修改资源分组时可以为资源分组增加或减少资源对象。 修改资源分组时可以为资源分组增加或减少资源对象。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 单击“服务列表 > 云监控服务”。 4. 单击页面左侧的“资源分组”，进入“资源分组”界面。 5. 单击需要修改的分组行的“操作”列的“修改”按钮。 6. 按照界面提示，在编辑页面进行分组内容的修改。 7. 单击“立即修改”，完成资源分组的修改。

展示该资源分组下的全部告警规则。并且可以在告警规则列表中对指定规则进行启用、停用、修改、删除等操作。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 单击“服务列表 > 云监控服务”。 4. 单击页面左侧的“资源分组”，进入“资源分组”页面。 5. 单击资源分组列表中的其中一个分组名，进入分组资源概览界面。 6. 单击左侧导航栏的“告警规则”，即可展示该资源分组下的全部告警规则。

Nacossdkgo Nacossdkgo是Nacos的Go语言客户端，它实现了服务发现和动态配置的功能 使用限制 支持Go>v1.15版本 支持Nacos>2.x版本 安装 安装开源SDK go get github.com/nacosgroup/nacossdkgo/v2 快速使用 ClientConfig constant.ClientConfig{ TimeoutMs uint64 // 请求Nacos服务端的超时时间，默认是10000ms NamespaceId string // ACM的命名空间Id CacheDir string // 缓存service信息的目录，默认是当前运行目录 UpdateThreadNum int // 监听service变化的并发数，默认20 NotLoadCacheAtStart bool // 在启动的时候不读取缓存在CacheDir的service信息 UpdateCacheWhenEmpty bool // 当service返回的实例列表为空时，不更新缓存，用于推空保护 Username string // Nacos服务端的API鉴权Username Password string // Nacos服务端的API鉴权Password LogDir string // 日志存储路径 RotateTime string // 日志轮转周期，比如：30m, 1h, 24h, 默认是24h MaxAge int64 // 日志最大文件数，默认3 LogLevel string // 日志默认级别，值必须是：debug,info,warn,error，默认值是info } ServerConfig constant.ServerConfig{ ContextPath string // Nacos的ContextPath，默认/nacos，在2.0中不需要设置 IpAddr string // Nacos的服务地址 Port uint64 // Nacos的服务端口 Scheme string // Nacos的服务地址前缀，默认http，在2.0中不需要设置 GrpcPort uint64 // Nacos的 grpc 服务端口, 默认为 服务端口+1000, 不是必填 } 我们可以配置多个ServerConfig，客户端会对这些服务端做轮询请求 服务发现 注销实例：DeregisterInstance success, err : namingClient.DeregisterInstance(vo.DeregisterInstanceParam{ Ip: "${ipAddr}", Port: 8848, ServiceName: "demo.go", Ephemeral: true, Cluster: "clustera", // 默认值DEFAULT GroupName: "groupa", // 默认值DEFAULTGROUP }) 获取服务信息：GetService services, err : namingClient.GetService(vo.GetServiceParam{ ServiceName: "demo.go", Clusters: []string{"clustera"}, // 默认值DEFAULT GroupName: "groupa", // 默认值DEFAULTGROUP }) 获取所有的实例列表：SelectAllInstances services, err : namingClient.GetService(vo.GetServiceParam{ ServiceName: "demo.go", Clusters: []string{"DEFAULT"}, // 默认值 GroupName: "groupa", // 默认值DEFAULTGROUP }) 获取实例列表 ：SelectInstances // SelectInstances 只返回满足这些条件的实例列表：healthy${HealthyOnly},enabletrue 和weight>0 instances, err : namingClient.SelectInstances(vo.SelectInstancesParam{ ServiceName: "demo.go", GroupName: "groupa", // 默认值DEFAULTGROUP Clusters: []string{"clustera"}, // 默认值DEFAULT HealthyOnly: true, }) 获取一个健康的实例（加权随机轮询）：SelectOneHealthyInstance // SelectOneHealthyInstance将会按加权随机轮询的负载均衡策略返回一个健康的实例 // 实例必须满足的条件：healthtrue,enabletrue and weight>0 instance, err : namingClient.SelectOneHealthyInstance(vo.SelectOneHealthInstanceParam{ ServiceName: "demo.go", GroupName: "groupa", // 默认值DEFAULTGROUP Clusters: []string{"clustera"}, // 默认值DEFAULT }) 监听服务变化：Subscribe // Subscribe keyserviceName+groupName+cluster // 注意:我们可以在相同的key添加多个SubscribeCallback. err : namingClient.Subscribe(vo.SubscribeParam{ ServiceName: "rccdemo", GroupName: "DEFAULTGROUP", // 默认值DEFAULTGROUP Clusters: []string{"clustera"}, // 默认值DEFAULT SubscribeCallback: func(services []model.Instance, err error) { log.Printf("nn callback return services:%s nn", utils.ToJsonString(services)) }, })

本文为您介绍统一身份认证服务的权限配置管理方式 基本介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限，具体介绍说明详见：产品定义。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素左作用（Effect）、权限集（Action）等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略： 系统策略 ：预置的系统策略，您只能使用不能修改。云间高速EC相关的系统策略包含如下： EC Admin：云间高速服务的管理者权限，包含云间高速所有控制权限； EC Viewer：云间高速服务的观察者权限，包含云间高速服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，具体配置说明详见：创建自定义策略。

