本文主要介绍通过云服务备份创建整机镜像 操作场景 使用已有的云服务备份制作整机镜像，可用于将云服务备份创建为新的弹性云主机。 背景知识 云服务备份（Cloud Backup and Recovery, CTCBR）服务提供对云硬盘、弹性云主机和物理机的备份保护服务，并支持利用备份数据恢复服务器和磁盘的数据。如果您已通过CBR服务为弹性云主机创建云服务备份，可以参考本章节，使用已有的云服务备份制作整机镜像。 使用云服务备份制作整机镜像时，创建镜像本身不收费，仅收取镜像关联的云服务备份费用，详细的服务资费标准请参见“云服务备份CBR”的内容。 删除整机镜像时，可以选择是否删除关联的云服务备份。如果选择不删除，云服务备份会继续收费。 选择整机镜像切换云主机操作系统时，仅能恢复整机镜像的系统盘数据。如果希望恢复或者迁移整机镜像中的数据盘数据，必须通过整机镜像创建新的云主机。 约束与限制 创建整机镜像前，请确保创建该云服务备份所属的弹性云主机已完成相关配置，否则可能导致整机镜像创建云主机失败。 详情请参见“创建私有镜像前云主机需要完成哪些初始化配置？”章节。 每个云服务备份只能创建一个整机镜像。 在云主机关机状态下，制作整机镜像的过程中，用户不能启动云主机。 通过云服务备份创建的整机镜像可以共享给其他租户。但是，如果这个云服务备份是由其他租户共享的，那么创建的整机镜像不支持共享。 整机镜像不支持如下操作：不允许导出、区域内复制。

本节介绍了共享镜像的流程等内容。 共享镜像概述 共享镜像是将自己已经创建好的私有镜像共享给其他用户使用。共享后，接受者可以使用该共享镜像快速创建运行同一镜像环境的云主机。 约束与限制 镜像支持共享到对方租户相同区域内。 每个镜像最多可以共享给128个租户，整机镜像最多可以共享给10个租户。 加密镜像不支持共享。 只有通过云服务备份，或者云主机（未通过旧版CSBS服务生成备份）创建的整机镜像，才支持共享。 共享过程 用户A作为共享镜像提供者，用户B作为共享镜像接受者时，用户A将私有镜像共享给用户B的具体流程如下： 1. 用户B提供自己的账号名给用户A。 如果用户B是专属云用户或多项目用户，除提供账号名外，还需要额外提供项目名称。 2. 用户A共享指定的镜像给用户B。 3. 用户B确认接受用户A的共享镜像。 用户B可以使用用户A共享的镜像，完成创建云主机等操作。 相关问题 还有其他关于共享镜像的疑问，请参考镜像共享类。 获取账号名和项目名称 操作场景 用户A将私有镜像共享给用户B之前，用户B将自己的账号名提供给用户A。如果用户B为专属云用户或多项目用户，还需要额外提供项目名称。本节指导用户B获取账号名和项目名称。 操作步骤 1. 用户B登录控制台。 2. 选择“镜像服务”。 进入镜像服务页面。 3. 单击右上角的用户名，选择下拉列表中的“我的凭证”。 在“我的凭证”页面的项目列表中查看账号名和项目名称（即“项目”列取值）。

4.3 检查initramfs 可以使用下面命令看initramfs中的内容。可以检查需要的内核模块等是否已经包含在其中。 plaintext lsinitrd /boot/initramfs .img less 5. 配置串口终端、禁用selinux（重要） 5.1 配置串口终端、默认网卡名 天翼云物理机默认使用串口终端访问系统，需要启用串口终端等。参考GRUB文档Simple configuration handling。 plaintext sed e 's/GRUBTERMINAL./GRUBTERMINAL"console serial"/g' e 's/GRUBSERIALCOMMAND./GRUBSERIALCOMMAND"serial speed115200"/g' e 's/GRUBCMDLINELINUX"(.)/GRUBCMDLINELINUX"1 consoletty0 consolettyS0,115200n8 biosdevname0 net.ifnames0"/g' i.bak /etc/default/grub GRUBTERMINAL：配置为"console serial"，允许在串口终端上使用GRUB GRUBSERIALCOMMAND：配置串口 GRUBCMDLINELINUX：配置Linux内核参数。 consoletty0 consolettyS0,115200n8：支持在虚拟终端和串口终端上 biosdevname0 net.ifnames0：使用传统网卡命名，比如使用eth0，而不是ens33等 /etc/default/grub不是最终grub使用的配置文件，还需生成、更新grub.cfg。 根据系统类型不通可通过updategrub、grubmkconfig、grub2mkconfig等工具重新生成grub.cfg plaintext Ubuntu 22.04可使用 updategrub 更新grub，支持BIOS和UEFI两种启动方式 updategrub 使用BIOS方式启动时使用下面命令 grubmkconfig o /boot/grub2/grub.cfg 使用UEFI方式启动时，grub.cfg配置文件的位置不同，使用下面的命令 grubmkconfig o /boot/efi/EFI/ctyunos/grub.cfg

4.3 检查initramfs 可以使用下面命令看initramfs中的内容。可以检查需要的内核模块等是否已经包含在其中。 plaintext lsinitrd /boot/initramfs .img less 5. 配置串口终端、禁用selinux（重要） 5.1 配置串口终端、默认网卡名 天翼云物理机默认使用串口终端访问系统，需要启用串口终端等。参考GRUB文档Simple configuration handling。 plaintext sed e 's/GRUBTERMINAL./GRUBTERMINAL"console serial"/g' e 's/GRUBSERIALCOMMAND./GRUBSERIALCOMMAND"serial speed115200"/g' e 's/GRUBCMDLINELINUX"(.)/GRUBCMDLINELINUX"1 consoletty0 consolettyS0,115200n8 biosdevname0 net.ifnames0"/g' i.bak /etc/default/grub GRUBTERMINAL：配置为"console serial"，允许在串口终端上使用GRUB GRUBSERIALCOMMAND：配置串口 GRUBCMDLINELINUX：配置Linux内核参数。 consoletty0 consolettyS0,115200n8：支持在虚拟终端和串口终端上 biosdevname0 net.ifnames0：使用传统网卡命名，比如使用eth0，而不是ens33等 /etc/default/grub不是最终grub使用的配置文件，还需生成、更新grub.cfg。 根据系统类型不通可通过updategrub、grubmkconfig、grub2mkconfig等工具重新生成grub.cfg plaintext Ubuntu 22.04可使用 updategrub 更新grub，支持BIOS和UEFI两种启动方式 updategrub 使用BIOS方式启动时使用下面命令 grubmkconfig o /boot/grub2/grub.cfg 使用UEFI方式启动时，grub.cfg配置文件的位置不同，使用下面的命令 grubmkconfig o /boot/efi/EFI/ctyunos/grub.cfg

