本章节主要介绍如何启停集群。 重启集群 当集群处于非均衡或不能正常工作时，可能需要通过重启集群进行恢复。当您修改完配置，例如修改集群安全设置、参数修改相关配置，未立即重启集群的情况下，您也可以通过手动重启集群使配置生效。 说明 若集群欠费，可能会导致该功能被限制不可用，请及时充值确保集群可正常使用。 对系统的影响 重启期间集群将无法提供服务。因此，在重启前，请确定集群中没有正在运行的任务，并且所有数据都已经保存。 如果集群正在处理业务数据，如导入数据、查询数据、创建快照或恢复快照时，一旦重启集群，有可能会导致文件损坏或重启失败。因此，建议停止所有集群任务后，再重启集群。 您可以参考Cloud Eye监控集群查看集群的“会话数”和“活跃SQL数”指标，查看是否有活跃事务。 重启集群所需时间与集群的规模和业务有关，正常情况下大约需要3分钟左右，不超过20分钟。 如果重启失败，将有可能会导致集群不可用，建议联系技术支持人员进行处理或稍后重试。 操作步骤 1. 登录DWS管理控制台。 2. 单击“集群 > 专属集群”。 3. 在需要重启的集群的“操作”列，单击“重启”。 4. 在弹出框单击“是”。 此时集群的“任务信息”变为“重启中”。当“集群状态”重新变为“可用”时，表示重启已成功。 停止集群 当用户的集群不再使用时，可通过停止集群功能来关闭集群，方便业务下线。 说明 如果当前控制台界面不支持该特性，请联系技术支持人员。集群启动后恢复计费。 集群停止后实例关机，ECS场景下基础资源（vCPU、内存）不再保留，当再次启动云服务时，可能由于资源不足无法正常开机，请耐心等待，稍后再试。

本小节介绍渗透测试知识类常见问题。 天翼云渗透测试有哪些优势? 业内领先的咨询顾问团队 参考国际和国家规范，对系统进行科学有效的风险评估，顾问团队拥有CISP、CISSP、ISO27001、 Security+等专业资质和多年丰富的项目经验。 运营商级别的实践能力 技术顾问具备多年的信息系统安全评估和保障服务经验，具有丰富的网络和系统整改项目经验。 通过科学、标准的服务流程，以及完善的项目管理和质量保障机制，提供全面可靠的安全服务。 天翼云渗透测试有哪些规格? 不同企业建议根据实际情况分成三种规格： 小型应用系统，最多1个应用系统。 中型应用系统，最多5个应用系统。 大型应用系统，最多10个应用系统。 其他规格需要根据实际情况协商确定。 天翼云渗透测试服务内容包括哪些? 身份认证测试 检査是否满足安全设计要求中的身份认证要求，检查是否存在密码被破解、登录被回放、登录被绕过的缺陷，确保登录验证安全有效。 授权管理测试 检查页面是否满足安全设计要求中的访问控制要求，检查用户在未授权的情况下是否成功办理需要授权的业务。 检查是否存在跨站请求伪造、路径遍历、授权绕过、会话重放等。 数据验证测试 检查是否满足安全设计要求中输入验证的要求，确保应用系统正常显示业务办理信息。 检查是否存在SQL注入、跨站脚本攻击、 XPATH注入、SSI注入、命令注入、缓冲区溢出、上传文件验证、未经验证的URL重定向。 可用性测试 检查系统是否存在帐号锁定设计缺陷及应用拒绝服务缺陷。 配置管理测试 检查存在中间件配置缺陷导致的应用系统漏洞。 检查是否存在SSL漏洞、敏感信息泄露、默认文件和目录、基础结构配置管理、非必要文件检索、HTTP请求方法滥用、目录索引。 后门测试 检查应用系统各页面是否存在后门程序。

本节介绍天翼云电脑电脑客户端的基本设置操作。 返回旧版 网络设置 音频设置 重启/关闭终端 自定义换肤 设置入口 自动启动 锁定登录账号 自动锁屏 自动退出登录 运行模式 电源策略 网络检测 网络代理 其他客户端 关于我们 最小化、关闭 返回旧版 如需切换旧版，更多点击“返回旧版”，切换旧版二次确认之后，新旧版切换需要在应用启动后生效。 网络设置 提示：仅Ubuntu客户端、安卓瘦终端支持网络设置。 登录页右下角：点击”网络设置“调用终端本地网络设置功能，不同厂家的终端网络设置页存在差异。

本文介绍Redis入门指引 本章节将为您介绍分布式缓存服务Redis版入门的基本流程，主要包括环境准备、创建实例、连接实例，帮助您快速上手Redis。 操作流程 操作步骤如下： 1.环境准备 创建实例先要准备好虚拟私有云、子网和安全组。 2.创建实例 在订购Redis填写和确认实例名称、版本类型、计费模式等信息，确认费用后点击下一步，等待开通流程结果通知成功后完成创建实例。 3.连接实例 开通实例后，默认支持通过专有网络（VPC） 访问Redis实例，若需要在本地设备或其他仅公网条件下的设备连接时，可以申请Redis实例的公网连接地址，并通过公网访问Redis实例。

