本文是通过程序代码连接集群实例的Python示例。 本章节主要介绍通过Python语言的MongoDB客户端连接集群实例的方法。 前提条件 1. 连接数据库的弹性云主机必须和DDS实例之间网络互通，可以使用curl命令连接DDS实例服务端的IP和端口号，测试网络连通性。 curl ip:port 返回“It looks like you are trying to access MongoDB over HTTP on the native driver port.”，说明网络互通。 2. 在弹性云服务器上安装Python以及第三方安装包pymongo。推荐使用pymongo2.8版本。 3. 如果开启SSL，需要在界面上下载根证书，并上传到弹性云主机。 连接代码 SSL开启 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin" connection MongoClient(connurls,connectTimeoutMS5000,sslTrue, sslcertreqsssl.CERTREQUIRED,sslmatchhostnameFalse,sslcacerts${path to certificate authority file}) dbs connection.databasenames() print "connect database success! database names is %s" % dbs SSL关闭 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin" connection MongoClient(connurls,connectTimeoutMS5000) dbs connection.databasenames() print "connect database success! database names is %s" % dbs 说明 URL中的认证数据库必须为“admin”，即“authSourceadmin”。 SSL方式连接，需要手动生成trustStore文件。 认证数据库必须为“admin”，之后再切换至业务数据库。

本节是通过程序代码连接副本集实例的Python示例。 本章节主要介绍使用Python语言连接副本集实例的方法。 前提条件 1. 连接数据库的弹性云主机必须和DDS实例之间网络互通，可以使用curl命令连接DDS实例服务端的IP和端口号，测试网络连通性。 curl ip:port 返回“It looks like you are trying to access MongoDB over HTTP on the native driver port.”，说明网络互通。 2. 在弹性云服务器上安装Python以及第三方安装包pymongo。推荐使用pymongo2.8版本。 3. 如果开启SSL，需要在界面上下载根证书，并上传到弹性云主机。 连接代码 SSL开启 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin&replicaSetreplica" connection MongoClient(connurls,connectTimeoutMS5000,sslTrue, sslcertreqsssl.CERTREQUIRED,sslmatchhostnameFalse,sslcacerts${path to certificate authority file}) dbs connection.databasenames() print "connect database success! database names is %s" % dbs SSL关闭 plaintext import ssl from pymongo import MongoClient connurls"mongodb://rwuser:rwuserpassword@ip:port/{mydb}?authSourceadmin&replicaSetreplica" connection MongoClient(connurls,connectTimeoutMS5000) dbs connection.databasenames() print "connect database success! database names is %s" % dbs 说明 URL中的认证数据库必须为“admin”，即“authSourceadmin”。 SSL方式连接，需要手动生成trustStore文件。 认证数据库必须为“admin”，之后再切换至业务数据库。

本文主要介绍 连接已开启SASL的Kafka实例。 创建实例时开启SASLSSL访问，则数据加密传输，安全性更高。 由于安全问题，支持的加密套件为 TLSECDHEECDSAWITHAES128CBCSHA256 ， TLSECDHERSAWITHAES128CBCSHA256和 TLSECDHERSAWITHAES128GCMSHA256 。 本章节介绍如何使用开源的Kafka客户端访问开启SASL的Kafka实例的方法，其中包含在内网中通过同一个VPC连接实例和通过公网连接实例两个场景。如果是使用DNAT访问实例，请参考使用DNAT访问Kafka实例。 说明 Kafka实例的每个代理允许客户端单IP连接的个数默认为1000个，如果超过了，会出现连接失败问题。您可以通过 前提条件 1.已配置正确的安全组。 访问开启SASL的Kafka实例时，实例需要配置正确的安全组规则，具体安全组配置要求，请参考上表。 2.已获取连接Kafka实例的地址。 如果是使用内网通过同一个VPC访问，实例端口为9093，实例连接地址获取如下图。 图 使用内网通过同一个VPC访问Kafka实例的连接地址（实例已开启SASL） 如果是公网访问，实例端口为9095，实例连接地址获取如下图。 图 公网访问Kafka实例的连接地址（实例已开启SASL） 3.已获取开启的SASL认证机制。 在Kafka实例详情页的“连接信息”区域，查看“开启的SASL认证机制”。如果SCRAMSHA512和PLAIN都开启了，根据实际情况选择其中任意一种配置连接。如果页面未显示“开启的SASL认证机制”，默认使用PLAIN机制。 图 开启的SASL认证机制 4.如果Kafka实例未开启自动创建Topic功能，在连接实例前，请先创建Topic。 5.已下载client.jks证书。如果没有，在控制台单击Kafka实例名称，进入实例详情页面，在“连接信息 > SSL证书”所在行，单击“下载”。下载压缩包后解压，获取压缩包中的客户端证书文件：client.jks。 6.已下载Kafka命令行工具1.1.0版本或者Kafka命令行工具2.3.0版本或者Kafka命令行工具2.7.2版本，确保Kafka实例版本与命令行工具版本相同。 7.已创建弹性云服务器，如果使用内网通过同一个VPC访问实例，请设置弹性云服务器的VPC、子网、安全组与Kafka实例的VPC、子网、安全组一致。在弹性云服务器中安装Java Development Kit 1.8.111或以上版本，并配置JAVAHOME与PATH环境变量，具体方法如下： 使用执行用户在用户家目录下修改“.bashprofile”，添加如下行。其中“/opt/java/jdk1.8.0151”为JDK的安装路径，请根据实际情况修改。 export JAVAHOME/opt/java/jdk1.8.0151 export PATH$​JAVAHOME/bin:JAVAH​OME/bin:$​PATH 执行source .bashprofile命令使修改生效。

