本章节介绍印刷文字识别（OCR) 关于使用限制、产品功能、产品性能、系统逻辑等常见问题与解答。 印刷文字识别前端展示页面对于上传的图片是否有要求？ 每个API对图片大小的限制请参考API文档。 图片格式支持jpg、png、jpeg、bmp等。 印刷文字识别是HTTP GET请求还是HTTP POST请求？ 印刷文字识别以API的方式提供服务，支持HTTP POST请求。 HTTP POST提供了加密传输、身份验证和授权以及请求参数验证和过滤等机制，从而可以更好的保障用户的数据安全。 印刷文字识别的请求图像放置在Http请求的哪部分？ 请求图片应当放置于Http的body中，不能放置于query或者header中。 印刷文字识别的API接口是否支持单次请求多张图片？ 印刷文字识别的API接口对单次请求的图片限制不一致，具体可参考【API参考】【API】具体产品（如通用型OCR）“接口要求”中的详细说明。 车牌识别支持新能源车牌吗？ 支持新能源车牌。车牌识别适用于中国大陆的车牌识别服务，支持蓝牌、黄牌（单层）、新能源车牌的检测与识别，同时支持图片内有多张车牌，结构化返回车牌内容及车牌位置坐标。 OCR能否提供100%识别准确率？ OCR识别无法做到100%识别准确率。如您对当前使用的OCR产品服务有识别准确率相关问题，您可拨打通过天翼云官网工单或者客服电话【4008109889转1】联系我们。

本文主要介绍入门指引。 本文将为您介绍分布式消息服务Kafka入门的基本流程，主要包括控制台创建Kafka专享版实例、使用弹性云主机连接实例的操作，帮助您快速上手Kafka。 您还可以通过API方式创建Kafka实例、在业务代码中连接Kafka实例。 操作流程 图Kafka使用流程 1. 环境准备 Kafka实例运行于虚拟私有云中，在创建实例前需要确保有可用的虚拟私有云。 Kafka实例创建后，您需要在弹性云主机中下载和安装Kafka开源客户端，然后才能进行生产消息和消费消息。 2. 创建Kafka实例 在创建实例时，您可以选择是否开启SASL访问，开启后，数据加密传输，安全性更高。同时，SASL开关只能在创建实例时设置，实例创建成功后，不支持修改。 3. （可选）创建Topic Kafka实例创建成功后，如果没有开启“Kafka自动创建Topic”，需要手动创建Topic，然后才能进行生产消息和消费消息。 4. 连接实例 针对实例是否开启SASL开关，在连接时是否需要下载证书，区分以下两种场景： 未使用SASL：包含内网访问和公网访问。 使用SASL：包含内网访问和公网访问。 5. 配置告警 配置Kafka实例监控告警策略，监控实际业务运行状态。 说明 关于Kafka的相关概念，请参考

此小节介绍数据库安全相关术语解释。 可用区（AZ） 一个可用区是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 非关系型数据库 按照非关系型数据结构来联系和组织的数据库。按不同的数据结构，可细分为以下几种：键值存储数据库（keyvalue）、列存储（Columnoriented）数据库、面向文档（DocumentOriented）数据库、图形数据库。常用非关系型数据库有：Memcached、Redis、MongoDB、Cassandra、HBase、MemacheDB、BerkeleyDB等。 非系统数据库 非系统数据库是指除系统数据库以外的数据库，比如用户自建数据库。 内存数据库 将数据放在内存中直接操作的数据库。相对于磁盘，内存的数据读写速度要高出几个数量级，将数据保存在内存中相比从磁盘上访问能够极大地提高应用的性能。 SQL注入 SQL注入攻击是一种常见的Web攻击方法，攻击者通过把SQL命令注入到Web后台数据库的查询字符串中，最终达到欺骗服务器执行恶意SQL命令的目的。例如可以从数据库获取敏感信息，或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。 正则表达式 用于指定和识别文本字符串（如特定字符，单词或字符模式）的一种简洁而灵活的方式。正则表达式模式是包含下列字段的对象：名称和正则表达式定义字符串。

参数 说明 direct 快速模式，利用了数据库的导入工具，如MySQL的mysqlimport，可以比jdbc连接的方式更为高效的将数据导入到关系数据库中。 exportdir 存放数据的HDFS的源目录。 m或nummappers 启动n个map来并行导入数据，默认是4个，该值请勿高于集群的最大Map数。 table 要导入的目的关系数据库表。 updatekey 后面接条件列名，通过该参数可以将关系数据库中已经存在的数据进行更新操作，类似于关系数据库中的update操作。 updatemode 更新模式，有两个值updateonly和默认的allowinsert，该参数只能在关系数据表里不存在要导入的记录时才能使用，比如要导入的hdfs中有一条id1的记录，如果在表里已经有一条记录id2，那么更新会失败。 inputnullstring 可选参数，如果没有指定，则字符串null将被使用。 inputnullnonstring 可选参数，如果没有指定，则字符串null将被使用。 stagingtable 创建一个与导入目标表同样数据结构的表，将所有数据先存放在该表中，然后由该表通过一次事务将结果写入到目标表中。 该参数是用来保证在数据导入关系数据库表的过程中的事务安全性，因为在导入的过程中可能会有多个事务，那么一个事务失败会影响到其它事务，比如导入的数据会出现错误或出现重复的记录等等情况，那么通过该参数可以避免这种情况。 clearstagingtable 如果该stagingtable非空，则通过该参数可以在运行导入前清除stagingtable里的数据。

本章节内容主要介绍常见问题中通用类 使用文档数据库服务要注意什么? 故障切换 文档数据库实例采用多路由+多分片+副本集的部署形态，当路由主机出现故障时，可实时动态切换。副本集包含多个副本，当主节点发生故障时，系统会在30秒之内切换到备节点。 实例的弹性云主机，对用户都不可见，这意味着，只允许用户应用程序访问数据库对应的IP地址和端口。 文档数据库服务使用的对象存储服务上的备份文件，对用户不可见，它们只对后台管理系统可见。 申请文档数据库服务后，您还需要做什么？ 您不需要进行数据库的基础运维（比如高可用、安全补丁等），但是您还需要重点关注以下事情： 文档数据库实例的CPU、IOPS、空间是否足够，如果不够需要优化或者扩容。 文档数据库实例是否存在性能问题，是否有大量的慢查询，查询语句是否需要优化，是否有多余的索引或者索引缺失等。 什么是文档数据库实例可用性? 文档数据库实例可用性的计算公式： 实例可用性（1–故障时间/服务总时间）×100% 我的实例是否会受其他用户实例影响? 文档数据库实例不会受其他用户实例影响，因为每个用户的实例与其他用户的实例是独立的，并且有资源隔离，互不影响。 文档数据库服务支持读写分离吗? 文档数据库服务支持读写分离，它的写操作仅可以在副本集中的主节点上进行，用户通过配置实现读操作在从节点进行。

本节介绍AntiDDoS流量清洗相关术语解释。 CC攻击 CC攻击是针对Web服务器或应用程序的攻击，利用获取信息的标准的GET/POST请求，如请求涉及数据库操作的URI（Universal Resource Identifier）或其他消耗系统资源的URI，造成服务器资源耗尽，无法响应正常请求。 带宽 通过带宽展示网络的使用情况，作为服务计费的依据。 分布式拒绝服务攻击 拒绝服务攻击（ Denial of Service Attack，简称DoS）亦称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。当攻击者使用网络上多个被攻陷的电脑作为攻击机器向特定的目标发动DoS攻击时，称为分布式拒绝服务攻击（Distributed Denial of Service Attack，简称DDoS）。 黑洞状态 黑洞状态是指服务器的外网访问被屏蔽，从服务器内部看到访问流量为零的状态。 流量清洗 流量清洗是用于准确识别网络中的异常流量并将其丢弃，保证正常流量通行的网络安全服务。流量清洗的主要对象是DDoS攻击。 SYN Flood攻击 SYN Flood攻击是指通过伪造的SYN报文（其源地址是伪造地址或不存在的地址），向目标服务器发起连接，目标服务器用SYNACK应答，而此应答不会收到ACK报文，导致目标服务器保持了大量的半连接，直到超时。这些半连接可以耗尽服务器资源，使目标服务器无法建立正常TCP连接，从而达到攻击的目的。