core group: "admissionregistration.k8s.io" group: "apps" group: "authentication.k8s.io" group: "authorization.k8s.io" group: "autoscaling" group: "batch" group: "certificates.k8s.io" group: "extensions" group: "networking.k8s.io" group: "policy" group: "rbac.authorization.k8s.io" group: "settings.k8s.io" group: "storage.k8s.io" 所有其他请求的默认级别。 level: Metadata 修改apiserver的pod的yaml文件 修改 /etc/kubernetes/manifests/kubeapiserver.yaml 文件，操作前可对原文件备份 ，当有问题时可以回退，增加以下yaml 由 " 增加的部分start " 及 " 增加的部分end " 括住的内容（共三处）。 plaintext apiVersion: v1 kind: Pod metadata: annotations: kubeadm.kubernetes.io/kubeapiserver.advertiseaddress.endpoint: xx.xx.xx.xx creationTimestamp: null labels: component: kubeapiserver tier: controlplane name: kubeapiserver namespace: kubesystem spec: containers: command: kubeapiserver advertiseaddressxx.xx.xx.xx allowprivilegedtrue authorizationmodeNode,RBAC clientcafile/etc/kubernetes/pki/ca.crt enableadmissionpluginsNodeRestriction enablebootstraptokenauthtrue etcdcafile/etc/kubernetes/pki/etcd/ca.crt etcdcertfile/etc/kubernetes/pki/apiserveretcdclient.crt etcdkeyfile/etc/kubernetes/pki/apiserveretcdclient.key etcdservers kubeletclientcertificate/etc/kubernetes/pki/apiserverkubeletclient.crt kubeletclientkey/etc/kubernetes/pki/apiserverkubeletclient.key kubeletpreferredaddresstypesInternalIP,ExternalIP,Hostname proxyclientcertfile/etc/kubernetes/pki/frontproxyclient.crt proxyclientkeyfile/etc/kubernetes/pki/frontproxyclient.key requestheaderallowednamesfrontproxyclient requestheaderclientcafile/etc/kubernetes/pki/frontproxyca.crt requestheaderextraheadersprefixXRemoteExtra requestheadergroupheadersXRemoteGroup requestheaderusernameheadersXRemoteUser secureport6443 serviceaccountissuer serviceaccountkeyfile/etc/kubernetes/pki/sa.pub serviceaccountsigningkeyfile/etc/kubernetes/pki/sa.key serviceclusteriprange10.96.0.0/12 tlscertfile/etc/kubernetes/pki/apiserver.crt tlsprivatekeyfile/etc/kubernetes/pki/apiserver.key

配置对话助手 常见问题（0.15.3版本） 如遇到无法展示问题，可能是因为您的dify版本为最新版，我们目前还不支持，可执行以下操作切换到0.15.3版本并重启服务。 plaintext dify插件需要切换版本重新启动服务才可以达成兼容 git clone cd dify git checkout 7796984444191c639bd3c541a44e832b17ad1cae 如遇到息壤镜像失败问题，可切换到dify原始镜像，通过配置直接配置OpenAIAPIcompatible支持，配置方式如下： Obsidian copilot 打开 Obsidian，进入设置面板，选择“社区插件”。 关闭“安全模式”，点击“浏览”按钮搜索“Copilot for Obsidian”并安装。 安装完成后，启用插件。 Ragflow 注意 目前息壤model不支持embedding model能力，因此只能作为chat model提供能力。 下载镜像git clone < 通过docker安装并启动。 shell cd ragflow/docker docker compose f dockercomposeCN.yml up d 检查 RAGFlow 服务是否正常启动。 shell docker logs f ragflowserver 如果看到类似以下输出，则表示启动成功： shell Running on all addresses (0.0.0.0) Running on Running on 打开浏览器配置模型Xinference服务提供商。 在浏览器中输入服务器的 IP 地址访问 RAGFlow。默认情况下，RAGFlow 使用 HTTP 端口 80，因此无需输入端口号。 选择“Xinference”模型服务商（ Xinference是工厂配置，支持自定义模型名称）。 配置chatmodel的界面如下： 回到对话界面，配置聊天助手： 开启对话：

响应结果 名称 描述 Account 发出请求的账户名。 UserName 发出请求的用户名。如果根用户发送的该请求，则UserName为root。 StorageClass 存储类型： ALL：所有存储。 STANDARD：标准存储。 STANDARDIA：低频访问存储。 TimeZone 返回数据的时区，统一为UTC +0800。 Freq 返回统计数据的采样粒度： by5min：统计数据的采样粒度为5分钟。 byHour：统计数据的采样粒度为1小时。 byDay：统计数据的采样粒度为1天。 BucketName Bucket名字。如果用户在请求中没有携带Bucket参数，BucketName为空。 RegionName 数据位置，如果用户在请求中没有携带Region参数，RegionName为空。 Statistics.Date 返回结果对应的时间： 当请求参数Freq为by5min或byHour时，返回格式为yyyyMMdd HH:mm。 当请求参数Freq为byDay时，返回格式为yyyyMMdd。 Statistics.Data.DeleteCapacity 删除标准存储数据的容量。 Statistics.Standardia.DeleteCapacity 删除低频访问存储数据的容量。 请求示例 按天（byDay）查询Bucket名为examplebucket、数据位置为ZhengZhou、20191015至20191016标准存储数据的删除容量。 plaintext GET /?ActionGetDeleteCapacity&BeginDate20191015&EndDate20191016&Bucketexamplebucket&FreqbyDay&RegionZhengZhou HTTP/1.1 Date: Wed, 16 Oct 2019 06:38:27 GMT Authorization: SignatureValue Host: ooscnmg.ctyunapi.cn 响应示例 plaintext HTTP/1.1 200 OK Date: Wed, 16 Oct 2019 06:38:28 GMT xamzrequestid: da66aa927f744dc1 ContentLength: 440 ContentType: application/xml; charsetutf8 Server: CTYUN test@ctyun usertest1 STANDARD UTC +0800 byDay examplebucket ZhengZhou 20191015 1641600 20191016 1641600

Windows 32bit 发布版本 发布时间 版本描述 2.26.3 20260208 支持关闭开机自启动，新增可信网络因子检测，悬浮球体验优化，内外网隔离支持本机流量处理，其他缺陷问题修复。 2.24.1 20251124 支持滑动验证码，联动客户端登录态，单点登录更丝滑，节点优选，协议探测优化，访问质量提升，修复其他缺陷问题。 2.22.2 20250908 支持OTP口令、滑动验证码，联动客户端登录态，单点登录更丝滑，视觉改版，交互体验提升，修复其他缺陷问题。 2.17.1 20250331 客户端支持实时防护、病毒查杀、漏洞补丁、外设管控等能力。 2.13.3 20250210 客户端全面支持deepseek满血版。 2.9.1 20240909 首个版本发布。

本文介绍如何回收混合备份存储库空间。 操作场景 当混合存储库需要立即释放已过期版本的备份数据所占用的使用空间时，可以对存储库进行回收操作。 前提条件 已成功创建混合备份存储库。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。 4. 在云备份页面，单击左侧“混合备份（存储版）”按钮，进入混合备份控制台。 5. 在存储库页面，单击待回收存储库所在行的“操作>回收”按钮。 6. 在弹出页面确认是否进行回收操作，单击“确定”后，回到存储库页面，可以看到存储库已用容量更新，则表明回收操作成功。

