$%^&+中的4种类型字符。 向证书管理员申请证书时，请提供访问密钥文件的密码并申请crt、cer、cert和pem格式证书文件，以及key和pem格式密钥文件。申请的证书需要有签发功能。 操作步骤 1.以omm用户登录集群任意管理节点。 2.选择证书和密钥文件的生成方式： 若由证书管理员生成，请在管理节点omm用户目录保存申请的证书文件与密钥文件。 说明 若获取的证书文件格式不是“.crt”，密钥文件格式不是“.key”，执行以下命令修改： mv 证书名称.证书格式 证书名称 .crt mv 密钥名称.密钥格式 密钥名称 .key 例如，将证书文件命名为“ca.crt”，密钥文件命名为“ca.key”： mv server.cer ca.crt mv serverkey.pem ca.key 若由系统管理员生成，执行以下命令在管理节点omm用户目录生成证书文件和密钥文件： a. 生成密钥文件： openssl genrsa out 密钥名称 .key aes256 2048 sha256 说明 对于SUSE 15、Centos7.6和EulerOS 2.8系统，需使用如下命令生成密钥文件： openssl genrsa out密钥名称.key aes256 2048 例如，生成密钥文件“ca.key”： openssl genrsa out ca.key aes256 2048 sha256 根据提示信息连续输入两次password，并按回车键确认。 Enter pass phrase for ca.key: Verifying Enter pass phrase for ca.key: b. 生成证书文件： openssl req new x509 days 1825 key 密钥名称 .key out 证书名称 .crt subj "/Ccn/STguangdong/Lshenzhen/Oxxx/OUxxx/CNxxx" sha256 例如，生成证书文件“ca.crt”： openssl req new x509 days 1825 key ca.key out ca.crt subj "/Ccn/STguangdong/Lshenzhen/Oxxx/OUxxx/CNxxx" sha256 根据提示信息输入密钥文件的密码 password ，并按回车键确认。 Enter pass phrase for ca.key: 3.执行以下命令在管理节点omm用户目录保存访问密钥文件的密码。 sh ${BIGDATAHOME}/omserver/om/sbin/genPwFile.sh 根据提示信息连续输入两次 password ，并按回车键确认。password加密后保存在“password.property”。 Please input key password: Please Confirm password: 说明 在登录节点生成的“password.property”文件只适用于当前节点所属的集群，不能用于其他集群。 4.执行以下命令打包三个文件为tar压缩包，并保存在本地。 tar cvf 压缩包名证书名称 .crt 密钥名称 .key password.property 例如，tar cvf test.tar ca.crt ca.key password.property 5.登录FusionInsight Manager系统，选择“系统 > 证书”。 6.在“上传证书”区域单击文件选择按钮，在文件窗口中浏览已获取的证书文件tar压缩包并打开压缩包文件，单击“上传文件”，系统将自动完成导入。 7.导入完成后提示同步集群配置并重启WEB服务使新证书生效，单击“确定”。 8.在弹出的管理员确认窗口输入密码，单击“确定”自动同步集群配置并重启WEB服务。 9.重启完成后在浏览器地址栏中，输入并访问FusionInsight Manager的网络地址，验证能否正常打开页面。 说明 企业证书有效时间已过期或安全性加强，MRS更换为新的证书后，请同步更换本地证书。 10.在“集群”下拉列表中单击需要操作的集群名称。 11.选择“更多 > 重启”，在弹出窗口中输入当前登录的用户密码确认身份，然后单击“确定”。 说明 更换CA证书后，需离线重启集群使证书生效，不支持滚动重启。 12.在确认重启集群的对话框中单击“确定”。

本章节主要介绍安装配置物理机监控agent。 操作场景 当您购买了一台物理机后，了解其运行状态一定是您的迫切需求，天翼云物理机和云监控服务结合使用，自动收集物理机的CPU、内存、磁盘以及网络使用情况等监控指标，以便您及时了解物理机实例运行状况和性能。本章节指导您如何为物理机服务器安装及配置Agent插件。 前提条件 物理机服务器可以正常使用。 物理机服务器内DNS Server正常工作，配置方法请参考内网DNS与安全组配置。 操作步骤 1. 添加域名解析地址：在物理机“/etc/resolv.conf”文件中添加各区域域名解析地址。 2. 修改子网DNS地址：按物理机所在区域修改子网的DNS服务器地址。 3. 配置安全组：用于下载Telescope包、发送指标数据、采集日志等。 此第三步请参见内网DNS与安全组配置。 4. 下载telescope安装包，访问地址参考云监控服务安装Agent（Linux）。 5. 安装Agent：手动为物理机安装Agent，实现主机监控。 此步请参见安装配置云监控服务安装Agent（Linux）。 6. 配置Agent，使用root账号，登录物理机。 7. 执行以下命令，切换至Agent安装路径的bin下。 cd /usr/local/telescope/bin 8. 修改配置文件conf.json。 a. 执行以下命令，打开配置文件conf.json。 vi conf.json b. 修改文件中的参数，具体参数请参见下表。 { "InstanceId":"xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "ProjectId": "b5b92ee0xxxxxxxxxxxxxxxxcab92396", "AccessKey": "QZ0XGJXFxxxxxxxxT65R", "SecretKey": "lEv2aXAGwxxxxxxxxxxxxxxxxxxxxF8t0Bf18Tn2", "RegionId": "cnhz1" } 公共配置参数 参数 说明 :: InstanceId 物理机ID，可通过登录管理控制台，在物理机列表中查看。 说明 InstanceId可不用配置，保持"InstanceId":"",即可，若需要配置，请参考下两条。 该资源ID需保证全局唯一性，即同一个RegionID下Agent使用的InstanceId不能相同，否则系统可能会出现异常。 InstanceId必须与实际的物理机资源ID一致，否则云监控界面将看不到对应物理机资源操作系统监控的数据。 ProjectId ProjectId可不用配置，保持"ProjectId": "",即可。若需要配置，请参考已下获取方式。 项目ID，获取方式如下： 1. 登录管理控制台，单击右上角“用户名”，选择“我的凭证”； 2. 在项目列表中，查看物理机资源对应的所属区域的项目ID。 AccessKey/SecretKey 访问密钥，获取方式如下： 登录管理控制台，单击右上角“用户名”，选择“我的凭证>管理访问秘钥”； 如已有访问密钥，查看创建时下载保存的credentials.csv文件中，获取文件中记录的Key值即可； 如未创建，则通过“新增访问密钥”可创建新的访问密钥，妥善保存credentials.csv文件，并获取文件中记录的Key值。 注意 为了安全考虑，建议该用户为IAM用户，并且权限仅为CES Administrator和LTS Administrator。 配置的AccessKey必须在“我的凭证 >管理访问秘钥”列表中，否则将鉴权失败，云监控界面看不到操作系统监控数据 RegionId 区域ID，例如：物理机资源所属区域为“杭州”，则RegionID为“cnhz1”。 9. 修改云监控指标采集模块的配置文件confces.json。 a. 执行以下命令，打开公共配置文件confces.json。 vi confces.json b. 修改文件中的参数，具体参数请参见下表。 { "Endpoint": " } 指标采集模块参数配置 参数 说明 :: Endpoint 物理机资源所属区域的云监控Endpoint URL，例如：物理机资源所属区域为“杭州”，则URL中使用“ces.cnhz1.ctyun.cn”。 说明 Agent插件配置完成后，因监控数据暂未上报，插件状态仍显示“未安装”，等待35分钟，刷新即可。 10. 管理Agent ，查看Agent状态。 11. 登录天翼云物理机服务器，执行以下命令，查看Agent状态。 service telescoped status 当系统返回以下内容，则表示Agent为正常运行状态。 "Telescope process is running well." 启动Agent 执行以下命令，启动Agent。 /usr/local/telescope/telescoped start 重启Agent 执行以下命令，重启Agent。 /usr/local/telescope/telescoped restart 停止Agent 执行以下命令，停止Agent。 service telescoped stop 说明 如果Telescope安装失败，可能会导致无法正常停止Agent，可通过执行以下命令进一步尝试： /usr/local/telescope/telescoped stop 卸载Agent 用户可手动卸载Agent插件，卸载后将不再监控BMS实例监控数据。如需再次使用，请参考安装Agent重新安装。 执行以下命令，即可卸载Agent。 /usr/local/telescope/uninstall.sh 12. 查看监控指标 以上配置完成后，进入控制台界面，选择“管理与部署 > 云监控”，在左侧导航栏选择“主机监控 > 物理机”，列表展示该物理机的名称/ID、主机状态、插件状态等信息。

