本节先简要介绍DeepSeek的基本信息以及模型微调的价值,接着详述了如何借助现有GPU云主机镜像开通云主机并微调DeepSeekR1DistillQwen7B模型,最后介绍了镜像的具体制作步骤。 DeepSeek简介 DeepSeek 是一个基于 Transformer 架构的大型语言模型（LLM），由深度求索（DeepSeek）公司开发。它能够处理自然语言理解、生成、翻译、问答等多种任务。DeepSeekR1 在后训练阶段大规模使用了强化学习技术，在仅有极少标注数据的情况下，极大提升了模型推理能力。在数学、代码、自然语言推理等任务上，性能比肩 OpenAI o1 正式版。 DeepSeek公司在开源 DeepSeekR1Zero 和 DeepSeekR1 两个参数量超过660B 模型的同时，通过 DeepSeekR1 的输出，蒸馏了 6 个小模型开源给社区，其中32B和70B模型在多项能力上实现了对标 OpenAI o1mini 的效果。 模型微调简介 大语言模型微调技术通过调整预训练模型参数，使其适应特定任务需求。其核心价值在于让通用的人工智能工具变得更“专业”和“实用”，就像把一个会做各种菜的厨师培训成专精川菜的大厨。它能让企业用较低成本获得适合自身需求的AI能力，例如： 1. 降低成本：无需从头训练昂贵的大模型，只需在现有通用模型基础上“补充学习”企业内部的业务知识、行业术语，就能快速打造专属AI助手，成本大幅降低。 2. 精准解决问题：通用AI可能懂诗词绘画，但不懂医疗诊断或法律合同。通过微调，AI能深度掌握特定领域的专业知识，例如快速分析病历、自动生成符合行业规范的报告。 3. 保护数据隐私：企业可将内部数据安全地用于微调，既让AI掌握核心业务知识，又避免敏感数据直接暴露在公共模型中。 4. 推动普惠应用：中小型企业也能通过这项技术享受AI红利，例如教育机构定制学习辅导AI，工厂打造设备维护专家系统，真正让AI进入百行千业。 在下文中，我们将采用两个具体实践案例来说明模型微调的实际效果： 1. 基于天翼云文档数据的微调 。利用企业自身的文档数据构建微调数据集，仅使用单台多GPU卡的云主机即可完成模型微调训练。经过微调后的模型能够在企业内部知识领域提供准确的回答。 2. 基于医学计算数据的微调 。利用医学领域的专业知识数据构建微调数据集，仅使用单台多GPU卡的云主机即可完成模型微调训练。经过微调后的模型能够在识别与分析病例时取得更高的计算准确度。

本文为您介绍天翼云云搜索服务的向量检索能力及使用方法。 功能简介 支持向量检索（Vector Search）是搜索引擎的一个高级功能，它允许用户在高维向量空间中进行相似性搜索，而不仅仅是基于传统的关键词匹配。 向量检索的核心在于，它通过将文本、图像或其他数据转换为向量（即一组多维的数值表示），基于这些向量之间的距离来查找相似的项目。与传统的基于关键字的检索方法相比，向量检索更适合处理复杂的数据类型，如自然语言处理、推荐系统和计算机视觉等场景。 在搜索引擎中，支持向量检索的功能通过集成高效的向量索引结构（如近似最近邻搜索算法）实现。这使得搜索引擎能够在处理大规模数据集时，依然保持高效的查询速度和准确性。通过向量检索，用户可以在海量数据中快速找到与查询向量最相似的结果，从而提升搜索体验和应用的智能化水平。 天翼云云搜索服务提供的OpenSearch和Elasticsearch都可以支持向量检索能力。OpenSearch在向量检索能力上相比Elasticsearch 7.10.2（搭配早期OpenDistro插件）有明显提升。其内置的KNN插件持续演进，升级集成了更高版本的FAISS库，在构建索引速度、内存管理、查询性能等方面有较大优化。这些改进使得OpenSearch更适用于大规模、高并发的向量检索场景。 使用示例 以下是OpenSearch支持向量检索示例。 创建索引： plaintext PUT myknnindex1 { "settings": { "index": { "knn": true, "knn.algoparam.efsearch": 100 } }, "mappings": { "properties": { "category": { "type": "keyword" }, "brand": { "type": "keyword" }, "style": { "type": "keyword" }, "myvector": { "type": "knnvector", "dimension": 3 } } } } 插入3条数据： plaintext PUT myknnindex1/doc/1 { "category": "electronics", "brand": "brandA", "style": "modern", "myvector": [0.5, 0.8, 0.3] } PUT myknnindex1/doc/2 { "category": "furniture", "brand": "brandB", "style": "vintage", "myvector": [0.2, 0.4, 0.7] } PUT myknnindex1/doc/3 { "category": "clothing", "brand": "brandC", "style": "casual", "myvector": [0.9, 0.1, 0.6] } 查询： plaintext POST myknnindex1/search { "size": 10, "query": { "knn": { "myvector": { "vector": [0.5, 0.8, 0.3], "k": 2 } } } } 返回结果： plaintext { "took" : 4, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 2, "relation" : "eq" }, "maxscore" : 1.0, "hits" : [ { "index" : "myknnindex1", "id" : "1", "score" : 1.0, "source" : { "category" : "electronics", "brand" : "brandA", "style" : "modern", "myvector" : [ 0.5, 0.8, 0.3 ] } }, { "index" : "myknnindex1", "id" : "2", "score" : 0.7092199, "source" : { "category" : "furniture", "brand" : "brandB", "style" : "vintage", "myvector" : [ 0.2, 0.4, 0.7 ] } } ] } }

本最佳实践主要描述通过一站式智算服务平台进行NLP大模型快速微调。 概述 AI发展正在经历一个拐点的跨越，从“预测推断”走向“内容生成”。新的AIGC形态给传统企业的模型训练和调用都提出新的挑战，需要更大的算力和大参数的算法，通过训练在大型文本语料库上学习到的语言模式生成自然语言文本，可以自动生成各类内容，文本、图像、语音、视频、代码中，能广泛应用于新闻、文案、对话、规划、设计创新，才能让企业在这场新的竞争中占据一席之地。 具体来说，新一代的大模型对模型训练的底座和平台都提出了新的要求，支持多个任务、参数1亿以上基于海量多源数据打造的模型，采用Transformer的架构，并且支持预训练。通过单模型做多种任务、更少的数据标注、更优的模型效果等特点来提升模型训练效率，以实现更优的识别、理解、决策、生成效果和更低成本的开发方案。 一站式智算服务平台通过开箱即用的平台化产品，为您解决企业数字化、智能化转型中需要解决的AI建模门槛高、流程复杂、人力成本高等问题，有效为企业降本增效，助力企业转型。 本实践主要介绍少量样本对大语言模型进行微调训练，微调训练是大语言模型训练和应用中最常见的一种方式，用性价比的方式让企业快速训练出一个适合于自己业务的对话模型。通过一站式智算服务平台来管理数据、标注指令微调、分布式调优任务、任务监控、模型管理、模型评估等全流程的调优步骤，通过交互式操作即可快速微调出属于业务自己的大语言对话模型。 任务特定性能提升：预训练语言模型通过大规模的无监督训练学习了语言的统计模式和语义表示。然而，它在特定任务上的性能可能不如在大规模无监督数据上表现出的性能。通过在任务特定的有标签数据上进行微调，模型可以进一步学习任务相关的特征和模式，从而提高性能。 领域适应性：预训练语言模型可能在不同领域的数据上表现不一致。通过在特定领域的有标签数据上进行微调，可以使模型更好地适应该领域的特殊术语、结构和语义，提高在该领域任务上的效果。 数据稀缺性：某些任务可能受制于数据的稀缺性，很难获得大规模的标签数据。监督微调可以通过使用有限的标签数据来训练模型，从而在数据有限的情况下取得较好的性能。 防止过拟合：在监督微调过程中，通过使用有标签数据进行有监督训练，可以减少模型在特定任务上的过拟合风险。这是因为监督微调过程中的有标签数据可以提供更具体的任务信号，有助于约束模型的学习，避免过多地拟合预训练过程中的无监督信号。

本章节为您介绍数据分类分级的概述。 数据安全分级是一款智能化、流程化、开放化的数据分类分级工具。 产品内置各行业分类分级标准及框架，并以此为依据，结合已有的上万条数据分类分级规则与行业专有数据分类分级Ai模型，帮助您快速有效完成数据分类工作，以支持后续精细化的数据安全风险分析及安全管控。 主要功能 数据资产梳理：产品可通过网络嗅探技术，自动化发现网络环境中存在的数据库系统，以对于数据库资产台账进行校对及补充。 数据资产目录：产品可通过数据库扫描技术，自动化采集数据库基础元数据信息，同时结合后续数据分类分级结果，以库表列的形式，展现完整地数据资产目录，以供用户进行数据资产的查询。 结构化数据分类分级：结构化数据的分类分级是产品核心能力。产品通过流程与算法相结合的方式，以达到做最少的人工操作，实现最好的分类分级结果的目标。用户无须编写复杂的分类分级规则，仅需完成少量数据的分类分级打标工作。 非结构化数据分类分级：产品支持对于非结构化文件进行自动化分类分级扫描，基于关键词的NER识别，准确确定文件所对应分类和级别，同时可查看文件中所包含的常见敏感信息。 分类分级模板管理：产品支持通过页面方式对于分类分级框架及对应规则进行管理，用户可自定义上传分类分级模版，并支持以系统名称、库名、表名、表注释、字段名、字段注释、字段内容等各种维度进行条件组合的方式维护分类分级规则。 分类分级模型训练：产品基于有监督学习模型训练的能力，用户在一定量手动打标的基础上，即可通过模型管理模块，对于该部分数据进行自定义模型训练。通过训练得到的模型，可有效对于剩余未分类分级数据进行预测，从而大幅降低手工打标的工作量。 资产分类分级报告：产品以可视化图表的方式，将数据资产分类分级的各项统计指标进行展示，帮助用户清晰直观地了解数据资产整体分布、分类分级梳理、敏感数据占比、数据分类分布等情况。 数据库账户梳理：产品支持对于数据库账号状态及权限进行梳理评估，并对于账号新增、权限变更删除等情况进行分类展示，有效检测账号的违规授权和恶意提权。 数据库风险检测：产品提供数据库漏洞检查、配置基线检查、弱口令检查等手段进行数据资产安全评估，通过安全现状评估，能有效发现当前数据库系统的安全问题，对数据库的安全状况进行持续化监控，保持数据库的安全健康状态。 资产分类分级大屏：产品提供数据安全分类分级监管大屏展示，内容包含数据源的分类分级情况、漏洞检查、配置基线检查、弱口令等风险评估情况，以统一展示相关工作成果。

