本文带您了解AI Store的功能特性。 弹性调度异构算力资源 提供多样化的AI算力资源，覆盖通用计算、智能计算、超级计算，支持按需分配、弹性伸缩和智能调度，赋能多场景业务创新。 通过场景化的方式购买算力，根据计费方式、资源池、算力规格进行选购，快速锁定目标。 标准化的模型服务能力 高效、标准化的API接口，支持高并发在线推理，保障企业级应用稳定运行。 模型服务丰富，包括DeepSeek、Qwen等市场主流大模型，提供高性能的模型调用服务。 价格具备市场竞争力，支持按Token、Token包等多种服务计费模式，提供极致性价比。 丰富的应用资源 聚合精选应用，覆盖政务、教育、医疗等行业，从智能体开发平台、知识库到大数据可视化。 既可满足“小而美”的个性化尝鲜，也能支撑“大而全”的企业级深度定制。 便捷的部署及服务流程 提供真正的"即开即用"体验，只需完成注册和购买流程，系统自动完成服务开通和配置，无需等待复杂的部署过程。 提供7×24健康巡检与客服值守，后续版本升级、补丁修复由平台负责。客户只需专注业务创新，无需为运维分心。

针对多活容灾服务续费情况，为您进行说明，请在续费前务必阅读以下内容。 只有通过实名认证的客户，才可以执行续订操作。 按需资源、包年/包月转按需（已完成转按需或正在进行转按需）的资源不可续订。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30日到期，10月11日续订1个月，那么资源新的服务开始时间为10月11日，到期时间为11月10日。相关费用自10月11日开始计算。 容灾管理中心支持自动续订，按月购买自动续订周期为1个月，按年购买自动续订周期为1年。 主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备支持自动续订，按年购买自动续订周期为1年。

本文介绍镜像设置，包括镜像扫描设置、指定可信镜像、查看风险评分。 扫描设置 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像设置”，进入镜像设置页面。 3. 选择“扫描设置”页签。设置扫描类型、自动扫描节点新增镜像和周期扫描等。 扫描类型支持如下两种： 快速扫描：只扫描包管理器安装的软件。 深度扫描：在快速扫描的基础上增加扫描第三方依赖库、Web框架库和病毒木马等恶意文件。 4. 配置完成后，单击“保存”。 指定可信镜像 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像设置”，进入镜像设置页面。 3. 选择“可信镜像”页签。指定可信任的仓库、基础镜像、节点镜像，可对非信任的镜像进行忽略、报警、阻断的操作。 说明 如需使用镜像阻断功能，请在“安装配置 > 组件安装”页面中开启镜像所在集群的镜像阻断功能，详细操作请参见 4. 配置完成后，单击“保存”。

更新日期 更新内容 20220430 第一次正式发布。 本次更新说明如下： 官网正式上线API文档，包含：域名管理、证书管理、刷新预热、统计分析、屏蔽解封、日志下载、辅助工具等类别的API。 20220831 第二次正式发布。 本次更新说明如下： 上线账单服务API，包含：查询计费账单、查询资源包、查询开通服务基本信息、域名计费值查询。 20220930 第三次正式发布。 本次更新说明如下： 上线标签管理API，包含：新增标签、查看标签、删除标签、标签关联域名。 20221031 第四次正式发布。 本次更新说明如下： 上线报表管理API，包含：新增报表订阅、更新报表订阅、查询报表订阅详情、删除报表订阅。 20221130 第五次正式发布。 本次更新说明如下： 上线边缘脚本API，包含：创建或修改预部署环境脚本、查询预部署环境的编译结果、获取预部署节点VIP、查询预部署环境的边缘脚本配置、 预部署环境配置转生产、预部署环境配置回滚、删除脚本配置、查询预部署环境异常运行情况。 2023730 第六次正式发布。 本次更新说明如下： 上线日志配置相关API，包含：根据域名查询日志配置、查询日志配置ID列表、根据ID查询域名列表、根据ID查询日志配置。

微隔离防火墙以镜像方式提供服务，用户需要一台云主机安装产品镜像，然后申请最大资产数和使用时间的授权。本小节介绍微隔离防火墙计费模式和价格。 计费模式 微隔离防火墙按照用户保护的最大终端数量定义了最大资产数，分为三档依次为20L、50L、100L、200L、400L、800L。 各档最大资产数对应管理中心云主机配置要求参照下表： 序号 最大资产数 管理中心主机配置 1 20 1核2G，60G数据盘 2 50 1核4G，100G数据盘 3 100 2核4G，200G数据盘 4 200 2核4G，200G数据盘 5 400 4核8G，300G数据盘 6 800 8核16G，400G数据盘 价格 产品规格（防护主机台数） 标准价格（元/月） 20 1700 50 4200 100 8300 200 16600 400 29900 800 59800 说明 针对一次性包年付费服务，标准价格按照如下优惠政策进行操作，且在订购期间不允许退订服务。 一次性付费1年 一次性付费2年 一次性付费3年 包月标准价格1285% 包月标准价格2485% 包月标准价格3685%

