本文介绍如何为Pod配置时区。 本文将介绍如何为 ECI Pod 配置不同的时区，确保您的应用程序、日志和时间戳记录遵循正确的时间和日期。 操作步骤 为Kubernetes Pod设置时区的最简单方法是在Pod中添加一个Volume，然后将该Volume挂载到Pod中的某个目录。该目录可以包含代表时区的一个或多个文件。这种方法的优点是可以在Pod内的多个容器中重用时区设置，而无需在每个容器中都复制一遍。 您想要创建一个configmap，并导入所需的时区信息。为了指定时区，需要进行相应的配置，请选择/usr/share/zoneinfo/Asia/目录下的配置文件进行导入。以下是一个示例： 1.创建应用的YAML配置文件timezone.yaml，内容示例如下： apiVersion: v1 kind: Pod metadata: name: timezonepodinitcontainer spec: initContainers: name: timezonesetup image: "registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine" command: ["/bin/sh", "c"] args: cp /usr/share/zoneinfo/Asia/Shanghai /timezone/localtime volumeMounts: name: timezoneconfig mountPath: /timezone containers: name: maincontainer image: busybox command: "tail" "f" "/dev/null" volumeMounts: name: timezoneconfig mountPath: /etc/localtime subPath: localtime volumes: name: timezoneconfig emptyDir: {} 2.通过该配置文件部署busybox应用。 kubectl apply f timezone.yaml 预期返回： NAME READY STATUSRESTARTS AGE timezone 1/1 Running0 1m30s 3.进入指定容器。 通过弹性容器实例ECI控制台，选择指定的容器组，点击“远程连接”连接容器。 4.在容器中运行date R命令，显示当前的日期和时间。如果返回的时间与您设置的时区信息相符，则表示设置成功。以下是设置成功后的示例返回结果： /

关联资源与企业项目 企业项目可以将云资源按企业项目统一管理。 买企业主机安全时选择企业项目 在购买页面，“企业项目”下拉列表中选择目标企业项目，实现资源与企业项目关联。 资源迁入 对于帐号下的存量弹性云服务器/裸金属服务器，您可以在“企业项目管理”页面将资源迁入目标企业项目。 “default”为默认企业项目，帐号下原有资源和未选择企业项目的资源均在默认企业项目内。 管理所有项目 如果您已开通企业项目，您可以在“所有项目”中，对您拥有的所有主机进行批量安全配置，可避免您到每个企业项目中对主机进行重复配置。 绑定主机配额 在“所有项目”中，任意一个企业项目中的配额绑定给任意一个企业项目中的主机，实现配额共享使用，但计费仍归属于配额所在企业项目。 批量安全配置 对所有主机进行安全配置，包含告警白名单、登录白名单、恶意程序自动隔离查杀和告警通知等。 部署策略组 “所有项目”中的策略组，可以部署给您所在的任意企业项目中的任意一台开启旗舰版防护的主机。 “所有项目”中的策略组独立于其他每一个企业项目的策略组，与其他企业项目的策略组互不干扰。 订阅所有项目安全报告 “所有项目”的安全报告独立于其他每一个企业项目的安全报告，订阅设置与报告内容互不干扰。 在“所有项目”中进行批量配置后，若对其中某一个企业项目中的安全配置有差异化需求，您可以到具体的企业项目中进行单独配置。在某个企业项目中的差异化配置是独立的，对其他企业项目不产生影响。

本节主要介绍创建IAM用户 如果您是管理员，在云服务平台创建了多种资源，例如弹性云主机、云硬盘、物理机等，您需要将资源分配给企业中不同的员工或者应用程序使用，为了避免分享自己的帐号密码，您可以使用天翼云官网的用户管理功能，给员工或应用程序创建IAM用户。 默认情况下， 新创建的IAM用户没有任何权限 ，管理员需要为其授予权限，或将其加入用户组，并给用户组授权，用户组中的用户将获得用户组的权限。IAM用户拥有权限后，IAM用户就可以基于权限对云服务进行操作。 注意 “admin”为缺省用户组，具有所有云服务资源的操作权限。将用户加入该用户组后，用户可以操作并使用所有云服务资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 如果删除并重新创建同名用户，则需要重新授权。 操作步骤 步骤 1 管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户”。 步骤 5 在“用户”管理界面中，单击“创建用户”。 步骤 6 在创建用户界面中，输入用户名、手机号、用户组等用户信息。 用户组：在下拉菜单中选择已创建好的用户组，新用户将具备此用户组的全部权限，这一过程即给用户授权。 用户基本信息：依次输入新用户的“邮箱”、“用户名”等基本信息，并为用户设置初始登录密码。 步骤 7 单击“确定”，完成IAM用户创建，返回子用户列表，将显示新创建的IAM用户。