平台提供了以下大模型API能力。 模型名称 模型简介 模型ID DeepSeekR1昇腾版 DeepSeekR1是一款具有671B参数大小的创新性大语言模型，由杭州深度求索人工智能基础技术研究有限公司开发。该模型基于 transformer 架构，通过对海量语料数据进行预训练，结合注意力机制，能够理解和生成自然语言。它经过监督微调、人类反馈的强化学习等技术进行对齐，具备语义分析、计算推理、问答对话、篇章生成、代码编写等多种能力。R1 模型在多个 NLP 基准测试中表现出色，具备较强的泛化能力和适应性。 4bd107bff85941239e27b1509eccfe98 DeepSeekR1昇腾版2 DeepSeekR1是一款具有671B参数大小的创新性大语言模型，该模型基于 transformer 架构，通过对海量语料数据进行预训练，结合注意力机制，经过监督微调、人类反馈的强化学习等技术进行对齐，具备语义分析、计算推理、问答对话、篇章生成、代码编写等多种能力。R1 模型在多个 NLP 基准测试中表现出色，具备较强的泛化能力和适应性。 7ba7726dad4c4ea4ab7f39c7741aea68 DeepSeekV3昇腾版 DeepSeekV3是DeepSeek团队开发的新一代专家混合（MoE）语言模型，共有671B参数，在14.8万亿个Tokens上进行预训练。该模型采用多头潜在注意力（MLA）和DeepSeekMoE架构，继承了DeepSeekV2模型的优势，并在性能、效率和功能上进行了显著提升。 9dc913a037774fc0b248376905c85da5 DeepSeekR1DistillLlama70B DeepSeekR1DistillLlama70B是基于Llama架构并经过强化学习和蒸馏优化开发的高性能语言模型。该模型融合了DeepSeekR1的先进知识蒸馏技术与Llama70B模型的架构优势。通过知识蒸馏，在保持较小参数规模的同时，具备强大的语言理解和生成能力。 515fdba33cc84aa799bbd44b6e00660d DeepSeekR1DistillQwen32B DeepSeekR1DistillQwen32B是通过知识蒸馏技术从DeepSeekR1模型中提炼出来的小型语言模型。它继承了DeepSeekR1的推理能力，专注于数学和逻辑推理任务，但体积更小，适合资源受限的环境。 b383c1eecf2c4b30b4bcca7f019cf90d Baichuan2Turbo BaichuanTurbo系列模型是百川智能推出的大语言模型，采用搜索增强技术实现大模型与领域知识、全网知识的全面链接。 43ac83747cb34730a00b7cfe590c89ac Llama213BChat Llama2是预先训练和微调的生成文本模型的集合，其规模从70亿到700亿个参数不等。这是13B微调模型的存储库，针对对话用例进行了优化。 96dc8f33609d4ce6af3ff55ea377831a Qwen7BChat 通义千问7B（Qwen7B）是阿里云研发的通义千问大模型系列的70亿参数规模的模型。Qwen7B是基于Transformer的大语言模型, 在超大规模的预训练数据上进行训练得到。预训练数据类型多样，覆盖广泛，包括大量网络文本、专业书籍、代码等。同时，在Qwen7B的基础上，使用对齐机制打造了基于大语言模型的AI助手Qwen7BChat。 fc23987da1344a8f8bdf1274e832f193 Llama27BChat Llama27BChat是Meta AI开发的大型语言模型Llama2家族中最小的聊天模型。该模型有70亿个参数，并在来自公开来源的2万亿token数据上进行了预训练。它已经在超过一百万个人工注释的指令数据集上进行了微调。 e30f90ca899a4b1a9c25c0949edd64fc Llama270BChat Llama 2 是预训练和微调的生成文本模型的集合，规模从 70 亿到 700 亿个参数不等。这是 70B 微调模型的存储库，针对对话用例进行了优化。 bafbc7785d50466c89819da43964332b Qwen1.57BChat 通义千问1.5（Qwen1.5）是阿里云研发的通义千问系列开源模型，是一种基于 Transformer 的纯解码器语言模型，已在大量数据上进行了预训练。该系列包括Base和Chat等多版本、多规模，满足不同的计算需求，这是Qwen1.57BChat版本。 bfc0bdbf8b394c139a734235b1e6f887 Qwen272BInstruct Qwen2 是 Qwen 大型语言模型的新系列。Qwen2发布了5个尺寸的预训练和指令微调模型，包括Qwen20.5B、Qwen21.5B、Qwen27B、Qwen257BA14B以及Qwen272B。这是指令调整的 72B Qwen2 模型，使用了大量数据对模型进行了预训练，并使用监督微调和直接偏好优化对模型进行了后训练。 2f05789705a64606a552fc2b30326bba ChatGLM36B ChatGLM36B 是 ChatGLM 系列最新一代的开源模型，在保留了前两代模型对话流畅、部署门槛低等众多优秀特性的基础上，ChatGLM36B 引入了更强大的基础模型、更完整的功能支持、更全面的开源序列几大特性。 7450fa195778420393542c7fa13c6640 TeleChat12B 星辰语义大模型TeleChat是由中电信人工智能科技有限公司研发训练的大语言模型，TeleChat12B模型基座采用3万亿 Tokens中英文高质量语料进行训练。TeleChat12Bbot在模型结构、训练数据、训练方法等方面进行了改进，在通用问答和知识类、代码类、数学类榜单上相比TeleChat7Bbot均有大幅提升。 fdc31b36028043c48b15131885b148ce Qwen1.514BChat 通义千问1.5（Qwen1.5）是阿里云研发的通义千问系列开源模型，是一种基于 Transformer 的纯解码器语言模型，已在大量数据上进行了预训练。该系列包括Base和Chat等多版本、多规模，满足不同的计算需求，这是Qwen1.514BChat版本。 acfe01f00b0c4ff49c29c6c77b771b60 Llama38BInstruct Meta 开发并发布了 Meta Llama 3 系列大型语言模型 （LLM），包含 8B 和 70B 两种参数大小，Llama38BInstruct 是经过指令微调的版本，针对对话用例进行了优化，在常见的行业基准测试中优于许多可用的开源聊天模型。 bda59c34e4424598bbd5930eba713fbf Llama370BInstruct Meta 开发并发布了 Meta Llama 3 系列大型语言模型 （LLM），包含 8B 和 70B 两种参数大小，Llama370BInstruct 是经过指令微调的版本，针对对话用例进行了优化，在常见的行业基准测试中优于许多可用的开源聊天模型。 6192ed0cb6334302a2c32735dbbb6ce3 Qwen1.572BChat 通义千问1.5（Qwen1.5）是阿里云研发的通义千问系列开源模型，是一种基于 Transformer 的纯解码器语言模型，已在大量数据上进行了预训练。该系列包括Base和Chat等多版本、多规模，满足不同的计算需求，这是Qwen1.572BChat版本。 9d140d415f11414aa05c8888e267a896 Qwen1.532BChat Qwen1.532B 是 Qwen1.5 语言模型系列的最新成员，除了模型大小外，其在模型架构上除了GQA几乎无其他差异。GQA能让该模型在模型服务时具有更高的推理效率潜力。这是Qwen1.532BChat版本。 12d5a37bf1ed4bf9b1cb8e446cfa60b3 InternLM2Chat7B InternLM2Chat7B 是书生·浦语大模型系列中开源的 70 亿参数库模型和针对实际场景量身定制的聊天模型。InternLM2相比于初代InternLM，在推理、数学、代码等方面的能力提升尤为显著，综合能力领先于同量级开源模型。 50beebff68b34803bd71d380e49078f5 Qwen27BInstruct Qwen27BInstruct是 Qwen2大型语言模型系列中覆盖70亿参数的指令调优语言模型，支持高达 131,072 个令牌的上下文长度，能够处理大量输入。 0e97efbf3aa042ebbaf0b2d358403b94 QwenVLChat QwenVLChat模型是在阿里云研发的大规模视觉语言模型 QwenVL 系列的基础上，使用对齐机制打造的视觉AI助手，该模型有更优秀的中文指令跟随，支持更灵活的交互方式，包括多图、多轮问答、创作等能力。 e8c39004ff804ca699d47b9254039db8 StableDiffusionV2.1 StableDiffusionV2.1是由 Stability AI 公司推出的基于深度学习的文生图模型，它能够根据文本描述生成详细的图像，同时也可以应用于其他任务，例如图生图，生成简短视频等。 40f9ae16e840417289ad2951f5b2c88f DeepseekV2LiteChat DeepseekV2LiteChat是一款强大的开源专家混合（MoE）语言聊天模型，具有16B参数，2.4B活动参数，使用5.7T令牌从头开始训练，其特点是同时具备经济的训练和高效的推理。 0855b510473e4ec3a029569853f64974 Qwen2.572BInstruct Qwen2.5系列发布了许多基本语言模型和指令调整语言模型，参数范围从0.5到720亿个参数不等。Qwen2.572BInstruct模型是Qwen2.5系列大型语言模型指令调整版本。 d9df728b30a346afb74d2099b6c209aa Gemma29BIT Gemma29BIT是Google最新发布的具有90亿参数的开源大型语言模型的指令调优版本。模型在大量文本数据上进行预训练，并且在性能上相较于前一代有了显著提升。该版本的性能在同类产品中也处于领先地位，超过了Llama38B和其他同规模的开源模型。 4dae2b9727db46b7b86e84e8ae6530a9 Llama3.23BInstruct Meta Llama3.2多语言大型语言模型（LLMs）系列是一系列预训练及指令微调的生成模型，包含1B和3B参数规模。Llama3.2指令微调的纯文本模型专门针对多语言对话应用场景进行了优化，包括代理检索和摘要任务。它们在通用行业基准测试中超越了许多可用的开源和闭源聊天模型。这是Llama3.23BInstruct版本。 f7d0baa95fd2480280214bfe505b0e2e ChatGLM36B32K ChatGLM36B32K模型在ChatGLM36B的基础上进一步强化了对于长文本的理解能力，能够更好的处理最多32K长度的上下文。具体对位置编码进行了更新，并设计了更有针对性的长文本训练方法，在对话阶段使用 32K 的上下文长度训练。 98b6d84f6b15421886d64350f2832782 CodeGemma7BIT CodeGemma是构建在Gemma之上的轻量级开放代码模型的集合。CodeGemma7BIT模型是CodeGemma系列模型之一，是一种文本到文本和文本到代码的解码器模型的指令调整变体，具有70亿参数，可用于代码聊天和指令跟随。 fa8b78d2db034b6798c894e30fba1173 Qwen2.5Math7BInstruct Qwen2.5Math系列是数学专项大语言模型Qwen2Math的升级版。系列包括1.5B、7B、72B三种参数的基础模型和指令微调模型以及数学奖励模型Qwen2.5MathRM72B，Qwen2.5Math7BInstruct的性能与Qwen2Math72BInstruct相当。 ea056b1eedfc479198b49e2ef156e2aa DeepSeekCoderV2LiteInstruct DeepSeekCoderV2LiteInstruct是一款强大的开源专家混合（MoE）语言聊天模型，具有16B参数，2.4B活动参数。该模型基于DeepSeekV2进一步预训练，增加了6T Tokens，可在特定的代码任务中实现与GPT4Turbo相当的性能。 f23651e4a8904ea589a6372e0e860b10

