本文介绍了云防火墙与其他云服务的关系。 与统一身份认证服务的关系 统一身份认证服务（Identity and Access Management，简称IAM）为云防火墙服务提供了权限管理的功能。用户在天翼云注册后自动创建主用户，该用户对其所拥有的资源具有完全的访问权限，拥有重置用户密码、分配用户等权限。用户可以通过为子用户配置不同的角色分配访问云防火墙（原生版）不同的权限。云防火墙（原生版）角色包含admin角色和viewer角色，其中admin角色拥有全局权限，可以使用云防火墙（原生版）的全部功能。viewer角色只拥有可读权限，只能查看云防火墙（原生版）相关数据，不能进行配置操作。 与Web应用防火墙（原生版）的区别 Web应用防火墙（原生版）针对Web业务防护，主要应用于对七层应用流量进行防护，其防护对象为域名相关的网站，主要防护Web攻击，通常在用户部署公网Web业务时，需要开启Web应用防火墙对网站进行防护，对非Web类业务没有防护能力，且只防护由外对内的攻击，对业务的恶意主动外联没有监测和防护能力。 云防火墙（原生版）包含全部业务防护，主要应用于对四层网络流量的防护和访问控制，其防护对象为用户的IP，支持对Web漏洞的基础防护以及其他网络层的攻击行为，同时还支持内对外的主动外联流量检测。支持失陷主机和恶意外联的自动拦截。通常在用户开通互联网访问时需要部署，是网络访问基础的防护设备。 具体区别对比如下表： 类别 云防火墙（原生版） Web应用防火墙（原生版） ::: 产品定义 云防火墙（原生版）（CTCFW，Cloud Firewall）是一款云原生的云上边界网络安全防护产品，可提供统一的互联网边界管控与安全防护，并提供业务整体情况可视化、日志审计和分析等功能，帮助您完成网络边界防护与等保合规。 Web应用防火墙（原生版）（CTWAF，Web Application Firewall）为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。 防护对象 IP（弹性公网IP、内网IP等） 域名 网络层级 四层 七层 应用场景 边界网络防护 Web业务安全防护 核心技术 ACL访问控制、DPI深度包检测、IPS入侵检测技术 HTTP协议解析、Web攻击检测 安全能力 支持外部访问控制和主动外联管控，能够检测攻击者对用户网络发起的攻击，同时也能对用户网络主动外联行为进行分析，阻断由内而外的恶意连接行为，保护用户的资产安全。 集成机器学习检测引擎，支持专家经验特征与语义特征，有效检测SQL 注入、XSS等基于形式语言的攻击类型，对OWASP常见攻击类型进行了良好覆盖。 Web应用防火墙建议使用场景： 当用户部署了对外提供服务的Web应用时，建议用户购买Web应用防火墙，以便能够保护所部署Web服务的安全。 注意 无论所部署的Web服务是否位于天翼云上，都可以购买天翼云Web应用防火墙（原生版）对用户的Web服务提供防护，天翼云Web应用防火墙（原生版）提供全球级服务，能够为用户任意位置的Web服务提供全面的Web安全保护。 云防火墙建议使用场景： 当用户在天翼云上购买了弹性云主机时，建议购买云防火墙，以便能够保护用户云上弹性云主机的安全。 注意 天翼云云防火墙仅能保护部署在天翼云内的弹性云主机网络安全，对于在其他位置的主机和网络设备，因其网络流量未流经天翼云，故天翼云云防火墙无法保护其网络安全。

本节主要介绍对象存储迁移实施 对象存储迁移服务（Object Storage Migration Service，OMS）是RDA提供的一种数据迁移服务，帮助客户将其他云服务商对象存储服务中的数据在线迁移至天翼云的对象存储服务（ObjectStorageService，OBS）中。 说明 目前支持亚马逊云（中国）、阿里云、微软云、百度云、华为云、金山云、青云、七牛云、腾讯云平台的对象存储数据迁移到天翼云。 对象存储迁移服务可创建的迁移方式包括： 迁移任务：适用于单个桶数据量不超过3 TB或对象个数不超过500万的对象存储迁移场景。 迁移任务组：适用于单个桶数据量大于3 TB或对象个数大于500万的对象迁移场景。 对象存储迁移使用指导详情请参考云迁移工具RDA用户指南对象存储迁移 迁移前准备工作： 1、购买一台windows弹性云主机用于安装云迁移工具RDA软件。 硬件 / 软件 推荐配置 CPU 1.8GHZ及以上 Memory 4G及以上 Hard Disk 部署安装 RDA的服务器分区需要 3GB以上可用空间。RDA运行过程中，部署安装的分区需要保留 100M以上可用空间。 OS Windows Server 2012Windows Server 2012 R2 Windows Server 2016Windows Server 2019建议选用2016 浏览器 Chrome 31 及以上版本Firefox 27及以上版本 2、 购买一台或者多台linux弹性云主机用于对象存储迁移agent安装。 安装Agent的云主机必须为Linux系统，且必须与安装RDA的服务器处于同一个VPC、同一个安全组。且需要在目的端资源池。 说明 安装RDA的windows主机和agent主机都需要绑定弹性IP。 3、AK/SK：天翼云官网控制台账号我的凭证管理访问秘钥，点击新增访问秘钥，在弹窗生成的excel表中获取对应AK/SK。 4、目标端资源池对照源端创建好相应的桶。 5、对象存储迁移流程如下：

