本文介绍在远程零信任办公场景下,如何给用户配置应用访问授权。 零信任远程办公服务帮助您管理企业员工，合作伙伴，项目合作方等不同角色人员对内部系统的访问权限，支持精细化的应用授权管理，可以按照用户组，角色，组织架构，用户粒度进行应用系统授权。您的员工用户可以在登录远程零信任办公服务客户端后，点击左侧我的应用查看具备访问权限的系统列表。 前提条件 完成身份管理用户与组织配置，具体步骤，请参见用户与组织。 完成应用管理应用配置，具体步骤，请参见应用配置。 若需按照用户组进行授权，需完成身份管理用户组管理配置，具体步骤，请参见用户组管理。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 在左侧导航栏，应用应用授权，查看应用访问策略。 应用授权 可通过应用授权列表进行查看和管理应用授权策略。 字段 字段说明 策略名称 策略的名称，便于进行区分和记忆。 备注 策略的说明。 到期时间 授权策略的有效期，超过有效期时间，授权策略将自动禁用。 策略状态 禁用，则策略不生效，启用则策略生效。 应用权限 目前只支持授权访问动作，即允许访问，生效范围内的应用进行流量牵引回连接器（内网）进行访问。 生效用户 可根据用户组、用户、组织进行同时选择生效。 生效应用 可选择对应的应用进行生效。

背景说明 随着生成式AI工具的普及，员工为提升效率普遍绕过IT监管私自使用AI工具，导致企业面临数据泄露与知识产权流失、漏洞与攻击面扩大等安全风险。AI应用发现及管控能力通过周期性扫描终端设备，有效发现部署的AI应用，帮助企业快速理清全域AI应用分布，为后续的AI应用风险监测及管控奠定基础。 功能说明 1.通过周期性采集上报 AI 应用资产，统计最新的终端设备 AI 应用安装数量。 2.针对 Windows AI 软件进行管控，管控动作包括禁止运行、禁止联网。 ⚠️注意：1、已订购终端管理企业版套餐用户。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏点击【AI 安全检测】【AI应用发现及管控】，查看 AI 应用发现及管控功能。 3. 可根据业务需求进行相关配置。 AI 应用发现数据 1. 当前AI 应用发现，采用周期性扫描的（默认每 24小时采集一次）方式定期采集终端设备上部署的 AI 应用。 2. 点击“AI 应用发现” 开关按钮，开启/关闭功能AI 应用周期性扫描。 3. 点击“设置”，可以配置无需扫描的非 AI 应用服务端口，减少无效扫描。 4.顶部概览视图支持查看当前检测的所有AI 应用数量以及安装了 AI 应用的终端设备数量，实时掌握当前 AI 应用资产总量。 5.支持查看当前所有设备中部署的 TOP10 AI 应用，快速了解高频使用的 AI 应用。

本节主要介绍负载均衡中配置转发策略。 使用说明 只有在监听器协议配置为HTTP和HTTPS时支持配置转发策略。 配置转发策略 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性负载均衡>负载均衡器】，选择对应的地域，查看当前地域下已创建的负载均衡实例。 3. 在负载均衡实例列表中选择需要配置转发策略的负载均衡实例并单击负载均衡实例名称进入负载均衡详情页，单击【监听器】，查看当前负载均衡下的监听器列表，选择协议类型为HTTP或者HTTPS的监听器，单击所选监听器名称前的【+】，在展开的收缩栏中单击【添加】。 4. 在添加转发策略的弹框中，填写相关的参数。 添加转发策略的参数说明： 参数 说明 名称 自定义负载均衡后端服务器组的名称，若未填写，系统将自动分配；同时也可以单击【添加描述】按需为后端服务器组添加相关的描述信息。 域名 转发策略的转发域名。 URL匹配规则 转发策略配置URL匹配规则，当前支持精确匹配、前缀匹配和正则匹配。 URL 转发策略配置的URL路径。 后端服务器组 转发策略添加已有的后端服务器组，只支持添加后端协议类型为HTTP的后端服务器组。 5. 在填写完成添加转发策略的相关参数后，单击【确认】执行添加。 6. 若需要修改已有转发策略，则选中所要修改的转发策略，单击修改图标按钮，在弹框中修改策略名称和后端服务器组，单击【确认】执行修改。 7. 若需要删除已有转发策略，则选中所要删除的转发策略，单击删除图标按钮，在弹框中单击【确认】执行删除。

本文介绍DDoS高防（边缘云版）相关的概念解释。 什么是DDoS高防经常提到的源站IP？ 源站IP指客户的业务系统对外提供服务时所使用的公网IP地址。 用户在接入域名时，需要配置源站地址。当攻击流量经过天翼云节点清洗后，干净的业务流量将会转发回客户源站IP。 什么是SYN Flood攻击？ SYN Flood攻击是一种典型的DDoS攻击，主要攻击方式表现为服务端接收到 SYN包 后，会回复SYN ACK包，并进入半连接状态。Attacker一直发送 SYN包，但不回复 ACK包，直到被攻击方的服务器资源耗尽。 什么是ACK/UDP/ICMP Flood攻击？ ACK/UDP/ICMP Flood攻击是指攻击者发起大量ACK/UDP/ICMP数据包，造成服务器过载，目的是通过大量的报文，导致被攻击方的服务器资源耗尽，无法响应正常的请求。 什么是空连接攻击？ 空连接攻击是攻击者与服务端完成TCP握手，并建立TCP连接，但不发起任何请求，导致连接被占用甚至耗尽，从而影响正常用户发起连接。 什么是UDP反射放大攻击？ 正常情况下客户端发送请求包到服务端，服务端返回响应包到客户端，但是 UDP 协议是面向无连接的，所以攻击者将源IP伪造成被攻击方IP，响应包则全部反射到被攻击方，导致被攻击方的服务器资源耗尽。 什么是CC攻击？ 黑客利用代理服务器或者控制的肉鸡，向目标服务器发送大量的请求（尤其是需要频繁查询数据库的请求），致使CPU处理不过来这么多的请求，长期处于100%的状态，从而无法处理正常请求。