本章节主要介绍数据湖探索（DLI）如何创建用户并授权使用。 如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DLI服务的其它功能。 本章节介绍创建IAM用户并授权使用DLI的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您先了解用户组可以添加的DLI权限，并结合实际需求进行选择。DLI支持的系统权限，请参见权限管理概述章节中的“DLI系统权限”。 示例流程 给用户授权DLI权限流程 1.创建用户组并授权。 在IAM控制台创建用户组，并授予DLI服务普通用户权限“DLI ReadOnlyAccess”。 2.创建用户并加入用户组。 在IAM控制台创建用户，并将其加入1中创建的用户组。 3.用户登录并验证权限。 使用新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择数据湖探索，进入DLI主界面。如果在“队列管理”页面可以查看队列列表，但是单击右上角“购买队列”，无法购买DLI队列（假设当前权限仅包含DLI ReadOnlyAccess），表示“DLI ReadOnlyAccess”已生效。 在“服务列表”中选择除数据湖探索外（假设当前策略仅包含DLI ReadOnlyAccess）的任一服务，若提示权限不足，表示“DLI ReadOnlyAccess”已生效。如果您需要对您所拥有的DLI资源进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），具体IAM使用场景可以参考权限管理概述。

开启防护 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏中，选择“资产管理 > 主机管理 > 云服务器”，进入“云服务器”界面。 5、选择所需开启安全防护的主机，单击“操作”列“开启防护”。您可以根据自己的实际场景选择“包年/包月”或者“按需计费”，开启主机防护。 说明 按需计费仅支持选择企业版。 包年/包月模式出现配额不足时需购买主机安全防护配额。 包年/包月： 在“开启方式”对话框中，“计费模式”选择“包年/包月”，选择目标版本、分配防护配额，阅读并确认“《主机安全免责声明》”。“选择配额”分配方式： 随机分配：下拉框选择“随机选择配额”，系统优先为主机分发服务剩余时间较长的配额。 指定分配：下拉框选择具体配额ID，您可以为主机分配指定的配额。 按需计费： 在“开启方式”对话框中，“计费模式”选择“按需计费”，选择目标版本，阅读并勾选“《主机安全免责声明》。 注意 基础版在首次开启时可免费体验30天，体验结束后需购买基础版的包年/包月模式才能使用。 6、单击“确认”，开启防护。开启主机安全防护后，请在控制台上查看主机安全服务的开启状态。若目标主机的“防护状态”为“开启”，则表示基础版/企业版/旗舰版防护已开启。 您也可以通过在“主机管理 > 防护配额”页面的“操作”列中，单击“绑定主机”，为主机绑定防护配额，HSS自动为主机开启防护。 一个配额只能绑定一个主机，且只能绑定Agent在线的主机。 开启主机防护后，HSS将根据您购买的服务版本，自动对您的主机执行服务版本对应的安全检测。 自动执行的安全检测

本文通过完全开源的RAGFlow服务与云搜索服务的OpenSearch向量数据库与搜索大模型快速构建智能知识问答(RAG)服务。 RAGFlow 是一款基于深度文档理解的开源RAG（检索增强生成）引擎。它为企业级用户提供了一套端到端的 RAG 解决方案，通过结合大语言模型（LLM） 的能力，实现对多样化复杂格式数据的精准解析与知识检索，为用户提供依据充分、真实可靠的问答服务，并确保所有回答均附带可追溯的引用来源。 RAG（Retrieveraugmented Generation）是一种结合了信息检索和生成的自然语言处理（NLP）技术，特别适用于需要从大量数据中检索信息并生成自然语言文本的场景。它在处理复杂任务时能够提升生成模型的性能，尤其是在模型缺乏足够上下文或知识的情况下。 RAG的优势 RAG通过检索外部知识库或数据库中的相关信息，能够在生成过程中动态地补充实时或特定领域的知识，弥补了生成模型的“知识盲区”。这使得模型能够在没有训练时直接获得的信息基础上进行更加准确的回答或内容生成。针对企业内部包含的敏感数据（如薪资标准、客户资料等）以及大量专有信息（包括产品文档、客户案例、流程手册等），RAG提供了安全的解决方案。由于这些非公开信息无法直接预置到大模型中，RAG通过外部知识调用的方式，既满足了信息需求，又确保了数据安全性。

本章节介绍MSE Nacos SDK的应用以及相关限制因素 概述 MSE Nacos 适用于各种微服务业务系统和应用场景，既可以单独使用也可以与微服务云应用平台、云容器引擎、应用服务网格等组合使用。为了您服务的稳定性，需要注意一些限制。本文介绍MSE Nacos SDK的应用以及相关的限制因素。 SDK的应用 如果您使用的技术栈是Java，既可以通过开源的Nacos客户端 SDK，也可以通过集成Spring Cloud、Dubbo等框架集成Nacos客户端访问Nacos实例，实现服务注册发现和配置管理；如果您业务使用的技术栈是Go、C++、Python、Nodejs，也可以通过开源客户端或者相关框架，访问 Nacos实例。另外， Nacos作为微服务系统的核心组件之一，也可以与服务网格和微服务网关、服务治理等组件整合使用，为云原生应用开发者提供更强大的能力。 技术栈 原生SDK 框架（Spring Boot） 框架（Spring Cloud） Java Naocs提供Java SDK 连接实例。 Spring Boot框架的接入方案请参考章节：Nacos Spring Boot快速接入 Spring Cloud框架的接入方案请参考章节：如何在MSE上为Spring Cloud应用构建服务注册中心？ SDK的使用限制 Java 不推荐的版本 不推荐原因 解决方案 0.X ~ 1.3.X 版本陈旧，影响性能。 升级至1.4.3及以上版本。 小于1.2.0 该部分版本不支持username和password注入，即不支持鉴权。 升级至1.4.3及以上版本。 1.3.3 该版本客户端不支持在密码中使用特殊字符。 升级至1.4.3及以上版本。 1.4.0 ~ 1.4.2 1.4.2版本使用配置加解密功能时，getConfigAndSignListener接口查询加密配置时返回内容为明文。 升级至1.4.3及以上版本。