场景 说明 同一地域云资源的跨VPC通信 VPC终端节点可实现同一地域云资源的跨VPC通信。通过购买终端节点服务和相应的终端节点，即可实现云服务的跨VPC访问，具体包括： 配置同帐号跨VPC通信的终端节点。 配置不同帐号跨VPC通信的终端节点。 线下数据中心访问云上资源 VPC终端节点可实现本地数据中心与云上资源之间的安全高效通信，包括配置访问ZOS服务内网地址的终端节点。

关注配额限制 云服务和集群资源均有配额限制，以防止意外过度使用资源。 云服务配额：如弹性云服务器、云硬盘、虚拟私有云、弹性负载均衡、容器镜像服务等均有配额限制，当资源配额限制无法满足使用时，可以提交工单申请扩大配额； 集群配额：租户可创建集群数量、单集群管理节点数量、单节点最大Pod数有配额限制，详见使用限制。 监控控制节点指标 采集控制节点指标可以深入了解控制节点性能并提前识别问题，运行状况不佳的控制节点会影响应用可靠性。 云容器引擎通过ccsemonitor插件对接应用性能监控服务APM，以采集集群指标，默认会采集kubeapiserver、kubecontroller、kubescheduler、etcd等核心组件指标。 可在云容器引擎控制台的“运维管理监控”侧查看这些系统组件的监控面板。 运行npd 工作节点故障可能影响容器应用的正常运行。npd（node problem detector）是Kubernetes社区提供的用于检测集群节点异常的插件，借助npd可及时获取节点可能存在的异常并处理。npd插件支持自定义配置，如目标节点、触发阈值、检查周期等。 配置DNS缓存 CoreDNS默认不缓存DNS，当集群内DNS请求量增加时，CoreDNS可能出现如下问题： 延迟增加：CoreDNS要处理更多请求，DNS查询可能变慢，从而影响业务性能； 资源占用率增加：CoreDNS需要占用更多CPU和内存，以满足激增的DNS请求。 可在集群中部署NodeLocal DNSCache插件以减少DNS请求延迟，提升服务发现的稳定性和性能。该插件在每个集群节点上运行DNS缓存代理，所有注入DNS配置的Pod优先使用该DNS缓存代理进行域名解析，以减少CoreDNS服务的压力，提高集群DNS性能。 详见使用NodeLocal DNSCache。

本文为您介绍使用海量文件服务OceanFS产品时的相关限制,请您务必仔细阅读后使用。 目录 产品使用限制 操作系统限制 注意事项 支持文件系统挂载的操作系统 产品规格限制 产品使用限制 本服务不支持跨地域挂载访问。 因存在兼容性问题本服务不支持交叉挂载，即不支持Linux挂载CIFS文件系统，也不支持Window挂载NFS文件系统。 操作系统限制 注意事项 大部分标准操作系统都具备NFS客户端，即支持NFS协议的文件系统挂载。若您选择的镜像中不具备NFS客户端，需连接公网自行下载，后续会逐渐支持。 若是定制操作系统须具备NFS客户端方可支持标准的NFS协议海量文件挂载。 支持文件系统挂载的操作系统 海量文件服务OceanFS已通过兼容性测试的操作系统如下表，请选择适合的云主机进行挂载，否则可能导致挂载失败。 注意 部分公共镜像已经停止维护，不推荐使用，相关操作系统维护情况请参考操作系统维护周期镜像服务。 对于未在下方列表中的操作系统镜像，挂载文件系统时可能会存在一些未知缺陷，建议使用下方通过兼容性测试的操作系统进行挂载。 类型 操作系统版本 CTyunOS CTyunOS 2.0.1 CentOS（均停止维护） CentOS6.8 64位 CentOS（均停止维护） CentOS7.0 64位 CentOS（均停止维护） CentOS7.2 64位 CentOS（均停止维护） CentOS7.3 64位 CentOS（均停止维护） CentOS7.4 64位 CentOS（均停止维护） CentOS7.5 64位 CentOS（均停止维护） CentOS7.7 64位 CentOS（均停止维护） CentOS7.8 64位 CentOS（均停止维护） CentOS8.0 64位 CentOS（均停止维护） CentOS8.1 64位 CentOS（均停止维护） CentOS8.2 64位 CentOS（均停止维护） CentOS8.4 64位 Ubuntu Ubuntu 16.04 64位（停止维护） Ubuntu Ubuntu 18.04 64位（停止维护） Ubuntu Ubuntu 20.04 64位 Ubuntu Ubuntu 22.04 64位 Windows Windows Server 2008 R2（停止维护） Windows Windows Server 2016 Datacenter Windows Windows Server 2012 R2 Standard（停止维护） Windows Windows server 2012 数据中心版 R2 64位 Windows Windows server 2012 标准版 R2 64位 Windows Windows server 2016 数据中心版 64位 Windows Windows server 2019 数据中心版 64位

功能介绍 天翼云边缘安全加速平台—安全与加速服务提供页面性能优化功能，配置了页面优化功能后，会自动删除页面中的冗余内容，例如HTML页面、JavaScript和CSS中的注释内容和重复的空白符，从而达到缩小文件体积、提升文件分发效率。 注意事项 若源站文件开启了MD5校验，则不能开启页面优化功能。因为安全与加速服务进行页面优化时会改变文件的MD5值，从而导致优化后文件的MD5值和原文件MD5值的不一致。 若源站开启了压缩功能，安全与加速服务的页面优化功能将会失效。 页面优化功能和压缩功能不允许同时开启，同时开启时，压缩功能失效。 配置说明 如您需要配置页面性能优化功能，请提交工单给天翼云客服，由其帮您配置。

