不同VPC场景下，如何实现源库和目标库的网络互通？ 不同VPC场景，需区分是在同一个资源池还是不同资源池，具体如下： 同一个资源池 同一个资源池下，可以通过VPC对等连接的方式实现源库和目标库的网络互通。注意，需要保证源库和目标库各自所在的子网的网段相互不冲突，否则会导致VPC对等连接无法成功建立。 不同资源池 不同资源池需要通过公网网络进行网络互通。首先源库需要申请公网IP来支持公网访问，其次由于源库和目标库之间是通过DTS实例来进行数据迁移的，并且DTS实例与目标库是在同一个VPC，故主要是在购买DTS实例时，网络接入模式需使用【公网EIP】。 最后，针对以上两种场景，都需要正确配置安全组规则，即源库所在安全组的入方向需放通DTS实例的IP和源库的端口；DTS实例所在的安全组的出方向规则需放通DTS实例的IP和源库的端口。 DTS公网网络的EIP带宽是多少？ DTS使用的EIP是由用户提供，即可以选择在天翼云已购买的EIP或者在天翼云弹性IP产品新购一个EIP，故EIP带宽主要由选择使用的这个EIP决定。 弹性IP产品的默认可调整范围为1Mbps到300Mbps；在弹性IP产品提交工单，最大值可提至2000Mbps。具体可以参考天翼云弹性IP规格和使用限制文档内容。

开发机单机训练 开发机训练是模型开发过程中快速验证代码和训练流程的重要环节。通过开发机训练，可以高效完成模型调试和小规模实验，以下是开发机模型训练的操作指南。 1.训练脚本准备 在完成环境和权重准备后，可以通过以下步骤启动开发机的模型训练任务：修改examples/llama2/pretrainllama27bptd.sh脚本 plaintext 根据实际情况配置权重保存、权重加载、词表、数据集路径 CKPTSAVEDIR"./ckpt/llama27b"新权重保存路径 DATAPATH"./dataset/llama27bhf/alpacatextdocument"数据集路径 TOKENIZERMODEL"./modelfromhf/llama27bhf/tokenizer.model"词表路径 CKPTLOADDIR"./modelweights/llama27bhfv0.1tp1pp2"权重加载路径 可直接在VScode中，使用文本编辑其中进行修改，文本编辑器内的内容会自动保存更改，无需每次手动保存。 2.配置分布式参数 单机 8 卡训练参数示例： plaintext GPUSPERNODE8 MASTERADDRlocalhost MASTERPORT6000 NNODES1 NODERANK0 WORLDSIZE$(($GPUSPERNODE $NNODES)) 3.启动训练 在终端的MindSpeedLLM工作目录下直接执行训练脚本。 plaintext bash examples/llama2/pretrainllama27bptd.sh 说明 由于原框架问题，第一次运行失败的话，可以尝试重复启动一下。 训练任务启动后，终端将实时打印训练日志。

本节主要介绍如何在智能视图服务控制台管理设备AI订阅。 智能视图服务平台支持获取国标协议设备侧的告警信息，当设备支持报警布防功能时，用户可以自定义需要订阅的设备侧告警类型，平台即可获取并展示设备侧告警内容。 说明 设备AI订阅功能当前仅支持国标2016版本接入的设备。 创建设备AI订阅 点击左侧导航栏的【AI管理设备AI订阅】后点击【新建】进入该页面，用户需输入订阅名称、勾选需要订阅的设备告警类型，当前订阅协议仅支持国标2016版本（即仅支持为国标2016设备绑定订阅）。 绑定设备AI订阅 设备AI订阅可以批量绑定至设备，设备绑定后即实时获取设备侧上报的告警信息并展示。 批量绑定订阅 完成订阅创建后，在订阅列表选中单个订阅并点击【绑定设备】，可勾选多个需订阅的设备后点击【确定】即立即生效。 设备绑定订阅 点击左侧菜单栏的【设备管理】，选中设备并在设备详情切换至【配置信息】页面，在设备AI订阅信息右侧点击【配置】。在配置状态下，选择需要的订阅点击【绑定】即可完成设备AI订阅绑定，同样也可以在该页面解除绑定。 查看设备侧AI告警 点击左侧导航栏的【运营中心AI告警】，在设备树中选择设备点击查看【设备侧告警】，即可查看设备上报的告警类型及告警时间。

本节主要介绍如何在智能视图服务控制台管理设备AI订阅。 智能视图服务平台支持获取国标协议设备侧的告警信息，当设备支持报警布防功能时，用户可以自定义需要订阅的设备侧告警类型，平台即可获取并展示设备侧告警内容。 说明 设备AI订阅功能当前仅支持国标2016版本接入的设备。 创建设备AI订阅 点击左侧导航栏的【AI管理设备AI订阅】后点击【新建】进入该页面，用户需输入订阅名称、勾选需要订阅的设备告警类型，当前订阅协议仅支持国标2016版本（即仅支持为国标2016设备绑定订阅）。 绑定设备AI订阅 设备AI订阅可以批量绑定至设备，设备绑定后即实时获取设备侧上报的告警信息并展示。 批量绑定订阅 完成订阅创建后，在订阅列表选中单个订阅并点击【绑定设备】，可勾选多个需订阅的设备后点击【确定】即立即生效。 设备绑定订阅 点击左侧菜单栏的【设备管理】，选中设备并在设备详情切换至【配置信息】页面，在设备AI订阅信息右侧点击【配置】。在配置状态下，选择需要的订阅点击【绑定】即可完成设备AI订阅绑定，同样也可以在该页面解除绑定。 查看设备侧AI告警 点击左侧导航栏的【运营中心AI告警】，在设备树中选择设备点击查看【设备侧告警】，即可查看设备上报的告警类型及告警时间。

