本文主要介绍权限管理 通过企业项目对用户和用户组进行授权 APM使用企业项目管理控制用户对APM资源的访问范围。您在云帐号中给员工创建IAM用户组后，可以在企业管理服务控制台创建企业项目，并在企业项目中为用户组授予相应的权限，实现人员授权及权限控制。企业项目可将企业分布在不同区域的资源按照企业项目进行统一管理，同时可以为每个企业项目设置拥有不同权限的用户组。 通过IAM为企业中的用户和用户组进行授权 如果您需要对您所拥有的APM进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用APM资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将APM资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用APM服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的APM权限，并结合实际需求进行选择，APM支持的系统权限。 示例流程 使用IAM授权的云服务 图 给用户授权APM权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予APM只读权限“APM ReadOnlyAccess”。 2. 创建IAM用户 在IAM控制台创建用户，并将其加入[1](

使用redisexporter出错怎么办？ 通过在命令行启动redisexporter，根据界面输出，查看是否存在错误，根据错误描述，进行问题排查。 [root@ecsswk /]./redisexporter redis.addr 192.168.0.23:6379 INFO[0000] Redis Metrics Exporter V0.15.0 build date:2018011904:08:01 sha1: a0d9ec4704b4d35cd08544d395038f417716a03a Go:go1.9.2 INFO[0000] Providing metrics at :9121/metrics INFO[0000] Connecting to redis hosts: []string{192.168.0.23:6379} INFO[0000] Using alias:[]string{""} Redis的安全加固方面有哪些建议？ 在众多开源缓存技术中，Redis无疑是目前功能最为强大，应用最多的缓存技术之一，但是原生Redis版本在安全方面非常薄弱，很多地方不满足安全要求，如果暴露在公网上，极易受到恶意攻击，导致数据泄露和丢失。 针对DCS的Redis实例，您在使用过程中，可参考如下建议： 网络连接配置 a. 敏感数据加密后存储在Redis实例。 对于敏感数据，尽量加密后存储。 b. 对安全组设置有限的、必须的允许访问规则。 安全组与VPC均是用于网络安全访问控制的配置，以端口最少放开原则配置安全组规则，降低网络入侵风险。 c. 客户端应用所在ECS设置防火墙。 客户端应用所在的服务器建议配置防火墙过滤规则。 d. 设置实例访问密码。 e. 配置实例白名单。 Rediscli使用 f. 隐藏密码 安全问题：通过在rediscli指定a参数，密码会被ps出来，属于敏感信息。 解决方案：修改Redis源码，在main方法进入后，立即隐藏掉密码，避免被ps出来。 g. 禁用脚本通过sudo方式执行 安全问题：rediscli访问参数带密码敏感信息，会被ps出来，也容易被系统记录操作日志。 解决方案：改为通过API方式（Python可以使用redispy）来安全访问，禁止通过sudo方式切换到dbuser帐号使用rediscli。

配置项 说明 状态 开启或关闭无线网络 SSID 配置无线网络名称，用于区分不同的WiFi网络 SSID广播 开启SSID广播，设备在搜索WiFi时会显示SSID 安全认证 支持WPA2PSK(强安全性)、WPAPSK(弱安全性)、无加密(开放网络) 密码 当安全认证选择WPA2PSK(强安全性)、WPAPSK(弱安全性)时，需要配置密码

事件类别 事件名称 事件级别 事件 管理 createClusterFail 警告 集群创建失败 管理 createClusterSuccess 正常 集群创建成功 管理 createCluster 正常 开始创建集群 管理 extendCluster 正常 开始扩容集群 管理 extendClusterSuccess 正常 集群扩容成功 管理 extendClusterFail 警告 集群扩容失败 管理 deleteClusterFail 警告 集群删除失败 管理 deleteClusterSuccess 正常 集群删除成功 管理 deleteCluster 正常 开始删除集群 管理 restoreClusterFail 警告 集群恢复失败 管理 restoreClusterSuccess 正常 集群恢复成功 管理 restoreCluster 正常 开始恢复集群 管理 restartClusterFail 警告 集群重启失败 管理 restartClusterSuccess 正常 集群重启成功 管理 restartCluster 正常 开始重启集群 管理 configureMRSExtDataSources 正常 开始配置集群的MRS外部数据源 管理 configureMRSExtDataSourcesFail 警告 配置集群的MRS外部数据源失败 管理 configureMRSExtDataSourcesSuccess 正常 配置集群的MRS外部数据源成功 管理 deleteMRSExtDataSources 正常 开始删除集群MRS外部数据源 管理 deleteMRSExtDataSourcesFail 警告 删除集群MRS外部数据源失败 管理 deletedMRSExtDataSourcesSuccess 正常 删除集群MRS外部数据源成功 管理 bindEipToCluster 正常 集群绑定EIP 管理 bindEipToClusterFail 警告 集群绑定EIP失败 管理 unbindEipToCluster 正常 集群解绑EIP 管理 unbindEipToClusterFail 警告 集群解绑EIP失败 管理 refreshEipToCluster 正常 集群刷新EIP 管理 refreshEipToClusterFail 警告 集群刷新EIP失败 安全 resetPasswordFail 警告 集群密码重置失败 安全 resetPasswordSuccess 正常 集群密码重置成功 安全 updateConfiguration 正常 开始更新集群安全参数 安全 updateConfigurationFail 警告 更新集群安全参数失败 安全 updateConfigurationSuccess 正常 更新集群安全参数成功 监控 repairCluster 正常 节点故障，开始修复集群 监控 repairClusterFail 警告 集群修复失败 监控 repairClusterSuccess 正常 集群修复成功

本节介绍通过配置策略，对用户终端与云手机之间的数据传输和操作权限进行控制的操作说明。 操作场景 管理员可以通过配置策略，对用户终端与云手机之间的数据传输和操作权限进行控制。 新建策略 管理员可以根据实际情况自定义云手机策略。 1.进入“云手机”控制台； 2.点击“策略管理”，进入“策略管理”页面； 3.单击“新建策略”，进入新建策略页面； 4.填写“策略名称”； 5.选择策略对应的“安全组”； 6.并根据需求配置其他策略项； 7.点击“确认提交”，完成自定义云手机策略生成。 说明：云手机策略包括以下选项内容： 文件与剪切板 管理员可以通过配置“文件重定向”来控制用户终端文件读写的权限。 水印 管理员可启用云手机水印功能，加强数据安全管理。可对水印的内容进行设定样式。用户接入虚拟机后，在云手机屏幕上显示水印。 分配策略 管理员可以根据实际情况，对终端用户云手机分配策略，从而满足对用户终端与云手机之间的数据传输和外设接入的权限进行控制。 1.进入“云手机”控制台； 2.点击“策略管理”，进入“策略管理”页面； 3.在需要分配的策略所在行，单击“分配”。弹出“策略分配”对话框； 4.选择需要分配策略的云手机，单击“确定”，即完成策略分配。