本章节介绍云硬盘备份的配额相关内容。 什么是配额？ 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少台弹性云主机、多少块云硬盘。 如果当前资源配额限制无法满足使用需要，您可以申请扩大配额。 怎样查看我的配额？ 1. 登录管理控制台。 2. 单击页面右上角的图标 。系统进入“服务配额”页面。 3. 您可以在“服务配额”页面，查看各项资源的总配额及使用情况。如果当前配额不能满足业务要求，请参考后续操作，申请扩大配额。 如何申请扩大配额？ 目前系统暂不支持在线调整配额大小。如您需要调整配额，请拨打客服热线或线上创建工单至客服，客服会及时为您处理配额调整的需求，并以电话或工单交付的形式告知您实时进展。

本章节介绍云主机备份的配额相关内容。 什么是配额？ 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少台弹性云主机、多少块云硬盘。 如果当前资源配额限制无法满足使用需要，您可以申请扩大配额。 怎样查看我的配额？ 1. 登录管理控制台。 2. 单击页面右上角的图标 。 系统进入“服务配额”页面。 3. 您可以在“服务配额”页面，查看各项资源的总配额及使用情况。 如果当前配额不能满足业务要求，请参考后续操作，申请扩大配额。 如何申请扩大配额？ 目前系统暂不支持在线调整配额大小。如您需要调整配额，请拨打客服热线或线上创建工单至客服，客服会及时为您处理配额调整的需求，并以电话或工单交付的形式告知您实时进展。

本章节主要介绍数据湖探索（DLI）的“总览”页面。 数据探索服务控制台总览页为您提供数据湖探索服务使用流程及队列资源使用情况总览。 使用流程简介 数据湖探索服务使用流程简介： 1.创建队列 队列是DLI的计算资源：SQL队列和通用队列。SQL队列支持提交Spark SQL作业，通用队列支持Spark程序、Flink opensource SQL、Flink Jar作业。 2.准备数据 通常在执行Spark SQL作业前，需要创建数据库和表；在执行Spark作业、Flink Jar作业需要上传程序包。 3.编辑提交作业 完成作业参数的编辑后，提交作业。 4.查看作业状态 在作业管理页面可以查看作业的执行状态。 总览队列使用时长 总览页面支持查看队列的使用时长。 查看所有队列的使用时长：总览所有队列资源的使用情况 查看单队列的使用时长：单队列近期的使用情况。

接口功能介绍 查询终端节点服务白名单 接口约束 无 URI GET /v4/vpce/listendpointservicewhitelist 请求参数 Query 参数 参数 参数类型 是否必填 说明 示例 ::: regionID String 是 资源池ID 81f7728662dd11ec810800155d307d5b endpointServiceID String 是 终端节点服务ID endpser9hzaohgug8 page Integer 否 分页参数，默认为1 1 pageNo Integer 否 列表的页码，默认值为 1, 推荐使用该字段, page 后续会废弃 1 pageSize Integer 否 每页数据量大小，默认为10 10 响应参数 参数 参数类型 说明 示例 statusCode Integer 返回状态码（800为成功，900为失败） 800 message String statusCode为900时的错误信息; statusCode为800时为success, 英文 success descritption String statusCode为900时的错误信息; statusCode为800时为成功, 中文 成功 errCode String statusCode为900时为业务细分错误码，三段式：product.module.code; statusCode为800时为SUCCESS SUCCESS returnObj Array of Objects 接口业务数据 见下表 表 returnObj 参数 参数类型 说明 示例 endpointServiceID String 终端服务 ID endpser9hzaohgug8 createdAt String 创建时间 20221025T07:28:17Z updatedAt String 创建时间 20221025T07:28:17Z email String 用户邮箱 123@qq.com

本节主要介绍修修改实例安全组 文档数据库服务支持修改集群、副本集实例的安全组。 使用须知 以下情况不可修改安全组： 添加节点 数据迁移 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称。 步骤 5 在左侧导航树，单击“连接管理”。 步骤 6 在“安全组”区域，单击，选择实例所属安全组。 修改安全组 单击，提交修改。此过程约需1～3分钟。 单击，取消修改。 步骤 7 稍后可在“安全组”区域，查看修改结果。

本章主要介绍修改实例备注 文档数据库服务实例名称支持添加备注，以方便用户备注分类。 说明 目前此功能仅支持白名单用户使用，需要提交工单申请才能使用。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，单击目标实例备注后的，编辑实例备注，单击“确定”，即可修改实例备注。 您也可以单击目标实例名称，进入实例的“基本信息”页面，在“数据库信息”模块“实例备注”处，单击，修改实例备注。单击，提交修改。 说明 实例备注长度不能超过64位，不能包含回车和>!<"&'特殊字符。 步骤 5 在“实例管理”页面，查看修改结果。

