本节为您介绍云迁移服务CMS服务韧性相关内容。 CMS架构设计采用多组件服务保障及分层架构提供高可用服务。 CMS服务负载使用容器化部署，可灵活调整pod数快速扩缩容；工作负载进行pod级容灾，在部分pod损坏情况下保持服务正常运行。 CMS数据库使用天翼云RDS一主两备架构，在主服务器宕机或损坏时，切换备节点保证迁移信息不丢失。 CMS缓存使用天翼云缓存服务Redis三主三从架构对迁移任务的管理数据进行缓存交互与读写，应对迁移任务压力峰值波动。 CMS支持断点续传，在迁移过程中出现断网或者迁移出错等故障，故障修复后可支持在之前的进度上继续迁移、同步。

操作步骤 1. 单击应用卡片的“操作”列的“删除”。 2. 确认删除操作。 注意 删除应用后，与该应用关联的 APP CODE 与密钥将立即失效，使用该凭证的业务调用将中断，请谨慎操作。

通过自定义策略配置,进一步增强护栏的灵活性与针对性。 代答库用于定义当检测到特定风险类型时，系统应返回给用户的“预设回复内容”，替代原本被拦截的大模型输出，保障对话体验的连贯性。 使用规则 可为不同风险类型分别配置代答内容。 每个风险类型最多可添加 5 条 代答内容，系统命中风险后将 随机 选取其中一条进行代答，避免回复过于单一。 每个代答库中，每个风险类型最多设置 10 条 代答文本，每条字符数限制为 100 个字符。 代答库创建后，需要在“应用管理”中将应用与该代答库关联，方可生效。如未关联，系统将使用默认回答。 支持配置代答的风险类型 宣扬暴力 宣扬淫秽色情 政治敏感 违反社会主义核心价值观的内容 侵犯他人合法权益 商业违法违规 提示注入攻击 黑名单 危险行为 其他风险类别 创建代答库 1. 进入“代答库管理”页面，单击右上角“新增”。 2. 填写“代答库名称”和“描述”（选填）。 3. 在各风险类型下方的输入框中填写对应的代答内容。 4. 单击“确认”保存。 编辑代答库 单击代答库卡片右上角的“操作 > 编辑”，可修改各风险类型的代答内容。编辑保存后，所有关联该代答库的应用将即时生效。 提示：出现“已添加到剪贴板”提示，即表示 APP CODE 信息已复制成功。

操作步骤 支持按照模型ID、模型名称、参数规模、最近连通测试时间、创建时间对测评对象进行筛选。

操作步骤 1. 单击列表中操作列下的“评估详情”，可查看该次任务的评估详情。评估详情中展示测评摘要、失陷率排行榜、部分失陷样本展示等内容。 说明 只有任务状态为“部分完成”、“全部完成”时，“评估详情”可单击；其他任务状态，“评估详情”置灰。 2. 在部分失陷样本展示中点击详情可查看失陷样本详情，可将输入、输出、判定依据复制到剪贴板中。

单击目标测评对象所在行的“编辑”，修改其信息。完成修改后，单击“新建并测试”，系统将保存更新后的信息并发起一次针对该对象的连通性测试。

测评中心可以下发大模型测评任务,根据实际情况,选择进行全部测评或者选择部分内容进行测评。 操作步骤 1. 选择模型。 支持单独选择内容测评、注入攻击测评以及含密量检测下的一个或者多个具体小类测评类型，支持多选、全选。 2. 选择模型后，勾选测评内容，单击“开始评估”，弹窗提醒剩余的测评次数，单击“确定”后即可创建测评任务。 3. 在“测评管理 > 测评记录”页面，可以查看任务状态与最终测评报告。

操作步骤 1. 单击应用卡片的“操作”，选择“复制APP鉴权信息”。 2. 系统将 APP CODE、公钥、私钥等完整鉴权信息一键复制到剪贴板，可直接粘贴到开发代码中使用。

创建和管理应用,获取 API 调用凭证。 企业可以为不同的业务线或产品分别创建独立的应用，实现权限隔离与独立管理。 操作步骤 1. 单击页面右上角的“新增”，弹出“新增应用”对话框。 2. 填写以下信息： 字段 是否必填 说明 应用名称 必填 为应用设置易于识别的名称，建议与业务系统对应。 启用状态 必填 默认开启，关闭后该应用的 API 调用将被拒绝。 代答库 选填 选择已创建的代答库，命中风险时将返回对应的代答内容。 白名单词库 选填 选择白名单词库，词库中的词语将被忽略风险检测。 黑名单词库 选填 选择黑名单词库，命中黑名单词语将直接拦截。 3. 单击“确认”完成创建。 创建成功后，系统会自动为该应用生成唯一的 APP CODE、公钥（publicKey）和私钥（privateKey），用于 API 调用鉴权。 说明 白名单与黑名单的优先级说明： 系统进行风险检测时：首先，将检测内容与白名单词库进行精确匹配。对于文本中成功匹配到的白名单词条，系统将自动忽略这些部分，不纳入后续的风险评估范围。随后，将检测文本与黑名单词库中的词条进行精确匹配。如果文本中成功匹配到黑名单词库中的任意词条，则直接返回对应的拦截类型，而不再进行后续的其他风险评估。

