本章节主要介绍有关购买类的常见问题。 集群被冻结了，导致无法使用，如何解冻？ 原因分析 当您的账户余额不足导致系统扣费失败时，您的服务资源将会进入保留期，保留期内服务资源将被冻结而无法使用，但资源和数据会为您保留。 处理方法 请及时为账户充值以确保账户余额不为0。 为什么在订购页面无法点击“提交”？ 请您在订购页选择各项配置，并确保您的账户余额不小于100元，请确保您账号上的现金金额不低于100元。 如您的账户余额不足，请参考续订章节中有关“按需续订”的内容，为您的账号进行续费。 开通服务时，页面提示“配额不足”如何处理？ 服务对用户的资源数量和容量做了限制。如果资源配额限制满足不了用户的使用需求，可以通过工单系统来提交您的申请，并告知您申请提高配额的理由。在通过我们的审核之后，我们会更新您的配额并进行通知。 也可联系您的客户经理，或拨打4008109889，请技术人员协助您处理。 区域和可用区 什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。

本页介绍天翼云TeleDB数据库冷热数据分离加密。 创建透明加密算法 teledb c mlsadmin Password for user mlsadmin: You are now connected to database "teledb" as user "mlsadmin". teledb> select MLSTRANSPARENTCRYPTCREATEALGORITHM('AES192', '1234567adbdef'); mlstransparentcryptcreatealgorithm 1 (1 row) 第一个参数为透明加密算法：AES128，AES192，AES256，SM4。 第二个参数为透明加密算法密码，可以自行设置。 创建带加密算法的USER MAPPING teledb CREATE USER MAPPING FOR XXX SERVER minionforeignserver OPTIONS (user 'XXX', algoid ‘X’, accesskey 'XXXXXXXXXXXXX', secretkey 'XXXXXXXXXX'); CREATE USER MAPPING User：对象存储服务用户名（如有）。 algoid：创建的透明加密算法id，如上面的1。 Accesskey：对象存储服务accesskey。 Secretkey：对象存储服务secretkey。 创建成功后可以查看系统表pgusermapping，ak和sk是否已经加密，是否带有algoid。 teledb select from pgusermapping; umuser umserver umoptions ++ 10 16583 {userXXX,algoid1,accesskeyXXXXXXXXXXXXX,secretkeyXXXXXXXXXX} (1 row)

本节介绍如何配置AntiDDoS流量清洗日志到云日志服务。 启用AntiDDoS防护功能后，您可以将攻击日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的AntiDDoS日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 前提条件 已开通云日志服务。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“日志”页签，开启日志，并选择日志组和日志流。 日志参数说明： 参数 说明 选择日志组 选择已创建的日志组，或者单击“查看日志组”，跳转到LTS管理控制台创建新的日志组。 记录攻击日志 选择已创建的日志流，或者单击“查看日志流”，跳转到LTS管理控制台创建新的日志流。 攻击日志记录每一个攻击告警信息，包括攻击类型、防护的IP等信息。 5. 单击“确定”，日志配置成功。 您可以在云日志服务管理控制台查看AntiDDoS的防护日志。 日志字段说明 全量日志字段说明 字段 说明 logType 日志类型。默认为“ipattacksum”，攻击日志。 deviceType 上报日志的设备类型。默认为“CLEAN”，清洗设备。 inKbps 入流量（单位：kbps）。 maxPps 入流量峰值（单位：pps）。 dropPps 丢弃的流量均值（单位：pps）。 maxAttackInBps 攻击流量峰值时刻的入流量值（单位：bps）。 currentConn 当前连接数。 zoneIP 防护的IP。 logTime 日志产生的时间。 attackType 攻击类型。数值对应的攻击类型请参见攻击类型说明。 inPps 入流量（单位：pps）。 maxKbps 入流量峰值（单位：kbps）。 dropKbps 丢弃的流量均值（单位：kbps）。 startTime 攻击开始时间。 endTime 攻击结束时间，为空时则表示攻击还未结束。 maxAttackInConn 攻击流量峰值时刻的连接数。 newConn 新建连接数。

请求状态码 正常状态码 描述 :: 200 服务器返回成功，该操作是幂等的 400 用户请求错误，该操作是幂等的 401 用户无权限（用户名或者密码错误等） 403 访问受限，被禁止 404 用户请求路径不存在 429 Too many Request 500 服务端异常 502 网关错误 503 服务不可用

