您可以根据业务需求,对VPN网关实例进行升配。 升配 为VPN网关实例升配前，请先了解以下说明： 项目 说明 升配功能 支持为VPN网关实例开启IPsec VPN功能或SSL VPN功能。 支持提升VPN网关实例的带宽规格。 支持提升VPN网关实例的连接数规格。 升配限制 如果VPN网关实例有未支付的订单，您必须先支付或作废未支付的订单，然后再执行升配操作。 主备模式资源池支持的最高带宽规格为200 Mbps，最高IPsec VPN连接数规格为100个；集群模式资源池支持的最高带宽规格为1000 Mbps，最高IPsec VPN连接数规格为100个，最高SSL VPN连接数规格为1000个。 升配过程不影响业务。 生效时间 为VPN网关实例升配后会立即生效，但可能会因为网络等原因有一定延迟，请您耐心等待几分钟。 计费影响 提交了升配订单后，您需要为当前计费周期的剩余时间补差价。具体价格，请以控制台显示为准。 适用场景 如果当前VPN网关实例的规格无法满足您的业务需求，您可以对VPN网关实例进行升配操作。 提升带宽规格或连接数规格 1.登录[]( []( 控制中心。 2.单击控制中心左上角的，选择VPN网关实例所在地域。 3.在网络产品中选择“VPN连接”，进入VPN连接页面。 4.在“VPN网关”列表页面，找到目标VPN网关实例，在“操作”列单击“扩容”。 5.在VPN网关变配页面，按需调整VPN网关实例的带宽或连接数规格，单机“确定”。 6.在订单页面，单击“立即支付”，支付成功后，升配成功。 开启IPsec VPN功能 1.登录[](

尊敬的天翼云用户： 您好！ 近期，我们接到用户反馈，存在不法企业或个人假冒天翼云 SSL 证书供应商，通过电话、微信等方式，以“低价续费、套件服务升级、测试证书不安全” 等话术，试图诱导用户前往非天翼云官方平台购买或续费 SSL 证书，请您务必提高警惕，避免因轻信虚假信息导致经济损失或信息泄露风险。天翼云不会将用户数据泄露或出售给第三方公司，天翼云合作伙伴也不会让客户去非天翼云平台购买产品。 为避免给您造成困扰，天翼云 SSL 团队特此声明： 1. 您在天翼云证书管理服务购买的 SSL 证书即将到期时，天翼云会在证书到期前20天 、前30天 通过官方渠道（邮件、短信、4008109889热线 ）的方式通知您及时续费，不会通过微信或其他个人形式直接联系您办理续费业务。如遇类似情况，请提高警惕并及时核实信息真实性。 2. 天翼云合作的 CA 厂商只有在证书审核环节和证书使用过程出现特殊情况（例如：私钥泄漏、申请强制吊销等）时才会主动联系您，否则不会以天翼云合作厂商的身份主动联系您。 天翼云合作的 CA 厂商信息如下表，若收到非官方来源的联系，请务必谨慎核实。 合作 CA 厂商 外呼电话号码 对外邮箱后缀 亚数信息科技（上海）有限公司 02154970081、02154971631 @trustasia.com 中金金融认证中心有限公司 01087549888、01087549666 @cfca.com.cn 如果您无法判断收到信息的真实性，烦请您记录对方联系方式和信息详细内容，及时提交工单反馈给天翼云。 天翼云服务团队

客户端登录配置 1. 登录云堡垒机系统。 2. 选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3. 在“客户端登录配置”区域，单击“编辑”，弹出客户端登录配置窗口，根据界面提示配置系统客户端登录参数。 参数 说明 :: 登录超时 用户登录SSH客户端后，无操作退出登录的限定时间。 默认超时时间为30分钟。 取值范围为1～43200，单位为分钟。 SSH公钥登录 选择开启或关闭SSH公钥登录，默认。 SSH密码登录 选择开启或关闭SSH密码登录，默认。 若同时开启了“公钥登录”和“密码登录”，优先验证公钥登录方式。 4. 单击“确定”，返回安全配置管理页面，查看当前系统客户端登录配置。 更新系统Web证书 云堡垒机Web证书是验证系统网站身份和安全的SSL（Secure Sockets Layer）证书，遵守SSL协议的服务器数字证书，并由受信任的根证书颁发机构颁发。 云堡垒机系统默认配置安全的自签发证书，但受限于自签发证书的认证保护范围和认证保护时间，用户可替换证书。 本小节主要介绍在证书过期或安全扫描不通过时，用户如何更新证书，确保CBH系统安全。 前提条件 已获取证书，并下载签发证书。 上传证书绑定的域名已解析到绑定云堡垒机实例的弹性公网IP。 用户已获取“系统”模块管理权限。

本文主要介绍与账号管理相关的其它常见问题。 如何在官网进行备案操作？ 官网登录成功以后，找到右上方界面的备案中心，选择正确的备案类型，可根据备案指引选择，备案分为三种不同的备案模式，首次备案、接入备案、新增网站，用户可根据自己的备案类型进行填写资料即可。官网链接为：< 个人信息上面显示的公司名称打，是否有办法显示全部名称？ 为了您的信息安全，系统对个人信息上面显示的个人姓名及公司名称均进行了脱敏处理，暂不支持显示全部名称。 什么是企业管理功能？ 为企业客户提供云上组织管理、财务管理的企业上云综合管理服务，以帮助企业以多层级组织的方式管理人、财、物，规范企业在天翼云上的操作，满足企业IT治理等诉求。主要包括组织管理、账号管理、财务管理、权限管理、预算管理等功能。 该功能的申请账号是企业管理的主账号（管理员账号），拥有对企业管理的全部权限，在企业主账号下创建或者邀请加入的账号是企业管理的子账号，他们的权限由主账号分配。 哪些用户可以申请使用企业管理功能？ 企业管理功能定向邀测中，仅面向特定用户开放申请。暂未接到邀请的用户请您耐心等待产品开放公测或转商用，谢谢您的关注与支持。 我的凭证中默认可以创建几个管理访问密钥？ 默认可创建2个管理访问密钥。

