本文介绍文件完整性保护功能的约束限制和使用流程。 文件完整性保护功能可实时监控主机上的文件，对创建文件、修改文件、删除文件及文件提权操作进行监控和告警，可帮助用户及时发现非预期的文件变更，及时发现可能遭受的攻击。 约束限制 请先购买旗舰版配额并绑定主机后，才能正常使用文件完整性保护功能。 使用流程 流程 说明 设置检测规则 默认对系统关键文件、文件路径、文件目录进行实时监控，用户也可以自定义配置监控路径。 查看并处理告警 查看文件变更结果并对结果进行处理。

您需要在部署天翼云TeleDB数据库之前，规划相关的硬件、网络及基础环境。 1. 先准备好介质独立部署，为方便快速部署，TelePG从1.5.3版本开始支持独立部署功能。前期准备好介质，部署好zk，部署好mysql，借助TelePG控制台进行部署。 2. 通过集团云翼平台直接订购开通部署。 3. 流复制是PostgreSQL 9.0 之后提供的新的传递 WAL 日志的方法。通过流复制，备库不断的从主库同步相应的数据，并在备库应用每个 WAL 文件 。主备模式推荐采用同步及潜在同步至少三节点的方式。 4. 暂不支持自动建立database，需用户手动建立database；支持自动建schema，用户可不用手动建立schema。 内存分配 1.shared buffer pool，共享内存区域：供 PostgreSQL 服务器的所有进程使用。查看 sharedbuffers 参数可以得到其设置值，建议设为内存的四分之一。 2.WAL buffer，预写日志缓冲区：WAL 数据在写入持久存储之前的缓冲区,实例初始化时自动计算。 3.commit log，提交日志：所有事务的状态日志，每个事务占用 2bit，最大512MB。 4.tempbuffers，临时表缓冲区。 5.workmem，工作内存：执行器在执行 sort、distinct 使用该区域对元组做排序，以及存储 merge join、hash join 多表连接的数据，受最大连接数 maxconnections 参数影响，建议用户 session 级别进行设置，不要全局设置。 6.maintenanceworkmem，维护内存：某些类型的维护操作使用该区域（如vacuum、reindex）。 注意 按照小系统上云oltp应用保守设置，如果是大数据、数据仓库，需要再此基础按照测试重新优化调整较大参数值。 最大内存估算可参考如下表： 项目 值（MB） 备注 maxconnections 100 默认值为100 workmem 4 默认值为4，最小值64KB tempbuffers 8 默认值为8，最小值800KB sharedbuffers 128 默认值为8，最小值128KB autovacuummaxworkers 3 默认值为3 maintenanceworkmem 64 默认值为64MB，最小值为1MB。 commit log 48 每个事务2bits,autovacuumfreezemaxage,默认为2亿。 maxconnectionsworkmem+maxconnectionstempbuffers+sharedbuffers+（autovacuummaxworkersmaintenanceworkmem）+clog 1568 wal buffers1 autovacuumworkmem1 操作系统配置规范： 关闭 CPU 的节能模式。 关闭 NUMA。 建议使用 UTF8。 设置时间时区，建议主机工程师设置时间同步服务。 关闭其他服务： systemctl stop tuned.service ktune.service systemctl stop firewalld.service systemctl stop postfix.service systemctl stop avahidaemon.socket systemctl stop avahidaemon.service systemctl stop atd.service systemctl stop bluetooth.service systemctl stop wpasupplicant.service systemctl stop accountsdaemon.service systemctl stop atd.service cups.service systemctl stop postfix.service systemctl stop ModemManager.service systemctl stop debugshell.service systemctl stop rtkitdaemon.service systemctl stop rpcbind.service systemctl stop rngd.service systemctl stop upower.service systemctl stop rhsmcertd.service systemctl stop rtkitdaemon.service systemctl stop ModemManager.service systemctl stop mcelog.service systemctl stop colord.service systemctl stop gdm.service systemctl stop libstoragemgmt.service systemctl stop ksmtuned.service systemctl stop brltty.service systemctl stop avahidnsconfd.service 数据库高可用telePG 数据库高可用telePG组件服务器，bios层需要关闭numa，关闭电源保护模式设置CPU为最大性能模式，让其不降频，cat /proc/cpuinfo grep E "model nameMHz"CPU型号、频率一致。 参数类型 配置项 说明 操作系统内核参数配置 sysctl vm.swappiness5 5~10可选，但不可能阻止使用swap空间 操作系统内核参数配置 vm.minfreekbytes1024000 保证系统空闲内存维持在一定水平，同时保障内存管理low和min水位之间有足够间隔 操作系统内核参数配置 fs.aiomaxnr40960000 aiomaxnr no of process per DB no of databases 4096 操作系统内核参数配置 vm.dirtyratio20 vm.dirtybackgroundratio5 vm.dirtywritebackcentisecs100 vm.dirtyexpirecentisecs500 可选，这个参数指定了当文件系统缓存脏页数量达到系统内存百分之多少时（如5%）就会触发pdflush/flush/kdmflush等后台回写进程运行，将一定缓存的脏页异步地刷入外存 操作系统内核参数配置 vm.vfscachepressure150 vm.swappiness10 vm.minfreekbytes524288">> /etc/sysctl.d/99sysctl.conf && sysctl system 可选，该参数表示内核回收用于directory和inode cache内存的倾向。缺省值100表示内核将根据pagecache和swapcache，把directory和inode cache保持在一个合理的百分比；降低该值低于100，将导致内核倾向于保留directory和inode cache；增加该值超过100，将导致内核倾向于回收directory和inode cache 操作系统内核参数配置 fs.filemax 76724200 该参数表示文件句柄的最大数量。文件句柄设置表示在linux系统中可以打开的文件数量 操作系统内核参数配置 net.core.rmemmax 4194304 最大的TCP数据接收缓冲 操作系统内核参数配置 net.core.wmemmax 2097152 最大的TCP数据发送缓冲 操作系统内核参数配置 net.core.wmemdefault 262144 表示接收套接字缓冲区大小的缺省值(以字节为单位） 操作系统内核参数配置 net.core.rmemdefault 262144 表示发送套接字缓冲区大小的缺省值(以字节为单位) 操作系统内核参数配置 net.ipv4.tcpsyncookies 1 当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭。 操作系统内核参数配置 net.ipv4.tcptwreuse 1 允许将TIMEWAIT sockets重新用于新的TCP连接，默认为0，表示关闭 操作系统内核参数配置 net.ipv4.tcptwrecycle 1 TCP连接中TIMEWAIT sockets的快速回收，默认为0，表示关闭，注意如果是natnat网络，并与net.ipv4.tcptimestamps 1组合使用，则会出现时断时续的情况 操作系统内核参数配置 net.ipv4.tcpfintimeout 30 修改系統默认的TIMEOUT 时间，避免服务器被大量的TIMEWAIT拖死 操作系统内核参数配置 net.ipv4.iplocalportrange 9000 65000 如果连接数本身就很多，可以再优化一下TCP的可使用端口范围，进一步提升服务器的并发能力，默认值是32768到61000 操作系统内核参数配置 net.ipv4.tcpmaxsynbacklog 8192 SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连接的网络连接数 操作系统内核参数配置 net.ipv4.tcpmaxtwbuckets 5000 系统同时保持TIMEWAIT的最大数量，如果超过这个数字，TIMEWAIT将立刻被清除并打印警告信息，默认为180000 操作系统内核参数配置 net.ipv4.conf.all.rpfilter 0 net.ipv4.conf.all.arpfilter 0 net.ipv4.conf.default.rpfilter 0 net.ipv4.conf.default.arpfilter 0 net.ipv4.conf.lo.rpfilter 0 net.ipv4.conf.lo.arpfilter 0 net.ipv4.conf.em1.rpfilter 0 net.ipv4.conf.em1.arpfilter 0 net.ipv4.conf.em2.rpfilter 0 net.ipv4.conf.em2.arpfilter 0 网卡的设置 操作系统内核参数配置 kernel.shmmni 4096 这个内核参数用于设置系统范围内共享内存段的最大数量。该参数的默认值是4096 。通常不需要更改kernel.sem 250 32000 100 142 操作系统内核参数配置 kernel.shmall 1073741824 该参数表示系统一次可以使用的共享内存总量(以页为单位)。缺省值是2097152，可根据kernel.shmmax大小进行调整（kernel.shmmax/41024或者kernel.shmmax/81024） 操作系统内核参数配置 kernel.shmmax 4398046511104 该参数定义了共享内存段的最大尺寸(以字节为单位)，此值默认为物理内存的一半 操作系统内核参数配置 kernel.sysrq 0 如无需调试系统排查问题，这个必须为0 telepg的 limits.conf配置 telepg soft nofile1048576 telepg的 limits.conf配置 telepg soft memlock 1 telepg的 limits.conf配置 telepg hard memlock 1 telepg的 limits.conf配置 telepg hard memlock 128849018880 telepg的 limits.conf配置 telepg soft memlock 128849018880 telepg的 limits.conf配置 telepg soft core6291456 telepg的 limits.conf配置 telepg hard core6291456 telepg的 limits.conf配置 telepg hard nproc131072 telepg的 limits.conf配置 telepg soft nproc131072 telepg的 limits.conf配置 telepg hard nofile 1048576 telepg的 limits.conf配置 telepg hard stack 32768 telepg的 limits.conf配置 telepg soft stack 10240 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/enabled 禁用透明大页 echo never> /sys/kernel/mm/transparenthugepage/defrag 网络连通性 确保组件和集群内的网络联通。 确保与相关联组件的网络连通。 确保防火墙关闭。

