本节将介绍如何通过控制中心操作界面的远程登录功能（VNC方式）登录到GPU云主机。使用VNC方式进行远程登录可以方便地访问云主机的图形界面。 约束与限制 远程登录功能使用系统配置的自定义端口进行访问。确保所需使用的端口未被防火墙屏蔽。例如，如果远程登录的链接是“xxx:8002”，请确保端口8002没有被防火墙屏蔽。 如果客户端操作系统使用了本地代理，且用户无法配置代理的防火墙端口，请在使用远程登录功能之前关闭代理模式。 对于采用了"密钥对"方式创建的Linux操作系统的GPU云主机，在使用控制中心操作界面的"远程登录"功能（VNC方式）之前，您需要先通过"SSH密钥方式"进行登录，并设置登录密码。只有完成了这一步骤，才能顺利使用VNC方式进行登录。 操作步骤 1. 登录控制中心。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表中，右上角的搜索框中输入GPU云主机的名称、ID或IP地址进行搜索。 4. 在搜索结果中找到目标GPU云主机，在其对应的“操作”列下，点击“远程登录”。 5. （可选）如果登录界面提示“按 Ctrl+Alt+DEL解锁”，请点击远程登录操作面板右上方的“Send CtrlAltDel”按钮进行登录。 6. （可选）如果登录时发现远程登录界面上鼠标无法显示，请点击远程登录操作面板上方的“本地鼠标”按钮，恢复鼠标的正常显示。 7. 根据界面提示，输入GPU云主机的密码。

参数 参数类型 说明 示例 下级对象 firewallEdtion String 防火墙版本Advanced 高级版 protectionIpNum Integer 防护公网ip配额 flowProcessingCapacity Integer 互联网边界带宽规格 vpcQuota Integer 配额数量 vpcFlowProcessingCapacity Integer VPC边界带宽规格 expireTime Long 到期时间

参数 是否必填 参数类型 说明 示例 下级对象 firewallId 是 String 防火墙ID a6449feab4db11e9a6b40242ac110007 regionId 是 String 资源池ID ruleId 是 Long 规则ID 321 status 是 String 规则开关；disable；enable； disable uid 是 String 租户ID 6ee4c9fa71c3403eab8af44e29c3e4c1

本节主要介绍新建组件 1、登录ServiceStage，选择“应用管理 > 应用列表”。 2、选择上一步创建的应用，在“操作”栏单击“新增组件”。 3、“配置方式”选择“自定义配置”，“选择组件类型”选择“微服务”，单击“下一步”。 4、“选择运行时”选择“Java8”，单击“下一步”。 5、“选择框架/服务网格”选择“Java Chassis”，单击“下一步”。 6、设置组件信息： “组件名称”：输入名称，如“javatest”。 “源码/软件包”选择“源码仓库”。选择“GitHub”。然后选择“授权信息”、“用户名/组织”、“仓库名称（ServiceCombSpringMVC）”及“master分支”。 7、打开“开启构建”开关并设置。 “组织”：选择创建组织时创建的组织名称。 “选择集群”：选择创建环境时选择的CCE集群 8、单击“立即创建”，创建静态组件。

本章介绍如何通过IAM创建用户并授权的方法。 创建用户并授权使用SMS 本章节为您介绍对IAM用户授权的方法。 管理员帐号拥有SMS迁移所需要的所有权限，使用管理员帐号进行迁移时，不需要进行授权。如果您需要对您所拥有的SMS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的天翼云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用SMS。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将SMS委托给更专业、高效的其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 前提条件 给用户组授权之前，请您了解用户组可以添加的SMS权限，并结合实际需求进行选择，SMS支持的系统权限，请参见：SMS系统权限。若您需要对除SMS之外的其它服务授权，IAM支持服务的所有权限请参见权限策略。 示例流程 操作步骤 1. 创建用户组并授权： 1. 系统策略：如果IAM用户需要主机迁移服务(SMS)的所有操作权限，则为IAM用户授予系统策略。在IAM控制台创建用户组，并授予“SMS FullAccess”、"OBS OperateAccess"、“ECS FullAccess”、“VPC FullAccess”。 2. 自定义策略：如果IAM用户只需要拥有主机迁移服务(SMS)的部分操作权限，则使用自定义策略。自定义策略相比于系统策略，粒度更细，更安全。 2. 创建用户并加入用户组，在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 3. 用户登录并验证权限，新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“迁移>主机迁移服务”，进入主机迁移服务界面，在迁移服务器列表页面找到待迁移的服务器，在“目的端”列下单击“设置目的端”，设置目的端服务器。若可以设置目的端服务器，表示授予的权限已生效。 在“服务列表”中选择除主机迁移服务和依赖服务外的任一服务，若提示权限不足，表示授予的权限已生效。