OpenAPI门户提供了产品的描述、语法、参数说明及示例等内容。 关于用户如何使用天翼云弹性负载均衡产品API的详细介绍，请参见弹性负载均衡使用API。您可以在OpenAPI门户可以了解到具体的API认证鉴权机制、接入终端节点、API概览、API详述、状态码接入点等内容，配合在线测试、sdk，API调试将更加方便。

OpenAPI门户提供了产品的描述、语法、参数说明及示例等内容。 关于用户如何使用天翼云物理机产品API的详细介绍，请参见使用API。您可以在OpenAPI门户可以了解到具体的API认证鉴权机制、接入终端节点、API概览、API详述、状态码接入点等内容，配合在线测试、sdk，API调试将更加方便。

本文介绍一站式智算服务平台使用前的准备工作。 注册主账号 在开通和使用一站式智算服务平台之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后使用一站式智算服务平台。 1. 打开天翼云门户网站，点击【注册】。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击【同意协议并提交】 按钮，如1分钟内手机未收到验证码，请再次点击【免费获取短信验证码】按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 如需实名认证，请参考会员服务实名认证。 5. 主账号默认就是IAM管理员角色，具有平台所有权限。 为账户充值 1. 使用一站式智算服务平台之前，请保证您的账户有充足的余额，账户余额需要大于100元。 2. 关于如何为账户充值，请参考费用中心在线充值。 3. 一站式智算服务平台支持包周期预付费。 创建子账号 前置条件 通过主账号或角色为IAM管理员的子账号登录到一体化智算服务平台 创建子账号操作步骤 1. 将鼠标放置在右上角用户登录信息处，会显示一个下拉菜单，点击【基本信息】会进入到【账号中心】页面 2. 在【账号中心】页面，点击进入【统一身份认证】页面，即【IAM】页面 3. 在【IAM】页面，再次进入【用户】页面，在页面右上角点击【创建用户】按钮，进入到【创建用户】页面，按步骤填写相关信息即可创建子用户 需要特别说明的是，在为子用户添加【用户组】时，如果选择“admin”用户组(即IAM管理员角色)，则子用户拥有所有权限，希望子用户不拥有全部权限，则可以不分配用户组，或者自定义创建用户组，此时子账号的角色为IAM普通用户 当需要将子账号从某个用户组移除时，可进入到【用户组】页面，进行移除操作，移除后，子账号将不再具有对应用户组的权限

本文介绍IPsec VPN连接相关问题。 创建IPsec VPN连接需要帐户名和密码吗？ 天翼云的IPsec VPN在协商时使用预共享密钥方式或证书方式进行认证。当使用预共享密钥方式进行认证时，密钥是配置在IPsec连接上的，在协商完成后即建立隧道进行通信。VPN隧道所保护的主机在通信时无需输入帐户名和密码。 IPsec连接状态为“第一阶段协商失败”怎么办？ 常见的IPsec连接对端网关设备导致“第一阶段协商失败”的原因如下表所示。 原因 解决方案 IPsec连接对端网关设备工作异常。 请排查对端网关设备。具体操作，请咨询设备所属厂商。 IPsec连接对端网关设备尚未添加IPsec VPN配置。 请为对端网关设备添加IPsec VPN配置，需确保对端网关设备的配置与IPsec连接的配置一致。 IPsec连接对端网关设备所应用的访问控制策略未放行UDP协议500及4500端口。 请排查对端网关设备应用的访问控制策略，确保其满足以下条件： 出方向和入方向均放开UDP协议500及4500端口。 出方向和入方向均放行VPN网关实例的IP地址和用户网关的IP地址。 IPsec连接对端厂商限制，需要有数据流量时才能触发IPsec协议协商。 请确认IPsec连接对端VPN网关是否存在此使用限制。如果存在此限制，请向对端厂商咨询如何触发IPsec协议协商。