本页介绍天翼云TeleDB数据库产品介绍。 产品概述 TeleDB 是天翼云自主研发的分布式数据库系统，集高扩展性、高SQL兼容度、完整的分布式事务支持、多级容灾能力等能力于一身，采用无共享的集群架构，提供容灾、备份、恢复、监控、安全、审计等全套解决方案，适用于GB级 PB级的海量数据场景。 数据库资源与生命周期管理平台TeleDB资源全生命周期管理则致力于为客户提供极致体验的数据库资源管理一体化平台，支持用户对云数据库TeleDB进行全生命周期管理。 该平台提供租户用户管理、资源管理、实例管理、监控告警中心、安全中心等核心功能，使用者可以在TeleDB控制台上执行实例开通、维护管理、参数组管理、备份恢复管理、监控告警管理、数据库空间管理、任务管理、日志管理、资源管理、用户管理等操作，实现数据库资源集中管理和高效率使用，数据库运维自动化和智能化，帮助客户快速便捷使用数据库以满足业务高速增长的IT支撑需求，是客户私有化部署的最佳实践。 产品功能 实例管理 提供各类数据库实例的查看、停止、恢复、注销、扩容、缩容等操作，可查看实例详情，实例名称、引擎版本、产品规格、创建时间等，以及实例部署的主机类型及配置信息。 安装部署 多种数据库引擎自动安装部署，包含实例开通和工单管理模块，可选择数据库引擎、规格、主机及配置参数，开通对应实例，并可通过工单管理模块，查看实例开通情况。 资源管理 包含主机和VIP管理模块，可添加主机并测试联通、检测主机配置，添加主机标签，并可进行修改密码、删除操作，添加主机后可对主机进行监控，查看监控总览。 监控中心 实时监控，提供不同维度的主机和数据库运⾏指标监控及变化趋势分析，可自由选择不同时间段，开启自动刷新，通过对指标的平均值、最大最小值查看，能够实时监控运维，及时发现问题。 告警中心 提供灵活的告警配置，自定义告警模板，自定义通知对象，可实时推送告警消息，帮助运维人员及时把握数据库运行状态，及时发现风险问题，并快速定位。 安全中心 提供完整的租户用户管理，可灵活支撑企业组织架构和业务分类的资源隔离需要，超级管理员可以创建不同租户，租户管理员可添加移除用户，其他用户可自定义配置角色权限，进行有限的操作。同时，安全中心提供用户访问日志管理，可用于运维监控和问题排查。 标签管理 提供自定义标签管理，包括设置标签的键值，可在主机、实例管理里打上标签，进行分类筛选。 诊断优化 提供数据库巡检，可进行一次性、周期性巡检，生成巡检报告，可查看/下载巡检报告，方便运维管理。 服务订阅 用户通过线下方式确定需要提供的数据库服务，销售人员生成所订阅的信息并导入到服务订阅模块，后续根据用户使用情况更新订阅信息，方便用户管理订阅内容。

本最佳实践主要描述通过训推智算服务平台进行NLP大模型快速微调。 概述 AI发展正在经历一个拐点的跨越，从“预测推断”走向“内容生成”。新的AIGC形态给传统企业的模型训练和调用都提出新的挑战，需要更大的算力和大参数的算法，通过训练在大型文本语料库上学习到的语言模式生成自然语言文本，可以自动生成各类内容，文本、图像、语音、视频、代码中，能广泛应用于新闻、文案、对话、规划、设计创新，才能让企业在这场新的竞争中占据一席之地。 具体来说，新一代的大模型对模型训练的底座和平台都提出了新的要求，支持多个任务、参数1亿以上基于海量多源数据打造的模型，采用Transformer的架构，并且支持预训练。通过单模型做多种任务、更少的数据标注、更优的模型效果等特点来提升模型训练效率，以实现更优的识别、理解、决策、生成效果和更低成本的开发方案。 训推智算服务平台通过开箱即用的平台化产品，为您解决企业数字化、智能化转型中需要解决的AI建模门槛高、流程复杂、人力成本高等问题，有效为企业降本增效，助力企业转型。 本实践主要介绍少量样本对大语言模型进行微调训练，微调训练是大语言模型训练和应用中最常见的一种方式，用性价比的方式让企业快速训练出一个适合于自己业务的对话模型。通过训推智算服务平台来管理数据、标注指令微调、分布式调优任务、任务监控、模型管理、模型评估等全流程的调优步骤，通过交互式操作即可快速微调出属于业务自己的大语言对话模型。 任务特定性能提升：预训练语言模型通过大规模的无监督训练学习了语言的统计模式和语义表示。然而，它在特定任务上的性能可能不如在大规模无监督数据上表现出的性能。通过在任务特定的有标签数据上进行微调，模型可以进一步学习任务相关的特征和模式，从而提高性能。 领域适应性：预训练语言模型可能在不同领域的数据上表现不一致。通过在特定领域的有标签数据上进行微调，可以使模型更好地适应该领域的特殊术语、结构和语义，提高在该领域任务上的效果。 数据稀缺性：某些任务可能受制于数据的稀缺性，很难获得大规模的标签数据。监督微调可以通过使用有限的标签数据来训练模型，从而在数据有限的情况下取得较好的性能。 防止过拟合：在监督微调过程中，通过使用有标签数据进行有监督训练，可以减少模型在特定任务上的过拟合风险。这是因为监督微调过程中的有标签数据可以提供更具体的任务信号，有助于约束模型的学习，避免过多地拟合预训练过程中的无监督信号。

本文为您介绍如何使用Elasticsearch实例中的向量检索能力，增强实例的搜索能力。 概述 向量检索（Vector Search）是Elasticsearch的高级功能，允许用户在高维向量空间中进行相似性搜索，超越了传统的关键词匹配方式。通过将文本、图像等数据转换为向量表示，基于向量之间的距离进行搜索，适合自然语言处理、推荐系统和计算机视觉等复杂场景。 天翼云云搜索服务开通的Elasticsearch 支持通过近似最近邻（ANN）搜索算法实现高效的向量索引结构，使得在处理大规模数据集时依然能保持高效的查询速度和准确性。 前提条件 已开通天翼云云搜索服务 Elasticsearch 集群。 Elasticsearch 版本支持KNN向量检索功能（当前版本默认支持）。 本地环境已配置好API访问权限，且能够通过API与集群通信。 操作步骤 1. 创建支持向量检索的索引，需要创建一个支持向量检索的索引。可以使用以下命令为一个包含向量字段的索引启用 KNN 功能。 PUT myknnindex1 { "settings": { "index": { "knn": true, "knn.algoparam.efsearch": 100 } }, "mappings": { "properties": { "category": { "type": "keyword" }, "brand": { "type": "keyword" }, "style": { "type": "keyword" }, "myvector": { "type": "knnvector", "dimension": 3 } } } } knn: 设置为 true 启用向量检索。 dimension: 定义向量的维度，在这个例子中为 3。 2. 插入向量数据，创建索引后，可以插入带有向量字段的数据文档。以下是插入不同类型商品的向量示例： PUT myknnindex1/doc/1 { "category": "electronics", "brand": "brandA", "style": "modern", "myvector": [0.5, 0.8, 0.3] } PUT myknnindex1/doc/2 { "category": "furniture", "brand": "brandB", "style": "vintage", "myvector": [0.2, 0.4, 0.7] } PUT myknnindex1/doc/3 { "category": "clothing", "brand": "brandC", "style": "casual", "myvector": [0.9, 0.1, 0.6] } 3. 执行向量检索查询，插入数据后，用户可以通过查询指定的向量来查找与之相似的数据。以下示例将基于向量 [0.5, 0.8, 0.3] 进行KNN检索，返回与之最相似的2条记录。 POST myknnindex1/search { "size": 10, "query": { "knn": { "myvector": { "vector": [0.5, 0.8, 0.3], "k": 2 } } } } vector: 查询的向量值。 k: 返回与查询向量最相似的k个结果，此处为2。 4. 查询返回示例，返回结果中将包含与查询向量最相似的文档及其相似度得分（score）： { "took" : 654, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 3, "relation" : "eq" }, "maxscore" : 1.0, "hits" : [ { "index" : "myknnindex1", "id" : "1", "score" : 1.0, "source" : { "category" : "electronics", "brand" : "brandA", "style" : "modern", "myvector" : [0.5, 0.8, 0.3] } }, { "index" : "myknnindex1", "id" : "2", "score" : 0.7092199, "source" : { "category" : "furniture", "brand" : "brandB", "style" : "vintage", "myvector" : [0.2, 0.4, 0.7] } } ] } } 通过这些步骤，用户可以在Elasticsearch集群上实现基于向量的高效相似性搜索，支持从多维数据中快速找到最相似的结果，从而提升搜索体验和智能化水平。

