准备测试数据 在创建Flink作业进行数据分析前，我们需要在提前准备待分析的测试数据，并将该数据上传至OBS文件系统中。 1. 本地创建一个“mrsflinktest.txt”文件，例如文件内容如下： This is a test demo for MRS Flink. Flink is a unified computing framework that supports both batch processing and stream processing. It provides a stream data processing engine that supports data distribution and parallel computing. 2. 在云服务列表中选择“存储 > 对象存储服务”，登录OBS管理控制台。 3. 单击“并行文件系统”，创建一个并行文件系统，并上传测试数据文件。 详见下图：创建并行文件系统 例如创建的文件系统名称为“mrsdemodata”，单击系统名称，在“文件”页面中，新建一个文件夹“flink”，上传测试数据至该目录中。 则本示例的测试数据完整路径为“obs://mrsdemodata/flink/mrsflinktest.txt”。 详见下图：上传测试数据 4. （可选）上传数据分析应用程序。 使用管理台界面直接提交作业时，将已开发好的Flink应用程序jar文件也可以上传至OBS文件系统中，或者MRS集群内的HDFS文件系统中。 本示例中我们使用MRS集群内置的Flink WordCount样例程序，可从MRS集群的客户端安装目录中获取，即“/opt/client/Flink/flink/examples/batch/WordCount.jar”。 将“WordCount.jar”上传至“mrsdemodata/program”目录下。 创建并运行Flink作业 方式 1 ：在控制台界面在线提交作业。 1. 登录MRS管理控制台，单击MRS集群名称，进入集群详情页面。 2. 在集群详情页的“概览”页签，单击“IAM用户同步”右侧的“单击同步”进行IAM用户同步。 3. 单击“作业管理”，进入“作业管理”页签。 4. 单击“添加”，添加一个Flink作业。 作业类型：Flink 作业名称：自定义，例如flinkobstest。 执行程序路径：本示例使用Flink客户端的WordCount程序为例。 运行程序参数：使用默认值。 执行程序参数：设置应用程序的输入参数，“input”为待分析的测试数据，“output”为结果输出文件。 例如本示例中，我们设置为“input obs://mrsdemodata/flink/mrsflinktest.txt output obs://mrsdemodata/flink/output”。 服务配置参数：使用默认值即可，如需手动配置作业相关参数，可参考运行Flink作业。 5. 确认作业配置信息后，单击“确定”，完成作业的新增，并等待运行完成。 方式 2 ：通过集群客户端提交作业。 1. 使用root用户登录集群客户端节点，进入客户端安装目录。 su omm cd /opt/client source bigdataenv 2. 执行以下命令验证集群是否可以访问OBS。 hdfs dfs ls obs://mrsdemodata/flink 3. 提交Flink作业，指定源文件数据进行消费。 flink run m yarncluster /opt/client/Flink/flink/examples/batch/WordCount.jar input obs://mrsdemodata/flink/mrsflinktest.txt output obs://mrsdemo/data/flink/output2 ... Cluster started: Yarn cluster with application id application16546723745620011 Job has been submitted with JobID a89b561de5d0298cb2ba01fbc30338bc Program execution finished Job with JobID a89b561de5d0298cb2ba01fbc30338bc has finished. Job Runtime: 1200 ms

本文主要为您介绍如何开启防敏感信息泄露防护，以及如何配置防敏感信息泄露规则。 网站域名接入Web应用防火墙后，您可以选择开启防敏感信息泄露功能，并配置防敏感信息泄露规则，可对网页中的敏感信息或指定的HTTP响应码页面进行过滤或拦截。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版和标准版不支持防敏感信息泄露功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防敏感信息泄露”模块，可以选择开启/关闭防护。 7. 点击防护规则右侧的“前去配置”，进入防敏感信息泄露规则页面。 8. 单击“新建防护规则”，在弹出的对话框中，配置防敏感信息泄露规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 选择需要在响应信息中检测的敏感信息类型，包括敏感信息、响应码、关键字。 敏感信息：用户的个人身份信息，包括身份证号、电话号码、电子邮箱等。 响应码：指定的HTTP响应码，比如401、402、403等。 关键字：自定义需要检测关键字。 匹配内容 根据所选匹配条件，对应不同的内容。 敏感信息：包括身份证号、电话号码、电子邮箱等。 响应码：选择特定的HTTP请求状态码。 关键字：需要手动输入匹配的关键字。 防护路径 需要防护的URL的路径。 执行动作 选择在响应信息中检测到敏感信息后系统执行的动作。 观察：仅通过日志记录匹配到的页面和内容，不进行拦截。 信息脱敏全部屏蔽：对匹配到的内容，将被全部进行脱敏展示。 信息脱敏自定义范围：选择该项，还需要配置“显示”或“屏蔽”具体的范围。 拦截：拦截匹配到的页面和内容，并向发起请求的客户端返回拦截响应页面。 规则描述 可选项。设置规则的描述信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本页介绍天翼云TeleDB数据库如何添加或删除VIP。 操作步骤 1. 以用户名和密码登录TeleDBDCP数据库管理平台。 2. 在左侧导航树上，选择资源管理 > VIP管理 ，进入VIP管理页面。 3. 单个添加VIP 1. 在VIP管理页面，单击添加VIP，出现添加VIP对话框。 2. 在添加VIP对话框，选择IP类型，输入IP地址，单击确定完成VIP添加。 4. 批量添加VIP 1. 在VIP管理页面，单击批量添加，出现批量导入对话框。 2. 在批量导入对话框，选择IP类型，输入IP地址，多个IP以英文逗号分隔，单击确定完成批量VIP添加。 5. 编辑VIP 在VIP管理页面，单击目标VIP所在行的编辑，对VIP进行修改。 6. 删除VIP 单击目标VIP所在行的删除，可删除该条VIP。 说明 只能删除未启用状态且未被实例节点使用的的VIP。

