方案架构 方案防护措施 事前预防 提供漏洞检测能力：主动发现系统、应用、数据库等存在的漏洞风险，并支持一键漏洞修复，避免被攻击者利用。 提供基线检查能力：一键核查服务器、数据库等的安全合规配置，如弱口令、配置文件等，消除部分安全隐患。 提供数据备份能力：对关键数据采取实时备份/定时备份等方式对数据进行备份，在被勒索后，可以对备份数据一键恢复，减少损失。 事中防御 提供入侵检测和病毒查杀能力：在网络层面阻断勒索病毒的下载传播，在主机层面识别、阻断和隔离勒索病毒，实现对已知勒索病毒的防御。 提供诱饵防护能力（旗舰版功能）：利用投放在关键位置的诱饵文档，实时监控诱饵文档的改动，一旦单位时间内多个诱饵文件连续发生改动，立即产生报警，终止修改诱饵文件的进程，并隔离进程对应的文件 ，实现对未知勒索病毒的检测和查杀能力。 事后补救防御 提供数据恢复能力：遭遇黑客攻击、人为删除等恶性事件时，将备份的特定时间节点数据进行数据恢复，覆盖被加密或损坏的数据。

标签规则 标签规则是指对某一标签下的终端设置微隔离规则，包括微隔离规则、一键封锁IP以及一键关闭端口。关于标签的更多信息，请参考分组标签。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“策略管理 > 微隔离 > 微隔离”，选择配置模式。 3. 选择“标签规则”页签，可执行以下操作。相关配置参数请参见终端规则。 选择标签（如Linux），点击“新增规则”，可对标签下的终端新增微隔离规则。 选择标签（如Linux），点击“一键封锁IP”，可对标签下的终端设置一键封锁IP。仅混合模式支持“一键封锁IP”。 选择标签（如Linux），点击“一键关闭端口”，可关闭标签下的终端的相应端口。仅混合模式支持“一键关闭端口”。 相关操作 登录大模型安全卫士实例，在菜单栏选择“策略管理 > 微隔离 > 微隔离”，可执行以下操作。 点击“导出”，可导出微隔离规则。 点击“导入”，选择微隔离规则文件（已导出的微隔离规则文件），即可导入微隔离规则。 勾选规则（可勾选多个），点击“启用”，在弹出的对话框中点击“确定”，可批量启用微隔离规则。 勾选规则（可勾选多个），点击“禁用”，在弹出的对话框中点击“确定”，可批量禁用微隔离规则。 勾选规则（可勾选多个），点击“删除”，在弹出的对话框中点击“确定”，可批量删除微隔离规则。

本文介绍如何查看死锁事件报告列表。 注意事项 需要创建死锁事件后才能查看死锁事件报告列表。 死锁事件报告文件大小最大为5M，超过5M会自动生成新文件。 死锁事件报告文件列表最大为10，超过10后会自动覆盖最早的文件。 死锁事件关闭后重新打开，会自动生成新文件。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【日志】标签页，然后单击【死锁日志】。 5. 如果死锁事件采集开关已经打开，页面会自动展示死锁事件报告列表。

本文介绍如何查看堵塞事件报告列表。 注意事项 需要创建堵塞事件后才能查看堵塞事件报告列表。 堵塞事件报告文件大小最大为5M，超过5M会自动生成新文件。 堵塞事件报告文件列表最大为10，超过10后会自动覆盖最早的文件。 堵塞事件关闭后重新打开，会自动生成新文件。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【日志】标签页，然后单击【堵塞日志】。 5. 如果堵塞事件采集开关已经打开，页面会自动展示堵塞事件报告列表。

本章节主要介绍了如何在SQL Server管理控制台查看资源与引擎监控数据。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 单击【监控告警】，可以看到实例资源与引擎的监控数据展示。 5. 支持历史数据查询，可以通过按钮快捷选择时间范围内（1小时，一天，近7天，近30天）的监控数据查看；也可以通过时间选择器选择自定义时间范围内的监控数据查看。 说明 除了控制台，也支持通过OpenApi门户提供的API接口来查询监控指标值。

本节介绍了如何修改数据库。 操作场景 实例创建成功后，可根据业务需要修改数据库。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 选择数据库管理页签。 7. 找到要修改的数据库，点击操作列中的修改按钮。 8. 在弹出框中，填写待修改的数据库名称、限制并发量、授权owner账号和备注说明。 9. 点击确定按钮提交修改任务。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

本页介绍关系数据库MySQL版的数据恢复方案。 关系数据库MySQL版提供了多种恢复实例的数据的方式，用以满足数据故障或损坏、实例被误删除等不同的使用场景。目前提供的恢复方案有： 通过全量备份文件恢复到实例。 将实例的数据恢复到指定时间点。 恢复方案简图 恢复方案说明 类别 说明 恢复范围 整个实例或指定数据库指定表。 新实例各配置项 新实例的参数设置和当前实例保持一致。 新实例账号信息 新实例内含恢复时所选择的备份时间点或备份集产生时间点的账号信息。 新实例数据 新实例内的数据与用于恢复的备份文件中的数据一致。 恢复时长 根据数据文件的不同时长有所不同： 300G若全是备份文件的情况，大概需要花费时间2个小时左右。 300G里面包含大量binlog,在恢复的时候需要apply binlog，恢复时间以实测为准。 恢复时间因网络、磁盘等影响因素会有所不同，具体以实际恢复时间为准。 常见问题 为何通过备份集不能恢复到当前实例？ 可检查当前实例的状态是否正常，如果处于非运行中或异常状态，需要等待实例为运行中才可以进行恢复到当前实例操作。 为何不能恢复到已有实例？ 可以从以下原因进行排查： 检查目标实例的状态是否正常。 检查目标实例版本与源实例的版本是否相同，且内核版本目标实例是否大于等于当前实例内核版本。高内核版本的实例无法恢复到低内核版本的实例。 检查目标实例与源实例的lowercasetablenames参数是否相同，该参数为区分表名大小写参数，如果该参数不同，将无法恢复。 如果目标实例实例与源实例的备份类型为云硬盘，则目标实例与源实例的VPC必须一致。 注意 如果目标实例实例与源实例的备份类型为对象存储，则可以跨VPC恢复，无该限制。 检查目标实例与源实例是否在同一个企业项目，不同企业项目无法恢复。 检查目标实例是否为带只读的MGR实例，如果是，则该实例无法进行恢复。 如果源实例具备tde功能，但是目标实例不具备（可以不开启），则无法进行恢复。