功能名称 功能描述 资产管理 提供对资产运行状态、资产指纹、资产分类情况的查看，同时可按照主机、容器的维度查看或管理目标服务器，实现主机全量资产的统一可视管理。 包含资产概览、资产指纹管理、主机管理、容器管理功能。 漏洞管理 提供检测Linux软件漏洞、Windows系统漏洞和WebCMS漏洞、应用漏洞，帮助用户识别潜在风险。 基线检查 扫描主机系统和关键软件含有风险的配置、弱口令、口令复杂度策略。 支持的检测基线包含云安全实践和等保合规基线，且可自定义选择检测的子基线项。 支持对检测风险的修复和验证。 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助用户得到一个安全的镜像。 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 当前只支持操作系统为Linux的服务器，且仅支持Java应用接入。 网页防篡改 实时发现并拦截篡改指定目录下文件的行为，并快速获取备份的合法文件恢复被篡改的文件，从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。 勒索病毒防护 支持已知勒索病毒检测能力，支持自定义勒索备份恢复策略。 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 主机入侵检测 识别并阻止入侵主机的行为，实时检测主机内部的风险异变，检测并查杀主机中的恶意程序，识别主机中的网站后门等。 容器入侵检测 实时监控容器节点运行状态，发现挖矿、勒索等恶意程序，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸等行为并给出解决方案。 白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 策略管理 提供灵活的策略管理能力，可以根据需要自定义安全检测规则，并可以为不同的主机组或主机/容器应用不同的策略，以满足不同应用场景的主机/容器安全需求。 安全配置 提供配置常用登录地、常用登录IP、SSH登录IP白名单，恶意程序自动隔离查杀功能，满足不同应用场景的主机/容器安全需求。

本章节主要介绍创建用户并授权使用分布式消息服务RabbitMQ。 如果您需要对您所拥有的分布式消息服务RabbitMQ服务进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用分布式消息服务RabbitMQ资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将分布式消息服务RabbitMQ资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用分布式消息服务RabbitMQ服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图1所示。 说明 分布式消息服务RabbitMQ服务的权限与策略基于分布式消息服务DMS，因此在IAM服务中为RabbitMQ分配用户与权限时，请选择并使用“DMS”的权限与策略。 前提条件 给用户组授权之前，请您了解用户组可以添加的分布式消息服务RabbitMQ系统策略，并结合实际需求进行选择，分布式消息服务RabbitMQ支持的系统策略及策略间的对比，请参见：权限管理。 示例流程 图1 给用户授权RabbitMQ权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予RabbitMQ的只读权限“DMS ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择分布式消息服务RabbitMQ，进入RabbitMQ实例主界面，单击右上角“购买RabbitMQ实例”，尝试购买RabbitMQ实例，如果无法购买RabbitMQ实例（假设当前权限仅包含DMS ReadOnlyAccess），表示“DMS ReadOnlyAccess”已生效。 在“服务列表”中选择云硬盘（假设当前策略仅包含DMS ReadOnlyAccess），若提示权限不足，表示“DMS ReadOnlyAccess”已生效。

通过应用详情页面可查看应用的QPS数据、TOP列表等信息。本文介绍应用详情页面的主要功能。 功能入口 1. 完成灰度应用部署后，即可查看应用当前存在的标签。 2. 登录云应用引擎控制台。 3. 在左侧导航栏选择 应用管理 > 应用列表，单击目标应用名称。 4. 应用基础信息页面，选择 微服务治理 > 应用详情

访问控制日志 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航树中，选择“日志审计”。 4.选择“访问控制日志”页签，可查看近一周的访问控制情况。若需要修改指定IP访问控制的响应动作，请参照添加防护规则或添加黑/白名单。 “访问控制日志”的参数说明： 参数 说明 命中时间 访问发生的时间。 源IP 访问的源IP地址。 源国家/地区 访问源IP所属的地理位置。 源端口 访问控制的源端口。包括单个端口，或者连续端口组，中间使用“”隔开，如：80443 目的IP 访问的目的IP。 目的网址 访问的域名地址。 目的国家/地区 访问目的IP所属的地理位置。 目的端口 访问控制的目的端口。包括单个端口，或者连续端口组，中间使用“”隔开，如：80443 协议 访问控制的协议类型。 响应动作 包括观察者模式（“观察”）和拦截模式（“阻断”或“放行”）。 规则 访问控制的规则类型，包括黑名单、白名单。

参数 是否必填 参数类型 说明 示例 下级对象 firewallType 是 String 防火墙类型NorthSouth南北向EastWest东西向 NorthSouth type 是 String 时间day1最近一天 day7最近7天 day1 beginTime 是 Long 开始时间 1729699200 endTime 是 Long 结束时间 1729824916