本文带您了解什么是对象存储产品,对象存储的架构及其访问方式。 对象存储（CTZOS，Zettabyte Object Storage）是天翼云为客户提供的一种海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，通过S3协议和标准的服务接口，提供非结构化数据（图片、音视频、文本等格式文件）的云存储服务。 对象存储中，数据以对象（Object）的形式进行存储，每个对象由元数据（Metadata）、文件数据（Data）、对象 ID（OID）组成，从而将数据通路与控制通路分离，并通过智能存储设备（OSD）管理其上的数据分布，提高存储性能以及安全性。 产品架构 对象（Object）是对象存储的基本单元，可以是任意大小的二进制数据，通常以文件的形式存在。对象存储中，数据以对象（Object）的形式进行存储，每个对象由元数据（Metadata）、文件数据（Data）、对象ID（OID）组成。 元数据（Metadata）是描述对象的属性和特征的信息，以键值对（KeyValue）的形式被上传到ZOS中。 文件数据（Data）即文件的数据内容。 对象ID(OID) 即对象的名称，一个桶里的每个对象必须拥有唯一的对象ID。 桶（Bucket）是存储对象的容器，用户可以在桶中创建、组织和管理对象。 天翼云为您提供了控制台、客户端和SDK各类工具，方便您在不同的场景下轻松访问ZOS桶以及桶中的对象，以满足不同场景的海量数据存储诉求。

本节介绍如何在linux云主机中设置允许或禁止用户/IP通过SSH方式连接。 操作场景 出于对云主机系统安全的考虑，需要对操作系统设置用户/IP是否可以通过SSH方式连接，以深度管理云主机登录权限。 操作方法 您可以选择适用您需求的设置方式，实现限制登录的目的。 1. 通过编辑sshd配置文件，可以对指定用户/用户组或IP的登录权限设置。 1）编辑sshd配置文件中为指定用户设置白名单。在 /etc/ssh/sshdconfig 配置文件中添加AllowUsers配置，以下示例中的实际效果为允许用户user通过192.168.8.8的IP地址进行登录。 AllowUsers user@192.168.8.8 2）编辑sshd配置文件中为指定用户设置黑名单。在 /etc/ssh/sshdconfig 配置文件中添加DenyUsers配置，以下示例中的实际效果为禁止用户invaliduser登录。 DenyUsers invaliduser 2. 通过编辑host.allow和host.deny文件，可以对指定IP或IP地址段的登录权限进行设置。通常这两个文件结合设置。 1）编辑host.allow文件，添加 sshd: IP地址或IP地址段，允许指定IP地址或IP地址段进行登录，示例如下： sshd: 192.168.8.8 2）编辑host.deny文件，添加如下内容，禁止所有IP的SSH登录权限： sshd: ALL 两个文件同时设置规则的时候，hosts.allow文件中的规则优先级高于hosts.deny，结合使用可以有针对性地开放SSH登录权限。 因此以上示例的实际效果，云主机将只允许IP地址为192.168.8.8的用户进行SSH登录，其它的IP都会拒绝。 3. 重启sshd服务，使以上修订内容生效。

本文主要介绍加密镜像。 加密镜像概述 用户可以采用加密方式创建私有镜像，确保镜像数据安全性。 约束与限制 用户已启用数据加密服务 加密镜像不能共享给其他租户。 不能修改加密镜像使用的密钥。 对于加密镜像创建的云主机，其系统盘只能为加密状态，且磁盘密钥与镜像密钥一致。 如果云主机的系统盘已加密，那么使用该云主机创建的私有镜像也是加密的。 加密镜像使用的密钥为禁用状态或者被删除时，该镜像无法使用。 创建加密镜像 创建加密镜像分为通过外部镜像文件创建加密镜像和通过加密弹性云主机创建加密镜像。 1、通过外部镜像文件创建加密镜像 用户使用OBS桶中已上传的外部镜像文件创建私有镜像，可以在注册镜像时选择KMS加密及密钥完成镜像加密。具体操作步骤请参考通过外部镜像文件创建Windows系统盘镜像和通过外部镜像文件创建Linux系统盘镜像。 2、通过加密弹性云主机创建加密镜像 用户选择弹性云主机创建私有镜像时，如果该云主机的系统盘已加密，那么使用该云主机创建的私有镜像也是加密的。加密镜像使用的密钥和系统盘的密钥保持一致。具体操作请参考通过云主机创建Windows系统盘镜像和通过云主机创建Linux系统盘镜像。

Redis实例支持命令重命名。 当前主要针对一些高危的命令，这些命令可能会极大影响REDIS服务的可用性或对性能有很强的副作用 ，具体支持重命名的命令如下：command、keys、flushdb、flushall、hgetall、scan、hscan、sscan、zscan、shutdown、config 等，其他命令暂时不支持。 其中，容量型的实例不支持命令重命名。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台左上角选择实例所在的区域。 3. 对需要重命名命令的缓存实例右侧，单击“操作”栏下的“更多 > 命令重命名”。 4. 在“命令重命名”对话框中，打开开关，点击“添加重命名命令”， 选择需要重命名的高危命令，并输入重命名名称，单击“确定”。 5. 如果要关闭重命名，在“命令重命名”对话框中， 关闭开关， 单击”确定“。 注意 1.重命名的过程中会重启实例，请谨慎操作。 2.每次操作都会覆盖之前的重命名命令，只有当前设置的重命名命令会生效。 3.因为涉及安全性，页面不会显示这些被重命名的命令，请记住重命名后的命令。 4.需要还原某个重命名命令的话，和原命令填写相同即可还原。 5.命令不能重命名为除自己外的其他原始命令。 6.关闭重命名会清理所有重命名命令。 7.重命名执行期间不能执行FLUSHALL或FLUSHDB的命令, 或触发对应命令的操作。 8.重命名的命令必须以字母开头，长度范围为4~64个字符，且只能包含字母、数字、中划线和下划线。

