本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的IP情报规则功能。 功能介绍 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据。 注意 目前控制台尚未开放IP情报规则功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明 背景信息 目前天翼云WAF通过大数据分析技术，并基于内置的评分机制对历史攻击数据进行威胁评定，生成IP信誉库，其中恶意IP包含了漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件13种威胁类型，统计IP数量接近120万。 设置IP情报规则 支持通过威胁类型维度针对恶意IP进行监控或拦截的操作，支持配置多条防护规则 配置项 说明 开关 控制规则为开启/关闭状态 处理动作 支持配置拦截或监控 拦截：对IP访问请求进行拦截处理； 监控：不对请求拦截，但是会生成攻击日志 规则名称 支持设置规则名称 防护范围 将通过选择IP可信度、严重级别、威胁类型来配置IP情报防护规则，对同时满足三个配置的IP处理 可信度：即情报的可信度，针对已收录的IP情报，边缘云WAF安全团队将基于内置评分机制进一步验证，根据验证结果评定可信程度为高中低； 严重级别：恶意IP的严重级别，有严重、高、中、低； 威胁类型：漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件，支持多选

本章节主要介绍新建MRS Hive连接。 本章节以新建MRS Hive连接为例，介绍如何建立DataArts Studio与数据湖底座之间的数据连接。 前提条件 在创建数据连接前，请确保您已创建所要连接的数据湖（如DataArts Studio所支持的数据库、云服务等）。 1. 在创建DWS类型的数据连接前，您需要先在DWS服务中创建集群，并且具有KMS密钥的查看权限。 2. 在创建MRS HBase、MRS Hive、MRS Kafka、MRS Ranger、MRS Spark、MRS Presto类型的数据连接前，需确保您已创建MRS集群，并且在创建数据链接时已创建选择所需要的组件。 3. 在创建RDS类型的数据连接前，请确保您已创建RDS数据库实例。DataArts Studio平台目前仅支持RDS中的MySQL和PostgreSQL数据库引擎。 在创建数据连接前，请确保待连接的数据湖与DataArts Studio实例之间网络互通。 1. 如果数据湖为云下的数据库，则需要通过公网或者专线打通网络，确保数据源所在的主机可以访问公网，并且防火墙规则已开放连接端口。 2. 如果数据湖为云上服务（如DWS、MRS等），则网络互通需满足如下条件： ①DataArts Studio实例（指DataArts Studio实例中的CDM集群）与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。 ② DataArts Studio实例（指DataArts Studio实例中的CDM集群）与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组 > 添加安全组规则”章节。 ③此外，您还必须确保该云服务的实例与DataArts Studio工作空间所属的企业项目必须相同，如果不同，您需要修改工作空间的企业项目。

本文介绍全站加速的基本安全防护功能。 全站加速作为帮助用户加速获取资源文件的产品，其防御能力是不能和专业的安全防护产品所比的，如果需要抗DDoS和抗CC攻击的全站加速功能，请使用天翼云边缘安全加速平台产品。如下是全站加速的一些基本防护的配置： Referer防盗链功能：根据http请求的referer字段对请求来源的域名进行筛选和链接。全站加速支持三种referer防盗链设置：白名单、黑名单以及是否允许空referer。该方法主要通过URL过滤的方法对来源host的地址进行过滤，用户可指定请求来源的域名，通过该功能可以对请求来源做限制。需注意的是：黑、白名单互斥，用户只可选择配置二者其一。 IP黑/白名单：设置相应的IP黑、白名单来针对来源IP进行限制。需注意的是：黑、白名单互斥，用户只可选择配置二者其一。、 URL鉴权：配置URL鉴权后，全站加速会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 UA黑/白名单：配置允许用户使用的访问工具，UA白名单之外的访问工具全部拒绝访问（节点响应403），UA白名单之内的访问工具全部允许访问。UA黑名单之外的访问工具全部允许访问，UA黑名单之内的访问工具全部拒绝访问（节点响应403）。 URI黑/白名单：通过对用户访问的URI进行规则判断，按需放行或拒绝用户访问。允许访问时，全站加速会返回资源链接；拒绝访问时，全站加速会返回403响应码。 全网带宽控制：支持全网边缘总带宽限制，支持分时段控制，可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速、拒绝或者重定向操作。 有序回源：通过有序回源功能，可以根据源站负载有效控制并发回源量，保护源站服务器的稳定性，提供更佳的用户体验。

您可以查看隐私数据保护规则，启用、编辑、禁用或删除脱敏规则。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 查看隐私数据保护规则信息 1. 步骤 1 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择查看隐私数据保护规则的实例。 6. 选择“隐私数据保护”页签。 说明 仅自定义创建的规则可以使用编辑和删除功能，默认的规则仅可使用启用和禁用功能。 7. 查看规则信息，相关参数说明如下所示。 存储结果集 建议关闭。关闭后，数据库安全审计分析平台将不会存储用户SQL语句的结果集。 如果用于PCI DSS/PCI 3DS CSS认证，禁止开启。 隐私数据脱敏 建议开启。开启后，您可以通过配置隐私数据脱敏规则，防止数据库敏感信息泄露。 查看脱敏规则信息 脱敏规则信息参数说明 参数名称 说明 规则名称 该规则的名称。 规则类型 该规则的类型，包括 默认 自定义 正则表达式 该规则的正则表达式。 替换值 正则表达式脱敏后对应的替换值。 状态 该规则的启用状态，包括： 已启用 已禁用 根据需要，您还可以对规则执行以下操作： 禁用 在需要禁用的规则所在行的“操作”列，单击“禁用”，可以禁用该规则。禁用该规则后，系统将不能使用该数据脱敏规则。 编辑 在需要修改信息的规则所在行的“操作”列，单击“编辑”，在弹出的对话框中，修改规则信息。 删除 在需要删除的规则所在行的“操作”列，单击“删除”，在弹出的提示框中，单击“确定”，删除该规则。

本小节介绍SSL VPN的计费模式。 SSL VPN 产品支持包年/包月（预付费）计费方式。 订购SSL VPN平台会自动匹配合适的云主机，并帮助用户合并下单，无需用户单独购买云主机，云主机和SSL VPN会同步计费，具体费用请以购买页面为准。 SSL VPN云主机需要绑定公网IP地址，并且SSL VPN云主机要可以实时联网，否则无法正常使用SSL VPN授权ID、序列号和SSL VPN的功能，若订购弹性IP，其带宽大小需根据用户实际业务量评估。 说明 本产品一经提供服务不支持退订。 计费项 SSL VPN服务根据用户所选产品规格以及使用时长进行收费，资费标准价格（该费用仅为软件授权费用）如下： 产品规格（SSL并发数） 产品定价（元/月） 产品定价（元/年） 活动价（元/月） 5并发 125 1425 75 10并发 250 2700 150 50并发 1250 9750 750 200并发 5000 30000 3000 500并发 12500 60000 7500 注意 活动价是产品定价的6折，具体以各版本的订购页面和控制台展示为准。 SSL VPN授权用于计算EasyConnect（SSL VPN客户端）、浏览器接入SSL VPN的并发用户数。 SSL VPN会根据用户选择的SSL VPN并发数及用户所属资源池云主机资源情况自动为用户匹配云主机规格，当最低要求规格不满足时，会选择满足当前并发数的其他规格云主机，具体云主机报价请以购买页面为准，各并发推荐的云主机规格如下： SSL并发数 最低推荐云主机规格 5并发 1c2g 10并发及以上并发 2c4g 有特殊要求的资源池 4c8g及以上 注意 云主机资源选择无明确类型要求，系统会根据资源池云主机剩余情况选择该资源池支持的云主机类型，通用型、增强型、计算型等云主机类型都在选择范围内。 SSL VPN云主机资源无特殊要求，默认选择40G系统盘配置。

