本章节介绍注册配置中心审计日志 概述 MSE注册配置中心控制台记录所有用户写操作，方便用户回溯 前提条件 1. 已开通微服务引擎MSE； 2. 已开通Nacos实例并且状态正常； 查看控制台审计日志 操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表。 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 4. 选择审计日志> 控制台操作日志页面，查看当前实例的所有写操作记录。 记录项 记录说明 示例 操作时间 MSE注册配置中心控制台提交该操作的时间，精确到秒 20250230 15:39:01 操作人 操作者在天翼云的用户名，可以是主账号或者子账号的用户名 张三(xxx@chinatelecom.cn) 操作类型 数据操作类型(新增/删除/修改) 新增 操作模块 MSE注册配置中心控制台一级菜单模块 配置管理 操作详情 具体的操作记录 创建命名空间[ID:delete,名称:delete] 操作结果 当次操作的结果（成功/失败），如果结果为失败，则会附加失败原因 失败(命名空间下存在配置，禁止删除)

本节介绍了如何创建云数据库TaurusDB实例的只读节点。 操作场景 只读节点用于增强实例主节点的读能力，减轻主节点负载。 TaurusDB的“包年/包月”和“按需计费”实例创建成功后，您可根据业务需要，创建只读节点。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择指定的实例，单击操作列的“更多 > 创建只读”，进入“创建只读”页面。 您也可在实例的“基本信息”页面，单击拓扑图中的，创建只读节点。 步骤 5 在“创建只读”页面，选择“故障倒换优先级”和“购买数量”，单击“立即创建”。 故障倒换优先级的取值范围为1~16，数字越小，优先级越大，即故障倒换时，主节点会优先倒换到优先级高的备节点上，优先级相同的备节点选为主节点的概率相同。

说明：本章节会介绍如何修改数据库内网安全组 操作场景 关系型数据库服务支持修改数据库引擎的主实例和只读实例的内网安全组，对于主备实例，修改主实例的内网安全组，备实例的内网安全组会被同步修改。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4. 在“实例管理”页面，选择指定的实例，在实例列表中，选择对应的主实例或只读实例，单击实例名称。 5. 在“基本信息”页签“连接信息”模块的“内网安全组”处，单击，选择对应的内网安全组。 单击，提交修改。 单击，取消修改。 6. 稍后单击“基本信息”页面右上角的，查看修改结果。此过程需1～3分钟。

对当前实例的恢复操作 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在左侧导航栏中选择“备份恢复”页签，单击“恢复到指定时间点”。 步骤 6 选择恢复日期和该日期下可恢复的时间区间，并输入要恢复到的时间点，选择恢复方式，单击“确定”。 恢复到新实例 跳转到“恢复到新实例”的服务选型页面： − 数据库引擎和数据库版本，与原实例相同，不可重置。 − 其他参数默认，用户如需设置，请参见购买。 步骤 7 查看恢复结果。 恢复到新实例 为用户重新创建一个和该时间点数据相同的实例。可看到实例由“创建中”变为“正常”，说明恢复成功。 恢复成功的新实例是一个独立的实例，与原有实例没有关联。如需使用只读实例，请重新在该实例上进行创建。 实例创建完成后，系统会自动执行一次全量备份。 结束

本页汇总介绍数据传输服务的最佳实践。 本文汇总了数据传输服务DTS常见应用场景的操作实践，每个实践我们提供详细的方案描述和操作指导，用于指导您快速实现数据库迁移和同步。 最佳实践一览表如下： 模块 源数据库类型 目标数据库类型 相关文档 数据迁移 其他云MySQL RDS for MySQL []( for MySQL 数据迁移 本地MySQL RDS for MySQL []( for MySQL 数据迁移 其他云PostgreSQL RDS for PostgreSQL []( for PostgreSQL 数据迁移 本地PostgreSQL RDS for PostgreSQL []( for PostgreSQL 说明 目前，DTS数据同步只支持MySQL到MySQL、PostgreSQL到PostgreSQL的同步链路。进行数据同步需订购数据同步实例，操作方面其他云MySQL/PostgreSQL到RDS for MySQL/PostgreSQL、本地MySQL/PostgreSQL到RDS for MySQL/PostgreSQL的数据同步操作流程与数据迁移类似，不再赘述。

本页介绍天翼云TeleDB数据库元数据pgauditobjconf的内容。 存储对象级别的审计策略的管理和配置。 名称 类型 定义 auditorid Oid 编写配置用户id classid Oid ObjectAddress的classid objectid Oid ObjectAddress的objectid objectsubid int32 ObjectAddress的objectsubid actionid int32 需要审计的行为ID actionmode char 何时进行审计：成功时、失败时或全部 actionison bool 开启或关闭此审计配置

