使配置立即生效 5. 执行如下命令拉取ownCloud镜像： plaintext docker pull owncloud 6. 创建ownCloud容器并运行，ownCloud参数说明如下： 参数 说明 owncloud 容器名称。 /data/owncloud/:/var/www/html 目录映射，/data/owncloud/为数据文件存储的目录，该配置可将数据存储到文件系统中。 p 7070:80 端口映射，本次使用7070端口。 7. 执行如下命令，创建owncloud容器并运行 plaintext docker run p 7070:80 d v /data/owncloud/:/var/www/html owncloud 8. 执行如下命令，检查ownCloud容器 plaintext docker ps 可以查看owncloud的ContanerID及端口情况，状态为up说明运行中。 步骤四：浏览器打开ownCloud 1. 在虚拟机管理界面的安全组选项中，对浏览器所在机器的ip地址和ownCloud所使用的7070方向和入方向进行放开。本文采用的是对全部协议和端口进行放通。 2. 在本地浏览器输入弹性云主机的弹性IP:7070,打开ownCloud登录页面。设定管理员账号和密码，点击“安装完成”。 3. 安装完成后进入网盘页面，可以进行内容上传，新建文件夹，共享内容等。

本文介绍镜像服务使用前的准备工作。 注册天翼云账号 在创建和使用镜像服务之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接创建镜像服务。 1. 打开天翼云门户网站，点击“注册”。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击“同意协议并提交” 按钮，如1分钟内手机未收到验证码，请再次点击“免费获取短信验证码”按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 如需实名认证，请参考：会员服务实名认证。 为账户充值 目前，天翼云提供的镜像中，除了个别的公共镜像，例如GPU云主机使用的Windows2019DataCenterGRID13.2镜像外，其他的公共镜像、私有镜像、共享镜像、安全产品镜像均为免费。如果用户采用镜像文件的形式导入私有镜像，用户需要先创建对象存储桶，即用户需要为对象存储付费。 因此，在使用镜像服务前，您需要确保账户有足够金额。 关于如何为账户充值，请参考：费用中心账户充值。 镜像服务计费标准，请参考：计费说明。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b configID 是 Integer 伸缩配置ID 427 name 否 String 伸缩配置名称 asconfiglocal001 imageID 否 String 镜像ID b78812b0ff504816b58f5c4fbc230b08 securityGroupIDList 否 Array of Strings 安全组ID列表 ['sgnd1h63d2j8'] specName 否 String 规格名称 c6.large.2 volumes 否 Array of Objects 磁盘类型和大小列表，元素为volume [{'volumeType':'SATA', 'volumeSize':40,'flag':1}] volume useFloatings 否 Integer 是否使用弹性IP。 取值范围：1：不使用，2：自动分配 2 bandWidth 否 Integer 弹性IP带宽，单位：Mbps，useFloatings为2时必填，范围13000 100 loginMode 否 Integer 登录方式。取值范围：1：密码，2：密钥对 2 username 否 String 用户名，loginMode为1时，必填 root password 否 String 密码，loginMode为1时，必填 ysdf12dfgGG@ keyPairID 否 String 密钥对ID，loginMode为2时，必填 539b0666d667c71f62b54db7a3cbdd59 userData 否 String 用户自定义数据，以Base64方式编码 ZWNobyBoZWxsbyBnb3N0YWNrIQ tags 否 Array of Objects 标签集 tag azNames 否 Array of Strings 可用区列表，仅多可用区资源池支持 ['az1', 'az2'] monitorService 否 Boolean 是否开启详细监控，默认开启。 取值范围：true：开启，false：关闭 true

本节介绍天翼云电脑(OpenClaw版)下载并安装Skiils的操作步骤。 OpenClaw云电脑预置了哪些Skills？ 天翼云电脑（OpenClaw版）预置了以下Skiils，开箱即用： cctvnewsfetcher （获取央视新闻联播指定日期的内容） chinatelecommail（发送和接收邮件） findskills（帮助发现和安装新技能） selfimproving（自我反思、自我批评、自我学习和记忆组织） skillvetter（安装技能前进行安全审计） stockwatcher（管理个人股票观察列表，查看股票表现） summarize（总结网页、PDF、图片、音频、YouTube 内容） tavilysearch（AI 优化的网页搜索） 如何下载并安装Skills？ 1. 访问skills库 打开浏览器访问：< skills 进入技能列表； 2. 搜索并选择skill 在页面顶部搜索框输入skill名称，找到需要安装的skill并点击进入详情页； 3. 下载skill压缩包 在详情页右侧，点击 “Download zip” 下载skill压缩包； 4. 解压并放置到skills目录 Windows 系统：C:UsersAdministrator.openclawskills Ubuntu / 妙逸系统：/home/ctyun/.openclaw/skills 如自行修改过skills目录，放到对应目录即可； 5.

