什么是UDP攻击和TCP攻击？ UDP攻击和TCP攻击的基本原理说明如下： 攻击者利用UDP和TCP协议的交互过程特点，通过僵尸网络，向服务器发送大量各种类型的TCP连接报文或UDP异常报文，造成服务器的网络带宽资源被耗尽，从而导致服务器处理能力降低、运行异常。 如何理解“百万级的IP黑名单库”？ 百万级的IP黑名单库是指AntiDDoS基于多年积累的DDoS防护经验，搜集的恶意IP数量已达到百万级别。当用户的业务受到这些恶意IP攻击时，AntiDDoS可以快速响应，及时为用户提供DDoS攻击防护服务。 AntiDDoS的触发条件是什么？ AntiDDoS检测到IP的入流量超过“防护设置”页面配置的“流量清洗阈值”时，触发流量清洗。 当实际业务流量触发该阈值时，AntiDDoS仅拦截攻击流量。 当实际业务流量未触发该阈值时，无论是否为攻击流量，都不会进行拦截。 AntiDDoS流量清洗进行防御时对正常业务有影响吗？ AntiDDoS流量清洗不影响正常流量。 AntiDDoS清洗机制是怎样的？ AntiDDoS检测到IP的入流量超过“防护设置”页面配置的“流量清洗阈值”时，触发流量清洗。 您可以通过拦截报告页面，查看所有公网IP的防护统计信息，包括清洗次数、清洗流量以及TOP10被攻击公网IP。

本章节主要介绍物理机的备份。 操作场景 为了保证数据安全，您可以对物理机中的所有云硬盘（系统盘和数据盘）进行备份，采用这种备份方式可以避免因备份创建时间差带来的数据不一致问题。云主机备份支持基于多云硬盘一致性快照技术的备份服务，并支持利用备份数据恢复物理机数据，最大限度保障用户数据的安全性和正确性，确保业务安全。 约束与限制 不支持使用物理机的备份创建镜像。 不支持备份带有共享云硬盘的物理机。 恢复时，物理机会自动关机，将中断租户业务，关机后有一段时间物理机处于锁定状态，租户不可操作。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 物理机服务”。进入物理机列表页面。 3. 在待备份的物理机所在行，单击“更多 > 创建备份”。 系统跳转至“创建云主机备份”页面。 4. 根据界面提示完成如下操作： 选择服务器：在服务器列表中，默认会勾选待创建备份的物理机，保持默认即可。 备份配置：勾选“自动备份”，选择一个备份策略。 说明 将选择的物理机绑定到备份策略中，按照备份策略进行自动备份。 如果选择的物理机已绑定其他策略，在选择新的备份策略后，服务器会自动从原备份策略解绑，并绑定到新的备份策略。 您也可以勾选“立即备份”，选择的物理机将立即进行一次备份。 输入备份名称和描述，如果是首次备份，建议启动全量备份。

可信服务功能介绍 什么是可信服务 可信服务是指可与组织管理服务集成，提供组织级相关能力的云服务。管理账号及主账号可以在组织中开启某个云服务为可信服务。成为可信服务后，云服务可以获取组织中的组织单元及成员账号信息，并基于此信息提供组织级的管理能力。例如，开启云防火墙为可信服务后，云防火墙可以获取组织单元及成员账号信息，统一为整个组织提供基于云防火墙的产品服务。 什么是委托管理员 委托管理员账号是一个组织中有特殊权限的成员账号。管理账号可指定某个成员账号为某个可信服务的委托管理员账号。成为委托管理员账号后，该成员账号下的用户可以使用对应可信服务的组织级管理能力。例如，某一个成员账号成为云防火墙的委托管理员后，可以共享云防火墙服务在组织成员账号内共同防护。 当前支持可信服务的云产品 可信服务 功能介绍 是否支持委派管理员账号 相关文档 云防火墙 云防火墙集成组织管理后，能够统一管理多账号的公网IP资产，统一配置防御策略，实现集中安全管控。 是 多账号管理 启用或禁用可信服务 登入企业组织管理员账号后，您可以在“企业中心可信服务”界面，对支持可信服务的产品进行开启或禁用。 组织管理员禁用某个云服务的可信访问后，此云服务便不能给成员账号创建此服务的"服务关联委托”。 服务启用可信后才可以设置委托管理员。

walloghints (boolean) 当这个参数为on时，TeleDB服务器一个检查点之后页面被第一次修改期间把该磁盘页面的整个内容都写入 WAL，即使对所谓的提示位做非关键修改也会这样做。如果启用了数据校验和，提示位更新总是会被 WAL 记录并且这个设置会被忽略。你可以使用这个 设置测试如果你的数据库启用了数据校验和，会有多少额外的 WAL 记录发生。这个参数只能在服务器启动时设置。默认值是off。 walcompression (boolean) 当这个参数为on，fullpagewrites为on，或者基础备份中，TeleDB服务器压缩完整页面图片到WAL中。在WAL回放中解压压缩的页面图片。缺省值为off。只有超级用户可以修改这个设置。开启这个参数可以减少WAL量而不增加不可恢复数据丢失的风险， 但是增加了WAL日志压缩以及WAL回放解压过程中一些额外CPU成本开销。 walbuffers (integer) 用于还未写入磁盘的WAL 数据的共享内存量。默认值 1 选择等于sharedbuffers的 1/32 的尺寸（大约3%），但是不小于64kB也不大于 WAL 段的尺寸（通常为16MB）。如果自动的选择太大或太小可以手工设置该值，但是任何小于32kB的正值都将被当作32kB。这个参数只能在服务器启动时设置。在每次事务提交时，WAL 缓冲区的内容被写出到磁盘，因此极大的值不可能提供显著的收益。不过，把这个值设置为几个兆字节可以在一个繁忙的服务器（其中很多客户端会在同一时间提交）上提高写性能。由默认设置 1 选择的自动调节将在大部分情况下得到合理的结果。

添加逻辑集群lc2 1. 在集群管理页面，单击指定集群名称进入“集群详情”页面，在左导航栏单击“逻辑集群管理”。 2. 进入逻辑集群页面，单击右上角“添加逻辑集群”，从右侧勾选3个节点到左侧列表中，并输入逻辑集群名称lc2，单击“确定”。 请耐心等待约2分钟，逻辑集群添加成功。 创建逻辑集群关联用户并实现跨逻辑查询数据 1. 以系统管理员连接数据库，执行以下SQL语句查询原业务表name。 验证转换后，业务数据查询正常。 SELECT FROM name; 2. 执行以下语句创建u1关联逻辑集群lc1，u2关联逻辑集群lc2。 CREATE USER u1 NODE GROUP "lc1" password '{password} '; CREATE USER u2 NODE GROUP "lc2" password ' {password} '; 3. 以用户u1登录数据库，创建新表u1.t1并插入两条数据，同时授权用户u2可以访问该表。 CREATE TABLE u1.t1 (id int, name varchar(20)); INSERT INTO u1.t1 VALUES (1,'joy'),(2,'lily'); GRANT USAGE ON SCHEMA u1 TO u2; GRANT SELECT ON TABLE u1.t1 TO u2; 4. 以用户u2登录数据库，查询原业务表t1数据，提示无权访问逻辑集群lc1。结果表明，即使用户u1已经授权了u2可以访问该表，但是由于这张表在不同的逻辑集群，所以仍然无法访问，证明逻辑集群间数据隔离。 SELECT FROM u1.t1; 5. 切回系统管理员dbadmin窗口，将逻辑集群lc1的访问权限授予用户u2。 GRANT USAGE ON NODE GROUP lc1 TO u2; 6. 再次切到用户u2窗口，查询表t1成功。结果验证绑定了逻辑集群lc2的用户可以跨逻辑集群查询到原业务表t1。实现逻辑集群间的数据共享。 SELECT FROM u1.t1;

服务调用时是否可保证一定的并发需求？ 公有云服务，线上用户资源共享，并发量会根据线上用户的调用情况动态调整。 如遇到突发高峰导致的并发量不够用的情况，您可以尝试以下三种解决方法： 通过重试机制，碰到并发错误可以延时一小段时间（如25s）重试请求。 后端检查上一请求结果，上一个请求返回后再发送下一次，避免请求过于频繁。 如果需要更大的常态性并发需求，请通过天翼云客服联系我们。 QPS不够用怎么办？ 通用型OCR、身份证识别默认支持10个QPS，驾驶证识别和行驶证识别默认支持5个QPS，营业执照识别默认支持2个QPS。建议您在程序中可以进行一定的请求限制，避免收到大量限流报错。 如果因业务需要QPS超过限制，请提前线下咨询沟通再购买下单。 注意：如果您的程序在失败时有重试机制，当您扩大并发量后接口返回错误码时，请不要重试，否则可能加重限流报错情况。 OCR接口支持哪些格式？ OCR识别接口均支持图片格式数据，包括：png/.jpg/.jpeg/.bmp。 OCR服务是否支持私有化部署？ 印刷文字识别OCR支持私有化部署，您可通过天翼云官网工单或者客服电话【4008109889转1】沟通私有化部署相关合作。 是否支持子用户使用？ 主用户订购后，可以将资源授权给子用户使用，子用户被授权后，可以使用子用户的aksk和appkey调用接口。 授权详情功能，授权后可以在产品控制台的授权详情中查看。

一体机收费模式？ 一体机目前主要根据服务器节点收费，3年服务期价格服务器标准资费台数。后续进行扩容时，同样仅对扩容的服务器数量进行独立收费。 注： 专业版超融合节点购买数量最小为3，最高为30；旗舰版最低是10节点，最高是255台。 交换机设备包含在一体机产品价格中，无需另行配置。 报价已包含基础集成服务费用和3年运维费用，后续运维由电信地市公司提供一线运维人员协助（定期巡检、简单硬件运维开关机、插拔盘等）。 报价中不包含网络带宽、IDC服务费用，不含操作系统license费用。 一体机维保费用如何收取？ 一体机维保包含软件维保和硬件维保服务。初始报价已包含前三年维保费用，不再单独收取。3年服务期结束后，客户可续订，维保费用（/年）标准资费（3年）10%。 3年服务期内是否允许退订？ 因一体机涉及硬件部分，在订购后不允许进行退订。 3年服务期后产权是否可以归属客户？ 一体机默认是以服务模式售卖，产权归属天翼云。 一体机最长能提供多久续订服务 初始服务期为3年，服务期结束后客户可继续按年续订，考虑到硬件维保问题，原则上只能续订2年，天翼云回收设备。