开通和接入域名 面向对象：即将开通和接入域名的客户。 接入域名 说明 开通Web应用防火墙（边缘云版）服务 介绍如何开通WAF服务，包括账户实名认证、开通服务的开通步骤。 添加服务域名 通过图文介绍进入如何接入服务域名。 验证域名归属权 通过对DNS解析验证、文件验证两种验证方式的详细操作说明，方便客户选择合适的方式做域名归属权验证。 配置CNAME 通过配置CNAME的实例，帮助客户直观了解配置CNAME的过程和校验注意事项。 设置回源白名单 介绍在源站IP暴露的情况下，如何设置保护源站。 设置安全策略和查看攻击报表 面向对象：完成域名接入后，准备配置安全防护策略和查看防护效果的客户。 设置安全策略 说明 网站防护配置 本专题按Web安全、Bot管理、访问控制/限流等模块化主题，非常详尽地介绍Web应用防火墙（边缘云版）已支持的功能和服务，帮助客户深入理解Web应用防火墙（边缘云版）功能，指导客户与自己的业务相结合，配置合适的防护策略。 统计分析 本专题按统计分析、攻击报表等主题，详尽的介绍如何查看攻击日志、业务日志等。

托管检测与响应服务（原生版）应用场景介绍，帮助您了解如何选购本产品。 日常安全运营支撑 监控用户资产安全状况，发现各类安全威胁进行及时响应；提供产品咨询、技术支持、产品联动处置问题支持、产品故障/BUG解决等服务。 安全运营托管场景 基于丰富的云安全运营经验积累，面向云环境提供持续的安全监测和全面的保护服务，有效发挥云原生安全能力，集威胁分析、攻击面梳理、漏洞管理、应急响应等功能于一体，为用户及时发现、有效分析、闭环处理安全问题，有效防护威胁，降低用户运营成本，为用户资产提供持续有效的安全保障。 关键时期重保场景 为确保重大活动期间，业务系统的平稳安全运行，政企单位需提高网络安全保障强度，开展重要时期网络安全保障工作。包括：监测分析、应急处置、攻击反制、设备布防、漏洞加固、基线评估、弱口令评估、敏感信息评估、安全意识培训、蜜罐运营等。 应急响应场景 针对网络安全事件进行应急处置，保证相关业务的连续性和可用性，同时将攻击带来的破坏程度降到最低。在客户已知或怀疑系统被攻击的情况下，可委托我方工程师对系统进行排查和处置。

为了提升产品安全访问和更细粒度权限管理，天翼云弹性文件服务部分OpenAPI接口将支持IAM权限管理，生效时间2024年10月15日 00:00:00。对于使用天翼云主账号身份调用文件存储接口的用户没有影响，通过子用户的AKSK调用API需要配置对应权限，否则会报权限不足的错误，请子用户提前配置对应权限，否则届时将无法管理相应的文件系统实例。 调整时间 2024年10月15日 00:00:00 调整地域 全部地域（资源池） 调整内容 本次仅针对下表中所列的接口支持IAM权限管理，请为子账号授权相应权限，使用主账号调用接口的本次不受影响。如果您的子账号访问出现异常，可用通过下面配置方法进行策略配置和授权，即可正常访问。 序号 接口名称 接口URL 权限三元组 1 创建文件系统 v4/sfs/newsfs sfs:shares:create 2 退订文件系统 v4/sfs/refundsfs sfs:shares:delete 3 扩容文件系统 v4/sfs/resizesfs sfs:shares:update 4 续订文件系统 v4/sfs/renewsfs sfs:shares:update 5 弹性文件信息查询（基于 sfsUID + regionID） v4/sfs/infosfs sfs:shares:get 6 弹性文件信息查询（基于 sfsName + regionID） v4/sfs/infobynamesfs sfs:shares:get 7 查询指定文件系统挂载点列表 v4/sfs/listmountpointsfs sfs:VPCs:list 8 删除指定文件系统挂载点 v4/sfs/deletemountpointsfs sfs:VPCs:unbind 9 文件系统添加挂载点 v4/sfs/addmountpointsfs sfs:VPCs:bind 配置方法： 1. 主账号登录天翼云IAM控制台，点击策略管理创建自定义策略，或者在原已有的自定义策略中修改，选择JSON视图，参考创建自定义策略。配置示例： { "Version": "1.1", "Statement": [ { "Action": [ "sfs:shares:create", "sfs:shares:delete", "sfs:shares:update", "sfs:shares:get", "sfs:VPCs:list", "sfs:VPCs:unbind", "sfs:VPCs:bind" ], "Effect": "Allow" } ] } 2. 给子账号所在用户组进行中授权，参考用户组授权。

本节为您介绍如何批量导入与查看迁移源机信息。 批量导入迁移源 迁移源通过CMSAgent上报至平台进行管理，以此作为迁移任务配置的前置条件，由于存在大型项目迁移源多，导入流程繁杂场景；CMS支持通过Excel模板批量导入源机和目标机对应关系，避免页面重复操作实现迁移源快速上报与绑定。 如果您需要执行一批迁移任务，可以使用“导入excel”批量绑定目的机。 前提条件 迁移源端可用。 进入服务器迁移服务控制中心。 操作步骤 1. 在主机管理页面的上方，点击“下载导入模板”按钮以获取主机导入模板。 2. 打开在本机下载好的“主机导入模板”。 3. 您可在此处自定义或留空源机别名，并输入源机IP及对应需要绑定的目标机ID。 4. 查看迁移源机IP，填在上表“源机IP”列。 5. 查看目标机ID，填在上表“目标机ID”列。 6. 单击“导入excel”，拖拽上传填好的“主机导入模板”。 7. 导入成功后，界面提示“导入成功，详情请查看导入日志”。 8. 可在“主机管理”列表看到源机导入成功。 9. 可在上方“导入日志”查看本次导入记录及详情。