本节介绍了Linux弹性云主机挂载NVMe SSD盘异常,如何修复的问题描述、处理方法。 问题描述 挂载有NVMe SSD盘的Linux弹性云主机（如P1型云主机）发生故障时，需联系管理员通过异地重建的方式进行恢复，新建故障弹性云主机。 如果故障弹性云主机在/etc/fstab中设置了NVMe SSD盘的开机自动挂载功能，对于新建弹性云主机，系统盘恢复，但挂载的NVMe SSD盘无文件系统，无法实现开机自动挂载，导致云主机启动时进入紧急模式，如下图所示。 图 紧急模式 为保证新建弹性云主机的正常使用，需要您手动删除/etc/fstab中的挂载信息，具体操作请参见本节内容。 说明 NVMe SSD盘发生故障后，数据会丢失。本指导仅用于恢复弹性云主机自动挂载NVMe SSD盘的操作，不能恢复盘上的数据。 处理方法 1. 登录弹性云主机。 2. 输入root用户的密码，进入弹性云主机。 图 登录云主机 3. 执行以下命令，编辑/etc/fstab文件。 vi /etc/fstab 4. 删除NVMe SSD盘的挂载信息并保存，如下图所示。 图 删除自动挂载信息 5. 执行以下命令，重启弹性云主机。 reboot 6. 重启后，弹性云主机恢复正常，可以正常登录，如下图所示。 图 登录弹性云主机

本文帮助您快速熟悉虚拟IP的定义、特点、组网模式,以及应用场景等内容。 什么是虚拟IP 虚拟IP（Virtual IP Address，简称VIP）是一个从子网中分配的内网IP地址，没有分配给真实弹性云服务器网卡。虚拟IP地址拥有私有IP地址同样的网络接入能力，用户也可以像主私网IP地址一样通过虚拟IP去访问弹性云服务器。 您可以通过将虚拟IP与主备弹性云服务器绑定，根据是否需要访问公网可以为虚拟IP绑定一个弹性IP，配合高可用软件（例如Keepalived）使用，实现业务的高可用。 说明 重要：虚拟IP免费使用。非虚拟IP软件问题，例如高可用软件（keeplived）配置，物理网络等相关问题导致的业务受损不承担责任，不承诺任何服务等级协议相关的保障条款。 注意 1、如未结合Keepalived使用，请谨慎删除与虚拟IP绑定的主服务器或者网卡，有可能会导致备服务器或网卡流量不通等现象。 2、对于可用区资源池来说，虚拟IP只支持单播，不支持广播和组播。如果您使用keepalived等第三方软件结合虚拟IP搭建高可用场景，您需要将配置文件中的通信方式修改为单播通信。 3、对于地域资源池来说，仅vxlan架构资源池的IPv4类型的虚拟IP支持组播，其余形式均不支持组播。虚拟IP也不支持广播通信。 4、标准裸金属不支持IPv6类型虚拟IP，请勿在标准裸金属子网内申请IPv6类型虚拟IP使用。

本节介绍了文件注入的使用场景、使用限制、使用方法、使用场景等内容。 使用场景 当您有如下需求时，可以考虑使用文件注入功能将文件注入到弹性云主机： 需要通过脚本简化弹性云主机配置 通过脚本初始化系统 已有脚本，在创建弹性云主机的时候一并上传到服务器 其他可以使用脚本完成的事情 说明 虚拟化类型为KVM的弹性云主机，不支持文件注入功能，建议使用“用户数据注入”功能，请参见 使用限制 Linux： 具有注入文件运行权限的用户：root。 注入文件路径：Linux系统分区下的任意目录，路径只能包含字母、数字、下划线和点。例如/etc/foo.txt。 Linux系统盘的文件类型支持：ext3和ext4。 注入脚本的默认权限是：读写。修改默认权限的方式：以root用户登录云主机后，进入注入文件目录后执行如下命令：chmod 755 注入文件名。 注入文件执行方式：手工执行+自动执行 自动执行条件：注入文件的存放目录为/etc/init.d且已修改了注入文件权限。 文件大小限制：小于等于1KB。 Windows 具有注入文件运行权限的用户：administrator。 注入文件路径：默认是C盘根目录，不能在注入文件时修改文件注入路径。 Windows系统盘的文件类型支持：NTFS。 注入文件执行方式：手工执行。 文件大小限制：小于等于1KB。 使用方法 1. 根据实际需要写脚本，脚本符合操作系统要求即可。 2. 创建弹性云主机时，选择脚本并填写脚本保存路径。 3. 系统创建弹性云主机，自动注入脚本。 4. （Linux必选）修改脚本权限。 5. 执行脚本。

本文介绍Redis连接失败问题排查和解决 概述 本章节主要描述Redis连接过程出现的问题，以及解决方法。 问题分类 当您发现与Redis实例连接出现异常时，可以根据本文的内容，从以下几个方面进行排查。 Redis和ECS之间的连接问题 公网连接Redis 密码问题 实例配置问题 客户端连接问题 性能问题导致连接超时 Redis和ECS之间的连接问题 在连接Redis和ECS之间存在一些常见的问题，需要确保它们在同一个VPC内并能够正常通信。 未正确配置安全组规则： 问题描述：Redis和ECS的安全组可能没有正确配置，导致连接失败。 解决方法：需要配置ECS和Redis实例所在安全组规则，确保允许Redis实例被访问。详细的配置步骤可以参考配置安全组。 白名单功能开启导致连接失败： 问题描述：如果实例开启了白名单功能，客户端连接时需要确保客户端IP在白名单内，否则将无法连接。 解决方法：需要按照实例实例白名单配置文档操作，确保客户端IP在白名单内。注意，如果客户端IP发生变化，需要将新的IP加入白名单。 不同VPC导致连接失败： 问题描述：如果Redis实例和ECS不在同一个VPC，它们之间的网络是不相通的。 解决方法：可以通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问Redis实例。有关VPC对等连接的创建和使用，请参考VPC对等连接说明。