本文介绍边缘安全加速平台名词术语。 CNAME 记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当 DNS 系统在查询 CNAME 左面的名称的时候，都会转向 CNAME 右面的名称再进行查询，一直追踪到最后的 PTR 或 A 名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用 ctyun.cn 访问，您又希望通过 ctyun.cn1 也能访问该服务器，那么就需要在您的 DNS 解析服务商添加一条 CNAME 记录，将 ctyun.cn 指向 ctyun.cn1，添加该条 CNAME 记录后，所有访问 ctyun.cn 的请求都会被转到 ctyun.cn1，获得相同的内容。 DNS DNS 即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的 IP 地址。人们习惯记忆域名，但机器间互相只认 IP 地址，域名与 IP 地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的 www.ctyun.cn 会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 边缘安全节点 边缘安全节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用 Cache 设备上，以此来提高网站访问的速度和质量。 回源 HOST 回源 host 决定回源请求访问到源站上的具体某个站点。 例1：源站是域名源站为 www.ctyun.cn，回源 host 为 www.ctyun.cn1，那么实际回源是请求到 www.ctyun.cn 解析到的IP，对应的主机上的站点 www.ctyun.cn1。 例2：源站是 IP 源站为1.1.1.1，回源 host 为www.ctyun.cn1，那么实际回源的是1.1.1.1对应的主机上的站点 www.ctyun.cn1。 协议回源 协议回源指回源时使用的协议和客户端访问资源时的协议保持一致，即如果客户端使用 HTTPS 方式请求资源，当 CDN 节点上未缓存该资源时，节点会使用相同的 HTTPS 方式回源获取资源；同理如果客户端使用 HTTP 协议的请求，CDN 节点回源时也使用 HTTP 协议。 过滤参数 过滤参数是指当URL请求中带“？”并携带参数请求到 CDN 节点的时候，CDN 节点在收到该请求后可根据配置决定是否将该带参数的 URL 请求回源站。当开启过滤参数时，该请求到 CDN 节点后会截取到没有参数的 URL 向源站请求。并且 CDN 节点仅保留一份副本。如果关闭该功能，则每个不同的 URL 都缓存不同的副本在 CDN 的节点上。 Web 安全 相关 Web 应用层面的安全问题与事件,包括各种 Web 组件、协议、应用等。 正则防护 经验规则集，自动为网站防御 SQL 注入、XSS 跨站、Webshell 上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的 Web 攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何 Web 应用防火墙防护模块的检测，直接访问源站服务器。 IP 黑名单 支持一键阻断来自指定 IP 地址、IP 地址段以及指定地理区域的 IP 地址的访问请求。 0Day 漏洞 0Day 是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC 安全防护 根据访问者的 URL，频率、行为等访问特征，智能识别 CC 攻击，迅速识别 CC 攻击并进行拦截，在大规模 CC 攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。 多源评估 通过对多种输入信息源数据动态地进行综合分析与评估的能力。 访问主体 能访问客体的主动实体。 访问客体 能与主体建立访问连接的被动实体。 SSL 证书 SSL 证书（Secure Sockets Layer）指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL 证书遵循 SSL 协议，可安装在服务器上，实现数据传输加密。 云工作负载 指云环境中从应用程序层到管理程序或处理的自包含组件（如堆栈中的虚拟机和容器）的整个应用程序堆栈。 访问控制 确保对资产的访问是基于业务和安全要求进行授权和限制的手段。 零信任 一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始，通过持续的身份鉴别和监测评估、最小权限原则等，动态调整访问策略和权限，实施精细化的访问控制和安全防护。 策略引擎 负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。 连接器 放置在业务前端的引流设备，用于打通内外网业务，确保终端用户可以安全访问业务数据。 动态授权 基于零信任对访问主体永不信任的原则，根据用户所处的环境动态调整用户拥有的访问权限。 SDP 即软件定义边界，旨在对于网络安全防护中不信任任何设备、人物、身份、系统等相关，每一个步骤都要有所验证，有所根据，让所有安全防护的相关都变为可信安全。 TCP 协议 TCP 协议指传输控制协议（Transmission Control Protocol），是一种面向连接的、可靠的、基于字节流的传输层通信协议，由 IETF 的 RFC 793 定义。TCP 工作在网络 OSI 的七层模型中的第四层（传输层），连接到不同但互连的计算机通信网络的主计算机中的成对 进程之间依靠 TCP 提供可靠的通信服务。 UDP 协议 Internet 协议集支持一个无连接的传输协议，该协议称为用户数据包协议（UDP，User Datagram Protocol）。UDP 为应用程序提供了一种无需建立连接就可以发送封装的 IP 数据包的方法。RFC 768 描述了 UDP。 Internet 的传输层有两个主要协议，互为补充。无连接的是 UDP，它除了给应用程序发送 数据包功能并允许它们在所需的层次上架构自己的协议之外，几乎没有做什么特别的事情。 面向连接的是 TCP，该协议几乎做了所有的事情。 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离了出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型；开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与 BaaS 不同，FaaS 可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到边缘安全加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用 FaaS 时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持定时触发器以及HTTP触发器。 HTTP 路由 用户绑定 HTTP 触发器和对应函数后，访问安全与加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 KV 存储 OmniKV 边缘存储提供了 KeyValue 型边缘存储服务，使开发人员能够构建低时延、频繁读取、不频繁写入的数据驱动的边缘无服务器应用程序。借助 OmniKV，无服务器应用程序可以将数据存放在靠近用户的位置，避免从云端或本地解决方案中检索信息的需要，从而实现快速响应。用户快速可以构建高度动态的 API 和网站服务，部署轻量型的 API 网关、BaaS 服务。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持 JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

总结 通过本次实践，无论是在天翼云EMR云实例上结合xFasterTransformer部署DS R1 distill Qwen7B蒸馏模型，还是基于英特尔® 至强® 6处理器部署满血版DeepSeekR1 671B模型，均验证了CPU系统在DeepSeek大模型推理上的可行性和符合业界普遍要求的性能表现。CPU系统不仅能够灵活应对不同规模的模型需求，无论是轻量化蒸馏模型还是全功能满血模型，都能高效满足用户场景需求，提供了一种低成本、经济高效的解决方案。 附录1 英特尔® 至强® 可扩展处理器与AI加速技术 最新英特尔® 至强® 可扩展处理器产品 英特尔第五代® 至强® 可扩展处理器（代号 Emerald Rapids）——为AI加速而生 第五代英特尔® 至强® 处理器以专为AI工作负载量身定制的设计理念，实现了核心架构和内存系统的双重飞跃。其64核心设计搭配高达320MB的三级缓存（每核心由1.875MB提升至5MB），相较上代缓存容量实现近三倍增长，为大规模并行AI推理提供充裕的本地数据存储空间。与此同时，处理器支持DDR55600高速内存，单路最大4TB的容量保证了大数据处理时的带宽和延迟优势。基于这些硬件提升，Emerald Rapids整体性能较上一代提升21%，AI推理性能平均提升42%，在大语言模型推理场景中可实现最高1.5倍的性能加速，同时大幅降低总拥有成本达77%。 英特尔® 至强®6处理器（代号 GNR Granite Rapids）——引领CPU AI算力革新 全新GNR处理器专为应对人工智能、数据分析及科学计算等计算密集型任务而设计。该产品在内核数量、内存带宽及专用AI加速器方面均实现重大突破： 核心与性能：每CPU配备多达128个性能核心，单路核心数较上一代翻倍，同时平均单核性能提升达1.2倍、每瓦性能提升1.6倍，进一步强化了CPU在大模型推理中的独立处理能力； AI加速功能：内置英特尔® 高级矩阵扩展（AMX）新增对FP16数据类型的支持，使得生成式AI和传统深度学习推理任务均能获得显著加速； 内存与I/O突破：支持DDR56400内存及英特尔首款引入的Multiplexed Rank DIMM (MRDIMM) 技术，有效将内存带宽提升至上一代的2.3倍；同时，高达504MB的三级缓存和低延迟设计确保数据能够更快加载，为复杂模型训练和推理缩短响应时间。 英特尔® 至强® 6处理器不仅通过更多的核心和更高的单线程性能提升了AI大模型推理能力，同时也能够作为机头CPU为GPU和其他加速器提供高速数据供给，进一步缩短整体模型训练时间。在满足混合工作负载需求的同时，其TCO平均降低30%，大模型推理加速最高可达2.4倍。 无论是第五代至强还是全新的至强6处理器，英特尔均通过在核心架构、缓存系统、内存技术和专用AI加速器方面的全面革新，提供了业界领先的AI计算支持。这两款产品为数据中心和高性能计算平台在AI推理、训练以及多样化工作负载下提供了强大而高效的算力保障

总结 通过本次实践，无论是在天翼云EMR云实例上结合xFasterTransformer部署DS R1 distill Qwen7B蒸馏模型，还是基于英特尔® 至强® 6处理器部署满血版DeepSeekR1 671B模型，均验证了CPU系统在DeepSeek大模型推理上的可行性和符合业界普遍要求的性能表现。CPU系统不仅能够灵活应对不同规模的模型需求，无论是轻量化蒸馏模型还是全功能满血模型，都能高效满足用户场景需求，提供了一种低成本、经济高效的解决方案。 附录1 英特尔® 至强® 可扩展处理器与AI加速技术 最新英特尔® 至强® 可扩展处理器产品 英特尔第五代® 至强® 可扩展处理器（代号 Emerald Rapids）——为AI加速而生 第五代英特尔® 至强® 处理器以专为AI工作负载量身定制的设计理念，实现了核心架构和内存系统的双重飞跃。其64核心设计搭配高达320MB的三级缓存（每核心由1.875MB提升至5MB），相较上代缓存容量实现近三倍增长，为大规模并行AI推理提供充裕的本地数据存储空间。与此同时，处理器支持DDR55600高速内存，单路最大4TB的容量保证了大数据处理时的带宽和延迟优势。基于这些硬件提升，Emerald Rapids整体性能较上一代提升21%，AI推理性能平均提升42%，在大语言模型推理场景中可实现最高1.5倍的性能加速，同时大幅降低总拥有成本达77%。 英特尔® 至强®6处理器（代号 GNR Granite Rapids）——引领CPU AI算力革新 全新GNR处理器专为应对人工智能、数据分析及科学计算等计算密集型任务而设计。该产品在内核数量、内存带宽及专用AI加速器方面均实现重大突破： 核心与性能：每CPU配备多达128个性能核心，单路核心数较上一代翻倍，同时平均单核性能提升达1.2倍、每瓦性能提升1.6倍，进一步强化了CPU在大模型推理中的独立处理能力； AI加速功能：内置英特尔® 高级矩阵扩展（AMX）新增对FP16数据类型的支持，使得生成式AI和传统深度学习推理任务均能获得显著加速； 内存与I/O突破：支持DDR56400内存及英特尔首款引入的Multiplexed Rank DIMM (MRDIMM) 技术，有效将内存带宽提升至上一代的2.3倍；同时，高达504MB的三级缓存和低延迟设计确保数据能够更快加载，为复杂模型训练和推理缩短响应时间。 英特尔® 至强® 6处理器不仅通过更多的核心和更高的单线程性能提升了AI大模型推理能力，同时也能够作为机头CPU为GPU和其他加速器提供高速数据供给，进一步缩短整体模型训练时间。在满足混合工作负载需求的同时，其TCO平均降低30%，大模型推理加速最高可达2.4倍。 无论是第五代至强还是全新的至强6处理器，英特尔均通过在核心架构、缓存系统、内存技术和专用AI加速器方面的全面革新，提供了业界领先的AI计算支持。这两款产品为数据中心和高性能计算平台在AI推理、训练以及多样化工作负载下提供了强大而高效的算力保障