本节主要介绍CCE发布Kubernetes 1.28版本 云容器引擎（CCE）严格遵循社区一致性认证，现已支持创建Kubernetes 1.28集群。本文介绍Kubernetes 1.28版本的变更说明。 重要说明 在Kubernetes 1.28版本，调度框架发生变化，减少无用的重试，从而提高调度程序的整体性能。 在Kubernetes 1.28 版本，Ceph FS 树内插件已在 v1.28 中弃用，并计划在 v1.31 中删除（社区没有计划进行 CSI 迁移）。 建议使用 Ceph CSI 第三方存储驱动程序作为替代方案。 在Kubernetes 1.28 版本，Ceph RBD 树内插件已在 v1.28 中弃用，并计划在 v1.31 中删除（社区没有计划进行 CSI 迁移）。建议使用 RBD 模式的 Ceph CSI 第三方存储驱动程序作为替代方案。 新增特性及特性增强 社区特性的Alpha阶段默认禁用、Beta阶段一般默认启用、GA阶段将一直默认启用，且不能禁用（会在后续版本中删除这个开关功能）。CCE对新特性的策略与社区保持一致。 版本偏差策略扩展至3个版本 从1.28控制平面/1.25 工作节点开始，Kubernetes版本偏差策略将支持的控制平面/工作节点偏差扩展到 3 个版本。 这使得节点的年度次要版本升级成为可能，同时保持受支持的次要版本。 可追溯的默认StorageClass 进阶至 GA 在Kubernetes 1.28版本，可追溯默认 StorageClass 赋值现已进阶至GA。 这项增强特性极大地改进了默认的StorageClasses为PersistentVolumeClaim (PVC) 赋值的方式。 PersistentVolume (PV) 控制器已修改为：当未设置 storageClassName 时，自动向任何未绑定的 PersistentVolumeClaim 分配一个默认的 StorageClass。此外，API 服务器中的 PersistentVolumeClaim 准入验证机制也已调整为允许将值从未设置状态更改为实际的 StorageClass 名称。 原生边车容器（Alpha） 在Kubernetes 1.28版本，原生边车容器以Alpha版本正式发布。其在 Init 容器中添加了一个新的 restartPolicy 字段， 该字段在 SidecarContainers 特性门控启用时可用。需要注意的是，原生边车容器目前仍有些问题需要解决，因此K8S社区建议仅在 Alpha 阶段的短期测试集群中使用边车功能。 混合版本代理（Alpha） 在Kubernetes 1.28版本，发布了用于改进集群安全升级的新机制（混合版本代理）。该特性为Alpha特性。 当集群进行升级时，集群中不同版本的 kubeapiserver 为不同的内置资源集（组、版本、资源）提供服务。在这种情况下资源请求如果由任一可用的 apiserver 提供服务，请求可能会到达无法解析此请求资源的 apiserver 中，导致请求失败。该特性能解决该问题。（主要注意的是，CCE本身提供的升级能力即可做到无损升级，因此不存在该特性涉及的场景）。 节点非体面关闭特性达到GA 在Kubernetes 1.28版本，节点非体面关闭特性达到GA阶段。当一个节点被关闭但没有被 Kubelet 的 Node Shutdown Manager 检测到时，StatefulSet 的 Pod 将会停留在终止状态，并且不能移动到新运行的节点上。当用户确认该节点已经处于不可恢复的情况下，可以手动为Node打上outofservice的污点，以使得该节点上的StatefulSet的Pod和VolumeAttachments被强制删除，并在健康的Node上创建相应的Pod。 NodeSwap特性达到Beta 在Kubernetes 1.28版本，NodeSwap能力进阶至Beta版本。目前仍然处于默认关闭状态，需要使用NodeSwap门控打开。该特性可以为Linux节点上运行的Kubernetes工作负载逐个节点地配置内存交换。需要注意的是，该特性虽然进阶至Beta特性，但仍然存在一些需要增强的问题和安全风险。 Job相关特性 在Kubernetes 1.28版本，增加了Pod更换策略和基于带索引Job的回退限制两个alpha特性。 Pod更换策略 默认情况下，当Pod 进入终止（Terminating）状态（例如由于抢占或驱逐机制）时，Kubernetes 会立即创建一个替换的 Pod，因此这时会有两个 Pod 同时运行。在Kubernetes 1.28版本中可以使用JobPodReplacementPolicy 来启用该特性。可以在Job的Spec中定义podReplacementPolicy，目前仅可设置为Failed。在设置为Failed之后，Pod 仅在达到 Failed 阶段时才会被替换，而不是在它们处于终止过程中（Terminating）时被替换。此外，您可以检查 Job 的 .status.termination 字段。该字段的值表示终止过程中的 Job 所关联的 Pod 数量。 带索引Job的回退限制 默认情况下，带索引的Job（Indexed Job）的 Pod 失败情况会被记录下来，受 .spec.backoffLimit 字段所设置的全局重试次数限制。这意味着，如果存在某个索引值的 Pod 一直持续失败，则会 Pod 会被重新启动，直到重试次数达到限制值。 一旦达到限制值，整个 Job 将被标记为失败，并且对应某些索引的 Pod 甚至可能从不曾被启动。在Kubernetes 1.28版本中，可以通过启用集群的 JobBackoffLimitPerIndex 特性门控来启用此特性。开启之后，允许在创建带索引的 Job（Indexed Job）时指定 .spec.backoffLimitPerIndex 字段。当某个Job的失败次数超过设定的上限时，将不再进行重试。 CEL相关特性 在Kubernetes 1.28版本，CEL能力进行了相应的增强。 CRD 使用 CEL 进行 Validate 的特性进阶至Beta 该特性在v1.25版本就已经升级为Beta版本。通过将 CEL 表达式直接集成在 CRD 中， 可以使开发者在不使用 Webhook 的情况下解决大部分对 CR 实例进行验证的用例。在未来的版本，将继续扩展 CEL 表达式的功能，以支持默认值和 CRD 转换。 基于CEL的准入控制进阶至Beta 基于通用表达式语言(CEL) 的准入控制是可定制的，对于 kubeapiserver 接受到的请求，可以使用 CEL 表达式来决定是否接受或拒绝请求，可作为 Webhook 准入控制的一种替代方案。在 v1.28 中，CEL 准入控制被升级为 Beta，同时添加了一些新功能，包括但不限于： ValidatingAdmissionPolicy 类型检查现在可以正确处理 CEL 表达式中的 “authorizer” 变量。 ValidatingAdmissionPolicy 支持对 messageExpression 字段进行类型检查。 kubecontrollermanager 组件新增 ValidatingAdmissionPolicy 控制器，用来对 ValidatingAdmissionPolicy 中的 CEL 表达式做类型检查，并将原因保存在状态字段中。 支持变量组合，可以在ValidatingAdmissionPolicy 中定义变量，然后在定义其他变量时使用它。 新增CEL 库函数支持对 Kubernetes 的 resource.Quantity 类型进行解析。 其它特性说明 在Kubernetes 1.28版本，ServiceNodePortStaticSubrange 特性为beta，允许保留静态端口范围，避免与动态分配端口冲突。 在Kubernetes 1.28版本，增加了alpha特性ConsistentListFromCache，允许kubeapiserver从缓存中提供一致性列表，Get和List请求可以从缓存中读取数据，而不需要从etcd中获取。 在Kubernetes 1.28版本，kubelet能够配置dropin目录（alpha特性）。该特性允许向kubelet添加对“configdir”标志的支持，以允许用户指定一个插入目录，该目录将覆盖位于/etc/kubernetes/kubelet.conf位置的Kubelet的配置。 在Kubernetes 1.28版本，ExpandedDNSConfig 升级至GA，默认会被打开。该参数用于允许扩展DNS的配置。 在Kubernetes 1.28版本，提供Alpha特性CRD Validation Ratcheting。该特性允许Patch或者Update请求没有更改任何不合法的字段，将允许CR验证失败。 在Kubernetes 1.28版本，kubecontrollermanager添加了concurrentcronjobsyncs flag用来设置cron job controller的workers数。

