操作步骤 1. 在应用卡片右上角单击“操作”，在下拉菜单中选择“编辑”。 2. 在弹出的“编辑应用”对话框中，可修改应用名称、启用状态、关联的代答库与词库。 3. 编辑界面中同时显示该应用的 APP CODE、公钥和私钥（脱敏展示，可单击“查看”），开发人员可在此获取 API 调用所需的凭证信息。 4. 修改完成后单击“确认”保存。

开启动态网页防篡改 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为，若您在开启防护时未开启动态网页防篡改，您可以在此处开启。 约束限制 仅支持开启网页防篡改版防护后才支持防篡改相关操作。 前提条件 主机为Linux操作系统。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在“主动防御 > 网页防篡改 > 防护配置”页面，单击目标服务器“操作”列的“防护设置”，进入“防护设置”页面。 进入防护配置 5、进入“防护设置”页面，在“动态网页防篡改”栏，单击开启动态网页防篡改。 开启动态网页防篡改 6、在弹出的开启动态网页防篡改页面中，设置“Tomcat bin目录”。开启动态网页防篡改需先设置Tomcat bin目录，系统会将setenv.sh脚本预置在bin目录中，用于设置防篡改程序的启动参数。开启动态网页防篡改之后需要重启Tomcat才能生效。 7 、单击“确认”，开启动态网页防篡改。 查看网页防篡改报告 开启网页防篡改防护后，主机安全服务将立即对您添加的防护目录执行全面的安全检测。您可以查看主机被非法篡改的详细记录。

开启动态网页防篡改 动态网页防篡改提供tomcat应用运行时自我保护，能够检测针对数据库等动态数据的篡改行为，若您在开启防护时未开启动态网页防篡改，您可以在此处开启。 约束限制 仅支持开启网页防篡改版防护后才支持防篡改相关操作。 前提条件 主机为Linux操作系统。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在“主动防御 > 网页防篡改 > 防护配置”页面，单击目标服务器“操作”列的“防护设置”，进入“防护设置”页面。 进入防护配置 5、进入“防护设置”页面，在“动态网页防篡改”栏，单击开启动态网页防篡改。 开启动态网页防篡改 6、在弹出的开启动态网页防篡改页面中，设置“Tomcat bin目录”。开启动态网页防篡改需先设置Tomcat bin目录，系统会将setenv.sh脚本预置在bin目录中，用于设置防篡改程序的启动参数。开启动态网页防篡改之后需要重启Tomcat才能生效。 7 、单击“确认”，开启动态网页防篡改。 查看网页防篡改报告 开启网页防篡改防护后，主机安全服务将立即对您添加的防护目录执行全面的安全检测。您可以查看主机被非法篡改的详细记录。

本节介绍如何查看预定义地址组。 云防火墙为您提供预定义地址组，包括“NAT64转换地址组”和“WAF回源IP地址组”，两个地址组均建议您放行。 NAT64转换地址组：开启弹性公网IP（EIP）服务的IPv6转换功能后，云防火墙接收到对应IPv6流量的源IP地址会被转换为当前地址组中的IP。 说明 如果您开启了弹性公网IP（EIP）服务的IPv6转换功能，建议放行“NAT64转换地址组”。 WAF回源IP地址组：提供Web应用防火墙（WAF）服务云模式的回源IP地址。 注意 引用至防护规则，如果回源IP改变，无需手动修改，防火墙每天自动更新地址组中的IP地址。 添加至黑/白名单，如果回源IP改变，您需手动修改对应黑/白名单中的IP地址。 预定义地址组仅支持查看，不支持添加、修改、删除操作。 查看预定义地址组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 在“IP地址组”页签，选择“预定义地址组”页签，单击目标地址组的名称，进入详细信息页面，查看地址组信息。

本文主要介绍镜像服务最佳实践汇总。 本文汇总了基于镜像服务常见应用场景的操作实践，每个实践为您提供详细的方案描述和操作指导，帮助您轻松构建基于镜像的相关业务。 最佳实践 说明 基于VirtualBox使用ISO创建Windows镜像 本章节主要介绍基于VirtualBox制作Windows镜像。 包括安装VirtualBox，并基于VirtualBox使用ISO创建虚拟机，完成虚拟机配置后生成vhd格式镜像。 基于VirtualBox使用ISO创建Linux镜像 本章节主要介绍基于VirtualBox制作Linux镜像。 包括安装VirtualBox，并基于VirtualBox使用ISO创建虚拟机，完成虚拟机配置后生成vhd格式镜像。 Windows操作系统云主机磁盘空间清理 本章节操作指导您完成Windows操作系统云主机磁盘空间清理。 转换镜像格式 本章节操作指导您使用qemuimg工具转换镜像格式。 qemuimg工具支持vhd、vmdk、qcow2、raw、vhdx、qcow、vdi或qed格式的镜像之间相互转换。 利用ISO为镜像配置本地源 本章节介绍了yum、apt和zypper包管理器下配置本地源的方法， 并提供了Debian 10.1.0和CentOS 8.0的配置示例。 跨帐号迁移业务数据（只迁移数据盘） 用户的业务数据一般保存在数据盘中，要想实现业务数据跨帐号迁移， 需要用到镜像服务的创建数据盘镜像、共享镜像等功能。 本章节为您详细介绍跨帐号迁移业务数据的操作流程。 跨帐号迁移业务数据（迁移系统盘+数据盘） 如果您的业务数据同时保存在数据盘和系统盘中，要想实现业务数据跨帐号迁移， 需要用到镜像服务的创建整机镜像、共享镜像等功能。 本节操作为您详细介绍跨帐号迁移业务数据（包括系统盘和数据盘数据）的操作流程。

