本章节主要介绍如何快速创建实时分析集群。 本章节为您介绍如何快速创建一个实时分析集群，实时分析集群使用Hadoop、Kafka、Flink和ClickHouse组件提供一个海量的数据采集、数据的实时分析和查询的系统。 集群包含的组件信息实时分析： MRS 3.1.0版本：Hadoop 3.1.1、Kafka 2.112.4.0、Flink 1.12.0、ClickHouse 21.3.4.25、ZooKeeper 3.5.6、Ranger 2.0.0。 快速创建实时分析集群 1.登录MRS管理控制台。 2.单击“创建集群”，进入“创建集群”页面。 3在创建集群页面，选择“快速创建”页签。 4.参考下列参数说明配置集群基本信息，参数详细信息请参考创建自定义集群。 区域：默认即可。 集群名称：可以设置为系统默认名称，但为了区分和记忆，建议带上项目拼音缩写或者日期等。例如：“mrs20201130”。 版本类型：默认选择普通版（不同版本提供的组件有所不同，请根据需要选择版本类型）。 集群版本：默认选择最新版本即可（不同版本集群提供的组件有所不同，请根据需要选择集群版本）。 组件选择：选择“实时分析集群”。 可用区：默认即可。 虚拟私有云：默认即可。如果没有虚拟私有云，请单击“查看虚拟私有云”进入虚拟私有云，创建一个新的虚拟私有云。 子网：默认即可。 CPU架构：默认即可。 集群节点：请根据自身需要选择集群节点规格数量等。MRS 3.x及之后版本集群Master节点规格不能小于64GB。 用户名：默认为“root/admin”，root用于远程登录ECS机器，admin用于登录集群管理页面。 密码：设置root用户和admin用户密码。 确认密码：再次输入设置的root用户和admin用户密码。 5.勾选“确认授权”开通通信安全授权，通信安全授权详情请参考授权安全通信。 6.单击“立即申请”。 当集群开启Kerberos认证时，需要确认是否需要开启Kerberos认证，若确认开启请单击“继续”，若无需开启Kerberos认证请单击“返回”关闭Kerberos认证后再创建集群。 7.单击“返回集群列表”，可以查看到集群创建的状态。单击“访问集群”，可以查看集群详情。 集群创建的状态过程请参见 集群概览章节查看集群状态 部分 集群列表参数中的“状态”参数说明。 集群创建需要时间，所创集群的初始状态为“启动中”，创建成功后状态更新为“运行中”，请您耐心等待。 MRS系统界面支持同一时间并发创建10个集群，且最多支持管理100个集群。

本节介绍注册集群常见问题及其解决方法。 注册集群是否收费？ 接入分布式容器云平台注册集群，其计费项由集群管理服务费与部分关联云资源费用组成。其中，集群管理服务费由分布式容器云平台向您收取，而部分关联云资源产生的费用，则由云资源直接向您收取。 注册集群接入对云下用户集群本身有什么要求？ 注册集群接入对成员集群并无特别要求，理论上只需要确保其符合CNCF规范即可。但为确保接入注册集群后，云上其他关联功能可正常使用，建议参照以下约束规范执行： 云下Kubernetes版本，建议 > 1.19；若考虑后续接入集群联邦使用多集群分发能力，建议云下Kubernetes版本>1.21。 云下容器集群对应发行版符合CNCF规范，例如开源K8S、K3S，或天翼云Anywhere发行版等。 注册集群接入对网络连通性有什么要求？ 天翼云分布式容器云平台注册集群提供公网和内网两种接入方式。默认支持内网方式接入，可通过给注册集群apiserver绑定EIP方式，启用公网接入能力。 在以下场景必须使用内网接入，否则可能导致功能异常： 使用注册集群节点池功能为云下集群扩容天翼云ECS或弹性裸金属服务器。 使用注册集群virtualnode组件为云下集群弹性扩容云上ECI实例。 后续考虑接入集群联邦，通过联邦南北向多集群服务/路由实现流量跨集群自动调度。 请确保云下集群网络可以正常访问注册集群接入端点的9443端口，以及云下集群需可正常访问公网（日志、监控及部分插件，依赖公网访问方式与云上互通）。

同一个Nacos引擎可能会有多个用户共同使用，开启了“安全认证”的Nacos引擎专享版，通过微服务控制台提供的基于RBAC（RoleBased Access Control，基于角色的访问控制）的权限控制功能，使不同的用户根据其责任和权限，具备不同的引擎访问和操作权限。 开启了“安全认证”的Nacos引擎专享版，支持微服务正常接入。 说明 只有引擎版本为2.1.0.1及以上版本支持此功能，若版本低于2.1.0.1，可参考 当Nacos引擎版本为2.1.0升级到2.1.0.1及以上版本时，需要先开启安全认证初始化密钥信息，才可使用权限控制功能。

本章节介绍ECS应用实例的全生命周期管理 概述 本章节介绍ECS应用实例的发布、回滚、启动、停止、重启、重置、删除应用等全生命周期管理。 发布应用 在ECS应用实例创建或ECS应用实例需要重新发布后，您可以点击应用总览页面上的发布应用实例进行部署发布。 如果您发布的应用实例需要升级，您可以点击版本信息页签的操作列发布来升级应用版本。 回滚应用 如果应用实例在升级之后发现有异常，需将应用回滚之前的部署版本时，需在应用总览页面右上角单击回滚应用来回滚应用版本。 启停应用 当应用处于运行状态时，可以根据业务需求停止应用，应用停止后将暂停应用实例的计费和计量 。应用内必须至少包含 1 个应用实例时，才能进行应用启停操作。 启停应用会使所有应用实例都随之一起启停。当应用实例大于1个时，启停应用实例只会影响本应用实例的运行状态；当应用实例只有1个时，启停应用实例会使应用随之启停。 注意 应用停止时，如果应用已绑定私网/公网负载均衡或接入微服务治理和应用监控，所依赖的产品或者服务依然处于计费状态。 启停应用 在应用总览页面右上角单击启动/停止来启停应用。 启停应用实例 您可以在应用总览页面的实例部署信息页签内，单击单个应用实例的启动/停止来启停应用实例。 您可以在应用总览页面的实例部署信息页签内，先勾选多个应用实例，然后单击批量启动/批量停止来批量启停应用实例。