本文介绍如何基于天翼云海量文件服务(CTOceanFS)进行ownCloud网盘搭建。 应用场景 ownCloud是一款用于自建企业云盘（私有网盘）的云存储开源软件，采用PHP+MySQL开发，提供了PC、IOS和Android三个同步客户端支持多种设备访问，用户可以很方便地与服务器上存储的文件、日程安排、通讯录、书签等重要数据保持同步。本次介绍基于天翼云海量文件服务来搭建一个ownCloud个人网盘。 方案使用云产品 海量文件服务，弹性云主机 方案优势 海量文件服务可弹性扩容，支持ownCloud网盘的容量需求。 实现跨平台文件同步、文件共享和权限控制等功能，满足用户对网盘的使用需求。 操作步骤 步骤一：购买弹性云主机和海量文件服务 1.本次操作实践中，需要购买弹性云主机作为海量文件服务的挂载点和创建网盘服务器。网盘上传下载文件数据需要占用弹性云主机公网带宽，因此需要为弹性云主机配置弹性IP。此次以CentOS 8.4系统为例介绍操作。 弹性云主机购买流程详见创建弹性云主机。弹性云主机部分参可参考下表： 参数 说明 镜像 CentOS 8.4 64位。 弹性IP 自动分配。 IP版本 IPv4。 带宽 5M。 2.创建海量文件服务，操作详见创建文件系统，部分参数可参考下表： 参数 说明 存储类型 OceanFS容量型。 协议类型 NFS。 选择网络 选择与弹性云主机相同VPC。

数据卷类型 卷说明 控制台 OpenAPI 云硬盘 云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以为ECI提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景 支持 支持 弹性文件 弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可为云上多个弹性云服务器、容器、裸金属服务器提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持 支持 支持 对象存储 对象存储（CTZOS，Zettabyte Object Storage）是天翼云为客户提供的一种海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务 支持 支持 EmptyDir 临时目录(EmptyDir)是ECI为客户提供的一种空目录存储形态，用于临时存放数据，便于容器组内多个容器之间进行数据共享 支持 支持 配置项 配置项(configFile)是ECI为客户提供的一种存放配置文件的存储形态，用于向ECI实例注入配置数据，便于容器从自定义路径读取相关配置信息 支持 支持 自定义临时存储 ECI实例默认为用户提供40GiB的免费存储空间，如果该空间无法满足用户需求，支持自定义临时存储空间大小 支持 支持

安装 Ingress 控制器 如果您尚未安装 Ingress 控制器，可以使用以下命令安装 NGINX Ingress Controller： plaintext kubectl apply f 配置 Ingress 资源 创建一个 Ingress 资源来公开您的服务。示例 Ingress 配置如下： plaintext apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: exampleingress namespace: default spec: rules: host: http: paths: path: / pathType: Prefix backend: service: name: exampleservice port: number: 80 替换 为您的公网 DNS 名称，exampleservice 为您的服务名称。 应用 Ingress 配置： plaintext kubectl apply f exampleingress.yaml 配置 DNS 将您的公网 DNS 名称指向 Ingress 控制器的外部 IP 地址。可以在您的域名注册商处配置 DNS 记录。例如： 类型：A 名称： 值：Ingress 控制器的外部 IP 地址 验证连接 配置完成后，您可以通过公网访问您的 Kubernetes 集群和服务。例如，在浏览器中访问： 安全注意事项 认证和授权：确保 API Server 启用了适当的认证和授权机制。 网络安全：使用 HTTPS 加密流量，确保数据传输的安全性。 防火墙：仅开放必要的端口，并限制访问来源 IP。 审计日志：启用审计日志，监控和记录访问行为。 常见问题 无法访问 API Server 检查防火墙规则是否正确配置。 确认 API Server 配置中的公网 IP 和 DNS 名称正确无误。 检查 API Server 日志以获取详细错误信息。

本文将帮助您了解HTTP/HTTPS请求获取客户端真实源IP地址的工作原理及操作步骤。 应用场景 客户端真实源IP地址可以用于分析网站流量和用户行为。通过分析来源IP地址，可以了解用户的地理位置、浏览器偏好和其他用户行为指标。这些数据可以用于优化网站设计、定位目标受众和改善用户体验。 工作原理 负载均衡的工作原理本身会将一个会话拆分成两段：第一段是从客户端到ELB；第二段是从ELB到后端主机。客户端访问业务的源IP地址是客户端IP地址，目的地址是ELB的服务地址，数据报文到达ELB后，ELB会将报文的源IP地址从客户端的IP地址替换为ELB的IP。ELB再根据客户预定义的负载算法选择的目标主机，将报文的目的IP地址替换为后端主机地址，再将数据转发到后端主机。所以后端主机得到的访问请求源IP地址是ELB的地址。在实际业务中，存在一些场景，需要通过客户的真实IP来达到统计和监控等目的。 天翼云集群模式资源池，HTTP/HTTPS ELB的监听器可以开启了XForwardedFor头字段，字段的格式如下： XForwardedFor: , , , … 当使用此方式获取HTTP/HTTPS请求客户端真实IP地址时，获取到的第一个地址就是客户端真实IP。 主备、集群模式资源池列表见产品简介产品类型和规格，实际情况以控制台展现为准。