本文为您介绍云硬盘的磁盘模式以及不同磁盘模式的主要应用场景以及使用注意事项。 磁盘模式的定义与分类 云硬盘的磁盘模式分为三种，分别是： VBD（Virtual Block Device）：虚拟块存储设备。 SCSI （Small Computer System Interface）：小型计算机系统接口。 FCSAN（Fibre Channel SAN）：光纤通道协议的SAN网络。 根据其是否支持高级的SCSI命令来判断划分磁盘模式。其中，VBD为默认模式，相较于SCSI，只支持较简单的读写命令。而SCSI类型的磁盘则可以提供一些高级特性，如命令队列、多点访问、热插拔等，支持更高级的SCSI指令。 磁盘模式在订购完成后不能修改，在购买时请谨慎选择。 说明 FCSAN协议仅支持物理机使用，当前仅支持在上海7开通。 VBD模式是所有资源池默认的磁盘模式。 选择的资源池和磁盘类型同时决定了创建的云硬盘是否支持SCSI模式，逻辑如下： HDD磁盘选择SCSI模式的资源池为：拉萨3/西南2贵州/西宁2/庆阳2/呼和浩特3。 SSD磁盘选择SCSI模式的资源池为：西南2贵州/庆阳2/呼和浩特3/华北2/郑州5/上海36/西南1/西宁2。 不同磁盘模式的主要应用场景 VBD模式：作为云硬盘的默认磁盘模式，VBD可以应用于绝大多数业务场景，作为云主机的驱动器，提供持久化存储，用于操作系统、应用程序和数据的安装和存储，也可以作为数据库服务器的存储设备等等。 SCSI模式：天翼云共享盘需要在集群环境下使用，多数集群在配置使用过程中是需要使用SCSI锁的，例如Windows MSCS集群等，因此在集群应用场景中推荐使用SCSI模式共享盘。 FCSAN模式：目前仅支持物理机使用。

本节介绍创建定时伸缩任务。 前置条件 1、已有推理应用，且状态为Running。 操作步骤 1、套件控制台 > AI 应用列表 > 在线推理。 2、点击推理应用名称，进入某个推理应用详细页面 > 【动态伸缩】页面。 3、点击【创建定时伸缩】，需要填的参数： 任务名称：伸缩任务的名称，具有唯一性。 目标副本数：伸缩任务的目标实例数。 执行策略：伸缩任务的 Cron 表达式。 是否立即启用：默认勾选，表示当前任务立即生效。 4、点击确定，即创建完成推理应用定时伸缩任务，后续可以在伸缩任务列表页查看。

本节介绍如何检测并修复服务器上存在的弱口令、基线风险、漏洞。 弱口令、基线风险、漏洞常被攻击者利用然后入侵服务器，提前识别并修复相关风险可降低服务器被入侵的风险。 服务器安全卫士（原生版）提供弱口令检测、基线检测、漏洞扫描功能，可以快速识别出服务器上存在的风险。 检测并修复弱口令 检测弱口令 ：您可以根据需要开启定时弱口令检测、或执行一键检测。详细操作请参见弱口令检测。弱口令检测支持对系统弱口令和应用弱口令进行检测。 修复弱口令：您可以根据检测出的弱口令对应的服务器、用户名等信息，修复弱口令。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 弱口令检测”，进入弱口令检测页面。 3. 在弱口令检测页面查看当前存在的弱口令。页面下方展示最新一次检测完成的弱口令列表，分别按系统弱口令和应用弱口令进行展示。 检测结果包括影响服务器、用户名、弱口令类型、密码值、发现时间、最后更新时间。 4. 根据检测出的弱口令对应的服务器、用户名等信息，登录服务器修改弱口令。 弱口令修复完成后，建议您立即重新执行弱口令检测，验证修复结果。