高级配置（可选） MRS集群高级配置拓扑 参数 参数说明 标签 具体请参考添加集群标签。 主机名前缀 用作集群中ECS机器主机名的前缀。 弹性伸缩 请在“硬件配置”页签指定Task节点的规格，然后参考配置弹性伸缩规则配置。 引导操作 具体请参考添加引导操作。MRS 3.x版本暂时不支持该参数。 委托 通过绑定委托，ECS或BMS云服务将有权限来管理您的部分资源，请根据实际业务场景需求确认是否需要配置委托。 例如通过配置ECS委托可自动获取AK/SK访问OBS，具体请参见配置存算分离集群（委托方式）。 MRSECSDEFAULTAGENCY委托拥有对象存储服务的OBSOperateAccess权限和在集群所在区域拥有CESFullAccess（对开启细粒度策略的用户）、CES Administrator和KMS Administrator权限。 指标共享 用于采集大数据组件的监控指标，当用户使用集群过程中出现问题时，供支持人员定位问题。MRS 3.x版本暂时没有该参数。 OBS权限控制 开启细粒度权限控制的用户可以通过该功能实现不同的MRS用户对OBS文件系统下的不同目录有不同的权限。具体请参见配置MRS多用户访问OBS细粒度权限。MRS 3.x版本暂时没有该参数。 数据盘加密 是否对集群挂载的数据盘中的数据进行加密，默认关闭。如需使用该功能，当前用户必须拥有“Security Administrator”和“KMS Administrator”权限。MRS 3.x版本暂时没有该参数。 加密数据盘使用的密钥由数据加密服务（DEW，Data Encryption Workshop）中的密钥管理（KMS，Key Management Service）功能提供，无需您自行构建和维护密钥管理基础设施，安全便捷。通过单击“数据盘加密”开启或关闭数据盘加密功能。 密钥ID 当“数据盘加密”功能开启时，显示该参数。用于显示已选择的密钥名称对应的密钥ID。MRS 3.x版本暂时没有该参数。 密钥名称 当“数据盘加密”功能开启时，需要配置该参数。选择用来加密数据盘的密钥名称，默认选择密钥名称为“evs/default”的默认主密钥，在下拉框中可以选择其他用户主密钥。MRS 3.x版本暂时没有该参数。 使用用户主密钥加密云硬盘，若对用户主密钥执行禁用、计划删除等操作，将会导致云硬盘不可读写，甚至数据永远无法恢复，请谨慎操作。单击“查看密钥列表”，进入密钥管理页面可以创建及管理密钥。 告警 开启告警功能可在集群运行异常或系统故障时，及时通知集群维护人员定位问题。 规则名称 用户自定义发送告警消息的规则名称，只能包含数字、英文字符、中划线和下划线。 主题名称 选择已创建的主题，也可以单击“创建主题”重新创建。新创建的主题请参考配置消息通知章节中的 向主题添加订阅部分，向该主题添加订阅者才能接收发布至主题的消息。 主题是发送消息和订阅通知的信道，为发布者和订阅者提供一个可以相互交流的通道。 日志记录 集群创建失败时，是否收集失败日志。 开启日志记录开关之后将自动收集集群创建失败、扩/缩容失败等场景下的系统日志及相关组件运行日志到OBS文件系统中，该日志用于运维人员快速定位问题。该日志信息将最多保留7天。 Kerberos认证 登录Manager管理页面时是否启用Kerberos认证。 ：“Kerberos认证”关闭时，普通用户可使用MRS集群的所有功能。建议单用户场景下使用。不启用Kerberos认证时的安全配置建议请参见集群（未启用Kerberos认证）安全配置建议。 ：“Kerberos认证”开启时，普通用户无权限使用MRS集群的“文件管理”和“作业管理”功能，并且无法查看Hadoop、Spark的作业记录以及集群资源使用情况。如果需要使用集群更多功能，需要找Manager的管理员分配权限。建议在多用户场景下使用。 用户名 Manager管理员用户，目前默认为admin用户。 密码 配置Manager管理员用户的密码。 需要满足： 密码长度应在8～26个字符之间，必须包含如下4种字符的组合 − 至少一个小写字母 − 至少一个大写字母 − 至少一个数字 − 至少一个特殊字符：! ?,.: {} [ ]@ $% ^ + / 不能和用户名或倒序的用户名相同 安全程度：颜色条红、橙、绿分别表示密码安全强度弱、中、强。 确认密码 再次输入Manager管理员用户的密码。 登录方式 密码 使用密码方式登录ECS节点。 密码设置约束如下： 1. 字符串类型，可输入的字符串长度为8~26。 2. 至少包含四种字符组合，如大写字母，小写字母，数字，特殊字符（! ?,.: {} [ ]@ $% ^ + /）。 3. 不能与用户名或倒序用户名相同。 密钥对 使用密钥方式登录集群ECS节点。从下拉框中选择密钥对，如果已获取私钥文件，请勾选“我确认已获取该密钥对中的私钥文件SSHkeyxxx ，否则无法登录弹性云主机”。如果没有创建密钥对，请单击“查看密钥对”创建或导入密钥，然后再获取私钥文件。 密钥对即SSH密钥，包含SSH公钥和私钥。您可以新建一个SSH密钥，并下载私钥用于远程登录身份认证。为保证安全，私钥只能下载一次，请妥善保管。 您可以通过以下两种方式中的任意一种使用SSH密钥。 1. 创建SSH密钥：创建SSH密钥，同时会创建公钥和私钥，公钥保存在ECS系统中，私钥保存在用户本机。当登录弹性云主机时，使用公钥和私钥进行鉴权。 2. 导入SSH密钥：当用户已有公钥和私钥，可以选择将公钥导入系统。当登录弹性云主机时，使用公钥和私钥进行鉴权。 通信安全授权 MRS集群通过管理控制台为用户发放、管理和使用大数据组件，大数据组件部署在用户的VPC内部，MRS管理控制台需要直接访问部署在用户VPC内的大数据组件时需要开通相应的安全组规则，而开通相应的安全组规则需要获取用户授权，此授权过程称为通信安全授权。具体请参考授权安全通信。 若不开启通信安全授权，MRS将无法创建集群。

本章节主要介绍物理机实例概述。 实例概述 物理机实例即您创建的一台物理机服务器。不同实例类型提供不同的计算能力、存储空间、网络性能，您可以基于业务需求选择不同类型的实例。当天翼云向您交付一个实例时，您将获得这台服务器完整的控制权限，包括开机、关机、带内管理等。 实例类型 目前天翼云提供的物理机CPU，均为x86架构，根据业务需求选购不同配置的物理机服务器。 x86 V4实例（CPU采用Intel Broadwell架构） x86 V5实例（CPU采用Intel Skylake架构） x86 V6实例（CPU采用Intel Cascade Lake架构） 其他说明 基于本地盘的物理机服务器，系统盘默认RAID 1，数据盘默认直通盘。如果需要更改数据盘RAID配置，可以联系管理员变更。系统盘RAID不支持变配。 常用的RAID级别 RAID 0 RAID 0又称为条带化（Stripe）或分条（Striping），代表了所有RAID级别中最高的存储性能。RAID 0提高存储性能的原理是把连续的数据分散到多个硬盘上存取。这样，当系统有数据请求时就可以在多个硬盘上并行执行，每个硬盘执行属于它自己的那部分数据请求。这种数据上的并行操作可以充分利用总线的带宽，显著提高硬盘整体读写性能。但由于其没有数据冗余，无法保护数据的安全性，只能适用于I/O要求高，但数据安全性要求低的场合。 图1 RAID 0数据存储原理 RAID 1 RAID 1又称镜像（Mirror或Mirroring），即每个工作盘都有一个镜像盘，每次写数据时必须同时写入镜像盘，读数据时同时从工作盘和镜像盘读出。当更换故障盘后，数据可以重构，恢复工作盘正确数据。RAID 1可靠性高，但其有效容量减小到总容量一半以下，因此常用于对容错要求较高的应用场合，如财政、金融等领域。 图2 RAID 1数据存储原理 RAID 5 RAID 5是一种存储性能、数据安全和存储成本兼顾的存储解决方案。为保障存储数据的可靠性，采用循环冗余校验方式，并将校验数据分散存储在RAID的各成员盘上。当RAID的某个成员盘出现故障时，通过其他成员盘上的数据可以重新构建故障硬盘上的数据。RAID 5既适用于大数据量的操作，也适用于各种小数据的事务处理，是一种快速、大容量和容错分布合理的磁盘阵列。 图3 RAID 5数据存储原理 其中，PA为A0、A1和A2的奇偶校验信息，PB为B0、B1和B2的奇偶校验信息，以此类推。 RAID 6 在RAID 5的基础上，RAID 6增加了第二个独立的奇偶校验信息块。两个独立的奇偶系统使用不同的算法，数据的可靠性非常高，即使两块磁盘同时失效也不会影响数据的使用。但RAID 6需要分配给奇偶校验信息更大的磁盘空间，相对于RAID 5有更大的“写损失”，因此“写性能”较差。 图4 RAID 6数据存储原理 其中，PA为A0、A1和A2的第一个校验信息块，QA为第二个校验信息块；PB为B0、B1和B2的第一个校验信息块，QB为第二个校验信息块，以此类推。 RAID 10 RAID 10是将镜像和条带进行两级组合的RAID级别，即RAID 0＋RAID 1的组合形式，第一级是RAID 1，第二级是RAID 0。RAID 10是存储性能和数据安全兼顾的方案。它在提供与RAID 1一样的数据安全保障的同时，也提供了与RAID 0近似的存储性能。 图5 RAID 10数据存储原理 RAID 50 RAID 50被称为镜像阵列条带，即RAID 5 + RAID 0的组合形式。像RAID 0一样，数据被分区成条带，在同一时间内向多块磁盘写入；像RAID 5一样，也是以数据的校验位来保证数据的安全，且校验条带均匀分布在各个磁盘上。 图6 RAID 50数据存储原理 其中，PA为A0、A1和A2的奇偶校验信息，PB为B0、B1和B2的奇偶校验信息，以此类推。 RAID 60 RAID 60同RAID 50类似，数据采用镜像阵列条带分布方式，即RAID 6 + RAID 0的组合形式。像RAID 0一样，数据被分区成条带，在同一时间内向多块磁盘写入；像RAID 6一样，以两个数据校验模块来保证数据的安全，且校验条带均匀分布在各个磁盘上。 图7 RAID 60数据存储原理 其中，PA为A0、A1和A2的第一个校验信息块，QA为第二个校验信息块；PB为B0、B1和B2的第一个校验信息块，QB为第二个校验信息块，以此类推。