本页介绍天翼云TeleDB数据库配置文件管理。 TeleDB提供了一些特性用于把复杂的 postgresql.conf文件分解成子文件。在管理多个具有相关但不完全相同配置的服务器时，这些特性特别有用。 除了单个参数设置，postgresql.conf文件可以包含包括指令，它指定要读入和处理的另一个文件，就好像该文件被插入到配置文件的这个点。这个特性允许一个配置文件被划分成物理上独立的部分。包括指令看起来像： include 'filename' 如果文件名不是一个绝对路径，它将作为包含引用配置文件的目录的相对位置。包括可以被嵌套。 也有一个includeifexists指令，它的作用和include指令一样，不过当被引用的文件不存在或者无法被读取时其行为不同。一个通常的include将认为这是一个错误情况， 而includeifexists仅仅记录一个消息并且继续处理引用配置文件。 postgresql.conf文件也可以包含includedir指令，它指定要被包含的配置文件的一整个目录。它的用法类似： includedir 'directory' 非绝对目录名被当做包含引用配置文件的目录的相对路径。在该指定目录中，只有以后缀名.conf结尾的非目录文件才会被包括。以. 字符开头的文件名也会被忽略，因为在某些平台上它们是隐藏文件。一个包括目录中的多个文件被以文件名顺序处理（根据 C 区域规则排序，即数字在字母之前并且大写字母在小写字母之前）。 包括文件或目录可以被用来在逻辑上分隔数据库配置的各个部分，而不是用一个很大的postgresql.conf文件。考虑一个有两台数据库服务器的公司，每一个都有不同的内存量。很可能配置的元素都会被共享，例如用于日志的参数。但是两者关于内存的参数将会不同。并且还可能会有服务器相关的自定义。一种管理这类情况的方法是将你的站点的自定义配置修改分成三个文件。你可以把下面的内容加入到你的postgresql.conf文件末尾来包括它们： include 'shared.conf' include 'memory.conf' include 'server.conf' 所有的系统将会有相同的shared.conf。每个有特定内存量的服务器可以共享相同的memory.conf。你可能对所有 8GB 内存的服务器有一个，而对那些 16GB 内存的服务器有另一个。并且最后server.conf可以装有真正服务器相关的配置信息。 另一中可能性是创建一个配置文件目录并把这个信息放到其中的文件里。例如，一个conf.d目录可以在postgresql.conf的末尾被引用： includedir 'conf.d' 然后你可以这样命名conf.d目录中的文件： 00shared.conf 01memory.conf 02server.conf 这种命名习惯建立了这些文件将被载入的清晰顺序。这是很重要的，因为在服务器读取配置文件时，对于一个特定的参数只有最后碰到的一个设置才会被使用。在这个例子中，conf.d/02server.conf设置的东西将会覆盖在 conf.d/01memory.conf中相同参数的值。 你还可以使用这种配置目录方法，在命名文件时更有描述性： 00shared.conf 01memory8GB.conf 02serverfoo.conf 这种形式的安排为每个配置文件变体给定了一个唯一的名称。当多个服务器把它们的配置全部存储在一个位置（例如在一个版本控制仓库中）时，这可以帮助消除歧义（在版本控制下存储数据库配置文件是另一个值得考虑的好方法）。 TeleDB通常将配置文件拆分为 postgresql.conf和postgresql.conf.user文件，postgresql.conf文件中配置通用的，实例初始化运行必要的参数；postgresql.conf.user中配置由实例初始化化时模版提供的通用配置参数，postgresql.conf.user文件中参数设置优先级更高，当两个配置文件中有相同参数设置时，postgresql.conf中的设置将被postgresql.conf.user覆盖；在控制台页面修改的参数，将记录在postgresql.conf.user中。 不建议使用ALTER SYSTEM来修改参数，该方式修改的参数值会被记录在postgresql.auto.conf中，该配置文件参数加载优先级高于postgresql.conf.user和postgresql.conf，将覆盖这两个配置文件中的参数，会导致通过控制台页面修改参数无法生效的问题。

在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，限制不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Admin：弹性伸缩服务的管理者权限，包含弹性伸缩所有控制权限（不含订单类权限）。 Viewer:弹性伸缩服务的观察者权限，包含弹性伸缩服务的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

本文介绍了如何使用统一身份认证(Identity and Access Management,简称IAM)服务对访问云硬盘资源进行精细的权限管理。 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“步骤二：创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。云硬盘EVS相关的系统策略包含如下： Evs Admin：云硬盘服务的管理者权限，包含云硬盘所有控制权限（不含订单类权限）； Evs Viewer：云硬盘服务的观察者权限，包含云硬盘的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“步骤二：创建自定义策略”。

VPC终端节点产品广泛应用于多种云上跨VPC的内网服务连接场景,本文带您更快了解VPC终端节点经典应用场景。 VPC终端节点能够在同一地域中建立便捷、安全、私密的连接通道，将VPC内的云资源与终端节点服务（包括用户的私有服务和云服务）相连接，主要应用于以下场景： 跨VPC连接 在同一地域中，由于VPC之间的逻辑隔离，不同VPC内的云资源默认不能直接通信。通过在不同VPC之间建立终端节点到终端节点服务的连接通道，可以实现跨VPC的资源通信。 服务提供方可以在其服务所在的VPC中配置终端节点服务，并共享后端资源。服务使用方可以通过配置VPC终端节点连接到终端节点服务，从而实现访问该服务。 高效可靠 VPC终端节点提供高性能的连接通道，每个网关节点都能支持百万级会话。这使得跨VPC的资源通信速度快、延迟低，保证了数据传输的高效性。 简便快捷 建立跨VPC的终端节点连接简便易操作，用户无需做服务公网开放或配置复杂的路由打通私有网络，资源可秒级创建，变更也可快速生效，提供了更加灵活、安全的组网方式。 高速上云 本地数据中心可以通过VPN或者云专线连接到VPC，并利用建立的终端节点通过内网访问终端节点服务（用户私有服务、云服务）。 安全稳定 通过建立终端节点，本地数据中心可直连终端节点服务，消除了数据传输过程中的潜在安全风险，同时提供更快的数据传输速度和更低的延迟，确保数据的安全性和稳定传输。 节约成本 数据传输通过内网进行，本地数据中心访问云上资源时不占用用户的公网资源，从而降低了使用成本，可以节省大量公网带宽费用。

