本文介绍如何使用ECX部署OpenClaw,配置大模型服务并使用WebUI进行配置管理。 部署OpenClaw 1、登录++智能边缘云控制台++。 2、进入应用市场，选择OpenClaw并部署。 点击【开始部署】。 就近选择云主机地域可用区，实例规格选择通用计算型，建议规格至少为s6.large.2（2vCPU，4GB内存）。 镜像选择：镜像已经默认选中，勾选镜像协议；系统盘容量不低于40GB，建议100GB及以上。 网络配置按需选择新购买公网IP，公网带宽上限至少为5Mbps。若无可用VPC，可点击前往VPC和子网自助创建后，点击刷新图标更新信息。（如果需要通过本地浏览器访问OpenClaw WebUI控制台或者配置企业微信频道，那么一定需要绑定公网IP） 点击安全组管理，新建安全组。 其中入方向放通0.0.0.0/0 22、0.0.0.0/0 18789，出方向全放通。 确认信息无误，勾选协议并提交。 点击立即支付，完成订单支付。 支付成功后，点击控制台，进入边缘虚拟机控制台，刷新页面可看到刚刚创建的部署了OpenClaw的虚拟机。 3、当虚拟机运行状态为“运行中”，登录虚拟机，执行如下命令，查看OpenClaw服务运行状态，确认其是否正常启动。 shell systemctl user status openclawgateway.service 若显示服务状态为active（running），证明OpenClaw服务已经正常启动。

组播 由于Oracle RAC的private network需要组播功能的支持，因此需要配置VPC虚拟网络的组播功能。可以通过“网络控制台>组播”选项进入组播配置。创建组播域的配置中，选择“组播域来源”为“云内”，选择之前步骤创建的VPC虚拟网络，“成员加入方式”选择“动态加入”，协议支持版本选择IGMPv2和IGMPv3，如示例所示： 安全组 由于默认安全组，仅开通22端口和ping服务，子网内的集群节点无法进行正常的TCP、UDP包通信，需要单独设置安全组，放行子网内的网络通信（需配置新的安全组oracleracsg，并应用于public和private网络的网卡）。

本章主要介绍删除API。 操作场景 已发布的API不再提供服务，可以将API删除。 说明 该操作将导致此API无法被访问，可能会影响正在使用此API的应用或者用户，请确保已经告知用户。 已发布的API，需要先下线API，再删除。 操作步骤 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API列表”。 步骤 4 单击API 分组名称 ，进入API分组详情页面。 步骤 5 通过以下任意一种方法，弹出“删除API”对话框。 在待删除的API所在行，单击“更多 > 删除”。 单击“API名称”，进入API详情页面。在右上角单击“删除”。 说明 如果需要批量删除API，则勾选待删除的API，单击“删除”。最多同时删除1000个API。 步骤 6 按照提示，在输入框中输入“DELETE”，单击“确定”，完成API删除。

应用性能监控提供了从调用链路中提取特定属性的能力，无侵入地提取请求和响应中的指定参数。您可以配置业务参数提取规则，并根据提取出的参数配置自定义错误。 前提条件 该功能目前仅支持Java应用。 只支持安装1.10.0或以上版本探针，具体操作，请参见应用监控接入概述。如果您的探针版本低于1.10.0，本功能配置后将不会有任何作用和影响。 功能入口 1. 登录应用性能监控控制台，在左侧导航栏选择应用监控 > 应用列表。 2. 选择对应的应用。 3. 在上方导航栏选择应用配置，选择后，点击左侧业务参数提取规则。 4. 在业务参数提取规则区域，您可以创建、查看和修改当前应用的业务参数提取规则。 5. APM的 JavaAgent 会动态识别规则变化，并依照所有已启动的规则将业务参数提取出来。 业务参数提取规则 新增规则 在业务参数提取规则区域单击新增规则，填写规则信息并保存。 规则名称：该条规则的可读名称。 Attribute名称：该条规则提取出的值在Span中对应的Attribute名称，默认以biz.开头，后续由多个单词组成，每个单词仅允许由大小写字母、数字、短划线（）、下划线（）组成。 参数提取类型：需要提取的参数类型。 生效接口（HTTP类型）：该条规则作用的HTTP接口范围，探针仅对匹配成功的接口提取相应参数。 参数提取规则：定义待提取参数所在的实际载体来源和提取后的处理方式，支持配置多个参数来源和提取步骤。若多个来源均可提取到参数，排序在前的参数提取步骤优先级高于后者. 参数来源：待提取参数所在的实际载体来源，对于Header、Cookie、Parameter，需要您填写相应的Key来初步提取。 是否启用：该条规则是否启用。

应用性能监控提供了从调用链路中提取特定属性的能力，无侵入地提取请求和响应中的指定参数。您可以配置业务参数提取规则，并根据提取出的参数配置自定义错误。 前提条件 该功能目前仅支持Java应用。 只支持安装1.10.0或以上版本探针，具体操作，请参见应用监控接入概述。如果您的探针版本低于1.10.0，本功能配置后将不会有任何作用和影响。 功能入口 1. 登录应用性能监控控制台，在左侧导航栏选择应用监控 > 应用列表。 2. 选择对应的应用。 3. 在上方导航栏选择应用配置，选择后，点击左侧业务参数提取规则。 4. 在业务参数提取规则区域，您可以创建、查看和修改当前应用的业务参数提取规则。 5. APM的 JavaAgent 会动态识别规则变化，并依照所有已启动的规则将业务参数提取出来。 业务参数提取规则 新增规则 在业务参数提取规则区域单击新增规则，填写规则信息并保存。 规则名称：该条规则的可读名称。 Attribute名称：该条规则提取出的值在Span中对应的Attribute名称，默认以biz.开头，后续由多个单词组成，每个单词仅允许由大小写字母、数字、短划线（）、下划线（）组成。 参数提取类型：需要提取的参数类型。 生效接口（HTTP类型）：该条规则作用的HTTP接口范围，探针仅对匹配成功的接口提取相应参数。 参数提取规则：定义待提取参数所在的实际载体来源和提取后的处理方式，支持配置多个参数来源和提取步骤。若多个来源均可提取到参数，排序在前的参数提取步骤优先级高于后者. 参数来源：待提取参数所在的实际载体来源，对于Header、Cookie、Parameter，需要您填写相应的Key来初步提取。 是否启用：该条规则是否启用。