数据在数据仓库服务中是否安全？ 安全。在大数据时代，数据是用户的核心资产。将继续秉承多年来向社会做出的“上不碰应用，下不碰数据”的承诺，保证用户核心资产的安全。这是我们对用户和社会的承诺，也是云平台及其伙伴商业成功的保障和基石。 我们的数据仓库服务工程师对整个数据仓库系统进行了电信系统级别的安全增强，大量地采用了多年来在电信行业里积累的各种经验和知识，特别是针对数据安全，用户隐私方面的技术和专利。因此，数据仓库服务是一款符合电信级质量要求的产品，满足各级政府，金融机构，电信运营商对数据安全和用户隐私的要求，并在以上各行业被广泛使用。数据仓库服务还获得了如下安全认证： 网络安全实验室ICSL的认证：该认证是遵从英国当局颁布的网络安全标准设立的。 隐私和安全管理当局PSA的官方认证：该认证满足欧盟对数据安全和隐私的要求。 业务数据安全 数据仓库服务构建在云平台的基础软件设施之上，包括云主机弹性云主机和对象存储服务OBS。 DWS用户的业务数据是直接存放在集群的云主机当中，集群的云主机对DWS用户本身不可见，只向用户提供数据仓库访问服务，用户以及云平台的运维管理员均无法登录DWS集群云主机进行操作。 DWS集群云主机操作系统进行了严格的安全加固，包括内核安全加固，系统最新补丁，权限控制，端口管理，协议与端口防攻击等。 DWS提供完整的密码策略、身份认证、会话管理、用户权限管理和数据库审计等安全措施。

本章介绍如何新增备份目录。 场景说明 完成安装客户端后，云服务备份系统会自动识别已安装成功的客户端，并显示在“云服务备份 > 文件备份 > 文件备份”客户端列表中。需要手动将已安装客户端资源中需要备份的文件路径添加至云服务备份中。 约束与限制 单个备份资源最多支持添加8个文件目录。 单个目录下文件数不超过50万个，建议执行文件备份的主机配备4GB以上可用内存。 每个目录支持的数据量不超过500GB。 文件路径只能为绝对路径，如以/、C:、D:开头的文件路径。 操作步骤 1. 登录云服务备份控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 单击“”，选择“存储 > 云服务备份 > 文件备份”。 2. 单击目标服务器名称。进入服务器基本信息。 3. 单击“新增备份目录”。 4. 将需要备份的文件路径粘贴至“备份文件路径”中。单击“确定”。 5. 添加成功后，待备份的文件路径将会出现在下方。 移除目录 如果不再需要备份目录，或者已超出目录上限需要删除，可以进行移除目录操作。 1. 登录弹性云主机控制台。 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域。 3. 选择“存储 > 云服务备份 > 文件备份”。 2. 单击目标服务器名称。进入服务器基本信息。 3. 单击目标目录的“移除目录”。移除目录后，将无法对该文件进行备份操作。已产生的备份将不会被删除，可用于恢复数据。未产生备份的目录路径将会被彻底移除，请谨慎操作。 4. 单击“确定”，完成目录移除。

本文主要介绍 工作原理 云审计服务直接对接云服务平台上的其他服务，记录租户的云服务资源的操作信息，实现云帐户操作云服务资源动作和结果的实时记录功能，并将记录内容以事件文件形式实时保存至OBS桶中。 用户可以对事件文件执行以下两种操作： 事件文件的创建和保存： 当用户在弹性云主机、云硬盘服务、镜像服务等其它与云审计服务完成对接的服务中，进行了增加、删除、修改类型的操作时，被操作的服务会自动记录操作动作及操作结果，并按照指定的格式发送事件到云审计服务完成事件归档。 云审计服务管理控制台会保存最近7天的操作记录，如已配置OBS服务，云审计服务会定期将操作记录同步保存到用户定义的OBS桶中进行长期保存。 事件文件查询： 在“事件列表”页面，用户可以按照通过系统自带的条件和时间过滤功能，查询最近7天的操作记录。 若要查询7天前的操作记录且已配置OBS服务，可以在对应的OBS桶中下载事件文件进行查看。 在云审计服务页面的追踪器界面，用户可以对追踪器进行启用、停用、删除、配置等操作。 以用户创建镜像为例，在用户使用镜像服务执行创建镜像的操作过程中，镜像服务会将用户操作事件上报至云审计服务，如已配置OBS服务，云审计服务将事件转存至OBS桶中。用户也可以通过云审计服务的事件列表查看事件文件。云审计服务工作原理示意如图所示。 云审计服务工作原理示意图

应用进程、消费组、消费者实例的关系 消费组可以有多个消费者实例。 同一进程，同一个消费组不允许有相同的消费者实例。 不同进程，不能创建相同消费者实例，如上图中的实例A，两个实例均连到Q1跟Q2，但Q3与Q4并无消费。 应用在创建消费者实例时，指定消费者实例名，应用需要保证不同的进程间，同一消费组不能有相同的实例名。或者应用在创建消费者实例时，不指定实例名，RocketMQ会创建唯一的实例名(JAVA SDK)，规则是：groupNameippid线程iduuid。 同组Consumer订阅关系一致 RocketMQ 里的一个 Consumer Group 代表一个 Consumer 群组。对于大多数分布式应用来说，一个 Consumer Group 下通常会有多个 Consumer 实例。订阅关系一致指的是同一个 Consumer Group 下所有 Consumer 实例的处理逻辑必须完全一致，一旦订阅关系不一致，消息消费的逻辑就会混乱，甚至导致消息丢失。 由于 RocketMQ 的订阅关系主要由 Topic+Tag 共同组成，因此，保持订阅关系一致意味着同一个 Consumer group 下所有的实例需在以下两方面均保持一致： 1.订阅的 Topic 必须一致。 2.订阅的 Topic 中的 Tag 必须一致。