本节简要介绍云存储网关。 云存储网关是中国电信天翼云自主研发的一款可在线下和云上部署的网关软件，方便用户将本地数据轻松上传到天翼云对象存储（经典版）I型（ObjectOriented Storage，OOS），实现存储空间的弹性扩展。云存储网关作为本地与云端存储之间的桥梁，通过标准 iSCSI 协议（Internet小型计算机系统接口）提供块存储服务，帮助用户将全量数据自动同步到OOS中，本地仅保留热数据以节省本地存储空间，或者保留全量数据以保障本地I/O性能，实现混合云存储。同时，云存储网关也可以将通用服务器及其管理的存储资源转换成高性能的虚拟存储阵列，承载企业核心业务数据。

本节主要介绍云存储网关申请开通规则。 功能说明 支持高可用，支持iSCSI协议，支持中英文Web管理界面。 申请公测 详见申请部署。 申请公测须知 提交公测申请前请务必准备好存储网关服务器的登录信息，包括：外网IP地址、连接端口号、用户名、密码、对象存储（经典版）I型具有所有权限的AccessKeyID和SecretAccessKey，运维人员将与您确认此信息后方可部署。 订单0元支付成功后，会有天翼云运维人员与您预约安装时间，部署一套网关约需8小时，安装部署服务时间：5天×8小时（法定节假日除外），请您耐心等待。 该产品不涉及续订、退订，使用过程中如遇问题，请提交工单进行解决。

背景信息 分布式消息服务RabbitMQ版的消息都会被投入到一个或多个队列中。Consumer Tag是消费者客户端的标识符。您可以在分布式消息服务 RabbitMQ 版的消费者客户端设置Consumer Tag。 操作步骤 创建队列 1.登录管理控制台。 2.进入RabbitMQ管理控制台。 3.在实例列表页在操作列，目标实例行点击“管理”。 4.点击“队列管理”后，点击“新建”按钮。 5.点击“新建”后出现以下窗口，选择虚拟主机，输入队列名字，选择存储节点，然后点击确定即可创建队列。 参数说明如下表所示： 参数 描述 虚拟主机 选择创建队列所属的虚拟主机 名称 队列的名称。以amq.开头的为保留字段，因此不能使用。例如：amq.test。 存储节点 队列数据存储节点 是否持久化 队列元数据是否持久化到磁盘 是否自动删除 最后一个Consumer取消订阅后，Queue是否自动删除。 其他参数 Message TTL消息过期时间：number型(单位:ms) Auto expire队列过期时间，过期后队列自动删除：number型(单位:ms) Max length队列能保存的最大消息数：number型(单位:个) Max length bytes队列能保存的最大消息量：number型(单位:字节) Overflow behaviour 超过队列的最大设定值后消息接收策略：drophead,rejectpublish drophead：删除头部消息,一般就是最早发送的消息，保证队列可用 rejectpublish：拒绝接受新的消息，保证消息不丢失 Dead letter exchange死信交换器名称 Dead letter routing key死信路由键 Maximum priority队列最大优先级：要开启消息的优先级，必须设置消息所在队列的优先级 Lazy mode队列惰性模式：default、lazy default：默认值，普通队列 lazy：惰性队列，尽可能将消息存到磁盘中，会引起I/O操作比较多，内存消耗极少（有大量堆积的持久化消息建议使用） Master Locator 队列保存位置：clientlocal、minmasters、random clientlocal：队列创建时所用连接的节点 minmasters： 集群中节点主数量最少的节点 random：由rabbitmq服务器随机指定一个节点

本章节主要介绍管理分布式消息服务RabbitMQ实例标签。 标签是RabbitMQ实例的标识，为RabbitMQ实例添加标签，方便您识别和管理拥有的RabbitMQ实例资源。 您可以在创建RabbitMQ实例时添加标签，也可以在RabbitMQ实例创建完成后，在“标签”页面添加标签，最多可以给实例添加20个标签。另外，您还可以进行修改和删除标签。 标签共由两部分组成：“标签键”和“标签值”，其中，“标签键”和“标签值”的命名规则如下表所示。 表1 标签命名规则 参数名称 规则 :::: 标签键 不能为空。 对于同一个实例，Key值唯一。 长度为1~128个字符（中文也可以输入128个字符）。 由任意语种字母、数字、空格和字符组成，字符仅支持 . : + @ 首尾字符不能为空格。 标签值 长度为0~255个字符（中文也可以输入128个字符）。 由任意语种字母、数字、空格和字符组成，字符仅支持 . : + @ 首尾字符不能为空格。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 此处请选择RabbitMQ实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”>“分布式消息服务”>“RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 步骤 4 单击待设置标签的实例名称，进入实例详情页面。 步骤 5 单击“标签”页签，进入标签管理页面，页面显示该实例的标签列表。 步骤 6 您可以根据实际需要，执行以下操作： 添加标签 单击“创建/删除标签”，弹出“创建/删除标签”对话框。 在“标签键”和“标签值”中，输入标签的键/值，单击“添加”。如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键/值，单击“添加”。 单击“确定”，成功为实例添加标签。 删除标签（可通过以下任意方法删除） 在待删除的标签所在行，单击“删除”，弹出“删除标签”对话框。单击“是”，完成标签的删除。 单击“创建/删除标签”，弹出“创建/删除标签”对话框。在待删除的标签后，单击，然后单击“确定”，完成标签的删除。

本文主要介绍如何连接分布式消息服务RabbitMQ的管理地址。 在浏览器中输入RabbitMQ管理地址，访问开源RabbitMQ的集群管理工具。 操作步骤 一、获取实例管理地址。 1. 登录管理控制台。 2. 在管理控制台右上角单击，选择区域。 说明 此处请选择与您的应用服务相同的区域。 3. 在管理控制台左上角单击，选择“企业中间件 > 分布式消息服务 > RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 4. 单击实例名称，进入实例详情页面，获取Web界面UI地址和用户名。 图1 获取实例Web界面UI地址（未开启公网访问） 图2 获取实例Web界面UI地址（开启公网访问） 说明 用户名和密码为创建RabbitMQ实例时自定义的内容。 二、确认实例安全组规则是否配置正确。 1. 在实例详情页面的“基本信息 > 网络”，单击安全组名称，跳转到安全组页面。 2. 选择“入方向规则”，查看安全组入方向规则。 实例未开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5672的访问。 如果是公网访问，需要允许端口15672的访问。 实例已开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5671的访问。 如果是公网访问，需要运行端口15671的访问。 三、在浏览器中打开Web界面UI地址，进入Web登录页面。 说明 如果RabbitMQ实例开启了公网访问，可直接在公网环境下的浏览器访问Web页面。 如果RabbitMQ实例未开启公网访问，您需要购买一台与RabbitMQ实例网络相通的Windows弹性云主机，然后登录弹性云主机访问Web页面。 购买弹性云主机操作，请参考 图3 登录实例Web页面 四、单击“Login”，登录完成。

