本文介绍存储概述。 运行于Serverless集群的工作负载常伴随数据持久化、配置存储和动态分配等存储需求。Serverless集群基于CSI插件实现了容器存储的功能，与天翼云存储服务（如云硬盘，弹性文件服务、对象存储等）深度融合，提供容器存储方案，支持对静态及动态存储卷的管理。 CSI存储卷 目前CSI驱动支持静态存储卷和动态存储卷。每种数据卷的支持情况如下： 天翼云存储 静态存储卷 动态存储卷 天翼云云硬盘 支持 支持 天翼云弹性文件 支持使用CSI驱动以PV、PVC方式挂载弹性文件静态存储卷 暂不支持 天翼云对象存储 支持使用CSI驱动以PV、PVC方式挂载对象存储静态存储卷 暂不支持 说明 针对新建集群，推荐您使用CSI插件，Serverless集群会持续更新CSI插件的各种能力。 CSI存储插件 CSI插件是当前Kubernetes社区推荐的插件实现方案。在Serverless集群的场景下，由弹性容器实例ECI提供数据卷的挂载、卸载功能。CSI插件只包含cstorcsiprovisioner部分，并以无状态负载形态部署，通过将云存储服务的功能与 Kubernetes 的存储框架无缝集成，使用户能够通过 Kubernetes API 动态创建和删除存储卷，而无需直接与云存储服务进行交互。

网页防篡改功能为付费的增值服务，需要单独购买。 操作步骤 1. 登录网页防篡改（原生版）控制台。 2. 在左侧导航栏，选择“网页防篡改 > 防护状态”，在页面右上角单击“购买配额”。 首次使用网页防篡改功能时，进入如下页面，单击“立即升级”。 3. 在订购页面配置购买数量和购买时长。 配置“购买数量”：购买数量需大于等于1。 支持开启“自动续订”，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为1个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 选择“购买时长”，可拖动时间轴设置购买时长。 4. 确认配置参数和配置费用，阅读《天翼云网页防篡改（原生版）服务协议》，并勾选“我已阅读并同意相关协议《天翼云网页防篡改（原生版）服务协议》“，单击“立即购买”。 5. 进入“付款”页面，完成付款。 购买完成后，即可进入防护配额页面，查看已购买的配额。

本章节内容主要介绍相关术语解释 VPC网络 基于虚拟私有云（Virtual Private Cloud，简称VPC）网络的数据迁移是指实时迁移场景下，源数据库与目标数据库属于同一个虚拟网络内或者跨可通信虚拟网络内，不需要您额外搭建其他网络服务。 VPN网络 基于虚拟专用网络（Virtual Private Network，简称VPN）的数据迁移是指实时迁移场景下，源数据库与目标数据库属于同一个可通信的虚拟网络内，并且通过VPN在用户的其他数据中心和云平台之间建立的一条符合行业标准的安全加密通信隧道，可将已有数据中心无缝扩展到云上。 目前天翼云VPN只支持IPSec VPN。 专线网络 专线网络是通过云专线服务将用户侧的数据中心连接至云计算平台Region的虚拟私有云专线连接。您可以利用专线网络建立云与数据中心的专线连接，享受高性能、低延迟、安全专用的数据网络。 迁移实例 迁移实例是帮助实现数据迁移的辅助型资源，存在于迁移任务的整个生命周期。数据库复制服务可以通过迁移实例连接源数据库，读取源数据，然后将数据库复制到目标数据库中。 迁移日志 迁移日志是指数据库迁移过程中，数据库复制服务为您提供的包含警告、错误和提示等类型的信息。 同步实例 同步实例是帮助实现实时同步的辅助型资源，存在于同步任务的整个生命周期。数据库复制服务可以通过同步实例连接源数据库，读取源数据，然后将实时同步到目标数据库中。

本节介绍云下节点池用户指南。 云下节点池为Anywhere集群特有，用于管理Anywhere集群IDC节点的按需扩缩容场景需求。 前提条件 已创建Anywhere集群，并已经完成部署。 若IDC节点为已安装操作系统的节点，请先确保节点已安装以下工具软件：conntrack（必选）、s3fs工具（可选）。 创建云下节点池 1. 登录分布式容器云平台，选择 集群资源 > 集群管理，在集群列表中，选中目标集群，点击进入； 2. 在目标集群页面，选择节点管理 > 节点池，在节点池页面，单击 创建云下节点池； 3. 在创建云下节点池对话框中，完成云下节点池的配置项。云下节点池创建完成之后，在节点池列表右侧支持编辑云下节点池部分配置项。 节点池配置项内容如下所示： 配置项 说明 是否支持修改 节点池名称 自定义节点池名称 × 架构 节点架构：X86、ARM × 节点类型 物理机(托管)：未装操作系统的物理机节点，节点池扩容时自动安装操作系统； 物理机(纳管）：请提供已安装操作系统的物理机节点； 虚拟机：请提供已安装操作系统的虚拟机节点； × 节点数量 如当前无需创建节点，可填写为0，仅配置节点池信息，后续再进行扩容节点； 填写数量>0时，需填写对应数量的节点信息，完成节点池创建并扩容对应节点到集群内； × 节点网络 节点类型为物理机(托管)类型时，需填写以下网络信息： 子网掩码：节点设备所属子网范围； 网关：节点设备所属子网网关； DNS：节点配置的DNS服务器地址，用于解析域名； × 操作系统 当节点类型为物理机(托管)类型时，选择节点需要安装的操作系统。 × 高级配置（选填） 配置项 说明 是否支持修改 节点标签 为扩容的节点添加标签，采用键值对形式。 √ 节点污点 为扩容节点添加污点，污点包含键、值和Effect(效果)。 Effect可选择NoSchedule、NoExecute、PreferNoSchedule。 NoSchedule：节点上若存在Effect值为NoSchedule的污点，则Pod不会分配到该节点； NoExecute：不能忍受此污点的Pod会被驱逐； PreferNoSchedule：尽量避免调度未忍受该污点的Pod到该节点，但不会强制执行； √ 自定义Kubelet参数 支持自定义Kubelet参数，在节点加入集群时配置； ×

