分布式缓存服务DCS支持的事件列表 事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 在线迁移发生全量重试 migrationFullResync 次要 在线迁移在重试时，因无法进行增量同步，而触发了全量同步。 确认是否发生反复的全量重试，需要检查到源端的网络连接是否正常，是否源端压力过大。如果反复全量重试，联系运维人员处理。 迁移任务与源实例发生中断，重新触发了全量同步，可能导致源实例CPU冲高。 Redis主从倒换 masterStandbyFailover 次要 Redis主节点异常，触发主从倒换机制，备节点升主。 检查原主节点状态，修复异常节点。 无。 Memcached主从倒换 memcachedMasterStandbyFailover 次要 Memcached主节点异常，触发主从倒换机制，备节点升主。 检查业务是否自愈。如果应用未恢复，需要重启应用进行恢复。 实例长连接会中断。 Redis节点状态异常 redisNodeStatusAbnormal 重要 Redis节点状态异常。 检查业务是否受影响，如果影响联系运维人员处理。 节点状态异常，主节点异常会自动主备切换。从节点异常，如果客户端直连从节点进行读写分离，读操作会出现异常。 Redis节点状态恢复正常 redisNodeStatusNormal 重要 Redis节点从异常恢复正常。 检查业务是否恢复。如果应用未重连，需要重启应用进行恢复。 异常恢复事件。 数据迁移同步失败 migrateSyncDataFail 重要 执行在线迁移任务时，迁移任务失败。 重新配置迁移任务重试迁移。如果仍然失败，联系运维人员处理。 数据迁移失败。 Memcached实例状态异常 memcachedInstanceStatusAbnormal 重要 Memcached节点状态异常。 检查业务是否受影响，如果影响联系运维人员处理。 Memcached实例状态异常,实例可能无法访问。 Memcached实例状态异常恢复 memcachedInstanceStatusNormal 重要 Memcached节点从异常恢复正常。 检查业务是否恢复。如果应用未重连，需要重启应用进行恢复。 异常恢复事件。 实例备份失败 instanceBackupFailure 重要 DCS实例备份失败，一般可能是由于访问OBS失败等原因导致。 手动备份进行重试。 自动备份失败。 实例节点异常重启 instanceNodeAbnormalRestart 重要 一般是由于DCS实例节点异常后重启导致。 检查业务是否自愈。如果应用未恢复，需要重启应用进行恢复。 实例长连接会中断。 终止超时lua脚本 scriptsStopped 提醒 一般是由于lua脚本运行时间过长，自动终止脚本运行。 优化lua脚本，防止执行超时。 lua脚本执行时间超长，被强制中断。lua脚本执行时间过长，会阻塞整个实例。 节点自动重启 nodeRestarted 提醒 一般是由于lua脚本运行时间过长，并且已执行写操作，自动重启节点终止脚本运行。 检查业务是否自愈。如果应用未恢复，需要重启应用进行恢复。 实例长连接会中断。

安全组与网络 ACL 的协同防护 安全组与网络 ACL 作为云上网络安全的核心防护手段，二者协同配合，形成多层次访问控制体系： 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 最小权限原则：建议安全组规则采用 “白名单” 机制，仅开放业务必需端口（如 Web 服务开放 80、443 端口），拒绝所有不必要的入方向流量。例如，数据库实例安全组仅允许应用实例所在安全组访问 3306 端口，禁止公网直接访问。更多信息请参考 ++安全组概述++ 网络ACL是一个子网级别的流量防护策略：用户可以自定义设置网络ACL规则，并将网络ACL与子网绑定，实现对子网中云服务器实例流量的访问控制。通过出方向/入方向规则控制出入子网的流量数据，可作为安全组的补充防护，在子网层面阻断异常流量。 防御外部攻击：可在网络 ACL 中配置规则，拦截常见攻击 IP 段或端口扫描行为，例如，拒绝来自已知恶意 IP 段的流量，减少实例被攻击风险。更多信息请参考++网络ACL概述++ 协同防护建议：安全组与网络 ACL 配合使用，形成 “实例 子网” 双层防护。例如，Web 子网的网络 ACL 仅允许 80、443 端口公网流量进入，Web 实例安全组进一步限制仅允许负载均衡实例 IP 访问，双重保障 Web 服务安全。

介绍分布式消息服务Kafka认证与访问控制方式 分布式消息服务Kafka支持CTIAM身份认证和多种访问控制，多维度保障您数据的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关联分布式消息服务Kafka实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务Kafka实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务Kafka构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的Kafka实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问Kafka实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见配置安全组

