概述 本章节主要介绍创建和更新代码沙箱模板以及代码沙箱实例调试功能。代码沙箱专为代码智能体提供安全的执行环境，在该类型沙箱实例中您可以执行以Python、Javascript、R、Java和Shell5种语言代码。代码沙箱包含基础沙箱的所有能力。 创建代码沙箱模板 操作步骤 1. 登录智能体引擎控制台，左侧导航选择沙箱菜单。 2. 单击创建沙箱模板。 3. 在创建沙箱模板窗口，填写代码沙箱参数并单击确定。 4. 创建完成后，在沙箱模板列表页面，可以看到沙箱模板。沙箱模版创建和更新都为异步操作，需要您耐心等待完成。 代码沙箱模版创建参数 参数名称 是否必填 参数说明 沙箱类型 是 智能体引擎支持基础沙箱、代码沙箱、浏览器沙箱、AIO沙箱和自定义沙箱5种沙箱类型。 模版名称 是 沙箱模板名称用户內唯一。 模版名称规则： 以字母开头，可包含字母、数字、下划线和连字符，且长度不超过32个字符。 描述 否 沙箱模板的描述。 镜像来源 是 镜像来源有2种，默认镜像和自定义镜像。默认镜像为智能体引擎服务提供的内置镜像；自定义镜像需要您依次选择容器镜像实例 、容器镜像仓库 和容器镜像版本。 规格方案 是 沙箱CPU和内存规格，目前支持多种规格。 临时磁盘大小 是 沙箱使用的临时磁盘大小，目前只支持512MB规格。 环境变量 否 沙箱中的环境变量以键值对的方式存储。 环境变量名规则：以字母开头，只能包含字母、数字和下划线，长度3256个字符，且不能以AGE开头。 执行超时时间 是 沙箱实例在创建后可运行的最长时间，超时将自动销毁。规格有多种，最短1分钟，最长为6小时，也可以创建永久常驻的沙箱实例。 访问凭证 否 访问沙箱实例入站凭证，目前支持API Key、Basic Auth和JWT3种类型。 执行角色 否 沙箱中需要访问天翼云资源，该角色生成的临时AK和临时SK会设置到环境变量中。 AGECTYUNACCESSKEY：如果沙箱模板中配置了执行角色，选择的角色的临时AK会放在该环境变量。 AGECTYUNSECRETKEY：如果沙箱模板配置了执行角色，选择的角色的临时SK会放在该环境变量。 网络配置 是 沙箱中访问公网和VPC。 访问公网 ：允许沙箱访问公网服务。 访问VPC：允许沙箱访问您VPC下的天翼云资源。访问VPC需要选择VPC和子网，并且支持配置黑白名单。 ZOS挂载 否 沙箱中挂载天翼云对象存储ZOS，最多支持5个挂载点。 ZOS挂载点 ：对象存储Bucket名称。 Bucket子目录 ：设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 ：设置沙箱运行环境中的本地目录。 沙箱本地目录权限：选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 NAS挂载 否 沙箱中挂载天翼云弹性文件服务SFS，最多支持5个挂载点，必须开启网络配置中的VPC访问，且弹性文件服务SFS和网络配置同VPC。 弹性文件服务 ：选择已创建的SFS文件系统实例。 VPCE挂载地址 ：选择SFS文件系统实例下的VPCE挂载地址。 远端目录 ：远端SFS中的目录是指位于SFS文件系统中的绝对目录，以/开头。 沙箱本地目录：设置沙箱运行环境中的本地目录。 网络配置中黑白名单语义： 未设置白名单：允许访问用户 VPC 内所有服务（仍受黑名单约束）。 设置白名单：仅允许访问白名单中的网段/IP（或对应服务）。 设置黑名单：禁止访问黑名单中的网段/IP（或对应服务）。 黑白名单冲突时，以白名单为更高优先级。

集群创建成功后关闭安全通信 1.登录MRS管理控制台。 2.在现有集群列表中，单击待关闭安全通信的集群名称。 系统跳转至该集群详情页面。 3.单击“通信安全授权”右侧的开关关闭授权，在弹出窗口单击“确定”。 关闭授权后将导致集群状态变更为“网络通道未授权”，集群部分功能不可用，请谨慎操作。 为关闭安全通信的集群开启安全通信 1.登录MRS管理控制台。 2.在现有集群列表中，单击待开启安全通信的集群名称。 系统跳转至该集群详情页面。 3.单击“通信安全授权”右侧的开关开启授权。 开启授权后集群状态变更为“运行中”。 一键修复 当集群中授权的安全组规则不足以支撑MRS集群管理控制台为用户发放、管理和使用大数据组件的操作时，“通信安全授权”右侧出现的提示，请单击“一键修复”按钮进行修复。 1.登录MRS管理控制台。 2.在现有集群列表中，单击待修复安全通信的集群名称。 系统跳转至该集群详情页面。 3.单击“通信安全授权”右侧的“一键修复”。 详见下图：一键修复 4.单击“确定”，完成修复。 详见下图： 修复访问控制策略

本节介绍如何查看安全概览，通过安全概览了解整体的安全风险和告警。 安全概览会通过大屏的方式展示安全评分、资产总数、告警总数、威胁动态、日志分布TOP5、风险资产TOP5、告警处置概览、近七天趋势图、攻击链统计图。 前提条件 安全概览的数据来源于接入系统的数据量，需要确保已完成数据接入。具体操作请参见接入日志、告警。 操作步骤 1. 登录云安全中心控制台。 2. 在左侧导航栏，选择“安全态势 > 安全概览”，进入安全概览页面，查看安全评分和风险数据统计。 说明 日志、告警等维度数据展示均支持下钻点击，通过详情进行展示。 概览数据只展示当前情况，最新实时数据需要手动刷新页面获取。

本文介绍安全加速的计费项。 注意事项： 1.订购资源包之前需开通安全加速的按需服务 2.订购安全加速时，至少需要订购WAF和抗D其中一种 计费分类 计费项 是否必选 是否有资源包 备注 安全加速基础服务 静态https请求数 是 是 购买安全加速基础费用，必须选择静态https请求数与CDN带宽/流量；WAF防护和抗D防护至少开启一项能力 安全加速基础服务 CDN带宽/流量 是 是 购买安全加速基础费用，必须选择静态https请求数与CDN带宽/流量；WAF防护和抗D防护至少开启一项能力 安全加速WAF防护 基础功能费用 是（若需要WAF防护则为必选） 否 安全加速WAF防护 防护请求数 是（若需要WAF防护则为必选） 是 安全加速WAF防护 域名数量扩展 否 否 WAF防护基础套餐数量不够则需要购买扩展 安全加速抗D防护 基础套餐 是（若需要抗D防护则为必选） 否 安全加速抗D防护 弹性防护 否 否 安全加速抗D防护 动态请求数 否（若仅购买抗D防护则必选） 否（暂未上线） 安全加速抗D防护 域名数量扩展 否 否 抗D防护基础套餐数量不够则需要购买扩展