错误注入功能提供模拟微服务间异常调用的能力，可应用于故障演练、能力验证等场景。该能力支持调用延时和调用异常响应的模拟，通过该能力可进行应用容错能力研发、测试和演示，提高开发测试人员工作效率。 功能入口 1. 完成灰度应用部署后，即可查看应用当前存在的标签。 2. 登录云应用引擎控制台。 3. 在左侧导航栏选择 应用管理 > 应用列表，单击目标应用名称。 4. 应用基础信息页面，选择 微服务治理 > 流量治理，单击 错误注入 错误注入规则参数说明： 参数 说明 规则名称 错误注入规则的名称 框架 支持SpringCloud和Dubbo框架 服务消费者应用 服务消费者对应的应用名称 服务提供者应用 服务提供者对应的应用名称 服务 被调用服务标识 SpringCloud框架：服务注册名称 Dubbo框架：服务名称/分组/版本信息，格式为{DubboService}:{group}:{version}， 如 com.example.DemoService:dev:v1 请求路径 SpringCloud框架被调用接口的路径 请求方法 SpringCloud框架Http请求方法 支持GET/POST/PUT/DELETE 选择ALL匹配所有方法 服务方法 Dubbo框架被调用的方法，格式为{MethodName}:{ParamType...}如 sayHello:java.lang.String,java.lang.String 类型 延迟：模拟调用延迟，可自定义延迟时间 错误：SpringCloud框架下模拟调用返回的Http状态码和响应体；Dubbo框架下模拟调用触发的异常，可输入异常类全路径和异常信息 触发概率 触发此规则相关模拟调用的概率

本章节介绍了分布式消息服务RocketMQ常见的应用场景，以及应用架构图。 电商应用 电商应用存在诸多难题： 电商场景中通常会涉及到订单、支付和通知等等场景的业务处理。业务链通常都是多个系统相互协作完成一次作业，上层服务强依赖于下层服务，上层服务的性能会强依赖于下层服务，当业务链过深，则会严重影响外层服务的性能和用户体验。 在电商促销活动中，需要用户拥有订阅通知的能力。 分布式消息服务RocketMQ为搭建电商系统提供了更多的选择。 分布式消息服务RocketMQ可以解除多个业务系统之间的耦合度，提升各系统的处理能力和响应速度。 分布式消息服务RocketMQ提供的定时、延迟等能力，满足需要订阅通知的电商场景。 金融场景 相较于传统金融场景，互联网金融需要能及时响应互联网的快速变化。传统金融场景中共性的部分需要被抽取出来，进行细化为各个不同的微服务模块，构成基础的业务中台，基于业务中台提供的基本能力，用户可以在上层快速的构建多样的业务能力。而分布式消息服务RocketMQ因其优秀的解耦链接能力，增强了各微服务模块的处理能力和响应速度，在业务中台内扮演着不可或缺的角色。

本文为您介绍Web应用防火墙（原生版）的产品规格。 Web应用防火墙（原生版）提供两种WAF云SaaS模式 和WAF独享模式 两种模式。不同模式支持的接入方式、对应的服务版本不同。本文通过对比接入方式、服务版本规格的差异，帮助用户根据实际业务需求，快速选择适合的服务版本。 接入方式说明 Web应用防火墙（原生版）提供WAF云SaaS模式 域名接入 、WAF云SaaS模式 ELB接入 、WAF独享模式接入 三种接入方式，具体差异说明如下： 分类 WAF云SaaS模式 域名接入 WAF云SaaS模式 ELB接入 WAF独享模式接入 使用场景 适用于个人、政企、金融客户 支持天翼云、其他公有云、线下IDC等公网访问场景 大型企业网站，对业务稳定性有较高要求的安全防护需求 适用于业务资产在云上，有较高个性化配置和资源独享的用户安全防护需求 产品优势 弹性扩容能力强，通过升级规格可以扩容防护能力 支持IPv6防护 不改变业务架构，水平扩展防护能力 旁路部署，业务零影响 可靠性高 当WAF发生故障时，流量将直接通过ELB发送给后端，不影响客户正常业务 部署灵活 独享引擎实例资源由用户独享 可以满足大规模流量攻击场景防护需求 独享引擎实例部署在VPC内，网络链路时延低 业务部署位置 业务服务器部署在天翼云、非天翼云或线下 业务服务器部署在天翼云 业务服务器部署在天翼云 防护对象 域名 域名、IP（公网IP/私网IP） 域名、IP（公网IP/私网IP） 服务版本 基础版、标准版、企业版、旗舰版 标准版、企业版、旗舰版 单机版、集群版 接入指导 1. 购买WAF云SaaS型实例 2. 网站接入WAF防护（域名接入） 1. 购买WAF云SaaS型实例 2. 网站接入WAF防护（ELB接入） 1. 购买WAF独享型实例 2. 网站接入WAF防护（独享型接入）