本文介绍了镜像p2p加速分发的用户指南。 概述 镜像 P2P 加速功能利用集群节点的带宽资源，在节点之间进行镜像分发，减少对容器镜像服务的压力，可以大幅提升镜像拉取速度，减少应用部署时间。 前置条件 安装 cubep2pacceleration 插件。 集群所使用的容器运行时为 containerd，且 containerd版本不低于1.6。 已创建容器镜像服务企业版实例。 使用步骤 安装插件 安装 cubep2pacceleration插件，目前有两种方式： 1. 登陆云容器引擎控制台，在 "插件" "插件市场" 中找到 cubep2pacceleration插件并安装。 2. 使用helm部署，参考命令： plaintext helm install RELEASENAME set keyvalue namespace kubesystem 重点推荐方式1。 配置参数 crsRegistries参数配置用户使用的容器镜像服务的内网实例地址，可配置多个，注意需要指定https协议。 注意 需要将样例修改为实际的实例地址，若实例地址配置不正确，则P2P加速插件无法加速对应的镜像拉取过程。 plaintext crsRegistries: " " persistence参数配置数据存储。 persistence.nodeNames指定集群中若干节点的名称用于进行本地数据存储，建议设置5个。 persistence.directoryPath指定节点本地的数据存储目录路径，每个节点目录空间不小于8G。 注意 需要将样例修改为实际的节点名称，否则会导致插件安装失败。 若指定节点发生故障，会影响P2P加速插件功能。 plaintext persistence: nodeNames: "ccsenodename1" "ccsenodename2" "ccsenodename3" "ccsenodename4" "ccsenodename5" directoryPath: /p2pdata P2P加速插件默认会占用每个节点的65001和40901端口进行请求代理和健康检查，可通过 proxyPort 和 healthCheckPort 参数修改对应端口。 plaintext 代理端口 proxyPort: 65001 健康检查端口 healthCheckPort: 40901

参数 说明 APPKey 申请短信应用后，输入短信应用的APPKey。 APPSecret 申请短信应用后，输入短信应用的APPSecret。 APP接入地址 申请短信应用后，输入短信应用的APP接入地址。 通道号 申请短信签名后，输入短信前面通道号。 模板ID 申请短信模板后，输入短信模板的ID。 测试手机号 输入可用手机号码，验证短信内容。

本节介绍如何创建vLLM GPU多机推理任务。 本示例基于 vLLM 推理框架，选用 deepseekr1distillqwen7b 模型进行多机部署。整体部署 1 个推理应用实例，由 1 个 master + 1 个 worker 角色组成，每个角色占用 1 张 GPU 卡，因此本任务共使用 2 张 GPU 卡，用于验证模型在多机环境下的推理能力。 前置条件 1. 确认智算套件已经安装并且全部运行中。 2. 进入智算套件 > AI应用管理 > 队列管理，确保队列存在并且有足够的资源(GPU,CPU,内存) [参考创建队列的文档]。 操作步骤 创建应用 1. 进入智算套件 > AI应用列表 > 在线推理菜单，创建AI应用。 基本信息 应用类型：vLLM 应用数：1 配置信息 推理类型选择多机，推理框架、框架版本、推理模型、模型版本根据实际情况选择即可。简单的示例： 推理框架：nvidiavllm 框架版本：v0.11.2 推理模型：deepseekr1distillqwen7b 模型版本：v1 队列：选择存在且资源足够的的队列

本节主要介绍设置资源监控告警阈值 当您需要对某些资源进行重点监控并在异常情况下及时响应时，可在日常运维中对这些重点资源的指标创建阈值规则，以便您在第一时间发现异常并进行处理。 在已设的连续周期内，当指标数据满足阈值条件时，系统会发送阈值告警。 在已设的连续周期内，当没有指标数据上报时，系统会发送数据不足事件。 设置阈值规则 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”，可查看到所有应用。 2、单击应用名称，进入到应用“概览”页。 3、在“环境视图”页签，选择“环境”，可以看到已经部署在该环境下的应用组件。 4、单击应用组件名称，进入应用组件实例“概览”页。 5、选择“阈值告警 > 阈值规则设置”，参考表1设置阈值规则参数信息。其中带“”标志的参数为必填参数。 表 阈值规则参数说明 参数 说明 :: 阈值名称 阈值规则的名称。命名必须唯一，且创建后不能再修改。 描述 描述信息。 统计方式 指标数据按照所设置的统计方式进行聚合。 统计周期 指标数据按照所设置的统计周期进行聚合。 选择指标 选择需要监控的指标。 阈值条件 阈值告警的触发条件，由判断条件（>、 、 80”，表示指标的实际值大于等于已设置的阈值80时，系统将产生阈值告警。 连续周期 连续多少个周期满足阈值条件后，发送阈值告警。 告警级别 阈值告警的级别。 6、单击“确定”。

应用性能监控APM探针在应用运行时进行字节码增强，实现应用性能管理能力。与其他通过字节码增强技术实现的性能管理方案一样，APM探针会带来一定的应用性能开销，您可以参考本篇分析报告，在接入ARMS应用监控前，基于性能影响进行充分的评估。 测试用例 机器类型: CTyunOS V4.0 25.07 64 位,2C4G 测试时长：10分钟 jvm参数：Xms3500m Xmx3500m XX:MetaspaceSize500m 测试场景：整体架构如下图所示 Java应用基于Spring MVC框架编写，包含 Spring Boot、Spring MVC，Jedis，HikariCP 连接池，每次请求产生5个span（1个 Tomcat 调用、1个 Spring MVC 框架调用、2个 Redis 请求和1个 MySQL 请求），每次请求会随机sleep 2040ms。 基线性能 在不接入 APM 的情况下，性能表现如下： 业务流量（TPS） CPU 利用率 内存利用率 平均响应时间（ms） 500 9.5% 79% 30 1000 15.5% 79% 30 2000 26.5% 80.15% 30 安装探针后的性能指标 应用接入 APM 后，性能表现如下： 业务流量（TPS） CPU 利用率 内存利用率 平均响应时间（ms） 500 25.3% 82% 31 1000 40.1% 82.2% 31.1 2000 66.5% 83.4% 31.2

