本文介绍Redis部分命令使用限制 大数据量命令使用限制 如果缓存实例的数据量比较大， 执行一些大数据量的命令时，可能会较长的时间内占用Redis的资源，让其他客户端的请求无法得到响应。 比如KEYS等命令。 Server命令的限制 对应经典版2.8、4.0和5.0版本，为了保护Redis的平稳运行，下面这些命令是禁止的：save、bgsave、bgrewriteaof 、sync、psync。 LUA命令使用限制 lua脚本的执行超时时间为5秒钟，不要在脚本中使用耗时的代码和命令，比如长时间的sleep、大的循环等。 注意 调用lua脚本时，建议不要使用随机函数去指定key，否则在主备节点上执行结果不一致，从而导致主备节点数据不一致。 其他限制 单个Redis命令不应执行太长。Redis本身只能单线程处理，会导致其他客户端请求无法及时处理。如果执行时间大于10秒,内部可能会触发主从切换，会导致其他客户端请求都失败。

本文介绍分布式缓存服务Redis版与原生RedisCluster区别 分布式缓存是一种兼容Redis协议的NoSQL内存数据库产品，具备高性能、高可用、可水平扩展的特性，支持分库、分表的内存管理，并提供了容灾、恢复、监控、迁移等能力，分布式缓存服务Redis实例在内核性能方面进行大量优化，包含但不限如下： 主从数据高可靠，主从数据采用半同步机制解决了原生集群因异步同步问题而产生数据丢失问题。 集群高可用，节点自愈，故障自动恢复。主机宕机后从节点秒级切换自动接管业务。 乐观锁机制，实现乐观锁事务，支持高性能的并发修改。 容灾速度更快，不会产生Gossip广播风暴问题。 简单易用，自研java客户端，自带软负载均衡，实现多种负载策略，降低架构复杂度，节约部署成本 自研快照+流水的内存备份技术减少磁盘写入量、控制IO流量，实现平滑备份、降低性能损耗 多维度的监控指标，包括时耗、错误率、流量等

本节为内核版本升级公告。 本节对关系数据库PostgreSQL版的内核版本的潜在风险进行了说明，如果您使用了下述版本，建议您尽快升级到最新内核版本。 涉及版本 15.015.7版本 建议升级原因 涉及版本存在自数据库启动后，当累计连接数量达到42亿后，数据库无法新建连接的问题。最新版本已经优化该问题，建议客户业务低峰期升级小版本到最新版本。 升级指导 请参考升级内核小版本。 预估业务影响时长 升级需要重启实例，业务中断时长约1min。 预估升级时长 正常业务负载下，升级时长约515min。 升级过程中的影响说明 1. 正常升级大概515min左右，业务量越大，总时间越长，请选择在业务低峰期进行升级，并确保您的应用有自动重连机制。如有只读实例，会同步升级小版本。 2.升级操作及影响参考升级内核小版本。

本节介绍使用.VPN接入云电脑的操作说明。 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.查看对应行的接入地址； 4.打开AI云电脑应用，输入账号和密码，点击“企业专线”，进入企业专线页面； 5.在企业专线页面输入 6.点击“启用专线/VPN”，即可显示“专线/VPN地址可用，已为您启用专线VPN”； 7.点击“安全登录”； 8.选择相应AI云电脑，点击“进入”，即可完成AI云电脑登录。

本文介绍如何查看或下载慢日志文件。 注意事项 需要开启慢日志采集功能后，才能查看或下载慢日志文件。 查看操作步骤 1. 使用SSMS工具连接到目标实例。 2. 执行如下SQL查看慢日志详情。 select from ::fntracegettable('D:XEventLogsslowXXX', default); 说明： XXX为慢日志文件名称。 下载操作步骤 注意 【下载】功能暂未开放，如需使用，请提交工单申请访问权限。 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【日志】标签页，然后单击【慢日志】，进入慢日志页面。 5. 在慢日志文件列表中选择目标文件，点击【下载】按钮，立即下载慢日志文件。

本文介绍如何查看或下载审计日志文件。 注意事项 需要开启审计日志后才能查看或下载审计日志文件。 查看操作步骤 1. 使用SSMS工具连接到目标实例。 2. 执行如下SQL查看审计日志详情。 SELECT FROM sys.fngetauditfile('D:XEventLogsauditXXX', default, default); 说明： XXX为审计日志文件名称。 下载操作步骤 注意 【下载】功能暂未开放，如需使用，请提交工单申请访问权限。 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【日志】标签页，然后单击【审计日志】，进入审计日志页面。 5. 选择目标审计文件，单击【下载】，立即下载审计日志。

本文介绍了云防火墙提供审计与日志功能， 审计日志是记录云防火墙的用户活动、权限管理和数据访问等信息的日志，通过审计日志可以帮助用户完成对云防火墙可靠性、可用性监测，用户可以通过审计防火墙的日志观测防火墙的操作记录、防火墙的运行记录、防火墙的资源使用情况等，审计日志对于系统的合规性和安全性具有重要作用。天翼云云防火墙（原生版）已生成防火墙操作日志，记录操作发生时间、操作账号、危险等级、操作行为等信息为用户审计防火墙操作行为提供基础日志数据，可以帮助用户对防火墙使用情况，配置情况等进行审计与监测，以保证对防火墙的操作都能够被审查。 说明 审计日志存储与数据日志存储是分开存储在不同的地方，以保证审计日志不会因数据日志的循环而被删除，审计日志默认存储180天，以保证用户业务的可审计性。

本页介绍RDSPostgreSQL放开访问实例的限制。 操作场景 “全部放开”操作仅更改默认分组（default），将该分组下的ip列表设置为0.0.0.0/0;::/0。可以快速放开访问实例的权限，同时保留其他分组的数据不变，但放开实例全部访问存在较大风险，请谨慎使用此功能。 操作方式 1. 登录天翼云官网。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 点击白名单管理，进入到白名单管理页面。 7. 点击“全部放开”。 8. 点击“确定”，放开访问实例的限制，点击“取消”，放弃操作。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

本文介绍了应用参数模板的功能。 操作场景 您对参数模板进行修改后，可以将其应用到您的数据库实例中，参数模板只能应用到数据库大版本相同的实例中。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【参数模板】，点击进入参数模板管理页。 5. 在"参数模板"页面，选择需要重置的参数模板名称，"操作"列点击"应用"。 6. 在弹出框界面，请您选择应用的实例名，以及确认"是否重启数据库"。 7. 应用参数模板界面会显示与您选择实例的参数存在差异的参数项，点击"确认"。 8. 系统执行应用参数组后，会在"参数模板"界面提示您"应用成功"。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

翼共享盘是否支持Linux/国产化云电脑挂载？ 支持，目前翼共享盘支持麒麟V10，UOS V20，Ubuntu18.4以及centos7.6。 翼共享盘是否支持私有化部署？ 支持，请联系运维或通过邮件申请，邮件发送至：clouddesktop@chinatelecom.cn。 翼共享盘是否支持跨VPC、跨资源池挂载？ 翼共享盘默认是支持VPC内的AI云电脑及云手机挂载使用的。如果需要跨VPC挂载，可通过打通VPC之间的对等连接、云间互联实现。目前公有云暂不支持跨资源池挂载。 翼共享如何 使用AI 应用中心 企业智库？ 翼共享网络共享盘支持关联AI应用中心企业智库，可在AI应用中心申请开通，无网络盘用户可以获得10G免费空间。开通后支持网页版访问管理共享盘，挂载盘功能将陆续开放。 如何开通翼共享网络盘？ 翼共享网络盘目前正在内测阶段，仅对AI应用中心企业智库用户开放，如需开通可前往AI应用中心模块查看教程。