本节介绍如何开启数据加速。 您可以在创建数据集或者数据集版本时，开启数据加速功能。 开启数据加速将同步生成数据源配置资源（Dataset）与后端加速引擎资源（Runtime）；两者就绪后，数据集进入加速状态，将远端数据加载至本地缓存并创建加速 PVC，业务应用通过挂载该 PVC 即可获得数据访问加速能力。 前提条件 已完成AI套件安装，弹性数据集组件运行正常。 确保存储插件cstorcsi运行正常。 建议开启加速前进行缓存节点和路径规划，以合理利用节点资源，提升集群稳定性。 约束与限制 数据加速引擎使用开源社区的模板与镜像，使用过程中可能存在缺陷，我们会定期同步社区版本来修复已知漏洞。请评估是否满足您的业务场景要求。 目前，仅支持通过Alluxio底层存储引擎使用数据缓存的能力。alluxio 是一个面向基于云的数据分析和人工智能的开源的数据编排技术。 它为数据驱动型应用和存储系统构建了桥梁, 将数据从存储层移动到距离数据驱动型应用更近的位置从而能够更容易被访问。 选择存储介质为SSD，存储路径不能配置根目录。 选择存储介质为MEM，存储路径开头配置为/dev/shm 或 /run/shm。 操作步骤 1. 创建数据集 登录云容器引擎管理控制台 在集群列表页点击进入指定集群 进入主菜单 智算套件 > AI应用管理 > 数据集 > 私有数据集，选择创建数据集 在新建数据集页面，首先完成基础信息配置，参考 创建数据集 进行数据加速配置： 配置项说明如下： 配置项 说明 加速类型 选择 本地缓存。 存储类型 缓存层级所使用的存储介质类型，当前支持SSD、MEM，默认使用SSD。 存储路径 缓存介质的本地挂载 / 存储路径。 注意 1. 选择SSD存储，路径不能配置根目录，更进一步，建议不适用系统盘路径 2. 选择MEM存储，路径开头配置为/dev/shm 或 /run/shm 缓存配额 可使用的本地缓存存储配额（即本地缓存的最大容量限制），单位可选GiB、MiB。 立即预热 提前将远程存储系统中的数据拉取到本地缓存，使得消费该数据集的应用能够在首次运行时即可享受到缓存带来的加速效果。 高级选项 实例副本数 指定 缓存引擎Worker 节点数量，Replica 数量越多，缓存容量总和越大。默认为 1个节点。 高级选项 节点亲和性 指定 缓存引擎节点需要部署在符合特定条件的 K8s 节点上，可以控制缓存节点的部署位置，提升数据访问效率、合理利用节点资源。 高级选项 预留空间上限 当前缓存层级的缓存容量上限阈值（以百分比形式表示，取值 0~1 之间，如 0.95 对应 95%）。 当缓存数据占用量达到对应的百分比时，缓存引擎会自动触发缓存淘汰机制（默认 LRU 策略），开始清理（淘汰）不常用的缓存数据，防止缓存容量超出配额。 高级选项 预留空间下限 当前缓存层级的缓存容量下限阈值（以百分比形式表示，取值 0~1 之间，如 0.7 对应 70%）。 作为缓存淘汰机制的停止阈值，当缓存数据占用量因淘汰机制降至对应的百分比时，停止缓存淘汰，保留当前可用缓存数据。

通知项 通知内容 通知内容说明 每日告警通知：每日凌晨检测主机中的风险，汇总并统计检测结果后，将检测结果于每日上午10：00发送给您添加的手机号或者邮箱。 资产管理 危险端口 检测开放了的危险端口或者不必要的端口，通知用户及时排查这些端口是否用于正常业务。 漏洞管理 需紧急修复漏洞 检测系统中的紧急漏洞，通知用户尽快修复，防止攻击者利用该漏洞会对主机造成较大的破坏。 基线检查 配置检查 检测系统中的关键应用，如果采用不安全配置，有可能被黑客利用作为入侵主机系统的手段。 基线检查 经典弱口令 检测MySQL、FTP及系统帐号的弱口令。 入侵检测 恶意程序 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 入侵检测 Webshell 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。 您可以使用手动检测功能检测主机中的网站后门。 入侵检测 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 入侵检测 文件提权 检测当前系统对文件的提权。 入侵检测 进程提权 检测以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 入侵检测 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 入侵检测 文件/目录变更 对于系统文件/目录进行监控，文件/目录被修改时告警，提醒用户文件/目录存在被篡改的可能。 入侵检测 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 入侵检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 入侵检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 入侵检测 异常登录 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 若在非常用登录地登录，则触发安全事件告警。 入侵检测 非法系统账号 检测主机系统中的账号，列出当前系统中的可疑账号信息，帮助用户及时发现非法账号。 入侵检测 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 入侵检测 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。 入侵检测 容器进程异常 容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程，可以在控制台配置安全策略设置进程白名单并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 入侵检测 容器异常启动 对容器启动时使用不合规的参数进行检测告警。 容器启动时可以带有很多参数，对容器进行权限设置。如果没有正确设置，可能会导致权限过大，给攻击者留下可以利用的方式。 入侵检测 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 入侵检测 敏感文件访问 检测重要文件的提权或持久化等访问行为，对访问行为进行告警。 入侵检测 需紧急修复DDoS攻击第三方漏洞 检测需要紧急修复来自DDoS的第三方漏洞攻击。 入侵检测 恶意扫描 检测对主机资产的异常扫描行为。 入侵检测 恶意挖矿 对在未经用户同意或知情的情况下使用设备（计算机、智能手机、平板电脑甚至服务器）挖掘加密货币进行检测，一旦发现立即报警上报。 入侵检测 暴力破解 检测“尝试暴力破解”和“暴力破解成功”等暴力破解。 检测账户遭受的口令破解攻击，封锁攻击源，防止云主机因账户破解被入侵。 若账户暴力破解成功，登录到云主机，则触发安全事件告警。 实时告警通知：事件发生时，及时发送告警通知。 入侵检测 恶意程序 对运行中的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 入侵检测 Webshell 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。 您可以根据网站后门信息忽略可信文件。您可以使用手动检测功能检测主机中的网站后门。 入侵检测 文件提权 检测当前系统对文件的提权。 入侵检测 进程提权 检测以下进程提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 入侵检测 关键文件变更 对于系统关键文件进行监控，文件被修改时告警，提醒用户关键文件存在被篡改的可能。 入侵检测 文件/目录变更 对于系统文件/目录进行监控，文件/目录被修改时告警，提醒用户文件/目录存在被篡改的可能。 入侵检测 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 入侵检测 高危命令执行 实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 入侵检测 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 入侵检测 非法系统帐号 检测主机系统中的帐号，列出当前系统中的可疑帐号信息，帮助用户及时发现非法帐号。 入侵检测 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 入侵检测 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。 入侵检测 容器进程异常 容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程，可以在控制台配置安全策略设置进程白名单并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 入侵检测 容器异常启动 对容器启动时使用不合规的参数进行检测告警。 容器启动时可以带有很多参数，对容器进行权限设置。如果没有正确设置，可能会导致权限过大，给攻击者留下可以利用的方式。 入侵检测 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 入侵检测 敏感文件访问 检测重要文件的提权或持久化等访问行为，对访问行为进行告警。 入侵检测 需紧急修复DDoS攻击第三方漏洞 检测需要紧急修复来自DDoS的第三方漏洞攻击。 入侵检测 恶意扫描 检测对主机资产的异常扫描行为。 入侵检测 恶意挖矿 对在未经用户同意或知情的情况下使用设备（计算机、智能手机、平板电脑甚至服务器）挖掘加密货币进行检测，一旦发现立即报警上报。 账户登录 登录成功 对登录成功的账户进行通知。

本文介绍零信任网络服务计费。 零信任网络服务适用场景 零信任网络服务由电信云公司自主研发，依托中国电信优质的网络资源，是旨在为企业提供安全、高效、智能的网络连接和加速服务，满足移动办公、海外访问国内应用、跨境加速、多云互联等多种场景。 计费模式： 包周期 计费区域： 中国内地、香港、亚太、美洲、欧洲、中东非 计费周期： 按月结算 折扣规则： 详细见零信任网络服务折扣说明 网络服务、远程办公、办公组网的关系： 网络服务提供区域带宽给远程办公和办公组网使用，支持订购后分配两个场景的带宽值。 远程办公包括零信任主套餐、扩展服务、按需订购项，带宽计费模式下可以叠加网络服务的区域带宽。 办公组网连接模式通过平台授权服务费来订购，加速模式通过网络服务的区域带宽进行订购。 注意 网络服务远程办公/办公组网不支持官网自助开通，请联系您的客户经理或者提交工单进行咨询。 网络服务区域带宽支持给远程办公和办公组网使用，并支持订购范围内按照场景分配带宽，请联系您的客户经理进行咨询。 计费项 计费类型 区域 阶梯区间 标准价格（元/Mbps/月） 备注 网络服务远程办公/办公组网带宽 包周期 中国内地 (0Mbps,100Mbps] 40 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中国内地 (100Mbps,+] 35 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (0Mbps,10Mbps] 230 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (10Mbps,20Mbps] 220 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (20Mbps,50Mbps] 210 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (50Mbps,100Mbps] 200 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (100Mbps,200Mbps] 190 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (200Mbps,500Mbps] 150 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (500Mbps,1Gbps] 140 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (1Gbps,+] 135 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (0Mbps,10Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (10Mbps,20Mbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (20Mbps,50Mbps] 650 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (50Mbps,100Mbps] 620 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (100Mbps,200Mbps] 540 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (200Mbps,500Mbps] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (500Mbps,1Gbps] 500 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (1Gbps,+] 490 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (0Mbps,10Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (10Mbps,20Mbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (20Mbps,50Mbps] 675 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (50Mbps,100Mbps] 650 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (100Mbps,200Mbps] 560 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (200Mbps,500Mbps] 540 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (500Mbps,1Gbps] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (1Gbps,+] 510 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (0Mbps,10Mbps] 720 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (10Mbps,20Mbps] 710 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (20Mbps,50Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (50Mbps,100Mbps] 670 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (100Mbps,200Mbps] 580 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (200Mbps,500Mbps] 555 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (500Mbps,1Gbps] 535 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (1Gbps,+] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (0Mbps,10Mbps] 1375 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (10Mbps,20Mbps] 1330 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (20Mbps,50Mbps] 1200 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (50Mbps,100Mbps] 1110 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (100Mbps,200Mbps] 1090 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (200Mbps,500Mbps] 940 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (500Mbps,1Gbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (1Gbps,+] 680 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 计费项 计费类型 标准价格（元/实例/月） 备注 平台授权服务费 包周期 100 用于办公组网连接模式，按照连接器个数收费 按照连接器实例带宽扣费： （0，100Mbps]占用1个平台授权服务 （100，300Mbps]占用2个平台授权服务 （300，500Mbps]占用3个平台授权服务 500Mbps以上带宽占用5个平台授权服务 说明 远程办公/办公组网/全球加速服务，非中国内地带宽可进行叠加共享。如订购远程办公香港带宽10Mbps，办公组网香港带宽5Mbps，全球加速香港带宽1Mbps，则该客户在香港区域可共享16Mbps带宽。 远程办公核心计费为帐号，管理控制客户端接入，办公组网/全球加速核心管理控制隧道链路访问，主要计费为带宽，若远程办公与办公组网/全球加速共用连接器时则连接器隧道链路带宽按照办公组网/全球加速进行统一限速计费，提供更稳定、独用的加速隧道访问。 例子：客户开通远程办公带宽 30Mbps （仅用于限制客户端用户接入总带宽 ），需接入连接器集群 A ；同时开通办公组网带宽 10Mbps （分配为连接器 A 5Mbps、连接器 B 5Mbps）。由于远程办公与办公组网的隧道流量统一汇聚至连接器集群 A ，为保证链路稳定与统一管控，连接器集群 A 将按办公组网分配的 5Mbps 进行统一限速，即客户端接入流量与连接器 B 访问集群 A 的流量总和不超过 5Mbps。