本节介绍更新定时伸缩任务。 前置条件 1、已有推理应用，且状态为Running。 2、推理应用有关联的定时伸缩任务。 操作步骤 1、套件控制台 > AI 应用列表 > 在线推理。 2、进入某个推理应用详细页面 > 【动态伸缩】页面。 3、选择要更新的伸缩任务，点击右侧的更新操作，可以更新目标实例数和执行策略。 注意 任务名称不可更新。 4、更新完成后，将会应用新的配置，如下，将目标实例数由原来的2更新到5。

本章节主要介绍如何创建Vhost。 操作场景 每个Vhost（Virtual Hosts）相当于一个相对独立的RabbitMQ服务器。Vhost用作逻辑隔离，分别管理Exchange、Queue和Binding，使得应用安全地运行在不同的Vhost上，相互之间不会干扰。一个实例下可以有多个Vhost，一个Vhost里可以有若干个Exchange和Queue。生产者和消费者连接RabbitMQ实例时，需要指定一个Vhost。Vhost的相关介绍，请参考官网文档Virtual Hosts。 本章节主要介绍创建Vhost的操作，有以下几种方式，您可以根据实际情况选择任意一种方式： 方式一：在控制台创建 方式二：使用RabbitMQ WebUI创建 方式三：调用API创建 方式一：在控制台创建 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 此处请选择RabbitMQ实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”>“分布式消息服务”>“RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 步骤 4 单击实例名称，进入实例详情页面。 步骤 5 在左侧导航栏选择“Vhost列表”，进入Vhost列表页面。 步骤 6 单击“创建Vhost”，弹出“创建Vhost”对话框。 步骤 7 设置Vhost的名称，单击“确定”。 创建成功后，在Vhost列表页面显示创建成功的Vhost。 图1 Vhost列表（控制台） “tracing”表示是否开启消息追踪功能。开启消息追踪后，您可以跟踪消息的转发路径。 说明 Vhost创建成功后，无法修改名称。 实例创建后，会自动创建一个名为“/”的Vhost。

本文介绍如何使用ECX部署OpenClaw,配置大模型服务并使用WebUI进行配置管理。 部署OpenClaw 1、登录++智能边缘云控制台++。 2、进入应用市场，选择OpenClaw并部署。 点击【开始部署】。 就近选择云主机地域可用区，实例规格选择通用计算型，建议规格至少为s6.large.2（2vCPU，4GB内存）。 镜像选择：镜像已经默认选中，勾选镜像协议；系统盘容量不低于40GB，建议100GB及以上。 网络配置按需选择新购买公网IP，公网带宽上限至少为5Mbps。若无可用VPC，可点击前往VPC和子网自助创建后，点击刷新图标更新信息。（如果需要通过本地浏览器访问OpenClaw WebUI控制台或者配置企业微信频道，那么一定需要绑定公网IP） 点击安全组管理，新建安全组。 其中入方向放通0.0.0.0/0 22、0.0.0.0/0 18789，出方向全放通。 确认信息无误，勾选协议并提交。 点击立即支付，完成订单支付。 支付成功后，点击控制台，进入边缘虚拟机控制台，刷新页面可看到刚刚创建的部署了OpenClaw的虚拟机。 3、当虚拟机运行状态为“运行中”，登录虚拟机，执行如下命令，查看OpenClaw服务运行状态，确认其是否正常启动。 shell systemctl user status openclawgateway.service 若显示服务状态为active（running），证明OpenClaw服务已经正常启动。

在监控Node.js应用之前,您需要通过客户端将应用数据上报至APM服务端。本文介绍了如何通过OpenTelemetry将Node.js Express应用接入APM。 前提条件 完成vpce接入。 接入步骤 1.引入相关依赖。 plaintext npm install save @opentelemetry/api npm install save @opentelemetry/autoinstrumentationsnode npm install save @opentelemetry/sdknode 2.查看接入点信息。 应用列表的接入指引会根据您所在资源池提供“通过 HTTP 上报数据”和“通过 gRPC 上报数据”的ENDPOINT(天翼云vpc网络接入点)、鉴权TOKEN信息。 3.server 端上报示例。 请将url和token替换成第2步中获取的接入点信息。 编写以下 server 端代码，保存为 nodejsdemoserverotel.js 文件。 plaintext const express  require('express') const app  express() const port  3000 app.get('/', (req, res) > {   console.log('received request')   res.send('Hello World!') }) app.listen(port, () > {   console.log(server running at  }) 运行 server 端代码（Mac/Linux 系统）。 plaintext export OTELTRACESEXPORTERotlp export OTELEXPORTEROTLPENDPOINT export OTELEXPORTEROTLPPROTOCOLgrpc export OTELEXPORTEROTLPHEADERS"xctgauthorization " export OTELSERVICENAMEnodejsdemoserverotel export NODEOPTIONS"require @opentelemetry/autoinstrumentationsnode/register" node ./nodejsdemoserverotel.js 运行 server 端代码（Windows 系统、PowerShell）。 plaintext $env:OTELTRACESEXPORTER"otlp" $env:OTELEXPORTEROTLPENDPOINT" " $env:OTELEXPORTEROTLPPROTOCOL"grpc" $env:OTELEXPORTEROTLPHEADERS"xctgauthorization " $env:OTELSERVICENAME"nodejsdemoserverotel" $env:NODEOPTIONS"require @opentelemetry/autoinstrumentationsnode/register" node ./nodejsdemoserverotel.js 4.client端上报示例。 编写以下 client 端代码，保存为 nodejsdemoclientotel.js 文件。 plaintext import('nodefetch').then(async ({ default: fetch }) > {   const response  await fetch('   const data  await response.text()   console.log(data) }) 运行 client 端代码。 plaintext node ./nodejsdemoclientotel.js 5.通过以上步骤即可在控制台查看接入的Node.js应用。