支持在线镜像制作和镜像共享。 预置镜像 平台预置了一些常用镜像，可以在创建任务时直接使用 自定义镜像 平台允许通过开发机和使用天翼云容器镜像服务来制作镜像，具体步骤如下： 使用开发机制作镜像 1. 启动在线制作环境：进入模型定制模块，选择开发机，点击【JupyterLab】>【创建JupyterLab】或【VSCode】>【创建VSCode】，选择一个系统内置镜像，选择运行环境，提交后操作列点击启动 2. 镜像制作：等待启动成功，当创建的JupyterLab或VSCode的状态显示【运行中】后即可点击操作列【打开】，在开发环境中安装自己需要的软件和环境，退出，选中创建的JupyterLab或VSCode，操作列点【更多】>【制作镜像】，即可将容器中的操作环境打包成新的镜像，并出现在自定义镜像列表中，可参见开发机制作镜像模块内容 镜像共享 1. 登陆天翼云容器镜像服务，访问地址（ /dashboard），在【同资源池】下，按需创建【个人版】或【企业版】，进入实例详情创建属于您自己的命名空间和镜像仓库。 2. 有了镜像仓库后，根据实例详情访问凭证中的指引通过公网地址将您的镜像上传至仓库中。 3. 进入镜像共享，创建镜像共享，将您希望使用的镜像共享至一站式智算服务平台，共享目标用户填入【huijuprod】，共享后您就可以在一站式智算服务平台的自定义镜像中看到此镜像。 注意 1、如果您想在模型开发JupyterLab和VSCode中使用自定义镜像，需要将对应的软件安装包打包进您的自定义镜像中。 方法1：在docker file中具体执行命令：

参数 类型 描述 是否必须 action String 指定卷的操作内容。 取值： setServerAffinity：对卷的主备优先级进行设置。 switch：对卷进行主备切换。 是 lunList Array of lun 需要修改的卷列表。 取值：卷名称。 说明 如果此参数指定为空，即"lunList": []，或者不指定此参数，表示批量修改所有的卷。 否 autoFailback String 修改是否根据指定的卷主备分布优先级自动进行主备切换，即针对卷主备状态，当高优先级的服务器恢复正常后，是否自动进行主备状态切换。 注意 action取值为setServerAffinity时生效。 取值： Enabeld：自动进行主备切换。 Disabled：不自动进行主备切换。 否 priority Array of priority 修改卷主备分布优先级的服务器ID，系统根据指定的服务器ID顺序来选择卷的主备IQN。可以指定一个或者多个服务器ID，以英文逗号分开。 注意 action取值为setServerAffinity时生效，且priority和statusDriven互斥。如果为空数组，即[ ]，表示清空优先级设置。 取值：如果卷列表中指定一个卷，priority取值为服务器ID列表或者空数组；如果卷列表中指定多个（大于1）卷，或者卷列表为空，或者不指定卷列表，priority取值只能为空数组，或者不指定priority。 否 statusDriven Boolean 是否基于卷目前的主备状态进行优先级的设置，即根据卷的当前主备target（Active target、Standby target、Cold target）所在的服务器，设置卷主备分布优先级的服务器ID。 注意 action取值为setServerAffinity时生效。 取值： true：基于目前的主备状态进行优先级的设置。 false：不做任何变化。 否

开源对比 相较于开源自建RocketMQ，分布式消息服务RocketMQ在自动化部署、运维监控、增强能力、延迟消息/定时消息、ACL访问控制等方面更具优势。更多信息请参见开源对比。 支持的消息类型 分布式消息服务RocketMQ支持的消息类型包括普通消息、顺序消息、事务消息与延时消息。 普通消息：RocketMQ中无特性的消息，普通消息主要包含同步消息和异步消息两种。 顺序消息：指消费消息的顺序要同发送消息的顺序一致，在RocketMQ中，主要有两种有序消息：全局有序消息和局部有序消息（又叫普通有序消息、分区有序消息）。 事务消息：提供类似X/Open XA的分布式事务功能来确保业务发送方和MQ消息的最终一致性，其本质是通过半消息(prepare消息和commit消息)的方式把分布式事务放在MQ端来处理。 延时消息：生产者将消息发送到消息队列RocketMQ服务端，设计消费时延，在预设的时间后才可以被消费者消费。 更多信息请参见功能特性。 功能特性 分布式消息服务RocketMQ的功能特性主要体现在以下几个方面： 访问接口 支持通过API调用，创建队列、查询消息监控指标、查询消息内容等。 队列能力 支持多种消息类型，包括普通队列（高并发场景）、FIFO有序队列（顺序消息场景）、严格有序队列。 消息能力 支持消息过滤、消息复用、消息重试、消息回溯、消息数据主动删除以及消息广播等能力。 安全防护 提供云审计进行租户管理操作的记录。 运维监控 提供主题、订阅组、生产者、消费者、队列的管理；同时支持集群、主题、队列多维度指标监控。 更多信息请参见功能特性。

AOne会议的一键直播功能支持将会议内容实时转播给大量观众,适合大型培训、公开课、发布会等场景。 开启直播 1. 用户入会后，主持人/联席主持人点击底部工具栏的“直播”按钮。 2. 在弹出的窗口中，选择直播观看范围： 1. 仅企业内成员可看（仅与会议创建者归属同企业的用户可观看直播） 2. 全网登录用户可看（已登录AOne会议账号的用户均可观看直播） 3. 全网无需登录可看（未登录AOne会议账号的用户也可观看直播） 3. 可设置直播观看密码，提升会议隐私保护。此密码仅用于限制直播观看权限，无法阻止未授权用户加入会议。如果不希望无关人员加入会议，可另外设置入会密码，或使用安全模块中的“会议锁定”和“入会范围”功能。 4. 可设置开启直播弹幕，提升直播观看体验。未登录的用户观看直播时，无法发送弹幕也无法查看他人发送的弹幕消息。 5. 点击“确定”，启动直播。直播开启后将弹窗提醒会中所有参会者。 直播管理 直播开启后，系统会弹窗提醒直播发起者直播观看链接。直播发起者可直接点击弹窗中的“复制链接”按钮将直播观看链接信息分享给目标观众。在直播过程中，会议主持人/联席主持人也可通过将鼠标悬浮在窗口左上角的直播图标上，点击“复制链接”按钮获取直播观看链接信息。 观众可通过浏览器访问直播观看链接，即可实时观看会议直播，无需额外安装客户端。 针对有直播权限的会议的会议创建者，会前点击分享按钮或者在会议列表单击此会议空白区域，支持复制直播信息。