背景信息 为避免监控服务对您的资源使用造成影响，当监控Agent占用资源超过阈值时，监控Agent将自动退出。本文将介绍当主机监控Agent自动退出时的解决方法。 操作步骤 Linux系统 1. 以root用户登录云主机。 2. 执行以下命令，在dmesg日志中，查看telegraf相关日志。 plaintext dmesg grep telegraf 如果文件dmesg中的日志出现Memory cgroup out of memory字样，则说明资源消耗超过阈值，例如： 3. 在云主机监控Agent服务所在目录/usr/lib/systemd/system/（ubuntu系列发行版 /etc/systemd/system/）中，修改文件telegraf.service中资源限制相关参数。 1. 执行以下命令，修改目录/usr/local/cloudmonitor/localdata中的文件agent.properties。 plaintext cd /usr/lib/systemd/system/ vi telegraf.service 请您根据实际资源占用情况设置资源限制参数，以下数据仅做参考： CPU限制为单核10%。CPUShares1024 内存限制，单位为MB。MemoryLimit200M 2. 按Esc键，输入：wq，再按Enter键，保存并退出文件telegraf.service。 4. 执行以下命令，重新加载云主机监控Agent服务配置文件telegraf.service。 plaintext systemctl daemonreload 5. 执行以下命令，重启云主机监控Agent。 plaintext systemctl restart telegraf

本文介绍分布式消息服务RocketMQ入门指引的创建应用用户和密码内容。 背景信息 新建消息实例后，必须新建应用用户，然后应用才能在此消息实例上发送、消费消息。 应用用户：指MQ客户端，连接服务器生产消费时，需要进行权限校验，所以MQ客户端的用户，称为应用用户；除了用户密码的校验，还可以为用户指定Topic，代表该用户只能生产消费指定的Topic，其他Topic不能生产消费。 操作步骤 1、 天翼云官网点击控制中心，选择产品分布式消息服务RocketMQ。 2、 登录分布式消息服务RocketMQ控制台，点击右上角地域选择对应资源池。 3、 进入实例列表，点击【管理】按钮进入管理菜单。 4、进入应用用户管理（旧模式）或者角色控制（新模式）菜单。 （1）旧模式维护用户及权限 以下适用于上海6、北京4、内蒙5、西安3、重庆2、拉萨3、南京3、雄安2、晋中、郴州2、成都4、杭州2、上海7、西安4、福州3、泉州1、芜湖2、北京5、中卫2、贵州3、九江、内蒙6、武汉4、佛山3、福州4、昆明2、保定、乌鲁木齐27、辽阳1节点。 1）点击【新建用户】按钮 2）进入用户列表界面，新增用户 3）弹出框填写用户字段 默认展示租户名，不可修改。 选择集群名称，填写应用用户名，请输入大于6位字符，只能输入大小写字母，下划线，数字。 填写用户密码，请输入大于8位字符，需要包含数字大小写字母以及特殊符号(!@

本章介绍主机迁移服务如何将主机迁移到具体的企业项目下。 背景 主机迁移服务支持将主机迁移到具体的企业项目下。了解企业项目管理，请参见什么是企业项目管理？ 如果您的账号已经开通企业项目，在源端SMSAgent输入AK/SK启动时，Agent会查询有主机迁移权限的企业项目并罗列，供您选择。选择具体的企业项目后，主机迁移服务会将主机迁移到您指定的企业项目中。实现迁移时权限、资源和财务的隔离。 开通并创建企业项目 开通企业项目 请参考如何开通企业项目，申请开通企业项目。 创建企业项目 请参考企业管理快速入门，完成创建用户组“ TestEPS ”、创建IAM用户“ TestEPSUser ”、为用户组“ TestEPS ”添加IAM用户“ TestEPSUser ” 、 创建企业项目“ TestEPSProject ”等操作。 配置权限 请参考权限管理完成权限配置。 迁移实施 1. 安装对应操作系统版本的SMSAgent。 2. 启动SMSAgent，Agent会查询企业项目并罗列，选择您需要迁移到的企业项目。例如：“TestEPSProject”。 3. SMSAgent启动成功后，登录SMS控制台，可以看到企业项目“TestEPSProject”。 4. 后续迁移步骤与“default”企业项目相同，请参考设置迁移目的端，开始服务器复制并启动目的端，进行配置并迁移。

本节主要介绍智能视图服务的规格与限制。 分类 规格与限制 使用前提 拥有天翼云账号并完成实名认证。 设备接入 互联网接入：设备需能够正常访问互联网。 专线接入：支持设备通过专线接入，如您有专线接入需求，请联系客户经理。 网络传输 网络的传输质量建议符合以下要求：网络时延上限值为400ms，时延抖动上限值为50ms。 为保证服务的使用，建议您本地的上行带宽能达到视频传输的要求，并留有余量。 功能使用 单用户默认可接入2万台设备（设备类型不限）。 控制台录像下载单个文件时长最长2小时。 说明 若以上规格与限制不能满足您的需求，请提交工单。