本节介绍云等保专区产品的升级扩容情况。 约束限制 各产品升配限制如下： 产品 版本升配说明 云安全中心 云安全中心不支持在云等保专区控制台升配，若需要升配，请参见云安全中心升级扩容。 主机安全 主机安全v1.0当前不支持升配，可在同一VPC下购买新的配额。 主机安全v2.0支持升配版本 Web应用防火墙 若购买时未购买扩展包资源，则升配时不能对扩展包的数量进行升配。 若一个订单包含了多个WAF实例，则只能同时对该订单中的WAF实例进行升配，且只能升配到相同的配额。 云下一代防火墙 仅支持升配版本，不支持对数量进行调整。 堡垒机 堡垒机 v1.0仅支持升配规格，不支持对数量进行调整。 堡垒机 v2.0支持升配规格，支持存储扩容，不支持对数量进行调整。 漏洞扫描 仅支持升配规格，不支持对数量进行调整。 日志审计 日志审计v1.0仅支持升配规格，不支持对数量进行调整。 日志审计v2.0支持升配规格，支持存储扩容，不支持对数量进行调整。 数据库审计 数据库审计 v1.0仅支持升配规格，不支持对数量进行调整。 数据库审计 v2.0支持升配规格，支持存储扩容，不支持对数量进行调整。

本文主要介绍通过控制台使用ELB Ingress。 前提条件 Ingress为后端工作负载提供网络访问，因此集群中需提前部署可用的工作负载。若您无可用工作负载，可参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)部署工作负载。 独享型ELB规格必须支持应用型（HTTP/HTTPS），且网络类型必须支持私网（有私有IP地址）。 注意事项 建议其他资源不要使用Ingress自动创建的ELB实例，否则在删除Ingress时，ELB实例会被占用，导致资源残留。 添加Ingress后请在CCE页面对所选ELB实例进行配置升级和维护，不可在ELB页面对配置进行更改，否则可能导致Ingress服务异常。 Ingress转发策略中注册的URL需与后端应用暴露的URL一致，否则将返回404错误。 IPVS模式集群下，Ingress和Service使用相同ELB实例时，无法在集群内的节点和容器中访问Ingress，因为kubeproxy会在ipvs0的网桥上挂载LB类型的Service地址，Ingress对接的ELB的流量会被ipvs0网桥劫持。建议Ingress和Service使用不同ELB实例。 请勿将Ingress与使用HTTP的Service对接同一个ELB下的同一个监听器，否则将产生端口冲突。

用户在使用注册配置中心时，账户的可用额度小于待结算的账单，即被判定为账户欠费。欠费后，可能会影响注册配置中心的正常运行，请及时充值。 欠费原因 购买了按需计费注册配置中心，并使用了一段时间后账户的余额不足。 欠费影响 包年/包月：对于包年/包月的注册配置中心，用户已经预先支付了费用，因此在账户出现欠费的情况下，已有的包年/包月注册配置中心仍可正常使用。然而，对于涉及费用的操作，如新购注册配置中心、升级注册配置中心规格、续费订单等，用户将无法正常进行。 按需计费：当您的账号因按需计费的注册配置中心自动扣费导致欠费后，账号将变成欠费状态。欠费后，按需注册配置中心不会立即停止服务，进入宽限期。您需支付按需注册配置中心在宽限期内产生的费用，相关费用可在控制台的“费用与成本 > 费用中心＞总览”的“欠费金额”查看，将在您充值时自动扣取欠费金额。 如果您在宽限期内仍未支付欠款，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的按需计费资源执行任何操作。 保留期到期后，若您仍未支付账户欠款，那么注册配置中心将被删除，数据无法恢复。

RDS for MySQL慢SQL问题处理 SQL异常 原因及现象 SQL异常的原因很多，例如库表结构设计不合理、索引缺失、扫描行数太多等。 您可以在控制台的慢日志页面，下载并查看执行缓慢的SQL，慢SQL的执行耗时等信息。 解决方案 根据实际业务情况优化SQL。 实例瓶颈 原因及现象 实例到达瓶颈的原因一般有如下几种： 业务量持续增长而没有扩容。 硬件老化，性能有损耗。 数据量一直增加，数据结构也有变化，导致原来不慢的SQL变成慢SQL。 您可以在控制台的查看实例的资源使用情况。如果资源使用率各项指标都接近100%，可能是实例到达了瓶颈。 解决方案 确认实例到达瓶颈后，建议升级实例规格。 版本升级 原因及现象 实例升级版本可能会导致SQL执行计划发生改变，执行计划中连接类型从好到坏的顺序是system>const>eqref>ref>fulltext>refornull>indexmerge>uniquesubquery>indexsubquery>range>index>all。更多信息，请参见MySQL官方文档。 range和index连接类型时，如果SQL请求变慢，业务又不断重发请求，导致并行SQL查询比较多，会导致应用线程释放变慢，最终连接池耗尽，影响整个业务。 您可以在控制台的查看实例的当前连接数指标。 解决方案 根据执行计划分析索引使用情况、扫描的行数等，预估查询效率，重构SQL语句、调整索引，提升查询效率。

参数 说明 取值样例 名称 子网的名称。名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 subnet01 子网IPv4网段 子网的地址范围，需要在VPC的地址范围内。 192.168.0.0/24 子网IPv6网段 选择是否勾选开启IPv6。开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。 该功能一旦开启，将不能关闭。 关联路由表 子网创建完成后默认关联默认路由表，您也可以通过子网的更换路由表操作，切换至自定义路由表。 默认 高级配置 单击下拉箭头，可配置子网的高级参数，包括网关、DNS服务器地址等。 默认配置 网关 子网的网关。通向其他子网的IP地址，用于实现与其他子网的通信。 192.168.0.1 DNS服务器地址 默认配置了2个DNS服务器地址，您可以根据需要修改。多个IP地址以英文逗号隔开。 DNS服务器地址最多支持2个IP，请以英文逗号隔开。 100.125.x.x 标签 子网的标识，包括键和值。可以为子网创建10个标签。 键：subnetkey1 值：subnet01