本文向您介绍通过企业版VPN实现云上云下网络互通（主备模式）的操作步骤。 前提条件 云侧 请确认虚拟私有云VPC已经创建完成。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。 操作步骤 VPN服务支持静态路由模式、BGP路由模式和策略模式三种连接模式。本示例以静态路由模式进行配置讲解。 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 配置VPN网关： 1. 选择“虚拟专用网络 > 企业版VPN网关”，单击“创建VPN网关”。 2. 根据界面提示配置参数。 表VPN网关参数说明 参数 说明 取值参数 名称 VPN网关的名称。 vpngw001 网络类型 选择“公网”。 公网 关联模式 选择“虚拟私有云”。 关联ER场景时，请选择“企业路由器”。 虚拟私有云 企业路由器 仅关联场景为“企业路由器”时需要选择。 er001 虚拟私有云 选择用于分配互联子网的VPC。 关联场景为“企业路由器”时，该VPC可以对接ER，也可以不对接ER。 vpc001(192.168.0.0/16) 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 本端子网 仅关联场景为“虚拟私有云”时需要配置。 输入网段 输入需要和用户数据中心通信的子网，该子网可以在关联VPC内，也可以不在关联VPC内。 选择子网 选择关联VPC内的子网信息，用于和用户数据中心通信。 192.168.0.0/24，192.168.1.0/24 BGP ASN BGP自治系统编号。 64512 HA模式 选择“主备”。 主备 主EIP VPN网关和用户数据中心通信的公网IP1。 1.1.1.2 备EIP VPN网关和用户数据中心通信的公网IP2。 2.2.2.2 3. 配置对端网关： 1. 选择“虚拟专用网络 > 企业版对端网关”，单击“创建对端网关”。 2. 根据界面提示配置参数。

为什么在云监控服务看不到监控数据？ 当出现以下情况时，有可能在云监控服务中看不到监控数据： 购买云服务资源后，首先确认该服务是否已对接云监控服务，请参考支持监控的服务列表。 已对接云监控的服务，由于各个服务采集上报监控数据的频率各有不同，请耐心等待一段时间。 弹性云服务器或裸金属服务器关机超过1小时以上。 云硬盘没有挂载给弹性云主机或物理机。 弹性负载均衡未绑定后端服务器或者后端服务器全部关机。 资源创建时间不足10分钟。 安装配置成功Agent后，为什么管理控制台没有操作系统监控数据或者显示数据滞后？ 安装配置Agent成功，并且云监控服务管理控制台界面“监控状态”开启开关后，需要等待2分钟，管理控制台上才会有操作系统监控数据。 若“插件状态”为“运行中”，“监控状态”开启，等待5分钟后仍没有操作系统监控数据，则需要排查ECS或BMS时间和管理控制台所在客户端时间是否一致。 Agent上报数据时取的是ECS或BMS的操作系统本地时间，管理控制台下发的请求时间范围是依赖用户客户端浏览器的时间，两者如果不匹配则可能导致管理控制台查不到操作系统监控数据。 修改物理机和监控服务时间一致参考命令： timedatectl settimezone 'Asia/Shanghai'。 为什么云监控服务中的网络流量指标值与弹性云服务器系统内工具检测的指标不同？ 因为云监控服务与弹性云主机系统内指标检测软件的采样周期不同。 云监控服务对弹性云主机、云硬盘的采样周期是4分钟（云主机类型为KVM的是5分钟），而系统内工具的采样周期一般为1秒，远远小于云监控服务的采样周期。 采样周期越大，短期内的数据失真越大。所以云监控服务更适合用于网站长期监测、长期监测运行在弹性云主机内的应用趋势等。 同时，使用云监控服务用户可通过设置阈值对资源进行提前告警，保证资源稳定可靠。

实践 描述 变更规格 当使用的云堡垒机规格不能满足实际需求时，您可以选择对云堡垒机的规格进行变更规格。 系统策略 云堡垒机支持通过执行命令运维数据库，包括数据删除、修改、查看等运维操作。为确保数据库敏感信息的安全，避免关键信息的丢失和泄露，本文针对运维用户访问和运维数据库关键信息，详细介绍了如何设置数据库高危操作的复核审批，以及如何实现关键信息的重点监控。 等保合规 为客户提供一站式的安全解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保合规要求。 系统运维 针对您的服务器资源分布在跨VPC、线下IDC机房、非华为云等跨网络域的场景，华为云堡垒机提供了通过网络代理服务器进行运维的方案，便于您在没有搭建网络专线的情况下，纳管各网络域的各类服务器资源，从而通过华为云堡垒机统一管理、运维您的各类工作负载。 运维审计 云堡垒机可以管控所有的操作，并对所有的操作都进行详细记录。针对会话的审计日志，支持在线查看、在线播放和下载后离线播放。目前支持字符协议（SSH、TELNET）、图形协议（RDP、VNC）、文件传输协议（FTP、SFTP、SCP）、数据库协议（DB2、MySQL、Oracle、SQL Server）和应用发布的操作审计。其中，字符协议和数据库协议能够进行操作指令解析，还原操作指令；文件传输能够记录传输的文件名称和目标路径。