本文介绍授权概述。 概述 根据权限类型，分布式容器云平台 CCE One的权限包括资源委托权限、IAM策略权限和实例RBAC权限。您需要为服务账号授予对应的权限，才能正常使用分布式容器云平台的功能。本文将为您介绍资源委托权限、IAM策略权限和实例RBAC权限关系，以及如何为服务账号授予相应权限。 权限类型 权限类型 是否必须授权 权限说明 资源委托 首次使用CCE One服务时需要授权，使用天翼云账号（主账号，或者具有管理员权限的子账号）授权一次即可。 授权后，CCE One服务才能正常访问其他关联云资源，并正常运行。 IAM策略 主账号无需额外授权，IAM子账号必须授权；基于IAM策略权限，可设置子账号使用分布式容器云平台CCE One的相关接口权限以及实例权限。 授权后，IAM子账号才能正常使用CCE One产品功能，或具备管理某些特定实例生命周期的权限。 实例RBAC 主账号及实例创建账号（若为子账号）无需额外授权；其他子账号必须授权； 授权后，IAM子账号才能对CCE One相关注册集群及联邦实例内的容器资源进行操作；前提条件是，该IAM子账号需要已具备相关实例的IAM读权限。 资源委托 资源委托是云服务在特定情况下，因为运行逻辑/功能需要而获取其他云服务访问权限的IAM角色。例如，CCE One上创建三方注册集群代理HUB或创建集群联邦控制面实例时，需要创建弹性负载均衡ELB以及弹性IP，因此需要这俩产品的相关权限。 使用分布式容器云平台服务需要授予访问以下云资源的权限： 访问计算类服务 注册集群按需弹性云上资源时会关联创建云服务器，需要获取访问弹性云服务器、弹性裸金属服务器的权限 访问存储类服务 为注册集群关联云上节点和容器挂载存储，需要获取访问云硬盘、弹性文件、对象存储等服务的权限 访问网络类服务 为注册集群及联邦提供网络代理及服务对外暴露，需要获取访问虚拟私有云、弹性负载均衡、弹性IP、NAT网关等服务的权限 访问容器与监控类服务 为三方注册集群下容器提供镜像拉取、监控和日志分析等功能，需要获取访问容器镜像、应用运维管理等服务的权限同意授权后，CCE One 将在统一身份认证服务为您创建名为 CtyunAssumeRoleForCCEONE 的 委托，为保证服务正常使用，在使用 CCE One 服务期间请不要删除或修改 CtyunAssumeRoleForCCEONE 委托。 若您尚未对CCE One进行资源委托授权，在进入CCE One任一订购页时，将提示您进行必要的委托授权。 点击【点击此处授权】后，将弹出详细授权说明。 再次点击【确定授权】，后台即开始自动创建分布式容器云平台CCE One对应的委托创建。登录IAM统一身份认证服务委托对应页面，可以看到CCE One对应委托记录如下，委托名“CtyunAssumeRoleForCCEONE”。

Targets信息可直接查询指标采集任务的状态，本文将介绍如何使用自监控Targets查询。 操作说明 基础操作 1. 登录应用性能监控APM控制台，点击左侧菜单栏Prometheus监控。 2. 在Prometheus监控菜单下，点击接入管理。 3. 在已接入环境页签下，点击目标环境名称进入环境详情页面。 4. 在环境详情页面，点击上方的自监控页签，进入自监控查询页面。 5. Targets信息展示了当前正在收集的Job任务及服务发现的结果，通过这些信息，可验证配置的正确性。 Metrics采样 在Targets列表提供的端点信息中，点击Endpoint地址即可发起一次Metrics查询。通过该方式可评估指标是否符合预期。操作步骤如下： 1. 在Target页面中，单击页面左上角All，然后单击目标名称后的。 2. 点击Endpoint列的地址，即可发起一次Metrics查询。