本章节为您介绍分类分级配置相关功能。 本模块用于对分类分级框架、规则、模型等进行管理与配置。其中，结构化模版模块可自定义上传结构化数据分类分级模版，并支持以系统名称、库名、表名、表注释、字段名、字段注释、字段内容等各种维度进行条件组合的方式维护分类分级规则；非结构化模版模块通过填写中心词并补充关联词生成新的分类分级规则。 结构化模板 1.登录数据分类分级实例。 2.在左侧导航栏选择“分类分级配置 > 分类分级模板”，进入“结构化模板”页面。 行业模板管理 系统内置多个行业模板。点击当前模板名，展开模板列表。模板列表中，置顶模板为默认模板，其余模板的排列顺序基于原内置顺序和自定义导入顺序。 说明 行业模板主要包括：通用、金融、政府、个人信息安全规范、运营商、医疗、交通、交通部、人社、企业集团性质公司、医保、政法委、卫健委、各地水利单位、教育、学校、教育行政部门、行政、水利、烟草、证券等。 设置默认模板：选择需要设为默认的模板，单击页面上方的“设为默认”按钮，即可设为默认模板。 新增模板：单击页面上方的“新增”按钮，在弹出的对话框中输入模板名称、选择模板框架，完成后单击“确定”即可新增模板。 删除模板：选择需要删除的模板，单击“删除”按钮，即可删除模板。 分类框架及数据示例 分类分级模板的框架默认全部展开，展示当前模板的分类层级，以及每个分类所对应的下属规则数量。

本章节介绍网关治理中的流量防护功能 请求分组管理 可以创建请求分组，并自定义每个请求分组下的URL路径匹配规则，以增强网关防护功能。通过这种方式，您可以对特定的请求分组进行流量控制，以确保网络安全。网关防护可以针对自定义的请求分组进行流量控制。 新建自定义请求 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择网关治理。 3. 在网关治理页面的应用卡片页签单击目标网关卡片。 4. 在左侧导航栏选择网关防护 请求分组管理，单击新增请求分组。 5. 在新建自定义请求分组对话框中，填写请求分组名称（说明该名称需要全局唯一，并且不能与路由配置文件中的路由ID重复）。 6. 填写URL路径匹配规则，先选择匹配模式，再根据匹配模式的要求填写匹配串。匹配模式分为以下三类： 精确模式：严格按照给定的匹配串来匹配URL路径。示例：/path代表严格按照/path这个路径来匹配。 前缀模式：按照给定的匹配串来进行前缀匹配，匹配串需符合Spring Web风格。示例：/path/ 代表匹配以/path/开头的所有URL，像/path/123这种URL都可以匹配。 正则模式：按照给定的正则表达式匹配串来进行匹配。 匹配串：根据匹配模式的要求填写匹配串。 7. 单击+新增匹配规则，可添加多个URL路径匹配规则。 8. 单击新增，完成自定义请求分组的创建。新增的请求分组将出现在请求分组管理页面。

此小节介绍用户登录提示“您的账户已经被锁定,请自助解锁或联系管理员”问题如何处理。 账号密码被锁定主要有以下几种情况： 忘记密码，连续输错N次密码后账号自动锁定。 账号、密码超过有效期，自动锁定。 账号空闲超过阈值未登录系统。 管理员主动锁定。 忘记密码 在云堡垒机实例登录页面点击忘记密码，通过注册邮箱重置密码，解锁账号。 注意 忘记密码自助解锁功能，需要用户在注册时有绑定邮箱地址，若未绑定邮箱地址，只能联系管理员解锁。 操作步骤 1. 进入云堡垒机登录页，点击忘记密码。 2. 输入用户名、邮箱等信息，验证用户身份。 3. 输入新登录密码，点击确定后，密码重置成功。 密码过期锁定 在云堡垒机实例登录页面点击自助解锁，通过注册邮箱解锁账号。 注意 密码过期自助解锁功能，需要用户在注册时有绑定邮箱地址，若未绑定邮箱地址，只能联系管理员解锁。 操作步骤 1. 进入云堡垒机登录页，点击自助解锁链接。 2. 进入自助解锁功能后，输入用户名、邮箱和动态验证码，验证用户身份。 3. 输入更新后的密码，注意输入密码需要符合密码安全策略，点击确认。 4. 解锁成功。 其他原因账号被锁定 联系管理员解锁。管理员登入云堡垒机管理后台，在账号管理中可解锁用户账号、更改密码。

配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、本地存储、并行文件，这里选择本地存储。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 对应StorageClass yaml中provisioner，值为local.csi.cstor.com。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，默认为Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。WaitForFirstConsumer模式： 该模式将延迟 PV的绑定和制备，直到使用该 PVC的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 参数 本地存储类型：参数键为type；该场景下选择lvm。 存储池：参数键为baseStor，选择上一步创建的存储池。 挂在类型：参数键为csi.storage.k8s.io/fstype，支持参数值包括ext4、xfs。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。

本节主要介绍SSDB到GeminiDB Redis的迁移方案。 SSDB是一款使用C/C++语言开发的高性能NoSQL数据库，和Redis具有相似的API，支持KV，list，map(hash)，zset(sorted set)，qlist(队列)等数据结构，因此得到了广泛的应用。SSDB是一个持久化的KV存储系统，底层使用leveldb作为存储引擎。其业务直接与LevelDB交互，Compaction等操作会对业务读写造成直接的影响。 GeminiDB Redis是一款兼容Redis生态的云原生NoSQL数据库，基于共享存储池的多副本强一致机制，以保证数据的安全性和可靠性。GeminiDB Redis使用RocksDB作为存储引擎，其性能与leveldb相比有了很大的提升, 并解决了leveldb主动限制写的问题，同时实现了冷热分离，减小了存储层的操作对性能造成的影响。 迁移原理 ssdbport作为源端SSDB数据库的主节点的从节点（replica）运行，通过主从复制的方式进行数据迁移。将获取到的数据解析、转换为Redis支持的格式，并发送到配置文件中指定的Redis实例，迁移过程如下图所示。全量同步完成后，SSDB中新增的数据也会同步到Redis实例中。 图迁移原理 使用须知 ssdbport作为SSDB主节点的从节点，只读取全量和增量数据，无数据受损风险。 由于在源端使用ssdbport迁移工具，源端SSDB性能会受到一定的影响。 全量迁移和增量迁移可以不停服，数据全部迁入GeminiDB Redis后需要短暂停服。

本节主要介绍RDSPostgreSQL实例的资源及磁盘管理常见问题。 创建实例需要多长时间 正常情况下，对于RDSPostgreSQL的单机实例或者主备实例而言，创建时间约需79分钟。如果您创建时间超过20分钟，该实例创建过程可能存在问题，请您及时联系客服人员处理。 占用RDSPostgreSQL磁盘空间的日志及文件有哪些 RDSPostgreSQL实例占用磁盘空间文件和日志主要有以下类型： 文件类型日志文件：数据库日志文件、代理日志文件、高可用日志文件。 数据库文件：数据库内容文件。 RDSPostgreSQL是否支持磁盘缩容 RDSPostgreSQL实例考虑到数据安全性问题，暂不支持磁盘缩容操作，仅支持磁盘扩容功能，请您开通实例时根据业务规划，合理设置磁盘空间大小。 哪些内容会占用用户所购买的RDSPostgreSQL实例空间 用户正常的数据（不包含备份文件），以及数据库实例正常运行所依赖的数据，同时还包含数据库服务器产生的日志文件，代理日志文件和高可用文件（代理日志文件和高可用日志文件会按照默认策略定时清理）。 DDL操作对磁盘空间的要求 通常情况下，DDL（Data Definition Language）操作本身不对磁盘空间有特殊要求，但存在一些特定的DDL操作需要足够的可用磁盘空间来处理，具体情况取决于具体的DDL操作。为了确保数据库业务正常，您应该避免在业务高峰期进行DDL等可能导致磁盘空间暴增的操作。