本章节主要介绍数据湖探索（DLI）如何创建用户并授权使用。 如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DLI服务的其它功能。 本章节介绍创建IAM用户并授权使用DLI的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您先了解用户组可以添加的DLI权限，并结合实际需求进行选择。DLI支持的系统权限，请参见权限管理概述章节中的“DLI系统权限”。 示例流程 给用户授权DLI权限流程 1.创建用户组并授权。 在IAM控制台创建用户组，并授予DLI服务普通用户权限“DLI ReadOnlyAccess”。 2.创建用户并加入用户组。 在IAM控制台创建用户，并将其加入1中创建的用户组。 3.用户登录并验证权限。 使用新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择数据湖探索，进入DLI主界面。如果在“队列管理”页面可以查看队列列表，但是单击右上角“购买队列”，无法购买DLI队列（假设当前权限仅包含DLI ReadOnlyAccess），表示“DLI ReadOnlyAccess”已生效。 在“服务列表”中选择除数据湖探索外（假设当前策略仅包含DLI ReadOnlyAccess）的任一服务，若提示权限不足，表示“DLI ReadOnlyAccess”已生效。如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。

概述 服务网格支持使用opentelmetry方式接入应用性能监控链路追踪能力，本章节介绍如何开启和使用链路追踪。 开启条件 需要开通APM应用性能监控，可参考开通应用性能监控应用性能监控快速入门 天翼云 (ctyun.cn) 需要在网格实例所属VPC下开通APM相关的终端节点（VPCE） 开启方式 登录服务网格控制台，网格实例 > 网格配置 > 自定义配置 > 启用链路追踪 开启即可。 开启时，您需要设置采样里，取值1100。 如果您还未开通应用性能监控服务及链路追踪数据上报需要的VPCE等资源，您可以授权服务网格组件一键开通相关资源。 链路追踪接入示例 概述 本节展示服务网格接入链路追踪的操作流程及效果，首先确认已经开启了链路追踪功能开关并将采样率配置为100%。演示架构如下图所示 其中ELB和Ingress Gateway作为接入层，业务层包括app1、app2、app3三个服务（分别都注入了网格sidecar），业务代码中也通过opentelemetry方式接入了链路追踪，触发数据面访问后，预期会上报链路数据到APM，完整覆盖网格数据面和应用。 部署测试程序 创建demo命名空间并配置好相关注入标签，保证sidecar注入；部署应用及服务，如下 注意 1. 本示例使用的镜像地址是华南2资源池，如果您在其他资源池体验，请替换镜像地址 2. 本示例采用go语言+opentelemetry方式接入链路追踪，您可以参考应用性能监控go语言接入链路追踪的文档将Deployment中的token和endpoint环境变量替换成您看到的值 html apiVersion: apps/v1 kind: Deployment metadata: name: app1base namespace: demo labels: app: app1 csmtraffictag: base spec: replicas: 1 selector: matchLabels: app: app1 name: app1 csmtraffictag: base template: metadata: labels: sidecar.istio.io/inject: "true" app: app1 name: app1 source: CCSE csmtraffictag: base spec: containers: name: default image: registryvpccrshuanan2.cnspinternal.ctyun.cn/library/tracedemo:otel imagePullPolicy: Always env: name: token value: yourapmlicence name: endpoint value: apmhuanan2.cnspinternal.ctyun.cn:27141 name: version value: base name: app value: app1 name: upstreamurl value: " ports: containerPort: 8000 apiVersion: apps/v1 kind: Deployment metadata: name: app2base namespace: demo labels: app: app2 csmtraffictag: base spec: replicas: 1 selector: matchLabels: app: app2 name: app2 csmtraffictag: base template: metadata: labels: sidecar.istio.io/inject: "true" app: app2 name: app2 source: CCSE csmtraffictag: base spec: containers: name: default image: registryvpccrshuanan2.cnspinternal.ctyun.cn/library/tracedemo:otel imagePullPolicy: Always env: name: token value: yourapmlicence name: endpoint value: apmhuanan2.cnspinternal.ctyun.cn:27141 name: version value: base name: app value: app2 name: upstreamurl value: " ports: containerPort: 8000 apiVersion: apps/v1 kind: Deployment metadata: name: app3base namespace: demo labels: app: app3 csmtraffictag: base spec: replicas: 1 selector: matchLabels: app: app3 name: app3 csmtraffictag: base template: metadata: labels: sidecar.istio.io/inject: "true" app: app3 name: app3 source: CCSE csmtraffictag: base spec: containers: name: default image: registryvpccrshuanan2.cnspinternal.ctyun.cn/library/tracedemo:otel imagePullPolicy: Always env: name: token value: yourapmlicence name: endpoint value: apmhuanan2.cnspinternal.ctyun.cn:27141 name: version value: base name: app value: app3 ports: containerPort: 8000 apiVersion: apps/v1 kind: Deployment metadata: name: app1test namespace: demo labels: app: app1 csmtraffictag: test spec: replicas: 1 selector: matchLabels: app: app1 name: app1 csmtraffictag: test template: metadata: labels: sidecar.istio.io/inject: "true" app: app1 name: app1 source: CCSE csmtraffictag: test spec: containers: name: default image: registryvpccrshuanan2.cnspinternal.ctyun.cn/library/tracedemo:otel imagePullPolicy: Always env: name: token value: yourapmlicence name: endpoint value: apmhuanan2.cnspinternal.ctyun.cn:27141 name: version value: test name: app value: app1 name: upstreamurl value: " ports: containerPort: 8000 apiVersion: apps/v1 kind: Deployment metadata: name: app2test namespace: demo labels: app: app2 csmtraffictag: test spec: replicas: 1 selector: matchLabels: app: app2 name: app2 csmtraffictag: test template: metadata: labels: sidecar.istio.io/inject: "true" app: app2 name: app2 source: CCSE csmtraffictag: test spec: containers: name: default image: registryvpccrshuanan2.cnspinternal.ctyun.cn/library/tracedemo:otel imagePullPolicy: Always env: name: token value: yourapmlicence name: endpoint value: apmhuanan2.cnspinternal.ctyun.cn:27141 name: version value: test name: app value: app2 name: upstreamurl value: " ports: containerPort: 8000 apiVersion: apps/v1 kind: Deployment metadata: name: app3test namespace: demo labels: app: app3 csmtraffictag: test spec: replicas: 1 selector: matchLabels: app: app3 name: app3 csmtraffictag: test template: metadata: labels: sidecar.istio.io/inject: "true" app: app3 name: app3 source: CCSE csmtraffictag: test spec: containers: name: default image: registryvpccrshuanan2.cnspinternal.ctyun.cn/library/tracedemo:otel imagePullPolicy: Always env: name: token value: yourapmlicence name: endpoint value: apmhuanan2.cnspinternal.ctyun.cn:27141 name: version value: test name: app value: app3 ports: containerPort: 8000 apiVersion: v1 kind: Service metadata: name: app1 labels: app: app1 service: app1 spec: ports: port: 8000 name: http selector: app: app1 apiVersion: v1 kind: Service metadata: name: app2 labels: app: app2 service: app2 spec: ports: port: 8000 name: http selector: app: app2 apiVersion: v1 kind: Service metadata: name: app3 labels: app: app3 service: app3 spec: ports: port: 8000 name: http selector: app: app3

