针对已购买的云下一代防火墙产品的用户，是否支持功能扩展/模块扩展？ 支持用户对已购买的云下一代防火墙产品进行功能扩展或模块扩展，以满足不断变化的业务需求。以下是相关的详细信息和操作指南： 功能扩展： 如果您发现当前已购买的防火墙功能无法满足新的业务需求，您可以考虑功能扩展。这意味着您可以按需购买并激活额外的功能，以增强防火墙的能力。 购买流程： 功能或模块的扩展通常需要您联系客户经理或通过在线平台进行购买。客户经理将为您提供相关的报价和购买流程，确保您得到最合适的扩展方案。 定制化配置： 在购买功能或模块扩展时，我们建议您仔细评估业务需求，并与销售团队一起讨论最佳的定制化配置。这有助于确保您购买的扩展项与您的业务目标更好地契合。 影响面：在进行功能或模块扩展时，需要注意可能的影响面，例如网络拓扑的变化、性能调整等。我们建议在扩展前仔细规划，并可能在非业务高峰期执行扩展操作，以减少对正常业务的影响。 云墙VPN功能是否可以免费使用？ 云墙VPN功能支持免费使用。这是云墙的基础功能模块之一，为用户提供安全、可靠的虚拟专用网络连接。以下是相关功能详细信息： 基础功能模块： 云墙VPN功能是云下一代防火墙的基础功能之一，旨在为用户提供安全的远程访问和站点到站点的连接服务。 IPSEC VPN链路： 根据不同的版本，IPSEC VPN支持的链路条数可能有所不同。用户可以根据业务需求选择适当的版本。 SSL VPN账号限制： 默认情况下，SSL VPN支持最多5个账号同时在线。如果您的业务需要更多同时在线账号，您可以联系天翼云客服进行进一步的咨询和配置。 扩展服务： 如果您的业务需求超出了免费版本所提供的功能，我们提供了更高级的版本和扩展服务，以满足不同用户的需求。您可以与天翼云客服联系，了解更多关于高级版本和扩展服务的信息。

扩展服务订购规则 扩展服务需在已订购套餐的前提下开通，不可单独购买。 扩展服务的订购时长不得超过套餐有效期。 若基础套餐中途退订，扩展服务将同步终止使用并退费。 资源包订购规则 资源包需在已订购套餐的前提下开通，不可单独购买。 若基础套餐中途退订，资源包将同步终止使用。 计费项 基础套餐（必选） 花卷慧办提供基础版 、高级版 、企业版 及旗舰版四种套餐，满足不同规模与场景下的线上办公需求： 基础版：适合微型企业，建议订购账号5～49个账号数，每账号具备40人云上会议室；企业可同时最多召开两个能容纳100人的会议，总存储空间500GB；AI功能额度300个。 高级版：适合小型企业，建议订购账号50~399个账号数，每账号具备100人云上会议室；企业可同时最多召开两个能容纳500人的会议，总存储空间1TB；AI功能额度600个。 企业版：适合中大型企业，建议订购账号400~1999个账号数，每账号具备500人云上会议室；企业可同时最多召开两个能容纳2000人的会议，总存储空间2TB；AI功能额度800个。 旗舰版：适合中大型企业，有连接、保护、办公一体化需求的，每账号具备2000人云上会议室，总存储空间5TB；AI功能额度1000个。

2、目标库用户权限检查 失败原因 处理建议 目标库迁移账号缺少sysadmin角色权限。 连接到SQLServer目标数据库，使用超级用户或具有适当权限的用户执行以下命令，将角色权限授予给目标用户： 授予sysadmin角色权限语句参考： EXECUTE sys.spaddsrvrolemember @loginame N'username',@rolename N'sysadmin'; 数据库版本检查 1、SQLServer版本检查 失败原因 处理建议 源库的版本号不符合要求，当前版本低于SQL Server 2014。 目标库的版本号不符合要求，当前版本低于SQL Server 2014。 源库和目标库的版本大小不符合要求，当前源库的大版本号大于目标库的大版本号。 请确保源库和目标库的SQL Server版本在要求范围内,且目标库版本不小于源库版本。 网络情况检查 1、源库连通性检查 失败原因 处理建议 源数据库账号或密码不正确。 输入正确的数据库账号和密码后重新执行预检查。 源数据库所在网络或服务器设置了防火墙。 查看数据库所在的网络防火墙是否限制了DTS的IP地址段，如果有，关闭防火墙或者将DTS的IP地址加入防火墙白名单中。 源库迁移账号登录权限不足。 登录源库，为迁移账号添加相应的远程访问权限。 网络互通问题。 联系数据库所在机器管理人员和DTS部署机器管理人员排查问题。 数据库对象检查

开启binlog 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 选中要开启binlog的实例，单击实例名称，进入实例详情界面。 步骤 5 在实例详情界面，单击参数修改，跳转到参数组界面。 步骤 6 搜索logbin参数，在值列下拉框中选择“ON”，单击保存。 步骤 7 对实例进行重启操作，打开binlog。 查看binlog文件 步骤 1 连接数据库实例。 步骤 2 执行以下show binlog命令可以直接读取binlog日志。 SHOW BINLOG EVENTS [IN ' logname '] [FROM pos ] [LIMIT [ offset ,] rowcount ] ; 说明 如果提示帐号权限不足，请使用root帐号登录查询。 开启binlog对TaurusDB的性能影响 性能损耗和业务压力强相关，开启Binlog不会影响查询（SELECT）性能，只会影响写入更新（如INSERT、UPDATE、DELETE等）性能。 说明 TaurusDB服务的binlog和开源的MySQLbinlog两者从使用方法上来说无明显差异，TaurusDB服务的binlog完全兼容开源MySQL的binlog相关语法。 如何修改binlog保留时长 TaurusDB兼容社区8.0版本的binlogexpirelogsseconds参数，使用binlogexpirelogsseconds参数设置binlog保留时长。