混合云一体机集成天翼云平台，提供计算、存储、网络、监控、管理等全栈云服务。 计算 弹性云主机：由CPU、内存、镜像、云硬盘组成，是一种可随时获取、即开即用、可弹性扩展的计算服务器。一体机支持创建通用型、计算增强型、内存优化型多种云主机类型，同时支持云主机组、云主机快照等功能。 GPU云主机：结合了GPU计算力与CPU计算力，满足客户在人工智能、高性能计算、专业图形图像处理等场景中的需求。一体机通过扩展GPU服务器的方式支持GPU云主机，GPU云主机支持虚拟化、直通技术。 标准裸金属：具有物理资源独享、高性能的特点，适合部署核心数据库等关键系统。一体机通过虚拟裸金属网关实现对物理服务器的统一纳管。 镜像服务：是弹性云主机实例可选择的运行环境模板，一般包括操作系统和预装软件。云镜像服务包括公共镜像、私有镜像及共享镜像。 弹性伸缩服务：通过策略自动调整计算资源的管理服务。用户通过管理控制台设定弹性伸缩组策略，弹性伸缩服务将根据预设规则自动调整伸缩组内的云主机数量，降低人为反复调整资源以应对业务变化和高峰压力的工作量，帮助用户节约资源和人力成本。 存储 云硬盘：基于分布式架构的、可弹性扩展的数据块级存储设备。可为云主机提供系统盘和数据盘，满足文件系统、数据库或者其他应用等的存储。 云硬盘备份：针对云主机的系统盘、数据盘提供的备份服务。用户可对存储重要数据的磁盘进行备份，并在云主机磁盘故障、用户误删数据、遭到黑客攻击等情况下将备份数据快速恢复到源盘，有效保证用户数据的安全性。 云主机备份：支持多云硬盘一致性快照技术的备份服务，支持利用备份数据恢复弹性云主机数据，提供数据备份和操作恢复的整体方案，具备实时增量备份、快速数据恢复能力，有效保障用户数据的安全性和正确性，确保业务安全。 文件存储：提供按需扩展的高性能文件存储，可为多个弹性云主机、标准裸金属提供共享访问，具备高可用性和高数据持久性。 对象存储：存储非结构化数据（图片、音视频、文本等格式文件），根据客户需求空间确定存储容量。 网络 扁平网络：可与物理机网络直通，也可通过物理网络设置网关和路由直接访问互联网的网络。 虚拟私有云：为云主机等云上资源提供可配置、可管理的虚拟网络环境，不同虚拟私有云之间二层逻辑隔离。 弹性IP：将弹性IP地址和子网中关联的弹性云主机绑定和解绑，可以实现VPC中的弹性云主机通过固定的公网IP地址与互联网互通。 负载均衡：通过将访问流量自动分发到多台云主机，扩展对外的服务能力，解决大量并发访问服务器的问题，实现更高水平的应用程序容错性能。 对等连接：是指两个VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行通信，就像两个VPC在同一个网络中一样。用户可以在自己租户的VPC之间创建对等连接，也可以在自己租户的VPC与其他租户的VPC之间创建对等连接。 安全组：是云主机级别的流量防护规则，默认安全组default放通全部协议全部端口的流出。 ACL：是一个子网级别的流量防护规则，用户可以自定义设置网络ACL规则，并将网络ACL与子网绑定，实现对子网中云主机实例流量的访问控制。通过与子网关联的出方向/入方向规则控制出入子网的流量数据。 NAT网关：能够为虚拟私有云内的弹性云主机提供网络地址转换服务，使多个弹性云主机可以共享使用弹性IP访问Internet。 VPN连接（选配）：基于Internet、通过IPSec加密通道连接用户的企业数据中心和一体机的虚拟私有云（VPC），实现两侧资源的内网互通，帮助用户轻松实现混合云环境的部署。 监控 云主机监控：包括CPU使用率、网络流入流出流量的速率、内存使用率、磁盘分配率、磁盘使用率、磁盘剩余存储量等图表数据。 云硬盘监控：包括磁盘读速率、磁盘读请求速率、磁盘写速率、磁盘写请求速率。 弹性IP监控：包括流入流出带宽、网络流入流出速率。 负载均衡监控：包括入网流量、出网流量、出网带宽、活跃连接数、新建连接数、并发连接数等。 管理 云服务：为用户提供资源创建、管理能力，比如创建云主机、管理VPC等。 运维监控：支持通过拓扑、大屏、仪表盘等形式提供告警、性能监控、日志等基础运维服务。 运营管理：匹配组织架构，提供用户管理、配额管理、角色管理等管理能力。