本文介绍迁移实例节点可用区功能。 注意 仅 华北2 Ⅱ类型资源池支持该功能，Ⅰ类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 前提条件 实例状态为运行中。 实例内核小版本为最新，如实例内核小版本非最新，请先升级数据库内核小版本。 约束限制 只读实例和代理节点不支持迁移可用区。 开启透明加密的实例不支持迁移可用区。 实例所在资源池需要有多个可用区才支持迁移可用区功能，单可用区的不支持迁移。 开启SSL数据加密的实例不支持迁移可用区，如需迁移，请先关闭SSL。 影响 迁移可用区过程中可能会出现数次闪断，请确保应用具有自动重连机制。 迁移可用区任务完成时间和用户设置的迁移策略与用户数据量相关。在发起迁移可用区请求后到迁移可用区结束过程中您将不可以进行重启、退订等操作。 如果迁移的目标可用区资源不足可能导致迁移可用区失败。 迁移可用区之后，将触发一次全量备份，以保证高频备份的增量备份功能正常。 迁移可用区后，数据库实例的节点信息发生变更，若实例已开启数据库代理，会回到系统配置，可以在数据库代理页面重新设置节点权重，以刷新后端的节点信息。 操作步骤 注意 迁移前的SQL审计日志（如开启）、慢查询日志、错误日志等均不随之迁移。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库PostgreSQL版 ，进入关系数据库PostgreSQL版产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择PostgreSQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击可用区信息 区域右侧的迁移可用区 ，进入迁移可用区页面。 5. 配置如下迁移相关参数，单击提交。 参数 说明 可用区 选择迁移的目标可用区。 说明 主备实例选择不同可用区，可以具备跨可用区故障容灾的能力。 切换时间 选择迁移时间，取值范围如下： 立即切换 用户指定时间段生效 注意 默认选择的迁移时间为立即迁移，请确认在业务低峰期执行该动作。 若您选择在指定时间段迁移，您可以指定的时间距离当前时间最长不超过72小时，若您指定的时间距离当前时间小于1小时则会立即触发迁移。 6. 若您选择了同时变更配置则会跳转至订单支付页，您需要按照页面提示完成支付。 您可以在 PostgreSQL > 任务列表页面，查看迁移可用区任务的进度。

本节介绍安全基线及配置参考。 OpenClaw云电脑是否可操作本地终端文件 部分安全基线及配置参考 智能体部署 限制互联网访问 开启详细日志 文件系统访问控制 第三方技能审查 安全自检 更新版本 卸载 OpenClaw云电脑是否可操作本地终端文件 免费活动领取的OpenClaw云电脑：默认不重定向本地文件，无法操作本地文件，数据更安全。 天翼云电脑（公众版）：默认重定向本地文件至云电脑，使用时请注意数据安全。 天翼云电脑（政企版）：由租户管理员在管理台 “策略管理→基础策略管理→文件与剪切板” 中自定义配置。如下图所示： 部分安全基线及配置参考 智能体部署 创建OpenClaw专有用户，切勿使用sudo组： sudo adduser shell /bin/rbash disabledpassword clawuser 通过创建的专有用户登录操作系统。 创建受限的命令目录，禁止rm、mv、dd、format、powershell等： sudo mkdir p /home/clawuser/bin sudo ln s /bin/ls /home/clawuser/bin/ls sudo ln s /bin/echo /home/clawuser/bin/echo 强制设置 PATH 并只读，如在 /etc/profile.d/restrictedclawuser.sh修改配置： echo 'if [ "$USER" "clawuser" ]; then export PATH/home/clawuser/bin; readonly PATH; fi' sudo tee /etc/profile.d/restrictedclawuser.sh sudo chmod 644 /etc/profile.d/restrictedclawuser.sh 禁用root登录： sudo sed i 's/^?PermitRootLogin./PermitRootLogin no/' /etc/ssh/sshdconfig sudo systemctl restart sshd