本节介绍如何为服务器安装/卸载服务器安全卫士Agent。 服务器安全卫士Agent是安装在云主机上的一款应用软件，用于检测云主机中存在的安全风险。 安装Agent后，才能使用服务器安全卫士的防护能力，包括资产管理、风险管理、入侵检测、网页防篡改等。 如果不安装Agent，将无法对云主机进行安全检测。 使用限制 目前支持安装Agent的操作系统请参见支持的操作系统。 注意 如果您的服务器操作系统不在支持范围内，安装Agent后可能存在兼容性问题，无法保证能正常使用服务器安全卫士（原生版）的防护能力。 如果您的服务器上已安装第三方安全软件，可能会导致服务器安全卫士的Agent无法正常安装和升级 ，建议您先关闭或卸载安全软件后再安装Agent。 安装Agent 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. 点击“安装Agent”，弹出安装Agent窗口，按需选择Linux和Windows系统的安装命令。 Linux主机安装Agent 1. 选择Linux系统，复制安装命令。 2. 在Linux云主机中以管理员权限执行安装命令进行安装。 说明 手动安装Agent后，等待5分钟左右会自动连接，请耐心等待（无需重启服务器）。

通过控制台设置 步骤 1 参照创建无状态负载(Deployment)或创建有状态负载(StatefulSet)，在“高级设置”的“调度策略”下，单击“工作负载间的亲和性 > 与工作负载的亲和性”下的“添加”。 步骤 2 勾选希望部署到相同节点的工作负载，单击“确定”。 当前创建的工作负载会和已勾选的工作负载部署在相同节点上。 通过kubectl命令行设置 本节以nginx为例，说明kubectl命令创建工作负载的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 参见通过kubectl命令行创建无状态工作负载.docx section155246177178 " ")或通过kubectl命令行创建有状态工作负载.docx section113441881214 " ")，工作负载间亲和性的yaml示例如下： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginx imagePullPolicy: Always name: nginx imagePullSecrets: name: defaultsecret affinity: podAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: app

本文为您介绍如何通过注解实现ECI Pod环境变量获取元Pod IP和 EIP IP。 操作步骤 1. 打开云容器引擎集群控制台，点击集群名称。 2. 选择工作负载菜单，点击无状态，进入无状态列表页。 3. 点击“新增YAML”按钮。 4. 为Pod 添加注解，以Deployment 为例： plaintext k8s.ctyun.cn/eciwitheip: "true" 可选，设置则自动分配 EIP k8s.ctyun.cn/eipbandwidth: "5" 可选，单位 Mbps，默认 5Mbps deployment 完整模板，其中环境变量设置如下，获取Pod IP和EIP IP： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/eciwitheip: "true" k8s.ctyun.cn/eipbandwidth: "5" labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 env: name: PODIP valueFrom: fieldRef: fieldPath: status.podIP name: PODEIP valueFrom: fieldRef: fieldPath: "metadata.annotations['k8s.ctyun.cn/allocatedeipAddress']" nodeName: vndc2hq918w25w2vqracnhuadong1jsnj3apublicctcloud 注意 通过yaml 创建，此处需要指定节点为 vnode： shell nodeName: "vndc2hq918w25w2vqracnhuadong1jsnj3apublicctcloud" 5. 创建完成在ECI 控制台，找到对应的ECI Pod，进入详情页面，选择远程连接页签，可以看到环境变量已生效。 6.

本小节介绍证书管理服务术语解释。 SSL证书 SSL证书是一种数字证书，用于在互联网上建立安全通信连接。SSL代表安全套接层（Secure Sockets Layer），它在客户端和服务器之间创建加密通道，确保敏感数据在传输过程中不会被未经授权的第三方截获或篡改。 签发（CA）机构 签发机构（Certificate Authority，CA）是一种可信的第三方机构，负责验证和签发数字证书。CA在互联网通信中发挥重要作用，确保通信的安全性和可靠性。 证书有效期 证书有效期指的是数字证书的有效时间范围，即从SSL证书的颁发日期到过期日期之间的时间段。在这段有效期内，SSL证书被认为是可信和有效的。 HTTPS加密协议 HTTPS（Hypertext Transfer Protocol Secure）是一种通过加密和身份验证来保护数据传输安全的网络通信协议。它是基于HTTP协议的安全版本，通过使用SSL（Secure Sockets Layer）或TLS（Transport Layer Security）协议来实现通信的加密和认证。 域名类型 证书域名类型分为单域名证书、通配符证书（泛域名证书）和多域名证书，不同域名类型的证书对应了它们适用的域名范围： 单域名证书适用于单个特定域名，例如：ctyun.cn。 通配符证书（泛域名证书）适用于一个主域名及其所有的子域名。 多域名证书可适用于多个相似域名，例如：ctyun.cn、ctyun.com、ctyun.com.cn、.ctyun.cn。

子网间是否可以通信？ 子网是属于VPC的资源，一个VPC内的子网默认可以进行通信，不同VPC的子网默认不能进行通信，可以通过创建对等连接使不同VPC的子网通信。 说明： 若子网关联了网络ACL，需先放通网络ACL。 子网可以使用的网段是什么？ 子网的网段要在VPC的网段内部，VPC提供三段私网网段，10.0.0.0/8～24、172.16.0.0/12～24和192.168.0.0/16～24，子网的网段须在这些范围内，且子网的掩码范围为子网所在VPC掩码~29。 子网被相关资源占用时，会导致无法删除子网，如何排查相关资源？ 虚拟私有云允许您创建私有、隔离的虚拟网络环境。在虚拟私有云中，可以对私有IP地址范围、子网和网络网关等进行控制。弹性云服务器、裸金属服务器、数据库和部分应用等会在虚拟私有云中创建的安全网络。 子网被相关资源使用时，无法删除子网。 您可以通过控制台首页查看帐户下所有资源，根据子网信息排查各资源是否在待删除的子网中。先删除子网中的全部资源，再删除子网。 可参考以下常用的资源实例进行排查，具体请以帐户下资源为准。 弹性云服务器 裸金属服务器 RDS实例 弹性负载均衡器 VPN 私有IP地址 自定义路由 NAT网关 终端节点与终端节点服务