内置流程 安全防线 流程名称 描述 数据类 主机安全 主机告警状态同步 自动同步主机告警状态 Alert 主机安全 高危漏洞自动通知 对威胁等级为High的漏洞进行邮件或者短信通知 Vulnerability 主机安全 漏洞处理 调用主机安全接口修复主机漏洞 Vulnerability 主机安全 策略管理安全组阻断 将目标IP添加到所有安全组中 Policy 主机安全 策略管理安全组取消阻断 将目标IP从所有安全组中取消 Policy 主机安全 主机一键隔离 将目标主机进行全端口的隔离 Alert 主机安全 主机一键解封 将目标主机从隔离安全组中移除 Alert 主机安全 攻击链路分析告警通知 针对攻击链路分析，主机告警影响资产关联网站资产有对应攻击告警进行告警通知 Alert 应用安全 WAF一键拦截 对目标IP封堵在该账号的WAF服务里的所有中策略 Alert 应用安全 WAF一键解封 对目标IP从该账号的WAF服务里的目标策略组中解封 Alert 应用安全 WAF攻击自动化安全封堵 将告警里的源IP研判后封堵在WAF中 Alert 应用安全 策略管理WAF阻断 将目标IP添加到WAF的黑名单中 Policy 应用安全 策略管理WAF取消阻断 将目标IP从WAF的黑名单中移除 Policy 网络安全 CFW一键拦截 将目标IP添加到CFW的黑名单中 Alert 网络安全 CFW一键解封 将目标IP从CFW的黑名单中移除 Alert 网络安全 策略管理CFW阻断 将目标IP添加到CFW的黑名单中 Policy 网络安全 策略管理CFW取消阻断 将目标IP从CFW的黑名单中移除 Policy 其他/通用 高危告警自动通知 对威胁级别为High或者Fatal的告警进行邮件或者短信通知 Alert 其他/通用 告警指标提取 将告警中ip信息抽取，进行微步外部验证，置成指标，并与源告警相互关联 Alert 其他/通用 重复告警自动关闭 7日内第二次及第二次以上出现的告警状态置为关闭，并关联7日内同名告警 Alert 其他/通用 自动更新告警名称 根据客户需要，筛选关键字段信息，拼接告警名称 Alert 其他/通用 告警打ip标签 告警添加告警关联攻击源IP及目标IP的标签信息 Alert 其他/通用 一键解封 根据不同的告警数据源产品选择执行不同的解封子流程 Alert 其他/通用 一键阻断 根据不同的告警数据源产品选择执行不同的阻断子流程 Alert 其他/通用 态势感知（专业版）报告通知 态势感知（专业版）日报按钮或定时发送订阅人员 CommonContext

本文指导您如何创建天翼云SDWAN。 操作场景 用户如需使用天翼云SDWAN服务，首先需要创建天翼云SDWAN实例。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“总览”，单击“创建天翼云SDWAN”;（或者选择“天翼云SDWAN”，单击“创建天翼云SDWAN”）； 3. 根据页面提示，填写SDWAN名称、描述（选填），选择要加入的企业项目； 4. 单击“确定”，完成天翼云SDWAN实例创建。

本文帮助您快速熟悉虚拟私有云创建安全组的操作流程。 操作场景 安全组实际是网络流量访问策略，通过访问策略可以控制流量入方向规则和出方向规则，通过这些规则可以为加入安全组内的云服务器、云容器、云数据库等实例提供安全保护。安全组的访问策略由入方向规则和出方向规则共同组成。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏，选择“访问控制 > 安全组”。进入安全组列表页面。 4. 在安全组列表右上方，单击“创建安全组”。进入“创建安全组”页面。 5. 根据界面提示，设置安全组参数。 6. 安全组参数设置完成后，可以在创建页面下方查看模板的入方向和出方向规则，确认无误后，单击“确定”。 表 参数说明 参数 参数说明 取值样例 名称 必选参数。安全组的名称。安全组的名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格， 长度不能大于64个字符。 说明： 安全组名称创建后可以修改，建议不要重名。 sg318b 描述 可选参数。安全组的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含“ ”。

本章节主要介绍了不同安全组内物理机内网互通、仅允许特定IP地址远程登录物理机、允许任意公网IP地址远程登录物理机的安全组配置案例。 实际应用中，请根据实际网络环境需求，对安全组进行配置。我们提供以下几种常见的安全组配置案例作为参考。 案例一：不同安全组内的物理机器内网互通 场景举例： 在相同Region的相同帐号下，用户需要将某个安全组内一台物理机器上的资源拷贝到另一个安全组内的物理机器上时， 可以将两台物理机器设置为内网互通后再拷贝资源。 安全组配置方法： 由于相同Region的相同帐号下，在同一个安全组内的物理机器默认互通，无需配置。但是，在不同安全组内的物理机器默认无法通信，此时需要添加安全组规则，使得不同安全组内的物理机器内网互通。 在两台物理机器所在安全组中分别添加一条入方向安全组规则，放通来自另一个安全组内的实例的访问，实现内网互通，安全组规则如下所示。 协议 方向 端口范围/ICMP协议类型 源地址 设置内网互通时使用的协议类型（支持TCP/UDP/ICMP/ANY） 入方向 设置端口范围或者ICMP协议类型 IPv4地址、IPv4 CIDR或者另一个安全组的ID 说明 源地址可以配置为CIDR（仅支持IPv4），也可以配置为安全组ID。如果想将目的地址配置成某个具体的IP地址，需将CIDR的子网掩码长度设置成32位。

同一个微服务引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的微服务引擎访问和操作权限。开启了“安全认证”的微服务引擎专享版，根据用户接入引擎使用的帐号所关联的角色，赋予该用户不同的微服务引擎访问和操作权限。 安全认证具体内容，请参考系统管理。 您可根据实际业务需要，对微服务引擎专享版执行开启或关闭安全认证操作： 开启安全认证 未开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可开启安全认证。 开启安全认证后，接入该引擎的微服务组件如果没有配置安全认证参数，或者微服务组件配置的安全认证帐号和密码不正确，会导致该微服务组件心跳失败，服务被迫下线。请参考如下方法进行处理： − Java Chassis：请参考“帮助中心 > 微服务云应用平台 > 开发指南 > 对接微服务应用 > Java Chassis接入CSE”中的配置安全认证操作。 − Spring Cloud：请参考“帮助中心 > 微服务云应用平台 > 开发指南 > 微服务开发指南 > 对接微服务应用 > Spring Cloud接入CSE”中的配置安全认证操作。 关闭安全认证 已开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可关闭安全认证。 关闭安全认证后，无论接入该引擎的微服务组件是否配置了安全认证参数，微服务组件的正常业务功能不受影响。 开启安全认证 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 选择待操作的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 步骤 3 在“安全”区域，开启安全认证开关。 如果引擎版本低于1.2.0，执行步骤4。 如果引擎版本为1.2.0及以上版本，执行步骤5。 步骤 4 升级引擎至1.2.0或以上版本。 1. 单击“升级引擎至新版本”。 2. 选择“升级后版本”，查看版本说明，根据需要决定是否升级到该版本后，单击“确定”。 3. 等待升级成功后，单击“返回微服务引擎”。 4. 选择刚升级成功的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 5. 在“安全”区域，开启安全认证开关。 步骤 5 在微服务引擎控制台的“系统管理”页面，开启安全认证。 首次开启安全认证，单击“去开启安全认证”。 需先创建root帐号。输入root帐号的“密码”和“确认密码”，单击“立即创建”。 再次开启安全认证，单击“开启安全认证”。 输入引擎中已关联了admin角色的帐号名称及其密码。 步骤 5 （可选）参考角色管理，根据业务需要，创建角色。 步骤 6 （可选）参考帐号管理，根据业务需要，创建帐号。 步骤 7 在微服务引擎控制台的“系统管理”页面，单击“开启安全认证”。 步骤 8 根据提示确认已经完成所有配置后，勾选“确保已配置”。 步骤 9 单击“确定”。 等待微服务引擎更新完成，引擎状态由“配置中”变为“可用”，开启安全认证成功。

