本文介绍创建用户并授权使用Redis 对资源进行精细访问控制 您可以使用统一身份认证（Identity and Access Management，简称IAM）服务对所拥有的Redis服务进行精细的权限管理。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 您注册后，系统自动创建帐号，帐号是对其所拥有的资源具有完全控制权限，可以访问系统中所有的云服务。若您的团队或应用程序需要使用您的Redis资源，您可以为员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录云服务平台。 前提条件 基于IAM服务进行权限管理控制时，您需先了解Redis的策略管理，包含Redis所支持的系统策略管理，以及各策略间资源粒度的授权情况。 授权流程 左侧导航栏分别包含“用户组”、“用户”、“策略管理”、“企业项目”，用户根据个人需要进行操作资源的权限控制。 授权具体流程为：创建IAM用户 > 创建用户组并授权Redis资源权限 > 为IAM用户授权，具体操作步骤如下： 创建IAM用户 使用天翼云网门户的用户管理功能，给员工或应用程序创建IAM用户。 步骤 1 企业的天翼云管理员使用已注册的天翼云帐号登录天翼云网门户。 步骤 2 鼠标移动至天翼云首页右上角用户头像，进入账号中心。 步骤 3 账号中心左侧菜单中，单击“统一身份认证”。 步骤 4 在统一身份认证管理页，单击左侧导航菜单中的“用户”。 步骤 5 在“用户”管理界面中，单击“创建用户”。 步骤 6 在创建用户对话框中，输入用户信息。 步骤 7 单击“确定”，完成IAM用户创建，返回用户列表，将显示新创建的IAM用户。

6. 配置云间高速健康检查 为2条专线配置2个健康检查。 配置 说明 云间高速 请选择云专线关联的云间高速实例。 云专线（CDA） 分别选择云专线实例cdaA和cdaB。 云侧IP 可填写任意合法 IP 地址，但不得与云间高速网络中已加载的网络地址冲突，也不得与专线网关两端已配置的 IP 地址冲突。 客户侧IP 客户侧IP地址为云专线实例中客户侧IP地址。 发包时间间隔 指定健康检查发送连续探测报文的时间间隔。单位：秒。取值范围：2~3。默认值：2。 探测报文数 指定健康检查发送连续探测报文的个数。单位：个。取值范围：3~8。默认值：8。 切换路由 默认开启。健康检查在探测到云专线链路故障时，如果云间高速实例中存在冗余链路，健康检查则会立即切换使用可用链路。若关闭本功能，请确保已设置其他冗余方案。否则，若物理专线链路发生故障，可能导致网络中断。 具体配置请参考：健康检查 7. 配置用户本地侧路由及健康检查 配置本地路由， 以下示例仅供参考，具体配置请咨询设备厂商。 plaintext 配置去往天翼云侧的路由 ip route 10.10.0.0 255.255.0.0 10.250.0.1 ip route 10.10.0.0 255.255.0.0 10.250.0.5 配置健康检查探测报文的回程路由 ip route <健康检查云侧IP地址> 255.255.255.255 10.250.0.1 ip route <健康检查云侧IP地址> 255.255.255.255 10.250.0.5 配置用户本地侧健康检查。 建议通过双向转发检测协议（BFD, Bidirectional Forwarding Detection）实现本地与专线网关间的路由状态监控，相关设备的具体配置参数需向对应厂商技术部门咨询。 关联健康检查和路由。 相关设备的具体配置参数需向对应厂商技术部门咨询。

本文介绍边缘接入服务IP应用加速回源配置。 功能介绍 回源配置信息，主要包括添加源站、选择合适的回源策略、配置端口信息。 回源配置涉及的相关功能如下： 源站： 配置源站IP/域名、角色（主/备）、层级（主源支持1层，备源支持5层）、权重。 回源策略： 选择【择优回源】时，优先回最快的源站，忽略权重；选择【按权重回源】时，按照配置的权重回源；选择【保持登录】时，则基于客户端IP哈希回源。 端口信息： 配置TCP请求端口和回源端口、UDP请求端口和回源端口、http复用端口和http回源端口、https复用端口和https回源端口、ftp控制端口和ftp数据端口。请求端口和回源端口均支持配置多个，不连续的端口使用逗号分隔，连续的端口间使用''号分隔，如100,10002000,2050；ftp控制端口、ftp数据端口均只能配置一个。 端口转发：可添加多组端口转发策略，实现不同请求端口转发至不同源站的效果。 配置说明 新增接入，配置域名回源配置步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击左上角【新增接入】。 4. 填写回源配置，包括填写源站IP/域名、选择回源策略、填写端口信息等，支持添加多组端口转发规则。 编辑配置，修改回源配置步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击【详情】，点击右下角【编辑配置】，编辑目标域名/实例。 4. 修改对应的回源配置，包括修改源站IP/域名、修改回源策略、修改端口信息等，支持添加多组端口转发规则。

本文为您介绍DRDS管理命令中的CHECK命令。 UDAL CHECKDB '?' 语法说明 数据库检查 示例 plaintext mysql> UDAL CHECKDB 'udaladmin'; ++ Datanode Result ++ udaladmin success udaladmin09 success udaladmin06 success udaladmin02 success udaladmin04 success udaladmin07 success udaladmin01 success udaladmin08 success udaladmin05 success udaladmin03 success udaladmin10 success ++ 11 rows in set (0.02 sec) UDAL CHECKTABLE '?' 语法说明 数据库表检查 示例 plaintext mysql> UDAL CHECKTABLE 'student'; +++ Datanode Table Result +++ udaladmin09 student success udaladmin06 student success udaladmin02 student success udaladmin04 student success udaladmin07 student success udaladmin01 student success udaladmin08 student success udaladmin03 student success udaladmin05 student success udaladmin10 student success +++ 10 rows in set (0.08 sec) UDAL CHECKMETA CONSISTENT [ WHERE SCHEMA IN ( '?' , ... ) ] 注意 仅V5.1.9.6020.2533及以后版本的实例，支持执行该命令。 语法说明 用于全局元数据一致性校验（集群内元数据一致性校验），即校验ZooKeeper上的库表与底层标准库、分片间结构信息是否一致，用于数据迁移服务DTS容灾场景下，保障数据可用性。 返回信息说明如下： 参数 描述 Scheme 进行元数据一致性校验的库。 Table 进行元数据一致性校验的表。 Result 校验结果，可能值： success：库或者表元数据校验一致。 failed：库或者表元数据校验不一致，如果库不一致，表示库不存在；如果表信息校验不一致，则会返回详细信息。 示例