本节介绍了云容器引擎的最佳实践:部署多个Nginx Ingress Controller。 背景信息 Nginx Ingress Controller因其开源特性和广泛应用而受到业界的青睐。在处理大型集群环境时，用户往往希望在同一集群内部署多个Nginx Ingress Controller实例，以便对不同流量进行有效管理。例如，某些服务可能需要通过公共网络对外提供服务，而另一些服务则仅供内部使用，不允许通过互联网访问。为了适应这种需求，可以通过设置两组独立的Nginx Ingress Controller，并分别与不同的ELB实例绑定，从而实现流量的精确控制和隔离。这种方法不仅提升了服务的安全性，还增强了流量管理的灵活性。 前提条件 已创建Kubernetes集群 已创建ELB实例，具体操作请参考创建负载均衡 部署新的Nginx Ingress Controller 在开通Kubernetes集群的时候，您可以选择为集群安装Ingress Controller组件，并为Ingress Controller绑定公网ELB实例。您可以通过以下步骤在Kubernetes集群再部署一套完全独立的Nginx Ingress Controller服务。 1. 获取Nginx Ingress Controller模板包 前往社区模板发布页面，选择合适版本的HelmChart包并下载，本文以ingressnginx4.7.5.tgz为例。 2. 上传模板包 登录云容器引擎控制台，进入“模板市场”，点击“我的模板”>“上传模板”。然后选择命名空间，点击“上传文件”，选择要上传的模板包，点击提交。 3. 发布模板实例 上传完模板包之后，在“我的模板”中选择刚上传的模板（ingressnginx），然后选择版本（4.7.5），然后点击发布。 填写“实例名称”，选择“集群名称”和“命名空间”。 在发布yaml文本中导入以下配置，根据说明填写相关参数（参数说明见下表“YAML参数说明”），其他未指定的参数会使用默认配置。 plaintext controller: image: registry: "registryvpccrsxxx.cnspinternal.ctyun.cn"

本章节介绍Kubernetes配置相关能力 概述 Kubernetes配置目前支持K8s配置项、K8s保密字典和配置模板，通过Kubernetes配置来管理K8s的配置项、保密字典以及自定义添加配置模板。可以使用配置项来保存不需要加密的配置信息，例如jvm相关参数信息；使用保密字典来保存一些敏感信息，例如token数据；也可以通过配置模板提前创建好模板，方便在配置项或保密字典中引用。 K8s配置项 创建配置项 在配置项页面，点击“创建配置项”。创建配置项需要填写如下内容： 配置项名称：输入配置项名称 K8s集群：下拉选择目标云容器引擎K8s集群 K8s命名空间：自动带出 配置映射： 导入配置（从模板导入和从文件导入）或者手动添加 键： K8s配置项键值 值： K8s配置项内容value 编辑K8s配置项，只能修改配置项键值内容。 删除K8s配置项，点击更多选择删除按钮，根据提示完成删除操作即可 说明 删除K8s配置项，前提是这个配置项没有关联应用实例，可以通过查看关联应用实例按钮确定当前K8s配置项使用情况。 K8s保密字典 在保密字典页面，点击“创建保密字典”。创建保密字典需要填写如下内容： 保密字典名称 云容器引擎K8s集群：选择目标K8s集群 K8s命名空间：根据K8s集群自动带入 base64编码数据：勾选后，secret须配置base64编码的数据 配置映射： 导入配置（从模板导入和从文件导入）或者手动添加 键： K8s保密字典键值 值： K8s保密字典内容value 编辑K8s保密字典，只能修改保密字典键值内容。 删除K8s保密字典，点击更多选择删除按钮，根据提示完成删除操作即可。 说明 删除K8s保密字典，前提是这个保密字典没有关联应用实例，可以通过查看关联应用实例按钮确定当前K8s保密字典使用情况。

本文介绍ECI实例如何挂载到ELB。 负载均衡ELB是一种对流量进行按需分发的服务，可以将流量分发到不同的后端服务来扩展应用系统的服务吞吐能力，并且可以消除系统中的单点故障，提升应用系统的可用性。本文介绍如何将ECI实例添加到ELB实例的后端服务器中，并配置监听，实现通过ELB将流量分发到ECI实例。 背景信息 负载均衡ELB（Elastic Load Balancer）由ELB实例、后端服务器和监听三部分组成，配置ECI实例挂载到ELB的操作流程如下： 1. 创建ECI实例：搭建负载均衡服务前，您需要根据业务需求规划地域和网络，然后在此基础上创建ECI实例，完成相关应用部署。 2. 创建ELB实例：使用负载均衡服务时，您需要创建一个ELB实例，每个ELB实例代表一个负载均衡服务实体，用于接收流量并将其分发给后端服务器。 3. 将ECI实例添加到ELB实例的后端服务器中：后端服务器是一组接收前端请求的服务器。将ECI实例添加到后端服务器后，可以接收ELB实例转发的客户端请求。对于ELB实例，您需要先创建一个后端组，然后再添加ECI实例。 4. 配置监听：监听用于检查客户端请求，并将请求转发给后端服务器。您需要为ELB实例配置监听，包括协议、端口和调度算法等。 操作步骤 1. 登录负载均衡ELB控制台。 2. 在负载均衡器页面，找到目标ELB实例，在对应操作列中单击添加后端服务。 3. 搜索弹性容器ECI类型的后端。 4. 添加后端主机选择。 5. 添加后端主机确认。 6. 后端主机组查看弹性容器ECI实例列表。