本文主要介绍 创建守护进程集(DaemonSet) 。 操作场景 云容器引擎（CCE）提供多种类型的容器部署和管理能力，支持对容器工作负载的部署、配置、监控、扩容、升级、卸载、服务发现及负载均衡等特性。 其中守护进程集（DaemonSet）可以确保全部（或者某些）节点上仅运行一个Pod实例，当有节点加入集群时，也会为他们新增一个 Pod 。 当有节点从集群移除时，这些Pod也会被回收。删除 DaemonSet 将会删除它创建的所有Pod。 使用DaemonSet的一些典型用法： 运行集群存储daemon，例如在每个节点上运行glusterd、ceph。 在每个节点上运行日志收集daemon，例如fluentd、logstash。 在每个节点上运行监控daemon，例如Prometheus Node Exporter、collectd、Datadog代理、New Relic代理，或Ganglia gmond。 一种简单的用法是为每种类型的守护进程在所有的节点上都启动一个DaemonSet。一个稍微复杂的用法是为同一种守护进程部署多个DaemonSet；每个具有不同的标志， 并且对不同硬件类型具有不同的内存、CPU要求。 前提条件 在创建守护进程集前，您需要存在一个可用集群。若没有可用集群，请参照购买CCE集群中内容创建。 通过控制台创建 步骤 1 登录CCE控制台。 步骤 2 单击集群名称进入集群，在左侧选择“工作负载”，在右上角单击“创建负载”。 步骤 3 配置工作负载的信息。

用户在使用注册配置中心时，账户的可用额度小于待结算的账单，即被判定为账户欠费。欠费后，可能会影响注册配置中心的正常运行，请及时充值。 欠费原因 购买了按需计费注册配置中心，并使用了一段时间后账户的余额不足。 欠费影响 包年/包月：对于包年/包月的注册配置中心，用户已经预先支付了费用，因此在账户出现欠费的情况下，已有的包年/包月注册配置中心仍可正常使用。然而，对于涉及费用的操作，如新购注册配置中心、升级注册配置中心规格、续费订单等，用户将无法正常进行。 按需计费：当您的账号因按需计费的注册配置中心自动扣费导致欠费后，账号将变成欠费状态。欠费后，按需注册配置中心不会立即停止服务，进入宽限期。您需支付按需注册配置中心在宽限期内产生的费用，相关费用可在控制台的“费用与成本 > 费用中心＞总览”的“欠费金额”查看，将在您充值时自动扣取欠费金额。 如果您在宽限期内仍未支付欠款，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的按需计费资源执行任何操作。 保留期到期后，若您仍未支付账户欠款，那么注册配置中心将被删除，数据无法恢复。

本文介绍VPN网关的欠费和退款规则。 欠费说明 当您账号的可用额度（含天翼云账户余额、代金券、优惠券等）无法结清待结算的账单时，您的账号会立即进入欠费状态，同时系统会以短信和邮件的方式提醒您尽快支付账单。 VPN网关实例为包年包月的资源，您已经预先支付了VPN网关实例的费用。在SSL服务端、IPsec连接绑定VPN网关实例的场景下，如果您的账号发生欠费，在VPN网关实例未到期前您可以正常使用VPN网关实例，但不能执行新购VPN网关实例、升级VPN网关实例配置、续费VPN网关实例等涉及费用的操作。VPN网关实例到期后，您将无法正常使用VPN网关实例。在一定期限内，如果您没有及时充值续费，VPN网关实例将被自动释放。 VPN网关实例到期后立即停机。停机7天内，VPN网关实例暂停服务，不会进行流量转发，但系统会保留相关配置。此期间，您可以进行充值续费，充值续费成功后，VPN网关实例将恢复正常业务状态。 如果VPN网关实例停机期间未完成续费或续费不成功，停机7天后，该VPN网关实例将被释放，实例被释放后相关配置和数据也将被删除，且不可恢复。 退款说明 如果在VPN网关实例未到期前，您不需要再使用VPN网关实例，您可以申请退订，申请退订后系统会自动释放VPN网关实例。如果VPN网关下存在使用中的IPsec连接或SSL连接，则暂不支持退订，请删除相关连接配置后再申请退订。

包名称 PACKAGEDIR/tmp/packageconfigmysql INNODBBUFFERPOOLSIZE2048M AGENTPASSWORDyl1t4PnHFbVPbz0wKFBB ;监控库数据盘硬盘设备 DEVICEvda ;mysqlexporter 端口 MYSQLEXPORTERPORT9104 ;controller platform info [web] WEBHOST1 控制台部署的主机 IP 地址 WEBHOST2"" SSHPORT22 ssh 端口 SSHUSERteledb ssh 的用户 SSHPASSWORD ssh 用户的密码 RUNTYPEdcp 对接模式，填写 dcp HTTPPORT8997 服务端口 HTTPSPORT8999 服务端口 RESPONSEIPPORT 填写回单IP地址，端口默认为 9011 PROMETHEUSADDRhttp:// 172...:10000 填写普罗米修斯 IP 地址 DCPGWHOSThttp:// 172...:9011 填写 DCP 控制台地址 DCPBASEURLhttp:// 172...:9011 填写 DCP 控制台地址 PUSHGWIPPORThttp:// 172...:9234 填写 pushgateway 地址 DCPNGINX172.16.0.15 填写 DCPnginx 的地址 MONITORPORT9096 REGIONIDREGIONID ;预置区机器 ip 网段 PREAREAIPSEG172.16.0 ;升级时需要，控制台路径 TELEDBAPIPATH/telemonitor/webapplication TELEDBMOLNITORPATH/telemonitor/telemonitor/monitor CLOUDTELEMONITORPATH/telemonitor/telemonitor/python TELEDBAPISERVICEteledbapi.service TELEDBTELEMONITORSERVICEteledbmonitor.service ;initialize area zookeeper info [zookeeper] zkHost1

