为满足数据的持久化需求，CCE支持将云硬盘挂载到容器中。通过云硬盘，可以将存储系统的远端文件目录挂载到容器中，数据卷中的数据将被永久保存，即使删除了容器，数据卷中的数据依然保存在存储系统中。 CCE挂载云硬盘存储卷 云硬盘存储说明 您可以像使用传统服务器硬盘一样，对挂载到服务器上的块存储（硬盘）做格式化、创建文件系统等操作。 数据不共享：每台服务器使用独立的块存储（硬盘），多服务器之间数据隔离。 私有网络：数据访问必须在数据中心内部网络中。 单卷容量有限（TB级），但性能极佳（IO读写时延ms级），主要面向数据库，企业办公应用等场景。 适用于供单实例部署的无状态负载（Deployment）和普通任务（Job），以及有状态工作负载（StatefulSet）的每个实例独占式使用。

本文主要介绍物理机故障时,弹性云主机是否会自动恢复 弹性云主机在物理机故障时，可以自动恢复。 弹性云主机运行在物理机上，虽然提供了多种机制来保证系统的可靠性、容错能力和高可用性，但是，服务器的硬件、电源等部件仍有较小概率的损坏。如果物理设备的损坏导致物理机电源无法正常工作或重启，会导致CPU和内存数据丢失，无法进行热迁移来恢复弹性云主机。 云平台默认提供了自动恢复功能，以冷迁移的方式重启弹性云主机，使弹性云主机具备高可靠性和强大的动态迁移能力。当弹性云主机所在的硬件出现故障时，系统会自动将弹性云主机迁移至正常的物理机，保障您受到的影响最小，该过程会导致云主机重启。 您可以在云监控服务控制台为弹性云主机开启“一键告警”功能，以便在HA发生（弹性云主机所在的物理机出现故障，系统自动迁移弹性云主机至正常的物理机）时，及时获得通知。 说明 自动恢复功能不保证用户数据的一致性。 仅支持物理主机故障产生的弹性云主机自动恢复，弹性云主机本身故障当前不支持自动恢复。 弹性云主机所在的物理主机关机后，才能执行自动恢复。如果物理主机内存故障等因素导致物理主机未关机，则不能执行自动恢复。 对于同一弹性云主机，如果发生物理主机故障，12小时内仅允许1次自动恢复操作。 如下场景时，可能会引起自动恢复弹性云主机失败： 系统发生大规模故障，导致迁移弹性云主机前，找不到可用的物理主机。 迁移弹性云主机时，用于迁移的物理主机临时容量不足。 对于包含如下特殊资源的弹性云主机，暂不支持自动恢复功能： 本地盘

本章节介绍网关扩容功能 概述 节点扩容可以满足业务规模增长的需求；云原生网关目前支持高可用版的节点扩容，基础版不支持扩容能力；扩容的大概过程如图所示，集群扩容后，将更新ELB与网关实例的绑定关系，在此过程中，通过ELB作负载均衡来实现无损节点扩容。 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 选择需要扩容 的实例 ，点击扩容，跳转扩容订单页； 实例信息部分展示变更前实例原有的基本信息 实例扩容部分为变更后的总节点数 5. 在实例扩容栏目， 选择新节点数 ，提交订单，完成付款； 新节点表示实例扩容完成后集群具有的总节点数 6. 返回微服务引擎MSE控制台，单击左侧导航栏云原生网关 > 网关列表 ； 7. 查看实例当前状态（扩容中） ，此时实例不可进行路由等资源的配置，但不影响已有路由转发； 8. 扩容完成后， 实例状态恢复为正常 ，实例可以正常访问； 9. 查看实例基本信息，实例节点数、连接信息都已经更新完成；

此小节介绍云堡垒机应用场景。 任何企业都需要安全运维管理和审计，故任何企业都需要云堡垒机。云堡垒机能适用于各种企业运维场景，特别针对企业员工数量复杂、企业资产数量繁杂、人员运维权限交叉、企业运维方式多样等场景。 严要求的审计合规场景 例如保险和金融行业，具有大量个人信息数据和金融资金操作行为，以及大量第三方机构代为运作，可能存在巨大违规操作、滥用职权等非法运作风险。 通过在云上部署云堡垒机系统，单点登录入口，集中管理账户和资源，部门权限隔离，核心资产多人审核授权，敏感操作二次复核授权，健全的运维审计机制，能够为高风险行业提供严要求审计功能，满足行业监管要求。 高效稳定的运维场景 例如极速发展的互联网企业，大量经营数据等敏感信息，暴露在公网，且由于服务高度公开，存在高度数据泄露风险。 云堡垒机在远程运维过程中，隐藏资产真实地址，解决远程运维资产信息暴露问题。同时提供全面的运维日志，为审计运维和代运维人员的操作行为，提供有效监控，减少网上安全事故，助力企业长久稳定发展。 大量资产和人员管理场景 随着民生政务和传统企业集团的上云管理，云上人员账户数量不断增加，以及云上服务器、网络设备等资产数量也成倍增涨。同时很多企业为解决人力不足的问题选择把系统运维转交给系统供应商或第三方代维商进行，由于涉及提供商、代维商过多，人员复杂流动性又大，对操作行为缺少监控带来的风险日益凸显。 云堡垒机针对大量用户和大量资产，可海量容纳庞大人员和资源数据，运维人员单点登录，解决运维人员维护多台资产效率低，易出错的问题。同时通过制定细粒度权限控制，资源操作全程记录，可审计全量用户操作行为，并对事故问题进行有效追溯，确保有效定责。此外，系统桌面实时呈现运维全景，并可接收异常行为告警通知，确保人员无法越权操作。