本文介绍如何使用边缘函数部署时间戳防盗链。 通过时间戳进行请求防盗链。 示例代码 javascript / 示例url: / addEventListener('fetch', event > { event.respondWith(handleRequest(event.request)) }) async function handleRequest(request){ //401表示鉴权不通过 let statuscode 401 let result 'TimeStamp verification failed!' try { if(verifyTimeStamp(request.url) true){ statuscode 200 result "TimeStamp verification succeeded!" // 返回请求内容 } } catch (error) { result error } return new Response(result, { "status": statuscode }) } function verifyTimeStamp(url){ //"url": " let currentTime new Date().getTime() let myURL new URL(url) let searchParams new URLSearchParams(myURL.search) let timeStamp parseInt(searchParams.get('time')) let token searchParams.get('token') // 校验时间戳：如果时间戳距离当前时间没有过期，则进行 token 检查 if (currentTime timeStamp < 60000) { // 校验token return tokenCheck(token) } return false } function tokenCheck(token){ // 此处可替换为自定义的复杂加解密算法 return token "abcabc" } 示例预览 访问请求传入未过期时间、鉴权token，鉴权通过。 相关参考 运行时API：addEventListener 运行时API：FetchEvent 运行时API：Web Standards 运行时API：Fetch 运行时API：Response

本文介绍终端管理的使用概况。 简介 总览提供了终端管理的使用概况，方便您查看服务的整体使用情况，快速定位问题。 操作步骤 1.登录 边缘安全加速平台控制台 ，选择【终端管理】控制台。 2.在左侧导航栏，单击【总览】。 3.终端管理总览页面默认展示终端态势。 总览 总览整体分为三个模块进行展示：终端态势、安全态势、效能态势。 终端态势 终端态势模块用于快速了解终端设备的整体在线状态与分布情况，帮助用户掌握设备在线情况、系统类型占比、授权使用状况及未授权设备数量、软件情况等，为终端安全管理提供基础数据支撑。 资产统计：呈现设备数量（含在线率）和用户数量（含激活率）。 活跃设备统计：呈现活跃设备趋势图和活跃设备峰值。 软件安装统计：软件安装 TOP 10 排行榜（按安装数量排序）。 正版软件统计：软件正版授权 TOP 10 超额排行榜（按超额数量排序）。 上网行为统计：拦截网站 TOP 10 和拦截用户 TOP 10。 客户端版本号统计：不同操作系统客户端版本号饼图。 操作系统统计：设备操作系统饼图，支持进一步按照“系统+版本号”的维度排行。 软件仓库统计：当前企业上架的自定义软件、预定义软件数量。 员工电脑性能分析：呈现不同区间的磁盘空间占用率。

本文简述回源端口的配置方法。 功能介绍 源站端口，是指源站接收天翼云AOne安全与加速请求时所用的端口，一般http协议和https协议使用不同的源站端口。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入源站设置页面，单击“编辑配置”。 4.在源站端口模块，配置合适的回源端口。http端口默认80，支持自定义；https端口默认443，支持自定义。 配置界面 未开启“跟随请求端口回源”时，可以自定义配置HTTP回源端口和HTTPS回源端口，如下图： 开启“跟随请求端口回源”时，HTTP回源端口和HTTPS回源端口置灰不能配置，将使用请求端口回源，如下图： 参数名 说明 http 使用http协议回源时使用的源站端口，默认80，支持自定义，自定义回源端口范围为1~65535。 https 使用https协议回源时使用的源站端口，默认443，支持自定义，自定义回源端口范围为1~65535。 跟随请求端口回源 跟随请求端口回源开关开启后，使用请求端口回源。

本文介绍如何通过边缘函数实现签名摘要。 使用HMAC和SHA0256算法签署和验证请求或者返回403。 示例代码 javascript // 准备一个 key 用于加密和解密 const encoder new TextEncoder() const secretKeyData encoder.encode("secretkey") function byteStringToUint8Array(byteString) { const ui new Uint8Array(byteString.length) for (let i 0; i { event.respondWith(handleRequest(event.request)) }) 示例预览 使用导入的secretKeyData，验证请求内容。

本文介绍如何使用边缘函数部署时间戳防盗链。 通过时间戳进行请求防盗链。 示例代码 javascript / 示例url: / addEventListener('fetch', event > { event.respondWith(handleRequest(event.request)) }) async function handleRequest(request){ //401表示鉴权不通过 let statuscode 401 let result 'TimeStamp verification failed!' try { if(verifyTimeStamp(request.url) true){ statuscode 200 result "TimeStamp verification succeeded!" // 返回请求内容 } } catch (error) { result error } return new Response(result, { "status": statuscode }) } function verifyTimeStamp(url){ //"url": " let currentTime new Date().getTime() let myURL new URL(url) let searchParams new URLSearchParams(myURL.search) let timeStamp parseInt(searchParams.get('time')) let token searchParams.get('token') // 校验时间戳：如果时间戳距离当前时间没有过期，则进行 token 检查 if (currentTime timeStamp < 60000) { // 校验token return tokenCheck(token) } return false } function tokenCheck(token){ // 此处可替换为自定义的复杂加解密算法 return token "abcabc" } 示例预览 访问请求传入未过期时间、鉴权token，鉴权通过。 相关参考 运行时API：addEventListener 运行时API：Response 运行时API：FetchEvent 运行时API：Web Standard 运行时API：Fetch

本节主要介绍配置NAT64服务的黑白名单。 使用说明 针对NAT64实例，可以按需开启和关闭IP黑白名单，若关闭则允许所有的公网IPv6地址访问NAT64实例上的IPv6地址，若开启则可以配置黑白名单，允许IP黑名单或者白名单，黑白名单只会有一个生效。 黑名单表示不允许配置名单里面的IP访问，但允许其他IP访问。白名单表示只允许配置名单里面的IP访问，不允许其他IP访问。 配置IP黑白名单 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>NAT64服务】，选择对应的地域，查看当前地域下已创建的NAT64实例。 3. 选择要配置黑白名单的NAT64实例的列表，在对应的操作栏中单击【配置】，在配置页面中单击【IP黑白名单>配置IP黑白名单】。 4. 在弹出的配置IP黑白名单框中填入相关的参数。 配置黑白名单参数说明： 参数 说明 状态 确定是否开启或者关闭IP黑白名单。 类型 若状态为“开启”，则可以选择配置IP黑名单或者IP白名单，两者只会有一个起效。 规则 根据所选的类型，配置对应的规则，其规则支持配置IPv6地址、地址段，最多支持200个，一行一个。 5. 在填写完成配置黑白名单的相关参数后，单击【提交】使配置生效。