Kubernetes版本（CCE增强版） 版本说明 v1.9.10r2 主要特性： ELB负载均衡支持源IP跟后端服务会话保持 v1.9.10r1 主要特性： 支持对接SFS存储 支持Service自动创建二代ELB 支持公网二代ELB透传源IP 支持设置节点最大实例数maxPods v1.9.10r0 主要特性： kubernetes对接ELB/Ingress，新增流控机制 Kubernetes同步社区1.9.10版本 支持Kubernetes RBAC能力授权 问题修复： 修复操作系统cgroup内核BUG导致概率出现的节点内存泄漏问题 v1.9.7r1 主要特性： 增强PVC和PV事件的上报机制，PVC详情页支持查看事件 支持对接第三方认证系统l 集群支持纳管EulerOS2.3的物理机 数据盘支持用户自定义分配比例 物理机场景支持对接EVS云硬盘存储 物理机场景下支持IB网卡 物理机场景支持通过CMv3接口创建节点 v1.9.7r0 主要特性： 新建集群的Docker版本升级到1706 支持DNS级联 支持插件化管理 Kubernetes同步社区1.9.7版本 支持7层ingress的https功能 有状态工作负载支持迁移调度更新升级 v1.9.2r3 主要特性： 集群支持创建/纳管CentOS7.4操作系统的节点 kubernetes的Service支持对接DNAT网关服务 NetworkPolicy能力开放 增强型ELB支持Service配置多个端口 问题修复： 修复kubernetes资源回收过程中连不上kubeapiserver导致pod残留的问题 修复节点弹性扩容数据不准确的问题 v1.9.2r2 主要特性： 经典型ELB支持自定义健康检查端口 经典型ELB性能优化 ELB四层负载均衡支持修改Service的端口 问题修复： 修复网络插件防止健康检查概率死锁问题 修复高可用集群haproxy连接数限制问题 v1.9.2r1 主要特性： Kubernetes同步社区1.9.2版本 集群节点支持CentOS 7.1操作系统 支持GPU节点，支持GPU资源限制 支持webterminal插件 v1.7.3r13 主要特性： 新建集群的Docker版本升级到1706 支持DNS级联 支持插件化管理 增强PVC和PV事件的上报机制 物理机场景支持对接OBS对象存储 v1.7.3r12 主要特性： 集群支持创建/纳管CentOS7.4操作系统的节点 kubernetes的Service支持对接DNAT网关服务 NetworkPolicy能力开放 增强型ELB支持Service配置多个端口 问题修复： 修复kubernetes资源回收过程中连不上kubeapiserver导致pod残留的问题 修复节点弹性扩容数据不准确的问题 事件老化周期提示修正：集群老化周期为1小时 v1.7.3r11 主要特性： 经典型ELB支持自定义健康检查端口 经典型ELB性能优化 ELB四层负载均衡支持修改Service的端口 支持删除命名空间 支持EVS云硬盘存储解绑 支持配置迁移策略 问题修复： 修复网络插件防止健康检查概率死锁问题 修复高可用集群haproxy连接数限制问题 v1.7.3r10 主要特性： 容器网络支持Overlay L2模式 集群节点支持GPU类型虚机 集群节点支持CentOS 7.1操作系统，支持操作系统选择 Windows集群支持对接二代ELBl 支持弹性文件服务SFS导入 物理机场景支持对接SFS文件存储、OBS对象存储 v1.7.3r9 主要特性： 工作负载支持跨AZ部署 容器存储支持OBS对象存储服务 支持ELB L7负载均衡 Windows集群支持EVS存储 物理机场景支持devicemapper directlvm模式 v1.7.3r8 主要特性： 集群支持节点弹性扩容 v1.7.3r7 主要特性： 容器隧道网络集群支持纳管SUSE 12sp2节点 docker支持directlvm模式挂载devicemapper 集群支持安装dashboard 支持创建Windows集群 v1.7.3r6 主要特性： 集群存储对接原生EVS接口 v1.7.3r5 主要特性： 支持创建HA高可靠集群 问题修复： 节点重启后容器网络不通 v1.7.3r4 主要特性： 集群性能优化 物理机场景支持对接ELB v1.7.3r3 主要特性： 容器存储支持KVM虚拟机挂载 v1.7.3r2 主要特性： 容器存储支持SFS文件存储 工作负载支持自定义应用日志 开放工作负载优雅缩容 问题修复： 修复容器存储AK/SK会过期的问题 v1.7.3r1 主要特性： kubedns支持外部域名解析 v1.7.3r0 主要特性： Kubernetes同步社区1.7.3版本 支持ELB负载均衡 容器存储支持XEN虚拟机挂载 容器存储支持EVS云硬盘存储

本文介绍OCSP装订（OCSP Stapling）功能的使用方法。 功能介绍 OCSP（Online Certificate Status Protocol，在线证书状态协议），是由数字证书颁发机构CA（Certificate Authority）提供的一个在线证书查询接口，它建立一个可实时响应的机制，客户端发送查询证书请求到CA服务器，然后CA服务器实时响应验证证书是否合法有效。 客户端会在TLS握手时去实时查询OCSP接口，并在获得查询结果前会阻塞后续流程，在网络不佳时会造成较长时间的页面空白，降低HTTPS性能，严重影响用户体验。 开启OCSP装订（OCSP Stapling）功能后，由CDN进行OCSP信息查询并将查询结果缓存到服务器中。当客户端向服务器发起TLS握手请求时，CDN服务器将证书的OCSP信息和证书一起发送到客户端，供用户验证，无需用户再向数字证书认证机构（CA）发送查询请求。极大地提高TLS握手效率，提升HTTPS性能。 由于OCSP响应是无法伪造的，因此这一过程也不会产生额外的安全问题。 适用场景 开启HTTPS功能后希望提升TLS握手效率，提升HTTPS性能，使网站访问速度更快，用户体验更好。 注意事项 1. 使用OCSP Stapling功能前需先勾选【请求协议】中的【HTTPS】。 2. OCSP Stapling功能默认关闭。 3. OCSP Stapling功能默认缓存1个小时，缓存过期后第一个访问请求OCSP Stapling不生效。 4. 客户端需支持OCSP扩展字段，如果客户端不支持OCSP扩展字段，则该功能无法生效。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 在【OCSP Stapling】模块，开启功能。 9. 单击【保存】，完成配置。 参数名 说明 OCSP Stapling 默认关闭，即不开启OCSP Stapling功能。开启OCSP Stapling功能之前，需要先完成HTTPS证书配置。