本节介绍iBox边缘盒子产品在加油站的应用实践。 客户场景 针对加油站，对客户的传统摄像头进行智能化升级。通过设备连接、可视化探索分析、高性能算法推理，可以实时分析视频内容，自动探测异常信息，主动进行风险防控。 iBox边缘盒子快速开通入门 参考iBox边缘盒子（标准版） 卸油作业记录统计 卸油合规算法支持区分每次卸油作业的开始及结束时间，按每次作业分析合规及违规情况，支持统计自定义时间范围内的卸油次数以及合规率。 卸油作业全流程19项合规检测 卸油作业专项抓拍 针对每个检测项实时抓拍违规或合规画面，并标注画面中检测目标。 目标区域绘制，适用更多相机角度 通过绘制目标分析区域，可有效避免各个加油站操作的差异。例如锥桶平时放在画面左侧，卸油时放在画面右侧；通过绘制区域即可避免卸油时检测到左侧锥桶导致误判为合规。

操作场景 本节指导您基于Linux操作系统环境完成镜像文件快速导入，推荐使用云平台的HCE云服务器作为转换镜像格式和生成位表文件的环境。 Linux操作系统环境下，建议使用qemuimgctc工具进行镜像格式转换。 前提条件 1. 已完成镜像文件优化，详细操作请参考优化私有镜像（Windows）或优化私有镜像（Linux）；同时需要确保镜像文件符合Linux 操作系统的镜像文件限制中的限制条件。 说明 请根据镜像文件的操作系统类型来选择所参考内容。 2. 已在管理控制台创建HCE操作系统的弹性云服务器，并确保云服务器已绑定弹性公网IP。 3. 已在管理控制台创建OBS桶。 操作步骤 1. 上传镜像文件至云服务器。 1. 本地主机为Linux系统： 通过scp命令将镜像文件上传至云服务器。以将“image01.qcow2”文件上传至云服务器的“/usr/”目录下为例。 scp /var/image01.qcow2 root@xxx.xxx.xx.xxx:/usr/ 其中，xxx.xxx.xx.xxx为云服务器的弹性公网IP。 2. 本地主机为Windows系统： 使用文件传输工具（例如WinSCP）将镜像文件上传至云服务器。 2. 获取镜像转换工具（qemuimgctc.rar）和位表文件生成工具（CreateMF.zip），并上传至云服务器，然后解压工具包。 3. 使用qemuimgctc工具转换镜像格式。 1. 进入qemuimgctc存放目录，以存放在“/usr/qemuimgctc”为例： cd /usr/qemuimgctc 2. 执行以下命令修改权限： chmod +x qemuimgctc 3. 执行qemuimgctc命令将镜像文件转为zvhd2或raw格式（推荐转为zvhd2格式）。 qemuimgctc命令格式： ./qemuimgctc convert p O {目标镜像格式} {待转换镜像文件} {目标镜像文件} 以将“image01.qcow2”格式文件转换成“image01.zvhd2”格式为例： ./qemuimgctc convert p O zvhd2 image01.qcow2 image01.zvhd2 若转换后为zvhd2格式文件，请执行步骤5。 若转换后为raw格式文件，请使用CreateMF.jar工具，生成raw格式镜像文件的位表文件。请执行步骤4。 4. 使用CreateMF.jar工具生成位表文件。 1. 请确保当前云服务器已安装jdk。 执行以下命令查看是否已安装jdk： source /etc/profile java version 如果回显信息中显示java版本信息，证明当前云服务器已安装jdk。 2. 执行以下命令进入CreateMF.jar程序所在的目录。 cd /usr/CreateMF 3. 执行以下命令生成位表文件。 java jar CreateMF.jar /原raw文件路径 /生成的mf文件路径 例如： java jar CreateMF.jar image01.raw image01.mf 5. 使用s3cmd工具上传文件至OBS桶。 1. 安装s3cmd工具。 若云服务器已安装该工具可跳过此步骤，直接按照步骤b配置s3cmd： 1. 执行以下命令，安装setuptools。 yum install pythonsetuptools 2. 执行以下命令，安装wget。 yum install wget 3. 执行以下命令，获取s3cmd软件包。 wget mv master.zip s3cmdmaster.zip 4. 执行以下命令，安装s3cmd。 unzip s3cmdmaster.zip cd s3cmdmaster python setup.py install 2. 配置s3cmd工具。 执行以下命令配置s3cmd工具。 s3cmd configure Access Key: 输入AK Secret Key: 输入SK Default Region: 输入所在Region S3 Endpoint: 可参考OBS的Endpoint DNSstyle bucket+hostname:port template for accessing a bucket: 输入带桶名的Server地址，例如mybucket.obs.myclouds.com Encryption password: 不填，直接按回车 Path to GPG program: 不填，直接按回车 Use HTTPS protocol: 是否使用HTTPS，Yes/No HTTP Proxy server name: 代理地址，连接云平台需要连外网（如不需要直接回车） HTTP Proxy server port: 代理端口，连接云平台需要连外网（如不需要直接回车） Test access with supplied credentials? y （如果显示：Success. Your access key and secret key worked fine :) 则表示连接成功） Save settings? y（是否保存配置） 说明 配置完成后，信息会保存在用户目录下“/root/.s3cfg”，如果还想修改，可以重新执行s3cmd configure命令，或者直接编辑.s3cfg文件（执行vi .s3cfg命令进行编辑）。 3. 使用s3cmd命令上传zvhd2格式镜像文件到OBS桶，或者上传raw格式镜像文件及其位表文件到OBS桶。 s3cmd put image01.zvhd2 s3://mybucket/ 注意 .mf位表文件必须和其对应的raw格式镜像文件在同一个OBS桶中。 6. 注册私有镜像。 您可以通过控制台方式、API接口方式，将转换后的zvhd2或raw文件注册为私有镜像。 方法一：通过控制台创建私有镜像 1. 登录IMS控制台。 1. 登录管理控制台。 2. 选择“计算 > 镜像服务”。 进入镜像服务页面。 2. 单击右上角的“创建私有镜像”。 3. 在“创建方式”区域，选择镜像的创建方式为“导入私有镜像”。 4. 在“镜像类型”区域，选择镜像类型为“系统盘镜像”或“数据盘镜像”。 5. 在“选择镜像文件”区域，从列表中选择存放转换后zvhd2或raw格式镜像文件的桶，再选择转换后的镜像文件。如果是raw格式镜像文件，需要确保同名位表文件已上传。 6. 勾选快速通道栏的“开启快速通道”，并确认已优化镜像文件，然后勾选“镜像文件准备”栏的内容。 7. 根据界面提示填写配置信息。 具体的配置参数说明，请参见通过外部镜像文件创建Linux系统盘镜像。 注意 操作系统必须要和镜像文件所含的操作系统一致。 系统盘大小必须大于镜像文件的大小。 通过qemuimgctc工具可查询镜像文件大小：qemuimgctc info test.zvhd2 方法二：通过API方式创建私有镜像 您可以通过接口POST /v2/cloudimages/quickimport/action，实现镜像文件快速导入功能。