本文介绍授权概述。 概述 根据权限类型，分布式容器云平台 CCE One的权限包括资源委托权限、IAM策略权限和实例RBAC权限。您需要为服务账号授予对应的权限，才能正常使用分布式容器云平台的功能。本文将为您介绍资源委托权限、IAM策略权限和实例RBAC权限关系，以及如何为服务账号授予相应权限。 权限类型 权限类型 是否必须授权 权限说明 资源委托 首次使用CCE One服务时需要授权，使用天翼云账号（主账号，或者具有管理员权限的子账号）授权一次即可。 授权后，CCE One服务才能正常访问其他关联云资源，并正常运行。 IAM策略 主账号无需额外授权，IAM子账号必须授权；基于IAM策略权限，可设置子账号使用分布式容器云平台CCE One的相关接口权限以及实例权限。 授权后，IAM子账号才能正常使用CCE One产品功能，或具备管理某些特定实例生命周期的权限。 实例RBAC 主账号及实例创建账号（若为子账号）无需额外授权；其他子账号必须授权； 授权后，IAM子账号才能对CCE One相关注册集群及联邦实例内的容器资源进行操作；前提条件是，该IAM子账号需要已具备相关实例的IAM读权限。 资源委托 资源委托是云服务在特定情况下，因为运行逻辑/功能需要而获取其他云服务访问权限的IAM角色。例如，CCE One上创建三方注册集群代理HUB或创建集群联邦控制面实例时，需要创建弹性负载均衡ELB以及弹性IP，因此需要这俩产品的相关权限。 使用分布式容器云平台服务需要授予访问以下云资源的权限： 访问计算类服务 注册集群按需弹性云上资源时会关联创建云服务器，需要获取访问弹性云服务器、弹性裸金属服务器的权限 访问存储类服务 为注册集群关联云上节点和容器挂载存储，需要获取访问云硬盘、弹性文件、对象存储等服务的权限 访问网络类服务 为注册集群及联邦提供网络代理及服务对外暴露，需要获取访问虚拟私有云、弹性负载均衡、弹性IP、NAT网关等服务的权限 访问容器与监控类服务 为三方注册集群下容器提供镜像拉取、监控和日志分析等功能，需要获取访问容器镜像、应用运维管理等服务的权限同意授权后，CCE One 将在统一身份认证服务为您创建名为 CtyunAssumeRoleForCCEONE 的 委托，为保证服务正常使用，在使用 CCE One 服务期间请不要删除或修改 CtyunAssumeRoleForCCEONE 委托。 若您尚未对CCE One进行资源委托授权，在进入CCE One任一订购页时，将提示您进行必要的委托授权。 点击【点击此处授权】后，将弹出详细授权说明。 再次点击【确定授权】，后台即开始自动创建分布式容器云平台CCE One对应的委托创建。登录IAM统一身份认证服务委托对应页面，可以看到CCE One对应委托记录如下，委托名“CtyunAssumeRoleForCCEONE”。

操作步骤 在应用卡片顶部，通过“切换开关”可随时启用或停用该应用。停用后，使用该应用凭证的 API 调用将返回鉴权失败，不计费。

本文介绍应用跨节点访问失败问题。 问题背景 用户在集群内工作节点A上部署了应用a，应用端口假设为80；用户在工作节点B上部署了应用b，应用b需要通过80端口访问节点A上的应用a。 解决方案 为了加强弹性云主机的安全防护，安全组对安全组内和安全组间云主机的访问实现了控制。若节点间的应用无法进行间通信但集群间网络正常，首先考虑是否是安全组规则造成的，用户需要该集群云主机所属的安全组中定义访问规则，使得云主机间可以进行互相访问。 进入区域所在控制台 点击【控制台】，完成【地域】选择后，点击网络部分任意选项，如虚拟私有云，进入【网络控制台】。 进入安全组配置页面 在【网络控制台】页面，点击一级菜单【访问控制】，点击二级菜单【安全组】，进入安全组配置页面。 添加安全组规则 CCE容器引擎集群节点云主机将默认使用default安全组，所以我们需要为default安全组添加规则。 找到列表中的default安全组，点击【添加规则】。 用户需要根据需求完成IP版本、协议、源地址等设置。端口范围即填写应用a上需要被访问的端口。 注意 ：需要同时设置入方向和出方向两条安全组规则，关于安全组的其它具体设置及指标详细含义可参考添加安全组规则。

本节介绍如何配置全局Web核心防护。 防护对象接入Web应用防火墙后，您可以选择开启全局Web核心防护功能。 全局精准访问控制支持对全局域名或单个域名生效。 全局Web核心防护包括防护配置 SQL注入、XSS代码注入、信息泄露、XML实体注入、Xpath注入、Ldap注入、SSL指令注入、文件上传、命令注入等常见 Web攻击。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 查看规则库 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“全局Web核心防护”模块，选择查看规则库。 6. 进入“规则组”页面。 规则列表中包含的参数如下： 配置项 说明 危险等级 防护规则防护漏洞的危险等级，包括： 高危 中危 低危 灰度状态 规则的状态说明。 规则ID WAF防护引擎中可唯一标识该规则的ID。 规则引擎类型 描述WAF防护规则的引擎类型 规则名称 防护规则的描述信息。 防护类型 表示规则防御的Web攻击类型。 包括SQL注入、XSS、目录穿越、Java代码执行、PHP代码执行、ASP代码执行、通用代码执行、Java反序列化、PHP反序列化、本地文件包含、远程文件包含、文件上传、CSRF、SSRF、命令注入、信息泄露、模板注入、XML实体注入、Xpath注入、LDAP注入、自定义精准攻击、未知攻击。 CVE编号 防护规则对应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。对于非CVE漏洞，显示为空。 关联规则组数 显示对应规则所绑定的规则组数量。 7. 单击页面右上角的“规则更新状态”可查看内置规则的更新情况。

