本节介绍操作手册,方便用户更好使用本产品。 分布式容器云平台用户操作手册.pdf

本节介绍操作手册,方便用户更好使用本产品。 分布式容器云平台用户操作手册.pdf

本小节介绍云下一代防火墙SSL VPN远程拨入最佳实践。 背景信息 用户存在远程拨入运维请求，但未购买天翼云平台SSL VPN服务，可使用云下一代防火墙SSL VPN服务，该服务需单独配置。 前期准备 提供使用SSL VPN人员数量及人员账户信息。 配置流程说明 序号 子流程 配置内容 1 梳理VPN用户及登录密码 梳理内部登录权限 2 创建VPC地址池 【网络】→【VPN】→【SSL VPN】→新建 3 创建用户 【对象】→【用户】→【本地用户】→新建 4 创建隧道接口 【网络】→【接口】→【新建】，编辑安全域及对应地址和链接隧道 5 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置 【策略】→【安全策略】→【新建】，详细配置参考配置安全策略 配置内容 1.配置VPN地址池 打开【网络→VPN→SSL VPN】，进行新建。 新建基本配置起始IP、终止IP、掩码、DNS1。 注意 该地址池是用户拨入VPN后，用户可获取的VPN地址，必须与隧道接口中的地址在同网段，且不能覆盖。 2.VPN用户配置 登录云墙，打开【对象→用户→本地用户→新建→用户】，输入名称、密码、确认密码。 本次配置信息：名称：testuser；密码：123（此名称密码为示例）。 3.配置VPN安全域 打开【网络→安全域】，使用VPN安全域。 4.新建SSL VPN隧道接口。 打开【网络→接口】，新建→隧道接口。 配置接口名称：tunnel10； 安全域：VPNHub； IP地址配置：10.1.1.1/24。 注意 该IP地址是用于VPN登录时的网关地址，一般默认是XX.XX.XX.1/24的地址。 该地址网段涉及到下面SSL VPN地址池的配置，请根据自身网络进行规划。 逆向路由：关闭，防止出现环路。 5.配置出向策略。 SNAT配置：VPN地址池转换为防火墙接口地址。 安全策略访问：VPN安全域（被转换接口安全域）。

本文为您详细介绍Baichuan2Turbo模型。 模型简介 BaichuanTurbo系列模型是百川智能推出的大语言模型，采用搜索增强技术实现大模型与领域知识、全网知识的全面链接。 使用场景 支持多轮对话、内容生成、文章摘要、知识问答、代码生成、指令跟随、数学与逻辑推理等多元化场景。 技术亮点 Baichuan2Turbo模型采用万亿级Tokens的高质量语料训练，实现了显著的性能提升和更广泛的应用场景适应性。 在多个权威的中文、英文和多语言的通用、领域 benchmark 上取得同尺寸最佳的效果。 模型在预训练阶段和对齐阶段都采取了措施来提高模型的安全性，包括严格的数据筛选、红队攻击测试和专家注释团队的参与。 版本列表 版本列表 版本说明 Baichuan2Turbo BaichuanTurbo系列模型是百川智能推出的大语言模型，根据不同的使用需求，提供了不同配置的模型，包括Baichuan2Turbo和Baichuan2Turbo128k。 免责声明 Baichuan2Turbo模型来源于第三方，本平台不保证其合规性，请您在使用前慎重考虑，确保合法合规使用并遵守第三方的要求。

参数/配置项 迁移后的服务器 备注 主机名 系统可能会更新主机名 和主机名绑定的业务可能会受影响。 MAC地址 目的端服务器的MAC MAC地址属于网卡固有属性，创建目的端服务器时候已经确定。 DNS 可能变化（概率大）： DNS配置文件参数与源端一致。 目的端子网的DNS配置会影响目的端主机的DNS解析。 迁移完成后，可以在目的端修改。 EIP 迁移后绑定的目的端EIP地址 磁盘、分区大小 配置目的端时所选的目的端服务器磁盘和分区大小 如果选择了磁盘分区调整，迁移后的磁盘和分区大小取决于配置目的端时候设置的大小。 磁盘名称 根据目的端虚拟化类型决定 一般不会影响业务。 磁盘、分区的UUID和PARTUUID 目的端会重新生成UUID和PARTUUID 只针对Linux文件级迁移。 Grub配置文件 会根据目的端启动盘或者boot分区的UUID修改grub相关启动配置文件 BIOS启动的服务器需要安装grub，会修改 /boot/grub 目录下grub配置文件。 UEFI启动的服务器会修改 /boot/efi/ 和 /boot/grub 目录下grub配置文件的UUID。 启动的initrd或initramfs 注入相关驱动 注入驱动保证目的端服务器在天翼云能正常启动。 X11的xorg.conf配置文件 目的端会更新 /etc/X11/xorg.conf 配置文件 该文件影响图形化界面和显示相关参数。原文件备份为 /etc/X11/xorg.conf.bak 。 第三方工具 目的端会删除以下工具： /etc/rc.d/rc5.d/vmwaretools SElinux安全配置 会生成 /.autorelabel 文件，目的是重新标记 只针对Redhat/Centos/Oracle系统。 密码重置插件 目的端 /home 目录会安装天翼云ECS密码重置插件CloudRestPwdAgent 如果不想安装该插件，可以在迁移前修改配置文件 gproperty.cfg 中的installPwdAgent参数为false。 服务器时间 会修改ntp配置文件 /etc/ntp.conf 添加目的端所在Region所在的标准时间。 Motd 会修改 /etc/motd 文件为空 默认不设置开机启动logo。 Fstab启动项 根据新目的端UUID和挂载情况重新生成fstab。 目的端旧的 /etc/fstab 启动记录会被注释。 Cloudinit 目的端会禁用Cloudinit /etc/cloud/cloud.cfg 文件会被删除。 网卡配置 删除 /etc/udev/rules.d/ 目录下部分网络相关配置文件，根据不同系统备份并修改DHCP 修改网卡配置文件。 比如： Redhat/Centos/SUSE/Euleros等系统会修改 ifcfgeth 文件。 Debian/Ubuntu系统会修改yaml文件。 谷歌服务 迁移后目的端会默认禁用谷歌服务 由于原平台服务无法在天翼云运行，可能导致启动失败或者服务异常。 您可以源端主机执行如下命令，检测开机自启动程序中是否存在google相关字符串。 (find /etc/systemd/system/ name 'google' type l grep 'service') & (find /etc/init/ name 'google' grep 'conf') 2>/dev/null