本节主要介绍动态创建快照的步骤。 前提条件 已经创建HBlock相关的PVC，且对应的HBlock卷为Local模式。 在执行此操作之前，请确保源卷的所有数据已持久化，即如果源卷已被客户端挂载，需确保客户端的数据都已经同步到卷上。创建快照前： 如果是block模式的卷：在客户端执行sync命令。 如果是filesystem模式的卷：如果客户端支持sync f（可以通过sync help命令查看是否支持），在客户端执行sync f命令；否则在客户端执行sync命令。 操作步骤 1. 创建VolumeSnapshotClass的YAML配置文件。 plaintext apiVersion: snapshot.storage.k8s.io/v1 kind: VolumeSnapshotClass metadata: If there is a conflict with other VolumeSnapshotClass, you can change it to another name name: csidynamicsnapclass Set to the actual driver name driver: stor.csi.k8s.io deletionPolicy: Delete VolumeSnapshotClass的YAML配置文件参数： 参数 描述 是否必填 metadata.name VolumeSnapshotClass的名称。 是 driver HBlock CSI驱动名称。 取值：HBlock CSI安装时的驱动名称。 是 2. 创建VolumeSnapshot的YAML配置文件。 plaintext apiVersion: snapshot.storage.k8s.io/v1 kind: VolumeSnapshot metadata: name: csidynamicsnapshot Set to the actual namespace namespace: default spec: If there is a conflict with other VolumeSnapshotClass, you can change it to another name volumeSnapshotClassName: csidynamicsnapclass source: persistentVolumeClaimName: csipvclocal VolumeSnapshot的YAML配置文件参数： 参数 描述 是否必填 metadata.name CSI中快照的名称。 是 metadata.namespace 命名空间。 取值：HBlock CSI安装时绑定的Kubernetes命名空间名称。 是 spec.volumeSnapshotClassName VolumeSnapshotClass的名称。 是 spec.source.persistentVolumeClaimName CSI中PVC的名字。 是 3. 应用VolumeSnapshotContent和VolumeSnapshot的配置文件。 plaintext kubectl apply f VolumeSnapshotClass.yaml kubectl apply f VolumeSnapshot.yaml 4. 查看快照。 plaintext kubectl get volumesnapshot [snapshotName] [ n namespace ] kubectl describe volumesnapshot snapshotName [ n namespace ]

本章节介绍分片变更的三个常用场景。 概述 分片变更是DRDS的一项核心功能，通过增加数据节点数或者增加分片数，提高数据存储能力和并发支持能力。可解决随着业务增长，逻辑库对应的物理存储空间不足问题。分片变更过程对业务影响相对较小，可在不影响您业务使用的情况下快速解决业务在快速发展的过程中针对数据库扩展性产生的后顾之忧与运维压力。 应用场景 1.分片数不变，增加数据节点数量 此种变更方式不改变当前分片数，只增加数据节点数量。将原数据节点的部分分片平移到新增数据节点上，分片数据进行平移，数据相对位置不需要重新分布，所以变更速度为三种变更方式中最快的一种。推荐您优先使用此方式进行分片变更。 适用于水平拆分业务后业务规模快速增长的场景，可在业务初期减少成本。 也适用于RDS for MySQL实例无法满足存储空间, 读写性能的场景。 分片数不变，增加RDS for MySQL实例数量示意图 2.增加分片数不增加数据节点数量 增加分片数不增加数据节点数量。此种情况分片总数、分表总数、分表规则都会发生变化，数据将重新分布到不同的分片中，广播表分片数量增加。 适用于单个物理表数据量过大, 查询性能受到限制, 但是整体RDS for MySQL实例可用空间充足的场景。 增加分片数不增加RDS for MySQL实例数示意图 3.增加分片数也增加数据节点数量 既增加分片数也增加数据节点数量。此种情况分片总数、分表总数、分表规则都会发生变化，数据将重新分布到不同的分片中，广播表分片数量增加。 适用于RDS for MySQL实例无法满足存储空间, 读写性能，且单个物理表数据量过大, 查询性能受到限制的场景。 既增加分片数也增加RDS for MySQL实例数示意图

视频地址 在【视频地址】标签卡，可以看到该视频条目下的原始视频和所有转码后视频（如下图所示）。 其中原始视频位于列表首位，每一个转码后视频将按照转码完成时间降序排列。每个转码后视频，在该页展示的名称为该视频对应转码模版的名称。 在列表中，每个视频都会展示封装格式、视频宽、高、码率等基础元数据信息。 您可以点击【视频预览】播放相关视频。需要注意，由于浏览器对部分视频编码格式存在版权限制，因此在预览框可能会提示“该视频格式不支持”或出现有声音无图像等现象。此时并不意味着该视频损坏。您可以使用播放器客户端预览视频。 您也可以点击【复制地址】获得当前视频的URL地址。需要注意，当您的点播实例存储桶设置为【公共读】时，你获得的URL地址为不带签名的地址。当您的点播实例存储桶设置为【私有】时，你获得的URL地址为携带签名的地址，且该地址的有效期不超过24小时。为保护您的音视频文件的安全，云点播的点播实例存储桶在设置为【私有】时，不允许签名的有效期大于7天。如您需要在自己的播放网站上发布播放地址，请勿使用云点播控制台的【复制地址】功能获得播放地址。应该使用云点播的SDK或API生成相关预签名的发布地址。详情可查看签名应用及示例（V2版本）、鉴权签名及示例（V4版本）和对视频文件进行签名。

本文为您详细介绍Qwen2.572BInstruct模型。 模型简介 Qwen2.5系列发布了许多基本语言模型和指令调整语言模型，参数范围从0.5到720亿个参数不等。Qwen2.572BInstruct模型是Qwen2.5系列大型语言模型指令调整版本。 使用场景 Qwen2.5 系列模型在自然语言理解、文本生成、编程能力、数学能力等方面都有显著提升。可以应用于聊天机器人和虚拟助手、内容创作和编辑、教育和学习辅助、编程辅助、数学问题解决等多种场景。 评测效果 Qwen2.572BInstruct 型号提供卓越的性能，甚至在几项关键任务中超过了更大的 Llama3.1405B。Qwen2.572BInstruct 在数学 （MATH： 83.1）、编码 （LiveCodeBench： 55.5） 和聊天 （ArenaHard： 81.2） 方面表现出色。与其基本型号 Qwen2.572B 及其前身 Qwen272BInstruct 相比，Qwen2.572BInstruct 展示了所有任务的全面改进。 Datasets MistralLarge2 Instruct Llama3.170BInstruct Llama3.1405BInstruct Qwen272BInstruct Qwen2.572BInstruct MMLUPro 69.4 66.4 73.3 64.4 71.1 MMLUredux 83.0 83.0 86.2 81.6 86.8 GPQA 52.0 46.7 51.1 42.4 49.0 MATH 69.9 68.0 73.8 69.0 83.1 GSM8K 92.7 95.1 96.8 93.2 95.8 HumanEval 92.1 80.5 89.0 86.0 86.6 MBPP 80.0 84.2 84.5 80.2 88.2 MultiPLE 76.9 68.2 73.5 69.2 75.1 LiveCodeBench 23052409 42.2 32.1 41.6 32.2 55.5 LiveBench 0831 48.5 46.6 53.2 41.5 52.3 IFeval strictprompt 64.1 83.6 86.0 77.6 84.1 ArenaHard 73.1 55.7 69.3 48.1 81.2 AlignBench v1.1 7.69 5.94 5.95 8.15 8.16 MTbench 8.61 8.79 9.08 9.12 9.35