本文将为您介绍边缘云WAF提供的人机识别策略，精准命中爬虫流量，拦截各类恶意爬虫，守护网站业务安全。 功能介绍 边缘云WAF提供的人机识别支持Cookie挑战、跳转挑战、人机挑战等一系列反爬能力，帮助客户及时且精准地识别并拦截虚假流量，保障网站不受恶意爬虫攻击。 注意 目前控制台尚未开放人机识别功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见Bot管理计费。 人机识别功能说明 Cookie基础检测 注意 客户端标识检测：客户端标识检测是人机识别第一检测策略，将先一步校验Cookie挑战、人机挑战以及跳转挑战下发的cookie个数和完整性。无客户端标识、客户端标识缺失、客户端标识解析失败三种情况都需要配置。 无客户端标识。即针对请求没有cookie的情况进行处理 处理动作：拦截/告警/跳转/放行 拦截：拦截请求 告警：仅记录请求 跳转：GET请求启动302跳转策略，POST请求启动307跳转策略 放行：不对该异常做处理，另外不会再校验其他的BOT防护规则 统计粒度：静态cookie/IP+UA/IP 触发条件：达到触发条件的请求将对其执行处理动作，并支持配置处理动作持续时长（触发规则后的惩罚时间） 客户端标识缺失。即针对请求带回cookie个数小于下发的个数（最多会下发四个）进行处理 客户端标识解析失败。即针对失败解析cookie的情况下进行处理 其他字段： 客户端标识过期时间：默认15天,单位天,最大值365天 白名单：即例外条件，符合条件的请求不进行功能检测

本页介绍了天翼云关系型数据库MySQL参数模板应用记录的查看方法。 操作场景 参数模板编辑修改后，您可根据业务需要将其应用到对应实例中，MySQL支持查看参数模板所应用到实例的记录。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 参数模板，进入参数模板列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在参数模板列表上方，单击应用记录。 您可以查看所有的参数模板应用记录，包括实例名称、参数模板名称、参数模板应用状态等信息。

安全专区高级版支持进行网站漏洞扫描，分析网站安全问题。 功能说明 安全专区高级版支持进行网站漏洞扫描，分析网站安全问题。包括网站根域名、子域名漏洞扫描及其资产的风险状态和告警数量统计信息。 应用列表 1.进入【资产管理】→【域名】，通过域名对WEB资产进行安全状态管理。 2.可选择点击【根域名】和【子域名】进行分组查询和管理。 应用管理 新建应用域名 点击左上角【新建】，进行应用域名创建，填写域名、资产IP地址及选择域名类型。提交确定即可。 编辑应用域名 在域名操作栏，点击编辑及删除按钮，可对应用域名进行编辑或删除。 WEB漏洞扫描 在域名操作栏，点击【扫描】按钮，可对应用域名进行WEB漏洞扫描。选定多个域名，点击【快速扫描】按钮可进行批量扫描。 扫描任务完毕后，系统会自动更新域名漏洞数据及扫描时间。 点击任务的日志信息，可查看相关任务详情，例如具体终端IP地址、任务发生时间等。

配置JDBC连接（使用负载均衡方式） 背景信息 很多用户在使用JDBC连接集群时只连接集群的一个CN，这就导致单个CN压力较大并且别的CN资源浪费，并且这种方式还有单点故障导致连接不可用的风险。 用户可使用JDBC连接多个CN避免以上问题。主要有以下两种方式： 使用ELB连接集群：弹性负载均衡（ELB）是将访问流量根据转发策略分发到后端多台弹性云服务器的流量分发控制服务，可以通过流量分发扩展应用系统对外的服务能力，提高应用程序的容错能力。 使用multihost方式连接集群：使用JDBC配置多个节点的方式，也能实现类似ELB的效果。 方式一：使用ELB连接集群（推荐） 1. 获取弹性负载均衡地址。在控制台打开指定集群详情页面，获取弹性负载均衡IP。 2. 配置驱动。 3. 获取数据库连接。 private static final String USERNAME "dbadmin"; private static final String PASSWORD "password"; // jdbc:postgresql://ELBIP:PORT/dbName" private static final String URL "jdbc:postgresql://100.95.153.169:8000/gaussdb"; private static Properties properties new Properties(); static { properties.setProperty("user", USERNAME); properties.setProperty("password", PASSWORD); } / 获取数据库连接 / public static Connection getConnection() { Connection connection null; try { connection DriverManager.getConnection(URL, properties); } catch (SQLException e) { e.printStackTrace(); } return connection; } 方式二：使用multihost方式连接集群 1. 获取公网IP。打开控制台指定集群详情页面，获取弹性公网IP。 2. 配置驱动。 3. 获取数据库连接。 private static final String USERNAME "dbadmin"; private static final String PASSWORD "password"; // jdbc:postgresql://host1:port1,host2:port2/dbName" private static final String URL "jdbc:postgresql://100.95.146.194:8000,100.95.148.220:8000,100.93.0.221:8000/gaussdb?loadBalanceHoststrue"; private static Properties properties new Properties(); static { properties.setProperty("user", USERNAME); properties.setProperty("password", PASSWORD); } / 获取数据库连接 / public static Connection getConnection() { Connection connection null; try { connection DriverManager.getConnection(URL, properties); } catch (SQLException e) { e.printStackTrace(); } return connection; } 配置JDBC连接集群（使用IAM认证方式）