code code含义 message示例（仅供参考） ::: 100000 正确返回 success 100001 认证失败 用户认证失败，RequestId是 100002 找不到指定路径的API 当前调用的api不存在:${api} 100003 无请求指定API的权限 当前用户对api:${api}无权限 100004 调用超限 超过调用频率限制，请稍后重试 100005 请求类型错误 当前调用的api请求方式错误 100012 底层错误 请求错误，,RequestID是 100013 系统错误 系统错误，RequestID是 100014 底层超时 请求底层超时，RequestID是 110001 操作类添加防连击检测 请求已提交，请勿重复操作！ 200001 资源没有权限 请求参数域名校验失败，当前用户对域名%s无权限 200002 参数校验失败 请求参数校验失败，参数为必填 200003 参数不合法 请求参数校验失败，参数不合法 200004 统计分析类接口查询不到clientid 无法获取您已开通CDN相关产品的账号，请开通产品后再调用 200005 产品有效性校验 操作失败，当前用户未开通产品类型{}的服务 200006 查询失败 无法获取到证书数据 600001 脚本不存在 脚本不存在 600002 脚本正在部署 脚本等待部署或正在部署中，不允许修改 600003 域名已绑定其他脚本 该域名已绑定其他脚本 600004 无法发布到生产环境 脚本编译失败，无法发布到生产环境 600005 无法回滚 生产环境不存在指定脚本，无法回滚 600006 脚本超过指定大小 脚本大小不能大于5M 600007 无可用VIP 无可用VIP 600011 域名格式校验不通过 域名%s格式错误

本文介绍如何进行IAM权限及用户管理。 在系统使用中，需要对不同的用户赋予不同的权限，本文以一个场景为例，介绍如何进行资源编排ROS的IAM权限管理。本文主要做场景介绍，更详细的功能使用方式请参见统一身份认证。 操作步骤 1. 登录天翼云。 2. 在页面右上角账户处点击“账号中心”，再点击“统一身份认证”，进入统一身份认证服务（IAM控制台）。即可进行用户及权限管理。 场景示例 某A公司使用了资源编排ROS，该公司有两个小组，一个小组人员负责申请云资源及资源的变更，另一个小组负责审核并执行资源的管理。为了方便A公司统一购买、分配资源并管理用户，A公司的人员不需要每人都注册天翼云帐号，而是由公司的管理员注册一个帐号，在这个帐号下创建IAM用户并分配权限，然后将创建的IAM用户分发给公司的人员使用。 组别 职能 权限 管理人员组 负责人员及资源的管理，进行权限分配、资源调配等。 内置的“ros admin”权限，审批并执行资源变更 开发人员组 需要使用弹性云主机、云硬盘、虚拟私有云等资源，会进行资源的申请及管理。 内置的“ros no execute”即申请权限，资源的新建、变更等的申请 资源编排ROS已内置3个系统策略： “ros admin”：管理者权限，拥有ros所有权限 “ros viewer”：观察者权限，拥有ros所有读权限 “ros no execute”：使用及申请权限，即排除资源栈/执行计划部署+资源栈删除+取消部署权限 并支持自定义策略，管理员可根据实际需求自定义。 以下以“管理人员组”及“开发人员组”为例详细说明如何进行用户管理，并以“ros apply”策略为例介绍如何自定义策略。“ros apply”例子中的权限实际与“ros no execute”内置策略一致，此场景用户可直接使用内置的。

事件总线EventBridge已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等，以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。

参数 说明 产品名称 云堡垒机 产品ID 用户产品ID唯一认证码。 服务码 单击“查看”获取，主要用于技术人员登录系统后台，技术人员根据内部系统提供的解密功能进行后台管理。 API凭证 主要用于统一管理平台添加节点认证使用。 l 单击“查看”时需要输入系统管理员admin密码、Access Key Secret、Access Key ID。 l “更新”、“清除”API凭证需要输入系统管理员admin密码，并且更新后，统一管理平台管理的该节点将会失效。 HA Key 主要用于配置HA时使用。 当用户通过Web界面配置HA的备节点时，备节点上的程序需要连接到指定的主节点上，再获取相关配置信息进行有效性校验，并在校验通过后才能修改主节点上的配置。 版本号 当前系统版本。 设备系统 当前系统软件版本。 发行日期 当前系统版本发行日期。

OpenAPI门户提供了产品OpenAPI的描述、语法、参数说明及示例等内容。 关于用户如何使用天翼云虚拟私有云产品API的详细介绍，请参见虚拟私有云OpenAPI。您可以在OpenAPI门户可以了解到具体的API认证鉴权机制、接入终端节点、API概览、API详述、状态码接入点等内容，配合在线API调试将更加方便。

OpenAPI门户提供了产品OpenAPI的描述、语法、参数说明及示例等内容。 关于用户如何使用天翼云对等连接产品API的详细介绍，请参见对等连接使用API。您可以在OpenAPI门户可以了解到具体的API认证鉴权机制、接入终端节点、API概览、API详述、状态码接入点等内容，配合在线API调试将更加方便。