本节介绍翼加密的产品简介，以便您了解翼加密。 翼加密是首个针对AI云电脑场景的文件加密安全解决方案。通过高安全性的加密算法，对AI云电脑内的文件实时无感加密。在保证用户正常使用AI云电脑的前提下，保障企业内部的敏感和机密数据文件安全不外泄。 加密文件如被移到AI云电脑外部的非加密环境，则无法正常打开。防止有意/无意的文件泄漏行为。加密文档如需外发，必须经过严格的脱密审批，并且保留审批记录，有迹可循。 其由两部分构成：天翼AI云电脑（政企版）控制台文件加密模块（以下简称控制台）、翼加密客户端（以下简称客户端）。 控制台 企业管理员通过控制台可以进行自定义配置加密策略、批量加解密AI云电脑、设置用户密级权限以及查看脱密记录审计等操作。 客户端 桌面用户可通过客户端申请和审批加密文件的脱密外发、调整桌面内文件的加密等级。

本节为您介绍删除静态路由的操作场景、前提条件和操作步骤。 操作场景 用户根据网络规划，删除静态路由规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云智能网关硬件版、静态路由规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关名称，进入智能网关详情页。 5. 单击“静态路由”页签，然后单击目标静态路由条目“操作”列的“删除”。 6. 单击“确定”，完成静态路由规则删除。 说明 支持批量删除，勾选待删除的静态路由条目，单击列表上方的“删除”。在“删除提示”框中，单击“确定”，即可删除选中的所有静态路由条目。

本小节介绍云堡垒机产品优势。 运维高效快捷 云堡垒机（原生版）支持多种运维访问协议，满足用户统一对数据库、服务器、web应用等系统或设备的日常运维需求。 字符协议：SSH、TELNET 图形协议：RDP、VNC 文件传输协议：FTP、SFTP 数据库协议：MySQL、Oracle、DB2、PostgreSQL等 WEB访问协议：HTTP/HTTPS 灵活的授权模型 以4A为核心实现对用户进行功能授权、资产授权、操作授权，最小化用户运维授权管理，降低越权操作风险。 管控方式严格 对于高危命令实现实时告警或阻断，对于特别重要的命令实现多人审核，避免用户进行不安全的运维操作。 支持运维账号登录IP地址绑定，限制登录地址，避免非授权用户登录进行重要运维操作。 快速开通使用 用户根据自身业务需求，选择对应规格一键开通堡垒机实例，方便快捷。 安全合规 对所有运维操作集中记录，支持审计、录像及回放，满足等保测评要求，助力企业安全合规建设。

本文将详细介绍如何通过命令行或者客户端连接MySQL实例。 前提条件 已购买并创建MySQL实例，详细操作，请参考如何创建MySQL实例。 已在实例中创建好数据库和账号，详细操作，请参考如何创建数据库与如何创建数据库用户。 已为实例设置好安全组，详细操作，请参考如何设置安全组。 使用命令行连接MySQL实例 本文以Linux系统为例连接MySQL实例，您需要在本地服务器或ECS服务器提前安装好MySQL。安装方法如下： CentOS：执行命令 sudo yum install mysql。 Ubuntu：执行命令 sudo aptget update，并执行 sudo apt install mysqlserver。 场景说明 如果您具备内网连接条件可直接使用内网地址连接MySQL实例，减小连接的延迟以获得最快的响应时间。 注意 内网连接条件：当应用部署在弹性云主机上，且该弹性云主机与MySQL实例处于同一区域、同一VPC时，即为满足内网连接条件。 内网连接 满足内网连接条件时，您需要获取MySQL实例内网地址来连接实例： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 找到目标实例，并单击实例名称。 4. 在实例基本信息 页签的实例信息区域，获取内网地址和数据库端口。 外网连接 如下场景，您需要获取MySQL实例外网地址来连接实例： 从弹性云主机实例连接MySQl实例，但是不满足内网连接条件。 从本地设备访问MySQL实例。 获取MySQL实例外网地址的方法如下： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 找到目标实例，并单击实例名称。 4. 在实例基本信息 页签的网络 区域，查看弹性IP地址，即为外网地址。 如果当前实例未绑定弹性IP，您需要先绑定弹性IP后，获取外网地址。

本文介绍如何使用云容器引擎Serverless版。 本文介绍如何通过控制台创建Serverless集群、使用镜像部署应用以及查看容器信息。 前提条件 已开通并授权云容器引擎。 已登录弹性容器实例控制台开通服务。 操作步骤 创建Serverless集群 1.登录云容器引擎控制台。 2.在控制台的左侧导航栏中点击“集群”。 3.在集群列表页面中，单击页面右上角的“创建集群”，进入订购页后单击“Serverless版”。 4.在订购Serverless容器引擎页面中，完成集群的基本配置。部分配置说明如下： 配置项 描述 实例名称 填写集群的实例名称 企业项目 按需选择企业项目 计费模式 默认使用按需计费模式 Kubernetes版本 显示当前Serverless集群支持的Kubernetes版本 部署方式 支持单可用区部署、多可用区部署 可用区 按需选择可用区 API Server访问 API Server的访问需要依赖ELB实例，您可根据需要选择合适的ELB规格，系统将根据该规格创建一个私网ELB实例。同时，您也可以选择是否使用EIP暴露API Server，选择不开放时，则无法通过外网访问集群API Server 虚拟私有云 集群所使用的VPC，支持使用已有的VPC或创建虚拟私有云 所在子网 集群所使用的子网，支持使用已有的子网或创建子网 默认安全组 安全组是一种虚拟防火墙，能够控制实例的出入站流量，Serverless集群会自动生成一条默认的安全组，以确保容器之间能正常通信 启用IPv6 启用IPv6双栈将创建双栈Serverless集群 Service CIDR 设置Service CIDR。Service网段不能与VPC及VPC内已有集群使用的网段重复，并且Service地址段也不能和Pod地址段重复。集群创建成功后不能再修改该网段 自定义证书SAN 按需添加自定义的IP或域名，以实现对客户端的访问控制 集群本地域名 填写集群的本地域名 集群删除保护 设置是否启用集群删除保护，防止通过控制台或者API误删除集群 集群标签 为集群绑定标签，作为云资源的标识 集群描述 按需对集群进行描述说明 时区 集群所要使用的时区 5.集群配置完成后，单击“下一步”。 6.按需进行插件配置，配置完成后，单击“确认配置”。 7.确定产品名称、基础配置以及费用无误后提交订单。 8.集群创建成功后，您可以进入云容器引擎控制台，在集群选项卡中可以看到新创建的集群。点击集群名称进入集群详情界面，可以查看集群相关信息。

本节介绍天翼云手机产品支持定制,支持管控、数据安全等功能的内容介绍。 多端接入 提供Android、Windows、Mac系统或Web版客户端，满足在各种终端接入云手机使用的需求。 网络直通 天翼云手机通过云端直接联网，网速稳定，畅享云端大带宽，不受本地手机信号强弱及联网模式影响。 云上安全管控体系 支持对员工云手机进行定制化管控：系统层，支持自定义镜像，添加水印、防截屏等限制；应用层，由企业指定员工办公应用；数据层，对落盘文件加密存储，敏感数据去标识存储，保障企业数据安全。打造云上安全办公。 批量群控 天翼云手机客户端支持多开云手机，并批量控制，提升企业办公效率。 安全稳定 数据云端加密存储，三副本安全备份，无需担心数据丢失。 灵活调控 支持快速创建、分配云手机，资源灵活扩容。 实时批量控制，自定义管理策略，高效运维。 操作便捷 提供多种客户端接入方式，稳定运行海量APP。