本节介绍如何开启防护事件告警通知。 通过对攻击日志设置告警通知，WAF可将仅记录和拦截的攻击日志按用户设置的接收通知渠道（邮件或短信）发送给用户。 使用限制 独享版防护对象暂不支持告警通知功能。 开启告警通知 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 告警通知”，进入告警通知页面。 5. 单击“新增通知策略”，弹出新建通知策略窗口。 6. 配置告警通知参数。 参数 说明 策略名称 用户可以自定义策略的名称。 通知状态 配置告警通知的状态，默认为关闭。根据需要进行开启。 通知群组 在下拉列表选择需要接收告警通知的群组。 若已有群组无法满足需求，单击“创建群组”创建新的群组，需要为群组中的联系人配置姓名、手机、邮箱等信息。 通知渠道 支持邮件、短信。 说明 为避免因告警信息过多对您产生打扰，邮件和短信均设有发送数量限制，限制如下：10分钟内仅发送一次，1小时内仅发送3次，1天内仅发送10次。 事件类型 设置告警的事件类型，系统默认选择“全部”，用户也可以选择“自定义”，勾选需要告警的事件类型。 告警频率阈值 在设置的时间间隔内，当攻击次数大于或等于您设置的阈值时，才会发送告警通知。 7. 配置完成后，单击“确认”，告警通知策略设置成功。

本页面主要介绍分布式消息服务RocketMQ对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： ● 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 ● 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 ● 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 ● 用户通过云审计能查询到多久前的操作事件：7天。 ● 用户操作后多久可以通过云审计查询到数据：5分钟。 ● 其它限制请参考使用限制云审计。 操作步骤 1. 开通云审计服务。 参见开通云审计服务云审计。 2. 查看云审计事件。 参见查看审计事件云审计。 3. 在事件列表中，选择事件来源为“容器与中间件”，资源类型选择“分布式消息服务RocketMQ”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考用户指南、常见问题。

如何同时备份多个资源？ 通过以下步骤，您可以方便地同时备份多个资源，保障数据的安全和可恢复性： 1. 在系统首页，选择“存储>云主机备份”，前往云主机备份控制台创建存储库。 2. 参考创建云主机备份，将多个云主机资源绑定到对应备份策略，选择“立即备份”执行一次性备份或选择“自动备份”进行周期性备份。需要注意的是，每个备份策略可以同时绑定最多20个云主机资源。 如何永久保留备份？ 实现备份的永久保留方法如下： 手动备份：如果您希望将手动创建的备份永久保留，只需要避免手动删除这些备份，并确保您的账户有足够的资金以支付存储库产生的费用。 自动备份：在设置备份策略时，您可以选择将备份保留规则设置为“永久保留”。策略执行时，系统将不会自动删除根据策略产生的备份。只需确保您的账户资金充足，您即可实现备份的永久保留。 如何取消自动备份？ 如果您希望取消自动备份，您可以执行以下操作之一： 将备份策略从存储库中解绑。 将备份策略的状态设置为“停用”。 如何自动删除过期备份？ 云主机备份的过期备份可以通过预设备份策略中的保留规则来自动删除。 在创建备份策略时，您可以在保留规则中选择按时间保留：可选择1个月、3个月、6个月、1年的固定保留时长，或根据需要自定义保留时长，取值范围为1～99999天。当保留的备份超过预设时间时，系统会自动删除所有过期的备份。

本节为您介绍云迁移服务优势。 智能评估管理 云迁移服务CMS提供了服务器、数据库和对象存储的成本评估功能，帮助企业更好地了解成本情况，辅助上云决策。此外，服务支持资源发现、资源映射和迁移管理，实现迁移全周期管理。 覆盖场景全面 云迁移服务CMS具备服务器、数据库以及对象存储迁移工具，可根据实际应用场景选择同构/异构服务器迁移工具、同构/异构数据库迁移工具以及对象存储迁移工具辅助迁移。 高效的上云路径 云迁移服务为企业提供了高效的上云方案，通过云迁移平台将迁移过程业务化，通过业务化管理帮助企业以更快的速度完成上云。 全面可视化管理 云迁移服务实现了迁移生命周期的一站式、可视化管理，用户能够通过直观的界面全面了解迁移过程的状态和进展，便于管理和监控。 服务器迁移 云迁移服务CMS提供了完备的服务器迁移工具，适配市面上主流的操作系统，在传输、连接、控制平面进行安全设计，同时平衡易用性与灵活性，提升用户使用体验。 数据库迁移 云迁移服务CMS提供了完备的数据库迁移工具，支持同构/异构数据库数据迁移。可实现达梦、人大金仓、TiDB、TeleDB等作为目标数据库进行异构数据库迁移。 数据迁移 云迁移服务CMS的数据迁移工具，具备可视化、稳定、易用的特点，支持将来自亚马逊、阿里云、腾讯云、华为云、天翼云 OOS 和 XOS 的数据迁移到ZOS 进行存储，并提供了灵活的迁移策略，通过功能组合满足各类需求与场景，实现企业数据快速上云。

参数 参数类型 说明 示例 下级对象 projectID String 企业项目ID 0 azName String 可用区名称 az1 attachedVolume Array of Strings 云硬盘ID列表 ["8e8f8bc8b8ad8a8e8e8888cd88888e88"] addresses Array of Objects 网络地址信息 addresses resourceID String 云主机资源ID f88bc88a88a888e8a88bf88888888888 instanceID String 云主机ID 88f888ea88ff88eca8bc888888888fe8 displayName String 云主机显示名称 xxx8888 instanceName String 云主机名称 xxx8888 osType Integer 操作系统类型，详见枚举值表 5 instanceStatus String 云主机状态，请通过状态 running expiredTime String 到期时间 20230419T09:37:53Z availableDay Integer 可用(天) 100 updatedTime String 更新时间 20221019T09:37:53Z createdTime String 创建时间 20221019T09:37:53Z zabbixName String 监控对象名称 8a8fdc88b8a888bb888f8b88888c88f8 secGroupList Array of Objects 安全组信息 secGroupList privateIP String 内网ipv4地址 10.0.0.1 privateIPv6 String 内网ipv6址 888:8:8c8:8888:bee8:88d8:c8a8:888 networkCardList Array of Objects 网卡信息 networkCardList vipInfoList Array of Objects 虚拟IP信息列表 vipInfoList vipCount Integer 虚拟IP数目 1 affinityGroup Object 云主机组信息 affinityGroup image Object 镜像信息 image flavor Object 云主机规格信息 flavor onDemand Boolean 付费方式，取值范围： true：表示按量付费， false：表示包周期 true vpcName String 虚拟私有云名称 vpcxxx vpcID String 虚拟私有云ID vpcxxx8xxxxxx fixedIPList Array of Strings 内网IP ["10.0.0.1"] floatingIP String 公网IP 172.16.0.243 subnetIDList Array of Strings 子网ID列表 ["subnet0yy0yy0yyy"] keypairName String 密钥对名称 keypairxxx

日志查询与实时分析 对采集的日志数据，可以通过关键字查询、模糊查询等方式简单快速地进行查询，适用于日志实时数据分析、安全诊断与分析、运营与客服系统等，例如云服务的访问量、点击量等，通过日志数据分析，可以输出详细的运营数据。 日志转储 主机和云服务的日志数据上报至云日志服务后，默认存储时间为30天。超出存储时间的日志数据将会被自动删除，对于需要长期存储的日志数据（日志持久化），云日志服务提供转储功能，可以将日志转储至对象存储服务（OBS）中长期保存。日志转储基于复制的转储机制，在LTS设置的存储时间内转储至OBS的日志，不会在LTS被删除。 云日志服务的基本概念 日志组 日志组是一组日志流的集合，日志组中可以创建日志流；日志组的作用类似于文件夹，其目的是方便对日志流进行分类管理。 日志流 日志流（LogStream）是日志读写的基本单位，日志组中可以创建日志流，方便对日志进一步分类管理。 日志读写以日志流为单位，您可以在写入时指定日志流，将不同类型的日志分类存储，ICAgent采集日志后，将多条日志数据进行打包，以日志流为单位发往云日志服务，日志流的读写方式可以最大限度地减少读取与写入次数，提高业务效率。 例如，您可以将不同的日志（操作日志、访问日志等）写入不同的日志流，查询日志时可以进入对应的日志流快速查看日志。