本节介绍NFS协议的文件存储如何挂载到Linux系统的边缘虚拟机上。 操作场景 当创建文件存储后，您需要使用边缘虚拟机来挂载该文件存储，以实现多个边缘虚拟机共享使用文件存储的目的。 同一文件存储不能同时支持 NFS 协议和 SMB 协议。 边缘裸金属服务器操作与边缘虚拟机一致，但裸金属服务器使用的是 underlay 的 VPC 网络挂载文件存储。 前提条件 在需要操作的地域创建虚拟私有云 VPC。 已创建该 VPC 下的边缘虚拟机，并根据操作系统类型，安装相应的 NFS 客户端。 已创建该 VPC 下的文件存储，协议类型为 NFS，并获取到文件存储的挂载点名称。 如果需要跨 VPC 访问文件存储，需要配置对等连接以确保 VPC 网络互通。 操作步骤 1. 以 root 用户登录弹性边缘虚拟机。 2. 安装 NFS 客户端。 查看系统是否安装 NFS 软件包。 说明 CentOS、Red Hat、Oracle Enterprise Linux、SUSE、Euler OS、Fedora或OpenSUSE系统下，执行如下命令： rpm qagrep nfs Debian或Ubuntu系统下，执行如下命令： dpkg l nfscommon 不同操作系统回显会有所不同，如果回显如下类似信息，说明已经成功安装 NFS 软件包。 说明 CentOS、Red Hat、Euler OS、Fedora 或 Oracle Enterprise Linux 系统下，回显如下类似信息： libnfsidmap nfsutils SUSE 或 OpenSUSE 系统下，回显如下类似信息： nfsidmap nfsclient Debian 或 Ubuntu 系统下，回显如下类似信息： nfscommon 如果查看到未安装，根据不同的操作系统，执行不同命令。 注意 执行以下命令前要求边缘虚拟机已连接到互联网，否则安装 NFS 客户端失败。 说明 CentOS、Red Hat、Euler OS、Fedora 或 Oracle Enterprise Linux 系统下，执行如下命令： sudo yum y install nfsutils Debian 或 Ubuntu 系统下，执行如下命令： sudo aptget install nfscommon SUSE 或 OpenSUSE 系统下，执行如下命令： zypper install nfsclient 3. 执行如下命令，创建用于挂载文件存储的本地路径。 mkdir 本地路径 说明 如果本地路径已挂载其他磁盘等资源，为被占用状态时，需要新建其它目录进行挂载（nfs 客户端不会对重复挂载进行拦截，当重复挂载时会表现为最后一次成功挂载的信息）。 4. 执行如下命令，将文件存储挂载到与文件存储所属 VPC 相同的边缘虚拟机上。 mount t nfs o vers3,timeo600,noresvport,nolock 挂载地址 本地路径 参数说明 参数 说明 :: vers 文件存储版本，支持 NFSv3 和 NFSv4。如果您的业务场景不包含多台实例同时编辑同一个文件，建议您选择 NFSv3，达到最优性能。 timeo NFS 客户端重传请求前的等待时间（单位为 0.1 秒）。建议值：600。 noresvport 指定 NFS 客户端向 NFS 服务端重新发起建立连接时使用新的 TCP 端口。强烈建议使用 noresvport 参数，这可以保障网络发生故障恢复事件后文件存储服务不会中断。 lock/nolock 选择是否使用 NLM 协议在服务器上锁文件。当选择 nolock 选项时，锁对于同一主机的应用有效，对不同主机不受锁的影响。建议值：nolock。如不加此参数，则默认为 lock，就会发生其他服务器无法对此文件存储写入的情况。ECX文件存储暂不支持非本地锁操作，需要显式添加 nolock 参数防止客户端调用非本地锁而导致抢锁失败的写入慢问题。 proto NFS 客户端向服务器发起传输请求使用的协议，可以为 UDP 或者 TCP。 挂载地址 文件存储的格式为：文件存储 ip:/ 路径，例如：192.168.0.10:/var/ecx/filenvmecv4lq0bkrj0lnj8u23n0。 本地路径 边缘虚拟机上用于挂载文件存储的本地路径，例如 “/localpath”。 注意 请将上述命令中的 “挂载地址” 替换为实际的文件存储 IP 地址及路径，将 “本地路径” 替换为在边缘虚拟机上创建的具体本地路径。 挂载文件存储时，更多性能调优的挂载参数，可参考更多参数配置，各参数之间以逗号进行分隔。例如： mount t nfs o vers3,timeo600,nolock,rsize1048576,wsize1048576,hard,retrans3,tcp,noresvport,ro,async,noatime,nodiratime 挂载地址 本地路径 更多参数 参数 说明 :: rsize 每次向服务器读取文件的最大字节数。实际数据小于或等于此值。rsize 必须是 1024 倍数的正整数，小于 1024 时自动设为 4096，大于 1048576 时自动设为 1048576。默认时，服务器和客户端进行协商后设置。建议设置为最大值 1048576。 wsize 每次向服务器写入文件的最大字节数。实际数据小于或等于此值。wsize 必须是 1024 倍数的正整数，小于 1024 时自动设为 4096，大于 1048576 时自动设为 1048576。默认时，服务器和客户端进行协商后设置。建议设置为最大值 1048576。 soft/hard 取值为 soft，即软挂载方式挂载系统，如果 NFS 请求超时，则客户端向调用程序返回错误；取值为 hard，即使用硬连接方式，如果 NFS 请求超时，则客户端一直重新请求直至成功。默认为 hard。 retrans 客户端返回错误前的重传次数。建议值：1。 tcp/udp 不指定 mountproto 时，客户端默认先尝试使用 udp 协议挂载，如果 udp 网络不通则会在卡顿几秒后再尝试 tcp 协议挂载。当前默认没有放通安全组入方向 mount 协议的 udp 端口号，需要将 mount 挂载协议设置为 TCP 传输协议，即 mountprototcp。 ro/rw ro：表示采用只读的方式挂载。rw：表示采用读写的方式挂载。默认为 rw。未写明 ro/rw 时，则默认为采用 rw 读写的方式挂载。 noresvport 指定 NFS 客户端向 NFS 服务端重新发起建立连接时使用新的 TCP 端口。强烈建议使用 noresvport 参数，这可以保障网络发生故障恢复事件后文件存储服务不会中断。 sync/async sync 为同步写入，表示将写入文件的数据立即写入服务端；async 为异步写入，表示将数据先写入缓存，再写入服务端。同步写入要求 NFS 服务器必须将每个数据都刷入服务端后，才可以返回成功，时延较高。建议设置为 async。 noatime 如果不需要记录文件的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。 nodiratime 如果不需要记录目录的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。 说明 没有 “使用建议” 的参数推荐使用默认参数。 5. 挂载完成后，执行如下命令，查看已挂载的文件存储。 mount l 如果回显包含如下类似信息，说明挂载成功。 挂载地址 on /localpath type nfs (rw,vers3,timeo600,nolock,addr) 6. 挂载成功后，用户可以在边缘虚拟机上访问文件存储，执行读取或写入操作。

适用场景 客户在应用托管中部署自研应用/第三方模型，与现有弹性云主机、数据库等云资源联动协同，实现完整复杂业务流程。 产品优势 资源协同，性能高效：共池内网打通，应用托管与弹性云主机、数据库、消息队列等云服务实现低延迟、高带宽内网通信，同时内网访问更具安全保障 业务整合成本低：已有公有云用户可直接复用弹性云主机、数据库等云上资源，无需额外迁移 / 重构，快速搭建完整业务架构，降低整合成本 部署灵活，场景覆盖广：支持自定义模型服务、MCP Server、智能体应用、自定义业务应用等多类型部署，结合丰富的云产品，满足业务的全场景需求 Aone 赋能应用与企业内网网络打通 适用场景 当企业同时使用公有云的应用托管服务和企业内网的各类系统时，需要实现两者之间的安全网络连通 产品优势 网络连通性优势：Aone 打通公有云应用与企业内网网络，保障安全稳定，实现公有云应用本地式访问企业内网资源，破解跨网资源访问壁垒 资源整合优势：整合公有云的应用托管能力和企业内网系统资源，实现资源的高效利用和协同工作，提升企业整体 IT 架构的运行效率：安全性优势 在打通网络的同时，保障了企业内网资源的安全访问，避免了因网络开放带来的安全风险，满足企业对数据和系统安全性的高要求

本节主要介绍云存储网关的主要应用场景。 承载关键业务 场景说明 云存储网关采用分布式双控架构，实现了秒级故障切换、低时延、和高吞吐量，满足企业级核心业务高负载和高性能的要求。通过将企业通用服务器整合成高性能的虚拟存储阵列，通过标准iSCSI协议提供分布式块存储服务，承载企业核心业务数据。高可用，单节点故障不影响业务运行。 产品优势 安全可靠：支持多副本和纠删码数据冗余保护机制，确保数据不丢，保证数据一致性，可以承载企业核心业务。 业务永续：故障切换速度可达秒级，媲美传统高端存储，单节点故障不影响可用性，确保核心应用724永续。 读写延迟低：采用分布式双控架构，提升性能，延迟极低。同时优化了数据重建流程，避免性能瓶颈，快速响应企业的核心应用。 建议搭配产品 弹性云主机 天翼云对象存储（经典版）I型 场景架构图 数据上云 场景说明 对于需要存储海量数据的客户，如备份数据，视频监控，归档数据等，可以通过云存储网关将数据上传到天翼云对象存储（经典版）I型中，存储空间按需使用，可弹性伸缩至PB级别，为大规模数据、高带宽型应用提供有力支持。同时，利用云端对象存储，可以降低存储总成本。

迁移时长 因迁移速度受网络带宽，磁盘IO，CPU和内存占用率，文件大小、数量等因素影响，主机迁移服务无法准确的评估出迁移时长，迁移任务中“剩余迁移时间预测”仅供参考。 建议30天内完成数据迁移和业务割接。 由于增量同步受源端文件数目，有效簇连续性以及源端增量数据大小等多方面因素影响，因此主机迁移服务无法评估和保障同步时长。 迁移过程操作须知 迁移过程中，禁止对目的端服务器的系统、磁盘进行操作，包括但不限于切换操作系统、重装系统等。 迁移过程中，会对目的端服务器的磁盘进行格式化并重新分区，请迁移前做好数据备份以及确认目的端服务器磁盘可被格式化。 迁移过程中，Windows迁移和Linux块级迁移禁止重启SMSAgent。 迁移过程中，Linux文件级迁移重启SMSAgent支持断点续传，但仍然有出现异常的风险，非必要，建议不要重启SMSAgent。 如果迁移过程中出现报错，请及时收集迁移日志，以供技术人员定位问题。 迁移后须知 主机迁移服务属于系统迁移，可以保证迁移前后数据一致性，但无法确保迁移后业务能正常运行。应用能否成功部署，需要用户根据实际情况进行调整，SMS只负责数据迁移，不负责用户的业务调整。 主机迁移服务暂时不提供数据一致性校验工具，如果需要对数据进行校验，请自行选择第三方工具进行校验。