本文为您详细介绍Qwen2.572BInstruct模型。 模型简介 Qwen2.5系列发布了许多基本语言模型和指令调整语言模型，参数范围从0.5到720亿个参数不等。Qwen2.572BInstruct模型是Qwen2.5系列大型语言模型指令调整版本。 使用场景 Qwen2.5 系列模型在自然语言理解、文本生成、编程能力、数学能力等方面都有显著提升。可以应用于聊天机器人和虚拟助手、内容创作和编辑、教育和学习辅助、编程辅助、数学问题解决等多种场景。 评测效果 Qwen2.572BInstruct 型号提供卓越的性能，甚至在几项关键任务中超过了更大的 Llama3.1405B。Qwen2.572BInstruct 在数学 （MATH： 83.1）、编码 （LiveCodeBench： 55.5） 和聊天 （ArenaHard： 81.2） 方面表现出色。与其基本型号 Qwen2.572B 及其前身 Qwen272BInstruct 相比，Qwen2.572BInstruct 展示了所有任务的全面改进。 Datasets MistralLarge2 Instruct Llama3.170BInstruct Llama3.1405BInstruct Qwen272BInstruct Qwen2.572BInstruct MMLUPro 69.4 66.4 73.3 64.4 71.1 MMLUredux 83.0 83.0 86.2 81.6 86.8 GPQA 52.0 46.7 51.1 42.4 49.0 MATH 69.9 68.0 73.8 69.0 83.1 GSM8K 92.7 95.1 96.8 93.2 95.8 HumanEval 92.1 80.5 89.0 86.0 86.6 MBPP 80.0 84.2 84.5 80.2 88.2 MultiPLE 76.9 68.2 73.5 69.2 75.1 LiveCodeBench 23052409 42.2 32.1 41.6 32.2 55.5 LiveBench 0831 48.5 46.6 53.2 41.5 52.3 IFeval strictprompt 64.1 83.6 86.0 77.6 84.1 ArenaHard 73.1 55.7 69.3 48.1 81.2 AlignBench v1.1 7.69 5.94 5.95 8.15 8.16 MTbench 8.61 8.79 9.08 9.12 9.35

服务部署支持在推理场景将平台预置模型和模型仓库模型部署为模型在线服务。 前置条件 如果预置镜像不满足开发要求，需要基于自有镜像，需要完成镜像文件准备，详见我的镜像。 如果需要使用代码包，需要完成代码包准备，详见我的代码包。 创建在线服务 1. 登录训推智算服务平台。 2. 创建在线服务入口： 入口一：在左侧菜单选择“模型服务”“服务部署”，点击“部署模型”，进入在线服务创建页面。 入口二：在左侧菜单选择“模型管理”，点击模型卡片的“部署”，进入在线服务创建页面。 3. 当前模型部署支持将不同来源、不同类型的模型转化为可对外提供服务的模型应用，满足多样化的业务场景需求： 自定义部署：部署的模型来自于模型管理中用户通过开发机和训练任务生成的个性化的自有模型，或者是平台预置模型。选择“我的模型”列表下的目标模型文件，要求客户对自有模型的训练逻辑、 部署时的资源规格有清晰的认知，否则会直接影响部署效果。“我的模型”只适用于单机部署，如果想使用多机部署，请选择”预置模型“。 参数名 说明 服务名称 必填，在线服务名称。 模型文件 选择自定义配置，则可选择模型管理中“我的模型”或者“预置模型”下的模型文件。 模型选择 选择模型管理中的“我的模型”或者“预置模型”文件，挂载到容器内路径。 镜像来源 支持选择系统预置镜像、自定义镜像、他人分享镜像和镜像地址输入。 代码包选择 非必填，可以选择目标代码包。 环境变量 输入变量名称和值。 运行命令 必填，用以启动镜像的运行命令和端口号（例如：启动镜像的运行命令脚本。示例如下：cd /work/mount/code

本节介绍了管理共享云硬盘的相关内容。 如何使用VBD和SCSI共享云硬盘？ 您可以创建VBD类型的共享云硬盘和SCSI类型的共享云硬盘。建议将共享云硬盘挂载至位于同一个反亲和性云主机组内的ECS，以提高业务可靠。 ● VBD类型的共享云硬盘：创建的共享云硬盘默认为VBD类型，该类型云硬盘可提供虚拟块存储设备，不支持SCSI锁。当您部署的应用需要使用SCSI锁时，则需要创建SCSI类型的共享云硬盘。 ● SCSI类型的共享云硬盘：SCSI类型的共享云硬盘支持SCSI锁。 说明 ● 为了提升数据的安全性，建议您结合云主机组的反亲和性一同使用SCSI锁，即将SCSI类型的共享云硬盘挂载给同一个反亲和性云主机组内的ECS。 ● 如果ECS不属于任何一个反亲和性云主机组，则不建议您为该ECS挂载SCSI类型的共享云硬盘，否则SCSI锁无法正常使用，并且会导致您的数据面临风险。 反亲和性和SCSI锁的相关概念： 1. 云主机组的反亲和性：ECS在创建时，将会分散地创建在不同的物理主机上，从而提高业务的可靠性。 2. SCSI锁的实现机制：通过SCSI Reservation命令来进行SCSI锁的操作。如果一台ECS给云硬盘传输了一条SCSI Reservation命令，则这个云硬盘对于其他ECS就处于锁定状态，避免了多台ECS同时对云硬盘执行读写操作而导致的数据损坏。 3. 云主机组和SCSI锁的关系：同一个云硬盘的SCSI锁无法区分单个物理主机上的多台ECS，因此只有当ECS位于不同物理主机上时才可以支持SCSI锁，因此建议您结合云主机组的反亲和性一起使用SCSI锁命令。

本文介绍内容审核产品的API调用指南。 1.选择产品聚合页 点击【产品人工智能】，选择【内容审核】，打开对应的产品聚合页。 2.打开帮助中心 点击【产品文档】，跳转到对应的产品文档，产品文档中【API参考】章节介绍了API调用的相关说明。 3.查看API的请求地址 API的请求地址格式为：{终端节点地址}+{对应接口URL}。 3.1终端节点地址 3.2对应接口URL 以图片鉴黄为例，选择【API参考API图片鉴黄】，右侧即可查看URL。 4.查看接口文档 以图片鉴黄为例：点击【API参考API】，选择【图片鉴黄】，右侧即可查看、请求方法、接口要求、请求URL、请求参数、返回值说明、状态码等信息。 5.构造请求 点击【API参考如何调用API】，选择【构造请求】。 6.认证鉴权 在帮助中心菜单中点击【认证鉴权】，可根据右侧步骤完成认证鉴权。 具体步骤：信息的获取——基本签名流程——创建待签名字符串——构造动态密钥——签名应用及示例。 7.调试接口并查看状态码 调试后，如果API返回状态码为200，表示请求成功，API调试结束。

项 目 约束和限制 多版本对象迁移 默认只迁移源端多版本对象中的最新版本，不支持迁移历史版本的对象存储数据。 迁移范围 目前单个任务（迁移任务）仅支持迁移单桶数据，如果涉及多桶数据迁移，需要创建多个任务。 迁移任务 同一用户，单个Region内并发任务数最大为5。24小时内，单个Region内最多创建迁移任务数为5000个。 对象列表文件 对象列表文件大小不能超过1024MB。 对象列表文件必须是“.txt”类型的文件，并且该文件元数据中的“ContentType”只能为：“text/plain”。 对象列表文件必须是UTF8无BOM格式编码格式。 对象列表文件中每行只能包含一个对象名称，并且对象名称使用URL Encode编码。 对象列表文件中每行不要添加无效空格，否则会将空格作为对象名，导致迁移失败。 对象列表文件中每行长度不要超过65535，否则会导致迁移失败。 对象列表文件的元数据中不能设置“ContentEncoding”，否则会导致迁移失败。 迁移失败列表文件 单个任务失败对象列表最多记录10万个失败对象。 字符限制 暂不支持中文、中文符号迁移（无论是否经过编码）。 迁移速度 迁移速度受源端对象个数、大小，带宽以及公网传输距离影响，实际最大迁移速度为单个任务平均速度的5倍（单个Region内并发任务数最大为5） 复杂业务拉起、支撑限制 迁移复杂业务时，需要记录业务关联信息，并根据需求按业务系统进行迁移、切换、测试；应用切换时，需要停止相关业务进程，以保持一致性。切换完成后，也需相关熟悉业务人员进行测试验证，以此减少业务停机时间。 特定需求限制 如果存在涉密文件、需要保持IP不变等特定需求，需要通过工单进行技术咨询，以满足相应需求。

本章节主要介绍视图管理 新建视图 您可以在数据管理服务界面新建视图。 操作步骤 1、登录管理控制台。 2、单击管理控制台右上角的，选择区域和项目。 3、单击页面左上角的，选择“数据库 > 数据管理服务”，进入数据管理服务页面。 4、在左侧导航栏中，单击“开发工具”，进入开发工具页面。 5、选择需要登录的目标数据库实例，单击操作列表中的“登录”，登录目标数据库实例。 6、在顶部导航栏选择“库管理”， 7、在页面右上方“当前所在库”右侧单击“切换库”，切换目标数据库。 8、在对象列表页签下选择“视图”，单击页面左上侧“新建视图”。 9、在新建视图编辑页面，设置模板模板，设置完成单击“应用模板参数”。 10、单击“保存”，创建视图。 删除视图 如果您不再需要某个视图，可以手动删除该视图。 操作步骤 1、登录管理控制台。 2、单击管理控制台右上角的，选择区域和项目。 3、单击页面左上角的，选择“数据库 > 数据管理服务”，进入数据管理服务页面。 4、在左侧导航栏中，单击“开发工具”，进入开发工具页面。 5、选择需要登录的目标数据库实例，单击操作列表中的“登录”，登录目标数据库实例。 6、在顶部导航栏选择“库管理”， 7、在页面右上方“当前所在库”右侧单击“切换库”，切换目标数据库。 8、在对象列表页签下选择“视图”，在右侧操作栏单击“删除视图”。 9、在删除视图弹窗中单击“是”，即可删除该视图。 打开视图 您可以通过数据管理服务界面查看视图中的数据详情。