本文介绍了数据管理服务实例登录的途径。 前提条件 要登录实例，需要用户已被授权该实例，或已加入实例所在的团队。 当前版本为基础版 授权实例：可联系超级管理员或者团队管理员把将该实例授权给您。 加入团队：可联系团队管理员把您加入到该实例所在的团队。 通过实例列表登录实例 1. 在右侧菜单栏中点击 实例列表。 2. 在列表中，右键实例名称 选择 登录实例 。 3. 在实例登录弹窗中输入数据库账号、密码进行登录，成功登录后可对实例进行查询、元数据管理等操作。 通过实例管理页登录实例 1. 在左侧菜单栏中，选择 数据资产 >实例管理。 2. 在打开的实例列表页选择某一实例，点击登录操作。 3. 在实例登录弹窗中输入数据库账号、密码进行登录，成功登录后可对实例进行查询、元数据管理等操作。

本文介绍网站首页IPv6标识功能的配置方法。 功能介绍 使用IPv6访问时，开启IPv6访问标记，则在网页首页右下角显示“您正在使用IPv6协议访问本网站”等设定内容，关闭后不再显示该标记。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 开通基础版以及以上版本。 操作步骤 1. 登录边缘安全加速控制台，选择【域名】【基础配置】，在域名列表中选中需要配置的域名。 2. 进入域名配置详情页面后，选择【IPv6外链改造】，单击【编辑配置】按钮。 3. 开启【网站首页IPv6标识】按钮。 4. 配置IPv6标识内容，默认值为“您正在使用IPv6协议访问本网站”，最多支持输入50个字符。 5. 配置IPv6标识显示时长，默认值为10s。 配置界面

本文介绍如何退订混合存储库。 操作场景 当不再需要使用混合存储库时，可以对存储库进行退订操作。 操作须知 若存储库还有相关联的任务，则需要删除相关任务才能进行存储库退订。 退订存储库会删除此存储库所关联的备份资源，同时会导致正在执行的备份、恢复任务失败。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。 4. 在云备份页面，单击左侧“混合备份（存储版）”按钮，进入混合备份控制台。 5. 在存储库页面，单击待退订存储库所在行的“操作>退订”按钮。 6. 根据界面提示，再次确认需退订此存储库后，单击“确定”。在订单页进行退订确认。 7. 回到存储库页面，该存储库信息被删除，则表明退订成功。、

本节提供CSI插件使用手册和安装包的下载。 用户手册 存储资源盘活系统Container Storage Interface(CSI)使用手册1.6.1.pdf%E4%BD%BF%E7%94%A8%E6%89%8B%E5%86%8C%20%201.6.1.pdf) 安装包 storcsidriver1.6.2x64.zip storcsidriver1.6.2aarch64.zip 发版记录 版本 发布日期 说明 适配的HBlock版本 1.6.1 2025年10月23日 1. 支持QoS策略。 2. 支持查询快照大小和快照对应的源卷大小。 3.53.10 1.5.1 2025年07月16日 1. 支持同一Kubernetes集群部署多套HBlock CSI插件。 3.53.9 1.5.0 2025年04月30日 1. 支持快照。 2. 支持创建克隆卷。 3.53.9 1.4 2025年03月03日 1. 支持卷的折叠副本数（仅HBlock集群版支持）。 2. 支持调整PV的服务端连接位置。 3.53.8 1.3.2 2024年12月11日 1. 支持Kubernetes service域名。 2. 支持指定HBlock创建LUN的等待时间。 3. 支持设置HBlock节点信息，用来控制卷的iqn所在区域。 3.53.7.2 1.3 2024年08月08日 1. 支持设置卷的存储池和缓存池。 2. 支持上云卷。 3. Target迁移后支持自动重连。 4. Block Volume模式支持RWX、ROX、RWO访问方式。 5. Filesystem模式支持RWO，同时静态PV场景下支持ROX。 3.53.7 1.2 2024年05月30日 1. 支持同时管理多个HBlock集群。 2. Block Volume支持RWX、ROX访问方式。 3. 支持Helm安装CSI插件。 4. 支持设置卷的最小副本数和Target最大连接数。 3.5 1.1 2023年11月15日 1. 新增Block Volume支持。 2. 创建Target时支持指定服务器个数，支持一主多备。 3. 创建卷时支持指定EC卷的切片大小。 3.5 1.0 2023年09月20日 第一次发布： 1. 支持静态PV和动态PV场景。 2. 支持MPIO，静态PV场景下支持一主多备。 3. 支持Target Portal IP。 3.4

本节介绍企业主机安全应用进程控制功能。 应用进程控制概述 应用进程控制功能支持管控应用进程运行，通过学习服务器中运行的应用进程特征，将应用进程划分为可信进程、恶意进程和可疑进程，允许可疑、可信进程正常运行，对恶意进程运行进行告警，帮助用户构建安全的应用进程运行环境，避免服务器遭受不受信或恶意应用进程的破坏。 使用约束 使用应用进程控制功能须满足以下条件： 服务器已开启HSS旗舰版、网页防篡改版或容器版防护。 服务器已安装Agent的版本为以下版本，升级Agent的操作，请参见升级Agent章节。 − Linux：3.2.7及以上版本。 − Windows：4.0.19及以上版本。 应用进程控制使用流程 创建白名单策略 在开启应用进程控制防护前，您需要为服务器创建白名单策略，设置HSS学习服务器应用进程特征的学习天数、学习结果确认方式和对可疑或恶意进程的防护动作等；HSS后续将根据策略设置为服务器提供相应的应用进程控制防护能力。 操作步骤 1、登录管理控制台。 2、在左侧导航栏，选择“主动防御 > 应用进程控制”，进入“应用进程控制”界面。 3、选择“白名单策略”页签，单击“创建策略”。 4、在“创建策略”弹窗中，设置策略参数，相关参数说明请参见下表。 参数名称 参数说明 策略模式 应用进程控制防护策略模式。 默认配置下日常运营模式允许可信、可疑进程运行，仅对恶意进程进行告警。 白名单策略名称 系统默认会生成白名单策略名称，建议您自定义修改，后续方便区分和管理。 智能学习天数 企业主机安全学习服务器应用进程的天数。学习天数越多，学习结果越准确。 学习结果确认方式 当企业主机安全学习完策略关联的服务器后，对于特征不明显可疑进程的确认方式。 自动确认可疑进程：HSS根据应用进程特征库，自动确认并标记特征不明显的可疑应用进程。 手动确认可疑进程：您在“应用进程控制 > 白名单策略”页面，单击策略名称，进入策略详情页，选择“进程文件”页签，筛选“待确认状态”的进程，根据实际业务情况确认并手动标记特征不明显的可疑进程。 策略生效方式 当企业主机安全学习完策略关联的服务器后，开启应用进程控制的方式。 学习完成后自动开启：系统自动开启策略关联的服务器的应用进程控制。 学习完成后手动开启：您根据业务情况手动开启应用进程控制。 防护动作 当发现恶意进程后的防护动作。对恶意进程进行告警。 选择服务器 选择需要防护的服务器。当服务器的防护状态为“防护中”时，才会在列表中呈现。 5、单击“确认”，完成创建。 您策略列表中可以查看已创建的策略及策略当前状态。 说明 创建白名单策略完成后，HSS会自动开始对策略关联的服务器进行学习，学习服务器中的应用进程特征。待策略状态变更为“学习完成，未生效”表示学习完成。