功能类别 功能说明 业务配置 域名（泛域名、一级域名、二级域名等各级域名）/IP防护 WAF支持的防护对象：域名或IP，云上或云下的Web业务。 业务配置 HTTP/HTTPS业务防护 WAF可以防护HTTP/HTTPS业务，通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 业务配置 支持WebSocket/WebSockets协议 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 业务配置 非标端口防护 Web应用防火墙除了可以防护标准的80，443端口外，还支持非标准端口的防护。 Web应用安全防护 Web基础防护 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 全面的攻击防护：支持SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、目录（路径）遍历、敏感文件访问、命令/代码注入、网页木马上传、后门隔离保护、非法HTTP协议请求、第三方漏洞攻击等威胁检测和拦截。 Webshell检测防护：通过上传接口植入网页木马。 识别精准： 内置语义分析+正则双引擎，黑白名单配置，误报率更低。 支持防逃逸，自动还原常见编码，识别变形攻击能力更强。默认支持的编码还原类型：urlencode、Unicode、xml、OCT（八进制）、HEX（十六进制）、html转义、base64、大小写混淆、javascript/shell/php等拼接混淆。 深度检测：深度反逃逸识别（支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme等的防护）。 header全检测：支持对请求里header中所有字段进行攻击检测。 Web应用安全防护 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 Web应用安全防护 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 Web应用安全防护 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 Web应用安全防护 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 Web应用安全防护 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 Web应用安全防护 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 Web应用安全防护 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 Web应用安全防护 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 Web应用安全防护 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 高级设置 PCI DSS/PCI 3DS合规认证和TLS TLS支持TLS v1.0、TLS v1.1和TLS v1.2三个版本和七种加密套件，可以满足各种行业客户的安全需求。 WAF支持PCI DSS和PCI 3DS合规认证功能。 高级设置 连接保护 当502/504请求数量或读等待URL请求数量以及占比阈值达到您设置的值时，将触发WAF熔断功能开关，实现宕机保护和读等待URL请求保护。 高级设置 手动设置网站连接超时时间 浏览器到WAF引擎的连接超时时长默认是120秒，该值取决于浏览器的配置，该值在WAF界面不可以手动设置。 WAF到客户源站的连接超时时长默认为30秒，该值可以在WAF界面手动设置。 高级设置 配置攻击惩罚的流量标识 WAF根据配置的流量标识识别客户端IP、Session或User标记，以分别实现IP、Cookie或Params恶意请求的攻击惩罚功能。 高阶功能 内容安全检测服务 基于丰富的违规样例库和内容审核专家经验，通过机器审核加人工审核结合的方式，帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、违禁等敏感违规内容，并提供文本内容纠错审校，助您降低内容违规风险。 防护事件管理 当Web应用防火墙拦截或者仅记录的攻击事件为误报时，用户可通过Web应用防火墙处理误报事件、查看事件详情。 用户可以通过Web应用防火墙服务下载5天内的全量防护事件数据 告警通知 用户可以通过Web应用防火墙服务对攻击日志进行通知设置。开启告警通知后，Web应用防火墙将仅记录和拦截的攻击日志通过用户设置的接收通知方式发送给用户。 安全可视化 提供简洁友好的控制界面，实时查看攻击信息和事件日志。 策略事件集中配置：在Web应用防火墙服务的控制台集中配置适用于多个防护域名的策略，快速下发，快速生效。 流量及事件统计信息：实时查看访问次数、安全事件的数量与类型、详细的日志信息 灵活性、可靠性 多区域多集群部署，支持负载均衡，可在线平滑扩容，没有单点故障，最大限度保护业务运行稳定。

使用前准备 1.天翼云账号注册：使用应用托管平台须具备天翼云官网账号。已有天翼云账号的直接登录即可，如无天翼云账号需先注册，注册流程可参考：注册账号。 2. 使用前提 （1）如需使用服务请先完成实名认证，请参考账号中心实名认证。 （2）如需使用按需服务，请确认账号余额≥100 元。 部署OpenClaw应用 步骤一：获取大模型API Key OpenClaw需要调用大模型能力，这里使用天翼云息壤模型推理服务。 1.访问天翼云息壤模型推理服务。 2.点击左侧菜单【服务接入】进入服务接入页面，点击【创建服务组】按钮，在创建服务组页面中选择“DeepSeekV3.2（正式版）”，提交表单。（新用户免费额度为2500万tokens，体验时间为2周） 3. 回到【服务接入】页面，复制您的 APP Key 以供使用。 步骤二：订购并部署 OpenClaw 应用 1. 登录应用托管控制台，选择左侧菜单【应用市场】，点击进入对应页面。 2. 在应用市场页面，选择目标应用，点击【开启应用】，进入应用部署页面。 3. 填写获取的天翼云息壤模型推理服务APP KEY（填入息壤APIKEY），设置OpenClaw的网关密码（用于连接OpenClaw网关），选择访问策略，勾选同意用户协议，点击【部署应用】，即可完成OpenClaw应用服务部署。 访问策略：访问策略为服务的公网访问提供安全防护。应用需选择配置白名单访问策略（不支持黑名单访问策略），且白名单内IP数不超过10个，如没有可用的策略请新建。 白名单配置：点击【访问策略】注释行【去新建】，或直接在【应用访问策略】选择策略信息进行操作，编辑白名单配置，将您的IP地址添加到IP地址/网段，并点击确认即可（见下图）。 获取出口 IP 操作指引：可在官网文档【用户指南应用访问策略访问策略管理】中查看。 重要：建议开启白名单策略防护，避免公网全面暴露带来安全风险。 4.提交表单后进入应用实例列表页面，点击操作栏【访问】按钮，点击下拉访问链接，进入OpenClaw使用界面。

本文介绍WAF针对DeepSeek安全防护场景提供的Web防护方案。 背景介绍 随着人工智能技术的快速发展，很多企业选择在GPU云主机或GPU裸金属上搭建DeepSeek私有化服务，在这个过程中，用户不仅享受到了强大的AI算力资源，同时也面临着复杂的网络威胁，如DDoS攻击、SQL注入、跨站脚本（XSS）等。 为了保障AI算力资源、训练数据及服务API链路的安全性，部署Web应用防火墙成了必不可少的安全举措。Web应用防火墙支持多种定制化的安全防护策略，帮助企业有效应对各种网络威胁，确保DeepSeek服务的稳定运行，保障DeepSeeK安全性。 DeepSeek安全防护场景示意图 在DeepSeek Web安全防护场景中，用户的DeepSeeK服务部署在GPU云主机或GPU裸金属上，WAF作为前端的安全网关，负责过滤所有进入的流量。通过WAF的定制化规则和先进的内容检测引擎，恶意流量被有效拦截，确保AI算力资源和训练数据的安全。 安全风险及应对方案 风险名称 风险描述 WAF应对方案 相关文档 Web UI漏洞 Open WebUI 0.1.105版本存在文件上传漏洞，ComfyUI多个插件存在安全漏洞。部署大模型过程中，通常会使用大模型自带的WebUI组件，开源的Web UI组件以及老旧的版本，为大模型的部署和应用带来了巨大的入侵风险。 开启WAF的Web攻击防护功能，为Web UI提供必要的安全防护能力。 Web基础防护 企业敏感信息泄露 企业利用私有数据进行数据训练时，私有数据可能包含商业敏感信息，存在数据泄露风险。 根据企业机密信息内容，通过WAF精准访问控制功能，对敏感信息进行检测拦截，保障企业数据安全。 精准访问控制 大模型输入输出内容违规 私有化大模型输入输出内容可能涉及政治、赌博、色情、违法犯罪等违规内容，影响企业声誉。 通过WAF敏感信息防泄漏功能，自动屏蔽违规内容，保障企业声誉安全。 防敏感信息泄露 应用层CC攻击及API互联网暴露风险 由于多用户同时使用或单用户对大模型API接口的频繁调度导致大模型token被大量占用，服务器繁忙无法为用户提供正常服务；大模型API接口的暴露，会为用户的API接口带来安全风险。 采用WAF的CC防护限速功能，保证大模型连续可用性；建设API安全监测与分析能力，降低因API漏洞造成的安全风险。 CC防护 API安全