本文为您介绍GPU云主机的产品定义。 GPU云主机是基于GPU的应用于视频解码、图形渲染、深度学习、科学计算等多种场景的计算服务。天翼云GPU云主机采用业界先进的GPU硬件，让客户享受极致性能体验的同时，获得最佳性价比。目前提供基于NVIDIA GRID虚拟化技术的图形加速基础型（G系列）和基于硬件直通技术的计算加速型（P系列）两类。 为什么选择GPU云主机 GPU云主机规格族相比于其他弹性云主机规格族，增加了GPU计算力，与CPU相比，GPU的特点如下： 维度 GPU CPU 核心数量 数千个 几十个 运算单元 拥有大量擅长处理大规模并发计算的算术运算单元 拥有数量较少但强大的算术运算单元 逻辑控制单元 相对简单 复杂 缓存 少量缓存 大量缓存 适用场景 计算密集，相似度高，且多线程并行 逻辑复杂，串行运算 GPU云主机与自建GPU服务器对比 ： 优势 GPU 云主机 自建 GPU 服务器 弹性 分钟级快速创建 。 同规格族内灵活升降配。 云盘、带宽等产品可按需扩容。 建设周期长，且建设完成后硬件配置无法灵活变更。 易用 提供和标准云主机一致的使用方式和管理功能。 与多种云产品无缝接入。 清晰的 GPU 驱动的安装、部署指引。 运营维护成本高、难度大。 安全 通过隧道技术实现100%二层网络隔离，实现安全隔离。 配置安全组和网络ACL，实现云主机和子网层面的访问控制，满足不同行业客户的安全隔离需要。 很难阻止MAC欺骗和ARP攻击，需额外购买基础安全防护服务。 成本 提供包周期和按需两种计费方式，用户可根据自身业务情况灵活选择。 无法按需购买，一次投入成本巨大。

本文主要介绍消息队列 Kafka 发布者的最佳实践，从而帮助您更好的使用该产品。 文中的最佳实践基于消息队列 Kafka 的 Java 客户端；对于其它语言的客户端，其基本概念与思想是通用的，但实现细节可能有差异，仅供参考。 Kafka 发送示例代码片段 Key 和 Value Kafka 0.10.0.0 的消息字段只有两个：Key 和 Value。Key 是消息的标识，Value 即消息内容。为了便于追踪，重要消息最好都设置一个唯一的 Key。通过 Key 追踪某消息，打印发送日志和消费日志，了解该消息的发送和消费情况。 失败重试 在分布式环境下，由于网络等原因，偶尔的发送失败是常见的。导致这种失败的原因有可能是消息已经发送成功，但是 Ack 失败，也有可能是确实没发送成功。 消息队列 Kafka 是 VIP 网络架构，会主动掐掉空闲连接（30 秒没活动），也就是说，不是一直活跃的客户端会经常收到 “connection rest by peer” 这样的错误，因此建议都考虑重试消息发送。 异步发送 发送接口是异步的；如果你想得到发送的结果，可以调用metadataFuture.get(timeout, TimeUnit.MILLISECONDS)。 线程安全 Producer 是线程安全的，且可以往任何 Topic 发送消息。通常情况下，一个应用对应一个 Producer 就足够了。 Acks Acks的说明如下： acks0，表示无需服务端的 Response，性能较高，丢数据风险较大； acks1，服务端主节点写成功即返回 Response，性能中等，丢数据风险中等，主节点宕机可能导致数据丢失； acksall，服务端主节点写成功，且备节点同步成功，才返回 Response，性能较差，数据较为安全，主节点和备节点都宕机才会导致数据丢失。 一般建议选择 acks1，重要的服务可以设置 acksall。

操作场景 环境变量是指容器运行环境中设定的一个变量，环境变量可以在工作负载部署后修改，为工作负载提供极大的灵活性。 CCE中设置的环境变量与Dockerfile中的“ENV”效果相同。 在CCE中，您可以通过三种方式来添加环境变量：手动添加、密钥导入、配置项导入。 须知： 容器启动后，容器中的内容不应修改。如果修改配置项（例如将容器应用的密码、证书、环境变量配置到容器中），当容器重启（例如节点异常重新调度pod）后，会导致配置丢失，业务异常。 配置信息应通过入参等方式导入容器中，以免重启后配置丢失。 手动添加 步骤 1 创建工作负载时，添加容器镜像后，展开“环境变量”，单击“添加环境变量”。 步骤 2 根据实际需求，设置如下参数。 类型：手动添加。 变量名称：自定义填写变量名称，如demo。 变量/变量引用：输入变量的值，如value。 密钥导入 步骤 1 您需要先创建密钥，详细步骤请参见创建密钥。 步骤 2 创建工作负载时，添加容器镜像后，展开“环境变量”，单击“添加环境变量”。 步骤 3 根据实际需求，设置如下参数。 类型： 密钥导入。 变量名称： 自定义填写变量名称。 变量/变量引用： 请选择对应的密钥名称和键。 密钥导入 配置项导入 步骤 1 您需要先创建配置项，详细步骤请参见创建配置项。 步骤 2 创建工作负载时，添加容器镜像后，展开“环境变量”，单击“添加环境变量”。 步骤 3 根据实际需求，设置如下参数。 类型： 配置项导入。 变量名称： 自定义填写变量名称。 变量/变量引用： 请选择对应的配置项名称和键。 配置项导入

本文介绍如何应用事件总线EventBridge的事件流功能实现分布式消息服务Kafka的消息路由。 前提条件 开通事件总线EventBridge并授权。 开通分布式消息服务Kafka并创建最少两个主题。 背景信息 事件流作为更轻量、实时端到端的流式事件通道，提供轻量级的流式数据的过滤和转换的能力，在不同的数据仓库之间、数据处理程序之间、数据分析和处理系统之间进行数据同步。源端分布式消息服务Kafka生产的消息可以通过事件流这个通道被路由到目标端的分布式消息服务Kafka。 步骤一：创建事件流 1. 登录事件总线EventBridge控制台。 2. 在左侧导航栏，单击事件流。 3. 在事件流页面，单击创建事件流。 4. 在创建事件流面板，设置任务名称和描述，配置以下参数，然后单击保存。 a.在Source（源）配置向导，选择数据提供方为分布式消息服务Kafka ，设置以下参数，然后单击下一步。 参数 说明 示例 Kafka实例 选择Kafka实例。 instancexxx Kafka Topic 选择Kafka topic。 topicxxx Group 选择消费组。 快速创建 消费位点 选择消费位点。 最新位点 b.在Filtering（过滤）配置向导，设置事件过滤规则，单击下一步。 c.在Sink（目标）配置向导，选择服务类型为分布式消息服务Kafka，配置参数，单击保存，如图1所示。 参数 说明 示例 Kafka实例 选择Kafka实例。 instancexxx Kafka Topic 选择Kafka topic。 topicxxx 消息体（value） 提取事件中的数据。 $.data.value 消息键值（key） 提前事件中的key到目标。 $.data.key 图1 创建事件流时目标类型选择分布式消息服务Kafka 5. 创建事件流后，会有30秒~60秒的延迟时间，您可以在事件流页面的状态栏查看启动进度。

本文介绍如何应用事件总线EventBridge的事件流功能实现消息路由至函数计算。 前提条件 开通事件总线EventBridge并授权。 开通函数计算并创建对应函数。 开通分布式消息服务Kafka并创建最少两个主题。 背景信息 事件流作为更轻量、实时端到端的流式事件通道，提供轻量级的流式数据的过滤和转换的能力，在不同的数据仓库之间、数据处理程序之间、数据分析和处理系统之间进行数据同步。源端分布式消息服务Kafka生产的消息可以通过事件流这个通道被路由到目标端的函数计算，并触发函数。 步骤一：创建事件流 1. 登录事件总线EventBridge控制台。 2. 在左侧导航栏，单击事件流。 3. 在事件流页面，单击创建事件流。 4. 在创建事件流面板，设置任务名称和描述，配置以下参数，然后单击保存。 a.在Source（源）配置向导，选择数据提供方为分布式消息服务Kafka ，设置以下参数，然后单击下一步。 参数 说明 示例 Kafka实例 选择Kafka实例。 instancexxx Kafka Topic 选择Kafka topic。 topicxxx Group 选择消费组。 快速创建 消费位点 选择消费位点。 最新位点 b.在Filtering（过滤）配置向导，设置事件过滤规则，单击下一步。 c.在Sink（目标）配置向导，选择服务类型为函数计算，配置以下参数，单击保存。 参数 说明 示例 函数 选择函数。 funxxx 函数版本或别名 选择函数版本或别名。 版本/LATEST 执行方式 选择执行函数的方式：同步或异步。 同步 事件 选择调用到函数的事件内容，更多内容请参考事件内容转换。 完整事件 5. 创建事件流后，会有30秒~60秒的延迟时间，您可以在事件流页面的状态栏查看启动进度。