名称 描述 是否必须 BucketName 存储桶名称。 是 delimiter 分隔符，一个用来对关键字们进行分组的字符。所有的关键字都包含delimiter和prefix间的相同子串，prefix之后第一个遇到delimiter的字符串都会加到一个叫CommonPrefix的组中。如果没有特别定义prefix，所有的关键字都会被返回，但不会有CommonPrefix。delimiter只支持”/”，不支持其他分隔符。 类型：字符串。 否 maxuploads 设置返回的分片上传过程的最大数目。 类型：整型。 取值：[1, 1000]。 默认值：1000。 否 keymarker 与uploadidmarker参数一起，该参数指定列表操作从什么位置后面开始。如果uploadidmarker参数没有被指定，那么只有比keymarker参数指定的key更大的key会被列出。如果uploadidmarker参数被指定，任何包含与keymarker指定值相等或大于key的分片上传过程都会被包括，假设这些分片上传过程包含了比uploadidmarker指定值更大的ID。 类型：字符串。 否 prefix 该参数用于列出那些以prefix为前缀的正在进行的上传过程，用户可以使用多个prefix来把一个bucket分成不同的组（可以考虑采用类似文件系统中的文件夹的作用那样，使用prefix来对key进行分组）。 类型：字符串。 否 encodingtype 指定响应中KeyMarker、NextKeyMarker、Key、Prefix、Delimiter的编码类型。如果KeyMarker、NextKeyMarker、Key、Prefix、Delimiter包含xml 1.0标准不支持的控制字符，可通过设置该参数对响应中的KeyMarker、NextKeyMarker、Key、Prefix、Delimiter进行编码。 类型：字符串。 取值：url，字母不区分大小写。 否 uploadidmarker 与keymarker参数一起，指定列表操作从什么位置后面开始。如果keymarker没有被指定，uploadidmarker参数也会被忽略。否则，任何key值等于或大于keymarker的上传过程都会被包含在列表中，只要ID大于uploadidmarker指定的值。 否

本文主要介绍集群权限（IAM授权）。 CCE集群权限是基于IAM系统策略 和自定义策略的授权，可以通过用户组功能实现IAM用户的授权。 注意 集群权限仅针对与集群相关的资源（如集群、节点等）有效，您必须确保同时配置了 前提条件 给用户组授权之前，请您了解用户组可以添加的CCE系统策略，并结合实际需求进行选择，CCE支持的系统策略及策略间的对比。 拥有Security Administrator（IAM除切换角色外所有权限）权限的用户（如账号默认拥有此权限），才能看见CCE控制台权限管理页面当前用户组及用户组所拥有的权限。 配置说明 CCE控制台“权限管理 > 集群权限”页面中创建用户组和具体权限设置均是跳转到IAM控制台进行具体操作，设置完后在集群权限页面能看到用户组所拥有的权限。本章节描述操作直接以IAM中操作为主，不重复介绍在CCE控制台如何跳转。 示例流程 图 给用户授予CCE权限流程 1. 创建用户组并授权。 在IAM控制台创建用户组，并授予CCE权限，例如CCEReadOnlyAccess。 说明 CCE服务按区域部署，在IAM控制台授予CCE权限时请选择“区域级项目”。 2. 创建用户并加入用户组。 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 用户登录并验证权限。 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择云容器引擎，进入CCE主界面尝试购买集群，如果无法无法成功操作（假设当前权限仅包含CCEReadOnlyAccess），表示“CCEReadOnlyAccess”已生效。 在“服务列表”中选择除云容器引擎外（假设当前策略仅包含CCEReadOnlyAccess）的任一服务，若提示权限不足，表示“CCEReadOnlyAccess”已生效。

通过备份和恢复功能可以实现跨集群迁移数据至云搜索服务实例。 应用场景 通过备份与恢复实现天翼云云搜索Elasticsearch/OpenSearch集群间的数据迁移适用于源集群和目标集群都是天翼云云搜索服务的集群，且依赖天翼云对象存储服务ZOS。常用于以下场景： 跨地域或跨账号迁移：将其他Region或账号下的Elasticsearch/OpenSearch集群迁移到当前集群中。 Elasticsearch迁移OpenSearch：将Elasticsearch集群数据迁移到OpenSearch集群中。 集群合并：将两个Elasticsearch/OpenSearch集群的索引数据合并到一个集群中。 方案优势 一站式便捷管理 通过天翼云云搜索服务控制台集成的集群备份功能，实现可视化备份与恢复操作。支持自动化运维策略预设（如定时备份、增量备份），降低人工干预成本。 专为海量数据迁移设计，可高效承载GB至PB级数据迁移任务。基于分布式架构的弹性扩展能力，确保超大规模数据迁移场景下的系统稳定性。 ​灵活跨域协作 依托天翼云对象存储ZOS跨区域复制技术，支持多地域数据同步迁移。 ​精准恢复模式 提供细粒度恢复选择：可按索引维度定向恢复，或基于时间戳回滚至特定集群状态。支持数据版本回溯与一致性校验，保障业务连续性。 约束限制 1. 备份与恢复不支持动态增量数据同步，建议停止数据更新后再进行备份。 2. 第三方存储仓库要配置公网访问才能迁移快照数据。 前提条件 1. 源实例和目标实例处于可用状态。 2. 目标实例的云搜索实例开通备份功能，同资源池下的对象存储服务（ZOS）可用。 3. 已开通好两个不同区域的在用云搜索实例。 操作步骤 本文以西南1资源池云搜索服务迁移进华东1资源池云搜索服务实例为例，模拟数据迁移过程。

