本节介绍了云数据库GaussDB 的总体调优思路。 云数据库GaussDB 的总体性能调优思路为性能瓶颈点分析、关键参数调整以及SQL调优。在调优过程中，通过系统资源、吞吐量、负载等因素来帮助定位和分析性能问题，使系统性能达到可接受的范围。 云数据库GaussDB 性能调优过程需要综合考虑多方面因素，因此，调优人员应对系统软件架构、软硬件配置、数据库配置参数、并发控制、查询处理和数据库应用有广泛而深刻的理解。 须知： 性能调优过程有时候需要重启集群，可能会中断当前业务。因此，业务上线后，当性能调优操作需要重启集群时，操作窗口时间需向管理部门提出申请，经批准后方可执行。 调优流程 图 云数据库GaussDB 性能调优流程

配置字段 是否必填 配置说明 处置动作 是 监控观察：仅监控观察，不对网络连接、访问权限进行任何干预。 挑战认证：需通过配置的认证方式完成身份认证，才能继续访问内网。 注销登录：退出当前客户端登录状态，若账号不符合安全要求，将持续触发注销。 禁止访问内网：关闭对内网环境资源的访问权限，即无法连接公司 / 单位内部系统、共享文件等内网资源。 降权访问：限制用户仅能访问指定的对应等级应用，其他均无法访问。 处置通知 否 配置为监控观察处置动作时，可选是否从客户端通知员工，其他处置动作默认会通过客户端提示员工。 处置提示语 是 可自定义，自定义提示语可针对英文、中文进行分别自定义。 自动恢复 是 默认勾选，且不可配置，若用户被处置后，自主进行了修复，下次触发该动态授权未命中匹配条件，则自动恢复处置。

参数 参数说明 PVC名称 新建PVC的名称，PVC创建时将自动创建存储卷，一个PVC对应一个存储卷。存储卷名称在PVC创建时自动生成。 集群名称 云硬盘部署所在的集群。 命名空间 选择云硬盘所部署的命名空间，若无需选择，保持默认default即可。 磁盘容量 新建存储的容量。 访问模式 访问模式（AccessModes）是用来对PV进行访问模式的设置，用于描述用户应用对存储资源的访问权限。 ReadWriteOnce (RWO)： 基于云硬盘非共享卷提供容器负载单Pod单读单写块存储的功能，但是该卷只能被单个节点挂载。v1.13.10r1开始支持RWO模式的存储卷。 ReadWriteMany (RWX)： 基于云硬盘共享卷提供容器负载访问块存储的功能。由于容器侧不支持跨节点的云硬盘共享卷读写一致性能力，在老集群（

本文介绍添加VPC内网辅助网卡操作。 应用场景 业务部署需要多网卡场景。 使用说明 不支持添加同VPC同子网的辅助网卡。 添加的辅助网卡vpc子网网段不能跟已有网卡相同。 前提条件 已开通虚拟机。 虚拟机已关机。 操作步骤 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏，点击列表上方的地域可以切换不同地域，选择需要操作的实例，单击实例名称。 3. 进入虚拟机详情页，单击【网卡】页签，点击页面左上角【添加vpc内网辅助网卡】。 4. 在添加PVC内网辅助网卡弹窗页面，选择VPC和子网，支持自动或手动分配IPv4地址，设置内网带宽上限，点击【确认】，返回操作成功后完成辅助网卡添加。 5. 操作成功后，需在虚拟机内执行cloudinit clean，并在控制台重启虚拟机生效。 6. 在【网卡】页签，可查看新添加的辅助网卡。

本文介绍URL鉴权支持的加密算法。 应用场景 为保障直播资源不被非法盗用，避免产生不必要的带宽浪费，您可以使用视频直播的URL鉴权功能，在主播推流或播放URL中加上鉴权信息。在主播请求直播推流或观众请求播放时，CDN会对其URL带的加密信息进行合法性判断，仅校验通过的请求会予以响应，其它非法的访问将予以拒绝，从而有效地保护直播资源。 支持算法 URL鉴权支持的加密算法包括MD5HASH算法和HMACSHA256算法。更多URL鉴权信息请参见：URL鉴权。 注意 建议配置开启URL鉴权，否则域名将存在资源被恶意下载或者非法盗用风险，您需要承担因盗用产生的相关服务费用。 若要开启URL鉴权，需客户端与CDN服务侧进行配合使用。

本章节主要介绍使用客户端。 操作场景 客户端安装后，用户可以通过客户端在运维场景或业务场景中使用shell命令，也可以在应用程序开发场景中使用客户端中的样例工程。 该任务指导用户在运维场景或业务场景中使用客户端。 前提条件 已安装客户端。 例如安装目录为“/opt/Bigdata/client”。 各组件业务用户由系统管理员根据业务需要创建。 “机机”用户需要下载keytab文件，“人机”用户第一次登录时需修改密码。 操作步骤 1.以客户端安装用户登录安装客户端的节点。 2.执行以下命令，切换到客户端安装目录。 cd /opt/Bigdata/client 3.执行以下命令配置环境变量。 source bigdataenv 4.如果集群为安全模式，执行以下命令进行用户认证。普通模式集群无需执行用户认证。 kinit 组件业务用户 5.根据实际业务需要，执行shell命令。

本章节主要介绍翼MapReduce的导出认证凭据文件操作。 操作场景 用户为安全模式集群进行应用开发的场景下，需要获取用户keytab文件用于安全认证。管理员可以通过FusionInsight Manager导出keytab文件。 说明 修改用户密码后，之前导出的keytab将失效，需要重新导出。 前提条件 下载“人机”用户的认证凭据文件前，需要使用Manager界面或者客户端修改过一次此用户的密码，否则下载获取的keytab文件无法使用。请参见修改用户密码。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在需导出文件的用户所在行，选择“更多 > 下载认证凭据”，待文件自动生成后指定保存位置，并妥善保管该文件。 认证凭据中会携带kerberos服务的“krb5.conf”文件。 解压认证凭据文件后可以获取两个文件： “krb5.conf”文件包含认证服务连接信息。 “user.keytab”文件包含用户认证信息。

