身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关分布式消息服务MQTT实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务MQTT实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务MQTT构建隔离、私密的虚拟网络环境，提升消息队列的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。

安全体检连通性检测说明。网络不可达将导致体检失败，请您根据以下提示对体检IP展开全面检测。 体检IP连通性检测是开始体检任务前的一项重要工作。体检IP与体检引擎互联网IP网络不通将会导致体检失败。 您可以点击体检IP列表右上角“检测联通性”，检测所有体检IP与体检引擎互联网IP的网络连通性。 当单个体检IP网络不可达时，您可以点击此体检IP的刷新按钮，完成单个IP的检测。 注意 当前体检引擎IP到此IP地址网络不可达，建议您检查： 1. 安全组策略是否限此IP访问。 2. 防火墙配置是否限制此IP访问。 3. 体检引擎互联网IP是否添加至白名单。 4. 此弹性IP是否正确绑定云主机。 5. 云主机是否正常开机。

本节介绍等级保护测评合规最佳实践。 等级保护测评背景 网络安全等级保护测评是按照GB/T 222392019网络安全等级保护要求对各行业单位网络信息系统进行等级测评，以满足相关等级安全要求。云服务器需满足等级保护测评中安全计算环境要求，服务器安全卫士（原生版）提供相关安全能力，满足客户合规需求。 安全计算环境要求 服务器安全卫士（原生版）在等级保护测评（三级）“安全计算环境”中可满足项： 等保测评项 满足情况 对应能力说明 身份鉴别 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 满足 服务器安全卫士（原生版）通过基线检测功能帮助用户检测密码策略相关满足情况，协助用户完成策略配置；通过弱口令检测功能保障口令复杂度满足管理情况。 身份鉴别 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 满足 服务器安全卫士（原生版）通过基线检测功能帮助检测实现账户锁定策略相关满足情况，协助用户完成策略配置。 入侵防范 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。 满足 服务器安全卫士（原生版）通过扫描功能能够发现可能存在的已知漏洞，且能够出具修补建议帮助用户修补漏洞。 入侵防范 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。 满足 服务器安全卫士（原生版）通过异常登录、暴力破解、后门检测、可疑操作、反弹Shell等功能对主机进行实时监控，发现入侵行为进行告警。 恶意代码防范 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。 满足 服务器安全卫士（原生版）通过病毒查杀功能可对恶意代码进行查杀，满足该项要求。 说明 其余测评项需用户通过云主机操作系统本身的策略设置满足，服务器安全卫士（原生版）可通过基线检测功能协助客户进行策略检测。

应用场景 使用CherryStudio加载DeepSeek大模型的应用场景如下： 1. 学习研究 ：学生用其整理复习资料、辅助学术研究、助力论文写作；研究人员用于文献综述、分析问题等。 2. 工作办公 ：项目管理中生成报告、分析风险；内容创作时构思创意、撰写文案；代码开发里获取代码示例、解决问题。 3. 生活娱乐 ：作为智能聊天伙伴解闷陪伴，为创意活动如绘画等提供灵感启发。 4. 知识管理 ：个人可构建知识体系，团队能实现知识共享。 注意 建议使用天翼云提供的DeepSeek镜像创建云主机，减少安装过程中可能遇到的问题。镜像选择请参考在天翼云使用Ollama运行DeepSeek的最佳实践7B等版本弹性云主机最佳实践AIGC实践 天翼云。 操作步骤 一、 云主机端口配置更新 首先，您需要登录天翼云控制中心，对部署DeepSeek大模型的云主机添加新的端口开放操作。通过天翼云控制台进入部署了DeepSeek大模型的云主机详情页，选择安全组，添加新的开放端口，建议选择新加114343端口，该端口是 Ollama 服务默认监听的端口。添加完成后，可在安全组规则列表中查看新添加的11434 端口规则，确认其状态为正常生效。 随后进入控制台，远程登陆即将安装AnythingLLM的云主机。

本文简述全站加速根据不同客户端IP所属的区域和运营商回不同源站的功能、适用场景、注意事项及配置说明。 功能简介 如果您的域名有多个源站，且希望通过全站加速实现多个源站之间负载均衡，您可以按照区域或者运营商划分源站，让不同区域或者运营商的客户端IP回不同的源，从而实现同运营商回源，或者就近回源。 上图为分运营商回源的原理图，电信客户端用户经过全站加速平台后回到电信源站，联通客户端用户经过全站加速平台后回到联通源站。分区域回源原理类似，不再赘述。 适用场景 场景一：分区域回源 域名有多个源站，分别分布在北京、上海、广州三个区域，可以配置华北、西北、东北三个大区的所有省份的用户回北京源站；配置华东、华中这两个大区的所有省份的用户回上海源站；配置华南、西南这两个大区的所有省份的用户回广州源站。从而保证每个地区的用户都回就近的源站，同时也帮助源站解决了负载均衡问题。 场景二：分运营商回源 域名有多个源站，分别是电信源站、联通源站、移动源站，可以配置联通用户回联通源站；配置移动用户回移动源站；配置电信及其他运营商用户回电信源站。从而保证电信、联通、移动的用户都能同运营商回源，其他小运营商都回电信源站，解决跨运营商回源的问题。 场景三: 多个源站提供不同的内容，通过分区域回源实现不同地区看到不同的内容 例如：域名在国内和海外各有一个源站，国内源站响应中文网站，海外源站响应英文网站，可以配置国内用户回国内源站，海外用户回海外源站，从而实现国内用户访问中文网站，海外用户访问海外网站的效果。 场景四：分区域分运营商回源 例如：域名有多个源站，分别为源站1、源站2、源站3，可以配置福建电信、广西电信、广东电信回源站1；配置上海移动、浙江移动、江苏移动回源站2；其他区域和运营商回源站3。