本节介绍如何开启Cookie安全属性。 当“对外协议”配置为HTTPS时，WAF支持开启“Cookie安全属性”，开启后会将Cookie的HttpOnly和Secure属性设置为true。 Cookie是后端Web Server插入的，可以通过框架配置或setcookie实现，其中，Cookie中配置Secure，HttpOnly有助于防范XSS等攻击获取Cookie，对于Cookie劫持有一定的防御作用。 Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly Secure等安全配置字段将记录为安全威胁。 约束条件 “对外协议”包含“HTTP”时，“Cookie安全属性”默认为关闭状态，不支持开启。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 5. 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 6. 在“高级配置”栏中“Cookie安全属性”列单击，开启Cookie安全属性。

关机、重启 在卡片/列表视图，点击“关机”、“重启”，可对AI云电脑进行“关机”、“重启”操作。 自动进入 在卡片/列表视图，勾选“自动进入”成功后，对应桌面默认排在第一位，下次登录自动进入对应桌面。若需取消自动进入功能，取消勾选即可。 配置 在卡片/列表视图，点击“配置”，查看AI云电脑信息ID、名称以及修改名称、AI云电脑的CPU、内存、系统盘、数据盘配置等信息。 快捷应用 快应用即web应用，通用浏览器访问。在桌面列表通过客户端内嵌浏览器打开；在桌面内控制中心或悬浮球，则通过桌面内浏览器打开。 原生应用：无论是在桌面列表，还是在控制中心和悬浮球的原生应用，点击原生应用后，拉起AI云电脑里面已安装的应用。 注意：瘦终端统一通过桌面内的浏览器打开。 添加/编辑快捷应用：快捷应用分为AI云电脑已安装的本机软件和系统推荐的应用模板2类，用户可根据使用需求添加。 注意：如用户添加的应用，AI云电脑内未安装，将会通过应用市场唤起应用详情，用户点击安装即可。

本节介绍了为业务同时部署DDoS高防（边缘云版）和Web应用防火墙（边缘云版）的操作步骤。 使用场景 如果您的网站既需要进行流量型DDoS攻击的防护，同时也需要对精巧的Web应用层攻击时进行防御。使用单一的防护产品可能无法起到全面的防护效果，您可以在Web应用防火墙（边缘云版）的基础上，叠加DDoS高防（边缘云版）进行联合防御。 配置前提 已分别开通DDoS高防（边缘云版）及Web应用防火墙（边缘云版）。 网站域名需完成ICP备案，并需要持续维护其有效性。 说明 若您抗DDoS攻击的重要性显著高于加速需求，请先在DDoS高防（边缘云版）控制台新增域名，再到Web应用防火墙（边缘云版）新增域名，该添加顺序会优先使用天翼云高防DDoS节点进行域名防护。 业务流程 由于DDoS高防（边缘云版）及Web应用防火墙（边缘云版）采用统一的边缘云网络架构和底座，无需重复进行网站接入配置，并且也无需考虑不同产品串联时网络层转发的顺序问题，需注意防护配置的生效顺序：DDoS高防（边缘云版）优先于Web应用防火墙（边缘云版）。 （非统一架构的产品叠加，需确定不同产品之间网络层转发顺序，如先经过DDoS高防再经过Web应用防火墙，那么DDoS的高防的回源地址需与Web应用防火墙的接入地址相匹配，而不能直接配置为源站地址。非统一架构的产品叠加会增加网络配置复杂度。）

后续操作 流水线启动后，可以一键完成应用构建和部署，应用组件部署后的维护操作请参考应用运维。

应用性能监控提供了从调用链路中提取特定属性的能力，无侵入地提取请求和响应中的指定参数。您可以配置业务参数提取规则，并根据提取出的参数配置自定义错误。 前提条件 该功能目前仅支持Java应用。 只支持安装1.10.0或以上版本探针，具体操作，请参见应用监控接入概述。如果您的探针版本低于1.10.0，本功能配置后将不会有任何作用和影响。 功能入口 1. 登录应用性能监控控制台，在左侧导航栏选择应用监控 > 应用列表。 2. 选择对应的应用。 3. 在上方导航栏选择应用配置，选择后，点击左侧业务参数提取规则。 4. 在业务参数提取规则区域，您可以创建、查看和修改当前应用的业务参数提取规则。 5. APM的 JavaAgent 会动态识别规则变化，并依照所有已启动的规则将业务参数提取出来。 业务参数提取规则 新增规则 在业务参数提取规则区域单击新增规则，填写规则信息并保存。 规则名称：该条规则的可读名称。 Attribute名称：该条规则提取出的值在Span中对应的Attribute名称，默认以biz.开头，后续由多个单词组成，每个单词仅允许由大小写字母、数字、短划线（）、下划线（）组成。 参数提取类型：需要提取的参数类型。 生效接口（HTTP类型）：该条规则作用的HTTP接口范围，探针仅对匹配成功的接口提取相应参数。 参数提取规则：定义待提取参数所在的实际载体来源和提取后的处理方式，支持配置多个参数来源和提取步骤。若多个来源均可提取到参数，排序在前的参数提取步骤优先级高于后者. 参数来源：待提取参数所在的实际载体来源，对于Header、Cookie、Parameter，需要您填写相应的Key来初步提取。 是否启用：该条规则是否启用。