云堡垒机支持哪些登录资源方式？ 云堡垒机支持设置“自动登录”、“手动登录”或“提权登录”三种登录方式访问目标资源，此外还支持批量登录资源功能。 自动登录 在新建资源时选择“自动登录”方式，并配置资源账户名和密码，托管主机或应用资源的账户和密码。 运维人员访问资源时，无需输入资源的账户和密码，在“主机运维”或“应用运维”页面单击“登录”，即可成功自动登录到目标资源实现运维。 Edge类型应用资源不支持配置“自动登录”。 SSH协议类型主机资源配置SSH Key后，需优先使用SSH Key登录。 手动登录 在新建资源时选择“手动登录”方式或选择“以后添加”账户，生成“[Empty]”资源账户，即未配置主机或应用账户名和密码。 运维人员访问资源时，需要输入主机或应用的账户名和相应密码登录资源。 提权登录 纳管资源创建了“特权账户”，普通资源账户可设置提权登录。 运维人员访问资源时，通过普通资源账户登录，将自动切换到提权的资源账户，此时普通资源账户可拥有提权后账户的访问操作权限。 批量登录 在“主机运维”页面，运维人员可以选择多个主机资源，单击左下方“批量登录”，在一个运维页面登录多个不同协议类型主机资源，并可以在一个运维页面切换资源，方便运维人员运维操作，提高运维效率。 “批量登录”不支持登录FTP、SFTP、SCP、DB2、MySQL、Oracle、SQL Server协议类型主机资源，以及配置了“手动登录”或“双人授权账户”的主机资源。 如何创建运维协同会话？ 云堡垒机系统Web运维“协同分享”功能，支持通过分享URL，邀请系统其他用户共同查看同一会话，并且参与者在会话控制者批准的前提下可对会话进行操作，可应用于远程演示、对运维疑难问题“会诊”等场景。 创建协同分享前，需确保云堡垒机与资源主机网络连接正常，否则受邀用户无法加入会话，且邀请人会话界面上报连接错误，提示“由于服务器长时间无响应，连接已断开，请检查您的网络并重试（Code：T514）”。 邀请URL链接可复制发送给多个用户，拥有该资源账户策略权限的用户才能正常打开链接。 受邀用户需在链接有效期前或会话结束前才能有效加入会话。

昆明 203.176.94.86 iam.cnynkm1.ctyun.cn 203.176.94.86 vpc.cnynkm1.ctyun.cn 203.176.94.86 ecs.cnynkm1.ctyun.cn 203.176.94.86 ims.cnynkm1.ctyun.cn 203.176.94.86 evs.cnynkm1.ctyun.cn 华北 名称：自定义云环境名称 区域ID：cnnorth1 ECS节点：ecs.cnnorth1.ctyun.cn IAM节点：iam.cnnorth1.ctyun.cn IMS节点：ims.cnnorth1.ctyun.cn VPC节点：vpc.cnnorth1.ctyun.cn EVS节点：evs.cnnorth1.ctyun.cn SMS节点：填写安装RDA的服务器IP地址和SMS插件的启动端口。格式为：IP地址:启动端口，例如：127.x.x.x:xxxxx Agent桶域名：smsagent21rda.obs.cngz1.ctyun.cn Linux代理镜像：0d1fe1fa61c0419ca42a44486acb98b6 Linux自动创建BIOS镜像：76d71bd9c46d42b49335c6a09fddb4f5 Linux自动创建UEFI镜像：76d71bd9c46d42b49335c6a09fddb4f5 Windows代理BIOS镜像：c46d40aff1c348f58b1e36924e5baf79 hosts配置： 华北 42.123.120.53 iam.cnnorth1.ctyun.cn 42.123.120.53 vpc.cnnorth1.ctyun.cn 42.123.120.53 ecs.cnnorth1.ctyun.cn 42.123.120.53 ims.cnnorth1.ctyun.cn 42.123.120.53 evs.cnnorth1.ctyun.cn

本文介绍如何通过高性能计算集群控制台快速创建集群。 前提条件 已创建为集群部署使用的虚拟私有云VPC和子网； 已创建协议类型NFS的弹性文件服务或海量文件服务，创建文件服务时，请选择上述VPC。 创建集群所在地域有足够的实例配额、库存以及用户配额。 操作步骤 1. 登录高性能计算集群控制台，在概览页点击右上角“创建集群”。 2. 配置集群 基础配置 配置项 说明 模版 选择基础版和大模型精简版： 基础版：基础集群服务 大模型精简版：大模型精简模板，快速部署集群环境 计费说明 选择节点的付费类型，可选项如下： 包年包月：按月计费，以自然月为计费单位。 按量付费：一种后付费模式，即先使用再付费。 注：创建集群时所有产品计费方式保持一致。 地域 选择集群所在的地域。 可用区 选择集群所在的可用区。 集群名称 由数字、字母、组成，不能以数字和开头、以结尾，且长度为220字符。 网络配置 配置项 说明 虚拟私有云 1.选择集群所在的虚拟私有云。 2.可跳转至虚拟私有云控制台创建新VPC。 安全组名称 1.安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同防护需求的节点提供安全访问策略。 2.集群在创建时为您自动创建安全组，为保证集群的正常使用请勿随意修改、删除安全组。 3.安全组名称由数字、字母、中文、、组成，不能以数字、和开头，长度232个字符。 存储配置 注：若选择基础版无需配置，大模型精简版可配置存储项。 配置项 说明 文件服务 选择文件服务类型，可选项如下： 1. 暂不使用：暂不使用文件服务。 2. 自动分配：创建新的文件服务， 3. 子网：选择文件服务的子网； 4. 文件名称：只由数字、字母、中文、、组成，不能以数字、和开头，长度2255个字符。 5. 存储类型：支持选择不同的存储类型。 6. 协议类型：请选择NFS协议。 7. 容量：选择文件服务存储容量。 8. 使用已有：下拉框选择已有文件服务。 3.配置节点 若选择基础版只需配置节点，大模型精简版需配置管理节点和计算节点。 配置项 说明 节点来源 选择扩容节点的来源。可选项如下： 1. 新增节点：从控制台新购资源。 2. 已有节点：从已开通的资源里纳管至集群。 管理节点规格 选择管理节点的规格。 注：创建集群时计算节点的计费方式与管理节点一致。 镜像 选择管理节点的镜像。 管理节点磁盘 选择管理规格所对应的磁盘。 子网 选择子网，建议同一个队列保持子网一致。 1. 普通子网可绑定云主机与弹性裸金属，标准裸金属子网仅限用于绑定标准裸金属，后台已根据您所选的规格为您自动过滤子网类型。 2. 可跳转至子网控制台创建子网。 登录方式 默认选择密码。 用户名 默认为root。 密码/确认密码 该密码为集群管理节点的密码，集群部署完成后，管理节点的root用户可通过ssh免密访问各计算节点。 配置项 说明 计算节点规格 选择计算节点的规格。 计算节点硬盘 选择计算规格所对应的磁盘。 根据需求选择计算节点的云硬盘类型和容量。 镜像 选择计算节点的镜像。 注：该镜像为弹性高性能计算平台定制镜像，请优先保持集群同一镜像。 子网 1.选择子网，建议同一个队列保持子网一致。 2.普通子网可绑定云主机与弹性裸金属，标准裸金属子网仅限用于绑定标准裸金属，后台已根据您所选的规格为您自动过滤子网类型。 计算节点数量 选择该队列下的计算节点数量。 4.确认配置 在确认配置页面，确认集群配置和资源详情，并在最后勾选服务协议，点击“确定购买”完成创建。 创建集群和部署环境需要一段时间，待概览页集群状态为可用运行中，则表示该集群已创建成功。