本节介绍如何制作和使用开发机镜像。 平台提供通过控制台基于开发机制作镜像能力，可将当前开发机容器的文件系统（除挂载的数据集目录之外）及配置等打包推送到智算套件创建的私有镜像仓库。 定制开发机镜像 在开发机中安装软件包或者python库文件 保存开发机镜像 在 “AI应用开发” 列表中，在对应的开发机列表 “操作” 栏中点击 “保存镜像”，保存镜像的过程中会暂停当前的开发机容器。 填写保存的镜像名称和镜像版本等信息 查看镜像保存任务列表 等待任务成功后会将该镜像自动推送到容器镜像仓库。 使用开发机镜像 创建开发机私有框架，在 “AI应用管理>AI框架>私有框架>创建框架” 。 填写框架元数据信息，注意业务场景选择 “notebook”，框架类型选择 “JupyterLab”（如果是基于VSCode开发机保存的镜像则选择VSCode），以便在创建开发机时可以正确筛选到该私有框架，镜像选择保存开发机镜像时填写的镜像名。 创建开发机，选择创建好的私有框架

参数 描述 虚拟主机 选择创建队列所属的虚拟主机 名称 队列的名称。以amq.开头的为保留字段，因此不能使用。例如：amq.test。 存储节点 队列数据存储节点 是否持久化 队列元数据是否持久化到磁盘 是否自动删除 最后一个Consumer取消订阅后，Queue是否自动删除。 其他参数 Message TTL消息过期时间：number型(单位:ms) Auto expire队列过期时间，过期后队列自动删除：number型(单位:ms) Max length队列能保存的最大消息数：number型(单位:个) Max length bytes队列能保存的最大消息量：number型(单位:字节) Overflow behaviour 超过队列的最大设定值后消息接收策略：drophead,rejectpublish drophead：删除头部消息,一般就是最早发送的消息，保证队列可用 rejectpublish：拒绝接受新的消息，保证消息不丢失 Dead letter exchange死信交换器名称 Dead letter routing key死信路由键 Maximum priority队列最大优先级：要开启消息的优先级，必须设置消息所在队列的优先级 Lazy mode队列惰性模式：default、lazy default：默认值，普通队列 lazy：惰性队列，尽可能将消息存到磁盘中，会引起I/O操作比较多，内存消耗极少（有大量堆积的持久化消息建议使用） Master Locator 队列保存位置：clientlocal、minmasters、random clientlocal：队列创建时所用连接的节点 minmasters： 集群中节点主数量最少的节点 random：由rabbitmq服务器随机指定一个节点

参数 描述 虚拟主机 选择创建队列所属的虚拟主机 名称 队列的名称。以amq.开头的为保留字段，因此不能使用。例如：amq.test。 存储节点 队列数据存储节点 是否持久化 队列元数据是否持久化到磁盘 是否自动删除 最后一个Consumer取消订阅后，Queue是否自动删除。 其他参数 Message TTL消息过期时间：number型(单位:ms) Auto expire队列过期时间，过期后队列自动删除：number型(单位:ms) Max length队列能保存的最大消息数：number型(单位:个) Max length bytes队列能保存的最大消息量：number型(单位:字节) Overflow behaviour 超过队列的最大设定值后消息接收策略：drophead,rejectpublish drophead：删除头部消息,一般就是最早发送的消息，保证队列可用 rejectpublish：拒绝接受新的消息，保证消息不丢失 Dead letter exchange死信交换器名称 Dead letter routing key死信路由键 Maximum priority队列最大优先级：要开启消息的优先级，必须设置消息所在队列的优先级 Lazy mode队列惰性模式：default、lazy default：默认值，普通队列 lazy：惰性队列，尽可能将消息存到磁盘中，会引起I/O操作比较多，内存消耗极少（有大量堆积的持久化消息建议使用） Master Locator 队列保存位置：clientlocal、minmasters、random clientlocal：队列创建时所用连接的节点 minmasters： 集群中节点主数量最少的节点 random：由rabbitmq服务器随机指定一个节点