本节主要介绍OOS涉及到的相关术语。 账户（ Account ） 在使用OOS之前，需要在天翼云网站www.ctyun.cn注册一个Account（账户）。注册时邮箱、密码和手机号码是必填项。正确填写所需信息并进行实名认证之后，联系天翼云客服人员（客服电话：4008109889）申请开通OOS服务。开通OOS服务成功之后，用户可以用该账户登录并使用OOS服务。 服务（ Service ） Service是OOS为注册成功的用户提供的服务，该服务为用户提供弹性可扩展的存储空间，用户可以根据自己的业务需要建立1至10个存储桶（Bucket）。 存储桶（ Bucket ） 存储桶（Bucket）是存储文件（Object）的容器。对象存储系统的每个文件（Object）都必须包含在一个存储桶中。对象存储提供的是基于桶和文件的扁平化存储方式，桶中的所有文件都处于同一逻辑层级，去除了文件系统中的多层级树形目录结构。 您可以设置存储桶的属性，用来控制数据存储位置、访问权限、生命周期等，这些属性设置直接作用于该存储桶内的所有文件，因此您可以通过灵活的属性设置，来创建不同的存储桶，完成不同的管理功能。每个用户最多可以建立10个存储桶。用户只有对Bucket拥有相应的权限，才可以对其进行操作，这样保证了数据的安全性，防止非授权用户的非法访问。 对象（ Object ） 对象（Object）是用户存储在OOS上的数据基本单元，也被称为OOS的文件。文件可以是文本、图片、音频、视频或者网页。OOS支持的单个文件的大小从1字节到5T字节。 用户可以上传、下载、删除和共享文件。同时用户还可以对文件的组织形式进行管理，将文件移动或者复制到目标目录下。

客户边界设备 位于客户站点边缘（Customer Edge），简称为CE，用于连接PE设备，一般为路由器。 站点 对于特定的MPLS VPN网络，一个不需要通过MPLS VPN承载网就能完成互联的IP网络系统，称之为一个站点。 云内网络 由天翼云资源池内的虚拟化网络设备（如vRouter、vSwitch）、物理网络设备（交换机或路由器）及其连接线路构成的资源池内的网络。 虚拟私有云 虚拟私有云（VPC）为用户在云端构建一个安全可靠、可配置和管理的虚拟网络环境。虚拟私有云可以申请配置弹性带宽/IP、创建子网、设置安全组、配置DHCP等服务。 云网关 云网关（Cloud Gateway），简称为CGW，是第三方公有云与CN2DCI网络PE互联的网关设备。 边界路由器 边界路由器（Virtual Border Router），简称为VBR，是CN2 PE设备和阿里云VPC之间的一个路由器，作为数据从阿里云VPC到公共传输通道的转发桥梁。

本节介绍委托、IAM权限策略和RBAC权限关系,以及如何为服务账号授予相应权限。 根据权限类型，分布式云容器平台的权限包括服务角色、IAM权限策略和RBAC权限。您需要为服务账号授予对应的权限，才能正常使用分布式云容器平台的功能。 权限类型 权限类型 是否必须授权 授权说明 委托 使用开通订购功能时必须授权，使用主账号或子账号授权一次即可。 授权后分布式云容器平台才能访问其他关联的云服务资源。 IAM系统权限策略 主账号默认拥有所有权限，无需额外授权。而子账号必须授权后才能访问分布式云容器平台。 授权后子账号才能使用分布式云容器平台系统功能。 RBAC权限 主账号默认拥有所有权限，无需额外授权。子账号可以根据需求授予权限，如果没有授权，则采用默认只读权限。 授权后，子账号才能对分布式云容器平台集群内的K8s资源进行操作。 委托 云服务委托是指，在特定业务场景下，云服务为实现特定功能目标，通过获取其他云服务的访问权限，自动化管理关联资源，从而优化整体服务质量的一种协作机制。 例如，分布式云容器平台上订购注册集群后，需要关联创建ELB、安全组等资源。分布式云容器平台通过委托机制获取关联服务权限，从而自动地完成配置和关联资源创建，提升订购功能的使用体验。 分布式云容器平台目前提供以下服务角色，具体的策略内容请参见IAM控制台。 委托名称 权限说明 CtyunAssumeRoleForCCEONE 分布式云容器平台在集群管控操作中使用该角色访问您在ELB、EIP、安全组等服务中的资源。

本页介绍了文档数据库服务在安全上的表现。 文档数据库服务是天翼云提供的一款安全、可信的文档数据库服务。文档数据库服务支持多种架构，同时拥有云上高可用、高可靠、高安全、扩缩容、快速备份恢复、监控等数据库关键能力，为客户提供完善的性能监控体系和多重安全防护措施，并配备专业的数据库管理平台，让用户能够轻松设置、操作和扩展文档数据库服务。 为了保障操作安全、数据安全及服务运行安全，支撑客户安全有序开展业务活动，天翼云禁止运维人员删除资源时同时删除实例和备份数据，禁止运维人员未经客户书面授权，接入客户数据库实例，禁止运维人员对客户数据进行处理和转移。 文档数据库服务为保障租户数据库的可靠性和安全性提供了多个特性，如VPC、安全组、权限设置、SSL连接、自动/手动备份、跨可用区部署等功能。这些特性可以帮助租户更好地管理和保护其数据库。 网络隔离 文档数据库服务实例运行在独立的 VPC 内，该VPC不与其他实例共享。在创建完实例后，文档数据库服务会为租户分配此子网的 IP 地址，用于连接数据库。文档数据库服务实例运行在租户独立的虚拟私有云内，可提升文档数据库服务实例的安全性。 存储隔离 存储资源按照租户维度进行分配，每个租户的实例与其他租户的实例是相互独立的，并且有资源隔离，互不影响。