本文介绍如何通过高性能计算集群控制台快速创建集群。 前提条件 已创建为集群部署使用的虚拟私有云VPC和子网； 已创建协议类型NFS的弹性文件服务或海量文件服务，创建文件服务时，请选择上述VPC。 创建集群所在地域有足够的实例配额、库存以及用户配额。 操作步骤 1. 登录高性能计算集群控制台，在概览页点击右上角“创建集群”。 2. 配置集群 基础配置 配置项 说明 模版 选择基础版和大模型精简版： 基础版：基础集群服务 大模型精简版：大模型精简模板，快速部署集群环境 计费说明 选择节点的付费类型，可选项如下： 包年包月：按月计费，以自然月为计费单位。 按量付费：一种后付费模式，即先使用再付费。 注：创建集群时所有产品计费方式保持一致。 地域 选择集群所在的地域。 可用区 选择集群所在的可用区。 集群名称 由数字、字母、组成，不能以数字和开头、以结尾，且长度为220字符。 网络配置 配置项 说明 虚拟私有云 1.选择集群所在的虚拟私有云。 2.可跳转至虚拟私有云控制台创建新VPC。 安全组名称 1.安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同防护需求的节点提供安全访问策略。 2.集群在创建时为您自动创建安全组，为保证集群的正常使用请勿随意修改、删除安全组。 3.安全组名称由数字、字母、中文、、组成，不能以数字、和开头，长度232个字符。 存储配置 注：若选择基础版无需配置，大模型精简版可配置存储项。 配置项 说明 文件服务 选择文件服务类型，可选项如下： 1. 暂不使用：暂不使用文件服务。 2. 自动分配：创建新的文件服务， 3. 子网：选择文件服务的子网； 4. 文件名称：只由数字、字母、中文、、组成，不能以数字、和开头，长度2255个字符。 5. 存储类型：支持选择不同的存储类型。 6. 协议类型：请选择NFS协议。 7. 容量：选择文件服务存储容量。 8. 使用已有：下拉框选择已有文件服务。 3.配置节点 若选择基础版只需配置节点，大模型精简版需配置管理节点和计算节点。 配置项 说明 节点来源 选择扩容节点的来源。可选项如下： 1. 新增节点：从控制台新购资源。 2. 已有节点：从已开通的资源里纳管至集群。 管理节点规格 选择管理节点的规格。 注：创建集群时计算节点的计费方式与管理节点一致。 镜像 选择管理节点的镜像。 管理节点磁盘 选择管理规格所对应的磁盘。 子网 选择子网，建议同一个队列保持子网一致。 1. 普通子网可绑定云主机与弹性裸金属，标准裸金属子网仅限用于绑定标准裸金属，后台已根据您所选的规格为您自动过滤子网类型。 2. 可跳转至子网控制台创建子网。 登录方式 默认选择密码。 用户名 默认为root。 密码/确认密码 该密码为集群管理节点的密码，集群部署完成后，管理节点的root用户可通过ssh免密访问各计算节点。 配置项 说明 计算节点规格 选择计算节点的规格。 计算节点硬盘 选择计算规格所对应的磁盘。 根据需求选择计算节点的云硬盘类型和容量。 镜像 选择计算节点的镜像。 注：该镜像为弹性高性能计算平台定制镜像，请优先保持集群同一镜像。 子网 1.选择子网，建议同一个队列保持子网一致。 2.普通子网可绑定云主机与弹性裸金属，标准裸金属子网仅限用于绑定标准裸金属，后台已根据您所选的规格为您自动过滤子网类型。 计算节点数量 选择该队列下的计算节点数量。 4.确认配置 在确认配置页面，确认集群配置和资源详情，并在最后勾选服务协议，点击“确定购买”完成创建。 创建集群和部署环境需要一段时间，待概览页集群状态为可用运行中，则表示该集群已创建成功。

本章节为您介绍容器审计的相关内容。 容器审计概述 什么是容器审计？ 容器审计功能支持对容器集群中的各种操作和活动进行监控和记录，可帮助用户洞察容器生命周期的各个阶段，包括创建、启动、停止和销毁等。用户通过审计和分析，可以及时发现并处理安全问题，从而确保容器集群的安全性、稳定性。 支持的审计类型 集群容器：K8s审计日志、K8s事件、容器日志、容器运行指令。 非集群容器：容器日志、容器运行指令。 SWR镜像仓：镜像仓日志。 应用场景 容器环境异常事件排查分析：当容器环境出现异常操作或活动时，可通过容器审计日志定位异常事件发生时间和行动轨迹，从而总结出解决办法。 约束与限制 集群容器或非集群容器已开启容器版防护。 使用说明 完全启用容器审计功能，需满足以下条件： 1. 集群容器或非集群容器已接入HSS并开启容器版防护。 2. 完成部分审计类型的审计前提操作，具体如下表所示。 对象 审计类型 审计前提 云CCE集群 K8s审计日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 K8s审计事件 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 容器日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 SWR私有镜像仓库 镜像仓日志审计 您使用了容器镜像服务SWR，并授予了HSS云审计服务的操作权限（CTSOperatePolicy）。 启用容器审计后，集群内的各类操作和活动日志将记录在HSS控制台，供您查看。