本节为您介绍云迁移服务CMS异构迁移组件应用程序任务搜索相关内容。 云迁移服务提供组件应用程序搜索功能，您可以在左侧导航栏选择迁移评估点击【异构评估】按钮，进入 [ 组件应用程序 ] 界面，选择检索时间或通过任务名称进行搜索，如图所示。

设置常用功能 提升操作效率、优化使用体验、聚焦核心需求 【操作步骤】： 1.在对话界面中常用功能管理的入口，点击进入功能管理界面； 2.拖动排序：在 “我的 AI 应用” 区域，可通过鼠标拖动应用卡片（如 PPT 生成、智能文件搜索等），调整它们的显示顺序，按需排列常用应用的优先级； 3.添加应用：在 “全部推荐 AI 应用分类” 区域，点击应用（如内容润色、智能阅卷、OCR 图片转文字）右侧的 “+” 按钮，可将该应用添加到 “我的 AI 应用” 列表中； 4.移除应用：在 “我的 AI 应用” 区域，点击应用卡片右上角的 “×” 按钮，可将该应用从常用列表中移除； 5.保存 / 取消设置：完成排序、添加或移除操作后，点击 “保存” 按钮可确认更改；若不想保存，点击 “取消” 按钮即可放弃当前操作。 语音输入 便捷交互：语音输入让手忙或打字慢者轻松与AI交流；无障碍沟通助力书写/视觉障碍用户；高效创作提升文本输入速度，如快记采访和创作点子。 【操作步骤】 1.进入输入界面：打开 AI 应用中心，进入与 AI 对话的主界面，点击语音输入按钮：在输入文本框的右侧，找到并点击 “语音输入” 按钮； 2.开始语音录制：点击后，会提示 “点击完成录制”，此时开始对着设备的麦克风清晰说出想要输入的内容，在说话过程中注意保持平稳语速和合适音量，确保语音内容能被准确识别 ； 3.结束语音录制：说完想要输入的内容后，再次点击语音输入按钮（此时按钮可能会显示为停止录制相关的提示 ），结束语音录制。系统会自动将语音内容转换为文字，并显示在文本输入框中。

设置常用功能 提升操作效率、优化使用体验、聚焦核心需求 【操作步骤】： 1.在对话界面中常用功能管理的入口，点击进入功能管理界面； 2.拖动排序：在 “我的 AI 应用” 区域，可通过鼠标拖动应用卡片（如 PPT 生成、智能文件搜索等），调整它们的显示顺序，按需排列常用应用的优先级； 3.添加应用：在 “全部推荐 AI 应用分类” 区域，点击应用（如内容润色、智能阅卷、OCR 图片转文字）右侧的 “+” 按钮，可将该应用添加到 “我的 AI 应用” 列表中； 4.移除应用：在 “我的 AI 应用” 区域，点击应用卡片右上角的 “×” 按钮，可将该应用从常用列表中移除； 5.保存 / 取消设置：完成排序、添加或移除操作后，点击 “保存” 按钮可确认更改；若不想保存，点击 “取消” 按钮即可放弃当前操作。 语音输入 便捷交互：语音输入让手忙或打字慢者轻松与AI交流；无障碍沟通助力书写/视觉障碍用户；高效创作提升文本输入速度，如快记采访和创作点子。 【操作步骤】 1.进入输入界面：打开 AI 应用中心，进入与 AI 对话的主界面，点击语音输入按钮：在输入文本框的右侧，找到并点击 “语音输入” 按钮； 2.开始语音录制：点击后，会提示 “点击完成录制”，此时开始对着设备的麦克风清晰说出想要输入的内容，在说话过程中注意保持平稳语速和合适音量，确保语音内容能被准确识别 ； 3.结束语音录制：说完想要输入的内容后，再次点击语音输入按钮（此时按钮可能会显示为停止录制相关的提示 ），结束语音录制。系统会自动将语音内容转换为文字，并显示在文本输入框中。

本文为您介绍如何通过Python客户端访问天翼云云搜索OpenSearch实例。 概述 Python 客户端（opensearchpy）是 OpenSearch 官方提供的库，可以用来与集群交互，支持数据查询、索引管理等操作，适合快速开发和轻量级应用。 前提条件 已开通天翼云云搜索服务 OpenSearch实例。 实例已绑定公网 IP。具体可参考“实例公网访问”章节。 已在本地安装 Python 3.x 版本。 已安装 OpenSearch 官方 Python 客户端库。 操作步骤 1. 安装Python客户端库： pip install opensearchpy 2. 使用以下代码连接到OpenSearch实例： from opensearchpy import OpenSearch 连接到 OpenSearch 集群 client OpenSearch( hosts[" httpauth(" ", " ") ) 3. 创建索引操作 client.indices.create(index"myindex", ignore400) host：集群绑定的公网 IP。 user：OpenSearch 集群用户名，例如 admin。 password：用户密码，例如 admin 用户的密码。 4. 执行查询操作： response client.get(index"myindex", id1) print(response)