本章节将介绍申请证书的详细操作。 成功购买证书后，您需要申请证书，即为证书绑定域名或IP、填写证书申请人的详细信息并提交审核。所有信息通过审核后，证书颁发机构才签发证书。 在申请证书时，您可以参考SSL证书申请常见问题。 前提条件 已成功购买证书并且在控制台的“证书状态”为“待申请”。如何购买证书请参考：购买SSL证书。 约束限制 如果您申请的DV证书，绑定的域名含有edu、gov、bank、live或品牌相关的敏感词，可能无法通过安全审核，建议选择OV或EV证书。 操作步骤 1. 登录“证书管理服务”控制台，在左侧导航栏选择“SSL证书管理 > SSL证书列表”，随后在顶部导航栏选择“可申请”，进入“证书管理”页面。 2. 选择“域名型 (DV) SSL”证书，单击“操作”列的“证书申请”按钮，进行SSL证书申请。 3. 在右侧弹出的窗口中填写证书申请的相关信息。 填写参数 参数说明 证书绑定域名 第一个域名将作为证书通用域名名称（不可修改）。 注意 若您在申请单域名规格证书时，填写的域名为4级及以上子域名，请加上“www”，否则不会包含主域名。例如：申请www.aaa.bbb.ctyun.cn，会包含aa.bbb.ctyun.cn这个备用域名，若直接申请aaa.bbb.ctyun.cn，则不会包含www.aaa.bbb.ctyun.cn这个备用域名。 若您的域名为中文域名，可使用Punycode编码转换工具将中文域名编码为Punycode填入域名栏。 域名验证方式 可选“文件验证”、“手工DNS验证”、“代理文件验证”、“代理DNS验证”。 “手工DNS验证”、“代理DNS验证”：不支持GlobalSign版本的证书验证。 “文件验证”、“代理文件验证”：目前仅支持绑定IP方式的OV证书验证，不支持通配符域名类型的证书验证。 说明 申请提交后，不支持更改域名验证方式，请谨慎选择。若已经提交申请，只能撤回申请后重新提交申请。 证书管理服务有效时长内包含多张SSL证书。每张张证书到期前30天，天翼云将会自动为您续期证书，此处的“域名验证方式”建议选择“代理文件验证”或“代理DNS验证”，每次续期证书将无需手动验证域名。 联系人 选择联系人，如何新建联系人请参考信息管理章节。 所在地 选择公司实际所在地区。（目前仅支持选择中国地区） 密钥算法 可选择“RSA”、“ECC”或“SM2”（根据购买证书页面所选的加密标准选择） CSR生成方式 CSR是一个包含网站、服务、国家、组织、域名、公钥和签名的编码文件，用于从可信的证书颁发机构（CA）获取SSL证书。 支持“系统生成”或“手动生成”两种方式： 系统生成：根据用户所配置的信息，系统自动生成一个CSR。为保障您的证书顺利申请，建议您使用系统生成CSR的方式，避免因内容不正确而导致的审核失败。 手动生成：在下拉框中选择已手动创建的CSR，使用已创建的CSR申请证书。 注意 请不要在证书签发完成前删除CSR。 手动生成将无法署到天翼云产品。 提醒事件管理 说明 证书过期将影响业务正常运行，因此，建议设置证书临期提醒，联系人建议填写运维人员。 联系人 建议填写运维人员。如果需要新增联系人，请参见联系人管理。 提醒方式 可选择“邮件方式”、“短信方式”。 提醒内容 支持多选： 30天到期提醒 15天到期提醒 证书验证提醒 证书下载提醒 4. 填写完后，单击“提交审核”。 提交审核后，CA颁发机构将对您提交的申请进行处理并给您填写的邮箱发送一封验证邮件。您需要按照要求进行域名验证。 5. 配置域名验证信息，配置域名信息操作可参考域名验证。配置后完成等待审核签发证书。 6. 若证书已成功签发，可返回到“已签发”页签查看签发成功的证书。