本章节将为您介绍云主机备份入门的基本流程,主要包括场景说明,控制台快速创建云主机备份的操作,帮助您快速上手云主机备份。 入门指引 您还可以通过API方式创建云主机备份，查看和恢复等。 场景说明 云主机备份提供两种配置方式，一次性备份和周期性备份。一次性备份是指用户手动创建的一次性备份任务。周期性备份是指用户通过创建备份策略并绑定云主机的方式创建的周期性备份任务。 云主机备份的两种配置方式对比如下表，可根据实际情况选择适合的配置方式。 对比项 一次性备份 周期性备份 备份策略 不需要 需要 备份次数 手动执行一次性备份 根据备份策略进行周期性备份 单次可备份的云主机数目 1个 ≤64个 备份名称 支持自定义 系统自动生成 备份方式 首次全量备份，非首次增量备份 云主机备份支持从任意一个备份恢复云服务器的全量数据，无论这个备份是全量还是增量。 首次全量备份，非首次增量备份 云主机备份支持从任意一个备份恢复云服务器的全量数据，无论这个备份是全量还是增量。 建议使用场景 云主机进行操作系统补丁安装、升级，应用升级等操作之前，以便安装或者升级失败之后，能够快速恢复到变更之前的状态。 云主机的日常备份保护，以便发生不可预见的故障而造成数据丢失时，能够使用邻近的备份进行恢复。 另外，用户也可以根据业务情况将两种方式混合使用。例如，根据云主机中存放数据的重要程度不同，可以将所有的云主机加入到一个备份策略中进行日常备份保护。其中个别保存有非常重要的数据的云主机，根据需要不定期的执行一次性备份，保证数据的安全性。

本节介绍天翼云电脑（公众版）产品支持多终端适配、支持投屏、数据安全等功能的内容介绍。 多终端适配 与传统PC一致的使用体验，多种外设无缝衔接，实现多终端适配。 多终端适配： 适配PC、Mac、 iOS、安卓等多终端。 多外设支持： 打印机、扫描仪等外设无缝衔接（备注：手机、pad等移动终端不支持USB外设）。 支持投屏 支持手机有线/无线投屏模式，大屏电视秒变电脑使用，娱乐、办公两不误。 无线投屏： 在手机投屏模式下，支持把手机设置为触控版模式，操控更便捷。 有线投屏： 支持搭配扩展坞、蓝牙键鼠使用，操控更流畅。 数据安全 系统数据云端集中存储，不但能释放本地空间，还能避免宕机与数据丢失，使用多重安全传输协议保障数据安全。 数据不落地： 所有桌面、应用和数据统一管理，集中存储在云端。 数据多副本： 采用三副本技术分布式存储，灵活应对各种突发情况。 数据加密： 使用多重加密算法，对数据传输、数据存储进行加密，保障用户信息安全。

创建发布 步骤 1 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 2 在左侧导航栏选择“发布订阅”。 步骤 3 在“发布”页签下，单击“创建发布”。 步骤 4 在创建发布页面，设置发布信息后，单击“确认”。 填写发布名称、选择发布数据库，以及发布数据。 设置发布表/字段的筛选器：单击“设置筛选器”，设置筛选条件，将按照筛选条件发布表/字段。 全量快照：选择立即创建，发布创建完成后，将会在分发服务器上立即触发一次全量快照。若不选择立即创建，则当添加新订阅时自动生成全量快照。订阅服务器必须等待快照代理完成，才能实现同步。 增量快照策略：支持按天、按周、按月自定义策略，在分发服务器生成增量快照。 步骤 5 查看已创建的发布。 添加订阅功能，请参见添加订阅服务器。 单击“查看监控”，查看“数据更改延迟后时长”和“事务数”监控数据。 选择“更多 > 修改发布”，可以重新选择发布表/字段，以及增量快照策略。 选择“更多 > 删除”，删除发布。 添加订阅服务器 步骤 3 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 12 在左侧导航栏选择“发布订阅”。 步骤 13 在“发布”页签下，在已创建的发布上，单击“添加订阅”。 步骤 14 单击“添加订阅服务器”。 步骤 15 在弹出页面，设置订阅服务器信息后，单击“确定”。 服务器来源：云数据库RDS for SQL Server。 目标数据库：勾选1个或多个RDS for SQL Server订阅实例及目标数据库，单击同步到右侧，即从当前实例同步数据到已勾选的目标数据库。 当前实例作为发布实例，发布实例与订阅实例需要在同一VPC或建立了对等连接的不同VPC，若不在同一安全组则需配置安全组规则。 订阅方式：推送订阅 同步策略：选择数据订阅的同步方式，支持按天、按周、按月自定义策略。 服务器来源：其他服务器。 填写服务器名称、IP、端口号、登录用户名及密码，以及目标数据库。 订阅方式：推送订阅 同步策略：选择数据订阅的同步方式，支持按天、按周、按月自定义策略。 步骤 16 在已创建的发布上，单击订阅数据库列的个数，查看订阅详情。 创建订阅

什么是云助手？ 天翼云云助手（CTCA， Cloud Assistant）是专门为云服务器打造的原生自动化运维工具，免密码、免登录、无需使用跳板机，即可批量执行命令（Shell、PowerShell、Bat、Python等），完成运行自动化运维脚本、轮询进程、安装卸载软件、启动或停止服务、安装补丁或安装安全更新等任务。 如何使用云助手？ 您可以通过弹性云主机、物理机控制台创建及执行命令，详情请参见 云助手产品介绍 。 可以修改已经创建的命令吗？ 可以。云助手支持修改命令基本信息中的所有内容，具体步骤如下： 1. 登录 弹性云主机控制台 或 物理机控制台 ，选择左侧导航栏中的运维工具。 2. 展开运维工具下云助手标签页，选择我的命令标签页。 3. 在命令列表中选择需要修改的命令，点击修改命令按钮。 4. 在弹出的“修改命令”窗口中，编辑后单击保存即可。 为什么返回结果中显示乱码？ 云助手支持中文。出现乱码可能有以下原因： 您输入的命令内字符编码方式非 UTF8 编码，请确保采用 UTF8 编码。 您执行的命令本身输出了二进制内容等非 UTF8 编码字符，该情况与您直接在终端执行命令是同样的效果。例如，tail n4 /usr/bin/ls 命令的输出一定是包含乱码的。