场景 说明 备份恢复 实现集群中应用（资源YAML）的备份和恢复，并将备份数据安全地存储在指定的对象存储OSS Bucket中； 容灾迁移 基于多集群联邦能力，为您提供灾难情况下的应用自动容灾迁移能力，确保服务始终可用、异常后也可快速恢复； 应用迁移 本地IDC>天翼云CCE：将位于本地数据中心的Kubernetes集群迁移到天翼云CCE One管理的Kubernetes集群，实现应用程序的云端部署和运维管理。 应用迁移 三方云集群>天翼云CCE：将位于其他云服务提供商的Kubernetes集群迁移到天翼云CCE One管理的Kubernetes集群，实现跨云迁移和统一管理。 应用迁移 天翼云CCE同资源池迁移：在同一地理区域内的天翼云CCE One管理的Kubernetes集群间进行迁移，实现资源优化、应用升级或其他管理需求。 应用迁移 天翼云CCE跨资源池迁移：在天翼云CCE One管理的Kubernetes集群间进行迁移，将应用程序从一个地理区域迁移到另一个地理区域，以满足数据合规性、延迟和可用性等需求。 应用迁移 孤岛集群>天翼云CCE：若本地或三方云集群无法通过公网/内网方式纳管到天翼云CCE One时，可通过登录用户集群离线备份恢复方式进行操作。

本页对关系数据库MySQL版MGR集群功能进行说明。 注意 仅西南1等II类型资源池支持该功能，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 MGR集群说明 MGR全称MySQL Group Replication（MySQL组复制），MGR提供了高可用、高扩展、高可靠的MySQL集群服务，MGR集群架构如下： 说明 如果您的业务需要高可靠、高可用的关系数据库MySQL版实例，建议您选择8.0的MGR集群模式。 注意事项 MGR集群实例的数据库版本只支持8.0，不支持5.7。 MGR集群实例不支持切换数据复制方式。 MGR集群实例类型只支持一主两备，且不支持系列升级操作（即只支持一主两从）。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表上方，单击创建实例，跳转到实例购买页面。 4. 根据实际情况，配置实例相关参数。您需要注意如下参数： 组件引擎 ：选择MySQL 和8.0 基础配置 ：模式 选择MGR ，实例类型 默认只能选择一主两备 5. 阅读并勾选服务协议后，单击确认订单。 等待实例开通完成并且处于运行中 状态后，单击实例名称进入实例基本信息 页面。您可以在实例信息 区域，看到模式 为MGR，表示当前实例为MGR集群。

配置项 描述 负载类型 工作负载的类型，切换负载类型会导致已填写的部分关联数据被清空，请谨慎切换 负载名称 工作负载的名称 命名空间 工作负载所在的命名空间 实例数量 工作负载的副本数 实例内容器 工作负载中的容器实例配置，可配置一个或多个 容器名称 填写容器的名称 更新策略 支持IfNotPresent、Always、Never 镜像及镜像版本 支持在容器镜像服务或开源镜像中选择镜像以及镜像版本 CPU/内存配额限制 Limit用于设置容器使用资源的最大上限，避免异常情况下节点资源消耗过多 初始化容器 初始化容器用于业务容器启动前安装特定工具或脚本 启动命令（选填） ● 运行命令：对应镜像的ENTRYPOINT命令，将会覆盖镜像的ENTRYPOINT命令；每个输入框仅输入一个命令或参数启动执行 ● 运行参数：对应镜像的CMD命令，将会覆盖镜像的CMD命令；每个输入框仅输入一个命令或参数 启动后处理（选填） ● 命令行脚本：容器启动后执行，注意由于是异步执行，无法保证一定在ENTRYPOINT之后运行；每个输入框仅输入一个命令或参数 ● HTTP请求：输入路径、端口、主机地址 停止前处理（选填） ● 命令行脚本：容器停止前执行，常用于资源清理。每个输入框仅输入一个命令或参数 ● HTTP请求：输入路径、端口、主机地址 容器健康检查（选填） ● 存活检查：检查容器是否正常，不正常则重启实例 ● 就绪检查：检查容器是否就绪，不就绪则停止转发流量到当前实例 ● 启动探针：检查容器内应用是否已经启动 环境变量（选填） 支持配置容器的环境变量 数据存储（选填） 支持挂载数据卷到容器内的指定路径，支持EmptyDir、Config Map、Secret 服务配置（选填） 配置Service访问负载 高级配置（选填） 需配置升级策略、负载标签、负载注解、Pod标签、Pod注解、DNS配置、Pod安全设置等信息

本小节介绍数据库安全数据库拖库检测最佳实践。 操作场景 数据库安全审计默认提供一条“数据库拖库检测”的风险操作，用于检测原始审计日志疑似拖库的SQL语句，及时发现数据安全风险。 通过数据库拖库检测，您可获知执行耗时长、影响行数、执行该SQL语句的数据库信息。 数据库安全审计支持以下执行语句类型检测，数据定义（DDL）： CREATE TABLE CREATE TABLESPACE DROP TABLE DROP TABLESPACE 数据操作（DML）： INSERT UPDATE DELETE SELECT SELECT FOR UPDATE 数据控制（DCL）： CREATE USER DROP USER GRANT 配置数据库拖库检测 在启用数据库拖库检测规则前，还需要用户根据业务实际需求添加待审计的数据库、客户端IP/IP段、操作类型、操作对象及执行结果。 1. 登录管理控制台。 2. 在页面上方选择“区域”后，单击，选择“安全与合规 > 数据库安全服务”。 3. 在左侧导航树中，选择“审计规则”，进入“审计规则”界面。 4. 在“选择实例”下拉列表框中，选择需要配置数据库拖库检测的实例。 5. 选择“风险操作”页签。 6. 在数据库拖库检测行的“操作”列，单击“编辑”，进入“编辑风险操作”界面。 7. （可选）配置“客户端IP/IP段”，不配置系统默认检测全部。 8. “操作类型”：选择“SELECT”，如图所示。 9. （可选）设置“操作对象”，不配置系统默认检测全部。 单击操作对象后，输入“目标数据库”、“目标表”和“字段”信息。 单击“确定”。 10. 配置“执行结果”区域中的“影响行数”和“执行时长”，如图所示。 当您的应用程序发生变化（如：服务升级、代码变更）时，需要根据实际情况修改“影响行数”的参数，以免审计不完全。 11. 单击“保存”。