本节介绍了使用天翼云电脑（政企版）过程中涉及的基本概念，方便您查询和了解相关概念。 概念 说明 云资源池 云资源池是指中国电信采用虚拟化技术将计算、存储、网络等IT基础资源虚拟化成相应的逻辑资源池。 公有云 公有云是指云资源池被公众用户通过订阅使用云资源服务，云资源服务可以包括计算、存储、网络、应用程序和服务。 AI云电脑管理平台 提供整套AI云电脑管理平台软件，包含虚拟化、存储管理等组件，具备AI云电脑的开通、管理、监控、运维等能力。 电脑实例 可提供给用户电脑服务的最小单位，一台电脑实例包括vCPU、内存、电脑操作系统和系统盘等基础计算组件。 资源包 AI云电脑所需资源的总和，包括AI云电脑计算包、存储资源包和网络资源包。 单实例订购 直接选定AI云电脑规格并订购开通AI云电脑实例的一种AI云电脑订购方式。以单实例方式订购AI云电脑后，如有数据盘及上网带宽需求，数据盘及带宽服务需单独订购。 资源包订购 先订购资源包，再开通AI云电脑实例、数据盘及上网带宽的一种AI云电脑订购方式。资源包开通后，企业管理员可对AI云电脑、数据盘及上网带宽进行自助管理。 计算包 可供用户开通AI云电脑（vCPU、内存和系统盘）的资源总和。订购AI云电脑计算包后，企业管理员可自助开通、删除及管理AI云电脑，可开通的最大AI云电脑总数为用户订购计算包大小。 存储包 可供用户开通AI云电脑的数据盘的资源总和。订购存储包后，企业管理员可自助为AI云电脑添加数据盘、扩容数据盘，可开通的最大数据盘总容量为用户订购存储包容量大小。 网络包 可供用户开通AI云电脑上网带宽的资源总和。订购网络包后，企业管理员可自助开通、删除及配置带宽，可开通的最大上网带宽总和为用户订购网络包带宽大小。 AI云电脑升级/降级 升级/降级已购买的AI云电脑，如从2核4G内存升级至4核8G内存。 续订 延长AI云电脑及数据盘的订购可使用时间。 数据盘扩容 增加AI云电脑的已购数据盘容量，如从100GB扩容至2000GB。 管理员 管理员即为租户，具有对资源池下的资源进行订购、分配的权限。也可对租户下的用户进行创建、删除、分配桌面等操作。 用户 AI云电脑终端用户，AI云电脑（政企版）管理台支持两种创建用户方式： 管理员激活：输入用户账号和密码，即可生成用户账号。 邮件通知激活：输入用户通知邮箱和用户账号。账号信息会发送至用户通知邮箱，用户完成账号认证，即可使用该账号。 桌面池 桌面池是一批桌面集合，管理员提对桌面池桌面进行统一管理和运维。桌面池包含池化桌面、并发桌面两种类型。 池化桌面：可以创建一定数量的AI云电脑，与桌面池关联的用户通过先到先得的排队方式使用桌面池中的电脑资源。池化桌面数量和用户数量最高支持 1:3 配比，若池化桌面已使用完，用户需排队等待。 并发桌面：开通多个桌面，每个桌面只属于单个用户。根据并发桌面比例或数量进行相应的资源扣减。但每个桌面只属于单个用户，每次最多可在线使用的桌面数量占总并发桌面数量的一定比例。 基础策略 基础策略是为桌面配置的一组关于USB重定向、文件重定向读写权限、剪切板读写权限、水印、客户端自动重连间隔、画面显示等的安全规则集合，用于控制用户终端与AI云电脑之间的数据传输和外设接入权限。 移动终端 移动终端是指在移动设备上安装AI云电脑的客户端，使用户能通过该设备接入AI云电脑，该移动设备即称为移动终端。目前AI云电脑（政企版）支持移动终端包含了：iOS手机、iPad、安卓手机、安卓pad。 电脑终端 电脑终端是指在PC设备上安装AI云电脑的客户端，使用户能通过该设备接入AI云电脑，该PC设备即称电脑终端。目前AI云电脑（政企版）支持电脑终端包含了：Windows、Mac、Ubuntu瘦终端、安卓瘦终端、国产化终端。 触屏式 用户通过手指触碰显示屏，就能实现对移动端的AI云电脑进行操作。 鼠标式 用户通过在显示屏上移动鼠标指针，实现对移动端的AI云电脑进行操作。 虚拟键盘 可以在移动端的AI云电脑内进行文字输入、表格修改等其他操作的键盘。 组合键 将普通键盘的常用快捷键，以按钮的形式展现在移动端的AI云电脑内进行操作。

本节先简要介绍DeepSeek的基本信息以及模型微调的价值,接着详述了如何借助现有GPU云主机镜像开通云主机并微调DeepSeekR1DistillQwen7B模型,最后介绍了镜像的具体制作步骤。 DeepSeek简介 DeepSeek 是一个基于 Transformer 架构的大型语言模型（LLM），由深度求索（DeepSeek）公司开发。它能够处理自然语言理解、生成、翻译、问答等多种任务。DeepSeekR1 在后训练阶段大规模使用了强化学习技术，在仅有极少标注数据的情况下，极大提升了模型推理能力。在数学、代码、自然语言推理等任务上，性能比肩 OpenAI o1 正式版。 DeepSeek公司在开源 DeepSeekR1Zero 和 DeepSeekR1 两个参数量超过660B 模型的同时，通过 DeepSeekR1 的输出，蒸馏了 6 个小模型开源给社区，其中32B和70B模型在多项能力上实现了对标 OpenAI o1mini 的效果。 模型微调简介 大语言模型微调技术通过调整预训练模型参数，使其适应特定任务需求。其核心价值在于让通用的人工智能工具变得更“专业”和“实用”，就像把一个会做各种菜的厨师培训成专精川菜的大厨。它能让企业用较低成本获得适合自身需求的AI能力，例如： 1. 降低成本：无需从头训练昂贵的大模型，只需在现有通用模型基础上“补充学习”企业内部的业务知识、行业术语，就能快速打造专属AI助手，成本大幅降低。 2. 精准解决问题：通用AI可能懂诗词绘画，但不懂医疗诊断或法律合同。通过微调，AI能深度掌握特定领域的专业知识，例如快速分析病历、自动生成符合行业规范的报告。 3. 保护数据隐私：企业可将内部数据安全地用于微调，既让AI掌握核心业务知识，又避免敏感数据直接暴露在公共模型中。 4. 推动普惠应用：中小型企业也能通过这项技术享受AI红利，例如教育机构定制学习辅导AI，工厂打造设备维护专家系统，真正让AI进入百行千业。 在下文中，我们将采用两个具体实践案例来说明模型微调的实际效果： 1. 基于天翼云文档数据的微调 。利用企业自身的文档数据构建微调数据集，仅使用单台多GPU卡的云主机即可完成模型微调训练。经过微调后的模型能够在企业内部知识领域提供准确的回答。 2. 基于医学计算数据的微调 。利用医学领域的专业知识数据构建微调数据集，仅使用单台多GPU卡的云主机即可完成模型微调训练。经过微调后的模型能够在识别与分析病例时取得更高的计算准确度。

本章节介绍如何进行MCP服务的注册与配置管理 概述 MSE Nacos 企业版支持MCP（Model Context Protocol，模型上下文协议）服务的注册与配置管理。MCP是一种开放标准，旨在统一大型语言模型（LLM）与外部数据源和工具之间的通信协议，解决当前 AI 模型数据孤岛限制，使得 AI 应用能够安全地访问和操作本地及远程数据。 说明 目前只有 MSE Nacos企业版3.0及以上版本支持MCP服务。您可以根据业务需求的不同，选择微服务引擎注册配置中心提供的三种MCP服务创建方式： 标准MCP服务：从零构建完整MCP配置。 HTTP转化MCP服务：将存量HTTP服务转换为MCP服务。 动态注册MCP服务：通过Nacos SDK实现服务自动注册。 创建MCP服务 在微服务引擎MSE注册配置中心管理控制台可以创建标准MCP服务和HTTP转化MCP服务，下面分别说明创建操作步骤： 创建标准MCP服务 1. 登录微服务引擎 MSE注册配置中心管理控制台，选择实例所在的资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，选择企业版Nacos实例，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击MCP管理 > MCP列表，选择命名空间， 然后单击创建MCP服务，并单击标准MCP服务页签。 4. 在标准MCP服务页面，配置服务名称、描述、版本号等基本信息，其中重要参数说明如下： MCP协议类型： Stdio：无网络依赖，只能访问本地资源无法访问云端资源，数据不会传输到外部，适用于本地开发调试，离线环境验证。 SSE：支持远程访问，仅支持服务端到客户端的单向流，适用于服务推送等单向实时通信场景，延迟低、兼容性强。 Streamable HTTP：基于标准的HTTP协议，双向通信，可灵活切换流式、非流式连接，适合正式环境部署和跨网络通信（如混合云/跨VPC）以及分布式系统。这是目前官方推荐的远程通信方式。 后端服务： 使用已有服务：如果您的MCP服务已经通过控制台或SDK注册到MSE Nacos中，可直接选择。 新建服务：如果您的MCP服务尚未注册到MSE Nacos中，需要配置服务 IP/服务域名（域名不能包含中文）、服务端口及访问路径（必须以/开头，如/v1/mcp）。 5. MCP工具为选填项，工具可以包含0个或者多个。点击添加工具按钮，可以添加1个工具，包括工具名称、工具描述、参数信息。其中参数包括：参数名称、参数类型可从下拉框选择，参数描述信息。 参数可以添加0个或者多个，参数信息可以嵌套，可以实现复杂的嵌套参数。添加的参数在服务保存或发布后生效。 6. 信息填写完毕后，点击发布。

操作场景 为方便对CCE集群中的kubernetes配置参数进行管理，开发了配置管理功能，通过该功能您可以对核心组件进行深度配置。 约束与限制 本功能仅支持在v1.15及以上版本的集群中使用，V1.15以下版本不显示该功能。 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 集群管理”。 步骤 2 单击集群后的“更多 > 配置管理”。 步骤 3 在侧边栏滑出的“配置管理”窗口中，根据业务需求修改Kubernetes的参数值： 配置管理参数 组件 参数 详情 取值 docker defaultulimitnofile 限制容器内句柄数 kubeapiserver defaultnotreadytolerationseconds notReady容忍时间，NoExecute that is added by default to every pod that does not already have such a toleration. 默认：300 kubeapiserver defaultunreachabletolerationseconds unreachable容忍时间，NoExecute that is added by default to every pod that does not already have such a toleration. 默认：300 kubeapiserver maxmutatingrequestsinflight 在给定时间内的最大mutating请求数。 当服务器超过此值时，它会拒绝请求。 0表示无限制。 默认：1000 kubeapiserver maxrequestsinflight 在给定时间内的最大nonmutating请求数。 当服务器超过此值时，它会拒绝请求。 0表示无限制。 默认：2000 kubeapiserver servicenodeportrange nodeport端口范围 默认： 3000032767 取值范围： min≥30000 max≤65535 kubecontrollermanager concurrentdeploymentsyncs deployment的并发处理数 默认：5 kubecontrollermanager concurrentendpointsyncs endpoint的并发处理数 默认：5 kubecontrollermanager concurrentgcsyncs garbage collector的并发数 默认：20 kubecontrollermanager concurrentnamespacesyncs namespace的并发处理数 默认：10 kubecontrollermanager concurrentreplicasetsyncs replicaset的并发处理数 默认：5 kubecontrollermanager concurrentresourcequotasyncs resource quota的并发处理数 默认：5 kubecontrollermanager concurrentservicesyncs service的并发处理数 默认：10 kubecontrollermanager concurrentserviceaccounttokensyncs serviceaccounttoken的并发处理数 默认：5 kubecontrollermanager concurrentttlafterfinishedsyncs ttlafterfinished的并发处理数 默认：5 kubecontrollermanager concurrentrcsyncs rc的并发处理数 默认：5 kubecontrollermanager kubeapiqps 与kubeapiserver通信的qps 默认：100 kubecontrollermanager kubeapiburst 与kubeapiserver通信的burst 默认：100 kubescheduler kubeapiqps 与kubeapiserver通信的qps 默认：100 kubescheduler kubeapiburst 与kubeapiserver通信的burst 默认：100 步骤 4 单击“确定”，完成配置操作。 参考链接 kubeapiserver kubecontrollermanager kubescheduler