云原生网关 核心能力 传统平台 使用云原生网关 云原生特性 1.流量网关+业务网关模式，部署运维工作量大，资源消耗多。 2.云原生组件支持不够。 1.同时具备流量网关和微服务网关能力，资源消耗减半。 2.无缝对接云原生组件，更贴合云原生架构。 开箱即用 需要投入人力处理部署、运维和定制化开发工作。 即买即用型实例，用户只需专注于业务开发，无需关注资源购买及部署运维，更专业、更弹性、更可靠。 高集成 集成云原生组件的能力较弱。 可与自研产品体系无缝对接，例如容器服务、注册中心、日志服务、应用监控等，提供一站式的微服务解决方案。 高扩展 扩展能力较弱。 支持多语言插件化扩展，场景丰富、应用灵活。 监控分析 监控指标不够丰富，实现链路追踪等能力需要的成本较高。 提供丰富的指标监控、日志分析、链路追踪等功能，实现服务的可见、可管、可控。 安全可靠 不支持复杂的安全认证机制。 支持HTTPS加密通信，提供jwt、oidc认证，ip黑白名单等安全策略。 低成本 需要自己维护网关组件。 网关能力托管到云端，节省用户维护成本。

本文描述如何批量添加和导出防护规则。 如果您需批量添加和导出防护规则，请参照本章节进行处理。 批量导入防护规则操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。 4. 单击“下载模板”，下载导入规则模板到本地。 5. 请按表格要求填写您要添加的防护规则信息，防护规则参数说明如下表所示。 注意 目前最大支持导入300条规则，其中单个源地址组或服务组的成员不能超过64个。 请按照模板要求填写相应参数，确保导入文件的格式与模板一致，否则可能会导入失败。 参数名称 参数说明 取值样例 ::: 顺序 定义规则序号。 1 规则名称 自定义规则名称。 只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成，且名称长度不能超过255个字符。 test 方向 选择防护方向： 外到内：外网访问内部服务器。 内到外：客户服务器访问外网。 内到外 动作 选择“放行”或者“阻断”。设置相应流量是否通过云防火墙。 放行 规则地址类型 选择“IPv4”或者“IPv6”。设置防护的IP类型。 IPv4 启用状态 设置该策略是否立即启用。 启用：表示启用，规则生效。 禁用：表示关闭，规则不生效。 启用 描述 标识该规则的使用场景和用途，以便后续运维时快速区分不同规则的作用。 源地址类型 选择IP地址、IP地址组。 IP 地址 ：支持设置单个IP地址、连续多个IP地址、地址段。 IP 地址组 ：支持多个IP地址的集合。 IP地址 源IP地址 “源地址类型”选择“IP地址”时，需填写“源IP地址”。 源IP地址支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 192.168.10.5 源地址组名称 “源地址类型”选择“IP地址组”时，需填写“源地址组名称”。 支持以下输入格式： 可输入中文、字母、数字、下划线、连接符或空格。 名称长度不能超过255个字符。 stest 目的地址类型 选择IP地址、IP地址组或域名。 IP 地址 ：支持设置单个IP地址、连续多个IP地址、地址段。 IP 地址组 ：支持多个IP地址的集合。 域名：支持设置单个域名。 IP地址组 目的IP地址 “目的地址类型”选择“IP地址”时，需填写“目的IP地址”。 目的IP地址支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 192.168.10.6 目的地址组名称 “目的地址类型”选择“IP地址组”时，需填写“目的地址组名称”。 支持以下输入格式： 可输入中文、字母、数字、下划线、连接符或空格。 名称长度不能超过255个字符。 dtest 域名 “目的地址类型”选择“域名”时，需填写“域名”。 由一串用点分隔的英文字母组成（以字符串的形式来表示服务器IP），用户通过域名来访问网站。 www.example.com 服务类型 选择服务或服务组。 服务 ：支持设置单个服务。 服务组 ：支持多个服务的集合。 服务 协议/源端口/目的端口 设置需要限制的类型。 协议类型当前支持：TCP、UDP、ICMP、Any、ICMPV6。 设置需要开放或限制的源端口。支持设置单个端口，或者连续端口组，中间使用“”隔开，如：80443 设置需要开放或限制的目的端口。支持设置单个端口，或者连续端口组，中间使用“”隔开，如：80443 TCP/443/443 服务组名称 自定义服务组名称。 只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成，且名称长度不能超过255个字符。 servicetest 6. 表格填写完成后，单击“导入规则”按钮，导入防护规则表。 注意 导入规则操作将在数分钟内完成。 导入规则过程中访问策略、IP地址组、服务组均不支持添加、编辑、和删除操作。 7. 单击“下载中心”，查看导入规则任务状态，任务状态显示“导入成功”表示导入防护规则成功。 8. 返回防护规则列表查看导入的防护规则。

最佳实践概述 场景描述 概述：用户在天翼云的不同区域中创建了多个VPC，区域1的VPC通过VPN连接至区域2的其中一个VPC。区域2的VPC之间两两通过PPC互联，使得不同区域的VPC之间的网络数据互联互通。 典型行业：所有公有云行业应用。 适配场景：区域间业务、数据互联。 方案优势 提供IPSec加密通道，传输安全性高 区域间安全互联通道快速建立 云上业务、数据快速安全备份 不同云商间业务、数据安全互通