该任务指导用户通过漏洞扫描服务新增监测任务，监测任务新增成功后，自动开启监测。 操作场景 漏洞扫描服务支持网站扫描，网站是您的“资产”，您可以在“安全监测”界面对您的资产进行安全扫描与编辑操作。 说明 漏洞扫描服务的基础版不支持安全监测功能，如果您是基础版用户，请您通过购买专业版、高级版或企业版使用该功能。 前提条件 已获取管理控制台的登录帐号与密码。 域名的“认证状态”为“已认证”。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“安全监测”页面，单击“新增监测任务”。 4. 进入新增监测任务入口。 5. 在“新增监测任务”界面，请根据下表进行扫描设置。 参数 参数说明 任务名称 用户自定义。 目标网址 待扫描的网站地址或IP地址。 通过下拉框选择已认证通过的域名。 扫描周期 单击下拉框选择任务扫描周期。 每天 每三天 每周 每月 开始时间 设置监测任务开始的时间。 扫描模式 三种扫描模式： 极速策略：扫描耗时最少，能检测到的漏洞相对较少。 标准策略：扫描耗时适中，能检测到的漏洞相对较多。 深度策略：扫描耗时最长，能检测到最深处的漏洞。 是否扫描登录URL 默认不扫描登录URL，开启扫描登录URL前，请务必确认不会影响正常业务 扫描项设置 VSS支持的扫描项参照下表。 ：开启 ：关闭 扫描项设置： 扫描项名称 说明 Web常规漏洞扫描（包括XSS、SQL注入等30多种常见漏洞） 提供了常规的30多种常见漏洞的扫描，如XSS、SQL等漏洞的扫描。默认为开启状态，不支持关闭。 端口扫描 检测主机打开的所有端口。 弱密码扫描 对网站的弱密码进行扫描检测。 CVE漏洞扫描 CVE，即公共暴露漏洞库。VSS可以快速更新漏洞规则，扫描最新漏洞。 网页内容合规检测（文字） 对网站文字的合规性进行检测。 网页内容合规检测（图片） 对网站图片的合规性进行检测。 网站挂马检测 挂马：上传木马到网站上，使得网站在运行的时候执行木马程序，被黑客控制，遭受损失。VSS可以检测网站是否存在挂马。 链接健康检测（死链、暗链、恶意外链） 对网站的链接地址进行健康性检测，避免您的网站出现死链、暗链、恶意链接。 6. 设置完成后，单击“确认”。

打开MPIO工具添加存储阵列 1. 点击“管理工具”>“MPIO”。 2. 点击“发现多路径”，勾选添加对iSCSI设备的支持，点击“添加”>“确定”。 3. 重启Windows。 调整MPIO配置 1. 打开Powershell，开启路径检测和自定义路径恢复功能。 GetMPIOSetting 查看当前配置 SetMPIOSetting NewPathVerificationState Enabled 开启路径检测 SetMPIOSetting CustomPathRecovery Enabled 开启自定义路径恢复功能 2. 重启Windows 挂载的操作步骤 1. 运行iSCSI发起程序，在“开始”>“搜寻程序和文件”输入“iSCSI”，打开“iSCSI发起程序”，如下图所示： 2. 在“发现”>“发现目标门户”中输入存储卷对应Target所在的服务器IP和Port，如果是集群版，需要输入主备两个Target所在服务器的地址。如下图所示： 3. 在“目标”>“已发现的目标”中搜索到云存储网关发布的iSCSI Target，查看到状态是“不活动”，点击连接，如下图所示： 注意 集群版需要勾选“启用多路径”，单机版无需勾选。 4. 若您的iSCSI存储卷有开启CHAP认证，在弹出的连接到目标的对话框中，选择“高级”，如下图所示（没有开启请忽略此步骤直接连接即可）。 5. 勾选“启用CHAP登录”，在“名称”中输入在云存储网关系统中设置的iSCSI认证的用户名，在“目标机密”中输入设置的iSCSI认证的密码，然后点“确定 ”。如下图所示： 6. 客户端使用iSCSI共享磁盘打开“服务器管理器”>“存储”>“磁盘管理”，将刚刚连接成功的状态是“脱机”的磁盘“联机”。然后初始化，再新建卷，指定盘符并格式化，如下图所示： 注意 如果卷容量小于等于2TB时，可以使用MBR和GPT中的任意一种进行分区；如果卷容量大于2TB，只能使用GPT分区。 打开“计算机”，可以看到新增的磁盘的盘符和容量，自此就可以按使用本地磁盘的习惯使用云存储网关发布的iSCSI磁盘了。如下图所示： 注意 如果客户端需要重启，或者需要断开连接、删除磁盘等，需要先点击磁盘右键进行脱机，然后在iSCSI发起程序中断开iSCSI连接，请严格按照规范操作，以防引起文件损坏。

统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“通过IAM用户控制资源访问创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Ecs Admin：弹性云主机服务的管理者权限，包含弹性云主机所有控制权限（不含订单类权限）； Ecs Viewer:弹性云主机服务的观察者权限，包含弹性云主机服务的列表页与详情页面权限； 自定义策略 您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“创建自定义策略”。