本文将向您介绍如何查询您的网站业务统计分析报表。 功能介绍 可以通过安全报表，可以查询Web安全、CC安全两个维度的攻击数、攻击趋势、威胁类型分布、攻击IP TOP 10、TOP攻击URL等报表，并且支持导出报表。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 新增域名后，边缘云WAF将会自动为域名开启域名防护规则功能，一旦识别到攻击行为，将产生攻击日志，并将攻击数据统计在安全报表中 查看安全报表 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【统计分析】模块 2. 根据您的站点业务数据查看需求，选择业务分析报表或者热门分析报表页面 业务分析报表说明 业务分析模块可为客户提供带宽流量、请求数、状态码等指标。 通过筛选项进行组合查询带宽流量、请求数、状态码等指标。筛选项包括域名、运营商、地区、时间。 带宽流量。界面中展示的是您所选范围、域名、运营商、地区、时间范围内的带宽和流量统计图表，可通过切换“带宽”和“流量”的按钮查看带宽和流量图，同时会给出查询时间范围内每日总流量、带宽峰值、峰值时间点。 请求数。界面中展示的是您所选范围、域名、运营商、地区、时间范围内的请求数和QPS统计图表，可通过切换“请求数”和“QPS”的按钮查看请求数和QPS图，请求数图表中包括了总请求数、动态http请求数、动态https请求数、静态http请求数、静态https请求数。 天粒度数据统计说明： 没有开启WAF防护：防护请求数0，总请求数静态http请求数+静态https请求数+动态请求数+动态https请求数。 开启WAF防护：动态请求数0，总请求数静态http请求数+静态https请求数+防护请求数。 状态码。界面中展示的是您所选域名、运营商、地区、时间范围内的状态码统计图表，可通过切换“所有状态码”、“2XX”、“3XX”、“4XX”、“5XX”的按钮查看不同状态码的图表，并显示查询时间范围内的总状态码量，同时展示状态码占比表和状态码占比饼图。

本节介绍安全基线及配置参考。 OpenClaw云电脑是否可操作本地终端文件 部分安全基线及配置参考 智能体部署 限制互联网访问 开启详细日志 文件系统访问控制 第三方技能审查 安全自检 更新版本 卸载 OpenClaw云电脑是否可操作本地终端文件 免费活动领取的OpenClaw云电脑：默认不重定向本地文件，无法操作本地文件，数据更安全。 天翼云电脑（公众版）：默认重定向本地文件至云电脑，使用时请注意数据安全。 天翼云电脑（政企版）：由租户管理员在管理台 “策略管理→基础策略管理→文件与剪切板” 中自定义配置。如下图所示： 部分安全基线及配置参考 智能体部署 创建OpenClaw专有用户，切勿使用sudo组： sudo adduser shell /bin/rbash disabledpassword clawuser 通过创建的专有用户登录操作系统。 创建受限的命令目录，禁止rm、mv、dd、format、powershell等： sudo mkdir p /home/clawuser/bin sudo ln s /bin/ls /home/clawuser/bin/ls sudo ln s /bin/echo /home/clawuser/bin/echo 强制设置 PATH 并只读，如在 /etc/profile.d/restrictedclawuser.sh修改配置： echo 'if [ "$USER" "clawuser" ]; then export PATH/home/clawuser/bin; readonly PATH; fi' sudo tee /etc/profile.d/restrictedclawuser.sh sudo chmod 644 /etc/profile.d/restrictedclawuser.sh 禁用root登录： sudo sed i 's/^?PermitRootLogin./PermitRootLogin no/' /etc/ssh/sshdconfig sudo systemctl restart sshd

