天翼量云电脑（政企版）在开通桌面后，首次使用的用户账号需激活才能使用，本节介绍了用户账号激活的操作说明。 1. 完成开通AI云电脑后，用户邮箱会收到天翼AI云电脑（政企版）开通提醒邮件，根据流程激活账号即可。（初次开通AI云电脑，需激活账号） 2. 根据步骤完成激活流程填写密码，即完成账号认证 。（后续需使用该账号密码登录AI云电脑客户端进行连接使用） 如遇激活失败，可通过如下方式重新激活： 重发激活邮件：< 联系管理员处理，在管理控制台组织管理用户管理，修改通知邮箱。

本页介绍如何通过云监控服务查看翼MR集群的监控数据以及配置告警规则。 从翼MR v2.15.3版本起，用户可以通过云监控服务查看翼MR集群的主机与组件状态，并支持设置相关监控指标、系统事件的告警规则，配置短信与邮件告警。如需了解产品详细情况，可参考云监控服务。 操作步骤 1. 登录天翼云官网，选择“云监控服务”。 2. 点击进入云监控服务的管理控制台。 3. 在左侧导航栏选择云服务监控中的“翼MapReduce监控”，即可查看该用户在当期资源池下的翼MR集群监控。 4. 操作栏中的查看监控图表，可以查看集群相关监控指标，支持自定义查看的时间段。 5. 点击操作栏内的创建告警规则，或点击左侧导航栏中告警服务中的“告警规则”，即可配置告警策略、通知与规则。 6. 点击左侧导航栏事件监控中的系统事件，即可创建事件订阅并配置通知规则。 说明 当前仅华东1、西南1、华北2、上海36、华南2、武汉41、杭州7、西安7、西南2贵州资源池的集群支持使用该服务。 仅支持有翼MR集群节点查询权限的用户在云监控服务中查询目标集群的监控数据，管理员可通过翼MR的角色管理与用户权限功能为用户赋权。

接口功能介绍 创建单独付费计算增强型云电脑询价。 接口约束 无 URI POST /v3/ecs/describePrice 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 billMode 是 String 订购类型（仅创建单独付费计算增强型云电脑有效）。取值范围： Cycle：包周期。 osType 是 String 操作系统类型（Windows;Linux），XC型规格暂只支持Linux cycleType 否 String 周期类型（仅创建单独付费云电脑有效）。取值范围： Month：按月。（仅订购类型为包周期类型有效） cycleCnt 否 Integer 周期数（仅创建单独付费云电脑有效）。取值范围： 136。（仅订购类型为包周期类型有效） autoPay 否 Boolean 是否自动支付（仅创建单独付费云电脑有效），默认false。取值范围： true:是。（仅订购类型为包周期类型有效，需账号有足够金额） false:否。（仅订购类型为包周期类型有效） templateOid 是 String 规格模板ID processorType 否 String 处理器类型。创建XC型规格时必填。取值范围： kp：鲲鹏。 hg：海光。 imageOid 是 String 镜像ID subnetOid 是 String VPC子网ID securityGroupOid 是 String 安全组ID sysDiskType 是 String 系统盘类型（uhio超高IO） sysDiskSize 是 Integer 系统盘大小（单位：GB） 镜像系统盘大小（创建单独付费云电脑，不支持自定义大小） （创建资源包云电脑，支持自定义大小） instanceNum 是 Integer 实例数量

方式二：通过OpenAPI创建告警规则 您可以通过OpenAPI使用云监控服务的告警功能： 告警规则：涉及告警规则的查询、创建、删除、修改等操作 告警模板：涉及告警模板的查询、创建、删除、修改、批量操作等功能 更多云监控OpenAPI参见API概览云监控服务。

本文主要介绍弹性IP和带宽支持的监控指标。 功能说明 本节定义了弹性IP和带宽上报云监控服务CES的监控指标的命名空间，监控指标列表和维度定义，用户可以通过云监控提供的管理控制台或API接口来检索资源产生的监控指标和告警信息。 说明 云监控服务CES最大支持4个层级维度，维度编号从0开始，编号3为最深层级。例如监控指标中的维度信息为“bandwidthid,publicipid”时，表示对应的监控指标的维度存在层级关系，且“bandwidthid”为0层，“publicipid”为1层。 带宽规格变更（带宽升降配）后，带宽规格数据在监控指标上生效有5~10min的时间延迟。 命名空间 弹性公网IP和带宽的命名空间：SYS.VPC 监控指标 表弹性IP和带宽支持的监控指标 指标ID 指标名称 指标含义 取值范围 进制 测量对象 监控周期（原始指标） upstreambandwidth 出网带宽 该指标用于统计测试对象出云平台的网络速度。单位：比特/秒 ≥ 0 bit/s 1000(SI) 带宽或弹性IP 1分钟 downstreambandwidth 入网带宽 该指标用于统计测试对象入云平台的网络速度。单位：比特/秒 ≥ 0 bit/s 1000(SI) 带宽或弹性IP 1分钟 upstreambandwidthusage 出网带宽使用率 该指标用于统计测量对象出云平台的带宽使用率。以百分比为单位 0100% 不涉及 带宽或弹性IP 1分钟 downstreambandwidthusage 入网带宽使用率 该指标用于统计测量对象入云平台的带宽使用率。以百分比为单位 0100% 不涉及 带宽或弹性IP 1分钟 upstream 出网流量 该指标用于统计测试对象出云平台的网络流量。单位：字节 ≥ 0 bytes 1000(SI) 带宽或弹性IP 1分钟 downstream 入网流量 该指标用于统计测试对象入云平台的网络流量。单位：字节 ≥ 0 bytes 1000(SI) 带宽或弹性IP 1分钟

本节主要介绍删除或修改委托 修改委托 如果需要修改委托的权限、持续时间、描述等，可以在委托列表中，单击委托右侧的“修改”，修改委托。 说明 云服务委托支持修改云服务、持续时间、描述、权限，委托名称、类型不支持修改。 修改云服务委托权限后可能会影响该云服务部分功能的使用，请谨慎操作。 删除委托 如果不再需要使用委托，可以在委托列表中，单击委托右侧的“删除”，删除委托。 批量删除委托 如果需要删除多个委托，可在委托列表中勾选需要删除的委托，然后单击列表上方的“删除”。 说明 删除委托后，将撤销被委托方帐号的权限，被委托方将无法管理您的委托资源，对您的其他业务合作伙伴没有影响。