类型 作用 使用场景示例 黑名单词库 文本中出现黑名单词语时，直接拦截，不再进行后续风险评估。 竞品名称屏蔽、违禁词过滤。 白名单词库 文本中出现白名单词语时，该部分内容豁免风险检测。 企业专有名词保护、行业术语豁免。

配置项 配置说明 模型接口地址 说明 此处通常是/v1，但实际情况也可能有所不同。只需要去掉/chat/completions，前面全部保留即可。 API密钥 header 'Authorization: Bearer skXXXX'：复制 skXXXX填入“API密钥”输入框。 说明 密钥不一定是 sk 开头，根据实际情况填写即可。 也可能没有密码，没有密码可不填。 模型名称 "model": "Qwen/Qwen2.532BInstruct"：注意这里的模型名称要完全一致的填入 “模型名称” 输入框。

Q5. 测评系统是否支持文本、图片、视频和多模态测评？ 目前测评系统仅支持文本类型测评，暂不支持图片、视频及多模态测评。 Q6. 测评进度怎么查看？ 进入“测评记录→样本列表”页面，可查看本次测评的样本总数、已完成样本数、待测评样本数，通过该页面可实时掌握测评进度。 Q7. 如何区分是目标大模型的问题还是测评业务代码的问题？ 在测评记录页面的“样本列表”子页面，可查看每条样本的测评状态及所处阶段：若异常发生在采集阶段，即为目标大模型的问题；其余阶段的异常，则属于测评业务代码的问题。

Q5. 测评系统是否支持文本、图片、视频和多模态测评？ 目前测评系统仅支持文本类型测评，暂不支持图片、视频及多模态测评。 Q6. 测评进度怎么查看？ 进入“测评记录→样本列表”页面，可查看本次测评的样本总数、已完成样本数、待测评样本数，通过该页面可实时掌握测评进度。 Q7. 如何区分是目标大模型的问题还是测评业务代码的问题？ 在测评记录页面的“样本列表”子页面，可查看每条样本的测评状态及所处阶段：若异常发生在采集阶段，即为目标大模型的问题；其余阶段的异常，则属于测评业务代码的问题。

操作步骤 单击“更多 > 下载报告”，可将此次的测评报告下载到本地。 说明 “下载报告”仅在任务状态为“部分完成”或“全部完成”时才可单击；在其他任务状态下，按钮将置灰。

操作步骤 单击测评对象列表中的“连通测试”，可针对该对象发起连通性测试。 若测试通过，“连通状态”将更新为“正常”。 若测试过程中出现异常，系统将按步骤提示错误信息，用户可选择取消本次测试，或重新编辑对象信息后再次发起测试。

配额管理页面集中展示客户购买的所有服务。 操作步骤 当服务有可用测评次数且服务未到期时，“开始测评”可以单击，其余情况“开始测评”置灰。单击“开始测评”后跳转到测评中心页面。

操作步骤 单击“更多 > 预览报告”可预览报告。 说明 “预览报告”仅在任务状态为“部分完成”或“全部完成”时才可单击；在其他任务状态下，按钮将被置灰。

code subCode 说明 处理建议 200 200 请求成功，检测结果在data字段中 正常处理 500 500 请求参数错误（如 reqId 为空、参数格式不正确） 检查请求 Body 参数是否完整、格式是否正确 401 401 鉴权失败 检查所有 Header 签名信息；确认Eopdate未超过 15 分钟有效期；确认 XHMACSIGNATURE 签名计算正确 403 403 无访问权限 检查accountid与XAPPCODE是否匹配；确认应用状态为启用 429 429 请求频率超限 降低调用频率，或联系天翼云技术支持提升配额

类型 作用 使用场景示例 黑名单词库 文本中出现黑名单词语时，直接拦截，不再进行后续风险评估。 竞品名称屏蔽、违禁词过滤。 白名单词库 文本中出现白名单词语时，该部分内容豁免风险检测。 企业专有名词保护、行业术语豁免。

步骤 计算公式 说明 计算 ktime ktime HMACSHA256(eopdate, SK) 以 SK 为密钥，对 eopdate 做 HMAC 计算 kAk kAk HMACSHA256(AK, ktime) 以 ktime 为密钥，对 AK 做 HMAC 计算 kdate kdate HMACSHA256(eopdate的年月日, kAk) 以 kAk 为密钥，对 eopdate 的年月日（如20220525）做 HMAC