防护模块配置 WAF支持多种威胁防护模块，防护模块概述如下： 防护模块 说明 默认规则 配置建议 Web应用基础防护 覆盖OWASP中的常见的攻击类型，通过内置规则库进行安全防护。 用户可选择系统默认规格的规则库，也可自定义防护规则库，实现针对性防护。 可开启/关闭，默认处于开启状态。 包括系统默认规则组（正常/宽松/严格）以及用户自定义规则组。默认选择正常规则组。 可根据不同的防护需求选择不同的防护等级： 正常规则组为考虑漏保和误报均衡结果的规则组，一般业务防护建议选择正常规则组。 宽松规则组提供精准的攻击检测策略，仅会对较为明确的攻击进行防护。 严格规则组提供全面的安全演策，会阻断所有可能为攻击的行为。 CC攻击防护 CC攻击（Challenge Collapsar）是DDoS的一种，攻击者通过代理服务器向受害主机不停发送大量数据包，造成Web业务服务器的资源耗尽，从而无法响应其他正常访问请求的一种攻击行为。CC攻击防护可以通过对Web业务请求的安全验证，防护网络攻击者对业务服务器发起的CC攻击。 可开启/关闭，默认处于关闭状态。 系统提供两种默认防护级别，无需用户设置防护规则实现快速配置。为了避免误杀，用户也可自定义CC防护规则，限制单个访问者对命中特定匹配条件的访问频率，WAF会根据配置的规则，精准识别CC攻击，并做出拦截、人机验证等动作处理。 当网站服务器资源有限，且存在被CC攻击的情况下建议开启。 开启后可能会影响业务的正常访问流程，建议选择人机验证，从而保证业务的可用性。 精准访问控制 用户可根据客户端IP、请求URL、以及常见的请求头字段定义访问请求的精确匹配条件，以进行过滤，并对命中条件的请求设置放行、拦截、观察或人机验证等操作。 可开启/关闭，默认处于关闭状态。 当业务出现明确需要保护的地址，例如用户名或密码保存的文件路径、以及管理员访问路径，可进行精准访问控制。 IP黑白名单设置 自定义添加IP黑白名单规则，阻断、放行指定IP的访问请求。 白名单优先级高于黑名单优先级，即当会话命中白名单后会被直接放行，不再进行后续的安全检测。 可开启/关闭，默认处于关闭状态。 黑白名单通常与其他防护模块并行使用，通过设置黑白名单，放行安全的访问请求，阻断恶意的访问请求。 BOT防护 WAF提供若干个已知的公开BOT类型，用户可分别设置相应的防护动作。 支持公开类型和自定义会话策略两大类防护策略。同时，用户可自定义防护策略，根据协议特征或者其他会话特征设置判定维度，对命中的请求进行相应的处理。 可开启/关闭，默认处于关闭状态。 BOT防护主要用于防止其他网站对业务网站信息的爬取，当有相关需要时，可以开启该模块。 地域访问控制 通过配置地域访问控制规则，可针对指定国家、地区的来源IP自定义访问控制。 可开启/关闭，默认处于关闭状态。 地域访问控制可以通过拒绝部分地域的访问，例如境外地址的访问，从而阻断掉可能来源于境外的攻击。 防敏感信息泄露 支持对网站返回的内容进行过滤（拦截、脱敏展示），过滤内容包括敏感信息、关键字和响应码。 可开启/关闭，默认处于关闭状态。 当网站返回信息中包括敏感信息时，通过设置防敏感信息泄露规则，可以过滤网站返回内容中的敏感信息（比如身份证号、电话号码等），对敏感信息进行脱敏展示，可以有效防止敏感泄露。 网页防篡改 通过缓存页面和锁定访问请求，可避免页面被恶意篡改而带来的负面影响，对重点静态页面进行保护。 可开启/关闭，默认处于关闭状态。 网页防篡改主要用于防护一些重点的静态页面。 Cookie防篡改 通过对Cookie中的字段增加完整性校验保护，WAF会新增一个Cookie字段用于篡改校验。 可开启/关闭，默认处于关闭状态。 Cookie防篡改主要用于防护Cookie变化较少、对安全性要求较高的网页。 隐私屏蔽 通过设置隐私屏蔽规则，可屏蔽用户隐私信息，避免用户隐私信息出现在系统记录的日志中。 可开启/关闭，默认处于关闭状态。 隐私屏蔽规则主要是屏蔽WAF系统日志中的用户隐私信息，可以从安全运维侧规避用户的隐私泄露风险。

本节介绍了如何设置云数据库GaussDB 的安全组规则。 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云主机和云数据库GaussDB 实例提供访问策略。 创建分布式版实例时，如果需要修改内网安全组，请确保入方向规则TCP协议端口包含：4000060480,20050,50005001,23792380,6000,6500， ( + 100)。（例如设置的数据库端口为8000，则安全组中需要包含80008100）。 创建主备版实例时，如果需要修改内网安全组，请确保入方向规则TCP协议端口包含：20050，50005001，23792380，6000，6500， ( + 100)。（例如设置的数据库端口为8000，则安全组中需要包含80008100）。 为了保障数据库的安全性和稳定性，在使用云数据库GaussDB 实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接云数据库GaussDB 实例时需要为云数据库GaussDB 和ECS分别设置安全组规则。 设置云数据库GaussDB安全组规则：为云数据库GaussDB 所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当云数据库GaussDB 实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的云数据库GaussDB 实例时，需要为安全组添加相应的入方向规则。 说明： 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的云数据库GaussDB 实例。

本章节主要介绍管理分布式消息服务RabbitMQ实例标签。 标签是RabbitMQ实例的标识，为RabbitMQ实例添加标签，方便您识别和管理拥有的RabbitMQ实例资源。 您可以在创建RabbitMQ实例时添加标签，也可以在RabbitMQ实例创建完成后，在“标签”页面添加标签，最多可以给实例添加20个标签。另外，您还可以进行修改和删除标签。 标签共由两部分组成：“标签键”和“标签值”，其中，“标签键”和“标签值”的命名规则如下表所示。 表1 标签命名规则 参数名称 规则 :::: 标签键 不能为空。 对于同一个实例，Key值唯一。 长度为1~128个字符（中文也可以输入128个字符）。 由任意语种字母、数字、空格和字符组成，字符仅支持 . : + @ 首尾字符不能为空格。 标签值 长度为0~255个字符（中文也可以输入128个字符）。 由任意语种字母、数字、空格和字符组成，字符仅支持 . : + @ 首尾字符不能为空格。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 此处请选择RabbitMQ实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”>“分布式消息服务”>“RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 步骤 4 单击待设置标签的实例名称，进入实例详情页面。 步骤 5 单击“标签”页签，进入标签管理页面，页面显示该实例的标签列表。 步骤 6 您可以根据实际需要，执行以下操作： 添加标签 单击“创建/删除标签”，弹出“创建/删除标签”对话框。 在“标签键”和“标签值”中，输入标签的键/值，单击“添加”。如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键/值，单击“添加”。 单击“确定”，成功为实例添加标签。 删除标签（可通过以下任意方法删除） 在待删除的标签所在行，单击“删除”，弹出“删除标签”对话框。单击“是”，完成标签的删除。 单击“创建/删除标签”，弹出“创建/删除标签”对话框。在待删除的标签后，单击，然后单击“确定”，完成标签的删除。