本章节主要介绍翼MR Manager的集群服务配置的查看操作。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“集群服务”，进入集群服务列表页面。 5. 选择指定集群服务，单击集群服务名称进入集群服务详情页面。 6. 单击“配置管理”tab，即可查看该集群服务的所有配置。如图所示： 7. 对于隐私配置项，默认将加密展示，点击文本框右侧查看按钮，输入配置主密码即可查看。如果当前集群开通后未设置过主密码，请参考用户手册的配置管理主密码设置，设置主密码后，进行查看。 说明运维变量配置 在服务的default分组下，以vars.yaml后缀结尾的配置文件，为运维变量配置文件。运维变量配置文件不是服务本身的配置文件，而是存放Manager运维操作变量的文件，每个运维变量的含义如下表。 组件 运维变量名 是否建议修改 含义说明 HDFS activenamenode 否 部署时使用，在这台机器上执行format操作。 HDFS kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 HDFS ldapGuestPassword 否 部署和扩容时使用，连接ldap的guest用户密码，此权限只能查看用户，不能创建用户。 HDFS ldapuri 否 部署和扩容时使用，配置ldap的连接地址。 HDFS dfsclusterId 否 部署时使用，ns的默认值。 HDFS pipelinejobretrytimes 是 流水线重试次数。 HDFS jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 YARN 无 共享HDFS运维变量。 ZooKeeper kerberosRealm 否 部署时使用，配置kerberos的realm的信息。 ZooKeeper kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 ZooKeeper zksuperuser 否 部署和扩容时使用，配置zk的超级用户。 ZooKeeper zksuperuserpasswd 否 部署和扩容时使用，配置超级用户的密码。 ZooKeeper componentuser 否 暂未使用。 ZooKeeper dataLogDir 否 部署时使用，需要通过ansbile创建目录。 ZooKeeper dataDir 否 部署时使用，需要通过ansbile创建目录。 Kerberos kerberosRealm 否 部署时使用，配置kerberos的realm的信息。 Kerberos kdcmaster 否 部署时使用，指定master节点，执行master节点的操作。 Kerberos kdcslave 否 部署时使用，指定slave节点，执行slave节点的操作。 Kerberos kerberosdatabasepasswd 否 部署时使用，配置kerberos的数据库密码。 Kerberos kerberosadminuser 否 部署时使用，配置kerberos的admin用户。 Kerberos kerberosadminpasswd 否 部署时使用，配置kerberos的admin用户密码。 OpenLDAP ldapmasterhostname 否 部署时使用，指定master节点，执行master节点的操作。 OpenLDAP ldapslavehostname 否 部署时使用，指定slave节点，执行slave节点的操作。 OpenLDAP olcRootDN 否 部署时使用，服务配置。 OpenLDAP olcSuffix 否 部署时使用，服务配置。 OpenLDAP ldapAdminPwd 否 部署时使用，admin用户的密码。 OpenLDAP ldapGuestPwd 否 部署时使用，guest用户的密码。 OpenLDAP ldapuri 否 部署时使用，ldap的连接信息。 OpenLDAP ldapBaseUgDN 否 部署时使用，服务配置。 OpenLDAP pipelinejobretrytimes 是 流水线重试次数。 OpenLDAP jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 HBase kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 HBase pipelinejobretrytimes 是 流水线重试次数。 HBase jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Spark kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Spark ldapmaster 否 部署时使用，ldap的master节点。 Spark eventlogdir 否 部署时使用，通过ansible创建目录。 Spark sparkhome 否 部署时使用，通过ansible创建目录。 Hive kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Hive ldapmaster 否 部署时使用，ldap的master节点。 Hive databasepass 否 部署时使用，hive使用的数据库密码，需要用户填写。 Kafka kdcmaster 否 部署和扩容时使用，kerberos的master节点，用于创建keytab文件。 Kafka kerberosrealm 否 kerberos的realm的信息。 Kafka logdirs 否 （目前不再使用，通过从配置文件中渲染来创建目录）部署和扩容时使用，通过ansible创建目录。 Kafka pipelinejobretrytimes 是 流水线重试次数。 Kafka jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Kyuubi kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Kyuubi ldapmaster 否 部署时使用，ldap的master节点。 Kyuubi kyuubilogdir 否 目录。部署时使用，通过ansible创建。 Kyuubi kyuubieventlogdir 否 目录。部署时使用，通过ansible创建。 Kyuubi kyuubiworkdir 否 目录。部署时使用，通过ansible创建。 Kyuubi adminuser 否 目录的属主。 Kyuubi usergroup 否 目录的属组。 Kyuubi pipelinejobretrytimes 是 流水线重试次数。 Kyuubi jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Flink kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Flink ldapmaster 否 部署时使用，ldap的master节点。 Flink logDir 否 目录。部署时使用，通过ansible创建。 Flink HistoryServerDir 否 目录。部署时使用，通过ansible创建。 Flink pipelinejobretrytimes 是 流水线重试次数。 Flink jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Elasticsearch CERTNODE 否 部署时使用，指定证书节点，在节点上执行生成证书的操作。 Elasticsearch ESDATADIRS 否 目录。部署时使用，通过ansible创建。 Elasticsearch ESDEFAULTPASSWORD 否 部署时使用。默认的密码，随机密码。 Doris FEDEFAULTLEADERHOSTNAME 否 部署和扩容时使用，指定leader节点，在上面执行leader的相关操作。 Doris FEDEFAULTPASSWORD 是 部署时随机生成的Doris组件root密码。节点扩容需要使用该密码，如用户已修改，需要设置正确的值，否则会影响扩容操作。 Doris FEHTTPPORT 否 服务端口，不推荐修改。 Doris FEQUERYPORT 否 服务端口，不推荐修改。 Doris FEEDITLOGPORT 否 服务端口，不推荐修改。 Doris BESTORAGEROOTPATH 否 服务端口，不推荐修改。 Doris BEHEARTBEATSERVICEPORT 否 服务端口，不推荐修改。 Doris BROKERIPCPORT 否 服务端口，不推荐修改。 Trino datadir 否 目录。部署和扩容时使用，通过ansible创建。 Trino kerberosrealm 否 kerberos的realm的信息。 Trino kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Trino ldapmaster 否 部署时使用，ldap的master节点。 Trino coordinator 否 部署和扩容时使用，指定主节点，在上面执行主节点的相关操作。 Trino uiuser 否 ui的用户。 Trino uipassword 否 ui的密码，部署时随机生成。 Trino serveruser 否 server的用户。 Trino serverpassword 否 server的密码，部署时随机生成。 Trino pipelinejobretrytimes 是 流水线重试次数。 Trino jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Ranger dbhost 否 外置数据库信息，需要用户填写。 Ranger dbname 否 外置数据库信息，需要用户填写。 Ranger dbuser 否 外置数据库信息，需要用户填写。 Ranger dbpassword 否 外置数据库信息，需要用户填写。 Ranger dbrootuser 否 部署时使用，ranger使用的外置数据库信息。 Ranger dbrootpassword 否 部署时使用，ranger使用的外置数据库信息。 Ranger rangerpassword 否 ranger admin用户密码。 Ranger SYNCLDAPBINDPASSWORD 否 部署时使用，ranger访问ldap的密码。 Ranger SYNCSOURCE 否 用户同步方式，ldap。 Ranger kerberosrealm 否 kerberos的realm的信息。 Ranger kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Ranger SYNCLDAPURL 否 ldap相关信息。 Ranger POLICYMGRURL 否 ranger admin url信息。 Ranger separatedbamode 否 是否单独执行DBA，默认true，表示需要提前创建ranger使用的数据库和用户，并授权，不推荐修改。 Ranger pipelinejobretrytimes 是 流水线重试次数。 Ranger jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 Knox kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 Logstash pipelinejobretrytimes 是 流水线重试次数。 Logstash jobretrybasedonpipelinetypes 否 自动重试的流水线类型。 JeekeFS kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 KafkaUI kdcmaster 否 部署时使用，kerberos的master节点，用于创建keytab文件。 KafkaUI ldapGuestPassword 否 部署时使用，Openldap的guest用户密码。 Pushgateway PUSHGATEWAYPASSWORD 否 部署时使用，Pushgateway服务的密码。 Pushgateway PUSHGATEWYUSERNAME 否 部署时使用，Pushgateway服务的用户名。 TezUI pipelinejobretrytimes 是 流水线job最大重试次数。 TezUI jobretrybasedonpipelinetypes 否 基于的流水线类型。

开启安全认证 Nacos引擎专享版默认关闭安全认证。可通过控制台开启安全认证。 说明 开启安全认证后，控制台仅能看到有权限访问的命名空间；同时没有配置用户名密码的客户端将无法访问Nacos实例，请谨慎操作。 步骤 1 登录微服务引擎控制台。 步骤 2 在左侧导航栏选择“注册配置中心”。 步骤 3 单击待开启安全认证的Nacos引擎。 步骤 4 在左侧导航栏选择“权限控制”。 步骤 5 单击“开启安全认证”。 步骤 6 在弹出框中单击“确定”，该引擎开启安全认证成功。 关闭安全认证 说明 关闭安全认证后，无法对各个用户进行权限控制，客户端无需密码即可访问Nacos实例，访问控制台可以看到全部的命名空间，请谨慎操作。 步骤 1 登录微服务引擎控制台。 步骤 2 在左侧导航栏选择“注册配置中心”。 步骤 3 单击待关闭安全认证的Nacos引擎。 步骤 4 在左侧导航栏选择“权限控制”。 步骤 5 单击“关闭安全认证”。 步骤 6 在弹出框中单击“确定”，待该引擎的状态变为“可用”时，该引擎关闭安全认证成功。

本文主要介绍如何更改弹性网卡所属安全组。 操作场景 您可以在弹性网卡列表页更改所属安全组，也可以进入弹性网卡详情页更改所属安全组。 操作步骤 在弹性网卡列表页，更改所属安全组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在弹性网卡列表页，单击操作列的“更多 > 更改安全组”。 5. 在“更改安全组”页面勾选需要关联的安全组，单击“确定”，完成更改。 在弹性网卡详情页，更改所属安全组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 单击待修更改安全组的弹性网卡名称，进入弹性网卡详情页。 5. 在“关联安全组”页签下，单击“更改安全组”。 6. 在“更改安全组”页面勾选需要关联的安全组，单击“确定”，完成更改。 更多操作 您可以在弹性网卡详情页“关联安全组”页签下单击“配置规则”，对安全组规则进行配置。