本文主要介绍分布式消息服务RabbitMQ的典型应用场景。 RabbitMQ作为一款热门的消息队列中间件，具备高效可靠的消息异步传递机制，主要用于不同系统间的数据交流和传递，在企业解决方案、金融支付、电信、电子商务、社交、即时通信、视频、物联网、车联网等众多领域都有广泛应用。 异步通信 将业务中属于非核心或不重要的流程部分，使用消息异步通知的方式发给目标系统，这样主业务流程无需同步等待其他系统的处理结果，从而达到系统快速响应的目的。 如网站的用户注册场景，在用户注册成功后，还需要发送注册邮件与注册短信，这两个流程使用RabbitMQ消息服务通知邮件发送系统与短信发送系统，从而提升注册流程的响应速度。 图1 串行发送注册邮件与短信流程 图2 借助消息队列异步发送注册邮件与短信流程 错峰流控与流量削峰 在电子商务系统或大型网站中，上下游系统处理能力存在差异，处理能力高的上游系统的突发流量可能会对处理能力低的某些下游系统造成冲击，需要提高系统的可用性的同时降低系统实现的复杂性。电商大促销等流量洪流突然来袭时，可以通过队列服务堆积缓存订单等信息，在下游系统有能力处理消息的时候再处理，避免下游订阅系统因突发流量崩溃。消息队列提供亿级消息堆积能力，3天的默认保留时长，消息消费系统可以错峰进行消息处理。 另外，在商品秒杀、抢购等流量短时间内暴增场景中，为了防止后端应用被压垮，可在前后端系统间使用RabbitMQ消息队列传递请求。 图3 消息队列应对秒杀大流量场景

弹性文件服务(SFS,Scalable File Service)可为云服务器、物理机、容器等计算服务提供大规模共享访问的存储空间,具备高可用,高性能,低时延特征。满足文件共享、Web应用场景等数据存储需求。

添加挂载点 1. 登录控制台，选择文件系统菜单，进入【文件系统列表】，选择对应文件系统协议类型为【 NFS 】，在文件系统列表操作栏点击【 管理 】进入页面。 2. 进入文件空间管理页面后，点击【 添加挂载点 】。 3. 填写挂载点信息和权限组信息，权限组只能选择【SMB权限管理】页面已经添加的权限组，目前一个文件空间仅支持添加一个挂载点。填写完成后点击【确定】，完成添加挂载点操作。 管理挂载点 1. 管理页面可查看挂载点名称、挂载点信息、状态、创建时间等信息，包括对挂载点【管理权限组】、【禁用】操作。 2. 点击【禁用】，确认对该挂载点禁用后，用户将无法使用该SMB文件资源。

部署完成后，在foo命名空间下看到3个服务 不使用授权策略的情况下，验证从sleep应用访问httpbin应用没有被拦截（返回状态码200）： kubectl exec "$(kubectl get pod l appsleep n foo o jsonpath{.items..metadata.name})" c sleep n foo curl s o /dev/null w "%{httpcode}n" 200 查看外部授权服务已经启动，HTTP和gRPC授权服务分别监听8000和9000端口： kubectl logs "$(kubectl get pod l appextauthz n foo o jsonpath{.items..metadata.name})" n foo c extauthz 2023/08/14 11:26:54 Starting HTTP server at [::]:8000 2023/08/14 11:26:54 Starting gRPC server at [::]:9000 添加外部授权服务 将上面的HTTP和gRPC服务添加到服务网格的外部授权服务内。 定义授权策略&验证访问 定义如下授权策略，对httpbin应用的/headers路径的请求将被转发到第三方授权服务进行验证： apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: extauthz spec: selector: matchLabels: app: httpbin action: CUSTOM provider: The provider name must match the extension provider defined in the mesh config. You can also replace this with sampleextauthzhttp to test the other external authorizer definition. name: sampleextauthzgrpc rules: The rules specify when to trigger the external authorizer. to: operation: paths: ["/headers"] 从sleep应用请求httpbin的/headers路径，由于请求头带了"xextauthz:deny"，请求被拦截： kubectl exec "$(kubectl get pod l appsleep n foo o jsonpath{.items..metadata.name})" c sleep n foo curl " H "xextauthz: deny" s denied by extauthz for not found header xextauthz: allow in the request 修改请求，带上"xextauthz: allow"头部，请求放行： kubectl exec "$(kubectl get pod l appsleep n foo o jsonpath{.items..metadata.name})" c sleep n foo curl " H "xextauthz: allow" s { "headers": { "Accept": "/", "Host": "httpbin.foo:8000", "UserAgent": "curl/8.2.1", "XB3Parentspanid": "eb42a8165099e7db", "XB3Sampled": "1", "XB3Spanid": "cd6540ba1cfd9e8c", "XB3Traceid": "e7e15cc10dc66630eb42a8165099e7db", "XEnvoyAttemptCount": "1", "XExtAuthz": "allow", "XExtAuthzAdditionalHeaderOverride": "grpcadditionalheaderoverridevalue", "XExtAuthzCheckReceived": "source:{address:{socketaddress:{address:"10.1.0.25" portvalue:37654}} principal:"spiffe://cluster.local/ns/foo/sa/sleep"} destination:{address:{socketaddress:{address:"10.1.0.24" portvalue:80}} principal:"spiffe://cluster.local/ns/foo/sa/httpbin"} request:{time:{seconds:1692015383 nanos:990298000} http:{id:"7462237371770661564" method:"GET" headers:{key:":authority" value:"httpbin.foo:8000"} headers:{key:":method" value:"GET"} headers:{key:":path" value:"/headers"} headers:{key:":scheme" value:"http"} headers:{key:"accept" value:"/"} headers:{key:"useragent" value:"curl/8.2.1"} headers:{key:"xb3sampled" value:"1"} headers:{key:"xb3spanid" value:"eb42a8165099e7db"} headers:{key:"xb3traceid" value:"e7e15cc10dc66630eb42a8165099e7db"} headers:{key:"xenvoyattemptcount" value:"1"} headers:{key:"xextauthz" value:"allow"} headers:{key:"xforwardedclientcert" value:"Byspiffe://cluster.local/ns/foo/sa/httpbin;Hashc32db24acfa670a8bbe46f0897ebb70b9ccc0e630ee32afcd1ec037d6616e6c5;Subject"";URIspiffe://cluster.local/ns/foo/sa/sleep"} headers:{key:"xforwardedproto" value:"http"} headers:{key:"xrequestid" value:"aba7b68c6bee9d58b1637454075c6ece"} path:"/headers" host:"httpbin.foo:8000" scheme:"http" protocol:"HTTP/1.1"}} metadatacontext:{}", "XExtAuthzCheckResult": "allowed", "XForwardedClientCert": "Byspiffe://cluster.local/ns/foo/sa/httpbin;Hashc32db24acfa670a8bbe46f0897ebb70b9ccc0e630ee32afcd1ec037d6616e6c5;Subject"";URIspiffe://cluster.local/ns/foo/sa/sleep" } }