本章节介绍了云主机备份产品的基本概念,包括备份,策略,增强备份,即时恢复,应用一致性等。 备份策略 备份策略指的是对备份对象执行备份操作时，预先设置的策略，策略包括备份策略的名称、备份任务的调度计划和备份数据的保留策略。其中调度计划包括备份执行的频率，备份执行的时间点，备份数据的保留策略包括备份数据的保存时间或保存数量。通过将云主机绑定到备份策略，可以为云主机执行自动备份。 备份 备份即一个备份对象执行一次备份任务产生的备份数据，包括备份对象恢复所需要的全部数据。备份可以通过一次性备份和周期性备份两种方式产生。 云主机备份提供两种配置方式，一次性备份和周期性备份。一次性备份是指用户手动创建的一次性备份任务。周期性备份是指用户通过创建备份策略并绑定云主机的方式创建的周期性备份任务。 一次性备份的备份名称支持用户自定义，也可以采用系统自动生成的名称。一次性备份产生的备份名称为“manualbkxxxx”。 周期性备份的备份名称由系统自动生成。周期性备份产生的备份名称为“autobkxxxx”。 即时恢复 即时恢复支持备份快速恢复云主机数据和备份快速创建镜像，恢复云主机数据和备份创建镜像的时间将大大缩短。 云主机产生的历史备份（特性上线前产生的备份）不支持即时恢复。如需使用即时恢复特性，需要手工执行一次全量备份，同时在创建备份时勾选“全量备份”参数，该全量备份及其后续的增量备份方可支持即时恢复。在即时恢复特性上线前未进行过备份的云主机，在特性上线后在创建手动备份时无需勾选“全量备份”参数，产生的备份即支持即时恢复特性。 产生过历史备份或未进行过备份的云主机，在特性上线后创建成功的自动备份，不支持即时恢复特性。如需使用即时恢复特性，仍需手工执行一次全量备份。

同一个微服务引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的微服务引擎访问和操作权限。开启了“安全认证”的微服务引擎专享版，根据用户接入引擎使用的帐号所关联的角色，赋予该用户不同的微服务引擎访问和操作权限。 安全认证具体内容，请参考系统管理。 您可根据实际业务需要，对微服务引擎专享版执行开启或关闭安全认证操作： 开启安全认证 未开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可开启安全认证。 开启安全认证后，接入该引擎的微服务组件如果没有配置安全认证参数，或者微服务组件配置的安全认证帐号和密码不正确，会导致该微服务组件心跳失败，服务被迫下线。 关闭安全认证 已开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可关闭安全认证。 关闭安全认证后，无论接入该引擎的微服务组件是否配置了安全认证参数，微服务组件的正常业务功能不受影响。 开启安全认证 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 选择待操作的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 步骤 3 在“安全”区域，开启安全认证开关。 如果引擎版本低于1.2.0，执行步骤4。 如果引擎版本为1.2.0及以上版本，执行步骤5。 步骤 4 升级引擎至1.2.0或以上版本。 1. 单击“升级引擎至新版本”。 2. 选择“升级后版本”，查看版本说明，根据需要决定是否升级到该版本后，单击“确定”。 3. 等待升级成功后，单击“返回微服务引擎”。 4. 选择刚升级成功的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 5. 在“安全”区域，开启安全认证开关。 步骤5 在微服务引擎控制台的“系统管理”页面，开启安全认证。 首次开启安全认证，单击“去开启安全认证”。 需先创建root帐号。输入root帐号的“密码”和“确认密码”，单击“立即创建”。 再次开启安全认证，单击“开启安全认证”。 输入引擎中已关联了admin角色的帐号名称及其密码。 步骤 6 （可选）参考角色管理，根据业务需要，创建角色。 步骤 7 （可选）参考帐号管理，根据业务需要，创建帐号。 步骤 8 在微服务引擎控制台的“系统管理”页面，单击“开启安全认证”。 步骤 9 根据提示确认已经完成所有配置后，勾选“确保已配置”。 步骤 10 单击“确定”。 等待微服务引擎更新完成，引擎状态由“配置中”变为“可用”，开启安全认证成功。

本文主要介绍登录云主机后无输入法图标,按住Ctrl+shift键不生效等问题的解决办法。 故障原因 • 工具栏中未开启语言栏。 • 病毒感染，导致系统文件、注册表损坏。 操作步骤 方式一 1. 登录弹性云服务器。 2. 检查右下角任务栏中是否存在输入法的图标。 3. 若不存在输入法图标，请尝试使用Ctrl+Shift查看是否能进行输入法切换，若失败请进行下面操作。 4. 在任务栏的空白处右键后选择：工具栏 >语言栏。 方式二 1. 登录弹性云服务器。 2. 在C:WindowsSystem32中找到ctfmon.exe。 3. 双击执行后查看是否显示输入法图标。 4. 将ctfmon.exe添加到注册表中：在运行窗口中输入regedit进入注册表编辑器，在下图路径HKEYLOCALMACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > Run新建一个注册表文件—ctfmon.exe。 5. 将ctfmon.exe添加到开机自启动中：在运行窗口执行msconfig，查看“启动”中ctfmon项是否已经勾选。 6. 点击应用后重启弹性云服务器可生效。