本小节介绍如何进行代理文件验证。 按照CA中心的规范，如果您申请了SSL证书，则必须完成域名验证（又称验证域名所有权）来证明待申请证书要绑定的域名属于您。 代理文件验证，是指授权证书管理服务从管理控制台获取证书验证文件，然后在服务器的网站根目录下创建指定文件。CA机构验证文件路径可以被访问，则表示验证通过。 注意 目前CA中心仅支持向80、443端口发起验证请求，因此您的业务需开放80、443端口。 天翼云仅支持绑定IP域名和单域名类型证书使用文件验证。 约束与限制 绑定域名是在天翼云本平台上申请的域名，且已使用天翼云云解析服务。 操作步骤 在用户当前购买的证书服务有效期内，只要满足以下前提条件，后续所有续订订单的域名验证环节将由系统自动完成，无需您进行任何操作： 域名所有权未发生变更。 服务器权限未变更，且已配置的授权信息持续有效。 用户未主动删除系统创建的验证记录或文件。 请您耐心等待系统进行代理文件验证。CA机构完成文件验证信息的审核后（约1个工作日）即可签发证书。

本小节介绍如何进行代理文件验证。 按照CA中心的规范，如果您申请了SSL证书，则必须完成域名验证（又称验证域名所有权）来证明待申请证书要绑定的域名属于您。 代理文件验证，是指授权证书管理服务从管理控制台获取证书验证文件，然后在服务器的网站根目录下创建指定文件。CA机构验证文件路径可以被访问，则表示验证通过。 注意 目前CA中心仅支持向80、443端口发起验证请求，因此您的业务需开放80、443端口。 天翼云仅支持绑定IP域名和单域名类型证书使用文件验证。 约束与限制 绑定域名是在天翼云本平台上申请的域名，且已使用天翼云云解析服务。 操作步骤 在用户当前购买的证书服务有效期内，只要满足以下前提条件，后续所有续订订单的域名验证环节将由系统自动完成，无需您进行任何操作： 域名所有权未发生变更。 服务器权限未变更，且已配置的授权信息持续有效。 用户未主动删除系统创建的验证记录或文件。 请您耐心等待系统进行代理文件验证。CA机构完成文件验证信息的审核后（约1个工作日）即可签发证书。

本文向您介绍新增节点,帮助您了解节点的基本情况。 节点即计算节点，新增节点在指定裸金属集群详情中，新建裸金属节点并自动加入集群，通过本平台可以对节点进行生命周期管理。 使用前提 已创建息壤智算集群。 操作步骤 1. 登录公共算力服务控制台，单击左侧导航栏中的【息壤智算集群】，进入集群列表页。选择具体集群进入集群详情页。 2. 选择【业务节点】栏，点击【创建节点】，跳转至创建裸金属页面。 3. 在创建节点页面填写开通参数信息。 参数 说明 可用区 选择可用区。 付费类型 选择付费类型，目前支持包年包月。 购买时长 配置购买时长，111月。 实例规格 选择裸金属的实例规格。 操作系统 选择裸金属的操作系统。 网络配置 选择VPC和子网，支持创建新的VPC。 系统配置 填写实例名称，实例名称会自动生成，可支持修改；填写登录的密码，需按照密码的校验规则，密码支持自动生成。 4. 确认配置等费用，点击【立即创建】跳转至官网支付，支付成功后即可完成节点创建。