操作场景 命名空间（Namespace）是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离。使得它们既可以共享同一个集群的服务，也能够互不干扰。 例如可以将开发环境、测试环境的业务分别放在不同的命名空间。 前提条件 至少已创建一个集群，请参见购买混合集群。 约束与限制 每个命名空间下，创建的服务数量不能超过6000个。此处的服务对应kubernetes的service资源，即工作负载所添加的服务。 命名空间类别 命名空间按创建类型分为两大类：集群默认创建的、用户创建的。 集群默认创建的：集群在启动时会默认创建default、kubepublic、kubesystem、kubenodelease命名空间。 − default：所有未指定Namespace的对象都会被分配在default命名空间。 − kubepublic：此命名空间下的资源可以被所有人访问（包括未认证用户），用来部署公共插件、容器模板等。 − kubesystem：所有由Kubernetes系统创建的资源都处于这个命名空间。 − kubenodelease：每个节点在该命名空间中都有一个关联的“Lease”对象，该对象由节点定期更新。NodeStatus和NodeLease都被视为来自节点的心跳，在v1.13之前的版本中，节点的心跳只有NodeStatus，NodeLease特性从v1.13开始引入。NodeLease比NodeStatus更轻量级，该特性在集群规模扩展性和性能上有明显提升。 用户创建的：用户可以按照需要创建命名空间，例如开发环境、联调环境和测试环境分别创建对应的命名空间。或者按照不同的业务创建对应的命名空间，例如系统若分为登录和游戏服务，可以分别创建对应命名空间。 创建命名空间 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 命名空间”。单击“创建命名空间”。 步骤 2 参照下表设置命名空间参数，其中带“”标志的参数为必填参数。 表命名空间基本信息 参数 参数说明 命名空间 新建命名空间的名称，命名必须唯一。 集群 新建命名空间属于哪个集群。 节点亲和 开启后，当前命名空间下所创建的工作负载只能调度到拥有特定标签的节点上。您可以在节点管理中通过标签管理为节点添加标签。 该参数仅在v1.13.10r0及以上版本的集群中显示。 命名空间描述 输入对命名空间的描述信息。 资源配额设置 资源配额可以限制命名空间下的资源使用，进而支持以命名空间为粒度的资源划分。 须知：建议根据需要在命名空间中设置资源配额，避免因资源过载导致集群或节点异常。 例如：在集群中每个节点可以创建的实例（Pod）数默认为110个，如果您创建的是50节点规格的集群，则最多可以创建5500个实例。因此，您可以在命名空间中自行设置资源配额以确保所有命名空间内的实例总数不超过5500个，以避免资源过载。 可设置配额的资源类型如下： CPU（Core） 内存（MiB） 有状态工作负载（StatefulSet） 无状态工作负载（Deployment） 普通任务（Job） 定时任务（CronJob） 实例（Pod） 服务（Service） 请输入整型数值，"0"表示不限制该资源的使用。 若您需要限制CPU或内存的配额，则创建工作负载时必须指定CPU或内存请求值。 步骤 3 配置完成后，单击“确定”。

本文介绍创建告警规则的步骤。 云监控支持灵活的创建告警规则。您既可以根据实际需要对某个监控指标设置自定义告警规则，同时也能够使用告警模板为多个资源或者云服务批量创建告警规则。 说明 目前仅支持监控“一类节点”区域的实例。 云堡垒机（原生版）支持的区域请参见支持的区域。 操作步骤 1. 登录天翼云控制中心。 2. 在产品服务列表中“管理与部署 > 云监控服务”，进入云监控服务主页面。 3. 在左侧导航栏，选择“云服务监控”，单击“云堡垒机”产品。 4. 在云堡垒机监控列表中选择目标的实例，单击操作列的“创建告警规则”。 5. 在“创建告警规则”页面，根据界面提示配置参数。 配置参数及相关含义说明如下： 模块 参数 参数说明 配置示例 选择监控对象 规则类型 选择规则的类型，主要包括指标监控、事件监控、站点监控、自定义监控、自定义事件五种。 指标监控 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云堡垒机（原生版） 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 云堡垒机实例 选择监控对象 监控对象类型 具体实例/资源分组/全部资源 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 实例名称 定义告警策略 选择类型 支持自定义创建 、从模板导入。 自定义创建 定义告警策略 策略 支持选择满足全部 或任意策略。 策略信息包括： 监控指标，支持的监控指标请参见[实例支持的监控指标](/document/10261769/11086138

验证数据是否同步 1、 在目标集群中查看Topic列表，确认是否有源集群Topic。 说明 目标集群中的Topic名称和源集群相比，多了前缀（如A.），这属于正常情况，是MirrorMaker 2为了防止Topic循环备份进行的设置。 2、 在源集群生产并消费消息，在目标集群查看消费进度，确认数据是否已从源集群同步到了目标集群。 如果目标集群为Kafka实例的话，在分布式消息服务Kafka控制台的“消费组管理 > 消费进度”中，查看消费进度。

操作场景 带宽伸缩策略可用于对您的弹性公网IP带宽、共享带宽进行灵活的调整。天翼云支持创建以下3种类型的带宽伸缩策略： 告警策略：通过对带宽的性能指标的监控，来确认其是否到达预设的告警条件，来自动增加或减少带宽。 定时策略：根据业务实际情况设置一个时间点，在此时间点自动增加或减少带宽值。 周期策略：根据业务实际情况设置一段时间段，在此时间段内按照周期（按天、按周、按月）来重复执行自动增减带宽值。 创建带宽伸缩策略 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 在左侧菜单选择“带宽伸缩”，进入带宽伸缩管理页。 5. 单击页面右上角“创建带宽伸缩策略”，进入创建带宽伸缩策略页面。 说明 带宽伸缩目前仅在以下资源池开放：芜湖4。 若您在其他资源池有使用需求，请提交工单咨询。 6. 在创建带宽伸缩策略月面，填写伸缩策略基本信息，如伸策略名称、策略类型、监控周期等，具体参数说明见下表： 参数 是否必填 参数说明 策略名称 是 带宽伸缩策略的名称，用户可自定义，也可以选择保持系统默认分配名称。 带宽类型 是 需要管理的带宽类型，支持选择“独享带宽”、“共享带宽”。 弹性公网IP 是 当带宽类型为独享带宽时，需配置。可指定需要管理的IP资源。 带宽资源 是 当带宽类型为共享带宽时，需要配置。可指定需要管理的共享带宽资源。 策略类型 是 支持配置告警策略、定时策略、周期策略。

本章节介绍数据库复制支持的资源节点。 石家庄、上海4、福州、苏州、深圳、天津、广州4、杭州、长春、海口、青岛、哈尔滨、重庆、昆明、芜湖、贵州、北京2、郑州、南宁、内蒙3、成都3、兰州、武汉2、西安2、南昌、长沙2、中卫、西宁、乌鲁木齐、沈阳3、太原。 支持以上资源节点，购买和使用数据库复制服务。

本文主要介绍如何设置监控告警规则。 操作场景 通过设置弹性云主机告警规则，用户可自定义监控目标与通知策略，及时了解弹性云主机运行状况，从而起到预警作用。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角单击图标，选择区域和项目。 3. 选择“管理与部署 > 云监控服务”。 4. 在左侧导航树栏，选择“告警 > 告警规则”。 5. 在“告警规则”界面，单击“创建告警规则”创建弹性伸缩的告警规则，或者选择已有的弹性伸缩的告警规则进行修改，设置弹性伸缩的告警规则。 6. 规则参数设置完成后，单击“立即创建”。 说明 更多关于设置告警规则的信息，请参见《云监控用户指南》。 可以使用在云监控页面创建的告警规则，实现动态资源扩展。