本文提供了天翼云AOne SDK隐私政策。 天翼云AOne SDK隐私和信息处理规则 隐私政策发布日期：【2025年5月13日】 本隐私政策仅适用于由天翼云科技有限公司提供的天翼云边缘安全加速平台零信任服务的天翼云AOne SDK能力。 版本生效日期：【2025年5月13日】 如果您有任何疑问、意见或建议，请通过以下联系方式与我们联系： 电子邮件：service@chinatelecom.cn；ctpip.ctyun@chinatelecom.cn 电话：4008109889 天翼云门户：管理中心新建工单；智能客服 为了更好地在您使用我们服务的过程中保障您的个人信息，我们对《天翼云AOne SDK隐私政策》进行了更新，此版本主要更新内容包括： 1、新增天翼云AOne SDK隐私政策内容 天翼云AOne SDK隐私和信息处理规则 提示条款 天翼云AOne SDK产品由天翼云科技有限公司（“天翼云”）运营，是一款为移动应用开发者（以下简称“开发者”）提供调用零信任内网连接等能力服务的软件开发工具包（SDK）。开发者在其移动应用内集成天翼云 AOne SDK后，可通过天翼云 AOne SDK向其移动应用（以下简称“开发者应用”）的最终用户（以下简称“最终用户”或“您”）提供本隐私政策所说明的功能及服务。此隐私政策旨在帮助开发者及最终用户了解我们收集最终用户个人信息的类型及我们如何利用和保护最终用户的个人信息。 特别说明： 1、如果开发者在其移动应用中集成并使用天翼云AOne SDK服务，则开发者应承诺： （1）开发者应遵守收集、使用最终用户个人信息有关的所有可适用法律、政策和法规，保护用户个人信息安全。 （2）开发者应将在其移动应用中集成并使用天翼云AOne SDK服务的情况，以及天翼云AOne SDK对最终用户必要个人信息的收集、使用和保护规则（即本隐私 政策 ），在其移动应用的显著位置或以其他可触达最终用户的方式告知最终用户（包括但不限于：在其移动应用隐私政策显眼处提供最终用户可浏览本隐私政策的链接），并获得最终用户对于天翼云AOne SDK收集、使用最终用户相关个人信息的完整、合法、在使用天翼云AOne SDK服务期间持续有效的授权同意。如果开发者的移动应用最终用户是未满14周岁的未成年人，请开发者务必确保获得最终用户的父母或其他监护人对于天翼云AOne SDK收集、使用最终用户相关个人信息的完整、合法、在使用天翼云AOne SDK服务期间持续有效的授权同意。 （3）开发者应向最终用户提供易于操作的查阅、更正、补充、删除、复制或转移其个人信息，撤回或更改其授权同意，注销其个人账号，要求开发者就个人信息处理规则作出解释说明等用户权利实现机制。 （4）关于上述承诺的具体落地执行可参考 《天翼云AOne SDK合规指南》。 2、我们希望集成并使用天翼云AOne SDK服务的开发者应用以合法合规的方式收集、使用最终用户的个人信息，但我们并不了解且无法控制任何开发者以及他们的移动应用如何使用他们所控制的最终用户个人信息，因此也不应为其行为负责。我们建议最终用户在认真阅读开发者应用相关隐私政策，在确认充分了解并同意他们如何收集、使用最终用户的个人信息后再使用开发者应用。 3、本隐私政策不适用于展示在链接到或再封装我们的服务的那些适用第三方隐私政策、并由第三方提供的服务。虽然第三方展示在链接到或再封装我们的服务，但我们并不了解或控制其行为，因此也不为其行为负责。请开发者及最终用户在已查看并接受其隐私政策之前，谨慎访问或使用其服务。 4、最终用户具体获得的天翼云AOne SDK服务内容由开发者根据其移动应用需要进行选择，可能因为最终用户所使用的开发者应用不同而有所差异，天翼云AOne SDK可能获得的个人信息取决于最终用户所使用的开发者应用的具体类型/版本以及最终用户所使用的功能。如果在部分开发者应用版本中不涵盖某些服务内容或未提供特定功能，则本隐私政策中涉及到上述服务/功能及相关个人信息的内容将不适用。 请开发者及最终用户务必认真阅读本隐私政策，在确认充分了解并同意后再集成并使用天翼云AOne SDK服务。 本隐私政策适用于天翼云AOne提供的SDK服务。 在使用天翼云AOne SDK产品或服务前，请您务必仔细阅读并透彻理解本政策，特别是以 粗体下划线标识的条款，您应重点阅读，在确认充分理解并同意后使用相关产品或服务。如您对本隐私政策有任何疑问，您可以通过本隐私政策公布的联系方式与我们联系。如果您不同意本隐私政策的内容，您可选择联系您的企业/组织管理员删除您的对应信息，并停止使用天翼云AOne SDK产品服务，同时您应知晓，天翼云边缘安全加速平台零信任将无法再为您提供相关服务。 定义： 天翼云边缘安全加速平台零信任服务天翼云AOne SDK ：由天翼云科技有限公司（简称“天翼云”，注册地址：北京市东城区青龙胡同甲1号、3号2幢2层20532室）创建和运营。 企业/组织用户： 使用天翼云边缘安全加速平台零信任服务的企业或组织。 个人信息 ：是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 敏感个人信息 ：是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹的信息，以及不满十四周岁未成年人的个人信息。 个人信息处理者 ：是指在个人信息处理活动中自主决定处理目的、处理方式的组织或个人。 个人信息的处理 ：包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。 去标识化 ：是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。 匿名化 ：是指个人信息经过处理无法识别特定自然人且不能复原的过程。 本隐私和信息处理规则将帮助您了解以下内容： 一、本隐私和信息处理规则的适用范围 二、各业务功能中的用户信息收集使用规则 三、我们如何使用Cookie和同类技术 四、我们如何共享、转让、公开披露您的个人信息 五、我们如何保护您的个人信息或关联组织信息 六、我们如何保存您的个人信息或关联组织信息 七、未成年人保护 八、我们如何处理儿童的个人信息 九、您的权利及如何管理您的个人信息 十、响应您的请求 十一、本隐私和信息处理规则如何更新 十二、如何联系我们 一、本隐私和信息处理规则的适用范围 1.1 本隐私和信息处理规则仅适用于由天翼云科技有限公司提供的天翼云边缘安全加速平台零信任服务天翼云AOne SDK所提供的能力。 1.2 您利用天翼云边缘安全加速平台零信任服务进行个人信息等数据的上传、下载、发布、分发、存储等处理活动不适用于本隐私和信息处理规则。如您利用天翼云边缘安全加速平台零信任服务进行数据处理，您应当确保数据处理活动的合法性，如上述数据中涉及个人信息，您应当确保上述个人信息的处理符合法律规定，且处理个人信息前已经依法向相关个人告知处理的个人信息种类、目的、方式等事项，并已经依法取得个人的同意。 1.3 如您向我们提供的信息中含有他人的信息，在提供这些信息前，您应当确保已经取得他人合法、充分的授权。 二、各业务功能中的用户信息收集使用规则 天翼云AOne SDK属于“网络代理类”，我们的基本业务功能包括：账号服务、零信任内网 连接、应用资源访问 。必要个人信息包括：注册用户登录账号、注册用户登录密码、移动端设备VPN权限。 扩展功能包括：使用企业 微信账户授权登录 ，您可选择同意或不同意我们使用这部分权限可能涉及的个人信息，如您拒绝提供，您将无法正常使用相关扩展功能，但不会影响您使用我们的基本功能。我们收集您的信息以合法、合理、必要为原则，在向您提供某项具体服务时，我们将明确告知您将收集的信息以及用途，来响应您具体的服务请求。 提示您注意：如果您提供的是非本人的信息，请您确保已取得相关主体的同意 。根据您选择的服务，我们在以下场景可能收集以下信息的一种或多种： 2.1 产品基本业务功能 2.1.1 账号服务 2.1.1.1 账号注册、登录 （1）当您或您的代理人（企业/组织的管理员）为您进行账号注册时，需要收集您的 手机号（必要）、电子邮箱（必要）或用户名（必要）（该用户名可能是您的姓名或其他身份定位名称，取决于您所在的企业用户的管理方式，下同） 用于登录时进行双因子认证，重置密码，忘记密码，修改密码时进行验证码校验。此类信息属于必要信息，如果您拒绝提供，将会出现： 如果拒绝提供 手机号码（必要） ，会导致开启短信双因子认证的最终用户无法登录天翼云边缘安全加速平台零信任服务，无法通过手机号码重置账号密码，也无法修改和绑定手机号码，也无法接收服务端发送的通知，包括账号开通、初始密码、密码重置成功的短信，但不影响未开启短信双因子认证的用户使用天翼云边缘安全加速平台零信任服务的功能。 如果拒绝提供 电子邮箱（必要） ，会使您无法通过电子邮箱的方式重置天翼云边缘安全加速平台零信任服务账号密码；也无法接收服务端发送的通知邮件，包括账号开通、绑定账号、账号到期、密码重置成功、OTP密钥重置成功、手机号修改成功邮件，但不影响您使用天翼云边缘安全加速平台零信任服务的其他功能。 如果拒绝提供 姓名或其他身份定位名称（必要） ，会使您的企业无法通过姓名对您零信任账号进行查询，但不影响您使用天翼云边缘安全加速平台零信任服务的其他功能。 （2）当您在零信任服务天翼云AOne SDK通过账号密码进行登录时，需要提供您企业给您分配的 注册用户登录账号（必要）、注册用户登录密码（必要）、验证码（必要） ，此类信息属于必要信息，如您拒绝提供，您将无法通过账号密码进行登录。 2.1.2 零信任内网连接 2.1.2.1信息统计故障诊断 在您使用天翼云边缘安全加速平台零信任服务天翼云AOne SDK的过程中我们会接收并记录您所使用的 设备相关信息（包括设备名称（必要）、品牌（必要）、型号（必要）、操作系统（必要）、设备设置（必要））、设备所在位置相关信息（IP地址（必要）） ，以便于我们对出现的使用故障进行诊断和信息统计，天翼云将通过分析这些信息以便更及时响应您的使用异常帮助请求，或用于产品信息统计和服务稳定性改进工作。此类信息属于该功能的必要信息，如您拒绝提供前述信息，我们将无法为用户提供有效的信息统计故障诊断客户服务，但不影响用户使用我们提供的其他服务。 2.1.2.2 企业/组织用户在控制台进行数据配置 为了管理企业/组织所需使用天翼云AOne SDK的人员范围和应用范围，您的企业/组织需要在天翼云边缘安全加速平台零信任服务控制台进行数据配置和管理，我们会根据天翼云边缘安全加速平台零信任服务企业/组织用户的指令记录您所在企业/组织在使用天翼云边缘安全加速平台零信任服务过程中提交或产生的信息和数据（下称“企业/组织控制数据”），企业/组织控制数据包括企业组织为完成企业组织日常办公安全管理提交的您所在企业/组织分配给您的 隶属部门（必要）、办公邮箱账号（必要）、办公电话（必要）、企业账号信息（必要），您访问的企业应用/资产名称（必要）、访问企业应用/资产的时长（必要）、访问过程中流量的大小（必要）。 此类信息属于该功能的必要信息，如您拒绝提供前述信息，您将无法进入应用，但不影响用户使用我们提供的其他服务。 您理解并同意，企业/组织用户为上述企业/组织控制数据的控制者，我们仅根据企业组织/用户的指令管理和使用上述企业组织/控制数据。企业/组织用户提交上述企业/组织控制数据中的个人信息之前，应确保已经事先获得个人用户的明确同意，并已充分告知最终用户相关数据收集的目的、范围及使用方式等。 2.1.2.3 VPN服务 在您使用天翼云边缘安全加速平台零信任服务天翼云AOne SDK的过程中，如果需要使用VPN服务访问企业内部应用，我们会申请VPN权限，保证产品功能正常；我们会收集您的 设备名称（必要）、设备型号（必要）、操作系统（必要）、天翼云边缘安全加速平台零信任服务软件版本号（必要）、设备所在位置相关信息（登录IP地址（必要））、DNS服务器（必要）、操作日志信息（必要），这些信息是产品正常使用的基本数据 。请注意，我们仅在您使用对应的功能且明确授权后启用。你也可以在天翼云AOne SDK的系统权限管理页面（路径：我的>设置>系统权限管理）或进入设备系统管理权限中自主管理你的权限。此类信息属于该功能的必要信息，若用户拒绝提供VPN权限，则将无法正常使用VPN功能，但不影响用户使用本产品提供的其他功能。 2.1.3 应用资源访问 当您使用天翼云边缘安全加速平台零信任服务天翼云AOne SDK访问您企业/组织在我们平台所配置的内部应用时，我们会自动收集您对我们服务的详细使用情况，作为有关网络日志保存。包括您的访问的应用名（必要）、访问的目的地址（必要）、目的端口（必要）、设备网络类型（必要）、客户端IP地址（必要）、客户端端口（必要）、访问日期和时间（必要）。 请注意，单独的设备信息、日志信息是无法识别特定自然人身份的信息。如果我们将这类非个人信息与其他信息结合用于识别特定自然人身份，或者将其与个人信息结合使用，则在结合使用期间，这类非个人信息将有可能被视为个人信息，除取得您授权或法律法规另有规定外，我们会将该类个人信息做匿名化、去标识化处理。此类信息属于该功能的必要信息，如您拒绝提供前述信息，您将无法访问内部应用，但不影响用户使用我们提供的其他服务。 2.2 扩展业务功能 您选择使用天翼云边缘安全加速平台零信任服务提供的扩展业务功能，需要向我们提供或允许我们收集相应的个人信息用于扩展产品和服务的使用，如您不同意不影响使用我们的基本功能服务。 2.2.4 用户使用企业微信账户授权登录 在您的企业/组织在天翼云边缘安全加速平台零信任服务天翼云AOne SDK中配置并开启了企业微信身份源同步功能后，您可以关联企业微信账号快捷登录，或使用企业微信SDK进行授权认证登录，具体隐私和信息处理规则及方式参见下图。此类信息属于该功能的必要信息，我们会在用户授权同意后关联企业微信，如不授权该权限，将只能通过天翼云边缘安全加速平台零信任服务的账户及密码进行登录； 名称 使用场景 使用目的 涉及个人信息和权限 信息类型 共享方式 开发者/公司 第三方隐私和信息处理规则/开发者协议链接 企业微信SDK 关联账号登录 企业微信账户授权登录 无 无 无 深圳市腾讯计算机系统有限公司 [腾讯企业微信SDK隐私和信息处理规则](

本节主要介绍备份存储库简介、新建备份存储库、查看备份存储库以及删除备份存储库等操作。 备份存储库简介 备份文件是存储在天翼云对象储存S3集群中，您需要先购买天翼云对象储存，然后将相应的AK、SK等信息添加到此处，后续备份文件将直接备份至您添加的备份存储库上。备份存储库有集群属性，因此您可添加多个备份存储库对应到不同的集群。 新建备份存储库 1. 登录ECX控制台。 2. 点击左侧导航栏【边缘存储>备份】，点击【备份存储库】，进入备份存储库管理页，点击【新建】按钮。 3. 在创建备份存储库的页面中，选择地域和可用区，输入S3地址、AK、SK、备份存储库等信息，点击【创建备份存储库】按钮完成备份存储库创建。 查看备份存储库 1. 登录ECX控制台。 2. 点击左侧导航栏【边缘存储>备份】，点击【备份存储库】，进入备份存储库管理页。 3. 备份存储库列表包括源文件所在集群、S3的地址以及备份存储库等信息。 删除备份存储库 1. 登录ECX控制台。 2. 点击左侧导航栏【边缘存储>备份】，点击【备份存储库】，进入备份存储库管理页。 3. 选择您要删除的备份存储库，点击操作栏的【删除】，弹窗二次确认，点击【确认】完成删除操作。