RR（Resource Record） 资源记录，用来存放与域名相关的数据。每条资源记录都包括域名、生存时间、信息类型、资源记录类型和值五项。 TTL 生存时间（time to live），名称服务器允许数据在缓存中存放的时间。生存时间一到期，名称服务器就丢弃原有的缓存数据并从权威名称服务器获取新的数据。 递归查询 客户机向本地域名服务器进行的查询属于递归查询，即当客户机向DNS服务器发出请求后，若DNS服务器本身不能解析，则会向其它的DNS服务器发出查询请求，得到结果后转交给客户机。 迭代查询 本地域名服务器向授权服务器逐级进行查询的行为属于迭代查询。当根域名服务器收到本地域名服务器的迭代查询请求报文时，通常会给出域名的权威记录，或是告知下一级授权的查询地址。 DNS缓存 域名服务器在解析名称的过程中，会得知域名空间中许多区域授权信息，同时将这些数据记录下来供将来参考，称为缓存。通过缓存，本地名称服务器可以很快地提供先前取得的已知信息，因而缩短名称解析的时间。 拒绝服务攻击 黑客常用的攻击手段之一，目的为让目标机器停止提供服务。对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。

您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 1. 先准备好介质独立部署，为方便快速部署，TelePG从1.5.3版本开始支持独立部署功能。前期准备好介质，部署好zk，部署好mysql，借助TelePG控制台进行部署。 2. 通过集团云翼平台直接订购开通部署。 3. 流复制是 PostgreSQL 9.0 之后提供的新的传递 WAL 日志的方法。通过流复制，备库不断的从主库同步相应的数据，并在备库应用每个 WAL 文件 。主备模式推荐采用同步及潜在同步至少三节点的方式。 4. 暂不支持自动建立database，需用户手动建立database；支持自动建schema，用户可不用手动建立schema。 内存分配 shared buffer pool，共享内存区域：供 PostgreSQL 服务器的所有进程使用。查看 sharedbuffers 参数可以得到其设置值，建议设为内存的四分之一。 WAL buffer，预写日志缓冲区：WAL 数据在写入持久存储之前的缓冲区,实例初始化时自动计算。 commit log，提交日志：所有事务的状态日志，每个事务占用 2bit，最大512MB。 tempbuffers，临时表缓冲区。 workmem，工作内存：执行器在执行 sort、distinct 使用该区域对元组做排序，以及存储 merge join、hash join 多表连接的数据，受最大连接数 maxconnections 参数影响，建议用户 session 级别进行设置，不要全局设置。 maintenanceworkmem，维护内存：某些类型的维护操作使用该区域（如vacuum、reindex）。 注意 按照小系统上云oltp应用保守设置，如果是大数据、数据仓库，需要再此基础按照测试重新优化调整较大参数值。 最大内存估算可参考如下表： 项目 值（MB） 备注 maxconnections 100 默认值为100 workmem 4 默认值为4，最小值64KB tempbuffers 8 默认值为8，最小值800KB sharedbuffers 128 默认值为8，最小值128KB autovacuummaxworkers 3 默认值为3 maintenanceworkmem 64 默认值为64MB，最小值为1MB。 commit log 48 每个事务2bits,autovacuumfreezemaxage,默认为2亿。 maxconnectionsworkmem+maxconnectionstempbuffers+sharedbuffers+（autovacuummaxworkersmaintenanceworkmem）+clog 1568 wal buffers1 autovacuumworkmem1 操作系统配置规范： 关闭CPU 的节能模式。 关闭NUMA。 建议使用UTF8。 设置时间时区，建议主机工程师设置时间同步服务。 关闭其他服务： systemctl stop tuned.service ktune.service systemctl stop firewalld.service systemctl stop postfix.service systemctl stop avahidaemon.socket systemctl stop avahidaemon.service systemctl stop atd.service systemctl stop bluetooth.service systemctl stop wpasupplicant.service systemctl stop accountsdaemon.service systemctl stop atd.service cups.service systemctl stop postfix.service systemctl stop ModemManager.service systemctl stop debugshell.service systemctl stop rtkitdaemon.service systemctl stop rpcbind.service systemctl stop rngd.service systemctl stop upower.service systemctl stop rhsmcertd.service systemctl stop rtkitdaemon.service systemctl stop ModemManager.service systemctl stop mcelog.service systemctl stop colord.service systemctl stop gdm.service systemctl stop libstoragemgmt.service systemctl stop ksmtuned.service systemctl stop brltty.service systemctl stop avahidnsconfd.service 数据库高可用telePG 数据库高可用telePG组件服务器，bios层需要关闭numa，关闭电源保护模式设置CPU为最大性能模式，让其不降频，cat /proc/cpuinfo grep E "model nameMHz"CPU型号、频率一致。 参数类型 配置项 说明 操作系统内核参数配置 sysctl vm.swappiness5 5~10可选，但不可能阻止使用swap空间 操作系统内核参数配置 vm.minfreekbytes1024000 保证系统空闲内存维持在一定水平，同时保障内存管理low和min水位之间有足够间隔 操作系统内核参数配置 fs.aiomaxnr40960000 aiomaxnr no of process per DB no of databases 4096 操作系统内核参数配置 vm.dirtyratio20 vm.dirtybackgroundratio5 vm.dirtywritebackcentisecs100 vm.dirtyexpirecentisecs500 可选，这个参数指定了当文件系统缓存脏页数量达到系统内存百分之多少时（如5%）就会触发pdflush/flush/kdmflush等后台回写进程运行，将一定缓存的脏页异步地刷入外存 操作系统内核参数配置 vm.vfscachepressure150 vm.swappiness10 vm.minfreekbytes524288">> /etc/sysctl.d/99sysctl.conf && sysctl system 可选，该参数表示内核回收用于directory和inode cache内存的倾向。缺省值100表示内核将根据pagecache和swapcache，把directory和inode cache保持在一个合理的百分比；降低该值低于100，将导致内核倾向于保留directory和inode cache；增加该值超过100，将导致内核倾向于回收directory和inode cache 操作系统内核参数配置 fs.filemax 76724200 该参数表示文件句柄的最大数量。文件句柄设置表示在linux系统中可以打开的文件数量 操作系统内核参数配置 net.core.rmemmax 4194304 最大的TCP数据接收缓冲 操作系统内核参数配置 net.core.wmemmax 2097152 最大的TCP数据发送缓冲 操作系统内核参数配置 net.core.wmemdefault 262144 表示接收套接字缓冲区大小的缺省值(以字节为单位） 操作系统内核参数配置 net.core.rmemdefault 262144 表示发送套接字缓冲区大小的缺省值(以字节为单位) 操作系统内核参数配置 net.ipv4.tcpsyncookies 1 当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭。 操作系统内核参数配置 net.ipv4.tcptwreuse 1 允许将TIMEWAIT sockets重新用于新的TCP连接，默认为0，表示关闭 操作系统内核参数配置 net.ipv4.tcptwrecycle 1 TCP连接中TIMEWAIT sockets的快速回收，默认为0，表示关闭，注意如果是natnat网络，并与net.ipv4.tcptimestamps 1组合使用，则会出现时断时续的情况 操作系统内核参数配置 net.ipv4.tcpfintimeout 30 修改系統默认的TIMEOUT 时间，避免服务器被大量的TIMEWAIT拖死 操作系统内核参数配置 net.ipv4.iplocalportrange 9000 65000 如果连接数本身就很多，可以再优化一下TCP的可使用端口范围，进一步提升服务器的并发能力，默认值是32768到61000 操作系统内核参数配置 net.ipv4.tcpmaxsynbacklog 8192 SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数 操作系统内核参数配置 net.ipv4.tcpmaxtwbuckets 5000 系统同时保持TIMEWAIT的最大数量，如果超过这个数字，TIMEWAIT将立刻被清除并打印警告信息，默认为180000 操作系统内核参数配置 net.ipv4.conf.all.rpfilter 0 net.ipv4.conf.all.arpfilter 0 net.ipv4.conf.default.rpfilter 0 net.ipv4.conf.default.arpfilter 0 net.ipv4.conf.lo.rpfilter 0 net.ipv4.conf.lo.arpfilter 0 net.ipv4.conf.em1.rpfilter 0 net.ipv4.conf.em1.arpfilter 0 net.ipv4.conf.em2.rpfilter 0 net.ipv4.conf.em2.arpfilter 0 网卡的设置 操作系统内核参数配置 kernel.shmmni 4096 这个内核参数用于设置系统范围内共享内存段的最大数量。该参数的默认值是4096 。通常不需要更改kernel.sem 250 32000 100 142 操作系统内核参数配置 kernel.shmall 1073741824 该参数表示系统一次可以使用的共享内存总量(以页为单位)。缺省值是2097152，可根据kernel.shmmax大小进行调整（kernel.shmmax/41024或者kernel.shmmax/81024） 操作系统内核参数配置 kernel.shmmax 4398046511104 该参数定义了共享内存段的最大尺寸(以字节为单位)，此值默认为物理内存的一半 操作系统内核参数配置 kernel.sysrq 0 如无需调试系统排查问题，这个必须为0 telepg的 limits.conf配置 telepg soft nofile1048576 telepg的 limits.conf配置 telepg soft memlock 1 telepg的 limits.conf配置 telepg hard memlock 1 telepg的 limits.conf配置 telepg hard memlock 128849018880 telepg的 limits.conf配置 telepg soft memlock 128849018880 telepg的 limits.conf配置 telepg soft core6291456 telepg的 limits.conf配置 telepg hard core6291456 telepg的 limits.conf配置 telepg hard nproc131072 telepg的 limits.conf配置 telepg soft nproc131072 telepg的 limits.conf配置 telepg hard nofile 1048576 telepg的 limits.conf配置 telepg hard stack 32768 telepg的 limits.conf配置 telepg soft stack 10240 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/enabled 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/defrag 网络连通性 确保组件和集群内的网络联通。 确保与相关联组件的网络连通。 确保防火墙关闭。