本文为您介绍对用户授权VPN的操作流程。 如果您需要对您所拥有的VPN进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用VPN资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将VPN资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用VPN服务的其它功能。 前提条件 给用户组授权之前，请您了解用户组可以添加的VPN权限，并结合实际需求进行选择。 示例流程 图用户授予VPN权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予虚拟专用网络服务权限“VPN Administrator”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入步骤一中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“网络＞虚拟专用网络”，进入“虚拟专用网络＞企业版VPN网关”页面，单击右上角“创建VPN网关”，尝试创建VPN网关，如果创建成功，表示“VPN Administrator”已生效。 在“服务列表”中选择除VPN服务外（假设当前权限仅包含VPN Administrator）的任一服务，若提示权限不足，表示“VPN Administrator”已生效。

高级配置 微服务治理 微服务治理设置服务注册与发现配置、无损上线等服务治理能力。 注册中心是在Java微服务架构中用于实现服务的注册与发现，能够屏蔽、解耦服务之间的相互依赖，以便对微服务进行动态管理的。目前平台只支持从云原生Stack中订购的注册配置中心NACOS产品实例。 无损上线是微服务治理中心产品提供的一种能力。针对应用启动的多个阶段提供了相应的保护能力，具体功能包含服务预热、服务延迟注册以及无损滚动发布等。 无损上线参数名称 无损上线参数含义 预热时长 应用实例下一次启动的预热时间。 预热曲线 基于已配置的预热时长，被预热的应用流量权重会根据配置的预热曲线呈指数型增长。 在指定预热时长内，预热曲线值越大被预热应用刚启动时分配的流量权重越小，以满足需要较长时间进行预热的复杂应用的预热需求。 默认为2（适合于一般预热场景），表示在预热周期内服务提供者的流量接收曲线形状呈2次曲线形状。 预热曲线设置范围为0~20。相同预热时间，预热曲线值越大，表示预热开始将接收的流量越小，临近预热结束时接收的流量增幅越大。 延迟注册时间 延迟注册到注册中心实例的时长。 无损滚动发布 通过就绪检查前完成服务注册：为应用无侵入提供54199端口用于检查微服务是否已经完成注册，如果已注册完成，端口返回200，否则返回500。 通过就绪检查前完成服务预热：为应用无侵入提供54199端口用于检查微服务是否已经完成预热，如果已预热完成，端口返回200，否则返回500。

本文向您介绍一站式智算服务平台操作类常见问题。 平台已预置的模型有哪些？ 进入模型服务模块，选择在线服务，点击【预置服务】，可以看到平台预置的模型，平台预置了多款等基础大模型，包括通义千问、Llama、ChatGLM 等系列，可以直接使用。不同的基础模型的参数和能力不同，我们将持续推出不同能力方向的模型。 平台提供的开发工具有哪些？ JupyterLab和Visual Studio Code (VSCode)。 GPU模型脚本如何迁移到昇腾NPU上？ 新建脚本train.py，写入以下原GPU脚本代码。 添加以下库代码。 import time import torch ...... import torchnpu from torchnpu.npu import amp 导入AMP模块 from torchnpu.contrib import transfertonpu 使能自动迁移 IDE无法打开图片或预览MD文件，该怎么办？ 无法在IDE打开图片或预览MD文件，这是由于浏览器设置问题，需要开启Chrome浏览器 的 unsafelytreatinsecureoriginassecure 功能。 进入Chrome Flag管理界面配置： chrome://flags/ unsafelytreatinsecureoriginassecure。 一站式服务平台预置的镜像有哪些？ 进入智算资产模块，选择我的镜像，点击【系统内置镜像】，可以看到平台内置的镜像，包括PyTorch、TensorFlow等。 如果在自定义镜像列表看不到容器镜像服务分享过来的镜像，怎么办？ 请进行以下检查： 容器镜像服务所选区域与平台是不是同资源池。 截止时间是不是大于等于当前时间，超出截止时间后共享失效。 共享镜像状态是不是启用。

本章节主要介绍函数工作流的定义和架构。 函数工作流（FunctionGraph）是一项基于事件驱动的函数托管计算服务。使用FunctionGraph函数，只需编写业务函数代码并设置运行的条件，无需配置和管理服务器等基础设施，函数以弹性、免运维、高可靠的方式运行。 函数使用流程如下图所示。 1、编写代码 用户编写业务代码，目前支持Node.js、Python、Java、Go等语言。 2、上传代码 目前支持在线编辑、上传ZIP或JAR包，从OBS引用ZIP包等。 3、API和云产品事件源触发函数执行 通过RESTful API或者云产品事件源触发函数执行，生成函数实例，实现业务功能。 4、弹性执行 函数在执行过程中，会根据请求量弹性扩容，支持请求峰值的执行，此过程用户无需配置，由FunctionGraph完成。 5、查看日志 FunctionGraph函数实现了与云日志服务的对接，您无需配置，即可查看函数运行日志信息。 6、查看监控 FunctionGraph函数实现了与云监控服务的对接，您无需配置，即可查看图形化监控信息。

可能原因 计算资源（Yarn）不健康。 存储资源（HDFS）不健康。 存储资源（HDFS）部分不健康。 除Yarn与HDFS以外，关键角色不健康。 处理步骤 关闭容灾演练 1.在FusionInsight Manager页面，选择“集群 > 待操作集群的名称 > 跨AZ高可用”，打开跨AZ高可用页面。 2.检查AZ容灾列表中健康状态为“非健康”的AZ所在行的操作列中的“容灾演练”是否为灰色。 是，执行步骤4。 否，执行步骤3。 3.单击目标AZ行“操作”列中的“恢复”，待恢复后。等待2分钟，刷新页面查看该AZ健康状态。查看是否健康恢复。 是，处理完毕。 否，执行步骤4。 收集故障信息 4.以root用户登录主管理节点。 5.查看不健康服务的日志信息。 HDFS的日志文件存储路径为“/var/log/Bigdata/hdfs/nn/hdfsazstate.log”。 Yarn的日志文件存储路径为“/var/log/Bigdata/yarn/rm/yarnazstate.log”。 其余服务请查看对应服务日志目录下的服务健康检查日志。 6.请联系运维人员，并提供日志文件详细信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