接口功能介绍 快照策略功能请联系客户经理开通。 快照策略仅支持资源包来源的云电脑（即不支持单实例来源的云电脑）。 如果云电脑已存在快照，且上一个快照时间点到执行周期时一直关机，则不自动创建快照，当用户开机后且到下一个执行周期，再创建快照。 幂等接口，重复分配给同一个电脑会忽略并视为分配成功。 注意！若云电脑已分配快照策略，原有快照策略会被取消。 接口约束 无 URI POST /v3/snapshotPolicy/applyToDesktops 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 snapshotPolicyOid 是 String 快照策略ID。 sspgg7576hc59fkph1b3xe4y desktopOidList 是 Array of Strings 云电脑ID列表。长度限制[1,10]。 D0023092201180710 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 ok returnObj Object 返回数据结构体。 returnObj

本节介绍天翼云电脑（政企版）支持的终端列表。 天翼AI云电脑（政企版）支持的终端如下： 终端类型 终端 型号 说明 个人电脑 Windows Win7以上的台式机或者笔记本 XP系统建议重装win7 个人电脑 Mac 苹果一体机、Mac笔记本、Mac mini等 操作系统：Mac OS10.14及以上64位版本 个人电脑 Ubuntu瘦终端 天翼AI云电脑已通过适配的终端：终端适配列表 操作系统Ubuntu18.04及以上的瘦终端设备 个人电脑 安卓瘦终端 天翼AI云电脑已通过适配的终端：终端适配列表 适用Android7.0及以上版本的安卓瘦终端设备 个人电脑 国产化终端 天翼AI云电脑已通过适配的终端：终端适配列表 支持统信UOS v20，麒麟 v10系统 移动终端 安卓 各品牌4G/5G安卓手机 支持Android 7.0以上的手机和平板 移动终端 iOS 苹果手机、iPad 支持iOS 10.0系统以上设备

本页主要介绍云容器引擎产品的kubelet配置。 名称 类型 描述 示例值 cpuManagerPolicy String CPU 管理器策略。 none kubeAPIQPS Integer 与 API Server 通信的每秒查询个数。 100 kubeAPIBurst Integer 每秒发送到 API Server 的突发请求数量上限。 100 maxPods Integer 运行的 Pod 个数上限。 110 podPidsLimit Integer Pod 中可使用的 PID 个数上限。 1 eventRecordQPS Integer 每秒可生成的事件数量。 5 eventBurst Integer 事件记录的个数的突发峰值上限。 10 topologyManagerPolicy String 使用的拓扑管理器策略名称。 none topologyManagerScope String 拓扑管理策略的资源对齐粒度 container resolvConf String 容器指定DNS解析配置文件 runtimeRequestTimeout String 除长期运行的请求之外所有运行时请求的超时时长 120s serializeImagePulls Boolean 是否逐一拉取镜像。 FALSE registryPullQPS Integer 镜像仓库的 QPS 上限。 5 registryBurst Integer 突发性镜像拉取的个数上限。 10 containerLogMaxFiles Integer 每个容器可以存在的日志文件个数上限。 20 containerLogMaxSize String 日志文件被轮转之前可以到达的最大大小。 50Mi imageGCHighThresholdPercent Integer 镜像用量超过此阈值，则镜像垃圾回收会持续执行。 80 imageGCLowThresholdPercent Integer 镜像用量低于此阈值时不会执行镜像垃圾回收操作。 70 cpuCFSQuota Boolean CPU CFS 配额约束开关。 FALSE systemReservedMem String 系统内存预留 100Mi kubeReservedMem String Kubernetes组件内存预留 100Mi evictionHard:memory.available String 硬驱动逐配置项：节点可用内存值 100Mi evictionHard:nodefs.available String 硬驱动逐配置项：Kubelet使用的文件系统的可用容量的百分比 10% evictionHard:nodefs.inodesFree String 硬驱动逐配置项：Kubelet使用的文件系统的可用inodes数的百分比 5% evictionHard:imagefs.available String 硬驱动逐配置项：容器运行时存放镜像等资源的文件系统的可用容量的百分比 10% evictionHard:imagefs.inodesFree String 硬驱动逐配置项：容器运行时存放镜像等资源的文件系统的可用inodes数的百分比 10% evictionHard:pid.available String 硬驱动逐配置项：留给分配Pod使用的可用PID数的百分比 10% evictionSoft:memory.available String 软驱逐配置项：节点可用内存值 100Mi evictionSoft:nodefs.available String 软驱逐配置项：Kubelet使用的文件系统的可用容量的百分比 10% evictionSoft:nodefs.inodesFree String 软驱逐配置项：Kubelet使用的文件系统的可用inodes数的百分比 10% evictionSoft:imagefs.available String 软驱逐配置项：容器运行时存放镜像等资源的文件系统的可用容量的百分比 10% evictionSoft:imagefs.inodesFree String 软驱逐配置项：容器运行时存放镜像等资源的文件系统的可用inodes数的百分比 10% evictionSoft:pid.available String 软驱逐配置项：留给分配Pod使用的可用PID数的百分比 10% evictionSoftGracePeriod:memory.available String 驱逐周期 10s evictionSoftGracePeriod:nodefs.available String 驱逐周期 10s evictionSoftGracePeriod:nodefs.inodesFree String 驱逐周期 10s evictionSoftGracePeriod:imagefs.available String 驱逐周期 10s evictionSoftGracePeriod:imagefs.inodesFree String 驱逐周期 10s evictionSoftGracePeriod:pid.available String 驱逐周期 10s