本小节介绍态势感知产品优势。 安全态势可视化 提供全局态势、资产态势、脆弱性态势、威胁态势四种大屏，实时监测用户网络存在的风险与威胁，可视化呈现威胁攻击路径动态可视、威胁告警实时滚动播放、受攻击资产和受攻击部门TOP排行、安全态势评分、资产漏洞威胁趋势和分布等，帮助用户全面掌控网络安全态势。 应急协同联动 通过对接权威的网络安全监测平台，将最新的漏洞信息、安全咨询、威胁情报等数据推送至态势感知系统，与国家互联网应急中心（CNCERT）形成协同联动，提升网络安全风险与威胁的发现能力和效率。 多维度风险评估 通过资产属性信息、资产存在的脆弱性以及产生的威胁事件，进行关联分析，以威胁事件的发生为起点，该资产是否存在此类威胁事件相关的漏洞关联，通过自动化收集的资产属性信息确认该资产是否为关键资产，以及该资产是否存在漏洞相关的应用组件或服务，完成多维度风险评估。 威胁事件快速研判 通过威胁事件聚合分析、关联分析、详情分析、攻击原始数据分析等手段，结合威胁情报，快速研判威胁事件的影响范围，还原整个攻击过程，提升威胁事件研判能力和效率。

本文带您快速入门多活容灾服务。 使用条件 1. 已经注册并开通天翼云账号。 2. 当前账号已开通多活容灾服务，拥有使用多活容灾服务的权限。 3. 已经完成实名认证。 使用流程 多活容灾服务使用流程如图所示。 1. 开通多活容灾服务。 2. 若生产中心为三方数据中心时，需新增三方数据中心。 3. 创建命名空间。在控制台命名空间页面创建命名空间，用户可以创建多个命名空间，用于逻辑隔离不同的资源。 4. 同步/纳管资源。在多活容灾服务平台使用相关资源之前，用户需通过资源管理模块对资源进行同步或新增操作，以便MDR侧能够实现资源的统一管理。 5. 创建容灾管理中心。用户可以根据业务需要使用一个或若干个容灾管理中心，容灾管理中心与命名空间为一对十绑定关系。 6. 接入应用（可选）。应用接入可帮助用户对容灾管理中心的云主机资源进行流量配比与健康检查监控，云主机资源健康情况可在监控大盘中查看。同时，可以帮助用户进一步将容灾管理中心的资源（如云主机、存储、数据库）按应用维度进行细粒度划分，提升资源管理便捷性。 7. 预案编排。预案编排涵盖预案阶段和预案管理两方面。预案阶段模块中，帮助用户以任务为单位进行串行或并行编排成预案阶段。预案管理模块中，用户可根据多个预案阶段互相衔接组成整体预案流程，预案流程为后续灾备演练和应急切换提供整体流程方案。 8. 容灾演练。容灾演练旨在确保灾难发生后能够快速恢复业务而进行的一系列的演练任务，涉及的演练任务来源于相应的预案流程，演练时演练任务为实战演练。 9. 应急切换。应急切换用于灾难发生后为了快速恢复业务而进行的一系列切换或恢复任务，涉及的演练任务来源于相应的预案流程。故障切换场景下可根据预设的切换预案流程拉起依次数据库、存储、灾备云主机等相关服务；故障回切场景下可根据预设的回切预案流程执行数据库、存储、容灾云主机的回切操作，以确保业务正常运行。

本节介绍操作手册,方便用户更好使用本产品。 分布式容器云平台用户操作手册.pdf

本章节指导如何在Windows平台查看、启动、停止、更新和卸载Agent。 Windows下Agent分为新版本和老版本两种，请根据安装路径确定Agent版本。 新版本Agent默认安装路径为“C:Program Filesuniagentextensioninstalltelescope” 查看Agent状态 在任务管理器中查名为telescope的进程状态。 启动Agent 在Agent安装包存放目录（“C:Program Filesuniagentextensioninstalltelescope”）下，双击执行start.bat脚本，启动Agent。 停止Agent 在Agent安装包存放目录（“C:Program Filesuniagentextensioninstalltelescope”）下，双击执行shutdown.bat脚本，停止Agent。 卸载Agent 在Agent安装包存放目录（“C:Program Filesuniagentscript”）下，双击执行uninstall.bat脚本，卸载Agent。 老版本Agent默认安装路径为“C:Program Filestelescope” 查看Agent状态 在任务管理器中查名为telescope的进程状态。 启动Agent 在Agent安装包存放目录（“C:Program Filestelescope”）下，双击执行start.bat脚本，启动Agent。 停止Agent 在Agent安装包存放目录（“C:Program Filestelescope”）下，双击执行shutdown.bat脚本，停止Agent。 卸载Agent 在Agent安装包存放目录（“C:Program Filestelescope”）下，双击执行uninstall.bat脚本，卸载Agent。 Agent默认安装路径为“C:Program Filestelescope”。 注意 重新安装Agent前，请手动清理之前的Agent安装包。