本文介绍Job类型任务如何采集日志。 在Serverless集群运行Job任务，无法通过DaemonSet采集日志，且Job Pod在任务结束后会立即退出，可能导致日志未能完整收集。为确保这类场景下日志的完整性，您可以将Job任务的输出日志存储到挂载的NAS盘，然后通过一个独立的日志采集Pod从该NAS盘读取日志并发送到日志系统。本文将为您介绍如何针对Job类型任务场景采集日志到日志系统。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 已开通天翼云弹性文件或对象存储服务。 确保kubectl工具已经连接目标集群。 操作步骤 步骤一：通过kubectl客户端创建job.yaml 1. 创建一个计算π值Job任务，并挂载NAS盘， Job参考YAML配置如下： Plain apiVersion: batch/v1 kind: Job metadata: name: pilog spec: template: spec: containers: name: pi image: user1registryhuadong1.crsinternal.ctyun.cn/library/perl:latest command: ["/bin/sh", "c", "perl Mbignumbpi wle 'print bpi(1000)' > /eci/a.log 2>&1"] 运行输出结果重定向到指定文件 resources: limits: cpu: "1" memory: 2Gi volumeMounts: name: pvcnas mountPath: /eci readOnly: false restartPolicy: Never volumes: name: pvcnas persistentVolumeClaim: claimName: pvcstaticnas backoffLimit: 4 2. 创建Job任务。 Plain kubectl apply f job.yaml 3. 查看Pod状态。 Bash kubectl get pod

本页介绍天翼云TeleDB数据库的事务控制方法。 1. 开始一个事务。 teledb begin; BEGIN 或者 teledb begin TRANSACTION ; BEGIN 也可以定义事务的级别。 teledb begin transaction isolation level read committed ; BEGIN 2. 提交事务 会话1访问 teledb begin; BEGIN teledb delete from bills where id 11; DELETE 1 teledb select from bills; id goodsdesc beginunit begincity pubtime amount +++++ 1 衣服 海南省 三亚市 20151005 09:32:01 3714.15 2 建筑设备 福建省 三明市 20151005 07:21:22 8195.98 5 5 0铲车，后八轮翻斗车 河南省 三门峡市 20151005 07:53:13 6252.91 6 鲜香菇2000斤 河南省 三门峡市 20151005 10:38:29 1828.83 8 旋挖附件35吨 河南省 三门峡市 20151005 10:48:38 9885.95 9 旋挖附件39吨 河南省 三门峡市 20151005 11:38:38 4971.79 3 设备 福建省 三明市 20151005 11:21:54 6351.44 4 普货 福建省 三明市 20151005 15:19:17 7626.41 7 旋挖附件38吨 河南省 三门峡市 20151005 10:48:38 9376.8 10 设备 上海市 上海市 20151005 07:59:35 1784.63 (10 rows) TeleDB也是完全支持ACID特性，没提交前开启另一个连接查询，你会看到是11条记录，这是TeleDB隔离性和多版本视图的实现，如下所示 会话2访问 teledb

OTP口令用户绑定指引 用户登录时，选择“其他登录方式AOneID”； 在浏览器中，输入账号+密码/扫码方式，进行用户身份认证； 身份认证成功后，弹窗勾选“始终允许.ctcdn.cn在关联的应用中打开此类连接”，并且点击“打开AOne.app”完成客户端登录； 在浏览器页面点击“前往个人中心”按钮； 在个人中心多因素认证页面，点击OTP口令按钮； 根据系统指引，完成OTP口令绑定相关操作： 1）使用OTP App或者小程序，通过扫码的方式，绑定账号OTP口令； 2）输入OTP App生成的OTP口令进行校验。