本小节介绍微隔离防火墙 策略与策略集。 1.策略与策略集用于策略的建立、修改、删除、禁止与使能。可通过页面的搜索框进行过滤；每条策略最右侧的图标用于修改该条策略的基本信息。界面如下： 2.点击添加，在弹出框内输入名称等信息，即可新建一条策略。 3.新建策略后，点击策略名称，可进入策略详细页面，详细页面可查看该策略的详细信息，并可配置策略的作用范围，策略的详细规则，策略分为范围内策略与范围外策略。 4.策略范围是通过选择工作组标签来设定的，若策略范围所选定的标签涵盖某工作组的标签，则该策略集对此工作组生效。 5.策略规则分为范围内规则和范围外规则，分为作用于策略范围所涵盖的工作组内和范围外对该范围内的访问规则。 在范围内规则处点击新建，弹出框中设置本条规则的服务提供者，所提供的服务，以及允许的访问者。 例如，我们让标签为DB的工作负载可以访问标签为APP的工作负载的Mysql（tcp/3306）服务，具体设置如下图： 注意 1.可在新建规则时，直接新建标签及服务。 2.可以选择某一个工作负载。 6.对于已建立的规则可以点击每条规则最右侧的标志进行修改。服务者和访问者均可多选，而服务只能单项选择。 7.工作组间规则的设置如上，其作用于范围外对范围内的访问。

同步日志 同步日志是指数据库同步过程中，数据库复制服务为您提供的包含警告、错误和提示等类型的信息。 入云 DRS要求源数据库或目标数据库中至少有一方为本云数据库实例，入云指目标数据库为本云数据库实例的场景。 出云 DRS要求源数据库或目标数据库中至少有一方为本云数据库实例，出云指源端数据库为本云数据库实例的场景 本云为备 创建实时灾备任务时选择的灾备关系，指灾备数据库为本云数据库的场景。 本云为主 创建实时灾备任务时选择的灾备关系，指业务数据库为本云数据库的场景。 预检查 预检查是指在启动迁移任务之前，对可能影响任务成功的因素及条件进行的检查。如果预检查项失败，需要根据具体的修复方法进行修复后，重新进行预检查，直到预检查项全部通过才可启动任务。 区域和可用区 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。

参数 参数说明 作业名称 作业名称，只能由字母、数字、中划线和下划线组成，并且长度为1～64个字符。 说明 建议不同的作业设置不同的名称。 执行程序路径 待执行程序包地址，需要满足如下要求： 最多为1023字符，不能包含;l&>,<'$特殊字符，且不可为空或全空格。 执行程序路径可存储于HDFS或者OBS中，不同的文件系统对应的路径存在差异。 OBS：以“obs://”开头。示例： obs://wordcount/program/xxx.jar。 HDFS：以“/user”开头。数据导入HDFS请参考 运行程序参数 可选参数，为本次执行的作业配置相关优化参数（例如线程、内存、CPU核数等），用于优化资源使用效率，提升作业的执行性能。 常用运行程序参数如下表“运行程序参数”。 执行程序参数 可选参数，程序执行的关键参数，该参数由用户程序内的函数指定，MRS只负责参数的传入。多个参数间使用空格隔开。 最多为150000字符，不能包含不能包含;;&><'$特殊字符，可为空。 注意 若输入带有敏感信息（如登录密码）的参数可能在作业详情展示和日志打印中存在暴露的风险，请谨慎操作。 服务配置参数 可选参数，用于为本次执行的作业修改服务配置参数。该参数的修改仅适用于本次执行的作业，如需对集群永久生效，请参考 增加，如需删除参数，请单击右侧“删除”。 常用服务配置参数如下表“服务配置参数”。 命令参考 用于展示提交作业时提交到后台执行的命令。

智慧园区 适用场景 智慧园区中存在大量AI、视频渲染等对延时要求较高的需求，采用低延时的本地网络和一体机边缘算力，即可提供本地即得的算力保障。 方案优势 预配置天翼云平台，提供计算、存储、网络、安全、运维等服务，规模灵活、弹性扩展。 本地数据处理，减少带宽资源消耗，节省成本，且有效降低延时。 拥有完善的监控告警平台和售后服务体系，可提供724小时在线运维服务。 高速公路 适用场景 在高速公路场景中，收费站分布广、IT资产部署零散、无专职IT管理人员，无法实现资源快速、灵活部署，故障恢复时间比较久，亟需简单易运维、高可靠的边缘解决方案。 方案优势 预防停机的容错系统设计，故障时业务0中断，数据0丢失。支持在线不停机坏件更换，提升可用性。 管理平台简单易用，拥有完善的监控告警平台和售后服务体系，可提供724小时在线运维服务；线下多分支网点，可为客户提供个性化现场服务。 分支医疗 适用场景 分支医疗机构IT人员缺乏、设备繁多、运维管理成本过高，并且分支机构数据需要与区域医疗中心互联互通，需要可靠低成本的算力和网络解决方案。 方案优势 简化分支医疗机构的IT基础架构，便于快速部署和上线，满足规模扩张时，预安装极速开通的需求，同时便于管理维护。 采用物联网卡优化，实现分支医疗机构和区域医疗中心的互联互通，有利于形成和利用区域的医疗优势。

访问控制安全 基于 “最小权限原则” 与 “职责分离原则”，通过 IAM 用户组、策略配置等功能，实现权限的精细化管控与团队间隔离。 授予最小权限：使用IAM提供的系统权限，或者自己创建自定义策略，给帐号中的用户仅授予刚好能完成工作所需的权限，通过最小权限原则，可以帮助您安全地控制用户对天翼云云资源的访问。 人员授权：用户可以为不同的用户分配不同的角色和权限。例如，管理员可以拥有对所有资源的完全访问权限，而普通用户可能只能访问特定的云服务器或存储资源。通过合理分配权限，用户可以确保每个用户只能访问他们需要的资源，从而降低安全风险。 资源组细粒度资源管理：天翼云支持资源组功能，用户可以将资源分组管理，并为每个资源组设置不同的访问策略。这样，用户可以更方便地管理资源，并确保只有授权用户才能访问特定资源组中的资源。 动态维护权限与凭证 定期修改身份凭证：定期进行密码或密钥修改可以将不小心泄露信息的风险降至最低。定期更改账号密码可以通过账号中心密码修改进行。轮换访问密钥可以通过创建两个访问密钥进行，将两个访问密钥作为一主一备，一开始先使用主访问密钥一，一段时间后，使用备访问密钥二，然后在控制台删除主访问密钥一，并重新生成一个访问密钥，在您的应用程序中定期轮换使用。 定期审计权限配置：定期核查用户组策略与用户权限，清理冗余策略（如已停用服务的权限）、回收离职人员账号，确保权限与当前业务匹配。 及时删除不需要的身份凭证：对于仅需登录控制台的 IAM 用户，不创建访问密钥，以降低安全风险。若已创建访问密钥，应及时删除，避免不必要的安全隐患。此外，定期查看 IAM 用户的“最近一次登录时间”，判断其凭证是否仍有必要保留。对于长期未登录的用户，应采取措施，及时修改其身份凭证，包括更新密码和删除访问密钥，以确保账户安全。