本文介绍如何配置防火墙防护策略，包括配置入侵防御模式和配置访问控制策略。 云防火墙提供基础防御功能，可以针对访问流量进行检测与防护，覆盖多种常见的网络攻击，有效保护您的资产。 访问控制策略默认状态为放行，通过配置合适的策略调整防护能力，实现更有效的精细化管控，防止内部威胁扩散，增加安全战略纵深。 配置入侵防御模式操作步骤 在左侧导航栏中，选择“攻击防御 > 入侵防御” 。 功能名称 功能说明 :: 防护模式 观察模式：仅对攻击事件进行检测并记录到日志中。 拦截模式：在发生明确攻击类型的事件和检测到异常IP访问时，将实施自动拦截操作。 拦截模式宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。 拦截模式中等：防护粒度中等。满足大多数场景下的防护需求。 拦截模式严格：防护粒度精细，全量拦截攻击请求。建议您等待业务运行一段时间后，根据防护效果配置误报屏蔽规则，再开启“严格”模式。 说明 选择防护模式后，可对基础防御规则库的单条防御规则进行修改。具体操作请参见修改基础防御规则动作。 基础防御 为您的资产提供基础的防护能力，默认为“开启”状态。防御功能包括： 检查威胁及漏洞扫描。 检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击。 是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其他可疑行为。 虚拟补丁 在网络层级为IPS提供热补丁，实时拦截高危漏洞的远程攻击行为，同时避免修复漏洞时造成业务中断。 高级 敏感目录扫描防御 防御对用户主机敏感目录的扫描攻击。 “动作”： 观察模式：发现敏感目录扫描攻击后，CFW仅记录攻击日志，查看攻击日志请参见日志查询。 拦截Session：发现敏感目录扫描攻击后，拦截当次会话。 拦截IP：发现敏感目录扫描攻击后，CFW会阻断该攻击IP一段时间。 “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “阈值”：对于单个敏感目录扫描频率达到设定的阈值后，CFW会采取相应“动作”。 高级 反弹Shell检测防御 防御网络上通过反弹shell方式进行的网络攻击。 “动作” ： 观察模式：发现反弹shell攻击后，仅记录攻击日志，查看攻击日志请参见日志查询。 拦截Session：发现反弹shell攻击后，拦截当次会话。 拦截IP：发现反弹shell攻击后，CFW会阻断该攻击IP一段时间。 “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “模式 ”： 低误报：防护粒度较粗。观察或拦截频次较高的攻击，用于确保攻击处理没有误报。 高检测：防护粒度精细，确保攻击能够被发现并处理。

本章节主要介绍自定义词库使用示例。 场景说明 通过给集群配置自定义词库，将“智能手机”设置为主词，“是”设置为停词，“开心”和“高兴”设置为同义词。使用配置好的集群，对文本内容“智能手机是很好用”进行关键词搜索，查看关键词查询效果；对文本内容“我今天获奖了我很开心”进行同义词搜索，查看同义词查询效果。 配置自定义词库 1.准备词库文件（UTF8无BOM格式编码的文本文件），上传到对应OBS路径下。 主词词库文件中包含词语“智能手机”；停词词库文件中包含词语“是”；同义词词库文件中包含一组同义词“开心”和“高兴”。 说明 由于系统默认词库的停用词包含了“是”、“的”等常用词，此类停用词可以不用上传。 2.在云搜索服务管理控制台，单击左侧导航栏的“集群管理”。 3.在“集群管理”页面，单击需要配置自定义词库的集群名称，进入集群基本信息页面。 4.在左侧导航栏，选择“自定义词库”，参考配置自定义词库为集群配置1准备好的词库文件。 5.待词库配置信息生效后，返回集群列表。单击集群操作列的“Kibana”接入集群。 6.在Kibana界面，单击左侧导航栏的“Dev Tools”，进入操作页面。 7.执行如下命令，查看自定义词库的不同分词策略的分词效果。 −使用iksmart分词策略对文本内容“智能手机是很好用”进行分词。 示例代码： POST /analyze { "analyzer":"iksmart", "text":"智能手机是很好用" } 运行结束后，查看分词效果： { "tokens": [ { "token": "智能手机", "startoffset": 0, "endoffset": 4, "type": "CNWORD", "position": 0 }, { "token": "很好用", "startoffset": 5, "endoffset": 8, "type": "CNWORD", "position": 1 } ] } −使用ikmaxword分词策略对文本内容“智能手机是很好用”进行分词。 示例代码： POST /analyze { "analyzer":"ikmaxword", "text":"智能手机是很好用" } 运行结束后，查看分词效果： { "tokens" : [ { "token" : "智能手机", "startoffset" : 0, "endoffset" : 4, "type" : "CNWORD", "position" : 0 }, { "token" : "智能", "startoffset" : 0, "endoffset" : 2, "type" : "CNWORD", "position" : 1 }, { "token" : "智", "startoffset" : 0, "endoffset" : 1, "type" : "CNWORD", "position" : 2 }, { "token" : "能手", "startoffset" : 1, "endoffset" : 3, "type" : "CNWORD", "position" : 3 }, { "token" : "手机", "startoffset" : 2, "endoffset" : 4, "type" : "CNWORD", "position" : 4 }, { "token" : "机", "startoffset" : 3, "endoffset" : 4, "type" : "CNWORD", "position" : 5 }, { "token" : "很好用", "startoffset" : 5, "endoffset" : 8, "type" : "CNWORD", "position" : 6 }, { "token" : "很好", "startoffset" : 5, "endoffset" : 7, "type" : "CNWORD", "position" : 7 }, { "token" : "好用", "startoffset" : 6, "endoffset" : 8, "type" : "CNWORD", "position" : 8 }, { "token" : "用", "startoffset" : 7, "endoffset" : 8, "type" : "CNWORD", "position" : 9 } ] }