4. 应用发布 配置完成后需要进行应用发布，如不发布应用版本，配置修改无效。 进入版本管理与发布界面，点击“创建版本”按钮，填写版本详情资料后点击“保存”后发布应用。 管理员创建飞书认证源 1. 添加认证源 登录花卷慧办工作台，进入扩展认证源列表，点击“添加认证源”，进行飞书认证源添加。 2. 选择认证源类型 根据需求，选择飞书认证源类型。 3. 配置认证源 选择飞书认证源类型，输入配置参数，完成飞书认证源配置。 配置参数说明： 参数 说明 认证源名称 必填，默认“飞书”，可修改，最长16个字。 AppID 必填，在飞书开放平台中的企业自建应用页面，查看创建的应用， 在应用详情中的凭证与基础信息页面获取应用App ID和App Secret。 AppSecret 必填，在飞书开放平台中的企业自建应用页面，查看创建的应用， 在应用详情中的凭证与基础信息页面获取应用App ID和App Secret。 登录模式 必填，以下两个模式进行选择一个： 登录注册：首次登录时校验该飞书账号是否已存在，不存在创建账号。 仅用于登录：只能登录既有账号，首次登录需要先与之前的账号绑定，账号密码为花卷慧办的账号密码，绑定后不再需要。 适用范围 必填，固定值，不提供配置，展示认证源适用的终端。 Logo 非必填，在认证源列表展示的Logo。

本节介绍应用市场开通与试用后的状态提示。 试用状态 开启试用后，在应用市场相关页面会出现试用提示栏。 注：应用市场试用时长为90天。 开通状态 尚未开通时，应用市场页面会提示需要开通。 开通后，在应用市场相关页面出现当前使用状况的提示栏。 部分功能为旗舰版专属，需开通旗舰版后方可使用。

本章节会介绍关系型数据库Mysql实例的使用规范 数据库实例 数据库实例是关系型数据库的最小管理单元。一个实例代表了一个独立运行的关系型数据库。您可以在一个实例中创建和管理多个数据库，并且可以使用与独立访问数据库实例相同的工具和应用进行访问。使用管理控制台或API可以方便地创建或者修改数据库实例。关系型数据库服务对运行实例数量没有限制，但每个数据库实例都有唯一的标识符。 数据库实例类型选择 主备 一主一备的经典高可用架构。适用于大中型企业的生产数据库，覆盖互联网、物联网、零售电商、物流、游戏等行业应用。 备机提高了实例的可靠性，创建主机的过程中，同步创建备机，备机创建成功后，用户不可见。 当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 单机 采用单个数据库节点部署架构，与主流的主备实例相比，它只包含一个节点，但具有高性价比。 适用于个人学习、微型网站以及中小企业的开发测试环境。 单机版出现故障后，无法保障及时恢复。 数据库连接 根据业务的复杂度，合理配置RDS for MySQL参数。 建议保持合理的活跃连接数。 避免长连接，长连接的缓存可能较大，导致内存不足，建议定期释放长连接。 可靠性和可用性 生产数据库的实例类型请选择主备类型。 选择主备实例时，建议主备可用区选择不同的可用区。 读写业务并发较高时，建议创建只读实例，并开启读写分离。 建议在业务低峰期执行规格变更。 业务上线前，对数据库进行评估，选择合适的规格和磁盘大小。 主实例扩容后请及时扩容只读实例，避免只读实例存储空间不足导致业务异常。

功能模块 权限名称 MySQLadmin MySQLuser MySQLreviewer 实例管理 RDS重启实例 Y Y 实例管理 RDS修改端口 Y Y 实例管理 RDS修改密码 Y 实例管理 RDS修改参数 Y Y 实例管理 RDS修改参数历史 Y Y 实例管理 RDS引擎列表 Y Y Y 实例管理 RDS查询实例id列表 Y Y Y 实例管理 RDS实例列表 Y Y Y 实例管理 RDS查询对象存储服务（已下线） Y Y Y 数据库管理 RDS数据库详情 Y Y Y 数据库管理 RDS创建数据库 Y Y 数据库管理 RDS查询数据库 Y Y Y 数据库管理 RDS查询字符集 Y Y Y 数据库管理 RDS删除数据库 Y Y 数据库管理 RDS修改数据库 Y Y 账号管理 RDS账号查询 Y Y Y 账号管理 RDS创建账号 Y 账号管理 RDS修改账号权限 Y 账号管理 RDS修改账号密码 Y 备份恢复 RDS创建备份 Y Y 备份恢复 RDS修改备份策略 Y Y 备份恢复 RDS时间点恢复实例 Y Y 备份恢复 RDS备份集恢复实例 Y Y 告警规则 RDS告警阈值 Y Y Y 告警规则 RDS告警规则修改 Y Y 日志中心 RDS开启审计 Y Y 日志中心 RDS审计日志 Y Y Y 日志中心 RDS慢日志 Y Y Y 日志中心 RDS错误日志 Y Y Y 参数组管理 RDS查询参数组列表 Y Y Y 参数组管理 RDS参数组名列表 Y Y Y 参数组管理 RDS复制参数组 Y Y 参数组管理 RDS参数组比较 Y Y Y 参数组管理 RDS应用参数组 Y Y 参数组管理 RDS参数组应用历史 Y Y Y 任务中心 RDS任务列表 Y Y Y 任务中心 RDS删除任务 Y 标签管理 RDS查询所有标签（已下线，后续将以新的策略替代） Y Y Y 标签管理 RDS查询标签（已下线，后续将以新的策略替代） Y Y Y 标签管理 RDS创建标签（已下线，后续将以新的策略替代） Y Y 标签管理 RDS修改标签（已下线，后续将以新的策略替代） Y Y 企业项目管理 企业项目查看 Y Y Y

软件资产的合规管控 服务器上运行着各种应用系统，应用系统由不同的开发框架、中间件和开发类库等组成。在企业的安全管理规范下，实施黑名单管控机制，有些框架、中间件不可使用。 使用服务器安全卫士的资产清点分级视图，找出不合规的软件资产。如Nginx版本号小于<1.10.3属于不合规版本。 快速定位受影响的资产 新的漏洞出来以后，没有PoC检测，也没有漏洞的编号，如何在企业范围内查找受影响的资产范围，即定位该漏洞的影响范围。 通过资产清点查找受影响的资产范围，进一步查询该资产的管理员信息，进行下一步处置动作。