Android 发布版本 发布时间 版本描述 2.11.1 20260512 使用体验优化，修复已知的缺陷问题。 2.10.2 20260403 滑动验证码，自动连接等用户体验优化，其他安全和缺陷问题修复。 2.8.1 20260105 内置浏览器使用优化、支持优选接入、可设置无流量自动关闭VPN，节省耗电，其他安全和缺陷问题修复。 2.7.0 20251028 支持钉钉、飞书认证源，认证源支持用户范围；传输协议优化，自定义网络模式。 2.6.1 20250925 全球加速引流增强，最近访问优化。 2.5.0 20250826 支持全球加速访问，UI改版优化，支持生物识别登录，支持移动端扫码客户端登录，支持诊断工具、设备授信、信滑动验证码。 2.1.0 20250409 支持超时注销登录配置。 2.0.2 20250310 登录逻辑优化，并新增deepseek功能。 2.0.1 20250207 全新UI更新， 体验优化。 1.14.2 20250117 内部的安全线上问题优化，解决并发数等一些缺陷，问题修复。 1.8.2 20241223 支持隐私协议撤回功能，第三方数据共享优化。 1.6.7 20240731 稳定性优化，问题修复。 1.4.0 20240530 补充定时刷新能力，问题修复。 1.3.0 20240511 支持账号、手机号、邮箱进行忘记密码，其他使用问题优化。 1.2.1 20240415 上下线能力补充、应用资源展示优化，问题修复。 1.2.0 20240329 首个版本发布。

概述应用服务网格支持多集群架构,在开通网格实例时选择的云容器引擎集群我们称为主集群(primary),服务网格的控制面会部署在主集群上,后续可以添加同资源池(可不同VPC)下的其他云容器引擎集群到网格 概述 应用服务网格支持多集群架构，在开通网格实例时选择的云容器引擎集群我们称为主集群（primary），服务网格的控制面会部署在主集群上，后续可以添加同资源池(可不同VPC)下的其他云容器引擎集群到网格内，我们称为从集群（remote），整体架构如下图： 添加集群 选择集群与工作负载 > 容器集群菜单，可以看到当前网格内的集群列表； 在添加从集群之前，首先确定主集群控制面是否已经完成暴露（可以被从集群连接、使用），选择右侧查看集群状态选项，如果在开通网格之后超过半小时控制面服务暴露还未完成，请联系客服解决。 当前已经完成主集群控制面暴露，可以通过左上角的 添加从集群按钮添加同资源池内的其他集群。 删除集群 当前只支持删除从集群，选择 集群与工作负载 > 容器集群菜单，可以看到当前网格内的集群列表，在从集群右侧操作栏可以看到删除选项，点击删除即可。 多集群管理部署示例

创建集群并准备表数据 1. 参见创建专属集群章节创建集群。 2. 连接数据库后，以系统管理员dbadmin创建表name，并插入2条数据。 CREATE TABLE name (id int, name varchar(20)); INSERT INTO name VALUES (1,'joy'),(2,'lily'); 转换成逻辑集群lc1 须知： 转换期间，用户可执行增删改查等简单DML语句，执行数据库对象等复杂DDL语句会阻塞业务，请选择业务低峰窗口期进行。 1. 登录DWS管理控制台，在左导航栏选择“集群 > 专属集群”，单击指定集群名称进入“集群详情”页面。 2. 打开“逻辑集群开关”按钮。 3. 左导航栏选择“逻辑集群管理”进入逻辑集群页面。 4. 单击右上角“添加逻辑集群”，输入逻辑集群名称lc1，单击“确定”。 切换期间当前集群不可用，请耐心等待约2分钟（转换时间因业务数据量大小不同，有所差异），待逻辑集群页面出现lc1，表示转换成功。 添加逻辑集群 扩容节点到弹性集群elasticgroup中 1. 返回集群管理页面，在指定集群所在行操作列选择“更多 >节点变更> 扩容”。 2. 跳转至扩容页面，可选择扩容3个节点；选择扩容到逻辑集群，即“elasticgroup”。确认无误后，勾选“我已确认”，并单击“下一步：确认”。 3. 单击“提交”，并单击“确定”。请耐心等待约10分钟，扩容成功。

本文介绍全站加速的产品架构、节点分布、产品功能、使用限制、应用场景及了解更多。 全站加速（ICDN，Integrated Content Delivery Network），通过动静分离、多级缓存、智能路由、协议优化、链路优化等多项技术实现静态内容的就近交付及动态内容的快速回源，从而解决因网络拥堵、链路抖动、流量突增等因素导致的响应慢问题，显著提升源站性能。适用于纯动态加速、动静态一体化的站点加速、上传加速、websocket加速、IPv6升级等场景。 点击开通全站加速服务立即开通。 产品架构 全站加速产品架构如下图所示： 当客户接入天翼云全站加速服务后，全站加速可以智能分离动静态内容，静态内容通过多级缓存提升命中率，动态内容通过智能选路回源获取。 如果请求的是静态文件，则请求在边缘节点即获得缓存响应。若边缘节点没有缓存或缓存失效，则将请求转发回源，向源站发起对该资源的请求。 如果请求的是动态数据，则基于全网节点相互探测，选出实时最优路径响应给客户端，保证动态业务采用优质链路回源，避免公网拥塞、抖动对传输造成影响。同时可启用长连接复用，节省TCP三次握手时间，提升动态请求的传输速度。