本文主要介绍了RDSPostgreSQL产品的极致可靠优势，主要体现为：同城容灾、数据备份、数据恢复、存储可靠。 同城容灾 RDSPostgreSQL采用热备架构，这种技术可以实现故障自动切换，并且可以在短时间内完成切换过程，确保数据库服务的高可用性和可靠性，保障您对数据的访问需求。 数据备份 RDSPostgreSQL能够根据您的备份策略自动备份数据。备份文件会根据设置保留，最长支持保留180天，同时也支持一键式恢复，让您可以非常方便地进行数据的恢复操作。此外，还提供了灵活的备份策略设置，您可以根据自身业务特点选择备份周期、修改备份策略，保证数据备份和恢复的高效性和可靠性。 数据恢复 RDSPostgreSQL支持按备份集和指定时间点进行数据恢复，您可以方便地将保留天数内的任意时间点的数据恢复到新的数据库实例或者已有实例上，您可以通过验证数据的准确性来完成数据回溯操作。此外，还支持将退订后的包年包月实例和删除的按需实例进行保留，当您需要重新建立实例的时候，可以通过提交工单的方式来恢复1~15天内删除的实例，让您在数据管理过程中更加灵活和高效。 存储可靠 RDSPostgreSQL实例数据由云硬盘承载，云硬盘SLA见云硬盘服务等级条款，保证数据安全可靠，保护您的业务免受故障影响。

查看漏洞详情 1. 在漏洞列表中，点击“漏洞公告”链接、或操作列的“立即处理”时，可跳转至下方的漏洞详情页面。 2. 在漏洞详情页面可查看漏洞公告包含的漏洞列表和影响服务器列表。 漏洞列表：包括风险等级、漏洞编号、漏洞名称、漏洞类型、CVE编号、发布时间，单击操作列的“更多”可查看漏洞的漏洞描述、参考链接、修复建议。 风险等级与CVE漏洞等级保持一致，包括严重、高危、中危、低危、待定级。 影响服务器列表：包括影响服务器、操作系统、关联进程/关联进程ID、最后发现时间、状态等。通过列表右上角的下拉框，可以根据漏洞是否已处理、漏洞修复状态，对漏洞影响的服务器列表进行筛选。 3. 单击影响服务器列表操作列的“详情”，可以查看漏洞影响的服务器、修复命令行，软件名称、当前安装版本、漏洞修复版本、软件路径。 导出漏洞列表 说明 支持导出的格式：支持“.csv”格式。 约束限制：导出数据不超过20万条。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 选择漏洞类型。 4. 单击漏洞列表右上角的“导出”图标，导出漏洞列表。 若只需要导出部分漏洞，可以先进行筛选，筛选出目标漏洞信息后，再单击“导出”图标，导出您需要的漏洞列表。支持按照业务分组、修复后是否需要重启、修复优先级、漏洞是否已处理、服务器名称、服务器IP、漏洞公告、CVE编号进行筛选。

本章节为您介绍日志外发相关功能 数据库安全网关支持配置Syslog、Kafka日志外发能力。 配置Syslog外发 用户可配置通过 Syslog 通知方式将资产审计日志或资产告警日志发送到指定的Syslog服务器。 1.在左侧导航栏选择“通知外送 > 日志外送 > SYSLOG”进入告警通知页面。 2.单击页面中的“新增”按钮，弹出 SYSLOG 配置对话框，编辑相关信息。 配置项 说明 名称 Syslog接收接口的配置名称。 服务器地址 Syslog服务器地址，可为IP或者域名。 端口 Syslog服务器端口，默认为端口为514。 发送协议 选择日志传输的协议类型，支持UDP或TCP。 是否发送消息头 决定是否在日志数据前添加自定义Syslog消息头（含主机名及用户名）。 内容协议格式 定义日志数据的格式，默认为RFC3164。 报文默认主机名 可以指定日志中使用的默认主机名。 报文默认应用名 可以指定日志中使用的默认应用程序名。 程序模块编码 Syslog协议RFC5424 规定，消息中必须包含“程序模块编码”，Syslog服务端使用该编码区分发送消息的程序来源。与服务器端配置保持一致即可。 严重等级 选择向Syslog服务器发送告警所标记的严重等级。等级分为：Emergency、Alert、Critical、Error、Warning、Notice、Informational、Debug。 与服务器端配置保持一致即可。 审计日志模板 发送审计日志信息的模板，可修改默认模板，具体字段请依据填写说明编辑。 告警日志模板 发送告警日志信息的模板，可修改默认模板，具体字段请依据填写说明编辑。 3.配置好Syslog发送模板后，需配置需要发送通知的资产及接收人，点击“添加”按钮即可添加接收人。

本章节为您介绍审计日志的相关内容。 当系统根据既定配置成功捕获到客户端的访问行为时，它会详尽地记录审计日志。这些日志为用户提供了一个全面的视角，以查看所有触发审计的 SQL语句的详细信息。 为了方便您快速定位和分析，数据库安全网关支持在审计日志页面根据时间范围、客户端 IP、数据库账号、报文内容等多个维度进行灵活的筛选操作，从而确保用户能够迅速获取所需的关键信息。 检索审计日志 1.在左侧菜单栏选择“查询分析 > 审计日志”进入审计日志页面。 2.设置查询条件（如时间范围、资产、操 作类型等） ，单击“搜索”即可查询相关审计日志。 3.可单击查询条件下方的“更多条件”，在更多条件对话框中勾选需要的查询条件 ，单击“确认”即可添 加相应的查询条件 ，单击“恢复默认”可以恢复至默认查询条件。 查看审计日志详情 1.在左侧菜单栏选择“查询分析 > 审计日志”进入审计日志页面。 2.在审计日志列表中，单击日志条目右侧的“详情”可以查看该审计记录的详细信息，包括审计记录的基本信息、客户端信息、服务端信息、 请求详情、返回详情。 3.单击审计日志详情窗口右下角的“上一条”或“下一条”可切换查看临近的审计日志。 4.在日志详细中 ，单击“取证”即可弹出下载框 ，等待文件生成成功后 ，单击“下载”即可下载.png 图片格式的审计日志详情文件。

本章节为您介绍数据库审计遇见的一些日志类问题。 备份的数据库审计日志可以下载到本地吗？ 可以。 您可在对应的日志页面，在“日志列表”的上方单击下载按钮下载日志。 数据库审计的操作日志是否可以迁移？ 不支持。数据审计当前不支持迁移数据库操作日志。 数据库审计日志可以保存多久？ 数据库审计支持将在线和归档的审计日志至少保存180天的功能。根据实际的磁盘大小，会优先删除存储日期较早的审计日志。 若您需要更多的磁盘空间，可选择买更高级的数据库审计实例规格或者购买磁盘存储容量。 如何查看数据库审计的用户操作日志？ 1.在菜单栏选择“查询分析 > 审计日志”进入“审计日志”页面。 2.选择“审计日志”页签，设置查询条件（时间范围、报文、资产、数据库账号、客户端IP、服务端IP、操作类型、执行状态等），单击“搜索”即可查询审计日志。 数据库审计的日志处理机制是什么？ 数据库审计的审计日志存放在日志数据库中，日志的处理机制说明如下： 当日志数据库的磁盘空间使用率达到85%及以上时，系统将自动循环删除存放时间最久的审计日志（每次删除一天的审计日志），直至磁盘空间使用率为85%以下。 当日志数据库的磁盘空间使用率达到90%及以上时，数据库安全审计将停止审计功能，系统将不保存新生成的审计日志。

本页介绍分布式融合数据库HTAP的备份管理功能。 备份管理简介 分布式融合数据库HTAP支持自动全量备份、手动全量备份和增量备份，方便您在需要时将数据恢复到历史状态，以保障数据安全。 前提条件及注意事项 如果您需要备份管理功能，在订购实例时需启用数据备份功能，并且添加至少1个同步节点（后续可以扩容最多50个同规格的同步节点）。 如果您订购实例时不启用数据备份功能，则不允许添加同步节点，并且后续该实例暂不支持启用数据备份功能和扩容同步节点。 使用备份管理功能时实例需正常运行，若您停止实例或者退订实例后，将无法使用备份管理功能。 订购页默认开启数据备份功能。 全量备份过程中对实例性能有一定影响，建议在业务低峰期进行数据备份。 操作场景 自动全量备份：分布式融合数据库HTAP会根据您配置的全量备份策略帮助您自动完成全量数据备份。 手动全量备份：您可以根据业务需要立即开始备份全量数据。 增量备份：分布式融合数据库HTAP会根据您配置的增量备份策略，实时的备份增量数据，以便您通过全量数据和增量数据按时间点恢复数据到历史状态。 备份数据清理规则 自动全量备份、手动全量备份和增量备份的数据都按照备份配置页面的保留天数策略进行清理，默认保留7天内的备份数据。 删除实例的增量备份任务时也会删除该实例的增量备份的数据。 注销实例时会删除该实例的自动全量备份、手动全量备份和增量备份的数据。