本节主要介绍重置参数模板 您可根据自己的业务需求，重置自定义参数模板的参数，使其恢复到系统默认值。 使用须知 重置会将参数模板中所有参数变回默认值，应用此参数模板的实例参数变回默认值，请谨慎操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在左侧导航树，单击“参数模板管理”。 步骤 5 在“参数模板管理”页面的“自定义”页签，选择对应实例类型下需要重置的参数模板，选择“更多 > 重置”。 步骤 6 在弹出框中单击“是”，重置所有参数为其默认值。

此章节为您介绍数据库审计信任规则的相关功能。 当系统匹配信任规则后，不会再匹配安全规则，不产生任何告警信息。 开启步骤 1. 在左侧菜单栏中选择“规则配置 > 信任规则”进入“信任规则”页面。 2. 单击“新增”，在弹出的新增规则对话框中编辑相关信息。 具体参数可参考下表。 项目 参数 参数说明 基本信息 名称 设置规则名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 基本信息 描述 规则描述。 基本信息 等级 必选项，系统默认等级为中风险。等级可选高风险、中风险和低风险。 基本信息 所属规则组 必选项，可选择自定义的规则组，也可以选择系统默认规则组。可通过以下步骤对自定义规则组进行管理： 单击所属规则组右边的“规则组管理”，可新增、修改和删除自定义规则组。 基本信息 规则类型 当前支持普通规则和统计规则两类。 普通规则：单条审计记录匹配配置的普通规则，会触发普通告警（例如一条select语句，可能会触发一条普通告警）。 统计规则：指定时间内多次匹配配置的统计规则，会触发一条统计告警（例如5分钟内10次select失败，可能会触发一条统计告警）。 基本信息 行为 当前支持告警和告警并阻断。 告警：操作命中规则后，仍正常执行，无特殊控制。 告警并阻断：操作命中规则后，该操作对应的数据库连接断开。 客户端 客户端来源 访问业务类型的客户端IP或IP组。可填写多个，以逗号“,”分隔。 客户端 客户端工具 可配多个客户端工具，使用逗号“,”分隔，例如：db2bp.exe,java.exe。 客户端 客户端端口 可配置多个值或区间，多个值间以逗号“,”分隔，例如：1015,20,25,3040。 客户端 客户端MAC地址 可填多个值，多个值间以逗号“,”分隔。 客户端 操作系统用户 可以选择字符串或者正则表达式，字符串可填多值，多个值间以逗号“,”分隔。 客户端 主机名 可以选择字符串或者正则表达式，字符串可填多值，多个值间以逗号“,”分隔。 客户端 应用IP 指定规则所匹配的应用IP或IP组，对应审计日志中的关联IP，可填多值，多个值间以逗号“,”分隔。 客户端 应用用户名 指定规则所匹配的应用用户或用户组，对应审计日志中的关联账号，可填多值，多个值间以逗号“,”分隔。 服务端 服务端IP 可填多个值，多个值间以逗号“,”分隔。 服务端 服务端端口 可配置多个值或区间，多个值间以逗号“,”分隔，例如：1015,20,25,3040。 服务端 数据库账号 指定规则所匹配的数据库登录用户账号或账号组或者使用正则表达式，可填多值，多个值之间以“,”分隔。 服务端 服务端MAC地址 可填多个值，多个值间以逗号“,”分隔。 服务端 数据库名(SID) 可以选择字符串或者正则表达式，Oracle数据库请输入SID，其他数据库输入数据库名，字符串可填多值，多个值间以逗号“,”分隔。 行为 对象 指定规则匹配的对象组。 行为 操作类型 指定SQL语句的操作类型，例如：select、update、delete等。 行为 SQL模板ID 可填项，可填多值，多个值间以逗号“,”分隔。 行为 SQL关键字 SQL关键字：支持以正则表达式匹配报文。 单击“正则验证”输入报文内容，单击“校验”，验证输入内容与执行结果关键字中的正则表达式是否匹配；单击“增加条件”可添加多个条件。 条件运算逻辑表达式：SQL关键字填写后，此项为必填项。条件间的关系，支持与、或、非、括号运算(&：与；：或；~：非)，条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2个SQL关键字条件且两个关键字都要满足才能告警。 行为 SQL长度 指定SQL语句的长度，取值范围：1B~64KB。 行为 关联表数 SQL操作涉及表的个数大于等于此值时触发本规则，允许输入最大值为255。 行为 WHERE字句 是否包含WHERE，支持三个选项： 不判断 有WHERE子句 没有WHERE子句 默认为不判断。WHERE子句用于提取满足指定条件的SQL记录，语法如下： SELECT columnname,columnname FROM tablename WHERE columnname operator value; 结果 执行时长 （选填）单位：秒、毫秒、微秒，取值范围：0到半个小时，SQL执行时长属于此范围，则触发规则。 结果 影响行数 取值范围：0~999,999,999。SQL操作返回的记录数或受影响的行数属于此范围，则触发规则。 结果 返回结果集 支持以正则表达式匹配结果集。 单击“正则验证”输入报文内容，单击“校验”，验证输入内容与执行结果关键字中的正则表达式是否匹配；单击“增加条件”可添加多个条件。 条件运算逻辑表达式：SQL关键字填写后，此项为必填项。条件间的关系，支持与、或、非、括号运算(&：与；：或；~：非)，条件使用序号表示，即“1”表示条件1，例如：1&2，则代表有2个SQL关键字条件且两个关键字都要满足才能告警。 结果 执行状态 可选三类执行状态： 全部 成功 失败 默认为全部。 结果 执行结果描述 支持以正则表达式方式匹配。 其他 生效时间 可自定义或者选择时间组。 其他 每日最大告警数 取值范围：0~99,999，输入0表示没有限制。 其他 结果集存储策略 设置触发该规则的告警日志的返回结果集存储策略，包含使用资产设置、保存和不保存。 3. 配置完成后，单击“保存”即可完成信任规则的配置。