本文将介绍镜像的基本概念。 云主机镜像是预先配置好的操作系统和软件环境的模板，用于创建云主机实例。它包含操作系统、预装软件、系统配置和安全更新等信息，为用户提供快速部署和可靠的基础环境。通过使用云主机镜像，用户可以省去操作系统和软件的配置工作，快速启动适合自己需求的云主机实例。 本文关联产品为镜像服务，更多详细内容，请参考镜像服务产品介绍。相关约束限制，请参考镜像服务约束与限制。 公共镜像 公共镜像是云厂商向所有用户提供的镜像服务，涵盖了广泛的主流操作系统。您可以基于这些公共镜像进行个性化的配置和部署，以满足其特定的应用环境需求。 公共镜像的广泛适用性和高度稳定性使用户能够快速启动和部署云主机实例，并在其基础上构建自己的应用环境。您无需担心操作系统稳定性问题，可以专注于应用程序的开发和部署工作。 公共镜像计费说明 部分公共镜像收费，例如gpu云主机的Windows2019DataCenterGRID13.2镜像，其余公共镜像免费。 天翼云提供的公共镜像 公共镜像支持版本请参考：镜像服务公共镜像概述。 私有镜像 私有镜像是用户根据自身需求进行定制的镜像，仅对该用户可见。用户可以通过两种方式创建私有镜像：一种是基于现有的弹性云主机进行创建，另一种是将线下环境中的镜像导入到弹性云主机所在的地域。私有镜像具有高度的灵活性，可以满足用户个性化的需求。

本节介绍了怎样调整系统盘分区的操作场景、操作步骤。 操作场景 弹性云主机创建成功后，如果发现系统盘分区的容量大小和实际创建的系统盘大小不一致，可以通过手动调整系统盘分区，扩容系统盘的空白空间。 扩容的方法有如下两种： 将空白分区划分成新分区，并将新分区格式化后挂载到root根分区的某个目录下。具体方法请参见本节内容。 将扩容的空白分区直接扩容到根分区。具体方法请参见FAQ： − 如何将扩容系统盘的空白分区在线扩容到末尾的root分区？ − 如何将扩容系统盘的空白分区在线扩容到非末尾的root分区？ 操作步骤 以镜像为CentOS 7.3 64bit的弹性云主机为例，用户在创建弹性云主机时，创建了容量为60GB的系统盘，但是查询系统盘分区后，显示的容量大小仅为40GB。 为使用增加的20GB容量，需调整系统盘分区，具体操作如下： 步骤 1 查看磁盘分区 1. 登录Linux弹性云主机。 2. 执行以下命令，切换至root用户。 sudo su 3. 执行以下命令，查看云主机的磁盘详情。 fdisk l 回显类似如下，其中，“/dev/xvda”或“/dev/vda”表示系统盘。 图 查看磁盘详情 4. 执行以下命令，查看磁盘分区。 parted l /dev/xvda 图 查看磁盘分区 步骤 2 将系统盘扩容后的空间划分为一个新的分区 1. 执行以下命令，进入fdisk模式。以“/dev/xvda”为例： fdisk /dev/xvda 回显类似如下： [root@ecs8d6c ]

本文汇总了使用虚拟私有云产品时常见的计费类问题。 VPC是否收费？ 不收费。 虚拟私有云VPC作为基础上云产品是免费的。VPC提供隔离的、私密的网络环境，使得您能够在一个安全可控、隔离的网络环境中实现云资源的高效管理和利用。 虚拟私有云具备丰富的产品特性，使得您可以自定义网络地址、路由表、安全组等。同时，虚拟私有云提供丰富的网络连接，可以满足云上虚拟私有云互访、公网访问、通过专线或者VPN与线下IDC互通等网络场景。 流量镜像是否收费？ 流量镜像公测期间创建的资源可免费提供服务，公测结束后创建的资源会收取费用。流量镜像产品收费对象包含如下两个计费项：实例费和流量处理费。具体收费方式可参考计费说明。 流量镜像功能可以将网络流量从弹性网卡镜像到其他指定的云服务器的网卡上，以便于应用到内容检查、监控分析、问题排查等场景。流量镜像搭配使用的其他云产品（例如弹性云主机）将会按照其自身的计费规则收取相应的费用，弹性云主机的计费详情可参考“计费说明”。 组播是否收费？ 组播在内测期间暂不收取费用。 内测结束后会转商用，商用具体的开始收费的时间会发布公告另行通知，包括计费相关规则及存量资源的计费方式，届时请以官网公告为准。组播搭配使用的其他云产品（例如弹性云主机）将会按照其自身的计费规则收取相应的费用，计费详情请参考“计费说明”。

天翼云EMR实例DeepSeekR1DistillQwen7B蒸馏模型部署实践 本节内容主要介绍如何在天翼云EMR实例上，基于Intel® xFasterTransformer加速库和vllm推理引擎完成模型部署，并展示相关性能指标。 1. 服务部署 为了方便用户使用，天翼云联合英特尔制作了一键部署的云主机镜像，内置DeepSeekR1DistillQwen7B模型、vLLM推理框架、xFT加速库以及openwebui前端可视环境。您可在天翼云控制台选择下列资源池和镜像，开通云主机进行体验。 类型 可用资源 可用资源池 华东华东1az2、华东华东1az3 可用规格 c8e系列（最低内存需求32G） 可用镜像 DeepSeekvLLM英特尔AMX推理加速(CPU) 完成云主机开通后，推理服务会在5分钟内自动启动，您无需进行任何其他操作。 注意 如需在云主机外访问服务，您需要绑定弹性IP，并在安全组内放行22/3000/8000端口。 2. 模型使用 openwebui前端使用 镜像已内置openwebui，并已完成和vllm的连接配置，可直接通过以下地址进行访问: plaintext 注意 1. 首次打开页面时，您需要先完成管理员注册，以进行后续的用户管理。注册数据均保存在云实例的/root/volume/openwebui目录下。 2. 如果首次打开对话页面时没有模型可供选择,请您稍等几分钟让模型完成加载即可。 vllm api调用 镜像内置vllm服务可直接通过如下地址访问： plaintext