内网DNS支持更改主机DNS的操作,本文为您介绍如何更改主机DNS并使内网DNS配置生效。 为实现内网域名在 VPC 上的正常解析，用户需要将云主机内的 DNS 改成内网 DNS 服务地址。 查看内网DNS地址 1. 在内网 DNS 的列表中，可以看到如下红框内的提示。 2. 点击“查看列表”，可以看到内网DNS地址。 修改Linux云主机内DNS地址 1. 登录Linux弹性云主机。 2. 执行以下命令，打开resolv.conf文件。 vi /etc/resolv.conf 3. 按“i”键进入编辑模式。 4. 将“nameserver”修改为当前云主机所在VPC的内网DNS IP地址，按“ESC”后输入“：wq”保存配置。 修改Windows云主机内DNS地址 以Windows server 2016操作系统为例，以用户名Administrator，登录Windows弹性云主机。 1. 在任务栏的右下角，右击网络连接的图标，单击“打开网络和共享中心”。 2. 在左侧导航栏，单击“更改适配器设置”。 3. 双击“本地连接”。 4. 单击左下角的“属性”。 5. 选择“Internet 协议版本（TCP/IP）”，并单击“属性”。 6. 选择“使用下面的DNS服务器地址”，并根据界面提示填写当前云主机所在VPC的内网DNS IP地址。

限制项 具体要求 说明 加速域名 中国内地： 1. 已在天翼云进行实名认证。 2. 域名已完成ICP备案且备案信息准确有效。 3. 域名接入时需要经过内容审核。 全球加速（不含中国内地）： 1. 已在天翼云进行实名认证。 2. 域名接入时需要经过内容审核。 全球加速： 1. 已在天翼云进行实名认证。 2. 域名已完成ICP备案且备案信息准确有效。 3. 域名接入时需要经过内容审核。 1. 全球加速（不含中国内地）：包括中国香港、中国澳门、中国台湾、其他国家及地区。 2. 加速范围为：中国内地、全球加速的域名必须已完成ICP备案且备案信息准确有效才能使用边缘接入服务。 加速节点IP限制 边缘接入服务提供的加速节点IP为共享IP，即同一个加速节点的IP将被您的域名和其他客户的域名共同使用，不同客户的域名通过不同的请求端口区分。 例如：访问IP1:8081是客户A的加速业务，访问IP1:8082可能是客户B的加速业务。 域名接入端口限制 不能加速的端口： 1. TCP端口：2123、135、137139、445、593、1068、1433、1434、1521、3306、3332、3389、4000、4444、5554、6379、6669、9000、9996、65528。 2. UDP端口：135139、445、1434、4000、4444、17185。 不能加速的端口为平台内部占用端口，无法对外提供服务。 无域名接入端口限制 不能加速的端口： 1. TCP端口：2123、80、135、137139、443、445、593、1068、1433、1434、1521、3306、3332、3389、4000、4444、5554、6379、6669、9000、9996、65528。 2. UDP端口：135139、445、1434、4000、4444、17185。 80、443、8080、8443端口必须使用域名接入方式接入，其他不能加速的端口为平台内部占用端口，无法对外提供服务。 DDoS防护 边缘接入服务中的DDoS防护支持TCP、UDP、ICMP网络协议防护和SSL攻击防护，如SYN Flood、ACK Flood、空连接、SSL攻击等；但不提供CC防护等其他应用层防护能力。

此小节介绍云堡垒机等保最佳实践。 为助力企业通过等保合规测评，本文为您介绍云堡垒机各项功能与等保相关条款的对应关系，以便您有针对性地提供佐证材料。 等保三级相关条款 该最佳实践将主要聚焦于满足以下等保条例的考察内容： 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 应对登录的用户分配账户和权限。 应重命名或删除默认账户，修改默认账户的默认口令。 应及时删除或停用多余的、过期的账户，避免共享账户的存在。 应授予管理用户所需的最小权限，实现管理用户的权限分离。 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

本节介绍 Web应用防火墙（独享版） CC攻击防护规则类问题。 如何配置CC防护规则？ 当业务接口被HTTP Flood攻击时，可以通过Web应用防火墙Console界面设置CC防护规则，从而缓解业务压力。用户可根据业务类型，配置CC防护规则，可配置以下内容： 每个Web访问者在规定时间内允许访问的次数。 根据IP、Cookie或者Referer字段区分Web访问者。 当访问超过限制时，对其访问进行阻断或者发送验证码验证。 具体的配置规则请参见配置CC攻击防护规则章节。 在什么情况下使用Cookie区分用户？ 在配置CC防护规则时，当IP无法精确区分用户，例如多个用户共享一个出口IP时，用户可以使用Cookie区分用户。 用户使用Cookie区分用户时，如果Cookie中带有用户相关的“session”等“key”值，直接设置该“key”值作为区分用户的依据。 CC规则里“限速频率”和“放行频率”的区别？ “限速频率”是单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，WAF将根据配置的CC攻击防护规则“防护动作”来处理。例如，“限速频率”设置为“10次/60秒”，“防护动作”设置为“阻断”，则表示60秒只能有10次访问请求，一旦在60秒内访问请求超过10次，WAF就直接阻断该Web访问者访问目标URL。 配置CC防护规则时，如果选择了“高级”工作模式，且“防护动作”配置为“动态阻断”，则除了需要配置“限速频率”外，还需要配置“放行频率”。 如果在一个限速周期内，访问的请求频率超过“限速频率”触发了拦截，那么，在下一个限速周期内，拦截阈值将动态调整为“放行频率”。且“放行频率”为0时，表示上个周期发生拦截后，下一个周期所有满足规则条件的请求都会被拦截。 区别： “放行频率”和“限速频率”的限速周期一致。 “放行频率”小于等于“限速频率”，且“放行频率”可为0。