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

本节主要介绍如何使用API回滚快照。 此操作用来回滚单卷快照（包括一致性快照中的卷快照）。 注意 此操作会将快照中的数据覆盖到源卷，建议对源卷创建新的快照进行数据备份。 如果快照的源卷是一个克隆卷，并且此克隆卷正在执行断开关系链的操作时，不能使用这个克隆卷的任何快照进行回滚。 如果源卷有快照正在创建，不能执行回滚操作。 如果源卷已被客户端挂载，需在客户端取消挂载卷后回滚，回滚后重新挂载卷： 对于Linux客户端，可以执行下列步骤： 1. 回滚快照前，客户端执行命令：umount DIRECTORYNAMEORPATH 2. 回滚快照后，客户端执行命令：mount /dev/sdx DIRECTORYNAMEORPATH 对于Windows客户端，可以执行下列步骤: 1. 回滚快照前，在客户端将源卷对应的磁盘脱机。 2. 回滚快照后，在客户端将源卷对应的磁盘重新联机。 说明 处于回滚状态的卷： 不能创建快照。 不能再次回滚。 不能删除该卷正在回滚的快照。 不能编辑该快照。 不能修改该卷。 不能扩容该卷。 如果此卷是克隆卷，不能执行断开关系链操作。 请求语法 plaintext PUT /rest/v1/block/snapshot/snapshotName/rollback HTTP/1.1 Date:date ContentLength: length Host: ip:port Authorization: authorization

发生主从切换有哪些的原因？ 可能有以下场景触发主从切换： 用户自在控制台界面发起“主从切换”操作，切换主实例。 实例守护进程检测到主节点存在故障后，触发主从切换，例如使用了keys等消耗资源的命令，导致CPU超高，触发主备导致。 用户在控制台页面上执行节点重启操作，可能触发从节点提升为主节点 主从切换的业务影响？ 主备实例或者集群主备实例的主节点发生异常时，会自动触发主从切换，在异常检测和恢复期间，可能对业务造成一定影响，时间在半分钟内。 发生主从切换后是否需要客户端切换IP 不需要。主节点故障时会自动触发主从切换，VIP地址会绑定到原从节点，绑定后，原从节点升级为主节点。 Redis主备同步机制怎样？ 分布式缓存Redis版标准版主备和集群版主备实例支持部署高可用实例。您可选择在单可用区或多可用区中部署实例。当租户选择跨多可用区部署实例时，Redis实例会主动建立和维护Redis同步复制。在实例主节点故障的情况下，缓存实例会自动将备实例升为主节点，从而达到高可用的目的。如果租户使用缓存实例时，业务中读取数据比例大，可以选择集群版主备实例，缓存实例会自动维护主节点和从节点之间的数据同步复制。

本节主要介绍如何重置缓存实例密码 天翼云分布式缓存Redis实例必须使用密码控制访问，以确保缓存数据安全。密码可在创建实例时或者创建后设置；通过重置缓存密码，可设置实例连接密码。更改密码后，服务端无需重启，立即生效； 客户端需使用更新后的密码才能连接，可参考通过客户端连接缓存实例。 使用场景 基于信息安全的原则，建议默认使用密码访问。 对于生产环境的系统，建议开启密码访问控制。 对于开启了公网访问的实例，建议使用密码访问，增强实例数据的安全。 前提条件 只有当缓存实例处于“运行中”状态，才能执行此操作。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台右上角选择实例所在的区域。 3. 在实例列表页面选择实例所在操作列，点击”重置密码“按钮，进入实例密码重置弹窗。或在实例列表页，单击目标实例名称进入实例详情管理，在密码后点击“重置密码”按钮进入实例密码重置弹窗。 4. 在实例密码重置页面输入密码与确认密码，点击“保存”按钮完成实例密码重置。 说明 密码长度8～26个字符，必须同时包含大写字母、小写字母、数字和英文格式特殊符号(@%^+!$.)中的至少三种类型且不能包含空格。 请妥善管理密码，系统无法获取您设置的密码。

添加外键 plaintext teledb create table tp(f1 int not null,f2 int ,primary key(f1)); CREATE TABLE teledb create table tf(f1 int not null,f2 int ); CREATE TABLE teledb ALTER TABLE tf ADD CONSTRAINT tff1fkey FOREIGN KEY (f1) REFERENCES tp (f1); ALTER TABLE teledb d+ tf Table "public.tf" Column Type Collation Nullable Default Storage Stats target Description +++++++ f1 integer not null plain f2 integer plain Foreignkey constraints: "tff1fkey" FOREIGN KEY (f1) REFERENCES tp(f1) Distribute By: SHARD(f1) Location Nodes: ALL DATANODES 外键使用限制： 外键只是同一个节点内约束有效果，所以外键字段和对应主键字段必需都是表的分布键，否则由于数据分布于不同的节点内会导致更新失败。 分区表和冷热分区表也不支持外键，数据分区后位于不同的物理文件中，无法约束。 删除外键 plaintext teledb ALTER TABLE tf DROP CONSTRAINT tff1fkey; ALTER TABLE 修改表所属模式 plaintext teledb create schema teledb; CREATE SCHEMA teledb dt t List of relations Schema Name Type Owner +++ public t table teledb (1 row) teledb alter table t set schema teledb; ALTER TABLE teledb dt t List of relations Schema Name Type Owner +++ teledb t table teledb (1 row) 修改表所属用户 plaintext teledb dt t List of relations Schema Name Type Owner +++ teledb t table teledb (1 row) teledb