本节主要介绍如何使用API回滚快照。 此操作用来回滚单卷快照（包括一致性快照中的卷快照）。 注意 此操作会将快照中的数据覆盖到源卷，建议对源卷创建新的快照进行数据备份。 如果快照的源卷是一个克隆卷，并且此克隆卷正在执行断开关系链的操作时，不能使用这个克隆卷的任何快照进行回滚。 如果源卷有快照正在创建，不能执行回滚操作。 如果源卷已被客户端挂载，需在客户端取消挂载卷后回滚，回滚后重新挂载卷： 对于Linux客户端，可以执行下列步骤： 1. 回滚快照前，客户端执行命令：umount DIRECTORYNAMEORPATH 2. 回滚快照后，客户端执行命令：mount /dev/sdx DIRECTORYNAMEORPATH 对于Windows客户端，可以执行下列步骤: 1. 回滚快照前，在客户端将源卷对应的磁盘脱机。 2. 回滚快照后，在客户端将源卷对应的磁盘重新联机。 说明 处于回滚状态的卷： 不能创建快照。 不能再次回滚。 不能删除该卷正在回滚的快照。 不能编辑该快照。 不能修改该卷。 不能扩容该卷。 如果此卷是克隆卷，不能执行断开关系链操作。 请求语法 plaintext PUT /rest/v1/block/snapshot/snapshotName/rollback HTTP/1.1 Date:date ContentLength: length Host: ip:port Authorization: authorization

本节主要介绍如何使用API设置卷关联的QoS策略。 此操作用来设置卷关联的QoS策略。 说明 当同一个卷设置多次QoS策略时，以最后一次操作为准。 对于集群版，QoS策略的生效规则如下： 若卷已关联了QoS策略，则以该策略为准。 若卷未关联QoS策略： 当卷同时存在缓存存储池和存储池时，采用缓存存储池设置的“存储池内卷的默认QoS策略”；若缓存存储池未设置“存储池内卷的默认QoS策略”，则卷无QoS策略。 当卷仅存在存储池时，采用存储池设置的“存储池内卷的默认QoS策略”；若存储池未设置“存储池内卷的默认QoS策略”，则卷无QoS策略。 请求语法 plaintext PUT /rest/v1/system/qos/qosName/lun/assoc HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "list": [ lunName1,lunName2… ], } 请求参数 参数 类型 描述 是否必须 qosName String 指定QoS策略名称。 是 list Array of string 指定关联QoS策略的卷名称。 是 请求示例 将设置卷的QoS策略。 plaintext PUT /rest/v1/system/qos/QoS6/lun/assoc HTTP/1.1 Date: Wed, 02 Jul 2025 03:22:28 GMT ContentType: application/json; charsetutf8 Authorization: HBlock userName:signature ContentLength: 43 Host: 192.168.0.64:1443 { "list": ["luna1","lunb1","lunb2"] }

。 所在子网 选择所在子网，若您还没有所在子网，请参照创建所在子网。 安全组 选择安全组，若您还没有可用安全组，请参照创建安全组。 实例名称 自定义实例名称，最长40字符，只能包含小写字母、数字及分隔符()，且必须以小写字母开头，数字或小写字母结尾。 企业项目 网关实例关联的企业项目，可以到IAM控制台创建企业项目。 启用监控指标 启用后，可在控制台观测分析中查看系统和API的流量、成功率、延迟等监控指标，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 启用链路追踪 可选择采集百分比启用，启用后，可在控制台观测分析中查看API请求的链路追踪信息，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 启用访问日志采集 启用后，可在控制台观测分析中查看访问日志，若您还没有开通云日志服务，可先点击提示链接前往开通。 网关实例创建可能需要5分钟左右时间，请耐心等待。 添加服务 首先部署好后端服务，进入实例详情页，选择服务列表菜单，点击创建服务，选择固定地址服务，填入后端服务的ip和端口，如下图所示：

本节主要介绍如何使用API添加数据目录。 此操作用来添加指定服务器的数据目录至HBlock。一次可以添加多个数据目录。 说明 对于新增的数据目录，建议设置开机自动挂载，或使用已设置自动挂载的目录或子目录。 注意 每台服务器最多只能添加100个数据目录。 请求语法 plaintext POST /rest/v1/system/server/serverId/diskpaths HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "diskPaths": [ { "path":path, "capacityQuota": capacityvalue }, { "path":path, "capacityQuota": capacityvalue }, …… ] } 请求参数 参数 类型 描述 是否必须 serverId String 要添加的数据目录所属服务器ID。 是 diskPaths Array of diskPath 数据目录属性集合，详见“表1 请求参数diskPath说明”。 是 表1 请求参数diskPath说明 参数 类型 描述 是否必须 path String 指定添加的数据目录。数据目录用于存储数据，建议不要与操作系统共用磁盘或文件系统。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。 是 capacityQuota Long 指定数据目录的容量配额，即针对加入到服务器中的每个数据目录，HBlock可写入的数据总量。当HBlock的使用空间一旦达到配额，就立刻阻止数据写入，不允许再使用超出配额的空间。 取值：小于数据目录所在磁盘的总容量，单位是bytes。负整数表示无限制写入，0表示禁止写入。默认不限制写入。 注意 如果相同的数据目录出现多次，以第一次出现的数据目录的容量配额为准。 否