本文介绍了修改文件读写权限的最佳实践。 操作场景 在实际业务中，由于以下原因和目的，您可能需要修改对象的读写权限： 数据安全：通过修改对象的读写权限，可以确保数据仅对授权用户或系统可见和可访问。限制对象的访问权限可以减少数据泄露和未经授权的访问风险，提高数据的安全性。 数据分享：在某些场景下，您可能需要与他人或公众共享特定的对象。通过修改权限，您可以将对象的读取权限开放给其他用户或特定的用户群体，以便与他们分享数据，也可以用于共享公共资源、发布媒体内容或进行数据传输等场景。 方案说明 ZOS控制台支持私有和公共读两种权限的相互转换，为确保您的数据安全，建议您选择私有。 桶的读写权限的更改不会改变桶内已有文件的读写权限，新上传文件会默认继承桶的读写权限。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择所需的资源池节点，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称进入“概览”页面。 5. 点击“文件管理”页面，选中要设置的文件，点击文件所在行的“更多”按钮。 6. 点击更多下拉选项中的“设置读写权限”按钮。 7. 如选择“公共读”，需勾选“ 我已阅读并同意相关协议《天翼云对象存储系统服务协议》”点击“确认修改”，完成读写权限设置。 8. 如选择“私有”，直接点击“确定”，完成设置。

本文介绍数据管理服务中的核心概念，以便用户更好的理解和使用数据管理服务。 概念大图 组织 组织对应于企业或租户，多个天翼云账号可加入一个组织。每个账号在DMS上的所有操作均限定在所属组织下，跨组织的资源对用户不可见。天翼云主账号首次进入DMS时，系统会自动为该主账号创建一个组织。 用户 一个组织下有多个用户，对应于一个企业下有多名员工。天翼云主账号或子账号均可成为DMS用户使用DMS功能。 团队 一个组织可划分为多个团队，团队对应于企业组织架构中的部门或者DevOps中的研发项目。DMS中的用户和资源可关联到具体的团队，实现管理域的划分。团队的具体作用包括： 企业可按组织架构进行团队划分，团队内闭环完成成员管理和工单审批，实现研发自助、高效协同； 大型组织可将数据库分团队管理，实现运维和管理职责的划分，不同DBA负责不同团队数据库的运维工作； 实现元数据的隔离，普通用户无法看见未加入团队的数据库元数据信息（如：库、表），提升元数据访问的安全性。 此外，每个组织默认都有一个公共团队，公共团队包含组织内所有成员。对于小规模企业，数据库用户和实例数较少，可以直接使用默认的公共团队进行协作，无需创建新团队。

此小节介绍主机风险总览。 企业主机安全在控制台提供总览页面，实时展示您所有资产的安全评分、安全风险、防护地图等，帮助您了解主机和容器的安全状态以及存在的安全风险。 查看总览 1、登录管理控制台。 2、在左侧导航树选择“总览”，进入总览页查看资产安全信息。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 区域 说明 配额数量及待升级Agent数 展示当前您已购买的各版本HSS防护配额总数和使用情况，以及待升级Agent数量。 单击对应防护配额的总数值，可跳转到防护配额界面查看防护配额列表。 单击待升级Agent数值，可跳转到Agent管理界面查看并升级Agent。 说明：企业主机安全会持续优化提升服务能力，包括但不限于新增功能、优化缺陷，因此会定期迭代版本。请及时将主机上的Agent升级为最新版，以便您可以享受到更好的企业主机安全。 安全评分 安全风险评分范围为0~100分，无风险资产默认为100分，HSS会根据资产中存在的基线风险、漏洞风险、入侵风险和资产风险等执行扣分，评分越低表示资产中存在的安全风险越多。 为了保护的您资产安全，建议您及时处理安全风险，提高安全评分： 1、在“安全评分”模块，单击“立即处理”。 2、在“安全风险处理”弹窗中，查看扣分项，单击下箭头展开扣分明细。 3、单击扣分项右侧的“前往处理”，可跳转至对应的风险列表，您可以根据风险详情和修复建议进行修复。 4、修复风险后，单击“重新体检”，刷新评分。 热点资讯 展示最新的热点漏洞信息。 安全风险 展示HSS检测到您资产中存在的安全风险。 主机风险： 需紧急处理告警/总数：处理优先级为紧急的告警数量和告警总数。 紧急优先级修复漏洞/总数：修复优先级为紧急的漏洞数量和漏洞总数。 基线风险：待处理的基线风险总数。 待处理可疑进程：待处理的可疑进程事件总数。 容器风险： 高优先级修复漏洞/总数：修复紧急度为高危的漏洞数量和漏洞总数。 安全风险趋势 展示资产最近七天的安全风险趋势图。 防护地图 展示资产开启安全防护的情况。 资产总数：当前区域下的资产总数。 未防护/主机总数：未防护主机数量和主机总数。 未防护/容器总数：未防护容器数量和容器总数。 安全防护功能开启情况：对应防护功能的开启数量和防护功能累计扫描/检测项数量。

此小节介绍主机风险总览。 企业主机安全在控制台提供总览页面，实时展示您所有资产的安全评分、安全风险、防护地图等，帮助您了解主机和容器的安全状态以及存在的安全风险。 查看总览 1、登录管理控制台。 2、在左侧导航树选择“总览”，进入总览页查看资产安全信息。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 区域 说明 配额数量及待升级Agent数 展示当前您已购买的各版本HSS防护配额总数和使用情况，以及待升级Agent数量。 单击对应防护配额的总数值，可跳转到防护配额界面查看防护配额列表。 单击待升级Agent数值，可跳转到Agent管理界面查看并升级Agent。 说明：企业主机安全会持续优化提升服务能力，包括但不限于新增功能、优化缺陷，因此会定期迭代版本。请及时将主机上的Agent升级为最新版，以便您可以享受到更好的企业主机安全。 安全评分 安全风险评分范围为0~100分，无风险资产默认为100分，HSS会根据资产中存在的基线风险、漏洞风险、入侵风险和资产风险等执行扣分，评分越低表示资产中存在的安全风险越多。 为了保护的您资产安全，建议您及时处理安全风险，提高安全评分： 1、在“安全评分”模块，单击“立即处理”。 2、在“安全风险处理”弹窗中，查看扣分项，单击下箭头展开扣分明细。 3、单击扣分项右侧的“前往处理”，可跳转至对应的风险列表，您可以根据风险详情和修复建议进行修复。 4、修复风险后，单击“重新体检”，刷新评分。 热点资讯 展示最新的热点漏洞信息。 安全风险 展示HSS检测到您资产中存在的安全风险。 主机风险： 需紧急处理告警/总数：处理优先级为紧急的告警数量和告警总数。 紧急优先级修复漏洞/总数：修复优先级为紧急的漏洞数量和漏洞总数。 基线风险：待处理的基线风险总数。 待处理可疑进程：待处理的可疑进程事件总数。 容器风险： 高优先级修复漏洞/总数：修复紧急度为高危的漏洞数量和漏洞总数。 安全风险趋势 展示资产最近七天的安全风险趋势图。 防护地图 展示资产开启安全防护的情况。 资产总数：当前区域下的资产总数。 未防护/主机总数：未防护主机数量和主机总数。 未防护/容器总数：未防护容器数量和容器总数。 安全防护功能开启情况：对应防护功能的开启数量和防护功能累计扫描/检测项数量。

本文介通过智能管理面板配置绍OpenClaw的内容。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw 智能管理面板的内容。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw智能管理面板是集网关连接、模型配置、会话交互、日志调试、节点管理于一体的可视化操作界面。面板采用轻量化侧边栏布局，功能模块划分清晰，保障 AI 智能体的高效使用。以下为详细操作步骤。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