本文简述缓存过期时间配置方法。 功能介绍 缓存过期时间指源站资源在边缘节点缓存的最大时长，超过该时长，资源将会被边缘节点标记为已过期。如果客户端请求的资源在边缘节点上已过期，边缘节点会回源获取最新资源缓存到边缘节点上，供其他请求使用。 边缘安全加速平台—安全与加速服务支持按后缀名、目录、首页、全部文件、全路径文件类型进行缓存。您可以根据业务需求，按指定路径或文件名后缀配置静态资源的缓存过期时间。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 注意事项 默认开启去问号参数缓存，若需要带问号后参数缓存，请选择关闭该功能。 权重支持自定义生效顺序，优先级数字大则优先生效。 操作步骤 1.登录边缘安全加速控制台，进入【安全与加速工作台】【CDN加速配置】，在域名列表中选中需要配置的域名。 2.单击【编辑配置】。 3单击【增加规则】，选择类型，如后缀名、目录、首页、全部文件、全路径文件，并配置相应的内容。 4.选择过期时间单位，如秒、分钟、小时、天，再填写对应的过期时间。 5.选择缓存规则，默认为强制缓存。 6.去问号缓存默认为开启，如需要带问号后参数缓存，请选择关闭该功能。 7.选择权重。权重支持自定义，优先级数字大则优先生效。

本文介绍了全球办公加速防护场景下的产品价值。 业务特点 全球办公场景下，公司数据一般部署在总部所在的国家或地区，但是企业的终端用户遍布全球各地，终端用户跨地域访问公司数据时经常出现文件数据传输慢、系统登录超时等问题。 同时，企业的数据服务器容易受到各类 WAF 和 DDoS 攻击，严重影响企业数据的安全性和可用性。 疫情快速推动远程/协同办公模式的普及，既存在静态文件的分享，也多人协作编辑、实时沟通等各类动态数据的传输，其中文件下载过久，沟通延时等问题大大降低了协同办公的效率。 而传统VPN、专线等的接入方式只要接入就能访问所有系统，可能造成客户业务核心数据泄漏、病毒感染等安全事件的发生。 客户痛点 远程办公应用登录超时 业务系统响应慢 音视频会议卡顿、延迟 VPN超时、掉线 准入安全风险 远程终端造成病毒扩散 产品优势 通过 AOne 边缘安全加速平台： 智能调度、实时探测最佳路径，私有传输协议，解决网络抖动问题，提升办公效率 全球节点覆盖，就近接入，保障网络的快速和稳定性，提升用户体验 任意区域任意网络接入，安全边缘节点，通过加密隧道保证数据安全及隐私 多因素认证身份，持续性安全评估，支持指定哪些用户使用什么样的终端设备访问哪些办公应用，保证可信访问

本节介绍了该产品的服务协议。 产品服务协议，详情参见《天翼云分布式容器云平台服务协议》。

本文介绍公共算力服务的核心功能特性。 多云异构算力并网 构建算力接入规范，支持多种算力接入技术实现对跨区域、跨服务商、跨架构的基础算力资源进行并网接入。 根据算力供给方的不同算力类型和级别进行归类整合，通过对算力资源进行建模，实现算力统一封装、统一调度，为用户提供一站式算力解决方案。 多层次、多维度算力调度 具备跨地域、跨服务商调度和集群内的异构资源调度等多层次、多维度的调度能力。可满足各种复杂的算力需求场景，实现高效、可靠的算力供给保障。 灵活组合多种调度模版，满足业务调度需求，如综合最优、性能最优、成本最优、绿色低碳等多种调度策略。 异构算力多场景覆盖 覆盖通用计算、智能计算、超级计算的跨地域、跨架构、跨厂商的智能化调度能力，丰富的编排调度能力，赋能多场景业务创新。 通过场景化的方式购买算力，平台面向统一资源调度，通过算网大脑分析客户实际业务需求。 调度过程可视化 实时感知算力资源和网络资源，为算网调度提供资源数据，算网评估和调度过程数据动态呈现。 调度策略可视化、动态化、最优化的方式，提供高效、易用、灵活的低代码化的调度模板能力，为应用分配和匹配最优资源。

相关引用 如有帮助，欢迎引用。 plaintext @misc{qwen2.5, title {Qwen2.5: A Party of Foundation Models}, url { author {Qwen Team}, month {September}, year {2024} } plaintext @article{qwen2, title{Qwen2 Technical Report}, author{An Yang and Baosong Yang and Binyuan Hui and Bo Zheng and Bowen Yu and Chang Zhou and Chengpeng Li and Chengyuan Li and Dayiheng Liu and Fei Huang and Guanting Dong and Haoran Wei and Huan Lin and Jialong Tang and Jialin Wang and Jian Yang and Jianhong Tu and Jianwei Zhang and Jianxin Ma and Jin Xu and Jingren Zhou and Jinze Bai and Jinzheng He and Junyang Lin and Kai Dang and Keming Lu and Keqin Chen and Kexin Yang and Mei Li and Mingfeng Xue and Na Ni and Pei Zhang and Peng Wang and Ru Peng and Rui Men and Ruize Gao and Runji Lin and Shijie Wang and Shuai Bai and Sinan Tan and Tianhang Zhu and Tianhao Li and Tianyu Liu and Wenbin Ge and Xiaodong Deng and Xiaohuan Zhou and Xingzhang Ren and Xinyu Zhang and Xipin Wei and Xuancheng Ren and Yang Fan and Yang Yao and Yichang Zhang and Yu Wan and Yunfei Chu and Yuqiong Liu and Zeyu Cui and Zhenru Zhang and Zhihao Fan}, journal{arXiv preprint arXiv:2407.10671}, year{2024} } 免责声明 Qwen2.572BInstruct模型来源于第三方，本平台不保证其合规性，请您在使用前慎重考虑，确保合法合规使用并遵守第三方的要求。