标签路由是将每个服务打上一个标签,通过标签将标签相同的服务分为同一个分组,然后约束流量在同一个分组内流转,以此实现灰度发布、金丝雀发布、蓝绿发布等功能 概述 标签路由是将每个服务打上一个标签，通过标签将标签相同的服务分为同一个分组，然后约束流量在同一个分组内流转，以此实现灰度发布、金丝雀发布、蓝绿发布等功能。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Edgware及以上版本 客户端：Feign、RestTemplate 负载均衡：Ribbon、LoadBalancer。 Dubbo 2.5.3~2.7.8 支持Alibaba Dubbo、Apache Dubbo。 注册中心 Nacos、Eureka、Zookeeper jdk版本 1.8+ 应用场景 A/B测试 在营销活动中，经常会有A/B测试，A/B测试是为了测试不同的规则对业务的影响，所以一个应用会有多个版本同时运行，可以通过标签的方式区分不同的版本，对不同版本的应用进行流量隔离，将特殊用户的流量路由到特殊版本，从而实现A/B测试。 开通标签路由 步骤1：为应用设置标签 为云容器引擎集群应用设置标签，应用容器添加环境变量MSESERVICETAGgray。 为ECS应用设置标签，在启动应用时，添加JVM启动参数Dctgcloud.service.taggray。 步骤2：在微服务治理中心控制台创建标签路由 1. 登录微服务治理中心控制台。 2. 在左侧导航栏选择 微服务治理中心 >应用治理。 3. 在应用治理页面单击目标应用卡片。 4. 在应用页面左侧导航栏选择流量治理 标签路由，查看服务标签。 5. 在标签路由页点击流量分配，为标签按比例分配流量。 6. 在标签路由页的流量规则栏新增流量规则。 流量规则参数说明： 参数 说明 路由名称 路由规则的名称。 应用 所选的应用。 标签 设置的标签名。 应用实例 设置了该标签的实例ip。 是否链路传递 代表开启全链路流控。 框架类型 Spring Cloud Dubbo。 Path SpringCloud为path路径，Dubbo为接口。 条件模式 满足一个条件，或者满足所有条件。 条件列表 可以设置Header、Cookie、Parameter和Body Content四种参数类型。 是否开启流量规则 流量规则开关。

本文主要介绍 iptables与IPVS如何选择。 kubeproxy是Kubernetes集群的关键组件，负责Service和其后端容器Pod之间进行负载均衡转发。 CCE当前支持iptables和IPVS两种转发模式，各有优缺点。 IPVS: 吞吐更高，速度更快的转发模式。适用于集群规模较大或Service数量较多的场景。 iptables: 社区传统的kubeproxy模式。适用于Service数量较少或客户端会出现大量并发短链接的场景。 约束与限制 IPVS模式集群下，Ingress和Service使用相同ELB实例时，无法在集群内的节点和容器中访问Ingress，因为kubeproxy会在ipvs0的网桥上挂载LB类型的Service地址，Ingress对接的ELB的流量会被ipvs0网桥劫持。建议Ingress和Service使用不同ELB实例。 iptables iptables 是一个 Linux 内核功能，提供了大量的数据包处理和过滤方面的能力。它可以在核心数据包处理管线上用 Hook 挂接一系列的规则。iptables 模式中 kubeproxy 在 NAT prerouting Hook 中实现它的 NAT 和负载均衡功能。 kubeproxy 的用法是一种 O(n) 算法，其中的 n 随集群规模同步增长，这里的集群规模，更明确的说就是服务和后端 Pod 的数量。 IPVS IPVS(IP Virtual Server)是在Netfilter上层构建的，并作为Linux内核的一部分，实现传输层负载均衡。IPVS可以将基于TCP和UDP服务的请求定向到真实服务器，并使真实服务器的服务在单个IP地址上显示为虚拟服务。 IPVS 模式下，kubeproxy 使用 IPVS 负载均衡代替了 iptables。这种模式同样有效，IPVS 的设计就是用来为大量服务进行负载均衡的，它有一套优化过的 API，使用优化的查找算法，而不是简单的从列表中查找规则。 kubeproxy 在 IPVS 模式下，其连接过程的复杂度为 O(1)。换句话说，多数情况下，他的连接处理效率是和集群规模无关的。 IPVS 包含了多种不同的负载均衡算法，例如轮询、最短期望延迟、最少连接以及各种哈希方法等。而 iptables 就只有一种随机平等的选择算法。 IPVS相较于iptables的优势大致如下： 1. 为大型集群提供了更好的可扩展性和性能 2. 支持比iptables更好的负载均衡算法 3. 支持服务器健康检查和连接重试等功能