使用场景 大模型API提供了接口以便用户更好地进行DeepSeek管理和应用开发。用户在开通天翼云DeepSeek云主机后，利用Open WebUI API即可实现对外提供API调用，同时也可以非常方便的实现外部大模型API接入使用。 本教程使用的GPU云主机规格如下所示，用于部署DeepSeekr1:7b模型，配置仅供参考。 plaintext cpu 16核  内存 64G GPU: NVIDIA A101 (24GB) 如需体验其它模型版本，请参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云自定义部署DeepSeek步骤二：规格选型，选择合适的云主机。 准备 参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云快速体验DeepSeek ，准备相关设备及模型资源。 认证 OpenWebUI 使用Bearer Token认证保证客户端请求的合法性，其Token为API Key中JWT令牌(Json Web Token)。获取API key方式如下： 1. 登录Open WebUI。 2. 选择设置>账户，选择获取或者新建API KEY。

本章节介绍Nacos的黑白名单功能 概述 在实例开通完毕后，可以通过设置Nacos实例的黑白名单，以此来限制一定范围内的IP地址（可以单个或者多个，可以是IP或者是IP段）访问实例。在设置白名单时，需要获取访问设备的IP地址，确保配置白名单后，设备能够正常访问Nacos。在设置黑名单时，可以禁止部分IP段的设备访问Nacos。当白名单和黑名单配置存在冲突时，以黑名单优先，即在冲突时，设备是无法访问Nacos实例集群的。 前提条件 1. 已开通微服务引擎MSE，参考章节：创建Nacos实例 2. 已开通Nacos实例并且状态正常 注意 MSE注册配置中心默认不支持公网访问。 黑白名单认证时通过访问的请求头部中获取客户端IP，可能与公网地址不同，请确保配置的IP与请求携带的IP相同。 即使配置了白名单,仍然需要认证才能访问,目前实例默认没有放开免密访问.如果需要开启,可以在参数管理中通过修改authEnabled参数并重启集群来开启，这将会产生被他人免密使用的风险，请谨慎开启。 IP地址格式：X.X.X.X/X，斜杠后为掩码。若IP地址设置为127.0.0.1/32，表示禁止所有地址的访问。多个公网IP地址或地址段，每个地址或地址段之间用英文半角逗号（,）分隔。子网掩码范围为1~32。

本文介绍在应用托管中搭建Dify和部署MCP Server,以及在Dify中集成基于部署的MCP Server。 概述 Dify介绍 Dify 是一站式大模型应用开发平台。它能便捷接入各类数据并管理，支持模型微调与多模型调用。通过可视化界面和低代码工具，用户无需深厚技术背景，就能快速搭建如聊天机器人、智能客服等应用。可用于客户服务、内容创作等场景，具有降低开发门槛、提升效率、灵活可扩展等优势，助力企业高效落地大模型应用。 前置说明 1. 本文档旨在指导用户如何通过应用托管控制台，体验将MCP Server集成至Dify。 2. 本产品中的模型由第三方主体提供，尽管云公司已尽最大努力进行识别和维护，但仍无法保证模型的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 使用前准备 1. 天翼云账号注册：使用应用托管平台须具备天翼云官网账号。已有天翼云账号的直接登录即可，如无天翼云账号需先注册，注册流程可参考：注册账号。 2. 使用前提：如需使用服务请先完成实名认证，请参考账号中心实名认证。如需使用按需服务，请确认账号余额≥100 元。

Dify介绍 Dify 是一站式大模型应用开发平台。它能便捷接入各类数据并管理，支持模型微调与多模型调用。通过可视化界面和低代码工具，用户无需深厚技术背景，就能快速搭建如聊天机器人、智能客服等应用。可用于客户服务、内容创作等场景，具有降低开发门槛、提升效率、灵活可扩展等优势，助力企业高效落地大模型应用。 前置说明 1. 该文档为应用托管控制台通过应用市场体验Dify+DeepSeekR1模型搭建私有知识库的说明，通过应用托管控制台，打开应用市场，创建对应的Dify应用，使用 Dify构建本地知识库。 2. 本产品中的模型由第三方主体提供，尽管云公司已尽最大努力进行识别和维护，但仍无法保证模型的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 使用前准备 1. 天翼云账号注册：使用应用托管平台须具备天翼云官网账号。已有天翼云账号的直接登录即可，如无天翼云账号需先注册，注册流程可参考：注册账号。 2. 使用前提：如需使用服务请先完成实名认证，请参考账号中心实名认证。如需使用按需服务，请确认账号余额≥100 元。