本节介绍连接Redis的网络要求。 任何兼容Redis协议的客户端都可以访问DCS的Redis实例，您可以根据自身应用特点选用任何Redis客户端，Redis支持的客户端列表请参见Redis客户端。 客户端连接Redis在不同的连接场景下，需要满足不同的连接约束： 使用同一VPC内客户端访问Redis实例。 安装了客户端的弹性云主机必须与Redis实例属于同一个VPC。Redis 4.0及以上版本的基础版实例，如果实例配置了IP白名单，需将弹性云主机的IP地址加入实例IP白名单，以确保弹性云主机与Redis实例的网络是连通的。 安全组配置，请参考如何选择和配置安全组。白名单配置，请参考配置Redis访问白名单。 客户端与Redis实例所在VPC为相同Region下的不同VPC。 如果客户端与Redis实例不在相同VPC中，可以通过建立VPC对等连接方式连通网络，具体请参考：缓存实例是否支持跨VPC访问。 客户端与Redis实例所在VPC不在相同Region。 如果客户端服务器和Redis实例不在同一Region，支持通过VPN等方式打通网络，请参考VPN。 在跨Region访问Redis实例时，实例域名无法跨Region解析，无法通过域名访问。可以通过在hosts中手动配置域名与IP绑定关系或使用IP进行访问。 公网访问 客户端公网访问Redis 4.0及以上版本实例时，请参考开启Redis公网访问并获取公网访问地址开启实例公网访问。 客户端公网访问Redis 3.0实例时，Redis缓存实例需要配置正确的安全组规则。当SSL加密功能关闭时，Redis实例的安全组入方向规则，必须允许外部地址访问6379端口；当SSL加密功能开启时，则必须允许外部地址访问36379端口。具体配置请参考常见问题：[如何选择和配置安全组](

FTP/SFTP远程备份失败怎么办？ 问题现象 云堡垒机配置了FTP/SFTP远程备份，报“请检查服务器密码或网络连接情况”错误，不能启动远程备份。 选择备份具体某一天日志，提示“备份正在执行”，但远程服务器未接收到该备份文件。 可能原因 原因一：云堡垒机配置的FTP/SFTP服务器账户或密码错误，导致远程备份失败。 原因二：云堡垒机与FTP/SFTP服务器的网络连接不通，导致远程备份失败。 原因三：FTP/SFTP服务器用户目录限制文件上传，导致远程备份失败。 原因四：被选择日期当天的运维日志量大，备份传输速率慢，长时间未备份完成，导致在远程服务器不能及时查看备份文件。 解决办法 原因一： 登录ECS管理控制台，VNC方式登录一台Linux主机，通过Linux主机登录FTP/SFTP服务器，验证服务器账户和密码。验证成功后，重新配置FTP/SFTP服务器远程备份账户和密码，尝试备份。 原因二： 登录云堡垒机系统，通过网络诊断，检查与FTP/SFTP服务器之间网络连接情况。 网络连接正常，请排查其他可能原因。 网络连接异常，请参考CBH安全组规则，检查云堡垒机和FTP/SFTP服务器主机安全组是否放开22端口；检查FTP/SFTP服务器主机的ACL是否放开22端口，并添加云堡垒机公网IP（即弹性IP）为允许。 原因三： 开启用户目录上传权限。 登录云堡垒机系统，选择“系统 > 数据维护 > 日志备份”，重新正确配置FTP/SFTP服务器的“存储路径”。 说明 “存储路径”置空表示备份内容存放到FTP/SFTP服务器用户的主目录下，例如绝对路径/home/用户名；配置的路径需以英文句号开头，例如配置路径为 ./test/abc，则其绝对路径为/home/用户名/test/abc。 原因四： 请您耐心等待，建议备份启动后的第二天再查看服务器上备份文件。

本节介绍了GPU云主机操作类相关问题。 重装操作系统失败如何处理？ 如果重装操作系统失败，页面会提示重装操作系统失败，运维人员会在后台进行人工恢复，如果您有紧急业务需要立即恢复，请通过在官网提交工单来联系运维人员进行紧急恢复。 无法导入密钥对，怎么办？ 当您的浏览器是IE9 时，可能无法导入密钥对或无法使用文件注入功能，请参考如下步骤修改浏览器默认属性后重试。 1. 在浏览器主界面，单击。 2. 选择“Internet 选项”。 3. 单击选择“安全”页签。 4. 单击“Internet”。 5. 如果安全级别显示为“自定义”，单击“默认级别”按钮，把设置还原为默认级别。 6. 滑动安全级别滑块，把安全级别调到“中”级别，单击“应用”按钮。 7. 选择“自定义级别”。 8. 将“对未标记为可安全执行脚本的 ActiveX 控件初始化并执行脚本”设置为“提示”。 9. 单击“确定”。 若仍不能解决请在官网提交工单来联系运维人员进行解决。 我创建的GPU云主机是否在同一子网？ 由于您可以自定义网络，所以GPU云主机是否在一个子网，完全由您来控制。 您可以在虚拟私有云内创建一个或多个子网，子网划分可以帮助您合理规划IP地址资源，但是子网的网段必须在虚拟私有云网段范围内。同子网内网络默认互通，同VPC下不同子网之间默认互通。子网网段创建后无法修改，如何规划子网网段、数量请参见如何规划子网网段、数量；如何进行子网管理请参见子网管理。

介绍云审计服务支持的性能测试服务操作列表。 云审计服务（Cloud Trace Service，简称CTS），是安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过云审计服务，您可以记录与消息通知服务相关的操作事件，便于日后的查询、审计和回溯。 表 支持审计的关键操作列表 servicetype resourcetype resourceid tracename 中文描述 CPTS cptsProject 数据库主键 createCptsProject 创建工程 CPTS cptsProject 数据库主键 deleteCptsProject 删除工程 CPTS cptsProject 数据库主键 modifyCptsProject 修改工程 CPTS cptsTask 数据库主键 createCptsTask 创建任务 CPTS cptsTask 数据库主键 deleteCptsTask 删除任务 CPTS cptsTask 数据库主键 modifyCptsTask 修改任务 CPTS cptsTemp 数据库主键 createCptsTemp 创建事务 CPTS cptsTemp 数据库主键 deleteCptsTemp 删除事务 CPTS cptsTemp 数据库主键 modifyCptsTemp 修改事务 CPTS cptsCase 数据库主键 createCptsCase 创建用例 CPTS cptsCase 数据库主键 deleteCptsCase 删除用例 CPTS cptsCase 数据库主键 modifyCptsCase 修改用例 CPTS cptsVariable 数据库主键 setVaribale 创建变量 CPTS cptsVariable 数据库主键 updateVaribale 修改变量 CPTS cptsVariable 数据库主键 deleteVaribale 删除变量 CPTS cptsTask 数据库主键 tempDebug 任务用例debug CPTS cptsTaskStatus 数据库主键 updateTaskStatus 更新任务状态