云监控服务支持灵活的创建告警规则。 告警规则简介 云监控服务支持灵活的创建告警规则。您既可以根据实际需要对某个特定的监控指标设置自定义告警规则，同时也支持使用告警模板为多个资源或者云服务批量创建告警规则。 在您使用告警模板创建告警规则之前，云监控服务已经根据各个云服务的应用属性以及云监控服务多年的开发、维护经验，为各个云服务量身定做了默认使用的告警模板，供您选择使用。同时云监控服务为用户提供了自定义创建告警模板的功能，用户可以选择在默认模板推荐的监控指标上进行修改，同样也支持自定义添加告警指标完成自定义告警模板的添加。 使用告警模板创建告警规则 云监控服务提供使用告警模板创建告警规则的功能，能够让用户在为资源或者云服务添加告警规则时轻松自如，特别是对于大批量资源或者云服务同时创建告警规则，或是在日常运维中对多个资源或者云服务修改告警规则，都能够提供极大的工作便利。 本章节主要为您讲述如何使用默认告警模板为云服务资源创建告警规则。 创建告警规则 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 选择“告警 > 告警规则”。 4. 单击“创建告警规则”。 5. 在“创建告警规则”界面，根据界面提示配置参数。 a. 选择监控对象，根据界面提示配置参数，如表11所示。然后单击“下一步”。 表11配置参数 参数 参数说明 :: 名称 系统会随机产生一个名称，用户也可以进行修改。 取值样例：alarmb6al 描述 告警规则描述（此参数非必填项）。 资源类型 配置告警规则监控的服务名称。 取值样例：弹性云主机 维度 用于指定告警规则对应指标的维度名称 取值样例：云主机 说明 当监控对象为弹性云主机和物理机时支持通过名称、ID和私有IP地址搜索，其他云服务仅支持通过ID搜索。 b. 选择“从模板导入”，参照表12完成参数配置。 表12配置参数 参数 参数说明 :: 选择类型 选择从模板导入或手工创建。 模板 选择需要导入的模板。 发送通知 配置是否发送邮件、短信通知用户。 当选择发送通知时，需要选择已有的主题或者新建主题。 通知对象 需要发送告警通知的对象，可选择“云账号联系人”或主题。 云账号联系人：注册账号时的手机和邮箱。 主题：消息发布或客户端订阅通知的特定事件类型，若此处没有需要的主题，需先创建主题并订阅该主题。 触发条件 可以选择出现告警、恢复正常。 告警规则添加完成后，当监控指标触发设定的阈值时，云监控服务会在第一时间通过您设置的通知方式实时告知您云上资源异常，以免因此造成业务损失。

指标ID 指标名称 指标含义 取值范围 进制 测量对象 监控周期（原始指标） upstreambandwidth 出网带宽 该指标用于统计测试对象出云平台的网络速度。单位：比特/秒 ≥ 0 bit/s 1000(SI) 带宽或弹性IP 1分钟 downstreambandwidth 入网带宽 该指标用于统计测试对象入云平台的网络速度。单位：比特/秒 ≥ 0 bit/s 1000(SI) 带宽或弹性IP 1分钟 upstreambandwidthusage 出网带宽使用率 该指标用于统计测量对象出云平台的带宽使用率。以百分比为单位 0100% 不涉及 带宽或弹性IP 1分钟 downstreambandwidthusage 入网带宽使用率 该指标用于统计测量对象入云平台的带宽使用率。以百分比为单位 0100% 不涉及 带宽或弹性IP 1分钟 upstream 出网流量 该指标用于统计测试对象出云平台的网络流量。单位：字节 ≥ 0 bytes 1000(SI) 带宽或弹性IP 1分钟 downstream 入网流量 该指标用于统计测试对象入云平台的网络流量。单位：字节 ≥ 0 bytes 1000(SI) 带宽或弹性IP 1分钟

本文介绍IP访问限频功能适用场景和配置方法。 功能介绍 IP访问限频功能可以限制单个用户IP在天翼云全站加速单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。 适用场景 1. 网站存在用户使用同个IP频繁重复下载同一资源导致大量全站加速流量浪费的场景。 2. 网站存在用户使用同个IP频繁发起恶意请求或尝试非法访问的场景。 注意事项 1. 当单IP单域名每秒访问单台服务器的次数达到设置的阈值，返回403状态码，阻断时间默认10分钟。 2. 设置阈值时需根据业务的实际情况进行评估，阈值过低可能导致正常用户的访问受限，影响用户体验；而阈值过高则可能无法有效限制非法访问或恶意行为。 3. 限频功能对非法访问防控效果有限，若存在大量IP对全网节点进行恶意访问或攻击，通过此功能无法有效控制，建议您购买边缘安全加速平台产品。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 在【IP访问限频】模块，单击【增加规则】。 6. 根据需求填写配置，单击【确定】。 7. 单击【保存】，完成配置。 参数名 配置值 说明 类型 后缀名/目录/首页/全部文件/全路径文件 需要配置的文件类型。 内容 指定类型的具体内容 类型选择后缀名、目录、全路径文件时，需配置具体内容；例如类型为后缀名时，需在内容处指明具体的文件后缀；如类型为目录时，需在内容处指明具体的目录内容。 访问阈值 每秒可访问次数 单位：次/秒，IP访问超过阈值后，拒绝访问10分钟。 优先级 数字 配置的优先级，存在多条设置时，相同文件类型及内容，执行优先级高的规则。数字越大，优先级越高。

本节介绍了创建镜像的一些常见问题。 一个账号最多可以创建多少个私有镜像？ 您在一个区域内默认最多可以创建私有镜像个数可以通过怎样查看我的配额中的镜像服务总配额来进行查询。如果您需要创建更多的私有镜像，可以通过提交工单的方式，申请扩大配额上限，详细操作请参见如何扩大镜像的配额？ 云主机创建私有镜像的时候一定要关机吗？ 是的。运行状态下的云主机，其内存可能会缓存正准备写入的数据，为了避免您制作的镜像出现数据丢失问题，请您在制作镜像前关闭云主机。 Windows 私有镜像创建的弹性云主机的密码是什么？ 当前暂不支持在控制中心修改使用Windows私有镜像创建的云主机密码，请您使用原来制作镜像的源云主机的密码登录云主机后再修改密码。 在哪里查看镜像创建进度？创建镜像需要多少时间？ 登录管理控制台，选择“计算 > 镜像服务”，单击“私有镜像”页签，在私有镜像列表的“状态”列查看镜像创建进度。 镜像创建过程涉及XEN、KVM虚拟化平台原生驱动的安装，OS内核的加载以及grub引导配置等环节，处理时间可能会比较长。并且网络速度、镜像文件类型、镜像所属实例的磁盘大小等因素均会影响镜像的创建时长。 在子账户做的私有镜像，主账户创建云主机的时候可以选择到吗？ 可以。 子账户做的私有镜像，主账户和其他子账户（如果有）均可以看到。 如果该私有镜像为系统盘镜像或整机镜像，主账户和其他子账户创建云主机时，选择“私有镜像”，然后在下拉列表中可以选择该镜像。 如果该私有镜像为数据盘镜像，主账户和其他子账户创建云硬盘时，选择数据源为“从镜像创建”，然后在弹出的对话框中选择该镜像。 另外，主账户创建的私有镜像，所有子账户都可以看到。

本文为您介绍如何通过IAM用户控制资源访问。 在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对云硬盘备份VBS资源的访问。 操作步骤如下： 第1步：创建IAM子用户 具体操作，请参见统一身份认证IAM创建用户。 第2步：创建自定义策略 天翼云提供了访问云硬盘备份VBS资源的系统策略，更多信息，请参见“统一身份认证IAM权限管理”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见统一身份认证IAM创建自定义策略。 策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。 细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。 策略版本号：Version，标识策略结构的版本号。目前为1.1。 策略授权语句：Statement，包括了基本元素：作用（Effect）和授权项（Action）。 作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。 授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。 a）脚本配置策略示例一：为IAM子用户配置云硬盘备份查看者权限。 plaintext { "Version": "1.1", "Statement": [ { "Action": [ "vbs: backupStrategy: list", "vbs: repository: list", "vbs: repository: get", "vbs: backup: list", "vbs: backupStrategy: get", "vbs: job: list" ], "Effect": "Allow" } ] } b）脚本配置策略示例二：为IAM子用户配置云硬盘备份所有操作权限。 plaintext { "Version": "1.1", "Statement": [ { "Action": [ "vbs: repository: create", "vbs: backupStrategy: list", "vbs: repository: update", "vbs: repository: delete", "vbs: backup: create", "vbs: repository: list", "vbs: repository: get", "vbs: backup: list", "vbs: repository: set", "vbs: backupStrategy: binding", "vbs: backup: restore", "vbs: backup: delete", "vbs: backupStrategy: create", "vbs: backupStrategy: set", "vbs: backupStrategy: enable", "vbs: backupStrategy: pause", "vbs: backupStrategy: unbinding", "vbs: backupStrategy: delete", "vbs: backupStrategy: get", ], "Effect": "Allow" } ] }