本节介绍云防火墙(原生版)变配规则。 C100型实例变配规则 创建云防火墙实例后，如果当前实例配置无法满足您的业务需求，您可以升级版本或变更配额数量。 变更版本：支持从高级版升级到企业版，也支持从企业版降级到高级版。 注意 变更版本时，不支持手动对配额数量进行调整。 当未购买扩展包时，才支持将企业版降级到高级版。 变更配额数量：您可以对实例的公网流量处理能力、可防护公网IP数、VPC边界防火墙配额数、VPC边界流量处理能力进行调整，升配和降配均可支持。 注意 一次只能变更一种资源的配额数量。 当您进行降配时，降配后的配额不能小于正在防护的资产数。 变配的详细操作请参见变配。 N100型实例变配规则 N100型实例仅支持升配，但不支持降配。 注意 N100实例升配期间无法访问实例，完成升配后将会自动重启实例，请在业务低谷时进行操作。

参数 参数类型 说明 示例 下级对象 targetID String 后端服务ID targetxxxx targetGroupID String 后端服务组ID tgxxxx instanceType String 实例类型，取值有: VM / BMS/ CBM VM instanceID String 实例 ID xxxx instanceVpc String 实例所在的 vpc vpcxxxx weight Integer 权重 1 healthCheckStatus String ipv4 健康检查状态，取值: unknown / online / offline online healthCheckStatusIpv6 String ipv6 健康检查状态，取值: unknown / online / offline online createdAt String 创建时间 20231218 10:00:00 updatedAt String 更新时间 20231218 10:00:00

智能网关型号 经济版 标准版 企业版 企业增强版 Ipsec隧道加密转发能力 最大可支持100Mbps 最大可支持500Mbps 最大可支持1Gbps 最大可支持5Gbps 资费（元/台/月） 150 330 410 780

本节主要介绍添加服务器。 在“服务器管理”页面，点击“添加”，进入添加服务器页面，点击“添加服务器”，为集群添加服务器。 注意 待添加到集群的服务器安装HBlock后，才可以被添加。每次只能添加一台服务器至集群。 图1 添加服务器详情 图2 添加服务器 项目 描述 节点名称 指定服务器节点名称。 取值：字符串形式，长度范围1~63，只能由字母、数字、句点(.)、下划线（）和短横线()组成，字母区分大小写，且仅支持以字母或数字开头。 默认使用服务器ID作为节点名称。 父节点名称 指定父节点。 默认为根节点。 服务器IP 指定需要添加的服务器IP，支持IPv4和IPv6地址。 端口号 指定需要添加的服务器IP，支持IPv4和IPv6地址。 数据目录 服务器中，用于存储用户数据的绝对路径，一次可以添加多个数据目录，数据目录以英文逗号（,）分开。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。 描述 节点描述。 取值：1~50位字符串。 容量配额 数据目录的容量配额，即给HBlock分配的容量配额。一旦达到配额，就立刻阻止数据写入。 支持输入数字（默认单位为GiB），或者输入“数字+单位”，数字应精确到两位小数，单位可为KiB、MiB、GiB、TiB或者PiB，并且配额需要不大于数据目录总容量，0表示禁止写入，负数或者不填表示无限制。 操作 点击“修改”，可以修改新增服务器信息。 添加服务器时，系统使用指定端口及端口范围进行服务初始化，如都未指定，则使用默认端口。如果需要修改，点击“此处”按钮即可修改新增服务器的端口。 图3 设置新服务器的端口 注意 请确保Linux用户具有所需要端口的权限。Linux系统默认小于1024的端口不对没有root权限的Linux普通用户开放。 设置端口范围时，请避免和Linux系统的本地临时端口（iplocalportrange）范围重合，否则可能会导致HBlock服务所用的端口被占用。使用命令行cat /proc/sys/net/ipv4/iplocalportrange可以查看本地临时端口范围。 参数 描述 端口范围 存储服务以及未指定端口的服务将从此范围中自动取值。 取值：整型，取值为[1, 65535]。默认取值为2000020500。 说明 建议指定的端口范围至少包含500个端口。 iSCSI服务 指定iSCSI端口号，默认端口号为3260。 数据服务 指定数据服务端口。 管理服务 指定管理服务端口号。

本文帮助您快速熟悉如何修改弹性网卡的基本信息、分配IPv6、辅助私网IP。 操作场景 您可以根据业务需求修改弹性网卡的名称、安全组，管理辅助私网IP。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经创建虚拟私有云VPC、子网、弹性云主机。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 单击“弹性网卡”，进入弹性网卡列表页面。 5. 在弹性网卡列表页找到对应的弹性网卡，点击“修改”，填写名称、安全组、描述，点击“确定”即可完成修改。 6. 在目标弹性网卡的“操作”列，点击“管理弹性网卡IP地址”。 7. 在弹窗页面可以取消分配IPv6地址，取消分配后IPv6地址回收。再次分配可以重新获得IPv6地址。您也可以分配新的辅助私网IP（IPv4）或者取消分配。 注意 分配辅助私网IPv4后，您需要登录服务器实例，在实例内部配置已分配的辅助私网IPv4地址。 变更IPv6地址后，不能立即生效，需要等云主机下次dhcp续约时才能生效。 8. 当您不需要此弹性网卡时，点击弹性网卡列表“删除”，即可删除该弹性网卡。