本节给出Linux客户端挂载HBlock单机版的卷示例。 应用场景 Linux客户端需要连接HBlock单机版的卷。 需要连接的HBlock单机版的卷为lund1和lunf1，lund1有CHAP认证。 前置条件 对于需要连接HBlock单机版的客户端，已经按照客户端配置的前置条件成准备工作。 对于HBlock服务器端，已经成功创建卷lund1和lunf1。 操作步骤 HBlock服务器端 查询要连接的LUN及LUN对应iSCSI Target的详细信息。 plaintext [root@hblockserver CTYUNHBlockPlus4.0.0x64] ./stor lun ls n lund1 LUN Name: lund1 (LUN 0) Storage Mode: Local Capacity: 500 GiB Status: Normal iSCSI Target: iqn.201208.cn.ctyunapi.oos:targetd.4(192.168.0.32:3260,Active) Create Time: 20260121 10:00:34 Local Sector Size: 4096 Bytes Data Health: 100% normal, 0% low redundancy, 0% error Write Policy: WriteBack WWID: 33000000068f2f320 UUID: lunuuid3ddcc779bf3442b9ac5e0339dae28821 Path: /mnt/storage01 Snapshot Count: 0 Snapshot Size: 0 B (Note: Snapshot size may vary due to LUN issues or parent snapshot deletion.) [root@hblockserver CTYUNHBlockPlus4.0.0x64] ./stor target ls n targetd Target Name: targetd Max Sessions: 2 Create Time: 20260121 09:59:12 iSCSI Target: iqn.201208.cn.ctyunapi.oos:targetd.4(192.168.0.32:3260) LUN: lund1(LUN 0) Reclaim Policy: Retain CHAP: testd,T12345678912,Enabled [root@hblockserver CTYUNHBlockPlus4.0.0x64]

OpenClaw云电脑开机后一直停留在黑色页面，没有进度。 这个黑框是后台服务，不要关闭，请点击桌面的 “OpenClaw进入应用” 打开聊天页面。 OpenClaw的后台服务打开后闪退 OpenClaw执行指令时误删除了系统文件，如无重要数据建议重装系统恢复。 如果云电脑是内网，不能访问外网可以用吗？ 不可以，必须要能访问公网。 云电脑OpenClaw默认打开谷歌浏览器，这个默认浏览器可以修改吗？ OpenClaw只是打开系统的默认浏览器，将您需要的浏览器设置为默认浏览器即可。 提问OpenClaw没有回答，后台进程显示“403 Forbidden”字样的报错信息。 风控要求对OpenClaw云电脑出口ip进行白名单管控。您的云电脑出口ip不在后台的白名单中，请联系运维人员进行ip加白。若加白后仍无法正常问答，请按以下指引操作： 1. 按下win+r ，输入 ncpa.cpl； 2. 右键选中网络适配器的属性； 3. 取消勾选 Internet协议版本6 (TCP/IPv6)，确认并保存。 OpenClaw提示：已断开与网关的连接，device identity required 建议通过系统重装升级到最新镜像。升级方法同重装操作系统一致，参考下方链接中“已有云电脑用户，切换OpenClaw镜像体验”。 < 小程序的AI云电脑的界面进入不了云电脑，显示订购页面 当前账号没有云电脑，可以参加活动领取一台，或新购一台云电脑。方法见快速入门（必看）中，新用户免费体验。

本节介绍在云电脑中使用OpenClaw的常见问题。 如何获取云电脑系统密码？ 在开通云电脑时，会通过短信发送系统密码，请注意查收短信。如未收到短信，请通过云电脑客户端→设置→立即报障，进行处理。 OpenClaw云电脑开机后一直停留在黑色页面，没有进度。 这个黑框是后台服务，不要关闭，请点击桌面的 “OpenClaw进入应用” 打开聊天页面。 OpenClaw的后台服务打开后闪退 OpenClaw执行指令时误删除了系统文件，如无重要数据建议重装系统恢复。 如果云电脑是内网，不能访问外网可以用吗？ 不可以，必须要能访问公网。 云电脑OpenClaw默认打开谷歌浏览器，这个默认浏览器可以修改吗？ OpenClaw只是打开系统的默认浏览器，将您需要的浏览器设置为默认浏览器即可。 提问OpenClaw没有回答，后台进程显示“403 Forbidden”字样的报错信息。 风控要求对OpenClaw云电脑出口ip进行白名单管控。您的云电脑出口ip不在后台的白名单中，请联系运维人员进行ip加白。若加白后仍无法正常问答，请按以下指引操作： 1. 按下win+r ，输入 ncpa.cpl； 2. 右键选中网络适配器的属性； 3. 取消勾选 Internet协议版本6 (TCP/IPv6)，确认并保存。 OpenClaw提示：已断开与网关的连接，device identity required 建议通过系统重装升级到最新镜像。升级方法同重装操作系统一致，参考下方链接中“已有云电脑用户，切换OpenClaw镜像体验”。 <