本文为您介绍如何创建自定义策略。 目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。 操作步骤如下： 可视化视图配置自定义策略 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“策略管理”，点击策略管理页面的“创建自定义策略”按钮，进入创建自定义策略页面。 3. 输入策略名称、策略描述等基本信息后，点击“下一步”。 4. 选择“可视化视图”。 5. 效果：选择“允许”或“拒绝”。 6. 云服务：选择需要进行权限控制的云服务。 说明 此处只能选择一个云服务，如需配置多个云服务的自定义策略，请在完成此条配置后，单击“添加权限”，创建多个服务的授权语句；或使用JSON视图配置自定义策略。 暂不支持一个自定义策略同时包含全局级云服务和资源池级云服务。如果需要同时设置全局级服务和资源池级服务的自定义策略，请创建两条自定义策略，便于授权时设置最小授权范围。 7. 选择“操作”，根据需求勾选产品权限。 8. （可选）配置特定资源，如选择“特定资源”，可以根据目前权限的关联资源路径模板，通过单击“添加资源”来指定需要授权的资源。 说明 支持为特定资源授权的云服务在资源选择中可以选择特定资源，否则代表当前服务不支持资源路径配置。 9. （可选）添加条件，单击“添加条件”，选择“条件键”，选择“运算符”，根据运算符类型填写相应的值。 10. （可选）在“策略配置方式”选择JSON视图，将可视化视图配置的策略内容转换为JSON语句进行检视和编辑，您可以在JSON视图中对策略内容进行修改。 说明 如果您修改后的JSON语句有语法错误，将无法创建策略，可以根据提示信息自行检查和修改内容。此外，如果将JSON语句重新转换到可视化视图时失败，一般是由于Statement下包含有多个不同云服务的Action，和可视化的映射规则不符合，这种情况不会影响策略的正常创建。 11. （可选）如需创建多个云服务的权限，请单击“添加权限”。 12. 单击“确定”，完成自定义策略的创建。

配置OBS转储 云监控各监控指标的原始数据的保留周期为两天，超过保留周期后原始数据将不再保存。用户可以开通对象存储服务，然后将原始数据同步保存至OBS，以保存更长时间。 关于如何配置OBS转储，具体请参见《云监控服务用户指南》中“查看云服务历史监控数据配置OBS数据存储”章节。

本节介绍云安全中心关于等级保护测评解读。 云安全中心产品符合等级保护2.0标准体系主要标准。根据《网络安全等级保护基本要求》（GB/T 222392019），云安全中心满足第三级及以下安全要求： 等保标准章节 等保标准序号 云安全中心对应功能 功能解读 安全区域边界边界防护 8.1.3.1 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界访问控制 8.1.3.2 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界入侵防范 8.1.3.3 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处检测、防止或限制从外部/内部发起的网络攻击行为，并对这些攻击行为进行分析、记录以及提供报警。 安全区域边界恶意代码和垃圾邮件防范 8.1.3.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处对恶意代码进行检测、分析，并通过处置功能实现对相关机器访问进行限制。 安全区域边界安全审计 8.1.3.5 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息，通过威胁运营，能将单独用户行为审计和数据分析。 安全计算环境安全审计 8.1.4.3 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息。云安全中心日志通过多副本实时存储多分，保障用户日志在其存储周期内不丢失、可恢复。 安全计算环境入侵防范 8.1.4.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞，同时应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 安全计算环境恶意代码防范 8.1.4.5 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能够及时采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为。通过处置功能将其有效阻断。 安全区域边界集中管控 8.1.5.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，以及不同安全设备的处置集成，实现对分布在网络中的安全设备或安全组件进行管控。 通过内网建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。 形成对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 通过实时的日志采集，对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。 同时在应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。 通过编排响应能对网络中发生的各类安全告警进行识别、报警和分析。

本节主要介绍数据恢复。 恢复方案 GeminiDB Influx支持数据恢复，您可以根据业务需要选择合适的恢复方法。 表1 恢复方案 恢复方案 使用场景 恢复备份到新实例 使用已有的备份文件恢复实例数据到新建实例。 恢复备份到新实例 操作场景 GeminiDB Influx支持使用已有的自动备份或手动备份恢复实例数据到新建实例，恢复后的数据与该备份生成时的实例数据一致。 选择通过备份文件恢复到实例上，会从OBS备份空间中将该备份文件下载到实例上进行全量恢复，恢复时长和实例的数据量有关。 使用须知 恢复时，新实例节点数应大于等于原实例的节点数。 恢复时，新实例的空间大小必须大于或等于原实例的空间大小。 当前不支持增量备份，PITR功能。 当前不支持恢复到当前实例。 恢复时，可以进行规格缩容，但是缩容的内存规格大小应大于等于备份时实际内存使用大小。 备份恢复到新实例使用原实例的参数组恢复，保证恢复出来的参数跟原来实例的一致。 单节点暂不支持自动备份恢复实例数据到新建实例。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 选择目标实例，进行恢复备份。 方法一 在“实例管理”页面，单击目标实例的名称。 在左侧导航栏中选择“备份恢复”页签，单击目标备份对应操作列中的“恢复”。 图1 备份恢复 方法二 在“备份管理”页面，单击目标备份对应操作列中的“恢复”。 图2 备份管理 4. 在“恢复实例”弹出框中确认当前实例信息及恢复方式，单击“确定”，跳转到“恢复到新数据库实例”的服务选型页面。 图3 恢复到新实例 新实例的接口类型和版本，默认与原实例相同，不可修改。 系统会根据所选择的备份文件大小自动去计算恢复新实例所需的最小存储空间，用户选择容量大小必须为整数，可根据不同的性能规格选择对应的存储空间。 数据库密码需重新设置。 其他参数，用户可修改，具体请参见购买GeminiDB Influx实例。 5. 查看恢复结果。 为用户重新创建一个和该备份数据相同的实例。可看到实例由“创建中”变为“正常”，说明恢复成功。 创建或恢复完成后，系统会自动执行一次全量备份。 恢复成功的新实例是一个独立的实例，与原有实例没有关联。