常用概念 标准裸金属 标准裸金属属于天翼云物理机的一种实例形态，指搭配标准物理网卡的物理机，支持10GE、25GE网卡等。 弹性裸金属 弹性裸金属属于天翼云物理机的一种实例形态，指搭配智能网卡的物理机，实现存储和网络的卸载，可挂载ceph云盘、连接文件存储或者对象存储，同时接入虚拟网络VPC支持多网卡、安全组等功能。 无虚拟化损耗 天翼云物理机没有虚拟化，算力能力完全提供给租户。 资源独享 天翼云物理机以台为单位进行售卖，实现物理隔离，为租户提供专属的物理机。 国产化兼容 天翼云物理机有高度兼容性，同时兼容X86和ARM等处理器架构，支持鲲鹏、海光等国产处理器芯片的适配。 访问方式 天翼云提供了基于Web的服务管理系统（即控制中心）和基于HTTPS请求的API（Application Programming Interface）管理方式。 API方式 如果用户需要将天翼云的已购物理机集成到第三方系统，用于二次开发，请使用API方式访问物理机。 控制中心方式 其他相关操作，请在控制中心访问物理机。如果用户已注册公有云，可在登录后直接进入控制中心，从左侧服务导航栏选择“计算 > 物理机”。

1.3.2 更新vLLM组件 plaintext cd /work/vllm rm f vllmopenaiv0.8.1.sif 清理演示文件 wget 1.4 模型准备 通过以下渠道获取模型文件： ModelScope：DeepSeekR1DistillLlama70B · 模型库 模型存放路径：/data/hfcache/DeepSeekR1DistillLlama70B 目录结构示例： plaintext ├── config.json ├── model00001of000017.safetensors ├── ... └── tokenizerconfig.json 二、服务管理 2.1 服务配置 编辑部署脚本/work/vllm/rundeepseek.sh，配置关键参数： plaintext export MODELDIR/data/hfcache/DeepSeekR1DistillLlama70B export MODELNAMEDeepSeekR1DistillLlama70B 安全认证配置： plaintext export VLLMAPIKEY"yoursecurepassword" 需替换为高强度密钥 2.2 DeepSeek服务启动 启动服务：sh /work/vllm/rundeepseek.sh plaintext 成功提示: INFO: instance started successfully 2.3 查看DeepSeek状态 状态查看命令：apptainer instance list 输出示例： plaintext INSTANCE NAME PID IP IMAGE appvllm 85419 /work/vllm/vllmopenaiv0.8.3.sif 2.4 DeepSeek服务停止 停止服务命令：apptainer instance stop appvllm 成功提示: INFO: Stopping appvllm instance of /home/deploy/vllm/vllmopenaiv0.8.3.sif (PID85419)

支持的操作系统 天翼AI云电脑同步工具可工作于不同的操作系统，下表给出了满足条件的操作系统最低版本。更低的操作系统版本可能会存在兼容性问题。 登录/退出客户端 扫码登录 在登录界面，使用移动端的天翼AI云电脑App或翼连App进行二维码扫码，移动端确认登录。 账密登录 在登录界面，输入天翼AI云电脑账号密码，点击“安全登录”，即可登录同步工具客户端。 专线接入 若天翼AI云电脑的租户开通了企业专线接入，该租户下用户使用同步工具也需要通过专线接入登录，同步工具的专线地址与天翼AI云电脑专线地址一致。 1.勾选“企业/专线地址”，弹出专线接入配置框。 2.在专线接入配置框中，选择协议类型“http”或“https”，输入专线地址和端口。 3.点击“启用”按钮。 切换账号 在任务栏的同步工具图标鼠标右键，点击“切换账号”，可退出当前登录的账号，重新返回登录界面。 使用同步工具

本小节主要介绍云堡垒机的续费与退订。 控制台续费 为保证用户正常使用云堡垒机服务，在云堡垒机许可证到期前或使用许可到期后15天内，用户可通过“续费”操作增加授权使用期限。 在云堡垒机到期前，可以通过“续费”操作延长到期时间。 在云堡垒机到期后，若未及时续费，则进入“保留期”，不能登录云堡垒机系统。“保留期”为15天，到期仍未续订或充值，存储在云堡垒机中的数据将被删除、资源将被释放。 前提条件 已获取控制台的登录账号与密码。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择待续费的实例，单击“更多 > 续费”，进入“续费”配置页面。 4. 根据需要选择续费时长。 5. 单击“去支付”，在支付页面完成付款。 6. 返回云堡垒机实例列表页面，在“云堡垒机实例”列表查看授权后最新到期时间。 管理中心续费 登录天翼云官网，进入管理中心，选择“订单管理 > 续订管理”，点击“手动续订”或者“开通自动续订”按钮，即可完成实例的续订。