背景信息： 当云主机异常、网络异常或Agent停止服务时，都会触发监控Agent“心跳检查失败”的问题，导致云主机无监控数据。本文将为您介绍云主机无监控数据的处理办法。 操作步骤 1. 确认云主机状态是否为运行中。只有状态为运行中的云主机，云主机监控Agent才可以正常上报心跳。您可以通过控制台或OpenAPI查询云主机状态信息。 · 云主机状态为运行中：执行下一步。 · 云主机状态非运行中：请对云主机执行开启或重启操作。 注意 若监控异常云主机为GPU（NVIDIA）云主机，需先安装相关驱动后才可查看GPU监控指标。具体查询方法如下： 登录GPU云主机并执行命令 nvidiasmi， 若无次命令返回，请参考 若有次命令返回，请参考后续步骤排查异常。 2. 确认您所在的资源池支持的监控服务版本。若您所在的资源池属于监控Agent概览中，支持安装监控Agent的地区。 · 属于支持监控Agent地区：执行下一步。 · 不属于支持监控Agent地区：请参考Agent管理进行监控Agent安装。 3. 尝试通过重新安装监控Agent来恢复其运行状态。具体操作请参见安装监控Agent。 · 重装成功：结束，云主机监控正常。 · 重装失败：执行下一步。 4. 检查云主机内安装的监控Agent是否运行正常。具体查看查询方法如下： Linux 操作系统 请登录云主机执行以下命令： systemctl status telegraf Windows操作系统 请登录云主机执行以下命令 getService ctyuntelegraf · 监控Agent状态为active或running：执行下一步。 · 监控Agent状态非active或running：请执行重启监控Agent操作，具体操作可参考如何重启监控Agent。 5. 在主机上curl监控的心跳IP地址，检查主机的网络是否正常。登录云主机后执行以下命令： curl 169.254.169.254:10063 · 网络正常：执行下一步。 · 网络异常：请检查云主机是否设置防火墙或其他服务屏蔽监控服务器地址。 6. 收集日志，并提交工单。 · Linux操作系统：/var/log/telegraf/logoferr ·Windows操作系统：C:/Program Files/ctyuntelegraf/telegraf/telegraf.log

本文向您介绍实现Windows云主机文件共享的解决方案。 操作场景 本文介绍实现同一个子网下Windows云主机之间文件共享的方法。 约束和限制 共享文件的云主机在同一个子网下，且网络互通。 操作步骤 本文以Windows Server 2008 标准版64位中文版操作系统云主机为例。 登录云主机。 在云主机右下方的网络图标处，右键点击“打开网络和共享中心”。 图1 打开网络和共享中心 点击“更改高级共享设置”，分别开启“家庭或工作”和“公用”下的“启用文件和打印机共享”，点击“保存修改”。 图2 启用或关闭共享 在CMD窗口执行命令 services.msc，找到TCP/IP NetBIOS Helper 服务，并设置为开启。 若服务处于“禁用”状态，则右键属性，将服务设为“自动”或者“手动”，然后开启服务。 图3 CMD窗口执行命令 图4 开启TCP/IP NetBIOS Helper

本文主要介绍云服务备份的安全。 责任共担 安全性是天翼云与您的共同责任： 天翼云 ：负责云服务自身的安全，提供安全的云。 租户 ：负责云服务内部的安全，安全地使用云。 身份认证与访问控制 用户访问CBR的方式有多种，包括CBR console控制台、API，无论访问方式封装成何种形式，其本质都是通过CBR提供的REST风格的API接口进行请求。 CBR的接口只支持认证请求，需要用户通过天翼云正确的鉴权信息才能访问成功。 数据保护技术 CBR通过多种数据保护手段和特性，保障备份数据安全可靠。 表 CBR的数据保护手段和特性 数据保护手段 简要说明 传输加密（HTTPS） 为保证数据传输的安全性，备份数据存储到OBS桶时采用HTTPS协议。 备份数据加密 当备份的目标磁盘为加密磁盘时，如果磁盘启用备份加密，则备份数据会在加密存储。当用户执行备份恢复时，存储的加密数据会先解密之后再恢复到目标磁盘。 审计与日志 审计 云审计服务（Cloud Trace Service，CTS），是天翼云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录CBR的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪的CBR管理事件和数据事件列表，请参见审计。

此小节介绍云堡垒机应用场景。 任何企业都需要安全运维管理和审计，故任何企业都需要云堡垒机。云堡垒机能适用于各种企业运维场景，特别针对企业员工数量复杂、企业资产数量繁杂、人员运维权限交叉、企业运维方式多样等场景。 严要求的审计合规场景 例如保险和金融行业，具有大量个人信息数据和金融资金操作行为，以及大量第三方机构代为运作，可能存在巨大违规操作、滥用职权等非法运作风险。 通过在云上部署云堡垒机系统，单点登录入口，集中管理账户和资源，部门权限隔离，核心资产多人审核授权，敏感操作二次复核授权，健全的运维审计机制，能够为高风险行业提供严要求审计功能，满足行业监管要求。 高效稳定的运维场景 例如极速发展的互联网企业，大量经营数据等敏感信息，暴露在公网，且由于服务高度公开，存在高度数据泄露风险。 云堡垒机在远程运维过程中，隐藏资产真实地址，解决远程运维资产信息暴露问题。同时提供全面的运维日志，为审计运维和代运维人员的操作行为，提供有效监控，减少网上安全事故，助力企业长久稳定发展。 大量资产和人员管理场景 随着民生政务和传统企业集团的上云管理，云上人员账户数量不断增加，以及云上服务器、网络设备等资产数量也成倍增涨。同时很多企业为解决人力不足的问题选择把系统运维转交给系统供应商或第三方代维商进行，由于涉及提供商、代维商过多，人员复杂流动性又大，对操作行为缺少监控带来的风险日益凸显。 云堡垒机针对大量用户和大量资产，可海量容纳庞大人员和资源数据，运维人员单点登录，解决运维人员维护多台资产效率低，易出错的问题。同时通过制定细粒度权限控制，资源操作全程记录，可审计全量用户操作行为，并对事故问题进行有效追溯，确保有效定责。此外，系统桌面实时呈现运维全景，并可接收异常行为告警通知，确保人员无法越权操作。