您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 1. 先准备好介质独立部署，为方便快速部署，TelePG从1.5.3版本开始支持独立部署功能。前期准备好介质，部署好zk，部署好mysql，借助TelePG控制台进行部署。 2. 通过集团云翼平台直接订购开通部署。 3. 流复制是PostgreSQL 9.0 之后提供的新的传递 WAL 日志的方法。通过流复制，备库不断的从主库同步相应的数据，并在备库应用每个 WAL 文件 。主备模式推荐采用同步及潜在同步至少三节点的方式。 4. 暂不支持自动建立database，需用户手动建立database；支持自动建schema，用户可不用手动建立schema。 内存分配 1.shared buffer pool，共享内存区域：供 PostgreSQL 服务器的所有进程使用。查看 sharedbuffers 参数可以得到其设置值，建议设为内存的四分之一。 2.WAL buffer，预写日志缓冲区：WAL 数据在写入持久存储之前的缓冲区,实例初始化时自动计算。 3.commit log，提交日志：所有事务的状态日志，每个事务占用 2bit，最大512MB。 4.tempbuffers，临时表缓冲区。 5.workmem，工作内存：执行器在执行 sort、distinct 使用该区域对元组做排序，以及存储 merge join、hash join 多表连接的数据，受最大连接数 maxconnections 参数影响，建议用户 session 级别进行设置，不要全局设置。 6.maintenanceworkmem，维护内存：某些类型的维护操作使用该区域（如vacuum、reindex）。 注意 按照小系统上云oltp应用保守设置，如果是大数据、数据仓库，需要再此基础按照测试重新优化调整较大参数值。 最大内存估算可参考如下表： 项目 值（MB） 备注 maxconnections 100 默认值为100 workmem 4 默认值为4，最小值64KB tempbuffers 8 默认值为8，最小值800KB sharedbuffers 128 默认值为8，最小值128KB autovacuummaxworkers 3 默认值为3 maintenanceworkmem 64 默认值为64MB，最小值为1MB。 commit log 48 每个事务2bits,autovacuumfreezemaxage,默认为2亿。 maxconnectionsworkmem+maxconnectionstempbuffers+sharedbuffers+（autovacuummaxworkersmaintenanceworkmem）+clog 1568 wal buffers1 autovacuumworkmem1 操作系统配置规范： 关闭 CPU 的节能模式。 关闭 NUMA。 建议使用 UTF8。 设置时间时区，建议主机工程师设置时间同步服务。 关闭其他服务： systemctl stop tuned.service ktune.service systemctl stop firewalld.service systemctl stop postfix.service systemctl stop avahidaemon.socket systemctl stop avahidaemon.service systemctl stop atd.service systemctl stop bluetooth.service systemctl stop wpasupplicant.service systemctl stop accountsdaemon.service systemctl stop atd.service cups.service systemctl stop postfix.service systemctl stop ModemManager.service systemctl stop debugshell.service systemctl stop rtkitdaemon.service systemctl stop rpcbind.service systemctl stop rngd.service systemctl stop upower.service systemctl stop rhsmcertd.service systemctl stop rtkitdaemon.service systemctl stop ModemManager.service systemctl stop mcelog.service systemctl stop colord.service systemctl stop gdm.service systemctl stop libstoragemgmt.service systemctl stop ksmtuned.service systemctl stop brltty.service systemctl stop avahidnsconfd.service 数据库高可用telePG 数据库高可用telePG组件服务器，bios层需要关闭numa，关闭电源保护模式设置CPU为最大性能模式，让其不降频，cat /proc/cpuinfo grep E "model nameMHz"CPU型号、频率一致。 参数类型 配置项 说明 操作系统内核参数配置 sysctl vm.swappiness5 5~10可选，但不可能阻止使用swap空间 操作系统内核参数配置 vm.minfreekbytes1024000 保证系统空闲内存维持在一定水平，同时保障内存管理low和min水位之间有足够间隔 操作系统内核参数配置 fs.aiomaxnr40960000 aiomaxnr no of process per DB no of databases 4096 操作系统内核参数配置 vm.dirtyratio20 vm.dirtybackgroundratio5 vm.dirtywritebackcentisecs100 vm.dirtyexpirecentisecs500 可选，这个参数指定了当文件系统缓存脏页数量达到系统内存百分之多少时（如5%）就会触发pdflush/flush/kdmflush等后台回写进程运行，将一定缓存的脏页异步地刷入外存 操作系统内核参数配置 vm.vfscachepressure150 vm.swappiness10 vm.minfreekbytes524288">> /etc/sysctl.d/99sysctl.conf && sysctl system 可选，该参数表示内核回收用于directory和inode cache内存的倾向。缺省值100表示内核将根据pagecache和swapcache，把directory和inode cache保持在一个合理的百分比；降低该值低于100，将导致内核倾向于保留directory和inode cache；增加该值超过100，将导致内核倾向于回收directory和inode cache 操作系统内核参数配置 fs.filemax 76724200 该参数表示文件句柄的最大数量。文件句柄设置表示在linux系统中可以打开的文件数量 操作系统内核参数配置 net.core.rmemmax 4194304 最大的TCP数据接收缓冲 操作系统内核参数配置 net.core.wmemmax 2097152 最大的TCP数据发送缓冲 操作系统内核参数配置 net.core.wmemdefault 262144 表示接收套接字缓冲区大小的缺省值(以字节为单位） 操作系统内核参数配置 net.core.rmemdefault 262144 表示发送套接字缓冲区大小的缺省值(以字节为单位) 操作系统内核参数配置 net.ipv4.tcpsyncookies 1 当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭。 操作系统内核参数配置 net.ipv4.tcptwreuse 1 允许将TIMEWAIT sockets重新用于新的TCP连接，默认为0，表示关闭 操作系统内核参数配置 net.ipv4.tcptwrecycle 1 TCP连接中TIMEWAIT sockets的快速回收，默认为0，表示关闭，注意如果是natnat网络，并与net.ipv4.tcptimestamps 1组合使用，则会出现时断时续的情况 操作系统内核参数配置 net.ipv4.tcpfintimeout 30 修改系統默认的TIMEOUT 时间，避免服务器被大量的TIMEWAIT拖死 操作系统内核参数配置 net.ipv4.iplocalportrange 9000 65000 如果连接数本身就很多，可以再优化一下TCP的可使用端口范围，进一步提升服务器的并发能力，默认值是32768到61000 操作系统内核参数配置 net.ipv4.tcpmaxsynbacklog 8192 SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数 操作系统内核参数配置 net.ipv4.tcpmaxtwbuckets 5000 系统同时保持TIMEWAIT的最大数量，如果超过这个数字，TIMEWAIT将立刻被清除并打印警告信息，默认为180000 操作系统内核参数配置 net.ipv4.conf.all.rpfilter 0 net.ipv4.conf.all.arpfilter 0 net.ipv4.conf.default.rpfilter 0 net.ipv4.conf.default.arpfilter 0 net.ipv4.conf.lo.rpfilter 0 net.ipv4.conf.lo.arpfilter 0 net.ipv4.conf.em1.rpfilter 0 net.ipv4.conf.em1.arpfilter 0 net.ipv4.conf.em2.rpfilter 0 net.ipv4.conf.em2.arpfilter 0 网卡的设置 操作系统内核参数配置 kernel.shmmni 4096 这个内核参数用于设置系统范围内共享内存段的最大数量。该参数的默认值是4096 。通常不需要更改kernel.sem 250 32000 100 142 操作系统内核参数配置 kernel.shmall 1073741824 该参数表示系统一次可以使用的共享内存总量(以页为单位)。缺省值是2097152，可根据kernel.shmmax大小进行调整（kernel.shmmax/41024或者kernel.shmmax/81024） 操作系统内核参数配置 kernel.shmmax 4398046511104 该参数定义了共享内存段的最大尺寸(以字节为单位)，此值默认为物理内存的一半 操作系统内核参数配置 kernel.sysrq 0 如无需调试系统排查问题，这个必须为0 telepg的 limits.conf配置 telepg soft nofile1048576 telepg的 limits.conf配置 telepg soft memlock 1 telepg的 limits.conf配置 telepg hard memlock 1 telepg的 limits.conf配置 telepg hard memlock 128849018880 telepg的 limits.conf配置 telepg soft memlock 128849018880 telepg的 limits.conf配置 telepg soft core6291456 telepg的 limits.conf配置 telepg hard core6291456 telepg的 limits.conf配置 telepg hard nproc131072 telepg的 limits.conf配置 telepg soft nproc131072 telepg的 limits.conf配置 telepg hard nofile 1048576 telepg的 limits.conf配置 telepg hard stack 32768 telepg的 limits.conf配置 telepg soft stack 10240 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/enabled 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/defrag 网络连通性 确保组件和集群内的网络联通。 确保与相关联组件的网络连通。 确保防火墙关闭。