相关引用 如有帮助，欢迎引用。 @misc{qwen2.5, title {Qwen2.5: A Party of Foundation Models}, url { author {Qwen Team}, month {September}, year {2024} } @article{qwen2, title{Qwen2 Technical Report}, author{An Yang and Baosong Yang and Binyuan Hui and Bo Zheng and Bowen Yu and Chang Zhou and Chengpeng Li and Chengyuan Li and Dayiheng Liu and Fei Huang and Guanting Dong and Haoran Wei and Huan Lin and Jialong Tang and Jialin Wang and Jian Yang and Jianhong Tu and Jianwei Zhang and Jianxin Ma and Jin Xu and Jingren Zhou and Jinze Bai and Jinzheng He and Junyang Lin and Kai Dang and Keming Lu and Keqin Chen and Kexin Yang and Mei Li and Mingfeng Xue and Na Ni and Pei Zhang and Peng Wang and Ru Peng and Rui Men and Ruize Gao and Runji Lin and Shijie Wang and Shuai Bai and Sinan Tan and Tianhang Zhu and Tianhao Li and Tianyu Liu and Wenbin Ge and Xiaodong Deng and Xiaohuan Zhou and Xingzhang Ren and Xinyu Zhang and Xipin Wei and Xuancheng Ren and Yang Fan and Yang Yao and Yichang Zhang and Yu Wan and Yunfei Chu and Yuqiong Liu and Zeyu Cui and Zhenru Zhang and Zhihao Fan}, journal{arXiv preprint arXiv:2407.10671}, year{2024} } 免责声明 Qwen2.572BInstruct模型来源于第三方，本平台不保证其合规性，请您在使用前慎重考虑，确保合法合规使用并遵守第三方的要求。

本文介绍组织管理术语解释 主账号 在天翼云注册的独立账号，且完成了企业实名认证的实体账号。在该账号下申请开通的企业中心功能，主账号是企业中心管理员账号，是唯一可以访问且管理企业中心平台功能的账号。 子账号（成员账号） 在天翼云注册的独立账号，且完成了企业实名认证的实体账号。通过主账号邀请或者创建，成为了主账号下的关联账号，子账号（成员账号）无法登录企业中心，资源/权限/财务等受到主账号管理。 组织 “组织”是企业中心账号间的虚拟归属关系，将子账号划分到归属的组织，便于统一操作与管理。企业中心当前最多支持三层组织架构。 一个组织由管理账号、成员账号、组织单元组成。一个组织有且仅有一个管理账号，若干个成员账号，以及由一个根组织单元和多层级组织单元组成的树状结构。成员账号可以关联在任一层级的组织单元。 组织策略 可以为组织绑定权限策略，绑定后的策略对组织内所有成员账号中的IAM用户生效。 创建/邀请 主账号可以创建或邀请子账号，但受一定约束条件，满足条件的账号才可以进行邀请或者创建，共同组成企业中心下的组织单元。

扩容过程中涉及数据迁移吗？ 扩容过程不涉及数据迁移。 选择和配置安全组 安全组是一种网络安全配置，用于控制云计算平台中虚拟机实例的网络访问。它是一种虚拟防火墙，可以定义入站和出站的网络流量规则，以保护虚拟机实例的安全。Kafka在购买实例页面用户可选择安全组。 是否支持跨Region访问？ 可购买弹性IP，通过公网IP绑定功能实现外网访问，也可通过购买云间高速产品服务进行访问。 Kafka实例是否支持不同的子网？ 支持。相同VPC内可以跨子网段访问。同一个VPC内的子网默认可以进行通信。 Kafka实例的内网连接地址可以修改吗？ 不支持修改，也不支持指定IP地址。 开启公网访问后，在哪查看公网IP地址？ Kafka管理控制台。在实例列表页在操作列，目标实例行点击“设置公网ip”，查看具体地址。 Kafka支持服务端认证客户端吗？ 分布式消息服务Kafka不支持服务端认证客户端。 不同实例中，使用的SSL证书是否一样？ 在Kafka中，每个实例使用的SSL证书通常是不同的。SSL证书是用于加密和验证Kafka实例之间的通信的一种安全机制。每个Kafka实例都需要有自己的证书来确保通信的安全性和身份验证。 SSL证书包括公钥和私钥。公钥用于加密通信，私钥用于解密通信。为了确保安全性，私钥应该是保密的，并且只有Kafka实例才能访问。 在Kafka集群中，每个实例都应该有自己的证书和私钥对。这样可以确保每个实例都有独立的加密和身份验证机制。如果多个实例共享相同的证书和私钥，那么一个实例的私钥可能会被其他实例访问，从而降低了通信的安全性。 因此，为了确保每个Kafka实例之间的通信安全，建议为每个实例生成独立的SSL证书和私钥。这样可以确保每个实例都有独立的加密和身份验证机制，提高整个Kafka集群的安全性。