步骤二：创建用户网关 1. 在网络区域选择“VPN连接”，进入VPN连接页面。 2. 在左侧网络控制台，选择“IPsec VPN”，进入用户网关列表页面。 3. 单击“创建用户网关”。具体步骤可参见创建用户网关。 4. 按照提示配置用户网关参数，单击“确定”，创建成功。 步骤三：创建IPsec连接 1. 在网络区域下拉“VPN连接”选择“IPsec VPN”，进入IPsec VPN页面。 2. 单击“IPsec连接”，进入“IPsec连接”页签。 3. 单击“创建IPsec连接”。 4. 按照提示配置参数。具体步骤可参见创建和管理IPsec连接。 5. 配置完成后单击“确认”，完成IPsec连接创建。 步骤四：在本地网关设备中加载VPN配置 VPN网关配置对应的ipsec连接，您可联系公司网工，根据所用防火墙网关完成配置。具体可参见本地网关配置。 步骤五：内网DNS配置使用 1. 在内网DNS创建内网DNS，关联VPCnewDNS。 2. 在目标域名行，单击“管理记录集”添加记录集，添加newdns主机记录。 添加完成，可在“解析记录”列表看到解析记录信息。 3. 进入网络控制台“终端节点”服务，单击“创建终端节点”。 选择服务及所属VPC后单击“下一步”，勾选“我已阅读”后“确认下单”完成DNS终端节点创建。 4. 设置IDC服务器的DNS服务地址为上一步骤创建的终端节点私网地址（本示例该地址为192.168.0.3）。 以linux操作系统的服务器为例，可以通过修改 resolv.conf文件临时修改服务器的DNS服务地址。 echo "nameserver 192.168.0.3" sudo tee /etc/resolv.conf 通过如下命令可以查看resolv.conf的配置情况 cat /etc/resolv.conf 查看结果 5. 使用nslookup命令查看解析结果，成功后即可实现云下访问云上资源。

功能名称 功能描述 发布地域 API 当前VBS提供了操作存储库、备份及备份策略的API。 详细的提供了API的描述、语法、参数说明及示例等内容。 全部 创建存储库 在创建备份之前，需要首先创建至少一个存储库。存储库用来存放备份，结合底层对象存储，为用户实现高度可靠的数据保护。 创建存储库时，用户可以根据需要将数据冗余策略配置为单AZ存储或多AZ存储。 ● 创建存储库：全部 ● 数据冗余策略：华东1/华北2 扩容存储库 当存储库在使用过程中容量不足时，可以选择扩容存储库来满足更大的备份容量需求。 全部 续订存储库 当存储库的计费模式为包年包月，则在存储库到期前，如需要继续使用该存储库，可以续订存储库。 全部 管理存储库标签 标签通常用于标识云服务资源，可通过标签管理功能对存储库进行分类和筛选。 全部 退订存储库 若不再使用某个存储库中的云硬盘备份，即可退订存储库。 在退订之前，需先清空存储库中所有的备份副本，才可退订成功。退订存储库后，将停止收取费用。 全部 备份策略 通过备份策略，可以按照预设的策略任务对已绑定的云硬盘资源进行周期性自动备份，确保云硬盘的安全性，能够在云硬盘损坏或数据丢失时快速恢复数据，保证业务稳定运行。 创建备份策略后： ● 可在备份策略中绑定或解绑存储库，将备份策略关联或取消关联到目标存储库中。 ● 可在备份策略中绑定或解绑云硬盘，将备份策略关联或取消关联到目标云硬盘上。 全部 创建云硬盘备份 云硬盘备份提供两种配置方式，立即备份和自动备份。 ● 立即备份：即一次性备份，手动创建一次性备份任务。 ● 自动备份：即周期性备份，通过创建备份策略并绑定云硬盘的方式创建的周期性备份任务。 全部 任务列表 任务列表用于展示当前执行任务的类型、状态、完成情况等信息。 任务类型包括备份任务、删除任务和恢复任务。 华东1 使用备份恢复数据 当云硬盘发生故障，或者由于人为误操作导致云硬盘数据丢失时，可以使用已经创建成功的备份恢复数据至源云硬盘。 恢复云硬盘数据之后备份时间点的数据将覆盖云硬盘数据，一旦执行，无法回退，请谨慎操作。 全部 使用备份创建新的云硬盘 可以使用备份创建新的云硬盘，新建的云硬盘在初始状态就具有备份中的数据。 使用备份创建的新云硬盘的可用区、磁盘类型、容量支持修改，其他参数如磁盘模式、磁盘加密默认和源云硬盘一致，无法修改。 全部 监控 云硬盘备份支持的监控指标，包括存储库使用量、存储库使用率。同时也支持创建事件告警，包括备份副本创建失败、云硬盘备份策略调度失败。 ● 指标监控：华东1/重庆2/武汉4/上海7/内蒙6/芜湖2/九江/贵州3/拉萨3/杭州2/南京3/南京4/南京5/海口2/昆明2/广州6/华北2/华南2/佛山3/郴州2/北京5/成都4/乌鲁木齐7 ● 事件监控：上海36/华东1/南昌5/杭州7/南宁23/长沙42/武汉41/华南2/西安7/庆阳2/西南1/西南2贵州/青岛20/华北2/郑州5/太原4/呼和浩特3 转换计费模式 包年包月采用包周期预付费的计费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。 如果您需要更灵活的计费方式，按照存储库的实际使用时长计费，您可以将存储的计费方式转为按需付费。 西安7/太原4/华东1/华北2/郑州5/西南2贵州/长沙42/华南2/杭州7/武汉41/庆阳2/呼和浩特3/乌鲁木齐7 加密 云硬盘备份通过云硬盘与对象存储服务的结合，将云硬盘的数据备份到对象存储中，高度保障用户的备份数据安全。 针对加密云硬盘的备份，备份数据自动加密保存。 南宁23/华东1/南昌5/华南2/西安7/太原4/华北2/郑州5/西南2贵州/杭州7/庆阳2/呼和浩特3/长沙42 IAM 统一身份认证（Identity and Access Management，简称IAM）服务，是供用户进行权限管理的基础服务，可以保证安全的控制云服务和资源的访问及操作权限。 IAM主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 全部 注意 “全部”是指所有支持云硬盘备份服务的国内资源池。 当前支持云硬盘备份服务的资源池为：上海7/上海36/杭州2/合肥2/芜湖2/南京2/南京3/南京4/南京5/华东1/九江/南昌5/杭州7/福州3/福州4/厦门3/福州25/佛山3/广州6/南宁23/南宁2/郴州2/长沙3/海口2/武汉3/武汉4/武汉41/长沙42/华南2/西安3/西安4/西安5/西宁2/兰州2/乌鲁木齐27/中卫5/西安7/庆阳2/乌鲁木齐7/贵州3/重庆2/成都4/昆明2/拉萨3/西南1/西南2贵州/青岛20/北京5/晋中/石家庄20/内蒙6/华北2/辽阳1/郑州5/太原4/呼和浩特3。 当前功能清单中各功能的发布地域仅针对国内公有云资源池。

本文介绍如何查看计费详情数据，可以了解安全加速的套餐详情和资源包使用情况。 CDN部分计费按照1000进制从Byte换算到Gbps。 套餐详情管理 安全加速的计费方式、WAF防护的套餐与计费、抗D服务的套餐与计费。 图 计费详情 资源包管理 资源包购买成功后次日00:00时生效，自动抵扣所覆盖产品产生的数据，有效期为一年； 资源包购买后不支持退款，到期后未用完的资源将清零，不支持转移到其他资源包； 购买多个资源包时，当某个资源包用尽后默认自动开启下一个临近到期的相同类别的资源包； 当资源包用尽或者过期后，默认转为按需计费。 1.订购安全加速产品后，可支持订购安全加速的资源包，并根据所开功能对资源包进行抵扣。 使用条件： 1）计费方式为“流量“：开通安全加速和WAF防护的用户，可抵扣“安全加速流量包“、“防护请求数包”和”静态https请求数包“；开通安全加速和抗D服务的用户，可抵扣”安全加速流量包“和“静态https请求数包”。 2）计费方式为“日带宽“：开通安全加速和WAF防护的用户，可抵扣“防护请求数包”和“静态https请求数包”；开通安全加速和抗D服务的用户，可抵扣“静态https请求数包”；计费方式为“日带宽”不能抵扣流量包，需要变更计费方式为“流量”。 2.资源包可叠加购买，购买多个相同类型的资源包，抵扣顺序依据资源包的到期时间先后排序，有效期不叠加计算。 3.资源包不支持退订，资源包订购成功后，不支持退订退款；资源包到期后，未用完的资源自动清零，不支持结转。 4.资源包的有效期为自购买成功后一年内有效；“任一资源包用尽”或“有效期结束”，将自动转按量计费。 5.资源包中的”安全加速流量包“是供边缘节点上行和下行总流量使用；“日带宽”计费客户，如需使用“安全加速流量包”，需将计费方式变更为“流量”。可叠加购买：购买多个相同类型的资源包，抵扣顺序依据资源包的到期时间先后排序，有效期不叠加计算。 不支持退订：资源包订购成功后，不支持退订退款；资源包到期后，未用完的资源自动清零，不支持结转。 有效期：自购买成功后一年内有效；“任一资源包用尽”或“有效期结束”，将自动转按量计费。 图 资源包管理