本文为您介绍了什么是短信模板以及短信模板的相关示例，帮助您快速了解短信模板。 短信模版 即具体发送的短信内容，可以支持验证码、短信通知两种模式。验证码和短信通知，可通过变量替换实现个性短信定制。 短信模版需要审核通过后才可以使用。不同短信模板的单价不同，更多信息，请参见产品定价。 模板格式 短信模板由变量和模板内容构成。模板变量以变量形式提供针对不同手机号码的短信定制方式，在模板中设置变量后，发送短信时指定变量的实际值，短信服务会自动用实际值替换模板变量，并发送短信，实现短信的定制化。 名称 示例 :: 一条完整的短信 【天翼云】您正在申请手机注册，验证码为：${code}，5分钟内有效！ 模板内容 您正在申请手机注册，验证码为：${code}，5分钟内有效！ 模板变量 ${code} 模板类型 短信分类如下： 验证码 短信通知 各种短信类型的详细说明，请参见应用场景。 模板规范 文本短信模板需要遵循相关的模板规范。更多信息，请参见模板规范。 模板示例 类型 短信示例 短信签名 短信模板 短信变量 ::::: 验证码短信 【天翼云】您正在申请手机注册，验证码为：${code}，5分钟内有效！ 【天翼云】 您正在申请手机注册，验证码为：${code}，5分钟内有效！ ${code} 短信通知 【天翼云】尊敬的${name}，您购买的云主机实例：${instanceid}，已于${duedate}正式到期。如您要继续使用，请于${date}前及时续费或重新购买。 【天翼云】 尊敬的${name}，您购买的云主机实例：${instanceid}，已于${duedate}正式到期。如您要继续使用，请于${date}前及时续费或重新购买。 ${name} ${instanceid} ${duedate} ${date}

本章节主要介绍数据仓库服务如何订阅告警通知。 用户可通过订阅DWS 的告警通知，在特定告警级别告警时收到短信、电子邮件或应用等方式的通知消息。 创建订阅 1.登录DWS管理控制台。 2.在左侧导航树，单击“告警管理”，切换至“订阅”页签。 3.在页面左上角单击“创建订阅”按钮。 4.在“订阅设置”区域，设置订阅基本信息及告警过滤。 订阅参数 参数名 参数解释 是否开启 设置是否开启告警订阅。 表示开启告警订阅。表示关闭告警订阅。关闭后停止发送已订阅告警的通知消息，但不会删除该订阅。 订阅名称 设置订阅告警的名称。 名称只能包含大写字母、小写字母、数字、和，且必须由大写字母、小写字母或数字开头。 名称长度为1～256字符。 告警级别 选择订阅告警的级别：紧急、重要、次要和提示。 5.“订阅告警列表”区域显示系统根据订阅设置筛选出的告警。在“消息通知主题名称”下拉框中，选择一个消息通知主题。 如需创建新主题，请单击“创建新主题”按钮，系统将跳转到消息通知服务控制台页面。 说明 所选择的消息通知主题，必须已授予DWS 服务向该主题发布消息的权限。如果所选主题尚未给DWS 授权，请前往消息通知服务的主题管理页面设置主题策略授权。设置主题策略时，“可发布消息的服务”需勾选“DWS”。 6.确认无误后，单击“确定”，完成创建订阅。

本节主要介绍审计 开通云审计服务 如果您需要收集、记录或者查询API网关服务的操作日志，用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景时，需要先开通云审计服务。 云审计服务包含以下功能： 记录审计日志 审计日志查询 审计日志转储 事件文件加密 关键操作通知 查看审计日志 如果需要查看审计日志，可查看日志追踪事件。 图 查看日志 查看关键操作列表 通过云审计服务，您可以记录与API网关相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的API Gateway操作列表 操作名称 资源类型 事件名称 ::: 创建API分组 apigApiGroups createApiGroup 删除API分组 apigApiGroups deleteApiGroup 修改API分组属性 apigApiGroups updateApiGroup 为API分组解除访问次数限制 apigApiGroups deleteApiGroupLimit 为API分组添加访问次数限制 apigApiGroups updateApiGroupLimit 添加API接口 apigApis createApi 删除API接口 apigApis deleteApi 修改API接口 apigApis updateApi 发布API接口 apigApis publishApi 下线API接口 apigApis offlineApi 为APP授权 apigAppAuths grantAuth 解除APP授权 apigAppAuths relieveAuth 创建环境 apigEnvs createEnvironment 删除环境 apigEnvs deleteEnvironment 修改环境信息 apigEnvs updateEnvironmentInfo 创建环境变量 apigEnvVariables createVariable 删除环境变量 apigEnvVariables deleteVariable 创建Acl黑白名单 apigAcls createAcl 删除Acl黑白名单 apigAcls deleteAcl 更新Acl黑白名单 apigAcls updateAcl 向黑白名单添加值 apigAcls addAclValue 从黑白名单移除值 apigAcls deleteAclValue 添加api与acl绑定关系 apigAclBindings createAclApply 删除api与acl绑定关系 apigAclBindings relieveAclApply 添加流控策略 apigThrottles createThrottle 删除流控策略 apigThrottles deleteThrottle 修改流控策略 apigThrottles updateThrottle 为API绑定流控策略 apigThrottleBindings createThrottleApiBinding 为API解除流控策略 apigThrottleBindings relieveThrottleApiBinding 为APP授权 apigAppAuths grantAuth 解除APP授权 apigAppAuths relieveAuth 创建APP apigApps createApp 删除APP apigApps deleteApp 更新APP apigApps updateApp 重置APP密钥 apigApps resetAppSecret

本章主要介绍翼MapReduce的更新集群密钥功能。 操作场景 在安装集群时，系统将自动生成加密密钥key值以对集群的部分安全信息（例如所有数据库用户密码、密钥文件访问密码等）进行加密存储。在集群安装成功后，如果原始密钥不慎意外泄露或者需要使用新的密钥，系统管理员可以通过以下操作手动更改密钥值。 对系统的影响 更新集群密钥后，集群中新增加一个随机生成的新密钥，用于加密解密新保存的数据。旧的密钥不会删除，用于解密旧的加密数据。在修改安全信息后，例如修改数据库用户密码，新密码将使用新的密钥加密。 更新集群密钥需要停止集群，集群停止时无法访问。 前提条件 已确认主备管理节点IP。请参见登录管理节点。 停止依赖集群运行的上层业务应用。 操作步骤 1.登录FusionInsight Manager。 2.选择“集群 > 待操作集群的名称 > 停止”，输入当前登录的用户密码确认身份。 在确认停止的对话框单击“确定”，等待界面提示停止成功。 3.以omm用户登录主管理节点。 4.执行以下命令，防止超时退出。 TMOUT0 说明 执行完本章节操作后，请及时恢复超时退出时间，执行命令 TMOUT 超时退出时间 。例如： TMOUT600 ，表示用户无操作600秒后超时退出。 5.执行以下命令，切换目录。 cd ${BIGDATAHOME}/omserver/om/tools 6.执行以下命令，更新集群密钥。 sh updateRootKey.sh 根据界面提示，输入 y ： The root key update is a critical operation. Do you want to continue?(y/n): 界面提示以下信息表示更新密钥成功： Step 41: The key save path is obtained successfully. ... Step 44: The root key is sent successfully. 7.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 启动”。 在弹出窗口中单击“确定”，等待界面提示启动成功。