本文向您介绍当云主机出现端口不通的情况时请应怎样排查。 问题现象 云主机端口不通，会导致云主机之间无法通信或云主机无法对外服务，会影响应用或服务间的调用，或者用户对服务的访问。 根因分析 可能有以下几种原因导致端口不通： 1. 在控制台界面，云主机所在安全组未放行该端口； 2. 应用服务配置存在问题，对外服务端口未被正常监听； 3. 操作系统内，防火墙配置策略异常，如防火墙未放行端口访问。 问题定位步骤 本文分别对Windows和Linux操作系统的远程连接端口进行排查，以下为操作步骤。 Windows 操作系统 此部分以Windows Server 2012操作系统的云主机为示例，对云主机无法远程连接问题的定位步骤。 步骤1：排查安全组是否放通Windows远程连接端口3389。 1. 登录控制中心，选择云主机所在区域，点击“弹性云主机”进入云主机控制台。 2. 在云主机列表，点击需要远程连接的云主机实例名称。 3. 点击“安全组”页签，查看安全组规则。 4. 检查云主机所在的安全组是否已添加3389入方向的安全组规则。 步骤2 ：排查端口是否正常被监听。 在Windows操作系统中打开cmd窗口，执行如下命令。 plaintext netstat ano findstr :3389 如果回显信息如下则说明3389端口正常全网监听。否则，请开启监听。 步骤3 ：排查防火墙已经放行服务。 1. 单击“控制面板”>“Windows防火墙”。 2. 根据防火墙状态，如果防火墙处于关闭状态，且您不需要使用防火墙，则无需再做其他处理。 3. 如果防火墙处于开启状态，则单击“高级设置”。 4. 在弹出窗口的左侧导航栏中，单击“入站规则”。 5. 右键“入站规则”>新建入站规则>选择“端口”>填写“需要放开的端口”完成配置。

本文介绍了云防火墙（原生版）产品的最佳实践，从EIP防护带宽选择、开启资产保护、配置访问控制策略等方面提供指导。 如何选择合适的EIP防护带宽？ 云防火墙（原生版）C100型实例提供高级版和企业版供用户选择，不同版本支持的EIP防护带宽不一样，建议EIP防护带宽不小于VPC内EIP总带宽。 EIP防护带宽支持范围如下： 高级版：10Mbps~2000Mbps 企业版：50Mbps~2000Mbps 开启公网资产保护 互联网边界防火墙帮助您检测和防护云上公网IP资产间的通信流量。只有为资产开启互联网边界防火墙后，您才可以使用云防火墙分析和控制云上主机的互联网访问流量。 您可以在“防火墙开关 > 互联网边界防火墙开关”页面，对指定的公网IP资产开启互联网边界防火墙，如下图所示。 配置外到内的访问策略 在“访问控制 > 互联网边界规则 > 入向规则”页面可进行配置，如下图所示。 在入向规则的访问策略中，不要对公网IP全部端口开放访问，对外仅开放必要的互联网IP和端口，其他端口请全部设置为拒绝。 放行需要对外开放的应用或端口 在访问控制页面入向规则列表中，依据业务需求，将源IP地址配置为0.0.0.0/0或特定源，目的选择要放开的IP，协议选择ANY或者依据业务需要选择对应协议，动作选择放行。 例如，80端口为Web服务，对全网开放，因此访问源为0.0.0.0/0；1433、3389端口分别为SqlServer、RDP服务，对特定源开放，因此访问源为特定源。 将除放行策略之外的流量设置为拒绝放行 在访问控制页面入向规则列表中，将源IP地址配置为0.0.0.0/0或地址簿中系统默认配置的地址簿ANY（0.0.0.0/0），目的设置为ANY，协议设置为ANY，动作选择拒绝。

本章节介绍ECS应用实例总览页面功能 概览 应用总览页面展示ECS应用实例基本信息、健康检查配置、访问方式配置、服务治理、实例部署信息、版本信息以及及生命周期管理等相关信息。在应用实例列表页，点击应用实例名称列或者操作列的详情，即可进入应用总览页面。 基本信息 基本信息展示ECS应用实例的运行状态、资源池、环境、部署单元、集群名称、所属应用、技术栈类型、技术栈版本、部署包、部署版本、创建事件、更新时间等信息。其中部署单元信息可修改，仅支持新增部署单元。 健康检查配置 健康检查配置用于配置端口健康检查和健康检查URL。开启相关检查后，在执行生命周期相关变更事会增加对应检查步骤。 端口健康检查：检查应用进程的相关端口是否成功打开，如果端口可以连接上，则该健康检查就会成功。因此如果应用正常运行，则端口健康检查一定是正常，但反之不一定正确，此时就需要进行URL健康检查。 URL健康检查：按照固定的时间间隔（间隔为10秒），向应用程序、服务器或其他资源自动提交请求，以验证其是否可到达、是否可用及功能是否正常，如果该地址HTTP状态码返回200则认为健康检查通过。 访问方式配置 访问方式配置用于配置公网/私网负载均衡访问ECS应用实例。具体配置信息请参考应用访问。 服务治理 服务治理用于配置同可用区优先和推空保护。 同可用区优先：指在应用调用服务时，优先调用同可用区的服务提供者。只有在当前可用区实例数量占实例总数比例大于所设置的阈值时，同可用区优先调用策略才会生效。阈值填写范围为0~100。 推空保护：服务消费者通过注册中心订阅服务提供者的实例列表。当注册中心进行变更或遇到突发情况， 或服务提供者与注册中心间的链接因网络、CPU等其他因素发生抖动时，可能会导致订阅异常，从而使服务消费者获取到空的服务提供者实例列表。开启推空保护功能可以提高整个系统的可用性。