本文介绍了数据管理服务实例录入的两种方法。 您可以在实例列表 页、数据资产 页及团队管理页录入新实例。 前提条件 已准备好支持录入的数据库类型，详细请参见添加云数据库、添加公网/直连数据库等。 通过实例列表录入实例 1. 在右侧菜单栏中点击实例列表 。 2. 在实例列表页面点击 添加实例 。 3. 在添加实例弹窗中输入实例名称、环境、实例属性、数据来源、数据库类型等信息后，点击添加，即可录入新实例。 通过实例管理页录入实例 1. 在左侧菜单栏中，选择 数据资产 >实例管理。 2. 在打开的实例列表页点击添加实例按钮。 3. 在添加实例弹窗输入实例名称、环境、实例属性、数据来源、数据库类型等信息后，点击添加，即可录入新实例。 通过团队管理页录入实例 1. 在左侧菜单栏中，选择 安全协作 > 团队管理 。 2. 进入团队管理页后，点击切换团队实例管理标签页。 3. 点击团队实例管理页左上方的添加实例至团队按钮。 4. 输入实例名称、环境、实例属性、数据来源、数据库类型等信息后，点击添加，即可录入新实例。

添加自定义服务组中服务 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 切换至“服务组”页签，单击添加的服务组名称。弹出“服务组”弹窗。 6. 单击“添加服务”，弹出“添加服务”对话框。 参数名称 参数说明 取值样例 协议 协议类型当前支持：TCP、UDP、ICMP。 TCP 源端口 设置需要开放或限制的源端口。支持设置单个端口，或者连续端口组，中间使用“”隔开，如：80443 说明 协议选择ICMP时，无需填写端口号。 80 目的端口 设置需要开放或限制的目的端口。支持设置单个端口，或者连续端口组，中间使用“”隔开，如：80443 说明 协议选择ICMP时，无需填写端口号。 80 描述 标识该服务的使用场景和用途，以便后续运维时快速区分不同服务的作用。 7. 单击添加可添加多个服务。 8. 确认无误后，单击“确认”，完成添加。

本节介绍如何为日志审计v1.0开启/切换IPv6防护。 子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 日志审计开通 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”。 4. 在资源概览页面右上角，单击“立即购买”。 5. 在购买页面配置基础信息（包括区域 、虚拟私有云 、子网、可用区 和CPU分类 ），套餐选择自定义中的日志审计、并进行产品规格配置。 6. 选择购买时长后，勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“立即购买”。完成购买后等待资源开通成功。 登录日志审计系统 在云等保专区左侧导航栏，选择“日志审计”，在目标资源右侧操作列单击“配置”，进入日志审计系统。 开启IPv6防护 开通日志审计v1.0后，还需要配置网络才能开启IPv6防护，请提交工单联系技术支持进行配置。

Web应用防火墙会记录未拦截的事件吗？ WAF根据配置的防护规则拦截攻击事件，并将拦截或者仅记录攻击的事件记录在防护日志中，不会记录未拦截的事件。 为什么WAF显示的流量大小与源站上显示的不一致？ WAF“安全总览”页面显示的流量大小与源站上显示的不同，主要原因说明如下： 网页压缩 WAF默认开启压缩，客户端（如浏览器）与WAF之间进行通信的网页可能被压缩（依赖浏览器压缩选项），而源站服务器可能不支持压缩。 连接复用 WAF与源站服务器之间会复用socket连接，这样会降低源站服务器与WAF之间的带宽消耗。 攻击请求 攻击请求被WAF拦截，而这种请求不会消耗源站服务器的带宽。 其他异常请求 如果源站服务器存在超时，无法连接等情况，这种情况不会消耗源站务器的带宽。 TCP层的重传等 WAF统计的带宽是7层的数据，而源站服务器网卡统计的是4层的数据。当网络通信质量差时，会出现TCP重传，网卡统计的带宽会重复计算，而7层传输的数据不会重复计算。在这种情况下，WAF上显示的带宽会低于源站上显示的带宽。

当证书过期或证书无效时，您可以删除该证书。本节介绍如何删除证书。 前提条件 证书没有被使用，即证书未绑定防护网站。 约束条件 如果证书已绑定防护网站，删除证书前需要解除该证书与域名绑定关系。 系统影响 删除证书不会影响业务。 证书删除后不可恢复，请谨慎删除证书。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“对象管理> 证书管理”，进入“证书管理”页面。 步骤 5 在目标证书所在行的“操作”列中，单击“删除”。 步骤 6 在弹出的提示框中，单击“确认”，删除证书。 相关操作 如果证书已绑定防护网站，删除证书前需要解除该证书与域名绑定关系。请参考以下操作步骤，解除证书与域名绑定关系。 步骤 1 在目标证书所在行的“应用域名”列中，单击防护域名，进入域名基本信息页面。 步骤 2 在“证书名称”后单击编辑按钮，在弹出的对话框中，上传新证书或者选择其他已有证书。