本文介绍了文档数据库服务DDS如何开启或关闭实例释放保护。 文档数据库服务DDS开启或关闭实例释放保护的功能指引如下： 操作场景 当您需要保护您的实例不会因误操作而被退订，您可开启实例释放保护；当您需要退订实例时，可关闭实例释放保护来进行退订操作。 约束限制 如果您开启了实例释放保护，则无法进行实例退订操作。 操作步骤 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 在“配置信息”页签中“释放保护”模块中，点击“设置”。 4. 在弹框中点击开关按钮，然后点击“确定”，即可开启或关闭实例释放保护。

本章节主要介绍天翼云物理机的功能。 订购及管理 物理机服务的开通/订购需通过联系客服或客户经理的方式，由天翼云后台进行开通处理，并可在控制台对物理机进行开机、关机、重启等管理操作。 提供多种操作系统 支持常用的Windows、Linux操作系统，用户订购物理机时可指定操作系统类型。 物理机与云主机网络互通 物理机服务支持部署在VPC中，支持IPv6特性，可实现物理机与物理机之间、物理机与云主机之间网络互通，满足不同业务场景对物理机、云主机部署的需求。 物理机支持多种网络类型：VPC网络、高速网络、IB网络、自定义VLAN网络等。 物理机与云存储 支持挂载云硬盘，在线扩容，解决了传统物理服务器受限于本地硬盘容量的问题。 支持挂载共享云硬盘，由多台服务器并发读写访问，满足企业核心系统集群部署的需求。 物理机镜像 物理机支持公共镜像、私有镜像和共享镜像。用户可通过选择公共镜像快速发放物理机，免操作系统安装，通过定制的私有镜像可以一键创建所需要的物理机服务器，节省重复配置物理机的时间。 物理机生命周期管理 支持物理机和HPC生命周期管理，可以通过公有镜像或者私有镜像进行快速部署及发放，网络自动配置，发放完成即可使用。 混合部署，灵活组网 物理机在可用分区内，内网互通。通过VPC实现与外部资源的互通，同时可以结合ECS等服务混合部署、灵活组网，满足用户多种复杂场景的不同诉求。

企业中心服务协议

后续操作 开启Smart Connect后，您可以配置Kafka间的数据复制、配置Kafka数据转储至OBS，实现分布式消息服务Kafka和其他云服务之间的数据同步。

本文介绍零信任安全策略。 配置安全策略前提条件 已经订购边缘安全加速平台零信任服务，若未订购，请参见服务开通。 先接入远程办公服务，请参见零信任服务快速入门。 不同能力版本提供能力不同，请参见零信任服务版本差异对比。 安全策略概览 下表将为您描述目前边缘安全加速平台零信任服务具备的安全策略以及应用场景。 模块 功能说明 说明 应用场景 访问控制 企业使用远程零信任办公服务，部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源、访问IP、用户粒度、访问时间等进行访问控制，实现更灵活和安全的企业远程办公访问体验。 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 横向扫描防护 针对横向扫描的行为进行设定不同策略模版，如IP类横向渗透防护、域名类横向渗透防护，支持针对单用户账号，设备，相同公网IP进行不同协议、端口、地址的组合判断其频次，若高于异常则进行阻断或挑战认证。该功能是实时统计，达到阈值立即处置。 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 准入管控 针对企业管理要求，通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功，进入内网访问，保障其企业安全性。 希望网站防止被恶意篡改页面内容时配置 动态授权 基于零信任多维度综合分析引擎，根据采集和上报的不同指标数据，对用户访问行为进行可信评估并实时联动处置。 希望网站避免泄露身份证、手机号等敏感信息时配置 内外网隔离 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 RBI云端浏览器 RBI云端浏览器是基于零信任网络+远程浏览器隔离技术，以“不让数据流出去、不让坏数据流进来”为宗旨，通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯。