记录类 型 记录 类型介绍 记录 值 格式 适用场景 A记录 指定域名对应的IPv4地址，用于将域名解析到IPv4地址。 填写IPv4地址，最多可以输入8个不重复地址，每行一个。 例:192.168.10.10。 主机记录，也可用作低成本负载均衡方案。 CNAME记录 指定域名的别名，用于将域名解析到另一域名，或者多个域名映射到同一域名上。 填写您要指向的别名，只能写一个域名。 例:www.example.com。 别名记录，可用于隐藏主域名。 MX记录 指定域名对应的邮件服务器，用于为邮件域名设置邮箱服务器。 填写邮箱服务器地址，最多可以输入8个不重复地址，每行一个。格式: [优先级] [邮箱服务器域名地址] 例:10 mailserver.example.com。 邮件交换记录，邮件服务器使用。 AAAA记录 指定域名对应的IPv6地址，用于将域名解析到IPv6地址。 填写IPv6地址，最多可以输入8个不重复地址，每行一个。 例:ff03:0db8:85a3:0:0:8a2e:0370:7334。 IPv6主机记录，场景等同于A。 TXT记录 用于对域名进行标识和说明，可填写任意的信息。 填写文本记录值,每行一个。(单个文本记录值支持多个字符串，每个字符串最长不超过255字符，以空格分开，不支持反斜杠字符””)，最多输入8行记录。 例:"Text wrapped in quotation marks"。 记录DKIM的公钥，用于反电子邮件欺诈。用于记录域名所有者身份信息，用于域名找回。 SRV记录 记录了具体某台计算机对外提供哪些服务，供用户查询使用。SRV中除了记录服务器的地址，还记录了服务的端口，并且可以设置每个服务地址的优先级和权重。 填写指定服务的服务器地址，最多可以输入8个不重复地址，每行一个。格式：[优先级] [权重] [端口号] [目标地址] 例：3 0 2176 xmppserver.example.com。 一般用于Microsoft系统目录管理。 PTR记录 指定IP地址反向解析记录，用于通过私网IP地址反向查询对应的云主机。 反向解析返回的域名值，只能写1个域名。 例:www.example.com。 用于反向地址解析。

9. 在虚拟机上启动Istio 使用 istioproxy 用户启动 istio 代理 sudo u istioproxy systemctl start istio 10. 验证虚拟机上 Istio 是否启动成功 1. 检查 /var/log/istio/istio.log 中的日志，应该能看到类似如下内容： 2. 创建命名空间，部署基于Pod的服务 kubectl create namespace sample kubectl label namespace sample istioinjectionenabled 3. 创建Helloworld服务 kubectl apply f samples/helloworld/helloworld.yaml 4. 从虚拟机像服务发送请求： plaintext [root@msegwvmcaf1otdh tantao] curl helloworld.sample.svc:5000/hello Hello version: v2, instance: helloworldv25df48bd4dcnclfx [root@msegwvmcaf1otdh tantao] curl helloworld.sample.svc:5000/hello Hello version: v2, instance: helloworldv25df48bd4dcnclfx [root@msegwvmcaf1otdh tantao] curl helloworld.sample.svc:5000/hello Hello version: v1, instance: helloworldv1bcd77f79xcs5n

本文为您介绍如何使用控制台创建代理。 操作场景 使用半托管模式模式进行迁移需要首先在对象存储迁移服务的控制台进行创建代理操作。 前提条件 您有可供部署代理软件的设备，且设备能够与数据源端与目的端联通。 部署代理软件的设备需要能联通公网。 操作指导 1. 登录控制中心，点击控制中心左上角的，选择地域（迁移服务目前仅支持华东1）。 2. 单击“存储>对象存储>对象存储迁移服务>迁移任务 ”进入迁移服务的控制台，选择“代理列表”分页进入代理列表，点击“创建代理 ”。 3. 在创建代理的页面，按步骤一提示进行操作，首先填写自定义代理名称。该参数说明如下表： 参数 说明 代理名称 输入自定义的代理名称。 说明： 命名规则：必须为大小写字母、数字、横线或下划线，长度在432个字符之间；自定义的代理名称不能与已存在的代理名称重复。 4. 自定义名称无误后，按步骤二提示进行操作，点击“创建代理并生成校验码”，当校验码生成，则说明代理已经创建成功。 注意 该校验码是您在设备上部署代理软件时必须的校验信息，请您务必妥善保存避免泄露。 4. 按步骤三提示，点击“代理安装包下载 ”按钮，下载代理软件的安装包。安装包下载后，请您点击“代理软件部署指南”的帮助文档链接，按文档教程操作，在您的设备上完成代理的部署和启用。 5. 若您的代理已经部署并启用成功，您只需回到“代理列表 ”分页，即可在代理列表中看到您的代理状态为“已连接 ”。

4.3. 关于日志上传的操作 此操作用于日志上传服务，需要传入的参数有四个，分别是logProject(日志项目编码)，logUnit(日志单元编码)，logData（要上传的日志），source（日志来源）。 参数 类型 描述 是否必须 logProject string 日志项目编码 是 logUnit string 日志单元编码 是 logItems ArrayList 日志信息 是 示例代码：上传日志 plaintext PutLogsResponse response client.PutLogs(logProject, logUnit, logItems); PutLogsResponseBody res response.getBody(); System.out.println("response: statusCode:"+res.getStatusCode()+",message"+res.getMessage()+" ,error:"+res.getError()); PutLogsResponse 里面包含了请求的响应头header和响应体body，其中接收响应数据的响应体body格式如下： 参数 类型 描述 示例 statusCode int 返回码，取值范围：0：正常、1：严重错误,其他自定义 message string 状态描述 SUCCESS error string 参考错误编码列表 日志服务相关错误编码(部分): statusCode error message 1 LTS8000 请求失败，请稍候重试，或提交工单反馈 1 LTS8001 内容不合法，无法解析 1 LTS8004 日志内容包含的日志必须小于[x] MB和[y]条 1 LTS8006 日志内容解压失败 1 LTS8007 Token失效，请重新获取 1 LTS8009 无云日志服务产品实例，请先开通云日志服务 1 LTS8010 日志项目不存在 1 LTS8011 日志单元不存在 1 LTS8013 在1个日志项目下,写入流量最大限制:200MB/s 1 LTS8014 在1个日志项目下,写入次数最大限制:1000次/s 1 LTS8015 在1个日志单元下,写入流量最大限制:100MB/s 1 LTS8016 在1个日志单元下,写入次数最大限制:500次/s 1 LTS18000 调用ITIAM的接口失败