Kafka实例信息准备 实例连接地址与端口 实例创建后，从Kafka实例控制台的实例详情页签中的接入点信息栏获取。若Kafka实例为集群部署，至少有3个连接地址，在客户端配置时，建议将地址都配上。 如果开启公网访问，还可以使用实例详情页签中的接入点信息栏中的公网连接地址访问Kafka实例。 Topic名称 从Kafka实例控制台的Topic管理页签中获取Topic名称。 SASL信息 如果实例创建时开启SASL访问，则需要获得SASLSSL用户名与密码、SSL证书、Kafka安全机制和SASL认证机制。 SASL用户名在Kafka实例控制台的“用户管理”页签中查看，如果忘记密码，可以点击“修改”重置密码。 SSL证书 SSL证书，在Kafka实例控制台的实例详情页中的接入点信息栏，选择希望的接入类型，点击其右侧的“查看所有IP和端口信息”，在弹窗中点击SSL接入点右侧的“下载”按钮即可获得。 使用Java语言连接实例时，需要用jks格式的证书。使用Python语言连接实例时，需要用pem格式的证书(可通过jks格式证书转换)。

本节主要介绍如何执行关闭/删除事件操作。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 事件管理”，进入事件管理页面。 5. 在事件管理页面中，对事件进行关闭或删除操作。 参数名称 参数说明 关闭事件 1. 单击目标事件所在行“操作”列的“关闭”，弹出关闭事件确认框。 如果需要关闭多条事件，可以在事件列表中勾选需要关闭的事件，并单击列表上方“批量关闭”。 2. 在关闭确认框中，选择“关闭原因”并填写“关闭评论”后，单击“确认”。 删除事件 1. 在事件管理页面，单击目标事件所在行“操作”列的“删除”，弹出删除事件确认框。 如果需要删除多条事件，可以在事件列表中勾选需要删除的事件，并单击列表上方“批量删除”。 2. 确认无误后，在弹出的确认框中，单击“确认”。 说明 事件删除后，不可找回，请谨慎操作。

本节指导用户在未超出删除密钥的推迟时间，通过密钥管理界面对自定义密钥进行取消删除操作，取消删除后密钥处于“禁用”状态。 前提条件 待取消删除的密钥需处于“计划删除”状态。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 在需要取消删除的密钥所在行，单击“取消删除”。 步骤 5 在弹出的窗口中，单击“是”，完成取消删除单个密钥操作。 如果是通过KMS创建的密钥，取消删除后密钥状态为“禁用”，如需启用密钥，请参见启用密钥操作。 如果是外部导入的密钥，且有密钥材料，取消删除后密钥状态为“禁用”，如需启用密钥，请参见启用密钥操作。 如果是外部导入的密钥，且没有密钥材料，取消删除后密钥状态为“等待导入”，如需使用该密钥，请参见导入密钥操作。 说明 如果您想批量取消删除密钥，可以勾选所有需要取消删除的密钥，然后在列表左上角，单击“取消删除”。

简述什么是视频直播。 产品定义 视频直播（CTLVDN， Live Video Delivery Network）基于天翼云先进的内容接入与分发网络和强大的实时视频处理技术，保证直播分发速度和服务可用性，为客户提供安全、稳定、快速的直播加速服务，使终端用户尽享低延迟、高清流畅的直播观看体验。适用于网络电视直播、赛事直播、游戏直播、秀场直播、全民直播等多种业务场景。 天翼云视频直播提供：直播流接入、实时音视频处理、直播流分发等服务。 产品架构 基于视频源的不同，我们将直播流接入分为：回源架构、推拉流架构两种。 回源架构：客户提供直播源，视频直播节点主动回源拉取直播流，由视频直播产品进行协议转换、实时音视频处理等操作后，再对外提供分发服务。常见有赛事直播、网络电视直播等。 推拉流架构：数据由直播推流SDK或者专业媒体设备经过采集、编码、封装后主动推流至天翼云直播边缘节点，由视频直播产品进行协议转换、实时音视频处理等操作后，再对外提供分发服务。常见有游戏直播、秀场直播、教育直播、金融直播和电商直播等。 推拉流架构如下图所示：

本文向您介绍通过企业版VPN实现云上云下网络互通（双活模式）的方案概述。 应用场景 当用户数据中心需要和VPC下的ECS资源进行相互访问时，可以通过VPN快速实现云上云下网络互通。 方案架构 本示例中，用户数据中心和VPC之间采用两条VPN连接保证网络可靠性。当其中一条VPN连接故障时，系统可以自动切换到另一条VPN连接，保证网络不中断。 图方案架构 方案优势 双连接：VPN网关提供两个接入地址，支持一个对端网关创建两条相互独立的VPN连接，一条连接中断后流量可快速切换到另一条连接。 双活网关：VPN双活网关部署在不同的AZ区域，实现AZ级高可用保障。 约束与限制 VPN网关的本端子网与对端子网不能相同，即VPC和用户数据中心待互通的子网不能相同。 VPN网关和对端网关的IKE策略、IPsec策略、预共享密钥需要相同。 VPN网关和对端网关上配置的本端接口地址和对端接口地址需要互为镜像。 VPC内弹性云服务器安全组允许访问对端和被对端访问。