参数 描述 是否必填 metadata.name StorageClass名称。 是 provisioner HBlock CSI驱动名称。 取值：HBlock CSI安装时的驱动名称。 是 storageMode 卷的存储类型，支持Local、Cache、Storage模式。 Cache、Storage模式表示上云卷。 是 fsType 卷被挂载到容器的文件系统类型，支持xfs，ext4。 说明 卷模式为filesystem时必填。 条件 readOnly 是否以只读模式进行卷挂载。 取值： "true"。 "false"。 默认值为"false"。 注意 这里需要输入字符串，即"true"或"false"。 是 cloudBucketName 已存在的OOS存储桶的名称。 注意 请勿开启Bucket的生命周期设定和合规保留。 类型：字符串。 上云卷必填 cloudPrefix 设置OOS中的前缀名称，设置前缀名称后，卷数据会存在存储桶以前缀命名的类文件夹中。如果未指定前缀，则直接存储在以卷名称命名的类文件夹中。 类型：字符串。 取值：长度范围是1~256。 否 cloudAccessKey OOS AccessKeyID。 类型：字符串。 上云卷必填 cloudSecretKey OOS SecretAccessKey。 如果配置文件csisecretdecrypt.yaml中的decryptFlag为true，需要对secretKey源码使用DecryptData配置的密钥对进行AES(ECP、paddingcs7)加密，加密后的结果进行Base64 编码，具体详见 上云卷必填 cloudEndpoint 设置OOS Endpoint。 类型：字符串。 上云卷必填 cloudObjectSize 数据存储在OOS中的大小。 取值：128、256、512、1024、2048、4096、8192，单位是KiB。默认值为1024。 否 cloudStorageClass 设置OOS的存储类型。 取值： STANDARD：标准存储； STANDARDIA：低频访问存储。 默认值为STANDARD。 否 cloudCompression 是否压缩数据上传至OOS。 取值： Enabled：是； Disabled：否。 默认值为Enabled。 否 cloudSignVersion OOS的请求签名认证方式 取值： v2：v2签名。 v4：v4签名。 默认值为v2。 否 cloudRegion 表示Endpoint资源池所在区域。 使用V4签名时，此项必填。 类型：字符串。 条件 deleteCloudData 删除卷时，是否删除云上的数据。 取值： true：删除云上的数据。 false：不删除云上的数据。 默认值为false。 否 sectorSize 扇区大小。根据客户端文件系统 I/O 操作的最小单位设定卷扇区大小。 类型：枚举。 取值："512"、"4096"，单位是bytes。默认值为"4096" 否 localStorageClass 本地存储冗余模式。单机版不能设置此参数。 取值： singlecopy：单副本。 2copy：两副本。 3copy：三副本。 EC N+M：纠删码模式。其中N、M为正整数，N>M，且N+M<128。表示将数据分割成N个片段，并生成M个校验数据。 默认值为EC 2+1。 否 minReplica 最小副本数（仅集群版支持）。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。 对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值：整数。对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数，默认值为1。对于EC卷，取值范围是[N, N+M]，默认值为N。 否 redundancyOverlap 卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。 取值：对副本模式，取值范围是[1，副本数]，默认值为1；对于EC模式，取值范围是[1，M+N]，默认值为1。 否 ECfragmentSize 纠删码模式分片大小。卷冗余模式为EC模式时，此设置才生效，否则忽略。 取值：1、2、4、8、16、32、64、128、256、512、1024、2048、4096，单位是KiB。默认值为16。 否 highAvailability 是否选择高可用模式。单机版不能设置此参数。 取值： ActiveStandby：启动主备，该卷关联对应Target下的所有IQN。 Disabled：禁用高可用模式，该卷关联对应Target下的一个IQN。 默认值为ActiveStandby。 否 writePolicy 卷的写策略。 取值： WriteBack：回写，即数据写入到内存后，立刻返回给客户端写成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 WriteThrough：透写，即数据同时写入内存和磁盘，并在两处都写成功后，再返回客户端写成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 WriteAround：绕写，即数据写入磁盘后即释放相应内存，写入磁盘成功后，立刻返回客户端写成功。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 默认值为WriteBack。 否 isMultipath 是否使用Multipath。 取值： "true"。 "false"。 默认值为"true"。 注意 这里需要输入字符串，即"true"或"false"。 如果HBlock集群版使用的HBlock卷没有启用高可用模式，即highAvailability为Disabled，此处需要设置为"false"，否则会导致pod启动失败。 如果是HBlock单机版，此处需要设置为"false"。 条件 path 指定存储卷数据的数据目录（仅单机版支持）。 如果创建卷时不指定数据目录，使用服务器设置的默认数据目录。 否 pool 存储池名称，表示最终存储池，卷数据最终落在该存储池内（仅集群版支持）。 取值：长度范围是1~16，只能由字母、数字和短横线（）、下划线（）组成，字母区分大小写，且仅支持以字母和数字开头。 默认使用基础存储池。 否 cachePool 存储池名称，表示高速缓存存储池，卷数据首先写入该存储池内（仅集群版支持）。 取值：长度范围是1~16，只能由字母、数字和短横线（）、下划线（）组成，字母区分大小写，且仅支持以字母和数字开头。 如果不填写则代表不设置高速缓存存储池。 注意 存储池与缓存存储池不能是同一个存储池。 否 maxSessions iSCSI Target允许建立的最大会话数。 取值：整数，取值范围是[1, 1024]，默认值为1。 注意 卷模式为filesystem，取值只能为1。 否 serverNumbers Target所在的服务器数量（仅集群版支持）。 整数形式，取值为[2, n]，n为集群内服务器的数量。默认值为2。 否 faultDomains 卷的服务端连接位置信息。根据存储池的故障域，创建Target所在服务器的列表（仅集群版支持），以便创建LUN时，LUN关联的Target优先从该服务器列表中选择所在服务器。例如存储池为rack级别，其拓扑图涵盖rack1、rack2、rack3、rack4中的节点，且faultDomains指定rack1、rack2，那么创建LUN时，LUN关联的Target优先从rack1、rack2所包含的此存储池的服务器列表里进行选择。 注意 存储池的故障域为path级别时，不能设置该参数。 如果LUN指定了高速缓存池和最终存储池，则从高速缓存池池中选择节点列表。如果LUN只指定了最终存储池，则从最终存储池中选择节点列表。 取值：以节点的形式添加，节点的级别可以到room、rack、server。可以指定多个节点，但是节点的个数要小于等于serverNumbers。支持一个节点添加多次，但是每次只能选一个server，并且选择的server不能与前面重复。如果一个节点出现的次数过多导致节点内的全部server都被选择，则系统会忽略此节点，从后面的节点中继续选择。 否 IOPS 每秒能够进行读写操作次数的最大值。 取值：整型，取值范围为[1, 999999999]，默认值为1。1表示不限制。 否 readIOPS 每秒能够进行读操作次数的最大值。 取值：整型，取值范围为[1, 999999999]，默认值为1。1表示不限制。 否 writeIOPS 每秒能够进行写操作次数的最大值。 取值：整型，取值范围为[1, 999999999]，默认值为1。1表示不限制。 否 Bps 每秒可传输数据量的最大值。 取值：整型，取值范围为[1, 4096000000000]，默认值为1，单位是B/s。1表示不限制。 否 readBps 读带宽上限。 取值：整型，取值范围为[1, 4096000000000]，默认值为1，单位是B/s。1表示不限制。 否 writeBps 写带宽上限。 取值：整型，取值范围为[1, 4096000000000]，默认值为1，单位是B/s。1表示不限制。 否 IOPSBurst 使用Burst功能时，每秒能够进行读写操作次数的最大值。 取值：整型，只有当IOPS大于等于1时，此项设置为1或( IOPS , 999999999]内的正整数方可生效。默认值为1，表示不限制。 否 readIOPSBurst 使用Burst功能时，每秒能够进行读操作次数的最大值。 取值：只有当readIOPS大于等于1时，此项设置为1或( readIOPS , 999999999]内的正整数方可生效。默认值为1，表示不限制。 否 writeIOPSBurst 使用Burst功能时，每秒能够进行写操作次数的最大值。 取值：只有当writeIOPS大于等于1时，此项设置为1或( writeIOPS , 999999999]内的正整数方可生效。默认值为1，表示不限制。 否 BpsBurst 使用Burst功能时，每秒可传输的数据量最大值。 取值：只有当Bps大于等于1时，此项设置为1或( Bps , 4096000000000]内的正整数方可生效，默认值为1，单位是B/s。1表示不限制。 否 readBpsBurst 使用Burst功能时，读带宽上限。 取值：只有当readBps大于等于1时，此项设置为1或( readBps , 4096000000000]内的正整数方可生效，默认值为1，单位是B/s。1表示不限制。 否 writeBpsBurst 使用Burst功能时，写带宽上限。 取值：只有当writeBps大于等于1时，此项设置为1或( writeBps , 4096000000000]内的正整数方可生效，默认值为1，单位是B/s。1表示不限制。 否 IOPSBurstSecs 使用Burst功能时，按照Burst上限的能力进行读写操作所能持续的时间。 注意 只有在IOPS Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 readIOPSBurstSecs 使用Burst功能时，按照Burst上限的能力进行读操作所能持续的时间。 注意 只有在read IOPS Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 writeIOPSBurstSecs 使用Burst功能时，按照Burst上限的能力进行写操作所能持续的时间。 注意 只有在write IOPS Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 BpsBurstSecs 使用Burst功能时，按照Burst上限的流量能力所能持续的时间。 注意 只有在Bps Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 readBpsBurstSecs 使用Burst功能时，按照Burst上限的读流量能力所能持续的时间。 注意 只有在read Bps Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 writeBpsBurstSecs 使用Burst功能时，按照Burst上限的写流量能力所能持续的时间。 注意 只有在write Bps Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 clusterID HBlock的标识，在csiconfigMap.yaml中唯一。详见 是 chapEnable 是否使用CHAP认证，取值： "true"。 "false"。 默认值为"false"。 注意 这里需要输入字符串，即"true"或"false"。 否 chapUser CHAP认证的用户名。需要对CHAP认证的用户名源码使用DecryptData配置的密钥对进行AES（ECP、paddingcs7）加密，加密后的结果进行Base64编码，具体详见 否 chapPassword CHAP认证的密码。需要对CHAP认证的密码源码使用DecryptData配置的密钥对进行AES（ECP、paddingcs7）加密，加密后的结果进行Base64编码，具体详见 否 reclaimPolicy 持久化卷回收策略。 取值： Retain：保留。 Delete：删除。 默认值为Delete。 否 volumeBindingMode 立即绑定还是等待Pod调度时绑定。 取值： Immediate：立即绑定。 WaitForFirstConsumer：延迟绑定。 默认值为Immediate。 否 allowVolumeExpansion 允许卷扩展。 取值： true：允许卷扩展。 false：不允许卷扩展。 默认值为false。 否