虚拟私有云功能支持管理员自主配置和管理云电脑的虚拟网络环境。 操作场景 虚拟私有云可以为您的桌面构建隔离的，管理员可自主配置和管理的虚拟网络环境。AI云电脑如果需要上网，需配置虚拟私有云（VPC）、业务子网及上网带宽。VPC可在开通电脑服务时同步创建，也可单独管理。 创建虚拟私有云 1.进入“AI云电脑（政企版）”管理控制台； 2.单击“网络管理”，选择“虚拟私有云”，进入虚拟私有云管理页面； 3.点击“创建虚拟私有云”按钮； 4.配置虚拟私有云的“网段”、“名称”、“子网名称”、“子网网络地址”等信息； 5.确认配置信息后，点击“立即创建”，即完成电脑虚拟私有云及子网的创建。 创建IPv6桌面 当虚拟私有云开启了IPv6的功能后，创建桌面在网络模块配置时，选择开启IPv6功能的子网后，桌面则同样可以选择是否开启IPv6，具体操作如下。 1.在创建虚拟私有云时，子网 IPv6网段选择“开启IPv6”； 2.创建桌面时，网络模块选择绑定开启IPv6的业务子网，然后选择“开启IPv6”； 3.桌面其他信息完成配置后，点击“开通桌面”，即完成IPv6的桌面创建。

本文介绍AOne客户端功能发布记录。 AOne客户端介绍 AOne客户端主要提供终端管理、零信任服务等产品能力。 如需下载客户端，请访问客户端下载页。 Windows 64bit 发布版本 发布时间 版本描述 2.28.3 20260512 支持自动登录，支持IPsec传输、FakeIP本地配置，一键重启服务，悬浮球体验优化，弱网模式优化，完善DNS解析，OTP绑定流程优化，提示语优化、用户体验提升。 2.26.3 20260206 支持关闭开机自启动，新增可信网络因子检测、悬浮球体验优化，内外网隔离支持本机流量处理，其他缺陷问题修复。 2.24.1 20251124 客户端节点优选、传输协议优化、支持云电脑登录等更多方式、全球加速功能完善、引流优化以及其他缺陷问题修复。 2.22.2 20250908 支持OTP口令、滑动验证码，联动客户端登录态，单点登录更丝滑，视觉改版，交互体验提升，修复其他缺陷问题。 2.17.1 20250331 客户端支持实时防护、病毒查杀、漏洞补丁、外设管控等能力。 2.13.3 20250210 客户端全面支持deepseek满血版。 2.13.1 20241223 病毒扫描的缓存机制验证，下发策略优化，修复已知问题。 2.12.0 20241125 信任区与隔离区优化，病毒查杀能力提升，优化使用体验。 2.10.4 20241018 插件功能优化，支持验证码登录，解决安全线上问题，修复已知问题。 2.10.1 20240918 优化使用体验，修复已知问题。 2.9.1 20240826 主页新增最近访问，优化使用体验。 2.8.1 20240813 页面全新改版，使用体验优化，新增进程管理，隔离区工具，内外网隔离能力优化。 2.5.0 20240510 病毒查杀能力补充，修复使用问题。 2.3.2 20240409 补充病毒查杀、软件管理、上网行为等能力，修复使用问题。 2.2.1 20240328 增加RBI相关能力、安全基线补充更新、问题修复。 2.0.1 20240227 客户端界面全新改版，提供内网访问诊断工具，增加问题反馈栏目，新增快速上下线连接内网功能，使用虚拟IP技术提高客户端兼容性稳定性，修复部分问题。 1.13.3 20231030 增加访问控制等弹窗拦截提示等优化用户访问体验。 增加客户端错误日志上报。 重构虚拟网卡为用户态网卡启动方式。 支持客户端应用地址查看和权限搜索。 修复部分访问异常的缺陷。 1.10.0 20230719 增加设备绑定校验、处置动作提示等提升用户体验。 优化客户端准入管控、环境感知能力。 增加互联网流量黑白名单管理。 1.6.0 20230609 增加我的设备管理、优化智能选路方式、增加多路探测。 1.4.0 20230426 增加用量展示、增加最近登录展示、去掉底层监听，解决部分场景因底层监听导致访问失败，修复部分问题。 1.2.0 20230401 支持客户端工作台内容定制，如自定义企业logo等。 1.0.0 20230305 首个版本发布。

本节介绍了什么是数据库备份、备份类型、备份机制等内容。 什么是数据库备份 RDS for MySQL会在数据库实例的备份时段中创建数据库实例的自动备份。系统根据您指定的备份保留期（1~732天）保存数据库实例的自动备份。 每次备份完成后都会生成一个备份文件，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。 备份类型 RDS for MySQL包含多种备份类型，不同备份类型的概念介绍以及功能差异，请参见备份类型。 全量备份：对所有目标数据进行备份。全量备份总是备份所有选择的目标，即使从上次备份后数据没有变化。 全量备份触发方式分为：自动备份、手动备份。 增量备份：即Binlog备份，RDS系统自动每5分钟或一定数据量时对上一次全量备份或增量备份后更新的数据进行备份。 备份触发过程 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。备份触发后，从主库备份数据并以压缩包的形式存储在对象存储服务上，不会占用实例的磁盘空间。 主备实例 采用一主一备的经典高可用架构，主备实例的每个节点的规格保持一致。备份触发后，从备库备份数据并以压缩包的形式存储在对象存储服务上（当主备复制延迟较高时会切换到主机备份），不会占用实例的磁盘空间。 当数据库或表被恶意或误删除，虽然RDS支持主备高可用，但备机数据库会被同步删除且无法还原。因此，数据被删除后只能依赖于实例的备份保障数据安全。