概述 本章节主要介绍创建和更新浏览器沙箱模板、浏览器沙箱实例调试和录制回放功能。浏览器沙箱为浏览器智能体提供的安全页面渲染环境。在该类型沙箱实例中您可以通过可视化方式查看浏览器运行画面， 也可以通过自动化接口对页面进行程序化操作，该类型沙箱适用于调试、测试、流程自动化等场景。 创建浏览器沙箱模板 操作步骤 1. 登录智能体引擎控制台，左侧导航选择沙箱菜单。 2. 单击创建沙箱模板。 3. 在创建沙箱模板窗口，填写浏览器沙箱参数并单击确定。 4. 创建完成后，在沙箱模板列表页面，可以看到沙箱模板。沙箱模板创建和更新都为异步操作，需要您耐心等待完成。 浏览器沙箱模板创建参数 参数名称 是否必填 参数说明 沙箱类型 是 智能体引擎支持基础沙箱、代码沙箱、浏览器沙箱、AIO沙箱和自定义沙箱5种沙箱类型。 模板名称 是 沙箱模板名称用户內唯一。 模板名称规则： 以字母开头，可包含字母、数字、下划线和连字符，且长度不超过32个字符。 描述 否 沙箱模板的描述。 浏览器类型 是 目前只支持Chromium类型。 窗口分辨率 是 浏览器沙箱中VNC窗口分辨率，目前只支持12801024规格。 规格方案 是 沙箱CPU和内存规格，目前支持多种规格。 临时磁盘大小 是 沙箱使用的临时磁盘大小，目前只支持512MB规格。 环境变量 否 沙箱中的环境变量以键值对的方式存储。 环境变量名规则：以字母开头，只能包含字母、数字和下划线，长度3256个字符，且不能以AGE开头。 执行超时时间 是 沙箱实例在创建后可运行的最长时间，超时将自动销毁。规格有多种，最短1分钟，最长为6小时，也可以创建永久常驻的沙箱实例。 访问凭证 否 访问沙箱实例入站凭证，目前支持API Key、Basic Auth和JWT3种类型。 执行角色 否 沙箱中需要访问天翼云资源，该角色生成的临时AK和临时SK会设置到环境变量中。 AGECTYUNACCESSKEY：如果沙箱模板中配置了执行角色，选择的角色的临时AK会放在该环境变量。 AGECTYUNSECRETKEY：如果沙箱模板配置了执行角色，选择的角色的临时SK会放在该环境变量。 网络配置 是 沙箱中访问公网和VPC。 访问公网 ：允许沙箱访问公网服务。 访问VPC：允许沙箱访问您VPC下的天翼云资源。访问VPC需要选择VPC和子网，并且支持配置黑白名单。 ZOS挂载 否 沙箱中挂载天翼云对象存储ZOS，最多支持5个挂载点。 ZOS挂载点 ：对象存储Bucket名称。 Bucket子目录 ：设置Bucket中的子目录，必须为绝对路径。设置为/表示挂载Bucket的根目录。 沙箱本地目录 ：设置沙箱运行环境中的本地目录。 沙箱本地目录权限：选择Bucket挂载到沙箱运行环境中的本地目录后，该目录的访问权限。支持设置为只读或读写权限。 网络配置中黑白名单语义： 未设置白名单：允许访问用户 VPC 内所有服务（仍受黑名单约束）。 设置白名单：仅允许访问白名单中的网段/IP（或对应服务）。 设置黑名单：禁止访问黑名单中的网段/IP（或对应服务）。 黑白名单冲突时，以白名单为更高优先级。

本文为您介绍IP黑白名单防护功能说明，以及如何配置IP黑白名单策略。 IP黑白名单支持对经过云WAF防护域名的访问源IP进行黑白名单设置，来自该IP地址/IP地址段的访问，云WAF将不会做任何检测，直接拦截/放行。 IP黑白名单设置，支持基于域名创建IP黑白名单规则。 支持添加IPv4、IPv6地址，支持添加IP地址段。 IP黑白名单模块的防护检测逻辑优先级高于其他防护模块；IP黑白名单内部检测逻辑，白名单高于黑名单。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 规格限制 基础版不支持IP黑白名单功能，请升级到更高版本使用。 不同实例版本支持添加的IP黑白名单规则数量不同，有关各版本规格的详细介绍，请参见产品规格。 若当前版本的IP黑白名单防护规则条数无法满足业务需求时，您可以通过购买规则扩展包或升级版本，以实现规则条数的扩容。一个规则扩展包包含50条IP黑白名单防护规则。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“IP黑白名单”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入IP黑白名单规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、IP地址、类别、过期时间、更新时间、规则描述等。 8. 点击列表上方“新建黑白名单”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 类别 定义该规则类型是“黑名单”或“白名单”。 IP地址 添加IP地址/地址段，支持IPv4和IPv6格式的IP地址/地址段。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 规则描述 可选参数，设置该规则的备注信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本章节为您介绍数据安全专区的使用限制。 数据脱敏与水印系统支持的数据类型 数据类型 支持的数据 数据库 MYSQL、GOLDENDB、TIDB、MYCAT、 DBLE、 DRDS 、 TELEDB、 TDSQLFORMYSQL、 ORACLE、 OCEANBASE、 POSTGRESQL、 TELEPG、 MsSQL(SQLServer)、 MARIADB、 INFORMIX、 SYBASE、DB2、 CHCHEDB、 HANA、ElasticSearch、MongoDB、ClickHouse、天翼云上Mysql、天翼云上PostgreSQL、天翼云上MSSQL 大数据组件 HIVE、 星环(INCEPTOR)、 IMPALA、 GREENPLUM、 HBASE、 ODPS(Maxcompute)、 TERADATA、 VERTICA、 DORIS、 国产数据库 南大通用(GBASE)、达梦(DM)、人大金仓(KINGBASE)、 高斯DBT(Gauss100)、 高斯DBA(Gauss200)、神通(Oscar)、 瀚高(HighGo)、优炫(UXDB) 结构化数据 支持DEL、DBF、TXT、CSV、XLSX、CSV、ORACLEDMP、MYSQLDMP格式 说明 DEL、DBF、TXT、CSV、XLSX、CSV支持使用：FTP、SFTP、Local协议 非结构化数据 说明 仅支持脱敏能力，暂不支持水印能力 支持DOC、DOCX、TXT、XML、JSON、DCM格式 说明 支持使用：UNSTRUCTFTP、UNSTRUCTSFTP、UNSTRUCTLOCAL协议 数据分类分级系统支持的数据类型 数据类型 支持的数据 传统型数据库 Oracle、DB2、MySQL、MariaDB、SQLServer（MsSQL）、PostgreSQL、Informix、Sybase、CacheDB、HANA 非关系型数据库 ElasticSearch、MongoDB、ClickHouse 云数据库+大数据组件 ODPS(MaxCompute)、GaussDB、Teradata、Greenplum、Hive、Hbase、CDH、TDH、IMPALA、DRDS、RDS、Vertica、PolarDB、天翼云Mysql、天翼云PostgreSQL、天翼云MSSQL 国产数据库 高斯DBT（GAUSS100）、高斯DBA（GAUSS200）、达梦（DM）、南大通用（GBASE）、人大金仓（KINGBASE）、OceanBase、TiDB、优炫数据库（UXDB） 结构化/非结构化数据 DOCX、DOC、TXT、PDF、CSV、XLSX、XLS 说明 上述数据支持的协议：FTP、SFTP、Local（仅本地上传）