本文介绍访问请求响应403状态码如何排查和处理。 问题描述 网站接入Web应用防火墙（边缘云版）之后，当访问请求有可能对网站造成安全威胁时，WAF防护引擎会拦截这些请求，并响应403错误给浏览器，拦截信息如下图所示： 解决方案 当请求响应403拦截时，您可以通过Web应用防火墙（边缘云版）控制台查看具体的攻击拦截信息： 在Web应用防火墙（边缘云版）控制台，通过安全分析 > WAF攻击报表，查看WAF攻击数据的多维度统计分析。也可以通过日志管理 > WAF攻击日志查看每条拦截请求的攻击详细信息，其中事件ID跟拦截请求响应内容中的RequestID对应。 通过分析攻击日志详情后，如果您认为该拦截的请求是正常业务请求，可通过点击日志详情页面的"添加白名单"按钮，进入添加白名单页面添加对应的白名单规则。

本文为您介绍在本地客户端通过FTP上传文件时,写入文件或者传输文件失败的问题处理方法。 故障描述 使用FTP上传文件时，写入文件或者传输文件失败。 约束与限制 本文档适用于服务端为Windows系统上的FTP服务。 故障原因 弹性公网IP与内网IP是通过NAT方式绑定的，因此本地访问弹性云主机时，客户端是通过被动模式连接服务端的，在这种情况下，服务端的IP地址无法从路由器外部访问，所以需要在服务端的对外IP中填写此弹性云主机分配的公网IP，同时设置数据传输端口范围来限制需要通过路由器转发的端口数量。 解决步骤 1. 检查FTP服务的地址是否填写正确 点击“ 服务器管理器 > 工具 > Internet Information Services(IIS)管理器” ，然后选择左边栏点击“ 网站” 。首先查看建立的FTP绑定的IP是否填写的是内网IP，类型为FTP。 图1 查看FTP所绑定的IP 2. 检查服务端的FTP防火墙支持配置 展开“ 网站” ，会显示建立的FTP服务，双击右侧的FTP防火墙支持。 图2 FTP防火墙支持 数据通道端口范围需要填写102465535范围内的，比如2000020045。 防火墙的外部IP地址这一栏需要填写分配到的 公网IP 。 3. 检查安全组设置 点击“ 控制中心 > 服务列表 > 弹性云主机” ，选择对应的可用区，然后再展示出来的弹性云主机列表里选择需要的弹性云主机，然后双击这个弹性云主机，即可打开详情页面。在下方选择“ 安全组” ，然后查看详细的安全组配置，是否在入方向里已经正确配置了端口21和上面配置的数据通道端口这两条。 图3 安全组配置 4. 在客户端测试 一种方法是使用FileZilla填写弹性云主机的公网ip，FTP的用户名和密码，端口填写21。 另一种方法是访问ftp://弹性云主机公网ip:服务端的端口（如果不填为21），然后在弹出的对话框里输入FTP的用户名和密码。

本文介绍同时使用了全站加速和Web应用防火墙（边缘云版），如何计费；以及同时使用了全站加速和媒体存储【即对象存储（融合版）】，如何计费。 天翼云全站加速和天翼云其他产品搭配使用时，产生的流量各自分别计费，不支持互相抵扣，也不会重复计费，每个产品的计费和扣款规则详见各产品的计费说明。 以下举两个常见的产品搭配案例。 客户同时购买了全站加速按量计费和Web应用防火墙（边缘云版）。业务数据流向：客户端全站加速Web应用防火墙源站。 全站响应给客户端资源，从全站流出的带宽，由全站加速收取带宽费用，全站加速的相关计费项说明，详情请见：全站加速计费。 用户访问回源的动态请求均需要防护，因此这部分动态请求产生的回源带宽由Web应用防火墙（边缘云版）收取费用，详情请见：计费概述。 客户同时购买了全站加速按量计费和媒体存储【即对象存储（融合版）】。假设全站节点上无可用的缓存资源，需要从媒体存储【即对象存储（融合版）】上获取资源，则总计会产生两段流量费用： 全站从媒体存储【即对象存储（融合版）】获取资源，数据从媒体存储【即对象存储（融合版）】传输到天翼云全站所产生的回源流量，由媒体存储【即对象存储（融合版）】收取流量费用，全站加速不收费。媒体存储【即对象存储（融合版）】的相关计费项说明，详情请见：计费项。 全站响应给客户端资源，从全站流出的流量，由全站加速收取流量费用，媒体存储【即对象存储（融合版）】不收费。全站加速的相关计费项说明，详情请见：全站加速计费。 注意 天翼云的媒体存储【即对象存储（融合版）】仅支持中国内地区域使用，全站加速可从任何区域回源到中国内地区域的媒体存储【即对象存储（融合版）】源站，且回源产生费用。