本节主要介绍在OOS资源池所属地域内，如何实现客户内网访问OOS。 应用场景 企业存在大量的业务数据，并且随着数据增长，硬盘已无法满足大量的图片、视频等数据存取需求。希望使用天翼云海量、弹性的云存储服务OOS为数据存储资源池，以减轻服务器负担。 天翼云支持通过公网和内网两种网络访问OOS。当有存取对象数据的需求时，公网方式响应速度会因为网络质量而受到影响，读取数据还将收取一定的流量费用。为最大化的优化性能、节省开支，企业管理者希望通过内网的方式访问OOS。 说明 当通过内网访问OOS时，需要确保待访问的OOS资源池和客户的数据所在服务器处于同地域且已经通过专线互连，否则将采用公网访问。 前提条件 开通对象存储（经典版）Ⅰ型服务。 具体操作 1. 联系天翼云客服，咨询OOS资源池的专线网络打通情况，在确认存在内网访问的前提下，获取OOS资源池对应的内网地址。 2. 配置客户数据所在的服务器配置文件，将OOS的域名指向到该IP地址。以对象存储网络为例: Linux：在host文件（vim /etc/hosts ）添加一条映射： 192.x.x.x ooscn.ctyunapi.cn Windows:在host文件（C:WindowsSystem32driversetchosts）添加一条映射： 192.x.x.x ooscn.ctyunapi.cn 3. 在进行数据访问的时候，使用该OOS域名作为endpint地址，即可确保存取对象数据时通过内网访问，并且无需承担数据下载产生的流量费用。

Web应用防火墙（原生版） Web应用防火墙（原生版）（CTWAF，Web Application Firewall，简称WAF）基于三大引擎（安全模型检测引擎+智能语义检测引擎+机器学习检测引擎），结合设备指纹、无感验证码、动态人机挑战、动态环境验证、随机化混淆策略、AI驱动的实时决策等关键技术，支持多种常见编码自动还原能力，提供深度攻击防逃逸功能，构建完整的动态防御闭环，有效检测 SQL 注入、XSS 等基于形式语言的攻击类型，有效应对自动化工具、0day漏洞攻击等高风险威胁。打造专业的Web安全防护能力。可为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。更多信息请参考++Web应用防火墙++ 配置方式： 如果您拥有弹性IP、公网NAT网关、弹性负载均衡等网络资产，并需要进行公网流量出入的互联网边界防护需求，您可以在云防火墙的“互联网边界开关”页面将这些网络资产接入云防火墙，并配置相关的互联网边界访问控制规则。具体操作，请参见++防火墙开关互联网边界防火墙++、++访问控制配置互联网边界防护规则++ 如果您拥有对等连接、云间高速、云专线等网络资产，并需要针对内网互访进行VPC边界防护，您可以在云防火墙的“VPC边界开关”页面将内网互访流量接入云防火墙，并配置相关的VPC边界访问控制规则。具体操作，请参见++防火墙开关VPC边界防火墙++、++访问控制配置VPC边界防护规则++

本章介绍函数工作流如何配置委托权限。 概述 大部分场景下，FunctionGraph都需要与其他云服务协同工作，通过创建云服务委托，让FunctionGraph以您的身份使用其他云服务，代替您进行一些资源运维工作。 应用场景 若您在FunctionGraph服务中使用如下场景，请先配置委托权限，对应授权项参见下表进行选择。 常见授权项选择 场景 授权项 说明 使用自定义镜像 SWR Admin SWR Admin：容器镜像服务（SWR）管理员，拥有该服务下的所有权限。 如何创建自定义镜像，请参见 使用容器镜像部署函数。 挂载sfs turbo文件系统 SFS Administrator或Tenant administrator SFS Administrator：弹性文件服务（SFS）管理员，拥有该服务下的所有权限。 Tenant administrator：全部云服务管理员（除IAM管理权限），拥有该权限的用户可以对企业拥有的所有云资源执行任意操作。 挂载ECS共享目录 Tenant Guest及VPC Administrator Tenant Guest：全部云服务只读权限（除IAM权限）VPC Administrator：网络管理员需要给函数设置委托至少拥有Tenant Guest以及VPC Administrator权限。 配置跨域VPC访问 VPC Administrator 拥有VPC Administrator权限的用户可以对VPC内所有资源执行任意操作。 在函数配置跨VPC访问时，则函数必须配置具备VPC管理权限的委托。 创建委托 按照如下参数设置委托。 1. 登录统一身份认证服务（IAM）控制台。 2. 在统一身份认证服务（IAM）的左侧导航窗格中，选择“委托”页签，单击右上方的“+创建委托”。 创建委托 3. 开始配置委托。 填写基本信息 委托名称：serverlesstrust。 委托类型：选择“云服务”。 云服务：选择“函数工作流 FunctionGraph”。 持续时间：选择“永久”。 描述：填写描述信息。 4. 单击“下一步”，进入委托选择页面，在右方搜索框中搜索需要添加的权限并勾选。此处以添加Tenant Administrator权限为例。 选择策略 委托权限示例 权限名称 使用描述/场景 Tenant Administrator 全部云服务管理员（除IAM管理权限），拥有该权限的用户可以对企业拥有的所有云资源执行任意操作。 5. 单击“下一步”，选择权限的作用范围。