本章节主要介绍下线/删除API。 操作场景 已发布的API因为其他原因需要停止对外提供服务，可以将API从相关环境中下线，相关操作请参见下线API。 下线后的API如果要继续使用，需要重新进行发布操作，但需注意下线API不会保留原有的授权信息。 下线后的API如果确认不再提供服务，可以将API删除，相关操作请参见删除API。 说明 下线API不会保留原有的授权信息。 下线将导致此API在指定的时间无法被访问，请确保已经告知使用此API的用户。 删除API导致此API无法恢复，请确认后谨慎操作。 前提条件 已创建API。 API已发布到该环境。 下线API 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据服务”模块，进入数据服务页面。 详见下图： 选择数据服务 2.在左侧导航栏选择服务版本（例如：专享版），进入总览页。 3.单击“开发API > API管理”，进入到API管理信息页面。 4.在待下线的API所在行，单击“更多 >下线”，弹出“下线API”对话框。 5.选择API需要下线的时间，单击“确定”，完成API定时下线。 删除API 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据服务”模块，进入数据服务页面。 详见下图： 选择数据服务 2.在左侧导航栏选择服务版本（例如：专享版），进入总览页。 3.在左侧选择“API目录”，进入API列表页，勾选需要删除的API，单击“删除”。 4.单击“确定”，完成API删除。 说明 如果需要批量删除API，则勾选待删除的API，单击“删除”。最多同时删除1000个API。

本文介绍训推服务使用前的准备工作。 注册主账号 在开通和使用训推服务之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后使用训推服务。 1. 详见：注册天翼云账号 2. 如需实名认证，请参考会员服务实名认证。 3. 主账号默认就是IAM管理员角色，具有平台所有权限。 为账户充值 1. 使用训推服务之前，请保证您的账户有充足的余额，账户余额需要大于100元。 2. 关于如何为账户充值，请参考费用中心在线充值。 3. 训推服务支持包周期预付费。 创建子账号 前置条件 通过主账号或角色为IAM管理员的子账号登录到训推服务 创建子账号操作步骤 1. 将鼠标放置在右上角用户登录信息处，会显示一个下拉菜单，点击【基本信息】会进入到【账号中心】页面 2. 在【账号中心】页面，点击进入【统一身份认证】页面，即【IAM】页面 3. 在【IAM】页面，再次进入【用户】页面，在页面右上角点击【创建用户】按钮，进入到【创建用户】页面，按步骤填写相关信息即可创建子用户 需要特别说明的是，在为子用户添加【用户组】时，系统预置了“admin”用户组，如果将账号用户组设置为”admin“用户组(即IAM管理员角色)，则子用户拥有所有权限；若希望子用户只拥有普通角色权限，则可以不分配用户组，此时子账号的角色为IAM普通用户。 同时为了方便组织架构较为严密的客户进行多层级资源管理，系统允许用户创建”二级管理员“用户组，其权限仅次于“admin”用户组，"二级管理员"可以和”admin“用户组组合使用，再结合工作空间能力，可实现多级账号资源管理，详见多层级资源管理最佳实践。”二级管理员“用户组创建流程如下： 创建用户组：在用户组页面，点击”创建用户组“，在创建用户组弹窗中分别填写用户组名称和描述； 为用户组授权： 1. 点击授权操作按钮； 2. 在策略名称搜索框中输入”huijuOutSLAdmin“进行搜索，选择所搜索的结果，点击“下一步”按钮，再设置最小授权范围(保持默认设置即可)，再点击“确定”即用户组创建完成，此时再创建新用户，就可以选择“二级管理员”用户组了，对应账号将拥有二级管理员权限。 当需要将子账号从某个用户组移除时，可进入到【用户组】页面，进行移除操作，移除后，子账号将不再具有对应用户组的权限