本节介绍了锁超时相关问题与解决方法。 场景描述 业务侧实例上报错误码1205，等锁超时提示。 TaurusDB error code MY001205 (ERLOCKWAITTIMEOUT): Lock wait timeout exceeded ; try restarting transaction 原因分析 1. 查看监控指标“行锁花费时间”，监控到行锁等待时间较长，说明该系统出现过锁冲突的现象。 监控指标详细内容请参考查看监控指标。 2. 登录实例，执行如下SQL，查看系统当前存在的长事务，以及事务持有的行锁信息。 select trxmysqlthreadid, trxid, trxstate, trxstarted, trxtableslocked, trxrowslocked, trxisolationlevel, trxquery, trxoperationstate from informationschema.innodbtrx order by trxstarted; informationschema.innodbtrx表包含了当前innodb内部正在运行的事务信息。 trxstarted：表示事务的开始时间，用来判断当前事务是否是长事务，当前时间减去开始时间就是事务的执行时间。 trxstate ：表示当前事务的状态，取值如下： RUNNING：运行。 LOCK WAIT：等待锁 说明 如果事务当前的状态是LOCK WAIT，即表示事务持有行锁。 RUNNING：运行。 LOCK WAIT：等待锁 解决方案 由于持锁长事务长时间未提交或回滚导致后续操作阻塞，如果持锁长事务已经阻塞了后续的业务，需要将长事务KILL，后续业务侧尽量避免持锁长事务。

本文主要介绍创建测试工程 性能测试为用户的测试工程提供管理能力，事务模型、测试用例、测试任务、实时报告、离线报告的内容在同一个测试工程内共享复用，您可以为不同的测试项目创建不同的测试工程。 当前支持自定义创建测试工程和使用模板创建测试工程两种方式。性能测试工程定义了以下几种模板： 一网通办系统场景：一网通办系统场景通过模拟系统访问量的实际场景，快速构造压力模型，发现不同压力模型下服务的性能瓶颈，避免服务宕机。 流媒体场景：支持常见流媒体协议的推流和拉流来构造相应的压测场景，模拟音视频典型场景进行性能压测，提前甄别风险。 秒杀场景：秒杀场景模拟大量用户，在指定时间点集中进行商品相关的操作，用于检测电子商城的服务在访问压力几何倍数暴增下的可靠性。 电商场景：电商场景模拟了大量商家登录电商系统后，进行查看、维护商品信息等操作，检验相关操作无中断，服务运行正常。 极速创建场景：快速进行自定义的压测场景，通过极速创建，直达用例页面进行编排，大大提升用例设计效率。 手工创建测试工程 1、登录性能测试控制台，在左侧导航栏中选择“测试工程”，单击“创建测试工程”。 2、参照下设置基本信息。 创建测试工程 参数 参数说明 工程名称 新建测试工程的名称。 描述 新建测试工程的描述信息。 3、配置完成后，单击“确定”。 测试工程创建成功后，即可为测试工程添加测试用例，详细操作请参见测试用例管理。

迁移方案 集群迁移工作主要涵盖以下六个关键环节： 1. 目标集群资源规划： 全面了解云容器引擎集群与自建集群之间的特性差异，合理进行资源分配。为确保迁移后的平稳运行，建议尽可能保持新旧集群在配置上的对应一致性。 2. 集群外资源迁移： 如涉及集群外部资源的迁移，可选用相应的迁移解决方案进行操作。 3. 迁移工具安装： 完成集群外资源转移后，分别在源集群与目标集群中安装迁移工具Velero。 4. 集群内资源迁移： 采用迁移工具Velero，将源集群内部资源备份至对象存储系统，随后在目标集群中执行恢复操作。 1. 原集群应用备份： 用户启动备份流程时，Velero会在源集群中生成Backup对象，同步收集并备份相关数据及资源，然后将其打包上传至符合S3协议的对象存储。备份的各类集群资源将以JSON格式文件保存。 2. 目标集群应用恢复： 在目标集群进行还原时，Velero会定位到先前存储备份数据的临时对象桶，将备份数据下载至新集群环境中，依据JSON文件内容逐一重新部署各项资源。 5. 资源更新适配： 迁移后的集群资源可能出现部署问题，此时需对存在问题的资源进行针对性更新适配，主要涵盖以下几类情况： 镜像更新适配 访问服务更新适配 StorageClass更新适配 数据库更新适配 6. 其他后续工作： 集群资源部署无误后，对迁移后应用的各项功能进行全面验证，逐步将业务流量切至新集群。确认所有服务均正常运作后，可将原集群安全下线。

说明如何快速使用云电竞服务。 快速注册步骤 1.您需要访问天翼云官网，注册并登录中国电信天翼云。 2. 鼠标悬停【产品】，在下拉选项中找到【CDN与边缘】，在右侧展开菜单中点击【云电竞】，跳转新页面后，点击【立即开通】完成云电竞的开通流程。 3.选择您所需要购买的服务内容，点击【确定】并完成支付流程。 4.访问云电竞控制台，获取您的客户端激活码并下载云电竞客户端【 Esports】。 5.启动云电竞客户端【Esports】，为该客户端命名后，输入您的天翼云账号及客户端激活码并点击【登录】即可使用，登录前，还可以进入设置界面，调整您所需要的画面参数。 账号与客户端激活码可通过控制台的订单查询页面获取 6.使用过程中，如果需要更换账号可同时按下 “ctrl+shift+alt+Q”返回本地电脑，点击右上角【设置】按钮，进入【管理员设置】，输入密码“Ctyunesports”，即可【重新注册】更换账号。