操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【数据分析】，进入【域名用量分析】菜单。 查询范围说明 用量查询：支持一年内、最长时间跨度为一个月的用量数据查询。 热门分析：支持三个月内、最长时间跨度为一个月的热门数据查询。 用户分析：支持一年内、最长时间跨度为一个月的用户数据查询。 一年内、三个月内：是指支持查询的历史数据范围，从当日往前推，一年内、三个月内的数据支持查询，而超过对应时间的数据不支持查询。 跨度一个月：是指单次数据查询的时间跨度，最长时间跨度是一个月，即单次最长仅支持查一个月的数据。查询起止日期可以是一年里面的任意连续的日期，最长跨度为一个月。 用量分析 用量分析模块，支持客户查询带宽流量（流量/带宽）、回源统计（回源流量/回源带宽）、请求数（边缘/回源）、命中率（流量/请求）、状态码、回源状态码、PV/UV、地区运营商等维度的统计数据，并能导出CSV文件。 带宽流量 带宽流量支持客户按加速类型、标签、域名、运营商、地区（大区/省份）、加速区域【中国内地/全球（不含中国内地）】、协议类型（HTTP/HTTPS/QUIC）、协议版本（IPv4/IPv6）、查询时间粒度（1分钟/5分钟/1小时/1天）、时间等搜索条件，查看带宽峰值、95带宽峰值、总流量等数据。同时，还支持数据对比，支持客户选择长度相同的任意两天的数据进行对比

套餐内赠送的DDoS防护次数扣除说明 套餐中赠送的防护次数，一次防护的时间范围为一个自然日。 攻击次数扣除时间为每天晚上24点。 假设您订购了AOne边缘安全加速平台高级版套餐（未订购DDoS防护带宽扩展服务），则套餐内赠送2次攻击防护，攻击峰值需小于40Gbps。 情况一（攻击发生在一个自然日）：若用户套餐内的防护次数还有剩余，某日上午8：0010：00产生了攻击峰值为30Gbps的攻击事件，下午14：0015：00又产生了攻击峰值为20Gbps的攻击事件，则当晚24点将扣除1次防护次数。 情况二（攻击发生在多个自然日）：若用户套餐内的防护次数还有剩余，某日下午15：00到次日凌晨3：00产生了攻击峰值为30Gbps的攻击事件，则当晚24点将扣除1次防护次数，次日晚24点将扣除1次防护次数。 情况三（攻击峰值超过防护峰值）：若用户套餐内的防护次数还有剩余，某日上午8：00开始产生攻击事件，攻击持续到8：10攻击峰值达到45Gbps，超出套餐内的防护峰值，那么系统将触发客户名下所有域名回源2小时，2小时后自动解封。当日不会扣除防护次数。 情况四（防护次数耗尽）：若用户套餐内的无剩余防护次数，某日上午8：00开始产生攻击事件，那么系统将触发客户名下所有域名回源2小时，2小时后自动解封。

本文介绍零信任服务的总览页面。 简介 总览提供了远程零信任办公的使用概况，方便您查看零信任服务的整体使用情况，快速定位问题。 操作步骤 1.登录 边缘安全加速平台控制台 ，选择【零信任】控制台。 2.在左侧导航栏，单击【总览】。 3.零信任总览页面分为五个模块：远程零信任办公、办公组网、全球加速、终端态势、效能分析，默认展示远程零信任办公。您可以通过点击对应的卡片切换不同处理列表。 远程零信任办公 整体远程零信任办公分为五个模块进行展示：总体概览、基础信息、计费方式、用量分析、终端分析。 总体概览 通过地图数据的表现方式展示您企业的接入总体情况，分为两种类型的数据统计，定时10秒轮询展示企业应用资源和员工登录地点的分布情况。 企业应用资源面板展示企业部署的连接器信息，包括地理位置，连接器名称，部署模式。连接器的地理位置根据连接器的出口IP进行判断，连接器的创建个数体现企业不同网络数据中心分布，对于有多个数据中心的企业 ，会需要创建多个连接器进行部署。连接器地理位置展示企业数据中心内应用资源的地理分布情况，其中连接器部署模式分为多活模式和未多活模式，多活模式指一个连接器部署2个以上实例个数，该模式下能满足高可用使用场景。 员工登录地点面板统计企业员工在不同城市的登录成功账号个数。