本文主要介绍通过模板部署应用。 在CCE控制台上，您可以上传Helm模板包，然后在控制台安装部署，并对部署的实例进行管理。 注意 云容器引擎各region将逐步切换至Helm v3。模板管理未来将不再支持Helm v2版本的模板，若您在短期内不能切换至Helm v3，可通过Helm v2 客户端在后台管理v2版本的模板。 约束与限制 单个用户可以上传模板的个数有限制，请以各个Region控制台界面中提示的实际值为准。 CCE使用的Helm版本为v3.8.2，支持上传Helm v3版本语法的模板包。 模板若存在多个版本，则消耗对应数量的模板配额。 由于模板的操作权限同时具有较高的集群操作权限，因此租户应当谨慎授予用户对于模板生命周期管理的权限，包括上传模板的权限，以及创建、删除和更新模板实例的权限。 模板包规范 以下以redis为例，在准备redis模板包时根据模板包规范制作模板包。 命名要求 模板包命名格式为： {name}{version} .tgz，其中 {version} 为版本号，格式为“主版本号.次版本号.修订号”，如redis0.4.2.tgz。 说明 模板名称{name}的长度不能超过64个字符。 版本号需遵循语义化版本规则。 主版本号、次版本号为必选，修订号为可选。 主版本号、次版本号、修订号的数值为整数，均需要≥0，且≤99。 目录结构 模板包的目录结构如下所示： redis/ templates/ values.yaml README.md Chart.yaml .helmignore 目录说明如下表所示，带的为必选项： 表 模板包目录说明 参数 参数说明 templates 用于存放所有的template（模板）文件。 values.yaml 用于描述template文件所需的配置参数。 须知 定义template文件配置参数时，请注意此处定义的“镜像地址”务必和容器镜像仓库中对应的镜像地址保持一致。否则创建工作负载会异常，提示镜像拉取失败。 镜像地址获取方法如下：在CCE控制台，单击左侧导航栏的“镜像仓库”，进入容器镜像服务控制台。在“我的镜像 > 自有镜像”中，单击已上传镜像的名称，在“镜像版本 ”页签的“下载指令”栏中即可获取镜像地址，单击 按钮即可复制该指令。 README.md 一个markdown文件，包括： 描述Chart提供的工作负载或服务。 运行Chart的前提。 解释values.yaml文件中的配置 安装和配置Chart的相关信息。 Chart.yaml 模板的基本信息说明。注：Helm v3版本apiVersion从v1切换到了v2。 .helmignore 设定在工作负载安装时不需要读取templates的某些文件或数据。

本章节介绍了有关分布式消息服务RocketMQ监控告警类的常见问题及解答。 云监控无法展示Topic监控数据？ 当Topic名称中包含“%”或“”时，在云监控中会将“%”或“”转换为“”显示，例如Topic名称为“test%01”，在云监控中Topic名称显示为“test01”。

欠费 在使用云服务备份时，帐户的可用额度小于待结算的账单大于账户余额，即被判定为帐户欠费。欠费后，可能会影响云服务备份资源的正常运行，需要及时充值。 停止计费 当云服务备份资源不再使用时，可以将他们退订或删除，从而避免继续收费。

维度 Key Value efsinstanceid 实例 查看监控数据 1. 登录管理控制台。 2. 进入监控图表页面。 入口一：选择“存储 > 弹性文件服务”，在文件系统列表单击查看监控数据的文件系统“操作”列下的“监控”。 入口二：选择“管理与部署 > 云监控> 云服务监控 > 弹性文件服务Turbo”，在文件系统列表中，单击待查看监控数据的文件系统“操作”列下的“查看监控指标”。 您可以选择监控指标项或者监控时间段，查看对应的SFS Turbo监控数据。 关于云监控的其他操作和更多信息，请参考云监控帮助中心。

维度 Key Value efsinstanceid 实例 查看监控数据 1. 登录管理控制台。 2. 进入监控图表页面。 入口一：选择“存储 > 弹性文件服务”，在文件系统列表单击查看监控数据的文件系统“操作”列下的“监控”。 入口二：选择“管理与部署 > 云监控> 云服务监控 > 弹性文件服务Turbo”，在文件系统列表中，单击待查看监控数据的文件系统“操作”列下的“查看监控指标”。 您可以选择监控指标项或者监控时间段，查看对应的SFS Turbo监控数据。 关于云监控的其他操作和更多信息，请参考云监控帮助中心。

本节介绍数据缓存亲和性调度。 Fluid提供了数据缓存亲和性调度优化能力，根据数据集排布的Pod调度策略，支持通过Webhook机制将调度信息注入到业务Pod中，从而实现将业务Pod优先调度到有数据缓存能力的节点。 在智算场景下，创建训练任务指定数据集时，通过调度优化策略将训练任务优先调度到缓存数据节点，可以提高数据同节点访问概率，获取最大程度访问效率。 前提条件 已完成AI套件安装，弹性数据集组件运行正常。 已创建数据集并开启加速。 数据集加速状态为已加速或已预热。 功能介绍 基于Mutating Webhook机制，Fluid可以在 业务Pod 创建时拦截，检测是否使用 Fluid PVC，从而为应用Pod注入所需数据缓存的亲和性信息（fluid.io/s{namespace}{dataset}）。当Kubernetes调度器调度应用Pod时，可以优先选择有缓存数据的节点。 注意 如果应用Pod在spec.affinity或spec.nodeSelector中自定义了与fluid调度相关的亲和性信息，此时以应用Pod自身配置为准，Fluid不会注入相关的亲和性调度配置信息。 操作步骤 1、创建数据集并开启数据加速 2、训练任务使用加速数据集 登录云容器引擎管理控制台； 在集群列表页点击进入指定集群； 进入主菜单 智算套件 > AI应用列表 > 离线训练 > 创建AI应用； 进入离线训练应用创建页面，在“基本信息”栏添加标签： 标签名为：fuse.serverful.fluid.io/inject 标签值为：true 进入离线训练应用创建页面，进行相关信息配置，详细参考创建训练任务； 配置训练数据： 点击“选择数据集”，在弹出页面选择“私有数据集”，选择已加速的数据集名称： 点击“选择数据集版本”，在弹出页面选择“私有数据集”，选择已加速的数据集名称： 继续其他配置，完成训练应用创建。 查看训练任务调度信息 进入主菜单 > 工作负载 > 容器组，查看训练任务Pod对应的YAML信息，已经注入缓存节点调度信息： 进入主菜单 > 工作负载 > 容器组，可以看到训练任务pod 所在节点与fluid数据节点一致。

本小节介绍开启容器安全防护。 您可以为已购买的服务器开启容器版安全防护，开启后按照容器版所提供的能力对服务器进行安全防护。 开启容器节点防护时，您需为指定的节点（主机）分配一个配额，关闭容器安全防护或删除节点（主机）后，该配额可分配给其他的节点（主机）使用。 检测周期 企业主机安全每日凌晨进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能看到检测结果。 前提条件 “资产管理 > 容器管理”页面“容器节点管理”中目标服务器“Agent状态”为“在线”。 已在云容器引擎成功创建节点。 节点的“容器防护状态”为“未防护”。 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、 根据需求可选择批量开启防护和单服务器开启防护。 单服务器开启防护 a.在“节点列表”中目标服务器的“操作”列单击“开启防护”，为需要开启防护的节点开启防护。 b.在弹窗中确认信息。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 确认开启集群防护 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。 批量开启防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“开启防护”。 b.在弹窗中确认信息及选择计费模式。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。