如果您已经创建天翼云VPN网关，并且创建了SSL服务端，可以对SSL网关的客户端连接数情况进行监控。 操作场景 查看某个SSL网关的客户端连接数情况。 前提条件 您在该区域下有正常状态的启用了SSL功能的VPN网关，并且创建了SSL服务端。 操作步骤 1. 登录控制中心。 2. 选择“管理与部署”下的“云监控”产品。 3. 选择“云监控服务 ”下的“VPN监控”，进入VPN监控页面。 4. 单击“SSL网关”，进入SSL网关监控列表，可以查看SSL网关名称、企业项目、绑定的资源名称和网关IP等信息。 5. 选择需要查看监控的目标SSL网关，点击“操作”列中的“查看监控图表”按钮。 6. 在SSL网关监控详情页面，上方可以查看SSL网关的详情信息。 7. 在SSL网关监控详情页面，下方可以查看目标SSL网关的SSL客户端连接数等监控指标的数据。还可以选择查询的时间范围，设置自动刷新等。 8. 在SSL网关监控详情页面，针对每一项监控指标，单击图表右上角的“查看”按钮，可以查看该监控指标的详情信息。在该页面，支持修改数据的展示方法（原始值、最大值、最小值、平均值等），支持修改数据的取样间隔（5分钟、20分钟），支持选择查询的时间范围。 9. 选择需要查看监控的目标SSL网关，点击“操作”列中的“创建告警规则”按钮，可以配置告警服务，具体配置请参考“创建告警规则”。

函数计算支持访问用户自身VPC内的资源，如MySQL，本文讲解如何通过函数计算访问VPC内的MySQL实例。 设置用户函数允许访问VPC 该部分涉及到函数网络配置，请参阅函数计算用户指南配置网络。 注意 用户配置允许访问的VPC信息需要与要访问的MySQL实例的VPC信息一致。 设置MySQL实例白名单 在MySQL实例管理界面， 需要放行访问MySQL的源地址，如下图： 注意 白名单所放行的IP段，即用户在函数控制台配置VPC时选择的Subnet所在的地址段。 设置MySQL实例安全组 （1）如果用户选择放通MySQL默认安全组的13049端口，则可以进行如下配置： （2）如果用户选择放通所有端口（不推荐），则可以参考如下配置： 完成上述网络配置与MySQL实例配置后，用户即可通过函数计算访问对应VPC内的MySQL实例。

本节介绍了容量预估的相关内容。 数据库实例在使用过程中，当前磁盘空间数据与日志的占比以及历史上涨情况往往是用户关心的重点。数据管理服务提供了容量预估功能，可以方便地查看磁盘空间概况与分布，并通过历史数据结合智能算法提供了空间预估等功能，尽早发现空间不足的情况并及时避免。此外还提供了表智能诊断、TOP50库表等高级智能运维功能。 查看容量空间概况 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 单击页面左上角的 ，选择“数据库 > 数据管理服务 DAS”，进入数据管理服务页面。 步骤 4 在左侧的导航栏中单击“DBA智能运维 > 实例列表”页签，进入DBA智能运维实例列表页面。 步骤 5 在实例列表页面右上角，按照引擎、实例名称或者实例IP筛选实例。 步骤 6 选择目标实例，单击“详情”，进入“总览”页面。 步骤 7 单击“容量预估”，您可以查看“空间概况”区域。 您可以查看到如下信息： − 磁盘空间的使用率 − 剩余 − 近一周日均增长 − 磁盘空间分布 说明 数据空间：存放用户数据的磁盘空间。 其他空间：一般包括元数据、数据库产生的临时文件、操作系统产生的临时文件等等。 当磁盘的容量空间不足时，可以单击右上角“磁盘扩容”，为实例扩充磁盘空间。 结束

发生主从切换有哪些的原因？ 可能有以下场景触发主从切换： 用户自在控制台界面发起“主从切换”操作，切换主实例。 实例守护进程检测到主节点存在故障后，触发主从切换，例如使用了keys等消耗资源的命令，导致CPU超高，触发主备导致。 用户在控制台页面上执行节点重启操作，可能触发从节点提升为主节点 主从切换的业务影响？ 主备实例或者集群主备实例的主节点发生异常时，会自动触发主从切换，在异常检测和恢复期间，可能对业务造成一定影响，时间在半分钟内。 发生主从切换后是否需要客户端切换IP 不需要。主节点故障时会自动触发主从切换，VIP地址会绑定到原从节点，绑定后，原从节点升级为主节点。 Redis主备同步机制怎样？ 分布式缓存Redis版标准版主备和集群版主备实例支持部署高可用实例。您可选择在单可用区或多可用区中部署实例。当租户选择跨多可用区部署实例时，Redis实例会主动建立和维护Redis同步复制。在实例主节点故障的情况下，缓存实例会自动将备实例升为主节点，从而达到高可用的目的。如果租户使用缓存实例时，业务中读取数据比例大，可以选择集群版主备实例，缓存实例会自动维护主节点和从节点之间的数据同步复制。

本章节为您介绍运营处置功能模块。 登录系统后在上方菜单栏选择运营处置进入管理页面，可对告警分析、安全事件、风险隐患、工单管理等进行管理。 告警分析 进入运营处置页面后，在左侧导航栏选择“告警分析”即可进入告警分析页面。 告警分析依据聚合规则定时聚合告警信息，有效降低告警数量；可将告警转化为安全事件或安全隐患，实现从告警到事件处理的全流程闭环管理。 选择需要处理的告警名称，选择操作列的“处理”，在下拉框中选择对告警的处理方式。 若您需要生成安全事件，单击操作列的“生成事件”，弹出的对话框中会自动填充告警的相关信息进行事件生成。 安全事件 安全事件模块可对安全事件处置全流程进行管理，对事件名称、事件级别、事件类型、所属部门、事件发生时间等信息进行结构化处理，提供新建、编辑、删除、查询、处理、导入、导出、通报生成工单等功能，实现事件从记录到处理的闭环管理。 风险隐患 风险隐患模块可对风险隐患处置全流程进行管理，对风险名称、风险级别、风险类型、所属部门、风险描述、修复建议、CVE编号、处理状态、风险IP、风险端口、发现时间等信息进行结构化处理，提供新建、编辑、查询、导入、导出、通报生成工单等功能，实现风险从记录到处理的闭环管理。