参数项 说明 所属团队 实例添加成功后的归属团队。 实例名称 实例在DMS中展示的别名。 环境 环境标识，例如开发、测试、预发、生产等。 数据来源 实例的来源，如云数据库，公网/直连数据库 数据库类型 数据类型，如MySQL、PostgreSQL、SQL Server、DRDS、DDS。 地域/资源池 云数据库的所属资源池。 云数据库 云数据库的基本信息，含IP、端口，可勾选隐藏实例地址。 数据库账号 用于登录该实例的数据库账号。 数据库密码 登录账号的密码。 管控规则 仅限组织为企业版时显示，可设置当前实例的管控规则。 SQL规范 仅限组织为企业版时显示，可设置当前实例的SQL规范。 最大连接数 可设置当前用户能获取到的数据库最大连接数。

概述 插件是云原生网关的扩展机制，用于增强网关功能，支持动态加载，能够在请求的不同阶段（如请求处理、转发、响应）执行自定义逻辑。API分组可绑定插件，绑定后插件将应用于该分组下的所有API。此外，插件支持环境隔离，仅在所绑定的特定环境中生效。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > 分组管理。 绑定插件 分组只能绑定路由级插件，需先在路由级插件页面创建插件。然后在分组管理页面，点击分组右侧省略号中的插件管理 进入插件绑定页面。选择对应环境后，点击绑定插件按钮，进入绑定插件弹窗，将所需插件添加到右侧区块，点击确定后即可完成批量绑定。每个分组只能绑定一个同类型插件，若已有同类型插件，本次绑定会覆盖。同时，同类型插件中，API绑定的优先级高于分组绑定的插件。 解绑插件 插件支持解绑，在分组插件管理页面，可单个、也可批量进行插件解绑。

本章节介绍媒体存储对象存储的访问方式。 媒体存储 对象存储支持多种访问方式，包括：通过永久密钥访问、通过临时密钥访问、通过临时URL访问。 通过永久密钥访问 对象存储支持认证请求与匿名请求。匿名请求通常用于需要公开访问的场景。认证请求通过永久访问密钥授权后才可以进行访问。永久访问密钥包括AK和SK。AK可唯一标识媒体存储的用户，媒体存储根据AK/SK确认请求者身份，并进行权限检查。 用户可通过天翼云统一身份认证服务创建永久访问密钥（AK/SK）。具体可参考：密钥管理 。 通过临时密钥访问 媒体存储支持STS角色管理，用户通过STS，可以给其他用户授予一个临时密钥，其他用户可在有效时间内，通过该临时密钥访问对应的媒体存储资源。 通过临时密钥访问，可避免永久密钥泄露，使访问更加安全可靠。 创建STS角色可参考：STS角色管理。 SDK使用STS临时凭证访问，可从SDK概览页面选择进入对应的开发指南查阅。 STS临时凭证的实践应用，可参考 移动应用使用临时凭证直传 。

本章节介绍如何进行MCP服务的注册与配置管理 概述 MSE Nacos 企业版支持MCP（Model Context Protocol，模型上下文协议）服务的注册与配置管理。MCP是一种开放标准，旨在统一大型语言模型（LLM）与外部数据源和工具之间的通信协议，解决当前 AI 模型数据孤岛限制，使得 AI 应用能够安全地访问和操作本地及远程数据。 说明 目前只有 MSE Nacos企业版3.0及以上版本支持MCP服务。您可以根据业务需求的不同，选择微服务引擎注册配置中心提供的三种MCP服务创建方式： 标准MCP服务：从零构建完整MCP配置。 HTTP转化MCP服务：将存量HTTP服务转换为MCP服务。 动态注册MCP服务：通过Nacos SDK实现服务自动注册。 创建MCP服务 在微服务引擎MSE注册配置中心管理控制台可以创建标准MCP服务和HTTP转化MCP服务，下面分别说明创建操作步骤： 创建标准MCP服务 1. 登录微服务引擎 MSE注册配置中心管理控制台，选择实例所在的资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，选择企业版Nacos实例，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击MCP管理 > MCP列表，选择命名空间， 然后单击创建MCP服务，并单击标准MCP服务页签。 4. 在标准MCP服务页面，配置服务名称、描述、版本号等基本信息，其中重要参数说明如下： MCP协议类型： Stdio：无网络依赖，只能访问本地资源无法访问云端资源，数据不会传输到外部，适用于本地开发调试，离线环境验证。 SSE：支持远程访问，仅支持服务端到客户端的单向流，适用于服务推送等单向实时通信场景，延迟低、兼容性强。 Streamable HTTP：基于标准的HTTP协议，双向通信，可灵活切换流式、非流式连接，适合正式环境部署和跨网络通信（如混合云/跨VPC）以及分布式系统。这是目前官方推荐的远程通信方式。 后端服务： 使用已有服务：如果您的MCP服务已经通过控制台或SDK注册到MSE Nacos中，可直接选择。 新建服务：如果您的MCP服务尚未注册到MSE Nacos中，需要配置服务 IP/服务域名（域名不能包含中文）、服务端口及访问路径（必须以/开头，如/v1/mcp）。 5. MCP工具为选填项，工具可以包含0个或者多个。点击添加工具按钮，可以添加1个工具，包括工具名称、工具描述、参数信息。其中参数包括：参数名称、参数类型可从下拉框选择，参数描述信息。 参数可以添加0个或者多个，参数信息可以嵌套，可以实现复杂的嵌套参数。添加的参数在服务保存或发布后生效。 6. 信息填写完毕后，点击发布。