本节介绍了设置网卡属性为DHCP(Linux)的操作场景、前提条件、操作步骤、相关操作。 操作场景 通过云主机或者外部镜像文件创建私有镜像时，如果云主机或镜像文件所在虚拟机的网络配置是静态IP地址时，您需要修改网卡属性为DHCP，以使私有镜像发放的新云主机可以动态获取IP地址。 不同操作系统配置方法略有区别，请参考对应操作系统的相关资料进行操作。 说明： 使用外部镜像文件创建私有镜像时，设置网卡属性操作需要在虚拟机内部完成，建议您在原平台的虚拟机实施修改后，再导出镜像。 前提条件 已登录创建Linux私有镜像所使用的云主机。 登录云主机的详细操作请参见《弹性云主机用户指南》。 操作步骤 本节操作以Ubuntu 14.04操作系统为例，介绍检查及设置云主机网卡属性的方法。 1. 在云主机上执行以下命令，使用vi编辑器打开“/etc/network/interfaces”文件，查看网卡的网络配置。 vi /etc/network/interfaces − 信息显示所有网卡的网络配置为DHCP模式时，如下图所示，无需重复设置网卡属性，输入:q退出编辑器。 网卡的网络配置为DHCP模式 − 信息显示网卡的网络配置为静态IP地址时，如下图所示，请执行2。 网卡的网络配置为静态IP地址 2. 按“i”进入编辑模式。 3. 删除静态IP设置的相关内容，然后将对应的网卡设置为DHCP方式，如下图所示。 您也可以使用“”注释掉静态IP设置的相关内容。 设置网卡为DHCP方式 如果您有多个网卡，请将剩余网卡按照上述方法设置为DHCP方式，如下图所示。 设置多个网卡为DHCP方式 4. 按“ESC”后，输入:wq，按“Enter”。 保存设置并退出编辑器。

本节介绍了 使用cubevolcano的用户指南。 插件简介 Volcano调度器是一个基于Kubernetes的批处理平台，提供了机器学习、深度学习、生物信息学、基因组学及其他大数据应用所需要而Kubernetes当前缺失的一系列特性。 Volcano提供了高性能任务调度引擎、高性能异构芯片管理、高性能任务运行管理等通用计算能力，通过接入AI、大数据、基因、渲染等诸多行业计算框架服务终端用户。(目前Volcano项目已经在Github开源) Volcano针对计算型应用提供了作业调度、作业管理、队列管理等多项功能，主要特性包括： 丰富的计算框架支持：通过CRD提供了批量计算任务的通用API，通过提供丰富的插件及作业生命周期高级管理，支持TensorFlow，MPI，Spark等计算框架容器化运行在Kubernetes上。 高级调度：面向批量计算、高性能计算场景提供丰富的高级调度能力，包括成组调度，优先级抢占、装箱、资源预留、任务拓扑关系等。 队列管理：支持分队列调度，提供队列优先级、多级队列等复杂任务调度能力。 项目开源地址： 前置条件 安装cubevolcano插件 使用示例 修改调度器配置 查看调度配置，默认开启binpack插件 修改volcano调度器配置，增加binpack得分权重，减少其他调度插件的影响 调整日志级别，查看更详细的日志 创建验证负载任务并且指定使用volcano调度器 可查看负载的YAML，确认scheduleName已设置为volcano 从控制台查看调度器日志，得知各节点的得分 从日志中知道得分最高的节点，查看pod绑定节点，预期绑定的是最高得分的节点

扩容过程中涉及数据迁移吗？ 扩容过程不涉及数据迁移。 选择和配置安全组 安全组是一种网络安全配置，用于控制云计算平台中虚拟机实例的网络访问。它是一种虚拟防火墙，可以定义入站和出站的网络流量规则，以保护虚拟机实例的安全。Kafka在购买实例页面用户可选择安全组。 是否支持跨Region访问？ 可购买弹性IP，通过公网IP绑定功能实现外网访问，也可通过购买云间高速产品服务进行访问。 Kafka实例是否支持不同的子网？ 支持。相同VPC内可以跨子网段访问。同一个VPC内的子网默认可以进行通信。 Kafka实例的内网连接地址可以修改吗？ 不支持修改，也不支持指定IP地址。 开启公网访问后，在哪查看公网IP地址？ Kafka管理控制台。在实例列表页在操作列，目标实例行点击“设置公网ip”，查看具体地址。 Kafka支持服务端认证客户端吗？ 分布式消息服务Kafka不支持服务端认证客户端。 不同实例中，使用的SSL证书是否一样？ 在Kafka中，每个实例使用的SSL证书通常是不同的。SSL证书是用于加密和验证Kafka实例之间的通信的一种安全机制。每个Kafka实例都需要有自己的证书来确保通信的安全性和身份验证。 SSL证书包括公钥和私钥。公钥用于加密通信，私钥用于解密通信。为了确保安全性，私钥应该是保密的，并且只有Kafka实例才能访问。 在Kafka集群中，每个实例都应该有自己的证书和私钥对。这样可以确保每个实例都有独立的加密和身份验证机制。如果多个实例共享相同的证书和私钥，那么一个实例的私钥可能会被其他实例访问，从而降低了通信的安全性。 因此，为了确保每个Kafka实例之间的通信安全，建议为每个实例生成独立的SSL证书和私钥。这样可以确保每个实例都有独立的加密和身份验证机制，提高整个Kafka集群的安全性。

本文介绍删除知识库中文件内容。 接口描述 根据文档ID删除知识库中文件 请求方法 POST 接口要求 无 URI /openapi/v1/documents/delete 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String json格式 application/json tenantId 是 String 租户ID 562b89493b1a40e1b97ea05e50dd8170 ctyuneoprequestid 是 String 用户请求 id，由用户构造，用户可以通过 uuid 等方法自行生成唯一字符串，用于日志请求追踪 33dfa732b27b464fb15a21ed6845afd5 eopdate 是 String 请求时间，由用户构造，形如 yyyymmddTHHMMSSZ。 20211221T163014Z host 是 String 终端节点域名，固定字段 kqaglobal.ctapi.ctyun.cn EopAuthorization 是 String 由天翼云官网 accessKey 和 securityKey 经签名后生成，参与签名生成的字段包括天翼云官网 accessKey 、securityKey、平台应用的appkey（非必须），用户请求id（非必须），请求时间，终端节点域名（非必须）以及请求体内容。 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 id 是 Int 要删除的文档ID 请求代码示例 plaintext Curl X POST " H "ContentType: application/json" H "ctyuneoprequestid:33dfa732b27b464fb15a21ed6845afd5" H "tenantId:XXX" H "EopAuthorization:XXX" H "eopdate:20211109T104641Z" H "host:kqaglobal.ctapi.ctyun.cn" data '{ "id": 50 }' 返回值说明 1.请求成功返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 返回状态，返回200表示成功 200 message String 返回Success Success 2.请求失败返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 错误码，放置API对应的错误码 40001 message String 失败信息 缺少鉴权信息 error String 返回对应的错误码 KQA40001 返回值示例 1.请求成功返回值示例 plaintext { "statusCode": "200", "message": "Success" } 2.请求失败返回值示例 plaintext { "statusCode": "40004", "error": "KQA40004", "message": "接口执行异常" } 状态码 http状态码 描述 200 表示请求成功 错误码说明 错误码 错误信息 错误描述 40009 文档不存在 未查询到可用文档内容

本文介绍删除知识库内容。 接口描述 删除租户下的知识库，此接口会同时删除知识库下所有文件 请求方法 POST 接口要求 无 URI /openapi/v1/infobases/delete 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String json格式 application/json tenantId 是 String 租户ID 562b89493b1a40e1b97ea05e50dd8170 ctyuneoprequestid 是 String 用户请求 id，由用户构造，用户可以通过 uuid 等方法自行生成唯一字符串，用于日志请求追踪 33dfa732b27b464fb15a21ed6845afd5 eopdate 是 String 请求时间，由用户构造，形如 yyyymmddTHHMMSSZ。 20211221T163014Z host 是 String 终端节点域名，固定字段 kqaglobal.ctapi.ctyun.cn EopAuthorization 是 String 由天翼云官网 accessKey 和 securityKey 经签名后生成，参与签名生成的字段包括天翼云官网 accessKey 、securityKey、平台应用的appkey（非必须），用户请求id（非必须），请求时间，终端节点域名（非必须）以及请求体内容。 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 id 是 Int 知识库ID 100 请求代码示例 plaintext Curl X POST " H "ContentType: application/json" H "ctyuneoprequestid:33dfa732b27b464fb15a21ed6845afd5" H "tenantId:XXX" H "EopAuthorization:XXX" H "eopdate:20211109T104641Z" H "host:kqaglobal.ctapi.ctyun.cn" data '{ "id": 100 }' 返回值说明 1.请求成功返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 返回状态，返回200表示成功 200 message String 返回Success Success 2.请求失败返回响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 错误码，放置API对应的错误码 40001 message String 失败信息 缺少鉴权信息 error String 返回对应的错误码 KQA40001 返回值示例 1.请求成功返回值示例 plaintext { "statusCode": "200", "error": null, "message": "Success" } 2.请求失败返回值示例 plaintext { "statusCode": "40004", "error": "KQA40004", "message": "接口执行异常" } 状态码 http状态码 描述 200 表示请求成功 错误码说明 错误码 错误信息 错误描述 40015 执行错误 具体错误信息见message字段