本文主要介绍如何连接分布式消息服务RabbitMQ的管理地址。 在浏览器中输入RabbitMQ管理地址，访问开源RabbitMQ的集群管理工具。 操作步骤 一、获取实例管理地址。 1. 登录管理控制台。 2. 在管理控制台右上角单击，选择区域。 说明 此处请选择与您的应用服务相同的区域。 3. 在管理控制台左上角单击，选择“企业中间件 > 分布式消息服务 > RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 4. 单击实例名称，进入实例详情页面，获取Web界面UI地址和用户名。 图1 获取实例Web界面UI地址（未开启公网访问） 图2 获取实例Web界面UI地址（开启公网访问） 说明 用户名和密码为创建RabbitMQ实例时自定义的内容。 二、确认实例安全组规则是否配置正确。 1. 在实例详情页面的“基本信息 > 网络”，单击安全组名称，跳转到安全组页面。 2. 选择“入方向规则”，查看安全组入方向规则。 实例未开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5672的访问。 如果是公网访问，需要允许端口15672的访问。 实例已开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5671的访问。 如果是公网访问，需要运行端口15671的访问。 三、在浏览器中打开Web界面UI地址，进入Web登录页面。 说明 如果RabbitMQ实例开启了公网访问，可直接在公网环境下的浏览器访问Web页面。 如果RabbitMQ实例未开启公网访问，您需要购买一台与RabbitMQ实例网络相通的Windows弹性云主机，然后登录弹性云主机访问Web页面。 购买弹性云主机操作，请参考 图3 登录实例Web页面 四、单击“Login”，登录完成。

单文件系统可挂载到多少个客户端上面？ 暂无上限，但建议单文件系统挂载不超过1000个客户端，数量过多可能导致挂载失败。 文件系统可以跨地域挂载吗？ 暂不支持。文件系统只能挂载至同一地域下，归属相同VPC的云主机上。例如南京3的文件系统只能挂载至南京3的云主机上，无法挂载至南京4的云主机上。 文件系统支持跨AZ交叉互访吗？ 可以。在归属相同VPC的前提下，文件系统支持同一地域下跨可用区挂载，从而实现多AZ交叉互访。 例如：在可用区1创建的文件系统，可以挂载在同一地域下，归属相同VPC内的可用区2的云主机上，实现跨可用区文件共享与访问。详细操作步骤参见跨AZ挂载文件系统。 在已经删除的文件系统的挂载目录下，执行命令卡住怎么办? 为了解决该异常问题，您需要采取以下步骤： 1. 首先，您需要编辑/etc/rc.local或/etc/fstab文件，并注释掉文件系统的配置。这样做可以确保在重启服务器时不会自动挂载文件系统。 2. 接下来，您需要重启服务器，以确保修改生效。 3. 在删除文件系统实例之前，建议您先在操作系统中卸载文件系统。具体的卸载步骤取决于您使用的操作系统和文件系统类型。 4. 如果您还开启了自动挂载配置，您需要删除或修改自动挂载设置，以取消开机自动挂载文件系统。

本文介绍如何重启Pod。 通过重启Pod，可以将存在异常的Pod进行杀死，通过K8s机制再重新启动一个新的Pod。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表右侧操作列中的“重启Pod”。 4. 在弹出的提示框中单击“确认”。

本节介绍如何导出组件漏洞报表。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 组件漏洞”，进入组件漏洞页面。 3. 单击组件漏洞列表右上角的“导出”按钮，可生成当前集群组件漏洞报表。 4. 到“任务中心 > 下载任务管理”中查看任务状态，当任务状态为“生成完成”时，单击任务操作列的“下载”，可以下载已生成的报表至本地。