本节介绍IP地址组的创建、查看、编辑、删除、关联使用等全流程操作步骤,帮助用户快速掌握批量 IP 管理与安全组规则配置能力,提升运维效率。 创建 IP 地址组 1. 登录ECX控制台。 2. 进入边缘网络 >访问控制> IP 地址组页面。 3. 单击【+ 创建 IP 地址组 】。 4. 配置参数： IP 地址组名称：自定义名称。 IP 类型：支持 IPv4和IPv6。 IP 地址条目：填写 IP / 掩码，可添加描述、备注，支持添加多个IP或IP段，换行输入。 描述：补充说明信息。 5. 确认无误后单击提交，完成创建。 查看 IP 地址组列表和详情 1. 登录ECX控制台。 2. 进入边缘网络 >访问控制> IP 地址组页面可查看已创建的IP地址组列表。 3. 在列表页可以查看IP地址条目数、关联资源等信息，也可修改IP地址组的名称。 4. 在列表页单击目标IP 地址组名称，可查看IP地址组的详细信息，包括创建信息以及添加的IP地址条目。 编辑 IP 地址组 1. 进入 IP 地址组详情页。 2. 在IP 地址条目 区域单击编辑。 3. 支持操作： 添加：新增 IP 地址 / 网段。 编辑：修改已有条目描述、备注。 上方插入：在指定条目前方插入新 IP。 删除：移除指定 IP 条目。 4. 修改完成后单击提交保存，修改后关联的安全组会立即生效。 使用方法（关联安全组规则） IP 地址组主要用于安全组规则批量配置，步骤如下： 1. 进入边缘网络 >访问控制> 安全组，选择目标安全组。 2. 进入入方向规则 / 出方向规则 ，单击添加规则。 3. 来源类型选择IP 地址组。 4. 选择已创建的 IP 地址组。 5. 配置协议端口、策略（允许 / 拒绝）、备注。 6. 单击确定完成规则配置。

概述 本章节将通过SDK快速创建一个沙箱，并在沙箱隔离环境里面运行一段python代码 控制台操作 创建API Key 登录控制台，在“凭证管理”菜单，创建API Key 创建自定义域名 登录控制台，进入“域名管理”菜单，按照提示完成自定义域名创建 创建沙箱模板 登录控制台，进入“沙箱”菜单，创建一个类型为“代码沙箱”的沙箱模板，并填写好沙箱模板名称，例如：mytestcodetemplate 客户端操作 安装SDK 前置条件：已安装python 3.9+ 安装依赖： shell pip install e2bcodeinterpreter2.3.0 pip install e2b2.6.0 pip install pythondotenv 配置环境变量 在您的项目文件夹新建 .env 文件（如果之前不存在的话），并配置 API 密钥和自定义域名，参考如下替换为您的API Key和自定义域名 plaintext E2BDOMAINyour.domain 如果您在控制台上面配置的泛域名为.your.domain，则这里不需要填写.，只需要填写your.domain E2BAPIKEYyour.api.key 编写代码创建Agent沙箱 创建一个main.py源文件，代码如下： python from dotenv import loaddotenv from e2bcodeinterpreter import Sandbox The .env file should be located in the project root directory dotenv will automatically look for .env in the current working directory loaddotenv() 注意：修改下面模板为您的模板名称或者模板id sbx Sandbox.create(template"mytestcodetemplate") 代码执行 execution sbx.runcode("print('hello world')") print(execution.logs) 不再使用时，关闭沙箱 sbx.kill() 运行代码 python python main.py 输出内容如下： shell Logs(stdout: ['hello worldn'], stderr: [])

设置沙箱超时时间 每个沙箱都有一个 timeout（“超时时间”）配置，当沙箱的运行时间超过该配置值时，沙箱将自动关闭并释放。 您可以参考如下方式在启动的时候显式指定 timeout 的配置值，如果未指定，则默认值为 5 分钟。推荐按需设置 timeout 的值，以避免不必要的资源浪费。 python from dotenv import loaddotenv from e2bcodeinterpreter import Sandbox loaddotenv() 注意：修改下面模板为您的模板名称或者模板id 注意：1. 如果在平台创建的模板指定了超时时间，这里再设置timeout超时时间，将会覆盖模板的超时时间; 2. 模板里配置的超时时间为永久，则创建沙箱设置timeout将被忽略 sbx Sandbox.create(template"mytestcodetemplate", timeout60) 单位为秒。 代码执行 execution sbx.runcode("print('hello world')") print(execution.logs)

前提条件 在控制台完成AIO沙箱模板创建 在执行下文所有代码前，请先按照环境变量设置部分，完成环境变量设置 AllInOne 沙箱概述 多个单功能沙箱使用时的痛点：多个单功能沙箱（如代码执行，浏览器）迫使 Agent 通过 NAS/OSS 跨沙箱传输数据，增加了延迟与复杂度。 AIO沙箱 (AllInOne Sandbox) 是集成 Browser（无头浏览器）与Code Interpreter（代码执行） 能力的统一云端隔离环境，避免了跨沙箱数据传输。 在AIO沙箱中，您可以使用 Code Interpreter 和 Browser 两类 sandbox 的功能。 您可以在沙箱中直接操作浏览器，我们已经为您预装了 puppeteercode(nodejs) 和 playwright(python)，您可以在代码解释器中执行代码，操作内置的浏览器。 以下是AIO沙箱内置的能力： 能力 访问端口/路径 说明 代码执行 49999 兼容 E2B 协议，支持 Python / JS 等多语言 浏览器VNC 6080 浏览器VNC的websocket地址 浏览器外部代理 9223 通过代理访问浏览器CDP的地址 浏览器CDP 9222 浏览器CDP的地址，可以在沙箱内使用playwright等库直接访问 终端 & 文件系统操作 49983 文件系统与命令执行接口 AllInOne 沙箱操作 快速示例 在代码解释器中执行如下的代码，操作内置的浏览器 python from e2bcodeinterpreter import Sandbox from dotenv import loaddotenv loaddotenv() 注意：修改下面模板为您的模板名称或者模板id sandbox Sandbox.create(template"mytestaiotemplate") print(f'创建沙箱成功{sandbox}') 在沙箱里执行浏览器操作代码（沙箱里内置了playwright库） pythoncode""" import asyncio from playwright.asyncapi import asyncplaywright async def run(): async with asyncplaywright() as playwright: chromium playwright.chromium browser await chromium.connectovercdp(" 在沙箱内直接访问CDP print("连接CDP成功") context browser.contexts[0] page context.pages[0] print("获取现有上下文和页面") await page.goto(" print("导航到 title await page.title() print(f"获取页面标题: {title}") await browser.close() print("关闭连接") await run() """ sandbox.runcode( pythoncode, onstdoutlambda data: print(data), onstderrlambda data: print(data), onresultlambda data: print(data), onerrorlambda data: print(data) )

获取vnc websocket地址 python 注意：修改下面模板为您的模板名称或者模板id sandbox Sandbox.create(template"mytestaiotemplate") print(f'创建沙箱成功{sandbox}') 获取沙箱的vnc websocket地址，并用noVNC打开 vncurl sandbox.gethost(6080) vncurl f" print(f"沙箱的vnc协议地址: {vncurl}") 构建noVNC URL（使用公共noVNC服务或本地部署） import webbrowser from urllib.parse import urlparse parsedurl urlparse(vncurl) hostport parsedurl.netloc novncurl f" webbrowser.open(novncurl) print(f"已打开noVNC界面: {novncurl}") 代码运行 AllInOne 沙箱内置代码运行能力，使用方式与代码解释器沙箱完全一致，详情请参见代码运行章节 终端命令执行 AllInOne 沙箱支持在沙箱内执行 Shell 命令，详情请参见终端命令章节 文件系统操作 AllInOne 沙箱支持向沙箱上传和下载文件，详情请参见文件系统章节

单位:秒 )

前提条件 在控制台完成沙箱模板创建。 在执行下文所有代码前，请先按照环境变量设置部分，完成环境变量设置。 执行命令 您可以使用 commands 类的 run 方法在沙箱实例中运行终端命令。 python from e2bcodeinterpreter import Sandbox 注意：修改下面模板为您的模板名称或者模板id sandbox Sandbox.create(template"mytestcodetemplate") 执行终端命令 response sandbox.commands.run("ls") 可以通过user参数指定执行命令的身份，支持user和root response sandbox.commands.run("ls", user"root") 流式返回 支持流式返回 python command """ echo foo sleep 1 echo bar """ 您可以根据您的需要传递onstdout和onstderr回调 sandbox.commands.run( command, onstdoutlambda data: print(data), onstderrlambda data: print(data) ) 后台执行 支持后台执行命令 python echocode """ for i in {1..3}; do echo n $i sleep 1 done echo done """ 后台执行指令 echohandler sandbox.commands.run(echocode, backgroundTrue) 等待后台执行的命令完成 response echohandler.wait(onstdoutlambda data: print(data)) 列出正在运行的后台命令 python commandlist sandbox.commands.list() 结束后台运行的命令 python commandlist sandbox.commands.list() for command in commandlist: sandbox.commands.kill(command.pid)

前提条件 在控制台完成沙箱模板创建。 在执行下文所有代码前，请先按照环境变量设置部分，完成环境变量设置。 创建沙箱实例 python from e2bcodeinterpreter import Sandbox from dotenv import loaddotenv loaddotenv() 注意：修改下面模板为您的模板名称或者模板id sandbox Sandbox.create(template"mytestcodetemplate") 您可以在创建时指定超时时间 当沙箱的运行时间超过超时时间时，沙箱将会被自动删除 sandbox2 Sandbox.create( template"mytestcodetemplate", timeout300 单位为秒 ) 获取沙箱实例列表 您可以使用 Sandbox.list() 获取到分页器，并使用分页器来以页为单位获取具体的沙箱实例信息。 python from e2bcodeinterpreter import Sandbox from dotenv import loaddotenv loaddotenv() 调用list方法获取分页器 paginator Sandbox.list() 若分页器还有下一页，则取出下一页 while paginator.hasnext: page paginator.nextitems() 打印当前取出页的沙箱实例信息 for sandboxinfo in page: print(sandboxinfo) 您可以指定一页中有多少实例 paginatorlimit5 Sandbox.list(limit5) 获取沙箱实例信息 您可以通过使用 getinfo 方法来获取沙箱信息。 python from e2bcodeinterpreter import Sandbox from dotenv import loaddotenv loaddotenv() 注意：修改下面模板为您的模板名称或者模板id sandbox Sandbox.create(template"mytestcodetemplate") 获取沙箱实例信息 info sandbox.getinfo() print(info) 输出结果示例 SandboxInfo( sandboxid'ieox0wgidbfmdjw53lba5', sandboxdomain'', templateid'2e55502a91714672af89bdb1a569384a', name'mytestcodetemplate',