本节介绍了XEN实例变更为KVM实例(Linux自动配置)的操作场景、约束与限制、操作流程、后续处理。 操作场景 Linux操作系统XEN实例变更为KVM实例前，必须已完成必要的驱动安装和配置。 本节操作指导您使用自动化脚本的方式为Linux云主机安装驱动、配置磁盘自动挂载等，并将XEN实例变更为KVM实例。 说明 XEN实例：S1、C1、C2、M1型弹性云主机。 KVM实例：参考 为了同时支持XEN虚拟化和KVM虚拟化，Linux弹性云主机的正常运行需依赖于xenpv驱动、virtio驱动等。XEN实例变更为KVM实例前，需要确保Linux弹性云主机已完成相关配置，包括安装驱动、配置磁盘自动挂载等。 约束与限制 Linux操作系统云主机如果存在由多个物理卷组成的LVM逻辑卷或组建了RAID磁盘阵列，均不支持变更规格，否则可能会导致数据丢失。 对于XEN实例，当挂载的VBD磁盘超过24块时，不支持将规格变更为KVM实例。 系统支持将“XEN实例”变更为“KVM实例”，不支持将“KVM实例”变更为“XEN实例”。 操作流程 XEN实例变更为KVM实例的操作流程如下图所示。 图 Linux云主机变更流程（自动配置） 具体的变更操作如下表所示。 表 XEN实例变更为KVM实例（自动配置） 序号 任务 :: 步骤1 步骤1：制作系统盘快照 步骤2 步骤2：使用脚本自动安装驱动 步骤3 步骤3：变更规格 步骤4 （可选）步骤4：检查磁盘挂载状态 步骤1：制作系统盘快照 如果云主机未安装驱动就执行了变更规格的操作，云主机无法正常使用，需要重装操作系统才能恢复，可能造成您的系统盘数据丢失。因此，建议您先制作系统盘快照，防止数据丢失。创建快照参考 ~/resizeecsmodifylinux.sh 其中，URL为规格变更优化脚本的下载地址。 3. 执行以下命令，运行脚本，该脚本会自动检查并安装原生xenpv驱动、virtio驱动。 bash resizeecsmodifylinux.sh 图 运行脚本 4. 请耐心等待脚本运行结束。 该脚本在确认驱动安装成功后会自动为云主机设置标签，标记驱动安装成功，没有设置标签的云主机无法执行变更规格的操作。 如果回显提示“{镜像名称} already contain xen and virtio driver”，表示检查并安装驱动成功。 回显提示“Success to set kvm meta!”或“this server already has kvm meta.”，表示设置标签成功，请继续执行步骤3：变更规格。 回显提示“Failed to set metadata, please try again”，表示设置标签失败，可稍后重试执行脚本。 如果安装失败请参考XEN实例变更为KVM实例（Linux手动配置）手动配置或者联系客服寻求技术支持。 您可以执行步骤3：变更规格。否则，请尝试重新运行脚本或联系客服寻求技术支持。 图 运行成功 说明 请务必确保云主机配置成功，否则，可能会导致变更规格后的弹性云主机不可用。如果安装失败请参考 脚本安装失败常见问题请参考： 步骤3：变更规格 1. 登录控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表，查询待变更弹性云主机状态。 如果不是关机状态，单击“操作”列下的“更多 > 关机”。 4. 单击“操作”列下的“更多 > 变更规格”。 系统进入“云主机变更规格”页面。 5. 根据界面提示，选择变更后的云主机类型、vCPU和内存。 6. （可选）选择“专属主机”。 对于在专属主机上创建的弹性云主机，系统支持更换云主机所在的专属主机。 此时，您可以单击下拉列表，选择更换专属主机。如果下拉列表中无可用的专属主机，说明专属主机所剩资源不足，不能用于创建变更规格后的弹性云主机。 7. 勾选复选框“我确认已完成对弹性云主机的配置”，确认已完成“配置弹性云主机”操作。 8. 单击“确定”。 说明 如果变更规格失败后，弹性云主机无法使用，可能会需要重装操作系统来恢复云主机，请注意重装操作系统会清除系统盘数据，但不影响数据盘的数据。 （可选）步骤4：检查磁盘挂载状态 XEN实例变更为KVM实例时，可能会发生磁盘挂载失败的情况，因此，变更规格后，需检查磁盘挂载状态是否正常。如果正常，则变更成功。 Linux弹性云主机 详细操作请参考Linux弹性云主机变更规格后磁盘脱机怎么办？

参数 描述 取值说明 取值示例 msec 以秒为单位的时间，日志写入时的分辨率为毫秒。 浮点型数据 1530153091.868 accesslogtopicid 访问日志流ID。 uuid 04465dfa640f45678b5845c9f8bbc23f timeiso8601 日志写入时的时间，采用ISO 8601标准格式本地时间。 20180628T10:31:31+08:00 logver ELB服务日志版本号。 固定值：elb01 elb01 remoteaddr: remoteport 客户端IP地址：客户端端口。 记录客户端IP地址和客户端端口号。 10.184.30.170:59605 status ELB响应的状态码。 记录请求状态码。 200 requestmethod scheme://host requesturi serverprotocol 请求方法。请求方式：//主机名：请求URI请求协议。 l requestmethod：请求方法。 l scheme: http或https。 l host:主机名，可能为域名或者IP。 l requesturi： 浏览器发起的不做任何修改的原生URI。不包括协议及主机名。 POST requestlength 从客户端收到的请求长度（包括请求header和请求body）。 整型数据 295 bytessent 发送到客户端的字节数 。 整型数据 58470080 bodybytessent 发送到客户端的字节数（不包括响应头）。 整型数据 58469792 requesttime 请求处理时间，即ELB收到第一个客户端请求报文到ELB发送完响应报文的时间间隔（单位：秒）。 浮点型数据 499.769 upstreamstatus 从上游服务器获得的响应状态码，当ELB代理进行请求重试时会包含多个响应的状态码，当请求未被正确转发到后端云主机时此字段为。 后端返回给ELB的状态码 200 或者", 200"，或者"502, 502 : 200"，或者"502 : " upstreamconnecttime 与上游服务器建立连接所花费的时间，时间以秒为单位，分辨率为毫秒。当ELB代理进行请求重试时会包含多个连接的时间，当请求未被正确转发到后端云主机时此字段为。 浮点型数据 0.008或者", 0.008"，或者"0.008, 0.005 : 0.004"，或者"0.008 : " upstreamheadertime 从上游服务器接收响应头所花费的时间，时间以秒为单位，分辨率为毫秒。当ELB代理进行请求重试时会包含多个响应时间，当请求未被正确转发到后端云主机时此字段为。 浮点型数据 0.008或者", 0.008" ，或者"0.008, 0.005 : 0.004"，或者"0.008 : " upstreamresponsetime 从上游服务器接收响应所花费的时间，时间以秒为单位，分辨率为毫秒。当ELB代理进行请求重试时会包含多个响应时间，当请求未被正确转发到后端云主机时此字段为。 浮点型数据 0.008或者", 0.008" ，或者"0.008, 0.005 : 0.004"，或者"0.008 : " upstreamaddr 后端主机的IP地址和端口号。可能有多个值，每个值都是ip:port或者，用逗号空格隔开。 （该参数适用于独享型负载均衡） IP地址+端口号 ，192.168.1.2:8080（可能有多个值，每个值都是ip:port或者,用逗号空格隔开） httpuseragent ELB收到请求头中的httpuseragent内容，表示客户端的系统型号、浏览器信息等。 记录浏览器的相关信息 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36 httpreferer ELB收到请求头中的httpreferer内容，表示该请求所在的页面链接。 页面链接请求 httpxforwardedfor ELB收到请求头中的httpxforwardedfor内容，表示请求经过的代理服务器IP地址。 IP地址 10.154.197.90 lbname 负载均衡器的名称（格式为“loadbalancer”+“负载均衡器ID”）。 字符串 loadbalancer789424af3fd242928c622a2dd7005175 listenername 监听器的名称（格式为“listener”+“监听器ID”）。 字符串 listenerfde03b66f960440e954a0be8b2b75093 listenerid 监听器在ELB服务内部的ID（客户可忽略）。 字符串 poolname 后端主机组名称（格式为“pool”+“后端主机组ID”）。 字符串 pool066a5dc5a3e44ea199f12a5716b681f6 membername 后端云主机的名称（格式为“member”+“服务器ID”，尚未支持）。可能有多个值，每个值都是memberid或者，用逗号空格隔开。 字符串 member47b07465075a4d2f8ce90b9f39bff160(可能有多个值，每个值都是memberid或者，用逗号空格隔开) tenantid 租户ID。 字符串 04dd36f921000fe20f95c00bba986340 eipaddress:eipport 弹性IP地址和监听器监听的端口号。 弹性IP地址和监听器监听的端口号。 4.17.12.248:443 upstreamaddrpriv 后端主机的IP地址和端口号。可能有多个值，每个值都是ip:port或者，用逗号空格隔开。 （该参数适用于共享型负载均衡） IP地址+端口号 ，192.168.1.2:8080（可能有多个值，每个值都是ip:port或者,用逗号空格隔开） certificateid [HTTPS监听器]SSL连接建立时使用的证书ID（尚未支持）。 字符串 17b03b19b2cc454e921b4d187cce31dc sslprotocol [HTTPS监听器]SSL连接建立使用的协议，非HTTPS监听器，此字段为。 字符串 TLS 1.2 sslcipher [HTTPS监听器]SSL连接建立使用的加密套件，非HTTPS监听器，此字段为。 字符串 ECDHERSAAES256GCMSHA384 snidomainname [HTTPS监听器]SSL握手时客户端提供的SNI域名，非HTTPS监听器，此字段为。 字符串 www.test.com tcpinfortt ELB与客户端之间的tcp rtt时间，单位：微秒。 整型数据 39032 selfdefinedheader 该字段为保留字段，默认为“”。 字符串

方法二：使用Dockerfile方式构建 如果后续镜像经常变更（例如某个软件更新版本），则需要采用方法二制作镜像。若仍采用方法一制作镜像，则每次变更都需要重新执行方法一的命令，操作过程比较繁琐，所以建议使用自动化制作镜像的方法。 其实就是将方法一制作镜像的方法，用文件方式写出来（文件名为Dockerfile）。然后执行： docker build t test/image:tag. 命令（命令中“.”表示Dockerfile文件的路径），自动完成镜像制作。 简单的Dockerfile示例： 说明 如果依赖外部网络，请搭建网络环境，并保证网络可用。 Version 1.0.1 FROM centos:latest 设置root用户为后续命令的执行者 USER root 执行操作 RUN yum update y RUN yum install y java 使用&&拼接命令 RUN touch test.txt && echo "abc" >>abc.txt 对外暴露端口 EXPOSE 80 8080 1038 添加网络文件 ADD /opt/ 设置环境变量 ENV WEBAPPPORT9090 设置工作目录 WORKDIR /opt/ 设置启动命令 ENTRYPOINT ["ls"] 设置启动参数 CMD ["a", "l"] 设置卷 VOLUME ["/data", "/var/www"] 设置子镜像的触发操作 ONBUILD ADD . /app/src ONBUILD RUN echo "on build excuted" >> onbuild.txt