本文介绍了PostgreSQL配置用户组、子用户、以及企业项目等IAM功能的操作步骤。 用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。创建子账户的步骤如下： 配置用户组 1. 进入天翼云官网，通过主账号登录，登录后，右上角选择“我的”，点击“账号中心”，进入个人中心界面。 2. 在左侧导航栏点击“统一身份认证”，进入统一认证服务IAM。 3. 选择“用户组”页签，点击右上角创建用户组。 4. 在“新建用户组”弹框中，输入用户组名称、用户组描述，并点击【确定】，完成创建。 配置用户组授权 1. 进入“账号中心”“统一身份认证”模块后，选择“用户组”页签，选择相应需要配置授权的用户组，点击“授权”。 2. 搜索PostgreSQL相应的系统策略，根据实际需要进行选择。 3. 点击“下一步”进入“设置最小授权范围”环节，目前RDSPostgreSQL仅支持“全部服务资源”模式授权，因此请谨慎选择授予的权限策略。 4. 点击“确定”，完成授权操作。

管理改密日志 改密策略执行后产生的改密日志。改密日志中可查看改密详情。 前提条件 已获取“改密策略”模块操作权限。 查看日志详情 1 登录云堡垒机系统。 2 选择“策略 > 改密策略 > 改密日志”，查看和管理改密日志记录。 改密日志列表 3 查询改密日志。 快速查询：在搜索框中输入关键字，根据策略名称快速查询改密日志。 4 选择目标执行日志，单击“详情”，进入日志详情页面。 可查看日志内容包括基本信息、改密结果等信息。 查看改密日志详情 下载改密日志 1 登录云堡垒机系统。 2 选择“策略 > 改密策略 > 改密日志”，查看和管理改密日志记录。 3 单击“下载”，进入下载改密日志文件窗口。 4 下载确认。 （可选）设置加密密码：可选择设置。不设置，下载的改密日志为未加密的CSV格式文件；设置密码，下载的改密日志为加密的ZIP格式文件。 （必选）用户密码：输入当前用户的帐号登录密码，验证通过才允许下载改密日志，确保资源账户密码安全。 单击“确定”，即可下载CSV格式文件或加密的ZIP格式文件保存到本地。

本文介绍弹性容器实例自定义权限策略参考。 如果系统权限策略不能满足您的要求，您可以创建自定义权限策略实现最小授权。使用自定义权限策略有助于实现权限的精细化管控，是提升资源访问安全的有效手段。本文介绍ECI使用自定义权限策略的场景和策略示例。 什么是自定义权限策略 在基于IAM的访问控制体系中，自定义权限策略是指在系统权限策略之外，您可以自主创建、更新和删除的权限策略。自定义权限策略的版本更新需由您来维护。 创建自定义权限策略后，需为IAM用户或用户组绑定权限策略，这些IAM身份才能获得权限策略中指定的访问权限。 已创建的权限策略支持删除，但删除前需确保该策略未被引用。如果该权限策略已被引用，您需要在该权限策略的引用记录中移除授权。 自定义权限策略支持版本控制，您可以按照IAM规定的版本管理机制来管理您创建的自定义权限策略版本。 操作文档参考 创建自定义策略 编辑策略 删除策略 常见自定义权限策略场景及示例 如果您使用IAM子账号或委托账号操作ECI资源（如虚拟节点），需要为其添加以下自定义权限策略。 shell { "Version": "1.1", "Statement": [ { "Action": [ "eci:containers:describeContainerGroup", "eci:containers:describeContainerGroups", "eci:containers:deleteContainerGroup", "eci:virtualNode:describeVirtualNodes", "eci:virtualNode:createVirtualNode", "eci:virtualNode:deleteVirtualNode", "eci:virtualNode:updateVirtualNode" ], "Resource": [ "" ], "Effect": "Allow" } ] }

本节介绍设置安全的口令。 请按如下建议设置口令： 使用复杂度高的密码 建议密码复杂度至少满足如下要求： 密码长度至少8个字符。 包含如下至少三种组合： 大写字母（AZ） 小写字母（az） 数字（0~9） 特殊字符 密码不为用户名或用户名的倒序。 不使用有一定特征和规律容易被破解的常用弱口令 生日、姓名、身份证、手机号、邮箱名、用户ID、时间年份 数字或字母连排或混排，常用彩虹表中的密码、滚键盘密码 短语密码 公司名称、admin、root等常用词汇 说明 不使用空密码或系统的缺省密码。 不要重复使用最近5次（含5次）内已使用的密码。 不同网站/账号使用不同的密码。 根据不同应用设置不同的账号密码，不建议多个应用使用同一套账户/密码。 定期修改密码，建议至少每90天更改一次密码。 账号管理人员初次发放或者初始化密码给用户时，如果知道密码内容，建议强制用户首次使用修改密码，若不能强制用户修改密码，则为密码设置过期的期限（用户必须及时修改密码，否则密码应被强制失效）。 建议为所有账户配置设置连续认证失败次数超过5次（不含5次），锁定账号策略和30分钟自动解除锁定策略。 建议对所有账户设置不活动时间超过10分钟自动退出或锁定策略。 新建系统中的账号缺省密码在首次使用前，建议强制用户更改。 建议开启账户登录记录日志功能，登录日志最少保存180天，登录日志中不能保存用户的密码。