子网间是否可以通信？ 子网是属于VPC的资源，一个VPC内的子网默认可以进行通信，不同VPC的子网默认不能进行通信，可以通过创建对等连接使不同VPC的子网通信。 说明： 若子网关联了网络ACL，需先放通网络ACL。 子网可以使用的网段是什么？ 子网的网段要在VPC的网段内部，VPC提供三段私网网段，10.0.0.0/8～24、172.16.0.0/12～24和192.168.0.0/16～24，子网的网段须在这些范围内，且子网的掩码范围为子网所在VPC掩码~29。 子网被相关资源占用时，会导致无法删除子网，如何排查相关资源？ 虚拟私有云允许您创建私有、隔离的虚拟网络环境。在虚拟私有云中，可以对私有IP地址范围、子网和网络网关等进行控制。弹性云服务器、裸金属服务器、数据库和部分应用等会在虚拟私有云中创建的安全网络。 子网被相关资源使用时，无法删除子网。 您可以通过控制台首页查看帐户下所有资源，根据子网信息排查各资源是否在待删除的子网中。先删除子网中的全部资源，再删除子网。 可参考以下常用的资源实例进行排查，具体请以帐户下资源为准。 弹性云服务器 裸金属服务器 RDS实例 弹性负载均衡器 VPN 私有IP地址 自定义路由 NAT网关 终端节点与终端节点服务

对比 项 一次性备份 周期性备份 备份策略 不需要 需要 备份次数 手动执行一次性备份 根据备份策略进行周期性备份 单次可备份的云硬盘数目 1个 无限制由服务器性能决定 备份名称 支持自定义 系统自动生成 建议使用场景 云主机进行操作系统补丁安装、升级，应用升级等操作之前，以便安装或者升级失败之后，能够快速恢复到变更之前的状态。 云主机的日常备份保护，以便发生不可预见的故障而造成数据丢失时，能够使用邻近的备份进行恢复。

本节介绍如何接入安全产品的日志、告警。 开通云安全中心实例后，系统默认会接入部分日志数据并对用户进行初始化配置。您可以根据自己的业务特性修改初始化配置。 在云安全中心的集成配置页面，选择需要接入的日志类型。部分日志支持直接转告警，可以直接打开转告警开关，云安全中心会根据内置转告警规则进行转告警配置。 前提条件 已购买云安全中心实例，具体操作请参见购买云安全中心实例。 已购买天翼云上的安全服务“Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版、云防火墙（原生版）”并部署在天翼云上。 操作步骤 1. 登录云安全中心控制台。 2. 在左侧导航栏，选择“设置 > 数据源监控”，打开数据源监控页面。 3. 在操作列点击“启用”，确保数据源监控处于启用状态。 4. 在左侧导航栏，选择“设置 > 集成配置”，打开数据集成配置页面。 5. 选择需要接入的日志，并打开日志接入开关。 6. 选择需要转告警的日志，并打开自动转告警的开关。 说明 系统默认会接入部分日志，用户如有需要，可以自行关闭。 需要先在数据源监控页面启用开关后，才可以在集成配置页面中开启日志和告警配置。 选择需要接入的日志时，只能针对您已经购买的云产品。 选择需要转告警的日志，只能针对已经选择接入的日志进行。

可视化大屏服务为客户提供网站整体安全状况的可视化大屏分析，实时展示网站安全运营情况。 glmoscodeexplain 如何开通可视化大屏服务？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 如果使用可视化大屏服务？ 客户如果购买了态势感知大屏服务，可以在控制台查看实时的安全态势感知服务。安全态势感知服务根据客户维度，实时展示客户业务整体的攻击情况，主要包括：攻击来源IP、攻击 TOP URL、攻击域名TOP排行、攻击类型分布、攻击类型趋势、攻击来源TOP排行、攻击趋势和滚动式的安全威胁信息等。具体功能介绍详见：态势感知 注意 暂时不支持单独退订可视化大屏服务，如果需要单独退订，请

对OpenClaw云主机进行备份保护,可快速恢复至已有备份时间点,保障数据安全可靠。 云主机备份配置入口 点击Openclaw应用详情页，可查看点击“备份”页签查看云主机备份配置。 说明 仅服务器类型为云主机时，支持云主机备份相关配置 创建立即备份（一次性备份） 前提条件 云主机的状态为“运行中”或“已关机”。 云主机上挂载的云硬盘状态为“已挂载”或“未挂载”。 已创建至少一个存储库，且存储库的状态为“可用”。 使用须知 如果备份的云硬盘为加密云硬盘，则云主机备份会自动继承加密属性，创建加密的备份副本。 操作步骤 点击备份副本列表上方的“立即备份”，对云主机进行备份。 确认配置参数无误后，点击“确定”，返回备份页签页面，在备份副本列表中，您可查看备份创建的状态，待状态变为“可用”时，则表示备份创建完成。 数据恢复 方式一 使用备份恢复云主机 约束与限制 云主机备份通常支持将整个云主机（包括系统盘和所有数据盘）作为一个整体进行备份和恢复，因此备份会包含所有挂载在云主机上的云硬盘数据。目前备份系统不支持对云主机中的部分云硬盘进行备份和恢复操作。 云主机备份不支持将数据盘数据恢复到系统盘中。 仅“可用”状态的备份允许恢复。