本文主要介绍Helm v2与Helm v3的差异及适配方案。 随着Helm v2 发布最终版本Helm 2.17.0，Helm v3 现在已是 Helm 开发者社区支持的唯一标准。为便于管理，建议用户尽快将模板切换至Helm v3格式。 当前社区从Helm v2演进到Helm v3，主要有以下变化： 1. 移除tiller Helm v3 使用更加简单和灵活的架构，移除了 tiller，直接通过kubeconfig连接apiserver，简化安全模块，降低了用户的使用壁垒。 2. 改进了升级策略，采用三路策略合并补丁 Helm v2 使用双路策略合并补丁。在升级过程中，会对比最近一次发布的chart manifest和本次发布的chart manifest的差异，来决定哪些更改会应用到Kubernetes资源中。如果更改是集群外带的（比如通过kubectl edit），则修改不会被Helm识别和考虑。结果就是资源不会回滚到之前的状态。 Helm v3 使用三路策略来合并补丁，Helm在生成一个补丁时，会考虑之前老的manifest的活动状态。因此，Helm在使用老的chart manifest生成新补丁时会考虑当前活动状态，并将其与之前老的 manifest 进行比对，并再比对新的 manifest 是否有改动，并进行自动补全，以此来生成最终的更新补丁。 详情及示例请见Helm官方文档： 3. 默认存储驱动程序更改为secrets Helm v2 默认情况下使用 ConfigMaps 存储发行信息，而在 Helm v3 中默认使用 Secrets。 4. 发布名称限制在namespace范围内 Helm v2 只使用tiller 的namespace 作为release信息的存储，这样全集群的release名字都不能重复。Helm v3只会在release安装的所在namespace记录对应的信息，这样release名称可在不同命名空间重用。应用和release命名空间一致。 5. 校验方式改变 Helm v3 对模板格式的校验更加严格，如Helm v3 将chart.yaml的apiVersion从v1切换到v2，针对Helm v2的chart.yaml，强要求指定apiVersion为v1。可安装Helm v3客户端后，通过执行helm lint命令校验模板格式是否符合v3规范。 适配方案 ：根据Helm官方文档 v3模板，apiVersion字段必填。 6. 废弃crdinstall Helm v3删除了crdinstall hook， 并用chart中的crds目录替换。需要注意的是，crds目录中的资源只有在release安装时会部署，升级时不会更新，删除时不会卸载crds目录中的资源。若crd已存在，则重复安装不会报错。 适配方案 ：根据Helm官方文档 当前可使用crds目录或者将crd定义单独放入chart。考虑到目前不支持使用Helm升级或删除CRD，推荐分隔chart，将CRD定义放入chart中，然后将所有使用该CRD的资源放到另一个 chart中进行管理。 7. 未通过helm创建的资源不强制update，releaes默认不强制升级 Helm v3强制升级逻辑变化，不再是升级失败后走删除重建，而是直接走put更新逻辑。因此当前CCE release升级默认使用非强制更新逻辑，无法通过Patch更新的资源将导致release升级失败。若环境存在同名资源且无Helm V3的归属标记app.kubernetes.io/managedby: Helm，则会提示资源冲突。 适配方案 ：删除相关资源，并通过Helm创建。 8. Release history数量限制更新 为避免release 历史版本无限增加，当前release升级默认只保留最近10个历史版本。 更多变化和详细说明请参见Helm官方文档 Helm v2与Helm v3的区别： Helm v2如何迁移到Helm v3：

名称 描述 是否必须 AWSAccessKeyId 根用户或拥有权限的子用户的访问密钥ID。如果请求包含policy，对于V2签名，则此字段为必填字段。 类型：字符串。 条件 CacheControl, ContentType, ContentDisposition, ContentEncoding, Expires 特定于REST的请求头。有关更多信息，请参阅 。 类型：字符串。 否 file 文件或文本内容。文件或文本内容必须是Form表单的最后一个字段。一次只能上传一个文件。 类型：文件或文本内容。 是 key 上传文件的名称。 ${ filename }为用户提供的文件名。例如，如果用户Betty上传的文件名为lolcatz.jpg, 字段值指定为/user/betty/${filename}，那么保存的文件名称将会是/user/betty/lolcatz.jpg。 类型：字符串 是 policy 描述请求中允许的内容的安全策略。对于非匿名请求，policy字段是必须的。 在V2或者V4签名计算中，policy字段是您签名的字符串。 类型：字符串。 条件 signature 使用V2签名计算的签名。如果请求包含policy，对于V2签名，则此字段为必填字段。 signature Base64(HMACSHA1(YourSecrectKey,StringToSign))。 条件 XAmzAlgorithm V4签名算法。如果请求包含policy，对于V4签名，则此字段为必填字段。 取值：AWS4HMACSHA256。 条件 XAmzCredential 用户的accessKeyId和范围信息，范围信息包括请求日期、区域、服务、终止字符串aws4request，格式如下： <youraccesskeyid>/<date>/<region>/<service>/aws4request 其中： date格式为YYYYMMDD。 region： 对于oos api：访问域名为oos xx .ctyunapi.cn，region为 xx 。 对于统计api：访问域名为oos xx mg.ctyunapi.cn，region为 xx mg。 对于操作跟踪api：访问域名为oos xx cloudtrail.ctyunapi.cn，region为 xx 。 对于iam api：访问域名为oos xx iam.ctyunapi.cn，region为 xx 。 说明 各资源池的详细访问域名详见 条件 XAmzDate 日期和时间格式必须遵循ISO 8601标准，并且必须使用“yyyyMMddT HHmmssZ”格式进行格式化。例如，如果日期和时间是“08/01/2018 15：32：41.982700”，则必须首先将其转换为UTC（协调世界时），然后提交为“20180801T083241Z”。 如果请求包含policy，对于V4签名，则此字段为必填字段。 条件 XAmzSignature 使用V4签名计算的签名。如果请求包含policy，对于V4签名，则此字段为必填字段。 xamzsignaturehex(HMACSHA256(SigningKey, StringToSign))。 条件 XAmzsecuritytoken 临时会话使用的安全令牌。使用临时密钥构造V2或者V4签名请求时，此字段为必填字段。 条件 successactionredirect,redirect 上传成功后客户端重定向到的URL。OOS将Bucket、文件名和etag值作为查询字符串参数附加到URL。 如果未指定 successactionredirect，OOS将返回在successactionstatus字段中指定的空文档类型。 如果OOS无法识别用户提供的URL，将忽略该字段。 如果上传失败，OOS将显示错误且不会执行重定向操作。 类型：字符串。 注意 redirect 后续可能会被移除，建议使用 successactionredirect 。 否 successactionstatus 如果没有指定successactionredirect，上传成功后状态代码将返回到客户端。 取值：200、201或204（默认）。 如果值被设置为200或204，OOS将返回一个空文档和一个200或204状态代码。 如果值被设置为201，OOS将返回一个XML文档和一个201状态代码。有关XML文档内容的信息，请参阅POST文件。 如果没有设置值或者设置了无效的值，OOS将返回一个空文档和一个204状态代码。 注意 某些版本的AdobeFlashplayer无法正确处理使用空白正文的HTTP响应。要通过AdobeFlash支持上传，建议您将successactionstatus设置为201。 否 xamzstorageclass 文件的存储类型。 类型：字符串。 取值: STANDARD：标准存储。 STANDARDIA：低频访问存储。 默认值为STANDARD。 否 xamzmeta 任何头以这个前缀开始都会被认为是用户的元数据，当用户检索时，它将会和文件一起被存储并返回。更多信息请参考PUT Object 类型：字符串。 否 xamzwebsiteredirectlocation 如果Bucket配置为网站，重定向对这个文件的请求到相同Bucket的另外一个文件或者到一个其他的URL。OOS会保存这个值到文件的metadata。 下面这个例子表示请求头设置重定向到相同Bucket的另一个文件(anotherPage.html)。 xamzwebsiteredirectlocation: /anotherPage.html 重定向到其他网站的例子： xamzwebsiteredirectlocation: 注意 这个值必须以“/”、 否 xctyundatalocation 文件的数据位置。 注意 香港节点不支持此参数。 类型：keyvalue形式。 取值： 格式为：typeLocal,scheduleStrategy scheduleStrategy 或者typeSpecified,location location ,scheduleStrategy scheduleStrategy type：指定数据位置的类型，取值为Local或者Specified。Local表示就近写入，Specified表示指定位置。如果type取值为Specified，则需要指定具体的数据位置location，location可以填写多个，以逗号分隔： 对于对象存储网络，可取值为：ChengDu、GuiYang、LanZhou、QingDao、SH2、ShenYang、ShenZhen、SuZhou、WuHan、WuHu、WuLuMuQi、ZhengZhou。 对于对象存储网络2，可取值为：NeiMeng1、HangZhou1。 scheduleStrategy：调度策略，取值为： Allowed：允许OOS自动调度数据存储位置。 NotAllowed：不允许OOS自动调度数据存储位置。 否