RPS RPS是指性能测试在统计周期内每秒发送到被测服务器的请求数实时统计，RPS统计周期内发送的请求数/统计周期。 VUM VUM指的是任务对资源的消耗数，计算公式为VUM VU（虚拟并发用户数） M（分钟）。 带宽 记录压测任务运行所消耗的实时带宽变化。上行带宽指从CPTS测试执行机往外发送出去数据的速度；下行带宽指CPTS测试执行机接收到数据的速度。 响应时间 指从客户端发一个请求开始计时，到客户端接收到从服务器端返回的响应结果结束所经历的时间。 响应超时 在设置的响应超时时间内（默认5s），对应的TCP连接中没有响应数据返回，为响应超时。出现原因一般是被测服务器繁忙、崩溃、网络带宽被占满等。 校验失败 从服务器返回的响应报文不符合预期（针对HTTP/HTTPS默认的预期响应码为200），比如服务器返回404、502等。出现原因一般为高并发情况下被测服务无法正常处理导致的，如分布式系统中数据库出现瓶颈、后端应用返回错误等。 解析失败 响应报文已全部接收完成，但是部分报文丢失导致整个事务响应不完整，这种情况一般需要考虑网络丢包。

命名空间配置项用于存储应用运行所需的各种配置信息。通过配置项，用户可以灵活管理应用在容器中的运行环境，支持多种注入方式： 环境变量：配置项可在容器中作为环境变量使用，方便在应用部署后随时调整配置。 命令行参数：可通过启动命令将配置项传入应用，实现即时配置。 挂载配置文件 ：配置项可写入文件并挂载到容器中，便于集中管理和动态更新配置。 本章节将详细说明如何在云应用引擎控制台中创建命名空间的配置项，并展示如何在应用中使用这些配置，实现高效的配置管理与灵活部署。 功能入口 创建配置项 1. 登录云应用引擎控制台。 2. 在左侧导航栏单击“配置管理”>“配置项”，进入配置管理页面。 3. 单击“创建”，在右侧弹出的创建配置项面板，根据下表说明完成参数配置，然后单击“确认”。 使用表单创建 配置项 说明 示例 所属命名空间 ConfigMap所属的命名空间，仅在该命名空间内有效 默认 配置项名称 自定义的配置项名称 test 配置项描述 对配置项的文字说明，便于识别和管理 这是一个测试 ConfigMap 配置映射 单击“使用表单添加变量”，在对话框中输入变量名和变量值 变量名：env 变量值：test

本文简述如何通过诊断工具查询指定IP是否为天翼云CDN节点IP以及对应归属地。 功能介绍 天翼云全站加速服务提供IP归属查询工具，您可以使用该工具检测某IP地址是否为天翼云CDN节点IP，同时获取IP归属地。 应用场景 场景一：配置全站加速服务后，可通过该工具验证客户端的请求是否成功到达天翼云CDN节点IP。如果不是天翼云CDN节点IP，则代表配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的网站访问异常时，可通过该工具查询用户访问的IP是否为天翼云CDN节点IP，来排查网站访问异常的原因。如果IP地址是天翼云CDN节点IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云CDN节点IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 诊断工具说明 1. 登录客户控制台。 2. 单击左侧导航栏【诊断工具】，进入【IP归属查询】页面，输入查询的地址。 3. 输入查询后将显示该地址是否为天翼云CDN节点以及对应归属地。 说明 查询IP为天翼云CDN节点IP，验证结果显示为CDN节点，显示IP归属地。 查询IP不为天翼云CDN节点IP，验证结果显示为不是CDN节点，IP归属地未知。

本文介绍弹性容器实例ECI的功能特性。 容器运行服务 弹性容器实例是一种敏捷安全的Serverless容器运行服务。每个ECI实例都对应一个容器组（即一个Pod），其中包含vCPU、内存、操作系统、容器运行时、网络和临时存储等基础组件。 Serverless 使用ECI实例，您只需要提供打包好的镜像，即可运行容器应用，无需关注底层基础架构的管理和运维问题。 自定义规格 ECI实例支持多种类型的计算资源来运行容器，您可以指定实例级别或容器级别的vCPU和内存，以及指定规格满足特殊业务需求。 按量计费 支持一站式管理ECI实例的生命周期，按照实际实例运行时长内消耗的资源计费。 秒级弹性伸缩 ECI实例具备秒级启动的能力，可以快速完成扩缩容操作，满足业务实时响应的需求。 镜像缓存 支持使用镜像缓存功能来加速ECI实例创建，减少实例启动耗时。 兼容Kubernetes 通过 Virtual Kubelet 技术，弹性容器实例ECI 可以接入 Kubernetes 集群的虚拟节点，实现集群的弹性扩容，无需受限于节点的计算容量。在 ECI 接管 Pod 容器底层基础设施管理工作之后，Kubernetes 将不再需要直接管理单个 Pod 的启动、放置等工作，也不再需要关注底层虚拟机的资源情况，相应的资源将由 ECI 确保随时可用。 目前，ECI 已无缝集成到Serverless容器引擎SCE产品中，您可以通过Serverless容器集群快速体验ECI的强大容器运行能力。

云应用引擎（CAE）提供了一套完整的 OpenAPI 接口，涵盖应用生命周期管理、配置管理、监控运维等核心功能，支持开发者通过API方式实现应用的自动化部署和运维管理。