部署完成后，在foo命名空间下看到3个服务 不使用授权策略的情况下，验证从sleep应用访问httpbin应用没有被拦截（返回状态码200）： kubectl exec "$(kubectl get pod l appsleep n foo o jsonpath{.items..metadata.name})" c sleep n foo curl s o /dev/null w "%{httpcode}n" 200 查看外部授权服务已经启动，HTTP和gRPC授权服务分别监听8000和9000端口： kubectl logs "$(kubectl get pod l appextauthz n foo o jsonpath{.items..metadata.name})" n foo c extauthz 2023/08/14 11:26:54 Starting HTTP server at [::]:8000 2023/08/14 11:26:54 Starting gRPC server at [::]:9000 添加外部授权服务 将上面的HTTP和gRPC服务添加到服务网格的外部授权服务内。 定义授权策略&验证访问 定义如下授权策略，对httpbin应用的/headers路径的请求将被转发到第三方授权服务进行验证： apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: extauthz spec: selector: matchLabels: app: httpbin action: CUSTOM provider: The provider name must match the extension provider defined in the mesh config. You can also replace this with sampleextauthzhttp to test the other external authorizer definition. name: sampleextauthzgrpc rules: The rules specify when to trigger the external authorizer. to: operation: paths: ["/headers"] 从sleep应用请求httpbin的/headers路径，由于请求头带了"xextauthz:deny"，请求被拦截： kubectl exec "$(kubectl get pod l appsleep n foo o jsonpath{.items..metadata.name})" c sleep n foo curl " H "xextauthz: deny" s denied by extauthz for not found header xextauthz: allow in the request 修改请求，带上"xextauthz: allow"头部，请求放行： kubectl exec "$(kubectl get pod l appsleep n foo o jsonpath{.items..metadata.name})" c sleep n foo curl " H "xextauthz: allow" s { "headers": { "Accept": "/", "Host": "httpbin.foo:8000", "UserAgent": "curl/8.2.1", "XB3Parentspanid": "eb42a8165099e7db", "XB3Sampled": "1", "XB3Spanid": "cd6540ba1cfd9e8c", "XB3Traceid": "e7e15cc10dc66630eb42a8165099e7db", "XEnvoyAttemptCount": "1", "XExtAuthz": "allow", "XExtAuthzAdditionalHeaderOverride": "grpcadditionalheaderoverridevalue", "XExtAuthzCheckReceived": "source:{address:{socketaddress:{address:"10.1.0.25" portvalue:37654}} principal:"spiffe://cluster.local/ns/foo/sa/sleep"} destination:{address:{socketaddress:{address:"10.1.0.24" portvalue:80}} principal:"spiffe://cluster.local/ns/foo/sa/httpbin"} request:{time:{seconds:1692015383 nanos:990298000} http:{id:"7462237371770661564" method:"GET" headers:{key:":authority" value:"httpbin.foo:8000"} headers:{key:":method" value:"GET"} headers:{key:":path" value:"/headers"} headers:{key:":scheme" value:"http"} headers:{key:"accept" value:"/"} headers:{key:"useragent" value:"curl/8.2.1"} headers:{key:"xb3sampled" value:"1"} headers:{key:"xb3spanid" value:"eb42a8165099e7db"} headers:{key:"xb3traceid" value:"e7e15cc10dc66630eb42a8165099e7db"} headers:{key:"xenvoyattemptcount" value:"1"} headers:{key:"xextauthz" value:"allow"} headers:{key:"xforwardedclientcert" value:"Byspiffe://cluster.local/ns/foo/sa/httpbin;Hashc32db24acfa670a8bbe46f0897ebb70b9ccc0e630ee32afcd1ec037d6616e6c5;Subject"";URIspiffe://cluster.local/ns/foo/sa/sleep"} headers:{key:"xforwardedproto" value:"http"} headers:{key:"xrequestid" value:"aba7b68c6bee9d58b1637454075c6ece"} path:"/headers" host:"httpbin.foo:8000" scheme:"http" protocol:"HTTP/1.1"}} metadatacontext:{}", "XExtAuthzCheckResult": "allowed", "XForwardedClientCert": "Byspiffe://cluster.local/ns/foo/sa/httpbin;Hashc32db24acfa670a8bbe46f0897ebb70b9ccc0e630ee32afcd1ec037d6616e6c5;Subject"";URIspiffe://cluster.local/ns/foo/sa/sleep" } }

本章节介绍如何使用自动化回归功能管理自动化测试用例 概述 自动化回归功能基于服务契约信息快速编排被测服务、管理自动化测试用例，帮助您高效管理、回归业务测试场景，完成业务快速验证和交付。 查看用例列表 在左侧导航栏，Dubbo治理 > 自动化测试用例管理。查看当前账号下的用例列表。用例列表展示了用例名称、最后一次执行时间、最后一次结束时间、最后一次执行结果等信息，如果用例较多，可以通过环境、用例名称进行筛选或搜索。 创建用例 在用例列表页面，单击创建用例按钮。 用例名称：自定义测试用例名称。 步骤名称：自定义测试步骤名称。 环境：选择一个环境。 应用：选择需要测试的应用。 框架类型:选择Dubbo框架。 服务：选择需要测试的服务。 方法：dubbo服务中对应的方法，在列表中选择一个方法，只能单选。 基本信息：支持JSON格式的参数输入方式。其中默认入参为[]。 断言（选填）：输入检查对象和检查内容，选择检查条件。 出参提取（选填）：输入出参名和出参提取表达式。 用例详情 在用例列表页面操作列，单击详情按钮，进入到用例详情页面。在用例详情页面可以看到用例的具体信息，单击立即执行按钮用例就会开始执行，单击访问一次按钮，对应的步骤则会执行一次。

本节介绍了智能语音交互使用限制类问答。 语音合成服务对于文本格式是否有要求？ 具体语音合成服务文本格式要求也可以参考语音合成API。 目前仅支持 base64 编码方式请求，暂不支持 url 方式请求。 一次请求仅支持一条数据。 智能语音交互产品是HTTP GET请求还是HTTP POST请求？ 智能语音交互产品以API的方式提供服务，支持HTTP POST请求。 HTTP POST提供了加密传输、身份验证和授权以及请求参数验证和过滤等机制，从而可以更好的保障用户的数据安全。 智能语音交互能否提供100%识别准确率？ 智能语音交互准确率与上传的文本内容质量相关，同时也存在一定概率的误差，无法做到100%识别准确率。 如您对当前使用的智能语音交互产品服务有识别准确率相关问题，您可通过提交天翼云官网工单或者拨打客服电话【4008109889转1】联系我们。 QPS不够用怎么办？ 默认支持5个QPS，建议您在程序中可以进行一定的请求限制，避免收到大量限流报错。 注意：如果您的程序在失败时有重试机制，当您扩大并发量后接口返回错误码时，请不要重试，否则可能加重限流报错情况。 智能语音交互服务是否支持私有化部署？ 智能语音交互支持公有云、私有化部署。 您可通过提交天翼云官网工单或者拨打客服电话【4008109889转1】沟通私有化部署相关合作。