本文主要介绍修复插件配置（Linux） 操作场景 本章节主要介绍安装Agent后，修复插件配置，免去手动配置Agent的步骤。推荐采用此方法配置Agent。 注： "修复插件配置"针对1.0.8及以上版本的Agent，低于该版本请升级Agent后再执行"修复插件配置"，或参考手动配置Agent（Linux，可选）手动配置Agent。 "修复插件配置"暂不支持物理机，物理机配置Agent，请参见手动配置Agent（Linux，可选）章节。 Agent插件配置完成后，因监控数据暂未上报，插件状态仍显示“未安装”，等待35分钟，刷新即可。 当插件状态为“运行中”并且监控状态开启时，说明Agent已安装成功并开始采集细粒度监控指标。 修复插件配置 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务 > 主机监控”。 3. 在主机监控界面，勾选已安装插件的主机。 4. 单击“修复插件配置”。 5. 在弹出页面上，单击“一键修复”。 当“插件状态”变为“运行中”并且“监控状态”开启时，说明Agent已安装成功并开始采集细粒度监控指标。

内存优化型（服务管理费用） 规格名称 核数 内存 按需计费（元/节点/小时） 包月计费（元/节点/月） ::::: m6.2xlarge.8 8核 64GB 0.312 149 m6.3xlarge.8 12核 96GB 0.477 229 m6.4xlarge.8 16核 128GB 0.624 299 m6.6xlarge.8 24核 192GB 0.702 337 m6.8xlarge.8 32核 256GB 0.702 337 m6.16xlarge.8 64核 512GB 0.702 337 超高I/O型（服务管理费用） 规格名称 核数 内存 按需计费（元/节点/小时） 包月计费（元/节点/月） ir3.4xlarge.4.linux.mrs 16 64 0.624 299 ir3.8xlarge.4.linux.mrs 32 128 0.702 337 LTS版集群 LTS集群服务管理费，以“核数”为单位计费，收费项与普通集群相同。 以购买10个规格为8核的节点集群为例： 按需集群：单价为0.052元/核/小时，集群服务管理费为 8x10x0.0524.16元/小时。 包周期集群：单价为25元/核/月，集群服务管理费为8x10x252000元/月。 规格名称 核数 按需计费（元/节点/小时） 包月计费（元/节点/月） mrs.unit.lts.linux.bigdata 1 0.052 25 说明 因各资源池部署规格不尽相同，且可选资源会根据用户订购情况动态变化，故实际可选规格请以开通资源时各资源池展示规格为准。

本章节主要围绕以自行部署的网关应用为入口，介绍全链路灰度的最佳实践 概述 本文以consumer和provider应用为例，分别发布consumerv1，providerv1和 consumerv2，providerv2两个版本的应用。同时以微服务云应用平台部署的网关作为入口应用，泳道规则设置为参数version2时，请求路由到consumerv2，providerv2。 前提条件 需开通微服务治理中心企业版。 操作流程 创建并发布V1版本应用实例 创建providerv1 和 consumerv1 应用实例，需勾选上接入微服务服务治理中心。 发布网关应用 创建并发布gateway应用实例，需勾选上接入微服务服务治理中心。 通过网关访问consumer和provider 进入gateway应用终端，通过curl命令访问网关，curl podip:27180/nacos/consumer/callProvider。 根据返回信息可以看到providerv1应用pod的IP，到这可以确定 gateway>consuerv1>providerv1 链路是通的。 创建泳道组及泳道 1. 创建泳道组 在左侧导航栏，选择服务治理 > 全链路流量控制，点击创建泳道组及泳道。 入口类型选择：在MSAP部署的应用/网关，入口应用选择：msegateway 2. 创建分流泳道 路由规则选择上面步骤在云原生网关中创建的路由规则，条件列表中，参数类型选择Query，参数填version，条件选择等于，值填写2。 创建完成后，可以看到泳道状态是关闭的。此时规则还未生效。

3. 如何查看缓存命中情况 说明 缓存命中属于“尽力而为”的底层优化机制，系统为每个会话维持保留缓存的时间是有限的，如果调用时间过长，或超出了系统承载能力，缓存将被释放。 您可以通过以下两种方式查看您的缓存命中数据： 方式一：通过平台“调用监控”查看 在模型推理服务“调用监控服务详情”页面。在调用Token量图表筛选条件中选择“按Token用量付费”“缓存命中”，即可直观地按时段查看缓存命中的Token量。 方式二：通过 API 返回的 usage 字段实时查看 在模型服务调用返回的信息中，usage字段会透出本次请求Token的消耗明细： plaintext { "code": 0, "id": "chatcmpl17746032558594390000da17b1bf", "choices": [], "created": 1774603256, "model": "DeepSeekV3.2", "object": "chat.completion.chunk", "usage": { "completiontokens": 200, "prompttokens": 414, "totaltokens": 614, "prompttokensdetails": { "cachedtokens": 256 } } } 计费说明 关于支持缓存命中的模型，Input (输入) Token 的计费将被自动拆分为两部分： 未命中缓存：按照模型输入单价的标准价格进行计费。 命中缓存：按照模型“缓存命中”的输入价格进行计费。 Output (输出) Token：无论是否命中缓存，输出部分的计费标准保持不变。 注意 缓存命中价格全天时段统一，不参与优惠时段（00:0008:00）折扣。