4.3. 关于日志上传的操作 此操作用于日志上传服务，需要传入的参数有四个，分别是logProject(日志项目编码)，logUnit(日志单元编码)，logData（要上传的日志），source（日志来源）。 参数 类型 描述 是否必须 logProject string 日志项目编码 是 logUnit string 日志单元编码 是 logItems ArrayList 日志信息 是 示例代码：上传日志 plaintext PutLogsResponse response client.PutLogs(logProject, logUnit, logItems); PutLogsResponseBody res response.getBody(); System.out.println("response: statusCode:"+res.getStatusCode()+",message"+res.getMessage()+" ,error:"+res.getError()); PutLogsResponse 里面包含了请求的响应头header和响应体body，其中接收响应数据的响应体body格式如下： 参数 类型 描述 示例 statusCode int 返回码，取值范围：0：正常、1：严重错误,其他自定义 message string 状态描述 SUCCESS error string 参考错误编码列表 日志服务相关错误编码(部分): statusCode error message 1 LTS8000 请求失败，请稍候重试，或提交工单反馈 1 LTS8001 内容不合法，无法解析 1 LTS8004 日志内容包含的日志必须小于[x] MB和[y]条 1 LTS8006 日志内容解压失败 1 LTS8007 Token失效，请重新获取 1 LTS8009 无云日志服务产品实例，请先开通云日志服务 1 LTS8010 日志项目不存在 1 LTS8011 日志单元不存在 1 LTS8013 在1个日志项目下,写入流量最大限制:200MB/s 1 LTS8014 在1个日志项目下,写入次数最大限制:1000次/s 1 LTS8015 在1个日志单元下,写入流量最大限制:100MB/s 1 LTS8016 在1个日志单元下,写入次数最大限制:500次/s 1 LTS18000 调用ITIAM的接口失败

本章节主要介绍在Hive MetaStore实例进行Master扩容后，对其他相关服务的修改建议。 前置条件 1. Hive MetaStore完成扩容与配置生效操作。 2. 集群状态正常。 相关服务修改建议 Flink 如果用户配置了数据湖作业，那么就需要登录到所有的Flink client主机，在flink配置目录/user/local/flink/conf/中建立对/user/local/hive/conf/hivesite.xml的软链。 如果Hive MetaStore进行了节点扩容，需要更新该软链或文件，保证Flink使用到的是扩容后的hivesite.xml文件。 最后，根据扩容后的Hive MetaStore节点，更新数据湖作业中配置的hive.uri，并重启作业。 如果用户没有配置数据湖作业，则Flink不需要做任何操作。 Trino 通过翼MR Manager进入Trino集群的“配置管理”页面，修改hive.properties文件。 在参数hive.metastore.uri中按照实际情况填写metastore的地址；例如，三台Hive MetaStore的主机名为hostname1,hostname2,hostnam3,那么该配置的值应为thrift://hostname1:9083,thrift://hostname2:9083,hrift://hostname3:9083。 保存更改后，需要进行配置“同步”操作。 最后，重启Trino集群服务。 Spark 通过翼MR Manager进入Spark集群的“配置管理”页面，修改sparkdefaults.conf文件。 在参数spark.sql.catalog.sparkcatalog.uri中按照实际情况填写metastore的地址；例如，三台Hive MetaStore的主机名为hostname1,hostname2,hostnam3,那么该配置的值应为thrift://hostname1:9083,thrift://hostname2:9083,hrift://hostname3:9083。 保存更改后，需要进行配置“同步”操作。 最后，重启Spark集群服务。

本文主要介绍SQL Server实例的主备切换功能。 前提条件 注意 仅主备版实例支持查看服务可用性。 手动主备切换 关系数据库SQL Server版支持主备切换功能。当主实例出现故障不可用时，主备实例会触发主备切换操作，切换后实例连接地址保持不变，以确保实例的高可用性。此外，在您进行容灾演练或主实例状态不符合业务需要时，还可以在控制台上执行手动切换主备实例操作。 注意 只有主备版的实例，才支持手动主备切换操作。 主备切换过程中实例会出现短暂不可用状态。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称。 4. 在实例详情页面中，选择【服务可用性】。在【服务可用性】页面，单击【主备切换】。 查看主备切换日志 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称。 4. 在实例详情页面中，选择【服务可用性】进行点击。 5. 在【主备切换日志】区域，进行查看对应的切换日志。