本页介绍天翼云TeleDB数据库查询和索引统计收集器相关参数。 这些参数控制服务器范围的统计数据收集特性。当统计收集被启用时，被产生的数据可以通过pgstat和pgstatio系统视图族访问。 trackactivities (boolean) 启用对每个会话的当前执行命令的信息收集，还有命令开始执行的时间。这个参数默认为打开。注意即使被启用，这些信息也不是对所有用户可见，只有超级用户和拥有报告信息的会话的用户可见，因此它不会表现为一个安全风险。只有超级用户可以更改这个设置。 trackactivityquerysize (integer) 声明保留的字节数，以跟踪每个活动会话的当前执行命令，对pgstatactivity.currentquery段。缺省值是1024。这个参数只能在服务器启动时设置。指定跟踪每个活动会话当前执行命令所保留的字节数，它们被用于pgstatactivity.query域。默认值是 1024。这个参数只能在服务器启动时被设置。 trackcounts (boolean) 启用在数据库活动上的统计收集。这个参数默认为打开，因为自动清理守护进程需要被收集的信息。只有超级用户可以更改这个设置。 trackiotiming (boolean) 启用对系统I/O 调用的计时。这个参数默认为关闭，因为它将重复地向操作系统查询当前时间，这会在某些平台上导致显著的负荷。你可以使用pgtesttiming工具来度量你的系统中计时的开销。I/O 计时信息被显示在pgstatdatabase中、当BUFFERS选项被使用时的EXPLAIN输出中以及pgstatstatements中。只有超级用户可以更改这个设置。 trackfunctions (enum) 启用跟踪函数调用计数和用时。指定pl只跟踪过程语言函数，指定all还会跟踪 SQL 和 C 语言函数。默认值是none，它禁用函数统计跟踪。只有超级用户可以更改这个设置。注意简单到足以被“内联”到调用查询中的 SQL 语言函数不会被跟踪，而不管这个设置。

网站安全监测产品有不同规格、应该选择哪个，该如何选择？ 网站安全监测当前有体验版、专业版和旗舰版三个版本，每个版本在功能和漏洞检测频率有差异。基础业务安全监测需求推荐使用体验版，提供可用性监测、安全事件监测、内容安全监测等。如果有图片审核需求推荐专业版的套餐，提供基础业务安全监测的同时，也提供图片审核功能。用户需要自定义配置需求就推荐旗舰版套餐，可支持自定义配置和人工验证等操作，按需购买即可。 网站安全监测的产品是否支持试用？ 可以支持试用，可以在BCP门户申请试用，目前官网暂未开通试用通道，试用期限为一个月，支持可用性监测，安全事件监测、内容安全监测和图片审核限量100张，漏洞检测一次。 产品网站安全监测产品有哪些优势？ 应用快、免安装，使用便捷，纯SaaS服务，无需安装任何软硬件，只需在控制台提交域名和具体的监测项即可，随买随用。 资源丰富，全网服务，分布式部署，支持多点检测，资源覆盖全国。 可视化管理平台，对用户友好，可视化看板、报表和态势跟踪全方位辅助业务数据跟踪，更好地进行业务管理。 高效率，高专业度：集中监控和分散维护相结合，值班工程师7×24小时集中监控，网络工程师 7×24 小时在线支持。 如果客户目前使用的是非天翼云的服务，是否可以使用网站安全监测产品？ 网站安全监测产品对客户使用服务是没有限制的，只要购买服务，在控制台配置域名和监测项即可，无需客户改变任何网络架构，不需要修改CNAME。 版本和扩展服务的有效期之间是否有关联？ 是的，扩展服务的有效期是与版本的有效期一致的，如果用户的版本过期，扩展服务的功能也随之失效。 用户可以直接购买扩展服务进行使用吗？ 不能直接购买扩展服务使用，用户需要选择版本后，可以购买扩展服务态势感知大屏进行使用，订购扩展服务的前提是必须订购版本且版本在服务中的状态。

本文介绍IP访问限频功能适用场景和配置方法。 功能介绍 IP访问限频功能可以限制单个用户IP在天翼云CDN单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。 适用场景 1. 网站存在用户使用同个IP频繁重复下载同一资源导致大量CDN流量浪费的场景。 2. 网站存在用户使用同个IP频繁发起恶意请求或尝试非法访问的场景。 注意事项 1. 当单IP单域名每秒访问单台服务器的次数达到设置的阈值，返回403状态码，阻断时间默认10分钟。 2. 设置阈值时需根据业务的实际情况进行评估，阈值过低可能导致正常用户的访问受限，影响用户体验；而阈值过高则可能无法有效限制非法访问或恶意行为。 3. 限频功能对非法访问防控效果有限，若存在大量IP对全网节点进行恶意访问或攻击，通过此功能无法有效控制，建议您购买边缘安全加速平台产品。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 在【IP访问限频】模块，单击【增加规则】。 6. 根据需求填写配置，单击【确定】。 7. 单击【保存】，完成配置。 参数名 配置值 说明 类型 后缀名/目录/首页/全部文件/全路径文件 需要配置的文件类型。 内容 指定类型的具体内容 类型选择后缀名、目录、全路径文件时，需配置具体内容；例如类型为后缀名时，需在内容处指明具体的文件后缀；如类型为目录时，需在内容处指明具体的目录内容。 访问阈值 每秒可访问次数 单位：次/秒，IP访问超过阈值后，拒绝访问10分钟。 优先级 数字 配置的优先级，存在多条设置时，相同文件类型及内容，执行优先级高的规则。数字越大，优先级越高。

本章节主要介绍新建DWS连接。 本章节以新建DWS连接为例，介绍如何建立DataArts Studio与数据仓库底座之间的数据连接。 前提条件 在创建数据连接前，请确保您已创建所要连接的数据湖（如DataArts Studio所支持的数据库、云服务等）。 1. 在创建DWS类型的数据连接前，您需要先在DWS服务中创建集群，并且具有KMS密钥的查看权限。 2. 在创建MRS HBase、MRS Hive、MRS Kafka、MRS Ranger、MRS Spark、MRS Presto类型的数据连接前，需确保您已创建MRS集群，并且在创建数据链接时已创建选择所需要的组件。 3. 在创建RDS类型的数据连接前，请确保您已创建RDS数据库实例。DataArts Studio平台目前仅支持RDS中的MySQL和PostgreSQL数据库引擎。 在创建数据连接前，请确保待连接的数据湖与DataArts Studio实例之间网络互通。 1. 如果数据湖为云下的数据库，则需要通过公网或者专线打通网络，确保数据源所在的主机可以访问公网，并且防火墙规则已开放连接端口。 2. 如果数据湖为云上服务（如DWS、MRS等），则网络互通需满足如下条件： ①DataArts Studio实例（指DataArts Studio实例中的CDM集群）与云上服务处于不同区域的情况下，需要通过公网或者专线打通网络。 ②DataArts Studio实例（指DataArts Studio实例中的CDM集群）与云上服务同区域情况下，同虚拟私有云、同子网、同安全组的不同实例默认网络互通；如果同虚拟私有云但是子网或安全组不同，还需配置路由规则及安全组规则，配置路由规则请参见《虚拟私有云》帮助文档中的“添加路由信息”章节，配置安全组规则请参见《虚拟私有云》帮助文档中的“安全组 > 添加安全组规则”章节。 ③此外，您还必须确保该云服务的实例与DataArts Studio工作空间所属的企业项目必须相同，如果不同，您需要修改工作空间的企业项目。

本章节介绍如何进行MCP服务的注册与配置管理 概述 MSE Nacos 企业版支持MCP（Model Context Protocol，模型上下文协议）服务的注册与配置管理。MCP是一种开放标准，旨在统一大型语言模型（LLM）与外部数据源和工具之间的通信协议，解决当前 AI 模型数据孤岛限制，使得 AI 应用能够安全地访问和操作本地及远程数据。 说明 目前只有 MSE Nacos企业版3.0及以上版本支持MCP服务。您可以根据业务需求的不同，选择微服务引擎注册配置中心提供的三种MCP服务创建方式： 标准MCP服务：从零构建完整MCP配置。 HTTP转化MCP服务：将存量HTTP服务转换为MCP服务。 动态注册MCP服务：通过Nacos SDK实现服务自动注册。 创建MCP服务 在微服务引擎MSE注册配置中心管理控制台可以创建标准MCP服务和HTTP转化MCP服务，下面分别说明创建操作步骤： 创建标准MCP服务 1. 登录微服务引擎 MSE注册配置中心管理控制台，选择实例所在的资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，选择企业版Nacos实例，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击MCP管理 > MCP列表，选择命名空间， 然后单击创建MCP服务，并单击标准MCP服务页签。 4. 在标准MCP服务页面，配置服务名称、描述、版本号等基本信息，其中重要参数说明如下： MCP协议类型： Stdio：无网络依赖，只能访问本地资源无法访问云端资源，数据不会传输到外部，适用于本地开发调试，离线环境验证。 SSE：支持远程访问，仅支持服务端到客户端的单向流，适用于服务推送等单向实时通信场景，延迟低、兼容性强。 Streamable HTTP：基于标准的HTTP协议，双向通信，可灵活切换流式、非流式连接，适合正式环境部署和跨网络通信（如混合云/跨VPC）以及分布式系统。这是目前官方推荐的远程通信方式。 后端服务： 使用已有服务：如果您的MCP服务已经通过控制台或SDK注册到MSE Nacos中，可直接选择。 新建服务：如果您的MCP服务尚未注册到MSE Nacos中，需要配置服务 IP/服务域名（域名不能包含中文）、服务端口及访问路径（必须以/开头，如/v1/mcp）。 5. MCP工具为选填项，工具可以包含0个或者多个。点击添加工具按钮，可以添加1个工具，包括工具名称、工具描述、参数信息。其中参数包括：参数名称、参数类型可从下拉框选择，参数描述信息。 参数可以添加0个或者多个，参数信息可以嵌套，可以实现复杂的嵌套参数。添加的参数在服务保存或发布后生效。 6. 信息填写完毕后，点击发布。