本文介绍一站式智算服务平台使用前的准备工作。 注册主账号 在开通和使用一站式智算服务平台之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后使用一站式智算服务平台。 1. 打开天翼云门户网站，点击【注册】。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击【同意协议并提交】 按钮，如1分钟内手机未收到验证码，请再次点击【免费获取短信验证码】按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 如需实名认证，请参考会员服务实名认证。 5. 主账号默认就是IAM管理员角色，具有平台所有权限。 为账户充值 1. 使用一站式智算服务平台之前，请保证您的账户有充足的余额，账户余额需要大于100元。 2. 关于如何为账户充值，请参考费用中心在线充值。 3. 一站式智算服务平台支持包周期预付费。 创建子账号 前置条件 通过主账号或角色为IAM管理员的子账号登录到一体化智算服务平台 创建子账号操作步骤 1. 将鼠标放置在右上角用户登录信息处，会显示一个下拉菜单，点击【基本信息】会进入到【账号中心】页面 2. 在【账号中心】页面，点击进入【统一身份认证】页面，即【IAM】页面 3. 在【IAM】页面，再次进入【用户】页面，在页面右上角点击【创建用户】按钮，进入到【创建用户】页面，按步骤填写相关信息即可创建子用户 需要特别说明的是，在为子用户添加【用户组】时，如果选择“admin”用户组(即IAM管理员角色)，则子用户拥有所有权限，希望子用户不拥有全部权限，则可以不分配用户组，或者自定义创建用户组，此时子账号的角色为IAM普通用户 当需要将子账号从某个用户组移除时，可进入到【用户组】页面，进行移除操作，移除后，子账号将不再具有对应用户组的权限

本页面主要介绍为主帐号创建子帐号,创建用户组,并为子帐号授权的操作说明及步骤。 用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 注意 本文仅适用于Ⅱ类型资源池配置主子账号以及相关权限，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。Ⅰ类型资源池的子账号配置，请参见主子账号使用手册I类型资源池。 操作步骤 创建子帐号以及为该子帐号授权相关企业项目的步骤总体分为： 创建子账户并加入用户组 为用户组进行授权（分为开放个别企业项目权限和开放所有企业项目权限） 创建子账户并加入用户组 为主帐号添加子帐号以及将子帐号加入到用户组，步骤如下： 1. 进入天翼云官网，通过主账号登录，登入后，右上角选择“我的”，点击“个人中心”，进入个人中心界面。 2. 在左侧导航栏点击“统一身份认证”，进入统一认证服务IAM。 3. 选择“用户”页签，点击右上角创建用户。 4. 填写子账号的相关信息，包含用户名、邮箱、手机号等，并设置密码。设置完成点击右下角下一步。 5. 如无用户组请先创建用户组，如有可点击添加，添加进该用户组之后，会自动显示在右侧“已选用户组”窗口。如后续从用户组删除该用户，可点击移除。 admin用户组为拥有所有操作权限的用户组，您可根据需要加入此用户组或者加入自定义创建的用户组。 6. 加入用户组后，点击右下角下一步，将会显示创建成功。点击返回用户列表，可以看到创建的子账户。

本节主要介绍如何查看资产信息。 操作场景 在资产管理页面，可以查看资产的名称、类型、防护状态等信息。 前提条件 已完成资产订阅。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“资产管理 > 资产管理”，进入资产管理页面。 5. （可选）首次查看需要设置资产订阅，如果已订阅，请跳过该步骤。 态势感知（专业版）只有在开启资产订阅设置的工作空间才能同步资产相关信息。订阅后，资产信息将在每天自动晚上进行更新。 说明 仅支持订阅和同步云上资产。同时，不建议同一个区域的资产订阅至多个工作空间。 1. 在资产管理页面中，单击页面右上角“资产订阅设置”，右侧弹出订阅资产设置页面。 2. 在订阅资产设置页面中，在需要订阅资产所在的region所在行“是否开通”列开启订阅。 3. 单击页面右下角的“确认”。 订阅后，资产信息将在每天晚上自动进行更新。 6. 在资产管理页面查看资产的详细信息。 如需查看指定类型资产信息，如主机资产，请选择“主机资产”页签进行查看。当前支持分类查看的资产类别有“主机资产”、“网站”、“数据库”、“VPC”、“EIP”、“设备”。“全部资产”页签查看所有资产。 部门及业务系统：该页签汇聚了资产所对应的“部门”及“业务系统”信息。 在资产列表中下方可以查看资产总条数。其中，使用翻页查看时最多可查看10000条资产信息，如果需要查看超过10000条以外数据，请优化过滤条件筛选数据。 如果需要查看某个资产的更多详细信息，可以先选择待查看资产所属类型，然后再在对应资产类型页面中单击资产名称，进入资产详情页面进行查看。 例如，需要查看某个主机资产的详细信息，请选择“主机资产”页签，再在主机资产页面中，单击目标主机资产名称，进入目标主机资产详情页面。 在资产详情页面，可以查看资产相关的环境信息、资产信息和网络信息等信息。 在资产详情页面，可以对资产的责任人、业务系统和部门信息进行编辑，还可以绑定或解绑资产。