walreceiverstatusinterval (integer) 指定在后备机上的WAL 接收者进程向主服务器或上游后备机发送有关复制进度的信息的最小频度，它可以使用pgstatreplication视图看到。后备机将报告它已经写入的上一个预写式日志位置、它已经刷到磁盘的上一个位置以及它已经应用的最后一个位置。这个参数的值是报告之间的最大间隔，以秒计。每次写入或刷出位置改变时会发送状态更新，或者至少按这个参数的指定的频度发送。因此，应用位置可能比真实位置略微滞后。将这个参数设置为零将完全禁用状态更新。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。默认值是 10 秒。 hotstandbyfeedback (boolean) 指定一个热后备机是否将会向主服务器或上游后备机发送有关于后备机上当前正被执行的查询的反馈。这个参数可以被用来排除由于记录清除导致的查询取消，但是可能导致在主服务器上用于某些负载的数据库膨胀。反馈消息的发送频度不会高于每个walreceiverstatusinterval周期发送一次。默认值是off。这个参数只能在postgresql.conf文件中或在服务器命令行上设置。如果使用级联复制，反馈将被向上游传递直到它最后到达主服务器。后备机在接收到反馈之后除了传递给上游不会做任何其他操作。这个设置不会覆盖主服务器上的oldsnapshotthreshold的行为，后备服务器上一个超过了主服务器年龄阈值的快照可能会变得不可用，导致后备服务器上事务的取消。这是因为oldsnapshotthreshold 是为了对死亡行能够存在的时间给出一个绝对限制，不然就会因为一个后备服务器的配置而被违背。

show defaulttransactionreadonly; defaulttransactionreadonly on (1 row) 是，执行步骤4。 否，执行步骤13。 4. 执行以下命令，打开“dbservice.properties”文件： source $DBSERVERHOME/.dbserviceprofile vi ${DBSERVICESOFTWAREDIR}/tools/dbservice.properties 5. 修改“gaussdbreadonlyauto”的值为“OFF”，默认为“ON”。 6. 执行以下命令，打开“postgresql.conf”文件： vi ${DBSERVICEDATADIR }/postgresql.conf 7. 删除“defaulttransactionreadonly on”。 8. 执行以下命令，使配置生效： gsctl reload D ${DBSERVICEDATADIR } 9. 登录FusionInsight Manager，选择“运维 > 告警 > 告警”。单击告警“数据库进入只读模式”所在行右侧“操作”列中的“清除”，在弹出窗口中单击“确定”。手动清除该告警。 10. 以omm用户登录DBServer主管理节点，执行以下命令查看数据目录磁盘空间下超过500MB的文件，检查该目录下是否有误写入的大文件存在。 source $DBSERVERHOME/.dbserviceprofile find "$DBSERVICEDATADIR"/../ type f size +500M 是，执行步骤11。 否，执行步骤13。 11. 根据实际情况处理误写入的文件。 12. 登录FusionInsight Manager，选择“集群 > 待操作集群的名称 > 服务 > DBService”，在“概览”页面查看“数据目录磁盘空间使用率”图表，检查数据目录磁盘空间使用率是否低于80%。 是，处理完毕。 否，执行步骤13。 收集故障信息 13. 在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 14. 在“服务”中勾选待操作集群的“DBService”。 15. 设置日志收集的主机，可选项，默认所有主机。 16. 单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 17. 请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

表IPsec策略说明 参数 说明 取值样例 认证算法 认证哈希算法，支持的算法： SHA1（此算法安全性较低，请慎用） MD5（此算法安全性较低，请慎用） SHA2256 SHA2384 SHA2512 SM3。 仅国密型VPN连接选择该认证算法。 国密型VPN连接默认配置为：SM3。 非国密型VPN连接默认配置为：SHA2256。 SHA2256 加密算法 加密算法，支持的算法： 3DES（此算法安全性较低，请慎用） AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） AES128GCM16 AES256GCM16。SM4。 仅国密型VPN连接选择该加密算法。 国密型VPN连接默认配置为：SM4。 非国密型VPN连接默认配置为：AES128。 AES128 PFS PFS（Perfect Forward Secrecy）即完美前向安全功能，配置IPsec隧道协商时使用。 PFS组支持的算法： Disable（此算法安全性较低，请慎用） DH group 1（此算法安全性较低，请慎用） DH group 2（此算法安全性较低，请慎用） DH group 5（此算法安全性较低，请慎用） DH group 14（此算法安全性较低，请慎用） DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 默认配置为：DH group 15。 说明 国密型VPN连接无此参数。 国密型VPN网关和国密型对端网关创建VPN连接时，需要保证国密型对端网关关闭PFS功能，否则会导致VPN连接无法建立。 DH group 15 传输协议 IPsec传输和封装用户数据时使用的安全协议。目前支持的协议： ESP 默认配置为：ESP。 ESP 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：30~604800。 默认配置：3600。 3600 报文封装模式 默认设置为隧道（TUNNEL）模式。 TUNNEL 说明 IKE策略指定了IPsec隧道在协商阶段的加密和认证算法，IPsec策略指定了IPsec隧道在数据传输阶段所使用的协议、加密以及认证算法。VPC和数据中心的VPN连接在策略配置上需要保持一致，否则会导致VPN协商失败，进而导致VPN连接建立失败。 以下算法安全性较低，请慎用： 认证算法：SHA1、MD5。 加密算法：3DES、AES128、AES192、AES256。 出于部分对端设备不支持安全加密算法的考虑，VPN连接的默认加密算法仍为AES128。在对端设备功能支持的情况下，建议使用更安全的加密算法。 DH算法：Group 1、Group 2、Group 5、Group 14。 5. 确认VPN连接规格，单击“提交”。 6. 参见上述步骤，创建第二条VPN连接。 VPN连接的IP对应关系，请参见本指南“企业版VPN网关管理 > 创建VPN网关 > 背景信息”。