介绍在CTS事件列表查看云审计事件。 操作场景 用户进入云审计服务创建管理类追踪器后，系统开始记录云服务资源的操作。在创建数据类追踪器后，系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 使用限制 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)或云日志服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。 查看审计事件 步骤1、登录管理控制台。 步骤2、单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 步骤3、单击左侧导航树的“事件列表”，进入事件列表信息页面。 步骤4、事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件类型、事件来源、资源类型和筛选类型，在下拉框中选择查询条件。 筛选类型按资源ID筛选时，还需手动输入某个具体的资源ID。 筛选类型按事件名称筛选时，还需选择某个具体的事件名称。 筛选类型按资源名称筛选时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 时间范围：可选择查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 步骤5、选择完查询条件后，单击“查询”。 步骤6、在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。 步骤7、在需要查看的事件左侧，单击展开该记录的详细信息。 步骤8、在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。

本节主要介绍创建微服务 操作步骤 1、选择“服务目录”进入微服务列表页。 2、单击“创建微服务”，打开“创建微服务”页签，设置以下配置项。 配置项 说明 微服务名称 新建微服务的名称。 所属应用 新建微服务所属应用。 版本 新建微服务的版本号。 描述 对新建微服务的说明。 3、单击“创建”完成新建微服务。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的合规检测功能。 功能介绍 支持根据用户实际配置的条件，检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警。 检测范围 请求方法检测：只允许指定请求方法访问网站。 请求协议检测：只允许指定协议版本访问网站。 请求头部缺失检测：请求缺少指定头部禁止访问网站。 数据重复检测：针对头部重复、参数重复进行拦截，禁止访问网站。 请求数据长度限制：针对请求URL、头部参数进行长度限制，禁止访问网站。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为免费版及以上版本，支持合规检测相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力基础安全防护【合规性检测】详细设置页。 注意 域名新增时，会有一条全站合规检测的默认策略，可以通过【防护开关】来开启或者关闭，您也可以自定义合规检测规则。

本文主要介绍远程桌面链接Windows云主机报错:您的连接已丢失如何处理。 问题描述 远程桌面链接Windows云主机报错：您的远程桌面会话已结束，另一用户已连接到此远程计算机，因此您的连接已丢失。 图 远程桌面会话已结束 2008操作系统处理方法 1. 打开“管理工具 > 远程桌面服务 > 远程桌面会话主机配置”，进入远程桌面会话主机配置页面。 图 远程桌面会话主机配置 2. 双击打开，取消勾选“限制每个用户只能进行一个会话”，单击“确定”。 图 修改配置 2012操作系统处理方法 1. 打开“开始 > 运行”，输入 gpedit.msc，进入本地组策略编辑器。 2. 打开“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 连接”。 图 连接 3. 双击打开“将远程桌面服务用户限制到单独的远程桌面服务会话”，修改配置为“已禁用”，单击“确定”保存。 图 修改配置 4. 在命令窗口执行gpupdate/force，更新组策略。 图 更新组策略

介绍创建迁移任务的具体步骤。 迁移前准备 已获取源端的AK/SK。 源端桶对应账户需要的权限包括：列举桶，获取桶位置，列举对象，获取对象元数据，获取对象内容。获取方式参见源端桶权限获取。 已注册天翼云账号并完成实名认证。 已开通媒体存储并已完成目的Bucket的创建。 更多关于在线迁移服务说明，具体可参考：数据迁移概述。 说明 目前数据迁移为内测能力，如有需要，可联系客户经理或 操作步骤 1. 进入媒体存储控制台，选择对象存储在线迁移菜单。 2. 点击【创建迁移任务】。 3. 请您仔细阅读弹出的媒体存储迁移服务协议，勾选“我理解并同意以上条款，开始使用迁移服务。”，并单击【下一步】，进入【创建迁移任务】页面。 4. 进入第一步填写源端与目的端信息，具体参数说明可参考：源端与目的端参数说明。完成配置后，需点击【测试链接】，测试迁移服务与源端、目的端的链接，测试成功可点击【下一步】进入任务参数配置。 5. 配置任务参数：根据业务需求，配置详细的任务参数，具体任务参数说明可参考：[任务参数说明](

本节介绍了用户指南: 海量文件概述。 云容器引擎支持挂载天翼云海量文件存储卷。cstorcsi插件支持使用海量文件动态存储卷和静态存储卷，通过将海量文件存储卷挂载到容器指定目录下，以满足数据持久化需求。 海量文件服务OceanFS为全托管、可扩展的海量文件系统，适用于海量数据及高带宽应用场景。OceanFS支持弹性扩展至PB级别，具备高可用性与数据持久性，适用于高性能计算、媒体处理、文件共享、内容管理及Web服务等多种场景。 使用限制 插件版本 使用海量文件存储功能，需要cstorcsi插件版本 >3.6.0 文件协议 当前cstorcsi插件仅支持NFS协议 容量 单个文件系统最小容量为100GB subpath模式 在subpath模式下，暂不支持目录配额，subpath使用的容量实际上是整个海量文件的容 其他限制 参见 海量文件使用限制 产品优势 共享访问 1. 支持多台客户端挂载访问同一文件系统，可支持连接上千个客户端实例。 2. 支持NFSv3/v4.1。 3. 支持IPv4和IPv6网络协议。 海量可扩展 1. 用户可以根据业务需要配置文件系统的初始存储容量，后续可以随着数据量的变化而扩容。 2. 支持PB级存储空间。 安全可信 1. 支持使用VPC用户隔离、权限组等安全管理功能进行访问权限控制，保障数据安全可靠。 2. 文件服务支持HA高可用，出现任何硬件故障时，业务自动切换到其他节点，服务可用性在99.95%及以上。 友好易用 1. 操作界面友好、简单易用，用户可通过控制台界面快速轻松地创建、配置和管理文件系统，省去复杂的文件系统部署工作。 2. 提供全托管服务，不必考虑复杂的安装、配置及性能调优工作，用户可轻松创建使用文件系统，只需几分钟便可使用高性能的文件系统。