本章节介绍微服务云应用平台权限体系 概述 如果您需要针对不同资源，对用户设置不同的访问权限，以达到用户之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云资源的访问。 通过IAM，您可以为其他账号创建IAM用户，并使用策略来控制他们对云资源的访问范围。IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费，关于IAM的详细介绍，参见：统一身份认证 如果云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用微服务云应用平台的其他功能。 概念 1. 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。策略中可定义“允许”的操作和“拒绝”的操作，“拒绝”的优先级大于“允许”。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。具体授权请参考：用户组授权统一身份认证

统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,帮助您安全的控制 HPFS 服务的访问及操作权限,实现对HPFS的访问控制。 基本概念 并行文件服务HPFS已对接云平台统一身份认证（IAM），支持通过IAM对HPFS的资源进行访问控制管理。 使用前您需了解常用的基本概念，包括：帐号、IAM用户、用户组、身份凭证、授权、权限、项目、委托、身份凭证。详细请查看：术语解释 IAM的相关文档请查看：统一身份认证（一类节点）。 IAM应用场景 IAM策略主要面向对同租户帐号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如HPFS的查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的用户名和密码登录云服务平台，实现多用户协同操作时无需分享帐号的密码的安全要求。 操作步骤 创建IAM用户并授权使用HPFS，示例流程 1. 登录天翼云控制台，在右上角点击头像选择“账号中心”，在左侧导航中选择“统一身份认证”，或者直接点击IAM控制台。 2. 在IAM里，左侧导航中点击“用户组”，点击右上角的“创建用户组”。 3. 在“创建用户组”界面，输入用户组名称和描述，单击“确定”，完成用户组创建。用户组是用户的集合，IAM通过用户组功能实现用户的授权。 4. 您需要新建用户或将已创建的用户，加入刚建好的用户组里。在左侧导航窗格中，点击“用户”，点击右上角“创建用户”。 5. 在用户组列表中，单击新建的用户组右侧“查看”，可以检查是否已将用户添加到组中，确认符合预期后，点击“授权”。 6. 选择策略，在右上角“请输入策略名称进行搜索”框内输入“并行”进行搜索，勾选需要授予用户组的资源池级策略，单击“下一步”。并行文件的管理者可以对资源进行创建、扩容、删除等所有操作，并行文件查看者只支持查看资源列表、详情。如您需要更细粒度的权限设置，可通过创建自定义策略来进行授权管理。 7. 由于并行文件在创建资源的是否，需要选择企业项目，所以还需要将用户也添加到企业项目并授权对应权限。在左侧导航窗格中，点击“企业项目”，选择指定的企业项目一般为default，点击右侧“查看用户组”。 8. 在用户组tab页，点击“设置用户组”，然后选择刚创建的用户组。 9. 在加入的用户组右侧操作里，点击“设置策略”，并选择并行文件的对应策略。 10. 完成以上操作后，主账号需要将创建IAM用户时输入的邮箱及密码告知对应的员工，这些员工就可以使用邮箱和密码登录天翼云。如果登录失败，IAM用户可以联系管理员重置密码。对应员工使用IAM用户登录HPFS管理控制台，验证用户权限。

本节介绍IAM授权。 概述 如果您需要针对不同资源，对用户设置不同的访问权限，以达到用户之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云资源的访问。 通过IAM，您可以为其他账号创建IAM用户，并使用策略来控制他们对云资源的访问范围。IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费，关于IAM的详细介绍，参见：统一身份认证。 如果云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用分布式容器云平台的其他功能。 注意 服务资源权限（IAM授权）仅针对注册集群、联邦、等系统资源有效，如果您需操作Kubernetes资源（如Deployment、Configmap和Service等），您还需配置Kubernetes集群内的RBAC权限，方可获得对应Kubernetes资源的操作能力。 概念 术语 说明 主账号 用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体，为了确保账号安全，建议创建子用户来进行日常管理工作。 子账号 主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 企业项目 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 策略 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。策略中可定义“允许”的操作和“拒绝”的操作，“拒绝”的优先级大于“允许”。 系统策略 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 数据权限 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 功能权限 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 功能权限授权 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。具体授权请参考：用户组授权统一身份认证。