本文将向您介绍如何查询您的网站业务统计分析报表。 功能介绍 可以通过安全报表，可以查询Web安全、CC安全两个维度的攻击数、攻击趋势、威胁类型分布、攻击IP TOP 10、TOP攻击URL等报表，并且支持导出报表。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 新增域名后，边缘云WAF将会自动为域名开启域名防护规则功能，一旦识别到攻击行为，将产生攻击日志，并将攻击数据统计在安全报表中 查看安全报表 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【统计分析】模块 2. 根据您的站点业务数据查看需求，选择业务分析报表或者热门分析报表页面 业务分析报表说明 业务分析模块可为客户提供带宽流量、请求数、状态码等指标。 通过筛选项进行组合查询带宽流量、请求数、状态码等指标。筛选项包括域名、运营商、地区、时间。 带宽流量。界面中展示的是您所选范围、域名、运营商、地区、时间范围内的带宽和流量统计图表，可通过切换“带宽”和“流量”的按钮查看带宽和流量图，同时会给出查询时间范围内每日总流量、带宽峰值、峰值时间点。 请求数。界面中展示的是您所选范围、域名、运营商、地区、时间范围内的请求数和QPS统计图表，可通过切换“请求数”和“QPS”的按钮查看请求数和QPS图，请求数图表中包括了总请求数、动态http请求数、动态https请求数、静态http请求数、静态https请求数。 天粒度数据统计说明： 没有开启WAF防护：防护请求数0，总请求数静态http请求数+静态https请求数+动态请求数+动态https请求数。 开启WAF防护：动态请求数0，总请求数静态http请求数+静态https请求数+防护请求数。 状态码。界面中展示的是您所选域名、运营商、地区、时间范围内的状态码统计图表，可通过切换“所有状态码”、“2XX”、“3XX”、“4XX”、“5XX”的按钮查看不同状态码的图表，并显示查询时间范围内的总状态码量，同时展示状态码占比表和状态码占比饼图。

本文介绍如何操作病毒查杀、实时防护、黑白名单等能力。 背景 终端作为企业日常办公、业务处理、系统维护的设备，承载着企业重要的数据。在复杂严峻的外部网络环境中，极易遭遇非法访问、病毒入侵以及信息泄露等诸多安全风险。如今，移动办公与远程办公需求持续攀升，这无疑让终端安全面临着前所未有的挑战。因此，怎样强化终端的安全管理，有效抵御外来攻击，切实保障数据安全，已然成为终端安全领域的共同迫切诉求。 功能说明 企业管理员可以在控制台的终端防病毒页面，手动或者周期性配置病毒扫描策略，远程对员工客户端所在的环境进行扫描检测，最终在控制台对病毒进行统计和管理。 注意 终端防病毒扫描功能客户端版本号为2.3.x及以上，扫描病毒进行自动查杀需客户端版本为2.6.x以上，支持的操作系统为Windows、麒麟、统信。如有需要，请 同时，需注意订购套餐需满足以下条件之一： 1、已订购终端管理基础版，点击查看 2、零信任服务套餐为企业版，点此查看零信任服务

本节介绍云智助手的产品介绍。 产品介绍 云智助手（原AI应用中心）是天翼AI云电脑3.0推出全系统级AI应用，全面接入DeepSeek大模型，并基于星辰大模型和合作伙伴大模型能力，提供一系列场景化AI能力，升级全场景智能化体验。通过AI赋能，重塑AI云电脑使用体验，让AI云电脑更智能、更简单、更好用。 应用场景 云智助手通过打造了AI助手、AI空间两大功能模块，赋能办公、教育、创作、生活等场景，提升工作、生活效率。 使用说明 使用范围 （1）公有云：所有天翼AI云电脑（公众版）、天翼AI云电脑（政企版）均可使用云智助手； （2）私有云：可联系天翼云客服、大区、售前经理了解私有化部署要求。 获取方式 （1）已在AI云电脑镜像中预装，在桌面找到“云智助手”点击即可直接使用； （2）如未在桌面找到或已卸载，可前往AI云电脑应用市场，搜索“云智助手”下载。 使用条件 （1）云智助手当前支持Windows、UOS等各类操作系统； （2）天翼AI云电脑客户端建议升级至v2.4.3及以上版本； （3）移动端可以通过下载天翼云云电脑APP（3.1.1以上版本）使用云智助手。

本节主要介绍QoS策略列表。 点击导航栏中的“服务”>“QoS策略”，进入“QoS策略管理”页面。在“QoS策略管理”页面，可以查看QoS策略相关信息。可以通过“策略名称”查找对应的QoS策略。 图1 QoS策略列表（单机版） 图2 QoS策略列表（集群版） 项目 描述 策略名称 QoS策略名称。 回收策略 QoS策略的回收策略： 删除：解除QoS策略关联的所有对象或者删除QoS策略关联的所有对象，系统会触发删除QoS策略。 保留：解除QoS策略关联的所有对象或者删除QoS策略关联的所有对象，QoS策略仍保留。 IOPS（总/读/写） 每秒能够进行读写操作/读操作/写操作次数的最大值。 带宽（总/读/写） 总带宽/读带宽/写带宽上限。 突发IOPS（总/读/写） 使用Burst功能时，每秒能够进行读写操作/读操作/写操作次数的最大值。 突发带宽（总/读/写） 使用Burst功能时，总带宽/读带宽/写带宽上限。 突发时长 使用Burst功能时，按照Burst上限的能力进行操作所能持续的时间，单位是秒。上限项目依次为：读写操作次数、读操作次数、写操作次数、总带宽、读带宽、写带宽。 创建时间 QoS策略创建的时间。