本章节介绍如何删除路由规则 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 单击左侧导航栏 路由配置 ； 6. 单击路由配置列表页操作列删除按钮； 结果验证 在路由配置页面，查看路由规则是否已被删除。

本章节介绍无损下线功能的使用 概述 在微服务场景中，当服务提供者下线时，若消费者无法及时感知到提供者的下线状态，则可能会出现异常请求。通过配置无损下线来保证应用在下线、重启时流量零损耗。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Dalston及以上版本 支持负载均衡组件为ribbon的应用 不支持负载均衡组件为Spring Cloud LoadBalancer的应用。 Dubbo 2.5.3+ Jdk版本 1.8+

CSE Nacos支持通过配置集ID、分组名称、所属应用和标签进行查询配置。 1、登录微服务引擎控制台。 2、在左侧导航栏选择“注册配置中心”。 3、单击待操作的Nacos引擎实例名称。 4、在左侧导航栏选择“配置管理 > 配置列表”。 5、在配置列表上方筛选框中，可通过筛选配置集ID、分组名称、所属应用和标签，单击筛选出符合条件的配置。

AppKey和AppSecret 客户端调用API 时，需要使用已授权签名密钥对请求内容的关键数据进行加密签名计算，并且将APP Key和加密后生成的字符串放在请求的 Header 传输给API网关，API网关会读取请求中的APP Key的头信息，并且根据APP Key的值查询到对应的APP Secret的值，使用APP Secret对收到的请求中的关键数据进行签名计算，并且使用自己的生成的签名和客户端传上来的签名进行比对，来验证签名的正确性。只有签名验证通过的请求才会发送给后端服务，否则API网关会认为该请求为非法请求，直接返回错误应答。 AppCode简单认证 扩展功能，暂未上线，作为保留字段。 AppCode简单认证就如同字面含义，旨在为用户提供一种快捷简单的认证方式去进行授权签名，无需在客户端实现复杂的签名算法，其作用等同于AppKey和AppSecret配对使用的效果。 后续将会允许用户通过header或者query参数调用AppCode，进行简单认证。 注意 简单认证方式调用非常省事，免去了复杂的签名过程，但是把AppCode作为明文暴露网络中传输，会带来一些安全隐患，存在丢失AppCode的风险。 API对消费者鉴权和自定义鉴权插件之间的关系? 消费者/应用配置可以在不同资源池中可以共享，在租户/用户级别上是隔离的，也即是说用户User1在区域Region1创建了的应用AppA，当用户User1切换区域到RegionB后，在应用列表可以看到AppA，并且可以对AppA进行修改、解除API的授权等操作，该操作在用户User1下所有区域及区域下已授权的所有API中进行同步。 自定义鉴权插件，对网关来讲属于实例级别的应用范围。用户在当前实例Instance1下添加的鉴权配置（插件配置管理），只适用于实例Instance1中所有的API。 总体来讲，消费者适用于租户级别下的API授权管理，不受区域、资源池、实例的限制；自定义鉴权插件，通常是作用与实例级别下的API授权管理，范围更小。

本节主要介绍集群概述。 随着应用程序开发向基于容器的方向发展，编排和管理资源的需求变得越来越重要。Kubernetes是一个开源的、功能强大的容器编排系统，用于管理容器化应用和服务，它提供了应用部署、规划、更新、维护的一种机制，让部署容器化的应用更加简单并且高效。 云容器引擎（Cloud Container Engine，以下简称CCE）是一种托管的Kubernetes服务，可进一步简化基于容器的应用程序部署和管理，您可以在CCE中方便的创建Kubernetes集群、部署您的容器化应用，以及方便的管理和维护。 集群优势 传统的应用部署方式是通过插件或脚本来安装应用。这样做的缺点是应用的运行、配置、管理、所有生存周期将与当前操作系统绑定，这样做并不利于应用的升级更新/回滚等操作，当然也可以通过创建虚拟机的方式来实现某些功能，但是虚拟机非常重，并不利于可移植性。 新的方式是通过部署容器方式实现，每个容器之间互相隔离，每个容器有自己的文件系统，容器之间进程不会相互影响，能区分计算资源。相对于虚拟机，容器能快速部署，由于容器与底层设施、机器文件系统解耦的，所以它能在不同云、不同版本操作系统间进行迁移。 容器占用资源少、部署快，每个应用可以被打包成一个容器镜像，每个应用与容器间成一对一关系也使容器有更大优势，使用容器可以在build或release的阶段，为应用创建容器镜像，因为每个应用不需要与其余的应用堆栈组合，也不依赖于生产环境基础结构，这使得从研发到测试、生产能提供一致环境。类似地，容器比虚拟机轻量、更“透明”，这更便于监控和管理。 集群（Cluster）是容器运行所需云资源的集合，包含了若干云服务器节点（物理服务器或者虚拟机）、负载均衡、虚拟私有云等云资源，您可以在集群中运行您的应用程序。在CCE中，我们可以创建若干集群，每个集群可以创建多个容器，每个容器里面运行一个应用实例，然后通过内置的负载均衡策略，实现对这一组应用实例的管理、发现、访问，而这些细节都不需要运维人员去进行复杂的手工配置和处理。