域名配置检查是否准确 检查网站信息是否填写正确，包括域名、端口、协议、回源IP等内容。 检查是否有特殊端口，如果有特殊端口需求，您可以将需要使用的HTTP/HTTPS访问端口提交工单 配置，目前只有专业版和旗舰版支持配置非标特殊端口。 检查上传的HTTPS证书是否正确，证书是否合法有效，证书链是否完整。 检查源站是否有防火墙或访问限制，是否已加白AccessOne的回源IP。 验证业务是否正常 验证在各环境下是否都能正常访问业务系统，观察请求的状态码是否异常。 验证业务系统登录后的会话是否保持正常。 如果有手机端业务，检查是否有SNI兼容问题。 是否有配置只允许AccessOne回源IP访问源站，防止攻击者绕过AccessOne直接攻击源站。 域名安全运营 报表分析 您可以通过该模块查看CC攻击报表、WAF攻击报表、业务分析、热门分析等功能，详细操作见安全防护分析。 告警管理 您可以通过该模块配置告警规则及查看告警记录，详细操作见告警管理。 日志服务 可通过离线日志模块进行下载域名的访问日志，并通过安全防护日志进行查看WAF攻击日志、CC攻击日志。 态势感知 通过态势感知模块，您可以实时查看到业务整体的攻击情况，详细操作见态势感知。

本节介绍了创建有状态工作负载(StatefulSet)的用户指南。 基本概念 有状态工作负载：即kubernetes中的“StatefulSet”，有状态工作负载支持实例有序部署和删除，支持持久化存储，适用于实例间存在互访的场景，如ETCD、mysqlHA等。 操作场景 在运行过程中会保存数据或状态的工作负载称为“有状态工作负载（statefulset）”。例如Mysql，它需要存储产生的新数据。因为容器可以在不同主机间迁移，所以在宿主机上并不会保存数据，这依赖于云容器引擎提供的高可用存储卷，将存储卷挂载在容器上，从而实现有状态工作负载的数据持久化。 约束与限制 当您删除或扩缩有状态负载时，为保证数据安全，系统并不会删除它所关联的存储卷。 当您删除一个有状态负载时，为实现有状态负载中的Pod可以有序停止，请在删除之前将副本数缩容到0。 您需要在创建有状态负载的同时，创建一个Headless Service，用于解决有状态负载Pod互相访问的问题，详情请参见Headless Service。 节点不可用时，Pod状态变为“未就绪”，此时需要手工删除有状态工作负载的Pod，Pod实例才会迁移到正常节点上。 前提条件 在创建容器工作负载前，您需要存在一个可用集群。若没有请参照集群开通中内容创建。 若工作负载需要被外网访问，请确保集群中至少有一个节点已绑定弹性IP，或已购买负载均衡实例。 创建多个工作负载时，请确保容器使用的端口不冲突 ，否则部署会失败。

本节介绍了 创建定时任务(CronJob)的用户指南。 基本概念 定时任务：即kubernetes中的“CronJob”，定时任务是按照指定时间周期运行的短任务。使用场景为在某个固定时间点，为所有运行中的节点做时间同步。 操作场景 定时任务是按照指定时间周期运行的短任务。使用场景为在某个固定时间点，为所有运行中的节点做时间同步。 定时任务是基于时间的Job，就类似于Linux系统的crontab，在指定的时间周期运行指定的Job，即：在给定时间点只运行一次；在给定时间点周期性地运行。 CronJob的典型用法如下所示： 在给定的时间点调度Job运行。 创建周期性运行的Job，例如数据库备份、发送邮件。 前提条件 在创建定时任务前，您需要存在一个可用集群。若没有可用集群，请参照集群开通中内容创建。 操作步骤及说明 步骤 1 登录容器引擎控制台。 步骤 2 单击集群名称进入集群，在左侧选择“工作负载”，选择“定时任务”，在右上角单击“创建定时任务”。 步骤 3 配置工作负载的信息。 基本信息 负载类型：选择定时任务CronJob。工作负载类型的介绍请参见工作负载概述。 负载名称：输入负载的名称，名称长度为1到63个字符，可以包含小写英文字母、数字和中划线（），并以小写英文字母开头，小写英文字母或数字结尾。 命名空间：选择工作负载的命名空间，默认为当前进入的命名空间。您可以单击后面的“创建命名空间”，命名空间的详细介绍请参见创建命名空间。

本文介绍了并行文件服务HPFS的计费模式、计费项、计费周期、计费公式以及产品定价等相关内容。 计费模式 并行文件服务HPFS会根据存储类型、配置容量大小和时长进行计费。当前仅提供HPC性能型存储类型，以及按需计费的计费模式。 按需计费（后付费）：按照创建文件系统时配置容量结算费用，先使用，后付费，适用于业务用量经常有变化的场景。 计费项 根据存储类型和规格，按照创建文件系统时配置的容量大小计费，并非按照上传文件的使用量。 在使用HPFS过程中，除并行文件系统配置容量的计费项费用之外，还可能涉及以下费用： 弹性IP费用 当您使用文件系统上传或下载数据、将本地数据迁移至HPFS时，通过将文件系统挂载至一台连接公网的物理机上实现数据上传和下载。如您占用弹性IP提供的公网带宽，具体费用信息，请参考弹性IP计费说明。 计费周期 HPFS按小时为周期统计，即每小时结算一次，须保证您的账户余额充足，避免可能因欠费影响业务。 计费公式 存储空间费用 存储类型单价（元/GB/小时） 文件系统配置容量大小（GB） 使用时长（小时）。 产品定价 HPFS按需计费定价，请参见HPFS产品价格。 卡券管理 优惠券使用规则请参见天翼云帮助中心费用中心优惠券使用。 代金券使用规则请参见天翼云帮助中心费用中心代金券使用。