本节介绍了什么是数据库备份、备份类型、备份机制等内容。 什么是数据库备份 RDS for PostgreSQL会在数据库实例的备份时段中创建数据库实例的自动备份。系统根据您指定的备份保留期（1~732天）保存数据库实例的自动备份。 每次备份完成后都会生成一个备份文件，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。 备份类型 RDS for MySQL包含多种备份类型，不同备份类型的概念介绍以及功能差异，请参见备份类型。 全量备份：对所有目标数据进行备份。全量备份总是备份所有选择的目标，即使从上次备份后数据没有变化。 全量备份触发方式分为：自动备份、手动备份。 增量备份：即Binlog备份，RDS系统自动每5分钟或一定数据量时对上一次全量备份或增量备份后更新的数据进行备份。 备份触发过程 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。备份触发后，从主库备份数据并以压缩包的形式存储在对象存储服务上，不会占用实例的磁盘空间。 主备实例 采用一主一备的经典高可用架构，主备实例的每个节点的规格保持一致。备份触发后，从备库备份数据并以压缩包的形式存储在对象存储服务上（当主备复制延迟较高时会切换到主机备份），不会占用实例的磁盘空间。 当数据库或表被恶意或误删除，虽然RDS支持主备高可用，但备机数据库会被同步删除且无法还原。因此，数据被删除后只能依赖于实例的备份保障数据安全。

一站式智算服务平台广泛应用于多种场景,本文带您更快了解一站式智算服务平台经典应用场景。 模型训练 向下纳管智算硬件资源，提供技术运维及训练加速。向上通过模型开发平台提供大模型训练全链路功能，简化操作，提升效率。封装训练所需的底层技术，缩小训练者所需掌握的技术范围，降低大模型开发技术门槛。 主要用户包括各基础大模型厂商，各种拥有行业和场景专业知识与数据的行业客户，如科研院所、大专院校和教育机构、政府、金融机构、工业企业、科技单位、医院等。 模型推理 向下纳管智算硬件资源，提供技术运维服务及推理加速。向上通过模型服务平台提供部署好的模型服务，并集成丰富配套工具，提供模型推理一站式部署服务。 主要用户包括各种软件开发商，特别是行业软件开发商，以及科研院所、大专院校和教育机构、政府、金融机构、工业企业、科技单位、医院等行业客户。 算力运营 智算平台可部署在客户的智算资源上，对算力资源进行统一管理、统一调度，赋能客户算力运营能力，帮助客户通过算力运营和销售取得收益。 主要客户包括各种算力运营商，如各行业大型企业集团、政府旗下的基建投资公司等。

本小节介绍云下一代防火墙计费类常见问题。 云下一代防火墙安全产品有几个规格？ 下一代防火墙安全产品分为标准版、高级版和旗舰版，三个版本基本功能相同但性能不同，所需弹性云主机的配置也不同，上述三个版本均可购买额外的安全扩展功能，不同版本规格详细信息可参考规格。 云下一代防火墙安全产品各个版本有什么功能？ 云下一代防火墙安全产品有基础功能、防病毒、URL过滤、带宽管理、僵尸网络防护、IP信誉库和云沙箱等功能。 其中，基础功能包含入侵防御、应用识别、攻击防护、地址映射等功能，基础功能三个版本通用；标准版和高级版可扩展功能一致，能够扩展增加防病毒、URL过滤、带宽管理等功能；旗舰版可扩展防病毒、URL过滤、带宽管理、僵尸网络防护、IP信誉库和云沙箱全部功能。 云下一代防火墙是否可以按月计费？ 云下一代防火墙支持按月/按年计费，最低订购时长为1个月。 云主机和云下一代防火墙计费是否重复？ 云主机订购费用和云下一代防火墙的计费是不同步的，云主机计算属于资源计算，需要按照平台云主机计费标准；云下一代防火墙安全产品属于服务计费，会根据使用规格、时长、功能等项目进行计费。

本文介绍DDoS高防（边缘云版）相关的概念解释。 什么是DDoS高防经常提到的源站IP？ 源站IP指客户的业务系统对外提供服务时所使用的公网IP地址。 用户在接入域名时，需要配置源站地址。当攻击流量经过天翼云节点清洗后，干净的业务流量将会转发回客户源站IP。 什么是SYN Flood攻击？ SYN Flood攻击是一种典型的DDoS攻击，主要攻击方式表现为服务端接收到 SYN包 后，会回复SYN ACK包，并进入半连接状态。Attacker一直发送 SYN包，但不回复 ACK包，直到被攻击方的服务器资源耗尽。 什么是ACK/UDP/ICMP Flood攻击？ ACK/UDP/ICMP Flood攻击是指攻击者发起大量ACK/UDP/ICMP数据包，造成服务器过载，目的是通过大量的报文，导致被攻击方的服务器资源耗尽，无法响应正常的请求。 什么是空连接攻击？ 空连接攻击是攻击者与服务端完成TCP握手，并建立TCP连接，但不发起任何请求，导致连接被占用甚至耗尽，从而影响正常用户发起连接。 什么是UDP反射放大攻击？ 正常情况下客户端发送请求包到服务端，服务端返回响应包到客户端，但是 UDP 协议是面向无连接的，所以攻击者将源IP伪造成被攻击方IP，响应包则全部反射到被攻击方，导致被攻击方的服务器资源耗尽。 什么是CC攻击？ 黑客利用代理服务器或者控制的肉鸡，向目标服务器发送大量的请求（尤其是需要频繁查询数据库的请求），致使CPU处理不过来这么多的请求，长期处于100%的状态，从而无法处理正常请求。

本章节主要介绍跨源认证概述。 什么是跨源认证？ 跨源分析场景中，如果在作业中直接配置认证信息会触发密码泄露的风险，因此推荐您使用“数据加密服务DEW”或“DLI提供的跨源认证方式”来存储数据源的认证信息。 数据加密服务（Data Encryption Workshop, DEW）是一个综合的云上数据加密服务，为您解决数据安全、密钥安全、密钥管理复杂等问题。推荐使用数据加密服务DEW来存储数据源的认证信息。 跨源认证用于管理访问指定数据源的认证信息。配置跨源认证后，无需在作业中重复配置数据源认证信息，提高数据源认证的安全性，便于DLI安全访问数据源。 本节操作为您介绍DLI提供的跨源认证的使用方法。 约束与限制 仅Spark SQL、和Flink OpenSource SQL 1.12版本的作业支持使用跨源认证。 DLI支持四种类型的跨源认证，不同的数据源按需选择相应的认证类型。 −CSS类型跨源认证：适用于“6.5.4”及以上版本的CSS集群且集群已开启安全模式。 −Kerberos类型的跨源认证：适用于开启Kerberos认证的MRS安全集群。 −KafkaSSL类型的跨源认证：适用于开启SSL的Kafka。 −Password类型的跨源认证：适用于DWS、RDS、DDS、DCS数据源。。 跨源认证类型 DLI支持四种类型的跨源认证，不同的数据源按需选择相应的认证类型。 CSS类型跨源认证：适用于“6.5.4”及以上版本的CSS集群且集群已开启安全模式。配置时需指定集群的用户名、密码、认证证书，通过跨源认证将以上信息存储到DLI服务中，便于DLI安全访问CSS数据源。详细操作请参创建CSS类型跨源认证。 Kerberos类型的跨源认证：适用于开启Kerberos认证的MRS安全集群。配置时需指定MRS集群认证凭证，包括“krb5.conf”和“user.keytab”文件。详细操作请参考创建Kerberos跨源认证。 KafkaSSL类型的跨源认证：适用于开启SSL的Kafka，配置时需指定KafkaTruststore路径和密码。详细操作请参考创建KafkaSSL类型跨源认证。 Password类型的跨源认证：适用于DWS、RDS、DDS、DCS数据源，配置时将数据源的密码信息存储到DLI。详细操作请参考创建Password类型跨源认证。