参数 描述 接口名称 待流控的资源名称。 来源应用 该规则针对的来源应用，默认来源应用设为default，代表不区分来源应用。 统计维度 选择资源调用关系进行流控。 • 当前接口 ：直接控制来自来源应用中调用来源的访问流量，如果来源应用为default则不区分调用来源。通常应用于流量匀速通过的场景。 • 关联接口 ：控制当前资源的关联资源的流量。通常应用于资源争抢时，留足资源给优先级高接口的场景。 • 链路入口 ：控制该资源所在的调用链路的入口流量。选择链路入口后需要继续配置 入口资源 ，即该调用链路入口的上下文名称。通常应用于预热启动避免大流量冲击的场景。 单机QPS阈值 触发对流控接口的统计维度对象的QPS阈值。 流控效果 选择流控方式来处理被拦截的流量。 • 快速失败 ：达到阈值时，立即拦截请求。按照应用系统设置中的适配模块配置信息，进行内容返回。 • 预热启动 ：需设置具体的预热时间。如果系统在此之前长期处于空闲的状态，当流量突然增大的时候，该方式会让处理请求的速率缓慢增加，经过设置的预热时间以后，到达系统处理请求速率的设定值。默认会从设置的QPS阈值的1/3开始慢慢往上增加至设置的QPS值，多余请求会按照快速失败处理。 • 排队等待 ：请求匀速通过，允许排队等待，通常用于请求调用削峰填谷等场景。需设置具体的超时时间，达到超时时间后请求会快速失败。 是否开启 打开开关表示启用该规则，关闭开关表示禁用该规则。开关修改之后会立即生效。

本节主要介绍如何在智能视图服务控制台接入EHOME设备。 点击左侧导航栏的【设备管理】，点击【添加设备】，进入添加设备页面，包含接入配置和设备配置两个步骤。 接入协议选择【EHOME】，支持【EHOME2.0】和【ISUP5.0】两个版本。 EHOME2.0 若选择EHOME2.0版本，完成设备添加后，在设备详情页获取EHOME服务信息，包括EHOME服务器地址、EHOME服务器TCP端口和UDP端口等信息。 登录设备的管理控制台，配置页面的平台接入方式选择【ISUP（原EHOME）】，协议版本选择【Ehome2.0】，填入在平台侧获取到的服务器地址、端口等信息后，勾选【启用】并保存完成设备注册。 ISUP5.0 若选择ISUP5.0版本，和EHOME2.0不同，ISUP5.0需要选择ISUP凭证或点击【新建ISUP凭证】快速创建，相关内容可参考【凭证管理ISUP凭证】。完成设备添加后，可以看到在平台上成功创建的EHOME设备，此时设备为未注册状态。在设备详情页获取EHOME服务信息，包括EHOME服务器地址、EHOME服务器TCP端口和UDP端口等信息。 登录设备的管理控制台，配置页面的平台接入方式选择【ISUP（原EHOME）】，协议版本选择【ISUP5.0】，填入在平台侧获取到的服务器地址、端口等信息后，还需填入平台上设置的ISUP凭证密码，勾选【启用】并保存完成设备注册。

本文为您介绍支持使用IAM授权的云服务。 IAM为天翼云其他服务提供认证和授权功能，在IAM中创建的用户，经过授权后可以根据权限使用系统中的其他服务。对于不支持使用IAM授权的服务，帐号中创建的IAM用户无法使用该服务，请使用帐号登录使用该服务。支持使用IAM授权的云服务及参数说明，详见下方表格内容： 表格参数说明 参数 说明 云服务 名称 使用 IAM 授权的云服务名称。 区域 使用 IAM 授权时，该服务权限所需的授权范围。全局：服务部署时不区分物理区域，为全局级服务。在全局范围中进行授权，访问该服务时，权限不区分资源池。资源池：服务部署时通过物理区域划分，为资源池级服务。在除全局区域外的其他资源池中授权，仅在授权的资源池生效，访问该服务时，需要先切换到对应资源池。 控制台 该服务是否支持在云服务控制台进行权限控制。 OpenAPI 该服务是否支持调用 OpenAPI 接口时进行权限控制。 企业项目 该服务是否支持基于企业项目授权。 系统策略 该服务是否支持通过策略进行权限管理。策略是以 JSON 格式描述一组权限集的语言，它可以精确地允许或拒绝用户对服务的资源类型进行指定的操作。 支持使用IAM授权的云服务 计算 云服务名称 区域 控制台 OpenAPI 系统策略 云服务名称 区域 支持IAM 支持企业项目 支持IAM 支持企业项目 系统策略 弹性云主机 资源池 是 是 是 是 有 镜像服务 资源池 是 是 是 是 有 弹性伸缩服务 全局 是 是 否 否 有 物理机 全局 是 是 是 是 有

本文为接口加密介绍。 1 如何启用加密功能 客户端发起请求时添加请求Header头，decryptedtrue 即可启用接口加密功能。 2 加密算法说明 该功能涉及到三种国密算法，分别为非对称加密SM2、对称加密SM4及特征码算法HmacSM3。 2.1 非对称加密SM2 类似RSA的非对称加密，用来加密客户生成的对称加密SM4密钥。SM2公钥在AI能力开放平台( 2.2 对称加密SM4 客户端自行生成128或者256位SM4密钥，采用BC包(BouncyCastle),格式为SM4/ECB/PKCS5Padding。 2.3 特征码算法HmacSM3 Hmac和SM3算法配合生成特征码串，防止接口被拦截篡改，生成特征码时的密钥需使用。 encryptedHashKey字段传递到服务端。 2.4 客户端加密步骤 1、从控制台获取公钥串，使用Base64解密获取公钥字节数组。 2、生成SM4对称密钥字节数组，使用第1步的公钥加密对称密钥，并使用Base64加密结果，填入ciphertextBlob字段。 3、使用第2步生成的对称密钥加密接口原版Body体JSON串，并使用Base64加密结果，填入encryptedBody字段。 4、生成Hmacsm3哈希密钥，使用公钥进行加密，并使用Base64加密结果，填encryptedHashKey字段。 5、使用Hmacsm3及第4步哈希密钥，提取ciphertextBlob字段特征码并使用Base64加密结果，填入ciphertextBlobHash字段。 6、使用Hmacsm3及第4步哈希密钥，提取encryptedBody字段特征码并使用Base64加密结果，填入encryptedBodyHash字段。