背景说明 支持实时监测应用程序的文件外发行为，助力事后溯源取证。 注意 客户端版本：支持Windows客户端，需为2.25.10及以上客户端。 套餐版本：已订购终端管理企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏展开数据安全并点击【文件外发审计】，查看外发审计策略和审计日志相关内容。 外发审计策略 1. 外发审计策略列表主要展示已配置的审计策略详情，含策略名称、管控范围、外发通道、管控动作、管控事件、策略状态、编辑/新增时间等字段信息，支持通过 “策略名称、管控动作、策略状态、时间范围” 搜素或筛选已有的审计策略。 2. 支持对审计策略做 “详情、编辑、删除” 操作。 新增策略 1. 点击【新增策略】支持添加外发审计策略。 1. 当前仅支持针对 AI 应用客户端进行文件外发审计：Kimi 智能助手、AnythingLLM、豆包、腾讯元宝、Cici、智谱清言、Poe、讯飞星火、问小白、夸克、纳米 AI、Cursor、Chatbox、Canva、Cherry Studio、ima.copilot、Trae、通义、办公小浣熊、Windsurf、Warp、JoyCode、墨刀、讯飞绘文、讯飞文书、新华妙笔。 审计日志 1. 外发审计策略下发后，如客户端命中策略，则对应日志会上报到管理平台。 1. 点击【详情】查看日志详情信息。

本节主要介绍数据库连接类问题 如何接入GeminiDB Redis 目前GeminiDB Redis提供使用内网、公网、程序代码等方式接入GeminiDB Redis，具体方法请参见连接方式介绍。 如何使用GeminiDB Redis提供的多个节点IP地址 GeminiDB Redis提供多个IP地址供客户连接，连接任何一个IP地址都可以访问整个集群，其目的是为了提供负载均衡和容灾能力。 您可以通过以下两种方法使用多个IP。 1. 业务侧实现连接池，实现负载均衡和故障检测处理。 2. 联系客服，为您配置ELB（Elastic Load Balance，弹性负载均衡）服务，提供唯一IP供客户使用。 GeminiDB Redis提供的ELB的实现方式是怎样的 详情请参见弹性负载均衡。 如何创建和连接弹性云主机 1. 创建弹性云主机，请参见《弹性云主机快速入门》。 该弹性云主机用于连接GeminiDB Redis的实例，需要与目标实例处于同一虚拟私有云和子网内。 正确配置目标实例安全组，使得弹性云主机处于目标实例所属安全组允许访问的范围内。 2. 连接弹性云主机，请参见《弹性云主机快速入门》中“登录弹性云主机”的内容。 GeminiDB Redis实例购买成功后是否支持更换VPC GeminiDB Redis实例创建完成后暂不支持直接通过控制台更换VPC。 但您可以通过已有的全量备份恢复到新实例的方法切换到目标VPC。具体操作请参考恢复备份到新实例。

尊敬的客户,您好： 感谢您一直以来对天翼云边缘安全加速平台零信任服务的支持。基于短信整体事项安排，以及我们此前为答谢老客户，推出了短信限制过渡期的“老客户回馈”方案。 目前，该方案已达到预定周期。为保障平台资源的公平分配与服务的长期稳定，我们将对全体客户统一实施短信发送数量管理政策。现将涉及存量付费版老客户的具体安排通知如下： 一、受影响范围 本次调整适用于所有零信任、学术加速新老客户（不区分套餐版本）。 二、生效时间 系统将于 北京时间 2026年1月10日 00:0006:00 进行升级。升级完成后，上述客户的短信发送将正式纳入额度限制管理。 三、短信额度限制影响与解决方式 升级后，您的短信发送量将以当前套餐每月赠送的免费额度为上限。超出免费额度后，系统将无法继续发送短信，这可能会影响您用户的登录验证、信息变更及密码通知等业务场景。 为最大限度减少对您业务的影响，我们已根据历史数据，对可能存在超额使用风险的客户进行了提前分析，并通过站内信、邮件等渠道进行了主动告知与订购引导。具体短信收费及使用说明请查看文档：短信收费及使用说明。 四、重要提示 本次通知内容为最终执行方案。如与前期引导或沟通存在差异，请以此通知为准。 对于此次调整可能带来的不便，我们深表歉意，并衷心感谢您的理解与配合。

删除应用 前提条件 若应用下还存在关联的应用实例，则无法删除。 在“应用详情“页面，单击右上角的“删除应用“，在弹出的对话框中单击 “确认”。 收藏应用 1. 登录微服务云应用控制台，选择“应用管理 > 应用列表”。 2. 点击项目名，在应用管理右侧选择应用分组，选择应用分组下的某个应用，单击应用名右侧的“收藏应用”。 取消收藏 1. 登录微服务云应用控制台，选择“应用管理 > 应用列表”。 2. 选择“收藏应用”，选择某个应用，单击应用名右侧的“取消收藏”。 应用详情 应用详情分为三块内容：部署信息、基本信息、发布记录。 部署信息 概述 查看应用的部署情况，根据不同的应用发布方式，分为容器应用实例、ECS应用实例。选择相应的页签去查看应用的部署详情。该应用所属的项目关联的环境下的应用实例数，根据不同环境展示不同环境下的应用实例部署信息。 1. 登录微服务云应用控制台，选择“应用管理 > 应用列表”。 2. 点击项目名，在应用管理下选择应用分组下的某个应用，单击应用名，单击右侧的“部署信息”。 环境：应用所属项目下关联的所有环境以及环境下已发布的应用实例数，勾选展示。 容器应用实例：容器部署方式下不同环境的应用实例列表信息。 ECS应用实例：Ecs部署方式下不同环境的应用实例列表信息。 应用实例列表基本信息：包含应用实例名称、运行实例数/期望实例数、实例总数、所属项目、所属分组、应用名称、部署单元、技术栈版本、标签、工作负载类型（容器应用实例）、发布时间、发布状态、实例来源、操作。