本节介绍了ECX主要具备的网络能力。 支持VPC子网实例生命周期管理、扩展VPC网段、新增子网，支持子网启用或取消IPv6网段。 支持查看VPC、子网内运行的实例。 支持EIP实例生命周期管理，支持EIP绑定、解绑，支持网络IO监控，支持带宽大小修改。 支持共享带宽实例生命周期管理、网络IO监控、带宽大小修改。 支持NAT网关实例生命周期管理、设置DNAT条目和SNAT条目规则。 支持路由表实例生命周期管理、分布式路由、设置路由转发条目规则。 支持负载均衡实例生命周期管理、配置监听器和后端服务器组，支持L4/L7协议监听转发、网络IO监控。 支持查看、删除边缘入云专线，设置专线网关的路由转发。 支持内网VIP实例生命周期管理、内网VIP绑定至虚拟机和EIP，以及从以上实例中解绑。 支持查看公网VIP，支持公网VIP绑定虚拟机和解绑。 支持网络ACL实例生命周期管理、关联子网管理、设置出入规则。 支持安全组实例生命周期管理、关联子网管理、设置出入规则。 支持SSL证书上传和管理。 支持NAT64服务实例生命周期管理、配置黑白名单。 支持对等连接实例生命周期管理，支持接受或拒绝对等连接请求。 支持在VPC内部署零信任连接器，通过零信任访问VPC内的实例。 支持查看、删除边边网络实例，管理网络实例和路由表。

方法 这些方法仅在Request对象实例上可用。 clone() Promise 创建Request对象的副本。 arrayBuffer() Promise 返回以ArrayBuffer请求正文的表示形式。 formData() Promise 返回以FormData请求正文的表示形式（即将支持）。 json() Promise 返回使用请求正文的JSON表示形式的Promise。 text() Promise 返回使用请求正文的字符串表示形式的Promise。 示例 常见用法 获得请求方法：request.method。 获得请求url：request.url。 获得请求头：request.header。 获得请求负载：request.body，body是一个ReadableStream对象。 获得JSON：await request.json()。 获得表单数据：await request.formData()。 获得UTF8字符串：await request.text()。 尝试访问非活动Request上下文时将出错 在脚本启动期间尝试使用fetch()或访问Request上下文的任何尝试都会引发异常： javascript const promise fetch(" // Error async function eventHandler(event){..} 注意 此代码段将在脚本启动期间抛出异常，并且"fetch"事件侦听器将永远不会被注册。 相关参考 示例代码：HTTP路由器 示例代码：边缘身份验证 示例代码：UA黑白名单 示例代码：Referer防盗链 示例代码：时间戳防盗链 示例代码：请求改写

本文介绍如何设置应用调度策略。 系统支持丰富的调度策略，包括静态的全局调度策略，以及动态的运行时调度策略，用户可以根据需要自由组合使用这些策略来实现自己的需求。目前云容器引擎支持根据节点名称、节点标签进行调度，同时支持根据亲和性与反亲和性调度。 节点名称调度：应用将调度到指定名称的节点上。 节点标签调度： 应用将调度到指定标签的节点上。 亲和 反亲和调度： 用户可根据业务需求进行应用的就近部署，容器间通信就近路由，减少网络消耗。如下图，APP1、APP2、APP3 和 APP4 部署在相同节点上； 同个应用的多个实例反亲和部署，减少宕机影响；互相干扰的应用反亲和部署，避免干扰。如 APP1、APP2、APP3 和APP4 分别部署在不同节点上，这四个应用为反亲和性部署。 云容器平台支持以下几种亲和性设置： 设置应用间亲和 ：应用部署在相同“节点”中。 设置应用间反亲和：“ 不同应用”或“相同应用的多个实例”部署在不同主机中。 应用与节点间的亲和性： 应用与节点亲和，决定应用部署在某些特定的主机中。 应用与节点间的反亲和： 决定应用不能部署在某些特定的主机中。 操作须知 在设置“应用间的亲和性”和“应用与节点间的亲和性”时，需确保不要出现互斥情况，否则应用会部署失败。例如如下互斥情况，应用将会部署失败： APP1、APP2设置了应用间的反亲和，例如APP1部署在Node1，APP2部署在 Node2。 APP3部署上线时，既希望与 APP2 亲和，又希望可以部署在不同节点如Node3 上，这就造成了应用亲和和节点亲和间的互斥，导致最终应用部署失败。 操作步骤 进入应用创建流程中的【高级配置】步骤，可根据需求进行不同的节点调度设置。以下列举了六种调度策略设置的方式： 1.选择【节点名称调度】：在【调度】>【节点名称调度】下，单击【添加名称调度】，根据节点名称勾选节点，单击【确定】。该应用将部署在该名称下的节点中。 2.选择【节点标签调度】：在【调度】>【节点标签调度】下，单击【添加标签调度】，勾选节点标签，单击【确定】。该应用将部署在满足该标签的节点中； 3.选择【与节点的亲和性】：在【调度】>【与节点的亲和性】下，单击【添加节点亲和】，勾选需要亲和的节点，单击【确定】。该应用将部署在选择的节点中； 4.选择【与节点的反亲和性】：在【调度】>【与节点的反亲和性】下，单击【添加节点反亲和】，勾选需要反亲和的节点，单击【确定】。该应用将不会部署在选择的节点中； 5. 选择【与应用的亲和】：在【调度】>【与应用的亲和性】下，单击【添加应用亲和】，勾选需要亲和的应用，单击【确定】。亲和的应用将部署在相同节点中； 6.选择【与应用反亲和】：在【调度】>【与应用的反亲和性】下，单击【添加应用反亲和】，勾选需要反亲和的应用，单击【确定】。反亲和的应用将部署在不同节点中；