本文向您介绍私有数据是否支持物理邮寄 出于安全性考虑，云上的服务与数据基于物理存储介质的传递与交互。因此私有数据只能通过网络上传下载，不支持物理邮寄。 您可以通过以下两种方式，实现私有数据的上传或下载： 1、自建FTP服务，通过公网实现云主机实例与您本地服务器的数据传输。 Linux云主机搭建FTP方式请见：快速构建FTP站点（Linux）。 Windows云主机搭建FTP方式请见：快速构建FTP站点（Windows）。 2、通过私有镜像导入与导出的功能，将数据随私有镜像导入到云平台，或者从云平台下载。 私有镜像导入到云平台的操作步骤请见：通过镜像文件创建系统盘镜像。 私有镜像从云平台导出的操作步骤请见：导出镜像。

参数 说明 InstanceId ECS ID，可通过登录管理控制台，在弹性云主机ECS列表中查看。 说明InstanceId可不用配置，保持"InstanceId":"",即可，若需要配置，需要遵循如下两条原则： 该资源ID需保证全局唯一性，即同一个RegionID下Agent使用的InstanceId不能相同，否则系统可能会出现异常。 InstanceId必须与实际的ECS或BMS资源ID一致，否则云监控服务界面将看不到对应ECS或BMS资源操作系统监控的数据。 ProjectId ProjectId可不用配置，保持"ProjectId": "",即可。若需要配置，请参考已下获取方式。 项目ID，获取方式如下： 1. 登录管理控制台，单击右上角“用户名”，选择“我的凭证”； 2. 在项目列表中，查看ECS或BMS资源对应的所属区域的项目ID。 AccessKey/SecretKey 访问密钥，获取方式如下：登录管理控制台，单击右上角“用户名”，选择“我的凭证 > 管理访问密钥”； 如已有访问密钥，查看创建时下载保存的credentials.csv文件中，获取文件中记录的Key值即可； 如未创建，则通过“新增访问密钥”可创建新的访问密钥，妥善保存credentials.csv文件，并获取文件中记录的Key值。 须知 为了安全考虑，建议该用户为IAM用户，并且权限仅为CES Administrator和LTS Administrator。 配置的AccessKey必须在“我的凭证 > 管理访问密钥”列表中，否则将鉴权失败，云监控服务界面看不到操作系统监控数据。 RegionId 区域ID，例如：ECS或BMS资源所属区域为“杭州”，则RegionID为“cnhz1”。 ClientPort Agent占用的起始端口号。说明默认为0，表示随机占用。11023为系统保留端口，建议不要配置。 PortNum Agent占用的范围的个数。说明默认为200，若ClientPort配置5000，则表示在50005199端口中随机占用。 BmsFlag BMS需配置此参数为true，ECS配置项中无需配置。Windows操作系统中无需要配置。

本文介绍如何进入安全加速控制台。 1.打开天翼云官网 2.选择控制台； 3.下拉选择CDN产品，点击对应的加速服务进入安全客户控制台； 图 控制中心安全加速页面

本文介绍Web客户端如何接入验证码。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持验证码功能。 需先完成验证码配置。暂时未开放控制台，请通过提交工单给天翼云客服，由其人工操作开启。 代码示例 以下代码示例，单击打开验证码，激活验证码，并弹窗展示验证结果。点击携带 ticket 发请求，能够验证拦截情况 html 滑块验证接入demo .container { maxwidth: 400px; margin: 0 auto; padding: 20px; backgroundcolor: fff; borderradius: 5px; boxshadow: 0 0 10px rgba(0, 0, 0, 0.1); margintop: 100px; } h1 { textalign: center; } input[type"text"], input[type"password"] { width: 95%; padding: 10px; marginbottom: 10px; border: 1px solid ccc; borderradius: 5px; } .btclick { width: 100%; padding: 10px; marginbottom: 10px; border: none; borderradius: 5px; cursor: pointer; } .btclickcaptcha { position: relative; background:

本页面介绍云数据库ClickHouse创建用户的基本语法。 CREATE USER语法用于在云数据库ClickHouse中创建新用户。以下是CREATE USER语句的基本语法结构： CREATE USER [IF NOT EXISTS] username [IDENTIFIED [WITH {PLAINTEXTPASSWORD SHA256PASSWORD}] BY 'password'] [DEFAULT ROLE rolename] [SETTINGS settingname settingvalue, ...] 其中的关键要素包括： IF NOT EXISTS：可选项，表示如果用户已经存在，则不执行创建操作。 username：指定用户的名称。 IDENTIFIED：可选项，用于指定用户的身份验证方式。可以选择明文密码（PLAINTEXTPASSWORD）或SHA256哈希密码（SHA256PASSWORD）。 'password'：指定用户的密码，需根据选择的身份验证方式进行正确的格式化。 DEFAULT ROLE：可选项，指定用户的默认角色（rolename）。 SETTINGS：可选项，用于指定用户的其他设置，例如最大查询并发数、查询超时时间等。 下面是一些示例的CREATE USER语句。 示例1 CREATE USER IF NOT EXISTS myuser IDENTIFIED WITH PLAINTEXTPASSWORD BY 'mypassword' DEFAULT ROLE myrole SETTINGS maxconcurrentqueries 10; 该语句创建了一个名为myuser的用户，使用明文密码进行身份验证，并设置了默认角色为myrole。同时，设置了maxconcurrentqueries参数为10。 示例2 用户名为name1且无需密码 这显然不太安全： CREATE USER name1 NOT IDENTIFIED 示例3 指定明文密码： CREATE USER name2 IDENTIFIED WITH plaintextpassword BY 'mypassword' 由于密码以明文形式存储在/var/lib/clickhouse/access目录下的SQL文本文件中，因此不建议使用明文密码不是一个好主意，可以尝试使用sha256password。 最常见的选择是使用SHA256散列算法对密码进行哈希。当指定IDENTIFIED WITH sha256password时，云数据库ClickHouse会为您对密码进行哈希处理。例如： CREATE USER name3 IDENTIFIED WITH sha256password BY 'mypassword' name3用户现在可以使用mypassword登录，但密码以上述哈希值的形式存储。以下SQL文件在服务器启动时被创建并执行： /var/lib/clickhouse/access $ cat 3843f5106ebda52d72ace021686d8a93.sql ATTACH USER name3 IDENTIFIED WITH sha256hash BY '0C268556C1680BEF0640AAC1E7187566704208398DA31F03D18C74F5C5BE5053' SALT '4FB16307F5E10048196966DD7E6876AE53DE6A1D1F625488482C75F14A5097C7'; 如果您已经为用户名创建了散列值和相应的盐值，那么可以使用IDENTIFIED WITH sha256hash BY 'hash'或IDENTIFIED WITH sha256hash BY 'hash' SALT 'salt'。对于带有SALT的sha256hash，哈希值必须从'password'和'salt'的串联中计算得出。