创建和管理应用,获取 API 调用凭证。 企业可以为不同的业务线或产品分别创建独立的应用，实现权限隔离与独立管理。 操作步骤 1. 单击页面右上角的“新增”，弹出“新增应用”对话框。 2. 填写以下信息： 字段 是否必填 说明 应用名称 必填 为应用设置易于识别的名称，建议与业务系统对应。 启用状态 必填 默认开启，关闭后该应用的 API 调用将被拒绝。 代答库 选填 选择已创建的代答库，命中风险时将返回对应的代答内容。 白名单词库 选填 选择白名单词库，词库中的词语将被忽略风险检测。 黑名单词库 选填 选择黑名单词库，命中黑名单词语将直接拦截。 3. 单击“确认”完成创建。 创建成功后，系统会自动为该应用生成唯一的 APP CODE、公钥（publicKey）和私钥（privateKey），用于 API 调用鉴权。 说明 白名单与黑名单的优先级说明： 系统进行风险检测时：首先，将检测内容与白名单词库进行精确匹配。对于文本中成功匹配到的白名单词条，系统将自动忽略这些部分，不纳入后续的风险评估范围。随后，将检测文本与黑名单词库中的词条进行精确匹配。如果文本中成功匹配到黑名单词库中的任意词条，则直接返回对应的拦截类型，而不再进行后续的其他风险评估。

操作步骤 在应用卡片顶部，通过“切换开关”可随时启用或停用该应用。停用后，使用该应用凭证的 API 调用将返回鉴权失败，不计费。

在线测试功能允许用户无需任何配置和代码,直接在控制台对检测服务进行体验验证。适合开发人员接入前的效果预验证,以及运营人员日常的功能体验。 模拟对大模型输出内容的检测，对应 API 中的 textoutputcheck 服务。 使用限制 在线测试每月免费额度为 1,000 次，当月剩余次数显示在页面说明栏中。 操作步骤 1. 单击“输出测试”标签页。 2. 在文本框中输入模拟的大模型回复内容，或从预设输出测试用例中选择应用。 3. 单击“进行测试”，系统返回检测结果。 4. 检测结果展示逻辑与输入测试相同。 预设用例：系统内置政治敏感、宣扬暴力、宣扬淫秽色情、违反社会主义核心价值观、歧视性内容、商业违法违规、侵犯他人合法权益等输出场景示例。

在线测试功能允许用户无需任何配置和代码,直接在控制台对检测服务进行体验验证。适合开发人员接入前的效果预验证,以及运营人员日常的功能体验。 模拟对用户输入内容（Prompt）的检测，对应 API 中的 textinputcheck 服务。 使用限制 在线测试每月免费额度为 1,000 次，当月剩余次数显示在页面说明栏中。 操作步骤 1. 单击“输入测试”标签页。 2. 在文本框中输入待检测的内容，或单击下方“预设输入测试用例”中的“应用”，快速填充示例文本。 3. 单击“进行测试”，系统将实时返回检测结果。 4. 检测结果以弹窗形式展示： 检测通过：弹出绿色“检测通过”提示。 检测未通过：弹出橙色"检测未通过"提示，并显示具体的风险类型（如“政治敏感”、“提示注入攻击”等）。 5. 如需重新输入，单击“清空”清除文本框内容。 预设用例：系统内置政治敏感、宣扬暴力、宣扬淫秽色情、违反社会主义核心价值观、歧视性内容、商业违法违规、侵犯他人合法权益、提示注入攻击等输入场景示例。

操作步骤 1. 单击“导入”。 2. 在弹出的对话框中上传符合格式要求的文件。 说明 可单击“测评对象模板下载”，获取模板，根据模板要求提供文件。 3. 单击“导入”，即可将新的测评对象批量导入至系统。