本章节为您介绍企业路由器的产品功能。 产品功能介绍 企业路由器提供丰富的功能供您灵活配置服务，具体说明如下表所示。 提供添加连接、创建自定义路由表、创建关联、创建传播、添加路由等丰富的网络构建和路由管理功能。 提供权限管控、标签管理、配额管理等提升服务使用安全和便捷的多种实用功能。 功能 功能描述 企业路由器 您可以将企业路由器看作一个支持路由学习的高性能集中路由器，创建企业路由器时，您可以设置部署区域、可用区、名称等参数。 企业路由器创建完成后，您可以根据业务使用情况灵活调整部分参数。 连接 为企业路由器添加网络实例对应的连接，即表示将网络实例接入企业路由器中。 路由表 路由表是企业路由器发送报文的依据，包含连接的关联关系、传播关系以及路由信息。 一个企业路由器可以拥有多个路由表，您可以将连接关联至不同的路由表，从而实现网络实例的灵活互通或者隔离。 关联 关联是将连接关联至ER路由表中，您可以通过以下方法创建关联： 手动创建：选择任意路由表，并在路由表中为连接创建关联。 自动创建：开启“默认路由表关联”功能，指定默认路由表，系统会自动为连接在默认路由表中创建关联。 传播 传播是企业路由器和连接的路由学习关系，您可以通过以下方法创建传播： 手动创建：选择任意路由表，并在路由表中为连接创建传播。 自动创建：开启“默认路由表传播”功能，指定默认路由表，系统会自动为连接在默认路由表中创建传播。 路由 路由是目的地址、下一跳以及路由类型等信息组成。路由分为两种： 自动学习的传播路由。 手动添加的静态路由。 企业路由器支持IPv4和IPv6路由。 共享 所有者可以将自己的企业路由器同时共享给多个其他帐号，称为接受者。 接受者可以在共享企业路由器中添加连接，将自己名下的网络实例加入该企业路由器中，实现多个帐号内的网络实例接入同一个企业路由器构建组网的需求。 对于“虚拟私有云（VPC）”连接，通过共享功能，可以在同一个企业路由器中接入不同帐号下的虚拟私有云，构建云上同区域组网。 流日志 通过流日志功能可以实时记录企业路由器中连接的流量日志信息。通过这些日志信息，您可以监控连接的网络流量、进行网络攻击分析等，帮助您实现高效的网络运维。 监控 通过云监控服务，您可以监控企业路由器实例以及企业路由器连接的网络情况。 审计 通过云审计服务，您可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 权限 针对位于云上的企业路由器资源，您可以通过IAM进行精细的权限管理，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，从而实现资源的安全管控。 标签 标签用于标识云资源，可通过标签实现对云资源的分类和搜索。你可以为企业路由器和路由表添加标签。 配额 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少个企业路由器、每个企业路由器添加多少个连接、每个路由表可以添加多少条路由等。

本文介绍XClaw套餐订购及管理的内容。 注意：XClaw 目前处于产品功能内测阶段，仅对特定受邀用户开放体验，暂未对外开放使用，敬请谅解。 概述 为满足企业级用户对 AI 智能体（Agent） 快速部署与标准化交付的需求，基于 OpenClaw 开源生态底座，提供 XClaw云端AI智能体（Agent）服务。该服务旨在降低用户部署门槛，提供 7×24 小时高可用的在线服务，使用户能够快速获得可执行任务的 “数字员工”，实现办公自动化与生产力提效。 订购 XClaw 套餐 1. 登录应用托管控制台，进入左侧菜单栏【XClaw】页面，页面展示XClaw介绍及套餐内容，点击套餐上方的【立即订阅】按钮，跳转到订阅应用套餐页面。 2. 在订阅套餐界面，选择应用、选择订购套餐，勾选同意用户协议，点击右下角【确定订购】。 3. 完成支付后套餐正式生效，系统进入资源准备阶段；资源准备完成后进入到 XClaw 对话控制台。 注意：仅项目空间所属人可支付包周期订单，项目成员订购后需联系所属人完成支付。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到Broker宕机动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 在演练运行详情 页的监控指标 页签，观测存活节点数、 节点存活状态指标。 2、业务应用验证： 检查您的生产者和消费者应用的日志，确认是否存在因连接被拒绝、找不到领导者（No Leader available）、请求超时等原因导致的错误。 确认您的业务监控系统是否成功捕获到 Kafka 集群异常或客户端错误，并触发了相应的告警。 验证您的客户端重试和故障转移逻辑是否按预期工作。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到Broker宕机动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 在演练运行详情 页的监控指标 页签，观测存活节点数、 节点存活状态指标。 2、业务应用验证： 检查您的生产者和消费者应用的日志，确认是否存在因连接被拒绝、找不到领导者（No Leader available）、请求超时等原因导致的错误。 确认您的业务监控系统是否成功捕获到 Kafka 集群异常或客户端错误，并触发了相应的告警。 验证您的客户端重试和故障转移逻辑是否按预期工作。