本文主要介绍登录云主机后无输入法图标,按住Ctrl+shift键不生效等问题的解决办法。 故障原因 • 工具栏中未开启语言栏。 • 病毒感染，导致系统文件、注册表损坏。 操作步骤 方式一 1. 登录弹性云服务器。 2. 检查右下角任务栏中是否存在输入法的图标。 3. 若不存在输入法图标，请尝试使用Ctrl+Shift查看是否能进行输入法切换，若失败请进行下面操作。 4. 在任务栏的空白处右键后选择：工具栏 >语言栏。 方式二 1. 登录弹性云服务器。 2. 在C:WindowsSystem32中找到ctfmon.exe。 3. 双击执行后查看是否显示输入法图标。 4. 将ctfmon.exe添加到注册表中：在运行窗口中输入regedit进入注册表编辑器，在下图路径HKEYLOCALMACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > Run新建一个注册表文件—ctfmon.exe。 5. 将ctfmon.exe添加到开机自启动中：在运行窗口执行msconfig，查看“启动”中ctfmon项是否已经勾选。 6. 点击应用后重启弹性云服务器可生效。

在高性能计算与人工智能领域飞速发展的当下，数据传输的效率与稳定性已成为决定计算任务成败的关键因素。IB 网络以其卓越的高带宽、超低延迟和可靠的远程直接内存访问（RDMA）技术，为大规模分布式训练、科学计算等场景提供了无与伦比的网络支持。无论是构建大型数据中心集群，还是运行对网络要求严苛的深度学习任务，NVIDIA GPU 物理机与 IB 网络的深度融合都展现出强大的协同优势。本指南将系统梳理 NVIDIA GPU 物理机环境下 IB 卡和GPU相关常见问题，并介绍 gpuburn 测试完整操作流程，帮助您快速掌握处理对策，解锁高效计算的新可能。 一、IB（InfiniBand）背景介绍 在高性能计算与数据中心网络领域，RoCE（RDMA over Converged Ethernet）和 NVIDIA IB（InfiniBand）是实现高速数据传输的两大主流技术，它们虽都支持远程直接内存访问（RDMA），但在架构、性能和应用场景上存在显著差异。 维度 RoCE（RDMA over Converged Ethernet） NVIDIA IB（InfiniBand） 网络类型 基于以太网（Ethernet）的 RDMA 协议 专用高速网络架构（独立于以太网） 物理介质 普通以太网交换机、网线（支持 10/25/100G 等） 专用 IB 交换机、光纤 / 铜缆（支持 100/200/400G 等） 延迟 微秒级（通常 110 μs） 纳秒级（通常 < 1 μs，更低延迟） 协议复杂度 依赖以太网 QoS（如 PFC/ETS）避免拥塞 内置流量控制（如 Credits），无需额外配置 典型场景 通用数据中心、混合网络环境 高性能计算（HPC）、AI 训练集群（如 NVIDIA DGX）

介绍分布式消息服务RabbitMQ预取值功能 使用场景 所谓消息预取机制，它定义了在一个信道上，消费者允许的最大未确认的消息数量。 一旦未确认的消息数量达到了设置的预取值，RabbitMQ就停止传递更多消息，除非至少有一条未完成的消息得到了确认。 如何设置合适的预取值 通常，增加预取将提高向消费者传递消息的速度。虽然自动应答传输消息速率是最佳的，但是，在这种情况下已传递但尚未处理的消息的数量也会增加，从而增加了消费者的 RAM 消耗(随机存取存储器)应该小心使用具有无限预处理的自动确认模式或手动确认模式，消费者消费了大量的消息如果没有确认的话，会导致消费者连接节点的内存消耗变大，所以找到合适的预取值是一个反复试验的过程，不同的负载该值取值也不同 100 到 300 范围内的值通常可提供最佳的吞吐量，并且不会给消费者带来太大的风险。 预取值为 1 是最保守的。当然这将使吞吐量变得很低，特别是消费者连接延迟很严重的情况下，特别是在消费者连接等待时间较长的环境 中。对于大多数应用来说，稍微高一点的值将是最佳的。 设置预取值 设置预取值的java示例代码如下 ConnectionFactory factory new ConnectionFactory(); Connection connection factory.newConnection(); Channel channel connection.createChannel(); channel.basicQos(20, false);

本页介绍天翼云TeleDB数据库新建或编辑表结构相关操作。 界面介绍 新建表和编辑表的界面布局是一致的，不同的数据库类型，可能会有不同的模块信息供填写，以MySQL表为例，分为以下模块： 基本信息：填写表的名称、备注等整体属性。 列信息：填写列的数据类型、默认值、备注等属性。 索引信息：填写表的索引名称、索引类型等属性。 外键信息：填写表的外键名称、参考表列等属性。 约束信息：填写表的check约束表达式。 操作步骤 从元数据管理页面进入 1. 在左侧菜单栏中，选择数据源管理 > 元数据管理 ，在操作 列单击库列表 。 2. 进入库列表后，再选择模式，选择对象列表，展示当前库下的所有表。 3. 进入对象列表后，单击新建表 按钮，即可进入新建表 页面；单击某个表的编辑按钮，即可查看该表的属性。 从查询窗口页面进入 1. 进入MySQL某个库下的查询窗口。如何进入查询窗口，请参见查询指引章节。 2. 选中某个表，右键选择弹出菜单中的新建表 ，进入新建表页面；选择弹出菜单中的编辑表 ，即可查看该表的属性。