单击目标测评对象所在行的“编辑”，修改其信息。完成修改后，单击“新建并测试”，系统将保存更新后的信息并发起一次针对该对象的连通性测试。

操作步骤 勾选一个或多个模型后，单击“批量测试”，系统将对所选模型执行连通性批量测试。

操作步骤 单击列表中的“样本列表”，可以查看样本列表和任务的基本信息。

本章节介绍自定义授权服务 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎集群实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 创建测试命名空间 kubectl create ns foo 打开sidecar自动注入 kubectl label ns foo istioinjectionenabled 部署sleep和httpbin应用 apiVersion: v1 kind: ServiceAccount metadata: name: sleep apiVersion: v1 kind: Service metadata: name: sleep labels: app: sleep service: sleep spec: ports: port: 80 name: http selector: app: sleep apiVersion: apps/v1 kind: Deployment metadata: name: sleep spec: replicas: 1 selector: matchLabels: app: sleep template: metadata: labels: app: sleep spec: terminationGracePeriodSeconds: 0 serviceAccountName: sleep containers: name: sleep image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/curl command: ["/bin/sleep", "infinity"] imagePullPolicy: IfNotPresent volumeMounts: mountPath: /etc/sleep/tls name: secretvolume volumes: name: secretvolume secret: secretName: sleepsecret optional: true 部署外部授权服务 apiVersion: v1 kind: Service metadata: name: extauthz labels: app: extauthz spec: ports: name: http port: 8000 targetPort: 8000 name: grpc port: 9000 targetPort: 9000 selector: app: extauthz apiVersion: apps/v1 kind: Deployment metadata: name: extauthz spec: replicas: 1 selector: matchLabels: app: extauthz template: metadata: labels: app: extauthz spec: containers: image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/extauthz:1.16.2 imagePullPolicy: IfNotPresent name: extauthz ports: containerPort: 8000 containerPort: 9000 apiVersion: v1 kind: ServiceAccount metadata: name: httpbin apiVersion: v1 kind: Service metadata: name: httpbin labels: app: httpbin service: httpbin spec: ports: name: http port: 8000 targetPort: 80 selector: app: httpbin apiVersion: apps/v1 kind: Deployment metadata: name: httpbin spec: replicas: 1 selector: matchLabels: app: httpbin version: v1 template: metadata: labels: app: httpbin version: v1 spec: serviceAccountName: httpbin containers: image: registryvpccrshuadong1.cnspinternal.ctyun.cn/library/httpbin imagePullPolicy: IfNotPresent name: httpbin ports: containerPort: 80

修改授权策略，只允许JWT信息中groups字段包含group1的时候才允许访问，策略如下： apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: requirejwt namespace: bookinfo spec: selector: matchLabels: app: httpbin action: ALLOW rules: from: source: requestPrincipals: ["testing@secure.istio.io/testing@secure.istio.io"] when: key: request.auth.claims[groups] values: ["group1"] 使用上述TOKEN访问返回403： kubectl exec "$(kubectl get pod l appsleep n bookinfo o jsonpath{.items..metadata.name})" c sleep n bookinfo curl " H "Authorization: Bearer $TOKEN" sS o /dev/null w "%{httpcode}n" 403 更新TOKEN TOKEN eyJhbGciOiJSUzI1NiIsImtpZCI6IkRIRmJwb0lVcXJZOHQyenBBMnFYZkNtcjVWTzVaRXI0UnpIVV8tZW52dlEiLCJ0eXAiOiJKV1QifQ.eyJleHAiOjM1MzczOTExMDQsImdyb3VwcyI6WyJncm91cDEiLCJncm91cDIiXSwiaWF0IjoxNTM3MzkxMTA0LCJpc3MiOiJ0ZXN0aW5nQHNlY3VyZS5pc3Rpby5pbyIsInNjb3BlIjpbInNjb3BlMSIsInNjb3BlMiJdLCJzdWIiOiJ0ZXN0aW5nQHNlY3VyZS5pc3Rpby5pbyJ9.EdJnEZSH6X8hcyEii7c8H5lnhgjB5dwo07M5oheC8Xz8mOllygAHCFWHybM48reunFoGaG6IXVngCEpVF0P5DwsUoBgpPmK1JOaKN6pe9sh0ZwTtdgKRP01PuI7kUdbOTlkuUi2AOqUyOm7Art2POzo36DLQlUXv8Ad7NBOqfQaKjE9ndaPWT7aexUsBHxmgiGbz1SyLH879f7uHYPbPKlpHU6P9SDaKnGLaEchnoKnov7ajhrEhGXAQRukhDPKUHO9L30oPIr5IJllEQfHYtt6IZvlNUGeLUcif3wpry1R5tBXRicx2sXMQ7LyuDremDbcNyiE76Upg

计费说明 天翼云远程证明服务本身不收费，但您需要对使用远程证明服务的云主机进行付费。

本文为您介绍通过IAM用户控制资源访问的具体操作。 在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对云服务器ECS资源的访问。 操作步骤 创建IAM子用户 具体操作，请参见统一身份认证 IAM。 创建自定义策略 天翼云提供了访问云服务器ECS资源的系统策略，更多信息，请参见“1.2权限管理”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见统一身份认证 IAM。 策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。 细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。 策略版本号：Version标识策略结构的版本号，目前为1.1。 策略授权语句：Statement，包括了基本元素：作用（Effect）和权限集（Action）。 作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。 授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。 1. 脚本配置策略示例一：为IAM子用户配置云主机查看者权限。 2. 脚本配置策略示例二：为IAM子用户配置云主机所有操作权限，以及vpc的所有操作权限（代表取所有值）。