安装插件 新UI支持使用独享型负载均衡实例。 步骤 1 登录CCE控制台。 步骤 2 在左侧选择“插件市场”，找到“nginxingress”插件，单击“安装”。 步骤 3 填写配置参数。 选择集群 ：选择要安装的集群 规格配置 ：请根据业务需求选择插件规格，可自定义资源规格部署。 负载均衡器 ：支持对接共享型或独享型负载均衡实例，如果可用实例，请先创建。负载均衡器需要拥有至少两个监听器配额，且端口80 和 443 没有被监听器占用。 nginx配置参数 ：配置nginx.conf文件，将影响管理的全部Ingress，相关参数可通过configmap查找，如果您配置的参数不包含在configmap所列出的选项中将不会生效。 默认404服务 ：默认使用插件自带的404服务。支持自定义404服务，填写“命名空间/服务名称”，如果服务不存在，插件会安装失败。 步骤 4 单击“安装”。 版本记录 CCE插件版本记录 插件版本 支持的集群版本 社区版本（仅1.17及以上版本集群支持） 2.1.1 /v1.(192123)./ 1.2.1 2.1.0 /v1.(192123)./ 1.2.0 2.0.1 /v1.(192123)./ 1.1.1 1.3.2 /v1.(15171921)./ 0.49.3 1.2.6 /v1.(151719)./ 0.46.0 1.2.5 /v1.(151719)./ 0.46.0 1.2.3 /v1.(151719)./ 0.43.0 1.2.2 /v1.(1517)./ 0.43.0

常用实践 说明 本文介绍如何在虚拟私有云中创建终端节点，实现同资源池云主机通过内网访问对象存储。云主机和ZOS天然内网互通，内部访问不会产生公网流量，且时延更低安全性更高。 本文介绍如何保证ZOS中数据的安全性，只允许资源拥有者或者被授权的用户访问。 本文为您提供使用对象存储迁移服务，将第三方云厂商数据迁移至对象存储ZOS的实践。 本文介绍在云监控创建报警规则实时监控ZOS性能状态。 本文帮助您了解ZOS大文件分段上传的最佳实践。 本文主要针对用户需要批量删除一个桶中的对象的场景，介绍几种批量删除的方法。 本文介绍使用VPC终端节点方式接入对象存储的操作方式。

本文为您提供使用对象存储迁移服务,将第三方云厂商数据迁移至对象存储ZOS的最佳实践,请您阅读。 操作场景 对象存储迁移服务（ZOS Migration Service，简称：ZMS）可以将第三方云厂商存储的对象存储数据，通过云端控制台的操作，迁移到天翼云对象存储（ZOS）。本实践以“先进行源端数据评估，再进行数据迁移”为例，为您介绍如何迁移第三方云厂商数据至对象存储ZOS。 注意 若您已经了解待迁移源端数据的情况，无需进行迁移前的评估，您可以直接阅读迁移任务的创建部分，跳过该实践的评估部分内容。 使用须知 对象存储迁移服务（ZMS）入口请参见产品能力地图，服务支持全国不同资源池之间的迁移，迁移目的端支持填入全国各地的ZOS资源池地址。 为完成评估任务和迁移任务，您在使用迁移服务过程中，需要授权天翼云临时收集和使用您的部分个人信息，如用于鉴权的AK/SK/等密钥信息。 迁移过程中会产生公网流出流量费用及对象存储服务请求费用，该费用由源端的存储服务提供商向您收取。 您通过互联网进行数据迁移传输时，应遵从当地适用法律法规的要求，天翼云只为您提供数据迁移服务，并不对您使用本服务的合法合规性负责，不承担传输后的法律风险和后果。

步骤三：专线网关添加VPC 1、登录云专线控制台，在左侧导航栏中，单击【专线网关】。 2、在专线网关页面，选择目标专线网关，在操作列中单击【详情】。 3、在专线网关VPC页签，单击【添加VPC】，配置以下参数信息，然后单击【确定】。 配置 说明 VPC实例类型 选择VPC实例类型。 本文选择同账号。 专属云项目 选择天翼云专属云。 本文选择无。 VPC 选择云专线需要访问的VPC名称。 本文选择已创建的VPC1。 VPC网段（IPv4） 选择VPC的IPv4网段。 本文选择10.10.0.0/16。 IP类型 选择VPC子网的IP类型。 本文选择IPv4。 子网 选择云专线需要访问的VPC子网。 本文选择10.10.0.0/24。 权重 选择专线网关到VPC侧路由的权重。 本文选择100。 步骤四：配置本地IDC侧路由和测试连通性 1、配置本地IDC路由 以下示例仅供参考，具体配置请咨询设备厂商。 plaintext 配置去往天翼云侧的路由 ip route 10.10.0.0 255.255.255.0 10.250.0.1 ip route 10.10.0.0 255.255.255.0 10.250.0.5 2、配置本地IDC健康检查 建议通过双向转发检测协议（BFD，Bidirectional Forwarding Detection）实现本地与专线网关间的路由状态监控，相关设备的具体配置参数需联系设备厂商咨询。 3、完成上述步骤后，打开本地IDC侧的终端命令行窗口。 4、执行ping命令，测试路由连通性并查看两条物理专线是否负载分担流量。

负载方式&健康检查配置 说明 负载方式 从下拉列表框选择负载方式 轮询算法：请求以轮询的方式依次分发给各后端主机，加权轮询对权重高的主机会获得更多的轮询次数； 最小连接算法：动态调度算法，通过主机当前活跃的连接数来评估主机的负载情况，负载均衡将请求分发给活跃连接数最小的后端主机。加权最小连接数会结合权重分配后端主机； 源算法：基于源IP地址的一致性哈希，相同的源地址会调度到相同的后端主机。 会话保持 选择是否开启会话保持。开启会话保持后，负载均衡监听器会把来自同一客户端的访问请求分发到同一台后端主机上。 会话保持方式 TCP协议的会话保持方式为SOURCEIP方式。即来自同一IP地址的访问请求转发到同一台后端主机上。 会话保持时间 设置会话保持的时间，取值范围为1 86400，缺省1000s 健康检查 开启健康检查，负载均衡对后端主机的服务状态进行探测。负载均衡将不会分发流量给服务异常的主机。 健康检查类型 TCP，TCP协议监听器只可选TCP。 间隔时间 健康检查的检查间隔，缺省5s 超时时间 健康检查超时时间，缺省2s 最大重试次数 健康检查的重试次数，缺省2，连续检查失败达到重试次数，则判断健康检查失败。