SSL VPN统一业务安全接入平台,帮助用户在任何时间、任何地点、使用任何主流终端,安全、快速地接入业务系统,可满足移动办公、分支互联、协同办公、应用虚拟化、APP安全加固业务需求。

本节主要介绍标签管理。 操作场景 标签管理服务（Tag Management Service，简称TMS）用于用户在云平台，通过统一的标签管理各种资源。标签管理服务与各服务共同实现标签管理能力，标签管理服务提供全局标签管理能力，各服务维护自身标签管理 。 为GeminiDB Redis实例添加标签，可以方便用户识别和管理拥有的GeminiDB Redis资源。您可以在创建实例时添加标签，也可以在实例创建完成后，在实例详情页添加标签。 标签添加成功后，您可以通过搜索标签键或值，快速查询关联的资源信息。 使用须知 建议您先在标签管理服务系统中设置预定义标签。 标签由“键”和“值”组成，每个标签中的一个“键”只能对应一个“值”。关于标签键和标签值的命名规则，请参见表234。 每个实例默认最多支持10个标签配额。 标签命名需要满足下表规则。 表 命名规则 参数 规则 示例 标签键 不能为空。 对于每个实例，每个标签的键唯一。 长度不超过36个字符。 只能包含数字、英文字母、下划线、中划线和中文。 Organization 标签值 可以为空。 长度不超过43个字符。 只能包含数字、英文字母、下划线、点、中划线和中文。 nosql01 添加标签 1、登录云数据库GeminiDB控制台。 2、在“实例管理”页面，选择目标实例，单击实例名称，进入“基本信息”页面。 3、在左侧导航树，单击“标签”。 4、在“标签”页面，单击“添加标签”，在弹出框中，输入标签键和标签值，单击“确定”。 添加成功后，您可在当前实例的所有关联的标签集合中，查询并管理自己的标签。

本章节介绍如何处置攻击。 操作场景 攻击是原始的告警，支持在态势感知（专业版）侧进行处置，关闭或忽略本次攻击告警。 关闭告警：如果告警已手动处理完毕，可以选择关闭本次告警。 忽略告警：如果告警风险可控，可以选择忽略本次告警。当相同告警事件再次触发时，将再次告警。 处置攻击 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。 5. 在告警管理页面，选择“攻击”页签，进入攻击告警管理页面。 6. 在告警管理列表中，单击目标告警所在行“操作”列的“处置”，右侧弹出攻击处置配置页面。 同时，还可以在某条告警详情页面，单击页面右上角的“处置”。 7. 在处置配置页面，配置攻击处置参数。 参数 参数含义 处理方式 我已手动处理：如果告警已手动处理完毕，可以选择关闭本次告警。 忽略：如果告警风险可控，可以选择忽略本次告警。当相同告警事件再次触发时，将再次告警。 批量处理 同时处理重复告警：如果您希望将不同时间发生的同类告警进行归并，进行批量处理时，可以勾选此按钮。 备注描述 根据需要输入攻击告警处置的备注描述信息。 8. 配置完成后，单击“确定”，界面弹出“告警处置成功”提示信息。 9. 在弹出的攻击处置信息界面，单击“确定”。

本节介绍 Web应用防火墙（独享版）精准访问规则类问题。 精准访问防护规则可以设置在指定的时间段生效吗？ WAF不支持精准防护访问规则在指定的时间段生效。您可以通过设置精准访问防护规则，对常见的HTTP字段（如IP、路径、Referer、User Agent、Params等）进行条件组合，筛选访问请求，并对命中条件的请求设置放行或阻断操作。

本章节会介绍如何管理和修改只读实例。 通过只读实例管理 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在实例列表中，单击实例名称前的，单击目标只读实例的名称，进入实例的基本信息页面，即进入只读实例的管理页面。 结束 通过主实例管理 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 单击只读实例所在的主实例名称，进入主实例的“基本信息”页面。 步骤 5 在“实例拓扑图”中单击只读实例的名称，进入该只读实例的“基本信息”页面，即进入只读实例的管理页面。 结束 通过DAS管理 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称前的 ，选择目标只读实例，单击操作列的“登录”，进入数据管理服务登录界面。 步骤 5 正确输入数据库用户名和密码，单击“登录”，即可进入您的数据库。 结束