本章节主要介绍发布API。 本文将为您介绍如何将数据服务中的API发布到服务目录。 操作场景 数据服务是数据对外开放的最后一道防线，为了安全起见，在数据服务中生成的API以及注册的API，都需要发布到服务目录中才能对外提供服务。 操作步骤 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据服务”模块，进入数据服务页面。 详见下图： 选择数据服务 2.在左侧导航栏选择服务版本（例如：专享版），进入总览页。 3.进入“数据服务 > 总览 > 开发API > API管理”页面，在API服务列表操作列中，选择“更多 > 发布”。 4.在确认发布界面，您可以点击“更多”，选择发布详情。 详见下图： 发布详情 −专享版默认发布到数据服务专享版集群上，发布成功后API调用者可以通过内网调用该API。您也可以选择“更多”，将API发布到APIG专享版或ROMA Connect实例上。 APIG专享版：如果您需要将API发布到APIG专享版上，则您需要提前在API网关服务上创建一个APIG实例。实例创建后，有一个默认API分组，系统为分组自动分配一个内部测试用的调试域名，此调试域名唯一且不可更改，每天最多可以访问1000次。如果您不希望与其他API共享此规格，可以在APIG控制台新建一个API分组（详情请参考“API网关APIG用户指南> API分组管理> 创建API分组”章节），然后在数据服务发布时选择对应API分组，独享每天最多访问1000次的规格。另外，您还可以为API分组绑定一个或多个独立域名（详情请参考“API网关APIG用户指南>API分组管理> 绑定域名”章节），API调用者通过访问独立域名来调用您开放的API，这样即可不受每天最多访问1000次的规格限制。 ROMA Connect实例：如果您需要将API发布到ROMA Connect实例上，则您需要提前在ROMA Connect服务上创建一个ROMA实例，并创建API分组（详情请参考“应用与数据集成平台 ROMA Connect用户指南> 服务集成指导> 开放API> 创建API分组”章节）。API分组创建后，系统为分组自动分配一个内部测试用的子域名，此子域名每天最多可以访问1000次。为了不受此规格限制，您可以为API分组绑定独立域名（详情请参考“应用与数据集成平台 ROMA Connect用户指南> 服务集成指导> 开放API> 绑定域名”章节），API调用者通过访问独立域名来调用您开放的API。 5.在发布API时，会触发审核，审核机制如下： 当发布人不具备审核人权限时，发布API时需要提交给审核人审核。 当发布人具备审核人权限时，可无需审批直接发布API。工作空间管理员角色的用户默认具备审核人权限。 如果非审核人权限的用户发布API时，待审核人审核通过后，即可发布完成。

操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【数据分析】，进入【域名用量分析】菜单。 查询范围说明 用量查询：支持一年内、最长时间跨度为一个月的用量数据查询。 热门分析：支持三个月内、最长时间跨度为一个月的热门数据查询。 用户分析：支持一年内、最长时间跨度为一个月的用户数据查询。 一年内、三个月内：是指支持查询的历史数据范围，从当日往前推，一年内、三个月内的数据支持查询，而超过对应时间的数据不支持查询。 跨度一个月：是指单次数据查询的时间跨度，最长时间跨度是一个月，即单次最长仅支持查一个月的数据。查询起止日期可以是一年里面的任意连续的日期，最长跨度为一个月。 用量分析 用量分析模块，支持客户查询带宽流量（流量/带宽）、回源统计（回源流量/回源带宽）、请求数（边缘/回源）、命中率（流量/请求）、状态码、回源状态码、PV/UV、地区运营商等维度的统计数据，并能导出CSV文件。 带宽流量 带宽流量支持客户按加速类型、标签、域名、运营商、地区（大区/省份）、加速区域【中国内地/全球（不含中国内地）】、协议类型（HTTP/HTTPS/QUIC）、协议版本（IPv4/IPv6）、查询时间粒度（1分钟/5分钟/1小时/1天）、时间等搜索条件，查看带宽峰值、95带宽峰值、总流量等数据。同时，还支持数据对比，支持客户选择长度相同的任意两天的数据进行对比

本文介绍了该产品的服务等级协议。 产品服务等级协议，详情参见《天翼云分布式容器云平台服务等级协议》。

本页介绍了SSL证书产品的一些应用场景。 网站数据加密 HTTP协议无法加密数据，导致网站数据可能产生泄露、篡改或钓鱼攻击等问题。安装SSL证书后，网站使用HTTPS协议对网站数据的传输进行加密，包括您网站中的企业应用数据、政务信息、支付环节的数据都能实现加密传输，有效保护敏感数据的传输。 网站服务由HTTP协议转换成HTTPS协议 用户需要将网站服务由HTTP协议转变成HTTPS协议，可以使用证书服务申请受信任CA认证中心颁发的数字证书，然后部署在云平台网站，将HTTP访问转换成HTTPS，为网站访问提供认证加密功能。 提升网站用户访问网站的安全性 如果网站没有安装SSL证书，网站地址以HTTP开头，浏览器会将此类网站标记为不安全的网站。如果网站已安装SSL证书，浏览器会将该网站标记为安全网站，让您网站的用户可以放心访问您的网站。对于已安装EV或OV证书的网站，浏览器地址栏会展示该网站所属企业的真实身份，更有效地增强网站用户对该网站的信任，从而提升网站业务的成交率。 CDN或SLB服务上使用HTTPS协议 CDN或SLB服务，可以通过SSL证书服务将购买的数字证书部署在这些产品中，实现云产品的HTTPS化。