戴上眼镜后感觉3D效果不明显，是怎么回事？ 3D效果不明显可能有以下几个原因： 1. 佩戴位置不对：请调整眼镜的位置，确保镜片对准双眼，眼镜与眼睛保持合适距离。 2. 3D模式未开启：检查云电脑工具栏上的“3D模式”按钮是否为蓝色开启状态。 3. 个人视觉差异：由于AI算法和每个人视觉感知不同，对3D效果的感受会有差异，建议尝试不同类型的内容（如动画、游戏、电影），找到最适合的。 4.内容原因：部分2D内容转换为3D后效果本身较弱，建议选择场景变化丰富的视频。 用VR眼镜盒子看的时候，画面有重影怎么办？ 画面重影通常是焦距或瞳距不匹配导致的，可以： 1. 调节屈光度：VR眼镜盒子上通常有调节焦距的滚轮，根据您的视力情况调节到清晰。 2. 调节瞳距：调节左右眼镜片的间距，使其与您的双眼间距匹配。 3. 适应一下：闭眼2～3秒后再睁开，让眼睛重新适应3D画面。 4. 检查手机位置：确保手机屏幕居中放置在VR盒子中，没有偏移。 VR眼镜盒子里看到的画面不完整，边缘被切掉了？ 这是因为画面边距设置不合适，可以： 1. 在3D模式设置中找到“边距调节”选项。 2. 拖动滑动条调整边距大小，直到画面完整显示。 3. 不同手机屏幕尺寸可能需要不同的边距设置，建议多试几次找到最佳值。

本文介绍天翼云CDN加速媒体存储资源的实例。 CDN加速 天翼云CDN加速，是基于天翼云遍布全球的网络节点提供的内容分发加速服务。通过将网站、视频和应用等文件内容分发至用户附近的节点，解决因跨运营商访问、跨地域访问、服务器带宽及性能瓶颈带来的访问延迟问题，使用户可以快速和安全地获取所需内容。 媒体存储 天翼云媒体存储是天翼云为客户提供的云存储产品，采用分布式存储技术构建，满足海量视频、图片及其它非结构化数据存取、处理及弹性扩展要求；支持块、文件及对象等标准协议接口，对于门户网站、视频网站等，通过对象存储提供的网站托管功能，将整个网站托管在对象存储中，可直接向用户提供网站访问服务，帮助用户节省资本投入及人工维护成本。同时，通过对象存储的高并发支持能力，帮助用户更好地解决网站频繁访问时的页面崩溃问题。 加速分发实践 天翼云CDN可为媒体存储上存储的静态资源（包括静态脚本、图片、音频、视频等文件）进行全国加速分发。利用天翼云CDN全国加速节点和全国负载均衡调度的能力，可以将热点资源提前下发至边缘节点，当终端用户发出资源访问/下载请求的时候，可就近获取所需要的资源。降低了源站压力，减少了传输延迟，显著提升用户体验。

参数名称 是否必填 参数说明 沙箱类型 是 智能体引擎支持基础沙箱、代码沙箱、浏览器沙箱、AIO沙箱和自定义沙箱5种沙箱类型。 模板名称 是 沙箱模板名称用户內唯一。 模板名称规则 ： 以字母开头，可包含字母、数字、下划线和连字符，且长度不超过32个字符。 描述 否 对于沙箱模板的描述。 镜像来源 是 镜像来源有2种，默认镜像和自定义镜像。默认镜像为智能体引擎服务提供的内置镜像；自定义镜像需要您依次选择 容器镜像实例 、 容器镜像仓库 和 容器镜像版本 。 浏览器类型 是 目前只支持Chromium类型。 窗口分辨率 是 浏览器沙箱中VNC窗口分辨率，目前只支持12801024规格。 规格方案 是 沙箱CPU和内存规格，目前支持多种规格。 临时磁盘大小 是 沙箱使用的临时磁盘大小，目前只支持512MB规格。 环境变量 否 沙箱中的环境变量以键值对的方式存储。 环境变量名规则 ：以字母开头，只能包含字母、数字和下划线，长度3256个字符，且不能以AGE开头。 执行超时时间 是 沙箱实例在创建后可运行的最长时间，超时将自动销毁。规格有多种，最短1分钟，最长为6小时，也可以创建永久常驻的沙箱实例。 访问凭证 否 访问沙箱实例入站凭证，目前支持API Key、Basic Auth和JWT3种类型。 执行角色 否 沙箱中需要访问天翼云资源，该角色生成的临时AK和临时SK会设置到环境变量中。 AGECTYUNACCESSKEY：如果沙箱模板中配置了执行角色，选择的角色的临时AK会放在该环境变量。 AGECTYUNSECRETKEY：如果沙箱模板配置了执行角色，选择的角色的临时SK会放在该环境变量。 网络配置 是 沙箱中访问公网和VPC。 访问公网 ：允许沙箱访问公网服务。 访问VPC ：允许沙箱访问您VPC下的天翼云资源。访问VPC需要选择VPC和子网，并且支持配置黑白名单。 ZOS挂载 否 沙箱中挂载天翼云对象存储ZOS，最多支持5个挂载点。 ZOS挂载点 ：对象存储Bucket名称。 Bucket子目录 ：设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 ：设置沙箱运行环境中的本地目录。 沙箱本地目录权限 ：选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 NAS挂载 否 沙箱中挂载天翼云弹性文件服务SFS，最多支持5个挂载点，必须开启网络配置中的VPC访问，且弹性文件服务SFS和网络配置同VPC。 弹性文件服务 ：选择已创建的SFS文件系统实例。 VPCE挂载地址 ：选择SFS文件系统实例下的VPCE挂载地址。 远端目录 ：远端SFS中的目录是指位于SFS文件系统中的绝对目录，以/开头。 沙箱本地目录 ：设置沙箱运行环境中的本地目录。