API注册 不使用VPC通道时，后端服务地址可以是什么？ 后端服务地址是否一定要配置为ECS的地址？ 后端服务是否支持绑定私网ELB地址？ 后端服务地址可以填写私有地址（子网IP）吗？ API网关可以绑定内网域名吗？ API调用 API调用失败的可能原因有哪些？ API调用返回错误码如何处理？ ​"API Not Found​"如何解决？ No backend available，怎么解决？ 后端服务调用失败或超时原因分析 API认证鉴权 是否支持HTTPS的双向认证？ “无认证”方式的API该怎么鉴权与调用？ API控制策略 是否支持对请求并发次数做自定义控制？ API调用是否存在带宽限制 怎样给指定的用户开放API 配置了身份认证的API，如何在特殊场景下（如指定IP地址）允许不校验身份？ API导入导出 API导入失败是什么原因？ swagger导入API的扩展字段有没有模板？

本章主要介绍翼MapReduce的修改集群组件鉴权配置开关功能。 操作场景 集群部署为安全模式或者普通模式时，HDFS和ZooKeeper默认会对访问服务的用户进行鉴权，没有权限的用户无法访问HDFS和ZooKeeper中的资源。集群部署为普通模式时，HBase和Yarn默认不会对访问用户进行鉴权，所有用户可以访问HBase和Yarn中的资源。 管理员可以根据业务实际需要，在普通模式集群中配置开启HBase和Yarn鉴权，或关闭HDFS和ZooKeeper鉴权。 对系统的影响 修改开关后服务的配置将过期，需要重启对应的服务使配置生效。 开启HBase鉴权 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > HBase > 配置”。 3.单击“全部配置”。 4.搜索参数“hbase.coprocessor.region.classes”、“hbase.coprocessor.master.classes”和“hbase.coprocessor.regionserver.classes”。 将协处理器参数“org.apache.hadoop.hbase.security.access.AccessController”添加到以上参数原有参数值末尾，使用英文逗号与原有协处理器分隔。 5.单击“保存”，单击“确定”。 等待界面提示操作完成。 关闭HBase鉴权 关闭HBase鉴权后，原有的权限数据会继续保留。如果需要删除权限信息，请在关闭鉴权后，进入hbase shell删除表hbase:acl。 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 服务 > HBase > 配置”。 3.单击“全部配置”。 4.搜索参数“hbase.coprocessor.region.classes”、“hbase.coprocessor.master.classes”和“hbase.coprocessor.regionserver.classes”。 将协处理器参数“org.apache.hadoop.hbase.security.access.AccessController”去除。 5.单击“保存”，单击“确定”。 等待界面提示操作完成。

本页介绍天翼云TeleDB数据库操作流程。 您可按照如下流程安装部署TeleDB。 您可参照如下流程进行安装： 1. TeleDB管控服务安装部署 2. 实例服务初始化及实例开通

参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名称。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。

参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 应用名 产生告警的应用名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。

本章主要介绍创建并使用签名密钥。 操作场景 签名密钥用于后端服务验证API网关的身份，在API网关请求后端服务时，保障后端服务的安全。 签名密钥是由一对Key和Secret组成，签名密钥需要绑定到API才能生效。当签名密钥绑定API后，API网关向后端服务发送此API的请求时，会增加相应的签名信息，此时需要后端服务依照同样方式进行签名，通过比对签名结果和API网关传过来的Authorization头中签名是否一致来校验API的合法性。 说明 每个用户最多创建30个签名密钥。 同一个环境中一个API只能被一个签名密钥绑定，一个签名密钥可以绑定多个API。 使用流程 1. 在控制台创建签名密钥。 2. 将新创建的签名密钥绑定API。 3. API网关将签名后的请求发送到后端服务，此时Authorization头中包含签名信息。后端服务通过不同的开发语言（例如Java、Go、Python、JavaScript、C 、PHP、C++、C、Android等）进行签名，比对签名结果和API网关传过来的Authorization头中签名是否一致来校验API的合法性。 图 签名密钥流程图 创建签名密钥 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API策略”。 步骤 4 在“策略管理”页面，单击“创建策略”。 步骤 5 选择策略类型，单击“签名密钥”，弹出“创建密钥”对话框。 步骤 6 填写如表 所示信息。 表 密钥信息 信息项 描述 密钥名称 自定义名称，用于识别不同的密钥。 类型 选择签名密钥的认证类型，可选择“HMAC”、“Basic Auth”、“AES”。 签名算法 选择aes的签名算法，包含以下两种： l aes128cfb l aes256cfb Key 根据选择的密钥类型，填写不同的密钥信息。 l HMAC：填写APP认证所使用密钥对的Key。 l Basic Auth：填写basic认证所使用的用户名。 l aes：填写aes认证所使用的密钥key。 l Public Key：填写publickey认证所使用的公钥。 Secret 根据选择的密钥类型，填写不同的密钥信息。 l HMAC：填写APP认证所使用密钥对的Secret。 l Basic Auth：填写basic认证所使用的密码。 l aes：填写aes认证所使用的向量。 l Public Key：填写Public Key认证所使用的私钥。 确认Secret 填写与Secret一致的值。 步骤 7 单击“确定”，完成密钥的创建。