本节主要介绍视图管理 新建视图 前提条件 您已成功登录文档数据库并创建新库。 操作步骤 1. 在文档数据库管理页面，单击顶部菜单栏“库管理”。 2. 选择视图页签，在视图列表页面单击“新建视图”。 3. 在新建视图页面，填写视图名称、集合名。 4. 在页面中间部位，单击“添加管道阶段”，在添加管道阶段弹窗中选择运算符，编辑表达式，信息填写完成单击“保存”。 您可在聚合管道页签下管道阶段列表中，对管道进行编辑、删除以及上下移动操作。 5. 在排序规则页签下，勾选“自定义Collation”，您可按需设置其规则。 6. 设置完成后，在页面下部单击“保存”。 打开视图 前提条件 您已成功登录文档数据库并在新库中创建了视图。 操作步骤 1. 在文档数据库管理页面，单击顶部菜单栏“库管理”。 2. 选择视图页签，在视图列表操作栏单击“打开视图”。 3. 在打开视图页面，您可设置Query、Projection、Sort、Limit、Skip参数查询当前集合文档。 4. 在JSON页签中，查看过滤出的文档内容。 说明 为方便查看，DAS支持将纯文本文件转成table和tree样式。 编辑视图 前提条件 您已成功登录文档数据库并在新库中创建了视图。 操作步骤 1. 在文档数据库管理页面，单击顶部菜单栏“库管理”。 2. 选择视图页签，在视图列表操作栏单击“编辑”。 3. 在修改视图页面，您可修改集合名。 4. 并可继续管理聚合管道和排序规则，与新建视图一致。 5. 修改完成后，在页面下部单击“保存”。 删除视图

本文介绍分布式消息服务Kafka入门指引的环境准备内容。 概述 在创建天翼云分布式消息服务Kafka实例之前，您需要做一些准备工作。 首先，您需要设置一个虚拟私有云（VPC），这是一个隔离的网络环境，用于托管Kafka实例。 接下来，您需要创建一个子网，它是VPC内部的一个子网络，用于划分不同的部分和区域。 最后，您需要配置一个安全组，用于控制入站和出站的流量规则，以保证Kafka实例的安全性。 每个分布式消息服务Kafka实例都会被部署在特定的VPC中，并与特定的子网和安全组相关联。这种方式可以让您自主配置和管理Kafka实例的网络环境，并提供安全保护策略。如果您已经有了现成的VPC、子网和安全组，可以重复使用它们，无需重复创建。这样可以节省时间和资源，并确保一致性和可靠性。 VPC和子网 VPC和子网可重复使用，您也可以使用不同的VPC和子网来配置Kafka实例，您可根据实际需要进行配置。在创建VPC和子网时应注意如下要求： ● VPC与使用的天翼云分布式消息服务Kafka服务应在相同的区域。 ● 如无特殊需求，创建VPC和子网的配置参数使用默认配置即可。 创建VPC和子网的操作请参考虚拟私有云创建VPC、子网搭建私有网络。 若需要在已有VPC上创建和使用新的子网，请参考虚拟私有云子网管理创建子网。

本文为您介绍WAF接入配置的最佳实践。 将网站域名接入Web应用防火墙（原生版），能够帮助您的网站防御OWASP常见Web攻击和恶意CC攻击流量等，避免网站遭到入侵导致数据泄露，全面保障您网站的安全性和可用性。您可以参考接入配置最佳实践，在各类场景中使用WAF更好地保护您的网站。 说明 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。当前云WAF提供CNAME接入模式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 网站接入WAF准备工作 在将网站业务接入WAF前，您需要完成以下准备工作： 所需接入的网站域名清单，包含网站的源站服务器IP、端口信息等。 所接入的网站域名必须已完成备案。 如果您的网站支持HTTPS协议访问，您需要准备相应的证书和私钥信息，一般包含扩展名为PEM/CRT/CER的证书文件、扩展名为PEM/KEY的私钥文件，文件内容均需为PEM编码格式。 具有网站DNS域名解析管理员的账号，用于修改DNS解析记录将网站流量切换至WAF。 推荐在将网站业务接入前，完成压力测试。 检查网站业务是否已有信任的访问客户端（例如，监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等）。在将业务接入后，需要将这些信任的客户端IP加入白名单。

本章节为您介绍用户管理的相关内容。 用户管理是指管理当前实例下所有用户信息，提供新增、编辑、Ukey绑定、重置等功能。 新增用户 1. 登录综合安全网关实例。 2. 选择“系统管理 > 用户管理”，进入“用户管理”页面。 3. 单击页面左上角的“添加用户”，在弹出的“添加用户”窗口中配置用户参数。 参数 是否可选 参数说明 登录名 必选 自定义用户的登录名，配置后不可修改。 别名 可选 设置用户的别名。 角色 必选 选择该登录用户在系统中的角色。 支持如下四种角色： 操作员（ctyunoperator） 日志审计员（ctyunauditor） 系统管理员（ctyunuseradmin） 超级管理员（ctyunadmin） 手机号码 可选 填写手机号。 邮箱地址 可选 填写新增用户的邮箱地址。 地址 可选 填写新增用户的地址。 输入密码 必选 设置用户的密码。 确认密码 必选 二次确认密码。 4. 配置完成后，单击“确定”完成用户添加。 后续操作 说明 系统初始的超级管理员用户不支持编辑和删除。 编辑用户：选择需要编辑的用户，单击“操作”列的“编辑”按钮，修改用户的相关信息后单击“确定”完成修改。 绑定UKey：选择需要绑定UKey的用户，单击“操作”列的“UKEY绑定”按钮，在弹出的对话框中填写UKEY序列号及PIN码完成绑定。 注意 首次使用UKEY需要在综合安全网关登录页面下载并安装UKEY插件。 解绑UKey：选择需要解绑UKey的用户，单击“操作”列的“UKEY解绑”按钮，在弹出的对话框中填写PIN码完成解绑。 重置用户密码：选择需要重置密码的用户，单击“操作”列的“设置口令”按钮，在弹出的对话框中单击“确定”完成重置。