本节介绍处理弱口令。 若您收到弱口令告警，则说明您的主机存在被入侵的风险。数据、程序都存储在系统中，若密码被破解，系统中的数据和程序将毫无安全可言，请及时修改弱口令。 出现弱口令告警的原因 设置的自动生成密码的方式过于简单，与弱口令检测的密码库相重合。 将同一密码用于多个子帐号，会被系统判定为弱密码。 排查弱口令 1、登录管理控制台。 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、选择“风险预防 > 基线检查”，单击“经典弱口令检测”，查看存在的弱口令。 4、根据经典弱口令列表中的“弹性云主机名称”、“账号名”、“账号类型”和“弱口令使用时长”，登录待修改弱口令的主机，修改弱口令。 修改常见的服务器弱口令 系统名称 修改登录口令 说明 :: Windows系统 以Windows 10为例说明。 1. 登录Windows主机系统。 2. 单击左下角的，然后单击，弹出“Windows设置”窗口。 3. 在“Windows设置”窗口中，单击“帐户”。 4. 在左侧导航栏中，单击登录选项。 5. 在“登录选项”页面，请根据页面提示信息修改服务器密码。 Linux系统 登录Linux服务器，执行以下命令，修改用户登录口令。passswd [] 若不输入登录用户名，则修改的是当前用户的口令。 命令执行完成后，请根据提示输入新的口令。 说明 “user”为登录用户名。 MySQL数据库 1. 登录MySQL数据库。 2. 执行以下命令，查看数据库用户密码。 SELECT user, host, authenticationstring From user; 部分MySQL数据库版本可能不支持以上查询命令。 若执行以上命令没有获取到用户密码信息，请执行命令。 SELECT user, host password From user; 3. 执行以下命令，根据查询结果及弱密码告警信息，修改具体用户的密码。SET PASSWORD FOR '用户名 '@ '主机 'PASSWORD( '新密码'); 4. 执行以下命令，刷新修改的密码信息。flush privileges ； Redis数据库 1. 打开Redis数据库的配置文件redis.conf。 2. 执行以下命令，修改弱口令。requirepass; 若已存在登录口令，则将其修改为复杂口令。 若不存在登录口令，则添加为新口令。 说明 “password”为登录口令。 Tomcat 1. 打开Tomcat根目录下的配置文件“conf/tomcatuser.xml”。 2. 修改user节点的password属性值为复杂口令。

本页介绍了分布式融合数据库HTAP的创建实例流程。 详细的创建实例过程能够帮助您更好的开始使用天翼云分布式融合数据库HTAP产品。 操作场景 本节将介绍分布式融合数据库HTAP的创建实例过程。 分布式融合数据库HTAP支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的数据库实例。 注意事项 分布式融合数据库HTAP的性能，取决于用户订购分布式融合数据库HTAP时所选择的配置。可供用户选择的硬件配置为性能规格、存储类型以及存储空间等。 操作步骤 1. 登陆天翼云官网。 2. 选择“产品 > 数据库 > 分布式融合数据库HTAP”，进入分布式融合数据库HTAP 产品详情页面，点击【立即开通】。 3. 进入开通页面，选择或输入实例的相关配置信息。 其中基础配置包括计费模式、区域、引擎类型、版本和可用区，可用区可以选择1个或者3个。 实例规格包括配置模板、性能类型、各节点规格及数量。 配置模板给出了入门配置和标准配置两种建议，您也可以自定义配置。 性能类型有三种，通用型、计算增强型、内存优化型，并可以搭配六代机和七代机使用。 计算节点至少1个，行存节点至少3个，列存节点可以为0个，管理节点固定为3个，监控节点固定为1个。计算节点、行存节点、列存节点可根据需求自定义数量，最大数量不超过50个。 数据备份默认开启，开启数据备份后，至少要添加一个同步节点。若不开启数据备份，则不用添加同步节点。 网络配置包括虚拟私有云、子网、安全组。 数据库设置可以设置实例名称，如果批量订购多个实例，从第二个实例开始，实例名称1，第三个实例名称2。 购买量包括购买时长、购买数量、是否自动续订，最多可以批量购买50个实例。 最后阅读相关产品协议，确认协议内容，同意则勾选协议。 4. 点击【确认订单】跳转到支付页面，可以看到所需开通实例的配置信息，包括开通页面中所选则的配置信息、购买量、资源池及购买时长，确认支付费用，确认无误后点击【立即支付】。 5. 支付成功后返回订单列表页面，能看到实例状态为 “开通中”。稍等一会后，刷新页面，待实例状态显示“已完成”，创建实例成功。

本章节主要介绍Redis单机实例 DCS Redis单机实例有四个版本选择，Redis3.0、Redis4.0、Redis5.0和Redis6.0。 单机实例特点 1. 系统资源消耗低，支持高QPS 单机实例不涉及数据同步、数据持久化所需消耗的系统开销，因此能够支撑更高的并发。Redis单机实例QPS达到10万以上。 2. 进程监控，故障后自动恢复 DCS部署了业务高可用探测，单机实例故障后，30秒内会重启一个新的进程，恢复业务。 3. 即开即用，数据不做持久化 单机实例开启后不涉及数据加载，即开即用。如果服务QPS较高，可以考虑进行数据预热，避免给后端数据库产生较大的并发冲击。 4. 低成本，适用于开发测试 单机实例各种规格的成本相对主备减少40%以上。适用于开发、测试环境搭建。 总体说来，单机实例支持读写高并发，但不做持久化，实例重启时不保存原有数据。单机实例主要服务于数据不需要由缓存实例做持久化的业务场景，如数据库前端缓存，用以提升数据读取效率，减轻后端并发压力。当缓存中查询不到数据，可穿透至磁盘数据库中获取，同时，重启服务/缓存实例时，可从磁盘数据库中获取数据进行预热，降低后端服务在启动初期的压力。 实例架构设计 DCS的Redis单机实例架构，如下图所示。 说明 Redis3.0不支持定义端口，端口固定为6379，Redis4.0和Redis5.0支持定义端口，如果不自定义端口，则使用默认端口6379。以下图中以默认端口6379为例，如果已自定义端口，请根据实际情况替换。 Redis单机实例示意图 示意图说明： VPC 虚拟私有云。实例的内部所有服务器节点，都运行在相同VPC中。 说明 VPC内访问，客户端需要与实例处于相同VPC，并且配置安全组访问规则。 客户应用 运行在ECS上的客户应用程序，即实例的客户端。 Redis实例兼容开源协议，可直接使用开源客户端进行连接，关于客户端连接示例，请参考2.2 连接实例。 DCS缓存实例 DCS单机实例只有1个节点，1个Redis进程。 DCS实时探测实例可用性，当Redis进程故障后，DCS为实例重新拉起一个新的Redis进程，恢复业务。