本章节介绍云主机DNS篡改故障演练。 背景介绍 DNS 篡改是一种常见的攻击手段或配置错误，它会导致域名被错误地解析到非预期的IP地址，从而引发流量劫持、服务中断或数据泄露等风险。本演练通过模拟 DNS 篡改场景，帮助您检验系统的安全防护机制、验证监控告警的有效性，并评估业务在域名解析被劫持时的表现。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的域名。 映射IP：将目标域名解析到该IP地址。

本章节主要介绍准备工作 为集群开通Istio之前，您需要完成如下的准备工作。 创建虚拟私有云 虚拟私有云（Virtual Private Cloud，简称VPC）提供一个隔离的、用户自主配置和管理的虚拟网络环境，可以提升资源的安全性，简化用户的网络部署。 步骤 1 登录虚拟私有云VPC控制台。 步骤 2 单击右上角“创建虚拟私有云”。 步骤 3 根据界面提示完成参数填写，单击“立即创建”。 创建密钥对 新建一个密钥对，用于远程登录节点时的身份认证。 步骤 1 登录弹性云主机ECS控制台。 步骤 2 选择左侧导航中的“密钥对”，单击右上角“创建密钥对”。 步骤 3 输入密钥对名称后，单击“确定”。 步骤 4 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 为保证安全，私钥只能下载一次，请妥善保管，否则将无法登录节点。 创建负载均衡 弹性负载均衡将作为服务网格对外访问入口，被服务网格管理的应用流量，均从此实例进入并分发到后端服务。 步骤 1 登录弹性负载均衡ELB控制台。 步骤 2 单击右上角的“创建弹性负载均衡”。 步骤 3 所属VPC、子网请选择创建虚拟私有云中创建的虚拟私有云和子网，其他参数根据界面提示填写，单击“立即创建”。

本文为您介绍如何将Ingress服务暴露到公网。 背景信息 Ingress基于 Nginx 服务器实现了负载均衡、SSL 终止和路由功能。如果您的服务是通过Ingress进行访问的，并且需要通过公网访问，Ingress作为集群流量接入层，可为集群Ingress服务配置天翼云ELB。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 确保已经开通天翼云ELB服务，并且已创建一个外网可用的ELB（在ELB控制台创建）。 操作步骤 1. 登录容器服务控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏选择“网络” 下的“服务”，命名空间选择“kubesystem”，点击”创建服务“按钮，对以下信息进行配置： 1. 填写service相关信息，其中负载均衡一栏，选择公网访问，从列表中选择一个要绑定的ELB（如果列表为空，请确认您是否有可用的ELB，没有的话，请先到ELB控制台创建）。 2. 在端口映射一栏，填写好容器端口和要映射的服务端口（该端口也是负载均衡的监听端口）。 3. 在工作负载绑定一栏，类型选择Deployment，名称选择nginxingresscontrollernginxingresscontroller，然后点击提交。 3. 待ELB绑定后，即可通过服务列表中“集群外访问”中的外网地址访问服务了。

配置项 描述 容器名称 填写容器的名称 更新策略 支持IfNotPresent、Always、Never 镜像及镜像版本 支持在容器镜像服务或开源镜像中选择镜像以及镜像版本 CPU/内存配额限制 Limit用于设置容器使用资源的最大上限，避免异常情况下节点资源消耗过多 初始化容器 初始化容器用于业务容器启动前安装特定工具或脚本 启动命令（选填） ● 运行命令：对应镜像的ENTRYPOINT命令，将会覆盖镜像的ENTRYPOINT命令；每个输入框仅输入一个命令或参数启动执行 ● 运行参数：对应镜像的CMD命令，将会覆盖镜像的CMD命令；每个输入框仅输入一个命令或参数 启动后处理（选填） ● 命令行脚本：容器启动后执行，注意由于是异步执行，无法保证一定在ENTRYPOINT之后运行；每个输入框仅输入一个命令或参数 ● HTTP请求：输入路径、端口、主机地址 停止前处理（选填） ● 命令行脚本：容器停止前执行，常用于资源清理。每个输入框仅输入一个命令或参数 ● HTTP请求：输入路径、端口、主机地址 容器健康检查（选填） ● 存活检查：检查容器是否正常，不正常则重启实例 ● 就绪检查：检查容器是否就绪，不就绪则停止转发流量到当前实例 ● 启动探针：检查容器内应用是否已经启动 环境变量（选填） 支持配置容器的环境变量 数据存储（选填） 支持挂载数据卷到容器内的指定路径，支持EmptyDir、Config Map、Secret