平台的训练任务可以提供稳定和易用的训练环境,在降低训练成本的同时提升训练任务执行效率。 前置条件 完成训练数据集准备，完成存储配置准备（ZOS/HPFS）,详见我的数据集。 如果预置模型不满足开发要求，需要基于自有模型，需要完成模型文件准备，详见我的模型。 如果预置镜像不满足开发要求，需要基于自有镜像，需要完成镜像文件准备，详见我的镜像。 如果需要使用代码包，需要完成代码包的上传，详见我的代码包。 创建训练任务 登录智算服务平台。 创建训练任务入口： 入口一：在左侧菜单选择“模型定制”“训练任务”，点击“新建任务”，进入任务创建页面。 入口二：在左侧菜单选择“模型定制”“开发机”，点击开发机列表的“开始训练”。 参数类型 参数名 说明 基本信息 任务名称 必填，训练任务名称。 基本信息 描述 非必填，输入128个字符的描述。 数据集配置 训练数据集 最多可添加10个，选择基础数据集或者标注数据集。 模型配置 模型来源 我的模型：最多5个，将模型管理中的模型文件挂载到容器内路径。 预置模型：最多5个，将预置模型挂载到容器内路径。 模型配置 模型文件 选择我的模型具体的模型文件及版本。 选择预置模型文件及具体版本。 存储配置 ZOS对象存储 最多选择5个，如果没有提前创建，可以点击“去创建对象存储”完成创建。 存储配置 HPFS并行文件系统 最多选择5个，如果没有提前创建，可以点击“去创建HPFS”完成创建。 环境配置 文件目录 平台可持久化的挂载目录，后续可以在该目录下读写文件，是用户间隔离的。 环境配置 训练代码 非必填，可以选择目标代码包。 环境配置 启动命令 必填。如果您的代码包是文件夹，则需要填写python xx.py，其中xx.py是您的训练代码；如果您的代码中有启动参数，可以直接填写；若您使用的代码包是压缩包文件，需要在启动命令中添加解压命令zip。 资源配置 镜像来源 支持选择系统预置镜像、自定义镜像、共享容器镜像和他人分享镜像。 资源配置 集群 支持公共集群和专属集群两种类型，其中专属集群需要提前购买。 资源配置 队列 选择目标队列，展示当前总资源及使用情况。 资源配置 资源规格 选择当前任务所需要的资源规格。 资源配置 训练模式 默认为DDP（分布式训练），如果在单一计算设备上进行机器学习模型训练选择单机训练。 资源配置 容错训练 启动容错训练后，如果训练过程中节点异常，系统会自动重新启用一个新的节点来替换异常节点，从上一个checkpoint开始继续训练。 高级配置 断点续训 开启容错后，如因为节点故障导致训练任务异常，会封锁故障节点，重新调度训练任务。 高级配置 算力健康检查 检查昇腾机器节点的显卡状态、显卡通信状态和交换机状态，以及带宽的压测值。可训练任务详情页查看具体信息。

本节介绍天翼云电脑移动终端的功能使用说明。 拖动工具栏 进入AI云电脑后，可在桌面顶部看到工具栏，点击“拖动”图标，支持工具栏任意位置移动，支持隐藏在桌面顶部和左右两侧屏幕边。 锁定/解锁工具栏 进入AI云电脑后，可在桌面顶部看到工具栏，支持锁定和解锁工具栏。 自动收起工具栏 工具栏在不使用时会自动收起吸附在屏幕边缘，点击可快速展开 。 退出/重启/关机 工具栏“退出”模块，包含以下操作： 退出：点击“退出“，断开AI云电脑连接，退出到AI云电脑列表页。 重启：点击“重启”，将对AI云电脑进行重启，同时退出到AI云电脑列表页。 关机：点击“关机”，仅对AI云电脑进行关机（而非终端关机），同时退出到AI云电脑列表页。 网络状态 工具栏点击“网络状态”，可查看详细的网络状态，包括往返时延，网速上下行。 当AI云电脑遇到卡顿情况时，可点击“一键优化”开启智能检测，优化程序。

工作原理 目前，天翼云CDN加速产品开放使用的是七层协议的QUIC，其工作原理如下图所示，主要应用在客户端与CDN加速平台边缘节点的交互，主要适用于弱网环境下的传输优化。 客户端要求 QUIC属于双边协议，需客户端支持才可发起，客户端要求如下： 浏览器：如果您使用浏览器接入，请使用支持QUIC协议的浏览器，如Chrome、Microsoft Edge等。 自研App：您使用自研App接入，则App需要自行实现QUIC协议栈或者集成支持QUIC协议的网络库，例如：quicgo、ngtcp2、quiche、quant、kwik、aioquic、picoquic等。 适用场景 如果您希望在弱网环境下拥有更高的性能，如更快的首屏、首包，更快的传输效率，可以使用QUIC接入CDN加速平台。 配置说明 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请您提供如下信息： 参数名 说明 QUIC版本号 配置需开启的QUIC版本，例如：H3v1