云硬盘回收站是天翼云云硬盘一种重要的数据保护方式,本章将为您详细介绍云硬盘回收站管理的相关内容。 产品定义 天翼云云硬盘回收站支持将删除的云硬盘资源保存至回收站中，是一种数据保护的方式。在一定时间内，您可以在回收站内恢复云硬盘数据，以防止误删除导致的云硬盘数据丢失。 回收站功能默认为关闭状态，如需使用，需要用户手动开启，保留时间最多为7天。 应用场景 在以下情况中，云硬盘删除会被放入回收站： 当用户主动删除按需订购的云硬盘时，此云硬盘会被放入回收站。 在以下情况中，云硬盘删除后不会被放入回收站： 当包周期购买的云硬盘被用户退订时，不放入回收站。 处于冻结期的按需云硬盘主动删除时，不放入回收站。 按需云硬盘冻结保留期到期后被系统销毁时，不放入回收站。 重装操作系统时，直接删除，不放入回收站。 和弹性云主机或物理机同一订单订购的云硬盘，跟随实例被释放时，不放入回收站。 账号受限或冻结状态时，被删除的按需云硬盘（包含主动删除与系统删除）不放入回收站。 约束与限制 云硬盘在回收站内最多可保存7天，到期后自动销毁，销毁后云硬盘将无法恢复。 仅支持按需云硬盘被删除时放入回收站，包年包月云硬盘在退订时不放入回收站。 账号受限或冻结状态时，主动删除的按需云硬盘不放入回收站。 账号受限或冻结状态时，系统删除的按需云硬盘不放入回收站。 开启回收站后，删除的按需云硬盘会放入回收站并支持手动恢复，但此按需云硬盘的快照会直接销毁且无法手动恢复。 已在回收站中的云硬盘，当账户欠费时，这些云硬盘会进入冻结保留期，在回收站中保留时长可能不足7天就会被系统销毁。销毁时间以回收站保留期（自进入回收站起保留7天）和冻结保留期（自欠费起保留15天）中最早达到销毁条件的时间为准。 云硬盘回收站支持的资源池，如下表所示： 限制项 限制说明 支持资源池 郑州5/武汉41/华东1/南宁23/华南2/华北2/南昌5/青岛20/上海36/西南1/昆明2/杭州2/杭州7/长沙42/西安7/太原4/西南2贵州/庆阳2/呼和浩特3/乌鲁木齐7。

如果您希望基于各个语言的流行框架(如 Flask、Gin、SpringBoot)来编写程序,或者迁移已有的框架应用,可以选择创建自定义运行时函数。通过设置实例并发度,您可以有效管理资源使用,以应对流量高峰,降低冷启动的影响,从而控制成本并提升性能。 创建函数 前提条件 具备已通过实名认证的天翼云账号 已开通函数计算服务 操作步骤 1. 登录函数计算控制台，在左侧导航栏，单击函数，进入函数列表页面。 2. 在函数列表页中，点击创建函数按钮，进入函数创建页面。 3. 在函数创建页面，选择创建函数的方式，并配置以下配置项，然后单击确定 。以下操作以使用自定义运行时创建函数为例。 基本设置 配置项 说明 函数名称 设置函数名称 企业项目 支持将本次创建的函数上报到用户的企业项目中。若不配置该项，则默认上报到"default"企业项目。 函数代码 配置项 说明 示例 运行环境 选择您熟悉的开发语言，目前支持Python、Java、Go、Node.js、Php、.Net。 Python3.10 代码上传方式 选择代码上传到函数计算的方式。可以选择示例代码或通过 zip 包上传代码。 使用示例代码 示例代码 选择示例代码。 自定义 python3.10 运行时 注意 请确保启动程序及相关程序包具有可执行权限，可以通过chmod +x添加可执行权限。 高级配置 配置项 说明 示例 vCPU规格 为函数配置运行vCPU规格。 0.5 核 内存规格 为函数配置运行的内存规格。 512 MB 临时硬盘大小 根据您的业务情况，选择临时存储文件的硬盘大小。 512 MB 实例并发度 支持一个实例同时并发执行多个请求，这个值用来配置单个函数实例可以同时处理多少个请求。 1 执行超时时间 设置函数执行的超时时间。 64 请求处理程序 设置请求处理程序，函数计算的运行时会加载并调用您的请求处理程序处理请求。 index.handler 时区 选择函数的时区。 UTC 函数角色 选择根据函数所在服务配置的角色。 CTyunDefaultRole 允许访问VPC 是否允许函数访问VPC内资源。 否 允许函数默认网卡访问公网 是否允许函数可以通过默认网卡访问公网。关闭后，当前服务中的函数将无法通过函数计算的默认网卡访问公网。 否 说明 vCPU大小（单位为核）与内存大小（单位为GB）的比例必须设置在1:1到1:4之间。 环境变量：设置函数运行环境中的环境变量。可以使用 json 或表单的形式编辑。