CTCCLSlowdetect是天翼云自研的用于大模型训练中慢节点检测的工具套件,需配合CTCCL0.4.0及以上使用。 功能介绍 CTCCLSlowdetect1.0.0工具套件架构如图所示，包括三个模块。 · ctccm：跨节点的集中式慢节点诊断工具。部署在和所有训练任务节点网络互通的节点上，每个大模型训练任务只需部署一个ctccm服务。负责收集汇总和集中发现与定位慢节点问题。 · ctcclprofilercomm：通信域级别集合通信信息统计工具。在每个训练任务所在的节点/容器内安装ctcclprofilercomm插件，在训练任务的脚本中import相关库并调用API接口使用，负责获得训练任务的通信域任务拓扑，以及收集通信域级别的超时集合通信操作事件，提供给ctccm进行慢节点分析诊断。 · ctcclprofilernet：机间通信边缘诊断工具。在每个训练任务所在的节点/容器内部署ctcclprofilernet服务，每个训练任务节点都需要部署1个独享的ctcclprofilernet服务。负责在边缘处理与初步诊断机间通信数据。 在大模型训练任务中使用CTCCLSlowdetect1.0.0工具套件，能够实现大模型训练过程中通信原因与非通信原因的慢节点检测。在发现集群中慢节点存在时，自动化开启全量集合通信操作事件监控，进一步分析定位慢节点。

本节介绍了容器镜像版本不可变的用户指南。 概述 容器镜像服务支持开启镜像版本不可变功能，保证相同版本的镜像仅被成功推送一次，可有效避免因误操作引起的版本覆盖问题。现支持命名空间级别的配置，并可自定义需要开启镜像版本不可变功能的镜像仓库和版本。 操作步骤 创建版本不可变规则 1. 进入容器镜像服务控制台。 2. 点击已开通实例名称，左侧导航栏点击"容器镜像" "版本不可变" ，点击页面中的添加规则按钮。 3. 填写规则生效的仓库和Tag，以及需要保留最近推送的Tag数目。仓库和Tag的匹配规则如下： 参数 说明 key 精确匹配名称为key的仓库或Tag key 匹配前缀为key的仓库或Tag 匹配所有仓库或Tag {key1,key2,key3} 匹配多个仓库或Tag 管理版本不可变规则 1. 进入容器镜像服务控制台 。 2. 点击已开通实例名称，左侧导航栏点击"容器镜像" "版本不可变" ，可查看已有的版本不可变规则列表。 3. 点击编辑按钮可以调整已有的版本不可变规则内容。 4. 点击禁用按钮可以禁用已有的版本不可变规则。 5. 点击删除按钮可以删除已有的版本不可变规则。

本章节介绍Redis节点故障演练。 背景介绍 Redis 高可用依赖主备同步与故障切换。主/备节点进程因缺陷、配置或误操作停止时，可能触发切换或影响应用：主节点停触发主备切换，备节点停影响读能力和冗余。本演练模拟核心进程停止，验证高可用切换和客户端故障转移，帮助您评估业务影响。 基本原理 通过调用Redis停止Redis服务OpenAPI，模拟Redis节点故障，故障会触发Redis HA机制进行自动恢复。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式缓存服务Redis版 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标Redis 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式缓存服务Redis版。 添加实例 ：单击添加实例 ，勾选上一步中添加的Redis实例。 添加故障动作 ：单击立即添加 ，在列表中选择Redis节点停止动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 故障节点 ：注入故障的目标节点（主节点或备节点）。

本文介绍云搜索服务需要掌握的基本概念。 实例 云搜索服务是以实例为单位进行组织，一个实例代表一个独立运行的搜索服务，与集群维度对应，由多个相同规格的云主机节点构成。 索引（Index） 用于存储Elasticsearch或OpenSearch的数据，是一个或多个分片分组在一起的逻辑空间，类似于传统数据库，存储具有相同结构的文档。 文档（Document） Elasticsearch或OpenSearch存储的实体，是可以被索引的基本单位，相当于关系型数据库中的行，代表一个具体的实体记录。 分片（Shard） 分片是索引的逻辑分区，用于水平分割数据，提高存储和查询的可扩展性。当您创建一个索引时，您可以根据实际情况指定分片的数量。每个分片托管在实例中的任意一个节点中，且每个分片本身是一个独立的、全功能的“索引”。 分片的数量只能在创建索引前指定，且在索引创建成功后无法修改。 副本（Replica） 副本是实际存储索引分片的一个副本，可以理解为备分片。副本的存在可以预防单节点故障。使用过程中，您可以根据业务情况增加或减少副本数量。 映射（Mapping） 用来定义字段的类型，可以根据数据自动创建。 字段（Field） 组成文档的最小单位，代表特定属性或数据项，每个字段都有一个数据类型和相关设置。