此小节介绍企业主机安全资产指纹。 主机资产管理 查看主机资产信息 HSS提供资产管理功能，主动检测主机中的开放端口、系统运行中的进程、主机自启动项。通过资产管理，您能集中清点主机中的各项资产信息，及时发现主机中含有风险的各项资产。 资产管理仅提供风险检测功能，若发现有可疑资产信息，请手动处理。 约束限制 需开启企业版、旗舰版、网页防篡改版或容器版中任一版本。 检测周期 帐号、开放端口：实时检测。开放端口检测结果每6小时刷新一次统计数据。 进程、Web目录管理、软件信息管理、自启动：每日凌晨自动进行一次检测。 查看所有主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、选择“资产管理>资产指纹”，进入“资产指纹”页面，查看所有主机资产。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。 根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00） 查看单服务器的主机资产信息 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏，选择“资产管理>主机管理”，进入“主机管理”界面，选择“云服务器”页签，进入云服务器页面。 5、单击目标服务器名称，进入目标服务器的详情页面，选择“资产指纹”页签。 6、单击指纹列表的目标指纹类型，查看对应资产信息，资产指纹类型特性如表所示。 主机资产指纹特性 功能项 功能描述 检测周期 帐号 检测主机系统中的帐号，列出当前系统的帐号信息，帮助用户进行帐户安全性管理。根据帐号的实时信息和历史变动，您可以快速排查主机中的可疑帐号。 帐号的实时信息包括帐号的“帐号名称”、“服务器数”以及具体帐号对应的“服务器名称/IP”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 帐号的历史变动记录包括“服务器名称/IP”、“变动状态”、“登录权限”、“ROOT权限”、“用户组”、“用户目录”、“用户启动Shell”和“最近扫描时间”。 实时检测 开放端口 检测主机系统中的端口，列出当前系统开放的端口列表，帮助用户识别出其中的危险端口和未知端口。根据“本地端口”、“协议类型”以及具体端口对应的“服务器名称/IP”、“状态”、“进程PID”、“程序文件”，您能够快速排查主机中含有风险的端口。 手动关闭风险端口 如果检测到开放了危险端口或者开放了不必要的端口，需要排查这些端口是否是正常业务使用，如果不是正常业务端口，建议关闭端口。对于危险端口建议进一步检查程序文件，如果存在风险建议删除或者隔离源文件。 建议您及时优先处理危险程度为“危险”的端口，根据业务实际情况处理危险程度为“未知”的端口。 忽略风险：如果检测出的危险端口是业务正在使用的正常端口，您可以忽略该条告警。忽略之后将不再作为危险项进行记录，也不再发送告警。 实时检测 进程 检测主机系统中运行的进程，对运行中的进程进行收集及呈现，便于自主清点合法进程发现异常进程。 根据主机中“进程路径”以及具体进程对应的“服务器名称/IP”、“启动参数”、“启动时间”、“运行用户”、“文件权限”、“进程PID”以及“文件HASH”，您能够快速排查主机中的异常进程。 进程信息管理检测的机制是30天检测不到进程后，自动清除进程信息管理列表中的进程信息。 实时检测 软件 检测并列出当前系统安装的软件信息，帮助用户清点软件资产，识别不安全的软件版本。 根据软件的实时信息和历史变动，您能够快速排查主机中含有风险的软件。 软件的实时信息包括“软件名称”、“服务器数”以及具体软件对应的安装该软件的“服务器名称/IP”和“版本”、“软件更新时间”和“最近扫描时间”。 软件的历史变动记录包括软件的“服务器名称/IP”、“变动状态”、“版本”、“软件更新时间”和“最近扫描时间”。 每日自动检测 自启动项 检测并列出当前所有主机系统中的自启动项，帮助用户及时发现异常自启动项，快速定位木马程序的问题。 自启动项的实时信息包括“名称”、“类型”（自启动服务、开机启动文件夹、预加载动态库、Run注册表键或者定时任务）、“服务器数”以及类型对应的“服务器名称/IP”、“路径”、“文件HASH”、“运行用户”、以及“最近扫描时间”。 自启动项的历史变动记录包括“服务器名称/IP”、“变动状态”、“路径”、“文件HASH”、“运行用户”和“最近扫描时间”。 实时检测 Web站点 统计、展示存放Web内容的目录及对外提供访问的站点信息，您可以查看所有目录及权限、以及和站点所关联访问路径、对外端口、证书信息（后续提供）、关键进程等信息。 1次/周（每周一凌晨06：00） Web框架 统计、展示Web内容对外呈现时所使用框架的详细信息，您可查看所有框架的版本、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 中间件 统计、展示所使用到的所有软件信息，您可查看所有中间件所关联的服务器、版本号、路径、关联进程等信息。 1次/周（每周一凌晨06：00） 内核模块 统计、展示运行在内核层的全量程序模块文件，您可查看所有模块所关联的服务器、版本号、模块描述、驱动文件路径、文件权限、文件哈希等信息。 1次/周（每周一凌晨06：00）