本文介绍OpenClaw(原 Clawdbot)更改厂商模型配置的内容。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw更改厂商模型配置的内容。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw是近期在开发者社区和AI领域广受关注的一款开源、自托管的个人AI助手。它以其独特的“本地优先”设计理念，将强大的大型语言模型能力与用户本地系统深度结合，实现了从“对话式AI”到“可执行实际任务的智能体”的跨越。与依赖云端服务的传统AI助手不同，OpenClaw将数据主权和隐私控制权完全交还给用户，所有数据和处理过程均在用户可控的环境中进行，被誉为“首个7×24小时永不下班的AI员工”。它的开源特性也吸引了大量开发者参与生态建设，形成了一个活跃的技能市场。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

云防火墙支持跨账号使用吗？ 云防火墙不支持跨账号使用。用户仅能使用并管理当前账号下的云防火墙资源。 云防火墙与Web应用防火墙有什么区别？ 云防火墙（CFW）和Web应用防火墙（WAF）是两款不同的产品，为您的互联网边界和VPC边界、Web服务提供防护。 CFW和WAF的主要区别说明如下： 类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，云上或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

操作场景 云容器引擎（CCE）与云监控服务无缝集成，可以实时查看每个集群工作节点的资源使用情况，您可以使用该服务监控您的节点，执行自动实时监控、告警和通知操作，帮助您更好地了解节点的各项性能指标。 云监控服务可以对节点运行状态进行日常监控。您可以通过CCE控制台或云监控服务控制台，直观地查看节点的各项监控指标。 由于监控数据的获取与传输会花费一定时间，因此，云监控显示的是当前时间5～10分钟前的节点状态。如果您的节点刚刚创建完成，请等待5～10分钟后查看监控数据。 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 节点管理”。 步骤 2 在列表右上角选择所需的集群，在该集群下选择所需的节点。 步骤 3 单击节点名称后的“监控”，在云监控服务中可查看监控信息。 步骤 4 在弹出节点监控窗口中，可查看该节点的基本监控信息，包括CPU使用率、内存使用率、磁盘使用率、CPU/内存/磁盘使用记录、上行速率、下行速率、网络监控等指标。 监控指标 指标含义 CPU使用率 该指标为从物理机层面采集的CPU使用率，数据准确性低于从弹性云主机内部采集的数据。 内存使用率 该指标用于统计节点的内存使用率。 磁盘使用率 节点的磁盘使用率，统计对象是使用率最大的磁盘，而非所有磁盘的平均使用率； 节点的磁盘剩余容量，统计对象是剩余容量最大的磁盘，而非所有磁盘的剩余容量之和。 CPU/内存/磁盘使用记录 可查看一小时内的CPU使用率、内存使用率和磁盘使用率的曲线。 下行速率 一般指从网络下载数据到节点的速度，单位KB/S。 上行速率 一般指从节点上传网络的速度，单位KB/S。 网络监控 可查看一小时内的下行速率、上行速率的曲线。

本文主要介绍如何管理命名空间。 使用命名空间 创建工作负载时，您可以选择对应的命名空间，实现资源或租户的隔离。 查询工作负载时，选择对应的命名空间，查看对应命名空间下的所有工作负载。 命名空间使用实践 按照不同环境划分命名空间 一般情况下，工作负载发布会经历开发环境、联调环境、测试环境，最后到生产环境的过程。这个过程中不同环境部署的工作负载相同，只是在逻辑上进行了定义。分为两种做法： 分别创建不同集群。 不同集群之间，资源不能共享。同时，不同环境中的服务互访需要通过负载均衡才能实现。 不同环境创建对应命名空间。 同个命名空间下，通过服务名称（Service name）可直接访问。跨命名空间的可以通过服务名称、命名空间名称访问。 例如下图，开发环境/联调环境/测试环境分别创建了命名空间。 图 不同环境创建对应命名空间 按照应用划分命名空间 对于同个环境中，应用数量较多的情况，建议进一步按照工作负载类型划分命名空间。例如下图中，按照APP1和APP2划分不同命名空间，将不同工作负载在逻辑上当做一个工作负载组进行管理。且同一个命名空间内的工作负载可以通过服务名称访问，不同命名空间下的通过服务名称、命名空间名称访问。 图 按照工作负载划分命名空间 删除命名空间 删除命名空间会删除该命名空间下所有的资源（如工作负载，短任务、配置项等），请谨慎操作。 步骤 1 登录CCE控制台，进入集群。 步骤 2 在左侧导航栏中选择“命名空间”，选中待删除的命名空间，单击“更多 > 删除”。 根据系统提示进行删除操作。系统内置的命名空间不支持删除。