本文为您介绍安全体检的权限管理能力，支持通过IAM实现对安全体检的访问控制、权限分配。 安全体检通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制安全体检服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 安全体检IAM策略说明 天翼云为安全体检提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 安全体检管理者admin 安全体检管理员策略，拥有产品所有操作权限。 系统策略 全局级 安全体检查看者viewer 安全体检查看者策略，只具备查看权限。 系统策略 全局级

赌博类 包括但不限于以下违规内容的信息： 搭建具有博彩性质的平台，如六合彩、体育博彩等； 无证经营彩票销售、运营等具有博彩性质的网站及应用； 发布含有聚众赌博、出售赌博器具、传授赌博（千术）的技巧、方式、方法等信息，以及进行博彩活动德； 为赌博活动/网站提供技术服务，包括但不限于提供博彩网站引流、广告宣传、网站代码、应用程序等； 发布具有赌博性质的游戏机、用具（含相关作弊用具）的信息，如老虎机、遥控色子、透视扑克等。 相关法律法规参考：《中华人民共和国治安管理处罚法》、《中华人民共和国刑法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》等相关法律法规的规定。 违法经营类 包括但不限于以下违规内容的信息： 非法分销、非法传销、非法集资、非法放贷行为； 未取得法定许可证件或牌照、未获得在先的行政许可或未符合监管部门的要求，发布、传播或从事相关经营活动的行为，包括但不限于违规发布药品或医疗器械推广内容的、违规发布证券或期货等投资类有偿咨询内容的、违规发布烟草宣传内容的； 违规经营烟草、走私、套牌、海关扣押等商品交易； 以任何形式参与、鼓励、促进或诱导他人排斥正常商业竞争的行为，或为前述行为的传播提供便利的； 其它违反国家法律法规的活动行为。 相关法律法规参考：《中华人民共和国刑法》、《中华人民共和国刑法》、《电信条例》、《中华人民共和国反不正当竞争法》、《中华人民共和国烟草专卖法》、《中华人民共和国烟草专卖法实施条例》等相关法律法规的规定。

Q：SDK 中输入的 desktopCode 是指什么？ A：desktopCode 是指桌面编码，用于唯一标识您的云电脑桌面实例。请注意，desktopCode 与桌面 ID 是两个不同的概念，请勿混淆，务必确认填写的是正确的桌面编码。 Q：如果我的云电脑桌面处于离线状态，是否仍然可以正常使用？ A：很抱歉，桌面处于离线状态时将无法正常接收和执行指令。请您先通过云电脑客户端或官网控制台将桌面开机并确认其处于在线运行状态后，再进行相关操作。 Q：通过 SDK 发送指令后，桌面没有任何响应，应如何排查？ A：建议您按以下步骤逐一排查： 1. 确认 SDK 指令格式是否正确，参数是否完整； 2. 检查接口返回的消息体中，是否包含成功标志（successtrue）； 3. 若上述检查均无异常，请进入目标桌面，打开「应用市场」，找到并重新安装以下两个插件：clinkagent 和 AiClientTool，安装完成后再重新发送指令。 如问题仍未解决，请联系我们的技术支持团队，并提供相关日志信息以便进一步协助排查。

Q：SDK 中输入的 desktopCode 是指什么？ A：desktopCode 是指桌面编码，用于唯一标识您的云电脑桌面实例。请注意，desktopCode 与桌面 ID 是两个不同的概念，请勿混淆，务必确认填写的是正确的桌面编码。 Q：如果我的云电脑桌面处于离线状态，是否仍然可以正常使用？ A：很抱歉，桌面处于离线状态时将无法正常接收和执行指令。请您先通过云电脑客户端或官网控制台将桌面开机并确认其处于在线运行状态后，再进行相关操作。 Q：通过 SDK 发送指令后，桌面没有任何响应，应如何排查？ A：建议您按以下步骤逐一排查： 1. 确认 SDK 指令格式是否正确，参数是否完整； 2. 检查接口返回的消息体中，是否包含成功标志（successtrue）； 3. 若上述检查均无异常，请进入目标桌面，打开「应用市场」，找到并重新安装以下两个插件：clinkagent 和 AiClientTool，安装完成后再重新发送指令。 如问题仍未解决，请联系我们的技术支持团队，并提供相关日志信息以便进一步协助排查。

本节介绍网络的用户指南：Service。 Service可为一个或一组Pod提供固定的IP地址，并为这些Pod做负载均衡。 Service支持如下类型： 1. ClusterIP：Service默认类型，用于集群内应用间访问，客户端可通过ClusterIP或内部Service域名访问后端Pod； 2. NodePort：用于集群外部访问集群内服务，将Service通过集群节点固定端口暴露，集群外部可通过任一集群节点IP和该固定端口来访问Serivce； 3. LoadBalancer：用于集群外部访问集群内服务，通过LoadBalancer实例访问NodePort或直通Pod，相对于NodePort方式，有更高的可用性和性能； 4. Headless：该类Service没有IP地址，可用于DNS负载均衡场景，客户端访问Service域名时会通过DNS返回该Service所有后端Pod的IP地址； 5. ExternalName：将集群外部域名映射到集群内部Service上，使得集群内可通过Service名访问外部域名。 关于Service详细配置和管理，请详见Service管理

GDS导入数据时是否支持使用公网/外网导入？ 不支持。 GDS导入数据的原理是，GDS服务器和DWS在内网互通的前提下，使用集群内每个DN去并行连接GDS服务器，以达到大容量并行导入的目的，因此必须确保GDS服务器与集群在同一个网络内。如果GDS为线下服务器，则需要打通防火墙，并且DWS集群需要使用EIP，但一个集群只能绑定一个EIP，也无法实现GDS的多DN连接导入。 DWS导入性能都和哪些因素有关联？ dws的导入性能受多方面因素影响，主要有以下几点： 1.集群规格：磁盘io、网络吞吐、内存、cpu规格等。 2.业务规划：表字段的类型、是否压缩、行存还是列存。 3.数据存储：集群本地、OBS等。 4.数据导入的方式选择等。