创建新模板 1. 如没有可用的模板或版本，请选择获取模板方式为 创建新模板 2. 平台将自动为您生成模板名称，支持修改 3. 在模板内容部分，请先新增一个.tf文件，建议将文件命名为“main.tf”。您可继续添加多个文件、文件夹对您的模板进行结构化定义 4. 在文件中按照 terraform语法 定义各类云资源（例如弹性云主机、虚拟私有云、弹性IP等）的增删改查语句 5. 您在此编辑的模板内容，提交后将被保存为一个新模板 步骤2 配置参数 1. 请在步骤2完成模板和资源栈的参数配置，具体见表格。 参数 是否必填 参数说明 参考样例 加密敏感参数 否 1. 如果您在模板中设置参数的“sensitive”值为“true”，平台将支持为您加密敏感参数。 2. 资源编排将使用天翼云云产品 密钥管理服务 对您的敏感参数（参数的“sensitive”值为“true”）进行加密，密钥管理服务会创建默认密钥“ros”。 如果您确认授权，请单击确认授权，继续操作，ROS将使用密钥管理服务为您设置了“sensitive”值为“true”的参数进行加密保存。 如果您不希望授权，请单击取消加密，继续操作，ROS将不再为您加密保存“sensitive”值为“true”的参数。 该默认密钥免费，请放心使用。 配置模板参数 否 如果模板中定义了自定义变量，您还需要完成变量配置，变量的配置需要符合模板中定义的校验规则。 模板示例 企业项目 是 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 指定的企业项目会传递给资源栈内所有资源，该设置会在下次部署时生效。 注意：资源栈暂不支持设置企业项目，企业项目仅会传递给资源栈内所有资源 default 资源并发量 否 指单次部署可同时变更的资源数量上限 如需提升配额，请提交工单处理 10 失败时回滚 否 默认不开启。开启失败时回滚，将在资源创建失败时，删除已成功创建的资源，资源栈回滚至上一次部署成功的状态。 不开启 删除保护 否 默认不开启。删除保护打开时，将无法手动删除资源栈，需手动关闭该配置后才可继续删除。 不开启 跳过资源预检 否 默认不开启。开启跳过资源预检，将在部署/创建执行计划/删除/回滚时跳过资源最新配置检查(refresh)，直接按模板执行，可提升操作速度 若资源曾被控制台等非 ROS 渠道修改过，开启该功能可能导致部署结果偏离预期，需谨慎操作。建议仅在资源完全由 ROS 托管、不脱离ROS控制台操作时开启。 不开启 2. 提交表单时，推荐选择单击创建执行计划，此时您还需要补充以下执行计划信息。 执行计划是一套资源栈配置的记录。部署资源栈前，您可通过浏览执行计划，提前评估部署动作对于当前资源的整体影响。 参数 是否必填 参数说明 参考样例 执行计划名称 是 自动填充默认值。 最长可输入128字符。 仅允许输入中英文、数字、下划线和中划线，且必须以字母或中文开头。 executionPlan202509281713sokRRg 执行计划说明 否 可简要说明资源栈的更新内容，最长可输入255字符 批量创建5台云主机 单击确认 ，平台将创建一个执行计划，待执行计划状态由“创建中”跳转为“创建成功，待部署”后，您可继续部署资源栈。部署资源栈前，您可在执行计划详情中，确认资源变更、价格变更、模板变更内容后，再部署资源栈。 3. 提交表单时，您还可选择单击 直接部署资源栈 ，此时平台将直接部署资源栈，而不会创建执行计划，即不会记录您本次部署的变更内容。此时您可在资源栈详情的事件页面 查看部署状态。部署资源栈请参考部署资源栈。 注意：直接部署将会立即创建资源并产生相关费用，该操作为危险操作，不建议执行，请谨慎确认后再操作。 4. 提交表单后，您可以在新创建的资源栈详情的事件列表中查看创建和部署进度 5.

本文介绍基于NAT网关和云专线的混合云Internet加速的操作实践。 使用背景 用户通过专线已连接到天翼云VPC的IDC，自身无internet或希望统一线上线下公网出口，可以选择使用天翼云NAT网关作为统一公网出口，实现混合云Internet加速。 方案优势 节省成本：云上云下多台服务器，可以通过NAT网关功能共用同一弹性IP，可以有效降低成本。 配置简单，即开即用：NAT网关关联的弹性IP可以根据需求调整带宽大小，以适应应用流量变化的需求。 安全高效：云专线提供云上云下高速、低时延、稳定安全的专属连接通道，结合NAT网关的SNAT和DNAT功能，可满足各类用户带宽需求。 方案涉及产品 VPC，NAT网关，弹性IP，云专线 方案架构 本方案网络拓扑架构如图所示 实现方式如下： 1. 通过云专线将用户IDC与VPC连通。 2. 在VPC中搭建公网NAT网关，连通Internet。 操作步骤 步骤一：创建云上VPC环境 配置云专线需要做好云上VPC和本地数据中心的网段规划，确保云上VPC网段和本地IDC网段没有冲突或重叠。 具体操作步骤参见虚拟私有云创建VPC、子网搭建私有网络。

前提条件 已获取管理控制台的登录账号与密码。 已购买至少一个弹性公网IP（Elastic IP，EIP）。 注意 一个弹性公网IP只能绑定一个云资源使用，云堡垒机绑定的弹性IP不能与其他云资源共用。 购买步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 单击右上角的“购买堡垒机”，进入产品订购页。 4. 配置“云堡垒机实例”相关参数，参数说明如下。 参数 说明 计费模式 实例计费模式，仅支持“包年/包月”模式。 包年/包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。 地域/可用区 选择云堡垒机实例应用区域，即提供云堡垒机服务的区域。 建议根据待管理ECS、RDS等服务器上资源的区域选择，可以降低网络时延、提高访问速度。 部署架构 选择新购堡垒机的部署架构，目前支持：通用性x86、鲲鹏ARM、海光X86、飞腾ARM。 实例类型 支持“单机版”和“主备版”。 可用区 实例类型选择“主备版”时，可以分别为主节点和备节点选择不同的可用区。 实例名称 自定义云堡垒机实例名称。 长度为215字符，以字母开头，可包含数字、“.”、“”、“”，不可包含中文。 版本 目前支持“标准版”和“企业版”，各版本支持的功能请参见功能特性。 资产规格 选择需要纳管的资产数，堡垒机在不同资源池版本支持的资产数略有不同，请根据实际需要选择。 支持10/20/50/100/200/500/1000/2000/5000/10000资产规格。 企业项目 选择堡垒机实例所属的企业项目。 说明 订购完成后，企业项目不支持修改。 虚拟私有云 选择当前区域下虚拟私有云（Virtual Private Cloud，VPC）网络。 若当前区域无可选VPC，可单击“查看虚拟私有云”创建新的VPC。 注意 默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 云堡垒机支持直接管理同一区域同一VPC网络下的ECS等资源，通过堡垒机纳管资源后，可直接访问并管理对应的资源。 订购完成后，虚拟私有云不支持修改。 安全组 选择当前区域下安全组，若无合适安全组可选择，可单击“管理安全组”创建或配置新的安全组。 说明 一个安全组为同一个VPC网络内具有相同安全保护需求、并相互信任的堡垒机资源提供访问策略。当云堡垒机加入安全组后，即受到该安全组中访问规则的保护。 云堡垒机可与资源主机ECS等共用安全组，各自调用安全组规则互不影响。 如需修改安全组，请参见更改安全组。 子网 选择当前VPC内子网。 说明 子网选择必须在VPC的网段内。 弹性IP （可选）选择当前区域下EIP。 若当前区域无可选EIP，可单击“购买弹性IP”创建弹性IP。 存储扩容 根据您业务自身的需求选择需要扩容的数据盘大小。 5. 选择“购买时长”，可按月或按年购买云堡垒机。 支持开启“到期自动续费”，当服务到期前，系统会自动按照默认的续订周期生成续费订单并进行续费，无须用户手动续费。 6. 确认参数配置无误后，阅读并同意相关协议，单击“立即购买”。 7. 在支付页面完成付款，返回云堡垒机控制台页面，在“云堡垒机实例”列表下查看新购买的实例。