本文介绍了如何在科研助手中使用Qwen3模型服务。 概述 阿里巴巴开源新一代通义千问模型Qwen3，参数量仅为DeepSeekR1的1/3，成本大幅下降，性能全面超越R1、OpenAIo1等全球顶尖模型，登顶全球最强开源模型。Qwen3是国内首个“混合推理模型”，“快思考”与“慢思考”集成进同一个模型，对简单需求可低算力“秒回”答案，对复杂问题可多步骤“深度思考”，大大节省算力消耗。 当前在科研助手的社区镜像中，我们已经为您提前部署好了完整的服务，模型参数覆盖8b、14b、32b、235b，方便您即刻体验，开箱即用。 前置说明 1. 该文档为在科研助手中使用Qwen3模型服务。 2. 本产品中的模型由第三方主体提供，尽管天翼云公司已尽最大努力进行识别和维护，但仍无法保证模型的可用性。请客户按照该产品的服务协议使用该产品，做好甄别并对自行选择的服务负责. 环境准备 步骤1：进入科研助手控制台，点击左上角，切换“科研版”； 步骤2：点击当前科研版"概览"页，点击快捷入口【找应用】，进入应用商城； 步骤3：在“应用商城”中，找到名为“Qwen3全参数模型”的镜像，点击【使用此镜像】，进入开发机购买界面； 步骤4：在购买页面中，【基础信息】【主机规格】一栏，用户可以按照如下配置选择： 说明 目前镜像支持的可用区有：福州6、贵阳2、中卫4； 中卫4支持运行235b，其余可用区可以运行8b、14b、32b。 配置 算力型号 可用区 说明 ::: 最低配置 NVIDIA A10 福州6 推荐配置 GPU.gn4.2xl1 贵阳2 最高配置 NVIDIA A100 40G 中卫4 可运行235b 这里以可用区贵阳2的GPU.gn4.2xl为例，可以看到，【镜像框架】中框架版本已默认选好【社区镜像】的“openwebuiqwen3pubdataset”，其余【计费模式】、【可用区】等可按照实际需要选择。 步骤5：点击【确认订单】，完成开发机创建并启动。

本页介绍了RDSPostgreSQL的只读实例的功能特点、使用要求等。 RDSPostgreSQL支持只读实例。 在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法抵抗读取压力，甚至可能会对主业务产生影响。为了实现读取能力的弹性扩展，分担数据库压力，您可以在某个区域中创建一个或多个只读实例，利用只读实例满足大量的数据库读取需求，以此增加应用的吞吐量。您需要在应用程序中分别配置主实例和每个只读实例的连接地址，才能实现将写请求发往主实例而将读请求发往只读实例。 只读实例为单个物理节点的架构（没有从节点、备份节点），采用PostgreSQL原生的流复制功能，将主实例的更改同步到所有只读实例，而且主实例和只读实例之间的数据同步不受网络延时的影响。 功能特点 规格可以与主实例不一致，但需要大于等于主实例规格1/2，如主实例规格为8C16G，则只读实例规格至少4C8G，并支持规格扩容，便于弹性升级。 不需要维护帐号与数据库，全部通过主实例同步。 提供系统性能监控。RDSPostgreSQL提供了近20个系统性能的监控视图，如磁盘容量、IOPS、连接数、CPU利用率、网络流量等，用户可以轻松查看只读实例的负载情况。 使用要求 个数限制：1个主实例最多可以创建5个只读实例。 生命周期：RDSPostgreSQL的只读实例支持单独退订，但如果主实例退订，则对应的只读实例也会随之退订。 计费模式：仅支持按需计费。 备份设置：不支持备份设置以及临时备份。 实例恢复：不支持通过备份文件或任意时间点创建临时实例，不支持通过备份集覆盖实例。 数据迁移：不支持将数据迁移至只读实例。 数据库管理：不支持创建和删除数据库，只读实例的数据库与主实例保持一致。 账号管理：只读实例不提供创建帐号权限，如需增加只读实例帐号，请在主实例上操作。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，具体详见

定价示例 定价示例1：科研小组加速访问海外学术资源 客户需求： 客户要在国内某科研小组的办公区域开通全球加速服务，解决小组成员访问美国教育资源、AI应用等访问体验差、合规性无保障等问题。访问带宽需求20Mbps。 方案：开通全球加速服务，在办公区域部署连接器，通过连接器接入AOne网络。 定价示例： 中国内地带宽：2040800元/月 美洲带宽：2069013800元/月 总费用/月14600元/月 定价示例2：电商团队海外直播 客户需求：客户在国内需要通过手机面向马来西亚进行直播，客户团队小于10人，带宽需求50Mbps。 方案：开通全球加速服务+零信任套餐免费版，实现手机端接入AOne网络。 定价示例： 中国内地带宽：50402000元/月 亚太带宽：5065032500元/月 总费用/月34500元/月 定价示例3：海外远程办公访问国内SAAS系统 客户需求：客户在欧洲有分支机构，员工40人，需要访问国内SAAS OA系统；同时员工有出差、居家办公需求。带宽需求30Ｍbps。 方案：开通全球加速服务+零信任套餐VPN+账号数扩展。 定价示例： 零信任套餐VPN版（含30个账号数）：180元/月 账号数扩展：10660元/月 中国内地带宽：30401200元/月 欧洲带宽：3070021000元/月 总费用/月22440元/月

SLES12 和 SLES15 在新一代服务器硬件（如 Intel Ice Lake、AMD Genoa）及国产化平台（如海光、鲲鹏）上的支持情况如何？ 类别 支持策略 说明 SLES15 ✅ 支持所有在 SUSE 官网有认证记录的 x8664 架构服务器 包括：Intel SPR/EMR、AMD Genoa 等平台 认证类型：Host OS 或 KVM/Guest OS 推荐用于生产环境的物理机部署（Host OS） 若仅 KVM/Guest OS 认证，需运行在 SLES15/RHEL9+ 等现代 Host 上 SLES12 ✅ 仅支持作为虚拟机操作系统（Guest OS）运行 适用场景：在 SLES15/RHEL9+ Host 上的 KVM 虚拟机 中部署 SLES12 要求：物理服务器需在 SUSE 官网有 KVM/Guest OS 认证 示例机型：H3C R4900 G5、华为 2288H V6/V7、浪潮 NF5280M7 等 ❌ 不支持 在 第5代及以上物理服务器（Ice LakeSP 及更新）上直接安装 SLES12 仅可用于 遗留应用迁移、兼容性测试 等非核心场景 国产化平台（海光、鲲鹏等） ⚠️ SUSE 官方未提供通用 SLES12/SLES15 镜像认证支持 海光（Hygon）：CPU 指令集兼容 x8664，但 未列入 SUSE YesCertified 官方认证列表，无标准镜像支持 鲲鹏（Kunpeng）：基于 ARM 架构，SUSE 不提供通用 ARM 版本的 SLES 特别说明： 海光平台存在基于 SLES 的技术兼容发行版（如 OpenEuler 衍生版本），但 非 SUSE 官方发布，不享受 SUSE 技术支持； 天翼云当前 不提供海光/鲲鹏 + SLES 的正式服务； 客户如需使用，需自行评估兼容性与风险