本文介绍添加子账号的操作步骤。 背景信息 一般情况下，客户只需一个天翼云账号即可管理在天翼云上购买的视频直播资源。如果存在需要为企业内部的员工设置不同的访问权限，以达到不同员工之间权限隔离的效果，则可以使用天翼云CDN+统一身份认证服务（CDN+ Identity and Access Management，简称CDN+IAM）进行精细的权限管理。本文主要介绍相关操作步骤。 操作步骤 步骤一：登录CDN+IAM平台 1. 平台登录入口：天翼云CDN+IAM。 2. 进入账号登录界面，请单击【其他登录方式】里的第一个图标，如下图所示。 3. 随即自动跳转到天翼云账号登录界面，输入官网账号和密码后，单击【登录】。 步骤二：创建子账号。 1. 选择右上角【我的工作区】中的【系统内置工作区】。 2. 在【工作区管理】页面中，单击左侧菜单中的【子用户管理】，并单击页面中的【新增】。 3. 输入子用户基本信息，并单击【确定添加】。 步骤三：为子账号配置权限。 1. 在【工作区管理】页面中，单击左侧菜单中【角色管理】，并在【角色所属服务】中搜索【直播控制台】，单击对应角色中的【管理】按钮，如下图所示。 2. 单击页面中的【备选成员】，并在对应成员中单击【授权】。 3. 在【工作区管理】页面中，单击左侧导航栏中的【子用户管理】，并在对应子账号的操作栏中单击【配置权限】。 4. 单击【备选角色】菜单，增加【CDN参与者】和【直播参与者】权限。 步骤四：子账号登录控制台。 配置子账号后，单击进入天翼云CDN+IAM，并输入子账号和密码，登录控制台页面。

智算场景NVIDIAGPU镜像组件的安装指南 本文介绍智算相关组件的安装方法，其中包含（nvidia driver、ofed、cuda、cudnn）具体的组件版本根据需求设置，本文主要包含三大部分内容： ● 介绍适配nvidiadriver530驱动的相关组件的安装方法； ● 内核升级指南； ● Ubuntu内核升级后，保证环境正常运行的指南； 该安装指南以 Ubuntu20.04 系统为例，遇到GPU多机互联 的使用场景，建议关闭设备的防火墙(systemctl disable 防火墙; systemctl disable 防火墙)。 一、本文使用的软件下载链接汇总 nvidia驱动下载地址： （各版本驱动下载地址为 CUDA下载地址： cuDNN下载地址： OFED下载地址： CUDA版本与nvidia driver版本对应表：

本文介绍爬虫陷阱功能的相关配置。 功能介绍 即在页面里面嵌入不可见链接，正常浏览器不可见；当访问到达设定的拦截深度时，认为是爬虫行为并支持设置防护策略。 注意 目前控制台尚未开放爬虫陷阱功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见Bot管理计费。 配置介绍 支持最多配置5个条件，多个条件为或关系。 配置项 说明 防护开关 支持拦截、告警、关闭 处理动作持续时间 即触发规则后的惩罚时间 统计粒度 IP/IP+UA/静态cookie 防护范围 支持配置您要防护的请求范围，支持匹配字段为PATH、REQUESTURI、URI 相关操作 设置Bot策略白名单 设置爬虫情报规则 设置IP情报规则

支持针对已维护的IDC IP情报库，从IDC出口厂商的维度进行IP封禁。 功能介绍 支持针对已维护的IDC IP情报库，从IDC出口厂商的维度进行IP封禁。 注意 目前控制台尚未开放IDC IP防护功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明。 设置IDC IP防护规则 支持通过IDC出口厂商维度针对IDC IP进行监控或拦截的操作，支持配置多条防护规则 配置项 说明 IDC厂商 厂商类型 IDC网络描述 描述IDC IP的来源相关信息 处理动作 支持配置拦截或监控 拦截：对IP访问请求进行拦截处理 监控：不对请求拦截，但是会生成攻击日志 相关操作 设置爬虫情报规则 设置Bot防护策略