本节介绍了修改企业版实例使用的对象存储信息的用户指南。 概述 在订购容器镜像服务企业版时需选择对象存储（ZOS）的AccessKey、Bucket等信息。支持用户在容器镜像服务控制台修改企业版实例使用的对象存储AccessKey、Bucket等信息。 前置条件 已开通容器镜像服务企业版实例。 操作步骤 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 在实例详情页面，点击对象存储配置信息右侧的修改配置按钮。 4. 选择需要修改的AccessKey或者Bucket。 注意 如果实例已有镜像和Chart，更换Bucket前请将原Bucket数据同步到新的Bucket，否则会导致功能异常。

迁移评估项 评估内容 迁移机器推荐配置 源与目标机配置建议一致，迁移需要消耗资源，降低配置可能会导致迁移过慢甚至失败；迁移完成后，可以根据客户需求进行扩缩容等修改。 迁移源端有无磁盘个数、容量限制 单盘容量无限制，磁盘个数应当确定在24个以下。若您出现磁盘个数超出情况，请您对源机磁盘做减少个数处理或通过工单进行技术咨询。 数据库与集群服务限制 Oracle RAC需要使用共享存储、部分使用ASM磁盘，CMSSMS无法提供ASM磁盘、Oracle RAC迁移。大型库不建议使用CMSSMS进行迁移，建议使用数据库专业迁移工具进行迁移。如果使用CMSSMS进行迁移，在使用过程中应当在“停止增量”步骤前停止相关应用进程。 确定应用验证人员 为了保持数据一致性，用户在使用产品进行增量迁移时，需要进行停业务处理。业务上云后也需要相关熟悉业务人员进行测试验证，以此减少业务停机时间。 产品使用业务拉起会受何种因素影响 未授权应用软件、盗版软件、集群数据库、UKey硬件验证以及一些硬件绑定验证。 网络环境需要注意 若迁移过程中出现迁移速度瓶颈，应先测试源端出口带宽、目标端入流量带宽以及CMSSMS控制台带宽限制配置。注意是否存在特殊的网络、专线以及是否具备公网环境。 特定需求确认 确认是否具有涉密文件、需要保持IP不变等特定的需求。 复杂业务使用该产品需要注意事项 用户在使用产品时，需记录业务关联信息，同一类型关联业务需要根据需求，按业务系统进行迁移、切换、测试。为保持一致性在增量迁移时需进行停业务处理。业务上云后，也需相关熟悉业务人员进行测试验证，以此减少业务停机时间。 针对windows四步骤 检查系统版本、关闭杀毒软件、关闭qemu、检查磁盘空间（不足时进行调整，修改卷影存储磁盘空间）。 针对Linux注意事项 迁移源需是否具备root权限；迁移源需迁移的挂载点，是否正确写入fstab文件。 迁移源端使用资源收集 CMSSMS代理端部署于源机，需占用源机的CPU与内存，当源机CPU使用率或内存使用率过高时，CMSSMS代理端会影响业务，甚至导致迁移源宕机。正常4C4G的机器能正常满足迁移所需资源。CMSSMS需在源机agent启动后，持续对源机进行监控，并给出一定周期内CPU、内存使用情况、硬盘数据增长量等数据。用户根据给出数据对系统进行评估，若无法准确评估需找相关专业人员确认。 迁移源目标机限制 CMSSMS暂不支持裸金属服务器迁移，请确保您的迁移任务迁移源、目标机不涉及裸金属服务器。 迁移源网络限制 仅支持独享IP，请确认您的迁移源端服务器网络情况。 迁移盘符限制 引导位置必须在第一个盘的第一个分区。 迁移源存储服务限制 不支持共享存储迁移，需确认您的迁移源端服务器是否必须对共享存储作迁移。

本节介绍如何购买态势感知专业版。 操作场景 态势感知（专业版）专业版支持包周期和按需方式进行购买，您可以根据业务需求进行购买。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面左上角的“服务列表”，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在总览页面中，单击购买按钮，进入购买态势感知（专业版）页面。 4. （可选）购买访问授权。 首次购买需要进行访问授权，获取账号中的ECS主机资产信息。在弹出的访问授权页面中，勾选“同意授权”并单击“确认”。 5. 在购买态势感知（专业版）页面，配置购买参数。 参数名称 说明 计费模式 请根据您的需求选择“包周期”或“按需”计费模式。 包周期：一种预付费模式，即先付费再使用，按照订单的购买周期进行结算。购买周期越长，享受的折扣越大。 按需：一种后付费模式，即先使用再付费，按照实际使用时长计费，秒级计费，按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用，无需提前预置资源，从而降低预置过多或不足的风险。 区域 根据已有云上资源所在的区域选择态势感知（专业版）的区域。 版本 选择“专业版”。 配额数 配额数是指主机资产支持防护的最大主机数量。 请根据当前账户下所有主机资产总数设置配额数，可设置最大主机配额需等于或大于当前账户下主机总数量，且不支持减少。 说明 配额数最大限制为10000台。 为避免主机资产在防护份额外，不能及时感知攻击威胁，而造成数据泄露等安全风险。当主机资产数量增加后，请及时增加配额数。 购买时长 选择“购买时长”。 其中，选择按1个月进行收费时，到期将自动续费。 6. 确认参数配置无误后，在页面右下角单击“立即购买”。 7. 确认订单详情无误后，阅读并同意相关协议，单击“去支付”。 8. 在支付页面，选择付款方式完成付款，完成购买操作。