本文为您介绍备份集复制的相关功能。 备份集复制是一种数据复制技术，它可以将备份集数据从一个存储单元复制到另一个存储单元，备份集复制页面支持备份集手动、级联复制。 手动复制：备份规则备份完成后可在备份集管理页面手动复制。 级联复制：需要提前创建备份集复制规则，备份规则中关联备份集复制规则，这样备份规则产生备份集后，可以按照备份集复制规则的时间窗口触发复制动作从而完成级联复制。 备份集复制的源和目标均可以为存储单元或存储单元组，采用备份集复制可以提升数据的安全性和可用性；可以优化恢复速度；可以将备份数据放在不同的地方，防止灾难或故障导致数据丢失；可以将备份集数据存放到不同的介质，以适应不同的存储需求和成本。 新建备份集复制 操作步骤 1. 点击左侧菜单栏 “数据定时灾备”，点击“备份集备份集复制”，进入备份集复制页面。 2. 点击“新建”按钮，进入备份集复制新建页面。 3. 基础设置各项配置如下： 名称：名称只能以英文字母开头，可包含数字，不能包含中文及特殊字符。 规则类型：支持复制、归档和跨域复制。 复制：备份至源存储单元的任务完成后且备份数据有效，此时触发备份集复制机制，备份集复制完成后，源存储单元上的备份集数据将不会被删除，直至过期删除。 归档：备份至源存储单元的任务完成后且备份数据有效，此时触发备份集归档机制，备份集归档完成后，源存储单元上的备份集数据将被过期删除，后台自动清理。 源存储单元（组）：选择该备份集复制规则复制时的源存储单元（组）。 目标存储单元（组）：选择该备份集复制规则复制时的目标存储单元（组）。 磁带池：目标存储单元（组）为磁带库类型时可以选择。 目标保留等级：选择该备份集复制规则在目标存储单元（组）上的保留等级（保留等级参数支持自定义修改）。 若保留等级选择和源备份集一致，则复制后的备份集过期时间源备份集的过期时间。 若保留等级选择其他保留等级，则复制后的备份集过期时间源备份集的备份完成时间+保留时间。 任务优先级：可选择任务执行的优先级，优先级越高的优先执行，默认为0，可以填0~99999。 下一次备份集复制策略：此处主要用于二级级联复制，点击选择框，将列出所有以“目标存储单元（组）”为源的备份集复制策略。如果选择多个备份集复制规则策略，Schedule Server可同时发起多个备份集复制任务。 失败重试：默认开启，指备份集复制任务失败后，若开启了重试开关，可在备份时间窗口内进行任务重试。重试次数默认为3次，重试间隔默认为30分钟，均可自定义。 禁用：默认不选用，禁用表示该规则不参与调度，不会被执行。 4. 传输设置页面各配置项如下： 传输压缩：启用传输压缩后，Client对准备传输的数据进行压缩处理，备份服务器接收数据进行解压写入备份服务器的本地存储。提供四个压缩类型选择：极速压缩，普通压缩，快速压缩，均衡压缩。此选项默认不压缩。 极速压缩：极速压缩采用lz4。压缩速度最快，压缩率比较低。 普通压缩：普通压缩采用zip，压缩速度最慢，压缩率一般情况下最高。 快速压缩：快速压缩采用snappy，压缩速度比极速压缩稍慢，但是压缩率一般比极速压缩要高。 均衡压缩：均衡压缩采用minilzo，压缩速度比极速压缩稍慢，但是压缩率一般比极速压缩要高。 注：压缩速度：极速压缩>普通压缩。压缩效果：普通压缩>极速压缩。综合考虑时间和效果，推荐使用极速压缩。 传输加密：Client在准备发送数据过程时使用加密算法加密数据，当备份服务器收到数据后将执行解密操作再写入备份服务器的本地存储。此选项默认不加密。 加密类型：提供AES、SM4加密算法。 传输链路：选择数据传输链路。 并行模式：备份集复制支持多数据流传输。 自动流数：采用默认的并行流数。 D2D、D2T默认1个并行流数。 T2D、T2T默认采用和备份相同的并行流数。 上限流数：动态指定并行流数，备份系统允许的最大并行流数，默认为4。 D2D，threadnum 页面配置下发的并行流数。 D2T，threadnum min（页面下发的并行流数，可用的目标驱动器数）。 T2D，threadnum min（页面下发的并行流数，源备份集的流数，可用的源驱动器数）。 T2T，threadnum min（页面下发的并行流数，源备份集的流数，可用的源驱动器数，可用的目标驱动器数）。 固定流数：固定指定并行流数，默认为4。 D2D，threadnum 页面配置下发的并行流数。 D2T，threadnum 页面下发的并行流数，如果目标驱动器数不足，则等待直至超时。 T2D，threadnum min（页面下发的并行流数，源备份集的流数）如果源驱动器数不足，则等待直至超时。 T2T，threadnum min（页面下发的并行流数，源备份集的流数）如果源或目标驱动器不足，则等待直至超时。 5. 备份时间窗口为备份集复制任务的时间窗口。即备份任务完成后，将根据此时间窗口进行备份集复制任务。 6. 带宽控制页面可保持默认或根据需求配置。 7. 完成配置后，点击确定完成规则新建。

术语 说明 cURL cURL是一个利用URL语法在命令行下工作的文件传输工具，可用于检测系统是否可以访问目标站点。 Dig Dig是一个在类Unix命令行模式下查询DNS信息（包括NS记录、A记录、MX记录等）的工具。 基线核查 基线核查是指对主机操作系统、数据库、软件和容器的配置进行安全检测，并提供检测结果说明和加固建议。 基线核查可以帮您进行系统安全加固，降低入侵风险并满足安全合规要求。 漏洞扫描 漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。 引擎 本文的“引擎”为扫描核心技术，即最终进行漏洞扫描工作的服务。 资产 即扫描器所扫描的主机、数据库、网站等。 DDoS 分布式拒绝服务攻击（Distributed Denial of Service Attack，DDoS）是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。 EDR 端点检测与响应（Endpoint Detection & Response，EDR）是一种主动的安全方法，可以实时监控端点，并搜索渗透到防御系统中的威胁。EDR是一种新兴的技术，可以更好地了解端点上发生的事情，提供关于攻击的上下文和详细信息。 认证 是一种信用保证形式。按照国际标准化组织（ISO）和国际电工委员会（IEC）的定义，由国家认可的认证机构证明一个组织的产品、服务、管理体系符合相关标准、技术规范（TS）或其强制性要求的合格评定活动。 虚拟机 虚拟机（Virtual Machine）指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。 在实体计算机中能够完成的工作在虚拟机中都能够实现。 在计算机中创建虚拟机时，需要将实体机的部分硬盘和内存容量作为虚拟机的硬盘和内存容量。每个虚拟机都有独立的CMOS、硬盘和操作系统，可以像使用实体机一样对虚拟机进行操作。 AES 密码学中的高级加密标准（Advanced Encryption Standard，AES），又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES（Data Encryption Standard），已经被多方分析且广为全世界所使用。 Apache Apache是一款Web服务器软件。它可以运行在几乎所有广泛使用的计算机上，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。 CC攻击 CC攻击（Challenge Collapsar Attack，挑战黑洞攻击）是DDoS攻击的一种类型，使用代理服务器向受害服务器发送大量假冒合法的请求，造成被攻击服务器资源耗尽，一直到宕机崩溃。 DES DES（Data Encryption Standard，数据加密标准）是一种使用密钥加密的块算法，1977年被美国联邦政府的国家标准局确定为联邦资料处理标准（FIPS），并授权在非密级政府通信中使用，随后该算法在国际上广泛流传开来。 HA 高可靠性（High Availability，简称HA）能够在通信线路或设备发生故障时提供备用方案，防止由于单个产品故障或链路故障导致网络中断，保证网络服务的连续性。 LACP LACP（Link Aggregation Control Protocol，链路聚合控制协议）是一种基于IEEE802.3ad标准的协议。 LACP协议通过LACPDU（Link Aggregation Control Protocol Data Unit，链路聚合控制协议数据单元）与对端交互信息。链路聚合往往用在两个重要节点或繁忙节点之间，既能增加互联带宽，又提供了连接的可靠性。 LDAP LDAP（Lightweight Directory Access Protocol，是轻量目录访问协议）是互联网上目录服务的通用访问协议。 LDAP服务可以有效解决众多网络服务的用户账户问题，LDAP服务器是用于查询和更新LDAP目录的服务器，包括用户账号目录。 MTU 最大传输单元（Maximum Transmission Unit，MTU）用来通知对方所能接受服务单元的最大尺寸，说明发送方能够接受的有效荷载大小。 SSL SSL（Secure Sockets Layer，安全套接字协议）及TLS（Transport Layer Security，继任者传输层安全）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。 VRRP 虚拟路由冗余协议（Virtual Router Redundancy Protocol，简称VRRP）是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议，它是一种路由容错协议，也可以叫做备份路由协议。 WebShell Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称为一种网页后门。 黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器Web目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。 Kafka Kafka是一种高吞吐量的分布式发布订阅消息系统，可以处理消费者规模的网站中所有动作流数据。这些数据通常由于吞吐量要求而通过处理日志和日志聚合来解决。 SNMP SNMP（Simple Network Management Protocol，简单网络管理协议）是标准IP网络管理协议，支持目前主流的网络管理系统。 SQL SQL（Structured Query Language，结构化查询语言）是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统；同时也是数据库脚本文件的扩展名。 Syslog Syslog是一种行业标准的协议，可用来记录设备的日志。 Syslog日志消息既可以记录在本地文件中，也可以通过网络发送到接收Syslog的服务器。服务器可以对多个设备的Syslog消息进行统一的存储，或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。

本文主要介绍弹性文件服务的基本概念。 什么是NFS？ NFS（Network File System），即网络文件系统。一种使用于分散式文件系统的协议，通过网络让不同的机器、不同的操作系统能够彼此分享数据。 Linux系统建议使用NFS协议类型的文件系统。 什么是CIFS？ CIFS（Common Internet File System），通用Internet文件系统，是一种网络文件系统访问协议。CIFS是公共的或开放的SMB协议版本，由微软公司使用，它使程序可以访问远程Internet计算机上的文件并要求此计算机提供服务。通过CIFS协议，可实现Windows系统主机之间的网络文件共享。 CIFS类型的文件系统不支持使用Linux操作系统的云主机进行挂载。 Windows系统建议使用CIFS协议类型的文件系统。 文件系统 文件系统通过标准的NFS协议和CIFS协议为客户提供文件存储服务，用于网络文件远程访问，用户通过管理控制台创建挂载地址后，即可在多个云主机上进行挂载，并通过标准的POSIX接口对文件系统进行访问。 POSIX 可移植操作系统接口（Portable Operating System Interface，POSIX），是IEEE为要在各种UNIX操作系统上运行软件而定义API的一系列互相关联的标准的总称。POSIX标准意在期望获得源代码级别的软件可移植性。也就是为一个POSIX兼容的操作系统编写的程序，可以在任何其它的POSIX操作系统上编译执行。 DHCP 动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）是一个局域网的网络协议。指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。默认情况下，DHCP作为Windows Server的一个服务组件不会被系统自动安装，还需要管理员手动安装并进行必要的配置。

本章节介绍云容器集群Pod内存高负载故障演练。 背景介绍 在 CCE 环境中，Pod 运行在共享资源的节点上。内存高负载常因泄漏、数据膨胀或缓存失控引起，可能触发 Kubernetes 的 OOM 机制，导致 Pod 重启、请求失败，甚至影响同节点其他服务。 基本原理 启动自定义程序不断申请内存，模拟Pod内存负载升高。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择内存高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 内存占用率：目标占用率（取值 0100）。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

本文介绍UDFScript脚本的定义、使用方式、典型应用场景。 UDFScript定义 用户自定义脚本（User Defined Script，简称UDFScript）是一个可供客户快速实现CDN加速定制化配置的工具箱，当CDN加速控制台上的标准配置无法满足客户的业务需求时，可以使用UDFScript通过简单地编程实现定制化业务需求。如下为UDFScript架构图。 请求处理流程对比说明 常规请求处理过程： 1. 网关收到客户端请求时，执行控制台标准化配置对请求进行处理。 2. 网关将处理后的请求转发给缓存组件，由缓存组件命中后响应，或者请求回源。 3. 缓存组件返回响应内容，网关响应给客户端。 使用UDFScript后的请求处理过程： 1. 网关收到客户端请求时，执行业务脚本，对用户的请求进行业务处理。 2. 网关处理完业务脚本的业务逻辑后，继续处理控制台标准化的配置。 3. 网关将处理后的请求转发给缓存组件，由缓存组件命中后响应，或者请求回源。 4. 缓存组件返回响应内容，网关响应给客户端。 UDFScript组成说明 UDFScript由全局字典、全局task脚本、业务脚本三部分组成： 全局字典用来定义一块共享内存区域，全局task脚本或业务脚本可以从全局字典中读取数据，也可以把结果保存到全局字典中。 全局task脚本用于定义后台周期性任务（非客户端请求触发），比如周期性同步远端配置数据到本地全局字典中。 业务脚本可以快速自定义控制台未支持的功能，例如定制化鉴权、请求头改写等。 您可以仅使用业务脚本实现简单的自定义功能，也可以把全局字典、全局task脚本、业务脚本三个结合起来使用，自定义更强大的功能。 变量信息，详情请见：UDFScript变量说明。 函数信息，详情请见：UDFScript函数说明。