本章节主要介绍调用API。 概述 您作为API调用者，需要实现一个API的调用，那么您需要完成以下工作： 1.获取API 从服务目录获取需要调用API。仅在API发布后，才支持被调用。 2.（可选）创建应用并获取授权 对于使用APP和IAM认证的API，需要完成创建应用和将API授权给应用。在API调用过程中，使用所创建应用的密钥对（AppKey、AppSecret），数据服务根据密钥对进行身份核对，完成鉴权。 3.调用API API调用者完成以上步骤后，可以进行API调用。 创建应用 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据服务”模块，进入数据服务页面。 详见下图：选择数据服务 2.在左侧导航栏选择服务版本（例如：专享版），进入总览页。 3.单击“调用API > 应用管理”，进入到应用管理页面。单击“新建”，弹出“新建应用”对话框。填写如表3363所示信息。 详见下表： 应用信息 信息项 描述 应用名称 应用名称。 应用类型 IAM：使用IAM认证，即token访问。 APP：对接APP，通过APP认证方式访问。 描述 对应用的介绍。 4.单击“确定”，创建应用。 创建应用成功后，在“应用管理”页面的列表中显示新创建的应用和应用ID。 5.单击“应用名称”，进入应用详情页面，查看AppKey和AppSecret。 将API授权给应用 1.在DataArts Studio控制台首页，选择实例，点击“进入控制台”，选择对应工作空间的“数据服务”模块，进入数据服务页面。 详见下表： 选择数据服务 2.在左侧导航栏选择服务版本（例如：专享版），进入总览页。 3.通过以下任意一种方式，将API授权给应用。 主动授权： a.单击“开发API > API管理”，进入到API管理页面。 b.在待绑定应用的API所在行，单击“查看授权”，进入API完整信息界面。 在“授权信息”页签中，单击“添加授权”。 c.设置授权的截止时间，勾选应用名称，单击“确认授权”，完成API的授权。 申请授权： a.单击“调用API > 服务目录”，进入服务市场主页面。 b.单击待绑定应用的API名称，进入API完整信息页面。 c.在“调用信息”页面，单击“申请权限”。 d.设置使用截止时间并选择应用名称，单击“确认”。 e.申请后，需要等待审核中心审核，方可授权成功。 4.授权成功后，可以在应用管理详情页面查看已绑定的API。 说明 如果已绑定API列表中包含无需绑定的API，在此API所在行的操作列，单击“解绑”，将无需绑定的API删除。 如果需要调试已绑定的API，单击“测试”，进入调试页面。 如果需要对已绑定的API延长授权时间，单击“续约”。

本章节主要介绍SQL查询优秀的最佳实践。 根据数据库的SQL执行机制以及大量的实践总结发现：通过一定的规则调整SQL语句，在保证结果正确的基础上，能够提高SQL执行效率。 使用union all代替union union在合并两个集合时会执行去重操作，而union all则直接将两个结果集合并、不执行去重。执行去重会消耗大量的时间，因此，在一些实际应用场景中，如果通过业务逻辑已确认两个集合不存在重叠，可用union all替代union以便提升性能。 join列增加非空过滤条件 若join列上的NULL值较多，则可以加上is not null过滤条件，以实现数据的提前过滤，提高join效率。 not in转not exists not in语句需要使用nestloop anti join来实现，而not exists则可以通过hash anti join来实现。在join列不存在null值的情况下，not exists和not in等价。因此在确保没有null值时，可以通过将not in转换为not exists，通过生成hash join来提升查询效率。 如下所示，如果t2.d2字段中没有null值(t2.d2字段在表定义中not null)查询可以修改为 SELECT FROM t1 WHERE NOT EXISTS (SELECT FROM t2 WHERE t1.c1t2.d2); 产生的计划如下： not exists执行计划 选择hashagg 。 查询中GROUP BY语句如果生成了groupagg+sort的plan性能会比较差，可以通过加大workmem的方法生成hashagg的plan，因为不用排序而提高性能。 尝试将函数替换为case语句。 DWS函数调用性能较低，如果出现过多的函数调用导致性能下降很多，可以根据情况把可下推函数的函数改成CASE表达式。 避免对索引使用函数或表达式运算。 对索引使用函数或表达式运算会停止使用索引转而执行全表扫描。 尽量避免在where 子句中使用! 或<> 操作符、null值判断、or连接、参数隐式转换。 对复杂SQL语句进行拆分。 对于过于复杂并且不易通过以上方法调整性能的SQL可以考虑拆分的方法，把SQL中某一部分拆分成独立的SQL并把执行结果存入临时表，拆分常见的场景包括但不限于： −作业中多个SQL有同样的子查询，并且子查询数据量较大。 −Plan cost计算不准，导致子查询hash bucket太小，比如实际数据1000W行，hash bucket只有1000。 −函数（如substr,tonumber）导致大数据量子查询选择度计算不准。 −多DN环境下对大表做broadcast的子查询。 其他更多调优点，请参考《开发指南》中的“典型SQL调优点”。

参数 说明 企业项目 选择微服务引擎所在的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 开通企业项目，创建并启用新的企业项目后可以使用，默认选择default。 规格 选择微服务引擎规格。 须知引擎创建成功后，不支持规格变更。 引擎类型 选择微服务引擎的类型。 集群集群模式部署，主机级容灾。 单机单节点部署，不支持容灾。 须知： “引擎类型”为“单机”的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境； 不支持变更引擎类型。如选择使用，请先阅读约束说明并勾选“我已知晓如下约束”。 引擎名称 输入微服务引擎的名称，引擎创建后不能修改名称。 可用区 选择可用区。 “引擎类型”选择“集群”时，根据环境可用区数量，为引擎选择1个或者3个可用区。− 选择1个可用区，可提供主机级别容灾能力。− 选择3个可用区，可提供可用区级别容灾能力。 “引擎类型”选择“单机”时，为引擎选择1个可用区。 网络 为引擎选择已创建的虚拟私有云及其子网，可以为您的引擎构建隔离的、自主配置和管理的虚拟网络环境。ServiceComb引擎支持IPv4和IPv6两种版本的IP地址。启用IPv6前，请确保ServiceComb引擎所在的VPC和子网已开启IPv6配置，在VPC和子网中开启IPv6配置的应用场景和操作步骤请参考《虚拟私有云用户指南》中的“IPv4/IPv6双栈管理”章节。启用IPv6后，ServiceComb引擎可在双堆栈模式下运行，即可拥有两个不同版本的IP地址：IPv4地址和IPv6地址，此时引擎通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 描述 输入引擎描述信息。单击 ，输入引擎描述信息。单击 ，保存描述。 安全认证 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。l 选择“开启安全认证”：1. 根据业务需要确认需开启安全认证后，勾选“我已知晓：开启安全认证后，需要在微服务的配置文件中添加对应用户的帐号密码，否则服务无法注册到引擎。”。2. 输入root帐号的“密码”，并在“再次输入密码”输入框输入密码进行确认。密码请妥善保管，以免遗失。l 选择“关闭安全认证”：无需配置帐户名、密码即可将服务注册到引擎，效率性能更高，建议用于VPC内访问时使用。