本文主要介绍工作负载升级配置。 在实际应用中，升级是一个常见的场景，Deployment、StatefulSet和DaemonSet都能够很方便的支撑应用升级。 设置不同的升级策略，有如下两种。 RollingUpdate：滚动升级，即逐步创建新Pod再删除旧Pod，为默认策略。 Recreate：替换升级，即先把当前Pod删掉再重新创建Pod。 升级参数说明 最大浪涌（maxSurge） 与spec.replicas相比，可以有多少个Pod存在，默认值是25%，比如spec.replicas为 4，那升级过程中就不能超过5个Pod存在，即按1个的步伐升级，实际升级过程中会换算成数字，且换算会向上取整。这个值也可以直接设置成数字。 仅Deployment支持配置。 最大无效实例数（maxUnavailable） 与spec.replicas相比，可以有多少个Pod失效，也就是删除的比例，默认值是25%，比如spec.replicas为4，那升级过程中就至少有3个Pod存在，即删除Pod的步伐是1。同样这个值也可以设置成数字。 仅Deployment支持配置。 实例可用最短时间（minReadySeconds） 指定新创建的Pod 在没有任意容器崩溃情况下的最小就绪时间， 只有超出这个时间 Pod 才被视为可用。默认值为 0（Pod 在准备就绪后立即将被视为可用）。 最大保留版本数（revisionHistoryLimit） 用来设定出于回滚目的所要保留的旧 ReplicaSet 数量。 这些旧 ReplicaSet 会消耗 etcd 中的资源，并占用 kubectl get rs 的输出。 每个 Deployment 修订版本的配置都存储在其 ReplicaSets 中；因此，一旦删除了旧的 ReplicaSet， 将失去回滚到 Deployment 的对应修订版本的能力。 默认情况下，系统保留 10 个旧 ReplicaSet，但其理想值取决于新 Deployment 的频率和稳定性。 升级最大时长（progressDeadlineSeconds） 指定系统在报告Deployment 进展失败 之前等待 Deployment 取得进展的秒数。 这类报告会在资源状态中体现为 TypeProgressing、StatusFalse、 ReasonProgressDeadlineExceeded。Deployment 控制器将持续重试 Deployment。 将来，一旦实现了自动回滚，Deployment 控制器将在探测到这样的条件时立即回滚 Deployment。 如果指定，则此字段值需要大于.spec.minReadySeconds 取值。 缩容时间窗（terminationGracePeriodSeconds）： 优雅删除时间，默认为30秒，删除Pod时发送SIGTERM终止信号，然后等待容器中的应用程序终止执行，如果在terminationGracePeriodSeconds时间内未能终止，则发送SIGKILL的系统信号强行终止。

本文介绍如何在科研助手中在在开发机中引用数据集。 操作步骤 1. 登录科研助手管理控制台。 2. 在控制台左侧导航栏中，选择【开发机】。 3. 在【开发机 】页面中，点击左上角【创建开发机】 4. 在【创建开发机 】页面，【数据集 】中，点击【添加】按钮。 5. 此时在下拉条中，可以选择之前已经创建好的数据集，若还未创建数据集，可单击【创建数据集】按钮。 6. 在选择完挂载数据集之后，用户可自定义填入例如“/tmp”类似的容器挂载路径。 7. 若不需要挂载数据集，也可点击右方删除操作，取消挂载数据集。

参数 是否必填 参数类型 说明 示例 下级对象 Name 是 String 本次请求的存储桶名称 testbucket1 Prefix 是 String 本次请求中指定的prefix MaxKeys 是 Integer 响应请求内返回结果的最大数目 10 IsTruncated 是 Boolean 指明是否已返回所有结果 true：表示本次没有返回全部结果 false：表示本次已返回全部结果 KeyMarker 是 String 标识本次请求开始的对象名称 VersionIdMarker 是 String 与KeyMarker参数一同使用，以指定GetBucketVersions的起点 Version 是 Array of Objects 保存除删除标记以外的对象版本的容器 Version

本节主要介绍产品优势 快速接入 客户应用的快速接入。可以选择使用容器、虚机等方式部署应用，快速实现分布式微服务应用的细粒度治理和高可用保障。 开源开放 多种微服务开发框架支持。支持SpringCloud、ServiceComb等主流微服务框架，支持使用service mesh接入客户的既有应用。 稳定可靠 帮助用户实现云原生化改造。提供业务的微服务基础支撑底座，满足云原生用户严苛的性能、可用性和安全合规要求。 多语言 兼容客户的异构遗留系统。提供Java、Go、.NET、Node.js、PHP等多语言微服务解决方案。

本章节介绍网关治理中的流量治理功能 标签路由 标签路由是将每个服务打上一个标签，通过标签将标签相同的服务分为同一个分组，然后约束流量在同一个分组内流转，以此实现灰度发布、金丝雀发布、蓝绿发布等功能。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Edgware及以上版本 客户端：Feign、RestTemplate 负载均衡：Ribbon、LoadBalancer Dubbo 2.5.3~2.7.8 支持Alibaba Dubbo、Apache Dubbo 注册中心 Nacos、Eureka、Zookeeper jdk版本 1.8+ 应用场景 A/B测试 在营销活动中，经常会有A/B测试，A/B测试是为了测试不同的规则对业务的影响，所以一个应用会有多个版本同时运行，可以通过标签的方式区分不同的版本，对不同版本的应用进行流量隔离，将特殊用户的流量路由到特殊版本，从而实现A/B测试。 开通标签路由 步骤1：应用设置标签。 为云容器引擎集群应用设置标签，为应用容器添加环境变量MSESERVICETAGgray。 为ECS应用设置标签，在启动应用时，添加JVM启动参数Dctgcloud.service.taggray。 步骤2：在微服务治理中心控制台创建标签路由。 登录微服务治理中心控制台。 在左侧导航栏选择 微服务治理中心 >网关治理。 在网关治理页面单击目标应用卡片。 在网关页面左侧导航栏选择流量治理 标签路由，查看服务标签。 在标签路由页点击流量分配，为标签按比例分配流量。 在标签路由页的流量规则栏新增流量规则。 流量规则参数说明： 参数 说明 路由名称 路由规则的名称。 应用 所选的应用。 标签 设置的标签名。 应用实例 设置了该标签的实例ip。 是否链路传递 代表开启全链路流控。 框架类型 Spring Cloud Dubbo。 Path SpringCloud为path路径，Dubbo为接口。 条件模式 满足一个条件，或者满足所有条件。 条件列表 可以设置Header、Cookie、Parameter和Body Content四种参数类型。 是否开启流量规则 流量规则开关。

