”区域的“编辑”，修改用户的登录配置。 5 配置“多因子认证”为“手机短信”。 6 单击“确认”，完成用户“手机短信”双因子认证配置。 手机短信方式登录 修改认证配置后，用户进入云堡垒机系统登录Web页面或SSH客户端登录界面，选择“手机短信”认证方式，输入登“录名”和用户帐号绑定手机号，获取短信验证码登录。 如何取消手机短信方式登录认证？ 当用户短信网关故障，无法通过手机短信方式登录，可由管理员取消“手机短信”多因子认证配置。 若admin用户配置了“手机短信”多因子认证，无法登录系统取消多因子认证配置，请联系技术支持。 前提条件 管理员已获取“用户”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“用户 > 用户管理”，进入用户列表页面。 3 勾选待修改配置的用户帐号，单击左下角“更多”，展开批量操作项。 4 单击“修改多因子认证”，弹出多因子认证修改窗口。 5 去掉勾选“手机短信”多因子认证方式。 6 单击“确定”，即关闭了目标用户“手机短信”认证方式。 配置了手机令牌登录，但未绑定手机令牌怎么办？ 当系统管理员admin设置了开启手机令牌登录，但是没有绑定手机令牌时，可提工单反馈，技术支持人员收到反馈后，重置admin登录验证为初始状态，而不改变系统其它配置。 当系统非admin用户未绑定手机令牌时，系统管理员admin可为目标用户修改登录“多因子认证”方式。 绑定了手机令牌，却不能登录怎么办？

本章节主要介绍翼MapReduce服务的企业项目管理功能。 企业项目是一种云资源管理方式。企业管理提供面向企业客户的云上资源管理、人员管理、权限管理、财务管理等综合管理服务。区别于管理控制台独立操控、配置云产品的方式，企业管理控制台以面向企业资源管理为出发点，帮助企业以公司、部门、项目等分级管理方式实现企业云上的人员、资源、权限、财务的管理。 MRS支持已开通企业项目服务的用户在创建集群时为集群配置对应的项目，然后使用企业项目管理对翼MR上的资源进行分组管理： 支持用户为多个资源进行分组管理。 支持用户查看企业项目下的资源信息、消费明细。 支持用户对企业项目级别的访问权限控制。 支持用户分企业项目查看具体的财务信息，包括订单、消费汇总、消费明细等。

权限名称 使用描述/场景 Tenant Administrator 全部云服务管理员（除IAM管理权限），拥有该权限的用户可以对企业拥有的所有云资源执行任意操作。

图说智能边缘云ECX。

资源 数量 云容器引擎CCE 1 API网关专享版实例 1

本节介绍如何创建VPC边界防火墙。 VPC边界防火墙能够检测和统计VPC间的通信流量数据，帮助您发现异常流量。开启VPC边界防火墙之前，您需要先创建VPC边界防火墙并关联企业路由器。 前提条件 当前账号下需存在可用的企业路由器。 关于企业路由器的收费，请参见《企业路由器用户指南> 计费说明》。 创建企业路由器请参见《企业路由器用户指南> 创建企业路由器》。 说明 创建时，建议取消勾选“默认路由表关联”和“默认路由表传播”。 创建说明 创建防火墙时为了引流需选择企业路由器和配置IPV4网段。 企业路由器用于引流，选择时需满足以下限制： 没有与其它防火墙实例关联。 需归属本账号，非共享企业路由器。 需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。 网段用于将流量转发至云防火墙，选择时需注意以下限制： 该网段不可与需要开启防护的私网网段重合，否则会导致路由冲突。 10.6.0.0/1610.7.0.0/16网段为防火墙保留网段，不可使用。 创建VPC边界防火墙 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“资产管理> VPC边界防火墙管理”，进入“VPC边界防火墙管理”页面。 5. 单击“创建防火墙”，选择企业路由器并配置合适的网段。 企业路由器用于引流，选择时需满足以下限制： 没有与其它防火墙实例关联。 需归属本账号，非共享企业路由器。 需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。 网段配置后默认创建InspectionVPC将流量转发至云防火墙，并自动分配云墙关联子网，将云防火墙流量转发到企业路由器，选择时需注意以下限制： 创建防火墙后不支持修改网段。 该网段需满足以下条件： 仅支持私网地址段（即在10.0.0.0/8、172.16.0.0/12、192.168.0.0/16范围中），否则可能在SNAT等访问公网的场景下产生路由冲突， 10.6.0.0/1610.7.0.0/16网段为防火墙保留网段，不可使用。 不可与需要开启防护的私网网段重合，否则会因路由冲突，导致该网段无法防护。 如果您参数界面如下图所示，则您目前云防火墙版本为旧版，VPC边界防火墙配置请参见“企业路由器模式”。 6. 单击“确认”，需等待35分钟，完成防火墙创建。 创建过程中您只能浏览“概览”页，防火墙的“状态”会变为“升级中”。