本小节介绍Web应用防火墙黑白名单最佳实践。 当您需要拉黑部分恶意攻击者或者用户访问，或者希望指定用户、页面的访问不被拦截，您可以在此做黑白名单配置。 除常见的IP和URL的黑白名单外，您可以通过UserAgent的黑白名单对访问的客户端进行限制，可以实现简单的爬虫过滤；您也可以通过Referer字段对用户访问来源做一定的限制，实现对关键业务页面的定制化防护。 前提条件 已添加了防护域名并已完成了域名接入。 WAF防护已开启。 操作步骤 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”。 3. 在WAF防护配置列表的操作列，单击“自定义防护配置”。 4. 在自定义防护配置界面，选择“黑白名单”页签。 黑白名单支持IP、Referer、URL、UserAgent四种类型。 您可以添加IP（如127.0.0.1）、IP段（如127.0.0.0/24）、uri路径（如/index?abc页面，仅需添加/index字符段）和其他规则匹配下的字符文本。

本章介绍如何使用迁移上云功能实现平滑迁移 概述 MSE注册配置中心具备将自建ZooKeeper、Nacos和Eureka等多种注册配置中心平滑迁移至MSE注册配置中心实例，本章介绍如何使用迁移上云功能实现平滑迁移。 前提条件 1. 已开通微服务引擎MSE，参考创建Nacos实例 2. 开通Nacos实例并且状态正常； 操作步骤 自建服务或者其他云厂商服务数据迁移至MSE Nacos 1，自建注册配置中心与MSE Nacos实例网络互通 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，选择一个引擎类型为Nacos的实例，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4. 在权限管理和命名空间管理页面，提前创建好迁移数据的目标命名空间以及对应的账号权限等信息； 5. 选择迁移上云> 概览页面，点击安装按钮安装迁移工具； 6. 安装完成后，打开迁移集群管理页面，点击新增集群按钮新增自建集群； 7. 在弹出框中输入集群名称、选择集群类型、填写用户名密码以及集群IP列表，点击新建按钮即可添加自建集群； 8. 打开同步任务管理页面，点击新增任务，输入任务名称、选择自建集群与目标命名空间、勾选需要同步的服务，最后点击新增按钮完成同步任务的新增； 9. 打开服务管理> 服务列表，选择目标命名空间，确认自建集群的服务是否迁移成功；

本章节介绍如何实现服务端负载均衡 前提条件 1. 已开通微服务引擎MSE 2. 开通MSE实例并且状态正常 3. 开通弹性负载均衡ELB 4. 设置绑定的ELB端口必须处于放行状态(可查看安全组策略确认) 操作步骤 绑定ELB 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表。 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 4. 如果引擎类型为Nacos，点击绑定ELB端口，在弹出框中选择ELB类型后，选择与实例同一个VPC内网下的ELB实例，需要选择绑定两个端口，分别是服务主端口和GRPC端口，选择主端口后会自动偏移GRPC端口，无需手动输入GRPC端口。 5. 如果是非Nacos引擎，则不需要绑定两个端口，只需选择ELB后，选择需要绑定的主端口即可。 6. 建议端口使用范围在102449151之间。 7. 绑定提交后，会后台异步处理绑定过程，可在页面绑定列表刷新查看绑定状态，如果绑定失败，请确认是否存在已占用端口冲突。 解绑ELB 选择需要解绑的ELB绑定信息，点击解绑ELB按钮，如果是Nacos引擎类型，则会同时解绑主端口和GRPC端口。 使用方式 成功绑定ELB后，可以使用ELB绑定信息列表中的ELB入口地址+端口进行访问；访问流量会平摊到所有实例节点；当实例扩/缩容时，会自动添加/删除ELB入口地址映射的实例节点。

本章节介绍如何进行域名管理配置 关联域名 云原生网关提供域名配置能力，支持配置协议、证书、路由配置。本文介绍如何关联域名。 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 单击左侧导航栏 域名管理 ； 6. 单击左上角按钮 关联域名 ； 7. 在关联域名面板填写域名相关配置，单击左下角确定按钮； 域名配置说明如下： 参数 描述 域名 自定义域名填写，如mse.ctyun.com，同时支持泛域名如.ctyun.com。 协议 支持HTTP和HTTPS协议，HTTPS协议需上传证书。 证书名称 选择HTTPS时填入，自定义填写证书名称。 证书文件 选择HTTPS时需上传证书文件，支持pem、cer, crt, key格式。 私钥文件 选择HTTPS时需上传私钥文件，支持pem、cer, crt, key格式。 结果验证 在域名管理列表页可以查看新关联的域名信息，且状态显示已发布 ，则说明域名关联成功。 变更域名 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 单击左侧导航栏 域名管理 ； 6. 单击域名管理页操作列编辑按钮； 7. 在编辑域名面板编辑协议、证书等信息，单击左下角确定按钮；