数据安全 针对海量用户数据，提供如下措施保障客户数据的机密性、完整性和可用性。 容灾：翼MR产品当前数据存放在天翼云云硬盘产品中，云硬盘采用三副本冗余机制，保障上层翼MR服务数据的高容灾型。 备份：翼MR产品当前数据存放在天翼云云硬盘产品中，云硬盘具备定期备份、数据恢复等特性。 数据完整性 通过数据校验，保证数据在存储、传输过程中的数据完整性。 用户数据保存在HDFS上，HDFS默认采用CRC32C校验数据的正确性。 HDFS的DataNode节点负责存储校验数据，如果发现客户端传递过来的数据有异常（不完整）就上报异常给客户端，让客户端重新写入数据。 客户端从DataNode读数据的时候会同步检查数据是否完整，如果发现数据不完整，尝试从其它的DataNode节点上读取数据。 数据保密性 天翼云大数据平台 翼MapReduce产品中的分布式文件系统采用Apache Hadoop 3.3.3版本，提供对文件内容的加密存储功能，避免敏感数据明文存储，提升数据安全性。业务应用只需对指定的敏感数据进行加密，加解密过程业务完全不感知。在文件系统数据加密基础上，Hive实现表级加密，HBase实现列族级加密，在创建表时指定采用的加密算法，即可实现对敏感数据的加密存储。 从数据的存储加密、访问控制来保障用户数据的保密性。 HBase支持将业务数据存储到HDFS前进行压缩处理，且用户可以配置AES和SMS4算法加密存储。 各组件支持本地数据目录访问权限设置，无权限用户禁止访问数据。 所有集群内部用户信息提供密文存储。

本节介绍了云容器引擎的最佳实践：云容器引擎容器存储选型。 天翼云云容器引擎提供多种容器存储类型，作为各类天翼云存储产品在容器侧的接入方式，为工作负载提供数据持久化服务。 在使用过程中，用户可能对如何选择容器存储存在疑问。本文将从容器视角出发，分析天翼云各存储产品通过CSI在容器场景下的应用特点及优劣，供您参考选择。 说明 选择容器存储还需考虑功能特性、时延、带宽、应用场景及产品规格等因素。本文档未详细展开这些内容，相关具体信息请参考天翼云存储产品文档。本文仅从容器使用角度进行对比分析。 云硬盘 优势 低时延 支持文件系统及块设备使用（块设备极少被容器应用直接使用，需用户自行管理无文件系统的块设备） 最小容量10GB，适合轻量存储需求 产品覆盖广泛，各资源池及可用区均支持 劣势 不支持跨可用区挂载，数据存储在云硬盘所在的可用区。若可用区故障，数据不可用。（例如云硬盘是在可用区1，节点在可用区2，则云硬盘无法完成挂载使用。） 文件系统模式下不支持多机读写（ReadWriteMany），不支持多个节点挂载同一个带文件系统的云硬盘。 海量文件 优势 中等时延 支持多机读写（ReadWriteMany），支持多节点可以挂载同一个海量文件。 最小容量可达100GB，是共享文件存储中容量门槛最低的产品。 部分资源池支持按实际使用量计费，灵活性高。 天翼云文件存储产品中主推产品。 支持跨可用区挂载。（例如节点在可用区1可挂载可用区2的海量文件） 适合海量小文件场景。

本节介绍了定时任务的用户指南。 基本概念 定时任务：即kubernetes中的“CronJob”，定时任务是按照指定时间周期运行的短任务。使用场景为在某个固定时间点，为所有运行中的节点做时间同步。 操作场景 定时任务是按照指定时间周期运行的短任务。使用场景为在某个固定时间点，为所有运行中的节点做时间同步。 定时任务是基于时间的Job，就类似于Linux系统的crontab，在指定的时间周期运行指定的Job，即：在给定时间点只运行一次。在给定时间点周期性地运行。 CronJob的典型用法如下所示：在给定的时间点调度Job运行。创建周期性运行的Job，例如数据库备份、发送邮件。 前提条件 在创建定时任务前，您需要存在一个可用集群。若没有可用集群，请参照集群开通中内容创建。 操作步骤及说明 创建CronJob与创建Deployment的过程类似，但存在以下的差异，需要注意： 定时任务的执行策略 执行策略：选择CronJob的执行周期，即每隔这个时间周期CronJob就会执行一次 并发策略：CronJob是周期性执行的，那么可能存在一种情形是上一周期中任务还没有执行完，但是已经到了下一个时间周期，并发策略用于设置这种情形下的CronJob怎么执行： 允许：让这两个周期的任务同时存在，并发执行 禁止：下一个时间周期的任务不执行 替换：停止行一个周期的任务，开始执行下一个时间周期的任务 Job参数 用于设置定时任务中任务的参数：

本文介绍消息通知的功能。 消息通知是什么 消息通知功能是网络管理与业务运营系统中的关键组件，它主要负责及时、精准地将各类重要事件信息传达给相关人员。无论是网络监测中带宽使用超量，还是业务流程出现异常状况，该功能都能自动生成对应的消息通知，让相关人员第一时间掌握情况，为后续处理争取时间，保障系统稳定运行和业务顺利开展。 消息通知特点 拥有高度灵活的配置能力，支持对消息类型、通知方式和接收对象进行自由组合设置。比如，针对带宽超量事件可选择短信通知特定网络管理员，针对业务订单异常可通过邮件通知负责人，满足多样化的业务需求。 通知方式丰富多样，如短信、邮件、客户端等，每种方式各有特点，能适配不同场景。像短信通知即时性强，可确保信息快速触达；邮件通知适合传递详细内容，方便接收者深入了解事件。 短信通知方面，支持接入如阿里短信网关等多种可靠的短信网关，借助成熟的短信服务平台，保证短信通知的高效性和稳定性，避免重要信息遗漏，提升整体系统的可靠性和响应速度。 消息通知功能 功能 功能说明 通知类型 产品识别并针对不同性质的事件生成相应的消息通知。例如，套餐用量使用方面，当短信使用出现超量事件时，系统会自动生成对应的通知消息，消息通知需要由客户进行设定通知的方式、通知对象以便更及时的进行消息传递。 通知渠道 为了实现高效、稳定的通知服务，产品除了自身携带的通知网关后，还支持接入多种网关，比如阿里云短信服务网关。