本文介绍容器安全卫士管理类常见问题。 容器安全卫士有哪些注意事项？ 安全探针仅支持三种容器运行时，包括：docker、containerd、crio。 安全探针在运行时会挂载k8s node宿主机的 /data（非crio）和 /root（crio）目录，请确保目录的权限正常。 安全探针需要跟中心通信，请确保您的k8s集群允许出网策略TCP端口：31080、30432、32345。 接入容器安全卫士对现有业务和服务器运行有影响吗？ 接入容器安全卫士不需要中断现有业务，不会影响服务器的运行状态，即不需要对其进行任何操作（例如关机或重启）。 防护探针本身需要占用宿主机一定资源，可能会对宿主机产生一定影响。不过请放心，容器安全卫士对防护探针做了资源监控和降级处置，来保障业务稳定、安全。

本文介绍函数运行时中的Web标准API。 运行时提供了以下标准化API，供边缘运行的用户函数使用。 JavaScript标准内置对象 JavaScript内置对象都可使用。但下面这些例外： 注意 eval() 出于安全原因，不允许使用。 uneval() 出于安全原因，不允许使用。 new Function 出于安全原因，不允许使用。 值属性 这些全局属性返回一个简单值，这些值没有自己的属性和方法。 globalThis Infinity NaN undefined 函数属性 全局函数可以直接调用，不需要在调用时指定所属对象，执行结束后会将结果直接返回给调用者。 eval()（出于安全原因，不允许使用。） uneval()（出于安全原因，不允许使用。） isFinite() isNaN() parseFloat() parseInt() decodeURI() decodeURIComponent() encodeURI() encodeURIComponent() 基本对象 顾名思义，基本对象是定义或使用其他对象的基础。基本对象包括一般对象、函数对象和错误对象。 Object Function （new Function出于安全原因，不允许使用。） Boolean Symbol 错误对象 错误对象是一种特殊的基本对象。它们拥有基本的Error类型，同时也有多种具体的错误类型。 Error RangeError ReferenceError SyntaxError TypeError URIError AggregateError InternalError 数字和日期对象 用来表示数字、日期和执行数学计算的对象。 Number BigInt Math Date 字符串 用来表示和操作字符串的对象。 String RegExp 可索引的集合对象 这些对象表示按照索引值来排序的数据集合，包括数组和类型数组，以及类数组结构的对象。 Array Int8Array Uint8Array Uint8ClampedArray Int16Array Uint16Array Int32Array Uint32Array Float32Array Float64Array BigInt64Array BigUint64Array

本文介绍了API业务监测的相关功能。 功能介绍 API业务监测功能帮助用户实时查看API的业务运行数据包括QPS趋势图、源站状态码响应趋势图、天翼云节点状态码响应趋势图、响应时长趋势图、QPS峰值排行、响应时长排行，同时帮助用户发现和分析业务异常。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单，并在左侧域名列表选择您要管理的域名。 3. 您可以在资产列表中选择具体一项API资产，在操作栏中点击【业务监测】跳转查看单一API粒度的业务监测数据；也可以在API资产表头右侧点击【业务监测】查看域名粒度业务监测数据。

本章节主要介绍ALM19009 HBase服务进程直接内存使用率超出阈值的告警。 告警解释 系统每30秒周期性检测HBase服务直接内存使用状态，当检测到HBase服务直接内存使用率超出阈值（最大内存的90%）时产生该告警。 直接内存使用率小于阈值时，告警恢复。 说明 若集群启用了多实例功能且安装了多个HBase服务，请根据“定位信息”的“服务名”值来确定具体产生告警的HBase服务。例如HBase1服务不可用，则“定位信息”中显示服务名HBase1，处理步骤中的操作对象也应由HBase调整为HBase1。 告警属性 告警ID 告警级别 是否自动清除 19009 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 HBase可用的直接内存不足，可能会造成内存溢出导致服务崩溃。 可能原因 该节点HBase服务直接内存使用率过大，或配置的直接内存不合理，导致使用率超过阈值。 处理步骤 检查直接内存使用率 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，选中“告警ID”为“19009”的告警，查看“定位信息”中的角色名以及确认主机名所在的IP地址。 告警上报的角色是HMaster，执行步骤2。 告警上报的角色是RegionServer，执行步骤3。 2.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HBase > 实例”，单击告警上报的HMaster，进入实例“概览”页面，单击图表区域右上角的下拉菜单，选择“定制 > CPU和内存 > HMaster堆内存使用率与直接内存使用率统计” ，单击“确定”，查看HBase服务进程使用的直接内存是否已达到HBase服务进程设定的最大直接内存的90%。 是，执行步骤4。 否，执行步骤8。 3.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HBase > 实例”，单击告警上报的RegionServer，进入实例“概览”页面，单击图表区域右上角的下拉菜单，选择“定制 > CPU和内存 > RegionServer堆内存使用率与直接内存使用率统计” ，单击“确定”，查看HBase服务进程使用的直接内存是否已达到HBase服务进程设定的最大直接内存的90%。 是，执行步骤4。 否，执行步骤8。 4.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HBase > 配置”，单击“全部配置”， 选择“HMaster/RegionServer > 系统”，查看“GCOPTS”参数中是否存在“XX:MaxDirectMemorySize”。 是，执行步骤5。 否，执行步骤6。 5.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HBase > 配置”，单击“全部配置”， 选择“HMaster/RegionServer > 系统”，在“GCOPTS”中把参数“XX:MaxDirectMemorySize”删除。 6.看告警信息，是否产生“ALM19008 HBase服务进程堆内存使用率超出阈值”告警。 是，参考“ALM19008 HBase服务进程堆内存使用率超出阈值”处理告警。 否，执行步骤8。 7.观察界面告警是否清除。 是，处理完毕。 否，执行步骤8。

本文将介绍针对平台操作审计日志进行介绍。 您通过控制台或API进行相关平台操作时，会实时记录操作内容，用于后续追溯、审计。 注意事项 进行平台相关操作时，如新增域名、修改配置等，均会进行记录到操作日志以供查询，目前该服务能力仅支持【零信任服务】【安全与加速】模块的操作相关记录。 建议查询近6个月数据，若有长时间存储日志需求，可联系我们。 以下是【零信任服务】的操作相关说明，如需查询【安全与加速服务】的操作日志，请参考操作日志。 操作步骤 1. 登录边缘安全加速控制台，进入零信任工作台。 2. 在左侧导航栏，选择日志>平台操作日志，可针对需求进行查询相关日志情况。 字段说明 字段 字段说明 操作时间 用户操作的时间。 操作模块 支持记录操作日志的模块名称。 操作内容 操作内容的具体信息。 操作类型 支持查询、新增、修改、删除相关操作动作。 操作状态 成功、失败。其中成功仅意味当下操作成功下发到后端，并不代表配置实际生成成功。 操作人 操作的帐号名称。 零信任支持操作日志的模块 以下是零信任服务支持记录日志的模块： 菜单 操作模块 总览 效能分析 待办事项 权限审批 待办事项 问题反馈 日志 策略处置记录 身份 用户与组织用户 身份 用户与组织组织 身份 用户组管理 身份 同步身份源 身份 扩展认证源 身份 账户安全登录管理 身份 账户安全密码管理 身份 账户安全个人信息管理 应用 应用配置 应用 应用授权 网络 连接器管理 网络 域名解析管理 终端资产 终端列表 终端资产 设备策略用户新设备激活 终端资产 设备策略设备共享 终端资产 设备策略设备授信策略 终端资产 设备策略设备授信策略 终端资产 设备策略设备授信策略 安全 动态授权 安全 访问控制 设置 客户端设置客户端限速 设置 客户端设置超时注销登录 设置 客户端设置客户端自保护 设置 网络配置 设置 企业服务状态 设置 企业认证标识 日志 终端登录日志 日志 内网审计日志内网访问审计 日志 内网审计日志网关防护日志 日志 内网日志下载 日志 平台操作日志