移动办公、远程办公统一管控 针对企业移动办公、远程办公场景下常常被诟病的“性能慢、体验差”、“权限管理混乱、安全性差”“扩容慢、经常掉线”等问题，实现随时随地接入、就近接入，动态扩容，提升员工访问速度、稳定性，具有最小权限管控，动态行为持续评估能力，有效防社工钓鱼，限制风险范围。 高速、灵活、安全的网络接入 基于 AOne 优质的边缘网络资源和应用安全加速能力，为企业网络提供安全、高性能网络连接。 客户可以将任意位置的数据资源安全连接到边缘网络入口，通过高速通道、智能路由及安全防护技术，实现数据高速、稳定、安全的跨地域传输，帮助客户解决全球访问卡顿、延迟过高问题。 边缘节点可编程 随着互联网业务的发展，动态请求（例如搜索结果、个性化推荐等）的占比越来越大，这类多元化内容需要经过计算后再返回给用户。 AOne开发者平台提供边缘函数、边缘KV存储，当控制台上的标准配置无法满足您的业务需求时，可以尝试使用边缘函数快速编程实现。 通过JavaScript ES6标准语法和模板，积木式地组合出个性化的边缘定制配置。 在边缘节点进行计算，避免源站请求过载，从而减少源站并发和请求，使业务运行更加平滑，波动降低，同时还能降低带宽成本。 AOne开发者平台提供以下能力，帮助您个性化处理全球各地的请求： 全球部署，超低延迟 AOne开发者平台将计算从源站前置到边缘节点上，缩短物理链路耗时50%以上，就近处理客户端请求，显著降低客户端请求的响应时间，让用户获得低延迟的计算体验。 Serverless模式，高效易用 无需关注底层服务器资源，Serverless将自动分配足够的计算资源和存储资源。只需专注业务代码的开发，将业务代码发布至全球边缘节点即可完成应用部署，有效地降低开发成本。 弹性扩容 当一个区域的客户端请求数量突增时，快速启用就近的计算资源，自动完成扩容和调度。

本页介绍了RDSPostgreSQL的只读实例的功能特点、使用要求等。 RDSPostgreSQL支持只读实例。 在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法抵抗读取压力，甚至可能会对主业务产生影响。为了实现读取能力的弹性扩展，分担数据库压力，您可以在某个区域中创建一个或多个只读实例，利用只读实例满足大量的数据库读取需求，以此增加应用的吞吐量。您需要在应用程序中分别配置主实例和每个只读实例的连接地址，才能实现将写请求发往主实例而将读请求发往只读实例。 只读实例为单个物理节点的架构（没有从节点、备份节点），采用PostgreSQL原生的流复制功能，将主实例的更改同步到所有只读实例，而且主实例和只读实例之间的数据同步不受网络延时的影响。 功能特点 规格可以与主实例不一致，但需要大于等于主实例规格1/2，如主实例规格为8C16G，则只读实例规格至少4C8G，并支持规格扩容，便于弹性升级。 不需要维护帐号与数据库，全部通过主实例同步。 提供系统性能监控。RDSPostgreSQL提供了近20个系统性能的监控视图，如磁盘容量、IOPS、连接数、CPU利用率、网络流量等，用户可以轻松查看只读实例的负载情况。 使用要求 个数限制：1个主实例最多可以创建5个只读实例。 生命周期：RDSPostgreSQL的只读实例支持单独退订，但如果主实例退订，则对应的只读实例也会随之退订。 计费模式：仅支持按需计费。 备份设置：不支持备份设置以及临时备份。 实例恢复：不支持通过备份文件或任意时间点创建临时实例，不支持通过备份集覆盖实例。 数据迁移：不支持将数据迁移至只读实例。 数据库管理：不支持创建和删除数据库，只读实例的数据库与主实例保持一致。 账号管理：只读实例不提供创建帐号权限，如需增加只读实例帐号，请在主实例上操作。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，具体详见

本节主要介绍步骤二：设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1. 登录管理控制台。 步骤 2. 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3. 在左侧导航树选择“访问控制 > 安全组”。 步骤 4. 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5. 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6. 根据界面提示配置安全组规则。 步骤 7. 单击“确定”。

本章节会介绍如何设置安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的 入方向规则 。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的 入方向规则 。 说明 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

本文为AOne产品第三方组织相关功能的概览说明,旨在帮助企业用户快速了解第三方组织(含同步身份源、扩展认证源)的定义、核心组成、支持配置类型及核心优势,明确第三方组织在AOne身份管理体系中的作用与价值,为企业后续进行第三方组织配置、对接提供基础指引,降低用户理解与操作成本。 背景说明 随着企业数字化转型持续深化，身份管理场景日趋复杂，多数企业已部署 AD、企业微信、钉钉等各类第三方身份管理系统。为此，AOne 产品推出第三方组织能力，作为企业原有身份系统与 AOne 平台之间的核心桥梁，实现双方顺畅连接与统一管理。 第三方组织包含同步身份源 与扩展认证源两个核心模块，二者协同工作，分别承担身份数据同步与身份验证的核心职责，共同构建完整的第三方身份对接体系。 其核心优势： 轻量化对接：采用标准化配置流程，无需专业开发能力，企业可自主完成主流第三方系统的用户信息、组织架构等身份数据对接，有效降低部署成本。 数据同源：通过同步身份源保障 AOne 平台与企业原有系统身份数据一致，避免数据不一致与多头维护，提升身份管理效率。 安全便捷：依托扩展认证源复用企业现有身份凭证，实现统一认证与单点登录，在提升用户体验的同时保障身份安全。 灵活适配：支持主流第三方系统标准化对接，同时可提供定制化对接服务，能够适配不同规模、不同行业企业的身份管理需求。

本文简述边缘安全加速节点无需部署私钥的情况下如何加速HTTPS业务,适用场景、注意事项等。 功能介绍 通常情况下，HTTPS协议的域名，如果需要在边缘安全加速平台配置加速服务，需要将HTTPS公钥和私钥部署到边缘安全加速平台。使用HTTPS无私钥驻留加速方案后，您只需要将公钥部署到边缘安全加速平台，私钥可以由源站唯一保有，即可实现HTTPS业务的加速。 HTTPS无私钥驻留加速方案原理如上图，具体过程如下： 1A: 客户端发起https请求，与边缘加速节点进行ssl握手，边缘加速节点将相应的SSL证书公钥传送给客户端，客户端使用公钥加密客户端生成的随机密码后发往边缘加速节点。 1B: 边缘加速节点与源站的私钥服务器建连，通过双方约定的加密方式将客户端发来的公钥加密的随机密码发往源站的私钥服务器，私钥服务器使用私钥解密获取随机密码，然后再将随机密码通过双方约定的加密方式返回给边缘安全加速节点，边缘加速节点解密后获取随机密码。 2A: 边缘加速节点与客户端双方都拥有随机密码后，即可以正常通信发送加密数据了。 2B: 边缘加速节点回源请求，与源站真实服务器建立https连接获取源站内容。