添加外键 plaintext teledb create table tp(f1 int not null,f2 int ,primary key(f1)); CREATE TABLE teledb create table tf(f1 int not null,f2 int ); CREATE TABLE teledb ALTER TABLE tf ADD CONSTRAINT tff1fkey FOREIGN KEY (f1) REFERENCES tp (f1); ALTER TABLE teledb d+ tf Table "public.tf" Column Type Collation Nullable Default Storage Stats target Description +++++++ f1 integer not null plain f2 integer plain Foreignkey constraints: "tff1fkey" FOREIGN KEY (f1) REFERENCES tp(f1) Distribute By: SHARD(f1) Location Nodes: ALL DATANODES 外键使用限制： 外键只是同一个节点内约束有效果，所以外键字段和对应主键字段必需都是表的分布键，否则由于数据分布于不同的节点内会导致更新失败。 分区表和冷热分区表也不支持外键，数据分区后位于不同的物理文件中，无法约束。 删除外键 plaintext teledb ALTER TABLE tf DROP CONSTRAINT tff1fkey; ALTER TABLE 修改表所属模式 plaintext teledb create schema teledb; CREATE SCHEMA teledb dt t List of relations Schema Name Type Owner +++ public t table teledb (1 row) teledb alter table t set schema teledb; ALTER TABLE teledb dt t List of relations Schema Name Type Owner +++ teledb t table teledb (1 row) 修改表所属用户 plaintext teledb dt t List of relations Schema Name Type Owner +++ teledb t table teledb (1 row) teledb

添加外键 plaintext teledb create table tp(f1 int not null,f2 int ,primary key(f1)); CREATE TABLE teledb create table tf(f1 int not null,f2 int ); CREATE TABLE teledb ALTER TABLE tf ADD CONSTRAINT tff1fkey FOREIGN KEY (f1) REFERENCES tp (f1); ALTER TABLE teledb d+ tf Table "public.tf" Column Type Collation Nullable Default Storage Stats target Description +++++++ f1 integer not null plain f2 integer plain Foreignkey constraints: "tff1fkey" FOREIGN KEY (f1) REFERENCES tp(f1) Distribute By: SHARD(f1) Location Nodes: ALL DATANODES 外键使用限制： 外键只是同一个节点内约束有效果，所以外键字段和对应主键字段必需都是表的分布键，否则由于数据分布于不同的节点内会导致更新失败。 分区表和冷热分区表也不支持外键，数据分区后位于不同的物理文件中，无法约束。 删除外键 plaintext teledb ALTER TABLE tf DROP CONSTRAINT tff1fkey; ALTER TABLE 修改表所属模式 plaintext teledb create schema teledb; CREATE SCHEMA teledb dt t List of relations Schema Name Type Owner +++ public t table teledb (1 row) teledb alter table t set schema teledb; ALTER TABLE teledb dt t List of relations Schema Name Type Owner +++ teledb t table teledb (1 row) 修改表所属用户 plaintext teledb dt t List of relations Schema Name Type Owner +++ teledb t table teledb (1 row) teledb

本文介绍实时云渲染产品购买类常见问题。 云渲染服务已购买的渲染资源可以变更吗？ 云渲染服务支持包年包月用户增加已有渲染实例的开通路数与新增渲染规格，云渲染固定带宽也可按需更改带宽值，您可根据实际需要灵活选择购买方案。 包年包月订购云渲染规格如何退订？ 您登陆天翼云控制台，勾选需要退订的云渲染规格，选择”更多退订“，在页面中点击确认，将完成退订订单提交，弹出提示信息，并可在用户中心的订单管理页面看到该退订订单，此时订单状态为“待审核”。 待审核通过后，天翼云将回收资源，并返还现金支付的金额。此时，订单状态将变为“工单完成”，在云渲染列表里也无法看见该渲染规格。 退订云渲染服务前有哪些限制条件？ 如果您需要退订云渲染服务，需要符合天翼云7天无理由退款条件。 1.订购时间超过7天，以及订购7天内但执行过升级、续订操作的云渲染实例均不能执行退订操作。 2.由于退订操作会导致资源回收和清理，平台上的应用数据将无法恢复，因此，在退订前请您做好数据备份工作。 云渲染服务如何选择渲染带宽？ 云渲染服务支持固定带宽和按需计费两种带宽计费方式，由于所有渲染规格共享一个带宽，若选择固定带宽，带宽值推荐选择系统推荐值。

本文向您介绍通过企业版VPN实现云上云下网络互通（双活模式）的组网和资源规划。 数据规划 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 VPN网关 HA模式 双活 VPN网关 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 VPN连接 Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 VPN连接1：169.254.70.1/30 VPN连接2：169.254.71.1/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 对端网关 Tunnel接口地址 VPN连接1：169.254.70.2/30 VPN连接2：169.254.71.2/30 IKE/IPsec策略 预共享密钥 Test@123 IKE/IPsec策略 IKE策略 版本：v2 认证算法：SHA2256 加密算法：AES128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IKE/IPsec策略 IPsec策略 认证算法：SHA2256 加密算法：AES128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