本文主要讲解迁移第三方云厂商数据至媒体存储的具体步骤。 部分用户有大量数据在第三方云厂商对象存储上，如果他们需要将他们的数据迁移到对媒体存储，需要先将第三方云厂商上的对象数据下载到本地，再通过控制台、客户端等工具上传，整个过程耗时又耗力，并且很容易存在漏传、误传等问题。 针对迁移第三方云厂商的对象数据至媒体存储的场景，媒体存储提供在线迁移服务。通过迁移服务，用户只需在控制台配置简单的连接参数以及迁移任务，即可把数据从第三方云厂商简单、平滑地迁移至媒体存储。 下面以阿里云OSS数据迁移到媒体存储为例。 前提条件 已在天翼云注册账号，并完成实名认证。 已开通媒体存储。 已在媒体存储中创建桶用来接收数据。 创建源端阿里云和目的端天翼云对象存储的访问密钥（AK/SK）。 源端桶对应账户需要的权限：只读访问阿里云对象存储服务（OSS）的权限。 注意： 若您源端有归档状态的数据需要迁移，则应该先解冻，待解冻完成后再进行迁移，否则这些数据会迁移失败。 源端操作 源端阿里云：检查阿里云账号是否拥有AK/SK以及只读访问对象存储服务（OSS）的权限，如果没有，参考以下步骤生成AK/SK并添加权限。 1. 登录阿里云RAM控制台。 2. 在左侧导航栏，选择身份管理 > 用户。 3. 在用户页面，单击用户名称，进入用户详情页面。 4. 在用户 AccessKey区域，单击“创建 AccessKey”，生成AccessKey ID和AccessKey Secret。 5. 添加权限：在用户页面，单击RAM用户操作列的添加权限，授予RAM用户只读访问对象存储服务（OSS）的权限。 6. 记录需要迁移的桶名以及EndPoint信息，具体获取如下图：

本文介绍Nginx Ingress概述。 本文将介绍Ingress基本概念、Ingress Controller工作原理以及Nginx Ingress Controller的使用说明。 Ingress基本概念 Ingress是Kubernetes集群中一种API对象，属于网络路由和负载均衡中的一个概念。它的主要作用是将外部的流量路由到集群内部的服务，您可以通过Ingress资源来配置不同的转发规则，从而根据不同的规则设置访问集群内不同的Service所对应的后端Pod。Ingress可以看作是在Service的基础上提供了更高级别的负载均衡和路由规则控制。与Service不同的是，Service只提供了基础的负载均衡和服务发现功能。 Ingress Controller工作原理 Ingress API对象的创建需要使用Ingress Controller，它是一个独立于Kubernetes集群之外的组件。Ingress Controller会不断地监视Ingress对象的变化，当检测到Ingress对象的变化时，它会自动更新代理服务器的配置信息。通常情况下，Ingress Controller会将请求代理到运行在同一集群内的Service中，但它也可以被配置为代理到集群外部的其他服务。Ingress Controller 常见的工作流程如下： 1. Kubernetes集群中的Ingress Controller通过API Server监控Ingress的创建、删除和更新。 2. 当有新的Ingress创建时，Ingress Controller会解析Ingress的规则，并将其实现为代理服务器的转发规则。 3. 当有新的Service创建或修改时，Ingress Controller会读取对应的Service的信息，例如其IP和端口等，并将其添加到代理服务器的配置中，实现对后端服务的指向。 4. 当新的Pod创建、修改或删除时，Ingress Controller会读取每个Pod上的Service的信息，并将其添加到代理服务器的配置中，实现对后端服务的指向。 5. 当有Ingress被删除时，Ingress Controller会删除代理服务器上对应的路由规则。

弹性伸缩服务为您提供优质的服务体验,本文带您了解弹性伸缩服务的产品优势。 弹性伸缩服务可根据业务需求，通过策略自动调整其业务的云主机资源。弹性伸缩具有自动化、灵活、省成本、高可用及可观测等优势。 自动化 您可根据业务需求预先配置策略来自动调整计算资源，降低人为操作调整的工作压力，并减少随人为操作衍生出的失误隐患。通常自动化调整涉及两个方面： 自动扩容：当用户业务需求上升时，在短时间内自动增加弹性云主机实例数量，确保计算能力满足业务需求。若伸缩组同时关联了负载均衡，则通过负载均衡将业务访问请求按照预设算法分发给伸缩组内的每台云主机，降低每台云主机的计算压力，确保业务稳定运行。 自动缩容：当用户业务需求下降时，可在短时间内自动减少伸缩组内的弹性云主机实例数量，在满足业务计算需求的同时减少用户资源成本。若伸缩组同时关联了负载均衡，则自动将移出的云主机取消关联负载均衡，负载均衡自动识别伸缩组内的现存主机并按需分发访问请求，确保业务稳定运行。 灵活 弹性伸缩的灵活主要体现在两个方面，伸缩策略灵活和伸缩配置灵活。 伸缩策略灵活：天翼云弹性伸缩可以配置6种伸缩策略，您可根据不同的业务场景选择不同的策略配置，包括：告警策略、定时策略、周期策略、目标追踪策略、智能预测策略、简单策略。 伸缩配置灵活：用户在设置伸缩组时，也可根据不同的业务需求来设置不同的实例配置模板，可以灵活设置伸缩组内的最大/最小实例数以及配置规格中的云主机镜像、云硬盘类型及大小、登录方式等。