本小节介绍DDoS封禁后如何恢复业务。 IP被DDoS封堵后如何恢复业务？ IP 被 DDoS 封堵后，可等待封堵时长到期自动解封，也可通过以下两种方式主动恢复业务，其中购买配置 DDoS 高防并更换 EIP 为推荐方案，仅更换 EIP 存在较大安全风险，不建议使用。 一、购买配置 DDoS 高防并更换 EIP（推荐） DDoS 基础防护的封堵仅支持两种解除方式：等待封堵时间自动到期；或购买配置 DDoS 高防产品后，通过天翼云工单系统申请提前解封。 您可选择天翼云或其他第三方DDoS高防产品防护自身在天翼云的业务IP免受DDoS攻击，以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。这类产品可提供业务 IP 隐藏、大流量攻击清洗、攻击源分析等能力。业务 IP 接入高防防护后，由高防 IP 替代其暴露在公网，攻击者仅能对高防 IP 发起攻击；攻击流量经高防节点清洗后，正常流量回注至业务 IP，不会超出DDoS防护阈值，可避免触发基础防护封堵。 同时请注意：若业务IP历史存在攻击，可能已被攻击者获知，即使配置DDoS高防，攻击者有可能绕过高防IP对业务IP直接发起攻击，若攻击流量过大，仍会超过DDoS防护阈值，触发封禁，因此建议在配置高防的同时，同步更换业务IP并限制仅能被高防IP访问，实现业务IP隐藏。具体购买和配置请咨询DDoS高防产品对应产品厂商。 完成防护配置后即可提交工单申请提前解封。 二、仅更换 EIP（不推荐） 购买新的公网 IP，或使用账号下未被封堵的公网 IP； 将原封禁 EIP 绑定的云资源切换绑定至新公网 IP，即可恢复业务访问。 注意 仅更换 IP 无法从根源抵御 DDoS 攻击，新 IP 仍可能再次遭到攻击。若同一账号下资源频繁触发 DDoS 封堵，持续冲击平台网络稳定性，天翼云有权依据服务协议对账号采取权限限制，包括但不限于暂停新购资源权限等处置措施。

本小节介绍公网IP如何增强DDoS防护能力。 IP 如何提升DDoS防护能力？ 若您的公网 IP 频繁遭遇 DDoS 攻击，持续超出 DDoS 基础防护阈值并触发平台防护封堵，可通过以下两种方式强化 DDoS 安全防护能力，降低再次被封堵的风险： 一、购买并配置 DDoS 高防产品（推荐） 天翼云和第三方合规厂商均提供有DDoS高防产品，一般可提供高防IP隐藏业务IP、大流量攻击防护和攻击源分析能力，您可选择天翼云或其他第三方DDoS高防产品防护自身在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。 业务 IP 接入高防防护后，将由高防 IP 替代其暴露在公网，攻击者仅能针对高防 IP 发起攻击；攻击流量会在高防资源池完成清洗过滤，仅正常业务流量回注至您的业务 IP，该流量通常不会超出 IP 的DDoS防护阈值，可有效避免触发 DDoS封堵。 同时请注意：若业务IP历史存在攻击，可能已被攻击者获知，即使配置DDoS高防，攻击者有可能绕过高防IP对业务IP直接发起攻击，若攻击流量过大，仍会超过DDoS防护阈值，触发封禁，因此建议在配置高防的同时，同步更换业务IP并限制仅能被高防IP访问，实现业务IP隐藏。具体购买和配置请咨询DDoS高防产品对应产品厂商。 二、配置安全组（仅特定业务场景适用） 在绑定公网 IP 的云主机上配置安全组策略，仅允许指定 IP 和端口访问业务 IP，可在公网层面实现 IP 隐藏。该方式仅适用于无需对公网全面开放的业务（如组织内部跨公网访问场景），绝大多数面向公网的业务不适用此方案。 重要提示：若原业务 IP 已被攻击者获知，即便配置安全组使攻击者无法探活，仍可能遭受盲目攻击；攻击流量直达 IP 所在网络后，若流量超出基础防护阈值，依然会触发DDoS封堵。因此建议配置安全组的同时，同步更换业务 IP。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云直播控制台开启HTTPS协议，将实现客户端和天翼云直播加速节点之间请求的HTTPS加密。如果想要实现全链路HTTPS传输，则需要在直播加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端以HTTPS协议请求直播加速节点。 2. 直播加速节点将相应的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则生成一个密钥，并使用公钥进行加密，再发送给直播加速节点。 4. 直播加速节点使用对应私钥进行解密，得到密钥。 5. 直播加速节点使用对应密钥对传输的数据加密。 6. 客户端使用对应密钥对直播加速节点传输的加密数据进行解密，从而获取相应数据。 注意事项 域名进行HTTPS配置前，需已在直播控制台上传域名对应的SSL证书。证书上传路径请参见：新增证书。 只有拉流域名支持配置HTTPS。 配置说明 以推拉流场景下的拉流域名为例，操作步骤如下。 1. 登录直播控制台。 2. 在域名列表页面，单击域名操作列表中的【编辑】。 3. 单击【HTTPS配置】。 4. 开启【Https开关】。 5. 选择域名对应的有效证书，并单击页面右下方的【提交保存】。 参数 说明 Https开关 停用：即关闭HTTPS。启用：即开启HTTPS，需要上传HTTPS证书。 证书备注名 选定正确的证书与所配置的域名进行关联。说明：需要先上传相关证书。 HTTPS证书上传 可单击【证书备注名】下拉框下方的【点击上传】按钮，自助添加证书。 支持的tls协议 支持自助配置tls协议。如果未配置，则默认支持所有选项中的协议。