本节介绍了如何变更云数据库TaurusDB实例的CPU和内存规格。 操作场景 可以根据业务需要对包年/包月和按需实例的规格进行变更，规格指实例的CPU/内存。当实例的状态由“规格变更中”变为“正常”，则说明变更成功。 约束限制 当实例进行CPU/内存规格变更时，该实例不可被删除。 您只能对整个实例进行规格变更，无法对实例中的单个节点进行操作。 仅按需实例支持选择可维护时间段进行规格变更，且该任务不可被取消。 注意 变更规格后会主备倒换，请选择业务低峰期，避免业务异常中断。 变更规格后主节点与只读节点的读内网地址会发生变化，请及时在应用程序中修改您的连接地址以免影响业务。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 您可以通过两种途径进行规格变更。 在“实例管理”页面，选择目标实例，单击“操作”列的“更多 > 规格变更”，进入“规格变更”页面。 单击目标实例名称，进入“基本信息”页面，在“实例信息”模块的“性能规格”处，单击“规格变更”，进入“规格变更”页面。 步骤 5 在“规格变更”页面，选择所需修改到的性能规格，您可以根据自己的需求缩小或扩大规格，并设置“切换时间”，单击“下一步”。 切换时间支持如下两种方式： 立即变更：系统会立即进行规格变更。 可维护时间段：在当前可维护时间段实现数据库资源变更，预约变更时间。 步骤 6 在规格确认页面，确认性能规格。 如需重新选择，单击“上一步”，修改性能规格。 按需计费模式的实例，单击“提交”，提交变更。 由规格变更产生的费用，您可在“费用中心 > 费用账单”中查看费用详情。 包年/包月模式的实例 缩小规格：单击“提交订单”，提交变更。由缩小规格产生的退款，系统会自动退还至客户帐户，您可通过单击“费用中心”进入“费用中心”页面，在左侧导航栏“订单管理”下的“我的订单”查看费用详情。 扩大规格：单击“提交订单”，跳转至支付页面，支付成功后，才可进行规格变更。 步骤 7 查看变更结果。 在实例管理页面，可以看到实例状态为“规格变更中”。稍后在对应的“基本信息”页面，查看实例规格，检查修改是否成功。此过程需要5～15分钟。 注意 TaurusDB实例规格变更成功后，系统将根据新内存大小，调整如下参数的值：“innodbbufferpoolsize”、“innodblogbuffersize”、“maxconnections”、“innodbbufferpoolinstances” “innodbpagecleaners”、“innodbparallelreadthreads”、“innodbreadiothreads”、“innodbwriteiothreads”、“threadpoolsize”。

%^+:,.?/{[]}的组合，区分大小写。 注意 请您输入高强度密码并定期修改，以提高安全性，防止出现密码被暴力破解等安全风险。 请妥善保管您的密码，因为系统将无法获取您的密码信息。 集群配置 确认密码 必须和管理员密码相同。 集群配置 参数模板 选择合适的参数模板，该参数模板中的参数设置将应用到实例上，您需要注意： 参数模板对不同的数据库版本有所区分，请合理选择。 集群配置 表名大小写 设置针对库表名称是否区分大小写。 目标实例与原实例表名大小写设置不一致，可能会导致恢复失败，如涉及到迁移实例，需保证开通的实例与源实例是否区分大小写保持一致。 8.0版本实例在开通后，无法通过参数修改表名大小写，请谨慎设置。 5.7版本实例在开通后，可以通过参数修改表名大小写，对应参数设置中的lowercasetablenames参数。 注意 该功能仅II类型资源池中的部分资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 集群配置 时区 您可以选择相应的时区，对应参数设置中的defaulttimezone参数。 集群配置 加入白名单 您可以选择是否将VPC网段加入到实例白名单中，使同一VPC内的云主机可访问该实例。 注意 该功能仅II类型资源池中的部分资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 集群配置 标签 您可以为该实例添加特定标签，以示区分或分类管理实例。 注意 您最多可以添加10个标签。 购买量 购买时长（包年/包月） 选择所需的时长，系统会自动计算对应的配置费用，时间越长，折扣越大。 购买量 自动续订 如果担心忘记续订已到期实例，您可以默认勾选自动续订。 按月购买：自动续订周期为1个月。 按年购买：自动续订周期为1年。 购买量 购买数量 关系数据库MySQL版服务支持批量创建实例，如果您选择创建主备实例，数量选择为1，则会同步创建一个主实例和一个备实例。 3. 在页面右下角阅读并勾选协议，然后单击确认订单。 4. 在订单支付详情页，确认所选配置，完成支付。 说明 如果选择包周期模式，则需要在支付页面进行支付。 5. 支付完成后，单击控制台，回到控制台的MySQL > 实例管理页面，查看和管理该实例。 您可以看到实例状态为创建中 ，当实例创建成功后，实例状态显示为运行中。 说明 您也可以在MySQL > 任务列表中，查看实例创建结果。

帮助用户完成云硬盘备份存储库的创建，快速创建磁盘备份容器。 操作步骤 1. 登录云服务备份管理控制台。 a. 登录管理控制台。 b. 单击管理控制台左上角的，选择区域。 c. 单击“”，选择“存储 > 云服务备份”。选择对应的备份目录。 2. 在界面右上角单击“购买云硬盘备份存储库”。 3. 选择计费模式。 包年包月是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。 按需计费是后付费模式，根据实际使用量进行计费，可以随时购买或删除存储库。费用直接从账户余额中扣除。 4. （可选）在磁盘列表中勾选需要备份的磁盘，勾选后将在已选磁盘列表区域展示，如下图所示。 图 选择磁盘 说明 所选磁盘未绑定存储库且状态必须为“可用”或“正在使用”。 若不勾选磁盘，如需备份可在创建存储库后绑定磁盘即可。 5. 输入存储库容量。此容量为绑定磁盘所需的总容量。您需要提前规划存储库容量，存储库的空间不能小于备份磁盘的空间。取值范围为[10，10485760]GB。在使用过程中对磁盘进行扩容，未开启自动扩容的情况下存储库不会进行自动扩容。 6. 选择是否配置自动备份。 立即配置：配置后会将存储库绑定到备份策略中，整个存储库绑定的磁盘都将按照备份策略进行自动备份。可以选择已存在的备份策略，也可以创建新的备份策略。 暂不配置：存储库将不会进行自动备份。 7. 如开通了企业项目，需要为存储库添加已有的企业项目。 企业项目是一种云资源管理方式，企业项目管理提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 8. （可选）为存储库添加标签。 标签以键值对的形式表示，用于标识存储库，便于对存储库进行分类和搜索。此处的标签仅用于存储库的过滤和管理。一个存储库最多添加10个标签。 9. 输入待创建的存储库的名称。 只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于64个字符。例如：vault612c。也可以采用默认的名称，默认的命名规则为“vaultxxxx”。 10. 当计费模式为“包年/包月”时，需要选择购买时长。可选取的时间范围为1个月~5年。 可以选择是否自动续费，勾选自动续费时： 按月购买：自动续费周期为1个月。 按年购买：自动续费周期为1年。 11. 根据页面提示，完成支付。 12. 返回云硬盘备份页面。可以在存储库列表看到成功创建的存储库。