本页介绍了文档数据库服务配置参数的变更。 文档数据库服务支持对数据库实例进行参数修改并保存应用，在变更参数前，需要先查看。 查看配置参数 文档数据库服务为创建的实例提供优化过的参数设置作为默认配置参数。您可以在TeleDB数据库控制台查看数据库实例的配置参数。 1. 打开TeleDB数据库控制台实例页面。 2. 左侧点击“DDS”>“实例管理”菜单，进入到实例列表页面。 3. 点击需要查看配置参数实例的“实例名称”，进入到实例详情。 4. 点击“参数设置”标签页，即可查看当前实例的配置参数。 5. 在“参数设置”标签页的右上方支持对参数名进行模糊查找。 变更配置参数 一般情况下，默认的参数已经优化，不需要变更。但用户如果有个性化的设置需求，可以对需要修改的参数进行重新设置。 1. 参考“查看配置参数”章节，进入到“参数设置”标签页。 2. 在需要修改参数的“当前值”列，重新配置您需要修改的值。 3. 点击“参数设置”标签页左上角的“保存”按钮进行保存。 4. 点击“参数设置”标签页左上角的“取消”按钮取消当前修改。 注意 某些参数只能在允许值范围下修改，且某些参数在生产环境下不允许用户进行修改。 配置参数分为静态参数和动态参数两种。动态参数点击保存可以立即生效，而静态参数需要重启文档数据库服务方能生效。 如果修改的参数中含有需要重启才能生效的参数，点击保存按钮后会重启实例（会有重启提示，需要再次点击确认重启生效）。实例重启会造成连接中断和缓存失效，所以如果修改重启生效的参数，请提前做好业务安排，谨慎操作。

场景举例： 如果您需要在本地服务器远程连接云服务器上传或下载文件，您需要添加安全组规则，放通FTP(20、21)端口。 安全组配置方法： 您需要在弹性云主机上先安装FTP服务器程序，再查看20、21端口是否正常工作。 IP版本 授权策略 协议 方向 端口范围 源地址 IPv4 允许 TCP 入方向 2021 0.0.0.0/0 负载均衡健康检查： 场景举例： 对于负载均衡，为保证健康检查正常进行，需要确保服务器安全组已经放通LB内网的地址段。 安全组配置方法： 类型 协议 授权策略 方向 端口范围 源地址 说明 IPv4 Any 允许 入方向 165535 100.89.0.0/16 放通ELB内网IPv4地址段 IPv6 Any 允许 入方向 165535 100::2:0:0:6459:0/112 放通ELB内网IPv6地址段 对于多可用区资源池来说，目前部分资源池已在默认安全组中放通，实际情况以控制台展示为准。 VPC终端节点服务： 场景举例： 对于VPC终端节点，为保证终端节点服务正常进行，需要确保终端节点服务所在后端弹性云主机的安全组已经放通VPCE用的内网地址段(198.19.128.0/20)。

参数 描述 虚拟私有云 关系数据库MySQL版实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及默认子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 注意： 目前关系数据库MySQL版实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系数据库MySQL版实例的子网默认开启DHCP功能，不可关闭。 创建实例时关系数据库MySQL版会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 内网安全组 内网安全组限制实例的安全访问规则，加强关系数据库MySQL版服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，关系数据库MySQL版服务默认为您分配内网安全组资源。

本节介绍了用户指南： 对象存储概述。 云容器引擎支持使用天翼云对象存储作为存储卷。当前cstorcsi插件支持使用对象存储动态存储卷和静态存储卷，通过将对象存储挂载到容器指定目录下，以实现数据持久化需求。 天翼云对象存储为客户提供海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，通过S3协议和标准的服务接口，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务。 使用限制 服务开通 使用前请在云容器引擎集群所在资源池，相应开通对象存储服务，参照指引：点这里 开通地域选择参见：点这里 存储类型 当前cstorcsi仅支持标准、低频两种存储类型 数据加密 暂不支持加密 其他 对象存储产品本身使用限制参见：点这里 产品规格 cstorcsi支持标准存储、低频存储 两种存储类型，这些存储类型具有不同的特点和适用场景，详见：对象存储性能说明 注意 当CSI版本为4.0.0及其以上版本时，删除不为空的对象存储pvc时，将保留对象存储bucket但删除对应的pvc和pv，您可以通过对象存储控制台删除对应的bucket。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的合规检测功能。 功能介绍 支持根据用户实际配置的条件，检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警。 检测范围 请求方法检测：只允许指定请求方法访问网站。 请求协议检测：只允许指定协议版本访问网站。 请求头部缺失检测：请求缺少指定头部禁止访问网站。 数据重复检测：针对头部重复、参数重复进行拦截，禁止访问网站。 请求数据长度限制：针对请求URL、头部参数进行长度限制，禁止访问网站。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为免费版及以上版本，支持合规检测相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力基础安全防护【合规性检测】详细设置页。 注意 域名新增时，会有一条全站合规检测的默认策略，可以通过【防护开关】来开启或者关闭，您也可以自定义合规检测规则。