如何选择云主机的个数 您可以根据您的应用软件所占用的计算资源（CPU、内存等）进行整体汇总，并根据每个云主机可提供的计算资源进行估算，得出需要的云主机的个数。 如何确定专属云中计算服务器（物理服务器）数量？ 您可以在专属云总览页面查看物理机服务器的数量。 专属云中计算服务器数量是否有限制？ 无限制。 云主机是独占的吗？ 是独占的，您享有对物理服务器计算资源的完全使用权，与其他用户完全硬件隔离。 专属云中网络是否隔离？ 对于计算独享和存储独享型场景，网络资源逻辑独享，您可独占VPC，您与其他用户之间的网络相互隔离。 专属云中是否支持物理机服务？ 支持。 专属云中是否可以使用RDS服务？ 支持。 专属云中是否支持专线或VPN接入？ 专属云中支持专线和IPSec VPN接入。 专属云中支持的超 分比是多少 ？ “通用型”专属云为1:3超分，“通用计算增强型”和“内存优化型”专属云不支持超分。 专属云支持HA吗 ？ 若客户只购买1台专属云则不支持HA。若想支持HA，客户需要订购HA预留设备。 同种类型的计算服务器预留HA服务器规则：020台 预留1台，2050台 预留2台，50100台预留3台，100200台预留4台，200+台 预留5台，500+台 预留7台。

态势感知（专业版）与企业主机安全HSS服务的区别。 服务含义区别 态势感知（专业版）是云原生的新一代安全运营中心，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，可以鸟瞰整个云上安全，精简云安全配置、云防护策略的设置与维护，提前预防风险，同时，可以让威胁检测和响应更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 企业主机安全（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机 安全、容器 安全和 网页防篡改 ，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之，态势感知（专业版）是呈现全局 安全态势的服务，HSS是提升主机 和容器安全性的服务。 服务功能区别 态势感知（专业版）通过采集 全网安全数据 （包括HSS、WAF、AntiDDoS等安全服务检测数据），提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 态势感知（专业版）与HSS主要功能区别： 功能项 共同点 不同点 资产安全 主机资产 呈现主机资产的整体安全状态。 态势感知（专业版）：仅支持同步HSS主机资产风险信息，列表呈现各主机资产的整体安全状况。 HSS：不仅支持呈现主机的安全状况，还支持深度扫描主机中的账号、端口、进程、Web目录、软件信息和自启动任务。 资产安全 网站资产 态势感知（专业版）：支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 HSS：不支持该功能。 漏洞管理 主机漏洞 呈现主机漏洞扫描结果，管理主机漏洞。 态势感知（专业版）：仅支持同步HSS主机漏洞扫描结果，管理主机漏洞。 HSS：支持检测Linux漏洞、Windows漏洞、WebCMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 基线检查 云服务基线 态势感知（专业版）：针对云服务关键配置项，从多种风险类别，了解云服务风险配置的所在范围和风险配置数目。 HSS：不支持该功能。 基线检查 主机基线 态势感知（专业版）：不支持该功能。 HSS：针对主机，提供基线检查功能，包括检测复杂策略、弱口令及配置详情，包括对主机配置基线通过率、主机配置风险TOP5、主机弱口令检测、主机弱口令风险TOP5的统计。

平台分布 您可以查看小程序用户访问的平台分布情况，具体包括「小程序平台」和「基础库版本」分布。注意，目前只有小程序应用有「平台分布」模块。

本节介绍了创建私有镜像前云主机需要完成哪些初始化配置的相关内容。 镜像源为云主机或镜像文件 云主机相关配置项 操作系统 相关配置项 参考链接 ::: Windows 设置网卡属性为DHCP 开启远程桌面连接功能 （可选）安装Windows特殊驱动 安装一键式重置密码插件 （可选）安装CloudbaseInit工具 安装Guest OS driver，包括PV driver和UVP VMtools驱动 执行Sysprep操作 通过云主机创建Windows系统盘镜像 Linux 设置网卡属性为DHCP （可选）安装Linux特殊驱动 安装一键式重置密码插件 （可选）安装CloudInit工具 清理网络规则文件 修改grub文件的磁盘标识方式为UUID 修改fstab文件的磁盘标识方式为UUID 安装原生的XEN和KVM驱动 卸载云主机的数据盘 通过云主机创建Linux系统盘镜像 表 镜像文件（用于创建云主机）相关配置项 操作系统 相关配置项 参考链接 Windows 设置网卡属性为DHCP 开启远程桌面连接功能 安装Guest OS driver，包括PV driver和UVP VMtools驱动 （可选）安装CloudbaseInit工具 （可选）开启网卡多队列 （可选）配置IPv6地址 准备镜像文件（Windows） Linux 清理网络规则文件 设置网卡属性为DHCP 安装原生的XEN和KVM驱动 修改grub文件的磁盘标识方式为UUID 修改fstab文件的磁盘标识方式为UUID 清除“/etc/fstab”中非系统盘的自动挂载信息 （可选）安装CloudInit工具 （可选）开启网卡多队列 （可选）配置IPv6地址 准备镜像文件（Linux） 说明： 使用外部镜像文件创建私有镜像时，以上相关步骤操作需要在虚拟机内部完成，强烈建议您在原平台的虚拟机实施修改后，再导出镜像。 使用Windows外部镜像文件创建私有镜像时，关于Guest OS driver，在勾选“进行后台自动化配置”后，云平台会对镜像文件进行检查，如果未添加Guest OS driver，会尽力帮助客户进行自动安装。

本节主要介绍产品功能 云迁移工具RDA主要有以下功能： 信息收集 填写凭证后一键式收集平台、主机等的资源信息 目的端配置推荐 根据发现的资源信息，推荐天翼云配置 数据迁移 主机，对象存储迁移

参数 迁移后的云主机 备注 OS类型 和迁移源端云主机的OS一致 目标端云主机OS被迁移源端云主机OS覆盖。 IP 目标端云主机的IP 迁移后公网IP会变。如果目标端云主机所在VPC下的网段包含源端内网IP时，内网IP可以设置为不变。 用户名 和迁移源端云主机的用户名一致 密码（证书） 用户名、证书、密码都与迁移源端云主机保持一致 数据 数据与迁移源端保持一致，包括文件、应用、配置

本文介绍OpenClaw(原 Clawdbot)安装Skill 技能操作指南。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw 安装Skill技能操作指南内容。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw 的 Skill 技能是平台拓展专属能力的模块，通过安装 Skill 可实现定制化的业务需求与功能拓展。天翼云应用托管环境下的 OpenClaw 支持三种 Skill 安装方式，可分别实现技能商店技能快速安装、控制台手动安装及自定义开发 Skill 部署，以下为详细操作步骤。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