此章节为您介绍云密评专区的各计费项。 云密评专区主要包含三大类计费内容，分别为密码产品、国密套件和密评服务。 说明 云密评专区目前支持购买及部署的区域请参考使用限制。 密码产品 密码产品目前包含综合安全网关、数据加密网关、数字证书认证系统、密钥管理服务和协同签名服务共五个产品，具体计费价格参考下表。 说明 密钥管理购买后保存的密钥请在密钥管理服务中查询。 产品名称 规格/版本 计费模式 标准版价格（元/月） 一年付价格（元/年） 二年付价格（元/2年） 三年付价格（元/3年） 综合安全网关 标准版 包周期 6000 61200 122400 183600 数字证书认证系统 标准版 包周期 5000 51000 102000 153000 密钥管理服务 企业版 包周期 9699 98929.8 197859.6 296789.4 数据加密网关 标准版 包周期 6000 61200 122400 183600 协同签名服务 标准版 包周期 4000 40800 81600 122400 国密套件 国密套件支持的产品、具体计费价格参考下表。 说明 证书购买后会保存至证书管理服务控制台。 产品名称 规格/版本 计费模式 价格 国密浏览器 标准版 按个计费 280元/个 密码钥匙 标准版 按个计费 150元/个 协同签名客户端 标准版 按个计费 100元/个 证书管理服务 国密证书 按个计费 11475元/个/年 证书管理服务 国际证书 按个计费 5270元/个/年 证书管理服务 个人证书 按个计费 180元/个/年

本章节为您介绍容器审计的相关内容。 容器审计概述 什么是容器审计？ 容器审计功能支持对容器集群中的各种操作和活动进行监控和记录，可帮助用户洞察容器生命周期的各个阶段，包括创建、启动、停止和销毁等。用户通过审计和分析，可以及时发现并处理安全问题，从而确保容器集群的安全性、稳定性。 支持的审计类型 集群容器：K8s审计日志、K8s事件、容器日志、容器运行指令。 非集群容器：容器日志、容器运行指令。 SWR镜像仓：镜像仓日志。 应用场景 容器环境异常事件排查分析：当容器环境出现异常操作或活动时，可通过容器审计日志定位异常事件发生时间和行动轨迹，从而总结出解决办法。 约束与限制 集群容器或非集群容器已开启容器版防护。 使用说明 完全启用容器审计功能，需满足以下条件： 1. 集群容器或非集群容器已接入HSS并开启容器版防护。 2. 完成部分审计类型的审计前提操作，具体如下表所示。 对象 审计类型 审计前提 云CCE集群 K8s审计日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 K8s审计事件 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 容器日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 SWR私有镜像仓库 镜像仓日志审计 您使用了容器镜像服务SWR，并授予了HSS云审计服务的操作权限（CTSOperatePolicy）。 启用容器审计后，集群内的各类操作和活动日志将记录在HSS控制台，供您查看。

怎么样开通网站安全监测服务和使用？ 网站安全监测服务的开通首先需要注册天翼云官网的账号，通过产品栏目找到网站安全监测，点击开通；开通后会跳转到网站安全监测控制台，在控制台上配置需要监测的域名，配置成功后就已经开始对您的域名提供监测服务了。 欠费后网站安全监测服务会被关停吗？ 账户余额不足以支付服务费用将导致欠费，发生欠费后，网站安全监测服务的域名将被关停。 关停网站安全监测服务后怎样重新开启服务？ 客户补足欠款后，客户的天翼云账号恢复使用，被停止的域名需要客户到网站安全监测控制台域名管理模块，点击启用域名，开启被停用的域名，当域名状态变更为已启用后，服务就重新开启了。 网站安全监测服务配置完成后大概多久生效？ 网站安全监测域名接入配置在控制台完成配置后一般30分钟内生效，若30分钟后仍未生效，请提交工单处理； 接入网站安全监测服务的域名有什么要求吗？ 接入网站安全监测服务的域名，需要在工信部完成ICP备案。 关闭网站安全监测服务后，域名配置会保留吗？ 欠费导致服务关闭，域名配置会保留，但不会继续为所配置域名提供业务安全监测服务。 删除网站安全监测域名后，域名配置会保留吗？ 删除域名后，其配置将不会保留。 网站安全监测服务被暂停了，为什么？ 业务被暂停有以下几种情况： 欠费 未备案或备案已过期 内容违规 套餐包过期

CSRF防护的方式 1、验证码 CSRF攻击的过程，往往是在用户不知情的情况下构造了网络请求，验证码则强制用户必须与应用进行交互才能完成最终请求。但基于使用体验，网站不会给所有的操作都加上验证码。 2、验证HTTP Referrer字段 根据 HTTP 协议，HTTP 头部中Referrer字段记录了该 HTTP 请求的来源地址。 比如一个论坛发帖的操作，在正常境况下需要先访问有发帖功能的页面，在提交发帖的表单时，Referrer值必然是发帖表单所在的页面。如果Referrer的值不是这个页面，甚至不是发帖网站的域，则极有可能是CSRF攻击。 3、请求中添加token并验证 在请求中放入黑客所不能伪造的信息，并且该信息不存在于Cookie 之中。可以在HTTP 请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token 或者token 内容不正确，则认为可能是CSRF 攻击而拒绝该请求。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版及以上版本支持使用CSRF防护功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 3. 进入“CSRF防护”页面，可以配置CSRF防护策略；