本章节主要介绍翼MapReduce的FusionInsight Manager操作。 概述 MRS为用户提供海量数据的管理及分析功能，快速从结构化和非结构化的海量数据中挖掘您所需要的价值数据。开源组件结构复杂，安装、配置、管理过程费时费力，使用FusionInsight Manager将为您提供企业级的集群的统一管理平台： 提供集群状态的监控功能，您能快速掌握服务及主机的运行状态。 提供图形化的指标监控及定制，您能及时的获取系统的关键信息。 提供服务属性的配置功能，满足您实际业务的性能需求。 提供集群、服务、角色实例的操作功能，满足您一键启停等操作需求。 提供权限管理及审计功能，您能设置访问控制及管理操作日志。 浏览器支持能力 Google Chrome 推荐使用Google Chrome 93～95版本。 Microsoft Edge 支持Windows 10系统自带的Microsoft Edge浏览器。 说明 推荐使用Windows平台的浏览器访问FusionInsight Manager。 系统界面简介 FusionInsight Manager提供统一的集群管理平台，帮助您快捷、直观的完成集群的运行维护。 详见下图：FusionInsight Manager系统界面 界面最上方为操作栏，中部为显示区，最下方为任务栏。 操作栏各操作入口的详细功能如下表所示。 界面操作入口功能描述 入口 功能描述 主页 提供柱状图、折线图、表格等多种图表方式展示集群的主要监控指标、主机的状态统计。您可以定制关键监控信息面板，并拖动到任意位置。系统概览支持数据自动刷新，请参见主页。 集群 提供各集群内服务监控、服务操作向导以及服务配置，帮助您对服务进行统一管理。请参见集群管理。 主机 提供主机监控、主机操作向导，帮助您对主机进行统一管理。请参见主机。 运维 提供告警查询、告警处理指导功能。帮助您及时发现产品故障及潜在隐患，并进行定位排除，以保证系统正常运行。请参见运维。 审计 提供审计日志查询及导出功能。帮助您查阅所有用户活动及操作。请参见审计。 租户资源 提供统一租户管理平台。请参见租户资源。 系统 提供对FusionInsight Manager的系统管理设置，例如用户权限设置。请参见系统设置。

什么是CSM安全策略 服务网格基于istio原生安全能力进行了场景化封装和扩展，提供了更容易理解的安全策略配置能力，降低理解和操作成本，提供了一站式的安全策略配置体验。当前支持的安全策略包括 策略 描述 OIDC单点登录策略 OIDC（OpenID Connect）是基于OAuth 2.0扩展的身份认证于授权协议，通常用于实现单点登录（SSO）。服务网格支持对接外部IDP（Identity Provider）实现单点登录能力。 JWT认证策略 JWT（JSON Web Token）是一种开放标准（RFC 7519），它通常用于身份验证和授权。服务网格支持配置JWT认证策略并应用到数据面上。 黑白名单策略 基于istio AuthorizationPolicy封装了IP、域名、端口维度的黑白名单访问控制能力。 自定义授权服务策略 该策略支持将请求转发到外部服务进行鉴权，实现灵活的访问策略控制。 如何使用CSM安全策略 使用CSM安全策略需要两个步骤， 1. 定义策略，具体参考策略的配置说明 2. 将安全策略应用到数据面，当前支持命名空间、服务、工作负载、网关粒度的策略绑定能力

此小节介绍企业主机安全。 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 企业主机安全工作原理 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全服务的工作原理如图所示。 企业主机安全服务的组件功能及工作流程说明如下： 组件 说明 管理控制台 可视化的管理平台，便于您集中下发配置信息，查看在同一区域内主机的防护状态和检测结果。 HSS云端防护中心 使用AI、机器学习和深度算法等技术分析主机中的各项安全风险。 集成多种杀毒引擎，深度查杀主机中的恶意程序。 接收您在控制台下发的配置信息和检测任务，并转发给安装在服务器上的Agent。 接收Agent上报的主机信息，分析主机中存在的安全风险和异常信息，将分析后的信息以检测报告的形式呈现在控制台界面。 Agent Agent通过HTTPS和WSS协议与HSS云端防护中心进行连接通信，默认端口：443 。 每日凌晨定时执行检测

本文介绍如何在事件总线EventBridge控制台添加分布式消息服务RabbitMQ作为事件流中的服务类型。 前提条件 开通事件总线EventBridge并委托授权。 开通RabbitMQ实例，并创建好相应的交换器、队列。 创建事件流 1. 登录事件总线EventBridge控制台，在左侧导航栏，单击事件流。 2. 在创建事件流面板，设置任务名称和描述，配置以下参数，然后单击创建。 1. 在Source（源） 、Filtering（过滤） 、Transform（转换）配置向导，设置数据提供方、事件过滤、转换规则，单击下一步。 2. 在Sink（目标） 配置向导，选择服务类型为分布式消息服务RabbitMQ，配置以下参数，如图1所示。 图1 创建事件流时目标的服务类型选择分布式消息服务RabbitMQ 3. 创建事件流后，会有30秒~60秒的延迟时间，您可以在事件流 页面的状态 栏查看启动进度。 参数说明 参数 说明 示例 实例 选择分布式消息RabbitMQ实例。 instancexxx Vhost 选择RabbitMQ实例的Vhost。 POST 目标类型 选择发送到RabbitMQ的目标类型。 交换器：通过选择交换器和路由键，事件带上路由键会发送到所选择交换器。 队列：事件会发送到目标队列。 队列 queuexxx 消息体 选择作为消息体的事件内容，更多内容请参考事件内容转换。 完整事件 MessageId 选择MessageId的内容，更多内容请参考事件内容转换。 空 自定义属性 选择自定义属性（Properties）的内容，更多内容请参考事件内容转换。 空