为保障您的账户安全、避免额外损失,请务必仔细阅读安全风险提示的全部内容 为保障您的账户安全、避免额外损失，请务必仔细阅读安全风险提示的全部内容 OpenClaw 是运行于系统级环境的通用 AI Agent，支持文件读写、代码执行、多步任务编排，可通过聊天工具接收指令执行对应操作。因其具备较高系统操作权限，强烈建议您仅在隔离、可控的云端环境中部署运行。 天翼云提供的OpenClaw 软件环境来源于第三方或开源社区，仅供您参考与合规使用。您需自行评估使用相关的全部风险，因部署、配置、使用该镜像及相关软件产生的任何直接或间接损失、安全与合规责任，天翼云不承担相关责任。请您确保所有使用行为符合国家法律法规、监管要求及对应开源许可协议。 请您结合自身业务需求与安全要求，合理配置系统与权限策略，保障运行环境安全可控。为降低潜在安全风险，请您重点关注以下使用注意事项： 1. 及时更新版本 定期升级OpenClaw 及相关组件，避免因已知漏洞带来安全风险。 2. 加强数据备份 建议建立定期备份机制，防止因系统故障或误操作导致数据丢失。 3. 控制网络暴露面 非必要情况下，不建议将OpenClaw 服务端口直接暴露至互联网，可通过安全组、内网访问或代理方式进行访问控制。 4. 遵循最小权限原则 仅启用必要的工具和功能，避免授予OpenClaw 过高的系统权限或无限制的自主执行能力。 5. 使用可信来源的Skills插件 建议优先使用官方或经过安全验证的Skills，避免使用来源不明的插件，以降低安全风险。 6. 部署主机安全防护措施 建议安装主机安全防护软件。天翼云为云主机提供免费的主机安全卫士，建议在创建实例时启用相关安全服务。 7. 妥善保护访问凭证 对API Key、Token 等敏感凭证进行安全存储与加密管理，避免泄露。 8. 开启日志与审计机制 建议启用操作日志与行为审计功能，以确保关键操作可记录、可追溯。

本文介绍云容器引擎Serverless版的产品定义。 云容器引擎Serverless版是天翼云提出的Serverless Kubernetes容器服务。与传统Kubernetes集群相比，Serverless集群无需购买节点即可直接部署容器应用，同时无需对集群进行节点维护和容量规划，降低了Kubernetes使用门槛，让用户更专注于应用程序，而不是管理底层基础设施。Serverless集群提供完善的Kubernetes兼容能力，您可以轻松迁移已有的Kubernetes应用到Serverless集群上，并且根据应用配置的CPU和内存资源量进行按需付费。 Serverless集群中的每个Pod都是基于天翼云弹性容器实例ECI运行，实现了安全隔离的容器运行环境。每个容器底层采用轻量级虚拟化安全沙箱技术，实现了容器实例间的强隔离，避免了容器实例间相互影响的问题。Serverless集群还具有易用性、灵活性和安全性等优点，能够满足不同规模应用场景的需求，并提供了完善的监控、日志和核心运维能力。

检查内网DNS地址与安全组配置 如您未对DNS进行修改，可使用root或Administrator账号登录相应云主机，输入如下命令： ping ces.{项目}.ctyun.cn 二类节点各资源池项目值可通过控制台“我的凭证”查询。 以苏州为例， ping ces.cnjssz1.ctyun.cn 如可正常连通，说明DNS地址正确可正常访问。 如无法连通，请按照如下操作指导进行配置修改。 修改DNS与添加安全组（Linux） 修改DNS与添加安全组（Windows） 如需获取二类节点各资源池内网DNS地址，可通过天翼云提供的内网DNS地址是多少？获取。

Open WebUI是一个可扩展、功能丰富、用户友好的自托管WebUI，它支持各种LLM运行程序，包括Ollama和OpenAI兼容的API。并且内置了 RAG（检索增强生成）推理引擎 ，使其成为一个功能强大的 AI 部署解决方案。Deepseek 云主机自带 Open WebUI，通过GPU云主机自带 Open WebUI，本文简述了如何通过 Open WebUI快速体验本地和第三方大模型。 注意 GPU云主机镜像自带的ollama监听127.0.0.1:11434、vllm 监听 0.0.0.0:8000、openwebui 监听 0.0.0.0:3000 端口，云主机默认不对外开放任何端口访问，请按需开放端口访问规则，避免数据泄露。 开放云主机端口 云主机安全组需要放行3000端口，添加安全组规则帮助文档。 注册管理员账号 Deepseek云主机内置可视化界面，云主机启动 5 分钟后，可访问 (yourip 这台云主机的eip) 体验DeepSeek。 首次登录页面如下： 点击开始使用，注册管理员账号： 基本配置 Open WebUI有强大的设置功能，可根据需要进行设置，点击左下角进入设置页面。 首先在通用设置中，将语言设置为简体中文。 进入管理员设置。 如果您不想开放其他用户注册使用，则需要关闭 “允许用户注册” 功能。 如果你允许用户注册，还可以设置用户注册后的行为，例如将新用户注册后的默认用户角色设为“用户”或“待激活”等，这些用户需要管理员手动激活：