本文主要介绍资源包主动预警提醒说明。 计费项说明 云主机备份产品包含了2个计费项：云主机备份功能费和云主机备份存储费。 备份功能空间云主机所有磁盘空间总和，额定容量，即等于系统盘容量+数据盘容量； 备份存储空间实际使用的存储空间，可在控制台使用空间总和查看。 计费项 含义 适用的计费模式 云主机备份功能费 需要备份的云主机的磁盘空间：按照备份云主机的系统盘、数据盘空间总和进行收取。 功能资源包 云主机备份存储费 备份数据所占用的存储空间费用：根据备份数据实际占用的存储空间收费。 存储资源包 告警提醒功能说明 主动预警：当客户购买的资源包用量达到90%，系统主动预警，邮件通知最终用户，客户经理和服务经理，短信通知最终用户和客户经理。 用尽通知：当客户购买的资源包用量达到100%，系统用尽通知，邮件通知最终用户，客户经理和服务经理，短信通知最终用户和客户经理。 频次：一个自然日为单位，每自然日提醒一次。 规则补充说明 1、 您可自行选择主动退订通知，或者提工单退订该预警通知，因产品计费规则为超出部分按量付费，后续因为退订提醒消息导致产生的按需费用，需要您自行承担。 2、 功能资源包已用尽，如您无计划新增云主机备份的场景，云主机备份功能空间理论上保持不变，这种场景请您忽略预警提示。 3、 功能资源包已用尽，有计划新增云主机备份的场景，可根据实际需求购买资源包叠加或者超出部分按需付费。 4、 存储资源包即将用尽或已用尽场景，请您及时新购资源包叠加抵扣，或者调整备份和保留策略，或者删除不用的备份释放空间等。

本文介绍如何根据需求自定义设置告警规则。 操作场景 您可以在云监控产品控制台为VPN连接产品设置告警规则，当资源的监控指标达到告警条件，云监控将向您发送告警消息，报告异常监控数据，帮助您及时掌握异常状态并处理，保障业务顺畅运行。 前提条件 您在该区域下有正常状态的VPN资源；如果资源状态异常，可能会没有监控数据，无法触发告警。 操作步骤 1. 登录控制中心。 2. 选择“管理与部署”下的“云监控”产品。 3. 选择“告警服务 ”下的“告警规则”，进入告警规则页面。 4. 在告警规则页面，单击右上角的“创建告警规则”按钮，进入创建告警规则页面。 5. 在“选择监控对象”部分，规则类型选择“指标监控”，云服务选择“VPN”，维度可选“VPN网关、IPsec连接、SSL客户端、SSL网关”，监控对象类型选择“具体实例”，监控对象可以从弹出对话框列表中按需选择。如果您是通过点击具体监控指标操作列中的“创建告警规则”按钮跳转到创建告警规则页面的，则此部分内容会自动填充为关联监控对象，无法调整。 6. 在“选择监控指标”部分，选择类型为“自定义创建”，针对于不同的监控指标，可以配置不同的监控策略，如监控入方向流量速率的最大值、监控出方向数据包速率的最小值、监控SSL客户端连接数的原始值等，配置策略、聚合周期和出现次数之后，即可产生告警，在“告警服务”下的“告警记录”中可以查看告警记录。如果开启发送通知还需要配置告警联系组等选项，用于将告警以邮件或短信方式通知告警联系人。 7. 在“规则信息”部分，需要填入告警规则名称，选择企业项目，可选填写描述信息。 8. 最后，点击“确定”完成告警规则的创建。

本文介绍如何设置告警通知，包括攻击告警通知和流量超额预警通知。 设置告警通知后，CFW可将触发的告警信息通过您设置的接收通知方式（例如邮件或短信）发送给您，您可以及时监测防火墙状态，迅速获得异常情况。 CFW支持设置以下告警： 攻击告警：IPS检测到攻击时触发告警。 流量超额预警：当流量达到所采购流量处理能力规格的一定比例时触发告警。 EIP未防护告警：当前账号有未开启防护的EIP时触发告警。 异常外联告警：检测到外联风险IP或域名的可疑行为时触发告警。 前提条件 已开通消息通知服务。 攻击告警 1. 登录天翼云控制中心。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航栏中，选择“系统管理 > 告警通知”，进入“告警通知”页面。 4. 在“攻击告警”所在行的“操作”列，单击“编辑” ，设置通知项参数，参数说明详见下表。 参数名称 参数说明 通知项说明 IPS攻击日志告警。 通知等级 选择触发通知的危险等级。 可选择“致命”、“高”、“中”、“低”，支持多选。 例如：选择“高”和“中”，那么当云防火墙检测到危险等级为高和中的入侵时，CFW将以短信或邮件的方式通知您及时处理。 通知时间 选择通知的时间段。 触发条件 设置触发条件。 说明 在设置时间间隔内，当攻击次数大于或等于您设置的阈值时系统才会发送告警通知。 通知群组 单击下拉列表选择已创建的主题，用于配置接收告警通知的终端。 5. 单击“确认”，完成通知项设置。 6. 确认信息无误后，在“攻击告警”所在行的“生效状态”列，单击，开启攻击告警通知。