本小节主要介绍如何查看个人信息. 查看个人信息 “个人中心”涵盖当前用户帐号基本信息、权限范围、系统使用日志等信息，以及手机令牌和SSH公钥配置信息等。 操作步骤 1. 登录云堡垒机系统 2. 选择右上角用户名，单击“个人中心”，进入个人中心管理页面，可查看用户基本信息，包括登录名、密文密码、姓名、手机号码、邮箱地址、角色、部门等信息。 3. 分别单击各页签，即可查看相应用户信息。 手机令牌 选择“手机令牌”页签，可查看用户绑定手机令牌情况。 更多绑定和解绑手机令牌说明，请参见 管理登录手机令牌。 手机令牌 我的日志 选择“我的日志”页签，可查看个人“系统登录日志列表”、“系统操作日志列表”和“资源登录日志列表”。 个人用户不能清理个人日志，日志仅能由有系统管理权限的用户统一管理，详细说明请参见数据维护。 系统登录日志列表 主要包括登录时间、登录用户来源IP、登录方式、登录结果等信息。 系统操作日志列表 主要包括操作时间、操作用户来源IP、操作的模块、操作内容、操作结果等信息。 资源登录日志列表 主要包括资源名称、资源协议类型、资源账户、登录资源用户来源IP、登录起止时间、会话时长等信息 修改个人基本信息 用户个人基本信息包括登录名、密文密码、姓名、手机号码、邮箱地址、角色、部门等信息。 在个人中心，用户个人可修改个人密码、修改姓名、手机号码、邮箱地址。 “登录名”系统唯一，一旦创建，不能修改。 “角色”、“部门”用户个人不能修改，仅能由有用户管理权限用户统一管理，详细说明请参见 查询和修改用户信息。

本文介绍RDSPostgreSQL安全白皮书内容。 关系数据库PostgreSQL版（以下简称RDSPostgreSQL）是天翼云为用户打造的一款安全可信赖的数据库产品。 为了保障用户数据安全，高效支撑客户业务运行，天翼云禁止非客户授权人员操作用户实例与数据，禁止运维人员未经授权接入用户实例，禁止任何人非法处理客户数据。 另外，RDSPostgreSQL支持包括VPC、安全组、自动备份和跨可用区部署在内的多种特性，帮助用户更好管理数据，保障用户数据安全。 网络隔离 VPC（Virtual Private Cloud，即虚拟私有云）是一种运行在公有云上，专为某个用户私有使用的资源集合。在天翼云上，用户开通的RDSPostgreSQL实例运行在独立的VPC内，可以通过配置VPC控制连接数据库的IP地址段，量身定制网络访问策略。在网络层面，VPC配合安全组，用户即可便捷实现RDSPostgreSQL实例的网络隔离，从而保障RDSPostgreSQL实例的高安全性。 数据隔离 RDSPostgreSQL实例存储的所有数据都是以用户维度来分配和管理的，不同用户之间的数据相互独立、资源隔离，不会受到彼此的干扰与影响。另外，多可用区部署更提升了用户数据安全性。 访问控制 用户创建RDSPostgreSQL实例时，系统会默认会为用户分配一个独享的数据库主账户，该账户允许用户操作其所创建的数据库，且账户密码只能由用户保存，保障用户数据仅供用户本身访问。另外，用户还可以根据自身业务需要，创建其他权限的账户，从而实现权限分离。用户还可以通过安全组设置RDSPostgreSQL实例的出入访问策略，控制实例的网络访问范围。

本文主要介绍了DRDS索引管理相关内容，包括新建索引、禁用索引等操作。 前提条件 已完成索引存储配置。当检查到没有可用的索引节点（即所有的GiServer节点都没有启动）时，您需要先完成索引存储配置后，再启动索引节点，才能进行索引相关的操作。具体操作，请参见索引存储配置。 已创建库表。具体操作，请参见库表管理。 新建索引 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 单击schema管理 ，进入目标实例的schema管理页面。 5. 单击目标schema操作 列的管理 ，然后单击索引设置，进入索引管理页面。 6. 单击新建索引。 7. 在对话框中，配置索引信息，然后单击确认。 参数 描述 表名 选择待创建索引的库表。 分片键 选择分片键。 非分片键 选择非分片键。 索引类型 索引的类型，取值范围： ONETOONE：索引对应的数据记录必须是一对一的关系，如果有一条索引键对应多条被索引键的情况，会引起数据丢失。 ONETOMANY：索引记录的数据为一对多的关系，如果一个索引键对应了多条被索引键，则被索引键必须是彼此不同的，否则会引起数据丢失。

用户可以配置Bucket的网站托管属性，并通过Bucket域名访问该静态网站。 注意 如果配置静态网站托管后，当匿名用户直接访问Bucket的域名，会将静态网站文件下载到本地。如果要实现访问静态网站时是预览网站内容，而非下载静态网站文件，静态网站域名须是Bucket绑定的已备案自定义域名，为Bucket绑定自定义域名请联系天翼云客服申请。 OOS自有网站托管域名不支持HTTPS访问，用户自定义域名支持HTTPS访问。如果需要支持通过HTTPS访问，请联系天翼云客服，提供域名证书，证书支持格式：crt+key或者PEM，请确保提供的证书在有效期内，建议证书有效期至少1年及以上，避免使用免费证书。 尽量避免目标Bucket名中带有“.”，否则通过HTTPS访问时可能出现客户端校验证书出错。 网站托管配置步骤如下： 1. 创建一个公共读属性的Bucket。 2. 向天翼云客服提交工单，申请客户自定义域名添加白名单。 3. 在域名管理系统（DNS服务器）中添加别名： 如果不使用CDN加速，将Bucket的CNAME Record Value（BucketName.ooswebsitecn.oosxx.ctyunapi.cn）作为别名添加到域名管理系统中。 如果使用CDN加速，将CDN厂商提供的别名添加到域名管理系统中，然后在CDN回源地址中配置OOS侧的CNAME Record Value，并将回源host配置为您的自定义域名（如yourdomain.com）。 4. 上传文件：将网站的所有文件（html、CSS、js、图片等）上传到之前创建的Bucket中，注意保持文件之间的相对路径。 5. 配置Bucket网站属性： 使用控制台配置，详见网站 。 使用API配置，详见PUT Bucket WebSite。