本文向您介绍Windows云主机如何配置多用户登录(Windows 2012)。 操作场景 本文档指导您配置Windows云主机实现多用户登录，以Windows Server 2012标准版R2中文版操作系统的云主机为例。 说明 远程桌面授权仅支持120天，过期后将因缺失远程桌面授权服务器许可证而导致多用户登录无法使用，需激活远程桌面授权。 配置多用户登录后，如果出现多用户登录Windows主机时无法打开浏览器的问题，请参考 操作须知 请确保云主机带宽资源充足，避免由于多用户同时操作负载过高导致云主机卡顿或登录异常。 所在安全组入方向已开放云主机登录使用的端口，默认使用3389端口。 云主机已经绑定弹性公网IP。 配置多用户登录后，不同的用户登录云服务器操作互相之间无影响。 配置多用户登录后，如果出现多用户登录Windows主机时无法打开浏览器的问题，请参考多用户登录Windows主机时无法打开浏览器。 操作步骤 步骤一：安装桌面会话主机和远程桌面授权。 1. 登录弹性云主机。 2. 在操作系统界面， 打开“服务器管理器”，单击“添加角色和功能”。 3. 保持默认参数，单击“下一步”。 4. 左侧导航栏选择“安装类型”，选择“基于角色或基于功能的安装”，单击“下一步”。 5. 左侧导航栏选择“服务器选择”，选择“从服务器池中选择服务器”，单击“下一步”。 6. 左侧导航栏选择“服务器角色”，选择“远程桌面服务”，单击“下一步”。 7. 左侧导航栏选择“功能”，在此页面保持默认参数，单击两次“下一步”。 8. 左侧导航栏选择“角色服务”，在此界面依次选择“远程桌面会话主机”和“远程桌面授权”，在弹出的窗口单击“添加功能”，单击“下一步”。 9. 确认在云主机上安装的角色，单击“安装(I)”。 10. 安装完成后，重启云主机。 第二步：允许多用户远程连接云主机。 1. 在运行里输入 gpedit.msc，打开计算机本地组策略 2. 选择“计算机配置>管理模板>windows组件>远程桌面服务>远程桌面会话主机>连接”，并依次设置“允许用户通过使用远程桌面服务进行远程连接”、“限制连接数量”和“将远程桌面服务用户限制到单独的远程桌面” 3. 右键单击“编辑”，设置“允许用户通过使用远程桌面服务进行远程连接”设置为“已启用”。 4. 右键单击“编辑”，设置“限制连接数量”选择为已启用，可根据具体数量设置，这里示例将允许的RD最大连接数设置为999。 5. 右键单击“编辑”，“将远程桌面服务用户限制到单独的远程桌面”选择已启用，或者已禁用，请注意此处已启用和已禁用的区别。本示例勾选“已启用”。 说明 l 已启用：多个用户同时登录的多用户登录，不能单个用户多登录 例如：配置为已启用，用户A、用户B、用户C可以分别使用账号A、账号B、账号C同时登录云主机，但是不支持用户A、用户B、用户C使用同一个账号同时登录云主机 l 已禁用：单个用户同时多个登录的多用户登录 例如：配置为已禁用，用户A、用户B、用户C可以使用同一个账号同时登录云主机 6. 运行cmd，输入 gpupdate /force，强制执行本地组策略，重启服务器，整个配置过程完成。 第三步：配置新用户并加入远程桌面用户组。 1. 在运行中输入 lusrmgr.msc，打开本地用户和组，进行新用户创建。 2. 单击“用户”，在空白处右键选择新用户。 3. 填写新用户信息，单击“创建”。 4. 单击“组”，双击打开Remote Desktop Users组，单击“添加”。 5. 进入选择用户界面，单击“高级”。 6. 在新的选择用户界面，单击“立即查找”，在下方搜索结果中选中需要远程登录的用户，并单击“确定”，完成添加，即可远程登录。 7. 单击“确定”，添加用户到Remote Dsektop Users组。

配置参数 默认端口 端口说明 port 9092 Broker提供数据接收、获取服务。 ssl.port 9093 Broker提供数据接收、获取服务的SSL端口。 sasl.port 21007 Broker提供SASL安全认证端口，提供安全Kafka服务。 saslssl.port 21009 Broker提供SASL安全认证和SSL通信的端口，提供安全认证及通信加密服务。

本文介绍边缘接入服务里的应用加速与安全与加速服务里的加速是否叠加计费。 首先，需要按照客户实际需求开通对应的服务。 情况一 当客户的域名同时有全站加速及应用加速需求，可以仅开通边缘接入的IP应用加速即可同时满足基于TCP/UDP协议、HTTP/HTTPS协议的加速需求，此时仅收取边缘接入服务的费用。 详情参见：边缘接入计费概述。 情况二 如客户的A、B域名有全站加速的需求，C、D域名有应用加速的需求，也可以A、B域名开通安全与加速服务，C、D域名开通边缘接入服务，此时分别收取安全与加速、边缘接入服务的费用。 详情参见：安全与加速计费概述。

本节主要介绍OBS服务等级协议。 自2021年11月11日起，新版对象存储服务协议生效，详情请参见这里。 中国电信天翼对象存储系统服务协议 历史版本（2012年11月10日）

本章介绍天翼云关系型数据库包含哪些安全防护措施。 关系型数据库是天翼云提供的一款安全、可信的数据库服务。 RDS秉承天翼云对租户的安全承诺，尊重租户数据主权，坚持中立、客观的立场，恪守业务边界，不碰租户数据，不会利用租户数据谋取商业价值。RDS允许租户快速发放不同类型数据库，并可根据业务需要，对计算资源和存储资源进行弹性扩容。RDS提供自动备份、即时备份、数据库恢复等功能，以防止数据丢失。参数组功能，则允许租户根据业务需要进行数据库调优。 RDS还提供多个特性来保障租户数据库的可靠性和安全性，例如VPC、安全组、权限设置、SSL连接、自动备份、时间点恢复和跨可用区部署等。 网络隔离 VPC允许租户通过配置VPC入站IP范围，来控制连接数据库的IP地址段。RDS实例运行在租户独立的VPC内。租户可以创建一个跨可用区的子网组，之后可以根据业务需要，将部署RDS的高可用实例选择此子网完成，RDS在创建完实例后会为租户分配此子网的IP地址，用于连接数据库。RDS实例部署在租户VPC后，租户可通过VPN使其它VPC能够访问实例所在VPC，也可以在VPC内部创建ECS，通过私有IP连接数据库。租户可以综合运用子网和安全组的配置，来完成RDS实例的隔离，提升RDS实例的安全性。