本文介绍自动化策略工具(PolicyEditor)的使用方法。 使用方式 使用地址：自动化策略工具 使用方法 自动化策略工具（PolicyEditor）由若干条策略组成。使用自动化策略工具，可以在界面上逐条添加或删除策略，并自动生成策略的JSON文本。 自动化策略工具中，每条策略需要设置其效果、授权账号、授权资源、授权操作： 效果（Effect） 指定这条策略是允许访问（Allow）还是禁止访问（Deny）。 授权账号 可选所有账号或指定账号，授权多个用户，输入对象存储userID并以英文逗号隔开。对象存储userID可通过提交工单的方式查询。 授权资源（Resource） 可授权桶及桶内对象，可输入桶名称或对象目录及名称，多个资源以英文逗号隔开。常见场景如下： a. 表示某个Bucket：buckettest b. 表示某个Bucket下所有文件：buckettest/ c. 表示某个Bucket下某个目录：buckettest/2023 d. 表示某个Bucket下某个目录下所有文件：buckettest/2023/ e. 表示某个Bucket下某个目录下某个文件：buckettest/2023/1120.txt 授权操作（Action） 指定访问资源的动作，可以选择多项。一般来说用户使用提供的通配动作就足够了： s3:：表示允许所有动作。 s3:Get：表示允许所有的读动作。 s3:Put：表示允许所有的写动作。 s3:List：表示允许所有的列举动作。 s3:DeleteBucketPolicy：表示允许删除桶策略。 s3:DeleteBucket：表示允许删除桶。 s3:DeleteBucketWebsite：表示允许删除桶的静态网站信息。 s3:GetBucketAcl：表示允许获取桶的访问控制信息。 s3:GetBucketCORS：表示允许获取桶的跨域资源共享策略。 s3:GetBucketEncryption：表示允许获取桶的服务端加密配置。 s3:GetBucketLogging：表示允许获取桶的日志信息。 s3:GetBucketPolicy：表示允许获取桶策略。 s3:GetBucketTagging：表示允许获取桶标签。 s3:GetBucketVersioning：表示允许获取桶的版本信息。 s3:GetBucketWebsite：表示允许获取桶的静态网站信息。 s3:GetLifecycleConfiguration：表示允许获取桶的生命周期配置。 s3:GetBucketObjectLockConfiguration：表示允许获取桶对象的锁定信息。 s3:GetReplicationConfiguration：表示允许获取桶的数据复制规则。 s3:ListAllMyBuckets：表示允许列举所有桶。 s3:ListBucketMultipartUploads：表示允许列举所有执行中的Multipart Upload事件。 s3:ListBucket：表示允许列举用户创建的所有桶。 s3:ListBucketVersions：表示允许列举桶的版本。 s3:PutBucketAcl：表示允许配置桶的访问控制信息。 s3:PutBucketCORS：表示允许配置桶的跨域资源共享策略。 s3:PutBucketEncryption：表示允许配置桶的服务端加密配置。 s3:PutBucketLogging：表示允许配置桶的日志信息。 s3:PutBucketNotification：表示允许配置桶通知。 s3:PutBucketPolicy：表示允许配置桶策略。 s3:PutBucketTagging：表示允许配置桶标签。 s3:PutBucketVersioning：表示允许配置桶的版本信息。 s3:PutBucketWebsite：表示允许配置桶静态网站信息。 s3:PutLifecycleConfiguration：表示允许配置桶的生命周期。 s3:PutBucketObjectLockConfiguration：表示允许配置桶对象的锁定信息。 s3:PutReplicationConfiguration：表示允许配置桶的数据复制规则。 s3:AbortMultipartUpload：表示允许终止执行中的Multipart Upload事件。 s3:DeleteObject：表示允许删除对象。 s3:DeleteObjectVersion：表示允许删除对象版本。 s3:DeleteObjectTagging：表示允许删除对象标签。 s3:DeleteObjectVersionTagging：表示允许删除对象版本标签。 s3:DeleteReplicationConfiguration：表示允许删除数据复制规则。 s3:GetObjectAcl：表示允许获取对象的访问控制信息。 s3:GetObject：表示允许获取对象。 s3:GetObjectVersion：表示允许获取带版本的对象信息。 s3:GetObjectVersionAcl：表示允许获取对象版本的访问控制信息。 s3:GetObjectTagging：表示允许获取对象的标签。 s3:GetObjectVersionTagging：表示允许获取对象版本的标签。 s3:GetObjectRetention：表示允许获取对象的保留信息。 s3:GetObjectLegalHold：表示允许获取对象的合规保留信息。 s3:ListMultipartUploadParts：表示允许获取对象执行中的Multipart Upload事件信息。 s3:PutObjectAcl：表示允许配置对象的访问控制信息。 s3:PutObject：表示允许配置对象信息。 s3:PutObjectVersionAcl：表示允许配置对象版本的访问控制信息。 s3:PutObjectTagging：表示允许配置对象的标签。 s3:PutObjectVersionTagging：表示允许配置对象版本的标签。 s3:PutObjectRetention：表示允许配置对象的保留信息。 s3:PutObjectLegalHold：表示允许配置对象的合规保留信息。 s3:BypassGovernanceRetention：表示允许绕过合规保留。 s3:RestoreObject：表示允许解冻对象。 授权条件 指定授权访问时应该满足的条件，可以指定多个。 键：需要设置的条件类型的名称，例如CurrentTime为当前时间。 条件运算符：设置当前键的运算符，例如等于、不等于、布尔运算等。 值：根据当前键和条件运算符决定，可输入时间、数值等。 示例说明 授权Buckettest及其文件所有权限示例如下： 注意 点击“生成授权策略”后，左侧数据会自动清空。

二、准备训练数据 1. 图片文件准备 准备一批用于训练的图片，可以是同一人物/物体的不同视角，也可以是同一种绘画风格。 本示例中采用了同一只狗狗的不同视角图片。 2. 图片文件上传与裁切 在Extras页面的Batch Process下点击文字，选择图片文件。 选择Scale to将图片裁切到512x512的大小。 点击generate按钮，等待图片上传完毕。 注意 目前某些镜像中尚未预装deepbooru功能所需的模型。当您首次上传图片时，系统会访问github进行模型下载，该模型大小为614MB。依据您的网络带宽，这可能需要几分钟的时间。 上传完成的图片在云主机的 /root/stablediffusionwebui/output/extrasimages目录下。 建议您将文件通过mv命令移动到其他文件夹，方便区分不同的训练文件。例如: plaintext cd /root/stablediffusionwebui mkdir p train/picdata1 mv output/extrasimages/ train/picdata1 您还可查看每张图片生成的txt文件，检查反推出来的提示词是否符合预期，并删除识别错误的提示词。 例如本示例中模式识别的提示词中有一个多余的”shiba inu”，需要将其删除。

物理机服务广泛应用于多种场景,本文带您更快了解物理机服务经典应用场景。 高安全性和监管要求 国防、银行、金融机构以及具有高度合规性要求的行业，如医疗和保险，对于数据安全和监管合规性有严格的要求。天翼云物理机提供了物理隔离和独享资源的能力，通过采用物理机部署、网络隔离和专线接入等方式，确保数据的安全性和隐私保护，满足这些行业的高要求。 关键业务核心数据库 企业核心业务的关键数据库，如客户关系管理（CRM）、企业资源计划（ERP）和大型交易系统等，通常对性能、可靠性和数据安全有较高的要求。天翼云物理机提供了专属的计算资源和本地存储，保证高负载和复杂查询的需求，并确保数据的隔离和可靠性，为企业提供稳定可靠的关键业务支持。 大数据分析 互联网、电商、社交媒体等行业需要处理海量数据并进行实时分析。天翼云物理机提供高带宽、大容量的存储和计算资源，满足大规模数据处理、分布式计算和实时分析的需求，助力企业做出准确决策和优化业务运营，挖掘数据中的价值。 容器场景 电商平台、游戏等业务弹性要求较高、性能要求更高的场景，可采用物理机部署容器的方案。相比在云主机中容器，物理机中部署容器提供更高的部署密度、更低的资源开销和更加敏捷的部署效率。基于云原生技术，帮助客户实现降低云化成本的目标，满足业务快速发展和高性能要求。

3.1 关键指标解读 Throughput（吞吐量）：单位时间内成功处理的请求数（req/s），反映服务负载能力，越高表明性能越优。 Latency（延迟）： Mean Latency：平均响应时间，关注是否随并发升高而显著增加。 P95/P99 Latency：高百分位延迟，衡量服务稳定性（如P95表示95%请求的响应时间低于该值）。 Error Rate（错误率）：超时、服务异常等失败请求占比，理想值为0%，超过1%需排查问题。 四、注意事项 1. 测试耗时 ：全量测试包含多组并发和Token组合，耗时可能长达数小时，建议通过 nohup或任务调度工具执行。 2. 资源监控 ：同步使用 nmon、htop等工具监控服务器CPU、内存、网络带宽，排除硬件瓶颈对测试结果的干扰。 3. API兼容性 ：确保 api参数与模型服务协议一致（当前支持OpenAI格式），请求体结构需符合对应API规范。 4. 输入Token修正 ：datasetinputlength设置值需比实际输入Token数少1（工具自动添加起始Token），例如预期输入1024 Token时，该参数应设为1023。 五、附录 工具文档 ：EvalScope详细使用说明见官方文档。 日志示例：各测试场景的输出日志包含完整请求响应数据，可通过文本分析工具（如Grep、Excel）进行多维度对比。 本指南适用于大模型服务性能评估，旨在为技术人员提供标准化测试流程。实际操作中请根据具体环境调整参数，并结合业务负载特征设计测试用例。