产品能力 简要说明 用户身份管理和访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 通过STS（Security Token Service）给第三方应用或用户授予一个自定义时效的临时访问凭证，无需透露用户自身的AK/SK。 通过Bucket访问权限控制，可以对Bucket设置访问权限，包括公共读写、公共读、私有。 通过Bucket Policy功能授权IAM用户或其他用户访问您的OOS资源，例如向特定用户授予访问权限，以及向匿名用户授予带特定IP条件限制的访问权限。 为了防止用户在OOS的数据被其他人盗链，OOS支持基于HTTP Header中表头字段Referer的防盗链方法，同时支持访问白名单和访问黑名单的设置。 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。OOS支持CORS规范，允许跨域请求访问OOS中的资源。

podsecuritypolicy " ")。 除修改全局Pod安全策略外，也可增加新的Pod安全策略，如开放net.core.somaxconn非安全系统配置，新增Pod安全策略示例参考如下： apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: annotations: seccomp.security.alpha.kubernetes.io/allowedProfileNames: '' name: sysctlpsp spec: allowedUnsafeSysctls: net.core.somaxconn allowPrivilegeEscalation: true allowedCapabilities: '' fsGroup: rule: RunAsAny hostIPC: true hostNetwork: true hostPID: true hostPorts: max: 65535 min: 0 privileged: true runAsGroup: rule: RunAsAny runAsUser: rule: RunAsAny seLinux: rule: RunAsAny supplementalGroups: rule: RunAsAny volumes: '' kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: name: sysctlpsp rules: apiGroups: "" resources: podsecuritypolicies resourceNames: sysctlpsp verbs: use apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: sysctlpsp roleRef: kind: ClusterRole name: sysctlpsp apiGroup: rbac.authorization.k8s.io subjects: kind: Group name: system:authenticated apiGroup: rbac.authorization.k8s.io 恢复原始Pod安全策略 如果您已经修改默认Pod安全策略后，想恢复原始Pod安全策略，请执行以下操作。 步骤 1 创建一个名为policy.yaml的描述文件。其中，policy.yaml为自定义名称，您可以随意命名。 vi policy.yaml 描述文件内容如下。 apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: pspglobal annotations: seccomp.security.alpha.kubernetes.io/allowedProfileNames: '' spec: privileged: true allowPrivilegeEscalation: true allowedCapabilities: '' volumes: '' hostNetwork: true hostPorts: min: 0 max: 65535 hostIPC: true hostPID: true runAsUser: rule: 'RunAsAny' seLinux: rule: 'RunAsAny' supplementalGroups: rule: 'RunAsAny' fsGroup: rule: 'RunAsAny' kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: name: pspglobal rules: apiGroups: "" resources: podsecuritypolicies resourceNames: pspglobal verbs: use apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: pspglobal roleRef: kind: ClusterRole name: pspglobal apiGroup: rbac.authorization.k8s.io subjects: kind: Group name: system:authenticated apiGroup: rbac.authorization.k8s.io 步骤 2 执行如下命令： kubectl apply f policy.yaml

Node节点 Node节点是集群的计算节点，即运行容器化应用的节点。 kubelet：kubelet主要负责同Container Runtime打交道，并与API Server交互，管理节点上的容器。 kubeproxy：应用组件间的访问代理，解决节点上应用的访问问题。 Container Runtime：容器运行时，如Docker，最主要的功能是下载镜像和运行容器。 Master节点数量与集群规模 在CCE中创建集群，Master节点可以是1个或3个，3个Master节点会按高可用部署，确保集群的可靠性。 Master节点的规格决定集群管理Node节点的规模，创建集群时可以选择集群管理规模，这个规模就是指的集群可以有多少个Node节点，例如50节点、200节点等。 集群的网络 从网络的角度看，集群的节点都位于VPC之内，节点上又运行着容器，每个容器都需要访问，节点与节点、节点与容器、容器与容器都需要访问。 集群的网络可以分成三个网络来看。 节点网络：为集群内节点分配IP地址。 容器网络：为集群内容器分配IP地址，负责容器的通信，当前支持多种容器网络模型，不同模型有不同的工作机制。 服务网络：服务（Service）是用来解决访问容器的Kubernetes对象，每个Service都有一个固定的IP地址。 在创建集群时，您需要为各个网络选择合适的网段，确保各网段之间不存在冲突，每个网段下有足够的IP地址可用。 集群创建后不支持修改容器网络模型 ，您需要在创建前做好规划和选择。 强烈建议您在创建集群前详细了解集群的网络以及容器网络模型，具体请参见容器网络模型。

回收策略 storageClassName: csinas 存储类名称 mountOptions: [] 挂载参数 表 关键参数说明 参数 描述 everest.io/reclaimpolicy: retainvolumeonly 可选字段 目前仅支持配置“retainvolumeonly”everest插件版本需 > 1.2.9且回收策略为Delete时生效。如果回收策略是Delete且当前值设置为“retainvolumeonly”删除PVC回收逻辑为：删除PV，保留底层存储卷。 volumeHandle 文件存储的ID。 获取方法：在CCE控制台，单击顶部的“服务列表 > 存储 > 弹性文件服务”，在弹性文件服务列表中单击对应的弹性文件服务名称，在详情页中复制“ID”后的内容即可。 everest.io/shareexportlocation 文件存储的共享路径。 获取方法：在CCE控制台，单击顶部的“服务列表 > 存储 > 弹性文件服务”，在弹性文件服务列表中可以看到“挂载地址”列，即为文件存储的共享路径。 mountOptions 挂载参数。 不设置时默认配置为如下配置。mountOptions: vers3 timeo600 nolock hard everest.io/cryptkeyid 卷为加密卷时为必填，填写创建加密秘钥的ID。 persistentVolumeReclaimPolicy 集群版本号>1.19.10且everest插件版本>1.2.9时正式开放回收策略支持。支持Delete、Retain回收策略。 Delete : Delete且不设置everest.io/reclaimpolicy：删除PVC，PV资源与文件存储均被删除。 Delete且设置everest.io/reclaimpolicyretainvolumeonly：删除PVC，PV资源被删除，文件存储资源会保留。 Retain ：删除PVC，PV资源与底层存储资源均不会被删除，需要手动删除回收。PVC删除后PV资源状态为“已释放（Released）”， 不能直接再次被PVC绑定使用。如果数据安全性要求较高，建议使用Retain以免误删数据。 storageClassName 存储类名称，支持配置csinas。 csinas：表示使用SFS 1.0容量型文件存储。