本节介绍AccessKey的管理操作说明。 AccessKey 是调用 AIuse 云电脑 SDK 和 MCP 能力的身份凭证。调用方需要使用 AccessKey ID、AccessKey Secret 和桌面编码建立连接，并在授权范围内操作云电脑。 创建 AccessKey 操作步骤如下： 1. 登录 AIuse 云电脑控制台。 2. 进入“协同套件 AIuse 云电脑”功能专区。 3. 在服务管理页面单击“创建 AccessKey”。 4. 输入 AccessKey 名称等信息。 5. 确认创建。 创建完成后，请妥善保存 AccessKey ID 和 AccessKey Secret。AccessKey Secret 属于敏感凭证，不应通过截图、聊天工具、工单附件或公开仓库传播。 命名建议 建议 AccessKey 名称包含业务含义，便于后续管理和排查。 名称示例 说明 demodevkey 演示环境使用 projectatestkey 项目 A 测试环境使用 financebatchprodkey 财务批处理生产任务使用 关联云电脑 AccessKey 创建后，需要关联指定云电脑才可使用。 操作步骤如下： 1. 在服务管理页面找到目标 AccessKey。 2. 单击“关联云电脑”。 3. 在弹窗中搜索并选择需要绑定的云电脑。 4. 单击确认，完成绑定。 AccessKey 只能操作已关联的云电脑。若调用时返回“指定桌面不属于当前用户”或类似错误，请优先检查 AccessKey 与云电脑的关联关系。 查看与复制密钥 在 AccessKey 列表中，可以查看 AccessKey ID、AccessKey Secret 和关联云电脑数量。复制密钥时，请确认当前环境安全，避免在录屏、投屏或共享屏幕场景下展示 Secret。

本文介绍了如何在科研助手中使用Qwen3模型服务。 概述 阿里巴巴开源新一代通义千问模型Qwen3，参数量仅为DeepSeekR1的1/3，成本大幅下降，性能全面超越R1、OpenAIo1等全球顶尖模型，登顶全球最强开源模型。Qwen3是国内首个“混合推理模型”，“快思考”与“慢思考”集成进同一个模型，对简单需求可低算力“秒回”答案，对复杂问题可多步骤“深度思考”，大大节省算力消耗。 当前在科研助手的社区镜像中，我们已经为您提前部署好了完整的服务，模型参数覆盖8b、14b、32b、235b，方便您即刻体验，开箱即用。 前置说明 1. 该文档为在科研助手中使用Qwen3模型服务。 2. 本产品中的模型由第三方主体提供，尽管天翼云公司已尽最大努力进行识别和维护，但仍无法保证模型的可用性。请客户按照该产品的服务协议使用该产品，做好甄别并对自行选择的服务负责. 环境准备 步骤1：进入科研助手控制台，点击左上角，切换“科研版”； 步骤2：点击当前科研版"概览"页，点击快捷入口【找应用】，进入应用商城； 步骤3：在“应用商城”中，找到名为“Qwen3全参数模型”的镜像，点击【使用此镜像】，进入开发机购买界面； 步骤4：在购买页面中，【基础信息】【主机规格】一栏，用户可以按照如下配置选择： 说明 目前镜像支持的可用区有：福州6、贵阳2、中卫4； 中卫4支持运行235b，其余可用区可以运行8b、14b、32b。 配置 算力型号 可用区 说明 ::: 最低配置 NVIDIA A10 福州6 推荐配置 GPU.gn4.2xl1 贵阳2 最高配置 NVIDIA A100 40G 中卫4 可运行235b 这里以可用区贵阳2的GPU.gn4.2xl为例，可以看到，【镜像框架】中框架版本已默认选好【社区镜像】的“openwebuiqwen3pubdataset”，其余【计费模式】、【可用区】等可按照实际需要选择。 步骤5：点击【确认订单】，完成开发机创建并启动。

本节内容包含通用使用建议。 在使用DRS前，您需要了解： DRS支持从数据库同版本或低版本到高版本的迁移，不支持从高版本迁移到低版本。 数据库迁移与环境多样性和人为操作均有密切关系，为了确保迁移的平顺，建议您在进行正式的数据库迁移之前进行一次演练，可以帮助您提前发现问题并解决问题。 如果您使用的是全量迁移模式，确保源和目标数据库无业务写入，保证迁移前后数据一致。如果您使用的是全量+增量迁移模式，支持在源数据库有业务数据写入的情况下进行迁移。 DRS任务启动和全量数据迁移阶段，请不要在源数据库执行DDL操作，否则可能导致任务异常。 全量阶段读取表数据时，特别是大表的读取，可能会阻塞业务上对大表的独占锁操作。 迁移无主键表时，为了确保数据一致性，会存在3s以内的单表级锁定。 正在迁移的数据被其他事务长时间锁死，可能导致读数据超时。 由于MySQL固有特点限制，CPU资源紧张时，存储引擎为Tokudb的表，读取速度可能下降至10%。 DRS并发读取数据库时，会占用大约610个session连接数，需要考虑该连接数对业务的影响。 在网络无瓶颈的情况下，全量迁移会对源数据库增加约50MB/s的查询压力，以及占用2~4个CPU。 建议您在启动任务时选择“稍后启动”功能，将启动时间设置在业务低峰期，相对静止的数据可以有效提升一次性迁移成功率，避免迁移对业务造成性能影响。如果迁移不可避免业务高峰期，推荐使用迁移限速功能，即“流速模式”选择“限速”。 如果涉及多对一迁移场景，您需要了解： 创建多对一迁移任务时，目标库读写设置需要跟已有任务设置为一致。 说明 在配置任务阶段，若打开多页面操作任务，可能会对已配置的任务信息产生影响，所以建议仅使用单个页面操作任务。一个典型的场景是，若页面一已将任务配置到预检查完成阶段，又打开页面二重新选择要通过DRS迁移的表信息，可能会导致页面二的操作覆盖页面一的操作，最终启动任务后，DRS迁移的表信息不符合预期。 数据迁移完成后，您需要了解 迁移完成后，建议您结合数据对比（对比迁移项）的“稍后启动”功能，选择业务低峰期进行数据对比，以便得到更为具有参考性的对比结果。由于同步具有轻微的时差，在数据持续操作过程中进行对比任务，可能会出现少量数据不一致对比结果，从而失去参考意义。

前提条件 在控制台完成沙箱模版创建。 在执行下文所有代码前，请先按照环境变量设置部分，完成环境变量设置。 运行代码 您可以使用 runcode 方法来在沙箱内置的 jupyter server 中执行代码。 python from e2bcodeinterpreter import Sandbox 注意：修改下面模版为您的模版名称或者模版id sandbox Sandbox.create(template"mytestcodetemplate") 默认执行python代码 response sandbox.runcode("print("hello")") 支持多种语言 您可以指定代码的语言，支持 python, javascript, java, r, bash。 python response sandbox.runcode( "console.log("hello")", "javascript" ) 创建代码执行上下文 默认情况下，每个语言会运行在其默认的上下文中，同一上下文共享变量。 您可以通过 createcodecontext 来创建上下文。 python ctx sandbox.createcodecontext(language"python") 您可以通过 context 参数来指定运行时上下文，需要注意，仅能设置 language 和 context 中的一个参数，两者互斥。 python response sandbox.runcode( "print("hello")", contextctx ) 代码执行流式返回 代码执行可以流式返回，您可以通过指定回调函数来接收流式返回的数据。 python pythonstreamcode """ import time for i in range(10): print(i, end'') time.sleep(1) """ sandbox.runcode( pythonstreamcode, onstdoutlambda data: print(data), onstderrlambda data: print(data), onresultlambda data: print(data), onerrorlambda data: print(data) ) 指定代码运行环境变量 您可以为代码运行指定环境变量。 python response sandbox.runcode( "print("hello")", envs{"foo": "bar"} ) 指定代码执行超时时间 您可以为代码运行指定超时时间，在超过指定时间后终止代码运行。 python response sandbox.runcode( "print("hello")", timeout60