本文介绍实验室测试环境下的多活容灾服务的容灾演练时间、备份和恢复速率,仅供您参考。 一、重要说明 1. 本文的数据复制、备份与恢复速率是在VPC内网、备份服务器规格为8C16G、未开启加密的实验室测试环境下获得的，旨在提供参考基准。请注意，实际应用中的速率可能会因具体环境的差异而有所不同。 2. 本地数据库的备份与恢复速率可能因硬件配置、磁盘性能以及网络条件等因素而有所不同。 3. 在网络带宽充足的情况下，本地文件的备份和恢复速率与ECS文件的备份和恢复速率一致，本地数据库的备份和恢复速率与云上数据库的备份和恢复速率一致。 4. 表格中数据是在首次全量备份下的备份速率。永久增量备份情况下，备份速率会更高。 说明 性能指标与硬件配置（CPU、内存、硬盘类型）和网络相关；也与灾备规则和策略相关，例如：是否开启加密、压缩、重删等。因此，用户在自己环境内的性能以实测为准，也可联系多活容灾服务平台帮助调优或排查等。 二、性能指标 1）预案编排内置能力 多活容灾服务提供同城多活或同城主备（云上）场景下的应用切换、数据库切换能力，可通过预案编排及容灾演练对指定资源或应用进行一键切换。下述时间为容灾演练仅做应用切换或数据库切换，不包含环境检查、业务验证等步骤。 场景 类型 切换时间（s） 同城多活/同城主备（云上容灾） 应用切换/数据库切换 510

天翼云电脑同步工具支持文件增量同步吗？ 支持，可以自动对传输文件进行差异数据计算，只传输文件增量部分。 天翼云电脑同步工具支持数据压缩吗？ 支持，可以自动对传输文件进行高效数据压缩，减少传输的数据量。 天翼云电脑同步工具支持批量同步吗？ 支持，可以同时选择多个文件或文件夹发起批量同步。 天翼云电脑同步工具支持一对多同步吗？ 支持，可以在创建A桌面的同步任务后，再切换目标为B桌面，创建B桌面的同步任务。 天翼云电脑同步工具支持专线环境下使用吗？ 支持，可以配置专线接入地址后进行专线接入。 天翼云电脑同步工具支持自动同步吗？ 支持，可创建自动同步任务，实时进行文件变动监测和同步。自动同步任务在天翼云电脑同步工具退出后会自动停止。 天翼云电脑同步工具提示“无法连接服务器”，如何处理？ 请检查本地网络是否正常，天翼云电脑同步工具工作时需要联网。 天翼云电脑同步工具提示“文件同步失败”，如何处理？ 文件同步过程中出现了网络中断，可点击“恢复”按钮继续未完成的同步任务。 天翼云电脑同步工具提示“未更新同步服务补丁”，如何处理？ 请按提示要求重启目标云电脑，完成同步服务补丁更新。 天翼云电脑同步工具的传输速率是如何计算的？ 天翼云电脑同步工具对文件采用压缩传输，传输速率使用原始文件大小进行计算。例如：原始文件10MB，压缩后为2MB，网络带宽1MB/s，则实际传输耗时 2MB / 1MB/s 2s, 计算的传输速率为10MB / 2s 5MB/s。

本章节介绍云容器集群Pod内存高负载故障演练。 背景介绍 在 CCE 环境中，Pod 运行在共享资源的节点上。内存高负载常因泄漏、数据膨胀或缓存失控引起，可能触发 Kubernetes 的 OOM 机制，导致 Pod 重启、请求失败，甚至影响同节点其他服务。 基本原理 启动自定义程序不断申请内存，模拟Pod内存负载升高。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择内存高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 内存占用率：目标占用率（取值 0100）。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

本文为您介绍通知策略的操作场景，以及如何创建、修改、删除、绑定、解绑通知策略。 操作场景 通知策略包括通知策略模板及收敛策略定义，您可以根据业务需求灵活定义通知策略。主要适用于以下场景： 1、同一时间段内产生大量同类或相关告警。 2、同类单条告警规则每次配置通知策略较为繁琐，可提前配置通用策略后关联告警规则。 注意 通知策略功能当前为公测开放阶段，如有需要可以联系客户经理提单开通。 使用定义通知策略下“通知收敛”策略，可能会照成告警通知延迟发送，您可以按照实际业务需要进行配置。 通知收敛策略、告警规则及通知信息关联策略参考如下： 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 创建通知策略 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“迁移与管理”，单击“云监控服务”，进入监控概览页面。 4. 单击“告警服务”>“告警规则”，进入告警规则界面。 5. 切换至“通知策略”页签，点击“创建通知策略”按钮，进入创建通知策略界面。 6. 单击“确定”，完成通知策略的创建。 7. 配置参数如下： 模块 参数 参数说明 配置示例 备注 创建通知策略 规则类型 选择规则类型 目前仅支持指标类型 服务 选择配置通知策略的服务 云主机 维度 选择配置通知策略的维度 云主机 告警联系组 选择告警通知联系组 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 出现告警 通知渠道 配置告警通知的通知方式，支持邮箱及短信。 邮箱 重复告警 指告警发生后如果未恢复正常，将重复发送告警通知次数。 不重复 通知周期 配置告警通知的周期时间。 星期天、星期一、星期二、星期三、星期四、星期五、星期六 通知时段 配置告警通知的时间段。 00:00:0023:59:59 告警回调 配置告警通知webhook地址。 通知模版 选择通知内容模版 系统模板 定义通知收敛 配置通知收敛开关 打开 收敛字段 选择收敛字段，支持多选，资源对象、告警等级、指标 资源对象 通知收敛频率 填写收敛频率时间（s） 60（s） 规则信息 名称 填写规则名称 描述 填写规则描述，非必填 说明 常见收敛字段类型及示例： 1. 如果设置“指标名称“为收敛字段，当云主机 A 和云主机 B 的 CPU 使用率都超过阈值触发告警时，云监控会将这两个告警视为同类告警进行收敛处理。 2. 如果设置“监控对象“为收敛字段，当告警对象是某台云主机 A，当该云主机的磁盘 I/O 使用率、网络带宽等多个指标同时触发告警时，这些告警会被收敛为一条告警信息。 3. 如果设置 “告警等级” 设为收敛字段，当告警对象云主机 A ，产生诸如磁盘 I/O 使用率、网络带宽占等多个告警，只要这些告警隶属于同一告警等级，系统就会把它们整合为一条告警信息。 说明 如果选择多个收敛字段，如：收敛字段选择“指标名称”+“监控对象”，收敛通知逻辑如下： 相同字段组合的告警合并 指标和实例均相同的告警会被合并为一条通知。例如： 指标A + 实例1 → 合并为一条告警；指标B + 实例2 → 合并为另一条告警。 不同字段组合的告警独立触发 若指标或实例不同，例如：指标A+实例1 和指标A+实例2，则视为不同的收敛字段组合，会触发多条独立的告警通知。

云存储网关可以用于哪些场景？ 云存储网关可以应用到下列场景： 承载关键业务：云存储网关采用分布式双控架构，实现了秒级故障切换、低时延、和高吞吐量，满足企业级核心业务高负载和高性能的要求。通过将企业通用服务器整合成高性能的虚拟存储阵列，通过标准iSCSI协议提供分布式块存储服务，承载企业核心业务数据。高可用，单节点故障不影响业务运行。 数据上云：对于需要存储海量数据的客户，如备份数据，视频监控，归档数据等，可以通过云存储网关将数据上传到OOS中，存储空间按需使用，可弹性伸缩至PB级别，为大规模数据、高带宽型应用提供有力支持。同时，利用云端对象存储，可以降低存储总成本。 无缝接入：利旧原有业务系统，可通过云存储网关使用行业标准 iSCSI 协议连接，无需重写本地应用程序，无需修改现有使用架构，即可将本地应用与云端存储无缝连接，享受低成本、易扩展，无上限的云端存储。此外，本地可以保留需要经常访问的热数据，实现低延迟访问。 云存储网关有哪些功能？ 云存储网关主要通过iSCSI协议提供数据接入服务，iSCSI是一种基于因特网及SCSI3协议下的存储技术。iSCSI可以既可以用于Windows操作系统访问，也可以用于Linux操作系统访问。 通过云存储网关，方便用户将本地数据轻松上传到OOS中，实现存储空间的弹性扩展。 云存储网关支持安装、卸载、还原、升级、服务启停、卷管理、Initiator连接管理、缓存盘管理、CHAP身份认证、监控统计、系统告警、远程协助等功能。

一体机收费模式？ 智算一体机目前主要根据一体机规格数量不同收费，3年服务期价格一体机规格标准资费数量+机柜标准资费（按需）+一体机规格维保标资费数量。后续进行扩容时，同样仅对扩容的服务器节点数量进行独立收费。 注意 交换机设备包含在智算一体机的产品价格中，无需另行配置。 报价需购买一体机3年维保费，后续运维由电信地市公司提供一线运维人员协助（定期巡检、简单硬件运维开关机、插拔盘等）。 报价中不包含网络带宽、IDC服务费用，不含操作系统license费用。 智算一体机维保费用如何收取？ 维保费包含软件维保和硬件维保服务，需要按照维保费的价格进行购买。 3年服务期内是否允许退订？ 因智算一体机机涉及硬件部分，在订购后不允许退订。 3年服务期后产权是否可以归属客户？ 智算一体机默认是以服务模式售卖，产权归属天翼云。 智算一体机最长能提供多久续订服务 初始服务期为3年，服务期结束后客户可继续按年续订，考虑到硬件维保问题，原则上只能续订2年，天翼云回收设备。 但考虑到强制客户进行业务迁移有诸多难点，所以5年后有以下方案可供客户选择： 新订购智算一体机（予以一定折扣），天翼云协助客户进行业务迁移，老设备回收。 按正常续订价格继续续订，天翼云只提供软件运维服务，但不提供硬件维保，最晚续订至第7年，天翼云回收设备。 不再续订，则天翼云立即回收设备。

本文介绍Windows系统云主机如何自查病毒及中病毒后处理建议 一，排查思路 1. 排查系统运行情况 结合用户反映的故障现象，排查相关进程（例如，故障现象为资源占用率高，则排查占用资源较多的进程；故障现象为网络带宽占用较多，则排查网络连接较多的进程）。重点排查进程所关联的文件、启动进程的账户等信息。 2. 排查系统运行环境 通过排查系统启动项、计划任务、系统服务启动等情况，排查可疑程序自动拉起的信息，为阻止恶意程序自运行提供依据。 3. 排查攻击来源 查看登录记录，排查是否存在远程暴力破解行为、是否有不明IP登录系统，系统内是否出现不明账户 二，常见安全入侵排查 (一)挖矿病毒 1. 故障现象 CPU占用率接近100%。 2. 排查思路 确认占用CPU资源的进程，分析该进程对应的程序，查找可疑文件，并根据文件内容确认是否为挖矿程序。 3. 排查过程 在任务管理器中查看进程列表，确认占用CPU资源的主要进程。 查找该进程关联的程序。 xmrig是典型的门罗币挖矿程序，可通过其同目录下的“start.cmd”文件查看挖矿参数。其参数说明如下：o矿池地址和端口号；u账户地址；p密码。 4. 解决方法 停用恶意进程、删除恶意程序、检查自启动项目和计划任务、检查系统内可疑账户、为远程登录账户设置强口令、通过安全组对远程访问的IP地址进行限制。