1、在新域名服务产品界面，点击“控制台”，进入到域名管理界面，找到需要解析的域名。 2、对需要解析的域名点击“域名解析” 3、在域名解析界面，点击“新增解析” 4、在新增解析界面，选择解析记录类型以及对应的相关内容，点击“提交”。即可完成域名的解析。 备注： 域名解析不得超过20条。 记录类型说明： A记录：将域名指向一个IPv4地址（例如：10.10.10.10）需要增加A记录。 NS记录：域名解析服务器记录，如果要将子域名指定某个域名服务器来解析，需要设置NS记录。 CNAME记录：如果将域名指向一个域名，实现与被指向域名相同的访问效果，需要增加CNAME记录。 MX记录：建立电子邮箱服务，将指向邮件服务器地址，需要设置MX记录。 TXT记录：可任意填写（可为空），通常用作SPF记录（反垃圾）邮件使用。 AAAA记录：用来指定主机名（或域名）对应的IPv6地址（例如：ff06:0:0:0:0:0:0:c3）记录 。 SRV记录：记录格式为优先级权重端口目标地址，每项中间需以空格分隔。例如"0 5 5060 sipserver.example.com"。 URL转发：将域名指向一个http协议地址，访问域名时，自动跳转到目标地址。若显示则访问时直接显示真实的目标地址，若显示隐藏则访问时会隐藏真实的目标地址。（仅中文域名可做URL转发类型的解析。）

事件流可以对源端产生的事件实时抽取、转换和分析并加载至目标端，帮助您轻松处理流式数据。本文介绍如何在事件总线EventBridge管理控制台完成创建、查看和删除事件流等操作。 前提条件 已开通事件总线EventBridge并委托授权。 创建事件流 1. 登录事件总线EventBridge管理控制台。 2. 在左侧导航栏，单击事件流。 3. 在事件流页面，单击创建事件流。 4. 在创建事件流页面，完成以下操作。 1. 在Source（源）配置向导，选择数据提供方及其资源信息，然后单击下一步。更多事件源信息参考事件流事件源。 2. 在Filtering（过滤）配置向导，在事件模式内容代码框输入事件模式，然后单击下一步。 3. 在Transform（转换）配置向导，设置事件转换规则，然后单击下一步。更多信息，请参见使用函数计算实现消息数据清洗。 4. 在Sink（目标）配置向导，设置事件目标。更多事件目标信息参考事件流事件目标。 5.创建事件流后，会有30秒~60秒的延迟时间，您可以在事件流页面的状态栏查看启动进度。 查看事件流详情 1. 1.登录事件总线EventBridge管理控制台。 2. 在左侧导航栏，单击对应事件流的详情按钮。 3. 在事件流详情页面，查看事件流信息，包括Source（源）、Filtering（过滤）、Transform（转换）以及Sink（目标）信息。 删除事件流 1. 登录事件总线EventBridge管理控制台。 2. 在左侧导航栏，单击事件流。 3. 在事件流页面，找到目标事件流，在其右侧操作列单击删除。 4. 在提示对话框，阅读提示信息，然后单击确定。 注意 事件流一旦被删除，发送及接收的消息数据将不可恢复。

本文主要介绍云搜索服务的应用场景。 日志检索分析 云搜索服务可以采集分析各类以文件形式存储的日志，包括不限于服务器、容器日志等。结合消息队列Kafka、Logstash对日志数据进行采集清洗，进入Elasticsearch或OpenSearch中存储检索分析，并通过Kibana或Dashboards进行可视化呈现。 高稳定：通过读写限流、查询熔断、集群监控等方式保障。 性能优化：通过支持压缩算法、内核增强节省存储空间，增强读写速率、降低响应延迟。 易用性：支持多种统计分析方法、划分维度，丰富的可视化查询，可对接BI实现拖拽式报表。 站内搜索 面对海量数据，提供分布式的信息检索工具，可根据网站内容进行关键字检索，也可搭建商品检索或推荐系统。 实时检索：支持模糊搜索，数据来源多样且持续写入，站内资料或商品信息更新数秒内即可被检索。 分类统计：检索同时可以将符合条件的结果进行排序或分类统计。 多场景适配：可用于网站、移动端应用搜索、企业内部应用等多种需要快速检索的场景。 数据分析 提供开箱即用的可视化、高聚合分析能力，便捷高效地对海量数据实时分析。更好地适配实时多维分析在线查询服务场景，满足高实时性，高查询QPS，低查询延迟的数据分析要求。 快速响应：支持海量的、数据源多样、字段不固定的数据高并发处理，毫秒级响应。 复杂查询：支持大批量模糊关键字搜索及一些聚合的复杂查询。 向量检索：基于向量特征相似度匹配，支持图文搜索、地理位置搜索。

本章节为您介绍新增数据库代理。 数据库加密机网关对数据库的加解密是通过解析改写数据库二进制协议实现的。 本章节将指导您如何将您的数据库服务纳入数据加密网关管理之下。 新增数据库代理 1. 使用运维账号登录数据加密网关。 2. 在左侧导航栏选择“数据库管理 > 数据库列表”，进入“数据库列表”页面。 3. 单击页面左上角的“新增”按钮，进入“新增代理实例”页面。 4. 填写数据库实例代理相关内容，填写完成后单击“提交”，即可完成数据库代理配置。 参数 参数说明 数据库类型 根据您自身的业务需求选择数据库类型，具体支持选择的数据库类型请参考使用限制。 数据库版本 选择数据库版本号，具体支持的数据库版本请参考使用限制。 实例IP 填写物理数据库的IP地址，请确保填写的IP地址准确。 实例端口 填写物理数据库连接端口，请确保填写的实例端口准确。 代理端口 自定义代理数据库的服务端口。 是否大小写敏感 选择是否敏感，请根据物理数据库实际情况选择。 实例类型 选择“单节点”或者“主从”，请确认您的数据库部署方式正确选择。 单节点：单节点是指是指数据库软件安装在一台服务器上。 主从：主从是指数据库软件安装在两台或多台服务器上。 当您选择“主从”时，需要填写关联实例的IP、端口和代理端口信息。 描述 对新建的代理服务进行描述。 模式名包裹符号 与物理数据库保持一致。 字段值包裹符号 与物理数据库保持一致。 密文数据格式 根据您自身的业务需求选择“base64”或“hex”。 通配符 自定义通配符。