本文介绍如何快速开通AOne服务。 AOne目前分为四大能力：安全与加速、零信任服务、边缘接入服务、边缘函数。本文介绍快速开通四大服务的通用方法。 前提条件 您已经注册了天翼云账号并完成账号实名认证。如果未注册，请先完成账号注册和实名认证。 操作步骤 1. 你可以通过AOne边缘安全加速产品页面或者AOne边缘安全加速控制台进入订购页面。 1. 官网开通：点击 【立即开通】按钮，进入订购页面。 2. 控制台开通：点击【计费详情】，在对应的服务页面点击【立即开通】，进入订购页面。 2. 进入订购页面后，选择所需要订购的服务页面。选择 服务区域、计费方式、套餐版本、扩展服务、购买时长 。 AOne产品定价，请参见计费概述。 3. 点击 立即购买 后，进入 订单确认页面 。阅读并同意服务协议后，点击 提交订单。 4. 完成支付，即可开通成功。成功开通AOne服务后，您可以通过以下方式进入AOne边缘安全加速控制台。 官网页面进入控制台：进入AOne产品页面，点击 管理控制台； 通过控制中心进入控制台：进入 [天翼云控制中心](

此小节介绍云堡垒机的管理登录手机令牌。 云堡垒机系统支持通过绑定手机令牌对用户登录进行多因子身份认证，用户配置“手机令牌”多因子认证后，需同时输入用户密码和6位手机令牌验证码，才能登录云堡垒机系统。 目前云堡垒机系统可选择两种手机令牌绑定方式“内置手机令牌”和“RADIUS手机令牌”。 内置手机令牌：微信小程序手机令牌； RADIUS手机令牌：APP版手机令牌Google Authenticator和FreeOTP。 需确保系统时间与手机时间一致，精确到秒，否则可能提示绑定失败。 绑定失败后，修改系统时间与手机时间一致，刷新页面重新生成二维码，重新绑定手机令牌。 本小节主要介绍如何绑定和解绑手机令牌。 绑定手机令牌 1. 登录云堡垒机系统。 2. 选择右上角用户名，单击“个人中心”，进入个人中心管理页面 3. 选择“手机令牌”页签，进入个人手机令牌管理页面。 4. 按照界面提示和实际令牌类型，执行绑定操作。 1. 微信小程序手机令牌：打开手机微信，依次按照操作指导，获取绑定动态口令，输入6位“动态密码”，验证通过绑定手机令牌。 2. APP版手机令牌：打开已安装好的手机令牌APP，扫描页面操作指导步骤2的二维码，获取绑定动态口令，输入6位“动态密码”，验证通过绑定手机令牌。 5. “手机令牌”页签更新为已绑定手机令牌页面

本节主要介绍产品优势 简单易用 无需修改任何服务代码，也无需手动安装代理，只需开启应用服务网格功能，即可实现丰富的无侵入服务治理能力。 内置金丝雀、蓝绿灰度发布流程 灰度版本一键部署，流量切换一键生效。 灰度策略可配置，支持流量比例、请求内容（Cookie、OS、浏览器等）、源IP等。 一站式健康、性能、流量监控，实现灰度发布过程量化、智能化、可视化。 策略化的智能路由与弹性流量管理 支持对服务配置负载均衡、服务路由、故障注入、熔断容错等治理规则，并结合一站式治理系统，提供实时的、可视化的微服务流量管理；无侵入智能流量治理，应用无需任何改造，即可进行动态的智能路由和弹性流量管理。 权重、内容、TCP/IP等路由规则，实现应用灵活灰度发布。 HTTP会话保持，满足业务处理持续性诉求。 限流、熔断，实现服务间链路稳定、可靠。 网络长连接管理降低资源损耗，提升网络吞吐量。 服务安全认证：认证、鉴权、审计等，提供服务安全保障基石。 图形化应用全景拓扑，流量治理可视化 应用服务网格提供了可视化的流量监控，链路健康状态、异常响应、超长响应时延、流量状态信息拓扑等一目了然。 结合应用运维管理 AOM、应用性能管理 APM服务，提供了详细的微服务级流量监控、异常响应流量报告以及调用链信息，实现更快速、更准确的问题定位。

名词 说明 短信服务 短信服务（Short Message Service）是天翼云为用户提供的一种通信服务。支持国内快速发送验证码、短信通知。国内短信支持三网合一专属通道，与工信部携号转网平台实时互联。电信级运维保障，实时监控自动切换，到达率高达99%。 国内短信 是天翼云为个人和企业用户提供的纯文本短信发送服务，通过API、群发助手方式调用短信发送功能，将指定信息发送至手机号码，用于个人和企业向用户发送验证码、短信通知等短信。 验证码 是天翼云为个人和企业用户提供的验证码发送服务，国内短信验证码支持三网合一专属通道，秒级可达。适用于App或网站注册、安全登录、支付认证、身份认证、密码找回、账号绑定等应用场景。 短信通知 是天翼云为个人和企业用户提供的短信通知发送服务，支持通知短信，快速触达用户，适用于订单通知、支付通知、物流通知、会议通知、政府通知、生活服务类通知、跨境订单通知、跨境物流通知等应用场景。 短信模板 即具体发送的短信内容模板。短信模版支持验证码、短信通知；验证码和短信通知支持通过变量替换实现个性短信定制。 短信签名 是一种快捷、方便的个性化签名方式。当发送短信时，短信平台会根据设置，在短信内容里附加个性化签名，再发送给被叫手机号码。申请签名的企业用户需要上传相关企业资质证明，个人用户需要上传个人身份证明。