本节介绍如何导入/导出资产。 操作场景 态势感知（专业版）支持导入云外各种资产，导入后，可以呈现资产的安全状态。同时，还可以将资产信息导出。 约束与限制 仅支持导入.xlsx格式的文件，且单次导入文件大小不超过5MB。 最多支持导出9999条资产信息。 导入资产 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“资产管理 > 资产管理”，进入资产管理页面。 5. 在资产管理页面中，选择对应资产页签，如主机资产、网站、数据库等。 例如，需要导入主机资产，则选择“主机资产”页签。 需要导入部门或业务系统，则选择“部门及业务系统”页签。 6. 导入资产，在资产列表左上方，单击“导入”，弹出导入资产对话框。 导入部门，单击“部门”下方的导入按钮，弹出导入部门对话框。 导入业务系统，单击“业务系统”下方的“导入”按钮，弹出导入业务系统对话框。 7. 在导入资产对话框中，单击“下载模板”，并根据模板填写要求填写待导入资产信息。 在导入部门对话框中，单击“下载模板”，并根据模板填写要求填写待导入部门信息。 在导入业务系统对话框中，单击“下载模板”，并根据模板填写要求填写待导入业务系统信息。 8. 待导入文件信息填写完成后，在导入对话框中，单击“添加文件”，并选择需要导入的Excel文件。 9. 选择完成后，单击“确定”，完成导入。 10. 导入完成后，在左侧导航栏选择“资产管理> 资产管理”，在资产管理页面选择导入资产对应的资产页签，即可在资产列表中查看已导入的资产。

本节介绍了云容器引擎的最佳实践; 集群命名空间RBAC授权。 应用现状 云容器引擎的权限控制有两种：集群权限和命名空间权限，以下篇幅将介绍云容器引擎针对集群权限的ClusterRole的创建、权限绑定和验证做简单介绍。 RBAC（RoleBased Access Control） 是基于角色（Role）的访问控制。您可以通过RBAC将权限和集群角色关联，以达到为不同的角色成员配置不同的权限，从而降低账号的安全风险。RBAC的Kubernetes对象的Role或者ClusterRole中包含一组代表相关权限的规则。Role用来在某个命名空间内设置访问权限，ClusterRole则是用于为集群范围的资源定义访问权限。 权限策略说明 您可自行编写权限策略，或通过云容器引擎的控制台创建自定义策略。 ClusterRole创建 针对您要定义集群范围的角色，那么请使用ClusterRole。下面是一个创建ClusterRole的YAML示例。 apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: clusterRoletest rules: apiGroups: metrics.k8s.io resources: pods verbs: get list watch 关于ClusterRole或者Role的更多信息，请参见Role和ClusterRole。 预置角色权限说明 预置角色 集群内RBAC权限 管理员 对集群所有命名空间下 Kubernetes 资源的 RBAC 读写权限， 对集群节点、存储卷、命名空间、配额的读写权限 运维人员 对集群所有命名空间下控制台可见 Kubernetes 资源的 RBAC 读写权限， 对集群节点、存储卷、命名空间、配额的只读权限 开发人员 对集群所有命名空间或所选命名空间下控制台可见 Kubernetes 资源的 RBAC 读写权限 受限人员 对集群所有命名空间或所选命名空间下控制台可见 Kubernetes 资源的 RBAC 只读权限 自定义 权限由您所选择的 ClusterRole 决定，请在确定所选 ClusterRole 对各类资源的操作权限后再进行授权，以免子账号获得不符合预期的权限

本节介绍了移动办公使用的最佳实践介绍。 天翼AI云电脑支持手机、Pad等多种移动终端，使用3/4/5G、WIFI网络登录AI云电脑，即可随时随地访问AI云电脑资源，随时进行收发文件，及时处理办公问题，实现移动办公。 前提条件 已开通天翼AI云电脑，详情请参见快速订购AI云电脑。 注意事项 天翼AI云电脑支持多终端适配：适配PC、Mac、iOS、安卓等多种终端，多外设支持：鼠标、键盘、打印机、扫描仪等外设无缝衔接（备注：手机、Pad等移动终端不支持USB外设），详情可查看外设兼容性建议清单。 应用场景说明 其常用方式： (1)外出无需携带电脑，通过手机等移动客户端接入AI云电脑进行操作，轻松调用云端资源进行移动办公； (2)天翼AI云电脑客户端支持接入扩展坞、键盘、鼠标等主流外设，与传统PC一致的使用体验。 操作步骤 步骤一：以天翼AI云电脑移动客户端为例，帮助您快速登录连接AI云电脑。步骤详见：登录连接AI云电脑 执行结果 当用户通过手机等移动客户端接入AI云电脑进行操作，轻松调用云端资源进行移动办公。例如：文档编辑，邮件接收和发送，浏览网页，日程办公软件使用等场景都可以轻松实现。 场景一：文档编辑 （1）和传统PC一样，可以在AI云电脑内正常使用文档编辑器，进行文档编辑。 （2）在编辑过程中可以使用AI云电脑内的键盘功能，更便捷的进行编辑输入。 场景二：邮件接收和发送 可以在AI云电脑内通过浏览器或安装邮箱客户端实现邮件的查收和发送。

本节将介绍如何查看模型。 操作场景 模型列表中，可查看当前已有模型的严重程度、名称/ID、管道名称、模型类型、更新时间和创建时间等信息。 前提条件 已新增模型，详细操作请参见新建/编辑模型。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“建模分析 > 智能建模”，进入智能建模的可用模型页面。 5. 在可用模型页面，查看已有模型。 参数名称 参数说明 模型统计 显示可用模型 和活跃模型数量。 严重程度 显示当前已有模型的严重程度统计情况，包含致命、高危、中危、低危、提示级别。 模型列表 模型列表中，显示当前已有模型的严重程度、名称/ID、管道名称、模型类型、更新时间和创建时间等信息。

本节主要介绍如何处理待办任务。 操作场景 当剧本/流程任务执行到某一节点时，任务暂停需人工处理，剧本/流程任务才能继续执行。 前提条件 已触发剧本/流程任务，且任务流程需人工处理。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“态势感知 > 任务中心”，默认进入我的待办页面。 5. 在目标待办任务所在行“操作”列，单击“审批”。 不同业务类型，审批方式不同： 剧本发布：右侧弹出“剧本发布”界面，填写“审核意见”，并根据页面提示进行审批。 流程发布：右侧弹出“流程发布”界面，填写“审核意见”，并根据页面提示进行审批。 剧本节点审核：右侧弹出“剧本节点审核”界面，可选择“继续执行”或“终止”。 6. 审批完成后，在左侧导航栏选择“态势感知> 任务中心”，选择“已处理”页签，进入已处理任务页面，查看已处理任务。

跨云数据库迁移 跨云数据库迁移主要通过公网网络进行，此时分为两步： 1. 购买DTS实例时，在订购页面中，目标库的网络接入类型选择“公网EIP”。 2. 源数据库实例申请公网访问，以阿里云云数据库RDS MySQL为例，一般情况下，阿里云RDS MySQL不提供公网地址，需要通过申请公网地址来允许外部通过公网访问，具体的操作及注意事项可以参考源数据库所在云提供的相关指导。 完成以上两步后，则主要需要针对源数据库实例和DTS实例所在安全组进行检查，具体可参考【同VPC内数据库迁移】的检查方式，其中分别对应源数据库实例的公网IP和DTS实例的公网EIP。 本地数据库迁移 本地数据库迁移主要通过公网网络进行，具体可参考以上【跨云数据库迁移】相关步骤进行操作，其中主要的区别点： 本地数据库要绑定一个公网IP来支持DTS实例通过公网访问。 本地数据库所在机器或者IDC的防火墙要放通DTS实例的公网EIP、本地数据库端口的入方向访问。 安全组规则主要针对DTS实例，可以参考以上【同VPC内数据库迁移】相关说明进行检查，此时为DTS实例的公网EIP。 ECS自建数据库迁移 ECS自建数据库迁移主要需要区分ECS与目标数据库实例所在的VPC的几种场景： 同一个VPC ：网络默认互通，故主要需要针对安全组规则进行检查。 同资源池，不同VPC：首先需要确保ECS所在子网的网段和目标数据库实例所在子网的网段不冲突，然后可以通过对等连接的方式进行网络打通。 不同资源池，不同VPC：不同资源池需要通过公网网络进行访问，故源数据库实例需申请公网IP，DTS实例需使用公网EIP的网络接入模式。 安全组规则可以参考以上【同VPC内数据库迁移】相关说明进行检查。