本小节介绍微隔离防火墙业务拓扑使用说明。 工作组 拓扑中每个椭圆形标识代表一个工作组，类似于传统安全中的安全域、业务组等概念。 每个工作组有13个标签，分为位置标签、应用标签、环境标签，可以通过这三个标签来标识一个工作组，例如：“北京电商生产”、“天翼云web测试”等。 单击工作组，可查看该组的基本信息。基本信息页面可以修改该工作组的标签及策略状态。 注意 标签的修改会导致策略的变化，在防护状态下，谨慎修改。 针对工作组修改策略状态时，会改变改组内所有工作负载的策略状态。 点击详细信息，可进入工作组的详细页面。 双击工作组，可展开此工作组，并查看其中工作负载。 工作负载 工作组中每个小方块代表一个工作负载（工作负载可以是物理服务器、虚拟机或容器）。 单击工作负载，可查看该工作负载的基本信息，拓扑中也会高亮显示与此工作负载有访问关系的其他工作负载。 在工作负载基本信息框中可快速修改该工作负载角色及策略状态。重新统计按钮可清空所有针对此工作负载的访问连接记录。 支持在基本信息框中直接新建角色。

本文介绍如何通过CSI插件为CCSE容器挂载天翼云弹性文件服务作为数据卷。 基础信息 云容器引擎（简称CCSE）提供高度可扩展的、高性能的Kubernetes集群、一站式容器服务；获得信通院可信云《全栈容器云解决方案》认证，其整合了镜像、监控、日志、负载均衡、灰度/蓝绿、多种弹性策略、高效调度、集群插件、模板市场等基础能力，帮助企业快速构建和运行可弹性扩展的应用。本文介绍如何通过CSI插件为CCSE容器挂载天翼云弹性文件服务作为数据卷。 注意事项 CCSE引擎挂载弹性文件系统依赖cstorcsi插件，该插件在创建云容器引擎完成后通过插件市场进行配置。 云容器引擎和弹性文件系统须属于同一个VPC和子网下。 操作步骤 步骤一：创建云容器引擎CCSE 从天翼云官网创建一个云容器引擎CCSE，详细步骤参见云容器引擎CCSE订购集群。 步骤二：安装cstorcsi插件 1. 进入购买的CCSE集群，在“插件>插件市场”中选择“cstorcsi”插件进行安装。 2. 安装时需要在yaml文件中填入用户天翼云的AK、SK信息，并点击底部的“安装”按钮： 注意 安装过程中需提供用户AK/SK，获取方式参考

本节介绍了通过公网访问集群的用户指南。 简介 本文档介绍了如何通过公网访问云容器引擎集群。通过正确配置 Kubernetes API Server 和 Ingress 控制器，您可以安全地从公网访问集群资源。 绑定EIP 登录云容器引擎控制台，单击集群名称进入集群。 在集群信息页中，点击连接信息，点击公网访问，若未绑定eip，点击绑定eip，若未创建eip，则需先创建eip。 绑定完eip后。 在集群信息页中，点击连接信息。 点击公网访问，复制kubeconfig文件内容，将该内容复制到$HOME/.kube/config文件下： 配置 API Server 修改 API Server 配置 编辑 Kubernetes API Server 配置文件，通常位于 /etc/kubernetes/manifests/kubeapiserver.yaml。在 command 部分添加以下参数： plaintext advertiseaddress externalhostname 替换 为您的公网 IP 地址，替换 为您的公网 DNS 名称。 重启 API Server 应用配置更改后，Kubelet 会自动重新启动 API Server。您可以通过以下命令检查 API Server 是否正常运行： plaintext kubectl get pods n kubesystem 确保 kubeapiserver Pod 处于 Running 状态。 配置防火墙规则 确保防火墙允许以下端口的入站流量： 6443：Kubernetes API Server 80：HTTP 443：HTTPS 具体的防火墙配置取决于您的云提供商。 配置 Ingress 控制器

您可以通过事件规则过滤事件，将事件路由到分布式消息服务RocketMQ。本文以自定义事件为例介绍将事件路由到分布式消息服务RocketMQ的前提条件、操作步骤和结果验证。 前提条件 开通事件总线EventBridge并委托授权 创建自定义总线服务 开通分布式消息服务RocketMQ，创建实例实例并创建好相应的主题 操作步骤 1. 登录事件总线EventBridge控制台，在左侧导航栏，单击事件总线。 2. 选择目标总线，点击事件源 按钮，点击添加事件源按钮，创建一个自定义事件源；填写事件源名，事件提供方可选择自定义应用。 3. 在左侧导航栏，单击事件规则，然后单击创建规则。 4. 在创建规则页面，完成以下操作，如图1所示。 1. 在配置基本信息 配置向导页面中，在名称 文本框输入规则名称，在描述 文本框输入规则的描述，然后单击下一步。 2. 在配置事件模式 配置向导页面中，事件源类型选择自定义事件源，事件源选择对应的自定义事件源，在事件模式内容代码框输入事件模式，这里可选择匹配全部事件，然后单击下一步。 3. 在配置事件目标配置向导页面中，配置事件目标，分布式消息服务RocketMQ目标参数描述如下，然后单击创建。 图1 创建事件规则时选择服务类型为分布式消息服务RocketMQ