本节介绍了切换操作系统的操作场景、约束与限制、切换须知、不同操作系统切换须知、前提条件、操作步骤、后续处理。 操作场景 切换操作系统是为您的弹性云主机重新切换一个系统盘。切换完成后弹性云主机的系统盘ID会发生改变，并删除原有系统盘。 如果弹性云主机当前使用的操作系统不能满足业务需求（如软件要求的操作系统版本较高），您可以选择切换弹性云主机的操作系统。 公有云平台支持不同镜像类型（包括公共镜像、私有镜像、共享镜像）与不同操作系统之间的互相切换。您可以将现有的操作系统切换为不同镜像类型的操作系统。 约束与限制 云硬盘的配额需大于0。 切换须知 切换操作系统后，弹性云主机将不再保留原操作系统，并删除原有系统盘。 切换操作系统会清除系统盘数据，包括系统盘上的系统分区和所有其它分区，请做好数据备份。 切换操作系统不影响数据盘数据。 切换操作系统后，您的业务运行环境需要在新的系统中重新部署。 切换操作系统成功后弹性云主机会自动开机。 切换操作系统后不支持更换系统盘的云硬盘类型。 切换操作系统后弹性云主机IP地址和MAC地址不发生改变。 切换操作系统后，当前操作系统内的个性化设置（如DNS、主机名等）将被重置，需重新配置。 切换操作系统时，对于安装了密码注入插件的镜像，切换操作系统耗时大约为1～2min。对于未安装密码注入插件的镜像，需要创建临时虚拟机，耗时大约为10～20min。切换操作系统过程中，弹性云主机会显示任务状态为“切换操作系统中”。 切换操作系统后的几分钟，系统正在注入密码或密钥信息，再此期间请勿对云主机执行其他操作，避免密码或密钥信息注入失败导致云主机无法登录。 切换弹性云主机的操作系统后，由于所选镜像不同，系统盘的容量可能会增大 切换操作系统时支持设置系统盘加密。

本文介绍如何绑定安全组。 功能说明 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当ECI实例绑定安全组后，即受到这些访问规则的保护。 云容器引擎集群通过对接VNode来使用ECI时，ECI Pod默认采用所属VNode配置的安全组。如果有特殊需求，可以为某些ECI Pod指定其他安全组。 配置示例 可以通过设置 k8s.ctyun.cn/ecisecuritygroup 的Annotation来为ECI Pod指定安全组，配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/ecisecuritygroup: sgshuhgxxx 指定安全组 labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud

本指南详细介绍了基于物理机Galaxy镜像在NVIDIAGPU的单机部署流程，区别于传统DeepSeek部署方式依赖于手动编写配置脚本并拉起服务，本指南方案优化了部署架构，取消模型软链接设计，并采用Apptainer Instance代替tmux实现更稳健的进程管理。 一、环境准备 1.1 镜像要求 选择以下两种基础镜像之一进行部署： ①GalaxyMaster 镜像（管理节点专用）：CentOS7.9@GalaxyMasterGPU。 ②GalaxyCompute 镜像（计算节点专用）：CentOS7.9@GalaxyComputeGPU。 1.2 存储配置 1.2.1 磁盘挂载 执行以下操作完成NVMe磁盘挂载： plaintext 查看磁盘分区状态 lsblk 典型输出示例 NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT nvme0n1 259:1 0 2.9T 0 disk nvme1n1 259:0 0 2.9T 0 disk 实施挂载操作（需配置/etc/fstab实现持久化） mkdir p /work /data mount /dev/nvme0n1 /work mount /dev/nvme1n1 /data 存储规划： plaintext 挂载点 用途说明 容量规格 /work 应用软件及脚本存储 2.9TB /data 模型文件存储 2.9TB 1.3 软件部署 1.3.1 获取部署包 plaintext cd /work wget tar xvf deepseeknv1nodev20250323.tar

UDAL DDL SHOW [jobid[,jobid...]] [LIMIT {[offset,] rowcount rowcount OFFSET offset}] 注意 仅V5.1.9.6020.2531及以后版本的实例，支持执行该命令。 语法说明 查看当前正在运行的DDL任务状态，命令参数说明如下： 参数 描述 jobid DDL任务的唯一标识符 LIMIT {[offset,] rowcount rowcount OFFSET offset} 可选，限制返回的记录数量，支持分页。 回显参数说明如下： 参数 描述 Jobid DDL任务的唯一标识符 Zkeventpath ZK DDL任务路径 Traceid 链路追踪ID Asynctaskid 异步DDL模式的任务ID Operddljobid 旧的operddljob表的Job ID Ddltype DDL类型 Schemaname 数据库模式名 Objectname 对象名称 Originsql 原始SQL语句 Excluderesources 依赖的互斥锁资源列表，多个用逗号分隔 Sharedresources 依赖的共享锁资源列表，多个用逗号分隔 State 作业状态，可能值： QUEUED：队列中 RUNNING：运行中 PAUSED：已暂停 COMPLETED：已完成 ROLLBACKRUNNING：回滚中 ROLLBACKPAUSED：回滚暂停 ROLLBACKCOMPLETED：回滚完成 Result DDL任务执行结果，可能值： 0：初始化 1：成功 2：执行中 3：停止 4：失败 5：取消 6：警告 Remark 备注信息 Createtime 创建时间 Updatetime 更新时间 示例 plaintext mysql> udal ddl show limit 2,1G 1. row Jobid: 33 Zkeventpath: /events/event0000178351 Traceid: c206091d30e44d9aa407eef304666ea7 Asynctaskid: Operddljobid: 1 Ddltype: Database Schemaname: testdb Objectname: NULL Originsql: drop database testdb Excluderesources: [testdb] Sharedresources: [] State: COMPLETED Result: 1 Remark: Createtime: 20251015 12:58:06 Updatetime: 20251015 12:58:07 1 row in set (0.01 sec)