本节介绍了数据库权限相关问题与处理方法。 TaurusDB提供root帐号或super权限吗 TaurusDB)提供的管理员帐号为root帐号，具有去除super、file、shutdown和create tablespace后的最高权限。 大部分的云数据库服务平台，都未给root帐号提供super权限。因为一旦用户拥有了super权限，就可以执行很多管理性的命令，比如reset master，set global…，kill，reset slave等，这类操作很有可能导致TaurusDB出现不可预知的异常和故障。这一点是云服务平台和本地搭建MySQL比较大的区别，TaurusDB提供服务化能力，那就需要保证实例的稳定正常运行。 对于客户要求super权限的场景，TaurusDB提供了服务化能力，也可以通过其他手段绕过super权限的限制。 举例如下： 举例1：有些用户喜欢登录数据库执行如下命令来修改参数，这在TaurusDB是被禁止的，您只能通过TaurusDB界面中的参数修改功能来实现。 set global 参数名 参数值 ; 如果您的脚本中包含set global命令导致super缺失，请删除set global命令，通过console的参数修改。 举例2：有些用户执行如下命令报错，这也是因为没有super权限导致的，只需要去除definer'root’关键字即可。 create definer'root'@'%’ trigger(procedure)… 如果您缺失super权限，可以使用mysqldump导入数据，请参考使用mysqldump迁移TaurusDB数据导入和导出数据。

本节介绍虚拟节点用户指南。 分布式容器云平台的注册集群已集成弹性容器实例（ECI）的虚拟节点，实现与云上弹性算力的衔接。用户可以在自建集群中创建虚拟节点，并使用云上弹性算力运行Pod。 前提条件 已创建注册集群； 用户IDC集群或者三方Kubernetes集群连通性正常； 集群使用Underlay网络模式，容器Pod IP集群外可访问； 依赖集群标准kubeproxy configmap； 功能优势 使用虚拟节点有如下优势： 全托管免运维； 弹性高效； 低成本； 安全隔离； 使用限制 网络插件限制：ECI默认通过云上VPC路由联通网络，不支持自定义CNI插件； 可用区不能重复创建，可用区内按需弹性； 参考 弹性容器实例 的功能限制 自建Kubernetes集群对接ECI，不支持Kubernetes中的Daemonset、HostPath等功能； 使用流程 参考使用流程 指定ECS和ECI的资源分配 。 创建虚拟节点 1. 登录分布式容器云平台，在左侧导航栏选择 集群资源 > 集群管理，选中需要操作的集群名称，点击进入集群详情； 2. 点击左侧菜单节点 > 节点，在节点列表页面，点击创建虚拟节点，进入创建虚拟节点页面； 3. 选择可用区，如有需要添加标签和污点，确定创建； 4. 在节点列表页面，查看虚拟节点信息，，虚拟节点的类型显示为virtualkubelet，并且标有 "virtualkubelet.io/providercubeeci:NoSchedule"污点； 在分布式容器云平台创建的虚拟节点，在弹性容器实例（ECI）中也能查看，由弹性容器实例 按使用情况计费； 每个可用区不可重复创建虚拟节点，可用区内根据Pod所需资源按量创建；

本文介绍如何为OpenClaw挂载持久化存储。 概述 OpenClaw（原Clawdbot）是一款开源的本地优先AI 代理与自动化平台。您可以通过OpenClaw将多渠道通信能力与大语言模型深度集成，创建拥有持久记忆与主动执行能力的定制化 AI 助理。本文介绍为OpenClaw挂载持久化存储。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。 步骤一：部署OpenClaw 1. 在应用托管部署OpenClaw，详见 通过应用托管部署OpenClaw 。 步骤二：创建存储

本文介绍企业中心常用术语 主账号 在天翼云注册的独立账号，且完成了企业实名认证的实体账号。在该账号下申请开通的企业中心功能，主账号是企业中心管理员账号，是唯一可以访问且管理企业中心平台功能的账号。 子账号 在天翼云注册的独立账号，且完成了企业实名认证的实体账号。通过主账号邀请或者创建，成为了主账号下的关联账号，无法登录企业中心，资源/权限/财务等受到主账号管理。 组织 “组织”是企业中心账号间的虚拟归属关系，将子账号划分到归属的组织，便于统一操作与管理。企业中心当前最多支持三层组织架构。 一个组织由管理账号、成员账号、组织单元组成。一个组织有且仅有一个管理账号，若干个成员账号，以及由一个根组织单元和多层级组织单元组成的树状结构。成员账号可以关联在任一层级的组织单元。 组织策略 可以为组织绑定权限策略，绑定后的策略对组织内所有成员账号中的IAM用户生效。 创建/邀请 主账号可以创建或邀请子账号，但受一定约束条件，满足条件的账号才可以进行邀请或者创建，共同组成企业中心下的组织单元。