本章节介绍标签路由相关场景用法 概述 标签路由是将每个服务打上一个标签，通过标签将标签相同的服务分为同一个分组，然后约束流量在同一个分组内流转，以此实现灰度发布、金丝雀发布、蓝绿发布等功能。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Edgware及以上版本 客户端：Feign、RestTemplate 负载均衡：Ribbon、LoadBalancer。 Dubbo 2.5.3~2.7.8 支持Alibaba Dubbo、Apache Dubbo。 注册中心 Nacos、Eureka、Zookeeper jdk版本 1.8+ 应用场景 A/B测试 在营销活动中，经常会有A/B测试，A/B测试是为了测试不同的规则对业务的影响，所以一个应用会有多个版本同时运行，可以通过标签的方式区分不同的版本，对不同版本的应用进行流量隔离，将特殊用户的流量路由到特殊版本，从而实现A/B测试。 开通标签路由 步骤1：为应用设置标签 为云容器引擎集群应用设置标签，应用容器添加环境变量MSESERVICETAGgray。 为ECS应用设置标签，在启动应用时，添加JVM启动参数Dctgcloud.service.taggray。 步骤2：在微服务治理中心控制台创建标签路由 1. 登录微服务治理中心控制台。 2. 在左侧导航栏选择 微服务治理中心 >应用治理。 3. 在应用治理页面单击目标应用卡片。 4. 在应用页面左侧导航栏选择流量治理 标签路由，查看服务标签。 5. 在标签路由页点击流量分配，为标签按比例分配流量。 6. 在标签路由页的流量规则栏新增流量规则。 流量规则参数说明： 参数 说明 路由名称 路由规则的名称。 应用 所选的应用。 标签 设置的标签名。 应用实例 设置了该标签的实例ip。 是否链路传递 代表开启全链路流控。 框架类型 Spring Cloud Dubbo。 Path SpringCloud为path路径，Dubbo为接口。 条件模式 满足一个条件，或者满足所有条件。 条件列表 可以设置Header、Cookie、Parameter和Body Content四种参数类型。 是否开启流量规则 流量规则开关。

本章节介绍使用OPA策略引擎实现访问控制 前提条件 开通实例后，系统默认生成OPA相关的ServiceEntry和opaextauthgrpc。 验证opaextauthgrpc 在服务网格控制台>网格安全中心>自定义授权服务。 可以看到产生了一个GRPC协议的授权服务，端口为19191。 验证ServiceEntry 在服务网格控制台>集群与工作负载>服务条目中，选定istiosystem命名空间，可以看到产生了extauthz，点击编辑可以查看详情。 详情中可以看到端口为19191端口，指向127.0.0.1。 全局放行18181和18282端口 在sidecar管理>sidecar代理配置菜单下选择命名空间tab，选择我们验证功能要用的命名空间，这里选择default，配置sidecar入流量不拦截18181和18282端口（OPA agent的配置端口和健康检查端口）。 开启OPA功能 操作步骤 1. 在控制台>网格管理>OPA功能开关菜单下打开OPA开关，主要是安装OPA控制面组件。 2. 给default命名空间打上标签，自动注入istio sidecar和OPA sidecar。 kubectl label namespace default opaistioinjection"enabled" kubectl label namespace default istioinjection"enabled" 3. 部署bookinfo应用和sleep应用，可以看到pod里除了业务容器之外还有两个容器，分别是istio sidecar和OPA sidecar，OPA sidecar用于实现外部授权服务。 4. 定义AuthorizationPolicy授权策略，注意引用的外部授权服务需要和上面定义的外部授权服务名称一致，可以根据业务的需要执行OPA外部授权策略，如下示例对匹配标签app: productpage的： apiVersion: istio.ctyun.cn/v1beta1 kind: AuthorizationPolicy metadata: name: extauthz spec: selector: matchLabels: app: productpage action: CUSTOM provider:

增加的部分end status: {} 修改后重启apiserver 执行命令sudo systemctl restart kubelet，注意此操作会重启节点上的k8s控制面组件，业务容器不会被重启，若业务依赖k8s APIServer则有影响，否则不受影响，请根据业务实际情况选择合适的时间执行。 检查apiserver的运行状态 kubectl get po nkubesystem grep kubeapiserver ，如果当前节点apiserver pod的运行状态为 1/1 Running 则正常，否则需要将 /etc/kubernetes/manifests/kubeapiserver.yaml文件还原，再次执行sudo systemctl restart kubelet回退修改。 查看审计日志 检查节点/var/log/kubernetes/audit/audit.log 文件是否能看到apiserver的审计日志。 参考文档 Kubernetes 官方文档：<

本文介绍如何为员工部署终端安全软件。 背景说明 企业订购终端安全授权后，需要员工配合部署终端安全软件，因此需要选择合适的终端部署方式。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏找到【设置终端部署】，或者在总览页面点击“终端部署”按钮。 3. 可根据不同场景选择对应部署方式。 员工自助安装 适用于员工可以自助部署安装包的场景，将以下内容通过IM、邮件、OA公告等方式发送至员工，员工自助下载和安装客户端。 编辑完通知内容、网页有效期后，即可把专属部署推广链接发送给员工。企业专属推广网页如下，员工根据设备的操作系统下载对应客户端并完成安装部署。 管理员下载安装 适用于需要管理员手动安装的电脑（比如无人值守设备、公共设备），下载安装包后通过U盘拷贝等方式进行安装。 管理员根据设备的操作系统下载对应客户端并完成安装部署。 注意： 1. 下载完成后请勿修改安装包名称，否则无法自动加入企业。 2. 为避免可能出现的软件冲突，请提前卸载卫士、管家等安全软件。 3. 客户端支持情况如下，如不在系统范围内，建议升级系统后使用

参数 描述 说明 系统盘 默认提供 平台提供25~50GB免费系统盘容量，依据不同可用区而定。系统盘非持久化，重要数据谨慎存放。 科研文件 添加已创建科研文件 科研文件可同时挂载于多个开发机和并行计算，可靠性高，团队协作首选推荐。 如未创建，可以点击“去创建”。 如已创建，点击“添加”，将科研文件挂载至开发机，如科研文件中创建了专属空间，也可支持挂载，容器挂载路径可填入挂载目标的完整路径。 本地盘 持久化存储 免费赠送50G高性能本地存储，但无冗余，有数据丢失的风险，请将重要数据保存至科研文件中。您可开启“本地盘数据持久化”。