创建文件夹 您可以使用 files 类的 makedir 方法来在沙箱实例中创建文件夹。 python response sandbox.files.makedir("dirname") 监控文件变化 您可以使用 files 类的 watchdir 方法来创建一个文件监控器 watchhandle 类。 通过 watchhandle 类的 getnewevents 方法可以获得这段时间的文件变更事件。 python 创建一个文件监控器 watchhandle sandbox.files.watchdir(".") 创建一个tempfile.txt并写入内容 sandbox.files.write("tempfile.txt","temp file") 删除tempfile.txt sandbox.files.remove("tempfile.txt") 打印这段时间的所有事件 for event in watchhandle.getnewevents(): print(event) 事件示例 FilesystemEvent(name'tempfile.txt', type ) FilesystemEvent(name'tempfile.txt', type ) FilesystemEvent(name'tempfile.txt', type ) FilesystemEvent(name'tempfile.txt', type ) 停止文件监控器 watchhandle.stop()

设置沙箱超时时间 每个沙箱都有一个 timeout（“超时时间”）配置，当沙箱的运行时间超过该配置值时，沙箱将自动关闭并释放。 您可以参考如下方式在启动的时候显式指定 timeout 的配置值，如果未指定，则默认值为 5 分钟。推荐按需设置 timeout 的值，以避免不必要的资源浪费。 python from dotenv import loaddotenv from e2bcodeinterpreter import Sandbox loaddotenv() 注意：修改下面模版为您的模版名称或者模版id 注意：1. 如果在平台创建的模板指定了超时时间，这里再设置timeout超时时间，将会覆盖模板的超时时间; 2. 模板里配置的超时时间为永久，则创建沙箱设置timeout将被忽略 sbx Sandbox.create(template"mytestcodetemplate", timeout60) 单位为秒。 代码执行 execution sbx.runcode("print('hello world')") print(execution.logs)

能力 访问端口/路径 说明 代码执行 49999 兼容 E2B 协议，支持 Python / JS 等多语言 浏览器VNC 6080 浏览器VNC的websocket地址 浏览器外部代理 9223 通过代理访问浏览器CDP的地址 浏览器CDP 9222 浏览器CDP的地址，可以在沙箱内使用playwright等库直接访问 终端 & 文件系统操作 49983 文件系统与命令执行接口

前提条件 在控制台完成沙箱模版创建。 在执行下文所有代码前，请先按照环境变量设置部分，完成环境变量设置。 运行代码 您可以使用 runcode 方法来在沙箱内置的 jupyter server 中执行代码。 python from e2bcodeinterpreter import Sandbox 注意：修改下面模版为您的模版名称或者模版id sandbox Sandbox.create(template"mytestcodetemplate") 默认执行python代码 response sandbox.runcode("print("hello")") 支持多种语言 您可以指定代码的语言，支持 python, javascript, java, r, bash。 python response sandbox.runcode( "console.log("hello")", "javascript" ) 创建代码执行上下文 默认情况下，每个语言会运行在其默认的上下文中，同一上下文共享变量。 您可以通过 createcodecontext 来创建上下文。 python ctx sandbox.createcodecontext(language"python") 您可以通过 context 参数来指定运行时上下文，需要注意，仅能设置 language 和 context 中的一个参数，两者互斥。 python response sandbox.runcode( "print("hello")", contextctx ) 代码执行流式返回 代码执行可以流式返回，您可以通过指定回调函数来接收流式返回的数据。 python pythonstreamcode """ import time for i in range(10): print(i, end'') time.sleep(1) """ sandbox.runcode( pythonstreamcode, onstdoutlambda data: print(data), onstderrlambda data: print(data), onresultlambda data: print(data), onerrorlambda data: print(data) ) 指定代码运行环境变量 您可以为代码运行指定环境变量。 python response sandbox.runcode( "print("hello")", envs{"foo": "bar"} ) 指定代码执行超时时间 您可以为代码运行指定超时时间，在超过指定时间后终止代码运行。 python response sandbox.runcode( "print("hello")", timeout60

前提条件 在控制台完成沙箱模版创建。 在执行下文所有代码前，请先按照环境变量设置部分，完成环境变量设置。 文件读取与下载 从沙箱实例中读取文件内容，或下载文件到本地。 python from e2bcodeinterpreter import Sandbox 注意：修改下面模版为您的模版名称或者模版id sandbox Sandbox.create(template"mytestcodetemplate") 从沙箱实例中读取文件 filecontent sandbox.files.read("yourfilepath") 从沙箱实例中下载文件到本地 with open("localpath","wb") as file: 以二进制形式读取文件 file.write(sandbox.files.read("yourfilepath","bytes")) 文件写入与上传 您可以使用 files 类的 write 和 writefiles 方法向沙箱实例中写入文件。 python from e2bcodeinterpreter import Sandbox 注意：修改下面模版为您的模版名称或者模版id sandbox Sandbox.create(template"mytestcodetemplate") 向沙箱实例中写入单个文件 sandbox.files.write("yourfilepath","filecontent") 向沙箱实例中上传文件 with open("localpath","rb") as file: 以二进制形式上传文件 sandbox.files.write("yourfilepath",file) 向沙箱实例中写入多个文件 sandbox.files.writefiles( [ {"path": "yourpath1", "data": "filecontent"}, {"path": "yourpath2", "data": "filecontent"}, ] ) 检查文件是否存在 您可以使用 files 类的 exists 方法来检测沙箱实例中是否存在某个文件。 python response sandbox.files.exists("filename") 存在 True 不存在 False 重命名文件 您可以使用 files 类的 rename 方法来重命名沙箱实例中的某个文件。 python response sandbox.files.rename("filenamebefore","filenameafter")

前提条件 在控制台完成沙箱模版创建。 在执行下文所有代码前，请先按照环境变量设置部分，完成环境变量设置。 执行命令 您可以使用 commands 类的 run 方法在沙箱实例中运行终端命令。 python from e2bcodeinterpreter import Sandbox 注意：修改下面模版为您的模版名称或者模版id sandbox Sandbox.create(template"mytestcodetemplate") 执行终端命令 response sandbox.commands.run("ls") 可以通过user参数指定执行命令的身份，支持user和root response sandbox.commands.run("ls", user"root") 流式返回 支持流式返回 python command """ echo foo sleep 1 echo bar """ 您可以根据您的需要传递onstdout和onstderr回调 sandbox.commands.run( command, onstdoutlambda data: print(data), onstderrlambda data: print(data) ) 后台执行 支持后台执行命令 python echocode """ for i in {1..3}; do echo n $i sleep 1 done echo done """ 后台执行指令 echohandler sandbox.commands.run(echocode, backgroundTrue) 等待后台执行的命令完成 response echohandler.wait(onstdoutlambda data: print(data)) 列出正在运行的后台命令 python commandlist sandbox.commands.list() 结束后台运行的命令 python commandlist sandbox.commands.list() for command in commandlist: sandbox.commands.kill(command.pid)

概述 为了方便您的使用，我们兼容了 E2B SDK，您可以复用您的 E2B 工作流，仅需少许操作就可以切换到我们的沙箱服务。 说明： 为了保持与 E2B SDK 的兼容，您需要使用 E2B SDK 版本如下： pip install e2bcodeinterpreter2.3.0 pip install e2b2.6.0 dotenv 文件 您可以在您的项目文件夹创建 .env 文件，在其中配置环境变量。 plaintext E2BDOMAIN您的自定义域名地址 E2BAPIKEYagexxxxxxxx 然后在您的代码中使用 dotenv 库来引入，通过该种方式引入的环境变量在当前代码范围内生效。 python from dotenv import loaddotenv loaddotenv() 终端环境变量 您可以通过在执行代码的终端中设置环境变量，通过该种方式引入的环境变量在通过该终端启动的程序内生效。 plaintext export E2BDOMAIN您的自定义域名地址 export E2BAPIKEYagexxxxxxxx 您也可以在终端配置文件 .bashrc 中添加以上两行来全局应用，该种方式在所有 bash 终端中生效。 内嵌环境变量 您可以在代码中通过导入系统库来改变程序的环境变量，通过该种方式引入的环境变量在当前代码范围内生效。 python import os os.environ["E2BDOMAIN"]"您的自定义域名地址" os.environ["E2BAPIKEY"]"agexxxxxxxx"

步骤三：编写Dockerfile 创建Dockerfile，这里以AIO作为基础镜像，将服务代码和配置文件复制到对应目录： plaintext FROM serverlesspublicregistry.crshuanan2.ctyun.cn/sandbox/ctyunaio:v1.1 USER root 拷贝自己应用supervisord的配置文件到容器 COPY conf/echoserver.conf /etc/supervisor/conf.d/echoserver.conf RUN chmod 644 /etc/supervisor/conf.d/echoserver.conf 创建echoserver输出的日志目录 RUN mkdir p /var/log/supervisor/echoserver 设置应用要用的环境变量 ENV ECHOSERVERHOST0.0.0.0 ECHOSERVERPORT9000 拷贝自己的应用到容器 COPY ./server /home/user/server RUN chmod 777 R /home/user USER user 其他基础镜像地址： serverlesspublicregistry.crshuanan2.ctyun.cn/sandbox/ctyunbase:v1.1 serverlesspublicregistry.crshuanan2.ctyun.cn/sandbox/ctyuncodeinterpreter:v1.1 serverlesspublicregistry.crshuanan2.ctyun.cn/sandbox/ctyunaio:v1.1 步骤四：构建并测试 shell docker build platform linux/amd64 t echoserver:v0.1 . f Dockerfile docker run d p 9000:9000 echoserver:v0.1 验证 curl 预期返回: ok 步骤五：推送镜像 将构建出来的镜像，推送到天翼云容器镜像服务CRS，后续创建自定义模板可从CRS里选择该镜像。 步骤六：创建自定义模板 进入控制台>创建沙箱模板，沙箱类型选择“自定义沙箱”，并选择上一步上传的镜像。 注意事项 端口冲突：自定义服务的内部端口不能与 AIO 内置服务冲突。AIO 内置服务端口： 沙箱管理代理envd：49983 Code Interpreter：49999、8888 BrowserTool：9223、9222 VncTool：6080、5900