天翼云EMR实例DeepSeekR1DistillQwen7B蒸馏模型部署实践 本节内容主要介绍如何在天翼云EMR实例上，基于Intel® xFasterTransformer加速库和vllm推理引擎完成模型部署，并展示相关性能指标。 1. 服务部署 为了方便用户使用，天翼云联合英特尔制作了一键部署的云主机镜像，内置DeepSeekR1DistillQwen7B模型、vLLM推理框架、xFT加速库以及openwebui前端可视环境。您可在天翼云控制台选择下列资源池和镜像，开通云主机进行体验。 类型 可用资源 可用资源池 华东华东1az2、华东华东1az3 可用规格 c8e系列（最低内存需求32G） 可用镜像 DeepSeekvLLM英特尔AMX推理加速(CPU) 完成云主机开通后，推理服务会在5分钟内自动启动，您无需进行任何其他操作。 注意 如需在云主机外访问服务，您需要绑定弹性IP，并在安全组内放行22/3000/8000端口。 2. 模型使用 openwebui前端使用 镜像已内置openwebui，并已完成和vllm的连接配置，可直接通过以下地址进行访问: plaintext 注意 1. 首次打开页面时，您需要先完成管理员注册，以进行后续的用户管理。注册数据均保存在云实例的/root/volume/openwebui目录下。 2. 如果首次打开对话页面时没有模型可供选择,请您稍等几分钟让模型完成加载即可。 vllm api调用 镜像内置vllm服务可直接通过如下地址访问： plaintext

在检查结果页面对某检查项加白名单 如果您不需要对某检查项进行检查，或者不需要对某检查项下的部分服务资源实例进行检查，可以执行加白名单操作。 加白名单后，再次检查时，将不再对已加白检查项进行检查，且“检查项合格率”中，也将不再纳入计算中。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防> 基线检查”，默认进入检查结果页面。 5. 在检查结果列表中，单击对应检查项所在行操作列的“加白名单”。 6. 在弹出的确认框中，单击“确定”。加白名单后，检查结果列表中将不展示该检查项的信息。加白名单后，再次执行检查时，将不再对已加白检查项进行检查，且“检查项合格率”中，也将不再纳入计算中。 在遵从包详情页对某检查项加白名单 如果您不需要对某检查项进行检查，可以执行加白名单操作。 加白名单后，再次检查时，将不再对已加白的检查项进行检查，且“检查项合格率”中，也将不再纳入计算中。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防> 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，默认进入遵从包页面。 5. 单击目标遵从包名称，进入遵从包详情页面。 6. 在遵从包列表中搜索目标检查项，搜索到指定检查项后，单击待忽略检查项“操作”列的“加白名单”。 7. 在弹出的确认框中，单击“确定”。加白名单后，检查结果列表中将不展示该检查项的信息。加白名单后，再次执行检查时，将不再对已加白检查项进行检查，且“检查项合格率”中，也将不再纳入计算中。

本文介绍弹性文件服务入门相关流程。 天翼云弹性文件服务提供按需扩展的高性能文件存储，可为云上多个弹性云主机提供大规模共享访问，具备高可用性和高数据持久性。下面我们以创建文件系统、挂载文件系统到数据读写为例介绍弹性文件服务的整体入门流程，具体流程见下图： 1. 首先进行准备工作，注册天翼云，确保账户余额，具体流程参见准备工作。 2. 设置天翼云弹性文件服务控制台所给出的配置项，包括存储类型、存储协议等信息，具体步骤请参见创建文件系统。 3. 创建好的文件系统需要挂载至云主机或物理机上使用，具体挂载步骤参见挂载文件系统。 4. 文件系统挂载完成后，您可以为文件系统配置监控告警规则，监控带宽、IOPS等数据，赋能业务，配置参考创建告警规则和开启一键告警。 5. 您可以将本地或其他存储设备上的数据迁移至文件系统共享与管理。具体步骤可参考NAS文件系统之间的迁移。 6. 您可以像访问本地数据一样读写文件系统中存储的数据。

天翼云分布式缓存服务Redis版提供多种性能和存储规格的实例，您可以根据业务需要购买相应的Redis实例。 前提条件 具备已通过实名认证的天翼云账号 已准备好实例依赖资源，具体请参考本章环境准备说明 操作步骤： 1. 登录天翼云门户，并选择相应的资源池。选择合适的区域，可有效降低网络延时、提高访问速度。 2. 进入服务列表，选择分布式缓存服务Redis，进入分布式缓存redis控制台。 3. 单击控制台右上方的“订购实例”，进入购买页面。 4. 选择和设置以下基本信息： 参数 说明 计费模式 包年/包月、按需计费两种模式，包年/包月默认时长为1个月，页面底部购买量可选16个月，1年。按需计费指按照时间进行计费。 区域 可在页面左上角切换区域。 版本号 支持5.0/6.0/7.0内核版本。 实例类型 主备：主从热备部署架构，数据持久化，故障自动切换。 单机：单节点部署、支持数据持久化。 Cluster主备：直连模式集群，数据多个分片，每个分片主从热备部署架构。 Cluster单机：直连模式集群，数据多个分片，每个分片单节点部署架构。 读写分离：代理模式一主多备架构，数据持久化，故障自动切换。 具体实例类型可参考实例类型说明章节 实例规格 单机、主备支持1G64G； Cluster单机、Cluster主备支持分片规格1G64G。 读写分离支持规格4G64G。 分片数 Cluster单机、Cluster主备支持自定义分片数，范围3256。 实例总容量 分片规格 分片数量。 例：分片规格为2GB，分片数量为3，则实例总容量为6GB。 副本数 读写分离支持自定义副本数，范围26。 例如3副本，1主2从，从库可读。 虚拟私有云 点击下拉框可选择已创建的虚拟私有云，点击右侧的刷新按钮可刷新下拉框列表，点击“查看虚拟私有云”可进入虚拟私有云管理页面对虚拟私有云进行新增、删除、修改、编辑网段等操作，详情可参考创建虚拟私有云VPC。弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境时，首先要申请虚拟私有云。 子网 点击下拉框可选择当前虚拟私有云下已创建的子网，可进入子网管理页面对虚拟私有云子网进行新增、删除、修改等操作，详情可参考创建子网。 安全组 点击安全组下拉框可选择当前VPC下已创建的安全组，系统会为每个用户默认创建一个安全组。安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。安全组管理详情可参考创建安全组。 密码 ● 密码长度8～26 个字符，必须同时包含（大写字母、小写字母、数字、 英文格式特殊符号(@%^+)四种类型且不能包含空格。 ● 请妥善管理密码，系统无法获取您设置的密码内容 确认密码 再次确认密码，与上述密码一致。 实例名称 系统生成默认缓存实例名称（用户可修改），初始实例名作为实例标识参与连接认证过程，创建成功后实例标识不支持修改。 购买时长 计费模式为包年/包月时生效，可选16个月，1年。 自动续订 勾选自动续订后方框，可在包年/包月实例到期后自动续费。按月购买：自动续订周期为1个月按年购买：自动续订周期为1年 购买数量 购买以上规格的实例个数。 确认订购信息后，点击“立即创建”，进入订单确认页面。实例开通一般需要几分钟的时间，开通成功后即可在实例列表页面看到购买的实例。