本文介绍如何申请测试证书。 天翼云证书管理服务提供证书版本为TrustAsia、 证书类型为DV 、域名类型为单域名 、有效期为3个月 的测试证书。 约束限制 一个账号每年最多可以申请10张测试证书，单次只能创建1张测试证书。 1张测试证书仅支持绑定一个单域名，不支持保护通配符、IP。 测试证书的信任等级较低，建议只用于测试。 测试证书签发后，有效期为3个月。不支持续订，若需继续使用SSL证书，请在控制台重新创建测试证书或升级为正式证书，购买正式证书请参见升级测试证书为正式证书。 测试证书使用流程 步骤 说明 步骤一：创建测试证书 填写域名创建证书。 步骤二：提交申请证书 填写测试证书申请信息，提交审核。 步骤三：域名验证 在域名控制台添加DNS解析记录，完成域名所有权验证。 步骤四：签发证书 CA将在1个工作日完成审核签发证书，请耐心等待。 步骤一：创建测试证书 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > SSL证书列表”。 3. 选择“测试证书”页签，单击“创建证书”。 4. 在创建证书页面，配置域名名称。 5. 单击“确定”，完成测试证书创建。

配置步骤 1. 登录DDoS高防（边缘云版）控制台，在左侧导航中，点击【业务接入】【域名接入】。 2. 选择需要防护的域名，在操作栏点击【防护配置】。 3. 进入CC防护配置页面，点击【编辑】。 4. 在编辑页面可进行防护开关、防护模式、防护时长配置。具体说明可参见CC防护配置。 5. 配置完成后，点击保存。该域名会进入“配置中”状态，配置成功后，域名状态会变为“已启用”。 报表分析 DDoS高防（边缘云版）产品提供CC相关的报表数据，能清晰直观地展示您的网站遭受的攻击情况。其中包含 TOP URL、TOP 攻击IP及攻击区域分布信息，您可结合报表数据进一步配置相应的防护规则，更好地保障您的网站服务稳定。更多信息，请参见安全分析。 1. 登录DDoS高防（边缘云版）控制台,在左侧导航中，单击 【安全分析】【安全报表】。 2. 进入【CC安全报表】tab页面，可选择域名及时间维度等过滤条件查看详细攻击情况。 告警监控 针对应用层CC攻击，DDoS高防（边缘云版）提供了相应的告警策略，您可根据实际业务情况结合报表数据配置相应的告警策略。更多信息，请参见告警管理。

业务指标 概括CDN加速3类主要加速场景及关注指标： 业务场景 主要加速内容 主要关注指标 静态小文件 图片、html、css和js等静态内容。 1.首包时间。 2.内容下载时间。 3.服务可用性。 大文件下载 游戏软件安装包下载、手机ROM升级、应用更新和网盘文件下载等大文件。 1.下载速度。 2.下载总耗时。 3.服务可用性。 音视频点播 包含但不限于mp3、wma、mp4、flv、hls和大ts等音视频点播文件。 1.首屏时间。 2.卡顿率。 3.服务可用性或者成功率。 加速案例 本测试采用业内通用的第三方测速方法。测试对象为某客户源站、天翼云CDN加速，加速范围为全球。 1. 性能概览 2. 任务趋势图 3. 统计数据 说明 源站平均DNS用时为0，是因为直接访问源站IP，因此不涉及DNS解析的过程，监测时DNS解析时间为0。 4. 详细数据 以开始加速的前5个监测点的数据为例，可以看到有CDN加速的情况下，TCP建连时间、首包时间、整体速度远优于源站。

选择指定的远程桌面许可证服务器 1. 打开组策略编辑器：使用Win+R快捷键打开“运行”程序，输入“gpedit.msc”。 2. 在本地策略组选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 授权”，进入服务器授权许可设置页面。 3. 选择”使用指定的远程桌面许可证服务器“，进入设置窗口。 4. 在设置窗口勾选“已启用”，并且在“要使用的许可服务器”下填写本地服务器IP。 5. 单击“确定”完成配置。 （可选）隐藏有关影响 RD 会话主机服务器的 RD 授权问题的通知 1. 打开组策略编辑器：使用Win+R快捷键打开“运行”程序，输入“gpedit.msc”。 2. 在本地策略组选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 授权”，进入服务器授权许可设置页面。 3. 选择“隐藏有关影响 RD 会话主机服务器的 RD 授权问题的通知”，进入设置窗口。 4. 选择“已启用”。 5. 单击“确定”完成配置。 设置远程桌面授权模式 1. 打开组策略编辑器：使用Win+R快捷键打开“运行”程序，输入“gpedit.msc”。 2. 在本地策略组选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 授权”，进入服务器授权许可设置页面。 3. 选择“设置远程桌面授权模式”，进入设置窗口。 4. 选择“已启用”，并且在在“指定RD会话主机服务器的授权模式”下拉列表中选择“按用户”。 5. 单击“确定”完成配置。