本文主要介绍 网络策略（NetworkPolicy）。 网络策略（NetworkPolicy） NetworkPolicy是Kubernetes设计用来限制Pod访问的对象，通过设置NetworkPolicy策略，可以允许Pod被哪些地址访问（即入规则Ingress）、或Pod访问哪些地址（即出规则Egress）。这相当于从应用的层面构建了一道防火墙，进一步保证了网络安全。 NetworkPolicy支持的能力取决于集群的网络插件的能力，如CCE的集群只支持设置Pod的入规则。 默认情况下，如果命名空间中不存在任何策略，则所有进出该命名空间中的Pod的流量都被允许。 NetworkPolicy的规则可以选择如下3种： namespaceSelector：根据命名空间的标签选择，具有该标签的命名空间都可以访问。 podSelector：根据Pod的标签选择，具有该标签的Pod都可以访问。 ipBlock：根据网络选择，网段内的IP地址都可以访问。（CCE当前不支持此种方式） 约束与限制 当前仅容器隧道网络模型的集群支持网络策略（NetworkPolicy）。 网络策略（NetworkPolicy）暂不支持设置出方向（egress）。 不支持对IPv6地址网络隔离。 使用Ingress规则 使用podSelector设置访问范围 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: testnetworkpolicy namespace: default spec: podSelector: 规则对具有roledb标签的Pod生效 matchLabels: role: db ingress: 表示入规则 from: podSelector: 只允许具有rolefrontend标签的Pod访问 matchLabels: role: frontend ports:

介绍APM监控详情里上下游分析中的上游应用相关指标的名称、含义等信息。 上游应用指标说明表 指标类别 指标 指标说明 数据类型 上游应用详情 queueSize 请求排队数量 Long 上游应用详情 exceptionTransactionCountMapSize 异常事务计数大小 Long 上游应用详情 appTransactionDurationCountMapSize 应用事务持续时间 Long 上游应用详情 appTransactionCountMapSize 应用事务次数 Long 上游应用详情 exceptionTransactionDurationCountMapSize 异常事务持续时间 Long 上游应用详情 appInCallDurationCountMapSize 应用内部请求持续时间 Long 上游应用详情 appOutCallCountMapSize 应用外部请求持续次数 Long 上游应用详情 appTransactionErrorCountMapSize 应用事务错误次数 Long 上游应用详情 appOutCallDurationCountMapSize 应用外部请求耗时 Long 上游应用详情 appInCallErrorCountMapSize 应用内部调用错误次数 Long 上游应用详情 appoutcallcount 应用请求数量 Long 上游应用详情 appoutcallduration 应用请求耗时 Double 上游应用详情 appincallcount 应用提供调用请求数量 Long 上游应用详情 appincallduration 应用提供调用请求耗时 Long 上游应用详情 appoutcallerrorcount 应用请求错误量 Long 上游应用详情 appincallerrorcount 应用提供调用错误量 Long 上游应用详情 appOutCallErrorCountMapSize 应用提供调用请求耗时 Long 上游应用详情 appInCallCountMapSize 应用提供调用请求数量 Long 上游应用详情 httpCodeTransactionCountMapSize Http请求返回码统计 Long 上游应用详情 aggregationQueueSize 聚合队列大小 Long 上游应用详情 aggregationExporterFailMetrics 聚合输出失败指标大小 Long 上游应用详情 armsheartbeatdeployment 心跳 Long

参数 类型 描述 是否必须 autoFailback String 修改是否根据指定的卷主备分布优先级自动进行主备切换（仅集群版支持），即针对卷主备状态，当高优先级的服务器恢复正常后，是否自动进行主备状态切换。 取值： Enabled：自动进行主备切换。 Disabled：不自动进行主备切换。 否 priority Array of priority 修改卷主备分布优先级的服务器ID（仅集群版支持），系统根据指定的服务器ID顺序来选择卷的主备IQN。可以指定一个或者多个服务器ID，以英文逗号分开。 注意 如果为空数组，即[ ]，表示清空优先级设置。 取值：服务器ID。 否

本节介绍黑名单规则的创建流程，以及相关配置项的说明。 绑定黑名单规则的桌面，无法运行黑名单列表中的应用，当桌面运行黑名单中应用时会被阻止，且用户无法向管理员发起应用放行申请。 黑名单应用库 管理员可在平台应用库中，快速选择应用添加到黑名单列表。 管理员也可以创建一个企业专属的黑名单应用库用于自定义维护，具体操作如图示： 1.创建一个专用桌面，将希望禁止的应用安装至桌面中，此桌面可作为后续运维桌面； 2.进入黑名单规则，选择租户应用库并点击管理； 3.在页面中点击新增，进入获取应用的弹窗界面； 4.选择“步骤1”中设置好的桌面点击“获取”，即可从该桌面获取已安装的应用列表，选择应用添加至黑名单租户应用库中即可。 注：在专用桌面中，建议使用“应用辅助工具”进行应用安装，便于提取相关应用的完整信息，此类信息可用于黑名单列表的创建。

日志审计对外开放的端口有哪些？ 日志审计对外开放的端口包括： udp161 snmp服务开放的端口 tcp443 web访问的端口 tcp22 ssh连接的端口 udp514 syslog接收日志端口 tcp21 ftp服务开放的端口 日志审计能否不通过远程备份直接将数据文件下载到本地存储和恢复？ 可以，可以在数据分区处手动下载备份文件在本地存储，恢复时上传文件恢复。 日志审计中弱点库的作用具体是什么？ 弱点库是弱点知识库的集合，系统可以通过检查资产是否匹配弱点库中的信息来发现资产弱点。 日志数据存储是否加密，以及加密算法具体是什么？ 数据存储支持加密，但需要手动开启。在系统日志收发加密配置处启用加密模式，加密算法可选择AES加密及SM4加密。 日志审计配置自动备份的周期是如何定义的？ 每7天进行一次自动备份，系统设定是以服务重启后开始计算周期。