本文为您介绍Web应用防火墙(原生版)的产品规格。 Web应用防火墙（原生版）提供两种WAF云SaaS模式 和WAF独享模式 两种模式。不同模式支持的接入方式、对应的服务版本不同。本文通过对比接入方式、服务版本规格的差异，帮助用户根据实际业务需求，快速选择适合的服务版本。 接入方式说明 Web应用防火墙（原生版）提供WAF云SaaS模式 域名接入 、WAF云SaaS模式 ELB接入 、WAF独享模式接入 三种接入方式，具体差异说明如下： 分类 WAF云SaaS模式 域名接入 WAF云SaaS模式 ELB接入 WAF独享模式接入 使用场景 适用于个人、政企、金融客户 支持天翼云、其他公有云、线下IDC等公网访问场景 大型企业网站，对业务稳定性有较高要求的安全防护需求 适用于业务资产在云上，有较高个性化配置和资源独享的用户安全防护需求 产品优势 弹性扩容能力强，通过升级规格可以扩容防护能力 支持IPv6防护 不改变业务架构，水平扩展防护能力 旁路部署，业务零影响 可靠性高 当WAF发生故障时，流量将直接通过ELB发送给后端，不影响客户正常业务 部署灵活 独享引擎实例资源由用户独享 可以满足大规模流量攻击场景防护需求 独享引擎实例部署在VPC内，网络链路时延低，延迟增加约等于0ms 业务部署位置 业务服务器部署在天翼云、非天翼云或线下 业务服务器部署在天翼云 业务服务器部署在天翼云 防护对象 域名 域名、IP（公网IP/私网IP） 域名、IP（公网IP/私网IP） 服务版本 基础版、标准版、企业版、旗舰版 标准版、企业版、旗舰版 单机版、集群版 支持的资源池 全局服务，所有资源池均支持 仅支持华东1、武汉41资源池 已支持大部分资源池，若您所在的资源池不支持，请提交工单申请 接入指导 1. 购买WAF云SaaS型实例 2. 网站接入WAF防护（域名接入） 1. 购买WAF云SaaS型实例 2. 网站接入WAF防护（ELB接入） 1. 购买WAF独享型实例 2. 网站接入WAF防护（独享型接入）

参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性, 长度 1 64 79fa97e3c48bxxxx9f466a13d8163678 regionID 是 String 区域ID ID 否 String 后端服务ID, 该字段后续废弃 targetID 是 String 后端服务ID, 推荐使用该字段, 当同时使用 ID 和 targetID 时，优先使用 targetID

服务配置 服务（Service）是用来解决Pod访问问题的。每个Service有一个固定IP地址，Service将访问流量转发给Pod，而且Service可以给这些Pod做负载均衡。 您也可以在创建完工作负载之后再创建Service，Service的概念和使用方法请参见Service概述。 步骤 4 单击右下角“创建工作负载”。

本文介绍在AD域服务部署好之后创建域用户的方式。 前提条件 AD域控制器已安装AD域服务并已部署完成。 操作步骤 1. 在“服务器管理器”中进入“工具>Active Directory用户和计算机”，在“sfs.com”下找到右键单击“users”，选择“新建>用户”。 2. 填入用户信息，设置用户姓名及登录名，建议设置为英文。示例如下： 3. 设置初始密码和密码策略。需要设置复杂密码才能通过。点击“下一步”，确认用户信息，确认无误后点击“完成”。将自动返回“Users”页面，即可看到刚刚创建的用户。

本章节介绍如何创建数据类追踪器。 云审计服务提供的追踪器分两类，包括管理类追踪器和数据类追踪器。 管理类追踪器用于记录管理事件，即针对所有云资源的操作日志，例如创建、登录、删除等。 数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。 操作场景 云审计服务支持创建数据类事件追踪器，用于记录数据操作日志。数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。 在开通云审计服务时，系统已为您自动创建了一个管理事件追踪器，管理事件追踪器只能有一个，故后续您自行创建的追踪器均为数据类事件追踪器。 使用限制 CTS仅记录最近7天内的操作事件，您需要配置追踪器来保存更长时间的事件，否则将无法追溯7天前的操作事件。追踪器会将事件持续保存到您指定的LTS日志流或者OBS桶中。 前提条件 已开通云审计服务。 创建数据类事件追踪器 1. 登录管理控制台。 2. 在服务列表选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 3. 在左侧导航栏选择“追踪器”，单击页面右上角的“创建追踪器”。 4. 基本信息。新建“追踪器名称”便于识别。单击“下一步”，基本信息填写成功。 数据类事件追踪器命名规则：名称只能包含大小写字母、数字、和，且必须由大小写字母或数字开头。名称不能为空，且输入长度不能超过32个字符。名称不能为“system”或“systemtrace”。 5. 在选择追踪对象页面，填写相关参数，详细参数说明见表 选择追踪对象参数表 ，单击“下一步”。 6. 在配置转储页面，填写相关参数，单击“下一步”。用户通过云审计控制台只能查询最近7天的操作记录，如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或配置转储到云日志服务（LTS）。具体参数说明参见表 配置转储到OBS参数列表和表 配置转储到LTS参数列表。 7. 预览追踪器信息无误后，单击“创建”完成追踪器的创建。 表 选择追踪对象参数表 参数名称 参数说明 数据事件来源 数据事件的存储容器，默认为OBS桶。 OBS桶名称 在下拉列表中选择对应OBS桶。 创建完成后，OBS桶名称不可修改。 事件操作类型 数据操作类型分为“读操作”和“写操作”，读操作指的是从OBS桶中获取或下载对象数据，写操作指的是向OBS桶中上传或写入对象数据。 勾选“读操作”后，CTS只会记录读操作类型的数据事件。 勾选“写操作”后，CTS只会记录写操作类型的数据事件。 您可以在OBS服务的页面的“表2 云审计服务支持的OBS数据事件操作列表”中，查看当前支持云审计的全部OBS操作数据事件，以及查看具体有哪些读操作类型事件和写操作类型事件。 表 配置转储到OBS参数列表 参数名称 参数说明 转储到OBS 当“转储到OBS”开关打开时，您可以选择已存在的OBS桶，并配置事件文件前缀。 如果“转储到OBS”开关关闭时，则无需配置相应参数。 选择OBS 选择已有OBS桶：选择当前区域已创建的OBS桶。 OBS桶名称 当“选择OBS”选择“新建OBS桶”时，直接新建OBS桶名称。OBS桶名称不能为空，仅支持小写字母、数字、“”和“.”，且长度范围为363个字符。禁止两个“.”相邻（如“my..bucket”），禁止“.”和“”相邻（如“my.bucket”和“my.bucket”），禁止使用ip为桶名称。 当“选择OBS”选择“选择已有OBS桶”时，可以选择已存在的OBS桶。 保存周期 转储至OBS桶中日志的保存周期。该配置会修改被选择桶的桶策略，影响范围为桶内的所有文件。不同类型、不同级别的合规认证标准对审计日志的保存时间有不同的要求，建议设置保存周期不低于180天。 数据类事件追踪器：保存周期支持设置为30天、60天、90天、180天、三年和沿用OBS配置。 事件文件名前缀 用于标识被转储的事件文件，该字段支持用户自定义，会自动添加在转储事件文件的文件名前端，方便用户快速进行筛选。事件文件名前缀只能由英文字母、数字、下划线（）、中划线（）和小数点（.）组成，且长度范围为064个字符。 表 配置转储到LTS参数列表 参数名称 参数说明 转储到LTS 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。 日志组名称 当“转储到LTS”开关打开时，日志组名称默认为“CTS”。如果“转储到LTS”开关关闭时，则无需配置该参数。