本小节介绍服务器安全卫士Agent安装 Linux 版本安装。 步骤 1：选择操作系统 选择 Linux 操作系统时，环境需求如下图所示： 支持主流 64 位 Linux 版本： Oracle：5、6、7 RHEL：5、6、7 CentOS：5、6、7、8 Ubuntu：1019 SUSE：915 Debian：6、7、8、9、10 OpenSUSE：1015 NeoKylin（中标麒麟）：6、7 YHKylin（银河麒麟）：4 Redflag（红旗）：9 Deepin（深之度）：15 iSoft（普华）：4 系统安装 Curl 程序，且版本不低于 7.10；（Curl 为下载器） 系统启动 Cron 定时任务服务 openssl 版本不低于 0.9.8o 直连主机的防火墙需确保可与青藤服务器通信通信要求 代理连接的主机需连通管理服务器的 sock5 代理服务 当系统不允许使用 Crontab 任务时，系统常见问题中给出了解决方法，见下图所示： 步骤 2：设置主机信息 通信协议：支持 IPv4 和IPv6 连接方式：支持直连和代理连接 主机所属业务组：可以选择安装 Agent 主机所属的业务组。可点击快捷链接主机管理，跳转到业务组界面进行业务组管理。 代理连接的主机必须确保与服务器安全卫士可通信。 代理地址填写时，可输入“域名:端口”或“IPv4 代理 IP:端口”。示例：

本文介绍智能体引擎Agent Engine的应用场景 代码测试与安全分析 为智能体运行提供云端安全隔离的Agent沙箱，主要用于处理不可信或不确定的代码。如果代码在沙箱中崩溃或试图执行危险操作（如删除文件），可以立即阻断，避免污染开发环境。 测试AI生成的代码：在沙箱中运行AI生成的代码，进行单元测试或功能验证；大模型（如Cursor、Copilot）生成的代码可能存在语法错误、逻辑漏洞或安全风险（如SQL注入、命令注入） 恶意软件分析与逆向工程：将可疑文件放入沙箱中运行，观察其行为：是否修改注册表、是否连接暗网IP、是否加密文件；沙箱提供了“观察窗”，让分析师在不冒风险的情况下了解恶意软件的行为 智能体执行测试 目前最热门的应用场景，让Agent在智能体引擎的安全沙箱中运行，调用外部工具（如浏览器、计算器、终端）来完成任务；包含如下场景： UI自动化测试：通过浏览器沙箱运行自动化测试智能体，避免Agent的危险操作或恶意万战访问，无法危及用户的个人电脑或企业内网 终端命令执行：通过沙箱运行智能体执行终端命令，即使Agent的指令被恶意prompt注入（例如，用户诱导AI执行rm rf /），由于沙箱限制了文件系统权限（可能只允许操作Docker相关目录，或挂载了只读根文件系统），也能避免宿主机系统崩溃 多Agent协作：通过沙箱运行多个智能体，模拟协作任务或攻防演练；避免影响真实业务

主机标签设置 可以新建，编辑，删除标签。通过标签速过滤主机。 移动业务组 可以单击操作那一栏中的“移出”按钮，移动某个主机所属业务组；也可以勾选复选框，点击右上角“移出”，批量移动主机的所属业务组。 规则设置 通过规则设置，可自动将某类主机进行部分操作，包括移动业务组、打标签、编辑运维信息等。 点击界面上的 “规则设置”按钮，进入主机规则列表。 新建规则 点击新建规则，将进入“新建规则”界面： 条件列表：主机名中包含、主机 IP 在以下范围内。只有同时满足所有输入的条件时，才会执行所选操作。 执行操作：移动到业务组、标记标签、标记资产等级、修改主机负责人、修改主机负责人的邮箱、修改主机所在机房、修改主机的备注。 规则范围：选择该规则适用的主机范围，可选择全部主机，或通过业务组进行筛选。 描述：规则描述。 执行规则 点击执行规则，将依次执行当前列表中的所有规则。 说明 则根据当前列表中的排序执⾏，排在最上⾯的规则最后执⾏。 当两个规则的条件范围发⽣冲突时，后执⾏的规则将覆盖先执⾏的规则。 规则默认按照创建时间降序排列，您也可以点击每⾏规则上的“移动”,可对规则进⾏上移、下移操作。该操作将会影响规则执⾏的先后顺序。

本节主要介绍如何使用API清空卷。 此操作用来清空卷。 注意 如果克隆卷执行清空所有卷数据及卷对应的快照，会变成独立卷。 卷处于Wiping、WipeFailed状态时，不支持读写。 清空卷前须先logout断开客户端连接，否则在卷状态恢复Normal前将无法断开客户端连接。 请求语法 plaintext PUT /rest/v1/block/lun/lunName/wipe HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization:authorization { "scope":scope } 请求参数 参数 类型 描述 是否必须 lunName String 指定需要清空的卷的名称。 取值：长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 是 scope String 指定清空卷的数据范围。 取值： All：清空所有卷数据及卷对应的快照。 注意 如果卷存在关联的克隆卷，不能执行清空所有卷数据及卷对应快照的操作。 NoSnapshot：清空卷数据，保留卷对应的快照。后续可以使用卷快照进行卷回滚、或者导出备份。 注意 克隆卷不能执行仅清空卷数据保留对应快照的操作。 默认值为All。 否 请求示例1 清空卷lun01，包括卷数据及对应的快照。 plaintext PUT /rest/v1/block/lun/lun01/wipe HTTP/1.1 Date: Fri, 12 Dec 2025 03:31:37 GMT ContentType: application/json; charsetutf8 ContentLength: 25 Authorization: HBlock userName:signature Host: 192.168.0.64:1443 { "scope": "All" }