本章节主要介绍翼MapReduce的创建用户操作。 操作场景 FusionInsight Manager最大支持50000个用户（包括系统内置用户）。默认情况下，系统只有一个用户“admin”具有FusionInsight Manager最高操作权限。管理员应根据实际业务场景需要，通过FusionInsight Manager创建新用户并指定其操作权限以满足业务使用。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在用户列表上方，单击“添加用户”。 4. 填写“用户名”。用户名由数字、字母、下划线、中划线（）或空格组成，不区分大小写，不能与系统或操作系统中已有的用户名相同。 5. 设置“用户类型”，可选值包括“人机”和“机机”。 “人机”用户：用于在FusionInsight Manager的操作运维场景，以及在组件客户端操作的场景。选择该值需同时填写“密码”和“确认密码”。 “机机”用户：用于组件应用开发的场景。选择该值则用户密码随机生成，无需填写。 6. 根据业务实际需要，在“用户组”，单击“添加”，选择一个或多个用户组添加到列表中。 说明 如果选中的用户组绑定了角色或者在Ranger中配置了权限策略，用户将获得对应的权限。 安装FusionInsight Manager后默认生成的部分用户组包含特殊权限，请根据界面上用户组描述信息选择正确的用户组。 如果已有的用户组无法满足使用，可以单击“创建新用户组”先创建用户组，参见 7. 根据业务实际需要，在“用户组”添加的所有组中选择一个组作为用户创建目录和文件的主组。 下拉列表包含“用户组”中添加的全部组。 说明 由于一个用户可以属于多个组（包括主组和附属组，主组只有一个，附属组可以有多个），设置用户的主组是为便于维护以及遵循hadoop社区的权限机制。此外用户的主组和其他组在权限控制方面，作用一致。 8. 根据业务实际需要，在“角色”，单击“添加”，为单个用户绑定角色。 说明 创建用户时添加角色可细化用户的权限。 创建用户时，如果用户从用户组获得的权限还不满足业务需要，则可以再分配其他已创建的角色。也可以单击“创建新角色”先创建角色，参见 为新用户分配角色授权，最长可能需要3分钟时间生效，如果从用户组获得的权限已满足使用，则无需再添加角色。 组件启用Ranger鉴权后，除系统默认用户组或角色的权限外，其他权限需要通过配置Ranger策略为用户赋权。 若用户既没有加入用户组也没有设置角色，通过此用户登录FusionInsight Manager后，用户将无权查看或操作。 9. 根据业务实际需要填写“描述”。 10. 单击“确定”完成用户创建。 “人机”用户创建成功后，通常需要修改初始密码后才可以正常使用，可以使用该用户登录FusionInsight Manager，按照界面提示重置密码即可。

首页总览 说明 以“无限经典”外观为例，介绍软件开发生产线各项操作。 登录控制台，单击“立即使用”，进入产品页面，页面中主要包括以下几部分： 1. 顶部导航栏：可以跳转至各服务页面，查看帮助中心、完成外观设置等内容。 2. 左侧滑动导航栏：单击左上角，将滑出导航菜单，链接到各服务首页。 3. 项目列表：可查看登录帐号所参与的所有项目。 首页 顶部导航栏 顶部导航栏提供了各服务入口，以及软件开发生产线相关设置入口。 顶部导航栏 菜单项 说明 :: 控制台 跳转至控制台，可根据需要选择其它产品进行使用。 首页 跳转至软件开发生产线首页。 工作台 跳转至“工作台”页面，可查看登录帐号负责的工作项、文档、测试用例。 服务 代码托管 跳转至代码托管服务，可创建、管理代码仓库。 服务 代码检查 跳转至代码检查服务，可创建、执行代码检查任务。 服务 流水线 跳转至流水线服务，可创建、执行流水线。 服务 编译构建 跳转至编译构建服务，可创建、执行构建任务。 服务 测试计划 跳转至测试计划服务，可查看测试用例完成率等测试进度相关信息。 服务 部署 跳转至部署服务，可新建、执行部署任务，管理主机、模板。 服务 制品仓库 跳转至“软件发布库”页面，可进行软件包管理。 服务 知识库 跳转至“知识库”页面。文档属于需求管理服务，可对租户下的文件进行管理。 页面右上“铃铛”图标 各服务操作的消息通知汇总。 页面右上“对钩”图标 当前用户的待办事项汇总。 页面右上“蓝色圆形”图标 外观设置 可以根据个人习惯设置页面的主题与布局，默认设置为无限+经典。 主题包括：印象、无限、深邃夜空、追光。 布局包括：经典、现代、瀑布、宽幅。 页面右上“蓝色圆形”图标 用户中心 跳转至“用户中心”页面，可查看基本信息、实名认证等信息。 页面右上“蓝色圆形”图标 个人设置 跳转到“个人设置”页面，可管理所登录帐号的消息通知接收方式、SSH密钥/HTTPS密码。 页面右上“蓝色圆形”图标 租户设置 跳转到“租户设置”页面，租户管理员进行子帐号批量导入、项目和成员管理等操作。 说明 这里“租户设置”区别于IAM对租户的设置，是管理员对租户下在软件开发生产线中所有的项目进行管理设置。 页面右上“蓝色圆形”图标 CodeArts控制台 跳转至控制台，可查看软件开发生产线各服务资源使用量情况。 页面右上“蓝色圆形”图标 子账号管理 跳转至统一身份认证服务（IAM），可创建、管理子帐号（IAM用户）。 页面右上“蓝色圆形”图标 退出登录 退出当前登录的帐号，跳转至登录页面。