本节主要介绍在CCE的集群网络模型选择及区别。 云容器引擎提供高性能容器网络插件，支持“容器隧道网络”、“VPC网络”2种网络模型。 注意 集群创建成功后，网络模型不可更改，请谨慎选择。 容器隧道网络 （Overlay）：基于底层VPC网络，另构建了独立的VXLAN隧道化容器网络，适用于一般场景。VXLAN是将以太网报文封装成UDP报文进行隧道传输。容器网络是承载于VPC网络之上的Overlay网络平面，具有付出少量隧道封装性能损耗，即可获得通用性强、互通性强、高级特性支持全面（例如Network Policy网络隔离）的优势，可以满足大多数应用需求。 VPC网络 ：采用VPC路由方式与底层网络深度整合，适用于高性能场景，节点数量受限于虚拟私有云VPC的路由配额。每个节点将会被分配固定大小的IP地址段。VPC网络由于没有隧道封装的消耗，容器网络性能相对于容器隧道网络有一定优势。VPC网络集群由于VPC路由中配置有容器网段与节点IP的路由，可以支持集群外直接访问容器实例等特殊场景。 两种集群网络模型对比如下： 对比维度 容器隧道网络 VPC网络 ::: 核心技术 OVS IPVlan，VPC路由 适用集群 CCE集群 虚机集群 CCE集群 虚机集群 网络隔离 支持Kubernetes原生NetworkPolicy 否 IP地址管理 容器网段单独分配 节点维度划分地址段，动态分配（地址段分配后可动态增加） 容器网段单独分配 节点维度划分地址段，静态分配（节点创建完成后，地址段分配即固定，不可更改） 网络性能 基于vxlan隧道封装，有一定性能损耗。 无隧道封装，跨节点通过VPC 路由器转发，性能好，媲美主机网络。 组网规模 最大可支持2000节点 默认支持200节点，受限于VPC路由表能力。 VPC网络模式下，集群每添加一个节点，会在VPC的路由表中添加一条路由，因此集群本身规模受VPC路由表上限限制。 适用场景 一般容器业务场景。 对网络时延、带宽要求不是特别高的场景。 对网络时延、带宽要求高。 容器与虚机IP互通，使用了微服务注册框架的，如Dubbo、CSE 注意 VPC网络集群实际支持规模受限于VPC的路由表路由条目配额，创建前请提前评估集群规模。 VPC网络模型默认支持容器与同一VPC的虚拟机直接互访，与其他VPC的主机在配置对等连接策略后可以支持直接互访。此外，云专线/VPN等混合组网场景在合理规划后可以支持对端直接与容器互访。

概述 本章节主要介绍沙箱模板管理和沙箱实例管理中的一些通用功能，沙箱模版管理包含查看沙箱模版和删除沙箱模版，沙箱实例管理包含查看沙箱实例、创建沙箱实例和删除沙箱实例。 智能体引擎目前支持5种类型沙箱类型，即：基础沙箱、代码沙箱、浏览器沙箱、AIO沙箱和自定义沙箱。因为不同的沙箱模版类型创建参数不同，所以创建沙箱模版功能请参见各个类型沙箱模版章节。 沙箱模板管理 查看沙箱模板 操作步骤 1. 登录智能体引擎控制台。 2. 左侧导航到沙箱菜单下，查看沙箱模板列表。 删除沙箱模版 操作步骤 1. 登录智能体引擎控制台。 2. 左侧导航到沙箱 菜单下，选择需要删除的沙箱模版，点击删除。 注意： 删除沙箱模版会同时删除沙箱实例下的实例。 沙箱实例管理 沙箱实例管理通用功能以基础沙箱为例，其他沙箱模版的下的沙箱实例操作类似，这里不再赘述。 查看沙箱实例 操作步骤 1. 登录智能体引擎控制台。 2. 左侧导航到沙箱菜单下，选择指定模版，点击模版卡片进入模版。 3. 切换到实例页面，查看指定模版沙箱实例列表。

本文介绍组织架构的搭建 您可以通过创建或者邀请子账号来完成组织架构的搭建，创建与邀请子账号的方式请参考“创建/邀请子账号”。 组织 您可以在“企业中心组织管理"集中查看和管理您组织内的所有账号。"组织"只有一个管理账号（主账号）以及多个成员账号。当前最多支持三层组织架构，"根组织"“二级组织”“三级组织”，每一层组织均可绑定成员账号，管理账号（主账号）默认在根组织下。 创建组织 进入“企业中心组织管理"页面，在组织视图框架内，选中上级组织，点击“组织”名称后的“...”隐藏符号，点击“新建子组织”，当前最多支持三层组织架构。 删除组织 进入“企业中心组织管理"页面，在组织视图框架内，选中上级组织，点击“组织”名称后的“...”隐藏符号，点击“删除子组织”，只有该组织下没有绑定任何成员账号时，才支持删除该组织。 组织绑定成员账号 进入“企业中心组织管理"页面，点击“创建”或“邀请”子账号。创建与邀请子账号的方式请参考“创建/邀请子账号”。

本文介绍终端管理客户端功能发布记录。 终端管理客户端介绍 终端管理客户端主要提供终端安全、敏捷运维、高级威胁等能力。 如需下载客户端，请访问终端管理下载页面。 Windows 64bit 发布版本 发布时间 版本描述 2.26.11 20260228 客户端支持软件仓库、软件分发、正版软件、办公净化、威胁检测响应、AI文件外发审计等能力。 2.19.11 20250709 客户端支持实时防护、病毒查杀、漏洞补丁、外设管控、合规检测、防钓鱼、局域网共享防护、AI风险检测、软件管理、上网行为管控、自保护等能力。 Windows 32bit 发布版本 发布时间 版本描述 2.26.11 20260228 客户端支持软件仓库、软件分发、正版软件、办公净化、威胁检测响应、AI文件外发审计等能力。 2.19.11 20250709 客户端支持实时防护、病毒查杀、漏洞补丁、外设管控、合规检测、防钓鱼、局域网共享防护、AI风险检测、软件管理、上网行为管控、自保护等能力。

本页介绍RDSPostgreSQL放开访问实例的限制。 操作场景 “全部放开”操作仅更改默认分组（default），将该分组下的ip列表设置为0.0.0.0/0;::/0。可以快速放开访问实例的权限，同时保留其他分组的数据不变，但放开实例全部访问存在较大风险，请谨慎使用此功能。 操作方式 1. 登录天翼云官网。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 点击白名单管理，进入到白名单管理页面。 7. 点击“全部放开”。 8. 点击“确定”，放开访问实例的限制，点击“取消”，放弃操作。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见