本文简述如何通过诊断工具查询指定IP是否为天翼云CDN节点IP以及对应归属地。 功能介绍 天翼云全站加速服务提供IP归属查询工具，您可以使用该工具检测某IP地址是否为天翼云CDN节点IP，同时获取IP归属地。 应用场景 场景一：配置全站加速服务后，可通过该工具验证客户端的请求是否成功到达天翼云CDN节点IP。如果不是天翼云CDN节点IP，则代表配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的网站访问异常时，可通过该工具查询用户访问的IP是否为天翼云CDN节点IP，来排查网站访问异常的原因。如果IP地址是天翼云CDN节点IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云CDN节点IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 诊断工具说明 1. 登录客户控制台。 2. 单击左侧导航栏【诊断工具】，进入【IP归属查询】页面，输入查询的地址。 3. 输入查询后将显示该地址是否为天翼云CDN节点以及对应归属地。 说明 查询IP为天翼云CDN节点IP，验证结果显示为CDN节点，显示IP归属地。 查询IP不为天翼云CDN节点IP，验证结果显示为不是CDN节点，IP归属地未知。

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

限制互联网访问 1. Linux服务器配置 创建自定义链： sudo iptables N ALLOWEDIPS 添加允许的IP（IP地址为示例，操作时需替换为实际IP地址）： sudo iptables A ALLOWEDIPS s 192.168.1.100 j ACCEPT sudo iptables A ALLOWEDIPS s 10.0.0.5 j ACCEPT sudo iptables A ALLOWEDIPS s 172.24.57.160 j ACCEPT sudo iptables A ALLOWEDIPS j RETURN 应用到SSH端口： sudo iptables A INPUT p tcp dport 22 j ALLOWEDIPS sudo iptables A INPUT p tcp dport 17477 j ALLOWEDIPS 此外，可参考上述命令关闭以下端口互联网访问或设置IP地址白名单：Telnet（23）、Windows文件共享（135、137、138、139、445）、Windows远程桌面（3389）、远程桌面控制（59005910）、数据库类端口（3306、5432、6379、27017）。 2. VPN接入的情况下配置 将OpenClaw Gateway绑定127.0.0.1，切勿直接绑定到0.0.0.0。 关闭18789端口： sudo ufw deny 18789 远程访问时强制使用VPN并启用Gateway认证（在openclaw.json中设置gateway.auth.mode: "token"及强令牌）。 开启详细日志 开启日志记录： openclaw gateway loglevel debug >> /var/log/openclaw.log 2>&1 文件系统访问控制 在Docker部署配置文件(dockercompose.yml)中，利用volumes参数将系统关键目录挂载为:ro（只读）模式，仅保留特定的/workspace为可写状态。 在宿主机系统层，通过chmod 700指令对私密数据目录实施强制访问控制： sudo chmod 700 /path/to/your/workspace

本文主要介绍弹性伸缩服务相关术语解释。 最大或最小实例数 当伸缩策略条件满足时，根据最大实例数和最小实例数自动调整需要添加或移除的云主机数量。例如，按照伸缩策略要求，需要将云主机数量增加到 10 台，但最大实例数是 8，那么系统会按照 8 台云主机数量进行弹性伸缩活动。 期望实例数 默认的云主机数量，当没有伸缩规则满足时，系统保留的云主机数量。手工修改该值，会触发一次弹性伸缩活动。 伸缩组 伸缩组是具有相同属性和应用场景的云服务器和伸缩策略的集合。伸缩组是启停伸缩策略和进行伸缩活动的基本单位。 伸缩配置 伸缩配置即伸缩活动中添加的云服务器的规格。 伸缩策略 触发伸缩活动的条件和执行的动作，当满足条件或者执行的动作时，会触发一次伸缩活动。 伸缩活动 伸缩活动是指在伸缩组内由于伸缩条件满足而触发的云服务器实例数量变更的活动，可能是增加或减少几台云服务器实例。 冷却时间 冷却时间是指冷却伸缩活动的时间，在每次触发伸缩活动之后，系统开始计算冷却时间。伸缩组在冷却时间内，会拒绝由告警策略触发的伸缩活动。其他类型的伸缩策略（如定时策略和周期策略等）触发的伸缩活动不受限制。

（可选）配置FTP防火墙支持 如果需要使用FTP服务器的被动模式，则需要配置FTP防火墙支持。 a.双击“FTP防火墙支持”，打开FTP防火墙支持的配置界面。 b.配置相关参数，并单击“应用”。 数据通道端口范围：指定用于被动连接的端口范围。可指定的有效端口范围为102565535。请根据实际需求进行设置。 防火墙的外部IP地址：输入该弹性云主机的公网IP地址。 c.重启云主机使防火墙配置生效。 设置安全组及防火墙 搭建好FTP站点后，需要在弹性云主机安全组的入方向添加一条放行FTP端口的规则，具体步骤参见为安全组添加安全组规则。放通的端口请参考表。 如果配置了“FTP防火墙支持”，需要在安全组中同时放行FTP站点使用的端口和FTP防火墙使用的数据通道端口。 服务器防火墙默认放行TCP的21端口用于FTP服务。如果选用其他端口，需要在防火墙中添加一条放行此端口的入站规则。 表 设置安全组规则 FTP模式 方向 协议 端口 源地址 主动模式 入方向 TCP 20端口和21端口 0.0.0.0/0 被动模式 入方向 TCP 21端口和1024 65535间的端口（例如50006000） 0.0.0.0/0