模型开源 支持DeepSpeed微调：我们支持使用DeepSpeed进行模型微调，并已经开源了基于DeepSpeed的训练代码。这段代码不仅便于用户进行高效的模型训练，还具备一系列优化特性。 Zero并行显存优化：开源的训练代码中集成了Zero并行显存优化技术，这一技术能够显著提升训练过程中的显存利用率，使得在有限资源下训练更大规模的模型成为可能。 集成FlashAttention2：我们的训练代码还集成了FlashAttention2，这是一种高效的注意力机制实现，能够进一步加速模型的训练过程，提高训练效率。 多轮对话能力支持：为了提升模型在复杂对话场景中的表现，我们开源了多轮数据构建方式，并针对多轮模型训练集成了特定的mask loss训练方式。这种训练方式有助于模型更好地聚焦多轮对话中的关键信息，从而提升问答效果和用户体验。 外推能力提升：我们开源了8K训练版本的模型，并采用了NTKaware外推和attention scaling外推方式。这些技术使得模型能够成功外推到96K的更大规模，显著增强了模型的外推能力和泛化性能。 长文生成能力：该模型还展现出了较强的长文生成能力，在多个长文写作任务上表现优异，包括但不限于工作总结、工作计划、PPT大纲、申论、招标书、邮件、方案、周报以及JD（职位描述）写作等。这些实际应用场景的验证，充分证明了模型在复杂文本生成任务中的强大实力和广泛应用潜力。

模型开源 支持DeepSpeed微调：我们支持使用DeepSpeed进行模型微调，并已经开源了基于DeepSpeed的训练代码。这段代码不仅便于用户进行高效的模型训练，还具备一系列优化特性。 Zero并行显存优化：开源的训练代码中集成了Zero并行显存优化技术，这一技术能够显著提升训练过程中的显存利用率，使得在有限资源下训练更大规模的模型成为可能。 集成FlashAttention2：我们的训练代码还集成了FlashAttention2，这是一种高效的注意力机制实现，能够进一步加速模型的训练过程，提高训练效率。 多轮对话能力支持：为了提升模型在复杂对话场景中的表现，我们开源了多轮数据构建方式，并针对多轮模型训练集成了特定的mask loss训练方式。这种训练方式有助于模型更好地聚焦多轮对话中的关键信息，从而提升问答效果和用户体验。 外推能力提升：我们开源了8K训练版本的模型，并采用了NTKaware外推和attention scaling外推方式。这些技术使得模型能够成功外推到96K的更大规模，显著增强了模型的外推能力和泛化性能。 长文生成能力：该模型还展现出了较强的长文生成能力，在多个长文写作任务上表现优异，包括但不限于工作总结、工作计划、PPT大纲、申论、招标书、邮件、方案、周报以及JD（职位描述）写作等。这些实际应用场景的验证，充分证明了模型在复杂文本生成任务中的强大实力和广泛应用潜力。

本页介绍了文档数据库服务开发相关规范。 数据库连接 在使用文档数据库服务进行应用程序开发时，为了保证数据库连接的安全性和可靠性，需要遵守一些数据库连接规范。以下是一些常用的文档数据库服务连接规范： 使用URI进行连接：文档数据库服务支持使用URI（Uniform Resource Identifier）格式的连接字符串进行连接，这种格式可以简化连接参数的设置，例如： mongodb://username:password@hostname:port/database 其中，username 和 password 是登录数据库的用户名和密码，hostname 和 port 是文档数据库服务的服务器的地址和端口号，database 是要连接的数据库名称。 使用连接池：为了提高连接的效率和性能，可以使用连接池技术对文档数据库服务连接进行管理。连接池可以缓存连接对象，并在需要时重复利用，避免频繁创建和销毁连接对象。客户端连接数据库的时候，要计算业务一共有多少个客户端，每个客户端配置的连接池大小是多少，总的连接数不要超过当前实例能承受的最大连接数的80%。 不要使用过期的连接：文档数据库服务连接对象具有一定的生命周期，在使用完毕后应该及时关闭连接，避免占用过多的系统资源。同时，不要使用已经过期的连接对象，应该重新创建一个新的连接对象进行操作。 设置合适的超时时间：在连接文档数据库服务时，应该设置合适的超时时间，避免连接过程中出现异常或超时而导致应用程序出现问题。可以设置连接超时、读取超时、写入超时等不同类型的超时时间。 避免使用过多的连接：在应用程序中，应该避免使用过多的文档数据库服务连接，以免占用过多的系统资源。可以通过使用连接池、设置连接超时等方式来优化连接的使用。 使用SSL/TLS进行加密：为了提高数据库连接的安全性，可以使用SSL/TLS等加密协议对文档数据库服务连接进行加密传输，避免数据被窃取或篡改。

本文主要介绍学术加速客户端功能发布记录。 学术加速客户端介绍 学术加速客户端主要提供海外教育资源加速服务等产品能力。 Windows 发布版本 发布时间 版本描述 1.4.0 20241014 公告功能上线。 客户端我的订购界面新增购买包周期套餐包展示。 企业版流量分配客户端功能上线。 1.2.0 20240918 登录流程支持区分零信任和学术加速。 企业版新增用量统计页面。 修复已知问题。 1.1.1 20240619 支持手机验证码登录。 个人版新增我的订购、用量查询。 问题反馈增加自助FAQ。 1.0.2 20240506 首个版本发布。 macOS 发布版本 发布时间 版本描述 1.4.0 20241014 公告功能上线。 客户端我的订购界面新增购买包周期套餐包展示。 企业版流量分配客户端功能上线。 1.2.0 20240918 登陆流程支持区分零信任和学术加速。 企业版新增用量统计页面。 修复已知问题。 1.1.1 20240619 支持手机验证码登录。 个人版新增我的订购、用量查询。 问题反馈增加自助FAQ。 1.0.2 20240526 首个版本发布。

本文介绍组织管理的应用场景 根据企业业务关系构建云上组织架构 说明：子账号与IAM用户的区别： 子账号是完成实名认证的实体账号。IAM用户是某个天翼云账号下的通过IAM云服务创建出来的虚拟用户，所有IAM虚拟用户创建出的资源都归属该账号。 统一预防业务违规行为 管理部门可以根据业务规则要求，对其下组织及成员账号统一设置上云的行为边界，“组织管理”服务可以主动拦截成员账号内不符合策略要求的行为，以预防业务违规操作。 下图示例：当为“法务部子账号”以及“二级组织B”进行“拒绝操作A”的策略绑定后，法务部子账号”以及“二级组织B”下的子账号，上述子账号内的所有IAM用户将不允许执行操作A。 为其它服务提供企业级的治理框架 为企业内跨账号的上云服务提供组织成员架构，供其它云服务调取，如可信服务、财务管理、资源共享等均依赖组织管理架构。