鲲鹏计算增强型 实例规格 代理个数 单个代理TPS 单个代理分区上限 单个代理建议主题数 单个代理建议消费组数 单个代理客户端总连接数上限 存储空间范围 单个代理流量规格（MB/S） kafka.kp.2u4g.single 1 20000 250 250 20 2000 10010000GB 62 kafka.kp.4u8g.single 1 80000 500 500 100 4000 10010000GB 188 kafka.kp.8u16g.single 1 150000 1000 1000 150 4000 10010000GB 1063 （2）以下规格适用于 芜湖2、上海7、重庆2、乌鲁木齐27、石家庄20、内蒙6、北京5 节点 产品类型 产品规格 高级版 三节点 8核32GB TOPIC数上限100 集群流量峰值300MB/s 总磁盘范围 1200GB – 6000GB 基础版 三节点 4核16G TOPIC数上限50 集群流量峰值100MB/s 总磁盘范围 600GB – 6000GB 实例规格和网络带宽说明 Kafka实例的网络带宽主要由以下两个部分组成： 1. 实例Broker对应的网络带宽 2. 实例Broker的磁盘所对应的带宽值（不同类型的磁盘对应的带宽值不同，具体参考：如何选择磁盘类型） 注意事项： Kafka默认情况下测试均为尾读场景（即仅消费最新生产的数据），而不是冷读场景（即从头开始消费历史数据的场景）。 流量规格测算模型说明如下： 测试模型读写比例为1:1 默认Topic的副本数为3 实例网络总流量 单个代理流量规格 代理数量 实例整体流量 业务流量 + 代理节点间数据复制流量 参考上述测算模型说明，假如当前规格为kafka.2u4g.cluster，单个代理流量规格为100MB/s，代理数量为3，实例网络总流量、最大读流量和最大写流量的计算方式如下： 1. 实例网络总流量 单个代理流量规格 代理数量 100MB/s 3 300MB/s 2. 最大读流量 实例网络总流量 / 默认副本数 / 2 300MB/s / 3 / 2 50MB/s 3. 最大写流量 实例网络总流量 / 默认副本数 / 2 300MB/s / 3 / 2 50MB/s

事后：损失最小化，被勒索后“及时恢复” 当前勒索攻击发展迅速，任何工具都无法提供100%防护。若不幸失陷，备份恢复能够将损失最小化。通过云备份服务快速恢复业务，保障业务安全运行。 备份数据恢复业务：首先还原业务关键型系统，请在还原之前再次验证备份是否正常。 勒索防护配置说明 当前勒索病毒频繁升级、变种，主机安全可支持对勒索病毒的检测及系统风险项的识别，但无法做到百分百的病毒防护能力，需要通过配置CBR备份服务进一步提升勒索病毒防护能力、消减勒索带来的影响。仅配置CBR备份服务，可能出现备份副本到勒索攻击时间节点间的业务无法恢复，需要同步配置HSS勒索病毒防护功能实时检测勒索病毒，减小业务受损范围。 云安全事件数据表明，HSS与CBR对勒索综合防御能力均具有影响，为使您的业务环境处于最佳勒索防御状态，强烈建议开通HSS旗舰版勒索防护策略，开通并配置小时级别永久保存的CBR备份： 企业主机安全HSS服务状态 云备份 CBR服务状态 被加密概率 加密后恢复概率 防御勒索病毒侵害的综合得分（0~100） 开通版本 勒索防护策略 配置状态 最短备份周期（推荐） 被加密概率 加密后恢复概率 防御勒索病毒侵害的综合得分（0~100） 非常高（90%） 0% 0 基础版 不支持 非常高（90%） 0% 0 企业版 不支持 非常高（85%） 0% 10 旗舰版 未配置 中（50%） 0% 15 基础版/未开通 不支持 已配置 天 非常高（90%） 50% 20 企业版 不支持 已配置 天 非常高（85%） 50% 30 基础版/未开通 不支持 已配置 小时 非常高（90%） 90% 30 旗舰版 未配置 已配置 天 中（50%） 50% 35 企业版 不支持 已配置 小时 非常高（85%） 90% 40 旗舰版 未配置 已配置 小时 中（50%） 90% 45 旗舰版 已配置 非常低（<10%） 0% 60 旗舰版 已配置 已配置 天 非常低（<10%） 50% 80 旗舰版 已配置 已配置 小时 非常低（<10%） 90% 90 旗舰版 已配置 已配置 小时（永久备份） 非常低（<10%） 90% 99（推荐）

本章节主要介绍作业开发的作业开发流程。 作业开发功能提供如下能力： 提供图形化设计器，支持拖拉拽方式快速构建数据处理工作流。 预设数据集成、计算&分析、资源管理、数据监控、其他等多种任务类型，通过任务间依赖完成复杂数据分析处理。 支持多种作业调度方式。 支持导入和导出作业。 支持作业状态运维监控和作业结果通知。 提供编辑锁定能力，支持多人协同开发场景。 支持作业的版本管理能力。 开发作业前，您可以通过下图了解数据开发模块作业开发的基本流程。 作业开发流程 1. 新建作业：当前提供两种作业类型：批处理和实时处理，分别应用于批量数据处理和实时连接性数据处理，具体请参见新建作业。 2. 开发作业：基于新建的作业，进行作业开发，您可以进行编排、配置节点。具体请参见开发作业。 3. 调度作业：配置作业调度任务。具体请参见调度作业。 − 如果您的作业是批处理作业，您可以配置作业级别的调度任务，即以作业为一个整体进行调度，支持单次调度、周期调度、事件驱动调度三种调度方式。具体请参见调度作业章节中的“配置作业调度任务（批处理作业）”。 − 如果您的作业是实时处理作业，您可以配置节点级别的调度任务，即每一个节点可以独立调度，支持单次调度、周期调度、事件驱动调度三种调度方式。具体请参见调度作业章节中的“配置节点调度任务（实时作业）”。 4. 提交版本并解锁：作业调度配置完成后，您需要提交版本并解锁，提交版本并解锁后才能用于调度运行，便于其他开发者修改。具体请参见提交版本并解锁。 5. （可选）管理作业：作业开发完成后，您可以根据需要，进行作业管理。具体请参见（可选）管理作业。