域名注册者类型 根据域名注册者的类型，域名可以分为个人域名（由个人注册的域名）和企业域名（由公司或组织注册的域名）等。 CSR CSR代表证书签名请求（Certificate Signing Request），它是一种加密通信协议，用于在申请数字证书时向证书颁发机构（CA）提供必要的信息 ， 包括证书CN通用名称等信息。 公钥&私钥 公钥（Public Key） 公钥是密钥对中的一部分，用于加密数据和验证数字签名。公钥可以公开共享，用于加密传输的数据。在 SSL 证书中，公钥用于加密客户端与服务器之间的通信。 私钥（Private Key） 私钥是密钥对中的另一部分，与公钥配对使用。私钥应该保密存储，只有服务器拥有者可以访问。私钥用于解密被公钥加密的数据，以及生成和验证数字签名。 公钥与私钥是通过加密算法得到的一个密钥对（即一个公钥和一个私钥，也就是非对称加密方式）。公钥可对会话进行加密、验证数字签名，只有使用对应的私钥才能解密会话数据，从而保证数据传输的安全性。公钥是密钥对外公开的部分，私钥则是非公开的部分，由用户自行保管。 通过加密算法得到的密钥对可以保证在世界范围内是唯一的。使用密钥对的时候，如果用其中一个密钥加密一段数据，只能使用密钥对中的另一个密钥才能解密数据。例如：用公钥加密的数据必须用对应的私钥才能解密；如果用私钥进行加密也必须使用对应的公钥才能解密，否则将无法成功解密。

发生主从切换有哪些的原因？ 可能有以下场景触发主从切换： 用户自在控制台界面发起“主从切换”操作，切换主实例。 实例守护进程检测到主节点存在故障后，触发主从切换，例如使用了keys等消耗资源的命令，导致CPU超高，触发主备导致。 用户在控制台页面上执行节点重启操作，可能触发从节点提升为主节点 主从切换的业务影响？ 主备实例或者集群主备实例的主节点发生异常时，会自动触发主从切换，在异常检测和恢复期间，可能对业务造成一定影响，时间在半分钟内。 发生主从切换后是否需要客户端切换IP 不需要。主节点故障时会自动触发主从切换，VIP地址会绑定到原从节点，绑定后，原从节点升级为主节点。 Redis主备同步机制怎样？ 分布式缓存Redis版标准版主备和集群版主备实例支持部署高可用实例。您可选择在单可用区或多可用区中部署实例。当租户选择跨多可用区部署实例时，Redis实例会主动建立和维护Redis同步复制。在实例主节点故障的情况下，缓存实例会自动将备实例升为主节点，从而达到高可用的目的。如果租户使用缓存实例时，业务中读取数据比例大，可以选择集群版主备实例，缓存实例会自动维护主节点和从节点之间的数据同步复制。

本文主要介绍快速体验微服务引擎 概述 微服务引擎(CSE)是一个应用托管和微服务管理平台，依托微服务云应用平台(ServiceStage)服务，可以帮助企业简化部署、监控、运维和治理等应用生命周期管理工作。面向企业提供微服务、移动和Web类应用开发的全栈解决方案。 应用是一个功能相对完备的业务系统，由一个或多个特性相关的组件组成。应用组件是组成应用的某个业务特性的实现，以代码或者软件包为载体，可独立部署运行。 针对应用的组件提供启停、升级、回退、伸缩、查看日志、查看事件、设置访问方式、设置阈值告警等运维操作。 本例将基于ServiceComb(SpringMVC)框架，快速创建微服务应用，供您体验微服务引擎CSE的各项基础功能。 前提条件 注册天翼云帐号，并登录成功。 获取AK/SK，请参考AK/SK获取方法。 说明 如果使用微服务引擎专业版，需要配置AK/SK。 如果使用微服务引擎专享版，不需要配置AK/SK。 创建一个虚拟私有网络VPC，请参考创建虚拟私有云和子网。 创建一个CCE集群，集群中至少包含一个ECS节点(为方便后续步骤的操作，节点 规格最好选择4vCPUs、8GB内存)并且绑定弹性IP。集群绑定弹性IP，请参考云容器引擎 > 购买容器集群。 本例将绑定GitHub源码仓库，实现源码构建、归档、应用创建， 需要先到GitHub官网注册帐号。 在ServiceStage创建仓库授权，授权访问GitHub仓库，请参考微服务云应用平台 > 仓库授权。

文本介绍以天翼云手机移动客户端为例,帮助您快速登录连接云手机。 天翼云手机支持多种终端登录，用户可前往下载相应的客户端进行登录使用：客户端下载 下面以天翼云手机移动客户端为例，帮助您快速上手使用天翼云手机（政企版）。 使用的流程如下： (1) 打开“天翼云手机”移动客户端，可查看到登录页面； (2) 可通过输入账号、密码或通过免密登录方式登录云手机； (3) 登录后，在本地手机主屏中，左划划入手机负一屏，点击“云手机”卡片“进入”按钮即可连接并进入云手机。 (4) 进入后，即可连接使用云手机。