本章节主要介绍翼MapReduce的用户组管理操作。 操作场景 FusionInsight Manager最大支持5000个用户组（包括系统内置用户组）。根据不同业务场景需要，管理员使用FusionInsight Manager创建并管理不同用户组。用户组通过绑定角色获取操作权限，用户加入用户组后，可获得用户组具有的操作权限。用户组同时可以达到对用户进行分类并统一管理多个用户。 前提条件 管理员已明确业务需求，并已创建业务场景需要的角色。 已登录FusionInsight Manager。 添加用户组 1. 选择“系统 > 权限 > 用户组”。 2. 在组列表上方，单击“添加用户组”。 3. 填写“组名”和“描述”。 “组名”由数字、字母、或下划线、中划线（）或空格组成，不区分大小写，长度为1～64位，不能与系统中已有的用户组名相同。 4. 在“角色”，单击“添加”选择指定的角色并添加。 说明 对于已启用Ranger授权的组件（HDFS与Yarn除外），Manager上非系统默认角色的权限将无法生效，需要通过配置Ranger策略为用户组赋权。 HDFS与Yarn的资源请求在Ranger中的策略条件未能覆盖的情况下，组件ACL规则仍将生效。 5. 在“用户”，单击“添加”选择指定的用户并添加。 6. 单击“确定”完成用户组创建。 查看用户组信息 用户组列表默认显示所有用户组。单击指定用户组名称左侧的箭头展开详细信息，可以查看此用户组中的用户数、用户以及绑定的角色。 修改用户组信息 在要修改信息用户组所在的行，单击“修改”，修改用户组信息。

本章节主要介绍翼MapReduce的查看集群静态资源操作。 操作场景 大数据管理平台支持通过静态服务资源池对没有运行在Yarn上的服务资源进行管理和隔离。系统支持基于时间的静态服务资源池自动调整策略，使集群在不同的时间段自动调整参数值，从而更有效地利用资源。 系统管理员可以在FusionInsight Manager查看静态服务池各个服务使用资源的监控指标结果，包含监控指标如下： 服务总体CPU使用率 服务总体磁盘IO读速率 服务总体磁盘IO写速率 服务总体内存使用大小 说明 启用多实例功能后，支持管理HBase所有服务实例使用的CPU、I/O和内存总量。 操作步骤 1. 在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 静态服务池”。 2. 在“配置组列表”，单击一个配置组，例如“default”。 3. 查看系统资源调整基数。 “系统资源调整基数”表示集群中每个节点可以被集群服务使用的最大资源。如果节点只有一个服务，则表示此服务独占节点可用资源。如果节点有多个服务，则表示所有服务共同使用节点可用资源。 “CPU”表示节点中服务可使用的最大CPU。 “Memory”表示节点中服务可使用的最大内存。 4. 在图表区域，查看集群服务资源使用状态指标数据图表。 说明 可通过“为图表添加服务”，将特定服务的静态服务资源数据添至图表，最多可选择12个服务。 管理单个图表的操作，可参见

本文介绍抗D基础套餐。 抗D防护 套餐内容 价格 安全加速抗D服务套餐1 域名：20 保底攻击峰值：10000QPS 防护带宽：1Gbps 1860元/月 安全加速抗D服务套餐2 域名：20 保底攻击峰值：30000QPS 防护带宽：5Gbps 2860元/月 安全加速抗D服务套餐3 域名：20 保底攻击峰值：50000QPS 防护带宽：10Gbps 4360元/月 安全加速抗D服务套餐4 域名：50 保底攻击峰值：80000QPS 防护带宽：20Gbps 8360元/月 安全加速抗D服务套餐5 域名：50 保底攻击峰值：120000QPS 防护带宽：30Gbps 13360元/月 安全加速抗D服务套餐6 域名：50 保底攻击峰值：140000QPS 防护带宽：40Gbps 17660元/月 安全加速抗D服务套餐7 域名：50 保底攻击峰值：160000QPS 防护带宽：50Gbps 20860元/月 安全加速抗D服务套餐8 域名：50 保底攻击峰值：180000QPS 防护带宽：60Gbps 23860元/月 安全加速抗D服务套餐9 域名：50 保底攻击峰值：200000QPS 防护带宽：70Gbps 25860元/月 安全加速抗D服务套餐10 域名：50 保底攻击峰值：220000QPS 防护带宽：80Gbps 28860元/月 安全加速抗D服务套餐11 域名：50 保底攻击峰值：240000QPS 防护带宽：90Gbps 31860元/月 安全加速抗D服务套餐12 域名：50 保底攻击峰值：260000QPS 防护带宽：100Gbps 34860元/月 安全加速抗D服务套餐13 域名：50 保底攻击峰值：260000QPS 防护带宽：100Gbps 136000元/年 安全加速抗D服务套餐14 域名：50 保底攻击峰值：2000000QPS 防护带宽：300Gbps 216000元/年 安全加速抗D服务套餐15 域名：50 保底攻击峰值：3000000QPS 防护带宽：400Gbps 396000元/年 安全加速抗D服务套餐16 域名：50 保底攻击峰值：4000000QPS 防护带宽：500Gbps 1586000元/年 安全加速抗D服务套餐17 域名：50 保底攻击峰值：5000000QPS 防护带宽：600Gbps 1896000元/年 安全加速抗D服务套餐18 域名：50 保底攻击峰值：6000000QPS 防护带宽：800Gbps 2986600元/年 安全加速抗D服务套餐19 域名：50 保底攻击峰值：8000000QPS 防护带宽：1000Gbps 3026600元/年 安全加速抗D服务套餐20 域名：50 保底攻击峰值：10000000QPS 防护带宽：1500Gbps 4249600元/年

安全管理员、审计人员及运维人员，直接访问安全管理中心。本小节介绍安全专区普通用户登录方法。 安全管理员、审计人员及运维人员，直接访问安全管理中心。 1.登录页面下图所示，输入安全专区账号用户名、密码及验证码后点击确定即可完成登陆。 2.登录成功，进入安全管理中心首页。 3.首页最左侧是安全管理中心功能菜单，鼠标移至菜单图标上，可打开菜单，用户可以通过菜单进行安全管理、配置及查询分析。

本文为您介绍可信计算能力,以及如何开通、使用可信云主机。 什么是可信计算 可信计算是实现云租户计算环境高级安全的重要功能之一。通过在虚拟化层面上使用可信虚拟化技术（vTPM）作为可信根，构建从系统启动到用户指定应用的信任链，并实现远程证明机制，从而为用户提供从启动阶段到运行阶段的全方位可信保障。在系统和应用中加入可信验证，可以显著降低因使用未知或被篡改的系统/软件而遭受攻击的风险。 说明 当前仅对部分用户开放试用可信云主机功能，如您需要体验，请联系客户经理。 支持可信系统的实例规格 鲲鹏网络增强通用型ks2xne 鲲鹏网络增强计算型kc2xne 鲲鹏网络增强内存型km2xne 说明 当前仅在华东1资源池可用区2支持可信云主机。 创建可信云主机 在控制台创建可信实例的步骤与创建普通实例类似，但需要注意一些特定选项。本步骤重点介绍可信实例相关的特定配置，如果您想了解其他通用配置，请参见：创建弹性云主机。 1. 登录天翼云。 2. 单击管理控制台左上角的，选择区域，此处我们选择华东1。 3. 点击“计算>弹性云主机”进入云主机控制台。单击右上角创建云主机进入云主机购买页面。 4. 在“基础配置”页规格列表部分，选择一款支持开启可信系统的实例规格。支持可信系统的实例规格请参见本文“支持可信系统的实例规格”部分。 5. 在“基础配置”页镜像部分，勾选“开启可信系统”复选框，此时会展示支持可信系统的镜像，选择您需要的镜像。 6. 按照页面提示，完成实例的创建。