操作场景 当需要使用SDRS服务时，需要在生产站点服务器安装代理客户端。 代理客户端将复制生产站点服务器的IO，并发送给容灾网关。 前提条件 代理客户端不能部署在云容灾网关服务器上。 为保障服务正常运行，需要确保端口未被占用，请参见附录中的“异步复制客户端的端口说明”。 如果待安装代理客户端的服务器的防火墙已开启，需要放通59526端口的访问。 云容灾网关和代理客户端建议放在同一安全组内，安全组配置为仅允许安全组内弹性云主机互通。 安装包准备步骤 基于安全考虑，SDRS服务将在首次安装时随机生成自签证书用于组件间认证。为保证通信正常，安装代理客户端时，需使用在网关节点上生成的携带证书的安装包。 说明 仅新安装客户端涉及以下安装包准备步骤。 如果云容灾网关存在已经签名的目标版本安装包，可直接使用该安装包安装，详见Linux安装代理客户端步骤。 1. 获取代理客户端软件包到网关服务器 的/opt/cloud目录，并比对软件包的sha256值，确保安装包完整性。 跨区域和跨可用区模式：在服务控制台页面选择生产站点服务器的操作系统及对应版本，复制页面提供的命令，登录到网关服务器，进入/opt/cloud目录，粘贴并执行命令获取软件包。 2. 执行以下命令，将网关节点上的证书打包生成新的Linux安装包和sha256文件： sh /opt/cloud/sdrs/createcerts.shl 3. 执行以下命令，将网关节点上的证书打包生成新的windows安装包和sha256文件： sh /opt/cloud/sdrs/createcerts.sh w 说明 打包windows安装包需要使用unzipzip命令，若回显中包含如下提示，需安装后再进行重试。 ...unzip not installed. 或者 ...zip not installed.

本文主要介绍 创建用户并授权使用DMS for Kafka。 如果您需要对您所拥有的DMS for Kafka服务进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DMS for Kafka资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DMS for Kafka资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DMS for Kafka服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的DMS for Kafka系统策略，并结合实际需求进行选择，DMS for Kafka支持的系统策略及策略间的对比，请参见：DMS for Kafka权限管理。 示例流程 图 给用户授权DMS for Kafka权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予DMS for Kafka的只读权限“DMS ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入 1 中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择分布式消息服务Kafka，进入Kafka实例主界面，单击右上角“购买Kafka实例”，尝试购买Kafka实例，如果无法购买Kafka实例（假设当前权限仅包含DMS ReadOnlyAccess），表示“DMS ReadOnlyAccess”已生效。 在“服务列表”中选择云硬盘（假设当前策略仅包含DMS ReadOnlyAccess），若提示权限不足，表示“DMS ReadOnlyAccess”已生效。

参数 参数说明 作业名称 作业名称，只能由字母、数字、中划线和下划线组成，并且长度为1～64个字符。 说明 建议不同的作业设置不同的名称。 执行程序路径 待执行程序包地址，需要满足如下要求： 最多为1023字符，不能包含 ;l&>,<'$特殊符号和空格。 执行程序路径可存储于HDFS或者OBS中，不同的文件系统对应的路径存在差异。 OBS：以“obs://”开头。示例： obs://wordcount/program/xxx.jar。 − HDFS：以“/user”开头。数据导入HDFS请参考 运行程序参数 可选参数，为本次执行的作业配置相关优化参数（例如线程、内存、CPU核数等），用于优化资源使用效率，提升作业的执行性能。 常用运行程序参数如下表“运行程序参数”。 执行程序参数 可选参数，程序执行的关键参数，该参数由用户程序内的函数指定，MRS只负责参数的传入。多个参数间使用空格隔开。 最多为150000字符，不能包含 ;l&><'$特殊字符，可为空。 注意 若输入带有敏感信息（如登录密码）的参数可能在作业详情展示和日志打印中存在暴露的风险，请谨慎操作。 服务配置参数 可选参数，用于为本次执行的作业修改服务配置参数。该参数的修改仅适用于本次执行的作业，如需对集群永久生效，请参考 增加，如需删除参数，请单击右侧“删除”。 常用服务配置参数如下表“服务配置参数”。 说明 如需运行长时间作业如SparkStreaming等，且需要访问OBS,需要通过“服务配置参数”传入访问OBS的AK/SK。 命令参考 用于展示提交作业时提交到后台执行的命令。

本章节是关于开发者通过对话工具(比如Chatbox等)以OpenAIAPIcompatible的方式快速添加使用模型的实践。 说明 目前天翼云息壤的新老用户均可免费体验2500万Tokens，限时两周。模型广场支持DeepSeekR1、DeepSeekV3等多个版本模型的调用。 支持在对话工具（比如Chatbox、CherryStudio等）以OpenAIAPIcompatible的方式快速添加使用。 天翼云官网获取模型调用APPkey等信息 模型API终端请求地址 请求地址 API终端请求地址： 通信协议 接口通过 HTTPS 进行通信，保护用户数据的机密性和完整性，确保网络通信的安全性。 请求方法 支持的 HTTP 请求方法：POST。 POST 请求支持的 ContentType 类型：application/json。 获取模型调用APP key 访问模型推理服务地址：< 在API快捷接入页面： 选择服务组：从下拉菜单中选择第一步创建的服务组。如果尚未创建，可点击“确认创建并选择”快速创建默认服务组。 选择模型：从模型下拉菜单中选择需要接入的模型。 选择完成后，页面下方将自动展示该模型支持的所有编程语言的示例代码。 可进入左侧菜单栏的“服务接入”页，查看所创建的服务组及对应APP Key。

本节介绍开通翼甲卫士的操作说明。 操作步骤： 1.登录AI云电脑（政企版）控制台，点击“协同套件”菜单栏，找到翼甲卫士点击开通。 2.根据用户实际需求，选择开通翼甲卫士所需的资源进行开通。 防护的VPC/带宽：每台翼甲只能绑定一个VPC，支持对同一VPC下的多个带宽进行防护。 上网行为管理：支持对用户访问网站的行为进行管控审计。 费用扣减：目前翼甲卫士仅支持资源包方式订购。 扣费结构为：翼甲卫士费用主机费用（必须）+防火墙日志存储费用（可选）+短信告警服务费用（可选）。其它部分自费信息参照下表： 性能项目 性能指标 价格 备注 标准版 包含1台8C16G防火墙主机 支持网络访问规则控制 支持IPsecVPN 支持入侵防御、病毒防护 支持防护200Mbps带宽 750元/套/月 此项为计算资源和存储资源收费，若配置了防火墙高可用，资源2 增强版 包含1台16C32G防火墙主机 支持网络访问规则控制 支持IPsecVPN 支持入侵防御、病毒防护 支持上网行为管理 支持防护400Mbps带宽 1400元/套/月 此项为计算资源和存储资源收费，若配置了防火墙高可用，资源2 防火墙日志存储 高IO 8元/100GB/月 短信告警服务 / 0.2元/条