本节介绍了如何查看和管理云数据库GaussDB openGauss版的任务。 您可以通过“任务中心”查看任务执行进度和结果，并进行管理。 说明 云数据库GaussDB 支持查看和管理以下任务： 创建云数据库GaussDB 实例 手动创建备份 恢复到新实例 分片扩容 协调节点扩容 操作步骤 步骤 1 登录管理控制台。 步骤 2 在“任务中心”页面，选择目标任务，单击任务名称左侧的，在展开信息中查看目标任务的执行进度和结果。 通过任务名称/任务ID、实例名称/ID确定目标任务，或通过右上角的搜索框选择任务类型来确定目标任务。 单击页面右上角的，查看某一时间段内的任务执行进度和状态，默认时长为一周。任务保留时长最多为30天。 系统支持查看以下状态的任务： − 执行中 − 完成 − 失败

本章节主要介绍复制API。 操作场景 您可以通过复制API功能，得到与原API配置相同的API。 前提条件 已创建API。 操作步骤 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据服务”模块，进入数据服务页面。 详见下图：选择数据服务 2.在左侧导航栏选择服务版本（例如：专享版），进入总览页。 3.单击“开发API > API管理”页面，进入API管理页面。 4.勾选待复制的API所在行，在API列表上方，选择“更多 > 复制”，弹出复制窗口。 5.在弹出的窗口中输入新API的名称和请求path，点击确认即可完成API复制。 详见下图：复制API

当您的网站接入Web应用防火墙（Web Application Firewall，简称WAF）并开启Web基础防护后，WAF会根据您设置的Web基础防护规则检测并拦截命中规则的请求。如果业务正常请求命中Web基础防护规则被WAF误拦截，可能导致正常请求访问网站显示异常，此时，您可以通过误报处理使WAF不再拦截该请求，提升Web基础防护效果。 前提条件 “防护事件”页面可以查看误拦截事件。 约束条件 同一个事件不能重复进行误报处理，即如果该事件已进行了误报处理，则不能再对该事件进行误报处理。 使用场景 业务正常请求被WAF拦截。例如，您在天翼云ECS服务器上部署了一个Web应用，将该Web应用对应的公网域名接入WAF并开启Web基础防护后，该域名的请求流量命中了Web基础防护规则被WAF误拦截，导致通过域名访问网站显示异常，但直接通过IP访问网站正常。 系统影响 拦截事件处理为误报后，“防护事件”页面中将不再出现该事件，您也不会收到该类事件的告警通知。 拦截事件处理为误报后，该误报事件对应的规则将添加到全局白名单（原误报屏蔽）规则列表中，您可以在“防护策略”界面的“全局白名单（原误报屏蔽）”页面查看、关闭、删除或修改该规则。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的区域选择框，选择区域或项目。 步骤 3 单击页面左上方的“服务列表”，选择“安全> Web应用防火墙 （独享版）”。 步骤 4 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 步骤 5 在防护事件列表中，根据防护网站、事件类型、源IP、URL等信息筛选误拦截事件。 步骤 6 在误拦截事件所在行的“操作”列中，单击“详情”，查看事件详细信息，确认为误拦截事件。 步骤 7 在误拦截事件所在行的“操作”列中，单击“更多 > 误报处理”。 步骤 8 在弹出的对话框中，点击“前去处理”，点击全局白名单（原误报屏蔽）的“自定义全局白名单规则”，跳转至全局白名单列表页，点击页面左上方“添加规则”，添加白名单处理规则。