本章节向您介绍VPC对等连接组网迁移实施步骤。 步骤一：创建云服务资源 1. 创建迁移过程中验证ER和VPC通信情况的子网。在每个待迁移的VPC内，各创建一个新的子网。 2. 在迁移验证子网内，创建ECS。在每个待迁移的子网内，各创建一个ECS。 3. 创建1个企业路由器。本示例中，对等连接两端的VPC网段不重叠，因此创建企业路由器时，同时开启“默认路由表关联”和“默认路由表传播”。 注意 如果VPC对等连接两端的VPC网段存在重叠，则不能开启企业路由器的“默认路由表传播”功能。由于该功能是将整个VPC网段学习到ER路由表中用作目的地址，那么VPC网段重叠时，会导致ER路由表内路由冲突。此时，您需要手动在ER路由表中添加指向VPC连接的路由。 步骤二：在企业路由器中添加VPC连接及路由 1. 将3个待迁移的VPC分别接入企业路由器中。添加连接时，不开启“配置连接侧路由”功能，添加“虚拟私有云（VPC）”连接。 2. 检查ER路由表中指向VPC的路由。本示例中，ER开启了“默认路由表关联”和“默认路由表传播功能”功能，那么在ER中添加“虚拟私有云（VPC）”连接时，系统会自动添加ER指向VPC的路由，无需手动添加，只需要检查即可。 说明 开启“配置连接侧路由”功能后，会自动VPC路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。迁移时，需要手动在VPC路由表中添加规划的大网段路由，不能使用自动添加的路由。 如果您未开启“默认路由表传播”功能，则需要手动在ER路由表中添加指向VPC的路由。 步骤三：验证VPC和ER之间的网络通信情况 1. 在接入ER的VPC的路由表中，添加指向ER的迁移验证路由。 2. 在弹性云主机的远程登录窗口，执行以下步骤，验证VPC和ER的网络通信情况。 登录ecsA02，验证vpcA与vpcB是否可以通过ER通信。 登录ecsA02，验证vpcA与vpcC是否可以通过ER通信。 登录ecsB02，验证vpcB与vpcC是否可以通过ER通信。 3. 验证完成后，删除迁移验证相关的路由、ECS和子网。 步骤四：在VPC路由表中添加路由 在VPCA、VPCB和VPCC的路由表中，依次添加路由。 1. 添加指向任意VPC对等连接的临时通信路由。此路由确保迁移过程中，删除原有VPC对等连接路由时流量不中断。 在vpcA的路由表中，添加1.1.1.1/32路由。 在vpcB的路由表中，添加1.1.1.2/32路由。 在vpcC的路由表中，添加1.1.1.3/32路由。 2. 添加指向ER的大网段路由。该路由的目的地址即需要覆盖待迁移的所有VPC网段，又不能被其他业务占用。 在vpcA的路由表中，添加172.16.0.0/14路由。 在vpcB的路由表中，添加172.16.0.0/14路由。 在vpcC的路由表中，添加172.16.0.0/14路由。

本文将介绍HTTP 2.0业务接入Web应用防火墙（边缘云版）服务对源站和客户端的影响。 Web应用防火墙（边缘云版）对客户端（用户侧）的请求是支持HTTP 2.0服务的。但是对于服务端（源站侧）是无法支持HTTP 2.0的。 也就是Web应用防火墙（边缘云版）节点回源站时候，HTTP 2.0的客户端请求会采用的是HTTP 1.0/1.1协议转发回源请求。 HTTP 2.0业务接入Web应用防火墙（边缘云版）防护，客户端（客户侧）是不受影响。 HTTP 2.0业务接入Web应用防火墙（边缘云版）防护，服务端（源站侧）是不受影响。 影响情况：源站的HTTP 2.0特性将会受到影响。 例如，源站HTTP 2.0的多路复用特性可能失效，造成源站业务带宽有所上升。

拒绝已经接受的共享镜像 操作场景 用户接受了其他用户共享的镜像后，如果不再需要关注该共享镜像，可以将该共享镜像从自己的可使用共享镜像列表拒绝。 拒绝后，该镜像不再显示在共享镜像列表中。 前提条件 已接受其他用户共享的镜像。 操作步骤 1. 登录控制台。 2. 选择“镜像服务”。 进入镜像服务页面。 3. 单击“共享镜像”页签进入镜像列表页面。 4. 请选择拒绝镜像方式： − 拒绝批量镜像：勾选需要拒绝的镜像，单击列表上方的“拒绝”，并在弹出的“拒绝镜像”对话框中，确认拒绝的共享镜像信息，单击“是”。 − 拒绝单个镜像：在需要拒绝的私有镜像所在行的“操作”列，单击“更多 > 拒绝”，并在弹出的“拒绝镜像”对话框中，确认拒绝的共享镜像信息，单击“是”。 接受已经拒绝的共享镜像 操作场景 用户拒绝了其它用户共享的镜像后，如果再需要使用该共享镜像，可以将该共享镜像从自己的已拒绝镜像的列表中重新接受。 前提条件 已拒绝其他用户共享的镜像。 其它用户未取消共享该镜像。 操作步骤 1. 登录控制台。 2. 选择“ 镜像服务”。 进入镜像服务页面。 3. 单击“共享镜像”页签进入镜像列表页面。 4. 单击“已拒绝镜像”，弹出“已拒绝镜像”列表。 5. 选择需要再次接受的镜像，单击“再次接受”。完成已拒绝共享镜像的重新接受。 6. 在“共享镜像”的镜像列表中可以查看步骤5中重新接受的镜像。