接口功能介绍 查看指定id的密钥详情 接口约束 请保证账户余额大于0 URI POST /v1/keyManage/describeKey 路径参数 无 Query参数 无 请求参数 请求头header参数 请参见请求消息头 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 cmkUuid 是 String 密钥唯一标识id 474e569e8814474a948bdbcf6d853eff 响应参数 参数 参数类型 说明 示例 下级对象 code String 返回码，取值范围： 200：成功 400：参数确实或错误 401：用户验证错误 404：操作目标不可用 500：系统内部错误 200 errorCode String 错误码 KMS.0514 msg String 调用结果信息 获取密钥详情成功 data Object 接口返回结果 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 deleteDate String 密钥删除时间 Tue Oct 25 15:06:52 CST 2022 rotationInterval String 轮转周期，时间范围为7天730天，例如7d代表7天 7d nextRotationDate String 下次轮转时间 Tue Oct 25 15:06:52 CST 2022 creationDate String 密钥创建时间 Tue Oct 25 15:06:52 CST 2022 description String 密钥描述，长度小于8129 测试 cmkUuid String 密钥唯一标识id 474e569e8814474a948bdbcf6d853eff status String 密钥状态，取值范围： 0：已禁用 1：启用中 2：待删除 3：待导入 1 keyUsage String 密钥类型，取值范围： 1：加密解密 2：签名验签 1 lastRotationDate String 上一次轮转时间 Tue Oct 25 15:06:52 CST 2022 creator String 密钥所属用户id 562b89493b1a40e1b97ea05e50dd8170 protectionLevel String 密钥保护级别，取值范围： 0：硬件 1：软件 1 origin String 密钥来源，取值范围： 1：KMS 2：外部密钥 1 automaticRotation String 是否开启轮转，取值范围： 0：已开启 1：未开启 2：被暂停 1 materialExpireTime String 密钥材料过期时间 Tue Oct 25 15:06:52 CST 2022 keySpec String 密钥类型 AES256 isDefault int 是否为默认密钥 1 primaryKeyVersion String 密钥版本 f2ffbff9940a41a4ba9afe1fd8f22792

本章主要介绍为简易认证添加AppCode。 操作场景 简易认证指调用API时，在HTTP请求头部消息增加一个参数XApigAppCode（参数值填凭据详情中“AppCode”的值），而不需要对请求内容签名，API网关也仅校验AppCode，不校验请求签名，从而实现快速响应。 当使用APP认证，且开启了简易认证模式，API请求既可以选择使用Key和Secret做签名和校验，也可以选择使用AppCode进行简易认证。 说明 为了确保安全，简易认证仅支持HTTPS方式调用API，不支持HTTP。 每个应用最多可创建5个AppCode。 前提条件 已创建凭据。 生成AppCode 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > 凭据管理”。 步骤 4 单击 凭据名称 ，进入凭据详情页面。 步骤 5 在“AppCodes”区域，单击“添加AppCode”。 步骤 6 在弹窗中配置AppCode，可自动生成，也可手动输入，完成后单击“确定”，生成AppCode。 表 配置AppCode 信息项 描述 生成方式 选择AppCode的生成方式。 自动生成：由系统随机生成AppCode。 手动输入：自定义AppCode。 AppCode 仅手动输入方式需要填写AppCode的值。 使用AppCode进行API请求的简易认证 步骤 1 在创建API时，选择“APP认证”并且开启“支持简易认证”。 说明 如果您修改已有API为简易认证，需要在修改完成后，将API重新发布，使简易认证模式生效。 步骤 2 将支持简易认证的API绑定到已创建的凭据。 步骤 3 发送请求时，增加请求头部参数“XApigAppCode”，省略请求签名相关信息。 以Curl方式为例，增加头部参数名称：XApigAppCode，参数值填已生成的AppCode。 curl X GET " H "contenttype: application/json" H "host: api.exampledemo.com" H "XApigAppCode: xhrJVJKABSOxc7dFZL4gSHEXkCMQC"

日志 出于分析或审计等目的，用户可以开启日志功能，用于把存储桶的各类访问请求记录成日志，并将生成的日志文件写入用户指定的桶中。 生成的日志文件会保存在指定的存储桶中，占用存储空间，因此会产生存储费用。默认情况下，OOS不会为用户的存储桶收集访问日志。 生命周期 生命周期管理支持通过配置指定的规则，定期将存储桶内的文件（Object）转储为指定存储类型，或者将过期的文件删除，从而节省存储费用。 注意 如果存储桶没有配置过生命周期规则，执行该操作将创建新的生命周期规则。 如果存储桶内的生命周期规则正在执行时被修改配置，则修改后的配置并不立即生效，需等原生命周期规则执行完成后才能生效。 每个存储桶最多创建1000条生命周期规则。 同一存储桶，同一类型（到期删除或者到期转成低频访问存储）的生命周期规则不能存在叠加前缀，例如已创建到期删除文件的生命周期规则的前缀是ABC，则无法再创建前缀为ABCD或AB或A的到期删除文件的生命周期规则。 当用户为存储桶设置了生命周期规则，这些规则将同时应用于已有文件和后续新创建的文件。例如，用户今天增加了一个生命周期，指定过期时间为30天，那么OOS将会将最后修改时间在30天前的文件都加入到待删除队列中。 跨域设置 跨域资源共享（Cross Origin Resource Sharing，CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP，同协议、同域名或IP、以及同端口视为同源）的存在，不同域之间的网站脚本和内容是无法进行交互的。例如，当来自于A网站的页面中的JavaScript代码希望访问B网站的时候，浏览器会拒绝该访问，因为A、B两个网站是属于不同的域。 OOS支持配置CORS规范，定义了客户端Web应用程序在一个域中与另一个域中的资源进行交互的方式，允许跨域请求访问OOS中的资源。 注意 每个Bucket最多可以配置100条跨域规则。 当OOS收到一个跨域请求（或者OPTIONS请求）时，会读取Bucket对应的CORS规则，然后进行相应的权限检查。OOS会依次检查每一条规则，使用第一条匹配的规则来允许请求并返回对应的Header。如果所有规则都匹配失败，则不附加任何CORS相关的Header。

本节介绍安全基线及配置参考。 OpenClaw云电脑是否可操作本地终端文件 部分安全基线及配置参考 智能体部署 限制互联网访问 开启详细日志 文件系统访问控制 第三方技能审查 安全自检 更新版本 卸载 OpenClaw云电脑是否可操作本地终端文件 免费活动领取的OpenClaw云电脑：默认不重定向本地文件，无法操作本地文件，数据更安全。 天翼云电脑（公众版）：默认重定向本地文件至云电脑，使用时请注意数据安全。 天翼云电脑（政企版）：由租户管理员在管理台 “策略管理→基础策略管理→文件与剪切板” 中自定义配置。如下图所示： 部分安全基线及配置参考 智能体部署 创建OpenClaw专有用户，切勿使用sudo组： sudo adduser shell /bin/rbash disabledpassword clawuser 通过创建的专有用户登录操作系统。 创建受限的命令目录，禁止rm、mv、dd、format、powershell等： sudo mkdir p /home/clawuser/bin sudo ln s /bin/ls /home/clawuser/bin/ls sudo ln s /bin/echo /home/clawuser/bin/echo 强制设置 PATH 并只读，如在 /etc/profile.d/restrictedclawuser.sh修改配置： echo 'if [ "$USER" "clawuser" ]; then export PATH/home/clawuser/bin; readonly PATH; fi' sudo tee /etc/profile.d/restrictedclawuser.sh sudo chmod 644 /etc/profile.d/restrictedclawuser.sh 禁用root登录： sudo sed i 's/^?PermitRootLogin./PermitRootLogin no/' /etc/ssh/sshdconfig sudo systemctl restart sshd