本章节主要介绍租户管理使用前须知。 本章节指导用户在MRS控制台执行租户管理操作。 在控制台界面执行租户管理操作仅适用于MRS 3.x之前版本集群。 在Manager界面执行租户管理操作适用于所有版本，MRS 3.x及之后版本请参考简介，MRS 3.x之前版本请参考租户简介。

本节主要介绍如何创建于管理账号 Redis管理控制台支持创建多个Redis账号并赋予相应权限。帮助您灵活地管理Redis实例，可以最大限度地避免误操作，有效提升数据安全性。当前支持的权限控制包括读写权限、只读权限。 只读权限：仅拥有读取数据的权限，不允许修改数据。 读写权限：拥有读写数据的权限。 前提条件 只有当分布式缓存Redis缓存实例处于“运行中”状态，才能执行此操作。 Redis6.0/7.0及经典集群实例支持创建与管理账号。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台左上角选择实例所在的区域。 3. 在实例列表页，单击目标实例名称进入实例详情页面。 4. 左侧菜单点击账号管理，进入账号管理页面。 5. 点击创建账号按钮。 6. 在弹窗的创建账号对话框中设置相关信息即可创建Redis账号；点击保存后即可创建账号 7. 账户创建完后，立即会展示在当前页面。针对已创建的账户，可进行重置密码、修改权限、删除账户等操作。

库表管理页面 库表管理页面显示用户创建所有的数据库，您可以查看所有者，表数量等信息。 详见下表：库表管理参数 参数 参数说明 数据库名称 数据库名称只能包含数字、英文字母和下划线，但不能是纯数字，且不能以下划线开头。 数据库名称大小写不敏感且不能为空。 输入长度不能超过128个字符。 用户名 数据库所有者。 表数量 对应数据库中表的数量。 描述 创建数据库时，对数据库的描述。如果没有描述，则显示“”。 企业项目 显示所属的企业项目。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 操作 权限管理：可查看“权限信息”，进行“授权”、“权限设置”和“回收用户权限”。 表管理：可查看对应数据库下的表。具体描述请参见下方“表管理页面”。 创建表：在对应数据库中创建表。 修改数据库：修改数据库的所有者。必须是相同账户下已存在的用户名。 删除数据库：删除所选数据库。 表管理页面 在“数据管理”页面中，单击对应数据库名称或“操作”列中的“表管理”，可进入其“表管理”页面。 “表管理”页面显示用户在当前数据库中创建所有的表，您可以查看表类型，数据存储位置等信息。表列表默认按创建时间排列，创建时间最近的表显示在最前端。 详见下表：表管理参数 参数 参数说明 表名称 表名称只能包含数字、英文字母和下划线，但不能是纯数字，且不能以下划线开头。 表名称大小写不敏感且不能为空。 表名称支持包含“”符号。例如：test。 输入长度不能超过128个字符。 表类型 表的类型。 包括以下三种类型： Managed：数据存储位置为DLI的表。 External：数据存储位置为OBS的表。 View：视图。视图只能通过SQL语句创建。 说明 视图中包含的表或视图信息不可被更改，如有更改可能会造成查询失败。 所有者 创建表的用户。 存储位置 包括DLI、OBS、View、CloudTable、CSS等数据存储位置。 表大小 表中数据的大小。只有Managed类型表会显示具体数值，其他类型表显示“”。 数据源路径 数据存储位置为OBS时，显示对应的OBS路径。 数据存储位置为DLI和View时，显示“”。 数据存储位置为CloudTable、CSS等跨源服务时，显示其对应的URL。 创建时间 创建表的时间。 最后访问时间 最后对表进行操作的时间。 操作 权限管理：可查看“权限信息”，进行“授权”、“权限设置”和“回收用户权限”。 更多： − 删除：在对应数据库中删除表。 − 修改所有者：修改表的所有者。必须是相同账户下已存在的用户名。 − 导入：将存储在OBS桶中的数据导入至DLI表或OBS表。 − 导出：仅支持将DLI表的数据导出至OBS桶中。 − 表属性：可查看“元数据”和“预览”表中的数据。

本小节介绍Web应用防火墙CC攻击防护最佳实践。 CC（ChallengeCollapsar，挑战黑洞）攻击是DDoS攻击的一种类型，使用代理服务器向受害服务器发送大量貌似合法的请求。攻击者使用代理机制，利用众多广泛可用的免费代理服务器发动DDoS攻击。许多免费代理服务器支持匿名模式，这使追踪变得非常困难。 基础CC防护 CC攻击防护支持根据用户访问特定路径的行为进行人机识别、访问频率与封禁时间的自定义配置。CC攻击防护在遭受应用层DDoS攻击时对缓解服务器压力有着显著的效果，但是自定义CC攻击防护配置需要用户对自身业务情况有一定的了解。CC攻击防护会限制单一客户端访问频率，严格的CC攻击防护策略在部分情况下会导致正常访问失败，如大量客户通过同一Wifi下的单一出口IP同时访问。 前提条件 已添加了防护域名并已完成了域名接入。 WAFCC防护已开启。 操作步骤 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”。 3. 在WAF防护配置列表的操作列，单击“自定义防护配置”。 4. 在自定义防护配置界面，选择“CC攻击防护”页签。 统计对象：依据判定的对象，默认是根据用户IP访问行为进行判定。 增长频率：单一IP每秒HTTP访问次数上限与增长率上限。增长频率与访问频率满足其一触发防护。 访问频率：单一IP每秒HTTP访问次数上限。增长频率与访问频率满足其一触发防护。 时间配置：默认每120秒检测一次，将达到以上拦截阈值的用户IP封禁7200秒。 以上配置您可以全部自定义，如有疑问，您可以联系联系云WAF工程师咨询（ 服务热线：4009259120 语音提示后，请按“ 2”转接人工服务，在线客服 QQ：2448296676 ）。