本文介绍 AIuse 云电脑在接入、凭证管理、资源隔离和文件传输方面的安全建议。 凭证安全 AIuse 云电脑通过 AccessKey 进行调用鉴权。AccessKey ID 和 AccessKey Secret 应作为敏感信息管理。 建议： 不要将 AccessKey Secret 提交到代码仓库。 不要在前端页面或客户端安装包中内置 Secret。 不要在日志、截图或错误信息中输出完整 Secret。 不同项目、环境和任务批次使用不同 AccessKey。 AccessKey 疑似泄露时立即禁用并更换。 权限最小化 AccessKey 应只关联必要的云电脑。对于临时任务、测试任务和生产任务，建议使用不同 AccessKey，并分别控制其可访问资源。 桌面环境隔离 AIuse 云电脑任务运行在云端桌面环境中。为降低任务之间的相互影响，建议： 高风险任务使用独立云电脑。 不同业务线使用不同云电脑。 批量任务按资源池分配桌面。 任务完成后清理临时文件和中间结果。 文件安全 FileSystem 能力可读取和写入云电脑中的文件。业务系统应对可访问路径进行限制，避免误操作系统目录或敏感目录。 建议： 为任务分配独立工作目录。 对输入和输出文件进行命名规范管理。 对临时下载地址设置有效期。 对重要文件写入前进行路径校验。 对任务输出中的敏感数据进行脱敏或加密处理。 截图安全 截图可能包含业务数据、个人信息或系统敏感信息。建议： 仅在必要时保存截图。 对截图设置访问权限和保存期限。 对外共享截图前进行脱敏。 不在公开文档、工单或即时通讯中传播包含敏感信息的截图。

本文整理 AIuse 云电脑接入和使用过程中的常见问题,供开发者、运维人员和业务人员排查参考。 产品与能力 AIuse 云电脑主要解决什么问题？ AIuse 云电脑为 Agent 和自动化系统提供云端桌面执行环境。调用方可以通过 SDK 或 MCP 操作云电脑中的图形界面，并读取或写入文件，从而将 Agent 的决策结果落地到真实桌面任务中。 当前支持哪些接入方式？ 当前重点支持 SDK 和 MCP 两种接入方式。SDK 适合业务系统主动编排任务，MCP 适合支持 MCP 的客户端、Agent 宿主或 IDE 插件调用工具。 是否支持 Browser Use？ 当前可通过 Computer Use 操作云电脑中的浏览器，例如点击、输入、滚动和截图。若需要浏览器专用 API、DOM 操作、标签页管理等能力，请以产品后续发布为准。 是否支持 Mobile Use 或 CodeSpace？ 当前文档不建议将 Mobile Use 或 CodeSpace 作为已发布能力描述。如后续正式开放，可补充独立文档。[待确认] SDK 接入 SDK 安装失败怎么办？ 请检查： 本地网络是否可访问 npm 源。 Node.js 版本是否满足要求。 包名是否与正式发布版本一致。 当前项目是否有包管理器权限或代理限制。 创建会话失败怎么办？ 请检查： AccessKey ID 和 Secret 是否正确。 AccessKey 是否已启用。 AccessKey 是否关联目标云电脑。 desktopCode 是否填写正确。 云电脑是否在线。 为什么需要主动关闭会话？ 会话用于承载一次桌面操作上下文。任务结束后主动关闭会话，有助于释放资源、减少异常占用，并降低后续任务受到影响的概率。 MCP 接入

可信云服务可以通过IAM委托的方式访问其他云服务的资源。可信实体为天翼云服务的IAM委托，包括普通云服务委托和云服务关联委托。本文介绍事件总线EventBridge的服务内联委托。 什么是服务内联委托 在某些场景下，事件总线EventBridge为了完成自身的某个功能，需要获取其他云服务的访问权限，因此，事件总线EventBridge创建了与云服务内联委托，即服务内联委托CtyunAssumeRoleForEventBridge。 使用事件总线EventBridge，系统提供的服务内联委托及其包含的系统权限策略如下： 服务内联委托：CtyunAssumeRoleForEventBridge 系统权限策略：CtyunAssumePolicyForEventBridge CtyunAssumeRoleForEventBridge 服务内联委托CtyunAssumeRoleForEventBridge具有获取访函数列表、函数详情以及调用函数的权限；具有对分布式消息服务Kafka、分布式消息服务RocketMQ、分布式消息服务MQTT与分布式消息服务RabbitMQ的管理员权限；具有专有网络VPC、VPCE的管理员权限。 服务内联委托CtyunAssumeRoleForEventBridge被授予权限策略CtyunAssumePolicyForEventBridge，该权限策略的内容如下： plaintext { "Version": "1.1", "Statement": [ { "Action": [ "cf:inst:InvokeFunction", "cf:inst:GetFunction", "cf:inst:ListFunctions", "KAFKA::", "MQ2::", "mqtt::", "AMQP::", "vpce::", "vpc::" ], "Resource": [ "" ], "Effect": "Allow" } ] } 以下是使用事件总线EventBridge时，需要使用服务内联委托的场景： 建立函数计算规则时，需要委托事件总线EventBridge具有获取访函数列表、函数详情以及调用函数的权限。 建立消息中间件事件源与事件目标时，需要委托事件总线EventBridge具有对分布式消息服务Kafka、分布式消息服务RocketMQ、分布式消息服务MQTT与分布式消息服务RabbitMQ的管理员权限。 建立网络端点时，需要委托事件总线EventBridge具有专有网络VPC、VPCE的管理员权限。

本节介绍天翼AI云电脑快速体验OpenClaw、配置QQ主流即时通讯软件,以及OpenClaw的典型场景介绍。 快速体验OpenClaw 新用户限时免费体验 存量用户切换镜像体验 接入飞书、钉钉、QQ等主流即时通讯软件 配置飞书 配置钉钉 配置QQ 配置微信 配置量子密信 完整指南 典型场景 上传小龙虾使用案例 快速体验OpenClaw 新用户限时免费体验 1. 微信小程序搜索“天翼AI云电脑”、扫描小程序二维码、云电脑APP，免费领取AI云电脑小龙虾openclaw助手； 2. 支持Ubuntu、Windows、妙逸AIOS，每个用户仅限领取一次； 3. 教程链接：++