本文提供天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK 儿童个人信息保护政策及监护人须知 儿童个人信息保护政策及监护人须知发布日期：【2025年5月13日】 本须知仅适用于由天翼云科技有限公司提供的天翼云边缘安全加速平台零信任服务天翼云AOne SDK服务。 版本生效日期：【2025年5月13日】 如果您有任何疑问、意见或建议，请通过以下联系方式与我们联系： 电子邮件：service@chinatelecom.cn；ctpip.ctyun@chinatelecom.cn 电话：4008109889 天翼云门户：管理中心新建工单；智能客服 为了更好地在您使用我们服务的过程中保障您的个人信息，我们对《 天翼云AOne SDK儿童个人信息保护政策及监护人须知 》进行了更新，此版本主要更新内容包括： 1、更新天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK产品由天翼云科技有限公司（“天翼云”）运营，是一款为移动应用开发者（以下简称“开发者”）提供调用零信任内网连接等能力服务的软件开发工具包（SDK）。我们致力于保护儿童个人信息，本须知中的“儿童”，是指满14周岁的未成年人。为此，我们专门制定了《天翼云AOne SDK儿童个人信息保护政策及监护人须知》（简称“本须知”），向您说明我们处理儿童个人信息的规则。您作为儿童的父母或其他监护人（统称“监护人”），请在您或您所监护的儿童（简称“被监护人”）使用本应用前务必仔细阅读并充分理解本须知，特别是以粗体标识的条款应重点阅读，在确认充分理解并同意全部条款后再开始使用或允许您的孩子使用。 本须知为在《天翼云AOne SDK隐私和信息处理规则》基础上制定的特别规则，除另有约定外，本须知所用术语和缩略词与《天翼云AOne SDK隐私和信息处理规则》中的术语和缩略词具有相同的涵义；与《天翼云AOne SDK隐私和信息处理规则》如有不一致之处，以本须知为准；本须知未载明之处，适用《天翼云AOne SDK隐私和信息处理规则》。为了维护儿童的合法权益，儿童应当在其监护人的指导下使用我们的服务。 《天翼云AOne SDK隐私和信息处理规则》详见天翼云AOne SDK隐私和信息处理规则 监护人特别说明： 您的理解和配合对我们保护被监护人的个人信息和隐私安全非常必要，为了维护被监护人的合法权益，我们希望您可以协助我们，确保被监护人在您的同意和指导下使用本应用和向我们提交个人信息。我们将根据本须知采取特殊措施保护我们获得的被监护人的个人信息。请您仔细阅读和选择是否同意本声明。如果您不同意本须知的内容，请您要求被监护人立即停止访问/使用我们的产品及服务。 儿童特别说明： 任何儿童参加网上活动都应事先取得监护人的同意。如果您是儿童，请务必通知您的监护人共同阅读本须知，并在您使用我们的产品及服务、提交个人信息之前，寻求您的监护人的同意和指导。 我们严格按照《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》 《 电信和互联网用户个人信息保护规定》（工业和信息化部令第 24 号）《儿童个人信息网络保护规定》等法律法规的相关要求，在业务活动中处理儿童的个人信息。 本部分向您告知以下内容： 一、我们如何收集和使用儿童的个人信息 二、我们如何共享、转让和公开披露儿童的个人信息 三、我们如何存储儿童的个人信息 四、我们如何保护儿童的个人信息 五、我们如何管理儿童的个人信息 六、本须知的适用 七、本须知的修订 八、如何联系我们 一、我们如何收集和使用儿童的个人信息 1.1 在儿童使用我们的产品及服务过程中，我们会严格履行法律法规规定的儿童个人信息保护义务与责任，遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则，在征得监护人的同意后收集和使用儿童个人信息。具体请查阅《天翼云AOne SDK隐私和信息处理规则》“各业务功能中的用户信息收集使用规则”章节，详细了解我们收集和使用的儿童个人信息。 1.2 此外，我们也会通过Cookie等同类技术自动收集您或被监护人的个人信息，具体请您查阅《天翼云AOne SDK隐私和信息处理规则》“我们如何使用 Cookie和同类技术”章节进行详细了解。 1.3 我们提供的与儿童有关的服务是不断发展的。如我们需要超出上述收集范围收集您或被监护人的个人信息，我们将再次告知您，并征得您的同意。 1.4 根据相关法律法规规定，以下情形中收集儿童的信息无需征得儿童监护人的授权同意： （1）与我们履行法律法规规定的义务相关的； （2）与国家安全、国防安全、公共安全、公共卫生、重大公共利益有关的； （3）与犯罪侦查、起诉、审判和判决执行等有关的； （4）出于维护儿童的生命、财产等重大合法权益但又很难得到监护人同意的； （5）所收集的信息是儿童或监护人自行向社会公众公开的； （6）从合法公开披露的信息中收集信息的，如合法的新闻报道、政府信息公开等渠道； （7）根据与您或被监护人签订和履行相关协议或其他书面文件所必需的； （8）法律法规规定的其他情形。 请您理解，您可以选择是否填写或向我们提供特定的信息，但您如果不填写或提供某些特定的信息，将可能导致我们的产品及服务无法正常运行，或者无法达到我们拟达到的服务效果，您和被监护人可能无法正常使用我们的产品、服务或相关的具体业务功能。 二、我们如何共享、转让和公开披露儿童的个人信息 我们承诺对儿童个人信息进行严格保密，我们遵照法律法规的规定，严格限制共享、转让、披露儿童个人信息的情形，仅在《天翼云AOne SDK隐私和信息处理规则》约定和您明确授权同意的情况下对外提供儿童信息。 除了《天翼云AOne SDK隐私和信息处理规则》“我们如何共享、转让、公开披露您的个人信息”章节部分所述的内容外，对于儿童个人信息，我们还将会采取如下措施来保护儿童个人信息在共享、转让和公开披露过程中的安全： 2.1 如果为了本须知所述目的而需要将儿童信息共享至第三方，我们将评估该第三方收集儿童个人信息的合法性、正当性、必要性，并采用加密、匿名化、去标识化处理等手段保障您和被监护人的信息安全。 2.2 我们将要求第三方对儿童个人信息采取保护措施，并且严格遵守相关法律法规与监管要求。我们会要求接收儿童个人信息的第三方遵守严格的保密义务及采取有效的保密措施，禁止其将这些儿童个人信息用于未经儿童及其监护人授权的用途，并要求受托公司依法履行以下义务： （1）按照法律、行政法规的规定和我们的要求处理儿童个人信息； （2）协助我们回应儿童监护人提出的申请； （3）采取措施保障信息安全，并在发生儿童个人信息泄露安全事件时，及时向我们反馈； （4）委托关系解除时及时删除儿童个人信息； （5）不得转委托； （6）其他依法应当履行的儿童个人信息保护义务。 2.3 另外，我们会按照法律法规的要求征得您的同意，或确认第三方已经征得您同意。 三、我们如何储存儿童的个人信息 3.1 我们在中华人民共和国境内运营中收集和产生的儿童个人信息，将存储在中国境内（为本须知之目的，不含香港、澳门、台湾地区）。 3.2 我们会采取合理可行的措施，尽力避免收集和处理无关的儿童的个人信息。我们只会在达成本须知所述目的所需的期限内保留儿童的个人信息，除非法律有强制的留存要求。关于我们如何确定儿童个人信息存储期限请参见《天翼云AOne SDK隐私和信息处理规则》“我们如何保存您的个人信息或关联组织信息”章节。如我们终止服务或运营，我们将及时停止继续收集儿童个人信息的活动，同时会遵守相关法律法规要求提前向您通知，并在终止服务或运营后对儿童的个人信息进行删除或匿名化处理，但法律法规或监管部门另有规定的除外。 四、我们如何保护儿童的个人信息 我们非常重视儿童的隐私安全，并采取一切合理可行的措施保护儿童个人信息： 4.1 我们会严格控制儿童个人信息的访问权限，对可能接触到儿童个人信息的工作人员采取最小够用授权原则，并采取技术措施对处理儿童个人信息的行为进行记录和管控，避免违法复制、下载儿童个人信息。 4.2 我们会定期组织内部相关人员进行培训，使其掌握岗位职责和应急处置策略和规程。在不幸发生儿童个人信息安全事件后，我们将按照法律法规的要求，及时向您告知：安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您及被监护人可自主防范和降低风险的建议、对您及被监护人的补救措施等。我们将及时将事件相关情况以APP推送通知、发送邮件/短消息等方式告知您。难以逐一告知时，我们会采取合理、有效的方式发布相关警示信息。同时，我们还将按照监管部门要求，主动上报儿童个人信息安全事件的处置情况。若被监护人的合法权益受损，我们将承担相应的法律责任。 4.3 如您希望了解更多，请查阅《天翼云AOne SDK隐私和信息处理规则》“我们如何保护您的个人信息或关联组织信息”章节，详细了解上述措施外，我们还采取了哪些措施保护儿童个人信息。 五、我们如何管理儿童的个人信息 5.1 为了您或被监护人在使用我们的产品及服务期间可以更加便捷地访问和管理被监护人的个人信息，同时保障注销账户的权利，我们在产品及服务中为您和被监护人提供了相应的操作设置，您和被监护人可以按照《天翼云AOne SDK隐私和信息处理规则》中的“您的权利及如何管理您的个人信息”章节指引进行操作。 5.2 如存在以下情况，您和被监护人可以请求我们删除收集、使用和处理的儿童个人信息。我们会在完成身份验证后，及时采取措施予以删除。 （1）若我们违反法律、行政法规的规定或者本须知的约定收集、存储、使用、转让、披露儿童个人信息； （2）若我们超出本须知目的范围或者必要期限收集、存储、使用、转让、披露儿童个人信息； （3）您撤回同意； （4）您或被监护人通过注销等方式终止使用产品或者服务的。 但请注意，若您和被监护人要求我们删除特定儿童个人信息，可能导致被监护人无法继续使用我们的产品和服务或产品和服务中的某些具体业务功能。 如您发现在未事先征得您同意的情况下收集了被监护人的个人信息，请及时联系我们，我们会设法尽快删除相关数据。 六、本须知的适用 绝大多数情形下我们无法识别且不会判断收集和处理的个人信息是否属于儿童个人信息，我们将按照《天翼云AOne SDK隐私和信息处理规则》收集和处理用户的个人信息。 七、本须知的修订 我们可能会根据我们的产品及服务的更新情况及法律法规的相关要求适时修改本须知的条款，该等修改构成本须知的一部分，我们会在专门页面上展示最新修改版本。当本须知的条款发生变更时，我们会以APP弹窗方式进行提示并再次取得您的同意，详见《天翼云AOne SDK隐私和信息处理规则》“本隐私和信息处理规则如何更新”章节的规定。 八、如何联系我们 8.1 如您对本隐私和信息处理规则或您信息的相关事宜有任何问题、意见、建议或申诉，您可以通过天翼云提交工单、联系智能客服、或拨打我们的客服电话4008109889与我们取得联系，您还可通过发送邮件至service@chinatelecom.cn或ctpip.ctyun@chinatelecom.cn，与天翼云边缘安全加速平台零信任服务的个人信息保护负责人进一步沟通。 8.2 一般情况下，我们将会在3个工作日内回复，特殊情形下，最长将在不超过15个工作日做出答复。 8.3 如果您对我们的回复不满意，特别是我们的信息处理行为损害了您的合法权益，您还可以通过以下外部途径寻求解决方案：向被告所在地有管辖权的人民法院提起诉讼。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云客户控制台开启HTTPS协议，可实现客户端和天翼云边缘安全加速节点之间数据包的安全加密传输。如果想要实现全链路HTTPS传输，则需要在边缘安全加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端向边缘安全加速节点发起HTTPS请求。 2. 边缘安全加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则随机生成一个密钥A，并使用公钥加密后发送给边缘安全加速节点。 4. 边缘安全加速节点使用SSL证书对应私钥进行解密，得到密钥A。 5. 客户端与边缘安全加速节点在后续通信过程中使用密钥A对传输的数据加密。 6. 客户端与边缘安全加速节点使用密钥A对收到的数据进行解密，获取对应数据。 配置说明 1. 登录边缘安全加速平台控制台。 2. 在域名基础配置页面，点击目标域名。 3. 进入HTTPS配置页面，单击“编辑配置”。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的【证书】。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。 6. 单击【保存】，完成配置。 参数 说明 证书 配置证书前，需先在【请求协议】开启【HTTPS】后进行HTTPS相关配置。 证书，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。 如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。

本章节介绍微服务云应用平台推荐使用的部署配置中的特性 概述 应用部署配置中涉及了许多K8s中的概念，如果要使用到应用部署配置中的这些高级特性，需要对K8s有较为深入的了解。下面将介绍一些推荐使用的部署配置中的特性。 应用配置信息 应用配置信息可在两处进行配置： 1. 左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例，在应用实例列表，点击上方创建应用实例，进入到部署配置模块进行配置。 2. 左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例，在应用实例列表，点击应用实例，进入到应用实例详情，点击右上方新增版本按钮，在新增版本界面进行配置。 Pod数量 建议为应用配置2个及以上Pod实例。配置多个Pod实例，可有效避免单个Pod实例故障而导致的应用无法使用。 单Pod资源配额 建议为应用配置合理的CPU资源预留（Request）和Mem资源限制（Limit）。配置合理的单Pod资源配额，可以有效利用K8s集群资源。 说明 对于Java应用，配置的Mem资源限制（Limit）不应低于JVM配置的内存使用上限，否则会在Pod层面出现内存不足（OOM），导致Pod重启。 应用高级配置信息 1. 建议为应用设置合理的日志滚动策略，及时清理。Pod实例内打印过多日志将侵占节点的磁盘空间，导致节点进入DiskPressure状态，并引发Pod驱逐。 2. 合理配置应用生命周期的探针。 为了便于故障自愈和优雅上下线，Liveness存活探针的各参数配置应当保证应用可以正常启动，若应用正常启动时间较长，可以配置更长的首次启动延迟时间（InitialDelaySeconds）。相关文档，请参见应用运维>容器应用实例>创建制品微服务，查看应用高级配置——应用生命周期管理。 如果部署的是应用通过Service实现的服务暴露，Readiness就绪探针的各参数配置应当保证能准确的反映应用健康状况，以免非健康Pod提供服务（即未被Service摘除）。 3. 配置日志收集规则。将Pod实例日志持久化保存到云日志服务，便于问题排查。由于Pod实例本身是无状态的，会因为各种调度而重新创建和删除，因此需要将Pod实例的日志进行集中化收集并持久化存储。相关文档，请参见应用运维>容器应用实例>创建制品微服务，查看应用高级配置——日志收集管理。