搭建本地知识库 用户也可以尝试通过预置提示词、知识库，生成独立的 AI 应用。我们这里以使用ollama添加DeepSeek模型搭建本地知识库为例。 步骤1：点击上方【知识库】，点击【创建知识库】，添加相关知识库文档； 步骤2：进入知识库编辑页面，上传需要处理的文档（支持 TXT、 MARKDOWN、 MDX、 PDF、 HTML、 XLSX、 XLS、 DOCX、 CSV、 MD、 HTM，每个文件不超过 15MB）。 此处选择在创建开发机时挂载的数据集文件，目录为/home/datasetfs0/tmp中。 步骤3：进入文本分段与清洗页面，选择默认配置，点击【保存并处理】。完成配置后，系统会自动对上传的文档进行解释和向量化处理； 步骤4：返回Dify聊天应用编排页面，在上下文中添加我们刚才导入的知识库。现在我们可以在测试页面中输入问题进行提问，系统将会基于本地知识库返回答案。至此，我们已成功使用Dify+DeepSeek模型构建私有知识库，Dify还具备工具、函数等强大能力，请用户自行探索相关功能。

训推一体场景 使用场景 主要面向对数据保密及安全有着较高要求的企业单位与科研机构，可有力支撑其在私有化环境中，凭借自有数据开展专属行业大模型的训练或者微调工作，尤其适用于政务、医疗、金融等诸多行业领域，充分满足不同行业对于数据安全及大模型定制化应用的需求。 产品优势 拥有丰富多样的训推一体机规格，可依据不同用户的具体业务规模、算力需求等情况，灵活提供适配性强的产品选择。 配备简单易用的训练平台，极大降低了用户的操作门槛，让即使没有深厚技术背景的人员也能便捷地进行大模型的相关训练操作，有效提升工作效率。 模型推理场景 使用场景 精准契合那些无大模型训练诉求，但又需要在私有化环境下部署自有大模型或引入行业大模型，以此为自身应用赋予智能能力的应用场景，广泛覆盖教育平台、数字政务以及医疗应用等关键领域，通过快速调用内置DeepSeek等系列大模型，获取高效的推理服务，为行业应用提供强大的AI支持，提升业务智能化水平。 产品优势 具备推理加速功能以及量化压缩技术，能够大幅提升模型推理的速度与效率，同时优化资源利用，降低对硬件资源的依赖。 支持在本地进行快速部署，可迅速将大模型的推理能力融入到现有业务体系中，减少部署时间成本，快速实现应用赋能与价值创造。

本节介绍如何创建JupyterLab开发机。 创建Notebook 在智算套件控制台页面选择“AI应用开发”，单击“创建Notebook”。 由于开发机会单独创建eip用于暴露服务，因此在创建时会出现 “此功能会自动帮您创建弹性IP和弹性负载均衡用于服务暴露，因此会产生一定的费用。” 的提示，确认需要启用后点击“确定”。 配置基本信息 选择开发机类型，支持JupyterLab和VSCode类型的开发机，并选择需要创建的命名空间、填写描述信息等。 选择开发机框架，平台内置了多个公共的JupyterLab框架，其中有包含Pytorch、TensorFlow的CUDA镜像可供选择。 配置工作空间 “工作空间目录配置” 默认打开，数据集挂载第一条默认为工作空间目录的配置，且只能选择私有数据集（私有数据集具有读写权限，公共数据集为只读权限）进行配置，平台会将此工作空间数据集映射到容器的/home/jovyan目录，后续使用过程中用户工作空间的持久化数据将保存到该数据集内。 “工作空间目录配置”可选择关闭，关闭后如果该开发机容器故障用户工作空间内的数据将会丢失，请谨慎选择。 数据集支持多条配置，需要确保多条不同数据集的挂载路径不会重叠、重复。

版本列表 版本列表 版本说明 TeleChat12B 星辰语义大模型TeleChat开源的12B参数版本，支持deepspeed微调和多轮对话能力，在外推能力和长文生成方面展现出优异表现。其开源版本包括12B模型的int8和int4量化版本。 声明、协议、引用 声明 不要使用TeleChat模型及其衍生模型进行任何危害国家社会安全或违法的活动，不要将TeleChat模型用于没有安全审查和备案的互联网服务。希望所有使用者遵守上述原则，确保科技发展在合法合规的环境下进行。 中电信尽可能确保模型训练过程中使用的数据的合规性，由于模型和数据的复杂性，仍有可能存在一些无法预见的问题。因此，如果由于使用TeleChat开源模型而导致的任何问题，包括但不限于数据安全问题、公共舆论风险，或模型被误导、滥用、传播或不当利用所带来的任何风险和问题，中电信不承担任何责任。 协议 社区使用 TeleChat 模型需要遵循《TeleChat模型社区许可协议》。 TeleChat模型支持商业用途，如果您计划将 TeleChat 模型或其衍生品用于商业目的，您需要通过以下联系邮箱 teleai@chinatelecom.cn，提交《TeleChat模型社区许可协议》要求的申请材料。审核通过后，将特此授予您一个非排他性、全球性、不可转让、不可再许可、可撤销的商用版权许可。

本模块提供在线测试的功能,您可以即刻体验模型效果。 体验中心工作台 进入体验中心工作台，需要先选择服务类型，当前可选择：文本对话、文本生图、图像理解。左下方支持通过测试台选择服务（包括预置服务与我的服务）/应用进行参数配置。 文本对话类模型体验 参数配置： 可以在左侧测试工作台选择服务进行参数配置。 温度：Temperature控制生成文本的多样性。较高的温度值会使生成的文本更加随机和多样化，而较低的温度值会使生成的文本更加确定和一致。 多样性：TopP影响输出文本的多样性，取值越大，生成文本的多样性越强。 重复惩罚：Frequencypenalty影响模型生成重复词汇的倾向。通过增加重复词汇的惩罚权重，降低模型逐字重复的可能性。 系统人设：设定模型的行为和背景，告知模型需要扮演的角色。例如：“假如你是一个AI助手”。 输入框中可直接输入问题，系统将根据输入的问题及配置的参数进行实时回答。 文本生图类模型体验 参数配置：选择服务后，支持配置：绘画描述（Prompt）、图片风格、图片比例。 配置参数后，点击“生成图片”，即可在页面右侧查看生成的结果。 图像理解类模型体验 参数配置：选择服务后，支持配置：Prompt、图片。 配置描述及图片后，发送对话，即可在页面右侧查看生成的结果。 查看历史记录 点击右上角【查看历史记录】，系统会展开历史的对话记录，可以查看统计大模型的回答质量，保存上限为200条。