Kafka服务端支持版本是多少？ Kafka 1.1.0和2.3.0版本。 创建的Kafka实例是集群模式么？ 创建一个Kafka实例即为一个集群实例。 Kafka实例是否支持修改访问端口？ Kafka实例的访问端口固定，不支持修改。 如果是访问未开启SASL的Kafka专享实例，访问端口为9092。 如果是访问开启SASL的Kafka专享实例，访问端口为9093。 在访问Kafka实例之前，需要确保安全组是否配置正确。 Kafka实例的SSL证书有效期多长？ Kafka实例开启SASL时，需进行单向认证，证书有效期足够长（超过15年），客户端不需要关注证书过期风险。 如何将Kafka实例中的数据同步到另一个Kafka实例中？ Kafka实例之间没有好的实时同步方案，如果需要做实例迁移，可以同时向两个实例生产消息，源实例中的消息可继续消费，待源实例的消息数据全部被消费完或老化后，业务可迁移到新的Kafka实例。 Kafka实例的SASLSSL开关如何修改？ Kafka SASLSSL开关不支持创建实例后修改，在创建时，请慎重选择，如果创建后需要修改，需要重新创建实例。 购买实例时选择的单AZ，怎样可以扩展为多AZ？ 已购买的实例无法扩展AZ，请重新购买多AZ的实例。 Kafka扩容会影响业务吗？ Kafka扩容带宽/存储空间，都不会影响业务的使用。 Kafka实例创建后，能修改VPC和子网吗？ 不能修改VPC和子网。 Kafka实例版本可以升级吗？ Kafka实例创建成功后，实例版本不支持升级。您可以重新创建Kafka实例，实现升级Kafka实例的版本。

本章节主要介绍分布式消息服务RabbitMQ的仲裁队列特性。 使用场景 仲裁队列（Quorum Queues）提供队列复制的能力，保障数据的高可用和安全性。使用仲裁队列可以在RabbitMQ节点间进行队列数据的复制，在一个节点宕机时，队列依旧可以正常运行。 仲裁队列适用于队列长时间存在，对队列容错和数据安全要求高，对延迟和队列特性要求相对低的场景。在可能出现消息大量堆积的场景，不推荐使用仲裁队列，因为仲裁队列的写入放大会造成成倍的磁盘占用。 仲裁队列的消息会优先保存在内存中，使用仲裁队列时，建议定义队列最大长度和最大内存占用，在消息堆积超过阈值时从内存转移到磁盘，以免造成内存高水位。 更多关于仲裁队列的说明，请参考Quorum Queues。 说明 分布式消息服务RabbitMQ3.8.35版本才提供仲裁队列特性。 仲裁队列与镜像队列的差异 仲裁队列是RabbitMQ 3.8版本引入的队列类型，它与镜像队列拥有类似的功能，为RabbitMQ提供高可用的队列。镜像队列有一些设计上的缺陷，这也是RabbitMQ提供仲裁队列的原因。 镜像队列主要的缺陷在于消息同步的性能低。 镜像队列包含一个主队列和多个从队列，当生产者向主队列发送一条消息，主队列会将消息同步给从队列，所有的从队列都保存消息后，主队列才会向生产者发送确认。 RabbitMQ使用集群部署时，如果其中一个节点故障下线，待它消除故障重新上线后，它保存的所有从队列的数据都会丢失。此时运维人员需要选择是否同步主队列的数据到从队列中，如果不同步数据，会增加消息丢失的风险。如果同步数据，同步时队列是阻塞的，无法对其进行操作。当队列中存在大量堆积消息时，同步会导致队列几分钟、几小时或者更长时间不可用。 仲裁队列解决了镜像队列的性能和同步问题。 仲裁队列的算法是基于Raft共识算法的一个变种，提供更好的消息吞吐量。仲裁队列包含一个主副本和多个从副本，当生产者向主副本发送一条消息，主副本会将消息同步给从副本，超过半数的副本保存消息后，主副本才会向生产者发送确认。这意味着少部分比较慢的从副本不会影响整个队列的性能。同样地，主副本的选举也需要超过半数的副本同意，这会避免出现网络分区时，队列存在2个主副本。由此可见，仲裁队列相对于可用性更看重一致性。 RabbitMQ使用集群部署时，如果其中一个节点故障下线，待它消除故障重新上线后，它保存的数据不会丢失，主副本会直接从从副本中断的地方开始复制消息。复制的过程是非阻塞的，整个队列不会因为新的副本加入而受到影响。 仲裁队列相比镜像队列，缺少了一些特性，如表1所示，且消耗更多的内存和磁盘。 表1 特性列表 特性 镜像队列 仲裁队列 非持久化队列 支持 不支持 排他队列 支持 不支持 每条消息的持久化 每条消息 永远 队列重平衡 自动 手动 消息超时时间 支持 不支持 队列超时时间 支持 支持 队列长度限制 支持 支持（除xoverflow: rejectpublishdlx） 惰性队列 支持 限制队列长度后支持 消息优先级 支持 不支持 消费优先级 支持 支持 死信交换器 支持 支持 动态Policy 支持 支持 毒药消息（让消费者无限循环消费）处理 不支持 支持 全局消息预取（Qos） 支持 不支持