本节介绍订购集群联邦。 订购联邦 订购步骤 1. 在CCEONE控制台右上方侧点击“创建联邦”按钮。 2. 在“订购创建联邦”页面，选择计费模式、联邦名称、容器舰队、企业项目、虚拟私有云、所在子网、安全组、ApiServer访问、是否使用EIP暴露ApiServer、删除保护等参数，选择好了后点击"下一步"。 3. 在“开通配置”页面确认创建配置符合要求后，勾选同意“服务协议”，勾选好了后点击“提交订单”。 4. 返回CCEONE控制台，查看开通状态，待实例处于“运行”状态后开通成功，可点击实例进入控制台操作联邦实例。 约束条件 项目 约束 计费模式 当前只支持“按需计费”模式。 联邦名称 实例名称不可重复；实例名称长度4~40个字符，大小写字母开头，只能包含大小写字母、数字及分隔符()，大小写字母或数字结尾。 容器舰队 容器舰队可提供多集群的统一管理，包括统一的权限管理、统一的安全策略、统一的配置管理以及统一的多联邦管理、网格等能力。 舰队成员集群与联邦之间若存在跨资源池互通需求，后台默认尝试公网互联方式；若需调整，请在订购后至联邦控制台进行设置。 企业项目 可选择已有企业项目，或者在IAM创建新的企业项目。 虚拟私有云 建议联邦实例与成员集群间网络尽可能同资源池同 VPC，可最大化降低管理流量跨网跨资源池互通的成本。 所在子网 请选择虚拟私有云子网，集群的节点将部署在此子网中，并申请子网的 IP。当子网开启IPv6时，云资源（云主机、物理机）将开启 IPv4/IPv6 双栈。 ApiServer访问 请您根据需求选择合适的ELB规格，系统将据此创建一个私网ELB实例作为 APIServer 的负载均衡器，若删除该ELB实例会导致 APIServer 无法访问。 安全组 可自动生成或者选择已有安全组，需要确保联邦访问端口在虚拟私有云的子网里为放通状态。 是否使用EIP暴露ApiServer 获得您的授权，以委托方式新建 EIP 并按 EIP 实际使用量收费，未开启，无法通过公网访问 APIServer。 删除保护 防止通过控制台或API误删除联邦控制面，删除联邦控制面实例不会对用户容器集群造成任何影响，理论上也不影响已调度完成的应用。

本章节主要介绍安装客户端（3.x及之后版本）。 操作场景 该操作指导安装工程师安装MRS集群所有服务（不包含Flume）的客户端。Flume客户端安装请参见“组件操作指南 > 使用Flume > 安装Flume客户端”。 客户端可以安装集群内节点，也可以安装在集群外节点，本章节以安装目录“/opt/client”为例进行介绍，请以实际集群版本为准。 在集群外节点安装客户端前提条件 已准备一个Linux弹性云主机，主机操作系统及版本建议参见下表。 CPU架构 操作系统 支持的版本号 x86计算 Euler EulerOS 2.5 SUSE SUSE Linux Enterprise Server 12 SP4（SUSE 12.4） RedHat RedHat7.5x8664（RedHat 7.5） CentOS CentOS7.6版本（CentOS 7.6） 鲲鹏计算(ARM) Euler EulerOS 2.8 CentOS CentOS7.6版本（CentOS 7.6） 同时为弹性云服务分配足够的磁盘空间，例如“40GB”。 弹性云主机的VPC需要与MRS集群在同一个VPC中。 弹性云主机的安全组需要和MRS集群Master节点的安全组相同。 弹性云主机操作系统已安装NTP服务，且NTP服务运行正常。 若未安装，在配置了yum 源的情况下，可执行yum install ntp y命令自行安装。 需要允许用户使用密码方式登录Linux弹性云主机（SSH方式）。

本小节介绍安全专区创建用户账号方法。 操作方法 1.点击【添加用户】，按照页面提示完整填写用户信息，添加新的账号。 2.打开用户注册信息窗口。 用户名：填写用户邮箱作为用户名（系统将发送邮件到该邮箱）； 手机号：填写用户手机号（登录接收验证码）； 角色分配 安全管理员：负责安全策略配置； 审计人员：可查看及管理日志； 运维人员：业务系统运维人员只能登录云堡垒机，对业务系统进行操作。

本文为您介绍如何将天翼云云搜索OpenSearch实例接入公网访问。 新开启的云搜索实例默认不具备公网访问能力，您如果需要通过公网访问Dashboards、Cerebro或OpenSearch实例，需要为其绑定弹性IP或IPv6带宽，并配置安全组信息，才可使用公网访问。 约束限制 1. 开启公网访问后，会因此产生流量费用，请您提前根据自身需求，购买合适的产品。 2. 配置完成后，需要前往安全组设置页面，配置公网访问白名单后，才可正常使用。 3. 如果需要使用IPv6访问，需要在开通虚拟私有云VPC时即选择开通IPv6能力的子网，并在下单时选择该子网，不支持实例开通后再升级IPv6。 4. 订购1.2.0以上版本的实例，仅开启了HTTPS模式的实例才可以通过公网访问，关闭该模式则仅可通过内网访问。 开通IPv6访问能力的实例 您需要在订购时选择具备IPv6的虚拟私有云，选择子网后，会提示“该子网已开通IPv6”。并在IPv6访问处开启开关，如关闭，则仅可通过IPv4访问实例。 配置实例公网访问 您可以对已开通的实例进行公网访问的配置、修改、查看、解绑操作。 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在详情页面里选择“安全设置”，在弹出的页面上选择需要绑定的公网IP类型，如果为IPv4，请在下拉列表中选择弹性IP地址；如果为IPv6，请选择IPv6的带宽名称。如果绑定失败，可以等待几分钟后再次尝试重新绑定。绑定的弹性IP或IPv6带宽需要处于空闲状态。 注意 IP绑定过后，要补充安全组方可实现本地电脑公网访问Dashboards、Cerebro或连接OpenSearch。 3. 修改绑定弹性IP或IPv6带宽，也需要在当前页面选择对应要修改的项目，点击“修改公网IP”进行重新绑定。 4. 解绑弹性IP或IPv6带宽，可关闭公网访问状态，或点击已绑定的项目后的解绑按钮，即可解绑当前的公网访问能力。 5. 实例退订将自动解绑已绑定的弹性IP或IPv6带宽，如弹性IP或IPv6带宽不再使用，您需要另外前往弹性IP的控制台退订相应的弹性IP或IPv6带宽才会停止对应产品的计费。