本文介绍零信任服务的总览页面。 简介 总览提供了远程零信任办公的使用概况，方便您查看零信任服务的整体使用情况，快速定位问题。 操作步骤 1.登录 边缘安全加速平台控制台 ，选择【零信任】控制台。 2.在左侧导航栏，单击【总览】。 3.零信任总览页面分为五个模块：远程零信任办公、办公组网、全球加速、终端态势、效能分析，默认展示远程零信任办公。您可以通过点击对应的卡片切换不同处理列表。 远程零信任办公 整体远程零信任办公分为五个模块进行展示：总体概览、基础信息、计费方式、用量分析、终端分析。 总体概览 通过地图数据的表现方式展示您企业的接入总体情况，分为两种类型的数据统计，定时10秒轮询展示企业应用资源和员工登录地点的分布情况。 企业应用资源面板展示企业部署的连接器信息，包括地理位置，连接器名称，部署模式。连接器的地理位置根据连接器的出口IP进行判断，连接器的创建个数体现企业不同网络数据中心分布，对于有多个数据中心的企业 ，会需要创建多个连接器进行部署。连接器地理位置展示企业数据中心内应用资源的地理分布情况，其中连接器部署模式分为多活模式和未多活模式，多活模式指一个连接器部署2个以上实例个数，该模式下能满足高可用使用场景。 员工登录地点面板统计企业员工在不同城市的登录成功账号个数。

本节主要介绍如何使用API批量查询软件许可证信息。 批量查询软件许可证信息，信息包括软件许可证的record信息以及usage信息： record信息：购买记录的信息。 usage信息：软件许可证在不同时间段内的对应的容量和状态信息。 请求语法 plaintext GET /rest/v1/system/license?filterfilter&rangeij&showshow HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization:authorization 请求参数 名称 类型 描述 是否必须 filter String 设置查询的过滤条件。 过滤条件由查询属性和属性值组成，其中属性和属性值之间用单个冒号分隔（key:value）表示模糊匹配，用两个冒号分隔（key::value）表示精确匹配。可以选择多个查询，如果是或的关系，使用“or”将查询条件分隔开；如果是与的关系，使用“and”将查询条件分隔开。 支持的查询类型包括： licenseId：软件许可证ID。 status：软件许可证的状态： Effective：已生效。 Expired：已过期。 Invalid：无效。 type：软件许可证的购买类型： Subscription：订阅模式。 Perpetual：永久许可模式。 否 range String 查询范围，格式：ij，其中i,j是正整数，i小于j，ji<1000。按照license的购买时间由新到旧降序排列，返回第i个到第j个软件许可证。 如果输入的查询范围超过软件许可证的总个数，那么返回空结果集。 如果不输入range参数，那么返回所有软件许可证。 否 show String 查询的输出结果，支持的输出结果包括record, usage。 如果不填写，就是默认两个信息都输出。 否

本节主要介绍如何使用API设置卷的扩展属性。 此操作用来设置指定卷的扩展属性（Extended Attributes，简称xattr）。 注意 卷状态为Deleting、DeleteFailed状态时，不允许修改卷的xattr。 卷无Active IQN时，不允许修改卷的xattr。 请求语法 plaintext PUT /rest/v1/block/lun/lunName/xattr HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization:authorization { "action": "update", "xattrKey":xattrKey, "xattrValue": { xattrInnerKey1: xattrInnerKeyValue1, xattrInnerKey2: xattrInnerKeyValue2, …… } } 请求参数 参数 类型 描述 是否必须 lunName String 指定要设置扩展属性的卷名称。 取值：长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 是 action String 操作类型。 取值：update：修改单个卷的扩展属性。即更新xattrValue中的KV对（innerKey 和innerValue），不存在的KV对按照入参执行新增，存在的KV对按照入参执行更新。 是 xattrKey String 指定卷的扩展属性的key值。 取值： OPENSTACKMETA：定义卷的Openstack扩展属性。 CUSTOM：用户自定义卷的扩展属性。 是 xattrValue Object 卷的扩展属性的Value，为json对象格式，长度不超过262144 bytes，详见“表1 请求参数xattrValue说明”。 是 表1 请求参数xattrValue说明 参数 类型 描述 是否必须 xattrInnerKey String xattrValue中的Key值。 取值：长度范围是1~500，只能由字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)组成，特殊符号需转义。 是 xattrInnerKeyValue String xattrValue中Key的Value值。 取值：长度不超过255 bytes的字符串。 是

本节主要介绍如何使用API查询升级进度。 此操作用来升级进度。 请求语法 plaintext GET /rest/v1/system/upgrade HTTP/1.1 Date: date Host: ip:port Authorization: authorization 响应结果 名称 类型 描述 status String HBlock服务升级状态： NotUpgrated：未进行过升级。 Preparation：正在准备升级。 Processing：正在升级。 Succeeded：升级成功。 Failed：升级失败。 Interrupted：升级中断。 Unknown：未知。 progress String 升级进程详细信息。 targetVersion String 目标升级版本。 startTime Long 本次升级开始时间，unix时间戳（UTC），精确到毫秒。 lastEndTime Long 上次升级结束时间，unix时间戳（UTC），精确到毫秒。 请求示例 查看HBlock服务升级进度。 plaintext GET /rest/v1/system/upgrade HTTP/1.1 Date: Wed, 11 Mar 2026 06:07:50 GMT Host: 192.168.0.65:1443 Authorization: HBlock userName:signature 响应示例 plaintext HTTP/1.1 200 OK xhblockrequestid: 1f4eb8ed32764e08b8cbc00252385fa4 Date: Wed, 11 Mar 2026 06:07:50 GMT ContentType: application/json; charsetutf8 ContentLength: 1326 Connection:keepalive Server: HBlock { "data": { "status": "Processing", "progress": "Server info:nhblock1, 192.168.0.65, songt0004nhblock2, 192.168.0.64, k8smasternhblock3, 192.168.0.67, songt0006nn20260311 14:04:45 CST+0800 [Step 1/5] Checking for system status...n20260311 14:04:45 CST+0800 Checking system infon20260311 14:04:46 CST+0800 Checking data statusnn20260311 14:04:46 CST+0800 [Step 2/5] Uploading update files...nr20260311 14:04:49 CST+0800 Upload [100%] for hblock1