应用性能监控提供了从调用链路中提取特定属性的能力，无侵入地提取请求和响应中的指定参数。您可以配置业务参数提取规则，并根据提取出的参数配置自定义错误。 前提条件 该功能目前仅支持Java应用。 只支持安装1.10.0或以上版本探针，具体操作，请参见应用监控接入概述。如果您的探针版本低于1.10.0，本功能配置后将不会有任何作用和影响。 功能入口 1. 登录应用性能监控控制台，在左侧导航栏选择应用监控 > 应用列表。 2. 选择对应的应用。 3. 在上方导航栏选择应用配置，选择后，点击左侧业务参数提取规则。 4. 在业务参数提取规则区域，您可以创建、查看和修改当前应用的业务参数提取规则。 5. APM的 JavaAgent 会动态识别规则变化，并依照所有已启动的规则将业务参数提取出来。 业务参数提取规则 新增规则 在业务参数提取规则区域单击新增规则，填写规则信息并保存。 规则名称：该条规则的可读名称。 Attribute名称：该条规则提取出的值在Span中对应的Attribute名称，默认以biz.开头，后续由多个单词组成，每个单词仅允许由大小写字母、数字、短划线（）、下划线（）组成。 参数提取类型：需要提取的参数类型。 生效接口（HTTP类型）：该条规则作用的HTTP接口范围，探针仅对匹配成功的接口提取相应参数。 参数提取规则：定义待提取参数所在的实际载体来源和提取后的处理方式，支持配置多个参数来源和提取步骤。若多个来源均可提取到参数，排序在前的参数提取步骤优先级高于后者. 参数来源：待提取参数所在的实际载体来源，对于Header、Cookie、Parameter，需要您填写相应的Key来初步提取。 是否启用：该条规则是否启用。

本文主要介绍XClaw 打开终端功能使用指南。 概述 XClaw 设置功能提供了一系列系统管理选项，包括重启、自动修复、恢复出厂设置、打开终端和配置模型等。本文主要介绍如何使用【打开终端】功能来访问 XClaw 的系统命令行终端，进行高级管理和调试操作。 功能项 说明 重启 重新启动 XClaw 服务 自动修复 自动诊断并修复常见问题 恢复出厂设置 将 XClaw 恢复到初始状态 打开终端 访问系统命令行终端 配置模型 设置 AI 模型参数 说明 • 打开终端功能提供命令行访问能力 • 可用于高级调试和系统管理 • 支持通过浏览器直接访问终端界面 入口 登录应用托管控制台，进入【XClaw】菜单，点击界面右上角的【设置】按钮，即可打开设置侧边栏，然后选择【打开终端】选项。 打开终端操作步骤 1. 点击右上角的【设置】按钮，打开设置侧边栏；在设置列表中找到并点击【打开终端】选项。 2. 点击【打开终端】按钮，系统将打开终端界面窗口，您可以在其中执行命令行操作，可通过终端进行高级管理和调试操作。 3. 终端界面支持常用的 Linux/Unix 命令，可进行系统管理和调试。 注意 如需取消打开终端操作，可点击确认对话框中的【取消】按钮。 打开终端功能面向有 Linux/Unix 命令行经验的用户，对于不熟悉命令行操作的用户，建议使用图形界面功能。 在终端中执行的命令可能会影响系统运行，请谨慎操作，建议在执行重要操作前先了解命令的作用和影响。 如遇问题可随时关闭终端窗口，不会影响 XClaw 主服务运行。

计费规则 计费项：动态请求数、静态HTTPS请求数。 付费方式：按量付费。 计费周期：按日计费，实时扣费（每日零点后出前一日账单并扣费，具体出账时间以系统为准）。 举例说明 当日产生请求访问次数300万次，其中含有50万次静态HTTP请求数（不收费）、50万次静态HTTPS请求数、100万次动态HTTP请求数、100万次动态HTTPS请求数。 则当日产生的请求数账单金额为：50×0.05+100×0.15+100×0.1532.5元。 注意事项 如果您对全站加速服务有突发带宽使用需求，请至少提前3个工作日（重大节日的突发，包括但不限于春晚，双十一等，需要提前至少1个月）联系天翼云申请突发带宽用量。若申请成功，在双方约定的突发量级内，可确保您的服务不受影响；若申请不成功或未申请的，天翼云有权采取限流等措施来保障全网用户的稳定性，由此导致的可用性问题，天翼云不承担责任 。符合以下情况之一的都属于“突发带宽”： a.带宽计费客户：本自然月（日）带宽增量超过100Gbp，或本自然月（日）的带宽增量超出上月（日）计费带宽的30%（另有约定的，从其约定）； b.流量计费客户：本自然月带宽峰值超过10Gbps。 带宽利用率 实际使用流量值(GB) /（带宽峰值Mbps x 10.54）；1Mbps带宽每日100%利用率产生的流量约为10.54GB。 全站加速计费的流量比日志中记录的流量多。因为全站加速日志中记录的流量数据是应用层日志统计出的流量，但是实际网络请求中存在TCP/IP包头的消耗和TCP重传消耗，要比应用层统计到的流量高出7%~15%，因此按照业界标准，应用于账单的计费数据会比基于访客日志计算得出的计费值上浮10%。 如果您的全站加速月消费金额大于10万元，天翼云可提供更灵活优惠的按月计费方式。您可以提交工单或拨打4008109889电话联系客服咨询。 全站加速计费按照1000进制换算，例如：1Gbps1000Mbps；1GB1000MB。