如何处理反弹Shell告警？ 您可以通过以下方式处理反弹Shell告警： 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航中选择“入侵检测 > 反弹Shell”。 3. 在反弹shell页面，找到被定义为反弹shell的记录，您可以根据服务器的IP、端口、进程等进行查询。 4. 处理反弹Shell告警。 加入白名单：在右侧操作栏中，单击“加入白名单”，即可将此反弹Shell告警加入白名单，后续相同来源IP的相同操作将不会产生告警。 标记为已处理：单击“标记已处理”，即可将本条告警记录标记为已处理，后续相同来源IP的相同操作将仍然会产生告警。 云主机遭受攻击为什么没有检测出来？ 若云主机在安装服务器安全卫士Agent之前就已被攻击，服务器安全卫士可能无法检测出来。 若云主机安装Agent之后，未开启防护，服务器安全卫士可能无法检测出来。 服务器安全卫士防护的是主机层面的入侵，若攻击为Web层面，服务器安全卫士无法检测防护，可以使用WAF等其他安全产品。 检测到入侵行为时，是否能够自动对安全事件进行处理？ 不能，服务器安全卫士（原生版）检测到入侵行为后会第一时间告警，处置行为由相关管理员进行，以避免处置行为与正常业务进程相冲突。 使用产品过程中，是否只开启病毒检测就可以了？ 在开启病毒检测功能的同时，安全管理员可使用入侵检测功能预防异常登录/暴力破解等非法攻击行为，防止攻击者使用非法手段投放病毒，同时可使用基线管理功能，优化云主机安全基线，预防病毒感染。

主机监控分为基础监控、操作系统监控、进程监控。 基础监控：弹性云主机（下文简称ECS）/物理机（下文简称BMS）自动上报的监控指标。 操作系统监控：通过在ECS或BMS中安装Agent插件，为用户提供服务器的系统级、主动式、细颗粒度监控服务。 进程监控：针对主机内活跃进程进行的监控，默认采集活跃进程消耗的CPU、内存，以及打开的文件数量等信息。 功能介绍 多种监控指标 安装Agent后，云监控服务会提供CPU、内存、磁盘、网络等四十余种监控指标，满足服务器的基本监控运维需求。 细颗粒度监控 安装Agent插件后，Agent相关监控指标为 1分钟上报 1 次。 进程监控 采集当前活跃进程占用的CPU、内存和打开文件数，让您了解弹性云服务器或裸金属服务器的资源使用情况。 使用主机监控 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击页面左侧的“主机监控”，进入“主机监控”页面。 4. 选择要安装Agent的ECS或BMS，安装Agent插件。 1. 修改待安装Agent的ECS或BMS的DNS并添加安全组，具体步骤请参见修改DNS与添加安全组（Linux）或修改DNS与添加安全组（Windows）。 2. 安装Agent，具体安装步骤请参见安装Agent（Linux）或安装配置Agent（Windows）。 5. 5分钟后，当插件状态为“运行中”，说明Agent已安装成功。 单击弹性云服务器右侧操作列的“查看监控指标”查看监控数据。

基础配置 集群名称。 企业项目： 该参数仅对开通企业项目的企业客户帐号显示。 选择某企业项目（如：default）后，集群、集群下节点、集群安全组、节点安全组和自动创建的节点EIP（弹性公网IP）将创建到所选企业项目下。为方便管理资源，在集群创建成功后，建议不要修改集群下节点、集群安全组、节点安全组的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。了解更多企业项目相关信息，请查看企业管理。 集群版本：选择集群使用的Kubernetes版本。 集群规模：集群支持管理的最大节点数量，请根据业务场景选择。创建完成后支持扩容，不支持缩容。 高可用：控制节点分布方式，默认随机分配，控制节点尽可能随机分布在不同可用区以提高容灾能力。您还可以展开高级配置自定义控制节点分布方式，支持如下2种方式。 随机分配：通过把控制节点随机创建在不同的可用区中实现容灾。 自定义：自定义选择每台控制节点的位置。 主机：通过把控制节点创建在相同可用区下的不同主机中实现容灾。 自定义：用户自行决定每台控制节点所在的位置。 网络配置 集群网络涉及节点、容器和服务，强烈建议您详细了解集群的网络以及容器网络模型，具体请参见网络概述。 网络模型：CCE集群支持“VPC网络”和“容器隧道网络”，详细介绍请参见VPC网络和 容器隧道网络。CCE Turbo集群支持“云原生网络2.0”。 虚拟私有云：选择集群所在的虚拟私有云VPC，如没有可选项可以单击右侧“新建虚拟私有云”创建。创建后不可修改。 说明 1.15及以上版本容器隧道网络的CCE集群支持开启IPv4/IPv6双栈。 v1.23.8r0及以上版本的CCE Turbo集群支持开启IPv4/IPv6双栈。 控制节点子网：选择控制节点（即集群Master节点）所在子网，如没有可选项可以单击右侧“新建子网”创建。创建后控制节点子网不可修改。 容器网段：设置容器使用的网段。VPC网络模型支持添加多个容器网段，且支持集群创建后添加容器网段。 默认容器子网（CCE Turbo集群设置）：选择容器所在子网，如没有可选项可以单击右侧“新建子网”创建。容器子网决定了集群下容器的数量上限，创建后支持新增子网。 服务网段：同一集群下容器互相访问时使用的Service资源的网段。决定了Service资源的上限。 创建后不可修改。