全部产品 显示”已开通“的产品代表当前产品有关联的套餐，没有”已开通“标签则代表当前产品未开通套餐。 点击对应产品的卡片可以进入”工作台“。 帮助文档 点击热门文档的标题可以进行文档内容查看，点击专区文档的卡片也可以进行文档内容查看。 产品推荐 基于目前常用的业务场景，提供了多样的产品服务选择，可点击进行了解。 立即开通：跳转至对应的产品开通页面。 了解详情：进一步查看产品的介绍和说明。 AOne助手 AOne助手提供风险告警、智能客服等功能。 AOne助手服务号：扫码关注服务号，接收产品最新资讯。 AOne助手小程序：扫码打开小程序，进行产品数据查看，也可以在小程序里面进入智能客服。

本文介绍如何通过边缘函数修改源站响应内容。 根据特殊分支场景，修改源站响应内容。 示例代码 javascript async function handleRequest(request) { // 获取原始的请求数据 const originalResponse await fetch(" const url new URL(request.url) const params url.searchParams // 如果传入 title 参数，尝试填充到页面中，修改返回的内容 let title params.get("title") if (title ! "") { title encodeURIComponent(title) let text await originalResponse.text() text text.replace(" ", " " + title + " ") return new Response(text, originalResponse) } return originalResponse } addEventListener("fetch", event > { event.respondWith(handleRequest(event.request)) }) 示例预览 源站响应内容被修改。 相关参考 运行时API：addEventListener 运行时API：FetchEvent 运行时API：Web Standards 运行时API：Fetch 运行时API：Response

本章节为您介绍如何登录时间戳服务 时间戳服务，可提供标准的时间戳服务功能，可将交易时间和交易内容固化，适用于时间敏感型业务数据的安全保护。该服务可以满足信息系统密码应用测评中关于实体行为不可否认性的要求。 开放端口要求 为避免网络故障或网络配置问题影响使用服务，请参考下表配置实例安全组。 注意 如何添加安全组规则请参考：添加安全组规则章节。 端口 端口用途 90809083 9080端口：Http协议 9081端口：Tcp协议 9082端口：Https协议 9083端口：TLS协议 通过天翼云控制台进入登录页面 1. 登录天翼云密码服务管理控制台。 2. 在左侧导航栏选择“密码服务”，进入“密码服务”页面。 3. 选择需要登录的时间戳服务实例，单击右上角的“管理”，进入实例登录页面，选择登录方式。

本章节介绍配置可观测信息。 概述 AI网关支持采集链路数据和请求日志。本文介绍配置可观测信息的操作步骤。 配置链路追踪 1. 登录AI网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择AI网关实例，进入实例列表页。 3. 在网关列表页单击需要查看的网关实例ID或者实例名称。 4. 在左侧导航栏，单击概览，然后单击可观测信息。 5. 单击链路追踪的编辑，随后打开启用链路追踪开关，输入链路采样百分比，然后单击保存。 配置日志投递 1. 登录AI网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择AI网关实例，进入实例列表页。 3. 在网关列表页单击需要查看的网关实例ID或者实例名称 。 4. 在左侧导航栏，单击概览，然后单击可观测信息。 5. 单击日志投递的编辑，随后打开启用访问日志采集开关，然后单击保存。

legacy kubelet identity verbs: ["get"] resources: group: "" core resources: ["nodes"] level: None userGroups: ["system:nodes"] verbs: ["get"] resources: group: "" core resources: ["nodes"] level: None users: system:kubecontrollermanager system:kubescheduler system:serviceaccount:kubesystem:endpointcontroller verbs: ["get", "update"] namespaces: ["kubesystem"] resources: group: "" core resources: ["endpoints"] level: None users: ["system:apiserver"] verbs: ["get"] resources: group: "" core resources: ["namespaces"] 不要记录这些只读URL。 level: None nonResourceURLs: /healthz /version /swagger 不要记录事件请求。 level: None resources: group: "" core resources: ["events"] 机密、配置映射和令牌审查可以包含敏感和二进制数据， 因此，只能在元数据级别进行日志记录。 level: Metadata resources: group: "" core resources: ["secrets", "configmaps"] group: authentication.k8s.io resources: ["tokenreviews"] level: Request verbs: ["get", "list", "watch"] resources: group: "" core group: "admissionregistration.k8s.io" group: "apps" group: "authentication.k8s.io" group: "authorization.k8s.io" group: "autoscaling" group: "batch" group: "certificates.k8s.io" group: "extensions" group: "networking.k8s.io" group: "policy" group: "rbac.authorization.k8s.io" group: "settings.k8s.io" group: "storage.k8s.io" 已知API的默认级别。 level: RequestResponse resources: group: ""