本章节主要介绍准备工作 在开始之前，您需要完成如下的准备工作。 步骤 1 创建虚拟私有云和子网。 虚拟私有云（Virtual Private Cloud，简称VPC）提供一个隔离的、用户自主配置和管理的虚拟网络环境，可以提升资源的安全性，简化用户的网络部署。 1. 登录虚拟私有云VPC控制台。 2. 单击右上角“创建虚拟私有云”。 3. 根据界面提示完成参数填写，单击“立即创建”。 步骤 2 创建密钥对。 新建一个密钥对，用于远程登录节点时的身份认证。 1. 登录弹性云服务器ECS控制台。 2. 选择左侧导航中的“密钥对”，单击右上角“创建密钥对”。 3. 输入密钥对名称后，单击“确定”。 4. 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 为保证安全，私钥只能下载一次，请妥善保管，否则将无法登录节点。 步骤 3 创建负载均衡。 弹性负载均衡将作为服务网格对外访问入口，被服务网格管理的应用流量，均从此实例进入并分发到后端服务。 1. 登录弹性负载均衡ELB控制台。 2. 单击右上角的“创建弹性负载均衡”。 3. 所属VPC、子网请选择步骤1中创建的虚拟私有云和子网，其他参数根据界面提示填写，单击“立即创建”。 步骤 4 创建集群。 1. 登录云容器引擎CCE控制台。 2. 选择左侧导航中的“资源管理 > 集群管理”，单击右上角“创建CCE集群”。 3. 在“服务选型”页面设置如下参数，其余参数均采用默认值。 集群名称：用户自行输入，此处设置为“cceasm”。 虚拟私有云、所在子网：选择步骤1中创建的虚拟私有云和子网。 4. 单击“下一步：创建节点”，配置添加节点的参数。除节点规格和登录方式外，其余参数保持默认。 节点规格：vCPUs为4核，内存为8GB。 说明 此规格为部署Bookinfo应用所需的最小资源。 如果在创建网格中创建的网格版本为1.3.0，则此处的节点规格需要选择8核16GB。为了保证sidecar的稳定性，1.3.0版本网格默认每个sidecar的CPU限制为1核，内存限制为512M，因此需要更多资源。 登录方式：选择步骤2中创建的密钥对，用于远程登录节点时的身份认证。 5. 单击“下一步：安装插件”，在“安装插件”步骤中选择要安装的插件。 “系统资源插件”为必装插件，“高级功能插件”可根据实际需求进行选择性安装。 6. 单击“下一步：配置确认”，阅读使用说明并勾选“我已知晓上述限制”，确认所设置的服务选型参数、规格等信息。 7. 确认订单无误后，单击“提交”，集群开始创建。 集群创建预计需要610分钟，您可以单击“返回集群管理”进行其他操作或单击“查看集群事件列表”后查看集群详情。

本章节主要介绍翼MapReduce服务的集群管理功能。 集群生命周期管理 翼MR支持集群的生命周期管理包括创建集群和删除集群。 创建集群：支持用户定制集群的类型，组件范围，各类型的节点数、虚拟机规格、可用区、VPC网络、认证信息，翼MR将为用户自动创建一个符合配置的集群，全程无需用户参与；同时支持用户在集群中运行自定义内容；支持快速创建多应用场景集群，比如创建Hadoop分析集群、HBase集群、Kafka集群。大数据平台同时支持部署异构集群，在集群中存在不同规格的虚机，允许在CPU类型，硬盘容量，硬盘类型，内存大小灵活组合。在集群中支持多种虚机规格混合使用。 删除集群：当按需计费的集群不再需要时（包括集群中的数据和配置），用户可以选择删除集群，翼MR会将集群相关的资源全部删除。 创建集群 通过在翼MR服务管理面，客户可以按需创建翼MR集群，通过选择集群所建的区域及使用的云资源规格，一键式创建适合企业业务的翼MR集群。翼MR服务会根据用户选择的集群类型、版本和节点规格，帮助客户自动完成企业级大数据平台的安装部署和参数调优。 翼MR服务为客户提供完全可控的大数据集群，客户在创建时可设置虚拟机的登录方式（密码或者密钥对），所创建的翼MR集群资源完全归客户所用。同时翼MR支持在最小可在两节点4U8G的ECS上部署大数据集群，为客户测试开发提供更多的灵活选择。 翼MR集群类型包括分析集群、流式集群和混合集群。 分析集群：用来做离线数据分析，提供的是Hadoop体系的组件。 流式集群：用来做流处理任务，提供的是流式处理组件。 混合集群：既可以用来做离线数据分析，又可以用来做流处理任务，提供的是Hadoop体系的组件和流式处理组件。 自定义：根据业务需求，可以灵活搭配所需组件（翼MR 3.x及后续版本）。 翼MR集群节点类型包括Master节点、Core节点和Task节点。 Master节点：集群中的管理节点，分布式系统的Master进程和Manager以及数据库均部署在该节点；该类型节点不可扩容。该类型节点的处理能力决定了整个集群的管理上限，MRS服务支持将Master节点规格提高，以支持更大集群的管理。 Core节点：支持存储和计算两种目标的节点，可扩容、缩容。因承载的数据存储，因此在缩容时，为保证数据不丢失，有较多限制，无法进行弹性伸缩。 Task节点：仅用于计算的节点，可扩容、缩容。因只承载计算任务，因此可以进行弹性伸缩。 翼MR创建集群方式支持自定义创建集群和快速创建集群两种。 自定义创建集群：自定义创建可以灵活地选择计费模式、配置项，针对不同的应用场景，可以选择不同规格的弹性云服务器，全方位贴合您的业务诉求。 快速创建集群：用户可以根据应用场景，快速创建对应配置的集群，提高了配置效率，更加方便快捷。当前支持快速创建Hadoop分析集群、HBase集群、Kafka集群。 − Hadoop分析集群：Hadoop分析集群完全使用开源Hadoop生态，采用YARN管理集群资源，提供Hive、Spark离线大规模分布式数据存储和计算，SparkStreaming、Flink流式数据计算，Presto交互式查询，Tez有向无环图的分布式计算框等Hadoop生态圈的组件，进行海量数据分析与查询。 − HBase集群：HBase集群使用Hadoop和HBase组件提供一个稳定可靠，性能卓越、可伸缩、面向列的分布式云存储系统，适用于海量数据存储以及分布式计算的场景，用户可以利用HBase搭建起TB至PB级数据规模的存储系统，对数据轻松进行过滤分析，毫秒级得到响应，快速发现数据价值。 − Kafka集群：Kafka集群使用Kafka和Storm组件提供一个开源高吞吐量，可扩展性的消息系统。广泛用于日志收集、监控数据聚合等场景，实现高效的流式数据采集，实时数据处理存储等。