注解名称 描述 示例 支持的CCM版本 service.beta.kubernetes.io/ctyunloadbalancerid 指定已有负载均衡，取值为负载均衡实例的ID。删除service时该 ELB不会被删除 lb v1.0.1及以上 service.beta.kubernetes.io/ctyunloadbalancerspec 指定新建负载均衡的规格，如elb.s2.small elb.s2.small v1.0.1及以上 service.beta.kubernetes.io/ctyunloadbalanceraddresstype 指定新建负载均衡的公网私网类型，取值： intranet：负载均衡地址类型为私网，intranet为默认值 internet：负载均衡地址类型为公网 internet v1.0.1及以上 service.beta.kubernetes.io/ctyunloadbalancerprotocolport 指定负载均衡监听HTTP协议或HTTPS协议，可指定多个监听，多个监听之间以逗号“,”分割 https:443,http:80 v1.0.4及以上 service.beta.kubernetes.io/ctyunloadbalancersslcert 指定SSL证书，取值为SSL证书ID，可在负载均衡控制台的证书管理页面查看证书ID。 仅监听协议为HTTPS协议时需要指定 cert v1.0.4及以上 service.beta.kubernetes.io/ctyunloadbalancerxforwardedfor 指定负载均衡监听器附加XForwardedFor头字段，通过开启该参数，后端服务可获取客户端源IP。取值为“true”或“false” 仅支持监听协议为HTTP和HTTPS协议 "true" v1.0.4及以上 service.beta.kubernetes.io/ctyunloadbalancerchargetype 指定创建公网负载均衡时，公网的计费类型，取值： bandwidth：按带宽计费 traffic：按流量计费，traffic为默认值 traffic v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancerbandwidth 计费类型为“bandwidth”时，可指定带宽的大小，值为数字类型，默认为1 Mbps 5 v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancercyclecount 指定负载均衡的计费周期，值为数字类型，表示购买月数，默认为1个月 1 v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancereipid 指定新建公网负载均衡时，可指定绑定已有的弹性IP，取值为弹性IP的ID，可在网络控制台的弹性IP详情页面查看ID eip v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancerprojectid 指定新建负载均衡所属的企业项目，取值为企业项目ID，可在IAM控制台中企业项目详情查看ID 0 v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancerenableipv6 指定新建负载均衡时，可指定开启负载均衡的ipv6 "true" v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalanceripv6bandwidthid 指定新建支持ipv6的公网负载均衡时，需指定IPv6带宽ID，可在网络控制台的IPv6带宽详情页面查看ID。如果没有IPv6带宽，请先创建一个 v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalancerenablelistenernat64 指定支持ipv6的负载均衡时，可指定开启监听器的nat64，支持负载均衡将ipv6流量转发到ipv4的后端 "true" v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalanceripv6address 指定新建支持ipv6的负载均衡时，可指定负载均衡的ipv6地址（该地址为负载均衡所在子网的ipv6地址段中未被分配的ip），未指定则由系统随机分配 v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalanceroverridelisteners 指定已有负载均衡时，可指定是否强制覆盖已有监听 "true" v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalancerhealthcheckflag 健康检查开关，取值off或on。off：不启用；on：启用 on v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerhealthcheckoption 配置全局健康检查的选项，对service下所有端口配置起作用。内容为json类型数据，数据结构见下表“健康检查字段数据结构说明” 注意 使用该字段，需确保service下端口配置的protocol协议一致 v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerhealthcheckoptions 配置健康检查的选项，支持为service下单个端口或部分端口配置健康检查。内容为数组形式的json数据，数据结构参考表“健康检查字段数据结构说明” 注意 该字段不能与“service.beta.kubernetes.io/ctyunloadbalancerhealthcheckoption”同时使用 v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalanceraclflag 指定访问控制的类型，取值： inherit：继承已有ELB配置； all：允许所有IP访问； white：白名单； black：黑名单 white v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalanceraclstatus 访问控制开关，值为on或off，只有为on时，黑/白名单才会生效 on v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalanceraclid 指定访问策略组的ID，可在负载均衡控制台的访问策略组页面查看策略ID ac v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerestablishtimeout 指定建立连接超时时间，只用于TCP监听 "30" v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalanceridletimeout 指定空闲超时时间，只作用于HTTP/HTTPS监听 "30" v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerresponsetimeout 指定响应超时时间，只作用于HTTP/HTTPS监听 "5" v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerproxyprotocolflag 指定是否开启后端主机组的Proxy Protocol，ProxyProtocol协议会携带客户端源地址到后端服务器。取值： on：开启 off：关闭 注意 该功能不支持在线平滑开启，切换到ProxyProtocol需要业务停服升级，请谨慎配置。 on v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalanceripmode 指定Service的External IP模式，值为 vip 或 proxy vip：集群内访问Service不会经过ELB，直接经由ipvs/iptables转发到Service对应的后端Pod proxy：集群内访问Service会先经过ELB，最终再转发到对应后端Pod 注意 该特性要求Kubernetes集群版本大于v1.29 proxy v1.2.0及以上 service.beta.kubernetes.io/ctyunloadbalanceriptype 指定Service的External IP地址类型，值为 private 或 public private：设置ELB的私网IP为Service的External IP public：设置ELB的公网IP为Service的External IP public v1.2.0及以上 service.beta.kubernetes.io/ctyunloadbalancerpreservesourceip 指定是否开启客户端源地址保持，值为 true 或 false true：开启 false：关闭 注意 客户端源地址保持要求Service的ExternalTrafficPolicy必须为Local。开启该特性，需确保集群节点的弹性网卡对应的安全组已放通客户端源IP，避免影响网络连通 true v1.5.0及以上

DTS服务等级协议变更说明。 尊敬的用户您好，我们将于2026年2月14日更新《天翼云数据传输服务DTS版服务等级协议》以期向您展示更加清晰完整的条款内容，帮助您更加清楚高效地了解我们的产品服务。 本次更新内容如下： 1. 将原协议第二条 服务承诺 和第三条 服务说明 的内容合并到新的第二条 服务说明与承诺，并更新关于服务不可用的定义，修改后内容如下： 服务不可用：指依照数据传输服务平台的系统日志，显示用户使用的数据迁移、数据同步功能因天翼云原因导致的从源数据库到目标数据库写入数据失败，且失败状态连续超过五分钟视为服务不可用，低于五分钟的不可用时间不视为服务不可用。 2. 将原协议第四条 赔偿方案 变更为 第三条服务补偿，并更新关于补偿申请时限的说明，新增关于补偿申请方法的说明，相关修改和新增内容如下： 补偿申请时限：用户可在每服务周期账单结清后对该服务周期没有达到服务可用性承诺的云服务提出补偿申请，且补偿申请必须在该云服务没有达到服务可用性承诺的服务周期结束后两个月内提出。超出申请时限的补偿申请将不被受理。天翼云将对用户的申请进行合理评估，并依据本SLA约定及诚信原则就是否适用补偿做出决定。 补偿申请方法：用户可以在天翼云用户中心提交工单申请补偿。 3. 将原协议第五条 不可抗力及免责 变更为第四条 限制，并新增如下条款： 以下原因导致的甲方数据传输服务不可用的情况不计在不可用时间内： 甲方的应用程序或安装活动所引起的； 任何天翼云所属设备以外的网络、设备故障或配置调整引起的； 系统或服务日常维护而引起的； 甲方使用DTS免费任务或处于收费任务的免费阶段的； 甲方未遵循天翼云产品官方使用文档或使用建议引起的； 甲方的源端数据库或目标端数据库自身原因导致的； 由于源端数据库或者目标端数据库用户名、密码修改后，甲方未及时在DTS控制台更新导致的； 由甲方操作所引起的不可用，包括但不限于实例被意外重启、源端数据库或者目标端数据库参数修改不当以及删改数据库账户、权限后未及时在DTS控制台更新等； 依照法律法规，应监管部门要求或依照协议及协议中援引的政策用户的服务被暂停或终止的。 4. 将原协议第五条 不可抗力及免责 中关于协议生效的内容放到新增的第五条 协议生效及其他并更新说明，修改后内容如下： 本服务等级协议自用户申请天翼云数据传输服务之日起生效并遵行。终止日期以《天翼云数据传输服务DTS版服务协议》的终止为准。 天翼云有权对本SLA条款作出修改。如本SLA条款有任何修改，天翼云将提前30天以网站公示或发送邮件的方式通知用户。如用户不同意天翼云对SLA所做的修改，用户有权停止使用DTS服务，如用户继续使用DTS服务，则视为用户接受修改后的SLA。 本次更新将于2026年2月14日正式更新至官网协议文档，请您务必认真阅读上述变更内容，若您不同意天翼云即将对SLA所做的修改，您有权停止使用DTS服务，如您继续使用DTS服务，则视为您接受修改后的SLA。

本地快速恢复 使用DistCp将本集群HBase、HDFS和Hive数据备份在备集群HDFS中以后，本集群HDFS保留了备份数据的快照。用户可以通过创建本地快速恢复任务，直接从本集群HDFS的快照文件中恢复数据。 NAS NAS（Network Attached Storage）是一种特殊的专用数据存储服务器，包括存储器件和内嵌系统软件，可提供跨平台文件共享功能。利用NFS（支持NFSv3、NFSv4）和CIFS（支持SMBv2、SMBv3）协议，用户可以连通MRS的业务平面与NAS服务器，将数据备份至NAS或从NAS恢复数据。 说明 数据备份至NAS前，系统会自动将NAS共享地址挂载为本地分区。在备份结束后，系统会卸载NAS共享分区。 为防止备份恢复失败，数据备份及恢复期间，请勿访问NAS服务器挂载至本地的共享地址，如：“/srv/BigData/LocalBackup/nas”。 业务数据备份至NAS时，会使用DistCp。 规格 备份恢复特性规格 项目 参数 备份或恢复任务最大数量（个） 100 同一集群同时运行的任务数量（个） 1 等待运行的任务最大数量（个） 199 Linux本地磁盘最大备份文件大小（GB） 600 说明 若业务数据存储在ZooKeeper中的上层组件，在备份恢复这类数据时，需确保单个备份或恢复任务的znode数量不会过大，否则会造成任务失败，并影响Zookeeper的服务性能。可通过如下方法确认单个备份或恢复任务的znode数量： l 单个备份或恢复任务的znode数量要少于操作系统的文件句柄限制。查看句柄限制的方式如下： l 使用shell命令输入：cat /proc/sys/fs/filemax，用于查看系统级的最大限制。 1. 使用shell命令输入：ulimit n，用于查看用户级的限制。 l 对于父目录的znode数量超过上述限制的情形，可以通过其子目录进行批量备份与恢复。使用Zookeeper提供的客户端脚本查看znode数量的方式： l 在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > Zookeeper > 实例”，查看Zookeeper各角色的管理IP。 1. 登录客户端所在节点，执行如下命令： zkCli.sh serverip:port，其中ip可以为任意管理IP，port默认值是2181。 2. 当看到如下输出信息时，表示已经成功连接上Zookeeper服务器。 WatchedEvent state:SyncConnected type:None path:null [zk: ip:port(CONNECIED) 0] 3. 使用getusage命令查看待备份目录的znode数量，例如： getusage /hbase/region，输出结果中"Node countxxxxxx"即表示region目录下存储的znode数量。 “default”任务规格 项目 OMS HBase Kafka DBService NameNode 备份周期 1小时 1小时 1小时 1小时 1小时 最大备份数 168个（7天历史数据） 168个（7天历史数据） 168个（7天历史数据） 168个（7天历史数据） 24个（1天历史数据） 单个备份文件最大大小 10MB 10 MB 512MB 100MB 20GB 最大占用磁盘大小 1.64GB 1.64 GB 84GB 16.41GB 480GB 备份数据保存位置 主备管理节点“数据存放路径/LocalBackup/” 主备管理节点“数据存放路径/LocalBackup/” 主备管理节点“数据存放路径/LocalBackup/” 主备管理节点“数据存放路径/LocalBackup/” 主备管理节点“数据存放路径/LocalBackup/” 说明 默认任务保存的备份数据，请管理员根据企业运维要求，定期转移并保存到集群外部。 管理员可直接创建DistCp备份任务将OMS、DBService和NameNode等的数据保存到外部集群。 集群数据的备份任务运行时长可根据要备份的数据量除以集群与备份设备之间的网络带宽来计算得出，在实际场景中，建议将计算得出的时常乘以1.5作为任务执行时长参考值。 执行数据备份任务会对集群的最大IO性能产生影响，建议备份任务运行时间与集群业务高峰错开。