本文为您介绍对等连接产品的定义及其创建流程。 对等连接（VPC Peering Connection）是指两个同一资源池内的VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行内网通信，就像两个VPC在同一个网络中一样。用户可以在自己帐号的VPC之间创建对等连接，也可以在自己账号的VPC与同一资源池内其他帐号的VPC之间创建对等连接。 对等连接创建流程 无论是在同一帐户下还是不同帐户下，只要VPC位于同一个资源池，对等连接就能够为VPC之间的通信提供一种私有、安全且高效的解决方案，来实现资源的共享和数据的流动，满足了不同场景下的通信需求。 同一账户下VPC对等连接的创建流程： 1. 创建对等连接：选择本端VPC和对端VPC。 2. 添加对等连接路由：在本端VPC的路由表中添加指向对端VPC的路由规则，同时在对端VPC的路由表中添加指向本端VPC的路由规则。 3. 验证网络互通情况：确认对等连接已生效后，验证网络互通性。 不同帐户下VPC对等连接的创建流程: 1. 创建对等连接：选择本端VPC和对端VPC。 2. 判断是否接受连接：选择“否”则创建对等连接失败；选择“是”则进入下一步。 3. 添加对等连接路由：在本端VPC的路由表中添加指向对端VPC的路由规则，同时在对端VPC的路由表中添加指向本端VPC的路由规则。 4. 验证网络互通情况：确认对等连接已生效后，验证网络互通性。

本节介绍了负载调度策略概述。 在Kubernetes体系内，Pod构成了工作负载调度的核心单元。当创建工作负载时，调度系统会自动为Pod分配合理的位置，例如将它们分散到资源充裕的节点上。尽管调度器的默认设置足以应对许多基础需求，但在特定场景下，用户可能希望对Pod的部署位置进行更为精细的控制。为此，Kubernetes提供了在工作负载定义中自定义调度策略的功能。具体示例如下： 将前端与后端应用部署在同一位置，有助于缩减延迟，因为它们可以共享物理资源。 某些应用需部署在特定节点上，以确保关键应用始终运行在最优硬件或配置上。 不同应用部署在不同节点上，有助于实现应用隔离，防止问题扩散。 Kubernetes中Pod调度策略 节点选择（nodeSelector）：这是最简单的调度方式，通过节点标签选择目标节点，仅将Pod调度到拥有特定标签的节点。参考指引：设置负载的节点选择器（nodeSelector） 节点亲和性（nodeAffinity）：节点亲和性不仅具备nodeSelector的功能，而且更为强大。它允许您根据节点标签使用标签选择器筛选亲和节点，支持必须满足和尽量满足的规则。参考指引：设置节点亲和调度（nodeAffinity） 工作负载亲和性/反亲和性（podAffinity/podAntiAffinity）：根据工作负载标签，使用标签选择器筛选亲和/反亲和的Pod，并将新工作负载调度/不调度至目标Pod所在节点（或节点组），同样支持必须满足和尽量满足的规则。参考指引：设置工作负载亲和/反亲和调度（podAffinity/podAntiAffinity） 注意 1. 若同时指定nodeSelector和nodeAffinity，则两者条件均需满足，Pod才能被调度到候选节点。 2. 在大规模集群中，由于工作负载亲和性和反亲和性需要额外计算时间，可能会显著降低调度速度，因此不建议在包含数百个节点的集群中使用节点亲和性调度策略。

如何通过仪表盘发现问题 以下指标是最基础也是最重要的指标，用于快速判断RabbitMQ实例健康状况。 指标1：可消费消息数 （Ready Messages） 正常情况：这个数值应该保持在一个相对稳定的水平，或者有轻微波动。 异常情况 ：如果这个数值持续快速增长 ，通常意味着生产速度远大于消费速度 ，消费者处理能力不足、数量不够，或者出现了故障。这是消息堆积的直接体现。 指标2：连接数 （Connections） 正常情况：连接数应与系统设计的客户端数量匹配。 异常情况1 ：连接数过多 ：可能导致服务器资源（内存、文件描述符）耗尽，影响性能甚至崩溃。这通常是由于客户端没有正确关闭连接（连接泄漏）。 异常情况2：连接数骤降：可能表示大量客户端离线或网络中断。 指标3：信道数 （Channels） 正常情况：信道数通常远大于连接数。 异常情况1 ：信道数过多：即使连接数不多，过多的信道也会增加服务器的内存消耗和管理负担。 异常情况2：信道数与连接数比例异常：如果每个连接只使用一个信道，可能没有充分利用 TCP 连接的多路复用优势。 指标4：消费者数（Consumers） 正常情况：消费者数量应足以处理预期的消息流量。 异常情况1 ：消费者数为零：对于需要即时处理的队列来说是严重问题，会导致消息堆积。 异常情况2：消费者数不足：会导致消息处理缓慢，Ready 消息数增长。 异常情况3：消费者数过多：可能导致资源竞争，反而降低整体效率，需要根据实际情况进行压测和调优。