本小节介绍日志审计(原生版)产品采集snmap日志配置问题。 采集Snmptrap日志需要在哪配置？ 问题描述 发送Snmptrap日志，发现Snmp日志未采集到日志审计（原生版）平台上。 可能原因 Snmp资产未添加或添加错误 Mib文件上传错误 Snmptrap配置未配置或配置错误 解决方案 检查snmp资产 1. 在菜单“资产 > 资产管理”中，选择资产组，点击新增Snmptrap资产。 2. 点击“查看”按钮。检查Snmptrap资产的资产大类、资产小类、资产ip是否正确。 检查mib文件 1. 在菜单“系统配置”>“采集管理”>“MIB文件管理”中，上传MIB文件。 2. 点击“查看”按钮，检查MIB文件上传是否正确。

本文重点介绍为天翼云物理机创建备份的最佳实践简介。 方案介绍 当我们部署在物理机上的系统出现外部病毒入侵、人为误操作、业务软件Bug等故障场景时，可以通过云服务备份为物理机创建定期自动备份（备份周期最小为1小时）。当上述故障发生时，可通过备份进行快速恢复，避免数据丢失。 云服务备份将物理机的配置和所包含的多个云硬盘数据备份到高可靠性等级的对象存储服务中，保障用户的备份数据安全。 应用场景 企业核心数据库场景和政企金融高安全场景对数据安全性有苛刻要求，建议使用本方案对物理机进行备份，提升数据可靠性。 优势 简单：可以自定义策略进行在线备份，备份设置简单易操作。 高效：支持增量备份、增量恢复，RTO可达分钟级。 可靠：同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题；对象存储服务的规格满足99.999999999%持久性标准。 约束与限制 不支持使用物理机的备份创建镜像。 不支持备份带有共享云硬盘的物理机。 恢复时，物理机会自动关机，将中断租户业务，关机后有一段时间物理机处于锁定状态，租户不可操作。 前提条件 1. 创建密钥对 为安全起见，物理机登录时建议使用密钥方式进行身份验证。因此，您需要使用已有密钥对或新建一个密钥对，用于远程登录身份验证。 2. 创建虚拟私有云 物理机使用虚拟私有云提供的网络，包括子网、安全组等。

本节介绍安全基线及配置参考。 OpenClaw云电脑是否可操作本地终端文件 部分安全基线及配置参考 智能体部署 限制互联网访问 开启详细日志 文件系统访问控制 第三方技能审查 安全自检 更新版本 卸载 OpenClaw云电脑是否可操作本地终端文件 免费活动领取的OpenClaw云电脑：默认不重定向本地文件，无法操作本地文件，数据更安全。 天翼云电脑（公众版）：默认重定向本地文件至云电脑，使用时请注意数据安全。 天翼云电脑（政企版）：由租户管理员在管理台 “策略管理→基础策略管理→文件与剪切板” 中自定义配置。如下图所示： 部分安全基线及配置参考 智能体部署 创建OpenClaw专有用户，切勿使用sudo组： sudo adduser shell /bin/rbash disabledpassword clawuser 通过创建的专有用户登录操作系统。 创建受限的命令目录，禁止rm、mv、dd、format、powershell等： sudo mkdir p /home/clawuser/bin sudo ln s /bin/ls /home/clawuser/bin/ls sudo ln s /bin/echo /home/clawuser/bin/echo 强制设置 PATH 并只读，如在 /etc/profile.d/restrictedclawuser.sh修改配置： echo 'if [ "$USER" "clawuser" ]; then export PATH/home/clawuser/bin; readonly PATH; fi' sudo tee /etc/profile.d/restrictedclawuser.sh sudo chmod 644 /etc/profile.d/restrictedclawuser.sh 禁用root登录： sudo sed i 's/^?PermitRootLogin./PermitRootLogin no/' /etc/ssh/sshdconfig sudo systemctl restart sshd

本节介绍安全基线及配置参考。 OpenClaw云电脑是否可操作本地终端文件 部分安全基线及配置参考 智能体部署 限制互联网访问 开启详细日志 文件系统访问控制 第三方技能审查 安全自检 更新版本 卸载 OpenClaw云电脑是否可操作本地终端文件 免费活动领取的OpenClaw云电脑：默认不重定向本地文件，无法操作本地文件，数据更安全。 天翼云电脑（公众版）：默认重定向本地文件至云电脑，使用时请注意数据安全。 天翼云电脑（政企版）：由租户管理员在管理台 “策略管理→基础策略管理→文件与剪切板” 中自定义配置。如下图所示： 部分安全基线及配置参考 智能体部署 创建OpenClaw专有用户，切勿使用sudo组： sudo adduser shell /bin/rbash disabledpassword clawuser 通过创建的专有用户登录操作系统。 创建受限的命令目录，禁止rm、mv、dd、format、powershell等： sudo mkdir p /home/clawuser/bin sudo ln s /bin/ls /home/clawuser/bin/ls sudo ln s /bin/echo /home/clawuser/bin/echo 强制设置 PATH 并只读，如在 /etc/profile.d/restrictedclawuser.sh修改配置： echo 'if [ "$USER" "clawuser" ]; then export PATH/home/clawuser/bin; readonly PATH; fi' sudo tee /etc/profile.d/restrictedclawuser.sh sudo chmod 644 /etc/profile.d/restrictedclawuser.sh 禁用root登录： sudo sed i 's/^?PermitRootLogin./PermitRootLogin no/' /etc/ssh/sshdconfig sudo systemctl restart sshd