OpenAPI门户提供了产品的描述、语法、参数说明及示例等内容。 关于用户如何使用天翼云弹性云主机产品API的详细介绍，请参见使用API。您可以在OpenAPI门户可以了解到具体的API认证鉴权机制、接入终端节点、API概览、API详述、状态码接入点等内容，配合在线测试、sdk，API调试将更加方便。

设置命令 label 更新资源上的标签： kubectl label pods mypod newlabelnewlabel annotate 更新资源上的注释： kubectl label pods mypod iconurl completion 用于实现kubectl工具自动补全。 其他命令 apiversions 打印受支持的api版本： kubectl apiversions apiresources 打印支持的api资源： kubectl apiresources config 修改kubeconfig文件：用于访问api，比如配置认证信息。 help 所有命令帮助。 version 打印客户端和服务版本信息。 kubectl version

本文主要介绍证书管理。 负载均衡器支持两种类型的证书，云主机证书、CA证书。配置HTTPS监听器时，需要为监听器绑定云主机证书，如果开启双向认证功能，还需要绑定CA证书。 云主机证书：在使用HTTPS协议时，云主机证书用于SSL握手协商，需提供证书内容和私钥。 CA证书： 又称客户端CA公钥证书，用于验证客户端证书的签发者；在开启HTTPS双向认证功能时，只有当客户端能够出具指定CA签发的证书时，HTTPS连接才能成功。 注意 同一个证书在负载均衡器上只需上传一次，可以使用在多个负载均衡器实例中。 默认情况下，一个监听器每种类型的证书只能绑定一个，但是一个证书可以被多个监听器绑定。 负载均衡器只支持原始证书，不支持对证书进行加密。 共享型负载均衡器和后端云主机不能同时使用证书，如果后端云主机使用了证书，那么对应的监听器就不能使用HTTPS协议，可以使用TCP监听器将HTTPS流量透传到后端云主机。独享型负载均衡不存在此限制。 可以使用自签名的证书，使用自签名证书和第三方机构颁发的证书对负载均衡器无区别，但是使用自签名证书会存在安全隐患，建议客户使用权威机构颁发的证书。 负载均衡器只支持PEM格式的证书，其它格式的证书需要转换成PEM格式后，才能上传到负载均衡。 目前ELB不支持对证书有效期等进行检查。 ELB不会自动选择未过期的证书，如果您有证书过期了，需要手动更换或者删除证书。

如何创建专属账户给客户端提供服务？ MSE中Nacos引擎默认开启鉴权功能，访问未认证或者授权的用户访问实例。 Nacos鉴权默认支持JWT认证，通过用户、角色、权限三者共同作用来赋予用户权限，详情请参见章节Nacos引擎访问权限 。 是否支持回滚配置的历史版本？ MSE 注册配置中心提供了配置历史查询功能。目前默认仅保存30天以内的变更记录。查看和回滚历史配置。 在基础信息页面，左侧菜单点击配置管理>配置列表，选择命名空间，查看当前配置。在左侧导航栏，选择历史版本。在历史版本页面选择命名空间、分组、和DataId，点击搜索，即可查看配置的历史。详细操作请参见章节配置管理。 在配置历史页面选择指定版本的历史配置击回滚，确认后即可回滚至历史版本。 在配置列表页面点击编辑按钮，可以查看当前配置的内容，可以确认是回滚至历史版本。回滚操作也会产生一条新的配置变更记录。 Nacos上修改服务实例的权重不生效问题 问题现象 控制台服务详情页面修改服务实例时，设置了实例的权重，但实际调用流量时，流量分配未按照预期权重进行分配。 问题原因 1. 应用框架不支持按权重分配流量负载均衡。 2. 应用框架有自身的负载均衡配置方式，不使用Nacos的权重属性进行负载均衡。 3. 应用未使用权重值进行地址选择。

后续管理 访问控制策略创建完成后，可在策略列表页面，管理已创建策略，包括管理关联用户或资源、删除策略、启停策略、策略排序等。 若需补充关联用户或资源，可单击“关联”，快速关联用户、用户组、资源账户、帐户组。 若需删除策略，可选择目标策略，单击“删除”，立即删除策略。 若需禁用策略授权，可勾选一个或多个“已启用”状态的策略，单击“禁用”，策略状态变更为“已禁用”，策略授权立即失效。 若需排序策略优先等级，可选中策略行上下拖动策略，改变策略排序。 若需线下管理策略，可单击“导出”，以CSV格式导出全量访问控制策略详情。 设置双人授权 双人授权即金库授权模式。配置双人授权后，运维人员若需访问核心资源，要求管理员现场授权认证，通过认证后才能访问核心资源。即使运维人员帐号丢失，也不会泄露核心资源信息，降低运维风险，保障核心资产安全。 约束限制 授权候选人仅可选择本部门及上级部门的部门管理员，包括系统管理员 admin 。 前提条件 已获取“访问控制策略”模块操作权限。 已创建访问控制策略，并已关联用户和资源账户。 操作步骤 1. 登录云堡垒机系统。 2. 选择“策略 > 访问控制策略”，进入访问控制策略列表页面。 3. 选择目标策略，在“操作”列单击“更多 > 双人授权候选人”，弹出授权候选人名单窗口。 4. 选择一个或多个部门管理员，设为双人授权候选人。 5. 单击“确认”，双人授权候选人设置完成。