本章节介绍MSAP管理类常见问题 MSAP系统中可以自定义创建成员？ 添加子账号请访问 控制台。所有操作云容器引擎命名空间（创建环境绑定云容器引擎命名空间或部署应用）的子账号需要先被主账号授予云容器引擎集群命名空间权限，才可以将已授权的集群命名空间权限授予给其他子账号。账号同步需要子账号用户先登录天翼云官网并访问MSAP控制台才可同步成功。 MSAP系统是否支持无限量的创建项目？ 不允许无限量创建项目，因为此数据受租户配额管理，最多允许租户创建100个项目，如确实需要增加项目数，可以联系客服人员进行合理增加。 跳转到日志服务后，检索不到日志内容？ 出现此问题先按照如下方式进行检查。 1. 检查日志插件是否正常安装，可以在日志收集配置处，点击如何收集日志按钮，按照指引跳到对应的插件界面进行检查和安装。 2. 检查日志路径是否配置正确，配置的路径需要是有日志输出的路径才能正确收集到日志，修改了日志路径，需要再次部署应用才能生效。 应用发布成功后，没有注册到环境中添加的注册配置中心？ 程序中能识别的配置要与官方配置内容格式一致。 Springcloud配置： spring.cloud.nacos.discovery.serveraddr: 127.0.0.1:8859 spring.cloud.nacos.discovery.namespace: default spring.cloud.nacos.discovery.username: xxxxx spring.cloud.nacos.discovery.password: xxxxx Dubbo配置： dubbo.registry.address: 127.0.0.1:8859 dubbo.registry.username: xxxxx dubbo.registry.password: xxxxx dubbo.registry.parameters.namespace: default

本文为您介绍卸载Tesla驱动的操作方法。 背景信息 注意 GPU云主机必须配备了相关驱动才可以正常使用。如果您因某种原因需要卸载当前驱动，请务必再安装与您实例规格及操作系统相匹配的正确驱动，否则会因GPU云主机与安装的驱动不匹配而造成业务无法正常进行的风险。 前置说明 卸载 Tesla 驱动前，请先完成cuDNN及CUDA的卸载操作，再按本文步骤执行驱动卸载。 关闭所有使用Tesla 驱动的程序。 在Windows操作系统中卸载Tesla驱动 以下操作以操作系统为Windows Server 2019的GPU计算加速型云主机PI7为例。 1. 登录控制中心。 2. 单击“左侧导航栏>服务列表”，选择“计算 > 弹性云主机”。 3. 获取GPU云主机密码。VNC方式登录GPU云主机时，需已知其密码，然后再采用VNC方式登录。 4. 在云主机列表中，选择目标GPU云主机，其对应的“操作”列下，点击“远程登录”。 5. （可选）如果界面提示“Press CTRL+ALT+DELETE to log on”，请单击远程登录操作面板右上方的“Send CtrlAltDel”按钮进行登录。 6. 根据界面提示，输入GPU云主机的密码登录。 7. 单击Windows桌面左下角图标，单击“控制面板”。 8. 在控制面板中，选择“程序 > 卸载程序”。 9. 右键单击待卸载的GPU驱动，然后单击“卸载/更改(U)”。 10. 在弹出的卸载程序对话框中，单击“卸载(U)”。 11. 卸载完成后，单击“马上重新启动(R)”。重启完成后，打开“设备管理器”→“显示适配器”，若未显示NVIDIA Tesla相关显卡，即表示驱动卸载成功。

本文介绍一键部署Palworld幻兽帕鲁服务器 操作场景 《幻兽帕鲁》是Pocketpair开发的一款开放世界生存制作游戏，轻量型云主机上线幻兽帕鲁应用镜像，提供Windows Server和Linux (Ubuntu)的两种操作系统，帮助游戏玩家一键部署幻兽帕鲁多人联机服务器。 操作步骤 1. 进入轻量型云主机官网详情页，点击立即开通，进入轻量型云主机订购页。 2. 在轻量型云主机订购页，选择对应配置。 ● 地域及可用区。建议选择接近目标客户的地域，以降低网络延迟并提高客户的访问速度。 ● 镜像。选择应用镜像——游戏——Palworld。 ● 规格套餐。按需选择规格套餐，包含CPU、内存、数据盘、弹性IP及带宽。 ● 数据盘。按需选择是否要购买数据盘。 ● 密码。可立即创建或稍后创建密码。 ● 购买时长。按需选择订购时长，默认订购时长为1个月。 ● 自动续订。 ● 购买数量。按需选择购买数量，默认购买数量为1台。 3. 单击立即购买。 4. 返回轻量型云主机控制台，在轻量型云主机详情页查看主机的弹性IP地址。 5. 登录Steam客户端，在“库”中找到幻兽帕鲁，并点击开始游戏。 6. 配置游戏专用服务器，在游戏菜单选择加入多人游戏专用服务器，在地址输入框输入主机弹性IP地址。 7. 更新世界参数。为提升游戏体验可根据帮助文档修改世界参数。详细操作教程可见Palworld幻兽帕鲁世界参数修改最佳实践（Ubuntu）。