本文介绍应用跨节点访问失败问题。 问题背景 用户在集群内工作节点A上部署了应用a，应用端口假设为80；用户在工作节点B上部署了应用b，应用b需要通过80端口访问节点A上的应用a。 解决方案 为了加强弹性云主机的安全防护，安全组对安全组内和安全组间云主机的访问实现了控制。若节点间的应用无法进行间通信但集群间网络正常，首先考虑是否是安全组规则造成的，用户需要该集群云主机所属的安全组中定义访问规则，使得云主机间可以进行互相访问。 进入区域所在控制台 点击【控制台】，完成【地域】选择后，点击网络部分任意选项，如虚拟私有云，进入【网络控制台】。 进入安全组配置页面 在【网络控制台】页面，点击一级菜单【访问控制】，点击二级菜单【安全组】，进入安全组配置页面。 添加安全组规则 CCE容器引擎集群节点云主机将默认使用default安全组，所以我们需要为default安全组添加规则。 找到列表中的default安全组，点击【添加规则】。 用户需要根据需求完成IP版本、协议、源地址等设置。端口范围即填写应用a上需要被访问的端口。 注意 ：需要同时设置入方向和出方向两条安全组规则，关于安全组的其它具体设置及指标详细含义可参考添加安全组规则。

本文介绍在 AIuse 云电脑中执行桌面自动化任务时,如何管理应用启动、运行、结果确认和任务收尾。 本文侧重于基于 Computer Use 和 FileSystem 能力的实践建议。 生命周期阶段 桌面应用自动化通常包含以下阶段： 阶段 说明 准备 确认云电脑在线、应用已安装、工作目录可用 启动 通过桌面快捷方式、开始菜单或命令入口启动应用 初始化 等待应用窗口出现，并处理登录、弹窗或加载状态 执行 通过鼠标键盘完成业务操作 结果确认 通过截图、文件读取或界面状态确认任务结果 收尾 保存文件、关闭窗口、释放会话 推荐流程： plaintext 准备资源 > 创建 Session > 截图观察 > 启动应用 > 等待就绪 > 执行业务操作 > 确认结果 > 文件归档 > 关闭 Session 启动应用 可通过以下方式启动应用： 点击桌面快捷方式。 通过开始菜单搜索并启动。 操作资源管理器打开指定文件或程序。 使用业务系统预先配置的启动入口。 由于不同应用启动耗时不同，建议启动后加入截图确认。SDK 当前没有独立 wait 方法时，可以在业务代码中使用 setTimeout、任务轮询或截图状态判断实现等待。 等待应用就绪 建议使用以下方式判断应用是否就绪： 截图中出现目标窗口标题或关键界面元素。 鼠标点击输入框后可正常输入。 目标输出目录已生成预期文件。 界面不再处于加载状态。

操作步骤 在应用卡片顶部，通过“切换开关”可随时启用或停用该应用。停用后，使用该应用凭证的 API 调用将返回鉴权失败，不计费。

本文主要介绍调度概述。 调度概述 CCE支持不同类型的资源调度及任务调度等，可提升应用的性能和集群整体资源的利用率。本文介绍CPU、GPU等类型的异构资源调度功能。 CPU调度 CCE提供CPU管理策略为应用分配完整的CPU物理核，提升应用性能，减少应用的调度延迟。 功能 描述 文档参考 CPU管理策略 当节点上运行了很多CPU 密集的 Pod 时，工作负载可能会迁移到不同的 CPU 核。许多应用对这种迁移不敏感，因此无需任何干预即可正常工作。有些应用对CPU敏感，对于CPU敏感型应用，您可以利用Kubernetes中提供的CPU管理策略为应用分配独占核，提升应用性能，减少应用的调度延迟。 CPU调度 GPU调度 CCE为集群中的GPU异构资源提供调度能力，支持在容器中使用GPU显卡。 功能 描述 文档参考 GPU管理策略 Kubernetes默认GPU调度可以指定Pod申请GPU的数量，支持申请设置为小于1的数量，实现多个Pod共享使用GPU。 GPU调度

2、创建企业微信自建应用 请提前开通企业微信管理后台管理员权限。登录企业微信管理后台：< 按以下步骤创建及配置企业微信自建应用： 步骤1：创建应用 访问企业微信管理平台，在应用管理自建中创建应用，建议: 应用logo：自行上传，无要求 应用名称：AOne同步身份源 应用介绍：用于AOne同步企业微信的用户与组织数据 可见范围：全公司 步骤2：填写可信域名 进入刚创建的应用，找到 开发者接口网页授权及JSSDK 模块，点击设置可选域名按钮，填写可信域名，且完成域名归属认证。填写可信域名及完成域名归属认证，是企微安全管控硬性要求，核心是保障应用接口调用安全、规范应用行为，同时规避恶意调用风险，请使用属于贵公司的域名，且域名必须互联网可访问。 可信域名配置认证完成后，会展示已验证状态，点击确认进行保存。