本章节介绍了云主机备份产品的相关计费说明,包含产品规格和价格,以及对应的使用说明。 说明 该服务目前仅提供给部分存量用户使用，云服务备份（CBR）服务融合了云主机备份（CSBS），新用户请前往 资源节点 当前已在如下资源池节点支持，具体包括： 贵州、福州、杭州、深圳、广州4、苏州、郑州、青岛、西安2、上海4、芜湖、南宁、长沙2、南昌、成都3、乌鲁木齐、昆明、海口、重庆、武汉2、兰州、西宁、石家庄、中卫、长春、天津、北京2、哈尔滨、内蒙3，沈阳3节点 详情参考：天翼云产品服务资源看板 产品价格 适用于贵州、福州、杭州、深圳、广州4、苏州、郑州、青岛、西安2、上海4、芜湖、南宁、长沙2、南昌、成都3、乌鲁木齐、昆明、海口、重庆、武汉2、兰州、西宁、石家庄、中卫、长春、天津、北京2、哈尔滨、内蒙3，沈阳3节点 订购须知： 只有开通了云主机备份服务后，才能使用资源包；开通云主机备份服务需满足账号余额大于100; 购买的资源包在生效期内，扣费方式是先扣除已购买的资源包内的额度后，超出部分以按量付费方式进行结算。 资源包请按节点购买，同一节点下同一类型的多个资源包可以累加后进行费用抵扣； 备份功能费按照备份云主机的系统盘、数据盘空间总和进行收取，可根据本节点下所有待备份云主机的磁盘空间进行资源包大小评估；存储资源费用根据备份数据实际占用的存储空间收费。 说明 上海 4/ 苏州（ AZ1 ） / 苏州（ AZ2 ） / 苏州（ AZ3 ） / 杭州（ AZ1 ） / 杭州（ AZ2 ） / 芜湖 / 福州（ AZ1 ） / 福州（ AZ2 ） / 深圳 / 广州 4/ 长沙 2 （ AZ1 ） / 长沙 2 （ AZ2 ） / 武汉 2 （ AZ1 ） / 武汉 2 （ AZ2 ） / 西安 2 （ AZ1 ） / 西安 2 （ AZ2 ） / 西安 2 （ AZ3 ） / 贵州 / 成都 3/ 北京 2/华北， 功能升级完成。备份策略的执行不再校验账号的按需权限（账户余额大于100元），备份策略会正常执行，以最大限度保障您的数据安全性，确保业务安全。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的IP情报库功能。 功能介绍 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据。 注意 注意：目前控制台尚未开放IP情报规则功能，如有防护需求请通过 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持IP情报库相关功能。 背景信息 目前天翼云边缘安全加速平台安全团队通过大数据分析技术，并基于内置的评分机制对历史攻击数据进行威胁评定，生成IP信誉库，其中恶意IP包含了漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件13种威胁类型，统计IP数量接近120万。 设置IP情报规则 支持通过威胁类型维度针对恶意IP进行监控或拦截的操作，支持配置多条防护规则。 配置项 说明 开关 控制规则为开启/关闭状态 处理动作 支持配置拦截或监控 拦截：对IP访问请求进行拦截处理 监控：不对请求拦截，但是会生成攻击日志 规则名称 支持设置规则名称 防护范围 将通过选择IP可信度、严重级别、威胁类型来配置IP情报防护规则，对同时满足三个配置的IP处理 可信度：即情报的可信度，针对已收录的IP情报，边缘云WAF安全团队将基于内置评分机制进一步验证，根据验证结果评定可信程度为高、中、低 严重级别：恶意IP的严重级别，有严重、高、中、低 威胁类型：漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件，支持多选

本章介绍天翼云关系型数据库的一些通用常见问题及解决办法。 使用RDS要注意些什么 1. 实例的操作系统，对用户都不可见，这意味着，只允许用户应用程序访问数据库对应的IP地址和端口。 2. 对象存储服务（Object Storage Service，简称OBS）上的备份文件以及关系型数据库服务使用的弹性云服务器（Elastic Cloud Server，简称ECS），都对用户不可见，它们只对关系型数据库服务的后台管理系统可见。 3. 查看实例列表时请确保与购买实例选择的区域一致。 4. 申请关系型数据库实例后，您不需要进行数据库的基础运维（比如高可用、安全补丁等），但是您还需要重点关注以下事情： 1. 关系型数据库实例的CPU、IOPS、空间是否足够，如果不够需要变更规格或者扩容。 2. 关系型数据库实例是否存在性能问题，是否有大量的慢SQL，SQL语句是否需要优化，是否有多余的索引或者缺失的索引等。 什么是RDS实例可用性 关系型数据库实例可用性的计算公式： 实例可用性（1–故障时间/服务总时间）×100% RDS实例是否会受其他用户实例的影响 关系型数据库实例不会受其他用户实例影响，因为每个用户的关系型数据库实例与其他用户的实例是相互独立的，并且有资源隔离，互不影响。 关系型数据库支持跨AZ高可用吗 RDS支持跨AZ高可用。当用户创建实例的时候，选择主备实例类型，可以选择主可用区和备可用区不在同一个可用区（AZ）。 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况： 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 相同，主机和备机会部署在同一个可用区，出现可用区级故障无法保障高可用性。

本页面介绍云数据库ClickHouse如何通过CREATE DATABASE创建分布式数据库。 语法 CREATE DATABASE [IF NOT EXISTS] databasename [ON CLUSTER clustername] 参数 IF NOT EXISTS 如果数据库不存在则创建,否则忽略。 databasename 要创建的数据库名称。 ON CLUSTER clustername 指定创建数据库所在的云数据库ClickHouse 集群,不填默认使用默认集群。 示例 创建一个名为test的数据库: CREATE DATABASE test; 创建一个名为analytics的数据库,如果不存在则创建: CREATE DATABASE IF NOT EXISTS analytics; 在指定集群mycluster创建一个名为reports的数据库: CREATE DATABASE reports ON CLUSTER mycluster; 注意事项 数据库名称不能为空或者包含特殊字符。 如果数据库存在会报错,需要使用IF NOT EXISTS处理已存在情况。 创建数据库后需要赋予用户对该数据库的操作权限。 创建数据库后可以在其中再创建表、用户等对象。

操作场景 切换完成后，当前生产业务位于容灾站点，通过切回操作，可将生产业务从容灾站点切回到生产站点。 切回为高危操作，切回后将会在生产端启动业务，需要用户保证容灾端业务已经停止，否则可能造成生产端和容灾端同时接管业务或业务冲突从而造成数据破坏或业务中断。 前提条件 保护实例已初始同步完成，并且保护实例的状态为“同步完成”或者“切回失败”。 保护实例的生产业务位于容灾站点时，才能切回。 切回前需先停止容灾端服务器所有业务并且所有数据已经刷盘完成。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务 SDRS”。进入“存储容灾服务”页面。 3. 在“异步复制”页面，单击待切回的保护实例所在站点复制对的保护实例数。进入对应站点复制对的保护组页面。 4. 在左侧导航选择相应的保护组。进入保护组详情页面。 5. 在保护实例列表中，单击待切回的保护实例所在行操作列的“更多 > 切回”。 6. 进入切回页面，单击“提交”开始切回。 7. 保护实例状态变为“切回中”，等待操作完成。 8. 当保护状态变为“切回完成”，操作成功。