本节介绍了设置网卡属性为DHCP(Windows)的操作场景、前提条件、操作步骤。 操作场景 通过云主机或者外部镜像文件创建私有镜像时，如果云主机或镜像文件所在虚拟机的网络配置是静态IP地址时，您需要修改网卡属性为DHCP，以使私有镜像发放的新云主机可以动态获取IP地址。 本节以Windows Server 2008 R2操作系统为例。其他操作系统配置方法略有区别，请参考对应操作系统的相关资料进行操作，文档中不对此进行详细说明。 说明： 使用外部镜像文件创建私有镜像时，设置网卡属性操作需要在虚拟机内部完成，建议您在原平台的虚拟机实施修改后，再导出镜像。 前提条件 已登录创建Windows私有镜像所使用的云主机。 登录云主机的详细操作请参见《弹性云主机用户指南》。 操作步骤 1. 在云主机上选择“开始 > 控制面板”。 2. 单击“网络和Internet”。 3. 单击“网络和共享中心”，如下图所示。 网络和共享中心 4. 选择您已经设置为静态IP的连接。以单击“本地连接 2”为例，如下图所示。 本地连接 2状态 5. 单击“属性”，选择您配置的协议版本。 6. 在“常规”页签中勾选“自动获得IP地址”和“自动获得DNS服务器地址”，单击“确定”，如下图所示。 说明： 建议您记录原有网络信息，以便后续可以修改回原有配置。 配置网络获取IP方式 7. 系统会自动获取IP地址。建议您保存原有的地址信息，方便后续修改回原有配置。

java version java version "17.0.3" 20220118 LTS Java(TM) SE Runtime Environment (build 17.0.3+8LTS86) Java HotSpot(TM) 64Bit Server VM (build 17.0.3+8LTS86, mixed mode, sharing) 安装tomcat 1.执行如下命令，进入tomcat目录。 cd /home/webDemo/tomcat 2.解压tomcat安装包到tomcat目录下。 tar xvf apachetomcatx.x.xx.tar.gz C /home/webDemo/tomcat/ 例如：以v8.5.78版本安装包为例，执行以下命令。 tar xvf apachetomcat8.5.78.tar.gz C /home/webDemo/tomcat/ 3.进入tomcat的bin目录，执行以下命令安装tomcat。 cd /home/webDemo/tomcat/apachetomcatx.x.xx/ cd bin/ 例如：以v8.5.78版本安装包为例，执行以下命令。 cd /home/webDemo/tomcat/apachetomcat8.5.78/ cd bin/ 4.执行如下命令编辑setclasspath.sh脚本。 vi setclasspath.sh 并在setclasspath.sh脚本底部添加以下内容。 请根据资源和成本规划表中jdk的版本号替换如下内容中的jdk版本号。 export JAVAHOME/home/webDemo/jdk/jdk17.0.3 export JREHOME$JAVAHOME 5.执行如下命令保存后退出。 :wq 6.可输入以下命令启动tomcat。 ./startup.sh 7.执行如下命令查看tomcat进程。 ps ef grep tomcat 若返回如下图所示，表示tomcat启动成功。 图 查看tomcat进程 验证JavaWeb环境搭建完成 在浏览器输入以下内容。 如果界面跳转至默认的Tomcat界面，证明JavaWeb环境搭建完成。我们就可以在公网访问云主机的8080端口了。 图 访问云主机的8080端口

本节主要介绍负载均衡的组成、产品优势、应用场景和使用限制。 负载均衡（Server Load Balancer，简称SLB）是一种根据转发策略将流量分发到多台后端服务器的服务。通过挂载多台后端服务器的方式扩展系统的整体服务能力，同时消除系统单点故障以提高系统整体的可用性。负载均衡的虚拟服务地址（VIP）为负载均衡的服务地址，将多台后端服务器虚拟成一个高性能服务。 负载均衡可分为公网负载均衡以及内网负载均衡。公网负载均衡会绑定弹性公网IP，公网的客户端可以通过弹性公网IP来访问负载均衡服务。内网负载均衡通过内网IP对内网负载均衡所属VPC提供负载均衡服务。 产品优势 可扩展 可以根据业务应用的负载进行扩容或者缩容，添加或者移除后端服务器组中的服务器来调整系统的能力。 高可用 配置多台后端服务器，消除单点故障，保证业务的可用性。 多协议 根据不同的业务接入需求，可以选择TCP/UDP/HTTP/HTTPS协议。 简单易用 产品化部署SLB服务，根据不同的业务需求配置不同的负载均衡实例类型、监听不同的协议和端口，以及配置后端服务器组，且所有配置实时生效。 应用场景 高业务量流量分发，针对业务量大的服务，通过购买负载均衡实例并配置对应转发策略，以及添加多后端服务器，把业务分发到多后端服务器上。 消除单点故障，当一部分后端服务器不可用时，负载均衡通过健康检查可自动屏蔽故障的后端服务器，保障应用系统正常工作。 全局负载均衡，结合智能DNS将域名解析到不同地域的SLB，可实现全局多地域的负载均衡，保障异地容灾。

本文为您介绍租户集群为自建集群的集群组件安装步骤。 注意事项 集群组件在运行时会挂载k8s node宿主机的/data（非crio）和/root（crio）目录，请确保目录的权限正常。 请确保您的k8s集群允许出网策略TCP端口：31080、30432、32345。 获取部署脚本 1. 进入容器安全卫士产品控制台。 2. 在左侧导航栏选择“安装配置 > 组件安装”，进入组件安装页面。 3. 单击“集群组件部署”，进入集群组件部署页面。 4. 选择“是否为天翼原生k8s集群”，此处选择“自建集群”；选择集群所在的资源池。 5. 下载镜像。 1. 选择容器运行环境（支持docker、containerd、CRIO）。 2. 选择集群CPU架构（支持X86、ARM架构）。 3. 单击“下载镜像Tar包”下载镜像Tar包到本地，然后加载至您的私有仓库中（请不要修改镜像名称）。 Tar包中包含4个镜像，分别为： library/dosecagent:20241224T19.31.05V5.2.0release298e83b85cc6c5bc,library dosechosttool:alpineV3.8,library dosecscanner:20250106T17.38.12V5.2.0releasebd003dd3e87a1881,library dosecserver:20250107T11.36.00V5.2.1sp891.1release287a57d168109d92 6. 生成部署脚本。 1. 选择集群所在的VPC、VPC子网，输入私有仓库的地址、账号、密码。 2. 单击“生成yaml文件”，并将yaml文件保存到本地。 注意 系统会根据您的输入自动生成yaml。 容器安全卫士不会保存您的私有仓库用户名和密码以保证安全。 下载后的包，内容请勿进行修改。 下载的脚本仅能用于一个k8s集群使用，若在不同集群重复使用可能造成数据异常。