本章介绍使用限制内容。 配额 容器镜像服务对单个用户的组织数量限定了配额。 当前容器镜像服务的配额如下表所示。如果您需要添加更多的组织，请提交工单申请。 资源类型 配额 组织数量 5 上传镜像限制 使用客户端上传镜像，镜像的每个layer大小不能超过10G。 使用页面上传镜像，每次最多上传10个文件，单个文件大小（含解压后）不得超过2G。 特性限制 苏州和广州4资源池已开启IPV6双栈特性，您使用Docker或containerd容器镜像时，能够同时兼容IPV4和IPV6协议。

本节介绍了RDS for MySQL 5.6版本升级到5.7的操作场景、前提条件、约束限制、操作步骤等相关内容。 操作场景 支持通过以下两种方式将RDS for MySQL 5.6版本升级到5.7： 通过RDS界面升级大版本：如需该操作请提交工单进行权限申请。 通过DRS升级大版本：通过DRS迁移功能将RDS for MySQL低版本实例迁移到高版本。 前提条件 通过RDS界面升级大版本功能目前支持西宁、海口、太原、南昌、郑州、乌鲁木齐、内蒙3、兰州、福州、北京2、长沙2、广州4、苏州、杭州、成都3、芜湖、上海4、深圳、武汉2、中卫、重庆、石家庄、青岛、贵州、西安2、华北。 如果用户创建DRS任务使用的是子账号，需要完成DRS账户委托，否则会导致升级失败。具体操作如下。 当用户创建DRS任务使用的是子账号，执行定时启动任务、全量完成自动结束、自动续传失败任务、定时对比任务等自动功能时，可能会访问全局服务或是Region级别服务，需要使用“账户委托”，否则会导致执行失败。 数据复制服务支持在创建任务的时候，自动将用户账户委托给数据复制服务的管理租户，即opsvcrds，便于在执行定期任务的时候，具有对任务实行自动化管理的权限。 解决方案： 方法一：使用主账号重新创建一次任务，主账号默认有Security Administrator权限，可在创建任务后将委托创建出来。 方法二：使用主账号在子账号所在的用户组添加Security Administrator权限后，重新创建任务。 方法三：手动添加“账户委托”，添加步骤如下： a. 使用主账号登录天翼云，在右上角单击“控制台”。 b. 在控制台页面管理与部署页面，选择“统一身份认证服务”。 c. 在统一身份认证页面，单击左侧导航窗格中“委托”，进入“委托”页面。 d. 在“委托”页面，单击右上方的“创建委托”进行委托创建。 e. 填写委托名称为“DRSAGENTCY” ，委托类型为 “普通账号”时， 委托的账号为 “opsvcrds”；持续时间为“永久”，完成后单击“完成”。 图 创建委托 f. 在“选择策略”页面，选择DRSAGENTCY的授权策略，委托权限需配置全局的 Tenant Administrator，完成后单击右下角的“下一步”。 图 选择策略 g. 在“设置最小授权范围”页面，先选择全局服务资源授权，点击右下角的“确定”后，在授权记录页面再点击“授权”，基于指定区域设置最小授权范围，完成后单击右下角的“确定”。 图 全局服务资源授权 图 指定区域项目授权 h. 授权完成后，单击委托名称，在“授权记录”中可看到全局服务和指定区域两条授权记录。 图 授权记录 i. 权限生效时间提醒，您选中的OBS权限由于系统设计的原因，授权后需等待1530分钟才可生效，权限生效后重新创建即可。