手动修复系统软件漏洞 进入到漏洞的基本信息页，可根据修复建议修复主机中已经被识别出的漏洞，漏洞修复命令可参见表。 不同的漏洞请根据修复建议依次进行修复。 若同一主机上的多个软件包存在同一漏洞，您只需修复一次即可。 说明 “Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启，否则HSS仍可能为您推送漏洞消息。 漏洞修复命令 操作系统 修复命令 CentOS/Fedora /Euler/Redhat/Oracle yum update软件名称 Debian/Ubuntu aptget update && aptget install软件名称onlyupgrade Gentoo 请参见漏洞修复建议。 漏洞修复有可能影响业务的稳定性，为了防止在修复漏洞过程影响当前业务，建议参考以下两种方案，选择其中一种执行漏洞修复： 方案一：创建新的虚拟机执行漏洞修复 1、为需要修复漏洞的ECS主机创建镜像。 2、使用该镜像创建新的ECS主机。 3、在新启动的主机上执行漏洞修复并验证修复结果。 4、确认修复完成之后将业务切换到新主机。 5、确定切换完成并且业务运行稳定无故障后，可以释放旧的主机。如果业务切换后出现问题且无法修复，可以将业务立即切换回原来的主机以恢复功能。 方案二：在当前主机执行修复 1、为需要修复漏洞的ECS主机创建备份。 2、在当前主机上直接进行漏洞修复。 3、如果漏洞修复后出现业务功能问题且无法及时修复，立即使用备份恢复功能将主机恢复到修复前的状态。 说明 方案一适用于第一次对主机漏洞执行修复，且不确定漏洞修复的影响。新创建的ECS主机建议采用按需计费的方式创建，待业务切换完成后可以根据需要转换计费模式。如果漏洞修复不成功可以随时释放以节省开销。 方案二适用于已经有同类主机执行过修复，漏洞修复方案已经比较成熟可靠的场景。 漏洞忽略 某些漏洞只在特定条件下存在风险，比如某漏洞必须通过开放端口进行入侵，如果主机系统并未开放该端口，则该漏洞不存在危害。如果评估后确认某些漏洞无害，可以忽略该漏洞，无需修复。 忽略后，主机安全服务将不会对该漏洞告警。 修复验证 漏洞修复后，建议您立即进行验证。 手动验证 通过漏洞详情页面的“验证”，进行一键验证。 执行以下命令查看软件升级结果，确保软件已升级为最新版本。 验证修复命令 操作系统 修复命令 CentOS/Fedora /Euler/Redhat/Oracle rpm qa Debian/Ubuntu dpkg l Gentoo emerge search软件名称 自动验证 若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复效果。

手动修复系统软件漏洞 进入到漏洞的基本信息页，可根据修复建议修复主机中已经被识别出的漏洞，漏洞修复命令可参见表。 不同的漏洞请根据修复建议依次进行修复。 若同一主机上的多个软件包存在同一漏洞，您只需修复一次即可。 说明 “Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启，否则HSS仍可能为您推送漏洞消息。 漏洞修复命令 操作系统 修复命令 CentOS/Fedora /Euler/Redhat/Oracle yum update软件名称 Debian/Ubuntu aptget update && aptget install软件名称onlyupgrade Gentoo 请参见漏洞修复建议。 漏洞修复有可能影响业务的稳定性，为了防止在修复漏洞过程影响当前业务，建议参考以下两种方案，选择其中一种执行漏洞修复： 方案一：创建新的虚拟机执行漏洞修复 1、为需要修复漏洞的ECS主机创建镜像。 2、使用该镜像创建新的ECS主机。 3、在新启动的主机上执行漏洞修复并验证修复结果。 4、确认修复完成之后将业务切换到新主机。 5、确定切换完成并且业务运行稳定无故障后，可以释放旧的主机。如果业务切换后出现问题且无法修复，可以将业务立即切换回原来的主机以恢复功能。 方案二：在当前主机执行修复 1、为需要修复漏洞的ECS主机创建备份。 2、在当前主机上直接进行漏洞修复。 3、如果漏洞修复后出现业务功能问题且无法及时修复，立即使用备份恢复功能将主机恢复到修复前的状态。 说明 方案一适用于第一次对主机漏洞执行修复，且不确定漏洞修复的影响。新创建的ECS主机建议采用按需计费的方式创建，待业务切换完成后可以根据需要转换计费模式。如果漏洞修复不成功可以随时释放以节省开销。 方案二适用于已经有同类主机执行过修复，漏洞修复方案已经比较成熟可靠的场景。 漏洞忽略 某些漏洞只在特定条件下存在风险，比如某漏洞必须通过开放端口进行入侵，如果主机系统并未开放该端口，则该漏洞不存在危害。如果评估后确认某些漏洞无害，可以忽略该漏洞，无需修复。 忽略后，主机安全服务将不会对该漏洞告警。 修复验证 漏洞修复后，建议您立即进行验证。 手动验证 通过漏洞详情页面的“验证”，进行一键验证。 执行以下命令查看软件升级结果，确保软件已升级为最新版本。 验证修复命令 操作系统 修复命令 CentOS/Fedora /Euler/Redhat/Oracle rpm qa Debian/Ubuntu dpkg l Gentoo emerge search软件名称 自动验证 若您未进行手动验证，主机防护每日凌晨进行全量检测，您修复后需要等到次日凌晨检测后才能查看修复效果。

前提条件 快照状态必须为“正常”。 要恢复的云主机必须为关机状态。 当您需要将云主机恢复至快照创建时的配置和状态时，您可以通过两种方式进行恢复。 方式一：在快照列表页恢复数据 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 选择左侧导航栏的“快照”。 5. 在云主机快照列表中选择要进行操作的快照，点击右侧“操作”中的“恢复数据”（云主机需处于关机状态）。 6. 在弹出的恢复数据的弹窗中核对相关信息，点击确定。 方式二：在快照详情页恢复数据 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 选择左侧导航栏的“快照”。 5. 在快照列表中点击某快照的名称。 6. 在快照详情页点击“恢复数据”。 7. 在弹出的恢复数据的弹窗中核对相关信息，点击确定。 说明 云主机制作快照后，又挂载了新数据盘：可恢复数据，但新创建的数据盘不会被恢复。 云主机制作快照后，又卸载了数据盘：主机快照中仅保留剩余云硬盘的快照信息，仍可恢复数据。 云主机制作快照后，又升级了规格：可恢复数据，恢复数据不改变云主机规格。 云主机制作快照后，对系统盘或数据盘进行了扩容：可恢复数据，恢复至制作快照时的状态。不影响磁盘的总容量。