本章节会介绍天翼云关系型数据库有哪些安全防护措施。 关系型数据库是天翼云提供的一款安全、可信的数据库服务。 RDS秉承天翼云对租户的安全承诺，尊重租户数据主权，坚持中立、客观的立场，恪守业务边界，不碰租户数据，不会利用租户数据谋取商业价值。RDS允许租户快速发放不同类型数据库，并可根据业务需要，对计算资源和存储资源进行弹性扩容。RDS提供自动备份、即时备份、数据库恢复等功能，以防止数据丢失。参数组功能，则允许租户根据业务需要进行数据库调优。 RDS还提供多个特性来保障租户数据库的可靠性和安全性，例如VPC、安全组、权限设置、SSL连接、自动备份、时间点恢复和跨可用区部署等。 网络隔离 VPC允许租户通过配置VPC入站IP范围，来控制连接数据库的IP地址段。RDS实例运行在租户独立的VPC内。租户可以创建一个跨可用区的子网组，之后可以根据业务需要，将部署RDS的高可用实例选择此子网完成，RDS在创建完实例后会为租户分配此子网的IP地址，用于连接数据库。RDS实例部署在租户VPC后，租户可通过VPN使其它VPC能够访问实例所在VPC，也可以在VPC内部创建ECS，通过私有IP连接数据库。租户可以综合运用子网和安全组的配置，来完成RDS实例的隔离，提升RDS实例的安全性。

本文为您介绍如何对已经开启的云搜索服务OpenSearch实例进行备份。 天翼云云搜索服务支持使用对象存储保留实例在指定时间的快照信息 约束限制 备份管理功能上线前创建的实例无此功能。 实例快照会导致CPU、磁盘IO上升等影响，建议在业务低峰期进行操作。 实例异常时，不可创建快照，仅能查看已创建的快照，恢复时请确保目标实例状态正常。 手动快照和自动快照不可同时进行。 前提条件 1. 快照功能依赖天翼云对象存储服务（ZOS），请确保您已开通与云搜索服务实例同资源池的对象存储服务，并创建存储桶。存储快照会产生费用，具体收费请参见对象存储计费说明。 2. 已获取自身天翼云账号的AK/SK。通过“账号中心>安全设置>用户AccessKey”中查看您的AccessKey、SecurityKey信息。如果忘记SecurityKey请工单联系客服重置。 创建及关闭自动备份 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要创建备份的实例，进入实例详情页。 2. 在备份管理页面，点击开关开启备份能力，根据页面提示输入您天翼云的AK/SK，如果验证通过，即可点击下一步进行备份功能开通。 3. 开通成功进入快照列表页面，点击“自动备份设置”，在弹出的弹层上选择快照目标存储的存储桶，设置备份周期和备份对象，并选择备份期望的保留时间，最长可以保留30天。 4. 选择备份对象是索引时，需要填写备份的索引名称，支持使用“”匹配多个索引，例如“index”表示备份名称前缀时index的所有索引数据。您可通过“索引管理”功能先行查看实例内的索引名称。 5. 如您需要修改自动快照的创建规则，再次点击“自动创建备份”按钮进行修改，修改后立即生效，按照新设定的规则生成、删除相应快照，已生成部分的存量快照清理时长按原规则执行。 6. 如您不再需要自动备份，则可在快照列表页点击关闭自动备份，并在弹出的确认弹窗中选择是否保留快照信息，如不保留，则系统会自动删除从本次开启至本次结束期间自动备份产生的所有快照信息，如果选择保留，则本次开启至本次结束期间的快照信息得以保留，再次开启时将不再由系统进行删除，您可根据需要，手动在控制台进行删除。 7. 关闭自动备份期间快照自动清理不会执行。

本文为您介绍如何对已经开启的云搜索服务Elasticsearch实例进行备份。 天翼云云搜索服务支持使用对象存储保留实例在指定时间的快照信息 约束限制 备份管理功能上线前创建的实例无此功能。 实例快照会导致CPU、磁盘IO上升等影响，建议在业务低峰期进行操作。 实例异常时，不可创建快照，仅能查看已创建的快照，恢复时请确保目标实例状态正常。 手动快照和自动快照不可同时进行。 前提条件 1. 快照功能依赖天翼云对象存储服务（ZOS），请确保您已开通与云搜索服务实例同资源池的对象存储服务，并创建存储桶。存储快照会产生费用，具体收费请参见对象存储计费说明。 2. 已获取自身天翼云账号的AK/SK。通过“账号中心>安全设置>用户AccessKey”中查看您的AccessKey、SecurityKey信息。如果忘记SecurityKey请工单联系客服重置。 创建及关闭自动备份 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要创建备份的实例，进入实例详情页。 2. 在备份管理页面，点击开关开启备份能力，根据页面提示输入您天翼云的AK/SK，如果验证通过，即可点击下一步进行备份功能开通。 3. 开通成功进入快照列表页面，点击“自动备份设置”，在弹出的弹层上选择快照目标存储的存储桶，设置备份周期和备份对象，并选择备份期望的保留时间，最长可以保留30天。 4. 选择备份对象是索引时，需要填写备份的索引名称，支持使用“”匹配多个索引，例如“index”表示备份名称前缀时index的所有索引数据。您可通过“索引管理”功能先行查看实例内的索引名称。 5. 如您需要修改自动快照的创建规则，再次点击“自动创建备份”按钮进行修改，修改后立即生效，按照新设定的规则生成、删除相应快照，已生成部分的存量快照清理时长按原规则执行。 6. 如您不再需要自动备份，则可在快照列表页点击关闭自动备份，并在弹出的确认弹窗中选择是否保留快照信息，如不保留，则系统会自动删除从本次开启至本次结束期间自动备份产生的所有快照信息，如果选择保留，则本次开启至本次结束期间的快照信息得以保留，再次开启时将不再由系统进行删除，您可根据需要，手动在控制台进行删除。 7. 关闭自动备份期间快照自动清理不会执行。