本文向您介绍企业版VPN如何排查连接状态显示“未连接”的问题。 故障现象 在“虚拟专用网络 >企业版VPN连接”页面，VPN连接状态显示为“未连接”。 可能原因 VPN连接两端的连接配置不正确。 安全组和客户设备侧ACL配置不正确。 处理步骤 检查VPN连接两端的连接配置 确认两端配置的网关IP参数是否为镜像。 VPN网关的主/备EIP可以选择“虚拟专用网络 > 企业版VPN网关”，在网关IP栏下查看。 客户设备侧网关的公网IP可以选择“虚拟专用网络 > 企业版对端网关”，在网关IP栏下查看。 确认IKE策略、IPsec策略协商参数是否一致。 IKE策略、IPsec策略协商参数可以选择“虚拟专用网络 > 企业版VPN连接”，单击“修改策略配置”查看。 确认预共享密钥是否一致。 预共享密钥无法在云上直接查看。如果不确认预共享密钥，建议根据客户设备侧的预共享密钥对VPN连接的预共享密钥进行重置。 可以选择“虚拟专用网络 > 企业版VPN连接”，选择“更多 > 重置密钥”进行重置。 如果连接模式采用策略模式，请确认两端策略规则中的源网段和目的网段是否为镜像。 策略规则可以选择“虚拟专用网络 > 企业版VPN连接”，单击“修改连接信息”查看。 如果连接模式采用静态路由模式且云侧开启了NQA功能，请确认客户设备侧是否已经正确配置Tunnel隧道的IP地址。 是否开启NQA功能，可以选择“虚拟专用网络 > 企业版VPN连接”，单击VPN连接名称，在“基本信息”页签查看“检测机制”。 客户设备侧在VPN连接已设置的Tunnel隧道的IP地址，可以选择“虚拟专用网络 > 企业版VPN连接”，单击“修改连接信息”，查看本端接口地址和对端接口地址。VPN连接的本端接口地址和对端接口地址需要和客户设备的本端接口地址和对端接口地址互为镜像配置。 如果连接模式采用BGP路由模式，请确认两端的BGP ASN是否为镜像。 VPN网关的BGP ASN可以选择“虚拟专用网络 > 企业版VPN网关”，单击VPN网关名称，在“基本信息”页签查看。 客户设备侧网关的BGP ASN可以选择“虚拟专用网络 > 企业版对端网关”，在BGP ASN栏下查看。 检查安全组和客户设备侧ACL配置 确认default安全组已经放通客户设备侧公网IP的UDP协议端口500和4500。 default安全组查看步骤如下： 1. 选择“虚拟专用网络 > 企业版VPN网关”，单击关联的VPC名称。 2. 单击VPC对应的路由表。 3. 单击路由表的名称。 4. 找到VPN网关主或备EIP的下一跳，单击下一跳名称。 5. 在“关联安全组”页签，检查端口放通情况。 确认客户设备侧安全组已经放通VPN网关主备EIP的UDP协议端口500和4500。

在态势感知（专业版）的已购资源中可统一呈现当前账号已经申请的资源，方便统一管理已购资源。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“已购资源”，进入已购资源管理页面。 4. 在已购资源页面查看详细信息。 总览： 已开通区域/总区域：当前账号已开通态势感知（专业版）的区域。 可升级：当前账号的所有已购版本中，可以升级的资源数量。 将到期版本：即将到期的规格及增值包数量。 总配额：当前账号已购买的总配额数量。 各区域具体购买态势感知（专业版）资源的详细情况。

本文介绍容器安全卫士防护配置类常见问题。 标准版支持设置单条防护规则的防护状态吗？ 支持。 标准版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。 标准版支持对同一节点下发不同防护策略吗？ 不支持。默认使用“默认策略”进行防护，创建策略时已生成防护策略的节点是不可重复选择的。若想重新配置策略，需要先解绑已有策略，然后再重新绑定。 标准版支持入侵检测规则自定义吗？ 支持。可以在“容器安全 > 策略管理”中进行自定义，包括命令执行、网络活动、读写文件、文件内容。 标准版镜像安全扫描支不支持仓库镜像扫描？ 支持。除了支持天翼云仓库以外，还支持Harbor、JFrog、Huawei、Huawei CCE Agile、AWS、Aliyun、Registry、Microsoft。

本节介绍态势感知（专业版）支持的区域。 区域 态势感知（专业版）（旧版） 态势感知（专业版）（新版） :: 华东地区 杭州 √ 华南地区 深圳 √ 华南地区 广州4 √ √ 华南地区 武汉2 √ 华南地区 苏州 √ √ 西北地区 西安2 √ 西南地区 贵州 √ 西南地区 成都3 √ 北方地区 华北 √