本文主要介绍不同类型弹性负载均衡的功能特性对比。 弹性负载均衡有不同的负载均衡类型，分别是独享型负载均衡、共享型负载均衡，便于用户根据不同的应用场景和功能需求选择合适的负载均衡器类型。 协议对比 表负载均衡器支持的协议对比 协议类型 描述 独享型 共享型 四层（TCP/UDP）协议 四层负载均衡：支持TCP和UDP协议，监听器收到访问请求后，将请求直接转发给后端主机。转发效率高，数据传输快。 √ √ 七层（HTTP/HTTPS）协议 七层负载均衡：支持HTTP和HTTPS协议，监听器收到访问请求后，需要识别并通过HTTP/HTTPS协议报文头中的相关字段， 进行数据的转发。转发效率不如四层负载均衡，但是支持加密传输、基于Cookie的会话保持等高级功能。 √ √ WebSocket协议 WebSocket (WS)是HTML5一种新的协议。它实现了浏览器与主机全双工通信，能更好地节省主机资源和带宽并达到实时通讯。 √ √ 后端服务器类型对比 表支持的后端服务器类型对比 后端类型 描述 独享型 共享型 配置混合负载均衡（跨VPC后端） 独享型负载均衡实例支持混合负载均衡的能力，后端主机组不仅支持添加云上VPC内的主机， 还支持添加其他VPC、其他Region、云下数据中心的主机。帮助用户根据业务诉求灵活配置， 将流量请求转发到云上、云间或云下的主机上。 √ ╳ 弹性云主机（ECS） 后端主机支持弹性云主机。 √ √

本节主要介绍方案概述 方案概述 应用场景 近年，各城市都上线了“一网通办”等跟国计民生相关的系统，此类系统由于突然的访问量暴增导致系统响应慢，更有甚者会导致系统宕机，给大家的日常生活带来不小的影响。 某些城市在整点时刻下发消费券，广大市民在一网通办App或者小程序进行领取。 在每年年初，市民会对个人所得税主动申报，大多市民会集中在1月份至3月份进行年度申报。 以上情况均对一网通办的系统有较高的性能要求。 方案架构 针对当前现状，为避免流量高峰期使用出现系统崩溃，而给生活带来不便，性能测试通过模拟相关实际场景，快速构造压力模型，发现不同压力模型下服务的性能瓶颈，避免宕机。 一网通办系统场景压测模板提供以下几种实际场景模拟。 场景一：市民年初申报个人所得税 大型城市（1000w+人口）从1月份至3月份是市民申报个人所得税的高峰期。 场景分析：整个系统呈现持续性的超大流量涌入。 参考模型及方案：采用并发模式的多阶段施压性能测试模型。 按照起始流量性能施压一段时间。 施加突发流量。 保持突发流量压力较长周期。例如，起始流量并发值1000，施压10分钟；突发10倍标称流量，并发值10000，施压120分钟。 模型样例1

本文简述强制跳转的场景及配置方法。 功能介绍 强制跳转功能，可以将用户到边缘节点的请求方式重定向为HTTP或HTTPS请求。天翼云边缘安全加速平台安全与加速服务支持配置HTTP和HTTPS强制跳转，适用场景： 已经配置了HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTPS请求强制跳转为HTTP请求。 注意事项 当HTTPS开关未启用时，强制跳转只支持从HTTPS301或302重定向为HTTP。只有当HTTPS开启且完成证书配置的情况下，才支持从HTTP301或302重定向为HTTPS。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入请求协议页面，单击“编辑配置”。 4.变更“强制跳转”，从停用改为启用。 5.选择目标跳转场景，如“HTTP>HTTPS”、“HTTPS>HTTP”。 6.选择合适的跳转方式，如302跳转或301跳转。 配置界面 新增域名，配置强制跳转： 域名添加完成后，编辑强制跳转：

分类和映射 分类和映射是指对云服务告警进行类型匹配和字段映射。 安全编排 安全编排（Security Orchestration）是将企业和组织在安全运营过程中涉及的不同系统或者一个系统内部不同组件的安全功能通过可编程接口（API）封装后形成的安全能力（即应用）和人工检查点按照一定的逻辑关系组合到一起，以完成某个特定的安全运营过程和规程。 安全编排是将安全运营相关的工具/技术、流程和人员等各种能力整合到一起的一种协同工作方式。 剧本 剧本（Playbook）是安全运营流程在安全编排系统中的形式化表述，它是将安全运营流程和规程转换为机读工作流的过程。 剧本体现了安全防护的逻辑，指示如何调度安全能力。剧本具有灵活性和可扩展性，可以根据实际需求进行修改和扩展，以适应不断变化的安全威胁和业务需求。 流程 流程（Workflow）是将安全运营相关的工具、技术、流程和人员等各种能力整合到一起，形成一种协同工作方式。它由多个相连接的组件构成，流程定义完成后可被外部触发，例如，当新工单产生时自动触发自动审核工单流程。您可以通过可视化流程编辑画布，定义每个节点的组件动作。 流程是剧本触发时响应的方式，它负责将剧本中的指令和规程转化为具体的操作和执行步骤。