本文帮助您快速熟悉如何配置HTTP重定向。 操作场景 HTTPS在HTTP的基础上通过传输加密和身份认证保证了传输过程中的安全性。如果企业为了保障业务建立安全连接，想要从HTTP升级使用HTTPS，可以使用HTTP重定向功能帮助用户业务从HTTP平滑无感知的迁移到HTTPS。当客户端通过HTTP请求访问云上的web服务时，配置了HTTP到HTTPS的重定向后，弹性负载均衡会返回HTTPS的响应，从而强制客户端以HTTPS的方式访问web服务。 前提条件 已创建HTTPS监听器，并运行正常。 注意事项 只能重定向至HTTPS监听器，并且每个监听器只能重定向一次。开启重定向功能后，QPS限速、请求超时时间、空闲超时时间、附加http头字段、WAF能力失效，请在重定向后的监听器开启。 重定向的监听器不可创建转发策略。 添加HTTP监听器时配置重定向，具体操作如下： 1. 添加HTTP协议监听器，在高级配置中可见HTTP重定向参数，通过开关控制。 2. 开启“HTTP重定向”开关，选择重定向目标HTTPS监听器，点击“立即创建”，监听器直接进入创建步骤。 3. 当HTTP监听器状态跳转至“运行中”，则创建成功。 4. 重定向的监听器不可创建转发策略，到此监听器的访问都将被重定向至已配置的HTTPS监听器。 在监听器的转发策略配置中开启重定向，具体操作如下： 1. 在HTTP监听器详情页面，点击“转发策略”，匹配特定域名或URL做重定向。 2. 在弹出的转发策略页面开启“HTTP重定向”后，直接点击“立即创建”，略过后端主机和健康检查配置步骤。

带宽使用率高问题分析 如果是正常业务访问以及正常应用进程导致的带宽使用率高，需要升级服务器的带宽进行解决。如果是非正常访问，如某些特定IP的恶意访问，或者服务器遭受到了CC攻击。或者异常进程导致的带宽使用率高。可以通过流量监控工具nethogs来实时监测统计各进程的带宽使用情况，并进行问题进程的定位。 使用nethogs工具进行排查 a. 执行以下命令，安装nethogs工具。 yum install nethogs y 安装成功后可以通过netgos命令查看网络带宽的使用情况。 nethogs命令常用参数说明如下： u d：设置刷新的时间间隔，默认为 1s。 u t：开启跟踪模式。 u c：设置更新次数。 u device：设置要监测的网卡，默认是eth0。 运行时可以输入以下参数完成相应的操作： u q：退出nethogs工具。 u s：按发送流量大小的顺序排列进程列表。 u r：按接收流量大小的顺序排列进程列表。 u m：切换显示计量单位，切换顺序依次为KB/s、KB、B、MB。 b. 执行以下命令，查看指定的网络端口每个进程的网络带宽使用情况。 nethogs eth1 回显参数说明如下： u PID：进程 ID。 u USER：运行该进程的用户。 u PROGRAM：进程或连接双方的IP地址和端口，前面是服务器的IP和端口，后面是客户端的IP和端口。 u DEV：流量要去往的网络端口。 u SENT：进程每秒发送的数据量。 u RECEIVED：进程每秒接收的数据量。 c. 终止恶意程序或者屏蔽恶意访问IP。 如果确认大量占用网络带宽的进程是恶意进程，可以使用kill PID命令终止恶意进程。 如果是某个IP恶意访问，可以使用iptables服务来对指定IP地址进行处理，如屏蔽IP地址或限速。

应用场景说明 通用AI工具在知识管理、数据安全、团队协作、模型精准度等方面的不足，难以满足金融、医疗、教育等行业对数据合规、智能化升级的要求。某企业的公共数据或零散存储的文档多，无法系统化整合企业知识，导致知识分散在不同部门或存储位置，难以高效检索和利用，导致信息孤岛，协作效率低下，且文件存储、共享存在数据泄露风险。 企业专属智库打造专属知识空间，赋能企业智慧升级。支持知识的灵活增删与高效管理，精准检索助力知识快速定位。通过优化大模型推理，逐步实现自我进化，成为越用越懂你的企业大脑。 前提条件 已开通天翼云电脑（政企版），详情请参见快速订购云电脑< 操作步骤 步骤一：开通企业认证，管理企业知识 通过通过天翼云电脑（政企版）控制台菜单找到“AI应用中心”——“企业 管理”，点击“申请开通”即可申请开通企业知识库。 等待5分钟后刷新页面

本节介绍天翼云电脑(OpenClaw版)下载并安装Skiils的操作步骤。 OpenClaw云电脑预置了哪些Skills？ 天翼云电脑（OpenClaw版）预置了以下Skiils，开箱即用： cctvnewsfetcher （获取央视新闻联播指定日期的内容） chinatelecommail（发送和接收邮件） findskills（帮助发现和安装新技能） selfimproving（自我反思、自我批评、自我学习和记忆组织） skillvetter（安装技能前进行安全审计） stockwatcher（管理个人股票观察列表，查看股票表现） summarize（总结网页、PDF、图片、音频、YouTube 内容） tavilysearch（AI 优化的网页搜索） 如何下载并安装Skills？ 1. 访问skills库 打开浏览器访问：< skills 进入技能列表； 2. 搜索并选择skill 在页面顶部搜索框输入skill名称，找到需要安装的skill并点击进入详情页； 3. 下载skill压缩包 在详情页右侧，点击 “Download zip” 下载skill压缩包； 4. 解压并放置到skills目录 Windows 系统：C:UsersAdministrator.openclawskills Ubuntu / 妙逸系统：/home/ctyun/.openclaw/skills 如自行修改过skills目录，放到对应目录即可； 5.

权限 授权项 权限类型（读/写） dszSecAdmin dszAudAdmin dszSysAdmin dszAuthAdmin dszApproveAdmin 数据安全专区订单业务员 查询实例列表 dsz.instance.query 读 ✓ ✓ ✓ ✓ ✓ × 实例开机 dsz.instance:start 写 ✓ ✓ ✓ ✓ ✓ × 实例关机 dsz.instance:stop 写 ✓ ✓ ✓ ✓ ✓ × 实例升级 dsz.instance:update 写 ✓ ✓ ✓ ✓ ✓ ×