本节介绍Computer Use 在AIuse 云电脑面向 Agent 和自动化系统提供的图形用户界面操作能力。 Computer Use 是 AIuse 云电脑面向 Agent 和自动化系统提供的图形用户界面操作能力。调用方可以通过 SDK 或 MCP 对云电脑执行鼠标、键盘、截图等操作，使 Agent 能够像用户一样观察和操作桌面环境。 能力概述 Computer Use 当前重点覆盖以下能力： 能力 说明 鼠标控制 支持移动、点击、双击、右键、按下、释放、拖拽和滚动 键盘控制 支持按键、组合键和文本输入 屏幕观察 支持截取当前桌面屏幕，用于 Agent 观察界面状态 坐标获取 支持获取当前鼠标位置 等待控制 支持在自动化流程中等待页面或应用响应 工作方式 Computer Use 的典型工作流程如下： 1. 调用方创建连接或会话。 2. 调用截图能力获取当前桌面画面。 3. Agent 或业务逻辑根据界面状态生成下一步操作。 4. 调用鼠标或键盘工具执行操作。 5. 重复观察、决策和执行，直到任务结束。 6. 关闭会话并释放资源。 适用场景 Computer Use 适用于以下场景： 需要操作传统桌面软件，但软件本身不提供开放 API。 需要让 Agent 通过图形界面完成表单填写、信息录入、批量查询等任务。 需要在云端隔离环境中执行桌面自动化。 需要对浏览器、办公软件、业务系统客户端等 GUI 程序进行自动化操作。 需要结合截图能力进行视觉观察和步骤决策。

本节介绍Computer Use 在AIuse 云电脑面向 Agent 和自动化系统提供的图形用户界面操作能力。 Computer Use 是 AIuse 云电脑面向 Agent 和自动化系统提供的图形用户界面操作能力。调用方可以通过 SDK 或 MCP 对云电脑执行鼠标、键盘、截图等操作，使 Agent 能够像用户一样观察和操作桌面环境。 能力概述 Computer Use 当前重点覆盖以下能力： 能力 说明 鼠标控制 支持移动、点击、双击、右键、按下、释放、拖拽和滚动 键盘控制 支持按键、组合键和文本输入 屏幕观察 支持截取当前桌面屏幕，用于 Agent 观察界面状态 坐标获取 支持获取当前鼠标位置 等待控制 支持在自动化流程中等待页面或应用响应 工作方式 Computer Use 的典型工作流程如下： 1. 调用方创建连接或会话。 2. 调用截图能力获取当前桌面画面。 3. Agent 或业务逻辑根据界面状态生成下一步操作。 4. 调用鼠标或键盘工具执行操作。 5. 重复观察、决策和执行，直到任务结束。 6. 关闭会话并释放资源。 适用场景 Computer Use 适用于以下场景： 需要操作传统桌面软件，但软件本身不提供开放 API。 需要让 Agent 通过图形界面完成表单填写、信息录入、批量查询等任务。 需要在云端隔离环境中执行桌面自动化。 需要对浏览器、办公软件、业务系统客户端等 GUI 程序进行自动化操作。 需要结合截图能力进行视觉观察和步骤决策。

本节主要介绍结束迁移任务 业务系统和数据库切换至目标数据库后，可选择结束迁移任务。对于需要恢复目标数据库或停止迁移的任务，您可选择结束任务，避免源数据库的操作继续同步到目标数据库，造成数据覆盖问题。 如下状态下的任务可以结束迁移： 创建中 配置 等待启动 全量迁移 全量迁移失败 增量迁移 增量迁移失败 已暂停 故障恢复 注意 建议您先结束任务，再做断开源库与迁移实例的网络等其他操作，避免产生无法连接源库的告警。 对于“配置”状态的任务，配置失败的任务无法结束。 对于“故障恢复”状态的任务，正在进行故障恢复的任务无法结束。 任务结束后无法重试。 前提条件 已登录数据复制服务控制台。 迁移任务未结束。 结束任务 步骤 1 在“实时迁移管理”页面的迁移列表中，选择要结束的迁移任务，单击操作列“结束”。 步骤 2 在弹出框中单击“确定”，提交结束任务。 说明 一般情况下，结束任务功能可以确保特殊对象迁移的完整性（触发器、事件会在结束任务阶段迁移）。 当任务状态异常时（例如任务失败、网络异常），DRS会勾选“强制结束任务”优先结束任务，减少等待时间。 “强制结束任务”会直接释放DRS资源，不会进行触发器、事件的迁移，请手工迁移触发器、事件。 如果需要DRS进行触发器、事件迁移，请先修复DRS任务，待任务状态正常后，再单击“结束”，正常结束任务。