本章节介绍如何进行域名管理配置 关联域名 云原生网关提供域名配置能力，支持配置协议、证书、路由配置。本文介绍如何关联域名。 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 单击左侧导航栏 域名管理 ； 6. 单击左上角按钮 关联域名 ； 7. 在关联域名面板填写域名相关配置，单击左下角确定按钮； 域名配置说明如下： 参数 描述 域名 自定义域名填写，如mse.ctyun.com，同时支持泛域名如.ctyun.com。 协议 支持HTTP和HTTPS协议，HTTPS协议需上传证书。 证书名称 选择HTTPS时填入，自定义填写证书名称。 证书文件 选择HTTPS时需上传证书文件，支持pem、cer, crt, key格式。 私钥文件 选择HTTPS时需上传私钥文件，支持pem、cer, crt, key格式。 结果验证 在域名管理列表页可以查看新关联的域名信息，且状态显示已发布 ，则说明域名关联成功。 变更域名 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 单击左侧导航栏 域名管理 ； 6. 单击域名管理页操作列编辑按钮； 7. 在编辑域名面板编辑协议、证书等信息，单击左下角确定按钮；

本文介绍数据库管理服务为云数据库开启数据库审计功能，帮助您追溯历史所有数据库操作记录，满足您的安全审计需求。 前提条件 用户已录入MySQL、DDS、PostgreSQL与SQL Server类型的云数据库实例。 MySQL、PostgreSQL与SQL Server数据库资源池支持：西南1、华东1、上海36、华北2、长沙42、华南2、南昌5、青岛20、西安7、杭州7。 DDS数据库资源池支持：华东1、上海36、西南1、华北2、华南2。 注意事项 审计日志保留天数默认为1天，可设置范围为1~3天。 开启/关闭数据库审计 平台提供了多种开启/关闭数据库审计的途径： 在左侧导航栏中，单击 数据资产 > 实例管理 ，找到目标实例，在数据库审计列，单击开关按钮进行开启或关闭审计功能。 在左侧导航栏中，单击SQL治理 >SQL审计 ，点击页面的开启审计日志按钮选择目标实例开启审计日志功能。

对OpenClaw云主机进行备份保护,可快速恢复至已有备份时间点,保障数据安全可靠。 云主机备份配置入口 点击Openclaw应用详情页，可查看点击“备份”页签查看云主机备份配置。 说明 1、仅服务器类型为云主机时，支持云主机备份相关配置 2、已支持云主机备份配置的资源池：西南1、武汉41、长沙42、华南2、杭州7、华东1、上海7、拉萨3 创建立即备份（一次性备份） 前提条件 云主机的状态为“运行中”或“已关机”。 云主机上挂载的云硬盘状态为“已挂载”或“未挂载”。 已创建至少一个存储库，且存储库的状态为“可用”。 使用须知 如果备份的云硬盘为加密云硬盘，则云主机备份会自动继承加密属性，创建加密的备份副本。 操作步骤 点击备份副本列表上方的“立即备份”，对云主机进行备份。 确认配置参数无误后，点击“确定”，返回备份页签页面，在备份副本列表中，您可查看备份创建的状态，待状态变为“可用”时，则表示备份创建完成。 数据恢复 方式一 使用备份恢复云主机 约束与限制 云主机备份通常支持将整个云主机（包括系统盘和所有数据盘）作为一个整体进行备份和恢复，因此备份会包含所有挂载在云主机上的云硬盘数据。目前备份系统不支持对云主机中的部分云硬盘进行备份和恢复操作。 云主机备份不支持将数据盘数据恢复到系统盘中。 仅“可用”状态的备份允许恢复。

本节介绍集群联邦概述。 集群联邦 集群联邦基于多云容器编排能力，旨在管理跨云、跨地域场景下的多集群应用，为您提供多集群统一管理、应用部署、服务发现、弹性伸缩、故障迁移等能力。 功能优势 完全兼容Kubernetes原生API，支持从单集群到多集群零改造升级，无缝集成现有Kubernetes工具链生态。 丰富的多集群调度策略：集群亲和性调度、多集群拆分/再平衡调度，多维度的高可用部署，包括多Region、多AZ、多集群、多云供应商 。提供自动化的多集群故障优雅迁移能力，对故障集群实例进行集中式或分散式的迁移，保证服务实例不跌零 多集群流量分发：多集群Service实现跨集群的服务发现和访问。多集群Ingress提供跨集群的负载均衡和流量路由机制，支持自动切流，可自动摘除故障集群上的流量，保障服务的可用性 。 多集群弹性伸缩：基于工作负载的系统指标变动、自定义指标变动或固定的时间周期，实行多集群统一的负载伸缩策略，提升工作负载的可用性和稳定性 。 全域容器智能分析：实时监控应用及资源，采集各项指标及事件等数据以分析应用健康状态，提供多集群统一的全栈监控视图，对业务提供端到端追踪和可视化，提供集群健康诊断能力，缩短问题分析定位时间 。

本文介绍如何通过ELB接入方式将网站接入WAF进行防护。 Web应用防火墙（原生版）支持接入负载均衡（ELB）实例，您可以为使用HTTP或HTTPS监听协议的ELB监听器开启WAF防护。WAF对进入监听器的应用层流量进行检测（不参与流量转发），您可根据自身应用需求设置相应的防护规则。 前提条件 该功能当前处于试用阶段，如需试用请通过天翼云控制台提工单进行申请。 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 实例支持防护的ELB监听器个数未超过配额限制，各个版本支持的配额请参见产品规格。 约束限制 目前仅支持防护性能保障型的负载均衡实例，不支持经典型实例。 目前仅支持为HTTP/HTTPS监听器开启安全防护。 目前仅支持防护“武汉41”区域的ELB监听器。 在WAF控制台开启防护 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到WAF控制台，在左侧导航栏选择“接入管理”，选择“云产品接入”页签。 5. 单击“添加防护对象”进入添加防护对象页面，配置防护对象参数。 配置项 说明 ELB（负载均衡器） 单击“选择ELB（负载均衡器）”，弹出当前所在区域的ELB实例列表，找到目标ELB，单击操作列的“选择”。 监听器 单击“选择监听器”，弹出所选ELB实例下的监听器列表，找到目标监听器，单击操作列的“选择”。 说明 仅支持选择监听协议为HTTP 、HTTPS的监听器。 防护对象名称 防护对象的名称，默认为“ELB名称 :监听器名称”，支持自定义。 域名 （可选）填写所选监听器下的域名，可添加精确域名和泛域名： 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 备注 （可选）防护对象的描述信息，可以自定义。 6. 配置完成后单击“确定”，返回云产品接入页面。 说明 ELB监听器接入WAF后，WAF防护开关默认“开启”，暂不支持在WAF控制台关闭防护。