本文主要介绍应用场景 APM应用广泛，下面介绍APM的典型应用场景，以便您深入了解。 应用异常诊断 业务痛点 分布式微服务架构下的应用，虽然丰富多样且开发效率高，但是给传统运维诊断技术带来了巨大挑战。以电商为例，主要遇到如下问题： 定位问题难 客服人员接到用户反馈商品购买出现问题后，会交由技术人员排查解决。而微服务分布式架构中的一个业务请求通常要经过多个服务/节点后返回结果。一旦请求出现错误，往往要在多台机器上反复翻看日志才能初步定位问题，对简单问题的排查也常常涉及多个团队。 架构梳理难 在业务逻辑变得逐渐复杂以后，很难从代码层面去梳理某个应用依赖了哪些下游服务（数据库、HTTP API、缓存），以及被哪些外部调用所依赖。业务逻辑的梳理、架构的治理和容量的规划（例如促销活动的准备过程中，需要为每个应用准备多少台机器）也变得更加困难。 业务实现 APM提供大型分布式应用异常诊断能力，当应用出现崩溃或请求失败时，通过应用拓扑+调用链下钻能力分钟级完成问题定位。 可视化拓扑：应用拓扑自发现，异常应用实例无处躲藏。 调用链追踪：发现异常应用后，通过调用链一键下钻，代码问题根因清晰可见。 慢SQL分析：提供数据库、SQL语句的调用次数、响应时间、错误次数等关键指标视图，支持异常SQL语句导致的数据库性能问题分析。 应用体验管理

本节为您介绍物理机服务常见的登录类问题。 物理机登录前的准备工作有哪些？ Windows操作系统 请确保您已获得Windows物理机的登录密码。 请确保物理机已绑定弹性IP，以便进行远程登录 Linux操作系统 请确保您已获得登录物理机所需的密码。 如果您使用的是远程登录方式（如SSH），则不需要物理机绑定弹性IP。如果您使用其他方式登录，如物理控制台或远程桌面，那么请确保物理机已绑定弹性IP，以便通过公网访问。 无法登录到Windows物理机怎么办？ 如果无法登录到Windows物理机，请按照以下排查思路进行处理： 检查是否符合登录条件 请确保您拥有正确的登录凭据，包括用户名和密码。 请确保您有访问物理机的权限。 检查网络是否正常 请确保您的计算机与物理机在同一网络中。 检查网络连接是否稳定，排除网络故障的可能性。 检查防火墙配置是否正常 请确保物理机的防火墙配置允许远程桌面连接。 检查物理机所在网络的防火墙设置，确保端口开放。 远程访问端口配置异常 检查物理机的远程桌面服务是否启动，并且监听正确的端口（默认为3389）。 请确保网络中没有其他设备占用了相同的端口。 尝试重启物理机 如果问题仍然存在，请提交工单联系后端技术支持，寻求进一步的排查帮助和解决方案。 无法登录到Linux物理机怎么办？ 当您的物理机无法SSH登录时，我们首先建议您通过控制中心远程登录。

检查节点名配置是否正确 6.进入软件安装目录。 cd /opt 7.查找主备节点的配置文件目录。 find name hacomlocal.xml 8.进入workspace目录。 cd ${BIGDATAHOME}/omserver/OMS/workspace0/ha/local/hacom/conf/ 9.使用vim命令打开hacomlocal.xml，查看local、peer节点配置是否正确，local配置主节点，peer配置备节点。 是，执行步骤12。 否，执行步骤10。 10.修改hacomlocal.xml中主备节点的配置，修改完成后，按Esc回到命令模式，输入命令:wq保存退出。 11.查看此告警信息是否自动清除。 是，处理完毕。 否，执行步骤12。 检查是否防火墙禁用端口 12.执行命令lsof i :20012查询主备节点的心跳端口是否打开，有查询结果说明端口已经开放，否则说明端口被防火墙禁用。 是，执行步骤13。 否，执行步骤16。 13.执行命令iptables P INPUT ACCEPT，防止与服务器断开。 14.清除防火墙。 iptables F 15.查看告警列表中，该告警是否已清除。 是，处理完毕。 否，执行步骤16。 收集故障信息 16. 在FusionInsight Manager界面，选择“运维 > 日志 > 下载”。 17. 在“服务”中勾选如下节点信息，单击“确定”。 OmmServer Controller NodeAgent 18. 单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 19. 请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。