本节介绍安全基线及配置参考。 OpenClaw云电脑是否可操作本地终端文件 部分安全基线及配置参考 智能体部署 限制互联网访问 开启详细日志 文件系统访问控制 第三方技能审查 安全自检 更新版本 卸载 OpenClaw云电脑是否可操作本地终端文件 免费活动领取的OpenClaw云电脑：默认不重定向本地文件，无法操作本地文件，数据更安全。 天翼云电脑（公众版）：默认重定向本地文件至云电脑，使用时请注意数据安全。 天翼云电脑（政企版）：由租户管理员在管理台 “策略管理→基础策略管理→文件与剪切板” 中自定义配置。如下图所示： 部分安全基线及配置参考 智能体部署 创建OpenClaw专有用户，切勿使用sudo组： sudo adduser shell /bin/rbash disabledpassword clawuser 通过创建的专有用户登录操作系统。 创建受限的命令目录，禁止rm、mv、dd、format、powershell等： sudo mkdir p /home/clawuser/bin sudo ln s /bin/ls /home/clawuser/bin/ls sudo ln s /bin/echo /home/clawuser/bin/echo 强制设置 PATH 并只读，如在 /etc/profile.d/restrictedclawuser.sh修改配置： echo 'if [ "$USER" "clawuser" ]; then export PATH/home/clawuser/bin; readonly PATH; fi' sudo tee /etc/profile.d/restrictedclawuser.sh sudo chmod 644 /etc/profile.d/restrictedclawuser.sh 禁用root登录： sudo sed i 's/^?PermitRootLogin./PermitRootLogin no/' /etc/ssh/sshdconfig sudo systemctl restart sshd

本文为您介绍密钥管理服务整体能力，包括支持的密钥类型、密钥管理功能以及密码运算功能。 总览页面帮助您快速了解KMS服务的实际使用情况，包含KMS服务规格、到期时间、资源占用情况等指标。您可以根据使用数据，选择是否需要进行服务续订、资源扩容等。 服务版本 服务规格：当前账号已开通的服务规格，包括基础版、企业版，规格描述详见产品规格。 到期时间：当前包周期服务的到期时间。若您根据业务需求判断是否需要持续使用KMS服务，若需要继续使用，请在到期前及时续订，否则KMS服务将在到期后进入冻结状态，服务将不可用。 资源用量 用户主密钥数量：用户开通包周期服务后，通过控制台/API接口自主创建的用户主密钥个数，以及当前已创建数量占用服务版本对应配额的数量/总数量。 证书数量：用户开通包周期服务后，通过控制台/API接口自主创建的证书个数，以及当前已创建数量占用服务版本对应配额的数量/总数量。 默认密钥数量：用户在使用云产品加密功能时，由云产品触发创建的默认密钥数量。 计算性能 处理对称算法：对称算法所对应接口的请求配额（上限），超过API请求配额后，KMS会限制请求（即拒绝访问）。 处理非对称算法：非对称算法所对应接口的请求配额（上限），超过API请求配额后，KMS会限制请求（即拒绝访问）。