本文介绍了如何在科研助手中使用Qwen3模型服务。 概述 阿里巴巴开源新一代通义千问模型Qwen3，参数量仅为DeepSeekR1的1/3，成本大幅下降，性能全面超越R1、OpenAIo1等全球顶尖模型，登顶全球最强开源模型。Qwen3是国内首个“混合推理模型”，“快思考”与“慢思考”集成进同一个模型，对简单需求可低算力“秒回”答案，对复杂问题可多步骤“深度思考”，大大节省算力消耗。 当前在科研助手的社区镜像中，我们已经为您提前部署好了完整的服务，模型参数覆盖8b、14b、32b、235b，方便您即刻体验，开箱即用。 前置说明 1. 该文档为在科研助手中使用Qwen3模型服务。 2. 本产品中的模型由第三方主体提供，尽管天翼云公司已尽最大努力进行识别和维护，但仍无法保证模型的可用性。请客户按照该产品的服务协议使用该产品，做好甄别并对自行选择的服务负责. 环境准备 步骤1：进入科研助手控制台，点击左上角，切换“科研版”； 步骤2：点击当前科研版"概览"页，点击快捷入口【找应用】，进入应用商城； 步骤3：在“应用商城”中，找到名为“Qwen3全参数模型”的镜像，点击【使用此镜像】，进入开发机购买界面； 步骤4：在购买页面中，【基础信息】【主机规格】一栏，用户可以按照如下配置选择： 说明 目前镜像支持的可用区有：福州6、贵阳2、中卫4； 中卫4支持运行235b，其余可用区可以运行8b、14b、32b。 配置 算力型号 可用区 说明 ::: 最低配置 NVIDIA A10 福州6 推荐配置 GPU.gn4.2xl1 贵阳2 最高配置 NVIDIA A100 40G 中卫4 可运行235b 这里以可用区贵阳2的GPU.gn4.2xl为例，可以看到，【镜像框架】中框架版本已默认选好【社区镜像】的“openwebuiqwen3pubdataset”，其余【计费模式】、【可用区】等可按照实际需要选择。 步骤5：点击【确认订单】，完成开发机创建并启动。

本文为您介绍如何查看IAM用户的安全设置、所属用户组、权限管理等信息。 操作步骤 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“用户”，在用户名对应的操作选项中点击“查看”按钮，进入用户详情页面。 3. 用户详情页面包含安全设置、所属用户组、权限管理三个页签，可以分别进行安全设置、查看和设置用户组、管理用户权限等操作。 安全设置：可以进行绑定虚拟MFA、控制台登录管理、安全管理、创建AccessKey等操作。 所属用户组：用户组列表展示用户所属的用户组信息，点击“添加到用户组”，在弹出的对话框中，点击“添加”和“移除”按钮，可以进行用户组的添加和移除。 权限管理：权限列表展示个人权限和继承自用户组的权限信息，点击“新增权限”，勾选策略和授权范围后可以为子用户单独授权，点击列表框后的“解除授权“可以解除权限。

本节主要介绍如何启用流程。 前提条件 已激活流程版本，具体操作请参见管理流程版本。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在目标流程所在行的“操作”列，单击“启用”，页面弹出启用确认框。 6. 在弹出的确认框中，选择启用的流程版本后，单击“确定”，完成流程启用。

本文介绍如何通过日志分析分析域名访问日志和Web攻击日志。 功能简介 日志分析模块主要是介绍和指导客户如何分析域名访问日志和Web攻击日志。为您提供一个月内的访问日志和Web攻击日志。 创建日志任务 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【数据分析】，进入【日志分析】菜单。 3. 单击页面左上角【新建日志任务】按钮。 4. 配置完成后，单击【确定】，保存日志任务。 注意 本产品相关数据从您成功配置任务后才开始生成和记录。若您尚未进行任务配置，将无法获取到任何数据。 请您在使用相关功能前，先完成任务配置，以确保正常使用。 配置项说明 配置项 说明 任务名称 配置任务的名称，支持中英文、数字、最长30个字符。 日志类型 配置需要创建的日志类型，支持配置业务访问日志和Web应用攻击日志。一个任务只能配置一种日志类型。 关联域名 配置日志任务的域名，默认为全部域名。 实时分析日志 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【运营管理】—【数据分析】，进入【日志分析】菜单。 3. 单击【日志任务列表】—【操作】中的【实时分析日志】按钮，进入实时分析日志页面。

本节介绍FileSystem功能操作能力。 FileSystem 是 AIuse 云电脑面向 Agent 和自动化系统提供的文件操作能力，用于在云电脑环境中读取、写入、搜索、移动和管理文件。 能力概述 FileSystem 当前规划和技术方案覆盖以下能力： 能力 说明 读取文件 支持按路径读取文件内容，可按偏移量和长度读取片段 写入文件 支持覆盖写入、追加写入和新建写入模式 创建目录 支持创建目录，并可自动补齐父目录 移动文件 支持文件或目录移动，也可用于重命名 搜索文件 支持按通配符、正则或精确文件名搜索 获取文件信息 支持获取文件大小、类型、路径等元数据 下载文件 大文件或二进制文件可通过临时地址传输，具体能力以发布版本为准 设计目标 FileSystem 能力的目标是为 Agent 提供统一、可控的文件系统语义。 典型场景 读取应用生成的日志、报表或结果文件。 将 Agent 生成的内容写入云电脑工作目录。 查找指定目录下的文件。 将文件移动到指定目录，完成任务归档。 配合 Computer Use 完成“操作软件生成文件，再读取文件内容”的闭环任务。 示例流程 1. 通过 Computer Use 操作桌面软件生成文件。 2. 使用 FileSystem 搜索输出目录。 3. 读取目标文件内容。 4. 将结果返回业务系统或 Agent。