前置需求 开通天翼云云搜索服务OpenSearch实例，获取内网地址和实例密码。 准备好云主机环境用来部署Dify，需要和OpenSearch实例网络互通。 准备好Deepseek模型、Embedding向量模型、Rerank重排序模型。 安装好Docker环境。 RAG流程 1. 用户通过Dify对话。 2. 调用Embedding模型将查询向量化。 3. 使用OpenSearch分别对字段和向量进行全文检索和向量检索，通过Rerank模型来重排序，返回最终召回的文档。 4. 检索到的文档以及对话的上下文通过Deepseek大模型总结归纳生成详细准确的回复。 步骤一：部署Dify 本文以云主机自建Dify为例，讲述搭建应用的操作步骤： 1. 克隆Dify的源码到云主机上，以下以v1.3.0为例。 2. 进入dify源码的docker目录 plaintext cd dify/docker 3. 拷贝文件 plaintext cp dockercompose.yaml dockercompose.yaml.bak cp .env.example .env 4. 修改.env文件 plaintext vim .env 使用opensearch作为全文检索库和向量检索库，将VECTORSTORE的值修改为opensearch plaintext VECTORSTOREopensearch 根据以下表格配置OpenSearch实例的相关信息 参数 含义 OPENSEARCHHOST OpenSearch的内网地址 OPENSEARCHPORT 端口号，云搜索服务默认9200 OPENSEARCHUSER 用户默认admin OPENSEARCHPASSWORD OpenSearch实例的密码 OPENSEARCHSECURE OpenSearch实例为https模型则设置为true，http则设置为false plaintext OPENSEARCHHOSTip OPENSEARCHPORT9200 OPENSEARCHUSERadmin OPENSEARCHPASSWORD OPENSEARCHSECUREtrue 5. 修改dockercompose文件。 plaintext vim dockercompose.yaml 为防止拉取公网镜像，将镜像名为opensearch和opensearchdashboards部分的配置注释掉。 plaintext

本文说明如何开通云渲染产品。 购买条件 在购买云渲染产品服务前，您需要完成账号实名认证； 若您已开通渲染规格按需服务，则无法重复开通渲染规格包周期订单。 操作步骤 1. 搜索【实时云渲染】，进入实时云渲染的产品介绍页，点击【立即开通】。 2. 根据业务场景需求，选择不同的计费规则，开通服务。 开通配置 配置说明 开通区域 为了您的应用接入时能获得最好操作体验，请就近选择您的业务区域，开通多个集群时，云渲染平台会根据接入终端所在区域调度到最近的集群，实现访问最优 计费方式 根据您的业务特性，选择按需或包周期模式开通 渲染规格 请您根据应用类型选择合适的渲染规格，云渲染将为您提供不同规格下的最大算力 带宽 带宽大小决定了终端接入时的数据最大传输速度，通常情况下1路并发接入时需要20M带宽。 开通时长 您可根据您对应用云渲染并发使用时长的需要来决定您的购买时长 建议您根据业务场景选择最佳的计费规则，若当前服务开通方案无法满足您的要求，请联系客服或客户经理，我们将为您提供1对1支持。 3. 点击提交订单，完成付款后，您可通过云渲染控制台看到已开通的订单信息。

本文为您介绍删除路由表关联转发的操作流程。 操作步骤 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“云企业路由器管理 ”页签，单击目标云企业路由器实例名称（或者单击操作列的“配置”），进入云企业路由器详情页面。 5. 在云企业路由器详情页面，单击“路由管理”页签，在页签左侧区域单击目标的路由表。 6. 在页签右侧区域，点击“关联转发”，进入关联转发页签。 7. 在关联转发页签中，找到目标网络实例名称，在操作列，单击“删除”，弹出删除确认弹窗。 8. 在删除确认弹窗中，单击“确定”，完成删除目标网络实例关联转发关系操作。

本页面介绍云数据库ClickHouse的配置变更。 根据包周期计费和按需计费这两种方式，以下是对配置升级后的计费规则的总结： 包周期计费： 对于包周期计费方式，用户通常选择一定时长的套餐，如包年或包月计费。 配置升级后的计费规则在包周期计费下可能有以下变化： 节点机器费用：如果升级增加了节点数量或改变了计算节点单价，在升配完成后将根据新的节点数量和单价进行计费。 存储空间费用：如果升级增加了存储空间大小，在升配完成后将根据新的存储空间大小进行计费。 订单升配标准费用（新规格当日产品标准天单价原规格当日产品标准天单价）（原规格订单总天数已使用天数）。 按需计费 按需计费方式根据实际使用的资源和时长进行计费，没有固定的套餐时长。 配置升级后的计费规则在按需计费下可能有以下变化： 节点机器费用：升级后的节点数量和计算节点单价将直接应用于新的使用时段，按照实际使用的节点数量和时长计费。 存储空间费用：升级后的存储空间大小将直接应用于新的使用时段，按照实际使用的存储空间和时长计费。

修改白名单分组 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 点击【白名单与安全组】，选择已有分组，点击【修改】。 5. 修改IP范围，点击【确定】。 清空白名单分组 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 点击【白名单与安全组】，选择已有分组，点击【清空】。 5. 清空后，该分组的IP将被重置为127.0.0.1。 删除白名单分组 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例【基本信息】页面。 4. 点击【白名单与安全组】，选择已有分组，点击【删除】。 5. 注意，默认白名单分组不允许删除。