本节主要介绍通过快照创建克隆卷的步骤。 前提条件 CSI中已经存在快照。 操作步骤 1. 创建克隆卷的StorageClass配置文件（可选）。 说明 如果下列参数在克隆卷的StorageClass和源卷StorageClass都存在，但是取值不同，则以克隆卷StorageClass中的取值为准。 plaintext apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: csistorsclocal provisioner: stor.csi.k8s.io parameters: clusterID: clusterID storageMode: Local sectorSize: sectorSize localStorageClass: localStorageClass minReplica: minReplica redundancyOverlap: redundancyOverlap ECfragmentSize: ECfragmentSize highAvailability: highAvailability writePolicy: writePolicy isMultipath: isMultipath pool: pool cachePool: cachePool flattenVolumeFromSnapshot: "false" maxCloneDepth: maxCloneDepth maxSessions: maxSessions serverNumbers: serverNumbers faultDomains: faultDomains chapEnable: "false" chapUser: username chapPassword: password reclaimPolicy: Delete volumeBindingMode: Immediate allowVolumeExpansion: true 克隆卷的StorageClass配置文件参数： 参数 描述 是否必填 metadata.name StorageClass的名称。 是 provisioner HBlock CSI驱动名称。 取值：HBlock CSI安装时的驱动名称。 是 parameters.clusterID csiconfigMap.yaml中配置的HBlock的标识。 是 parameters.storageMode 卷的存储类型。 取值：Local。默认与源卷保持一致。 否 parameters.sectorSize 扇区大小。根据客户端文件系统 I/O 操作的最小单位设定卷扇区大小。 取值："512"、"4096"，单位是bytes。默认值为源卷的扇区大小。 否 parameters.localStorageClass 本地存储冗余模式。单机版不能设置此参数。 注意 如果设置了克隆卷的minReplica或redundancyOverlap，则必须同时指定该参数。 取值： singlecopy：单副本； 2copy：两副本； 3copy：三副本； EC N+M：纠删码模式。其中N、M为正整数，N>M，且N+M<128。表示将数据分割成N个片段，并生成M个校验数据。 默认值为源卷的卷冗余模式。 否 parameters.minReplica 最小副本数（仅集群版支持）。 注意 如果指定该参数，则必须指定克隆卷的localStorageClass。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 取值：整数。 如果没有指定克隆卷的localStorageClass：默认值为源卷的最小副本数。 如果指定了克隆卷的localStorageClass：对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数，默认值为1；对于EC卷，取值范围是[N, N+M]，默认值为N。 否 parameters.redundancyOverlap 卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。如果指定该参数，则必须指定克隆卷的localStorageClass。 取值：整数。 如果没有指定克隆卷的localStorageClass：默认值为源卷的折叠副本数。 如果指定了克隆卷的localStorageClass：对副本模式，取值范围是[1，副本数]；对于EC卷，取值范围是[1, N+M]。默认值为1。 否 parameters.ECfragmentSize 纠删码模式分片大小。卷冗余模式为EC模式时，此设置才生效，否则忽略。 取值：1、2、4、8、16、32、64、128、256、512、1024、2048、4096，单位是KiB。默认值为源卷的纠删码模式分片大小。 否 parameters.highAvailability 是否选择高可用模式。单机版不能设置此参数。 取值： ActiveStandby：启动主备，该卷关联对应Target下的所有IQN。 Disabled：禁用高可用模式，该卷关联对应Target下的一个IQN。 默认值为源卷的高可用类型。 否 parameters.writePolicy 卷的写策略。 取值： WriteBack：回写，即数据写入到内存后，立刻返回给客户端写成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 WriteThrough：透写，即数据同时写入内存和磁盘，并在两处都写成功后，再返回客户端写成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 WriteAround：绕写，即数据写入磁盘后即释放相应内存，写入磁盘成功后，立刻返回客户端写成功。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 默认值为源卷的写策略。 否 parameters.isMultipath 是否使用Multipath。 取值： "true"。 "false"。 默认值为"true"。 注意 这里需要输入字符串，即"true"或"false"。 如果HBlock集群版使用的HBlock卷没有启用高可用模式，即highAvailability为Disabled，此处需要设置为"false"，否则会导致pod启动失败。 如果是HBlock单机版，此处需要设置为"false"。 条件 parameters.path 指定存储卷数据的数据目录（仅单机版支持）。 如果创建卷时不指定数据目录，默认与源卷配置保持一致。 否 parameters.pool 存储池名称，表示最终存储池，卷数据最终落在该存储池内（仅集群版支持）。 取值：长度范围是1~16，只能由字母、数字和短横线（）、下划线（）组成，字母区分大小写，且仅支持以字母和数字开头。默认值与源卷的配置一致。 注意 注意： pool与cachePool不能设置为同一个存储池。 当克隆卷的pool和cachePool配置与源卷一致，无需额外设置。若单独设置了克隆卷的pool或cachePool，则不再沿用源卷的pool和cachePool，而是采用所设参数值。例如，源卷同时有cachePool和pool，若克隆卷仅重新设置了pool而未设置cachePool，则克隆卷使用新设置的pool，无cachePool；反之，若克隆卷设置了cachePool，则必须同时设置pool，或者让pool使用基础存储池。 否 parameters.cachePool 存储池名称，表示高速缓存存储池，卷数据首先写入该存储池内（仅集群版支持）。 取值：长度范围是1~16，只能由字母、数字和短横线（）、下划线（）组成，字母区分大小写，且仅支持以字母和数字开头。默认值与源卷的配置一致。 注意 pool与cachePool不能设置为同一个存储池。 当克隆卷的pool和cachePool配置与源卷一致，无需额外设置。若单独设置了克隆卷的pool或cachePool，则不再沿用源卷的pool和cachePool，而是采用所设参数值。例如，源卷同时有cachePool和pool，若克隆卷仅重新设置了pool而未设置cachePool，则克隆卷使用新设置的pool，无cachePool；反之，若克隆卷设置了cachePool，则必须同时设置pool，或者让pool使用基础存储池。 否 parameters.flattenVolumeFromSnapshot 是否断开克隆卷与快照的关系链。 取值： "true"。 "false"。 默认值为"false"。 注意 这里需要输入字符串，即"true"或"false"。 否 parameters.maxCloneDepth 最大克隆卷深度，当超过设置的最大深度时，新创建的克隆卷会自动执行断链。 取值：整数，取值范围是[0, 15]，默认值为5。 否 parameters.maxSessions iSCSI Target允许建立的最大会话数。 取值：整数，取值范围是[1, 1024]，默认值为1。 注意 卷模式为filesystem，取值只能为1。 否 parameters.serverNumbers Target所在的服务器数量（仅集群版支持）。 整数形式，取值为[2, n]，n为集群内服务器的数量。默认值为2。 否 parameters.faultDomains 卷的服务端连接位置信息。根据存储池的故障域，创建Target所在服务器的列表（仅集群版支持），以便创建LUN时，LUN关联的Target优先从该服务器列表中选择所在服务器。例如存储池为rack级别，其拓扑图涵盖rack1、rack2、rack3、rack4中的节点，且faultDomains指定rack1、rack2，那么创建LUN时，LUN关联的Target优先从rack1、rack2所包含的此存储池的服务器列表里进行选择。 注意 存储池的故障域为path级别时，不能设置该参数。 如果LUN指定了高速缓存池和最终存储池，则从高速缓存池池中选择节点列表。如果LUN只指定了最终存储池，则从最终存储池中选择节点列表。 取值：以节点的形式添加，节点的级别可以到room、rack、server。可以指定多个节点，但是节点的个数要小于等于serverNumbers。支持一个节点添加多次，但是每次只能选一个server，并且选择的server不能与前面重复。如果一个节点出现的次数过多导致节点内的全部server都被选择，则系统会忽略此节点，从后面的节点中继续选择。 否 parameters.chapEnable 是否使用CHAP认证，取值： "true"。 "false"。 默认值为"false"。 注意 这里需要输入字符串，即"true"或"false"。 否 parameters.chapUser CHAP认证的用户名。如果配置文件csisecretdecrypt.yaml中的decryptFlag为true，需要对CHAP认证的用户名使用DecryptData配置的密钥对进行AES（ECP、paddingcs7）加密，加密后的结果进行Base64编码，具体详见配置加密模式。 加密前取值：字符串形式，长度范围是3~64，只能由字母、数字、句点( . )、短横线( )、下划线( )、冒号( : )组成，字母区分大小写，且仅支持以字母或数字开头。 否 parameters.chapPassword CHAP认证的密码。如果配置文件csisecretdecrypt.yaml中的decryptFlag为true，需要对CHAP认证的密码使用DecryptData配置的密钥对进行AES（ECP、paddingcs7）加密，加密后的结果进行Base64编码，具体详见配置加密模式。 加密前取值：字符串形式，长度范围是12~16，必须包含大写字母、小写字母、数字、下划线()中的至少两种字符，字母区分大小写。 否 parameters.IOPS 每秒能够进行读写操作次数的最大值。 取值：整型，取值范围为[1, 999999999]，默认值为1。1表示不限制。 否 parameters.readIOPS 每秒能够进行读操作次数的最大值。 取值：整型，取值范围为[1, 999999999]，默认值为1。1表示不限制。 否 parameters.writeIOPS 每秒能够进行写操作次数的最大值。 取值：整型，取值范围为[1, 999999999]，默认值为1。1表示不限制。 否 parameters.Bps 每秒可传输数据量的最大值。 取值：整型，取值范围为[1, 4096000000000]，默认值为1，单位是B/s。1表示不限制。 否 parameters.readBps 读带宽上限。 取值：整型，取值范围为[1, 4096000000000]，默认值为1，单位是B/s。1表示不限制。 否 parameters.writeBps 写带宽上限。 取值：整型，取值范围为[1, 4096000000000]，默认值为1，单位是B/s。1表示不限制。 否 parameters.IOPSBurst 使用Burst功能时，每秒能够进行读写操作次数的最大值。 取值：只有当IOPS大于等于1时，此项设置为1或(IOPS, 999999999]内的正整数方可生效。默认值为1，表示不限制。 否 parameters.readIOPSBurst 使用Burst功能时，每秒能够进行读操作次数的最大值。 取值：只有当readIOPS大于等于1时，此项设置为1或(readIOPS, 999999999]内的正整数方可生效。默认值为1，表示不限制。 否 parameters.writeIOPSBurst 使用Burst功能时，每秒能够进行写操作次数的最大值。 取值：只有当writeIOPS大于等于1时，此项设置为1或(writeIOPS, 999999999]内的正整数方可生效。默认值为1，表示不限制。 否 parameters.BpsBurst 使用Burst功能时，每秒可传输的数据量最大值。 取值：只有当Bps大于等于1时，此项设置为1或(Bps, 4096000000000]内的正整数方可生效，默认值为1，单位是B/s。1表示不限制。 否 parameters.readBpsBurst 使用Burst功能时，读带宽上限。 取值：只有当readBps大于等于1时，此项设置为1或(readBps, 4096000000000]内的正整数方可生效，默认值为1，单位是B/s。1表示不限制。 否 parameters.writeBpsBurst 使用Burst功能时，写带宽上限。 取值：只有当writeBps大于等于1时，此项设置为1或(writeBps, 4096000000000]内的正整数方可生效，默认值为1，单位是B/s。1表示不限制。 否 parameters.IOPSBurstSecs 使用Burst功能时，按照Burst上限的能力进行读写操作所能持续的时间。 注意 只有在IOPS Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 parameters.readIOPSBurstSecs 使用Burst功能时，按照Burst上限的能力进行读操作所能持续的时间。 注意 只有在read IOPS Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 parameters.writeIOPSBurstSecs 使用Burst功能时，按照Burst上限的能力进行写操作所能持续的时间。 注意 只有在write IOPS Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 parameters.BpsBurstSecs 使用Burst功能时，按照Burst上限的流量能力所能持续的时间。 注意 只有在Bps Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 parameters.readBpsBurstSecs 使用Burst功能时，按照Burst上限的读流量能力所能持续的时间。 注意 只有在read Bps Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 parameters.writeBpsBurstSecs 使用Burst功能时，按照Burst上限的写流量能力所能持续的时间。 注意 只有在write Bps Burst功能启用时，此配置才生效。 取值：整型，取值范围为[1, 999999999]，默认值为1。 否 2. 创建克隆卷的配置文件。 plaintext apiVersion: v1 kind: PersistentVolumeClaim metadata: name: clonepvcfromsnapshot