本文为您介绍批量新增非天翼云云主机的具体操作。 使用条件 进行批量新增非天翼云云主机操作前，需创建命名空间。 新增非天翼云云主机时，需选择分区类型存在三方数据中心的命名空间。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“资源管理”“云主机”，进入云主机列表页。 5. 在列表上方下拉菜单中选择需要进行新增非天翼云云主机操作的命名空间。 6. 点击“新增非天翼云云主机”按钮，选择“新增批量”。 7. 在批量新增非天翼云云主机弹窗中，点击“下载模板”，在模板上填写非天翼云云主机相关信息。 8. 将模板中说明行删除后，保存文件，点击弹窗内“上传”按钮，完成批量非天翼云云主机信息上传。 9. 上传后，可查看可导入和无法导入的非天翼云云主机。 10. 确认信息后，点击“确定”按钮，完成可导入非天翼云云主机批量导入。

操作场景 当您需要对指定保护组下的所有资源开启保护时，可参考本章节执行开启保护操作。 开启保护后，保护组内满足条件的所有保护实例开始数据同步。 前提条件 保护组中保护实例的状态为“待保护”或者“开启保护失败”时，才能开启保护。 操作步骤 1. 登录管理控制台。 2. 单击服务列表，选择“存储 > 存储容灾服务”。进入“存储容灾服务”页面。 3. 在“异步复制”页面，单击待开启保护的保护组所在站点复制对的保护组数。进入对应站点复制对的保护组页面。 4. 在左侧导航选择相应的保护组。进入保护组详情页面。 5. 在保护实例列表中，单击待开启保护的保护实例所在行操作列的“更多 > 开启保护”。如果有多个保护实例需要开启保护，可同时勾选需要开启保护的保护实例，单击保护实例列表上方的“开启保护”。 6. 在弹出的确认对话框中，确认待开启的保护实例信息后，单击“是”开启保护，保护实例状态变为“开启保护中”。 7. 开启保护执行完成后，保护实例状态变为“同步中”，继续同步差异数据。 说明 开启保护后，数据同步会先读取差异数据，并从磁盘读取数据同步至容灾端，此时会增加磁盘的读带宽，可能会造成业务影响，建议在业务低负载时开启。

本文主要介绍流数据实时处理框架Flink接入Kafka 。 最佳实践概述 场景描述 如果您想要在流数据实时处理场景下，使用Kafka作为流数据的源或者使用Kafka作为流数据的目的，需要将Kafka与Flink对接，可以参考本实践方案。 技术架构图 暂无。 方案优势 用户可按业务需要，参考设置Kafka与Flink框架对接，实现流数据的消息消费。 前提条件 需已购买Kafka实例、创建Topic，并且已成功消费消息。 资源规划 本实践方案内容仅涉及Kafka专享版实例和Flink的安装配置。 分布式消息服务 Figure 分布式消息服务 资源类型 配置项 配置明细 说明 :::: 企业中间件 DMS Kafka专享实例 需已购买kafka专享实例，创建好Topic，并成功消费消息。 Flink流数据处理框架 Figure Flink框架 资源类型 配置项 配置明细 说明 :::: 应用软件 Flink框架 Flink 1.14 使用开源Apache Flink 方案正文 获取Kafka访问地址 1、登录分布式消息服务Kafka版控制台，按需要单击“实例名称”，进入实例基本信息页面。 图 Kafka控制台实例列表 2、在“连接地址”模块，获取Kafka连接IP地址。 图 连接IP地址与端口