DRDS已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对DRDS的只读权限、对DRDS的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本章节主要描述了物理机的监控。 云监控服务的主机监控分为基础监控和操作系统监控，基础监控为云服务器自动上报的监控指标（物理机服务器不支持基础监控）。操作系统监控通过在物理机服务器中安装Agent插件，为用户提供服务器的系统级、主动式监控服务。Agent占用的系统资源很小，CPU用率<1.5%、内存<50M。 云监控会提供CPU、内存、磁盘、网络等四十余种监控指标，满足服务器的基本监控运维需求。 约束与限制 用户私有镜像不在支持范围内。 Agent插件目前仅支持64位Linux操作系统的物理机服务器实例。 主机监控对Linux镜像支持列表如下表所示。 表 主机监控对Linux镜像支持列表 操作系统类型 支持版本号 Red Hat 6.5，6.7，6.8，7.2，7.3，7.4 SUSE 11.4，12.1 Oracle Linux 6.5，7.3，7.4 CentOS 6.9，7.2，7.3，7.4

本章介绍使用限制内容。 配额 容器镜像服务对单个用户的组织数量限定了配额。 当前容器镜像服务的配额如下表所示。如果您需要添加更多的组织，请提交工单申请。 资源类型 配额 组织数量 5 上传镜像限制 使用客户端上传镜像，镜像的每个layer大小不能超过10G。 使用页面上传镜像，每次最多上传10个文件，单个文件大小（含解压后）不得超过2G。 特性限制 苏州和广州4资源池已开启IPV6双栈特性，您使用Docker或containerd容器镜像时，能够同时兼容IPV4和IPV6协议。

场景 说明 相关文档 开通服务 开通安全与加速服务 新增域名 添加域名 配置加速 配置源站信息、缓存、动态加速等 配置防护 配置Web防护、DDoS防护、CC防护、BOT防护等

本文将介绍针对平台操作审计日志进行介绍。 您通过控制台或API进行相关平台操作时，会实时记录操作内容，用于后续追溯、审计。 注意事项 进行平台相关操作时，如新增域名、修改配置等，均会进行记录到操作日志以供查询，目前该服务能力仅支持【零信任服务】【安全与加速】模块的操作相关记录。 建议查询近6个月数据，若有长时间存储日志需求，可联系我们。 以下是【零信任服务】的操作相关说明，如需查询【安全与加速服务】的操作日志，请参考操作日志。 操作步骤 1. 登录边缘安全加速控制台，进入零信任工作台。 2. 在左侧导航栏，选择日志>平台操作日志，可针对需求进行查询相关日志情况。 字段说明 字段 字段说明 操作时间 用户操作的时间。 操作模块 支持记录操作日志的模块名称。 操作内容 操作内容的具体信息。 操作类型 支持查询、新增、修改、删除相关操作动作。 操作状态 成功、失败。其中成功仅意味当下操作成功下发到后端，并不代表配置实际生成成功。 操作人 操作的帐号名称。 零信任支持操作日志的模块 以下是零信任服务支持记录日志的模块： 菜单 操作模块 总览 效能分析 待办事项 权限审批 待办事项 问题反馈 日志 策略处置记录 身份 用户与组织用户 身份 用户与组织组织 身份 用户组管理 身份 同步身份源 身份 扩展认证源 身份 账户安全登录管理 身份 账户安全密码管理 身份 账户安全个人信息管理 应用 应用配置 应用 应用授权 网络 连接器管理 网络 域名解析管理 终端资产 终端列表 终端资产 设备策略用户新设备激活 终端资产 设备策略设备共享 终端资产 设备策略设备授信策略 终端资产 设备策略设备授信策略 终端资产 设备策略设备授信策略 安全 动态授权 安全 访问控制 设置 客户端设置客户端限速 设置 客户端设置超时注销登录 设置 客户端设置客户端自保护 设置 网络配置 设置 企业服务状态 设置 企业认证标识 日志 终端登录日志 日志 内网审计日志内网访问审计 日志 内网审计日志网关防护日志 日志 内网日志下载 日志 平台操作日志

本节介绍如何在云审计服务事件列表查看Web应用防火墙（原生版）审计事件。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 支持审计的关键操作列表 事件名称 读写类型 租户管理获取ICP状态 读类型 租户的所有实例详情 读类型 独享版租户节点实时信息 读类型 独享版租户查询实例列表 读类型 独享版租户详情 读类型 独享版租户修改实例信息 读类型 独享版租户查询用户可用的eip列表 写类型 独享版租户绑定eipipv4 写类型 独享版租户解绑eipipv4 写类型 独享版防护对象新增 写类型 独享版防护对象更新 写类型 独享版防护对象查询 读类型 独享版防护对象详情 读类型 独享型和saas型的防护对象查询 读类型 ELB防护对象查询ELB防护对象的可用资源池 读类型 安全策略详情 读类型 安全策略更新 写类型 规则组查询 读类型 增强型bot规则查询统计 读类型 增强型bot规则查询 读类型 精准防护查询统计 读类型 精准防护查询 读类型 访问规则新增 写类型 访问规则查询统计 读类型 访问规则查询 读类型 访问规则详情 读类型 访问规则查询加密套件 读类型 访问规则获取可用端口 读类型 访问规则API安全获取防护对象 读类型 访问规则查询WAF回源IP段 读类型 访问规则查询域名是否备案 读类型 访问规则根据资源池id获取cname 读类型 API列表查询 读类型 API安全业务用途查询 读类型 全局规则表对应非全局配置的policy表详情 读类型 管理归档日志查询 读类型 管理归档日志获取当前实例已使用的归档空间 读类型