本节介绍了子账号授权的用户指南。 本节介绍了子账号授权的用户指南，包括授权概述、IAM授权指引、RBAC授权指引。 授权概述 云容器引擎的授权体系包括管控基础云资源和OpenAPI接口的IAM权限体系以及管控K8s资源的RBAC权限体系，可以根据子账号需要访问的资源类型进行授权。 IAM权限控制 IAM权限控制：用户是否可以操作云资源以及OpenAPI接口的权限，具体场景包括： 控制台操作：访问云容器引擎控制台，通过控制台菜单和按钮操作集群。 OpenAPI操作：通过云容器引擎提供的OpenAPI接口（OpenAPI使用可参考 API参考 章节）操作集群。 RBAC权限控制 RBAC权限控制用户是否可以操作K8s集群中的某类资源（如节点、命名空间、工作负载、服务、路由等），具体场景包括： 通过云容器引擎控制台操作K8s资源（如新增或删除一个工作负载、查看节点情况等）。 使用kubeconfig连接到集群，通过kubectl操作K8s资源。 一般来说，通过云容器引擎控制台或OpenAPI操作集群会同时受到IAM权限及RBAC权限的管控，因此需要为子账号同时授予IAM权限及RBAC权限；而通过kubeconfig方式操作集群只会受到RBAC权限的管控，因此只需为子账号授予RBAC权限；需要注意的是，有部分控制台操作不会涉及到集群资源的操作（如查看监控、日志等），那么就只需为子账号授予IAM权限。 IAM授权指引

1、准备好资源、环境与应用 1.1、资源开通 应用容灾多活是构建在已有应用之上的管控，协同其他云产品，但不负责其他云产品的生命周期，需要您提前规划与创建。 您可以根据规划的物理架构，在指定区域或可用区提前开通与创建应用部署所需的资源与服务，例如虚拟私有云VPC 、微服务云应用平台MSAP 和弹性云主机ECS等。 1.2、网络互通 数据双活架构可能存在跨数据中心调用的场景，需要您提前打通两个数据中心之间的网络。 您可以根据选定的物理架构，选择合适粒度的网络连通方案，例如连通两个区域的云间高速 产品和连通两个VPC的对等连接产品等。 1.3、应用准备 在这个示例中，对应用的部署方式没有强制要求，可以开通弹性云主机ECS实例 自行部署应用服务，也可以开通微服务云应用平台MSAP 进行应用部署管理，本示例使用微服务云应用平台MSAP 。 还需要您开通： 关系型数据库MySQL版 实例，并结合数据传输服务DTS进行业务数据跨中心同步。 微服务引擎注册配置中心用于注册中心和管控通道。 微服务引擎云原生网关用于前端服务转发。 本示例将以上应用进行单元化改造，改造后云上部署架构如下。 图 部署架构

本节介绍Web应用防火墙高可用部署方案。 部署方案 切换实现逻辑 WAF设备间的高可用以平台能力虚拟IP来实现，平台虚拟IP绑定多网卡时会自动轮询，将流量自动转发至对应网卡，若虚拟IP所绑定的其中一张网卡down掉，则会自动转发至存活网卡。 网络要求 WAF拉起时使用的子网需避免与客户业务网络处于同一子网，建议新起一段管理子网专用于WAF管理，作为单点跳转使用；新建网卡所在子网需与客户业务子网互通。 装好WAF镜像后，单台需要新增1张网卡，作为业务反代网卡，结合初始拉起镜像时自带的主网卡作为M口管理，单台设备共计需要2张网卡。 在虚拟云网络中至少申请1个虚IP作为两设备间的两两网卡绑定的虚拟切换地址。 前提条件 已完成主备WAF的部署，收集WAF防护云服务器的一些信息；服务器站点以及端口和对应的主机的地址。 部署前检查控制台环境。 1. 确保用户服务器站点没过WAF设备前，是能正常访问的。 2. 确保WAF与客户业务是否处于同一VPC （与客户业务处在不同VPC得做对等连接）。 3. WAF设备和服务器安全组是否做了限制。 注意 安全组配置：请确保防火墙VRRP所绑定网卡处于同一安全组，且将VRRP报文通报端口置于放通状态。

本文将向您介绍如何删除终端节点服务,以便您根据实际需求进行操作。 操作场景 当您的业务需求发生变化，需要重新配置或不再需要特定终端节点服务时，可以考虑将其删除。 注意事项 终端节点服务删除后无法恢复，在删除之前，请确保没有依赖该服务的其他资源，并备份必要的数据以防止数据丢失。 约束及限制 您只能删除由用户私有服务创建的终端节点服务，无权删除系统配置的终端节点服务。 当终端节点服务含有存在状态为“已连接”状态的终端节点时，无法直接删除，需先删除对应的终端节点。终端节点服务下终端节点的状态详情请参考终端节点有哪些状态。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“网络>VPC终端节点”，进入“终端节点”页面。 4. 在左侧导航栏选择“终端节点服务”。 5. 在终端节点服务列表选择要删除的终端节点服务，点击终端节点服务所在行的“删除”按钮。 6. 在弹出的对话框点击“确定”按钮，即可完成删除操作。

本节主要介绍如何在智能视图服务控制台接入国标设备。 IPC国标接入 添加IPC设备 点击左侧导航栏的【设备管理】，点击【添加设备】，进入添加设备页面，包含接入配置和设备配置两个步骤。 在接入配置页面中，填入设备名称，设备分类下拉选择【IPC】，接入方式默认勾选【视频】，接入协议选择【GB28181】，下拉选择GB28181凭证或点击【新建GB28181凭证】快速创建新凭证，GB28181凭证相关内容可参考【凭证管理GB28181凭证】。 开启【自动拉流】配置，设备注册成功后将自动启用拉流，关闭该选项则需要用户手动启用流。 选择计费模式并点击【下一步】。 进入到设备配置页面，选择厂商、接入区域、设备地址和所属行业等相关信息后，点击【提交】可以看到在平台上成功创建的国标IPC设备，此时设备为未注册状态。 国标设备状态包含未注册、停用、在线和离线四种状态： 未注册：平台侧已完成设备创建，但设备侧还未注册至平台。 停用：停用后设备将不能查看实时预览和录像回放。 在线：设备已成功注册到平台且状态正常，用户可以启用视频流。 离线：设备因网络等原因，无法保持与平台的正常连接，视频流也为离线状态。