本文主要介绍重启实例。 操作场景 分布式消息服务Kafka管理控制台支持重启运行中的Kafka实例，且可实现批量重启Kafka实例。 说明 在Kafka实例重启过程中，客户端的生产与消费消息等请求会被拒绝。 前提条件 只有当Kafka实例处于“运行中”或“故障”状态，才能执行重启操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 通过以下任意一种方法，重启Kafka实例。 勾选Kafka实例名称左侧的方框，可选一个或多个，单击信息栏左上侧的“重启”。 在待重启Kafka实例所在行，单击“重启”。 单击Kafka实例名称，进入实例详情页面。单击右上角的“重启”。 步骤 5 在“重启实例”对话框中，单击“是”，完成重启Kafka实例。 重启Kafka实例大约需要3到15分钟。Kafka实例重启成功后，实例状态切换为“运行中”。 说明 重启Kafka实例只会重启实例进程，不会重启实例所在虚拟机。

四、vLLM Benchmark 1. 前言 vLLM Benchmark 是 vLLM 框架用于评估和优化其推理性能的标准化测试工具集，核心作用是为大语言模型（LLM）的推理服务提供量化指标，帮助开发者优化模型部署策略。 2. 测试环境配置 如下图所示为测试环境拓扑，其中GPU云主机配置有4块GPU卡。部署DeepSeek的模型，安装vLLM推理引擎服务并启动；启动Open WebUI服务来接入到vLLM，实现从浏览器客户端登录系统进行问答；vLLM Benchmark用于进行性能压力测试，sharegpt dataset数据集用于性能压测过程的输入数据。 可以通过如下命令来安装vLLM Benchmark工具脚本： plaintext git clone cd vllm/benchmarks/ 3. 测试实践 使用vLLM Benchmark进行性能测试时可以指定sharegpt数据集。 Sharegpt数据集的所有问题论来自于真实的用户提问，更贴近实际应用场景，可以全面、真实地评估模型在实际应用场景中的表现。具体的指标和测试方法见下文。 如下所示为性能压测命令： plaintext python benchmarkserving.py model /root/modelpath/deepseekai/DeepSeekR1DistillQwen32B backend vllm datasetname sharegpt datasetpath /root/ShareGPTV3unfilteredcleanedsplit.json maxconcurrency 1 numprompts 50 命令参数解释如下： model：指定模型路径； backend：指定后端推理引擎类型； datasetname：指定数据集类型； datasetpath：指定数据集路径； maxconcurrency：指定并发数，默认为1； numprompts：指定总的请求数； 对应的测试结果如下所示： 指标说明： 测试结果中的具体指标含义如下所示： Output token throughput(tok/s）：输出 Token 吞吐量，单位为 tok/s，是衡量大模型服务生成效率的核心指标，指系统每秒能够生成的输出 token 数量。它直接反映模型的文本生成速度和系统的整体处理能力，是评估推理成本和服务商业价值的关键依据。 TTFT：Time to First Token，首 Token 延迟，是衡量大模型服务响应速度的核心指标，具体指从用户发送请求到系统生成第一个输出 。 TPOT：指排除首 Token 延迟后，生成每个后续输出 token 的平均耗时。计算公式为：总解码时间 / 输出 token 数量。例如，若 TPOT 为 50ms，则每秒可生成 20 个 token。 ITL：连续两个输出token之间的间隔时间，单位毫秒，反映生成稳定性。 指定输入输出token长度 当使用的数据集为random类型的时候，执行vLLM Benchmark压测命令的时候可以指定输入长度和输出长度，测试命令如下： plaintext python vllm/benchmarks/benchmarkserving.py model /root/modelpath/deepseekai/DeepSeekR1DistillQwen32B backend vllm datasetname random randominputlen 256 randomoutputlen 256 maxconcurrency 1 numprompts 50 进行上述测试时如果使用vllm启动的时候添加了servedmodelname参数以及apikey参数，测试的时候需要在上述命令中加入servedmodelname内容，并且在环境变量中添加OPENAIAPIKEYyourkey。

本章节主要介绍翼MapReduce服务的API使用说明。 OpenAPI门户提供了产品的API文档、API调试、SDK中心等信息与能力。 您可以前往OpenAPI门户，了解如何使用翼MapReduce服务的API，详情请参见使用API。您可以在OpenAPI门户内了解调用前必知、API概览、如何调用API以及详细的接口说明。

本文提供SNAT防护的配置示例。 更多参数配置请参见“通过添加防护规则拦截/放行流量”。 SNAT防护配置 假如您的私网IP为“10.1.1.2”，通过NAT网关访问的外部域名为“www.ctyun.cn”，您可以参照以下参数配置NAT防护，其余参数可根据您的部署进行填写： 规则类型：NAT防护 方向：选择“SNAT” 源：选择“IP地址”，填写“10.1.1.2” 目的：选择“域名/域名组”、“网络型”，填写“www.ctyun.cn” 服务：选择“服务”、“TCP、165535、165535”