本文介绍天翼云CDN加速支持静态小文件加速、大文件下载、音视频点播三大类加速场景。 应用场景 场景概述 CDN加速解决的业务痛点 静态小文件 适用于政府官网、金融证券、电子商务和新闻媒体等各类网站，加快网页加载速度，提升数据传输安全。 电商网站商品信息加载失败、加载慢，订单流失。 政企官网响应慢，影响群众办事效率，群众投诉。 网站新业务推广期间，并发大，源站服务器压力大，服务器容易崩溃，造成服务不可用。 终端用户分布在不同区域和不同运营商，访问速度和质量差异较大。 大文件下载 适用于应用商店和游戏更新等大文件下载加速，减少下载中断和错误，给用户极致的下载体验。 业务被劫持，用户下载到旧版安装包，重新下载耗费额外的资源，体验差。 应用下载速度慢，长时间停留在缓冲状态，用户体验差。 热门应用发布下载高并发，源站服务器容易崩溃，造成服务不可用。 音视频点播 适用于视频门户、短视频平台和在线教育的点播视频加速，让视频播放流畅不卡顿，并有效保护版权。 视频播放首屏播放慢，播放不流畅。 视频内容被盗链，产生额外流量成本。 热门新剧发布高并发，对源站性能要求高，源站带宽成本较高。

天翼云安全漏洞扫描服务分为：受理审核和实施两个阶段。本小节介绍漏洞扫描开通指引。 第一步：受理审核阶段 客户填写业务受理单并签署漏洞扫描授权书，交由客服确认，确认后转交漏洞扫描团队，漏洞扫描团队对客服转交的业务受理单信息再次与客户确认，约2个工作日。如业务受理单出现问题，将返回客服，直到业务受理单无问题，才可进入实施阶段。 第二步：实施阶段 1. 漏洞扫描方案与客户进行确认，0.5工作日。 2. 漏洞扫描实施，根据主机数量不同，具体完成时间也不尽相同，但至多10个工作日内完成所有工作。 问题沟通：对实施过程中发生的问题与客户实时沟通。 3. 输出服务报告：漏洞扫描完成后输出漏洞扫描服务报告，报告编写时间2个工作日。 4. 报告审核修订：由专人对输出的漏洞扫描服务报告进行审核修订，审核修订时间1个工作日。 5. 报告提交方式采取邮件回复的方式提交：客户通过邮件向天翼云漏洞扫描平台发起报告接收申请，漏洞扫描服务报告以回复邮件方式给客户。 6. 在客户收到漏洞扫描服务报告后，乙方参与漏洞扫描项目的专家为客户持续提供3天时间，用于咨询报告中的不明事项。

本文将重点介绍企业访问安全相关策略。 使用场景 边缘安全加速平台的零信任服务秉承“持续验证，永不信任”的原则，在基于身份认证和应用授权构建的访问信任基础之上，持续验证每个网络请求，及时识别并拦截攻击行为，全方位地保障您的企业资源安全，本文将重点介绍企业访问安全相关策略。 操作限制 进行相关安全策略前提需购买零信任服务，且产品服务处于服务中。 安全策略 重点介绍常用的企业办公安全所需的安全策略，主要策略如下： 身份识别与登录认证：通过密码强校验、二次认证等策略进行强化登录过程中的安全系数。 细粒度的应用资源管控：针对应用、身份进行最小权限限制，避免越权。 持续认证的高级安全防护：通过横向扫描防护、准入管控、终端环境感知来持续动态评估接入内容的访问请求的安全性，如有异常及时进行相关处置。 灵活的访问控制：可针对用户、IP、应用等进行灵活组合限制，满足企业安全管控需求。 身份识别与登录认证 您可以在控制台的身份管理模块为企业员工创建对应的零信任用户账号。企业员工通过零信任客户端登录鉴权后才能访问相关应用资源。零信任服务支持您自定义配置密码合规策略、密码校验失败锁定、二次认证等策略，来加强用户登录过程的安全系数，详情请见身份管理。

本文介绍短信服务退订说明。 零信任短信服务资源包规则说明 天翼云用户可根据需要，在符合天翼云退订规则的前提下，灵活退订资源。目前，天翼云边缘安全加速平台零信任短信服务资源包 自订单支付成功之日起，若购买时长未超过7天（含），支持七天无理由全额退订（每个账号仅享有3次七天无理由全额退订次数 ）。若购买时长超过7天，无论该资源包是否已实际使用，均不支持任何形式的退款 ，详情请见如下具体退款说明。 场景 退订规则 退款说明 资源包用量已用尽 不支持退订 不支持退款 资源包已到期 不支持退订 不支持退款 资源包购买时长 3次） 支持非七天无理由退订 预付费业务退款金额订单实付金额已消费金额退订手续费，不退还代金券、优惠券 订单实付金额即用户现金支付金额 已消费金额订单实付金额实际使用天数/该订单总天数，实际使用天数成功退订生效日期订单开始日期，订购当天退订算一天使用费 1年预付费产品退订手续费已消费金额 ×5% 资源包购买时长 7天 支持非七天无理由退订 不支持退款