弹性云主机(CTECS,Elastic Cloud Server)属于天翼云弹性计算服务,由CPU、内存、镜像、云硬盘组成,是一种可随时获取、即开即用、可弹性扩展的计算服务器。帮助您搭建安全稳定环境及应用,并根据需求动态弹性扩展资源,使您简单上云,更专注于自身业务发展。

本节介绍智算套件概述。 前提条件 已创建云容器引擎智算版集群。 套件介绍 套件名称 版本 套件说明 驱动管理 1.0.2 为GPU云主机或物理机的算力调度提供硬件驱动。 模型预热 1.8.0 将模型从对象存储预热到本地盘，大幅提升模型部署效率。 智算套件控制面引擎 1.0.5 提供高可用控制面，管理智算套件控制台正常运行。 故障诊断 1.0.3 为集群提供集群巡检、故障诊断等能力。 网络 1.0.3 为集群容器提供使用RDMA网络的能力，包括IB和RoCE。 弹性数据集 1.0.0 支持数据集版本管理，提供弹性加载能力。 弹性训练 1.0.5 为集群提供AI任务接入，兼容主流AI框架和工具，包括TensorFlow、PyTorch、Horovod、Spark等。 GPU安全容器 1.0.0 支持Kata安全容器运行时，满足业务高安全需求。 智能调度 1.0.9 为集群提供智能任务调度策略，可支持Gang、Capacity、Binpack/Spread和Queue等智能调度。 监控 1.0.7 为集群提供硬件监控能力，可采集GPU/NPU，显存等，支持可视化查看GPU的分配、使用和健康状态。

为保障您的账户安全、避免额外损失,请务必仔细阅读安全风险提示的全部内容。 OpenClaw 是运行于系统级环境的通用 AI Agent，支持文件读写、代码执行、多步任务编排，可通过聊天工具接收指令执行对应操作。因其具备较高系统操作权限，强烈建议您仅在隔离、可控的云端环境中部署运行。 天翼云提供的 OpenClaw 软件环境来源于第三方或开源社区，仅供您参考与合规使用。您需自行评估使用相关的全部风险，因部署、配置、使用该镜像及相关软件产生的任何直接或间接损失、安全与合规责任，天翼云不承担相关责任。请您确保所有使用行为符合国家法律法规、监管要求及对应开源许可协议。 请您结合自身业务需求与安全要求，合理配置系统与权限策略，保障运行环境安全可控。为降低潜在安全风险，请您重点关注以下使用注意事项： 1. 及时更新版本 定期升级OpenClaw 及相关组件，避免因已知漏洞带来安全风险。 2. 加强数据备份 建议建立定期备份机制，防止因系统故障或误操作导致数据丢失。 3. 控制网络暴露面 非必要情况下，不建议将OpenClaw 服务端口直接暴露至互联网，可通过安全组、内网访问或代理方式进行访问控制。 4. 遵循最小权限原则 仅启用必要的工具和功能，避免授予OpenClaw 过高的系统权限或无限制的自主执行能力。 5. 使用可信来源的Skills插件 建议优先使用官方或经过安全验证的Skills，避免使用来源不明的插件，以降低安全风险。 6. 部署主机安全防护措施 建议安装主机安全防护软件。天翼云为云主机提供免费的主机安全卫士，建议在创建实例时启用相关安全服务。 7. 妥善保护访问凭证 对API Key、Token 等敏感凭证进行安全存储与加密管理，避免泄露。 8. 开启日志与审计机制 建议启用操作日志与行为审计功能，以确保关键操作可记录、可追溯。

操作步骤 1. 登录天翼云控制中心。 2. 单击管理控制台左上角的，选择区域或项目。 3. 在左侧导航树中，单击左上方的“服务列表”，选择“安全与合规 > 云防火墙”，进入云防火墙的概览页面。 4. 在界面右上角，单击“续费”。 5. 在“续费管理”界面，根据页面提示完成续费。 如何退订云防火墙？ 退订后原CFW配置数据将不能保存且无法找回，建议您退订前导出防护策略，重购后导入防护策略，以便CFW更好的为您防护。有关导入导出策略的详细操作，请参见导入/导出防护策略。 操作步骤 1. 登录天翼云控制中心。 2. 单击管理控制台左上角的，选择区域或项目。 3. 在左侧导航树中，单击左上方的“服务列表”，选择“安全与合规 > 云防火墙”，进入云防火墙的概览页面。 4. 鼠标悬停在页面左上角上角版本处，单击“退订”。 5. 在弹出的对话框中，勾选需要退订的资源，单击“确认”。 6. 确认信息无误后，勾选“我已确认本次退订金额和相关费用。” 7. 单击“下一步”，完成退订操作。

云搜索服务已接入云审计服务。通过云审计服务，您可以查询云搜索服务相关的操作事件，便于日后的查询、审计和回溯。 云搜索服务默认接入云审计服务，云审计服务是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 前提条件 开通云搜索服务实例对应资源池的云审计服务。 开通云审计服务建议您从官网对应资源池“控制中心”>“管理与部署”>“云审计”进入开通。 操作步骤 您可通过云审计控制台查看云搜索服务近7天的相关操作。具体查看方法参见查看审计事件。 当前已纳入云审计的关键操作列表 操作名称 资源类型 查询实例详情 instance 退订Logstash实例 instance 查询实例列表 instance 节点扩容 instance 磁盘容量 instance 实例升配 instance 重启实例 instance 创建管道 pipeline 更新管道 pipeline 部署管道 pipeline 停止管道 pipeline 查询管道列表 pipeline 查询管道内容 pipeline 删除管道 pipeline 开启Logstash日志功能 log 关闭Logstash日志功能 log Logstash绑定公网 node Logstash解绑公网 node