此小节介绍云堡垒机的使用概要。 云堡垒机入手使用的基本流程： 通过Web浏览器、SSH客户端登录云堡垒机系统，依次创建用户、添加资源、配置权限策略，授予用户运维资源权限； 用户获取资源管理权限后，通过云堡垒机登录资源； 审计用户运维会话，以及审计用户登录系统和系统操作。 云堡垒机基础使用流程如下图所示。 使用流程简介： 操作步骤 说明 登录云堡垒机系统 成功购买CBH实例后，获取登录地址登录云堡垒机系统。admin是系统第一个可登录用户，用户密码为自定义设置的密码。 创建系统用户 创建CBH系统用户，一个用户对应一个系统登录帐号。 添加系统资源 添加资源信息，并纳管资源账户。 添加资源，可纳管资源包括Linux主机、Windows主机、数据库、应用系统等。 l 添加资源后，可纳管资源账户，实现自动登录资源进行运维管控。 配置运维权限 创建访问控制权限。 策略授权用户访问资源后，用户才有权限登录相应资源，才能对资源进行运维操作。 登录资源运维 授权用户通过CBH系统登录相应资源，不同资源类型可选择不同登录方式。 审计运维会话 在系统Web页面审计用户系统登录和操作，以及审计用户运维会话。

在数据库端或应用端的节点安装Agent后，当不需要停止审计数据库时，您可以在安装Agent的节点卸载Agent。 前提条件 已在安装节点安装了Agent程序。 在Linux操作系统上卸载Agent 1. 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录已安装Agent的节点。 2. 执行以下命令，进入Agent安装包“xxx.tar.gz”解压后所在目录。cd Agent 安装包解压后所在目录。 3. 执行以下命令，查看是否有卸载脚本“uninstall.sh”的执行权限。如果有卸载脚本的执行权限，请执行步骤4。如果没有卸载脚本的执行权限，请执行以下操作： 执行以下命令，添加卸载脚本执行权限。chmod +x uninstall.sh。 确认有安装脚本执行权限后，请执行步骤4。 4. 执行以下命令，卸载Agent。sh uninstall.sh。如果界面回显以下信息，说明卸载成功。 uninstall audit agent... exist osrelease file stopping audit agent audit agent stopped stop auditagent success service auditagent does not support chkconfig uninstall audit agent completed! 在Windows操作系统上卸载Agent 1. 进入Agent安装文件的目录。 2. 双击“uninstall.bat”执行文件，卸载Agent。 3. 验证Agent已卸载成功。 4. 打开任务管理器，查看“dbssauditagent”进程已停止。 5. 查看Agent安装目录，安装目录内容已经全部删除。

本文主要介绍主机监控 。 主机监控分为基础监控、操作系统监控和进程监控。 基础监控：ECS自动上报的监控指标，数据采集频率为5分钟1次。可以监控CPU使用率等指标，详见弹性云主机支持的基础监控指标。 操作系统监控：通过在弹性云主机或物理机中安装Agent插件，为用户提供服务器的系统级、主动式、细颗粒度监控服务。数据采集频率为1分钟1次。除了CPU使用率等指标外，还可以支持内存使用率（Linux）等指标，详见 弹性云主机支持的操作系统监控指标（安装Agent）。 进程监控：针对主机内活跃进程进行的监控，默认采集活跃进程消耗的CPU、内存，以及打开的文件数量等信息。 注：Linux操作系统安装插件需要root权限；Windows操作系统安装插件需要管理员权限。 应用场景 无论您使用的是弹性云主机还是物理机，都可以使用主机监控来采集丰富的操作系统层面监控指标，也可以使用主机监控进行服务器资源使用情况监控和排查故障时的监控数据查询。 监控能力 云监控服务会提供CPU、内存、磁盘、网络等多种监控指标，满足服务器的基本监控运维需求。详细的监控指标请参考弹性云主机支持的基础监控指标。

本节为您介绍如何为集群安装Agent。 如果您想要为CCE集群的所有node节点或自建k8s集群所有节点安装Agent，可以通过集群Agent管理功能为集群安装Agent，使用该功能后，后续集群节点或Pod扩容时，无需您手动安装Agent。 CCE集群安装Agent 1、登录管理控制台。 2、在左侧导航栏中，选择“资产管理 > 容器管理”，进入“容器管理”界面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 3、选择“集群Agent管理 > CCE集群 "页签。 4、在目标集群所在行的操作列，单击“安装Agent”。 您也可以勾选所有目标集群，并单击列表左上方的“安装Agent”，批量为CCE集群安装Agent。 5、在弹窗中单击“确认”，为CCE集群所有节点主机安装Agent。 安装Agent预计耗时10分钟，请您等待10分钟后，鼠标滑动至“节点Agent安装状态”列查看节点Agent安装情况。 自建集群安装Agent 1、登录管理控制台。 2、在左侧导航栏中，选择“资产管理 > 容器管理”，进入“容器管理”界面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 3、选择“集群Agent管理 > 自建集群”页签。 4、单击“接入自建集群”。 5、在“接入自建集群”弹窗中，填写集群信息并单击“生成命令”。 您可以在弹窗中，单击“保存”，保存本次生成的命令。 6、在可执行k8s命令的主机中创建一个新的yaml文件，例如abcd.yaml。 7、将生成的命令拷贝到abcd.yaml中。 8、在主机中执行以下命令，运行abcd.yaml，安装Agent。安装Agent预计耗时10分钟，请您耐心等待。 kubectl apply f abcd.yaml 9、命令运行完成后，返回HSS控制台。 10、在左侧导航栏，选择“安装与配置”，进入“安装与配置”界面。 11、选择“Agent管理”页签，查看集群服务器的Agent状态为“在线”，表示Agent安装成功。