参数 参数说明 密钥名称 新建的密钥的名称，同一个命名空间内命名必须唯一。 所属集群 使用新建密钥的集群。 集群命名空间 新建密钥所在的命名空间，默认为default。 描述 密钥的描述信息。 密钥类型 新建的密钥类型。 Opaque：一般密钥类型。 kubernetes.io/dockerconfigjson：存放拉取私有仓库镜像所需的认证信息。 IngressTLS：存放7层负载均衡服务所需的证书。 其他：若需要创建其他类型的密钥，请手动输入密钥类型。 密钥数据 工作负载密钥的数据可以在容器中使用。 当密钥为Opaque类型时。 1. 单击“添加更多密钥数据” 。 2. 输入键、值。其中“值”必须使用Base64编码，Base64编码方法请参见 如何进行Base64编码 。 当密钥为kubernetes.io/dockerconfigjson类型时，输入私有镜像仓库的帐号和密码。 当密钥为IngressTLS类型时，上传证书文件和私钥文件。 说明 1、证书是自签名或CA签名过的凭据，用来进行身份认证。 2、证书请求是对签名的请求，需要使用私钥进行签名。 密钥标签 标签以Key/value键值对的形式附加到各种对象上（如工作负载、节点、服务等）。 标签定义了这些对象的可识别属性，用来对它们进行管理和选择。 1. 单击“添加标签” 。 2. 输入键、值。

更改默认密码 初次登录时应强制用户更改默认密码。 不应使用出厂预设的默认密码。 避免密码重复使用 不同系统和服务应使用不同的密码。 避免部门或团队内部使用相同的密码。 密码存储安全 对存储的密码进行加密处理，避免以明文形式存储。 使用安全的哈希算法，并考虑加入盐值（salt）来增加破解难度。 定期更改密码 定期更新密码，但也要考虑到频繁更改可能带来的用户体验问题。 多因素认证 在可能的情况下启用多因素认证（MFA），以增加额外的安全层。 为什么企业需要定期进行安全体检？ 企业定期进行安全体检至关重要，因为这有助于及时发现可能被黑客利用的安全漏洞。随着网络安全威胁的不断演变，新的漏洞和攻击手段层出不穷。定期的安全体检可以帮助企业保持最新的安全态势，确保关键数据和资产免受侵害。此外，定期的安全体检还能帮助企业满足合规性和监管要求，从而避免因不合规而产生的损失。 安全体检能发现哪些类型的问题？ 安全体检能够发现多种类型的安全问题，包括但不限于： 操作系统漏洞：未打补丁的操作系统可能导致攻击者利用已知漏洞。 配置错误：不当的系统配置可能暴露不必要的端口和服务，增加被攻击的风险。 弱密码：使用容易猜测的密码会增加账户被破解的可能性。 软件缺陷：第三方应用程序中的漏洞可能会被恶意利用。 恶意软件感染：安全体检还可以帮助检测是否存在已知的恶意软件。

提示工信部网站备案查不到怎么办？ 如您提供的域名，已在工信部网站备案，建议您按照如下步骤检查。 您提交的域名是否填写错误。 您提供的域名是否可到工信部网站进行核实。 如果您的链接未到工信部备案，更换其他有备案的链接即可。 因IP无法核实主体，建议提供工信部备案链接。 已提供链接但提示内容无法核实？ 如果提供的是登录链接，建议在场景说明中提供测试帐号以供核实。 请检查您提供的链接是否无法访问，建议您在调整或恢复正常后重新提交。 为什么提示签名与企业名称不一致？ 签名并非企业全称或简称，而是公司产品，可在场景说明中提供官网产品介绍链接。 若签名为公司商标、App等，请选择合适的签名来源，可在场景说明中提供相关链接。 说明： 若业务未上线，可以先申请企业简称作为签名。 提示无法核实提供的店铺信息怎么办？ 如果您申请签名的店铺已上线，请参考如下信息检查。 您是否在场景说明中提供电商平台店铺地址链接。 如果您是自建商城，可填写商城链接以供核实。 如果您的商城无业务链接，可在证件栏中上传后台认证截图。 申请签名时提示没有关联性或涉及第三方怎么办？ 请提供您已上线业务的对应链接（如官网链接等）、使用场景的相关说明。 提交时可在证件栏中提供后台认证截图，说明关联性。