前置工作 已通过天翼云生态专区订购 OpenClaw 应用 。 说明 若 OpenClaw 版本过低，将导致无法在公有云生态专区页面中进行模型配置。 操作步骤 1.订购息壤模型推理服务 推荐使用息壤模型推理服务，本文以息壤模型推理服务为例，介绍配置步骤。 登录天翼云控制台，根据您的需求选择适合的模型，本文以DeepSeek模型为例，详细开通步骤可参考DeepSeek模型调用快捷版。 注意 为保障您的账户安全、避免额外损失，请妥善保管模型 API Key 等敏感数据。 OpenClaw 携带较多上下文会导致 Token 消耗偏高，建议您关注用量计费情况。 2.配置模型 2.1 进入OpenClaw应用管理 登录天翼云官网，进入生态专区控制台。在应用管理我的应用中，选中对应的OpenClaw实例，点击进入应用详情页面。 2.2 为OpenClaw配置模型 点击“应用配置”页签，进入OpenClaw应用配置页面。在“模型”模块中，您可以为OpenClaw配置所需模型。天翼云支持： 天翼云息壤：推荐购买天翼云息壤模型推理服务。填写完成后，点击“添加并应用”按钮，即可保存该模型配置，并将其设为 OpenClaw 应用的模型服务提供商。 说明 使用天翼云息壤作为模型来源时，请确保您已订购息壤模型推理服务。立即订购息壤模型推理服务 OpenClaw 运行时，可能导致Token消耗偏高，建议您提前了解息壤模型用量计费情况。 息壤为您提供了“模型体验”功能，具有免费Token额度，您可以选择服务组“模型体验”，即刻体验模型推理效果。 参数 填写说明 示例 模型来源 选择“天翼云息壤”。 模型 选择已订购的服务模型。 GLM5 服务组 选择需要使用的服务组。 test02 模型 App Key 根据服务组自动填充。 maxTokens 非必填，模型能处理的最大上下文长度 contextWindow 非必填，模型生成响应时允许的最大令牌数 GPUStack 应用：GPUStack是生态专区提供的开源托管式AI模型部署平台，您可以通过订购GPUStack应用和GPU云主机资源，部署专属模型推理服务，保障数据的安全与服务的稳定。 说明 使用GPUStack前，请确保已购买GPUStack应用资源并正确部署模型，详细请参考通过GPUStack部署模型推理平台。 为保障OpenClaw稳定运行，推荐使用“GPUStack单机版”、“≥4 张英伟达GPU卡的云主机”、“Qwen332B”模型部署GPUStack应用为OpenClaw提供模型推理能力。 参数 填写说明 示例 模型来源 选择“GPUStack”应用。 GPUStack实例 为OpenClaw提供模型服务的GPUStack实例，支持自动获取已订购的GPUStack实例，可选择： GPUStack 单机版实例 GPUStack 集群版Server实例 GPUStack单机版39sh 模型 选择的GPUStack实例中，已部署的模型列表，支持自动获取。 说明 可根据您的使用场景、GPU云主机资源选择合适的模型。GPUStack单机版推荐使用模型“Qwen332B”。 Qwen332B maxTokens 非必填，模型能处理的最大上下文长度 contextWindow 非必填，模型生成响应时允许的最大令牌数 自定义模型配置：您可以自行配置其他模型，如Kimi、MiniMax等。本文以息壤模型推理服务为例。 填写模型所需的参数说明见下表。填写完成后，点击“添加并应用”按钮，即可保存该模型配置，并将其设为 OpenClaw 应用的模型服务提供商。 参数 填写说明 示例 模型来源 选择“自定义模型” 模型Provider 模型供应商名称，可自定义命名。 XiRang 模型Base url 模型服务调用地址。 说明 即息壤模型服务生成的 baseurl ，默认为“ 模型Api 模型提供商的 API 协议格式。 openaicompletions 说明 息壤模型推理服务提供的模型默认均支持“openaicompletions”协议格式。 模型Api Key 模型服务的API Key。 12356789 说明 即息壤模型服务生成的App Key，可在服务接入模块查看。 模型ID 调用模型的ID。 DeepSeekV3.2Standard 说明 息壤模型广场中，可在查看模型详情页顶部获取模型ID信息。 模型Name 调用模型的名称。 DeepSeekV3.2Standard 说明 息壤模型广场中，可在查看模型详情页顶部获取模型名称信息。 maxTokens 非必填，模型能处理的最大上下文长度 contextWindow 非必填，模型生成响应时允许的最大令牌数 注意 如果您重复添加同一个模型提供商（Provider），后添加的API Key将自动覆盖之前设置的API Key，并以最新的配置为准。

边缘安全与加速服务的免费版套餐是为个人兴趣爱好开发者、非营利项目、技术验证等场景的入门级服务。该套餐适用于非生产场景的技术验证与能力探索，以零成本体验安全与加速产品能力，并为您的测试站点提供基础防护。 功能范围 支持标准域名接入、基础站点配置及常规安全防护能力。各项功能的具体边界与配额以控制台实际展示为准，部分高级特性仅对付费版本开放。 服务可用性与保障说明 无 SLA 承诺 免费版属于体验型服务，该套餐不提供服务可用性（SLA）承诺，亦不就服务可用率、访问延迟、网络连通性、攻击拦截率等指标作出量化保证。因上述指标波动或不足对您的业务造成影响，边缘安全与加速服务不承担责任。 日常服务保障 尽管无 SLA 承诺，安全与加速仍会为您提供基础服务支持。如您遇到访问异常或功能故障，可提交客户服务工单，将按工单优先级进行排查与处理。 使用建议与限制 适用场景建议 免费版设有流量、规则数上限，不建议用于生产环境或商业营利活动。若您的业务对稳定性、大流量加速或高级安全防护有较高要求，推荐您订购基础版、高级版、企业版或旗舰版套餐，以获得更完善的服务保障。 功能调整说明 为持续优化产品体验，我们保留对免费版功能及配额进行调整的权利。如涉及重大变更，我们将通过控制台公告或邮件等方式提前通知。

本文介绍回源加密算法的配置方法。 功能介绍 回源协议为HTTPS协议时，天翼云边缘安全加速平台安全与加速服务默认使用国际标准加密算法回源，也可以选择使用国密加密算法回源或者跟随客户端加密算法回源；未选择默认使用国际加密算法回源。 配置说明 1. 登录边缘安全加速平台控制台。 2. 进入安全与加速工作台域名基础配置页面，点击目标域名。。 3. 进入源站设置页面，单击“编辑配置”。 4. 当【回源协议】选择HTTPS回源或者协议跟随时，可选择【回源加密算法】，支持选择国密加密回源、国际加密回源、跟随客户端加密算法回源。 5. 单击【保存】，完成配置。 参数名 说明 国密加密回源 国密算法，即国家商用密码算法，是由国家密码管理局认定和公布的密码算法标准及其应用规范。国密加密回源，即回源时的HTTPS协议采用国密加密算法。 国际加密回源 国际加密回源，即采用国际标准的密码算法回源，如果没有特殊配置，我们通常回源时使用的加密算法都是国际加密算法。 跟随客户端加密算法回源 若客户端使用国际加密算法接入天翼云AOne安全与加速平台，则回源时也使用国际加密算法回源；若客户端使用国密加密算法接入天翼云AOne安全与加速平台，则回源时也使用国密加密算法回源。

本章节介绍微服务治理中心MSGC子产品相关名词解释 服务契约 微服务接口描述，应用成功接入微服务治理中心后，便可以通过微服务治理中心查看服务接口、路径等API信息。 标签路由 标签路由指的是通过标签将一个或多个服务的提供者划分到同一个分组，并约束流量在指定的分组中流转，实现流量隔离的目的。 离群实例摘除 实时检测下游实例的可用性，并动态隔离异常实例，保证服务成功调用，提升业务的稳定性和服务质量。 无损上线 在应用上线时，对应用做服务预热和延迟注册的操作，避免出现服务抖动或异常调用的情况。 无损下线 无损下线指的是在应用进行重启、下线等变更操作时，能实现无感知下线，保证业务连续无损。 流量防护 流量防护提供专业的流量控制、熔断降级手段，保证应用高可用运行。 流量控制 实时监控流量的QPS或并发线程数等指标，控制达到阈值的流量，避免应用被瞬时流量高峰冲垮，从而保证应用的高可用性。 熔断降级 限制不稳定资源的调用，让请求快速失败，避免影响其他资源而导致级联错误。