本文介绍OpenClaw(原 Clawdbot)安装Skill 技能操作指南。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw 安装Skill技能操作指南内容。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw 的 Skill 技能是平台拓展专属能力的模块，通过安装 Skill 可实现定制化的业务需求与功能拓展。天翼云应用托管环境下的 OpenClaw 支持三种 Skill 安装方式，可分别实现技能商店技能快速安装、控制台手动安装及自定义开发 Skill 部署，以下为详细操作步骤。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

本节主要介绍安全组的组成、产品优势、应用场景和使用限制。 安全组概述 安全组用于虚拟机的出入流量的访问控制，其由一系列的安全组规则组成，是云上网络安全防护的主要方式。安全组通过设置的规则实现具体的访问控制，当虚拟机实例或者网卡加入到对应安全组后，即受到这些规则的保护。安全组具备有状态的特性，即数据包在入方向是被允许的，则对应此连接在出方向也自动被允许，反之亦然。 根据业务的访问控制需求，可以创建自定义安全组，也可以在默认安全组中添加或者删除安全组规则来调整安全访问策略。 每个虚拟机实例或者网卡至少加入一个安全组，可以同时加入多个安全组。 默认安全组 系统默认为用户创建的安全组，不同安全组规则不同，具体规则可进入安全组详情页查看。 安全组规则 安全组规则由源/目的IP、协议、端口、策略（允许或者拒绝）和优先级组成，其包括入方向和出方向的规则。 应用场景 根据业务的安全访问控制需求，为不同的应用使用不同的安全组，确保应用之间的安全隔离。 针对公网和混合云方向做安全隔离，使对应的虚拟机只对外暴露相关的服务协议和端口，防止额外的端口暴露，确保应用安全。 产品优势 灵活配置：安全组可基于业务需求实时调整对应的安全规则。 访问隔离：通过不同的安全组设置，实现了不同虚拟机之间的访问控制隔离。

本小节介绍证书管理服务证书审核类常见问题。 证书签发失败有哪些常见原因？ 1.当前域名存在 CAA 解析记录 问题现象： 域名管理员设置了CAA解析记录来授权指定的CA机构为其颁发SSL证书，CA机构在颁发SSL证书时会检测域名CAA记录，如果发现未获得授权，将拒绝为该域名颁发SSL证书。 解决办法： 域名管理员前往域名解析平台将CAA解析记录删除或将证书CA机构名称加入CAA解析记录，操作完成后等待CA重新验证。 2.文件验证，域名站点未支持境外访问 问题现象： 申请证书对应的域名的网站限制海外访问，由于国际证书的CA审核机构基本是海外机构，CA机构无法进行文件验证扫描审核，导致证书签发失败。 解决办法： 请确保Web网站端口号设置为80或443，所有地区均能匹配到验证值。如应用服务器限制境外访问，需要将CA机构的IP加入访问白名单，证书颁发完成或域名信息审核通过后，即可还原访问策略以及删除验证文件。 3.证书申请涉及高风险，已进行人工复核 问题现象： 您申请的证书未通过证书的签发机构风控系统检测，可能原因：绑定的域名疑似涉及行业品牌、行业商标、违禁词等风控敏感词。所以该证书进入人工复审阶段。 解决办法： 耐心等待人工复审结果，如未审核通过，可更换域名重新申请。如无法更换域名可选购企业型（OV）、增强型（EV）证书，OV/EV证书会进行企业信息审核，审核通过后即可正常签发证书。

本节主要介绍如何使用API删除向智维平台推送告警的配置。 此操作用来删除向智维平台推送告警的配置。 请求语法 plaintext DELETE /rest/v1/system/config/ctyuncms HTTP/1.1 Date: date ContentType: application/json; charsetutf8 ContentLength: length Host: ip:port Authorization: authorization { "url":url, "labels": [ "key1", "key2", "key3", ... ] } 请求参数 参数 类型 描述 是否必须 url String 智维平台第三方告警的推送地址。 是 labels Array of string 指定要删除的标签信息。 注意 idc和mid不能删除。 说明 如果未指定，说明删除指定智维平台的所有推送告警配置信息。 取值："key"。 否 请求示例1 删除智维平台 plaintext DELETE /rest/v1/system/config/ctyuncms HTTP/1.1 Date: Mon, 27 May 2024 01:50:30 GMT ContentType: application/json; charsetutf8 Authorization: HBlock userName:signature ContentLength: 122 Host: 192.168.0.110:1443 { "url": " "labels": [ "oos", "ctyun" ] } 响应示例1 plaintext HTTP/1.1 200 OK xhblockrequestid: 7751e86299ef429494747eaad551b2ed Connection: keepalive Date: Mon, 27 May 2024 01:50:30 GMT Server: HBlock 请求示例2 删除智维平台 plaintext DELETE /rest/v1/system/config/ctyuncms HTTP/1.1 Date: Mon, 27 May 2024 01:58:10 GMT ContentType: application/json; charsetutf8 Authorization: HBlock userName:signature ContentLength: 63 Host: 192.168.0.110:1443 { "url": " }