SaaS模式和混合部署模式套餐版本差异 混合部署模式下，不支持使用天翼云边缘节点安全能力，如：不具备waf，抗D、全局离线AI分析、就近接入加速等能力，接入点由企业自行暴露。 混合部署模式支持VPN版、基础版、企业版，各版本能力和SaaS能力一致。 但部分功能在使用上存在差异：日志投递不支持使用内网通道传输，不支持开启无端访问能力。 独享网关安装步骤 需准备安装的机器： 服务器选型说明，需满足以下规格的软硬件的服务器、虚拟机、弹性云主机： 操作系统：请在 Centos 7.x（7.9以下）版本安装。目前在部分Centos 8.x，Centos 9.x的系统存在不兼容情况。 CPU：至少 2 核。 内存：至少 4 G。 CPU架构：支持X86、ARM64架构。 说明 独享网关安装后，将在机器上部署Docker组件，独享网关实际运行在容器环境中，若客户的操作系统为其他类型操作系统（指基于linux内核的其他操作系统），可在实际安装时，根据CPU架构选择不同的安装命令进行尝试安装。独享网关不适配WIndows类型操作系统。 网络配置要求： 可访问公网，如果存在防火墙且出入方向流量存在限制，则部署机器至少需放行或通过NAT方式开放以下端口流量： 出方向需放行访问零信任中心的流量：TCP协议，端口号443；UDP协议，端口号：53。 部署机需分配公网IP，且入方向需向客户端接入区域开放独享网关的VPN接入点，UDP协议，端口号：该端口号按控制台页面提示的端口号。

本节介绍翼加密客户端申请文件脱密的流程。 用户可以根据需要，在自己的加密AI云电脑，针对加密文件发起脱密申请。脱密申请一次最多15个文件，上传的单个文件最大支持200M，大于200M文件会被自动剔除。 备注：如果需要脱密大于200M的文件，请联系管理员使用“管理员脱密工具”进行脱密。 脱密申请步骤： 第一步 选择需要脱密的文件 选择文件发起脱密申请的方式有3种： 1、批量选择需要脱密外发的加密文件，点击鼠标右键，在右键菜单中点击“使用翼加密申请文件脱密”。 2、双击桌面的“翼加密”客户端快捷方式，打开客户端首页，在首页点击“新脱密申请”按钮进行文件脱密申请。 3、在脱密申请页，点击“选取文件”选择需要申请脱密的文件。 4、在脱密申请页，也可以直接将文件拖入选中。 第二步 选择脱密方式 脱密方式包括脱密邮件和脱密下载两种： 脱密邮件 审批通过后，会将脱密文件通过邮件发送给收件人。下载链接6天后将失效，收到邮件后需及时下载脱密文件。

本文通过开源Dify服务与云搜索服务的OpenSearch向量数据库与搜索大模型（支持Embedding向量化与Rerank重排序技术）快速构建智能知识问答（RAG）服务。 Dify作为一个低代码平台，将AI的强大能力整合到日常的数据流和工作流中，旨在帮助用户简化和自动化各种业务和数据处理任务。开源Dify可以将天翼云云搜索服务的OpenSearch作为向量数据库和全文检索库，通过接入外部模型的方式低代码、低成本、快速地的完成知识库问答的RAG应用。 RAG（Retrieveraugmented Generation）是一种结合了信息检索和生成的自然语言处理（NLP）技术，特别适用于需要从大量数据中检索信息并生成自然语言文本的场景。它在处理复杂任务时能够提升生成模型的性能，尤其是在模型缺乏足够上下文或知识的情况下。 RAG的优势 RAG通过检索外部知识库或数据库中的相关信息，能够在生成过程中动态地补充实时或特定领域的知识，弥补了生成模型的“知识盲区”。这使得模型能够在没有训练时直接获得的信息基础上进行更加准确的回答或内容生成。针对企业内部包含的敏感数据（如薪资标准、客户资料等）以及大量专有信息（包括产品文档、客户案例、流程手册等），RAG提供了安全的解决方案。由于这些非公开信息无法直接预置到大模型中，RAG通过外部知识调用的方式，既满足了信息需求，又确保了数据安全性。

Web应用防火墙（边缘云版）依托天翼云云安全节点形成云安全边缘网络，区别于传统WAF需要在源站前端部署，Web应用防火墙（边缘云版）把安全能力赋能在所有边缘节点，利用分布式节点部署使计算能力更强，有效降低源站计算压力，提升了用户访问质量的同时保护了源站数据的安全。本节介绍了Web应用防火墙（边缘云版）产品的优势。 自主可控的安全防护能力 基于 AI+ 规则双引擎的 Web 攻击识别，构建一体化应用业务安全防护。 业务流量识别与分析，自定义规则匹配用户业务，避免误拦截、漏拦截。 支持Bot流量管理和智能CC防护。 弹性扩容无惧突发风险 分布式集群防护，单点故障自动转移，确保网站的高可用性。 动态调整边缘节点，无缝扩展QPS 防护能力，可达亿级别防护规模。 利用大平台优势，基于全网、全行业流量的攻击数据，结合机器学习算法，构建一套智能防护体系。 便捷的运营与管理 零部署、零运维，支持多云、混合云环境，一键CNAME接入，云端安全专家配置策略。 集中监控和分散维护相结合，NOC 工程师7×24小时集中监控，网络工程师 7×24 小时在线支持，节点现场服务工程师进行服务保障。 支持一键开启IPv6功能，无缝处理IPv4和IPv6流量。 提供可视化报表、态势感知大屏，深入分析安全隐患，清晰把控全局。 敏感的威胁情报感知 0day漏洞快速修复，天翼云安全团队724小时监测，主动发现新型攻击并24小时内响应，帮助用户抵御最新威胁。