本章节主要介绍了如何通过JDBC连接池与DRDS对接，实现数据操作。 应用连接池选择 连接资源是数据库中非常宝贵及有限的资源，应用并发量很大时，如果没有连接池，会占用大量的数据库的连接，导致后端数据库连接不足，无法正常提供服务，我们建议应用使用连接池来完成连接工作。在java中，推荐HikariCP作为应用连接池。 JDBC约束 不支持 rewriteBatchedStatementstrue 参数设置(默认为 false)。 BLOB, BINARY, VARBINARY 字段不能使用 setBlob() 或 setBinaryStream() 方法设置参数 。 操作步骤 1. 在控制台创建表并配置分片规则，参考建表DDL如下。 json create table if not exists enumtable( id int not null, code int not null, content varchar(250) not null, primary key(id) )engineinnodb charsetutf8; 2. 配置依赖。 json com.zaxxer HikariCP 4.0.3 3. 配置JDBC连接池参数。 yaml > 4. 连接DRDS实例执行相关sql。 json import com.zaxxer.hikari.HikariDataSource; import org.springframework.context.ApplicationContext; import org.springframework.context.support.ClassPathXmlApplicationContext; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; public class JDBCTest { public static void main(String[] args) throws SQLException { ApplicationContext app new ClassPathXmlApplicationContext("application.xml"); HikariDataSource dataSource (HikariDataSource) app.getBean("dataSourceHikari"); Connection conn null; try { conn dataSource.getConnection(); //开启事务 conn.setAutoCommit(false); // 插入测试数据 PreparedStatement ps1 conn.prepareStatement("insert into enumtable (id,code,content) values (?,?,?);"); ps1.setInt(1, 1); ps1.setInt(2, 1001); ps1.setString(3, "测试数据"); ps1.executeUpdate(); conn.commit (); //查询条件带上分片键或切片索引键，否则语句将广播执行 PreparedStatement ps2 conn.prepareStatement("SELECT FROM enumtable WHERE id ?"); ps2.setInt(1, 1); ResultSet rs ps2.executeQuery(); rs.next(); String space ""; for (int i 1; i < rs.getMetaData().getColumnCount(); i++) { System.out.print(space + rs.getMetaData().getColumnName(i) + " " + rs.getString(i)); space ", "; } } catch (Exception e) { e.printStackTrace(); } finally { if (conn ! null) { conn.close(); } } } }

web应用防火墙支持的加密算法套件描述 在使用过程中，需要Web业务管理员将Web服务的证书及对应的私钥导入到Web应用防火墙中，从而实现客户对Web业务的安全访问。证书加密的方式主要通过加密套件对所传输的信息进行加密，Web应用防火墙支持的加密算法套件及协议如下表： OpenSSL名称 RFC名称 TLS支持的版本 ECDHEECDSAAES128GCMSHA256 TLSECDHEECDSAWITHAES128GCMSHA256 TLS1.2 ECDHEECDSAAES256GCMSHA384 TLSECDHEECDSAWITHAES256GCMSHA384 TLS1.2 ECDHEECDSAAES128SHA256 TLSECDHEECDSAWITHAES128CBCSHA256 TLS1.2 ECDHEECDSAAES256SHA384 TLSECDHEECDSAWITHAES256CBCSHA384 TLS1.2 ECDHERSAAES128GCMSHA256 TLSECDHERSAWITHAES128GCMSHA256 TLS1.2 ECDHERSAAES256GCMSHA384 TLSECDHERSAWITHAES256GCMSHA384 TLS1.2 ECDHERSAAES128SHA256 TLSECDHERSAWITHAES128CBCSHA256 TLS1.2 ECDHERSAAES256SHA384 TLSECDHERSAWITHAES256CBCSHA384 TLS1.2 AES128GCMSHA256 TLSRSAWITHAES128GCMSHA256 TLS1.2 AES256GCMSHA384 TLSRSAWITHAES256GCMSHA384 TLS1.2 AES128SHA256 TLSRSAWITHAES128CBCSHA256 TLS1.2 AES256SHA256 TLSRSAWITHAES256CBCSHA256 TLS1.2 ECDHEECDSAAES128SHA TLSECDHEECDSAWITHAES128CBCSHA TLS1.0 TLS1.1 TLS1.2 ECDHEECDSAAES256SHA TLSECDHEECDSAWITHAES256CBCSHA TLS1.0 TLS1.1 TLS1.2 ECDHERSAAES128SHA TLSECDHERSAWITHAES128CBCSHA TLS1.0 TLS1.1 TLS1.2 ECDHERSAAES256SHA TLSECDHERSAWITHAES256CBCSHA TLS1.0 TLS1.1 TLS1.2 AES128SHA TLSRSAWITHAES128CBCSHA TLS1.0 TLS1.1 TLS1.2 AES256SHA TLSRSAWITHAES256CBCSHA TLS1.0 TLS1.1 TLS1.2 DESCBC3SHA TLSRSAWITH3DESEDECBCSHA TLS1.0 TLS1.1 TLS1.2 TLSAES128GCMSHA256 TLSAES128GCMSHA256 TLS1.3 TLSAES256GCMSHA384 TLSAES256GCMSHA384 TLS1.3 TLSCHACHA20POLY1305SHA256 TLSCHACHA20POLY1305SHA256 TLS1.3 ECDHESM2SM4GCMSM3 ECDHESM4GCMSM3 TLS1.1 ECDHESM2SM4CBCSM3 ECDHESM4CBCSM3 TLS1.1 ECCSM2SM4CBCSM3 ECCSM4CBCSM3 TLS1.1 ECCSM2SM4GCMSM3 ECCSM4GCMSM3 TLS1.1 RSASM4CBCSM3 RSASM4CBCSM3 TLS1.1 RSASM4GCMSM3 RSASM4GCMSM3 TLS1.1 RSASM4CBCSHA256 RSASM4CBCSHA256 TLS1.1 RSASM4GCMSHA256 RSASM4GCMSHA256 TLS1.1 注意 证书主要指HTTPS访问请求所使用的证书，通过使用HTTPS证书能够保证用户请求的安全性。 证书的主要原理是，用户请求通过第三方颁发的可信证书中的公钥对会话进行加密和签名，从而保证用户本身的信息以及用户所访问服务器的安全性，服务器端接收到用户通过公钥加密发送的请求和签名后，再通过私钥进行解密，从而验证用户本身的安全性。 Web应用防火墙通过导入所防护域名的证书和私钥，是需要作为一个中间人对用户的会话进行安全验证，同时还需要将用户请求通过安全的方式发送回服务端从而保证整个访问业务链路的安全。