如果您需要对您所拥有的LTS（Log Tank Service）进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用LTS资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将LTS资源委托给更专业、高效的其他或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用LTS服务的其它功能。 本章节为您介绍对用户授权的方法。 前提条件 给用户组授权之前，请您了解用户组可以添加的LTS权限，并结合实际需求进行选择LTS支持的系统权限。 示例流程 1. 登录统一身份认证服务IAM控制台。在IAM控制台创建用户组，并授予云日志服务操作权限“LTS FullAccess”。 说明 选择“LTS FullAccess”，由于该策略有依赖，除了勾选LTS FullAccess外，还需要在同项目中勾选依赖的策略：Tenant Guest、以及“全局区域 对象存储服务项目”中勾选依赖的策略：Tenant Administrator。 2. 在IAM控制台创建用户，并将其加入[步骤1]中创建的用户组。 3. 使用新创建的用户登录控制台，切换至授权区域，验证权限。

本页介绍天翼云TeleDB数据库的部署架构和操作流程。 部署架构 TeleDB采用分布式集群架构， 该架构为分布式无共享(share nothing)模式，节点之间相互独立，各自处理自己的数据，处理后的结果会向上层汇总或在节点间流转，各处理单元之间通过网络协议进行通信。它的优点是SQL兼容能力好，扩展能力高、业务迁移成本低。为客户提供更可靠的数据库云服务。 操作流程 您可按照如下流程安装部署TeleDB。 您可参照如下流程进行安装： 1. TeleDB公共库安装部署 2. 数据库资源与生命周期管理服务安装部署 3. TeleDB管控服务安装部署 4. 实例服务初始化及实例开通

weatherbeta是weather的新版本，提供了紫外线查询功能。升级weatherbeta，需要先将少部分请求引流到新版本做功能验证，功能验证正常的情况下，再下线老版本。在升级过程中，需要保证客户的请求不能出现中断，在部署新版本的过程中不给新版本导流，在下线老版本前已经将老版本的流量全部切走。 ServiceStage提供了灰度发布功能，可以达到上述目的。 本章节演示通过使用ServiceStage的灰度发布功能部署weather服务的新版本weatherbeta。 1. 登录ServiceStage控制台，选择“微服务引擎CSE>查看控制台>服务目录”。 2. 单击微服务名称名称，进入应用“概览”页。 3. 选择“灰度发布”，在“发布任务”页签，单击“添加发布规则”。 4. 按照“权重”或“自定义”的方式进行规则创建和灰度发布。

本节介绍数据加密的权限管理说明。 如果您需要对云服务平台上购买的数据加密（以下简称DEW）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制员工对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望这些开发人员拥有DEW的使用权限，但是不希望开发人员拥有删除DEW等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DEW，但是不允许删除DEW的权限策略，控制员工对云资源的使用范围。 如果系统帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DEW的其它功能。 数据加密权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DEW部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问KMS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对KMS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action）。 DEW系统权限 系统角色/策略名称 描述 类别 KMS Administrator 加密密钥的管理员权限。 系统角色 KMS CMKFullAccess 加密密钥所有权限。 系统策略 下表列出了DEW常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 KMS Administrator KMS CMKFullAccess 创建密钥 √ √ 启用密钥 √ √ 禁用密钥 √ √ 计划删除密钥 √ √ 取消计划删除密钥 √ √ 修改密钥别名 √ √ 修改密钥描述 √ √ 创建随机数 √ √ 创建数据密钥 √ √ 创建不含明文数据密钥 √ √ 加密数据密钥 √ √ 解密数据密钥 √ √ 获取密钥导入参数 √ √ 导入密钥材料 √ √ 删除密钥材料 √ √ 创建授权 √ √ 撤销授权 √ √ 退役授权 √ √ 查询授权列表 √ √ 查询可退役授权列表 √ √ 加密数据 √ √ 解密数据 √ √ 查询密钥实例 √ √ 查询密钥标签 √ √ 查询项目标签 √ √ 批量添加删除密钥标签 √ √ 添加密钥标签 √ √ 删除密钥标签 √ √ 查询密钥列表 √ √ 查询密钥信息 √ √ 查询实例数 √ √ 查询配额 √ √ 系统默认提供两种权限策略：系统策略和自定义策略。系统策略是IAM预置的策略，用户只能使用不能修改。若系统策略不满足授权要求，用户可以创建自定义策略，自由搭配需要授予的权限集。 用户组配置权限策略后，将用户加入用户组中，可以使该用户获得权限策略中定义的操作权限。