本节介绍了虚拟机如何通过NAT网关配置实现公网互访。 虚拟机可以通过绑定弹性公网IP或NAT网关或负载均衡等多种方式实现公网访问，本节内容主要介绍通过NAT网关实现公网互访。 NAT网关为虚拟私有云（Virtual Private Cloud，VPC）内的计算实例提供网络地址转换服务，实现多个虚拟机使用相同的弹性IP访问Internet或提供互联网接入服务。 NAT网关支持设置SNAT规则，即虚拟机访问公网，出方向访问；也支持设置DNAT规则，外部访问虚拟机，入方向访问。 前提条件 已创建VPC网卡虚拟机。 已创建相同VPC的NAT网关。 已创建空闲的公网IP。 虚拟机通过NAT网关访问公网 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网IP&带宽>公网IP】，在【IP列表】选择空闲状态的IP，单击【操作>绑定】。 3. 在【公网IP绑定】界面，实例类型选择【NAT网关实例】，选择需要绑定的NAT网关，单击【提交】完成弹性公网IP绑定NAT网关。 4. 单击左侧【NAT网关】导航栏，在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关，单击【操作>设置规则】进入网关详情。 5. 在网关详情页，选择【SNAT规则】页签，单击【SNAT规则】，弹窗【添加SNAT规则】页面。 6. 在【添加SNAT规则】页面，子网需要选择与虚拟机VPC网卡相同的子网，【弹性公网IP】选择已绑定的公网IP，下拉项只会显示已绑定的公网IP，单击【提交】完成规则设置。 7. 在【SNAT规则】页签可以查看已添加的规则。 8. 登录虚拟机，输入账号密码，ping测公网可ping测成功。

本小节介绍安全专区云数据库审计客户端安装方法。 下载客户端 下载客户端，选择对应的客户端进行下载。 安装步骤 1.下载安装包，根据包中的Agent安装手册提示完成安装及连接配置。 2.填写信息，进行客户端与云数据库审计的连接。 3.在Windows上安装Agent客户端，默认安装即可。 4.执行Agent,选择接收、发送数据包的网卡，并填写相应的信息。 IP地址：云数据库审计管理口地址192.168.0.225； 抓包端口：本地数据库端口，如默认ORACLE端口1521，MSSQL默认1433，MYSQL默认3306，如需添加多个端口，请使用逗号进行分隔； 服务端口：默认云数据库审计设备服务端口，默认9999，请使用默认配置； 缓冲队列个数：缓冲队列大小，使用默认配置即可； 收发网卡：请根据实际情况进行选择，程序支持自动发现功能。 注意 Agent必须要保证始终运行，才能将本地数据库连接信息发送给审计设备，一旦关闭，将不会向审计系统发送本地审计数据，因此请将Agent设置为服务。 5.运行后，如出现如下内容，表示工作，并正常发送数据包。 6.连接成功后，可到【部署方式】，查看已连接到的客户端。 完成以上操作部署后，可在安全专区平台进行日常运营。

本章节主要介绍ALM25004 LdapServer数据同步异常的告警。 告警解释 系统按30秒周期性检测LdapServer数据，如果连续12次检测，Manager的主备LdapServer的数据内容都不一致，产生该告警，当两者的数据一致时，对应告警恢复。 系统按30秒周期性检测LdapServer数据，如果连续12次检测，集群中的LdapServer的数据与Manager的LdapServer数据都不一致，产生该告警，当两者的数据一致时，对应告警恢复。 告警属性 告警ID 告警级别 是否自动清除 25004 紧急 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机节点信息。 对系统的影响 LdapServer数据不一致时，有可能是Manager上的LdapServer数据损坏，也有可能是集群上的LdapServer数据损坏，此时数据损坏的LdapServer进程将无法对外提供服务，影响Manager和集群的认证功能。 可能原因 LdapServer进程所在的节点网络故障。 LdapServer进程异常。 OS重启导致的LdapServer数据损坏。 处理步骤 检查LdapServer所在的节点网络是否故障 1.在FusionInsight Manager界面，选择“运维 > 告警 > 告警”。记录该告警定位信息中的“主机名”的IP地址为IP1（若出现多个告警，则分别记录其中的IP地址为IP1、IP2、IP3等）。 2.联系运维人员，登录IP1节点，在这个节点上使用ping命令检查该节点与主OMS节点的管理平面IP是否可达。 是，执行步骤4。 否，执行步骤3。 3.联系网络管理员恢复网络，然后查看“LdapServer数据同步异常”告警是否恢复。 是，处理完毕。 否，执行步骤4。

检查NameNode节点是否进入安全模式 19.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS”，单击服务异常的NameService的“NameNode(主)”，显示NameNode WebUI页面。 说明 admin用户默认不具备其他组件的管理权限，如果访问组件原生界面时出现因权限不足而打不开页面或内容显示不全时，可手动创建具备对应组件管理权限的用户进行登录。 20.在NameNode WebUI，查看是否显示如下信息：“Safe mode is ON.” “Safe mode is ON.”表示安全模式已打开，后面的提示信息为告警信息，根据实际情况展现。 是，执行步骤21。 否，执行步骤24。 21.以root用户登录客户端。执行cd命令进入客户端安装目录，然后执行 source bigdataenv 。如果集群采用安全版本，要进行安全认证，执行kinit hdfs命令，按提示输入密码（向管理员获取密码）。如果集群采用非安全版本，需使用omm用户登录并执行命令，请确保omm用户具有客户端执行权限。 22.执行 hdfs dfsadmin safemode leave 。 23.在“运维 > 告警 > 告警”页签，查看该告警是否恢复。 是，处理完毕。 否，执行步骤24。 收集故障信息 24.在FusionInsight Manager首页，选择“运维 > 日志 > 下载”。 25.在“服务”中勾选待操作集群的如下节点信息。 ZooKeeper HDFS 26.单击右上角的设置日志收集的“开始时间”和“结束时间”分别为告警产生时间的前后10分钟，单击“下载”。 27.请联系运维人员，并发送已收集的故障日志信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。