2.13 安装系统 分区完成后会进行Windows系统的安装。 系统安装完成后会自动重启。 2.14 设置Administrator用户密码 创建用户时会自动创建Administrator用户并设置密码，不建议新建其他用户，可能有安全隐患。物理机装机系统只在装机时为Administrator用户设置密码，不考虑其他用户。 2.15 进入Windows系统 完成上面的配置后，即可进入Windows系统 使用“发送按键”解锁Windows屏保 输入密码后即可进入系统 3. 安装软件、配置系统 这一步安装镜像中需要的软件，配置系统等。用户可根据自身需要进行定制，Windows定制镜像主要分两部分，第一部分是基础配置，第二部分用户定制配置。 3.1 基础配置 由于Windows相关驱动和脚本配置不易获取，本文将提供常用配置和软件包打包为iso，方便用户完成物理机镜像基础配置。其中包含系统升级、远程桌面配置、硬件驱动安装、防火墙配置、ntp配置等基础配置，适配不同的标准物理机设备。 本文提供windowsserver2016、windowsserver2019、windowsserver2022系统的基础配置包，windowsservercustomize.iso配置包下载地址为：< （访问码：9ee7） windowsserver2016customize.iso配置包中的文件结构如下： plaintext windowsserver2016customize ├─Configs 配置文件 │ └─ ├─Drivers 驱动文件 │ ├─ │ ├─ ├─Packages 软件安装文件 ├─customize.cmd 配置脚本 └─cleanup.cmd 清理镜像脚本

为保障您的天翼云弹性云主机系统时间精准统一,避免因时钟偏差引发业务异常、日志时序错乱、合规审计不达标等问题,推荐您配置天翼云内网 NTP 时间同步服务。本文为您介绍内网 NTP 时间同步的核心作用,以及红帽系、Debian 系 Linux 操作系统的标准化配置方法。 一、内网 NTP 时间同步核心作用 保障业务稳定运行：确保分布式集群、数据库主从同步、交易订单等业务的时序一致性，避免因时钟偏差引发数据错乱、服务异常。 提升运维排障效率：统一全量云主机系统时间，保障日志时序准确，便于故障溯源与问题定位。 满足合规审计要求：符合网络安全等级保护等监管规范对系统时间统一、日志可追溯的硬性要求。 低延迟高可靠：使用天翼云内网 NTP 专用地址，无需占用公网带宽，同步链路稳定、精度更高。 二、前置说明 适用范围：天翼云弹性云主机，涵盖红帽系（RHEL 7/8/9、CentOS 7/Stream、Rocky Linux、AlmaLinux 等）、Debian 系（Debian 10/11/12、Ubuntu 18.04+）Linux 操作系统。 天翼云内网 NTP 服务器地址：169.254.169.254。 三、配置步骤 红帽系操作系统配置（chronyd） 红帽系操作系统官方推荐使用 chronyd 服务实现时间同步，RHEL 8/9 系列默认预装并启用，配置步骤如下： 1. 备份原始配置文件（便于异常回滚） plaintext cp /etc/chrony.conf /etc/chrony.conf.bak 2. 写入天翼云内网 NTP 配置 清理原有NTP源配置 plaintext sed i E '/^(poolserver)/d' /etc/chrony.conf 新增内网NTP同步配置 plaintext cat >> /etc/chrony.conf << EOF server 169.254.169.254 iburst prefer EOF 3. 重启服务并配置开机自启 plaintext systemctl restart chronyd systemctl enable now chronyd

本页主要介绍快照恢复的使用方法。 注意 快照恢复功能仅白名单用户可见，如有急需，可提单咨询开通。 使用场景 数据保护和恢复：快照可以用作数据的备份和恢复手段。当云硬盘的数据发生意外删除、损坏或错误修改时，可以使用快照来恢复到之前的状态。 数据恢复测试：可以使用快照来进行数据恢复测试。在进行关键操作之前，先创建一个快照，然后在测试过程中可以随时回滚到快照状态，以确保操作的安全性和可靠性。 数据备份和归档：通过创建快照，可以定期备份云硬盘的数据，并将快照存档用于长期数据保留、合规要求或法律需求。 约束限制 快照恢复仅支持恢复到当前实例，即对原实例进行覆盖。 快照恢复不支持跨域恢复。 按时间点恢复 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，进入基础备份列表页签。 5. 在备份文件列表上方，单击快照恢复。 6. 在弹出页面中选择恢复的参数，可选择按时间点和按备份集进行恢复。 相关参数说明如下： 源实例：恢复的源实例。 恢复策略：按时间点即恢复到时间段内某个点，按备份集即将实例的数据用此备份集进行覆盖。 可还原时间点：根据备份文件和Binlog文件，您当前可以恢复到的一个时间段。 恢复到：恢复的目标实例。 7. 恢复的记录可以在快照恢复列表中进行查看。

本章节主要介绍如何通过物理机服务器创建私有镜像。 操作场景 您可以基于物理机服务器实例创建私有镜像，将实例的系统盘数据完整地复制到私有镜像中。系统盘一般包含用户运行业务所需的操作系统、应用软件。 约束限制 只有系统盘为云硬盘时，才支持此操作。 暂不支持将物理机服务器实例的数据盘导出为镜像。 物理机服务器实例必须为“关机”状态。 此操作依赖于物理机服务器镜像中的bmsnetworkconfig和CloudInit插件。 如果待创建私有镜像的物理机服务器使用的是公共镜像，镜像中已内置bmsnetworkconfig和CloudInit插件。 如果待创建私有镜像的物理机服务器使用的是私有镜像，请确认是否已安装并配置bmsnetworkconfig和CloudInit插件。 操作须知 请将物理机服务器实例中的敏感数据删除后再创建私有镜像，避免数据安全隐患。 请将操作系统中的残留文件进行清理。请参考临时文件清理。 创建私有镜像的过程中，请不要改变实例的状态，避免创建失败。 操作步骤 1. 登录管理控制台。 2. 选择“计算 > 物理机服务”。 进入物理机服务器页面。 3. 在需要创建私有镜像的物理机服务器的“操作”列，单击“更多 > 关机”。 4. 只有关机状态的物理机服务器才能制作私有镜像。 5. 待物理机服务器状态变为“关机”时，单击“操作”列的“更多 > 制作镜像”。 进入“创建镜像”页面。 6. 填写镜像名称，根据需要设置标签并输入该镜像的描述。 设置完成后，单击“立即申请”。 7. 在“确认规格”页面，确认规格无误后，单击“提交”。 8. 页面跳转至镜像列表，可以看到正在创建的私有镜像，待状态变为“正常”时，表示创建成功。