本节主要介绍弹性文件服务的使用限制。 SFS容量型文件系统支持NFSv3协议和CIFS协议，NFSv3协议下默认的导出选项是rw，norootsquash，noallsquash，sync。CIFS协议下默认的导出选项是rw，sync。 CIFS的加密文件系统不支持copychunk复制。 为了获得文件系统的更优性能，建议选用支持文件系统挂载的操作系统所列经过兼容性测试的操作系统。 CIFS类型的文件系统不支持使用Linux操作系统的云服务器进行挂载。 弹性文件服务暂时不支持复制功能。 弹性文件服务暂时不支持跨区域使用。 SMB文件系统只对文件系统级别、而不对文件/目录级别提供权限控制。 SFS容量型文件系统限制 SFS容量型文件系统当前仅限内网访问，不支持公网访问；只能在云上使用，不支持云下使用。 当前支持NFS协议（不支持NFSv4，仅支持NFSv3）和CIFS协议（不支持SMB1.0版本，支持SMB2.0/2.1/3.0版本）。 同一文件系统不能同时支持NFS协议和CIFS协议。 单个文件系统最多能够被10,000个计算节点同时挂载访问。 单个文件系统最大容量为4PB，单个文件最大容量为240TB。 支持多VPC，一个文件系统最多可以添加20个可用的VPC，对于添加的VPC所创建的ACL规则总和不能超过400个。 SFS Turbo文件系统限制 规格限制 限制项 说明 单文件大小 标准型、标准型增强版、性能型、性能型增强版：最大为16TB 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：最大为320TB 单文件系统最大文件或子目录数 标准型、标准型增强版、性能型、性能型增强版：10亿 说明 单文件系统下文件或子目录数总容量（KB）/16，上限为10亿，即得出数量大于10亿时，数量按10亿算。 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：20亿 说明 单文件系统下文件或子目录数总容量（GB） 25000，上限为20亿，即得出数量大于20亿时，数量按20亿算 单目录下最大文件或子目录数 2000万 说明 如果用户需要对整个目录进行ls、du、cp、chmod、chown等操作，建议单层目录下不要放置超过50万的文件或子目录，否则可能由于NFS协议需要向服务端发送大量遍历请求而产生排队，导致请求耗时非常长。 目录最大深度 100层 最大路径长度 标准型、标准型增强版、性能型、性能型增强版：1024Byte 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：4096Byte 最大软链接长度 1024Byte 最大硬链接长度 255Byte 文件系统数量配额 默认32个 操作限制 限制类型 限制项 说明 创建SFS Turbo文件系统 支持协议 仅支持NFSv3 创建SFS Turbo文件系统 单文件系统最大容量 标准型、性能型：32TB 标准型、性能型、标准型增强版、性能型增强版：320TB 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：1PB 创建SFS Turbo文件系统 创建SFS Turbo文件系统数量 一个账号在单个区域内可创建最多20个文件系统。 创建SFS Turbo文件系统 是否支持文件语义锁Flock 不支持 挂载SFS Turbo文件系统 单文件系统最大挂载客户端数量 标准型、标准型增强版、性能型、性能型增强版：500个 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：3000个 访问SFS Turbo文件系统 支持访问方式 VPN/专线/云连接 扩容与缩容SFS Turbo文件系统 是否支持扩容 支持 扩容与缩容SFS Turbo文件系统 是否支持缩容 不支持 扩容与缩容SFS Turbo文件系统 目标容量取值范围 标准型、标准型增强版、性能型、性能型增强版：扩容步长至少为100GB起步。标准型和性能型可调整最大容量不超过32TB，增强版可调整最大容量不超过320TB。 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB：扩容步长为1.2TB起步，且必须为1.2TB的整数倍。可调整最大容量不超过1PB。 卸载SFS Turbo文件系统 卸载SFS Turbo文件系统前提条件 终止进程和停止读写。 删除SFS Turbo文件系统 删除SFS Turbo文件系统前提条件 卸载已挂载的文件系统。 删除SFS Turbo文件系统 删除按需计费SFS Turbo文件系统 状态为“可用”或者“不可用”才能执行删除操作。 删除SFS Turbo文件系统 退订包年/包月SFS Turbo文件系统 状态为“可用”或者“不可用”才能执行退订操作。 添加标签 是否支持添加标签 支持 添加标签 标签数量 一个SFS Turbo文件系统最多添加20个标签。 添加标签 标签键 添加标签时该项为必选参数，不能为空。 当一个SFS Turbo文件系统添加了多个标签，标签键不允许重复。 添加标签 创建SFS Turbo文件系统后是否支持编辑 支持

分布式缓存服务 Redis 版支持以下方式开启 IPv6： 订购时启用：在创建实例时开启 IPv6 功能。 实例运行后启用：在实例详情页的 IPv6 连接地址处手动开启。 注意 开启 IPv6 后，此功能将无法关闭。 说明 1. 启用IPv6后，系统将为当前实例节点分配IPv6地址。 2. 请确认当前实例所在的VPC及其子网是否开启IPv6。如未开启，请您 前往网络控制台创建。 3. 如需通过IPv6访问Redis服务，请确保客户端具备 IPv6 网络支持。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台左上角选择实例所在的区域。 3. 在实例列表页，单击目标实例名称进入实例详情管理。 4. 在连接信息块下IPv6连接地址处，单击 “设置”按钮，点击开启IPv6按钮。

本节介绍了数据库存储常见问题。 RDS使用的什么存储 RDSPostgreSQL数据存储、备份存储均采用采用云硬盘的方式。 其中备份存储为新的存储空间，不占用用户的数据库空间。 数据存储支持普通IO、高IO、通用型SSD、超高IO、极速型SSD、XSSD系列（XSSD0、XSSD1、XSSD2）六种存储类型，备份存储目前支持普通IO、高IO、超高IO、对象存储存储类型，资源池实际可订购的存储类型及备份存储类型见订购页。 如何查看RDS的存储空间使用情况 1.登录RDSPostgreSQL版控制台页面。 2.点击左侧菜单栏中的【实例监控/仪表盘】，选择想要查看的实例。 3.在其信息展示中的磁盘容量，可以查看实例的存储空间的大小和使用情况。 注意 不同资源池菜单名称、支持的存储类型有所差异，请以资源池实际情况为准。

本文介绍了如何查看关键操作日志。 操作场景 当您需要查看您的RDSPostgreSQL实例的操作日志时，您可使用此功能。 约束限制 仅RDSPostgreSQL Ⅱ类资源池支持查看关键操作监控日志。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【操作日志】，点击进入操作日志管理页。 您可以单击右上角的“请选择操作”对“操作类型”进行筛选，支持的操作类型详见支持监控的关键操作说明。 您可以单击右上角的时间选框，选择时间范围，筛选查看不同时间段内的操作记录。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

本小节主要介绍RDSPostgreSQL实例的导出参数操作。 操作场景 您可以导出当前实例的内核参数，在本地离线查看参数值的情况。 注意事项 导出实例的内核参数，需要连接实例，请确认当前实例状态处于“运行中”的正常状态。 操作步骤 Ⅱ类资源池操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在"实例管理"页面，选择实例列表第一列"实例名称/实例ID"，点击指定的实例，进入并选择"参数设置"。 6. 在"参数设置"页面，点击"导出参数"按钮，等待参数导出文件下载后即可本地查看参数信息。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见