本章节介绍Dubbo应用的服务测试功能 概述 在日常开发中，开发人员或测试人员需要临时调用线上服务来调试已经部署的服务或查询线上数据。服务测试功能可以让您在控制台填写调用参数、发起服务调用，并得到服务调用的结果。 查看服务列表 在左侧导航栏，Dubbo治理 > 服务测试，查看当前账号下可以进行测试的dubbo服务。如果服务较多，可以通过环境、服务名、应用名进行筛选或搜索，服务名和应用名大小写不敏感。 服务测试 在服务测试列表操作列，单击测试，在测试服务面板中设置参数，然后单击执行，等待返回结果。 调用IP：服务的实例（ECS或Pod）IP。如果部署了多个实例，在列表中选择其中一个IP，进行测试，只能单选。 测试方法：dubbo服务中对应的方法，在列表中选择一个方法，只能单选。

本节主要介绍计费FAQ。 应用性能监控如何计费？ 在使用天翼云应用性能监控前，您需要先开通服务。开通服务不收取任何费用，开通后将根据实际用量进行计费，详情请查看计费说明。 开通应用性能监控时，账户是否需要有余额？ 在开通应用性能监控时，您的天翼云账户中需要有100元及以上的余额。建议先充值后再进行开通。 如何停止应用计费 如您后期还需要重新对该应用进行监控，那么在自定义配置中，关闭agent总开关即可；如果您后期不再需要监控该应用以及看历史监控数据，也可在应用列表中直接删除应用。 免费额度如何计算? 若以Javaagent方式接入，则每月提供2200agenthour的免费额度；若以其他方式接入，则每月提供30百万个span的免费额度，每月提供210百万个x天的免费Span存储量额度。

限制项 默认配额 创建弹性云主机的用户限制 实名认证 创建按量付费资源的限制 账户余额不得小于100元 一个账号在一个地域下可创建的弹性云主机限制 50台（提交工单可提升配额） 一个账号在一个地域下可创建实例的vCPU限制 200核（提交工单可提升配额） 一个账号在一个地域下可创建实例的内存限制 409600 GB（提交工单可提升配额） 一个账号在一个地域下可创建的私有镜像限制 10（提交工单可提升配额） 单台弹性云主机挂载磁盘限制 默认1块系统盘、8块数据盘（提交工单可提升配额） 单台弹性云主机的多网卡限制 默认1张主网卡、4张扩展网卡（提交工单可提升配额） 单次批量创建云主机最大数量 50台（提交工单可提升配额）

接口功能介绍 根据id删除告警数据 接口约束 此功能为收费功能。确认已经购买网页防篡改配额，并且开启防篡改扫描配置。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护 URI GET /v1/tamperProof/alarmLog/deleteById/ 路径参数 参数 是否必填 参数类型 说明 示例 下级对象 id 是 String Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj String 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

此小节介绍访问资产提示“登录设备失败，设备账号或密码错误”的处理方法。 访问资产提示“登录设备失败，设备账号或密码错误”，如果使用托管的账号密码，则需联系资产管理员，确认托管的账号和密码是否正确。 资产管理员需要将正确的资产账号和密码重新添加到资产，运维用户才能正常登录设备运维。 操作步骤 1、管理员登录云堡垒机实例控制台，访问角色切换为管理角色。 2、进入 资产管理>资产 页面，按资产IP或资产名搜索需要修改资产账号密码的资产。 3、点击资产数据操作栏【编辑】，在账号项选择需要修改的资产账号点击【编辑】。 4、进入 资产管理>资产账号 页面，选择需要修改的资产账号点击【编辑】。 5、更新资产账号、密码及应用的协议。

参数 参数类型 说明 示例 下级对象 status Integer 本参数表示告警状态。取值范围：0：正在告警。1：告警历史。根据以上范围取值。 1 alarmType String 本参数表示告警类型。取值范围：series：指标类型。event：事件类型。根据以上范围取值。 series infoID String 告警详情ID 65b08a5848091836a6f2afd9 service String 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“ ecs dimension String 本参数表示告警维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“ ecs resource Array of Objects 告警资源 resource condition Object 告警规则 condition count Integer 资源告警出现次数 2 value Double 告警数据值 0.27116666 createTime Integer 触发时间的时间戳 1698823059 updateTime Integer 结束时间的时间戳。 1698823059

本文将为您介绍财务管理在企业管理中的实际应用场景。 多账号账单统一查看 场景说明 针对企业多账号消费账单需切换查看，效率低的问题。可将多账号关联为主子账号，主账号在企业中心财务模块即可统一查看所有账号账单，大幅提升数据查看效率。 场景示意图 资金集中管理 场景说明 各账号自行充值购买资源，难以实现资金统一管控。通过企业财务管理，主账号可对独立子账号拨款，或为托管子账号支付账单，以此实现资金统一管控，保障企业资金安全。 场景示意图 基于预算控制消费成本 场景说明 企业多账号场景下，管理者难以实时监控各账号消费，成本不可控。预算管理系统可实时追踪消费与预算差距，提前预警超支风险，助力企业有效控制成本。 场景示意图