本节主要介绍弹性文件服务的网络类常见问题。 是否支持跨VPC访问文件系统？ 支持。 SFS容量型文件系统：支持为SFS容量型文件系统配置多个VPC，以使归属于不同VPC的云服务器，只要所属的VPC被添加到文件系统的VPC列表下，或云服务器被添加到了VPC的授权地址中，则实际上归属于不同VPC的云服务器也能共享访问同一个文件系统。具体操作请参见配置多VPC。 SFS Turbo文件系统：支持通过虚拟私有云VPC的对等连接功能，将同区域的两个或多个VPC互连以使这些VPC互通，则实际上不同的VPC便处于同一个网络中，归属于这些VPC下的云服务器也能共享访问同一个文件系统。更多关于VPC对等连接功能信息请参见VPC对等连接。 弹性文件服务支持跨区域挂载吗？ 暂时不支持。文件系统只能挂载至同一区域的弹性云服务器上。例如：苏州的文件系统无法挂载至贵州的弹性云服务器上，只能挂载至苏州的弹性云服务器上。 VPC的安全组是否影响弹性文件服务的使用？ 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。安全组的默认规则是在出方向上的数据报文全部放行，安全组内的弹性云服务器无需添加规则即可互相访问。系统会为每个云帐号默认创建一个默认安全组，用户也可以创建自定义的安全组。 为了确保SFS Turbo能够被您的弹性云服务器访问，在成功创建SFS Turbo后，系统将自动放通SFS Turbo中NFS协议需要的安全组端口，以免文件系统挂载失败。NFS协议所需要入方向的端口号为111、2049、2051、2052、20048。如您需要修改开放的端口，可以前往“网络控制台 > 访问控制 > 安全组”找到目标安全组进行修改即可。 推荐SFS Turbo实例使用单独的安全组，与业务节点隔离。 SFS容量型文件系统的安全组需要用户自行添加对应的入方向和出方向访问规则。SFS容量型文件系统中的NFS协议所需要入方向的端口号为111、2049、2051、2052。CIFS协议所需要的端口号为445，DNS服务器所需的端口号为53。 配置规则 入方向规则 方向 协议 端口范围 源地址 说明 :::::: 入方向 TCP&UDP 111 IP地址 0.0.0.0/0（可配置） 一个端口对应一条访问规则，所有端口信息需逐条添加。 出方向规则 方向 协议 端口范围 源地址 说明 :::::: 出方向 TCP&UDP 111 IP地址 0.0.0.0/0（可配置） 一个端口对应一条访问规则，所有端口信息需逐条添加。 说明 端口号111需要配置双向访问规则。入方向可配置为弹性文件服务的前端业务IP网段，可以通过ping 文件系统域名或IP 或dig 文件系统域名或IP 获取。 端口号445、2049、2050、2051和2052仅需要添加出方向访问规则，其规则同端口111的出方向规则。

本文介绍OpenClaw(原 Clawdbot)更改厂商模型配置的内容。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw更改厂商模型配置的内容。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw是近期在开发者社区和AI领域广受关注的一款开源、自托管的个人AI助手。它以其独特的“本地优先”设计理念，将强大的大型语言模型能力与用户本地系统深度结合，实现了从“对话式AI”到“可执行实际任务的智能体”的跨越。与依赖云端服务的传统AI助手不同，OpenClaw将数据主权和隐私控制权完全交还给用户，所有数据和处理过程均在用户可控的环境中进行，被誉为“首个7×24小时永不下班的AI员工”。它的开源特性也吸引了大量开发者参与生态建设，形成了一个活跃的技能市场。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

使用命名空间 创建工作负载时，您可以选择对应的命名空间，实现资源或租户的隔离。 查询工作负载时，选择对应的命名空间，查看对应命名空间下的所有工作负载。 命名空间使用实践 按照不同环境划分命名空间 一般情况下，工作负载发布会经历开发环境、联调环境、测试环境，最后到生产环境的过程。这个过程中不同环境部署的工作负载相同，只是在逻辑上进行了定义。分为两种做法： − 分别创建不同集群。 不同集群之间，资源不能共享。同时，不同环境中的服务互访需要通过负载均衡才能实现。 − 不同环境创建对应命名空间。 同个命名空间下，通过服务名称（Service name）可直接访问。跨命名空间的可以通过服务名称、命名空间名称访问。 例如下图，开发环境/联调环境/测试环境分别创建了命名空间。 图不同环境创建对应命名空间 按照应用划分命名空间 对于同个环境中，应用数量较多的情况，建议进一步按照工作负载类型划分命名空间。例如下图中，按照APP1和APP2划分不同命名空间，将不同工作负载在逻辑上当做一个工作负载组进行管理。且同一个命名空间内的工作负载可以通过服务名称访问，不同命名空间下的通过服务名称、命名空间名称访问。 图按照工作负载划分命名空间 删除命名空间 删除命名空间会删除该命名空间下所有的资源（如工作负载，短任务、配置项等），请谨慎操作。 步骤 1 登录CCE控制台，在左侧导航栏中选择“ 资源管理 > 命名空间”。 步骤 2 在“集群”下拉框中，选择命名空间所在的集群。 步骤 3 选中待删除的命名空间，单击“删除”。 根据系统提示进行删除操作。系统内置的命名空间不支持删除。