本文为您介绍CTCCLSlowdetect最佳实践。 在4台A8008，每台节点有8张mlx网卡，RoCE组网，部署慢节点工具套件。其中，在4节点上容器化部署模型训练基础环境以及llama27b训练模型，在node1上容器化部署ctccm服务，并在每一台节点上容器化部署ctcclprofiler服务。 在训练任务代码中调用ctcclprofilercomm API： 在训练脚本中配置相关环境变量 启动ctccmslowdetect服务 export PATH"/usr/local/python3/bin:$PATH"（替换为自己的安装路径） && ctccm nnodes 4 port 8002 debug 启动所有节点上的ctcclprofilernet服务 启动分布式训练任务，ctccm会收到任务的逻辑拓扑 ctccm在训练中检测集群中是否存在慢节点，一旦发现慢节点则下发开始收集细粒度的监控信息的控制信号，并做慢节点定位定界。 当计算慢时，ctccm会给出计算慢的TP通信域所包含的rank。 当通信慢时，ctccm会给出慢的QP以及它所对应的网卡对和所在节点。

本文为您介绍如何查看任务中迁移失败的对象。 操作场景 对象迁移服务支持记录迁移失败的对象，并在该任务的详情页面中展示失败对象的列表，方便您查看。 前提条件 迁移任务结束后，任务中有迁移失败的对象。若任务迁移中不存在迁移失败的对象，则失败对象列表中无对象展示。 注意 迁移中忽略的对象并不是失败对象，您可以通过“同名文件处理策略”来控制是否对同名的对象执行忽略不迁移。 操作指导 1.登录控制中心，点击控制中心左上角的，选择地域（服务入口目前仅开放“华东1”地域）。 2.单击“对象存储>对象存储迁移服务>迁移任务 ”进入迁移服务的迁移任务控制台。您可以通过点击任务名称，进入该任务的详情页面，在“失败对象列表 ”部分查看失败对象。失败对象列表支持您进行迁移任务中失败的对象的查询，您可以在这里查看失败对象名称，也可通过列表右上方的“ 重试任务 ”按钮，快速进行失败任务的重试。 说明 这里点击“重试任务”按钮与任务列表中的“重试”按钮一致，仅当任务结束，且存在失败对象时可执行重试。 半托管模式的迁移任务的失败对象列表无法在控制台直接查看，任务会生成包含失败对象列表的文件，在指定目录下供您查阅。

本章节介绍故障演练服务中应用资源管理功能。 概述 应用资源 是构成应用 的组件节点，例如云主机 、云容器引擎 、分布式缓存服务Redis版 、分布式消息服务Kafka等实例。应用需要先纳管资源，才能对其进行故障演练。 添加应用资源 1. 登录应用高可用服务控制台。 2. 在左侧导航栏中，定位到故障演练 菜单，选择要操作的目标应用 ，然后单击其下的应用资源 选项，进入应用资源管理页面。 3. 在页面上方的资源类型 页签中，选择希望添加的资源类型（如云主机），然后单击添加资源按钮。 4. 在弹出的对话框中，选择资源池等筛选条件 ，单击搜索，系统将列出符合条件的、当前用户有权访问的资源清单。 5. 从列表中勾选 一个或多个资源，然后单击确认完成添加。 6. 返回应用资源列表，可以看到新添加的资源对象。 注意 列表中显示的资源状态可能存在一定延迟，如需获取最实时的信息，以该资源对应的云产品控制台为准。 删除应用资源 1. 进入目标应用的应用资源管理页面。 2. 在应用资源 列表中，找到希望删除的资源对象，单击其对应的删除按钮。 3. 在弹出的确认对话框中完成删除操作。 4. 返回应用资源列表，确认该资源对象已被成功移除。 注意 若目标资源被演练任务引用，则无法直接删除；必须先解除所有关联任务对该资源的引用，才能进行删除操作。

section会退集群实例的节点 " ")。 回退集群实例的节点 当申请的数据库节点添加失败时，您可以回退添加失败的节点。 批量回退 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，在添加节点失败的集群实例上，选择“更多 > 回退”。 步骤 5 在弹出框中，单击“是”，开始回退。 回退过程中，实例运行状态显示为“删除节点中”，此过程约1～3分钟。 单个删除 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择添加节点失败的集群实例，单击实例名称。 步骤 5 在“基本信息”页面的“节点信息”区域，选择“mongos”或“shard”页签，在添加失败的mongos、shard或只读节点上，选择“删除”。 步骤 6 在弹出框中，单击“是”，删除节点。 删除过程中，实例运行状态显示为“删除节点中”，此过程约1～3分钟。

参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 NameService名 产生告警的NameService名称。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。

参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名称。 目录名 产生告警的目录名称。 Trigger Condition Kafka数据目录状态异常。